葉 翔 浙江省網(wǎng)絡(luò)空間安全協(xié)會(huì)

當(dāng)前，以數(shù)字科技為核心的科技變革和產(chǎn)業(yè)密集涌現(xiàn)，數(shù)據(jù)共享力度持續(xù)加大，數(shù)字化應(yīng)用不斷上線，防范化解網(wǎng)絡(luò)安全、數(shù)據(jù)安全風(fēng)險(xiǎn)任務(wù)更加艱巨。開(kāi)展網(wǎng)絡(luò)安全保險(xiǎn)業(yè)務(wù)研究與應(yīng)用探索，對(duì)于提升企業(yè)安全防護(hù)水平，降低網(wǎng)絡(luò)安全社會(huì)總成本投入，建設(shè)監(jiān)管部門(mén)、第三方服務(wù)和企業(yè)等多方協(xié)作風(fēng)險(xiǎn)防控機(jī)制，構(gòu)建防范重大風(fēng)險(xiǎn)防御體系，具有重要作用。

一、網(wǎng)絡(luò)安全保險(xiǎn)的價(jià)值和意義

網(wǎng)絡(luò)安全已經(jīng)成為當(dāng)今社會(huì)最復(fù)雜、最現(xiàn)實(shí)、最直接的風(fēng)險(xiǎn)因素，全面影響經(jīng)濟(jì)發(fā)展和社會(huì)穩(wěn)定。網(wǎng)絡(luò)安全風(fēng)險(xiǎn)治理比傳統(tǒng)安全風(fēng)險(xiǎn)治理更加復(fù)雜，現(xiàn)有治理模式需要進(jìn)一步完善。當(dāng)前，網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)犯罪頻繁發(fā)生，數(shù)量龐大、覆蓋面廣，并存在預(yù)知難、溯源難問(wèn)題，僅靠監(jiān)管部門(mén)、網(wǎng)絡(luò)安全企業(yè)、專(zhuān)業(yè)研究機(jī)構(gòu)很難有效應(yīng)對(duì)。隨著數(shù)字化改革的深入、數(shù)字經(jīng)濟(jì)的發(fā)展，面臨的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)也“水漲船高”，增強(qiáng)全社會(huì)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)防范能力需要長(zhǎng)期、大量、不間斷投入，給社會(huì)運(yùn)轉(zhuǎn)帶來(lái)巨大負(fù)擔(dān)，防范風(fēng)險(xiǎn)的社會(huì)成本極高。

具體來(lái)講，對(duì)于網(wǎng)絡(luò)攻擊，“防患于未然”的成本比事故發(fā)生導(dǎo)致的損失要低得多，企業(yè)通過(guò)購(gòu)買(mǎi)網(wǎng)絡(luò)安全產(chǎn)品，抵御了大部分基礎(chǔ)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，筑起了第一道防線。但仍存在部分用戶(hù)購(gòu)買(mǎi)后，未有效配置和合理使用網(wǎng)絡(luò)安全產(chǎn)品、未能及時(shí)為操作系統(tǒng)和應(yīng)用軟件升級(jí)的情況，這時(shí)候網(wǎng)信和公安部門(mén)強(qiáng)制推行的等級(jí)保護(hù)測(cè)評(píng)工作起到了第二道防線的作用。然而，就像規(guī)范法律并不能完全制止網(wǎng)絡(luò)安全犯罪的發(fā)生一樣，安全手段也無(wú)法確保帶來(lái)100%的安全。有研究表明，持續(xù)增加安全投入，所付出的增量部分，可能高于所挽救的預(yù)期損失。

作為針對(duì)數(shù)字經(jīng)濟(jì)特定風(fēng)險(xiǎn)的新險(xiǎn)種，網(wǎng)絡(luò)安全保險(xiǎn)可以轉(zhuǎn)移殘余風(fēng)險(xiǎn)，成為抵御網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的第三道防線，真正做到100%的安全保障。網(wǎng)絡(luò)安全保險(xiǎn)是以投保人信息資產(chǎn)安全性（信息的完整性、機(jī)密性、有效性等）作為保險(xiǎn)標(biāo)的的保險(xiǎn)產(chǎn)品，可以幫助企業(yè)構(gòu)建新型網(wǎng)絡(luò)安全生態(tài)。網(wǎng)絡(luò)安全保險(xiǎn)的價(jià)值首先在于降低社會(huì)總成本。網(wǎng)絡(luò)安全保險(xiǎn)和配套服務(wù)能夠賦能企業(yè)的網(wǎng)絡(luò)安全整體防災(zāi)水平，可通過(guò)保險(xiǎn)的責(zé)任轉(zhuǎn)移機(jī)制來(lái)有效降低網(wǎng)絡(luò)安全事件發(fā)生的風(fēng)險(xiǎn)。其次，為企業(yè)標(biāo)注安全標(biāo)簽。保險(xiǎn)公司在為投保企業(yè)進(jìn)行網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估的過(guò)程中，不僅能促進(jìn)企業(yè)提升自我保護(hù)意識(shí)，而且為投保企業(yè)打上了精準(zhǔn)的安全標(biāo)簽，以反映企業(yè)的網(wǎng)絡(luò)安全防御水平。最后，落實(shí)企業(yè)社會(huì)責(zé)任?！秱€(gè)人信息保護(hù)法》等一系列法規(guī)條例的出臺(tái)，規(guī)定了企業(yè)在網(wǎng)絡(luò)安全方面的社會(huì)責(zé)任，對(duì)擁有用戶(hù)數(shù)據(jù)但不具備網(wǎng)絡(luò)安全應(yīng)對(duì)能力的企業(yè)來(lái)說(shuō)，網(wǎng)絡(luò)安全保險(xiǎn)將是一個(gè)有效的運(yùn)用工具。

二、網(wǎng)絡(luò)安全保險(xiǎn)發(fā)展現(xiàn)狀

根據(jù)國(guó)家工業(yè)信息安全發(fā)展研究中心在2021年年底發(fā)布的《我國(guó)網(wǎng)絡(luò)安全保險(xiǎn)產(chǎn)業(yè)發(fā)展白皮書(shū)（2021 年）》，目前國(guó)外網(wǎng)絡(luò)安全保險(xiǎn)市場(chǎng)已進(jìn)入快速發(fā)展階段。

20 世紀(jì)90 年代，全球網(wǎng)絡(luò)安全保險(xiǎn)市場(chǎng)進(jìn)入萌芽階段。受到“千年蟲(chóng)”問(wèn)題的警示，保險(xiǎn)公司嘗試開(kāi)展網(wǎng)絡(luò)安全保險(xiǎn)業(yè)務(wù)。1998年，國(guó)際計(jì)算機(jī)安全協(xié)會(huì)推出了第一款“黑客保險(xiǎn)”，作為其網(wǎng)絡(luò)安全服務(wù)的一部分。不過(guò)，由于企業(yè)因黑客攻擊導(dǎo)致的業(yè)務(wù)影響并不顯著，且尚未制定相關(guān)法律促使企業(yè)重視其網(wǎng)絡(luò)安全合規(guī)責(zé)任，這一階段網(wǎng)絡(luò)安全保險(xiǎn)的市場(chǎng)認(rèn)可度較低，發(fā)展較為遲緩。

21世紀(jì)初，網(wǎng)絡(luò)安全保險(xiǎn)市場(chǎng)進(jìn)入初步探索階段，網(wǎng)絡(luò)安全事件頻發(fā)給企業(yè)造成的經(jīng)濟(jì)損失持續(xù)攀升，企業(yè)開(kāi)始高度重視網(wǎng)絡(luò)安全風(fēng)險(xiǎn)防御及應(yīng)對(duì)。2003 年美國(guó)保險(xiǎn)行業(yè)協(xié)會(huì)保險(xiǎn)信息研究所的數(shù)據(jù)顯示，90%的企業(yè)和政府機(jī)構(gòu)存在安全漏洞，且75%的企業(yè)因此遭遇網(wǎng)絡(luò)攻擊并造成經(jīng)濟(jì)損失。

21世紀(jì)10年代后期，全球網(wǎng)絡(luò)安全保險(xiǎn)市場(chǎng)進(jìn)入快速發(fā)展階段。2018年5 月，歐盟《通用數(shù)據(jù)保護(hù)條例》（GDPR）正式生效，這被視為隱私和數(shù)據(jù)保護(hù)的里程碑事件。該條例進(jìn)一步強(qiáng)化了對(duì)數(shù)據(jù)主權(quán)的保護(hù)并加大了行政處罰力度，有力拉動(dòng)了網(wǎng)絡(luò)安全投保需求。這一階段，網(wǎng)絡(luò)安全保險(xiǎn)市場(chǎng)進(jìn)一步發(fā)展，保費(fèi)規(guī)?？焖僭鲩L(zhǎng)，平均年復(fù)合增長(zhǎng)率超過(guò)20%。據(jù)市場(chǎng)研究公司（Research and Markets）預(yù)測(cè)，到 2026 年，全球網(wǎng)絡(luò)安全保險(xiǎn)市場(chǎng)規(guī)模將達(dá)到350.7 億美元，平均年復(fù)合增長(zhǎng)率達(dá)到26.6%，展現(xiàn)出巨大的網(wǎng)絡(luò)安全保險(xiǎn)市場(chǎng)空間。

我國(guó)的網(wǎng)絡(luò)安全保險(xiǎn)還處于萌芽階段，相關(guān)政策開(kāi)始受到關(guān)注。2019 年9 月，工信部發(fā)布的《關(guān)于促進(jìn)網(wǎng)絡(luò)安全產(chǎn)業(yè)發(fā)展的指導(dǎo)意見(jiàn)》（征求意見(jiàn)稿）提出，要“探索開(kāi)展網(wǎng)絡(luò)安全保險(xiǎn)服務(wù)，加快網(wǎng)絡(luò)安全保險(xiǎn)政策引導(dǎo)和標(biāo)準(zhǔn)制定，通過(guò)網(wǎng)絡(luò)安全保險(xiǎn)服務(wù)監(jiān)控風(fēng)險(xiǎn)敞口。鼓勵(lì)企業(yè)構(gòu)建并完善自身網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理體系，強(qiáng)化網(wǎng)絡(luò)安全風(fēng)險(xiǎn)應(yīng)對(duì)能力”。

在技術(shù)標(biāo)準(zhǔn)方面，可以參考的文獻(xiàn)主要有國(guó)外的ISO/IEC 27102-2019InformationSecurity management- Guidelines for cyberinsurance（《信息安全管理—網(wǎng)絡(luò)保險(xiǎn)指南》），國(guó)內(nèi)剛剛發(fā)布的團(tuán)標(biāo)T/CCIA 001-2022《面向網(wǎng)絡(luò)安全保險(xiǎn)的風(fēng)險(xiǎn)評(píng)估指引》，以及正在立項(xiàng)的國(guó)標(biāo)《信息安全技術(shù)網(wǎng)絡(luò)安全保險(xiǎn)應(yīng)用指南》（草案）。

三、網(wǎng)絡(luò)安全保險(xiǎn)產(chǎn)品分析

適用于國(guó)內(nèi)企業(yè)的網(wǎng)絡(luò)安全保險(xiǎn)產(chǎn)品，通常銷(xiāo)售的時(shí)候會(huì)提供多個(gè)模塊供企業(yè)選擇，形成綜合險(xiǎn)。這類(lèi)似于消費(fèi)者購(gòu)買(mǎi)車(chē)險(xiǎn)，可以同時(shí)購(gòu)買(mǎi)交強(qiáng)險(xiǎn)、車(chē)損險(xiǎn)和第三者責(zé)任險(xiǎn)，也可以只購(gòu)買(mǎi)交強(qiáng)險(xiǎn)和第三者責(zé)任險(xiǎn)，第三者責(zé)任險(xiǎn)的賠償額也可以自由選擇20 萬(wàn)元或100 萬(wàn)元。但是，網(wǎng)絡(luò)安全本身的復(fù)雜性和市場(chǎng)成熟度決定了網(wǎng)絡(luò)安全保險(xiǎn)比車(chē)險(xiǎn)要復(fù)雜得多，目前這些產(chǎn)品還尚未達(dá)到標(biāo)品的級(jí)別，很多保險(xiǎn)公司采用“一客一議”的銷(xiāo)售方式，銷(xiāo)售效率低，銷(xiāo)售成本高。

（一）應(yīng)急響應(yīng)：保障第一方損失

保險(xiǎn)保障范圍涵蓋組織因網(wǎng)絡(luò)安全事件所引發(fā)的特定網(wǎng)絡(luò)安全應(yīng)急響應(yīng)費(fèi)用，包括以下3個(gè)方面：

1.被保險(xiǎn)人在指定權(quán)威機(jī)構(gòu)進(jìn)行檢測(cè)、鑒定服務(wù)所產(chǎn)生的必要費(fèi)用、成本和支出。

2.名譽(yù)恢復(fù)公關(guān)費(fèi)用，是指被保險(xiǎn)人在保險(xiǎn)事故發(fā)生后聘請(qǐng)指定第三方公共關(guān)系專(zhuān)業(yè)機(jī)構(gòu)和向公共媒體及平臺(tái)投放的宣傳、傳播措施及新聞發(fā)布活動(dòng)所產(chǎn)生的必要的、合理的費(fèi)用。

3.抗辯費(fèi)用，是指被保險(xiǎn)人發(fā)生上述保險(xiǎn)事故后，經(jīng)保險(xiǎn)人事先同意，聘請(qǐng)第三方專(zhuān)業(yè)機(jī)構(gòu)對(duì)保險(xiǎn)事故進(jìn)行調(diào)查、和解、抗辯、申訴或辯護(hù)而產(chǎn)生的合理、必要的費(fèi)用。

（二）營(yíng)業(yè)中斷損失：保障第一方損失和承擔(dān)第三方責(zé)任

保險(xiǎn)人在保險(xiǎn)期間首次在其計(jì)算機(jī)系統(tǒng)中發(fā)現(xiàn)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)事件且造成被保險(xiǎn)人計(jì)算機(jī)系統(tǒng)全部或部分中斷，導(dǎo)致被保險(xiǎn)人營(yíng)業(yè)受到干擾或中斷。

經(jīng)營(yíng)性網(wǎng)站會(huì)發(fā)生在賠償期內(nèi)毛利潤(rùn)損失及工作成本增加，第一方責(zé)任保險(xiǎn)人以保險(xiǎn)合同約定的賠償額、賠償期為限負(fù)責(zé)賠償。

工業(yè)生產(chǎn)系統(tǒng)的停產(chǎn)，可能導(dǎo)致無(wú)法交付貨物，按合同約定被下游客戶(hù)索賠，這時(shí)候由第三方責(zé)任險(xiǎn)負(fù)責(zé)賠償給下游客戶(hù)。

（三）數(shù)據(jù)安全：保障第一方損失和承擔(dān)第三方責(zé)任

保障第一方損失指的是當(dāng)被保險(xiǎn)人的計(jì)算機(jī)系統(tǒng)發(fā)生保險(xiǎn)事故（包括中了勒索病毒等），造成被保險(xiǎn)人數(shù)據(jù)丟失、損毀、修改、刪除、泄露，被保險(xiǎn)人為了重新獲得、更換或恢復(fù)其計(jì)算機(jī)系統(tǒng)，為在受損前存儲(chǔ)在其中并因網(wǎng)絡(luò)安全事故發(fā)生而導(dǎo)致?lián)p壞、丟失或損毀的數(shù)據(jù)恢復(fù)所支出的合理、必要的費(fèi)用。

保障范圍也可涵蓋組織因網(wǎng)絡(luò)安全事件導(dǎo)致的第三者責(zé)任損失，賠償范圍主要是信息泄露責(zé)任，即第三者在保險(xiǎn)期間或保險(xiǎn)合同約定的延長(zhǎng)報(bào)告期內(nèi)向被保險(xiǎn)人提出索賠、依法應(yīng)由被保險(xiǎn)人承擔(dān)的經(jīng)濟(jì)賠償責(zé)任，保險(xiǎn)人按照保險(xiǎn)合同的約定負(fù)責(zé)賠償。

（四）技術(shù)人員職業(yè)責(zé)任險(xiǎn)產(chǎn)品

主要面向信息技術(shù)公司及其從業(yè)人員，以信息技術(shù)服務(wù)和信息技術(shù)產(chǎn)品作為承保標(biāo)的，保險(xiǎn)保障范圍涵蓋組織因在提供產(chǎn)品和服務(wù)過(guò)程中存在疏忽過(guò)失行為或出現(xiàn)質(zhì)量未達(dá)標(biāo)準(zhǔn)情形所引發(fā)的第三方索賠責(zé)任。

四、網(wǎng)絡(luò)安全保險(xiǎn)實(shí)施過(guò)程

網(wǎng)絡(luò)安全保險(xiǎn)的實(shí)施過(guò)程通常包括3個(gè)階段：投保前風(fēng)險(xiǎn)評(píng)估、投保后風(fēng)險(xiǎn)監(jiān)測(cè)與預(yù)防，以及出險(xiǎn)后的事故理賠。相較車(chē)險(xiǎn)，網(wǎng)絡(luò)安全保險(xiǎn)投保前的風(fēng)險(xiǎn)評(píng)估過(guò)程比較復(fù)雜，并且投保后一般還要實(shí)施風(fēng)險(xiǎn)監(jiān)測(cè)。

（一）投保前的風(fēng)險(xiǎn)評(píng)估

投保前的風(fēng)險(xiǎn)評(píng)估是網(wǎng)絡(luò)安全保險(xiǎn)實(shí)施的前提。由于投保人網(wǎng)絡(luò)安全水平良莠不齊，為降低保險(xiǎn)人自身的風(fēng)險(xiǎn)，保險(xiǎn)人會(huì)委托指定網(wǎng)絡(luò)安全服務(wù)商對(duì)投保人開(kāi)展風(fēng)險(xiǎn)評(píng)估；同時(shí)，投保人也可根據(jù)風(fēng)險(xiǎn)評(píng)估結(jié)果制定風(fēng)險(xiǎn)轉(zhuǎn)移的策略，形成準(zhǔn)確的網(wǎng)絡(luò)安全保險(xiǎn)需求；最終雙方根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果達(dá)成保險(xiǎn)方案。

承保前的風(fēng)險(xiǎn)評(píng)估通常有3 個(gè)環(huán)節(jié)：一是網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的自動(dòng)化評(píng)估環(huán)節(jié)。該環(huán)節(jié)屬于非配合式評(píng)估，主要是利用安全掃描、資產(chǎn)探測(cè)、第三方威脅情報(bào)分析等技術(shù)或手段，研究企業(yè)暴露在互聯(lián)網(wǎng)端的安全狀況和風(fēng)險(xiǎn)敞口大小，為保險(xiǎn)公司可否對(duì)之承保提供技術(shù)研判支持。二是網(wǎng)絡(luò)安全能力評(píng)估環(huán)節(jié)。通常采用問(wèn)卷調(diào)查的方式，從合規(guī)遵從、組織架構(gòu)、制度體系、技術(shù)措施、人員培訓(xùn)等方面對(duì)投保對(duì)象的網(wǎng)絡(luò)安全成熟度進(jìn)行評(píng)估。三是基于客戶(hù)特點(diǎn)的量化風(fēng)險(xiǎn)評(píng)估環(huán)節(jié)。這主要是針對(duì)客戶(hù)對(duì)特定場(chǎng)景的風(fēng)險(xiǎn)或指定的控制措施購(gòu)買(mǎi)保險(xiǎn)的想法，需要專(zhuān)項(xiàng)評(píng)估與潛在風(fēng)險(xiǎn)相適應(yīng)的配套安全措施，根據(jù)威脅源、攻擊方法、脆弱點(diǎn)、安全事件及負(fù)面影響這5個(gè)評(píng)估要素來(lái)計(jì)算特定場(chǎng)景的風(fēng)險(xiǎn)值。

（二）投保后的風(fēng)險(xiǎn)監(jiān)測(cè)與預(yù)防

投保后的風(fēng)險(xiǎn)監(jiān)測(cè)與預(yù)防是進(jìn)行防災(zāi)減損的必要手段，同時(shí)也是網(wǎng)絡(luò)安全保險(xiǎn)進(jìn)行風(fēng)險(xiǎn)管理的主要方式。在投保后，網(wǎng)絡(luò)安全風(fēng)險(xiǎn)可能因內(nèi)外部環(huán)境變化而發(fā)生變化，應(yīng)開(kāi)展相應(yīng)的風(fēng)險(xiǎn)監(jiān)測(cè)和預(yù)防活動(dòng)，及時(shí)了解投保人的風(fēng)險(xiǎn)變化情況，并采取相應(yīng)措施將風(fēng)險(xiǎn)的變化控制在合理范圍，積極發(fā)揮防災(zāi)減損作用。當(dāng)風(fēng)險(xiǎn)發(fā)生較大變化時(shí)，投保人應(yīng)實(shí)施相應(yīng)的處置措施，投保后的風(fēng)險(xiǎn)監(jiān)測(cè)與預(yù)防可幫助投保人進(jìn)行有效的風(fēng)險(xiǎn)管理。

例如針對(duì)勒索病毒的保障，必須持續(xù)監(jiān)測(cè)客戶(hù)的防病毒措施落實(shí)情況，防病毒軟件安裝率低于90%時(shí)可能會(huì)出現(xiàn)重大風(fēng)險(xiǎn)。

（三）出險(xiǎn)后的理賠

當(dāng)發(fā)生保險(xiǎn)保障范圍內(nèi)的網(wǎng)絡(luò)安全事件后就會(huì)進(jìn)入出險(xiǎn)理賠階段，投保人按照保險(xiǎn)合同約定的理賠流程進(jìn)行理賠。在這個(gè)過(guò)程中，保險(xiǎn)人對(duì)網(wǎng)絡(luò)安全事件進(jìn)行調(diào)查，確定事件責(zé)任和實(shí)際損失，并根據(jù)調(diào)查結(jié)果作出賠償決定，履行保險(xiǎn)人的賠償責(zé)任。

五、網(wǎng)絡(luò)安全保險(xiǎn)的三種銷(xiāo)售方式

網(wǎng)絡(luò)安全保險(xiǎn)雖然都是保險(xiǎn)公司銷(xiāo)售給企業(yè)（投保人或被保險(xiǎn)人）的，但銷(xiāo)售方式可以歸納為以下3種：

（一）企業(yè)直接購(gòu)買(mǎi)保險(xiǎn)

這是國(guó)外比較普遍使用的方式，但是在國(guó)內(nèi)，這種方式實(shí)施起來(lái)暫時(shí)還比較困難，企業(yè)對(duì)這個(gè)新事物的接受還需要培養(yǎng)。一是因?yàn)閲?guó)內(nèi)目前信息泄露事件造成的損失很難評(píng)估，尚沒(méi)有巨額賠償判例，難以觸動(dòng)企業(yè)主動(dòng)購(gòu)買(mǎi)保險(xiǎn)；二是目前企業(yè)做好網(wǎng)絡(luò)安全保障的動(dòng)力有相當(dāng)部分來(lái)源于網(wǎng)信和公安等監(jiān)管機(jī)構(gòu)的壓力，保險(xiǎn)無(wú)法賠付行政處罰，因此無(wú)法緩解這方面的壓力；三是企業(yè)的網(wǎng)絡(luò)安全水平良莠不齊，如果不做完整的風(fēng)險(xiǎn)評(píng)估，對(duì)保險(xiǎn)公司來(lái)說(shuō)風(fēng)險(xiǎn)太大，如果要做完整的風(fēng)險(xiǎn)評(píng)估，那么關(guān)于是企業(yè)還是保險(xiǎn)公司來(lái)支付這筆高額的評(píng)估費(fèi)用的問(wèn)題，雙方難以達(dá)成一致。

（二）供應(yīng)鏈銷(xiāo)售保險(xiǎn)

由安全服務(wù)廠商來(lái)協(xié)助保險(xiǎn)公司銷(xiāo)售網(wǎng)絡(luò)安全產(chǎn)品給它們的服務(wù)對(duì)象，這可能是目前比較主流的方式，因?yàn)榘踩?wù)廠商的介入，在一定程度上解決了投保前風(fēng)險(xiǎn)評(píng)估的問(wèn)題，通常購(gòu)買(mǎi)了網(wǎng)絡(luò)安全產(chǎn)品和服務(wù)的企業(yè)，網(wǎng)絡(luò)安全風(fēng)險(xiǎn)相對(duì)可控。安全服務(wù)廠商也有意愿去推動(dòng)這個(gè)增值業(yè)務(wù)，網(wǎng)絡(luò)安全保險(xiǎn)可以給其產(chǎn)品的可信度背書(shū)，提高產(chǎn)品的競(jìng)爭(zhēng)力，另外也可以通過(guò)附贈(zèng)保險(xiǎn)額度來(lái)展現(xiàn)其網(wǎng)絡(luò)安全防御實(shí)力。并且，對(duì)于長(zhǎng)期合作的安全服務(wù)廠商，保險(xiǎn)公司有比較多的數(shù)據(jù)可以開(kāi)展研究，按照賠付情況，對(duì)不同的安全服務(wù)廠商給予不同的費(fèi)率。

（三）監(jiān)管推動(dòng)

將來(lái)網(wǎng)絡(luò)安全保險(xiǎn)市場(chǎng)日趨成熟后，相信這種方式也會(huì)是主流，把網(wǎng)絡(luò)安全保險(xiǎn)做成交強(qiáng)險(xiǎn)，和等保測(cè)評(píng)一起推動(dòng)，以保險(xiǎn)的方式把全社會(huì)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)降到最低。

六、垂直領(lǐng)域的模式創(chuàng)新探索

目前網(wǎng)絡(luò)安全保險(xiǎn)市場(chǎng)仍然面臨著許多挑戰(zhàn)，如網(wǎng)絡(luò)安全事件定義不夠清晰、缺乏一致性，網(wǎng)絡(luò)安全事故或損失的歷史數(shù)據(jù)有限，以及企業(yè)對(duì)網(wǎng)絡(luò)風(fēng)險(xiǎn)和保險(xiǎn)責(zé)任覆蓋范圍認(rèn)知程度有限等。保險(xiǎn)公司基本采用“一客一議”的銷(xiāo)售方式，前端銷(xiāo)售對(duì)產(chǎn)品不甚了解，無(wú)法為客戶(hù)解答疑問(wèn)，動(dòng)輒需要總部支持，銷(xiāo)售成本高，銷(xiāo)售效率低。

為加快推進(jìn)網(wǎng)絡(luò)安全保險(xiǎn)的快速落地發(fā)展，充分發(fā)揮保險(xiǎn)風(fēng)險(xiǎn)轉(zhuǎn)移作用，應(yīng)當(dāng)在模式上創(chuàng)新，并在某些垂直領(lǐng)域給予政策支持，大膽嘗試。

（一）產(chǎn)品標(biāo)品化模塊化

為提高銷(xiāo)售效率，必須打破“一客一議”的銷(xiāo)售方式，制定標(biāo)準(zhǔn)化的產(chǎn)品和條款。例如，下面這個(gè)保障金額400萬(wàn)元的產(chǎn)品，客戶(hù)可以選擇買(mǎi)1份或者多份。產(chǎn)品在最初設(shè)計(jì)的時(shí)候，要經(jīng)過(guò)市場(chǎng)調(diào)研，在某個(gè)垂直領(lǐng)域的客戶(hù)中找到共性。產(chǎn)品適用于大部分客戶(hù)，標(biāo)品客戶(hù)可以享受較低的費(fèi)率，少部分特殊客戶(hù)需要修改和定制，則會(huì)面臨高昂的費(fèi)率。

?

（二）主打供應(yīng)鏈銷(xiāo)售模式

通?？蛻?hù)能夠接受的費(fèi)率，杠桿必須在1∶100以上，目前“一客一議”的銷(xiāo)售方式下，費(fèi)率甚至高達(dá)1∶10，花20萬(wàn)元的保費(fèi)才能享受200 萬(wàn)元的保障，大部分客戶(hù)是無(wú)法接受的。為了降低費(fèi)率，對(duì)保險(xiǎn)公司來(lái)說(shuō)，就必須做到風(fēng)險(xiǎn)可控，需要對(duì)客戶(hù)做風(fēng)險(xiǎn)評(píng)估。但是，全面的風(fēng)險(xiǎn)評(píng)估所帶來(lái)的高昂費(fèi)用同樣是客戶(hù)無(wú)法接受的。

采用供應(yīng)鏈銷(xiāo)售模式可以較好地降低保險(xiǎn)公司的風(fēng)險(xiǎn)，保險(xiǎn)公司通過(guò)安全服務(wù)廠商來(lái)銷(xiāo)售這個(gè)產(chǎn)品，要求客戶(hù)是安全服務(wù)廠商的長(zhǎng)期合作伙伴，購(gòu)買(mǎi)過(guò)一定金額的網(wǎng)絡(luò)安全產(chǎn)品和服務(wù)，保障范圍限定在經(jīng)過(guò)等保測(cè)評(píng)的系統(tǒng)，那么總體來(lái)說(shuō)風(fēng)險(xiǎn)是可控的，可以降低首次投保的風(fēng)險(xiǎn)評(píng)估復(fù)雜度。安全服務(wù)廠商和保險(xiǎn)公司的愿景是一致的，都不希望出現(xiàn)網(wǎng)絡(luò)安全事件，安全服務(wù)廠商有意愿去保障客戶(hù)，為客戶(hù)的網(wǎng)絡(luò)安全能力做了背書(shū)。保險(xiǎn)公司還可以對(duì)安全服務(wù)廠商進(jìn)行考核，實(shí)行費(fèi)率浮動(dòng)化，而原先直接銷(xiāo)售給客戶(hù)的方式，由于客戶(hù)之間都是獨(dú)立的個(gè)體，難以開(kāi)展考核。

（三）垂直領(lǐng)域的選擇

把產(chǎn)品限定在某個(gè)或某些垂直領(lǐng)域試點(diǎn)，這樣做的好處是，一方面，同行業(yè)的需求比較相近，方便制定標(biāo)準(zhǔn)化產(chǎn)品；另一方面，行業(yè)的風(fēng)險(xiǎn)相近，可以制定合理的費(fèi)率。

根據(jù)前期調(diào)研發(fā)現(xiàn)，現(xiàn)在購(gòu)買(mǎi)網(wǎng)絡(luò)安全保險(xiǎn)的客戶(hù)主要有船舶行業(yè)和電力行業(yè)，其原因在于船舶行業(yè)從16 世紀(jì)開(kāi)始就有購(gòu)買(mǎi)保險(xiǎn)的傳統(tǒng)，每年支付的保險(xiǎn)費(fèi)用非常高，不太在乎再購(gòu)買(mǎi)一個(gè)網(wǎng)絡(luò)安全保險(xiǎn)；而電力行業(yè)購(gòu)買(mǎi)保險(xiǎn)則主要是因?yàn)檫@個(gè)行業(yè)資金充裕，喜歡去嘗試新險(xiǎn)種。實(shí)際上船舶行業(yè)和電力行業(yè)在網(wǎng)絡(luò)安全方面幾乎沒(méi)有什么系統(tǒng)性風(fēng)險(xiǎn)，且都屬于比較封閉的行業(yè)，在這種領(lǐng)域試點(diǎn)標(biāo)品意義不大。

一個(gè)好的試點(diǎn)領(lǐng)域，最好是確實(shí)存在較大的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，那么這個(gè)行業(yè)會(huì)有較強(qiáng)意愿對(duì)網(wǎng)絡(luò)安全保障進(jìn)行投入，并且行業(yè)里面客戶(hù)數(shù)量比較充足，標(biāo)品的銷(xiāo)售方式才比較有意義。本文認(rèn)為，政務(wù)、金融、醫(yī)療、教育和制造業(yè)比較符合以上特點(diǎn)，而醫(yī)療和制造業(yè)更是優(yōu)選，可以作為第一階段的試點(diǎn)。醫(yī)院擁有大量個(gè)人敏感信息，并且病人需要使用互聯(lián)網(wǎng)掛號(hào)和查詢(xún)報(bào)告單，符合較大風(fēng)險(xiǎn)的特征；制造業(yè)現(xiàn)在已經(jīng)高度依賴(lài)工控網(wǎng)絡(luò)，一旦出現(xiàn)網(wǎng)絡(luò)安全事件，可能造成停產(chǎn)甚至生產(chǎn)事故，會(huì)造成較大的經(jīng)濟(jì)損失，故出險(xiǎn)后制造業(yè)對(duì)保險(xiǎn)賠付存在較大需求。

網(wǎng)絡(luò)安全涉及的利益涵蓋社會(huì)各個(gè)方面，有公有私，有宏觀也有微觀，有利益一致性，又存在多種博弈，需要綜合施策，找出各方利益共同點(diǎn)，實(shí)現(xiàn)多方合作共贏。保險(xiǎn)公司應(yīng)當(dāng)重視網(wǎng)絡(luò)安全保險(xiǎn)這個(gè)新產(chǎn)品，充分開(kāi)展網(wǎng)絡(luò)安全保險(xiǎn)相關(guān)宣傳教育活動(dòng)，介紹網(wǎng)絡(luò)安全保險(xiǎn)的承保范圍、真實(shí)案例、作用意義；和網(wǎng)絡(luò)安全公司合作，在上文推薦的試點(diǎn)行業(yè)開(kāi)展網(wǎng)絡(luò)安全保險(xiǎn)標(biāo)品試點(diǎn)，不斷總結(jié)試點(diǎn)經(jīng)驗(yàn)，最終可望形成在全行業(yè)推廣的網(wǎng)絡(luò)安全保險(xiǎn)服務(wù)模式。