助力构建网络安全风险管理新体系,长扬科技参编的国家标准《网络安全技术 网络安全保险应用指南》正式发布
近日,由长扬科技(北京)股份有限公司参与制定的国家标准GB/T 45576—2025《网络安全技术 网络安全保险应用指南》经国家市场监督管理总局、国家标准化管理委员会批准正式发布,并将于2025年11月1日起实施。该标准是我国首部针对网络安全保险应用的指南,填补了网络安全风险管理领域的关键空白,为组织通过保险手段应对网络安全风险提供了权威技术支撑。
该标准由全国网络安全标准化技术委员会(SAC/TC 260)提出并归口,北京源堡科技有限公司牵头,联合长扬科技等30余家行业龙头企业、保险机构、科研院所共同研制。作为工业互联网安全领域的领先企业,长扬科技全程参与了标准的研制工作,凭借丰富的实践经验,结合工业场景的独特需求,为标准的科学性和可操作性提供了重要支撑。
信息来源:全国标准信息公共服务平台
https://std.samr.gov.cn/gb/search/gbDetailed?id=33D40F1161175D92E06397BE0A0A5B93
一、研制背景
随着数字化转型的加速推进,网络安全风险日益突出,企业面临的数据泄露、勒索软件攻击、业务中断等威胁不断升级。2021年《中华人民共和国数据安全法》和《关键信息基础设施安全保护条例》的出台,进一步强调了网络安全风险管理的重要性。然而,传统的安全防护手段难以完全消除风险,网络安全保险作为一种新兴的风险转移方式,逐渐成为企业完善风险管理体系的重要补充。
当前,我国网络安全保险市场尚处于起步阶段,企业在投保和理赔过程中常面临保障范围不清晰、风险评估不精准、流程不规范等问题。GB/T 45576—2025的发布,首次系统性地规范了网络安全保险的应用流程、保障范围、风险评估方法及理赔要求,为企业提供了全面的技术指引,助力行业健康有序发展。
二、适用范围
本文件描述了网络安全保险的目的和作用、主要角色和责任,给出了基本应用流程、保障事件类型和损失类型,提出了网络安全保险应用各阶段的方法。
本文件适用于组织购买和使用网络安全保险以及网络安全保险机构开展网络安全保险业务,应用网络安全保险的其他相关方参考执行。
三、主要内容
1. 网络安全保险保障范围
事件类型:涵盖恶意程序事件(如计算机病毒、勒索软件)、网络攻击事件(如漏洞利用、拒绝服务攻击)、数据安全事件(如数据泄露、篡改)、违规操作事件等。
损失类型:
第一方损失——业务中断损失、应急响应费用、网络勒索损失等。
第三者责任——数据泄露责任、网络安全责任、媒体责任等。
2. 基本应用流程
图 网络安全保险基本应用流程
3. 投保前风险评估
评估内容:包括网络安全能力、网络安全风险、行业风险水平等。
量化分析方法:基于风险场景的量化模型,通过货币化数值衡量风险大小,为核保与定价提供依据。
示例场景:网络攻击导致业务中断、恶意程序导致网络勒索、数据泄露引发赔偿责任等。
4. 保险期间风险控制
动态监测:对资产、威胁、脆弱性等风险要素进行持续监测。
预防管理:通过安全检测、渗透测试、漏洞扫描等活动预防风险。
信息告知:被保险人及时向保险人报告重大风险变化。
5. 出险后事件评估
应急响应:被保险人宜及时开展应急工作并通知保险人。
事件分析:确定事件原因、责任及损失程度,支持理赔决策。
理赔流程:保险人根据评估结果履行赔偿责任,并提供法律、公关等支持服务。
四、标准实施意义
该标准的发布实施将有效帮助组织精准识别可保风险、优化安全投入并降低网络安全事件造成的经济损失,同时推动网络安全保险产品标准化发展,促进保险机构与安全企业的协同创新,并通过与《数据安全法》《网络安全法》等法规的深度衔接,构建“技术+保险+管理”的立体防护体系,为数字经济发展提供坚实保障。
长扬科技标准化工作介绍:
长扬科技在业界开创了“智能工业安全大脑”的产品理念,将产品及服务聚焦工业互联网安全及大数据应用领域,并通过人工智能技术赋予客户在网络和业务两个层面的安全防护能力。公司以信创为安全底座,以工业安全靶场为能力提升手段,引入CMMI5成熟度模型助力提升开发水平与算法模型能力,自主研发了工业互联网安全态势感知、工控安全防护、睿脑工业视觉AI安全、生产安全、工业安全靶场、零信任安全、物联网安全、数据安全和工业数字通信等百余款产品,可构建覆盖工业互联网安全产业完整生命周期的集团级工业网络安全保障体系。产品及解决方案已广泛应用于电力、石油石化、轨道交通、智能制造、城市市政、钢铁冶金、教育等行业,满足等保2.0及关键信息基础设施安全保护条例要求。
自成立以来,长扬科技积极参与工业互联网安全标准制定工作,有效推动行业进步和发展,截至目前已牵头和参与制修订网络安全国家标准、行业标准及团体标准共计180余项,参与标准研究项目或技术白皮书共计20余项,覆盖数据安全、网络安全专用产品、网络安全产品互联互通、网络安全管理体系、网络安全人才培养、信息技术应用创新、软件供应链安全、关键信息基础设施保护、工业互联网企业网络安全等产业重点方向。
未来,长扬科技将继续以推动行业发展为己任,深化在网络安全保险领域的技术实践,推动风险管理与保险服务的融合创新,为数字中国建设保驾护航!