資源收集

行動裝置在城市業務中的使用

Committee on Information Technology (COIT)

2023年9月21日核准

三藩市市和縣(市)致力於建立有效的成本管理和強大的網路安全計劃,以支援、維護和保護關鍵基礎設施和資料系統。

目的和範圍

《市行政法規》第22I章規定了市首席資訊安全官的職責,即制定和更新全市網路安全要求,減緩城市風險並遵守法律法規的網路安全要求。這些要求的目的是建立一項政策,以安全且經濟高效的方式管理用於市政業務的行動設備,例如智慧型手機和平板電腦。

本文件中列明的要求適用於三藩市市及縣及其各部門和委員會運營或為其運營的數位資訊和技術。代表三藩市市及縣工作的民選官員、員工、承包商、合作伙伴、投標者和供應商均須遵守本政策。

網路安全官員、聯絡員、資訊科技 (IT) 專業人員以及財務/預算專業人員共同負責落實以下技術和財務要求。各部門隨後應制定部門政策或流程,其標準應等於或高於這些全市範圍的要求,以涵蓋部門具體做法,提高成本效益,並降低潛在風險。

政策要求

所有市政府部門必須遵守以下最低要求:

市府行動裝置的發放與退役

  • 新設備採購-電信業者通常會為比最新型號早發布12-24個月的設備型號提供優惠價格。這些早期型號與最新型號的技術性能基本相同,各部門應認真考慮採購這些早期型號的設備,以最大限度地降低成本,並在服務提前終止時最大限度地減少設備費用。
  • 發放審核-必須建立部門流程和標準,用於申請、審核、批准或拒絕發放市屬行動裝置。請參閱附錄 A 的審批表格範本。
  • 設備記錄 - 市府行動裝置的發放和批准必須記錄在案,並附上適當的業務理由以及有關申請人、審批人和設備的資訊。
  • 遺失或損壞設備的更換-部門審批和發放流程應追蹤和管理更換設備的請求。
  • 設備清單審核- 市屬行動裝置的清單至少應每季審查一次,以確認設備是否為市政府業務所必需,識別無活動的行動設備,並允許市政府暫停支付不再需要用於市政府業務的行動裝置的費用。
  • 歸還和停用-市政府所有的行動裝置在不再使用或不再用於市政業務時,必須歸還給市政府,以便重新發放或停用。市政府所有的設備在重新發放或停用前,必須清除所有資料並重新安裝系統。
  • 與市政府解除僱傭關係-員工與市政府解除僱傭關係或合約關係時,必須刪除市政府擁有的行動裝置上的市政府資料。

市屬行動裝置配置

  • 設備版本和型號 – 市政府擁有的行動裝置必須滿足最低作業系統版本和類型要求,以及支援市政府技術安全措施的最低設備型號要求。注意:最低設備型號不一定是最新型號。
  • 安全配置 - 市屬行動裝置必須配置經批准的安全措施(例如,用於市政府資料的經批准的行動應用程式),然後才能用於市政府業務。
  • 更新作業系統 – 市屬行動裝置必須在作業系統製造商發佈更新後的 14 天內更新至受支援作業系統的最新修補程式等級。
  • 設備鎖定要求 – 市府行動裝置至少需要密碼才能解鎖。
  • 刪除城市資料 - 如果重複輸入錯誤的密碼、偵測到篡改裝置的作業系統(例如越獄)或行動裝置在指定時間內未連接到城市系統,則必須自動刪除城市擁有的行動裝置上的城市資料。

資料和法律保護

  • 城市資料和文件儲存 - 城市資料和文件必須使用經批准和受保護的行動應用程式進行儲存和存取。
  • 公共記錄法-城市資料和文件受公共記錄法的約束。
  • 資訊安全記錄 - 資訊安全記錄,例如行動身分驗證應用程式產生的資料或發送到行動裝置的安全代碼和密碼,通常根據加州公共記錄法的豁免條款免於公開揭露。

實體安全保護

  • 防盜或防損保護-市府行動裝置必須防止因竊盜或故意破壞而遺失,並且必須由設備發放人保管,除非已將其存放在安全的地方,例如上鎖的市政府辦公室、上鎖的家中、汽車後備箱或飯店保險箱。
  • 立即報告遺失設備-遺失或被盜的市屬行動裝置必須立即報告。必須從這些設備中刪除市政府數據,並停用這些市屬行動裝置。

角色與職責

城市首席資訊安全官(CCISO)應:

  • 支援各部門落實這些要求,包括提供集中式網路安全能力和全市範圍的網路安全工具集供各部門使用。
  • 根據城市風險狀況、法規或立法的變化,修訂全市網路安全要求。

部門IT負責人/首席資訊安全官(CISO)/資訊安全官(DISO)應:

  • 採納並實施本標準中的各項要求。各部門的具體政策和要求必須等於或高於本市級標準。
  • 利用全市網路安全工具集和部門資源落實各項要求。

電信部門授權聯絡人(TAC)和採購人員應:

  • 確保設備請求(範例請見附錄 A)包含以下內容:
    • 請提供員工姓名和職位類別。
    • 使用市有行動裝置的理由
    • 部門審批人姓名及職級
    • 所需設備的類型/型號,以及
    • 預估成本。
  • 支援部門特定行動裝置管理政策或流程的實施和執行。

部門財務長/財務或預算總監/部門領導應:

  • 制定部門專屬流程,用於審查行動裝置的業務需求,管理新設備或更換設備的申請。
  • 考慮提供市屬行動裝置的成本和收益,以優化市府一般資金的使用。
  • 評估每個行動裝置的資費方案和使用情況,以確保在資費更新時或至少每年更新一次資費方案時,所有使用情況都能達到最佳成本效益。
  • 根據需要通知部門TAC,斷開或停用未充分利用的行動設備,或向科技署提供書面理由,以維護現有線路和設備。

實施指引

本COIT政策中的各項要求將在發布之日起90天後生效。各部門應透過分析現有的CCSF技術平台並制定基於風險的實施計劃,做好實施準備。

各部門應考慮利用全市平台來支持該政策的實施。

採購或實施的 CCSF 技術平台必須符合本政策的要求。

例外情況

對於與安全或財務要求相關的例外情況,應由各部門首席資訊安全官/資訊安全官逐案批准,並應將所有此類要求記錄在市首席資訊安全官的記錄中,且至少每年審核一次所述例外情況。

全市範圍內的網路安全和財政要求不得凌駕於可能適用於某些特定市政府部門的州或聯邦要求之上。