闫莅，信息安全从业7年，专注于金融行业信息安全、合规管理、风险管理等领域。

摘要：本文介绍了网络安全保险的作用、内容，企业投保前的评估以及事件发生前后的投保服务。

一、 网络安全保险概述

国际信息系统审计协会（ISACA）、CMMI研究院和Infosecurity集团在今年年初开展了联合调查，并发布了研究报告《2020年企业风险管理状况报告》。该研究报告表明，企业面临的网络安全风险逐年增加，只有不到三分之一的企业能够准确预测与新兴技术相关的威胁和漏洞带来的影响，然而只有43%的企业会通过引入保险来转移风险。

近年来随着网络黑客、电脑病毒、计算机犯罪严重地威胁着网络安全，导致网络安全事件频发。企业一旦发生网络安全事件，将面临严重的监管处罚，对其业务、商誉也产生一定影响。在系统已经发生安全事件的情况下，网络安全保险作为风险转移的手段之一，可以一定程度降低或补偿财产损失。网络安全保险是一种以信息资产的安全性为保险标的的财产保险。投保人向保险公司支付保险费，保险公司对因网络安全事件而造成的重要信息资产丢失、知识产权受到侵犯、服务中断和营业收入等损失承担赔偿保险金的责任。

二、 网络安全保险内容

（一） 责任保障

因下列原因造成第三者的直接经济损失：

1. 信息泄露事件

被保险人或其外部服务商看管、保管或控制的第三者信息被泄露给未经授权的主体。

2. 数据安全事件

被保险人的计算机系统因下列原因而丧失稳定运营的状态，不能保证被保险人所存储、传输、处理信息的完整性、可用性，导致服务中断、数据丢失或数据损坏：

1) 恶意软件或恶意攻击行为；

2) 黑客入侵行为；

3) 非法使用或访问；

4) 拒绝服务攻击；

5) 社会工程学攻击。

3. 媒体侵权事件

被保险人或其代表在互联网上发表、传输出电子媒体信息/数字媒体内容过程中的下列行为：

1) 侵权他人著作权、版权、名称、广告语、商标、商号、商业外观、标签、服务标记或服务名称，包括但不限于侵犯域名、深层链接或框架；

2) 侵犯或侵占他人创意；

3) 发布他人错误信息、公开披露他人私人信息、非恶意侵犯他人名誉权。

（二） 财产保障

1. 事件响应费用

包括法律诉讼费用、通知费用、风险评估和系统修复费用、咨询服务费用、媒体公关费用等。

2. 营业中断损失

计算机系统全部或局部失效导致被保险人的经营受到干扰或中断，由此产生的赔偿期间的利润损失。

3. 网络勒索处理费用或赎金

第三方以索取钱财为目的的对被保险人作出安全威胁或攻击而引发的。

4. 数据修复费用

计算机系统或数据无法访问、被破坏或被干扰，为恢复正常运行所需的合理必要的数据修复费用。

5. 应急响应费用

根据事先对各种可能情况的准备，在网络安全事件发生后，响应、处理、恢复、跟踪的方法及过程所产生的费用。

综上，网络安全保险内容覆盖第一方损失和第三方责任风险，从本质上来说网络安全保险是责任保险的一种，主要发生网络安全事件和信息泄露事件触发风险。针对第一方的保险责任主要针对投保企业自身的资产，包含网络安全事件造成的业务中断损失、网络勒索损失、数据泄露损失、企业名誉损失、法律费用等；针对第三方的保险责任主要包括第三方数据的泄露、丢失、损坏等风险。

三、 网络安全保险投保体检

网络安全保险投保前需进行评估，该评估类似于给人做身体体检，网络安全保险评估至少包括以下内容：

1. 识别企业的IT资产列表和风险点；

2. 企业如何保护这些IT资产；

3. 企业对潜在风险和威胁是否有检测侦察能力；

4. 企业如何应对和解决网络安全事件；

5. 企业遭受事件损失后的恢复能力。

四、 网络安全保险相关服务介绍

从事件发生的时间的角度将网络安全保险相关服务分为事件发生前和发生后的服务。目前，CFCA可为企业提供事前、事后的安全服务。

事前：建立一份信息技术 (IT) 和运营技术 (OT) 资产清单，深入了解各类联网和未联网资产，识别运营环境中的安全风险，预先采取控制措施保护资产，从而最大程度地降低生命周期风险。事件发生前的服务包括网络安全综合评估、远程和现场漏洞检测、渗透测试、网络安全意识培训、网站安全监测、合规审计、网络安全咨询、安全加固等。

事后：按照事先针对可能场景制定的应急响应和恢复程序 (例如，应用项目和数据的备份和灾难恢复程序)响应事件，尽快恢复正常生产运营。事件发生后的服务包括应急响应服务、数据恢复服务。

参考文献：

【1】《2020年企业风险管理状况报告》

【2】计算机科学与应用《网络安全保险研究现状及展望》

责任编辑：韩希宇