Jotform Ентерпрајз

HECVAT

Приручник за процену онлајн добављача високог образовања

О HECVAT-у

The Higher Education Community Vendor Assessment Toolkit, also known as HECVAT, is a self-assessment questionnaire framework used by higher education institutions to ensure that their cloud services and software vendors meet security and data standards. HECVAT was created by the Higher Education Information Security Council (HEISC), with help from EDUCAUSE, Internet2, and REN-ISAC. The tools in the assessment are standardized to make sure that the majority of higher education institutions follow the same security protocols and practices.

Од 2023. године, Jotform са поносом објављује да смо завршили HECVAT самопроцену за Jotform Ентерпрајз. Можеш безбрижно креирати своје образовне обрасце и апликације користећи Jotform Ентерпрајз.

Jotform's HECVAT самопроцене су доступне на REN-ISAC's Cloud Broker Index.

Контактирај продају

Шта је HECVAT и зашто је важан?

Увод

Шта је HECVAT? Иако може звучати као једна од оних речи које нисте могли изговорити у средњој школи немачког језика, HECVAT је заправо амерички акроним који се односи на безбедност информација у високом образовању.

Више од 150 приватних и јавних универзитета широм земље — укључујући Carnegie Mellon, Princeton и Rice — користе HECVAT као начин за процену ризика добављача.

Али има више од HECVAT-а него што можемо да сумирамо у једном параграфу, због чега смо креирали овај детаљан чланак. Настави да читаш да сазнаш више о HECVAT-у и његовим алатима за процену у одељцима испод.

Шта је HECVAT?

HECVAT је скраћеница за приручник за процену добављача заједнице високог образовања. Савет за информациону безбедност високог образовања (HEISC) креирао га је у сарадњи са конзорцијумом за компјутерско умрежавање Интернет2 и савезом за сајбер безбедност REN-ISAC.

HECVAT је скуп алата дизајнираних да помогну институцијама високог образовања да мере ризик добављача у погледу безбедности информација. Као део процеса евалуације добављача, колеџи и универзитети могу тражити од продаваца да попуне један од неколико HECVAT упитника како би потврдили да постоји довољно информација и политике сајбер безбедности за заштиту осетљивих информација институција и личних података (PII) студената, особља и друге заинтересоване стране.

О сарадницима HECVAT-а

HECVAT упитници су поуздани алати за евалуацију јер су их три стручна тима за умрежавање информација и безбедност заједно развила:

HEISC. Established in 2000, HEISC is a team of information security and privacy professionals dedicated to helping higher education institutions improve information security governance, compliance, and data protection.
Internet2. Formally titled the University Corporation for Advanced Internet Development (UCAID), Internet2 is a nonprofit consortium that includes higher education and research institutions, government entities, corporations, and cultural organizations. Its purpose is to provide a “secure high-speed network, cloud solutions, research support, and services tailored for research and education.”
REN-ISAC. The Research and Education Networks Information Sharing and Analysis Center is an international alliance that provides cybersecurity news reports, alerts, and advisories, along with analysis of cybersecurity threats and mitigation solutions. The alliance has over 700 member institutions.

Зашто је HECVAT важан?

According to a 2022 survey by cybersecurity firm Sophos, 64 percent of higher ed institutions experienced at least one ransomware attack in 2021, up from 44 percent in 2020. A staggering 74 percent of these attacks were successful. Compare this success rate to the global average of 65 percent.

Напади рансомваре-а имају материјални утицај на организације, посебно на оне у високом образовању. Sophos истраживање наводи да су скоро сви (97 процената) испитаници са вишим образовањем у јавном сектору изјавили да је напад утицао на њихову способност да раде, док је 96 процената испитаника са вишим образовањем у приватном сектору рекло да је напад довео до тога да њихова институција изгуби посао или прихода.

Зашто су ове институције тако привлачна мета за лоше актере? Узмите у обзир ове факторе:

Имају гомилу података. Факултети одржавају мноштво личних података о студентима и факултетима, а да не помињемо истраживачке податке владиних агенција и академских партнера.
Њихове мреже су подложније нападима. Већи, добро успостављени универзитети имају тенденцију да одржавају застареле системе који често имају више рањивости од савремених система. Поред тога, бројни лични и кампусни уређаји и софтвер који се повезују са овим системима представљају многе могућности за нападе, посебно ако појединци који их користе дају предност погодностима над безбедношћу.
Они имају ограничене буџете. И јавне и приватне институције често имају ограничен буџет; они такође имају тенденцију да додељују финансијска средства видљивијим, тржишним одељењима — попут атлетике — преко IT-а и сајбер безбедности.

Са таквим забрињавајућим трендовима сајбер-безбедности и горе наведеним циљаним факторима, није чудо зашто је безбедносни метод као што је HECVAT потребан у вишем издању. Овај комплет алата омогућава факултетима да уштеде време, стандардизују своју процену ризика од добављача и обезбеде да су ти добављачи на одговарајући начин оцењени у областима безбедности и приватности.

4 HECVAT алати

HECVAT пакет алата укључује четири упитника који омогућавају високошколским установама да усвоје, имплементирају и одржавају конзистентан програм процене ризика и безбедности. Сваки упитник представља другачији ниво строгости, а један је заправо намењен за интерну употребу.

Напомена: Све тренутне верзије ових алата су доступне као Excel фајл за преузимање у класи EDUCAUSE HECVA веб страница.

1. HECVAT — Тријажа

За разлику од алата Full, Lite и On-Premise о којима ћеш сазнати у наставку, Triage алат није намењен добављачима да доврше – ово је уобичајено погрешно разумевање оних који нису упознати са HECVAT-ом. Уместо тога, овај алат је намењен интерним "подносиоцима захтева", као што су одељења и појединачни чланови факултета који желе да деле институционалне податке са добављачем или софтверским решењем треће стране.

Путем овог алата, подносилац захтева документује и сумира своју намеру, обим, елементе и технолошке захтеве за дељење података кроз око 35 питања у шест категорија као што су случај употребе, набавка и институционална технологија. Попуњавање упитника је предуслов да IT започне процену ризика и безбедности и користи друге алате за процену добављача.

Ево неколико примера питања:

Наведи општи резиме свог одељења и пословне области које ће бити подаци стамбене институције, користећи софтвер/услугу треће стране и/или захтевајући интеграцију са системима предузећа институције.
Да ли си се консултовао са стручњацима за набавке институције у вези са овим захтевом за процену?
Опиши ИТ одговорности институције у подршци овом софтверу/услузи треће стране, апликацији одељења или интеграцији са системом предузећа.

2. HECVAT — Full

Дизајниран за процену најкритичнијих ангажмана у дељењу података, алат Full тражи од добављача одговоре на преко 250 питања о њиховим праксама у преко 20 категорија, као што су HIPAA, скенирање рањивости, документација и опоравак од катастрофе.

Ево неколико примера питања за Full алат:

Да ли ваши запослени пролазе редовну обуку у вези са Правилима приватности и HIPAA безбедности и HITECH закона?
Да ли су ваши системи и апликације прошли безбедносну процену треће стране у прошлој години?
Да ли си прошао SSAE 18/SOC 2 ревизију?
Да ли твоја организација има локацију за опоравак од катастрофе или уговореног добављача услуга за опоравак од катастрофе?

3. HECVAT — Lite

Ова сажета верзија Full алата се користи за убрзавање процеса процене добављача док се и даље баве кључним безбедносним проблемима. Продавци комплетирају Lite алат, који укључује око 100 питања у 12 категорија, као што су ИТ приступачност, управљање системима, центар података и руковање инцидентима. Категорије као што су HIPAA и скенирање рањивости, које су укључене у комплетан алат, нису део овог алата.

Ево неколико примера питања из Lite алатке:

Да ли је стручњак треће стране извршио ревизију приступачности најновије верзије вашег производа?
Да ли ће институција бити обавештена о великим променама у вашем окружењу које би могле утицати на безбедносни положај институције?
Да ли твоја компанија управља физичким центром података у којем ће се налазити подаци институције?
Да ли имаш способност да реагујеш на инциденте на бази 24 x 7 x 365?

4. HECVAT — On-Premise

Алати попут Full и Lite, добављачи довршавају On-Premise алат, који процењује њихов ризик. Међутим, упитник је краћи од оних у другим алатима и прилагођен је локалним решењима. Алат укључује 70 питања у 10 категорија, као што су база података, политике и заштитни зидови.

Ево неколико примера питања за On-Premise алат:

Да ли база података подржава шифровање одређених елемената података у складишту?
Да ли су принципи безбедности информација осмишљени у животном циклусу производа?
Да ли користиш детекцију упада засновано на хосту?

Додатни HECVAT ресурси

HECVAT поред упитника нуди још два ресурса за високошколске институције:

Community Broker Index (CBI). The CBI provides a consistently updated list of vendors willing to share their completed HECVAT assessments. Higher ed institutions can refer to this list to save time in determining risk-suitable vendor solutions.
Група заједнице корисника. Ова група пружа вишим институцијама форум за размену информација, најбољих пракси и стратегија за коришћење HECVAT-а.

Како можеш користити алат за прикупљање података прилагођен HECVAT-у у свом кампусу?

Jotform Ентерпрајз је моћан алат за прикупљање података који могу лако да користе наставници и администратори на великим универзитетима и у основним школама. Такође је наведен у HECVAT-у индекс посредника у заједници, што значи да можеш приступити његовим већ завршеним HECVAT проценама и уштедети време у процени ризика.

Како Jotform може да ради за тебе?

Teachers can use Jotform to manage their classrooms by designing online tests, collecting homework assignments, or asking parents to sign permission slips.
Administrators can use Jotform to handle operational tasks such as building surveys to measure student or teacher satisfaction or accepting online payments for fees and alumni donations.

Jotform offers nearly 2,000 education form templates ranging from teacher evaluations and academic performance questionnaires to scholarship applications. You can build forms in just a few minutes.

Високошколске установе могу да искористе и неколико других кључних функција поред образаца:

Приступачност. Jotform-ови обрасци су нивоа А и нивоа АА усаглашени са WCAG 2.1 стандардима, тако да можеш креирати обрасце прилагођене одељку 508.
Потпис. Прикупи е-потписе ученика, родитеља, особља и других кључних заинтересованих страна користећи Jotform потпис. Аутоматизуј процес потписивања како би осигурао да све релевантне стране виде и потпишу твој документ у правом редоследу.
Безбедност. Твоји подаци се чувају у локалном резидентном центру за податке са додатном усаглашеношћу са SOC 2. Такође можеш да се одлучиш за HIPAA функције ако твој кампус прикупља осетљиве здравствене информације од студената или факултета.

Увери се да је твој кампус на правом путу ка успеху помоћу HECVAT-прилагођеног и приступачног решења — образовне институције имају право на значајан попуст! Започни са обрасцем за прикупљање података о образовању данас.