10.5 Requisitos de seguridad del Commonwealth para las solicitudes y contratos de TI
10.5.0 Requisitos de seguridad de la Commonwealth para solicitudes y contratos de TI
Sección 2.2-2009 del Código de Virginia ordena que el Director de Información (CIO) sea responsable del desarrollo de políticas, estándares y directrices para evaluar los riesgos de seguridad, determinar las medidas de seguridad apropiadas y realizar auditorías de seguridad de la información electrónica del gobierno. Dichas políticas, normas y directrices se aplicarán a los poderes ejecutivo, legislativo y judicial del Estado Libre Asociado y a las agencias independientes. Además, requiere que cualquier contrato de tecnología de la información celebrado por las ramas ejecutiva, legislativa y judicial del Estado Libre Asociado y las agencias independientes requiere el cumplimiento de las leyes y regulaciones federales aplicables relacionadas con la seguridad y privacidad de la información. Si bien las agencias están obligadas a cumplir con todas las políticas, estándares y directrices de seguridad (PSG), el estándar de seguridad SEC530 proporciona requisitos de cumplimiento de la agencia para soluciones en la nube no alojadas en CESC. Estos PSG se encuentran en esta URL: https://www.vita.virginia.gov/policy--governance/itrm-policies-standards/
Además § 2.2-2009 requiere que el CIO (i) lleve a cabo una revisión integral anual de las políticas de seguridad cibernética de cada agencia del poder ejecutivo, con un enfoque particular en las violaciones de la tecnología de la información que ocurrieron en el año revisable y cualquier medida tomada por las agencias para fortalecer las medidas de seguridad cibernética, y (ii) emita un informe de sus hallazgos a los presidentes del Comité de Asignaciones de la Cámara de Representantes y el Comité de Finanzas del Senado.
Además de la norma de seguridad SEC530, para cualquier adquisición de servicios en la nube de terceros (alojados por el proveedor) (es decir, software como servicio), dado que las agencias tienen una autoridad delegada de $0 para adquirir este tipo de soluciones, existe un proceso distinto para obtener la aprobación de VITA para adquirir. En el enlace anterior, consulte la Política de uso de terceros. El Oficial de Seguridad de la Información de su agencia o AITR puede ayudarlo a comprender este proceso y a obtener la documentación requerida para incluir en su solicitud o contrato. Existen términos y condiciones de los Servicios en la nube especialmente requeridos que deben incluirse en su solicitud y contrato, y un cuestionario que debe incluirse en la solicitud para que los licitadores completen y envíen con sus propuestas. También puede ponerse en contacto con: enterpriseservices@vita.virginia.gov.
Busque en el manual por palabras clave o términos comunes.