业界首发！安恒信息牵头制定网络安全保险风险评估标准发布

什么，网络安全保险出台标准了！

保险公司开展风险评估终于有方法了！

投保人进行风险自评终于有依据了！

3月25日，中国网络安全产业联盟（以下简称CCIA）正式发布联盟标准T/CCIA 001-2022《面向网络安全保险的风险评估指引》，将于2022年5月1日起实施。该标准由安恒信息牵头，40多家网络安全相关机构和企业共同研制，是网络安全保险业内第一项。

为什么说，它很重要？

T/CCIA 001-2022《面向网络安全保险的风险评估指引》为保险公司、再保险公司开展网络安全保险业务前的风险评估、网络安全保险投保人或被保险人开展网络安全风险自评估提供了重要的方法和依据。对指导和规范网络安全服务提供商在网络安全保险投保阶段开展网络安全风险评估活动，促进公众和用户对于网络安全保险的认识，进一步培育和开拓网络安全保险市场有重要意义。

背景介绍

现阶段，网络安全服务提供方与保险机构合作开展网络安全保险业务时，对潜在投保用户的信息系统缺乏有效的网络安全风险评估过程、指标和方法，极大制约网络安全保险在国内的推广和应用。为规范网络安全保险保前风险评估，广泛征求CCIA成员意见后，经CCIA秘书处批准立项，由安恒信息牵头开展《面向网络安全保险的风险评估指引》联盟标准的研制工作。

起草过程

在CCIA指导下，按照联盟标准化工作规程，安恒信息与CCIA联盟近40家网络安全企业和相关机构组成标准研制工作组，共同开展标准研究起草工作。起草单位在网络安全保险领域具有多年实践经验，研制工作组具有广泛代表性。

以安恒信息在网络安全保险领域积累的实践经验与方法为基础，经与标准研制工作组共同研讨和验证，并在CCIA范围内公开征求意见，标准于2021年12月通过了CCIA专家审查，并最终获得CCIA批准发布。

现实意义

网络安全保险作为网络安全风险转移的重要手段，已成为网络安全产业生态链的重要一环。T/CCIA 001-2022《面向网络安全保险的风险评估指引》通过建立一套风险评估指标、流程和风险计算方法，规范对投保信息系统的风险评估，风险等级、风险分值的计算与评判，使网络安全风险状况得到量化呈现。重点对数据安全、网络勒索和业务连续性中断等典型场景的风险计算方法进行了规范和示例，加强对具体保险业务，重点险种风险评估的指导，增强标准可用性。

作为引领网络安全产业规范发展的示范单位，安恒信息此前参与制定的10余项网络安全国家标准，若干网络安全行业标准以及10余项地方标准已经发布实施。下一步，安恒信息将继续配合网络安全主管部门，与各方合作共同研究通过保险机制来预防和转移网络安全风险，积极参与网络安全保险相关标准的研究工作，为加快网络安全保险在国内的发展贡献力量。