사용 중인 브라우저에서 JavaScript를 지원하지 않습니다.

클라우드 제3자 사용 정책

클라우드 기반 서비스 도입

이 정책 및 절차 문서의 목적

본 정책 및 절차 문서의 목적은 버지니아주 법령 §2.2-2006에 정의되어 있고 본 문서에서 "기관"으로 사용되는 버지니아주(COV) 기관과 버지니아주의 입법, 사법 및 독립 기관에서 적절한 경우 클라우드 기반 서비스를 채택하고 VITA를 IT 서비스 제공업체로 사용하는 것을 가능하게 하기 위한 것입니다. 클라우드 컴퓨팅 도입에는 서비스 제공업체의 적절한 IT 관리 여부에 대한 평가와 연방과 기존 계약을 맺은 클라우드 서비스 목록 작성도 포함됩니다.

배경:

미국 국립표준기술연구소(NIST)는 클라우드 컴퓨팅을 다음과 같이 정의합니다: "최소한의 관리 노력이나 서비스 제공업체의 상호 작용으로 신속하게 프로비저닝 및 해제할 수 있는 구성 가능한 컴퓨팅 리소스(예: 네트워크, 서버, 스토리지, 애플리케이션 및 서비스)의 공유 풀에 유비쿼터스적이고 편리한 주문형 네트워크 액세스를 가능하게 하는 모델"이라고 정의합니다. 연방은 클라우드 컴퓨팅에 대한 전략적 접근의 일환으로 NIST의 정의를 채택했습니다. 이러한 도입에 따라 클라우드 서비스는 서비스형 소프트웨어(SaaS), 서비스형 플랫폼(PaaS), 서비스형 인프라(IaaS)의 세 가지 서비스 모델 중 하나로 분류됩니다.

이러한 정의에 부합하는 서비스를 VITA의 서비스 포트폴리오에 통합하기 위해 클라우드 평가 서비스가 만들어졌습니다. 이 프로세스는 연방이 정한 운영 및 보안 요구사항에 부합하는 방식으로 IT 서비스를 제공하기 위해 요청된 서비스의 역량을 평가합니다.

SCOPE:

이 정책 및 절차 문서는 VITA가 IT 서비스를 제공하는 모든 기관에 적용됩니다. 이는 현재 VITA가 제공하는 서비스에 포함되지 않고 모든 VITA 필수 거버넌스 승인을 받은 IT 서비스 인수 요청과 관련이 있습니다.

약어:

CIO 최고 정보 책임자   FTI  연방 세금 정보
HIPAA 건강 보험 이동성 및 책임에 관한 법률   IT  정보 기술
NIST 국립표준기술연구원   IaaS 서비스형 인프라
PaaS 서비스형 플랫폼   PCI DSS 결제 카드 업계 데이터 보안 표준
SaaS 서비스로서의 소프트웨어   SEC  보안 표준
SOW 작업 내역서   VITA  Virginia Information Technologies Agency

추가 정의는 COV ITRM 용어집에서 확인할 수 있습니다.

STATEMENTS:

정책 선언문

클라우드 기반 솔루션은 IT 시스템으로 간주되며 온프레미스에서 호스팅되는 시스템 및 애플리케이션과 동일한 내부 감사 및 보안 표준의 적용을 받습니다.

절차의 진술

대행사 요구 사항:

  • 사전 서면 승인 - 행정부 기관은 타사 호스팅(클라우드) 서비스를 조달, 계약 또는 기타 방식으로 계약하기 전에 VITA 기업 클라우드 감독 서비스를 통해 서면 승인을 받아야 합니다.
  • VITA 사전 승인 - 클라우드 기반 서비스, 물리적 또는 가상 애플리케이션, 인프라 네트워크, 시스템 구성 요소 및 모든 데이터 센터 시설의 인수가 VITA의 사전 승인을 받았는지 확인하기 위해 공급업체와 요청된 서비스를 VITA 엔터프라이즈 클라우드 호스팅 양식에 명시해야 합니다.
  • C시끄러운 컴퓨팅 서비스- VITA가 아직 제공하지 않는 IT 서비스 활용에 대한 요청은 연방 요구사항 준수, 요청된 서비스의 적절한 운영, 적절한 클라우드 서비스 조달 약관에 대해 평가됩니다.
  • 감독 및 거버넌스 기구 - 타사 호스팅(클라우드 컴퓨팅) 서비스의 모든 사용에는 감독 및 거버넌스 기구가 있어야 합니다. 이 거버넌스 기관은 외부 클라우드 컴퓨팅 서비스 사용을 승인하기 전에 보안, 개인정보 보호 및 기타 IT 관리 요건이 적절히 해결되었음을 인증합니다.
  • 승인 기간 - 모든 타사 호스팅(클라우드 컴퓨팅) 요청은 달리 명시되지 않는 한 1년간 유효합니다.
  • 엔터프라이즈 클라우드 감독 서비스 - VITA의 이전 예외 절차를 통해 이전에 승인된 타사 클라우드 서비스 요청은 VITA에서 달리 명시하지 않는 한 승인된 예외 요청이 만료되면 엔터프라이즈 클라우드 감독 서비스의 적용을 받습니다.
  • 정책 및 절차 정기 검토 - 이 정책 및 절차 문서는 매년 또는 이전에 고려되지 않은 중요한 문제가 발생할 때마다 검토됩니다.

공급업체 요구 사항:

공급업체는 적어도 매년 그리고 중대한 문제가 발생한 직후에 반복적인 위험 평가를 받아야 합니다.

  • 보안 규정 준수 - 공급업체는 연방 정보 및 데이터 보호를 위해 적절한 주 및 연방 규정, 정책, 표준 및 지침(예: SEC 501, SEC 525, IRS 간행물 1075, NIST 위험 관리 프레임워크 등)을 포함하여 ITRM 정책, 표준 & 가이드라인에 명시된 대로 모든 해당 VITA 정책 및 표준을 준수해야 합니다. 공급업체는 데이터의 보안 분류에 따라 지정된 모든 보안 표준을 완전히 준수해야 합니다. 의료보험 이동성 및 책임에 관한 법률(HIPAA), 연방 세금 정보(FTI), 결제 카드 산업 데이터 보안 표준(PCI DSS) 등 관련 또는 의무화된 타사 표준 준수는 공급업체의 평가 응답에 자세히 설명되어 있어야 합니다.  여기에는 모든 정보 시스템 구성 요소와 서비스가 미국 대륙 내에 유지되도록 하는 것이 포함됩니다. 이는 영향을 받는 모든 비즈니스 관계에서 거버넌스, 리스크 관리, 보증, 법률, 법규 및 규정 준수 의무를 효과적으로 이행할 수 있도록 하기 위한 것입니다.
  • 감사 요구 사항 - 공급업체는 최근에 완료된 감사(가급적 서비스 조직 제어 유형 2 (SOC2))를 제공해야 합니다. 대행사 또는 타사 감사 조직은 90 일 이내에 보안 감사를 수행하여 제공된 감사와 호스팅 환경 정보 보안 표준 (SEC525) 간의 제어 격차를 확인할 책임이 있습니다. 감사가 제공되지 않는 경우 SEC525를 활용하여 완전한 보안 제어 감사를 수행해야 합니다. 이를 이행하지 않을 경우 계약 약관에 명시된 대로 구제책이 부과될 수 있습니다. 공급업체는 계약상 합의된 절차를 통해 보안 위반이 발생하면 즉시 대리점 및 VITA에 통지해야 할 의무가 있습니다. 공급업체는 저장된 데이터에 대한 무단 액세스 및 사용 또는 변경을 금지해야 합니다. 이에 대한 방법과 절차는 계약 조건에 명시되어 있어야 합니다.
  • 지불 거절 모델 - 공급업체의 서비스 지불 거절 모델을 명확하게 문서화해야 합니다. 이를 통해 서비스와 관련된 모든 적용 가능한 수수료와 수수료 구조를 이해할 수 있습니다.
  • 데이터 통제 - 공급업체는 항상 데이터에 대한 통제권을 유지해야 하며, 강제 불이행이 발생하는 경우 계약 기관에 작업 명세서(SOW)에 명시된 대로 합의된 형식과 기간에 따라 데이터를 제공해야 합니다. 공급업체는 정보 교환 및 사용을 위해 정의된 비독점적 상호 운용성 및 이식성 표준을 제공하고 유지해야 합니다. 이 요구 사항은 상호 운용 가능한 구성 요소를 지원하고 클라우드 공급업체로 또는 공급업체로부터 애플리케이션 마이그레이션을 용이하게 하기 위한 것입니다.

인수:

이 정책은 행정부 기관의 모든 클라우드 기반 서비스 조달에 VITA 공급망 관리가 참여하고 관여할 것을 요구합니다.

  • 계약 언어 승인 - 모든 계약 언어는 VITA 공급망 관리의 승인을 받아야 합니다.
  • 규정 준수 - 클라우드 컴퓨팅 서비스에 대한 모든 계약에는 공급업체가 모든 연방 법률, 보안 요구 사항, 해당 연방 또는 업계 표준 및 규정을 준수한다는 문구가 포함되어야 합니다. 클라우드 서비스 제공업체의 책임과 모든 해당 표준 및 규정 유지에 대한 연방정부의 책임을 정의하는 적절한 문구가 계약서에 포함되어야 합니다.
  • 이용 약관 - VITA 공급망 관리에는 인수 문서(권유 및 계약)에 대행사가 사용할 수 있는 클라우드 서비스 이용 약관이 있습니다.
  • 서비스 계약 기간 - 서비스 계약 기간은 계약 언어로 식별되며, 따라서 모든 서비스 계약 기간은 계약 체결 전에 VITA 공급망 관리팀의 승인을 받아야 합니다. '확인'을 클릭하는 등의 디지털 서명은 계약서에 서명하는 것으로 간주되며 계약서 검토 전에는 이루어지지 않습니다.

연속성 계획:

  • 출구 전략 - 대행사는 온프레미스 기반이 아닌 공급업체를 활용하는 각 애플리케이션에 대한 명시적인 출구 계획을 파악해야 합니다. 클라우드 기반 서비스를 계약하는 모든 행정부 기관은 사용 중인 모든 애플리케이션 또는 서비스에 대한 출구 전략이 문서화되도록 VITA와 협력하고 조율해야 합니다. 첫 번째 출구 계획(필수)은 애플리케이션과 공급업체에 따라 달라져야 하며 다음과 같은 치명적인 장애가 발생한 경우에 호출됩니다(이에 국한되지 않음):
    • 중대한 보안 침해
    • 공급업체 파산
    • 관련 법률 및 규정을 준수하지 않는 경우
  • 추가 종료 기준 - 두 번째 종료 계획은 적절한 성과를 내지 못하고 계약 조기 종료가 적용되는 모든 애플리케이션 또는 서비스에 대해 호출되는 단일 일반 계획일 수 있습니다. 또한 모든 종료 계획에는 대행사, 사용자, 연방 시민 또는 파트너가 클라우드 서비스에 업로드한 데이터는 계약 기관의 자산으로 유지되어야 하며 명시적인 서면 허가 없이는 사용할 수 없음을 명시해야 합니다. 또한 기관의 서면 요청 시 공급업체는 해당 기밀 정보를 파기하고 그러한 파기에 대한 서면 증명서를 공개 기관에 제공하며 유형 또는 무형의 형태에 관계없이 승인된 사용자의 기밀 정보에 대한 모든 추가 사용을 중단해야 함을 명시해야 합니다.

관련 정책/절차:

호스팅 환경 정보 보안 표준 (SEC525)에 명시된 바와 같이, 연방 및/또는 시민 데이터의 전자 전송 또는 저장에 사용되는 외부 제공 서비스/시스템 및 안전장치는 위험 평가를 받아야 하며 모든 관련 주/국가 시스템에서 보안 및 상호 운용성을 유지해야 합니다.

권한 참조:

버지니아주 법령 §2-2.2009 에 따르면 "CIO는 보안 위험을 평가하고 적절한 보안 조치를 결정하며 정부 전자 정보의 보안 감사를 수행하기 위한 정책, 절차 및 표준 개발을 지시해야 한다고 명시되어 있습니다."

기타 참조:

IT 정보 보안 표준 (SEC 501), 호스팅 환경 정보 보안 표준 (SEC 525), IRS 간행물 1075NIST 위험 관리 프레임워크.

정책 예외 요청:

이 정책 및 절차 문서는 VITA, 대행사 및 공급업체가 새로운 위험 및 문제에 대한 보고 및 평가를 위해 협력할 것을 요구합니다. 기관장이 본 정책을 준수하는 것이 기관의 업무 프로세스에 부정적인 영향을 미칠 수 있다고 판단하는 경우, 기관장은 VITA에 예외 요청서를 제출하여 정책 또는 표준에 대한 예외를 요청할 수 있습니다. 정책 및 예외 요청 양식은 ITRM 정책, 표준 및 가이드라인 웹페이지에서 확인할 수 있습니다: ITRM 정책, 표준 & 가이드라인.