Der Fragebogen zur Standard-Informationserfassung (SIG) erklärt

Was ist der Fragebogen zur Standard-Informationserfassung (SIG)?

Der Standard Information Gathering (SIG)-Fragebogen ist ein Fragebogen zu Risiken durch Dritte, der von der Mitgliederorganisation Shared Assessments erstellt wurde. SIG ist in den Versionen Core, Lite und Detail verfügbar und bietet Unternehmen branchenübliche Bibliotheken mit kuratierten Fragen zur Bewertung von Risiken durch Dritte in 21 verschiedenen Bereichen. Jede Frage ist mit Sicherheitskontrollen aus Dutzenden von Frameworks und Compliance-Anforderungen verknüpft, was eine Standardisierung der Risiken durch Dritte und eine Verbesserung der Einhaltung der wichtigsten TPRM-Compliance-Anforderungen ermöglicht.

SIG Core vs. SIG Lite, was ist der Unterschied?

Beginnen wir mit einer grundlegenden Erklärung des Unterschieds zwischen SIG Core und SIG Lite. Unternehmen nutzen beide Fragenkataloge intensiv, je nach ihren Anforderungen, dem Reifegrad ihrer Risikomanagementprogramme für Dritte und den Arten von Compliance-Anforderungen für Dritte, die sie erfüllen müssen.

Was ist SIG Lite?

SIG Lite ist ein Fragebogen zum Thema Risiken durch Dritte, der einen allgemeinen Überblick über die internen Informationskontrollsysteme eines Unternehmens bietet, einschließlich einer grundlegenden Due-Diligence-Prüfung. Mit 133 Fragen kann SIG Lite als vorläufige Bewertung dienen, bevor eine gründlichere Prüfung durchgeführt wird. Die Fragen von SIG Lite können auch verwendet werden, wenn ein Drittanbieter oder Lieferant ein geringes Risikoprofil aufweist und weniger Sorgfalt erfordert als Anbieter mit höherem Risiko.

Was ist SIG Core?

Der SIG Core Questionnaire (SIG) ist ein umfassender Fragebogen zum Thema Risiken durch Dritte, der zur Bewertung von Dritten dient, die sensible, regulierte Informationen speichern oder verwalten. Er bietet einen tieferen Einblick in die Art und Weise, wie ein Dritter Informationen schützt, indem er vier Themenbereiche und 810 Fragen zu 21 Risikothemen umfasst. Mit SIG Core können Unternehmen außerdem die Fragen auswählen und anpassen, die sie für jeden Anbieter beantwortet haben möchten. Darüber hinaus umfasst er eine umfassende Abdeckung der gesetzlichen Anforderungen und Best Practices zum Schutz personenbezogener Daten.

Was sind die 21 Bereiche von SIG?

SIG ist ein umfassender Fragebogen zur Risikobewertung, der definierte Fragenkataloge in den folgenden Bereichen umfasst:

1. Zugangskontrolle
2. Anwendungsmanagement
3. Künstliche Intelligenz
4. Vermögens- und Informationsmanagement
5. Cloud-Dienste
6. Compliance Management
7. Management von Cybersicherheitsvorfällen
8. Endpunktsicherheit
9. Risikomanagement im Unternehmen
10. Umwelt, Soziales und Governance (ESG)
11. Sicherheit im Personalwesen
12. Informationssicherheit
13. IT-Betriebsmanagement
14. Netzwerksicherheit
15. Nth-Party-Management
16. Operative Widerstandsfähigkeit
17. Physische und umgebungsbezogene Sicherheit
18. Datenschutzmanagement
19. Serversicherheit
20. Risikomanagement in der Lieferkette
21. Bedrohungsmanagement

SIG-Fragebogen Anwendungsfälle

Der Standard-Fragebogen zur Informationsbeschaffung bietet Unternehmen eine zentrale Anlaufstelle für die Erstellung ihrer Risikobewertungen für Dritte und deren Zuordnung zu geltenden Sicherheitsrahmenwerken und Compliance-Anforderungen.

Verbesserung der Risikobewertung durch Dritte

Risikobewertungen von Drittanbietern bilden den Kern eines effektiven Risikomanagementprogramms für Drittanbieter. Die Fragebögen von SIG Lite oder SIG Core werden regelmäßig aktualisiert, sodass Unternehmen Anbieter, Lieferanten und andere Drittanbieter anhand aktueller Best Practices für Informationssicherheit und Risikomanagement von Drittanbietern bewerten können.

Sicherheitskontrollen von Anbietern mit Compliance-Anforderungen abgleichen

Die meisten Unternehmen müssen zahlreiche Compliance- und Sicherheitsanforderungen einhalten, die von staatlichen Stellen veröffentlicht und von Kunden gefordert werden. Im Folgenden finden Sie einige Beispiele für staatliche Vorschriften, die SIG-Fragen zugeordnet sind:

• NIST CSF 2.0 (Neu für 2025)
• NIST SP 800-53
• NIST SP 800-161r1
• NIST KI 100-1
• HIPAA
• DORA (Neu für 2025)
• NIS2 (Neu für 2025)
• GDPR
• Behördenübergreifende Leitlinien zu Beziehungen zu Dritten: Risikomanagement
• CMMC
• CCPA
• FEDRAMP
• EBA-Leitlinien zur Auslagerung
• Das deutsche Lieferkettengesetz
• New Yorker DFS-Klimaleitlinien

Anwendbare Vorschriften für den privaten Sektor umfassen:

• PCI DSS
• CIS-Kritische Sicherheitskontrollen
• ISO 27001
• ISO 27002
• SOC 2

Durch die Verwendung von SIG Core kann Ihr Unternehmen eine einzige Risikobewertung standardisieren, die für mehrere Branchen gilt, und Antworten automatisch mehreren Vorschriften und Rahmenwerken zuordnen, um die regulatorischen und kundenbezogenen Verpflichtungen Ihres Unternehmens zu erfüllen.

Automatisierung der Erfassung von Risikodaten von Drittanbietern

Viele Unternehmen nutzen SIG Core und SIG Lite in Verbindung mit einer speziellen Risikomanagementlösung eines Drittanbieters, die die Verteilung, Erfassung, Analyse und Berichterstattung von Bewertungen automatisiert und beschleunigt. Die Verwendung einer TPRM-Lösung bietet zahlreiche Vorteile, darunter:

• Anreicherung der Antworten auf den SIG-Fragebogen mit Erkenntnissen aus der kontinuierlichen Überwachung der Cybersicherheit, des Geschäftsbetriebs, der Reputation und der Finanzen

• Zuordnung der Antworten aus den Fragebögen zu SIG Core und SIG Lite zu zusätzlichen Compliance-Anforderungen, Standards und Rahmenwerken

• Automatisierung der Fragebogensammlung und der Lieferantenmahnungen zur Optimierung des Fragebogenprozesses zum Lieferantenrisiko

• Vereinfachung von Abhilfemaßnahmen durch integrierte Anleitungen, Workflows und Kommunikation mit Anbietern

• Anpassung der Berichterstattung auf Grundlage von Stakeholdern oder regulatorischen Rahmenbedingungen

• Bereitstellung eines zentralen Dokumentenarchivs zur Speicherung und Analyse von Belegen

• Integration in umfassendere Unternehmensrisikomanagement-Plattformen oder andere Geschäftsanwendungen

Erstellen Sie mehrstufige Fragebögen zum Lieferantenrisiko

Viele Unternehmen beginnen ihr Risikomanagementprogramm für Dritte mit der Erstellung eines einzigen Fragebogens zum Lieferantenrisiko, der ihr aktuelles Verständnis der Anforderungen an die Informationssicherheit und Compliance von Dritten umfasst. Mit zunehmender Reife der Unternehmen stellen jedoch viele fest, dass die Erstellung mehrstufiger Lieferantenfragebögen auf der Grundlage des inhärenten Risikos weitaus sinnvoller ist, um Risiken effektiv zu managen und gleichzeitig die Zeiteffizienz und die Antwortraten der Lieferanten zu maximieren.

Sowohl SIG Core als auch SIG Lite enthalten Fragen, die zur Erstellung mehrerer Fragebögen zu Risiken durch Dritte für Anbieter und Lieferanten verwendet werden können. Durch die Verwendung umfangreicherer Fragebögen für Anbieter mit hohem Risiko und weniger umfangreicher Bewertungen für Anbieter mit geringem Risiko können Sie den Prozess erheblich rationalisieren und sich auf die wichtigsten Risiken durch Dritte konzentrieren.

Wie Mitratech hilft

Sind Sie bereit, SIG in die Praxis umzusetzen? Mitratech kann Ihnen dabei helfen. Wir lizenzieren sowohl die SIG Core- als auch die SIG Lite-Fragebögen in unserer Lösung für das Risikomanagement von Drittanbietern und unterstützen Sie dabei:

• Automatisieren Sie die Erfassung und Analyse von SIG-Fragebogenantworten und Belegen mit einer einzigen Lösung.
• Vereinfachen Sie die Berichterstattung zu regulatorischen und sicherheitsrelevanten Rahmenbedingungen durch zusätzliche integrierte Kontrollzuordnungen.
• Erhalten Sie einen besseren Überblick über Lieferantenrisiken dank Analysen und Berichten auf Basis von maschinellem Lernen.
• Proaktive Risikominderung durch Zugriff auf zentralisierte Abhilfemaßnahmen.
• Stellen Sie Ihrem Team einen zuverlässigen Zugriff auf die neueste Version des SIG-Fragebogens zur Verfügung.
• Ergänzen und validieren Sie die Antworten auf den SIG-Fragebogen durch kontinuierliche Überwachung von Cyber-, Geschäfts-, Reputations-, ESG- und Finanzrisiken.

Fordern Sie eine Demo an, um mehr über unsere Lösungen zur Automatisierung Ihrer SIG-Bewertungen zu erfahren.

Anmerkung der Redaktion: Dieser Beitrag wurde ursprünglich auf Prevalent.net veröffentlicht. Im Oktober 2024 übernahm Mitratech das KI-gestützte Risikomanagement für Dritte, Prevalent. Der Inhalt wurde seitdem aktualisiert und enthält nun Informationen, die auf unser Produktangebot, regulatorische Änderungen und Compliance abgestimmt sind.