¡Su navegador no admite JavaScript!

Capítulo 28 - Requisitos de seguridad y nube para la adquisición de TI de agencias en licitaciones y contratos

28.1 VITA Políticas, normas y directrices de seguridad de la información (PSG de seguridad) requeridas en todas las solicitudes y contratos IT

28.1.2 Evaluaciones de seguridad de Enterprise Cloud Oversight Services (ECOS)

Las evaluaciones de seguridad de ECOS pueden dar lugar a excepciones de seguridad. La agencia es responsable de que VITA Security apruebe cualquier excepción de seguridad a través de Archer. Archer es la herramienta de registro de VITA para mantener la información de una agencia relacionada con sus aplicaciones y procesos comerciales asociados, dispositivos y nombres de conjuntos de datos. Su agencia AITR puede realizar o ayudar con este proceso. Más información se puede encontrar aquí: https://www.vita.virginia.gov/media/vitavirginiagov/commonwealth-security/pdf/Archer-User-Manual-2021.pdf. Las excepciones son confidenciales y nunca deben divulgarse públicamente. La evaluación de seguridad también puede dar lugar a requisitos contractuales que deben insertarse en la sección Responsabilidades del proveedor de Cloud Terms. 

Puede acceder al Formulario de Excepción del Estándar de Seguridad COV aquí: Políticas, Estándares y Directrices en Seguridad de la Información.

A veces, el proveedor le pedirá a la agencia que firme un acuerdo de confidencialidad (NDA). El Director de ECOS firma un acuerdo de confidencialidad de ECOS, si así lo solicita el Proveedor, en nombre del personal de VITA que tiene acceso a los detalles de la evaluación o a las respuestas a la evaluación y a cualquier excepción de aprobación resultante como parte del proceso de ECOS. 

Las evaluaciones ECOS reales nunca deben incluirse en el contrato, y se debe tener mucho cuidado de no compartir la evaluación ECOS con personas que no sean partes interesadas. Normalmente, los resultados de la Evaluación ECOS y su aprobación y excepciones no se comparten con el Equipo de Evaluación, ya que estos no se evalúan per se. Si un Consultor de Abastecimiento o un líder de adquisiciones necesita compartir, sería prudente reiterar la confidencialidad y la naturaleza propietaria de las respuestas de la Evaluación ECOS y cualquier excepción resultante a las partes interesadas (en este caso, es decir, personas con necesidad de saber), o hacer que las partes interesadas firmen individualmente un NDA, si aún no lo han hecho como miembros del Equipo de Evaluación.

Capítulo actual: Capítulo 28 - Seguridad de las IT de Adquisiciones de la Agencia y Requisitos de la Nube para Licitaciones y Contratos
Anterior < |  > Siguiente
Capítulo 27 - Contratos de Licencia y Mantenimiento de Software < | > Capítulo 29 - Adjudicación y posterior a la adjudicación de contratos IT

Busque en el manual por palabras clave o términos comunes.