并購重組一直是現代企業提質增效、激發競爭活力的重要抓手。而在全球經濟增長放緩，產業鏈供應不確定性加大的宏觀經濟形勢下，企業并購交易也在向精細化、戰略化方向轉型，企業并購不再單純追求生產規模的擴大，而是更注重標的企業的質量，以及與自身業務的有效融合性，希望通過并購真正達到強化核心競爭力的目標。

在并購重組活動中，并購雙方需要交換大量的敏感數據和信息，包括財務記錄、客戶信息和知識產權。此外，不同類型的數字化業務系統也需要加以集成，這往往會給網絡犯罪分子留下趁虛而入的機會。

在此背景下，做好網絡安全防護工作對于確保企業機密數據的完整性至關重要，如果對網絡風險缺少有效的預防和緩解措施，組織可能會失去合作伙伴和投資者的信任，從而危及并購交易順利進行。

并購中的網絡安全風險

據一項最新的調查數據顯示，有71%的受訪企業表示，會在并購活動中將網絡安全性作為對標的企業的考量因素。因為所有的投資活動都會包含風險，對于并購交易的發起者，在表現出真正的并購意愿之前，必須積極主動地檢查標的企業的網絡安全立場。這種方法能夠最大限度地了解與并購交易決策有關的網絡風險情況，通過研究所有的網絡安全變量，才能夠確定它們是否在自己的風險承受能力范圍內。

為了在一個日益數字化、網絡化、網絡攻擊嚴重的世界中，保護自己的業務和商譽安全，企業必須從并購活動的開始就重點關注，而不是在并購活動完成之后才考慮。影響并購交易成敗的網絡安全風險主要包括以下方面：

1.監管合規風險

當前，網絡安全監管要求趨嚴，調查標的企業應對安全風險的能力和自身合規性已成為并購過程中不可或缺的一環。如果在并購完成后才發現被投企業存在網絡違規行為或信息泄露，將可能遭受政府的處罰，并造成品牌的損害、信任的喪失，將直接影響并購的價值，甚至會影響企業未來上市、出?；蚝罄m的投資活動。

2.網絡攻擊風險

越來越多社會工程和網絡釣魚攻擊的出現，是由于組織的網絡安全管理意識不強，內部人員可能遭受攻擊，導致公司資產非法訪問并引發知識產權流失和商業機密泄露等。對于并購標的公司，如果存在嚴重的網絡安全漏洞，除了直接的經濟損失之外，還會增加企業的網絡攻擊面，為后續的業務開展帶來隱患。

3.隱私保護風險

目標企業無論有意或無意在業務運營中收集了個人信息，均應提高重視。如未對收集的外部用戶信息進行有效保護，可能導致泄露事件，違規收集以及未能有效保護導致泄露，公司將面臨行政處罰、負面輿情、商譽損失、法律訴訟等一系列嚴重問題。

并購交易網絡安全核查清單

為了更好地保護數字資產安全，保障并購活動的順利開展，企業可以在并購交易開展前，參照以下網絡安全核查清單，進行相應的評估準備：

• 盡早開展網絡安全摸底調查。并購雙方必須充分合作，以評估標的公司當前的網絡安全態勢，包括內部IT基礎設施安全性、歷史安全事件，以識別任何可能存在的風險和安全漏洞。在理想的情況下，并購雙方還需要聘請第三方審計人員和網絡安全專家，對并購交易中的網絡安全風險進行評估。

• 采用風險度量指標。在制定風險評估計劃之前，并購雙方應該就可接受的風險水平以及如何度量風險進行討論并達成一致。標準化的風險度量指標可以確保風險保持在雙方約定的水平內，便于并購完成后各級領導的溝通和協作。

• 建立聯合網絡安全團隊。應該建立一個聯合的網絡安全團隊，匯集并購雙方的安全運營專家，共同解決和管理潛在的網絡風險。這將確保當前的安全實踐能夠在并購后的新組織中保持一致性。

• 制定風險緩解策略?；谠缙谠u估結果，聯合網絡安全團隊就可以確定在雙方合并之前必須實施哪些安全程序、流程和技術，以改善目標公司的網絡安全態勢。該計劃還應清楚地概述雙方未來在管理網絡安全方面的角色和責任。

• 為IT系統集成做好計劃。在并購完成后的IT系統和網絡整合時，實施有效的安全管控措施必不可少。這包括審查和改進當前的安全體系結構、實施安全策略以及測試可能的安全漏洞。集成過程中可能需要采用一些新的工具和技術來保護數據安全性。

• 檢查第三方風險。如果有第三方外部供應商也參與了并購過程，那么應該要求其詳述如何管理和監控網絡安全風險的流程。這項評估必須確保供應商的做法符合并購后公司的統一網絡安全標準。

• 建立統一的身份及訪問管控機制。并購活動需要實施強有力的控制措施，確保只有經過授權的人員才能訪問敏感信息、數字資產、數據或系統，并根據角色和職責，賦予不同的訪問級別。這將有助于防止或盡量減少黑客攻擊、內部數據泄露和人為性錯誤。

• 制定事件應急響應計劃。并購重組的過程會充滿挑戰，一旦發生數據泄露，組織要有一項準備充分的計劃，才能夠盡量減小對業務造成的破壞。備份關鍵數據庫并將其存儲在安全的地方，以確保數據在面臨攻擊時也可以被訪問，這至關重要。事件響應計劃應該通知到每一個利益相關的員工，這樣在遭遇網絡攻擊期間，每個人都會知道應該怎么做。

• 確保持續安全監控。網絡安全的挑戰并不會隨著并購交易的結束而結束，并購后對并購雙方來說可能會遭受攻擊，所以有必要保持警惕。這就是為什么組織需要全天候監控系統和網絡的機制，同時還需要實時威脅檢測機制，以識別安全漏洞和潛在威脅。

• 加強員工安全意識培養。要確保參與并購公司的所有員工都接受全面的網絡安全最佳實踐培訓，這一點至關重要：每個人都可以通過留意威脅并及時報告來幫助加強安全。企業可以通過進行網絡安全演習，讓員工做好應對網絡攻擊的準備。

參考鏈接：https://www.darkreading.com/cyber-risk/cybersecurity-checklist-that-could-save-your-m-and-a-deal