亞洲資本網(wǎng) > 資訊 > 熱點(diǎn) > 正文
美國(guó)SEC網(wǎng)絡(luò)安全新規(guī)發(fā)布:在美上市企業(yè)的影響與應(yīng)對(duì)
2023-08-14 13:08:35來(lái)源: 安永EY

隨著技術(shù)的發(fā)展,網(wǎng)絡(luò)安全風(fēng)險(xiǎn)對(duì)企業(yè)的經(jīng)濟(jì)活動(dòng)造成的影響越來(lái)越明顯。此外,隨著網(wǎng)絡(luò)安全攻擊的不斷進(jìn)化,網(wǎng)絡(luò)安全事件帶來(lái)的成本和造成的后果也在持續(xù)升級(jí)。在此背景下,2023年7月26日,美國(guó)證券交易委員會(huì)(SEC)通過(guò)了網(wǎng)絡(luò)安全披露準(zhǔn)則的更新與補(bǔ)充[1],對(duì)注冊(cè)企業(yè)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理、戰(zhàn)略、治理和事件的披露要求做出進(jìn)一步的加強(qiáng)和規(guī)范,旨在滿足投資者對(duì)于注冊(cè)企業(yè)網(wǎng)絡(luò)安全情況的信息需求。


(資料圖片)

2011年,美國(guó)證券交易委員會(huì)(SEC)曾發(fā)布《2011員工指南(the 2011 Staff Guidance)》[2],概述了企業(yè)對(duì)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)和網(wǎng)絡(luò)安全事件可能的披露義務(wù)。在此基礎(chǔ)上,SEC在2018年發(fā)布解釋性公告(the 2018 Interpretive Release)[3],說(shuō)明了注冊(cè)企業(yè)對(duì)于網(wǎng)絡(luò)安全風(fēng)險(xiǎn)、治理和重大網(wǎng)絡(luò)安全事件的披露要求,但由于此次公告中仍未對(duì)披露方式、披露時(shí)間、披露內(nèi)容等做出明確的規(guī)范化要求,投資人對(duì)此類(lèi)信息的全面獲取仍存在較大困難。

本次的更新與補(bǔ)充已于2023年8月4日在聯(lián)邦公報(bào)發(fā)布[4],并將于發(fā)布的三十天后,即2023年9月5日起生效。

此次發(fā)布的要求主要包含三個(gè)方面的內(nèi)容:

? 要求注冊(cè)企業(yè)及時(shí)披露重大網(wǎng)絡(luò)安全事件;

? 要求注冊(cè)企業(yè)定期披露評(píng)估、識(shí)別和管理重大網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的流程,管理層的評(píng)估管理職能,以及董事會(huì)的監(jiān)督職能;

? 相關(guān)披露應(yīng)采用內(nèi)嵌式可擴(kuò)展商業(yè)報(bào)告語(yǔ)言(Inline XBRL)。

這些要求適用于所有的SEC注冊(cè)企業(yè)。大部分外國(guó)(美國(guó)以外)私人發(fā)行人(FPI)需要與美國(guó)本土企業(yè)遵循同樣的要求,僅使用的披露文件表格不同。此外,根據(jù)多轄區(qū)披露系統(tǒng)(MJDS)要求,加拿大企業(yè)(適用于40-F表)可使用加拿大的披露標(biāo)準(zhǔn)和文件滿足相關(guān)要求。

注:

外國(guó)私人發(fā)行人(FPI)是指除任何美國(guó)以外的發(fā)行公司,但以下除外:(1)其50%以上的記錄在案的流通的有表決權(quán)證券由美國(guó)居民持有;(2)符合以下任一條件:(i)其大多數(shù)執(zhí)行官或董事為美國(guó)公民或居民;(ii)其50%以上的資產(chǎn)位于美國(guó);或(iii)其業(yè)務(wù)主要在美國(guó)管理。

根據(jù)SEC發(fā)布的相關(guān)要求及指導(dǎo)性文件,安永對(duì)此次要求進(jìn)行了初步的梳理和解讀。

一、重大網(wǎng)絡(luò)安全事件披露

首先,注冊(cè)企業(yè)應(yīng)當(dāng)對(duì)重大網(wǎng)絡(luò)安全事件進(jìn)行及時(shí)披露。

1)要求原文:

注冊(cè)企業(yè)必須披露其經(jīng)歷的任何被認(rèn)定為重大的網(wǎng)絡(luò)安全事件,并從如下方面描述該事件的重大程度:

? 性質(zhì)、范圍和時(shí)間;以及

? 影響或合理的可能影響。

2)披露對(duì)象:重大網(wǎng)絡(luò)安全事件(material cybersecurity incidents)

對(duì)于“重大網(wǎng)絡(luò)安全事件”應(yīng)當(dāng)如何判定,SEC在說(shuō)明文件中給出了相關(guān)的定義:

? 網(wǎng)絡(luò)安全事件:在注冊(cè)企業(yè)信息系統(tǒng)上或通過(guò)注冊(cè)企業(yè)信息系統(tǒng)發(fā)生的、危及注冊(cè)企業(yè)信息系統(tǒng)或其中任何信息的保密性、完整性或可用性的未經(jīng)授權(quán)的事件,或一系列相關(guān)的未經(jīng)授權(quán)的事件。

? 信息系統(tǒng)系指注冊(cè)企業(yè)擁有或使用的電子信息資源,包括由此類(lèi)信息資源或其組成部分控制的物理或虛擬基礎(chǔ)設(shè)施,其目的是收集、處理、維護(hù)、使用、共享、傳播或處置注冊(cè)企業(yè)的信息,以維護(hù)或支持注冊(cè)企業(yè)的業(yè)務(wù)。

? 重要性:取決于投資者對(duì)事件影響的合理判斷。

由此可以看出:

(1)SEC對(duì)“安全事件”的定義范圍較廣,主要側(cè)重于事件的“未授權(quán)”性質(zhì),即使事件中可能不存在惡意攻擊行為,但如果導(dǎo)致對(duì)敏感信息或系統(tǒng)的非授權(quán)訪問(wèn)并產(chǎn)生影響,也屬于要求所述的“網(wǎng)絡(luò)安全事件”范圍內(nèi)。

(2)由于網(wǎng)絡(luò)攻擊可能會(huì)隨著時(shí)間推移而復(fù)雜化,不一定會(huì)作為獨(dú)立事件出現(xiàn),SEC并未對(duì)上報(bào)的事件數(shù)量(例如單個(gè)事件或多個(gè)事件)做出限制。注冊(cè)企業(yè)在進(jìn)行披露時(shí),應(yīng)當(dāng)從重大影響的角度出發(fā),全面說(shuō)明造成影響的相關(guān)事件情況,而非從單個(gè)事件的維度出發(fā)對(duì)其影響進(jìn)行披露。例如:若單個(gè)網(wǎng)絡(luò)安全事件影響較低,但多個(gè)事件結(jié)合對(duì)企業(yè)產(chǎn)生了/可能產(chǎn)生較大影響,注冊(cè)企業(yè)應(yīng)當(dāng)對(duì)產(chǎn)生該重大影響的多個(gè)事件一同進(jìn)行披露;

(3)SEC對(duì)信息系統(tǒng)的定義中涵蓋了注冊(cè)企業(yè)“擁有或使用”的系統(tǒng),說(shuō)明披露的要求不會(huì)受到信息系統(tǒng)的部署位置及所有權(quán)的影響,即使企業(yè)使用的軟件為第三方所有,也不能規(guī)避企業(yè)對(duì)事件的披露義務(wù);

(4)由于類(lèi)似的安全事件對(duì)不同企業(yè)的影響也往往會(huì)存在較大差異,SEC并未對(duì)事件的“重大”程度提出規(guī)范的判定方式,也未給出標(biāo)準(zhǔn)的事件披露清單,僅要求注冊(cè)企業(yè)從投資人角度做出“合理”判斷后進(jìn)行披露。因此,企業(yè)可以自行制定判定標(biāo)準(zhǔn),如參考SEC提到的風(fēng)險(xiǎn)類(lèi)型,從業(yè)務(wù)戰(zhàn)略、運(yùn)營(yíng)結(jié)果、財(cái)務(wù)狀況、品牌聲譽(yù)、客戶關(guān)系等多個(gè)方面,定性和定量地對(duì)企業(yè)受網(wǎng)絡(luò)安全事件的影響程度進(jìn)行判斷。

3)披露方式:

美國(guó)注冊(cè)企業(yè)應(yīng)通過(guò)8-K表進(jìn)行披露;外國(guó)私人發(fā)行人(FPI)應(yīng)通過(guò)6-K表進(jìn)行披露。

4)披露時(shí)間:

根據(jù)SEC要求,注冊(cè)企業(yè)應(yīng)在完成網(wǎng)絡(luò)安全事件重要性判斷后四個(gè)工作日內(nèi)完成披露。若信息不足,可先提交初始的8-K表,并在確定/獲得信息后的四個(gè)工作日內(nèi)再次提交修訂表。

此處的關(guān)鍵為,SEC所要求的披露時(shí)限中的“四個(gè)工作日”并非事件發(fā)生或被發(fā)現(xiàn)起,而是做出重要性判斷起的四個(gè)工作日內(nèi)。但這并不意味著企業(yè)可以根據(jù)實(shí)踐情況無(wú)限地推遲判斷及披露動(dòng)作,根據(jù)SEC發(fā)布的指引文件說(shuō)明,企業(yè)必須在“沒(méi)有不當(dāng)拖延”的情況下確認(rèn)事件重要性。

總結(jié)來(lái)看,企業(yè)應(yīng)當(dāng)建立合理的事件響應(yīng)流程,確保重大網(wǎng)絡(luò)安全事件可以得到及時(shí)響應(yīng)和上報(bào)。此外,企業(yè)應(yīng)當(dāng)對(duì)重大網(wǎng)絡(luò)安全事件進(jìn)行真實(shí)、及時(shí)和充分的披露,確保投資人可以完整全面地獲取網(wǎng)絡(luò)安全事件信息。

根據(jù)SEC過(guò)往的執(zhí)法案例,注冊(cè)企業(yè)違反SEC相關(guān)披露控制和程序可能導(dǎo)致企業(yè)受到罰款。例如:2021年,某企業(yè)因過(guò)往對(duì)網(wǎng)絡(luò)安全事件的響應(yīng)及上報(bào)流程不當(dāng)、披露不能夠完整反應(yīng)事件信息被SEC罰款近50萬(wàn)美元。同年,某企業(yè)因網(wǎng)絡(luò)安全控制和程序披露不當(dāng)、對(duì)投資人造成誤導(dǎo)的原因,被罰款約100萬(wàn)美元。若企業(yè)在網(wǎng)絡(luò)安全事件的評(píng)估和披露中發(fā)生不當(dāng)拖延,也有可能會(huì)受到SEC的相應(yīng)處罰。

5)披露內(nèi)容:

根據(jù)此次更新的要求,重大網(wǎng)絡(luò)安全事件披露應(yīng)側(cè)重于事件的重大影響,而非事件本身的細(xì)節(jié),例如應(yīng)包括:

? 事件的性質(zhì)、范圍和時(shí)間;

? 對(duì)注冊(cè)企業(yè)財(cái)務(wù)狀況和經(jīng)營(yíng)成果的影響,或合理的可能影響。

此外,根據(jù)SEC的指引文件,披露內(nèi)容中不應(yīng)包含:

? 詳細(xì)的技術(shù)信息,說(shuō)明事件或網(wǎng)絡(luò)安全系統(tǒng)、相關(guān)網(wǎng)絡(luò)和設(shè)備采取的應(yīng)對(duì)計(jì)劃;

? 可能妨礙應(yīng)對(duì)或補(bǔ)救措施的潛在系統(tǒng)漏洞。

因此,企業(yè)應(yīng)當(dāng)在確保投資人可以全面了解網(wǎng)絡(luò)安全事件情況的同時(shí),避免對(duì)內(nèi)部具體信息,如技術(shù)信息、漏洞信息、人員架構(gòu)等進(jìn)行過(guò)度披露,防止攻擊者利用披露內(nèi)容針對(duì)性地對(duì)企業(yè)開(kāi)展進(jìn)一步的網(wǎng)絡(luò)安全攻擊。

6)例外情況:

如果美國(guó)司法部長(zhǎng)認(rèn)為,事件披露會(huì)對(duì)美國(guó)國(guó)家安全或公共安全構(gòu)成重大風(fēng)險(xiǎn),并在8-K表截止日期前以書(shū)面形式通知SEC,注冊(cè)企業(yè)可推遲披露的時(shí)間。

7)過(guò)渡期說(shuō)明:

? 8-K表和6-K表的披露要求將在《聯(lián)邦公報(bào)》發(fā)布之日起九十天后2023年 12月18日(以較晚者為準(zhǔn))起執(zhí)行;

? 小型申報(bào)公司(SRC)將有額外的180天過(guò)渡期,須在2024年6月15日起開(kāi)始遵守8-K表的披露要求。

注:

根據(jù)SEC的最新修訂,小型申報(bào)公司(SRC)的定義為:(1)公眾持股量低于2.5億美元,或(2)年收入低于1億美元,且:無(wú)公眾持股量或公眾持股量少于7億美元。

二、風(fēng)險(xiǎn)管理、戰(zhàn)略和治理披露

其次,注冊(cè)企業(yè)應(yīng)當(dāng)對(duì)企業(yè)的網(wǎng)絡(luò)安全狀況開(kāi)展定期披露,披露的內(nèi)容包括企業(yè)的(1)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理和戰(zhàn)略以及(2)網(wǎng)絡(luò)安全治理情況。

1)風(fēng)險(xiǎn)管理和戰(zhàn)略:

要求原文:

注冊(cè)企業(yè)必須說(shuō)明其評(píng)估、識(shí)別和管理網(wǎng)絡(luò)安全威脅相關(guān)重大風(fēng)險(xiǎn)的流程(如有),并說(shuō)明網(wǎng)絡(luò)安全威脅導(dǎo)致的任何風(fēng)險(xiǎn)是否對(duì)其業(yè)務(wù)戰(zhàn)略、運(yùn)營(yíng)結(jié)果或財(cái)務(wù)狀況產(chǎn)生重大影響,或在合理判斷下有可能產(chǎn)生重大影響。

披露內(nèi)容:

根據(jù)SEC指導(dǎo)文件中的說(shuō)明,企業(yè)對(duì)風(fēng)險(xiǎn)管理和戰(zhàn)略進(jìn)行定期披露時(shí),應(yīng)當(dāng)包含以下內(nèi)容:

? 評(píng)估、識(shí)別和管理網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的流程(如有),包括是否,及如何將此類(lèi)流程整合到風(fēng)險(xiǎn)管理流程中;

? 此類(lèi)流程中是否聘用第三方,如評(píng)估師、顧問(wèn)、審計(jì)師等,以及是否建立流程,以監(jiān)督和識(shí)別第三方服務(wù)提供商的相關(guān)風(fēng)險(xiǎn);

? 企業(yè)的網(wǎng)絡(luò)安全威脅相關(guān)風(fēng)險(xiǎn)及過(guò)往網(wǎng)絡(luò)安全事件是否對(duì)注冊(cè)企業(yè)的業(yè)務(wù)戰(zhàn)略、運(yùn)營(yíng)或財(cái)務(wù)狀況產(chǎn)生重大影響或有可能產(chǎn)生重大影響,如果是,如何產(chǎn)生影響。

此外,SEC還提供了補(bǔ)充說(shuō)明:

? 風(fēng)險(xiǎn)的類(lèi)型:包括但不限于“知識(shí)產(chǎn)權(quán)盜竊;詐騙;敲詐勒索;對(duì)員工或客戶的傷害;違反隱私法以及其他訴訟和法律風(fēng)險(xiǎn);和聲譽(yù)風(fēng)險(xiǎn)”。

? 披露過(guò)程中,應(yīng)當(dāng)對(duì)事件解決流程,包括分析、識(shí)別和管理重大風(fēng)險(xiǎn)的方式進(jìn)行描述,避免直接披露企業(yè)策略及流程等運(yùn)營(yíng)細(xì)節(jié),防止受到攻擊者利用;

? 企業(yè)無(wú)需披露使用的第三方及具體服務(wù)內(nèi)容、風(fēng)險(xiǎn)評(píng)估的量化指標(biāo)、企業(yè)適用的網(wǎng)絡(luò)安全框架(如NIST等)、管理層的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)討論頻率等信息。

總體來(lái)看:

(1)企業(yè)應(yīng)當(dāng)建立完善的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估流程并定期開(kāi)展評(píng)估,從而全面識(shí)別企業(yè)面臨的網(wǎng)絡(luò)安全威脅、由此產(chǎn)生的風(fēng)險(xiǎn)及對(duì)企業(yè)的潛在影響,確保信息披露的完整性,幫助投資人有效地全面了解企業(yè)的網(wǎng)絡(luò)安全狀況。

(2)在信息披露的過(guò)程中,企業(yè)應(yīng)當(dāng)對(duì)SEC要求進(jìn)行全面了解,從而劃定信息披露的范圍,在確保投資人可以通過(guò)信息披露全面了解企業(yè)風(fēng)險(xiǎn)管理狀況的基礎(chǔ)上,避免過(guò)度披露企業(yè)的實(shí)際制度文檔、風(fēng)險(xiǎn)管理流程中的真實(shí)聯(lián)絡(luò)點(diǎn)等具體信息,防止受到攻擊者的利用,從而開(kāi)展有針對(duì)性地進(jìn)一步網(wǎng)絡(luò)安全攻擊。

2)網(wǎng)絡(luò)安全治理

要求原文:

注冊(cè)企業(yè)必須:

? 說(shuō)明董事會(huì)對(duì)網(wǎng)絡(luò)安全威脅風(fēng)險(xiǎn)的監(jiān)管方式。

? 說(shuō)明管理層在評(píng)估和管理網(wǎng)絡(luò)安全威脅相關(guān)重大風(fēng)險(xiǎn)過(guò)程中的職能。

披露內(nèi)容:

? 董事會(huì)對(duì)網(wǎng)絡(luò)安全威脅所帶來(lái)風(fēng)險(xiǎn)的監(jiān)督情況。在適用的情況下,指明由何董事會(huì)委員會(huì)或小組委員會(huì)負(fù)責(zé)此類(lèi)監(jiān)督,并說(shuō)明董事會(huì)或此類(lèi)委員會(huì)了解此類(lèi)風(fēng)險(xiǎn)的流程。

? 是否及由哪些管理職位(如首席信息安全官)或委員會(huì)負(fù)責(zé)評(píng)估和管理此類(lèi)風(fēng)險(xiǎn),以及此類(lèi)人員或成員的相關(guān)專(zhuān)業(yè)知識(shí),必要時(shí)詳細(xì)說(shuō)明專(zhuān)業(yè)知識(shí)的性質(zhì);

? 這些人員或委員會(huì)了解和監(jiān)督網(wǎng)絡(luò)安全事件的預(yù)防、檢測(cè)、緩解和補(bǔ)救流程;以及

? 此類(lèi)人員或委員會(huì)是否向董事會(huì)或董事會(huì)下設(shè)委員會(huì)或組委會(huì)報(bào)告此類(lèi)風(fēng)險(xiǎn)的相關(guān)信息。

此外,SEC還補(bǔ)充說(shuō)明:

? 企業(yè)無(wú)需披露董事會(huì)的網(wǎng)絡(luò)安全專(zhuān)業(yè)知識(shí)情況;

? 企業(yè)無(wú)需披露企業(yè)管理層及員工的網(wǎng)絡(luò)安全培訓(xùn)情況。

總體來(lái)看:

(1)SEC對(duì)企業(yè)網(wǎng)絡(luò)安全治理相關(guān)信息的披露要求中主要包含兩個(gè)對(duì)象,即a.董事會(huì)及董事會(huì)委員會(huì)/組委會(huì),b.網(wǎng)絡(luò)安全管理人員或管理委員會(huì):

? a.董事會(huì)及董事會(huì)委員會(huì)/組委會(huì):應(yīng)當(dāng)監(jiān)督網(wǎng)絡(luò)安全風(fēng)險(xiǎn);在識(shí)別網(wǎng)絡(luò)安全風(fēng)險(xiǎn)后,負(fù)責(zé)人應(yīng)通過(guò)一定流程向董事會(huì)或董事會(huì)委員會(huì)/組委會(huì)進(jìn)行上報(bào)。

? b.網(wǎng)絡(luò)安全管理人員或管理委員會(huì):負(fù)責(zé)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的實(shí)際評(píng)估和管理,需具有相應(yīng)的專(zhuān)業(yè)知識(shí);負(fù)責(zé)網(wǎng)絡(luò)安全事件的預(yù)防、檢測(cè)環(huán)節(jié)和補(bǔ)救流程;在發(fā)現(xiàn)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)時(shí),向董事會(huì)或董事會(huì)委員會(huì)/組委會(huì)進(jìn)行上報(bào)。

(2)因此,企業(yè)應(yīng)當(dāng)建立網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理組織架構(gòu),明確相應(yīng)的角色職能,并完善相應(yīng)的風(fēng)險(xiǎn)識(shí)別、評(píng)估、上報(bào)流程。

3)過(guò)渡期說(shuō)明:

對(duì)于2023年12月15日及以后結(jié)束的財(cái)年:

? 美國(guó)注冊(cè)企業(yè)需根據(jù)S-K法規(guī)第106項(xiàng),在年報(bào)的10-K表中對(duì)上述信息進(jìn)行披露;

? 外國(guó)(美國(guó)以外)私人發(fā)行人(FPI)需要遵循20-F表格中的類(lèi)似要求進(jìn)行披露。

三、結(jié)構(gòu)化數(shù)據(jù)要求

1)要求說(shuō)明:

委員會(huì)要求注冊(cè)企業(yè)通過(guò)“內(nèi)嵌式可擴(kuò)展商業(yè)報(bào)告語(yǔ)言”(Inline eXtensible Business Reporting Language,簡(jiǎn)稱"Inline XBRL")對(duì)新披露的信息進(jìn)行標(biāo)記,從而使投資者和其他市場(chǎng)參與者更容易獲取披露信息,并提高分析的有效性。

注:

該格式為2021年7月起,在美上市企業(yè)均需遵循的年報(bào)披露格式。

2)過(guò)渡期說(shuō)明:

企業(yè)將在首次遵守披露要求的一年后開(kāi)始遵守結(jié)構(gòu)化數(shù)據(jù)要求。

建議:企業(yè)應(yīng)當(dāng)如何做?

1、建立完善的網(wǎng)絡(luò)安全管理架構(gòu)

? 企業(yè)應(yīng)當(dāng)建立完善的網(wǎng)絡(luò)安全事件管理架構(gòu),明確網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的管理人員及管理責(zé)任。

? 應(yīng)當(dāng)明確網(wǎng)絡(luò)安全管理人員及管理小組的風(fēng)險(xiǎn)預(yù)防監(jiān)測(cè)、風(fēng)險(xiǎn)識(shí)別、分析上報(bào)等職能、董事會(huì)及相關(guān)委員會(huì)的網(wǎng)絡(luò)安全管理和監(jiān)督職能。

2、實(shí)施有效的網(wǎng)絡(luò)安全防護(hù)和監(jiān)控

? 企業(yè)應(yīng)當(dāng)通過(guò)多種技術(shù)手段加強(qiáng)網(wǎng)絡(luò)安全的防護(hù),減少潛在的網(wǎng)絡(luò)安全威脅、降低風(fēng)險(xiǎn)對(duì)企業(yè)造成的實(shí)際影響。

? 企業(yè)應(yīng)建立有效的過(guò)網(wǎng)絡(luò)安全事件的監(jiān)控機(jī)制開(kāi)展全面的監(jiān)控、告警、事件記錄和證據(jù)收集等,協(xié)助企業(yè)更好地控制風(fēng)險(xiǎn)并全面快速地獲取事件信息并開(kāi)展披露工作。

3、制定全面的網(wǎng)絡(luò)安全事件響應(yīng)流程

? 企業(yè)應(yīng)當(dāng)完善事件的標(biāo)準(zhǔn)處理流程,其中包括及時(shí)的事件響應(yīng)措施,對(duì)影響程度的合理判斷標(biāo)準(zhǔn)等,從而在網(wǎng)絡(luò)安全事件發(fā)生后盡快完成事件的等級(jí)劃分,及時(shí)判斷事件是否存在披露需求,并在有披露需求的情況下在規(guī)定時(shí)間內(nèi)完成上報(bào)動(dòng)作。

? 對(duì)于資產(chǎn)量較大的企業(yè),也可以考慮采用第三方SOC服務(wù),從而更加及時(shí)有效地發(fā)現(xiàn)安全事件并做出適度響應(yīng)。此外,好的SOC團(tuán)隊(duì)能夠協(xié)助企業(yè)更加全面整體地了解網(wǎng)絡(luò)安全態(tài)勢(shì),在進(jìn)一步提升網(wǎng)絡(luò)安全水平的同時(shí),也有助于完成SEC的年度披露工作。

4、定期開(kāi)展網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估

? 企業(yè)應(yīng)當(dāng)開(kāi)展定期的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估,方可有效地識(shí)別網(wǎng)絡(luò)安全威脅、發(fā)現(xiàn)潛在的安全風(fēng)險(xiǎn)、并評(píng)估可能對(duì)企業(yè)造成的影響,以滿足SEC的年度披露要求。

? 企業(yè)可以選用適用的行業(yè)網(wǎng)絡(luò)安全管理框架,在標(biāo)準(zhǔn)框架的基礎(chǔ)上開(kāi)展評(píng)估、識(shí)別風(fēng)險(xiǎn)差距,并有針對(duì)性地提升網(wǎng)絡(luò)安全水平。

注:

1、見(jiàn)SEC–Final Rule-Cybersecurity Risk Management,Strategy,Governance,and Incident Disclosure,https://www.sec.gov/rules/2022/03/cybersecurity-risk-management-strategy-governance-and-incident-disclosure

2、見(jiàn)CF Disclosure Guidance:Topic No.2—Cybersecurity(Oct.13,2011),https://www.sec.gov/divisions/corpfin/guidance/cfguidance-topic2.htm

3、見(jiàn)Commission Statement and Guidance on Public Company Cybersecurity Disclosures,Release No.33-10459(Feb.21,2018)[83 FR 8166(Feb.26,2018)],at 8167.

4、見(jiàn)Federal Register:Cybersecurity Risk Management,Strategy,Governance,and Incident Disclosure

本文是為提供一般信息的用途所撰寫(xiě),并非旨在成為可依賴的會(huì)計(jì)、稅務(wù)、法律或其他專(zhuān)業(yè)意見(jiàn)。請(qǐng)向您的顧問(wèn)獲取具體意見(jiàn)。

關(guān)鍵詞:

專(zhuān)題新聞
  • 光大同創(chuàng):8月11日融券賣(mài)出金額39.12萬(wàn)元,占當(dāng)日流出金額的0.78%
  • 銀華基金王智偉:政策拐點(diǎn)或已出現(xiàn)
  • 國(guó)家中藥材標(biāo)準(zhǔn)化與質(zhì)量評(píng)估創(chuàng)新聯(lián)盟常務(wù)副理事長(zhǎng)孫曉波:中藥材漲價(jià)主要源于供需銜接等三因素
  • 手機(jī)相關(guān)知識(shí):瀏覽器下載的文件在哪個(gè)文件夾
  • 建筑合同無(wú)效的幾種典型情況
  • 大美河南 和諧共生丨高質(zhì)量發(fā)展的“綠意”越來(lái)越濃
最近更新

京ICP備2021034106號(hào)-51

Copyright © 2011-2020  亞洲資本網(wǎng)   All Rights Reserved. 聯(lián)系網(wǎng)站:55 16 53 8 @qq.com