COV Ramp(前身為 ECOS)
COV Ramp 是 COV Grade 的一部分,COV Grade 是一個品牌系列,代表著維吉尼亞邦對 IT 產品、服務和解決方案的認可印章。
COV Ramp 核准申請清單
尋找供應商名稱、產品和簡要的 SaaS/PaaS 說明
COV Ramp 已批准的申請清單(.xlsx)每月更新。
COV Ramp 指標
以下是 2018 -2024 的平均值:
| COV RAMP 評估時間表平均值 | 2018 | 2019 | 2020 | 2021 | 2022 | 2023 | 2024 | 2025 |
| VITA 完成初始審查的平均天數 | 12 | 9 | 12 | 10 | 11 | 11 | 10 | 10 |
| 機構/供應商回應所需的平均天數 | 25 | 22 | 23 | 24 | 25 | 28 | 25 | 28 |
| VITA 審核機構/供應商回應所需的平均天數 | 11 | 8 | 10 | 6 | 8 | 13 | 8 | 9 |
| 機構/供應商回應第二次審查的平均天數 | 20 | 15 | 34 | 15 | 14 | 21 | 20 | 23 |
| 平均完成日數 * | 77 | 61 | 58 | 46 | 52 | 54 | 60 | 54 |
* 必要時,第三次和第四次審查都包含在 " 平均 " 完成天數中。
COV RAMP 流程
觀看影片以了解更多有關 COV Ramp 流程的資訊。
COV Ramp 提供的三個不同組成部分
評估組件是一份採購前問卷,將由建議的供應商填寫,並由企業服務總監和安全架構師審查。此評估可讓 VITA 驗證供應商是否有能力符合本邦對於非預置型服務的安全與治理要求。
注意: 評估審查服務獨立於其他兩項服務組件運行。一旦供應商的解決方案經過 VITA 的評估和批准,評估的有效期為自批准之日起 12 個月。尋求使用先前批准的供應商解決方案的機構將不會產生評估審查費用或相關費用。
SCM 組件包括諮詢服務,為代理機構提供委派雲端採購的指導和監督,包括合同語言、合約條款和條件、談判期間的支援以及 SCM 最終合約審查。 SCM 諮詢服務確保嵌入雲端合約中的合約語言能夠讓 VITA 監控。 VITA 員工時間的數量將根據所需的幫助程度以及供應者的回應能力而有所不同。
監督組件透過分析和審查 SaaS 服務供應商提供的資料和文件,提供 SaaS 服務的每月效能監控 (PM)、服務層級協議 (SLA) 管理、營運監督和安全合規性。該服務確保遵循法規、法律及年度審計建議。監督還包括年度和合約終止時的審查。參與這些活動的資源包括技術服務主管、IT 安全稽核員、IT 安全架構師(如有需要)和企業服務總監。
COV RAMP 提供對雲端服務的監督功能和管理
該服務通過服務水平和績效監控,確保供應商的一致性能。 代理機構因應日益增長的業務需求,藉此確保有足夠的安全控制措施,以保護資料、適當利用資源,以及遵守法規、法律,以及及時解決審計建議。
COV RAMP 將獲取外部軟體即服務 (SaaS) 服務的例外需求降至最低。COV RAMP 提供了一個靈活且客製化的選項,以獲取符合機構特定需求的 SaaS 服務。該服務在以下領域為機構提供指導和監督活動:
- 協助機構滿足本邦要求,例如針對託管系統的 SEC 525
- 納入適當的合約條款及細則以降低風險
- 完成年度 SOC2 第二類評估檢討
- 確保執行漏洞掃描和入侵檢測
- 修補供應商環境的合規性
- 確保符合架構標準
- 監控服務水準協議 (Service Level Agreements, SLA) 的效能
COV RAMP 是專為提供軟體即服務 (SaaS) 應用程式的第三方供應商設計的服務。
SaaS 是在雲端基礎設施上運行供應商應用程式的能力。這些應用程式可以透過各種用戶端裝置存取,無論是透過精簡型用戶端介面(例如 Web 瀏覽器,如基於 Web 的電子郵件)或程式介面。提供者管理或控制底層雲端基礎設施,包括網路、伺服器、作業系統、儲存,甚至是個別應用程式功能,但可能不包括有限的使用者特定應用程式配置設定。
SaaS 特點包括:
- 基於網路的存取和管理市售軟體
- 透過與第三方託管設施的網際網路連線來訪問供應商的服務
- 用於服務交付的一對多模型 (單個執行個體、多租戶架構)
- 適用於所有租戶的共同架構、基於使用情況的定價和可擴展的管理
- 服務的第三方管理,包括修補、升級、平台管理等功能。
- 多租戶架構,具有所有使用者和應用程式共用的單一、集中維護的共用基礎架構和程式碼基礎
- 應用程式的訂閱者/使用者管理存取權限
- 以供應商為基礎的資料託管和服務器管理服務
COV RAMP 適用於以下情況:
- 採購中的服務符合上述 SaaS 提供商的定義和/或特徵。
- 當機構要求提供商代表聯邦實體行動和/或接受聯邦數據,和/或擔任該數據的數據保管人和/或系統管理員,以便通過接口收費的界面提供給聯邦。