|
网络安全风险管理与策略披露 |
12个月结束 |
|---|---|
|
2024年12月31日
|
|
| 网络安全风险管理、策略和治理 | |
| 用于评估、识别和管理威胁的网络安全风险管理流程[文本块] |
网络安全风险管理是我们整体风险管理框架的一个组成部分,对于保护我们的业务和数据至关重要。我们制定了一项信息安全计划,以评估、识别和管理来自网络安全威胁的重大风险。该计划包括政策和程序,以确定如何开发、实施和维护从多个安全框架中提取的安全措施和控制。我们的网络安全风险管理计划旨在平衡关键基础设施、网络、应用程序、云和信息安全目标与总体业务目标和风险承受能力之间的关系。使用的特定控制包括端点威胁检测和响应、身份和访问管理、特权访问管理、涉及使用安全信息和事件管理的日志记录和监视、多因素身份验证、防火墙和入侵检测和预防,以及漏洞和补丁管理。
我们利用威胁情报来通知我们的防御措施。我们使用外部和内部威胁情报来源,包括来自行业供应商和政府机构的信息。我们还在监测和防范不断演变的威胁和风险,包括人工智能、勒索软件和民族国家的攻击。
我们相信,持续改进是优化安全工作的一部分,我们努力通过各种举措来培养这种文化:
•
网络安全意识培训:我们对员工进行在线安全和识别潜在网络安全威胁的最佳实践教育,包括为非受薪员工维护季度培训计划。
•
模拟网络攻击:在合格第三方专家的协助下,我们定期进行渗透测试和桌面演习,以测试我们的技术控制和事件响应计划。
•
安全监控:我们通过内部网络安全资源和第三方服务提供商监控我们的信息技术环境。我们也有适当的流程来监控各种第三方服务提供商的网络安全实践,包括可以访问我们的信息系统或敏感数据的某些供应商。
•
主动报告和调查:作为我们培训计划的一部分,我们定期教育员工如何报告任何可疑的网络活动或潜在的网络安全问题,并对报告的问题进行调查。
第三方安全公司以不同的方式提供或运营其中一些程序、控制和技术系统,包括基于云的平台和服务。
|
| 整合网络安全风险管理流程[标志] | 真正的 |
| 整合网络安全风险管理流程[文本块] | 该计划包括政策和程序,以确定如何开发、实施和维护从多个安全框架中提取的安全措施和控制 |
| 网络安全风险管理第三方参与[标志] | 真正的 |
| 网络安全风险第三方监督和识别流程[Flag] | 真正的 |
| 重大影响或合理可能重大影响注册人的网络安全风险 | 假 |
| 网络安全风险董事会监督[文本块] |
我们的董事会对我们的企业风险管理计划负有全面监督责任,并将网络安全风险管理监督委托给董事会审计委员会。审计委员会负责确保管理层有适当的流程来识别和评估公司面临的网络安全风险,并实施流程和计划来管理网络安全风险和减轻网络安全事件。管理层,包括首席信息官在我们网络安全团队的支持下,至少每两年向审计委员会更新一次我们的网络安全计划和重大网络安全风险及缓解策略。审计委员会还定期向全体董事会报告有关网络安全风险的讨论。管理层负责持续识别、考虑和评估重大网络安全风险,建立流程以确保监控此类潜在网络安全风险暴露,实施适当的缓解措施并维护网络安全计划。我们的网络安全计划由首席信息官指导,首席信息官拥有三年监督信息技术和网络功能的经验,并接收我们网络安全团队的报告,并监督网络安全事件的预防、检测、缓解和补救。我们的网络安全团队包括获得国际系统安全认证联盟和SANS研究所证书的人员,如认证信息系统安全专业人员(CISSP)和GIAC认证事件处理人员,以及经验丰富的信息系统安全专业人员和信息安全管理人员。此外,我们的内部信息
安全委员会由关键部门的乐鱼体育领导组成,在跨职能的基础上进行合作,以确定可以应对威胁的做法,并监控我们的网络安全计划和网络安全事件响应计划。
我们认识到,来自民族国家、网络犯罪分子、黑客活动分子、内部人士和有组织犯罪等各种威胁行为体的网络攻击始终存在全球风险。尽管我们做出了努力,但我们(或我们所依赖的第三方)可能无法完全、持续和有效地实现预期的安全控制。如上所述,我们利用基于风险的方法和判断来确定要实现的安全控制,但是如果我们没有认识到或低估了特定的风险,我们可能无法实现适当的控制。此外,安全控制,无论设计或实现得多么好,可能只是减轻而不是完全消除风险。此外,即使是安全工具或第三方检测到的事件,也可能并不总是能够立即理解或采取行动。虽然没有任何组织能够免受攻击企图的影响,我们也无法消除网络安全威胁的所有风险,或保证我们没有经历未被发现的网络安全事件,但在2024年,我们没有发现任何重大网络安全事件对我们的业务战略、运营结果或财务状况产生重大影响或合理可能产生重大影响。有关这些风险的进一步信息,请参见第一部分-第1A项风险因素- IV.运营风险-我们的IT系统(包括与网络安全相关的系统)的中断或故障可能会对我们的业务运营、声誉和财务业绩产生不利影响,并可能使我们承担第三方责任. |
| 负责监督的网络安全风险委员会或小组委员会[文本块] | 我们的董事会对我们的企业风险管理计划负有全面监督责任,并将网络安全风险管理监督委托给董事会审计委员会。 |
| 通知负责监督的董事会委员会或小组委员会的网络安全风险流程[文本块] | 审计委员会负责确保管理层有适当的流程来识别和评估公司面临的网络安全风险,并实施流程和计划来管理网络安全风险和减轻网络安全事件。 |
| 网络安全风险管理的角色[文本块] | 管理层,包括首席信息官在我们网络安全团队的支持下,至少每两年向审计委员会更新一次我们的网络安全计划和重大网络安全风险及缓解策略。 |
| 网络安全风险管理职位或委员会 | 真正的 |
| 网络安全风险管理职位或委员会 | 审计委员会负责确保管理层有适当的流程来识别和评估公司面临的网络安全风险,并实施流程和计划来管理网络安全风险和减轻网络安全事件。管理层,包括首席信息官在我们网络安全团队的支持下,至少每两年向审计委员会更新一次我们的网络安全计划和重大网络安全风险及缓解策略 |
| 管理责任人网络安全风险管理专长[文本块] | 我们的网络安全计划由首席信息官指导,首席信息官拥有三年监督信息技术和网络功能的经验,并接收我们网络安全团队的报告,并监督网络安全事件的预防、检测、缓解和补救。 |
| 通知管理层或负责委员会的网络安全风险流程[文本块] | 审计委员会还定期向全体董事会报告有关网络安全风险的讨论。 |
| 网络安全风险管理职位或委员会负责向董事会报告 | 真正的 |