공급업체의 모든 정보 기술 상품 또는 서비스 이행 또는 제공에는 VITA 규정이 적용됩니다.
본 VITA 규정은 VITA 및 기타 공공 단체, 기관, 위원회 및 VITA 계약에 따라 서비스를 받는 연방의 기타 하위 부서("고객")에 의해 개발되었습니다.
공급업체는 상품과 서비스를 수령, 사용 또는 소비하는 공공 기관의 규정 준수를 허용하고 지원하는 방식으로 항상 상품을 제공하고 서비스를 수행해야 합니다.
아래 나열된 특정 표준 및 정책에 추가하여, 이에 국한되지 않고, 연방에 제공되거나 연방 데이터에 액세스, 처리 또는 저장하는 데 사용될 수 있는 모든 하드웨어, 시스템 및 서비스는 상품 및 서비스 제공 시점에 유효한 모든 해당 연방 및 연방 법률, 규정, 정책, 지침 및 표준을 준수해야 합니다.
-
커먼웰스 정보 보안, 엔터프라이즈 아키텍처, 프로젝트 관리 및 프로그램 관리 정책과 표준은 다음 페이지에서 확인할 수 있습니다:
- 연방 기술 로드맵은 코로나19 IT 솔루션 및 애플리케이션을 개발, 호스팅, 지원하는 데 사용할 수 있는 승인된 기술을 제공합니다. 또한 이러한 기술에 대한 지원 수명 주기도 정의합니다.
연방법, 규정, 정책 및 표준
공급업체가 해당 연방법, 규정, 표준 및 정책을 준수해야 하는 계약상의 의무를 제한하지 않고, 다음은 VITA가 VITA 규칙의 일부로 통합하는 연방법, 규정, 정책 및 표준의 목록입니다:
- 건강 보험 이동성 및 책임에 관한 법률(HIPAA-HITECH)
- 개인 식별이 가능한 건강 정보에 대한 연방 개인정보 보호법
- 전자 보호 건강 정보 보호를 위한 표준
- 사회보장국 데이터 보호 규정(SSA)
- 정부 또는 민간 단체와 개인 또는 집계된 개인 식별 정보를 단방향 또는 양방향 전자 방식으로 공유하는 데 적용되는 데이터 보호 요구 사항
- 가족 교육 권리 및 개인정보 보호법(FERPA)
- 자녀의 교육 기록, 연락처 정보 및 가족 정보와 관련하여 부모에게 특정 보호를 부여하는 연방 개인정보 보호법
- 개정된 1973주 재활법 508 항 기준(29) U.S.C. § 794 (d))
- 장애인이 전자 및 정보 기술(EIT)에 액세스할 수 있도록 하기 위한 지침
- 형사 사법 정보 서비스(CJIS)
- 연방수사국이 관리하는 법 집행 데이터
- 연방 정보 보안 관리법(FISMA)
- 연방 운영 및 자산을 지원하는 정보 리소스에 대한 정보 보안 제어의 효율성을 보장하기 위한 포괄적인 프레임워크를 제공합니다.
- 연방 정보 처리 표준 간행물 140-2(FIPS 140-2)
- 암호화 모듈 인증에 사용되는 컴퓨터 보안 표준
- IRS 간행물 1075
주 법률 및 규정
- 버지니아 정보 자유 법(VFOIA)
- VFOIA는 VFOIA 또는 기타 법률에 의해 공개가 면제된 경우를 제외하고 요청 시 모든 공공 기록이 공개되는 것으로 추정하며, VFOIA 면제는 좁게 해석됩니다.
- 요청자의 신원과 목적은 중요하지 않습니다.
- 즉, 공공 기관은 일반적으로 프레젠테이션, 이메일 및 기타 커뮤니케이션, 조달 기록 등 공급업체와 관련된 문서를 공개해야 합니다. 영업 비밀 및 이와 유사한 독점 정보에 대한 일부 예외가 있지만, 이러한 예외는 가격 책정이나 제안서 전체를 보호하지 않는 등 한계가 있으며 공급업체는 서면으로 특정 법적 예외를 요청하고 보호해야 할 특정 데이터 또는 자료를 식별하며 보호가 필요한 이유를 명시해야 합니다.
기관별 규정, 규칙, 정책 및 절차
- 버지니아 고용 위원회(VEC)
- 다음 기밀 유지 요건은 VEC 데이터에 액세스할 수 있는 모든 공급업체에 적용되며 해당 VITA 계약에 포함된 모든 기밀 유지 조항을 보완합니다.
산업별 표준
- 결제 카드 산업 - 데이터 보안 표준(PCI-DSS)
- PCI 보안 표준 협의회는 결제 계정 보안을 위한 보안 표준을 개발, 개선, 보급하고 이해를 돕기 위해 설립된 글로벌 개방형 기구입니다.
서비스 관리 매뉴얼(SMM)
- 모든 서비스는 SMM을 준수하여 수행해야 합니다.