□马达

（上接9月20日本版同名文章）

3.保险公司需加强与第三方网络风险管理公司的合作

保险带给投保人的不应仅限于事后赔偿，还应该有一系列的风险管理服务和应急处理服务，而网络安全保险更是如此。风险管理服务可成为保险公司网络安全保险经营的一大亮点，极大提升产品的市场竞争力。

基于网络安全风险的特殊性，保险公司对其风险进行管理的过程中需要大量的专业技术支持，仅依靠保险公司自身来构建一支网络安全技术人员队伍是不现实的。

保险公司可与第三方网络风险管理公司合作，采用大数据、云计算等手段为投保人识别网络安全风险点，制定网络安全风险管理策略，并指导其进行风险管理。网络安全事故后可为其提供专家顾问，协助其进行公共关系维护，帮助投保人尽快从事故中恢复，帮助客户分析网络安全风险的遗漏点并制定相应的防范措施，推荐更实时有效的网络安全建设方案。

在国外，第三方合作伙伴一直是网络安全保险服务的主要参与者，比如软件公司赛门铁克于2015年创立了一个独立提供网络安全保险的公司CyberCube，并推出网络风险建模工具，将大数据、人工智能技术与精算科学融合在软件即服务（SaaS）平台中，以强大的数据分析以及风险量化能力协助行业内的保险公司承保。2021年，CyberCube又与劳合社保险公司和佳达再保险经纪公司共同设计开发了网络巨灾风险产品，承保“云中断、电力或基础设施中断、重大恶意软件攻击”三大网络巨灾风险，并为投保客户提供网络威胁和风险暴露的可视化评估。

4.促进网络风险向资本市场转移

保险商/再保险商发行保险连接证券（insurance-linked security）让资本市场投资者来承担部分风险，是提高应对网络风险损失能力的另一条途径。网络风险证券化提供广泛保障，包括针对某些网络风险（譬如IT系统失效导致业务中断）的保障，以及未经授权的活动、会计错误、文档错误和监管合规等方面相关的运营失效风险。2016年5月，瑞士信贷首次发行与网络安全风险相连的保险连接证券，与传统灾害债券类似，风险证券化帮助瑞士信贷将业务流程失效或缺漏导致的极端损失风险，转移给了资本市场投资者。

建立网络安全保险的行业统一标准

我国网络安全保险市场尚处于起步阶段，目前还没有形成一个行业统一的标准进行指导，不利于网络安全保险市场的规范发展。一方面，由于缺少标准保单可参考，会妨碍保险公司开发设计网络安全保险的积极性，也会造成各保险公司承保责任的差异明显、定义不清等问题。另一方面，网络安全技术服务对网络安全保险业务支撑能力尚显不足，需鼓励产学研协同合作开展网络安全保险服务标准化研究，推动形成网络安全技术标准和服务要求体系框架，引导网络安全保险产业健康有序发展。具体可以从以下几点入手：

1.加强保险合同标准化

行业协会或监管机构需对网络安全保险中的各项保险责任和除外责任进行统一定义，对损失类型、第三方保障责任、网络安全专业术语等进行行业认可的统一标准界定，并体现保单条款的专业性和通俗性，便于专业营销和投保沟通，减少理赔纠纷。明确网络安全保险相关专业概念的含义，避免出现一词多义等问题，从而造成投保人对条款的误读，使专业术语尽可能规范统一。例如，对网络保险、网络安全保险等相似概念进行明晰和统一，结合网络安全风险对具体承保责任相关概念和含义进一步明确等。在术语标准化基础上，探索实现网络安全保险产品框架的标准化。

2.统一技术服务标准要求

在现有国家标准的基础上，形成适用于网络安全保险的风险评估标准，开发全行业横向及行业内纵向的网络安全风险分级标准，明确风险持续监测、事件应急处置及溯源取证的技术要求，形成系列标准规范。

3.推动业务流程规范化

近几年，美国保险监督官协会（NAIC）成立了专门的网络安全工作组，并积极与学术界、网络安全运营商、保险公司、企业信息安全管理人员等开展合作，探索充分利用网络风险事件数据库推进跨部门网络安全合作的最佳实践，制定了保险公司承保网络风险的指导原则，明确了网络安全保险的保障责任并规范其业务流程，以保证各保险公司都能符合行业最佳实践。

结合我国网络安全保险发展的实际情况，以降低风险管控技术的部署成本为目标，保险行业协会可联合保险公司、网络安全服务机构、高校与研究机构，对网络安全保险的风险评估流程、风险监测范围、风险处置及应急响应服务、定责定损标准、出险理赔程序等开展研究，明确基本原则、主要业务、配套服务等，为网络安全保险业务流程设计提供总体框架和通用要求。

总之，网络安全保险是一个新兴领域，需要政府部门、保险公司、行业协会在法律政策制定、产品开发、行业标准规范等方面展开积极探索，共同努力构建新型的网络安全生态。（下）

（作者系大连交通大学经济管理学院副教授）