解锁未来 | 董事会驾驭网络安全的关键之道

毋容置疑，先进的技术已成为众多企业的核心资产，而网络安全对于保护核心资产至关重要。新冠疫情全球蔓延之下，远程办公需求激增，这就为网络罪犯带来新的机会，从而使得加强网络安全的重要性愈发突出。 网络风险对公司底线的挑战可以是直接的（例如集体诉讼、罚款以及调查费用），也可以是间接的（如声誉受损造成的收入和市场份额下滑）。数据泄露造成的损失也可能导致公司的评级面临风险，从而增加公司的借贷成本，影响公司实施战略计划（例如并购）的能力。 面对这些风险，董事会成员正成为推动网络风险管理变革的关键。董事会成员需要积极倡导网络弹性，没有公司最高层的支持，即使是网络安全专家也无法独自在全公司范围内实施网络安全性管理的变革。

深入视角

随着技术日益成为企业运营每一环节中不可或缺的一部分，企业面临的网络风险也在增加。同时，一系列规范企业如何处理和保护数据的法规也应运而生，例如欧盟的《通用数据保护条例（GDPR）》以及美国的《加州消费者隐私法案》（CCPA）。

该风险也渗透到公司董事会，网络安全日益成为董事会受托责任中重要组成部分。

对于企业而言，数据法规应被视为一项机会，而不是负担。
 

重视责任

公司面临的一项重要监管责任是及时披露网络事件和网络风险。对于上市公司而言，该方面要求的责任级别更高。

随着网络风险的增加，公司及其董事和高级管理人员面临的诉讼风险也在增加。2019年，原告在美国法院提起了创纪录的428起证券欺诈集体诉讼，其中包括针对上市公司的268项核心诉状和160项并购诉讼，远高于长期以来的平均水平。

公司董事和高级管理人员面临的总体诉讼风险是空前的。在过去几年中，“事件”引发的诉讼有所增加，这些“事件”中包括网络安全事件和网络攻击。漫长的诉讼可能会以多种方式影响公司：高昂的诉讼成本可能威胁到企业的生存能力，而诉讼风险则可能威胁到并购行为。

由于数据处理不当或对网络攻击的处理不当而造成的声誉损失也可能对上市公司和私有制公司构成严重威胁。虽然较为少见，但因数据泄露而造成公司破产依旧是可能的风险之一。
 

建立倡导网络安全的董事会

保护公司免受网络风险的责任始于高层。美国证监会（SEC）指出：“有效的网络安全计划从高层的正确倡导开始，高层领导者需要通过与他人合作来理解、侧重、交流并降低网络安全风险，以改善公司的网络安全现状。”

对于拥有成熟网络安全计划的公司而言，重点始于董事会——网络安全可能是考核高层管理人员的关键绩效指标。

公司董事会需要积极吸纳精通网络安全的成员。这并不是说每个人都需要成为网络安全专家，而是要愿意建立核心技能，在整个公司中普及基本的网络安全知识，并认识到外部专家的重要性。

---

如需了解更多详情，敬请联系您的中怡专属客户经理，或发送邮件至以下邮箱：cn.marketing@aon-cofco.com.cn，我们的顾问将尽快与您取得联系。