Chương 28 -Yêu Cầu Về Bảo Mật và Điện Toán Đám Mây trong Mua Sắm Công Nghệ Thông Tin của Cơ Quan đối với Hồ Sơ Mời Thầu Và Hợp Đồng

Cơ quan Công nghệ Thông tin Virginia (VITA), theo thẩm quyền của § 2.2-2009 của Bộ luật Virginia, được chỉ đạo: ". . . Để bảo đảm an ninh cho thông tin điện tử của chính quyền tiểu bang khỏi việc sử dụng trái phép, xâm nhập hoặc các mối đe dọa an ninh khác, CIO sẽ chỉ đạo việc xây dựng các chính sách, tiêu chuẩn và hướng dẫn để đánh giá rủi ro an ninh, xác định các biện pháp an ninh phù hợp và thực hiện kiểm toán an ninh thông tin điện tử của chính quyền. Các chính sách, tiêu chuẩn và hướng dẫn đó sẽ được áp dụng cho các nhánh hành pháp, lập pháp và tư pháp của Khối thịnh vượng chung cũng như các cơ quan độc lập."

Trách nhiệm bảo mật theo luật định của VITA bao gồm (nhưng không giới hạn ở):

• § 2.2-2009 của Bộ luật Virginia yêu cầu Giám đốc thông tin của Cơ quan công nghệ thông tin Virginia phải xây dựng các chính sách, tiêu chuẩn và hướng dẫn để đảm bảo rằng bất kỳ hoạt động mua sắm công nghệ thông tin nào do các nhánh hành pháp, lập pháp và tư pháp của Khối thịnh vượng chung và các cơ quan độc lập thực hiện đều được thực hiện theo luật và quy định liên bang liên quan đến bảo mật thông tin và quyền riêng tư.

• Theo § 2.2-2009 của Bộ luật Virginia, VITA sẽ vận hành một trung tâm dịch vụ bảo mật công nghệ thông tin để hỗ trợ nhu cầu bảo mật công nghệ thông tin của các cơ quan lựa chọn tham gia vào trung tâm dịch vụ bảo mật công nghệ thông tin. Hỗ trợ cho các cơ quan tham gia sẽ bao gồm, nhưng không giới hạn ở, quét lỗ hổng, kiểm tra bảo mật công nghệ thông tin và dịch vụ của Cán bộ an ninh thông tin. Các cơ quan tham gia sẽ hợp tác với Cơ quan Công nghệ Thông tin Virginia bằng cách chuyển giao các hồ sơ và chức năng khi cần thiết.

• Đã thiết lập nguồn tài trợ cho cả Dịch vụ giám sát an ninh công nghệ và Giám sát dịch vụ dựa trên đám mây (tham khảo Tiêu đề 2.2, Chương 20.1 của Bộ luật Virginia).

• Theo Tiêu đề 2.2, Chương 20.1, "VITA sẽ ưu tiên các nỗ lực hiện đại hóa các dịch vụ công nghệ thông tin hiện tại và cung cấp cho các cơ quan, khi thích hợp, các dịch vụ công nghệ thông tin được cung cấp thương mại bao gồm nhưng không giới hạn ở điện toán đám mây, thiết bị di động và trí tuệ nhân tạo."

• § 2.2-2009(C) nêu rõ "[ngoài việc phối hợp kiểm toán an ninh theo quy định tại tiểu mục B 1, CIO sẽ tiến hành đánh giá toàn diện hàng năm các chính sách an ninh mạng của mọi cơ quan nhánh hành pháp, đặc biệt tập trung vào bất kỳ vi phạm nào về công nghệ thông tin xảy ra trong năm có thể đánh giá và bất kỳ bước nào do các cơ quan thực hiện để tăng cường các biện pháp an ninh mạng. Sau khi hoàn tất đợt đánh giá hàng năm, CIO sẽ gửi báo cáo về những phát hiện của mình tới Chủ tịch Ủy ban Tài chính Hạ viện và Ủy ban Tài chính Thượng viện. Báo cáo đó không được chứa thông tin kỹ thuật mà CIO cho là nhạy cảm về bảo mật hoặc thông tin có thể làm lộ ra lỗ hổng bảo mật."

CIO đã giao cho Ban Quản lý Rủi ro và An ninh Khối thịnh vượng chung (CSRM) của VITA trách nhiệm phát triển các chính sách, tiêu chuẩn và hướng dẫn liên quan đến an ninh, triển khai chúng và cung cấp các quy trình quản trị và kiểm toán để đảm bảo sự tuân thủ của cơ quan. Bộ phận Quản lý Dự án (PMD) và Bộ phận Quản lý Chuỗi cung ứng (SCM) của VITA cùng các bộ phận khác của VITA tham gia vào nhiều năng lực giám sát và quản trị khác nhau để hỗ trợ CSRM thực hiện các nghĩa vụ an ninh theo luật định của VITA.