编者注:以下是我们关于SIG 2023更新的文章链接。
标准信息收集(SIG)问卷是由共享评估机构(Shared Assessments)策划的第三方风险评估工具。该问卷提供核心版和精简版两种版本,使组织能够利用经过行业验证的标准问题库,对18个领域的风险进行量化评估。通过将每个问题映射至多项控制措施和监管要求,该工具帮助组织简化并标准化其第三方风险管理与合规工作。
共享评估机构每年对SIG问卷进行审查,以确定是否需要调整内容以弥补不足并强化现有管控措施。本文将回顾2022年SIG更新内容,并探讨如何将这项行业领先的评估工具应用于贵机构。
SIG 2022 更新
SIG 2022 问卷更新内容分为三类:
- 更新、重新排序并精简的SIG核心与SIG精简版问题集
- 新增及更新的标准与法规映射,包括四项新增映射和十三项更新映射
- 新增30余个分类及域名更新
SIG Lite 与 SIG Core:有何不同?有何新意?
首先,让我们看看试题库发生了哪些变化。共享评估机构提供了两种版本的SIG评估:SIG Lite和SIG Core。
SIG Lite问卷旨在提供对第三方内部信息安全控制措施的广泛且高层次的理解,为尽职调查提供基础层面的评估。该问卷包含150个问题,可在进行更详细评估前作为初步评估工具使用。
SIG Lite 2022 的更新内容包括:
- 按主题分组的问题,让用户更容易理解控件
- 将问题数量减少50%,并引入更具针对性的问题
- 通过向从业者提供开箱即用的问卷,实现分层管理功能的增强
SIG核心问卷更为详尽,旨在评估存储或管理敏感受监管数据的第三方或供应商,深入了解其信息安全保障措施。该问卷包含825个问题,覆盖18个风险领域。SIG核心问卷内置问题库,安全团队可与供应商共同筛选选用,并融入大量隐私与合规法规相关条款。
SIG Core 2022 的更新内容包括:
- 按主题分组的问题,让用户更容易理解控件
- 减少了25%的题目数量,并增加了更多以控制为重点的题目。
- 通过向从业者提供开箱即用的问卷,实现分层管理功能的增强
新增及更新的监管控制映射
SIG更新的第二大类涉及监管控制映射。共享评估持续追踪各行业的法规、指南及标准,已整合来自以下来源的1,600个控制点:
- NIST 800-53(第5版)信息系统与组织的安全与隐私控制措施
- 美国司法部2020年6月关于评估美国上市公司合规计划的指导意见
- 共识评估计划问卷(CAIQ)v3.1 及云控制矩阵(CCM)第4版
- 工业自动化与控制系统指南 EC-62443
- 《通用数据保护条例》关于标准合同条款的指导意见
- 州隐私法(加利福尼亚州、科罗拉多州、弗吉尼亚州)
针对NIST 800-53标准,新版SIG问卷新增了供应链风险管理相关问题,涵盖资产管理、系统开发(外包)、弹性与连续性,以及威胁与漏洞管理等领域。
域名与类别更新
SIG 2022 还重新命名了若干风险领域,以扩大其范围并强调风险并非与特定职能或角色绑定。例如,"风险管理"已更名为"企业风险管理",从而涵盖整个组织的风险。同样,"业务韧性"现为"运营韧性","物理安全"则更名为"物理与环境安全"。
SIG最令人振奋的更新或许在于新增及调整了若干类别,这些调整将提升对相关及时议题的保障力度,例如环境、社会与治理(ESG)议题,以及贯穿整个供应链的事件管理最佳实践。
- ESG更新内容涵盖道德采购与行为准则、现代奴役问题及环境风险管理。
- 事件管理功能扩展了检测和记录范围。
- 第四方与第N方管理将第三方管理要求扩展至更广泛的供应链领域。涵盖范围包括合同要求、风险评估、运营韧性及个人数据管理。
普遍存在的帮助
准备将SIG 2022付诸实践了吗?Prevalent可助您一臂之力。我们在第三方风险管理平台中提供SIG核心问卷和SIG精简问卷的授权服务,助您:
- 利用单一平台自动收集和分析 SIG 问卷答案和辅助证据
- 利用额外的内置控制映射简化监管和安全框架报告
- 通过机器学习分析和报告,提高供应商风险的可见性
- 通过访问集中式修复指导,主动降低风险
- 让您的团队能够可靠地访问 SIG 问卷的最新版本
- 通过持续的网络、业务、声誉和财务风险监控,补充和验证 SIG 调查问卷的答复
此外,Prevalent将SIG作为标准化内容应用于Prevalent交换网络和Prevalent法律供应商网络。
立即申请演示,开启您的TPRM之旅。若需全面了解SIG及其2022年增强功能,请访问Shared Assessments。
编者按 本文最初发表于 Prevalent.net. 2024 年 10 月,Mitratech 收购了人工智能第三方风险管理公司 Prevalent。此后,我们对内容进行了更新,以纳入与我们的产品、监管变化和合规性相一致的信息。
