10.5 የኮመንዌልዝ ደህንነት መስፈርቶች ለ IT መጠይቆች እና ኮንትራቶች
10.5.0 ለ IT ጥያቄዎች እና ኮንትራቶች የኮመንዌልዝ ደህንነት መስፈርቶች
ክፍል 2.2-2009 የእርሱ የቨርጂኒያ ኮድ የደህንነት አደጋዎችን ለመገምገም፣ ተገቢውን የደህንነት እርምጃዎችን ለመወሰን እና የመንግስት የኤሌክትሮኒክስ መረጃዎችን የደህንነት ኦዲት የማካሄድ ዋና የመረጃ ኦፊሰር (CIO) ፖሊሲዎችን፣ ደረጃዎችን እና መመሪያዎችን የማዘጋጀት ኃላፊነት እንዳለበት ያዛል። እንደዚህ አይነት ፖሊሲዎች፣ ደረጃዎች እና መመሪያዎች የኮመንዌልዝ የስራ አስፈፃሚ፣ የህግ አውጪ እና የፍትህ ቅርንጫፎች እና ገለልተኛ ኤጀንሲዎች ላይ ተፈጻሚ ይሆናሉ። በተጨማሪም በኮመንዌልዝ ህግ አውጪ፣ ህግ አውጪ እና የፍትህ ቅርንጫፎች እና ገለልተኛ ኤጀንሲዎች ለሚገቡት የኢንፎርሜሽን ቴክኖሎጂ ውል ማንኛውም የኢንፎርሜሽን ደህንነት እና ግላዊነትን በተመለከቱ የሚመለከታቸው የፌደራል ህጎች እና ደንቦች ተገዢ መሆንን ይጠይቃል። ኤጀንሲዎች ሁሉንም የደህንነት ፖሊሲዎች፣ ደረጃዎች እና መመሪያዎች (PSGs) እንዲያከብሩ ቢገደዱም፣ የደህንነት ደረጃ SEC530 ከCESC ላልሆኑ የተስተናገዱ የደመና መፍትሄዎች የኤጀንሲው ተገዢነት መስፈርቶችን ያቀርባል። እነዚህ ፒኤስጂዎች በዚህ ዩአርኤል ይገኛሉ፡- https://www.vita.virginia.gov/policy--governance/itrm-policies-standards/
ከዚህም በተጨማሪ እ.ኤ.አ. § 2.2-2009 CIO (i) የእያንዳንዱን አስፈፃሚ ቅርንጫፍ ኤጀንሲ የሳይበር ደህንነት ፖሊሲዎች አመታዊ አጠቃላይ ግምገማ እንዲያካሂድ ይጠይቃል።በተለይም በኢንፎርሜሽን ቴክኖሎጂ ላይ በተፈፀሙ ጥሰቶች እና በኤጀንሲዎች የሳይበር ደህንነት እርምጃዎችን ለማጠናከር በሚወስዷቸው ማናቸውንም እርምጃዎች ላይ ትኩረት በማድረግ እና (ii) ግኝቶቹን ሪፖርት ለምክር ቤቱ የበላይ ኮሚቴ ሰብሳቢዎች እና ለገንዘብ ሴኔት ኮሚቴ ሰብሳቢዎች እንዲያቀርብ ይጠይቃል።
ከደህንነት ስታንዳርድ SEC530 በተጨማሪ ለሶስተኛ ወገን (በአቅራቢው የሚስተናገደው) የደመና አገልግሎቶች ግዥዎች (ማለትም፣ ሶፍትዌር እንደ አገልግሎት) ኤጀንሲዎች $0 የውክልና ስልጣን ስላላቸው እነዚህን አይነት መፍትሄዎች ለመግዛት የ VITA ፍቃድ ለማግኘት የተለየ ሂደት አለ። ከላይ ባለው አገናኝ ላይ የሶስተኛ ወገን አጠቃቀም ፖሊሲን ይመልከቱ። የኤጀንሲዎ የመረጃ ደህንነት ኦፊሰር ወይም AITR ይህንን ሂደት ለመረዳት እና በጥያቄዎ ወይም በኮንትራትዎ ውስጥ የሚያካትቱትን አስፈላጊ ሰነዶችን ለማግኘት ሊረዳዎት ይችላል። በጥያቄዎ እና በኮንትራትዎ ውስጥ መካተት ያለባቸው ልዩ የክላውድ አገልግሎት ውሎች እና ሁኔታዎች እና ተጫራቾች ከሀሳቦቻቸው ጋር እንዲሞሉ እና እንዲያቀርቡ በጥያቄው ውስጥ መካተት ያለበት መጠይቅ አለ። እንዲሁም የሚከተሉትን ማነጋገር ይችላሉ፡- Enterpriseservices@vita.virginia.gov.
ቁልፍ ቃላት ወይም የተለመዱ ቃላትን በመጠቀም መመሪያውን ይፈልጉ።