第 24 章 - 提案徵求與競爭性協商

24 .5.3 IT 招募和合同的聯邦安全性和雲端要求

《維吉尼亞州法典》 2 .2- 2009條規定，資訊長 (CIO) 負責制定評估安全風險、確定適當的安全措施以及對政府電子資訊進行安全審計的政策、標準和指南。這些政策、標準和指引應適用於聯邦的行政、立法和司法部門以及獨立機構。 

雲端服務的招標必須包含雲端服務的附加 RFP 語言，可在我們網頁上的 ECOS 程式清單中找到： https://www.vita.virginia.gov/procurement/policies--procedures/procurement-tools/。    

此外，§ 2 .2-2009 規定，聯邦行政、立法、司法機構和獨立機構簽訂的任何信息技術合約都必須遵守與資訊安全和隱私相關的適用聯邦法律和法規。雖然機構必須遵守所有安全政策、標準和指引 (PSG)，但安全標準 SEC530 為非 CESC 託管雲解決方案提供機構合規要求。這些 PSG 位於此網址：https://www.vita.virginia.gov/it-governance/itrm-policies-standards/。  

除了安全標準 SEC530 之外，對於任何第三方（供應商託管）雲端服務（即軟體即服務）的採購，由於機構擁有 $ 0的授權來採購這些類型的解決方案，因此有一個獨特的流程來獲得 VITA 批准進行採購。請參閱上方連結中的「第三方使用政策」。您的機構的信息安全主任或 AITR 可以幫助您了解此過程，並獲得所需文件以包含在您的徵求或合同中。您的招標書和合約中必須包含特別要求的雲端服務條款和條件，並且招標書中必須包含一份 ECOS 評估問卷，以便投標者填寫並提交其提案。此外，如果採購是基於雲端的採購（即異地託管），在 VITA 選擇對聯邦最有價值的最佳提案後，如果供應商未能成功回答、協商和/或遵守為批准供應商的雲端應用程式而可能出現的任何合約要求，可能會導致其不再被考慮。如需詳細資訊，請參閱第 28 章。您也可以聯絡： enterpriseservices@vita.virginia.gov。