The Business Times
business-time-50
BOARDROOM MATTERS

董事会为何需要网络安全事件应对预案

上市公司被要求建立充分且有效的内部控制和风险管理体系

google-preferred-sourceAdd BT as a preferred source
    • 新加坡交易所要求上市发行人将网络安全视为由董事会监管、并会产生信息披露后果的风险。
    • 新加坡交易所要求上市发行人将网络安全视为由董事会监管、并会产生信息披露后果的风险。 图片来源:商业时报资料图

    DeeperDive is a beta AI feature. Refer to full articles for the facts.

    Abdul Jabbar Bin Karam Din

    Published Fri, Apr 10, 2026 · 05:00 AM

    本文由AI辅助翻译

    查看原文

    各种规模的组织日益面临着愈发频繁、复杂和协同化的网络攻击威胁。生成式人工智能 (AI) 的兴起,通过实现深度伪造和AI自动化攻击等先进的网络钓鱼手段,进一步加剧了这些风险。

    新加坡交易所 (SGX) 要求上市发行人将网络安全视为一项由董事会监管、并会产生信息披露后果的风险。良好实践要求上市公司董事会(通常通过审计委员会)实施一个健全的网络风险治理框架和事件响应计划。

    网络风险监督

    上市公司被要求建立充分且有效的内部控制和风险管理体系,包括财务、运营、合规和信息技术 (IT) 控制。

    公司必须持续维持一个有效、独立且资源充足的内部审计职能。董事会应确定公司愿意承担的重大风险的性质和程度,并在公司年报中披露其已获得适当的管理层保证。

    在实践中应用这些原则时,董事会应制定一份管理网络风险的行动指南。这可以包括一个覆盖整个企业的网络风险框架、经过测试的事件响应和业务连续性计划、根据风险调整的网络保险覆盖范围,以及对网络控制和披露控制的定期独立保证。

    为有效降低风险,新加坡企业应密切关注迅速变化的威胁环境。

    DECODING ASIA

    Navigate Asia in
    a new global order

    Get the insights delivered to your inbox.

    2025年10月,在云软件提供商 Salesforce 成为攻击目标后,一次网络安全漏洞事件导致近六百万 Qantas 客户的个人数据泄露。攻击者通过电话冒充员工(即“语音钓鱼”),诱骗雇员授予他们未经授权的数据访问权限。

    该事件凸显出,防范网络风险不仅需要先进的IT基础设施,还需要一支训练有素、能够保护这些系统的员工队伍。

    去年,涉及新加坡 Toppan Next Tech 的一起勒索软件事件,导致本地几家主要银行的客户数据遭到泄露。

    这突显了对受托处理企业数据的第三方供应商进行严格监督的迫切需要。机密客户信息的泄露不仅会削弱客户信任、损害企业声誉,还可能导致法律后果。

    市场披露义务

    上市公司必须通过 SGXNET 公布任何必要信息,以避免其证券出现虚假市场,或公布任何可能对其证券价格或价值产生重大影响的信息。

    当网络事件发生时,上市公司必须评估事件的重大性,包括其产生的财务影响。如果网络事件具有重大性且需要发布公告,则必须及时发布。

    根据《证券及期货法2001》,这项义务具有法律依据。

    可能对公司证券价格或价值产生重大影响的网络安全事件例子包括:运营中断、敏感或机密数据泄露,或威胁到财务表现或持续经营的系统中断。

    公告的内容与其发布时机同等重要。应披露的信息范围取决于事件的重大性。为降低网络事件带来的声誉风险,公司应核实事件细节,并规划与客户和股东等其他利益相关者的清晰、及时的沟通。

    拥有针对特定情景的现成沟通模板,可以帮助公司在网络事件期间快速管理信息发布。这些资源无需重新创建和批准新信息,从而节省了时间,实现了与利益相关者更快的沟通。

    因此,利益相关者会对公司高效处理和解决网络问题的能力更有信心。《新加坡董事网络韧性指南》(2025年版)概述了一个结构化的八步框架,用于将网络韧性融入公司治理和战略。

    受《2012年个人数据保护法》管辖的实体也必须注意其义务,即在需要时向新加坡个人数据保护委员会和/或受影响的个人通报数据泄露事件。

    此外,提供金融、云或数据中心服务的上市集团,可能还需遵守向相应行业监管机构通报的要求。

    付还是不付

    新加坡的立场是,强烈不鼓励向网络攻击者支付赎金。

    尽管支付赎金在法律上并未被禁止,但在攻击后支付赎金并不能保证被劫持的数据会被解密或被攻击者保密。事实上,曾支付过赎金的组织可能被视为“软”目标,并可能面临反复攻击。

    根据 Sophos 对2025年第一季度公司的调查,半数新加坡公司为取回数据而支付了赎金,而2024年这一比例为63%。研究发现,2025年新加坡公司支付的赎金中位数为36万5565美元,低于2024年的76万美元。勒索软件仍然是新加坡各组织面临的一大主要威胁。

    董事会必须确保内部控制明确应对 IT 风险,并且披露控制机制能够处理瞬息万变的网络危机。这样做,当下一次事件发生时——而不是“如果”发生的话——就能将合规负担转变为一项治理资产。

    本文作者是新加坡董事学会认证与专业提升委员会的前成员。

    Decoding Asia newsletter: your guide to navigating Asia in a new global order. Sign up here to get Decoding Asia newsletter. Delivered to your inbox. Free.

    此翻译对您是否有帮助?

    SID Boardroom mattersBoardroom MattersCybersecuritySGX

    Copyright SPH Media. All rights reserved.

    Reuse this contentFeedback

    TRENDING NOW

    Kapa's pair of semi-detached houses in Westlake Avenue were rebuilt from a bungalow. Rather than produce a mirrored pair, the two homes were designed as a considered whole to look like part of an evolving streetscape.

    Costly renewals: Transforming an old landed house into your dream home is getting harder

    Taxes can make up about 38% of the retail price of RON95 petrol in Vietnam, according to industry estimates.

    Vietnam acts fast to shield firms, households from fuel price surge

    The RTS Link, which is expected to begin operations on Jan 1, 2027, could add a “new dimension” to spending patterns in JB towards the end of 2026.

    RTS Link unlikely to topple Singapore retail despite JB’s appeal: OCBC

    Goi Kok Ming is a graduate of California State Polytechnic University, Pomona. He has a bachelor's degree in computer information systems.

    Popiah King Sam Goi’s son to be CEO of PSC Corp

    Latest T-bills Treasury Bills Results & Interest NewsLatest SSB Singapore Savings Bonds NewsLatest COE Certificate of Entitlement News
    Latest Johor-Singapore SEZ NewsLatest BTO Build To Order & Sales of Balance NewsLatest STI Straits Times Index NewsLatest SGX Dividends, Share Price NewsLatest Bonds Market NewsLatest Singapore Stocks To Buy NewsLatest Singapore Economy News
    View More