由于缺乏对相关概念、流程和方法相关的标准,导致在实际业务开展过程中存在诸多问题。对于市场需求方的投保企业而言,如果没有清晰理解网络安全保险对于风险管理的作用是什么,通过网络安全保险能够转移哪些网络安全风险,以及当发生哪些网络安全事件所导致的损失能够通过保险赔偿,对于网络安全保险中的保障范围等概念包括哪些内容等等问题,都会对投保企业真正应用网络安全保障带来障碍。
对于市场供给方的保险公司而言,网络安全保险属于财产险范畴,但网络安全风险却与传统财产险中的风险有很大区别,保险公司从损失的角度看待风险与企业看到的网络安全风险也存在理解上的差异,如不能直接将损失与投保企业的安全问题和可能发生的安全事件直接对应,因此会导致在网络安全保险的实际应用过程中,风险评估的技术方法和目的,是否需要采用风险控制,以及在出险后如何应对等均在应用的难点,从而使得保险公司在承保网络安全风险时持谨慎态度,也不利于网络安全保险供给的释放,不利于市场的健康发展。
安全419了解到,全国信安标委日前发布了国家标准《信息安全技术 网络安全保险应用指南》征求意见稿(以下简称《指南》),作为首个该领域的国家标准,从网络安全保险的实际应用过程出发,切实解决投保企业对于网络安全保险缺乏统一理解,对网络安全风险和保险保障范围认知差异较大,以及网络安全保险应用中的基本方法等问题。
根据《指南》,网络安全保险保障范围包括可承保的网络安全事件和损失类型。网络安全事件包括恶意程序事件、网络攻击事件、数据安全事件、违规操作事件等,类型描述如下:
网络安全事件造成的损失包括第一方损失和第三者责任。第一方损失包括网络安全事件给被保险人自身造成的直接经济损失,如营业中断损失、网络勒索损失等,以及应急响应所产生的费用等;第三者责任包括被保险人因网络安全事件引发的对第三者(例如受影响个人或机构等)的法定赔偿责任,如数据泄露责任、网络安全责任、媒体责任等。
《指南》还明确了网络安全保险应用流程,包括投保前风险评估、保险期间风险控制、出险后事件评估几个阶段。
投保前风险评估:
l 被保险人在投保前开展风险自评估,针对网络安全保险保障范围中的事件类型和损失类型,评估网络安全事件发生可能性和损失大小。
l 依据自评估结果制定风险转移策略,确定适合通过保险转移的风险。
l 下一步可提出提出保险需求,保险人根据已有的网络安全保险产品制定保险方案,如果网络安全保险产品无法满足保险需求,可与保险人协商,根据需求开发新的网络安全保险产品。
l 保险人根据确定的保险需求对被保险人实施风险评估,参考GB/T 20984—2022,包括风险识别、风险分析、风险评价等主要过程。
保险期间风险控制:
l 保险期内,被保险人开展日常风险管理,维护保险标的安全。被保险人通过风险管理技术手段及时了解保险标的的风险变化情况,及时发现新增风险并进行处置。
l 保险人主动开展风险监测和预防管理等风险控制活动,包括但不限于识别风险变化、风险预警和通告、风险预防管理。保险人可委托专业服务方也可自行开展风险控制活动。
l 实施风险监测,对象包括保险标的相关的资产,以及其他对保险标的风险产生较大影响的资产,如供应商和云租户资产等,供应商或云租户发生安全事件也可能导致被保险人的损失。
出险后事件评估:
l 被保险人出险后及时开展应急响应工作抑制网络安全事件的影响,降低损失。在约定的时间内向保险人提出赔偿请求。
l 保险人针对被保险人报告的网络安全事件进行事故鉴定,包括对事件进行溯源分析以及调查取证分析等,并出具事故鉴定报告。保险人根据事件鉴定结果判定保险责任和损失。
l 保险人在理赔中主要确定事件责任是否属于保险保障范围,并评估损失金额及确定赔付金额。保险人依据事件评估结果进行理赔决策。
在国内网络安全保险应用的初级阶段,希望国标正式出台后能够建立覆盖网络安全保险服务全生命周期的标准体系,明确承保、核保、理赔等主要环节基本流程和通用要求,指标并规范各参与方开展网络安全保险的应用实施。
京公网安备 11010802033237号
