Theo kịp các quy định của liên bang là một phần tất yếu của an ninh mạng. Trong khi các quy tắc mới nhằm mục đích bảo vệ hoạt động kinh doanh, chúng đồng thời cũng đòi hỏi nhiều hành động hơn. Ủy ban Chứng khoán và Sàn giao dịch Hoa Kỳ (SEC) gần đây đã đề xuất các quy tắc mới mà các công ty đại chúng sẽ cần biết. Các tiêu chuẩn này chuẩn hóa báo cáo sự kiện và yêu cầu báo cáo định kỳ về các chính sách và thủ tục an ninh mạng. Họ nói cái gì? Chúng sẽ ảnh hưởng đến công việc kinh doanh của bạn như thế nào?
Theo SEC, những thay đổi mới nhằm mục đích “thông báo tốt hơn cho các nhà đầu tư về quản lý rủi ro, chiến lược và quản trị của người đăng ký và cung cấp thông báo kịp thời về các sự cố an ninh mạng quan trọng.”
Hướng dẫn trước đây đã nhấn mạnh tầm quan trọng của việc báo cáo sự cố nhưng không có thời hạn cụ thể hoặc yêu cầu báo cáo hàng năm. Đề xuất cũng yêu cầu các tiết lộ phải được trình bày bằng eXtensible Business Reporting Language nội tuyến (‘Inline XBRL’). Các tổ chức và tổ chức tài chính có thể gửi ý kiến về những thay đổi được đề xuất cho đến ngày 9 tháng 5 năm 2022.
Báo cáo yêu cầu không quá bốn ngày làm việc
Theo đề xuất của SEC, “chúng tôi đang đề xuất các sửa đổi để yêu cầu báo cáo hiện tại về các sự cố an ninh mạng quan trọng. Chúng tôi cũng đang đề xuất yêu cầu tiết lộ định kỳ về các chính sách và thủ tục của người đăng ký để xác định và quản lý rủi ro an ninh mạng, vai trò của ban quản lý trong việc thực hiện các chính sách và thủ tục an ninh mạng, và kiến thức chuyên môn về an ninh mạng của ban giám đốc nếu có, và sự giám sát của ban giám đốc đối với rủi ro an ninh mạng. ”
- Một sự cố trái phép đã xâm phạm đến tính bảo mật, tính toàn vẹn hoặc tính khả dụng của tài sản thông tin (dữ liệu, hệ thống hoặc mạng); hoặc vi phạm các chính sách hoặc quy trình bảo mật của người đăng ký
- Sự cố trái phép gây xuống cấp, gián đoạn, mất kiểm soát, hư hỏng hoặc mất kiểm soát hệ thống công nghệ vận hành
- Sự cố trong đó một bên truy cập trái phép hoặc một bên vượt quá quyền truy cập được phép và đã thay đổi hoặc đánh cắp thông tin kinh doanh nhạy cảm, thông tin nhận dạng cá nhân, tài sản trí tuệ hoặc thông tin dẫn đến hoặc có thể dẫn đến mất mát hoặc trách nhiệm pháp lý đối với người đăng ký .
Đề xuất tiếp tục nói rằng “Ngoài ra, các quy tắc được đề xuất sẽ yêu cầu người đăng ký cung cấp thông tin cập nhật về các sự cố an ninh mạng đã được báo cáo trước đó trong báo cáo định kỳ của họ.” Bằng cách yêu cầu theo dõi, SEC cho thấy rằng họ yêu cầu các tổ chức phải ‘dọn dẹp’ sau một sự kiện.
Báo cáo Hàng năm về Quản lý Rủi ro An ninh Mạng
Các bản cập nhật được đề xuất cũng yêu cầu báo cáo hàng năm cung cấp các chi tiết cụ thể về việc chuẩn bị và chiến lược. Ba lĩnh vực báo cáo là:
- Chiến lược và quản lý rủi ro an ninh mạng – các chính sách và thủ tục được áp dụng để xác định và quản lý các rủi ro và mối đe dọa an ninh mạng
- Quản trị – vai trò và trách nhiệm về quản trị an ninh mạng của ban giám đốc và các cấp quản lý
- Chuyên gia về an ninh mạng của hội đồng quản trị – mức độ chuyên môn về an ninh mạng của các thành viên hội đồng quản trị
Mặc dù SEC đã cung cấp các quy tắc và hướng dẫn trong lĩnh vực này trước đây, đặc biệt là về các sự cố tiết lộ, các nhiệm vụ được đề xuất có thể sẽ yêu cầu những thay đổi trong quy trình nếu được thông qua. Đặc biệt, khoảng thời gian báo cáo bốn ngày sẽ có tác động có ý nghĩa đến hoạt động kinh doanh. Các tổ chức nên chú ý cẩn thận đến tiến độ của nhiệm vụ này. Hãy xem những thay đổi nội bộ mà bạn có thể cần để đáp ứng các yêu cầu được đề xuất này.
Vina Aspire là công ty tư vấn, cung cấp các giải pháp, dịch vụ CNTT, An ninh mạng, bảo mật & an toàn thông tin tại Việt Nam. Đội ngũ của Vina Aspire gồm những chuyên gia, cộng tác viên giỏi, có trình độ, kinh nghiệm và uy tín cùng các nhà đầu tư, đối tác lớn trong và ngoài nước chung tay xây dựng.
Các Doanh nghiệp, tổ chức có nhu cầu liên hệ Công ty Vina Aspire theo thông tin sau:
Email: info@vina-aspire.com | Tel: +84 944 004 666
Fax: +84 28 3535 0668 | Website: www.vina-aspire.com
Vina Aspire – Vững bảo mật, trọn niềm tin