《2019年网络安全保险在大型企业中的实践.pdf》由会员分享,可在线阅读,更多相关《2019年网络安全保险在大型企业中的实践.pdf(30页珍藏版)》请在三个皮匠报告上搜索。
1、上海嘉韦思信息技术有限公司CSO何升文网络安全保险在大型企业中的实践关于我们公司打造了信安在线()一站式服务平台,倡导通过保险机制来管理网络安全风险,致力于发展成为中国最专业的网络安全保险的第三方服务商,公司支撑的网络安全保险产品市场占有率领先。目录网络安全保险现状网络安全保险实践政策和面临的风险网络安全保险建议一二三四相关政策解读习近平总书记指出,“网络安全为人民,网络安全靠人民,建立多方合作治理机制,打造政府、企业、社会组织、网民有效协同推进的网络安全风险治理体系,共建网络安全建设的“利益共同体”和“命运共同体”。第三条 国家坚持网络安全与信息化发展并重,遵循积极利用、科学发展、依法管理、
2、确保安全的方针,推进网络基础设施建设和互联互通,鼓励网络技术创新和应用,支持培养网络安全人才,建立健全网络安全保障体系,提高网络安全保护能力。面临的主要风险020000004000000600000080000000000000000000002013年2014年2015年2016年2017年2018年据国家应急中心抽样监测发现,2018年我国境内感染计算机恶意程序的主机数量约655万台,就所控制我国境内主机数量来看,位于美国、中国香港和法国的控制服务器控制规模分列前三位,分别控制了我国境内约334 万、48 万和33 万台主机
3、。面临的主要风险教育/学校9%央企6%房地产6%政府24%保险金融9%互联网12%航空航天3%传媒15%医疗5%物流运输7%汽车4%全球网络犯罪已令全球经济每年损失接近5000亿美元,约50%发生在全球10大经济体。中国每年预计600亿美元的网络损失,居亚洲第一。2018年收录安全漏洞数量共计14,201个,高危漏洞收录数量为4,898个(占34.5%),2018年收录的安全漏洞数量中,“零日”漏洞收录数量占比 37.9%,高达5,381个。020004000600080004000013年2014年2015年2016年2017年2018年2013年
4、至2018年收录的安全漏洞数量对比漏洞数量高危漏洞数量0day漏洞目录网络安全保险现状网络安全保险实践政策和面临的风险网络安全保险建议一二三四网络安全保险现状网络安全保险发展情况目前美国约占90%,欧洲约占8%,亚太地区占比仅为1%。金融机构保险额居首位,电力及公用事业公司以及通讯、媒体和高科技公司紧随其后。8.5亿美元20世纪90年代2012201531亿美元2020预估75亿美元2030预估200亿美元苏黎世保险公司1999年在美国推出了“ERisk保险”网络安全保险现状网络安全保险定义网络安全保险定义网络安全保险是指在保险期间内发生释义定义的网络安全事件所引起的保险事故(包括发生服务中断
5、,重要资料泄露或丢失、知识产权受到侵犯等),造成企业财产损失、营业收入损失及对第三方的赔偿责任时,保险公司按照保险合同约定对此承担赔偿责任的商业保险行为,通常覆盖的保险责任包括:第一方的损失第三方的损失网络安全保险现状责任类型风险说明第一方损失营业中断由于系统或网络崩溃导致的营业中断期间的收入损失或相关费用。复原成本系统或网络崩溃导致数据受损的复原成本。监管合规成本由于数据或信息泄露导致的监管罚款等。网络敲诈勒索由于信息泄露或计算机安全问题导致敲诈勒索造成的损失。知识产权损失商业机密,涉密信息被盗的损失。第三方损失数据泄露由于私密的商业或个人信息泄露给第三方造成的损失。危机管理网络安全事件发生
6、后的处理费用,如涉及到第三方的调查取证费用。法律诉讼由于安全事件导致损失被第三方取诉导致的法律费用。网络安全保险责任网络安全保险现状网络安全保险价值网络安全保险能够有效聚合各方力量,共同提升网络安全风险治理水平,网络安全保险与传统的网络安全体系相比是一种更加主动的方式,其实质上是事前预防、事中抑制、事后补救。社会管理资金融通风险补偿网络安全保险现状国外网络安全保险美国国际集团、丘博、安达和CAN保险集团等约50家保险公司提供专门的网络攻击保单,网络安全保险业务成为美国保险业发展最为迅猛的领域。Gartner在全球风险管理调查中选取了361家不同领域、不同地区的企业,其中24%已经购买网络安全保
7、险。自2002年开始,美国各州逐渐通过了违反安全通知法案,目前已有48个州通过。英国目前有大约20家保险公司专门提供网络信息安全的保险险种,德国目前有大约15家,欧盟颁布了GDPR促进了网络安全保险发展。网络安全保险现状国内网络安全保险2013年底,苏黎世保险公司开始在中国推出“安全与信息保护险”。2016年初,我国的保险公司推出了数据安全险,专门针对黑客盗取云计算数据进行保险,保险公司将提供最高100万元的现金赔偿。2016年12月30号,公安部第三研究所、大平洋保险控股的安信农业保险公司、上海嘉韦思信息技术有限公司联合推出了“网络安全应急响应保险”。2017年6月安恒与众安保险联合推出“网
8、络信息安全综合保险”,保额最高达300万元。2017年8月,公安部第三研究所、平安财险、上海嘉韦思信息技术有限公司联合发布了“网安保”保险,保额最高达600万。目录网络安全保险现状网络安全保险实践政策和面临的风险网络安全保险建议一二三四网络安全保险实践网络安全保险设计平台实现服务商对接产品精算产品定价产品发布体检投保出险定损理赔网络安全保险实践网络安全保险设计产品定价模型资产份额模型宏观定价模型随机定价模型风险控制模型方法来源假设选取法律法规服务价格体系产品价格服务价格标准化体系保险费率厘定网络安全保险实践网络安全保险定点服务单位打造保险服务生态,合作的保险定点服务单位超过100家区域覆盖北京
9、、上海、广东、浙江、江苏、四川、重庆、陕西、天津等地服务内容覆盖网络安全服务、危机公关服务、法律咨询服务等合作单位包括:华为、腾讯、斗象、启明星辰、长亭等一系列知名企业网络安全保险实践网络安全保险投保流程客户信安在线保险公司公安三所认证安全团队购买申请线上接收申请投保条件核实接收付款通知书财务流程确认打款查询保单填写投保意向单生成订单订单确认NOYES满足条件保单确认生成保单漏扫及等级测评服务启动服务(漏洞扫描)服务及整改完成执行服务(网站整改)网络安全保险实践网络安全保险理赔流程1、保险报案2、应急响应3、检测阶段4、抑制阶段5、根除阶段6、恢复阶段7、报告分析8、后续服务当用户投保的系统发
10、生安全事件后,用户在第一时间拨打保险公司客服电话联系客服收到用户出险电话后,核实情况并登记,确认后呼叫转移到安全服务公司的技术支持电话安全技术支持人员和用户深度沟通安全事件和问题,制定初步安全应急预案在24小时内,安排公安三所认证的安全技术团队为客户准备进行应急响应服务安全技术团队在客户的配合下对出险的系统进行初步分析,确认其是否真正发生了信息安全事件,制定进一步的响应策略,并保留证据安全技术团队及时采取行动限制事件扩散和影响的范围,限制潜在的损失与破坏,同时采取封锁方法减少对涉及相关业务影响安全技术团队对事件进行抑制后,通过对有关事件或行为的分析结果,找出事件根源,明确相应的补救措施并清楚问
11、题安全技术团队恢复安全事件所涉及到的系统,并还原到正常状态,使业务能够正常进行,恢复工作需要用户配合,防止数据丢失安全服务结束,提交安全应急响应报告,通知保险公司服务情况并上传报告。安全技术团队根据客户投保的计划,在出险后,提供可选的渗透测试服务、安全配置加固服务、DDOS应急防护等网络安全保险实践网络安全应急响应保险网络安全保险实践平安“网安保”网络安全保险实践平安“网安保”网络安全保险实践中远海运网络安全应急响应服务保险网络安全保险实践网络安全保险相关荣誉网络安全保险实践网络安全保险部分客户网络安全保险实践未来网络安全保险规划 目前已推出针对系统端的产品,未来还会针对不同规模系统进行产品细
12、分。正在研制针对电脑终端的终端防勒索保险,以“买保险,送Agent”的形式,占领终端市场。正在开发智能联网/物联网场景的终端设备保险,例如智能门锁安全保险。针对特殊风险行业,开发特种网络安全保险,例如DDOS保险、网络勒索保险、游戏账号保险。关注无人驾驶汽车、无人机、机器人领域的网络安全保险。目录网络安全保险现状网络安全保险实践政策和面临的风险网络安全保险建议一二三四网络安全保险建议网络安全保险相关建议第一、健全相关政策法规网络信息安全保险体系建设是一项系统性工程,涉及面较广,应根据我国实际经济环境和保险公司具体情况,为我国网络信息安全保险的发展制定明确可行的政策。通过财政、税收等相关政策,引
13、导保险公司和网络安全企业共同积极推动网络安全保险发展。同时要加快网络安全法配套法律法规的立法进程,进一步细化和明确具体法律责任和追究制度,探索强制保险和自愿保险并行发展的道路,特别重视强制责任保险在落实法律责任方面的价值。第二、充分发挥保监会作用保险监管机构应联合网络安全主管部门,出台支持保险参与网络安全风险治理的顶层设计方案,建立完善的保险监管体系,首先应该建立良好的市场准入和退出机制。调整监管重点,提高监管人员素质,加强对保险公司偿付能力的监管。依法整顿和治理保险公司违法违规行为,规范保险市场秩序。网络安全保险建议网络安全保险相关建议第三、敢于创新,急用先行保险业应该把握机遇,认真总结保险
14、发达国家网络安全保险发展经验,立足我国实践,在数据收集、风险量化、运营模式上不断创新,探索一条适合我国国情的网络安全保险发展道路。同时要强化大数据、移动互联网等技术的应用,利用保险业的数据优势,加强行业间数据共享,推动保险业全面转型升级。要围绕当前网络安全领域群众普遍关注的突出问题,在网络财产保护、网络安全与隐私保障、网络犯罪与诈骗防范等与民生利益关联紧密的领域率先推出一批产品。第四、加强产品宣传推广大力宣传对网络安全保险体系建立至关重要,要想让网络安全保险得到真正的应用和推广,成为弥补信息资产风险损失的有效手段,相关部门就必须运用各种宣传手段,对网络安全保险进行广泛、深入、持久宣传,使相关主体充分了解网络安全保险的性质和功能,同时对不同的潜在保险群体宣传方法应灵活多变。THANKS