Paggamit ng Mobile Device para sa City Business

Ang Lungsod at County ng San Francisco (City) ay nakatuon sa pagbuo ng isang epektibong pamamahala ng gastos at matibay na programa sa cybersecurity upang suportahan, mapanatili, at ma-secure ang kritikal na imprastraktura at mga sistema ng datos.

Itinatatag ng Kabanata 22I ng City Administrative Code ang tungkulin ng City Chief Information Security Officer na bumuo at mag-update ng mga kinakailangan sa cybersecurity sa buong lungsod pag-mitigaate (pagpaginhawa) ang panganib ng Lungsod at sumunod sa mga legal at regulasyon na kinakailangan sa cybersecurity. Ang layunin ng mga kinakailangang ito ay upang magtatag ng isang patakaran para sa parehong ligtas at cost-effective na pamamahala ng mga mobile device, tulad ng mga smartphone at tablet, na ginagamit para sa negosyo ng Lungsod.

Ang mga kinakailangang tinukoy sa dokumentong ito ay nalalapat sa digital na impormasyon at teknolohiya na pinapatakbo ng o para sa Lungsod at County ng San Francisco at mga departamento at komisyon nito. Ang mga halal na opisyal, empleyado, kontratista, mga iba pang kasosyo/kabalikat sa gawain ng HSH, bidder, at vendor na nagtatrabaho sa ngalan ng Lungsod at County ng San Francisco ay kinakailangang sumunod sa patakarang ito.

Ang mga Opisyal ng Cybersecurity, mga Tagapag-ugnay, mga Propesyonal sa Teknolohiya ng Impormasyon (IT), at mga Propesyonal sa Pananalapi/Badyet ay may magkasanib na responsibilidad na ipatupad ang mga sumusunod na teknikal at piskal na kinakailangan. Ang mga departamento ay dapat na bumuo ng mga patakaran o proseso ng departamento na dapat katumbas o mas mataas kaysa sa mga kinakailangang ito sa buong Lungsod upang masaklaw ang mga kasanayang partikular sa departamento, itaguyod ang pagiging epektibo sa gastos, at mabawasan ang mga potensyal na panganib.

Dapat sundin ng lahat ng departamento ng Lungsod ang mga sumusunod na minimum na kinakailangan:

Pag-isyu at Pag-aalis ng Komisyon ng mga Mobile Device na Pag-aari ng Lungsod

• Pagbili ng Bagong Device – Ang mga tagapagkaloob ng telekomunikasyon ay kadalasang nag-aalok ng kapaki-pakinabang na presyo para sa mga modelo ng device na inilabas 12-24 na buwan bago ang pinakabagong modelo ng device. Ang mga naunang modelong ito ay may halos kaparehong teknikal na kakayahan sa mga pinakabagong modelo, at dapat na lubos na isaalang-alang ng mga departamento ang pagbili ng mga naunang modelo ng device na ito upang mapakinabangan ang mga potensyal na benepisyo sa gastos at mabawasan ang mga potensyal na singil sa kagamitan sakaling maagang maputol ang mga serbisyo.
• Pag-apruba ng Pag-isyu - Dapat itatag ang isang proseso at pamantayan ng departamento para sa paghiling, pagsusuri, at pag-apruba o pagtanggi sa pag-isyu ng mga mobile device na pag-aari ng Lungsod. Tingnan ang Apendiks A para sa halimbawang form ng pag-apruba.
• Rekord ng mga Device - Ang pag-isyu at pag-apruba ng mga mobile device na pag-aari ng Lungsod ay dapat itala nang may naaangkop na katwiran sa negosyo at impormasyon tungkol sa humihiling, nag-apruba, at device.
• Pagpapalit ng mga Nawala o Sirang Kagamitan – Dapat subaybayan at pamahalaan ng mga proseso ng pag-apruba at pag-isyu ng departamento ang mga kahilingan para sa mga pamalit na kagamitan.
• Pagrepaso ng Imbentaryo ng Device - Ang imbentaryo ng mga mobile device na pag-aari ng Lungsod ay dapat suriin kada quarter, kahit man lang isang beses, upang kumpirmahin na ang mga device ay kinakailangan para sa negosyo ng Lungsod, tukuyin ang mga mobile device na walang aktibidad, at upang mapadali ang pagsuspinde ng mga pagbabayad ng Lungsod para sa mga mobile device na hindi na kailangan para sa negosyo ng Lungsod.
• Pagbabalik at Pag-decommission – Ang mga mobile device na pag-aari ng Lungsod ay dapat ibalik sa Lungsod kapag hindi na ginagamit o hindi kinakailangan para sa mga negosyo ng Lungsod para sa muling pag-isyu o pag-decommission. Ang mga device na pag-aari ng Lungsod ay dapat punasan at muling i-imahe bago muling i-isyu o i-decommission ang device.
• Paghihiwalay mula sa Lungsod – Ang datos ng Lungsod sa mga mobile device na pag-aari ng Lungsod ay dapat burahin sa oras ng paghihiwalay ng mga kawani mula sa trabaho o kontrata sa Lungsod.

Pag-configure ng mga Mobile Device na Pag-aari ng Lungsod

• Bersyon at Modelo ng Device – Ang mga mobile device na pag-aari ng Lungsod ay dapat matugunan ang minimum na bersyon at uri ng operating system at minimum na modelo ng device na sumusuporta sa mga teknikal na pananggalang ng Lungsod. Paalala: ang mga minimum na modelo ng device ay hindi kinakailangang ang pinakabagong modelo na magagamit.
• Konpigurasyon ng Seguridad - Ang mga mobile device na pag-aari ng Lungsod ay dapat na naka-configure gamit ang mga aprubadong pananggalang (hal., mga aprubadong mobile app para sa data ng Lungsod) bago gamitin para sa mga negosyo ng Lungsod.
• Na-update na Operating System – Ang mga mobile device na pag-aari ng lungsod ay dapat na ma-update sa pinakabagong antas ng patch ng isang sinusuportahang operating system nang hindi lalampas sa 14 na araw mula sa pinalabas ni ng tagagawa ng operating system.
• Kinakailangan ang Pag-lock ng Device – Ang mga mobile device na pag-aari ng lungsod ay dapat mangailangan ng passcode, kahit man lang, para ma-unlock ang device.
• Pagtanggal ng Data ng Lungsod - Ang data ng lungsod sa mga mobile device na pag-aari ng Lungsod ay dapat awtomatikong mabura kung ang maling passcode ay paulit-ulit na naipasok, sa oras na matukoy ang pakikialam sa operating system ng device (ibig sabihin, jailbreaking), o kung ang mobile device ay hindi kumokonekta sa mga sistema ng Lungsod sa loob ng isang itinalagang tagal ng panahon.

Proteksyon ng Datos at Legal

• Pag-iimbak ng Datos at Dokumento ng Lungsod - Ang datos at mga dokumento ng lungsod ay dapat iimbak at ma-access gamit ang mga aprubado at protektadong mobile application.
• Mga Batas sa Rekord ng mga Pampublikong Rekord - Ang datos at mga dokumento ng lungsod ay napapailalim sa mga batas sa mga pampublikong rekord.
• Mga Rekord ng Seguridad ng Impormasyon - Ang mga rekord ng seguridad ng impormasyon, tulad ng datos na nabuo ng mga mobile authentication app o mga security code at password na ipinapadala sa mga mobile device, ay karaniwang hindi sakop ng pagsisiwalat ng mga pampublikong rekord sa ilalim ng mga eksepsiyon ng California Public Records Act.

Proteksyon sa Pisikal na Seguridad

• Proteksyon sa Pagnanakaw o Pagkawala – Ang mga mobile device na pag-aari ng lungsod ay dapat protektahan mula sa pagkawala dahil sa pagnanakaw o paninira at dapat manatili sa pag-aari ng taong pinagkalooban ng device, maliban kung ang mga ito ay idineposito sa isang ligtas na lokasyon tulad ng isang nakakandadong opisina ng Lungsod, nakakandadong lokasyon sa bahay, trunk ng kotse, o ligtas sa hotel.
• Agarang Pag-uulat ng mga Nawalang Device – Dapat iulat agad ang mga nawala o nanakaw na mobile device na pag-aari ng Lungsod. Dapat tanggalin ang data ng Lungsod mula sa mga device na ito at dapat i-disable ang mga mobile device na pag-aari ng Lungsod.

Ang Punong Opisyal ng Seguridad ng Impormasyon ng Lungsod (CCISO) ay dapat:

• Suportahan ang pagpapatupad ng mga departamento ng mga kinakailangang ito, kabilang ang pagbibigay ng mga sentralisadong kakayahan sa cybersecurity at mga kagamitan sa cybersecurity sa buong lungsod na magagamit ng mga departamento.
• Baguhin ang mga kinakailangan sa cybersecurity sa buong Lungsod kapag may mga pagbabago sa profile ng panganib, regulasyon, o batas ng Lungsod.

Ang mga Pinuno ng IT ng Kagawaran/ Mga Punong Opisyal ng Seguridad ng Impormasyon (CISO)/ Mga Opisyal ng Seguridad ng Impormasyon (DISO) ay dapat:

• Pagtibayin at ipatupad ang mga kinakailangan sa pamantayang ito. Ang mga patakaran at kinakailangan na partikular sa departamento ay dapat na katumbas o mas mataas kaysa sa mga kinakailangang ito sa buong Lungsod.
• Ipatupad ang mga kinakailangan sa pamamagitan ng paggamit ng mga kagamitan sa cybersecurity sa buong lungsod at mga mapagkukunan ng Departamento .

Ang mga Awtorisadong Kontak ng Departamento ng Telekomunikasyon (TAC) at mga Kawani ng Pagkuha ay dapat:

• Tiyaking kasama sa mga kahilingan sa device (tingnan ang Appendix A para sa isang halimbawa) ang:
  • Paghingi ng pangalan at uri ng trabaho ng empleyado,
  • pagbibigay-katwiran para sa paggamit ng mga mobile device na pag-aari ng Lungsod,
  • pangalan at uri ng trabaho ng taga-apruba ng departamento,
  • uri/modelo ng mga hiniling na aparato, at
  • ang tinatayang gastos.
• Suportahan ang pangangasiwa at pagsunod sa patakaran o proseso sa pamamahala ng mobile device na partikular sa departamento.

Ang Punong Opisyal sa Pananalapi (CFO) ng Departamento / Mga Direktor ng Pananalapi o Badyet / Pinuno ng Kagawaran ay dapat:

• Bumuo ng prosesong partikular sa departamento para sa pagsusuri ng mga pangangailangan ng negosyo para sa mga mobile device, pamahalaan ang mga kahilingan para sa mga bago o kapalit na device.
• Isaalang-alang ang mga gastos at benepisyo ng pagbibigay ng mga mobile device na pag-aari ng Lungsod upang ma-optimize ang paggamit ng pangkalahatang pondo ng Lungsod.
• Suriin ang plano ng singil at paggamit ng bawat mobile device upang matiyak ang pinakamainam na cost-effectiveness para sa lahat ng pagkakataon ng paggamit kapag ang mga singil ay ina-update o kahit man lang taun-taon.
• Ipaalam sa Departamento ng TAC, kung kinakailangan, na idiskonekta o i-deactivate ang mga hindi gaanong nagagamit na mobile device, o magbigay ng nakasulat na dahilan sa Departamento ng Teknolohiya upang mapanatili ang mga umiiral na linya at device.

Ang mga kinakailangan sa patakarang ito ng COIT ay magkakabisa 90 araw pagkatapos ng petsa ng paglalathala. Dapat maghanda ang mga departamento para sa pagpapatupad ng mga kinakailangan sa pamamagitan ng pagsusuri ng mga umiiral na platform ng teknolohiya ng CCSF at pagbuo ng isang plano sa pagpapatupad na nakabatay sa peligro.

Dapat isaalang-alang ng mga departamento ang paggamit ng plataporma sa buong Lungsod upang suportahan ang pagpapatupad ng patakarang ito.

Ang mga nakuha o naipatupad na platform ng teknolohiya ng CCSF ay dapat matugunan ang mga kinakailangan sa patakarang ito.

Ang mga eksepsiyon, may kaugnayan man sa mga kinakailangan sa seguridad o pananalapi, sa mga pamantayan ay aaprubahan sa bawat kaso ng bawat CISO/ISO ng Kagawaran, na siyang magtatala ng lahat ng naturang inaasahan sa CISO ng Lungsod, at Pagrepaso ang mga nasabing eksepsiyon nang hindi bababa sa taun-taon.

Ang mga kinakailangan sa cybersecurity at pananalapi sa buong lungsod ay hindi dapat pumalit sa mga kinakailangan ng Estado o Pederal na maaaring naaangkop sa ilang partikular na departamento ng Lungsod.