Jform 엔터프라이즈

HECVAT

고등교육 클라우드 공급업체 평가 도구

HECVAT에 대하여

HECVAT으로도 알려져 있는 고등교육 커뮤니티 공급업체 평가 도구는 클라우드 서비스와 소프트웨어 판매업체들이 보안 및 데이터 표준을 충족시키기 위해 고등교육 기관들에 의해 사용되는 자가진단 설문조사 틀입니다. HECVAT은 EDUCAUSE, Internet2 및 REN-ISAC들을 사용해서 고등교육정보보안위원회 (HEISC)에 의해 만들어졌습니다. 평가도구들은 대다수의 고등교육기관들이 동일한 보안 정책 프로토콜과 관행들을 따르게 하기 위해 표준화되었습니다.

2023년에, Jform은 Jform 엔터프라이즈를 위한 HECVAT 자가 진단을 완료했다는 것을 자랑스럽게 발표합니다. 귀하는 Jform 엔터프라이즈를 사용해서 걱정없이 교육용 양식과 앱들을 만들 수 있습니다.

Jform의 HECVAT 자가 평가들은 REN-ISAC의 Cloud Broker Index에 준비되어 있습니다.

영업팀에 문의하기

HECVAT은 무엇이며 왜 중요한가요?

소개

HECVAT란 무엇일까요? 고등학교 독일어 수업에서 발음하기 어려운 단어처럼 들릴 수 있지만, HECVAT는 사실 고등 교육 분야의 정보 보안과 관련된 미국식 약어입니다.

카네기 멜론, 프린스턴, 라이스 대학을 포함한 전국 150개 이상의 사립 및 공립 대학에서 판매업체 위험을 평가하기 위해 HECVAT를 사용합니다.

그러나 HECVAT에는 한 단락으로 요약할 수 있는 것보다 더 것이 있으며 바로 이것이 저희가 이 자세한 기사를 작성한 이유입니다. 아래 섹션에서 HECVAT과 그것의 평가 도구에 대해 더 알아보려면 계속 읽어보십시오.

HECVAT은 무엇인가요?

HECVAT은 고등 교육 커뮤니티 판매업체 평가 도구 키트를 나타냅니다. 고등 교육 정보 보안 위원회(HEISC)는 컴퓨터 네트워킹 컨소시엄인 Internet2 및 사이버 보안 동맹인 REN-ISAC과 협력해서 이것을 만들어 냈습니다.

HECVAT은 정보 보안과 관련하여 고등 교육 기관들이 판매업체의 위험을 측정하는 데 도움을 주도록 설계된 도구 모음입니다. 판매업체 평가 프로세스의 과정으로 대학들은 판매업체들이 여러 HECVAT 설문지 중 하나를 작성하게 해서 충분한 정보와 사이버 보안 정책들이 기관의 민감한 정보와 학생, 교직원 및 기타 이해관계자들의 개인 식별 정보(PII)를 보호하고 있는지를 확인합니다.

HECVAT의 협력자들에 대하여

HECVAT 설문지는 세 개의 전문 정보 네트워킹 및 보안 팀이 함께 개발했기 때문에 믿을 수 있는 평가 도구입니다.

HEISC. 2000년에 설립된 HEISC는 고등 교육 기관이 정보 보안 거버넌스, 규정 준수 및 데이터 보호를 개선하도록 돕는 데 전념하는 정보 보안 및 개인 정보 보호 전문가 팀입니다.
Internet2. 인터넷2는 고등교육 및 연구기관, 정부기관, 기업, 문화단체 등이 참여하는 비영리 컨소시엄으로 '연구와 교육에 맞춘 안전한 초고속 네트워크, 클라우드 솔루션, 연구 지원 및 서비스'를 제공하는 것을 목적으로 합니다
REN-ISAC. 연구 및 교육 네트워크 정보 공유 및 분석 센터는 사이버 보안 위협 분석 및 완화 솔루션과 함께 사이버 보안 뉴스 보고서, 경고 및 권고 사항들을 제공하는 국제 동맹입니다. 이 동맹에는 700개 이상의 회원 기관이 있습니다.

HECVAT은 왜 중요하나요?

사이버 보안 회사인 Sophos의 2022년 조사에 따르면 고등 교육 기관의 64%가 2021년에 최소 한 번 이상의 랜섬웨어 공격을 경험했습니다. 2020년에보다 44%에서 증가했으며 이러한 공격 중 놀랍게도 74%가 성공했습니다. 이 성공률을 전 세계 평균 65%와 비교해 보세요.

랜섬웨어 공격은 조직, 특히 고등 교육 기관들에 물질적인 피해를 끼칩니다. Sophos 설문조사는 공공 부문의 고등 교육 응답자 거의 모두(97%)가 공격이 그것들의 운영 능력에 영향을 끼쳤다고 응답했지만 민간 부문의 고등 교육 응답자 중 96%는 공격이 그들의 기관이 비즈니스나 수익 손실을 보게 했다고 답했습니다.

왜 이 기관들은 그런 악한 사람들에게 매력적인 목표물이 되는 걸까요? 다음 요인들을 고려해 보세요:

그들은 엄청나게 많은 데이터를 가지고 있습니다. 대학들은 정부 기관 및 학술 파트너의 연구 데이터 뿐만 아니라 학생과 교수진에 대한 풍부한 개인 데이터를 유지 관리합니다.
그들의 네트워크는 공격에 더 취약합니다. 더 크고 잘 확립된 대학은 현대적인 시스템보다 더 취약한 구형 시스템을 유지하는 경향이 있습니다. 그 외에, 이와 같은 시스템에 연결되는 수많은 개인 및 캠퍼스 기기와 소프트웨어는 특히 이를 사용하는 개인이 안전보다 편의성을 우선시하는 경우 보안에 대한 많은 공격 기회를 제공합니다.
예산이 제한되어 있습니다. 공공 및 민간 기관 모두 예산이 제한된 경우가 많습니다. 그들은 또한 IT 및 사이버 보안보다 육상 경기와 같이 더 눈에 띄고 시장성이 있는 부서에 재원을 할당하는 경향이 있습니다.

이러한 문제가 되는 사이버 보안 추세와 위의 목표 요소를 고려할 때 고등 교육에서 HECVAT와 같은 보안 방법이 필요한 이유는 당연합니다. 이 툴킷을 사용하면 대학은 시간을 절약하고 공급업체에 대한 위험 평가를 표준화하며 해당 공급업체가 보안 및 개인 정보 보호 영역에서 적절하게 평가되도록 할 수 있습니다.

4개의 HECVAT 도구

HECVAT 도구 모음은 고등 교육 기관이 일관된 위험 및 보안 평가 프로그램을 채택, 시행 및 유지할 수 있게 하는 4개의 설문지를 포함합니다. 각 설문지는 다른 수준의 엄격함을 나타내며, 하나는 실제로 내부용을 위한 것입니다.

참고: 이 도구들의 모든 최신 버전은 EDUCAUSE HECVAT 웹 페이지에서 다운로드 가능한 Excel 파일로 제공됩니다.

1. HECVAT — Triage

아래에서 알아보게 될 Full, Lite 및 On-Premise 도구와 달리 Triage 도구는 판매업체들이 완료할 수 있는 것이 아닙니다. 이는 HECVAT에 익숙하지 않은 사람들의 일반적인 오해입니다. 대신 이 도구는 기관 데이터를 제3자 제공업체 또는 소프트웨어 솔루션과 공유하려는 부서 및 개별 교직원과 같은 내부 "요청자"를 위한 것입니다.

이 도구를 통해 요청자는 사용 사례, 조달, 기관 기술과 같은 6개의 카테고리에 걸쳐 약 35개의 질문을 통해 데이터 공유 의도, 범위, 요소 및 기술 요구 사항을 문서화하고 요약합니다. 질문서를 작성하는 것은 IT가 위험 및 보안 평가를 시작하고 다른 도구를 사용하여 판매업체들을 평가하기 위한 필수 전제 조건입니다.

여기에 몇 개의 예제 질문들이 있습니다:

기관 데이터를 보관하거나, 제3자 소프트웨어/서비스를 활용하고, 기관의 엔터프라이즈 시스템과의 통합을 요청하는 부서 및 업무 영역에 대한 일반적인 요약을 제공하세요.
이러한 평가 요청과 관련해서 기관의 조달 전문가와 상담하셨나요?
타사 소프트웨어/서비스, 부서 애플리케이션 또는 엔터프라이즈 시스템과의 통합을 지원하는 기관의 IT 의무들을 설명하십시오.

2. HECVAT — Full

가장 중요한 데이터 공유 계약을 평가하도록 설계된 Full 도구는 판매업체들에게 HIPAA, 취약성 검사, 문서화, 재해 복구 등과 같은 20개 이상의 카테고리에서 그들의 관행에 대한 250개 이상의 질문에 대한 답변을 요청합니다.

여기에 Full 도구에 대한 몇가지의 예시 질문들이 있습니다:

귀하의 직원들은 HIPAA 개인 정보 보호 및 보안 규칙, 그리고 HITECH 법과 관련된 정기적인 교육을 받고 있습니까?
귀하의 시스템과 어플리케이션들은 지난 해에 외부 보안 평가를 받게 했나요?
SSAE 18/SOC 2 감사를 받으셨나요?
귀하의 조직은 재해 복구 사이트 또는 계약된 재해 복구 공급자가 있나요?

3. HECVAT — 라이트

이와 같은 전체 도구의 압축 버전은 주요한 보안 문제를 해결하면서 판매업체 평가 프로세스를 신속하게 처리하는 데 사용됩니다. 판매업체들은 IT 접근성, 시스템 관리, 데이터 센터, 사고 처리 등 12개의 카테고리에 걸쳐 약 100개의 질문들이 포함된 Lite 도구를 완성합니다. 전체 도구에 포함된 HIPAA와 취약점 검사와 같은 카테고리들은 이러한 도구의 일부가 아닙니다.

여기에 Lite 도구의 몇 가지 예시 질문들이 있습니다:

외부 전문가가 귀하의 가장 최근 제품에 대해 접근성 감사를 수행한 적이 있나요?
기관들은 기관의 보안 경계 상태에 영향을 줄 수 있는 환경의 주요 변경 사항들에 대해 통보 받나요?
귀하의 회사는 기관의 데이터가 상주할 물리적인 데이터 센터를 관리하나요?
연 365일 연중무휴로 사고에 대응할 수 있는 능력이 있습니까?

4. HECVAT — 온프레미스

전체 또는 라이트 도구와 마찬가지로 판매업체는 위험을 평가하는 온프레미스 도구를 완성합니다. 그러나 설문지는 다른 도구의 설문지보다 짧으며 온프레미스 솔루션에 맞춰져 있습니다. 이 도구에는 데이터베이스, 정책, 방화벽 등 10개의 카테고리에 걸쳐서 70개의 질문들이 포함되어 있습니다.

여기에 온프레미스 도구의 몇가지 예시 질문들이 있습니다:

데이터베이스는 저장공간에서 특정 데이터 요소들의 암호화를 지원하나요?
정보 보안 원칙이 제품 수명 주기에 반영되어 있나요?
호스트 기반의 침입 탐지 기능을 사용하시나요?

추가적인 HECVAT 리소스들

HECVAT은 질문서 외에도 고등 교육 기관들을 위한 두개의 다른 리소스들을 제공합니다:

커뮤니티 브로커 지수(CBI). CBI는 완료된 HECVAT 평가를 공유하려는 판매자들의 꾸준하게 업데이트된 목록을 제공합니다. 고등 교육 기관은 위험에 적합한 판매자 솔루션을 결정하는 데 시간을 절약하기 위해 이 목록을 참조할 수 있습니다.
사용자 커뮤니티 그룹. 이 그룹은 HECVAT을 사용하는 것에 대한 정보, 모범 사례 및 전략을 공유할 수 있는 포럼을 고등 교육 기관들에 제공합니다.

귀하의 캠퍼스에서 HECVAT 친화적인 데이터 수집 도구를 어떻게 사용하나요?

Jform 엔터프라이즈는 주요 대학 및 초등학교의 교육자들과 관리자들을 위한 강력하고 사용하기 쉬운 데이터 수집 도구입니다. 그것은 또한 HECVAT의 커뮤니티 브로커 지수(Community Broker Index)에도 등재되어 있으며, 이미 완료된 HECVAT 평가에 액세스하고 위험을 평가하는데 소요되는 시간을 절약할 수 있습니다.

Jform은 귀하를 위해 어떻게 작동할까요?

선생님들은 Jform을 사용하여 온라인 시험을 설계하거나 숙제를 수집하고 학부모들에게 허가서에 서명하도록 요청해서 교실들을 관리할 수 있습니다.
관리자는 학생이나 교사 만족도를 측정하기 위한 설문 조사 제작 또는 수수료 및 동문 기부금을 위해 온라인 결제를 받는 것과 같은 운영 업무들을 처리기 위해 Jform을 사용할 수 있습니다.

Jform은 교사 평가 및 학업 성과 설문지부터 장학금 신청까지 거의 2,000개에 달하는 교육 양식 템플릿을 제공합니다. 귀하는 단 몇 분만에 양식들을 구축할 수 있습니다.

고등교육기관들은 양식 외에도 다른 주요 기능들을 활용할 수 있습니다:

접근성. Jform의 양식은 WCAG 2.1 표준을 준수하는 레벨 A 및 레벨 AA이기 때문에 섹션 508에 적합한 양식을 만들 수 있습니다.
서명 가능성. Jform 서명을 사용해서 학생, 학부모, 교직원 및 기타 핵심적인 이해관계자로부터 전자 서명을 수집하십시오. 모든 관련 당사자들이 바른 순서로 문서를 보고 서명할 수 있도록 서명 과정을 자동화하세요.
보안. 귀하의 데이터는 SOC 2 규정 준수가 추가된 전용 서버에 저장됩니다. 또한, 캠퍼스가 학생이나 교직원에게서 민감한 건강 정보를 수집하는 경우 HIPAA 기능을 선택할 수 있습니다.

HECVAT 친화적이고 저렴한 솔루션으로 귀하의 캠퍼스가 성공할 수 있게 하세요. 교육 기관들은 큰 할인 혜택을 받을 수 있습니다! 오늘 교육 데이터 수집 양식을 사용해 보세요.