SIG 2023:最新更新中的新功能

了解标准信息收集(SIG)问卷的关键变更,并学习如何将其应用于第三方风险评估。

Mitratech 员工
Mitratech 员工 11月30,2022 6 分钟阅读

标准信息收集问卷由第三方风险管理团队用于开展标准化供应商风险评估。该问卷可直接使用,也可作为更广泛的第三方风险管理(TPRM)计划的一部分加以运用。本文将探讨2023年SIG问卷的关键更新内容,以及如何将其应用于供应商风险评估流程。

什么是SIG?

标准信息收集(SIG)问卷
是由共享评估机构(Shared Assessments) 策划的第三方风险评估工具 。SIG提供多种版本,包括SIG核心版、SIG精简版及定制版本。企业通过SIG问卷在19个领域评估第三方风险,每个问题均对应多项合规与监管要求。SIG覆盖范围广泛,涵盖信息安全、网络安全、隐私保护及ESG等多个领域。

共享评估机构每年对SIG问卷进行审查与更新。这些更新通常包含根据当前运营标准、社会变迁以及特定行业与领域的进展,对问题、领域及主题类别进行的增补与调整。

SIG涵盖哪些领域?

当前版本的SIG在以下19个控制领域(亦称"领域")中评估风险:

  1. 访问控制
  2. 应用程序安全
  3. 资产与信息管理
  4. 云托管服务
  5. 合规管理
  6. 网络安全事件管理
  7. 终端安全
  8. 企业风险管理
  9. 环境、社会和治理(ESG)
  10. 人力资源安全
  11. 信息保障
  12. IT运维管理
  13. 网络安全
  14. N方管理
  15. 业务复原力
  16. 物理与环境安全
  17. 隐私管理
  18. 服务器安全
  19. 威胁管理

SIG 2023的主要新增内容包括全新的ESG领域和N方管理领域。同时,安全策略领域已被移除,其内容已分别迁移至N方管理领域和信息保障领域。具体细节将在下文详述。

2023年SIG关键变更

SIG 2023新增ESG领域

SIG 2023的最大变化在于新增了环境、社会与治理(ESG)领域。随着多项新法规的出台——例如欧盟《企业可持续发展尽职调查指令》草案和德国《供应链尽职调查法》——ESG合规的重要性日益凸显。SIG核心2023更新版纳入了131个涉及环境、社会及治理实践的问项。

相较于SIG 2022,SIG 2023对ESG领域的具体议题进行了更深入的探讨。例如,SIG 2022包含诸如"贵公司是否已实施ESG计划?"这类宏观层面的问题,而SIG 2023则聚焦于以下几大类别的具体ESG议题:

环境

  • 环境政策
  • 环境管理
  • 空气污染
  • 废物管理
  • 监管合规
  • 气候变化
  • 自然资源管理

社交

  • 人权:现代奴隶制、最低工资
  • 工人健康与安全:职业健康与安全管理局政策
  • 社区参与
  • 消费者安全:法规遵从(FDA)

管理

  • 董事会架构:绩效监控
  • 道德与行为准则:多元与包容,道德采购
  • 供应链管理:ESG风险评估、行为准则
  • ESG管理实践:ESG风险登记册、服务水平协议及目标
  • 数据隐私与安全

新型N方管理领域应对第四方风险

N方管理是SIG 2023的另一个新领域。该主题此前作为企业风险管理领域的一部分进行涵盖。

诸多因素将数据风险的加剧与第四方联系起来。例如,威胁行为者常以技术供应商为攻击目标,进而对供应商的业务合作伙伴及其客户发起勒索软件攻击。去年Kaseya平台遭入侵事件便是典型案例——该攻击针对的是托管服务提供商向客户交付服务时广泛使用的平台。

此外,随着企业间联系日益紧密,个人身份信息、个人健康信息、知识产权及其他敏感数据可能流向原始数据所有者或管理方所不知的第四方乃至第N方。在此背景下,将第四方与第N方风险从企业风险管理范畴中区分开来具有重要意义。第N方管理范畴涵盖以下类别:

  • 政策、标准和程序
  • 高管赞助
  • 合同与协议
  • 库存与资产
  • 董事会及委员会监督
  • 事件与违规管理
  • 尽职调查
  • 风险评估
  • 背景与筛选
  • 通知与问题管理

SIG 2023 新增类别

SIG 2023的另一项重大变革是新增了若干类别。该指南将每个领域细分为多个类别,旨在为不同控制措施的集合增添深度与聚焦点。通过新增类别,SIG 2023更深入地探讨具体议题,使企业能够更便捷地关注其最关切的风险类型。 例如,相较于沿用SIG 2022的"事件管理"类别,新版将该领域细分为"事件处置"与"事件处置经验总结"两大子类别。

对管理和治理的重视程度日益提高

SIG 2023更新体现了对信息安全管理与治理的 重视程度提升,相较于 具体隐私、安全及合规控制类别。从表面层面来看,可参考部分域名变更与更新内容:

  • 安全政策*已被 替换为第三方管理
  • 组织安全已被 信息保障所取代
  • 合规与运营风险已被 合规管理取代
  • 隐私被替换为隐私管理

*安全政策领域下的大多数问题已被移至第三方管理或信息保障领域。

这一转变的另一个明显例证是新增的ESG领域,它反映出组织更广泛的商业政策与其风险暴露之间的关联性日益增强。 值得注意的是,SIG 2023更新版在19个评估领域中均新增了管理治理政策相关问题。这些更新旨在突破单纯验证供应商是否建立特定管控措施的局限,通过更广泛的提问维度——例如供应商如何追踪和管理新法规——实现深度评估。

开展SIG评估的后续步骤

从不断演变的网络安全风险和地缘政治动荡,到供应链中断和日益严格的ESG审查,您的第三方合作伙伴始终处于瞬息万变的风险环境中,这些风险可能对您的业务产生切实影响。正因如此,标准信息收集问卷已成为众多第三方风险管理计划的关键工具。

Prevalent作为第三方风险管理平台的核心组件,提供SIG Core和SIG Lite问卷模板,同时涵盖750余种基于行业标准的评估模板。客户可通过我们的平台实现第三方评估自动化与高效化,整合评估结果与持续监控情报,并获取针对性指导以高效化解风险。立即申请演示,探索Prevalent如何为您的第三方风险管理计划赋能。

编者按 本文最初发表于 Prevalent.net. 2024 年 10 月,Mitratech 收购了人工智能第三方风险管理公司 Prevalent。此后,我们对内容进行了更新,以纳入与我们的产品、监管变化和合规性相一致的信息。
授权。自动化。提升。三ratech

©2026 Mitratech, Inc. 保留所有权利。

授权。自动化。提升。三ratech

©2026 Mitratech, Inc. 保留所有权利。