駕馭風險劍指危機

陳利強

對于近年來備受關注的信息安全領域，2018年注定是命運多舛的一年。全球重大數據泄露事件頻發，數量級與影響力已經到了令人瞠目結舌的程度，造成數以億萬計無法挽回的損失。國內外知名云計算平臺屢屢出現由于軟硬件故障而導致租戶數據無法訪問，后續引發一系列焦點問題。

自2017年6月1日《中華人民共和國網絡安全法》正式實施以來，從各大部委到各行各業，從大中型企事業單位到國家重點扶持的自主雙創企業，對于由網絡安全事故而導致的信息安全風險及危機，有了更明確的專業法律意識，希望能獲得更有效、更切實可行的保障措施和方案。在當前的大環境下，信息安全保險呼之欲出。

企業資產數字化帶來信息安全風險

在“云大物移”迅速發展的大環境下，眾多企業都面臨并實踐著資產數字化轉型之路。企業生產離不開數據，從管理、決策到研發、制造、運維，企業服務離不開數據，從行為數據、通知數據到交易數據、反饋數據。數據依賴前所未有，數據價值與日俱增。

信息安全風險及相應的數據黑產鏈條，與高聚合存放的數據價值密切相關。對于每一位IT決策者，發現并承擔由企業資產數字化而帶來的信息安全風險，成為當下在日常管理中需要應對的重要問題。

信息安全風險需要數字化管理

海量數據要想最終產生價值，需要經過收集、清洗、轉換、標記、預測、應用等一系列過程。對于其中可能產生的信息安全風險，要從隱患識別、安全加固、風險轉移、危機應對、事后彌補等各個層面去綜合考量。目前，信息安全主要是企業IT部門的關注范疇，因此企業對于信息安全的認知和投入，往往只是集中于隱患識別和安全加固這兩個階段。

信息安全風險的隱蔽性高，要求更專業化的隱患識別和安全加固技術去發現和應對。信息安全風險的破壞性強，要求更具前瞻性的風險轉移、危機應對，以及更有效的事后彌補。在企業資產數字化的背景下，信息安全風險也需要進行數字化管理。數字化風險的解決和應對，需要得到公司決策層、業務部門和技術部門的共同關注。

由此，信息安全保險應運而生，成為駕馭風險應對危機的利器。信息安全保險主要解決兩方面問題：首先，保障企業網絡安全，解決發生數據安全事故后的處理費用，營業中斷損失、通報檢測和調查費用，以及解決第三方提出的賠償;其次，保障IT職業責任，解決IT人員因疏忽或過失而造成的客戶損失等。

信息安全保險實現多方價值

對于科技創新時代信息化建設方方面面的重要角色，信息安全保險能夠應對關鍵問題，實現多方價值。

信息安全保險之于甲方企業，其核心意義在于實質有效的工作價值評估，對相關責任管理和技術人員進行職業責任保護，保障企業數據安全，前瞻應對網絡攻擊，解決勒索病毒，規避職業風險。

信息安全保險之于乙方企業，其核心意義在于為企業自身增信，在項目可控、職業風險、甲方企業系統和數據安全等方面，提供安全承諾和保障，增加更具價值的合作籌碼。目前，大多數跨國企業和部分國內企業，在尋找技術合作時明確要求乙方具備信息安全保險，作為有效保障。

信息安全保險之于平臺/數據企業，其核心意義在于衡量對客戶/股東的誠意，在數據安全、網絡攻擊、勒索病毒、職業風險等方面，對服務提供方和服務使用方提供有效保障，對服務平臺和被服務企業的損失，能進行有效定責、定損和賠償。

構筑信息安全利益共同體

信息安全保險的重要意義，不只是提供保險產品，而是通過金融工具，構筑一個更具價值和效率的信息安全利益共同體。

首先，從專業角度，保險公司的業務實質就是收取保費和收購風險。商業保險公司的盈利取向，要求具有比保險客戶更高的風險承擔能力。這種承擔能力，既體現在技術方面，要做好保險的核保風控，也體現在經濟方面，要做好事故的理賠補償。

其次，從風控角度，保險公司會和企業一起，對所面臨的信息安全風險進行科學核保和保中風控，幫助企業做好持續性的信息安全評估。保險公司會通過費率因子，對風險做出準確的數字化計量，為客戶提供更有效的保障措施和應對方案。

第三，從經營角度，作為責任險分支的信息安全保險，能夠達到為企業增信的效果。當企業的IT系統及信息安全防控體系，通過了保險公司的風控評估，則在一定程度上為企業在信息安全方面的能力提供了有力證明，并減少客戶方及合作方對可能出現信息安全問題之后引發損失補償糾紛的擔心。

最后，從理賠角度，信息安全保險最具價值的地方，是幫助IT部門實施了非技術層面的風險防御。特別是在出現了業務收入損失、法律責任糾紛等問題需要支付相應賠款時，保險公司能夠協助找到專業處理團隊，在有效解決問題的同時，合理降低保險公司的理賠支出，達到雙贏的效果。

信息安全保險前景展望

任何一個企業高度信息化的結果，都是成為了科技型企業。在市場競爭日益激烈的今天，在產品同質化、服務同質化的今天，衡量企業競爭力的要素也在發生重大變化。這些變化主要集中在兩方面：一是企業的連接能力差異化，能否建立起社群化的客戶運營模式，會將企業區分為不同梯次;二是企業的保障能力差異化，產品、服務、社群是否基于更為安全可靠的平臺，突如其來的信息安全“黑天鵝”完全有可能改寫企業命運。

隨著時代進步與科技成熟，信息安全保險必將全面覆蓋企業的資產、產品、員工、數據、經營等各方面的風險保障，為數字化時代的科技型企業提供全方位的保駕護航。