为网络安全再上一道保险--网络安全保险 Q&A

纵观近年网络安全事件愈发频繁，诸如WannaCry和Petya勒索软件的袭击表明勒索攻击的猖獗；国内多家机构和Equifax的安全事件表明数据泄露的巨大危害性。从《中华人民共和国网络安全法》的正式实施以及近期媒体报道关于网络安全法的执法检查案例中我们可以看到国家监管层面对网络安全的重视程度和监管力度都进入了一个新的高度和新的时期，不少企业机构都开始关注网络安全保险并计划尝试购买此类保险产品。

根据美国SANS机构和Advisen公司联合发起的一个调查报告显示，参与调查的保险经纪人中仅有14%的人认为其客户机构中的CISO对网络安全保险有较好的认识和了解。同国外相比，国内网络安全保险市场才起步，参与承保机构聊聊数家，市场的宣传力度落后。网络安全风险是一个动态变化，覆盖内容广泛的安全范畴。因缺乏专业人士和工具手段、缺乏合理的评估模型和计价体系使得如何合理评估和量化风险损失都是一个长期困扰用户的问题。该情况导致用户在投保前难以选择适合的产品，投保出事后也难以提交被认可的索赔依据。

绿盟科技与前海财险共同推出的这款“网络安全综合保险”产品正是针对此类需求应运而生，其具有针对性的保障服务，保障内容涉及当前网络安全重要风险点。本文采用问答形式，从常识篇、购买篇、理赔篇三个方面对这款“网络安全综合保险”进行介绍。

常识篇

Q：什么是保险？

A：保险是集合具有同类风险的众多单位和个人，以合理计算风险分担金的形式，向少数因该风险事故发生而遭受经济损失的成员提供保险经济保障的一种行为。

从经济的角度来说，保险是分摊意外事故损失的一种财务安排，消费者（投保人）通过缴纳一定金额的资金（保险费），将个体所面临的不确定的大额损失变成了固定的小额支出；保险人（保险公司）通过向所有投保人收取保险费建立一种专项货币基金，来补偿少数不幸的消费者（被保险人）遭受的意外事故损失。

Q：什么是保险单？

A：保险单即保险合同，根据《中华人民共各国保险法》第10条第1款规定：“保险合同是投保人与保险人约定保险权利义务关系的协议”。

收取保险费是保险人的基本权利，赔偿或给付保险金是保险人的基本义务，与此相对应，交付保险费是投保人的基本义务，请求赔偿或给付保险金是被保险人的基本权利。

Q：财险和寿险有什么区别？

A：寿险，即人身保险，是以人的寿命和身体作为保险标的的保险，包括人寿保险、健康保险、意外伤害保险等；财险，即财产保险，广义的财产保险是以财产及其有关的经济利益和损害赔偿责任为保险标的的保险，包括财产损失保险、责任保险、信用保险、保证保险等。

寿险公司只能经营人身保险业务，而财险公司除了可以经营上述财险业务，还可以经营短期意外险和短期健康险。

网络安全综合保险是是属于财产险。

Q :什么是勒索软件？

A : 近些年，Ransomware（勒索软件）成为了黑客攻击的热点攻击手段，勒索软件指黑客通过各种锁定控制技术锁定了公司、个人电脑中的数据，并向其所有人索要赎金的一类攻击方式。勒索软件会通过钓鱼、恶意站点等方式使用户中招，并以此为基点继续进行传播，扩大攻击范围。当黑客攻破主机后，通常会加密锁定用户的关键文件、文件夹等（比如Windows的用户目录、My Documents、相片、工作有关的docx/xlsx文件等），让受害者不能访问，并向受害者发出或者留下勒索信息，勒索的赎金从数百美元到数万美元不等。

Q :能否介绍下近年发生的典型网络数据泄露事件的大致情况如何？

A : Equifax征信公司客户信息泄露就是这样一个典型案例。该事件造成1.4亿美国居民身份信息泄露，给Equifax带来的经济损失是4.39亿美元。

通常情况下，企业都认为访问数据的应用是安全的。但这种观点存在两个问题。首先，正如Equifax案例中一样，应用并不安全。软件中存在漏洞，可能被用来访问敏感信息。必须通过验证过程来确保应用是安全的。第二个，在安全链中，人是最薄弱的环节。他们一不小心就会共享凭证、下载恶意软件或暴露敏感信息。

购买篇

Q：贵司这款网络安全综合保险是合法的吗？

A：我司销售的网络安全综合保险，是由前海财险根据中华人民共各国保险法向中国银行保险监督管理委员会报备注册的产品，是合法的保险产品。

Q: 购买贵司网络安全综合保险需要什么条件？

A : 本保险产品承保在中华人民共和国境内（不含香港、澳门特别行政区和台湾地区，下同），合法拥有、保管或控制数据资产的法人作为被保险人的客户。本保险产品不接受个人投标。

Q: 贵司网络安全保险怎么收费？

A : 我司网络安全综合保险根据客户营业性质不同，分事业单位和企业两种类型进行收费，事业单位客户以IT系统个数作为收费基础，企业客户以营业规模、资产规模为作为收费基础，每个客户情况不一样，保费价格也不一样。

Q：企业已经有绿盟科技提供做网络安全服务了，再购买保险是不是重复了？

A：绿盟科技为贵司提供了信息安全评估和应急响应等技术层面的服务，购买保险则在额外成本和外部的责任赔偿方面为贵司提供资金保障。

Q：网络安全保险有哪些保障？

A：我司网络安全综合保险为客户提供了比较全面的保险保障，赔偿客户因网络安全事故引起的包括以下7个方面的经济损失：

（1）事故鉴定服务费用

（2）数据恢复费用

（3）计算机勒索赎金

（4）数据泄密责任

（5）外包商导致的数据泄密责任

（6）数据安全责任

（7）法律服务费用

理赔篇

Q：确认发生数据安全事故后，才可以赔付鉴定服务费用吗？

A：实际或疑似发生数据安全事故的鉴定服务费，都是可以赔偿的。

Q：实际或疑似发生数据安全事故，保险公司是直接按保险单先赔付鉴定费用，企业再去做鉴定吗？

A：实际或疑似发生数据安全事故，聘请了专业机构进行鉴定，保险公司赔偿实际发生的鉴定服务费用。

Q：实际或疑似发生数据安全事故，企业可以自己选择鉴定机构吗？

A：实际或疑似发生数据安全事故，由保险公司聘请专业机构进行鉴定服务，若企业自行鉴定机构，需聘请保险公司认可的专业机构进行鉴定服务。

Q：购买了网络安全保险，发生的所有数据恢复的费用，都可以赔？

A：我司网络安全综合保险，保障的数据恢复费用，需满足几个条件：（1）在保险期间内，（2）首次发生并向保险人报告的数据安全事故。

我司网络安全综合保险，负责赔偿企业为恢复、重建或重新收集电子数据，需要支付的费用。如：服务器数据恢复、硬件或软件数据恢复费用等。

Q：发生网络安全事故被勒索，可以赔吗？

A：在保险期间内，被保险人完全由于数据安全威胁造成的勒索损失，我司承担相应的赔偿责任，赔偿金额以保险约定的金额为限。如：黑客攻击并窃取了网站信息，向网站提出赎金要求。

Q：发生数据泄密，可以赔付吗？

A：在保险期间内，发生数据泄密造成第三者遭受直接财产损失，是可以赔付的。如：酒店泄露客户信息数据，受害者向酒店及数据商提出的索赔。

Q：因为外包商的原因发生数据泄密，可以赔付吗？

A：在保险期间内，因外包商导致的数据泄密造成第三者遭受直接财产损失，是可以赔付的。

如：企业使用外包商维护系统，由于外包商自身的管理原因造成信息泄露，受害方向企业提出的赔偿要求。

Q：数据安全责任，可以赔付吗？

A：企业因疏忽或过失，致第三方遭受的直接财产损失，是可以赔付的。

如：企业被植入恶意代码、窃取口令或硬件被盗而造成其服务的客户遭受损失，企业需要支付的赔偿金。

Q：法律服务费用

A：企业发生数据安全事故而被提起仲裁或者诉讼而产生的仲裁费、诉讼费、律师费等，是可以赔付的。

结语

这款“网络安全综合保险”产品专门为企业网络安全风险转移而设计，其具有“科技+金融”的综合保障服务特色，投保流程简单，理赔核保资金支付快捷，能协助企业网络保险政策实施落实，有利于部分降低和转移企业面临的网络风险及潜在的风险损失。

有关“网络安全综合险”细则，请与绿盟科技当地销售或与前海财险联系沟通。

	请点击屏幕右上方“…” 关注绿盟科技公众号 NSFOCUS-weixin

↑↑↑长按二维码，下载绿盟云APP