两部门:鼓励险企开发多元化网络安全险产品,健全标准规范

文章正文
发布时间:2023-07-18 07:05

网络安全保险领域的首份政策文件出台。

7月17日,工业和信息化部、国家金融监督管理总局联合发布《关于促进网络安全保险规范健康发展的意见》(下称《意见》),旨在加快推动网络安全产业和金融服务融合创新,引导网络安全保险健康有序发展,培育网络安全保险新业态,促进企业加强网络安全风险管理,推动网络安全产业高质量发展。

工业和信息化部与国家金融监督管理总局相关负责人表示,《意见》作为我国网络安全保险领域的首份政策文件,立足我国网络安全保险发展现状和亟待解决的问题,以促进网络安全保险规范健康发展为目标,围绕完善政策标准、创新产品服务、强化技术支持、促进需求释放、培育产业生态等提出5方面10条意见。

众安在线相关负责人表示,《关于促进网络安全保险规范健康发展的意见》的发布,有助于推动相关保险产品的市场普及和需求释放。通过“保险+科技+服务”的模式,帮助重点行业企业、尤其是中小企业有效转移、防范网络安全风险,加强网络安全防护能力。

《意见》指出,要完善网络安全保险政策制度。加强网络安全产业政策对网络安全保险的支持,推动网络安全技术服务赋能网络安全保险发展,引导关键信息基础设施保护、新兴融合领域网络安全保障等充分运用网络安全保险。加强保险业政策对网络安全保险的支持,指导网络安全保险创新发展,引导开发符合网络安全特点规律的保险产品。推动健全完善财政政策,充分利用地方首台(套)、首版(次)等现有政策,提供保险减税、保险购买补贴等措施。

《意见》还提出要健全网络安全保险标准规范。支持网络安全产业和保险业加强合作,建立覆盖网络安全保险服务全生命周期的标准体系,统一行业术语规范,明确核保、承保、理赔等主要环节基本流程和通用要求。研究制定承保前重点行业领域网络安全风险量化评估相关标准,规范安全风险评估要求;承保中网络安全监测管理服务相关标准,规范监测预警方法;承保后理赔服务实施要求相关标准,规范网络安全保险售后服务。

《意见》指导和鼓励各方主体积极推进网络安全保险产品和服务创新。

在产品创新方面,《意见》鼓励保险机构面向不同行业场景的差异化网络安全风险管理需求,开发多元化网络安全保险产品。一是面向重点行业企业开发网络安全财产损失险、责任险和综合险等,提升企业网络安全风险应对能力。二是面向信息技术产品开发产品责任险,面向网络安全产品开发网络安全专门保险,为信息网络技术产品提供保险保障。三是面向网络安全服务开发职业责任险等产品,转移专业技术人员在安全服务过程中因人为操作可能引发的安全风险。

在服务创新方面,《意见》鼓励网络安全保险服务机构协同合作,探索构建以网络安全保险为核心的全流程网络安全风险管理解决方案。一方面,充分发挥保险机构专业优势,联合网络安全企业、基础电信运营商等加快保险与网络安全服务融合创新。另一方面,充分发挥网络安全企业、专业网络安全测评机构技术优势,联合保险公司提升网络安全保险服务能力。

此外,在开展网络安全风险量化评估和加强网络安全风险监测能力上,《意见》提出,围绕电信和互联网行业典型事件以及工业互联网、车联网、物联网等新兴场景开展网络安全风险研究。探索建立网络安全风险量化评估模型,加强网络安全风险影响规模预测、经济损失等分析。同时,鼓励网络安全企业、专业网络安全测评机构等充分发挥网络安全风险监测技术优势,充分利用安全技术手段,针对网络安全漏洞、恶意网络资源、网络安全事件等开展网络安全威胁实时监测,及时发现网络安全风险隐患,提升网络安全风险监测预警、应急处置等能力。

《意见》还从三方面推动网络安全产业需求释放。一是推动重点行业领域先行先试。面向电信和互联网、能源、金融、医疗卫生等重点行业,以及工业互联网、车联网、物联网等新兴融合领域,开展网络安全保险服务试点。二是鼓励重点行业完善风险管理机制。三是推动中小企业网络安全防护能力提升。

《意见》称,要培育一批专业能力突出的保险机构,发展一批技术支撑能力领先的网络安全企业、专业网络安全测评机构等,建设一批网络安全保险创新联合体,培育网络安全保险发展良性生态。

附工业和信息化部 国家金融监督管理总局关于促进网络安全保险规范健康发展的意见

各省、自治区、直辖市及计划单列市、新疆生产建设兵团工业和信息化主管部门,各银保监局,各相关单位:

网络安全保险是为网络安全风险提供保险保障的新兴险种,日益成为转移、防范网络安全风险的重要工具,在推进网络安全社会化服务体系建设中发挥着重要作用。为深入贯彻《中华人民共和国网络安全法》《中华人民共和国数据安全法》等相关法律法规,加快推动网络安全产业和金融服务融合创新,引导网络安全保险健康有序发展,培育网络安全保险新业态,促进企业加强网络安全风险管理,推动网络安全产业高质量发展,现提出如下意见。

一、建立健全网络安全保险政策标准体系

(一)完善网络安全保险政策制度。加强网络安全产业政策对网络安全保险的支持,推动网络安全技术服务赋能网络安全保险发展,引导关键信息基础设施保护、新兴融合领域网络安全保障等充分运用网络安全保险。加强保险业政策对网络安全保险的支持,指导网络安全保险创新发展,引导开发符合网络安全特点规律的保险产品。推动健全完善财政政策,充分利用地方首台(套)、首版(次)等现有政策,提供保险减税、保险购买补贴等措施。

(二)健全网络安全保险标准规范。支持网络安全产业和保险业加强合作,建立覆盖网络安全保险服务全生命周期的标准体系,统一行业术语规范,明确核保、承保、理赔等主要环节基本流程和通用要求。研究制定承保前重点行业领域网络安全风险量化评估相关标准,规范安全风险评估要求;承保中网络安全监测管理服务相关标准,规范监测预警方法;承保后理赔服务实施要求相关标准,规范网络安全保险售后服务。

二、加强网络安全保险产品服务创新

(三)丰富网络安全保险产品。鼓励保险公司面向不同行业场景的差异化网络安全风险管理需求,开发多元化网络安全保险产品。面向重点行业企业开发网络安全财产损失险、责任险和综合险等,提升企业网络安全风险应对能力。面向信息技术产品开发产品责任险,面向网络安全产品开发网络安全专门保险,为信息网络技术产品提供保险保障。面向网络安全服务开发职业责任险等产品,转移专业技术人员在安全服务过程中因人为操作可能引发的安全风险。

(四)创新发展网络安全保险服务。鼓励网络安全保险服务机构协同合作,探索构建以网络安全保险为核心的全流程网络安全风险管理解决方案。充分发挥保险机构专业优势,联合网络安全企业、基础电信运营商等加快网络安全保险与网络安全服务融合创新。充分发挥网络安全企业、专业网络安全测评机构技术优势,联合保险公司提升网络安全保险服务能力。

三、强化网络安全技术赋能保险发展

(五)开展网络安全风险量化评估。围绕电信和互联网行业典型事件以及工业互联网、车联网、物联网等新兴场景开展网络安全风险研究。探索建立网络安全风险量化评估模型,加强网络安全风险影响规模预测、经济损失等分析。支持网络安全企业、专业网络安全测评机构等研发网络安全风险量化评估技术,开发轻量化网络安全风险量化评估工具,鼓励保险机构建立网络安全风险理赔数据库,支撑网络安全风险精准定价。

(六)加强网络安全风险监测能力。开展网络安全保险全生命周期风险监测,覆盖事前、事中、事后等重要环节。鼓励网络安全企业、专业网络安全测评机构等充分发挥网络安全风险监测技术优势,充分利用安全技术手段,针对网络安全漏洞、恶意网络资源、网络安全事件等开展网络安全威胁实时监测,及时发现网络安全风险隐患,提升网络安全风险监测预警、应急处置等能力。

四、促进网络安全产业需求释放

(七)推广网络安全保险服务应用。面向电信和互联网、能源、金融、医疗卫生等重点行业,以及工业互联网、车联网、物联网等新兴融合领域,围绕网络安全与信息技术产品服务供给侧和需求侧两类主体,充分发挥网络安全产业、网络安全保险相关联盟协会等作用,开展网络安全保险服务试点,形成可复制、可推广的网络安全保险服务模式,促进网络安全保险推广应用。

(八)推动企业网络安全风险应对能力提升。鼓励重点行业企业完善网络安全风险管理机制,推动电信和互联网、制造业、能源、金融、交通、水利、教育等重点行业企业积极利用网络安全保险工具,有效转移、防范网络安全风险,提升网络基础设施、重要信息系统和数据的安全防护能力。支持中小企业通过网络安全保险服务监控风险敞口,建立健全网络安全风险管理体系,不断加强中小企业网络安全防护能力。

五、培育网络安全保险发展生态

(九)培育优质网络安全保险企业。鼓励网络安全企业、保险机构积极参与网络安全保险生态建设,开展网络安全保险优秀案例征集、网络安全保险应用示范等活动,培育一批专业能力突出的保险机构,发展一批技术支撑能力领先的网络安全企业、专业网络安全测评机构等,建设一批网络安全保险创新联合体,培育网络安全保险发展良性生态。

(十)宣传推广网络安全保险服务。充分发挥相关行业联盟协会、重点企业带动作用,整合资源优势,促进网络安全产业和金融服务要素流动,开展网络安全保险教育培训,引导加强从业人员自律,规范网络安全保险推广应用。用好网络和数据安全产业高峰论坛、网络安全技术应用试点示范等活动,宣传普及网络安全保险,举办网络安全保险主题活动,加强经验总结和交流推广,营造促进网络安全保险规范健康发展的浓厚氛围。

工业和信息化部           国家金融监督管理总局        

2023年7月2日