に不要となった時点で速やかに抹消する (9) 提供した情報資産の返還 廃棄受託者は 中野区から提供された情報資産について本契約終了後 速やかに中野区に返却するか 消去又は廃棄してその旨を書面で報告する また 提供データの内容及び交換履歴に関して記録しておく (10) 記録媒体の制限受託者は 中野区か

Similar documents
Microsoft Word - ○指針改正版(101111).doc

(2) 情報資産の重要度に応じた適正な保護と有効活用を行うこと (3) 顧客情報資産に関して 当法人の情報資産と同等の適正な管理を行うこと (4) 個人情報保護に関する関係法令 各省庁のガイドライン及び当法人の関連規程を遵守すると共に これらに違反した場合には厳正に対処すること ( 個人情報保護 )

<4D F736F F F696E74202D208E9197BF E08A748AAF965B8FEE95F1835A834C A A E815B92F18F6F8E9197BF2E70707

スマートデバイス利用規程 1 趣旨 対象者 対象システム 遵守事項 スマートデバイスのセキュリティ対策 スマートデバイスの使用 スマートデバイスに導入するソフトウェア スマー


必要となる教育を行うとともに 実施結果について指定する書面により甲に提出しなければならない 第 10 条乙は 甲がこの特記事項の遵守に必要となる教育を実施するときは これを受けなければならない ( 知り得た情報の保持の義務 ) 第 11 条乙は 本契約の履行に当たり知り得た受託情報を第三者に漏らして

情報セキュリティ基本方針書(案)

イ -3 ( 法令等へ抵触するおそれが高い分野の法令遵守 ) サービスの態様に応じて 抵触のおそれが高い法令 ( 業法 税法 著作権法等 ) を特に明示して遵守させること イ -4 ( 公序良俗違反行為の禁止 ) 公序良俗に反する行為を禁止すること イ利用規約等 利用規約 / 契約書 イ -5 (

(3) 利用 保管方法 要介護認定情報等の申出にて発生する厚生労働省 大学内での倫理審査の文書 研究方法のマニュアル等は 研究室で適切に管理する 厚生労働省より提供を受けた要介護認定情報等の保存媒体の保管場所は 研究室の戸棚に保管し 施錠する 要介護認定情報等の利用場所は 研究室のみとする サーバ室

安全なウェブサイトの作り方 7 版 の内容と資料活用例 2

PowerPoint プレゼンテーション

Microsoft PowerPoint - ISMS詳細管理策講座

平成 26 年 3 月 6 日千葉医療センター 地域医療連携ネットワーク運用管理規定 (Ver.8) 千葉医療センター地域医療連携ネットワーク運用管理規定 第 1 章総則 ( 目的 ) 第 1 条この運用管理規定は 千葉医療センター地域医療連携ネットワーク ( 以下 千葉医療ネットワーク ) に参加

— intra-martで運用する場合のセキュリティの考え方    

ロイロノートスクールクラウド版表 クラウド サービス利 弊社が 意しているクラウドサービスへ接続し利 するシンプルなプランです サービスだけで利 することができます プラン 保存可能な容量 / ユーザー 額の場合 / ユーザー 年額の場合 / ユーザー 共 タブレット向け 1 0.8GB 40 円

はじめてのマイナンバーガイドライン(事業者編)

privacypolicy

特定個人情報等取扱規程

2011 年第 3 四半期脆弱性対策情報データベース JVN ipedia の登録状況 ( 詳細 ) 1. 脆弱性対策情報の登録状況 1.1 今四半期に登録した脆弱性の種類別件数 す 別紙 2 共通脆弱性タイプ一覧 CWE ( *12) は 脆弱性の種類を識別するための共通の脆弱性タイプの一覧で C

個人情報保護規定

Ⅰ バイタルリンク 利用申込書 ( 様式 1-1)( 様式 ) の手続 バイタルリンク を利用する者 ( 以下 システム利用者 という ) は 小松島市医師会長宛に あらかじ め次の手順による手続きが必要になります 新規登録手続の手順 1 <システム利用者 ( 医療 介護事業者 )>

ネットワーク保守サービス 契約約款 2016 年 4 月 関西国際空港情報通信ネットワーク株式会社

2 物理的対策関連サーバ故障時にあってもサービスを継続させるため 主要なサーバおよび接続機器は 別な物理サーバによるアクティブ - コールドスタンバイ構成による冗長構成とする (1) データ多重化ストレージ ( ハードディスク ) 故障時にあってもサービスを継続させるため 主要なサーバにおけるストレ

特定個人情報の取扱いに関する管理規程 ( 趣旨 ) 第 1 条この規程は 特定個人情報の漏えい 滅失及び毀損の防止その他の適切な管理のための措置を講ずるに当たり遵守すべき行為及び判断等の基準その他必要な事項を定めるものとする ( 定義 ) 第 2 条 この規定における用語の意義は 江戸川区個人情報保

日商PC検定用マイナンバー_参考資料

4 保護管理者は 次の各号に掲げる組織体制を整備する (1) 職員 ( 臨時職員を含む 以下同じ ) がこの訓令に違反している事実又は兆候を把握した場合の保護管理者及び監査責任者への報告連絡体制 (2) 保有個人情報等の漏えい 滅失又は毀損等 ( 以下 情報漏えい等 という ) の事案の発生又は兆候

Microsoft Word - 06_個人情報取扱細則_ doc

業務委託契約書

公 印 規 程

社会福祉法人○○会 個人情報保護規程

社会福祉法人春栄会個人情報保護規程 ( 目的 ) 第 1 条社会福祉法人春栄会 ( 以下 本会 という ) は 基本理念のもと 個人情報の適正な取り扱いに関して 個人情報の保護に関する法律 及びその他の関連法令等を遵守し 個人情報保護に努める ( 利用目的の特定 ) 第 2 条本会が個人情報を取り扱

14個人情報の取扱いに関する規程

安全な Web サイトの作り方 7 版 と Android アプリの脆弱性対策 独立行政法人情報処理推進機構 (IPA) 技術本部セキュリティセンター Copyright 2015 独立行政法人情報処理推進機構

( 内部規程 ) 第 5 条当社は 番号法 個人情報保護法 これらの法律に関する政省令及びこれらの法令に関して所管官庁が策定するガイドライン等を遵守し 特定個人情報等を適正に取り扱うため この規程を定める 2 当社は 特定個人情報等の取扱いにかかる事務フロー及び各種安全管理措置等を明確にするため 特

個人情報保護規程

(Microsoft Word - \201iAL\201jAG-Link\227\230\227p\213K\222\350.doc)

特定個人情報の取扱いに関するモデル契約書 平成27年10月

別紙 年第 3 四半期脆弱性対策情報データベース JVN ipedia の登録状況 ( 詳細 ) 1. 脆弱性対策情報の登録状況 年第 3 四半期に登録した脆弱性の種類別件数図 8 のグラフは JVN ipedia へ 2012 年第 3 四半期に登録した脆弱性対策情

IT 製品の利用でセキュリティを考慮すべき場面 IT 製品 OS DBMS FW IDS/IPS 1-1 製品調達時 製品に必要なセキュリティ機能は? セキュリティ要件 ( 要求仕様 ) の検討 2 運用 保守時 セキュリティ機能を正しく動作させる 適切な設定値 パッチの適用 IC カード デジタル

1 策定の目的 この手引書は 茅ヶ崎市地域防犯カメラ ( 以下 地域防犯カメラ という ) の設置及び運用について配慮すべき事項を定めることにより 地域防犯カメラの有用性とプライバシー保護等との調和を図り 地域防犯カメラを適切かつ効果的に活用し 茅ヶ崎市の安心して安全に暮らせるまちづくりを推進するこ

< F2D8EE888F882AB C8CC2906C>

Ⅰ. マイナンバー制度概要 マイナンバー法の厳しい罰則規定 ( 民間企業 個人に係わるもの ) 行為懲役罰金 1 正当な理由がなく マイナンバーファイルを 提供 4 年以下 200 万円以下 2 不正な利益を得る目的で マイナンバーを 提供 盗用 3 年以下 150 万円以下 3 不正アクセス等によ

3 乙は 業務従事者が本誓約に基づき課される守秘義務に違反した場合は 乙が本誓約に違反した ものとして その責任を負うものとする ( 乙による具体的措置の実施 ) 第 4 条乙は 業務従事者に対して入手した秘密情報を本件に必要な限度で開示 提供するものとする 2 乙は 甲の求めに応じて 業務従事者の

個人情報の取り扱いに関する規程

マイナンバー対策セミナー(実践編) 「マイナンバー対策マニュアル」を利用した具体的な対策方法について

日本赤十字社企業年金基金特定個人情報等取扱規程 第 1 章総則 ( 目的 ) 第 1 条本規程は 日本赤十字社企業年金基金 ( 以下 当基金 という ) における個人番号及び特定個人情報 ( 以下 特定個人情報等 という ) の適正な取扱いを確保するために必要な事項を定めることを目的とする ( 定義

中小企業向け サイバーセキュリティ対策の極意

平成 30 年度新潟県自殺対策強化月間テレビ自殺予防 CM 放送業務委託契約書 ( 案 ) 新潟県 ( 以下 甲 という ) と ( 以下 乙 という ) とは 平成 30 年度新潟県自殺対 策強化月間テレビ自殺予防 CM 放送業務について 次の条項により委託契約を締結する ( 目的 ) 第 1 条

第 4 条 ( 取得に関する規律 ) 本会が個人情報を取得するときには その利用目的を具体的に特定して明示し 適法かつ適正な方法で行うものとする ただし 人の生命 身体又は財産の保護のために緊急に必要がある場合には 利用目的を具体的に特定して明示することなく 個人情報を取得できるものとする 2 本会

個人情報管理規程

1 名称 三田市議会ペーパーレス会議システム導入 運用業務 2 目的電子データによる議会関連資料やその他関係資料の共有 情報の伝達 共有及びペーパーレス会議を実現するためのツールを導入することにより 議会運営の活性化及び議会 議員活動の効率化を図るとともに用紙類や印刷費 作業時間等に関わる経費等の削

3 部門管理者は 個人データの取扱いを外部に委託する場合には その委託先における個人データの取扱状況等の監督を行わなければならない 4 個人データの取扱いにかかる事項であってこの細則に定めのない事項については 取扱者の申請に基づき 部門管理者がこれを承認して行う 5 部門管理者は 個人データの組織的

特定個人情報の取扱いの対応について

Microsoft Word - sp224_2d.doc

保健福祉局地域福祉課

財団法人日本体育協会個人情報保護規程

目 次 第 1 はじめに 2 1 ガイドライン策定の目的 2 2 ガイドラインの対象となる防犯カメラ 2 3 防犯カメラで撮影された個人の画像の性格 2 第 2 防犯カメラの設置及び運用に当たって配慮すべき事項 3 1 設置目的の設定と目的外利用の禁止 3 2 設置場所 撮影範囲 照明設備 3 3

保総発第○○○号

ISMS情報セキュリティマネジメントシステム文書化の秘訣

Microsoft Word - 個人情報管理規程(案)_(株)ふるさと創生研究開発機構(2016年1月27日施行).doc

Microsoft Word - 2-1 契約書

東レ福祉会規程・規則要領集

WEBシステムのセキュリティ技術

プライバシーマーク審査センター審査業務規則

保健福祉局地域福祉課

目次 1. 目的と適用範囲 定義 原則 使用機器 審査資料交付システム タブレット端末 管理運用体制 電磁的記録管理運用責任者の役割 電磁的記録管理運用担当者の役割

個人情報の保護に関する規程(案)

<93C18B4C8E64976C8F9195CA8E862E786C73>

特定個人情報取扱規程 第 1 章総則 ( 目的 ) 第 1 条本規程は 岩手県建設業厚生年金基金 ( 以下 当厚生年金基金 という ) における個人番号及び特定個人情報 ( 以下 特定個人情報等 という ) の適正な取扱いを確保するために必要な事項を定めることを目的とする ( 定義 ) 第 2 条本

マイナンバー制度 実務対応 チェックリスト

Microsoft Word - Webyuupuri_kiyaku.rtf

新潟勤労者医療協会 下越病院    医療情報システムに関する運用管理規程

Webエムアイカード会員規約

個人情報保護規程 株式会社守破離 代表取締役佐藤治郎 目次 第 1 章総則 ( 第 1 条 - 第 3 条 ) 第 2 章個人情報の利用目的の特定等 ( 第 4 条 - 第 6 条 ) 第 3 章個人情報の取得の制限等 ( 第 7 条 - 第 8 条 ) 第 4 章個人データの安全管理 ( 第 9

KARTE セキュリティホワイトペーパー KARTE セキュリティホワイトペーパー 2.1 版 株式会社プレイド 1

内容 ( 演習 1) 脆弱性の原理解説 基礎知識 脆弱性の発見方法 演習 1: 意図しない命令の実行 演習解説 2

閣原防第 6 号 原子力防災会議保有個人情報管理規程を次のように定める 平成 24 年 12 月 25 日 原子力防災会議議長野田佳彦 原子力防災会議保有個人情報管理規程 第 1 章総則 ( 目的 ) 第 1 条この規程は 原子力防災会議 ( 以下 会議 という ) の保有する個人情報の適切な管理に

個人情報保護規程例 本文


報主体の権利利益及びプライバシーの侵害の防止に関し 必要な措置を講じるよう勤める 2 本センターの職員等は 業務上知り得た個人情報を漏えいし または不当な目的に使用してはならない 第 2 章 管理体制及び責任 ( 管理体制 ) 第 6 条本センターは 個人情報の適切な管理を効果的に実施するため 役割

借上くんマイナンバー制度対応

程の見直しを行わなければならない 1 委託先の選定基準 2 委託契約に盛り込むべき安全管理に関する内容 (2) 個人データの安全管理措置に係る実施体制の整備 1) 実施体制の整備に関する組織的安全管理措置 金融分野における個人情報取扱事業者は ガイドライン第 10 条第 6 項に基づき 個人データの

PowerPoint プレゼンテーション

プライバシーポリシー ( 個人情報保護に関する基本方針 ) 株式会社ビットポイントジャパン ( 以下 当社 といいます ) は 個人情報の保護とその適正な管理が重要であることを認識し 個人情報の保護に関する法律 ( 以下 個人情報保護法 といいます ) 関連法令 ガイドラインその他の規範を遵守すると

<4D F736F F D E64976C8F91817A B7B8E73959F8E F41984A8BC696B18A4A91F D F8E968BC68BC696B18E6

特定個人情報取扱規程

別紙 3 個人情報及び機密情報に係る標準特記仕様書 受託者は 契約書及び仕様書等に定めのない事項について この特記仕様書に定める事項に従って 契約を履行しなければならない 1 定義本業務において 公益財団法人東京都中小企業振興公社 ( 以下 公社という ) の保有する個人情報 ( 以下 単に 個人情

プライバシーポリシー

<4D F736F F D204E4F2E CC2906C8FEE95F195DB8CEC82C982A882AF82E98AC48DB882C98AD682B782E98B4B92F68DC C5>

THE NIKKEI MAGAZINE STYLE Ai プレミアムクラブ会員規約 第 1 条 ( 目的 ) THE NIKKEI MAGAZINE STYLE Aiプレミアムクラブ ( 以下 本組織 といいます ) は 株式会社講談社 ( 以下 講談社 といいます ) と株式会社日本経済新聞社 (

ください 5 画像の保存 取扱い防犯カメラの画像が外部に漏れることのないよう 一定のルールに基づき慎重な管理を行ってください (1) 取扱担当者の指定防犯カメラの設置者は 必要と認める場合は 防犯カメラ モニター 録画装置等の操作を行う取扱担当者を指定してください この場合 管理責任者及び取扱担当者

特定個人情報の取扱いの対応について

宇佐美まゆみ監修(2011)『BTSJ入力支援・自動集計システム』、及び

Microsoft PowerPoint - 03 【別紙1】実施計画案概要v5 - コピー.pptx

B リーグは この方針を実行し個人情報を適切に取り扱うため 個人情報保護規程その 他の規程を策定 改訂し それらの規程に基づいて個人情報を取り扱います 公表事項 1. 取得する個人情報の利用目的 ( 法 18 条第 1 項 ) B リーグの活動範囲内において保存 活用 分析を行うためお客様から請求さ

第 1 はじめに 1 ガイドライン策定の目的安全で安心なまちづくりを進める上で 近年 防犯カメラの設置は広く有用であると認められており 市内においても防犯カメラの設置が進んでいます しかし その一方で 知らないうちに自分の姿が撮影され 目的外に利用されること等に不安を感じる市民の方もいます そこで

個人情報分析表 類型 K1: 履歴書 職務経歴書 社員基礎情報 各種申請書 誓約書 同意書 入退室記録 教育受講者名簿 理解度確認テスト 本人から直接取得 社員管理に利用する 保管庫に保管する 廃棄する 残存 1. 同意を得ないで取得する 1. 目的外利用する 1. 紛失する 1. 廃棄物から情報漏

Microsoft Word - (情報システム係修正)情報システムの導入と廃棄の作業マニュアル

JPCERTコーディネーションセンター製品開発者リスト登録規約

近年のセキュリティインシデント インターネットにおける事件が多様化 ウェブサイトにおけるセキュリティ事件も多発 時期 報道内容 2013/3 環境省の二酸化炭素排出計算サイト改ざん情報流出恐れ ( 朝日新聞 ) 2013/4 ドコモ 米の顧客情報流出か在米邦人ら対象のサービス ( 朝日新聞 ) 20

Transcription:

外部委託情報安全対策遵守事項 仕様書別紙 6 受託者は 本遵守事項及び別途 中野区から指示された情報セキュリティ対策を遵守しなければなら ない (1) 情報セキュリティを確保するための体制の整備ア受託者は 情報セキュリティ基本方針を中野区に明示する イ受託者は 中野区に対して本契約の履行に関しての責任者 監督者及び作業従事者の名簿を届け出る また中野区は 作業従事者に身分証明書の提示を求めることができる ウ受託者は 情報セキュリティインシデント発生時の体制 対応について明示する エ受託者は 作業従事者に対し 情報セキュリティ対策及び個人情報の保護の徹底について教育する また受託者は中野区の求めに応じて教育カリキュラム 教育実施状況等を提出すること オ受託者は 第三者が提供するサービスを利用している場合 サービスレベルの達成状況及びセキュリティ上の要求事項が適切に実行されていることを監査などで確認し 中野区に報告する カ中野区は 受託者にて本契約内容における情報セキュリティ対策が遵守されていることを確認するため 必要に応じて情報システム監査又は検査を行う この場合 受託者は 中野区の情報システム監査又は検査が円滑に遂行できるよう協力する (2) 取り扱う情報の守秘義務等受託者は 本契約に基づき業務上知り得た情報について 第三者に開示 提供 漏えいしてはならない なお 本契約終了後も同様とする (3) 情報資産の管理方法受託者は 情報資産の管理方法を明確にし 中野区から提供された情報資産の管理方法について中野区の了承を得る (4) 情報漏えい等防止対策受託者は 個人情報等の機密性の高い情報資産の漏えい 紛失 改ざん 破損 不正利用及び不正コピー等の防止対策を実施する (5) 情報資産の持出受託者は 中野区から提供された個人情報等の機密性の高い情報資産の搬出入が必要な時には 事前に中野区の承認を得る また 情報資産の暗号化等の技術を活用し 盗難 不正コピー等の防止を厳重に実施する (6) 情報資産の修理 廃棄受託者は 中野区から提供された情報資産が含まれる記録媒体を有する機器を修理 廃棄する必要が生じた場合は 事前に内容を消去できる場合を除き修理又は廃棄事業者と機密保持義務を設けるとともに 廃棄時はデータの磁気破壊装置による消去または消去専用ソフトによる消去を行う (7) 作業者ごとの取り決め受託者は 中野区と協議の上 作業従事者ごとの作業場所 業務 アクセス制限を定める (8)ID パスワード等中野区は 中野区が管理する情報システムを受託者が使用する場合は 利用者 ID パスワードを原則管理する また 中野区は 開発 保守を行った者の利用者 ID パスワード等は 業務完了後 1

に不要となった時点で速やかに抹消する (9) 提供した情報資産の返還 廃棄受託者は 中野区から提供された情報資産について本契約終了後 速やかに中野区に返却するか 消去又は廃棄してその旨を書面で報告する また 提供データの内容及び交換履歴に関して記録しておく (10) 記録媒体の制限受託者は 中野区から提供された情報資産の不正な持ち出しや不適切な情報の混入を防止するため 使用する記録媒体を制限する (11) 入退域管理受託者は 運用 機器の搬出入でサーバ室等の管理区域へ入退域する場合は 入退域管理簿の記入等 中野区の定めた手続に従う 定期的に入退域しなければならない受託者は作業従事者ごとに担当する作業内容を明記した名簿を提出する (12) カメラ監視等個人情報等の機密性の高い情報資産を保管する区域は カメラ監視装置等による不審者の監視が可能であることとする (13) 第三者が提供するサービスの管理受託者は 第三者が提供するサービスを利用する場合は サービスの提供者や内容等を開示する (14) 不正プログラム対策ア受託者は 不正プログラム対策ソフトウェアの最新バージョン及び定義ファイルを維持管理し 不正プログラムを検出する 不正プログラムが検知された場合は中野区に報告するとともに 検知された不正プログラムは自動的に隔離し駆除する またネットワークから遮断し 改ざんが確認された場合は 中野区と相談の上 正しい内容に復元する イインターネットに接続している情報システムでは 不正な攻撃を防止するための検知機能を有することとする (15) 脆弱性対策ア受託者は 本契約の履行に際し 開発 運用 保守の際の情報セキュリティ上問題となりうるソフトウェアを使用してはならない イ受託者は 情報システムの脆弱性を突いて行われる攻撃等のリスクについて情報収集を行い 業務の重要度に応じた対応する情報セキュリティ対策を提示し 実施する ウ受託者は システム障害を未然に防止するための措置 障害発生を早期発見するための措置及び障害発生時の拡大防止や迅速復旧のための措置について 業務の重要度に応じた対策を明示する エウェブアプリケーションではセキュリティを考慮した実装を行い 特にインターネットに接続する情報システムでは ( 別添 ) 脆弱性一覧に示す脆弱性に対応する オ業務で利用するソフトウェアは パッチやバージョンアップなどの開発元のサポートが終了したソフトウェアを利用しないこと (16) ネットワークセキュリテイア個人情報等の機密性の高い情報資産をインターネットに接続しているサーバ等の公開領域に保管してはならない また データベースサーバ等は ファイルウォール等でインターネットと分離されたセグメントに設置する イ受託者は 情報システムの利用中に一定の使用中断時間が経過したときには そのセッションを 2

遮断する機能を提供する ウ受託者は 情報システムの認証方法 (ID パスワード ICカード 認証鍵等 ) を中野区に提供する エ受託者は 特定の場所又は装置からの接続を認証する手段として 自動の識別装置を必要に応じて導入する オインターネットを利用する情報システムでは 業務の重要度に応じて https VPN 等により暗号化を行い 通信路での盗聴及び改ざんから保護する また不要な通信はファイヤウォール等により遮断する (17) 監視アログオンやログアウトなどの利用者の活動状況や外部からの非定常的なアクセス等のセキュリティ事象を記録し 中野区の求めに応じて提供する イ全ての情報システム内の時刻は 正確な時刻源と同期させる (18) 報告受託者は 情報セキュリティ基本方針に則ったセキュリティ実施状況の定期的報告を行う (19) 情報システム停止等情報システムを停止する場合や運用制限がある場合は 中野区の了承を得ること (20) 操作手順書操作手順書は文書化し 最新の状態を維持する また その手順書は 必要とする全ての利用者に対して利用可能とする (21) 変更管理受託者が調達 管理する情報処理設備及び情報システムの変更において 中野区に影響を及ぼすものは 事前に中野区と協議を行う また 情報システムの変更が行われた際には変更履歴を中野区に明示する なお 約款による利用については この限りでない (22) データベース管理委託先が調達 管理する情報システムにおいては 中野区に割り当てられる容量 能力の限界値を開示すること また 区から要請があった場合は 資源の利用率などを明示すること なお 約款による利用については この限りでない (23) バックアップ業務継続に支障が発生する恐れのあるデータは 定期的にバックアップをとる その際に個人情報等の機密性の高い情報資産の保護を行う また 中野区がバックアップ手順を策定する場合は情報を提供する (24) アクセス制御受託者は 情報システムのアクセス制御を適切に行う また 中野区がアクセス制御等の状況を確認できることとする (25) 開発及び運用ア開発及び運用において 運用環境とテスト環境を分離する 運用内容を変更する際には テスト実施及び検証結果を事前に中野区へ報告し 確認を得る なお 外部でテストをする際は 実施及び検証のテストデータに 個人情報及び一般に公表することを前提としていない情報資産の実在データが含まれていないこととする 個人情報及び一般に公表することを前提としていない情報資産の実在データが含まれている場合は 中野区役所内にテスト環境をつくる 3

イ受託者は 情報システムの変更を行う際には 変更履歴を中野区に明示する ウ受託者は 情報システムの利用環境に変更が生じる場合は あらかじめ中野区に通知し 了承を得る (26) 情報機器の持ち込み受託者は 業務履行のための開発 保守 運用に関して業務用パソコンを持ち込む必要がある場合は 文書をもって中野区の承認を受けなければならない また 持ち込み機器を中野区の機器もしくはネットワークと接続する必要がある場合については 中野区の情報安全対策に準じた対策を図り その対策内容を提出して承認を得なければならない (27) 情報セキュリティインシデントが発生した際の対処受託者は 個人情報の漏えい 紛失 盗難 誤送信等の事故が発生し 又はそれらの疑いがあるときは 適切な措置をとるとともに 至急 中野区に報告する (28) 契約解除受託者が本契約に定める義務を履行しない場合は 本契約に関連する委託業務の全部又は一部を解除することができる この場合 委託先は契約の解除による損害を受けた場合においても 区に対して その損害の賠償を請求することはできないものとする (29) 損害賠償受託者が この本遵守事項及び別途 中野区から指示された情報セキュリティ対策に違反して中野区及び第三者に損害を与えた場合 受託者は中野区に対してその損害を賠償しなければならない なお 本契約終了後に損害が発生した場合も同様とする 4

脆弱性一覧 ( 別添 ) 本システムに混入しないよう対処を求める脆弱性は次のとおり なお 各脆弱性の定義は 脆弱性名 称の定義に関する参照先 にて確認すること 脆弱性名称の定義に関する参照先 (1)IPA 安全なウェブサイトの作り方 2015 年 3 月改訂 (2)CWE - Common Weakness Enumeration (3)IPA ウェブ健康診断仕様 No 脆弱性名称 1 SQL インジェクション 2 OS コマンド インジェクション 3 ディレクトリ トラバーサル脆弱性 4 ログイン機能 の不備 推測可能なセッション ID URL 埋め込みのセッション ID の外部への漏えいクッキーのセキュア属性不備セッション ID の固定化 5 クロスサイト スクリプティング (XSS) 6 利用者の意図に反した実クロスサイト リクエスト フォージェリ (CSRF) 行の防止機能の不備クリックジャッキング 7 メールヘッダ インジェクション脆弱性 8 アクセス制御 と 認アクセス制御可処理 の不備認可処理 9 HTTP ヘッダ インジェクション 10 eval インジェクション 11 競合状態の脆弱性 12 意図しないファイル公開 13 アップロードファイルによるサーバ側スクリプト実行 14 秘密情報表示時のキャッシュ不停止 15 オープンリダイレクタ脆弱性 ( 意図しないリダイレクト ) 16 クローラへの耐性 5

2024 © docsplayer.net プライバシー | 利用規約 | フィードバック