Fortinet發佈了一篇美國證券交易委員會的新規則對網路安全風險管理的影響
美國證券交易委員會(SEC)於2022年3月23日提出了一項新的規則,旨在加強和標準化公開公司在網路安全風險管理、策略、治理和網路安全事件報告方面的揭露。這項新規則反映了SEC對網路安全的重視,以及對公開公司的期望和監督。新規則要求公開公司提供以下資訊:
- 網路安全風險管理的架構和流程,包括責任分配、資源分配、政策和程序、監測和測試、培訓和意識等。
- 網路安全策略的目標和原則,包括網路安全的重要性、風險承受度、風險評估方法、風險緩解措施、風險轉移方式等。
- 網路安全治理的機制和效果,包括董事會和高級管理層的參與、網路安全委員會的設置、網路安全負責人的任命、網路安全報告的頻率和內容、網路安全績效的評估和獎勵等。
- 網路安全事件的定義和分類,包括事件的嚴重程度、影響範圍、發現時間、處理時間、應對措施、後續改善等。
- 網路安全事件的揭露和通報,包括事件的發生時間、發生原因、影響程度、影響利益相關者、影響財務狀況和營運結果、已採取或將採取的補救措施等。
新規則的目的是提高公開公司在網路安全方面的透明度和責任,促進投資者、監管機構和其他利益相關者的信心和信任,並鼓勵公開公司加強網路安全的投入和管理,以應對日益嚴峻的網路威脅和挑戰。
建議
對於受新規則影響的公開公司,我們建議採取以下措施:
- 確認新規則的適用範圍和要求,並與法律顧問、會計師、網路安全顧問等專業人士進行溝通和協調,以確保符合新規則的規範和期限。
- 檢視和完善現有的網路安全風險管理、策略、治理和事件報告的機制和流程,並根據新規則的要求進行調整和優化,以提高網路安全的效率和效果。
- 建立和執行一套網路安全揭露和通報的計畫和指引,並定期更新和評估,以確保及時、準確、完整和一致的向投資者、監管機構和其他利益相關者提供網路安全相關的資訊。
- 加強網路安全的教育和培訓,提高董事會、高級管理層和員工的網路安全意識和能力,並建立一個網路安全文化,鼓勵所有人積極參與和貢獻網路安全的提升和保障。
- 持續關注和分析網路安全的趨勢和發展,並根據網路安全的變化和需求,調整和更新網路安全的風險管理、策略、治理和事件報告的機制和流程,以保持網路安全的適應性和彈性。
美國證券交易委員會的新規則對公開公司的網路安全提出了更高的標準和要求,也帶來了更大的挑戰和機遇。公開公司應該積極應對新規則的影響,並將其視為提升網路安全的動力和契機,以增強自身的競爭力和價值,並為投資者、監管機構和其他利益相關者創造更多的信心和信任。
詳情請看: