美国证券交易委员会新规定下的重大网络风险是什么?

网络事件披露规则¹ 美国证券交易委员会(SEC)于2023年7月推出的新规，引发了网络安全专业人士和董事会的担忧。. 这些规则包括几项新的或扩大的要求, 但似乎最令人担忧的是，重大网络安全事件必须向SEC公开披露的规定. 这需要在确定事件是重大事件后的4天内完成. 然而, 这些规则及其执行是基于能够确定什么是重大网络事件. 因此, 了解如何快速启动确定组织中的重要性的过程是有帮助的.

最近发表的关于这个话题的研究有助于澄清.² 研究人员调查了审计师历来认为的重大风险. 使用双因素测试来确定重要性的历史悠久. 要进行这个测试, 审计师首先对财务交易进行定量评估，以确定它们是否会对澳门赌场官方下载的资产负债表产生重大影响, 收入, 净收入或资产估值. 这些不同的财务指标被称为基准. 使用基准建立一个值称为它的阈值. 审计人员经常建立某些阈值和基准来评估组织的财务健康状况和风险. 这些可能包括税前收入的5%.总资产的5%，权益的1%或0.总收入的5%. 如果财务变化超过这些阈值, 它可能表明必须解决的重大转变.

在早期的研究中, 其中一名研究人员试图确定，考虑到传统的物质门槛值，一些有史以来最高的网络安全罚款是否会被视为物质.³ 简而言之，答案是否定的. 事实上，这样的罚款将高达20亿美元. 由于与澳门赌场官方下载的财务业绩相比，报告的损失金额相对较低，而且这些财务状况具有波动性, 研究发现，收入是判断网络影响最有效的基准.

这一发现为新的研究方向奠定了基础. 研究人员希望重现这项研究，但着眼点不同:网络风险的实质性阈值是什么样子的? 他们分析了最严重的网络事件，并测试了各种阈值. 我们发现一个合理的值应该是0.澳门赌场官方下载最近一次财务报告中收入的0.01%. 审计人员在实践中支持这种对阈值的调整, 因为一个组织不可能没有被认为是物质的东西. 因此, 即使在大型组织中, 审计人员必须选择一个能够产生一些初步重要值的阈值.

双因素测试的第一部分很重要. 将事件成本与阈值和基准值进行比较的过程将产生初步的重要性评估. 如果用这种方法发现它在数量上是重要的, 组织将很难争辩说一个事件不重要. 然而，反之则不成立. 对于成本低于此阈值的事件, 第二个要评估的因素是定性的. 组织必须确定一个理性的投资者是否会发现网络影响对他们的投资决策有意义. 即使是低于阈值基准的事务，在使用第二个测试进行评估时也可以被认为是重要的. 这个场景的一个例子是上面提到的网络安全罚款测试. 如果罚款超过阈值, 那么它可能是实质性的(取决于澳门赌场官方下载及其律师的最终决定). 然而, 即使澳门赌场官方下载只收到轻微的罚款, 对于投资者来说，知道自己因违反网络安全而被罚款仍然是有意义的.

组织必须确定一个理性的投资者是否会发现网络影响对他们的投资决策有意义.

SEC指南还要求披露重大风险，这涉及不同的阈值. 首先，组织必须区分风险因素和事件. 风险因素对预测未来事件很有用, 而事件则围绕着正在展开的当前事件. 研究人员提出了两种确定定量材料或网络风险的额外指标:变化率实质性(RoCM)和预测准确性实质性(FAM)。. RoCM侧重于组织定量评估风险情景的需要，并跟踪损失暴露随时间的变化. 报告这些变化可能会超过实质性门槛，比如审计师列出的现有门槛(研究人员建议使用收入的5%进行测试)。.

另外, FAM侧重于事件后对事件财务影响的审查，并与预测的风险量进行比较. 这为投资界提供了宝贵的见解，了解网络风险管理功能的协调程度以及风险预测的可靠性. 类似的, 关键值(如模态或最大值)的方差超过5%可视为初步材料.

研究人员将他们的发现总结为一种重要性启发法，有助于为那些在处理不确定性时寻求将SEC的新合规要求整合到其治理操作中的组织提供清晰的信息. 启发式方法反映了历史上用于财务审计目的的双因素检验. 整个过程包括3个步骤:

1. 使用定量阈值评估风险或事件. 使用0.01%的收入用于事故，5%的收入用于基于风险的度量(RoCM和FAM). 如果该值满足或超过这些阈值, 然后可以初步认为风险或事件是重大的. 事故和风险, 是否被初步认为是重要的, 是否进入第二阶段进行进一步评估.
2. 风险或事件经过定性审查，以确定一个合理的投资者是否会发现它对他们的决策很重要. 这些定性因素可以包括所涉及的数据类型, 监管的影响, 商业模式或市场份额. 澳门赌场官方下载执行管理层认为可以的, 风险或事件应被初步认为是重大的.
3. 最终的重要性决定是由组织的执行管理层做出的, 在向美国证券交易委员会披露之前，董事会和法律代表.

预计美国证券交易委员会的新规定对许多澳门赌场官方下载来说将难以实施. 很多人猜测，澳门赌场官方下载将过度披露信息，以避免招致SEC的愤怒.⁴ 合理遵守的一线希望是建立一个可辩护的决定框架, 报告及披露. 本文提出的指南对于组织建立自己的网络安全报告和披露框架至关重要.

尾注

¹ 美国证券交易委员会美国证券交易委员会通过网络安全风险管理规则, 策略, 治理, 以及上市公司事件披露，美国，2023年7月26日
² Freund, J.; N. Jorion; “在后sec网络规则世界中确定网络重要性,” ISSA杂志,卷. 21日,国际空间站. 9, 2023
³ Freund, J.; 工程经济外部性:确定物质网络安全罚款的方法， SIRAcon, 2020
⁴ 亚历克西斯,.; “商会敦促美国证券交易委员会推迟网络规则的实施,” 网络安全潜水， 2023年8月15日

杰克·弗伦德博士.D.， cisa, cism, crisis, cgeit, cdpse, nacd.DC

Kovrr的首席风险官是《? 测量和管理信息风险, 2016年入选网络安全佳能, ISSA杰出研究员, 费尔学会澳门赌场官方软件, IAPP信息隐私研究员, ISC2 2020年全球成就奖获得者和ISACA 2018年John W. 雷恩哈特四世共同知识体系奖.