Quy tắc của VITA | Virginia IT Agency

Quy định của VITA áp dụng cho việc thực hiện hoặc cung cấp tất cả hàng hóa hoặc dịch vụ công nghệ thông tin của nhà cung cấp.

Các Quy tắc VITA này được VITA và các cơ quan công, tổ chức, ủy ban và các đơn vị khác của Khối thịnh vượng chung tiếp nhận dịch vụ theo hợp đồng VITA (“khách hàng”) xây dựng.

Nhà cung cấp phải giao hàng hóa và thực hiện dịch vụ của mình mọi lúc theo cách cho phép và hỗ trợ sự tuân thủ của các cơ quan công quyền tiếp nhận, sử dụng hoặc tiêu thụ hàng hóa và dịch vụ.

Ngoài các tiêu chuẩn và chính sách cụ thể được liệt kê bên dưới, mọi phần cứng, hệ thống và dịch vụ được cung cấp cho Khối thịnh vượng chung hoặc có thể được sử dụng để truy cập, xử lý hoặc lưu trữ dữ liệu của Khối thịnh vượng chung phải tuân thủ mọi luật, quy định, chính sách, hướng dẫn và tiêu chuẩn hiện hành của Khối thịnh vượng chung và liên bang tại thời điểm giao hàng hóa và dịch vụ.

Các chính sách và tiêu chuẩn về Bảo mật thông tin, Kiến trúc doanh nghiệp, Quản lý dự án và Quản lý chương trình của Khối thịnh vượng chung dành cho ITRM Khối thịnh vượng chung như được nêu trên trang sau:
- Chính Sách, Tiêu Chuẩn & Hướng Dẫn của ITRM

Lộ trình công nghệ Khối thịnh vượng chung cung cấp các công nghệ được chấp thuận để sử dụng trong việc phát triển, lưu trữ và hỗ trợ các giải pháp và ứng dụng CNTT COV. Họ cũng xác định vòng đời hỗ trợ cho các công nghệ đó.
- Lộ Trình Công Nghệ COV

Luật, Quy định, Chính sách và Tiêu chuẩn Liên bang

Không giới hạn bất kỳ nghĩa vụ hợp đồng nào mà nhà cung cấp có thể phải tuân thủ các luật, quy định, tiêu chuẩn và chính sách liên bang hiện hành, sau đây là danh sách các luật, quy định, chính sách và tiêu chuẩn liên bang mà VITA kết hợp vào Quy tắc của VITA:

Đạo luật về khả năng chuyển đổi và trách nhiệm bảo hiểm y tế (HIPAA-HITECH)
- Bảo vệ quyền riêng tư của liên bang đối với thông tin sức khỏe có thể nhận dạng cá nhân
- Tiêu chuẩn bảo vệ thông tin sức khỏe điện tử được bảo vệ
  - http://www.hhs.gov/hipaa/for-professionals/security
Quy định bảo vệ dữ liệu của Cơ quan an sinh xã hội (SSA)
- Yêu cầu bảo vệ dữ liệu chi phối việc chia sẻ điện tử một hoặc hai chiều Thông tin nhận dạng cá nhân của cá nhân hoặc tổng hợp với chính phủ hoặc tổ chức tư nhân
  - https://www.ssa.gov/dataexchange/index.html
Đạo luật về Quyền riêng tư và Giáo dục Gia đình (FERPA)
- Luật bảo mật liên bang cấp cho cha mẹ một số quyền bảo vệ nhất định liên quan đến hồ sơ giáo dục, thông tin liên lạc và thông tin gia đình của con cái họ
  - http://www2.ed.gov/policy/gen/guid/fpco/ferpa/index.html?src=ft
Mục 508 Tiêu chuẩn của Đạo luật Phục hồi chức năng của 1973, đã được sửa đổi (29 USC § 794 (d))
- Hướng dẫn để công nghệ thông tin và điện tử (EIT) có thể tiếp cận được với người khuyết tật
  - https://www.section508.gov/manage/laws-and-policies/
Dịch vụ thông tin tư pháp hình sự (CJIS)
- Dữ liệu thực thi pháp luật được quản lý bởi Cục Điều tra Liên bang
  - https://www.fbi.gov/services/cjis/cjis-security-policy-resource-center
Đạo luật quản lý an ninh thông tin liên bang (FISMA)
- Cung cấp một khuôn khổ toàn diện để đảm bảo hiệu quả của các biện pháp kiểm soát bảo mật thông tin đối với các nguồn thông tin hỗ trợ các hoạt động và tài sản của Liên bang
  - https://www.dhs.gov/fisma
Tiêu chuẩn xử lý thông tin liên bang 140-2 (FIPS 140-2)
- Tiêu chuẩn bảo mật máy tính được sử dụng để chứng nhận các mô-đun mật mã
  - http://csrc.nist.gov/groups/STM/cmvp/standards.html
Ấn phẩm của IRS 1075
- Bắt buộc IRS Pub 1075 cho dữ liệu FTI

Luật và Quy định của Nhà nước

Đạo luật Tự do Thông tin của Virginia (VFOIA)
- VFOIA đưa ra giả định rằng tất cả hồ sơ công khai đều có sẵn khi được yêu cầu, ngoại trừ những hồ sơ được miễn tiết lộ theo VFOIA hoặc luật khác, và các miễn trừ của VFOIA được hiểu theo nghĩa hẹp.
- Danh tính và mục đích của người yêu cầu không quan trọng.
- Điều này có nghĩa là các cơ quan công thường phải tiết lộ các tài liệu liên quan đến nhà cung cấp, bao gồm các bài thuyết trình, email và các phương tiện truyền thông khác, cũng như hồ sơ mua sắm. Có một số ngoại lệ đối với bí mật thương mại và thông tin độc quyền tương tự, nhưng vẫn có những giới hạn -- ví dụ, những ngoại lệ đó không bảo vệ giá cả hoặc toàn bộ đề xuất -- và nhà cung cấp phải viện dẫn các ngoại lệ pháp lý cụ thể bằng văn bản, xác định dữ liệu hoặc tài liệu cụ thể cần được bảo vệ và nêu lý do cần phải bảo vệ.
  - Đạo luật Tự do Thông tin của Virginia (VFOIA, Va. Bộ luật § 2.2-3700 v.v.)

Quy định, Quy tắc, Chính sách và Thủ tục cụ thể của Cơ quan

Ủy ban Việc làm Virginia (VEC)
- Các yêu cầu bảo mật sau đây áp dụng cho tất cả các nhà cung cấp có quyền truy cập vào dữ liệu VEC và bổ sung cho bất kỳ điều khoản bảo mật nào có trong hợp đồng VITA hiện hành.
  - http://www.vec.virginia.gov/requirements-for-conctors-vendors

Tiêu chuẩn cụ thể của ngành

Ngành công nghiệp thẻ thanh toán – Tiêu chuẩn bảo mật dữ liệu (PCI-DSS)
- Hội đồng Tiêu chuẩn Bảo mật PCI là một tổ chức mở toàn cầu được thành lập để phát triển, nâng cao, phổ biến và hỗ trợ hiểu biết về các tiêu chuẩn bảo mật cho bảo mật tài khoản thanh toán.
  - https://www.pcisecuritystandards.org/pci_security/

Sổ tay quản lý dịch vụ (SMM)

Mọi dịch vụ phải được thực hiện theo đúng tiêu chuẩn của SMM.