2023年,美国证券交易委员会(SEC)通过了新规及修订条款,旨在加强并规范上市公司在网络安全风险管理、战略部署、治理架构及事件报告方面的信息披露。SEC公告指出,由于企业日益依赖第三方服务商提供IT服务,且可追溯至服务商的网络安全事件数量持续攀升,近期网络安全风险呈现显著上升趋势。
这些新规于2023年12月生效,我们已开始看到违规行为带来的影响。美国证券交易委员会(SEC)宣布对四家软件公司采取执法行动,因其 就2020年SolarWinds网络入侵事件相关的网络安全风险和事件作出误导性陈述。监管机构认定,这些公司通过淡化该入侵事件对其系统的影响,违反了联邦证券法,其中一家公司还因披露控制措施不足面临指控。
美国证券交易委员会网络安全披露规则对第三方风险管理的影响
这些近期指控进一步凸显了在第三方风险管理(TPRM)计划中实施强有力的网络安全风险管理至关重要。需重点强调的若干关键影响包括:
- 加强网络安全信息披露:企业必须就其网络安全状况提供透明准确的信息披露,尤其需说明与第三方供应商相关的风险。误导性信息可能导致严重的监管处罚。
- 加强尽职调查流程:企业在引入第三方供应商时应完善尽职调查程序。这包括评估供应商的网络安全措施,确保其具备完善的风险缓解机制。定期评估供应商合规状况并实施审计至关重要。
- 实施更严格的管控措施和流程:企业需建立并维护有效的网络安全事件报告内部控制体系。确保及时准确上报所有涉及第三方供应商的违规事件,并制定清晰的沟通规程。
- 开展全面供应商风险评估:企业应根据供应商的网络安全能力评估其相关风险。通过按风险等级对供应商进行分类,组织能够定制风险管理策略,并对高风险供应商实施更严格的网络安全要求。
- 提供持续培训与意识提升:企业必须定期为员工开展培训和意识提升活动,强调准确披露网络安全信息的重要性及误导性信息可能引发的后果。员工应充分理解与网络安全风险相关的法律义务,并认识到透明度的重要性。
- 制定完善的事件响应计划:企业应建立有效的事件响应计划,并纳入第三方供应商。确保这些计划能应对通过第三方渠道可能发生的违规事件,明确沟通策略和升级处理流程。
- 遵守监管要求:企业必须时刻关注网络安全领域不断变化的监管要求。美国证券交易委员会的行动表明监管审查趋于加强,因此遵守相关法律法规和指导方针至关重要。
企业应重新评估并强化其第三方风险管理计划,确保能够有效管控并披露网络安全风险。通过此举,企业可更好地维护自身声誉,保持投资者信心,并减轻潜在的法律与财务影响。
第三方网络安全风险管理、治理、战略与事件披露的最佳实践
完善的第三方风险管理计划应包含支持在第三方全生命周期中识别、分级处理及修复风险的流程与技术。在评估第三方治理计划时,可参考以下最佳实践:
- 对所有第三方进行档案建立与分级管理,获取内在风险评分。该评分可揭示网络安全事件的发生概率与潜在影响,并助力您合理规划持续尽职调查活动的规模。
- 自动化第三方风险评估、风险评分及整改流程,以加速风险缓解
- 持续监控第三方网络安全风险,并将风险与评估结果关联以验证发现
- 自动化事件响应流程,以加快报告速度并缩短解决时间
- 简化董事会和高管层的报告流程,以实现清晰高效的决策制定
- 持续对照公认的最佳实践对您的项目进行基准测试,通过符合多个框架和法规的合规性报告实现这一目标。
下一步操作:下载美国证券交易委员会网络安全披露规则核对清单
如需了解Prevalent如何助力贵机构满足美国证券交易委员会(SEC)的报告要求,请下载我们的《SEC网络安全披露规则》检查清单。或立即联系我们预约演示。
通过第三方评估应对更新后的SEC网络安全披露规则
为帮助上市公司应对这些更新要求,Prevalent公司为安全与风险管理领域创建了9个问题的评估工具。使用该评估工具可:
- 确定第三方网络安全事件管理的范围
- 确定第三方如何报告网络安全事件的运营影响
- 审查第三方网络安全风险评估与风险识别计划
- 明确作为网络安全事件响应的一部分所采取的补救措施
- 揭示管理层对第三方网络安全事件的监督程度
| 问题 | 答案选项 |
|---|---|
| 1) 该组织是否建立了正式的网络安全事件管理流程? |
请选择以下其中一项:
a) 是的,已制定正式的网络安全事件管理流程。 b) 不,尚未制定正式的网络安全事件管理流程。 |
| 2) 该组织是否会披露重大网络安全事件的以下信息? |
请选择所有适用的选项。
a) 该事件何时被发现以及是否仍在持续。 b) 对事件性质和范围的简要描述。 c) 是否存在任何数据被窃取、篡改、访问或用于其他未经授权的目的。 d) 该事件对注册人运营的影响。 e) 注册人是否已对该事件采取补救措施或正在采取补救措施。 |
| 3) 在发现网络安全事件后,是否记录并披露了其对运营和财务状况的重大影响及潜在影响? |
请选择以下其中一项:
a) 是的,实际和潜在的运营及财务状况影响均予以记录。 b) 不,运营和财务状况的影响未予记录或披露。 |
|
4) 网络安全事件的披露是否包含已采取的补救措施,以及因这些事件而对政策或程序所做的变更?
帮助文本:因网络安全事件导致注册人政策和程序的任何变更均应予以记录。 |
请选择以下其中一项:
a) 是的,已采取补救措施,并披露了政策或程序的变更。 b) 不,不会采取补救措施,也不会披露政策或程序的变更。 |
| 5) 该组织是否设有网络安全风险评估计划? |
请选择以下其中一项:
a) 是的,已制定网络安全风险评估计划。 b) 不,尚未制定网络安全风险评估计划。 |
| 6) 该组织是否已制定任何政策和程序,以监督并识别其使用第三方服务提供商所涉及的网络安全风险? |
请选择所有适用的选项。
a) 已建立一套管理第三方服务提供商相关风险的政策和程序。 b) 风险评估结果为第三方服务供应商的选择与监督决策提供依据。 c) 针对使用第三方服务提供商相关的风险采取了应对措施,并在第三方合同中明确了安全与隐私控制条款。 |
| 7) 网络安全风险评估的结果是否纳入了关于治理政策与流程、技术及业务战略的决策考量? |
请选择以下其中一项:
a) 是的,在审查治理政策与流程、技术及业务战略时,会考虑网络安全风险评估的结果。 b) 不,在审查治理政策与程序、技术及业务战略时,不会考虑网络安全风险评估的结果。 |
| 8) 该组织的管理层、董事会或指定委员会是否承担网络安全风险的监督责任? |
请选择以下其中一项:
a) 是的,管理层、董事会或指定委员会对网络安全风险负有责任。 b) 没有指定的团体或委员会对网络安全风险承担总体责任。 |
| 9) 请说明董事会和管理层如何获取有关网络安全风险的信息。 |
请选择所有适用的选项。
a) 董事会和管理层会定期收到关于网络安全风险的通知。 b) 网络安全风险被纳入业务战略、风险管理及财务监督规划的考量范畴。 |
第三方网络安全风险管理、治理、战略与事件披露的最佳实践
完善的第三方风险管理计划应包含支持在第三方全生命周期中识别、分级处理及修复风险的流程与技术。在评估第三方治理计划时,可参考以下最佳实践:
- 对所有第三方进行档案建立与分级管理,获取内在风险评分。该评分可揭示网络安全事件的发生概率与潜在影响,并助力您合理规划持续尽职调查活动。
- 自动化第三方风险评估、风险评分及整改流程,以加速风险缓解
- 持续监控第三方网络安全风险,并将风险与评估结果关联以验证发现
- 自动化事件响应流程,以加快报告速度并缩短解决时间
- 简化董事会和高管层的报告流程,以实现清晰高效的决策制定
- 持续对照公认的最佳实践对您的项目进行基准测试,并通过符合多个框架和法规的合规性报告进行验证。
下一步操作:下载美国证券交易委员会网络安全披露规则核对清单
如需了解Prevalent如何助力贵机构满足美国证券交易委员会(SEC)的报告要求,请下载我们的《SEC网络安全披露规则》检查清单。或立即联系我们预约演示。
编者按:本文最初发表于Prevalent.net。2024 年 10 月,Mitratech 收购了人工智能第三方风险管理公司 Prevalent。此后,我们对内容进行了更新,以纳入与我们的产品、监管变化和合规性相一致的信息。
