Kabanata 10 - Pangkalahatang Patakaran sa Pagkuha ng IT

10.5.0 Mga kinakailangan sa seguridad ng Commonwealth para sa mga pangangalap ng IT at mga kontrata

Seksyon 2.2-2009 ng Code ng Virginia nag-uutos na ang Chief Information Officer (CIO) ay may pananagutan para sa pagbuo ng mga patakaran, pamantayan, at mga alituntunin para sa pagtatasa ng mga panganib sa seguridad, pagtukoy ng naaangkop na mga hakbang sa seguridad at pagsasagawa ng mga pag-audit ng seguridad ng elektronikong impormasyon ng pamahalaan. Ang nasabing mga patakaran, pamantayan, at mga alituntunin ay dapat ilapat sa mga sangay na ehekutibo, lehislatibo, at hudisyal ng Commonwealth at mga independiyenteng ahensya. Dagdag pa, kinakailangan nito na ang anumang kontrata para sa teknolohiya ng impormasyon na pinasok ng mga sangay ng ehekutibo, lehislatibo, at hudisyal ng Commonwealth at mga independiyenteng ahensya ay nangangailangan ng pagsunod sa mga naaangkop na pederal na batas at regulasyon na nauukol sa seguridad at privacy ng impormasyon. Bagama't kinakailangan ng mga ahensya na sumunod sa lahat ng patakaran sa seguridad, pamantayan at alituntunin (PSG), ang Security Standard SEC530 ay nagbibigay ng mga kinakailangan sa pagsunod ng ahensya para sa mga solusyon sa cloud na hindi naka-host sa CESC. Ang mga PSG na ito ay matatagpuan sa URL na ito: https://www.vita.virginia.gov/policy--governance/itrm-policies-standards/ 

Higit pa rito, § 2.2-2009 nag-aatas sa CIO na (i) magsagawa ng taunang komprehensibong pagsusuri ng mga patakaran sa cybersecurity ng bawat ahensya ng ehekutibong sangay, na may partikular na pagtuon sa mga paglabag sa teknolohiya ng impormasyon na naganap sa taon na maaaring suriin at anumang hakbang na ginawa ng mga ahensya upang palakasin ang mga hakbang sa cybersecurity, at (ii) mag-isyu ng ulat ng kanyang mga natuklasan sa mga Tagapangulo ng House Committee on Appropriations at sa Senate Committee on Finance. 

Bilang karagdagan sa Security Standard SEC530, para sa anumang mga pagbili para sa mga third-party (na-host ng supplier) na mga serbisyo sa cloud (ibig sabihin, Software bilang isang Serbisyo), dahil ang mga ahensya ay may $0 na itinalagang awtoridad na kumuha ng mga ganitong uri ng mga solusyon, mayroong isang natatanging proseso para sa pagkuha ng pag-apruba ng VITA sa pagkuha. Sa link sa itaas, sumangguni sa Patakaran sa Paggamit ng Third-Party. Matutulungan ka ng Information Security Officer o AITR ng iyong ahensya sa pag-unawa sa prosesong ito at sa pagkuha ng kinakailangang dokumentasyon na isasama sa iyong solicitation o kontrata. Mayroong espesyal na kinakailangang mga tuntunin at kundisyon ng Cloud Services na dapat isama sa iyong solicitation at kontrata, at isang questionnaire na dapat isama sa solicitation para makumpleto at isumite ng mga bidder kasama ang kanilang mga panukala. Maaari mo ring kontakin ang: enterpriseservices@vita.virginia.gov.