Votre navigateur ne prend pas en charge JavaScript !

Politique d'utilisation du cloud par des tiers

L'adoption de services basés sur l'informatique dématérialisée

L'objectif de ce document de politique et de procédures

L'objectif de ce document de politique et de procédures est de permettre l'adoption de services basés sur le cloud, le cas échéant, dans les agences du Commonwealth de Virginie (COV), telles que définies par l'article 2.2-2006 du Code de Virginie et les agences législatives, judiciaires et indépendantes du Commonwealth, ci-après dénommées "agences", en utilisant VITA en tant que fournisseur de services informatiques. L'adoption de l'informatique en nuage comprendra l'évaluation du fournisseur de services pour une gestion informatique adéquate ainsi que le catalogage des services en nuage qui ont des contrats existants avec le Commonwealth.

CONTEXTE :

Le National Institute of Standards and Technology (NIST) définit l'informatique en nuage comme suit : "un modèle permettant un accès réseau omniprésent, pratique et à la demande à un pool partagé de ressources informatiques configurables (par exemple, réseaux, serveurs, stockage, applications et services) qui peuvent être rapidement approvisionnées et libérées avec un minimum d'effort de gestion ou d'interaction avec le fournisseur de services". Le Commonwealth a adopté les définitions du NIST dans le cadre de son approche stratégique de l'informatique en nuage. Conformément à cette adoption, les services en nuage sont classés dans l'un des trois modèles de service suivants : logiciel en tant que service (SaaS), plateforme en tant que service (PaaS) et infrastructure en tant que service (IaaS).

Le service d'évaluation des nuages a été créé pour intégrer les services qui répondent à ces définitions dans le portefeuille de services de VITA. Ce processus évaluera les capacités du service demandé à fournir des services informatiques d'une manière compatible avec les exigences opérationnelles et de sécurité établies par le Commonwealth.

CHAMP D'APPLICATION :

Ce document de politique et de procédures s'applique à toutes les agences auxquelles VITA fournit des services informatiques. Il concerne la demande d'acquisition de services informatiques qui ne sont pas actuellement inclus dans les services fournis par VITA et qui ont reçu toutes les approbations de gouvernance préalables de VITA.

ACRONYMES :

DPI Directeur de l'information   FTI  Informations sur l'impôt fédéral
HIPAA Loi sur la portabilité et la responsabilité en matière d'assurance maladie   IT  Technologies de l'information
NIST Institut national des normes et de la technologie   IaaS Infrastructure en tant que service
PaaS Plate-forme en tant que service   PCI DSS Normes de sécurité des données de l'industrie des cartes de paiement
SaaS Logiciel en tant que service   SEC  Norme de sécurité
SOW Déclaration de travail   VITA  Agence informatique de Virginie

Vous trouverez des définitions supplémentaires dans le glossaire COV ITRM.

DÉCLARATIONS :

DÉCLARATION DE POLITIQUE GÉNÉRALE

Les solutions basées sur l'informatique en nuage sont considérées comme des systèmes informatiques et sont soumises aux mêmes normes d'audit interne et de sécurité que les systèmes et applications hébergés sur place.

DÉCLARATION DE PROCÉDURES

Exigences de l'Agence :

  • Approbation écrite préalable - Les agences du pouvoir exécutif doivent recevoir une approbation écrite via le service de supervision du cloud de l'entreprise VITA, avant d'acquérir, de signer ou de conclure un contrat avec un service hébergé tiers (cloud).
  • Autorisation préalable de VITA - Le fournisseur et le(s) service(s) demandé(s) doivent être identifiés dans le formulaire d'hébergement en nuage de l'entreprise VITA afin de garantir que l'acquisition de services en nuage, d'applications physiques ou virtuelles, de réseaux d'infrastructure, de composants système et de toute installation de centre de données a été autorisée au préalable par VITA.
  • Cservices informatiques bruyants- Chaque demande d'utilisation de services informatiques qui ne sont pas déjà fournis par VITA sera évaluée en fonction du respect des exigences du Commonwealth, du fonctionnement adéquat des services demandés et des conditions d'achat de services en nuage appropriées.
  • Organisme de surveillance et de gouvernance - Toute utilisation de services d'hébergement de tiers (informatique en nuage) doit être encadrée par un organisme de surveillance et de gouvernance. Cet organe de gouvernance certifiera que les exigences en matière de sécurité, de respect de la vie privée et d'autres aspects de la gestion des technologies de l'information ont été correctement prises en compte avant d'approuver l'utilisation de services externes d'informatique en nuage.
  • Période d'approbation - Toutes les demandes d'hébergement de tiers (informatique en nuage) sont valables pendant un an, sauf indication contraire.
  • Service de supervision de l'entreprise dans le nuage - Les demandes de services en nuage de tiers qui ont été approuvées précédemment par le biais de la procédure d'exception de la VITA seront soumises au service de surveillance du nuage de l'entreprise à l'expiration de la demande d'exception approuvée, sauf indication contraire de la part de la VITA.
  • Révision périodique de la politique et des procédures - Le présent document de politique et de procédures sera révisé chaque année ou à la suite de l'apparition d'une question importante qui n'a pas été examinée précédemment.

Exigences du fournisseur :

Les fournisseurs font l'objet d'évaluations récurrentes des risques au moins une fois par an et immédiatement après tout problème important.

  • Conformité à la sécurité - Le fournisseur doit se conformer à toutes les politiques et normes applicables de VITA, telles que décrites dans les politiques, normes et directives de l'ITRM ( & ), y compris les réglementations, politiques, normes et directives fédérales et étatiques appropriées (par exemple, SEC,501 525SEC, IRS 1075 Publication, NIST Risk Management Framework, etc. Le(s) fournisseur(s) respecte(nt) pleinement toutes les normes de sécurité spécifiées, conformément aux classifications de sécurité des données. La conformité aux normes pertinentes ou imposées par des tiers, telles que la loi sur la portabilité et la responsabilité de l'assurance maladie (HIPAA), les informations fiscales fédérales (FTI) et la norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS), doit être détaillée dans la réponse du fournisseur à l'évaluation.  Il s'agit notamment de veiller à ce que tous les composants et services du système d'information restent sur le territoire continental des États-Unis. Ceci a pour but de permettre une gouvernance efficace, une gestion des risques, une assurance et des obligations légales, statutaires et réglementaires pour toutes les relations d'affaires concernées.
  • Exigences en matière d'audit - Le fournisseur doit fournir un audit récent, de préférence un audit de type SOC2 (Service Organization Control Type 2 ). L'agence ou l'organisme d'audit tiers est chargé de réaliser un audit de sécurité dans un délai de 90 jours afin de déterminer les écarts de contrôle entre l'audit fourni et la norme de sécurité de l'information de l'environnement hébergé (SEC525). Si aucun audit n'est fourni, un audit complet des contrôles de sécurité utilisant le SEC525 doit être effectué. Dans le cas contraire, des mesures correctives peuvent être prises, conformément aux conditions générales du contrat. Le fournisseur doit être tenu d'informer immédiatement l'agence et VITA de toute violation de la sécurité par le biais des procédures convenues contractuellement. Le fournisseur doit interdire l'accès, l'utilisation ou la modification non autorisés des données stockées. La méthode et les procédures à cet effet doivent être décrites dans les conditions contractuelles.
  • Modèle de facturation - Le modèle de facturation des services du fournisseur doit être clairement documenté. Cela permet de s'assurer que tous les frais applicables et la structure des frais relatifs au service sont compris.
  • Contrôle des données - Le fournisseur doit à tout moment garder le contrôle des données et, en cas de défaillance, doit fournir à l'agence contractante ses données dans un format et un délai convenus, comme spécifié dans le cahier des charges (SOW). Le fournisseur doit fournir et maintenir des normes d'interopérabilité et de portabilité non propriétaires définies pour l'échange et l'utilisation des informations. Cette exigence vise à prendre en charge les composants interopérables et à faciliter la migration des applications vers et/ou depuis le fournisseur de services en nuage.

Acquisitions :

Cette politique exige que la gestion de la chaîne d'approvisionnement de VITA soit engagée et impliquée dans tout achat de services basés sur le cloud par les agences du pouvoir exécutif.

  • Approbation du libellé du contrat - Tous les libellés des contrats doivent être approuvés par le service de gestion de la chaîne d'approvisionnement de VITA.
  • Conformité - Tout contrat portant sur des services d'informatique en nuage doit contenir une clause stipulant que le fournisseur se conformera à toutes les lois du Commonwealth, aux exigences en matière de sécurité et à toutes les normes et réglementations fédérales ou sectorielles applicables. Le contrat doit contenir des dispositions appropriées définissant les responsabilités du fournisseur de services en nuage et la responsabilité du Commonwealth en ce qui concerne le maintien de toutes les normes et réglementations applicables.
  • Termes et conditions - La gestion de la chaîne d'approvisionnement VITA dispose de termes et conditions de services en nuage à l'usage des agences dans la documentation d'acquisition (appels d'offres et contrats).
  • Conditions des accords de service - Les conditions des accords de service sont identifiées comme un langage contractuel et, en tant que telles, toutes les conditions des accords de service doivent être approuvées par la gestion de la chaîne d'approvisionnement de VITA avant que les accords ne soient signés. Les signatures numériques telles que le fait de cliquer sur "OK" sont considérées comme une signature de contrat et ne doivent pas avoir lieu avant l'examen du contrat.

Plan de continuité:

  • Stratégies de sortie - Les agences doivent définir des plans de sortie explicites pour chaque application faisant appel à un fournisseur non installé sur site. Toute agence du pouvoir exécutif qui passe un contrat pour un service basé sur le cloud doit s'engager et se coordonner avec VITA pour s'assurer que les stratégies de sortie sont documentées pour chaque application ou service utilisé. Le premier plan de sortie (obligatoire) doit être spécifique à l'application et au fournisseur et sera invoqué en cas de défaillance catastrophique telle que, mais sans s'y limiter :
    • Violation importante de la sécurité
    • Faillite du fournisseur
    • Non-respect des lois et règlements applicables
  • Critères de sortie supplémentaires - Le deuxième plan de sortie peut être un plan générique unique qui est invoqué pour toute application ou tout service dont les performances ne sont pas satisfaisantes et qui fait l'objet d'une résiliation anticipée du contrat. En outre, tous les plans de sortie doivent indiquer que les données téléchargées vers un service en nuage par une agence, ses utilisateurs, des citoyens du Commonwealth ou des partenaires doivent rester la propriété de l'agence contractante et ne peuvent pas être utilisées sans autorisation écrite expresse. Elle indique également que, sur demande écrite de l'agence, le fournisseur doit détruire ces informations confidentielles et fournir à l'agence divulgatrice une attestation écrite de cette destruction et cesser toute utilisation ultérieure des informations confidentielles de l'utilisateur autorisé, que ce soit sous une forme matérielle ou immatérielle.

LA POLITIQUE/PROCÉDURE ASSOCIÉE :

Comme le stipule la norme de sécurité de l'information de l'environnement hébergé (SEC525), les services/systèmes fournis en externe et les mesures de protection utilisées dans la transmission électronique ou le stockage des données du Commonwealth et/ou des citoyens doivent faire l'objet d'une évaluation des risques, et la sécurité et l'interopérabilité doivent être maintenues dans tous les systèmes étatiques/nationaux concernés.

RÉFÉRENCE DE L'AUTORITÉ :

Code de la Virginie §2-2.2009 stipule que "le DPI dirige l'élaboration de politiques, de procédures et de normes pour l'évaluation des risques de sécurité, la détermination des mesures de sécurité appropriées et la réalisation d'audits de sécurité de l'information électronique gouvernementale."

AUTRE RÉFÉRENCE :

Norme de sécurité de l'information informatique (SEC 501), norme de sécurité de l'information de l'environnement hébergé (SEC 525), publication 1075de l'IRS et cadre de gestion des risques du NIST.

LES DEMANDES D'EXCEPTION EN MATIÈRE DE POLITIQUE :

Ce document de politique et de procédures exige de VITA, des agences et des fournisseurs qu'ils collaborent à l'établissement de rapports et à l'évaluation des risques et problèmes émergents. Si un chef d'agence détermine que le respect de cette politique aurait un impact négatif sur le processus commercial de l'agence, le chef d'agence peut demander une exception à la politique ou à la norme en soumettant une demande d'exception à VITA. La politique et le formulaire de demande d'exception se trouvent sur la page web des Politiques, Normes et Directives de l'ITRM à l'adresse suivante : Politiques, normes et lignes directrices de l'ITRM & .