文 | 中国电子技术标准化研究院 王秉政;北京源堡科技有限公司 王海洋
随着数字化、网络化、智能化进程的加速,数字经济蓬勃发展,但同时网络安全面临的威胁与挑战日益严峻。从 2016 年到 2022 年,我国数字经济年均复合增长 14.2%,到 2022 年数字经济规模达到 50.2 万亿元,总量稳居世界第二,占国内生产总值的比重提升至 41.5%。与此同时,2022年新增漏洞近 2 万 5 千个,达到历史新高,且持续年增。网络安全保险作为一个跨行业融合创新的新险种,其本质是为企业的网络安全风险管理提供保障,是我国数字经济发展必要的风险转移和风险补偿措施。因此,可以预见,在我国深入推进数字中国建设的过程中,网络安全保险将发挥重要的保障作用。
网络安全保险作为网络风险管理策略之一,在欧美地区发展已经较为成熟,在我国相对而言还处于起步阶段。2023 年 7 月,工业和信息化部与国家金融监督管理总局联合印发了我国网络安全保险领域的首份政策文件《关于促进网络安全保险规范健康发展指导意见》。该文件明确提出了建立健全网络安全保险政策标准体系的要求,包括完善网络安全保险政策制度和健全网络安全保险标准规范。
网络安全保险作为一种风险转移和风险补偿工具,为各行各业的数字化转型提供了必要的网络风险管理和保障手段。因此,网络安全保险产业的规范、健康和可持续发展尤为重要。特别是在网络安全保险产业发展的早期阶段,适时推动标准化工作可以规范产业发展、促进网络安全保险相关技术创新、提高网络安全保险产品和服务的可信赖度,并完善风险管理体系。
标准可以为网络安全保险产业相关的企业发展提供规范性指导。标准能够提供公平的竞争环境,在标准框架下通过有序竞争,促进网络安全保险生态的协同发展。尤其是在我国网络安全保险产业发展的初期,标准化建设能够规范产业发展,夯实产业发展的基础,助力产业快速繁荣。
标准可以促进网络安全技术的创新和发展。网络安全技术是网络安全保险产品的基础,其创新和发展对于网络安全保险产业至关重要。同时,网络安全保险也有其特殊的技术需求,相关技术的创新发展可以为网络安全领域提供新的思路和切入点。通过标准促进网络安全技术的交流和合作,加快网络安全保险技术的创新和发展,从而提高网络安全保险产品和服务的技术含量和保障能力。
标准还可以提高网络安全保险的可信赖度。网络安全保险作为一款金融产品,其可信赖度是消费者选择购买的重要因素。通过标准明确网络安全保险的保障范围、承保前风险评估的技术要求、承保中风险监测服务、理赔流程和范围等企业最关注的环节,使得企业能够真正通过应用网络安全保险来获得保障。
标准可以完善网络安全管理体系。网络安全保险作为风险管理策略,是企业的网络安全管理体系的重要组成部分。企业在建立网络安全管理体系时,需要考虑到多个因素,如安全策略、安全技术、安全管理组织架构等,还应考虑风险转移和风险补偿策略。通过标准可以为企业提供全面的网络安全管理指导,帮助企业建立完善的网络安全管理体系,从而降低网络安全风险。
二、建立具有中国特色的网络安全保险相关标准的必要性
目前,网络安全保险相关的国际标准主要有两个:一个是国际标准化组织 ISO 于 2019 年发布的《信息安全管理-网络保险指南》(ISO/IEC 27102:2019(ISO27102)Information securitymanagement-Guidelines for cyber-insurance);另一个是国际电信联盟电信标准化组 ITU-T 于 2021 年发布的《网络保险采购指南》(ITU-TX.1061:Cyber insurance acquisition guidelines)。这两项标准均从投保企业的角度描述了网络安全保险涉及的可保风险、基本流程和注意事项等,以帮助企业计划和购买网络安全保险。其中,ISO27102 重点关注从风险管理角度帮助投保企业将网络安全保险作为应对网络安全事件的风险处理方式之一,纳入企业信息安全风险管理框架中。因此,该标准主要描述了网络安全保险可承保的企业网络安全风险,以及保险公司在网络安全保险承保过程中通用的风险评估方式和被保险人/投保企业如何使用信息安全管理系统(ISMS)生成与保险人共享的数据、信息和文件,所引用的标准包括 ISO27001 到 ISO27005。而 X.1061 则从投保企业的角度提供了关于如何应用网络安全保险的指导性意见,包括应用网络安全保险的出发点、网络安全保险保单覆盖范围、选择保险人和保险人对被保险企业的评估等几方面。此标准引用了 ISO9001、ISO27001、ISO27002、ISO27011、ISO27102 标准以及 PMBOK Guide。
由于国内外网络安全背景不同、标准依据的法律法规不同、网络安全行业发展程度不同以及网络安全管理体系的差异,我国的网络安全保险在承保范围、保险条款、服务流程等方面与其他国家相比存在较大差异。
随着信息技术的发展,网络已经成为实现国家稳定、经济繁荣和社会进步的关键基础设施,同时也成为国家安全的重要领域。自 2017 年 6 月 1 日《网络安全法》正式实施以来,我国相继发布了一系列网络安全法律法规和政策文件,逐步形成了具有中国特色的网络安全政策法规体系。国内外网络安全法律法规的差异主要体现在对网络安全的理解认识和重视程度、网络应用的历史、网络安全的经历与经验的积累、法律法规及相关政策制度的全面性和完善程度等方面。在网络安全保险的承保范围方面,这些差异也得以体现。例如,两个国际标准都提到的“客户或员工通知费用”,在我国的网络安全保险承保范围中就不涉及或暂时不涉及;再比如“法律和监管罚款和处罚”,我国的相关法律明确要求不能赔付。保险作为一种契约的经济关系,受到签署地法律法规的约束和保护,因此,我国网络安全保险相关条款需遵循《中华人民共和国保险法》及国内相关法律和政策要求。此外,我国网络安全保险中涉及的风险评估、风险量化、风险监测、应急响应等技术和服务,也应符合我国相关技术标准和要求。投保企业的风险管理和风险转移诉求,除了降低自身网络安全风险损失外,还应以遵循我国相关法律法规和政策要求为前提。
因此,现有的网络安全保险国际标准不适合我国的实际情况,有必要自主制定适合中国国情的网络安全保险相关标准。这样可以规范网络安全保险产业和相关技术发展,指导企业选择网络安全保险产品和服务,进而为我国网络强国战略和数字经济建设提供必要保险保障。
我国首部网络安全保险国家标准《信息安全技术 网络安全保险应用指南》于 2022 年 11 月在全国信息安全标准化委员会(TC260)立项并开展研制工作,经过调研、编制、研讨、意见征求和专家评审等环节,采纳了相关部门和行业专家的意见建议,现在已完成征求意见稿。这是我国网络安全保险领域的第一部、也是目前唯一的国家标准。《网络安全保险应用指南》从应用角度,帮助保险人、投保人、被保险人和服务方认识和理解网络安全保险的基本概念和作用,重点阐述了网络安全技术在网络安全保险的不同阶段的应用和作用,为各参与方在应用网络安全保险时提供可操作性的指导。在我国网络安全保险产业起步阶段,这样一部总体性、框架性的标准对于明确网络安全保险的定位、统一各参与方对网络安全保险的认知非常重要。目前该标准正在同步开展试点工作,选取了电信、能源、金融等重要行业进行标准全条款验证。这样做的目的是确保标准能够指导各主要参与方实施网络安全保险,保证网络安全技术在各阶段发挥作用,从而保证网络安全保险真正起到风险管理和风险转移的作用。
除了总体性标准外,我国的网络安全保险产业还需要进一步完善相关技术和服务标准。例如,就风险评估而言,虽然《信息安全技术信息安全风险评估方法》(GB/T 20984-2022)等相关国家标准已经对风险评估的流程和方法等提出了要求,但针对网络安全保险的风险评估具有一定的特殊性,主要体现在落地保单时保险人必须了解被投保企业的网络安全风险出险的概率和可能导致的经济损失。因此,网络安全保险的风险评估在遵循国标要求的基础上,应细化量化风险的技术要求。
因此,随着网络安全保险产业的起步和发展,网络安全保险相关标准体系也急需进一步完善,从网络安全保险相关技术、服务和流程等方面,形成一系列行业标准、国家标准乃至国际标准。建议从以下三个方面进行标准体系化建设:一是针对网络安全保险涉及的风险评估、风险量化、风险监测、应急响应等网络安全技术和服务,制定相应的技术要求和规范,以规范产业的有序发展、提高网络安全保险的保障能力。二是针对网络安全保险作为一种保险服务,涉及的服务流程、服务质量、服务评价等方面,建立网络安全保险的监管机制,规范网络安全保险市场秩序,提升网络安全保险服务的可信赖度。三是针对不同行业应用网络安全保险的特殊性和要点,制定相应的行业标准,以指导不同行业企业应用网络安全保险服务时完善其风险管理体系。
作为网络安全技术和保险服务融合创新的新兴产业,通过标准引领能够实现和满足网络安全保险产业不同发展阶段的目标和需求,从而保障产业的健康发展和快速繁荣,使之成为我国网络强国战略和数字中国建设的有力保障。
(本文刊登于《中国信息安全》杂志2023年第10期)
原文始发于微信公众号(内生安全联盟):网络安全保险 | 标准在网络安全保险发展中的引领和助力作用
评论