Sử dụng thiết bị di động cho doanh nghiệp thành phố

Mục đích và phạm vi

Chương 22I của Bộ luật Hành chính Thành phố thiết lập nhiệm vụ của Giám đốc An ninh Thông tin Thành phố là phát triển và cập nhật các yêu cầu an ninh mạng toàn thành phố để giảm thiểu rủi ro của Thành phố và tuân thủ các yêu cầu an ninh mạng theo luật định và quy định. Mục đích của các yêu cầu này là thiết lập chính sách quản lý an toàn và tiết kiệm chi phí cho các thiết bị di động, chẳng hạn như điện thoại thông minh và máy tính bảng, được sử dụng cho công việc của Thành phố.

Các yêu cầu được xác định trong tài liệu này áp dụng cho thông tin và công nghệ kỹ thuật số do Thành phố và Quận San Francisco và các sở ban ngành của thành phố vận hành hoặc dành cho Thành phố và Quận San Francisco. Các viên chức được bầu, nhân viên, nhà thầu, đối tác, người đấu thầu và nhà cung cấp làm việc thay mặt cho Thành phố và Quận San Francisco phải tuân thủ chính sách này.

Các Cán bộ An ninh mạng, Người liên lạc, Chuyên gia Công nghệ thông tin (IT) và Chuyên gia Tài chính/Ngân sách có trách nhiệm chung trong việc thực hiện các yêu cầu kỹ thuật và tài chính sau đây. Các sở ban ngành sau đó nên xây dựng các chính sách hoặc quy trình của sở ban ngành tương đương hoặc cao hơn các yêu cầu của Thành phố này để bao gồm các hoạt động cụ thể của sở ban ngành, thúc đẩy hiệu quả về chi phí và giảm thiểu rủi ro tiềm ẩn.

Yêu cầu chính sách

Tất cả các sở ban ngành của Thành phố phải áp dụng các yêu cầu tối thiểu sau đây:

Phát hành và ngừng sử dụng các thiết bị di động do thành phố sở hữu

• Mua sắm thiết bị mới – Các nhà mạng viễn thông thường cung cấp mức giá có lợi cho các mẫu thiết bị được phát hành trước mẫu thiết bị mới nhất 12-24 tháng. Các mẫu thiết bị cũ hơn này có khả năng kỹ thuật tương tự đáng kể với các mẫu thiết bị mới nhất và các phòng ban nên cân nhắc kỹ lưỡng việc mua sắm các mẫu thiết bị cũ hơn này để tối đa hóa lợi ích về chi phí tiềm năng và giảm thiểu chi phí thiết bị tiềm năng trong trường hợp chấm dứt dịch vụ sớm.
• Phê duyệt cấp phát – Một quy trình và tiêu chí của sở ban ngành để yêu cầu, xem xét và phê duyệt hoặc từ chối cấp phát thiết bị di động do Thành phố sở hữu phải được thiết lập. Xem Phụ lục A để biết mẫu biểu phê duyệt.
• Hồ sơ thiết bị – Việc cấp và phê duyệt các thiết bị di động do Thành phố sở hữu phải được ghi lại cùng với lý do kinh doanh phù hợp và thông tin liên quan đến người yêu cầu, người phê duyệt và thiết bị.
• Thay thế thiết bị bị mất hoặc bị hỏng – Quy trình phê duyệt và cấp phép của phòng ban phải theo dõi và quản lý các yêu cầu thay thế thiết bị.
• Xem xét hàng tồn kho thiết bị – Hàng tồn kho thiết bị di động do Thành phố sở hữu phải được xem xét tối thiểu mỗi quý để khẳng định rằng các thiết bị là cần thiết cho hoạt động kinh doanh của Thành phố, xác định các thiết bị di động không hoạt động và tạo điều kiện cho việc tạm dừng thanh toán của Thành phố đối với các thiết bị di động không còn cần thiết cho hoạt động kinh doanh của Thành phố.
• Trả lại và ngừng hoạt động – Các thiết bị di động do Thành phố sở hữu phải được trả lại cho Thành phố khi không còn sử dụng hoặc không cần thiết cho công việc của Thành phố để cấp lại hoặc ngừng hoạt động. Các thiết bị do Thành phố sở hữu phải được xóa và tạo lại hình ảnh trước khi cấp lại hoặc ngừng hoạt động thiết bị.
• Tách khỏi Thành phố – Dữ liệu của Thành phố trên các thiết bị di động do Thành phố sở hữu phải bị xóa khi nhân viên rời khỏi công việc hoặc hợp đồng với Thành phố.

Cấu hình thiết bị di động của thành phố

• Phiên bản và kiểu thiết bị – Thiết bị di động do Thành phố sở hữu phải đáp ứng phiên bản tối thiểu và loại hệ điều hành cũng như kiểu thiết bị tối thiểu hỗ trợ các biện pháp bảo vệ kỹ thuật của Thành phố. Lưu ý: kiểu thiết bị tối thiểu không nhất thiết phải là kiểu mới nhất hiện có.
• Cấu hình bảo mật – Các thiết bị di động thuộc sở hữu của Thành phố phải được cấu hình với các biện pháp bảo vệ đã được phê duyệt (ví dụ: ứng dụng di động đã được phê duyệt cho dữ liệu của Thành phố) trước khi được sử dụng cho công việc của Thành phố.
• Hệ điều hành được cập nhật – Các thiết bị di động do thành phố sở hữu phải được cập nhật lên phiên bản vá lỗi mới nhất của hệ điều hành được hỗ trợ chậm nhất là 14 ngày kể từ ngày nhà sản xuất hệ điều hành phát hành bản cập nhật.
• Yêu cầu khóa thiết bị – Các thiết bị di động do thành phố sở hữu phải yêu cầu ít nhất một mật mã để mở khóa thiết bị.
• Xóa dữ liệu thành phố – Dữ liệu thành phố trên các thiết bị di động do Thành phố sở hữu phải được tự động xóa nếu nhập sai mật mã nhiều lần, khi phát hiện có sự can thiệp vào hệ điều hành của thiết bị (tức là bẻ khóa) hoặc nếu thiết bị di động không kết nối với hệ thống của Thành phố trong một khoảng thời gian được chỉ định.

Bảo vệ dữ liệu và pháp lý

• Lưu trữ dữ liệu và tài liệu của thành phố – Dữ liệu và tài liệu của thành phố phải được lưu trữ và truy cập bằng các ứng dụng di động được phê duyệt và bảo vệ.
• Luật hồ sơ công khai – Dữ liệu và tài liệu của thành phố phải tuân theo luật hồ sơ công khai.
• Hồ sơ bảo mật thông tin – Hồ sơ bảo mật thông tin, chẳng hạn như dữ liệu do ứng dụng xác thực di động tạo ra hoặc mã bảo mật và mật khẩu được gửi đến thiết bị di động, thường được miễn tiết lộ hồ sơ công khai theo các miễn trừ của Đạo luật hồ sơ công khai của California.

Bảo vệ an ninh vật lý

• Bảo vệ chống trộm cắp hoặc mất mát – Các thiết bị di động do thành phố sở hữu phải được bảo vệ khỏi bị mất do trộm cắp hoặc phá hoại và phải được người được cấp thiết bị giữ, trừ khi chúng được gửi ở một nơi an toàn như văn phòng có khóa của Thành phố, nơi có khóa tại nhà, cốp xe hoặc két an toàn trong khách sạn.
• Báo cáo ngay các thiết bị bị mất – Các thiết bị di động do Thành phố sở hữu bị mất hoặc bị đánh cắp phải được báo cáo ngay lập tức. Dữ liệu của Thành phố phải được xóa khỏi các thiết bị này và các thiết bị di động do Thành phố sở hữu phải được vô hiệu hóa. 

Đã phê duyệt ngày 21 tháng 9 năm 2023