国家标准《信息安全技术 网络安全保险应用指南》征求意见稿发布
2023年9月13日,全国信息安全标准化技术委员会秘书处发布《信息安全技术 网络安全保险应用指南》(以下简称《应用指南》)征求意见稿。
制定背景
2021年7月,工业和信息化部发布《网络安全产业高质量发展三年行动计划》(征求意见稿),提出“探索开展网络安全保险,加快网络安全保险政策引导和标准制定,通过网络安全保险服务监控风险敞口”。2023年7月,工业和信息化部和国家金融监管总局发布《关于促进网络安全保险规范健康发展的意见》,提出“建立覆盖网络安全保险服务全生命周期的标准体系,明确承保、核保、理赔等主要环节基本流程和通用要求。研究制定承保前重点行业领域网络安全风险量化评估相关标准,规范安全风险评估要求”。
起草单位
《应用指南》根据国家标准化管理委员会2023年下达的国家标准制修订计划,由北京源堡科技有限公司负责承办、组织起草,国家工业信息安全发展研究中心、中国电子技术标准化研究院、中国人民财产保险股份有限公司、中国太平洋财产保险股份有限公司等单位共同参与了起草工作。
主要内容
《应用指南》借鉴了国际网络安全保险相关标准成果,结合我国网络安全保险产业现状和网络安全风险管理实践,提出适合我国国情的网络安全保险应用指南,帮助并指导组织通过网络安全保险应对和管理风险。
图:网络安全保险应用基本流程
《应用指南》阐述网络安全保险概念及对风险管理的作用,明确可以通过保险转移的网络安全事件和主要损失类型,建立网络安全风险与保险保障范围的关系。解决当前网络安全保险供需双方对于网络安全保险目的和概念的理解差异性问题。
图:网络安全保险应用参与角色
《应用指南》阐述网络安全保险应用的主要环节以及主要参与方,各参与方的主要作用和职责。解决网络安全保险应用过程中的流程规范化问题。
图:典型网络安全相关保险产品和示例
《应用指南》提出在网络安全保险应用主要环节中的基本方法和内容,对投保前风险评估、保险期间风险控制以及出险后事件评估等给出基本的方法和内容,为不同环节中的保险应用提供可操作性的指导建议,解决网络安全保险中所应用的基本安全技术方法以及差异性问题。