10.5 Exigences du Commonwealth en matière de sécurité pour les appels d'offres et les contrats dans le domaine des technologies de l'information
10.5.0 Exigences du Commonwealth en matière de sécurité pour les appels d'offres et les contrats dans le domaine des technologies de l'information
Section 2.2-2009 de la Code de la Virginie prévoit que le directeur général de l'information (CIO) est responsable de l'élaboration de politiques, de normes et de lignes directrices pour l'évaluation des risques de sécurité, la détermination des mesures de sécurité appropriées et la réalisation d'audits de sécurité de l'information électronique gouvernementale. Ces politiques, normes et lignes directrices s'appliquent aux pouvoirs exécutif, législatif et judiciaire du Commonwealth ainsi qu'aux agences indépendantes. En outre, elle exige que tout contrat relatif aux technologies de l'information conclu par les pouvoirs exécutif, législatif et judiciaire du Commonwealth et les agences indépendantes soit conforme aux lois et réglementations fédérales applicables en matière de sécurité de l'information et de protection de la vie privée. Bien que les agences soient tenues de se conformer à toutes les politiques, normes et lignes directrices (PSG) en matière de sécurité, la norme de sécurité SEC530 définit les exigences de conformité des agences pour les solutions en nuage non hébergées par le CESC. Ces PSG sont disponibles à l'adresse suivante : https://www.vita.virginia.gov/policy--governance/itrm-policies-standards/
En outre, § 2.2-2009 exige que le site CIO (i) procède à un examen annuel complet des politiques de cybersécurité de chaque agence de l'exécutif, en mettant l'accent sur les violations des technologies de l'information survenues au cours de l'année considérée et sur les mesures prises par les agences pour renforcer les mesures de cybersécurité, et (ii) remette un rapport sur ses conclusions aux présidents de la commission des crédits de la Chambre des représentants et de la commission des finances du Sénat.
En plus de la norme de sécurité SEC530, pour tout achat de services en nuage de tiers (hébergés par des fournisseurs) (c'est-à-dire des logiciels en tant que service), étant donné que les agences ont $0 l'autorité déléguée pour acheter ces types de solutions, il y a une procédure distincte pour obtenir l'approbation de la VITA pour l'achat. Sur le lien ci-dessus, consultez la politique d'utilisation par des tiers. Le responsable de la sécurité de l'information de votre agence ou l'AITR peut vous aider à comprendre ce processus et à obtenir la documentation requise à inclure dans votre appel d'offres ou votre contrat. Vous devez inclure dans votre appel d'offres et dans votre contrat des conditions générales relatives aux services en nuage, ainsi qu'un questionnaire que les soumissionnaires doivent remplir et joindre à leur proposition. Vous pouvez également contacter enterpriseservices@vita.virginia.gov.
Précédent < | > Suivant
Recherchez dans le manuel par mots-clés ou termes courants.