網路安全是 ESG 的重要議題——以下是論證方法
如今已無法迴避的資訊披露問題
在大多數情況下,永續發展與ESG報告框架一直將網路安全視為次要考量——它僅是治理章節中的一則附註,或是科技產業特定標準中的揭露義務,卻鮮少像氣候變遷、勞動實務或董事會多元性那樣,被視為首要的重大性議題。這種情況正迅速改變,尚未將網路安全納入重大性評估與揭露實務的ESG專業人士,正日益面臨這項缺口的風險。
箇中原因不難理解。如今,網路安全事件已成為企業風險披露中最常被報告的重大事件之一。重大資安事件所帶來的財務後果——包括監管罰款、營運中斷、訴訟成本、聲譽受損及客戶信任流失——往往既嚴重又迅速。 其對人的影響——個人資料外洩、基本服務中斷、弱勢群體受損——皆是實質性的社會衝擊。而重大網路安全事件發生前通常伴隨的治理失當——監督不力、責任歸屬不明、投資不足、第三方管理不善——正是ESG框架旨在揭露並解決的治理問題。
在此語境下,「重要性」的涵義為何
在 ESG 領域中,「重要性」指的是某個議題相對於其對組織及其利害關係人潛在影響的程度。 不同的框架採用不同的測試標準。GRI 標準採用以利益相關者為中心的測試:該議題對利益相關者是否足夠重要,以致若未加以披露,將導致他們無法獲取評估該組織永續績效所需的信息?ISSB 與 TCFD 框架則採用財務重要性測試:該議題是否可能合理地影響該組織的財務狀況、績效或前景?歐盟的 ESRS 則採用結合兩者的雙重重要性測試。
對於各類組織而言,網路安全均符合上述所有重大性測試標準。從財務重大性的角度來看,重大網路事件可能造成重大財務損害的事實已廣為人知,且在風險披露中亦日益被量化。從利害關係人重大性的角度來看,客戶、員工、投資者及監管機構皆對組織如何管理網路風險具有直接利害關係。 此外,從雙重重要性角度來看,網路事件既會影響組織更廣泛的社會與環境影響,同時也受其影響——例如環境監測資料的遺失、員工或客戶個人資訊的洩露,以及社區所依賴的服務中斷。
網路安全並非一個小眾的技術問題。它是一種涉及財務、社會及治理層面的商業風險,這些層面與每個主要 ESG 報告框架的重大性標準直接相關。
NIST CSF 2.0 在資訊披露方面提供了哪些內容
對於正致力於論證網路安全重要性,或在確認重要性後著手制定揭露內容的 ESG 專業人士而言,NIST CSF 2.0 既提供了一套實用的評估工具,也提供了一套揭露架構。
作為評估工具,CSF 2.0 的六大功能——治理、識別、保護、偵測、應對、復原——為組織應執行的網路安全風險管理活動提供了完整的藍圖。 ESG 專業人員可運用此藍圖,將現行做法與預期標準進行對照評估:組織是否具備「治理」功能所要求的治理架構?是否擁有「識別」功能所要求的最新且全面的資產與風險清單?是否具備「應對」功能所要求的經測試之事件應變程序?現行做法與 CSF 2.0 預期標準之間的差距,即為與資訊披露相關的風險。
作為一種披露架構,CSF 2.0 的成果與類別為組織網路安全治理與風險管理的敘述性披露提供了框架。ESG 專業人士無需撰寫泛泛而談的段落來闡述組織對網路安全的重視程度,而是可以圍繞符合 CSF 標準的具體成果來架構披露內容:例如已建立哪些治理流程、如何管理供應鏈風險、事件應變能力為何,以及組織如何持續監控並改善其網路安全態勢。
監管背景
監管環境日益強調網路安全在資訊揭露方面的重大性。美國證交會(SEC)的網路安全資訊揭露規則已於2023年12月對大型加速申報公司生效,該規則要求上市公司須在四個營業日內揭露重大網路安全事件,並須在年度報告中納入有關網路安全風險管理、策略及治理的資訊。 歐盟的《NIS2指令》要求各成員國須於2024年10月前將其轉化為國內法,該指令對廣泛領域內的營運組織施加了重大義務,並包含針對重大事件的通報要求。
除了特定產業的監管規定外,《企業永續報告指令》所規範、適用於歐盟大型企業的《歐盟永續報告標準》(ESRS),其中包含治理資訊揭露要求,涵蓋對組織而言具重大影響的網路安全風險管理。GRI通用標準的修訂過程已指出,技術治理(包括網路安全)是對利害關係人報告日益重要的領域。
對於需在多個框架下管理資訊披露義務的 ESG 專業人士而言,NIST CSF 2.0 提供了一種方法,可讓他們僅需建立一次基礎的治理與風險管理內容,即可應用於多種披露文件中。該框架已獲得充分認可與尊重,因此在披露文件中引用它,能為原本可能流於泛泛而談的敘述增添可信度與具體性。
將網路安全納入您的重大性評估
對 ESG 專業人士而言,切實可行的起點是將網路安全明確納入下一次重要性評估流程中。這意味著需與資訊安全、風險管理及合規部門進行協作,以了解當前的風險概況與風險管理現狀。這也意味著需評估潛在事件所帶來的財務風險——若缺乏內部估算數據,則可參考公開的事件成本數據作為基準。此外,還需調查利害關係人對網路安全治理的期望,這些期望正日益體現在投資者問卷、客戶盡職調查要求及監管指引中。
一旦網路安全被確立為重大事項,NIST CSF 2.0 的「治理」功能便會提供治理框架,以確保組織對該重大事項的應對措施相應得當——包括明確的問責機制、有據可查的政策、明確定義的風險偏好,以及可信的監督流程,並能對此進行有把握的報告。
那些現在就能將「網路安全重要性」與「ESG 治理嚴謹性」聯繫起來的組織,相較於那些仍將網路安全視為「與己無關」的組織,將更能為未來的資訊揭露環境做好準備。
重點摘要:網路安全在所有主要 ESG 框架下均通過了重要性測試。NIST CSF 2.0 同時提供了評估工具與揭露架構,使其能以具公信力且具體的方式整合至 ESG 報告中。