隨著技術(shù)的發(fā)展,網(wǎng)絡(luò)安全風(fēng)險(xiǎn)對(duì)企業(yè)的經(jīng)濟(jì)活動(dòng)造成的影響越來(lái)越明顯�。此外,隨著網(wǎng)絡(luò)安全攻擊的不斷進(jìn)化����,網(wǎng)絡(luò)安全事件帶來(lái)的成本和造成的后果也在持續(xù)升級(jí)。在此背景下��,2023年7月26日����,美國(guó)證券交易委員會(huì)(SEC)通過(guò)了網(wǎng)絡(luò)安全披露準(zhǔn)則的更新與補(bǔ)充[1],對(duì)注冊(cè)企業(yè)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理�、戰(zhàn)略、治理和事件的披露要求做出進(jìn)一步的加強(qiáng)和規(guī)范��,旨在滿足投資者對(duì)于注冊(cè)企業(yè)網(wǎng)絡(luò)安全情況的信息需求����。
(資料圖片)
2011年�����,美國(guó)證券交易委員會(huì)(SEC)曾發(fā)布《2011員工指南(the 2011 Staff Guidance)》[2]���,概述了企業(yè)對(duì)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)和網(wǎng)絡(luò)安全事件可能的披露義務(wù)。在此基礎(chǔ)上����,SEC在2018年發(fā)布解釋性公告(the 2018 Interpretive Release)[3],說(shuō)明了注冊(cè)企業(yè)對(duì)于網(wǎng)絡(luò)安全風(fēng)險(xiǎn)���、治理和重大網(wǎng)絡(luò)安全事件的披露要求,但由于此次公告中仍未對(duì)披露方式�����、披露時(shí)間���、披露內(nèi)容等做出明確的規(guī)范化要求�����,投資人對(duì)此類信息的全面獲取仍存在較大困難��。
本次的更新與補(bǔ)充已于2023年8月4日在聯(lián)邦公報(bào)發(fā)布[4]�����,并將于發(fā)布的三十天后����,即2023年9月5日起生效。
此次發(fā)布的要求主要包含三個(gè)方面的內(nèi)容:
? 要求注冊(cè)企業(yè)及時(shí)披露重大網(wǎng)絡(luò)安全事件��;
? 要求注冊(cè)企業(yè)定期披露評(píng)估���、識(shí)別和管理重大網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的流程���,管理層的評(píng)估管理職能,以及董事會(huì)的監(jiān)督職能�����;
? 相關(guān)披露應(yīng)采用內(nèi)嵌式可擴(kuò)展商業(yè)報(bào)告語(yǔ)言(Inline XBRL)����。
這些要求適用于所有的SEC注冊(cè)企業(yè)�����。大部分外國(guó)(美國(guó)以外)私人發(fā)行人(FPI)需要與美國(guó)本土企業(yè)遵循同樣的要求���,僅使用的披露文件表格不同。此外�,根據(jù)多轄區(qū)披露系統(tǒng)(MJDS)要求,加拿大企業(yè)(適用于40-F表)可使用加拿大的披露標(biāo)準(zhǔn)和文件滿足相關(guān)要求�。
注:
外國(guó)私人發(fā)行人(FPI)是指除任何美國(guó)以外的發(fā)行公司,但以下除外:(1)其50%以上的記錄在案的流通的有表決權(quán)證券由美國(guó)居民持有�����;(2)符合以下任一條件:(i)其大多數(shù)執(zhí)行官或董事為美國(guó)公民或居民�����;(ii)其50%以上的資產(chǎn)位于美國(guó)��;或(iii)其業(yè)務(wù)主要在美國(guó)管理�。
根據(jù)SEC發(fā)布的相關(guān)要求及指導(dǎo)性文件��,安永對(duì)此次要求進(jìn)行了初步的梳理和解讀�����。
一、重大網(wǎng)絡(luò)安全事件披露
首先�����,注冊(cè)企業(yè)應(yīng)當(dāng)對(duì)重大網(wǎng)絡(luò)安全事件進(jìn)行及時(shí)披露�����。
1)要求原文:
注冊(cè)企業(yè)必須披露其經(jīng)歷的任何被認(rèn)定為重大的網(wǎng)絡(luò)安全事件���,并從如下方面描述該事件的重大程度:
? 性質(zhì)�、范圍和時(shí)間�����;以及
? 影響或合理的可能影響�。
2)披露對(duì)象:重大網(wǎng)絡(luò)安全事件(material cybersecurity incidents)
對(duì)于“重大網(wǎng)絡(luò)安全事件”應(yīng)當(dāng)如何判定,SEC在說(shuō)明文件中給出了相關(guān)的定義:
? 網(wǎng)絡(luò)安全事件:在注冊(cè)企業(yè)信息系統(tǒng)上或通過(guò)注冊(cè)企業(yè)信息系統(tǒng)發(fā)生的���、危及注冊(cè)企業(yè)信息系統(tǒng)或其中任何信息的保密性��、完整性或可用性的未經(jīng)授權(quán)的事件����,或一系列相關(guān)的未經(jīng)授權(quán)的事件。
? 信息系統(tǒng)系指注冊(cè)企業(yè)擁有或使用的電子信息資源�,包括由此類信息資源或其組成部分控制的物理或虛擬基礎(chǔ)設(shè)施,其目的是收集�、處理、維護(hù)�、使用、共享��、傳播或處置注冊(cè)企業(yè)的信息��,以維護(hù)或支持注冊(cè)企業(yè)的業(yè)務(wù)�。
? 重要性:取決于投資者對(duì)事件影響的合理判斷。
由此可以看出:
(1)SEC對(duì)“安全事件”的定義范圍較廣�����,主要側(cè)重于事件的“未授權(quán)”性質(zhì)�����,即使事件中可能不存在惡意攻擊行為��,但如果導(dǎo)致對(duì)敏感信息或系統(tǒng)的非授權(quán)訪問(wèn)并產(chǎn)生影響����,也屬于要求所述的“網(wǎng)絡(luò)安全事件”范圍內(nèi)。
(2)由于網(wǎng)絡(luò)攻擊可能會(huì)隨著時(shí)間推移而復(fù)雜化���,不一定會(huì)作為獨(dú)立事件出現(xiàn)����,SEC并未對(duì)上報(bào)的事件數(shù)量(例如單個(gè)事件或多個(gè)事件)做出限制�。注冊(cè)企業(yè)在進(jìn)行披露時(shí),應(yīng)當(dāng)從重大影響的角度出發(fā)��,全面說(shuō)明造成影響的相關(guān)事件情況���,而非從單個(gè)事件的維度出發(fā)對(duì)其影響進(jìn)行披露����。例如:若單個(gè)網(wǎng)絡(luò)安全事件影響較低�,但多個(gè)事件結(jié)合對(duì)企業(yè)產(chǎn)生了/可能產(chǎn)生較大影響,注冊(cè)企業(yè)應(yīng)當(dāng)對(duì)產(chǎn)生該重大影響的多個(gè)事件一同進(jìn)行披露����;
(3)SEC對(duì)信息系統(tǒng)的定義中涵蓋了注冊(cè)企業(yè)“擁有或使用”的系統(tǒng),說(shuō)明披露的要求不會(huì)受到信息系統(tǒng)的部署位置及所有權(quán)的影響,即使企業(yè)使用的軟件為第三方所有�����,也不能規(guī)避企業(yè)對(duì)事件的披露義務(wù)�����;
(4)由于類似的安全事件對(duì)不同企業(yè)的影響也往往會(huì)存在較大差異���,SEC并未對(duì)事件的“重大”程度提出規(guī)范的判定方式��,也未給出標(biāo)準(zhǔn)的事件披露清單��,僅要求注冊(cè)企業(yè)從投資人角度做出“合理”判斷后進(jìn)行披露���。因此,企業(yè)可以自行制定判定標(biāo)準(zhǔn)���,如參考SEC提到的風(fēng)險(xiǎn)類型�,從業(yè)務(wù)戰(zhàn)略���、運(yùn)營(yíng)結(jié)果��、財(cái)務(wù)狀況�、品牌聲譽(yù)��、客戶關(guān)系等多個(gè)方面����,定性和定量地對(duì)企業(yè)受網(wǎng)絡(luò)安全事件的影響程度進(jìn)行判斷。
3)披露方式:
美國(guó)注冊(cè)企業(yè)應(yīng)通過(guò)8-K表進(jìn)行披露���;外國(guó)私人發(fā)行人(FPI)應(yīng)通過(guò)6-K表進(jìn)行披露�。
4)披露時(shí)間:
根據(jù)SEC要求�����,注冊(cè)企業(yè)應(yīng)在完成網(wǎng)絡(luò)安全事件重要性判斷后的四個(gè)工作日內(nèi)完成披露��。若信息不足����,可先提交初始的8-K表,并在確定/獲得信息后的四個(gè)工作日內(nèi)再次提交修訂表��。
此處的關(guān)鍵為�����,SEC所要求的披露時(shí)限中的“四個(gè)工作日”并非事件發(fā)生或被發(fā)現(xiàn)起,而是做出重要性判斷起的四個(gè)工作日內(nèi)�����。但這并不意味著企業(yè)可以根據(jù)實(shí)踐情況無(wú)限地推遲判斷及披露動(dòng)作��,根據(jù)SEC發(fā)布的指引文件說(shuō)明����,企業(yè)必須在“沒(méi)有不當(dāng)拖延”的情況下確認(rèn)事件重要性。
總結(jié)來(lái)看����,企業(yè)應(yīng)當(dāng)建立合理的事件響應(yīng)流程,確保重大網(wǎng)絡(luò)安全事件可以得到及時(shí)響應(yīng)和上報(bào)�。此外,企業(yè)應(yīng)當(dāng)對(duì)重大網(wǎng)絡(luò)安全事件進(jìn)行真實(shí)����、及時(shí)和充分的披露,確保投資人可以完整全面地獲取網(wǎng)絡(luò)安全事件信息�����。
根據(jù)SEC過(guò)往的執(zhí)法案例,注冊(cè)企業(yè)違反SEC相關(guān)披露控制和程序可能導(dǎo)致企業(yè)受到罰款��。例如:2021年����,某企業(yè)因過(guò)往對(duì)網(wǎng)絡(luò)安全事件的響應(yīng)及上報(bào)流程不當(dāng)����、披露不能夠完整反應(yīng)事件信息被SEC罰款近50萬(wàn)美元。同年�,某企業(yè)因網(wǎng)絡(luò)安全控制和程序披露不當(dāng)、對(duì)投資人造成誤導(dǎo)的原因����,被罰款約100萬(wàn)美元。若企業(yè)在網(wǎng)絡(luò)安全事件的評(píng)估和披露中發(fā)生不當(dāng)拖延�,也有可能會(huì)受到SEC的相應(yīng)處罰。
5)披露內(nèi)容:
根據(jù)此次更新的要求��,重大網(wǎng)絡(luò)安全事件披露應(yīng)側(cè)重于事件的重大影響���,而非事件本身的細(xì)節(jié)�����,例如應(yīng)包括:
? 事件的性質(zhì)����、范圍和時(shí)間;
? 對(duì)注冊(cè)企業(yè)財(cái)務(wù)狀況和經(jīng)營(yíng)成果的影響�,或合理的可能影響。
此外���,根據(jù)SEC的指引文件�����,披露內(nèi)容中不應(yīng)包含:
? 詳細(xì)的技術(shù)信息�����,說(shuō)明事件或網(wǎng)絡(luò)安全系統(tǒng)��、相關(guān)網(wǎng)絡(luò)和設(shè)備采取的應(yīng)對(duì)計(jì)劃��;
? 可能妨礙應(yīng)對(duì)或補(bǔ)救措施的潛在系統(tǒng)漏洞�。
因此����,企業(yè)應(yīng)當(dāng)在確保投資人可以全面了解網(wǎng)絡(luò)安全事件情況的同時(shí)����,避免對(duì)內(nèi)部具體信息�����,如技術(shù)信息�����、漏洞信息����、人員架構(gòu)等進(jìn)行過(guò)度披露���,防止攻擊者利用披露內(nèi)容針對(duì)性地對(duì)企業(yè)開(kāi)展進(jìn)一步的網(wǎng)絡(luò)安全攻擊�。
6)例外情況:
如果美國(guó)司法部長(zhǎng)認(rèn)為�,事件披露會(huì)對(duì)美國(guó)國(guó)家安全或公共安全構(gòu)成重大風(fēng)險(xiǎn),并在8-K表截止日期前以書面形式通知SEC�����,注冊(cè)企業(yè)可推遲披露的時(shí)間��。
7)過(guò)渡期說(shuō)明:
? 8-K表和6-K表的披露要求將在《聯(lián)邦公報(bào)》發(fā)布之日起九十天后或2023年 12月18日(以較晚者為準(zhǔn))起執(zhí)行;
? 小型申報(bào)公司(SRC)將有額外的180天過(guò)渡期�,須在2024年6月15日起開(kāi)始遵守8-K表的披露要求。
注:
根據(jù)SEC的最新修訂����,小型申報(bào)公司(SRC)的定義為:(1)公眾持股量低于2.5億美元,或(2)年收入低于1億美元��,且:無(wú)公眾持股量或公眾持股量少于7億美元�����。
二���、風(fēng)險(xiǎn)管理���、戰(zhàn)略和治理披露
其次,注冊(cè)企業(yè)應(yīng)當(dāng)對(duì)企業(yè)的網(wǎng)絡(luò)安全狀況開(kāi)展定期披露�����,披露的內(nèi)容包括企業(yè)的(1)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理和戰(zhàn)略以及(2)網(wǎng)絡(luò)安全治理情況���。
1)風(fēng)險(xiǎn)管理和戰(zhàn)略:
要求原文:
注冊(cè)企業(yè)必須說(shuō)明其評(píng)估��、識(shí)別和管理網(wǎng)絡(luò)安全威脅相關(guān)重大風(fēng)險(xiǎn)的流程(如有)��,并說(shuō)明網(wǎng)絡(luò)安全威脅導(dǎo)致的任何風(fēng)險(xiǎn)是否對(duì)其業(yè)務(wù)戰(zhàn)略�����、運(yùn)營(yíng)結(jié)果或財(cái)務(wù)狀況產(chǎn)生重大影響�,或在合理判斷下有可能產(chǎn)生重大影響。
披露內(nèi)容:
根據(jù)SEC指導(dǎo)文件中的說(shuō)明��,企業(yè)對(duì)風(fēng)險(xiǎn)管理和戰(zhàn)略進(jìn)行定期披露時(shí)����,應(yīng)當(dāng)包含以下內(nèi)容:
? 評(píng)估�、識(shí)別和管理網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的流程(如有),包括是否��,及如何將此類流程整合到風(fēng)險(xiǎn)管理流程中���;
? 此類流程中是否聘用第三方�,如評(píng)估師�、顧問(wèn)、審計(jì)師等��,以及是否建立流程,以監(jiān)督和識(shí)別第三方服務(wù)提供商的相關(guān)風(fēng)險(xiǎn)�����;
? 企業(yè)的網(wǎng)絡(luò)安全威脅相關(guān)風(fēng)險(xiǎn)及過(guò)往網(wǎng)絡(luò)安全事件是否對(duì)注冊(cè)企業(yè)的業(yè)務(wù)戰(zhàn)略�����、運(yùn)營(yíng)或財(cái)務(wù)狀況產(chǎn)生重大影響或有可能產(chǎn)生重大影響���,如果是����,如何產(chǎn)生影響��。
此外����,SEC還提供了補(bǔ)充說(shuō)明:
? 風(fēng)險(xiǎn)的類型:包括但不限于“知識(shí)產(chǎn)權(quán)盜竊;詐騙����;敲詐勒索;對(duì)員工或客戶的傷害;違反隱私法以及其他訴訟和法律風(fēng)險(xiǎn)����;和聲譽(yù)風(fēng)險(xiǎn)”。
? 披露過(guò)程中����,應(yīng)當(dāng)對(duì)事件解決流程,包括分析�����、識(shí)別和管理重大風(fēng)險(xiǎn)的方式進(jìn)行描述���,避免直接披露企業(yè)策略及流程等運(yùn)營(yíng)細(xì)節(jié)�,防止受到攻擊者利用���;
? 企業(yè)無(wú)需披露使用的第三方及具體服務(wù)內(nèi)容、風(fēng)險(xiǎn)評(píng)估的量化指標(biāo)�、企業(yè)適用的網(wǎng)絡(luò)安全框架(如NIST等)、管理層的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)討論頻率等信息����。
總體來(lái)看:
(1)企業(yè)應(yīng)當(dāng)建立完善的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估流程并定期開(kāi)展評(píng)估,從而全面識(shí)別企業(yè)面臨的網(wǎng)絡(luò)安全威脅、由此產(chǎn)生的風(fēng)險(xiǎn)及對(duì)企業(yè)的潛在影響���,確保信息披露的完整性�,幫助投資人有效地全面了解企業(yè)的網(wǎng)絡(luò)安全狀況�����。
(2)在信息披露的過(guò)程中����,企業(yè)應(yīng)當(dāng)對(duì)SEC要求進(jìn)行全面了解,從而劃定信息披露的范圍���,在確保投資人可以通過(guò)信息披露全面了解企業(yè)風(fēng)險(xiǎn)管理狀況的基礎(chǔ)上�,避免過(guò)度披露企業(yè)的實(shí)際制度文檔�����、風(fēng)險(xiǎn)管理流程中的真實(shí)聯(lián)絡(luò)點(diǎn)等具體信息�,防止受到攻擊者的利用,從而開(kāi)展有針對(duì)性地進(jìn)一步網(wǎng)絡(luò)安全攻擊���。
2)網(wǎng)絡(luò)安全治理
要求原文:
注冊(cè)企業(yè)必須:
? 說(shuō)明董事會(huì)對(duì)網(wǎng)絡(luò)安全威脅風(fēng)險(xiǎn)的監(jiān)管方式���。
? 說(shuō)明管理層在評(píng)估和管理網(wǎng)絡(luò)安全威脅相關(guān)重大風(fēng)險(xiǎn)過(guò)程中的職能�。
披露內(nèi)容:
? 董事會(huì)對(duì)網(wǎng)絡(luò)安全威脅所帶來(lái)風(fēng)險(xiǎn)的監(jiān)督情況�。在適用的情況下,指明由何董事會(huì)委員會(huì)或小組委員會(huì)負(fù)責(zé)此類監(jiān)督�����,并說(shuō)明董事會(huì)或此類委員會(huì)了解此類風(fēng)險(xiǎn)的流程�。
? 是否及由哪些管理職位(如首席信息安全官)或委員會(huì)負(fù)責(zé)評(píng)估和管理此類風(fēng)險(xiǎn),以及此類人員或成員的相關(guān)專業(yè)知識(shí)�,必要時(shí)詳細(xì)說(shuō)明專業(yè)知識(shí)的性質(zhì);
? 這些人員或委員會(huì)了解和監(jiān)督網(wǎng)絡(luò)安全事件的預(yù)防����、檢測(cè)、緩解和補(bǔ)救流程����;以及
? 此類人員或委員會(huì)是否向董事會(huì)或董事會(huì)下設(shè)委員會(huì)或組委會(huì)報(bào)告此類風(fēng)險(xiǎn)的相關(guān)信息。
此外�,SEC還補(bǔ)充說(shuō)明:
? 企業(yè)無(wú)需披露董事會(huì)的網(wǎng)絡(luò)安全專業(yè)知識(shí)情況;
? 企業(yè)無(wú)需披露企業(yè)管理層及員工的網(wǎng)絡(luò)安全培訓(xùn)情況����。
總體來(lái)看:
(1)SEC對(duì)企業(yè)網(wǎng)絡(luò)安全治理相關(guān)信息的披露要求中主要包含兩個(gè)對(duì)象,即a.董事會(huì)及董事會(huì)委員會(huì)/組委會(huì)���,b.網(wǎng)絡(luò)安全管理人員或管理委員會(huì):
? a.董事會(huì)及董事會(huì)委員會(huì)/組委會(huì):應(yīng)當(dāng)監(jiān)督網(wǎng)絡(luò)安全風(fēng)險(xiǎn)���;在識(shí)別網(wǎng)絡(luò)安全風(fēng)險(xiǎn)后,負(fù)責(zé)人應(yīng)通過(guò)一定流程向董事會(huì)或董事會(huì)委員會(huì)/組委會(huì)進(jìn)行上報(bào)�。
? b.網(wǎng)絡(luò)安全管理人員或管理委員會(huì):負(fù)責(zé)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的實(shí)際評(píng)估和管理,需具有相應(yīng)的專業(yè)知識(shí)��;負(fù)責(zé)網(wǎng)絡(luò)安全事件的預(yù)防����、檢測(cè)環(huán)節(jié)和補(bǔ)救流程;在發(fā)現(xiàn)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)時(shí)��,向董事會(huì)或董事會(huì)委員會(huì)/組委會(huì)進(jìn)行上報(bào)�。
(2)因此,企業(yè)應(yīng)當(dāng)建立網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理組織架構(gòu)���,明確相應(yīng)的角色職能���,并完善相應(yīng)的風(fēng)險(xiǎn)識(shí)別、評(píng)估�����、上報(bào)流程。
3)過(guò)渡期說(shuō)明:
對(duì)于2023年12月15日及以后結(jié)束的財(cái)年:
? 美國(guó)注冊(cè)企業(yè)需根據(jù)S-K法規(guī)第106項(xiàng)��,在年報(bào)的10-K表中對(duì)上述信息進(jìn)行披露����;
? 外國(guó)(美國(guó)以外)私人發(fā)行人(FPI)需要遵循20-F表格中的類似要求進(jìn)行披露。
三����、結(jié)構(gòu)化數(shù)據(jù)要求
1)要求說(shuō)明:
委員會(huì)要求注冊(cè)企業(yè)通過(guò)“內(nèi)嵌式可擴(kuò)展商業(yè)報(bào)告語(yǔ)言”(Inline eXtensible Business Reporting Language,簡(jiǎn)稱"Inline XBRL")對(duì)新披露的信息進(jìn)行標(biāo)記�,從而使投資者和其他市場(chǎng)參與者更容易獲取披露信息,并提高分析的有效性���。
注:
該格式為2021年7月起�����,在美上市企業(yè)均需遵循的年報(bào)披露格式�����。
2)過(guò)渡期說(shuō)明:
企業(yè)將在首次遵守披露要求的一年后開(kāi)始遵守結(jié)構(gòu)化數(shù)據(jù)要求���。
建議:企業(yè)應(yīng)當(dāng)如何做?
1�、建立完善的網(wǎng)絡(luò)安全管理架構(gòu)
? 企業(yè)應(yīng)當(dāng)建立完善的網(wǎng)絡(luò)安全事件管理架構(gòu),明確網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的管理人員及管理責(zé)任��。
? 應(yīng)當(dāng)明確網(wǎng)絡(luò)安全管理人員及管理小組的風(fēng)險(xiǎn)預(yù)防監(jiān)測(cè)����、風(fēng)險(xiǎn)識(shí)別、分析上報(bào)等職能��、董事會(huì)及相關(guān)委員會(huì)的網(wǎng)絡(luò)安全管理和監(jiān)督職能�。
2、實(shí)施有效的網(wǎng)絡(luò)安全防護(hù)和監(jiān)控
? 企業(yè)應(yīng)當(dāng)通過(guò)多種技術(shù)手段加強(qiáng)網(wǎng)絡(luò)安全的防護(hù)�,減少潛在的網(wǎng)絡(luò)安全威脅、降低風(fēng)險(xiǎn)對(duì)企業(yè)造成的實(shí)際影響�。
? 企業(yè)應(yīng)建立有效的過(guò)網(wǎng)絡(luò)安全事件的監(jiān)控機(jī)制開(kāi)展全面的監(jiān)控、告警����、事件記錄和證據(jù)收集等,協(xié)助企業(yè)更好地控制風(fēng)險(xiǎn)并全面快速地獲取事件信息并開(kāi)展披露工作����。
3��、制定全面的網(wǎng)絡(luò)安全事件響應(yīng)流程
? 企業(yè)應(yīng)當(dāng)完善事件的標(biāo)準(zhǔn)處理流程�,其中包括及時(shí)的事件響應(yīng)措施���,對(duì)影響程度的合理判斷標(biāo)準(zhǔn)等�,從而在網(wǎng)絡(luò)安全事件發(fā)生后盡快完成事件的等級(jí)劃分�����,及時(shí)判斷事件是否存在披露需求���,并在有披露需求的情況下在規(guī)定時(shí)間內(nèi)完成上報(bào)動(dòng)作�。
? 對(duì)于資產(chǎn)量較大的企業(yè)��,也可以考慮采用第三方SOC服務(wù)�����,從而更加及時(shí)有效地發(fā)現(xiàn)安全事件并做出適度響應(yīng)���。此外�,好的SOC團(tuán)隊(duì)能夠協(xié)助企業(yè)更加全面整體地了解網(wǎng)絡(luò)安全態(tài)勢(shì),在進(jìn)一步提升網(wǎng)絡(luò)安全水平的同時(shí)���,也有助于完成SEC的年度披露工作�。
4��、定期開(kāi)展網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估
? 企業(yè)應(yīng)當(dāng)開(kāi)展定期的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估�����,方可有效地識(shí)別網(wǎng)絡(luò)安全威脅�����、發(fā)現(xiàn)潛在的安全風(fēng)險(xiǎn)�、并評(píng)估可能對(duì)企業(yè)造成的影響�����,以滿足SEC的年度披露要求����。
? 企業(yè)可以選用適用的行業(yè)網(wǎng)絡(luò)安全管理框架,在標(biāo)準(zhǔn)框架的基礎(chǔ)上開(kāi)展評(píng)估��、識(shí)別風(fēng)險(xiǎn)差距,并有針對(duì)性地提升網(wǎng)絡(luò)安全水平����。
注:
1、見(jiàn)SEC–Final Rule-Cybersecurity Risk Management,Strategy,Governance,and Incident Disclosure,https://www.sec.gov/rules/2022/03/cybersecurity-risk-management-strategy-governance-and-incident-disclosure
2����、見(jiàn)CF Disclosure Guidance:Topic No.2—Cybersecurity(Oct.13,2011),https://www.sec.gov/divisions/corpfin/guidance/cfguidance-topic2.htm
3、見(jiàn)Commission Statement and Guidance on Public Company Cybersecurity Disclosures,Release No.33-10459(Feb.21,2018)[83 FR 8166(Feb.26,2018)],at 8167.
4�����、見(jiàn)Federal Register:Cybersecurity Risk Management,Strategy,Governance,and Incident Disclosure
本文是為提供一般信息的用途所撰寫���,并非旨在成為可依賴的會(huì)計(jì)��、稅務(wù)��、法律或其他專業(yè)意見(jiàn)���。請(qǐng)向您的顧問(wèn)獲取具體意見(jiàn)。
關(guān)鍵詞:
