《信息安全技術(shù) 網(wǎng)絡(luò)安全保險(xiǎn)應(yīng)用指南》

GB/TXXXXX—XXXX

信息安全技術(shù)網(wǎng)絡(luò)安全保險(xiǎn)應(yīng)用指南

1范圍

本文件描述了網(wǎng)絡(luò)安全保險(xiǎn)的概念、作用和主要應(yīng)用階段，提出了網(wǎng)絡(luò)安全保險(xiǎn)應(yīng)用各階段的流

程和方法。

本文件適用于指導(dǎo)采用網(wǎng)絡(luò)安全保險(xiǎn)轉(zhuǎn)移風(fēng)險(xiǎn)的組織，也可為保險(xiǎn)人和服務(wù)方提供參考。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過(guò)文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文

件，僅該日期對(duì)應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改版）適

用于本文件。

GB/T20984—2022信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估方法

GB/T20986—2023信息安全技術(shù)網(wǎng)絡(luò)安全事件分類分級(jí)指南

GB/T22081—2016信息技術(shù)安全技術(shù)信息安全控制實(shí)踐指南

3術(shù)語(yǔ)和定義

下列術(shù)語(yǔ)和定義適用于本文件：

3.1

網(wǎng)絡(luò)安全事件cybersecurityincident

由于人為原因、軟硬件缺陷或故障、自然災(zāi)害等，對(duì)網(wǎng)絡(luò)和信息系統(tǒng)或其中的數(shù)據(jù)和業(yè)務(wù)應(yīng)用造

成危害，對(duì)國(guó)家、社會(huì)、經(jīng)濟(jì)造成負(fù)面影響的事件。

[來(lái)源：GB/T38645—2020，3.1]

3.2

網(wǎng)絡(luò)安全保險(xiǎn)cybersecurityinsurance

財(cái)產(chǎn)保險(xiǎn)的一種，承保因發(fā)生網(wǎng)絡(luò)安全事件所造成的經(jīng)濟(jì)損失以及需承擔(dān)的法定賠償責(zé)任。

注：網(wǎng)絡(luò)安全保險(xiǎn)屬于廣義的財(cái)產(chǎn)保險(xiǎn)范疇，數(shù)字資產(chǎn)等無(wú)形資產(chǎn)可作為該險(xiǎn)種的保險(xiǎn)標(biāo)的。

3.3

保險(xiǎn)人insurer

與被保險(xiǎn)人共同分擔(dān)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，并承擔(dān)賠償或者給付保險(xiǎn)金責(zé)任的保險(xiǎn)公司。

[來(lái)源：GB/T36687—2018，2.4，有修改]

3.4

投保人applicant

與保險(xiǎn)人簽訂保險(xiǎn)合同，并按照保險(xiǎn)合同負(fù)有支付保險(xiǎn)費(fèi)義務(wù)的法人主體。

[來(lái)源：GB/T36687—2018，2.5，有修改]

2

GB/TXXXXX—XXXX

3.5

被保險(xiǎn)人insured

向保險(xiǎn)人分擔(dān)或考慮分擔(dān)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的法人主體，其財(cái)產(chǎn)受保險(xiǎn)合同保障，享有保險(xiǎn)金請(qǐng)求權(quán)。

[來(lái)源：GB/T36687—2018，2.6，有修改]

注：投保人可以為被保險(xiǎn)人。

3.6

保險(xiǎn)標(biāo)的subjectofinsurance

作為保險(xiǎn)對(duì)象的財(cái)產(chǎn)及其相關(guān)利益，在保險(xiǎn)合同中所載明的投保對(duì)象。

[來(lái)源：GB/T36687—2018，2.22，有修改]

3.7

財(cái)產(chǎn)保險(xiǎn)propertyinsurance

以財(cái)產(chǎn)及其有關(guān)利益為保險(xiǎn)標(biāo)的的保險(xiǎn)。

[來(lái)源：GB/T36687—2018，2.2]

注：財(cái)產(chǎn)保險(xiǎn)包括財(cái)產(chǎn)損失保險(xiǎn)、責(zé)任保險(xiǎn)、信用保險(xiǎn)、保證保險(xiǎn)等。

3.8

服務(wù)方serviceprovider

為網(wǎng)絡(luò)安全保險(xiǎn)業(yè)務(wù)提供風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)監(jiān)測(cè)、安全檢測(cè)、事件鑒定、損失評(píng)估、勘察及理賠、

法律咨詢等專業(yè)服務(wù)的機(jī)構(gòu)。

注：在網(wǎng)絡(luò)安全保險(xiǎn)業(yè)務(wù)中，保險(xiǎn)人或被保險(xiǎn)人均可根據(jù)實(shí)際需求委托服務(wù)方開(kāi)展相關(guān)服務(wù)。

3.9

網(wǎng)絡(luò)安全保險(xiǎn)單cybersecurityinsurancepolicy

網(wǎng)絡(luò)安全保險(xiǎn)合同成立后，保險(xiǎn)人向投保人簽發(fā)的保險(xiǎn)合同的正式書面憑證。

[來(lái)源：GB/T36687—2018，5.3.1]

3.10

第三者thethirdparty

指除了投保人、被保險(xiǎn)人、被保險(xiǎn)人的高級(jí)管理人員和任何雇員以為的任何其他自然人或法人。

4網(wǎng)絡(luò)安全保險(xiǎn)應(yīng)用概述

4.1目的和作用

網(wǎng)絡(luò)安全保險(xiǎn)是組織實(shí)現(xiàn)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)轉(zhuǎn)移的手段，通過(guò)補(bǔ)償組織因網(wǎng)絡(luò)安全事件可能導(dǎo)致的經(jīng)

濟(jì)損失，幫助組織管理風(fēng)險(xiǎn)，增強(qiáng)風(fēng)險(xiǎn)應(yīng)對(duì)能力。網(wǎng)絡(luò)安全事件所造成的經(jīng)濟(jì)損失既包含組織自身的

損失，也包含對(duì)第三者的賠償責(zé)任。

與傳統(tǒng)財(cái)產(chǎn)保險(xiǎn)以有形財(cái)產(chǎn)及其相關(guān)經(jīng)濟(jì)利益為保險(xiǎn)標(biāo)的不同，網(wǎng)絡(luò)安全保險(xiǎn)的保險(xiǎn)標(biāo)的既包括

有形財(cái)產(chǎn)，也包括無(wú)形財(cái)產(chǎn)。網(wǎng)絡(luò)安全保險(xiǎn)主要承保網(wǎng)絡(luò)空間的安全風(fēng)險(xiǎn)，如網(wǎng)絡(luò)攻擊、惡意程序、

系統(tǒng)功能錯(cuò)誤或失效等。

網(wǎng)絡(luò)安全保險(xiǎn)的作用包括：

a)補(bǔ)償網(wǎng)絡(luò)安全事件所導(dǎo)致的經(jīng)濟(jì)損失，降低潛在影響；

3

GB/TXXXXX—XXXX

b)預(yù)防和減少網(wǎng)絡(luò)安全事件造成的損失和危害；

c)為應(yīng)急響應(yīng)及恢復(fù)提供資金支持；

d)協(xié)助組織恢復(fù)正常運(yùn)營(yíng)；

e)提高對(duì)網(wǎng)絡(luò)安全事件的韌性；

f)降低網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理的總體成本。

網(wǎng)絡(luò)安全保險(xiǎn)需求和應(yīng)用場(chǎng)景可參考附錄A。為方便表述，以下將組織稱為投保人或被保險(xiǎn)人。

4.2基本應(yīng)用流程

網(wǎng)絡(luò)安全保險(xiǎn)應(yīng)用流程如圖1所示。包括如下內(nèi)容：

圖1網(wǎng)絡(luò)安全保險(xiǎn)應(yīng)用基本流程

a)投保前風(fēng)險(xiǎn)評(píng)估，此階段包括：

1)確定保險(xiǎn)需求：被保險(xiǎn)人確認(rèn)保險(xiǎn)需求，包括保險(xiǎn)保障范圍、保障額度以及保險(xiǎn)費(fèi)用等；

2)實(shí)施風(fēng)險(xiǎn)評(píng)估：服務(wù)方實(shí)施風(fēng)險(xiǎn)評(píng)估，被保險(xiǎn)人配合提供必要支持；

3)保險(xiǎn)核保與定價(jià)：保險(xiǎn)人根據(jù)風(fēng)險(xiǎn)評(píng)估結(jié)果進(jìn)行核保并制定保險(xiǎn)方案，包括保障范圍、

保險(xiǎn)額度、保險(xiǎn)費(fèi)用等。

當(dāng)保險(xiǎn)人拒絕承保時(shí)，被保險(xiǎn)人可以根據(jù)風(fēng)險(xiǎn)評(píng)估結(jié)果進(jìn)行整改或調(diào)整保險(xiǎn)需求。

b)保險(xiǎn)期間風(fēng)險(xiǎn)控制，此階段包括：

1)日常風(fēng)險(xiǎn)管理：被保險(xiǎn)人開(kāi)展日常風(fēng)險(xiǎn)管理活動(dòng)，對(duì)相關(guān)風(fēng)險(xiǎn)進(jìn)行監(jiān)測(cè)和處置；

2)保險(xiǎn)人風(fēng)險(xiǎn)控制：保險(xiǎn)人主動(dòng)開(kāi)展的風(fēng)險(xiǎn)監(jiān)測(cè)和預(yù)防管理等相關(guān)活動(dòng)；

3)實(shí)施風(fēng)險(xiǎn)控制：服務(wù)方實(shí)施風(fēng)險(xiǎn)控制，協(xié)助被保險(xiǎn)人進(jìn)行風(fēng)險(xiǎn)管理。

保險(xiǎn)期間被保險(xiǎn)人可以及時(shí)共享風(fēng)險(xiǎn)狀況信息，履行風(fēng)險(xiǎn)控制義務(wù)。

c)出險(xiǎn)后事件評(píng)估，此階段包括：

1)應(yīng)急響應(yīng)及索賠：被保險(xiǎn)人開(kāi)展應(yīng)急響應(yīng)工作，并根據(jù)損失情況發(fā)起索賠請(qǐng)求；

2)實(shí)施事件評(píng)估：保險(xiǎn)人委托服務(wù)方對(duì)網(wǎng)絡(luò)安全事件進(jìn)行調(diào)查，確定事件責(zé)任和實(shí)際損失；

3)理賠：保險(xiǎn)人根據(jù)調(diào)查結(jié)果做出賠償決定，履行保險(xiǎn)人的賠償責(zé)任。

保險(xiǎn)業(yè)務(wù)中的網(wǎng)絡(luò)安全相關(guān)活動(dòng)見(jiàn)附錄D。

4

GB/TXXXXX—XXXX

4.3主要角色與職責(zé)

4.3.1主要角色

網(wǎng)絡(luò)安全保險(xiǎn)應(yīng)用主要參與角色如圖2所示。其中：

圖2網(wǎng)絡(luò)安全保險(xiǎn)應(yīng)用參與角色

a)保險(xiǎn)人

指與被保險(xiǎn)人共同分擔(dān)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，并承擔(dān)賠償或者給付保險(xiǎn)金責(zé)任的保險(xiǎn)公司。

b)投保人

指與保險(xiǎn)人簽訂保險(xiǎn)合同，并按照保險(xiǎn)合同負(fù)有支付保險(xiǎn)費(fèi)義務(wù)的法人主體。投保人為自己投保

時(shí)，投保人即被保險(xiǎn)人；投保人為其他法人主體投保時(shí)，投保人代被保險(xiǎn)人繳納保費(fèi)，投保人和被保

險(xiǎn)人是不同法人主體。

c)被保險(xiǎn)人

指向保險(xiǎn)人分擔(dān)或考慮分擔(dān)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的法人主體，其財(cái)產(chǎn)受保險(xiǎn)合同保障，享有保險(xiǎn)金請(qǐng)求

權(quán)。被保險(xiǎn)人是網(wǎng)絡(luò)安全保險(xiǎn)直接受益人。

d)服務(wù)方

指為網(wǎng)絡(luò)安全保險(xiǎn)業(yè)務(wù)提供風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)監(jiān)測(cè)、安全檢測(cè)、事件鑒定、損失評(píng)估、勘察及理賠、

法律咨詢等專業(yè)服務(wù)的機(jī)構(gòu)。服務(wù)方受保險(xiǎn)人委托，也可以受被保險(xiǎn)人委托開(kāi)展上述網(wǎng)絡(luò)安全服務(wù)。

4.3.2主要職責(zé)

4.3.2.1保險(xiǎn)人

保險(xiǎn)人主要職責(zé)包括但不限于：

a)依據(jù)保險(xiǎn)合同規(guī)定的責(zé)任和義務(wù)提供服務(wù)；

b)對(duì)保險(xiǎn)合同約定范圍內(nèi)的風(fēng)險(xiǎn)進(jìn)行風(fēng)險(xiǎn)管理，如對(duì)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)進(jìn)行監(jiān)測(cè)，獲取必要的風(fēng)險(xiǎn)

管理數(shù)據(jù)，當(dāng)風(fēng)險(xiǎn)發(fā)生顯著變化時(shí)，通知被保險(xiǎn)人并提供處置建議；

c)在出險(xiǎn)理賠時(shí)向被保險(xiǎn)人說(shuō)明需要提供的網(wǎng)絡(luò)安全事件證據(jù)和相關(guān)數(shù)據(jù)。

4.3.2.2被保險(xiǎn)人

被保險(xiǎn)人主要職責(zé)包括但不限于：

a)確認(rèn)網(wǎng)絡(luò)安全保險(xiǎn)需求；

b)配合保險(xiǎn)人實(shí)施風(fēng)險(xiǎn)評(píng)估；

c)保險(xiǎn)期間開(kāi)展必要的風(fēng)險(xiǎn)管理活動(dòng)；

d)出險(xiǎn)后開(kāi)展必要的應(yīng)急響應(yīng)工作，避免損失擴(kuò)大；

5

GB/TXXXXX—XXXX

e)向保險(xiǎn)人提供網(wǎng)絡(luò)安全事件證據(jù)或相關(guān)日志等數(shù)據(jù)；

f)保險(xiǎn)事故發(fā)生后，需在約定時(shí)間內(nèi)通知保險(xiǎn)人。

4.3.2.3投保人

投保人主要職責(zé)包括但不限于：

a)根據(jù)網(wǎng)絡(luò)安全保險(xiǎn)合同，按期繳納保險(xiǎn)費(fèi)；

b)保險(xiǎn)人對(duì)保險(xiǎn)標(biāo)的的情況進(jìn)行詢問(wèn)時(shí)，需如實(shí)告知；

4.3.2.4服務(wù)方

服務(wù)方主要職責(zé)包括但不限于：

a)對(duì)保險(xiǎn)標(biāo)的進(jìn)行風(fēng)險(xiǎn)評(píng)估，支持保險(xiǎn)人開(kāi)展核保和定價(jià)；

b)協(xié)助保險(xiǎn)人進(jìn)行風(fēng)險(xiǎn)控制，如進(jìn)行風(fēng)險(xiǎn)監(jiān)測(cè)和預(yù)警；

c)協(xié)助被保險(xiǎn)人對(duì)于不滿足承保條件的風(fēng)險(xiǎn)進(jìn)行整改；

d)協(xié)助被保險(xiǎn)人進(jìn)行網(wǎng)絡(luò)安全事件的應(yīng)急響應(yīng)；

e)協(xié)助保險(xiǎn)人對(duì)網(wǎng)絡(luò)安全事件進(jìn)行技術(shù)鑒定、取證和損失評(píng)估；

f)其他法律訴訟、公關(guān)咨詢等服務(wù)。

5網(wǎng)絡(luò)安全保險(xiǎn)保障范圍

5.1概述

網(wǎng)絡(luò)安全保險(xiǎn)保障范圍包括可承保的網(wǎng)絡(luò)安全事件和損失類型。只有當(dāng)發(fā)生在保險(xiǎn)保障范圍內(nèi)的

網(wǎng)絡(luò)安全事件和損失時(shí)，才能通過(guò)保險(xiǎn)進(jìn)行賠償。

網(wǎng)絡(luò)安全事件包括惡意程序事件、網(wǎng)絡(luò)攻擊事件、數(shù)據(jù)安全事件、違規(guī)操作事件等。網(wǎng)絡(luò)安全事

件造成的損失包括第一方損失和第三者責(zé)任。第一方損失包括網(wǎng)絡(luò)安全事件給被保險(xiǎn)人自身造成的直

接經(jīng)濟(jì)損失以及應(yīng)急響應(yīng)所產(chǎn)生的費(fèi)用等；第三者責(zé)任包括被保險(xiǎn)人因網(wǎng)絡(luò)安全事件引發(fā)的對(duì)第三者

（例如受影響個(gè)人或機(jī)構(gòu)等）的法定賠償責(zé)任。

保險(xiǎn)保障范圍在網(wǎng)絡(luò)安全保險(xiǎn)單中說(shuō)明，網(wǎng)絡(luò)安全保險(xiǎn)單示例見(jiàn)附錄B，網(wǎng)絡(luò)安全保險(xiǎn)其他考慮事

項(xiàng)見(jiàn)附錄C。

5.2事件類型

網(wǎng)絡(luò)安全保險(xiǎn)可承保的網(wǎng)絡(luò)安全事件包括但不限于下列類型：

a)惡意程序事件：指在網(wǎng)絡(luò)蓄意制造或傳播惡意程序而導(dǎo)致業(yè)務(wù)損失或社會(huì)危害的事件。包括

計(jì)算機(jī)病毒，網(wǎng)絡(luò)蠕蟲、木馬、勒索軟件、挖礦病毒事件等；

b)網(wǎng)絡(luò)攻擊事件：指通過(guò)技術(shù)手段對(duì)網(wǎng)絡(luò)實(shí)施攻擊而導(dǎo)致業(yè)務(wù)損失或社會(huì)危害的事件。包括漏

洞利用、拒絕服務(wù)、后門利用、網(wǎng)絡(luò)掃描探測(cè)、信號(hào)干擾、供應(yīng)鏈攻擊事件等；

c)數(shù)據(jù)安全事件：通過(guò)技術(shù)或其他手段對(duì)數(shù)據(jù)實(shí)施篡改、假冒、泄露、竊取等導(dǎo)致業(yè)務(wù)損失或

社會(huì)危害的事件；

d)違規(guī)操作事件：由于人為故意或意外地?fù)p害網(wǎng)絡(luò)功能而導(dǎo)致的業(yè)務(wù)損失，如人為操作失誤或

其他無(wú)意行為等；

e)其他可能造成系統(tǒng)或資產(chǎn)損失的網(wǎng)絡(luò)安全事件。

6

GB/TXXXXX—XXXX

5.3損失類型

5.3.1第一方損失

5.3.1.1營(yíng)業(yè)中斷損失

營(yíng)業(yè)中斷損失指因網(wǎng)絡(luò)安全事件導(dǎo)致的停產(chǎn)、停業(yè)或經(jīng)營(yíng)受到影響而面臨的預(yù)期利潤(rùn)損失及必要

的費(fèi)用支出。營(yíng)業(yè)中斷損失還包括因運(yùn)營(yíng)效率降低導(dǎo)致延遲交付所產(chǎn)生的經(jīng)濟(jì)損失。

5.3.1.2應(yīng)急響應(yīng)費(fèi)用

應(yīng)急響應(yīng)費(fèi)用指在網(wǎng)絡(luò)安全事件發(fā)生后所執(zhí)行的應(yīng)急響應(yīng)活動(dòng)產(chǎn)生的費(fèi)用，包括但不限于：

a)事件原因調(diào)查費(fèi)用：如聘請(qǐng)服務(wù)方對(duì)網(wǎng)絡(luò)安全事件發(fā)生原因進(jìn)行調(diào)查所產(chǎn)生的費(fèi)用；

b)數(shù)據(jù)和系統(tǒng)恢復(fù)費(fèi)用：對(duì)網(wǎng)絡(luò)安全事件中受影響的數(shù)據(jù)和系統(tǒng)進(jìn)行恢復(fù)、更新、重建或替換

等活動(dòng)所產(chǎn)生的費(fèi)用；

c)危機(jī)公關(guān)費(fèi)用：為減少聲譽(yù)影響所產(chǎn)生的危機(jī)公關(guān)的費(fèi)用，如聘請(qǐng)公共顧問(wèn)的咨詢費(fèi)用和進(jìn)

行溝通的成本等；

d)通知費(fèi)用：當(dāng)網(wǎng)絡(luò)安全事件造成個(gè)人信息泄漏、篡改、丟失的，由被保險(xiǎn)人通知受影響的個(gè)

人或監(jiān)管機(jī)構(gòu)所產(chǎn)生的費(fèi)用，包括通知的人工成本及呼叫中心運(yùn)營(yíng)成本等；

e)法律咨詢服務(wù)費(fèi)用：當(dāng)網(wǎng)絡(luò)安全事件涉及法律和監(jiān)管要求，被保險(xiǎn)人聘請(qǐng)法律顧問(wèn)進(jìn)行咨詢

所產(chǎn)生的費(fèi)用；

f)其他必要合理費(fèi)用：如管理應(yīng)急響應(yīng)流程所投入的運(yùn)營(yíng)成本以及可能產(chǎn)生的人員更換等費(fèi)用。

5.3.1.3網(wǎng)絡(luò)勒索損失

網(wǎng)絡(luò)勒索損失包括被保險(xiǎn)人因遭受勒索軟件事件后所產(chǎn)生的損失和相關(guān)費(fèi)用，包括營(yíng)業(yè)中斷、數(shù)

據(jù)恢復(fù)、調(diào)查取證、談判等費(fèi)用。

5.3.2第三者責(zé)任

網(wǎng)絡(luò)安全事件導(dǎo)致被保險(xiǎn)人對(duì)第三者損失的賠償責(zé)任，通常包括但不限于：

a)數(shù)據(jù)泄露責(zé)任

因網(wǎng)絡(luò)安全事件，導(dǎo)致用戶數(shù)據(jù)泄露，而需要承擔(dān)的賠償責(zé)任、相關(guān)法律訴訟等費(fèi)用。

b)網(wǎng)絡(luò)安全責(zé)任

因網(wǎng)絡(luò)安全事件，導(dǎo)致其合作伙伴或所服務(wù)用戶發(fā)生經(jīng)濟(jì)損失，需要承擔(dān)賠償責(zé)任、相關(guān)法律訴

訟等費(fèi)用。

c)媒體責(zé)任

因網(wǎng)絡(luò)安全事件，導(dǎo)致被保險(xiǎn)人發(fā)布在線媒體內(nèi)容（包括網(wǎng)站、博客和社交媒體等）存在不當(dāng)行

為，被第三者提出索賠而產(chǎn)生的法律費(fèi)用、賠償?shù)葥p失。

6投保前風(fēng)險(xiǎn)評(píng)估

6.1確定保險(xiǎn)需求

6.1.1風(fēng)險(xiǎn)自評(píng)估

被保險(xiǎn)人在投保前開(kāi)展風(fēng)險(xiǎn)自評(píng)估，針對(duì)網(wǎng)絡(luò)安全保險(xiǎn)保障范圍中的事件類型和損失類型，評(píng)估

網(wǎng)絡(luò)安全事件發(fā)生可能性和損失大小。風(fēng)險(xiǎn)評(píng)估結(jié)果是制定風(fēng)險(xiǎn)轉(zhuǎn)移策略的依據(jù)。

7

GB/TXXXXX—XXXX

6.1.2制定風(fēng)險(xiǎn)轉(zhuǎn)移策略

被保險(xiǎn)人制定風(fēng)險(xiǎn)轉(zhuǎn)移策略，確定適合通過(guò)保險(xiǎn)轉(zhuǎn)移的風(fēng)險(xiǎn)，考慮因素包括但不限于：

a)風(fēng)險(xiǎn)容忍度，選擇對(duì)業(yè)務(wù)影響較大的，超出承受范圍的風(fēng)險(xiǎn)；

b)高額損失優(yōu)先原則，選擇發(fā)生概率低，但損失較大的風(fēng)險(xiǎn)；

c)風(fēng)險(xiǎn)處置的總體成本，風(fēng)險(xiǎn)轉(zhuǎn)移策略應(yīng)使總體成本更優(yōu)。

6.1.3確定保險(xiǎn)需求

被保險(xiǎn)人根據(jù)風(fēng)險(xiǎn)轉(zhuǎn)移策略提出保險(xiǎn)需求，保險(xiǎn)人根據(jù)已有的網(wǎng)絡(luò)安全保險(xiǎn)產(chǎn)品制定保險(xiǎn)方案，

如果網(wǎng)絡(luò)安全保險(xiǎn)產(chǎn)品無(wú)法滿足保險(xiǎn)需求，被保險(xiǎn)人可以與保險(xiǎn)人協(xié)商，根據(jù)需求開(kāi)發(fā)新的網(wǎng)絡(luò)安全

保險(xiǎn)產(chǎn)品。保險(xiǎn)人根據(jù)確定的保險(xiǎn)需求對(duì)被保險(xiǎn)人實(shí)施風(fēng)險(xiǎn)評(píng)估。

6.2實(shí)施風(fēng)險(xiǎn)評(píng)估

6.2.1評(píng)估范圍

風(fēng)險(xiǎn)評(píng)估范圍與保險(xiǎn)標(biāo)的相關(guān)，保險(xiǎn)標(biāo)的可以是法人，也可以是被保險(xiǎn)人選定的特定系統(tǒng)或資產(chǎn)。

保險(xiǎn)人可自行實(shí)施也可以委托服務(wù)方實(shí)施風(fēng)險(xiǎn)評(píng)估，實(shí)施風(fēng)險(xiǎn)評(píng)估時(shí)圍繞保險(xiǎn)保障范圍列明的事件類

和損失類型，評(píng)估網(wǎng)絡(luò)安全事件發(fā)生的可能性及其帶來(lái)的損失大小。

6.2.2評(píng)估內(nèi)容

6.2.2.1網(wǎng)絡(luò)安全能力

評(píng)估被保險(xiǎn)人實(shí)施安全控制措施的程度和效果，包括安全管理措施和安全技術(shù)措施等。安全控制

措施直接影響發(fā)生網(wǎng)絡(luò)安全事件的可能性和損失大小，通過(guò)網(wǎng)絡(luò)安全能力評(píng)估可衡量被保險(xiǎn)人風(fēng)險(xiǎn)防

范水平。

6.2.2.2網(wǎng)絡(luò)安全風(fēng)險(xiǎn)

網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估圍繞保險(xiǎn)保障范圍中的第一方損失和第三者責(zé)任，評(píng)估可能造成不同類型損失

的各類網(wǎng)絡(luò)安全事件發(fā)生的可能性以及損失大小。評(píng)估網(wǎng)絡(luò)安全風(fēng)險(xiǎn)時(shí)，同時(shí)考慮數(shù)據(jù)安全風(fēng)險(xiǎn)，識(shí)

別數(shù)據(jù)資產(chǎn)和數(shù)據(jù)處理活動(dòng)中的威脅和控制措施等風(fēng)險(xiǎn)要素，分析數(shù)據(jù)安全事件發(fā)生的可能性以及損

失大小。

6.2.2.3行業(yè)風(fēng)險(xiǎn)水平

評(píng)估被保險(xiǎn)人所屬行業(yè)的宏觀風(fēng)險(xiǎn)狀況，包括行業(yè)信息化程度、網(wǎng)絡(luò)安全威脅程度、業(yè)務(wù)特點(diǎn)等

間接影響風(fēng)險(xiǎn)發(fā)生的可能性和損失大小。行業(yè)風(fēng)險(xiǎn)水平評(píng)估內(nèi)容通常包括但不限于以下信息：

a)行業(yè)面臨的網(wǎng)絡(luò)安全威脅特征；

b)行業(yè)不同規(guī)模企業(yè)的安全能力水平；

c)行業(yè)不同規(guī)模企業(yè)的信息化程度和業(yè)務(wù)活動(dòng)特征；

d)被保險(xiǎn)人組織規(guī)模、業(yè)務(wù)規(guī)模在行業(yè)中所處的位置；

e)被保險(xiǎn)人的安全風(fēng)險(xiǎn)水平在行業(yè)中所處的位置；

f)被保險(xiǎn)人受行業(yè)監(jiān)管的要求等。

8

GB/TXXXXX—XXXX

6.2.3評(píng)估方法

6.2.3.1概述

投保前風(fēng)險(xiǎn)評(píng)估方法參考GB/T20984—2022，包括風(fēng)險(xiǎn)識(shí)別、風(fēng)險(xiǎn)分析、風(fēng)險(xiǎn)評(píng)價(jià)等主要過(guò)程。

在風(fēng)險(xiǎn)分析環(huán)節(jié)，通常采用定量分析方法，通過(guò)評(píng)分或貨幣化等數(shù)值方式表示風(fēng)險(xiǎn)大小，滿足保險(xiǎn)核

保和定價(jià)要求。在評(píng)估與數(shù)據(jù)安全事件等相關(guān)的安全風(fēng)險(xiǎn)時(shí)，需參考數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估方法，對(duì)數(shù)據(jù)

資產(chǎn)和相關(guān)處理活動(dòng)等進(jìn)行要素識(shí)別和風(fēng)險(xiǎn)評(píng)估。

6.2.3.2風(fēng)險(xiǎn)識(shí)別

風(fēng)險(xiǎn)識(shí)別內(nèi)容包括：

a)識(shí)別資產(chǎn)、脆弱性、威脅源、攻擊方法等風(fēng)險(xiǎn)要素；涉及數(shù)據(jù)安全風(fēng)險(xiǎn)的還需考慮數(shù)據(jù)、業(yè)

務(wù)、數(shù)據(jù)處理活動(dòng)等風(fēng)險(xiǎn)要素。

b)識(shí)別安全控制措施及其有效性，識(shí)別可通過(guò)問(wèn)卷、訪談、檢查、測(cè)試等方式進(jìn)行。識(shí)別控制

措施可參考GB/T22081—2016，重點(diǎn)識(shí)別與風(fēng)險(xiǎn)場(chǎng)景相關(guān)的控制措施；

c)識(shí)別風(fēng)險(xiǎn)場(chǎng)景，風(fēng)險(xiǎn)場(chǎng)景由威脅源、資產(chǎn)、脆弱性、攻擊方法、安全事件要素組成，風(fēng)險(xiǎn)場(chǎng)

景需與網(wǎng)絡(luò)安全保險(xiǎn)保障范圍相結(jié)合；

d)識(shí)別行業(yè)風(fēng)險(xiǎn)數(shù)據(jù)，包括被保險(xiǎn)人所屬行業(yè)的資產(chǎn)和業(yè)務(wù)特征，歷史安全事件及損失數(shù)據(jù)，

對(duì)行業(yè)影響較大的威脅和脆弱性等。

其中，識(shí)別風(fēng)險(xiǎn)場(chǎng)景時(shí)可參考保險(xiǎn)保障范圍中列明的損失類型進(jìn)行，如營(yíng)業(yè)中斷、數(shù)據(jù)泄露、網(wǎng)

絡(luò)勒索等，具體示例可參考附錄E。

6.2.3.3風(fēng)險(xiǎn)分析

6.2.3.3.1網(wǎng)絡(luò)安全能力分析

在安全控制措施識(shí)別的基礎(chǔ)上，對(duì)不同的控制措施項(xiàng)進(jìn)行賦值并計(jì)算安全能力值。安全能力可通

過(guò)分?jǐn)?shù)或級(jí)別等形式表示，評(píng)分越高代表安全能力水平越高，發(fā)生網(wǎng)絡(luò)安全事件可能性越低。

通過(guò)分析控制措施的有效性為各評(píng)分指標(biāo)賦予分值和權(quán)重，結(jié)合被保險(xiǎn)人行業(yè)、規(guī)模等因素，計(jì)

算安全能力評(píng)分。安全能力分析還可以考慮網(wǎng)絡(luò)安全認(rèn)證或資質(zhì)等因素。

6.2.3.3.2網(wǎng)絡(luò)安全評(píng)級(jí)分析

在資產(chǎn)識(shí)別的基礎(chǔ)上，基于大數(shù)據(jù)分析和威脅情報(bào)技術(shù)，對(duì)被保險(xiǎn)人進(jìn)行快速的安全風(fēng)險(xiǎn)評(píng)估。

安全評(píng)級(jí)一般通過(guò)非侵入式的手段收集數(shù)據(jù)，對(duì)這些數(shù)據(jù)加以分析，從網(wǎng)絡(luò)安全、應(yīng)用安全、數(shù)據(jù)安

全、證書安全等多種維度，通過(guò)安全評(píng)級(jí)方法自動(dòng)化對(duì)安全風(fēng)險(xiǎn)進(jìn)行評(píng)級(jí)。安全評(píng)級(jí)能夠快速、定量

評(píng)估被保險(xiǎn)人網(wǎng)絡(luò)安全風(fēng)險(xiǎn)狀況，便于保險(xiǎn)人進(jìn)行風(fēng)險(xiǎn)篩選和核保。

6.2.3.3.3行業(yè)風(fēng)險(xiǎn)水平分析

行業(yè)風(fēng)險(xiǎn)水平分析采用統(tǒng)計(jì)方法，對(duì)不同行業(yè)、不同規(guī)模樣本企業(yè)進(jìn)行安全評(píng)級(jí)分析，結(jié)合行業(yè)

風(fēng)險(xiǎn)數(shù)據(jù)，評(píng)估行業(yè)風(fēng)險(xiǎn)水平。行業(yè)風(fēng)險(xiǎn)水平分析可采用風(fēng)險(xiǎn)象限圖或行業(yè)風(fēng)險(xiǎn)地圖等形式，從行業(yè)、

規(guī)模維度進(jìn)行行業(yè)風(fēng)險(xiǎn)水平劃分。行業(yè)風(fēng)險(xiǎn)水平分析結(jié)果可以作為核保和定價(jià)參考因素。

6.2.3.3.4風(fēng)險(xiǎn)量化分析

在風(fēng)險(xiǎn)識(shí)別的基礎(chǔ)上，對(duì)所建立的風(fēng)險(xiǎn)場(chǎng)景進(jìn)行風(fēng)險(xiǎn)分析和計(jì)算。風(fēng)險(xiǎn)量化分析以貨幣化數(shù)值的

形式衡量風(fēng)險(xiǎn)大小。

9

GB/TXXXXX—XXXX

風(fēng)險(xiǎn)量化分析對(duì)構(gòu)成風(fēng)險(xiǎn)場(chǎng)景的要素和損失進(jìn)行賦值，通過(guò)量化分析模型分析各風(fēng)險(xiǎn)場(chǎng)景發(fā)生的

概率和損失大小，計(jì)算各場(chǎng)景的風(fēng)險(xiǎn)值，再對(duì)各風(fēng)險(xiǎn)場(chǎng)景聚合計(jì)算整體風(fēng)險(xiǎn)值。一種基于風(fēng)險(xiǎn)場(chǎng)景的

風(fēng)險(xiǎn)計(jì)算示例見(jiàn)附錄E。風(fēng)險(xiǎn)量化分析結(jié)果可用于保險(xiǎn)核保和定價(jià)。

6.2.3.4風(fēng)險(xiǎn)評(píng)價(jià)

風(fēng)險(xiǎn)評(píng)價(jià)是對(duì)風(fēng)險(xiǎn)分析的結(jié)果進(jìn)行等級(jí)化、排序、統(tǒng)計(jì)等處理，以便應(yīng)用于保險(xiǎn)核保和定價(jià)。風(fēng)

險(xiǎn)評(píng)價(jià)包括但不限于下列方式：

a)等級(jí)化處理：對(duì)風(fēng)險(xiǎn)分析結(jié)果按照數(shù)值大小劃分等級(jí)，為保險(xiǎn)人根據(jù)風(fēng)險(xiǎn)等級(jí)進(jìn)行核保時(shí)提

供參考；

b)風(fēng)險(xiǎn)大小排列處理：對(duì)風(fēng)險(xiǎn)分析結(jié)果按照數(shù)值大小進(jìn)行排列，通常根據(jù)風(fēng)險(xiǎn)場(chǎng)景的量化分析

結(jié)果進(jìn)行排列，保險(xiǎn)人根據(jù)結(jié)果確定主要風(fēng)險(xiǎn)場(chǎng)景的風(fēng)險(xiǎn)大小，為不同場(chǎng)景下?lián)p失賠償限額

提供參考；

c)統(tǒng)計(jì)分析：對(duì)風(fēng)險(xiǎn)量化分析結(jié)果進(jìn)行統(tǒng)計(jì)分析，如損失的概率分布和損失大小百分位統(tǒng)計(jì)等，

為保險(xiǎn)人確定保障限額和保費(fèi)提供參考。

6.3保險(xiǎn)核保與定價(jià)

保險(xiǎn)人根據(jù)風(fēng)險(xiǎn)評(píng)估結(jié)果開(kāi)展保險(xiǎn)核保與定價(jià)，判斷是否承保相關(guān)風(fēng)險(xiǎn)并確定保費(fèi)及保障限額。

保險(xiǎn)人自身風(fēng)險(xiǎn)偏好、網(wǎng)絡(luò)安全能力、網(wǎng)絡(luò)安全評(píng)級(jí)以及行業(yè)風(fēng)險(xiǎn)水平等評(píng)估結(jié)果可以作為保險(xiǎn)人核

保和定價(jià)的重要參考。

7保險(xiǎn)期間風(fēng)險(xiǎn)控制

7.1日常風(fēng)險(xiǎn)管理

保險(xiǎn)期內(nèi)，被保險(xiǎn)人開(kāi)展日常風(fēng)險(xiǎn)管理，維護(hù)保險(xiǎn)標(biāo)的安全。被保險(xiǎn)人通過(guò)風(fēng)險(xiǎn)管理技術(shù)手段及

時(shí)了解保險(xiǎn)標(biāo)的的風(fēng)險(xiǎn)變化情況，及時(shí)發(fā)現(xiàn)新增風(fēng)險(xiǎn)并進(jìn)行處置。

被保險(xiǎn)人在業(yè)務(wù)系統(tǒng)發(fā)生變更、信息系統(tǒng)更新，系統(tǒng)出現(xiàn)重大安全漏洞等情況時(shí)，需要及時(shí)關(guān)注

風(fēng)險(xiǎn)變化情況，通過(guò)日常風(fēng)險(xiǎn)管理手段控制風(fēng)險(xiǎn)。如果被保險(xiǎn)人未履行其對(duì)保險(xiǎn)標(biāo)的的安全義務(wù)，保

險(xiǎn)人可以拒絕承擔(dān)賠償責(zé)任。

被保險(xiǎn)人可以自主開(kāi)展日常風(fēng)險(xiǎn)管理，也可以委托保險(xiǎn)人或服務(wù)方。

7.2保險(xiǎn)人風(fēng)險(xiǎn)控制

保險(xiǎn)人主動(dòng)開(kāi)展風(fēng)險(xiǎn)監(jiān)測(cè)和預(yù)防管理等風(fēng)險(xiǎn)控制活動(dòng)。保險(xiǎn)人風(fēng)險(xiǎn)控制能夠協(xié)助被保險(xiǎn)人控制或

管理風(fēng)險(xiǎn)，維護(hù)保險(xiǎn)標(biāo)的安全，對(duì)于損失預(yù)防和減損有積極作用。具體包括但不限于下列內(nèi)容：

a)識(shí)別風(fēng)險(xiǎn)變化：通過(guò)風(fēng)險(xiǎn)監(jiān)測(cè)等技術(shù)手段持續(xù)跟蹤保險(xiǎn)標(biāo)的風(fēng)險(xiǎn)狀況，識(shí)別新增風(fēng)險(xiǎn)或顯著

變化的風(fēng)險(xiǎn)；

b)風(fēng)險(xiǎn)預(yù)警和通告：對(duì)新增風(fēng)險(xiǎn)、顯著變化的風(fēng)險(xiǎn)等情況進(jìn)行預(yù)警，及時(shí)通知被保險(xiǎn)人進(jìn)行應(yīng)

急處置；

c)風(fēng)險(xiǎn)預(yù)防管理：為被保險(xiǎn)人提供風(fēng)險(xiǎn)管理咨詢、風(fēng)險(xiǎn)排查等服務(wù)，協(xié)助被保險(xiǎn)人開(kāi)展風(fēng)險(xiǎn)預(yù)

防管理活動(dòng)。

保險(xiǎn)人可委托專業(yè)服務(wù)方也可自行開(kāi)展風(fēng)險(xiǎn)控制活動(dòng)。

10

GB/TXXXXX—XXXX

7.3實(shí)施風(fēng)險(xiǎn)控制

7.3.1風(fēng)險(xiǎn)監(jiān)測(cè)

7.3.1.1監(jiān)測(cè)對(duì)象

風(fēng)險(xiǎn)監(jiān)測(cè)對(duì)象包括保險(xiǎn)標(biāo)的相關(guān)的資產(chǎn)，以及其他對(duì)保險(xiǎn)標(biāo)的風(fēng)險(xiǎn)產(chǎn)生較大影響的資產(chǎn)，如供應(yīng)

商和云租戶資產(chǎn)等，供應(yīng)商或云租戶發(fā)生安全事件也可能導(dǎo)致被保險(xiǎn)人的損失。

7.3.1.2監(jiān)測(cè)內(nèi)容

風(fēng)險(xiǎn)監(jiān)測(cè)內(nèi)容主要是影響保險(xiǎn)標(biāo)的風(fēng)險(xiǎn)變化的因素，包括但不限于以下內(nèi)容：

a)資產(chǎn)：信息系統(tǒng)的重大變更，新系統(tǒng)的部署和運(yùn)行等；

b)威脅：新的攻擊方法或漏洞利用手段等；

c)脆弱性：新發(fā)現(xiàn)的重大漏洞或配置不當(dāng)?shù)龋?/p>

d)暴露面：人員信息、郵箱、代碼等在互聯(lián)網(wǎng)的暴露情況等；

e)行業(yè)風(fēng)險(xiǎn)態(tài)勢(shì)：行業(yè)重大安全事件，行業(yè)相關(guān)重大漏洞等；

f)其他可能導(dǎo)致風(fēng)險(xiǎn)變化的情況。

實(shí)施風(fēng)險(xiǎn)監(jiān)測(cè)的保險(xiǎn)人或服務(wù)方可以與被保險(xiǎn)人協(xié)商風(fēng)險(xiǎn)監(jiān)測(cè)內(nèi)容，以滿足風(fēng)險(xiǎn)控制需要。

7.3.1.3監(jiān)測(cè)方法

風(fēng)險(xiǎn)監(jiān)測(cè)一般采用不影響被保險(xiǎn)人信息系統(tǒng)及業(yè)務(wù)運(yùn)行的方式進(jìn)行，通常利用威脅情報(bào)分析、資

產(chǎn)探測(cè)、脆弱性掃描、行業(yè)信息收集等技術(shù)手段，結(jié)合風(fēng)險(xiǎn)分析方法和大數(shù)據(jù)分析技術(shù)，及時(shí)分析發(fā)

現(xiàn)潛在風(fēng)險(xiǎn)變化情況。

7.3.2風(fēng)險(xiǎn)預(yù)防管理

風(fēng)險(xiǎn)預(yù)防管理是為預(yù)防風(fēng)險(xiǎn)發(fā)生以降低潛在損失所采取的安全活動(dòng)，如釣魚郵件測(cè)試、安全意識(shí)

培訓(xùn)、滲透測(cè)試、漏洞掃描等。服務(wù)方式可采用遠(yuǎn)程非聯(lián)機(jī)或現(xiàn)場(chǎng)服務(wù)方式。服務(wù)方需確保服務(wù)人員、

過(guò)程和工具的安全可控。

7.3.3信息共享

被保險(xiǎn)人通過(guò)信息共享方式向保險(xiǎn)人或服務(wù)方提供與風(fēng)險(xiǎn)變化相關(guān)信息，包括但不限于以下內(nèi)容：

a)被保險(xiǎn)人在保險(xiǎn)期內(nèi)所做的網(wǎng)絡(luò)安全服務(wù)；

b)被保險(xiǎn)人重大的系統(tǒng)變更、更新和維護(hù)信息；

c)被保險(xiǎn)人供應(yīng)鏈服務(wù)或系統(tǒng)的重大變更；

d)被保險(xiǎn)人業(yè)務(wù)范圍、組織架構(gòu)、網(wǎng)絡(luò)拓?fù)涞戎卮笞兏?/p>

e)其他可能影響被保險(xiǎn)人網(wǎng)絡(luò)安全風(fēng)險(xiǎn)狀況變化的信息。

共享信息嚴(yán)格用于風(fēng)險(xiǎn)控制活動(dòng)中，保險(xiǎn)人和服務(wù)方需確保信息的安全。

8出險(xiǎn)后事件評(píng)估

8.1應(yīng)急響應(yīng)與索賠

被保險(xiǎn)人出險(xiǎn)后及時(shí)開(kāi)展應(yīng)急響應(yīng)工作抑制網(wǎng)絡(luò)安全事件的影響，降低損失。在約定的時(shí)間內(nèi)向

保險(xiǎn)人提出賠償請(qǐng)求。具體包括：

a)開(kāi)展應(yīng)急響應(yīng)：及時(shí)開(kāi)展應(yīng)急響應(yīng)工作，降低事件所造成的損失，并分析事件原因和影響；

11

GB/TXXXXX—XXXX

b)提出賠償請(qǐng)求：在約定時(shí)間內(nèi)向保險(xiǎn)人通知網(wǎng)絡(luò)安全事件的信息，提出賠償請(qǐng)求；

c)配合保險(xiǎn)人理賠：配合保險(xiǎn)人進(jìn)行事件評(píng)估，提供應(yīng)急響應(yīng)工作說(shuō)明或日志等信息。

被保險(xiǎn)人在投保前與保險(xiǎn)人溝通明確理賠流程，包括約定的時(shí)間和其他需要提供的信息。被保險(xiǎn)

人可自行開(kāi)展上述工作，也可委托服務(wù)方。

8.2實(shí)施事件評(píng)估

8.2.1安全事件鑒定

保險(xiǎn)人針對(duì)被保險(xiǎn)人報(bào)告的網(wǎng)絡(luò)安全事件進(jìn)行事故鑒定，包括對(duì)事件進(jìn)行溯源分析以及調(diào)查取證

分析等，并出具事故鑒定報(bào)告。保險(xiǎn)人根據(jù)事件鑒定結(jié)果判定保險(xiǎn)責(zé)任和損失。

事故鑒定報(bào)告的內(nèi)容包括但不限于：

a)事件發(fā)生的時(shí)間：確定網(wǎng)絡(luò)安全事件發(fā)生的時(shí)間是否在網(wǎng)絡(luò)安全保險(xiǎn)合同有效期內(nèi)；

b)事件發(fā)生的地點(diǎn)：確定網(wǎng)絡(luò)安全事件發(fā)生的地點(diǎn)是否在網(wǎng)絡(luò)安全保險(xiǎn)合同規(guī)定的范圍內(nèi)；

c)事件發(fā)生的原因：確定網(wǎng)絡(luò)安全事件發(fā)生的原因，并分析是否在網(wǎng)絡(luò)安全保險(xiǎn)合同規(guī)定的保

障范圍內(nèi)；

d)事件分類，參照GB/T20986—2023的網(wǎng)絡(luò)安全事件分類；

e)事件定級(jí)，參照GB/T20986—2023的網(wǎng)絡(luò)安全事件分級(jí)；

f)事件發(fā)生后的應(yīng)急響應(yīng)及事件處置的情況；

g)事件相關(guān)安全防護(hù)措施的有效性；

h)事件對(duì)被保險(xiǎn)人造成的影響評(píng)估；

i)其他網(wǎng)絡(luò)安全事件信息。

當(dāng)保險(xiǎn)事故存在多個(gè)原因時(shí)，保險(xiǎn)人根據(jù)近因原則確定保險(xiǎn)事故原因，也即造成損失最直接、最

有效，起主導(dǎo)作用的原因。保險(xiǎn)人承擔(dān)賠償責(zé)任的范圍限于近因造成的損失。因此在事故鑒定中，需

要對(duì)網(wǎng)絡(luò)安全事件的威脅源、攻擊方法、攻擊路徑等進(jìn)行分析，協(xié)助保險(xiǎn)人判斷并確定事件產(chǎn)生的直

接原因，以支持保險(xiǎn)人做出合理的理賠決策。若存在人為故意原因?qū)е戮W(wǎng)絡(luò)安全事件，保險(xiǎn)人可根據(jù)

除外責(zé)任拒絕理賠。

8.2.2損失調(diào)查分析

損失調(diào)查分析是通過(guò)技術(shù)手段收集安全事件對(duì)被保險(xiǎn)人造成影響的證據(jù)，以支持保險(xiǎn)人進(jìn)行損失

評(píng)估，確定賠償金額。損失調(diào)查分析根據(jù)網(wǎng)絡(luò)安全事件分析損失的原因，與該事件相關(guān)的損失和損失

程度，并排查不在網(wǎng)絡(luò)安全保險(xiǎn)保障范圍內(nèi)的損失。

損失調(diào)查分析的內(nèi)容包括但不限于：

a)安全事件造成的損失：與網(wǎng)絡(luò)安全事件相關(guān)的所有類型的損失，如因系統(tǒng)宕機(jī)造成業(yè)務(wù)無(wú)法

開(kāi)展所導(dǎo)致的經(jīng)營(yíng)損失，以及所付出的修復(fù)成本等；

b)安全事件造成的損失原因：分析與網(wǎng)絡(luò)安全事件相關(guān)聯(lián)的損失，排查不相關(guān)的損失；

c)損失程度：調(diào)查并收集與損失程度相關(guān)的信息和證據(jù)，如緩釋和控制風(fēng)險(xiǎn)的費(fèi)用支出證明和

相關(guān)工作文件；開(kāi)展應(yīng)急響應(yīng)相關(guān)的工作文件和費(fèi)用支出的證明等。

保險(xiǎn)人在賠付被保險(xiǎn)人因網(wǎng)絡(luò)安全事件導(dǎo)致的損失后取得追償權(quán)，通過(guò)網(wǎng)絡(luò)安全事件溯源分析、

調(diào)查取證等，確定網(wǎng)絡(luò)安全事件的責(zé)任主體，保留日志等相關(guān)證據(jù)，保險(xiǎn)人可以向其追討賠償。例如

由于競(jìng)爭(zhēng)對(duì)手對(duì)被保險(xiǎn)人發(fā)起網(wǎng)絡(luò)攻擊造成營(yíng)業(yè)中斷損失，保險(xiǎn)人則可以向其競(jìng)爭(zhēng)對(duì)手追討賠償。

12

GB/TXXXXX—XXXX

8.3保險(xiǎn)理賠

保險(xiǎn)人在理賠中主要確定事件責(zé)任是否屬于保險(xiǎn)保障范圍，并評(píng)估損失金額及確定賠付金額。保

險(xiǎn)人依據(jù)事件評(píng)估結(jié)果進(jìn)行理賠決策。

保險(xiǎn)人在理賠中可提供相關(guān)服務(wù)，如應(yīng)急響應(yīng)支持、法律支持或公共關(guān)系管理等，協(xié)助被保險(xiǎn)人

開(kāi)展應(yīng)急響應(yīng)工作，降低事件影響。保險(xiǎn)人可自行開(kāi)展也可以委托服務(wù)方開(kāi)展保險(xiǎn)理賠中的相關(guān)工作。

13

GB/TXXXXX—XXXX

附錄A

（資料性）

網(wǎng)絡(luò)安全保險(xiǎn)需求及應(yīng)用場(chǎng)景

A.1網(wǎng)絡(luò)安全保險(xiǎn)需求分析

網(wǎng)絡(luò)安全保險(xiǎn)需求包括：

a)完善風(fēng)險(xiǎn)管理體系需要

網(wǎng)絡(luò)安全風(fēng)險(xiǎn)不能完全消除，網(wǎng)絡(luò)安全保險(xiǎn)是完善風(fēng)險(xiǎn)管理體系的必要措施，能夠幫助企業(yè)建立

風(fēng)險(xiǎn)管理閉環(huán)，優(yōu)化資源配置，降低總體成本。企業(yè)在實(shí)施風(fēng)險(xiǎn)管理活動(dòng)中，根據(jù)風(fēng)險(xiǎn)評(píng)估結(jié)果，制

定風(fēng)險(xiǎn)轉(zhuǎn)移策略，明確適合通過(guò)保險(xiǎn)轉(zhuǎn)移的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，形成網(wǎng)絡(luò)安全保險(xiǎn)投保需求。

將網(wǎng)絡(luò)安全保險(xiǎn)納入企業(yè)風(fēng)險(xiǎn)管理策略，完善風(fēng)險(xiǎn)管理體系，是網(wǎng)絡(luò)安全保險(xiǎn)主要需求之一，也

是網(wǎng)絡(luò)安全保險(xiǎn)應(yīng)用的主要目的。對(duì)于風(fēng)險(xiǎn)管理意識(shí)強(qiáng)，風(fēng)險(xiǎn)防范措施完善的中大型企業(yè)，通?？紤]

網(wǎng)絡(luò)安全保險(xiǎn)來(lái)進(jìn)一步增強(qiáng)自身的風(fēng)險(xiǎn)防范能力。

b)補(bǔ)充網(wǎng)絡(luò)安全建設(shè)需要

網(wǎng)絡(luò)安全事件一方面給企業(yè)造成直接經(jīng)濟(jì)損失，如重要系統(tǒng)中斷造成營(yíng)業(yè)收入損失；另一方面企

業(yè)投入應(yīng)急處置、恢復(fù)經(jīng)營(yíng)、應(yīng)對(duì)調(diào)查、處理賠償和解決法律訴訟案件時(shí)會(huì)產(chǎn)生高額費(fèi)用。對(duì)于安全

建設(shè)投入相對(duì)有限的中小型企業(yè)而言，一次嚴(yán)重的網(wǎng)絡(luò)安全事件造成的損失可能導(dǎo)致企業(yè)生存危機(jī)或

倒閉。在網(wǎng)絡(luò)安全建設(shè)投入相對(duì)有限時(shí)，中小型企業(yè)可以通過(guò)網(wǎng)絡(luò)安全保險(xiǎn)來(lái)補(bǔ)充或輔助網(wǎng)絡(luò)安全建

設(shè)，防范較為嚴(yán)重的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。同時(shí)，在保險(xiǎn)期間，中小企業(yè)通過(guò)保險(xiǎn)公司提供的風(fēng)險(xiǎn)管理相關(guān)

服務(wù)，獲得一定的風(fēng)險(xiǎn)監(jiān)測(cè)和預(yù)警的能力，輔助自身的安全建設(shè)，形成相對(duì)完善且低成本的風(fēng)險(xiǎn)管理

解決方案。

因此對(duì)于網(wǎng)絡(luò)安全建設(shè)能力不足或投入相對(duì)有限的中小型企業(yè)，可通過(guò)網(wǎng)絡(luò)安全保險(xiǎn)補(bǔ)充或輔助

建立低成本的風(fēng)險(xiǎn)防范能力，當(dāng)發(fā)生較嚴(yán)重的網(wǎng)絡(luò)安全事件時(shí)提供風(fēng)險(xiǎn)保障，降低損失。

c)滿足合同約定需求

當(dāng)企業(yè)對(duì)外提供產(chǎn)品或服務(wù)時(shí)，采購(gòu)方在合同中基于保障自身風(fēng)險(xiǎn)管控的需要，明確要求服務(wù)或

產(chǎn)品提供方購(gòu)買網(wǎng)絡(luò)安全保險(xiǎn)，此時(shí)服務(wù)方為滿足合同約定要求，需要購(gòu)買網(wǎng)絡(luò)安全保險(xiǎn)。通常在電

商服務(wù)平臺(tái)、數(shù)據(jù)產(chǎn)品或服務(wù)提供方等類型企業(yè)在對(duì)其他用戶提供產(chǎn)品或服務(wù)時(shí)，會(huì)存在合同約定的

保險(xiǎn)需求。

對(duì)于具有大量供應(yīng)商的大型制造業(yè)企業(yè)，由于供應(yīng)鏈引入的安全風(fēng)險(xiǎn)往往對(duì)于企業(yè)自身造成較大

的風(fēng)險(xiǎn)管理成本，因此企業(yè)出于自身風(fēng)險(xiǎn)管控的需要，將網(wǎng)絡(luò)安全保險(xiǎn)作為供應(yīng)鏈準(zhǔn)入的要求之一。

一旦因供應(yīng)鏈安全風(fēng)險(xiǎn)導(dǎo)致企業(yè)自身的損失和影響，企業(yè)可以向供應(yīng)鏈企業(yè)索賠，此時(shí)供應(yīng)鏈企業(yè)所

購(gòu)買的網(wǎng)絡(luò)安全保險(xiǎn)將覆蓋該賠償損失，從而降低了系統(tǒng)性風(fēng)險(xiǎn)。

d)為網(wǎng)絡(luò)安全產(chǎn)品提高信譽(yù)保障

網(wǎng)絡(luò)安全企業(yè)為用戶提供網(wǎng)絡(luò)安全產(chǎn)品或解決方案的同時(shí)，為網(wǎng)絡(luò)安全產(chǎn)品投保網(wǎng)絡(luò)安全保險(xiǎn)，

當(dāng)用戶因產(chǎn)品防護(hù)不當(dāng)發(fā)生網(wǎng)絡(luò)安全事件所造成損失，可以由網(wǎng)絡(luò)安全保險(xiǎn)賠償。網(wǎng)絡(luò)安全企業(yè)通過(guò)

為產(chǎn)品購(gòu)買網(wǎng)絡(luò)安全保險(xiǎn)的方式，為使用產(chǎn)品的用戶提供了額外的風(fēng)險(xiǎn)保障能力，從而增強(qiáng)了用戶使

用安全產(chǎn)品的信心，提高了安全產(chǎn)品競(jìng)爭(zhēng)力。

目前典型的面向網(wǎng)絡(luò)安全產(chǎn)品的保險(xiǎn)包括針對(duì)勒索軟件防護(hù)的產(chǎn)品和針對(duì)DDOS攻擊的防護(hù)產(chǎn)品等，

如勒索軟件安全防護(hù)保險(xiǎn)，保障使用防勒索軟件產(chǎn)品的用戶在在遭受勒索軟件攻擊時(shí)，產(chǎn)生的應(yīng)急響

應(yīng)費(fèi)用或處置費(fèi)用等；DDOS攻擊損失補(bǔ)償保險(xiǎn)，則主要保障采用抗DDOS產(chǎn)品的用戶遭到DDoS攻擊而產(chǎn)

生的營(yíng)業(yè)中斷損失和為減少營(yíng)業(yè)中斷而產(chǎn)生的抗DDOS攻擊的額外費(fèi)用。

14

GB/TXXXXX—XXXX

A.2網(wǎng)絡(luò)安全保險(xiǎn)必要性

網(wǎng)絡(luò)安全保險(xiǎn)作為企業(yè)數(shù)字化過(guò)程中防范風(fēng)險(xiǎn)損失的有效手段，其損失補(bǔ)償功能和防災(zāi)減損作用

有助于降低企業(yè)數(shù)字化進(jìn)程中的安全風(fēng)險(xiǎn)，進(jìn)一步健全企業(yè)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理體系，優(yōu)化資源配置，

降低總體成本，保障企業(yè)網(wǎng)絡(luò)信息安全。當(dāng)前我國(guó)處于數(shù)字經(jīng)濟(jì)高速發(fā)展時(shí)期，網(wǎng)絡(luò)安全保險(xiǎn)對(duì)于保

障經(jīng)濟(jì)發(fā)展、維護(hù)社會(huì)穩(wěn)定，防范數(shù)字經(jīng)濟(jì)風(fēng)險(xiǎn)，具有重要意義：

a)幫助企業(yè)建立全面的網(wǎng)絡(luò)風(fēng)險(xiǎn)管理體系，提高社會(huì)整體風(fēng)險(xiǎn)管理意識(shí)和風(fēng)險(xiǎn)防范能力

網(wǎng)絡(luò)安全保險(xiǎn)的產(chǎn)業(yè)化發(fā)展不僅有助于企業(yè)構(gòu)建完整的風(fēng)險(xiǎn)管理閉環(huán)，同時(shí)，在網(wǎng)絡(luò)安全保險(xiǎn)應(yīng)

用中，不論從投保企業(yè)制定風(fēng)險(xiǎn)轉(zhuǎn)移策略，還是保險(xiǎn)機(jī)構(gòu)開(kāi)展的風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)控制服務(wù)，均會(huì)對(duì)企

業(yè)整體風(fēng)險(xiǎn)管理意識(shí)和風(fēng)險(xiǎn)管理能力的提升有極大促進(jìn)作用，從而提高社會(huì)整體風(fēng)險(xiǎn)防范能力。

b)網(wǎng)絡(luò)安全保險(xiǎn)對(duì)于風(fēng)險(xiǎn)管理的專業(yè)性能夠提高企業(yè)經(jīng)營(yíng)效率，優(yōu)化社會(huì)資源配置

網(wǎng)絡(luò)安全保險(xiǎn)作為財(cái)產(chǎn)險(xiǎn)的一種也具備傳統(tǒng)保險(xiǎn)對(duì)于風(fēng)險(xiǎn)管理和成本管理的專業(yè)能力，包括人才、

技術(shù)、數(shù)據(jù)以及資本等方面，能夠?yàn)槠髽I(yè)提供全面的網(wǎng)絡(luò)風(fēng)險(xiǎn)應(yīng)對(duì)方案，保護(hù)核心資產(chǎn)并優(yōu)化資源配

置，幫助企業(yè)在最優(yōu)成本下最大程度防范安全風(fēng)險(xiǎn)，確保企業(yè)經(jīng)營(yíng)效率的最大化。

c)促進(jìn)網(wǎng)絡(luò)安全新業(yè)態(tài)發(fā)展，提高社會(huì)整體網(wǎng)絡(luò)安全治理能力

網(wǎng)絡(luò)安全保險(xiǎn)需求的多樣化和網(wǎng)絡(luò)安全保險(xiǎn)+安全服務(wù)的創(chuàng)新模式，能夠激活網(wǎng)絡(luò)安全產(chǎn)業(yè)，形成

新的網(wǎng)絡(luò)安全產(chǎn)業(yè)生態(tài)和安全服務(wù)模式，擴(kuò)大網(wǎng)絡(luò)安全市場(chǎng)規(guī)模。通過(guò)網(wǎng)絡(luò)安全保險(xiǎn)市場(chǎng)的發(fā)展，企

業(yè)、安全廠商、服務(wù)商和保險(xiǎn)機(jī)構(gòu)參與到產(chǎn)業(yè)鏈中，在增強(qiáng)企業(yè)防范網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的同時(shí)，提高網(wǎng)絡(luò)

安全產(chǎn)業(yè)融合發(fā)展能力，也將整體提升社會(huì)網(wǎng)絡(luò)安全治理能力。

A.3網(wǎng)絡(luò)安全保險(xiǎn)應(yīng)用場(chǎng)景及示例

a)企業(yè)根據(jù)風(fēng)險(xiǎn)管理要求為自身或特定重要業(yè)務(wù)系統(tǒng)購(gòu)買網(wǎng)絡(luò)安全保險(xiǎn)

企業(yè)根據(jù)自身風(fēng)險(xiǎn)管理情況、運(yùn)營(yíng)情況、行業(yè)安全風(fēng)險(xiǎn)等因素制定網(wǎng)絡(luò)安全風(fēng)險(xiǎn)轉(zhuǎn)移策略，形成

保險(xiǎn)需求。保險(xiǎn)公司依據(jù)自身風(fēng)險(xiǎn)偏好、法律規(guī)定、市場(chǎng)慣例等因素為企業(yè)提供多種類型保險(xiǎn)產(chǎn)品以

滿足企業(yè)需求。企業(yè)可根據(jù)不同保險(xiǎn)產(chǎn)品之間的差異性以選擇最佳網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理策略。下面列舉

了該應(yīng)用場(chǎng)景下典型網(wǎng)絡(luò)安全相關(guān)保險(xiǎn)產(chǎn)品和示例：

表A.1典型網(wǎng)絡(luò)安全相關(guān)保險(xiǎn)產(chǎn)品和示例

保險(xiǎn)產(chǎn)品類型保險(xiǎn)保障范圍投保人被保險(xiǎn)人

網(wǎng)絡(luò)安全財(cái)產(chǎn)損失保險(xiǎn)主要承保被保險(xiǎn)人因網(wǎng)

絡(luò)安全事件導(dǎo)致的直接

經(jīng)濟(jì)損失，一般稱為

“第一方損失”

投保人同時(shí)作為被保險(xiǎn)人；或

網(wǎng)絡(luò)安全責(zé)任保險(xiǎn)主要承保投保方因網(wǎng)絡(luò)

投保人自身及其相關(guān)聯(lián)公司作為共同

安全事件引發(fā)的對(duì)第三

被保險(xiǎn)人（被保險(xiǎn)人不限制數(shù)量，在

方（受影響個(gè)人或機(jī)

單獨(dú)法人單位保險(xiǎn)單列明即可）；或

構(gòu)）的法定賠償責(zé)任，

投保人相關(guān)聯(lián)公司作為被保險(xiǎn)人（被

一般稱為“第三者責(zé)

保險(xiǎn)人不限制數(shù)量，在保險(xiǎn)單列明即

任”

可）

網(wǎng)絡(luò)安全綜合險(xiǎn)可同時(shí)承保被保險(xiǎn)人因

網(wǎng)絡(luò)安全事件導(dǎo)致的第

一方損失以及第三者責(zé)

任

b)企業(yè)為安全產(chǎn)品投保保障使用該產(chǎn)品的用戶

網(wǎng)絡(luò)安全企業(yè)為提高自身安全產(chǎn)品的信譽(yù)和競(jìng)爭(zhēng)力，通過(guò)為產(chǎn)品購(gòu)買網(wǎng)絡(luò)安全保險(xiǎn)的方式，為使

用產(chǎn)品的用戶提供了風(fēng)險(xiǎn)保障能力。典型可投保的網(wǎng)絡(luò)安全產(chǎn)品包括防勒索產(chǎn)品、DDoS攻擊解決方案、

數(shù)據(jù)防泄露產(chǎn)品等，網(wǎng)絡(luò)安全公司將保險(xiǎn)作為產(chǎn)品附帶的風(fēng)險(xiǎn)保障手段，為使用產(chǎn)品的用戶提供安全

15

GB/TXXXXX—XXXX

服務(wù)的同時(shí)，針對(duì)用戶可能發(fā)生的網(wǎng)絡(luò)勒索損失、營(yíng)業(yè)中斷損失、應(yīng)急響應(yīng)費(fèi)用、數(shù)據(jù)安全責(zé)任等提

供損失補(bǔ)償。產(chǎn)品示例如下：

表A.2典型保險(xiǎn)產(chǎn)品和示例

安全產(chǎn)品種類保險(xiǎn)產(chǎn)品類型保險(xiǎn)保障范圍投保人被保險(xiǎn)人

保障被保險(xiǎn)人在安裝了經(jīng)

保險(xiǎn)公司評(píng)估認(rèn)可的防勒銷售防勒索軟件的安

防勒索軟件勒索軟件安全索軟件的情況下，仍中勒全服務(wù)公司；或購(gòu)買防勒索軟件的最終

產(chǎn)品防護(hù)保險(xiǎn)索病毒，并由此產(chǎn)生的應(yīng)購(gòu)買防勒索軟件的最企業(yè)用戶

急響應(yīng)費(fèi)用或勒索處置費(fèi)終企業(yè)用戶

用等。

主要保障被保險(xiǎn)人遭到基

銷售抗D產(chǎn)品或解決

礎(chǔ)防護(hù)之上的DDoS攻擊

抗DDoS產(chǎn)品DDoS攻擊損失方案的法人單位；或購(gòu)買抗D產(chǎn)品或解決方

而產(chǎn)生的營(yíng)業(yè)中斷損失和

或解決方案補(bǔ)償保險(xiǎn)購(gòu)買抗D產(chǎn)品或解決案的最終企業(yè)用戶

為減少營(yíng)業(yè)中斷而產(chǎn)生的

方案的最終企業(yè)用戶

抗D費(fèi)用。

16

GB/TXXXXX—XXXX

附錄B

（資料性）

網(wǎng)絡(luò)安全保險(xiǎn)單示例

保險(xiǎn)人為投保人提供網(wǎng)絡(luò)安全保險(xiǎn)保障政策，并在網(wǎng)絡(luò)安全保險(xiǎn)單中注明保險(xiǎn)所涵蓋的網(wǎng)絡(luò)風(fēng)險(xiǎn)

損失類型。該保險(xiǎn)單中列明的保險(xiǎn)保障方案需基于投保人的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估結(jié)果。投保人可選擇獨(dú)

立保單形式，僅針對(duì)事先約定的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)、損失展開(kāi)保險(xiǎn)保障，或選擇復(fù)合保單形式，在已有責(zé)

任險(xiǎn)、財(cái)產(chǎn)險(xiǎn)或其他保險(xiǎn)基礎(chǔ)上針對(duì)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)進(jìn)行擴(kuò)展投保。

網(wǎng)絡(luò)安全保險(xiǎn)單示例如下：

XX保險(xiǎn)公司

網(wǎng)絡(luò)安全保險(xiǎn)單

保險(xiǎn)類型

XXXX網(wǎng)絡(luò)安全保險(xiǎn)

（該處注明本保險(xiǎn)單適用的保險(xiǎn)條款名稱）

保險(xiǎn)人

XXXX保險(xiǎn)公司XXXX分公司

投保人

A公司

被保險(xiǎn)人

A公司

（被保險(xiǎn)人可與投保人不一致，且允許多個(gè)被保險(xiǎn)人在同一張保險(xiǎn)單中進(jìn)行投保）

保險(xiǎn)期限

XX年XX月XX日至XX年XX月XX日

（保險(xiǎn)期間為1年）

責(zé)任限額（購(gòu)買所有保障）

RMBXXXX

保障及分項(xiàng)責(zé)任限額

保險(xiǎn)責(zé)任分項(xiàng)責(zé)任限額

營(yíng)業(yè)中斷損失保單總限額或保險(xiǎn)總限額的XX%

應(yīng)急響應(yīng)費(fèi)用保單總限額或保險(xiǎn)總限額的XX%

網(wǎng)絡(luò)勒索費(fèi)用保單總限額或保險(xiǎn)總限額的XX%

17

GB/TXXXXX—XXXX

數(shù)據(jù)泄露責(zé)任保單總限額或保險(xiǎn)總限額的XX%

網(wǎng)絡(luò)安全責(zé)任保單總限額或保險(xiǎn)總限額的XX%

媒體責(zé)任保單總限額或保險(xiǎn)總限額的XX%

免賠額/等待期

地域范圍及司法管轄

保費(fèi)

特別約定

18

GB/TXXXXX—XXXX

附錄C

（資料性）

網(wǎng)絡(luò)安全保險(xiǎn)其他考慮事項(xiàng)

C.1保險(xiǎn)金額

針對(duì)網(wǎng)絡(luò)安全保險(xiǎn)保障范圍，對(duì)其中的每一項(xiàng)內(nèi)容，投保人或被保險(xiǎn)人需仔細(xì)確定并考慮要獲得

多少保障額度，它也是計(jì)算保險(xiǎn)費(fèi)的依據(jù)。投保人或被保險(xiǎn)人可以獲得的網(wǎng)絡(luò)保險(xiǎn)保障額度取決于其

營(yíng)業(yè)額、行業(yè)、運(yùn)營(yíng)和該項(xiàng)保障范圍的風(fēng)險(xiǎn)大小。

C.2免賠額和等待期

投保人需要了解網(wǎng)絡(luò)安全保險(xiǎn)中的免賠額和等待期，每次事故免賠額（率）和等待期由投保人與

保險(xiǎn)人在簽訂保險(xiǎn)合同時(shí)協(xié)商確定，并在保險(xiǎn)合同中說(shuō)明。

C.3常見(jiàn)除外責(zé)任

網(wǎng)絡(luò)安全保險(xiǎn)并不能覆蓋所有風(fēng)險(xiǎn)情況，投保人在選擇網(wǎng)絡(luò)安全保險(xiǎn)產(chǎn)品時(shí)，需對(duì)保險(xiǎn)條款中的

除外責(zé)任有明確的認(rèn)識(shí)，一般除外責(zé)任包括但不限于：

a)身體傷害和財(cái)產(chǎn)損失除外。網(wǎng)絡(luò)安全事件不涉及對(duì)人的精神損害和直接的物質(zhì)財(cái)產(chǎn)損失，因

此這兩項(xiàng)責(zé)任一般被排除在網(wǎng)絡(luò)保險(xiǎn)保障范圍之外。但保險(xiǎn)人與被保險(xiǎn)人可以在保單中約定

將有法院判決的精神損害納入到保單保障范圍中。

b)網(wǎng)絡(luò)戰(zhàn)爭(zhēng)除外。一般網(wǎng)絡(luò)安全保險(xiǎn)都將因網(wǎng)絡(luò)戰(zhàn)爭(zhēng)導(dǎo)致的損失賠償責(zé)任排除在外，以及針對(duì)

網(wǎng)絡(luò)的恐怖主義行為也被排除在外。

c)不當(dāng)行為除外。被保險(xiǎn)人的不當(dāng)行為包括被保險(xiǎn)人及其雇員所做的任何不誠(chéng)實(shí)、欺詐或故意

的不當(dāng)行為，或其他能夠讓被保險(xiǎn)人得到原本依照法律法規(guī)、被保險(xiǎn)人經(jīng)營(yíng)規(guī)則或其他相關(guān)

規(guī)定不能獲得的利益的行為。

d)違法行為除外。因被保險(xiǎn)人違反法律或法規(guī)要求的行為而引起的網(wǎng)絡(luò)事故損失除外。

e)懲罰責(zé)任除外。由于網(wǎng)絡(luò)安全事件，國(guó)家行政機(jī)關(guān)對(duì)被保險(xiǎn)人的罰金、罰款或懲罰性賠償?shù)?/p>

懲罰責(zé)任不在保單保障范圍內(nèi)。

f)任何基礎(chǔ)設(shè)施故障或供應(yīng)中斷責(zé)任除外。排除因基礎(chǔ)設(shè)施故障而導(dǎo)致的網(wǎng)絡(luò)事件和數(shù)據(jù)泄露

事件，包括但不限于：

?機(jī)械故障，包括但不限于任何計(jì)算機(jī)及周邊設(shè)備有形財(cái)產(chǎn)本身的物理性故障、腐蝕、磨

損或失竊；

?電氣故障，包括但不限于電力或電壓突然升高、過(guò)載、短路等；

?公共供應(yīng)系統(tǒng)故障，包括但不限于供電、供水、供氣中斷等；

?第三方通訊系統(tǒng)、電信系統(tǒng)、衛(wèi)星系統(tǒng)、互聯(lián)網(wǎng)服務(wù)等的中斷或故障；

g)侵犯知識(shí)產(chǎn)權(quán)或商業(yè)秘密責(zé)任除外。被保險(xiǎn)人侵犯知識(shí)產(chǎn)權(quán)或商業(yè)秘密的責(zé)任由其他保險(xiǎn)產(chǎn)

品覆蓋，不在網(wǎng)絡(luò)安全保險(xiǎn)單承保范圍內(nèi)。

h)自然災(zāi)害和不可抗力除外。自然災(zāi)害、不可抗力或超出雙方合理控制范圍的特殊事件或情況，

包括但不限于罷工、暴動(dòng)、犯罪、流行性疾病、突然的法律變化、洪水、地震、滑坡、閃電、

風(fēng)甚至火災(zāi)通常被排除在網(wǎng)絡(luò)安全保險(xiǎn)保單承保范圍之外。

19

GB/TXXXXX—XXXX

附錄D

（資料性）

保險(xiǎn)業(yè)務(wù)活動(dòng)與網(wǎng)絡(luò)安全

與傳統(tǒng)財(cái)產(chǎn)保險(xiǎn)類似，網(wǎng)絡(luò)安全保險(xiǎn)的應(yīng)用通常包括展業(yè)、投保、承保、分保、防災(zāi)、理賠等主

要業(yè)務(wù)活動(dòng)。本附錄對(duì)其中與網(wǎng)絡(luò)安全技術(shù)應(yīng)用相關(guān)的投保、承保、防災(zāi)、理賠等活動(dòng)進(jìn)行簡(jiǎn)要介紹。

a)投保

投保也稱購(gòu)買保險(xiǎn)，投保人可以通過(guò)保險(xiǎn)公司業(yè)務(wù)人員或保險(xiǎn)中介購(gòu)買保險(xiǎn)。投保人有責(zé)任自覺(jué)

增強(qiáng)風(fēng)險(xiǎn)和保險(xiǎn)意識(shí)；同時(shí)，保險(xiǎn)人為投保人提供良好的服務(wù)，使投保人選擇合適的網(wǎng)絡(luò)安全保險(xiǎn)。

網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估是投保過(guò)程中非常重要的環(huán)節(jié)，一方面投保人根據(jù)風(fēng)險(xiǎn)評(píng)估結(jié)果制定風(fēng)險(xiǎn)轉(zhuǎn)移的策

略，形成網(wǎng)絡(luò)安全保險(xiǎn)需求；另一方面保險(xiǎn)人根據(jù)評(píng)估結(jié)果判斷是否可以承保相關(guān)風(fēng)險(xiǎn)，并為投保人

設(shè)計(jì)滿足其需求的保險(xiǎn)方案。一般來(lái)說(shuō)，投保人確定保險(xiǎn)需求的首要原則是“高額損失原則”，即某

一網(wǎng)絡(luò)安全事件發(fā)生的概率不高，但造成的損失較大，應(yīng)優(yōu)先投保；相反，如果網(wǎng)絡(luò)安全事件發(fā)生的

概率很高，但造成的損失并不嚴(yán)重，則更宜采取相應(yīng)的網(wǎng)絡(luò)安全措施降低其風(fēng)險(xiǎn)。

b)承保

承保是指保險(xiǎn)人與投保人雙方通過(guò)協(xié)商，對(duì)保險(xiǎn)合同內(nèi)容達(dá)成一致并簽訂的過(guò)程。通常保險(xiǎn)人對(duì)

投保人的投保需求要進(jìn)行審核，只有符合條件的風(fēng)險(xiǎn)，保險(xiǎn)人才同意承保。通過(guò)承保過(guò)程，保險(xiǎn)人可

以篩選不可保風(fēng)險(xiǎn)或不合格的保險(xiǎn)標(biāo)的，合理分散風(fēng)險(xiǎn)。承保的目的除了保險(xiǎn)人自身風(fēng)險(xiǎn)管理的要求，

同時(shí)也通過(guò)識(shí)別和篩選風(fēng)險(xiǎn)，從而間接促使被保險(xiǎn)人采取有效風(fēng)險(xiǎn)管理措施，以滿足承保要求。因此，

保險(xiǎn)人在承保時(shí)需要評(píng)估保險(xiǎn)標(biāo)的的風(fēng)險(xiǎn)狀況，可能發(fā)生的最大損失等；在承保后，還要定期監(jiān)測(cè)保

險(xiǎn)標(biāo)的的風(fēng)險(xiǎn)是否發(fā)生變化等，如果某個(gè)保險(xiǎn)標(biāo)的的風(fēng)險(xiǎn)顯著增加，保險(xiǎn)人可能需要通過(guò)提高保險(xiǎn)費(fèi)，

或者增加保險(xiǎn)限制條件等方式來(lái)分散自身的風(fēng)險(xiǎn)。

c)防災(zāi)

防災(zāi)是指保險(xiǎn)期間的防災(zāi)防損活動(dòng)，保險(xiǎn)人與投保人對(duì)所承保的保險(xiǎn)標(biāo)的采取措施，減少或消除

風(fēng)險(xiǎn)發(fā)生的因素，防止或減少網(wǎng)絡(luò)安全事件造成的損失。網(wǎng)絡(luò)安全保險(xiǎn)中防災(zāi)防損的對(duì)象是保險(xiǎn)標(biāo)的，

防災(zāi)防損的方法包括法律、經(jīng)濟(jì)、技術(shù)等多種手段。其中法律手段是指投保人如果不加強(qiáng)防災(zāi)措施或

對(duì)于防災(zāi)防損沒(méi)有應(yīng)盡責(zé)任，保險(xiǎn)人可以拒絕承擔(dān)賠償責(zé)任，也可能會(huì)追究其法律責(zé)任；經(jīng)濟(jì)手段則

是指根據(jù)投保人采取的防災(zāi)措施水平來(lái)調(diào)節(jié)保險(xiǎn)費(fèi)率。在網(wǎng)絡(luò)安全保險(xiǎn)中，由于網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的動(dòng)態(tài)

特性，對(duì)保險(xiǎn)標(biāo)的進(jìn)行風(fēng)險(xiǎn)監(jiān)測(cè)和預(yù)防管理是防災(zāi)防損的重要技術(shù)手段。在保險(xiǎn)期內(nèi)，網(wǎng)絡(luò)安全風(fēng)險(xiǎn)

可能因內(nèi)外部環(huán)境變化而發(fā)生變化，保險(xiǎn)人需要開(kāi)展相應(yīng)的風(fēng)險(xiǎn)監(jiān)測(cè)和預(yù)防管理活動(dòng)，及時(shí)了解被保

險(xiǎn)人的風(fēng)險(xiǎn)變化情況，并要求被保險(xiǎn)人采取相應(yīng)控制措施將風(fēng)險(xiǎn)變化控制在合理范圍。

d)理賠

理賠是指保險(xiǎn)人在保險(xiǎn)標(biāo)的發(fā)生網(wǎng)絡(luò)安全事件后，對(duì)被保險(xiǎn)人提出的索賠請(qǐng)求進(jìn)行處理的行為。

在理賠過(guò)程中，由于被保險(xiǎn)人發(fā)生網(wǎng)絡(luò)安全事件所造成的損失可能存在不再承保范圍的情況，而且被

保險(xiǎn)人發(fā)生的損失也可能不等于保險(xiǎn)人的賠償額。所以，在網(wǎng)絡(luò)安全事件發(fā)生后，保險(xiǎn)人對(duì)網(wǎng)絡(luò)安全

事件進(jìn)行調(diào)查，確定損失原因、確定損失程度、認(rèn)定求償權(quán)利，并根據(jù)調(diào)查結(jié)果做出賠償決定，履行

保險(xiǎn)人的賠償和給付保險(xiǎn)金的責(zé)任。

20

GB/TXXXXX—XXXX

附錄E

（資料性）

基于風(fēng)險(xiǎn)場(chǎng)景的量化分析方法

E.1風(fēng)險(xiǎn)場(chǎng)景示例

下面列舉了典型的網(wǎng)絡(luò)安全事件相關(guān)風(fēng)險(xiǎn)場(chǎng)景：

a)網(wǎng)絡(luò)攻擊導(dǎo)致?tīng)I(yíng)業(yè)中斷的風(fēng)險(xiǎn)場(chǎng)景

黑客組織（威脅）利用信息系統(tǒng)訪問(wèn)未進(jìn)行流量控制（脆弱性）的弱點(diǎn)，對(duì)投保人實(shí)施拒絕服務(wù)

攻擊（攻擊方法），造成投保人業(yè)務(wù)系統(tǒng)（資產(chǎn)）無(wú)法正常訪問(wèn)（安全事件），從而給投保人造成營(yíng)

業(yè)中斷的影響（損失）。該風(fēng)險(xiǎn)場(chǎng)景代表了典型的網(wǎng)絡(luò)攻擊事件造成營(yíng)業(yè)中斷的風(fēng)險(xiǎn)。而識(shí)別風(fēng)險(xiǎn)場(chǎng)

景中所涉及的不同要素的組合，能夠建立與網(wǎng)絡(luò)攻擊事件相關(guān)的風(fēng)險(xiǎn)場(chǎng)景，從而能夠評(píng)估網(wǎng)絡(luò)攻擊風(fēng)

險(xiǎn)的大小。

b)惡意程序?qū)е戮W(wǎng)絡(luò)勒索的風(fēng)險(xiǎn)場(chǎng)景

黑客組織（威脅）通過(guò)發(fā)送帶有勒索病毒附件的釣魚郵件（攻擊方法），內(nèi)部人員因安全意識(shí)薄

弱（脆弱性）點(diǎn)擊附件導(dǎo)致終端及內(nèi)部重要系統(tǒng)遭受勒索病毒攻擊（安全事件），導(dǎo)致投保人重要業(yè)

務(wù)系統(tǒng)及運(yùn)行數(shù)據(jù)（資產(chǎn)）被加密，造成投保人的業(yè)務(wù)系統(tǒng)無(wú)法正常訪問(wèn)，影響投保人的正常工作效

率，同時(shí)產(chǎn)生系統(tǒng)恢復(fù)費(fèi)用（損失）。該風(fēng)險(xiǎn)場(chǎng)景代表了典型的惡意程序事件造成的網(wǎng)絡(luò)勒索或業(yè)務(wù)

中斷的風(fēng)險(xiǎn)。識(shí)別風(fēng)險(xiǎn)場(chǎng)景中所涉及的不同要素的組合，能夠建立與惡意程序事件相關(guān)的風(fēng)險(xiǎn)場(chǎng)景，

從而能夠評(píng)估惡意程序風(fēng)險(xiǎn)的大小。

c)數(shù)據(jù)安全事件導(dǎo)致數(shù)據(jù)泄露的風(fēng)險(xiǎn)場(chǎng)景

內(nèi)部運(yùn)維人員（威脅）配置訪問(wèn)控制策略不當(dāng)（脆弱性），導(dǎo)致內(nèi)部普通員工可以訪問(wèn)客戶數(shù)據(jù)

（資產(chǎn)），內(nèi)部員工直接訪問(wèn)并拷貝客戶數(shù)據(jù)（攻擊方法）造成投保人客戶數(shù)據(jù)泄露，導(dǎo)致投保人承

擔(dān)客戶索賠，同時(shí)帶來(lái)聲譽(yù)受損以及相應(yīng)的危機(jī)公關(guān)成本（損失）。該風(fēng)險(xiǎn)場(chǎng)景代表了典型的數(shù)據(jù)安

全事件造成的數(shù)據(jù)泄露的風(fēng)險(xiǎn)。

21

GB/TXXXXX—XXXX

E.2風(fēng)險(xiǎn)量化分析示例

在建立風(fēng)險(xiǎn)場(chǎng)景的基礎(chǔ)上，對(duì)構(gòu)成風(fēng)險(xiǎn)場(chǎng)景的各風(fēng)險(xiǎn)要素進(jìn)行賦值：風(fēng)險(xiǎn)場(chǎng)景S=（威脅、資產(chǎn)、

脆弱性，攻擊方法，安全事件）=（T，A，V，Av，E）。其中資產(chǎn)中包含了作用于其上的相關(guān)控制措

施，用C表示，由于控制措施與具體保護(hù)的資產(chǎn)相關(guān)，所以不直接在風(fēng)險(xiǎn)場(chǎng)景要素組合中顯示。根據(jù)被

保險(xiǎn)人風(fēng)險(xiǎn)識(shí)別的情況，構(gòu)建風(fēng)險(xiǎn)場(chǎng)景集合S=（S1,S2,S3…Sn），然后對(duì)每個(gè)風(fēng)險(xiǎn)場(chǎng)景采用適當(dāng)?shù)挠?jì)

算方法和工具計(jì)算風(fēng)險(xiǎn)量化值Ri，再對(duì)集合中風(fēng)險(xiǎn)場(chǎng)景值進(jìn)行聚合計(jì)算，形成總體風(fēng)險(xiǎn)值R。上述風(fēng)險(xiǎn)

計(jì)算包括以下幾個(gè)過(guò)程：

a)計(jì)算風(fēng)險(xiǎn)場(chǎng)景發(fā)生的可能性

風(fēng)險(xiǎn)場(chǎng)景的發(fā)生代表該風(fēng)險(xiǎn)場(chǎng)景對(duì)應(yīng)的安全事件已實(shí)際造成損失，因此風(fēng)險(xiǎn)場(chǎng)景發(fā)生的可能性也

即造成損失的安全事件發(fā)生的可能性，下面稱為損失事件。在計(jì)算損失事件發(fā)生的可能性時(shí)，首先根

據(jù)該風(fēng)險(xiǎn)場(chǎng)景所對(duì)應(yīng)的威脅，資產(chǎn)，脆弱性，攻擊方法等賦值，計(jì)算威脅事件發(fā)生的可能性，即：

威脅事件發(fā)生的可能性=TP（威脅賦值，資產(chǎn)，脆弱性,攻擊方法）=TP（T，A，V，Av）。在威

脅事件發(fā)生的可能性計(jì)算中，要綜合考慮威脅源實(shí)施攻擊的能力、資產(chǎn)屬性（資產(chǎn)的重要性以及資產(chǎn)

所具有的控制措施）等因素判斷威脅事件發(fā)生的可能性。

再計(jì)算威脅事件轉(zhuǎn)化為損失事件的可能性，即：

轉(zhuǎn)化為損失事件的可能性=P（威脅賦值，控制措施，脆弱性，攻擊方法）=P（T,C,V,Av）。

在轉(zhuǎn)化為損失事件可能性的計(jì)算中，要綜合考慮攻擊者技術(shù)能力（利用該攻擊方法的熟練程度），脆

弱性被該攻擊方法利用的難易程度，以及控制措施對(duì)該攻擊方法的防范能力。

最后計(jì)算損失事件發(fā)生的可能性，即：

損失事件發(fā)生的可能性=L（威脅事件發(fā)生的可能性、轉(zhuǎn)化為損失事件的可能性）=L（TP,P）。

b)計(jì)算風(fēng)險(xiǎn)場(chǎng)景造成的損失

根據(jù)資產(chǎn)價(jià)值，以及安全事件類型和損失類型，計(jì)算損失事件一旦發(fā)生后的損失大小，即：

損失事件造成的損失=F（資產(chǎn)價(jià)值，安全事件）=F（A,E）。其中資產(chǎn)價(jià)值對(duì)損失的程度有影

響，事件類型則決定會(huì)產(chǎn)生哪些類型的損失，并在計(jì)算中將安全事件相關(guān)的所有損失項(xiàng)進(jìn)行累計(jì)。

c)計(jì)算風(fēng)險(xiǎn)場(chǎng)景的風(fēng)險(xiǎn)值

根據(jù)計(jì)算出的損失事件發(fā)生的可能性以及損失事件造成的損失，計(jì)算該風(fēng)險(xiǎn)場(chǎng)景的風(fēng)險(xiǎn)值，即：

風(fēng)險(xiǎn)場(chǎng)景風(fēng)險(xiǎn)值=R（損失事件發(fā)生的可能性，損失事件造成的損失）=R（L（TP,P），F(xiàn)（A,

E））。

d)計(jì)算風(fēng)險(xiǎn)場(chǎng)景聚合值

根據(jù)風(fēng)險(xiǎn)場(chǎng)景的集合，計(jì)算風(fēng)險(xiǎn)場(chǎng)景的聚合值，即：

風(fēng)險(xiǎn)場(chǎng)景聚合值=RA（風(fēng)險(xiǎn)場(chǎng)景1風(fēng)險(xiǎn)值，風(fēng)險(xiǎn)場(chǎng)景2風(fēng)險(xiǎn)值，…風(fēng)險(xiǎn)場(chǎng)景N風(fēng)險(xiǎn)值）=R（R1，

R2，…，Rn）。其中RA表示風(fēng)險(xiǎn)聚合函數(shù)，根據(jù)集合中風(fēng)險(xiǎn)場(chǎng)景之間的關(guān)系確定計(jì)算方法，對(duì)所有評(píng)

估的風(fēng)險(xiǎn)場(chǎng)景的風(fēng)險(xiǎn)聚合結(jié)果反應(yīng)了整體風(fēng)險(xiǎn)大小。

22

GB/TXXXXX—XXXX

參考文獻(xiàn)

[1]GB/T20985.1/2《信息技術(shù)安全技術(shù)信息安全事件管理第1部分：事件管理原理/第2部

分：事件響應(yīng)規(guī)劃和準(zhǔn)備指南》

[2]GB/T22239—2019信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求

[3]GB/Z24364—2009信息安全技術(shù)信息安全風(fēng)險(xiǎn)管理指南

[4]GB/T25069—2022信息安全技術(shù)術(shù)語(yǔ)

[5]GB/T31509—2015信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估實(shí)施指南

[6]GB/T31722—2015信息技術(shù)安全技術(shù)信息安全風(fēng)險(xiǎn)管理

[7]GB/T36635—2018信息安全技術(shù)網(wǎng)絡(luò)安全監(jiān)測(cè)基本要求與實(shí)施指南

[8]GB/T36687—2018保險(xiǎn)術(shù)語(yǔ)

[9]GB/T38645—2020信息安全技術(shù)網(wǎng)絡(luò)安全事件應(yīng)急演練指南

[10]GB/T39204—2022信息安全技術(shù)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)要求

[11]ISO/IEC27002:2013,Informationtechnology—Securitytechniques—Codeof

practiceforinformationsecuritycontrols

[12]ISO/IEC27003:2010,Informationtechnology—Securitytechniques—Information

securitymanagementsystemimplementationguidance

[13]ISO/IEC27004:2016,Informationtechnology—Securitytechniques—Information

securitymanagement—Monitoring,measurement,analysisandevaluation

[14]ISO/IEC27005,Informationtechnology—Securitytechniques—Information

securityriskmanagement

[15]ISO/IEC27102,Informationsecuritymanagement—Guidelinesforcyber-insurance

[16]ISO30301,Informationanddocumentation—Managementsystemsforrecords—

Requirements

[17]ISO31000,Riskmanagement—Principlesandguidelines

[18]ISO/IEC27072,Informationtechnology—Securitytechniques—Guidelinesfor

informationsecur