附件1：《网络安全保险风险评估规范》团体标准征求意见稿(1).pdfVIP

ICS35.240.01

CCSA11

团体标准

T/SNISA040022025

—

网络安全保险风险评估规范

GuidelinesForCybersecurityInsuranceRiskAssessment

2025-XX-XX发布2025-XX-XX实施

深圳市网络与信息安全行业协会发布

目次

前言III

引言IV

1范围1

2规范性引用文件1

3术语和定义1

4网络安全风险评估概述3

4.1风险分类3

4.2风险来源3

4.3风险评估参与主体4

5网络安全保险风险评估框架5

5.1风险评估原则5

5.2风险评估通用流程5

6网络安全保险保前风险评估6

6.1评估目标6

6.2评估流程6

6.3评估内容6

6.4评估报告9

6.5风险等级、风险分值与核保决策关系9

7网络安全保险过程风险评估10

7.1评估目标10

7.2评估内容及频次10

7.3评估工具10

7.4评估成果11

8网络安全保险事故风险评估12

8.1评估目标12

8.2评估流程12

8.3评估成果12

I

附录A（资料性）风险评估表示例13

附录B（资料性）网络安全服务机构能力评分示例16

参考文献17

II

前言

本文件按照GB/T1.1-2020《标准化工作导则第1部分:标准化文件的结构和起草规则》

的规定起草。

本文件由深圳市网络与信息安全行业协会归口。

本文件主要起草单位：中国人民财产保险股份有限公司深圳市分公司。

本文件主要起草人：（待定）

III

引言

在我国建设网络强国的进程中，网络安全保险作为产业生态链中不可或缺的一环，意

义重要而深远。网络安全保险作为网络安全领域风险管理的重要手段，特别是“保险+服务”

模式的应用，已得到越来越广泛的认可。目前，我国已形成《网络安全法》、《数据安全

法》、《个人信息保护法》三法为核心的网络法律体系，为数字时代的网络安全、数据安

全、个人信息权益保护提供了基础制度保障，也为网络安全保险在中国的发展提供了强有

力的法律基础。为更好地发挥网络安全保险的风险分散功能和服务效能，促进网络安全保

险和网络安全服务之间的有效对接，现根据国家相关法律、法规和相关服务应用标准制定

本文件。

本文件的制定将为深圳乃至全国网络安全保险的风险评估提供指南，通过从风险管理

角度，运用科学的方法和手段，系统地分析IT资产、环境、管理、人员等方面所面临的威

胁及其存在的脆弱性，评估安全事件一旦发生可能造成的危害程度，有利于社会和保险消

费者对网络安全保险服务质量进行监督、评价，推动网络安全保险服务质量的不断改善与

提升，有效推动网络安全保险健康发展。

IV

网络安全保险风险评估规范

1范围

本文件建立了标准化网络安全保险风险评估框架，规范了网络安全保险风险评估的总

体原则、实施流程及技术要求，促进了保险机构网络安全风险评估的专业化和标准化。

本文件可作为保险机构开展网络安全保险风险评估及网络安全技术机构提供网络安全

风险评估的参考指南。

2规范性引用文件

下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本

适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文

件。

[1]GB/T20984信息安全技术信息安全风险评估方法

[2]GB/T22239-2019信息安