Chapitre 24 - Appels d'offres et négociations concurrentielles

24.5.3 Exigences du Commonwealth en matière de sécurité et d'informatique dématérialisée pour les appels d'offres et les contrats informatiques

La section 2.2-2009 du code de Virginie stipule que le directeur général de l'information (CIO) est responsable de l'élaboration de politiques, de normes et de lignes directrices pour l'évaluation des risques de sécurité, la détermination des mesures de sécurité appropriées et la réalisation d'audits de sécurité de l'information électronique gouvernementale. Ces politiques, normes et lignes directrices s'appliquent aux pouvoirs exécutif, législatif et judiciaire du Commonwealth ainsi qu'aux agences indépendantes. 

Les appels d'offres pour des services en nuage doivent contenir des dispositions supplémentaires pour les services en nuage, qui peuvent être trouvées dans la liste de contrôle de la procédure ECOS sur notre page web : https://www.vita.virginia.gov/procurement/policies--procedures/procurement-tools/.    

En outre, le § 2.2-2009 exige que tout contrat relatif aux technologies de l'information conclu par les pouvoirs exécutif, législatif et judiciaire du Commonwealth et les agences indépendantes soit conforme aux lois et réglementations fédérales applicables en matière de sécurité de l'information et de protection de la vie privée. Bien que les agences soient tenues de se conformer à toutes les politiques, normes et lignes directrices (PSG) en matière de sécurité, la norme de sécurité SEC530 définit les exigences de conformité des agences pour les solutions en nuage non hébergées par le CESC. Ces PSG se trouvent à l'adresse suivante : https://www.vita.virginia.gov/it-governance/itrm-policies-standards/.  

En plus de la norme de sécurité SEC530, pour tout achat de services en nuage de tiers (hébergés par des fournisseurs) (c'est-à-dire des logiciels en tant que service), étant donné que les agences ont $0 l'autorité déléguée pour acheter ces types de solutions, il y a une procédure distincte pour obtenir l'approbation de la VITA pour l'achat. Reportez-vous à la "Politique d'utilisation par des tiers" dans le lien ci-dessus. Le responsable de la sécurité de l'information de votre agence ou l'AITR peut vous aider à comprendre ce processus et à obtenir la documentation requise à inclure dans votre appel d'offres ou votre contrat. Il existe des conditions générales spécialement requises pour les services en nuage qui doivent être incluses dans votre appel d'offres et votre contrat, ainsi qu'un questionnaire d'évaluation ECOS qui doit être inclus dans l'appel d'offres pour que les offrants le remplissent et le soumettent avec leurs propositions. En outre, si le marché est un marché basé sur l'informatique dématérialisée (c'est-à-dire un hébergement hors site), après la sélection par VITA de la ou des meilleures propositions représentant le meilleur rapport qualité-prix pour le Commonwealth, l'incapacité du fournisseur à répondre avec succès, à négocier et/ou à se conformer à toutes les exigences contractuelles susceptibles de se présenter pour approuver l'application dématérialisée du fournisseur, peut entraîner l'élimination de l'examen ultérieur du marché. Pour plus d'informations, consultez le chapitre 28. Vous pouvez également contacter enterpriseservices@vita.virginia.gov.