新的网络风险管理框架助力合规

关键要点

美国证券交易委员会SEC对SolarWinds公司的起诉彰显了网络风险管理的重要性。网络风险管理适当性成为SEC合规的新焦点，企业需采取系统性方法。Cyber Risk Management Program (CRMP)框架提供了一种结构化的合规解决方案。

在一项具有里程碑意义的执法行动中，美国证券交易委员会SEC对SolarWinds公司及其首席信息安全官CISO蒂莫西布朗提起控诉，指控其在网络风险管理实践上存在欺诈和财务披露失误。这一案件源于臭名昭著的SUNBURST网络攻击，突显了不充分的网络安全风险管理和披露实践所带来的严重后果。因此，制定和实施明确的网络风险管理程序将成为保护企业免于新法律责任的必要措施。

一元机场·com

SUNBURST攻击由俄罗斯国家支持的黑客实施，利用SolarWinds网络中的漏洞，将恶意代码插入公司的Orion软件中，影响了全球超过18000名客户。内部通讯显示，布朗及SolarWinds员工已意识到严重的网络安全缺陷，包括安全产品开发和访问控制的失败。尽管知情，SolarWinds仍发布了SEC所称的关于其网络安全实践的误导性声明，暗示存在比实际情况更安全的环境。

SEC的起诉指出，从2018年10月到2021年1月，SolarWinds及布朗进行了一系列失实陈述和遗漏，误导投资者，暴露在未披露的风险中。SEC对布朗的起诉标志着一个重要转变，追究个人对网络安全相关披露缺陷的直接责任。这一案件的核心在于风险管理，即能够恰当地识别风险、提升风险并满足强制的披露义务。这个案件凸显了CISO们需要超越临时风险管理实践，实施明确的网络风险管理程序以有效应对日益严格的监管预期。

SEC聚焦风险管理披露以保护投资者

在过去几年中，SEC始终要求企业发展和实施成熟的网络风险管理程序。2018年，SEC表示：“我们相信，关于公司的网络安全风险管理程序以及董事会如何与管理层在网络安全问题上互动的披露，可以让投资者评估董事会在这一日益重要领域履行其风险监督责任的情况。”来源

之后，SEC将这一指导意见纳入新的网络风险披露规则。2023年7月26日，SEC通过了最终规则，从根本上重新塑造了上市公司如何处理和披露其网络安全实践的方式。国际证券监管机构也建立了类似的监督义务，这已经成为共同的期望，承担相应的责任。

安全作为战略商业命题

这些新规则的核心在于认识到网络安全不再仅仅是IT问题，而是战略商业命题和企业治理的重要支柱。上市公司现在必须在四个工作日内报告重大网络安全事件，并在年度报告中包括详细的网络安全风险管理披露。这一重大转变强调了明确且强大的网络风险管理程序的必要性。这个程序必须有明确的定义、能够防御并受到权威性来源的支持，如标准、案例法、监管指南，以及像国家企业董事协会NACD这样的声望机构。