SIG 2022 : quelles sont les nouveautés et comment en profiter ?

Les mises à jour du questionnaire standard de collecte d'informations (SIG) comprennent des questions simplifiées, des mappages de contrôle supplémentaires et de nouvelles catégories.
Par :
Thomas Humphreys
,
Prevalent Expert en conformité
01 décembre 2021
Partager :
Blog sig 2022 mises à jour 1221

Note de la rédaction : Voici un lien vers notre article sur la mise à jour de SIG 2023.

Le questionnaire Standard Information Gathering (SIG) est une évaluation des risques réalisée par une tierce partie, Shared Assessments. Disponible en versions Core et Lite, le SIG permet aux organisations d'exploiter une bibliothèque standard de questions validées qui mesurent le risque dans 18 domaines. En associant chaque question à de multiples contrôles et exigences réglementaires, il permet aux organisations de simplifier et de standardiser leurs initiatives de gestion des risques liés aux tiers et de conformité.

Shared Assessments effectue des révisions annuelles du questionnaire SIG afin de déterminer si des changements sont nécessaires pour combler les lacunes et améliorer les contrôles existants. Ce post passe en revue la mise à jour 2022 de SIG et explore comment vous pouvez mettre cette évaluation de pointe au service de votre organisation.

Mises à jour de SIG 2022

Les mises à jour du questionnaire SIG 2022 sont organisées en trois catégories :

  1. Mise à jour, réorganisation et réduction des séries de questions SIG Core et SIG Lite.
  2. Normes et cartographies réglementaires nouvelles et mises à jour, dont quatre nouvelles cartographies et 13 mises à jour
  3. Plus de 30 nouvelles catégories et mises à jour de domaines

SIG Lite et SIG Core : Quelle est la différence ? Quelles sont les nouveautés ?

Tout d'abord, voyons comment les séries de questions ont changé. Shared Assessments propose deux versions de son évaluation SIG : SIG Lite et SIG Core.

Le questionnaire SIG Lite est conçu pour fournir une compréhension large et de haut niveau des contrôles internes de sécurité de l'information d'un tiers, offrant un niveau de base de diligence raisonnable d'évaluation. Avec 150 questions, le SIG Lite peut être utilisé comme une évaluation préliminaire avant d'effectuer une évaluation plus détaillée.

Les mises à jour pour le SIG Lite 2022 incluent :

  • Les questions sont regroupées par thème, ce qui facilite la compréhension des contrôles par les utilisateurs.
  • Réduction de 50% du nombre de questions et introduction de questions plus ciblées
  • Amélioration de l'étagement en mettant des questionnaires prêts à l'emploi à la disposition des praticiens.

Le questionnaire SIG Core est plus détaillé et conçu pour évaluer les tiers ou les fournisseurs qui stockent ou gèrent des données sensibles et réglementées, fournissant un niveau de compréhension approfondi de la manière dont un tiers sécurise les informations. SIG Core comprend 825 questions ciblant 18 domaines de risque. Le SIG Core comprend une bibliothèque de questions que les équipes de sécurité peuvent choisir avec leurs fournisseurs et comprend un langage étendu sur la vie privée et les règlements de conformité.

Les mises à jour pour le SIG Core 2022 comprennent :

  • Les questions sont regroupées par thème, ce qui facilite la compréhension des contrôles par les utilisateurs.
  • Réduction de 25 % du nombre de questions et introduction de questions plus axées sur le contrôle.
  • Amélioration de l'étagement en mettant des questionnaires prêts à l'emploi à la disposition des praticiens.

Cartographies des contrôles réglementaires nouvelles et mises à jour

Une deuxième grande catégorie de mises à jour SIG concerne les cartographies de contrôle réglementaires. Shared Assessments se tient au courant des réglementations, directives et normes d'un large éventail d'industries et a intégré 1 600 points de contrôle provenant de :

  • NIST 800-53 (Rev.5) Contrôles de sécurité et de confidentialité pour les systèmes d'information et les organisations.
  • Directives du DOJ de juin 2020 sur l'évaluation des programmes de conformité des entreprises pour les sociétés américaines cotées en bourse.
  • Questionnaire de l'initiative d'évaluation consensuelle (CAIQ) v3.1 et matrice des contrôles du cloud (CCM) version 4
  • Orientation des systèmes d'automatisation et de contrôle industriels EC-62443
  • Orientations duGDPR sur les clauses contractuelles types (CCS)
  • Lois de l'État sur la protection de la vie privée (Californie, Colorado, Virginie)

Spécifiques au NIST 800-53, les nouveaux questionnaires SIG comprennent des questions sur la gestion des risques de la chaîne d'approvisionnement dans des domaines tels que la gestion des actifs, le développement de systèmes (externalisation), la résilience et la continuité, ainsi que la gestion des menaces et des vulnérabilités.

Liste de contrôle de la conformité des tiers du NIST

La liste de contrôle de conformité des tiers du NIST est un guide de 30 pages qui révèle que les pratiques TPRM correspondent aux recommandations décrites dans les normes NIST SP 800-53, NIST SP 800-161 et NIST CSF.

Lire la suite
Liste de contrôle de conformité NIST 1021

Mises à jour des domaines et des catégories

Le SIG 2022 renomme également quelques domaines de risque afin d'en élargir la portée et de souligner que le risque n'est pas lié à des fonctions ou des rôles spécifiques. Par exemple, la gestion des risques a été rebaptisée gestion des risques de l'entrepriseafin d'englober les risques dans l'ensemble de l'organisation. De même, la résilience des entreprises devient la résilience opérationnelle et la sécurité physique devient la sécurité physique et environnementale.

La mise à jour la plus intéressante du SIG est sans doute l'ajout de catégories nouvelles et ajustées qui amélioreront l'assurance sur des sujets pertinents et d'actualité tels que l'environnement, le social et la gouvernance (ESG ) et les meilleures pratiques de gestion des incidents dans la chaîne d'approvisionnement.

  • Les mises à jour ESG comprennent l'approvisionnement éthique et les codes de conduite, l'esclavage moderne et la gestion des risques environnementaux.
  • La gestion des incidents permet d'élargir la détection et la documentation.
  • La gestion des quatrième et neuvième parties élargit les exigences en matière de gestion des tierces parties pour inclure la chaîne d'approvisionnement au sens large. Les domaines comprennent les exigences contractuelles, les évaluations des risques, la résilience opérationnelle et la gestion des données personnelles.

Comment Prevalent peut vous aider

Vous êtes prêt à mettre en pratique les SIG 2022 ? Prevalent peut vous aider. Nous accordons une licence pour les questionnaires SIG Core et SIG Lite dans notre plateforme de gestion des risques pour les tiers, ce qui vous aidera à.. :

  • Automatiser la collecte et l'analyse des réponses aux questionnaires SIG et des preuves à l'appui avec une seule plateforme.
  • Simplifier les rapports sur les cadres réglementaires et de sécurité grâce à des mappages de contrôle supplémentaires intégrés.
  • Obtenez une meilleure visibilité des risques liés aux fournisseurs grâce aux analyses et aux rapports d'apprentissage automatique.
  • Atténuation proactive des risques grâce à l'accès à des conseils de remédiation centralisés.
  • Fournir à votre équipe un accès fiable à la dernière version du questionnaire SIG
  • Compléter et valider les réponses au questionnaire SIG par une surveillance continue des risques commerciaux, financiers et de réputation sur le site cyber.

En outre, Prevalent utilise le SIG comme contenu normalisé pour le réseau d'échangePrevalent et le réseau de fournisseurs juridiquesPrevalent .

Demandez une démo dès aujourd'hui pour commencer votre voyage TPRM. Ou, pour un examen complet du SIG et de ses améliorations 2022, veuillez visiter Évaluations partagées.

Tags :
Partager :
Thomas humphreys
Thomas Humphreys
Prevalent Expert en conformité
  • Prêt pour une démonstration ?
  • Planifiez une démonstration gratuite et personnalisée de la solution pour voir si Prevalent est fait pour vous.
  • Demander une démo