제 10 장 - 일반 IT 조달 정책

10.5.0 IT 요청 및 계약에 대한 연방 보안 요구 사항

섹션 2.2-2009 의 버지니아주 코드 는 최고정보책임자(CIO)가 보안 위험을 평가하고 적절한 보안 조치를 결정하며 정부 전자 정보의 보안 감사를 수행하기 위한 정책, 표준 및 지침을 개발할 책임이 있다고 규정하고 있습니다. 이러한 정책, 표준 및 지침은 연방의 행정부, 입법부, 사법부 및 독립 기관에 적용됩니다. 또한 연방의 행정부, 입법부, 사법부 및 독립 기관이 체결하는 모든 정보 기술 계약은 정보 보안 및 개인정보 보호와 관련된 해당 연방법 및 규정을 준수하도록 요구합니다. 기관은 모든 보안 정책, 표준 및 가이드라인(PSG)을 준수해야 하지만, 보안 표준 SEC530은 비-CESC 호스팅 클라우드 솔루션에 대한 기관 규정 준수 요건을 제공합니다. 이러한 PSG는 이 URL에 있습니다: https://www.vita.virginia.gov/policy--governance/itrm-policies-standards/ 

또한, § 2.2-2009 는 CIO가 (i) 검토 대상 연도에 발생한 정보 기술 침해와 사이버 보안 조치를 강화하기 위해 기관이 취한 조치에 특히 중점을 두고 모든 행정부 기관의 사이버 보안 정책을 매년 종합적으로 검토하고, (ii) 하원 세출위원회와 상원 재무위원회 위원장에게 조사 결과를 보고서로 제출하도록 규정하고 있습니다. 

보안 표준 SEC530 외에도 타사(공급업체가 호스팅하는) 클라우드 서비스(즉, 서비스로서의 소프트웨어)를 조달하는 경우, 기관은 이러한 유형의 솔루션을 조달할 권한을0 에서 위임받았으므로 조달을 위한 VITA 승인을 받기 위한 별도의 절차가 있습니다. 위 링크에서 타사 사용 정책을 참조하세요. 소속 기관의 정보 보안 담당자 또는 AITR이 이 절차를 이해하고 모집 또는 계약에 포함할 필수 서류를 구하는 데 도움을 줄 수 있습니다. 제안서 및 계약서에 반드시 포함되어야 하는 특별 요구 클라우드 서비스 이용 약관과 입찰자가 제안서와 함께 작성하여 제출해야 하는 질문지가 있습니다. 문의할 수도 있습니다: enterpriseservices@vita.virginia.gov.