《信息安全技術(shù) 網(wǎng)絡(luò)安全保險應(yīng)用指南》

GB/TXXXXX—XXXX

信息安全技術(shù)網(wǎng)絡(luò)安全保險應(yīng)用指南

1范圍

本文件描述了網(wǎng)絡(luò)安全保險的概念、作用和主要應(yīng)用階段，提出了網(wǎng)絡(luò)安全保險應(yīng)用各階段的流

程和方法。

本文件適用于指導(dǎo)采用網(wǎng)絡(luò)安全保險轉(zhuǎn)移風(fēng)險的組織，也可為保險人和服務(wù)方提供參考。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文

件，僅該日期對應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改版）適

用于本文件。

GB/T20984—2022信息安全技術(shù)信息安全風(fēng)險評估方法

GB/T20986—2023信息安全技術(shù)網(wǎng)絡(luò)安全事件分類分級指南

GB/T22081—2016信息技術(shù)安全技術(shù)信息安全控制實踐指南

3術(shù)語和定義

下列術(shù)語和定義適用于本文件：

3.1

網(wǎng)絡(luò)安全事件cybersecurityincident

由于人為原因、軟硬件缺陷或故障、自然災(zāi)害等，對網(wǎng)絡(luò)和信息系統(tǒng)或其中的數(shù)據(jù)和業(yè)務(wù)應(yīng)用造

成危害，對國家、社會、經(jīng)濟造成負(fù)面影響的事件。

[來源：GB/T38645—2020，3.1]

3.2

網(wǎng)絡(luò)安全保險cybersecurityinsurance

財產(chǎn)保險的一種，承保因發(fā)生網(wǎng)絡(luò)安全事件所造成的經(jīng)濟損失以及需承擔(dān)的法定賠償責(zé)任。

注：網(wǎng)絡(luò)安全保險屬于廣義的財產(chǎn)保險范疇，數(shù)字資產(chǎn)等無形資產(chǎn)可作為該險種的保險標(biāo)的。

3.3

保險人insurer

與被保險人共同分擔(dān)網(wǎng)絡(luò)安全風(fēng)險，并承擔(dān)賠償或者給付保險金責(zé)任的保險公司。

[來源：GB/T36687—2018，2.4，有修改]

3.4

投保人applicant

與保險人簽訂保險合同，并按照保險合同負(fù)有支付保險費義務(wù)的法人主體。

[來源：GB/T36687—2018，2.5，有修改]

2

GB/TXXXXX—XXXX

3.5

被保險人insured

向保險人分擔(dān)或考慮分擔(dān)網(wǎng)絡(luò)安全風(fēng)險的法人主體，其財產(chǎn)受保險合同保障，享有保險金請求權(quán)。

[來源：GB/T36687—2018，2.6，有修改]

注：投保人可以為被保險人。

3.6

保險標(biāo)的subjectofinsurance

作為保險對象的財產(chǎn)及其相關(guān)利益，在保險合同中所載明的投保對象。

[來源：GB/T36687—2018，2.22，有修改]

3.7

財產(chǎn)保險propertyinsurance

以財產(chǎn)及其有關(guān)利益為保險標(biāo)的的保險。

[來源：GB/T36687—2018，2.2]

注：財產(chǎn)保險包括財產(chǎn)損失保險、責(zé)任保險、信用保險、保證保險等。

3.8

服務(wù)方serviceprovider

為網(wǎng)絡(luò)安全保險業(yè)務(wù)提供風(fēng)險評估、風(fēng)險監(jiān)測、安全檢測、事件鑒定、損失評估、勘察及理賠、

法律咨詢等專業(yè)服務(wù)的機構(gòu)。

注：在網(wǎng)絡(luò)安全保險業(yè)務(wù)中，保險人或被保險人均可根據(jù)實際需求委托服務(wù)方開展相關(guān)服務(wù)。

3.9

網(wǎng)絡(luò)安全保險單cybersecurityinsurancepolicy

網(wǎng)絡(luò)安全保險合同成立后，保險人向投保人簽發(fā)的保險合同的正式書面憑證。

[來源：GB/T36687—2018，5.3.1]

3.10

第三者thethirdparty

指除了投保人、被保險人、被保險人的高級管理人員和任何雇員以為的任何其他自然人或法人。

4網(wǎng)絡(luò)安全保險應(yīng)用概述

4.1目的和作用

網(wǎng)絡(luò)安全保險是組織實現(xiàn)網(wǎng)絡(luò)安全風(fēng)險轉(zhuǎn)移的手段，通過補償組織因網(wǎng)絡(luò)安全事件可能導(dǎo)致的經(jīng)

濟損失，幫助組織管理風(fēng)險，增強風(fēng)險應(yīng)對能力。網(wǎng)絡(luò)安全事件所造成的經(jīng)濟損失既包含組織自身的

損失，也包含對第三者的賠償責(zé)任。

與傳統(tǒng)財產(chǎn)保險以有形財產(chǎn)及其相關(guān)經(jīng)濟利益為保險標(biāo)的不同，網(wǎng)絡(luò)安全保險的保險標(biāo)的既包括

有形財產(chǎn)，也包括無形財產(chǎn)。網(wǎng)絡(luò)安全保險主要承保網(wǎng)絡(luò)空間的安全風(fēng)險，如網(wǎng)絡(luò)攻擊、惡意程序、

系統(tǒng)功能錯誤或失效等。

網(wǎng)絡(luò)安全保險的作用包括：

a)補償網(wǎng)絡(luò)安全事件所導(dǎo)致的經(jīng)濟損失，降低潛在影響；

3

GB/TXXXXX—XXXX

b)預(yù)防和減少網(wǎng)絡(luò)安全事件造成的損失和危害；

c)為應(yīng)急響應(yīng)及恢復(fù)提供資金支持；

d)協(xié)助組織恢復(fù)正常運營；

e)提高對網(wǎng)絡(luò)安全事件的韌性；

f)降低網(wǎng)絡(luò)安全風(fēng)險管理的總體成本。

網(wǎng)絡(luò)安全保險需求和應(yīng)用場景可參考附錄A。為方便表述，以下將組織稱為投保人或被保險人。

4.2基本應(yīng)用流程

網(wǎng)絡(luò)安全保險應(yīng)用流程如圖1所示。包括如下內(nèi)容：

圖1網(wǎng)絡(luò)安全保險應(yīng)用基本流程

a)投保前風(fēng)險評估，此階段包括：

1)確定保險需求：被保險人確認(rèn)保險需求，包括保險保障范圍、保障額度以及保險費用等；

2)實施風(fēng)險評估：服務(wù)方實施風(fēng)險評估，被保險人配合提供必要支持；

3)保險核保與定價：保險人根據(jù)風(fēng)險評估結(jié)果進(jìn)行核保并制定保險方案，包括保障范圍、

保險額度、保險費用等。

當(dāng)保險人拒絕承保時，被保險人可以根據(jù)風(fēng)險評估結(jié)果進(jìn)行整改或調(diào)整保險需求。

b)保險期間風(fēng)險控制，此階段包括：

1)日常風(fēng)險管理：被保險人開展日常風(fēng)險管理活動，對相關(guān)風(fēng)險進(jìn)行監(jiān)測和處置；

2)保險人風(fēng)險控制：保險人主動開展的風(fēng)險監(jiān)測和預(yù)防管理等相關(guān)活動；

3)實施風(fēng)險控制：服務(wù)方實施風(fēng)險控制，協(xié)助被保險人進(jìn)行風(fēng)險管理。

保險期間被保險人可以及時共享風(fēng)險狀況信息，履行風(fēng)險控制義務(wù)。

c)出險后事件評估，此階段包括：

1)應(yīng)急響應(yīng)及索賠：被保險人開展應(yīng)急響應(yīng)工作，并根據(jù)損失情況發(fā)起索賠請求；

2)實施事件評估：保險人委托服務(wù)方對網(wǎng)絡(luò)安全事件進(jìn)行調(diào)查，確定事件責(zé)任和實際損失；

3)理賠：保險人根據(jù)調(diào)查結(jié)果做出賠償決定，履行保險人的賠償責(zé)任。

保險業(yè)務(wù)中的網(wǎng)絡(luò)安全相關(guān)活動見附錄D。

4

GB/TXXXXX—XXXX

4.3主要角色與職責(zé)

4.3.1主要角色

網(wǎng)絡(luò)安全保險應(yīng)用主要參與角色如圖2所示。其中：

圖2網(wǎng)絡(luò)安全保險應(yīng)用參與角色

a)保險人

指與被保險人共同分擔(dān)網(wǎng)絡(luò)安全風(fēng)險，并承擔(dān)賠償或者給付保險金責(zé)任的保險公司。

b)投保人

指與保險人簽訂保險合同，并按照保險合同負(fù)有支付保險費義務(wù)的法人主體。投保人為自己投保

時，投保人即被保險人；投保人為其他法人主體投保時，投保人代被保險人繳納保費，投保人和被保

險人是不同法人主體。

c)被保險人

指向保險人分擔(dān)或考慮分擔(dān)網(wǎng)絡(luò)安全風(fēng)險的法人主體，其財產(chǎn)受保險合同保障，享有保險金請求

權(quán)。被保險人是網(wǎng)絡(luò)安全保險直接受益人。

d)服務(wù)方

指為網(wǎng)絡(luò)安全保險業(yè)務(wù)提供風(fēng)險評估、風(fēng)險監(jiān)測、安全檢測、事件鑒定、損失評估、勘察及理賠、

法律咨詢等專業(yè)服務(wù)的機構(gòu)。服務(wù)方受保險人委托，也可以受被保險人委托開展上述網(wǎng)絡(luò)安全服務(wù)。

4.3.2主要職責(zé)

4.3.2.1保險人

保險人主要職責(zé)包括但不限于：

a)依據(jù)保險合同規(guī)定的責(zé)任和義務(wù)提供服務(wù)；

b)對保險合同約定范圍內(nèi)的風(fēng)險進(jìn)行風(fēng)險管理，如對網(wǎng)絡(luò)安全風(fēng)險進(jìn)行監(jiān)測，獲取必要的風(fēng)險

管理數(shù)據(jù)，當(dāng)風(fēng)險發(fā)生顯著變化時，通知被保險人并提供處置建議；

c)在出險理賠時向被保險人說明需要提供的網(wǎng)絡(luò)安全事件證據(jù)和相關(guān)數(shù)據(jù)。

4.3.2.2被保險人

被保險人主要職責(zé)包括但不限于：

a)確認(rèn)網(wǎng)絡(luò)安全保險需求；

b)配合保險人實施風(fēng)險評估；

c)保險期間開展必要的風(fēng)險管理活動；

d)出險后開展必要的應(yīng)急響應(yīng)工作，避免損失擴大；

5

GB/TXXXXX—XXXX

e)向保險人提供網(wǎng)絡(luò)安全事件證據(jù)或相關(guān)日志等數(shù)據(jù)；

f)保險事故發(fā)生后，需在約定時間內(nèi)通知保險人。

4.3.2.3投保人

投保人主要職責(zé)包括但不限于：

a)根據(jù)網(wǎng)絡(luò)安全保險合同，按期繳納保險費；

b)保險人對保險標(biāo)的的情況進(jìn)行詢問時，需如實告知；

4.3.2.4服務(wù)方

服務(wù)方主要職責(zé)包括但不限于：

a)對保險標(biāo)的進(jìn)行風(fēng)險評估，支持保險人開展核保和定價；

b)協(xié)助保險人進(jìn)行風(fēng)險控制，如進(jìn)行風(fēng)險監(jiān)測和預(yù)警；

c)協(xié)助被保險人對于不滿足承保條件的風(fēng)險進(jìn)行整改；

d)協(xié)助被保險人進(jìn)行網(wǎng)絡(luò)安全事件的應(yīng)急響應(yīng)；

e)協(xié)助保險人對網(wǎng)絡(luò)安全事件進(jìn)行技術(shù)鑒定、取證和損失評估；

f)其他法律訴訟、公關(guān)咨詢等服務(wù)。

5網(wǎng)絡(luò)安全保險保障范圍

5.1概述

網(wǎng)絡(luò)安全保險保障范圍包括可承保的網(wǎng)絡(luò)安全事件和損失類型。只有當(dāng)發(fā)生在保險保障范圍內(nèi)的

網(wǎng)絡(luò)安全事件和損失時，才能通過保險進(jìn)行賠償。

網(wǎng)絡(luò)安全事件包括惡意程序事件、網(wǎng)絡(luò)攻擊事件、數(shù)據(jù)安全事件、違規(guī)操作事件等。網(wǎng)絡(luò)安全事

件造成的損失包括第一方損失和第三者責(zé)任。第一方損失包括網(wǎng)絡(luò)安全事件給被保險人自身造成的直

接經(jīng)濟損失以及應(yīng)急響應(yīng)所產(chǎn)生的費用等；第三者責(zé)任包括被保險人因網(wǎng)絡(luò)安全事件引發(fā)的對第三者

（例如受影響個人或機構(gòu)等）的法定賠償責(zé)任。

保險保障范圍在網(wǎng)絡(luò)安全保險單中說明，網(wǎng)絡(luò)安全保險單示例見附錄B，網(wǎng)絡(luò)安全保險其他考慮事

項見附錄C。

5.2事件類型

網(wǎng)絡(luò)安全保險可承保的網(wǎng)絡(luò)安全事件包括但不限于下列類型：

a)惡意程序事件：指在網(wǎng)絡(luò)蓄意制造或傳播惡意程序而導(dǎo)致業(yè)務(wù)損失或社會危害的事件。包括

計算機病毒，網(wǎng)絡(luò)蠕蟲、木馬、勒索軟件、挖礦病毒事件等；

b)網(wǎng)絡(luò)攻擊事件：指通過技術(shù)手段對網(wǎng)絡(luò)實施攻擊而導(dǎo)致業(yè)務(wù)損失或社會危害的事件。包括漏

洞利用、拒絕服務(wù)、后門利用、網(wǎng)絡(luò)掃描探測、信號干擾、供應(yīng)鏈攻擊事件等；

c)數(shù)據(jù)安全事件：通過技術(shù)或其他手段對數(shù)據(jù)實施篡改、假冒、泄露、竊取等導(dǎo)致業(yè)務(wù)損失或

社會危害的事件；

d)違規(guī)操作事件：由于人為故意或意外地?fù)p害網(wǎng)絡(luò)功能而導(dǎo)致的業(yè)務(wù)損失，如人為操作失誤或

其他無意行為等；

e)其他可能造成系統(tǒng)或資產(chǎn)損失的網(wǎng)絡(luò)安全事件。

6

GB/TXXXXX—XXXX

5.3損失類型

5.3.1第一方損失

5.3.1.1營業(yè)中斷損失

營業(yè)中斷損失指因網(wǎng)絡(luò)安全事件導(dǎo)致的停產(chǎn)、停業(yè)或經(jīng)營受到影響而面臨的預(yù)期利潤損失及必要

的費用支出。營業(yè)中斷損失還包括因運營效率降低導(dǎo)致延遲交付所產(chǎn)生的經(jīng)濟損失。

5.3.1.2應(yīng)急響應(yīng)費用

應(yīng)急響應(yīng)費用指在網(wǎng)絡(luò)安全事件發(fā)生后所執(zhí)行的應(yīng)急響應(yīng)活動產(chǎn)生的費用，包括但不限于：

a)事件原因調(diào)查費用：如聘請服務(wù)方對網(wǎng)絡(luò)安全事件發(fā)生原因進(jìn)行調(diào)查所產(chǎn)生的費用；

b)數(shù)據(jù)和系統(tǒng)恢復(fù)費用：對網(wǎng)絡(luò)安全事件中受影響的數(shù)據(jù)和系統(tǒng)進(jìn)行恢復(fù)、更新、重建或替換

等活動所產(chǎn)生的費用；

c)危機公關(guān)費用：為減少聲譽影響所產(chǎn)生的危機公關(guān)的費用，如聘請公共顧問的咨詢費用和進(jìn)

行溝通的成本等；

d)通知費用：當(dāng)網(wǎng)絡(luò)安全事件造成個人信息泄漏、篡改、丟失的，由被保險人通知受影響的個

人或監(jiān)管機構(gòu)所產(chǎn)生的費用，包括通知的人工成本及呼叫中心運營成本等；

e)法律咨詢服務(wù)費用：當(dāng)網(wǎng)絡(luò)安全事件涉及法律和監(jiān)管要求，被保險人聘請法律顧問進(jìn)行咨詢

所產(chǎn)生的費用；

f)其他必要合理費用：如管理應(yīng)急響應(yīng)流程所投入的運營成本以及可能產(chǎn)生的人員更換等費用。

5.3.1.3網(wǎng)絡(luò)勒索損失

網(wǎng)絡(luò)勒索損失包括被保險人因遭受勒索軟件事件后所產(chǎn)生的損失和相關(guān)費用，包括營業(yè)中斷、數(shù)

據(jù)恢復(fù)、調(diào)查取證、談判等費用。

5.3.2第三者責(zé)任

網(wǎng)絡(luò)安全事件導(dǎo)致被保險人對第三者損失的賠償責(zé)任，通常包括但不限于：

a)數(shù)據(jù)泄露責(zé)任

因網(wǎng)絡(luò)安全事件，導(dǎo)致用戶數(shù)據(jù)泄露，而需要承擔(dān)的賠償責(zé)任、相關(guān)法律訴訟等費用。

b)網(wǎng)絡(luò)安全責(zé)任

因網(wǎng)絡(luò)安全事件，導(dǎo)致其合作伙伴或所服務(wù)用戶發(fā)生經(jīng)濟損失，需要承擔(dān)賠償責(zé)任、相關(guān)法律訴

訟等費用。

c)媒體責(zé)任

因網(wǎng)絡(luò)安全事件，導(dǎo)致被保險人發(fā)布在線媒體內(nèi)容（包括網(wǎng)站、博客和社交媒體等）存在不當(dāng)行

為，被第三者提出索賠而產(chǎn)生的法律費用、賠償?shù)葥p失。

6投保前風(fēng)險評估

6.1確定保險需求

6.1.1風(fēng)險自評估

被保險人在投保前開展風(fēng)險自評估，針對網(wǎng)絡(luò)安全保險保障范圍中的事件類型和損失類型，評估

網(wǎng)絡(luò)安全事件發(fā)生可能性和損失大小。風(fēng)險評估結(jié)果是制定風(fēng)險轉(zhuǎn)移策略的依據(jù)。

7

GB/TXXXXX—XXXX

6.1.2制定風(fēng)險轉(zhuǎn)移策略

被保險人制定風(fēng)險轉(zhuǎn)移策略，確定適合通過保險轉(zhuǎn)移的風(fēng)險，考慮因素包括但不限于：

a)風(fēng)險容忍度，選擇對業(yè)務(wù)影響較大的，超出承受范圍的風(fēng)險；

b)高額損失優(yōu)先原則，選擇發(fā)生概率低，但損失較大的風(fēng)險；

c)風(fēng)險處置的總體成本，風(fēng)險轉(zhuǎn)移策略應(yīng)使總體成本更優(yōu)。

6.1.3確定保險需求

被保險人根據(jù)風(fēng)險轉(zhuǎn)移策略提出保險需求，保險人根據(jù)已有的網(wǎng)絡(luò)安全保險產(chǎn)品制定保險方案，

如果網(wǎng)絡(luò)安全保險產(chǎn)品無法滿足保險需求，被保險人可以與保險人協(xié)商，根據(jù)需求開發(fā)新的網(wǎng)絡(luò)安全

保險產(chǎn)品。保險人根據(jù)確定的保險需求對被保險人實施風(fēng)險評估。

6.2實施風(fēng)險評估

6.2.1評估范圍

風(fēng)險評估范圍與保險標(biāo)的相關(guān)，保險標(biāo)的可以是法人，也可以是被保險人選定的特定系統(tǒng)或資產(chǎn)。

保險人可自行實施也可以委托服務(wù)方實施風(fēng)險評估，實施風(fēng)險評估時圍繞保險保障范圍列明的事件類

和損失類型，評估網(wǎng)絡(luò)安全事件發(fā)生的可能性及其帶來的損失大小。

6.2.2評估內(nèi)容

6.2.2.1網(wǎng)絡(luò)安全能力

評估被保險人實施安全控制措施的程度和效果，包括安全管理措施和安全技術(shù)措施等。安全控制

措施直接影響發(fā)生網(wǎng)絡(luò)安全事件的可能性和損失大小，通過網(wǎng)絡(luò)安全能力評估可衡量被保險人風(fēng)險防

范水平。

6.2.2.2網(wǎng)絡(luò)安全風(fēng)險

網(wǎng)絡(luò)安全風(fēng)險評估圍繞保險保障范圍中的第一方損失和第三者責(zé)任，評估可能造成不同類型損失

的各類網(wǎng)絡(luò)安全事件發(fā)生的可能性以及損失大小。評估網(wǎng)絡(luò)安全風(fēng)險時，同時考慮數(shù)據(jù)安全風(fēng)險，識

別數(shù)據(jù)資產(chǎn)和數(shù)據(jù)處理活動中的威脅和控制措施等風(fēng)險要素，分析數(shù)據(jù)安全事件發(fā)生的可能性以及損

失大小。

6.2.2.3行業(yè)風(fēng)險水平

評估被保險人所屬行業(yè)的宏觀風(fēng)險狀況，包括行業(yè)信息化程度、網(wǎng)絡(luò)安全威脅程度、業(yè)務(wù)特點等

間接影響風(fēng)險發(fā)生的可能性和損失大小。行業(yè)風(fēng)險水平評估內(nèi)容通常包括但不限于以下信息：

a)行業(yè)面臨的網(wǎng)絡(luò)安全威脅特征；

b)行業(yè)不同規(guī)模企業(yè)的安全能力水平；

c)行業(yè)不同規(guī)模企業(yè)的信息化程度和業(yè)務(wù)活動特征；

d)被保險人組織規(guī)模、業(yè)務(wù)規(guī)模在行業(yè)中所處的位置；

e)被保險人的安全風(fēng)險水平在行業(yè)中所處的位置；

f)被保險人受行業(yè)監(jiān)管的要求等。

8

GB/TXXXXX—XXXX

6.2.3評估方法

6.2.3.1概述

投保前風(fēng)險評估方法參考GB/T20984—2022，包括風(fēng)險識別、風(fēng)險分析、風(fēng)險評價等主要過程。

在風(fēng)險分析環(huán)節(jié)，通常采用定量分析方法，通過評分或貨幣化等數(shù)值方式表示風(fēng)險大小，滿足保險核

保和定價要求。在評估與數(shù)據(jù)安全事件等相關(guān)的安全風(fēng)險時，需參考數(shù)據(jù)安全風(fēng)險評估方法，對數(shù)據(jù)

資產(chǎn)和相關(guān)處理活動等進(jìn)行要素識別和風(fēng)險評估。

6.2.3.2風(fēng)險識別

風(fēng)險識別內(nèi)容包括：

a)識別資產(chǎn)、脆弱性、威脅源、攻擊方法等風(fēng)險要素；涉及數(shù)據(jù)安全風(fēng)險的還需考慮數(shù)據(jù)、業(yè)

務(wù)、數(shù)據(jù)處理活動等風(fēng)險要素。

b)識別安全控制措施及其有效性，識別可通過問卷、訪談、檢查、測試等方式進(jìn)行。識別控制

措施可參考GB/T22081—2016，重點識別與風(fēng)險場景相關(guān)的控制措施；

c)識別風(fēng)險場景，風(fēng)險場景由威脅源、資產(chǎn)、脆弱性、攻擊方法、安全事件要素組成，風(fēng)險場

景需與網(wǎng)絡(luò)安全保險保障范圍相結(jié)合；

d)識別行業(yè)風(fēng)險數(shù)據(jù)，包括被保險人所屬行業(yè)的資產(chǎn)和業(yè)務(wù)特征，歷史安全事件及損失數(shù)據(jù)，

對行業(yè)影響較大的威脅和脆弱性等。

其中，識別風(fēng)險場景時可參考保險保障范圍中列明的損失類型進(jìn)行，如營業(yè)中斷、數(shù)據(jù)泄露、網(wǎng)

絡(luò)勒索等，具體示例可參考附錄E。

6.2.3.3風(fēng)險分析

6.2.3.3.1網(wǎng)絡(luò)安全能力分析

在安全控制措施識別的基礎(chǔ)上，對不同的控制措施項進(jìn)行賦值并計算安全能力值。安全能力可通

過分?jǐn)?shù)或級別等形式表示，評分越高代表安全能力水平越高，發(fā)生網(wǎng)絡(luò)安全事件可能性越低。

通過分析控制措施的有效性為各評分指標(biāo)賦予分值和權(quán)重，結(jié)合被保險人行業(yè)、規(guī)模等因素，計

算安全能力評分。安全能力分析還可以考慮網(wǎng)絡(luò)安全認(rèn)證或資質(zhì)等因素。

6.2.3.3.2網(wǎng)絡(luò)安全評級分析

在資產(chǎn)識別的基礎(chǔ)上，基于大數(shù)據(jù)分析和威脅情報技術(shù)，對被保險人進(jìn)行快速的安全風(fēng)險評估。

安全評級一般通過非侵入式的手段收集數(shù)據(jù)，對這些數(shù)據(jù)加以分析，從網(wǎng)絡(luò)安全、應(yīng)用安全、數(shù)據(jù)安

全、證書安全等多種維度，通過安全評級方法自動化對安全風(fēng)險進(jìn)行評級。安全評級能夠快速、定量

評估被保險人網(wǎng)絡(luò)安全風(fēng)險狀況，便于保險人進(jìn)行風(fēng)險篩選和核保。

6.2.3.3.3行業(yè)風(fēng)險水平分析

行業(yè)風(fēng)險水平分析采用統(tǒng)計方法，對不同行業(yè)、不同規(guī)模樣本企業(yè)進(jìn)行安全評級分析，結(jié)合行業(yè)

風(fēng)險數(shù)據(jù)，評估行業(yè)風(fēng)險水平。行業(yè)風(fēng)險水平分析可采用風(fēng)險象限圖或行業(yè)風(fēng)險地圖等形式，從行業(yè)、

規(guī)模維度進(jìn)行行業(yè)風(fēng)險水平劃分。行業(yè)風(fēng)險水平分析結(jié)果可以作為核保和定價參考因素。

6.2.3.3.4風(fēng)險量化分析

在風(fēng)險識別的基礎(chǔ)上，對所建立的風(fēng)險場景進(jìn)行風(fēng)險分析和計算。風(fēng)險量化分析以貨幣化數(shù)值的

形式衡量風(fēng)險大小。

9

GB/TXXXXX—XXXX

風(fēng)險量化分析對構(gòu)成風(fēng)險場景的要素和損失進(jìn)行賦值，通過量化分析模型分析各風(fēng)險場景發(fā)生的

概率和損失大小，計算各場景的風(fēng)險值，再對各風(fēng)險場景聚合計算整體風(fēng)險值。一種基于風(fēng)險場景的

風(fēng)險計算示例見附錄E。風(fēng)險量化分析結(jié)果可用于保險核保和定價。

6.2.3.4風(fēng)險評價

風(fēng)險評價是對風(fēng)險分析的結(jié)果進(jìn)行等級化、排序、統(tǒng)計等處理，以便應(yīng)用于保險核保和定價。風(fēng)

險評價包括但不限于下列方式：

a)等級化處理：對風(fēng)險分析結(jié)果按照數(shù)值大小劃分等級，為保險人根據(jù)風(fēng)險等級進(jìn)行核保時提

供參考；

b)風(fēng)險大小排列處理：對風(fēng)險分析結(jié)果按照數(shù)值大小進(jìn)行排列，通常根據(jù)風(fēng)險場景的量化分析

結(jié)果進(jìn)行排列，保險人根據(jù)結(jié)果確定主要風(fēng)險場景的風(fēng)險大小，為不同場景下?lián)p失賠償限額

提供參考；

c)統(tǒng)計分析：對風(fēng)險量化分析結(jié)果進(jìn)行統(tǒng)計分析，如損失的概率分布和損失大小百分位統(tǒng)計等，

為保險人確定保障限額和保費提供參考。

6.3保險核保與定價

保險人根據(jù)風(fēng)險評估結(jié)果開展保險核保與定價，判斷是否承保相關(guān)風(fēng)險并確定保費及保障限額。

保險人自身風(fēng)險偏好、網(wǎng)絡(luò)安全能力、網(wǎng)絡(luò)安全評級以及行業(yè)風(fēng)險水平等評估結(jié)果可以作為保險人核

保和定價的重要參考。

7保險期間風(fēng)險控制

7.1日常風(fēng)險管理

保險期內(nèi)，被保險人開展日常風(fēng)險管理，維護(hù)保險標(biāo)的安全。被保險人通過風(fēng)險管理技術(shù)手段及

時了解保險標(biāo)的的風(fēng)險變化情況，及時發(fā)現(xiàn)新增風(fēng)險并進(jìn)行處置。

被保險人在業(yè)務(wù)系統(tǒng)發(fā)生變更、信息系統(tǒng)更新，系統(tǒng)出現(xiàn)重大安全漏洞等情況時，需要及時關(guān)注

風(fēng)險變化情況，通過日常風(fēng)險管理手段控制風(fēng)險。如果被保險人未履行其對保險標(biāo)的的安全義務(wù)，保

險人可以拒絕承擔(dān)賠償責(zé)任。

被保險人可以自主開展日常風(fēng)險管理，也可以委托保險人或服務(wù)方。

7.2保險人風(fēng)險控制

保險人主動開展風(fēng)險監(jiān)測和預(yù)防管理等風(fēng)險控制活動。保險人風(fēng)險控制能夠協(xié)助被保險人控制或

管理風(fēng)險，維護(hù)保險標(biāo)的安全，對于損失預(yù)防和減損有積極作用。具體包括但不限于下列內(nèi)容：

a)識別風(fēng)險變化：通過風(fēng)險監(jiān)測等技術(shù)手段持續(xù)跟蹤保險標(biāo)的風(fēng)險狀況，識別新增風(fēng)險或顯著

變化的風(fēng)險；

b)風(fēng)險預(yù)警和通告：對新增風(fēng)險、顯著變化的風(fēng)險等情況進(jìn)行預(yù)警，及時通知被保險人進(jìn)行應(yīng)

急處置；

c)風(fēng)險預(yù)防管理：為被保險人提供風(fēng)險管理咨詢、風(fēng)險排查等服務(wù)，協(xié)助被保險人開展風(fēng)險預(yù)

防管理活動。

保險人可委托專業(yè)服務(wù)方也可自行開展風(fēng)險控制活動。

10

GB/TXXXXX—XXXX

7.3實施風(fēng)險控制

7.3.1風(fēng)險監(jiān)測

7.3.1.1監(jiān)測對象

風(fēng)險監(jiān)測對象包括保險標(biāo)的相關(guān)的資產(chǎn)，以及其他對保險標(biāo)的風(fēng)險產(chǎn)生較大影響的資產(chǎn)，如供應(yīng)

商和云租戶資產(chǎn)等，供應(yīng)商或云租戶發(fā)生安全事件也可能導(dǎo)致被保險人的損失。

7.3.1.2監(jiān)測內(nèi)容

風(fēng)險監(jiān)測內(nèi)容主要是影響保險標(biāo)的風(fēng)險變化的因素，包括但不限于以下內(nèi)容：

a)資產(chǎn)：信息系統(tǒng)的重大變更，新系統(tǒng)的部署和運行等；

b)威脅：新的攻擊方法或漏洞利用手段等；

c)脆弱性：新發(fā)現(xiàn)的重大漏洞或配置不當(dāng)?shù)龋?/p>

d)暴露面：人員信息、郵箱、代碼等在互聯(lián)網(wǎng)的暴露情況等；

e)行業(yè)風(fēng)險態(tài)勢：行業(yè)重大安全事件，行業(yè)相關(guān)重大漏洞等；

f)其他可能導(dǎo)致風(fēng)險變化的情況。

實施風(fēng)險監(jiān)測的保險人或服務(wù)方可以與被保險人協(xié)商風(fēng)險監(jiān)測內(nèi)容，以滿足風(fēng)險控制需要。

7.3.1.3監(jiān)測方法

風(fēng)險監(jiān)測一般采用不影響被保險人信息系統(tǒng)及業(yè)務(wù)運行的方式進(jìn)行，通常利用威脅情報分析、資

產(chǎn)探測、脆弱性掃描、行業(yè)信息收集等技術(shù)手段，結(jié)合風(fēng)險分析方法和大數(shù)據(jù)分析技術(shù)，及時分析發(fā)

現(xiàn)潛在風(fēng)險變化情況。

7.3.2風(fēng)險預(yù)防管理

風(fēng)險預(yù)防管理是為預(yù)防風(fēng)險發(fā)生以降低潛在損失所采取的安全活動，如釣魚郵件測試、安全意識

培訓(xùn)、滲透測試、漏洞掃描等。服務(wù)方式可采用遠(yuǎn)程非聯(lián)機或現(xiàn)場服務(wù)方式。服務(wù)方需確保服務(wù)人員、

過程和工具的安全可控。

7.3.3信息共享

被保險人通過信息共享方式向保險人或服務(wù)方提供與風(fēng)險變化相關(guān)信息，包括但不限于以下內(nèi)容：

a)被保險人在保險期內(nèi)所做的網(wǎng)絡(luò)安全服務(wù)；

b)被保險人重大的系統(tǒng)變更、更新和維護(hù)信息；

c)被保險人供應(yīng)鏈服務(wù)或系統(tǒng)的重大變更；

d)被保險人業(yè)務(wù)范圍、組織架構(gòu)、網(wǎng)絡(luò)拓?fù)涞戎卮笞兏?/p>

e)其他可能影響被保險人網(wǎng)絡(luò)安全風(fēng)險狀況變化的信息。

共享信息嚴(yán)格用于風(fēng)險控制活動中，保險人和服務(wù)方需確保信息的安全。

8出險后事件評估

8.1應(yīng)急響應(yīng)與索賠

被保險人出險后及時開展應(yīng)急響應(yīng)工作抑制網(wǎng)絡(luò)安全事件的影響，降低損失。在約定的時間內(nèi)向

保險人提出賠償請求。具體包括：

a)開展應(yīng)急響應(yīng)：及時開展應(yīng)急響應(yīng)工作，降低事件所造成的損失，并分析事件原因和影響；

11

GB/TXXXXX—XXXX

b)提出賠償請求：在約定時間內(nèi)向保險人通知網(wǎng)絡(luò)安全事件的信息，提出賠償請求；

c)配合保險人理賠：配合保險人進(jìn)行事件評估，提供應(yīng)急響應(yīng)工作說明或日志等信息。

被保險人在投保前與保險人溝通明確理賠流程，包括約定的時間和其他需要提供的信息。被保險

人可自行開展上述工作，也可委托服務(wù)方。

8.2實施事件評估

8.2.1安全事件鑒定

保險人針對被保險人報告的網(wǎng)絡(luò)安全事件進(jìn)行事故鑒定，包括對事件進(jìn)行溯源分析以及調(diào)查取證

分析等，并出具事故鑒定報告。保險人根據(jù)事件鑒定結(jié)果判定保險責(zé)任和損失。

事故鑒定報告的內(nèi)容包括但不限于：

a)事件發(fā)生的時間：確定網(wǎng)絡(luò)安全事件發(fā)生的時間是否在網(wǎng)絡(luò)安全保險合同有效期內(nèi)；

b)事件發(fā)生的地點：確定網(wǎng)絡(luò)安全事件發(fā)生的地點是否在網(wǎng)絡(luò)安全保險合同規(guī)定的范圍內(nèi)；

c)事件發(fā)生的原因：確定網(wǎng)絡(luò)安全事件發(fā)生的原因，并分析是否在網(wǎng)絡(luò)安全保險合同規(guī)定的保

障范圍內(nèi)；

d)事件分類，參照GB/T20986—2023的網(wǎng)絡(luò)安全事件分類；

e)事件定級，參照GB/T20986—2023的網(wǎng)絡(luò)安全事件分級；

f)事件發(fā)生后的應(yīng)急響應(yīng)及事件處置的情況；

g)事件相關(guān)安全防護(hù)措施的有效性；

h)事件對被保險人造成的影響評估；

i)其他網(wǎng)絡(luò)安全事件信息。

當(dāng)保險事故存在多個原因時，保險人根據(jù)近因原則確定保險事故原因，也即造成損失最直接、最

有效，起主導(dǎo)作用的原因。保險人承擔(dān)賠償責(zé)任的范圍限于近因造成的損失。因此在事故鑒定中，需

要對網(wǎng)絡(luò)安全事件的威脅源、攻擊方法、攻擊路徑等進(jìn)行分析，協(xié)助保險人判斷并確定事件產(chǎn)生的直

接原因，以支持保險人做出合理的理賠決策。若存在人為故意原因?qū)е戮W(wǎng)絡(luò)安全事件，保險人可根據(jù)

除外責(zé)任拒絕理賠。

8.2.2損失調(diào)查分析

損失調(diào)查分析是通過技術(shù)手段收集安全事件對被保險人造成影響的證據(jù)，以支持保險人進(jìn)行損失

評估，確定賠償金額。損失調(diào)查分析根據(jù)網(wǎng)絡(luò)安全事件分析損失的原因，與該事件相關(guān)的損失和損失

程度，并排查不在網(wǎng)絡(luò)安全保險保障范圍內(nèi)的損失。

損失調(diào)查分析的內(nèi)容包括但不限于：

a)安全事件造成的損失：與網(wǎng)絡(luò)安全事件相關(guān)的所有類型的損失，如因系統(tǒng)宕機造成業(yè)務(wù)無法

開展所導(dǎo)致的經(jīng)營損失，以及所付出的修復(fù)成本等；

b)安全事件造成的損失原因：分析與網(wǎng)絡(luò)安全事件相關(guān)聯(lián)的損失，排查不相關(guān)的損失；

c)損失程度：調(diào)查并收集與損失程度相關(guān)的信息和證據(jù)，如緩釋和控制風(fēng)險的費用支出證明和

相關(guān)工作文件；開展應(yīng)急響應(yīng)相關(guān)的工作文件和費用支出的證明等。

保險人在賠付被保險人因網(wǎng)絡(luò)安全事件導(dǎo)致的損失后取得追償權(quán)，通過網(wǎng)絡(luò)安全事件溯源分析、

調(diào)查取證等，確定網(wǎng)絡(luò)安全事件的責(zé)任主體，保留日志等相關(guān)證據(jù)，保險人可以向其追討賠償。例如

由于競爭對手對被保險人發(fā)起網(wǎng)絡(luò)攻擊造成營業(yè)中斷損失，保險人則可以向其競爭對手追討賠償。

12

GB/TXXXXX—XXXX

8.3保險理賠

保險人在理賠中主要確定事件責(zé)任是否屬于保險保障范圍，并評估損失金額及確定賠付金額。保

險人依據(jù)事件評估結(jié)果進(jìn)行理賠決策。

保險人在理賠中可提供相關(guān)服務(wù)，如應(yīng)急響應(yīng)支持、法律支持或公共關(guān)系管理等，協(xié)助被保險人

開展應(yīng)急響應(yīng)工作，降低事件影響。保險人可自行開展也可以委托服務(wù)方開展保險理賠中的相關(guān)工作。

13

GB/TXXXXX—XXXX

附錄A

（資料性）

網(wǎng)絡(luò)安全保險需求及應(yīng)用場景

A.1網(wǎng)絡(luò)安全保險需求分析

網(wǎng)絡(luò)安全保險需求包括：

a)完善風(fēng)險管理體系需要

網(wǎng)絡(luò)安全風(fēng)險不能完全消除，網(wǎng)絡(luò)安全保險是完善風(fēng)險管理體系的必要措施，能夠幫助企業(yè)建立

風(fēng)險管理閉環(huán)，優(yōu)化資源配置，降低總體成本。企業(yè)在實施風(fēng)險管理活動中，根據(jù)風(fēng)險評估結(jié)果，制

定風(fēng)險轉(zhuǎn)移策略，明確適合通過保險轉(zhuǎn)移的網(wǎng)絡(luò)安全風(fēng)險，形成網(wǎng)絡(luò)安全保險投保需求。

將網(wǎng)絡(luò)安全保險納入企業(yè)風(fēng)險管理策略，完善風(fēng)險管理體系，是網(wǎng)絡(luò)安全保險主要需求之一，也

是網(wǎng)絡(luò)安全保險應(yīng)用的主要目的。對于風(fēng)險管理意識強，風(fēng)險防范措施完善的中大型企業(yè)，通常考慮

網(wǎng)絡(luò)安全保險來進(jìn)一步增強自身的風(fēng)險防范能力。

b)補充網(wǎng)絡(luò)安全建設(shè)需要

網(wǎng)絡(luò)安全事件一方面給企業(yè)造成直接經(jīng)濟損失，如重要系統(tǒng)中斷造成營業(yè)收入損失；另一方面企

業(yè)投入應(yīng)急處置、恢復(fù)經(jīng)營、應(yīng)對調(diào)查、處理賠償和解決法律訴訟案件時會產(chǎn)生高額費用。對于安全

建設(shè)投入相對有限的中小型企業(yè)而言，一次嚴(yán)重的網(wǎng)絡(luò)安全事件造成的損失可能導(dǎo)致企業(yè)生存危機或

倒閉。在網(wǎng)絡(luò)安全建設(shè)投入相對有限時，中小型企業(yè)可以通過網(wǎng)絡(luò)安全保險來補充或輔助網(wǎng)絡(luò)安全建

設(shè)，防范較為嚴(yán)重的網(wǎng)絡(luò)安全風(fēng)險。同時，在保險期間，中小企業(yè)通過保險公司提供的風(fēng)險管理相關(guān)

服務(wù)，獲得一定的風(fēng)險監(jiān)測和預(yù)警的能力，輔助自身的安全建設(shè)，形成相對完善且低成本的風(fēng)險管理

解決方案。

因此對于網(wǎng)絡(luò)安全建設(shè)能力不足或投入相對有限的中小型企業(yè)，可通過網(wǎng)絡(luò)安全保險補充或輔助

建立低成本的風(fēng)險防范能力，當(dāng)發(fā)生較嚴(yán)重的網(wǎng)絡(luò)安全事件時提供風(fēng)險保障，降低損失。

c)滿足合同約定需求

當(dāng)企業(yè)對外提供產(chǎn)品或服務(wù)時，采購方在合同中基于保障自身風(fēng)險管控的需要，明確要求服務(wù)或

產(chǎn)品提供方購買網(wǎng)絡(luò)安全保險，此時服務(wù)方為滿足合同約定要求，需要購買網(wǎng)絡(luò)安全保險。通常在電

商服務(wù)平臺、數(shù)據(jù)產(chǎn)品或服務(wù)提供方等類型企業(yè)在對其他用戶提供產(chǎn)品或服務(wù)時，會存在合同約定的

保險需求。

對于具有大量供應(yīng)商的大型制造業(yè)企業(yè)，由于供應(yīng)鏈引入的安全風(fēng)險往往對于企業(yè)自身造成較大

的風(fēng)險管理成本，因此企業(yè)出于自身風(fēng)險管控的需要，將網(wǎng)絡(luò)安全保險作為供應(yīng)鏈準(zhǔn)入的要求之一。

一旦因供應(yīng)鏈安全風(fēng)險導(dǎo)致企業(yè)自身的損失和影響，企業(yè)可以向供應(yīng)鏈企業(yè)索賠，此時供應(yīng)鏈企業(yè)所

購買的網(wǎng)絡(luò)安全保險將覆蓋該賠償損失，從而降低了系統(tǒng)性風(fēng)險。

d)為網(wǎng)絡(luò)安全產(chǎn)品提高信譽保障

網(wǎng)絡(luò)安全企業(yè)為用戶提供網(wǎng)絡(luò)安全產(chǎn)品或解決方案的同時，為網(wǎng)絡(luò)安全產(chǎn)品投保網(wǎng)絡(luò)安全保險，

當(dāng)用戶因產(chǎn)品防護(hù)不當(dāng)發(fā)生網(wǎng)絡(luò)安全事件所造成損失，可以由網(wǎng)絡(luò)安全保險賠償。網(wǎng)絡(luò)安全企業(yè)通過

為產(chǎn)品購買網(wǎng)絡(luò)安全保險的方式，為使用產(chǎn)品的用戶提供了額外的風(fēng)險保障能力，從而增強了用戶使

用安全產(chǎn)品的信心，提高了安全產(chǎn)品競爭力。

目前典型的面向網(wǎng)絡(luò)安全產(chǎn)品的保險包括針對勒索軟件防護(hù)的產(chǎn)品和針對DDOS攻擊的防護(hù)產(chǎn)品等，

如勒索軟件安全防護(hù)保險，保障使用防勒索軟件產(chǎn)品的用戶在在遭受勒索軟件攻擊時，產(chǎn)生的應(yīng)急響

應(yīng)費用或處置費用等；DDOS攻擊損失補償保險，則主要保障采用抗DDOS產(chǎn)品的用戶遭到DDoS攻擊而產(chǎn)

生的營業(yè)中斷損失和為減少營業(yè)中斷而產(chǎn)生的抗DDOS攻擊的額外費用。

14

GB/TXXXXX—XXXX

A.2網(wǎng)絡(luò)安全保險必要性

網(wǎng)絡(luò)安全保險作為企業(yè)數(shù)字化過程中防范風(fēng)險損失的有效手段，其損失補償功能和防災(zāi)減損作用

有助于降低企業(yè)數(shù)字化進(jìn)程中的安全風(fēng)險，進(jìn)一步健全企業(yè)網(wǎng)絡(luò)安全風(fēng)險管理體系，優(yōu)化資源配置，

降低總體成本，保障企業(yè)網(wǎng)絡(luò)信息安全。當(dāng)前我國處于數(shù)字經(jīng)濟高速發(fā)展時期，網(wǎng)絡(luò)安全保險對于保

障經(jīng)濟發(fā)展、維護(hù)社會穩(wěn)定，防范數(shù)字經(jīng)濟風(fēng)險，具有重要意義：

a)幫助企業(yè)建立全面的網(wǎng)絡(luò)風(fēng)險管理體系，提高社會整體風(fēng)險管理意識和風(fēng)險防范能力

網(wǎng)絡(luò)安全保險的產(chǎn)業(yè)化發(fā)展不僅有助于企業(yè)構(gòu)建完整的風(fēng)險管理閉環(huán)，同時，在網(wǎng)絡(luò)安全保險應(yīng)

用中，不論從投保企業(yè)制定風(fēng)險轉(zhuǎn)移策略，還是保險機構(gòu)開展的風(fēng)險評估和風(fēng)險控制服務(wù)，均會對企

業(yè)整體風(fēng)險管理意識和風(fēng)險管理能力的提升有極大促進(jìn)作用，從而提高社會整體風(fēng)險防范能力。

b)網(wǎng)絡(luò)安全保險對于風(fēng)險管理的專業(yè)性能夠提高企業(yè)經(jīng)營效率，優(yōu)化社會資源配置

網(wǎng)絡(luò)安全保險作為財產(chǎn)險的一種也具備傳統(tǒng)保險對于風(fēng)險管理和成本管理的專業(yè)能力，包括人才、

技術(shù)、數(shù)據(jù)以及資本等方面，能夠為企業(yè)提供全面的網(wǎng)絡(luò)風(fēng)險應(yīng)對方案，保護(hù)核心資產(chǎn)并優(yōu)化資源配

置，幫助企業(yè)在最優(yōu)成本下最大程度防范安全風(fēng)險，確保企業(yè)經(jīng)營效率的最大化。

c)促進(jìn)網(wǎng)絡(luò)安全新業(yè)態(tài)發(fā)展，提高社會整體網(wǎng)絡(luò)安全治理能力

網(wǎng)絡(luò)安全保險需求的多樣化和網(wǎng)絡(luò)安全保險+安全服務(wù)的創(chuàng)新模式，能夠激活網(wǎng)絡(luò)安全產(chǎn)業(yè)，形成

新的網(wǎng)絡(luò)安全產(chǎn)業(yè)生態(tài)和安全服務(wù)模式，擴大網(wǎng)絡(luò)安全市場規(guī)模。通過網(wǎng)絡(luò)安全保險市場的發(fā)展，企

業(yè)、安全廠商、服務(wù)商和保險機構(gòu)參與到產(chǎn)業(yè)鏈中，在增強企業(yè)防范網(wǎng)絡(luò)安全風(fēng)險的同時，提高網(wǎng)絡(luò)

安全產(chǎn)業(yè)融合發(fā)展能力，也將整體提升社會網(wǎng)絡(luò)安全治理能力。

A.3網(wǎng)絡(luò)安全保險應(yīng)用場景及示例

a)企業(yè)根據(jù)風(fēng)險管理要求為自身或特定重要業(yè)務(wù)系統(tǒng)購買網(wǎng)絡(luò)安全保險

企業(yè)根據(jù)自身風(fēng)險管理情況、運營情況、行業(yè)安全風(fēng)險等因素制定網(wǎng)絡(luò)安全風(fēng)險轉(zhuǎn)移策略，形成

保險需求。保險公司依據(jù)自身風(fēng)險偏好、法律規(guī)定、市場慣例等因素為企業(yè)提供多種類型保險產(chǎn)品以

滿足企業(yè)需求。企業(yè)可根據(jù)不同保險產(chǎn)品之間的差異性以選擇最佳網(wǎng)絡(luò)安全風(fēng)險管理策略。下面列舉

了該應(yīng)用場景下典型網(wǎng)絡(luò)安全相關(guān)保險產(chǎn)品和示例：

表A.1典型網(wǎng)絡(luò)安全相關(guān)保險產(chǎn)品和示例

保險產(chǎn)品類型保險保障范圍投保人被保險人

網(wǎng)絡(luò)安全財產(chǎn)損失保險主要承保被保險人因網(wǎng)

絡(luò)安全事件導(dǎo)致的直接

經(jīng)濟損失，一般稱為

“第一方損失”

投保人同時作為被保險人；或

網(wǎng)絡(luò)安全責(zé)任保險主要承保投保方因網(wǎng)絡(luò)

投保人自身及其相關(guān)聯(lián)公司作為共同

安全事件引發(fā)的對第三

被保險人（被保險人不限制數(shù)量，在

方（受影響個人或機

單獨法人單位保險單列明即可）；或

構(gòu)）的法定賠償責(zé)任，

投保人相關(guān)聯(lián)公司作為被保險人（被

一般稱為“第三者責(zé)

保險人不限制數(shù)量，在保險單列明即

任”

可）

網(wǎng)絡(luò)安全綜合險可同時承保被保險人因

網(wǎng)絡(luò)安全事件導(dǎo)致的第

一方損失以及第三者責(zé)

任

b)企業(yè)為安全產(chǎn)品投保保障使用該產(chǎn)品的用戶

網(wǎng)絡(luò)安全企業(yè)為提高自身安全產(chǎn)品的信譽和競爭力，通過為產(chǎn)品購買網(wǎng)絡(luò)安全保險的方式，為使

用產(chǎn)品的用戶提供了風(fēng)險保障能力。典型可投保的網(wǎng)絡(luò)安全產(chǎn)品包括防勒索產(chǎn)品、DDoS攻擊解決方案、

數(shù)據(jù)防泄露產(chǎn)品等，網(wǎng)絡(luò)安全公司將保險作為產(chǎn)品附帶的風(fēng)險保障手段，為使用產(chǎn)品的用戶提供安全

15

GB/TXXXXX—XXXX

服務(wù)的同時，針對用戶可能發(fā)生的網(wǎng)絡(luò)勒索損失、營業(yè)中斷損失、應(yīng)急響應(yīng)費用、數(shù)據(jù)安全責(zé)任等提

供損失補償。產(chǎn)品示例如下：

表A.2典型保險產(chǎn)品和示例

安全產(chǎn)品種類保險產(chǎn)品類型保險保障范圍投保人被保險人

保障被保險人在安裝了經(jīng)

保險公司評估認(rèn)可的防勒銷售防勒索軟件的安

防勒索軟件勒索軟件安全索軟件的情況下，仍中勒全服務(wù)公司；或購買防勒索軟件的最終

產(chǎn)品防護(hù)保險索病毒，并由此產(chǎn)生的應(yīng)購買防勒索軟件的最企業(yè)用戶

急響應(yīng)費用或勒索處置費終企業(yè)用戶

用等。

主要保障被保險人遭到基

銷售抗D產(chǎn)品或解決

礎(chǔ)防護(hù)之上的DDoS攻擊

抗DDoS產(chǎn)品DDoS攻擊損失方案的法人單位；或購買抗D產(chǎn)品或解決方

而產(chǎn)生的營業(yè)中斷損失和

或解決方案補償保險購買抗D產(chǎn)品或解決案的最終企業(yè)用戶

為減少營業(yè)中斷而產(chǎn)生的

方案的最終企業(yè)用戶

抗D費用。

16

GB/TXXXXX—XXXX

附錄B

（資料性）

網(wǎng)絡(luò)安全保險單示例

保險人為投保人提供網(wǎng)絡(luò)安全保險保障政策，并在網(wǎng)絡(luò)安全保險單中注明保險所涵蓋的網(wǎng)絡(luò)風(fēng)險

損失類型。該保險單中列明的保險保障方案需基于投保人的網(wǎng)絡(luò)安全風(fēng)險評估結(jié)果。投保人可選擇獨

立保單形式，僅針對事先約定的網(wǎng)絡(luò)安全風(fēng)險、損失展開保險保障，或選擇復(fù)合保單形式，在已有責(zé)

任險、財產(chǎn)險或其他保險基礎(chǔ)上針對網(wǎng)絡(luò)安全風(fēng)險進(jìn)行擴展投保。

網(wǎng)絡(luò)安全保險單示例如下：

XX保險公司

網(wǎng)絡(luò)安全保險單

保險類型

XXXX網(wǎng)絡(luò)安全保險

（該處注明本保險單適用的保險條款名稱）

保險人

XXXX保險公司XXXX分公司

投保人

A公司

被保險人

A公司

（被保險人可與投保人不一致，且允許多個被保險人在同一張保險單中進(jìn)行投保）

保險期限

XX年XX月XX日至XX年XX月XX日

（保險期間為1年）

責(zé)任限額（購買所有保障）

RMBXXXX

保障及分項責(zé)任限額

保險責(zé)任分項責(zé)任限額

營業(yè)中斷損失保單總限額或保險總限額的XX%

應(yīng)急響應(yīng)費用保單總限額或保險總限額的XX%

網(wǎng)絡(luò)勒索費用保單總限額或保險總限額的XX%

17

GB/TXXXXX—XXXX

數(shù)據(jù)泄露責(zé)任保單總限額或保險總限額的XX%

網(wǎng)絡(luò)安全責(zé)任保單總限額或保險總限額的XX%

媒體責(zé)任保單總限額或保險總限額的XX%

免賠額/等待期

地域范圍及司法管轄

保費

特別約定

18

GB/TXXXXX—XXXX

附錄C

（資料性）

網(wǎng)絡(luò)安全保險其他考慮事項

C.1保險金額

針對網(wǎng)絡(luò)安全保險保障范圍，對其中的每一項內(nèi)容，投保人或被保險人需仔細(xì)確定并考慮要獲得

多少保障額度，它也是計算保險費的依據(jù)。投保人或被保險人可以獲得的網(wǎng)絡(luò)保險保障額度取決于其

營業(yè)額、行業(yè)、運營和該項保障范圍的風(fēng)險大小。

C.2免賠額和等待期

投保人需要了解網(wǎng)絡(luò)安全保險中的免賠額和等待期，每次事故免賠額（率）和等待期由投保人與

保險人在簽訂保險合同時協(xié)商確定，并在保險合同中說明。

C.3常見除外責(zé)任

網(wǎng)絡(luò)安全保險并不能覆蓋所有風(fēng)險情況，投保人在選擇網(wǎng)絡(luò)安全保險產(chǎn)品時，需對保險條款中的

除外責(zé)任有明確的認(rèn)識，一般除外責(zé)任包括但不限于：

a)身體傷害和財產(chǎn)損失除外。網(wǎng)絡(luò)安全事件不涉及對人的精神損害和直接的物質(zhì)財產(chǎn)損失，因

此這兩項責(zé)任一般被排除在網(wǎng)絡(luò)保險保障范圍之外。但保險人與被保險人可以在保單中約定

將有法院判決的精神損害納入到保單保障范圍中。

b)網(wǎng)絡(luò)戰(zhàn)爭除外。一般網(wǎng)絡(luò)安全保險都將因網(wǎng)絡(luò)戰(zhàn)爭導(dǎo)致的損失賠償責(zé)任排除在外，以及針對

網(wǎng)絡(luò)的恐怖主義行為也被排除在外。

c)不當(dāng)行為除外。被保險人的不當(dāng)行為包括被保險人及其雇員所做的任何不誠實、欺詐或故意

的不當(dāng)行為，或其他能夠讓被保險人得到原本依照法律法規(guī)、被保險人經(jīng)營規(guī)則或其他相關(guān)

規(guī)定不能獲得的利益的行為。

d)違法行為除外。因被保險人違反法律或法規(guī)要求的行為而引起的網(wǎng)絡(luò)事故損失除外。

e)懲罰責(zé)任除外。由于網(wǎng)絡(luò)安全事件，國家行政機關(guān)對被保險人的罰金、罰款或懲罰性賠償?shù)?/p>

懲罰責(zé)任不在保單保障范圍內(nèi)。

f)任何基礎(chǔ)設(shè)施故障或供應(yīng)中斷責(zé)任除外。排除因基礎(chǔ)設(shè)施故障而導(dǎo)致的網(wǎng)絡(luò)事件和數(shù)據(jù)泄露

事件，包括但不限于：

?機械故障，包括但不限于任何計算機及周邊設(shè)備有形財產(chǎn)本身的物理性故障、腐蝕、磨

損或失竊；

?電氣故障，包括但不限于電力或電壓突然升高、過載、短路等；

?公共供應(yīng)系統(tǒng)故障，包括但不限于供電、供水、供氣中斷等；

?第三方通訊系統(tǒng)、電信系統(tǒng)、衛(wèi)星系統(tǒng)、互聯(lián)網(wǎng)服務(wù)等的中斷或故障；

g)侵犯知識產(chǎn)權(quán)或商業(yè)秘密責(zé)任除外。被保險人侵犯知識產(chǎn)權(quán)或商業(yè)秘密的責(zé)任由其他保險產(chǎn)

品覆蓋，不在網(wǎng)絡(luò)安全保險單承保范圍內(nèi)。

h)自然災(zāi)害和不可抗力除外。自然災(zāi)害、不可抗力或超出雙方合理控制范圍的特殊事件或情況，

包括但不限于罷工、暴動、犯罪、流行性疾病、突然的法律變化、洪水、地震、滑坡、閃電、

風(fēng)甚至火災(zāi)通常被排除在網(wǎng)絡(luò)安全保險保單承保范圍之外。

19

GB/TXXXXX—XXXX

附錄D

（資料性）

保險業(yè)務(wù)活動與網(wǎng)絡(luò)安全

與傳統(tǒng)財產(chǎn)保險類似，網(wǎng)絡(luò)安全保險的應(yīng)用通常包括展業(yè)、投保、承保、分保、防災(zāi)、理賠等主

要業(yè)務(wù)活動。本附錄對其中與網(wǎng)絡(luò)安全技術(shù)應(yīng)用相關(guān)的投保、承保、防災(zāi)、理賠等活動進(jìn)行簡要介紹。

a)投保

投保也稱購買保險，投保人可以通過保險公司業(yè)務(wù)人員或保險中介購買保險。投保人有責(zé)任自覺

增強風(fēng)險和保險意識；同時，保險人為投保人提供良好的服務(wù)，使投保人選擇合適的網(wǎng)絡(luò)安全保險。

網(wǎng)絡(luò)安全風(fēng)險評估是投保過程中非常重要的環(huán)節(jié)，一方面投保人根據(jù)風(fēng)險評估結(jié)果制定風(fēng)險轉(zhuǎn)移的策

略，形成網(wǎng)絡(luò)安全保險需求；另一方面保險人根據(jù)評估結(jié)果判斷是否可以承保相關(guān)風(fēng)險，并為投保人

設(shè)計滿足其需求的保險方案。一般來說，投保人確定保險需求的首要原則是“高額損失原則”，即某

一網(wǎng)絡(luò)安全事件發(fā)生的概率不高，但造成的損失較大，應(yīng)優(yōu)先投保；相反，如果網(wǎng)絡(luò)安全事件發(fā)生的

概率很高，但造成的損失并不嚴(yán)重，則更宜采取相應(yīng)的網(wǎng)絡(luò)安全措施降低其風(fēng)險。

b)承保

承保是指保險人與投保人雙方通過協(xié)商，對保險合同內(nèi)容達(dá)成一致并簽訂的過程。通常保險人對

投保人的投保需求要進(jìn)行審核，只有符合條件的風(fēng)險，保險人才同意承保。通過承保過程，保險人可

以篩選不可保風(fēng)險或不合格的保險標(biāo)的，合理分散風(fēng)險。承保的目的除了保險人自身風(fēng)險管理的要求，

同時也通過識別和篩選風(fēng)險，從而間接促使被保險人采取有效風(fēng)險管理措施，以滿足承保要求。因此，

保險人在承保時需要評估保險標(biāo)的的風(fēng)險狀況，可能發(fā)生的最大損失等；在承保后，還要定期監(jiān)測保

險標(biāo)的的風(fēng)險是否發(fā)生變化等，如果某個保險標(biāo)的的風(fēng)險顯著增加，保險人可能需要通過提高保險費，

或者增加保險限制條件等方式來分散自身的風(fēng)險。

c)防災(zāi)

防災(zāi)是指保險期間的防災(zāi)防損活動，保險人與投保人對所承保的保險標(biāo)的采取措施，減少或消除

風(fēng)險發(fā)生的因素，防止或減少網(wǎng)絡(luò)安全事件造成的損失。網(wǎng)絡(luò)安全保險中防災(zāi)防損的對象是保險標(biāo)的，

防災(zāi)防損的方法包括法律、經(jīng)濟、技術(shù)等多種手段。其中法律手段是指投保人如果不加強防災(zāi)措施或

對于防災(zāi)防損沒有應(yīng)盡責(zé)任，保險人可以拒絕承擔(dān)賠償責(zé)任，也可能會追究其法律責(zé)任；經(jīng)濟手段則

是指根據(jù)投保人采取的防災(zāi)措施水平來調(diào)節(jié)保險費率。在網(wǎng)絡(luò)安全保險中，由于網(wǎng)絡(luò)安全風(fēng)險的動態(tài)

特性，對保險標(biāo)的進(jìn)行風(fēng)險監(jiān)測和預(yù)防管理是防災(zāi)防損的重要技術(shù)手段。在保險期內(nèi)，網(wǎng)絡(luò)安全風(fēng)險

可能因內(nèi)外部環(huán)境變化而發(fā)生變化，保險人需要開展相應(yīng)的風(fēng)險監(jiān)測和預(yù)防管理活動，及時了解被保

險人的風(fēng)險變化情況，并要求被保險人采取相應(yīng)控制措施將風(fēng)險變化控制在合理范圍。

d)理賠

理賠是指保險人在保險標(biāo)的發(fā)生網(wǎng)絡(luò)安全事件后，對被保險人提出的索賠請求進(jìn)行處理的行為。

在理賠過程中，由于被保險人發(fā)生網(wǎng)絡(luò)安全事件所造成的損失可能存在不再承保范圍的情況，而且被

保險人發(fā)生的損失也可能不等于保險人的賠償額。所以，在網(wǎng)絡(luò)安全事件發(fā)生后，保險人對網(wǎng)絡(luò)安全

事件進(jìn)行調(diào)查，確定損失原因、確定損失程度、認(rèn)定求償權(quán)利，并根據(jù)調(diào)查結(jié)果做出賠償決定，履行

保險人的賠償和給付保險金的責(zé)任。

20

GB/TXXXXX—XXXX

附錄E

（資料性）

基于風(fēng)險場景的量化分析方法

E.1風(fēng)險場景示例

下面列舉了典型的網(wǎng)絡(luò)安全事件相關(guān)風(fēng)險場景：

a)網(wǎng)絡(luò)攻擊導(dǎo)致營業(yè)中斷的風(fēng)險場景

黑客組織（威脅）利用信息系統(tǒng)訪問未進(jìn)行流量控制（脆弱性）的弱點，對投保人實施拒絕服務(wù)

攻擊（攻擊方法），造成投保人業(yè)務(wù)系統(tǒng)（資產(chǎn)）無法正常訪問（安全事件），從而給投保人造成營

業(yè)中斷的影響（損失）。該風(fēng)險場景代表了典型的網(wǎng)絡(luò)攻擊事件造成營業(yè)中斷的風(fēng)險。而識別風(fēng)險場

景中所涉及的不同要素的組合，能夠建立與網(wǎng)絡(luò)攻擊事件相關(guān)的風(fēng)險場景，從而能夠評估網(wǎng)絡(luò)攻擊風(fēng)

險的大小。

b)惡意程序?qū)е戮W(wǎng)絡(luò)勒索的風(fēng)險場景

黑客組織（威脅）通過發(fā)送帶有勒索病毒附件的釣魚郵件（攻擊方法），內(nèi)部人員因安全意識薄

弱（脆弱性）點擊附件導(dǎo)致終端及內(nèi)部重要系統(tǒng)遭受勒索病毒攻擊（安全事件），導(dǎo)致投保人重要業(yè)

務(wù)系統(tǒng)及運行數(shù)據(jù)（資產(chǎn)）被加密，造成投保人的業(yè)務(wù)系統(tǒng)無法正常訪問，影響投保人的正常工作效

率，同時產(chǎn)生系統(tǒng)恢復(fù)費用（損失）。該風(fēng)險場景代表了典型的惡意程序事件造成的網(wǎng)絡(luò)勒索或業(yè)務(wù)

中斷的風(fēng)險。識別風(fēng)險場景中所涉及的不同要素的組合，能夠建立與惡意程序事件相關(guān)的風(fēng)險場景，

從而能夠評估惡意程序風(fēng)險的大小。

c)數(shù)據(jù)安全事件導(dǎo)致數(shù)據(jù)泄露的風(fēng)險場景

內(nèi)部運維人員（威脅）配置訪問控制策略不當(dāng)（脆弱性），導(dǎo)致內(nèi)部普通員工可以訪問客戶數(shù)據(jù)

（資產(chǎn)），內(nèi)部員工直接訪問并拷貝客戶數(shù)據(jù)（攻擊方法）造成投保人客戶數(shù)據(jù)泄露，導(dǎo)致投保人承

擔(dān)客戶索賠，同時帶來聲譽受損以及相應(yīng)的危機公關(guān)成本（損失）。該風(fēng)險場景代表了典型的數(shù)據(jù)安

全事件造成的數(shù)據(jù)泄露的風(fēng)險。

21

GB/TXXXXX—XXXX

E.2風(fēng)險量化分析示例

在建立風(fēng)險場景的基礎(chǔ)上，對構(gòu)成風(fēng)險場景的各風(fēng)險要素進(jìn)行賦值：風(fēng)險場景S=（威脅、資產(chǎn)、

脆弱性，攻擊方法，安全事件）=（T，A，V，Av，E）。其中資產(chǎn)中包含了作用于其上的相關(guān)控制措

施，用C表示，由于控制措施與具體保護(hù)的資產(chǎn)相關(guān)，所以不直接在風(fēng)險場景要素組合中顯示。根據(jù)被

保險人風(fēng)險識別的情況，構(gòu)建風(fēng)險場景集合S=（S1,S2,S3…Sn），然后對每個風(fēng)險場景采用適當(dāng)?shù)挠?/p>

算方法和工具計算風(fēng)險量化值Ri，再對集合中風(fēng)險場景值進(jìn)行聚合計算，形成總體風(fēng)險值R。上述風(fēng)險

計算包括以下幾個過程：

a)計算風(fēng)險場景發(fā)生的可能性

風(fēng)險場景的發(fā)生代表該風(fēng)險場景對應(yīng)的安全事件已實際造成損失，因此風(fēng)險場景發(fā)生的可能性也

即造成損失的安全事件發(fā)生的可能性，下面稱為損失事件。在計算損失事件發(fā)生的可能性時，首先根

據(jù)該風(fēng)險場景所對應(yīng)的威脅，資產(chǎn)，脆弱性，攻擊方法等賦值，計算威脅事件發(fā)生的可能性，即：

威脅事件發(fā)生的可能性=TP（威脅賦值，資產(chǎn)，脆弱性,攻擊方法）=TP（T，A，V，Av）。在威

脅事件發(fā)生的可能性計算中，要綜合考慮威脅源實施攻擊的能力、資產(chǎn)屬性（資產(chǎn)的重要性以及資產(chǎn)

所具有的控制措施）等因素判斷威脅事件發(fā)生的可能性。

再計算威脅事件轉(zhuǎn)化為損失事件的可能性，即：

轉(zhuǎn)化為損失事件的可能性=P（威脅賦值，控制措施，脆弱性，攻擊方法）=P（T,C,V,Av）。

在轉(zhuǎn)化為損失事件可能性的計算中，要綜合考慮攻擊者技術(shù)能力（利用該攻擊方法的熟練程度），脆

弱性被該攻擊方法利用的難易程度，以及控制措施對該攻擊方法的防范能力。

最后計算損失事件發(fā)生的可能性，即：

損失事件發(fā)生的可能性=L（威脅事件發(fā)生的可能性、轉(zhuǎn)化為損失事件的可能性）=L（TP,P）。

b)計算風(fēng)險場景造成的損失

根據(jù)資產(chǎn)價值，以及安全事件類型和損失類型，計算損失事件一旦發(fā)生后的損失大小，即：

損失事件造成的損失=F（資產(chǎn)價值，安全事件）=F（A,E）。其中資產(chǎn)價值對損失的程度有影

響，事件類型則決定會產(chǎn)生哪些類型的損失，并在計算中將安全事件相關(guān)的所有損失項進(jìn)行累計。

c)計算風(fēng)險場景的風(fēng)險值

根據(jù)計算出的損失事件發(fā)生的可能性以及損失事件造成的損失，計算該風(fēng)險場景的風(fēng)險值，即：

風(fēng)險場景風(fēng)險值=R（損失事件發(fā)生的可能性，損失事件造成的損失）=R（L（TP,P），F(xiàn)（A,

E））。

d)計算風(fēng)險場景聚合值

根據(jù)風(fēng)險場景的集合，計算風(fēng)險場景的聚合值，即：

風(fēng)險場景聚合值=RA（風(fēng)險場景1風(fēng)險值，風(fēng)險場景2風(fēng)險值，…風(fēng)險場景N風(fēng)險值）=R（R1，

R2，…，Rn）。其中RA表示風(fēng)險聚合函數(shù)，根據(jù)集合中風(fēng)險場景之間的關(guān)系確定計算方法，對所有評

估的風(fēng)險場景的風(fēng)險聚合結(jié)果反應(yīng)了整體風(fēng)險大小。

22

GB/TXXXXX—XXXX

參考文獻(xiàn)

[1]GB/T20985.1/2《信息技術(shù)安全技術(shù)信息安全事件管理第1部分：事件管理原理/第2部

分：事件響應(yīng)規(guī)劃和準(zhǔn)備指南》

[2]GB/T22239—2019信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求

[3]GB/Z24364—2009信息安全技術(shù)信息安全風(fēng)險管理指南

[4]GB/T25069—2022信息安全技術(shù)術(shù)語

[5]GB/T31509—2015信息安全技術(shù)信息安全風(fēng)險評估實施指南

[6]GB/T31722—2015信息技術(shù)安全技術(shù)信息安全風(fēng)險管理

[7]GB/T36635—2018信息安全技術(shù)網(wǎng)絡(luò)安全監(jiān)測基本要求與實施指南

[8]GB/T36687—2018保險術(shù)語

[9]GB/T38645—2020信息安全技術(shù)網(wǎng)絡(luò)安全事件應(yīng)急演練指南

[10]GB/T39204—2022信息安全技術(shù)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)要求

[11]ISO/IEC27002:2013,Informationtechnology—Securitytechniques—Codeof

practiceforinformationsecuritycontrols

[12]ISO/IEC27003:2010,Informationtechnology—Securitytechniques—Information

securitymanagementsystemimplementationguidance

[13]ISO/IEC27004:2016,Informationtechnology—Securitytechniques—Information

securitymanagement—Monitoring,measurement,analysisandevaluation

[14]ISO/IEC27005,Informationtechnology—Securitytechniques—Information

securityriskmanagement

[15]ISO/IEC27102,Informationsecuritymanagement—Guidelinesforcyber-insurance

[16]ISO30301,Informationanddocumentation—Managementsystemsforrecords—

Requirements

[17]ISO31000,Riskmanagement—Principlesandguidelines

[18]ISO/IEC27072,Informationtechnology—Securitytechniques—Guidelinesfor

informationsecur