Jotform الأعمال

HECVAT

مجموعة أدوات تقييم بائعي الخدمات السحابية للتعليم العالي

عن HECVAT

أداة تقييم البائعين لمجتمع التعليم العالي، والمعروفة أيضًا باسم HECVAT، هي إطار عمل استبياني للتقييم الذاتي تُستخدم من قبل مؤسسات التعليم العالي لضمان أن خدمات السحابة وموردي البرمجيات الخاصين بها يلتزمون بمعايير الأمان والبيانات. تم إنشاء HECVAT بواسطة مجلس أمن المعلومات للتعليم العالي (HEISC) بمساعدة EDUCAUSE، وInternet2، وREN-ISAC. تُوحد الأدوات في هذا التقييم لضمان اتباع معظم مؤسسات التعليم العالي لنفس البروتوكولات والممارسات الأمنية.

اعتبارًا من عام 2023، يفتخر Jotform بالإعلان عن أننا أكملنا التقييم الذاتي لـ HECVAT لـ Jotform الأعمال. يمكنك إنشاء النماذج والتطبيقات التعليمية الخاصة بك براحة البال باستخدام Jotform الأعمال.

تتوفر تقييمات Jotform الذاتية لـ HECVAT على فهرس وسطاء السحابة من REN-ISAC.

ما هو HECVAT، وما أهميته؟

مقدمة

ما هو HECVAT؟ على الرغم من أنها قد تبدو وكأنها واحدة من تلك الكلمات التي لا يمكنك نطقها تمامًا في فصل اللغة الألمانية بالمدرسة الثانوية، إلا أن HECVAT هو في الواقع اختصار أمريكي يتعلق بأمن المعلومات في التعليم العالي.

تستخدم HECVAT أكثر من 150 جامعة خاصة وعامة في جميع أنحاء البلاد - بما في ذلك كارنيجي ميلون، وبرينستون، ورايس، كوسيلة لتقييم مخاطر الموردين.

ولكن هناك المزيد في HECVAT مما يمكننا تلخيصه في فقرة واحدة، ولهذا السبب أنشأنا هذه المقالة التفصيلية. استمر في القراءة لمعرفة المزيد حول HECVAT وأدوات التقييم الخاصة به في الأقسام أدناه.

ما هو HECVAT؟

يُعدّ اختصار HECVAT HECVAT عبارة عن مجموعة أدوات تقييم موردي التعليم العالي (HECVAT). تم إنشاؤه من قبل مجلس أمن المعلومات للتعليم العالي (HEISC) بالتعاون مع اتحاد شبكات الحاسوب Internet2 و تحالف الأمن السيبراني REN-ISAC.

HECVAT هي مجموعة من الأدوات المصممة لمساعدة مؤسسات التعليم العالي في قياس مخاطر الموردين فيما يتعلق بأمن المعلومات. كجزء من عملية تقييم الموردين، قد تطلب الكليات والجامعات من الموردين إكمال أحد استبيانات HECVAT المتعددة للتأكيد على وجود سياسات كافية للمعلومات والأمن السيبراني لحماية المعلومات الحساسة للمؤسسات والمعلومات الشخصية القابلة للتحديد (PII) الخاصة بالطلاب والموظفين وأصحاب المصلحة الآخرين.

حول المتعاونين مع HECVAT

تعد استبيانات HECVAT أدوات تقييم موثوقة لأن ثلاثة فرق متخصصة في شبكات المعلومات والأمن قامت بتطويرها بشكل تعاوني:

  • HEISC. تأسست HEISC في عام 2000، وهي فريق من محترفي أمن المعلومات والخصوصية مكرس لمساعدة مؤسسات التعليم العالي على تحسين حوكمة أمن المعلومات، والامتثال، وحماية البيانات.
  • Internet2. والمعروفة رسميًا باسم "جامعة تطوير الإنترنت المتقدم" (UCAID)، تُعد Internet2 اتحادًا غير ربحيا يضم مؤسسات التعليم العالي والبحث العلمي، والجهات الحكومية، والشركات، والمنظمات الثقافية. يهدف هذا الاتحاد إلى تقديم "شبكة آمنة عالية السرعة، وحلول سحابية، ودعم للبحث، وخدمات مخصصة للبحث والتعليم."
  • REN-ISAC هو مركز دولي لتبادل المعلومات والتحليل لشبكات البحث والتعليم، يقدم تقارير إخبارية وتنبيهات ومشورات متعلقة بالأمن السيبراني، بالإضافة إلى تحليلات حول التهديدات السيبرانية وحلول التخفيف منها. يضم التحالف أكثر من 700 مؤسسة عضو.

لماذا يعتبر HECVAT مهم؟

وفقًا لاستطلاع أجرته شركة الأمن السيبراني Sophos عام 2022، تعرضت 64% من مؤسسات التعليم العالي على الأقل لهجوم فدية واحد في عام 2021، مقارنة بـ 44% في عام 2020. ومن المثير للدهشة أن 74% من هذه الهجمات كانت ناجحة، وهو معدل نجاح أعلى من المتوسط العالمي البالغ 65%.

لهجمات برامج الفدية تأثير مادي على المؤسسات، وخاصة مؤسسات التعليم العالي. ويشير استطلاع سوفوس إلى أن ما يقرب من جميع المشاركين في التعليم العالي (97%) في القطاع العام ذكروا أن الهجوم أثر على قدرتهم على العمل، في حين قال 96% من المشاركين في التعليم العالي في القطاع الخاص إن الهجوم تسبب في خسارة مؤسستهم أعمالها أو ربح.

لماذا تشكل هذه المؤسسات هدفاً جذاباً للجهات الفاعلة السيئة؟ خذ بعين الاعتبار هذه العوامل:

  • لديهم الكثير من البيانات. تحتفظ الكليات بكمية كبيرة من البيانات الشخصية حول الطلاب وأعضاء هيئة التدريس، ناهيك عن البيانات البحثية من الوكالات الحكومية والشركاء الأكاديميين.
  • شبكاتها أكثر عرضة للهجوم. تميل الجامعات الأكبر حجمًا والراسخة إلى الحفاظ على الأنظمة القديمة التي غالبًا ما تكون بها نقاط ضعف أكثر من الأنظمة الحديثة. وبالإضافة إلى ذلك، فإن العديد من الأجهزة والبرامج الشخصية أوالمتعلقة بالحرم الجامعي المتصلة بهذه الأنظمة توفر العديد من الفرص للهجمات، خاصة إذا كان الأفراد الذين يستخدمونها بفضلون الراحة على معايير السلامة.
  • لديهم ميزانيات محدودة. غالبًا ما تتمتع المؤسسات العامة والخاصة على حد سواء بميزانيات محدودة؛ كما أنهم يميلون أيضًا إلى تخصيص الموارد المالية لإدارات أكثر وضوحًا وقابلة للتسويق - مثل ألعاب القوى - فيما يتعلق بتكنولوجيا المعلومات والأمن السيبراني.

مع هذه الاتجاهات المثيرة للقلق في مجال الأمن السيبراني والعوامل المستهدفة المذكورة أعلاه، فلا عجب في الحاجة إلى طريقة أمنية مثل HECVAT في التعليم العالي. تمكن مجموعة الأدوات هذه الكليات من توفير الوقت، وتوحيد تقييم مخاطر البائعين، والتأكد من تقييم هؤلاء البائعين بشكل مناسب في مجالات الأمن والخصوصية.

4 HECVAT أدوات

تتضمن مجموعة أدوات HECVAT أربعة استبيانات تمكن مؤسسات التعليم العالي من اعتماد وتنفيذ والحفاظ على برنامج ثابت لتقييم المخاطر والأمن. يمثل كل استبيان منهم مستوى مختلفًا من الدقة، وهناك استبيان آخر مخصص للاستخدام الداخلي.

ملاحظة: جميع الإصدارات الحالية لهذه الأدوات متاحة كملفات Excel قابلة للتنزيل على صفحة ويب EDUCAUSE HECVAT.

1. HEVAT - الفرز

على عكس الأدوات الكاملة والخفيفة والمحلية التي ستتعرف عليها أدناه، فإن أداة الفرز ليست مخصصة للموردين لإكمالها — وهذا سوء فهم شائع لدى أولئك الذين ليسوا على دراية بـ HECVAT. وبدلاً من ذلك، فإن هذه الأداة مخصصة لـ "مقدمي الطلبات" الداخليين، مثل الأقسام وأعضاء هيئة التدريس الأفراد الذين يرغبون في مشاركة البيانات المؤسسية مع موفر خدمة خارجي أو حل برمجي.

من خلال هذه الأداة، يقوم مقدم الطلب بتوثيق وتلخيص نية مشاركة البيانات والنطاق والعناصر ومتطلبات التكنولوجيا من خلال حوالي 35 سؤالًا عبر ست فئات مثل حالة الاستخدام والمشتريات وتكنولوجيا المؤسسة. يعد إكمال الاستبيان شرطًا أساسيًا لبدء تكنولوجيا المعلومات في تقييم المخاطر والأمن واستخدام الأدوات الأخرى لتقييم البائعين.

فيما يلي بعض الأمثلة على الأسئلة:

  • قدِّم ملخصًا عامًا لقسمك ومجال العمل الذي سيكون بمثابة بيانات مؤسسة الإسكان، وذلك باستخدام برامج/خدمة الطرف الثالث، و/أو طلب التكامل مع نظام (أنظمة) المؤسسة الخاص بالمؤسسة.
  • هل تشاورت مع متخصصي المشتريات في المؤسسة بخصوص طلب التقييم هذا؟
  • وصف مسؤوليات تكنولوجيا المعلومات الخاصة بالمؤسسة لدعم برامج/خدمة الطرف الثالث، أو تطبيق القسم، أو التكامل مع نظام المؤسسة.

2. الأداة الكاملة - HECVAT

صُممت الأداة الكاملة لتقييم عمليات مشاركة البيانات الأكثر أهمية، حيث تطلب من البائعين إجابات لأكثر من 250 سؤالًا حول ممارساتهم لأكثر من 20 فئة، مثل HIPAA، وفحص الثغرات الأمنية، والتوثيق، والتعافي من الكوارث.

فيما يلي بعض الأمثلة على الأسئلة المتعلقة بالأداة الكاملة:

  • هل يتلقى أعضاء القوى العاملة لديك تدريبًا منتظمًا يتعلق بقواعد الخصوصية والأمن الخاصة بقانون HIPAA وقانون HITECH؟
  • هل خضعت أنظمتك وتطبيقاتك لتقييم أمني من طرف ثالث في العام الماضي؟
  • هل خضعت لتدقيق SSAE 18/SOC 2؟
  • هل تمتلك مؤسستك موقعًا للتعافي من الكوارث أو موفرًا متعاقدًا معه للتعافي من الكوارث؟

3. HECVAT — Lite

يتم استخدام هذه النسخة المكثفة من الأداة الكاملة لتسريع عملية تقييم البائع مع الاستمرار في معالجة المخاوف الأمنية الرئيسية. يكمل البائعون أداة Lite، التي تتضمن حوالي 100 سؤال عبر 12 فئة، مثل إمكانية الوصول إلى تكنولوجيا المعلومات، وإدارة الأنظمة، ومركز البيانات، والتعامل مع الحوادث. لا تعد الفئات مثل HIPAA وفحص الثغرات الأمنية المضمنة في الأداة الكاملة جزءًا من هذه الأداة.

فيما يلي بعض الأمثلة على الأسئلة من الأداة Lite:

  • هل أجرى خبير خارجي تدقيقًا لإمكانية الوصول لأحدث إصدار من منتجك؟
  • هل سيتم إخطار المؤسسة بالتغييرات الرئيسية التي تطرأ على بيئتك والتي قد تؤثر على الوضع الأمني للمؤسسة؟
  • هل تدير شركتك مركز البيانات الفعلي الذي ستتواجد فيه بيانات المؤسسة؟
  • هل لديك القدرة على الاستجابة للحوادث على مدار الساعة طوال أيام الأسبوع وعلى مدار الساعة طوال أيام الأسبوع؟

4. HECVAT — داخل الشركة

كما هو الحال مع الأداتين الكاملة والبسيطة، يقوم الموردون بإكمال الأداة المحلية التي تقوم بتقييم المخاطر الخاصة بهم. ومع ذلك، فإن الاستبيان أقصر من تلك الموجودة في الأدوات الأخرى، وهو مصمم خصيصًا للحلول المحلية. تتضمن الأداة 70 سؤالاً عبر 10 فئات، مثل قاعدة البيانات والسياسات وجدران الحماية.

فيما يلي بعض الأمثلة على الأسئلة من الأداة On-Premise:

  • هل تدعم قاعدة البيانات تشفير عناصر البيانات المحددة في التخزين؟
  • هل تم تصميم مبادئ أمن المعلومات في دورة حياة المنتج؟
  • هل تستخدم كشف التسلل المعتمد على المضيف؟

موارد HEVAT إضافية

تقدم HECVAT مصدرين آخرين لمؤسسات التعليم العالي بالإضافة إلى الاستبيانات:

  • مؤشر الوسطاء المجتمعي (CBI) هو قائمة محدثة باستمرار تضم الموردين المستعدين لمشاركة تقييمات HECVAT الخاصة بهم. يمكن لمؤسسات التعليم العالي الرجوع إلى هذه القائمة لتوفير الوقت عند تقييم حلول الموردين المناسبة من حيث المخاطر.
  • مجموعة مجتمع المستخدمين. توفر هذه المجموعة لمؤسسات التعليم العالي منتدى لمشاركة المعلومات وأفضل الممارسات والاستراتيجيات لاستخدام HECVAT.

كيف يمكنك استخدام أداة جمع البيانات الصديقة لـ HECVAT في الحرم الجامعي الخاص بك؟

Jotform Enterprise هو أداة قوية وسهلة الاستخدام لجمع البيانات مصممة للمربين والإداريين في الجامعات الكبرى والمدارس الابتدائية والثانوية على حد سواء. وهو مدرج أيضًا في Community Broker Index الخاص بـ HECVAT، مما يتيح لك الوصول إلى التقييمات المكتملة مسبقًا لتوفير الوقت في تقييم المخاطر.

كيف يمكن لـ Jotform أن تعمل لصالحك؟

تقدم Jotform ما يقرب من 2,000 قالب نماذج تعليمية تتراوح من تقييمات المعلمين واستبيانات الأداء الأكاديمي إلى طلبات المنح الدراسية. يمكنك إنشاء النماذج في بضع دقائق فقط.

يمكن لمؤسسات التعليم العالي الاستفادة من العديد من الميزات الرئيسية الأخرى بالإضافة إلى النماذج:

  • إمكانية الوصول. نماذج Jotform متوافقة مع المستوى A والمستوى AA مع معايير WCAG 2.1، لذا يمكنك إنشاء نماذج متوافقة مع القسم 508.
  • قابلية التوقيع. اجمع التوقيعات الإلكترونية من الطلاب وأولياء الأمور والموظفين وأصحاب المصلحة الرئيسيين الآخرين باستخدام Jotform. قم بأتمتة عملية التوقيع لضمان رؤية جميع الأطراف ذات الصلة لمستندك وتوقيعه بالترتيب الصحيح.
  • الأمان. يتم تخزين بياناتك في مركز إقامة البيانات المحلي مع الامتثال الإضافي لـ SOC 2. يمكنك أيضًا الاشتراك في ميزات HIPAA إذا كان الحرم الجامعي الخاص بك يجمع معلومات صحية حساسة من الطلاب أو أعضاء هيئة التدريس.

تأكد من أن حرمك الجامعي يسير على الطريق الصحيح نحو النجاح مع حل ميسر ومتوافق مع HECVAT — المؤسسات التعليمية مؤهلة للحصول على خصم كبير! ابدأ باستخدام نموذج جمع البيانات التعليمية اليوم.