不仅是一份保险，更是一项安全风险管理服务 众安网络安全保险合作方案 馬韶華 Johnson Ma 业务拓展资深高级专家 Senior Expert Mob: 13901904252 E-mail: mashaohua@zhongan.io 国内外网络安全保险现状与趋势 众 安 网 安 险 整 体 解 决 方 案 *众安保险版权所 有 网络安全保险在全球的发展情况(1/2) 2010年后，网络安全保险的行业规模开始大幅度提升。2012年，全球网络安全保险规模达到5亿美元，其中美国占据绝大比例的市场份额。相关市场 调查统计，美国企业投保网络安全保险比例高达70%。 欧洲网络安全保险市场也在2018年5月欧盟《通用数据保护法案》（GDPR）实施以后迅速壮大。法案对数据保护要求严格、涉及企业多、罚款金额高， 很多企业开始借助保险工具来转移风险。【英国航空公司因泄露50万客户的个人及信用卡信息被罚款2亿欧元】 亚洲等其他市场的网络安全保险行业起步较晚，发展正处于新兴阶段。 美国第一个网络安全保险风险框架，给当地 举例：全球市场内一张典型的网络安全险保单 财产和意外保险公司提供指引 投保人为 某全球500强跨国制造企业 1、建立正式的网络保险风险策略； 责任限额：任一索赔赔偿限额和累计赔偿限额高达数千万欧元 2、管理并消除沉默网络保险风险敞口； A. 责任保障： 包括安全责任保障、隐私责任保障、媒体责任保障；监管调查诉讼保障、 3、评估系统性风险； GDPR调查诉讼费用等等 4、严格衡量保险风险； B .第一方保障： 包括事故响应费用、营业中断损失、 数字资产重置费用、网络勒索、声 5、为被保险人及保险提供方提供教育引导； 誉损害收入损失、诈骗保障、索赔规避费用等 6、获取网络安全专业知识； 地域及司法管辖：全球（不含美国，加拿大） 7、向执法部门发布通报。 承保条件：除风险调查问卷清单及正式投保确认书之外，亦需提供由独立第三方针对企业网络 安全进行审计出具的审计报告、ISO/等保认证或其他信息安全相关等安全证书 过往行业内网安险的普遍特点：投保门槛非常高，往往只有头部企业可以承受 限额和保费双高(常由共保体承保）、需要较复杂的外部风险评估、个案个议报价周期很长、保险人仅承担风险而不提供安全服务 网络安全保险在全球的发展情况(2/2) 2016年至2020年，网络安全保险接受率整体提升，行业间存在差异， 2016至2019年生效的网络安全保单增加约60%到360余 教育和医疗保健接受度最高，酒店和零售业增长显著 万份，保费总额从21亿美元增长至31亿美元，增长50% 此外，网络安全保险保费从2020年呈显著增长趋势，大部分投保人的网安险费用上涨了10%至30%，而在保险产品供给侧仍然保持较高的集中度。 在产品方面，专门针对网络风险的保单开始增多（包括独立的网络安全保险以及和网安相关的专业责任保险），保障范围不断变化（尤其是勒索 软件攻击），免责条款和投保要求也更严格。 数据来源：美国政府问责局 United States Government Accountability Office 《网络安全保险：保险公司和投保人在不断变化的市场中面临挑战》报告， 2021年5月 *众安保险版权所 有 国内网络安全保险主流业务模式 保险+安全服务 投保 企业 提供附带网络安全 保险的IT产品 购买IT产品 IT服务商 发生安全事件后 进行理赔 提供保单 （含安全订阅服务） 购买网络安全保险 （可根据需要订阅安全服务） 提供网络安全保险 购买专业安全服务 为自身产品购买 网络安全保险 提供协助理赔定损 等技术支撑服务 保险公司 保险公司 IT服务商通过保险的风险转移功能，将所售产 提供安全事件发生 后的应急响应等安 全技术服务 保险科技公司 模式二：保险+安全服务 模式一：IT产品+保险 ➢ 投保 企业 ➢ 保险公司通过借助安全公司的专业技术能力， 品的拿权保障体系进行完善，以此提高产品的 为投保企业提供安全服务，以此降低出险概率， 市场竞争力。 以此平衡保费和企业安全的投入。 核心为网络安全，为投保企业提供以下 服务： • • • 财务风险转移 安全风险管理 风险敞口监控 其业务流程分为： • 投保前风险评估 • 保单生效后的风险管控 • 出险后的鉴定理赔 此业务模式能够助推投保企业完善安全 建设，提升安全防护能力。 保前 风险评估 保中 风险管控 保后 鉴定理赔 *众安保 险 版权所有 企业网络安全的痛点与难点 众 安 网 安 险 整 体 解 决 方 案 数字经济时代下，企业面临错综复杂的安全环境及残余与未知风险 日趋完善的网络安全与隐私保护的法律基础 严格的监管与执法趋势 随着我国《网络安全法》《数据安全法》《个人信息保护法》等法规及监管要 求相继出台，如何保障企业网络及数据安全合规，成为企业面临的重要课题。 市场 监督 工信 网络安全法 数据安全法 个人信息 保护法 其他支撑 监管要求 日趋猖獗的网络安全攻击 - 网信 常态化执法：国家/省/市均形成了常态 形式多样：远程检查、现场突击、自查自审 多头执法：不同部门、行业、多级机构 重点执法：针对重点行业经常组织专项行动 全面宣传：网络安全与隐私保护意识已觉醒 护网行动 净网行动 APP专项整治 网络安全周 公安 企业内生网络安全治理困惑 相关数据显示，在2015年至2025这十年间， 网络攻击引发全球潜在经济损失可能高达2940亿美元 高成本 APT攻击 DDoS攻击 勒索病毒攻击 脚本攻击 监管下沉 但安全并不普惠 周期长 安全合规建设涉及 方方面面 技术复杂，周期长 安全运维 安全运维需要持续 投入 人员紧缺，成本高 业务扩展 企业业务变化快， 传统安全架构往往 难以适配业务变化 通过安全设施“风险缓解”措施与网络安全保险“风险转移”模式已成 为最高效的安全投资 网络安全服务+网络安全保险涉及保护的风险场景，例如： 监管风险 数据泄露隐患 DDoS攻击 钓鱼欺诈 因网络安全事件或信息 泄露而面临的监管风险 办公设备丢失造成的数 据泄露隐私 遭遇分布式拒绝服务攻 击（DDoS攻击） 遭遇钓鱼邮件、网络欺 诈导致企业账户资金损 失 恶意程序 网络勒索 未经授权披露 营业中断 系统被感染病毒、木马 等恶意程序 数据被勒索病毒加密， 被要求支付赎金 企业保管的其他公司或 个人信息，未经授权披 露 网络服务商、云服务因 黑客攻击或运维失物导 致系统宕机带来的营业 中断 网络安全保险如何护航企业数智化转型 众 安 网 安 险 整 体 解 决 方 案 众安模式：安全+保险+科技，灵活可定制保单，涵盖企业面对的各种风险 涵盖独立网络安全和隐私政策中包含的网络风险，涵盖与数据泄露和网络安全故障/攻击影 响相关的成本，也期待与行业内的生态伙伴进行产品共创。 保险责任 20+安全保障类型 量身定制更灵活 7*24h持续安全服务 科技助力更安全 第一方 损失 第三方 损失 众安以保险带动风险管理服务， 不仅是一份保单的保障，更为客 户提供有效安全检测和识别数据 100+网络安全专家 理赔取证更专业 10S应急响应处理能力 金融级安全服务更放心 保险+科技 保险与科技相结合 降低出险概率 积极减损 恢复生产 快速响应 将损失降低到最小 安全风险、制定网络安全应急和 响应预案，实实在在为企业数字 风 险 “ 扎 紧 篱 笆 ” 。 赔款快捷支付 加速理赔定损 加快理赔时效 众安模式：不仅是一份网络安全保险，更是一项安全风险管理服务 打造“一个中心”+“X项安全服务”的网络安全保险科技服务体系，不仅是一份安全保险，更是一项安全风险管理服务，为企业提供主动 套餐三 的网络安全风险管理能力和感受创新保险服务体验 网络安全 测评 网络安全保险 风险量化 评估 AMRS风险监测中心 安全整改 建设 WEB应用安全网关 日常实时 监控 公关诉讼 支持 - 快速恢复 方案 等保合规一体化方案 - 100万TPS 高并发支持 20000+网站安全防护 日均拦截攻击300万次 可用性保证99.9999% 0代码应用安全加固 数据库安全解决方案 - 免开发（SDK/代理）模式，0 代码改造 - 100%满足商密要求 - 兼容10+主流关系型数据库 - 数据库分库分表，SDK模式性 能损耗<0.01% 智能数据防泄漏方案 - 超过10+个行业模板，开箱即用 关键敏感数据识别率>98% 对比国外产品采购成本 <60% 数据完全分享 <1分钟 一次投入，N个云覆盖 首次测评通过率100% 最快40天完成认证 比传统方案便宜50% 7x24小时持续安全服务 金融级数据安全保护 - 国密/标密算法数据库透明加密 动态数据脱敏，保护核心数据 加密、脱敏、审计一体化 自动化分库分表，支持海量数据 多种接入方式，低改造成本 一体化办公数据安全治理 - 桌面终端，上网，邮件全纬度管控 数据分类分级识别及防护 数据智能梳理及精准识别 用户行为实体分析及快速处置 敏感文件高效审批及安全分享 网络安全主动风险管理服务体系 服务提供单位——上海众至科技有限公司（众安保险指定安全技术服务商） 01 02 03 核保阶段 承保阶段 出险应急 阶段 网络安全管理评估服务 网络安全技术评估服务 基本信息调研 应用安全漏洞检测 安全运营调研 物理环境调研 运维安全调研 系统安全漏洞检测 开发安全调研 终端安全调研 供应商安全调研 数据隐私安全检测 应用安全调研 网络安全调研 抗DDoS防护调研 基线配置核查 运营中断安全调研 防勒索防护调研 数据安全管理调研 源代码安全审计 网络空间主动风险管理 监测服务【ARMS】 网络空间主动风险管理 监测服务【ARMS】 WEB应用攻击及可用性监测 WEB攻击监测 WEB应用安全漏洞检测 系统可用性监测 系统安全漏洞检测 信息安全事件风险告警服务 信息安全意识培训服务 信息安全咨询服务 在线网络安全教育培训 网络安全专家在线咨询 网络安全管理评估服务 威胁情报共享服务 威胁情报风险共享通告 应用安全漏洞检测 系统安全漏洞检测 网络安全产品服务 基线配置核查 渗透测试 源代码安全审计 App安全检测 WEB应用安全防火墙 网络安全设备加固服务 安全事件管理与分析系统 统一安全管理平台 数据防泄漏系统 主机系统、网络安全设备、中间