ULAT

Pamantayan sa Katatagan ng Teknolohiya sa Buong Lungsod

Layunin at saklaw

Ang Citywide Technology Resilience Standard ay kinakailangan para sa City Disaster Preparedness, Response, Recovery, and Resilience (DPR3) na pagsunod sa Patakaran. Ang Citywide DPR3 Policy ay nangangailangan ng City Chief Information Officer (CCIO) at City Chief Information Security Officer (CCISO) na bumuo ng matamo na Technology Resilience Standards na nagsisiguro sa paghahatid ng mga pampublikong serbisyo sa panahon at pagkatapos ng kalamidad.

Ang mga kinakailangan na tinukoy sa dokumentong ito ay nalalapat sa lahat ng mga platform ng teknolohiya at mga serbisyong pinamamahalaan ng o para sa lungsod. Ang lahat ng departamento, komisyon, halal na opisyal, empleyado, kontratista, kasosyo, bidder, at vendor na nagtatrabaho sa ngalan ng Lungsod ay kinakailangang sumunod sa patakarang ito.

Ang pamunuan ng IT ng departamento, mga pangkat sa pagpapatakbo at teknolohiya, mga propesyonal sa pamamahala ng emerhensiya/sakuna, at mga tagapag-ugnay ay may pananagutan sa pagpapatupad ng mga sumusunod na kinakailangan.

Mga Karaniwang Kinakailangan

Dapat gamitin ng mga kagawaran ng lungsod ang mga sumusunod na minimum na kinakailangan sa Resilience. Ang mga departamento ay dapat bumuo ng mga kinakailangan sa katatagan ng teknolohiya na katumbas ng o higit pa sa mga kinakailangan sa buong lungsod na ito.

Mga Sistema ng Lungsod na Nangangailangan ng Resilience Planning

Nalalapat ang pamantayan ng katatagan sa mga sumusunod na uri ng teknolohiya:

  • On-Premises IT Infrastructure - Mga sistema ng software, database, at imprastraktura ng hardware na naka-deploy at nakalagay mula sa loob ng pasilidad ng lungsod. Ang mga kawani ng departamento ay nangangasiwa at nagpapanatili ng mga IT platform at imprastraktura ng Kagawaran. Ang mga awtorisadong kawani lamang sa loob ng departamento ang makaka-access sa software at data kung saan ang access ng system ay lokal sa local area network ng departamento.
  • Hybrid Cloud IT Infrastructure - Ang Hybrid cloud ay tumutukoy sa isang mixed computing, storage, at software service environment na binubuo ng on-premises na imprastraktura, pribadong cloud service, o isang pampublikong cloud. Ang hybrid na Cloud ay isang kumbinasyon ng mga pampubliko at pribadong ulap, kadalasang nag-oorkestra ng isang solusyon sa IT sa pagitan ng dalawa.
  • Cloud IT Infrastructure (ibig sabihin, Infrastructure as a Service (IaaS), Platform as a Service (PaaS)) at Software as a Service (SaaS) - Ang Cloud computing ay naghahatid ng IT infrastructure at business application services sa pamamagitan ng Internet. Kasama sa mga mapagkukunang ito ang pag-iimbak ng data, mga server, database, networking, at software.
  • Imprastraktura ng Teknolohiya - Ang mga bahagi ng Imprastraktura ng Teknolohiya ay binubuo ng magkakaugnay na mga elemento, tulad ng mga bahagi ng network, server, operating system, at appliances.
  • Operational Technology (OT) - Hardware o software na nakakakita o nagdudulot ng pagbabago sa pamamagitan ng direktang pagsubaybay at kontrol ng mga pang-industriyang kagamitan, asset, proseso, at kaganapan. Ang OT ay karaniwan sa Industrial Control Systems (ICS) gaya ng Supervisory control and data acquisition (SCADA) system o building management system.

System Analysis at Priyoridad

Ang lahat ng mga sistema ng negosyo ng teknolohiya ay dapat na imbentaryo, na may impormasyong naglalarawan sa layunin ng negosyo, base ng gumagamit, nakaimbak o naprosesong data, at anumang mga kinakailangan sa regulasyon na nakadokumento.

Ang mga departamento ay magsasagawa ng Business Impact Analysis (BIA) para sa bawat naimbentaryo na IT business system upang maunawaan ang epekto ng isang sakuna/pagkagambala sa mga operasyon ng negosyo, ang mga dependency para sa pagbawi, at mga layunin sa pagbawi. Ang mga nakumpletong BIA ay isang bahagi ng IT Continuity of Operations Plan (COOP)/Disaster Recovery Plans (DRPs) ng isang Department.

  • Ang BIA ay magtatatag ng Recovery Time Objective (RTO) at Recovery Point Objective (RPO) ng bawat system.
    • Ang RTO ay ang maximum na matitiis na downtime para sa isang system na makabawi at maibalik sa normal na paggamit pagkatapos ng isang insidente. Halimbawa, kung ang isang kritikal na aplikasyon para sa kaligtasan ng publiko ay dapat na mabawi at magagamit sa loob ng 30 minuto bago mangyari ang isang makabuluhang epekto sa kaligtasan ng publiko, ang Departamento ay nagtatakda ng isang RTO na 30 minuto para sa sistema ng negosyo ng teknolohiya sa BIA.
    • Ang RPO ay ang maximum na matitiis na halaga ng pagkawala ng data bago mangyari ang isang hindi katanggap-tanggap na epekto. Halimbawa, kung hindi hihigit sa 15 minuto ng pagkawala ng data sa transaksyon ang papahintulutan para sa isang kritikal na aplikasyon sa pampublikong kalusugan, ang Departamento ay nagtatakda ng isang RPO na 15 minuto para sa sistema ng negosyong teknolohiya sa BIA.
  • Ikakategorya ng BIA ang bawat sistema sa Tier 1 hanggang Tier 4.
    • Tier 1 – Ang departamento ay hindi maaaring gumana nang wala ang serbisyo/teknolohiyang ito, kahit na sa maikling panahon. Napakataas ng epekto sa mga operasyon at potensyal na pagkawala ng data, hal., pagkagambala sa mga sistema ng pampublikong kaligtasan, Lifelines na pinamamahalaan ng lungsod, Infrastructure ng radyo, Mga Network ng lungsod at departamento, at teknolohiya/application ng enterprise. Ang mga sistema ng Tier 1 ay nangangailangan ng RTO na 0 hanggang 4 na oras at RPO na wala pang 15 minuto.
    • Tier 2 – Ang departamento ay maaaring gumana nang wala ang serbisyo/teknolohiyang ito sa loob ng maikling panahon. Mataas ang epekto sa negosyo at potensyal na pagkawala ng data. Ang mga sistema ng Tier 2 ay nangangailangan ng RTO sa pagitan ng 4 at 24 na oras at RPO na mas mababa sa 1 oras.
    • Tier 3 – Maaaring ayusin ng departamento ang pagkawala ng serbisyo/teknolohiyang ito sa mas mahabang panahon. Sa kalaunan, ang serbisyo/teknolohiya ay kailangang ibalik sa normal na paggamit upang maiwasan ang epekto sa pananalapi, customer, pagpapatakbo, o legal/pangkontrol. Ang mga sistema ng Tier 3 ay nangangailangan ng RTO at RPO na wala pang 14 na araw.
    • Tier 4 – Ang departamento ay maaaring gumana nang wala ang serbisyo/produktong ito para sa isang pinalawig na panahon, kung saan ang serbisyo/teknolohiya ay susuportahan sa pamamagitan ng backup/mga alternatibong pamamaraan. Ang mga sistema ng Tier 4 ay nangangailangan ng RTO at RPO na wala pang 30 araw.
  • Aaprubahan ng Department Head at CIO/IT Director ang BIA.

Mga Tungkulin at Pananagutan

Ang Patakaran sa DPR3 sa buong lungsod ay nagtatatag ng mga tungkulin at pananagutan ng mga operational at Technology team at mga propesyonal sa Emergency/Disaster Management.

  • Ang mga pangkat ng Department Operational at Technology ay dapat: 
    • Bumuo at magpatupad ng Resilience sa pamamagitan ng pagsunod sa mga kinakailangan na tinukoy sa pamantayang ito
    • Makipag-ugnayan sa mga propesyonal sa emergency/disaster management ng departamento upang matiyak na ang mga IT COOP/DRP ay kasalukuyan at kumpleto na pagsubok sa Resilience sa isang tinukoy na regular na iskedyul 
  • Ang mga propesyonal sa Pamamahala ng Emergency/Sakuna ng Department ay dapat: 
    • Suportahan ang pagpapatupad at pagsunod ng isang departamento sa mga kinakailangan sa Citywide Resilience sa pamamagitan ng pakikipagtulungan sa mga team ng teknolohiya at pamumuno
    • Makipag-ugnayan sa pamunuan ng departamento at mga kinakailangang pangkat sa pagpapatakbo o teknolohiya upang i-update at mapanatili ang mga IT COOP/DRP
    • Pangasiwaan ang pagsubok sa Resilience ng teknolohiya sa pamamagitan ng pakikipag-ugnayan sa mga team ng teknolohiya at pagpapatakbo sa isang regular na iskedyul 
  • Ang Department of Technology, Office of Cybersecurity - Technology Risk and Resilience team ay dapat: 
    • Magbigay ng kinakailangang gabay at mapagkukunan para sa pagpapatupad, halimbawa, BIA, IT COOP, at DR Test Plan na mga template, sa lahat ng departamento ng Lungsod
    • Lumikha at magpanatili ng isang sentral na online na Technology Risk and Resilience system para subaybayan ang progreso ng pagpapatupad ng Resilience Standard ng departamento at suportahan ang taunang pagsusuri/pag-update ng IT COOP
    • Mag-ulat sa COIT tungkol sa hindi pagsunod
  • Ang mga espesyalista sa Office of City Purchaser at Department Procurement ay dapat: 
    • Suportahan ang pagsasama ng mga kinakailangan sa Resilience sa panahon ng proseso ng pagkuha

Mga Kinakailangan sa Pagpapatupad

  • Dapat imbentaryo ng departamento ang kanilang mga sistema sa loob ng tatlong buwan at magsagawa ng BIA sa loob ng anim na buwan pagkatapos ng petsa ng publikasyon ng pamantayang ito at taun-taon pagkatapos noon.
  • Dapat bumuo ang departamento ng isang plano sa pagpapatupad ng Resilience para sa Tier 1 at Tier 2 system sa loob ng 12 buwan mula sa petsa ng publikasyon ng pamantayang ito
  • Dapat ipatupad at subukan ng departamento ang Resilience para sa Tier 1 system sa loob ng 12 buwan at Tier 2 system sa loob ng 15 buwan pagkatapos ng petsa ng publikasyon ng mga pamantayang ito at taun-taon pagkatapos noon
  • Dapat isaalang-alang ng mga departamento ang pagpapatupad ng Resilience para sa Tier 3 system sa loob ng 24 na buwan pagkatapos ng petsa ng publikasyon ng pamantayang ito at dalawang taon pagkatapos noon.

Mga pagbubukod

Ang mga pagbubukod sa mga pamantayan ay dapat aprubahan case-by-case na batayan ng COIT Policy Review Board. 

Ang mga kinakailangan sa Citywide Technology Resilience ay hindi dapat humalili sa mga kinakailangan ng Estado o Pederal na maaaring ilapat sa mga partikular na departamento ng lungsod.