网络安全风险量化评估规范编制说明.docx

1

《网络安全风险量化评估规范》编制说明

一、工作简况

随着网络攻击手段的日益多样化和复杂化，传统基于检测的网络安全防护模式已经难以应对当前的安全威胁挑战。在此背景下，越来越多的组织开始采用网络安全风险量化，并将其作为增强组织安全风险分析和治理能力的一种有效手段。通过将网络风险量化，组织可以让所有利益相关者更好地了解当前所面临的安全风险态势，从而与组织更广泛的数字化业务发展相融合。在武汉市委网信办指导下，武汉市网络安全协会网络安全保险工作委员会、武汉华康科技有限公司、上海竟安网络科技有限公司牵头，联合国家工业信息安全发展研究中心、国家计算机网络应急技术处理协调中心湖北分中心、中南财经政法大学金融研究院、江汉大学人工智能学院、中国人民财产保险股份有限公司、国任财产保险股份有限公司、中国平安财产保险股份有限公司、长江财产保险股份有限公司、武汉路特斯科技有限公司、湖北省电子信息产品质量监督检验院、湖北公众信息产业有限责任公司、北京长亭科技有限公司、湖北天融信网络安全技术有限公司、武汉明嘉信技术有限公司、武汉安经纬业信息安全技术有限公司、湖北连邦云创科技有限公司湖北华中电力科技开发有限责任公司，共同开展网络安全风险量化评估规范团体标准编制工作。

二、标准编制必要性和意义

2023年7月17日，工业和信息化部、国家金融监督管理总局发布了《关于促进网络安全保险规范健康发展的意》(以下简称《意》)。《意》不仅鼓励保险公司提供多元产品，还鼓励网络安全保险服务机构协同合作。同时也从培育生态、促进产业需求释放等宏观层面设置向标，比如《意》提出，通过开展网络安全保险服务试点等，促进网络安全保险推广应用。业内人士表示，《意》的落地，将大大推动网络安全保险的发展进程。《意》将网络安全保险定位于转移和防范网络安全险的重要工具，确认了网络安全保险在网络安全社会化服务体系中的重要作用，具有很强的统筹协调性和现实可行性，将推动我国网络安全保险实现跨越式发展。随着数字经济的发展，网络安全关乎国家

2

安全。党的二十大报告对加快建设网络强国、数字中国作出部署，提出“加快发展数字经济，促进数字经济和实体经济深度融合，打造具有国际竞争力的数字产业集群”“强化经济、重大基础设施、金融、网络、数据、生物、资源、核、太空、海洋等安全保障体系建设”。在网络强国、数字中国建设的过程中，网络安全保险不可或缺，并已日渐成为转移、防范网络安全险的重要工具。《意 》也对开展网络安全险量化评估做出具体规划，探索建立网络安全险量化评估模型，加强网络安全险影响规模预测、经济损失等分析;支持研发网络安全险量化评估技术，开发轻量化网络安全险量化评估工具;鼓励建立网络安全险理赔数据库，支撑网络安全险精准定价。我国网络安全保险2022年的保费规模为1.4亿元，虽较上一年翻一番，但不足财产保险保费规模的万分之一，相较全球近百亿美元的保费规模也还有很大发展空间。与此同时，各级、各地政府部对网络安全保险的重视程度越来越高。可以预，随着云计算、工业互联网和联网等新业态快速发展，产业链供应链险管理要求、重大活动网络安全保障等需求释放，网络安全保险创新将大幅提速。对于网络安全保险如何高质量发挥险管理作用，网络安全保险需要以技术为支撑来提高险评

估的准确性和保险理赔的时效性，如何量化险是关键。研究制定网络安全

险量化标准作为重要的标准支撑，对于增强网络安全保险的预防和应对能力至关重要。

三、主要工作过程

本标准编写格式符合GB/T1.1-2020《标准化工作导则第1部分：标准的

结构和编写》的要求。

2023年10月，为保证制度工作的顺利开展，提高标准的质量和可用性，由起草单位和相关技术专家共同组建了标准起草组，负责对相关技术指标和实行方法编制和技术确定。通过制度工作方案，标准起草组进一步明确了目标要求、工作思路、人员分工和工作进度等。标准起草组对当前网络安全风险量化评估规范的涉及的相关技术和要求进行了调研，了解国内外相关的标准、文献、成果案例等资料，着手标准制定。

2024年1月，构思和查阅材料，研究网络安全风险类型和特征分析，完成网络安全风险指标体系构建。

3

2024年3月，完成网络安全风险评估方法的确定，通过与专家对网络安全风险量化模型研究和讨论，确定评估方案和网络安全风险量化模型。

2024年5月，编制第一初稿，组织编制人员内部评审和讨论，确认下一稿修订的内容和工作进度，形成第二稿

2024年8