中華公司治理協會|TCGA
NEWS
董事會的網路風險:瞭解英國最新的網路治理實務守則

【作者】Ana Mayne
【資料來源】FARRER & CO
【發佈日期】2025年 6月 25日
【介紹者】    閻書孝研究員
【審訂者】    謝靜慧/本協會前秘書長
【簡介】    

今年初,英國科學、創新與科技部(Department of Science, Innovation and Technology,DSIT)發佈了《網路治理實務守則》(Cyber Governance Code of Practice,the Code)。該守則的適用對象是中大型組織的董事會,旨在協助董事會層級管理網路風險。它設計成實務架構,協助將網路風險整合進現有的治理結構與決策流程裡。體認到網路韌性現在是良好治理的核心要素,該守則是英國政府更廣泛的網路治理資源套件的一部份,與現行的《董事會的網路安全工具包》(Cyber Security Toolkit for Boards)以及《網路治理訓練》(Cyber Governance Training)搭配提供。該守則將成為董事會成員參考的首要指引,並由以上兩項附加工具來輔助。

英國網路環境局勢

該守則的推出正值網路風險受到高度審查和對其認知提升之際,瑪莎百貨(Marks & Spencer)與合作社集團(Co-op)先前在2025年四月與五月才發生過飽受注目的勒索軟體攻擊。這些事件持續引起重大的營運干擾,並可能危及客戶與員工資料,突顯了英國企業所面臨的威脅升高。

配合該守則,DSIT公布了《2025年網路安全漏洞調查》(Cyber Security Breaches Survey 2025),一份針對網路韌性的調查。調查結果突顯了董事會投入網路風險方面的不足,很多組織仍將之視其為技術問題,而非策略治理的優先事項。此發現顯示,有43%的英國企業表示過去一年有受到網路入侵或攻擊,而中型企業比例升至67%、大企業為74%;另有72%的企業現在將網路安全列為高度優先事項。

但是僅27%有董事會成員負責網路安全,這個數字過去幾年持續下降。風險意識和董事會層級問責性之間的這個落差,突顯了需要更明確的治理架構。

守則

該守則旨在將網路治理定位為一項策略議題,作為支持長期韌性與價值的基礎,而非資訊科技團隊的技術問題。因此該守則不是操作手冊,而是引導董事會監督的高層次治理架構。

該守則提出了五項有效網路治理的核心原則。每個核心原則都附加了建議行動措施。

1.風險責任歸屬—董事會必須承擔責任,並將網路風險視作策略議題。支持此原則的行動措施包括:明確確定公司高階主管對網路風險的責任,並將之整合進更廣泛的風險管理控制中;確保會定期評估供應商的資訊,以作為供應鏈管理的一部份;以及落實風險辨識和管理系統,並確保有董事會的參與。
2.策略—網路韌性應支持與實現更廣泛的業務目標。支持此原則的行動措施包括:制定一項符合組織整體策略的網路策略;確保此符合組織風險承受度及監管遵循義務;配置資源以有效落實策略。
3.人員—組織應具備正確技能、能力和文化,以管理網路風險。支持此原則的行動措施包括:推動建立網路安全文化;確保所有層級的問責機制;制定明確政策以指導員工;進行董事會層級的訓練,以增進其對組織使用資料和數位資產的素養與理解;以及對組織網路安全訓練的有效性獲得確信。
4.事件因應—應定期評估規劃、因應與復原能力。支持此原則的行動措施包括:發展健全的網路事件因應計畫;每年執行因應計畫演練,並將每次演練中所獲得的經驗,反饋強化該因應計畫;以及確認董事會在事件方面的責任,包括監管通報、制定關鍵決策與溝通。
5.確信與監督—應該設計明確的職責報告關係。支持此原則的行動措施包括:發展明確職責與分工的網路治理結構;要求至少每季一次正式向董事會報告;設定適合的報告指標;以及與高階經理人就網路治理有效的合作。

法律與治理影響

該守則現在是自願性的,但可能會對目前以及未來的網路治理與風險產生重大的影響:

*雖然守則形式上是針對中大型組織,但其原則適用於所有企業,包括牽涉數位工作存在資安風險的小型公司。小型公司的董事會應考慮自願採行該守則,特別該公司若屬於受監管的產業、或需要處理敏感資訊。
*該守則在評估董事履行法律義務上是很有幫助的比較基準,特別是關於推動公司成功、履行合理注意、技能與勤勉方面的義務(分別依據英國2006年版公司法第172條與第172條)。與其他自願性治理守則一樣,我們或許會看到監管機關、投資人與法院用此守則來評估董事義務之履行狀況。
*該守則或許未來會納入法規,特別是當網路風險持續擴大、或是監管機關對於網路治理的關注增加時。其他適用於私有公司的守則,一開始也是自願性的,但後來就轉成強制性的「遵循或解釋」報導要求。
*最後,該準則補充了《英國公司治理守則》、FCA的營運韌性架構,以及產業特殊規定的現有治理義務。它也符合更廣泛的ESG與風險監督趨勢,並強化了對董事會的期待,也就是董事會必須採取更積極與明智的方法來強化數位韌性。

董事會可採行的初步實務步驟

欲遵循該守則的董事會,應考慮下述行動作為遵循實務上的起點:

1.任命一位董事會層級的資安負責人,並確認網路治理結構。
2.確認組織是否有最新的網路風險分析。風險評估應定期執行,並與組織最廣泛的風險承受度與策略保持一致。確保將供應商納入網路風險評估之內。
3.發展一個資安策略。確保其符合整體的策略,並且投入充足的資源加以支持落實策略。
4.將資安議題列為董事會議程上的固定事項。考慮將網路風險報告納入內外部稽核及風險管理流程。
5.確保組織提供所有層級有關網路韌性訓練,並制定適當的網路安全政策。
6.讓所有董事會成員都接受DSIT的網路治理訓練。
7.確認組織具備網路事件應變與復原計畫。確保此計畫每年都會演練一次,測試資安韌性,並落實演練中獲得的學習經驗。

【網址連結】
https://www.farrer.co.uk/news-and-insights/cyber-risk-in-the-boardroom-understanding-the-uks-new-cyber-governance-code-of-practice/
 

BACK PAGE
TOP