专题·网络安全保险 | 加快推进网络安全保险创新发展助力网络安全保障体系建设 - 新鲜讯息

扫码订阅《中国信息安全》

邮发代号 2-786

征订热线：010-82341063

文 | 国家工业信息安全发展研究中心冯媛孙倩文

当前，数字经济蓬勃发展，新一轮科技革命和产业变革深入演进，产业数字化和数字产业化加快推进，网络安全风险挑战不断演变升级，网络安全保险作为转移、防范网络安全风险的重要工具，已逐渐成为欧美地区网络安全风险管理的重要手段，在我国也迎来快速发展的重要机遇期。现阶段，网络安全保险发展得到各界广泛关注，政策环境持续优化，标准化建设展开初步探索，网络安全保险产品形态和服务模式日益多元化。为了加快促进网络安全保险规范健康发展，全面提升网络安全保障能力，护航新型工业化高质量发展，全力推进制造强国和网络强国建设，我们应该在健全完善政策标准体系、强化网络安全保险产品服务创新、推进网络安全保险落地应用、发展网络安全保险生态等方面进行多方努力。

一、发展网络安全保险的意义

网络安全保险在助推保险业、网络安全产业高质量发展，促进行业企业网络安全能力升级等方面具有积极意义。一是开拓保险业发展新空间。网络安全在业务发展中的基础性、关键性作用日益凸显，网络安全保险弥补了传统保险产品在承保网络安全风险方面的缺失，为保险业发展带来新的市场机遇。随着工业互联网、车联网等新兴融合技术的应用普及，网络安全保险有望与安全生产责任险、职业责任险、车险等传统险种深度融合，为新业态新模式发展提供网络安全保障。二是推动网络安全产业高质量发展。网络安全保险集风险管控服务与经济赔偿能力于一体，实现了网络安全服务与金融服务的融合创新。网络安全保险突出的服务属性有助于进一步激发网络安全服务需求，同时也可起到为网络安全产品服务增信的作用，对培育健康有序的网络安全产业环境具有积极推动作用。三是促进行业企业网络安全能力提升。作为网络安全风险转移的有效手段之一，行业企业可通过网络安全保险监控风险敞口，构建并完善自身网络安全风险管理体系，强化网络安全主体责任，提升网络安全风险应对能力。

发展网络安全保险，有利于深化全社会对网络安全重要性的认识，增强网络安全保险供给能力；有利于企业加强网络安全风险管理，提升网络安全风险应对能力，促进中小企业数字化转型发展；有利于推动网络安全产业和金融服务业融合发展，推进网络安全社会化服务体系建设，促进网络安全产业高质量发展，助力制造强国、网络强国建设。

二、我国网络安全保险的发展

在顶层设计助推下，我国网络安全保险生态系统中各方主体踊跃创新，推动网络安全产品服务、需求对接和商业模式落地等多点开花。2022 年，我国网络安全保险保费规模约为 1.4 亿元，较 2021 年翻一番。截至 2023 年 8 月底，共有 36 家保险公司（含外商独资、中外合资保险公司）在售 95 款网络安全保险产品（含附加险 9 款），其中财产险种类 44 款，责任险种类 23 款，供应链、电信和互联网、工业互联网安全等领域的网络安全保险新产品加快研发，行业发展呈现良好态势。

一是首份政策文件出台推进发展环境持续向好。2023 年 7 月，工业和信息化部会同国家金融监督管理总局起草的我国网络安全保险领域首份政策文件《关于促进网络安全保险规范健康发展的意见》（以下简称《意见》）正式发布。《意见》围绕建立健全网络安全保险政策标准体系、加强网络安全保险产品服务创新、强化网络安全技术赋能保险发展、促进网络安全产业需求释放、培育网络安全保险发展生态等五方面提出十条意见。《意见》的发布恰逢其时、意义重大，开启了我国网络安全保险创新发展的新篇章，有望助推网络安全保险发展成网络安全产业的蓝海市场，将有效促进网络安全保险生态构建，推动网络安全产业高质量发展。

二是网络安全与金融业融合创新发展成效显著。面向行业企业网络安全风险管理需求，“保险服务+安全风控”模式日趋成熟。该模式下，保险公司发挥主导作用，借助网络安全企业、专业网络安全测评机构的专业技术能力、场景化评估分析能力和数据整合分析能力，开展产品开发、核保定价、防灾减损等保险服务，为企业提供网络安全财产损失险、责任险、综合险等保险产品。面向网络安全产品剩余风险保障需求，“安全防护+保险保障”模式加快探索落地。该模式由网络安全企业主导，网络安全企业为行业用户企业提供网络安全防护类产品服务的同时附加网络安全专门保险，为企业网络安全风险防范提供多重保障。

三是网络安全技术支撑网络安全保险流程不断完善。在销售环节，通过开源信息扫描，实现对网络安全、端口安全、DNS 安全、邮件安全、补丁漏洞、应用安全、IP 声誉、资产暴露、数据安全等多维度网络安全风险的量化评估，支撑保险公司确认潜在被保险企业是否可保。在核保评估环节，通过网络空间测绘、漏洞扫描、渗透测试、外部风险暴露监测、钓鱼邮件测试等多种自动化、半自动化工具方法，识别企业潜在的风险要素，并构建风险评级指标和不同场景下的风险暴露指数，明确风险程度以支撑精准定价。在承保环节，整合威胁情报、网站监测、资产测绘、应急响应等技术平台的网络安全能力，搭建适用于网络安全保险的保中监测基础平台系统，对业务中断、漏洞情报、威胁攻击告警和数据泄露等网络安全风险的实时动态监测，实现防损减损。

四是新兴风险场景保险保障需求逐步释放。在云服务领域，针对云计算平台、工业互联网平台，可面向服务提供商提供云计算服务责任保险，保障其因网络安全事件引发云计算服务中断的经济赔偿责任和相关修复费用等。在车联网领域，面向网络安全事件可能造成的智能驾驶系统等数字资产损失，以及可能引发车辆使用人、操作人或其他人员的人身伤亡或财产损失风险，可提供人工智能系统责任保险等相关产品，以无人驾驶测试车辆的核心系统——智能驾驶系统为切入点，保障无人驾驶汽车人工智能系统因发生无法控制的故障或失灵造成的相关索赔责任，助力车联网网络安全保障能力建设。针对供应链攻击的风险场景，可向拥有复杂供应链的企业提供供应链网络安全保险，以保障供应链上下游企业对其核心企业的网络安全责任，以实现为整个供应链网络和信息安全管理兜底。

三、加快推进网络安全保险创新发展的思考建议

现阶段，我国网络安全保险正处于快速发展的重要机遇期，应积极推进网络安全产业和金融服务创新融合。在这方面，我们需要集中力量健全完善政策标准体系、强化网络安全保险产品服务创新、推进网络安全保险落地应用、发展网络安全保险生态。这些举措将促进我国网络安全保险规范健康发展，加快健全网络安全保障体系。

一是发挥政策引领指导作用，健全完善行业发展规范。立足我国网络安全保险发展实际，研究制定网络安全保险标准体系框架。针对不同行业领域，特别是工业互联网、车联网、云计算服务等具体行业领域的网络安全风险特点以及保障范围和业务模式的差异，明确关键业务环节对应的网络安全技术要求。对于多样化风险场景，如勒索软件、供应链攻击等网络安全风险场景，以及信息技术产品责任、服务人员职业责任等责任风险类型，应研究它们对应不同保险标的所面临的网络安全风险类型，配套保险服务特征，解决业务发展创新中的规范性问题。

二是强化网络安全技术赋能，加强网络安全保险产品服务创新。鼓励保险公司拓宽保险服务领域，扩大保险覆盖面，针对电信、金融、医疗、交通等不同行业领域，围绕新技术、新业态、新模式引发的业务风险，深入调研网络安全风险管理需求，积极探索产品创新，开发多元化、本土化、差异化网络安全保险产品。加速保险服务与网络安全服务融合创新，持续推动“保险服务+安全风控”模式落地应用与迭代优化。切实发挥网络安全企业产业资源优势，将网络安全保险产品嵌入自身网络安全产品服务中，为服务责任兜底。探索构建以网络安全保险为核心的全流程网络安全风险管理解决方案。

三是推进网络安全保险落地应用，促进企业风险应对能力提升。促进电信、能源、金融、交通、水利、教育等重点行业企业积极探索利用网络安全保险减缓网络安全风险，强化网络安全主体责任，保障重要网络基础设施、信息系统稳定运行和网络及数据安全。支持中小企业投保可灵活搭配的一体化网络安全保险，监控网络安全风险敞口，转移残余网络安全风险，构建网络安全风险管理体系，保障组织财务稳定性和业务连续性，不断提升中小企业网络安全风险意识和应对能力。引导上市或拟上市企业购买网络安全保险，可与董监事及高级管理人员责任保险配套宣传推广，作为在网络安全风险保障方面的有效补充，强化企业对网络安全、数据安全的重视程度与责任意识。

四是培育优质网络安全保险企业，发展网络安全保险生态。促进各类网络安全保险服务机构积极参与网络安全保险生态，整合优势资源，深化跨行业合作，组建网络安全保险创新联合体。充分发挥保险公司、再保险公司等保险专业优势，进一步释放承保能力，联合网络安全企业等加快保险服务与网络安全服务融合创新。充分发挥保险经纪公司渠道优势，加强网络安全保险供需对接。充分发挥网络安全企业、专业测评机构网络安全技术优势，夯实网络安全风险管理技术支撑能力，以网络安全产品服务能力输出带动网络安全保险应用推广。

（本文刊登于《中国信息安全》杂志2023年第10期）

《中国安全信息》杂志倾力推荐

“企业成长计划”

点击下图了解详情