Patakaran sa Paggamit ng Ikatlong Partido ng Cloud

MGA PAHAYAG:

PAHAYAG NG PATAKARAN

Ang mga cloud-based na solusyon ay itinuturing na mga IT system at napapailalim sa parehong panloob na pag-audit at mga pamantayan ng seguridad gaya ng mga system at application na naka-host sa premise.

PAHAYAG NG MGA PAMAMARAAN

Mga Kinakailangan sa Ahensya:

• Paunang nakasulat na pag-apruba – Ang mga Ahensya ng Executive Branch ay dapat makatanggap ng nakasulat na pag-apruba sa pamamagitan ng VITA enterprise cloud oversight service, bago kumuha, pumirma o kung hindi man ay makipagkontrata sa isang third-party na naka-host (cloud) na serbisyo.
• Pre-authorization ng VITA - Dapat matukoy ang supplier at (mga) hiniling na serbisyo sa VITA enterprise cloud hosting form upang matiyak na ang pagkuha ng mga cloud-based na serbisyo, pisikal o virtual na application, network ng imprastraktura, mga bahagi ng system, at anumang pasilidad ng data center ay na-pre-authorize ng VITA.
• Cmalakas na serbisyo sa pag-compute - Ang bawat kahilingan para sa paggamit ng mga serbisyong IT na hindi pa ibinigay ng VITA ay susuriin para sa pagsunod sa mga kinakailangan ng komonwelt, sapat na operasyon ng mga hiniling na serbisyo, at naaangkop na mga tuntunin at kundisyon sa pagkuha ng serbisyo sa cloud.
• Lupon ng pangangasiwa at pamamahala – Ang lahat ng paggamit ng mga serbisyo ng third-party na pagho-host (cloud computing) ay dapat may isang pangangasiwa at katawan ng pamamahala. Ang katawan ng pamamahala na ito ay magpapatunay na ang seguridad, privacy at iba pang mga kinakailangan sa pamamahala ng IT ay sapat na natugunan bago aprubahan ang paggamit ng mga panlabas na serbisyo ng cloud computing.
• Panahon ng pag-apruba - Ang lahat ng mga kahilingan sa pagho-host ng third-party (cloud computing) ay may bisa sa loob ng isang taon maliban kung tinukoy.
• Serbisyo sa pangangasiwa sa cloud ng enterprise – Ang mga kahilingan sa serbisyo ng cloud ng third-party na naunang naaprubahan sa pamamagitan ng nakaraang proseso ng pagbubukod ng VITA ay sasailalim sa serbisyo ng pangangasiwa sa cloud ng enterprise sa pag-expire ng naaprubahang kahilingan sa pagbubukod maliban kung tinukoy ng VITA.
• Pana-panahong pagsusuri ng patakaran at mga pamamaraan – Ang dokumentong ito ng patakaran at mga pamamaraan ay susuriin taun-taon o kasunod ng anumang makabuluhang isyu na magmumula na hindi pa napag-isipan.

Mga Kinakailangan ng Supplier:

Ang mga supplier ay napapailalim sa mga paulit-ulit na pagtatasa ng panganib nang hindi bababa sa taun-taon at kaagad na sumusunod sa anumang mahahalagang isyu.

• Pagsunod sa seguridad – Dapat sumunod ang Supplier sa lahat ng naaangkop na patakaran at pamantayan ng VITA gaya ng nakabalangkas sa Mga Patakaran, Pamantayan at Alituntunin ng ITRM upang isama ang naaangkop na mga regulasyon, patakaran, pamantayan at alituntunin ng estado at pederal (hal., SEC 501, SEC 525, IRS Publication 1075, NIST Risk Management Framework at proteksyon ng data ng commonweth.) Ang (mga) supplier ay dapat na ganap na sumunod sa lahat ng tinukoy na pamantayan ng seguridad alinsunod sa mga klasipikasyon ng seguridad ng data. Ang pagsunod sa may-katuturan o ipinag-uutos na mga pamantayan ng third-party gaya ng Health Insurance Portability and Accountability Act (HIPAA), Federal Tax Information (FTI) at Payment Card Industry Data Security Standard (PCI DSS) ay dapat idetalye sa loob ng tugon sa pagtatasa ng supplier.  Kabilang dito ang pagtiyak na ang lahat ng bahagi at serbisyo ng system ng impormasyon ay mananatili sa loob ng kontinental ng Estados Unidos. Ito ay nilalayon upang paganahin ang epektibong pamamahala, pamamahala sa peligro, katiyakan, at legal, ayon sa batas at mga obligasyon sa pagsunod sa regulasyon ng lahat ng naapektuhang relasyon sa negosyo.
• Kinakailangan sa pag-audit - Ang supplier ay dapat magbigay ng kamakailang nakumpletong pag-audit, mas mabuti ang Uri ng Kontrol ng Organisasyon ng Serbisyo 2 (SOC2). Ang ahensya o organisasyon ng pag-audit ng third-party ay may pananagutan sa pagsasagawa ng pag-audit ng seguridad sa loob ng 90 araw upang matukoy ang mga agwat sa kontrol sa pagitan ng ibinigay na audit at ng Hosted Environment Information Security Standard (SEC525). Kung walang ibinigay na pag-audit, isang kumpletong pag-audit ng mga kontrol sa seguridad na gumagamit ng SEC525 ay dapat isagawa. Ang pagkabigong gawin ito ay maaaring magresulta sa pagpapataw ng mga remedyo ayon sa nakabalangkas sa mga tuntunin at kundisyon ng kontrata. Dapat obligado ang supplier na agad na ipaalam sa ahensya at VITA ang anumang paglabag sa seguridad sa pamamagitan ng mga pamamaraang napagkasunduan ayon sa kontrata. Dapat ipagbawal ng supplier ang hindi awtorisadong pag-access at paggamit o pagbabago ng data na nakaimbak. Ang pamamaraan at pamamaraan para dito ay dapat na nakabalangkas sa mga tuntuning kontraktwal.
• Modelo ng chargeback - Ang modelo ng chargeback ng serbisyo ng supplier ay dapat na malinaw na nakadokumento. Tinitiyak nito na nauunawaan ang lahat ng naaangkop na bayarin at istraktura ng bayad na nauugnay sa serbisyo.
• Kontrol ng data – Ang supplier ay dapat sa lahat ng oras na panatilihin ang kontrol ng data at sa kaganapan ng isang ipinatupad na default ay dapat magbigay sa contracting agency ng data nito sa isang napagkasunduang format at timeframe gaya ng tinukoy sa statement of work (SOW). Ang supplier ay dapat magbigay at magpanatili ng hindi pagmamay-ari na interoperability at portability na mga pamantayan na tinukoy para sa pagpapalitan at paggamit ng impormasyon. Ang kinakailangang ito ay nilayon upang suportahan ang mga interoperable na bahagi at mapadali ang paglilipat ng mga application papunta at/o mula sa cloud supplier.

Mga Pagkuha:

Ang patakarang ito ay nangangailangan na ang VITA supply chain management ay makisali at makilahok sa anumang pagkuha ng mga cloud based na serbisyo ng mga Executive Branch Agencies.

• Pag-apruba sa wika ng kontrata – Ang lahat ng wika ng kontrata ay dapat aprubahan ng VITA supply chain management.
• Pagsunod – Ang anumang mga kontrata para sa mga serbisyo ng cloud computing ay dapat magsama ng wikang nagsasaad na ang supplier ay susunod sa lahat ng batas ng commonwealth, mga kinakailangan sa seguridad, at anumang naaangkop na pederal o mga pamantayan at regulasyon ng industriya. Dapat isama ang naaangkop na wika sa sasakyan ng kontrata na tumutukoy sa mga responsibilidad ng cloud service provider at responsibilidad ng commonwealth sa pagpapanatili ng lahat ng naaangkop na pamantayan at regulasyon.
• Mga tuntunin at kundisyon – Ang pamamahala ng supply chain ng VITA ay may mga tuntunin at kundisyon ng serbisyo sa cloud para sa paggamit ng ahensya sa dokumentasyon ng pagkuha (mga solicitation at kontrata).
• Termino ng mga kasunduan sa serbisyo – Ang mga tuntunin ng mga kasunduan sa serbisyo ay tinukoy bilang wika ng kontrata at dahil dito ang anumang termino ng mga kasunduan sa serbisyo ay dapat na aprubahan ng VITA supply chain management bago ang anumang mga kasunduan na nilagdaan. Ang mga digital na lagda tulad ng pag-click sa "OK" ay itinuturing na pagpirma ng isang kontrata at hindi dapat mangyari bago ang pagsusuri ng kontrata.

Pagpaplano ng Pagpapatuloy:

• Mga diskarte sa paglabas – Dapat tukuyin ng mga ahensya ang mga tahasang plano sa paglabas para sa bawat aplikasyon na gumagamit ng isang supplier na hindi nakabatay sa nasasakupan. Ang anumang ahensya ng Executive Branch na kumukontrata ng cloud-based na serbisyo ay dapat makipag-ugnayan at makipag-ugnayan sa VITA upang matiyak na ang mga diskarte sa paglabas ay dokumentado para sa bawat aplikasyon o serbisyong ginagamit. Ang unang exit plan (kinakailangan) ay dapat na partikular sa aplikasyon at supplier at ipapatawag sa kaganapan ng isang sakuna na pagkabigo gaya ng, ngunit hindi limitado sa:
  • Makabuluhang paglabag sa seguridad
  • Pagkalugi ng supplier
  • Pagkabigong sumunod sa mga naaangkop na batas at regulasyon
• Karagdagang pamantayan sa paglabas - Ang pangalawang exit plan ay maaaring isang solong generic na plano na hinihingi para sa anumang aplikasyon o serbisyo na nabigong gumanap nang sapat at napapailalim sa maagang pagwawakas ng kontrata. Gayundin, dapat ipahiwatig ng lahat ng exit plan na ang data na na-upload sa isang cloud service ng isang ahensya, mga user nito, mga mamamayan ng commonwealth o mga kasosyo ay dapat manatiling pag-aari ng contracting agency at hindi maaaring gamitin nang walang nakasulat na pahintulot. Dapat ding ipahiwatig nito na sa nakasulat na kahilingan ng ahensya, sisirain ng supplier ang naturang kumpidensyal na impormasyon at bibigyan ang nagsisiwalat na ahensya ng nakasulat na sertipikasyon ng naturang pagkasira at itigil ang lahat ng karagdagang paggamit ng kumpidensyal na impormasyon ng awtorisadong gumagamit, maging sa nasasalat o hindi nasasalat na anyo.