Estándares de ciberseguridad para proveedores de Des Moines

Los contratistas de Des Moines, Iowa que trabajan con la ciudad deben cumplir los estándares de ciberseguridad para proveedores para proteger los sistemas municipales y los datos de los residentes. Esta guía resume las normas aplicables de la ciudad, los requisitos de contratación y las expectativas del departamento de TI, y señala las fuentes oficiales del código municipal y las oficinas de compras/TI para información autorizada. Siga los pasos de acción a continuación para registrarse, asegurar sistemas y responder a incidentes mientras realiza trabajos para la Ciudad de Des Moines.^[1]

Alcance y quién debe cumplir

Los estándares se aplican a proveedores, contratistas, consultores y subcontratistas que acceden a redes de la ciudad, sistemas o manejan datos de la ciudad. Esto incluye servicios alojados en la nube, contratistas in situ con acceso por laptop/remoto y procesadores terceros contratados por contratistas principales.

Requisitos básicos

• Implantar controles básicos: control de acceso, autenticación fuerte, cifrado en tránsito y en reposo cuando se requiera.
• Mantener inventarios de activos y de proveedores y documentar relaciones con subcontratistas.
• Aplicar procesos de parcheo y gestión de vulnerabilidades de forma oportuna.
• Aceptar los plazos de notificación de incidentes y cooperar con la respuesta a incidentes de la ciudad.
• Cumplir las cláusulas contractuales de ciberseguridad en contratos y solicitudes de la ciudad.

Sanciones y ejecución

El código municipal y los documentos de contratación establecen el marco de ejecución para el incumplimiento del proveedor. Las multas monetarias específicas y las sanciones graduadas por fallas de ciberseguridad no figuran explícitamente en las páginas de contratación y código citadas; consulte las citas oficiales para las medidas procesales y los recursos contractuales.^[1]

• Multas: no especificadas en la página citada.
• Escalada: aviso inicial, plazos para acciones correctivas, suspensión de acceso y terminación de contrato son habituales; los pasos exactos de escalada no están especificados en la página citada.
• Sanciones no monetarias: órdenes administrativas, suspensión de acceso al sistema, suspensión o terminación del contrato y remisión a acciones legales o ejecución de fianzas de cumplimiento.
• Ejecutor: la Oficina de Compras, el Departamento de Tecnología de la Información y el Fiscal de la Ciudad aplican los términos contractuales y el cumplimiento; las quejas e informes de seguridad deben dirigirse a esas oficinas. Consulte la sección de Ayuda y Recursos para contactos oficiales.
• Apelaciones y revisión: los procesos de protestas contractuales y apelaciones administrativas pueden aplicarse; los plazos específicos para apelaciones no están especificados en la página citada.
• Defensas/discrecionalidad: los planes de remediación, precauciones razonables documentadas y exenciones aprobadas pueden considerarse bajo términos contractuales; las concesiones exactas no están especificadas en la página citada.

Solicitudes y formularios

Los registros de proveedores de la ciudad, las RFP o las plantillas de contrato suelen incluir cláusulas o anexos de ciberseguridad. No hay un formulario de seguridad de proveedor publicado en la página citada de contratación; consulte las solicitudes específicas y los anexos contractuales para los formularios requeridos y las instrucciones de envío.^[2]

Lista de implementación

• Documente los tiempos de respuesta a incidentes y las ventanas de notificación en su respuesta al contrato.
• Conserve registros y evidencias durante el período de retención especificado en el contrato o a solicitud de la ciudad.
• Incluya cláusulas de flujo hacia abajo con subcontratistas que exijan medidas de ciberseguridad equivalentes.
• Presupueste costos de cumplimiento, auditorías y gastos potenciales de remediación.

FAQ

¿Qué estándares deben cumplir los proveedores?

Los proveedores deben cumplir las cláusulas contractuales de ciberseguridad de la ciudad y cualquier anexo técnico en la solicitud; los controles básicos incluyen control de acceso, cifrado, parcheo e informes de incidentes.

¿A quién contacto ante un incidente de seguridad?

Informe los incidentes al Departamento de Tecnología de la Información de la Ciudad de Des Moines y a Compras según se especifique en su contrato y en los procedimientos de la ciudad; consulte la sección de Ayuda y Recursos.

¿Hay multas publicadas por incumplimiento?

Las multas monetarias específicas por ciberseguridad de proveedores no están especificadas en las páginas municipales de contratación y código citadas; los recursos suelen ser contractuales y administrativos.

How-To

1. Revise la solicitud y los anexos contractuales para identificar cláusulas de ciberseguridad y evidencia requerida de controles.
2. Complete el registro de proveedor si corresponde, proporcione la documentación de seguridad solicitada e indique subcontratistas.
3. Implemente controles técnicos básicos: autenticación fuerte, cifrado, gestión de parches y registro de eventos.
4. Prepare un plan de respuesta a incidentes alineado con los requisitos de notificación de la ciudad y pruébelo con su equipo.
5. Si ocurre un evento de seguridad, notifique a los contactos de la ciudad con prontitud, preserve la evidencia y siga los pasos de remediación del contrato.

Puntos clave

• Revise los anexos de contrato y las cláusulas de RFP antes de presentar una oferta.
• Documente y conserve registros para respaldar la respuesta e investigación de incidentes.

Ayuda y apoyo / Recursos

• City of Des Moines Information Technology Department
• City of Des Moines Procurement Division
• Des Moines Municipal Code (Municode)

1. [1] Des Moines Municipal Code (Municode)
2. [2] City of Des Moines Procurement Division - Vendor Information