Explication du questionnaire standard de collecte d'informations (SIG)

Qu'est-ce que le questionnaire standard de collecte d'informations (SIG) ?

Le questionnaire Standard Information Gathering (SIG) est un questionnaire sur les risques encourus par les tiers, créé par l'organisation Shared Assessments. SIG est disponible en deux versions, Core et Lite, qui fournissent aux organisations des bibliothèques de questions standardisées pour mesurer le risque de tierce partie dans 21 domaines différents. Chaque question est associée à des contrôles de sécurité dans des dizaines de cadres et d'exigences de conformité, ce qui permet de normaliser les risques pour les tiers et d'améliorer le respect des exigences de conformité du TPRM.

SIG Core vs SIG Lite, quelle est la différence ?

Commençons par une explication de base de la différence entre SIG Core et SIG Lite. Les deux référentiels de questions sont largement utilisés par les entreprises en fonction de leurs besoins, de la maturité de leurs programmes de gestion des risques liés aux tiers et des types d'exigences de conformité des tiers qu'elles doivent respecter.

Qu'est-ce que SIG Lite ?

SIG Lite est un questionnaire de risque tiers qui fournit une vue d'ensemble des systèmes de contrôle interne de l'information d'une entreprise, y compris un niveau de base d'évaluation de la diligence raisonnable. Avec 125 questions, SIG Lite peut servir d'évaluation préliminaire avant de procéder à une évaluation plus approfondie. Les questions de SIG Lite peuvent également être utilisées lorsqu'un vendeur ou un fournisseur tiers présente un faible niveau de risque profilé et nécessite moins de diligence que les vendeurs présentant un risque plus élevé.

Qu'est-ce que SIG Core ?

Le questionnaire de base SIG (SIG) est un questionnaire complet sur les risques liés aux tiers, conçu pour évaluer les tiers qui stockent ou conservent des informations sensibles et réglementées. Il permet de mieux comprendre comment un tiers protège les informations en incluant quatre sujets différents et 620 questions couvrant 21 thèmes de risque. SIG Core permet également aux organisations de sélectionner et de personnaliser les questions auxquelles elles souhaitent répondre pour chaque fournisseur. Il comprend également une couverture étendue des exigences légales et des meilleures pratiques liées à la protection des informations personnelles.

Quels sont les 21 domaines de SIG ?

SIG est un questionnaire complet d'évaluation des risques qui comprend des séries de questions définies dans les domaines suivants :

1. Contrôle d'accès
2. Gestion des applications
3. Intelligence artificielle
4. Gestion des actifs et de l'information
5. Services en nuage
6. Gestion de la conformité
7. Gestion des incidents de cybersécurité
8. Sécurité des points d'extrémité
9. Gestion du risque d'entreprise
10. Environnement, social et gouvernance (ESG)
11. Sécurité des ressources humaines
12. Assurance de l'information
13. Gestion des opérations informatiques
14. Sécurité des réseaux
15. Gestion des tiers
16. Résilience opérationnelle
17. Sécurité physique et environnementale
18. Gestion de la vie privée
19. Sécurité du serveur
20. Gestion des risques de la chaîne d'approvisionnement
21. Gestion des menaces

Cas d'utilisation du questionnaire SIG

Le questionnaire standard de collecte d'informations fournit aux organisations un guichet unique pour élaborer leurs évaluations des risques par des tiers et les mettre en correspondance avec les cadres de sécurité et les exigences de conformité applicables.

Améliorer l'évaluation des risques par des tiers

L'évaluation des risques liés aux tiers est au cœur d'un programme efficace de gestion des risques liés aux tiers. Les questionnaires SIG Lite ou SIG Core sont régulièrement mis à jour, ce qui permet aux entreprises d'évaluer les vendeurs, les fournisseurs et les autres tiers en fonction des meilleures pratiques actuelles en matière de sécurité de l'information et de gestion des risques liés aux tiers. N'oubliez pas de consulter notre article sur la mise à jour de SIG 2024.

Faire correspondre les contrôles de sécurité des fournisseurs aux exigences de conformité

La plupart des entreprises doivent se conformer à de nombreuses exigences de conformité et de sécurité publiées par des organismes gouvernementaux et exigées par les clients. Voici quelques exemples de réglementations gouvernementales qui correspondent aux questions SIG :

• NIST SP 800-53
• NIST SP 800-161r1
• NIST AI 100-1
• HIPAA
• GDPR
• Guide interagences sur les relations avec les tiers : Gestion des risques
• CMMC
• CCPA
• FEDRAMP
• Directives de l'ABE sur l'externalisation
• La loi allemande sur la chaîne d'approvisionnement
• Directives sur le climat du DFS de New York

Les réglementations applicables au secteur privé comprennent :

• PCI DSS
• CIS Contrôles de sécurité critiques
• ISO 27001
• ISO 27002
• SOC 2

L'utilisation de SIG Core peut permettre à votre organisation de normaliser une seule évaluation des risques applicable à plusieurs secteurs d'activité et de faire correspondre automatiquement les réponses à plusieurs réglementations et cadres pour répondre aux obligations réglementaires et aux obligations des clients de votre organisation.

Automatiser la collecte de données sur les risques par des tiers

De nombreuses organisations utilisent SIG Core et SIG Lite en conjonction avec une solution de gestion des risques tierce partie dédiée, ce qui permet d'automatiser et d'accélérer la distribution, la collecte, l'analyse et le reporting des évaluations. L'utilisation d'une plateforme TPRM offre de nombreux avantages, notamment :

• Enrichir les réponses au questionnaire SIG avec les résultats d'une surveillance continue de la cybersécurité, des affaires, de la réputation et des finances

• Mise en correspondance des réponses aux questionnaires SIG Core et SIG Lite avec des exigences de conformité, des normes et des cadres supplémentaires.

• Automatisation de la collecte des questionnaires et des rappels aux fournisseurs afin de rationaliser le processus de questionnaire sur le risque fournisseur.

• Simplification des mesures correctives grâce à des conseils intégrés, un flux de travail et des communications avec les fournisseurs.

• Personnalisation des rapports en fonction des parties prenantes ou du cadre réglementaire

• Offrir un dépôt central de documents pour le stockage et l'analyse des preuves.

• Intégration dans des plateformes plus larges de gestion des risques d'entreprise ou dans d'autres applications commerciales

Créer des questionnaires de risque fournisseur à plusieurs niveaux

De nombreuses organisations commencent leur programme de gestion du risque lié aux tiers en élaborant un questionnaire unique sur le risque lié aux fournisseurs qui englobe leur compréhension actuelle de la sécurité de l'information et des exigences de conformité des tiers. Cependant, au fur et à mesure que les organisations mûrissent, elles constatent que l'élaboration de questionnaires fournisseurs à plusieurs niveaux, basés sur le risque inhérent, est beaucoup plus logique pour gérer efficacement le risque tout en maximisant l'efficacité du temps et les taux de réponse des fournisseurs.

SIG Core et SIG Lite contiennent des questions qui peuvent être utilisées pour élaborer plusieurs questionnaires sur les risques liés aux tiers pour différents vendeurs et fournisseurs tiers. L'utilisation de questionnaires plus complets pour les fournisseurs à haut risque, tout en menant des évaluations moins complètes pour les fournisseurs à faible risque, peut considérablement rationaliser le processus et vous permettre de vous concentrer sur la gestion des risques les plus importants pour les tiers.