网络安全保险应用指南.pdf
《网络安全保险应用指南.pdf》由会员分享,可在线阅读,更多相关《网络安全保险应用指南.pdf(27页珍藏版)》请在咨信网上搜索。
1、 ICS 35.030 CCS L80 中华人民共和国国家标准中华人民共和国国家标准 GB/T XXXXXXXXX 信息安全技术 网络安全保险应用指南 Information security technology Guideline for cybersecurity insurance application(点击此处添加与国际标准一致性程度的标识)(征求意见稿)2023-7-31 在提交反馈意见时,请将您知道的相关专利连同支持性文件一并附上。在提交反馈意见时,请将您知道的相关专利连同支持性文件一并附上。XXXX-XX-XX 发布 XXXX-XX-XX 实施 GB/T XXXXXXXXX
2、I 目次 前言.1 1 范围.2 2 规范性引用文件.2 3 术语和定义.2 4 网络安全保险应用概述.3 4.1 目的和作用.3 4.2 基本应用流程.4 4.3 主要角色与职责.5 5 网络安全保险保障范围.6 5.1 概述.6 5.2 事件类型.6 5.3 损失类型.7 6 投保前风险评估.7 6.1 确定保险需求.7 6.2 实施风险评估.8 6.3 保险核保与定价.10 7 保险期间风险控制.10 7.1 日常风险管理.10 7.2 保险人风险控制.10 7.3 实施风险控制.11 8 出险后事件评估.11 8.1 应急响应与索赔.11 8.2 实施事件评估.12 8.3 保险理赔.
3、13 附录 A(资料性)网络安全保险需求及应用场景.14 A.1 网络安全保险需求分析.14 A.2 网络安全保险必要性.15 A.3 网络安全保险应用场景及示例.15 附录 B(资料性)网络安全保险单示例.17 附录 C(资料性)网络安全保险其他考虑事项.19 C.1 保险金额.19 C.2 免赔额和等待期.19 C.3 常见除外责任.19 附录 D(资料性)保险业务活动与网络安全.20 附录 E(资料性)基于风险场景的量化分析方法.21 GB/T XXXXXXXXX II E.1 风险场景示例.21 E.2 风险量化分析示例.22 参考文献.23 GB/T XXXXXXXXX 1 前言 本
4、文件按照GB/T 1.12020标准化工作导则 第1部分:标准化文件的结构和起草规则的规定起草。本文件由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。本文件起草单位:北京源堡科技有限公司、国家工业信息安全发展研究中心、中国电子技术标准化研究院、中国信息安全测评中心、国家信息技术安全研究中心、国家信息中心、公安部第一研究所、公安部第三研究所、中国科学院信息工程研究所、中国网络空间研究院、中国人民财产保险股份有限公司、中国太平洋财产保险股份有限公司、中国平安财产保险股份有限公司、中国人寿财产保险股份有限公司、国任财产保险股份有限公司、诚泰财产保险股份有限公司、中国财产再保险有限责任
5、公司、前海再保险股份有限公司、建信财产保险有限公司、奇安信科技集团股份有限公司、北京神州绿盟科技有限公司、启明星辰信息技术集团股份有限公司、北京天融信网络安全技术有限公司、杭州安恒信息技术股份有限公司、腾讯云计算(北京)有限责任公司。本文件主要起草人:陈幼雷、梁露露、韩冰、黄鹏、冯媛、孙倩文、上官晓丽、王惠莅、王秉政、李淼、曹岳、刘玉岭、王佳慧、李海涛、陈妍、白云、刘愉、刘怡、万杰、李萌、沈铭新、孙涛、刘蓉、沈哲、孟鑫、欧阳周婷、刘玉荟、张静、田丽丹、李克鹏。GB/T XXXXXXXXX 2 信息安全技术 网络安全保险应用指南 1 范围 本文件描述了网络安全保险的概念、作用和主要应用阶段,提出
6、了网络安全保险应用各阶段的流程和方法。本文件适用于指导采用网络安全保险转移风险的组织,也可为保险人和服务方提供参考。2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改版)适用于本文件。GB/T 209842022 信息安全技术 信息安全风险评估方法 GB/T 209862023 信息安全技术 网络安全事件分类分级指南 GB/T 220812016 信息技术 安全技术 信息安全控制实践指南 3 术语和定义 下列术语和定义适用于本文件:3.1 网络安全事件 cyb
7、ersecurity incident 由于人为原因、软硬件缺陷或故障、自然灾害等,对网络和信息系统或其中的数据和业务应用造成危害,对国家、社会、经济造成负面影响的事件。来源:GB/T 386452020,3.1 3.2 网络安全保险 cybersecurity insurance 财产保险的一种,承保因发生网络安全事件所造成的经济损失以及需承担的法定赔偿责任。注:网络安全保险属于广义的财产保险范畴,数字资产等无形资产可作为该险种的保险标的。3.3 保险人 insurer 与被保险人共同分担网络安全风险,并承担赔偿或者给付保险金责任的保险公司。来源:GB/T 366872018,2.4,有修改
8、 3.4 投保人 applicant 与保险人签订保险合同,并按照保险合同负有支付保险费义务的法人主体。来源:GB/T 366872018,2.5,有修改 GB/T XXXXXXXXX 3 3.5 被保险人 insured 向保险人分担或考虑分担网络安全风险的法人主体,其财产受保险合同保障,享有保险金请求权。来源:GB/T 366872018,2.6,有修改 注:投保人可以为被保险人。3.6 保险标的 subject of insurance 作为保险对象的财产及其相关利益,在保险合同中所载明的投保对象。来源:GB/T 366872018,2.22,有修改 3.7 财产保险 property
9、insurance 以财产及其有关利益为保险标的的保险。来源:GB/T 366872018,2.2 注:财产保险包括财产损失保险、责任保险、信用保险、保证保险等。3.8 服务方 service provider 为网络安全保险业务提供风险评估、风险监测、安全检测、事件鉴定、损失评估、勘察及理赔、法律咨询等专业服务的机构。注:在网络安全保险业务中,保险人或被保险人均可根据实际需求委托服务方开展相关服务。3.9 网络安全保险单 cybersecurity insurance policy 网络安全保险合同成立后,保险人向投保人签发的保险合同的正式书面凭证。来源:GB/T 366872018,5.3
10、.1 3.10 第三者 the third party 指除了投保人、被保险人、被保险人的高级管理人员和任何雇员以为的任何其他自然人或法人。4 网络安全保险应用概述 4.1 目的和作用 网络安全保险是组织实现网络安全风险转移的手段,通过补偿组织因网络安全事件可能导致的经济损失,帮助组织管理风险,增强风险应对能力。网络安全事件所造成的经济损失既包含组织自身的损失,也包含对第三者的赔偿责任。与传统财产保险以有形财产及其相关经济利益为保险标的不同,网络安全保险的保险标的既包括有形财产,也包括无形财产。网络安全保险主要承保网络空间的安全风险,如网络攻击、恶意程序、系统功能错误或失效等。网络安全保险的作
11、用包括:a)补偿网络安全事件所导致的经济损失,降低潜在影响;GB/T XXXXXXXXX 4 b)预防和减少网络安全事件造成的损失和危害;c)为应急响应及恢复提供资金支持;d)协助组织恢复正常运营;e)提高对网络安全事件的韧性;f)降低网络安全风险管理的总体成本。网络安全保险需求和应用场景可参考附录 A。为方便表述,以下将组织称为投保人或被保险人。4.2 基本应用流程 网络安全保险应用流程如图1所示。包括如下内容:图1 网络安全保险应用基本流程 a)投保前风险评估,此阶段包括:1)确定保险需求:被保险人确认保险需求,包括保险保障范围、保障额度以及保险费用等;2)实施风险评估:服务方实施风险评估
12、,被保险人配合提供必要支持;3)保险核保与定价:保险人根据风险评估结果进行核保并制定保险方案,包括保障范围、保险额度、保险费用等。当保险人拒绝承保时,被保险人可以根据风险评估结果进行整改或调整保险需求。b)保险期间风险控制,此阶段包括:1)日常风险管理:被保险人开展日常风险管理活动,对相关风险进行监测和处置;2)保险人风险控制:保险人主动开展的风险监测和预防管理等相关活动;3)实施风险控制:服务方实施风险控制,协助被保险人进行风险管理。保险期间被保险人可以及时共享风险状况信息,履行风险控制义务。c)出险后事件评估,此阶段包括:1)应急响应及索赔:被保险人开展应急响应工作,并根据损失情况发起索赔
13、请求;2)实施事件评估:保险人委托服务方对网络安全事件进行调查,确定事件责任和实际损失;3)理赔:保险人根据调查结果做出赔偿决定,履行保险人的赔偿责任。保险业务中的网络安全相关活动见附录D。GB/T XXXXXXXXX 5 4.3 主要角色与职责 4.3.1 主要角色 网络安全保险应用主要参与角色如图2所示。其中:图2 网络安全保险应用参与角色 a)保险人 指与被保险人共同分担网络安全风险,并承担赔偿或者给付保险金责任的保险公司。b)投保人 指与保险人签订保险合同,并按照保险合同负有支付保险费义务的法人主体。投保人为自己投保时,投保人即被保险人;投保人为其他法人主体投保时,投保人代被保险人缴纳
14、保费,投保人和被保险人是不同法人主体。c)被保险人 指向保险人分担或考虑分担网络安全风险的法人主体,其财产受保险合同保障,享有保险金请求权。被保险人是网络安全保险直接受益人。d)服务方 指为网络安全保险业务提供风险评估、风险监测、安全检测、事件鉴定、损失评估、勘察及理赔、法律咨询等专业服务的机构。服务方受保险人委托,也可以受被保险人委托开展上述网络安全服务。4.3.2 主要职责 4.3.2.1 保险人 保险人主要职责包括但不限于:a)依据保险合同规定的责任和义务提供服务;b)对保险合同约定范围内的风险进行风险管理,如对网络安全风险进行监测,获取必要的风险管理数据,当风险发生显著变化时,通知被保
15、险人并提供处置建议;c)在出险理赔时向被保险人说明需要提供的网络安全事件证据和相关数据。4.3.2.2 被保险人 被保险人主要职责包括但不限于:a)确认网络安全保险需求;b)配合保险人实施风险评估;c)保险期间开展必要的风险管理活动;d)出险后开展必要的应急响应工作,避免损失扩大;GB/T XXXXXXXXX 6 e)向保险人提供网络安全事件证据或相关日志等数据;f)保险事故发生后,需在约定时间内通知保险人。4.3.2.3 投保人 投保人主要职责包括但不限于:a)根据网络安全保险合同,按期缴纳保险费;b)保险人对保险标的的情况进行询问时,需如实告知;4.3.2.4 服务方 服务方主要职责包括但
16、不限于:a)对保险标的进行风险评估,支持保险人开展核保和定价;b)协助保险人进行风险控制,如进行风险监测和预警;c)协助被保险人对于不满足承保条件的风险进行整改;d)协助被保险人进行网络安全事件的应急响应;e)协助保险人对网络安全事件进行技术鉴定、取证和损失评估;f)其他法律诉讼、公关咨询等服务。5 网络安全保险保障范围 5.1 概述 网络安全保险保障范围包括可承保的网络安全事件和损失类型。只有当发生在保险保障范围内的网络安全事件和损失时,才能通过保险进行赔偿。网络安全事件包括恶意程序事件、网络攻击事件、数据安全事件、违规操作事件等。网络安全事件造成的损失包括第一方损失和第三者责任。第一方损失
17、包括网络安全事件给被保险人自身造成的直接经济损失以及应急响应所产生的费用等;第三者责任包括被保险人因网络安全事件引发的对第三者(例如受影响个人或机构等)的法定赔偿责任。保险保障范围在网络安全保险单中说明,网络安全保险单示例见附录B,网络安全保险其他考虑事项见附录C。5.2 事件类型 网络安全保险可承保的网络安全事件包括但不限于下列类型:a)恶意程序事件:指在网络蓄意制造或传播恶意程序而导致业务损失或社会危害的事件。包括计算机病毒,网络蠕虫、木马、勒索软件、挖矿病毒事件等;b)网络攻击事件:指通过技术手段对网络实施攻击而导致业务损失或社会危害的事件。包括漏洞利用、拒绝服务、后门利用、网络扫描探测
18、、信号干扰、供应链攻击事件等;c)数据安全事件:通过技术或其他手段对数据实施篡改、假冒、泄露、窃取等导致业务损失或社会危害的事件;d)违规操作事件:由于人为故意或意外地损害网络功能而导致的业务损失,如人为操作失误或其他无意行为等;e)其他可能造成系统或资产损失的网络安全事件。GB/T XXXXXXXXX 7 5.3 损失类型 5.3.1 第一方损失 5.3.1.1 营业中断损失 营业中断损失指因网络安全事件导致的停产、停业或经营受到影响而面临的预期利润损失及必要的费用支出。营业中断损失还包括因运营效率降低导致延迟交付所产生的经济损失。5.3.1.2 应急响应费用 应急响应费用指在网络安全事件发
19、生后所执行的应急响应活动产生的费用,包括但不限于:a)事件原因调查费用:如聘请服务方对网络安全事件发生原因进行调查所产生的费用;b)数据和系统恢复费用:对网络安全事件中受影响的数据和系统进行恢复、更新、重建或替换等活动所产生的费用;c)危机公关费用:为减少声誉影响所产生的危机公关的费用,如聘请公共顾问的咨询费用和进行沟通的成本等;d)通知费用:当网络安全事件造成个人信息泄漏、篡改、丢失的,由被保险人通知受影响的个人或监管机构所产生的费用,包括通知的人工成本及呼叫中心运营成本等;e)法律咨询服务费用:当网络安全事件涉及法律和监管要求,被保险人聘请法律顾问进行咨询所产生的费用;f)其他必要合理费用
20、:如管理应急响应流程所投入的运营成本以及可能产生的人员更换等费用。5.3.1.3 网络勒索损失 网络勒索损失包括被保险人因遭受勒索软件事件后所产生的损失和相关费用,包括营业中断、数据恢复、调查取证、谈判等费用。5.3.2 第三者责任 网络安全事件导致被保险人对第三者损失的赔偿责任,通常包括但不限于:a)数据泄露责任 因网络安全事件,导致用户数据泄露,而需要承担的赔偿责任、相关法律诉讼等费用。b)网络安全责任 因网络安全事件,导致其合作伙伴或所服务用户发生经济损失,需要承担赔偿责任、相关法律诉讼等费用。c)媒体责任 因网络安全事件,导致被保险人发布在线媒体内容(包括网站、博客和社交媒体等)存在不
21、当行为,被第三者提出索赔而产生的法律费用、赔偿等损失。6 投保前风险评估 6.1 确定保险需求 6.1.1 风险自评估 被保险人在投保前开展风险自评估,针对网络安全保险保障范围中的事件类型和损失类型,评估网络安全事件发生可能性和损失大小。风险评估结果是制定风险转移策略的依据。GB/T XXXXXXXXX 8 6.1.2 制定风险转移策略 被保险人制定风险转移策略,确定适合通过保险转移的风险,考虑因素包括但不限于:a)风险容忍度,选择对业务影响较大的,超出承受范围的风险;b)高额损失优先原则,选择发生概率低,但损失较大的风险;c)风险处置的总体成本,风险转移策略应使总体成本更优。6.1.3 确定
22、保险需求 被保险人根据风险转移策略提出保险需求,保险人根据已有的网络安全保险产品制定保险方案,如果网络安全保险产品无法满足保险需求,被保险人可以与保险人协商,根据需求开发新的网络安全保险产品。保险人根据确定的保险需求对被保险人实施风险评估。6.2 实施风险评估 6.2.1 评估范围 风险评估范围与保险标的相关,保险标的可以是法人,也可以是被保险人选定的特定系统或资产。保险人可自行实施也可以委托服务方实施风险评估,实施风险评估时围绕保险保障范围列明的事件类和损失类型,评估网络安全事件发生的可能性及其带来的损失大小。6.2.2 评估内容 6.2.2.1 网络安全能力 评估被保险人实施安全控制措施的
23、程度和效果,包括安全管理措施和安全技术措施等。安全控制措施直接影响发生网络安全事件的可能性和损失大小,通过网络安全能力评估可衡量被保险人风险防范水平。6.2.2.2 网络安全风险 网络安全风险评估围绕保险保障范围中的第一方损失和第三者责任,评估可能造成不同类型损失的各类网络安全事件发生的可能性以及损失大小。评估网络安全风险时,同时考虑数据安全风险,识别数据资产和数据处理活动中的威胁和控制措施等风险要素,分析数据安全事件发生的可能性以及损失大小。6.2.2.3 行业风险水平 评估被保险人所属行业的宏观风险状况,包括行业信息化程度、网络安全威胁程度、业务特点等间接影响风险发生的可能性和损失大小。行
24、业风险水平评估内容通常包括但不限于以下信息:a)行业面临的网络安全威胁特征;b)行业不同规模企业的安全能力水平;c)行业不同规模企业的信息化程度和业务活动特征;d)被保险人组织规模、业务规模在行业中所处的位置;e)被保险人的安全风险水平在行业中所处的位置;f)被保险人受行业监管的要求等。GB/T XXXXXXXXX 9 6.2.3 评估方法 6.2.3.1 概述 投保前风险评估方法参考GB/T 209842022,包括风险识别、风险分析、风险评价等主要过程。在风险分析环节,通常采用定量分析方法,通过评分或货币化等数值方式表示风险大小,满足保险核保和定价要求。在评估与数据安全事件等相关的安全风险
25、时,需参考数据安全风险评估方法,对数据资产和相关处理活动等进行要素识别和风险评估。6.2.3.2 风险识别 风险识别内容包括:a)识别资产、脆弱性、威胁源、攻击方法等风险要素;涉及数据安全风险的还需考虑数据、业务、数据处理活动等风险要素。b)识别安全控制措施及其有效性,识别可通过问卷、访谈、检查、测试等方式进行。识别控制措施可参考GB/T 220812016,重点识别与风险场景相关的控制措施;c)识别风险场景,风险场景由威胁源、资产、脆弱性、攻击方法、安全事件要素组成,风险场景需与网络安全保险保障范围相结合;d)识别行业风险数据,包括被保险人所属行业的资产和业务特征,历史安全事件及损失数据,对
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 网络安全 保险 应用 指南
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【Stan****Shan】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【Stan****Shan】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。