共享评估标准信息收集(SIG)问卷是一套统一标准,用于评估供应商在多个主题领域的风险。该调查包含两个版本:SIG核心版和SIG精简版,两者在问题数量上存在显著差异,且细节程度各不相同。
SIG核心版是一项全面评估,包含627个问题,覆盖21个风险类别。SIG精简版包含128个问题,通常适用于尽职调查要求较低或非关键性的供应商。(另有完整版SIG——SIG详尽版,包含多达1,936个问题,覆盖范围极为全面。)
Mitratech是这些SIG问卷的授权许可方,并将两者均纳入其主流第三方风险管理解决方案。
2025年SIG更新
尽管未新增风险领域,2025版新增了事件管理与运营韧性相关问题,增加了标准映射数量,并纳入了新的监管事项。
SIG 2025 新问题内容
SIG 2025 扩展了现有的风险领域,尤其在以下方面:
- 信息保障:新增3个问题。
- 网络安全事件管理:5个新问题涵盖事件响应要求及外包事件报告。
- 运营韧性:4个新问题用于评估增强的应急计划要求、数据治理及韧性规划。
SIG 2025 内容映射变更
除在关键管控领域增设问题外,2025版SIG问卷最重要的更新在于新增了与特定合规标准相关的内容。这反映了第三方风险管理的整体演进趋势。新增这些内容映射,正是为了应对企业运营环境日益复杂的现状,以及企业需要向供应商提出相应质询的需求。
2025 SIG 中新增的三项标准映射如下:
- 欧盟《数字运营韧性法案》(DORA),旨在提升欧洲金融业应对网络及信息通信技术威胁的韧性。
- 欧盟《网络与信息安全指令2》(NIS2)是一项旨在提升网络安全水平的立法,其中包含针对第三方采取的措施。
- 美国国家标准与技术研究院(NIST)网络安全框架(CSF)2.0版是一套广受认可的最佳实践与指导方针,已被美国公共和私营部门广泛采用。
运营韧性:DORA
《数字运营韧性法案》(DORA)将于2025年1月全面生效,旨在确保欧洲金融业在遭遇严重运营中断时仍能保持韧性。该法案为金融领域的数字运营韧性建立了监管框架,要求所有企业必须证明其具备抵御、应对并从各类信息通信技术中断及网络威胁中恢复的能力。
该法案为网络和信息系统的安全设定了统一要求。其第五章明确规定了关键第三方服务商的义务,这些服务商为金融服务业提供信息通信技术(ICT)服务,例如云平台或数据分析服务。
根据《数字化运营责任法案》(DORA),机构必须对事件进行分类、建立透明的事件报告机制,并制定结构化的风险管理框架,其中包括对工具、系统和流程的测试。在SIG 2025问卷中,控制项J.11询问机构是否已将事件报告职责外包给第三方服务提供商,以满足DORA第18条要求——该条款规定金融机构须向相关主管机构报告重大信息通信技术相关事件。
供应链安全:NIST CSF 2.0
自2024年发布以来,最新版NIST CSF已成为寻求指导与最佳实践以提升供应链安全和网络安全运营能力的组织的基准。NISTCSF与NIST 800-53紧密契合,后者已深深融入SIG体系。
NIST CSF 2.0新增了治理职能,扩大了法律与合规团队的职责范围,并针对供应链风险提供了更完善的指导。 该治理职能的引入对第三方风险管理尤为重要,它彰显了网络安全治理在管理和降低供应链网络安全风险中的关键作用。专门的治理职能有助于协调整合第三方风险管理、企业风险管理及法律团队在第三方网络安全活动与流程中的工作,因此被纳入最新的SIG 2025问卷体系。
关键行业网络安全:NIS2
鉴于供应链中的漏洞可能危及关键服务的安全性,欧盟于2022年12月通过了《网络与信息安全指令2》(NIS2)。该指令要求各组织实施强有力的措施,以管理和缓解与第三方关系相关的风险。 该指令于2024年10月正式生效。为满足NIS2要求,SIG 2025标准新增了NIS2映射条款,具体包括:
- 建立供应链安全政策。
- 开展风险分析与评估。
- 确保健全的第三方事件处理和报告程序。
- 持续监控和评估第三方。
- 执行第三方合同义务。
例如,SIG 2025 控制 C.11,而 C.12 的增补旨在响应《NIS 指令》第 29 条的要求,该条款规定必须交换与网络威胁、险情、漏洞、技术及程序相关的网络安全信息。
SIG 2025更新对TPRM意味着什么?
2025年SIG问卷新增运营韧性与供应链安全评估指标,彰显了对渗透现代商业环境的网络安全与供应链风险的重视。随着第三方数据泄露事件频发,企业亟需全面掌握网络安全供应链状况。
SIG 2025问卷旨在回应部分关切,同时通过让您了解供应商防控体系中的内置管控措施来消除顾虑。随着全球监管环境的变动,SIG将在未来一年内增加更多内容映射。
Mitratech 如何提供帮助
Mitratech提供SIG Core和SIG Lite问卷,以及800余种基于标准的评估模板,作为Prevalent第三方风险管理解决方案的组成部分。该模板库使Mitratech客户能够共享数据并简化风险问卷流程。
除了这些评估功能外,Prevalent解决方案还集成了流程自动化、报告生成、合规映射以及内置的整改指导,从而优化第三方风险管理流程。第三方风险管理面临的难题之一在于如何解决突发问题。借助Prevalent解决方案的整改指导,问题解决过程不再那么棘手。
最后,Prevalent解决方案还包含持续监控智能功能,助您实时掌握第三方生态系统中的潜在风险。任何第三方风险管理项目经理都几乎不可能独自应对所有可能出现的风险,因此Prevalent解决方案将为您承担这项工作。
下载《SIG 2025权威指南》,深入了解如何在您的交易对手风险管理(TPRM)计划中应用SIG问卷调查;或立即申请演示,探索Prevalent解决方案如何为您的TPRM计划提供强大支持。
编者按 本文最初发表于 Prevalent.net. 2024 年 10 月,Mitratech 收购了人工智能第三方风险管理公司 Prevalent。此后,我们对内容进行了更新,以纳入与我们的产品、监管变化和合规性相一致的信息。
