《信息安全技術(shù) 網(wǎng)絡(luò)安全保險應(yīng)用指南》

中華人民共和國國家標(biāo)準(zhǔn)`Informationsecuritytechnology—GuidelineforcybersecurityinsuranceaI 2 2 2 3 3 4 5 6 6 6 7 7 7 8 1本文件由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會（SAC/TC260）提本文件起草單位：北京源堡科技有限公司、國家工化研究院、中國信息安全測評中心、國家信息技術(shù)安全研究中心、國家信息中心、公安部第一研究所、公安部第三研究所、中國科學(xué)院信息工程研究所、中國網(wǎng)絡(luò)空間研究院、中國人民財產(chǎn)保險股份有限公司、中國太平洋財產(chǎn)保險股份有限公司、中國平安財產(chǎn)保險股份有限公司、中國人壽財產(chǎn)保險股份有限公司、國任財產(chǎn)保險股份有限公司、誠泰財產(chǎn)保險股份有限公司、中國財產(chǎn)再保險有限責(zé)任公司、前海再保險股份有限公司、建信財產(chǎn)保險有限公司、奇安信科技集團(tuán)股份有限公司、北京神州綠盟科技有限公司、啟明星辰信息技術(shù)集團(tuán)股份有限公司、北京天融信網(wǎng)絡(luò)安全技術(shù)有限公司、杭州安恒信息技術(shù)股份有限公司、騰訊云計算（北京）有限責(zé)本文件主要起草人：陳幼雷、梁露露、韓冰、黃鵬、馮媛、孫倩文、上官曉麗、王惠蒞、王秉政、李淼、曹岳、劉玉嶺、王佳慧、李海濤、陳妍、白云、劉愉、劉怡、萬杰、李萌、沈銘新、孫濤、劉蓉、沈哲、孟鑫、歐陽周婷、劉玉薈、張靜、田麗丹、2信息安全技術(shù)網(wǎng)絡(luò)安全保險應(yīng)用指南本文件描述了網(wǎng)絡(luò)安全保險的概念、作用和主要應(yīng)用階段，提出了網(wǎng)絡(luò)安全保險應(yīng)用各階段的流本文件適用于指導(dǎo)采用網(wǎng)絡(luò)安全保險轉(zhuǎn)移風(fēng)險的組織，也可為保險人和服務(wù)方提供參下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修由于人為原因、軟硬件缺陷或故障、自然災(zāi)害等，對網(wǎng)絡(luò)和信息系統(tǒng)或其中的數(shù)據(jù)和業(yè)務(wù)應(yīng)用造3為網(wǎng)絡(luò)安全保險業(yè)務(wù)提供風(fēng)險評估、風(fēng)險監(jiān)測、安全檢測、事件鑒定、損失評估、勘察及理賠、指除了投保人、被保險人、被保險人的高級管理人員網(wǎng)絡(luò)安全保險是組織實現(xiàn)網(wǎng)絡(luò)安全風(fēng)險轉(zhuǎn)移的手段，通過與傳統(tǒng)財產(chǎn)保險以有形財產(chǎn)及其相關(guān)經(jīng)濟(jì)利益為保險標(biāo)的不同，網(wǎng)絡(luò)安全保險的保險41)確定保險需求：被保險人確認(rèn)保險需求，包括保險保障范圍、保障額度以及保險費(fèi)用等；保險期間被保險人可以及時共享風(fēng)險狀況信息，履行風(fēng)險控2)實施事件評估：保險人委托服務(wù)方對網(wǎng)絡(luò)安全事件進(jìn)行調(diào)查，確定事件責(zé)任和實際損失；5指與保險人簽訂保險合同，并按照保險合同負(fù)有支付保險費(fèi)義務(wù)的法人主時，投保人即被保險人；投保人為其他法人主體投保時，投保人代被保險人繳納保費(fèi)，投保人和被保指向保險人分擔(dān)或考慮分擔(dān)網(wǎng)絡(luò)安全風(fēng)險的法人主體，其財產(chǎn)受保險合同保障，享有保險金請求指為網(wǎng)絡(luò)安全保險業(yè)務(wù)提供風(fēng)險評估、風(fēng)險監(jiān)測、安全檢測、事件鑒定、損失評估、勘察及理賠、法律咨詢等專業(yè)服務(wù)的機(jī)構(gòu)。服務(wù)方受保險人委托，也可以b)對保險合同約定范圍內(nèi)的風(fēng)險進(jìn)行風(fēng)險管理，如對網(wǎng)絡(luò)安全風(fēng)險進(jìn)行監(jiān)測，獲取必要的風(fēng)險c)在出險理賠時向被保險人說明需要提供的網(wǎng)6b)保險人對保險標(biāo)的的情況進(jìn)行詢問時，需如實告知；b)協(xié)助保險人進(jìn)行風(fēng)險控制，如進(jìn)行風(fēng)險監(jiān)測和預(yù)警；c)協(xié)助被保險人對于不滿足承保條件網(wǎng)絡(luò)安全保險保障范圍包括可承保的網(wǎng)絡(luò)安全事件和損失類型。只有當(dāng)發(fā)生在保險保障范圍內(nèi)的網(wǎng)絡(luò)安全事件包括惡意程序事件、網(wǎng)絡(luò)攻擊事件、數(shù)據(jù)安全事件、違規(guī)操作事件等。網(wǎng)絡(luò)安全事件造成的損失包括第一方損失和第三者責(zé)任。第一方損失包括網(wǎng)絡(luò)安全事件給被保險人自身造成的直接經(jīng)濟(jì)損失以及應(yīng)急響應(yīng)所產(chǎn)生的費(fèi)用等；第三者責(zé)任包括被保險人因網(wǎng)絡(luò)安全事件引發(fā)的對第三者保險保障范圍在網(wǎng)絡(luò)安全保險單中說明，網(wǎng)絡(luò)安全保險單示例見附錄B，網(wǎng)絡(luò)安全保a)惡意程序事件：指在網(wǎng)絡(luò)蓄意制造或傳播惡意程序而導(dǎo)致業(yè)務(wù)損失或社會危害的事件。包括b)網(wǎng)絡(luò)攻擊事件：指通過技術(shù)手段對網(wǎng)絡(luò)實施攻擊而導(dǎo)致業(yè)務(wù)損失或社會危害的事件。包括漏c)數(shù)據(jù)安全事件：通過技術(shù)或其他手段對數(shù)據(jù)實施篡改、假冒、泄露、竊取等導(dǎo)致業(yè)務(wù)損失或d)違規(guī)操作事件：由于人為故意或意外地?fù)p害網(wǎng)絡(luò)功能而導(dǎo)致的業(yè)務(wù)損失7營業(yè)中斷損失指因網(wǎng)絡(luò)安全事件導(dǎo)致的停產(chǎn)、停業(yè)或經(jīng)營受到影響而面臨的預(yù)期利潤損失及必要b)數(shù)據(jù)和系統(tǒng)恢復(fù)費(fèi)用：對網(wǎng)絡(luò)安全事件中受影響的數(shù)據(jù)和系統(tǒng)進(jìn)行恢復(fù)、更新、重建或c)危機(jī)公關(guān)費(fèi)用：為減少聲譽(yù)影響所產(chǎn)生的危機(jī)公關(guān)的費(fèi)用，如聘請公共顧問的咨詢費(fèi)用和進(jìn)d)通知費(fèi)用：當(dāng)網(wǎng)絡(luò)安全事件造成個人信息泄漏、篡改、丟失的，由被保險人e)法律咨詢服務(wù)費(fèi)用：當(dāng)網(wǎng)絡(luò)安全事件涉及法律和監(jiān)管要求，被保險人聘請法律顧問進(jìn)行咨詢網(wǎng)絡(luò)勒索損失包括被保險人因遭受勒索軟件因網(wǎng)絡(luò)安全事件，導(dǎo)致其合作伙伴或所服因網(wǎng)絡(luò)安全事件，導(dǎo)致被保險人發(fā)布在線被保險人在投保前開展風(fēng)險自評估，針對網(wǎng)絡(luò)安全保險保障范圍中的事件類型和損失類型，評估8被保險人根據(jù)風(fēng)險轉(zhuǎn)移策略提出保險需求，保險人根據(jù)已有的網(wǎng)絡(luò)安全如果網(wǎng)絡(luò)安全保險產(chǎn)品無法滿足保險需求，被保險人可以與保險人協(xié)商，根據(jù)需求開發(fā)風(fēng)險評估范圍與保險標(biāo)的相關(guān)，保險標(biāo)的可以是法人，也可以是被保險人選定的特定系統(tǒng)或資產(chǎn)。保險人可自行實施也可以委托服務(wù)方實施風(fēng)險評估，實施風(fēng)險評和損失類型，評估網(wǎng)絡(luò)安全事件發(fā)生的可能性及其帶來的損評估被保險人實施安全控制措施的程度和效果，包括安全管理措施和安全技術(shù)措施等。安全控制措施直接影響發(fā)生網(wǎng)絡(luò)安全事件的可能性和損失大小，通過網(wǎng)絡(luò)安全能力評估可衡量被保險人風(fēng)險防網(wǎng)絡(luò)安全風(fēng)險評估圍繞保險保障范圍中的第的各類網(wǎng)絡(luò)安全事件發(fā)生的可能性以及損失大小。評估網(wǎng)絡(luò)安全風(fēng)險時，同時考慮數(shù)別數(shù)據(jù)資產(chǎn)和數(shù)據(jù)處理活動中的威脅和控制措施等風(fēng)險要素，分析數(shù)據(jù)安全事件發(fā)生的可能性以及損評估被保險人所屬行業(yè)的宏觀風(fēng)險狀況，包括行業(yè)信息化程度、網(wǎng)絡(luò)安全威脅程度、業(yè)務(wù)特點(diǎn)等間接影響風(fēng)險發(fā)生的可能性和損失大小。行業(yè)風(fēng)險水d)被保險人組織規(guī)模、業(yè)務(wù)規(guī)模在行9投保前風(fēng)險評估方法參考GB/T20984—2022，包括風(fēng)險識別、風(fēng)險分析、風(fēng)險評價等主要過程。在風(fēng)險分析環(huán)節(jié)，通常采用定量分析方法，通過評分或貨幣化等數(shù)值方式表示風(fēng)險大小，滿足保險核保和定價要求。在評估與數(shù)據(jù)安全事件等相關(guān)的安全風(fēng)險時，需參考數(shù)據(jù)安全風(fēng)險評估方法，對數(shù)據(jù)a)識別資產(chǎn)、脆弱性、威脅源、攻擊方法等風(fēng)險要素；涉及數(shù)據(jù)安全風(fēng)險的還需考慮數(shù)據(jù)、業(yè)b)識別安全控制措施及其有效性，識別可通過問卷、訪談、檢查、測試等方式進(jìn)行。識別控制措施可參考GB/T22081—2016，重點(diǎn)識別與風(fēng)險場景相關(guān)c)識別風(fēng)險場景，風(fēng)險場景由威脅源、資產(chǎn)、脆弱性、攻擊方法、安全事件要素組成，風(fēng)險場其中，識別風(fēng)險場景時可參考保險保障范圍中列明的損失類型進(jìn)行，如營業(yè)中在安全控制措施識別的基礎(chǔ)上，對不同的控制措施項進(jìn)行賦值并計算安全能力值。安全能力可通通過分析控制措施的有效性為各評分指標(biāo)賦予分值和權(quán)重，結(jié)合被保險人行業(yè)、規(guī)算安全能力評分。安全能力分析還可以考慮網(wǎng)絡(luò)安全認(rèn)證或資質(zhì)在資產(chǎn)識別的基礎(chǔ)上，基于大數(shù)據(jù)分析和威脅情報技術(shù)，對被保險人進(jìn)行快速的安全風(fēng)險評估。安全評級一般通過非侵入式的手段收集數(shù)據(jù)，對這些數(shù)據(jù)加以分析，從網(wǎng)絡(luò)安全、應(yīng)用安全、數(shù)據(jù)安全、證書安全等多種維度，通過安全評級方法自動化對安全風(fēng)險進(jìn)行評級評估被保險人網(wǎng)絡(luò)安全風(fēng)險狀況，便于保險人進(jìn)行風(fēng)險篩選和核行業(yè)風(fēng)險水平分析采用統(tǒng)計方法，對不同行業(yè)風(fēng)險數(shù)據(jù)，評估行業(yè)風(fēng)險水平。行業(yè)風(fēng)險水平分析可采用風(fēng)險象限圖或行業(yè)風(fēng)險地圖等形式，從行業(yè)、規(guī)模維度進(jìn)行行業(yè)風(fēng)險水平劃分。行業(yè)風(fēng)險水平分析結(jié)果可以作為核保和定價參考因在風(fēng)險識別的基礎(chǔ)上，對所建立的風(fēng)險場景進(jìn)行風(fēng)險分析和計算。風(fēng)險量化分析以貨幣化數(shù)值的風(fēng)險量化分析對構(gòu)成風(fēng)險場景的要素和損失進(jìn)行賦值，通過量化分析模型分析各風(fēng)險場景發(fā)生的概率和損失大小，計算各場景的風(fēng)險值，再對各風(fēng)險場景聚合計算整體風(fēng)險值。一種基于風(fēng)險場景的風(fēng)險評價是對風(fēng)險分析的結(jié)果進(jìn)行等級化、排序、統(tǒng)計等處理，以便應(yīng)用于保險核保和定價。風(fēng)a)等級化處理：對風(fēng)險分析結(jié)果按照數(shù)值大小劃分等級，為保險人根據(jù)風(fēng)險等級b)風(fēng)險大小排列處理：對風(fēng)險分析結(jié)果按照數(shù)值大小進(jìn)行排列，通常根據(jù)風(fēng)險場景的量化分析結(jié)果進(jìn)行排列，保險人根據(jù)結(jié)果確定主要風(fēng)險場景的風(fēng)險大小，為不同場景下保險人根據(jù)風(fēng)險評估結(jié)果開展保險核保與定價，判斷是否承保相關(guān)風(fēng)險并確定保費(fèi)及保障限額。保險人自身風(fēng)險偏好、網(wǎng)絡(luò)安全能力、網(wǎng)絡(luò)安全評級以及行業(yè)風(fēng)險水平等評估結(jié)果可以作為保險人核保險期內(nèi)，被保險人開展日常風(fēng)險管理，維護(hù)保險標(biāo)的安全。被保險人通過風(fēng)被保險人在業(yè)務(wù)系統(tǒng)發(fā)生變更、信息系統(tǒng)更新，系統(tǒng)出現(xiàn)重大安全漏洞等情況時，需要及時關(guān)注風(fēng)險變化情況，通過日常風(fēng)險管理手段控制風(fēng)險。如果被保險人未履行其對保險標(biāo)的的被保險人可以自主開展日常風(fēng)險管理，也可以委托保險人或服保險人主動開展風(fēng)險監(jiān)測和預(yù)防管理等風(fēng)險控制活動。保險人風(fēng)險控制能夠協(xié)助被保險人控制或a)識別風(fēng)險變化：通過風(fēng)險監(jiān)測等技術(shù)手段持續(xù)跟蹤保險標(biāo)的風(fēng)險狀況，識別新增風(fēng)險或顯著b)風(fēng)險預(yù)警和通告：對新增風(fēng)險、顯著變化的風(fēng)險等情況進(jìn)行預(yù)警，及時通知被保險人進(jìn)行應(yīng)c)風(fēng)險預(yù)防管理：為被保險人提供風(fēng)險管理咨詢、風(fēng)險排查等服務(wù)，協(xié)助被保險人開展風(fēng)險預(yù)風(fēng)險監(jiān)測對象包括保險標(biāo)的相關(guān)的資產(chǎn)，以及其他對保險標(biāo)的風(fēng)險產(chǎn)生較大影響的資產(chǎn)，如供應(yīng)風(fēng)險監(jiān)測內(nèi)容主要是影響保險標(biāo)的風(fēng)險變化的因素，包括但不限于以d)暴露面：人員信息、郵箱、代碼等在互聯(lián)網(wǎng)風(fēng)險監(jiān)測一般采用不影響被保險人信息系統(tǒng)及業(yè)務(wù)運(yùn)行的方式進(jìn)行，通常利用產(chǎn)探測、脆弱性掃描、行業(yè)信息收集等技術(shù)手段，結(jié)合風(fēng)險分析方法和大數(shù)據(jù)分析技術(shù)，及時分析發(fā)風(fēng)險預(yù)防管理是為預(yù)防風(fēng)險發(fā)生以降低潛在損失所采培訓(xùn)、滲透測試、漏洞掃描等。服務(wù)方式可采用遠(yuǎn)程非聯(lián)機(jī)或現(xiàn)場服務(wù)方式。服務(wù)方需確保服務(wù)人員、被保險人出險后及時開展應(yīng)急響應(yīng)工作抑制網(wǎng)絡(luò)安全事件的影響，降低損失。在約定的時間內(nèi)向被保險人在投保前與保險人溝通明確理賠流程，包括約定的時間和其他需要提供的信息。被保險保險人針對被保險人報告的網(wǎng)絡(luò)安全事件進(jìn)行事故鑒定，包括對事件進(jìn)行溯源分析以及調(diào)查取證a)事件發(fā)生的時間：確定網(wǎng)絡(luò)安全事件發(fā)生的時間是否在網(wǎng)絡(luò)安全保險合同有效期b)事件發(fā)生的地點(diǎn)：確定網(wǎng)絡(luò)安全事件發(fā)生的地點(diǎn)是否在網(wǎng)絡(luò)安全保險合同規(guī)定的范圍內(nèi)；c)事件發(fā)生的原因：確定網(wǎng)絡(luò)安全事件發(fā)生的原因，并分析是否在網(wǎng)絡(luò)安全保險合同規(guī)定的保當(dāng)保險事故存在多個原因時，保險人根據(jù)近因原則確定保險事故原因，也即造成損失最直接、最有效，起主導(dǎo)作用的原因。保險人承擔(dān)賠償責(zé)任的范圍限于近因造成的損失。因此在事故鑒定中，需要對網(wǎng)絡(luò)安全事件的威脅源、攻擊方法、攻擊路徑等進(jìn)行分析，協(xié)助保險人判斷并確定事件產(chǎn)生的直接原因，以支持保險人做出合理的理賠決策。若存在人為故意原因?qū)е戮W(wǎng)絡(luò)安全事件，保險人可根據(jù)損失調(diào)查分析是通過技術(shù)手段收集安全事件對被保險人造成影響的證據(jù)，以支持保險人進(jìn)行損失評估，確定賠償金額。損失調(diào)查分析根據(jù)網(wǎng)絡(luò)安全事件分析損失的原因，與該事件相關(guān)的損b)安全事件造成的損失原因：分析與網(wǎng)絡(luò)安全事件相關(guān)聯(lián)的損失，排查不相關(guān)的損失；c)損失程度：調(diào)查并收集與損失程度相關(guān)的信息和證據(jù)，如緩釋和控制風(fēng)險的費(fèi)用支出證明和保險人在賠付被保險人因網(wǎng)絡(luò)安全事件導(dǎo)致的損失后取得追償權(quán)，通過網(wǎng)絡(luò)安全事件溯源分析、調(diào)查取證等，確定網(wǎng)絡(luò)安全事件的責(zé)任主體，保留日志等相關(guān)證據(jù)，保險人可以向其追討賠償。例如由于競爭對手對被保險人發(fā)起網(wǎng)絡(luò)攻擊造成營業(yè)中斷損失，保險人則可以向其競爭對手追討保險人在理賠中主要確定事件責(zé)任是否屬于保險保障范圍，并評估損失金額及確定賠付金額。保保險人在理賠中可提供相關(guān)服務(wù)，如應(yīng)急響應(yīng)支持、法律支持或公共關(guān)系管理等，協(xié)助被保險人網(wǎng)絡(luò)安全風(fēng)險不能完全消除，網(wǎng)絡(luò)安全保險定風(fēng)險轉(zhuǎn)移策略，明確適合通過保險轉(zhuǎn)移的網(wǎng)絡(luò)安全風(fēng)險，形成網(wǎng)絡(luò)安全保險投保需將網(wǎng)絡(luò)安全保險納入企業(yè)風(fēng)險管理策略，完善風(fēng)險管理體系，是網(wǎng)絡(luò)安全保險主要是網(wǎng)絡(luò)安全保險應(yīng)用的主要目的。對于風(fēng)險管理意識強(qiáng)，風(fēng)險防范措施完善的中大型網(wǎng)絡(luò)安全事件一方面給企業(yè)造成直接經(jīng)濟(jì)損失，如重要系統(tǒng)中斷造成營業(yè)收入損失；另一方面企業(yè)投入應(yīng)急處置、恢復(fù)經(jīng)營、應(yīng)對調(diào)查、處理賠償和解決法律訴訟案件時會產(chǎn)生高額費(fèi)用。對于安全建設(shè)投入相對有限的中小型企業(yè)而言，一次嚴(yán)重的網(wǎng)絡(luò)安全事件造成的損失可能導(dǎo)致企業(yè)生存危機(jī)或倒閉。在網(wǎng)絡(luò)安全建設(shè)投入相對有限時，中小型企業(yè)可以通過網(wǎng)絡(luò)安全保險來補(bǔ)充或輔助網(wǎng)設(shè)，防范較為嚴(yán)重的網(wǎng)絡(luò)安全風(fēng)險。同時，在保險期間，中小企業(yè)通過保險公司提供的風(fēng)險管理相關(guān)服務(wù)，獲得一定的風(fēng)險監(jiān)測和預(yù)警的能力，輔助自身的安全建設(shè)，形成相對完善且低成本的風(fēng)險管理因此對于網(wǎng)絡(luò)安全建設(shè)能力不足或投入相對有限的中小型企業(yè)，可通過網(wǎng)絡(luò)安全保險補(bǔ)充或輔助建立低成本的風(fēng)險防范能力，當(dāng)發(fā)生較嚴(yán)重的網(wǎng)絡(luò)安全事件時提供風(fēng)險保障，降當(dāng)企業(yè)對外提供產(chǎn)品或服務(wù)時，采購方在合同中基于保障自身風(fēng)險管控的需要，明確要求服務(wù)或產(chǎn)品提供方購買網(wǎng)絡(luò)安全保險，此時服務(wù)方為滿足合同約定要求，需要購買網(wǎng)絡(luò)安全保險商服務(wù)平臺、數(shù)據(jù)產(chǎn)品或服務(wù)提供方等類型企業(yè)在對其他用戶提供產(chǎn)品或服務(wù)時，會存在合同約定的對于具有大量供應(yīng)商的大型制造業(yè)企業(yè)，由于供應(yīng)鏈引入的安全風(fēng)險往往對于企業(yè)自身造成較大的風(fēng)險管理成本，因此企業(yè)出于自身風(fēng)險管控的需要，將網(wǎng)絡(luò)安全保險作為供應(yīng)鏈準(zhǔn)入的要求之一。一旦因供應(yīng)鏈安全風(fēng)險導(dǎo)致企業(yè)自身的損失和影響，企業(yè)可以向供應(yīng)鏈企業(yè)索賠，此時供應(yīng)鏈網(wǎng)絡(luò)安全企業(yè)為用戶提供網(wǎng)絡(luò)安全產(chǎn)品或解決方案的同時，為網(wǎng)絡(luò)安全產(chǎn)品投保網(wǎng)絡(luò)安全保險，當(dāng)用戶因產(chǎn)品防護(hù)不當(dāng)發(fā)生網(wǎng)絡(luò)安全事件所造成損失，可以由網(wǎng)絡(luò)安全保險賠償。網(wǎng)絡(luò)安全企業(yè)通過為產(chǎn)品購買網(wǎng)絡(luò)安全保險的方式，為使用產(chǎn)品的用戶提供了額外的風(fēng)險保障能力，從而增強(qiáng)了目前典型的面向網(wǎng)絡(luò)安全產(chǎn)品的保險包括針對勒索軟件防護(hù)的產(chǎn)品和針對DDOS攻擊的防護(hù)產(chǎn)品等，如勒索軟件安全防護(hù)保險，保障使用防勒索軟應(yīng)費(fèi)用或處置費(fèi)用等；DDOS攻擊損失補(bǔ)償保險，則主要保障采用抗DDOS產(chǎn)品的用戶遭到DDoS攻擊而產(chǎn)網(wǎng)絡(luò)安全保險作為企業(yè)數(shù)字化過程中防范風(fēng)險損失的有效手段，其損失補(bǔ)償功能和防災(zāi)減損作用降低總體成本，保障企業(yè)網(wǎng)絡(luò)信息安全。當(dāng)前我國處于數(shù)字經(jīng)濟(jì)高速發(fā)展時期，網(wǎng)絡(luò)安網(wǎng)絡(luò)安全保險的產(chǎn)業(yè)化發(fā)展不僅有助于企業(yè)用中，不論從投保企業(yè)制定風(fēng)險轉(zhuǎn)移策略，還是保險機(jī)構(gòu)開展的風(fēng)險評估和風(fēng)險控制服務(wù)，均會對企技術(shù)、數(shù)據(jù)以及資本等方面，能夠為企業(yè)提供全面的網(wǎng)絡(luò)風(fēng)險應(yīng)對方案c)促進(jìn)網(wǎng)絡(luò)安全新業(yè)態(tài)發(fā)展，提高社會整體網(wǎng)網(wǎng)絡(luò)安全保險需求的多樣化和網(wǎng)絡(luò)安全保險+安全服務(wù)的創(chuàng)新模式，能新的網(wǎng)絡(luò)安全產(chǎn)業(yè)生態(tài)和安全服務(wù)模式，擴(kuò)大網(wǎng)絡(luò)安全市場規(guī)模。通過網(wǎng)絡(luò)安全保險市場的a)企業(yè)根據(jù)風(fēng)險管理要求為自身或特定重要業(yè)務(wù)系統(tǒng)購買網(wǎng)絡(luò)企業(yè)根據(jù)自身風(fēng)險管理情況、運(yùn)營情況、行業(yè)安全風(fēng)險等因素制定網(wǎng)絡(luò)安全風(fēng)險轉(zhuǎn)移策略，形成保險需求。保險公司依據(jù)自身風(fēng)險偏好、法律規(guī)定、市場慣例等因素為企業(yè)提供多種類型保險產(chǎn)品以滿足企業(yè)需求。企業(yè)可根據(jù)不同保險產(chǎn)品之間的差異性以選擇最佳網(wǎng)絡(luò)安全風(fēng)險管理策略。下面列舉了該應(yīng)用場景下典型網(wǎng)絡(luò)安全相關(guān)保險產(chǎn)品主要承保被保險人因網(wǎng)絡(luò)安全事件導(dǎo)致的直接“第一方損失”投保人自身及其相關(guān)聯(lián)公司作為共同被保險人（被保險人不限制數(shù)量，在投保人相關(guān)聯(lián)公司作為被保險人（被保險人不限制數(shù)量，在保險單列明即主要承保投保方因網(wǎng)絡(luò)安全事件引發(fā)的對第三構(gòu)）的法定賠償責(zé)任，一般稱為“第三者責(zé)任”可同時承保被保險人因網(wǎng)絡(luò)安全事件導(dǎo)致的第一方損失以及第三者責(zé)任b)企業(yè)為安全產(chǎn)品投保保障使用該產(chǎn)品的用戶網(wǎng)絡(luò)安全企業(yè)為提高自身安全產(chǎn)品的信譽(yù)和競用產(chǎn)品的用戶提供了風(fēng)險保障能力。典型可投保的網(wǎng)絡(luò)安全產(chǎn)品包括防勒索產(chǎn)品、DDoS攻擊解決方案、數(shù)據(jù)防泄露產(chǎn)品等，網(wǎng)絡(luò)安全公司將保險作為產(chǎn)品附帶的風(fēng)險保障手段，為使用產(chǎn)品服務(wù)的同時，針對用戶可能發(fā)生的網(wǎng)絡(luò)勒索損失、營業(yè)中斷損失、應(yīng)急響應(yīng)費(fèi)用、數(shù)據(jù)安全責(zé)任等提勒索軟件安全保障被保險人在安裝了經(jīng)保險公司評估認(rèn)可的防勒索軟件的情況下，仍中勒索病毒，并由此產(chǎn)生的應(yīng)急響應(yīng)費(fèi)用或勒索處置費(fèi)購買防勒索軟件的最終主要保障被保險人遭到基礎(chǔ)防護(hù)之上的DDoS攻擊而產(chǎn)生的營業(yè)中斷損失和為減少營業(yè)中斷而產(chǎn)生的保險人為投保人提供網(wǎng)絡(luò)安全保險保障政策，并在網(wǎng)絡(luò)安全保險單中注明保險所涵蓋的網(wǎng)絡(luò)風(fēng)險損失類型。該保險單中列明的保險保障方案需基于投保人的網(wǎng)絡(luò)安全風(fēng)險評估結(jié)果。投保人可選擇獨(dú)立保單形式，僅針對事先約定的網(wǎng)絡(luò)安全風(fēng)險、損失展開保險保障，或選擇復(fù)合保單形式，XX保險公司網(wǎng)絡(luò)安全保險單保險類型保險人投保人被保險人保險期限保障及分項責(zé)任限額保單總限額或保險總限額的XX%保單總限額或保險總限額的XX%保單總限額或保險總限額的XX%保單總限額或保險總限額的XX%保單總限額或保險總限額的XX%保單總限額或保險總限額的XX%免賠額/等待期地域范圍及司法管轄特別約定針對網(wǎng)絡(luò)安全保險保障范圍，對其中的每一項內(nèi)容，投保人或被保險人需仔細(xì)確多少保障額度，它也是計算保險費(fèi)的依據(jù)。投保人或被保險人可以獲得的網(wǎng)投保人需要了解網(wǎng)絡(luò)安全保險中的免賠額和等待期，每次事故免賠額（率網(wǎng)絡(luò)安全保險并不能覆蓋所有風(fēng)險情況，投a)身體傷害和財產(chǎn)損失除外。網(wǎng)絡(luò)安全事件不涉及對人的精神損害和直接的物質(zhì)財產(chǎn)此這兩項責(zé)任一般被排除在網(wǎng)絡(luò)保險保障范圍之外。但保險人與被保險人可以在保單中約定b)網(wǎng)絡(luò)戰(zhàn)爭除外。一般網(wǎng)絡(luò)安全保險都將因網(wǎng)絡(luò)戰(zhàn)爭導(dǎo)致的損失賠償責(zé)任排除在外，以及針對c)不當(dāng)行為除外。被保險人的不當(dāng)行為包括被保險人及其雇員所做的任何不誠實、欺詐或故意的不當(dāng)行為，或其他能夠讓被保險人得到原本依照法律法規(guī)、被保險人經(jīng)營規(guī)d)違法行為除外。因被保險人違反法律或法規(guī)要求的行為而引起的網(wǎng)絡(luò)事e)懲罰責(zé)任除外。由于網(wǎng)絡(luò)安全事件，國家行政機(jī)關(guān)對被保險人的罰金、罰款或懲罰性賠償?shù)萬)任何基礎(chǔ)設(shè)施故障或供應(yīng)中斷責(zé)任除外。排除因基礎(chǔ)設(shè)施故障而導(dǎo)致的網(wǎng)絡(luò)事件和數(shù)據(jù)泄露機(jī)械故障，包括但不限于任何計算機(jī)及周邊設(shè)備有形財產(chǎn)本身的物理性故障、腐蝕、磨g)侵犯知識產(chǎn)權(quán)或商業(yè)秘密責(zé)任除外。被保險人侵犯知識產(chǎn)權(quán)或商業(yè)秘密的責(zé)任由其他保險產(chǎn)h)自然災(zāi)害和不可抗力除外。自然災(zāi)害、不可抗力或超出雙方合理控制范圍的特殊事件或情況，風(fēng)甚至火災(zāi)通常被排除在網(wǎng)絡(luò)安全保險保單承保范圍與傳統(tǒng)財產(chǎn)保險類似，網(wǎng)絡(luò)安全保險的應(yīng)用通常包括展業(yè)、投保、承保、分保、防災(zāi)、理賠等主要業(yè)務(wù)活動。本附錄對其中與網(wǎng)絡(luò)安全技術(shù)應(yīng)用相關(guān)的投保、承保、防災(zāi)、理賠等活動進(jìn)行簡要介紹。 投保也稱購買保險，投保人可以通過保險公司業(yè)務(wù)人員或保險中介購買保險。投保人有責(zé)任自覺網(wǎng)絡(luò)安全風(fēng)險評估是投保過程中非常重要的環(huán)節(jié)，一方面投保人根據(jù)風(fēng)險評估結(jié)果制定風(fēng)險轉(zhuǎn)移的策略，形成網(wǎng)絡(luò)安全保險需求；另一方面保險人根據(jù)評估結(jié)果判斷是否可以承保相關(guān)風(fēng)險，并為投保人設(shè)計滿足其需求的保險方案。一般來說，投保人確定保險需求的一網(wǎng)絡(luò)安全事件發(fā)生的概率不高，但造成的損失較大，應(yīng)優(yōu)先投保；相反，如果網(wǎng)絡(luò)安全事件發(fā)生的承保是指保險人與投保人雙方通過協(xié)商，對保險合同內(nèi)容達(dá)成一致并簽訂的過程。通常保險人對險標(biāo)的的風(fēng)險是否發(fā)生變化等，如果某個保險標(biāo)的的風(fēng)險顯著增加，保險人可能需要通過提高保險費(fèi)，風(fēng)險發(fā)生的因素，防止或減少網(wǎng)絡(luò)安全事件造成的損失。網(wǎng)絡(luò)安全保險中防災(zāi)防損的對象是保險標(biāo)的，防災(zāi)防損的方法包括法律、經(jīng)濟(jì)、技術(shù)等多種手段。其中法律手段是指投保人如果不加強(qiáng)防災(zāi)措施或?qū)τ诜罏?zāi)防損沒有應(yīng)盡責(zé)任，保險人可以拒絕承擔(dān)賠償責(zé)任，也可能會追究其法律責(zé)任；經(jīng)濟(jì)手段則是指根據(jù)投保人采取的防災(zāi)措施水平來調(diào)節(jié)保險費(fèi)率。在網(wǎng)絡(luò)安全保險中，由于網(wǎng)絡(luò)安全風(fēng)險的動態(tài)特性，對保險標(biāo)的進(jìn)行風(fēng)險監(jiān)測和預(yù)防管理是防災(zāi)防損的重要技術(shù)手段。在保險期內(nèi)，網(wǎng)絡(luò)安全風(fēng)險可能因內(nèi)外部環(huán)境變化而發(fā)生變化，保險人需要開展相應(yīng)的風(fēng)險監(jiān)測和預(yù)防管理活動，及時了解被保險人的風(fēng)險變化情況，并要求被保險人采取相應(yīng)控理賠是指保險人在保險標(biāo)的發(fā)生網(wǎng)絡(luò)安全事件后，對被保險人提出的索賠請求進(jìn)行處理的行為。在理賠過程中，由于被保險人發(fā)生網(wǎng)絡(luò)安全事件所造成的損失可能存在不再承保范圍的情況保險人發(fā)生的損失也可能不等于保險人的賠償額。所以，在網(wǎng)絡(luò)安全事件發(fā)生后，保險人對網(wǎng)絡(luò)安全事件進(jìn)行調(diào)查，確定損失原因、確定損失程度、認(rèn)定求償權(quán)利，并黑客組織（威脅）利用信息系統(tǒng)訪問未進(jìn)行流量控制（脆弱性）的弱點(diǎn)，對投保人實施拒絕服務(wù)攻擊（攻擊方法），造成投保人業(yè)務(wù)系統(tǒng)（資產(chǎn)）無法正常訪問（安全事件），從而給投保人造成營業(yè)中斷的影響（損失）。該風(fēng)險場景代表了典型的網(wǎng)絡(luò)攻擊事件造成營業(yè)中斷的風(fēng)險。而識景中所涉及的不同要素的組合，能夠建立與網(wǎng)絡(luò)攻擊事件相關(guān)的風(fēng)險場景，從而能夠評估網(wǎng)絡(luò)攻擊風(fēng)b)惡意程序?qū)е戮W(wǎng)絡(luò)勒索的風(fēng)險場景黑客組織（威脅）通過發(fā)送帶有勒索病毒附件的釣魚郵件（攻擊方法），內(nèi)部人員因安