2시간 내 가능 여부/납기/견적 안내 (영업일 기준)

SIG·CAIQ 설문이란? (Security Questionnaire 프레임워크)

벤더 보안 설문의 대표적인 표준 프레임워크인 SIG와 CAIQ에 대해 알아봅니다.

질문서를 '만드는' 게 아니라, 고객이 받은 보안심사 설문(엑셀/문서)에 답변을 채워 제출본으로 납품합니다.

SIG(Standardized Information Gathering) 설문

SIG 설문은 Shared Assessments에서 개발한 표준화된 벤더 보안 설문 프레임워크입니다. 금융, 헬스케어, 기술 업계에서 협력사 보안 평가(third-party risk management)에 널리 사용됩니다.

SIG Lite

약 200문항. 저위험 벤더 또는 초기 스크리닝용. 핵심 보안 통제만 확인합니다.

SIG Core

약 500문항. 중간 위험 벤더용. 대부분의 vendor security questionnaire 요건을 충족합니다.

SIG Full

약 850문항 이상. 고위험 벤더 또는 상세 평가용. TPRM의 가장 포괄적인 형태입니다.

SIG 설문 주요 도메인

  • Enterprise Risk Management — 조직 차원의 위험 관리 체계
  • Security Policy — 정보보안 정책 및 거버넌스
  • Access Control — 접근 권한 관리, MFA, 계정 관리
  • Human Resources Security — 인사 보안, 백그라운드 체크
  • Encryption & Key Management — 암호화 및 키 관리
  • Business Continuity — 사업 연속성 및 재해 복구
  • Privacy — 개인정보 보호 및 데이터 처리

CAIQ(Consensus Assessments Initiative Questionnaire) 설문

CAIQ 설문은 Cloud Security Alliance(CSA)에서 개발한 클라우드 서비스 보안 평가 프레임워크입니다. 클라우드 서비스 제공자의 보안 역량을 평가하는 데 특화되어 있으며, CSA STAR 인증 프로그램과 연계됩니다.

CAIQ v3.x

CCM(Cloud Controls Matrix) 기반. 16개 도메인, 약 300문항. Yes/No/N/A 형식의 명확한 응답 체계.

CAIQ v4.x

최신 버전. 17개 도메인으로 확장. 클라우드 네이티브 환경에 맞게 업데이트된 통제 항목.

CAIQ 설문 주요 도메인

  • Application & Interface Security (AIS) — 애플리케이션 보안
  • Audit Assurance & Compliance (AAC) — 감사 및 컴플라이언스
  • Business Continuity Management (BCR) — 사업 연속성
  • Change Control & Configuration (CCC) — 변경 및 구성 관리
  • Data Security & Privacy (DSP) — 데이터 보안 및 프라이버시
  • Identity & Access Management (IAM) — 신원 및 접근 관리
  • Infrastructure & Virtualization (IVS) — 인프라 및 가상화
  • Logging & Monitoring (LOG) — 로깅 및 모니터링

SIG·CAIQ 공통 구조 (Security Questionnaire 핵심 영역)

SIG 설문과 CAIQ 설문, 그리고 대부분의 vendor security questionnaire는 아래 영역을 공통적으로 다룹니다. 보안심사 설문 대행 시 이 영역들에 대한 답변 준비가 핵심입니다.

거버넌스 & 정책

보안 정책 존재 여부, 책임자 지정, 검토 주기, 교육 프로그램

접근 권한 관리

최소 권한 원칙, MFA 적용, 계정 프로비저닝/디프로비저닝

로그 & 모니터링

로그 수집 범위, 보관 기간, 이상 탐지, 알림 체계

암호화

전송 중/저장 시 암호화, 키 관리 방식, 암호화 알고리즘

백업 & 복구

백업 주기, 보관 기간, 복구 테스트, RTO/RPO

취약점 관리

취약점 스캔 주기, 패치 관리, 침투 테스트 여부

준비해야 할 최소 정보

보안 설문 답변 대행을 위해 다음 정보를 미리 파악해 두시면 빠른 진행이 가능합니다. 협력사 보안 평가에서 자주 묻는 항목들입니다.

인프라 정보

  • 클라우드 제공자 (AWS/GCP/Azure 등)
  • 데이터 저장 리전 (서울/도쿄/버지니아 등)
  • 멀티테넌트/싱글테넌트 여부
  • 네트워크 구성 (VPC, 방화벽 등)

접근 통제 정보

  • MFA 적용 여부 및 방식
  • SSO 사용 여부
  • 권한 검토 주기
  • 퇴사자 계정 처리 절차

로그 & 백업 정보

  • 로그 보관 기간
  • 백업 주기 및 보관 기간
  • 복구 테스트 수행 여부
  • 모니터링 도구 사용 현황

컴플라이언스 정보

  • 보유 인증 (ISO/SOC2/ISMS 등)
  • 개인정보 처리 여부
  • 데이터 국외 이전 여부
  • 하청/외주 사용 여부

관련 페이지

서비스 상세 보기 → 납품물 상세 보기 →

제출본 작성 시 체크 포인트

보안 질문서 작성 대행 시 다음 사항을 반드시 확인합니다. third-party risk 심사에서 자주 지적되는 항목들입니다.

  • 일관성 확인 — 같은 주제에 대한 답변이 문항별로 일관되어야 합니다
  • 근거 명시 — "예/아니오"만이 아닌, 구체적인 방법/도구/주기를 함께 기재
  • 미비 항목 처리 — 없는 것은 "없음"으로 명시하되, 대체 통제나 개선 계획 추가
  • 증빙 대비 — 답변에 대응하는 증빙 자료를 미리 파악
  • 용어 통일 — 회사명, 서비스명, 역할 명칭 등 일관되게 사용
  • 최신성 확인 — 정책 검토일, 인증 유효기간 등 최신 정보 반영

SIG·CAIQ 설문 대응, 지금 시작하세요

질문서 파일만 보내주시면 2시간 내(영업일 기준) 가능 여부와 견적을 안내해 드립니다.

질문서 파일 보내고 2시간 내 견적받기