(a)CA 政府 Code § 11549.3(a) 首席应建立信息安全计划。该计划的职责包括但不限于以下所有内容:
(1)CA 政府 Code § 11549.3(a)(1) 在《州行政手册》中为州机构创建、更新和发布信息安全和隐私政策、标准和程序。
(2)CA 政府 Code § 11549.3(a)(2) 创建、发布和维护指导州机构有效管理以下两类安全和风险的政策、标准和程序:
(A)CA 政府 Code § 11549.3(a)(2)(A) 信息技术,包括但不限于所有电子技术系统和服务、自动化信息处理、系统设计与分析、数据转换、计算机编程、信息存储与检索、电信、必要的系统控制、模拟、电子商务以及人机之间所有相关的交互。
(B)CA 政府 Code § 11549.3(a)(2)(B) 办公室定义和发布的被认定为任务关键型、保密、敏感或个人信息。
(3)CA 政府 Code § 11549.3(a)(3) 创建、发布和维护指导州机构收集、跟踪和报告有关安全和隐私事件信息的政策、标准和程序。
(4)CA 政府 Code § 11549.3(a)(4) 创建、发布和维护指导州机构开发、维护、测试和备案各州机构灾难恢复计划的政策、标准和程序。
(5)CA 政府 Code § 11549.3(a)(5) 协调州机构信息安全官员的活动,以整合全州范围的安全举措并确保遵守信息安全和隐私政策及标准。
(6)CA 政府 Code § 11549.3(a)(6) 通过教育、宣传、协作和咨询,促进和加强州机构的风险管理和隐私计划。
(7)CA 政府 Code § 11549.3(a)(7) 代表本州在联邦政府、其他州机构、地方政府实体和私营企业面前处理对全州信息安全和隐私有影响的问题。
(b)CA 政府 Code § 11549.3(b) 第11546.1节中定义的所有州实体应执行办公室发布的政策和程序,包括但不限于履行以下两项职责:
(1)CA 政府 Code § 11549.3(b)(1) 遵守办公室根据本章发布的信息安全和隐私政策、标准和程序。
(2)CA 政府 Code § 11549.3(b)(2) 遵守备案要求和事件通知,按办公室要求及时提供信息和报告。
(c)Copy CA 政府 Code § 11549.3(c)
(1)Copy CA 政府 Code § 11549.3(c)(1) 办公室可以对每个州机构、部门或办公室进行或要求进行独立安全评估。独立安全评估的费用应由被评估的州机构、部门或办公室承担。
(2)CA 政府 Code § 11549.3(c)(2) 除第 (1) 款授权的独立安全评估外,办公室应与紧急服务办公室协商,履行以下所有职责:
(A)CA 政府 Code § 11549.3(c)(2)(A) 每年要求不少于35个州实体进行独立安全评估,其费用应由被评估的州机构、部门或办公室承担。
(B)CA 政府 Code § 11549.3(c)(2)(B) 根据信息安全风险指数确定标准并对州实体进行排名,该指数可包括但不限于对州机构内以下因素相对数量的分析:
(i)CA 政府 Code § 11549.3(c)(2)(B)(i) 受法律保护的个人身份信息。
(ii)CA 政府 Code § 11549.3(c)(2)(B)(ii) 受法律保护的健康信息。
(iii)CA 政府 Code § 11549.3(c)(2)(B)(iii) 机密财务数据。
(iv)CA 政府 Code § 11549.3(c)(2)(B)(iv) 合规性自我认证以及未报告的以下领域安全规定不合规指标:
(I)CA 政府 Code § 11549.3(c)(2)(B)(iv)(I) 信息资产管理。
(II) 风险管理。
(III) 信息安全计划管理。
(IV) 信息安全事件管理。
(V)CA 政府 Code § 11549.3(c)(2)(B)(iv)(V) 技术恢复规划。
(C)CA 政府 Code § 11549.3(c)(2)(C) 确定本小节要求的独立安全评估应执行的基本服务标准。
(3)CA 政府 Code § 11549.3(c)(3) 军事部门可以对任何州机构、部门或办公室进行独立安全评估,其费用应由被评估的州机构、部门或办公室承担。
(d)CA 政府 Code § 11549.3(d) 根据 (c) 小节要求进行或接受独立安全评估的州机构和实体,应将该评估的完整结果以及(如有)缓解系统漏洞的建议,提交给办公室和紧急服务办公室。
(e)CA 政府 Code § 11549.3(e) 该办公室应向技术部和紧急服务办公室报告任何被发现不符合信息安全计划要求的州实体。
(f)Copy CA 政府 Code § 11549.3(f)
(1)Copy CA 政府 Code § 11549.3(f)(1) 根据第11000节定义的不受(b)分项约束的每个州机构,应执行以下所有事项:
(A)CA 政府 Code § 11549.3(f)(1)(A) 采纳并实施遵守以下标准的信息安全和隐私政策、标准和程序:
(i)CA 政府 Code § 11549.3(f)(1)(A)(i) 美国国家标准与技术研究院 (NIST) 特别出版物800-53,修订版5,《联邦信息系统和组织的安全与隐私控制》,及其后续出版物。
(ii)CA 政府 Code § 11549.3(f)(1)(A)(ii) 联邦信息处理标准 (FIPS) 199《联邦信息和信息系统安全分类标准》,及其后续出版物。
(iii)CA 政府 Code § 11549.3(f)(1)(A)(iii) 联邦信息处理标准 (FIPS) 200《联邦信息和信息系统最低安全要求》,及其后续出版物。
(B)CA 政府 Code § 11549.3(f)(1)(B) 每两年进行一次全面、独立的安全性评估。该独立评估应评估根据(A)分项和(2)款(如适用)采纳的所有政策、标准和程序。
(2)Copy CA 政府 Code § 11549.3(f)(2)
(1)Copy CA 政府 Code § 11549.3(f)(2)(1)款所述的州机构可以根据《州行政手册》第5300章——信息技术——信息安全办公室的规定,采纳并实施信息安全和隐私政策、标准和程序。(1)款所述的州机构可以随时停止执行根据本款采纳的政策、标准或程序。
(3)Copy CA 政府 Code § 11549.3(f)(3)
(1)Copy CA 政府 Code § 11549.3(f)(3)(1)款所述的州机构可以与军事部或合格的负责任供应商签订合同,根据(1)款的(B)分项对该州机构进行独立的安全性评估,其费用应由被评估的州机构承担。
(4)Copy CA 政府 Code § 11549.3(f)(4)
(A)Copy CA 政府 Code § 11549.3(f)(4)(A) (1)款所述的每个州机构应每年在2月1日前,根据(C)分项制定的表格,向该办公室证明该机构符合根据本分项采纳的所有政策、标准和程序。该证明应包括一份行动计划和里程碑。
(B)CA 政府 Code § 11549.3(f)(4)(A)(B) 尽管有任何其他法律规定,向该办公室提交的证明应保密且不得披露,除非(E)分项另有规定。该办公室应确保证明的传输、接收、持有或披露以确保证明的保密性和安全性的方式进行,包括将传输和存储方法限制为电子方式,并确保证明数据在传输中和静态时均加密。该办公室仅向已作为雇佣条件接受犯罪背景调查的员工提供证明的访问权限。
(C)CA 政府 Code § 11549.3(f)(4)(A)(C) 该办公室应根据《全州信息管理手册》(SIMM) 5330-B制定一份证明表格,并进行必要的修改以涵盖(1)款至(4)款(含)对州机构的要求。
(D)CA 政府 Code § 11549.3(f)(4)(A)(D) 该办公室可以向(1)款所述的任何州机构提供关于完成(A)分项要求的行动计划和里程碑的建议和协助。但是,该办公室无权要求遵循任何建议或强制接受任何协助。
(E)CA 政府 Code § 11549.3(f)(4)(A)(E) 该办公室应审查证明,并于2024年5月1日之前以及此后每年3月1日之前,向相关立法委员会和立法分析师办公室提供年度总结报告,以促进其监督和预算职责。
(5)CA 政府 Code § 11549.3(f)(5) 作为遵守(1)款至(4)款(含)要求的替代方案,(1)款所述的州机构可以每年在1月15日前向主管提交一份声明,确认该州机构自愿并完全遵守(b)和(c)分项。
(6)CA 政府 Code § 11549.3(f)(6) 本分项仅适用于加州大学,且仅限于加州大学董事会通过决议使其中任何规定适用于该大学的范围。
(g)Copy CA 政府 Code § 11549.3(g)
(1)Copy CA 政府 Code § 11549.3(g)(1) 尽管有任何其他法律规定,在根据分节 (c) 或 (f) 进行独立安全评估的过程中,有关该独立安全评估的信息和记录是保密的,不得披露,但为执行该独立安全评估、后续补救活动或补救活动的监测而经批准必须接收该信息和记录的州雇员和州承包商除外。
(2)CA 政府 Code § 11549.3(g)(2) 根据分节 (c)、(f) 或 (j) 完成的独立安全评估结果以及任何相关信息,应遵守任何州法律规定的所有披露和保密条款,包括但不限于《加州公共记录法》(第1篇第10分部(自第7920.000节起)),以及但不限于第7929.210节。
(h)CA 政府 Code § 11549.3(h) 该办公室可以进行或要求进行信息安全审计,以确保项目合规性。
(i)CA 政府 Code § 11549.3(i) 该办公室应通知紧急服务办公室、加州公路巡逻局和司法部,关于任何影响任何州实体或州政府关键基础设施的犯罪或涉嫌犯罪的网络活动。
(j)Copy CA 政府 Code § 11549.3(j)
(1)Copy CA 政府 Code § 11549.3(j)(1) 应地方教育机构的请求,并与加州网络安全整合中心协商,军事部可以对该地方教育机构或其管辖下的单个学校地点进行独立安全评估,其费用应由该地方教育机构承担。
(2)CA 政府 Code § 11549.3(j)(2) 独立安全评估的标准应由军事部与地方教育机构协调制定。
(3)CA 政府 Code § 11549.3(j)(3) 军事部应仅向地方教育机构和加州网络安全整合中心披露独立安全评估的结果。
(4)CA 政府 Code § 11549.3(j)(4) 就本分节而言,“地方教育机构”指学区、县教育局、特许学校或州立特殊学校。
