28.1 VITA Politiques, normes et lignes directrices en matière de sécurité de l'information (Security PSGs) requises dans tous les appels d'offres et contrats IT
28.1.2 Évaluations de la sécurité des services de surveillance de l'informatique en nuage (ECOS)
Les évaluations de sécurité ECOS peuvent donner lieu à des exceptions en matière de sécurité. L'agence est chargée de faire approuver toute exception de sécurité par le service de sécurité de VITA par l'intermédiaire d'Archer. Archer est l'outil de référence de VITA pour la conservation des informations d'une agence relatives à ses applications et aux processus opérationnels associés, aux appareils et aux noms des ensembles de données. L'AITR de votre agence peut effectuer cette démarche ou vous y aider. Vous trouverez plus d'informations ici : https://www.vita.virginia.gov/media/vitavirginiagov/commonwealth-security/PDF/Archer-User-Manual-2021.PDF. Les exceptions sont confidentielles et ne doivent jamais être divulguées publiquement. L'évaluation de la sécurité peut également déboucher sur des exigences contractuelles qui doivent être insérées dans la section "Responsabilités du fournisseur" des conditions relatives à l'informatique en nuage.
Vous pouvez accéder au formulaire d'exception de la norme de sécurité COV ici : Politiques, normes & Lignes directrices sous Sécurité de l'information.
Parfois, le fournisseur demandera à l'agence de signer un accord de non-divulgation (NDA). Le directeur de l'ECOS signe une NDA ECOS, si le fournisseur le demande, au nom du personnel de VITA ayant accès aux détails de l'évaluation ou aux réponses de l'évaluation et à toute exception d'approbation qui en découle dans le cadre du processus ECOS.
Les évaluations ECOS proprement dites ne doivent jamais être incluses dans le contrat, et il convient de veiller scrupuleusement à ne pas partager l'évaluation ECOS avec d'autres parties prenantes. Normalement, les résultats de l'évaluation ECOS, son approbation et ses exceptions ne sont pas partagés avec l'équipe d'évaluation, car ils ne sont pas évalués en tant que tels. Si un consultant en sourçage ou un responsable de la passation de marchés doit partager des informations, il serait judicieux de rappeler aux parties prenantes (dans ce cas, les personnes ayant besoin de savoir) la nature confidentielle et exclusive des réponses à l'évaluation ECOS et des exceptions qui en découlent, ou de leur faire signer individuellement un accord de confidentialité, s'ils n'en ont pas déjà signé un en tant que membres de l'équipe d'évaluation.
Recherchez dans le manuel par mots-clés ou termes courants.