10 .5 联邦对 IT 招标和合同的安全要求
10 .5. 0 联邦对 IT 招标和合同的安全要求
第2 .2- 2009节 的 弗吉尼亚法典 规定首席信息官(CIO)负责制定评估安全风险、确定适当的安全措施和对政府电子信息进行安全审计的政策、标准和指南。这些政策、标准和指导方针应适用于联邦的行政、立法和司法部门以及独立机构。此外,它还要求联邦行政、立法和司法部门以及独立机构签订的任何信息技术合同都必须遵守与信息安全和隐私有关的联邦法律和法规。虽然机构必须遵守所有安全政策、标准和指南 (PSG),但安全标准 SEC530 为非 CESC 托管云解决方案提供了机构合规性要求。这些 PSG 位于以下 URL: https://www.vita.virginia.gov/policy--governance/itrm-policies-standards/
此外, § 2 .2- 2009 要求CIO (i) 对每个行政部门机构的网络安全政策进行年度全面审查,特别关注审查年度内发生的信息技术漏洞以及各机构为加强网络安全措施而采取的任何措施;(ii) 向众议院拨款委员会主席和参议院财政委员会主席提交调查结果报告。
除了安全标准 SEC530 之外,对于任何第三方(供应商托管)云服务(即软件即服务)的采购,由于机构拥有 $ 0的授权来采购这些类型的解决方案,因此有一个独特的流程来获得 VITA 批准进行采购。在上述链接中,请参阅第三方使用政策。您所在机构的信息安全官或 AITR 可以帮助您了解此过程并获取包含在您的招标或合同中所需的文件。您的招标和合同中必须包含特别要求的云服务条款和条件,并且招标中必须包含一份调查问卷,以便投标人填写并提交其提案。您还可以联系: enterpriseservices@vita.virginia.gov 。
按关键词或常用术语查找手册。