国家标准《信息安全技术 网络安全保险应用指南》（征求意见稿）编制说明

国家标准编制说明一、工作简况1.1任务来源根据国家标准化管理委员会2023年下达的国家标准制修订计划，《信息安全技术网络安全保险应用指南》由北京源堡科技有限公司负责承办，计划号：20230794-T-469。本标准由全国信息安全标准化技术委员会归口管理。1.2制定背景随着社会信息化程度的不断加深，数字经济的快速发展，网络安全风险也在持续演变，为世界经济带来了广泛而深远的影响。作为应对网络安全风险的手段之一，网络安全保险受到各国政府和组织的高度重视。网络安全保险是组织实现风险转移的一种有效手段，其在转移潜在风险、优化资源配置、保障组织财务稳定性和业务连续性等方面发挥着重要作用，也逐渐成为组织网络安全风险管理的组成部分。国外网络安全保险发展相对成熟，组织在应对网络安全风险时，通常会将保险作为一种风险处置方式纳入组织的整体风险应对策略中。因此，国际标准化组织ISO/IEC、ITU-T相继制定了ISO/IEC27102:2019《信息安全管理网络保险指南》、ITU-TX.1061(08/2021)《网络保险获取指南》等国际标准，对组织如何投保网络安全保险进行指导。2021年7月，工业和信息化部发布《网络安全产业高质量发展三年行动计划》（征求意见稿），提出“探索开展网络安全保险，加快网络安全保险政策引导和标准制定，通过网络安全保险服务监控风险敞口”。2023年7月，工业和信息化部和国家金融监管总局发布《关于促进网络安全保险规范健康发展的意见》（以下简称《意见》），提出“建立覆盖网络安全保险服务全生命周期的标准体系，明确承保、核保、理赔等主要环节基本流程和通用要求。研究制定承保前重点行业领域网络安全风险量化评估相关标准，规范安全风险评估要求”。在上述背景下，为落实国家《网络安全法》，加强对网络安全风险监管，积极推动网络安全保险及服务模式的创新和发展，响应《意见》要求，本文件借鉴了国际网络安全保险相关标准成果，结合我国网络安全保险产业现状和网络安全风险管理实践，提出适合我国国情的网络安全保险应用指南，帮助并指导组织通过网络安全保险应对和管理风险。基本思路如下：1）从网络安全保险应用的角度，帮助各参与方认识和理解网络安全保险的基本概念和作用，阐述网络安全保险不同阶段中的安全技术的应用，切实为参与方应用网络安全保险提供可操作性的指导。2）阐述网络安全保险的基本概念，形成保险的作用和目的的统一理解，从网络安全角度的描述可保的网络安全事件和相关损失，以及和保险保障范围的关系，为理解保险能够解决什么问题提供参考。3）明确网络安全保险应用的主要阶段及技术应用的特点，并针对每个阶段安全技术的应用特点，提出基本内容和方法，帮助投保组织、保险人和技术服务提供商理解保险应用中安全技术差异性和侧重点，为实施提供指导。1.3起草过程北京源堡科技有限公司负责组织起草，国家工业信息安全发展研究中心、中国电子技术标准化研究院、中国信息安全测评中心、国家信息技术安全研究中心、国家信息中心、公安部第一研究所、公安部第三研究所、中国科学院信息工程研究所、中国网络空间研究院、中国人民财产保险股份有限公司、中国太平洋财产保险股份有限公司、中国平安财产保险股份有限公司、中国人寿财产保险股份有限公司、国任财产保险股份有限公司、诚泰财产保险股份有限公司、中国财产再保险有限责任公司、前海再保险股份有限公司、建信财产保险有限公司、奇安信科技集团股份有限公司、北京神州绿盟科技有限公司、启明星辰信息技术集团股份有限公司、北京天融信网络安全技术有限公司、杭州安恒信息技术股份有限公司、腾讯云计算（北京）有限责任公司等单位共同参与了本标准的起草工作。具体起草过程如下：（1）标准草案阶段2020年3月-2021年4月，标准预研并初步组件标准编制组，形成标准草案初稿，并参与2021年5月的标准会议周立新答辩。2021年6月至8月，根据标准会议周相关意见，完善标准草案，同时于7月9日召开专家研讨会议及标准编制组内部会议，根据标准意见，修改完善标准草案。2021年12月至1月，召开4次标准编制会议，重新梳理标准框架并完善分工，并组织一次专家研讨，继续完善标准草案。2022年1月20日，信安标委秘书处组织重点标准项目阶段检查，专家提出标准审查意见。根据专家意见，对标准草案进行进一步完善。2022年1月21日-3月8日，根据专家审查意见重新修订标准草案内容框架和文本内容，形成申报立项的标准草案版本（v0.9）。2022年3月，信安标委发布《信息安全技术网络安全保险应用指南》编制需求工作的通知。在网络安全管理工作组WG7立项申请和答辩。2022年3月9日-3月18日，组织标准立项申报，扩展标准编制工作组，于3月18日召开标准编制全体会议讨论标准草案，形成标准草案（v0.95）。2022年4月19日，通过信安标委组织的标准立项答辩。2022年6月，召开标准编制全体会议，讨论标准草案（v0.95），收集意见，继续完善标准草案（v1.0）。2022年12月5日，在信安标委2022年会议周WG7工作组会议上汇报标准编制的进展情况，听取与会专家的意见，经工作组讨论决议，同意转征求意见稿。（2）标准征求意见稿阶段2022年12月10至12月20日，处理会议周意见，形成标准征求意见稿（v1.1）。2022年12月23日，召开编制组线上会议，继续完善标准，形成标准征求意见稿（v1.2）。2023年1月24日-2月10日，处理责任编辑和责任专家意见，继续完善标准草案文本（v1.5），通过了责任专家和责任编辑的标准文本质量把关，提交工作组，准备专家评审会。2023年3月14日，在信安标委专家评审会上汇报标准编制的进展情况，充分听取专家评审意见。2023年3月23日，在北京源堡科技有限公司召开标准专家讨论会，邀请安标委秘书处专家进行现场指导，讨论专家评审会上所提修改意见的修改情况。2023年4月7日和5月6日，召开两次标准专家研讨会，针对评审会意见进行讨论，继续完善标准，形成标准征求意见稿（v1.6和v1.7）。2023年6月1日，在信安标委2023年工作组标准会议周上，汇报标准进展及编制情况，收集与会专家修改建议。2023年6月2日-8月3日，针对评审会专家意见和会议周专家意见，对标准进行修改，成标准征求意见稿（v1.8和v1.9）。8月3日提交标准工作组。2023年8月4日，参加信安标委组织的专家评审会，再次听取专家对标准的修改意见，与会专家同意通过对该项标准的审查，建议根据会议意见修改后，发起公开征求意见。2023年8月5-24日，根据8月4日专家评审会意见进一步修改标准文件，提交信安标委，形成公开征求意见稿（v2.0）。二、标准编制原则、主要内容及其确定依据2.1标准编制原则本标准的研制工作遵循以下原则：1)规范性：严格按照国家标准编制流程和国家标准规范GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定进行标准的编制工作，力求达到编制的标准思路清晰、逻辑合理、文本规范、内容完整；2)可操作性和实用性：本标准适用于国内网络安全保险相关工作的组织和开展，且符合我国基本国情，力求标准在具体执行中具有较好的可操作性和实践指导价值；3)协调一致性：广泛征求业界专家的意见，同时充分考虑与现有相关标准的关联关系，力求达到编制标准的不同使用方的协调一致和国内外相关技术标准协调一致；4)科学性与先进性：借鉴国际网络安全保险领域前沿研究成果和规范性文献的科学方法及思路，进行标准文本的设计和编写。2.2主要内容及其确定依据主要内容依据：GB/T20984—2022信息安全技术信息安全风险评估方法GB/T20986—2023信息安全技术网络安全事件分类分级指南GB/T22081—2016信息技术安全技术信息安全控制实践指南国内网络安全保险市场正处于起步阶段，参考国外市场的成熟经验，国内已逐步开展网络安全保险业务，但由于缺乏对相关概念、流程和方法相关的标准，导致在实际业务开展过程中存在诸多问题。一方面对于市场需求方的投保企业而言，如果没有清晰的理解网络安全保险对于风险管理的作用是什么，通过网络安全保险能够转移哪些网络安全风险，以及当发生哪些网络安全事件所导致的损失能够通过保险赔偿，对于网络安全保险中的保障范围等概念包括哪些内容等等问题，都会对投保企业真正应用网络安全保障带来障碍。另一方面，对于市场供给方的保险公司而言，网络安全保险属于财产险范畴，但网络安全风险却与传统财产险中的风险有很大区别，保险公司从损失的角度看待风险与企业看到的网络安全风险也存在理解上的差异，如不能直接将损失与投保企业的安全问题和可能发生的安全事件直接对应，因此会导致在网络安全保险的实际应用过程中，风险评估的技术方法和目的，是否需要采用风险控制，以及在出险后如何应对等均在应用的难点，从而使得保险公司在承保网络安全风险时持谨慎态度，也不利于网络安全保险供给的释放，不利于市场的健康发展。针对当前国内网络安全保险市场应用方面实际存在的问题，本标准将从网络安全保险的实际应用过程出发，切实解决投保企业对于网络安全保险缺乏统一理解，对网络安全风险和保险保障范围认知差异较大，以及网络安全保险应用中的基本方法等问题，帮助投保企业、保险公司以及第三方技术服务方等参与者更好的理解和应用网络安全保险，促进应用的规范化，也提高市场供需能力。本标准主要解决问题包括：（1）解决当前网络安全保险供需双方对于网络安全保险目的和概念的理解差异性问题，如可承保的网络安全事件、损失类型和网络安全保障范围等，指导投保企业（需求方）和保险机构（供给方）在网络安全保险应用充分理解需求目标，促进网络安全保险市场的发展。（2）解决网络安全保险应用过程中的流程规范化问题，如网络安全保险应用的通常环节，每个环节参与方的角色和作用等，指导投保企业、保险机构以及服务方在应用中明确各自的定位、作用和任务。（3）解决网络安全保险中所应用的基本安全技术方法以及差异性问题，如投保前开展风险评估内容和方法，保险中风险监测目的和内容，以及出险后事件评估的基本内容和作用等。指导各参与方能够根据标准基本实现网络安全保险应用的过程。根据《意见》中提到的：“建立覆盖网络安全保险服务全生命周期的标准体系，明确承保、核保、理赔等主要环节基本流程和通用要求”。本标准作为首个该领域的国家标准，定位于网络安全保险应用的通用指南性标准，重点阐述网络安全保险基本应用流程和可操作的指导性方法，侧重保险应用的过程和方法。目的是在国内网络安全保险应用的初级阶段，能够明确网络安全保险的基本应用流程和通用方法，指标并规范各参与方开展网络安全保险的应用实施。同时本标准也将对后续研究制定保险中网络安全风险量化评估相关标准，规范安全风险评估要求、风险监测管理和预警、承保后理赔服务实施等技术要求提供总体性指导，从而逐步覆盖建立网络安全保险全生命周期的标准体系。围绕上述问题，本标准主要内容包括：（1）阐述网络安全保险概念及对风险管理的作用，明确可以通过保险转移的网络安全事件和主要损失类型，建立网络安全风险与保险保障范围的关系。解决当前网络安全保险供需双方对于网络安全保险目的和概念的理解差异性问题。（2）阐述网络安全保险应用的主要环节以及主要参与方，各参与方的主要作用和职责。解决网络安全保险应用过程中的流程规范化问题。（3）提出在网络安全保险应用主要环节中的基本方法和内容，对投保前风险评估、保险期间风险控制以及出险后事件评估等给出基本的方法和内容，为不同环节中的保险应用提供可操作性的指导建议，解决网络安全保险中所应用的基本安全技术方法以及差异性问题。2.3修订前后技术内容的对比非修订标准。三、试验验证的分析、综述报告，技术经济论证，预期的经济效益、社会效益和生态效益3.1试验验证的分析、综述报告本标准在编制时借鉴了国外网络安全保险投保经验，结合我国网络安全保险发展现状和网络安全风险管理经验，提出适合我国国情的网络安全保险应用指南，帮助并指导组织通过网络安全保险应对和管理风险。编制组在编制过程中，充分听取了网络安全保险服务机构（保险公司以及再保险公司）、科研院所、测试机构的意见，考虑了网络安全保险的发展和应用情况，并推进开展标准条款的试点验证工作，主要包括北京源堡科技、国家工业信息安全发展研究中心、中国科学院信息工程研究所、中国人保、中国太保、安恒、启明星辰等企业或机构，本次试点工作主要对网络安全风险评估的基本方法和应用流程、保险保障范围内的网络安全事件类型、保险期间的风险控制措施、理赔实施流程等内容进行验证，以检验标准的适用性、合理性、先进性和可操作性等，并提出标准进一步修改完善的建议，编制形成涵盖标准验证结论的报告，促进网络安全保险服务工作的规范化和标准化，为进一步开展网络安全保险应用工作提供参考。3.2技术经济论证在技术方面网络安全保险主要涉及投保前风险评估，保险期间风险监测、预警和处置以及理赔中的事件鉴定溯源等技术，基于网络安全保险的业务特点和需求，需要在评估技术方法、风险指标定义、量化分析模型、风险预测技术等方面进行创新和完善，才能支撑网络安全保险业务的健康发展。在产业化方面国外网络安全保险发展较成熟，全球网络安全保险市场在2022年整体保费规模达到92亿美元，并预计在2025年达到220亿美元。国内网络安全保险市场处于起步阶段，但呈高速增长态势，年复合增长率超过30%。除财产险外，奇安信、360、绿盟、美创、威努特等主要网络安全企业在网络安全保险产业进行布局，依托网络安全保险提升安全产品、服务、方案的整体竞争优势。3.3预期的经济效益、社会效益和生态效益本标准的实施将有利于网络安全产业的高质量发展，促进产业链各方明确专业分工和责任，依托有效的网络安全风险评估和风险监控等技术手段，推动网络安全保险在国内的快速发展，提升网络安全产业规模；有利于网络安全技术服务公司、保险公司、再保公司和投保企业各参与方对网络安全保险服务形成共同理解，服务流程有据可依，更加规范，促进网络安全保险服务市场的健康有序发展，为网络安全风险管理相关技术和服务在金融领域中的应用提供了新的方向。经济效益：促进网络安全保险市场快速发展，增加网络安全企业收入。该标准的制定，使得投保企业、保险公司、网络安全公司等各参与方对网络安全中可保风险以及如何支持企业的风险管理工作形成共同理解，使得网络安全保险业务有章可循，更加规范；保险公司能够根据安全技术应用的结果进行差异化定价和产品创新，从而促进保险市场的健康发展，进一步增加保费规模，带动网络安全企业收入的增长。社会效益：提升网络安全技术创新能力，标准将为网络安全技术和服务在网络安全保险业务领域中的应用提供了方向和指导。通过对投保前风险评估、保险中风险监测以及安全事故鉴定等技术的应用，使得安全技术能够支持并满足保险核保评估需求，并为保险中风险管控提供技术支撑，进一步提升网络安全技术创新能力，从而为降低全社会网络安全风险，提升整体风险防范能力提供创新技术能力支撑。生态效益：扩大产业规模，促进产业生态发展。标准将对应用于网络安全保险中的安全技术和服务提供指导，使得保险机构能够科学的评估投保企业网络安全风险状况，并通过有效的风险控制手段，促进网络安全保险市场的快速发展；同时，保险业务的发展又将直接带动安全技术在不同领域的应用，以业务促进安全产业生态发展，做大安全产业规模。四、与国际、国外同类标准技术内容的对比情况，或者与测试的国外样品、样机的有关数据对比情况目前国际标准化组织ISO于2019年发布了ISO/IEC27102：信息安全管理-网络保险指南，ITU-T于2021年发布了X.1061：网络信息安全-安全管理-网络保险采购指南。ISO27102从风险管理角度帮助企业将网络安全保险更好地与其自身的风险管理相结合，并作为风险管理活动的一部分；X.1061则投保企业角度为如何应用网络安全保险提供指导性意见。这些标准均描述了网络安全保险的基本概念和如何使用网络安全保险帮助组织管理风险。两项标准从投保企业的角度对网络安全保险涉及的可保风险、基本流程和注意事项等进行了描述，以帮助企业计划和购买网络保险。现有的国际标准不适合中国实际情况，需要制定适合中国国情的网络安全保险相关标准。这种差异性，体现在法律法规的依据、解决的问题、适用的对象、市场现状等。具体体现在：1）标准依据的法律法规不同。由于国内外法律和标准的不同，国内外网络安全保险的承保范围和保险条款均存在较大差异。本标准在对网络安全保险概述及保险保障范围的描述中，主要以国内保险法及国内保险条款的内容为基础进行描述，与国际标准对网络安全保险承保范围的描述存在较大差异。2）标准解决的问题存在差异。国际标准侧重采购保险过程中应注意的事项，本国标侧重为网络安全保险不同阶段（投保前、承保中、出险后等）网络安全技术的应用提供具体的指导。3）标准的适用对象不同。国际标准主要以采购保险的投保人为适用对象，本标准除给投保人提供指导外，还包括提供安全技术支持的服务方，以及开展风险控制的保险公司。4）国内外网络安全保险市场现状不同。国外标准涉及保险相关的定义或描述，与国内保险公司存在较大差异性。本标准综合了国内保险行业参编单位的意见，采纳了更适合国内市场形态的措辞。五、以国际标准为基础的起草情况，以及是否合规引用或者采用国际国外标准，并说明未采用国际标准的原因除上面所述ISO/IEC27102以及ITU-TX.1061，尚未发现网络网络保险相关国际标准。六、与有关法律、行政法规及相关标准的关系本标准与《网络安全法》的协调与配套：从国际成熟经验来看，企业购买网络安全保险，对整个安全空间产业生态起到正面积极作用。通过网络安全保险，投保方有责任对风险进行管控，并且保险方通过服务提升投保企业的网络安全建设水平，有助于提高网络安全意识和促进“网络安全的良好环境”的构建，与《网络安全法》总则保持一致。同时，标准提出的保前风险评估和保中风险监测等安全技术的应用也进一步支撑《网络安全法》中提出的建立健全网络安全风险评估和应急工作机制、加强网络安全风险的监测等要求。与等级保护、风险评估、风险管理等国家标准之间的关系：（1）与网络安全等级保护系列国家标准的衔接：网络安全等级保护评估结果和报告在投保前的风险评估阶段可作为评估内容和参考依据。（2）与《信息安全风险评估方法》、《信息安全风险管理》等国家标准的关系：网络安全保险是信息按风险管理标准框架中风险转移的一种手段，同时也根据网络安全保险的业务特点对其风险评估的目的和风险管理作用进行了扩展和延伸，其具体实施技术方法也可参照信息安全风险评估方法标准七、重大分歧意见的处理经过和依据本标准编制过程中未出现重大分歧。八、涉及专利的有关说明本标准不涉及专利。九、实施国家标准的要求，以及组织措施、技术措施、过渡期和实施日期的建议等措施建议建议本标准作为推荐性国家标准发布实施。在正式执行本标准前，需要对标准中的条款进行宣贯，以在利益相关方之间达成对标准条款理解上的一致性。建议在标准实施初期，引入再保险公司，以“投保组织+保险公司+再保险+服务方”组成试点示范。再保险公司作为风险分担方，能够提高保险公司的风险防御能力，从而快速开展行业试点，推动标准落地。在实施过程中，建议组织通过采购网络安全保险服务，将保险中的网络安全风险管控服务纳入到组织的风险管理的工作中，充分发挥保险的风险分担及防灾减损的作用，体现“保险+服务”的应用模式，进一步促进组织对风险的管控，优化组织风险管理能力。同时，从标准发布到标准实施，建议过渡期设置为6个月。十、其他应当说明的事项10.1网络安全保险推出背景及相关政策根据国务院关于数字经济发展情况的报告（2022年10月28日在第十三届全国人民代表大会常务委员会第三十七次会议上），“党的十八大以来，我国深入实施网络强国战略、国家大数据战略，先后印发数字经济发展战略、“十四五”数字经济发展规划，有关部门认真落实各项部署，加快推进数字产业化和产业数字化，推动数字经济蓬勃发展。十年来，我国数字经济取得了举世瞩目的发展成就，总体规模连续多年位居世界第二，对经济社会发展的引领支撑作用日益凸显。”伴随数字技术和实体经济的深度融合，传统产业的转型升级，新产业新业态新模式的不断发展，网络安全形势与挑战日益严峻复杂。网络安全研究机构Gartner估计，到2025年60%的公司将认为网络安全是其IT采购评估过程中的关键组成部分。欧盟网络安全局(ENISA)在其“供应链攻击的威胁形势”报告中认识到并分析了供应链上或通过供应链的网络攻击所带来的风险增加。根据ENISA的数据，与2020年相比，2021年供应链攻击的数量翻了两番。另外，网络攻击在能源、电信、医疗、汽车、教育、互联网等领域造成了巨大损失。同时，党的二十大报告指出，“推进国家安全体系和能力现代化，坚决维护国家安全和社会稳定。必须坚定不移贯彻总体国家安全观，把维护国家安全贯穿党和国家工作各方面全过程，确保国家安全和社会稳定”，保险业具有损失补偿与风险管理功能，与人类社会发展和社会保障有着天然的联系。但网络安全风险是动态不确定的，传统的风险防御手段无法解决所有的安全风险，保险作为风险管理的一种风险管理手段，需要不断进行创新和升级，以更好的应对日益加剧的网络安全风险。在网络化、智能化和数字化快速发展的社会环境下，网络安全保险是数字化转型过程中防范风险损失的重要一环，不仅有助于降低我国数字化转型进程中的安全风险，而且还可以健全企业网络安全的风险管理体系，保障企业的网络信息安全。欧美等国家已充分认识到防范网络安全风险的重要性，随着认识的逐渐成熟，相应的网络安全保险也呈现出了加速的态势。对于绝大多数海外企业而言，正是因为看到了网络安全风险所造成经济损失的严重性，并开始采取积极了积极的防御措施（通过经济的办法来解决这方面存在的风险隐患和经济损失问题），网络安全保险已经成为其重要的风险管理手段。基于以上背景，网络安全保险在国内逐渐获得关注，在政策层面和产业发展层面开始积极探索和实践。1）2019年9月，工信部发布《关于促进网络安全产业发展的指导意见》（征求意见稿），明确指出，“积极创新网络安全服务模式”，倡导“安全即服务”的理念，鼓励网络安全企业由提供安全产品向提供安全服务和解决方案转变。探索开展网络安全保险服务。2）2021年7月，工信部发布《网络安全产业高质量发展三年行动计划》（2021-2023年）（征求意见稿），其中指出：“探索开展网络安全保险。面向电信和互联网、工业互联网、车联网等领域，开展网络安全保险服务试点。加快网络安全保险政策引导和标准制定，通过网络安全保险服务监控风险敞口，鼓励企业构建并完善自身网络安全风险管理体系，强化网络安全风险应对能力。”3）2021年9月22日，国家工业信息安全发展研究中心牵头召开了“网络安全保险：创新与实践”的专题研讨会。工业和信息化部网络安全管理局，中国银行保险监督管理委员会财险部，保险公司、再保公司、安全公司等单位参会，共同探讨网络安全保险产业发展路径。会后工信部网络安全管理局提出：“要从网络安全主体责任落实和国家网络安全保障能力建设的高度，充分认识网络安全保险的重要意义，以网络安全保险推进网络安全服务模式创新，提升网络安全风险应对能力，促进网络安全产业需求释放。下一步，要加快建立各方协同配合的网络安全保险工作机制，积极推进网络安全保险行业研究，大力开展标准化建设，加大重点行业领域应用落地，助力网络安全产业生态构建和完善”。4）2022年3月5日，十三届全国人大五次会议，国务院总理李克强代表国务院向十三届全国人大五次会议作政府工作报告，网络安全再次写入政府工作报告，再次对数据安全和个人信息保护进行强调。两会期间，代表委员积极为网络安全建言献策，期间，全国政协委员、原中国保监会副主席提案：大力推动网络安全保险发展。5）2022年11月7日，工信部公开征求对《关于促进网络安全保险规范健康发展的意见（征求意见稿）》的意见。意见提出，培育网络安全保险新业态，促进网络安全产业高质量发展，培育优质网络安全保险企业，鼓励网络安全企业、保险公司积极参与网络安全保险生态建设，开展网络安全保险优秀案例征集、网络安全保险应用示范等活动，培育一批专业能力突出的保险公司、再保险公司，发展一批技术支撑能力领先的网络安全企业、专业测评机构等，建设一批网络安全保险创新联合体，培育网络安全保险发展良性生态。6）2022年11月18日，经国务院同意，人民银行、发展改革委、科技部、工业和信息化部、财政部、银保监会、证监会、外汇局印发《上海市、南京市、杭州市、合肥市、嘉兴市建设科创金融改革试验区总体方案》，从健全科创金融机构组织体系、推动科创金融产品创新、充分利用多层次资本市场体系、推进科技赋能金融、夯实科创金融基础、扎实推进金融风险防控等七个方面提出19项具体政策措施。其中，在“推动科创金融业务创新”中，提出支持保险公司研发推出符合科创企业需求的保险产品，持续推进网络安全保险产品，推动科创金融业务创新。7）2023年1月，发展改革委、国家网信办、工业和信息化部、银保监会等十六部门联合印发《关于促进数据安全产业发展的指导意见》，其中提出：引导各类金融机构和社会资本投向数据安全领域，支持数据安全保险服务发展。在后续关于《意见》重点问题回应中提到：持续优化产业生态环境，强化数据安全配套政策支持与引导，加快数据安全产业标准体系建设，推动产业科技成果转移转化，并发展数据安全保险等配套服务，加强数据安全产业政策国际交流合作。8）2023年2月，全国财产保险监管工作会议指出：要引导财险业持续深化改革，坚持守正创新，支持服务实体经济复苏增长，积极发展绿色保险、气候保险、网络安全保险、信创产业保险、新能源保险，推动实现“质”的有效提升和“量”的合理增长。9）2023年2月，由工业和信息化部、四川省人民政府主办，国家工业信息安全发展研究中心承办，北京源堡科技有限公司协办的2023年中国网络安全产业高峰论坛-网络安全保险分论坛在成都成功举办。工业和信息化部网络安全管理局在致辞中指出，网络安全保险作为网络安全风险提供保险保障的新兴险种，已日益成为转移、防范网络安全风险的重要工具，对促进网络安全产业高质量发展具有重要意义。近年来，工业和信息化部网络安全管理局将网络安全保险作为一项重点任务，积极推动相关政策文件制定，鼓励网络安全保险创新应用，指导建立跨行业协同工作机制，有序推动网络安全产业和金融服务融合发展。下一步，要积极把握网络安全保险发展契机，围绕完善顶层设计，强化技术赋能，促进需求释放、培育发展生态等方面，促进网络安全保险规范健康发展。10.2网络安全保险的市场需求与产品供给目前，以制造、金融、医疗、信息技术等重点行业企业正在积极进行网络安全保险询价，希望通过保险的方式兜底企业残余网络风险。部分网络安全保险市场承保情况如表5所示。这些企业往往具备以下特征之一：一是属于网络攻击吸引度较高的行业，例如金融行业、制造行业；二是属于关键信息基础设施运营单位，其业务的正常运营直接关乎国民的正常生活，因此需要建立全面的风险管理体系；三是外资企业、合资企业或具备海外业务的中资企业，海外业务部门已投保或计划投保网络安全保险，同时带动国内业务部门主动或应合规要求寻求网络安全保险进行风险转移。表SEQ表\*ARABIC10.1不同行业企业网络安全保险投保情况简述企业类型评估情况说明投保需求投保险种类型保险服务某大型能源电力企业企业安全能力较强、风险管理体系较为完善转移残余风险网络安全保险，保障网络勒索、营业中断、应急响应费用等第一方损失风险持续监测服务，如出现高级威胁及时通告报警某上市电子商务企业线上业务比例高，网络安全防护体系较为完善，但业务属性决定其遭受网络攻击概率较大，其信息泄露责任、网络安全责任等三者连带责任较高风险管理需求网络安全综合险（保障第三者责任和第一方损失）通过专业的安全整改建议提升企业整体安全建设水平某医疗机构风险中等偏上，需继续完善其安全防护能力事件驱动勒索软件防护保险防勒索软件防护服务某自动驾驶企业新场景需求客户，对于系统失效需求较高政策要求网络安全保险以及算法失效保险（保障自动驾驶车辆的软硬件系统失效、算法失效等网络安全事件导致的第一方损失）-某大型合资汽车制造企业自身网络安全意识较高，安全管理能力较强应集团合规和风险管理要求网络安全保险-某中大型金融机构网络安全建设能力较强风险管理驱动网络安全保险（保障第一方损失和第三者责任）风险监测、人员安全意识培训等技术服务某专业技术服务业企业网络安全整体水平较高风险管理驱动勒索软件防护保险勒索攻击应急响应服务某中型贸易公司业务线上依赖度较高，整体网络安全风险中等风险管理驱动网络安全保险（保障第一方损失和第三者责任）风险持续监测服务，如出现高级威胁及时通告报警某银行整体网络安全风险可控完善企业自身风险管理机制网络安全保险（保障第一方损失和第三者责任）准入风险评估、无感知风险评估、网络安全差距分析服务、定期风险隐患排查、渗透测试、网络安全培训等综合以上背景，现阶段网络安全保险是承保与网络空间风险等相关风险为目的的保险合同，投保人根据网络安全保险合同向保险人支付保险费，当合同约定范围内的网络安全事件发生时，保险人依据合同条款就对应的财产损失承担赔偿保险金责任的商业保险行为：一是以投保人信息资产安全性（包括完整性、机密性、有效性等）为保险标的；二是以网络安全事件或网络安全风险为保险事故；三是根据承保安全风险的复杂性，保险产品类型可划分为财产损失保险或责任保险。无论保险公司采取何种保单形式承保网络安全保险，都需要详细清晰界定网络安全保险的承保范围。保险责任需阐明“网络安全威胁（风险）可能导致何种网络安全事件，最终引发何种损失类型”，其核心为确定“可保网络安全事件”与“可保损失类型”。表10.SEQ表\*ARABIC2现阶段网络安全保险保障范围解析保险产品类型保险产品定义可保风险事件可保损失类型可保损失说明网络安全财产损失保险主要承保第一方损失，即由于保单明确列明的网络安全事件导致投保人（被保险人）的直接经济损失营业中断事件营业中断损失可保威胁导致被保险人因停产、停业或经营受影响而面临的预期利润损失及必要的费用支出网络勒索事件网络勒索损失网络勒索事件导致的被保险人的勒索解密处置费用及其他必要的费用支出网络欺诈资产损失企业资金盗窃损失社会工程学行为适用所有可保风险事件类型应急响应费用被保险人因可保威胁或可保风险事件发生而采取合理措施以保护自身利益进一步损失的必要费用支出，如数据恢复、安全专家咨询等网络安全责任保险主要承保第三者责任，即由于被保险人发生网络安全事件所引起的对第三方（受影响个人或机构）依法承担的赔偿责任数据泄露（企业或个人信息）网络安全与隐私责任被保险人对第三者（受影响个人或机构）法定赔偿责任安全事件（数据被破坏或删除、服务中断等）外包商数据泄露外包商责任外包商安全事件媒体侵权（知识产权被盗或丢失）媒体侵权责任适用所有可保风险事件类型应急响应费用被保险人因可保威胁或可保风险事件发生而采取合理措施以保护自身利益进一步损失的必要费用支出，如法律咨询、公关管理、数据恢复、安全专家咨询等不同行业、不同规模企业所处网络安全风险环境的差异性，以及业务场景对风险应对能力要求的不同，使企业网络安全投保需求日趋多样化。然而，目前市场中的网络安全保险种类单一，且缺乏应对个性化需求的灵活性，例如ITPI条款、新能源以及智能网联车、嵌入式设备等承保研究因缺乏适当的风险识别、风险量化手段而处于初步发展研究阶段，但目前市场上已出现类似的投保需求。但目前由于国内网络安全保险市场发展还处于起步阶段，对于标准的需求还集中在如何普及网络安全保险概念、作用以及如何指导用户投保等方面，标准研发应集中关注实施层面，解决网安险产品各参与方技术标准不统一，实施流程不规范等问题，根据产业发展要求制定标准的制定路径，为业务发展提供指导。同时，新的业务需求和产品创新的要求，也对标准建设提出新的需求，后续可针对不同行业的风险特点，保障范围，业务模式的差异性，网络安全风险评估技术的应用、风险如何管理以及理赔鉴定技术等存在的差异性，基于国家标准进一步研究细化面向不同行业的网络安全保险标准。如针对工业互联网、车联网、云计算服务等的网络安全保险，在风险特点，所评估的资产类型和风险监测的对象等进行差异性区分，同时基于业务架构的开放性程度不同导致的技术差异构建细化的标准体系。10.3现阶段产业发展情况根据国家工业信息安全发展研究中心2023年3月发布的《网络安全保险研究报告》显示，我国网络安全保险已步入快速发展新阶段。2022年我国网络安全保险保费规模约为1.4亿元，较上一年翻一番。目前我国共有30家保险公司备案了78款网络安全保险产品，其中2022年新增网络安全保险产品数量为24款，是上一年备案产品数量的两倍以上。融合创新方面，网络安全保险产品形态和服务模式日益多元，“保险服务﹢安全风控”模式日趋成熟，“安全防护﹢保险保障”模式加快探索落地。技术赋能方面，网络安全风险评估、风险监测、应急响应等技术在支撑保险发展的适应性改进方面取得积极进展，保险风控支撑体系基本形成。需求释放方面，云计算、工业互联网和车联网等新业态快速发展，产业链供应链风险管理要求、重大活动网络安全保障需求等驱动网络安全保险创新探索。在具体保障责任方面，网络勒索敲诈损失、营业中断损失、隐私信息或数据损失、隐私侵犯及信息泄露等，已成为网络安全险的主要保障内容。而2020年美国网络保险市场直接承保保费已达约41亿美元，同比增长29.1%。从企业风险管理的视角看，网络安全保险可以助力企业搭建起健全完善的信息安全体系，提高经营管理和生产效率，能够有效地满足平滑网络安全风险的需求，助推企业实现数字化转型。从我国保险产品承保的范围看，网络安全保险的保障责任主要分为两大类：一是第一方损失保障，即保险保障网络安全事件给被保险企业带来的直接财产损失；二是第三方赔偿责任，即由于被保险企业从事涉及第三方企业及个人网络服务，受到安全事件影响而引发的第三方赔偿责任。其中，营业中断损失、网络勒索敲诈损失、隐私信息或数据缺失、隐私侵犯及信息泄露保险责任等4方面较受市场关注。三是我国网络安全保险多用于商业，少见于个人。在国外成熟市场中，个人网络安全保险保障范围全面，包含了诸如网上购物、金融交易、网络勒索、数据恢复、网络责任、网络霸凌、智能家居等情景所产生的网络安全风险，且个人信息和数据隐私保护受到广泛关注；但在我国，个人网络安全保险主要仅包含个人账户安全险、数字人民币钱包安全、游戏虚拟账户保障保险，以及电信欺诈资金损失保险等，个人隐私保护的意识与法律环境都尚未完善。从国际保险市场的现状看，欧美作为全球最大的网络安全保险市场，商业模式基本成熟，有超过500家保险公司可以提供网络安全保险服务。但是我国目前仅有国内大型保险公司、外资保险公司和一些再保险公司能够提供网络安全保险的相关产品和承保能力。据市场研究公司（ResearchandMarkets）预测，到2026年，全球网络安全保险市场规模将达到350.7亿美元，平均年复合增长率达到26.6%，展现出巨大的网络安全保险市场空间。网络安全保险是转移网络安全风险的有效方式，是对网络空间的不确定性进行承保，由于网络安全风险具有动态性、多样性、复杂性等特点，导致了网络安全保险的可保性成为了发展网络安全保险过程中面临的最大挑战之一。目前网络安全保险在我国的发展过程中，主要面临以下五个难点问题：一是风险核定困难，保司缺乏依据，无法准确判断客户风险水平，不能有效决策“可不可保”。二是产品定价缺少数据，网络风险影响因素复杂、数据收集困难，风险难以量化，传统保险精算模型无法对网络安全风险进行精准定价，价格与风险敞口不匹配，很难进行合理的风控和定价。三是网络安全风险场景众多，风险要素关系复杂，风险发生概率估算难，关于网络安全风险的财务影响的历史数据非常有限，直接、间接损失难以统计。四是风险动态多变且具有累积性，保司无法有效动态监控客户风险，防灾降损难以开展，群体性事件无法管理。五是缺乏统一网络安全风险评估标准。因此，在开展网络安全保险业务的过程中，对风险的评估和量化已成为网络安全保险投保的前提。在这个过程中，需要借助技术服务，针对保险标的、保障范围、承保风险进行不同场景下的多维度评估，一方面可以将评估结果，作为网络安全保险定价、核保的重要依据。另一方面，可以协助保险公司构建并优化承保、风控、理赔等全流程业务体系。10.4网络安全保险与传统财产保险的差异分析网络安全保险与传统财产保险的差异性主要体现在：一、从险种层面，网络安全保险属于财产保险的一种，财产保险是以财产及其有关利益为保险标的的保险，包括财产损失保险、责任保险、信用保险、保证保险等。目前市场中在售的传统责任险和财产险对于网络安全事件造成的损失往往在承保范围中表述得模糊不清、甚至明示除外责任。网络安全保险则弥补了传统保险产品在承保网络安全风险方面的缺失，网络安全保险预计未来可同安全生产责任险、职业责任险、车险等传统险种深度融合，衍生出更多产品种类。二、从保险责任层面，传统财产保险与网络安全保险同样存在较大差异：第一，从保险标的角度，和传统的保险产品大多以有形财产及其相关经济利益和损害赔偿责任为保险标的不同，网络安全保险的保险标的以无形财产为主，如数据、系统等，同时可包括以计算机硬件为主的有形资产。在网络安全保险发展尚不完备成熟的阶段，市场上对网络风险的承保通常建立在传统商业综合责任险(CommercialGeneralLiabilityInsurance,CGL)基础上。但在传统CGL定义下，数据的丢失或损毁是否属于承保责任存在巨大的争