跳转到主要内容

随着投资者、股东、监管者和原告律师对网络弹性的重视,成长型组织再也不能将其网络安全工作放在次要位置。建立网络安全计划已成为增长战略的一个重要因素。但是你从哪里开始呢?库利的网络/数据/隐私律师齐心协力,为成熟的公司提供了一个起点和前进的道路。

公共和高增长私营公司需要内部网络/数据/隐私治理结构,以保护数字资产和客户数据的完整性和价值,并减轻相关风险和责任。监管监督和诉讼风险的增加使董事和高级管理人员有义务确保制定适当的治理计划,并确保公司定期在董事会层面解决信息安全问题。本检查表包含公司应对网络风险应考虑的基本步骤。

行动计划

  • 指定高级领导层负责理解和管理公司面临的网络/数据/隐私风险,并理解合规义务——例如,SEC针对上市公司的重大风险规则。
  • 执行早期审计,以了解并盘点关键数据和数字资产,识别数据如何在供应链中流动,并识别内部和外部网络风险。
  • 采用核心内部政策和治理结构:信息安全;隐私管理;供应商管理;以及事件响应。
  • 准备一份详细、彻底、分步的事件响应计划,以便在发生网络事件时使用。
  • 确定并保留外部律师、法医专家、公共关系专家和其他供应商,以增强公司在网络事件中的准备能力。
  • 向关键人员、管理层和董事会提供定期和相关的网络风险防范培训。
  • 定期进行桌面网络响应演习,以测试事件响应计划;让关键的内部和外部利益相关者参与,包括技术和非技术响应者(至少每年一次)。
  • 考虑获得网络保险,并要求合作伙伴和供应商获得足够的网络保险。
  • 实施、测试和保护数据恢复基础架构,以防止业务中断和关键数据丢失。
  • 审查报告义务并准备模板通知,以便在发生网络事件时与监管机构、消费者和合同合作伙伴一起使用。
  • 在管理层和董事会的监督下,定期进行压力测试、渗透测试、审计、评估和审查。
  • 积极监控安全事件,包括识别、响应、跟踪和报告安全事件。
  • 实施稳健的供应商管理计划,确保供应商妥善保护数据和数字资产,防范网络风险。
  • 通过监测和实施技术最佳实践以及维护前瞻性威胁评估计划来降低风险。
  • 通过定期进行风险评估,并根据预期的业务计划和结果预测和解决风险——设计的隐私和安全性,实现经得起未来考验的信息安全实践;监管和诉讼风险跟踪;合作伙伴和供应商协议;等
  • 定期向董事会简要介绍网络风险管理(至少半年一次)。

本文:https://cioctocdo.com/cybersecurity-governance-maturing-companies