返回首頁
網站導覽
聯絡我們
會員登入
協會簡介
關於協會
歷任理事長
理監事名單
什麼是公司治理
新聞專區
最新時事
專家觀點
公司治理簡訊
電子報
出版品專區
判決選粹
公益出版品
出版品
卓越董事進修學院
公開課程
到府課程
證書班
研討會
董監聯誼會
評量專區
董事會績效評估
公司治理制度評量
認證
公司治理制度評鑑
公司治理制度輔導
授證公司
常見問題
會員中心
會員註冊與登入
入會說明與權益
忘記密碼
團體會員介紹
NEWS
最新時事
專家觀點
公司治理簡訊
電子報
關於網路安全,董事應該要知道的三件事
發佈日期:2018年9月19日
作者:Julia Irvine
資料來源:Economia
介紹者:閻書孝研究員
審訂者:何佩諸委員
【作者】 Kimberly Schaefer
【資料來源】 Cincinnati Business Courier
【發佈日期】 2017年 6月 1日
【介紹者】 閻書孝研究員
【簡介】
過去幾年常聽到技術高超的駭客找到公司系統漏洞,盜取個人資訊、甚至挪用資金。因此,網絡安全已經是一個受銀行監理者高度重視的問題。
原因很清楚:金融機構在經濟上扮演特別重要的角色,他們取得並保管大眾的資金,而且,他們掌管的不只是客戶的錢而已,還包括他們機密的個人資訊。
對金融機構而言,網絡安全是控制接觸到公司電子資料的手段與方法,這些資料包括在公司內部、或其供應商所管理的客戶資料。
在2002年,美國對金融機構實施了格雷姆-里奇-比利雷法 (Gramm-Leach-Bliley Act),要求金融機構要發展整體性的安全及隱私計畫。在美國聯邦金融機構檢查委員會(Federal Financial Institutions Examination Council)提出的網絡安全評估工具(CAT)之後,該法的要求更受到注目:雖然CAT並非強制性的,但已經是所有金融機構用以檢測網絡安全通訊協定及保護的關鍵標準之一。
一旦機構或公司的資料外洩,公司的當務之急是控制對外洩漏的資訊,並盡力確保不再發生未授權的洩漏及入侵。因為機構或公司要面對的,不只是客戶所採取的法律行動及商譽損害,甚至董事會還會被控違反受託義務及浪費公司資產。
為了減少這些成本,作者建議機構或公司應該考慮以下幾件事:
對機構的風險及弱點,進行初步檢視
發展通訊協定及程序,減少這些弱點帶來的風險
至少一年一次請專家協助進行公司資訊安全之評估
規劃資料入侵的對應計畫
投保網絡責任保險
對供應商做年度性的盡職調查,包括對他們的合約,以確保這些供應商也有制訂策略與程序,來降低資訊安全上的弱點
而機構或公司的董事會必須要整體參與網絡安全的問題,因此,董事應該考慮:
對網絡風險有高度的瞭解
定期與管理階層探討網絡安全的議題
考慮強制性的網絡風險教育
定期請顧問來評估資料保護系統,並提出應改善領域之建議
成立一個委員會,來監督與瞭解網絡安全的問題、控制及程序
讓網絡安全專家進入董事會,或者從網絡安全專家取得報告
聘僱預防及降低網絡攻擊的專責人員
一個良好的網絡安全計畫,應該包括資料外洩或事件對應計畫。當資料外洩時,這個計畫要能提供行動的架構,確保可以提前完成關鍵決策,而非事到臨頭了才在壓力下做決定。
在發展計畫時,與法律顧問合作、有時候跟外部顧問合作,是很重要的。因為在攻擊發生後24小時以內,公司需要確認入侵點並加以控制,還要通報適當的外部單位,比如執法單位、保險公司、律師、監理機關、事業伙伴以及顧客。
在美國,不只聯邦銀行法規有特殊的通報要求,連客戶所在的各州,可能也有個別的通報要求。
對機構或公司及其董事會而言,可以投保網絡責任保險,涵蓋第三方及機構或公司自身的支出費用。
第三方責任費用,包括索賠費用及損失賠償、法律辯護的支出以及監理辯護的支出。而公司端的費用,包括通報客戶受網絡攻擊的支出、降低商譽損失相關的危機管理與公關支出、業務中斷的支出,以及聘僱鑑識公司(forensics company)調查入侵事件的相關支出。
機構與公司應該注意,這個保險涵蓋的範圍可能是有限的。因此,與保險公司討論保險涵蓋範圍是很重要的:
客戶若在供應商資料外洩的風險,可能並未被保險涵蓋到
網絡責任保險,可能未必會同時涵蓋電子資料以及的傳統形式資料
很少涵蓋到提款卡、信用卡
不涵蓋監理罰款
【網址連結】
http://www.bizjournals.com/cincinnati/news/2017/06/01/three-cybersecurity-answers-bankers-and-directors.html
BACK PAGE
TOP