高等教育社区供应商评估工具(HECVAT) 是一种试图评估高等教育的安全评估模板 信息安全 以及有关云服务的数据保护问题和问题,以确保一致性和易用性。
HECVAT具有多种版本,可以免费使用,并提供一致,精简的版本 第三方风险评估框架:
- 原始版本: 265个问题,包括针对HIPAA和PCI-DSS选择的合格问题
- 轻量级版本: 轻量级问卷,用于加快流程
- 本地: 用于评估本地应用程序和软件的独特调查表
像很多 供应商风险评估模板,HECVAT是 供应商风险管理最佳实践 以及来自多个来源的通用安全控制要求。
如果你 want to learn more about security questionnaires, 请在此处阅读有关顶级问卷的指南.
为什么创建了HECVAT?
在 网络安全,有些行业总是对话的一部分。即医疗保健,金融,政府和最近的高等教育。
以下趋势推动了高等教育云供应商评估工具(HECVAT)的创建,现在已更名为高等教育社区供应商评估工具(HECVAT),以更好地反映其在云之外的预期用途。
- 越来越多的 第三方供应商 大学或学院的平均使用量
- 需要保护 个人身份信息 域外数据保护法(例如, 皮派达,GDPR, LGPD, SHIELD法案和 FIPA
- 需要保护机构信息和 敏感数据
- 第一,第三和第三阶段的规模和频率不断增加 第四方 数据泄露 and 数据泄漏
- 云服务和云提供商的增长
HECVAT由 高等教育信息安全委员会(HEISC)共享评估工作组, 与合作 互联网2 and 仁爱 通过众包各种供应商评估并分析哪种法规最适合不同的高等教育环境。
使用HECVAT有什么好处?
HECVAT通过帮助确保对云服务进行适当的安全和隐私需求评估,包括高等教育机构特有的安全和隐私需求,使高等教育安全团队可以更有效地运作。
HECVAT旨在通过云服务降低成本而不增加 网络安全风险,同时减轻了云服务提供商在响应高等教育机构的安全评估要求时面临的负担。
诸如Google之类的许多云提供商已经完成了HECVAT问卷调查,并针对 云经纪人指数 (CBI).
CBI提供了愿意共享完整的HECVAT的最新供应商列表,从而使高校的安全评估人员可以使用发布的评估,从而节省了双方的时间。
为什么HECVAT很重要?
HECVAT之所以重要,是因为高等教育机构严重依赖外包和外包,从而引入了潜力。 供应商风险.
高等教育更多地外包,因为好的供应商可以提供以下好处:
- 专业化: 许多产品或服务是如此专业,以至于外包给一家专门的公司将提供比内部执行功能更好的性能和更低的风险。会计,评估管理,内部审计,人力资源,销售和营销,贷款审查,资产和财富管理,采购或贷款服务。
- 节约成本: 许多供应商都从规模经济中受益,能够以比您内部购买的价格更低的价格提供商品或服务。
作为安全调查表,HECVAT构成了强大功能的重要组成部分 供应商风险管理(VRM)计划.
谁使用HECVAT?
HECVAT的目标受众是大学,大学以及与其签约的第三方服务提供商。根据 教育,许多领先的组织已采用HECVAT来衡量第三方和第四方对其大学,校园和学生团体的潜在风险,包括:
- 美国大学
- 阿巴拉契亚州立大学
- 芝加哥艺术学院
- 贝茨学院
- 贝勒大学
- 贝里学院
- 黑山州立大学
- 波士顿学院
- 鲍灵格林州立大学
- 布朗大学
- 加州浸会大学
- 加利福尼亚州立大学,所有校园和系统
- 卡内基·梅隆大学
- 迦太基学院
- 尚普兰学院
- 克拉克森大学
- 哥伦布州立社区学院
- 康奈尔大学
- 戴维森学院
- 丹尼森大学
- 迪塞尔大学
- 德雷克大学
- 德雷塞尔大学
- 杜肯大学
- 东卡罗来纳大学
- 弗里斯州立大学
- Foothill-De Anza社区学院区
- 富兰克林& Marshall College
- 加洛德大学
- 佐治亚理工学院
- 希尔斯伯勒社区学院
- 印第安那大学
- 印第安纳卫斯理大学
- 高等研究院
- 约翰·卡罗尔大学
- 肯特州立大学
- 勒图诺大学
- 林菲尔德学院
- 朗伍德大学
- 麦迪逊学院
- 卫理公会大学
- 迈阿密大学
- 蒙特克莱尔州立大学
- 蒙哥马利学院
- 摩根州立大学
- 北亚利桑那大学
- 奥克兰大学
- 俄亥俄州北方大学
- 俄勒冈州立大学
- 佩斯大学
- 太平洋大学
- 佩珀代因大学
- 普林斯顿大学
- 拉德福德大学
- 莱斯大学
- 罗文大学
- 罗格斯大学
- 山姆休斯顿州立大学
- 南部阿尔伯塔技术学院
- 斯普林菲尔德学院
- 石溪大学
- 萨福克县社区学院
- 萨斯奎哈那大学
- 田纳西理工大学
- 德克萨斯州立大学
- 特洛伊大学
- 杜鲁门州立大学
- 加州大学戴维斯分校
- 特拉华大学
- 丹佛大学
- 爱达荷大学
- 缅因大学系统
- 马里兰巴尔的摩大学
- 马萨诸塞大学阿默斯特分校
- 俄勒冈大学
- 波特兰大学
- 罗德岛大学
- 里士满大学
- 田纳西大学诺克斯维尔分校
- 德克萨斯大学奥斯汀分校
- 弗吉尼亚理工大学
- 西德克萨斯州&M University
- 西弗吉尼亚大学
- 西卡罗来纳大学
- 西密歇根大学
- 威廉& Mary
- 威廉姆斯学院
- 亚瓦派学院
HECVAT工具箱中包含什么?
的 高等教育社区供应商评估工具包 includes:
我应该完全依靠HECVAT吗?
虽然HECVAT是一个很好的安全评估模板。它's doesn'形成完整的供应商风险管理程序。
HECVAT是静态和主观的时间点评估。它没有'考虑到您在收到供应商的完整安全评估后可能发生的更改。
这就是为什么 安全评级很重要. 安全等级 是数据驱动的,客观的,动态的供应商度量's 安全态势.
它们通常由 第三方风险管理 teams to 持续监控和基准测试供应商.
安全评级是根据客观的,外部可观察的,连续可用的和可验证的信息计算的。这意味着它们始终是最新的,并且是对传统安全评估的极大补充。
根据 加特纳, 在评估现有和新业务关系的风险时,网络安全等级将与信用等级一样重要……这些服务将成为业务关系的前提,并成为服务提供者和采购者应有的谨慎标准的一部分。此外,服务将扩大其范围以评估其他领域,例如网络保险,对M的尽职调查&甚至作为内部安全程序的原始指标。
此外,许多安全领导者都发现安全等级是提高安全意识的重要组成部分, 管理网络安全绩效和报告 网络安全指标 董事会,C-Suite甚至股东。
UpGuard如何改善您的供应商风险管理程序
像这样的公司 洲际交流, 泰勒·弗莱, 纽约证券交易所,IAG,First State Super,Akamai,Morningstar和NASA使用UpGuard'的安全等级以保护其数据, 防止数据泄露 并评估他们的安全状况。
UpGuard供应商风险 可以最大程度地减少您的组织用于评估相关和第三方的时间 信息安全 通过自动化控制 供应商问卷 and providing 供应商问卷模板.
我们可以帮助您持续监控供应商'外部安全控制,并提供公正的安全评级。
我们的评级基于对70多个矢量的分析,其中包括:
- 中间人攻击的易感性
- 不安全的SSL / TLS证书
- SPF,DKIM和DMARC设置
- HTTP严格传输安全性(HSTS)
- 电子邮件欺骗和网络钓鱼风险
- 漏洞
- 恶意软件敏感性
- 不必要的开放管理,数据库,应用程序,电子邮件和文件共享端口
- 接触已知 数据泄露 and 数据泄漏
- 易受攻击的软件
- HTTP可访问性
- 安全的cookie配置
- 结果 智能安全调查表
我们还可以帮助您立即针对您当前和潜在的供应商与他们的行业进行基准比较,以便您了解它们的堆叠方式。
为了评估您的信息安全控制, UpGuard BreachSight 可以监视您的组织以进行70多种安全控制,从而提供简单易懂的信息 网络安全等级 并自动检测S3存储桶,Rsync服务器,GitHub存储库等中泄漏的凭据和数据暴露。
UpGuard与其他安全评级供应商之间的主要区别在于,有非常公开的证据表明我们在预防 数据泄露 and 数据泄漏.
我们的专业知识在以下方面得到了体现: 纽约时报, 华尔街日报, 彭博社, 华盛顿邮报, 福布斯, 路透社和 TechCrunch。
您可以详细了解我们的客户在说什么 加特纳评论.
如果你'd想看你的组织's security rating, 单击此处请求免费的网络安全评级.
