今年我干了一件自己觉得还挺新鲜的事情,就是如题所说“利用网络安全保险进行第三方安全准入”。
1、业务方的需求
当时,业务部门想有一些手段了解第三方合作伙伴的安全管理现状,然后来决定是否需要与其合作。当时想了这么几个方法,但都不是很完美。
等保测评报告或者第三方安全审计报告(3402/AUP)是一个好手段,但实施起来有点重,我们的合作伙伴不是都有能力接受这样折腾的;
自己派人去飞行检查,第三方太多了,我们的人力成本压力太大;
雇第三方去检查,这个第三方该怎么选,雇他们的钱谁来出呢?
2、一种新的第三方安全准入方式
无意间我看到了【网络安全保险】这个玩意,灵光一现,和业务部门一说,都觉得妙啊,然后一拍即合,便立刻开始联系保险公司,筹备试点。
简单来说,就是如果你想和我们合作,那就去买一份网络安全险,和等保测评或第三方审计比起来,那是超级便宜,平价消费,然后让保险公司来评价你,如果保险公司都不乐意给你承保了,那真的说明你的安全成熟度实在太低了,还是别合作了。
这是参考联交所对上市公司强制购买“董责险”的套路。在这个套路里,第三方评估的成本被转移给了保险公司,保险公司负责雇佣具备资质的机构对投保人进行评估,按照银保监会的测评标准出具报告。我们自己只用等着合作方给我们保单和测评报告就好了,啥工作量都不增加,第三方合作伙伴除了能够深入梳理一次自身的安全工作之外,还能获得一份风险保障,完美。
这个方法可以应用到如下场景:
开放平台对于ISV的准入管理
业务部门对代理商的准入管理
采购部门对开发和数据外包商的准入管理
3、网络安全险介绍
网络安全险是国内保险市场的新兴险种,主要目的是将企业发生的网络安全事件导致的经济损失转嫁给保险公司。
险种
责任险
投保人
一般是企业
保险标的
企业的数字资产
保险责任范围
一般包含如下原因导致的第一方损失与第三方损失:
(一)恶意软件;
(二)黑客行为;
(三)拒绝服务攻击;
(四)非法使用或访问;
(五)误操作;
(六)设备故障。
在发达国家,网络安全险已经是一个很成熟的险种,安联、苏黎世等国际大型保险公司均有该类产品。
目前,国内拥有该产品的保险公司有:
PICC
太平洋
平安
众安
... ...
网络安全保险是企业与保险公司发生合同关系,一般投保全流程如下:
步骤
描述
企业的主要工作
保险公司的主要工作
1
投保
投保人根据保险公司的保单信息,填写风险调查表格。保险公司基于风险调查表格,进行风险初评。满足一定风险可承受条件的,进入正式核保环节。不满足条件的,建议整改加固,直至满足风险可接受条件,否则会拒保。
填写保险公司的《风险调查表》
根据《风险调查表》对企业的风险管理现状与能力进行初步的评估
2
核保
保险公司自身或者委托第三方,对符合初审过初审条件的信息系统(被保对象)进行安全加测评,给出正式的风险值。风险值在一定范围之内的,可予以正式承保。对风险值偏高的,应根据建议进行整改完善。整改完善后才可以予以承保。
配合保险公司的现场检查
聘请第三方对企业进行安全测评,以确认企业是否满足投保条件
3
承保
符合投保要求的,网络安全保险公司会将保单发送给投保人,由投保人填写保单,并盖章,连同企业法人相关资质证件等材料发送给保险公司。保险公司审核通过后,投保人支付保费。
与保险公司签订保险合同
与企业签订保险合同
4
公估及理赔
万一发生网络安全事故事件,投保人向保险公司提出理赔申请。保险公司接到理赔申请后,派出自己公司公估人员或委托第三方保险公估公司对网络安全事件的原因及影响进行评估。安全事件属于保单被保险范围的,基于损失大小,进行赔偿。保险公司确认赔偿后,会向被被保险人的指定账户支付赔偿金。
报告保险公司,并提出赔偿要求
聘请第三方进行定损,并按照合同进行理赔
全文完~
笔芯
【韭菜永不黄】是阿飞的小号,表示阿飞一直都是后浪。
