一、 網(wǎng)絡(luò)安全保險概述

　　國際信息系統(tǒng)審計協(xié)會(ISACA)、CMMI研究院和Infosecurity集團在今年年初開展了聯(lián)合調(diào)查，并發(fā)布了研究報告《2020年企業(yè)風險管理狀況報告》。該研究報告表明，企業(yè)面臨的網(wǎng)絡(luò)安全風險逐年增加，只有不到三分之一的企業(yè)能夠準確預測與新興技術(shù)相關(guān)的威脅和漏洞帶來的影響，然而只有43%的企業(yè)會通過引入保險來轉(zhuǎn)移風險。

　　近年來隨著網(wǎng)絡(luò)黑客、電腦病毒、計算機犯罪嚴重地威脅著網(wǎng)絡(luò)安全，導致網(wǎng)絡(luò)安全事件頻發(fā)。企業(yè)一旦發(fā)生網(wǎng)絡(luò)安全事件，將面臨嚴重的監(jiān)管處罰，對其業(yè)務(wù)、商譽也產(chǎn)生一定影響。在系統(tǒng)已經(jīng)發(fā)生安全事件的情況下，網(wǎng)絡(luò)安全保險作為風險轉(zhuǎn)移的手段之一，可以一定程度降低或補償財產(chǎn)損失。網(wǎng)絡(luò)安全保險是一種以信息資產(chǎn)的安全性為保險標的的財產(chǎn)保險。投保人向保險公司支付保險費，保險公司對因網(wǎng)絡(luò)安全事件而造成的重要信息資產(chǎn)丟失、知識產(chǎn)權(quán)受到侵犯、服務(wù)中斷和營業(yè)收入等損失承擔賠償保險金的責任。

　　二、 網(wǎng)絡(luò)安全保險內(nèi)容

　　(一) 責任保障

　　因下列原因造成第三者的直接經(jīng)濟損失：

　　1. 信息泄露事件

　　被保險人或其外部服務(wù)商看管、保管或控制的第三者信息被泄露給未經(jīng)授權(quán)的主體。

　　2. 數(shù)據(jù)安全事件

　　被保險人的計算機系統(tǒng)因下列原因而喪失穩(wěn)定運營的狀態(tài)，不能保證被保險人所存儲、傳輸、處理信息的完整性、可用性，導致服務(wù)中斷、數(shù)據(jù)丟失或數(shù)據(jù)損壞：

　　1) 惡意軟件或惡意攻擊行為;

　　2) 黑客入侵行為;

　　3) 非法使用或訪問;

　　4) 拒絕服務(wù)攻擊;

　　5) 社會工程學攻擊。

　　3. 媒體侵權(quán)事件

　　被保險人或其代表在互聯(lián)網(wǎng)上發(fā)表、傳輸出電子媒體信息/數(shù)字媒體內(nèi)容過程中的下列行為：

　　1) 侵權(quán)他人著作權(quán)、版權(quán)、名稱、廣告語、商標、商號、商業(yè)外觀、標簽、服務(wù)標記或服務(wù)名稱，包括但不限于侵犯域名、深層鏈接或框架;

　　2) 侵犯或侵占他人創(chuàng)意;

　　3) 發(fā)布他人錯誤信息、公開披露他人私人信息、非惡意侵犯他人名譽權(quán)。

　　(二) 財產(chǎn)保障

　　1. 事件響應費用

　　包括法律訴訟費用、通知費用、風險評估和系統(tǒng)修復費用、咨詢服務(wù)費用、媒體公關(guān)費用等。

　　2. 營業(yè)中斷損失

　　計算機系統(tǒng)全部或局部失效導致被保險人的經(jīng)營受到干擾或中斷，由此產(chǎn)生的賠償期間的利潤損失。

　　3. 網(wǎng)絡(luò)勒索處理費用或贖金

　　第三方以索取錢財為目的的對被保險人作出安全威脅或攻擊而引發(fā)的。

　　4. 數(shù)據(jù)修復費用

　　計算機系統(tǒng)或數(shù)據(jù)無法訪問、被破壞或被干擾，為恢復正常運行所需的合理必要的數(shù)據(jù)修復費用。

　　5. 應急響應費用

　　根據(jù)事先對各種可能情況的準備，在網(wǎng)絡(luò)安全事件發(fā)生后，響應、處理、恢復、跟蹤的方法及過程所產(chǎn)生的費用。

　　綜上，網(wǎng)絡(luò)安全保險內(nèi)容覆蓋第一方損失和第三方責任風險，從本質(zhì)上來說網(wǎng)絡(luò)安全保險是責任保險的一種，主要發(fā)生網(wǎng)絡(luò)安全事件和信息泄露事件觸發(fā)風險。針對第一方的保險責任主要針對投保企業(yè)自身的資產(chǎn)，包含網(wǎng)絡(luò)安全事件造成的業(yè)務(wù)中斷損失、網(wǎng)絡(luò)勒索損失、數(shù)據(jù)泄露損失、企業(yè)名譽損失、法律費用等;針對第三方的保險責任主要包括第三方數(shù)據(jù)的泄露、丟失、損壞等風險。

　　三、 網(wǎng)絡(luò)安全保險投保體檢

　　網(wǎng)絡(luò)安全保險投保前需進行評估，該評估類似于給人做身體體檢，網(wǎng)絡(luò)安全保險評估至少包括以下內(nèi)容：

　　1. 識別企業(yè)的IT資產(chǎn)列表和風險點;

　　2. 企業(yè)如何保護這些IT資產(chǎn);

　　3. 企業(yè)對潛在風險和威脅是否有檢測偵察能力;

　　4. 企業(yè)如何應對和解決網(wǎng)絡(luò)安全事件;

　　5. 企業(yè)遭受事件損失后的恢復能力。

　　四、 網(wǎng)絡(luò)安全保險相關(guān)服務(wù)介紹

　　從事件發(fā)生的時間的角度將網(wǎng)絡(luò)安全保險相關(guān)服務(wù)分為事件發(fā)生前和發(fā)生后的服務(wù)。目前，CFCA可為企業(yè)提供事前、事后的安全服務(wù)。

　　事前：建立一份信息技術(shù) (IT) 和運營技術(shù) (OT) 資產(chǎn)清單，深入了解各類聯(lián)網(wǎng)和未聯(lián)網(wǎng)資產(chǎn)，識別運營環(huán)境中的安全風險，預先采取控制措施保護資產(chǎn)，從而最大程度地降低生命周期風險。事件發(fā)生前的服務(wù)包括網(wǎng)絡(luò)安全綜合評估、遠程和現(xiàn)場漏洞檢測、滲透測試、網(wǎng)絡(luò)安全意識培訓、網(wǎng)站安全監(jiān)測、合規(guī)審計、網(wǎng)絡(luò)安全咨詢、安全加固等。

　　事后：按照事先針對可能場景制定的應急響應和恢復程序 (例如，應用項目和數(shù)據(jù)的備份和災難恢復程序)響應事件，盡快恢復正常生產(chǎn)運營。事件發(fā)生后的服務(wù)包括應急響應服務(wù)、數(shù)據(jù)恢復服務(wù)。

　　參考文獻：

　　【1】《2020年企業(yè)風險管理狀況報告》

　　【2】計算機科學與應用《網(wǎng)絡(luò)安全保險研究現(xiàn)狀及展望》

　　聲明：本文來自網(wǎng)安前哨，版權(quán)歸作者所有。文章內(nèi)容僅代表作者獨立觀點，不代表本站立場，轉(zhuǎn)載目的在于傳遞更多信息。如有侵權(quán)，請聯(lián)系刪除。