ICS03.080A11準Specificationforcybe上海市保險同業公會發布IT/SIA0001—2022 II III 12規范性引用文件 13術語和定義 14服務基本條件 34.1服務機構 34.2服務人員 34.3服務合同 34.4合作機構選擇 34.5服務管理制度 44.6服務費用 44.7檔案管理 45服務提供過程 45.1承保服務 45.2理賠服務 55.3風控服務 75.4投訴處理 86服務質量評價和改進 86.1服務質量評價 86.2評價結果應用 96.3服務質量改進 96.4評價指標 9附錄A（資料性附錄）授權委托書格式 10附錄B（資料性附錄）網絡安全保險服務流程圖 11附錄C（資料性附錄）網絡安全保險服務質量主要評價指標 12 13T/SIA0001—2022本文件按照GB/T1.1-2020《標準化工作導則第1部分：標準化文件的結構和起草規則》的規定起請注意本文件的某些內容可能涉及專利。本文件的發布機構不承擔識別專利的責任。本文件由上海市保險同業公會歸口。本文件起草單位：中國人民財產保險股份有限公司上海市分公司、中國太平洋財產保險股份有限公司上海分公司、中國平安財產保險股份有限公司上海分公司、眾安在線財產保險股份有限公司、中國大地財產保險股份有限公司營業部、中國人壽財產保險股份有限公司上海市分公司、中國財產再保險有限責任公司上海分公司。本文件主要起草人：王劍、楊博、劉愉、章鎣、田川、陸穎、王文瑾、洪晶晶、李夢嬌、謝飛。首期承諾執行單位：中國人民財產保險股份有限公司上海市分公司、中國太平洋財產保險股份有限公司上海分公司、中國平安財產保險股份有限公司上海分公司、眾安在線財產保險股份有限公司、中國大地財產保險股份有限公司營業部、中國人壽財產保險股份有限公司上海市分公司、中國財產再保險有限責任公司上海分公司。T/SIA0001—2022在我國建設網絡強國的進程中,網絡安全保險作為產業生態鏈中不可或缺的一環,意義重要而深遠，網絡安全保險作為網絡安全領域風險管理的重要手段，已得到越來越廣泛的認可。因此,亟待推動網絡安全保險領域“四化”建設,以安全價值數字化、防御布局主動化、風險損失分散化、法律政策健全化,來保障中國網絡信息領域有效抵御風險。目前，我國形成以《網絡安全法》《數據安全法》《個人信息保護法》三法為核心的網絡法律體系，為數字時代的網絡安全、數據安全、個人信息權益保護提供了基礎制度保障，也為網絡安全保險在中國的發展提供了強有力的法律基礎。為確保網絡安全保險更好的服務各類企業，根據國家相關法律、法規和標準制定本文件，形成網絡安全保險承保、風控、理賠服務的統一標準要求，以提高網絡安全保險服務水平。本文件的制定將為網絡安全保險規范化服務提供依據，一方面有利于網絡安全保險服務規范化，另一方面有利于社會和保險消費者對網絡安全保險服務質量進行監督、評價，推動網絡安全保險服務質量的不斷改善與提升，使保險消費者的利益得到切實保障,有效推動上海市網絡安全保險健康發展。1T/SIA0001—2022網絡安全保險服務規范本文件規定了網絡安全保險服務的服務基本條件、服務提供過程以及服務質量評價和改進。本文件適用于財產保險公司及其分支機構（以下簡稱“保險公司”）提供的網絡安全保險服務。2規范性引用文件本文件沒有規范性引用文件。3術語和定義下列術語和定義適用于本文件。3.1網絡安全風險cyberrisk對數字資產（即某事件或事物所具有的信息集）所面臨的威脅、存在的弱點、造成的影響，以及三者綜合作用所造成損害的潛能。可以通過事件的概率，可量化設計、驗證度量的安全性指標及其后果進行度量。3.2網絡安全事件cybersecurityincident由于風險對網絡和信息系統造成危害，或對社會造成負面影響的事件。例如計算機病毒、木馬、漏洞、網絡攻擊、信息泄漏等事件。3.3風險評估riskassessment利用風險識別、風險分析、風險評價、風險驗證量化測評風險事件帶來的影響或損失可能程度的整個過程。3.4風控服務riskcontrolservice保險服務過程中采取各種措施和方法，降低網絡安全事件發生的可能性，減少網絡安全事件發生時造成的損失。3.52T/SIA0001—2022投保人applicant與保險人訂立網絡安全保險合同，并按照合同負有支付保險費義務的人或組織。根據《中華人民共和國保險法》的要求，投保人需要對保險標的或被保險人具有法律上承認的保險利益。3.6被保險人insured受網絡安全保險合同保障，享有保險金請求權的人或組織。投保人可以為被保險人。3.7保險人insurer與投保人訂立網絡安全保險合同，并按照合同承擔賠償或者給付保險金責任的保險公司。3.8網絡安全服務機構cybersecurityserciveProvider為被保險人提供網絡安全保險風控服務的第三方專業機構，該機構需要符合有關標準規定的基本能力要求、專業能力要求及評定要求，并取得專業服務相關資質。3.9網絡安全保險cyberinsurance保險人承保被保險人因網絡安全事件造成的經濟損失或應承擔的法律賠償責任的保險。3.10網絡安全保險理賠服務cyberinsuranceclaimsservices保險人依據法律法規和網絡安全保險合同，為被保險人提供報案受理、查勘、定損、理算、核賠、支付、結銷案、損余物資處理、接訪應訴與客戶回訪等服務。3.11報案受理claimsregistration保險人接受網絡安全出險報案，進行報案處理的過程。3.12查勘claimsinvestigation保險人對保險事故造成的被保險人及相關第三者經濟損失情況進行調查核實的過程。3.13定損lossassessment保險人對保險事故造成的被保險人及相關第三者經濟損失進行損失價值評估的過程。3.143T/SIA0001—2022理算claimshandling保險人對被保險人遞交的索賠單證進行審核、整理并繕制賠款計算書的過程。3.15核賠claimsassessment保險人根據對被保險人遞交索賠申請的審核和清算結果，對賠償金額進行確認的過程。3.16結銷案claimsclosure保險人對處理完畢的理賠案件進行關閉或因故撤銷已受理的理賠案件的過程。3.17損余物資處理handlingofsalvage保險人完成保險標的損失賠償后，對原保險標的的殘值（受損后的財產）進行處置的過程。4服務基本條件4.1服務機構4.1.1保險人應滿足以下條件：a)應是在中華人民共和國境內注冊的財產保險公司及其分支機構；b)應持有保險行業監管部門依法頒發的特許保險機構經營金融業務的《保險許可證》；c)近兩年在承保地區經營活動中沒有重大違法記錄、無因不正當競爭遭受處罰的記錄、無重大經濟刑事案件記錄；d)符合有關監管部門對經營網絡安全保險業務所規定的資質要求。4.1.2保險人應根據業務規模和案件數量設置服務場所、配置服務人員和服務設施設備。4.1.3保險人在服務過程中應信守合同，兌現承諾，尊重和維護保險消費者的合法權益。4.1.4保險人應明確網絡安全保險業務的管理部門，對網絡安全保險服務進行全流程管理。4.2服務人員4.2.1保險人應根據服務功能和業務規模設置服務崗位，配置相應服務人員。4.2.2服務人員應經過崗位技能與業務知識培訓，合格后上崗。4.2.3服務人員應符合有關監管部門對網絡安全保險業務所規定的資質要求。4.2.4服務人員應具備相應的保險和網絡安全專業知識，了解相關法律法規和政策規定，熟悉網絡安全保險和風控服務的業務流程和管理制度，每年至少接受一次專業技能培訓。4.3服務合同4.3.1保險人應將保險合同和保險服務內容在投保人投保的互聯網端、移動客戶端、接收信函中明確告示，必要時，應與投保人協商達成補充約定。4.3.2保險人在服務過程中使用的表單應要素齊全、內容清晰。4.4合作機構選擇4T/SIA0001—20224.4.1合作機構包括但不限于網絡安全服務機構、保險公估服務機構等機構。4.4.2保險人選擇合作機構時，應確保其具有相關行業主管部門規定的經營資質。其中，網絡安全服務機構選擇標準可參照網絡安全保險服務技術相關標準。4.4.3保險人應與合作機構建立信息溝通渠道，并在內部建立合作機構的評估和管理機制，及時了解合作機構的基本資質信息和服務質量狀況。4.4.4保險人應對合作機構提出服務質量要求，實施動態跟蹤，建立良好的溝通與協調關系，共同維護保險消費者的合法權益。4.5服務管理制度保險人應建立風控服務工作責任制，不斷完善服務流程、質量控制、機構管理、人員管理、檔案管理、投訴處理和評價考核管理制度。4.6服務費用保險人應依據合同約定和相關規定，依法據實列支風控服務費用，滿足風控服務需要，并接受有關部門的監督。4.7檔案管理保險人應依據合同約定和相關規定，將合同等相關文件按照檔案管理要求，做好收集、整理、編目歸檔、借閱、保管等工作。5服務提供過程5.1承保服務5.1.1投保資料5.1.1.1投保人申請投保，需填寫投保單、風險問詢表等其他相關資料。5.1.1.2保險人根據被保險人的風險情況和適用保險條款的不同，可采用不同的投保單和風險問詢表等資料。5.1.1.3保險人在承保服務過程中使用的表單應要素齊全、內容清晰。5.1.2被保險人授權委托5.1.2.1保險人開展網絡安全保險風控服務應獲得被保險人相關的授權委托，授權委托書格式可參考5.1.2.2被保險人授權委托保險人或網絡安全服務機構在規定的時間和指定的范圍內開展網絡安全保險風控服務工作，授權范圍包括但不限于對被保險人的業務系統、數據庫、服務器等網絡端口的訪問權5.1.3承保及出單5.1.3.1在投保客戶遞交相關投保資料后，保險公司可安排網絡安全服務機構為投保客戶提供承保前的網絡安全風險評估，網絡安全服務機構根據風險評估實際情況出具風險評估報告，作為保險公司承保及定價的參考材料之一。5.1.3.2保險人可根據自身情況和承保風險的實際情況安排再保險，以有效分散風險。5T/SIA0001—20225.1.3.3保險人應遵照經保險行業監管部門批準或者備案的保險條款和基準保險費率，結合承保前風險評估報告、再保人意見以及其他相關資料制定保險方案和費率。5.1.3.4保險人應在與投保人協商并確定保險方案后5個工作日內向投保人出具保單。保險人出具的保單格式應至少包括如下要素：a)投保人和被保險人工商信息注冊名稱；b)被保險人經營范圍；c)保險期限；d)承保標的；e)賠償限額；f)免賠額；g)地域及司法管轄；h)保費；i)付款日期；j)保險條款；k)特別約定；l)保險人聯系方式。5.1.3.5在投保人實繳保費后，保險人應在5個工作日內向投保人出具保費發票。5.1.4續保5.1.4.1網絡安全保險合同期滿前，保險人應當至少提前一個月向投保人做出續保申請的提示。5.1.4.2保險人和投保人雙方在上年度保單保險方案的基礎上，參照上年度被保險人出險情況和市場整體情況協商調整續保方案。5.1.5變更5.1.5.1投保人提交的投保單信息錯誤或需要變更保單內容的，由投保人向保險人提出書面批改申請，經保險人審核同意后變更保險合同相關內容并出具批單。5.1.5.2若發生足以影響保險人決定是否同意承保或提高保險費率的變更，保險人可以與投保人協商解除保險合同、提高保險費率或調整其他承保條件，如果此變更是由于投保人故意或因重大過失而未履行如實告知義務的，保險人有權解除保險合同。5.2理賠服務5.2.1報案受理5.2.1.1保險人應設立24h×365天報案熱線電話。5.2.1.2保險人的報案電話應做到語音應答清晰、人工接聽暢通。5.2.1.3保險人的報案電話由語音系統應答的，轉人工接聽時的等待時間超過30s時，系統提示繼續等待或提供其他選擇，不自動中斷連接，且在非突發性災害期間等待時間不超過2min。5.2.1.4保險人應預先告知報案人報案電話全程錄音，錄音記錄至少保存90天。5.2.1.5保險人根據報案人提供的被保險人名稱、保單號或其他關鍵信息，核實確認保單信息,并受理報案。5.2.1.6保險人在受理報案時，應一次性詢問詳細出險地點、出險情形、受損情況等基本信息，即時錄入系統，生成報案編號。6T/SIA0001—20225.2.1.7保險人應在接到報案的30min內完成查勘調度，并將報案編號、查勘人員信息和聯系方式告知報案人。5.2.1.8保險人應根據具體案情，提示報案人及時報警，妥善處置。5.2.1.9保險人設有互聯網端、移動客戶端等多種報案渠道的，應確保報案渠道暢通，安排專人受理并及時告知報案人受理結果。5.2.2查勘與定損5.2.2.1查勘5.2.2.1.1保險人提供24h×365天查勘服務。5.2.2.1.2保險人調派的查勘人員在接到查勘任務后30min內與被保險人聯系，并按以下要求進行溝通、指導：a)保險人認為需要現場查勘的，向被保險人說明，問清查勘地點，給出預估到達時間，提供必要的出險現場保護指導；b)保險人認為無需現場查勘，但被保險人要求查勘的，應滿足被保險人要求；c)保險人利用互聯網端、移動客戶端等查勘工具的，應確保及時處理并一次性告知被保險人后續處理事宜。d)保險事故發生后，應被保險人要求，保險人可委派專業合作機構提供應急響應服務，并要求服務機構做好詳細應急服務日志。5.2.2.1.3查勘人員到達現場實施查勘前，主動招呼被保險人，出示證件，表明身份。5.2.2.1.4查勘人員應詳細核實事故原因、事故經過、涉及對象及損失情況。5.2.2.1.5對尚處于危險狀態的事故計算機系統，查勘人員應協助被保險人采取施救和保護措施，避免損失擴大。5.2.2.1.6查勘人員應告知查勘結果，包括計算機系統及其他損失的程度，由被保險人確認，并告知后續理賠事宜。5.2.2.2定損5.2.2.2.1保險人根據報損金額、材料內容、案情難易程度判斷是否需要委派專業的合作機構介入，并向被保險人告知需要提供的詳細索賠材料清單。5.2.2.2.2保險人對于被保險人自身損失，以確保受損計算機系統功能恢復為基本原則，通過與被保險人協商修復項目、修復方式和數據修復機構，確定相應的定損金額。5.2.2.2.3對于第三方損失，在保單責任成立的前提下，如果被保險人與第三方需要通過訴訟途徑解決糾紛，保險人應告知被保險人收到法院傳票后第一時間通知保險人，由保險人協助被保險人委托的律所進行代理工作，全程管控案件方向。待法院判決后保險人根據判決結果在保險合同責任范圍內依法進行賠償。5.2.2.2.4保險人應尊重被保險人自主選擇數據修復機構的權利。5.2.2.2.5對于無法現場一次性定損的事故，保險人告知被保險人后續定損流程，協助被保險人做好受損財產的保護和整理工作，并在接到被保險人定損通知后盡快對受損標的進行定損。5.2.3理算與核賠5.2.3.1索賠和理算5.2.3.1.1保險人應提示被保險人及時辦理索賠手續，一次性告知索賠所需提供的資料。5.2.3.1.2接受索賠資料時，保險人應確認資料是否齊全并出具接收回執。7T/SIA0001—20225.2.3.1.3被保險人提供的索賠資料不完整的，保險人應在5個工作日內書面或通過短信、電話、互聯網端、移動客戶端等渠道通知投保人、被保險人，一次性告知需補充提供的資料。5.2.3.1.4對僅涉及數據修復損失，且案件事實清晰、責任明確、損失金額無異議、索賠資料齊全的案件，保險人應盡量簡化索賠流程，并于5個工作日內完成理算。5.2.3.1.5對于情形復雜但責任明確的案件，保險人應當在10個工作日內完成理算。5.2.3.2核賠和支付5.2.3.2.1對索賠資料齊全、無異議的案件，保險人支付賠款應滿足以下時限要求（自保險人收到索賠資料并與被保險人協商賠償金額達成一致之日起）：a)賠款金額在人民幣5000元（含）以下的案件，3個工作日內完成核賠及發起支付；b)賠款金額在人民幣5000元至10000元（含）的案件，5個工作日內完成核賠及發起支付；c)賠款金額在人民幣10000元至100000元（含）的案件，7個工作日內完成核賠及發起支付；d)賠款金額在人民幣100000元以上的案件，10個工作日內完成核賠及發起支付。5.2.3.2.2保險人支付賠款成功后，應及時告知被保險人查收，未支付成功的，應主動聯系被保險人協商解決支付方式。5.3風控服務5.3.1服務類型5.3.1.1承保前風險評估服務保險公司基于風險評估的方法，結合風險調查問卷采集的信息，采用漏洞掃描或滲透測試的方式對投保客戶的系統進行風險評估，評估結果作為保險公司承保的參考依據。5.3.1.2承保期間的風險揭示服務保險人對所承保系統提供漏洞掃描服務，發現系統問題應及時告知被保險人，根據被保險人要求提供安全意識培訓服務，提升被保險人的安全意識，減少安全風險隱患。5.3.2服務內容5.3.2.1承保前風險評估服務5.3.2.1.1保險公司在收到投保客戶遞交的書面投保單并依法獲得委托授權后，為投保客戶的系統提供承保前的網絡安全風險評估。5.3.2.1.2保險公司針對業務、信息系統、基礎網絡和平臺、數據資源等評估內容確定風險評估的工作形式，按照風險評估流程，覆蓋風險評估準備、資產識別、威脅識別、脆弱性識別、已有安全措施確認、風險分析、風險處理等環節，對投保客戶面臨的網絡安全風險進行識別、分析和評價，并按優先順序列出風險，提出抵御風險的安全策略和整改措施建議，于3個工作日內出具書面風險評估報告。5.3.2.2承保期間的風險揭示服務保險人根據被保險人的實際需求開展承保期間的風險揭示服務，對投保客戶面臨的網絡安全風險進行識別、分析和評價，并按優先順序列出風險，提出抵御風險的安全策略和整改措施建議，于3個工作日內出具書面風險評估報告。服務項目包括但不限于下述項目：a)漏洞掃描服務；b)滲透測試服務；8T/SIA0001—2022c)網絡空間測繪服務；d)威脅情報服務；e)安全態勢感知服務；f)SOAR服務；g)代碼檢測服務；h)安全眾測服務；i)網絡安全意識培訓服務。5.3.3服務形式保險人通過引入網絡安全服務機構為被保險人提供專業的風控服務。5.3.4服務流程5.3.4.1制定風控服務方案保險人應與被保險人溝通并協商一致，根據被保險人的行業領域特點，生產規模、風險分布、人員狀況、安全管理基礎和歷史事故情況，結合網絡安全目標和工作需求，制定風控服務方案，明確服務項目、服務頻次、服務機構、服務人員。5.3.4.2開展風控服務保險人每次開展服務之前，應提前與被保險人溝通，確認服務項目、服務措施和服務時間。在服務過程中發現網絡安全事故隱患，應及時書面告知被保險人，協助被保險人及時整改。5.4投訴處理5.4.1保險人應設置投訴處理部門，明確職責、權限、處理方法和處理時限。5.4.2保險人應建立現場接待、熱線電話、電子郵件、互聯網端等多種投訴受理渠道，接受投訴。5.4.3保險人接到投訴后，應在1個工作日內回應投訴人，告知確認受理。5.4.4保險人受理投訴后，應在5個工作日內回復處理結果，投訴人要求書面回復的，保險人應予以滿足。5.4.5保險人應對投訴進行100%回訪，回訪宜在處理結果回復后1個月內進行。6服務質量評價和改進6.1服務質量評價6.1.1質量測評6.1.1.1保險人應定期進行服務質量測評，可采取自我測評、行業測評或引入第三方測評。6.1.1.2保險人可采用意見征詢、現場檢查、日常考核、綜合評分等方法進行服務質量測評。6.1.1.3對于網絡安全服務機構，保險人應至少每年安排一次風控服務質量和效果的測評，并結合網絡安全服務機構行業評價結果，編撰形成書面測評報告，報告內容包括但不限于：風控服務方案實施情況、服務效果、被保險人滿意度、服務費用支出情況、服務機構和服務人員的專業