信息化觀(guān)察網(wǎng)

閆蒞，信息安全從業(yè)7年，專(zhuān)注于金融行業(yè)信息安全、合規(guī)管理、風(fēng)險(xiǎn)管理等領(lǐng)域。

摘要：本文介紹了網(wǎng)絡(luò)安全保險(xiǎn)的作用、內(nèi)容，企業(yè)投保前的評(píng)估以及事件發(fā)生前后的投保服務(wù)。

一、 網(wǎng)絡(luò)安全保險(xiǎn)概述

國(guó)際信息系統(tǒng)審計(jì)協(xié)會(huì)（ISACA）、CMMI研究院和Infosecurity集團(tuán)在今年年初開(kāi)展了聯(lián)合調(diào)查，并發(fā)布了研究報(bào)告《2020年企業(yè)風(fēng)險(xiǎn)管理狀況報(bào)告》。該研究報(bào)告表明，企業(yè)面臨的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)逐年增加，只有不到三分之一的企業(yè)能夠準(zhǔn)確預(yù)測(cè)與新興技術(shù)相關(guān)的威脅和漏洞帶來(lái)的影響，然而只有43%的企業(yè)會(huì)通過(guò)引入保險(xiǎn)來(lái)轉(zhuǎn)移風(fēng)險(xiǎn)。

近年來(lái)隨著網(wǎng)絡(luò)黑客、電腦病毒、計(jì)算機(jī)犯罪嚴(yán)重地威脅著網(wǎng)絡(luò)安全，導(dǎo)致網(wǎng)絡(luò)安全事件頻發(fā)。企業(yè)一旦發(fā)生網(wǎng)絡(luò)安全事件，將面臨嚴(yán)重的監(jiān)管處罰，對(duì)其業(yè)務(wù)、商譽(yù)也產(chǎn)生一定影響。在系統(tǒng)已經(jīng)發(fā)生安全事件的情況下，網(wǎng)絡(luò)安全保險(xiǎn)作為風(fēng)險(xiǎn)轉(zhuǎn)移的手段之一，可以一定程度降低或補(bǔ)償財(cái)產(chǎn)損失。網(wǎng)絡(luò)安全保險(xiǎn)是一種以信息資產(chǎn)的安全性為保險(xiǎn)標(biāo)的的財(cái)產(chǎn)保險(xiǎn)。投保人向保險(xiǎn)公司支付保險(xiǎn)費(fèi)，保險(xiǎn)公司對(duì)因網(wǎng)絡(luò)安全事件而造成的重要信息資產(chǎn)丟失、知識(shí)產(chǎn)權(quán)受到侵犯、服務(wù)中斷和營(yíng)業(yè)收入等損失承擔(dān)賠償保險(xiǎn)金的責(zé)任。

二、 網(wǎng)絡(luò)安全保險(xiǎn)內(nèi)容

（一） 責(zé)任保障

因下列原因造成第三者的直接經(jīng)濟(jì)損失：

1. 信息泄露事件

被保險(xiǎn)人或其外部服務(wù)商看管、保管或控制的第三者信息被泄露給未經(jīng)授權(quán)的主體。

2. 數(shù)據(jù)安全事件

被保險(xiǎn)人的計(jì)算機(jī)系統(tǒng)因下列原因而喪失穩(wěn)定運(yùn)營(yíng)的狀態(tài)，不能保證被保險(xiǎn)人所存儲(chǔ)、傳輸、處理信息的完整性、可用性，導(dǎo)致服務(wù)中斷、數(shù)據(jù)丟失或數(shù)據(jù)損壞：

1) 惡意軟件或惡意攻擊行為；

2) 黑客入侵行為；

3) 非法使用或訪(fǎng)問(wèn)；

4) 拒絕服務(wù)攻擊；

5) 社會(huì)工程學(xué)攻擊。

3. 媒體侵權(quán)事件

被保險(xiǎn)人或其代表在互聯(lián)網(wǎng)上發(fā)表、傳輸出電子媒體信息/數(shù)字媒體內(nèi)容過(guò)程中的下列行為：

1) 侵權(quán)他人著作權(quán)、版權(quán)、名稱(chēng)、廣告語(yǔ)、商標(biāo)、商號(hào)、商業(yè)外觀(guān)、標(biāo)簽、服務(wù)標(biāo)記或服務(wù)名稱(chēng)，包括但不限于侵犯域名、深層鏈接或框架；

2) 侵犯或侵占他人創(chuàng)意；

3) 發(fā)布他人錯(cuò)誤信息、公開(kāi)披露他人私人信息、非惡意侵犯他人名譽(yù)權(quán)。

（二） 財(cái)產(chǎn)保障

1. 事件響應(yīng)費(fèi)用

包括法律訴訟費(fèi)用、通知費(fèi)用、風(fēng)險(xiǎn)評(píng)估和系統(tǒng)修復(fù)費(fèi)用、咨詢(xún)服務(wù)費(fèi)用、媒體公關(guān)費(fèi)用等。

2. 營(yíng)業(yè)中斷損失

計(jì)算機(jī)系統(tǒng)全部或局部失效導(dǎo)致被保險(xiǎn)人的經(jīng)營(yíng)受到干擾或中斷，由此產(chǎn)生的賠償期間的利潤(rùn)損失。

3. 網(wǎng)絡(luò)勒索處理費(fèi)用或贖金

第三方以索取錢(qián)財(cái)為目的的對(duì)被保險(xiǎn)人作出安全威脅或攻擊而引發(fā)的。

4. 數(shù)據(jù)修復(fù)費(fèi)用

計(jì)算機(jī)系統(tǒng)或數(shù)據(jù)無(wú)法訪(fǎng)問(wèn)、被破壞或被干擾，為恢復(fù)正常運(yùn)行所需的合理必要的數(shù)據(jù)修復(fù)費(fèi)用。

5. 應(yīng)急響應(yīng)費(fèi)用

根據(jù)事先對(duì)各種可能情況的準(zhǔn)備，在網(wǎng)絡(luò)安全事件發(fā)生后，響應(yīng)、處理、恢復(fù)、跟蹤的方法及過(guò)程所產(chǎn)生的費(fèi)用。

綜上，網(wǎng)絡(luò)安全保險(xiǎn)內(nèi)容覆蓋第一方損失和第三方責(zé)任風(fēng)險(xiǎn)，從本質(zhì)上來(lái)說(shuō)網(wǎng)絡(luò)安全保險(xiǎn)是責(zé)任保險(xiǎn)的一種，主要發(fā)生網(wǎng)絡(luò)安全事件和信息泄露事件觸發(fā)風(fēng)險(xiǎn)。針對(duì)第一方的保險(xiǎn)責(zé)任主要針對(duì)投保企業(yè)自身的資產(chǎn)，包含網(wǎng)絡(luò)安全事件造成的業(yè)務(wù)中斷損失、網(wǎng)絡(luò)勒索損失、數(shù)據(jù)泄露損失、企業(yè)名譽(yù)損失、法律費(fèi)用等；針對(duì)第三方的保險(xiǎn)責(zé)任主要包括第三方數(shù)據(jù)的泄露、丟失、損壞等風(fēng)險(xiǎn)。

三、 網(wǎng)絡(luò)安全保險(xiǎn)投保體檢

網(wǎng)絡(luò)安全保險(xiǎn)投保前需進(jìn)行評(píng)估，該評(píng)估類(lèi)似于給人做身體體檢，網(wǎng)絡(luò)安全保險(xiǎn)評(píng)估至少包括以下內(nèi)容：

1. 識(shí)別企業(yè)的IT資產(chǎn)列表和風(fēng)險(xiǎn)點(diǎn)；

2. 企業(yè)如何保護(hù)這些IT資產(chǎn)；

3. 企業(yè)對(duì)潛在風(fēng)險(xiǎn)和威脅是否有檢測(cè)偵察能力；

4. 企業(yè)如何應(yīng)對(duì)和解決網(wǎng)絡(luò)安全事件；

5. 企業(yè)遭受事件損失后的恢復(fù)能力。

四、 網(wǎng)絡(luò)安全保險(xiǎn)相關(guān)服務(wù)介紹

從事件發(fā)生的時(shí)間的角度將網(wǎng)絡(luò)安全保險(xiǎn)相關(guān)服務(wù)分為事件發(fā)生前和發(fā)生后的服務(wù)。目前，CFCA可為企業(yè)提供事前、事后的安全服務(wù)。

事前：建立一份信息技術(shù) (IT) 和運(yùn)營(yíng)技術(shù) (OT) 資產(chǎn)清單，深入了解各類(lèi)聯(lián)網(wǎng)和未聯(lián)網(wǎng)資產(chǎn)，識(shí)別運(yùn)營(yíng)環(huán)境中的安全風(fēng)險(xiǎn)，預(yù)先采取控制措施保護(hù)資產(chǎn)，從而最大程度地降低生命周期風(fēng)險(xiǎn)。事件發(fā)生前的服務(wù)包括網(wǎng)絡(luò)安全綜合評(píng)估、遠(yuǎn)程和現(xiàn)場(chǎng)漏洞檢測(cè)、滲透測(cè)試、網(wǎng)絡(luò)安全意識(shí)培訓(xùn)、網(wǎng)站安全監(jiān)測(cè)、合規(guī)審計(jì)、網(wǎng)絡(luò)安全咨詢(xún)、安全加固等。

事后：按照事先針對(duì)可能場(chǎng)景制定的應(yīng)急響應(yīng)和恢復(fù)程序 (例如，應(yīng)用項(xiàng)目和數(shù)據(jù)的備份和災(zāi)難恢復(fù)程序)響應(yīng)事件，盡快恢復(fù)正常生產(chǎn)運(yùn)營(yíng)。事件發(fā)生后的服務(wù)包括應(yīng)急響應(yīng)服務(wù)、數(shù)據(jù)恢復(fù)服務(wù)。

參考文獻(xiàn)：

【1】《2020年企業(yè)風(fēng)險(xiǎn)管理狀況報(bào)告》

【2】計(jì)算機(jī)科學(xué)與應(yīng)用《網(wǎng)絡(luò)安全保險(xiǎn)研究現(xiàn)狀及展望》