美国证券交易委员会颁布了新的网络安全法 披露规则 适用于上市公司,该法案将于 15 年 2023 月 XNUMX 日生效。这些规则要求公司 在年度报告中提供有关如何评估、识别和管理重大网络安全风险的全面详细信息 (表格 10-K)。它们要求组织 概述董事会在监督网络安全风险方面的作用。最后, SEC 要求公司 在四天内报告重大网络安全事件(表格 8-K).
这项法规对公司和首席信息安全官 (CISO) 都产生了重大影响。CISO 备受瞩目,他们肩负着确保清晰及时地沟通公司网络安全措施和事件的责任。这种日益增强的透明度要求 CISO 与高层管理人员和董事会成员建立强有力的沟通渠道。CISO 还必须确保网络安全战略与业务目标和监管要求相一致。
对于公司首席执行官和董事会成员而言,该法规巩固了他们在公司治理中对网络安全韧性的重视。他们的任务是积极参与并监督网络安全战略。董事会现在不仅要确保合规性,还要确保公司网络安全计划的有效性。这一转变凸显了公司治理在管理网络风险方面不断演变的作用。它凸显了投资者对公司如何应对和缓解网络威胁日益增长的兴趣。
投资者越来越担心网络安全对其投资的影响。勒索软件攻击和数据泄露等备受瞩目的网络事件日益增多,加剧了这一担忧。投资者将网络安全与关键的环境、社会和治理 (ESG) 问题并列,并优先考虑这些因素。这体现在 加拿大皇家银行全球资产管理负责任投资调查投资者寻求清晰、可靠和可操作的网络安全数据来指导他们的投资决策。他们需要并希望获得明确的网络安全弹性指标,而无需具备该领域的深厚技术知识。良好的网络安全不仅被视为风险缓解因素,也是稳健公司治理和管理质量的指标。这些品质使公司更具投资吸引力。结合网络安全指标的工具可用于评估公司的网络安全准备情况。因此,最好的首席信息安全官 (CISO) 了解这些投资者评估。成功的 CISO 确保其组织的网络安全措施得到有效传达。有效的 CISO 强调全球趋势,例如网络安全报告的更高透明度和问责制。这有助于平息投资者和投资界的担忧。
美国证券交易委员会 (SEC) 的新网络安全法规要求高层领导参与。公司领导层必须参与制定网络安全披露战略。首席信息安全官 (CISO) 正在召集领导层开会,审查公司网络弹性或网络准备情况。这些会议有助于深入了解这些法规如何影响公司及其利益相关者。这些会议通常包括 CISO、总法律顾问、首席风险官(如有)、首席财务官和投资者关系主管。关键讨论点围绕谁来领导披露工作以及 CISO 在风险和事件报告中的作用展开。讨论必须制定并批准合作策略、投资者沟通以及如何定义“材料“与公司运营相关的网络事件现在需要在 8-K 报表上进行报告。
这些讨论必须在公司内部建立明确的网络安全披露责任矩阵。首席信息安全官 (CISO) 还必须确保其网络安全方法有效地传达给投资者,以满足他们对透明度的期望。 以及 理解。您的领导团队还必须考虑公司现有的网络风险沟通策略。他们必须确定是否有必要采用新方法,例如独立的网络安全报告(年度第三方审计),以清晰地传达其对此类风险的治理。这不仅仅关乎合规性;还关乎制定一份知情、连贯的网络安全治理内外部叙述。首席信息安全官 (CISO) 在此过程中扮演着至关重要但并非孤立的角色。这些会议的结果将决定公司未来的网络安全态势和投资者关系。
根据美国证券交易委员会的新要求,各机构必须披露一系列信息,以帮助投资者了解其网络安全风险管理流程。这些信息包括机构的网络安全战略和第三方风险管理。此类风险评估常用的框架是 NIST 网络安全框架 (NSF)。 另外,一些公司使用 NIST 800-171风险管理标准 合规策略。然后,包括首席信息官、首席信息安全官、首席执行官、首席财务官和董事会在内的管理团队必须制定一份报告计划,概述公司在这些评估方法中概述的控制措施方面的成就和风险缓解措施。
此外,公司还应分享有关关键政策、技术控制、独立安全评估等的详细信息 SOC 2 认证。 项目指标报告详细说明了项目有效性和事件管理方案。网络保险覆盖范围经过验证,有助于降低网络事件带来的财务风险,同时有助于确定网络安全事件和问题的重要性。
CISO 的任务是通过文档审查以及与网络安全团队和高管的磋商来收集这些数据。由于许多组织可能无法随时访问所有这些信息,因此组建一个跨职能团队来协助信息收集过程可能会有所帮助。您可以采用 CyberHoot 并记录每位员工签署治理政策、完成意识培训视频作业以及完成网络钓鱼模拟和测试的指标。最终目标是向董事会、C 级高管和“理性投资者“一种所有人都能接触和理解的叙述。
虽然制定合规计划的公司可能会好奇其他公司的做法,但重要的是根据自身规模、能力和投资者预期,制定自己的合规和报告计划。您可以参考一些集中收集的信息来源,以制定自己的合规计划。例如,2022 年, 安永董事会事务中心 《财富》100强企业披露的信息表明,网络安全风险管理的透明度有所提高。
尽管此前已有披露,但美国证券交易委员会 (SEC) 的新网络安全法规要求从上市公司开始采用详细且可能具有变革意义的报告实践。尽管这些规则主要针对上市公司,但其他私营企业和小型企业也应熟悉这些新规则,并开始准备和监控其运营,以提高自身的网络安全弹性和应对能力。
公司必须应对确定什么构成“材料” 网络安全事件,并根据美国证券交易委员会 (SEC) 的要求进行披露。SEC 将重大事件定义为“理性投资者在做出投资决策时会认为重要的因素“此项判定超越财务门槛,并同时考虑定量和定性数据。它包括导致声誉受损或信息被盗的事件,这些事件虽然无法以财务方式量化,但对个人或公司造成重大影响。
SEC建议,虽然通常会考虑财务影响,但也应评估损害的范围和性质。为了全面了解潜在影响,鼓励公司对网络风险进行财务量化。这种分析可以揭示计划的弱点、投资需求和风险缓解策略。
首席信息安全官 (CISO) 虽然通常不是重要性问题的最终裁定者,但应深入参与评估流程并制定主动的风险补救策略。事件的重要性应由法律顾问、首席执行官和董事会逐案确定。重要性的决定需要考虑具体情况及其对公司及其利益相关者的潜在影响。
美国证券交易委员会 (SEC) 规定了针对第三方网络风险的具体披露要求,承认其极有可能引发网络安全事件。随着越来越多的公司为了提高效率和竞争力而将业务外包给供应商,第三方和供应链漏洞带来的风险也随之上升。建议首席信息安全官 (CISO) 制定强有力的第三方网络风险策略,包括识别和确定第三方合作伙伴的优先级(通常基于其所包含或可访问数据的关键性)、执行基于风险的网络评估,以及持续监控这些实体是否存在新的威胁。对于 CISO 来说,制定周密的计划至关重要,以确保利益相关者能够有效地管理风险并遵守 SEC 的披露要求。
这些发展凸显了网络安全在公司治理中的战略重要性,以及领导层在网络安全监督方面充分了解情况并积极主动的必要性。这也表明,公司在网络安全管理和报告方面正朝着更加透明的方向发展,重点在于打造符合投资者利益和监管期望的稳健安全文化。
来源:
https://www.sec.gov/news/press-release/2023-139
发现并分享最新的网络安全趋势、技巧和最佳实践——以及需要注意的新威胁。
