公开上市公司并未将网络安全专家加入其董事会

新规将影响上市公司网络安全治理

重点提要

美国证券交易委员会(SEC)正在着手最终确定新规则，要求上市公司详细披露其董事会中具备网络安全专长的成员，这表明网络安全经验即将成为监管机构关注的重要指标。这些规则于去年首次公布，并历经多次宣传，但最近的数据显示，许多公司在这一领域的进展仍然缓慢，甚至有恶化趋势。

根据Heidrick and Struggles发布的一份报告，过去一年美国《财富》500强公司及其他国家的大型企业中，有414个董事席位上任命的个人中，仅有14拥有网络安全背景。这一比例实际上还略低于前一年的17。

Heidrick and Struggles的全球网络安全业务合伙人Matt Aiello表示，尽管部分现任或新任董事的网络安全背景可能未被统计，但这一发现凸显了“董事席位的竞争非常激烈”，公司在寻求其他重要观点和经验时，网络安全候选人常面临激烈的竞争。

“当一个董事席位空缺时，我们的客户往往在考虑多个核心能力。他们可能在寻找国际经验、特定的领导档案，或者在董事会的整体构成和多样性方面的考量。”Aiello在接受采访时指出，CISOs及其他网络候选人在董事会上通常被视为更狭隘的价值补充。

网络安全经验在现任董事会的表现如何？

Heidrick and Struggles的研究结果与其他机构关于现任董事会构成的发现大致相符。网络安全咨询公司CAP Group最近综合了来自 安永、 华尔街日报、 ISS Insights 和 斯宾塞斯图尔特 的研究，全面了解了全国公司在董事任命中如何优先考虑网络安全。

根据这些数据，该公司确定在《财富》100强中，网络安全专业经验相对比较普遍：100家公司中有51家至少有一位董事具备信息安全背景。然而，随着公司的排名下降，这一比例大幅减少：仅有17的标准普尔500公司任命了具备网络安全背景的董事，在跟踪美国3000家上市公司的罗素3000指数中，仅有9的公司具备相似的成员。

CAP Group的创始人兼首席执行官Brian Walker告诉SC Media，他们之所以开始收集和分析网络安全董事任命相关数据，是因为许多董事会客户对此感到困惑，纷纷提问即将生效的SEC规则将如何实施，什么样的背景算作网络安全经验。

尽管过去两年有所改善，但进展仍显缓慢。2021年，456位新加入标准普尔500公司的董事中，只有18位约为39具备网络安全、IT软件工程或数据分析等技术经验。而现在这一比例已经翻倍，但令人惊讶的是企业在增加具备此类经验的成员方面缺乏紧迫感。

Walker表示：“我无法强调这一点的重要性，行业急需解决的问题正逐渐被忽视。”他补充道：“我没有看到公司大规模采取具体行动。我认为他们正在等待最终的规则制定而不是立即采取行动。”

网络安全专业背景与新规之间的关系

SEC的新规尚未正式生效，业内观察人士预计将在四月敲定，但SEC并未对SC Media确认这一时间表。即使新规生效，仍然相对温和