并购（M&A）通常需要整合信息技术基础设施。尽管信息安全往往被忽视，但对于那些在合并或收购之前和之后制定策略的人来说，它应该是一个关键的考量因素。

分散的资产、多样的团队流程以及薄弱的治理增加了风险，可能导致数据泄露、监管罚款和网络攻击——所有这些都会对并购后的收购公司产生影响。如果财务和声誉风险成为现实，这将降低收购公司的投资回报率（ROI）。

随着企业采用新兴技术，其攻击面扩大，需要强有力的安全部署管理（SPM）。在合并前进行彻底的安全评估至关重要。网络安全网格架构（CSMA）和以身份为中心的安全措施为复杂环境提供了可扩展、灵活的防御。整合供应商和改进安全配置也是降低风险的关键，涵盖第三方风险管理，这是企业风险管理的一个重要部分。这些关注点在医疗、金融、科技和零售等行业尤为相关，因为在这些行业中，数据泄露事件频发。

不同阶段的信息安全需求

组织因各种原因追求合并和收购，如财务增长、横向或纵向整合、获取先进技术或提升供应链能力。这些目标影响着信息安全管理的方式。并购过程从识别合适的标的开始，随后是基础设施、应用程序和数据的整合——使收购方能够访问标的资产。为了确保有效的风险管理、法规遵从性和一致的安全执行，信息安全部门必须在合并后集中在一个权威之下，以便在整个合并环境中实现统一控制。

并购前的考虑

应评估收购方与标的组织之间IT基础设施的一致性程度。一些重要的考虑因素包括收购方与标的企业基础设施之间的兼容性——无论是现场还是基于云的——都必须进行评估以识别潜在的互操作性和集成问题。收购方应评估其IT团队是否具备管理标的现有基础设施和技术所需的技能。此外，标的组织可能拥有软件即服务（SaaS）合作关系，这些关系将转移至收购实体；因此，第三方风险评估对于评估这些供应商的安全性和可靠性至关重要。审查保证报告，如SOC 2 Type II、渗透测试、压力测试和ISO认证等也非常重要。这些报告有助于评估标的组织的安全状况及其实践，如网络演练、业务连续性计划（BCP）演习和恢复程序。（作者注：我们建议读者确认其感兴趣的领域在保证报告的“认证范围”部分得到了充分覆盖。）

并购后的考虑

所有由收购方拥有和管理的企业都应有一个明确的发展路线图，并且应遵循单一的安全政策。需要努力使标的组织中实施的控制措施与收购方的要求保持一致。这些重要任务包括：

• 为确保并购期间的安全集成，双方必须保护应用程序编程接口（APIs）免受互联网暴露，因为资产整合和控制调整往往会导致监督减弱，从而削弱防御。

• 标的公司的全体员工必须在收购方下签署新的保密协议（NDAs），因为之前的NDAs不足以提供充分保护。

• 应重新评估收购方的风险级别，纳入来自标的公司的风险和审计观察。

• 员工背景验证标准必须统一；如果不一致，则需重新验证以维持人力资源安全。

• 审查第三方风险管理实践并重订合同，加入针对先前数据泄露事件对收购方的赔偿条款。

• 必须更新网络保险政策，覆盖新标的资产。

• 如果保留了来自标的公司的关键应用，应当重新审视托管安排，使收购公司成为受益人。

• 需要评估基于标的公司地理分布和数据处理的任何监管影响。任何用于合并记录或整合数据的数据迁移都必须保证数据的保密性、完整性、正确性和可用性。

• 像数字化转型或减少碳足迹等举措——例如整合基础设施和缩小数据中心规模——可能会在资产管理与处置过程中引入信息安全风险。

• 业务影响评估（BIAs）和业务连续性管理（BCM）计划必须根据合并后的环境进行修订。收购方还应更新其信息安全管理路线图，包含新资产并使两家公司的安全政策保持一致。

• 来自标的公司的退役资产必须得到安全处置。身份和访问管理（IAM）实践应得到执行，确保移除未授权角色并防止并购后未经授权的访问。

• 数据迁移必须经过周密规划并彻底测试，以避免中断或完整性问题。

上述并购前后的各项要点，仅是控制措施实施过程中若干关键且具代表性的检查项，旨在为实际整合工作提供切实可行的指导。

信息安全不应是事后才考虑的问题

在并购过程中，信息安全至关重要，因为详细的规划和评估能够揭示关于标的网络安全成熟度的关键见解，这将影响收购方的安全态势。并购前后的风险评估必不可少，并应及时实施风险管理策略。这些努力应侧重于在规定时间内解决已识别的差距，利用经过验证的风险处理方法来缓解漏洞，确保系统和数据的安全无缝集成。信息安全不应是事后才考虑的问题，而应提前规划，并视为并购过程中的一个关键组成部分。

作者：Ramesh Ramani and Aparna Patil, CISA, ISO 27001 LA, ISO 22301 LI, PCI DSS Implementer