党中央、国务院始终高度重视网络安全工作,习近平总书记多次指出,没有网络安全就没有国家安全。在刚刚过去的全国网络安全和信息化工作会议上,习近平总书记强调,坚持筑牢国家网络安全屏障,大力推动网信事业高质量发展,以网络强国建设新成效为全面建设社会主义现代化国家、全面推进中华民族伟大复兴作出新贡献。当前,我国网络安全风险不断加大,网络安全保险作为保障网络安全风险的新兴险种,日益成为转移、防范网络安全风险的重要工具,在完善网络安全社会化服务体系、提升行业网络安全水平、保障制造强国、网络强国建设中的作用凸显。近日,工业和信息化部联合国家金融监督管理总局发布《关于促进网络安全保险规范健康发展的意见》(以下简称《意见》),标志着我国网络安全保险领域首份政策文件正式出台,将有力促进网络安全保险落地生根,推动我国网络安全保险进入快速发展的新阶段。
网络安全保险是网络安全服务和金融服务的创新融合,是一种新兴的网络安全服务模式,是产业数字化转型过程中防范网络安全风险、实现风险转移的有效手段,对护航新型工业化、助推网络安全产业高质量发展、促进行业企业网络安全能力升级等具有积极意义。
新一代信息技术在工业生产活动中大规模应用,既为新型工业化带来了巨大的发展机遇,也伴生了大量工业领域网络和数据安全新风险。根据国家工业信息安全发展研究中心监测,2022年工业领域网络和数据安全风险突出,高危漏洞层出不穷,大量低防护工业设备接入互联网,工业企业敏感数据泄露、勒索病毒攻击等安全事件频发,风险应对能力亟待提升。网络安全保险的普及和发展将有效弥合工业企业网络安全防护能力缺口,通过全流程安全服务提升防范应对高级威胁的能力,助力我国工业领域网络和数据安全体系和能力现代化建设,为新型工业化创造安全发展环境,为制造强国和网络强国建设提供有力支撑。
网络安全保险集风险管控服务与经济赔偿能力于一体,网络安全技术支撑保险业务,确保网络安全风险可控、在控、受控;网络安全保险牵引网络安全技术服务创新,催生新的服务模式。一方面,网络安全保险依托并整合网络安全风险评估、监测预警、应急响应及溯源取证等服务,促进网络安全能力集约化发展,是激发释放网络安全产业需求的新渠道。另一方面,网络安全保险针对网络安全产品或服务叠加保险保障功能,转移残余网络安全风险并为网络安全产品服务增信,引导网络安全产品服务向高性能、高质量跃升,促进网络安全产业高质量发展。
当前,数字经济蓬勃发展,新一轮科技革命和产业变革加速演进,产业数字化和数字产业化进程加快,网络安全风险形态不断演变,网络安全建设的基础性、保障性作用持续凸显。网络安全保险作为传统风险保险保障机制和能力建设在网络空间领域的创新延伸,对中小微企业而言,保险服务提供的风险预警及管控能力,可以弥补自身资源和网络安全管理能力的不足。而对网络安全能力相对完善的大型企业来说,保险服务可提供有效的外部监督,帮助企业准确评估网络安全建设成效及弥补风险防护不足。切实促进企业完善自身网络安全风险管理体系,提升网络安全风险应对能力。
《意见》立足我国网络安全保险发展现状,以促进网络安全保险规范健康发展为目标,提出5方面10条意见,构筑了我国网络安全保险创新发展的“四梁八柱”,明确了未来一段时期我国网络安全保险发展的着力点,为业界推进网络安全保险指明了方向、明确了路径。
一是聚焦提升行业认知,健全完善网络安全保险支持政策。现阶段,我国网络安全保险仍处于发展初期,发展共识尚未形成,跨行业领域认知壁垒有待打破,亟待发挥政策引导作用,广泛凝聚发展共识。《意见》明确综合运用网络安全产业政策、保险业政策工具,健全完善财政、税务、补贴等政策,发挥地方首台(套)、首版(次)等现有政策作用,指导建立覆盖网络安全保险服务全生命周期的标准规范框架等,多措并举加强对网络安全保险的支持,有力引导各界强化对网络安全保险的重视和投入。
二是聚焦丰富产业供给,强化网络安全保险产品服务创新。我国产业门类众多,不同行业、不同规模企业的网络安全风险场景和需求特征存在差异,亟需面向多样化网络安全风险管理需求丰富供给类型,促进网络安全保险多元化发展。《意见》鼓励保险机构推动网络安全专门保险、信息技术产品责任险以及专业技术人员职业责任险等险种发展,探索构建以网络安全保险为核心的全流程网络安全风险管理解决方案,优化网络安全保险产品服务,满足多样化安全风险防护需求。
三是聚焦强化技术赋能,提升网安风险量化评估监测能力。网络安全保险突出的服务属性要求将网络安全服务贯穿于核保、承保、理赔等全生命周期环节,亟需围绕保险流程定制化升级网络安全技术服务,提升风险监测和应急处置效能。《意见》提出围绕行业典型事件、新型场景等开展风险研究,探索建立网络安全风险评估模型,研发风险量化评估工具,支撑网络安全风险精准定价,开展网络安全保险全生命周期风险监测等举措,强化风险管理技术支撑能力,利用网络安全技术提升评估、定价、处置的有效性和准确性。
四是聚焦激发应用需求,推动重点行业提高风险应对水平。网络安全保险作为新兴安全服务模式,需要供需两侧协同发力,率先激发重要行业、重点领域投保需求,促进网络安全保险规模化应用。《意见》面向电信和互联网、工业互联网、车联网等重点行业领域,组织开展网络安全保险服务试点,形成可复制、可推广的网络安全保险服务模式,推动重点行业、中小企业利用网络安全保险工具提升风险管理能力,有助于行业企业提升网络安全风险意识,充分释放网络安全市场需求。
五是聚焦建设良好生态,鼓励多方主体凝聚共识加强协作。网络安全保险是跨界融合的新业态,需要探索建立跨行业协同机制,发挥多主体特色优势,互为资源、互相促进。《意见》强调通过网络安全保险优秀案例征集、应用示范活动等,培育一批专业能力突出的保险机构,发展一批技术支撑能力领先的网络安全企业、专业网络安全测评机构等,建设一批网络安全保险创新联合体等,引导各主体能够深入合作,促进优势互补、协同发展。
探索网络安全保险本土化应用,推进网络安全服务模式创新,需要保险行业、网络安全行业等多方凝聚共识、形成合力。下一步,应积极把握网络安全保险快速发展的重要机遇期,以《意见》为指引,建标准、谋创新、强手段、促生态,多措并举推进网络安全保险落地实践,推动网络安全产业高质量发展。
加快构建系统、科学、规范的网络安全保险标准体系,加强对网络安全保险发展的指导和规范。一是研究制定网络安全保险标准体系框架,围绕风险量化与核保评估、风险管控与防灾减损、事件处置与理赔鉴定等关键环节明确基本要求。二是立足我国网络安全保险发展实际,加快推动网络安全风险量化评估、网络安全监测管理、理赔服务实施要求等关键亟需标准落地。三是结合电信和互联网、工业互联网、车联网等重点行业领域的差异化风险特征,分类细化服务规范,加快网络安全保险在各行业领域落地应用。
充分发挥各方主体优势,探索发展以网络安全保险为核心的全流程网络安全风险管理解决方案。一是面向行业企业多样化网络安全需求,推进“保险服务+安全服务”模式迭代优化,切实提升行业企业网络安全风险应对能力。二是依托网络安全产业资源优势,促进“安全防护+保险保障”创新发展,以网络安全产品服务应用带动网络安全保险拓展延伸,开辟网络安全产业发展新空间。三是通过网络安全保险试点工作积累实践经验,促进网络安全保险方案设计、业务流程、商业模式等优化创新,形成可复制、可推广的服务模式。
探索网络安全技术改进优化,强化对网络安全保险关键业务环节的赋能作用。一是重视网络安全风险研究,结合电信和互联网、制造业、能源、金融、医疗卫生等重点行业,以及工业互联网、车联网等新兴融合领域差异化风险特征,优化网络安全保险产品设计与服务拓展。二是开展专业技术研发,开发网络安全风险量化评估技术工具,平衡风险评估效率和精度,改进网络安全监测管理技术工具,强化风险敞口实时动态监测能力。三是促进数据积累共享,探索建立网络安全风险理赔数据库,为网络安全保险精准定价提供支持。
引导网络安全企业、保险机构等积极参与,构建多方协同、优势互补、融合发展的网络安全保险发展生态。一是充分发挥网络安全产业创新发展联盟等相关联盟协会作用,建设网络安全保险公共服务平台,加速要素流动,强化供需对接,深化跨行业合作,凝聚发展共识。二是供需两侧协同发力,以企业网络安全风险意识提升拉动网络安全保险需求,以保险购买优惠政策激励企业加大网络安全投入,促进网络安全产业需求释放。三是强化意识普及,促进网络安全保险意识普及和交流推广,引导从业人员规范自律,营造规范有序、良性竞争的发展环境。
推动网络安全保险规范健康发展意义重大。国家工业信息安全发展研究中心作为工业和信息化领域国家级研究与推进机构,将广泛联合网络安全产业、保险业等专业力量,深入贯彻党中央、国务院重大决策部署,全面落实《意见》工作要求,积极发挥智库研究基础和网络安全专业技术优势,高水平支撑和服务我国网络安全保险发展,护航制造强国、网络强国、数字中国建设。(作者赵岩系国家工业信息安全发展研究中心主任、党委副书记)