我们的风险管理程序包括对网络安全管理风险集中力量,包括以下内容:

  • 一种强大的信息安全培训计划,要求所有公司员工访问我们的网络,参与定期和强制性培训,以了解如何了解,并帮助防御网络风险,结合定期测试以衡量我们的培训努力的效果。
  • 我们的计划与国家技术研究所(NIST)网络安全框架对齐,以防止,检测和响应Cyber​​Actacks。
  • 我们的系统定期测试,以评估我们对网络风险的脆弱性,其中包括通过外部行业专家和定期漏洞扫描的系统定期审核。
  • 我们独立的外部审计师对我们控制的测试和审核。

虽然Weyerhaeuser致力于基于NIST框架的平衡网络安全计划,但我们认为我们的威胁景观与许多其他公司的威胁景观是有限的,因为我们不存储,传输或处理Cyber​​attacks通常瞄准的许多数据类型。例如,我们不经常存储或传输消费者信用卡或财务信息,也不是我们在我们的系统上存储或维持重要的专有数据。此外,我们的业务不涉及或代表国家基础设施,其中包括网络攻击者的常见目标(即,能源,石油和天然气,运输,通信,银行和金融系统等)。尽管如此,我们确实维护了由网络攻击造成的财产损害的保险。

管理层成员,包括我们的首席信息官员和我们的首席信息安全官,定期向董事会审计委员会和全委员会的审计委员会定期报告本领域的审计委员会,如下所示:

  • 我们的网络安全程序和风险进行了具体讨论,每年至少三次(包括作为我们对企业风险管理的讨论的一部分。)
  • 我们的信息安全计划和控制我们的内部审计职能的评论都包含在季度报告的审计委员会。
  • 如果潜在对公司潜在意义,全年讨论过年度的现行信息安全问题,并与我们的主席和审计委员会主席在董事会会议之间酌情讨论。

我们认识到,网络威胁是风险景观永久组成部分,新的威胁在不断地发展。出于这些和其他原因,网络安全是Weyerhaeuser的最高风险管理优先权。