美国证券交易委员会(SEC)去年宣布,他们将制定有关上市公司网络风险管理、战略、治理和事件披露的新规则提案。到 2023 年底,他们很可能会宣布最终确定的网络安全提案。
修正案特别关注网络安全报告以及组织识别和管理网络风险的政策和程序。此外,修正案还深入探讨了组织董事会对网络风险的监督以及网络风险管理方面的知识。
阅读我们的文章:阅读我们的文章:网络复原力|从第三方到网络风险管理,了解为什么尽管被视为组织内的重要领域,但许多企业的网络风险管理程序往往存在重大薄弱环节。
无论组织规模大小,现在都是审查和改进网络安全流程、提升网络风险管理能力的大好时机。
鉴于监管机构相当长一段时间以来一直建议在组织董事会中增加网络安全问题专家,拟议的修正案不应该让人感到意外。此外,修正案旨在让投资者了解企业的网络风险管理、网络弹性战略和治理实践,并提供与网络安全事件相关的信息。
转变您的网络安全实践
企业的数字化转型大大扩展了其网络攻击面。技术是一个重要的合作伙伴,能够在整个业务流程中创造强大的价值。
更多的技术意味着更多的数据、更多的第三方、更多的工具。
随着企业利用技术改进流程,充分了解企业可能面临的运营弹性目标和潜在网络风险非常重要。全面了解整个网络风险状况对于做出具有风险意识的决策至关重要。
毕竟,网络安全几乎与每个核心业务流程都相互关联,对确保业务连续性至关重要。请收听最新一期的《The RegTech Report Podcast》,了解更多有关制定业务连续性计划的重要性、不考虑组织的全部 IT 基础设施和网络攻击面的真正影响等内容。
在寻求转变网络安全实践时,请牢记以下几点:
信息技术基础设施
信息技术基础设施完整登记组织的技术资产至关重要。这是任何网络安全框架的起点。
保护措施
保护措施制定在不同情况下实施的具体措施,作为业务复原力框架的一部分。
监管合规
监管合规遵循影响贵组织的网络风险管理具体监管要求。
第三方风险管理
第三方风险管理在这一点上,每个组织都应该有一个第三方风险管理(TPRM)计划。必须牢记的是,与任何第三方合作都存在固有风险,必须对其进行分析。
风险意识文化
风险意识文化最后是培训和意识。技术、流程和人员是相辅相成的,通过在组织内部创建风险意识文化,培训团队做出明智的决策。
用一场声势浩大的网络研讨会来补充这次阅读:
您准备好了吗?为什么董事会董事和利益相关者要问你关于 IT 风险技术的问题?
请与 Mitratech GRC 战略常务董事 Henry Umney、普华永道网络、风险与监管合规合伙人 Seth Rosensweig 和 RESRG 首席创新官兼风险合作主管 Samrah Kazmi 一起讨论:
- 公司应如何对待美国证券交易委员会的建议?
- 利益相关者将提出哪些关键问题?
- 技术解决方案需要注意什么?
