国家标准计划《信息安全技术 网络安全保险应用指南》由 TC260(全国网络安全标准化技术委员会)归口 ,主管部门为国家标准委。
主要起草单位 北京源堡科技有限公司 、国家工业信息安全发展研究中心 、公安部第一研究所 、中国科学院信息工程研究所 、中国人寿财产保险股份有限公司 、国任财产保险股份有限公司 、诚泰财产保险股份有限公司 、中国财产再保险有限责任公司 、前海再保险股份有限公司 、人保金融服务有限公司 、北京奇虎科技有限公司 、奇安信科技集团股份有限公司 、北京神州绿盟科技有限公司 、启明星辰信息技术集团股份有限公司 、建信财产保险有限公司 、北京天融信网络安全技术有限公司 、深信服科技股份有限公司 、杭州安恒信息技术股份有限公司 、腾讯云计算(北京)有限责任公司 、国网网安(北京)科技有限公司 。
35 信息技术、办公机械 |
随着网络安全上升为国家战略,并持续加强对网络安全风险的监管,也积极推动网络安全技术及服务模式的创新和发展。
2021年7月12日,工信部发布《网络安全产业高质量发展三年行动计划(2021-2023)(征求意见稿)》指出“到2023年,网络安全技术创新能力明显提高,产品和服务水平不断提升”,并提出“探索开展网络安全保险。
面向电信和互联网、工业互联网、车联网等领域,开展网络安全保险服务试点。
加快网络安全保险政策引导和标准制定,通过网络安全保险服务监控风险敞口,鼓励企业构建并完善自身网络安全风险管理体系,强化网络安全风险应对能力”。
目前国际上网络安全保险市场相对成熟,国际标准组织ISO/IEC和ITU-T分别发布了ISO27102和X.1061,指导企业采购网络安全保险并描述了保险对于企业风险管理的作用和考虑事项。
国内网络安全保险市场正处于起步阶段,网络安全保险相关标准体系尚未建立,也缺乏网络安全保险应用指导性标准。
同时,国内网络安全法规、监管要求以及网络安全风险、用户需求等均与国外有较大区别,如何引导企业采用网络安全保险进行风险管理,并推动网络安全技术和服务在保险业务中的创新,需要结合国内实际情况提出网络安全保险应用指导性标准,以促进网络安全技术服务创新,支撑我国网络安全产业高质量发展。
本标准对促进产业发展具有重要意义。
(1)提升网络安全技术创新能力 标准将为网络安全技术和服务在网络安全保险业务领域中的应用提供了方向和指导。
通过对投保前风险评估、保险中风险监测以及安全事故鉴定等技术的应用,使得安全技术能够支持并满足保险核保评估需求,并为保险中风险管控提供技术支撑,进一步提升网络安全技术创新能力。
(2)促进市场快速健康发展 该标准的制定,使得投保企业、保险公司、网络安全公司等各参与方对网络安全中可保风险以及如何支持企业的风险管理工作形成共同理解,使得网络安全保险业务有章可循,更加规范;保险公司能够根据安全技术应用的结果进行差异化定价和产品创新,从而促进保险市场的健康发展。
(3)做大产业规模 标准将对应用于网络安全保险中的安全技术和服务提供指导,使得保险机构能够科学的评估投保企业网络安全风险状况,并通过有效的风险控制手段,促进网络安全保险市场的快速发展;同时,保险业务的发展又将直接带动安全技术在不同领域的应用,以业务促进安全市场发展,做大安全产业规模。
本项目为新制定标准项目,本标准拟提出不同组织在选择和使用网络安全保险来降低网络安全风险时应考虑的主要内容,对网络安全保险的保障范围、如何选择保险方,以及如何通过风险评估来支持网络安全保险等提出指导性信息。项目主要内容包括: 1、阐述网络安全保险主要概念以及对于组织风险管理的作用,研究可承保网络安全事件,常见网络安全风险与保险保障范围;组织在选择网络安全保险时需要考虑的因素等; 2、研究并提出网络安全保险应用的三个主要阶段以及每个阶段可采用的安全技术及其作用; 3、研究投保前风险评估内容、方法和技术特点以及量化分析对核保的作用;研究保险中风险监测目的和作用,提出基本方法;研究出险后理赔主要流程以及应急响应、事件取证等安全服务作用; 本标准实施主体为希望应用网络安全保险降低其潜在风险损失的组织。标准应用于组织的风险管理和网络安全保障场景,应用范围包括具有基本信息化系统或数字资产,会面临相应网络安全风险的所有行业和规模企业,以及开展保险业务并提供技术支持的保险公司和网络安全企业。