解决方案发现分析

图像
SDA横幅

什么是SDA?

在使用新的数字解决方案或服务共享或存储大学数据之前, 产品或供应商将接受审查,以评估符合联邦法规的要求, 状态, 和大学政策, 安全, 隐私, 以及与现有技术的兼容性.

如果您的部门正在寻找解决需求或差距的解决方案,请联系 PMO@hrfjk.com. 他们可以帮助识别潜在的现有解决方案,并帮助促进与使用现有解决方案的部门的联系.

软件决策分析是为了满足大学的几个需求, 采用数据优先的方法. 任何SDA的目标都是:

  • 进行第三方风险管理, 其中包括对供应商的数据安全和隐私实践的审查, 违规响应和通知, 法规遵循需求, 大学合约义务.
  • 确保大学计划的一致性,例如 OMNI倡议.
  • 评估技术解决方案的实施、支持、持续维护和效率.
     

SDA审查是如何进行的?

  • 首先,提交一份 软件决策分析问卷.
  • 我们将审查潜力 豁免标准.
  • 如果解决方案不符合豁免标准,则需要进行SDA审查. 在SDA检讨期间,我们会:
    • 识别所涉及的数据
    • 看看业务用例
    • 确定解决方案如何处理、集成和共享数据
    • 评估供应商的安全和隐私
    • 识别潜在风险等.
  • 识别并获得系统法规遵从性所有者的签名, 数据的合规, 以及任何其他已确定的角色.
  • 在整个审核过程中,我们将把请求者包括在所有沟通中.
  • 您可以在这里跟踪您的SDA审查状态. 
    (我们尽最大努力使仪表板尽可能保持最新, 但一些定量数据可能并非100%准确. 请电子邮件 itsriskandcompliance@hrfjk.com 有问题的.)

问卷应该包括哪些内容?

  • 请供应商填写 高等教育云供应商评估工具表.
  • 包括一份采购合同,其中可能包括:
    • MSA, SaaS, SLA等,定义使用条款和条件的协议等.
    • 供应商报价/提案,定义范围、可交付成果、期限开始/结束日期和成本.
    • 如果无法从经批准的合作社/GPO处购买软件,则说明软件的唯一来源.
  • SDA进程将努力与采购并行进行.
     

数据分类

安全审查的级别取决于数据分类:

这将包括受联邦法律保护的信息, 状态, 或行业法规和/或民事法规, 如果丢失,在哪里可能需要违规通知并导致潜在的监管制裁, 罚款和损害该机构的使命和声誉.

SDA提交中应包括的供应商保证类型包括但不限于:SOC 2类型2, HITRUST, ISO认证, AoC PCI, FedRamp

这将包括类1中没有明确定义的数据, 但可以在风险较低的情况下进行监管, 专有的, 或者机密信息,如果泄露不当,有可能对机构造成损害, 它的使命, 或者它的声誉. 例子包括专有的和适当去识别的研究信息, 与业务相关的电子邮件或其他通信记录, 财务信息, 员工绩效记录, 操作文件, 合同信息, 知识产权, 内部备忘录, 薪资信息, 以及其他所有根据 弗吉尼亚信息自由法案 (弗吉尼亚法典.2-3700).

SDA提交中供应商保证的类型包括但不限于:来自第1类的保证, HECVAT, 安全白皮书, 外部扫描或笔报告

这将包括类别1-3中未明确定义的数据, 不规范, 并对大学构成较低风险,或被认为可以不受限制地公开使用和披露.

一般评税或完全豁免. 产权保证的类型包括增值税、隐私政策等.