28 .1 VITA 所有 IT 招標和合約中均需包含資訊安全政策、標準和指南(安全 PSG)
28 .1.2企業雲端監督服務 (ECOS) 安全評估
ECOS 安全評估可能會導致安全異常。該機構負責透過 Archer 獲得 VITA Security 批准的任何安全例外情況。Archer 是 VITA 記錄工具,用於維護機構與其應用程式和相關業務流程、設備和資料集名稱相關的資訊。您的機構 AITR 可以執行或協助進行此過程。更多信息可以在這裡找到: PDF2021PDF。這些例外情況是機密的,絕不得公開披露。安全性評估也可能會導致合約要求,這些要求應插入雲端條款的供應商責任區段中。
您可以在此處存取 COV 安全標準例外表:資訊安全下的政策、標準和指南。
有時供應商會要求機構簽署保密協議(NDA)。如果供應商提出要求,ECOS 主管將代表 VITA 人員簽署 ECOS NDA,VITA 人員有權訪問評估詳細資訊或評估回復以及作為 ECOS 流程的一部分產生的任何批准例外情況。
實際的 ECOS 評估永遠不會包含在合約中,並且應格外小心,不要與非利害關係人分享 ECOS 評估。通常,ECOS 評估的結果及其批准和例外情況不會與評估團隊共享,因為這些本身並未經過評估。如果採購顧問或採購主管需要共享,則最好向利益相關者(在這種情況下,意味著需要知道的個人)重申 ECOS 評估答复的保密性和專有性以及由此產生的任何例外情況,或者讓利益相關者單獨簽署一份 NDA(如果他們尚未作為評估團隊成員簽署一份 NDA)。
以關鍵字或常用術語搜尋手冊。