Jform 엔터프라이즈

HECVAT

고등교육 클라우드 공급업체 평가 도구

HECVAT에 대하여

The Higher Education Community Vendor Assessment Toolkit, also known as HECVAT, is a self-assessment questionnaire framework used by higher education institutions to ensure that their cloud services and software vendors meet security and data standards. HECVAT was created by the Higher Education Information Security Council (HEISC), with help from EDUCAUSE, Internet2, and REN-ISAC. The tools in the assessment are standardized to make sure that the majority of higher education institutions follow the same security protocols and practices.

2023년에, Jform은 Jform 엔터프라이즈를 위한 HECVAT 자가 진단을 완료했다는 것을 자랑스럽게 발표합니다. 귀하는 Jform 엔터프라이즈를 사용해서 걱정없이 교육용 양식과 앱들을 만들 수 있습니다.

Jform의 HECVAT 자가 평가들은 REN-ISAC의 Cloud Broker Index에 준비되어 있습니다.

영업팀에 문의하기

HECVAT은 무엇이며 왜 중요한가요?

소개

HECVAT란 무엇일까요? 고등학교 독일어 수업에서 발음하기 어려운 단어처럼 들릴 수 있지만, HECVAT는 사실 고등 교육 분야의 정보 보안과 관련된 미국식 약어입니다.

카네기 멜론, 프린스턴, 라이스 대학을 포함한 전국 150개 이상의 사립 및 공립 대학에서 판매업체 위험을 평가하기 위해 HECVAT를 사용합니다.

그러나 HECVAT에는 한 단락으로 요약할 수 있는 것보다 더 것이 있으며 바로 이것이 저희가 이 자세한 기사를 작성한 이유입니다. 아래 섹션에서 HECVAT과 그것의 평가 도구에 대해 더 알아보려면 계속 읽어보십시오.

HECVAT은 무엇인가요?

HECVAT은 고등 교육 커뮤니티 판매업체 평가 도구 키트를 나타냅니다. 고등 교육 정보 보안 위원회(HEISC)는 컴퓨터 네트워킹 컨소시엄인 Internet2 및 사이버 보안 동맹인 REN-ISAC과 협력해서 이것을 만들어 냈습니다.

HECVAT는 고등 교육 기관들이 정보 보안과 관련하여 판매업체들의 위험을 측정할 수 있게 설계된 도구 모음입니다. 판매업체 평가 프로세스의 일부로서 대학들은 공급업체에게 여러 HECVAT 설문지 중 하나를 작성하게 해서 기관의 민감한 정보와 학생, 교직원 및 기타 관계자들의 개인 식별 정보(PII)를 보호하기 위한 충분한 정보 및 사이버 보안 정책이 준비되어 있는지를 확인할 수 있습니다.

HECVAT의 협력자들에 대하여

HECVAT 설문지는 세 개의 전문 정보 네트워킹 및 보안 팀이 함께 개발했기 때문에 믿을 수 있는 평가 도구입니다.

HEISC. 2000년에 설립된 HEISC는 고등 교육 기관이 정보 보안 거버넌스, 규정 준수 및 데이터 보호를 개선하도록 돕는 데 전념하는 정보 보안 및 개인 정보 보호 전문가 팀입니다.
Internet2. Formally titled the University Corporation for Advanced Internet Development (UCAID), Internet2 is a nonprofit consortium that includes higher education and research institutions, government entities, corporations, and cultural organizations. Its purpose is to provide a “secure high-speed network, cloud solutions, research support, and services tailored for research and education.”
REN-ISAC. The Research and Education Networks Information Sharing and Analysis Center is an international alliance that provides cybersecurity news reports, alerts, and advisories, along with analysis of cybersecurity threats and mitigation solutions. The alliance has over 700 member institutions.

HECVAT은 왜 중요하나요?

According to a 2022 survey by cybersecurity firm Sophos, 64 percent of higher ed institutions experienced at least one ransomware attack in 2021, up from 44 percent in 2020. A staggering 74 percent of these attacks were successful. Compare this success rate to the global average of 65 percent.

랜섬웨어 공격은 조직, 특히 고등 교육 기관들에 물질적인 피해를 끼칩니다. Sophos 설문조사는 공공 부문의 고등 교육 응답자 거의 모두(97%)가 공격이 그것들의 운영 능력에 영향을 끼쳤다고 응답했지만 민간 부문의 고등 교육 응답자 중 96%는 공격이 그들의 기관이 비즈니스나 수익 손실을 보게 했다고 답했습니다.

왜 이 기관들은 그런 악한 사람들에게 매력적인 목표물이 되는 걸까요? 다음 요인들을 고려해 보세요:

그들은 엄청나게 많은 데이터를 가지고 있습니다. 대학들은 정부 기관 및 학술 파트너의 연구 데이터 뿐만 아니라 학생과 교수진에 대한 풍부한 개인 데이터를 유지 관리합니다.
그들의 네트워크는 공격에 더 취약합니다. 더 크고 잘 확립된 대학은 현대적인 시스템보다 더 취약한 구형 시스템을 유지하는 경향이 있습니다. 그 외에, 이와 같은 시스템에 연결되는 수많은 개인 및 캠퍼스 기기와 소프트웨어는 특히 이를 사용하는 개인이 안전보다 편의성을 우선시하는 경우 보안에 대한 많은 공격 기회를 제공합니다.
예산이 제한되어 있습니다. 공공 및 민간 기관 모두 예산이 제한된 경우가 많습니다. 그들은 또한 IT 및 사이버 보안보다 육상 경기와 같이 더 눈에 띄고 시장성이 있는 부서에 재원을 할당하는 경향이 있습니다.

이러한 문제가 되는 사이버 보안 추세와 위의 목표 요소를 고려할 때 고등 교육에서 HECVAT와 같은 보안 방법이 필요한 이유는 당연합니다. 이 툴킷을 사용하면 대학은 시간을 절약하고 공급업체에 대한 위험 평가를 표준화하며 해당 공급업체가 보안 및 개인 정보 보호 영역에서 적절하게 평가되도록 할 수 있습니다.

4개의 HECVAT 도구

HECVAT 도구 모음은 고등 교육 기관이 일관된 위험 및 보안 평가 프로그램을 채택, 시행 및 유지할 수 있게 하는 4개의 설문지를 포함합니다. 각 설문지는 다른 수준의 엄격함을 나타내며, 하나는 실제로 내부용을 위한 것입니다.

참고: 이러한 도구의 모든 최신 버전은 교육 HECVAT 웹페이지에서 다운로드 가능한 Excel 파일로 제공됩니다.

1. HECVAT — Triage

아래에서 알아보게 될 Full, Lite 및 On-Premise 도구와 달리 Triage 도구는 판매업체들이 완료할 수 있는 것이 아닙니다. 이는 HECVAT에 익숙하지 않은 사람들의 일반적인 오해입니다. 대신 이 도구는 기관 데이터를 제3자 제공업체 또는 소프트웨어 솔루션과 공유하려는 부서 및 개별 교직원과 같은 내부 "요청자"를 위한 것입니다.

이 도구를 통해 요청자는 사용 사례, 조달, 기관 기술과 같은 6개의 카테고리에 걸쳐 약 35개의 질문을 통해 데이터 공유 의도, 범위, 요소 및 기술 요구 사항을 문서화하고 요약합니다. 질문서를 작성하는 것은 IT가 위험 및 보안 평가를 시작하고 다른 도구를 사용하여 판매업체들을 평가하기 위한 필수 전제 조건입니다.

여기에 몇 개의 예제 질문들이 있습니다:

기관 데이터를 보관하거나, 제3자 소프트웨어/서비스를 활용하고, 기관의 엔터프라이즈 시스템과의 통합을 요청하는 부서 및 업무 영역에 대한 일반적인 요약을 제공하세요.
이러한 평가 요청과 관련해서 기관의 조달 전문가와 상담하셨나요?
타사 소프트웨어/서비스, 부서 애플리케이션 또는 엔터프라이즈 시스템과의 통합을 지원하는 기관의 IT 의무들을 설명하십시오.

2. HECVAT — Full

가장 중요한 데이터 공유 계약을 평가하도록 설계된 Full 도구는 판매업체들에게 HIPAA, 취약성 검사, 문서화, 재해 복구 등과 같은 20개 이상의 카테고리에서 그들의 관행에 대한 250개 이상의 질문에 대한 답변을 요청합니다.

여기에 Full 도구에 대한 몇가지의 예시 질문들이 있습니다:

귀하의 직원들은 HIPAA 개인 정보 보호 및 보안 규칙, 그리고 HITECH 법과 관련된 정기적인 교육을 받고 있습니까?
귀하의 시스템과 어플리케이션들은 지난 해에 외부 보안 평가를 받게 했나요?
SSAE 18/SOC 2 감사를 받으셨나요?
귀하의 조직은 재해 복구 사이트 또는 계약된 재해 복구 공급자가 있나요?

3. HECVAT — 라이트

이와 같은 전체 도구의 압축 버전은 주요한 보안 문제를 해결하면서 판매업체 평가 프로세스를 신속하게 처리하는 데 사용됩니다. 판매업체들은 IT 접근성, 시스템 관리, 데이터 센터, 사고 처리 등 12개의 카테고리에 걸쳐 약 100개의 질문들이 포함된 Lite 도구를 완성합니다. 전체 도구에 포함된 HIPAA와 취약점 검사와 같은 카테고리들은 이러한 도구의 일부가 아닙니다.

여기에 Lite 도구의 몇 가지 예시 질문들이 있습니다:

외부 전문가가 귀하의 가장 최근 제품에 대해 접근성 감사를 수행한 적이 있나요?
기관들은 기관의 보안 경계 상태에 영향을 줄 수 있는 환경의 주요 변경 사항들에 대해 통보 받나요?
귀하의 회사는 기관의 데이터가 상주할 물리적인 데이터 센터를 관리하나요?
연 365일 연중무휴로 사고에 대응할 수 있는 능력이 있습니까?

4. HECVAT — 온프레미스

전체 또는 라이트 도구와 마찬가지로 판매업체는 위험을 평가하는 온프레미스 도구를 완성합니다. 그러나 설문지는 다른 도구의 설문지보다 짧으며 온프레미스 솔루션에 맞춰져 있습니다. 이 도구에는 데이터베이스, 정책, 방화벽 등 10개의 카테고리에 걸쳐서 70개의 질문들이 포함되어 있습니다.

여기에 온프레미스 도구의 몇가지 예시 질문들이 있습니다:

데이터베이스는 저장공간에서 특정 데이터 요소들의 암호화를 지원하나요?
정보 보안 원칙이 제품 수명 주기에 반영되어 있나요?
호스트 기반의 침입 탐지 기능을 사용하시나요?

추가적인 HECVAT 리소스들

HECVAT은 질문서 외에도 고등 교육 기관들을 위한 두개의 다른 리소스들을 제공합니다:

Community Broker Index (CBI). The CBI provides a consistently updated list of vendors willing to share their completed HECVAT assessments. Higher ed institutions can refer to this list to save time in determining risk-suitable vendor solutions.
사용자 커뮤니티 그룹. 이 그룹은 HECVAT을 사용하는 것에 대한 정보, 모범 사례 및 전략을 공유할 수 있는 포럼을 고등 교육 기관들에 제공합니다.

귀하의 캠퍼스에서 HECVAT 친화적인 데이터 수집 도구를 어떻게 사용하나요?

Jform 엔터프라이즈는 주요 대학 및 초등학교의 교육자들과 관리자들을 위한 강력하고 사용하기 쉬운 데이터 수집 도구입니다. 그것은 또한 HECVAT의 커뮤니티 브로커 지수(Community Broker Index)에도 등재되어 있으며, 이미 완료된 HECVAT 평가에 액세스하고 위험을 평가하는데 소요되는 시간을 절약할 수 있습니다.

Jform은 귀하를 위해 어떻게 작동할까요?

Teachers can use Jform to manage their classrooms by designing online tests, collecting homework assignments, or asking parents to sign permission slips.
Administrators can use Jform to handle operational tasks such as building surveys to measure student or teacher satisfaction or accepting online payments for fees and alumni donations.

Jform offers nearly 2,000 education form templates ranging from teacher evaluations and academic performance questionnaires to scholarship applications. You can build forms in just a few minutes.

고등교육기관들은 양식 외에도 다른 주요 기능들을 활용할 수 있습니다:

접근성. Jform의 양식은 WCAG 2.1 표준을 준수하는 레벨 A 및 레벨 AA이기 때문에 섹션 508에 적합한 양식을 만들 수 있습니다.
서명 가능성. Jform 서명을 사용해서 학생, 학부모, 교직원 및 기타 핵심적인 이해관계자로부터 전자 서명을 수집하십시오. 모든 관련 당사자들이 바른 순서로 문서를 보고 서명할 수 있도록 서명 과정을 자동화하세요.
보안. 귀하의 데이터는 SOC 2 규정 준수가 추가된 전용 서버에 저장됩니다. 또한, 캠퍼스가 학생이나 교직원에게서 민감한 건강 정보를 수집하는 경우 HIPAA 기능을 선택할 수 있습니다.

HECVAT 친화적이고 저렴한 솔루션으로 귀하의 캠퍼스가 성공할 수 있게 하세요. 교육 기관들은 큰 할인 혜택을 받을 수 있습니다! 오늘 교육 데이터 수집 양식을 사용해 보세요.