Chương 24 - Yêu Cầu Chào Hàng Và Đàm Phán Cạnh Tranh

24.5.3 Yêu cầu về bảo mật và đám mây của Khối thịnh vượng chung đối với các yêu cầu và hợp đồng CNTT

Mục 2.2-2009 của Bộ luật Virginia quy định rằng Giám đốc thông tin (CIO) chịu trách nhiệm xây dựng các chính sách, tiêu chuẩn và hướng dẫn để đánh giá rủi ro bảo mật, xác định các biện pháp bảo mật phù hợp và thực hiện kiểm toán bảo mật thông tin điện tử của chính phủ. Các chính sách, tiêu chuẩn và hướng dẫn đó sẽ áp dụng cho các nhánh hành pháp, lập pháp, tư pháp và các cơ quan độc lập của Khối thịnh vượng chung. 

Yêu cầu cung cấp dịch vụ Đám mây phải bao gồm ngôn ngữ RFP bổ sung cho dịch vụ Đám mây, có thể tìm thấy trong Danh sách kiểm tra thủ tục ECOS trên trang web của chúng tôi: https://www.vita.virginia.gov/procurement/policies--procedures/procurement-tools/.    

Ngoài ra, § 2.2-2009 yêu cầu rằng bất kỳ hợp đồng nào về công nghệ thông tin do các nhánh hành pháp, lập pháp và tư pháp của Khối thịnh vượng chung và các cơ quan độc lập ký kết đều phải tuân thủ các luật và quy định liên bang hiện hành liên quan đến bảo mật thông tin và quyền riêng tư. Trong khi các cơ quan phải tuân thủ mọi chính sách, tiêu chuẩn và hướng dẫn bảo mật (PSG), Tiêu chuẩn bảo mật SEC530 đưa ra các yêu cầu tuân thủ của cơ quan đối với các giải pháp đám mây lưu trữ không phải do CESC lưu trữ. Các PSG này nằm tại URL này: https://www.vita.virginia.gov/it-governance/itrm-policies-standards/.  

Ngoài Tiêu chuẩn bảo mật SEC530, đối với bất kỳ hoạt động mua sắm nào cho các dịch vụ đám mây của bên thứ ba (do nhà cung cấp lưu trữ) (tức là Phần mềm dưới dạng Dịch vụ), vì các cơ quan có thẩm quyền được ủy quyền $0 để mua sắm các loại giải pháp này, nên có một quy trình riêng biệt để xin phê duyệt VITA nhằm mua sắm. Tham khảo “Chính sách sử dụng của bên thứ ba” trong liên kết ở trên. Cán bộ An ninh thông tin của cơ quan bạn hoặc AITR có thể hỗ trợ bạn hiểu quy trình này và thu thập các tài liệu cần thiết để đưa vào đơn chào hàng hoặc hợp đồng của bạn. Có các điều khoản và điều kiện bắt buộc đặc biệt của Dịch vụ đám mây phải được đưa vào lời chào hàng và hợp đồng của bạn, cũng như bảng câu hỏi Đánh giá ECOS phải được đưa vào lời chào hàng để người chào hàng hoàn thành và gửi cùng với đề xuất của họ. Ngoài ra, nếu hoạt động mua sắm là hoạt động mua sắm dựa trên nền tảng đám mây (tức là lưu trữ ngoài cơ sở), sau khi VITA lựa chọn đề xuất tốt nhất thể hiện giá trị tốt nhất cho cộng đồng, việc Nhà cung cấp không trả lời, đàm phán và/hoặc tuân thủ thành công bất kỳ yêu cầu hợp đồng nào có thể phát sinh để chấp thuận ứng dụng đám mây của Nhà cung cấp có thể dẫn đến việc bị loại khỏi quá trình xem xét tiếp theo. Tham khảo Chương 28 để biết thêm thông tin. Bạn cũng có thể liên hệ: enterpriseservices@vita.virginia.gov.