Chính sách quản lý và bảo vệ dữ liệu

Mục đích của chính sách này là:

• Chỉ định Bộ phận Công nghệ (DT) làm đơn vị quản lý cơ sở hạ tầng (Người giám sát) thực hiện xử lý dữ liệu (Người quản lý cơ sở hạ tầng) cho các tài sản CNTT do DT quản lý.
• Chỉ định các phòng ban của Thành phố làm chủ sở hữu dữ liệu (Owners).
• Nêu rõ vai trò và trách nhiệm của mỗi bên liên quan đến chính sách này.

Tất cả các chính sách khác quy định việc sử dụng hợp pháp các nguồn tài nguyên máy tính của CCSF vẫn có hiệu lực, cũng như tất cả các quy định (ví dụ: HIPAA, CJIS, Sunshine Ordinance, Lưu giữ dữ liệu, v.v.) nhằm bảo vệ tính bảo mật và toàn vẹn của dữ liệu được giao cho các phòng ban của CCSF.

Chính sách này áp dụng cho các mạng, phần cứng, phần mềm, lưu trữ, môi trường đám mây bên ngoài, SaaS và dữ liệu (bản ghi cơ sở dữ liệu, video, trò chuyện, điện thoại, v.v.) do DT quản lý, trong trường hợp DT có quyền quản trị trực tiếp và/hoặc giám sát kỹ thuật. Điều này khác với hợp đồng hoặc thỏa thuận công nghệ doanh nghiệp dùng chung do DT quản lý, trong đó nhiều bộ phận có thể sử dụng cùng một Thỏa thuận Doanh nghiệp nhưng quản lý hoặc điều hành việc triển khai hoặc các trường hợp kỹ thuật của họ một cách riêng biệt, bao gồm cả DT.

Phòng Công nghệ (DT) hiện tại và trong mọi thời điểm sẽ luôn là “Người quản lý” dữ liệu được truyền tải, tải lên, truy cập hoặc lưu trữ trên cơ sở hạ tầng CNTT của Thành phố do DT quản lý. Mỗi Phòng ban là “Chủ sở hữu” dữ liệu của Phòng ban đó và chịu trách nhiệm về mọi hoạt động dữ liệu liên quan đến việc truy cập, phân tách và lưu giữ. Trách nhiệm sở hữu dữ liệu thuộc về các Phòng ban, tuân theo các chính sách liên quan khác được đề cập bên dưới. Hơn nữa, DT sẽ không chia sẻ, ghi lại, truyền tải, sửa đổi hoặc xóa thông tin thuộc về các phòng ban của CCSF, ngoại trừ trường hợp DT sẽ chia sẻ và truyền tải thông tin theo yêu cầu từ Luật sư Thành phố, Kiểm toán viên hoặc Ủy ban Đạo đức liên quan đến điều tra hoặc yêu cầu từ Luật sư Thành phố liên quan đến kiện tụng.

Phòng Công nghệ (DT) cung cấp dịch vụ quản lý an toàn cho cơ sở hạ tầng Công nghệ Thông tin (IT) toàn thành phố, bao gồm kết nối mạng, hệ thống vận hành, dịch vụ email/thoại và các ứng dụng phần mềm kinh doanh. Quản lý IT bao gồm quản lý vận hành thông tin được lưu trữ trong các bảng cơ sở dữ liệu, hình ảnh được quét, bản ghi âm, bản ghi video, tin nhắn, email và các loại dữ liệu khác. Các phòng ban của thành phố sử dụng cơ sở hạ tầng của DT để tự động hóa các quy trình kinh doanh và cung cấp các dịch vụ công chất lượng cao.

Trong quá trình quản trị và bảo trì hệ thống, DT thực hiện các hoạt động cần thiết để hỗ trợ các dịch vụ cơ sở hạ tầng, bao gồm bảo mật CNTT, quản lý và điều chỉnh hiệu suất hệ thống. DT đã triển khai và sẽ duy trì các biện pháp bảo mật kỹ thuật và tổ chức phù hợp cho việc lưu trữ và xử lý dữ liệu. Các biện pháp này xem xét bản chất, phạm vi và mục đích của dữ liệu (sản xuất, phát triển, thử nghiệm, phục hồi thảm họa và ảnh chụp nhanh hoạt động, sao lưu, chuyển đổi dự phòng) và nhằm mục đích bảo vệ dữ liệu khỏi các rủi ro vốn có trong việc quản lý cơ sở hạ tầng CNTT, đặc biệt là các rủi ro từ việc phá hủy, mất mát, thay đổi, tiết lộ trái phép hoặc truy cập dữ liệu một cách ngẫu nhiên hoặc bất hợp pháp. DT đã triển khai các biện pháp kiểm soát truy cập, mã hóa truyền dẫn, phục hồi thảm họa, bảo vệ an ninh và giám sát để bảo vệ dữ liệu được lưu trữ trên cơ sở hạ tầng do DT quản lý.

DT rất coi trọng trách nhiệm của mình đối với an ninh và quyền riêng tư của thông tin được lưu trữ trên các nền tảng doanh nghiệp của Thành phố. Hàng năm, nhân viên DT ký vào Bản cam kết bảo mật thông tin của nhân viên DT, trong đó xác nhận rằng nhân viên DT chỉ được truy cập thông tin/dữ liệu trên cơ sở hạ tầng do DT quản lý, trong quá trình thực hiện nhiệm vụ công việc và không vì mục đích nào khác. Ngoài ra, DT đã thiết lập các quy trình và chính sách an ninh mạng CCSF để điều chỉnh vai trò của DT trong việc hỗ trợ, duy trì và bảo mật cơ sở hạ tầng và hệ thống dữ liệu quan trọng.

Dữ liệu thuộc về bộ phận sở hữu và chính sách của DT là giữ bí mật các hồ sơ đó theo luật, chính sách và quy trình hiện hành. Trong những trường hợp hạn chế, ngoại lệ đối với chính sách này có thể xảy ra khi cần thiết để tuân thủ các yêu cầu điều tra và pháp lý hợp lệ.

Các phòng ban sẽ cung cấp cho DT các yêu cầu về bảo mật dữ liệu (như PII, CJIS, CLETS, POS) để bảo vệ dữ liệu khỏi việc xử lý hoặc tiết lộ trái phép hoặc bất hợp pháp; truy cập, thao túng hoặc lạm dụng trái phép; và mất mát, phá hủy hoặc hư hỏng do tai nạn. Dữ liệu được thu thập và lưu giữ bởi Phòng ban sẽ được bảo vệ bằng các biện pháp bảo vệ phù hợp với cấp độ phân loại của dữ liệu theo định nghĩa của khung bảo mật 800-53 của Viện Tiêu chuẩn và Công nghệ Quốc gia (NIST), hoặc các yêu cầu tương đương từ các khung an ninh mạng chính khác do phòng ban lựa chọn.

Phòng Công nghệ – Quản lý/Bảo trì Cơ sở hạ tầng

• Chịu trách nhiệm triển khai cơ sở hạ tầng kỹ thuật và kiến ​​trúc cho nền tảng doanh nghiệp dùng chung.
• Thiết lập các quy trình để duy trì tính bảo mật, toàn vẹn, vận chuyển và lưu trữ dữ liệu.
• Chịu trách nhiệm quản lý vận hành và hành chính hàng ngày đối với các cơ sở dữ liệu, tập dữ liệu và hệ thống thông tin doanh nghiệp (O365) do DT hỗ trợ.
• Thực hiện bảo trì hệ thống để đảm bảo tính khả dụng và liên tục của dịch vụ.
• Đảm bảo quyền truy cập vào các ứng dụng và dữ liệu doanh nghiệp được ủy quyền và các quy trình quản lý thay đổi được áp dụng phối hợp với Chủ sở hữu dữ liệu.
• Cảnh báo, thực hiện chẩn đoán kỹ thuật và khắc phục các lỗi trong phần mềm và phần cứng cơ bản có thể ảnh hưởng đến chất lượng, tính toàn vẹn và tính nhất quán của dữ liệu.
• Quản lý tất cả dữ liệu của Thành phố như thông tin mật và việc tiết lộ chỉ được phép bởi bộ phận sở hữu.
• Với vai trò là người quản lý dữ liệu của các phòng ban, DT thực hiện đánh giá rủi ro nhà cung cấp và quét/giám sát mạng để bảo vệ cơ sở hạ tầng, dữ liệu và dịch vụ.

Các Sở ban ngành của Thành phố và Quận San Francisco – Chủ sở hữu dữ liệu

• Tạo, chỉnh sửa, xác định quyền truy cập và xóa dữ liệu theo mục đích và quy trình kinh doanh của bộ phận cũng như chính sách lưu trữ.
• Quản lý việc lưu trữ dữ liệu thông tin.
• Đảm bảo các quy trình địa phương hiệu quả được thiết lập để hướng dẫn việc sử dụng phù hợp, chất lượng, tính khả dụng và tính toàn vẹn của dữ liệu.
• Tuân thủ tất cả các chính sách và quy trình pháp lý, quy định và dữ liệu. Điều này bao gồm trách nhiệm phân loại dữ liệu theo Tiêu chuẩn Phân loại Dữ liệu của COIT.
• Chủ động phối hợp với Quản lý cơ sở hạ tầng để xác định phạm vi và giới hạn của bảo mật và quyền truy cập.

Tất cả người dùng CCSF (nhân viên, người lao động tạm thời, nhà thầu, nhà cung cấp, thực tập sinh hoặc tình nguyện viên) sử dụng các nguồn lực do DT quản lý đều có trách nhiệm tuân thủ chính sách này. Nhân viên nào liên tục không tuân thủ chính sách này có thể phải chịu các biện pháp kỷ luật thích đáng.