Chính sách mua sắm và quản lý đám mây

Thành phố và Quận San Francisco khuyến khích sử dụng dịch vụ điện toán đám mây khi có hiệu quả về chi phí, các chiến lược giảm thiểu rủi ro được thực hiện và các dịch vụ này hỗ trợ chiến lược chia sẻ dữ liệu của Thành phố thông qua các hệ thống có khả năng tương tác.

Mục đích của Chính sách Quản lý & Thu mua Đám mây là đảm bảo các phòng ban của Thành phố kết hợp các yêu cầu, quy trình và chiến lược giảm thiểu rủi ro phù hợp trong việc sử dụng và mua sắm các dịch vụ đám mây. Chính sách này bao gồm việc Thành phố sử dụng tất cả các dịch vụ đám mây, bao gồm nhưng không giới hạn ở: các sản phẩm lưu trữ, phần mềm dưới dạng dịch vụ (SaaS) và nền tảng dưới dạng dịch vụ (PaaS).

Các yêu cầu được xác định trong chính sách này áp dụng cho tất cả các nguồn thông tin do Thành phố và Quận San Francisco và các sở ban ngành và ủy ban của thành phố vận hành hoặc cho Thành phố và Quận San Francisco. Các viên chức được bầu, nhân viên, cố vấn và nhà cung cấp làm việc thay mặt cho Thành phố và Quận San Francisco phải tuân thủ chính sách này.

Trước khi mua hoặc sử dụng dịch vụ đám mây, Chính sách Mua sắm & Quản lý Đám mây yêu cầu tất cả các bộ phận phải thực hiện các thủ tục sau:

Yêu cầu mua sắm

Tiến hành đánh giá chính thức và ghi lại những nội dung sau:

• Giám đốc CNTT hoặc Quản lý CNTT của bộ phận phải phê duyệt rõ ràng trước khi sử dụng bất kỳ dịch vụ đám mây nào. Nhân viên thành phố không được phép cung cấp các sản phẩm đám mây mà không có sự phê duyệt của Giám đốc CNTT hoặc Quản lý CNTT của bộ phận và phải tuân thủ các chính sách mua sắm của Văn phòng Quản lý Hợp đồng.
• Các phòng ban nên sử dụng các hợp đồng hiện có để tối đa hóa sức mua của Thành phố khi thích hợp.

Tiêu chuẩn dữ liệu và giảm thiểu rủi ro

Đối với tất cả các dịch vụ đám mây, các bộ phận phải:

• Tiến hành đánh giá rủi ro về bảo mật dữ liệu đối với dịch vụ. Các sản phẩm chứa dữ liệu cấp độ 3-5 cần được xem xét kỹ lưỡng hơn và tuân thủ các yêu cầu về an ninh mạng cũng như các quy tắc quản lý và truy cập danh tính của bộ phận. Để phân loại dữ liệu, bộ phận nên tham khảo Tiêu chuẩn Phân loại Dữ liệu COIT.
• Xác minh rằng Thành phố vẫn giữ quyền sở hữu và các quyền đối với Dữ liệu Thành phố, bao gồm cả các tác phẩm phái sinh được tạo ra từ Dữ liệu Thành phố và giấy phép áp dụng cho dữ liệu đó.
• Xác định các tiêu chuẩn lưu giữ dữ liệu cho tất cả dữ liệu được lưu trữ trên các dịch vụ đám mây.
• Hãy xem xét khả năng tương tác của dịch vụ đám mây với dữ liệu và hệ thống của Thành phố. Các phòng ban nên ưu tiên các sản phẩm sử dụng các tiêu chuẩn giao diện lập trình ứng dụng (API) hỗ trợ các mục tiêu chia sẻ dữ liệu của Thành phố.

Trong mọi trường hợp, các phòng ban nên tham khảo ý kiến ​​của Phòng Công nghệ về các chiến lược công nghệ phù hợp.

Giám đốc CNTT và Quản lý CNTT của các bộ phận

• Xem xét lại tất cả các hình thức sử dụng dịch vụ đám mây trong các bộ phận của họ và phê duyệt việc sử dụng khi thích hợp.
• Đánh giá và đảm bảo các dịch vụ đám mây hiện có duy trì các biện pháp an ninh mạng và tính liên tục hoạt động mạnh mẽ (ví dụ: kiểm tra chuyển đổi dự phòng, kiểm thử xâm nhập mạng, v.v...).
• Phối hợp chặt chẽ với Sở Công nghệ và Văn phòng An ninh mạng của Thành phố để cung cấp bức tranh toàn diện về việc Thành phố sử dụng các sản phẩm điện toán đám mây.
• Phối hợp với người quản lý rủi ro của bộ phận và Giám đốc An ninh Thông tin của Thành phố để tiến hành đánh giá rủi ro chính thức khi cần thiết.
• Xác định các tiêu chuẩn lưu giữ dữ liệu cho tất cả các dịch vụ đám mây và xác minh quyền sở hữu tất cả dữ liệu của Thành phố.
• Hãy trao đổi với nhân viên trong bộ phận về quy trình phê duyệt sản phẩm đám mây để đảm bảo nhân viên không tự ý cài đặt sản phẩm đám mây mà không có hướng dẫn.

Cán bộ An ninh CNTT của Phòng

• Phối hợp chặt chẽ với lãnh đạo công nghệ của bộ phận họ để tiến hành đánh giá rủi ro đối với các sản phẩm điện toán đám mây.
• Phối hợp với Giám đốc An ninh Thông tin của Thành phố về mức độ rủi ro phù hợp và các biện pháp tốt nhất.

Bộ môn Công nghệ

• Cung cấp thông tin và hỗ trợ về việc lựa chọn các sản phẩm điện toán đám mây phù hợp. Cổng thông tin tương tác sẽ là nguồn tài nguyên để chia sẻ thông tin về các nhà cung cấp dịch vụ điện toán đám mây hiện có trong Thành phố.

Trưởng phòng An ninh Thông tin Thành phố

• Hỗ trợ đánh giá rủi ro cho các dịch vụ đám mây giao tiếp với các hệ thống quan trọng, và hỗ trợ các bộ phận trong việc phân loại dữ liệu của họ theo Tiêu chuẩn Phân loại Dữ liệu.

Văn phòng Quản lý Hợp đồng

• Các bộ phận hỗ trợ cần sử dụng phương pháp mua sắm phù hợp cho dịch vụ đám mây. Việc mua các sản phẩm SaaS thông qua Tech Marketplace chỉ được phép chứa dữ liệu cấp 1 và 2 theo định nghĩa của Tiêu chuẩn Phân loại Dữ liệu.
• Vui lòng tham khảo mẫu hợp đồng P-648 dành cho dịch vụ Phần mềm dưới dạng dịch vụ (Software-as-a-Service) khi cần thiết.

Văn phòng Luật sư Thành phố

• Soạn thảo hợp đồng sao cho bao gồm các điều khoản từ chính sách này trong quá trình mua sắm dịch vụ điện toán đám mây.

Kiểm toán viên dịch vụ thành phố

• Định kỳ rà soát việc tuân thủ Chính sách Mua sắm trên nền tảng đám mây của từng bộ phận.
• Đánh giá việc áp dụng Tiêu chuẩn Phân loại Dữ liệu đối với các sản phẩm điện toán đám mây của các phòng ban.

• “Dữ liệu Thành phố” bao gồm, nhưng không giới hạn, tất cả dữ liệu được thu thập, sử dụng, duy trì, xử lý, lưu trữ hoặc tạo ra bởi hoặc thay mặt cho Thành phố, kể cả kết quả của việc sử dụng các dịch vụ do nhà thầu cung cấp.

Một bộ phận có thể hạn chế quyền truy cập vào bất kỳ dịch vụ đám mây nào không tuân thủ chính sách này, cho đến khi yêu cầu được đáp ứng.

• Tiêu chuẩn phân loại dữ liệu COIT
• Chính sách an ninh mạng toàn thành phố của COIT
• Cổng thông tin tương tác của Bộ Công nghệ
• Mẫu hợp đồng P-648 của Văn phòng Quản lý Hợp đồng

Các nhà cung cấp dịch vụ đám mây bên ngoài cung cấp các dịch vụ mang lại một số lợi thế tiềm năng so với các giải pháp tại chỗ, bao gồm: khả năng mở rộng/linh hoạt, loại bỏ hoặc giảm thiểu diện tích trung tâm dữ liệu và chi phí mua phần cứng, nâng cấp hệ điều hành, bảo mật mạnh mẽ và các tính năng như công cụ phát triển, cơ sở dữ liệu hoặc phần mềm trung gian.

Các dịch vụ điện toán đám mây phổ biến nhất là:

• Cơ sở hạ tầng như một dịch vụ (IaaS): IaaS cung cấp các tài nguyên điện toán ảo hóa như xử lý và lưu trữ qua Internet và cho phép người đăng ký triển khai và chạy phần mềm. Người đăng ký không quản lý hoặc kiểm soát cơ sở hạ tầng đám mây bên dưới, nhưng có quyền kiểm soát hệ điều hành, lưu trữ và các ứng dụng đã triển khai. Amazon Web Services là một ví dụ về IaaS.
• Nền tảng dưới dạng dịch vụ (PaaS): PaaS cung cấp cho người đăng ký một nền tảng để phát triển, chạy và quản lý các ứng dụng web bằng cách sử dụng ngôn ngữ lập trình, thư viện, dịch vụ và công cụ của nhà cung cấp. Người đăng ký có quyền kiểm soát các ứng dụng đã triển khai. Heroku hoặc CloudFoundry là những ví dụ về sản phẩm PaaS.
• Phần mềm dưới dạng dịch vụ (SaaS): SaaS là ​​mô hình cấp phép và phân phối phần mềm, theo đó phần mềm và/hoặc ứng dụng được cấp phép dựa trên hình thức đăng ký và được nhà cung cấp phần mềm lưu trữ tập trung. Salesforce.com là một ví dụ về SaaS.

Khi đàm phán dịch vụ với nhà cung cấp SaaS, các Phòng ban được khuyến cáo rằng hợp đồng SaaS tiêu chuẩn cũng có sẵn để sử dụng với Văn phòng Quản lý Hợp đồng. Đối với các sản phẩm SaaS chỉ chứa dữ liệu cấp 1 hoặc cấp 2 theo định nghĩa của Tiêu chuẩn Phân loại Dữ liệu, Tech Marketplace là một lựa chọn. Tuy nhiên, đối với tất cả các hoạt động mua sắm khác, hợp đồng tiêu chuẩn là một lựa chọn cho các cuộc đàm phán trong tương lai. Một số điều khoản của hợp đồng bao gồm:

• Tính khả dụng của dữ liệu - Thỏa thuận cần đề cập đến thời gian hoạt động mà thành phố mong muốn thông qua thỏa thuận mức độ dịch vụ.
• Tính nhạy cảm của dữ liệu - Các thỏa thuận liên quan đến dữ liệu như thông tin sức khỏe, thông tin nhận dạng cá nhân, thông tin thẻ tín dụng hoặc việc một người có phải là người nhận trợ cấp công cộng hay không phải phản ánh các yêu cầu tuân thủ quy định bổ sung.
• Các vấn đề cần xem xét và biện pháp khắc phục khi xảy ra vi phạm dữ liệu – Thỏa thuận cần xác định rõ các rủi ro và trách nhiệm đối với các vi phạm dữ liệu.
• Bảo mật trực tuyến và cơ sở hạ tầng lưu trữ – Các dịch vụ mã hóa và quy trình bảo mật vật lý cần được ghi chép lại. Một số loại dữ liệu yêu cầu chứng nhận đặc biệt.
• Quyền sở hữu và vị trí dữ liệu - Nhân viên của nhà cung cấp chỉ được phép truy cập dữ liệu của thành phố trong phạm vi cần thiết để duy trì dịch vụ. Việc sử dụng dữ liệu tổng hợp đã được ẩn danh cần được cân nhắc kỹ lưỡng.
• Khôi phục sau sự cố và vị trí của các trung tâm dữ liệu chính và dự phòng - Vị trí của các trung tâm chính và dự phòng, bao gồm thành phố và tiểu bang, và đảm bảo các yêu cầu của thỏa thuận được chuyển giao cho nhà thầu phụ.
• Giới hạn về điều khoản miễn trừ trách nhiệm đối với thỏa thuận chấp nhận ký kết trực tuyến - Thỏa thuận cần nêu rõ rằng chỉ các điều khoản bằng văn bản trong thỏa thuận giữa các bên mới áp dụng cho người dùng được thành phố chỉ định để truy cập, chứ không phải thỏa thuận chấp nhận ký kết trực tuyến thường được yêu cầu để truy cập dịch vụ.
• Chính sách lưu giữ hồ sơ và tạm giữ hồ sơ phục vụ kiện tụng - Thỏa thuận cần nêu rõ những gì thành phố mong muốn nhà cung cấp dịch vụ lưu trữ thực hiện trong trường hợp tạm giữ hồ sơ phục vụ kiện tụng.
• Kiểm toán - Việc kiểm toán nên được thực hiện thường xuyên và bản tóm tắt hoặc bản sao báo cáo kiểm toán SSAE 16 phải được cung cấp cho thành phố.
• Điều khoản chấm dứt hợp đồng và trường hợp nhà cung cấp phá sản - Khi chấm dứt hoặc hết hạn hợp đồng, nhà cung cấp dịch vụ lưu trữ phải cung cấp cho thành phố một bản sao đầy đủ dữ liệu của thành phố ở định dạng có thể đọc được bằng máy tính đã được thỏa thuận trong một khung thời gian nhất định, và yêu cầu nhà cung cấp dịch vụ lưu trữ phải xác nhận bằng văn bản rằng họ sẽ xóa tất cả dữ liệu của thành phố khỏi máy chủ của nhà cung cấp theo cách mà dữ liệu không thể được tạo lại.

Thông tin chi tiết đầy đủ với tất cả các điều khoản tiêu chuẩn có trong hợp đồng SaaS P-648 đều có trên trang web của Văn phòng Quản lý Hợp đồng.