کلاؤڈ فریق ثالث کے استعمال کی پالیسی

بیانات:

پالیسی کا بیان

کلاؤڈ بیسڈ سلوشنز کو IT سسٹم سمجھا جاتا ہے اور وہ اسی اندرونی آڈٹ اور سیکیورٹی کے معیارات کے تابع ہوتے ہیں جیسا کہ سسٹمز اور ایپلیکیشنز کی بنیاد پر میزبانی کی جاتی ہے۔

طریقہ کار کا بیان

ایجنسی کے تقاضے:

• پیشگی تحریری منظوری - ایگزیکٹو برانچ کی ایجنسیوں کو VITA انٹرپرائز کلاؤڈ اوور سائیٹ سروس کے ذریعے تحریری منظوری حاصل کرنی چاہیے، کسی تیسرے فریق کی میزبانی (کلاؤڈ) سروس کے ساتھ خریداری، دستخط کرنے یا بصورت دیگر معاہدہ کرنے سے پہلے۔
• VITA سے پہلے کی اجازت - VITA انٹرپرائز کلاؤڈ ہوسٹنگ فارم میں فراہم کنندہ اور درخواست کردہ خدمات (سروسز) کی شناخت ہونی چاہیے تاکہ کلاؤڈ بیسڈ سروسز، فزیکل یا ورچوئل ایپلی کیشنز، انفراسٹرکچر نیٹ ورک، سسٹم کے اجزاء، اور کسی بھی ڈیٹا سینٹر کی سہولیات کے حصول کو یقینی بنایا جا سکے۔
• Cبلند آواز کمپیوٹنگ خدمات - VITA کی طرف سے پہلے سے فراہم نہیں کی گئی آئی ٹی خدمات کو استعمال کرنے کی ہر درخواست کا جائزہ دولت مشترکہ کی ضروریات، درخواست کردہ خدمات کے مناسب آپریشن، اور مناسب کلاؤڈ سروس کی خریداری کے شرائط و ضوابط کے مطابق کیا جائے گا۔
• نگرانی اور گورننس باڈی - تھرڈ پارٹی ہوسٹنگ (کلاؤڈ کمپیوٹنگ) سروسز کے تمام استعمال میں ایک نگرانی اور گورننس باڈی ہونی چاہیے۔ یہ گورننس باڈی اس بات کی تصدیق کرے گی کہ بیرونی کلاؤڈ کمپیوٹنگ سروسز کے استعمال کی منظوری دینے سے پہلے سیکیورٹی، پرائیویسی اور IT مینجمنٹ کے دیگر تقاضوں کو مناسب طریقے سے پورا کیا گیا ہے۔
• منظوری کی مدت - تمام تھرڈ پارٹی ہوسٹنگ (کلاؤڈ کمپیوٹنگ) کی درخواستیں ایک سال کے لیے درست ہیں جب تک کہ دوسری صورت میں اس کی وضاحت نہ کی جائے۔
• انٹرپرائز کلاؤڈ نگرانی کی خدمت - فریق ثالث کلاؤڈ سروس کی درخواستیں جو پہلے VITA کے سابقہ استثنیٰ کے عمل کے ذریعے منظور کی گئی ہیں، منظور شدہ استثنیٰ کی درخواست کی میعاد ختم ہونے پر انٹرپرائز کلاؤڈ نگرانی سروس کے تابع ہوں گی جب تک کہ VITA کی طرف سے اس کی وضاحت نہ کی گئی ہو۔
• پالیسی اور طریقہ کار کا متواتر جائزہ - اس پالیسی اور طریقہ کار کی دستاویز کا سالانہ یا اس کے بعد کسی ایسے اہم مسئلے کا جائزہ لیا جائے گا جس پر پہلے غور نہیں کیا گیا ہو۔

فراہم کنندہ کے تقاضے:

سپلائرز کم از کم سالانہ اور فوری طور پر کسی بھی اہم مسائل کے بعد بار بار ہونے والے خطرے کی تشخیص کے تابع ہیں۔

• سیکورٹی کی تعمیل - سپلائر کو تمام قابل اطلاق VITA پالیسیوں اور معیارات کی تعمیل کرنی چاہیے جیسا کہ ITRM پالیسیوں، معیارات اور رہنما خطوط میں بیان کیا گیا ہے تاکہ مناسب ریاستی اور وفاقی ضوابط، پالیسیاں، معیارات اور رہنما خطوط (جیسے، SEC 501, SEC 525, IRS Publication 1075, NIST Risk کی معلومات کے لیے عام معلومات اور Frame کام کے تحفظ کے لیے معلومات وغیرہ)۔ فراہم کنندہ ڈیٹا کی حفاظتی درجہ بندی کے مطابق تمام مخصوص حفاظتی معیارات کی مکمل تعمیل کرے گا۔ متعلقہ یا لازمی تیسرے فریق کے معیارات جیسے کہ ہیلتھ انشورنس پورٹیبلٹی اینڈ اکاونٹیبلٹی ایکٹ (HIPAA)، فیڈرل ٹیکس انفارمیشن (FTI) اور پیمنٹ کارڈ انڈسٹری ڈیٹا سیکیورٹی اسٹینڈرڈ (PCI DSS) کی تعمیل فراہم کنندہ کے اسیسمنٹ کے جواب میں تفصیل سے ہونی چاہیے۔  اس میں یہ یقینی بنانا شامل ہے کہ معلوماتی نظام کے تمام اجزاء اور خدمات براعظم امریکہ کے اندر رہیں۔ اس کا مقصد تمام متاثرہ کاروباری تعلقات کے ذریعے مؤثر طریقے سے حکمرانی، رسک مینجمنٹ، یقین دہانی اور قانونی، قانونی اور ضابطہ کی تعمیل کی ذمہ داریوں کو قابل بنانا ہے۔
• آڈٹ کی ضرورت - سپلائر حال ہی میں مکمل شدہ آڈٹ فراہم کرے گا، ترجیحی طور پر سروس آرگنائزیشن کنٹرول ٹائپ 2 (SOC2)۔ ایجنسی یا فریق ثالث آڈٹ تنظیم فراہم کردہ آڈٹ اور ہوسٹڈ انوائرنمنٹ انفارمیشن سیکیورٹی اسٹینڈرڈ (SEC525) کے درمیان کنٹرول کے فرق کا تعین کرنے کے لیے 90 دنوں کے اندر سیکیورٹی آڈٹ کرنے کی ذمہ دار ہے۔ اگر کوئی آڈٹ فراہم نہیں کیا جاتا ہے تو، SEC525 کا استعمال کرتے ہوئے ایک مکمل سیکیورٹی کنٹرول آڈٹ کیا جانا چاہیے۔ ایسا کرنے میں ناکامی کے نتیجے میں معاہدوں کے شرائط و ضوابط میں بیان کردہ علاج کے طور پر لاگو کیا جا سکتا ہے. فراہم کنندہ کا پابند ہونا چاہیے کہ وہ فوری طور پر ایجنسی اور VITA کو کسی بھی حفاظتی خلاف ورزی کے بارے میں معاہدے کے تحت طے شدہ طریقہ کار کے ذریعے مطلع کرے۔ فراہم کنندہ کو ذخیرہ شدہ ڈیٹا تک غیر مجاز رسائی اور استعمال یا اس میں ردوبدل کی ممانعت کرنی چاہیے۔ اس کے لیے طریقہ کار اور طریقہ کار کو معاہدہ کی شرائط میں بیان کیا جانا چاہیے۔
• چارج بیک ماڈل - سپلائر کے سروس چارج بیک ماڈل کو واضح طور پر دستاویزی ہونا ضروری ہے۔ یہ اس بات کو یقینی بناتا ہے کہ سروس سے متعلق تمام قابل اطلاق فیس اور فیس کا ڈھانچہ سمجھ میں آجائے۔
• ڈیٹا کا کنٹرول - فراہم کنندہ کو ہر وقت ڈیٹا کا کنٹرول برقرار رکھنا چاہیے اور نافذ شدہ ڈیفالٹ کی صورت میں معاہدہ کرنے والی ایجنسی کو اپنا ڈیٹا ایک متفقہ فارمیٹ اور ٹائم فریم میں فراہم کرنا چاہیے جیسا کہ کام کے بیان (SOW) میں بیان کیا گیا ہے۔ فراہم کنندہ کو معلومات کے تبادلے اور استعمال کے لیے بیان کردہ غیر ملکیتی انٹرآپریبلٹی اور پورٹیبلٹی کے معیارات فراہم کرنا اور برقرار رکھنا چاہیے۔ اس ضرورت کا مقصد انٹرآپریبل اجزاء کو سپورٹ کرنا اور کلاؤڈ سپلائر کو اور/یا اس سے ایپلیکیشنز کو منتقل کرنے میں سہولت فراہم کرنا ہے۔

حصول:

اس پالیسی کا تقاضا ہے کہ VITA سپلائی چین مینجمنٹ کو ایگزیکٹو برانچ ایجنسیوں کے ذریعہ کلاؤڈ پر مبنی خدمات کی کسی بھی خریداری میں مشغول اور شامل کیا جائے۔

• کنٹریکٹ لینگویج کی منظوری - تمام کنٹریکٹ لینگویج کو VITA سپلائی چین مینجمنٹ سے منظور کیا جانا چاہیے۔
• تعمیل - کلاؤڈ کمپیوٹنگ خدمات کے کسی بھی معاہدوں میں یہ زبان شامل ہونی چاہیے کہ فراہم کنندہ دولت مشترکہ کے تمام قوانین، حفاظتی تقاضوں، اور کسی بھی قابل اطلاق وفاقی یا صنعتی معیارات اور ضوابط کی تعمیل کرے گا۔ کلاؤڈ سروس فراہم کرنے والے کی ذمہ داریوں اور تمام قابل اطلاق معیارات اور ضوابط کو برقرار رکھنے کے لیے دولت مشترکہ کی ذمہ داریوں کی وضاحت کرنے والی کنٹریکٹ گاڑی میں مناسب زبان شامل ہونی چاہیے۔
• شرائط و ضوابط - VITA سپلائی چین مینجمنٹ کے پاس کلاؤڈ سروس کی شرائط و ضوابط ہیں جو ایجنسی کے حصول کی دستاویزات میں استعمال کرنے کے لیے ہیں (درخواستیں اور معاہدے)۔
• سروس کے معاہدوں کی مدت - سروس کے معاہدوں کی شرائط کی شناخت کنٹریکٹ لینگوئج کے طور پر کی جاتی ہے اور اس طرح سروس کے معاہدوں کی کسی بھی مدت کو VITA سپلائی چین مینجمنٹ کے ذریعہ کسی بھی معاہدے پر دستخط کرنے سے پہلے منظور کیا جانا چاہئے۔ ڈیجیٹل دستخط جیسے کہ "OK" پر کلک کرنا ایک معاہدہ پر دستخط سمجھا جاتا ہے اور معاہدہ کے جائزے سے پہلے نہیں ہوگا۔

تسلسل کی منصوبہ بندی:

• باہر نکلنے کی حکمت عملی - ایجنسیوں کو ہر ایک درخواست کے لیے واضح ایگزٹ پلانز کی نشاندہی کرنی چاہیے جو ایک غیر بنیاد پر مبنی سپلائر سے فائدہ اٹھا رہی ہے۔ کوئی بھی ایگزیکٹو برانچ ایجنسی جو کلاؤڈ بیسڈ سروس کا معاہدہ کرتی ہے اسے VITA کے ساتھ منسلک اور ہم آہنگ ہونا چاہیے تاکہ یہ یقینی بنایا جا سکے کہ استعمال کی جا رہی ہر ایپلیکیشن یا سروس کے لیے باہر نکلنے کی حکمت عملیوں کو دستاویز کیا گیا ہے۔ پہلا ایگزٹ پلان (ضروری) درخواست اور سپلائر کے لیے مخصوص ہونا چاہیے اور اسے تباہ کن ناکامی کی صورت میں طلب کیا جائے گا جیسے کہ، لیکن ان تک محدود نہیں:
  • اہم حفاظتی خلاف ورزی
  • سپلائر دیوالیہ پن
  • قابل اطلاق قوانین اور ضوابط کی تعمیل کرنے میں ناکامی۔
• اضافی اخراج کا معیار - دوسرا ایگزٹ پلان ایک واحد عام منصوبہ ہو سکتا ہے جو کسی بھی درخواست یا سروس کے لیے طلب کیا جاتا ہے جو مناسب طریقے سے انجام دینے میں ناکام رہتا ہے اور معاہدہ کے جلد ختم ہونے سے مشروط ہے۔ اس کے ساتھ ساتھ، تمام ایگزٹ پلانز میں یہ بتانا ضروری ہے کہ کسی ایجنسی، اس کے صارفین، دولت مشترکہ کے شہریوں یا شراکت داروں کی طرف سے کلاؤڈ سروس پر اپ لوڈ کردہ ڈیٹا کو معاہدہ کرنے والی ایجنسی کی ملکیت رہنا چاہیے اور اسے تحریری اجازت کے بغیر استعمال نہیں کیا جا سکتا۔ یہ اس بات کی بھی نشاندہی کرے گا کہ ایجنسی کی تحریری درخواست پر، فراہم کنندہ ایسی خفیہ معلومات کو تباہ کرے گا اور افشا کرنے والی ایجنسی کو اس طرح کی تباہی کی تحریری تصدیق فراہم کرے گا اور مجاز صارف کی خفیہ معلومات کے مزید استعمال کو روک دے گا، چاہے وہ ٹھوس یا غیر محسوس شکل میں ہو۔