鉴于公众对企业和政府遭受网络攻击的持续关注，以及在发生信息安全事件后应该披露什么消息，美国证券交易委员会（the Securities and Exchange Commission，SEC）的公司财务部门（the Division of Corporate Finance）在2011年10月颁布了“公司财务披露指引：第2号文件”，该指引谈到了在涉及网络安全风险和事故时，上市公司的报告要求包括的相关消息。本文将解释这个新颁布的SEC披露指引，包括它适用于谁，必须披露哪些消息，以及如何及时地提供给SEC。

　　在SEC注册的上市公司要求为所有可能的投资者提供报告，该报告披露关于安全风险及相关事件的消息。尽管“第2号文件”明确声明没有规定与信息安全风险相关的正式报告要求，但该指引也表明如果此类风险对其它报告要求有潜在的实质性影响，那么披露这样的信息安全风险消息是必要的。所以为了本文的目的，我们假定任何在SEC注册的公司的任何信息安全威胁、风险或是事件均可由SEC审查员进行评审。

　　另一个关键点是，SEC没有期望注册公司披露那些可能危及到他们网络安全运营的消息。相反，SEC更倾向于以投资者能够理解的方式披露信息安全消息，从而让后者意识到具体上市公司所面对的风险，而不披露与安全相关的消息，如公司使用的具体安全产品或是恰当的配置，因为它们可能会被攻击者利用。换句话说，受该条例约束的企业不需要解释所有的事情，但必须以直白的话语描述从而方便非技术出身的监管人员理解，让投资者心里有数。

　　SEC网络安全披露条例解决哪些问题？

　　除了具体事件的概况以外，SEC想要披露的网络安全事件细节包括如下：

　　1. 讨论注册企业/业务运作的哪些方面带来了网络安全风险。
　　2. 讨论的网络安全漏洞的潜在后果和代价。
　　3. 讨论注册公司如何辨识那些可能处于网络攻击风险之下的活动以及如何应对这些风险。
　　4. 描述被认为对注册公司正常运转有实质性影响的网络安全事故，以及这些事故所产生的费用和后果。
　　5. 描述在一段时间内无法侦测到网络安全风险的可能性。
　　6. 讨论使用保险以及其它应对网络安全风险的处理方法。

　　准备SEC的网络安全披露报告

　　在SEC注册的公司必须向SEC准备和提交许多报告，例如10-K、10-Q和其它报告。每个报告都有标准的格式和报告结构。网络安全披露报告中可以包括以下内容：

• 关于财务状况和经营业绩的管理层讨论和分析（Management’s Discussion and Analysis，MD&A）。——在这个章节中，组织描述对上市公司的运营、资金流转和财务状况可能有实质性影响的信息安全事件。这些可以包括，例如，关键财务数据的失窃和知识产权的损失。假定此类损失有实质性的、运作上或财务上的影响，那么在管理层的讨论和分析报告中必须描述这些内容，包括事件导致的任何后果如事故响应、客户拓展、增加在信息安全保护措施方面的投入，以及与这些活动有关的支出或损失。
• 业务描述——如果网络安全威胁可能给注册公司的任一种或所有的产品和服务造成重大影响，而且新的或计划中的产品和服务也可能面临网络安全攻击的风险，那么注册公司应该披露相关消息。大多数企业都应该能够依靠自己的企业风险评估模版和文档提供此类消息。如果企业还没有进行彻底的风险评估，SEC的网络安全披露条例要求，评估应作为有用的手段让公司认识到技术及合规遵从方面所要做的投入。
• 法律诉讼——如果网络安全事件导致丢失关键的客户信息或是财务数据引发法律诉讼，注册公司必须披露围绕该法律诉讼的相关情况，包括诉讼人、进行该法律程序的法庭，以及起诉的详细信息。在导致法律事件之前加强合规遵从、安全和法律团队间的协作是很好的主意，以便让所有利益相关者做好准备应对该要求，如果有必要的话。
• 财务报表披露——提供运营资金的注册公司需要增加他们在信息安全防护方面的投入，在他们的财务声明中必须披露该消息。导致法律诉讼、合同违约、产品召回和其它情形的信息安全事件损失可能影响在编财务报表所用的假设，应该在这些假设中声明。
• 披露的控制和流程——在网络攻击破坏了注册公司在SEC归档过程中记录、处理、总结和报告信息的情形下，管理者必须进行准备，找到信息系统中的不足，后者可能使得控制和流程消息披露不充分。

　　报告网络安全事件

　　通常，在报告网络攻击的过程中，IT安全部门会汇编各种各样的信息。在收集到数据中，有事件发生的日期/时间、产生事件的人名、事件的描述信息、辨别出该事件的设备（例如入侵检测系统），缓解/消除该攻击的方法（例如关闭系统、启动防病毒软件）、事件的持续时间、受到影响的设备和系统（例如服务器、操作系统）、受到影响的数据文件（例如文件、数据库和其它记录）、受到影响的网络资产（例如交换机、路由器、软件）、其它受到影响的公司资产、事后需要采取的后续行动，以及该事件被关闭的日期和/或时间。

　　相比于上述的技术和运作层面的详细信息，网络安全事件对公司在财务方面、运营方面和名誉方面的影响可能需要由其他公司的专业人员来判断。来自信息安全部门报告的数据可以用来准备此类的分析。

　　对于大多数上市公司来说，应该由CFO办公室以及合规遵从团队来管理公司遵守SEC的任何要求，包括网络安全披露条例，信息安全团队应做好准备，在支持遵守“第2号”文件方面扮演重要的角色。虽然对于SEC报告来说，包括上述所有的技术细节信息可能是不必要的，然而此类报告的可用性、以及对它们的分析结果，在准备用于SEC归档的披露报告时将会是至关重要的。

　　关于作者

　　Paul Kirvan，拥有FBCI、CISA认证，是一名独立的咨询顾问。他在业务连续性、灾难恢复、IT/通信、企业风险管理（ERM）以及治理、风险及合规问题（GRC）方面拥有超过30年的经验。