What is an SDA?
在使用新的数字解决方案或服务共享或存储大学数据之前, 产品或供应商将接受审查,以评估符合联邦法规的要求, state, and University Policies, security, privacy, 以及与现有技术的兼容性.
如果您的部门正在寻找解决需求或差距的解决方案,请联系 PMO@hebhgkq.com. 他们可以帮助识别潜在的现有解决方案,并帮助促进与使用现有解决方案的部门的联系.
软件决策分析是为了满足大学的几个需求, taking a data-first approach. The goals of any SDA are to:
- 进行第三方风险管理, 其中包括对供应商的数据安全和隐私实践的审查, 违规响应和通知, compliance requirements, 大学合约义务.
- 确保大学计划的一致性,例如 OMNI initiative.
- 评估技术解决方案的实施、支持、持续维护和效率.
SDA审查是如何进行的?
- First, submit a 软件决策分析问卷.
- We will review for potential exemption criteria.
- 如果解决方案不符合豁免标准,则需要进行SDA审查. 在SDA检讨期间,我们会:
- identify the data involved
- look at business use cases
- 确定解决方案如何处理、集成和共享数据
- 评估供应商的安全和隐私
- 识别潜在风险等.
- 识别并获得系统法规遵从性所有者的签名, data compliance, 以及任何其他已确定的角色.
- 在整个审核过程中,我们将把请求者包括在所有沟通中.
- 您可以在这里跟踪您的SDA审查状态.
(我们尽最大努力使仪表板尽可能保持最新, 但一些定量数据可能并非100%准确. Please email itsriskandcompliance@hebhgkq.com with questions.)
问卷应该包括哪些内容?
- 请供应商填写 高等教育云供应商评估工具表.
- 包括一份采购合同,其中可能包括:
- MSA, SaaS, SLA等,定义使用条款和条件的协议等.
- 供应商报价/提案,定义范围、可交付成果、期限开始/结束日期和成本.
- 如果无法从经批准的合作社/GPO处购买软件,则说明软件的唯一来源.
- SDA进程将努力与采购并行进行.
Data classification
安全审查的级别取决于数据分类:
这将包括受联邦法律保护的信息, state, 或行业法规和/或民事法规, 如果丢失,在哪里可能需要违规通知并导致潜在的监管制裁, 罚款和损害该机构的使命和声誉.
SDA提交中应包括的供应商保证类型包括但不限于:SOC 2类型2, HITRUST, ISO Certifications, PCI AoC, FedRamp
这将包括类1中没有明确定义的数据, 但可以在风险较低的情况下进行监管, proprietary, 或者机密信息,如果泄露不当,有可能对机构造成损害, its mission, or its reputation. 例子包括专有的和适当去识别的研究信息, 与业务相关的电子邮件或其他通信记录, financial information, 员工绩效记录, operational documentations, contractual information, intellectual property, internal memorandums, salary information, 以及其他所有根据 弗吉尼亚信息自由法案 (Code of Virginia 2.2-3700).
SDA提交中供应商保证的类型包括但不限于:来自第1类的保证, HECVAT, security white papers, external scan or pen reports
这将包括类别1-3中未明确定义的数据, not regulated, 并对大学构成较低风险,或被认为可以不受限制地公开使用和披露.
一般评税或完全豁免. 产权保证的类型包括增值税、隐私政策等.