Jotform Ентерпрајз

HECVAT

Приручник за процену онлајн добављача високог образовања

О HECVAT-у

Приручник за процену добављача заједнице високог образовања, такође познат као HECVAT, је оквир упитника за самооцењивање који користе високошколске установе како би осигурале да њихове онлајн услуге у и добављачи софтвера испуњавају стандарде безбедности и података. HECVAT је креирао Савет за безбедност информација високог образовања (HEISC), уз помоћ EDUCAUSE, Internet2 и REN-ISAC. Алати у процени су стандардизовани како би се осигурало да већина високошколских установа прати исте безбедносне протоколе и праксе.

Од 2023. године, Jotform са поносом објављује да смо завршили HECVAT самопроцену за Jotform Ентерпрајз. Можеш безбрижно креирати своје образовне обрасце и апликације користећи Jotform Ентерпрајз.

Jotform's HECVAT самопроцене су доступне на REN-ISAC's Cloud Broker Index.

Контактирај продају

Шта је HECVAT и зашто је важан?

Увод

Шта је HECVAT? Иако може звучати као једна од оних речи које нисте могли изговорити у средњој школи немачког језика, HECVAT је заправо амерички акроним који се односи на безбедност информација у високом образовању.

Више од 150 приватних и јавних универзитета широм земље — укључујући Carnegie Mellon, Princeton и Rice — користе HECVAT као начин за процену ризика добављача.

Али има више од HECVAT-а него што можемо да сумирамо у једном параграфу, због чега смо креирали овај детаљан чланак. Настави да читаш да сазнаш више о HECVAT-у и његовим алатима за процену у одељцима испод.

Шта је HECVAT?

HECVAT је скраћеница за приручник за процену добављача заједнице високог образовања. Савет за информациону безбедност високог образовања (HEISC) креирао га је у сарадњи са конзорцијумом за компјутерско умрежавање Интернет2 и савезом за сајбер безбедност REN-ISAC.

HECVAT је скуп алата дизајнираних да помогну институцијама високог образовања да мере ризик добављача у погледу безбедности информација. Као део процеса процене добављача, колеџи и универзитети могу тражити од продаваца да попуне један од неколико HECVAT упитника како би потврдили да постоји довољно информација и политике сајбер безбедности за заштиту осетљивих информација институција и информације које могу да идентификују (PII) студената, особља и других заинтересованих страна.

О сарадницима HECVAT-а

HECVAT упитници су поуздани алати за евалуацију јер су их три стручна тима за умрежавање информација и безбедност заједно развила:

HEISC. Основан 2000. године, HEISC је тим професионалаца за безбедност информација и приватност посвећених помагању високошколским установама да унапреде управљање безбедношћу информација, усклађеност и заштиту података.
Интернет2. Званично под називом Универзитетска корпорација за напредни развој интернета (UCAID), Интернет2 је непрофитни конзорцијум који укључује високошколске и истраживачке институције, владине ентитете, корпорације и културне организације. Његова сврха је да обезбеди "сигурну мрежу велике брзине, решења у облаку, истраживачку подршку и услуге прилагођене истраживању и образовању".
REN-ISAC. Центар за размену и анализу информација истраживачких и образовних мрежа је међународна алијанса која обезбеђује вести о сајбер безбедности, обавештења и савете, заједно са анализом претњи сајбер безбедности и решењима за ублажавање. Савез има преко 700 институција чланица.

Зашто је HECVAT важан?

Према истраживању компаније Sophosза сајбер безбедност из 2022. 64 одсто виших институција искусило је најмање један напад рансомваре-а у 2021. години, више са 44 посто у 2020. Запањујућих 74 посто ових напада било је успјешно. Упореди ову стопу успеха са глобалним просеком од 65 процената.

Напади рансомваре-а имају материјални утицај на организације, посебно на оне у високом образовању. Sophos истраживање наводи да су скоро сви (97 процената) испитаници са вишим образовањем у јавном сектору изјавили да је напад утицао на њихову способност да раде, док је 96 процената испитаника са вишим образовањем у приватном сектору рекло да је напад довео до тога да њихова институција изгуби посао или прихода.

Зашто су ове институције тако привлачна мета за лоше актере? Узмите у обзир ове факторе:

Имају гомилу података. Факултети одржавају мноштво личних података о студентима и факултетима, а да не помињемо истраживачке податке владиних агенција и академских партнера.
Њихове мреже су подложније нападима. Већи, добро успостављени универзитети имају тенденцију да одржавају застареле системе који често имају више рањивости од савремених система. Поред тога, бројни лични и кампусни уређаји и софтвер који се повезују са овим системима представљају многе могућности за нападе, посебно ако појединци који их користе дају предност погодностима над безбедношћу.
Они имају ограничене буџете. И јавне и приватне институције често имају ограничен буџет; они такође имају тенденцију да додељују финансијска средства видљивијим, тржишним одељењима — попут атлетике — преко IT-а и сајбер безбедности.

Са таквим забрињавајућим трендовима сајбер-безбедности и горе наведеним циљаним факторима, није чудо зашто је безбедносни метод као што је HECVAT потребан у вишем издању. Овај комплет алата омогућава факултетима да уштеде време, стандардизују своју процену ризика од добављача и обезбеде да су ти добављачи на одговарајући начин оцењени у областима безбедности и приватности.

4 HECVAT алати

HECVAT пакет алата укључује четири упитника који омогућавају високошколским установама да усвоје, имплементирају и одржавају конзистентан програм процене ризика и безбедности. Сваки упитник представља другачији ниво строгости, а један је заправо намењен за интерну употребу.

Напомена: Све тренутне верзије ових алата су доступне као Excel фајл за преузимање у класи EDUCAUSE HECVA веб страница.

1. HECVAT — Тријажа

За разлику од алата Full, Lite и On-Premise о којима ћеш сазнати у наставку, Triage алат није намењен добављачима да доврше – ово је уобичајено погрешно разумевање оних који нису упознати са HECVAT-ом. Уместо тога, овај алат је намењен интерним "подносиоцима захтева", као што су одељења и појединачни чланови факултета који желе да деле институционалне податке са добављачем или софтверским решењем треће стране.

Путем овог алата, подносилац захтева документује и сумира своју намеру, обим, елементе и технолошке захтеве за дељење података кроз око 35 питања у шест категорија као што су случај употребе, набавка и институционална технологија. Попуњавање упитника је предуслов да IT започне процену ризика и безбедности и користи друге алате за процену добављача.

Ево неколико примера питања:

Наведи општи резиме свог одељења и пословне области које ће бити подаци стамбене институције, користећи софтвер/услугу треће стране и/или захтевајући интеграцију са системима предузећа институције.
Да ли си се консултовао са стручњацима за набавке институције у вези са овим захтевом за процену?
Опиши ИТ одговорности институције у подршци овом софтверу/услузи треће стране, апликацији одељења или интеграцији са системом предузећа.

2. HECVAT — Full

Дизајниран за процену најкритичнијих ангажмана у дељењу података, алат Full тражи од добављача одговоре на преко 250 питања о њиховим праксама у преко 20 категорија, као што су HIPAA, скенирање рањивости, документација и опоравак од катастрофе.

Ево неколико примера питања за Full алат:

Да ли ваши запослени пролазе редовну обуку у вези са Правилима приватности и HIPAA безбедности и HITECH закона?
Да ли су ваши системи и апликације прошли безбедносну процену треће стране у прошлој години?
Да ли си прошао SSAE 18/SOC 2 ревизију?
Да ли твоја организација има локацију за опоравак од катастрофе или уговореног добављача услуга за опоравак од катастрофе?

3. HECVAT — Lite

Ова сажета верзија Full алата се користи за убрзавање процеса процене добављача док се и даље баве кључним безбедносним проблемима. Продавци комплетирају Lite алат, који укључује око 100 питања у 12 категорија, као што су ИТ приступачност, управљање системима, центар података и руковање инцидентима. Категорије као што су HIPAA и скенирање рањивости, које су укључене у комплетан алат, нису део овог алата.

Ево неколико примера питања из Lite алатке:

Да ли је стручњак треће стране извршио ревизију приступачности најновије верзије вашег производа?
Да ли ће институција бити обавештена о великим променама у вашем окружењу које би могле утицати на безбедносни положај институције?
Да ли твоја компанија управља физичким центром података у којем ће се налазити подаци институције?
Да ли имаш способност да реагујеш на инциденте на бази 24 x 7 x 365?

4. HECVAT — On-Premise

Алати попут Full и Lite, добављачи довршавају On-Premise алат, који процењује њихов ризик. Међутим, упитник је краћи од оних у другим алатима и прилагођен је локалним решењима. Алат укључује 70 питања у 10 категорија, као што су база података, политике и заштитни зидови.

Ево неколико примера питања за On-Premise алат:

Да ли база података подржава шифровање одређених елемената података у складишту?
Да ли су принципи безбедности информација осмишљени у животном циклусу производа?
Да ли користиш детекцију упада засновано на хосту?

Додатни HECVAT ресурси

HECVAT поред упитника нуди још два ресурса за високошколске институције:

Индекс посредника у заједници (CBI). CBI обезбеђује доследно ажурирану листу добављача који су вољни да поделе своје завршене HECVAT процене. Институције вишег образовања могу се позвати на ову листу да уштеде време у одређивању решења добављача која одговарају ризику.
Група заједнице корисника. Ова група пружа вишим институцијама форум за размену информација, најбољих пракси и стратегија за коришћење HECVAT-а.

Како можеш користити алат за прикупљање података прилагођен HECVAT-у у свом кампусу?

Jotform Ентерпрајз је моћан алат за прикупљање података који могу лако да користе наставници и администратори на великим универзитетима и у основним школама. Такође је наведен у HECVAT-у индекс посредника у заједници, што значи да можеш приступити његовим већ завршеним HECVAT проценама и уштедети време у процени ризика.

Како Jotform може да ради за тебе?

Наставници могу да користе Jotform за управљање својим учионицама помоћу дизајнираних онлајн тестова, прикупљања домаћег задатка или замолити родитеље да потпишу дозволу.
Администратори могу да користе Jotform за руковање оперативним задацима као што је прављење анкета за мерење задовољства студената или наставника или прихватање онлајн плаћања за хонораре и алумни донације.

Jotform нуди скоро 2.000 шаблона образаца за образовање у распону од евалуација наставника и упитника о академском учинку до пријава за стипендије. Можеш да направиш обрасце за само неколико минута.

Високошколске установе могу да искористе и неколико других кључних функција поред образаца:

Приступачност. Jotform-ови обрасци су нивоа А и нивоа АА усаглашени са WCAG 2.1 стандардима, тако да можеш креирати обрасце прилагођене одељку 508.
Потпис. Прикупи е-потписе ученика, родитеља, особља и других кључних заинтересованих страна користећи Jotform потпис. Аутоматизуј процес потписивања како би осигурао да све релевантне стране виде и потпишу твој документ у правом редоследу.
Безбедност. Твоји подаци се чувају у локалном резидентном центру за податке са додатном усаглашеношћу са SOC 2. Такође можеш да се одлучиш за HIPAA функције ако твој кампус прикупља осетљиве здравствене информације од студената или факултета.

Увери се да је твој кампус на правом путу ка успеху помоћу HECVAT-прилагођеног и приступачног решења — образовне институције имају право на значајан попуст! Започни са обрасцем за прикупљање података о образовању данас.