概念界定
目前,业内将“网络安全保险”(Cyber Security Insurance)定义为∶保险人承保投保人因网络安全事件造成的经济损失或应承担的法律赔偿责任的保险。然而,针对网络安全保险科技,国内外尚未形成明确的概念界定,一定程度上影响了这一产业的发展。本报告尝试首次定义“网络安全保险科技”,为网络安全保险产业的发展创新与变革奠定理论基础。
网络安全保险科技(Cybersecurity Insurance Technology;InsurTech)∶技术创新在网络安全保险产业发展及其与网络安全产业融合中的应用,将衍生新的模式、业务、流程与产品。网络安全保险科技服务是面向投保人/保险公司/保险经纪公司,由第三方基于数据搜集、清洗整合,人工智能、云原生等技术创新应用,将保险与技术、风险工程和安全响应服务相结合,映射在投保、承保、理赔等保险环节,旨在通过科技融合保险业态与网络安全业态,以网络安全保险科技服务加强企业网络安全弹性。
网络安全保险科技模型
网络安全问题不同于传统工程问题,由于风险的变化性与规则的难以界定,网络安全领域的一大挑战在于缺少数据和模型来表述变量、制定策略。当前,围绕网络安全风险控制与管理,业界基于闭环控制、主动防御的动态安全理念,先后提出了P2DR、P2DR2、IPDRR等多种动态风险模型。
P2DR模型是由美国ISS公司提出的动态网络安全体系的代表模型,其包括Policy(安全策略)Protection(防护)、Detection(检测)和Response(响应)。
P2DR2模型同样以安全策略(policy)为中心,构造多层次、全方位和立体的区域网络安全环境。其包括Policy(安全策略)、Protection(防护) 、Detection(检测)、Response(响应)和Recovery(恢复)。
IPDRR 模型来自美国国家标准与技术研究所(National Institute of Standards and Technology;NIST)制定的Cybersecurity Framework的核心内容,包括ldentify(风险识别)、Protect(安全防御)、Detect(安全检测)、Respond(安全响应)和Recover (安全恢复)。
通过对上述3个主要的网络安全模型的拆解,可以发现基本涵盖了安全策略、风险识别、安全防御、安全检测、安全响应及安全恢复6大模型因子。相关模型因子与网络安全保险相关配套服务能力进行绞合,进而可以形成一个新型的”网络安全保险科技模型”(InsurTech-PIPDR2),从而推动网络安全保险能够相对无感知地嵌入企业网络安全建设各个部分。
本文来自知之小站
PDF报告已分享至知识星球,微信扫码加入查阅下载3万+精选资料,年享1万+精选更新
(星球内含更多未发布精选报告.其它事宜可联系zzxz_88@163.com)
