企业虽然无法完全根除网络威胁，但是它可以设法控制这些威胁，并且制订一个事故响应计划。这一过程要求公司跨部门的团队合作，其中包括了内部律师作为重要角色的积极参与

　　网络威胁永远存在。美国国家安全局总监办公室认定网络威胁已经超越了恐怖主义，成为了2014年最大的威胁。在过去的十二年间，新的数字威胁数量已经增长了一万倍。但是如果你认为网络数据安全仅仅是个和世界500强企业有关的问题，那你就错了。任何有保密信息以及员工、消费者和客户数据的企业都要考虑网络安全。

　　企业虽然无法完全根除网络威胁，但是它可以设法控制这些威胁，并且制订一个事故响应计划。这一过程要求公司跨部门的团队合作，这其中包括了内部律师作为重要角色的积极参与。近期，行业团体和监管部门所制定的指导，已经回答了企业内部律师提出的两个关键问题：面对数据泄露，我的公司应该如何应对?我又能做出怎样的帮助?

　　现有挑战：永存的威胁与缺位的监管

　　对网络威胁来说，简单、单一的解决方法并不存在。每一个企业都必须根据自身组织结构、系统和数据情况，来决定需要保护的内容和最佳保护方式。数据安全威胁不仅存在于企业层面，也同样存在于其他信息入口，比如销售点登记簿、员工手机、社交媒体、私人电子邮件账号、无线打印机以及任何与互联网相关联的东西。此外，企业在识别漏洞时，不能仅关注自身信息系统，更要考虑重要第三方，包括供应商的系统。除了黑客之外，威胁还来自于员工、独立承包商和第三方供应商。

　　对于这些风险的管理涉及公司多个层面。这要求董事会层面明确认识到网络信息安全问题究竟是什么和公司将如何解决。一些公共企业已经设立了网络风险委员会。在日常运行中，风险管理需要公司多个管理团队的共同投入，比如法律、技术、人力资源、财务会计、工资和销售部门。同样需要树立企业文化，让每一个员工理解数据安全的重要性和每个人在其中所扮演的重要角色。

　　为了补充其数据安全内部的复杂性，这一问题由当地、州和联邦法规共同规制。例如，美国47个州、哥伦比亚区、关岛、波多黎各和维尔京群岛都要求，如果信息安全漏洞涉及个人信息，企业应当通知个人。此外，一些州还特别加强了企业保护消费者个人信息安全的义务。在很多情况下，这些义务可能要求的水平较高、较原则性(换言之，保持合理的安全流程来保护数据)，但是有些州强制实行了细化的安全标准，包括例如马萨诸塞州的数据安全法规。

　　另外，根据企业所在的行业，也可能受到联邦法规的规制。比如，1999年的金融现代化法案、健康保险流通与责任法案、萨班斯——奥克斯利法案、公平信用报告法、全球和全国商业电子签字法案、联邦信息安全管理法案或2002年国土安全法案。随着这些法案的颁布，不同的联邦机构对企业如何掌控数据也开始进行监管和投入，如联邦贸易委员会，美国卫生公共服务部和美国货币监理署。

　　遵守所有可适用的法律是个艰巨而混乱的任务。但是，忽视数据安全所带来的深远影响，将远远超过丢失关键数据这一事件本身。它可能引起包括联邦和州的处罚、民事诉讼甚至让企业声誉受损。企业法务团队在安全防范中起着至关重要的作用。例如，法务部门可以从法律法规中提炼出该企业需要遵守的框架条款。而且，如果企业没有单独的风险或合规部门，那么法律部门将承担起评估企业防范措施的职责。

　　企业网络信息安全威胁的考量框架

　　在评估企业面临网络安全威胁的安全等级时，第一步是要弄清楚公司需要保护的究竟是什么。企业不可能做到保护所有数据和每一个网络连接点，因此，优先级的选择就成为了关键。哪些数据和系统是至关重要的?企业使用的是什么服务器或者其他关键网络系统?系统是如何划分的?如何控制互联网访问企业系统?哪些数据是依照合约或法律规定需要企业来保护的?企业还想要保护其他哪些数据?企业是否拥有员工或消费者相关个人信息?企业持有什么样的健康信息?有没有战略或竞争信息?有没有市场敏感信息?拥有怎样的专利或商业秘密信息?还有什么样的客户信息?

　　如果要完成以上评估，则要求企业中所有相关数据和系统的利益相关人都参与其中。而具体需要哪些参与人则取决于企业究竟是做什么的。实际上，企业中每一个部门及业务线都可能做出有意义的贡献。至少，这一评估将会涉及IT、设备、审计、人力资源以及财会部门，还需要销售部门或者其他直接与客户、消费者接触的团队加入评估。

　　紧接着，企业需要找出漏洞的存在，而这是一个复杂且多层次的问题。需要提出例如以下问题：谁在处理或者有权访问需要保护的数据或系统?数据是如何进入企业的?数据储存在何处?企业内如何处理数据?关键系统保存在哪里?已经部署了哪些安全措施来保护系统?相关问题包括了企业如何处理访问这些数据和系统的入口，除了内部访问之外，还包括如供应商之类的第三方所进行的外部访问。另一处理这方面问题的方法是考量可能存在的威胁有哪些。潜在的威胁包括黑客入侵系统、内外部各方所造成的数据损毁或丢失、如拒绝服务或者分散的拒绝服务攻击之类的外部破坏、或者有意无意造成的数据披露。

　　企业同时还需要考虑谁来监督这些数据监管人。如何运行系统、控制和流程，以确保负责日常监督的各方各司其职?这时，技术和企业流程便扮演了重要角色。另一个方面是董事会对这些系统、控制和流程的认知以及投入。随着网络威胁问题越来越突出，董事会至少需要知道谁是网络问题的责任人、问题将会是什么以及为了解决问题企业需要做什么。除此之外，董事会在网络安全中所起到的具体作用取决于公司规模和需求。一些公共公司设有网络安全委员会，其他企业中这项功能可能由审计委员会承担。而在小型企业中，整个董事会都有可能会涉及其中。在2014年6月10日举行的“网络风险与董事会”研讨会中，美国证券交易委员会委员路易斯·阿奎拉尔提到了董事会可以考虑采用的措施，这对于私人和公共企业都是有效的指导。这些措施包括了审核年度IT预算中，有关网络风险和对董事的网络风险教育的部分。

　　如你所见，这并非是一项个人可以完成的任务。评估和管理这些问题都需要企业内关键利益相关者之间的准备和配合。法律部门在这个过程中的作用十分重要，担负将法律规定、限制责任以及制定解决措施三者关联起来的使命。

　　NIST框架：全国性解决方案的另一种选择

　　在如今飞速发展的环境中，网络威胁正变得越来越频繁、复杂和严重，有效的网络风险管理政策和流程也越发重要。如同其他风险管理政策和流程一样，这些网络安全风险解决方案必须依据公司业务、风险承受能力和资源情况来量身打造。但同时，企业也应当将自己的网络风险管理政策与流程，与已有的概念框架、行业标准和成功实践进行对比。

　　作为对奥巴马总统签署的行政命令的回应，美国国家标准与技术研究所(以下简称“NIST”)在2014年初制定了一个概念性的框架条款，而其作为一个关注企业应对网络攻击的标准已经受到很大关注。NIST框架包括了可以用来识别、评估和管理风险相互关联的三部分：框架核心、执行分级和框架细则。

　　框架核心包括了同时且持续存在的五个功能，它们创造了一种强调动态性网络安全风险的文化：

　　■认定——理解企业所处商业环境和支持关键功能的资源，以及相关的网络安全风险，进行优先考虑并关注。

　　■保护——制定和执行用以限制和遏制潜在网络事故影响的保障措施。

　　■检测——制定和执行用以及时检测网络事故的行动。

　　■响应——制定和执行用以遏制潜在网络事故影响的行动。

　　■恢复——制定和执行支持日常运行中及时恢复的行动，以降低网络事故影响。

　　框架中的执行等级分级，向企业提供了一个可以查看其风险管理方法及特点的途径。执行等级分为从“局部执行”(一级)到“自我调适”(四级)，分级按照网络安全风险管理的严谨度和复杂度等级逐层递增。企业基于当前的网络安全风险管理实践来选择一个等级。然而，处于一级的企业将会被激励向二级或者更高级别进步。表一总结了每个级别的风险管理流程、项目和外部参与情况。

　　NIST框架的最后一部分是框架细则。细则设计是为了满足企业独特的需求。它应当与企业发展目标相一致，反映出风险管理的重点，并且要在参考法律法规要求和行业最佳实践的情况下制定出来。一个已有细则体现出了企业在五个核心功能(认定、保护、检测、响应和恢复)中所取得的成就。一个目标细则要体现出达成企业目标所需要的成果。而利用已有和目标细则之间的差距来制订企业优先行动计划，可以不断提高企业网络风险管理政策和项目水平。

　　企业应当认真对待NIST框架中的自我评估和持续改进的概念。同时，在进行评估和提出改进建议时，也要考虑维护律师和客户间信息保密的特权。

　　美国证券交易委员会关于公共企业网络安全风险披露的指南

　　对公共企业来说，确定哪些有关网络安全风险和事故的信息应该向投资人披露，是一个复杂又具有挑战的工作。这项工作的重点在于在向投资人提供及时、复杂而且准确信息的同时，又要确保那些企图利用企业漏洞的人不会从披露的信息中寻找到可乘之机。而潜在的诉讼或者监管行动都添加了这项工作的复杂度。企业可能会避免披露那些原本不会为公众所知的网络安全事故，因为这可能引发诉讼或者监管行动(例如，消费者集体诉讼)。而与此同时，企业也有着披露网络安全相关信息的动力，因为这可以帮助它们避开美国证交会企业金融部门、执行部门的关注，还有股东派生诉讼。

　　在过去的几年中，美国证交会越来越多地关注企业向投资人披露网络安全相关信息材料的义务。美国证交会的规章和会计标准中所提出的信息披露义务，虽然不是专门针对网络安全问题，但是对商业风险和风险后果的披露都提出了明确要求。美国证交会企业金融部在2011年10月13日所签发的《企业金融部信息披露指南：网络安全》(以下简称“指南”)中，对信息披露义务提出了自己的观点。指南强调了两个重要问题：一是，何时网络安全风险或网络安全事故上达到了披露义务警戒线;二是，哪些与网络安全相关的信息需要进行披露。

　　指南对何时、何种网络安全风险和事故需要进行披露提出了具体要求，包括六个特定方面：风险因素、管理层陈述与分析、商业描述、财务报表披露、披露控制与流程以及法律诉讼(参见表二)。在认可联邦证券法所规定的“不要求可能增加网络安全风险的信息披露”的情况下，企业金融部表明企业应当提供针对其特定情况的信息，而并非仅仅描述适用于所有公司的风险，或者提供格式化的信息披露。企业也应对网络安全相关信息披露是否充足进行持续不断地检查审视。

　　重要的时效性和预备响应方案

　　“网络攻击与企业所面临的其他危机之间的首要区别就是速度，这就要求企业必须快速响应以遏制迅速蔓延的破坏。企业就算不在几分钟内对一次网络事件做出响应，也需要在几小时内做好应对准备，包括检测、分析网络安全事件，防止产生进一步的破坏并准备好事件响应方案。”对于是否披露事件、企业如何披露何种破坏和如何解决这一问题，都部分取决于企业所在行业、网络安全事故如何发生以及怎样的数据受到了威胁。根据网络攻击的性质，及时响应和响应时间由法规甚至是合同义务来决定。倘若没有披露数据丢失可能让企业受到州甚至是联邦政府的监管调查。

　　能够及时做出响应的关键，就是要有一套解决问题的事件响应、危机管理、灾难恢复或者业务连续性方案。至少，该方案应该包括风险识别和风险分级。不同的事故情况要求何种内部响应和升级机制?企业可能会经历许多不同类型的事故，其中许多类型只需要企业进行技术响应机制。而一些事故将需要IT部门以外的配合，如法务部门和高管。一个良好的响应方案会列出在何时和何种事故类型的情况下需要启动此类升级机制。响应方案也应该包括对企业如何回复潜在的媒体采访要求做出指导。例如，当媒体需要企业做出回复时，谁应当参与起草回复及谁应该做出回复?最后，你也需要考虑响应方案中包含的关键内部联系信息以及外部联系信息，例如企业需要何人来进行取证分析?企业的网络安全保险公司是谁?处理这些事故的企业外部法律顾问是谁?以及企业的公关公司是哪家?在危急关头，你不会想要再去从头研究这些问题。

　　(本文英文版权属于全球企业法律顾问协会)

　　费南达·施密德，科纳斯通研究公司总法律顾问。

　　罗伯特·B·哈贝尔，美富律师事务所证券诉讼、执行和白领辩护组合伙人。

　　内森·D·泰勒，美富律师事务所金融服务组合伙人。

　　丹尼尔·A·内森，美富律师事务所证券诉讼、执行和白领辩护组合伙人。