HECVAT

Higher Education Cloud Vendor Assessment Toolkit

The Higher Education Community Vendor Assessment Toolkit, also known as HECVAT, is a self-assessment questionnaire framework used by higher education institutions to ensure that their cloud services and software vendors meet security and data standards. HECVAT was created by the Higher Education Information Security Council (HEISC), with help from EDUCAUSE, Internet2, and REN-ISAC. The tools in the assessment are standardized to make sure that the majority of higher education institutions follow the same security protocols and practices.

Sales kontaktieren

As of 2023, Jotform is proud to announce that we have completed the HECVAT self-assessment for Jotform Enterprise. You can create your education forms and appsC with peace of mind using Jotform Enterprise.

Die HECVAT-Selbstbewertungen von Jotform sind im REN-ISAC Cloud Broker Index verfügbar.

Einführung

What is HECVAT? Though it may sound like one of those words you couldn't quite pronounce in your high-school German class, HECVAT is actually an American acronym related to information security in higher education.

Mehr als 150 private und öffentliche Universitäten im ganzen Land, darunter Carnegie Mellon, Princeton und Rice, nutzen HECVAT zur Bewertung der Risiken ihrer Geschäftspartner.

But there's more to HECVAT than we can sum up in a single paragraph, which is why we created this detailed article. Keep reading to learn more about HECVAT and its assessment tools in the sections below.

Was ist HECVAT?

HECVAT stands for the Higher Education Community Vendor Assessment Toolkit. The Higher Education Information Security Council (HEISC) created it in collaboration with the computer networking consortium Internet2 and cybersecurity alliance REN-ISAC.

The HECVAT is a suite of tools designed to help higher education institutions measure vendor risk with regard to information security. As part of the vendor evaluation process, colleges and universities may ask vendors to complete one of several HECVAT questionnaires to affirm that sufficient information and cybersecurity policies are in place to protect institutions' sensitive information and the personally identifiable information (PII) of students, staff, and other stakeholders.

Über die Partner von HECVAT

Die HECVAT-Fragebögen sind vertrauenswürdige Bewertungsinstrumente, weil drei Expertenteams für Informationsnetzwerke und Sicherheit sie gemeinsam entwickelt haben:

HEISC. HEISC wurde im Jahr 2000 gegründet und ist ein Team von Fachleuten für Informationssicherheit und Datenschutz, das sich der Unterstützung von Hochschuleinrichtungen bei der Verbesserung der Informationssicherheits-Governance, Compliance und des Datenschutzes widmet.
Internet2. Formally titled the University Corporation for Advanced Internet Development (UCAID), Internet2 is a nonprofit consortium that includes higher education and research institutions, government entities, corporations, and cultural organizations. Its purpose is to provide a "secure high-speed network, cloud solutions, research support, and services tailored for research and education."
REN-ISAC. Das „Research and Education Networks Information Sharing and Analysis Center“ ist eine internationale Allianz, die Nachrichten, Warnmeldungen und Hinweise zur Cybersicherheit sowie Analysen zu Cybersicherheitsbedrohungen und Lösungen zu deren Eindämmung bereitstellt. Die Allianz hat über 700 Mitgliedsinstitutionen.

Warum ist HECVAT wichtig?

Laut einer Umfrage des Cybersicherheitsunternehmens Sophos aus dem Jahr 2022 64 Prozent der Hochschulen erlebten im Jahr 2021 mindestens einen Ransomware-Angriff, im Vergleich zu 44 Prozent im Jahr 2020. Erstaunliche 74 Prozent dieser Angriffe waren erfolgreich. Vergleichen Sie diese Erfolgsquote mit dem weltweiten Durchschnitt von 65 Prozent.

Ransomware-Angriffe haben erhebliche Auswirkungen auf Organisationen, insbesondere im Hochschulbereich. Die Sophos-Umfrage ergab, dass fast alle (97 Prozent) der befragten Hochschulen im öffentlichen Sektor angaben, dass ein Angriff ihren Betrieb beeinträchtigt hat, während 96 Prozent der befragten Hochschulen im privaten Sektor angaben, dass ein Angriff zu Geschäfts- oder Umsatzeinbußen geführt hat.

Warum sind diese Institutionen ein so attraktives Ziel für Angreifer? Folgende Faktoren gilt es zu berücksichtigen:

Hochschulen haben Unmengen von Daten Hochschulen haben Unmengen von persönlichen Daten über Studierende und Dozenten, ganz zu schweigen von Forschungsdaten von Regierungsbehörden und akademischen Partnern.
Ihre Netzwerke sind anfälliger für Angriffe. Große, etablierte Universitäten neigen dazu, alte Systeme zu unterhalten, die oft mehr Sicherheitsrisiken aufweisen als moderne Systeme. Zudem bieten die zahlreichen privaten und universitären Geräte und die mit diesen Systemen verbundene Software viele Möglichkeiten für Angriffe, insbesondere wenn die Benutzer dieser Geräte der Bequemlichkeit Vorrang vor der Sicherheit einräumen.
They have limited budgets. Public and private institutions alike often have limited budgets; they also tend to allocate financial resources to more visible, marketable departments (like athletics) over IT and cybersecurity.

With such troubling cybersecurity trends and the target factors above, it's no wonder why a security method like HECVAT is needed in higher ed. This toolkit enables colleges to save time, standardize their risk assessment of vendors, and ensure those vendors are appropriately assessed in the areas of security and privacy.

4 HECVAT Tools

Die HECVAT-Tools umfassen vier Fragebögen, die es Hochschulen ermöglichen, ein konsistentes Programm zur Risiko- und Sicherheitsbeurteilung einzuführen, umzusetzen und aufrechtzuerhalten. Jeder Fragebogen stellt einen anderen Detaillierungsgrad dar und einer ist für den internen Gebrauch bestimmt.

Note: All current versions of these tools are available as downloadable Excel files on the EDUCAUSE HECVAT web page.

1. HECVAT - Triage

Unlike the Full, Lite, and On-Premise tools you'll learn about below, the Triage tool isn't meant for vendors to complete — this is a common misunderstanding of those not familiar with HECVAT. Instead, this tool is meant for internal "requesters," such as departments and individual faculty members who want to share institutional data with a third-party provider or software solution.

Through this tool, the requester documents and summarizes their data sharing intent, scope, elements, and technology requirements through about 35 questions across six categories such as use case, procurement, and institution technology. Completing the questionnaire is a prerequisite to IT initiating a risk and security assessment and using the other tools to assess vendors.

Here are a few example questions:

Provide a general summary of your department and the business area that will be housing institution data, utilizing the third-party software/service, and/or requesting integration with an institution's enterprise system(s).
Have you consulted with the institution's procurement professionals regarding this request for assessment?
Describe the institution's IT responsibilities in support of this third-party software/service, department application, or integration with an enterprise system.

2. HECVAT - Full

Designed to assess the most critical data-sharing engagements, the Full tool asks vendors for answers to over 250 questions about their practices across 20-plus categories, such as HIPAA, vulnerability scanning, documentation, and disaster recovery.

Here are a few example questions for the Full tool:

Do your workforce members receive regular training related to HIPAA Privacy and Security Rules and the HITECH Act?
Wurden Ihre Systeme und Anwendungen im letzten Jahr einer unabhängigen Sicherheitsbewertung unterzogen?
Verfügt Ihre Organisation über eine Disaster Recovery Site oder einen vertraglich gebundenen Disaster Recovery-Dienstleister?

3. HECVAT - Lite

This condensed version of the Full tool is used to expedite the vendor assessment process while still addressing key security concerns. Vendors complete the Lite tool, which includes about 100 questions across 12 categories, such as IT accessibility, systems management, data center, and incident handling.

Here are a few example questions from the Lite tool:

Wurde die letzte Version Ihres Produkts von einem unabhängigen Experten auf Barrierefreiheit geprüft?
Will the institution be notified of major changes to your environment that could impact the institution's security posture?
Does your company manage the physical data center where the institution's data will reside?
Sind Sie in der Lage, rund um die Uhr an 365 Tagen im Jahr auf Störfälle zu reagieren?

4. HECVAT - On-Premise

Like the Full and Lite tools, vendors complete the On-Premise tool, which assesses their risk. The questionnaire is shorter than those in the other tools and is tailored to on-premise solutions, with 70 questions across 10 categories.

Here are a few example questions from the On-Premise tool:

Unterstützt die Datenbank die Verschlüsselung bestimmter Datenelemente bei der Speicherung?
Sind die Grundsätze der Informationssicherheit in den Produktlebenszyklus einbezogen?
Verwenden Sie eine Host-basierte Intrusion Detection?

Zusätzliche HECVAT-Ressourcen

Zusätzlich zu den Fragebögen bietet HECVAT zwei weitere Ressourcen für Hochschulen an:

Community Broker Index (CBI). Der CBI bietet eine ständig geänderte Liste von Anbietern, die bereit sind, ihre ausgefüllten HECVAT-Bewertungen zu teilen. Hochschuleinrichtungen können diese Liste nutzen, um bei der Ermittlung risikogerechter Anbieterlösungen Zeit zu sparen.
Users Community Group. This group provides higher ed institutions with a forum to share information, best practices, and strategies for using HECVAT.

Wie können Sie ein HECVAT-freundliches Datenerfassungstool auf Ihrem Campus einsetzen?

Jotform Enterprise is a powerful, easy-to-use data-collection tool for educators and administrators at major universities and grade schools alike. It's also listed in HECVAT's Community Broker Index, which means you can access its already-completed HECVAT assessments and save time in assessing risk.

Was kann Jotform für Sie tun?

Lehrer können Jotform verwenden, um ihren Unterricht zu verwalten, indem sie Online-Tests gestalten, Hausaufgaben sammeln, oder die Eltern bitten, Erlaubnisformulare zu unterschreiben.
Administratoren können Jotform verwenden, um operative Aufgaben wie Gebäudebefragungen zur Messung der Zufriedenheit unter Studierenden oder Lehrkräften oder die Annahme von Online-Zahlungen für Gebühren und Spenden von Alumni.

Jotform offers nearly 2,000 education form templates ranging from teacher evaluations and academic performance questionnaires to scholarship applications. You can build forms in just a few minutes.

Hochschuleinrichtungen können neben den Formularen noch einige andere wichtige Funktionen nutzen:

Accessibility. Jotform's forms are Level A and Level AA compliant with WCAG 2.1 standards, so you can create Section 508-friendly forms.
Signability. Collect e-signatures from students, parents, staff, and other key stakeholders using Jotform Sign. Automate the signing process to ensure all relevant parties see and sign your document in the right order.
Security. Your data is stored in a local data residency center with added SOC 2 compliance. You can also opt into HIPAA features if your campus collects sensitive health information from students or faculty.

Ensure your campus is on track for success with a HECVAT-friendly, affordable solution - education institutions are eligible for a significant discount! Get started with an education data-collection form today.