您的瀏覽器不支援 JavaScript!

雲端第三方使用政策

採用雲端服務

本政策及程序文件的目的

本政策和程序文檔的目的是在適當情況下,在適當的情況下,在維吉尼亞聯邦(COV)機構中使用基於雲的服務,如第 2 條定義。2 -2006 的弗吉尼亞法律和聯邦立法,司法和獨立機構,並在此用作「代理/機構」,使用 VITA 作為 IT 服務提供商。 採用雲計算將包括評估服務提供商是否適當的 IT 管理,以及與聯邦已有合同的雲服務進行編目。

背景:

國家標準與技術研究所 (NIST) 將雲計算定義為:「一種可讓無處不在、方便的隨選網路存取共用集區的可配置計算資源(例如網路、伺服器、儲存、應用程式和服務)的模型,這些模型可以在最小的管理工作或服務提供者互動下快速佈建和發行。」 聯邦已採用 NIST 定義作為雲計算策略方法的一部分。 根據這種採用,雲服務被分類在三種服務模式的軟體即服務 (SaaS)、平台即服務 (PaaS) 和基礎架構即服務 (IaaS) 中的其中一種。

為了將符合這些定義的服務納入 VITA 的服務組合中,已創建了雲端評估服務。 此程序將評估要求提供 IT 服務的能力,以符合聯邦建立的營運和安全要求的方式提供 IT 服務的能力。

範圍:

本政策和程序文件適用於 VITA 提供 IT 服務的所有機構。 它涉及收購目前不包含於 VITA 提供的服務中的 IT 服務,並且已獲得所有 VITA 先決條件治理批准的 IT 服務的要求。

首字母縮略詞:

資訊科技 資訊總監   FTI  聯邦稅務資訊
希帕 健康保險可攜性和責任法   它  資訊科技
尼斯特 國家標準與技術研究所   國際空間安全 基礎架構即服務
PaaS 平台即服務   PCI 數據傳輸系統 支付卡行業數據安全標準
軟體即服務 軟體即服務   秒  安全標準
播種 工作聲明   維塔  Virginia Information Technologies Agency

其他定義可在 COV ITRM 詞彙表中找到。

聲明:

政策聲明

雲端解決方案被視為 IT 系統,並且須遵守與內部部署的系統和應用程式相同的內部稽核和安全標準。

程序聲明

代理商要求:

  • 事先書面批准 — 行政部門機構必須通過 VITA 企業雲監督服務獲得書面批准,然後才與第三方託管(雲端)服務採購、簽署或以其他方式簽約。
  • VITA 預先授權- 必須在 VITA 企業雲託管表格中識別供應商和要求的服務,以確保獲得雲端服務、實體或虛擬應用程式、基礎架構網路、系統元件以及任何資料中心設施已經被 VITA 預先授權。
  • C大聲計算服務-有關使用 VITA 尚未提供的 IT 服務的要求,將被評估是否符合聯邦要求,請求服務的充分運作,以及適當的雲服務採購條款和條件。
  • 監督和治理機構 — 所有使用第三方託管(雲計算)服務都必須具有監督和治理機構。 在批准使用外部雲計算服務之前,該管治機構將認證安全性、隱私權和其他 IT 管理要求已充分解決。
  • 批准期限-除非另有指明,否則所有第三方託管(雲計算)請求均有效期為一年。
  • 企業雲端監督服務 — 先前通過 VITA 之前的例外程序批准的第三方雲服務請求,除非 VITA 另有指明,否則核准的例外請求到期時,將受企業雲監督服務的約束。
  • 政策和程序定期審查 — 本政策和程序文件將每年或在發生之前未被考慮的任何重大問題後進行審查。

供應商要求:

供應商必須至少每年進行定期風險評估,並在任何重大問題後立即進行風險評估。

  • 安全合規 — 供應商必須遵守 ITRM 政策、標準 & 指南中所述的所有適用 VITA 政策和標準,以包括適當的州和聯邦法規、政策、標準和指南(例如 SEC 501、SEC 525、國稅局刊物 1075、NIST 風險管理框架等),以保護聯邦資訊和數據。 供應商必須完全遵守所有指定的安全標準,符合資料的安全分類。 符合相關或強制的第三方標準,例如健康保險可攜性和責任法(HIPAA)、聯邦稅務信息(FTI)和支付卡行業數據安全標準(PCI DSS),將詳細說明在供應商的評估回應中。 這包括確保所有信息系統組件和服務保持在美國大陸內。 這旨在讓所有受影響的商業關係實現有效管治、風險管理、保證以及法律、法定和法規遵循義務。
  • 稽核要求- 供應商應提供最近完成的稽核,最好是服務組織控制類型 2 (SOC2)。 機構或第三方稽核組織負責在 90 天內執行安全稽核,以確定提供的稽核與託管環境資訊安全標準 (SEC525) 之間的控制差距。 如果沒有提供稽核,則必須使用 SEC525 執行完整的安全控制稽核。 未如此,可能會導致按合同條款及細則所述徵收補救措施。 如有任何安全違規,供應商必須通過合約同意的程序立即通知機構和 VITA。 供應商必須禁止未經授權的訪問和使用或更改存儲的數據。 該方法和程序必須在合同條款中概述。
  • 退款模式-供應商的服務退款模式必須清楚記錄。 這可確保了所有與服務相關的適用費用和費用結構都得到了解。
  • 數據控制 — 供應商必須始終保持對數據的控制,並在強制違規時,必須以工作報表(SOW)所指明的格式和時間範圍向承包機構提供其數據。 供應商必須提供並維護用於信息交換和使用定義的非專有互通性和可攜性標準。 此要求旨在支援可互操作的元件,並協助將應用程式移轉至雲端供應商和/或從雲端供應商移轉。

收購:

此政策要求 VITA 供應鏈管理人員參與並參與執行部門機構的任何雲端服務採購。

  • 合約語言核准 — 所有合約語言必須由 VITA 供應鏈管理層核准。
  • 合規性 — 任何雲計算服務合約都必須包含語言,指出供應商將遵守所有聯邦法律、安全要求,以及任何適用的聯邦或行業標準和法規。 合約工具中必須包含適當的語言,定義雲服務提供商的責任,以及聯邦維護所有適用標準和法規的責任。
  • 條款和條件 — VITA 供應鏈管理有雲服務條款和條件,用於代理商在採購文件(請求和合同)中使用。
  • 服務條款協議 — 服務條款協議被識別為合同語言,因此,任何服務協議條款都必須在簽署任何協議之前經 VITA 供應鏈管理層批准。 如點擊「確定」等數位簽名被視為簽署合同,並且不得在合同審核之前發生。

連續性規劃:

  • 退出策略 — 代理商必須針對利用非預設供應商的每個應用程式確定明確的退出計劃。 任何執行部門機構承包雲端服務都必須與 VITA 聯繫並協調,以確保針對所使用的每個應用程式或服務記錄退出策略。 第一個退出計劃(必填)必須具有應用程序和供應商特定,並在發生嚴重故障時,會被呼叫,例如但不限於:
    • 重大安全漏洞
    • 供應商破產
    • 不遵守適用的法律和法規
  • 其他退出條件-第二個退出計劃可能是一個單一通用計劃,該計劃適用於任何未能充分執行並且需要提早終止合同的應用程序或服務。 此外,所有退出計劃都必須指明,由機構、其用戶、聯邦公民或合作夥伴上傳到雲服務的數據必須保留承包機構的財產,未經明確書面許可,不能使用。 該署亦須指明,供應商應在該機構的書面要求下銷毀該等機密資料,並向披露機構提供該等銷毀的書面證明,並停止任何進一步使用授權用戶的有形或無形形式的機密資料。

相關政策/程序:

正如託管環境資訊安全標準 (SEC525) 所述,外部提供的服務/系統和保護措施,在電子傳輸或存儲聯邦和/或公民數據時必須受到風險評估,並且必須在所有相關國家/國家系統中維持安全性和互通性。

權威參考:

弗吉尼亞州法律 §2-2 .2009 指出 " CIO 應指導制定政策、程序和標準,以評估安全風險、確定適當的安全措施以及對政府電子信息進行安全審核。"

其他參考:

資訊科技資訊安全標準 (SEC 501)、託管環境資訊安全標準 (SEC 525)、國稅局刊物 1075NIST 風險管理架構。

政策例外請求:

本政策和程序文件要求 VITA、機構和供應商共同合作報告和評估新興風險和問題。 如果機構主管確定遵守本政策會對該機構的業務流程產生不利影響,該機構主管可以向 VITA 提交例外請求,要求對政策或標準進行例外。 政策和例外請求表格位於 ITRM 政策、標準和指南網頁,位於:ITRM 政策、標準 & 指南。