《信息安全技術(shù) 網(wǎng)絡(luò)安全保險(xiǎn)應(yīng)用指南》

中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)`Informationsecuritytechnology—GuidelineforcybersecurityinsuranceaI 2 2 2 3 3 4 5 6 6 6 7 7 7 8 1本文件由全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)（SAC/TC260）提本文件起草單位：北京源堡科技有限公司、國(guó)家工化研究院、中國(guó)信息安全測(cè)評(píng)中心、國(guó)家信息技術(shù)安全研究中心、國(guó)家信息中心、公安部第一研究所、公安部第三研究所、中國(guó)科學(xué)院信息工程研究所、中國(guó)網(wǎng)絡(luò)空間研究院、中國(guó)人民財(cái)產(chǎn)保險(xiǎn)股份有限公司、中國(guó)太平洋財(cái)產(chǎn)保險(xiǎn)股份有限公司、中國(guó)平安財(cái)產(chǎn)保險(xiǎn)股份有限公司、中國(guó)人壽財(cái)產(chǎn)保險(xiǎn)股份有限公司、國(guó)任財(cái)產(chǎn)保險(xiǎn)股份有限公司、誠(chéng)泰財(cái)產(chǎn)保險(xiǎn)股份有限公司、中國(guó)財(cái)產(chǎn)再保險(xiǎn)有限責(zé)任公司、前海再保險(xiǎn)股份有限公司、建信財(cái)產(chǎn)保險(xiǎn)有限公司、奇安信科技集團(tuán)股份有限公司、北京神州綠盟科技有限公司、啟明星辰信息技術(shù)集團(tuán)股份有限公司、北京天融信網(wǎng)絡(luò)安全技術(shù)有限公司、杭州安恒信息技術(shù)股份有限公司、騰訊云計(jì)算（北京）有限責(zé)本文件主要起草人：陳幼雷、梁露露、韓冰、黃鵬、馮媛、孫倩文、上官曉麗、王惠蒞、王秉政、李淼、曹岳、劉玉嶺、王佳慧、李海濤、陳妍、白云、劉愉、劉怡、萬杰、李萌、沈銘新、孫濤、劉蓉、沈哲、孟鑫、歐陽周婷、劉玉薈、張靜、田麗丹、2信息安全技術(shù)網(wǎng)絡(luò)安全保險(xiǎn)應(yīng)用指南本文件描述了網(wǎng)絡(luò)安全保險(xiǎn)的概念、作用和主要應(yīng)用階段，提出了網(wǎng)絡(luò)安全保險(xiǎn)應(yīng)用各階段的流本文件適用于指導(dǎo)采用網(wǎng)絡(luò)安全保險(xiǎn)轉(zhuǎn)移風(fēng)險(xiǎn)的組織，也可為保險(xiǎn)人和服務(wù)方提供參下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對(duì)應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修由于人為原因、軟硬件缺陷或故障、自然災(zāi)害等，對(duì)網(wǎng)絡(luò)和信息系統(tǒng)或其中的數(shù)據(jù)和業(yè)務(wù)應(yīng)用造3為網(wǎng)絡(luò)安全保險(xiǎn)業(yè)務(wù)提供風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)監(jiān)測(cè)、安全檢測(cè)、事件鑒定、損失評(píng)估、勘察及理賠、指除了投保人、被保險(xiǎn)人、被保險(xiǎn)人的高級(jí)管理人員網(wǎng)絡(luò)安全保險(xiǎn)是組織實(shí)現(xiàn)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)轉(zhuǎn)移的手段，通過與傳統(tǒng)財(cái)產(chǎn)保險(xiǎn)以有形財(cái)產(chǎn)及其相關(guān)經(jīng)濟(jì)利益為保險(xiǎn)標(biāo)的不同，網(wǎng)絡(luò)安全保險(xiǎn)的保險(xiǎn)41)確定保險(xiǎn)需求：被保險(xiǎn)人確認(rèn)保險(xiǎn)需求，包括保險(xiǎn)保障范圍、保障額度以及保險(xiǎn)費(fèi)用等；保險(xiǎn)期間被保險(xiǎn)人可以及時(shí)共享風(fēng)險(xiǎn)狀況信息，履行風(fēng)險(xiǎn)控2)實(shí)施事件評(píng)估：保險(xiǎn)人委托服務(wù)方對(duì)網(wǎng)絡(luò)安全事件進(jìn)行調(diào)查，確定事件責(zé)任和實(shí)際損失；5指與保險(xiǎn)人簽訂保險(xiǎn)合同，并按照保險(xiǎn)合同負(fù)有支付保險(xiǎn)費(fèi)義務(wù)的法人主時(shí)，投保人即被保險(xiǎn)人；投保人為其他法人主體投保時(shí)，投保人代被保險(xiǎn)人繳納保費(fèi)，投保人和被保指向保險(xiǎn)人分擔(dān)或考慮分擔(dān)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的法人主體，其財(cái)產(chǎn)受保險(xiǎn)合同保障，享有保險(xiǎn)金請(qǐng)求指為網(wǎng)絡(luò)安全保險(xiǎn)業(yè)務(wù)提供風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)監(jiān)測(cè)、安全檢測(cè)、事件鑒定、損失評(píng)估、勘察及理賠、法律咨詢等專業(yè)服務(wù)的機(jī)構(gòu)。服務(wù)方受保險(xiǎn)人委托，也可以b)對(duì)保險(xiǎn)合同約定范圍內(nèi)的風(fēng)險(xiǎn)進(jìn)行風(fēng)險(xiǎn)管理，如對(duì)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)進(jìn)行監(jiān)測(cè)，獲取必要的風(fēng)險(xiǎn)c)在出險(xiǎn)理賠時(shí)向被保險(xiǎn)人說明需要提供的網(wǎng)6b)保險(xiǎn)人對(duì)保險(xiǎn)標(biāo)的的情況進(jìn)行詢問時(shí)，需如實(shí)告知；b)協(xié)助保險(xiǎn)人進(jìn)行風(fēng)險(xiǎn)控制，如進(jìn)行風(fēng)險(xiǎn)監(jiān)測(cè)和預(yù)警；c)協(xié)助被保險(xiǎn)人對(duì)于不滿足承保條件網(wǎng)絡(luò)安全保險(xiǎn)保障范圍包括可承保的網(wǎng)絡(luò)安全事件和損失類型。只有當(dāng)發(fā)生在保險(xiǎn)保障范圍內(nèi)的網(wǎng)絡(luò)安全事件包括惡意程序事件、網(wǎng)絡(luò)攻擊事件、數(shù)據(jù)安全事件、違規(guī)操作事件等。網(wǎng)絡(luò)安全事件造成的損失包括第一方損失和第三者責(zé)任。第一方損失包括網(wǎng)絡(luò)安全事件給被保險(xiǎn)人自身造成的直接經(jīng)濟(jì)損失以及應(yīng)急響應(yīng)所產(chǎn)生的費(fèi)用等；第三者責(zé)任包括被保險(xiǎn)人因網(wǎng)絡(luò)安全事件引發(fā)的對(duì)第三者保險(xiǎn)保障范圍在網(wǎng)絡(luò)安全保險(xiǎn)單中說明，網(wǎng)絡(luò)安全保險(xiǎn)單示例見附錄B，網(wǎng)絡(luò)安全保a)惡意程序事件：指在網(wǎng)絡(luò)蓄意制造或傳播惡意程序而導(dǎo)致業(yè)務(wù)損失或社會(huì)危害的事件。包括b)網(wǎng)絡(luò)攻擊事件：指通過技術(shù)手段對(duì)網(wǎng)絡(luò)實(shí)施攻擊而導(dǎo)致業(yè)務(wù)損失或社會(huì)危害的事件。包括漏c)數(shù)據(jù)安全事件：通過技術(shù)或其他手段對(duì)數(shù)據(jù)實(shí)施篡改、假冒、泄露、竊取等導(dǎo)致業(yè)務(wù)損失或d)違規(guī)操作事件：由于人為故意或意外地?fù)p害網(wǎng)絡(luò)功能而導(dǎo)致的業(yè)務(wù)損失7營(yíng)業(yè)中斷損失指因網(wǎng)絡(luò)安全事件導(dǎo)致的停產(chǎn)、停業(yè)或經(jīng)營(yíng)受到影響而面臨的預(yù)期利潤(rùn)損失及必要b)數(shù)據(jù)和系統(tǒng)恢復(fù)費(fèi)用：對(duì)網(wǎng)絡(luò)安全事件中受影響的數(shù)據(jù)和系統(tǒng)進(jìn)行恢復(fù)、更新、重建或c)危機(jī)公關(guān)費(fèi)用：為減少聲譽(yù)影響所產(chǎn)生的危機(jī)公關(guān)的費(fèi)用，如聘請(qǐng)公共顧問的咨詢費(fèi)用和進(jìn)d)通知費(fèi)用：當(dāng)網(wǎng)絡(luò)安全事件造成個(gè)人信息泄漏、篡改、丟失的，由被保險(xiǎn)人e)法律咨詢服務(wù)費(fèi)用：當(dāng)網(wǎng)絡(luò)安全事件涉及法律和監(jiān)管要求，被保險(xiǎn)人聘請(qǐng)法律顧問進(jìn)行咨詢網(wǎng)絡(luò)勒索損失包括被保險(xiǎn)人因遭受勒索軟件因網(wǎng)絡(luò)安全事件，導(dǎo)致其合作伙伴或所服因網(wǎng)絡(luò)安全事件，導(dǎo)致被保險(xiǎn)人發(fā)布在線被保險(xiǎn)人在投保前開展風(fēng)險(xiǎn)自評(píng)估，針對(duì)網(wǎng)絡(luò)安全保險(xiǎn)保障范圍中的事件類型和損失類型，評(píng)估8被保險(xiǎn)人根據(jù)風(fēng)險(xiǎn)轉(zhuǎn)移策略提出保險(xiǎn)需求，保險(xiǎn)人根據(jù)已有的網(wǎng)絡(luò)安全如果網(wǎng)絡(luò)安全保險(xiǎn)產(chǎn)品無法滿足保險(xiǎn)需求，被保險(xiǎn)人可以與保險(xiǎn)人協(xié)商，根據(jù)需求開發(fā)風(fēng)險(xiǎn)評(píng)估范圍與保險(xiǎn)標(biāo)的相關(guān)，保險(xiǎn)標(biāo)的可以是法人，也可以是被保險(xiǎn)人選定的特定系統(tǒng)或資產(chǎn)。保險(xiǎn)人可自行實(shí)施也可以委托服務(wù)方實(shí)施風(fēng)險(xiǎn)評(píng)估，實(shí)施風(fēng)險(xiǎn)評(píng)和損失類型，評(píng)估網(wǎng)絡(luò)安全事件發(fā)生的可能性及其帶來的損評(píng)估被保險(xiǎn)人實(shí)施安全控制措施的程度和效果，包括安全管理措施和安全技術(shù)措施等。安全控制措施直接影響發(fā)生網(wǎng)絡(luò)安全事件的可能性和損失大小，通過網(wǎng)絡(luò)安全能力評(píng)估可衡量被保險(xiǎn)人風(fēng)險(xiǎn)防網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估圍繞保險(xiǎn)保障范圍中的第的各類網(wǎng)絡(luò)安全事件發(fā)生的可能性以及損失大小。評(píng)估網(wǎng)絡(luò)安全風(fēng)險(xiǎn)時(shí)，同時(shí)考慮數(shù)別數(shù)據(jù)資產(chǎn)和數(shù)據(jù)處理活動(dòng)中的威脅和控制措施等風(fēng)險(xiǎn)要素，分析數(shù)據(jù)安全事件發(fā)生的可能性以及損評(píng)估被保險(xiǎn)人所屬行業(yè)的宏觀風(fēng)險(xiǎn)狀況，包括行業(yè)信息化程度、網(wǎng)絡(luò)安全威脅程度、業(yè)務(wù)特點(diǎn)等間接影響風(fēng)險(xiǎn)發(fā)生的可能性和損失大小。行業(yè)風(fēng)險(xiǎn)水d)被保險(xiǎn)人組織規(guī)模、業(yè)務(wù)規(guī)模在行9投保前風(fēng)險(xiǎn)評(píng)估方法參考GB/T20984—2022，包括風(fēng)險(xiǎn)識(shí)別、風(fēng)險(xiǎn)分析、風(fēng)險(xiǎn)評(píng)價(jià)等主要過程。在風(fēng)險(xiǎn)分析環(huán)節(jié)，通常采用定量分析方法，通過評(píng)分或貨幣化等數(shù)值方式表示風(fēng)險(xiǎn)大小，滿足保險(xiǎn)核保和定價(jià)要求。在評(píng)估與數(shù)據(jù)安全事件等相關(guān)的安全風(fēng)險(xiǎn)時(shí)，需參考數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估方法，對(duì)數(shù)據(jù)a)識(shí)別資產(chǎn)、脆弱性、威脅源、攻擊方法等風(fēng)險(xiǎn)要素；涉及數(shù)據(jù)安全風(fēng)險(xiǎn)的還需考慮數(shù)據(jù)、業(yè)b)識(shí)別安全控制措施及其有效性，識(shí)別可通過問卷、訪談、檢查、測(cè)試等方式進(jìn)行。識(shí)別控制措施可參考GB/T22081—2016，重點(diǎn)識(shí)別與風(fēng)險(xiǎn)場(chǎng)景相關(guān)c)識(shí)別風(fēng)險(xiǎn)場(chǎng)景，風(fēng)險(xiǎn)場(chǎng)景由威脅源、資產(chǎn)、脆弱性、攻擊方法、安全事件要素組成，風(fēng)險(xiǎn)場(chǎng)其中，識(shí)別風(fēng)險(xiǎn)場(chǎng)景時(shí)可參考保險(xiǎn)保障范圍中列明的損失類型進(jìn)行，如營(yíng)業(yè)中在安全控制措施識(shí)別的基礎(chǔ)上，對(duì)不同的控制措施項(xiàng)進(jìn)行賦值并計(jì)算安全能力值。安全能力可通通過分析控制措施的有效性為各評(píng)分指標(biāo)賦予分值和權(quán)重，結(jié)合被保險(xiǎn)人行業(yè)、規(guī)算安全能力評(píng)分。安全能力分析還可以考慮網(wǎng)絡(luò)安全認(rèn)證或資質(zhì)在資產(chǎn)識(shí)別的基礎(chǔ)上，基于大數(shù)據(jù)分析和威脅情報(bào)技術(shù)，對(duì)被保險(xiǎn)人進(jìn)行快速的安全風(fēng)險(xiǎn)評(píng)估。安全評(píng)級(jí)一般通過非侵入式的手段收集數(shù)據(jù)，對(duì)這些數(shù)據(jù)加以分析，從網(wǎng)絡(luò)安全、應(yīng)用安全、數(shù)據(jù)安全、證書安全等多種維度，通過安全評(píng)級(jí)方法自動(dòng)化對(duì)安全風(fēng)險(xiǎn)進(jìn)行評(píng)級(jí)評(píng)估被保險(xiǎn)人網(wǎng)絡(luò)安全風(fēng)險(xiǎn)狀況，便于保險(xiǎn)人進(jìn)行風(fēng)險(xiǎn)篩選和核行業(yè)風(fēng)險(xiǎn)水平分析采用統(tǒng)計(jì)方法，對(duì)不同行業(yè)風(fēng)險(xiǎn)數(shù)據(jù)，評(píng)估行業(yè)風(fēng)險(xiǎn)水平。行業(yè)風(fēng)險(xiǎn)水平分析可采用風(fēng)險(xiǎn)象限圖或行業(yè)風(fēng)險(xiǎn)地圖等形式，從行業(yè)、規(guī)模維度進(jìn)行行業(yè)風(fēng)險(xiǎn)水平劃分。行業(yè)風(fēng)險(xiǎn)水平分析結(jié)果可以作為核保和定價(jià)參考因在風(fēng)險(xiǎn)識(shí)別的基礎(chǔ)上，對(duì)所建立的風(fēng)險(xiǎn)場(chǎng)景進(jìn)行風(fēng)險(xiǎn)分析和計(jì)算。風(fēng)險(xiǎn)量化分析以貨幣化數(shù)值的風(fēng)險(xiǎn)量化分析對(duì)構(gòu)成風(fēng)險(xiǎn)場(chǎng)景的要素和損失進(jìn)行賦值，通過量化分析模型分析各風(fēng)險(xiǎn)場(chǎng)景發(fā)生的概率和損失大小，計(jì)算各場(chǎng)景的風(fēng)險(xiǎn)值，再對(duì)各風(fēng)險(xiǎn)場(chǎng)景聚合計(jì)算整體風(fēng)險(xiǎn)值。一種基于風(fēng)險(xiǎn)場(chǎng)景的風(fēng)險(xiǎn)評(píng)價(jià)是對(duì)風(fēng)險(xiǎn)分析的結(jié)果進(jìn)行等級(jí)化、排序、統(tǒng)計(jì)等處理，以便應(yīng)用于保險(xiǎn)核保和定價(jià)。風(fēng)a)等級(jí)化處理：對(duì)風(fēng)險(xiǎn)分析結(jié)果按照數(shù)值大小劃分等級(jí)，為保險(xiǎn)人根據(jù)風(fēng)險(xiǎn)等級(jí)b)風(fēng)險(xiǎn)大小排列處理：對(duì)風(fēng)險(xiǎn)分析結(jié)果按照數(shù)值大小進(jìn)行排列，通常根據(jù)風(fēng)險(xiǎn)場(chǎng)景的量化分析結(jié)果進(jìn)行排列，保險(xiǎn)人根據(jù)結(jié)果確定主要風(fēng)險(xiǎn)場(chǎng)景的風(fēng)險(xiǎn)大小，為不同場(chǎng)景下保險(xiǎn)人根據(jù)風(fēng)險(xiǎn)評(píng)估結(jié)果開展保險(xiǎn)核保與定價(jià)，判斷是否承保相關(guān)風(fēng)險(xiǎn)并確定保費(fèi)及保障限額。保險(xiǎn)人自身風(fēng)險(xiǎn)偏好、網(wǎng)絡(luò)安全能力、網(wǎng)絡(luò)安全評(píng)級(jí)以及行業(yè)風(fēng)險(xiǎn)水平等評(píng)估結(jié)果可以作為保險(xiǎn)人核保險(xiǎn)期內(nèi)，被保險(xiǎn)人開展日常風(fēng)險(xiǎn)管理，維護(hù)保險(xiǎn)標(biāo)的安全。被保險(xiǎn)人通過風(fēng)被保險(xiǎn)人在業(yè)務(wù)系統(tǒng)發(fā)生變更、信息系統(tǒng)更新，系統(tǒng)出現(xiàn)重大安全漏洞等情況時(shí)，需要及時(shí)關(guān)注風(fēng)險(xiǎn)變化情況，通過日常風(fēng)險(xiǎn)管理手段控制風(fēng)險(xiǎn)。如果被保險(xiǎn)人未履行其對(duì)保險(xiǎn)標(biāo)的的被保險(xiǎn)人可以自主開展日常風(fēng)險(xiǎn)管理，也可以委托保險(xiǎn)人或服保險(xiǎn)人主動(dòng)開展風(fēng)險(xiǎn)監(jiān)測(cè)和預(yù)防管理等風(fēng)險(xiǎn)控制活動(dòng)。保險(xiǎn)人風(fēng)險(xiǎn)控制能夠協(xié)助被保險(xiǎn)人控制或a)識(shí)別風(fēng)險(xiǎn)變化：通過風(fēng)險(xiǎn)監(jiān)測(cè)等技術(shù)手段持續(xù)跟蹤保險(xiǎn)標(biāo)的風(fēng)險(xiǎn)狀況，識(shí)別新增風(fēng)險(xiǎn)或顯著b)風(fēng)險(xiǎn)預(yù)警和通告：對(duì)新增風(fēng)險(xiǎn)、顯著變化的風(fēng)險(xiǎn)等情況進(jìn)行預(yù)警，及時(shí)通知被保險(xiǎn)人進(jìn)行應(yīng)c)風(fēng)險(xiǎn)預(yù)防管理：為被保險(xiǎn)人提供風(fēng)險(xiǎn)管理咨詢、風(fēng)險(xiǎn)排查等服務(wù)，協(xié)助被保險(xiǎn)人開展風(fēng)險(xiǎn)預(yù)風(fēng)險(xiǎn)監(jiān)測(cè)對(duì)象包括保險(xiǎn)標(biāo)的相關(guān)的資產(chǎn)，以及其他對(duì)保險(xiǎn)標(biāo)的風(fēng)險(xiǎn)產(chǎn)生較大影響的資產(chǎn)，如供應(yīng)風(fēng)險(xiǎn)監(jiān)測(cè)內(nèi)容主要是影響保險(xiǎn)標(biāo)的風(fēng)險(xiǎn)變化的因素，包括但不限于以d)暴露面：人員信息、郵箱、代碼等在互聯(lián)網(wǎng)風(fēng)險(xiǎn)監(jiān)測(cè)一般采用不影響被保險(xiǎn)人信息系統(tǒng)及業(yè)務(wù)運(yùn)行的方式進(jìn)行，通常利用產(chǎn)探測(cè)、脆弱性掃描、行業(yè)信息收集等技術(shù)手段，結(jié)合風(fēng)險(xiǎn)分析方法和大數(shù)據(jù)分析技術(shù)，及時(shí)分析發(fā)風(fēng)險(xiǎn)預(yù)防管理是為預(yù)防風(fēng)險(xiǎn)發(fā)生以降低潛在損失所采培訓(xùn)、滲透測(cè)試、漏洞掃描等。服務(wù)方式可采用遠(yuǎn)程非聯(lián)機(jī)或現(xiàn)場(chǎng)服務(wù)方式。服務(wù)方需確保服務(wù)人員、被保險(xiǎn)人出險(xiǎn)后及時(shí)開展應(yīng)急響應(yīng)工作抑制網(wǎng)絡(luò)安全事件的影響，降低損失。在約定的時(shí)間內(nèi)向被保險(xiǎn)人在投保前與保險(xiǎn)人溝通明確理賠流程，包括約定的時(shí)間和其他需要提供的信息。被保險(xiǎn)保險(xiǎn)人針對(duì)被保險(xiǎn)人報(bào)告的網(wǎng)絡(luò)安全事件進(jìn)行事故鑒定，包括對(duì)事件進(jìn)行溯源分析以及調(diào)查取證a)事件發(fā)生的時(shí)間：確定網(wǎng)絡(luò)安全事件發(fā)生的時(shí)間是否在網(wǎng)絡(luò)安全保險(xiǎn)合同有效期b)事件發(fā)生的地點(diǎn)：確定網(wǎng)絡(luò)安全事件發(fā)生的地點(diǎn)是否在網(wǎng)絡(luò)安全保險(xiǎn)合同規(guī)定的范圍內(nèi)；c)事件發(fā)生的原因：確定網(wǎng)絡(luò)安全事件發(fā)生的原因，并分析是否在網(wǎng)絡(luò)安全保險(xiǎn)合同規(guī)定的保當(dāng)保險(xiǎn)事故存在多個(gè)原因時(shí)，保險(xiǎn)人根據(jù)近因原則確定保險(xiǎn)事故原因，也即造成損失最直接、最有效，起主導(dǎo)作用的原因。保險(xiǎn)人承擔(dān)賠償責(zé)任的范圍限于近因造成的損失。因此在事故鑒定中，需要對(duì)網(wǎng)絡(luò)安全事件的威脅源、攻擊方法、攻擊路徑等進(jìn)行分析，協(xié)助保險(xiǎn)人判斷并確定事件產(chǎn)生的直接原因，以支持保險(xiǎn)人做出合理的理賠決策。若存在人為故意原因?qū)е戮W(wǎng)絡(luò)安全事件，保險(xiǎn)人可根據(jù)損失調(diào)查分析是通過技術(shù)手段收集安全事件對(duì)被保險(xiǎn)人造成影響的證據(jù)，以支持保險(xiǎn)人進(jìn)行損失評(píng)估，確定賠償金額。損失調(diào)查分析根據(jù)網(wǎng)絡(luò)安全事件分析損失的原因，與該事件相關(guān)的損b)安全事件造成的損失原因：分析與網(wǎng)絡(luò)安全事件相關(guān)聯(lián)的損失，排查不相關(guān)的損失；c)損失程度：調(diào)查并收集與損失程度相關(guān)的信息和證據(jù)，如緩釋和控制風(fēng)險(xiǎn)的費(fèi)用支出證明和保險(xiǎn)人在賠付被保險(xiǎn)人因網(wǎng)絡(luò)安全事件導(dǎo)致的損失后取得追償權(quán)，通過網(wǎng)絡(luò)安全事件溯源分析、調(diào)查取證等，確定網(wǎng)絡(luò)安全事件的責(zé)任主體，保留日志等相關(guān)證據(jù)，保險(xiǎn)人可以向其追討賠償。例如由于競(jìng)爭(zhēng)對(duì)手對(duì)被保險(xiǎn)人發(fā)起網(wǎng)絡(luò)攻擊造成營(yíng)業(yè)中斷損失，保險(xiǎn)人則可以向其競(jìng)爭(zhēng)對(duì)手追討保險(xiǎn)人在理賠中主要確定事件責(zé)任是否屬于保險(xiǎn)保障范圍，并評(píng)估損失金額及確定賠付金額。保保險(xiǎn)人在理賠中可提供相關(guān)服務(wù)，如應(yīng)急響應(yīng)支持、法律支持或公共關(guān)系管理等，協(xié)助被保險(xiǎn)人網(wǎng)絡(luò)安全風(fēng)險(xiǎn)不能完全消除，網(wǎng)絡(luò)安全保險(xiǎn)定風(fēng)險(xiǎn)轉(zhuǎn)移策略，明確適合通過保險(xiǎn)轉(zhuǎn)移的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，形成網(wǎng)絡(luò)安全保險(xiǎn)投保需將網(wǎng)絡(luò)安全保險(xiǎn)納入企業(yè)風(fēng)險(xiǎn)管理策略，完善風(fēng)險(xiǎn)管理體系，是網(wǎng)絡(luò)安全保險(xiǎn)主要是網(wǎng)絡(luò)安全保險(xiǎn)應(yīng)用的主要目的。對(duì)于風(fēng)險(xiǎn)管理意識(shí)強(qiáng)，風(fēng)險(xiǎn)防范措施完善的中大型網(wǎng)絡(luò)安全事件一方面給企業(yè)造成直接經(jīng)濟(jì)損失，如重要系統(tǒng)中斷造成營(yíng)業(yè)收入損失；另一方面企業(yè)投入應(yīng)急處置、恢復(fù)經(jīng)營(yíng)、應(yīng)對(duì)調(diào)查、處理賠償和解決法律訴訟案件時(shí)會(huì)產(chǎn)生高額費(fèi)用。對(duì)于安全建設(shè)投入相對(duì)有限的中小型企業(yè)而言，一次嚴(yán)重的網(wǎng)絡(luò)安全事件造成的損失可能導(dǎo)致企業(yè)生存危機(jī)或倒閉。在網(wǎng)絡(luò)安全建設(shè)投入相對(duì)有限時(shí)，中小型企業(yè)可以通過網(wǎng)絡(luò)安全保險(xiǎn)來補(bǔ)充或輔助網(wǎng)設(shè)，防范較為嚴(yán)重的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。同時(shí)，在保險(xiǎn)期間，中小企業(yè)通過保險(xiǎn)公司提供的風(fēng)險(xiǎn)管理相關(guān)服務(wù)，獲得一定的風(fēng)險(xiǎn)監(jiān)測(cè)和預(yù)警的能力，輔助自身的安全建設(shè)，形成相對(duì)完善且低成本的風(fēng)險(xiǎn)管理因此對(duì)于網(wǎng)絡(luò)安全建設(shè)能力不足或投入相對(duì)有限的中小型企業(yè)，可通過網(wǎng)絡(luò)安全保險(xiǎn)補(bǔ)充或輔助建立低成本的風(fēng)險(xiǎn)防范能力，當(dāng)發(fā)生較嚴(yán)重的網(wǎng)絡(luò)安全事件時(shí)提供風(fēng)險(xiǎn)保障，降當(dāng)企業(yè)對(duì)外提供產(chǎn)品或服務(wù)時(shí)，采購方在合同中基于保障自身風(fēng)險(xiǎn)管控的需要，明確要求服務(wù)或產(chǎn)品提供方購買網(wǎng)絡(luò)安全保險(xiǎn)，此時(shí)服務(wù)方為滿足合同約定要求，需要購買網(wǎng)絡(luò)安全保險(xiǎn)商服務(wù)平臺(tái)、數(shù)據(jù)產(chǎn)品或服務(wù)提供方等類型企業(yè)在對(duì)其他用戶提供產(chǎn)品或服務(wù)時(shí)，會(huì)存在合同約定的對(duì)于具有大量供應(yīng)商的大型制造業(yè)企業(yè)，由于供應(yīng)鏈引入的安全風(fēng)險(xiǎn)往往對(duì)于企業(yè)自身造成較大的風(fēng)險(xiǎn)管理成本，因此企業(yè)出于自身風(fēng)險(xiǎn)管控的需要，將網(wǎng)絡(luò)安全保險(xiǎn)作為供應(yīng)鏈準(zhǔn)入的要求之一。一旦因供應(yīng)鏈安全風(fēng)險(xiǎn)導(dǎo)致企業(yè)自身的損失和影響，企業(yè)可以向供應(yīng)鏈企業(yè)索賠，此時(shí)供應(yīng)鏈網(wǎng)絡(luò)安全企業(yè)為用戶提供網(wǎng)絡(luò)安全產(chǎn)品或解決方案的同時(shí)，為網(wǎng)絡(luò)安全產(chǎn)品投保網(wǎng)絡(luò)安全保險(xiǎn)，當(dāng)用戶因產(chǎn)品防護(hù)不當(dāng)發(fā)生網(wǎng)絡(luò)安全事件所造成損失，可以由網(wǎng)絡(luò)安全保險(xiǎn)賠償。網(wǎng)絡(luò)安全企業(yè)通過為產(chǎn)品購買網(wǎng)絡(luò)安全保險(xiǎn)的方式，為使用產(chǎn)品的用戶提供了額外的風(fēng)險(xiǎn)保障能力，從而增強(qiáng)了目前典型的面向網(wǎng)絡(luò)安全產(chǎn)品的保險(xiǎn)包括針對(duì)勒索軟件防護(hù)的產(chǎn)品和針對(duì)DDOS攻擊的防護(hù)產(chǎn)品等，如勒索軟件安全防護(hù)保險(xiǎn)，保障使用防勒索軟應(yīng)費(fèi)用或處置費(fèi)用等；DDOS攻擊損失補(bǔ)償保險(xiǎn)，則主要保障采用抗DDOS產(chǎn)品的用戶遭到DDoS攻擊而產(chǎn)網(wǎng)絡(luò)安全保險(xiǎn)作為企業(yè)數(shù)字化過程中防范風(fēng)險(xiǎn)損失的有效手段，其損失補(bǔ)償功能和防災(zāi)減損作用降低總體成本，保障企業(yè)網(wǎng)絡(luò)信息安全。當(dāng)前我國(guó)處于數(shù)字經(jīng)濟(jì)高速發(fā)展時(shí)期，網(wǎng)絡(luò)安網(wǎng)絡(luò)安全保險(xiǎn)的產(chǎn)業(yè)化發(fā)展不僅有助于企業(yè)用中，不論從投保企業(yè)制定風(fēng)險(xiǎn)轉(zhuǎn)移策略，還是保險(xiǎn)機(jī)構(gòu)開展的風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)控制服務(wù)，均會(huì)對(duì)企技術(shù)、數(shù)據(jù)以及資本等方面，能夠?yàn)槠髽I(yè)提供全面的網(wǎng)絡(luò)風(fēng)險(xiǎn)應(yīng)對(duì)方案c)促進(jìn)網(wǎng)絡(luò)安全新業(yè)態(tài)發(fā)展，提高社會(huì)整體網(wǎng)網(wǎng)絡(luò)安全保險(xiǎn)需求的多樣化和網(wǎng)絡(luò)安全保險(xiǎn)+安全服務(wù)的創(chuàng)新模式，能新的網(wǎng)絡(luò)安全產(chǎn)業(yè)生態(tài)和安全服務(wù)模式，擴(kuò)大網(wǎng)絡(luò)安全市場(chǎng)規(guī)模。通過網(wǎng)絡(luò)安全保險(xiǎn)市場(chǎng)的a)企業(yè)根據(jù)風(fēng)險(xiǎn)管理要求為自身或特定重要業(yè)務(wù)系統(tǒng)購買網(wǎng)絡(luò)企業(yè)根據(jù)自身風(fēng)險(xiǎn)管理情況、運(yùn)營(yíng)情況、行業(yè)安全風(fēng)險(xiǎn)等因素制定網(wǎng)絡(luò)安全風(fēng)險(xiǎn)轉(zhuǎn)移策略，形成保險(xiǎn)需求。保險(xiǎn)公司依據(jù)自身風(fēng)險(xiǎn)偏好、法律規(guī)定、市場(chǎng)慣例等因素為企業(yè)提供多種類型保險(xiǎn)產(chǎn)品以滿足企業(yè)需求。企業(yè)可根據(jù)不同保險(xiǎn)產(chǎn)品之間的差異性以選擇最佳網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理策略。下面列舉了該應(yīng)用場(chǎng)景下典型網(wǎng)絡(luò)安全相關(guān)保險(xiǎn)產(chǎn)品主要承保被保險(xiǎn)人因網(wǎng)絡(luò)安全事件導(dǎo)致的直接“第一方損失”投保人自身及其相關(guān)聯(lián)公司作為共同被保險(xiǎn)人（被保險(xiǎn)人不限制數(shù)量，在投保人相關(guān)聯(lián)公司作為被保險(xiǎn)人（被保險(xiǎn)人不限制數(shù)量，在保險(xiǎn)單列明即主要承保投保方因網(wǎng)絡(luò)安全事件引發(fā)的對(duì)第三構(gòu)）的法定賠償責(zé)任，一般稱為“第三者責(zé)任”可同時(shí)承保被保險(xiǎn)人因網(wǎng)絡(luò)安全事件導(dǎo)致的第一方損失以及第三者責(zé)任b)企業(yè)為安全產(chǎn)品投保保障使用該產(chǎn)品的用戶網(wǎng)絡(luò)安全企業(yè)為提高自身安全產(chǎn)品的信譽(yù)和競(jìng)用產(chǎn)品的用戶提供了風(fēng)險(xiǎn)保障能力。典型可投保的網(wǎng)絡(luò)安全產(chǎn)品包括防勒索產(chǎn)品、DDoS攻擊解決方案、數(shù)據(jù)防泄露產(chǎn)品等，網(wǎng)絡(luò)安全公司將保險(xiǎn)作為產(chǎn)品附帶的風(fēng)險(xiǎn)保障手段，為使用產(chǎn)品服務(wù)的同時(shí)，針對(duì)用戶可能發(fā)生的網(wǎng)絡(luò)勒索損失、營(yíng)業(yè)中斷損失、應(yīng)急響應(yīng)費(fèi)用、數(shù)據(jù)安全責(zé)任等提勒索軟件安全保障被保險(xiǎn)人在安裝了經(jīng)保險(xiǎn)公司評(píng)估認(rèn)可的防勒索軟件的情況下，仍中勒索病毒，并由此產(chǎn)生的應(yīng)急響應(yīng)費(fèi)用或勒索處置費(fèi)購買防勒索軟件的最終主要保障被保險(xiǎn)人遭到基礎(chǔ)防護(hù)之上的DDoS攻擊而產(chǎn)生的營(yíng)業(yè)中斷損失和為減少營(yíng)業(yè)中斷而產(chǎn)生的保險(xiǎn)人為投保人提供網(wǎng)絡(luò)安全保險(xiǎn)保障政策，并在網(wǎng)絡(luò)安全保險(xiǎn)單中注明保險(xiǎn)所涵蓋的網(wǎng)絡(luò)風(fēng)險(xiǎn)損失類型。該保險(xiǎn)單中列明的保險(xiǎn)保障方案需基于投保人的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估結(jié)果。投保人可選擇獨(dú)立保單形式，僅針對(duì)事先約定的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)、損失展開保險(xiǎn)保障，或選擇復(fù)合保單形式，XX保險(xiǎn)公司網(wǎng)絡(luò)安全保險(xiǎn)單保險(xiǎn)類型保險(xiǎn)人投保人被保險(xiǎn)人保險(xiǎn)期限保障及分項(xiàng)責(zé)任限額保單總限額或保險(xiǎn)總限額的XX%保單總限額或保險(xiǎn)總限額的XX%保單總限額或保險(xiǎn)總限額的XX%保單總限額或保險(xiǎn)總限額的XX%保單總限額或保險(xiǎn)總限額的XX%保單總限額或保險(xiǎn)總限額的XX%免賠額/等待期地域范圍及司法管轄特別約定針對(duì)網(wǎng)絡(luò)安全保險(xiǎn)保障范圍，對(duì)其中的每一項(xiàng)內(nèi)容，投保人或被保險(xiǎn)人需仔細(xì)確多少保障額度，它也是計(jì)算保險(xiǎn)費(fèi)的依據(jù)。投保人或被保險(xiǎn)人可以獲得的網(wǎng)投保人需要了解網(wǎng)絡(luò)安全保險(xiǎn)中的免賠額和等待期，每次事故免賠額（率網(wǎng)絡(luò)安全保險(xiǎn)并不能覆蓋所有風(fēng)險(xiǎn)情況，投a)身體傷害和財(cái)產(chǎn)損失除外。網(wǎng)絡(luò)安全事件不涉及對(duì)人的精神損害和直接的物質(zhì)財(cái)產(chǎn)此這兩項(xiàng)責(zé)任一般被排除在網(wǎng)絡(luò)保險(xiǎn)保障范圍之外。但保險(xiǎn)人與被保險(xiǎn)人可以在保單中約定b)網(wǎng)絡(luò)戰(zhàn)爭(zhēng)除外。一般網(wǎng)絡(luò)安全保險(xiǎn)都將因網(wǎng)絡(luò)戰(zhàn)爭(zhēng)導(dǎo)致的損失賠償責(zé)任排除在外，以及針對(duì)c)不當(dāng)行為除外。被保險(xiǎn)人的不當(dāng)行為包括被保險(xiǎn)人及其雇員所做的任何不誠(chéng)實(shí)、欺詐或故意的不當(dāng)行為，或其他能夠讓被保險(xiǎn)人得到原本依照法律法規(guī)、被保險(xiǎn)人經(jīng)營(yíng)規(guī)d)違法行為除外。因被保險(xiǎn)人違反法律或法規(guī)要求的行為而引起的網(wǎng)絡(luò)事e)懲罰責(zé)任除外。由于網(wǎng)絡(luò)安全事件，國(guó)家行政機(jī)關(guān)對(duì)被保險(xiǎn)人的罰金、罰款或懲罰性賠償?shù)萬)任何基礎(chǔ)設(shè)施故障或供應(yīng)中斷責(zé)任除外。排除因基礎(chǔ)設(shè)施故障而導(dǎo)致的網(wǎng)絡(luò)事件和數(shù)據(jù)泄露機(jī)械故障，包括但不限于任何計(jì)算機(jī)及周邊設(shè)備有形財(cái)產(chǎn)本身的物理性故障、腐蝕、磨g)侵犯知識(shí)產(chǎn)權(quán)或商業(yè)秘密責(zé)任除外。被保險(xiǎn)人侵犯知識(shí)產(chǎn)權(quán)或商業(yè)秘密的責(zé)任由其他保險(xiǎn)產(chǎn)h)自然災(zāi)害和不可抗力除外。自然災(zāi)害、不可抗力或超出雙方合理控制范圍的特殊事件或情況，風(fēng)甚至火災(zāi)通常被排除在網(wǎng)絡(luò)安全保險(xiǎn)保單承保范圍與傳統(tǒng)財(cái)產(chǎn)保險(xiǎn)類似，網(wǎng)絡(luò)安全保險(xiǎn)的應(yīng)用通常包括展業(yè)、投保、承保、分保、防災(zāi)、理賠等主要業(yè)務(wù)活動(dòng)。本附錄對(duì)其中與網(wǎng)絡(luò)安全技術(shù)應(yīng)用相關(guān)的投保、承保、防災(zāi)、理賠等活動(dòng)進(jìn)行簡(jiǎn)要介紹。 投保也稱購買保險(xiǎn)，投保人可以通過保險(xiǎn)公司業(yè)務(wù)人員或保險(xiǎn)中介購買保險(xiǎn)。投保人有責(zé)任自覺網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估是投保過程中非常重要的環(huán)節(jié)，一方面投保人根據(jù)風(fēng)險(xiǎn)評(píng)估結(jié)果制定風(fēng)險(xiǎn)轉(zhuǎn)移的策略，形成網(wǎng)絡(luò)安全保險(xiǎn)需求；另一方面保險(xiǎn)人根據(jù)評(píng)估結(jié)果判斷是否可以承保相關(guān)風(fēng)險(xiǎn)，并為投保人設(shè)計(jì)滿足其需求的保險(xiǎn)方案。一般來說，投保人確定保險(xiǎn)需求的一網(wǎng)絡(luò)安全事件發(fā)生的概率不高，但造成的損失較大，應(yīng)優(yōu)先投保；相反，如果網(wǎng)絡(luò)安全事件發(fā)生的承保是指保險(xiǎn)人與投保人雙方通過協(xié)商，對(duì)保險(xiǎn)合同內(nèi)容達(dá)成一致并簽訂的過程。通常保險(xiǎn)人對(duì)險(xiǎn)標(biāo)的的風(fēng)險(xiǎn)是否發(fā)生變化等，如果某個(gè)保險(xiǎn)標(biāo)的的風(fēng)險(xiǎn)顯著增加，保險(xiǎn)人可能需要通過提高保險(xiǎn)費(fèi)，風(fēng)險(xiǎn)發(fā)生的因素，防止或減少網(wǎng)絡(luò)安全事件造成的損失。網(wǎng)絡(luò)安全保險(xiǎn)中防災(zāi)防損的對(duì)象是保險(xiǎn)標(biāo)的，防災(zāi)防損的方法包括法律、經(jīng)濟(jì)、技術(shù)等多種手段。其中法律手段是指投保人如果不加強(qiáng)防災(zāi)措施或?qū)τ诜罏?zāi)防損沒有應(yīng)盡責(zé)任，保險(xiǎn)人可以拒絕承擔(dān)賠償責(zé)任，也可能會(huì)追究其法律責(zé)任；經(jīng)濟(jì)手段則是指根據(jù)投保人采取的防災(zāi)措施水平來調(diào)節(jié)保險(xiǎn)費(fèi)率。在網(wǎng)絡(luò)安全保險(xiǎn)中，由于網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的動(dòng)態(tài)特性，對(duì)保險(xiǎn)標(biāo)的進(jìn)行風(fēng)險(xiǎn)監(jiān)測(cè)和預(yù)防管理是防災(zāi)防損的重要技術(shù)手段。在保險(xiǎn)期內(nèi)，網(wǎng)絡(luò)安全風(fēng)險(xiǎn)可能因內(nèi)外部環(huán)境變化而發(fā)生變化，保險(xiǎn)人需要開展相應(yīng)的風(fēng)險(xiǎn)監(jiān)測(cè)和預(yù)防管理活動(dòng)，及時(shí)了解被保險(xiǎn)人的風(fēng)險(xiǎn)變化情況，并要求被保險(xiǎn)人采取相應(yīng)控理賠是指保險(xiǎn)人在保險(xiǎn)標(biāo)的發(fā)生網(wǎng)絡(luò)安全事件后，對(duì)被保險(xiǎn)人提出的索賠請(qǐng)求進(jìn)行處理的行為。在理賠過程中，由于被保險(xiǎn)人發(fā)生網(wǎng)絡(luò)安全事件所造成的損失可能存在不再承保范圍的情況保險(xiǎn)人發(fā)生的損失也可能不等于保險(xiǎn)人的賠償額。所以，在網(wǎng)絡(luò)安全事件發(fā)生后，保險(xiǎn)人對(duì)網(wǎng)絡(luò)安全事件進(jìn)行調(diào)查，確定損失原因、確定損失程度、認(rèn)定求償權(quán)利，并黑客組織（威脅）利用信息系統(tǒng)訪問未進(jìn)行流量控制（脆弱性）的弱點(diǎn)，對(duì)投保人實(shí)施拒絕服務(wù)攻擊（攻擊方法），造成投保人業(yè)務(wù)系統(tǒng)（資產(chǎn)）無法正常訪問（安全事件），從而給投保人造成營(yíng)業(yè)中斷的影響（損失）。該風(fēng)險(xiǎn)場(chǎng)景代表了典型的網(wǎng)絡(luò)攻擊事件造成營(yíng)業(yè)中斷的風(fēng)險(xiǎn)。而識(shí)景中所涉及的不同要素的組合，能夠建立與網(wǎng)絡(luò)攻擊事件相關(guān)的風(fēng)險(xiǎn)場(chǎng)景，從而能夠評(píng)估網(wǎng)絡(luò)攻擊風(fēng)b)惡意程序?qū)е戮W(wǎng)絡(luò)勒索的風(fēng)險(xiǎn)場(chǎng)景黑客組織（威脅）通過發(fā)送帶有勒索病毒附件的釣魚郵件（攻擊方法），內(nèi)部人員因安