Note de la rédaction : Voici un lien vers notre article sur la mise à jour de SIG 2023.
Le questionnaire Standard Information Gathering (SIG) est une évaluation des risques réalisée par une tierce partie, Shared Assessments. Disponible en versions Core et Lite, le SIG permet aux organisations d'exploiter une bibliothèque standard de questions validées qui mesurent le risque dans 18 domaines. En associant chaque question à de multiples contrôles et exigences réglementaires, il permet aux organisations de simplifier et de standardiser leurs initiatives de gestion des risques liés aux tiers et de conformité.
Shared Assessments effectue des révisions annuelles du questionnaire SIG afin de déterminer si des changements sont nécessaires pour combler les lacunes et améliorer les contrôles existants. Ce post passe en revue la mise à jour 2022 de SIG et explore comment vous pouvez mettre cette évaluation de pointe au service de votre organisation.
Les mises à jour du questionnaire SIG 2022 sont organisées en trois catégories :
Tout d'abord, voyons comment les séries de questions ont changé. Shared Assessments propose deux versions de son évaluation SIG : SIG Lite et SIG Core.
Le questionnaire SIG Lite est conçu pour fournir une compréhension large et de haut niveau des contrôles internes de sécurité de l'information d'un tiers, offrant un niveau de base de diligence raisonnable d'évaluation. Avec 150 questions, le SIG Lite peut être utilisé comme une évaluation préliminaire avant d'effectuer une évaluation plus détaillée.
Les mises à jour pour le SIG Lite 2022 incluent :
Le questionnaire SIG Core est plus détaillé et conçu pour évaluer les tiers ou les fournisseurs qui stockent ou gèrent des données sensibles et réglementées, fournissant un niveau de compréhension approfondi de la manière dont un tiers sécurise les informations. SIG Core comprend 825 questions ciblant 18 domaines de risque. Le SIG Core comprend une bibliothèque de questions que les équipes de sécurité peuvent choisir avec leurs fournisseurs et comprend un langage étendu sur la vie privée et les règlements de conformité.
Les mises à jour pour le SIG Core 2022 comprennent :
Une deuxième grande catégorie de mises à jour SIG concerne les cartographies de contrôle réglementaires. Shared Assessments se tient au courant des réglementations, directives et normes d'un large éventail d'industries et a intégré 1 600 points de contrôle provenant de :
Spécifiques au NIST 800-53, les nouveaux questionnaires SIG comprennent des questions sur la gestion des risques de la chaîne d'approvisionnement dans des domaines tels que la gestion des actifs, le développement de systèmes (externalisation), la résilience et la continuité, ainsi que la gestion des menaces et des vulnérabilités.
Liste de contrôle de la conformité des tiers du NIST
La liste de contrôle de conformité des tiers du NIST est un guide de 30 pages qui révèle que les pratiques TPRM correspondent aux recommandations décrites dans les normes NIST SP 800-53, NIST SP 800-161 et NIST CSF.
Le SIG 2022 renomme également quelques domaines de risque afin d'en élargir la portée et de souligner que le risque n'est pas lié à des fonctions ou des rôles spécifiques. Par exemple, la gestion des risques a été rebaptisée gestion des risques de l'entrepriseafin d'englober les risques dans l'ensemble de l'organisation. De même, la résilience des entreprises devient la résilience opérationnelle et la sécurité physique devient la sécurité physique et environnementale.
La mise à jour la plus intéressante du SIG est sans doute l'ajout de catégories nouvelles et ajustées qui amélioreront l'assurance sur des sujets pertinents et d'actualité tels que l'environnement, le social et la gouvernance (ESG ) et les meilleures pratiques de gestion des incidents dans la chaîne d'approvisionnement.
Vous êtes prêt à mettre en pratique les SIG 2022 ? Prevalent peut vous aider. Nous accordons une licence pour les questionnaires SIG Core et SIG Lite dans notre plateforme de gestion des risques pour les tiers, ce qui vous aidera à.. :
En outre, Prevalent utilise le SIG comme contenu normalisé pour le réseau d'échangePrevalent et le réseau de fournisseurs juridiquesPrevalent .
Demandez une démo dès aujourd'hui pour commencer votre voyage TPRM. Ou, pour un examen complet du SIG et de ses améliorations 2022, veuillez visiter Évaluations partagées.
Interrogez vos vendeurs et fournisseurs sur leurs processus de gestion des risques de cybersécurité, de gouvernance et de divulgation des...
10/24/2024
La version finale du NIST CSF 2.0 fournit des orientations améliorées en matière de gestion des risques liés à la cybersécurité de la chaîne d'approvisionnement. Vérifier...
09/25/2024
Découvrez comment l'intégration du cadre de protection de la vie privée du NIST à la gestion des risques des tiers (TPRM) permet aux organisations d'améliorer...
09/12/2024