信息安全技术 网络安全保险应用指南

ICS35.030 CCSL80 中华人民共和国国家标准 GB/TXXXXX—XXXX ` 信息安全技术网络安全保险应用指南 Informationsecuritytechnology—Guidelineforcybersecurityinsuranceapplication (点击此处添加与国际标准一致性程度的标识) （征求意见稿） 2023-7-31 在提交反馈意见时，请将您知道的相关专利连同支持性文件一并附上。 XXXX-XX-XX发布XXXX-XX-XX实施 目次 前言1 1范围2 2规范性引用文件2 3术语和定义2 4网络安全保险应用概述3 4.1目的和作用3 4.2基本应用流程4 4.3主要角色与职责5 5网络安全保险保障范围6 5.1概述6 5.2事件类型6 5.3损失类型7 6投保前风险评估7 6.1确定保险需求7 6.2实施风险评估8 6.3保险核保与定价10 7保险期间风险控制10 7.1日常风险管理10 7.2保险人风险控制10 7.3实施风险控制11 8出险后事件评估11 8.1应急响应与索赔11 8.2实施事件评估12 8.3保险理赔13 附录A（资料性）网络安全保险需求及应用场景14 A.1网络安全保险需求分析14 A.2网络安全保险必要性15 A.3网络安全保险应用场景及示例15 附录B（资料性）网络安全保险单示例17 附录C（资料性）网络安全保险其他考虑事项19 C.1保险金额19 C.2免赔额和等待期19 C.3常见除外责任19 附录D（资料性）保险业务活动与网络安全20 附录E（资料性）基于风险场景的量化分析方法21 E.1风险场景示例21 E.2风险量化分析示例22 参考文献23 前言 本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草。 本文件由全国信息安全标准化技术委员会（SAC/TC260）提出并归口。 本文件起草单位：北京源堡科技有限公司、国家工业信息安全发展研究中心、中国电子技术标准化研究院、中国信息安全测评中心、国家信息技术安全研究中心、国家信息中心、公安部第一研究所、公安部第三研究所、中国科学院信息工程研究所、中国网络空间研究院、中国人民财产保险股份有限公司、中国太平洋财产保险股份有限公司、中国平安财产保险股份有限公司、中国人寿财产保险股份有限公司、国任财产保险股份有限公司、诚泰财产保险股份有限公司、中国财产再保险有限责任公司、前海再保险股份有限公司、建信财产保险有限公司、奇安信科技集团股份有限公司、北京神州绿盟科技有限公司、启明星辰信息技术集团股份有限公司、北京天融信网络安全技术有限公司、杭州安恒信息技术股份有限公司、腾讯云计算（北京）有限责任公司。 本文件主要起草人：陈幼雷、梁露露、韩冰、黄鹏、冯媛、孙倩文、上官晓丽、王惠莅、王秉政、李淼、曹岳、刘玉岭、王佳慧、李海涛、陈妍、白云、刘愉、刘怡、万杰、李萌、沈铭新、孙涛、刘蓉、沈哲、孟鑫、欧阳周婷、刘玉荟、张静、田丽丹、李克鹏。 信息安全技术网络安全保险应用指南 1范围 本文件描述了网络安全保险的概念、作用和主要应用阶段，提出了网络安全保险应用各阶段的流程和方法。 本文件适用于指导采用网络安全保险转移风险的组织，也可为保险人和服务方提供参考。 2规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改版）适用于本文件。 GB/T20984—2022信息安全技术信息安全风险评估方法GB/T20986—2023信息安全技术网络安全事件分类分级指南GB/T22081—2016信息技术安全技术信息安全控制实践指南 3术语和定义 下列术语和定义适用于本文件： 3.1 网络安全事件cybersecurityincident 由于人为原因、软硬件缺陷或故障、自然灾害等，对网络和信息系统或其中的数据和业务应用造 成危害，对国家、社会、经济造成负面影响的事件。[来源：GB/T38645—2020，3.1] 3.2 网络安全保险cybersecurityinsurance 财产保险的一种，承保因发生网络安全事件所造成的经济损失以及需承担的法定赔偿责任。 注：网络安全保险属于广义的财产保险范畴，数字资产等无形资产可作为该险种的保险标的。 3.3 保险人insurer 与被保险人共同分担网络安全风险，并承担赔偿或者给付保险金责任的保险公司。[来源：GB/T36687—2018，2.4，有修改] 3.4 投保人applicant 与保险人签订保险合同，并按照保险合同负有支付保险费义务的法人主体。[来源：GB/T36687—2018，2.5，有修改] 3.5 被保险人insured 向保险人分担或考虑分担网络安全风险的法人主体，其财产受保险合同保障，享有保险金请求权。[来源：GB/T36687—2018，2.6，有修改] 注：投保人可以为被保险人。 3.6 保险标的subjectofinsurance 作为保险对象的财产及其相关利益，在保险合同中所载明的投保对象。[来源：GB/T36687—2018，2.22，有修改] 3.7 财产保险propertyinsurance 以财产及其有关利益为保险标的的保险。[来源：GB/T36687—2018，2.2] 注：财产保险包括财产损失保险、责任保险、信用保险、保证保险等。 3.8 服务方serviceprovider 为网络安全保险业务提供风险评估、风险监测、安全检测、事件鉴定、损失评估、勘察及理赔、 法律咨询等专业服务的机构。 注：在网络安全保险业务中，保险人或被保险人均可根据实际需求委托服务方开展相关服务。 3.9 网络安全保险单cybersecurityinsurancepolicy 网络安全保险合同成立后，保险人向投保人签发的保险合同的正式书面凭证。[来源：GB/T36687—2018，5.3.1] 3.10 第三者thethirdparty 指除了投保人、被保险人、被保险人的高级管理人员和任何雇员以为的任何其他自然人或法人。 4网络安全保险应用概述 4.1目的和作用 网络安全保险是组织实现网络安全风险转移的手段，通过补偿组织因网络安全事件可能导致的经济损失，帮助组织管理风险，增强风险应对能力。网络安全事件所造成的经济损失既包含组织自身的损失，也包含对第三者的赔偿责任。 与传统财产保险以有形财产及其相关经济利益为保险标的不同，网络安全保险的保险标的既包括有形财产，也包括无形财产。网络安全保险主要承保网络空间的安全风险，如网络攻击、恶意程序、系统功能错误或失效等。 网络安全保险的作用包括： a)补偿网络安全事件所导致的经济损失，降低潜在影响； b)预防和减少网络安全事件造成的损失和危害； c)为应急响应及恢复提供资金支持； d)协助组织恢复正常运营； e)提高对网络安全事件的韧性； f)降低网络安全风险管理的总体成本。 网络安全保险需求和应用场景可参考附录A。为方便表述，以下将组织称为投保人或被保险人。 4.2基本应用流程 网络安全保险应用流程如图1所示。包括如下内容： 图1网络安全保险应用基本流程 a)投保前风险评估，此阶段包括： 1)确定保险需求：被保险人确认保险需求，包括保险保障范围、保障额度以及保险费用等； 2)实施风险评估：服务方实施风险评估，被保险人配合提供必要支持； 3)保险核保与定价：保险人根据风险评估结果进行核保并制定保险方案，包括保障范围、保险额度、保险费用等。 当保险人拒绝承保时，被保险人可以根据风险评估结果进行整改或调整保险需求。 b)保险期间风险控制，此阶段包括： 1)日常风险管理：被保险人开展日常风险管理活动，对相关风险进行监测和处置； 2)保险人风险控制：保险人主动开展的风险监测和预防管理等相关活动； 3)实施风险控制：服务方实施风险控制，协助被保险人进行风险管理。保险期间被保险人可以及时共享风险状况信息，履行风险控制义务。 c)出险后事件评估，此阶段包括： 1)应急响应及索赔：被保险人开展应急响应工作，并根据损失情况发起索赔请求； 2)实施事件评估：保险人委托服务方对网络安全事件进行调查，确定事件责任和实际损失； 3)理赔：保险人根据调查结果做出赔偿决定，履行保险人的赔偿责任。保险业务中的网络安全相关活动见附录D。 4.3主要角色与职责 4.3.1主要角色 网络安全保险应用主要参与角色如图2所示。其中： 图2网络安全保险应用参与角色 a)保险人 指与被保险人共同分担网络安全风险，并承担赔偿或者给付保险金责任的保险公司。 b)投保人 指与保险人签订保险合同，并按照保险合同负有支付保险费义务的法人主体。投保人为自己投保时，投保人即被保险人；投保人为其他法人主体投保时，投保人代被保险人缴纳保费，投保人和被保险人是不同法人主体。 c)被保险人 指向保险人分担或考虑分担网络安全风险的法人主体，其财产受保险合同保障，享有保险金请求权。被保险人是网络安全保险直接受益人。 d)服务方 指为网络安全保险业务提供风险评估、风险监测、安全检测、事件鉴定、损失评估、勘察及理赔、法律咨询等专业服务的机构。服务方受保险人委托，也可以受被保险人委托开展上述网络安全服务。 4.3.2主要职责 4.3.2.1保险人 保险人主要职责包括但不限于： a)依据保险合同规定的责任和义务提供服务； b)对保险合同约定范围内的风险进行风险管理，如对网络安全风险进行监测，获取必要的风险管理数据，当风险发生显著变化时，通知被保险人并提供处置建议； c)在出险理赔时向被保险人说明需要提供的网络安全事件证据和相关数据。 4.3.2.2被保险人 被保险人主要职责包括但不限于： a)确认网络安全保险需求； b)配合保险人实施风险评估； c)保险期间开展必要的风险管理活动； d)出险后开展必要的应急响应工作，避免损失扩大； e)向保险人提供网络安全事件证据或相关日志等数据； f)保险事故发生后，需在约定时间内通知保险人。 4.3.2.3投保人 投保人主要职责包括但不限于： a)根据网络安全保险合同，按期缴纳保险费； b)保险人对保险标的的情况进行询问时，需如实告知； 4.3.2.4服务方 服务方主要职责包括但不限于： a)对保险标的进行风险评估，支持保险人开展核保和定价； b)协助保险人进行风险控制，如进行风险监测和预警； c)协助被保险人对于不满足承保条件的风险进行整改； d)协助被保险人进行网络安全事件的应急响应； e)协助保险人对网络安全事件进行技术鉴定、取证和损失评估； f)其他法律诉讼、公关咨询等服务。 5网络安全保险保障范围 5.1概述 网络安全保险保障范围包括可承保的网络安全事件和损失类型。只有当发生在保险保障范围内的网络安全事件和损失时，才能通过保险进行赔偿。 网络安全事件包括恶意程序事件、网络攻击事件、数据安全事件、违规操作事件等。网络安全事件造成的损失包括第一方损失和第三者责任。第一方损失包括网络安全事件给被保险人自身造成的直接经济损失以及应急响应所产生的费用等；第三者责任包括被保险人因网络安全事件引发的对第三者 （例如受影响个人或机构等）的法定赔偿责任。 保险保障范围在网络安全保险单中说明，网络安全保险单示例见附录B，网络安全保险其他考虑事项见附录C。 5.2事件类型 网络安全保险可承保的网络安全事件包括但不限于下列类型： a)恶意程序事件：指在网络蓄意制造或传播恶意程序而导致业务损失或社会危害的事件。包括计算机病毒，网络蠕虫、木马、勒索软件、挖矿病毒事件等； b)网络攻击事件：指通过技术手段对网络实施攻击而导致业务损失或社会危害的事件。包括漏洞利用、拒绝服务、后门利用、网络扫描探测、信号干扰、供应链攻击事件等； c)数据安全事件：通过技术或其他手段对数据实施篡改、假冒、泄露、窃取等导致业