美国上市公司的网络风险管理格局又有了新的变化。
美国证券交易委员会的咨询过程旨在帮助制定一个有效、实用且对投资者、公司和更广泛的市场有价值的网络风险管理监管框架。
虽然仍处于咨询阶段,但前进的方向已经明确。在适当的时候,美国证券交易委员会的网络风险管理法规可能会与萨班斯-奥克斯利法案(SOX)的合规要求相提并论。
探索美国证券交易委员会的新要求
首先,该提案指出,网络风险管理报告将成为美国证券交易委员会 8-K 标准报告流程的一部分,与公司目前的上市报告义务保持一致。报告将涵盖公司的网络风险管理政策和程序、网络风险管理和治理框架以及董事会在该领域的专业知识。必须报告网络事件、以往事件的最新情况及其对业务的影响。
对于任何新法规来说,文本通常是最容易消化的部分。挑战在于掌握细节,并找出如何使风险管理系统和流程与之保持一致的最佳方法。在某些情况下,这可能会迫使企业回到最初的原则,了解并记录现有的网络安全系统和程序,以确保端到端的所有内容都得到识别和记录。这种方法还能让企业识别业务中可能暴露于监管审查的任何漏洞,以及这些漏洞造成的运营、商业或声誉风险。
虽然分析中可能会发现差距和问题,但这并不是说上市公司对网络风险问题视而不见。没有一家上市公司或计划上市的公司会没有网络安全政策、一系列相关系统和流程,而且很可能没有任命首席信息安全官(CISO)。
关键的挑战在于如何以最佳方式捕捉和整合所有这些努力和活动,从而使公司具有复原力,符合任何监管审查的要求,并根据需要进行发展,而不会因为网络安全而阻碍业务的发展,反而使其获得成功。
一直以来,企业都希望通过企业风险管理 (ESG) 应用程序来解决和增强其网络风险管理能力。这种方法可能具有很强的规范性,虽然对某些企业来说非常理想,但对许多其他企业来说,实施起来往往是一个挑战。
许多公司都了解选择正确的企业风险管理(ERM)解决方案的重要性,因为技术无疑是最好的盟友。利用基于 SaaS 的现代技术来管理网络风险是一种动态方法,最终会使企业受益。这些技术更易于部署,用户界面友好,可以增强现有的能力和流程,确保运营的复原力。
许多公司都了解选择正确的企业风险管理(ERM)解决方案的重要性,因为技术无疑是最好的盟友。利用基于 SaaS 的现代技术来管理网络风险是一种动态方法,最终会使企业受益。这些技术更易于部署,用户界面友好,可以增强现有的能力和流程,确保运营的复原力。
对你的企业来说,基于 SaaS 的解决方案可能是什么样的?
理想的解决方案首先要有一个集中式架构,使您能够捕捉、整合和定义企业网络安全政策。在许多环境中,不同的方法和差距有可能混杂在一起。关键是要有一个统一的架构,让每个人都能从中受益。
下一步是确保人们了解自己的义务并彻底履行这些义务。一直以来,这都是安全团队的责任。然而,实施安全策略的责任正在从安全团队转移到日常运营团队的肩上。基于 SaaS 的系统允许安全团队将其政策要求嵌入到安全平台中,这样他们的作用就更侧重于提供建议和指导,而不是维持治安。这种方法有助于确保在更复杂的技术环境中保持安全标准,同时在安全团队通常受到的限制范围内开展工作。它还有助于确保企业在强大的企业风险管理计划的帮助下实现最佳发展。
这些集中式平台还提供培训、教育和认证功能,使业务团队能够确认其系统和流程反映并符合现有的企业标准。
此外,附加功能还可提供企业级报告和差距分析,使公司能够随着业务、安全政策和监管环境的变化,找到网络风险管理能力的差距。
未来 GRC 平台概览
了解如何利用单一 SaaS 平台满足整个 GRC 要求。
