T_SISA 0002--2023 网络安全保险安全服务能力评价指南.pdf

ICS35.040

L80

团体标准

T/SISA0002-2023

网络安全保险安全服务能力评价指南

GuideassessmentofCybersecurityservicecapability

forCyberinsurance

2023-2-20发布2023-2-20实施

发布

T/SISA0002-2023

网络安全保险安全服务能力评价指南

1范围

本文件规定了为网络安全保险提供相关安全技术与服务供应商的基本类型、基本能力要求、专业能

力要求、评价规范及评价要求。

本文件适用于从事网络安全保险业务的保险公司和行业相关单位识别评价各类网络安全保险服务

提供方安全能力所用，同时规范和指导网络安全保险安全服务提供方自身保险服务能力建设。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，

仅该日期对应的版本适用于本文件；不注日期的引用文件，其必威体育精装版版本（包括所有的修改单）适用于本

文件。

GB/T25069-2022信息安全技术术语

GB/T30271-2013信息安全技术信息安全服务能力评估准则

GB/T30283-2013信息安全技术信息安全服务分类

GB/T32914-2016信息安全技术信息安全服务提供方管理要求

T/SISA0001-2023网络安全保险安全服务技术要求

3术语和定义

下列术语和定义适用于本文件。

3.1

风险risk

一个给定的威胁，利用一项资产或多项资产的脆弱性，对组织造成损害的潜能。

3.2

网络安全保险cyber-insurance

保险人承保被保险人因网络安全事件造成的经济损失或应承担的法律赔偿责任的保险。

3.3

网络安全保险安全服务cyber-insurancesecurityservice

面向网络安全投保组织的各类信息安全和风险管理需求，由服务提网络安全服务提供方按照服务协

议所执行的一个信息安全过程或任务。

3.4

风险评估riskassessment

利用风险识别、风险分析、风险评价、风险验证量化测评风险事件带来的影响或损失可能程度的整

1

T/SISA0002-2023

个过程。

3.5

网络安全服务提供方cybersecurityserviceprovider

按照网络安全保险服务协议，通过专业的网络安全人员提供网络安全服务的组织。

3.6

被保险人insured

向保险公司分散或考虑向保险公司分散网络安全风险的实体。

3.7

服务协议servicecontract

服务需求方和网络安全服务提供方在服务开始前共同签署的约定，并在网络安全保险安全服务过程

中共同遵守。

注：通常应包含服务原则、服务内容、服务形式、服务级别协议、服务价格、服务交付物、服务安

全要求等，在形式上可以是服务合同及其附属的工作说明书。

[来源：GB/T32914—2016，3.4]

3.8

服务级别协议servicelevelagreement

服务提供方和客户之间定义服务和服务指标的形成文件的协议。

注1：服务级别协议也可在服务提供方均外部供应商、与内部供应商、或者为供应商的客户之间签

订。

注2：服务级别协议可以包含在合同或其它类型的书面协议中。

4网络安全保险服务特点

本文件所涉及的网络安全保险安全服务除了信息技术服务所具