工業和信息化部會同銀保監會近日起草了《關于促進網絡安全保險規范健康發展的意見（征求意見稿）》（下稱《意見》），并于7日發布。專家認為，隨著網絡安全保障需求上升，加快推動網絡安全保險的發展已提上日程。下一步，開發更符合產業需求的網絡安全保險產品還需整合網絡安全企業、保險科技公司、第三方風險管理技術機構和各行業企業等資源，深化跨行業合作。

(相關資料圖)

網絡安全事件頻發 安全保障需求上升

近年來，數據泄漏、網絡攻擊、網絡安全違規事件等網絡安全事件頻發，相關事故時常帶來巨額損失。

“目前的網絡空間環境中大型企業業務復雜導致攻擊接口繁多，同時，一些中小型企業不具備完善的網絡安全防護手段。”奇安信天工實驗室安全專家孔憲梓在接受新華財經記者采訪時表示，近年來網絡攻擊事件頻發，境外勢力的惡意攻擊與網絡黑產的存在，導致針對于企業的勒索攻擊、APT攻擊與信息泄露事件已經嚴重危害企業與客戶財產安全。

接受新華財經記者采訪的360數字安全集團安全專家表示，數據已經成為一種新的生產要素，企業在開展業務時，會與其他的供應鏈上的機構產生數據交換，而由于企業內所使用的軟硬件產品由于自身存在缺陷，可能導致供應鏈風險不斷擴大，一旦發生網絡安全事故，應急處置困難且責任難以認定。

上述專家同時提出，通過“產品+服務+運營”的傳統網絡安全風險防范模式，只能降低大部分的網絡安全風險，面對無法預期或處置的剩余網絡安全風險，只能選擇被動接受，而往往代價巨大且難以承受，如高額的勒索贖金、大量的數據泄漏索賠、業務中斷帶來的經濟損失、惡意網頁篡改等。

孔憲梓表示，網絡安全保險體系的建設可減輕網絡攻擊對于企業的損害，有望發展為網絡安全基礎設施，一定程度上可提升國內網絡安全的整體水平。

《意見》為網絡安全保險發展提供政策支持

事實上，網絡安全保險作為為網絡安全風險提供保險保障的新興險種，已日益成為轉移、防范網絡安全風險的重要工具。目前，人保財險、平安產險、眾安保險等多家保險公司已推出網絡安全保險產品。

360數字安全集團安全專家表示，網絡安全險本質上是一種風險轉移的處置模式，是傳統風險處置模式的變革。企業通過購買低成本的保險，一是降低網絡安全風險處置總成本。當發生網絡安全事件時，會有專業的網絡安全公司協助處置網絡安全事件，并且可以通過保費的賠償降低經濟損失。二是提升企業的整體網絡安全防護能力。企業在購買網絡安全險的過程中，會有專業的網絡安全公司提供全程的技術支持服務，如承保前的風險評估及加固建議，承保中的風險監測，承保后的應急處置，可以給企業帶來安全能力的提升。三是減輕關基單位的連帶網絡安全責任，下游中小企業可以通過網絡安全險中的技術服務減少被攻擊成功的風險，為關基單位的防護創造良好的環境。四是降低因供應鏈軟硬件產品采購引入的風險。

在吉林大學法學院金融與保險法制研究中心主任潘紅艷看來，本次《意見》內容有四大亮點：

一是為網絡安全保險發展提供配套政策支持。《意見》以健全完善財政政策、減少稅收以及提供保險購買補貼等形式，為網絡安全保險發展提供配套的政策支持。

二是引導開發符合互聯網產業需求的網絡安全保險產品。發揮保險市場的效能，鼓勵保險公司結合互聯網產業發展的實際，開發網絡專業技術人員責任保險等多種形態的網絡安全相關保險產品。

三是引導提升技術賦能的網絡風險防范服務水平。結合保險公司、再保險公司的專業服務優勢，引導提升網絡風險防范服務水平。以建立網絡安全風險量化評估模型、建立網絡安全預警等方式，提升網絡安全保險的技術賦能。

四是提升網絡安全保險推廣的能動性。有點有面地拓展網絡安全保險的應用行業，提升企業網絡安全風險應對能力，培育網絡安全保險產品推廣的市場，整合行業資源，構建具有能動性的網絡安全保險推廣體系。

維護網絡安全仍需加深跨行業協作

但總體而言，我國網絡安全保險發展仍處于初級階段，市場規模較小，保險產品數量和種類也較少。

對于背后的難點，360數字安全集團安全專家解釋，一是網絡安全險作為一種新的保險創新模式，缺乏相應法規、標準規范作指導；二是網絡安全險涉及企業的信息資產量化風險評估，一旦發生網絡安全事件，確切的經濟損失難以界定；三是網絡安全險所采取的風險監測，應當采取輕量化、低成本的部署模式，而市場上成熟的解決方案較少（SAAS）；四是國內市場網絡安全險產品不成熟，企業對于網絡安全險的信任度和認同度不高；五是網絡安全險是一種跨行業的整體解決方案，需要保險機構和網絡安全企業共同努力打造生態，單靠任何一方難以推動。

孔憲梓也認為，網絡空間安全錯綜復雜，不同的網絡業務場景有著其獨特的安全風險體系，因此針對于各個層面與各個場景的安全保險制度與體系需要持續研究與改進。同時，針對企業的部分網絡攻擊較為隱蔽且難以察覺，同時很多企業對于攻擊事件后知后覺，導致在取證層面存在較大難度，評測機構需加強網絡安全取證人才的培養，完善評測取證體系。

業內人士建議，為推動網絡安全保險的產業發展，未來需整合各方優勢資源，深化跨行業合作。比如，保險科技公司、保險公司、安全廠商、各行業企業等可聯合起來，建立跨行業數據共享分析機制。

眾安科技與賽博研究院發布的《2022網絡安全保險科技白皮書》顯示，在網絡安全保險的完整業態中，包含網絡安全企業、保險科技公司、第三方風險管理技術機構三個角色。網絡安全企業采取網絡安全技術與服務，協助保險公司為客戶方提供全面風險管理方案；保險科技公司針對場景化網絡安全風險，協助保險公司基于數據清洗整合優勢，優化風險定價模型、構建全流程保險業務體系；第三方風險管理技術機構則將網絡安全企業的安全技術能力與保險科技公司的科技能力進行有機整合，逐漸成為保險生態中關鍵一環。

網絡安全險開拓了網絡安全產業的一個新賽道。作為專業的網絡安全服務商，360數字安全集團認為，未來應該從五方面推動網絡安全保險發展：一是加強與監管單位的溝通協同，積極參與網絡安全險的標準規范制定；二是開展網絡安全信息資產量化風險評估的研究工作；三是以網絡安全險為載體，通過“企業安全云”等SAAS化網絡安全產品的部署，實現全面的風險監測，能夠讓企業特別是中小企業以較低的成本提升網絡安全防護能力；四是加大產品研發投入力度，同時通過ISC、網絡安全周、網絡安全產業高峰論壇、網絡安全技術應用試點示范等活動，宣傳普及網絡安全保險，增加企業的認知度；五是加強與保險公司的戰略合作，共同打造和開拓市場。