工业和信息化部办公厅关于组织开展网络安全保险服务试点工作

Andrew2024-01-09 14:16:46

2023年12月21日,工业和信息化部发布《工业和信息化部办公厅关于组织开展网络安全保险服务试点工作的通知》。


本次工信部通过组织开展网络安全保险服务试点,一是促进企业提升网络安全风险应对能力,推动企业提升对网络安全保险的认知,积极利用网络安全保险防范网络安全风险,完善网络安全风险管理体系,提升网络安全意识和能力。二是建立健全网络安全保险流程机制,建立网络安全保险标准规范,针对核保、承保、理赔等重点环节完善流程标准和要求,促进网络安全保险规范健康发展。三是加快网络安全服务新业态发展,积累网络安全保险实践经验,创新一批网络安全保险产品,培育一批优质网络安全保险机构,形成一批可复制可推广的网络安全保险解决方案,促进网络安全产业高质量发展。




试点险种


结合现阶段我国网络安全保险现有险种,本次试点险种主要包括网络安全财产类保险和网络安全责任类保险两大类。


网络安全财产类保险,主要保障因网络安全事件造成的第一方直接损失以及因此产生的技术服务费用,包括直接物理损失、营业中断损失、数据资产重置费用、硬件改善成本、应急处置费用,以及因网络安全事件导致的公关费用、法律费用等。


网络安全责任类保险,主要保障因网络安全事件引起的对第三方个人或机构需要承担的赔偿责任,包括数据泄露责任、网络安全事件责任、媒体侵权责任、外包商相关责任、产品责任或技术服务职业责任等。


试点对象及内容


结合我国网络安全保险发展实际,试点内容包括面向电信和互联网、工业互联网、车联网等重点行业的企业类保险和网络安全产品、信息技术产品,以及网络安全服务类保险,主要试点内容如下。


(一)企业类


以企业法人为被保险方,主要保障网络安全事件对其造成的财产损失或赔偿责任。


1.电信和互联网企业。面向基础电信运营商、互联网企业、云服务提供商等电信和互联网企业,针对服务器、网站、平台等因网络攻击或内部人员操作不当造成的平台服务中断、数据被恶意篡改利用等风险场景,主要承保营业中断损失、数据资产重置费用、第三方索赔损失、应急处置费用等。


2.工业互联网企业。面向联网工业企业、工业互联网平台企业、标识解析企业等工业互联网企业,针对因网络攻击或内部人员操作不当造成的联网工业设备或工业控制系统运行故障、自动化生产线停止运行、重要数据被加密锁定等风险场景,主要承保营业中断损失、数据资产重置费用、应急处置费用等。面向原材料工业、装备工业、消费品工业和电子信息制造业等重要行业企业,针对因网络攻击或操作不当造成的生产制造系统运行故障,办公自动化等系统运行中断、管理数据损坏等风险场景,主要承保营业中断损失、数据资产重置费用、应急处置费用等。


3.车联网企业。面向整车生产制造企业、车辆电子系统制造企业、电子零部件企业、智能车辆运营企业等车联网相关企业,针对因网络攻击、系统设计缺陷、操作不当等导致的装配线等生产制造系统运行故障、车辆设计敏感数据被泄露等风险场景,主要承保车主、车上人员以及第三方的索赔损失、数据资产重置费用、硬件改善成本、营业中断损失、应急处置费用等。


4.其他行业企业。面向医疗卫生、金融、能源等其他行业企业,结合行业网络安全风险特征,聚焦因网络攻击、操作不当、代码缺陷等导致的部件异常、系统停用、服务中断、数据泄露等风险场景,确定可承保的第一方损失和第三方责任范围。


(二)产品服务类


以产品服务的购买方为保障对象,主要保障因网络安全事件造成的财产损失或赔偿责任。


1.网络安全产品。主要承保网络安全产品在提供或运维过程中可能产生的财产损失和第三方责任。主要保障因网络安全事件所产生的应急处置费用、营业中断等第一方损失或由于数据泄露等导致的第三方索赔损失,为网络安全产品增信。网络安全产品包括但不限于抗DDoS防护、数据防泄漏、防勒索软件、终端检测响应、Web应用防火墙等。


2.网络安全服务。主要承保从事网络安全服务的专业技术人员相关职业责任。主要保障专业技术人员在服务过程中出现的疏忽、错误和失职行为等造成的相关信息系统瘫痪、失效、崩溃或数据被更改、丢失、泄露等引发的第三方索赔损失。网络安全服务包括但不限于网络安全风险评估、安全运营、应急处置等。


3.信息技术产品。主要承保信息技术产品的网络安全责任。主要保障信息技术产品由于产品或服务未达到显性标准(如合同约定等)而造成的网络安全事件,包括用户信息系统瘫痪、失效、崩溃或数据被更改、丢失、泄露等引发的第三方索赔损失等。


文件链接


https://www.miit.gov.cn/jgsj/waj/wjfb/art/2023/art_1f9d212326db4d97bfdd9fba023d087e.html


网络安全网络安全防护
本作品采用《CC 协议》,转载必须注明作者和本文链接
企业安全 截至 2023 年,75%的安全漏洞是由身份、访问或权限管理不善造成的。
实战攻防绷紧网络安全弦。“警钟长鸣”才能居安思危,红蓝队就是敲钟人,必须让队伍在急难险重的工作任务中经风雨、见世面、壮筋骨。
2015年10月,日本成田机场与中部机场遭到黑客攻击。所幸是在深夜时分,没有对机场营运造成影响。机场人员随后关闭遭入侵的电脑和广播系统,使用扩音器通知乘客以及以“手工”方式办理登机等手续,部分航班被迫延迟起飞。2017年6月,乌克兰首辅国际机场再次遭受到勒索病毒的攻击,机场信息系统瘫痪,导致大量旅客滞留机场,航班大面积延误。在具体实施时,可根据自身系统的安全保护级别进行调整。
网络安全领域,红蓝对抗中一方扮演黑客、另一方扮演防守者进行网络安全实战演练。在攻防演练中,红军模拟真实的攻击来评估企业当前防护体系的安全水平,蓝军对发现的问题进行优化整改。通过周期性的红蓝对抗,可持续性提高企业在攻击防护、威胁检测、应急响应等方面的能力。建立网络安全督察通报体系。
工业互联网是新一代信息通信技术与工业体系融合的产物,将推动“人、机、物”的泛在深度互联和全面感知。随着工业互联网设备的网络化、数字化、智能化应用不断泛化,设备自身网络安全设计、应用过程管理与防护逐渐成为关注重点。
为做好网络安全保障,加强网络安全防护,有效发现网络安全风险并及时化解,7月20日,菏泽市城管局举行网络安全攻防演练。据悉,本次演练邀请了菏泽市网络安全资深专家组成网络安全红队攻击人员,在真实网络环境下模拟黑客的攻击手段对菏泽市城市管理局信息系统开展实战化攻击。在不影响业务的情况下,攻击队伍可对菏泽市城市管理局的官方网站、智慧城管等进行网络攻击,试图入侵系统,获取权限并可进行内网渗透。
随着网络空间安全上升为国家战略,安全需求已由单一的软硬件产品提供转向全面专业的安全运营服务模式,各安全厂商争先提出安全运营整体解决方案,安全即服务成为网络安全产业发展重点。通过对网络安全服务的国内外产业发展现状进行分析,结合工程实践提出针对网络安全全生命周期的服务体系,并从技术创新和商业模式创新两个方面对网络安全服务产业发展提出建议。全面的分析和研究网络安全服务的产业现状、体系和发展建议,对完善优
Andrew
暂无描述