Chính sách sử dụng bên thứ ba cho dịch vụ đám mây

CÁC PHÁT BIỂU:

TUYÊN BỐ CHÍNH SÁCH

Các giải pháp dựa trên đám mây được coi là hệ thống CNTT và phải tuân theo các tiêu chuẩn bảo mật và kiểm toán nội bộ giống như các hệ thống và ứng dụng được lưu trữ tại chỗ.

BẢNG BÁO CÁO THỦ TỤC

Yêu cầu của Cơ quan:

• Sự chấp thuận trước bằng văn bản – Các Cơ quan nhánh hành pháp phải nhận được sự chấp thuận bằng văn bản thông qua dịch vụ giám sát đám mây doanh nghiệp VITA trước khi mua, ký hoặc ký hợp đồng với dịch vụ lưu trữ (đám mây) của bên thứ ba.
• Ủy quyền trước của VITA - Nhà cung cấp và dịch vụ được yêu cầu phải được xác định trong biểu mẫu lưu trữ đám mây doanh nghiệp của VITA để đảm bảo việc mua các dịch vụ dựa trên đám mây, ứng dụng vật lý hoặc ảo, mạng cơ sở hạ tầng, thành phần hệ thống và bất kỳ cơ sở trung tâm dữ liệu nào đều đã được VITA ủy quyền trước.
• Cdịch vụ tính toán lớn - Mỗi yêu cầu sử dụng dịch vụ CNTT chưa được VITA cung cấp sẽ được đánh giá xem có tuân thủ các yêu cầu chung, hoạt động đầy đủ của các dịch vụ được yêu cầu và các điều khoản và điều kiện mua sắm dịch vụ đám mây phù hợp hay không.
• Cơ quan giám sát và quản lý – Mọi hoạt động sử dụng dịch vụ lưu trữ của bên thứ ba (điện toán đám mây) đều phải có cơ quan giám sát và quản lý. Cơ quan quản lý này sẽ chứng nhận rằng các yêu cầu về bảo mật, quyền riêng tư và quản lý CNTT khác đã được giải quyết thỏa đáng trước khi chấp thuận việc sử dụng các dịch vụ điện toán đám mây bên ngoài.
• Thời hạn phê duyệt - Tất cả các yêu cầu lưu trữ của bên thứ ba (điện toán đám mây) đều có hiệu lực trong một năm trừ khi có quy định khác.
• Dịch vụ giám sát đám mây doanh nghiệp – Các yêu cầu dịch vụ đám mây của bên thứ ba đã được VITA chấp thuận trước đó thông qua quy trình ngoại lệ trước đây sẽ phải tuân theo dịch vụ giám sát đám mây doanh nghiệp sau khi yêu cầu ngoại lệ đã được chấp thuận hết hạn, trừ khi VITA có quy định khác.
• Đánh giá định kỳ về chính sách và thủ tục – Tài liệu chính sách và thủ tục này sẽ được xem xét hàng năm hoặc sau khi phát sinh bất kỳ vấn đề quan trọng nào chưa được xem xét trước đó.

Yêu cầu của nhà cung cấp:

Các nhà cung cấp phải chịu sự đánh giá rủi ro định kỳ ít nhất hàng năm và ngay sau bất kỳ vấn đề quan trọng nào.

• Tuân thủ bảo mật – Nhà cung cấp phải tuân thủ mọi chính sách và tiêu chuẩn VITA hiện hành như được nêu trong Chính sách, Tiêu chuẩn & Nguyên tắc của ITRM để bao gồm các quy định, chính sách, tiêu chuẩn và nguyên tắc phù hợp của tiểu bang và liên bang (ví dụ: SEC 501, SEC 525, Ấn phẩm của IRS 1075, Khung quản lý rủi ro của NIST, v.v.) để bảo vệ thông tin và dữ liệu của cộng đồng. Nhà cung cấp phải tuân thủ đầy đủ mọi tiêu chuẩn bảo mật đã chỉ định theo phân loại bảo mật của dữ liệu. Việc tuân thủ các tiêu chuẩn của bên thứ ba có liên quan hoặc bắt buộc như Đạo luật về khả năng chuyển đổi và trách nhiệm giải trình bảo hiểm y tế (HIPAA), Thông tin thuế liên bang (FTI) và Tiêu chuẩn bảo mật dữ liệu ngành thẻ thanh toán (PCI DSS) phải được nêu chi tiết trong phản hồi đánh giá của nhà cung cấp.  Điều này bao gồm việc đảm bảo tất cả các thành phần và dịch vụ của hệ thống thông tin đều nằm trong phạm vi lục địa Hoa Kỳ. Điều này nhằm mục đích cho phép quản trị, quản lý rủi ro, đảm bảo và thực hiện nghĩa vụ tuân thủ pháp luật, quy định và quy định một cách hiệu quả đối với tất cả các mối quan hệ kinh doanh bị ảnh hưởng.
• Yêu cầu kiểm toán - Nhà cung cấp phải cung cấp bản kiểm toán gần đây đã hoàn thành, tốt nhất là Loại kiểm soát tổ chức dịch vụ 2 (SOC2). Cơ quan hoặc tổ chức kiểm toán của bên thứ ba có trách nhiệm thực hiện kiểm toán bảo mật trong vòng 90 ngày để xác định khoảng cách kiểm soát giữa kiểm toán được cung cấp và Tiêu chuẩn bảo mật thông tin môi trường lưu trữ (SEC525). Nếu không cung cấp kiểm toán, phải thực hiện kiểm toán kiểm soát bảo mật hoàn chỉnh bằng SEC525. Nếu không làm như vậy, chúng tôi có thể áp dụng các biện pháp khắc phục theo quy định trong các điều khoản và điều kiện của hợp đồng. Nhà cung cấp phải có nghĩa vụ thông báo ngay cho cơ quan và VITA về bất kỳ vi phạm bảo mật nào thông qua các thủ tục đã thỏa thuận trong hợp đồng. Nhà cung cấp phải nghiêm cấm việc truy cập, sử dụng hoặc thay đổi dữ liệu được lưu trữ trái phép. Phương pháp và thủ tục thực hiện việc này phải được nêu trong các điều khoản hợp đồng.
• Mô hình hoàn trả - Mô hình hoàn trả dịch vụ của nhà cung cấp phải được ghi chép rõ ràng. Điều này đảm bảo rằng tất cả các loại phí và cơ cấu phí áp dụng liên quan đến dịch vụ đều được hiểu rõ.
• Kiểm soát dữ liệu – Nhà cung cấp phải luôn duy trì quyền kiểm soát dữ liệu và trong trường hợp bị vi phạm bắt buộc phải cung cấp cho cơ quan ký hợp đồng dữ liệu của mình theo định dạng và khung thời gian đã thỏa thuận như được chỉ định trong báo cáo công việc (SOW). Nhà cung cấp phải cung cấp và duy trì các tiêu chuẩn khả năng tương tác và khả năng di động không độc quyền được xác định cho việc trao đổi và sử dụng thông tin. Yêu cầu này nhằm mục đích hỗ trợ các thành phần có khả năng tương tác và tạo điều kiện thuận lợi cho việc di chuyển các ứng dụng đến và/hoặc từ nhà cung cấp đám mây.

Mua lại:

Chính sách này yêu cầu bộ phận quản lý chuỗi cung ứng của VITA phải tham gia vào bất kỳ hoạt động mua sắm dịch vụ đám mây nào của các Cơ quan nhánh hành pháp.

• Phê duyệt ngôn ngữ hợp đồng – Mọi ngôn ngữ hợp đồng phải được ban quản lý chuỗi cung ứng VITA phê duyệt.
• Tuân thủ – Bất kỳ hợp đồng nào về dịch vụ điện toán đám mây phải bao gồm ngôn ngữ nêu rõ nhà cung cấp sẽ tuân thủ mọi luật chung, yêu cầu bảo mật và mọi tiêu chuẩn và quy định của liên bang hoặc ngành hiện hành. Hợp đồng phải có nội dung phù hợp để xác định trách nhiệm của nhà cung cấp dịch vụ đám mây và trách nhiệm của cộng đồng trong việc duy trì mọi tiêu chuẩn và quy định hiện hành.
• Điều khoản và điều kiện – Quản lý chuỗi cung ứng VITA có các điều khoản và điều kiện dịch vụ đám mây cho việc sử dụng của cơ quan trong tài liệu mua sắm (chào hàng và hợp đồng).
• Thỏa thuận về điều khoản dịch vụ – Thỏa thuận về điều khoản dịch vụ được xác định là ngôn ngữ hợp đồng và do đó bất kỳ thỏa thuận về điều khoản dịch vụ nào cũng phải được ban quản lý chuỗi cung ứng VITA chấp thuận trước khi ký kết bất kỳ thỏa thuận nào. Chữ ký số như nhấp vào “OK” được coi là việc ký hợp đồng và không được thực hiện trước khi hợp đồng được xem xét.

Kế hoạch liên tục:

• Chiến lược thoát hiểm – Các cơ quan phải xác định kế hoạch thoát hiểm rõ ràng cho mỗi ứng dụng sử dụng nhà cung cấp không có trụ sở tại địa phương. Bất kỳ cơ quan hành pháp nào ký hợp đồng dịch vụ đám mây đều phải hợp tác và phối hợp với VITA để đảm bảo các chiến lược thoát hiểm được ghi lại cho mọi ứng dụng hoặc dịch vụ đang sử dụng. Kế hoạch thoát hiểm đầu tiên (bắt buộc) phải phù hợp với từng ứng dụng và nhà cung cấp và sẽ được áp dụng trong trường hợp xảy ra sự cố nghiêm trọng như sau, nhưng không giới hạn ở:
  • Vi phạm an ninh đáng kể
  • Nhà cung cấp phá sản
  • Không tuân thủ luật pháp và quy định hiện hành
• Tiêu chí thoát bổ sung - Kế hoạch thoát thứ hai có thể là một kế hoạch chung duy nhất được áp dụng cho bất kỳ ứng dụng hoặc dịch vụ nào không hoạt động thỏa đáng và có thể chấm dứt hợp đồng sớm. Ngoài ra, tất cả các kế hoạch thoát hiểm phải chỉ rõ rằng dữ liệu được một cơ quan, người dùng, công dân của cộng đồng hoặc các đối tác tải lên dịch vụ đám mây phải là tài sản của cơ quan ký hợp đồng và không được phép sử dụng mà không có sự cho phép rõ ràng bằng văn bản. Ngoài ra, điều khoản này cũng nêu rõ rằng khi có yêu cầu bằng văn bản của cơ quan, nhà cung cấp sẽ phải hủy thông tin bí mật đó và cung cấp cho cơ quan tiết lộ giấy chứng nhận bằng văn bản về việc hủy thông tin đó và ngừng mọi hoạt động sử dụng thông tin bí mật của người dùng được ủy quyền, dù ở dạng hữu hình hay vô hình.