《信息安全技术网络安全保险应用指南》编制说明.pdf

国家标准编制说明

一、工作简况

1.1任务来源

根据国家标准化管理委员会2023年下达的国家标准制修订计划，《信息安全

技术网络安全保险应用指南》由北京源堡科技有限公司负责承办，计划号：T-469。本标准由全国信息安全标准化技术委员会归口管理。

1.2制定背景

随着社会信息化程度的不断加深，数字经济的快速发展，网络安全风险也在

持续演变，为世界经济带来了广泛而深远的影响。作为应对网络安全风险的手段

之一，网络安全保险受到各国政府和组织的高度重视。网络安全保险是组织实现

风险转移的一种有效手段，其在转移潜在风险、优化资源配置、保障组织财务稳

定性和业务连续性等方面发挥着重要作用，也逐渐成为组织网络安全风险管理的

组成部分。国外网络安全保险发展相对成熟，组织在应对网络安全风险时，通常

会将保险作为一种风险处置方式纳入组织的整体风险应对策略中。因此，国际标

准化组织ISO/IEC、ITU-T相继制定了ISO/IEC27102:2019《信息安全管理网络

保险指南》、ITU-TX.1061(08/2021)《网络保险获取指南》等国际标准，对组

织如何投保网络安全保险进行指导。

2021年7月，工业和信息化部发布《网络安全产业高质量发展三年行动计划》

（征求意见稿），提出“探索开展网络安全保险，加快网络安全保险政策引导和

标准制定，通过网络安全保险服务监控风险敞口”。2023年7月，工业和信息化部

和国家金融监管总局发布《关于促进网络安全保险规范健康发展的意见》（以下

简称《意见》），提出“建立覆盖网络安全保险服务全生命周期的标准体系，明

确承保、核保、理赔等主要环节基本流程和通用要求。研究制定承保前重点行业

领域网络安全风险量化评估相关标准，规范安全风险评估要求”。

在上述背景下，为落实国家《网络安全法》，加强对网络安全风险监管，积

极推动网络安全保险及服务模式的创新和发展，响应《意见》要求，本文件借鉴

了国际网络安全保险相关标准成果，结合我国网络安全保险产业现状和网络安全

风险管理实践，提出适合我国国情的网络安全保险应用指南，帮助并指导组织通

过网络安全保险应对和管理风险。基本思路如下：

国家标准编制说明

1）从网络安全保险应用的角度，帮助各参与方认识和理解网络安全保险的

基本概念和作用，阐述网络安全保险不同阶段中的安全技术的应用，切实为参与

方应用网络安全保险提供可操作性的指导。

2）阐述网络安全保险的基本概念，形成保险的作用和目的的统一理解，从

网络安全角度的描述可保的网络安全事件和相关损失，以及和保险保障范围的关

系，为理解保险能够解决什么问题提供参考。

3）明确网络安全保险应用的主要阶段及技术应用的特点，并针对每个阶段

安全技术的应用特点，提出基本内容和方法，帮助投保组织、保险人和技术服务

提供商理解保险应用中安全技术差异性和侧重点，为实施提供指导。

1.3起草过程

北京源堡科技有限公司负责组织起草，国家工业信息安全发展研究中心、中

国电子技术标准化研究院、中国信息安全测评中心、国家信息技术安全研究中心、

国家信息中心、公安部第一研究所、公安部第三研究所、中国科学院信息工程研

究所、中国网络空间研究院、中国人民财产保险股份有限公司、中国太平洋财产

保险股份有限公司、中国平安财产保险股份有限公司、中国人寿财产保险股份有

限公司、国任财产保险股份有限公司、诚泰财产保险股份有限公司、中国财产再

保险有限责任公司、前海再保险股份有限公司、建信财产保险有限公司、奇安信

科技集团股份有限公司、北京神州绿盟科技有限公司、启明星辰信息技术集团股

份有限公司、北京天融信网络安全技术有限公司、杭州安恒信息技术股份有限公

司、腾讯云计算（北京）有限责任公司等单位共同参与了本标准的起草工作。具

体起草过程如下：

（1）标准草案阶段

1）2020年3月-2021年4月，标准预研并初步组件标准编制组，形成标

准草案初稿，并参与2021年5月的标准会议周立新答辩。

2）2021年6月至8月，根据标准会议周相关意见，完善标准草案，同

时于7月9日召开专家研讨会议及标准编制组内部会议，根据标准意

见，修改完善标准草案。

3）2021年12月至1