网络安全保险安全风险评估实施指南.PDF

ICS点击此处添加ICS号

CCS点击此处添加CCS号

中国网络安全产业联盟团体标准

T/XXXXXXX—XXXX

网络安全保险安全风险评估实施指南

CyberSecurityInsuranceGuideofimplementationforsecurityriskassessment

（征求意见稿）

202112

（本征求意见稿完成时间：年月）

在提交反馈意见时，请将您知道的相关专利连同支持性文件一并附上。

XXXX-XX-XX发布XXXX-XX-XX实施

中国网络安全产业联盟发布

T/XXXXXXX—XXXX

目次

前言III

引言IV

1范围1

2规范性引用文件1

3术语和定义1

4网络安全保险安全风险评估概述2

实施原则2

实施方法3

险别分类3

投保流程4

5网络安全保险安全风险评估实施流程5

评估准备阶段6

风险评估要素识别阶段6

风险分析与计算阶段7

保险人核保阶段7

6网络安全保险风险要素识别7

业务识别7

资产识别8

威胁识别10

脆弱性识别（含已有控制措施）11

7网络安全保险通用场景风险计算12

业务风险计算12

资产风险计算12

威胁风险计算13

脆弱性（含已有控制措施）风险计算13

风险分值的计算14

8网络安全保险典型场景风险计算15

数据安全场景15

网络勒索场景17

业务连续性中断场景18

典型场景风险值计算18

附录A（资料性）脆弱性识别表20

附录B（资料性）已有安全控制措施识别表23

附录C（资料性）典型场景已有安全控制措施识别29

附录D（资料性）某虚拟银行A风险评估示例33

I

T/XXXXXXX—XXXX

参考文献37

II

T/XXXXXXX—XXXX

前言

本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定

起草。

本文件由中国网络安全产业联盟提出。

本文件由中国网络安全产业联盟归口。

本文件起草单位：杭州安恒信息技术股份有限公司、北京天融信网络安全技术有限公司、北京神州

绿盟科技有限公司、亚信科技（成都）有限公司、北京启明星辰信息安全技术有限公司、北京梆梆安全

科技有限公司、上海观安信息技术股份有