Capítulo 24 - Solicitudes de propuestas y negociaciones competitivas

24.5.3 Requisitos de seguridad y nube de la Commonwealth para solicitudes y contratos de TI

La sección 2.2-2009 del Código de Virginia establece que el Director de Información (CIO) es responsable del desarrollo de políticas, normas y directrices para evaluar los riesgos de seguridad, determinar las medidas de seguridad adecuadas y realizar auditorías de seguridad de la información electrónica del gobierno. Dichas políticas, normas y directrices se aplicarán a los poderes ejecutivo, legislativo y judicial del Estado Libre Asociado y a las agencias independientes. 

Las solicitudes de servicios en la nube deben contener un lenguaje de RFP adicional para los servicios en la nube, que se puede encontrar en la lista de verificación de procedimientos de ECOS en nuestra página web: https://www.vita.virginia.gov/procurement/policies--procedures/procurement-tools/.    

Además, § 2.2-2009 requiere que cualquier contrato de tecnología de la información celebrado por las ramas ejecutiva, legislativa y judicial del Estado y las agencias independientes requieren el cumplimiento de las leyes y regulaciones federales aplicables relacionadas con la seguridad y privacidad de la información. Si bien las agencias están obligadas a cumplir con todas las políticas, estándares y directrices de seguridad (PSG), el estándar de seguridad SEC530 proporciona requisitos de cumplimiento de la agencia para soluciones en la nube no alojadas en CESC. Estos PSG se encuentran en esta URL: https://www.vita.virginia.gov/it-governance/itrm-policies-standards/.  

Además de la norma de seguridad SEC530, para cualquier adquisición de servicios en la nube de terceros (alojados por el proveedor) (es decir, software como servicio), dado que las agencias tienen una autoridad delegada de $0 para adquirir este tipo de soluciones, existe un proceso distinto para obtener la aprobación de VITA para adquirir. Consulte la "Política de uso de terceros" en el enlace anterior. El Oficial de Seguridad de la Información de su agencia o AITR puede ayudarlo a comprender este proceso y a obtener la documentación requerida para incluir en su solicitud o contrato. Existen términos y condiciones de los Servicios en la nube especialmente requeridos que deben incluirse en su solicitud y contrato, y un cuestionario de evaluación de ECOS que debe incluirse en la solicitud para que los oferentes lo completen y lo envíen con sus propuestas. Además, si una adquisición es una adquisición basada en la nube (es decir, alojamiento fuera de las instalaciones), luego de la selección por parte de VITA de las mejores propuestas que representen el mejor valor para la comunidad, el hecho de que el Proveedor no responda, negocie y/o cumpla con éxito con los requisitos contractuales que puedan surgir para aprobar la aplicación en la nube del Proveedor, puede resultar en la eliminación de una consideración posterior. Consulte el Capítulo 28 para obtener más información. También puede ponerse en contacto con: enterpriseservices@vita.virginia.gov.