智通財經APP獲悉,12月21日,工信部印發關於組織開展網絡安全保險服務試點工作的通知。通過組織開展網絡安全保險服務試點,一是促進企業提升網絡安全風險應對能力;二是建立健全網絡安全保險流程機制;三是加快網絡安全服務新業態發展。本次試點險種主要包括網絡安全財產類保險和網絡安全責任類保險兩大類。結合我國網絡安全保險發展實際,試點內容包括面向電信和互聯網、工業互聯網、車聯網等重點行業的企業類保險和網絡安全產品、信息技術產品,以及網絡安全服務類保險。
原文如下:
工業和信息化部辦公廳關於組織開展網絡安全保險服務試點工作的通知
工信廳網安函﹝2023﹞356號
各省、自治區、直轄市、計劃單列市工業和信息化主管部門、通信管理局,有關企事業單位:
爲深入貫徹《中華人民共和國網絡安全法》《中華人民共和國數據安全法》等相關法律法規,落實工業和信息化部、國家金融監督管理總局《關於促進網絡安全保險規範健康發展的意見》要求,加快推進網絡安全保險新模式落地應用,現組織開展網絡安全保險服務試點工作。有關事項通知如下:
一、試點目的
通過組織開展網絡安全保險服務試點,一是促進企業提升網絡安全風險應對能力,推動企業提升對網絡安全保險的認知,積極利用網絡安全保險防範網絡安全風險,完善網絡安全風險管理體系,提升網絡安全意識和能力。二是建立健全網絡安全保險流程機制,建立網絡安全保險標準規範,針對覈保、承保、理賠等重點環節完善流程標準和要求,促進網絡安全保險規範健康發展。三是加快網絡安全服務新業態發展,積累網絡安全保險實踐經驗,創新一批網絡安全保險產品,培育一批優質網絡安全保險機構,形成一批可複製可推廣的網絡安全保險解決方案,促進網絡安全產業高質量發展。
二、試點險種
結合現階段我國網絡安全保險現有險種,本次試點險種主要包括網絡安全財產類保險和網絡安全責任類保險兩大類。
網絡安全財產類保險,主要保障因網絡安全事件造成的第一方直接損失以及因此產生的技術服務費用,包括直接物理損失、營業中斷損失、數據資產重置費用、硬件改善成本、應急處置費用,以及因網絡安全事件導致的公關費用、法律費用等。
網絡安全責任類保險,主要保障因網絡安全事件引起的對第三方個人或機構需要承擔的賠償責任,包括數據泄露責任、網絡安全事件責任、媒體侵權責任、外包商相關責任、產品責任或技術服務職業責任等。
三、試點對象及內容
結合我國網絡安全保險發展實際,試點內容包括面向電信和互聯網、工業互聯網、車聯網等重點行業的企業類保險和網絡安全產品、信息技術產品,以及網絡安全服務類保險,主要試點內容如下。
(一)企業類
以企業法人爲被保險方,主要保障網絡安全事件對其造成的財產損失或賠償責任。
1.電信和互聯網企業。面向基礎電信運營商、互聯網企業、雲服務提供商等電信和互聯網企業,針對服務器、網站、平臺等因網絡攻擊或內部人員操作不當造成的平臺服務中斷、數據被惡意篡改利用等風險場景,主要承保營業中斷損失、數據資產重置費用、第三方索賠損失、應急處置費用等。
2.工業互聯網企業。面向聯網工業企業、工業互聯網平臺企業、標識解析企業等工業互聯網企業,針對因網絡攻擊或內部人員操作不當造成的聯網工業設備或工業控制系統運行故障、自動化生產線停止運行、重要數據被加密鎖定等風險場景,主要承保營業中斷損失、數據資產重置費用、應急處置費用等。面向原材料工業、裝備工業、消費品工業和電子信息製造業等重要行業企業,針對因網絡攻擊或操作不當造成的生產製造系統運行故障,辦公自動化等系統運行中斷、管理數據損壞等風險場景,主要承保營業中斷損失、數據資產重置費用、應急處置費用等。
3.車聯網企業。面向整車生產製造企業、車輛電子系統制造企業、電子零部件企業、智能車輛運營企業等車聯網相關企業,針對因網絡攻擊、系統設計缺陷、操作不當等導致的裝配線等生產製造系統運行故障、車輛設計敏感數據被泄露等風險場景,主要承保車主、車上人員以及第三方的索賠損失、數據資產重置費用、硬件改善成本、營業中斷損失、應急處置費用等。
4.其他行業企業。面向醫療衛生、金融、能源等其他行業企業,結合行業網絡安全風險特徵,聚焦因網絡攻擊、操作不當、代碼缺陷等導致的部件異常、系統停用、服務中斷、數據泄露等風險場景,確定可承保的第一方損失和第三方責任範圍。
(二)產品服務類
以產品服務的購買方爲保障對象,主要保障因網絡安全事件造成的財產損失或賠償責任。
1.網絡安全產品。主要承保網絡安全產品在提供或運維過程中可能產生的財產損失和第三方責任。主要保障因網絡安全事件所產生的應急處置費用、營業中斷等第一方損失或由於數據泄露等導致的第三方索賠損失,爲網絡安全產品增信。網絡安全產品包括但不限於抗DDoS防護、數據防泄漏、防勒索軟件、終端檢測響應、Web應用防火牆等。
2.網絡安全服務。主要承保從事網絡安全服務的專業技術人員相關職業責任。主要保障專業技術人員在服務過程中出現的疏忽、錯誤和失職行爲等造成的相關信息系統癱瘓、失效、崩潰或數據被更改、丟失、泄露等引發的第三方索賠損失。網絡安全服務包括但不限於網絡安全風險評估、安全運營、應急處置等。
3.信息技術產品。主要承保信息技術產品的網絡安全責任。主要保障信息技術產品由於產品或服務未達到顯性標準(如合同約定等)而造成的網絡安全事件,包括用戶信息系統癱瘓、失效、崩潰或數據被更改、丟失、泄露等引發的第三方索賠損失等。
四、工作流程
(一)方案徵集
保險公司、再保險公司、保險中介機構、網絡安全企業、基礎電信運營商、保險科技公司、專業測評機構、司法鑑定機構、科研院所等網絡安全保險服務機構可自行或聯合相關主體(牽頭單位1家,聯合單位不超過10家)申報網絡安全保險服務方案。申報主體應在中華人民共和國境內註冊,具備獨立法人資格,具有網絡安全保險業務能力,每個申報主體牽頭的網絡安全保險服務方案總數原則上不超過5個。牽頭或聯合申報單位中應有至少一家取得保險業務許可資格。
網絡安全保險服務機構於2024年1月28日前將《網絡安全保險服務方案》(附件1)紙質版一式三份及電子版報工業和信息化部。各省、自治區、直轄市及計劃單列市工業和信息化主管部門、通信管理局(以下簡稱“地方主管部門”)可進行推薦。經評審遴選後形成《網絡安全保險典型服務方案目錄》(以下簡稱《目錄》)。
(二)試點申報
地方主管部門結合《目錄》和本地發展實際,制定本地區網絡安全保險服務試點工作方案(附件2)。鼓勵地方綜合運用現有首臺(套)重大技術裝備、首版(次)高端軟件、產業園區、數字化轉型試點城市等政策支持舉措,從政策、資金、資源配套等方面爲網絡安全保險服務試點提供支持。
入選到《目錄》的網絡安全保險服務機構可聯合產業鏈主體制定網絡安全保險服務試點工作方案(附件3)。網絡安全保險服務機構應積極發揮行業積累和資源優勢,爲供需對接和保險服務等提供資源保障。
行業企業,包括但不限於產業鏈“鏈主”企業、大型企業集團、平臺企業等可結合自身風險管理需求,聯合網絡安全保險服務機構制定網絡安全保險服務試點工作方案(附件4)。鼓勵行業企業在供需對接、組織保障、技術支撐等資源配套方面予以支持。
試點工作方案應於2024年3月15日之前上報。工業和信息化部遴選符合要求的試點方案開展試點工作。
(三)試點實施
工業和信息化部組織召開試點工作啓動部署會,明確工作目標要求。參與試點的地方主管部門、服務機構和行業企業定期報告試點工作進展,按照試點工作方案保質保量完成試點任務。
(四)支持保障
國家工業信息安全發展研究中心等部屬單位組織開展網絡安全保險政策解讀、宣貫培訓和交流對接,依託試點支撐平臺對網絡安全保險服務試點工作開展全程支撐服務。
(五)試點退出
牽頭參與試點的服務機構、行業企業經營服務出現重大問題、嚴重違法違規等行爲,取消其試點資格。
(六)工作總結
地方主管部門、服務機構和行業企業開展試點總結工作,對年度試點開展情況、網絡安全保險產品創新情況、網絡安全保險服務實施情況等進行總結並形成書面報告,於2024年11月10日之前上報。工業和信息化部適時組織召開總結會議,推廣網絡安全保險優秀實踐做法。
五、工作要求
(一)提高重視程度,廣泛積極參與。各單位要充分認識網絡安全保險的重要意義,提高網絡安全意識,積極加大資源投入,參與網絡安全保險服務試點工作。
(二)強化工作機制,紮實有序推進。組織開展網絡安全保險相關政策解讀,建立健全試點工作機制,強化對試點工作的支撐服務,確保試點工作順利推進。
(三)促進融合創新,優化產品服務。網絡安全保險服務機構應結合典型風險場景,加強合作交流,積極創新保險產品,優化服務模式,推進網絡安全保險多元化發展和新模式落地。
(四)加強指導協調,增強試點成效。地方行業主管部門應加強對網絡安全保險服務試點的政策指導和支持,及時跟進試點工作進展,加強優秀實踐經驗梳理總結,促進典型樣例應用推廣,強化示範帶動作用。
六、聯繫方式
聯繫人:肖俊芳 68206187
孫倩文 88680837 15611629846
地 址:北京市西城區西長安街13號
工業和信息化部辦公廳
2023年12月14日
本文編選自“工信部”官網,智通財經編輯:汪婕。