Sử dụng thiết bị di động cho doanh nghiệp thành phố

Thành phố và Quận San Francisco (Thành phố) cam kết xây dựng một chương trình quản lý chi phí hiệu quả và an ninh mạng mạnh mẽ để hỗ trợ, duy trì và bảo vệ cơ sở hạ tầng và hệ thống dữ liệu quan trọng.

Chương 22I của Bộ luật Hành chính Thành phố quy định nhiệm vụ của Giám đốc An ninh Thông tin Thành phố trong việc xây dựng và cập nhật các yêu cầu an ninh mạng trên toàn thành phố nhằm giảm thiểu rủi ro cho Thành phố và tuân thủ các yêu cầu pháp lý và quy định về an ninh mạng. Mục đích của các yêu cầu này là thiết lập chính sách quản lý an toàn và tiết kiệm chi phí đối với các thiết bị di động, chẳng hạn như điện thoại thông minh và máy tính bảng, được sử dụng cho công việc của Thành phố.

Các yêu cầu được nêu trong tài liệu này áp dụng cho thông tin và công nghệ kỹ thuật số do Thành phố và Quận San Francisco cùng các sở, ban ngành trực thuộc vận hành hoặc quản lý. Các quan chức được bầu, nhân viên, nhà thầu, đối tác, nhà thầu phụ và nhà cung cấp làm việc thay mặt cho Thành phố và Quận San Francisco đều phải tuân thủ chính sách này.

Các cán bộ an ninh mạng, người liên lạc, chuyên gia công nghệ thông tin (IT) và chuyên gia tài chính/ngân sách có trách nhiệm chung trong việc thực hiện các yêu cầu kỹ thuật và tài chính sau đây. Các phòng ban sau đó nên xây dựng các chính sách hoặc quy trình riêng của phòng ban, tương đương hoặc cao hơn các yêu cầu toàn thành phố này để bao gồm các thực tiễn đặc thù của phòng ban, thúc đẩy hiệu quả chi phí và giảm thiểu rủi ro tiềm tàng.

Tất cả các phòng ban của Thành phố phải đáp ứng các yêu cầu tối thiểu sau:

Cấp phát và thu hồi thiết bị di động thuộc sở hữu của thành phố

• Mua sắm thiết bị mới – Các nhà mạng thường cung cấp giá ưu đãi cho các mẫu thiết bị được phát hành trước mẫu thiết bị mới nhất từ ​​12 đến 24 tháng. Các mẫu thiết bị đời cũ này có khả năng kỹ thuật tương đương với các mẫu mới nhất, và các bộ phận nên cân nhắc kỹ việc mua các mẫu thiết bị đời cũ này để tối đa hóa lợi ích về chi phí và giảm thiểu chi phí thiết bị trong trường hợp chấm dứt dịch vụ sớm.
• Phê duyệt cấp phát - Cần thiết lập quy trình và tiêu chí của phòng ban để yêu cầu, xem xét, phê duyệt hoặc từ chối việc cấp phát thiết bị di động thuộc sở hữu của Thành phố. Xem Phụ lục A để biết mẫu đơn phê duyệt.
• Hồ sơ thiết bị - Việc cấp phát và phê duyệt các thiết bị di động thuộc sở hữu của Thành phố phải được ghi lại kèm theo lý do kinh doanh hợp lý và thông tin về người yêu cầu, người phê duyệt và thiết bị.
• Thay thế thiết bị bị mất hoặc hư hỏng – Quy trình phê duyệt và cấp phát của bộ phận cần theo dõi và quản lý các yêu cầu thay thế thiết bị.
• Rà soát kho thiết bị - Việc kiểm kê các thiết bị di động thuộc sở hữu của Thành phố phải được thực hiện ít nhất mỗi quý một lần để xác nhận rằng các thiết bị đó cần thiết cho hoạt động của Thành phố, xác định các thiết bị di động không hoạt động và tạo điều kiện thuận lợi cho việc tạm dừng thanh toán của Thành phố đối với các thiết bị di động không còn cần thiết cho hoạt động của Thành phố.
• Trả lại và loại bỏ thiết bị – Các thiết bị di động thuộc sở hữu của Thành phố phải được trả lại cho Thành phố khi không còn sử dụng hoặc không cần thiết cho công việc của Thành phố để cấp lại hoặc loại bỏ. Các thiết bị thuộc sở hữu của Thành phố phải được xóa dữ liệu và cài đặt lại hệ điều hành trước khi cấp lại hoặc loại bỏ thiết bị.
• Chấm dứt hợp đồng với Thành phố – Dữ liệu của Thành phố trên các thiết bị di động thuộc sở hữu của Thành phố phải được xóa khi nhân viên chấm dứt hợp đồng hoặc việc làm với Thành phố.

Cấu hình các thiết bị di động thuộc sở hữu của thành phố

• Phiên bản và kiểu máy – Các thiết bị di động thuộc sở hữu của Thành phố phải đáp ứng phiên bản và loại hệ điều hành tối thiểu cũng như kiểu máy tối thiểu hỗ trợ các biện pháp bảo vệ kỹ thuật của Thành phố. Lưu ý: kiểu máy tối thiểu không nhất thiết phải là kiểu máy mới nhất hiện có.
• Cấu hình bảo mật - Các thiết bị di động thuộc sở hữu của Thành phố phải được cấu hình với các biện pháp bảo vệ đã được phê duyệt (ví dụ: các ứng dụng di động được phê duyệt cho dữ liệu của Thành phố) trước khi được sử dụng cho công việc của Thành phố.
• Cập nhật hệ điều hành – Các thiết bị di động thuộc sở hữu của thành phố phải được cập nhật lên phiên bản vá lỗi mới nhất của hệ điều hành được hỗ trợ chậm nhất là 14 ngày kể từ ngày nhà sản xuất hệ điều hành phát hành bản cập nhật.
• Yêu cầu khóa thiết bị – Các thiết bị di động thuộc sở hữu của thành phố phải yêu cầu mật mã, tối thiểu, để mở khóa thiết bị.
• Xóa dữ liệu thành phố - Dữ liệu thành phố trên các thiết bị di động thuộc sở hữu của thành phố phải được tự động xóa nếu nhập sai mật mã nhiều lần, khi phát hiện can thiệp vào hệ điều hành của thiết bị (ví dụ: bẻ khóa thiết bị), hoặc nếu thiết bị di động không kết nối với hệ thống của thành phố trong một khoảng thời gian nhất định.

Bảo vệ dữ liệu và pháp lý

• Lưu trữ dữ liệu và tài liệu của thành phố - Dữ liệu và tài liệu của thành phố phải được lưu trữ và truy cập bằng các ứng dụng di động đã được phê duyệt và bảo vệ.
• Luật về hồ sơ công khai - Dữ liệu và tài liệu của thành phố phải tuân theo luật về hồ sơ công khai.
• Hồ sơ bảo mật thông tin - Các hồ sơ bảo mật thông tin, chẳng hạn như dữ liệu được tạo ra bởi các ứng dụng xác thực di động hoặc mã bảo mật và mật khẩu được gửi đến thiết bị di động, thường được miễn tiết lộ theo các điều khoản miễn trừ của Đạo luật Hồ sơ Công cộng California.

Bảo vệ an ninh vật lý

• Bảo vệ khỏi trộm cắp hoặc mất mát – Các thiết bị di động thuộc sở hữu của Thành phố phải được bảo vệ khỏi mất mát do trộm cắp hoặc phá hoại và phải luôn nằm trong sự sở hữu của người được cấp thiết bị, trừ khi chúng được cất giữ ở một địa điểm an toàn như văn phòng Thành phố có khóa, nơi cất giữ có khóa tại nhà, cốp xe hoặc két sắt khách sạn.
• Báo cáo ngay lập tức khi thiết bị bị mất – Các thiết bị di động thuộc sở hữu của Thành phố bị mất hoặc bị đánh cắp phải được báo cáo ngay lập tức. Dữ liệu của Thành phố phải được xóa khỏi các thiết bị này và các thiết bị di động thuộc sở hữu của Thành phố phải được vô hiệu hóa.

Trưởng phòng An ninh Thông tin Thành phố (CCISO) sẽ có nhiệm vụ:

• Hỗ trợ các phòng ban thực hiện các yêu cầu này, bao gồm cung cấp năng lực an ninh mạng tập trung và bộ công cụ an ninh mạng toàn thành phố để các phòng ban sử dụng.
• Điều chỉnh các yêu cầu về an ninh mạng trên toàn thành phố khi có sự thay đổi về hồ sơ rủi ro, quy định hoặc luật pháp của thành phố.

Các lãnh đạo CNTT cấp phòng ban/ Giám đốc An ninh Thông tin (CISO)/ Cán bộ An ninh Thông tin (DISO) sẽ:

• Áp dụng và thực hiện các yêu cầu trong tiêu chuẩn này. Các chính sách và yêu cầu cụ thể của từng phòng ban phải tương đương hoặc cao hơn các yêu cầu chung của toàn thành phố.
• Triển khai các yêu cầu bằng cách sử dụng bộ công cụ an ninh mạng toàn thành phố và các nguồn lực của Sở.

Các đầu mối liên hệ được ủy quyền của Bộ Viễn thông (TAC) và nhân viên mua sắm sẽ:

• Đảm bảo các yêu cầu thiết bị (xem Phụ lục A để biết ví dụ) bao gồm:
  • Yêu cầu cung cấp tên và chức danh công việc của nhân viên.
  • Lý do chính đáng cho việc sử dụng các thiết bị di động thuộc sở hữu của Thành phố.
  • Tên và chức danh của người phê duyệt thuộc bộ phận,
  • loại/mẫu thiết bị được yêu cầu, và
  • Chi phí ước tính.
• Hỗ trợ việc quản lý và tuân thủ chính sách hoặc quy trình quản lý thiết bị di động cụ thể của từng bộ phận.

Giám đốc Tài chính (CFO) của các phòng ban / Giám đốc Tài chính hoặc Ngân sách / Lãnh đạo các phòng ban sẽ:

• Xây dựng quy trình cụ thể cho từng bộ phận để xem xét nhu cầu kinh doanh về thiết bị di động, quản lý các yêu cầu thiết bị mới hoặc thay thế.
• Hãy cân nhắc chi phí và lợi ích của việc cung cấp các thiết bị di động thuộc sở hữu của Thành phố để tối ưu hóa việc sử dụng ngân sách chung của Thành phố.
• Đánh giá lại gói cước và mức độ sử dụng của từng thiết bị di động để đảm bảo hiệu quả chi phí tối ưu cho mọi trường hợp sử dụng khi giá cước được cập nhật hoặc ít nhất là hàng năm.
• Thông báo cho bộ phận TAC khi cần thiết để ngắt kết nối hoặc vô hiệu hóa các thiết bị di động ít được sử dụng, hoặc cung cấp văn bản giải thích cho Bộ phận Công nghệ để duy trì các đường dây và thiết bị hiện có.

Các yêu cầu trong chính sách COIT này sẽ có hiệu lực sau 90 ngày kể từ ngày công bố. Các phòng ban cần chuẩn bị cho việc thực hiện các yêu cầu bằng cách phân tích các nền tảng công nghệ CCSF hiện có và xây dựng kế hoạch triển khai dựa trên rủi ro.

Các phòng ban nên xem xét sử dụng một nền tảng toàn thành phố để hỗ trợ việc thực hiện chính sách này.

Các nền tảng công nghệ CCSF được mua hoặc triển khai phải đáp ứng các yêu cầu trong chính sách này.

Các trường hợp ngoại lệ, dù liên quan đến yêu cầu an ninh hay tài chính, đối với các tiêu chuẩn sẽ được phê duyệt theo từng trường hợp cụ thể bởi mỗi CISO/ISO của từng bộ phận, người sẽ ghi lại tất cả các kỳ vọng đó với CISO của thành phố và xem xét các trường hợp ngoại lệ đó ít nhất mỗi năm một lần.

Các yêu cầu về an ninh mạng và tài chính trên toàn thành phố không được thay thế các yêu cầu của tiểu bang hoặc liên bang có thể áp dụng cho một số phòng ban cụ thể của thành phố.