# HECVAT - 고등교육 커뮤니티 공급업체 평가 도구 | Jform 엔터프라이즈 ![Image 1: HECVAT](https://cdn.jotfor.ms/p/enterprise-v2/assets/img-min/hecvat/hero-img.svg) # HECVAT ## 고등교육 클라우드 공급업체 평가 도구 The Higher Education Community Vendor Assessment Toolkit, also known as HECVAT, is a self-assessment questionnaire framework used by higher education institutions to ensure that their cloud services and software vendors meet security and data standards. HECVAT was created by the Higher Education Information Security Council (HEISC), with help from EDUCAUSE, Internet2, and REN-ISAC. The tools in the assessment are standardized to make sure that the majority of higher education institutions follow the same security protocols and practices. ![Image 2: Hero Visual](https://cdn.jotfor.ms/image/r/aHR0cHM6Ly9jZG4uam90Zm9yLm1zL3AvZW50ZXJwcmlzZS12Mi9hc3NldHMvaW1nLW1pbi9jb21tb24vYmx1ZS1iaW5hcnktYmcucG5n/blue-binary-bg.png?w=40&t=1) 소개 HECVAT은 무엇인가요?HECVAT은 왜 중요하나요?4개의 HECVAT 도구 귀하의 캠퍼스에서 HECVAT 친화적인 데이터 수집 도구를 어떻게 사용하나요? [영업팀에 문의하기](https://www.jform.co.kr/enterprise/contact-sales/?jtm_medium=referral&jtm_source=hecvat&jtm_content=left_col_contact_sales&jtm_campaign=enterprise_cta) As of 2023, Jform is proud to announce that we have completed the HECVAT self-assessment for Jform Enterprise. You can create your education forms and appsC with peace of mind using Jform Enterprise. Jform의 HECVAT 자체 평가 보고서는 REN-ISAC의 [클라우드 브로커 인덱스](https://www.ren-isac.net/hecvat/cbi.html)에서 확인하실 수 있습니다. ## 소개 What is HECVAT? Though it may sound like one of those words you couldn't quite pronounce in your high-school German class, HECVAT is actually an American acronym related to information security in higher education. 카네기 멜론, 프린스턴, 라이스 대학을 포함한 전국 150개 이상의 사립 및 공립 대학에서 판매업체 위험을 평가하기 위해 HECVAT를 사용합니다. But there's more to HECVAT than we can sum up in a single paragraph, which is why we created this detailed article. Keep reading to learn more about HECVAT and its assessment tools in the sections below. ## HECVAT은 무엇인가요? HECVAT stands for the Higher Education Community Vendor Assessment Toolkit. The Higher Education Information Security Council (HEISC) created it in collaboration with the computer networking consortium Internet2 and cybersecurity alliance REN-ISAC. The HECVAT is a suite of tools designed to help higher education institutions measure vendor risk with regard to information security. As part of the vendor evaluation process, colleges and universities may ask vendors to complete one of several HECVAT questionnaires to affirm that sufficient information and cybersecurity policies are in place to protect institutions' sensitive information and the personally identifiable information (PII) of students, staff, and other stakeholders. ### HECVAT의 협력자들에 대하여 HECVAT 설문지는 세 개의 전문 정보 네트워킹 및 보안 팀이 함께 개발했기 때문에 믿을 수 있는 평가 도구입니다. * [HEISC](https://www.educause.edu/focus-areas-and-initiatives/policy-and-security/cybersecurity-program/about-heisc). 2000년에 설립된 HEISC는 고등 교육 기관이 정보 보안 거버넌스, 규정 준수 및 데이터 보호를 개선하도록 돕는 데 전념하는 정보 보안 및 개인 정보 보호 전문가 팀입니다. * [Internet2](https://internet2.edu/community/about-us/). Formally titled the University Corporation for Advanced Internet Development (UCAID), Internet2 is a nonprofit consortium that includes higher education and research institutions, government entities, corporations, and cultural organizations. Its purpose is to provide a "secure high-speed network, cloud solutions, research support, and services tailored for research and education." * [REN-ISAC](https://www.ren-isac.net/about/index.html). 연구 및 교육 네트워크 정보 공유 및 분석 센터는 전 세계 700개 이상의 회원 기관을 보유한 국제 연합체로, 사이버 보안 뉴스, 경고, 권고 사항과 함께 위협 분석 및 대응 솔루션을 제공합니다. ## HECVAT은 왜 중요하나요? 사이버 보안 기업 Sophos의 2022년 조사에 따르면, [고등교육 기관의 64%](https://assets.sophos.com/X24WTUEQ/at/pgvqxjrfq4kf7njrncc7b9jp/sophos-state-of-ransomware-education-2022-wp.pdf)가 2021년에 최소 한 차례 이상의 랜섬웨어 공격을 경험했으며, 이는 2020년의 44%에서 크게 증가한 수치입니다. 이 중 무려 74%의 공격이 실제로 성공했으며, 이는 전 세계 평균 성공률인 65%보다도 높은 수치입니다. 랜섬웨어 공격은 조직, 특히 고등 교육 기관들에 물질적인 피해를 끼칩니다. Sophos 설문조사는 공공 부문의 고등 교육 응답자 거의 모두(97%)가 공격이 그것들의 운영 능력에 영향을 끼쳤다고 응답했지만 민간 부문의 고등 교육 응답자 중 96%는 공격이 그들의 기관이 비즈니스나 수익 손실을 보게 했다고 답했습니다. 왜 이 기관들은 그런 악한 사람들에게 매력적인 목표물이 되는 걸까요? 다음 요인들을 고려해 보세요: * **그들은 엄청나게 많은 데이터를 가지고 있습니다.** 대학들은 정부 기관 및 학술 파트너의 연구 데이터 뿐만 아니라 학생과 교수진에 대한 풍부한 개인 데이터를 유지 관리합니다. * **그들의 네트워크는 공격에 더 취약합니다.** 더 크고 잘 확립된 대학은 현대적인 시스템보다 더 취약한 구형 시스템을 유지하는 경향이 있습니다. 그 외에, 이와 같은 시스템에 연결되는 수많은 개인 및 캠퍼스 기기와 소프트웨어는 특히 이를 사용하는 개인이 안전보다 편의성을 우선시하는 경우 보안에 대한 많은 공격 기회를 제공합니다. * **They have limited budgets.** Public and private institutions alike often have limited budgets; they also tend to allocate financial resources to more visible, marketable departments (like athletics) over IT and cybersecurity. With such troubling cybersecurity trends and the target factors above, it's no wonder why a security method like HECVAT is needed in higher ed. This toolkit enables colleges to save time, standardize their risk assessment of vendors, and ensure those vendors are appropriately assessed in the areas of security and privacy. ## 4개의 HECVAT 도구 HECVAT 도구 모음은 고등 교육 기관이 일관된 위험 및 보안 평가 프로그램을 채택, 시행 및 유지할 수 있게 하는 4개의 설문지를 포함합니다. 각 설문지는 다른 수준의 엄격함을 나타내며, 하나는 실제로 내부용을 위한 것입니다. _Note: All current versions of these tools are available as downloadable Excel files on the [EDUCAUSE HECVAT web page](https://library.educause.edu/resources/2020/4/higher-education-community-vendor-assessment-toolkit)._ **1. HECVAT - Triage** Unlike the Full, Lite, and On-Premise tools you'll learn about below, the Triage tool isn't meant for vendors to complete — this is a common misunderstanding of those not familiar with HECVAT. Instead, this tool is meant for internal "requesters," such as departments and individual faculty members who want to share institutional data with a third-party provider or software solution. Through this tool, the requester documents and summarizes their data sharing intent, scope, elements, and technology requirements through about 35 questions across six categories such as use case, procurement, and institution technology. Completing the questionnaire is a prerequisite to IT initiating a risk and security assessment and using the other tools to assess vendors. Here are a few example questions: * Provide a general summary of your department and the business area that will be housing institution data, utilizing the third-party software/service, and/or requesting integration with an institution's enterprise system(s). * Have you consulted with the institution's procurement professionals regarding this request for assessment? * Describe the institution's IT responsibilities in support of this third-party software/service, department application, or integration with an enterprise system. **2. HECVAT - Full** Designed to assess the most critical data-sharing engagements, the Full tool asks vendors for answers to over 250 questions about their practices across 20-plus categories, such as HIPAA, vulnerability scanning, documentation, and disaster recovery. Here are a few example questions for the Full tool: * Do your workforce members receive regular training related to HIPAA Privacy and Security Rules and the HITECH Act? * 귀하의 시스템과 어플리케이션들은 지난 해에 외부 보안 평가를 받게 했나요? * 귀하의 조직은 재해 복구 사이트 또는 계약된 재해 복구 공급자가 있나요? **3. HECVAT - Lite** This condensed version of the Full tool is used to expedite the vendor assessment process while still addressing key security concerns. Vendors complete the Lite tool, which includes about 100 questions across 12 categories, such as IT accessibility, systems management, data center, and incident handling. Here are a few example questions from the Lite tool: * 외부 전문가가 귀하의 가장 최근 제품에 대해 접근성 감사를 수행한 적이 있나요? * Will the institution be notified of major changes to your environment that could impact the institution's security posture? * Does your company manage the physical data center where the institution's data will reside? * 연 365일 연중무휴로 사고에 대응할 수 있는 능력이 있습니까? **4. HECVAT - On-Premise** Like the Full and Lite tools, vendors complete the On-Premise tool, which assesses their risk. The questionnaire is shorter than those in the other tools and is tailored to on-premise solutions, with 70 questions across 10 categories. Here are a few example questions from the On-Premise tool: * 데이터베이스는 저장공간에서 특정 데이터 요소들의 암호화를 지원하나요? * 정보 보안 원칙이 제품 수명 주기에 반영되어 있나요? * 호스트 기반의 침입 탐지 기능을 사용하시나요? ### 추가적인 HECVAT 리소스들 HECVAT은 질문서 외에도 고등 교육 기관들을 위한 두개의 다른 리소스들을 제공합니다: * [커뮤니티 브로커 인덱스(CBI)](https://www.ren-isac.net/hecvat/cbi.html). CBI는 HECVAT 평가를 완료하고 이를 공유하는 벤더 목록을 지속적으로 업데이트하여 제공합니다. 고등교육 기관은 이 목록을 참고해 리스크에 적합한 벤더 솔루션을 보다 빠르게 판단할 수 있습니다. * [Users Community Group](https://www.educause.edu/community/hecvat-users-community-group). This group provides higher ed institutions with a forum to share information, best practices, and strategies for using HECVAT. ## 귀하의 캠퍼스에서 HECVAT 친화적인 데이터 수집 도구를 어떻게 사용하나요? Jform Enterprise is a powerful, easy-to-use data-collection tool for educators and administrators at major universities and grade schools alike. It's also listed in HECVAT's Community Broker Index, which means you can access its already-completed HECVAT assessments and save time in assessing risk. Jform은 귀하를 위해 어떻게 작동할까요? * **교사**는 Jform을 활용해 [온라인 시험을 제작](https://www.jform.co.kr/form-templates/multiple-choice-test-template)하고, [과제물을 수집](https://www.jform.co.kr/form-templates/homework-upload-form)하거나, 학부모에게 [동의서를 서명](https://www.jform.co.kr/form-templates/social-media-permission-slip)받아 교실을 효율적으로 운영할 수 있습니다. * **관리자**는 Jform을 활용해 [학생](https://www.jform.co.kr/form-templates/student-satisfaction-survey) 또는 [교사 만족도](https://www.jform.co.kr/form-templates/teacher-satisfaction-survey)를 측정하는 설문을 만들거나, 동문 [기부금](https://www.jform.co.kr/form-templates/online-donation-form) 및 각종 수수료의 온라인 결제를 처리하는 등 다양한 운영 업무를 관리할 수 있습니다. Jform offers nearly 2,000 education form templates ranging from teacher evaluations and academic performance questionnaires to scholarship applications. You can build forms in just a few minutes. 고등교육기관들은 양식 외에도 다른 주요 기능들을 활용할 수 있습니다: * **Accessibility.** Jform's forms are Level A and Level AA compliant with WCAG 2.1 standards, so you can create Section 508-friendly forms. * **Signability.** Collect e-signatures from students, parents, staff, and other key stakeholders using Jform Sign. Automate the signing process to ensure all relevant parties see and sign your document in the right order. * **Security.** Your data is stored in a local data residency center with added SOC 2 compliance. You can also opt into HIPAA features if your campus collects sensitive health information from students or faculty. Ensure your campus is on track for success with a HECVAT-friendly, affordable solution - education institutions are eligible for a significant discount! [Get started with an education data-collection form today.](https://www.jform.co.kr/form-templates/category/education)