SIG 2022 : Nouveautés et avantages

Les mises à jour du questionnaire standard de collecte d'informations (SIG) comprennent des questions simplifiées, des correspondances de contrôle supplémentaires et de nouvelles catégories.

Personnel de Mitratech 1er décembre 2021 5 minutes de lecture

Note de la rédaction : voici un lien vers notre article sur la mise à jour de SIG 2023.

Le questionnaire Standard Information Gathering (SIG) est une évaluation des risques réalisée par Shared Assessments. Disponible en versions Core et Lite, le SIG permet aux organisations de tirer parti d'une bibliothèque standard de questions approuvées qui mesurent le risque dans 18 domaines. En associant chaque question à de multiples contrôles et exigences réglementaires, il permet aux organisations de simplifier et de normaliser leurs initiatives de gestion des risques et de conformité des tiers.

Shared Assessments procède à des révisions annuelles du questionnaire SIG afin de déterminer si des changements sont nécessaires pour combler les lacunes et améliorer les contrôles existants. Ce billet passe en revue la mise à jour 2022 du SIG et explore comment vous pouvez mettre en œuvre cette évaluation de pointe au sein de votre organisation.

Mises à jour SIG 2022

Les mises à jour du questionnaire SIG 2022 sont classées en trois catégories :

Mise à jour, réorganisation et réduction des séries de questions SIG Core et SIG Lite
Normes et correspondances réglementaires nouvelles et mises à jour, dont quatre nouvelles correspondances et 13 mises à jour
Plus de 30 nouvelles catégories et mises à jour de domaines

SIG Lite vs. SIG Core : Quelle est la différence ? Quelles sont les nouveautés ?

Tout d'abord, voyons comment les séries de questions ont changé. Shared Assessments propose deux versions de son évaluation SIG : SIG Lite et SIG Core.

Le questionnaire SIG Lite est conçu pour fournir une compréhension générale et de haut niveau des contrôles internes de sécurité de l'information d'un tiers, offrant un niveau de base de diligence raisonnable en matière d'évaluation. Avec 150 questions, le SIG Lite peut être utilisé comme évaluation préliminaire avant qu'une évaluation plus détaillée ne soit effectuée.

Les mises à jour de la SIG Lite 2022 sont les suivantes :

Les questions sont regroupées par thème, ce qui facilite la compréhension des contrôles par les utilisateurs.
Réduction de 50 % du nombre de questions et introduction de questions plus ciblées
Amélioration de l'échelonnement en mettant à la disposition des praticiens des questionnaires prêts à l'emploi.

Le questionnaire SIG Core est plus détaillé et conçu pour évaluer les tiers ou les fournisseurs qui stockent ou gèrent des données sensibles et réglementées, ce qui permet de mieux comprendre la manière dont un tiers sécurise les informations. SIG Core comprend 825 questions portant sur 18 domaines de risque. Le SIG Core comprend une bibliothèque de questions que les équipes de sécurité peuvent choisir avec leurs fournisseurs et intègre un langage détaillé sur les réglementations en matière de confidentialité et de conformité.

Les mises à jour du SIG Core 2022 sont les suivantes :

Les questions sont regroupées par thème, ce qui facilite la compréhension des contrôles par les utilisateurs.
Réduction du nombre de questions de 25 % et introduction de questions plus axées sur le contrôle
Amélioration de l'échelonnement en mettant à la disposition des praticiens des questionnaires prêts à l'emploi.

Cartographies des contrôles réglementaires nouvelles et mises à jour

Une deuxième catégorie importante de mises à jour de SIG concerne les cartographies des contrôles réglementaires. Shared Assessments se tient au courant des réglementations, des lignes directrices et des normes pour un large éventail d'industries et a intégré 1 600 points de contrôle provenant de :

NIST 800-53 (Rev.5) Contrôles de sécurité et de confidentialité pour les systèmes d'information et les organisations
DOJ June 2020 Guidance on Evaluation of Corporate Compliance Programs for publicly held U.S. Companies (Directives de juin 2020 du DOJ sur l'évaluation des programmes de conformité des entreprises pour les entreprises américaines cotées en bourse)
Questionnaire de l'initiative d'évaluation consensuelle (CAIQ) v3.1 et matrice des contrôles du cloud (CCM) version 4
Systèmes d'automatisation et de contrôle industriels Orientation EC-62443
Orientations du GDPR sur les clauses contractuelles types (CCN)
Lois nationales sur la protection de la vie privée (Californie, Colorado, Virginie)

En ce qui concerne le NIST 800-53, les nouveaux questionnaires SIG comprennent des questions sur la gestion des risques de la chaîne d'approvisionnement dans des domaines tels que la gestion des actifs, le développement de systèmes (externalisation), la résilience et la continuité, ainsi que la gestion des menaces et des vulnérabilités.

Mises à jour des domaines et des catégories

Le SIG 2022 renomme également quelques domaines de risque afin d'élargir le champ d'application et de souligner que le risque n'est pas lié à des fonctions ou à des rôles spécifiques. Par exemple, la gestion des risques a été renommée gestion des risques de l'entrepriseafin d'englober les risques dans l'ensemble de l'organisation. De même, la résilience de l'entreprise est devenue la résilience opérationnelle, et la sécurité physique est devenue la sécurité physique et environnementale.

La mise à jour la plus intéressante du SIG est sans doute l'ajout de catégories nouvelles et adaptées qui amélioreront l'assurance sur des sujets pertinents et d'actualité tels que les meilleures pratiques en matière d'environnement, de société et de gouvernance (ESG) et de gestion des incidents tout au long de la chaîne d'approvisionnement.

Les mises à jour ESG comprennent l'approvisionnement éthique et les codes de conduite, l'esclavage moderne et la gestion des risques environnementaux.
La gestion des incidents comprend des fonctions de détection et de documentation étendues.
La gestion des quatrième et neuvième parties élargit les exigences en matière de gestion des tiers à l'ensemble de la chaîne d'approvisionnement. Les domaines concernés comprennent les exigences contractuelles, l'évaluation des risques, la résilience opérationnelle et la gestion des données personnelles.

La prévalence de l'aide

Prêt à mettre en pratique la norme SIG 2022 ? Prevalent peut vous aider. Nous proposons des licences pour les questionnaires SIG Core et SIG Lite dans notre plateforme de gestion des risques pour les tiers, ce qui vous aide à.. :

Automatiser la collecte et l'analyse des réponses au questionnaire SIG et des preuves à l'appui grâce à une plateforme unique
Simplifier les rapports sur les cadres réglementaires et de sécurité grâce à des correspondances de contrôle supplémentaires intégrées.
Obtenez une meilleure visibilité sur les risques liés aux fournisseurs grâce à des analyses et des rapports basés sur l'apprentissage automatique.
Atténuer les risques de manière proactive en accédant à des conseils centralisés en matière de remédiation
Fournir à votre équipe un accès fiable à la dernière version du questionnaire SIG
Compléter et valider les réponses au questionnaire SIG par une surveillance continue des risques cybernétiques, commerciaux, financiers et de réputation.

En outre, Prevalent utilise le SIG comme contenu standardisé pour le Prevalent Exchange Network et le Prevalent Legal Vendor Network.

Demandez une démonstration dès aujourd'hui pour commencer votre parcours TPRM. Ou, pour un examen complet du SIG et de ses améliorations pour 2022, veuillez consulter la page Évaluations partagées.

Note de la rédaction : Ce billet a été publié à l'origine sur Prevalent.net. En octobre 2024, Mitratech a acquis l'entreprise Prevalent, spécialisée dans la gestion des risques pour les tiers et dotée d'une intelligence artificielle. Le contenu a depuis été mis à jour pour inclure des informations alignées sur nos offres de produits, les changements réglementaires et la conformité.