陳利強

對于近年來備受關(guān)注的信息安全領(lǐng)域，2018年注定是命運多舛的一年。全球重大數(shù)據(jù)泄露事件頻發(fā)，數(shù)量級與影響力已經(jīng)到了令人瞠目結(jié)舌的程度，造成數(shù)以億萬計無法挽回的損失。國內(nèi)外知名云計算平臺屢屢出現(xiàn)由于軟硬件故障而導(dǎo)致租戶數(shù)據(jù)無法訪問，后續(xù)引發(fā)一系列焦點問題。

自2017年6月1日《中華人民共和國網(wǎng)絡(luò)安全法》正式實施以來，從各大部委到各行各業(yè)，從大中型企事業(yè)單位到國家重點扶持的自主雙創(chuàng)企業(yè)，對于由網(wǎng)絡(luò)安全事故而導(dǎo)致的信息安全風(fēng)險及危機，有了更明確的專業(yè)法律意識，希望能獲得更有效、更切實可行的保障措施和方案。在當(dāng)前的大環(huán)境下，信息安全保險呼之欲出。

企業(yè)資產(chǎn)數(shù)字化帶來信息安全風(fēng)險

在“云大物移”迅速發(fā)展的大環(huán)境下，眾多企業(yè)都面臨并實踐著資產(chǎn)數(shù)字化轉(zhuǎn)型之路。企業(yè)生產(chǎn)離不開數(shù)據(jù)，從管理、決策到研發(fā)、制造、運維，企業(yè)服務(wù)離不開數(shù)據(jù)，從行為數(shù)據(jù)、通知數(shù)據(jù)到交易數(shù)據(jù)、反饋數(shù)據(jù)。數(shù)據(jù)依賴前所未有，數(shù)據(jù)價值與日俱增。

信息安全風(fēng)險及相應(yīng)的數(shù)據(jù)黑產(chǎn)鏈條，與高聚合存放的數(shù)據(jù)價值密切相關(guān)。對于每一位IT決策者，發(fā)現(xiàn)并承擔(dān)由企業(yè)資產(chǎn)數(shù)字化而帶來的信息安全風(fēng)險，成為當(dāng)下在日常管理中需要應(yīng)對的重要問題。

信息安全風(fēng)險需要數(shù)字化管理

海量數(shù)據(jù)要想最終產(chǎn)生價值，需要經(jīng)過收集、清洗、轉(zhuǎn)換、標記、預(yù)測、應(yīng)用等一系列過程。對于其中可能產(chǎn)生的信息安全風(fēng)險，要從隱患識別、安全加固、風(fēng)險轉(zhuǎn)移、危機應(yīng)對、事后彌補等各個層面去綜合考量。目前，信息安全主要是企業(yè)IT部門的關(guān)注范疇，因此企業(yè)對于信息安全的認知和投入，往往只是集中于隱患識別和安全加固這兩個階段。

信息安全風(fēng)險的隱蔽性高，要求更專業(yè)化的隱患識別和安全加固技術(shù)去發(fā)現(xiàn)和應(yīng)對。信息安全風(fēng)險的破壞性強，要求更具前瞻性的風(fēng)險轉(zhuǎn)移、危機應(yīng)對，以及更有效的事后彌補。在企業(yè)資產(chǎn)數(shù)字化的背景下，信息安全風(fēng)險也需要進行數(shù)字化管理。數(shù)字化風(fēng)險的解決和應(yīng)對，需要得到公司決策層、業(yè)務(wù)部門和技術(shù)部門的共同關(guān)注。

由此，信息安全保險應(yīng)運而生，成為駕馭風(fēng)險應(yīng)對危機的利器。信息安全保險主要解決兩方面問題：首先，保障企業(yè)網(wǎng)絡(luò)安全，解決發(fā)生數(shù)據(jù)安全事故后的處理費用，營業(yè)中斷損失、通報檢測和調(diào)查費用，以及解決第三方提出的賠償;其次，保障IT職業(yè)責(zé)任，解決IT人員因疏忽或過失而造成的客戶損失等。

信息安全保險實現(xiàn)多方價值

對于科技創(chuàng)新時代信息化建設(shè)方方面面的重要角色，信息安全保險能夠應(yīng)對關(guān)鍵問題，實現(xiàn)多方價值。

信息安全保險之于甲方企業(yè)，其核心意義在于實質(zhì)有效的工作價值評估，對相關(guān)責(zé)任管理和技術(shù)人員進行職業(yè)責(zé)任保護，保障企業(yè)數(shù)據(jù)安全，前瞻應(yīng)對網(wǎng)絡(luò)攻擊，解決勒索病毒，規(guī)避職業(yè)風(fēng)險。

信息安全保險之于乙方企業(yè)，其核心意義在于為企業(yè)自身增信，在項目可控、職業(yè)風(fēng)險、甲方企業(yè)系統(tǒng)和數(shù)據(jù)安全等方面，提供安全承諾和保障，增加更具價值的合作籌碼。目前，大多數(shù)跨國企業(yè)和部分國內(nèi)企業(yè)，在尋找技術(shù)合作時明確要求乙方具備信息安全保險，作為有效保障。

信息安全保險之于平臺/數(shù)據(jù)企業(yè)，其核心意義在于衡量對客戶/股東的誠意，在數(shù)據(jù)安全、網(wǎng)絡(luò)攻擊、勒索病毒、職業(yè)風(fēng)險等方面，對服務(wù)提供方和服務(wù)使用方提供有效保障，對服務(wù)平臺和被服務(wù)企業(yè)的損失，能進行有效定責(zé)、定損和賠償。

構(gòu)筑信息安全利益共同體

信息安全保險的重要意義，不只是提供保險產(chǎn)品，而是通過金融工具，構(gòu)筑一個更具價值和效率的信息安全利益共同體。

首先，從專業(yè)角度，保險公司的業(yè)務(wù)實質(zhì)就是收取保費和收購風(fēng)險。商業(yè)保險公司的盈利取向，要求具有比保險客戶更高的風(fēng)險承擔(dān)能力。這種承擔(dān)能力，既體現(xiàn)在技術(shù)方面，要做好保險的核保風(fēng)控，也體現(xiàn)在經(jīng)濟方面，要做好事故的理賠補償。

其次，從風(fēng)控角度，保險公司會和企業(yè)一起，對所面臨的信息安全風(fēng)險進行科學(xué)核保和保中風(fēng)控，幫助企業(yè)做好持續(xù)性的信息安全評估。保險公司會通過費率因子，對風(fēng)險做出準確的數(shù)字化計量，為客戶提供更有效的保障措施和應(yīng)對方案。

第三，從經(jīng)營角度，作為責(zé)任險分支的信息安全保險，能夠達到為企業(yè)增信的效果。當(dāng)企業(yè)的IT系統(tǒng)及信息安全防控體系，通過了保險公司的風(fēng)控評估，則在一定程度上為企業(yè)在信息安全方面的能力提供了有力證明，并減少客戶方及合作方對可能出現(xiàn)信息安全問題之后引發(fā)損失補償糾紛的擔(dān)心。

最后，從理賠角度，信息安全保險最具價值的地方，是幫助IT部門實施了非技術(shù)層面的風(fēng)險防御。特別是在出現(xiàn)了業(yè)務(wù)收入損失、法律責(zé)任糾紛等問題需要支付相應(yīng)賠款時，保險公司能夠協(xié)助找到專業(yè)處理團隊，在有效解決問題的同時，合理降低保險公司的理賠支出，達到雙贏的效果。

信息安全保險前景展望

任何一個企業(yè)高度信息化的結(jié)果，都是成為了科技型企業(yè)。在市場競爭日益激烈的今天，在產(chǎn)品同質(zhì)化、服務(wù)同質(zhì)化的今天，衡量企業(yè)競爭力的要素也在發(fā)生重大變化。這些變化主要集中在兩方面：一是企業(yè)的連接能力差異化，能否建立起社群化的客戶運營模式，會將企業(yè)區(qū)分為不同梯次;二是企業(yè)的保障能力差異化，產(chǎn)品、服務(wù)、社群是否基于更為安全可靠的平臺，突如其來的信息安全“黑天鵝”完全有可能改寫企業(yè)命運。

隨著時代進步與科技成熟，信息安全保險必將全面覆蓋企業(yè)的資產(chǎn)、產(chǎn)品、員工、數(shù)據(jù)、經(jīng)營等各方面的風(fēng)險保障，為數(shù)字化時代的科技型企業(yè)提供全方位的保駕護航。