科技日報記者?崔爽

工信部、國家金融監管總局近日聯合印發《關于促進網絡安全保險規范健康發展的意見》（以下簡稱《意見》）。

網絡安全保險是為網絡安全風險提供保險保障的新興險種，日益成為轉移、防范網絡安全風險的重要工具，在推進網絡安全社會化服務體系建設中發揮著重要作用。

(相關資料圖)

《意見》相關解讀指出，隨著我國數字經濟的快速發展，網絡安全基礎性、保障性作用增強。網絡安全保險作為承保網絡安全風險的新險種、網絡安全服務的新模式，有利于行業企業提升網絡安全風險應對能力，促進中小企業數字化轉型發展，推進構建網絡安全社會化服務體系，促進網絡安全產業高質量發展，助力制造強國、網絡強國建設。《意見》的出臺，將有力指引網絡安全保險健康有序發展。

當前，我國網絡安全保險發展現狀如何？網絡安全險產品發展亟待解決哪些問題？推動我國網絡安全險規范健康發展，還應在哪些方面重點完善？7月下旬，科技日報記者就這些問題采訪了相關專家。

網絡安全保險方興未艾

“截至目前，我國有37家保險公司（含外資、合資保險公司）提供89款在售網絡安全保險產品（含附加險9款），其中企財險達42款、責任保險22款，還有一些為其他類型，如網絡安全綜合險、應急響應專項險等險種。”國家工業信息安全發展研究中心總工程師黃鵬告訴科技日報記者，據測算，2022年我國網絡安全保險保費規模約1.4億元，較2021年翻一番，保持高速增長。

黃鵬介紹，我國網絡安全保險產品服務模式主要有兩種。一種是面向行業企業網絡安全風險管理需求的“保險服務+安全風控”模式。該模式下，保險公司發揮主導作用，借助網絡安全企業、專業網絡安全測評機構的網絡安全技術能力、場景化評估分析能力和數據整合分析能力，開展產品開發、核保定價、防災減損等保險服務，為行業企業提供網絡安全財產損失險、責任險、綜合險等保險產品。另一種模式為面向網絡安全產品殘余風險轉移需求的“安全防護+保險保障”模式。該模式由網絡安全企業主導，體現為網絡安全企業為行業企業用戶提供網絡安全防護類產品的同時，附加網絡安全專門保險，如在招標文件中明確網絡安全服務中包含為服務責任兜底的網絡安全保險產品。

如今，網絡安全企業、保險公司、保險科技企業等多方主體正積極投身網絡安全保險產品形態和服務模式創新，助推我國網絡安全保險行業快速發展。

作為我國網絡安全保險領域的首份政策文件，《意見》圍繞完善政策標準、創新產品服務、強化技術支持、促進需求釋放、培育產業生態等提出5方面10條意見，鼓勵保險機構面向不同行業場景的差異化網絡安全風險管理需求，開發多元化網絡安全保險產品。

在奇安信董事長齊向東看來，《意見》將促進網絡安全保險創新升級，幫助企業有效規避安全風險。“不同行業面臨的網絡風險存在差異，安全保障需求也不盡相同。多元化的網絡安全保險產品能使企業享受到有針對性的保險服務，提升安全防護能力，最大程度實現風險可控。”

持續開展技術和產品創新

在黃鵬看來，我國網絡安全保險市場當前正處于發展初期。社會對網絡安全保險的認知尚顯不足。從供給側看，網絡安全保險是一個新興險種，并對銷售推廣人員提出了較高的專業性要求，目前大部分保險公司的業務人員并不具備網絡安全專業知識，因此對該險種的推廣力度有限，網絡安全保險尚未得到投保企業的廣泛關注。從需求側看，多數企業對投保網絡安全保險的認識僅僅停留在傳統意義上“在出險后獲得賠償”的層面，僅有部分企業片面了解到其對降低合規風險或實現增信的作用，然而極少有企業了解網絡安全保險可提供風險管理服務、監控風險敞口的重要作用。

同時，網絡安全保險服務規范也亟待完善。作為典型的“舶來品”，網絡安全保險的承保內容尚未達成行業共識，流程機制也還未建立。

另外，賦能保險的安全技術有待加強。在風險評估方面，傳統意義上的網絡安全風險評估多為定性分析，缺乏針對風險發生概率、損失類型以及損失規模的預測，難以轉化為適用于核保評估的定量數據。在風險監測方面，以漏洞掃描、Web應用防火墻等為代表的風險監測方式可能并不完全適用于承保過程中，對新增的脆弱性及潛在威脅的持續監測，不同機構提供的服務類型與頻率、監測的對象和指標也存在較大差異，如何優化并規范風險監測技術仍有待研究。

網絡安全保險是網絡安全技術和保險服務的有機結合，網絡安全技術在網絡安全保險業務關鍵環節中發揮著重要作用。網絡安全保險作為一個跨行業融合創新的新險種，不僅需要保險機構提供專業支持，也需要網絡安全企業提供相關技術，賦能網絡安全風險事前、事中、事后管理的全流程，如風險評估、風險監測、攻防演練、應急響應、事后恢復等。

《意見》聚焦網絡安全風險量化評估和網絡安全風險監測兩方面，強化網絡安全技術賦能保險發展。

一方面，應開展網絡安全風險量化評估，探索建立網絡安全風險量化評估模型，開發輕量化網絡安全風險量化評估工具。同時，鼓勵建立網絡安全風險理賠數據庫，支撐網絡安全風險精準定價。

另一方面，加強網絡安全風險監測能力，開展網絡安全保險全生命周期風險監測，覆蓋事前、事中、事后等重要環節，充分利用網絡安全風險監測技術手段，針對網絡安全漏洞、惡意網絡資源、網絡安全事件等開展網絡安全威脅實時監測，及時發現網絡安全風險隱患。

“網絡安全險的保費與網絡安全廠商的安全技術創新能力成負相關，技術創新能力越高保費越低，這對廠商的技術實力提出了重大考驗。”齊向東強調，“為了深度參與網絡安全保險產業，網絡安全廠商必須根據不同行業的特點，持續開展技術和產品創新。”

加快構建網絡安全保險標準體系

目前，我國還未有明確的網絡安全保險相關的國家標準和行業標準，一些網絡安全專業機構和行業龍頭企業也在積極推進網絡安全保險基礎類、應用類標準研制。

黃鵬建議，下一步應加快構建系統、科學、規范的網絡安全保險標準體系，加強對網絡安全保險發展的指導和規范。面向基礎概念，統一規范網絡安全保險相關專業定義、術語表達，促進網絡安全保險產品條款標準化。面向主要業務環節，制定網絡安全風險量化與核保評估、網絡安全風險管控與防災減損、網絡安全事件處置與理賠鑒定等服務規范。面向不同行業領域，結合電信和互聯網、工業互聯網、車聯網等具體行業領域的網絡安全風險特點，保障范圍、業務模式的差異，明確上述業務環節對應的網絡安全技術要求。

《意見》提出，加快標準研制，研究建立網絡安全保險標準框架，加快關鍵亟須標準制定。具體來看，要健全網絡安全保險標準規范。支持網絡安全產業和保險業加強合作，建立覆蓋網絡安全保險服務全生命周期的標準體系，統一行業術語規范，明確核保、承保、理賠等主要環節基本流程和通用要求。研究制定承保前重點行業領域網絡安全風險量化評估相關標準，規范安全風險評估要求；承保中網絡安全監測管理服務相關標準，規范監測預警方法；承保后理賠服務實施要求相關標準，規范網絡安全保險售后服務。

關鍵詞：