日前,工业和信息化部会同银保监会起草了《关于促进网络安全保险规范健康发展的意见(征求意见稿)》(以下简称《征求意见稿》),并予以公示。
《征求意见稿》旨在深入贯彻《中华人民共和国网络安全法》《中华人民共和国数据安全法》等相关法律法规,加快推动网络安全产业和金融服务融合发展,培育网络安全保险新业态,促进企业加强网络安全风险管理,推动网络安全产业高质量发展。
建立健全标准体系
“网络安全需要保险的保障。”对外经济贸易大学保险学院院长助理王国军表示,工信部同银保监会发布《征求意见稿》,表明各部门对保险业在各行各业风险管理方面价值的认同已经提升到了一个新的高度,包括保险业在内的网络安全产业链条上各主体多赢的局面正在形成,保险业的价值得到越来越好体现,市场空间进一步拓展。
《征求意见稿》提出,拟建立健全网络安全保险政策标准体系。
一是完善网络安全保险政策制度。加强网络安全产业政策对网络安全保险的支持,推动网络安全技术服务赋能网络安全保险发展,引导关键信息基础设施保护、新兴融合领域网络安全保障等充分运用网络安全保险。加强保险业政策对网络安全保险的支持,指导网络安全保险创新发展,引导开发符合网络安全特点规律的保险产品。推动健全完善财政政策,鼓励提供保险减税、保险购买补贴等政策。
二是健全网络安全保险标准规范。支持网络安全产业和保险业加强合作,建立覆盖网络安全保险服务全生命周期的标准体系,明确承保、核保、理赔等主要环节基本流程和通用要求。研究制定承保前重点行业领域网络安全风险量化评估相关标准,规范安全风险评估要求;承保中网络安全监测管理服务相关标准,规范监测预警方法;承保后理赔服务实施要求相关标准,规范网络安全保险售后服务。
“网络安全风险概率可测、损失可估是可保的首要条件,是精算定价的重要基础。”源堡科技相关负责人认为,传统的网络安全技术范式无法在缺乏先验知识的条件下有效应对未知漏洞、未知病毒等未知内生安全威胁,进而难以量化安全可信水平。因此,从根本上推动技术范式创新、落实安全功能可定制可度量可检验,是实现网络安全保险产品创新的充要条件。
加强产品服务创新
《征求意见稿》指出,拟加强网络安全保险产品服务创新。
一方面,丰富网络安全保险产品。鼓励保险公司面向不同行业场景的差异化网络安全风险管理需求,开发多元化网络安全保险产品。面向重点行业企业开发网络安全财产损失险、责任险和综合险等,提升企业网络安全风险应对能力。面向信息技术产品开发产品责任险,面向网络安全产品开发网络安全专门保险,为信息网络技术产品提供保险保障。面向网络安全服务开发职业责任险等产品,降低专业技术人员在安全服务过程中因人为操作可能引发的安全风险。
另一方面,创新发展网络安全保险服务。鼓励网络安全保险服务机构协同合作,探索构建以网络安全保险为核心的全流程网络安全风险管理解决方案。充分发挥保险公司、再保险公司等保险机构专业优势,联合网络安全企业等加快保险与网络安全服务融合创新。充分发挥网络安全企业、专业网络安全测评机构技术优势,联合保险公司提升网络安全保险服务能力。
值得注意的是,《征求意见稿》特别提到“健全网络安全保险标准规范”“研究制定承保前重点行业领域网络安全风险量化评估相关标准”“规范安全风险评估要求”“探索建立网络安全风险量化评估模型,加强网络安全风险影响规模预测、经济损失等分析”等内容。
“这将从根本上推动网络安全技术范式创新、落实安全功能可定制可度量可检验,是实现网络安全保险产品创新的充要条件。”源堡科技相关负责人表示,以源堡科技为代表的第三方风险量化管理公司,可以为投保企业提供承保前的风险量化评估和承保后主动损失防御服务,以降低企业出险概率及出险后的损失。
此外,《征求意见稿》还提出强化网络安全技术赋能保险发展、促进网络安全产业需求释放、培育网络安全保险发展生态等意见。(谭乐之)