Patakaran sa Pagkuha at Pamamahala ng Cloud

Hinihikayat ng Lungsod at County ng San Francisco ang paggamit ng mga serbisyo ng cloud kapag may magagamit na mga kahusayan sa gastos, may mga estratehiya sa pagpapagaan ng panganib, at sinusuportahan ng mga serbisyo ang estratehiya sa pagbabahagi ng datos ng Lungsod sa pamamagitan ng mga interoperable system.

Ang layunin ng Cloud Acquisition & Management Policy ay tiyaking isinasama ng mga departamento ng Lungsod ang naaangkop na mga kinakailangan, proseso, at diskarte sa pagpapagaan ng panganib sa paggamit at pagkuha ng mga serbisyo sa cloud. Ang patakarang ito ay sumasaklaw sa paggamit ng Lungsod ng lahat ng serbisyo sa cloud, na kinabibilangan ng ngunit hindi limitado sa: storage, software-as-a-service (SaaS), at platform-as-a-service (PaaS) na mga produkto.

Ang mga iniaatas na tinukoy sa patakarang ito ay nalalapat sa lahat ng mapagkukunan ng impormasyon na pinamamahalaan ng o para sa Lungsod, at County ng San Francisco at sa mga departamento nito, at mga komisyon. Ang mga halal na opisyal, empleyado, consultant, at vendor na nagtatrabaho sa ngalan ng Lungsod at County ng San Francisco ay kinakailangang sumunod sa patakarang ito.

Bago ang pagbili o paggamit ng mga serbisyo sa cloud, hinihiling ng Patakaran sa Pagkuha at Pamamahala ng Cloud sa lahat ng departamento na isama ang mga sumusunod na pamamaraan:

Mga Kinakailangan sa Pagkuha

Magsagawa ng pormal na pagsusuri at idokumento ang mga sumusunod:

• Dapat na tahasang ipahayag ng CIO ng departamento o IT Manager ang pagsang-ayon bago gamitin ang anumang serbisyo ng cloud. Hindi maaaring magbigay ang mga empleyado ng lungsod ng mga produktong cloud nang walang pagsang-ayon mula sa CIO ng departamento o IT Manager at dapat sundin ang mga patakaran sa pagkuha ng Office of Contract Administrations.
• Gagamitin ng mga departamento ang mga umiiral na kontrata upang mapakinabangan nang husto ang kapangyarihang bumili ng Lungsod kung saan naaangkop.

Mga Pamantayan sa Datos at Pagpapagaan ng Panganib

Para sa lahat ng serbisyo sa cloud, ang mga kagawaran ay dapat:

• Magsagawa ng pagtatasa ng panganib sa mga panganib sa privacy ng datos kasama ang serbisyo. Ang mga produktong naglalaman ng antas 3-5 na datos ay dapat magkaroon ng karagdagang antas ng pagsusuri at sumusunod sa mga kinakailangan sa cybersecurity ng departamento at mga patakaran sa pag-access at pamamahala ng pagkakakilanlan. Upang maiuri ang datos, dapat sumangguni ang departamento sa Pamantayan sa Pag-uuri ng Datos ng COIT.
• Tiyakin na nananatili sa Lungsod ang pagmamay-ari at mga karapatan sa Data ng Lungsod, kabilang ang mga hinangong gawa na ginawa mula sa Data ng Lungsod at ang paglilisensyang inilapat sa data.
• Tukuyin ang mga pamantayan sa pagpapanatili ng data para sa lahat ng data na nakaimbak sa mga serbisyo ng cloud.
• Isaalang-alang ang interoperability ng isang cloud service sa data at mga sistema ng Lungsod. Dapat unahin ng mga departamento ang mga produktong gumagamit ng mga pamantayan ng application programming interface (API) na sumusuporta sa mga layunin ng Lungsod sa pagbabahagi ng data.

Sa lahat ng pagkakataon, ang mga departamento ay dapat kumonsulta sa Kagawaran ng Teknolohiya tungkol sa mga angkop na estratehiya sa teknolohiya.

Mga CIO ng Departamento at Mga Tagapamahala ng IT

• Suriin ang lahat ng paggamit ng mga serbisyo ng cloud sa loob ng kanilang mga departamento at magbigay ng pag-apruba para sa paggamit kung saan naaangkop.
• Suriin at tiyaking pinapanatili ng mga kasalukuyang serbisyo sa cloud ang matatag na cybersecurity at pagpapatuloy ng mga kasanayan sa operasyon (hal. mga failover test, network penetration testing, atbp…)
• Mahigpit na makipag-ugnayan sa Kagawaran ng Teknolohiya at sa Cybersecurity Office ng Lungsod upang makapagbigay ng komprehensibong larawan ng paggamit ng Lungsod ng mga produktong cloud.
• Makipagtulungan sa risk manager ng departamento at sa Chief Information Security Officer ng Lungsod upang magsagawa ng pormal na pagtatasa ng panganib kung saan kinakailangan.
• Tukuyin ang mga pamantayan sa pagpapanatili ng data para sa lahat ng serbisyo ng cloud, at beripikahin ang pagmamay-ari ng lahat ng data ng Lungsod.
• Makipag-ugnayan sa mga empleyado ng departamento tungkol sa proseso ng pag-apruba para sa mga produktong cloud upang matiyak na hindi magpo-provision ang mga empleyado ng mga produktong cloud nang walang gabay.

Mga Opisyal ng Seguridad ng IT ng Kagawaran

• Makipagtulungan nang malapit sa pamunuan ng teknolohiya ng kanilang departamento upang magsagawa ng mga pagtatasa ng panganib para sa mga produktong cloud.
• Makipag-ugnayan sa Punong Opisyal ng Seguridad ng Impormasyon ng Lungsod tungkol sa mga naaangkop na antas ng panganib at pinakamahuhusay na kagawian.

Kagawaran ng Teknolohiya

• Magbigay ng impormasyon at suporta sa pagpili ng mga angkop na produkto ng cloud. Ang Engagement Portal ay magiging isang mapagkukunan upang ibahagi ang mga kasalukuyang provider ng cloud sa Lungsod.

Punong Opisyal ng Seguridad ng Impormasyon ng Lungsod

• Suportahan ang mga pagtatasa ng panganib para sa mga serbisyo ng cloud na nakikipag-ugnayan sa mga kritikal na sistema, at suportahan ang mga departamento habang sinisikap nilang uriin ang kanilang data ayon sa Pamantayan sa Pag-uuri ng Datos.

Tanggapan ng Pangangasiwa ng Kontrata

• Suportahan ang mga departamento na gumamit ng naaangkop na paraan ng pagkuha para sa mga serbisyo sa cloud. Ang pagbili ng mga produktong SaaS sa pamamagitan ng Tech Marketplace ay maaari lamang maglaman ng data level 1 at 2 gaya ng tinukoy ng Data Classification Standard.
• Sumangguni sa template ng kontratang P-648 para sa Software-as-a-Service kung naaangkop.

Tanggapan ng Abogado ng Lungsod

• Buuin ang mga kontrata upang maisama ang mga probisyon mula sa patakarang ito sa pagkuha ng mga serbisyo sa cloud.

Auditor ng mga Serbisyo ng Lungsod

• Pana-panahong suriin ang pagsunod ng departamento sa Patakaran sa Cloud Acquisition.
• Suriin ang aplikasyon ng Data Classification Standard sa mga produkto ng department cloud.

• Kasama sa "Data ng Lungsod" ngunit hindi limitado sa lahat ng datos na nakolekta, ginamit, pinapanatili, pinoproseso, iniimbak, o nabuo ng o sa ngalan ng Lungsod, kabilang ang resulta ng paggamit ng mga serbisyong ibinibigay ng isang kontratista.

Maaaring paghigpitan ng isang departamento ang access sa anumang serbisyo ng cloud na hindi sumusunod sa patakarang ito, hanggang sa matugunan ang kinakailangan.

• Pamantayan sa Pag-uuri ng Datos ng COIT
• Patakaran sa Cybersecurity sa Buong Lungsod ng COIT
• Portal ng Pakikipag-ugnayan ng Kagawaran ng Teknolohiya
• Template ng Kontrata ng Tanggapan ng Pangangasiwa ng Kontrata P-648

Nag-aalok ang mga external cloud provider ng mga serbisyong nagbibigay ng ilang potensyal na bentahe kumpara sa mga on-premise na solusyon, kabilang ang: scalability/elasticity, pag-aalis o pagbabawas ng footprint ng data center, at pagbili ng hardware, pag-refresh ng operating system, matibay na seguridad, at mga feature tulad ng mga development tool, database o middleware.

Ang pinakakaraniwang mga serbisyo sa cloud ay:

• Imprastraktura bilang isang Serbisyo (IaaS): Ang IaaS ay nagbibigay ng mga virtualized na mapagkukunan ng computing tulad ng pagproseso at imbakan sa pamamagitan ng Internet at nagbibigay-daan sa mga subscriber na mag-deploy at magpatakbo ng software. Hindi pinamamahalaan o kinokontrol ng subscriber ang pinagbabatayang imprastraktura ng cloud, ngunit may kontrol sa mga operating system, imbakan, at mga naka-deploy na application. Ang Amazon Web Services ay isang halimbawa ng IaaS.
• Platform as a Service (PaaS): Nagbibigay ang PaaS sa mga subscriber ng plataporma kung saan maaaring bumuo, magpatakbo, at mamahala ng mga web application gamit ang mga programming language, library, serbisyo, at tool ng provider. May kontrol ang subscriber sa mga naka-deploy na application. Ang Heroku o CloudFoundry ay mga halimbawa ng mga produktong PaaS.
• Software bilang isang Serbisyo (SaaS): Ang SaaS ay isang modelo ng paglilisensya at paghahatid ng software kung saan ang software at/o mga aplikasyon ay nililisensyahan batay sa subscription at sentralisadong hino-host ng tagapagbigay ng software. Ang Salesforce.com ay isang halimbawa ng SaaS.

Kapag nakikipagnegosasyon para sa mga serbisyo sa isang SaaS provider, ipinapaalam sa mga Kagawaran na mayroon ding karaniwang kontrata ng SaaS na magagamit sa Office of Contract Administration. Para sa mga produktong SaaS na naglalaman lamang ng level 1 o level 2 na datos gaya ng tinukoy ng Data Classification Standard, ang Tech Marketplace ay isang opsyon. Gayunpaman, para sa lahat ng iba pang pagkuha, ang karaniwang kontrata ay isang opsyon para sa mga negosasyon sa hinaharap. Ilan sa mga probisyon ng kontrata ay kinabibilangan ng:

• Pagkakaroon ng datos - Dapat tugunan ng kasunduan ang inaasahang uptime ng lungsod sa pamamagitan ng isang kasunduan sa antas ng serbisyo.
• Sensitibidad ng datos - Ang mga kasunduan tungkol sa datos tulad ng impormasyon sa kalusugan, personal na impormasyon na makakapagpakilala, impormasyon ng credit card, o kung ang isang tao ay isang tatanggap ng mga pampublikong benepisyo ay dapat sumasalamin sa mga karagdagang kinakailangan sa pagsunod sa mga regulasyon.
• Mga pagsasaalang-alang at remedyo sa paglabag sa datos – Dapat tukuyin ng kasunduan ang mga panganib at responsibilidad para sa mga paglabag sa datos.
• Seguridad ng online at pasilidad ng hosting – Dapat idokumento ang mga serbisyo ng pag-encrypt at mga pamamaraan ng pisikal na seguridad. Ang ilang uri ng datos ay nangangailangan ng espesyal na sertipikasyon.
• Pagmamay-ari at lokasyon ng datos - Dapat lamang i-access ng mga empleyado ng vendor ang datos ng lungsod hanggang sa lawak na kinakailangan upang mapanatili ang serbisyo. Ang paggamit ng pinagsama-samang datos na hindi natukoy ang pagkakakilanlan ay dapat na maingat na isaalang-alang.
• Pagbangon mula sa sakuna at lokasyon ng mga pangunahin at backup na data center - Ang lokasyon ng mga pangunahin at backup na sekundaryang sentro, kabilang ang lungsod at estado, at tiyaking ang mga kinakailangan sa kasunduan ay dadaloy pababa sa subcontractor.
• Limitasyon sa Pagtatanggi sa Click-Wrap - Dapat isasaad ng kasunduan na tanging ang mga nakasulat na probisyon ng kasunduan ng mga partido ang nalalapat sa mga itinalagang gumagamit ng lungsod para sa pag-access, hindi ang kasunduan sa click-wrap na kadalasang kinakailangan upang makakuha ng access sa serbisyo.
• Patakaran sa Pagpapanatili ng mga Rekord at mga Paghahawak sa Litigasyon - Dapat tugunan ng kasunduan ang inaasahan ng lungsod na gagawin ng hosting provider sakaling magkaroon ng paghahawak sa litigasyon.
• Mga Pag-awdit - Ang mga pag-awdit ay dapat isagawa nang regular at isang buod o kopya ng ulat ng pag-awdit ng SSAE 16 ang dapat ibigay sa lungsod.
• Mga probisyon sa pagtatapos at pagkabangkarote ng vendor - Sa pagtatapos o pagtatapos ng kasunduan, dapat magbigay ang hosting provider sa lungsod ng kumpletong kopya ng datos ng lungsod sa isang napagkasunduang format na nababasa ng makina sa loob ng isang tinukoy na takdang panahon, at hilingin sa hosting provider na patunayan sa pamamagitan ng sulat na aalisin nito ang lahat ng datos ng lungsod mula sa mga server ng vendor sa paraang hindi na muling magagawa ang datos.

Ang kumpletong detalye kasama ang lahat ng karaniwang probisyon na nakapaloob sa kontrata ng SaaS P-648 ay makukuha sa website ng Office of Contract Administration.