數字時代中國保險業網絡風險特征及規制研究

王向楠 吳婷

摘 要：金融安全和網絡安全均是國家安全的重要內容，而保險業是數據密集型產業，且越發采用數字技術，其網絡風險問題越值得關注。本文解析數字時代保險業的網絡結構及其脆弱性，進而闡述了保險業社會網絡風險的聚集、關鍵職能主體的失靈以及極端情景的耦合這三類網絡風險的特征及表現形式，梳理了國家宏觀層面和保險業維度的中國保險業網絡風險規制策略，從國家、行業和機構三個角度提出強化公共網絡安全保障、完善行業技術應用標準、強化運營連續性管理、開展網絡韌性壓力測試、建設數據安全風險事件匯報制度、改善保險公司內部治理等政策建議，為監管部門采取審慎監管提供政策參考依據。

關鍵詞：保險業;網絡風險;數字時代;信息技術;規制

中圖分類號：F842.3 文獻標識碼：A

文章編號：1000-176X（2020）11-0062-10

一、問題的提出

2016年4月26日，習近平總書記在網絡安全和信息化工作座談會上強調，安全是發展的前提，發展是安全的保障，安全和發展要同步推進。數字時代，數據被確認為第七種生產要素，正在加速推動社會經濟的高質量發展，同時，大量數字技術的廣泛應用又催生出新的脆弱性，國際上將與數字技術相關的所有風險統稱為“網絡風險（Cyber Risk）”。現階段，中國正在加速推進的“新基建”將進一步促進網絡世界與現實世界的深度融合和互聯互通，各行各業的網絡風險問題也將日益突出。保險業作為社會風險治理的重要主體，一方面承擔著管理社會網絡風險的基本職能;另一方面，保險業的數字化轉型也會引發自身的網絡風險威脅，這種雙重屬性使得保險業的網絡風險問題面臨著一定的特殊性和復雜性。鑒于網絡風險是數字時代的重要新興風險，其風險管理問題備受關注。保險是重要的風險管理工具，大多數文獻探討了網絡安全保險（Cyber Insurance）及其相關議題，例如，網絡風險保險的合約優化[1]-[3]，網絡安全保險的社會影響分析[4]-[6]。這類文獻分布于信息技術、經濟學、社會學和法學等諸多研究領域，為網絡安全保險市場的發展提供重要的理論支撐。

網絡安全保險在社會風險治理中的作用愈加凸顯，保險業本身是否保險的問題就越應當受到重視。保險業是典型的數據密集型產業，其儲存的個人或組織的數據要比大部分行業精細，包含了客戶的多種隱私、財務特征和經濟活動等有價值的信息，因此，保險業有著大量的網絡風險暴露[7]。基于計算機之間日益增強的互聯性和相互學習能力，以及經濟活動日益依賴互聯網的事實，網絡（Cyber）問題給保險業帶來了新挑戰[8]。Pooser等[9]根據50家美國上市財產保險公司的10-K報表調查了保險業對網絡風險的識別和認知趨勢，結果顯示：2006年，只有25%的公司將網絡風險列為重大風險因素，而到了2013年，這一比例已接近100%。北美精算師協會聯合風險管理部門（SOA，CAS，CIA）[10-11]的系列行業新興風險調查報告顯示，網絡安全或基礎設施的相互關聯已被保險業視為最大的新興風險，而且，伴隨著物聯網技術的普及，網絡風險將成為保險業的首要風險，對保險公司的業務經營和組織運營產生重大影響。2019年，歐洲保險和職業養老金監管局（European Insurance and Occupational Pensions Authority，EIOPA）[12]針對12個歐洲國家的41家再保險集團進行了網絡風險的摸底調查，確認網絡風險是保險業的一個重要挑戰和機遇，并強調保險業建立網絡韌性（Cyber Resilience）框架來推進抵御網絡脆弱性的行動至關重要。因此，如何解決保險業的網絡風險問題，不僅是數字時代保險業健康發展的現實需求，更是充分發揮網絡安全保險功能的基礎。

本文的學術貢獻主要有以下兩點：一是現有相關探索主要停留在實務層面，且偏重于數據和信息安全領域的研究，對數字技術、保險業創新和網絡風險之間關系特征的探討不夠清晰，因此，缺乏系統性的網絡風險管理思維。本文通過剖析數字時代保險業的系統構成以探索保險業網絡風險的特征和可能表現，形成風險規制的理論基礎。二是鑒于網絡空間的一體化背景，本文基于全面風險管理的視角，從國家、行業、機構三個層面對網絡風險進行深度剖析并提出了具體的規制措施，為數字時代的網絡風險治理提供了政策參考依據。

二、數字時代保險業的網絡結構及脆弱性分析

大數據、云計算、物聯網、人工智能和區塊鏈等創新型科技持續賦能保險業的數字化轉型，模糊了保險業與其他產業之間的傳統界限，重塑保險價值鏈和行業生態。保險業務模式的發展和創新越來越依賴數字化網絡信息系統，體現為業務流和數據流的交織運行推動著保險功能的拓展與延伸。風險數據的實時共享和保險價值鏈服務主體的多樣化使得保險業的網絡結構日益體現出業務和信息雙重網絡結構，同時也蘊含著業務系統和信息系統的雙重脆弱性。

（一）保險業務網絡和信息網絡結構

1.業務網絡結構的演變

圖1顯示了傳統保險業務模式和數字化業務模式的網絡拓撲結構。

傳統保險系統主要有兩個層次的關系網絡：一是原保險市場呈現一種低密度、高脆弱性的樞紐節點的拓撲結構（圖1a），即各家原保險公司會服務眾多保險消費者，這些消費者之間風險的相關性通常很低。二是再保險業務層面呈現以再保險公司為樞紐節點的星型輻射式拓撲結構（圖1b），即大量原保險公司之間通過與幾家再保險公司的業務往來而形成間接關聯。可見，在傳統保險市場結構中，原保險公司作為低密度、高脆弱性的中心節點，其償付能力直接影響消費者的利益，再保險業務增加了市場密度但是降低了中心脆弱性。然而，再保險公司吸收尾部損失的能力又直接影響保險業的承保力，也就是說，再保險成為保險市場的最終脆弱節點。在數字網絡時代，保險產品服務的供給形式不斷增加，更多主體進入保險價值鏈可以在一定程度上降低市場的脆弱性。保險市場的星型輻射式結構轉變為高密度去中心化的網絡拓撲結構（圖1c）。最極端的情形是在網絡互助模式下完全實現了保險脫媒，在虛擬平臺上實現會員之間的風險互換行為。

2.信息網絡的復雜互聯性

我們通常所說的信息網絡具有以下拓撲性質：一是冪律分布，自治系統（Autonomous System，AS）層面表現出小世界和無標度性。二是層次性，Internet可被視為大量相互連接的自治系統，其中每個自治系統可被看做Stub域或Transit域，典型的實例就是國家層次的主干網絡和局域網，依據汪小帆等[13]繪制的AS1—AS17網絡層次結構如圖2所示。三是富人俱樂部（Rich Club），具有大量的邊的少量節點被稱為富節點（Rich Nodes），而這些富節點之間通常可以相互連接。以當前的保險業發展趨勢來看，保險業的信息網絡將呈現出更復雜的層次性和自治系統性。其一，系統自動化流程增加。越來越多的業務流程或商業活動由軟件系統控制，借助大量內部自治系統不斷提高組織運行的效率。其二，系統間的相互連接有普遍性。系統之間的實時數據共享是數字保險發展的前提，以云服務平臺和應用程序接口（Application Programming Interface，API）為主導的開放系統（微服務系統）架構日益重要。

（二）保險業務系統和信息系統脆弱性

1.業務系統脆弱性

保險業務系統脆弱性主要包含如下三個方面：一是業務結構的脆弱性。數字網絡催生了一些具有樞紐作用的平臺或企業，某些環節的交易對手日漸集中，甚至出現中央交易對手方（Central Counterparties，CCPs）。這些平臺或企業可以分為以下三類：其一，業務信息分享平臺，例如，中國銀行保險信息技術有限公司（簡稱“中國銀保信”）和上海保險交易所（簡稱“中國保交所”）已逐漸發展成為保險業的關鍵基礎設施。其二，消費場景平臺，網絡科技發展導致保險公司與消費者之間的互動關系日益松散化，擁有消費者界面的平臺或組織可以壟斷消費者行為數據，并與保險公司建立保險定制的合作伙伴關系。其三，技術性服務平臺，某些關鍵信息技術領域（如操作系統、信息安全、系統集成服務和云服務等）處于典型的寡頭壟斷競爭格局，由少數科技巨頭提供的產品和服務成為保險業數字業務運行的基礎設施。二是業務模式的脆弱性。傳統保險產品和服務具有離散和低頻的特征，而數字時代的保險產品和服務日益體現出連續和高頻的特征。例如，保險消費的場景化和碎片化，按需保險（On-Demand Insurance）、基于使用的保險（Usage-Based Insurance）模式下并不具備傳統預付保費的時間差優勢，從而增加保險經營中現金流管理的壓力;又如，在線與實時的交易和服務要求業務運營系統保持7×24小時持續運營。三是業務內容的脆弱性。在數字時代，保險產品和服務更加復雜和不透明。其一，保險業務組合的復雜性，例如，大型保險集團已經開始構建金融、醫療、智慧城市、房產、汽車等行業的生態圈。其二，業務形態的多變性，保險業務模式由于數字信息技術的不斷更新而處于動態發展中。其三，保險業務活動的全球化，數字化保險的產業鏈和業務拓展不受時空限制，業務活動的跨國或跨區域性是其典型特征。

2.信息系統脆弱性

信息系統脆弱性一般表現為三個方面：一是技術安全風險。計算機及其相關智能系統的發展本身就是不斷發現漏洞并打補丁的進程。二是技術之間的依賴性，互聯網技術的革新通常表現為技術的疊加，即任何信息技術創新均建立在已有的技術基礎之上。三是技術系統的單一性（IT Monoculture），數字化信息技術系統是一個典型的標準化系統，由各類基礎的子技術系統相互關聯而成。總而言之，無論是各類技術系統的不斷融合，還是經濟對技術系統的日益依賴，均增加了外部威脅者對信息技術系統進行網絡攻擊的動機。

三、保險業網絡風險的存在特征及表現形式

互聯網可能是人類有史以來設計最復雜的系統，高度互聯和緊密耦合意味著某個小故障或一系列故障可以級聯，從而產生巨大影響。類似于那些在美國次貸市場被忽視的風險，網絡次貸（Cyber Sub-Prime）問題的嚴重程度足以沖擊全球經濟[14]。基于前文的理論，我們認為，保險業的網絡風險將集中體現為以下幾個方面。

（一）社會網絡風險的聚集

1.富節點失敗的損失

從技術發展的疊加性和全社會的數字化變革來看，數字信息系統呈現倒金字塔結構，即一些富節點支撐著日漸膨脹的技術應用及其相關數字經濟活動。隨著社會經濟運行對網絡服務、數字數據庫、電子通信和網絡流量的依賴越來越強，網絡巨災可能由以下三個原因引起：一是源技術的錯誤可能導致科技大廈的整體故障。例如，市場上重要的技術類企業（Systemically Important Technology Enterprises，SITEs）隱藏著邏輯（如算法、操作系統等）風險，可能導致整個技術系統的大崩潰[15-16]。二是關鍵信息基礎設施（如通信服務、云計算、網絡安全等互聯網技術服務商）的失敗。三是標準化系統或流程的網絡攻擊事件。例如，2017年針對操作系統的網絡勒索病毒事件、針對銀行轉賬交易流程的木馬Emotet。隨著信息網絡的日益復雜化，富節點失敗的可能性增加：其一，越來越多的設備由軟件控制，受攻擊事件的數量大幅增加。其二，當系統變得相互關聯時，一個系統的漏洞容易牽連其他系統受到攻擊。其三，當聯網設備普遍具有自主能力時，從安全的角度看，這意味著，針對某個脆弱點的網絡攻擊將在數字化信息系統內部或各類關聯系統之間形成即時、自動和廣泛的風險傳播。總之，隨著保險業的“互聯網+”和“科技+”，保險業的運營日益依賴網絡信息系統，富節點失敗的影響明顯增強。

2.人為威脅的可能性持續增加

爆發于2007年的愛沙尼亞危機向我們展示了電子化進程的負面效應，促使全球政府重視國家的網絡安全問題。2010年的伊朗核電事件打破了封閉系統絕對安全的神話，近年來針對國家電網等關鍵基礎設施的攻擊事件愈發頻繁。360威脅情報中心發布的《全球高級持續性威脅2018年總結報告》顯示，被高級持續性威脅（Advanced Persistent Threat，APT）攻擊的國家或地區數量從2016年的38個增加至2018年的79個，被攻擊最多的5個行業領域是：軍隊與國防（17.1%）、政府（16.0%）、金融（15.5%）、外交（11.6%）和能源（10.5%）[17]。網絡犯罪者經常利用國際資金清算系統或銀行間交易系統的漏洞直接盜取巨額資金，例如，2018年4月，墨西哥金融系統遭受網絡攻擊，網絡犯罪者利用Web服務的一個漏洞，擾亂墨西哥銀行的銀行間電子支付系統（Interbanking Electronic Payment System，SPEI），最終竊取了超過3億比索的資金。保險業作為儲存高敏感數據的行業之一，也容易成為犯罪分子盜取敏感信息的重要來源，表1報告了近年來保險業的幾個重要的網絡安全事件。

（二）關鍵職能主體的失靈

基于之前對保險業務系統脆弱性的分析，筆者認為，數字信息系統或平臺的失靈可能導致較大范圍的營運中斷。

1.關鍵行業信息平臺的失靈

保險業發展所需要的數據流動和信息分享過程增加了市場參與主體之間的關聯性。從某種意義上講，數據的聚集和分散過程類似于銀行間市場的直接資金關聯，而承擔上述功能的平臺已經成為保險市場的基礎設施。例如，全國車險信息平臺已經集車險承保、理賠全流程管理于一體，實現了與公安、交管、運輸、稅務等相關政府部門和汽車產業鏈及車聯網等相關信息機構的對接。隨著車險綜合改革的推行，各類按需保險、智慧保險產品與大數據、智能合約技術日益結合，廣泛用于車輛的投保承保、理賠和衍生服務，并構建車險服務生態圈，因此，如果該平臺出現了持續一天運行困難，那么將影響數百萬輛車的基本保險服務運轉。

2.關鍵云服務平臺的失靈

網絡拓撲結構具有富人俱樂部特征，而隨著保險公司上云，越來越多的業務將集中于幾個大型云平臺，所以，云服務的平臺失靈可能會直接影響大部分保險公司的業務持續性。數字技術本身的脆弱性和人員操作的失誤都可能導致系統的服務中斷，表1中大量的風險事件顯示，云安全問題已經不容忽視。例如，一些自然災害引發的電力斷供會影響云服務能力，這種風險的重疊和交叉情形可以稱為準自然災害（Quasi-Natural Hazards）或自然災害誘發事故災難事件（NaTech）[18-19]。國際正常運行時間協會（Uptime Institute）[20]的全球數據中心調查報告顯示，2018年有31%的數據中心經歷了數據中斷事件，這個比例在2017年為25%，其中，最主要的三個原因是停電（33%）、網絡故障（30%）和軟件錯誤（28%）。此外，網絡攻擊者已經開始關注和跟蹤某些防御能力弱的依賴云服務的組織（Cloud-Reliant Organizations），試圖利用這類脆弱性節點破壞軟件即服務（Software-as-a-Service， SaaS）、平臺即服務（Platform-as-a-Service， PaaS）、基礎設施即服務（Infrastructure-as-a-Service， IaaS）等云服務運營系統[21]。

3.關鍵技術（軟件或硬件）應用的沖擊

在數字時代，保險公司的運營將廣泛依賴于數字化系統，采用標準化的軟硬件系統又使得組織的運營過程和流程日益趨同。由于一致性蘊含著內在不穩定性，如果某種被行業廣泛使用的技術（軟件、硬件、操作流程和系統）遭遇外部網絡攻擊或自身存在缺陷，將可能讓保險業遭受重大損失。以標準化相對較高的汽車保險為例，Egan等[23]模擬了保險公司遭遇一次1/200概率的遠程信息設備的網絡攻擊事件的風險情景，測算的相關損失高達7 000萬英鎊，約占年保費收入的18%。具體而言，設備替換的損失為4 250萬英鎊，營業中斷損失和數據泄露相關的法律責任分別為1 400萬英鎊和1 000萬英鎊，此外還涉及事件反映成本、監管罰款等損失。

（三）極端情景的耦合

在一個高度互聯的世界中，不同系統之間的風險會相互影響，形成風險網絡。在當前日益數字化的世界中，某些社會樞紐節點的失靈可能引起保險業務脆弱性和信息網絡脆弱性的耦合：一方面，保險業作為社會風險的經營管理者，面臨著網絡損失的賠付;另一方面，保險業作為社會經濟的子系統，同樣會因外部基礎設施系統的服務中斷，而發生大面積的業務運營中斷事件。勞合社勞合社是英國一家保險人組織，也是世界上由個人承保保險業務的唯一組織。進行的極端風險情景模擬結果顯示：如果美國國家電網遭受網絡攻擊導致大面積斷供，預計將造成2 430億—10 000億美元的損失，其中被保險的損失為214億—711億美元[24]。如果某個云服務商遭受多維網絡攻擊而出現3—6天的停工，即使只考慮美國的網絡安全保險市場的承保規模，且不考慮云服務中斷可能引發的傳統保險責任，可造成6.4億—10億美元（采用細致累積法）或8.7億—14億美元（采用市場份額法）AIR Worldwide風險建模公司基于其行業暴露的綜合數據庫開發了細致累積法（Detailed Accumulation Approach），它是市場份額法（Market Share Approach）的升級應用。以評估市場份額為30%的云服務商失敗的影響為例：采用市場份額法，會假設該云服務商在每個行業的市場份額均為30%來計算風險損失，而采用細致累積法，則只考慮實際依賴于該云服務商的企業，通過真實的業務關系數據來累計各行業的風險損失。的保險賠付 [22]。在上述兩種極端風險情景中，保險業需要同時應對經營風險（巨額賠付）事件和操作風險（基礎服務斷供下的營運中斷）事件。

中國保險業的網絡安全風險的潛在危害已經初步顯現。首先，在業務系統層面，行業的信息基礎設施、核心數據提供商、綜合性銷售服務平臺等在保險數字化業務模式中發揮著重要作用。例如，中國銀保信和上海保交所作為行業信息交流中心發揮著基礎設施作用，支付寶、微信的運營者占據著消費者風險數據入口的生態位。其次，在信息系統層面，一些重要的云服務平臺發揮著信息基礎設施的功能，成為數據儲存、分析和應用的核心載體。例如，眾安科技陸續發布了3個保險業智能云平臺——“無界山”保單處理云端系統、健康保險核心系統Graphene（石墨烯）和企業團險云系統“智心”，這些智能系統對接著企業（B端）和消費者（C端），成為互聯網金融系統中具有海量數據處理能力的信息技術平臺。類似地，平安科技推出的智能保險云，賦能全行業有效解決身份認證和自動化理賠兩大領域。隨著保險公司實施數字化轉型，日漸電子化的運營和業務流程以及存儲的海量客戶信息使得保險公司成為網絡犯罪分子的重點攻擊目標。保險業遭受的網絡攻擊呈現指數級增長，傳統類型保單會被網絡巨災事件觸發大面積索賠，網絡風險保單風險敞口也逐年激增。

四、中國保險業網絡風險規制策略和發展建議

（一）規制策略

中國在實施數字化發展轉型的過程中，保險機構要同步開展網絡安全建設，加強網絡安全建設的統籌規劃，將網絡安全與數字化轉型的實際需求相結合，更好發揮網絡安全對數字化轉型后業務安全的保障支撐作用。由于網絡空間具有無邊界、隨機性、涌現性、復雜性、參與者眾多、互動轉發頻繁和責任不易追究等特點，中國網絡空間中出現了大量的法治模糊地帶甚至空白地帶[25]，需要各級政府和行業組織出臺各種措施進行規制。

1.國家層面的宏觀規制

“互聯網+”對于金融和互聯網（信息技術）的集合，國際上更多使用金融科技、數字金融，很少使用互聯網金融。是全社會各產業的戰略升級，政府維護網絡衛生（Cyber Hygiene），是各行業順利推進“互聯網+”的基礎。國家網絡安全、私有信息保護和技術標準是保障網絡衛生環境的制度，中國對這三項內容均已形成了一定的法律基礎。《國家網絡空間安全戰略》（2016年12月發布）和《中華人民共和國網絡安全法》（2017年6月1日起施行）確定了“依法治理網絡空間”的基本原則，成為互聯網保險監管的頂層設計。配套出臺的《關鍵信息基礎設施安全保護條例（征求意見稿）》（2017年7月發布）則對社會關鍵信息基礎設施的網絡安全保護進行了詳細規定。12部門聯合發布的《中華人民共和國網絡安全審查辦法》于2020年6月1日正式生效，該法規要求關鍵信息基礎設施運營者在采購網絡產品和服務時，對于影響或可能影響國家安全的，必須進行網絡安全審查。中國尚未實施針對數據隱私保護的專門法規，目前關于個人信息保護的條款散見于《中華人民共和國刑法》《中華人民共和國民法》《中華人民共和國消費者權益保護法》《電信和互聯網用戶個人息保護規定》等國家基本法和相關部門法規中，這種多條線的規定給監管工作帶來一定的困難。2017年發布的《中華人民共和國個人信息保護法（草案）》即將成為數字時代保護個人信息的全局性法規，這也是中國互聯網保險的私有信息安全的立法基礎。全國信息安全標準化技術委員會制定了一系列信息安全技術標準，并于2018年5月公開征求意見，具體涵蓋以下領域：關鍵信息基礎設施（網絡安全和安全控制）、代碼安全審計規范、應用軟件安全編程、藍牙安全、個人信息安全影響評估、可信計算體系結構、惡意軟件事件的預防和處理等。同時，信息安全委員會還發布了三大領域的安全白皮書——汽車電子網絡安全標準化、大數據安全標準化、電子認證2.0。這些安全技術標準將成為中國保險科技安全運行的技術支撐。

2.行業層面的保險業規制

保險業一直重視“互聯網+”的快速發展，陸續出臺了一系列有針對性的法律法規，對互聯網保險活動進行規范，作者搜集整理了保險業規范互聯網與網絡安全的法律體系，限于版面，未在正文列出，留存備索。其中，《互聯網保險業務監管暫行辦法》（保監發〔2015〕69號）（以下簡稱《暫行辦法》）規范了保險電子商務活動，是互聯網保險的核心法規。《暫行辦法》三年試運行到期后，2019年12月，中國銀保監會出臺了《互聯網保險業務監管暫行辦法（征求意見稿）》。對比原來的《暫行辦法》，《征求意見稿》增加與網絡安全和數據安全相關的規定，主要包括：保險公司的自營網絡平臺、支持互聯網保險業務運營的信息管理系統和核心業務系統最低應按照國家網絡安全等級保護三級標準進行防護，至少應獲得國家網絡安全等級保護三級認證，定期開展等級保護測評;保險機構授權的營銷合作機構應當具有安全可靠的互聯網運營系統、信息安全管理體系和客戶信息保護制度，至少應獲得國家網絡安全等級保護二級認證;要求保險機構加強信息系統和業務數據的安全管理，采取入侵防御、密碼技術、數據備份、故障恢復等技術手段，建立網絡安全事件處置預案，定期開展應急演練工作。

（二）發展建議

1.強化公共網絡安全保障

Kunreuther 和Heal[26]提出了“共生安全”（Interdependent Security），即在一個相互依存的世界中，任何單一個體面臨的風險不僅取決于自身的選擇，還取決于所有其他個體的選擇。這一共生關系是網絡安全投資的建模基礎，一些文獻利用博弈論論證了網絡安全投資存在極強的負外部性，微觀行為主體的理性投資決策最終會使得全社會的安全投資低于最優水平，需要政府的干預和政策引導[27-28]。尤其在如今高度互聯互通的網絡空間中，網絡安全的公共物品屬性不斷增強，需要在國家的宏觀層面確保關鍵信息基礎設施的運營安全。當前，中國已經建立起保障關鍵信息基礎設施安全的基礎性架構體系，包括一系列基本法規和創新型技術標準，下一階段有必要逐步建立更具有操作性的保障措施。

首先，制定識別關鍵信息基礎設施的具體標準。雖然中國已經界定出關鍵信息基礎設施的具體涵蓋范圍，《關鍵信息基礎設施安全保護條例（征求意見稿）》第十八條羅列了以下五類關鍵信息基礎設施：（一）政府機關和能源、金融、交通、水利、衛生醫療、教育、社保、環境保護、公用事業等行業領域的單位;（二）電信網、廣播電視網、互聯網等信息網絡，以及提供云計算、大數據和其他大型公共信息網絡服務的單位;（三）國防科工、大型裝備、化工、食品藥品等行業領域科研生產單位;（四）廣播電臺、電視臺、通訊社等新聞單位;（五）其他重點單位。基本覆蓋了工業經濟時代的重要行業和研究組織，然而，隨著數字經濟的飛速發展，將出現一些新興行業或新型組織，所以，需要制定一套適合動態評價的標準。例如，可根據功能、關鍵規模、互補性、綜合價值（包含政治、經濟、社會等）、依賴程度、敏感性等因素進行識別與分類，構建綜合的動態評價體系。

其次，開發一套在全國范圍內通用的關鍵信息基礎設施網絡風險評估框架，各關鍵信息基礎設施子行業可以參考這一風險評估框架建立獨特的風險評估體系，從而可兼顧整體評估的有效性和各細分子行業的特殊性。

再次，在國家層面提供信息共享平臺，促進關鍵信息基礎設施部門之間、國內與國際之間的風險信息交流與溝通。

最后，在網絡安全審查表中強化物理、網絡、硬件、應用、數據等多層面的綜合防護，要求關鍵信息基礎設施部門的網絡安全技術與業務系統創新同步發展。

2.完善行業技術應用標準

首先，完善云計算的應用標準。保險業的云計算應用存在以下3種模式：大中型保險公司更多選擇私有云模式，一般由集團或總公司的數據中心或信息科技部門運營;行業云模式，主要是優質的金融企業對外輸出其內部云資源;公有云模式，中小型保險公司大多采用公有云模式。鑒于中國保險公司正處于加速上云時期，且保險公司云計算應用方式多樣化，建議保險和國家信息技術管理部門聯合建設以下云計算應用標準體系：保險業云計算的場景和總體框架;保險業云服務提供方的資質要求;保險業云計算軟件的相關技術要求;保險業基于容器的業務平臺架構技術能力要求;保險業的微服務架構技術能力要求;保險業的研發運營一體化平臺架構技術能力要求。

其次，制定數據安全標準。可從信息分級管理和保險數據中心評價兩個維度建設保險業的客戶信息建設分級管理制度，具體可參考《信息技術服務數據中心能力成熟度模型》（GB/T 33136-2016）、《信息安全技術個人信息安全規范》（GB/T 35273-2017）、《信息安全等級保護管理辦法》等國家法規。為了保障行業整體數據安全和保險公司數字化轉型的靈活性，建議構建保險業的客戶信息建設分級管理制度，構建行業核心數據保護制度，將核心數據的存儲和分析放在安全級別相對高的行業云，一般數據則可以采取其他云模式。此外，將大數據、云平臺、互聯網金融服務平臺等外包服務商納入等級保護管理中，通過信息安全等級保護工作考核評價，實現保險科技發展與網絡安全同步規劃、同步實施、同步運行。

3.強化運營連續性管理

數字時代，越來越多的程序化和自動化保險環節需要以穩健運營為支撐，因此，確保電子業務持續管理（e-Business Continuity Management，e-BCM）成為保險業數字化轉型面臨的重要議題。筆者建議運營連續性管理可從如下兩方面展開。

首先，完善保險公司的業務持續性動態評價體系。在行業層面，建立業務持續性管理成熟度評估標準，并將其納入到對公司的風險評級指標體系中，這個評估標準至少要涵蓋業務影響分析、業務持續性風險評估和業務持續計劃三個方面。此外，還應當加強技術系統和業務系統之間的聯動，建立信息系統失敗情況下的業務替代安排。為了保障營業中斷事件的迅速恢復，可確定一個災后系統恢復時限標準，參照國際監管經驗，例如，CPMI-IOSCO（2016），可以規定服務中斷后4小時或6個小時恢復正常運營。

其次，建設技術外包管理制度。隨著移動設備滲透到日常生活的方方面面，保險公司與第三方數據提供方的合作將會日益緊密[29]。因此，有必要建立行業層面的技術外包管理制度。其一，設定第三方服務商的網絡安全能力標準。隨著數字經濟的發展，網絡攻擊者已經開始改變其攻擊模式，利用第三方甚至第四方供應鏈合作伙伴的系統潛入目標系統是一條攻擊“捷徑”，因此，應當要求保險領域的法律、會計等基礎性第三方服務商具備一定的網絡安全防御能力。其二，加強技術外包機構集中度風險管理，尤其是監測和控制云服務、信息系統構架、網絡安全等關鍵技術服務商的集中度風險。其三，建立外包導致的重大事件匯報機制。由管理部門定期向行業發布外部服務商“黑名單”，并對這些服務商承包保險業信息技術服務項目設置一個明確的禁止期限（如兩年）。

4.開展網絡韌性壓力測試

與傳統的低頻交易和低連接的經營模式相比，日益數字化運營的保險公司應當提升業務持續管理的能力，以實現更充分的事前準備、更快的事中響應和更有效的事后恢復。

首先，開展保險業營運中斷壓力測試，以及更多參與金融系統和全國重要系統的業務連續性計劃演習，覆蓋應急響應、指揮決策、信息報告、處置恢復等環節。考慮到提高金融機構和金融市場基礎設施的網絡韌性應當成為維護金融穩定的目標之一，應借鑒現有的一些國際實踐經驗（如歐盟的TIBER-EU、英國的CBEST），對保險業或金融業的網絡韌性定期開展壓力測試，利用與時俱進的網絡威脅情報模擬真實網絡攻擊，從而不斷調整或更新現有的應急和恢復計劃。

其次，更加關注營運中斷事件的聲譽風險管理工作，建設多渠道信息監測與通報工作機制，積極降低網絡安全負面事件對行業信心的影響。

5.建設數據安全風險事件匯報制度

首先，建立強制性的網絡安全事件匯報機制。《保險機構信息化監管規定（征求意見稿）》（2015年10月）中第8條第9款指出“及時向中國保監會報告本機構發生的重大信息安全事件或者突發事件，按相關預案快速響應”。匯報網絡安全事件的目的是讓監管當局能了解網絡事件的影響程度，并及時作出適當的監管決策，因此必須明確設定保險業的重大信息安全事件的標準。我們建議上報標準應當包含以下3方面的重要性指標——核心服務中斷所影響的用戶數量、事件持續的時間長度以及受事件影響的地理分布范圍大小。此外，對匯報時間作出明確的規定，可以考慮要求企業在72小時內匯報風險事件。

其次，建立一個網絡攻擊事件的匿名匯報平臺。鑒于網絡安全事件對組織聲譽的負面影響，組織幾乎均沒有動力對外披露其網絡攻擊事件。然而，無論是從風險信息不對稱，還是網絡風險不可預測的角度來看，監管者都有強烈的意愿搜集并分析行業內的網絡安全事件信息，建議建立一個網絡攻擊事件的匿名匯報平臺，讓行業內的各機構無顧慮地共享此類風險信息。這里提及的網絡攻擊事件主要是指，網絡犯罪者進行的長時間或大量的試探性攻擊，其絕大部分會被保險機構的脆弱性和滲透性測試工具攔截，而分享這些網絡威脅信息有利于提高保險業整體的風險防御能力。

6.改善保險公司內部治理

從網絡安全管理的視角，將網絡風險管理和數據資產保護納入到保險公司的整合性風險管理框架中，成為保障公司穩健發展的重要任務。

首先，將網絡安全納入到內部治理和控制體系。保險公司應當將網絡安全風險提升至董事會討論層面，確保董事會成員中有相關專業知識人員，有的國家（例如，英國和美國）的監管者甚至要求，如果企業組織任命的網絡安全專業人士在董事會中是非執行董事，則企業組織需要充分證明自己擁有其他的專業咨詢途徑，例如，設立了一個網絡咨詢小組。并對網絡韌性進行明確的責任劃分，尤其是對于IT部門與其他部門如何合作和承擔網絡安全風險。例如，可以在高級管理層設置一個職位，負責管理和協調組織各部門網絡風險方面的內部運營和技術。保險公司還需要在人力資源開發和內部控制等方面進行相應的調整，例如，加強網絡風險意識培訓、開展網絡安全審計等。

其次，構建數據資產保護制度。保險公司應當構建公司的數據資產保護制度，至少覆蓋以下方面：信息資產分級管理，包括推進信息資產識別和分類、分級工作，明確安全策略和保護要求等;敏感信息保護，包括加強客戶身份、賬戶等重要電子信息的保護，綜合運用多因素認證、訪問控制、邊界防護、泄密檢測、密碼算法和技術、數據脫敏和安全審計等手段，提高客戶身份認證和驗證強度，防范敏感數據泄露、篡改、丟失和非授權訪問等風險。

參考文獻：

[1]Biener， C.， Eling， M.， Wirfs， J. H. Insurability of Cyber Risk： An Empirical Analysis[J]. Geneva Papers on Risk and Insurance-Issues and Practice， 2015， 40（1）： 131-158.

[2]üt， H.， Raghunathan， S.， Menon， N. Cyber Security Risk Management： Public Policy Implications of Correlated Risk， Imperfect Ability to Prove Loss， and Observability of Self-Protection[J]. Risk Analysis， 2011， 31（3）： 497-512.

[3]Shetty， S.， McShane， M.， Zhang， L. F.， et al. Reducing Informational Disadvantages to Improve Cyber Risk Management[J]. Geneva Papers on Risk and Insurance-Issues and Practice， 2018， 43（2）： 224-238.

[4]Romanosky， S.， Ablon， L.， Kuehn， A.，et al.Content Analysis of Cyber Insurance Policies： How Do Carriers Write Policies and Price Cyber Risk[J]. Journal of Cybersecurity， 2019， 5（1）： 1-19.

[5]Talesh， S. A. Data Breach， Privacy， and Cyber Insurance： How Insurance Companies Act as ‘Compliance Managers for Businesses[J]. Law & Social Inquiry， 2018， 43（2）： 417-440.

[6]Herr， T. Cyber Insurance and Private Governance： The Enforcement Power of Markets[J]. Regulation & Governance， 2019， 13（3）： 1-17.

[7]International Association of Insurance Supervisors. Issues Paper on Cyber Risk to the Insurance Sector [R/OL]. https：//www.iaisweb.org/file/61254/cybersecurity-issue-paper-post-public-consultation-clean， 2016-04-14.

[8]Catlin， S.， Burcke， J. Risk and Reward： An Inside View of the Property/Casualty Insurance Business[M]. London： Iskaboo Publishing Ltd， 2017.1-2.

[9]Pooser， D. M.， Browne， M. J.， Arkhangelska， O. Growth in the Perception of Cyber Risk： Evidence From U.S. P&C Insurers[J]. Geneva Papers on Risk and Insurance-Issues and Practice， 2018， 43（3）： 208-223.

[10]The Joint Risk Management Section of the Society of Actuaries （SOA）， The Casualty Actuarial Society （CAS），The Canadian Institute of Actuaries （CIA）. Emerging Risks Survey：2014[EB/OL]. https：//www.soa.org/resources/research-reports/2015/2014-emerging-risks-survey/， 2015-12-07.

[11]The Joint Risk Management Section of the Society of Actuaries （SOA）， The Casualty Actuarial Society （CAS）， The Canadian Institute of Actuaries （CIA）. Impact on Insurance Business and Operations [EB/OL].https：//www.soa.org/sections/joint-risk-mgmt/joint-risk-mgmt-resources/， 2017-02.

[12]European Insurance and Occupational Pensions Authority（CIOPA）. Cyber Risk for Insurers：Challenges and Opportunities[EB/OL]. https：//eiopa.europa.eu/Publications/Reports/EIOPA_Cyber risk for insurers_Sept2019.pdf， 2019-09-17.

[13]汪小帆，李翔，陳關榮.復雜網絡理論及其應用[M].北京：清華大學出版社，2006.50-55.

[14]Zurich Risk Nexus. Beyond Data Breaches： Global Interconnections of Cyber Risk[EB/OL]. https：//www.jasadvisors.com/risk-nexus/， 2014-04-16.

[15]Ruffle， S.， Bowman， G.， Caccioli， F.，et al. Stress Test Scenario： Sybil Logic Bomb Cyber Catastrophe [A]. Cambridge Risk Framework Series[C]. Centre for Risk Studies， University of Cambridge， 2014.

[16]Tuveson， M.， Ruffle， S. Diversity Is the Way to Avoid Cyber Collapse[N]. Financial Times， 2014-04-024.

[17]360威脅情報中心.全球高級持續性威脅（APT）2018年總結報告[R/OL]. http：//zt.360.cn/1101061855.php？dtid=1101062514&did=210827151， 2019-01-11.

[18]Jones， D.， Hood， C. Accident and Design： Contemporary Debates in Risk Management[M]. London： UCL Press， 1996.129-130.

[19]David， L. S.， Overfelt， D.， Picou， J. S. The Sociology of Katrina： Perspectives on a Modern Catastrophe[M]. New York： Rowman and Littlefield Publishers， 2007.

[20]Uptime Institute. Global Data Center Survey： Operators Struggle With Constraints， Change， and Complexity[EB/OL]. https：//datacenter.com/wp-content/uploads/2018/11/2018-data-center-industry-survey.pdf， 2018-11-12.

[21]FireEye. M-Trends 2019： Trends Behind Today's Cyber Attacks[R/OL]. https：//www.fireeye.com/current-threats/annual-threat-report/mtrends.html， 2019.

[22]Lloyd's，AIR Worldwide. Cloud Down： Impacts on the US Economy[EB/OL]. https：//www.lloyds.com/news-and-risk-insight/risk-reports/library/technology/cloud-down， 2018-01-01.

[23]Egan， R.， Cartagena， S.， Mohamed， R.，et. al. Cyber Operational Risk Scenarios for Insurance Companies[J]. British Actuarial Journal， 2019， 24（6）： 1-34.

[24]Lloyd's. Emerging Risk Report： Business Blackout-The Insurance Implications of a Cyber Attack on the U.S. Power Grid[EB/OL]. https：//www.lloyds.com/news-and-risk-insight/risk-reports/library/society-and-security/business-blackout， 2015-07-06.

[25]張齊武，徐燕雯.網絡空間核心價值觀安全問題研究——基于自由與秩序視角[J].財經問題研究，2017，（6）：9-14.

[26]Kunreuther， H.， Heal， G. Interdependent Security[J]. Journal of Risk and Uncertainty， 2003， 26（2-3）： 231-249.

[27]Gordon， L. A.， Loeb， M. P.， Lucyshyn， W. Sharing Information on Computer Systems Security： An Economic Analysis[J]. Journal of Accounting and Public Policy， 2003， 22（6）： 461-485.

[28]Bhme， R.， Kataria， G. Models and Measures for Correlation in Cyber-Insurance[R].Fifth Workshop on the Economics of Information Security， 2006.

[29]Eling， M.， Lehmann， M. The Impact of Digitalization on the Insurance Value Chain and the Insurability of Risks[J]. Geneva Papers on Risk and Insurance-Issues and Practice， 2017， 43（3）： 359-396.

（責任編輯：巴紅靜）