閆蒞，信息安全從業7年，專注于金融行業信息安全、合規管理、風險管理等領域。

摘要：本文介紹了網絡安全保險的作用、內容，企業投保前的評估以及事件發生前后的投保服務。

一、 網絡安全保險概述

國際信息系統審計協會（ISACA）、CMMI研究院和Infosecurity集團在今年年初開展了聯合調查，并發布了研究報告《2020年企業風險管理狀況報告》。該研究報告表明，企業面臨的網絡安全風險逐年增加，只有不到三分之一的企業能夠準確預測與新興技術相關的威脅和漏洞帶來的影響，然而只有43%的企業會通過引入保險來轉移風險。

近年來隨著網絡黑客、電腦病毒、計算機犯罪嚴重地威脅著網絡安全，導致網絡安全事件頻發。企業一旦發生網絡安全事件，將面臨嚴重的監管處罰，對其業務、商譽也產生一定影響。在系統已經發生安全事件的情況下，網絡安全保險作為風險轉移的手段之一，可以一定程度降低或補償財產損失。網絡安全保險是一種以信息資產的安全性為保險標的的財產保險。投保人向保險公司支付保險費，保險公司對因網絡安全事件而造成的重要信息資產丟失、知識產權受到侵犯、服務中斷和營業收入等損失承擔賠償保險金的責任。

二、 網絡安全保險內容

（一） 責任保障

因下列原因造成第三者的直接經濟損失：

1. 信息泄露事件

被保險人或其外部服務商看管、保管或控制的第三者信息被泄露給未經授權的主體。

2. 數據安全事件

被保險人的計算機系統因下列原因而喪失穩定運營的狀態，不能保證被保險人所存儲、傳輸、處理信息的完整性、可用性，導致服務中斷、數據丟失或數據損壞：

1) 惡意軟件或惡意攻擊行為；

2) 黑客入侵行為；

3) 非法使用或訪問；

4) 拒絕服務攻擊；

5) 社會工程學攻擊。

3. 媒體侵權事件

被保險人或其代表在互聯網上發表、傳輸出電子媒體信息/數字媒體內容過程中的下列行為：

1) 侵權他人著作權、版權、名稱、廣告語、商標、商號、商業外觀、標簽、服務標記或服務名稱，包括但不限于侵犯域名、深層鏈接或框架；

2) 侵犯或侵占他人創意；

3) 發布他人錯誤信息、公開披露他人私人信息、非惡意侵犯他人名譽權。

（二） 財產保障

1. 事件響應費用

包括法律訴訟費用、通知費用、風險評估和系統修復費用、咨詢服務費用、媒體公關費用等。

2. 營業中斷損失

計算機系統全部或局部失效導致被保險人的經營受到干擾或中斷，由此產生的賠償期間的利潤損失。

3. 網絡勒索處理費用或贖金

第三方以索取錢財為目的的對被保險人作出安全威脅或攻擊而引發的。

4. 數據修復費用

計算機系統或數據無法訪問、被破壞或被干擾，為恢復正常運行所需的合理必要的數據修復費用。

5. 應急響應費用

根據事先對各種可能情況的準備，在網絡安全事件發生后，響應、處理、恢復、跟蹤的方法及過程所產生的費用。

綜上，網絡安全保險內容覆蓋第一方損失和第三方責任風險，從本質上來說網絡安全保險是責任保險的一種，主要發生網絡安全事件和信息泄露事件觸發風險。針對第一方的保險責任主要針對投保企業自身的資產，包含網絡安全事件造成的業務中斷損失、網絡勒索損失、數據泄露損失、企業名譽損失、法律費用等；針對第三方的保險責任主要包括第三方數據的泄露、丟失、損壞等風險。

三、 網絡安全保險投保體檢

網絡安全保險投保前需進行評估，該評估類似于給人做身體體檢，網絡安全保險評估至少包括以下內容：

1. 識別企業的IT資產列表和風險點；

2. 企業如何保護這些IT資產；

3. 企業對潛在風險和威脅是否有檢測偵察能力；

4. 企業如何應對和解決網絡安全事件；

5. 企業遭受事件損失后的恢復能力。

四、 網絡安全保險相關服務介紹

從事件發生的時間的角度將網絡安全保險相關服務分為事件發生前和發生后的服務。目前，CFCA可為企業提供事前、事后的安全服務。

事前：建立一份信息技術 (IT) 和運營技術 (OT) 資產清單，深入了解各類聯網和未聯網資產，識別運營環境中的安全風險，預先采取控制措施保護資產，從而最大程度地降低生命周期風險。事件發生前的服務包括網絡安全綜合評估、遠程和現場漏洞檢測、滲透測試、網絡安全意識培訓、網站安全監測、合規審計、網絡安全咨詢、安全加固等。

事后：按照事先針對可能場景制定的應急響應和恢復程序 (例如，應用項目和數據的備份和災難恢復程序)響應事件，盡快恢復正常生產運營。事件發生后的服務包括應急響應服務、數據恢復服務。

參考文獻：

【1】《2020年企業風險管理狀況報告》

【2】計算機科學與應用《網絡安全保險研究現狀及展望》

責任編輯：韓希宇