Enterprise
Hubungi Sales Daftar

Jotform Enterprise

HECVAT

Toolkit Penilaian Vendor Cloud Pendidikan Tinggi

Tentang HECVAT

The Higher Education Community Vendor Assessment Toolkit, juga dikenal sebagai HECVAT, adalah kerangka kerja kuesioner penilaian mandiri yang digunakan oleh institusi pendidikan tinggi untuk memastikan bahwa layanan cloud dan vendor software mereka memenuhi standar keamanan dan data. HECVAT dibuat oleh Higher Education Information Security Council (HEISC), dengan bantuan dari EDUCAUSE, Internet2, dan REN-ISAC. Alat dalam penilai distandarisasi untuk memastikan bahwa sebagian besar institusi pendidikan tinggi mengikuti protokol dan praktik keamanan yang sama.

Mulai tahun 2023, Jotform dengan bangga mengumumkan bahwa kami telah menyelesaikan penilaian mandiri HECVAT untuk Jotform Enterprise. Anda dapat membuat formulir dan aplikasi pendidikan dengan tenang menggunakan Jotform Enterprise.

Penilaian mandiri HECVAT Jotform tersedia di Indeks Broker Awan.

Hubungi Sales

Apa itu HECVAT, dan mengapa itu penting?

Pengantar

Apa itu HECVAT? Meskipun mungkin terdengar seperti salah satu kata yang sulit diucapkan di kelas bahasa Jerman SMA Anda, HECVAT sebenarnya adalah akronim Amerika yang terkait dengan keamanan informasi di pendidikan tinggi.

Lebih dari 150 universitas swasta dan negeri di seluruh negeri — termasuk Carnegie Mellon, Princeton, dan Rice — menggunakan HECVAT sebagai cara untuk menilai risiko vendor.

Tetapi ada lebih banyak tentang HECVAT daripada yang dapat kami rangkum dalam satu paragraf, itulah sebabnya kami membuat artikel terperinci ini. Teruslah membaca untuk mempelajari lebih lanjut tentang HECVAT dan alat penilaiannya di bagian bawah ini.

Apa itu HECVAT?

HECVAT adalah singkatan dari Higher Education Community Vendor Assessment Toolkit. Higher Education Information Security Council (HEISC) menciptakannya untuk bekerja sama dengan konsorsium jaringan komputer Internet dan aliansi keamanan siber REN-ISAC.

HECVAT adalah rangkaian alat yang dirancang untuk membantu lembaga pendidikan tinggi mengukur risiko vendor terkait keamanan informasi. Sebagai bagian dari proses evaluasi vendor, perguruan tinggi dapat meminta vendor untuk melengkapi salah satu kuesioner HECVAT untuk menegaskan bahwa informasi yang cukup dan kebijakan keamanan siber telah diterapkan untuk melindungi informasi sensitif institusi dan informasi yang dapat diidentifikasi secara pribadi (PII) dari mahasiswa, staf, dan pemangku kepentingan lainnya.

Tentang kolaborator HECVAT

Kuesioner HECVAT adalah alat evaluasi yang terpercaya karena dikembangkan secara bersama oleh tiga tim ahli jaringan informasi dan keamanan:

  • HEISC. Didirikan pada tahun 2000, HEISC adalah tim profesional keamanan informasi dan privasi yang berkomitmen untuk membantu institusi pendidikan tinggi meningkatkan tata kelola keamanan informasi, kepatuhan, dan perlindungan data.
  • Internet2. Secara resmi diberi judul University Corporation for Advanced Internet Development (UCAID), Internet2 adalah konsorsium nirlaba yang melibatkan lembaga pendidikan tinggi dan penelitian, entitas pemerintah, perusahaan, dan organisasi budaya. Tujuannya adalah menyediakan "jaringan berkecepatan tinggi yang aman, solusi cloud, dukungan penelitian, dan layanan yang disesuaikan untuk penelitian dan pendidikan."
  • REN-ISAC. The Research and Education Networks Information Sharing and Analysis Center adalah aliansi internasional yang menyediakan laporan berita keamanan siber, peringatan, dan advisori, bersama dengan analisis ancaman keamanan siber dan solusi mitigasi. Aliansi ini memiliki lebih dari 700 institusi anggota.

Kenapa HECVAT penting?

Menurut survei tahun 2022 yang dilakukan oleh perusahaan keamanan siber Sophos, 64 persen institusi pendidikan tinggi mengalami setidaknya satu serangan ransomware pada tahun 2021, naik dari 44 persen pada tahun 2020. Secara mengejutkan, 74 persen serangan ini berhasil. Bandingkan tingkat keberhasilan ini dengan rata-rata global sebesar 65 persen.

Serangan ransomware memiliki dampak nyata pada organisasi, terutama yang bergerak di bidang pendidikan tinggi. Survei Sophos mencatat bahwa hampir semua (97 persen) responden pendidikan tinggi di sektor publik menyatakan bahwa serangan tersebut telah memengaruhi kemampuan mereka untuk beroperasi, sementara 96 persen responden pendidikan tinggi di sektor swasta mengatakan bahwa serangan menyebabkan lembaga mereka kehilangan bisnis atau pendapatan.

Mengapa lembaga-lembaga ini menjadikan target yang menarik bagi pelaku kejahatan? Pertimbangkan faktor-faktor ini:

  • Mereka memiliki banyak data. Perguruan tinggi menyimpan sejumlah besar data pribadi tentang mahasiswa dan fakultas, tak terkecuali data penelitian dari lembaga pemerintah dan mitra akademis.
  • Jaringan mereka lebih rentan terhadap serangan. Universitas yang lebih besar dan sudah mapan cenderung memelihara sistem-sistem warisan yang seringkali memiliki lebih banyak kerentanan dibandingkan dengan sistem-sistem modern. Selain itu, banyak perangkat dan perangkat lunak pribadi serta kampus yang terhubung ke sistem-sistem ini memberikan banyak peluang untuk serangan, terutama jika individu yang menggunakannya memberikan prioritas pada kenyamanan daripada keamanan.
  • Mereka memiliki anggaran terbatas. Institusi publik dan swasta seringkali memiliki anggaran terbatas; mereka juga cenderung mengalokasikan sumber daya keuangan untuk departemen yang lebih terlihat dan dapat dipasarkan — seperti olahraga — daripada untuk TI dan keamanan cyber.

Dengan tren keamanan siber yang meresahkan dan faktor-faktor target di atas, tidak mengherankan mengapa metode keamanan seperti HECVAT diperlukan di pendidikan tinggi. Perangkat ini memungkinkan perguruan tinggi menghemat waktu, menstandarkan penilaian risiko terhadap vendor, dan memastikan vendor tersebut dinilai secara tepat dalam bidang keamanan dan privasi.

4 alat HECVAT

Paket alat HECVAT mencakup empat kuesioner yang memungkinkan institusi pendidikan tinggi mengadopsi, menerapkan, dan menjaga program penilaian risiko dan keamanan yang konsisten. Setiap kuesioner mewakili tingkat ketat yang berbeda, dan satu di antaranya sebenarnya ditujukan untuk penggunaan internal.

Catatan: Semua versi terkini dari alat-alat ini tersedia sebagai file Excel yang dapat diunduh di halaman web EDUCAUSE HECVAT.

1. HECVAT - Triase

Berbeda dengan alat Full, Lite, dan On-Premise yang akan Anda pelajari di bawah ini, alat Triage tidak ditujukan untuk diselesaikan oleh vendor - ini adalah kesalahpahaman umum bagi mereka yang tidak familiar dengan HECVAT. Sebaliknya, alat ini ditujukan untuk "pemohon" internal, seperti departemen dan anggota fakultas perorangan yang ingin berbagi data institusional dengan penyedia pihak ketiga atau solusi perangkat lunak.

Melalui alat ini, pihak yang meminta mendokumentasikan dan merangkum niat berbagi data mereka, cakupan, elemen, dan persyaratan teknologi melalui sekitar 35 pertanyaan di enam kategori seperti kasus penggunaan, pengadaan, dan teknologi institusi. Menyelesaikan kuesioner ini merupakan syarat sebelum TI memulai penilaian risiko dan keamanan serta menggunakan alat-alat lain untuk menilai vendor.

Berikut adalah beberapa contoh pertanyaan:

  • Berikan ringkasan umum departemen Anda dan area bisnis yang akan menjadi rumah data institusi, menggunakan software/layanan pihak ketiga, dan/atau meminta integrasi dengan sistem perusahaan institusi.
  • Sudahkah Anda berkonsultasi dengan profesional pengadaan di lembaga tersebut mengenai permintaan penilaian ini?
  • Jelaskan tanggung jawab TI institusi dalam mendukung software/layanan pihak ketiga, aplikasi departemen, atau integrasi dengan sistem perusahaan.

2. HECVAT — Full

Dirancang untuk menilai keterlibatan pembagian data yang paling kritis, alat Full meminta vendor untuk menjawab lebih dari 250 pertanyaan tentang praktik mereka di lebih dari 20 kategori, seperti HIPAA, pemindaian kerentanan, dokumentasi, dan pemulihan bencana.

Berikut adalah beberapa contoh pertanyaan untuk alat Full:

  • Apakah anggota tenaga kerja Anda menerima pelatihan rutin terkait dengan Aturan Privasi dan Keamanan HIPAA dan Undang-Undang HITECH?
  • a
  • Sudahkah Anda menjalani audit SSAE 18/SOC 2?
  • Apakah organisasi Anda memiliki situs pemulihan bencana atau penyedia pemulihan bencana yang dikontrak?

3. HECVAT — Lite

Versi ringkas dari alat Full ini digunakan untuk mempercepat proses penilaian vendor sambil tetap mengatasi masalah keamanan utama. Vendor melengkapi alat Lite, yang mencakup sekitar 100 pertanyaan dalam 12 kategori, seperti aksesibilitas TI, manajemen sistem, pusat data, dan penanganan insiden. Kategori seperti HIPAA dan pemindaian kerentanan, yang disertakan dalam alat Full, bukan bagian dari alat ini.

Berikut adalah beberapa contoh pertanyaan dari alat Lite:

  • Apakah ahli pihak ketiga telah melakukan audit aksesibilitas pada versi produk terbaru Anda?
  • Apakah institusi akan diberi tahu tentang perubahan besar pada lingkungan Anda yang dapat berdampak pada keamanan institusi?
  • Apakah perusahaan Anda mengelola pusat data fisik tempat data institusi akan disimpan?
  • Apakah Anda memiliki kemampuan untuk merespons insiden selama 24 x 7 x 365?

4. HECVAT - On-Premise

Seperti alat Full dan Lite, vendor melengkapi alat On-Premise, yang menilai risiko mereka. Namun, kuesioner ini lebih singkat dibandingkan alat lainnya dan disesuaikan dengan solusi lokal. Alat ini mencakup 70 pertanyaan dalam 10 kategori, seperti database, kebijakan, dan firewall.

Berikut adalah beberapa contoh pertanyaan dari alat On-Premise:

  • Apakah database mendukung enkripsi elemen data tertentu dalam penyimpanan?
  • Apakah prinsip keamanan informasi dirancang ke dalam siklus hidup produk?
  • Apakah Anda menggunakan deteksi intrusi berbasis host?

Sumber HECVAT tambahan

HECVAT menawarkan dua sumber daya lainnya bagi institusi pendidikan tinggi selain kuesioner:

  • Indeks Pialang Komunitas (CBI). CBI menyediakan daftar secara konsisten diperbarui dari vendor-vendor yang bersedia membagikan penilaian HECVAT mereka yang sudah selesai. Institusi pendidikan tinggi dapat merujuk ke daftar ini untuk menghemat waktu dalam menentukan solusi vendor yang sesuai dengan risiko.
  • Grup Komunitas Pengguna. Grup ini menyediakan forum bagi institusi pendidikan tinggi untuk berbagi informasi, praktik terbaik, dan strategi menggunakan HECVAT.

Bagaimana Anda dapat menggunakan alat pengumpulan data yang ramah HECVAT di kampus Anda?

Jotform Enterprise adalah alat pengumpulan data yang kuat dan mudah digunakan untuk pendidik dan administrator di universitas-universitas besar maupun sekolah-sekolah dasar. Jotform Enterprise juga terdaftar dalam Indeks Pialang Komunitas HECVAT, yang berarti Anda dapat mengakses penilaian HECVAT yang sudah selesai dan menghemat waktu dalam menilai risiko.

Bagaimana Jotform dapat bekerja untuk Anda?

Jotform menawarkan hampir 2.000 template formulir pendidikan mulai dari evaluasi guru dan kuesioner kinerja akademik hingga aplikasi beasiswa. Anda dapat membuat formulir hanya dalam beberapa menit.

Perguruan tinggi dapat memanfaatkan beberapa fitur penting lainnya selain formulir:

  • Aksesibilitas. Formulir Jotform mematuhi Level A dan Level AA dengan standar WCAG 2.1, sehingga Anda dapat membuat formulir yang ramah Bagian 508.
  • Kemampuan Penandatanganan. Kumpulkan tanda tangan elektronik dari siswa, orangtua, staf, dan pemangku kepentingan kunci lainnya menggunakan Tanda Tangan Jotform. Otomatisasi proses penandatanganan untuk memastikan semua pihak yang relevan melihat dan menandatangani dokumen Anda dengan urutan yang benar.
  • Keamanan. Data Anda disimpan di pusat keberlanjutan data lokal dengan kepatuhan SOC 2 yang ditambahkan. Anda juga dapat memilih fitur HIPAA jika kampus Anda mengumpulkan informasi kesehatan sensitif dari mahasiswa atau fakultas.

Pastikan kampus Anda berada di jalur kesuksesan dengan solusi yang ramah HECVAT dan terjangkau — lembaga pendidikan memenuhi syarat untuk diskon signifikan! Mulailah dengan formulir pengumpulan data pendidikan hari ini.