《信息安全技术 网络安全保险应用指南》编制说明.docx

国家标准编制说明 国家标准《信息安全技术 网络安全保险应用指南》（征求意见稿）编制说明 一、工作简况 1.1 任务来源 根据国家标准化管理委员会2023年下达的国家标准制修订计划，《信息安全技术 网络安全保险应用指南》由北京源堡科技有限公司负责承办，计划号T-469。本标准由全国信息安全标准化技术委员会归口管理。 1.2 制定背景 随着社会信息化程度的不断加深，数字经济的快速发展，网络安全风险也在持续演变，为世界经济带来了广泛而深远的影响。作为应对网络安全风险的手段之一，网络安全保险受到各国政府和组织的高度重视。网络安全保险是组织实现风险转移的一种有效手段，其在转移潜在风险、优化资源配置、保障组织财务稳定性和业务连续性等方面发挥着重要作用，也逐渐成为组织网络安全风险管理的组成部分。国外网络安全保险发展相对成熟，组织在应对网络安全风险时，通常会将保险作为一种风险处置方式纳入组织的整体风险应对策略中。因此，国际标准化组织ISO/IEC、ITU-T相继制定了ISO/IEC 27102:2019《信息安全管理　网络保险指南》、ITU-T X.1061 (08/2021)《网络保险获取指南》等国际标准，对组织如何投保网络安全保险进行指导。 2021年7月，工业和信息化部发布《网络安全产业高质量发展三年行动计划》（征求意见稿），提出“探索开展网络安全保险，加快网络安全保险政策引导和标准制定，通过网络安全保险服务监控风险敞口”。2023年7月，工业和信息化部和国家金融监管总局发布《关于促进网络安全保险规范健康发展的意见》（以下简称《意见》），提出“建立覆盖网络安全保险服务全生命周期的标准体系，明确承保、核保、理赔等主要环节基本流程和通用要求。研究制定承保前重点行业领域网络安全风险量化评估相关标准，规范安全风险评估要求”。 在上述背景下，为落实国家《网络安全法》，加强对网络安全风险监管，积极推动网络安全保险及服务模式的创新和发展，响应《意见》要求，本文件借鉴了国际网络安全保险相关标准成果，结合我国网络安全保险产业现状和网络安全风险管理实践，提出适合我国国情的网络安全保险应用指南，帮助并指导组织通过网络安全保险应对和管理风险。基本思路如下： 1）从网络安全保险应用的角度，帮助各参与方认识和理解网络安全保险的基本概念和作用，阐述网络安全保险不同阶段中的安全技术的应用，切实为参与方应用网络安全保险提供可操作性的指导。 2）阐述网络安全保险的基本概念，形成保险的作用和目的的统一理解，从网络安全角度的描述可保的网络安全事件和相关损失，以及和保险保障范围的关系，为理解保险能够解决什么问题提供参考。 3）明确网络安全保险应用的主要阶段及技术应用的特点，并针对每个阶段安全技术的应用特点，提出基本内容和方法，帮助投保组织、保险人和技术服务提供商理解保险应用中安全技术差异性和侧重点，为实施提供指导。 1.3 起草过程 北京源堡科技有限公司负责组织起草，国家工业信息安全发展研究中心、中国电子技术标准化研究院、中国信息安全测评中心、国家信息技术安全研究中心、国家信息中心、公安部第一研究所、公安部第三研究所、中国科学院信息工程研究所、中国网络空间研究院、中国人民财产保险股份有限公司、中国太平洋财产保险股份有限公司、中国平安财产保险股份有限公司、中国人寿财产保险股份有限公司、国任财产保险股份有限公司、诚泰财产保险股份有限公司、中国财产再保险有限责任公司、前海再保险股份有限公司、建信财产保险有限公司、奇安信科技集团股份有限公司、北京神州绿盟科技有限公司、启明星辰信息技术集团股份有限公司、北京天融信网络安全技术有限公司、杭州安恒信息技术股份有限公司、腾讯云计算（北京）有限责任公司等单位共同参与了本标准的起草工作。具体起草过程如下： （1）标准草案阶段 2020年3月-2021年4月，标准预研并初步组件标准编制组，形成标准草案初稿，并参与2021年5月的标准会议周立新答辩。 2021年6月至8月，根据标准会议周相关意见，完善标准草案，同时于7月9日召开专家研讨会议及标准编制组内部会议，根据标准意见，修改完善标准草案。 2021年12月至1月，召开4次标准编制会议，重新梳理标准框架并完善分工，并组织一次专家研讨，继续完善标准草案。 2022年1月20日，信安标委秘书处组织重点标准项目阶段检查，专家提出标准审查意见。根据专家意见，对标准草案进行进一步完善。 2022年1月21日-3月8日，根据专家审查意见重新修订标准草案内容框架和文本内容，形成申报立项的标准草案版本（v0.9）。 2022年3月，信安标委发布《信息安全技术 网络安全保险应用指南》编制需求工作的通知。在网络安全管理工作组WG7立项申请和答辩。 2022年3月9日-3月18日，组织标准立项申报，扩