新加坡交易所监管机构发布针对其上市公司网络冲突的应对指南-GRCD中国官网

新加坡交易所监管机构发布针对其上市公司网络冲突的应对指南

一、执行摘要

2022年10月，新加坡交易所监管机构（SGX RegCo，以下简称“新交所监管机构”）发布了《网络冲突应对指南》（the Cyber Incident Response Guide），为在新加坡证券交易所（SGX-ST，以下简称“新交所”）上市的发行人以及SGX成员（以下统称“公司”）的相关实践提供指导，从而帮助其加强网络风险管理战略布局。《网络冲突应对指南》旨在规定出公司在制定和实施自己的网络冲突应对计划时可参考的相关因素和良好实践，并根据公司自身需要来调整相关考虑因素和寻求适当实践，得以满足自身的要求。

尽管该指南不是为了制定一套所有公司都应采用的标准，但它表明了网络冲突可能对公司产生的影响，并为新交所监管机构对公司应对网络风险和冲突的准备和应对提供了一个视角。公司应及时评估其现有的内部政策和计划能否处理网络风险和网络事件；如果能，这些政策和计划又是否符合新交所监管机构在指南中规定的预期。

二、《网络冲突应对指南》的主要特征

《网络冲突应对指南》就以下问题为相关公司提供建议，使他们能建立健全的网络冲突应对计划。

1)网络危机管理架构：建立以下团队，使得在发生网络冲突时可启用这些团队：

I. 危机管理团队（Crisis Management Team，以下简称“CMT”），由高级管理人员(包括首席执行官和所有相关职能部门的负责人)组成，负责网络冲突期间的关键决策；

II.网络冲突应对小组（Cyber Incident Response Team，以下简称“Cyber IRT”），由所有相关职能部门的关键代表组成，负责制定、维护和执行公司的网络冲突应对计划以及危机管理团队做出的任何关键决策。本指南举例说明了网络冲突应对小组的组成及其成员的角色和责任。

2) CMT / Cyber IRT的启用：采用结构化方法对网络冲突进行分类，以确定何时启用CMT和公司董事会，并规定CMT和Cyber IRT的启用流程。

3)CMT的重要节点和时间表：确定每个网络场景CMT更新的日常重要节点以及负责提供这些更新的Cyber IRT成员。

4)网络冲突应对的生命周期：制定网络冲突应对计划，列出网络事件应对生命周期关键阶段的关键考虑因素，以指导公司在各种网络场景中的行动。

I.准备工作：采取先发制人的行动，为公司处理或预防网络冲突做好准备。这可能涉及开发（包括开发和维护网络剧本）、测试和验证他们的事故处理准备或事故预防计划。

II.检测和分析：检测和验证网络安全事件，并评估和分析网络攻击的影响。

III.补救措施：遏制、补救和恢复受影响的用户的帐户、网络、系统、应用程序或端点，以及遏制数据泄露（如有）。

IV.冲突后：从网络冲突中吸取的教训，并尽快与利害关系方分享调查结果。

《网络冲突应对指南》附录B针对五种常见的网络场景（即分布式拒绝服务（DDoS）攻击、网络钓鱼攻击、恶意软件/勒索软件攻击、数据盗窃和泄露以及网站损毁）规定了样本检测、分析和补救措施。其中，相关考虑因素是根据业界的经验、最佳实践以及国际标准起草的。同时，作为一种良好实践，公司应为这五种常见的网络场景制定具体的网络冲突应对行动手册。

5) 危机沟通的良好实践：制定和实施有关网络冲突的强有力的危机沟通计划，并确保其与网络冲突应对计划保持一致。本指南介绍了以下网络危机沟通领域的良好实践：

I.危机沟通团队的作用和职责。

II.在发生网络冲突时应通知或沟通的利益相关方的名单，以及与这些利益相关方的沟通渠道。

III.启用危机沟通团队的时间点和所需的后续行动（例如，确认Cyber IRT使用的通信渠道，评估客户服务团队处理因网络冲突导致的客户来电或上门服务高峰的能力等）。

IV.公司发布有关网络冲突、通信渠道和通信内容的通信时机或触发点。

三、重要信息的披露

根据新交所的主板规则和凯利板规则（以下统称为“上市规则”）第7章，如果网络冲突被视为“重要信息”，则新交所上市公司有义务披露该网络冲突。根据上市规则，新交所的上市公司必须立即通过基于网络的安全平台（以下统称“SGXNET”）公布其已知的关于其本身、其任何子公司以及关联公司的相关信息，这些信息对于避免公司证券建立虚假市场是必要的，而且可能会对其证券的价格或价值产生重大影响。

当网络冲突发生时，公司必须评估该冲突的重要性，包括其所产生的财务影响。在这一方面，《网络冲突应对指南》附录D列出了公司可以考虑在其应对网络冲突的通信模板中包含的通讯样本示例。其中包括公司在适当时间通过SGXNET和/或向媒体公开披露网络冲突的最佳实践。

受《新加坡2021个人数据保护法》（the Personal Data Protection Act 2021 of Singapore，以下简称“PDPA”）约束的公司还必须注意其有义务向新加坡个人数据保护委员会和/或受影响的个人提供根据PDPA所规定的任何数据的泄露通知。此外，根据上市规则的规定，其也负有义务公开对公司产生重大影响的网络冲突。