帮我搜借鉴资料学习平台

促进网络安全保险规范健康发展！两部门联合印发意见！

导 读

为深入贯彻《中华人民共和国网络安全法》《中华人民共和国数据安全法》等相关法律法规，加快推动网络安全产业和金融服务融合创新，引导网络安全保险健康有序发展，培育网络安全保险新业态，促进企业加强网络安全风险管理，推动网络安全产业高质量发展，工业和信息化部、国家金融监督管理总局近日联合印发《关于促进网络安全保险规范健康发展的意见》，提出了建立健全网络安全保险政策标准体系、加强网络安全保险产品服务创新、强化网络安全技术赋能保险发展、促进网络安全产业需求释放、培育网络安全保险发展生态等五方面共十条具体意见。

关于促进网络安全保险规范健康发展的意见

工信部联网安 〔2023〕95号

各省、自治区、直辖市及计划单列市、新疆生产建设兵团工业和信息化主管部门，各银保监局，各相关单位：

网络安全保险是为网络安全风险提供保险保障的新兴险种，日益成为转移、防范网络安全风险的重要工具，在推进网络安全社会化服务体系建设中发挥着重要作用。为深入贯彻《中华人民共和国网络安全法》《中华人民共和国数据安全法》等相关法律法规，加快推动网络安全产业和金融服务融合创新，引导网络安全保险健康有序发展，培育网络安全保险新业态，促进企业加强网络安全风险管理，推动网络安全产业高质量发展，现提出如下意见。

一、建立健全网络安全保险政策标准体系

（一）完善网络安全保险政策制度。加强网络安全产业政策对网络安全保险的支持，推动网络安全技术服务赋能网络安全保险发展，引导关键信息基础设施保护、新兴融合领域网络安全保障等充分运用网络安全保险。加强保险业政策对网络安全保险的支持，指导网络安全保险创新发展，引导开发符合网络安全特点规律的保险产品。推动健全完善财政政策，充分利用地方首台（套）、首版（次）等现有政策，提供保险减税、保险购买补贴等措施。

（二）健全网络安全保险标准规范。支持网络安全产业和保险业加强合作，建立覆盖网络安全保险服务全生命周期的标准体系，统一行业术语规范，明确核保、承保、理赔等主要环节基本流程和通用要求。研究制定承保前重点行业领域网络安全风险量化评估相关标准，规范安全风险评估要求；承保中网络安全监测管理服务相关标准，规范监测预警方法；承保后理赔服务实施要求相关标准，规范网络安全保险售后服务。

二、加强网络安全保险产品服务创新

（三）丰富网络安全保险产品。鼓励保险公司面向不同行业场景的差异化网络安全风险管理需求，开发多元化网络安全保险产品。面向重点行业企业开发网络安全财产损失险、责任险和综合险等，提升企业网络安全风险应对能力。面向信息技术产品开发产品责任险，面向网络安全产品开发网络安全专门保险，为信息网络技术产品提供保险保障。面向网络安全服务开发职业责任险等产品，转移专业技术人员在安全服务过程中因人为操作可能引发的安全风险。

（四）创新发展网络安全保险服务。鼓励网络安全保险服务机构协同合作，探索构建以网络安全保险为核心的全流程网络安全风险管理解决方案。充分发挥保险机构专业优势，联合网络安全企业、基础电信运营商等加快网络安全保险与网络安全服务融合创新。充分发挥网络安全企业、专业网络安全测评机构技术优势，联合保险公司提升网络安全保险服务能力。

三、强化网络安全技术赋能保险发展

（五）开展网络安全风险量化评估。围绕电信和互联网行业典型事件以及工业互联网、车联网、物联网等新兴场景开展网络安全风险研究。探索建立网络安全风险量化评估模型，加强网络安全风险影响规模预测、经济损失等分析。支持网络安全企业、专业网络安全测评机构等研发网络安全风险量化评估技术，开发轻量化网络安全风险量化评估工具，鼓励保险机构建立网络安全风险理赔数据库，支撑网络安全风险精准定价。

（六）加强网络安全风险监测能力。开展网络安全保险全生命周期风险监测，覆盖事前、事中、事后等重要环节。鼓励网络安全企业、专业网络安全测评机构等充分发挥网络安全风险监测技术优势，充分利用安全技术手段，针对网络安全漏洞、恶意网络资源、网络安全事件等开展网络安全威胁实时监测，及时发现网络安全风险隐患，提升网络安全风险监测预警、应急处置等能力。

四、促进网络安全产业需求释放

（七）推广网络安全保险服务应用。面向电信和互联网、能源、金融、医疗卫生等重点行业，以及工业互联网、车联网、物联网等新兴融合领域，围绕网络安全与信息技术产品服务供给侧和需求侧两类主体，充分发挥网络安全产业、网络安全保险相关联盟协会等作用，开展网络安全保险服务试点，形成可复制、可推广的网络安全保险服务模式，促进网络安全保险推广应用。

（八）推动企业网络安全风险应对能力提升。鼓励重点行业企业完善网络安全风险管理机制，推动电信和互联网、制造业、能源、金融、交通、水利、教育等重点行业企业积极利用网络安全保险工具，有效转移、防范网络安全风险，提升网络基础设施、重要信息系统和数据的安全防护能力。支持中小企业通过网络安全保险服务监控风险敞口，建立健全网络安全风险管理体系，不断加强中小企业网络安全防护能力。

五、培育网络安全保险发展生态

（九）培育优质网络安全保险企业。鼓励网络安全企业、保险机构积极参与网络安全保险生态建设，开展网络安全保险优秀案例征集、网络安全保险应用示范等活动，培育一批专业能力突出的保险机构，发展一批技术支撑能力领先的网络安全企业、专业网络安全测评机构等，建设一批网络安全保险创新联合体，培育网络安全保险发展良性生态。

（十）宣传推广网络安全保险服务。充分发挥相关行业联盟协会、重点企业带动作用，整合资源优势，促进网络安全产业和金融服务要素流动，开展网络安全保险教育培训，引导加强从业人员自律，规范网络安全保险推广应用。用好网络和数据安全产业高峰论坛、网络安全技术应用试点示范等活动，宣传普及网络安全保险，举办网络安全保险主题活动，加强经验总结和交流推广，营造促进网络安全保险规范健康发展的浓厚氛围。

澎湃新闻2023-07-19

《可信网络白皮书》聚合众智　展现领先网络安全理念和实践

2023年，随着国家和企业数字化转型不断深入，网络安全面临的形势将更加复杂，威胁场景和技术的升级势必将驱动整个安全行业快速向前发展。特别是对于国之重器——运营商网络而言，如何恰当应对安全威胁更是重中之重和当务之急。近日，中国联通、中国信通院和华为三方在北京正式发布《可信网络白皮书》（以下简称《白皮书》），首次发布了可信网络的定义、目标架构、能力要求及发展思路等内容，为我国打造可信网络、护航数字经济安全发展、实现中国式现代化提供了坚实基础。

“链长”责无旁贷 积极发挥主体支撑和龙头带动作用

互联网的快速发展和普及，给我们带来许多便利的同时，也暴露了许多安全隐患和风险。

没有网络安全就没有国家安全，网络的安全可信已经上升为国家战略，全球各国都在通过立法、安全准入认证标准以及新的技术重新构建网络防御体系，在国家层面加强整体网络安全能力建设。我国对网络安全一直高度重视，通过不断完善立法加强监管保障关键基础设施的安全。随着《网络安全法》《数据安全法》《关键信息基础设施安全保护条例》的相继颁布实施，我国网络安全法律体系处于逐步完善阶段，相关配套的标准、认证体系等也正在逐步推进中，这需要整个产业链，包括运营商、设备商、科研机构等，一起努力构建系统化网络安全能力，共同构筑国家关键基础设施安全底座。

其中，电信运营商基础网络作为国家数字基础设施的“大动脉”，是支撑数字中国战略落地的关键环节。保障基础网络安全可信和稳定可靠，是大家的核心职责。

作为网络安全现代产业链“链长”，一年来，中国联通积极发挥主体支撑和龙头带动作用，努力做好产业基础能力提升支撑者、产业发展方向引领者和产业协同合作组织者，采取了多项关键行动，全力保障网络安全产业健康、合理、有序发展，包括与行业内的专家和学者深入开展了研究和探讨，创造性提出了可信网络的概念和产业发展思路。

本次《白皮书》发布，正是聚焦未来网络安全的最新趋势、挑战，提出了业界领先的网络安全理念以及创新实践。

管理模式需与时俱进 安全性、可靠性和韧性要全面升级

随着企业数字化转型的发展，业务向云化、物联化、无线化的方向发展，业务边界、业务接入类型、接入终端类型、数据的流转等都发生了变化。网络也从以IPv4为基础的消费互联网向以IPv6/IPv6+为基础的生产互联网升级，以满足多元化应用承载需求，释放产业新效能。

在网络和业务急剧变化的同时，目前电信网络沿用的CT安全标准相对滞后，CT安全产业仍套用IT管理模式，场景适配弱，不能满足快速发展的业务安全保障需求。《白皮书》认为，建立可信网络一定要从网络安全性、可靠性、韧性三个方面进行升级。

首先，在网络安全性上要从单点防御转变为立体防御，要从网络设备、网络自身和网络管控三层的防御体系入手，从边界防御升级到纵深防御，构建网络的内生安全，全面提升网络的抗攻击能力。

其次，在网络可靠性方面，从业务多级保护能力入手，在此基础上叠加故障预测、隐患提前处置的能力，智能感知网络以及设备的隐患，防患于未然，避免风险演变为故障。

最后，在网络韧性上要提升网络的承载能力以及快速业务恢复能力，在遭受恶意入侵或资源过载的情况下能够使业务正常运行，通过最小模块的处置对网络系统进行秒级业务恢复。

“可信网络就是要通过构建可信网络体系架构，不断提升网络的安全性、可靠性以及韧性，实现网络攻不瘫、威胁不扩散、业务不受损，无论网络环境如何变化，都能确保业务的连续和稳定。”业内人士总结说。

应对安全新挑战 可信网络任重道远

网络业务的变化带来了安全的新挑战。

首先，网络业务从传统的业务结构演变成云网边端融合的方式，网络边界延伸到基于云网边端的新型基础设施，传统的网络边界不存在，对传统的安全模式造成了一定影响。

其次，网络接入方式的多样化、用户的多样化、设备的多样化、连接的多样化造成网络安全复杂度增加。

最后，数据在用户、设备、业务平台之间持续流动，也带来新的风险。其中，对设备传统授权模式，包括静态的授权模式，颗粒度较粗都会导致越权操作风险持续提高，数据泄露风险加大。

可信网络是将安全可信技术融入网络基础设施解决方案中，构筑网络的内生安全能力，实现数据实体信任关系的传递和验证、网络行为的持续监测和管控、业务异常的溯源和处理，从而实现结果可预期的网络。

《白皮书》制定了设备可信、网络可信、管控可信的“可信网络”总体架构，明确了“可信网络”发展的总体目标。

设备可信：设备可信是保证网络基础设施安全可信的基础，通过软硬件等关键能力的构建，实现构建内生安全全生命周期保护，软件“零”篡改、数据“零”泄密、安全态势自感知。

网络可信：网络可信是信任的保障，以设备可信为基础，通过网络关键能力的构建，实现路由、业务、协议全方位网络可信，路由“零”劫持、协议“零”仿冒、网络攻击主动识别。

管控可信：管控可信是设备及网络安全的大脑，通过管控关键能力的构建，实现网安一体化防护、全网监测、联防联控，操作“零”误配、威胁处置自闭环。

最后，关于如何推进可信网络的演进，《白皮书》认为可以从“定架构、推标准、建体系、促应用”四个方面推进，希望通过技术创新、标准体系、实践部署、产业生态四方面，构筑整个核心网络体系。

当前产业界以及学术界已经开始认识到基础设施网络安全的重要性和价值，并开展了积极有益的探索，可信网络安全模型作为一种全新的安全防护模型，经过多年的实践已经从理念走向了实践。此次三方携手发布《白皮书》，将极大提升运营商网络空间创新能力，实现更广范围、更深程度、更高水平发展。

人民邮电报2023-07-25

《关于促进网络安全保险规范健康发展的意见》解读

近日，工业和信息化部与国家金融监督管理总局联合印发了《关于促进网络安全保险规范健康发展的意见》（以下简称《意见》）。现就《意见》有关内容解读如下：

一、《意见》出台的背景和意义是什么？

随着我国数字经济的快速发展，网络安全基础性、保障性作用增强。网络安全保险作为承保网络安全风险的新险种、网络安全服务的新模式，有利于行业企业提升网络安全风险应对能力，促进中小企业数字化转型发展，推进构建网络安全社会化服务体系，促进网络安全产业高质量发展，助力制造强国、网络强国建设。

为做好《意见》编制工作，工业和信息化部会同国家金融监督管理总局系统全面调研我国网络安全保险发展现状和问题，广泛征集保险机构、网络安全企业、基础电信运营商、互联网企业等产业各方意见，明确重点任务。《意见》出台后，将有力指引网络安全保险健康有序发展。

二、《意见》的定位和主要内容？

《意见》作为我国网络安全保险领域的首份政策文件，立足我国网络安全保险发展现状和亟待解决的问题，以促进网络安全保险规范健康发展为目标，围绕完善政策标准、创新产品服务、强化技术支持、促进需求释放、培育产业生态等提出5方面10条意见。一是聚焦提升行业认知、完善行业规范，健全完善网络安全保险支持政策；二是聚焦丰富网络安全保险产品类型、创新保险服务模式，全方位加强网络安全保险产品服务创新；三是聚焦提升风险量化评估能力、加强全生命周期风险监测，强化网络安全技术赋能保险发展；四是聚焦推进网络安全保险落地应用、促进企业网络安全能力提升，撬动网络安全产业需求释放；五是聚焦培育网络安全保险优质企业、加强网络安全保险推广，培育网络安全保险发展生态。

三、如何推动网络安全保险产品服务创新？

网络安全保险产品服务创新是推动我国网络安全保险规模发展的内在动力，是促进网络安全产业高质量发展的有力举措。《意见》指导和鼓励各方主体积极推进网络安全保险产品和服务创新。

产品创新方面，鼓励保险机构面向不同行业场景的差异化网络安全风险管理需求，开发多元化网络安全保险产品。一是面向重点行业企业开发网络安全财产损失险、责任险和综合险等，提升企业网络安全风险应对能力。二是面向信息技术产品开发产品责任险，面向网络安全产品开发网络安全专门保险，为信息网络技术产品提供保险保障。三是面向网络安全服务开发职业责任险等产品，转移专业技术人员在安全服务过程中因人为操作可能引发的安全风险。

服务创新方面，鼓励网络安全保险服务机构协同合作，探索构建以网络安全保险为核心的全流程网络安全风险管理解决方案。一方面，充分发挥保险机构专业优势，联合网络安全企业、基础电信运营商等加快保险与网络安全服务融合创新。另一方面，充分发挥网络安全企业、专业网络安全测评机构技术优势，联合保险公司提升网络安全保险服务能力。

四、如何强化网络安全技术对保险的赋能作用？

网络安全保险是网络安全技术和保险服务的有机结合，网络安全技术在网络安全保险业务关键环节中发挥着重要作用。《意见》聚焦网络安全风险量化评估和网络安全风险监测两方面，强化网络安全技术赋能保险发展。

开展网络安全风险量化评估。一是加强电信和互联网、工业互联网、车联网、物联网等网络安全风险研究。二是探索建立网络安全风险量化评估模型，加强网络安全风险影响规模预测、经济损失等分析。三是支持研发网络安全风险量化评估技术，开发轻量化网络安全风险量化评估工具。四是鼓励建立网络安全风险理赔数据库，支撑网络安全风险精准定价。

加强网络安全风险监测能力。一是开展网络安全保险全生命周期风险监测，覆盖事前、事中、事后等重要环节。二是充分利用网络安全风险监测技术手段，针对网络安全漏洞、恶意网络资源、网络安全事件等开展网络安全威胁实时监测，及时发现网络安全风险隐患，提升网络安全风险监测预警、应急处置等能力。

五、如何促进网络安全保险服务应用？

为加快网络安全保险服务应用推广，《意见》从以下三方面推动网络安全产业需求释放。

一是推动重点行业领域先行先试。面向电信和互联网、能源、金融、医疗卫生等重点行业，以及工业互联网、车联网、物联网等新兴融合领域，开展网络安全保险服务试点。充分发挥网络安全产业、网络安全保险相关联盟协会等作用，形成可复制、可推广的网络安全保险服务模式。

二是鼓励重点行业完善风险管理机制。推动制造业、能源、金融、交通、水利、教育等重点行业企业积极利用网络安全保险工具，完善网络安全风险管理机制，提升网络基础设施、重要信息系统和数据的安全防护能力。

三是推动中小企业网络安全防护能力提升。支持中小企业积极参与网络安全保险，有效监控网络安全风险敞口，建立健全网络安全风险管理体系，不断加强网络安全风险应对能力。

六、如何培育网络安全保险发展生态？

网络安全保险是网络安全和金融服务的创新融合，涉及主体广泛，需要多方凝聚共识、加强协作。《意见》聚焦优质企业培育和加强宣传推广两方面培育网络安全保险生态。

一方面，培育优质网络安全保险企业。通过网络安全保险优秀案例征集、网络安全保险应用示范等活动，培育一批专业能力突出的保险机构，发展一批技术支撑能力领先的网络安全企业、专业网络安全测评机构等，建设一批网络安全保险创新联合体。

另一方面，宣传推广网络安全保险服务。充分发挥相关行业联盟协会、重点企业带动作用，整合资源优势，促进网络安全产业和金融服务要素流动。开展网络安全保险教育培训，引导加强从业人员自律，规范网络安全保险推广应用。通过网络和数据安全产业高峰论坛、网络安全技术应用试点示范等活动，宣传普及网络安全保险。举办网络安全保险主题活动，加强经验总结和交流推广，营造促进网络安全保险规范健康发展的浓厚氛围。

七、下一步如何推进《意见》落实？

为推进《意见》落实，下一步将从政策宣贯、标准研制、试点推广、生态培育等进一步深化工作部署，深入推进网络安全保险工作。

一是做好政策宣贯，组织开展系列宣传活动，对网络安全保险企业做好政策解读和咨询培训，营造网络安全保险良好政策环境。二是加快标准研制，研究建立网络安全保险标准框架，加快关键亟需标准制定，为网络安全保险健康发展提供规范指引。三是开展保险试点，在重点行业关键领域探索开展网络安全保险，积累网络安全保险实践经验，形成一批可复制、可推广的网络安全保险解决方案。四是培育发展生态，充分发挥产业联盟、协会等作用，加大网络安全保险资源协同和意识普及，培育网络安全保险发展良性生态。

中小企业公共服务平台2023-07-20