Mga Alituntunin ng VITA | Ahensiya ng IT ng Virginia

Nalalapat ang Mga Panuntunan ng VITA sa pagganap o paghahatid ng mga supplier ng lahat ng produkto o serbisyo ng information technology.

Ang Mga Panuntunang ito ng VITA ay binuo ng VITA at iba pang mga pampublikong katawan, institusyon, komisyon at iba pang mga subdibisyon ng Commonwealth na tumatanggap ng mga serbisyo sa ilalim ng kontrata ng VITA ("mga customer").

Dapat ihatid ng mga supplier ang kanilang mga produkto at isagawa ang kanilang mga serbisyo sa lahat ng oras sa paraang nagbibigay-daan at sumusuporta sa pagsunod ng (mga) pampublikong katawan na tumatanggap, gumagamit, o gumagamit ng mga produkto at serbisyo.

Bilang karagdagan sa, at nang hindi nililimitahan ang alinman sa, mga partikular na pamantayan at patakarang nakalista sa ibaba, ang lahat ng hardware, system at serbisyong ibinibigay sa commonwealth, o na maaaring gamitin sa pag-access, pagproseso, o pag-imbak ng data ng Commonwealth, ay dapat sumunod sa lahat ng naaangkop na Commonwealth at federal na mga batas, regulasyon, patakaran, alituntunin, at pamantayan na may bisa sa oras ng paghahatid ng mga produkto at serbisyo.

Ang Commonwealth Information Security, Enterprise Architecture, Project Management, at Program Management na mga patakaran at pamantayan para sa Commonwealth ITRM na makikita sa sumusunod na pahina:
- Mga Patakaran, mga Pamantayan, at mga Alituntunin ng ITRM

Ang Commonwealth Technology Roadmaps ay nagbibigay ng mga aprubadong teknolohiya na gagamitin sa pagbuo, pagho-host, at pagsuporta sa mga solusyon at aplikasyon ng COV IT. Tinutukoy din nila ang lifecycle ng suporta para sa mga teknolohiyang iyon.
- Mga Roadmap ng Teknolohiya ng COV

Mga Pederal na Batas, Regulasyon, Patakaran at Pamantayan

Nang hindi nililimitahan ang anumang kontraktwal na obligasyon na maaaring kailanganin ng isang supplier na sumunod sa mga naaangkop na pederal na batas, regulasyon, pamantayan at patakaran, ang sumusunod ay isang listahan ng mga pederal na batas, regulasyon, patakaran at pamantayan na isinasama ng VITA bilang bahagi ng Mga Panuntunan ng VITA:

Health Insurance Portability and Accountability Act (HIPAA-HITECH)
- Mga proteksyon sa pagkapribado ng pederal para sa indibidwal na makikilalang impormasyon sa kalusugan
- Pamantayan para sa pag-iingat ng elektronikong protektadong impormasyon sa kalusugan
  - http://www.hhs.gov/hipaa/for-professionals/security
Regulasyon sa Proteksyon ng Data ng Social Security Administration (SSA)
- Mga kinakailangan sa proteksyon ng data na namamahala sa isa o dalawang-daan na electronic na pagbabahagi ng indibidwal o pinagsama-samang Personally Identifiable Information sa isang gobyerno o pribadong entity
  - https://www.ssa.gov/dataexchange/index.html
Family Educational Rights and Privacy Act (FERPA)
- Pederal na batas sa privacy na nagbibigay sa mga magulang ng ilang partikular na proteksyon patungkol sa mga rekord ng edukasyon, impormasyon sa pakikipag-ugnayan, at impormasyon ng pamilya ng kanilang mga anak
  - http://www2.ed.gov/policy/gen/guid/fpco/ferpa/index.html?src=ft
Seksyon 508 Mga Pamantayan ng Batas sa Rehabilitasyon ng 1973, bilang susugan (29 USC § 794 (d))
- Gabay upang gawing accessible ang electronic at information technology (EIT) ng mga taong may kapansanan
  - https://www.section508.gov/manage/laws-and-policies/
Criminal Justice Information Services (CJIS)
- Data ng Pagpapatupad ng Batas na pinamamahalaan ng Federal Bureau of Investigation
  - https://www.fbi.gov/services/cjis/cjis-security-policy-resource-center
Federal Information Security Management Act (FISMA)
- Nagbibigay ng komprehensibong balangkas para matiyak ang pagiging epektibo ng mga kontrol sa seguridad ng impormasyon sa mga mapagkukunan ng impormasyon na sumusuporta sa mga operasyon at asset ng Pederal
  - https://www.dhs.gov/fisma
Pamantayan sa Pag-publish ng Pederal na Pagproseso ng Impormasyon 140-2 (FIPS 140-2)
- Computer Security Standard na ginagamit para i-accredit ang mga cryptographic na module
  - http://csrc.nist.gov/groups/STM/cmvp/standards.html
IRS Publication 1075
- Mandatory IRS Pub 1075 para sa data ng FTI

Mga Batas at Regulasyon ng Estado

Virginia Freedom of Information Act (VFOIA)
- Lumilikha ang VFOIA ng pagpapalagay na ang lahat ng pampublikong rekord ay magagamit kapag hiniling, maliban kung hindi isiniwalat ng VFOIA o iba pang batas, at ang mga pagbubukod ng VFOIA ay ipinapakahulugan nang makitid.
- Ang pagkakakilanlan at layunin ng humihiling ay hindi mahalaga.
- Nangangahulugan ito na ang mga pampublikong katawan sa pangkalahatan ay dapat magbunyag ng mga dokumentong nauugnay sa mga supplier, kabilang ang mga presentasyon, email at iba pang mga komunikasyon, at mga talaan ng pagkuha. Mayroong ilang mga pagbubukod para sa mga lihim ng kalakalan at mga katulad na impormasyon sa pagmamay-ari, ngunit may mga limitasyon -- ang mga pagbubukod na iyon ay hindi sumasangga sa pagpepresyo o buong panukala, halimbawa -- at ang isang tagapagtustos ay dapat gumamit ng mga partikular na legal na eksepsiyon sa pagsulat, tukuyin ang mga partikular na data o materyales na protektahan, at sabihin ang mga dahilan kung bakit kinakailangan ang proteksyon.
  - Virginia Freedom of Information Act (VFOIA, Va. Code § 2.2-3700 et seq.)

Mga Regulasyon, Panuntunan, Patakaran at Pamamaraan na partikular sa ahensya

Virginia Employment Commission (VEC)
- Ang mga sumusunod na kinakailangan sa pagiging kumpidensyal ay nalalapat sa lahat ng mga supplier na may access sa data ng VEC at nagdaragdag ng anumang mga probisyon ng pagiging kumpidensyal na kasama sa isang naaangkop na kontrata ng VITA.
  - http://www.vec.virginia.gov/requirements-for-contractors-vendors

Mga Pamantayan na partikular sa industriya

Industriya ng Payment Card – Data Security Standard (PCI-DSS)
- Ang PCI Security Standards Council ay isang pandaigdigang bukas na katawan na nabuo upang bumuo, magpahusay, magpalaganap at tumulong sa pag-unawa sa mga pamantayan ng seguridad para sa seguridad ng account sa pagbabayad.
  - https://www.pcisecuritystandards.org/pci_security/

Mga Manwal sa Pamamahala ng Serbisyo (Mga SMM)

Ang lahat ng mga serbisyo ay dapat isagawa bilang pagsunod sa mga SMM.