የእርስዎ አሳሽ JavaScriptን አይደግፍም!

የሶስተኛ ወገን ክላውድ አጠቃቀም ፖሊሲ

በደመና ላይ የተመሰረቱ አገልግሎቶችን መቀበል

የዚህ ፖሊሲ እና የአሠራር ሰነድ ዓላማ

የዚህ ፖሊሲ እና የአሰራር ሰነድ አላማ በ§2 እንደተገለጸው በቨርጂኒያ የኮመንዌልዝ ኦፍ ቨርጂኒያ (COV) ኤጀንሲዎች ሁሉ በደመና ላይ የተመሰረቱ አገልግሎቶችን መቀበልን ማስቻል ነው። 2-2006 የቨርጂኒያ ህግ እና የኮመንዌልዝ ህግ አውጪ፣ የዳኝነት እና ገለልተኛ ኤጀንሲዎች እና እዚህ እንደ “ኤጀንሲ/ኤጀንሲ” ጥቅም ላይ ይውላሉ፣ VITA እንደ የአይቲ አገልግሎት አቅራቢ። የክላውድ ኮምፒዩቲንግ መቀበል በቂ የአይቲ አስተዳደር ለማግኘት አገልግሎት ሰጪውን መገምገም እና ከኮመንዌልዝ ጋር ነባር ውል ያላቸውን የክላውድ አገልግሎቶችን ማካተትን ይጨምራል።

ዳራ፡

ብሔራዊ የደረጃዎች እና ቴክኖሎጂ ኢንስቲትዩት (NIST) የደመና ማስላትን እንደሚከተለው ይገልፀዋል፡- “በሁሉም ቦታ የሚገኝ፣ ምቹ እና በፍላጎት ላይ ያለ የአውታረ መረብ መዳረሻ ወደ የጋራ መዋቅራዊ የኮምፒዩተር ግብዓቶች (ለምሳሌ አውታረ መረቦች፣ አገልጋዮች፣ ማከማቻ፣ አፕሊኬሽኖች እና አገልግሎቶች) በፍጥነት የሚቀርብ እና የሚለቀቅ በአነስተኛ የአስተዳደር ጥረት ወይም በአገልግሎት ሰጪ መስተጋብር። የጋራ ሀብቱ የNIST ትርጓሜዎችን እንደ የደመና ማስላት ስትራቴጂያዊ አካሄድ አካል አድርጎ ተቀብሏል። በዚያ ጉዲፈቻ መሰረት፣ የደመና አገልግሎቶች ከሶስቱ የአገልግሎት ሞዴሎች ሶፍትዌር በአንዱ እንደ አገልግሎት (SaaS)፣ መድረክ እንደ አገልግሎት (PaaS) እና መሠረተ ልማት እንደ አገልግሎት (IaaS) ይመደባሉ።

እነዚህን ፍቺዎች የሚያሟሉ አገልግሎቶችን በVITA አገልግሎት ፖርትፎሊዮ ውስጥ ለማካተት የደመና ግምገማ አገልግሎት ተፈጥሯል። ይህ ሂደት የኮመንዌልዝ ካስቀመጣቸው የአሠራር እና የደህንነት መስፈርቶች ጋር በተጣጣመ መልኩ የአይቲ አገልግሎት ለመስጠት የተጠየቀውን አገልግሎት አቅም ይገመግማል።

ወሰን፡

ይህ የፖሊሲ እና የአሰራር ሂደት ሰነድ VITA የአይቲ አገልግሎት ለሚሰጥባቸው ኤጀንሲዎች ሁሉ ተፈጻሚ ይሆናል። በአሁኑ ጊዜ በVITA በሚሰጡት አገልግሎቶች ውስጥ ያልተካተቱ እና ሁሉንም የVITA ቅድመ ሁኔታ የአስተዳደር ፍቃድ የተቀበሉትን የአይቲ አገልግሎት የማግኘት ጥያቄን ይመለከታል።

መግለጫዎች፡-

CIO ዋና የመረጃ ኦፊሰር   ኤፍቲአይ  የፌዴራል የግብር መረጃ
HIPAA የጤና ኢንሹራንስ ተንቀሳቃሽነት እና ተጠያቂነት ህግ   የአይቲ  የመረጃ ቴክኖሎጂ
NIST የደረጃዎች እና ቴክኖሎጂ ብሔራዊ ተቋም   IaaS መሠረተ ልማት እንደ አገልግሎት
ፓኤኤስ መድረክ እንደ አገልግሎት   PCI DSS የክፍያ ካርድ ኢንዱስትሪ የውሂብ ደህንነት ደረጃ
ሳአኤስ ሶፍትዌር እንደ አገልግሎት   SEC  የደህንነት ደረጃ
ዘሩ የሥራ መግለጫ   ቪታ  የVirginia የመረጃ ቴክኖሎጂ ኤጀንሲ

ተጨማሪ ትርጓሜዎች በ COV ITRM መዝገበ ቃላት ውስጥ ይገኛሉ።

መግለጫዎች፡-

ፖሊሲ መግለጫ

በክላውድ ላይ የተመሰረቱ መፍትሄዎች እንደ IT ሲስተም ተደርገው ይወሰዳሉ እና እንደ ስርአቶች እና አፕሊኬሽኖች በግቢው ውስጥ ለተመሳሳይ የውስጥ ኦዲት እና የደህንነት መስፈርቶች ተገዢ ናቸው።

የሂደቶች መግለጫ

የኤጀንሲው መስፈርቶች፡-

  • የቅድሚያ የጽሁፍ ማረጋገጫ - አስፈፃሚ ቅርንጫፍ ኤጀንሲዎች ከሦስተኛ ወገን የተስተናገደ (ደመና) አገልግሎት ጋር ከመግዛት፣ ከመፈረም ወይም ሌላ ውል ከመግባታቸው በፊት በVITA ኢንተርፕራይዝ የደመና ቁጥጥር አገልግሎት በኩል የጽሁፍ ማረጋገጫ መቀበል አለባቸው።
  • VITA ቅድመ-ፍቃድ - አቅራቢው እና የተጠየቁ አገልግሎት(ዎች) በ VITA ኢንተርፕራይዝ የደመና ማስተናገጃ ቅጽ ውስጥ መታወቅ አለባቸው ደመናን መሰረት ያደረጉ አገልግሎቶችን፣ አካላዊ ወይም ምናባዊ አፕሊኬሽኖችን፣ የመሠረተ ልማት አውታርን፣ የስርዓት ክፍሎችን እና ማንኛውም የውሂብ ማዕከል ፋሲሊቲዎች በVITA ቀድመው የተፈቀዱ ናቸው።
  • Cከፍተኛ የኮምፒውተር አገልግሎቶች - በVITA ያልተሰጡ እያንዳንዱ የአይቲ አገልግሎቶችን ለመጠቀም የሚጠየቁት የኮመንዌልዝ መስፈርቶችን ለማክበር፣ ለተጠየቁት አገልግሎቶች በቂ አሠራር እና ተገቢ የደመና አገልግሎት የግዥ ውሎች እና ሁኔታዎች ይገመገማሉ።
  • የቁጥጥር እና የአስተዳደር አካል - ሁሉም የሶስተኛ ወገን ማስተናገጃ (ክላውድ ኮምፒዩቲንግ) አገልግሎቶች አጠቃቀም ቁጥጥር እና የአስተዳደር አካል ሊኖራቸው ይገባል. የውጭ ደመና ማስላት አገልግሎቶችን መጠቀም ከመፈቀዱ በፊት ይህ የአስተዳደር አካል ደህንነት፣ ግላዊነት እና ሌሎች የአይቲ አስተዳደር መስፈርቶች በበቂ ሁኔታ እንደተፈቱ ያረጋግጣል።
  • የማረጋገጫ ጊዜ - ሁሉም የሶስተኛ ወገን ማስተናገጃ (የደመና ማስላት) ጥያቄዎች በሌላ መልኩ ካልተገለጸ በቀር ለአንድ አመት የሚሰሩ ናቸው።
  • የድርጅት ደመና ቁጥጥር አገልግሎት - ከዚህ ቀደም በVITA የቀድሞ ልዩ ሂደት የጸደቁት የሶስተኛ ወገን የደመና አገልግሎት ጥያቄዎች በVITA ካልተገለጸ በስተቀር የተፈቀደው የልዩነት ጥያቄ ሲያልቅ ለድርጅት ደመና ቁጥጥር አገልግሎት ተገዢ ይሆናሉ።
  • የፖሊሲ እና የአሰራር ሂደቶች ወቅታዊ ግምገማ - ይህ የፖሊሲ እና የአሰራር ሂደት ሰነድ በየአመቱ ይገመገማል ወይም ከዚህ ቀደም ያልታሰበ ጉልህ ችግር ካለ በኋላ ይገመገማል።

የአቅራቢ መስፈርቶች፡-

አቅራቢዎች ቢያንስ በዓመት ተደጋጋሚ የአደጋ ግምገማ ሊደረግባቸው ይችላል እና ወዲያውኑ ማንኛውንም አስፈላጊ ጉዳዮችን ይከተሉ።

  • የደህንነት ተገዢነት – አቅራቢው አግባብ የሆኑ የክልል እና የፌዴራል ደንቦችን፣ ፖሊሲዎችን፣ ደረጃዎችን እና መመሪያዎችን (ለምሳሌ SEC 501 ፣ SEC 525 ፣ IRS ሕትመት 1075 ፣ NIST ስጋት አስተዳደር ማዕቀፍ፣ ወዘተ.) የጋራ የመረጃ መረጃን ለመጠበቅ በITRM ፖሊሲዎች፣ ደረጃዎች እና መመሪያዎች ውስጥ በተገለጹት ሁሉንም የሚመለከታቸው የVITA መመሪያዎችን ማክበር አለበት። አቅራቢው(ዎች) ከመረጃው የደህንነት ምደባዎች ጋር በተጣጣመ መልኩ ሁሉንም የተገለጹ የደህንነት ደረጃዎች ሙሉ በሙሉ ማክበር አለባቸው። እንደ የጤና መድህን ተንቀሳቃሽነት እና ተጠያቂነት ህግ (HIPAA)፣ የፌደራል የታክስ መረጃ (ኤፍቲአይ) እና የክፍያ ካርድ ኢንዱስትሪ የመረጃ ደህንነት ደረጃ (PCI DSS) ያሉ አግባብነት ያላቸው ወይም የታዘዙ የሶስተኛ ወገን ደረጃዎችን ማክበር በአቅራቢው ግምገማ ምላሽ ውስጥ በዝርዝር መቅረብ አለበት።  ይህ ሁሉንም የመረጃ ስርዓት አካላት እና አገልግሎቶች በአህጉራዊ ዩናይትድ ስቴትስ ውስጥ መቆየታቸውን ማረጋገጥን ያካትታል። ይህ በሁሉም ተጽዕኖ የንግድ ግንኙነቶች ውጤታማ አስተዳደርን ፣ የአደጋ አስተዳደርን ፣ ዋስትናን እና ህጋዊ ፣ ህጋዊ እና የቁጥጥር ተገዢነት ግዴታዎችን ለማስቻል የታሰበ ነው።
  • የኦዲት መስፈርት - አቅራቢው በቅርቡ የተጠናቀቀ ኦዲት ማቅረብ አለበት፣ በተለይም የአገልግሎት ድርጅት ቁጥጥር አይነት 2 (SOC2)። ኤጀንሲው ወይም የሶስተኛ ወገን ኦዲት ድርጅት በቀረበው ኦዲት እና በተስተናገደው የአካባቢ መረጃ ደህንነት ደረጃ (SEC525) መካከል ያሉ የቁጥጥር ክፍተቶችን ለማወቅ በ 90 ቀናት ውስጥ የደህንነት ኦዲት የማካሄድ ሃላፊነት አለበት። ምንም ኦዲት ካልቀረበ፣ SEC525 በመጠቀም የተሟላ የደህንነት ቁጥጥር ኦዲት መደረግ አለበት። ይህን አለማድረግ በውሉ ውል እና ሁኔታዎች ላይ በተገለፀው መሰረት መፍትሄዎች እንዲጣሉ ሊያደርግ ይችላል. አቅራቢው ማንኛውንም የደህንነት ጥሰት ለኤጀንሲው እና ለVITA ወዲያውኑ የማሳወቅ ግዴታ አለበት። አቅራቢው ያልተፈቀደ መዳረሻ እና መጠቀም ወይም የተከማቸ ውሂብን መከልከል አለበት። የዚህ ዘዴ ዘዴ እና ሂደቶች በውሉ ውስጥ መገለጽ አለባቸው.
  • የመመለሻ ሞዴል - የአቅራቢው አገልግሎት መልሶ ክፍያ ሞዴል በግልፅ መመዝገብ አለበት። ይህ ሁሉም የሚመለከታቸው ክፍያዎች እና የክፍያ አወቃቀሮች ከአገልግሎቱ ጋር የተያያዙ መሆናቸውን ያረጋግጣል።
  • የመረጃ ቁጥጥር - አቅራቢው ሁል ጊዜ መረጃውን መቆጣጠር አለበት እና የግዳጅ ጥፋት ሲከሰት በስራ መግለጫው (SOW) ውስጥ በተገለፀው መሠረት ውሂቡን በተስማሙበት ቅርጸት እና የጊዜ ገደብ ውስጥ ለኮንትራክተሩ ኤጀንሲ መስጠት አለበት ። አቅራቢው ለመረጃ ልውውጥ እና አጠቃቀም የተገለጹ የባለቤትነት-ነክ ያልሆኑ መስተጋብር እና የተንቀሳቃሽነት ደረጃዎችን ማቅረብ እና መጠበቅ አለበት። ይህ መስፈርት እርስ በርስ ሊተባበሩ የሚችሉ ክፍሎችን ለመደገፍ እና መተግበሪያዎችን ወደ እና/ወይም ከደመና አቅራቢዎች ለማዛወር የታሰበ ነው።

ግዢዎች፡-

ይህ ፖሊሲ የVITA አቅርቦት ሰንሰለት አስተዳደር ሥራ አስፈፃሚ ቅርንጫፍ ኤጀንሲዎች በሚያደርጉት ማንኛውም የደመና ላይ የተመሰረተ አገልግሎት ግዥ ላይ እንዲሰማራ እና እንዲሳተፍ ይፈልጋል።

  • የውል ቋንቋ ማጽደቅ - ሁሉም የውል ቋንቋ በVITA አቅርቦት ሰንሰለት አስተዳደር መጽደቅ አለበት።
  • ማክበር - ማንኛውም የደመና ማስላት አገልግሎቶች ኮንትራቶች አቅራቢው ሁሉንም የኮመንዌልዝ ህጎችን፣ የደህንነት መስፈርቶችን እና ማንኛውንም የሚመለከታቸው የፌዴራል ወይም የኢንዱስትሪ ደረጃዎችን እና ደንቦችን እንደሚያከብር የሚገልጽ ቋንቋ ማካተት አለበት። የደመና አገልግሎት ሰጪውን ሃላፊነት እና የጋራ ሀብቱን ሁሉንም የሚመለከታቸው ደረጃዎች እና ደንቦችን የማስጠበቅ ሃላፊነት በሚገልጽ የውል ተሽከርካሪ ውስጥ ተገቢ ቋንቋ መካተት አለበት።
  • ውሎች እና ሁኔታዎች - የ VITA አቅርቦት ሰንሰለት አስተዳደር የደመና አገልግሎት ውሎች እና ሁኔታዎች ለኤጀንሲው የግዥ ሰነዶች (ልመናዎች እና ኮንትራቶች) ጥቅም ላይ ይውላሉ።
  • የአገልግሎት ስምምነቶች ጊዜ - የአገልግሎት ስምምነቶች ውሎች እንደ ውል ቋንቋ ተለይተዋል እናም ስለዚህ ማንኛውም የአገልግሎት ስምምነቶች ቃል ከመፈረም በፊት በVITA አቅርቦት ሰንሰለት አስተዳደር መጽደቅ አለበት። እንደ "እሺ" ን ጠቅ ማድረግ ያሉ ዲጂታል ፊርማዎች ውል ለመፈረም ይቆጠራሉ እና ከኮንትራቱ ግምገማ በፊት መከሰት የለባቸውም።

ቀጣይነት እቅድ ማውጣት:

  • የመውጫ ስልቶች - ኤጀንሲዎች በግንባር ላይ ያልተመሰረተ አቅራቢን ለሚጠቀም ለእያንዳንዱ መተግበሪያ ግልጽ የሆኑ የመውጫ እቅዶችን መለየት አለባቸው። ማንኛውም የአስፈፃሚ ቅርንጫፍ ኤጀንሲ በዳመና ላይ የተመሰረተ አገልግሎት የሚዋዋለው ለእያንዳንዱ መተግበሪያ ወይም አገልግሎት የመውጫ ስልቶች መመዝገቡን ለማረጋገጥ ከVITA ጋር መሳተፍ እና ማስተባበር አለበት። የመጀመሪያው የመውጫ እቅድ (የሚያስፈልግ) አተገባበር እና አቅራቢው ብቻ መሆን አለበት እና በአደጋ ጊዜ የሚጠራ ሲሆን ነገር ግን በሚከተሉት አይወሰንም፡-
    • ጉልህ የሆነ የደህንነት ጥሰት
    • የአቅራቢዎች ኪሳራ
    • የሚመለከታቸውን ህጎች እና መመሪያዎችን አለማክበር
  • ተጨማሪ የመውጫ መመዘኛዎች - ሁለተኛው የመውጫ እቅድ በበቂ ሁኔታ ማከናወን ላልቻለ እና ውሉ አስቀድሞ ሊቋረጥ ለሚችል ማንኛውም መተግበሪያ ወይም አገልግሎት የሚቀርብ ነጠላ አጠቃላይ እቅድ ሊሆን ይችላል። እንዲሁም ሁሉም የመውጫ ዕቅዶች በኤጀንሲው፣ በተጠቃሚዎቹ፣ በጋራ ሀብቱ ወይም በአጋሮቹ ወደ ደመና አገልግሎት የሚሰቀሉ መረጃዎች የኮንትራት ኤጀንሲው ንብረት ሆነው እንዲቀጥሉ እና ከጽሑፍ ፈቃድ ውጭ ጥቅም ላይ መዋል እንደማይችሉ መጠቆም አለባቸው። በተጨማሪም ኤጀንሲው በጽሁፍ ሲጠየቅ አቅራቢው ሚስጥራዊ መረጃን በማጥፋት እና ጥፋት ለደረሰበት ኤጀንሲ በጽሁፍ የምስክር ወረቀት በመስጠት እና በተጨባጭም ሆነ በማይዳሰስ መልኩ የተፈቀደውን የተጠቃሚውን ሚስጥራዊ መረጃ መጠቀምን ያቆማል።

የተያያዘ ፖሊሲ/ሂደት፡-

በተስተናገደው የአካባቢ መረጃ ደህንነት ደረጃ (SEC525) ላይ እንደተገለጸው፣ በኤሌክትሮኒካዊ ስርጭት ወይም የጋራ ሀብት እና/ወይም የዜጎችን መረጃ ለማከማቸት በውጭ የሚሰጡ አገልግሎቶች/ስርዓቶች እና መከላከያዎች ለአደጋ ሊገመገሙ ይገባል፣ እና ደህንነት እና መስተጋብር በሁሉም አግባብነት ባላቸው የስቴት/አገራዊ ስርዓቶች ላይ መጠበቅ አለበት።

የስልጣን ማጣቀሻ፡-

የቨርጂኒያ ኮድ §2-2.2009 "ሲአይኦ የደህንነት ስጋቶችን ለመገምገም, ተገቢውን የደህንነት እርምጃዎችን ለመወሰን እና የመንግስት የኤሌክትሮኒክስ መረጃዎችን የደህንነት ኦዲት ለማካሄድ ፖሊሲዎችን, ሂደቶችን እና ደረጃዎችን ማዘጋጀት ይመራል."

ሌላ ማጣቀሻ፡-

የአይቲ መረጃ ደህንነት ደረጃ (SEC 501)፣ የተስተናገደ የአካባቢ መረጃ ደህንነት ደረጃ (SEC 525)፣ IRS ሕትመት 1075 እና የNIST ስጋት አስተዳደር ማዕቀፍ።

ከፖሊሲ በስተቀር ጥያቄዎች፡-

ይህ የፖሊሲ እና የአሰራር ሂደት ሰነድ VITA፣ ኤጀንሲዎች እና አቅራቢዎች እያደጉ ያሉ ስጋቶችን እና ጉዳዮችን ሪፖርት በማድረግ እና ግምገማ ላይ አብረው እንዲሰሩ ይጠይቃል። የኤጀንሲው ኃላፊ ይህንን ፖሊሲ ማክበር በኤጀንሲው የንግድ ሂደት ላይ አሉታዊ ተጽዕኖ እንደሚያሳድር ከወሰነ፣ የኤጀንሲው ኃላፊ ለየት ያለ ጥያቄ ለ VITA በማቅረብ ከፖሊሲው ወይም ከደረጃው የተለየ ጥያቄ ሊጠይቅ ይችላል። የፖሊሲ እና ልዩ የጥያቄ ቅጹ በ ITRM ፖሊሲዎች፣ ደረጃዎች እና መመሪያዎች ድረ-ገጽ ላይ በ ITRM ፖሊሲዎች፣ ደረጃዎች እና መመሪያዎች ላይ ይገኛል።