25.7 Requisitos contractuales de VITA
25.7.4 Requisitos contractuales de seguridad y nube de VITA
La sección 2.2-2009 del Código de Virginia establece que el Director de Información (CIO) es responsable del desarrollo de políticas, normas y directrices para evaluar los riesgos de seguridad, determinar las medidas de seguridad adecuadas y realizar auditorías de seguridad de la información electrónica del gobierno. Dichas políticas, normas y directrices se aplicarán a los poderes ejecutivo, legislativo y judicial del Estado Libre Asociado y a las agencias independientes.
Si bien las agencias están obligadas a cumplir con todas las políticas, estándares y directrices de seguridad (PSG), el estándar de seguridad SEC530 proporciona requisitos de cumplimiento de la agencia para soluciones en la nube no alojadas en CESC. Estos PSG se encuentran en esta URL: https://www.vita.virginia.gov/it-governance/itrm-policies-standards/
Además de la norma de seguridad SEC530, para cualquier adquisición de servicios en la nube de terceros (alojados por el proveedor) (es decir, software como servicio), dado que las agencias tienen una autoridad delegada de $0 para adquirir este tipo de soluciones, existe un proceso distinto para obtener la aprobación de VITA para adquirir. En el enlace anterior, consulte la Política de uso de terceros. El Oficial de Seguridad de la Información de su agencia o AITR puede ayudarlo a comprender este proceso y a obtener la documentación requerida para incluir en su solicitud o contrato. Existen términos y condiciones de los Servicios en la nube especialmente requeridos que deben incluirse en su solicitud y contrato, y un cuestionario que debe incluirse en la solicitud para que los licitadores completen y envíen con sus propuestas. También puede ponerse en contacto con: enterpriseservices@vita.virginia.gov
Busque en el manual por palabras clave o términos comunes.