25.7 Exigences contractuelles de VITA
25.7.4 Exigences contractuelles en matière de sécurité et d'informatique dématérialisée (VITA)
La section 2.2-2009 du code de Virginie stipule que le directeur général de l'information (CIO) est responsable de l'élaboration de politiques, de normes et de lignes directrices pour l'évaluation des risques de sécurité, la détermination des mesures de sécurité appropriées et la réalisation d'audits de sécurité de l'information électronique gouvernementale. Ces politiques, normes et lignes directrices s'appliquent aux pouvoirs exécutif, législatif et judiciaire du Commonwealth ainsi qu'aux agences indépendantes.
Bien que les agences soient tenues de se conformer à toutes les politiques, normes et lignes directrices (PSG) en matière de sécurité, la norme de sécurité SEC530 énonce les exigences de conformité des agences pour les solutions en nuage non hébergées par le CESC. Ces PSG se trouvent à l'adresse suivante : https://www.vita.virginia.gov/it-governance/itrm-policies-standards/
En plus de la norme de sécurité SEC530, pour tout achat de services en nuage de tiers (hébergés par des fournisseurs) (c'est-à-dire des logiciels en tant que service), étant donné que les agences ont $0 l'autorité déléguée pour acheter ces types de solutions, il y a une procédure distincte pour obtenir l'approbation de la VITA pour l'achat. Sur le lien ci-dessus, consultez la politique d'utilisation par des tiers. Le responsable de la sécurité de l'information de votre agence ou l'AITR peut vous aider à comprendre ce processus et à obtenir la documentation requise à inclure dans votre appel d'offres ou votre contrat. Vous devez inclure dans votre appel d'offres et dans votre contrat des conditions générales relatives aux services en nuage, ainsi qu'un questionnaire que les soumissionnaires doivent remplir et joindre à leur proposition. Vous pouvez également contacter : enterpriseservices@vita.virginia.gov
Recherchez dans le manuel par mots-clés ou termes courants.