隨著技術(shù)的發(fā)展,網(wǎng)絡(luò)安全風(fēng)險對企業(yè)的經(jīng)濟活動造成的影響越來越明顯。此外,隨著網(wǎng)絡(luò)安全攻擊的不斷進化,網(wǎng)絡(luò)安全事件帶來的成本和造成的后果也在持續(xù)升級。在此背景下,2023年7月26日,美國證券交易委員會(SEC)通過了網(wǎng)絡(luò)安全披露準則的更新與補充[1],對注冊企業(yè)的網(wǎng)絡(luò)安全風(fēng)險管理、戰(zhàn)略、治理和事件的披露要求做出進一步的加強和規(guī)范,旨在滿足投資者對于注冊企業(yè)網(wǎng)絡(luò)安全情況的信息需求。
(資料圖片)
2011年,美國證券交易委員會(SEC)曾發(fā)布《2011員工指南(the 2011 Staff Guidance)》[2],概述了企業(yè)對網(wǎng)絡(luò)安全風(fēng)險和網(wǎng)絡(luò)安全事件可能的披露義務(wù)。在此基礎(chǔ)上,SEC在2018年發(fā)布解釋性公告(the 2018 Interpretive Release)[3],說明了注冊企業(yè)對于網(wǎng)絡(luò)安全風(fēng)險、治理和重大網(wǎng)絡(luò)安全事件的披露要求,但由于此次公告中仍未對披露方式、披露時間、披露內(nèi)容等做出明確的規(guī)范化要求,投資人對此類信息的全面獲取仍存在較大困難。
本次的更新與補充已于2023年8月4日在聯(lián)邦公報發(fā)布[4],并將于發(fā)布的三十天后,即2023年9月5日起生效。
此次發(fā)布的要求主要包含三個方面的內(nèi)容:
? 要求注冊企業(yè)及時披露重大網(wǎng)絡(luò)安全事件;
? 要求注冊企業(yè)定期披露評估、識別和管理重大網(wǎng)絡(luò)安全風(fēng)險的流程,管理層的評估管理職能,以及董事會的監(jiān)督職能;
? 相關(guān)披露應(yīng)采用內(nèi)嵌式可擴展商業(yè)報告語言(Inline XBRL)。
這些要求適用于所有的SEC注冊企業(yè)。大部分外國(美國以外)私人發(fā)行人(FPI)需要與美國本土企業(yè)遵循同樣的要求,僅使用的披露文件表格不同。此外,根據(jù)多轄區(qū)披露系統(tǒng)(MJDS)要求,加拿大企業(yè)(適用于40-F表)可使用加拿大的披露標準和文件滿足相關(guān)要求。
注:
外國私人發(fā)行人(FPI)是指除任何美國以外的發(fā)行公司,但以下除外:(1)其50%以上的記錄在案的流通的有表決權(quán)證券由美國居民持有;(2)符合以下任一條件:(i)其大多數(shù)執(zhí)行官或董事為美國公民或居民;(ii)其50%以上的資產(chǎn)位于美國;或(iii)其業(yè)務(wù)主要在美國管理。
根據(jù)SEC發(fā)布的相關(guān)要求及指導(dǎo)性文件,安永對此次要求進行了初步的梳理和解讀。
首先,注冊企業(yè)應(yīng)當(dāng)對重大網(wǎng)絡(luò)安全事件進行及時披露。
1)要求原文:
注冊企業(yè)必須披露其經(jīng)歷的任何被認定為重大的網(wǎng)絡(luò)安全事件,并從如下方面描述該事件的重大程度:
? 性質(zhì)、范圍和時間;以及
? 影響或合理的可能影響。
2)披露對象:重大網(wǎng)絡(luò)安全事件(material cybersecurity incidents)
對于“重大網(wǎng)絡(luò)安全事件”應(yīng)當(dāng)如何判定,SEC在說明文件中給出了相關(guān)的定義:
? 網(wǎng)絡(luò)安全事件:在注冊企業(yè)信息系統(tǒng)上或通過注冊企業(yè)信息系統(tǒng)發(fā)生的、危及注冊企業(yè)信息系統(tǒng)或其中任何信息的保密性、完整性或可用性的未經(jīng)授權(quán)的事件,或一系列相關(guān)的未經(jīng)授權(quán)的事件。
? 信息系統(tǒng)系指注冊企業(yè)擁有或使用的電子信息資源,包括由此類信息資源或其組成部分控制的物理或虛擬基礎(chǔ)設(shè)施,其目的是收集、處理、維護、使用、共享、傳播或處置注冊企業(yè)的信息,以維護或支持注冊企業(yè)的業(yè)務(wù)。
? 重要性:取決于投資者對事件影響的合理判斷。
由此可以看出:
(1)SEC對“安全事件”的定義范圍較廣,主要側(cè)重于事件的“未授權(quán)”性質(zhì),即使事件中可能不存在惡意攻擊行為,但如果導(dǎo)致對敏感信息或系統(tǒng)的非授權(quán)訪問并產(chǎn)生影響,也屬于要求所述的“網(wǎng)絡(luò)安全事件”范圍內(nèi)。
(2)由于網(wǎng)絡(luò)攻擊可能會隨著時間推移而復(fù)雜化,不一定會作為獨立事件出現(xiàn),SEC并未對上報的事件數(shù)量(例如單個事件或多個事件)做出限制。注冊企業(yè)在進行披露時,應(yīng)當(dāng)從重大影響的角度出發(fā),全面說明造成影響的相關(guān)事件情況,而非從單個事件的維度出發(fā)對其影響進行披露。例如:若單個網(wǎng)絡(luò)安全事件影響較低,但多個事件結(jié)合對企業(yè)產(chǎn)生了/可能產(chǎn)生較大影響,注冊企業(yè)應(yīng)當(dāng)對產(chǎn)生該重大影響的多個事件一同進行披露;
(3)SEC對信息系統(tǒng)的定義中涵蓋了注冊企業(yè)“擁有或使用”的系統(tǒng),說明披露的要求不會受到信息系統(tǒng)的部署位置及所有權(quán)的影響,即使企業(yè)使用的軟件為第三方所有,也不能規(guī)避企業(yè)對事件的披露義務(wù);
(4)由于類似的安全事件對不同企業(yè)的影響也往往會存在較大差異,SEC并未對事件的“重大”程度提出規(guī)范的判定方式,也未給出標準的事件披露清單,僅要求注冊企業(yè)從投資人角度做出“合理”判斷后進行披露。因此,企業(yè)可以自行制定判定標準,如參考SEC提到的風(fēng)險類型,從業(yè)務(wù)戰(zhàn)略、運營結(jié)果、財務(wù)狀況、品牌聲譽、客戶關(guān)系等多個方面,定性和定量地對企業(yè)受網(wǎng)絡(luò)安全事件的影響程度進行判斷。
3)披露方式:
美國注冊企業(yè)應(yīng)通過8-K表進行披露;外國私人發(fā)行人(FPI)應(yīng)通過6-K表進行披露。
4)披露時間:
根據(jù)SEC要求,注冊企業(yè)應(yīng)在完成網(wǎng)絡(luò)安全事件重要性判斷后的四個工作日內(nèi)完成披露。若信息不足,可先提交初始的8-K表,并在確定/獲得信息后的四個工作日內(nèi)再次提交修訂表。
此處的關(guān)鍵為,SEC所要求的披露時限中的“四個工作日”并非事件發(fā)生或被發(fā)現(xiàn)起,而是做出重要性判斷起的四個工作日內(nèi)。但這并不意味著企業(yè)可以根據(jù)實踐情況無限地推遲判斷及披露動作,根據(jù)SEC發(fā)布的指引文件說明,企業(yè)必須在“沒有不當(dāng)拖延”的情況下確認事件重要性。
總結(jié)來看,企業(yè)應(yīng)當(dāng)建立合理的事件響應(yīng)流程,確保重大網(wǎng)絡(luò)安全事件可以得到及時響應(yīng)和上報。此外,企業(yè)應(yīng)當(dāng)對重大網(wǎng)絡(luò)安全事件進行真實、及時和充分的披露,確保投資人可以完整全面地獲取網(wǎng)絡(luò)安全事件信息。
根據(jù)SEC過往的執(zhí)法案例,注冊企業(yè)違反SEC相關(guān)披露控制和程序可能導(dǎo)致企業(yè)受到罰款。例如:2021年,某企業(yè)因過往對網(wǎng)絡(luò)安全事件的響應(yīng)及上報流程不當(dāng)、披露不能夠完整反應(yīng)事件信息被SEC罰款近50萬美元。同年,某企業(yè)因網(wǎng)絡(luò)安全控制和程序披露不當(dāng)、對投資人造成誤導(dǎo)的原因,被罰款約100萬美元。若企業(yè)在網(wǎng)絡(luò)安全事件的評估和披露中發(fā)生不當(dāng)拖延,也有可能會受到SEC的相應(yīng)處罰。
5)披露內(nèi)容:
根據(jù)此次更新的要求,重大網(wǎng)絡(luò)安全事件披露應(yīng)側(cè)重于事件的重大影響,而非事件本身的細節(jié),例如應(yīng)包括:
? 事件的性質(zhì)、范圍和時間;
? 對注冊企業(yè)財務(wù)狀況和經(jīng)營成果的影響,或合理的可能影響。
此外,根據(jù)SEC的指引文件,披露內(nèi)容中不應(yīng)包含:
? 詳細的技術(shù)信息,說明事件或網(wǎng)絡(luò)安全系統(tǒng)、相關(guān)網(wǎng)絡(luò)和設(shè)備采取的應(yīng)對計劃;
? 可能妨礙應(yīng)對或補救措施的潛在系統(tǒng)漏洞。
因此,企業(yè)應(yīng)當(dāng)在確保投資人可以全面了解網(wǎng)絡(luò)安全事件情況的同時,避免對內(nèi)部具體信息,如技術(shù)信息、漏洞信息、人員架構(gòu)等進行過度披露,防止攻擊者利用披露內(nèi)容針對性地對企業(yè)開展進一步的網(wǎng)絡(luò)安全攻擊。
6)例外情況:
如果美國司法部長認為,事件披露會對美國國家安全或公共安全構(gòu)成重大風(fēng)險,并在8-K表截止日期前以書面形式通知SEC,注冊企業(yè)可推遲披露的時間。
7)過渡期說明:
? 8-K表和6-K表的披露要求將在《聯(lián)邦公報》發(fā)布之日起九十天后或2023年 12月18日(以較晚者為準)起執(zhí)行;
? 小型申報公司(SRC)將有額外的180天過渡期,須在2024年6月15日起開始遵守8-K表的披露要求。
注:
根據(jù)SEC的最新修訂,小型申報公司(SRC)的定義為:(1)公眾持股量低于2.5億美元,或(2)年收入低于1億美元,且:無公眾持股量或公眾持股量少于7億美元。
其次,注冊企業(yè)應(yīng)當(dāng)對企業(yè)的網(wǎng)絡(luò)安全狀況開展定期披露,披露的內(nèi)容包括企業(yè)的(1)網(wǎng)絡(luò)安全風(fēng)險管理和戰(zhàn)略以及(2)網(wǎng)絡(luò)安全治理情況。
1)風(fēng)險管理和戰(zhàn)略:
要求原文:
注冊企業(yè)必須說明其評估、識別和管理網(wǎng)絡(luò)安全威脅相關(guān)重大風(fēng)險的流程(如有),并說明網(wǎng)絡(luò)安全威脅導(dǎo)致的任何風(fēng)險是否對其業(yè)務(wù)戰(zhàn)略、運營結(jié)果或財務(wù)狀況產(chǎn)生重大影響,或在合理判斷下有可能產(chǎn)生重大影響。
披露內(nèi)容:
根據(jù)SEC指導(dǎo)文件中的說明,企業(yè)對風(fēng)險管理和戰(zhàn)略進行定期披露時,應(yīng)當(dāng)包含以下內(nèi)容:
? 評估、識別和管理網(wǎng)絡(luò)安全風(fēng)險的流程(如有),包括是否,及如何將此類流程整合到風(fēng)險管理流程中;
? 此類流程中是否聘用第三方,如評估師、顧問、審計師等,以及是否建立流程,以監(jiān)督和識別第三方服務(wù)提供商的相關(guān)風(fēng)險;
? 企業(yè)的網(wǎng)絡(luò)安全威脅相關(guān)風(fēng)險及過往網(wǎng)絡(luò)安全事件是否對注冊企業(yè)的業(yè)務(wù)戰(zhàn)略、運營或財務(wù)狀況產(chǎn)生重大影響或有可能產(chǎn)生重大影響,如果是,如何產(chǎn)生影響。
此外,SEC還提供了補充說明:
? 風(fēng)險的類型:包括但不限于“知識產(chǎn)權(quán)盜竊;詐騙;敲詐勒索;對員工或客戶的傷害;違反隱私法以及其他訴訟和法律風(fēng)險;和聲譽風(fēng)險”。
? 披露過程中,應(yīng)當(dāng)對事件解決流程,包括分析、識別和管理重大風(fēng)險的方式進行描述,避免直接披露企業(yè)策略及流程等運營細節(jié),防止受到攻擊者利用;
? 企業(yè)無需披露使用的第三方及具體服務(wù)內(nèi)容、風(fēng)險評估的量化指標、企業(yè)適用的網(wǎng)絡(luò)安全框架(如NIST等)、管理層的網(wǎng)絡(luò)安全風(fēng)險討論頻率等信息。
總體來看:
(1)企業(yè)應(yīng)當(dāng)建立完善的網(wǎng)絡(luò)安全風(fēng)險評估流程并定期開展評估,從而全面識別企業(yè)面臨的網(wǎng)絡(luò)安全威脅、由此產(chǎn)生的風(fēng)險及對企業(yè)的潛在影響,確保信息披露的完整性,幫助投資人有效地全面了解企業(yè)的網(wǎng)絡(luò)安全狀況。
(2)在信息披露的過程中,企業(yè)應(yīng)當(dāng)對SEC要求進行全面了解,從而劃定信息披露的范圍,在確保投資人可以通過信息披露全面了解企業(yè)風(fēng)險管理狀況的基礎(chǔ)上,避免過度披露企業(yè)的實際制度文檔、風(fēng)險管理流程中的真實聯(lián)絡(luò)點等具體信息,防止受到攻擊者的利用,從而開展有針對性地進一步網(wǎng)絡(luò)安全攻擊。
2)網(wǎng)絡(luò)安全治理
要求原文:
注冊企業(yè)必須:
? 說明董事會對網(wǎng)絡(luò)安全威脅風(fēng)險的監(jiān)管方式。
? 說明管理層在評估和管理網(wǎng)絡(luò)安全威脅相關(guān)重大風(fēng)險過程中的職能。
披露內(nèi)容:
? 董事會對網(wǎng)絡(luò)安全威脅所帶來風(fēng)險的監(jiān)督情況。在適用的情況下,指明由何董事會委員會或小組委員會負責(zé)此類監(jiān)督,并說明董事會或此類委員會了解此類風(fēng)險的流程。
? 是否及由哪些管理職位(如首席信息安全官)或委員會負責(zé)評估和管理此類風(fēng)險,以及此類人員或成員的相關(guān)專業(yè)知識,必要時詳細說明專業(yè)知識的性質(zhì);
? 這些人員或委員會了解和監(jiān)督網(wǎng)絡(luò)安全事件的預(yù)防、檢測、緩解和補救流程;以及
? 此類人員或委員會是否向董事會或董事會下設(shè)委員會或組委會報告此類風(fēng)險的相關(guān)信息。
此外,SEC還補充說明:
? 企業(yè)無需披露董事會的網(wǎng)絡(luò)安全專業(yè)知識情況;
? 企業(yè)無需披露企業(yè)管理層及員工的網(wǎng)絡(luò)安全培訓(xùn)情況。
總體來看:
(1)SEC對企業(yè)網(wǎng)絡(luò)安全治理相關(guān)信息的披露要求中主要包含兩個對象,即a.董事會及董事會委員會/組委會,b.網(wǎng)絡(luò)安全管理人員或管理委員會:
? a.董事會及董事會委員會/組委會:應(yīng)當(dāng)監(jiān)督網(wǎng)絡(luò)安全風(fēng)險;在識別網(wǎng)絡(luò)安全風(fēng)險后,負責(zé)人應(yīng)通過一定流程向董事會或董事會委員會/組委會進行上報。
? b.網(wǎng)絡(luò)安全管理人員或管理委員會:負責(zé)網(wǎng)絡(luò)安全風(fēng)險的實際評估和管理,需具有相應(yīng)的專業(yè)知識;負責(zé)網(wǎng)絡(luò)安全事件的預(yù)防、檢測環(huán)節(jié)和補救流程;在發(fā)現(xiàn)網(wǎng)絡(luò)安全風(fēng)險時,向董事會或董事會委員會/組委會進行上報。
(2)因此,企業(yè)應(yīng)當(dāng)建立網(wǎng)絡(luò)安全風(fēng)險管理組織架構(gòu),明確相應(yīng)的角色職能,并完善相應(yīng)的風(fēng)險識別、評估、上報流程。
3)過渡期說明:
對于2023年12月15日及以后結(jié)束的財年:
? 美國注冊企業(yè)需根據(jù)S-K法規(guī)第106項,在年報的10-K表中對上述信息進行披露;
? 外國(美國以外)私人發(fā)行人(FPI)需要遵循20-F表格中的類似要求進行披露。
1)要求說明:
委員會要求注冊企業(yè)通過“內(nèi)嵌式可擴展商業(yè)報告語言”(Inline eXtensible Business Reporting Language,簡稱"Inline XBRL")對新披露的信息進行標記,從而使投資者和其他市場參與者更容易獲取披露信息,并提高分析的有效性。
注:
該格式為2021年7月起,在美上市企業(yè)均需遵循的年報披露格式。
2)過渡期說明:
企業(yè)將在首次遵守披露要求的一年后開始遵守結(jié)構(gòu)化數(shù)據(jù)要求。
建議:企業(yè)應(yīng)當(dāng)如何做?
1、建立完善的網(wǎng)絡(luò)安全管理架構(gòu)
? 企業(yè)應(yīng)當(dāng)建立完善的網(wǎng)絡(luò)安全事件管理架構(gòu),明確網(wǎng)絡(luò)安全風(fēng)險的管理人員及管理責(zé)任。
? 應(yīng)當(dāng)明確網(wǎng)絡(luò)安全管理人員及管理小組的風(fēng)險預(yù)防監(jiān)測、風(fēng)險識別、分析上報等職能、董事會及相關(guān)委員會的網(wǎng)絡(luò)安全管理和監(jiān)督職能。
2、實施有效的網(wǎng)絡(luò)安全防護和監(jiān)控
? 企業(yè)應(yīng)當(dāng)通過多種技術(shù)手段加強網(wǎng)絡(luò)安全的防護,減少潛在的網(wǎng)絡(luò)安全威脅、降低風(fēng)險對企業(yè)造成的實際影響。
? 企業(yè)應(yīng)建立有效的過網(wǎng)絡(luò)安全事件的監(jiān)控機制開展全面的監(jiān)控、告警、事件記錄和證據(jù)收集等,協(xié)助企業(yè)更好地控制風(fēng)險并全面快速地獲取事件信息并開展披露工作。
3、制定全面的網(wǎng)絡(luò)安全事件響應(yīng)流程
? 企業(yè)應(yīng)當(dāng)完善事件的標準處理流程,其中包括及時的事件響應(yīng)措施,對影響程度的合理判斷標準等,從而在網(wǎng)絡(luò)安全事件發(fā)生后盡快完成事件的等級劃分,及時判斷事件是否存在披露需求,并在有披露需求的情況下在規(guī)定時間內(nèi)完成上報動作。
? 對于資產(chǎn)量較大的企業(yè),也可以考慮采用第三方SOC服務(wù),從而更加及時有效地發(fā)現(xiàn)安全事件并做出適度響應(yīng)。此外,好的SOC團隊能夠協(xié)助企業(yè)更加全面整體地了解網(wǎng)絡(luò)安全態(tài)勢,在進一步提升網(wǎng)絡(luò)安全水平的同時,也有助于完成SEC的年度披露工作。
4、定期開展網(wǎng)絡(luò)安全風(fēng)險評估
? 企業(yè)應(yīng)當(dāng)開展定期的網(wǎng)絡(luò)安全風(fēng)險評估,方可有效地識別網(wǎng)絡(luò)安全威脅、發(fā)現(xiàn)潛在的安全風(fēng)險、并評估可能對企業(yè)造成的影響,以滿足SEC的年度披露要求。
? 企業(yè)可以選用適用的行業(yè)網(wǎng)絡(luò)安全管理框架,在標準框架的基礎(chǔ)上開展評估、識別風(fēng)險差距,并有針對性地提升網(wǎng)絡(luò)安全水平。
注:
1、見SEC–Final Rule-Cybersecurity Risk Management,Strategy,Governance,and Incident Disclosure,https://www.sec.gov/rules/2022/03/cybersecurity-risk-management-strategy-governance-and-incident-disclosure
2、見CF Disclosure Guidance:Topic No.2—Cybersecurity(Oct.13,2011),https://www.sec.gov/divisions/corpfin/guidance/cfguidance-topic2.htm
3、見Commission Statement and Guidance on Public Company Cybersecurity Disclosures,Release No.33-10459(Feb.21,2018)[83 FR 8166(Feb.26,2018)],at 8167.
4、見Federal Register:Cybersecurity Risk Management,Strategy,Governance,and Incident Disclosure
本文是為提供一般信息的用途所撰寫,并非旨在成為可依賴的會計、稅務(wù)、法律或其他專業(yè)意見。請向您的顧問獲取具體意見。
關(guān)鍵詞:
新聞發(fā)布平臺 |科極網(wǎng) |環(huán)球周刊網(wǎng) |tp錢包官網(wǎng)下載 |中國創(chuàng)投網(wǎng) |教體產(chǎn)業(yè)網(wǎng) |中國商界網(wǎng) |萬能百科 |薄荷網(wǎng) |資訊_時尚網(wǎng) |連州財經(jīng)網(wǎng) |劇情啦 |5元服裝包郵 |中華網(wǎng)河南 |網(wǎng)購省錢平臺 |海淘返利 |太平洋裝修網(wǎng) |勵普網(wǎng)校 |九十三度白茶網(wǎng) |商標注冊 |專利申請 |啟哈號 |速挖投訴平臺 |深度財經(jīng)網(wǎng) |深圳熱線 |財報網(wǎng) |財報網(wǎng) |財報網(wǎng) |咕嚕財經(jīng) |太原熱線 |電路維修 |防水補漏 |水管維修 |墻面翻修 |舊房維修 |參考經(jīng)濟網(wǎng) |中原網(wǎng)視臺 |財經(jīng)產(chǎn)業(yè)網(wǎng) |全球經(jīng)濟網(wǎng) |消費導(dǎo)報網(wǎng) |外貿(mào)網(wǎng) |重播網(wǎng) |國際財經(jīng)網(wǎng) |星島中文網(wǎng) |手機測評 |品牌推廣 |名律網(wǎng) |項目大全 |整形資訊 |整形新聞 |美麗網(wǎng) |佳人網(wǎng) |稅法網(wǎng) |法務(wù)網(wǎng) |法律服務(wù) |法律咨詢 |成報網(wǎng) |媒體采購網(wǎng) |聚焦網(wǎng) |參考網(wǎng)
亞洲資本網(wǎng) 版權(quán)所有
Copyright © 2011-2020 亞洲資本網(wǎng) All Rights Reserved. 聯(lián)系網(wǎng)站:55 16 53 8 @qq.com