28 .1 VITA 所有 IT 招标和合同中均需包含信息安全政策、标准和指南(安全 PSG)
28 .1. 2企业云监督服务 (ECOS) 安全评估
ECOS 安全评估可能会导致安全异常。该机构负责通过 Archer 获得 VITA Security 批准的任何安全例外情况。Archer 是 VITA 记录工具,用于维护机构与其应用程序和相关业务流程、设备和数据集名称相关的信息。您的代理机构 AITR 可以执行或协助此过程。更多信息请参见此处: https://www.vita.virginia.gov/media/vitavirginiagov/commonwealth-security/pdf/Archer-User-Manual- 2021 .pdf。例外情况是保密的,绝不能公开披露。安全评估还可能产生合同要求,这些要求应插入云条款的供应商责任部分。
您可以在此处访问 COV 安全标准例外表:信息安全下的政策、标准和指南。
有时供应商会要求代理商签署保密协议(NDA)。如果供应商提出要求,ECOS 主管将代表 VITA 人员签署 ECOS NDA,VITA 人员有权访问评估详细信息或评估回复以及作为 ECOS 流程的一部分产生的任何批准例外情况。
实际的 ECOS 评估永远不会包含在合同中,并且应格外小心,不要与非利益相关者分享 ECOS 评估。通常,ECOS 评估的结果及其批准和例外情况不会与评估团队共享,因为这些本身并未经过评估。如果采购顾问或采购主管需要共享,则最好向利益相关者(在这种情况下,意味着需要知道的个人)重申 ECOS 评估答复的保密性和专有性以及由此产生的任何例外情况,或者让利益相关者单独签署一份 NDA(如果他们尚未作为评估团队成员签署一份 NDA)。
按关键词或常用术语查找手册。