Patakaran sa Tagapangalaga at Pangangasiwa ng Datos

Ang layunin ng patakarang ito ay:

• Magtalaga ng Departamento ng Teknolohiya (Departamento ng Teknolohiya o DT) bilang tagapamahala ng imprastraktura (Tagapangasiwa) na nagsasagawa ng pagproseso ng datos (Tagapamahala ng imprastraktura) para sa mga IT asset na pinamamahalaan ng DT.
• Magtalaga ng mga departamento ng Lungsod bilang mga may-ari ng datos (Mga May-ari).
• Balangkasin ang mga tungkulin at responsibilidad ng bawat partido kaugnay ng patakarang ito.

Ang lahat ng iba pang patakaran na sumasaklaw sa awtorisadong paggamit ng mga mapagkukunan ng computing ng CCSF ay may bisa pa rin, gayundin ang lahat ng regulasyon (hal., HIPAA, CJIS, Sunshine Ordinance, Data Retention, atbp.) na nagpoprotekta sa pagiging kumpidensyal at integridad ng datos na ipinagkatiwala sa mga departamento ng CCSF.

Ang patakarang ito ay nalalapat sa mga network, hardware, software, storage, external cloud environment, SaaS, at data na pinamamahalaan ng DT (mga talaan ng database, video, chat, telepono, atbp.), kung saan ang DT ay may direktang pangangasiwa at/o teknikal na pangangasiwa. Ito ay dapat na maiba mula sa isang kontrata o kasunduan sa teknolohiya ng ibinahaging enterprise na pinamamahalaan ng DT kung saan maraming departamento ang maaaring gumamit ng parehong Kasunduan sa Enterprise ngunit pinamamahalaan o pinangangasiwaan ang kanilang mga teknikal na implementasyon o mga instance nang hiwalay sa isa't isa, kabilang ang DT.

Ang Departamento ng Teknolohiya (DT) ay at mananatiling "Tagapangalaga" sa datos na ipinadala, ina-upload, ina-access, o iniimbak sa imprastraktura ng IT ng Lungsod na pinamamahalaan ng DT. Ang bawat Departamento ay ang "May-ari" ng datos ng Kagawaran at responsable para sa anumang mga kasanayan sa datos na namamahala sa pag-access, paghihiwalay, at pagpapanatili. Ang mga responsibilidad sa pagmamay-ari ng datos ay pagmamay-ari ng mga Kagawaran, napapailalim sa iba pang kaugnay na mga patakaran na tinutukoy sa ibaba. Bukod pa rito, hindi ibabahagi, itatala, ipapadala, babaguhin, o buburahin ng DT ang impormasyong pagmamay-ari ng mga departamento ng CCSF, maliban na ang DT ay magbabahagi at magpapadala ng impormasyon pagtugon sa isang kahilingan mula sa City Attorney, Controller, o Komisyon ng Etika na may kaugnayan sa imbestigasyon o isang kahilingan mula sa City Attorney na may kaugnayan sa litigasyon.

Ang Departamento ng Teknolohiya (DT) ay nagbibigay ng ligtas na pamamahala ng imprastraktura ng Teknolohiya ng Impormasyon (IT) sa buong lungsod kabilang ang koneksyon, networking, mga serbisyo ng email/voice ng mga operating system, at mga aplikasyon sa negosyo ng software. Kasama sa pamamahala ng IT ang pamamahala ng operasyon ng impormasyong nakaimbak sa mga talahanayan ng database, mga na-scan na imahe, pag-record ng audio, pag-record ng video, mga mensahe, email, at iba pang mga uri ng data. Ginagamit ng mga departamento ng lungsod ang imprastraktura ng DT upang i-automate ang mga proseso ng negosyo at maghatid ng mga de-kalidad na serbisyong pampubliko.

Sa panahon ng pangangasiwa at pagpapanatili ng sistema, ang DT ay nagsasagawa ng mga operasyon na kinakailangan upang suportahan ang mga serbisyo sa imprastraktura, kabilang ang seguridad ng IT, pamamahala, at pagsasaayos ng pagganap ng sistema. Ipinatupad at pananatilihin ng DT ang mga naaangkop na teknikal at organisasyonal na hakbang sa seguridad para sa pag-iimbak at pagproseso ng data. Isinasaalang-alang ng mga hakbang na ito ang katangian, saklaw at layunin ng data (produksyon, pagbuo, pagsubok, pagbawi mula sa sakuna at mga snapshot ng operasyon, mga backup, failover) at nilayon upang protektahan ang data laban sa mga panganib na likas sa pamamahala ng imprastraktura ng IT, partikular na ang mga panganib mula sa aksidente o ilegal na pagkasira, pagkawala, pagbabago, hindi awtorisadong pagsisiwalat o pag-access sa data. Ipinatupad ng DT ang mga kontrol sa pag-access, pag-encrypt ng transmisyon , pagbawi mula sa sakuna, proteksyon sa seguridad at sinusubaybayan upang protektahan ang data na nakaimbak sa imprastraktura na pinamamahalaan ng DT.

Seryoso ang DT sa mga responsibilidad nito hinggil sa seguridad at privacy ng impormasyong nakaimbak sa mga platform ng negosyo ng Lungsod. Taun-taon, nilalagdaan ng mga empleyado ng DT ang DT Information Technology Empleyado Confidentiality Acknowledgement na nagpapatunay na ang mga empleyado ng DT ay makaka-access lamang ng impormasyon/datos sa pinamamahalaang imprastraktura ng DT, sa pagganap ng mga tungkulin sa trabaho at para sa walang ibang layunin. Bukod pa rito, itinatag ng DT ang mga kasanayan at patakaran sa cybersecurity ng CCSF upang pamahalaan ang papel ng DT sa pagsuporta, pagpapanatili, at pag-secure ng mga kritikal na imprastraktura at mga sistema ng datos.

Ang datos ay pagmamay-ari ng Departamento nagmamay-ari, at patakaran ng DT na panatilihin ang mga naturang rekord bilang kumpidensyal na impormasyon alinsunod sa mga naaangkop na batas, patakaran, at pamamaraan. Sa limitadong mga pagkakataon, maaaring magkaroon ng mga eksepsiyon sa patakarang ito kung kinakailangan upang sumunod sa mga wastong kahilingan sa pagsisiyasat at legal.

Ang mga Kagawaran ay magbibigay sa DT ng mga kinakailangan sa seguridad ng datos (tulad ng PII, CJIS, CLETS, POS) upang ma-secure ang datos laban sa hindi awtorisado o labag sa batas na pagproseso o pagsisiwalat; hindi awtorisadong pag-access, manipulasyon, o maling paggamit; at aksidenteng pagkawala, pagkasira, o pinsala. Ang datos na nakolekta at itinatago ng Departamento ay poprotektahan ng mga pananggalang na angkop para sa antas(mga antas) ng klasipikasyon nito gaya ng tinukoy ng security framework 800-53 ng National Institute of Standards and Technology (NIST), o mga katumbas na kinakailangan mula sa iba pang pangunahing balangkas ng cybersecurity na pinili ng Departamento.

Departamento ng Teknolohiya – Tagapamahala/Tagapangalaga ng Imprastraktura

• Responsable sa pagpapatupad ng teknikal na imprastraktura at arkitektura para sa shared enterprise platform.
• Nagtatatag ng mga proseso upang mapanatili ang seguridad, integridad, transportasyon, at pag-iimbak ng datos.
• Pinapanatili ang pang-araw-araw na responsibilidad sa pagpapatakbo at administratibong pamamahala para sa mga database, data set, at mga sistema ng impormasyon ng negosyo (O365) na sinusuportahan ng DT.
• Nagsasagawa ng pagpapanatili ng sistema upang matiyak ang pagkakaroon at pagpapatuloy ng mga serbisyo.
• Tinitiyak na awtorisado ang pag-access sa mga aplikasyon at datos ng enterprise at inilalapat ang mga kasanayan sa pamamahala ng Pagbabago sa pakikipagtulungan sa Mga May-ari ng Datos.
• Nag-aalerto, nagsasagawa ng teknikal diyagnosis , at nireresolba ang mga depekto sa pinagbabatayang software at hardware na maaaring epekto; impakt (do NOT use: impakto) sa kalidad, integridad, at pagkakapare-pareho ng data.
• Namamahala sa lahat ng datos ng Lungsod bilang kumpidensyal na impormasyon at ang paglabas nito ay pinahihintulutan lamang ng Departamento nagmamay-ari.
• Bilang mga Tagapangalaga ng datos ng mga Kagawaran, ang DT ay nagsasagawa ng mga pagtatasa ng panganib ng vendor at pag-scan/ sinusubaybayan sa network upang protektahan ang imprastraktura, datos, at mga serbisyo.

Mga Departamento ng Lungsod at County ng San Francisco – May-ari ng Datos

• Lumilikha, nag-eedit, tumutukoy sa paraan ng pag-access, at nagbubura ng datos alinsunod sa mga layunin at proseso sa negosyo ng departamento, pati na rin sa mga patakaran sa pagpapanatili nito.
• Namamahala sa pagpapanatili ng datos para sa impormasyon.
• Tinitiyak na may mga epektibong lokal na protokol na nakalagay upang gabayan ang naaangkop na paggamit, kalidad, kakayahang magamit, at integridad ng datos.
• Sumusunod sa lahat ng legal, regulasyon, at mga patakaran at pamamaraan sa datos. Kabilang dito ang responsibilidad para sa pag-uuri ng datos alinsunod sa Pamantayan sa Pag-uuri ng Datos ng COIT.
• Maagap na nakikipagtulungan sa Infrastructure Manager upang tukuyin ang saklaw at mga limitasyon ng seguridad at pag-access.

Ang lahat ng mga gumagamit ng CCSF (mga empleyado, pansamantalang manggagawa, kontratista, vendor, intern, o boluntaryo) ng mga mapagkukunang pinamamahalaan ng DT ay responsable sa pagsunod sa patakarang ito. Ang isang empleyado na palaging hindi sumusunod sa patakarang ito ay maaaring sumailalim sa naaangkop na aksyong pandisiplina.