متصفحك لا يدعم جافا سكريبت!

سياسة استخدام الطرف الثالث لخدمات السحابة

اعتماد الخدمات المستندة إلى السحابة

الغرض من وثيقة السياسة والإجراءات هذه

الغرض من وثيقة السياسة والإجراءات هذه هو تمكين اعتماد الخدمات المستندة إلى السحابة، عند الاقتضاء، عبر وكالات كومنولث فرجينيا (COV)، على النحو المحدد في المادة 2.2-2006 من قانون فرجينيا والوكالات التشريعية والقضائية والمستقلة في الكومنولث والمستخدمة هنا باسم "الوكالة/الوكالات"، باستخدام VITA كمزود لخدمات تكنولوجيا المعلومات. سيشمل اعتماد الحوسبة السحابية تقييم مزود الخدمة من أجل إدارة تكنولوجيا المعلومات بشكل مناسب بالإضافة إلى فهرسة الخدمات السحابية التي لديها عقود قائمة مع الكومنولث.

الخلفية:

يعرّف المعهد الوطني للمعايير والتكنولوجيا (NIST) الحوسبة السحابية بأنها: "نموذج لإتاحة الوصول الشبكي المريح والملائم عند الطلب في كل مكان إلى مجموعة مشتركة من موارد الحوسبة القابلة للتهيئة (مثل الشبكات والخوادم والتخزين والتطبيقات والخدمات) التي يمكن توفيرها وإصدارها بسرعة بأقل جهد إداري أو تفاعل مع مزود الخدمة." اعتمد الكومنولث تعريفات NIST كجزء من النهج الاستراتيجي للحوسبة السحابية. وتماشيًا مع هذا الاعتماد، تُصنف الخدمات السحابية في واحد من ثلاثة نماذج للخدمات البرمجيات كخدمة (SaaS)، والمنصة كخدمة (PaaS)، والبنية التحتية كخدمة (IaaS).

لدمج الخدمات التي تفي بهذه التعريفات في مجموعة خدمات VITA، تم إنشاء خدمة التقييم السحابي. ستعمل هذه العملية على تقييم قدرات الخدمة المطلوبة لتقديم خدمات تكنولوجيا المعلومات بطريقة تتوافق مع المتطلبات التشغيلية والأمنية التي وضعها الكومنولث.

النطاق:

تنطبق وثيقة السياسة والإجراءات هذه على جميع الوكالات التي تقدم لها VITA خدمات تكنولوجيا المعلومات. يتعلق الأمر بطلب الحصول على خدمات تكنولوجيا المعلومات غير المدرجة حاليًا ضمن الخدمات التي تقدمها VITA والتي حصلت على جميع موافقات الحوكمة المطلوبة مسبقًا من VITA.

المصطلحات:

رئيس قسم المعلومات رئيس قسم المعلومات   FTI  المعلومات الضريبية الفيدرالية
قانون HIPAA قانون قابلية التأمين الصحي والمساءلة والمحاسبة   تكنولوجيا المعلومات  تكنولوجيا المعلومات
المعهد الوطني للمعايير والتكنولوجيا والابتكار المعهد الوطني للمعايير والتكنولوجيا   IaaS البنية التحتية كخدمة
PaaS المنصة كخدمة   PCI DSS معيار أمن بيانات صناعة بطاقات الدفع
البرمجيات كخدمة SaaS البرمجيات كخدمة   لجنة الأوراق المالية والبورصة  معيار الأمان
عرض المنتج بيان العمل   فيتا  وكالة تكنولوجيا المعلومات في فرجينيا

يمكن الاطلاع على تعريفات إضافية في مسرد مصطلحات آلية الاستجابة السريعة المتكاملة COV.

البيانات:

بيان السياسة

تُعتبر الحلول المستندة إلى السحابة أنظمة تكنولوجيا المعلومات وتخضع لنفس معايير التدقيق الداخلي ومعايير الأمان التي تخضع لها الأنظمة والتطبيقات المستضافة في الموقع.

بيان الإجراءات

متطلبات الوكالة:

  • موافقة كتابية مسبقة - يجب أن تحصل الوكالات التابعة للفرع التنفيذي على موافقة كتابية عبر خدمة الإشراف على السحابة المؤسسية VITA، قبل الشراء أو التوقيع أو التعاقد بأي طريقة أخرى مع خدمة (سحابة) مستضافة من طرف ثالث (سحابة).
  • التفويض المسبق من VITA - يجب تحديد المورد والخدمة (الخدمات) المطلوبة في نموذج الاستضافة السحابية للمؤسسة VITA لضمان الحصول على الخدمات المستندة إلى السحابة والتطبيقات المادية أو الافتراضية وشبكة البنية التحتية ومكونات النظام وأي مرافق مركز بيانات قد تم تفويضها مسبقًا من قبل VITA.
  • Cخدمات الحوسبة الصاخبة- سيتم تقييم كل طلب للاستفادة من خدمات تكنولوجيا المعلومات غير المقدمة بالفعل من قبل VITA للتأكد من الالتزام بمتطلبات الكومنولث، والتشغيل المناسب للخدمات المطلوبة، وشروط وأحكام شراء الخدمات السحابية المناسبة.
  • هيئة الإشراف والحوكمة - يجب أن يكون لكل استخدام لخدمات الاستضافة الخارجية (الحوسبة السحابية) هيئة إشراف وحوكمة. ستصادق هيئة الحوكمة هذه على أن متطلبات الأمن والخصوصية ومتطلبات إدارة تكنولوجيا المعلومات الأخرى قد تمت معالجتها بشكل كافٍ قبل الموافقة على استخدام خدمات الحوسبة السحابية الخارجية.
  • فترة الموافقة - جميع طلبات الاستضافة من طرف ثالث (الحوسبة السحابية) صالحة لمدة عام واحد ما لم ينص على خلاف ذلك.
  • خدمة الإشراف على السحابة السحابية للمؤسسات - تخضع طلبات الخدمات السحابية للجهات الخارجية التي تمت الموافقة عليها مسبقًا من خلال عملية الاستثناء السابقة لـ VITA لخدمة الإشراف على السحابة المؤسسية عند انتهاء صلاحية طلب الاستثناء المعتمد ما لم تحدد VITA خلاف ذلك.
  • المراجعة الدورية للسيا سة والإجراءات - ستتم مراجعة وثيقة السياسة والإجراءات هذه سنويًا أو بعد ظهور أي مشكلة مهمة لم يتم النظر فيها من قبل.

متطلبات الموردين:

يخضع الموردون لتقييمات متكررة للمخاطر سنويًا على الأقل وفور حدوث أي مشاكل كبيرة.

  • الامتثال الأمني - يجب أن يمتثل المورد لجميع سياسات ومعايير VITA المعمول بها على النحو المبين في سياسات ومعاييرإدارة المعلومات والاتصالات السارية في الكومنولث & المبادئ التوجيهية لتشمل اللوائح والسياسات والمعايير والمبادئ التوجيهية المناسبة على مستوى 501 525الولاية والمستوى الفيدرالي (على سبيل المثال، SEC ، SEC 1075 ، منشور مصلحة الضرائب الأمريكية ، إطار عمل إدارة المخاطر NIST، إلخ) لحماية معلومات وبيانات الكومنولث. يجب على المورد (الموردين) الامتثال التام لجميع معايير الأمان المحددة بما يتماشى مع التصنيفات الأمنية للبيانات. يجب أن يتم تفصيل الامتثال لمعايير الطرف الثالث ذات الصلة أو الإلزامية مثل قانون قابلية التأمين الصحي والمساءلة (HIPAA)، والمعلومات الضريبية الفيدرالية (FTI)، ومعيار أمن بيانات صناعة بطاقات الدفع (PCI DSS) ضمن استجابة المورد للتقييم.  ويشمل ذلك ضمان بقاء جميع مكونات نظام المعلومات وخدماته داخل الولايات المتحدة الأمريكية. ويهدف ذلك إلى تمكين الحوكمة وإدارة المخاطر والضمان والالتزامات القانونية والتشريعية والتنظيمية والامتثال القانوني والتنظيمي بفعالية من قبل جميع علاقات العمل المتأثرة.
  • متطلبات التدقيق - يجب أن يقدم المورد تدقيقًا مكتملًا حديثًا، ويفضل أن يكون تدقيقًا من نوع مراقبة مؤسسة الخدمة 2 (SOC2). تكون الوكالة أو مؤسسة التدقيق التابعة لجهة خارجية مسؤولة عن إجراء تدقيق أمني في غضون 90 يوم لتحديد ثغرات التحكم بين التدقيق المقدم ومعيار أمن معلومات البيئة المستضافة (SEC525). إذا لم يتم توفير تدقيق، يجب إجراء تدقيق كامل لضوابط الأمان باستخدام SEC525. قد يؤدي عدم القيام بذلك إلى فرض تعويضات على النحو المبين في شروط وأحكام العقد. يجب أن يلتزم المورد بإخطار الوكالة و VITA على الفور بأي خرق أمني من خلال الإجراءات المتفق عليها في العقد. يجب على المورد حظر الوصول غير المصرح به إلى البيانات المخزنة واستخدامها أو تغييرها. يجب تحديد طريقة وإجراءات ذلك في الشروط التعاقدية.
  • نموذج استرداد التكاليف - يجب أن يكون نموذج استرداد التكاليف الخاص بخدمة المورد موثقاً بوضوح. وهذا يضمن فهم جميع الرسوم المطبقة وهيكل الرسوم من حيث صلتها بالخدمة.
  • التحكم في البيانات - يجب على المورد في جميع الأوقات أن يحتفظ بالسيطرة على البيانات وفي حالة حدوث تقصير قسري يجب عليه تزويد الوكالة المتعاقدة ببياناته بالصيغة والإطار الزمني المتفق عليهما كما هو محدد في بيان العمل (SOW). يجب على المورد توفير معايير غير مملوكة للتشغيل البيني وقابلية النقل المحددة لتبادل المعلومات واستخدامها والحفاظ عليها. يهدف هذا الشرط إلى دعم المكونات القابلة للتشغيل البيني وتسهيل ترحيل التطبيقات إلى و/أو من مورد السحابة.

عمليات الاستحواذ:

تتطلب هذه السياسة أن يتم إشراك إدارة سلسلة التوريد الخاصة بـ VITA وإشراكها في أي عملية شراء للخدمات السحابية من قبل الوكالات التابعة للفرع التنفيذي.

  • الموافقة على لغة العقد - يجب أن توافق إدارة سلسلة التوريد في VITA على جميع لغات العقود.
  • الامتثال - يجب أن تتضمن أي عقود لخدمات الحوسبة السحابية لغة تنص على أن المورد سيلتزم بجميع قوانين الكومنولث ومتطلبات الأمان وأي معايير ولوائح فيدرالية أو صناعية معمول بها. يجب تضمين لغة مناسبة في وسيلة العقد تحدد مسؤوليات مزود الخدمة السحابية ومسؤولية الكومنولث عن الحفاظ على جميع المعايير واللوائح المعمول بها.
  • الشروط والأحكام - لدى إدارة سلسلة التوريد VITA شروط وأحكام الخدمات السحابية للوكالة لاستخدامها في وثائق الاستحواذ (طلبات تقديم العروض والعقود).
  • شروط اتفاقيات الخدمة - يتم تحديد شروط اتفاقيات الخدمة كلغة عقد، وبالتالي يجب أن تتم الموافقة على أي اتفاقيات خدمة محددة المدة من قبل إدارة سلسلة التوريد في VITA قبل توقيع أي اتفاقيات. تعتبر التوقيعات الرقمية مثل النقر على "موافق" توقيعاً على العقد ولا يجوز أن تتم قبل مراجعة العقد.

تخطيط الاستمرارية:

  • استراتيجيات الخروج - يجب على الوكالات تحديد خطط خروج واضحة لكل تطبيق يستفيد من مورد غير محلي. يجب على أي وكالة تابعة للفرع التنفيذي تتعاقد على خدمة قائمة على السحابة أن تشارك وتنسق مع VITA لضمان توثيق استراتيجيات الخروج لكل تطبيق أو خدمة يتم استخدامها. يجب أن تكون خطة الخروج الأولى (مطلوبة) خاصة بالتطبيق والمورّد، وسيتم اللجوء إليها في حالة حدوث عطل كارثي مثل، على سبيل المثال لا الحصر:
    • اختراق أمني كبير
    • إفلاس الموردين
    • عدم الامتثال للقوانين واللوائح المعمول بها
  • معايير الخروج الإضافية - قد تكون خطة الخروج الثانية خطة عامة واحدة يتم اللجوء إليها لأي تطبيق أو خدمة تفشل في الأداء بشكل كافٍ وتخضع للإنهاء المبكر للعقد. بالإضافة إلى ذلك، يجب أن تشير جميع خطط الخروج إلى أن البيانات التي يتم تحميلها إلى الخدمة السحابية من قبل الوكالة أو مستخدميها أو مواطني الكومنولث أو الشركاء يجب أن تظل ملكًا للوكالة المتعاقدة ولا يمكن استخدامها دون إذن كتابي صريح. كما يجب أن تشير أيضًا إلى أنه بناء على طلب خطي من الوكالة، يجب على المورد إتلاف هذه المعلومات السرية وتزويد الوكالة المفصحة بشهادة خطية بهذا الإتلاف والتوقف عن أي استخدام آخر للمعلومات السرية للمستخدم المصرح له، سواء في شكل ملموس أو غير ملموس.

السياسة/الإجراءات المرتبطة بها:

وكما ورد في معيار أمن المعلومات في البيئة المستضافة (SEC525)، يجب تقييم المخاطر التي تتعرض لها الخدمات/النظم المقدمة من الخارج والضمانات المستخدمة في النقل الإلكتروني أو تخزين بيانات الكومنولث و/أو بيانات المواطنين أو كليهما، ويجب الحفاظ على الأمن وقابلية التشغيل البيني عبر جميع أنظمة الدولة/الأنظمة الوطنية ذات الصلة.

مرجع السلطة:

قانون ولاية فيرجينيا §2-2.2009 ينص على أن "يقوم مدير تقنية المعلومات بتوجيه تطوير السياسات والإجراءات والمعايير الخاصة بتقييم المخاطر الأمنية وتحديد التدابير الأمنية المناسبة وإجراء عمليات التدقيق الأمني للمعلومات الإلكترونية الحكومية."

مراجع أخرى:

معيار أمن معلومات تكنولوجيا المعلومات (SEC 501)، ومعيار أمن معلومات البيئة المستضافة (SEC 525)، ومنشور IRS 1075، وإطار عمل إدارة المخاطر NIST.

طلبات استثناءات السياسة:

تتطلب وثيقة السياسة والإجراءات هذه من VITA والوكالات والموردين العمل معًا على الإبلاغ عن المخاطر والقضايا الناشئة وتقييمها. إذا قرر رئيس الوكالة أن الامتثال لهذه السياسة من شأنه أن يؤثر سلبًا على سير العمل في الوكالة، يجوز لرئيس الوكالة طلب استثناء من السياسة أو المعيار من خلال تقديم طلب استثناء إلى VITA. يوجد نموذج طلب السياسة والاستثناءات على صفحة سياسات ومعايير وإرشادات الآلية على الويب على العنوان التالي: سياسات ومعايير وإرشادات ITRM & المبادئ التوجيهية.