参与网络安全：PRI协作参与结果2017-2019 |订婚指南|Pri.

执行摘要

网络安全被认为是世界经济论坛全球风险报告的风险数年，最新版本的网络安全是世界将在未来10年内面临的十大风险之一。¹作为网络攻击的发生和安全失败的成本增加，机构投资者希望在评估对网络安全相关风险的投资组合中的前脚。然而，关于这一主题的贫困公司披露和缺乏先进的技术专业知识使投资者难以理解公司如何解决这种不断增长的挑战。

在此背景下，PRI启动了与55名机构投资者的合作参与，该投资者代表了管理层的资产超过12亿美元。使用网络治理作为网络弹性的代理，这些投资者在2017-2019增加了一系列部门（医疗保健，金融，消费品，信息技术和电信）的53家公司。在...的基础上由PRI委托的研究，他们按下关于网络安全政策，董事会监督和报告，专业知识，培训和评估的改进披露。

本报告提供投资者：

该倡议中公司如何在过去两年的公司报告中取得了分析;
PRI协作参与的见解，揭示了如何在不同部门的公司中被察觉和解决网络风险的阐明;和
一套关于参与的投资者建议，包括基准披露和设定期望的工具。

在参与期间，目标公司在报告关于网络相关治理机制和流程的情况下取得了重大进展。2017年至19日，公司的平均得分从6.1增加到8.5（14个指标中）。领导披露的公司数量增加，详细情况和信息的细节水平和披露的范围。但是，尽管存在这些积极趋势，但网络安全相关披露不能被视为规范 - 例如，在2019年，大多数目标公司没有提供有关审计信息的信息，为所有员工或相关委员会的所有员工或细节提供网络安全培训的证据专业知识。²

尽管如此，公司开放，愿意与投资者聘请私人对话，并为其专家提供全面的网络安全方法。订婚谈话使投资者能够审查治理实践，并讨论网络安全成熟周系的当前和未来期望。关于董事会监督，董事会专业知识，在报告中，详细探讨了董事会监督，董事会专业知识，网络安全监测的关键学习。

该报告还包括建议，潜在的参与问题和披露期望，寻求启动或继续参与网络安全。在高层，我们建议投资者：

验证董事会监督网络风险;
确保网络弹性纳入公司战略;
检查共同语言;
超越技术控制;和
设置披露期望。

此外，投资者可以利用披露期望，以确定公司披露的差距，基准投资组合公司反对同行，作为参与推动更好的网络安全披露的工具。

前进，并建立在我们对网络安全的工作中，PRI将探讨人工智能等相关主题，如人工智能和创新的道德以及适当的治理机制和监管差距。为了支持投资者了解相关风险和机会并制定其反应，PRI还将考虑技术对可持续发展和负责任投资的更广泛影响，看着整个投资链。

介绍

数字技术的扩散大大增加了近年来公司和政府对网络攻击的脆弱性。埃森哲的2019年报告发现，在过去五年中，网络安全漏洞已升至超过65％。^3.随着自动化和智能技术的增加，网络威胁预计将变得更加频繁和激烈。因此，据估计，数据泄露的成本将从每年3亿美元上升到2024年的5亿美元。^4.

然而，影响不是纯粹的财务状况。The harms caused by cyber attacks can be reputational (e.g. damaged relationships with customers, intense media scrutiny and loss of key staff), societal (e.g. disruption to daily life through impacts on key services, a negative perception of technology), physical (e.g. loss of life, damage to infrastructure) and psychological (e.g. victims left depressed, embarrassed, shamed or confused).^5.

这只是谨慎的是，公司采取措施以防止可能的威胁。然而，由于攻击的复杂性增加，网络攻击的煽动者不起眼的性质和网络防守成本上升的情况下，这比完成更容易。事实上，有几项市场研究表明，公司正在与网络风险管理斗争。^6.与这些做法相关的公司披露未能提供相反的保证。^7.

因此，这些与网络相关的业务挑战引起了机构投资者的担忧。他们渴望更好地了解这些风险的范围及其对投资组合公司的潜在影响。然而，不断变化的网络安全形势很难把握——没有现成的标准或方法来比较不同行业或公司之间的网络风险水平。^8.此外，投资者对网络准备或事件管理周围的内部管理讨论并不刺势，并依赖于公司委员会和管理层的监督，治理和披露本企业风险。

在这种情况下，网络治理可以是公司内部网络复兴实力的代理，允许投资者评估公司是否对网络安全方面有组织方法，而不必深入研究技术核心牢固。围绕治理的披露将为投资者提供保证，对适当政策和控制，责任水平和强大的董事会监督，以验证网络安全程序的充分性和充分性。

关于参与

在这方面，PRI于2017年6月发起了关于网络安全治理的协同参与。订婚得到了签署者 - 55个机构投资者的重大兴趣，资产管理资产超过12亿美元，加入该集团。

参与的重点是根据投资者和行业专家咨询小组的意见来定义。虽然承认没有业务对网络攻击的影响，但根据对网络安全风险，频率和事件的影响以及对其的反应的评估，缩小到金融，医疗保健，电信，信息技术和消费者自由裁量等部门的参与度这些事件。例如，虽然公司展示了相比，但是，金融业继续暴露于威胁（2019年埃森哲报告估计银行业公司的网络犯罪的年平均费用为1837万美元）。其他部门。另一方面，医疗保健行业是由于可能违规和整个行业的较低的准备水平潜在的灾难性影响。

为了了解这些公司在网络安全相关信息披露方面的现状和差距，PRI在2017年委托进行了基准研究。根据网络治理和风险管理的14个指标对这些公司进行了评估(见图1)。这项研究的一个关键发现是，大型市值上市公司没有定期公开披露网络安全实践的最低标准。尽管企业普遍认为网络安全是一个关键的组织风险，但很少有企业表示，它们拥有有效应对网络威胁的政策、治理结构和流程。总体而言，该研究得出的结论是，必须鼓励企业扩大公开报告，以显示对风险的良好监测和管理。

图1：研究指标

考虑到这些调查结果，投资者在这一参与过程中与金融（20），医疗保健（15），消费品（九），电信（五）和信息技术（四）行业的53家公司举行会议。集体参与的关键目标概述如下：

建立投资者对他们的投资组合公司如何定位以管理网络风险的知识（专注于公司的政策和治理结构）
订婚谈话被构建为使投资者审查政策和治理做法，提出周围的网络风险方法的问题，并讨论网络安全成熟的目前和未来的期望。该参与也试图找出良好的做法，更好地了解，更好地了解配备的公司委员会如何解决网络安全相关挑战。

提高公司披露关于网络风险和治理的金额和质量。
基准研究对公司的14个指标进行了评分(见图1)，作为投资者与公司对话的基础。通过参与，投资者寻求提高这些分数，并改善所发布信息的质量。2017-19年的信息披露情况对比分析跟踪了这一目标的进展情况;这将在报告的下一部分中进行说明。

建立投资者对公司在网络风险治理方面可以和应该披露的信息的预期。
最后目标是制定可以构成投资者对本课题的期望的基础的公共网络安全披露的指标列表。该清单旨在促进进一步投资者对该问题的参与，并能够在网络安全方面制定适当的治理规范。

订婚过程

扇区快照

研究指标的披露程度

参与案例研究

参与案例研究：披露进展

Verizon Communications向企业通过其数据违约调查报告提供了对他们可能会面临的网络威胁的业务的年度观点。但是，PRI投资者合作最初发现了关于公司自己的网络安全治理和管理的很少的公共信息。

It was only through engagement, led by NEI Investments, with Verizon’s General Counsel & Corporate Secretary and Chief Information Security Officer that it became clear that cyber security was a top enterprise risk for the company due to the sensitive nature of the customer data it handles and; that it had a number of best practice approaches in its operations and governance. These included board committee oversight of cyber security risk and product privacy, executive staff responsible for cyber security and privacy, the existence of a security council comprised of various department heads, and robust employee training on the subject.

订婚鼓励Verizon加强其披露。该公司还在投资者外面的压力下，在合作参与下报告了将执行赔偿与数据安全绩效联系起来的可行性。

在订婚之后，Verizon在其代理通函中有显着改善了网络治理披露，并在PRI评估中召开了14个指标的第12条（与初步评估中的5个指标相比）