Le questionnaire Standard Information Gathering (SIG) est un questionnaire sur les risques encourus par les tiers, créé par l'organisation Shared Assessments. SIG est disponible dans les versions Core, Lite et Detail, qui équipent les organisations de bibliothèques de questions standardisées pour mesurer le risque de tiers dans 21 domaines différents. Chaque question est associée à des contrôles de sécurité dans des dizaines de cadres et d'exigences de conformité, ce qui permet de normaliser les risques pour les tiers et d'améliorer le respect des principales exigences de conformité du TPRM.
Commençons par une explication de base de la différence entre SIG Core et SIG Lite. Les entreprises utilisent largement les deux référentiels de questions en fonction de leurs besoins, de la maturité de leurs programmes de gestion des risques des tiers et des types d'exigences de conformité des tiers qu'elles sont censées respecter.
SIG Lite est un questionnaire de risque tiers qui fournit une vue d'ensemble des systèmes de contrôle interne de l'information d'une entreprise, y compris un niveau de base d'évaluation de la diligence raisonnable. Avec 128 questions, SIG Lite peut servir d'évaluation préliminaire avant de procéder à une évaluation plus approfondie. Les questions de SIG Lite peuvent également être utilisées lorsqu'un vendeur ou un fournisseur tiers présente un faible niveau de risque profilé et nécessite moins de diligence que les vendeurs présentant un risque plus élevé.
Le questionnaire de base SIG (SIG) est un questionnaire complet sur les risques liés aux tiers, conçu pour évaluer les tiers qui stockent ou conservent des informations sensibles et réglementées. Il permet de mieux comprendre comment un tiers protège les informations en incluant quatre sujets et 627 questions couvrant 21 thèmes de risque. SIG Core permet également aux organisations de sélectionner et de personnaliser les questions auxquelles elles souhaitent répondre pour chaque fournisseur. Il comprend également une couverture étendue des exigences légales et des meilleures pratiques en matière de protection des informations personnelles.
SIG est un questionnaire complet d'évaluation des risques qui comprend des séries de questions définies dans les domaines suivants :
Le questionnaire standard de collecte d'informations offre aux organisations un guichet unique pour l'élaboration de leurs évaluations des risques des tiers et leur mise en correspondance avec les cadres de sécurité et les exigences de conformité applicables.
L'évaluation des risques liés aux tiers est au cœur d'un programme efficace de gestion des risques liés aux tiers. Les questionnaires SIG Lite ou SIG Core sont régulièrement mis à jour, ce qui permet aux entreprises d'évaluer les vendeurs, les fournisseurs et les autres tiers en fonction des meilleures pratiques actuelles en matière de sécurité de l'information et de gestion des risques liés aux tiers.
La plupart des entreprises doivent se conformer à de nombreuses exigences de conformité et de sécurité publiées par des organismes gouvernementaux et exigées par les clients. Voici quelques exemples de réglementations gouvernementales qui correspondent aux questions SIG :
Les réglementations applicables au secteur privé comprennent :
L'utilisation de SIG Core peut permettre à votre organisation de standardiser une évaluation unique des risques applicable à plusieurs secteurs et de faire correspondre automatiquement les réponses à plusieurs réglementations et cadres afin de répondre aux obligations réglementaires et aux obligations des clients de votre organisation.
De nombreuses organisations utilisent SIG Core et SIG Lite en conjonction avec une solution dédiée de gestion des risques par des tiers, qui automatise et accélère la distribution, la collecte, l'analyse et le reporting des évaluations. L'utilisation d'une solution TPRM offre de nombreux avantages, notamment
De nombreuses organisations commencent leur programme de gestion des risques liés aux tiers en élaborant un questionnaire unique sur les risques liés aux fournisseurs qui englobe leur compréhension actuelle des exigences en matière de sécurité de l'information et de conformité des tiers. Cependant, au fur et à mesure que les organisations gagnent en maturité, nombre d'entre elles constatent que l'élaboration de questionnaires à plusieurs niveaux, basés sur le risque inhérent, est bien plus judicieuse pour gérer efficacement le risque tout en optimisant le temps et les taux de réponse des fournisseurs.
SIG Core et SIG Lite contiennent des questions qui peuvent être utilisées pour élaborer plusieurs questionnaires sur les risques liés aux tiers pour les vendeurs et les fournisseurs. L'utilisation de questionnaires plus complets pour les fournisseurs à haut risque et d'évaluations moins approfondies pour les fournisseurs à faible risque peut considérablement rationaliser le processus et vous permettre de vous concentrer sur la gestion des risques les plus importants pour les tiers.
Collecte d'informations standard (SIG) 2025 : Le guide définitif
Découvrez comment les changements clés de SIG 2025 peuvent influencer votre processus d'évaluation des risques liés aux fournisseurs.
Vous êtes prêt à mettre le SIG en pratique ? Prevalent peut vous aider. Nous proposons des licences pour les questionnaires SIG Core et SIG Lite dans notre solution de gestion des risques pour les tiers, ce qui vous aide à :
En outre, Mitratech utilise le SIG comme contenu normalisé pour le réseau d'échangePrevalent et le réseau de fournisseurs juridiquesPrevalent .
Demandez une démo pour en savoir plus sur nos solutions pour automatiser vos évaluations SIG.
Découvrez les principaux changements apportés au questionnaire standard de collecte d'informations (SIG) pour 2025 et apprenez ce qu'ils...
12/16/2024
Tirez parti de ces bonnes pratiques pour répondre aux exigences du NIS2 en matière de gestion des risques pour les tiers.
12/03/2024
Interrogez vos vendeurs et fournisseurs sur leurs processus de gestion des risques de cybersécurité, de gouvernance et de divulgation des...
10/24/2024