网络安全保险服务创新发展,保障事前、事中、事后全流程环节。
1.网络安全保险产品日益丰富,可覆盖多元化风险场景网络安全保险根据承保责任分类,可分为网络安全财产类保险和网络安全责任类保险。 一是网络安全财产类保险,主要保障因网络安全事件造成的第一方直接损失以及因此产生的技术服务费用,包括直接物理损失、营业中断损失、数据资产重置费用、硬件改善成本、应急处置费用,以及因网络安全事件导致的公关费用、法律费用等。 直接物理损失:网络安全事件直接造成的物理资产损坏或损失,比如服务器、网络设备因黑客攻击、病毒破坏而损坏。 营业中断损失:因网络安全事件导致的停产、停业或经营受到影响而面临的预期利润损失及必要的费用支出。营业中断损失还包括因运营效率降低导致延迟交付所产生的经济损失。 数据资产重置费用:当企业的数据被破坏、丢失或加密(如勒索软件攻击),需要重新创建或恢复数据时所产生的费用,包括数据恢复服务费、备份数据的使用成本等。 硬件改善成本:为了防止未来网络安全事件的发生,企业可能需要升级或增强其硬件设施的安全性所涉及的改进成本。
应急处置费用:网络安全事件发生后,立即采取的应急措施费用,如聘请专业团队进行事件响应、系统隔离、恶意软件清除等紧急处理工作。 公关费用:企业可能需要进行危机公关以减轻网络安全事件对品牌形象的影响,包括媒体沟通、客户通知、公开声明等。 法律费用:包括但不限于因数据泄露引发的法律诉讼、法律咨询服务、和解或赔偿等法律相关的支出。
二是网络安全责任类保险,主要保障因网络安全事件引起的对第三方个人或机构需要承担的赔偿责任,包括数据泄露责任、网络安全事件责任、媒体侵权责任、外包商相关责任、产品责任或技术服务职业责任等。 数据泄露责任:因网络安全事件导致用户个人信息、敏感数据泄露,进而引发对第三方(即数据主体)赔偿责任、相关法律诉讼费用。 网络安全事件责任:因网络攻击、系统漏洞等原因导致第三方(如合作伙伴或服务用户)遭受的直接经济损失或损害,需要承担赔偿责任、相关法律诉讼等费用。
媒体侵权责任:在网络空间中,因不当发布、传播信息(如侵犯版权、侵犯肖像权等)而对第三方构成侵权,被第三者提出索赔而产生的法律费用、赔偿等损失。 外包商相关责任:企业的数据泄露或网络安全事件由外包服务提供商造成,但根据合同条款企业仍需对外承担的赔偿责任。 产品责任:产品存在缺陷导致第三方(服务用户)遭受损失,如安全软件未能有效防护而导致的数据泄露的赔偿责任。 技术服务职业责任:对于提供网络安全咨询、系统集成、数据管理等技术服务的企业,其提供的服务失误或疏忽导致客户蒙受损失,如错误的建议、操作失误等引起的法律责任。
2.网络安全保险产业持续发展,参与保险公司及保险产品数量均呈显著增长态势 一是网络安全保险产品数量增长。根据中国保险行业协会财产保险公司自主注册产品查询数据,截至 2024 年5 月,网络安全保险主险产品共计 86 个,云计算服务责任保险主险共计4 个,网络安全保险产品附加险共计 201 个,网络安全保险产品总数达287 个,相较 2023 年 3 月份的 203 款网络安全保险产品增长约29%。
二是提供网络安全保险产品的保险公司数量增长。根据中国保险行业协会财产保险公司自主注册产品查询数据显示,截至2024年 5 月,提供网络安全保险产品的保险公司总计45 家,相较2023年 3 月份的 29 家增长约 55%。
1.网络安全保险服务流程 网络安全保险服务流程总体分为保前风险评估、保中风险控制、保后响应及定损三个阶段。 一是保前风险评估,投保前的风险评估是网络安全保险实施的前提,支撑保险公司开展保险核保与定价、保险方案输出等工作。若保险公司经判断确认不可承保,则将与客户进行需求沟通;如确认可承保,则由客户确定保险方案是否满足保险需求,若满足则完成保险合同的签订、保险出单等工作。根据《网络安全保险产业发展调研》数据显示,在评估和界定网络安全保险的投保风险时,第三方检验检测机构为目前选择最多的评估方式,其他方式还包括保险公司评估、网络安全企业评估、客户自评等方式。
二是保中风险控制,由于投保人业务系统变更、信息系统更新,内外部环境变化等因素,网络安全风险会发生变化,可能会导致所承保的风险超出在投保前评估的风险大小。投保中风险监测与控制通常由网络安全企业作为技术服务方,按需提供风险监测服务,协助客户完成日常风险管理,支撑保险公司的风险控制工作,了解风险变化的情况,当风险发生较大变化并可能导致危险程度显著增加时,采取相应的预防或控制措施将风险控制在合理的水平,对导致危险发生可能性显著增加的风险进行识别和预防,降低风险发生的概率和影响。
三是保后响应及定损,在保险期间内,被保险人发生保单约定的保险事故,保险公司委托第三方安全服务团队为被保险人提供应急响应服务。在进行网络安全事故发生后的损失及责任界定工作时。根据《网络安全保险产业发展调研》数据显示,采用第三方检验检测机构提供的定损定责服务为目前网络安全保险定损定责采用较多的方式,其他还包括网络安全企业提供定损定责服务和保险公司自身负责等多种方式。
2.网络安全保险服务模式 从网络安全保险服务模式建设来看,主要包括四类模式。模式一为“网络安全保险+网络安全服务”,以风险评估、风险监测、应急响应等服务赋能保险公司的核保、减损、理赔等主要环节。围绕网络安全保险全生命周期,使用各类网络安全技术手段,配合保险公司开展网络安全保险业务。 模式二为“网络安全服务+网络安全保险”,以推广网络安全产品或服务为核心,以保险作为风险兜底手段。即针对安全产品/服务进行网络安全保险增值,针对不同安全产品/服务适用的安全场景,制定轻量化、多档位的网络安全保险方案,客户在购置安全产品/服务时可按需选购。
模式三为“网络安全保险+安全托管服务”,平台型中小企业普遍存在安全能力不足情况,保险公司与平台型企业作为合作主体,推出低成本高效率的网络安全保险创新方案,以投保前、投保中的安全托管运营,帮助中小企业快速发现风险,及时响应,提升安全水位,以事后风险转移机制增强其对极端风险场景的抵御能力。模式四为“网络安全保险综合解决方案”,针对企业定制设计的综合性解决方案,由网络安全保险生态企业与保险公司共同设计网络安全保险方案,为企业提供更全面的风险防御以及定制化保险保障服务。
多元化的保险策略已成为企业风险管理的关键部分,投保场景的丰富也使保险产品更贴近实际需求,提高了企业对网络威胁的应对能力。通过定制化的保险方案,可更有效地满足不同客户的特定需求,为各种规模和类型的企业提供精准的风险减量解决方案。
是公有云类投保场景。涵盖从数据中心到广泛服务网络基础设施的网络安全保险投保场景。企业通过此种方式提升关键基础设施的安全性,不仅可有效应对可能的安全事故,还能显著降低因安全漏洞导致的潜在经济损失,从而保护企业免受重大风险的影响。此外,用户可以根据业务需求的重要性自主选择保险覆盖范围,确保关键数据和服务得到必要的保护。 二是私有化部署投保场景。网络安全保险服务提供了针对企业私有网络资源的专项保障,有效防范由内部安全漏洞和外部攻击引发的风险。通过量身定制的网络安全保险方案,帮助企业转移相关风险,增强客户对企业服务的信任。
三是产品或服务投保场景。面向特定产品或服务的定制保险策略,涵盖了从传统网络服务到物联网设备、智能软件解决方案等新兴技术产品。根据产品服务的特性,为产品及服务进行投保,为客户使用产品及服务提供安全保障。其优势为转嫁企业对产品服务的运营风险,增加产品服务的风险承担能力,增强客户的使用信心,提升客户体验,提升品牌差异化的竞争优势,增加市场影响力。四是互联网平台投保场景。运用云计算保险、信息技术应用保险、网络安全保险等科技保险产品,组合开发“互联网平台运行安全综合保险”,对互联网平台突发事件造成的重大损失进行妥善处置,构建互联网平台风险闭环管理机制。互联网平台运行安全相关保险可为互联网平台提供有效安全闭环保障,不仅可提供财产保护,减轻因安全事故带来的经济损失,还能促进更高标准的安全管理实践,从而保障互联网平台的安全和稳定运行。
五是平台服务商创新投保模式。平台服务商的创新投保模式也逐渐成为趋势,不仅提高了服务商的安全标准,也为整个平台的供应链安全提供了保障。这种模式不仅有效地分散了平台服务商的运营风险,还增强了整个平台的风险承受能力。平台服务商加入平台之前,利用投保方式,针对企业的网络安全能力进行评价及提升,增加平台服务商的风险承担能力。
