資源收集

雲端取得與管理政策

Committee on Information Technology (COIT)

2019年3月21日核准

舊金山市和縣鼓勵在能夠提高成本效益、有風險緩解策略,並且這些服務能夠透過互通系統支援該市的資料共享策略的情況下使用雲端服務。

目的和範圍

雲端採購和管理政策的目的是確保城市部門在雲端服務的使用和採購中納入適當的要求、流程和風險緩解策略。該政策涵蓋了紐約市對所有雲端服務的使用,其中包括但不限於:儲存、軟體即服務 (SaaS) 和平台即服務 (PaaS) 產品。

本政策中確定的要求適用於由舊金山市、縣及其部門和委員會運營或為其運營的所有資訊資源。代表舊金山市和縣工作的民選官員、員工、顧問和供應商必須遵守本政策。

政策聲明

在購買或使用雲端服務之前,《雲端購置與管理政策》要求所有部門必須執行以下程序:

採購要求

進行正式評估並記錄以下內容:

  • 在使用任何雲端服務前,必須獲得部門首席資訊長 (CIO) 或 IT 經理的明確批准。未經部門 CIO 或 IT 經理批准,市政府員工不得自行配置雲端產品,且必須遵守合約管理辦公室的採購政策。
  • 各部門應酌情利用現有合同,最大限度地發揮市政府的購買力。

數據標準與風險緩解

對於所有雲端服務,各部門應:

  • 對該服務的資料隱私風險進行風險評估。包含 3-5 級資料的產品應接受更高層級的審查,並符合部門的網路安全要求以及身分存取和管理規則。部門應參考 COIT 資料分類標準對資料進行分類。
  • 確認市政府保留對城市數據的所有權和權利,包括基於城市數據製作的衍生作品以及適用於該數據的許可。
  • 為儲存在雲端服務中的所有資料製定資料保留標準。
  • 考慮雲端服務與市政府數據和系統的互通性。各部門應優先考慮使用符合市政府數據共享目標的應用程式介面 (API) 標準的產品。

在任何情況下,各部門都應就適當的技術策略諮詢技術部門。

角色與職責

部門首席資訊長和IT經理

  • 審查各部門對雲端服務的所有使用情況,並在適當情況下批准使用。
  • 評估並確保現有雲端服務維持強大的網路安全和業務連續性措施(例如故障轉移測試、網路滲透測試等)。
  • 與技術部門和市府網路安全辦公室密切協調,全面了解該市對雲端產品的使用情況。
  • 與部門風險經理和市首席資訊安全官合作,在必要時進行正式的風險評估。
  • 為所有雲端服務制定資料保留標準,並核實所有城市資料的所有權。
  • 與部門員工溝通雲端產品的審核流程,以確保員工不會在沒有指導的情況下自行配置雲端產品。

部門資訊科技安全官

  • 與部門技術領導密切合作,對雲端產品進行風險評估。
  • 與市府首席資訊安全官協調,確定適當的風險等級和最佳實務。

技術部

  • 提供選擇合適雲端產品的資訊和支援。互動入口網站將作為資源平台,用於分享市內現有的雲端服務提供者資訊。

城市首席資訊安全官

  • 支援對與關鍵系統對接的雲端服務進行風險評估,並支援各部門根據資料分類標準對其資料進行分類。

合約管理辦公室

  • 支援部門應採用合適的雲端服務採購方式。透過技術市場購買的SaaS產品只能包含資料分類標準定義的1級和2級資料。
  • 可酌情參考軟體即服務 (SaaS) 的 P-648 合約範本。

市檢察官辦公室

  • 在雲端服務採購合約中,應納入本政策的相關條款。

城市服務審計員

  • 定期檢討部門對雲端採購政策的遵守情況。
  • 評估資料分類標準在部門雲端產品的應用。

定義

  • 「城市數據」包括但不限於城市或代表城市收集、使用、維護、處理、儲存或產生的所有數據,包括因使用承包商提供的服務而產生的數據。

遵守

如果某個雲端服務不符合本政策,相關部門可以限制對其的訪問,直到滿足要求為止。

參考

附錄A:雲端服務定義

外部雲端供應商提供的服務相比本地部署解決方案具有許多潛在優勢,包括:可擴展性/彈性、消除或減少資料中心佔用空間和硬體採購、作業系統更新、可靠的安全性以及開發工具、資料庫或中間件等功能。

最常見的雲端服務包括:

  • 基礎設施即服務 (IaaS):IaaS 透過互聯網提供虛擬化的運算資源,例如處理和存儲,使用戶能夠部署和運行軟體。使用者無需管理或控制底層雲端基礎設施,但可以控製作業系統、儲存和已部署的應用程式。亞馬遜網路服務 (AWS) 就是 IaaS 的一個例子。
  • 平台即服務 (PaaS):PaaS 為訂閱用戶提供一個平台,使用者可以使用提供者的程式語言、函式庫、服務和工具來開發、運行和管理 Web 應用程式。訂閱用戶可以控制已部署的應用程式。 Heroku 和 Cloud Foundry 就是 PaaS 產品的範例。
  • 軟體即服務 (SaaS):SaaS 是一種軟體許可和交付模式,軟體和/或應用程式以訂閱方式獲得許可,並由軟體供應商集中託管。 Salesforce.com 就是 SaaS 的一個例子。

附錄B:軟體即服務(SaaS)合約指南

在與SaaS供應商洽談服務時,建議各部門使用合約管理辦公室提供的標準SaaS合約。對於僅包含資料分類標準定義的1級或2級資料的SaaS產品,可選擇技術市場。但對於所有其他採購,標準合約可作為未來談判的替代方案。合約的部分條款包括:

  • 數據可用性 - 該協議應透過服務等級協定規定城市期望的正常運作時間。
  • 資料敏感度-涉及健康資訊、個人識別資訊、信用卡資訊或某人是否為公共福利領取者等資料的協議必須反映額外的監管合規要求。
  • 資料外洩的考慮因素和補救措施—該協議應明確資料外洩的風險和責任。
  • 線上和託管設施安全性-加密服務和實體安全程序應形成文件記錄。某些類型的數據需要特殊認證。
  • 資料所有權和儲存位置-供應商員工僅應在維護服務所必需的範圍內存取市政府資料。使用去識別化匯總資料時應慎重考慮。
  • 災難復原和主資料中心及備用資料中心的位置 - 主資料中心和備用資料中心的位置,包括城市和州,並確保協議要求向下傳遞至分包商。
  • 對點擊式免責聲明的限制 - 該協議應規定,只有雙方協議的書面條款才適用於該市指定的用戶,而不是通常需要點擊才能訪問該服務的用戶協議。
  • 記錄保留政策和訴訟保全 - 該協議應規定,在發生訴訟保全的情況下,市政府希望託管服務提供者採取哪些措施。
  • 審計 - 應定期進行審計,並向市政府提供 SSAE 16 審計報告的摘要或副本。
  • 終止條款和供應商破產 - 協議終止或到期時,託管服務提供者應在規定的時間內以約定的機器可讀格式向市政府提供市政府資料的完整副本,並要求託管服務提供者以書面形式證明,它將以無法重新創建資料的方式從供應商的伺服器上清除所有市政府資料。

SaaS P-648 合約中包含的所有標準條款的完整詳細資訊可在合約管理辦公室的網站上找到。