返回博客
尽职调查16 分钟阅读

面向美国客户的网络安全尽职调查:从 SIG 问卷到 BitSight 评分的中国 SaaS 通关手册

A

Alexander Sverdlov

高级安全顾问

2026-05-24
面向美国客户的网络安全尽职调查:从 SIG 问卷到 BitSight 评分的中国 SaaS 通关手册

尽职调查 · 第三方风险 · 2026 年 5 月

面向美国客户的网络安全尽职调查:从问卷到 BitSight 评分,中国 SaaS 的全流程通关手册

合同上写着「客户保留每年开展安全尽职调查的权利」。你的销售签字时以为这只是法律部门的客套话,直到 9 个月后,对方的 TPRM 团队发来一份 312 题的 SIG 问卷、一份 BitSight 报告、和一封要求 30 天内安排一次远程审计的邮件。这是一份基于 14 家中国 SaaS 客户真实项目整理出来的尽职调查实战手册。

本文要点

  • 美国大型企业的网络安全尽职调查不是「一次性问卷」,而是 四个阶段连续运行的流程:采购前 SIG / CAIQ、签约时合同条款、续约期连续监控、年度深度审计
  • SIG(Standardized Information Gathering)问卷有完整版(约 1,200 题)和 SIG Lite(约 312 题)两个版本,90% 的中国 SaaS 第一年只需要应付 SIG Lite 或 CAIQ,但需要的是结构化答案,不是逐题作文
  • BitSight、SecurityScorecard、SecurityRatings 这类外部评分服务,客户在你不知情的情况下就已经在打分。一家中国 SaaS 的常见起点是 580 分(黄区),优化到 740 分(A 级)通常只需要 6 至 10 周
  • 合同里的「Right to Audit」条款有五种版本,从「客户可索取 SOC 2」到「客户可派审计师上门」差距巨大。第一次签约谈判时把范围限定下来,可以省下后续每年 USD 15,000 至 30,000
  • 中国 SaaS 在尽职调查里失分最多的是 子处理者披露、IP 信誉、TLS 配置、暴露在公网的管理端口,这四项加起来可以让外部评分掉 80 至 120 分
  • 把尽职调查从「每年一场救火」变成 「永久就绪态」,需要的不是更多咨询,而是一个能自动出证据的合规运营层

2026 年 3 月,杭州一家做营销自动化的 SaaS 公司 COO 周二早上打开邮箱,看见美国头部零售集团 TPRM 团队发来的邮件。他们正准备从「试点」升级到「企业部署」,年合同从 80 万美元拉升到 320 万美元。条件附了一份 PDF:一份 SIG Lite 问卷、一份 BitSight 评分截图(他们公司当时是 612 分),以及对方 CISO 办公室发来的「30 天内安排一次虚拟尽职调查会议」的请求。

COO 第一反应是:我们去年才过了 SOC 2,怎么还要做这个?这是大多数中国 SaaS 第一次遇到正式尽职调查时的反应。SOC 2 报告是「我做了控制」的证据,但美国大型企业的 TPRM(Third-Party Risk Management)流程是「我自己再验证一遍」。两者不冲突,但工作量、流程、关键人物完全不同。

28 天后这家公司通过了尽职调查,BitSight 评分从 612 提到 758,扩容合同按时签下来。下面是这套打法,连带其他 13 家客户走过的弯路和正路。

📂

第一步

美国企业尽职调查的 4 个阶段:不是事件,而是流程

中国 SaaS 销售团队最常把「尽职调查」理解成「客户那边法务在签合同前要求看一份问卷」。这是误读。在年合同超过 100 万美元的美国企业里,尽职调查是 从首次接触到合同终止 全周期都在运行的流程。理解这四个阶段,决定了你的资源该投在哪里。

美国企业 TPRM 尽职调查的 4 个阶段 美国企业网络安全尽职调查:4 个阶段连续运行 从首次接触到合同终止,每一阶段考察的内容不同 阶段 1 采购前评估 Pre-procurement - SIG Lite 或 CAIQ - BitSight 外部扫描 - 子处理者快速核查 耗时: 2-4 周 阶段 2 签约时合同 Contract terms - Right to audit - DPA / SCC - SLA 与事件通知 耗时: 1-3 周 阶段 3 续约期监控 Continuous monitoring - BitSight 评分 - 暗网数据泄露 - 公开漏洞监控 耗时: 每月触发 阶段 4 年度深度审计 Annual deep review - SIG 完整版 - 远程或现场审计 - 渗透测试结果 耗时: 4-8 周/年 中国 SaaS 最常见的误区 误区 1: 只准备阶段 1 的 SIG 问卷,到阶段 3 才发现 BitSight 评分一直在掉。 误区 2: 阶段 2 合同里把 Right to Audit 写成「客户可在合理通知后开展任何审计」。一年后 客户要求派 3 个审计师上门 5 天,差旅费、安排会议、临时整改一共花掉 USD 45,000。 误区 3: 把每次尽职调查当成「一次性工程」,每年都重新组织一遍证据。永久就绪态的 合规运营层把这件事变成「每月 4 至 6 小时」的维护工作。
图 1. 美国企业 TPRM 的 4 个阶段,每个阶段考察的内容、工具、关键人物都不同。

真正决定下一年合同能不能续的,不是阶段 1 的问卷分数,而是阶段 3 的连续监控数据。客户的采购团队在你不知情的情况下,每个月都会看一眼你公司在 BitSight 上的曲线。如果三个月内评分掉了 80 分,他们会主动启动「重新评估」流程,到那时再补救往往已经晚了。

📋

第二步

SIG、SIG Lite、CAIQ:选错问卷等于多做两倍工作

美国企业的尽职调查问卷主要有三种格式。在和客户 TPRM 团队谈判时,你 有权要求换成最合适的格式,这是中国 SaaS 销售很少利用的杠杆点。下面是三种问卷的硬性对比:

SIG vs SIG Lite vs CAIQ 对比 SIG、SIG Lite、CAIQ:选哪个? 问卷格式由客户提出,但你可以协商替换 SIG 完整版 Shared Assessments 规模 约 1,200 题 18 个安全域 耗时 首次:80-140 工时 续期:20-40 工时 谁要这个 - 金融、医疗、政府 - 监管驱动行业 - 处理 PHI / PCI 数据 取代方案 SOC 2 + SIG Lite 通常 可以替代 70% 工作量 SIG Lite SIG 精简版 规模 约 312 题 同样 18 个安全域 耗时 首次:24-40 工时 续期:6-12 工时 谁要这个 - 大部分美国企业 - 零售、制造、SaaS - 中等敏感数据 中国 SaaS 推荐 90% 项目的实际选择 投入产出比最高 CAIQ Cloud Security Alliance 规模 约 261 题 17 个云专属安全域 耗时 首次:20-32 工时 续期:4-8 工时 谁要这个 - 纯云原生客户 - 已有 CSA STAR 等级 - 美西科技公司 优势 提交一次到 CSA STAR 公开库,多客户复用 14 家中国 SaaS 客户里:SIG 完整版 = 2 家,SIG Lite = 9 家,CAIQ = 3 家
图 2. 三种主流第三方风险问卷的对比。SIG Lite 是 90% 中国 SaaS 项目的最优选择。

谈判换问卷格式的话术很简单:「我们已经准备了 CAIQ v4 提交到 CSA STAR 注册库,能否复用?」或者「我们公司规模较小,是否可以用 SIG Lite 代替 SIG 完整版?」14 家客户里,有 6 家成功把 SIG 完整版谈判换成了 SIG Lite,平均省下 60 至 100 工时。

填写 SIG Lite 的三个加速技巧

  1. 预填模板。SOC 2 报告里 60% 的内容直接映射到 SIG 的「Asset Management」「Access Control」「Cryptography」三个域。第一次填完之后做成模板,下次只改差异部分。
  2. 双语证据包。SIG 问卷常要求「请附上相关政策的截图或链接」。把英文政策 PDF 放在 trust.yourcompany.com 上,问卷里只给链接,不再每次重复上传。
  3. 「不适用」要解释。SIG 里有大量与你产品场景无关的问题(例如 PCI、HIPAA 专属问题)。直接填 N/A 会被扣分,要简短解释「我们不处理此类数据,因此不适用」。
📊

第三步

BitSight 与外部评分:客户在你不知情时就开始打分

这是中国 SaaS 在尽职调查里最被低估的环节。BitSight、SecurityScorecard、UpGuard、Bitsight,这些外部评分服务从公开互联网上抓取你的数据:DNS 配置、TLS 版本、暴露的端口、被列入黑名单的 IP、过去 12 个月的数据泄露记录等等。整套评分过程 你完全不知道,但你的美国客户每个月都在看。

BitSight 外部评分的 8 个维度 BitSight / SecurityScorecard 从外部考察什么 8 个公开可查的维度,加权计算成 250-900 分 1. TLS / SSL 配置 权重:高 查:版本、证书、密码套件 中国 SaaS 常见失分点 2. 公网暴露端口 权重:高 查:SSH、RDP、数据库端口 残留管理端口扣分最多 3. DNS / 邮件健康 权重:中 查:SPF、DKIM、DMARC DMARC 未配置 = -20 分 4. IP 信誉 权重:中 查:黑名单、僵尸网络 中国出口 IP 易被误判 5. 软件补丁 权重:高 查:可识别版本号的服务 隐藏 banner 即可加分 6. 数据泄露记录 权重:极高 查:HIBP、暗网论坛 一次泄露 = -60 至 -120 分 7. CDN / WAF 部署 权重:低 查:是否有边界防护 Cloudflare 普遍加分 8. 安全 header 配置 权重:低 查:CSP、HSTS、X-Frame 单次配置即可永久加分 起点 → 目标 起点:580 (黄区) 目标:740+ (A 级) 耗时:6 至 10 周 14 家中国 SaaS 客户首测 BitSight 评分:中位数 612 分,最低 480 分,最高 740 分。
图 3. BitSight 与 SecurityScorecard 从外部考察的 8 个公开维度。其中 4 项是中国 SaaS 的高频失分点。

中国 SaaS 的「常见低分套餐」长这样:TLS 1.0 还没下线(-30 分)、SSH 22 端口对外网开放(-25 分)、DMARC 未配置(-20 分)、阿里云某段 IP 在 SpamHaus 上有过历史记录(-15 分)、ngrok 或 frpc 隧道残留(-30 分)。这 5 项加起来正好把分数从 740 拖到 620。好消息是每一项都能在两天内修好。

优化外部评分的实操顺序是:

  1. 第 1 周:注册 BitSight 免费查询(或买 SecurityScorecard 单一企业账号),打基线分。下载详细报告。
  2. 第 2 至 3 周:处理 TLS 配置(升级到 TLS 1.2/1.3,禁用弱密码套件)、关闭公网管理端口、配置 DMARC 邮件认证。
  3. 第 4 至 5 周:处理 IP 信誉问题。如果你公司的出口 IP 段在黑名单上,提交去除请求并配置 Cloudflare 等 CDN 隐藏源站。
  4. 第 6 至 8 周:安全 header 配置(CSP、HSTS、X-Frame-Options)、检查所有暴露服务的 banner 信息、清理历史子域名残留。
  5. 第 9 至 10 周:重新查询,确认分数到 740 以上。截图归档,作为下次客户尽职调查的证据。

第四步

Right to Audit 条款:5 个版本与谈判杠杆点

「客户保留对供应商开展安全审计的权利」这一条款几乎出现在所有美国企业的 MSA(主服务协议)里。但「审计权利」这五个字的实际含义在不同合同里差异巨大。下面是我们见过的 5 种版本,按对你公司成本的影响从高到低排列:

条款版本 客户的权利 你公司每年成本
A. 无限制现场审计客户可在 30 天通知后派任意审计师上门,覆盖任何系统与员工USD 35,000 至 80,000
B. 现场审计带条件每年最多一次,最多 3 名审计师,最多 3 天,工作时间内USD 12,000 至 25,000
C. 远程审计每年最多一次,远程会议形式,配合屏幕分享与文档审阅USD 4,000 至 8,000
D. 报告替代客户接受 SOC 2 Type 2 报告作为审计替代,不另行审计USD 0(已含在 SOC 2 成本中)
E. 合理事由触发仅在发生安全事件或合理怀疑时才能启动审计USD 0 至 4,000(仅在触发时)

谈判目标:从 A 或 B 谈到 D 或 C。话术非常具体:「我们每年由 AICPA 持牌审计师出具 SOC 2 Type 2 报告,覆盖范围包含贵司所关心的所有控制域。我们愿意在 NDA 后无偿提供报告原件、补充材料和与审计师的对接电话。这种方式既能满足贵司 TPRM 要求,也能避免双重审计的资源消耗。」14 家客户里,9 家成功把 A/B 谈成了 C/D。

如果客户坚持保留 B(现场审计带条件),那也要在合同里把「条件」写死:

  • 触发条件:仅在「合理怀疑」「监管要求」「安全事件后」三种情况下
  • 频次上限:每年最多一次,除非有触发条件
  • 提前通知:至少 30 个营业日书面通知
  • 范围限定:仅限与客户数据相关的系统、控制和员工
  • 费用承担:审计师费用由客户承担(这一点不要让步,否则会被滥用)
  • 保密条款:审计师签 NDA,审计发现仅供客户内部使用,不得对外披露

第五步

中国 SaaS 的 6 个高频失分点:怎么预防

14 个项目里的尽职调查问题,归类下来 80% 集中在 6 个地方。这些不是技术难题,是 跨境运营的小细节,但每一项在 SIG 问卷或外部评分里都会扣 15 至 30 分,加起来足以让一笔 200 万美元的合同被搁置。

中国 SaaS 尽职调查 6 个高频失分点 中国 SaaS 在美国客户尽职调查里的 6 个高频失分点 每项扣 15 至 30 分,预防成本几乎为零 1. 子处理者披露不完整 飞书 / 企微 / 钉钉 / 阿里云 短信 忘记列入,被客户问出来即扣分 预防:用 SaaS 发现工具盘点所有第三方 公开清单,每季度更新 2. 残留管理端口 SSH 22、RDP 3389、数据库端口 公网可见,扣分 25-30 预防:全部走堡垒机或 Tailscale 用 Shodan 周度自检 3. TLS 配置陈旧 TLS 1.0/1.1 还在线 弱密码套件 / 自签证书 预防:强制 TLS 1.2+,禁用弱套件 SSL Labs 测试 A 级以上 4. 数据驻留承诺含糊 「数据可能存储在中国或美国」 客户立刻怀疑 PIPL 数据出境风险 预防:架构上分区,美国客户 数据只在 AWS us-east 区域 5. 员工背景调查 客户问:「特权账号持有者 是否做过背景调查?」 预防:与境内合规背调机构合作 每位特权员工保留报告 6. 历史漏洞披露不及时 小事件没通知客户,半年后 客户从公开渠道发现 预防:低于阈值也主动报, 事先在合同里约定通知阈值
图 4. 14 家中国 SaaS 客户在尽职调查里被反复扣分的 6 个细节。预防成本几乎为零。

第 6 项值得展开说一下。中国公司的本能反应是「内部能解决的事件就不通知客户,免得节外生枝」。但在美国 TPRM 文化里,「事件发生后未主动通知」本身就是失信。客户从外部渠道(媒体、漏洞数据库、其他供应商)听到你公司的事件,比事件本身更让他们紧张。合理的阈值约定是:影响超过 1 小时的服务中断、任何客户数据相关的安全事件、任何特权账号被怀疑滥用,都在 72 小时内主动通知。

🔗

第六步

从「每年救火」到「永久就绪态」:合规运营层的 4 个组件

如果你的公司每次客户尽职调查都要从头组织一遍证据,每年大约会损失 200 至 320 工时。这是中国 SaaS 在签下第三家、第五家美国大客户后必然遇到的瓶颈。永久就绪态的解决方案是 合规运营层:四个长期组件,每月维护 4 至 6 小时,每次尽职调查可以在两天内交卷。

合规运营层的 4 个组件 合规运营层:永久就绪态的 4 个组件 一次搭建,每月 4-6 小时维护 组件 1:信任门户 v2 trust.yourcompany.com 升级版 - SOC 2 / ISO 27001 报告 - 预填的 SIG Lite / CAIQ - BitSight 当前评分 - 子处理者实时清单 组件 2:证据自动化 Vanta / Drata / Sprinto - AWS / GitHub / Workspace 自动取证 - 控制状态实时仪表盘 - 异常告警自动归档 - 年费 USD 4,000 至 7,000 组件 3:外部评分维护 BitSight / SecurityScorecard - 每周巡检评分变化 - 评分跌 30 分以上自动告警 - 季度对比报告 - 嵌入信任门户首屏 组件 4:客户问卷模板库 所有历史问卷答案归档 - 按问题分类的标准答案 - AI 辅助匹配新问题 - 双语版本同步维护 - 答题时间从 40 小时到 4 小时 14 家客户里搭建了完整合规运营层的 5 家:尽职调查响应时间平均缩短 80%。
图 5. 合规运营层的 4 个核心组件。一次性投入 USD 12,000 至 18,000,长期把尽职调查变成轻量任务。

这套合规运营层一次性搭建成本 USD 12,000 至 18,000,比起每次尽职调查临时组织证据节省的工时(每次 200 至 320 工时)和加快的签单速度,通常在第二个美国客户合同里就能回本。

Atlant Security 如何帮你

中国 SaaS 的尽职调查全流程托管

我们为 30 至 300 人的中国 SaaS 提供一站式尽职调查托管。从 BitSight 评分优化、SIG / CAIQ 问卷填写、合同条款谈判建议、远程审计陪同,到永久就绪态合规运营层搭建,覆盖整个 TPRM 周期。中文沟通,按美国客户能直接接受的标准交付。

  • BitSight 评分 6 至 10 周内从 580 提升到 740+
  • SIG Lite / CAIQ 首次填写 USD 6,500 起,含双语证据包
  • 合规运营层搭建 USD 14,000 起,含 trust portal v2、Vanta 配置、问卷模板库
  • 14 家中国 SaaS 客户实战经验
  • 客户尽职调查会议陪同 USD 1,500 每次

预约 30 分钟咨询 →

常见问题

中国 SaaS CEO 关于尽职调查最常问的问题

已经过了 SOC 2,为什么还要做尽职调查?

SOC 2 是「我做了控制」的第三方证据。尽职调查是客户在他们自己的 TPRM 流程里「再验证一遍」。两者目标重合但流程不同:SOC 2 由 AICPA 持牌审计师签字,对所有客户通用;尽职调查由客户自己(或委托的咨询公司)按他们的风险偏好做。SOC 2 报告能让尽职调查的工作量减少 60 至 70%,但不能替代。

BitSight 评分是付费服务吗?我怎么知道客户看到的是多少分?

BitSight 与 SecurityScorecard 都是付费服务(年费 USD 12,000 至 30,000),但都提供「单一企业自查」的免费或低价版本,让你看自己公司的分数与详细报告。强烈建议每家中国 SaaS 至少注册一个 SecurityScorecard 免费账号(你只能看自己公司)。BitSight 的免费查询入口在 my.bitsight.com 上,提交一个邮箱即可看到基础评级。这两套数据正是你的美国客户每月看到的内容,没有秘密。

客户要求派审计师上门,我必须接受吗?

不必须,除非合同里已经签了 A 或 B 版本的 Right to Audit 条款。如果合同写的是 C/D/E 版本,你可以礼貌地引用合同条款回复「按 MSA 第 X.X 节,我们提供 SOC 2 报告与远程审计支持,现场审计仅在合理事由触发时启动」。如果客户是首次签约,谈判时优先把这条改到 C 或 D 版本,比省下任何一笔咨询费都重要。

我们的服务器在阿里云华东,BitSight 评分会因此被自动扣分吗?

BitSight 与 SecurityScorecard 的算法本身不直接「因为是中国云所以扣分」。但中国云的 IP 段更容易出现在历史黑名单数据库里(因为大量共享出口 IP 被滥用),这会间接扣分。解决办法是:用 Cloudflare 等 CDN 作为外部入口,源站 IP 不直接暴露;如果你的美国客户数据本来就该走美国云,那把整个美国客户区域迁到 AWS us-east 或 GCP us-central 更彻底。

尽职调查问到「贵公司是否使用任何被美国实体清单列出的供应商」,怎么回?

如实回答。这是地缘政治尽职调查的标准问题,常出现在金融、医疗、国防客户的问卷里。先盘点你公司全部的硬件、软件、云服务供应商,对照美国商务部 Entity List 与 OFAC SDN 列表逐一核对。绝大多数中国 SaaS 客户的核心栈(AWS、GitHub、阿里云、腾讯云、飞书等)都不在列表上。但如果使用了华为云、海康威视等敏感品牌的服务或硬件,最好坦诚披露并说明使用范围,比被客户后续发现要好。

中国客户做尽职调查吗?流程一样吗?

中国大型客户也做尽职调查,但形式不同。中国客户更看重的是等级保护证书、CMMI 等级、ISO 27001 证书、与本地合规机构的关系。SIG 问卷、CAIQ、BitSight 评分这些工具在国内市场用得很少。如果你的客户既有美国又有中国,需要两套准备包并行维护,但底层证据 60% 可以复用。我们建议把美国版本作为「主版本」,中国版本是「中文化 + 等保附录」。

尽职调查不是一道考试,是一段长期关系的体检报告。美国大型企业的 TPRM 团队每年都会在你公司身上花掉数十个工时,他们的 KPI 是「不让任何高风险供应商进入采购批准流程」。理解这一点之后,你的目标就不再是「过这次审查」,而是 让你公司从来不是 TPRM 团队的麻烦。这要求把合规、外部评分、子处理者管理、合同条款这四件事变成持续运营,不是项目制。

如果你正准备签下第二、第三家美国大客户,或者已经在收到 SIG 问卷之后慌乱过一次,趁着记忆还热的时候开始投资合规运营层。三个月后,下一次尽职调查到来时,你会发现交卷只需要两天,不再是两周。

想聊聊你公司的具体情况?预约 30 分钟咨询,或直接发邮件给 alexander@atlantsecurity.com。

Alexander Sverdlov

Alexander Sverdlov

Atlant Security 创始人,两本信息安全著作的作者,亚洲最大网络安全会议演讲嘉宾, 联合国会议小组成员,前微软安全咨询团队成员,前阿联酋核能公司外部网络安全顾问。