28.1 모든 IT 요청 및 계약에 필요한 VITA 정보 보안 정책, 표준 및 지침(보안 PSG)
28.1.2 ECOS(엔터프라이즈 클라우드 감독 서비스) 보안 평가
ECOS 보안 평가에 따라 보안 예외가 발생할 수 있습니다. 대행사는 Archer를 통해 VITA Security의 보안 예외 승인을 받아야 할 책임이 있습니다. Archer는 애플리케이션 및 관련 비즈니스 프로세스, 기기, 데이터 세트 이름과 관련된 기관의 정보를 유지하기 위한 VITA 기록 도구입니다. 대행사인 AITR에서 이 프로세스를 수행하거나 지원할 수 있습니다. 자세한 내용은 여기에서 확인할 수 있습니다: https://www.vita.virginia.gov/media/vitavirginiagov/commonwealth-security/PDF/Archer-User-Manual-2021.PDF. 예외 사항은 기밀 사항이며 절대 공개적으로 공개해서는 안 됩니다. 보안 평가는 또한 클라우드 약관의 공급업체 책임 섹션에 삽입해야 하는 계약 요구 사항을 초래할 수도 있습니다.
여기에서 COV 보안 표준 예외 양식에 액세스할 수 있습니다: 정책, 표준 & 정보 보안 아래의 가이드라인.
때때로 공급업체는 대행사에 기밀유지계약(NDA)에 서명하도록 요청할 수 있습니다. 공급업체의 요청이 있는 경우 ECOS 책임자는 ECOS 절차의 일부로 평가 세부 정보 또는 평가 응답 및 그에 따른 승인 예외에 액세스할 수 있는 VITA 직원을 대신하여 ECOS NDA에 서명합니다.
실제 ECOS 평가는 계약서에 포함되지 않아야 하며, 이해관계자가 아닌 사람과 ECOS 평가를 공유하지 않도록 각별한 주의를 기울여야 합니다. 일반적으로 ECOS 평가 결과와 승인 및 예외 사항은 그 자체로 평가되지 않으므로 평가 팀과 공유되지 않습니다. 소싱 컨설턴트 또는 조달 책임자가 공유해야 하는 경우, 이해관계자(이 경우, 알아야 할 필요가 있는 개인을 의미)에게 ECOS 평가 응답의 기밀성 및 독점적 성격과 그에 따른 예외 사항을 다시 설명하거나 이해관계자가 평가 팀원으로서 아직 NDA에 서명하지 않은 경우 개별적으로 서명하도록 하는 것이 좋습니다.
키워드 또는 일반 용어로 매뉴얼을 검색하시기 바랍니다.