数字经济形势下网络安全新型服务模式探索｜科技专刊

一、背景

随着网络化、智能化程度不断加深，数字化转型持续推进，网络空间安全风险格局加速演变，网络安全风险成为数字时代最大的风险，网络安全处于重要转折期，传统的网络安全思维和惯性做法需要彻底转变，亟需探索网络安全新型服务模式，紧跟数字经济时代的步伐。现有的网络安全服务模式无法有效监管服务成效和保障能力，导致残余风险大量留存，特别在发生网络安全事件后无法获得有效的经济补偿和技术支撑。

网络安全保险是针对数字经济特定风险的新型服务模式，可以全面弥补传统网络安全服务的缺陷，在转移残余风险、提升安全能力和业务连续性等方面发挥着重要作用。国家各层级已陆续出台网络安全保险新兴安全政策和服务策略，为网络安全新型服务模式的探索加速推进提供助力。目前，我国网络安全保险市场正处于初步探索阶段，需借鉴国外经验，加速市场布局，提升供给能力，强化服务保障，推动网络安全保险产业发展。

二、现状和趋势

国外网络安全服务发展迅速，已形成多种网络安全新型服务模式，特别是在网络安全保险业务方向表现突出，自20世纪90年代至今已进入快速发展阶段，2022年约为119亿美元，预计到2027年将达到292亿美元，年复合年增长率达19.47%。

我国以网络安全法、数据安全法、个人信息保护法等为重要构成的网络安全法律体系日益完善，网络安全服务保障机制需要创新发展来契合国家网络安全发展战略，探索符合数字经济发展形势下的网络安全服务新模式、新业态。

国内已有多家网络安全企业与保险公司共同探索网络安全服务新模式，联合打造“保险+科技+安全”服务机制，其中代表性的有：南网鼎和保险+南网数字研究院+嘉韦思公司、平安财险＋公安三所、中国人寿财险＋360集团等。据统计，2022年我国网络安全保险保费规模约1.4亿元，较2021年(7080万元)翻了一番，但是总体规模仍不及财产保险保费规模的万分之一，网络安全保险产业规模可挖掘空间非常大。据了解，我国共有30余家保险公司备案了78款网络安全保险产品（具体可参阅https://mp.weixin.qq.com/s/tPOftqtrIpPDAmOVXMVw-A），其中2022年新增网络安全保险产品数量为24款，是2021年备案产品数量(11款)的二倍以上。

网络安全服务公司应积极探索网络安全服务创新，建立具有行业特色的网络安全服务新型业务模式，推进网络安全服务市场化、数字化，包括风险评估、渗透测试、漏洞排查、基线核查、攻防演练、应急响应、重保值守、安全培训等多方面安全服务。保险公司应大力宣传网络安全保险推广案例，联合保险科技公司开展网络安全保险服务，但业务模式仍需健全，保险公司和网络安全服务公司应充分利用各方面资源优势，联合开展网络安全服务创新研究，将网络安全技术能力通过创新型业务实现全面提升，从企业自主安全保障和供应商服务保障方向推动网络安全保险产业快速发展。

三、意义和实践

网络安全保险不仅是企业实现风险转移的有效手段，在优化资源配置、保障组织财务稳定性和业务连续性等方面发挥着重要作用，有助于降低企业数字化进程中的安全风险，进一步健全企业网络安全风险管理体系，保障企业健康有序发展。具体表现在：

一、建立全面网络风险应对方案，保护核心资产并优化资源配置。网络安全保险可指导企业建立全面风险治理框架和流程，通过已沉淀形成的典型经验保护核心资产，优化资源配置，为企业提供全面的网络风险应对方案。

二、加强应对风险的专业性，促使企业经营效率最大化。保险公司与优秀安全服务公司进行技术场景融合，持续筛选和验证人才队伍，在风险管理和成本管理方面都有强大的优势，利用保险达成企业的经营发展目标，促使企业经营效率的最大化。

三、强化网络安全周期性管理，创造高效运作的网络安全闭环。保险公司与多方安全服务企业形成健康的合作模式，为企业创造高效运作的网络安全风险闭环能力。企业单方面能力有限，获取有效的安全能力支撑和经验数据资源成本较高，而且实现的效果达不到预期。

四、降低网络安全成本投入，构建差异化的网络安全服务成效。针对中小企业，可提供“小而精”的保障方案，获得基本的网络安全保障能力，有效降低出险概率，提升险中、险后的应急响应及复原能力，减轻经营冲击；针对大型企业，提供“大而美”的网络安全保险方案，借助保险公司的“中立视角”审视自身网络安全建设情况，提供额外的应急响应资源作为企业现有能力的有益补充，同时可满足风险验证、事故响应、危机公关等多样化需求。

如果企业有意愿投保网络安全保险，需要了解投保前相关操作流程。目前开展网络安全保险的保险公司，一方面采用投保前填写网络安全风险及网络安全管理现状调查问卷，另一方面是采用线上网络风险评估系统，进行承保前的风险评估。评估完成后提供保单，明确投保保额、保险项目、接受的免赔约定、以及其他信息，投保的流程和其他险种基本一致，重点工作是承保前的风险评估及定价。

风险评估一般包含网络安全基础建设、网络安全管理制度、网络安全及数据安全综合治理能力等，以及企业所属行业、声誉、营业销售额及其他企业信息，力求充分了解拟企业网络风险的真实情况。综合分析评估在大约3-5个工作日给出投保建议。

下面引用一个真实案例：某投保金融企业发生员工不法事件，造成总事故费用1400万美元，损失惨重。投保人发现内部员工窃取了金融客户数据，随后终止劳动合同，并通知了相关的监管机构。投保人委托多家供应商处理数据泄露事件，包括取证、通知、信用监控和法律服务，同时委托多个监管机构对事件展开调查。最终投保人受到相应罚款，所有受影响的客户都得到了妥善通知，并提供了身份盗窃保护服务。保险公司针对理赔条款，在适用的免赔额被扣除后，所有费用均由网络安全保险承担。除此之外，对勒索攻击、营业中断、数据安全等场景已建立了针对性的险种，保障企业安全稳定运行。

四、目标思路

1、总体定位

按照“统一规划、统一建设、联合创新、联合运营”的原则开展网络安全新兴服务模式建设。其中，统一规划是指在国家统一指导下，清晰定位“网络安全新型服务”，立足企业主体及上下游供应链调研网络安全风险转移需求，统一规划建设方向和发展路径。统一建设是指按照总体发展顶层架构，充分发挥资源优势，聚合各方技术能力打造“网络安全科技数字化服务平台”，赋能网络安全新型业务布局，结合市场需求开展共性业务能力和标准规范体系建设。联合创新是协同开展网络安全新型服务产品的设计研究，开发适于不同行业的网络安全责任险、网络安全综合险、应急响应专项险、软件供应链安全险、数据安全险等新型产品。联合运营是由保险科技公司和网络安全服务公司发挥网络安全技术实力优势，负责承担保前风险评估、保中持续监控、保后应急理赔等网络安全服务支撑工作。

2、工作方案

（一）利用网络安全保险牵动安全服务转型

分析不同业务场景的网络安全风险，充分发挥技术服务优势，依托网络安全保险承保、风控、理赔等全流程体系来赋能新型网络安全服务探索。一是研究保险产品对网络安全服务的宿主模式。面向互联网行业不同场景的差异化网络安全风险管理需求，将网络安全保险服务授予定制化的网络安全保险产品，建立专项分级、服务分类的创新型风险管理服务机制。二是研究传统保险产品的平滑升级模式。结合传统险种提供搭配式的新型网络安全保险保障，以匹配多元化风险管理需求，通过定制化、特色化的方式，满足不同投保企业的保险需求，提高网络安全保险对不同规模企业的服务价值。

（二）调动网络安全上下游提升企业安全运营

基于网络安全特色化服务模式基础，对投保对象提供精准明确的网络安全服务。一是强化供应链安全保障。主要面向产品和服务供应商，供应商企业依托创新型保险服务，在推广产品或服务时，向下游企业提供主动型风险防御服务，通过定期巡检、加固、监测、预警、防护、恢复等持续周期性的网络安全服务，提升供应链下游企业网络安全防御能力和建设成效，降低网络安全事件发生概率。二是探索网络安全服务新模式。主要面向央国企大型集团公司，推动网络安全技术服务与保险机制相结合，充分发挥网络安全企业技术优势，通过风险评估、风险监测、应急响应等常规安全服务手段赋能，赋予网络安全保险保单和承保理赔增值服务，为最终用户提供保险备书，增加用户体验和粘性。三是建立网络安全服务新生态。集合保险公司、网络安全服务商、会计师事务所、律师事务所、公关公司等相关资源，全方位构建网络安全服务生态，拉动整个网络安全新型业务模式快速发展，更加有效的提升企业和国家网络安全实力。

（三）建设网络安全数字科技云平台

基于网络安全的共性技术和业务能力，打造统一的网络安全数字科技云平台，支撑快速搭建上层应用，构建网络安全服务数字化底座，实现安全服务平台化能力拓展。一是建设自动化风险评估模型。细化不同类型和场景的风险指标，从技术管控、组织建设、人员管理等方面明确风险评估的影响因素，建立网络风险数据库，持续收集不同行业的典型案例和基础数据，制定准确且具有差异化的网络安全策略，形成透明有效的风险评价体系，指导保费合理定价。二是实现线上化过程管控和服务流程监管。基于自动化流程管控，融合网络安全保险服务机制，建立对网络安全保险的保中持续监管、保后的合理理赔线上化全流程管理，构建网络安全新型闭环服务机制，为持续优化风险评估指标和沉淀网络安全场景形成良好的发展基础。

作者介绍