标准信息采集 (SIG) 问卷解释

了解SIG Core和SIG Lite评估工具,以及如何运用它们来优化您的第三方风险管理计划。

托马斯-汉弗莱斯 2月26,2026 5 分钟阅读
Mitratech 治理、风险与合规解决方案

什么是标准信息收集(SIG)问卷?

标准信息收集(SIG)问卷是由共享评估会员组织创建的第三方风险评估问卷。SIG提供核心版、精简版和详尽版三种版本,为企业配备行业标准的精选问题库,用于衡量21个不同领域的第三方风险。每个问题均与数十个框架和合规要求中的安全控制措施相对应,从而实现第三方风险管理的标准化,并提升对核心TPRM合规要求的遵循程度。

SIG Core 与 SIG Lite 有何区别?

让我们先从SIG Core与SIG Lite的基本区别说起。企业组织会根据自身需求、第三方风险管理计划的成熟度以及需满足的第三方合规要求类型,广泛使用这两类问题库。

什么是SIG Lite?

SIG Lite是一款第三方风险问卷,可提供企业内部信息控制系统的概览,包含基础层级的尽职调查评估。该问卷包含133个问题,可在开展更全面评估前作为初步评估工具。当第三方供应商或供货商的风险评级较低,且所需尽职调查程度低于高风险供应商时,亦可使用SIG Lite问卷。

什么是SIG核心?

SIG核心问卷(SIG)是一份全面的第三方风险评估问卷,旨在评估存储或维护敏感受监管信息的第三方机构。该问卷通过涵盖21个风险主题的四个核心领域及810个问题,深入剖析第三方机构的信息保护措施。SIG核心问卷还允许组织针对每个供应商选择并定制所需回答的问题,同时全面涵盖个人信息保护的法律要求与最佳实践。

SIG的21个领域是什么?

SIG是一份综合性风险评估问卷,包含以下领域中定义明确的问题集:

  1. 访问控制
  2. 应用程序管理
  3. 人工智能
  4. 资产与信息管理
  5. 云服务
  6. 合规管理
  7. 网络安全事件管理
  8. 终端安全
  9. 企业风险管理
  10. 环境、社会和治理(ESG)
  11. 人力资源安全
  12. 信息保障
  13. IT运维管理
  14. 网络安全
  15. N方管理
  16. 业务复原力
  17. 物理与环境安全
  18. 隐私管理
  19. 服务器安全
  20. 供应链风险管理
  21. 威胁管理

SIG问卷调查使用案例

标准信息收集问卷为组织机构提供了一站式解决方案,用于构建第三方风险评估体系,并将其映射至适用的安全框架和合规要求。

加强第三方风险评估

第三方风险评估是有效第三方风险管理计划的核心。SIG Lite或SIG Core问卷会定期更新,使企业能够依据最新的信息安全及第三方风险管理最佳实践,对供应商、供货商及其他第三方进行评估。

将供应商安全控制措施映射至合规要求

大多数企业组织必须遵守政府机构发布且客户要求的众多合规与安全规范。以下列举若干与SIG问题相对应的政府法规示例:

  • NIST CSF 2.0(2025年新增)
  • 美国国家标准与技术研究院特别出版物800-53
  • 美国国家标准与技术研究院特别出版物800-161r1
  • 美国国家标准与技术研究院人工智能100-1
  • HIPAA
  • DORA(2025年全新推出)
  • NIS2(2025年全新推出)
  • GDPR
  • 跨机构第三方关系指导:风险管理
  • CMMC
  • CCPA
  • 联邦云计算风险管理计划
  • 欧洲律师协会外包指南
  • 《德国供应链法》
  • 纽约州金融服务部气候指导意见

适用的私营部门法规包括:

  • PCI DSS
  • CIS关键安全控制措施
  • ISO 27001
  • ISO 27002
  • SOC 2

使用SIG Core可使您的组织实现单一风险评估的标准化,该评估适用于多个行业,并能自动将答案映射到多项法规和框架中,从而满足您组织的合规要求及客户义务。

自动化第三方风险数据收集

许多组织将SIG Core和SIG Lite与专用的第三方风险管理解决方案结合使用,该方案可自动化并加速评估的分发、收集、分析和报告流程。采用第三方风险管理解决方案具有诸多优势,包括:

  • 通过持续的网络安全、业务、声誉及财务监测结果,丰富SIG问卷调查的回答内容
  • 将SIG Core和SIG Lite问卷调查的回答映射至额外的合规要求、标准和框架
  • 自动化问卷收集与供应商提醒机制,以优化供应商风险问卷流程
  • 通过内置指导、工作流和供应商沟通简化修复流程
  • 根据利益相关方或监管框架定制报告
  • 提供一个中央文档存储库,用于存储和分析支持性证据
  • 集成到更广泛的企业风险管理平台或其他业务应用程序中

创建分层供应商风险调查问卷

许多组织启动第三方风险管理计划时,首先会制定一份涵盖其当前对第三方信息安全与合规要求认知的统一供应商风险问卷。然而随着组织发展成熟,众多企业发现:基于固有风险构建分层供应商问卷,不仅能更有效地管理风险,更能显著提升时间效率并提高供应商响应率。

SIG Core和SIG Lite均包含可用于构建供应商和供货商第三方风险问卷的问题库。对高风险供应商采用更详尽的问卷,而对低风险供应商实施简化评估,能显著优化流程,使您能够集中精力应对最关键的第三方风险。

Mitratech如何提供帮助

准备好将SIG付诸实践了吗?Mitratech可助您一臂之力。我们在第三方风险管理解决方案中同时提供SIG Core和SIG Lite问卷的授权许可,助您实现:

  • 通过单一解决方案,实现SIG问卷答复及佐证材料的自动化收集与分析。
  • 通过内置的额外控制映射,简化监管与安全框架的报告流程。
  • 通过机器学习分析和报告,提升对供应商风险的可视性。
  • 通过获取集中化的补救指导,主动降低风险。
  • 为您的团队提供可靠途径,以便获取SIG问卷的最新版本。
  • 通过持续监测网络安全风险、业务风险、声誉风险、ESG风险及财务风险,对SIG问卷调查的反馈进行补充与验证。

申请演示,深入了解我们为自动化SIG评估提供的解决方案。

编者按:本文最初发表于Prevalent.net。2024 年 10 月,Mitratech 收购了人工智能第三方风险管理公司 Prevalent。此后,我们对内容进行了更新,以纳入与我们的产品、监管变化和合规性相一致的信息。

授权。自动化。提升。三ratech

©2026 Mitratech, Inc. 保留所有权利。

授权。自动化。提升。三ratech

©2026 Mitratech, Inc. 保留所有权利。