BỘ SƯU TẬP TÀI NGUYÊN
Chính sách mua lại và quản lý đám mây
Thành phố và Quận San Francisco khuyến khích sử dụng các dịch vụ đám mây khi có thể tiết kiệm chi phí, có các chiến lược giảm thiểu rủi ro và các dịch vụ hỗ trợ chiến lược chia sẻ dữ liệu của Thành phố thông qua các hệ thống có khả năng tương tác.
Thành phố và Quận San Francisco khuyến khích sử dụng các dịch vụ đám mây khi có thể tiết kiệm chi phí, có các chiến lược giảm thiểu rủi ro và các dịch vụ hỗ trợ chiến lược chia sẻ dữ liệu của Thành phố thông qua các hệ thống có khả năng tương tác.
Mục đích và phạm vi
Mục đích của Chính sách Quản lý & Thu mua Đám mây là đảm bảo các phòng ban của Thành phố kết hợp các yêu cầu, quy trình và chiến lược giảm thiểu rủi ro phù hợp trong việc sử dụng và mua sắm các dịch vụ đám mây. Chính sách này bao gồm việc Thành phố sử dụng tất cả các dịch vụ đám mây, bao gồm nhưng không giới hạn ở: các sản phẩm lưu trữ, phần mềm dưới dạng dịch vụ (SaaS) và nền tảng dưới dạng dịch vụ (PaaS).
Các yêu cầu được xác định trong chính sách này áp dụng cho tất cả các nguồn thông tin do Thành phố và Quận San Francisco và các sở ban ngành và ủy ban của thành phố vận hành hoặc cho Thành phố và Quận San Francisco. Các viên chức được bầu, nhân viên, cố vấn và nhà cung cấp làm việc thay mặt cho Thành phố và Quận San Francisco phải tuân thủ chính sách này.
Tuyên bố chính sách
Trước khi mua hoặc sử dụng dịch vụ đám mây, Chính sách mua lại và quản lý đám mây yêu cầu tất cả các phòng ban phải kết hợp các thủ tục sau:
Yêu cầu về thu thập - Tiến hành đánh giá chính thức và ghi lại những nội dung sau:
- CIO hoặc Quản lý CNTT của phòng ban phải bày tỏ sự chấp thuận rõ ràng trước khi sử dụng bất kỳ dịch vụ đám mây nào. Nhân viên thành phố không được cung cấp các sản phẩm đám mây mà không có sự chấp thuận của CIO hoặc Quản lý CNTT của phòng ban và phải tuân thủ các chính sách mua sắm của Văn phòng Quản lý Hợp đồng.
- Các sở ban ngành sẽ sử dụng các hợp đồng hiện có để tối đa hóa sức mua của Thành phố khi cần thiết.
Tiêu chuẩn dữ liệu & Giảm thiểu rủi ro
Đối với tất cả các dịch vụ đám mây, các phòng ban sẽ:
- Tiến hành đánh giá rủi ro về quyền riêng tư dữ liệu với dịch vụ. Các sản phẩm chứa dữ liệu cấp độ 3-5 phải có thêm cấp độ xem xét và tuân thủ các yêu cầu về an ninh mạng và các quy tắc quản lý và truy cập danh tính của bộ phận. Để phân loại dữ liệu, bộ phận phải tham khảo Tiêu chuẩn phân loại dữ liệu COIT.
- Xác minh Thành phố vẫn giữ quyền sở hữu và quyền đối với Dữ liệu Thành phố, bao gồm các tác phẩm phái sinh được tạo ra từ Dữ liệu Thành phố và giấy phép được áp dụng cho dữ liệu.
- Xác định tiêu chuẩn lưu giữ dữ liệu cho tất cả dữ liệu được lưu trữ bằng dịch vụ đám mây.
- Xem xét khả năng tương tác của dịch vụ đám mây với dữ liệu và hệ thống của Thành phố. Các sở ban ngành nên ưu tiên các sản phẩm sử dụng tiêu chuẩn giao diện lập trình ứng dụng (API) hỗ trợ mục tiêu chia sẻ dữ liệu của Thành phố.
Trong mọi trường hợp, các phòng ban nên tham khảo ý kiến của Bộ Công nghệ về các chiến lược công nghệ phù hợp.