As of 2023, Jotform is proud to announce that we have completed the HECVAT self-assessment for Jotform Enterprise. You can create your education forms and appsC with peace of mind using Jotform Enterprise.
تتوفر تقييمات Jotform الذاتية لـ HECVAT على فهرس وسطاء السحابة من REN-ISAC.
المقدمة
What is HECVAT? Though it may sound like one of those words you couldn't quite pronounce in your high-school German class, HECVAT is actually an American acronym related to information security in higher education.
تستخدم HECVAT أكثر من 150 جامعة خاصة وعامة في جميع أنحاء البلاد - بما في ذلك كارنيجي ميلون، وبرينستون، ورايس، كوسيلة لتقييم مخاطر الموردين.
But there's more to HECVAT than we can sum up in a single paragraph, which is why we created this detailed article. Keep reading to learn more about HECVAT and its assessment tools in the sections below.
ما هو HECVAT؟
HECVAT stands for the Higher Education Community Vendor Assessment Toolkit. The Higher Education Information Security Council (HEISC) created it in collaboration with the computer networking consortium Internet2 and cybersecurity alliance REN-ISAC.
The HECVAT is a suite of tools designed to help higher education institutions measure vendor risk with regard to information security. As part of the vendor evaluation process, colleges and universities may ask vendors to complete one of several HECVAT questionnaires to affirm that sufficient information and cybersecurity policies are in place to protect institutions' sensitive information and the personally identifiable information (PII) of students, staff, and other stakeholders.
حول المتعاونين مع HECVAT
تعد استبيانات HECVAT أدوات تقييم موثوقة لأن ثلاثة فرق متخصصة في شبكات المعلومات والأمن قامت بتطويرها بشكل تعاوني:
- HEISC. تأسست HEISC في عام 2000، وهي فريق من محترفي أمن المعلومات والخصوصية مكرس لمساعدة مؤسسات التعليم العالي على تحسين حوكمة أمن المعلومات، والامتثال، وحماية البيانات.
- Internet2. Formally titled the University Corporation for Advanced Internet Development (UCAID), Internet2 is a nonprofit consortium that includes higher education and research institutions, government entities, corporations, and cultural organizations. Its purpose is to provide a "secure high-speed network, cloud solutions, research support, and services tailored for research and education."
- REN-ISAC هو مركز دولي لتبادل المعلومات والتحليل لشبكات البحث والتعليم، يقدم تقارير إخبارية وتنبيهات ومشورات متعلقة بالأمن السيبراني، بالإضافة إلى تحليلات حول التهديدات السيبرانية وحلول التخفيف منها. يضم التحالف أكثر من 700 مؤسسة عضو.
لماذا يعتبر HECVAT مهم؟
وفقًا لاستطلاع أجرته شركة الأمن السيبراني Sophos عام 2022، تعرضت 64% من مؤسسات التعليم العالي على الأقل لهجوم فدية واحد في عام 2021، مقارنة بـ 44% في عام 2020. ومن المثير للدهشة أن 74% من هذه الهجمات كانت ناجحة، وهو معدل نجاح أعلى من المتوسط العالمي البالغ 65%.
لهجمات برامج الفدية تأثير مادي على المؤسسات، وخاصة مؤسسات التعليم العالي. ويشير استطلاع سوفوس إلى أن ما يقرب من جميع المشاركين في التعليم العالي (97%) في القطاع العام ذكروا أن الهجوم أثر على قدرتهم على العمل، في حين قال 96% من المشاركين في التعليم العالي في القطاع الخاص إن الهجوم تسبب في خسارة مؤسستهم أعمالها أو ربح.
لماذا تشكل هذه المؤسسات هدفاً جذاباً للجهات الفاعلة السيئة؟ خذ بعين الاعتبار هذه العوامل:
- لديهم الكثير من البيانات. تحتفظ الكليات بكمية كبيرة من البيانات الشخصية حول الطلاب وأعضاء هيئة التدريس، ناهيك عن البيانات البحثية من الوكالات الحكومية والشركاء الأكاديميين.
- شبكاتها أكثر عرضة للهجوم. تميل الجامعات الأكبر حجمًا والراسخة إلى الحفاظ على الأنظمة القديمة التي غالبًا ما تكون بها نقاط ضعف أكثر من الأنظمة الحديثة. وبالإضافة إلى ذلك، فإن العديد من الأجهزة والبرامج الشخصية أوالمتعلقة بالحرم الجامعي المتصلة بهذه الأنظمة توفر العديد من الفرص للهجمات، خاصة إذا كان الأفراد الذين يستخدمونها بفضلون الراحة على معايير السلامة.
- They have limited budgets. Public and private institutions alike often have limited budgets; they also tend to allocate financial resources to more visible, marketable departments (like athletics) over IT and cybersecurity.
With such troubling cybersecurity trends and the target factors above, it's no wonder why a security method like HECVAT is needed in higher ed. This toolkit enables colleges to save time, standardize their risk assessment of vendors, and ensure those vendors are appropriately assessed in the areas of security and privacy.
4 HECVAT أدوات
تتضمن مجموعة أدوات HECVAT أربعة استبيانات تمكن مؤسسات التعليم العالي من اعتماد وتنفيذ والحفاظ على برنامج ثابت لتقييم المخاطر والأمن. يمثل كل استبيان منهم مستوى مختلفًا من الدقة، وهناك استبيان آخر مخصص للاستخدام الداخلي.
Note: All current versions of these tools are available as downloadable Excel files on the EDUCAUSE HECVAT web page.
Unlike the Full, Lite, and On-Premise tools you'll learn about below, the Triage tool isn't meant for vendors to complete — this is a common misunderstanding of those not familiar with HECVAT. Instead, this tool is meant for internal "requesters," such as departments and individual faculty members who want to share institutional data with a third-party provider or software solution.
Through this tool, the requester documents and summarizes their data sharing intent, scope, elements, and technology requirements through about 35 questions across six categories such as use case, procurement, and institution technology. Completing the questionnaire is a prerequisite to IT initiating a risk and security assessment and using the other tools to assess vendors.
Here are a few example questions:
- Provide a general summary of your department and the business area that will be housing institution data, utilizing the third-party software/service, and/or requesting integration with an institution's enterprise system(s).
- Have you consulted with the institution's procurement professionals regarding this request for assessment?
- Describe the institution's IT responsibilities in support of this third-party software/service, department application, or integration with an enterprise system.
Designed to assess the most critical data-sharing engagements, the Full tool asks vendors for answers to over 250 questions about their practices across 20-plus categories, such as HIPAA, vulnerability scanning, documentation, and disaster recovery.
Here are a few example questions for the Full tool:
- Do your workforce members receive regular training related to HIPAA Privacy and Security Rules and the HITECH Act?
- هل خضعت أنظمتك وتطبيقاتك لتقييم أمني من طرف ثالث في العام الماضي؟
- هل تمتلك مؤسستك موقعًا للتعافي من الكوارث أو موفرًا متعاقدًا معه للتعافي من الكوارث؟
This condensed version of the Full tool is used to expedite the vendor assessment process while still addressing key security concerns. Vendors complete the Lite tool, which includes about 100 questions across 12 categories, such as IT accessibility, systems management, data center, and incident handling.
Here are a few example questions from the Lite tool:
- هل أجرى خبير خارجي تدقيقًا لإمكانية الوصول لأحدث إصدار من منتجك؟
- Will the institution be notified of major changes to your environment that could impact the institution's security posture?
- Does your company manage the physical data center where the institution's data will reside?
- هل لديك القدرة على الاستجابة للحوادث على مدار الساعة طوال أيام الأسبوع وعلى مدار الساعة طوال أيام الأسبوع؟
Like the Full and Lite tools, vendors complete the On-Premise tool, which assesses their risk. The questionnaire is shorter than those in the other tools and is tailored to on-premise solutions, with 70 questions across 10 categories.
Here are a few example questions from the On-Premise tool:
- هل تدعم قاعدة البيانات تشفير عناصر البيانات المحددة في التخزين؟
- هل تم تصميم مبادئ أمن المعلومات في دورة حياة المنتج؟
- هل تستخدم كشف التسلل المعتمد على المضيف؟
موارد HEVAT إضافية
تقدم HECVAT مصدرين آخرين لمؤسسات التعليم العالي بالإضافة إلى الاستبيانات:
- مؤشر الوسطاء المجتمعي (CBI) هو قائمة محدثة باستمرار تضم الموردين المستعدين لمشاركة تقييمات HECVAT الخاصة بهم. يمكن لمؤسسات التعليم العالي الرجوع إلى هذه القائمة لتوفير الوقت عند تقييم حلول الموردين المناسبة من حيث المخاطر.
- Users Community Group. This group provides higher ed institutions with a forum to share information, best practices, and strategies for using HECVAT.
كيف يمكنك استخدام أداة جمع البيانات الصديقة لـ HECVAT في الحرم الجامعي الخاص بك؟
Jotform Enterprise is a powerful, easy-to-use data-collection tool for educators and administrators at major universities and grade schools alike. It's also listed in HECVAT's Community Broker Index, which means you can access its already-completed HECVAT assessments and save time in assessing risk.
كيف يمكن لـ Jotform أن تعمل لصالحك؟
- يمكن لـالمعلمين استخدام Jotform لإدارة فصولهم الدراسية من خلال تصميم اختبارات عبر الإنترنت، أو جمع الواجبات المنزلية، أو طلب توقيع استمارات الإذن من أولياء الأمور.
- يمكن لـالإداريين استخدام Jotform لإدارة المهام التشغيلية مثل إنشاء استبيانات لقياس رضا الطلاب أو رضا المعلمين أو قبول المدفوعات عبر الإنترنت للرسوم وتبرعات الخريجين.
Jotform offers nearly 2,000 education form templates ranging from teacher evaluations and academic performance questionnaires to scholarship applications. You can build forms in just a few minutes.
يمكن لمؤسسات التعليم العالي الاستفادة من العديد من الميزات الرئيسية الأخرى بالإضافة إلى النماذج:
- Accessibility. Jotform's forms are Level A and Level AA compliant with WCAG 2.1 standards, so you can create Section 508-friendly forms.
- Signability. Collect e-signatures from students, parents, staff, and other key stakeholders using Jotform Sign. Automate the signing process to ensure all relevant parties see and sign your document in the right order.
- Security. Your data is stored in a local data residency center with added SOC 2 compliance. You can also opt into HIPAA features if your campus collects sensitive health information from students or faculty.
Ensure your campus is on track for success with a HECVAT-friendly, affordable solution - education institutions are eligible for a significant discount! Get started with an education data-collection form today.