信息安全技术 网络安全保险应用指南
AI智能总结
GB/TXXXXX—XXXX 信息安全技术网络安全保险应用指南 Information security technology—Guideline for cybersecurity insurance application (点击此处添加与国际标准一致性程度的标识) (征求意见稿) 2023-7-31 在提交反馈意见时,请将您知道的相关专利连同支持性文件一并附上。 目次 I前言..................................................................................11范围................................................................................22规范性引用文件......................................................................23术语和定义..........................................................................24网络安全保险应用概述................................................................34.1目的和作用......................................................................34.2基本应用流程....................................................................44.3主要角色与职责..................................................................55网络安全保险保障范围................................................................65.1概述............................................................................65.2事件类型........................................................................65.3损失类型........................................................................76投保前风险评估......................................................................76.1确定保险需求....................................................................76.2实施风险评估....................................................................86.3保险核保与定价.................................................................107保险期间风险控制...................................................................107.1日常风险管理...................................................................107.2保险人风险控制.................................................................107.3实施风险控制...................................................................118出险后事件评估.....................................................................118.1应急响应与索赔.................................................................118.2实施事件评估...................................................................128.3保险理赔.......................................................................13附录A(资料性)网络安全保险需求及应用场景..........................................14A.1网络安全保险需求分析...........................................................14A.2网络安全保险必要性.............................................................15A.3网络安全保险应用场景及示例.....................................................15附录B(资料性)网络安全保险单示例..................................................17附录C(资料性)网络安全保险其他考虑事项............................................19C.1保险金额.......................................................................19C.2免赔额和等待期.................................................................19C.3常见除外责任...................................................................19附录D(资料性)保险业务活动与网络安全..............................................20附录E(资料性)基于风险场景的量化分析方法..........................................21 GB/T XXXXX—XXXX E.1风险场景示例....................................................................21E.2风险量化分析示例................................................................22参考文献..............................................................................23 前言 本文件按照GB/T 1.1—2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规定起草。 本文件由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。 本文件起草单位:北京源堡科技有限公司、国家工业信息安全发展研究中心、中国电子技术标准化研究院、中国信息安全测评中心、国家信息技术安全研究中心、国家信息中心、公安部第一研究所、公安部第三研究所、中国科学院信息工程研究所、中国网络空间研究院、中国人民财产保险股份有限公司、中国太平洋财产保险股份有限公司、中国平安财产保险股份有限公司、中国人寿财产保险股份有限公司、国任财产保险股份有限公司、诚泰财产保险股份有限公司、中国财产再保险有限责任公司、前海再保险股份有限公司、建信财产保险有限公司、奇安信科技集团股份有限公司、北京神州绿盟科技有限公司、启明星辰信息技术集团股份有限公司、北京天融信网络安全技术有限公司、杭州安恒信息技术股份有限公司、腾讯云计算(北京)有限责任公司。 本文件主要起草人:陈幼雷、梁露露、韩冰、黄鹏、冯媛、孙倩文、上官晓丽、王惠莅、王秉政、李淼、曹岳、刘玉岭、王佳慧、李海涛、陈妍、白云、刘愉、刘怡、万杰、李萌、沈铭新、孙涛、刘蓉、沈哲、孟鑫、欧阳周婷、刘玉荟、张静、田丽丹、李克鹏。 信息安全技术网络安全保险应用指南 1范围 本文件描述了网络安全保险的概念、作用和主要应用阶段,提出了网络安全保险应用各阶段的流程和方法。 本文件适用于指导采用网络安全保险转移风险的组织,也可为保险人和服务方提供参考。 2规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改版)适用于本文件。 GB/T 20984—2022信息安全技术信息安全风险评估方法GB/T 20986—2023信息安全技术网络安全事件分类分级指南GB/T 22081—2016信息技术安全技术信息安全控制实践指南 3术语和定义 下列术语和定义适用于本文件: 3.1 网络安全事件cybersecurity incident 由于人为原因、软硬件缺陷或故障、自然灾害等,对网络和信息系统或其中的数据和业务应用造成危害,对国家、社会、经济造成负面影响的事件。 [来源:GB/T 38645—2020,3.1] 3.2 财产保险的一种,承保因发生网络安全事件所造成的经济损失以及需承担的法定赔偿责任。注:网络安全保险属于广义的财产保险范畴,数字资产等无形资产可作为该险种的保险标的。 3.3 保险人insurer 与被保险人共同分担网络安全风险,并承担赔偿或者给付保险金责任的保险公司。[来源:GB/T 36687—2018,2.4,有修改] 3.4 投保人applicant与保险人签订保险合同,并按照保险合同负有支付保险费义务的法人主体。[来源:GB/T 36687—2018,2.5,有修改] 3.5 被保险人insured 向保险人分担或考虑分担网络安全风险的法人主体,其财产受保险合同保障,享有保险金请求权。 [来源:GB/T 36687—2018,2.6,有修改]注:投保人可以为被保险人。 3.6 保险标的subject of insurance 3.7 财产保险property insurance 以财产及其有关利益为保险标的的保险。[来源:GB/T 36687—2018,2.2]注:财产保险包括财产损失保险、责任保险、信用保险、保证保险等。 3.8 服务方service provider 为网络安全保险业务提供风险评估、风险监测、安全检测、事件鉴定、损失评估、勘察及理赔、法律咨询等专业服务的机构。 注:在网络安全保险业务中,保险人或被保险人均可根据实际需求委托服务方开展相关服务。 3.9 网络安全保险单cybersecurityinsurance policy 网络安全保险合同成立后,保险人向投保人签发的保险合同的正式书面凭证。[来源:GB/T 36687—2018,5.3.1] 3.10 指除了投保人、被保险人、被保险人的高级管理人员和任何雇员以为的任何其他自然人或法人。 4网络安全保险应用概述 4.1目的和作用 网络安全保险是组织实现网络安全风险转移的手段,通过补偿组织因网络安全事件可能导致的经济损失,帮助组
