读数字时代的网络风险管理：策略、计划与执行08风险升级和披露(下)

1. 信息披露

1.1. 企业必须关注的问题

1.2. 三个基本类别

• 1.2.1. 股东和其他投资者（包括现有和潜在投资者）

  • 1.2.1.1. 一个共同的目标：通过确保投资者获得透明、准确的信息，提高公众对市场的信任

• 1.2.2. 监管机构

  • 1.2.2.1. 各行各业的企业出于各种原因，需要遵守的监管要求非常多，远远超出了财务披露的要求范围

  • 1.2.2.2. 机密信息和其他敏感信息的安全是这些要求涉及的最重要的问题之一

• 1.2.3. 公众

  • 1.2.3.1. 对企业来说，最重要的资产莫过于众多利益相关者（包括客户、投资者、合作伙伴和员工）的信任

  • 1.2.3.2. 在网络风险环境中，层出不穷、广为人知的安全故障不可避免地使公众极易对企业产生不信任感，尤其是在保护个人信息和数字化产品方面

  • 1.2.3.3. 完整、透明地披露企业的风险管理实践（包括但不限于企业对安全事件的应对措施）​，对于维护或恢复公众信任至关重要

1.3. 重要性考虑因素

• 1.3.1. 以往的网络安全事件，包括其严重性和频率

• 1.3.2. 发生网络安全事件的概率及其潜在影响规模

• 1.3.3. 为降低网络安全风险和相关成本而采取的预防措施的充分性，可能包括对公司预防或缓释某些网络安全风险的能力限制的讨论

• 1.3.4. 导致重大网络安全风险的公司业务和运营方面的风险，以及此类风险的潜在成本和后果，包括特定行业风险以及第三方供应商和服务提供商带来的风险

• 1.3.5. 与维护网络安全保护相关的成本，包括与网络安全事件相关的任何保险或向服务提供商支付的费用

• 1.3.6. 声誉受损的可能性

• 1.3.7. 可能影响公司网络安全要求及其相关成本的现行或拟议中的法律法规

• 1.3.8. 与网络安全事故相关的诉讼、监管调查和补救成本

1.4. 企业风险管理和网络风险管理实践必须完全一致，以确保根据共同信息和共同理解来做出风险决策

1.5. 企业要想以持续、可操作的方式做到这一点，唯一的方法就是制订正式的网络风险管理计划

2. 一致性

2.1. 企业风险管理和网络风险管理都是保护企业及其人员、确保业务连续性的关键，均受到法律法规要求和行业框架的驱动

2.2. 企业风险管理涵盖所有类型的风险，相比之下，网络风险管理更关注企业因日益依赖错综复杂的互联数字技术所带来的恶意风险，而且还需要更多的专业技术知识以及专门的工具和技术

2.3. 网络风险是一种企业风险，法院体系和监管机构已明确表示必须将它视为企业风险

3. 5个原则

3.1. 原则1：建立升级流程

• 3.1.1. 必须建立正式的网络风险升级流程

• 3.1.2. 即使制订了升级流程，也往往没有充分定义风险分类机制，没有明确规定向适当的利益相关者通报风险和将风险升级到适当治理级别的责任

• 3.1.3. 薄弱环节是在没有业务背景的情况下的升级过程控制失效或存在疏漏

• 3.1.4. 基于企业特定标准并经治理机构批准的风险分类是网络风险管理计划的核心，用于定义严重性和紧迫性的级别，以便在减轻或管理风险时做出适当的优先级决定并采取适当的行动

3.2. 原则2：建立信息披露流程—所有企业

• 3.2.1. 企业的网络披露流程应针对特定的风险因素、组织背景和要求

• 3.2.2. 不同企业的风险环境差异很大，这意味着披露流程和步骤必须针对每个企业特有的风险因素、环境和要求量身定制

• 3.2.3. 正式的风险管理流程必须到位，以识别和分析企业特有的全部风险

• 3.2.4. 不仅仅是已经发生的威胁或事故，还包括整体风险环境的变化—并记录如何管理这些风险，包括通过风险接受、缓释和转移等方式

• 3.2.5. 风险披露不仅仅是威胁和事件的应对

• 3.2.6. 企业的责任方—风险所有者、治理机构、高层管理人员和董事会—必须清楚地了解企业的风险环境及应对风险的责任

• 3.2.7. 合规性是另一个重要的考虑因素，合规性要求会因企业所处行业、经营地区、规模甚至组织结构的不同而有很大差异

• 3.2.8. 信息披露是必须将网络风险与企业整体风险明确区分开来的另一个领域

• 3.2.9. 包括SEC在内的监管机构已明确表示，对不同类型的风险一概而论的普遍做法是不可接受的

3.3. 原则3：建立信息披露流程—上市公司

• 3.3.1. 上市公司必须披露其重大风险、风险因素、网络风险管理流程、治理和重大事件报告

• 3.3.2. 上市公司由于急需维护现有和潜在投资者的信任，因此负有特别严格的风险披露责任

• 3.3.3. 法律先例和合规要求明确规定，投资者有权通过评估公司业绩，并追究公司管理层（包括董事会）的责任等措施，做出明智的投资决策

• 3.3.4. 明确界定信息披露实践的必要性受到多种因素的驱动，包括保护公司品牌形象、避免声誉受损和保持股东信心

• 3.3.5. 上市公司需要披露网络事件以及有关网络风险治理、战略和风险管理的详细信息

• 3.3.6. 重大事故报告

  • 3.3.6.1. 该规则要求上市公司在确定发生重大网络安全事件后的4个工作日内披露重大网络安全事件

  • 3.3.6.2. 重大性评估应全面、客观地评估信息的总体组合，需考虑网络安全事件的所有相关事实和情况，包括定量和定性因素

  • 3.3.6.3. 证券发行人必须从理性投资者的角度出发，基于合理、客观的方法，并考虑到信息的总体组合，仔细评估事件是否重大

  • 3.3.6.4. 要求披露总体上已成为重大事件的网络安全事件

  • 3.3.6.5. 证券发行人必须分析相关网络安全事件的重大性，包括单独事件和总体事件

• 3.3.7. 风险管理和战略

  • 3.3.7.1. 该规则涉及上市公司有关网络安全风险的风险管理和战略的披露

  • 3.3.7.2. 要求旨在为投资者提供更一致且更翔实的披露，说明证券发行人如何识别、评估和管理网络安全风险，以及这些风险对其业务战略、财务前景和财务规划的影响

• 3.3.8. 治理

  • 3.3.8.1. 重点是董事会对网络安全风险的监督以及管理层在评估和管理这些风险中的作用

3.4. 原则4：测试风险升级和披露流程

• 3.4.1. 网络风险升级和披露流程应不断接受挑战、测试和更新，以吸取经验教训

• 3.4.2. 网络风险管理是一项持续性工作，必须不断了解并应对持续变化的环境，尤其是风险环境的变化

• 3.4.3. 意味着作为网络风险管理计划核心组成部分的风险升级和披露流程，必须不断接受挑战、测试和更新，以便使整个企业能够从成功和失败中吸取经验教训

• 3.4.4. 安全和风险从业人员、风险所有者、治理机构和其他利益相关者都必须做好准备，质疑他们的风险升级和披露流程

• 3.4.5. 应该有一个持续、互动的过程，根据已确定的各种风险因素的变化（包括但不限于新出现的威胁和漏洞、行业环境的变化以及运营模式的变化）​，对计划中有关网络风险升级和披露要求的假设提出质疑

3.5. 原则5：审计风险升级和披露流程

• 3.5.1. 审计职能至关重要，主要作用在于确保企业的风险升级和披露流程及程序的有效性和合规性等方面

• 3.5.2. 通过评估这些流程和程序的设计与实施，找出差距和薄弱环节，并提出改进建议

• 3.5.3. 审计师可帮助企业更有效地管理网络风险，并维护投资者、客户和监管机构等利益相关者的信任

• 3.5.4. 评估设计

  • 3.5.4.1. 审计师对企业风险升级和披露相关的流程和程序的设计进行评估，以确保该流程和程序清晰、全面，且符合总体风险管理目标和监管要求

  • 3.5.4.2. 包括审查结构、角色和职责、沟通渠道和文件记录等实践

• 3.5.5. 测试实施

  • 3.5.5.1. 审计师进行测试，以核实风险升级和披露流程和相关程序是否在整个企业范围内得到一致有效的实施

  • 3.5.5.2. 涉及审查具体事件、访问员工和检查文档，以评估对既定程序的遵守情况

• 3.5.6. 差距和薄弱环节识别

  • 3.5.6.1. 通过评估和测试，审计师会发现企业在风险升级和披露流程及程序方面存在的所有漏洞或薄弱环节

  • 3.5.6.2. 包括实施过程中的不一致、员工缺乏培训或意识，以及沟通和文件记录实践不足等

• 3.5.7. 改进建议

  • 3.5.7.1. 根据审计结果，审计师会就如何加强企业的风险升级和披露的流程与程序提出建议

  • 3.5.7.2. 涉及培训和意识、沟通渠道、文档以及流程和程序的整体结构和设计等领域