The Business Times
business-time-50
BOARDROOM MATTERS

为何董事会需要制定应对网络安全事件的行动手册

上市公司须具备充分且有效的内部控制与风险管理体系

google-preferred-sourceAdd BT as a preferred source
    • 新加坡交易所要求上市发行人将网络安全视为一项由董事会监管并承担相应信息披露后果的风险。
    • 新加坡交易所要求上市发行人将网络安全视为一项由董事会监管并承担相应信息披露后果的风险。 图片来源:《商业时报》资料图

    Abdul Jabbar Bin Karam Din

    Published Fri, Apr 10, 2026 · 05:00 AM

    本文由AI辅助翻译

    查看原文

    各种规模的组织正日益面临愈发频繁、复杂和协同化的网络攻击。生成式人工智能 (AI) 的兴起,使得深度伪造和人工智能自动化攻击等先进的网络钓鱼手段成为可能,从而加剧了这些风险。

    新加坡交易所 (SGX) 要求上市发行人将网络安全视为一项由董事会监管并承担信息披露后果的风险。良好的实践要求上市公司董事会(通常通过审计委员会)实施健全的网络风险治理框架和事件应急预案。

    网络风险监督

    上市公司须具备充分且有效的内部控制和风险管理体系,包括财务、运营、合规及信息技术 (IT) 方面的控制。

    公司必须持续保持一个有效、独立且资源充足的内部审计职能。董事会应确定公司愿意承担的重大风险的性质和程度,并在公司年报中披露其已获得适当的管理层保证。

    在实践中应用这些原则时,董事会应制定一套管理网络风险的行动手册。这可以包括覆盖全企业的网络风险框架、经过测试的事件应急和业务连续性计划、与风险水平相匹配的网络保险覆盖范围,以及对网络控制和披露控制的定期独立保证。

    为有效降低风险,新加坡企业应时刻警惕瞬息万变的威胁环境。

    DECODING ASIA

    Navigate Asia in
    a new global order

    Get the insights delivered to your inbox.

    2025年10月,云软件提供商 Salesforce 遭到攻击后,一起网络安全漏洞事件导致近600万 Qantas 客户的个人数据泄露。攻击者通过电话冒充员工(即“语音钓鱼”),诱骗员工授予他们未经授权的数据访问权限。

    这一事件凸显出,防范网络风险不仅需要先进的IT基础设施,还需要一支训练有素、能够捍卫这些系统的员工队伍。

    去年,新加坡 Toppan Next Tech 公司遭遇的一起勒索软件事件,导致本地数家主要银行的客户数据遭到泄露。

    这凸显了对受托处理企业数据的第三方供应商进行严格监督的迫切性。机密客户信息的泄露不仅会损害客户信任、破坏企业声誉,还可能导致法律后果。

    市场披露义务

    上市公司必须通过新交所网站 (SGXNet) 公布任何为避免其证券出现虚假市场所必需的信息,或可能对其证券价格或价值产生重大影响的信息。

    当网络事件发生时,上市公司必须评估事件的重要性,包括其产生的财务影响。如果该网络事件性质重大且需要发布公告,则必须及时进行。

    该义务受到《2001年证券与期货法》的法律支持。

    可能对公司证券价格或价值产生重大影响的网络安全事件示例包括:运营中断、敏感或机密数据被窃取,或威胁到财务表现或持续经营的系统中断。

    公告的内容与其发布时机同样重要。应披露的信息范围取决于事件的重要性。为降低网络事件带来的声誉风险,公司应核实事件细节,并规划与客户、股东等其他利益相关方的清晰、及时的沟通。

    拥有针对特定情景的预制沟通模板,可以帮助公司在网络事件期间快速管理信息传递。这些资源无需临时创建和批准新信息,从而节省时间,实现与利益相关方的更快沟通。

    如此一来,利益相关方会对公司高效处理和解决网络问题的能力更有信心。《新加坡董事网络韧性指南》(2025年版)概述了一个结构化的八步框架,用于将网络韧性融入公司治理和战略中。

    受《2012年个人数据保护法》管辖的实体也必须注意其义务,即在发生数据泄露时,(在需要的情况下)通知新加坡个人数据保护委员会和/或受影响的个人。

    此外,提供金融、云或数据中心服务的上市集团,可能还需遵守向相应行业监管机构进行通报的要求。

    支付还是不支付赎金

    新加坡的立场是,强烈不鼓励向网络攻击者支付赎金。

    尽管支付赎金在法律上并未被禁止,但在攻击后这样做并不能保证被劫持的数据会被解密或被攻击者保密。事实上,曾支付过赎金的组织可能会被视为“软柿子”,并可能面临反复攻击。

    根据 Sophos 在2025年第一季度对公司的调查,半数新加坡公司支付了赎金以取回数据,而2024年这一比例为63%。研究发现,2025年新加坡公司支付的赎金中位数为365,565美元,低于2024年的760,000美元。勒索软件仍然是新加坡各组织面临的一大主要威胁。

    董事会必须确保内部控制明确涵盖IT风险,且信息披露控制机制能够应对快速变化的网络危机。当下一场事件发生时——这不是“是否”会发生,而是“何时”发生的问题——这样做能将合规负担转变为一项治理资产。

    作者是新加坡董事学会认证与专业提升委员会的前任成员。

    Decoding Asia newsletter: your guide to navigating Asia in a new global order. Sign up here to get Decoding Asia newsletter. Delivered to your inbox. Free.

    此翻译对您是否有帮助?

    SID Boardroom mattersBoardroom MattersCybersecuritySGX

    Share with us your feedback on BT's products and services

    Feedback

    TRENDING NOW

    Longest-serving chief minister Taib Mahmud’s legacy looms large over Sarawak as a family feud over his estate threatens to expose skeleton’s in the eastern state’s political closet.

    On the board but frozen out: The Taib family feud tearing Sarawak construction giant apart

    Electric vehicles and the changed dynamics of mainstream and luxury car segments mean Certificates of Entitlement should not be used to classify cars.

    Is it time to scrap COE categories for cars? 

    Thailand’s target is to export seven million tonnes of rice globally in 2026, but the Middle East war has turned the world topsy-turvy with supply disruptions, high oil prices and economic uncertainty.

    Thai and Vietnamese farmers may stop planting rice because of the Iran war. Here’s why

    Court documents showed the largest sum of money Benjamin Chung Hiang Wee took was from his uncle, an odd-job worker.

    Former manager with DBS Bank admits cheating 7 victims, including his uncle, of over S$1 million

    Latest T-bills Treasury Bills Results & Interest NewsLatest SSB Singapore Savings Bonds NewsLatest COE Certificate of Entitlement News
    Latest Johor-Singapore SEZ NewsLatest BTO Build To Order & Sales of Balance NewsLatest STI Straits Times Index NewsLatest SGX Dividends, Share Price NewsLatest Bonds Market NewsLatest Singapore Stocks To Buy NewsLatest Singapore Economy News
    View More