Kabanata 24 - Mga Kahilingan para sa mga Proposal at mga Kompetisyong Negosasyon

24.5.3 Mga kinakailangan sa seguridad at cloud ng Commonwealth para sa mga pangangalap ng IT at mga kontrata

Ang Seksyon 2.2-2009 ng Code of Virginia ay nag-uutos na ang Chief Information Officer (CIO) ay may pananagutan para sa pagbuo ng mga patakaran, pamantayan, at mga alituntunin para sa pagtatasa ng mga panganib sa seguridad, pagtukoy ng naaangkop na mga hakbang sa seguridad at pagsasagawa ng mga pag-audit ng seguridad ng elektronikong impormasyon ng pamahalaan. Ang nasabing mga patakaran, pamantayan, at mga alituntunin ay dapat ilapat sa mga sangay na ehekutibo, lehislatibo, at hudisyal ng Commonwealth at mga independiyenteng ahensya. 

Ang mga solicitation para sa mga serbisyo ng Cloud ay dapat maglaman ng karagdagang wika ng RFP para sa mga serbisyo ng Cloud, na makikita sa Checklist ng Pamamaraan ng ECOS sa aming webpage: https://www.vita.virginia.gov/procurement/policies--procedures/procurement-tools/.    

Dagdag pa, kailangan ng § 2.2-2009 na ang anumang kontrata para sa teknolohiya ng impormasyon na pinasok ng mga sangay ng ehekutibo, lehislatibo, at hudisyal ng Commonwealth at mga independiyenteng ahensya ay nangangailangan ng pagsunod sa mga naaangkop na pederal na batas at regulasyon na nauukol sa seguridad at privacy ng impormasyon. Bagama't kinakailangan ng mga ahensya na sumunod sa lahat ng patakaran sa seguridad, pamantayan at alituntunin (PSG), ang Security Standard SEC530 ay nagbibigay ng mga kinakailangan sa pagsunod ng ahensya para sa mga solusyon sa cloud na hindi naka-host sa CESC. Ang mga PSG na ito ay matatagpuan sa URL na ito: https://www.vita.virginia.gov/it-governance/itrm-policies-standards/.  

Bilang karagdagan sa Security Standard SEC530, para sa anumang mga pagbili para sa mga third-party (na-host ng supplier) na mga serbisyo sa cloud (ibig sabihin, Software bilang isang Serbisyo), dahil ang mga ahensya ay may $0 na itinalagang awtoridad na kumuha ng mga ganitong uri ng mga solusyon, mayroong isang natatanging proseso para sa pagkuha ng pag-apruba ng VITA sa pagkuha. Sumangguni sa "Patakaran sa Paggamit ng Third Party" sa link sa itaas. Matutulungan ka ng Information Security Officer o AITR ng iyong ahensya sa pag-unawa sa prosesong ito at sa pagkuha ng kinakailangang dokumentasyon na isasama sa iyong solicitation o kontrata. Mayroong espesyal na kinakailangang mga tuntunin at kundisyon ng Cloud Services na dapat isama sa iyong solicitation at kontrata, at isang ECOS Assessment questionnaire na dapat isama sa solicitation para makumpleto at isumite ng mga nag-aalok kasama ng kanilang mga panukala. Bilang karagdagan, kung ang isang pagbili ay isang cloud-based na pagkuha (ibig sabihin, off-premise hosting), kasunod ng pagpili ng VITA sa pinakamahusay na (mga) panukala na kumakatawan sa pinakamahusay na halaga sa commonwealth, ang pagkabigo ng Supplier na matagumpay na sumagot, makipag-ayos at/o sumunod sa anumang mga kinakailangan sa kontrata na maaaring lumitaw upang maaprubahan ang cloud application ng Supplier, ay maaaring magresulta sa karagdagang pagsasaalang-alang sa pag-alis. Sumangguni sa Kabanata 28 para sa higit pang impormasyon. Maaari mo ring kontakin ang: enterpriseservices@vita.virginia.gov.