Shared Assessments hat letzte Woche die Aktualisierung des Standard Information Gathering (SIG) Fragebogens für das Jahr 2024 veröffentlicht. Der SIG-Fragebogen ist ein einheitlicher Standard für die Bewertung von Anbieterrisiken in einer Vielzahl von Themenbereichen. Es gibt zwei Versionen des Fragebogens: SIG Core und SIG Lite, wobei sich die Anzahl der Fragen und der Detaillierungsgrad der beiden Fragebögen erheblich unterscheiden.
SIG Core ist eine umfangreiche Bewertung mit über 600 Fragen zu 21 Risikokategorien. SIG Lite ist vom Umfang her kleiner und wird in der Regel für Anbieter verwendet, die weniger Sorgfaltspflicht erfordern oder nicht so kritisch sind. Prevalent ist ein Lizenznehmer für diese SIG-Fragebögen und umfasst beide in der Prevalent Third-Party Risk Management Platform.
Dieser Beitrag befasst sich mit den neuen Risikobereichen, die in der SIG 2024 verfügbar sind, und mit den Aktualisierungen der in der neuen Erhebung enthaltenen Compliance-Vorgaben.
Neue und aktualisierte SIG-Risikobereiche für 2024
Die SIG 2023 erfasste in ihrem Fragebogen 19 Risikobereiche. Mit der neuen Überarbeitung fügte Shared Assessments zwei zusätzliche Risikobereiche hinzu und änderte die Bezeichnungen von zwei anderen. Bei den beiden Überarbeitungen wurde "Application Security" in "Application Management" und "Cloud Hosting Services" in "Cloud Services" geändert.
Die Aktualisierung des Begriffs "Anwendungsmanagement" verdeutlicht den breiteren Umfang des Anwendungsrisikos. Die Sicherung von Anwendungen kann viele verschiedene Dinge bedeuten, aber das Anwendungsmanagement erstreckt sich auf den gesamten Lebenszyklus der Softwareentwicklung. Dazu gehören eine sichere Kodierung, bewährte Praktiken rund um das Risiko und die Vermittlung von Standards an den Rest des Unternehmens.
Auch die Entwicklung von "Cloud-Hosting-Diensten" zu "Cloud-Diensten" trägt einer breiteren Marktverschiebung Rechnung. Cloud-Hosting kann die zugrundeliegende Sicherheit von Cloud-Infrastrukturen wie AWS und Azure bedeuten, hat aber nicht unbedingt etwas mit bewährten Verfahren zur Risikominderung von Cloud-basierten Datenbanken und anderen Aktivitäten in der Cloud zu tun.
Die beiden neuen Risikobereiche sind "Supply Chain Risk Management" und "Artificial Intelligence", die Shared Assessments wie folgt definiert:
- Das Risikomanagement in der Lieferkette (SCRM) umfasst das Management von Risiken in der Lieferkette durch kontinuierliche Risikobewertung. Diese Instrumente und Ressourcen werden eingesetzt, um Schwachstellen zu minimieren und die Kontinuität in Zusammenarbeit mit den Partnern der Lieferkette zu gewährleisten.
- Künstliche Intelligenz ist die Praxis des Verständnisses der Auswirkungen, Grenzen und Verbesserungen von KI in Bezug auf ihre Leistung, Zuverlässigkeit, Vertrauenswürdigkeit und Effektivität.
Die Hinzufügung dieser beiden neuen Risikobereiche spiegelt die sich verändernde Realität wider, in der sich die Manager von Drittparteirisiken befinden. Das Risikomanagement in der Lieferkette gewinnt im TPRM-Bereich zunehmend an Bedeutung, da Beschaffungsteams in die Verwaltung des Lebenszyklus von Risiken Dritter eingebunden werden. Dies spiegelt den zunehmenden Bedarf an Cybersicherheits-Risikomanagement in der Lieferkette wider.
Wie Shared Assessments in seinem Leitfaden für Risikobereiche beschreibt, "sollten Organisationen Programmstandards für das Cybersecurity Supply Chain Risk Management (C-SCRM) einführen, die den gesamten Lebenszyklus von der Entwicklung bis zur Wartung umfassen. Diese Programmstandards können durch Forschung, die Bereitstellung von Ressourcen und die Zusammenarbeit mit Interessenvertretern erreicht werden und werden Organisationen dabei helfen, Cybersecurity-Risiken in ihren Lieferketten effektiv zu managen".
In Bezug auf Künstliche Intelligenz ist das Ziel des neuen Risikobereichs im SIG-Fragebogen, die Risiken von KI
Werkzeuge für Einzelpersonen, Organisationen, die Gesellschaft und die Umwelt zu ermitteln und zu verringern. Die Hauptanliegen in diesem Bereich sind unter anderem Datenschutz, Zuverlässigkeit, Genauigkeit, Widerstandsfähigkeit, Sicherheit und Fairness ohne schädliche Vorurteile. Shared Assessments möchte, dass Organisationen Entwicklern und anderen dabei helfen, Standards für KI zu entwickeln, um die damit verbundenen Risiken zu verringern.
Neue und aktualisierte Inhaltsverzeichnisse für die SIG 2024
Neben der Hinzufügung der beiden neuen Risikobereiche wurden mit der jüngsten Aktualisierung des SIG-Fragebogens auch neue Inhalte in Bezug auf verschiedene Compliance-Standards hinzugefügt.
Künstliche Intelligenz: NIST AI RMF
Mit der Hinzufügung des neuen Risikobereichs Künstliche Intelligenz hat Shared Assessments auch das National Institute of Standards and Technology (NIST) Artificial Intelligence Risk Management Framework (NIST AI 100-1) zu seinen Compliance-Standards hinzugefügt.
Das NIST hat die KI-RMF im Januar 2023 eingeführt, um der zunehmenden Nutzung von KI-Tools in Unternehmen und dem Mangel an Leitlinien für die Verwaltung der Risiken Rechnung zu tragen. Lesen Sie unseren Beitrag, in dem wir uns eingehend mit dem AI RMF befasst haben, um seine Auswirkungen auf das Risikomanagement Dritter zu verstehen. Die Aufnahme des Rahmenwerks in den SIG-Fragebogen durch Shared Assessments ist eine solide Bestätigung für den Wert der Leitlinien insgesamt.
Cybersecurity Risikomanagement in der Lieferkette: NIST 800-161 r1
Die Aufnahme des Risikomanagements der Lieferkette in die Liste der Risikobereiche führte auch zur Aufnahme von NIST SP 800-161r1, einem aktualisierten Leitfaden für das Risikomanagement der Cybersicherheit in der Lieferkette. Der NIST-Leitfaden selbst wurde im Mai 2022 veröffentlicht und umreißt bewährte Verfahren für das Cybersecurity Supply Chain Risk Management (C-SCRM). Der Schwerpunkt der Lieferkettenkomponente des SIG-Fragebogens liegt auf der Cybersicherheit, so dass die Aufnahme von NIST 800-161 r1 ein Hinweis auf diesen Schwerpunkt ist.
Umwelt, Soziales und Governance
Im Hinblick auf die Einhaltung von Umwelt-, Sozial- und Governance-Vorgaben (ESG) wurden bei den Gemeinsamen Bewertungen zwei neue Vorschriften hinzugefügt:
- Das am 1. Januar 2023 in Kraft tretende deutsche Lieferkettengesetz bzw. die Sorgfaltspflicht in der Lieferkette wurde in diese Iteration des SIG-Fragebogens aufgenommen.
- Die Klima-Leitlinien (ESG) der New Yorker DFS, die den Umgang mit finanziellen Risiken des Klimawandels regeln, wurden ebenfalls in den Fragebogen für 2024 aufgenommen.
Behördenübergreifende Leitlinien für die Beziehungen zu Drittparteien
Shared Assessments fügte auch die Interagency Guidance on Third-Party Relationships hinzu : Risk Management, herausgegeben vom Board of Governors des Federal Reserve System (Board), der Federal Deposit Insurance Corporation (FDIC) und dem Office of the Comptroller of the Currency (OCC), in den Fragebogen aufgenommen.
Ziel der Interagency Guidance ist es, die Entwicklung und Umsetzung von Risikomanagement-Prinzipien für Bankinstitute im Zusammenhang mit Beziehungen zu Dritten zu vereinheitlichen und kohärenter zu gestalten. In dem Dokument heißt es: "Der endgültige Leitfaden enthält die Ansichten der Behörden zu soliden Risikomanagementprinzipien für Bankinstitute bei der Entwicklung und Umsetzung von Risikomanagementpraktiken für alle Phasen im Lebenszyklus von Beziehungen zu Dritten".
Andere Aktualisierungen
Schließlich fügte Shared Assessments Version 8 der CIS Critical Security Controls hinzu und wird Fragen zur SEC Cybersecurity Rule 206(4)-9 in die Content Library aufnehmen. Diese Ergänzungen werden dazu beitragen, das Cybersecurity-Risiko bei Ihren Lieferanten genauer zu bestimmen.
Diese Aktualisierungen umfassen:
- Der Datensicherheitsstandard der Zahlungskartenindustrie PCI DSS v4.0
- ISO27001 v2022
- ISO27002 v2022
- CMMC 2.0, das den Übergang vom Crosswalk zur Integration erfordert
Die Unternehmen bewegen sich in einem hochkomplexen regulatorischen Umfeld. Diese Änderungen sind ein Indiz dafür.
Was bedeutet das für TPRM?
Die Aktualisierungen des SIG-Fragebogens für 2024 spiegeln ein nuancierteres und risikoreicheres Umfeld für Risikomanager von Dritten wider. ChatGPT wurde erst vor 12 Monaten veröffentlicht und hat ein generatives KI-"Wettrüsten" in der Technologiebranche ausgelöst. Die Aufnahme von KI in den SIG-Fragebogen spiegelt die Notwendigkeit für Unternehmen wider, das Risiko, das KI-Tools für sie darstellen, zu verstehen und Leitplanken für die Nutzung der Technologie zu setzen.
Darüber hinaus spiegelt die Aufnahme des Risikomanagements der Lieferkette in den Fragebogen den Schwerpunkt auf die Risiken der Cybersecurity-Lieferkette wider, die die moderne Unternehmenslandschaft durchdringen. Unternehmen erleben immer mehr Datenschutzverletzungen durch Dritte, was ein umfassendes Verständnis der Cybersecurity-Lieferkette erforderlich macht. Der SIG-Fragebogen versucht, einige dieser Bedenken zu zerstreuen und gleichzeitig ein Gefühl der Sicherheit zu vermitteln, indem er die in die Abwehrmechanismen Ihrer Lieferanten eingebauten Kontrollen aufzeigt.
Wie Prevalent helfen kann
Prevalent bietet sowohl die SIG Core- als auch die SIG Lite-Fragebögen als Teil unserer Third-Party-Risikomanagement-Plattform an, zusammen mit über 600 weiteren standardbasierten Bewertungsvorlagen. Diese Vorlagenbibliothek ermöglicht es den Kunden von Prevalent, gemeinsame Daten zu nutzen und den Risikofragebogenprozess zu rationalisieren.
Zusammen mit diesen Bewertungen fügen wir Prozessautomatisierungen, Berichterstellung, Compliance-Mapping und integrierte Anleitungen zur Behebung von Problemen hinzu, um das Risikomanagement für Dritte zu optimieren. Ein Teil des Problems bei TPRM besteht darin, zu verstehen, wie auftretende Probleme gelöst werden können. Mit den Abhilfeanleitungen von Prevalent ist die Lösung von Problemen keine große Herausforderung mehr.
Wir fügen auch eine kontinuierliche Überwachungsintelligenz hinzu, um es einfacher zu machen, die laufenden Risiken in Ihrem Drittanbieter-Ökosystem zu verfolgen. Für jeden TPRM-Programmmanager ist es nahezu unmöglich, alle möglichen Risiken selbst im Auge zu behalten, weshalb die Prevalent-Plattform dies für Sie übernimmt. Fordern Sie noch heute eine Demo an und entdecken Sie, wie Prevalent Ihr TPRM-Programm unterstützen kann.
Anmerkung der Redaktion: Dieser Beitrag wurde ursprünglich veröffentlicht auf Prävalent.net. Im Oktober 2024 übernahm Mitratech das KI-gestützte Risikomanagement für Dritte, Prevalent. Der Inhalt wurde seitdem aktualisiert und enthält nun Informationen, die auf unser Produktangebot, regulatorische Änderungen und Compliance abgestimmt sind.
