新的美国证券交易委员会网络安全报告要求:第三方风险管理的影响

上市公司需完善第三方风险管理计划,以满足美国证券交易委员会的新报告要求。以下是具体实施步骤。

Mitratech 员工
Mitratech 员工 三月30,2022 6 分钟阅读
Decorative image

美国证券交易委员会(SEC)近期出台新规,要求上市公司在遭受黑客攻击时必须向政府通报。这些报告更新旨在让投资者更全面地了解其投资组合中企业的网络安全治理与实践情况。

值得注意的是,针对第三方风险管理计划,新的治理披露要求将需要更新风险评估内容,重点关注企业使用外部或第三方服务可能承担的风险。根据拟议法规,企业还需说明安全审计、业务连续性计划,以及网络安全如何融入其整体业务战略。

对于尚未建立正式第三方风险管理计划的上市公司而言,现在正是完善流程体系的时机。以下是六项关键举措:

1. 从成熟度评估开始

首先评估现有第三方风险管理(TPRM)流程的成熟度。我们建议采用能力成熟度模型来获取当前流程的快照。该成熟度模型将从五个维度评估您的TPRM计划:

  1. 覆盖范围:项目范围的全面性如何?您是否能够全面掌握组织第三方生态系统中的所有供应商和供货商?
  2. 内容:贵方是否制定了相关流程,以确保风险评估问卷始终保持最新状态,并适用于所有被评估的第三方类型?
  3. 职责与责任:您TPRM计划的参与者是否清楚自身职责及在业务流程中应承担的参与程度?
  4. 修复措施:修复工作是否以一致的方式实施?相关流程是否经过优化以提升项目效率?
  5. 治理:如何衡量项目绩效?能否证明其成功?是否具备适当的指标来指导战略方向?

请按1分(初始阶段)至5分(优化阶段)的标准对上述各领域进行评分,以确定最需关注的环节。Prevalent提供免费的TPRM成熟度评估服务,可协助您完成此流程。

2. 集中管理供应商

无法衡量的就无法管理。因此,请摒弃电子表格,转而通过集中化平台管理供应商。这将确保多个内部团队能参与供应商管理,并实现流程自动化以惠及所有人。您可以将现有供应商电子表格导入集中平台,通过API对接采购系统或其他记录系统,或让内部相关方填写供应商入驻表单。

3. 对所有供应商进行分类和分级,以制定适当的尽职调查方案

在实现供应商集中管理后,需实施固有风险评分,以构建更全面的供应商档案,并确定未来评估的适当频率与范围。在对第三方进行档案建立和分级时,应考虑以下属性:

  • 供应商必须提供的证明所需控制措施的证据类型
  • 第三方对贵公司业务绩效的关键性
  • 公司所在地及任何相关的法律或监管义务(例如《通用数据保护条例》
  • 各第三方服务对第四方的依赖程度

4. 建立定期评估周期

在完成供应商入职并评估其固有风险后,下一步是开展尽职调查
评估。这些评估可根据贵组织重视的控制标准和合规要求进行调整。

在规划评估时,需要考虑以下重要事项:

  • 公司的供应商合同是否要求第三方及时响应风险评估?
  • 您需要多频繁地评估每个供应商?步骤3中计算的分层结果可为该决策提供依据。
  • 将采用何种问卷收集供应商控制措施的相关信息?是使用行业标准调查还是专有调查?采用SIGNIST
    或ISO
    )等行业标准评估工具可简化供应商对比流程。若存在特殊需求,则可能需要采用专有或定制化评估方案。
  • 贵方是否具备审核替代性内容及证据提交的能力?例如当供应商提交SOC 2报告而非完成贵方的风险评估时。

回答这些问题将有助于您确定采用何种数据收集方法。例如:自行管理数据收集、利用预填问卷库将收集工作外包给合作伙伴,或采用上述方法的组合方案。贵组织的资源水平和专业能力将很大程度上指导这一决策。

无论采用何种收集方法,都应利用内置建议将风险缓解至业务可接受的水平。

5. 持续监控第三方

定期问卷调查固然有效,但仍存在可见性盲区。通过对供应商和合作伙伴实施持续网络监控,可有效填补这些空白。第三方网络情报的典型来源包括:犯罪论坛、洋葱网页、暗网特权访问论坛、威胁情报源、泄露凭证粘贴站、安全社区、代码仓库以及漏洞与黑客攻击/数据泄露数据库。

然而,并非所有攻击都会通过上述来源发出信号。企业经营行为或财务表现的变化可能预示战略调整或网络防御资金短缺。因此,应将监控范围扩展至涵盖声誉、制裁及财务信息的公共与私有来源,例如:

  • 业务:并购活动、商业新闻、负面新闻、监管和法律信息、运营更新。
  • 财务:营业额、损益、股东资金。
  • 全球制裁名单:美国财政部外国资产控制办公室(OFAC)、欧盟(EU)、联合国(UN)、英国央行(BOE)、美国联邦调查局(FBI)、美国商务部工业与安全局(BIS)、美国食品药品监督管理局(FDA)、美国卫生与公众服务部(HHS)、英国金融行为监管局(FSA)、美国证券交易委员会(SEC)等。
  • 国有企业筛选
  • 政治敏感人物名单

您可以单独监控这些来源,或采用供应商风险监控解决方案,将这些洞察集中整合到您的第三方风险管理计划中。

6. 提前准备审计报告

鉴于第三方风险管理将成为美国证券交易委员会新规的核心管控重点,向内外审计机构展示合规进展至关重要。合规报告
往往复杂耗时,因此针对常见法规和行业框架的内置报告功能可显著提升效率并简化流程。

掌握每个供应商的合规水平可简化您的报告流程。首先针对风险类别设定合规"合格"百分比阈值(例如:特定框架或指南的合规率需达X%)。 所有报告都将与该合规百分比评级挂钩,团队可重点关注合规通过率较低的子领域。务必在宏观层面开展全供应商合规评估,而非仅限于单个供应商。宏观层面的报告对董事会至关重要——他们需要据此判断贵机构在应对"当月热门"法规时的合规程度。

下一步工作

归根结底,将所有供应商的风险评估数据集中于单一平台将:

  • 使安全和风险管理团队能够以更一致、更规范的方式管理风险,从而提升治理水平。
  • 促进企业对第三方风险管理举措的采纳
  • 简化针对美国证券交易委员会定期审计要求的报告流程

Prevalent 可助您一臂之力。下载《供应商风险生命周期导航:各阶段成功关键》获取更具指导性的步骤与建议,或发送邮件至
申请演示,立即探讨您的需求。

编者按 本文最初发表于 Prevalent.net. 2024 年 10 月,Mitratech 收购了人工智能第三方风险管理公司 Prevalent。此后,我们对内容进行了更新,以纳入与我们的产品、监管变化和合规性相一致的信息。
授权。自动化。提升。三ratech

©2026 Mitratech, Inc. 保留所有权利。

授权。自动化。提升。三ratech

©2026 Mitratech, Inc. 保留所有权利。