CISO 必须做什么才能满足 SEC 的新法规？

问题：CISO 如何跟上不断变化的网络安全法规？

HackerOne 首席法律和政策官 Ilona Cohen： 担任首席信息安全官 (CISO) 从来都不是一件容易的事，但过去几个月感觉特别具有挑战性。对于工作中常见的压力源（例如勒索软件攻击的持续增加和内部威胁的普遍存在），我们现在可以加强监管执法审查。

最近 美国证券交易委员会的指控 (SEC) 针对 SolarWinds 的 CISO 的指控是该机构首次以这种方式挑选 CISO。这表明更大的 问责制增强的趋势 适用于负责管理组织安全计划的个人。

此外，在美国交易所交易的公司必须遵守 SEC 新的网络安全披露和 事件报告规则即日起生效，并且符合条件的小型公司必须遵守 2024 年春季的事件报告规则。这些变化使组织安全计划受到更严格的审查，并增加了 CISO 必须跟踪的责任负担。

毫不奇怪，许多 CISO 感受到比以往更大的压力。

博曼 新规则和责任 不一定会成为 CISO 工作的障碍 — 事实上，它们实际上可以成为 CISO 的支持来源。美国证券交易委员会关于网络安全披露和事件的规则历来有些难以辨别。通过明确披露安全风险管理计划、治理和网络事件的要求，SEC 为 CISO 提供了一本指南。

此外，美国证券交易委员会对风险管理和治理的期望增加可能会 赋予 CISO 更高的地位 要求内部资源和流程来满足这些期望。上市公司向投资者披露风险管理实践的新要求为加强主动网络安全防御创造了额外的激励。甚至在生效之前，SEC 的新规则就已经提高了公司董事会和非 CISO 公司领导层对网络安全实践的认识，这可能会转化为更广泛的网络安全资源。

从风险管理、安全成熟度和公司治理的角度来看，拥有强大安全计划（包括不断识别和减轻漏洞）的上市公司可能对投资者更具吸引力。与此同时，采取积极主动的态度降低安全风险的公司（例如，实施 ISO 27001、29147 和 30111 中包含的网络安全最佳实践并为其提供适当的资源）遭受损害公司品牌的重大网络攻击的可能性较小。 。

这种新的监管环境为首席信息安全官提供了一个评估其内部报告程序并确保其达到标准的机会。如果上市公司尚未制定将重大安全问题上报给执行管理层的程序，则应立即建立这些流程。 CISO 应帮助准备有关公司风险管理流程的披露，并帮助确保 公司有关安全的公开声明 准确、充实且不具有误导性。

根据美国证券交易委员会的新规定，上市公司必须在四个工作日内披露任何被视为“重大”的网络安全事件。但许多事件响应者想知道“实质性”意味着什么，特别是当美国证券交易委员会拒绝在规则中采用与网络安全相关的“实质性”定义并让投资者和上市公司熟悉该标准时。如果合理的股东会依赖有关该事件的信息来做出明智的投资决策，或者该事件会显着改变股东可获得的信息的“总体组合”，则该事件是“重大”的。

实际上， 确定什么是重要的、什么不是重要的 并不总是显而易见的。虽然事件响应人员可用于评估事件的安全影响，例如有多少记录受到影响、有多少未经授权的用户进行了访问，或者什么类型的信息面临风险，但他们可能不太习惯于考虑更广泛的问题。对公司的影响。这就是为什么许多公司都制定了协议——例如转介给由安全专业人士、律师和最高管理层成员组成的内部委员会——来评估 不仅仅是安全风险 事件造成的，但对公司整体的影响。跨学科团队更有可能评估该事件是否使公司承担责任，影响公司的财务状况，扰乱公司与其客户之间的关系，或因未经授权的访问或服务中断而影响公司的运营，所有其中与重要性确定相关。

通过对标准操作程序进行一些认真的调整，CISO 可以有效地适应这种新的监管环境，而不会大幅增加工作量或加剧已经很高的压力。

• SEO 支持的内容和 PR 分发。 今天得到放大。
• PlatoData.Network 垂直生成人工智能。 赋予自己力量。 访问这里。
• 柏拉图爱流。 Web3 智能。 知识放大。 访问这里。
• 柏拉图ESG。 碳， 清洁科技, 能源， 环境， 太阳能， 废物管理。 访问这里。
• 柏拉图健康。 生物技术和临床试验情报。 访问这里。
• Sumber: https://www.darkreading.com/cybersecurity-operations/what-do-cisos-have-to-do-to-meet-new-sec-regulations-