• blogangle-right
  • Wie man SIG-Fragebögen für ein besseres Drittanbieter-Risikomanagement verwendet

Table of Contents

Wie man SIG-Fragebögen für ein besseres Drittanbieter-Risikomanagement verwendet

  • December 05, 2023

Seit 2021 haben 82 % der Organisationen mindestens eine Datenverletzung durch Dritte erlebt, die im Durchschnitt 7,5 Millionen Dollar zur Behebung kosten. Angesichts dieses Risikos glauben 80 % der Organisationen, dass die ordnungsgemäße Bewertung von Drittanbietern von entscheidender Bedeutung ist. Allerdings glauben 60 % der Organisationen, dass sie bei der Überprüfung von Drittanbietern nur teilweise oder gar nicht effektiv sind.

Da Organisationen zunehmend auf externe Dienstleister für wichtige Prozesse und Operationen angewiesen sind, ist es von entscheidender Bedeutung, dass diese Partner strengen Sicherheits- und Compliance-Standards entsprechen. Hier kommen Standardisierte Informationssammlungs (SIG)-Fragebögen ins Spiel.

In diesem Artikel erfahren Sie alles, was Sie wissen müssen, um mit dem Standardisierten Informationssammlung-Fragebogen (SIG) zu beginnen, einschließlich seiner Typen, Vor- und Nachteile, wie man sie zur Verwaltung von Drittanbieterrisiken verwendet und Tipps zur Automatisierung dieser umfangreichen Fragebögen.

Was ist der Shared Assessments Standardisierte Informationssammlung (SIG)-Fragebogen?

Der SIG-Fragebogen ist die Kurzform für standardisierter Informationssammlungsfragebogen.

Der SIG wurde von Shared Assessments entwickelt, einer Mitgliedsorganisation, die sich der Standardisierung und Vereinfachung des Lieferantenrisikobewertungsprozesses in verschiedenen Branchen widmet. Ihr Ziel ist es, Werkzeuge bereitzustellen, mit denen Organisationen die mit Outsourcing verbundenen Risiken effektiver managen können.

Der SIG-Fragebogen ist für zahlende Abonnenten und aktuelle Shared Assessments-Mitglieder verfügbar. Er wird jährlich aktualisiert, um neue Industriestandards zu berücksichtigen und Veränderungen in der Cybersicherheitslandschaft Rechnung zu tragen.

SIG-Fragebögen werden häufig verwendet für:

  1. Lieferantenbewertung: SIG-Fragebögen werden verwendet, um die Risikokontrollen von Drittanbietern zu bewerten. Die Verwendung eines standardisierten Fragebogens wie dem SIG hilft Organisationen, alle relevanten Risikobereiche abzudecken.
  2. Selbstbewertungen: Organisationen können den SIG verwenden, um ihre eigenen internen Cybersecurity- und Risikomanagementkontrollen zu bewerten.
  3. Grundlage für maßgeschneiderte Fragebögen: Einige Organisationen können den SIG als Ausgangspunkt verwenden und dann an ihre spezifischen Bedürfnisse und Sicherheitsrisiken anpassen.

SIG Core vs SIG Lite Fragebogen

Es gibt zwei Versionen des SIG-Fragebogens, die auf dem erforderlichen Bewertungsniveau basieren: den SIG Core und den SIG Lite. Der Hauptunterschied besteht in ihrer Länge und der Detailtiefe der Informationen, die sie abdecken.

SIG Core:

  • Umfang und Detail: Der SIG Core ist ein umfassender Fragebogen, der in der Regel eine Bibliothek von 19 Risikobereichen abdeckt. Er ist für eingehende Bewertungen zu Themen wie Informationssicherheit, Cybersicherheit, Datenschutz, Geschäftskontinuität und anderen Bereichen des betrieblichen Risikos konzipiert.
  • Anwendungsfälle: Ideal für detaillierte Bewertungen, insbesondere für Hochrisikolieferanten oder solche, die mit sensiblen Daten oder kritischen Operationen zu tun haben.
  • Länge: Da er umfassender ist, ist der SIG Core viel länger als der SIG Lite (über 850 Fragen). Er geht auf die spezifischen internen Prozesse und Sicherheitskontrollen des Anbieters ein.

SIG Lite:

  • Einfachheit und Effizienz: Der SIG Lite ist eine kürzere, effizientere Version des Due Diligence-Fragebogens. Er konzentriert sich auf wichtige Risikobereiche und ist für schnellere, eher oberflächliche Bewertungen konzipiert.
  • Anwendungsfälle: Geeignet für Bewertungen von Lieferanten mit geringem Risiko oder für Voruntersuchungen. Er wird auch verwendet, wenn eine vollständige SIG Core-Bewertung nicht erforderlich oder praktisch ist, aufgrund von Zeit- oder Ressourcenbeschränkungen.
  • Länge: Mit etwa 125 Fragen ist der SIG Lite kürzer und weniger zeitaufwändig abzuschließen, sowohl für die Organisation, die die Bewertung durchführt, als auch für den Anbieter, der darauf antwortet.

Die Wahl zwischen SIG Core und SIG Lite hängt typischerweise vom spezifischen Risikoprofil des bewerteten Anbieters und der Tiefe der von der bewertenden Organisation benötigten Informationen ab. Der SIG Core ist am besten für kritische oder risikoreiche Anbieterbeziehungen geeignet, während der SIG Lite eher für Erstuntersuchungen oder Szenarien mit geringem Risiko geeignet ist.

5 Vorteile von SIG-Fragebögen für die Risikobewertung von Anbietern

Es gibt eine Vielzahl von standardisierten Sicherheitsfragebögen für Bewertungen von Drittparteienrisiken.

Arten von Sicherheitsfragebögen

Type Purpose
Standard Information Gathering (SIG) Questionnaire Used to assess the cybersecurity, IT, data security, and privacy risks and controls of third-party service providers and vendors.
Vendor Security Alliance (VSA) Questionnaire Created to help organizations understand the potential impact a prospective vendor could have on their security posture.
Cloud Security Alliance (CSA) Consensus Assessments Initiative Questionnaire (CAIQ) Part of the CSA's GRC Stack, the CAIQ is used to assess the security capabilities of cloud service providers.
NIST Cybersecurity Questionnaire Security questionnaires based on NIST's highly respected standards and guidelines.
Center for Internet Security (CIS) Controls Questionnaires Based on the CIS Critical Security Controls, these questionnaires help organizations assess and improve their cybersecurity by focusing on a prioritized set of actions.
ISO 27001 Questionnaires Based on the ISO/IEC 27001 standard, these questionnaires are often used to assess whether a vendor's information security management system (ISMS) satisfies ISO standards.
PCI DSS Questionnaires For organizations handling cardholder data, these questionnaires are used to evaluate PCI DSS compliance.
HIPAA Questionnaires Used to assess compliance with HIPAA requirements for protecting PHI.
Custom Security Questionnaires Many organizations develop their own security questionnaires based on their unique needs, specific industry standards, regulatory requirements, and internal security policies.

Empfohlene Lektüre

Sicherheitsfragebogen: Wie man antwortet und seinen eigenen sendet [+ Kostenlose Vorlage]

Warum sollte eine Organisation also den SIG-Fragebogen gegenüber Alternativen wählen?

Lassen Sie uns die Vor- und Nachteile des SIG aufschlüsseln.

1. SIG-Fragebögen entsprechen den Compliance-Anforderungen

Die Organisation Shared Assessments aktualisiert den SIG-Fragebogen jährlich, um die aktualisierten Compliance-Anforderungen für eine Vielzahl von regulatorischen, sicherheitsbezogenen und branchenbezogenen Standards widerzuspiegeln. Dazu gehören:

(Sie können eine vollständige Liste der abgebildeten Frameworks auf der Shared Assessments-Website finden.)

Durch die Abbildung auf Compliance-Frameworks ermöglicht der SIG-Fragebogen Organisationen die Bewertung der Einhaltung mehrerer Standards und Vorschriften mit einem einzigen Tool. Dies eliminiert die Notwendigkeit mehrerer, separater Bewertungen und spart Zeit und Ressourcen sowohl für die bewertende Organisation als auch für die bewerteten Anbieter oder Drittparteien.

Da sich Vorschriften und Branchenstandards weiterentwickeln, kann ein Tool wie die SIG-Bewertung, das regelmäßig aktualisiert wird und mit mehreren Frameworks übereinstimmt, sicherstellen, dass das Risikomanagementprogramm einer Organisation relevant bleibt und aktuellen Compliance- und Sicherheitsbest Practices entspricht.

2. SIG-Fragebögen bieten eine umfassende Risikobewertung von Anbietern

Die detaillierte Natur des SIG ermöglicht es Organisationen, eine gründliche Bewertung der Sicherheits-, Datenschutz- und Compliance-Praktiken ihrer Anbieter durchzuführen. Dies hilft dabei, potenzielle Schwachstellen und Lücken zu identifizieren, die bei einem weniger umfassenden Bewertungstool möglicherweise nicht offensichtlich sind.

Der SIG Core-Fragebogen umfasst 19 Risikobereiche:

  1. Zugriffskontrolle
  2. Anwendungssicherheit
  3. Asset- und Informationsmanagement
  4. Cloud Hosting Services
  5. Compliance-Management
  6. Management von Cybersecurity-Vorfällen
  7. Endpunktsicherheit
  8. Risikomanagement im Unternehmen
  9. Umwelt, Soziales, Governance (ESG)
  10. Sicherheit der Humanressourcen
  11. Informationssicherheit
  12. IT-Betriebsmanagement
  13. Netzwerksicherheit
  14. Nth Party Management
  15. Betriebliche Widerstandsfähigkeit
  16. Physische und Umweltsicherheit
  17. Datenschutzmanagement
  18. Serversicherheit
  19. Bedrohungsmanagement

Die detaillierten Einblicke, die ein umfassender Fragebogen wie der SIG liefert, ermöglichen es Organisationen, ihre Beziehungen zu Anbietern besser zu verwalten. Durch ein tiefes Verständnis der Praktiken des Anbieters können Organisationen fundiertere Diskussionen führen und gemeinsame Risikomanagement-Bemühungen leiten. Und da Organisationen zunehmend für die Praktiken ihrer Drittanbieter verantwortlich gemacht werden – insbesondere in Bezug auf Datensicherheit und Datenschutz – kann eine gründliche SIG-Bewertung Sorgfaltspflichten nachweisen und potenziell die Haftung im Falle eines Sicherheitsverstoßes oder eines Compliance-Problems des Anbieters verringern.

3. SIG-Fragebögen sind standardisiert

Standardisierung bedeutet, dass alle Anbieter nach denselben Kriterien bewertet werden, was zu gerechteren und konsistenteren Bewertungen führt. Es spart sowohl den bewertenden Organisationen als auch den Anbietern Zeit, da die Organisationen keine einzigartigen Fragebögen für jeden Anbieter oder jede Branche entwickeln müssen. Ebenso werden die Anbieter mit dem Format des Fragebogens vertraut, was bedeutet, dass sie dieselben Antworten für mehrere Kunden verwenden und ihren Antwortprozess optimieren können.

Die Annahme eines standardisierten Fragebogens fördert auch die Umsetzung von Best Practices in verschiedenen Branchen und ermutigt Anbieter, ihre Standards zu erhöhen, um einen weithin anerkannten Benchmark zu erfüllen. Und für kleinere Anbieter oder solche, die neu auf bestimmten Märkten sind, kann der SIG ihnen helfen, eine Reihe von Sicherheits- und Compliance-Best Practices zu verstehen und umzusetzen.

4. SIG-Fragebögen werden regelmäßig aktualisiert

Cybersicherheitsbedrohungen und Technologielandschaften entwickeln sich ständig weiter, und mit ihnen die Vorschriften und Sicherheitsstandards, an die sich Organisationen halten müssen. Jährliche Updates stellen sicher, dass der Fragebogen relevant und effektiv bleibt, um aktuelle und aufkommende Risiken zu bewerten.

Darüber hinaus ermöglichen regelmäßige Updates, dass Feedback in den Fragebogen aufgenommen wird (sowohl von den Organisationen, die den SIG verwenden, als auch von den Anbietern, die ihn ausfüllen), wodurch er effektiver und benutzerfreundlicher wird.

Da sich Best Practices im Risikomanagement, in der Cybersicherheit und im Datenschutz weiterentwickeln, kann der SIG aktualisiert werden, um diese Branchen-Best Practices widerzuspiegeln und sicherzustellen, dass Organisationen ihre Anbieter immer nach den höchsten Standards bewerten.

5. SIG-Fragebögen sind anpassbar

Der SIG-Fragebogen ist modular aufgebaut, sodass Organisationen relevante Abschnitte oder Risikobereiche basierend auf den vom Anbieter erbrachten Dienstleistungen auswählen können. Dies erleichtert es Organisationen, die Bewertung basierend auf dem Risikoprofil und der Branche des Anbieters individuell anzupassen und den Bewertungsprozess fokussierter und effizienter zu gestalten.

Die Anpassung ermöglicht es Organisationen auch, den Fragebogen mit ihren eigenen Sicherheitsprioritäten und -richtlinien in Einklang zu bringen und sicherzustellen, dass die Bewertung direkt die kritischen Risikobereiche der Organisation anspricht.

Herausforderungen von SIG-Fragebögen

Während der SIG es Organisationen ermöglicht, gezielte, relevante und effiziente Bewertungen durchzuführen, ist er möglicherweise nicht die richtige Wahl für jedes Unternehmen. Hier sind einige mögliche Nachteile zu berücksichtigen:

  1. Kosten: Der Zugang zu SIG-Fragebögen erfordert ein kostenpflichtiges Jahresabonnement, das derzeit 6.000 USD pro Jahr für eine Unternehmenslizenz beträgt. Dies beinhaltet den Zugang zum Fragebogen, einen SIG-Manager, das SIG-Benutzerhandbuch, das SIG-Implementierungsarbeitsbuch, die SIG-Dokumentations-Artefaktliste und das SIG-Grundlagentraining.
  2. Längere Antwortzeiten: Die umfassende Natur des SIG, insbesondere des SIG Core, bedeutet, dass er ziemlich lang und komplex sein kann. Dies kann für Anbieter, insbesondere kleinere mit begrenzten Ressourcen, überwältigend sein und zu Verzögerungen bei den Antworten oder unvollständigen Informationen führen.
  3. Ressourcenintensiv: Der SIG-Fragebogenprozess kann für die Organisation, die den Fragebogen ausgibt, und die Anbieter, die darauf antworten, ressourcenintensiv sein. Anbieter benötigen oft erhebliche Zeit und Mühe, um detaillierte Informationen zu sammeln und bereitzustellen, was den Fokus des Teams von anderen Prioritäten ablenkt. Für bewertende Organisationen kann es ebenfalls zeitaufwändig sein, mehrere ausgefüllte Fragebögen zu bewerten, zu vergleichen und zu verfolgen.
  4. Potenzial für ‚Checkbox-Sicherheit‘: Einige Organisationen könnten den SIG hauptsächlich als Compliance-Checkliste verwenden, anstatt als Werkzeug zur Förderung strategischer Risikomanagement- und Informationssicherheitspraktiken. Dies kann zu einem Kästchenabgleich-Ansatz führen, bei dem der Fokus mehr auf dem Erfüllen der Anforderungen des Fragebogens als auf der Verbesserung der Sicherheitslagen liegt.

Empfohlene Lektüre

Was ist eine Ausschreibungsanfrage? + Vorlage

Wie man einen SIG-Fragebogen für das Drittanbieter-Risikomanagement verwendet

Neugierig, wie Sie mit dem SIG-Fragebogen beginnen können? Hier finden Sie einen Schritt-für-Schritt-Prozess zur Verwendung des SIG, um das Risikomanagement von Drittanbietern (TPRM) in Ihrem Unternehmen zu verbessern.

Schritt 1: Umfang bestimmen. Entscheiden Sie, welche Teile des SIG für den zu bewertenden Anbieter relevant sind, basierend auf den von ihm erbrachten Dienstleistungen und den potenziellen Risiken, die er darstellen könnte.

Schritt 2: Fragebogen anpassen. Dies könnte die Auswahl relevanter Module oder Abschnitte des Fragebogens sowie das Hinzufügen von branchenspezifischen oder unternehmensspezifischen Fragen umfassen.

Schritt 3: An Anbieter verteilen. Fragebögen werden oft von einem Begleitschreiben begleitet, das den Zweck der Bewertung erklärt und Anweisungen und Fristen für die Fertigstellung enthält.

Schritt 4: Anbieter füllt den Fragebogen aus. Der Anbieter füllt den Fragebogen aus und gibt detaillierte Antworten auf die Fragen zu seinen Sicherheits- und Compliance-Kontrollen, Richtlinien und Verfahren.

Schritt 5: Überprüfung. Sobald der ausgefüllte Fragebogen eingegangen ist, überprüfen und analysieren Sie die Antworten, um die Angemessenheit der Kontrollen und Praktiken des Anbieters zu bewerten. Dieser Schritt beinhaltet oft ein Team von Experten aus den Bereichen Cybersicherheit, Compliance und Risikomanagement, um potenzielle Problemstellungen oder Risiken zu identifizieren.

Schritt 6: Bei Bedarf nachfassen. Wenn es unklare oder unvollständige Antworten gibt oder zusätzliche Informationen benötigt werden, folgen Sie mit dem Anbieter nach. Dies könnte die Anforderung zusätzlicher Dokumente oder spezifischer Beispiele umfassen.

Schritt 7: Entscheidung treffen. Entscheiden Sie, ob der Anbieter die Risikotoleranz und die Compliance-Anforderungen Ihres Unternehmens erfüllt. Bestimmen Sie, ob Risikominderungsstrategien erforderlich sind, wie zusätzliche Kontrollen, Vertragsbedingungen oder laufende Überwachungen. Erstellen Sie einen Bericht über die Ergebnisse der Bewertung für Prüfpfade und zukünftige Referenzen.

Basierend auf der Bewertung können Sie entweder die Beziehung mit dem Anbieter fortsetzen, bestimmte Risikominderungsmaßnahmen verlangen, weitere Bewertungen durchführen oder sich entscheiden, nicht mit dem Anbieter zusammenzuarbeiten.

Schritt 8: Überwachung. Überwachen Sie kontinuierlich die Einhaltung und das Risikoverhalten des Anbieters. Sie können den SIG-Fragebogen regelmäßig neu ausgeben oder bei wesentlichen Änderungen in den Dienstleistungen des Anbieters oder der regulatorischen Umgebung.

Tipps zur Beantwortung eines SIG-Fragebogens

Die Beantwortung eines SIG-Fragebogens bietet die Gelegenheit, das Engagement Ihres Unternehmens für Sicherheit und Compliance zu demonstrieren. Eine durchdachte und gut vorbereitete Antwort kann Ihre Beziehung zum Kunden stärken und Ihren Ruf auf dem Markt verbessern.

Befolgen Sie diesen Prozess, um auf alle erhaltenen SIG-Fragebögen zu antworten:

Schritt 1: Überprüfen Sie zuerst den gesamten Fragebogen. Dies hilft Ihnen, den Umfang des Fragebogens zu verstehen und wie er sich auf Ihr Produkt und Ihre Dienstleistungen bezieht, sowie einen Überblick darüber zu erhalten, welche Informationen erforderlich sind. Wenn Fragen unklar sind, wenden Sie sich zur Klärung an die ausstellende Organisation.

Schritt 2: Stellen Sie Ihr Team zusammen. Mit einem besseren Verständnis der Anforderungen können Sie nun wichtige Mitarbeiter aus verschiedenen Abteilungen wie IT, Sicherheit, Compliance, Recht und Betrieb einbeziehen. Ihre Expertise ist entscheidend, um genaue und vollständige Antworten zu geben.

Schritt 3: Fragen beantworten. Stellen Sie sicher, dass die Antworten genau sind und Ihre aktuellen Praktiken und Richtlinien widerspiegeln. Wenn es Bereiche gibt, in denen Ihre Sicherheitslage nicht zufriedenstellend oder veraltet ist, erkennen Sie dies an und erläutern Sie etwaige Pläne zur Verbesserung oder Aktualisierung. Seien Sie klar und prägnant und vermeiden Sie übermäßig technische Fachsprache.

Während die Antworten vollständig sein sollten, ist es auch wichtig, die Vertraulichkeit der geteilten Informationen zu beachten. Stellen Sie sicher, dass die Antworten keine internen Richtlinien oder Datenschutzbestimmungen verletzen.

Schritt 4: Unterstützende Dokumente einfügen. Wo immer möglich, unterstützen Sie Ihre Antworten mit relevanten Dokumenten wie Richtlinien, Zertifizierungen, Auditberichten oder Konformitätserklärungen, um Ihre Antworten glaubwürdig zu machen.

Schritt 5: Antworten überprüfen und validieren. Interne Stakeholder sollten den ausgefüllten Fragebogen überprüfen, um die Genauigkeit sicherzustellen und eine konsistente Aussage über Ihre Sicherheits- und Compliance-Praktiken beizubehalten.

Schritt 6: Den ausgefüllten Fragebogen einreichen. Stellen Sie sicher, dass Sie eine Kopie Ihres ausgefüllten Fragebogens und etwaiger unterstützender Dokumente aufbewahren. Dies kann für zukünftige Referenzen und zur Aufrechterhaltung der Konsistenz bei mehreren Fragebogenantworten nützlich sein.

SIG- und Sicherheitsfragebögen automatisieren

SIG-Fragebögen sind ein leistungsstarkes Werkzeug zur Bewertung von Drittanbieter-Risiken und zum Gewinnen des Vertrauens von Kunden. Sie können jedoch sowohl beim Beantworten als auch beim Überprüfen unglaublich mühsam und ressourcenintensiv sein.

Secureframes Fragebogen-Automatisierung kann den mühsamen und zeitaufwendigen Prozess des Beantwortens von umfangreichen Sicherheitsfragebögen und RFPs optimieren. Die integrierte KI-Funktionalität zieht Antworten aus einer Wissensdatenbank mit Hunderten bis Tausenden von Antworten und einer Genauigkeit von über 90 %. Laden Sie einfach einen ausgefüllten SIG-Fragebogen hoch, überprüfen und speichern Sie die Antworten in Ihrer Wissensdatenbank, und Secureframe wird die Antworten ziehen, um zukünftige SIG-Fragebögen automatisch auszufüllen.

Kombinieren Sie SIG-Fragebögen mit dem Secureframe Trust Center, um die Stärke Ihrer Sicherheitslage zu demonstrieren, Ihre wichtigsten Sicherheitskennzahlen und Zertifizierungen hervorzuheben und das Vertrauen der Kunden zu gewinnen. Erfahren Sie mehr über Secureframe Trust und unsere Fähigkeiten zur Fragebogen-Automatisierung oder vereinbaren Sie eine Demo mit einem Produktexperten, um es in Aktion zu sehen.

Nutzen Sie Vertrauen, um Wachstum zu beschleunigen

Fordern Sie eine Demo anangle-right
cta-bg