1、ICS 35.030CCS L 80CCIA中 國 網 絡 安 全 產 業 聯 盟 團 體 標 準T/CCIA 0012022面向網絡安全保險的風險評估指引Risk assessment guidelines for cybersecurity insurance2022 - 03 - 25 發布2022 - 05 - 01 實施中國網絡安全產業聯盟發 布學兔兔 HYPERLINK / 標準下載T/CCIA 0012022目次 HYPERLINK l _bookmark0 范圍1 HYPERLINK l _bookmark1 規范性引用文件1 HYPERLINK l _bookmark2 術語

2、和定義1 HYPERLINK l _bookmark3 概述2 HYPERLINK l _bookmark4 實施原則2 HYPERLINK l _bookmark5 實施方法3 HYPERLINK l _bookmark6 險別分類3 HYPERLINK l _bookmark7 投保流程3 HYPERLINK l _bookmark8 面向網絡安全保險的風險評估實施流程5 HYPERLINK l _bookmark9 評估流程5 HYPERLINK l _bookmark10 評估準備階段5 HYPERLINK l _bookmark11 風險評估要素識別階段5 HYPERLINK l _

3、bookmark12 風險分析與計算階段6 HYPERLINK l _bookmark13 保險人核保階段6 HYPERLINK l _bookmark14 風險要素識別6 HYPERLINK l _bookmark15 業務識別6 HYPERLINK l _bookmark16 資產識別7 HYPERLINK l _bookmark17 威脅識別9 HYPERLINK l _bookmark18 脆弱性識別10 HYPERLINK l _bookmark19 網絡安全保險通用場景風險計算11 HYPERLINK l _bookmark20 7.1 概述11 HYPERLINK l _book

4、mark21 業務風險計算11 HYPERLINK l _bookmark22 資產風險計算11 HYPERLINK l _bookmark23 威脅風險計算12 HYPERLINK l _bookmark24 脆弱性風險計算12 HYPERLINK l _bookmark25 風險分值的計算13 HYPERLINK l _bookmark26 網絡安全保險典型場景風險計算14 HYPERLINK l _bookmark27 數據安全場景14 HYPERLINK l _bookmark28 網絡勒索場景16 HYPERLINK l _bookmark29 業務連續性中斷場景17 HYPERLI

5、NK l _bookmark30 典型場景風險值計算17 HYPERLINK l _bookmark31 附錄 A（資料性） 脆弱性識別表19 HYPERLINK l _bookmark32 附錄 B（資料性） 已有安全控制措施識別表22 HYPERLINK l _bookmark33 附錄 C（資料性） 典型場景已有安全控制措施識別28 HYPERLINK l _bookmark34 附錄 D（資料性） 某虛擬銀行風險評估示例32 HYPERLINK l _bookmark35 參考文獻36IT/CCIA 0012022前言本文件按照GB/T 1.12020標準化工作導則第1部分：標準化文件

6、的結構和起草規則的規定起草。本文件由中國網絡安全產業聯盟提出。本文件由中國網絡安全產業聯盟歸口。本文件起草單位：杭州安恒信息技術股份有限公司、北京天融信網絡安全技術有限公司、北京神州綠盟科技有限公司、北京賽西科技發展有限責任公司、亞信科技（成都）有限公司、北京啟明星辰信息安全技術有限公司、北京梆梆安全科技有限公司、上海觀安信息技術股份有限公司、北京瑞和云圖科技有限公司、北京六方云信息技術有限公司、上海竟安網絡科技有限公司、網宿科技股份有限公司、光通天下網絡科技股份有限公司、國網思極網安科技（北京）有限公司、北京元支點信息安全技術有限公司、 北京知道創宇信息技術股份有限公司、北京華圣龍源科技有限

7、公司。本文件主要起草人：來澤楓、林明峰、陳星、梁偉、田麗丹、張靜、歐陽周婷、許玉娜、郝少碩、 卜祥正、郭嬋嬋、馮丹、呂翌澍、盧佐華、謝江、周東、胡亞瓊、周夢妍、吉貽俊、呂士表、湯季洪、 林寅偉、黃林、裴文成、郭鑫。IIT/CCIA 0012022引言網絡安全保險作為風險轉移的重要手段，得到越來越多的關注?，F階段開展網絡安全保險業務時， 對潛在投保用戶的信息系統進行網絡安全風險評估存在不足，缺乏規范的評估過程、指標和方法指引， 極大影響網絡安全保險在國內的推廣和應用。本文件試圖通過建立一套風險評估指標、流程、內容，規范對擬投保系統的風險評估，得出風險等級、風險分值，定量化的呈現擬投保系統網絡安全

8、風險狀況， 為后續開展網絡安全保險業務提供參考依據。IIIT/CCIA 0012022面向網絡安全保險的風險評估指引范圍本文件給出了網絡安全保險投保階段的網絡安全風險評估實施過程，提出了網絡安全保險通用場景 和數據安全、網絡勒索和業務連續性中斷三類典型場景的風險計算方法。本文件適用于指導網絡安全服務提供商在網絡安全保險投保階段開展網絡安全風險評估活動?？蔀?保險公司、再保險公司開展網絡安全保險業務前的風險評估與風險定價等提供指導，也可為網絡安全保 險投保人或被保險人開展網絡安全風險自評估提供參考。規范性引用文件下列文件中的內容通過文中的規范性引用而構成本文件必不可少的條款。其中，注日期的引用文

9、件， 僅該日期對應的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T 20984 信息安全技術 信息安全風險評估規范GB/T 31509 信息安全技術 信息安全風險評估實施指南GB/T 36687-2018 保險術語術語和定義GB/T 20984、GB/T 31509和GB/T 36687-2018界定的以及下列術語和定義適用于本文件。風險 risk一個給定的威脅，利用一項資產或多項資產的脆弱性，對組織造成損害的潛能?？赏ㄟ^事件的概率及其后果進行度量。網絡安全風險 cyber security risk人為或自然的威脅利用信息系統及其管理體系中存在的脆

10、弱性導致安全事件的發生及其對組織造成的影響。風險評估 risk assessment風險標識、分析和評價的整個過程。網絡安全風險評估 cyber security risk assessment依據有關網絡安全技術與管理標準，對信息系統及由其處理、傳輸和存儲的信息的保密性、完整性和可用性等安全屬性進行評價的過程。它要評估資產面臨的威脅以及威脅利用脆弱性導致安全事件的可 能性，并結合安全事件所涉及的資產價值來判斷安全事件一旦發生對組織造成的影響。網絡安全事件 cyber security incident網絡安全事件是由單個或一系列意外或有害的網絡安全事態所組成的，極有可能危害業務運行或威 脅信

11、息安全。安全控制 security controls為保護某一系統及其信息的保密性、完整性和可用性以及可核查性、真實性、抗抵賴性、私有性和 可靠性等,而對信息系統所選擇并施加的管理、操作和技術等方面的控制(即防御或對抗)。資產 asset1T/CCIA 0012022對組織具有價值的任何東西。威脅 threat可能導致對系統或組織危害的不希望事故潛在起因。脆弱性 vulnerability可能被威脅所利用的資產或若干資產的薄弱環節。評估要素 assessment factor風險評估活動中必須要識別、分析的一系列基本因素。網絡安全保險 cybersecurity insurance網絡安全保險

12、是以投保人信息資產安全性（信息的完整性、機密性、有效性等）為保險標的的保險 服務產品。對由于網絡安全事件給組織造成的負面影響進行賠償，賠償內容既包括組織本身財產損失也 包含第三方賠償責任。投保人 applicant;proposer與保險人訂立保險合同，并按照保險合同負有支付保險費義務的人。被保險人 insured其財產或者人身受保險合同保障,享有保險金請求權的人。注：投保人可以為被保險人保險人 insurer又稱“承保人”，是指與投保人訂立保險合同，并承擔賠償或者給付保險金責任的保險公司。再保險人 reinsurer再保險人是指接受原 HYPERLINK /item/%E4%BF%9D%E9

13、%99%A9/262 保險人分出的再保險業務，對再保險合同的原保險人所發生的保險賠付承擔賠 償責任的主體，也叫再保險接受人或分入人、分入公司。風險單位 unit of exposure HYPERLINK /item/%E4%BF%9D%E9%99%A9%E6%A0%87%E7%9A%84/1813672 保險標的發生一次災害事故可能造成的最大損失范圍。風險單位的劃分標準應根據不同的標的和險 種來決定。概述實施原則最小影響對于信息系統的風險評估，宜采用最小影響原則，即首要保障信息系統的穩定運行，而對于需要進 行攻擊性測試的工作內容，需與用戶溝通并進行應急備份，同時選擇避開業務的高峰時間運行?？?/p>

14、觀誠信開展網絡安全保險安全風險評估工作宜建立在雙方（投保人和評估方）誠信的基礎之上，投保人在 訪談過程中宜如實陳述或承諾自身的網絡安全情況，評估方在評估過程中宜客觀公正的記錄和分析投保 人的網絡安全情況。數據保護對在風險評估過程中所接觸到的業務數據、系統數據及其他相關數據進行安全保護，包括但不限于： 人員操作行為審計、數據安全意識培訓等，防止數據以任何形式被泄露、竊取和篡改，確保數據安全。2T/CCIA 0012022量化評估針對網絡安全保險業務的安全風險評估宜最大程度地確保評估結果能夠量化，以便于后續保險業務 的開展。范圍完整網絡安全保險安全風險評估宜以被評估組織的風險單元作為評估工作的核心

15、，把涉及風險單元相關的業務、系統、網絡、數據、應用平臺等作為評估工作的重點范圍，全面評估風險單元的網絡安全風險。邊界明確網絡安全保險安全風險評估時宜劃分風險單位，根據投保人的業務類型、系統重要性、影響程度等 來明確評估單元。實施方法開展網絡安全保險安全風險評估工作所采用的評估方法，主要包括訪談、檢查和測試3種。訪談是由評估人員與風險單元相關的管理人員、操作人員、服務人員等進行談話，以促進對保險標 的物安全控制措施實施情況的了解、分析或證據獲取。訪談的對象為個人或團體。注1：訪談對象可以是組織高管、CIO、信息安全機構領導、信息系統安全管理員、運維人員、網絡和系統管理員、機房安全管理人員和用戶等

16、。檢查是由評估人員通過對管理制度、安全策略和機制、安全配置和設計文檔、運行記錄等進行觀察、 查驗、分析以幫助評估人員理解、分析或取得證據的過程。檢查的對象為規范、機制和活動。注2：檢查活動可以是評審信息安全策略規劃和程序、分析系統的設計文檔和接口規范、觀測系統的備份操作、審查應急演練結果、觀察事件響應活動、研究技術手冊和用戶管理員指南及檢查信息系統安全基線配置等。測試是由評估人員進行技術測試，通過人工或自動化安全測試工具獲得相關信息，并進行分析以幫 助評估人員獲取證據的過程。測試的對象為機制和活動。注3：測試方式可以是滲透測試、安全機制測試、安全基線核查、數據備份與恢復測試、事件響應能力以及應

17、急規劃演練能力測試等。險別分類常見的網絡安全保險險別分類見表1，其中，不同險別在脆弱性識別時會存在額外的拓展項，參見第8章。表 1常見的網絡安全保險險別分類序號大類險別描述1第一方損失應急服務+數據恢復費用對被保險人因與下述事項有關所發生的合理費用和支出承擔相應的賠償責任：確定電子數據是否能夠恢復、重建或重新收集；如有可能，恢復、重建或重新收集電子數據。2網絡勒索威脅和勒索支付款項保險人負責向被保險人進行補償，被保險人實際支付的因網絡勒索威脅直接引起的勒索費用和勒索支付款項。3營業收入損失和從屬營業收入損失被保險人因服務中斷在恢復期限內發生的營業收入損失、從屬營業收入損失和額外費用，保險人向被

18、保險人進行補償。4第三者責任外包商數據安全責任被保險企業的信息外包服務商因遭遇未經授權訪問導致信息泄露，被保險人被數據泄露信息主體起訴而產生的法定賠償責任5數據安全責任被保險企業信息系統遭受未經授權訪，導致客戶信息泄露，被保險人被信息泄露主體起訴而產生的法定賠償責任注：保險相關描述最終以各保險公司條款為準。投保流程相關參與方網絡安全保險投保階段的風險評估過程一般涉及四個相關方，包括：3T/CCIA 0012022投保人/被保險人：投保人指與保險人訂立保險合同，并按照保險合同約定負有支付保費義務。 被保險人受保險合同保障,享有保險金請求權的人。投保人與被保險人可以為同一人。在網絡安全保險語境中，

19、投保人和被保險人指有潛在投保意愿，網絡安全能力達到一定水平的組織；保險人：提供網絡安全保險業務的保險公司；再保險人：提供網絡安全保險業務再保支持的公司；網絡安全服務提供商：為網絡安全保險提供風險評估、技術支持等安全服務的公司。投保流程網絡安全保險投保流程見圖1，用來指導和規范網絡安全風險評估方提供網絡安全保險安全風險評估工作的實施。圖 1網絡安全保險投保流程4T/CCIA 0012022面向網絡安全保險的風險評估實施流程評估流程網絡安全保險風險評估活動分為風險評估準備、風險要素識別、風險分析與計算、風險處理四個階 段，圖2給出了網絡安全保險風險評估流程。圖 2網絡安全保險風險評估流程評估準備階

20、段保險人、再保險人在開展網絡安全保險業務時，通常涉及一些準備活動，此類活動主要包括：向被評估方發送評估通知，告知評估相關內容；與被評估方協調評估獲取擬投保人已經實施的網絡安全控制措施；評估被保險人的網絡安全風險；評估被保險人的經營風險。風險評估要素識別階段在網絡安全保險風險評估活動中，應識別的風險要素有業務、資產、威脅和脆弱性（含已有安全控 制措施），具體如下：業務識別。業務識別分為三個步驟：第一步是業務板塊識別、承載業務板塊功能的信息系統的識別，即識別組織擬投保的業務板塊有哪些，以及承載業務的信息系統有哪些；第二步是風險單位的劃分；第三步是根據重要性分別對業務板塊、信息系統賦予權重，并得到被

21、評估方的認可。具體步驟見 6.1；5T/CCIA 0012022資產識別。資產識別分三個步驟：第一步識別出各信息系統承載的資產數量、類型等；第二步根據資產重要性賦予不同的系數值。資產保密性、完整性和可用性是評價資產的三個安全屬性,結合擬投保標的物在保險維度的價值，綜合上述維度將資產區分為 5 個級別（第 5 級最高）；第三步賦予權重，根據信息系統下承載的資產重要性分別賦值，并得到被評估方的認可。具體步驟見 6.2；威脅識別。動機、能力和頻率是威脅的屬性，據此將威脅能力賦值劃分為 5 個級別（第 5 級最高），判斷依據應在評估準備階段根據歷史統計或行業判斷予以確定，并得到被評估方的認可。具體步驟

22、見 6.3；脆弱性識別（含已有安全控制措施）。分成風險類型、識別類、識別項、識別內容四大類。根據網絡安全高低分為 5 個級別（第 5 級最高），每一個級別對應區間分數值。在做脆弱性識別時應同時識別出已有安全控制措施，具體步驟見 6.4。風險分析與計算階段網絡安全保險網絡風險評估根據業務、資產、威脅、脆弱性（含已有安全控制措施）的估算評分， 計算得出風險分值、風險等級。具體如下：業務打分。具體步驟見 7.1；資產打分。具體步驟見 7.2；威脅打分。具體步驟見 7.3；脆弱性打分（含已有控制措施）。具體步驟見 7.4；計算綜合風險分值、風險等級。具體步驟見 7.5。保險人核保階段網絡安全服務提供商

23、按照第7章與第8章提供的步驟，計算得出保險標的物的風險等級、風險分值等量化指標后交付保險人。保險人再結合保險屬性（如評估被保險人的行業屬性、商業風險、法律風險、 歷史風險發生情況等），決定是否承保，并提供保險報價。風險要素識別業務識別業務識別時的數據可來自于熟悉組織業務結構的業務人員或管理人員。業務識別即可通過訪談、文 檔查閱、資料查閱，還可通過對信息系統進行梳理后總結整理進行補充。業務識別需要識別出組織擬投保的業務板塊，承載各業務的信息系統數量、類型；并對業務板塊、 信息系統做風險單位劃分；對業務板塊、信息系統的重要性賦予不同的權重。業務識別時應針對業務流程，識別業務與信息系統、平臺或支撐系

24、統的邏輯關聯性，識別用于支撐業務活動的基礎設施、信息資產和資源。業務板塊識別業務板塊識別時可以參考：業務的定位、業務關聯性、業務完整性、業務流程。見表2。表 2業務板塊識別內容分類示例定位業務：業務功能、業務對象、業務范圍。戰略地位：發展戰略中的業務屬性和職能定位、與發展戰略目標的契合度、業務布局中的位置和作用、競爭關系中競爭力強弱等業務關聯性并列關系：業務與業務間并列關系包括業務間相互依賴或單向依賴，業務間共用同一信息系統，業務屬于同一業務流程的不同業務環節等父子關系：業務與業務之間存在包含關系等間接關系：通過其他業務，或者其他業務流程產生的關聯性等業務完整性獨立業務：業務獨立，整個業務流程

25、和環節閉環非獨立業務：業務屬于業務環節的某一部分?？赡芘c其他業務具有關聯性。6T/CCIA 0012022表2（續）分類示例業務流程業務邏輯：業務的輸入、輸出、執行過程中邏輯的完整性、可用性、合理性與安全性，通過詢問、查看或使用測試用例進行測試的方法進行業務流程識別，判斷流程中所涉及的業務邏輯是否得到完整、合理和安全的執行。數據流：數據在業務流程中的流轉、在系統內部或不同系統之間的輸入與輸出、相關接口等。流程管理審批：流程步驟、審評控制和人員等。業務流程分析關注業務數據流和業務控制流，既關注數據的流轉安全，也關注數據流的關鍵控制點。信息系統識別識別出某一業務板塊下承載的信息系統數量、類型等基本

26、信息。風險單位劃分風險單位劃分在保險中是指識別 HYPERLINK /item/%E4%BF%9D%E9%99%A9%E6%A0%87%E7%9A%84/1813672 保險標的發生一次災害事故可能造成的最大損失范圍，風險單位識 別內容見表3：表 3風險單位識別內容投保企業數量業務板塊數量承載業務的信息系統數量風險單位識別方法111宜將該信息系統及其資產作為一個風險單位，進行識別。11N宜將該業務板塊承載的所有信息系統及其資產作為一個風險單位，進行識別。1N1宜將該信息系統及其資產作為一個風險單位，進行識別。1NM宜將某業務板塊承載的所有信息系統及其資產作為一個風險單位進行識別；無論業務板塊之

27、間是否存在共同承載的信息系統。賦予權重在進行業務板塊識別時，可以根據各業務板塊的重要性，分別對其設置不同權重（與被評估方溝通， 并得到認可），為后續計算風險分值時提供參照依據；對于某一業務板塊下承載的各個信息系統，可以根據各信息系統的重要性，分別對其設置不同權重（與被評估方溝通，并得到認可），為后續計算風險分值時提供參照依據。資產識別資產識別主要有兩個方面的內容：一是識別出各信息系統承載的資產數量、類型等；二是根據資產 重要性賦予不同的系數值。資產分類識別資產識別包括根據資產類別進行識別、資產業務承載性識別和資產關聯性識別三個方面。根據資產 的表現形式，可將資產分為數據、服務、信息系統、平臺或

28、支撐系統、基礎設施、人員管理等。在實際 評估過程中，具體的資產分類方法可依據資產識別相關標準，經與被評估方充分溝通，并得到認可。表 4列出了一種資產分類方法。7T/CCIA 0012022表 4基于表現形式的資產分類方法類別分類示例業務生產數據：數據庫數據、分布式存儲系統數據等數據配置、審計、監測數據：系統運行監測數據、運行日志、軟硬件配置數據等文檔數據：系統文檔、運行管理規程、計劃、報告、用戶手冊、各類紙質的文檔等系統軟件：操作系統、數據庫管理系統、語句包、開發系統等信息系統應用系統：業務系統等應用軟件：辦公軟件、各類工具軟件、移動應用軟件等源程序：各種共享源代碼、自行或合作開發的各種代碼等

29、平臺：支撐系統運行的基礎設施平臺，如云計算平臺、大數據平臺等虛擬化支撐系統：支撐系統運行的虛擬化系統，如虛擬機管理器和虛擬機等有形資產平臺或支撐系統支撐接口：信息系統依賴的第三方平臺接口，如云計算PaaS層服務向其他信息系統提供的服務接口等傳統支撐系統：操作系統、數據庫管理系統、中間件、開發系統、語句包等網絡設備：路由器、網關、交換機等安全設備：防火墻、入侵檢測/防護系統、防病毒網關、態勢感知系統等計算機設備：大型機、小型機、服務器、工作站、臺式計算機、便攜計算機等基礎設施存儲設備：磁帶機、磁盤陣列、磁帶、光盤、軟盤、移動硬盤等傳輸線路：光纖、雙絞線等保障設備：UPS、變電設備、空調、保險柜、

30、文件柜、門禁、消防設施等智能終端：感知節點設備（物聯網感知終端）、移動終端等其他：打印機、復印機、掃描儀、傳真機等信息服務：對外依賴該系統開展的各類服務網絡服務：各種網絡設備、設施提供的網絡連接服務辦公服務：為提高效率而開發的管理信息系統，包括各種內部配置管理、文件流服務轉管理等服務供應鏈服務：為了支撐業務、信息系統運行、信息系統安全，第三方供應鏈以及服務商提供的服務等平臺服務：對外依賴云計算平臺、態勢感知平臺等開展的各類服務，如云主機服無形資產務、云存儲服務等運維人員：對基礎設施、平臺、支撐系統、信息系統或數據進行運維的人員，網絡管理員、系統管理員等人員管理業務操作人員：對業務系統進行操作的

31、業務人員或管理員等安全管理人員：網絡安全管理員、網絡安全管理領導小組等外包服務人員：外包運維人員、外包安全服務或其他外包服務人員等聲譽：組織形象、組織信用其它知識產權：版權、專利等業務關系：客戶關系、組織關系、政府關系等對于提供多種業務的組織，其支持業務持續運行的業務組成形式較多，其資產承載情況較為復雜。 將信息系統作為紐帶，對資產進行業務承載性識別，為下一步的風險評估打下基礎。資產業務承載性識別,可按照GB/T 31509確定評估對象中包含哪些信息系統,每個信息系統處理哪些種類業務,每種業務包括哪些具體業務功能,以及相關業務處理的流程。分析并清楚理解各種業務功能和流程,有利于分析系統中的數據

32、流向及其安全保證要求。資產具有關聯性，同一資產可能承載了不同的業務。在云計算平臺或大數據平臺，計算資源、網絡 資源和存儲資源進行了虛擬化，資產間的關聯性和安全性有更多相關性。資產關聯性識別確定承載哪些 業務，這些業務還涉及哪些其他相關資產，關聯資產的所有安全級別。賦予系數值根據資產重要性，分別對其設置不同系數值，為后續計算風險分值時提供參照依據。賦予權重某一信息系統下承載的所有資產，根據其重要性分別賦予權重值（與被評估方溝通，并得到認可）， 為后續計算風險分值時提供參照依據。8T/CCIA 0012022威脅識別威脅分類威脅是一種客觀存在的，可能導致危害系統或組織的不希望事故的潛在起因。造成威

33、脅的因素可分為人為因素和環境因素。環境因素中包括自然界不可抗的因素和其它物理因素。根據威脅的動機，人為因素又可分為惡意和非惡意兩種。威脅作用形式可以是對信息系統直接或間接的攻擊，在機密性、完整性或可用性等方面造成損害；也可能是偶然、或蓄意的事件。在對威脅進行分類前，應考慮威脅的來源， 見表5。表 5威脅來源列表來源描述環境因素斷電、靜電、灰塵、潮濕、溫度、鼠蟻蟲害、電磁干擾、洪災、火災、地震、意外事故等環境危害或自然災害，以及軟件、硬件、數據、通訊線路等方面的故障，或者依賴的第三方平臺或者信息系統等方面的故障。人為因素惡意人員不滿的或有預謀的內部人員對信息系統進行惡意破壞；采用自主或內外勾結的

34、方式盜竊機密信息或進行篡改，獲取利益。外部人員利用信息系統的脆弱性，對網絡或系統的保密性、完整性和可用性進行破壞，以獲取利益或炫耀能力。非惡意人員內部人員由于缺乏責任心、不關心、不專注、未遵循規章制度和操作流程等導致故障或信息損壞；內部人員由于缺乏培訓、專業技能不足、不具備崗位技能要求而導致信息系統故障或被攻擊。威脅有多種分類方法，根據威脅產生的原因、表現和后果不同進行分類，見表6。表 6威脅分類方法種類描述威脅子類災害性破壞由于不可抗力對信息系統造成物理破壞地震、戰爭、火災、水災、臺風、雷擊、坍塌、火災、恐怖襲擊、戰爭設備設施故障由于信息系統自身故障或外圍保障設施故障，造成信息系統異?；驅π?/p>

35、息系統當前運行造成潛在危害軟硬件自身故障、外圍保障設施故障、人為破壞、其它設備設施故障信息內容攻擊利用網絡發布、傳播危害國家安全、社會穩定和公共利益、企業和個人利益的內容的攻擊發布、傳播不良信息信息破壞通過網絡或其它手段，造成信息系統中的信息被篡改、假冒、泄露、竊取等信息篡改、信息假冒、信息泄露、信息竊取、信息丟失、其它信息破壞網絡攻擊通過網絡或其他手段，利用信息系統的配置缺陷、協議缺陷、程序缺陷或者使用暴力攻擊對信息系統實施攻擊， 并造成信息系統異常或對信息系統當前運行造成潛在危害拒絕服務攻擊、后門攻擊、漏洞攻擊、網絡掃描攻擊、網絡釣魚、干擾、其它網絡攻擊有害程序插入到信息系統中的一段程序，

36、危害系統中數據、應用程序或操作系統的保密性、完整性和可用性，或影響信息系統的正常運行計算機病毒、蠕蟲、特洛伊木馬、僵尸網站、混合攻擊程序、網頁內嵌惡意代碼、其它有害程序威脅能力識別不同的威脅源具有不同的攻擊能力，攻擊者的能力越強，攻擊成功的可能性就越大。衡量攻擊能力 的因素主要包括：施展攻擊的知識、技能、經驗和必要的資金、人力和技術資源等。威脅頻率識別判斷威脅出現的頻率是威脅識別的重要內容，評估方應根據經驗和有關的統計數據來進行判斷。在 評估中，需要綜合考慮以下四個方面，以形成在某種評估環境中各種威脅出現的頻率：以往安全事件報告中出現過的威脅及其頻率的統計；實際環境中通過檢測工具以及各種日志發

37、現的威脅及其頻率的統計；實際環境中的監測數據發現的威脅及其頻率的統計；近一兩年來國際組織發布的對于整個社會或特定行業的威脅及其頻率統計，以及發布的威脅預警。9T/CCIA 0012022脆弱性識別脆弱性分類識別脆弱性本身不會造成損害，它被某個威脅所利用才會造成損害。如果脆弱性沒有對應的威脅，則無 需實施控制措施，但應注意并監視他們是否發生變化。應注意，控制措施的不合理實施、控制措施故障 或控制措施的誤用本身也是脆弱性?？刂拼胧┮蚱溥\行的環境，可能有效或無效。相反，如果威脅沒有 對應的脆弱性，也不會導致風險。脆弱性可從管理和技術兩個方面進行審視。管理脆弱性與擬投保組織整體管理環境有關，管理脆弱性

38、識別以擬投保組織為單位，一個擬投保組織做一次管理脆弱識別；技術脆弱性與具體技術活動相關， 技術脆弱性識別以信息系統為單位，一個信息系統做一次技術脆弱性識別。脆弱性識別針對保險標的識別可能被威脅利用的弱點，并對脆弱性的嚴重程度進行評估。表7提供了一種脆弱性識別方法。表 7脆弱性識別方法類型識別類識別項管理脆弱性（組織層面）安全管理管理制度組織機構人員安全意識培訓外包商管理供應鏈管理資產管理漏洞管理郵件管理定期評估應急響應備份恢復合規評估技術脆弱性（信息系統層面）安全防護物理安全邊界防護安全審計訪問控制身份鑒別入侵防范監測預警上網行為監測惡意代碼監測情報應用注：根據保險業務開展特性，脆弱性識別（已

39、有安全控制措施）內容采用“是否”提問方式進行。在脆弱性賦值時， 若相關脆弱性存在，則賦予對應權重分值。附錄A提供了脆弱性識別內容的詳細清單。賦予系數值在進行業務板塊識別時，根據測評項的重要性，分別對其設置不同系數值，為后續計算風險分值時 提供參照依據。已有安全控制措施識別已有安全控制措施確認與脆弱性識別存在內在的聯系。詳見附錄B已有安全控制措施確認表。10T/CCIA 0012022網絡安全保險通用場景風險計算概述結合網絡安全保險風險評估的實際情況，對業務（重要性）、資產（重要性）、威脅（威脅動機、 威脅能力、威脅頻率）、脆弱性（結合已有安全控制措施）分別進行計算，最終得出一個具體的風險分值（

40、0-100分之間），并在風險分值的基礎上，再劃分風險等級，風險分值與風險等級用于評判、衡量擬投保保險標的網絡安全風險狀況。業務風險計算對已經識別的業務板塊、及某一業務板塊下承載的信息系統，根據其重要性，分別賦予不同的權重 值，表8提供了一種針對業務權重賦值的參考。表 8權重賦值方法等級標識權重值（百分比）描述5很高100%業務或業務流程在戰略中極其重要，在戰略的屬性及職能定位層面具有重大影響，在戰略的發展目標層面中短期目標或長期目標中占據極其重要的地位，在業務規劃層面與較多業務交叉性強，是多個業務流程的重要環節。4高10070（含）%業務或業務流程在戰略中較為重要，在戰略的屬性及職能定位層面具

41、有較大影響，在戰略的發展目標層面中短期目標或長期目標中占據極其重要的地位，在業務規劃層面與較多業務交叉性存在交叉性。3中等7040（含）%業務或業務流程在戰略中具有一定重要性，在戰略的屬性及職能定位層面具有一定影響，在戰略的發展目標層面中短期目標或長期目標中占據重要的地位，在業務規劃層面與其他業務存在一定交叉性。2低4020（含）%業務或業務流程在戰略中具有一定重要性，在戰略的屬性及職能定位層面具有較低影響，在戰略的發展目標層面中短期目標或長期目標中占據一定的地位，在業務規劃層面與其他業務存在較小的交叉性。1很低200%業務或業務流程在戰略中具有一定重要性，在戰略的屬性及職能定位層面具有較低影

42、響，在戰略的發展目標層面中短期目標或長期目標中占據較低的地位，在業務規劃層面相對獨立。資產風險計算系數值根據業務重要程度，資產分為5個級別（第5級最高），業務重要程度越高，以及對資產的依賴程度 越高，資產等級就越高，見表9。表 9資產分級與價值系數等級標識系數值描述5很高1非常重要，其安全屬性破壞后造成系統大面積癱瘓，使其喪失業務處理能力，或系統關鍵數據的保密性、完整性、可用性遭到嚴重破壞，恢復系統正常運行和消除安全事件負面影響所需付出的代價十分巨大，對于事發組織是不可承受的；4高0.98重要，其安全屬性破壞后造成系統長時間中斷或局部癱瘓，使其業務處理能力受到極大影響，或系統關鍵數據的保密性、

43、完整性、可用性遭到破壞，恢復系統正常運行和消除安全事件負面影響所需付出的代價巨大，但對于事發組織是可承受的；11T/CCIA 0012022表9（續）等級標識系數值描述3中等0.95比較重要，其安全屬性破壞后造成系統中斷，明顯影響系統效率，使重要信息系統或一般信息系統業務處理能力受到影響， 或系統重要數據的保密性、完整性、可用性遭到破壞，恢復系統正常運行和消除安全事件負面影響所需付出的代價較大，但對于事發組織是完全可以承受的；2低0.9不太重要，其安全屬性破壞后造成系統短暫中斷，影響系統效率，使系統業務處理能力受到影響，或系統重要數據的保密性、完整性、可用性遭到影響，恢復系統正常運行和消除安全

44、事件負面影響所需付出的代價較小。1很低0.8不重要，其安全屬性破壞后對組織造成導很小的損失，甚至忽略不計權重某一信息系統下承載的所有資產，根據其重要性分別賦予權重值（與被評估方溝通，并得到認可）， 具體的權重賦值方法可參考表8。威脅風險計算威脅等級可劃分為5個級別（第5級最高）。依據威脅動機、威脅能力、威脅頻率，采用加權方式（依 據威脅程度，權值建議采用不同權值）確定威脅等級。在實際的評估中，威脅的判斷依據應根據歷史統 計或行業判斷予以確定，并得到被評估方的認可，見表10。表 10威脅系數表等級標識系數值定義5很高1威脅很高4高0.98威脅高3中等0.95威脅中等2低0.9威脅低1很低0.8威

45、脅幾乎不可能發生脆弱性風險計算計算步驟計算分成以下幾個步驟：計算管理脆弱性分值，在組織層面對脆弱性做整體風險識別并得出管理脆弱性分值；將管理脆弱性分值轉換為對應的系數值；計算技術脆弱性分值，在信息系統層面對脆弱性做風險識別并賦值，該信息系統承載的資產統一繼承信息系統的脆弱性賦值；計算整體脆弱性分值，整體脆弱性分值=管理脆弱性分值對應的系數值技術脆弱性分值。計算公式計算公式如下所示：V=n1WkXk(1)k=1n式中：V脆弱性風險分值n風險評估項數Wk 權 重 ， Xk風險評估分值表11為權重表，將某一風險評估項根據重要性劃分三檔權重值，“一般風險評估指標”權重0.4、“重要風險評估指標”權重0

46、.7、“關鍵風險評估指標”權重1。12T/CCIA 0012022表12為測評結果分值表，該表中“風險評估結果”值為附錄B已有安全性措施選項得分；“得分” 值為附錄B已有安全性措施實施效果得分。分成三檔：是（達到要求）0分，（部分達到要求）0.5分、否（未達到要求）1分。表 11三檔權重值指標重要性權重一般風險評估指標0.4重要風險評估指標0.7關鍵風險評估指標1表 12風險評估分值風險評估結果得分說明是（達到要求）0分1、“風險評估結果”值為附錄B已有安全性措施選項部分達到要求0.5分2、“得分”值為附錄B已有安全性措施實施效果得分3、如同一風險評估項目，遇到多個對象的，所有對象結果不一致否

47、（未達到要求）1分時，最后結果是“部分達到要求”，這里不按少數服從多數來取最后的結果，例如：達到要求、部分達到要求、部分達到要求部分達到要求，而不是未到達要求。不適用不計入公式中脆弱性分值經過識別、分析計算出的脆弱性分值對應脆弱性的5個級別（第5級最高），見表13。表 13脆弱性分值與分級等級標識分值與分值對應的系數值（用于管理脆弱性變換）5很高10090（含）14高9080（含）0.983中等8070（含）0.952低7060（含）0.91很低600.8風險分值的計算風險分值計算步驟風險分值計算步驟如下：計算資產風險分值：以某資產為單位，計算風險分值；計算信息系統風險分值：各資產風險分值加權

48、后，得出這些資產承載的信息系統的風險分值；計算業務板塊風險分值：業務板塊承載的各信息系統，加權后計算風險分值；計算投保標的物風險分值：各業務板塊風險分值加權后，計算投保標的物的風險分值。風險分值計算公式風險分值計算公式如下：計算安全事件發生可能性：式 中 ： L安全事件發生的可能性T威脅系數值（發生頻率） V脆弱性分值（嚴重程度）計算安全事件的損失L =T V(1)F =La V(2)13T/CCIA 0012022式中：F 安 全 事 件 損 失 La資產系數值（發生頻率） V脆弱性分值（嚴重程度）計算安全事件風險分值式 中 ： R安全事件風險分值L安全事件發生可能性F安全事件損失風險分值與

49、風險等級R = L F(3)風險分值與風險等級需區分通用場景及包含主要險種的場景。通用場景的風險分值、風險等級與核保建議經過上述風險評估全部流程，最終計算的風險分值和風險等級、核保之間的對應關系，見表14。表 14風險分值與風險等級、核保之間的對應關系風險等級風險分值內容描述核保建議特別重大風險10090（含）被測對象中存在極嚴重的安全問題，需要立即整改不建議承保重大風險9060（含）被測對象中存在較嚴重的安全問題，需要立即加固加固后承保中等風險6020（含）被測對象中存在安全問題，但不會導致被測對象面臨高等級安全風險加固后承保一般風險2010（含）被測對象中存在安全問題，但不會導致被測對象面

50、臨高、中等級安全風險加固后承保低風險100（含）被測對象安全風險較小建議承保包含主要險種的風險分值、風險等級與承保建議 風險分值=通用場景的風險分值+典型場景的風險分值注：典型場景的風險值計算見第8章，風險等級、核保建議見表14。網絡安全保險典型場景風險計算數據安全場景概述數據安全場景的風險可被網絡安全保險大類中第一方損失和第三者責任項下責任承保，保險險別包 含且不限于：應急服務+數據修復責任、外包商數據安全責任、數據安全責任等。附錄C提出了典型場景 已有安全控制措施清單。資產識別數據安全場景的風險評估資產識別按照6.2開展。威脅識別數據安全場景的風險評估威脅識別按照6.3開展。脆弱性識別數據

51、安全場景的風險評估脆弱性識別（含已有控制措施）除了按照6.4開展外，還應識別表15中所列出的擴展識別項及內容。14T/CCIA 0012022表 15數據安全場景脆弱性識別擴展項類型識別類識別項識別內容權重管理脆弱性（組織層面）安全管理管理制度是否有健全的數據安全管理辦法和規范。（可覆蓋數據安全全生命周期）1組織機構是否設置負責數據安全保護相關事宜的首席責任崗位定期評估是否定期開展數據安全風險評估是否定期開展個人信息安全影響評估應急響應是否具有針對數據泄露、數據破壞等數據安全事件場景下的專項應急預案程序備份是否備份了適用的驅動程序或應用程序安裝文件（與備份，軟件許可協議等一起存儲）是否定期檢測

52、備份恢復系統功能有效性數據安全數據分類分級是否開展數據分類分級工作是否制定數據分類分級策略、方法及制度是否有數據發現及數據識別工具或產品數據采集是否在數據采集時告知用戶數據采集目的及用途，并最小化采集數據是否符合合法性及正當性要求是否在數據采集時按照統一標準及要求，規范數據入庫操作是否對數據源進行身份鑒別和記錄，并對數據進行標識數據存儲是否對重要業務信息、系統數據、軟件系統等對象具備并維持本地備份及恢復程序是否定期執行數據備份和恢復是否與數據存儲平臺系統管理人員簽訂保密協議是否按照數據訪問權限管理制度和數據存儲安全策略，針對不同數據存儲平臺系統配備對用戶或業務（是否用程序）的訪問控制措施，確保

53、非授權用戶或業務（是否用程序）不能訪問數據數據處理是否使用未脫敏的數據用于業務系統的開發測試是否完整記錄數據使用過程中的操作日志數據導出是否有明確的安全評估和授權審批流程數據傳輸是否采取加密、脫敏、去標識化等技術手段保護重要數據、敏感數據及個人信息等的安全重要數據（包括但不限于鑒別數據、重要業務數據和重要個人信息等）在傳輸過程中是否采用密碼技術保證其機密性重要數據（包括但不限于鑒別數據、重要業務數據和重要個人信息等）在傳輸過程中是否采用校驗技術或密碼技術保證其完整性是否建立相應審批流程，對跨組織機構或使用互聯網的數據傳輸事項進行前置審批數據交換是否在隱私政策中允許與第三方共享數據是否提供對外的

54、數據接口是否定期對本企業對外數據接口進行清查，對不符合要求的對外數據接口立刻予以關停共享數據的“第三方”是否建立了相關信息安全相關規范制度數據銷毀是否建立針對重要數據的刪除、凈化機制是否建立數據銷毀審批機制，設置銷毀相關監督角色，監督操作過程，留存審批記錄至少不少于6個月是否對數據的批量銷毀采用雙人操作模式，單人不得擁有完整操作權限15T/CCIA 0012022表15（續）類型識別類識別項識別內容權重數據審計是否有針對數據庫記錄、數據安全產品日志的審計是否針對數據全生命周期各階段開展審計是否有數據庫審計系統等審計工具或產品安全運營是否有數據泄露防護產品或數據運營平臺注：“數據安全”識別類及其

55、對應的識別項均為新增加。表C.1提供了數據安全場景已有安全控制措施識別清單。網絡勒索場景概述網絡勒索場景的風險可被網絡安全保險大類中的第一方損失項下責任承保，保險險別包含且不限于： 網絡勒索威脅和勒索支付費用責任。業務識別網絡勒索場景的風險評估業務識別按照6.1開展。資產識別網絡勒索場景的風險評估資產識別按照6.2開展。威脅識別網絡勒索場景的風險評估威脅識別按照6.3開展。脆弱性識別網絡勒索場景的風險評估脆弱性識別（含已有控制措施）除了按照6.4開展外，還應識別表16中所列出的擴展識別項及內容。表C.2提供了網絡勒索場景已有安全控制措施識別清單。表 16網絡勒索場景脆弱性識別擴展項類型識別類識

56、別項識別內容權重管理脆弱性（組織層面）安全管理管理制度是否建立了網絡安全勒索情報的收集、處理、管理機制1，是否建立針對網絡勒索事件的報送機制和對外信息共享、聯動機制意識培訓是否開展了網絡勒索防范的專項培訓，其中包括有關如何識別和報告可疑活動或事件的方法（例如網絡釣魚）是否在組織范圍內進行過網絡釣魚測試，以評估員工的安全意識，增強識別潛在惡意電子郵件的能力郵件管理是否實施了基于域的郵件身份驗證策略應急響應是否制定了專門針對網絡勒索場景的應急響應制度和流程是否開展過組織層面的網絡勒索專項應急演練程序備份是否備份了適用的驅動程序或應用程序安裝文件（與備份軟件許可協議等一起存儲）是否定期檢測備份恢復系

57、統功能有效性技術脆弱性（信息系統層面）安全防護入侵防范是否對弱口令做監測1是否已通過禁用或修改默認端口的形式防范遠程登錄風險監測預警惡意代碼監測是否采取技術措施防止并阻斷勒索軟件在組織內部的傳送和傳播是否在所有資產上實施應用程序控制，以確保只運行授權的軟件和進程，并且阻止所有未經授權的軟件行是否采取技術措施檢測勒索軟件及其他惡意軟件16T/CCIA 0012022業務連續性中斷場景概述業務連續性中斷場景的風險可被網絡安全保險大類中的第一方損失項下責任承保，保險險別包含且 不限于：營業中斷損失責任（包含營業收入損失、從屬營業收入損失、利潤損失等）。業務識別業務連續性中斷場景的風險評估業務識別按照

58、6.1開展。資產識別業務連續性中斷場景的風險評估資產識別按照6.2開展。威脅識別業務連續性中斷場景的風險評估威脅識別除了按照6.3開展以外，需重點關注表17所列威脅：表 17業務連續性中斷場景威脅識別擴展項編號威脅源威脅描述威脅等級資產威脅系數值1拒絕服務攻擊攻擊服務器使業務無法響應正常訪問，很高應用服務器12分布式拒絕服務攻擊多個攻擊者同時向業務系統發動攻擊耗盡系統資源導致業務無法訪問3勒索攻擊加密業務數據導致無法正常使用，并索取贖金數據庫服務器脆弱性識別業務連續性中斷場景風險評估脆弱性識別（含已有控制措施）除了按照6.4開展外，還應識別表18 中所列出的擴展識別項及內容。表C.3提供了業務

59、連續性中斷場景已有安全控制措施識別清單。表 18業務連續性中斷場景脆弱性識別擴展項類型識別類識別項識別內容權重管理脆弱性（組織層面）安全管理應急響應是否有針對服務器故障、業務系統故障、重要網絡設備故障等場景導致重要業務連續性中斷的專項應急預案1是否有針對防護設備誤攔截正常業務導致連續性中斷的應急預案程序備份是否備份了適用的驅動程序或應用程序安裝文件（與備份，軟件許可協議等一起存儲）是否定期檢測備份恢復系統功能有效性技術脆弱性（信息系統層面）安全防護物理安全是否設置冗余或并行的電力電纜線路為計算機系統供電是否提供短期的備用電力供應，至少滿足設備在斷電情況下的正常運行要求邊界防護是否提供關鍵邊界防

60、護設備的硬件冗余是否存在可以直接中斷關鍵業務會話的特征匹配規則監測預警惡意代碼監測是否將關鍵業務進程設定為防病毒白名單典型場景風險值計算R = L1 R1 L2 R2 L3 R3(1)lll式 中 ： R典型場景風險分值R1數據安全場景風險分值R2網絡勒索場景風險分值R3業務連續性中斷場景風險分值17T/CCIA 0012022L1數據安全場景險種賠償限額 L2網絡勒索場景險種賠償限額 L3業務連續性中斷場景險種賠償限額l保單賠償限額附錄D給出了示例，按照風險評估流程，計算風險分值。18T/CCIA 0012022附錄A（資料性） 脆弱性識別表脆弱性識別與權重賦值見表A.1。表 A.1 脆弱性