《网络安全保险 风险监测与风险管理服务规范》(征求意见稿)

1网络安全保险风险监测与风险管理服务规范1范围本文件描述了在保险期间，保险人对被保险人的网络安全风险进行持续监测与管理的流程、内容和服务规范。本文件适用于保险人对被保险人的网络安全风险进行监测与管理，也可供投保人(潜在被保险人)采购和使用网络安全保险服务时参考使用，也可指导保险人委托的第三方专业机构提供网络安全风险控制活下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本(包括所有的修改单)适用于本文件。GB/T25069-2022信息安全技术术语GB/T36687-2018保险术语GB/T20984-2022信息安全技术信息安全风险评估方法GB/T29246-2017信息技术安全技术信息安全管理体系概述和词汇GB/T32924-2016信息安全技术网络安全预警指南GB/T24364-2023信息安全技术信息安全风险管理实施指南3术语和定义GB/T25069-2022和GB/T36687-2018中界定的以及下列术语和定义适用于本文件。网络安全风险cybersecurityrisk由于网络安全的威胁对组织造成损害的可能性。可通过事件的概率及其后果进行度量。网络安全保险cyberinsurance一种专门的财产保险，用于减轻组织因网络安全事件导致的经济损失以及承担的赔偿责任，包括组织从网络安全事件中恢复的成本。同时作为风险管理的一种手段，帮助组织减轻网络安全风险引起的负面影响，从而减轻组织面临的风险。保险标的subjectofinsurance作为保险对象的财产及其利益相关方，在网络安全保险中财产损失保险的保险标的主要指网络空间中的信息系统及其相关的数字及物理资产，主要包括三部分：硬件系统(计算机硬件系统和网络硬件系统);系统软件(计算机系统软件和网络系统软件);应用软件(包括其处理、储存的信息);责任保险的保险标的主要指因发生网络安全事件而产生的对第三方依法承担的赔偿责任。2通过系统和持续地收集相关信息，识别并分析风险发展与变化情况的过程。指导和控制组织相关风险的协调活动。网络安全事件cybersecurityincident由于人为原因、网络遭受攻击、网络存在漏洞隐患、软硬件缺陷或故障、不可抗力等因素，对网络和信息系统或者其中的数据和业务应用造成危害，对国家、社会、经济造成负面影响的事件。针对即将发生或正在发生的网络安全事件或威胁，提前或及时发出的安全警示。4概述网络安全保险服务的流程包含：风险评估与承保、风险监测与风险管理、事故鉴定与理赔，风险监测与风险管理服务在保险服务全生命周期中处于保险期间。如图1所示：网络安全保险的风险监测与风险管理服务是指在网络安全保险保单生效期间，保险人或其委托的第三方专业机构提供的针对网络安全风险进行监测、处置、预警等措施的各项服务。通过在保险期间持续进行风险监测和预警处置，达到将风险控制在可接受程度的目的，防止因网络安全事件扩散而造成的损失扩大。4.1面向网络安全保险的风险监测与风险管理服务风险监测与风险管理服务是网络安全保险期间防灾减损的必要措施，被保险人应配合保险人开展常态化网络安全预防监测，对保险标的的风险状况进行持续动态监测，及时了解风险变化情况，积极采取风险处置措施消除风险隐患，降低网络安全事件发生的概率和影响，将风险水平控制在合理范围内。面向网络安全保险的风险监测与风险管理有如下特点：a)立足保险标的确定监测对象，积极预防、识别并处置风险，直至保险合同终止；3b)聚焦保险保障范围内的网络安全风险类别，侧重对被保险人内外部威胁、新增的脆弱性等风险要素的监测与管理。c)网络安全保险服务中的风险监测不能代替被保险人自身风险管理中的风险监视与评审等活动。保险人对被保险人的风险管理，重点是将承保范围内的风险控制在合理的水平，降低网络安全事件发生的概率，有效控制赔付支出。5风险监测与风险管理准备阶段5.1确定监测对象网络安全保险中的风险监测对象与被保险人的风险相关，并根据风险要素，如所涉及的威胁、脆弱性、资产、业务、攻击方法、安全措施、网络安全事件类型、损失类目以及企业基本信息等来确定监测对象。通常包括被保险人相关的所有信息系统及资产、数据、物理环境，网络、通信、计算环境等。由于行业风险态势和外部环境变化也会影响到被保险人的安全风险，因此还需要涉及会影响到被保险人风险变化的外风险监测主要是指保险人或委托的第三方专业机构对被保险人的风险进行监测的过程。风险监测的内容，重点是网络安全保险保障范围内的网络安全风险。值得注意的是，网络安全保险服务中的风险监测不能代替被保险人自身风险管理中的风险监视与评审等活动。保险人对被保险人的风险管理，重点是将承保范围内的风险控制在合理的水平，降低网络安全事件发生的概率，有效控制赔付支出。风险监测的对象宜为网络安全保险保单中列明的保险标的，监测宜采用定期或不定期的方式，监测的时间覆盖整个保险服务周期。通常情况下，导致风险动态变化的因素包括威胁、资产、脆弱性的变化，因此风险监测的内容包括但不限于：a)组织内部或外部的威胁，包括人为威胁、环境威胁和技术威胁。人为威胁可分为恶意人员和非恶意人员威胁。环境威胁可分为自然环境威胁和其他环境威胁，自然环境威胁包括地震、海啸、台风、洪灾等不可抗拒自然灾害，其他环境威胁包括断电、静电、灰尘、潮湿、温度、鼠蚁虫害、电磁干扰、火灾等威胁。技术威胁包括非人为因素导致的软件、硬件、数据、通讯线路等方面的故障，或者依赖的第三方平台或者信息系统等方面的故障。b)承保范围内的资产变更。根据资产的表现形式，可将资产分为硬件、软件、数据、服务、人员及技能和无形资产6大类，每一大类又可细分为若干类，比如硬件资产，可细分为网络设备、终端设备、服务器设备、安全设备和小型存储介质等。承保范围内资产变更可能会导致资产的安全属性发生变更，从而对组织造成负面影响。c)新增的脆弱性，包括技术脆弱性和管理脆弱性。技术脆弱性是指信息系统中存在的各种技术漏洞或技术弱点，管理脆弱性包括技术管理脆弱性和组织管理脆弱性。技术管理脆弱性包括了信息系统的物理环境、网络结构、系统软件、应用中间件、应用系统等方面的脆弱性。组织管理脆弱性包括了组织的人员架构、安全制度、组织安全、安全策略、人员安全、合规性、应急响应处置策略等方面的脆弱性。保险标的在保险期间可能会增加新的风险，监测内容也应随之调整、适应。d)风险因聚合而产生的累积风险。不同类型的网络安全风险，相互之间可能存在因果关系，如不及时处置前置风险，可能会引发因不同网络安全风险聚合造成的累积风险，这种累积风险对被保险人的负面影响可能超过单项网络安全风险造成的负面影响总和。4e)网络安全事件。根据威胁发起攻击对被保险人造成的主要负面影响，以及保险公司承保的网络安全事件的类型，可将网络安全事件分为三类：营业中断事件，数据安全事件和软件勒索事件。风险监测中应重点针对造成这三类网络安全事件的情况进行监测。保险人可根据被保险人自身的风险管理数据，为风险监测提供数据支持。保险人为保障保险标的的安全，经被保险人同意，宜部署预防监测体系，主动开展网络安全风险识别分析，提高网络安全风险应对能力。可采取的风险预防或监测服务包括但不限于：a)网络空间测绘服务结合企业互联网暴露面资产测绘，基于IP、域名等信息识别资产指纹，自动发现/识别/梳理企业互联网暴露面资产，构建详细的资产清单。通过病毒特征匹配、情报碰撞、挖矿行为监控等多维度的检测能力，进行挖矿病毒的定位和研判分析，完成对挖矿整体链条的全面追溯。b)网络安全威胁情报服务包括但不限于，僵尸网络情报、蠕虫/木马/病毒情报、钓鱼网站、恶意域名等情景情报。c)网络安全态势感知服务基于大数据分析，对网络中存在的恶意外联、僵木蠕、域名解析安全风险、APT攻击等进行溯源追踪，多维度呈现业务风险问题。d)异常流量攻击监测服务基于多维度流量分析模型，实时监控网络流量异常，发现DDoS攻击事件、呈现异常流量趋势、进行流量异常分析、攻击溯源等。e)网站安全监测服务对网站挂马、暗链、钓鱼网站、域名安全、篡改、敏感词等进行分析监测。f)漏洞扫描服务对Web漏洞、数据库配置、弱口令、主机漏洞等进行扫描。g)代码安全审计服务以行为分析方式扫描原始程序码，通过行为分析与验证模式，系统化地分析出每一行程序代码的弱点，以及面对用户各种输入错误的可能，会产生出哪些衍生问题。h)渗透测试服务通过利用目标应用系统的安全弱点模拟真正的黑客入侵攻击方法，以人工渗透为主，以漏洞扫描工具为辅，在保证整个渗透测试过程都在可以控制和调整的范围之内尽可能的获取目标信息系统的管理权限以及敏感信息。i)人员安全意识培训包括安全意识培训、安全开发培训、安全测试培训、安全技能培训、高级安全管理培训等。j)攻防演练模拟黑客行为对企业IT网络及应用进行入侵攻击和入侵防御的演练，参与者可以通过模拟的演练场景亲身参与到网络安全事件攻防之中，进而充分了解网络安全事件中攻、防双方的思路及实践方法。k)主动防御建立基于攻击面管理的主动防御体系，包括资产测绘、风险识别、风险分析、风险评价、风险处置、风险监测等内容的闭环风险管理体系。1)日志收集与分析5通过部署日志收集与分析平台，7x24小时实时采集网络中安全设备、网络设备、服务器资源和应用系统的日志，实时感知全网安全态势；通过对日志的采集、分析、存储、备份、查询、实时汇总分析和报表汇总实现对海量日志全生命周期管理；日志留存时间应不少于6个月。6风险监测与风险管理实施阶段6.1采集风险数据根据监测对象以及监测的内容，明确需要采集的数据类型、采集方式和周期频率等，获取并收集监测的数据，为风险分析提供数据源，数据采集包括但不限于下列方法：a)部署相关采集接口，探针或设备采集包括各类安全日志、流量、资产和配置等数据类型，分析可能的攻击行为和病毒、木马等潜在的威胁事件，以及获取重大的资产变更、系统版本变更等行为b)采用漏扫扫描、渗透测试、配置核查等方法定期对信息系统和相关资产进行安全检测，并识别安全漏洞、配置漏洞、新攻击路径等的脆弱性，检查可能出现的脆弱性变化问题；c)基于互联网公开信息，采用检索、查询、分析等方法，采集并分析包括与被保险人行业相关的外部网络安全事件，以及与被保险人有关的人员信息、邮箱、代码等外部暴露的数据；d)基于外部情报数据，如开源情报信息或商用威胁情报等数据源，采集并分析外部潜在的威胁源和可能的外部威胁；e)利用上述方法，采集分析与被保险人供应商相关的安全数据；f)其他方式的数据采集，如人工信息收集，问卷调研等方法。保险期间的风险分析目的是了解被保险人在保险保障范围内的风险变化情况。保险人可以根据风险管理的要求，确定风险变化的合理范围或阈值，并作为风险控制的判断依据。风险分析应满足能够判断风险变化范围是否超出风险阈值要求，可采用定性或定量相结合的分析方法，基于定性的方法确定风险等级的变化，基于定量分析方法确定风险值大小变化。数据采集中收集的不同类型数据作为风险分析的输入，可从以下几个维度进行分析：a)分析外部事件及威胁对被保险人风险大小的影响；b)分析安全漏洞等脆弱性的变化对风险大小的影响；c)分析外部信息的暴露可能导致的相关风险的变化；d)分析潜在的攻击行为、威胁事件等对风险大小的影响；e)分析供应链风险变化对被保险人的风险大小的影响；f)分析不同的单点问题可能导致的潜在累积风险或聚合风险；保险人或其委托的第三方专业机构应具备将输入的风险数据进行分析的能力，能力要求包括但不限于以下几个方面：a)宜具备风险计算和分析的方法、计算模型和操作指南，具备合理的、可操作的系统风险和业务风险评价准则，并保持持续更新。b)宜具备风险计算和评价工具、评价指标配置库等，可对风险识别的结果进行自动计算，并进行合理的评价和等级划分；6c)相关人员宜了解和掌握风险分析与评价相关标准，熟悉分析与评价的方法流程、操作指南、工具使用相关知识和技能，具备风险计算、风险调整、风险评价结果合理性判断等能力。风险分析的输出结果，可以是导致网络安全事件发生的可能性或损失的变化，即风险货币化取值大小的变化，也可以是被保险人整体风险状况的等级变化。通过持续的风险监测，形成风险变化的统计趋势，从而为风险预警提供依据。6.3风险预警通知a)宜制定预警流程，结合预警技术手段和人员设置情况以及预警范围，制定适用保险标的实际情况的预警流程，划分预警级别，制定包括组织内部预警与内外部相关方或监管机构预警等一种或多种组合的预警流程；b)宜构建覆盖管理范围内的预警技术体系，具备安全事件预警、运行状态预警、威胁预警、策略与配置预警的技术能力，具备预警数据采集、汇总、处理、分析能力，及定位网络安全事件、影响范围、涉及对象的能力，具备支持定义预警流程和自动化预警的能力；c)不同人员根据岗位职责不同，宜具备预警系统及其相关设备的使用和操作能力，具备日志分析、事件定位、事态研判、预警通知等能力。6.4风险管理控制风险控制是保险人根据风险监测的结果和对风险管理的要求，采取干预性的措施将风险变化控制在合理范围。当网络安全风险发生较大变化并可能导致危险程度显著增加时，被保险人应配合保险人实施相应的风险控制措施。若被保险人拒绝配合进行风险控制，则在发生网络安全事件并触发保险条款时，保险人有权要求增加保险费或者解除合同。保险人需要根据风险管理的要求，确定风险控制的策略。a)风险处置：根据所监测风险的具体情况，采取相关处置措施降低风险。风险监测结果可以作为风险处置的参考依据，帮助被保险人制定合理的处置方案。b)未能及时处置：对于无法及时处置的风险，被保险人应提供风险规避或缓解措施，或风险处置详细计划。6.5风险信息共享网络安全保险是被保险人风险管理活动的组成部分，通过在被保险人与保险人之间建立风险信息的共享机制，有助于被保险人进行风险管理，同时也帮助保险人制定合适的网络安全保险方案并开展相关服务。应建立风险信息共享流程和规范。根据共享场景、参与角色和共享信息的内容，确定类别级别、选择共享模式、制定共享策略规程等，如建立共享清单、保护共享信息、监督评价、持续共享、利用调整共享以及终止信息共享等。风险信息共享机制由被保险人和保险人之间达成一致后进行，且应遵循相互之间的保密约定，信息共享通道应确保安全可控。保险期间的风险信息共享通常包括：a)被保险人在保险期间所做的重大网络安全活动和开展的关键网络安全服务；b)保险标的范围内，与保险风险相关的被保险人重大的系统变更、更新和维护信息；c)被保险人监测到的重要网络安全事件、重大的安全漏洞或基于分析存在的可疑网络安全事件；7d)保险标的范围内，与保险风险相关的被保险人供应链的重大变更或应用第三方供应商服务或系统的重大变更信息；e)与保险风险相关的被保险人业务范围、组织架构、网络连接、信息基础设施等较大的变更等；f)被保险人接受或自行开展的网络安全检查、等级保护测评等检查结果；g)其他可能影响被保险人网络安全风险状况变化的信息。7风险监测与风险管理