瞄准网络安全技术重点发力，促进我国网络安全保险创新发展

随着数字经济飞速发展，网络安全保险作为承保网络安全风险的新兴险种，已成为转移、防范网络安全风险的重要工具。近日，由工业和信息化部联合国家金融监督管理总局发布的《关于促进网络安全保险规范健康发展的意见》（以下简称《意见》），作为我国网络安全保险领域的首份政策文件，通过5方面10条意见，有力指引网络安全保险健康有序发展。中国信通院将立足国家高端智库，从网络安全技术支撑、网络安全保险生态培育等方面助力工作推进。

一、我国网络安全保险发展现状

近年来，我国持续探索推动网络安全保险发展的新模式、新途径。一是政策发展环境不断优化。2021年7月，工信部的《网络安全产业高质量发展三年行动计划（2021-2023）（征求意见稿）》提出“探索开展网络安全保险”。2022年10月，《信息安全技术 网络安全保险应用指南》国家标准立项。2023年7月《意见》正式发布，助推我国网络安全保险步入快速发展新阶段。二是市场发展势头良好。2022年网络安全保险保费规模达1.4亿，较去年翻一番，新增网络安全保险产品24款，是上一年新增数量的二倍以上。同时，网络安全保险具有巨大的市场潜力。普华永道、英国保险协会研究公司等全球知名保险机构均对全球网络安全保险的保费规模进行了预测，预计到2025年全球网络安全保险市场规模能达到287亿美元。三是产业发展模式创新升级。我国网络安全企业逐步探索出以安全服务为主，将保险作为附加保证的“技术+保险”、“事前+事中+事后”全生命周期、“风险控制+风险转移”综合安全服务模式，一定程度上从保险的层面驱动着安全业务的发展。2022年7月，上海首推普惠版网络安全保险，建设集“保障+风控+服务”三位一体的新型网络安全保险。

二、我国网络安全保险发展问题

现阶段，我国网络安全保险发展仍存在以下难点。一是管理政策尚待优化。我国网络安全保险缺乏联合管理机制。由于网络安全保险风险的特殊性，一旦发生网络安全事件，损失额和损失范围、造成保险事故的原因多种多样，因此需要同时监管金融保险风险及网络技术风险。二是行业需求亟待释放。从需求侧看，国内行业企业对网络安全保险的了解普遍较少，行业企业风险管理意识不足。大部分企业网络安全建设经费预算有限，导致客户投保积极性较低。从供给侧看，当前网络安全技术服务标准化程度较低，同时我国部分关键技术不够成熟，如加密技术、访问控制、电子安全交易认证等还未达到网络安全保险发展所要求的技术水平。三是产业生态尚未成熟。当前网络安全保险专业人才匮乏，尤其是来自网络安全领域和金融领域两个领域专业人员缺乏紧密合作。同时，目前专业的第三方机构缺乏，风险管理与安排、价值衡量与评估、损失鉴定与理算等关键环节专业机构参与不足，导致保险公司面临承保理赔难度大和有失公正等问题。

三、《意见》主要内容

《意见》立足我国网络安全保险发展现状和亟待解决的问题，明确了推动网络安全保险未来发展的着力点，为促进网络安全保险规范健康发展指明了方向。

（一）建立健全网络安全保险政策标准体系

完善网络安全保险政策制度，加强保险业政策对网络安全保险的支撑。建立覆盖网络安全保险服务全生命周期的标准体系，制定承保前量化评估、承保中风险监测、承保后理赔服务的相关标准。

（二）加强网络安全保险产品服务创新

推动网络安全保险产品多元化，开发信息技术产品责任险、网络安全专门保险，及专业技术人员职业责任险等险种。创新发展网络安全保险服务，探索构建以网络安全保险为核心的全流程网络安全风险管理解决方案。

（三）强化网络安全技术赋能保险发展

开展网络安全风险量化评估，探索建立网络安全风险量化评估模型，研发风险量化评估技术和相关轻量化评估工具。加强网络安全风险监测能力，实时开展覆盖事前、事中、事后等环节的网络安全保险全生命周期风险监测。

（四）促进网络安全产业需求释放

推广网络安全保险服务应用，开展网络安全保险服务试点，形成可复制、可推广的网络安全保险服务模式。强化企业网络安全风险应对能力，支持中小企业通过网络安全保险服务监控风险敞口加强网络安全防护能力。

（五）培育网络安全保险发展生态

发展技术支撑能力领先的网络安全企业、专业网络安全测评机构等，建设一批网络安全保险创新联合体。推广网络安全保险服务，开展相关教育培训及主题活动，加强经验总结和交流宣传，规范网络安全保险普及应用。

四、我国网络安全保险创新发展工作举措

中国信通院从凝聚网络安全产业认知、推进网络安全保险落地应用、促进企业网络安全能力提升的角度出发，支撑《意见》文件编制和修改完善。后续我院也将继续发挥好技术支撑力和产业引领力，进一步推进网络安全技术手段建设、网络安全保险生态培育等任务的落实。

（一）充分发挥网络安全技术赋能保险作用

一是开展面向重点场景的网络安全风险量化评估模型研究，结合电信、工业互联网、车联网等领域实际需求，建立以科学性、可度量性、实用性为原则的网络安全风险评估体系，全面系统揭示网络安全风险脆弱点，加强风险影响规模预测能力。二是做好网络安全保险全生命周期风险监测，充分利用已建有的网络安全态势感知平台、网络安全威胁和漏洞信息共享平台、资产管理平台，及在建溯源平台等技术手段，不断加强溯源取证、日志查询、漏洞管理等能力，提升网络安全风险监测预警、应急处置水平。

（二）推动网络安全保险发展生态培育

一是推进网络安全技术应用试点示范工作开展，通过设立网络安全保险方向赛道，邀请各类网络安全保险主体参与，促进各类主体深度协同，推动相关工作在行业内全面落地。二是搭建网络安全产业高峰论坛等产业交流平台，做好网络安全保险服务推广应用，面向行业输出网络安全保险成果，打造网络安全保险供需交流平台、服务演进平台、成果推广平台，培育网络安全保险发展良性生态。三是加强网络安全保险服务人员认定，根据网络安全保险工作范畴，明确网络安全保险服务人员所需的专业能力，通过基础技能培养、参与真实业务演练等方式，有效扩大相关人才的储备。

声明：本文来自网络安全卓越验证示范中心，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。