HECVAT

Higher Education Cloud Vendor Assessment Toolkit

The Higher Education Community Vendor Assessment Toolkit, also known as HECVAT, is a self-assessment questionnaire framework used by higher education institutions to ensure that their cloud services and software vendors meet security and data standards. HECVAT was created by the Higher Education Information Security Council (HEISC), with help from EDUCAUSE, Internet2, and REN-ISAC. The tools in the assessment are standardized to make sure that the majority of higher education institutions follow the same security protocols and practices.

Neem contact met ons op

As of 2023, Jotform is proud to announce that we have completed the HECVAT self-assessment for Jotform Enterprise. You can create your education forms and appsC with peace of mind using Jotform Enterprise.

Jotform's HECVAT-zelfbeoordelingen zijn beschikbaar op REN-ISAC's Cloud Broker Index.

Introductie

What is HECVAT? Though it may sound like one of those words you couldn't quite pronounce in your high-school German class, HECVAT is actually an American acronym related to information security in higher education.

Meer dan 150 particuliere en openbare universiteiten in het hele land - waaronder Carnegie Mellon, Princeton en Rice - gebruiken HECVAT als een manier om leveranciersrisico's te beoordelen.

But there's more to HECVAT than we can sum up in a single paragraph, which is why we created this detailed article. Keep reading to learn more about HECVAT and its assessment tools in the sections below.

Wat is HECVAT?

HECVAT stands for the Higher Education Community Vendor Assessment Toolkit. The Higher Education Information Security Council (HEISC) created it in collaboration with the computer networking consortium Internet2 and cybersecurity alliance REN-ISAC.

The HECVAT is a suite of tools designed to help higher education institutions measure vendor risk with regard to information security. As part of the vendor evaluation process, colleges and universities may ask vendors to complete one of several HECVAT questionnaires to affirm that sufficient information and cybersecurity policies are in place to protect institutions' sensitive information and the personally identifiable information (PII) of students, staff, and other stakeholders.

Over HECVAT's medewerkers

HECVAT-vragenlijsten zijn betrouwbare evaluatietools omdat drie deskundige informatienetwerk- en beveiligingsteams ze gezamenlijk hebben ontwikkeld:

HEISC. HEISC, opgericht in 2000, is een team van informatiebeveiligings- en privacyprofessionals die zich inzetten om hogeronderwijsinstellingen te helpen bij het verbeteren van informatiebeveiliging, compliance en gegevensbescherming.
Internet2. Formally titled the University Corporation for Advanced Internet Development (UCAID), Internet2 is a nonprofit consortium that includes higher education and research institutions, government entities, corporations, and cultural organizations. Its purpose is to provide a "secure high-speed network, cloud solutions, research support, and services tailored for research and education."
REN-ISAC. Het Research and Education Networks Information Sharing and Analysis Center is een internationale alliantie die cyberbeveiligingsnieuws, waarschuwingen en adviezen verstrekt, samen met analyses van cyberbeveiligingsdreigingen en oplossingen voor risicobeperking. De alliantie heeft meer dan 700 aangesloten instellingen.

Waarom is HECVAT belangrijk?

Volgens een onderzoek uit 2022 van cyberbeveiligingsbedrijf Sophos heeft 64 procent van de hoger onderwijsinstellingen in 2021 ten minste één ransomware-aanval meegemaakt, een stijging ten opzichte van 44 procent in 2020. Een verbazingwekkende 74 procent van deze aanvallen was succesvol. Vergelijk dit succespercentage met het wereldwijde gemiddelde van 65 procent.

Ransomware-aanvallen hebben een materiële impact op organisaties, vooral die in het hoger onderwijs. Uit het Sophos-onderzoek blijkt dat bijna alle (97 procent) respondenten uit het hoger onderwijs in de publieke sector aangaven dat een aanval hun vermogen om te functioneren had beïnvloed, terwijl 96 procent van de respondenten uit het hoger onderwijs in de private sector zei dat een aanval ertoe leidde dat hun instelling zaken of inkomsten verloor.

Waarom zijn deze instellingen zo'n aantrekkelijk doelwit voor kwaadwillenden? Overweeg deze factoren:

Ze hebben enorm veel gegevens. Hogescholen en universiteiten beheren een schat aan persoonlijke gegevens over studenten en docenten, om nog maar te zwijgen van onderzoeksgegevens van overheidsinstanties en academische partners.
Hun netwerken zijn vatbaarder voor aanvallen. Grotere, gevestigde universiteiten hebben de neiging om verouderde systemen te behouden die vaak meer kwetsbaarheden hebben dan moderne systemen. Bovendien bieden de talrijke persoonlijke en campusapparaten en -software die verbinding maken met deze systemen veel mogelijkheden voor aanvallen, vooral als individuen die ze gebruiken gemak boven veiligheid stellen.
They have limited budgets. Public and private institutions alike often have limited budgets; they also tend to allocate financial resources to more visible, marketable departments (like athletics) over IT and cybersecurity.

With such troubling cybersecurity trends and the target factors above, it's no wonder why a security method like HECVAT is needed in higher ed. This toolkit enables colleges to save time, standardize their risk assessment of vendors, and ensure those vendors are appropriately assessed in the areas of security and privacy.

4 HECVAT-tools

De HECVAT-toolset bevat vier vragenlijsten waarmee instellingen voor hoger onderwijs een consistent risico- en beveiligingsbeoordelingsprogramma kunnen invoeren, implementeren en onderhouden. Elke vragenlijst vertegenwoordigt een ander niveau van grondigheid, en één is eigenlijk bedoeld voor intern gebruik.

Note: All current versions of these tools are available as downloadable Excel files on the EDUCAUSE HECVAT web page.

1. HECVAT - Triage

Unlike the Full, Lite, and On-Premise tools you'll learn about below, the Triage tool isn't meant for vendors to complete — this is a common misunderstanding of those not familiar with HECVAT. Instead, this tool is meant for internal "requesters," such as departments and individual faculty members who want to share institutional data with a third-party provider or software solution.

Through this tool, the requester documents and summarizes their data sharing intent, scope, elements, and technology requirements through about 35 questions across six categories such as use case, procurement, and institution technology. Completing the questionnaire is a prerequisite to IT initiating a risk and security assessment and using the other tools to assess vendors.

Here are a few example questions:

Provide a general summary of your department and the business area that will be housing institution data, utilizing the third-party software/service, and/or requesting integration with an institution's enterprise system(s).
Have you consulted with the institution's procurement professionals regarding this request for assessment?
Describe the institution's IT responsibilities in support of this third-party software/service, department application, or integration with an enterprise system.

2. HECVAT - Full

Designed to assess the most critical data-sharing engagements, the Full tool asks vendors for answers to over 250 questions about their practices across 20-plus categories, such as HIPAA, vulnerability scanning, documentation, and disaster recovery.

Here are a few example questions for the Full tool:

Do your workforce members receive regular training related to HIPAA Privacy and Security Rules and the HITECH Act?
Zijn uw systemen en applicaties in het afgelopen jaar onderworpen aan een externe veiligheidsbeoordeling?
Heeft uw organisatie een noodlocatie of een gecontracteerde aanbieder van noodherstel?

3. HECVAT - Lite

This condensed version of the Full tool is used to expedite the vendor assessment process while still addressing key security concerns. Vendors complete the Lite tool, which includes about 100 questions across 12 categories, such as IT accessibility, systems management, data center, and incident handling.

Here are a few example questions from the Lite tool:

Heeft een externe expert een toegankelijkheidsonderzoek uitgevoerd van de meest recente versie van uw product?
Will the institution be notified of major changes to your environment that could impact the institution's security posture?
Does your company manage the physical data center where the institution's data will reside?
Heeft u de mogelijkheid om 24 x 7 x 365 te reageren op incidenten?

4. HECVAT - On-Premise

Like the Full and Lite tools, vendors complete the On-Premise tool, which assesses their risk. The questionnaire is shorter than those in the other tools and is tailored to on-premise solutions, with 70 questions across 10 categories.

Here are a few example questions from the On-Premise tool:

Ondersteunt de database versleuteling van specifieke gegevenselementen in opslag?
Zijn informatieveiligheidsprincipes ingebouwd in de levenscyclus van het product?
Gebruikt u host-gebaseerde inbraakdetectie?

Aanvullende HECVAT-bronnen

HECVAT biedt twee andere hulpmiddelen voor hoger onderwijsinstellingen naast de vragenlijsten:

Community Broker Index (CBI). De CBI biedt een constant bijgewerkte lijst van leveranciers die bereid zijn hun voltooide HECVAT-beoordelingen te delen. Hoger onderwijsinstellingen kunnen deze lijst raadplegen om tijd te besparen bij het bepalen van risicogeschikte leveranciersoplossingen.
Users Community Group. This group provides higher ed institutions with a forum to share information, best practices, and strategies for using HECVAT.

Hoe kunt u een HECVAT-vriendelijke tool voor gegevensverzameling gebruiken op uw campus?

Jotform Enterprise is a powerful, easy-to-use data-collection tool for educators and administrators at major universities and grade schools alike. It's also listed in HECVAT's Community Broker Index, which means you can access its already-completed HECVAT assessments and save time in assessing risk.

Hoe kan Jotform voor u werken?

Docenten kunnen Jotform gebruiken om hun klaslokalen te beheren door online toetsen te ontwerpen, huiswerkopdrachten te verzamelen, of ouders te vragen om toestemmingsformulieren te ondertekenen.
Beheerders kunnen Jotform gebruiken voor operationele taken zoals het maken van enquêtes om de tevredenheid van studenten of docenten te meten of online betalingen te accepteren voor vergoedingen en donaties van alumni.

Jotform offers nearly 2,000 education form templates ranging from teacher evaluations and academic performance questionnaires to scholarship applications. You can build forms in just a few minutes.

Hogeronderwijsinstellingen kunnen naast formulieren profiteren van verschillende andere belangrijke functies:

Accessibility. Jotform's forms are Level A and Level AA compliant with WCAG 2.1 standards, so you can create Section 508-friendly forms.
Signability. Collect e-signatures from students, parents, staff, and other key stakeholders using Jotform Sign. Automate the signing process to ensure all relevant parties see and sign your document in the right order.
Security. Your data is stored in a local data residency center with added SOC 2 compliance. You can also opt into HIPAA features if your campus collects sensitive health information from students or faculty.

Ensure your campus is on track for success with a HECVAT-friendly, affordable solution - education institutions are eligible for a significant discount! Get started with an education data-collection form today.