COLECCIÓN DE RECURSOS
Política de adquisición y gestión de la nube
La Ciudad y el Condado de San Francisco fomentan el uso de servicios en la nube cuando existen rentabilidades, existen estrategias de mitigación de riesgos y los servicios respaldan la estrategia de intercambio de datos de la Ciudad a través de sistemas interoperables.
La Ciudad y el Condado de San Francisco fomentan el uso de servicios en la nube cuando existen rentabilidades, existen estrategias de mitigación de riesgos y los servicios respaldan la estrategia de intercambio de datos de la Ciudad a través de sistemas interoperables.
Propósito y alcance
El objetivo de la Política de adquisición y gestión de servicios en la nube es garantizar que los departamentos de la ciudad incorporen los requisitos, procesos y estrategias de mitigación de riesgos adecuados en el uso y la adquisición de servicios en la nube. Esta política abarca el uso de todos los servicios en la nube por parte de la ciudad, que incluyen, entre otros: almacenamiento, software como servicio (SaaS) y productos de plataforma como servicio (PaaS).
Los requisitos identificados en esta política se aplican a todos los recursos de información operados por o para la Ciudad y el Condado de San Francisco y sus departamentos y comisiones. Los funcionarios electos, empleados, consultores y proveedores que trabajan en nombre de la Ciudad y el Condado de San Francisco deben cumplir con esta política.
Declaración de política
Antes de la compra o uso de servicios en la nube, la Política de Adquisición y Gestión de la Nube requiere que todos los departamentos incorporen los siguientes procedimientos:
Requisitos de adquisición : Realice una evaluación formal y documente lo siguiente:
- El director de TI o el gerente de TI del departamento deben expresar su aprobación explícita antes de utilizar cualquier servicio en la nube. Los empleados de la ciudad no pueden proporcionar productos en la nube sin la aprobación del director de TI o el gerente de TI del departamento y deben seguir las políticas de adquisiciones de la Oficina de Administración de Contratos.
- Los departamentos utilizarán los contratos existentes para maximizar el poder adquisitivo de la Ciudad cuando sea apropiado.
Estándares de datos y mitigación de riesgos
Para todos los servicios en la nube, los departamentos deberán:
- Realice una evaluación de riesgos de privacidad de datos con el servicio. Los productos que contienen datos de nivel 3 a 5 deben tener un nivel adicional de revisión y cumplir con los requisitos de ciberseguridad del departamento y las reglas de acceso y gestión de identidades. Para clasificar los datos, el departamento debe consultar el Estándar de clasificación de datos COIT.
- Verificar que la Ciudad conserve la propiedad y los derechos sobre los Datos de la Ciudad, incluidos los trabajos derivados realizados a partir de los Datos de la Ciudad y las licencias aplicadas a los datos.
- Definir estándares de retención de datos para todos los datos almacenados con servicios en la nube.
- Considere la interoperabilidad de un servicio en la nube con los datos y sistemas de la ciudad. Los departamentos deben priorizar los productos que utilizan estándares de interfaz de programación de aplicaciones (API) que respalden los objetivos de intercambio de datos de la ciudad.
En todos los casos, los departamentos deben consultar con el Departamento de Tecnología sobre las estrategias tecnológicas adecuadas.