简化针对美国证券交易委员会报告要求的第三方风险评估
2023年7月,美国证券交易委员会(SEC)通过了新规及修订条款,旨在加强并规范上市公司在网络安全风险管理、战略部署、治理架构及事件报告方面的信息披露。
美国证券交易委员会的公告指出,由于多种原因,网络安全风险近期持续加剧,包括企业对第三方服务提供商的IT服务依赖日益加深,以及涉及第三方服务提供商的网络安全事件数量不断攀升。
新修订条款及报告要求已于2023年12月18日正式生效。
相关要求
-
在公司认定网络安全事件具有重大性后,须于四个工作日内披露该重大网络安全事件的相关信息。
-
当先前披露的网络安全事件整体上变得重要时,应提供更新的披露信息。
-
阐述管理层在网络安全治理中的作用
满足美国证券交易委员会网络安全披露要求
美国证券交易委员会出台的规则及修订案旨在解决上市公司网络安全事件报告不一致的问题,此类问题可能削弱投资者信心。下表总结了恢复投资者信心的关键要求,包括第三方风险管理和事件披露方面的规定。
注:本信息仅作为摘要性指导。各机构应在与审计师协商后,全面审阅美国证券交易委员会(SEC)的完整要求。
| 修正案 | 我们如何提供帮助 |
|---|---|
| 网络安全事件在8-K表格上的报告 项目1.05 |
|
| 描述该事件的性质、范围和时间等实质性方面,以及对注册人产生的实质性影响或可能产生的实质性影响,包括其财务状况和经营成果。 | Prevalent enables your team to rapidly identify, respond to, report on, and mitigate the impact of third-party vendor security incidents 作为你更广泛的 事件管理策略.
除SaaS平台解决方案外,Prevalent还提供托管服务,由我们的专家团队为您集中管理供应商;主动开展事件风险评估;对识别出的风险进行评分;关联持续网络监控数据;并发布整改指导——所有这些工作均由我们代您完成。 主要功能包括
Prevalent还提供访问权限,可查阅包含全球数千家企业十年以上数据泄露历史的数据库——涵盖被盗数据的类型与数量、合规与监管问题,以及供应商数据泄露的实时通知。 凭借这些洞察,您的团队能够借助Prevalent专家的力量,更深入地理解事件的范围与影响、涉及的数据类型、第三方运营是否受到波及,以及修复措施的完成时间。 |
| 定期报告中关于网络安全事件的披露:对先前提交的8-K表格披露内容的更新 | |
| 披露在首次披露时已知或可获得的信息,这些信息原本应在8-K表格中报告。 | Prevalent continuously tracks and analyzes 对第三方的外部威胁该解决方案通过监控互联网和暗网中的网络威胁与漏洞,以及公共和私有来源的声誉、制裁和财务信息,实现全面防护。
所有监控数据均与评估结果相关联,并集中存储于每个供应商的统一风险登记册中,从而简化风险审查、报告、整改及响应措施的实施流程。 监测来源包括
|
| 注册人网络安全风险管理与策略披露
S-K条例第106(b)项 |
|
| “第106(b)项所述的网络安全流程是否以及如何已整合到注册人的整体风险管理体系或流程中” | 普瑞瓦尔与您携手合作,基于成熟的最佳实践和丰富的实际经验,构建全面的第三方风险管理(TPRM)计划,使其与您更广泛的信息安全及治理、风险与合规计划相契合。
我们的专家将与您的团队协作,共同制定并实施第三方风险管理流程与解决方案;筛选风险评估问卷及框架;并根据贵组织的风险偏好,优化您的项目以覆盖整个第三方风险生命周期——从供应商选择与尽职调查,到终止合作与退出管理。 作为这一过程的一部分,Prevalent 可以帮助您确定:
|
| “注册人是否在任何此类流程中聘请评估师、顾问、审计师或其他第三方” | Prevalent 提供超过 750 个第三方风险评估预制模板库。评估可在入职时、合同续签时或根据重大变更情况按需频率(如季度或年度)进行。
评估工作在Prevalent平台上集中管理,并依托工作流、任务管理及自动化证据审查功能,确保您的团队在整个合作关系生命周期内都能清晰掌握第三方风险状况。 重要的是,Prevalent基于风险评估结果提供内置的整改建议,确保您的第三方及时妥善处理风险,并能向审计人员提供适当的证据。 该解决方案通过收集供应商风险信息、量化风险、提出整改建议并生成报告,实现第三方风险管理合规审计的自动化,覆盖数十项政府法规和行业框架。 Prevalent能自动将基于控制的评估所收集的信息映射至ISO 27001、NIST、GDPR、CoBiT 5、SSAE 18、SIG、SIG Lite、SOX、NYDFS等监管框架,助您快速可视化并处理关键合规要求,据此调整项目方案——包括是否接受残余风险。 对于资源和专业能力有限的组织,Prevalent可代为管理第三方风险全生命周期——从供应商入驻和证据收集,到提供整改指导及合同服务水平协议(SLA)报告。由此,您既能降低供应商风险、简化合规流程,又无需增加内部员工负担。 |
| 注册人是否建立了流程来监督并识别其使用任何第三方服务提供商所带来的网络安全威胁所产生的重大风险。 | Prevalent enables you to assess and monitor your third parties based on extent of the threats to your information assets by capturing, tracking and quantifying 固有风险 for all third parties. Criteria used to calculate inherent risk for third-party classification includes:
通过这种固有的风险评估,您的团队可以自动对供应商进行分级;设定适当的进一步审查级别;并确定持续评估的范围。 基于规则的分层逻辑可利用一系列数据交互、财务、监管和声誉方面的考虑因素对供应商进行分类。 |
| 注册人管理层在网络安全治理中的角色及董事会角色的披露
S-K条例第106(c)(1)项和第106(c)(2)项 |
|
| 董事会了解网络安全风险的流程,以及其就此议题进行讨论的频率;以及……
“此类人员或委员会了解并监督网络安全事件的预防、检测、缓解和补救的流程……” “此类人员或委员会是否向董事会或董事会下属委员会或小组委员会报告有关此类风险的信息” |
Prevalent provides a framework for centrally measuring third-party KRIs 通过内置机器学习(ML)洞察和可定制的角色化报告,确保符合您的要求并缩小供应商监督的差距。
这些功能可帮助您的团队发现风险趋势、确定第三方风险状况,并识别可能需要进一步调查的异常行为。 Prevalent还能通过在恰当时间将正确数据传递到正确人员手中来提升效率。这使得报告接收者能够轻松快速地判断风险可接受性并做出自信决策,无论其专业技能水平如何。 |
