重庆商用密码行业协会

中国太平洋财产保险股份有限公司是中国太平洋保险（集团）股份有限公司旗下的专业子公司，为客户提供全面的财产保险产品和服务，注册资本199.48 亿元。

中国太平洋财产保险股份有限公司重庆分公司是中国太平洋财产保险股份有限公司设立在重庆的一级分公司，成立于1992年。截止2024年，全辖分支机构37家，营销服务部16个。我司在册员工人数1200余人，保费总收入48亿元；连续为重庆轨道、重庆公交、重庆枢纽、重庆高速、中国铁建、中国中铁、中国建筑、重庆燃气、重庆长安、国家电网、中国兵器、中国石油、三峡集团等提供保险服务。

公司始终坚持“以效益为中心，以市场为导向，以客户为基础”的经营指导思想，牢固树立“诚信天下、稳健一生、追求卓越”的企业核心价值观，矢志追求一流的服务质量、一流的工作效率、一流的公司信誉。

2023年4月，第五届中新（重庆）战略金融峰会在重庆和新加坡同步召开。中国太保与重庆市人民政府在峰会开幕式签署战略合作协议。中国太保将围绕成渝地区双城经济圈建设、促进战略产业集群迭代升级、深化金融互联共建陆海新通道、坚持生态优先绿色发展、加强民生保障创新金融服务模式等方面与重庆市人民政府加强战略合作。

商密产品信息：

产品名称

中国太平洋财产保险股份有限公司企业网络安全保险

中国太平洋财产保险股份有限公司供应链网络安全责任保险

中国太平洋财产保险股份有限公司智能控制系统责任保险

中国太平洋财产保险股份有限公司云计算服务责任保险

中国太平洋财产保险股份有限公司数据知识产权安全保险

商密相关技能：

我司入选重庆市经信委《2024年网络安全保险服务机构和网络安全产品名单》，主要有三个方案：智能网联汽车网络安全保险服务方案；中小微企业网络保险服务方案；医疗行业网络安全保险服务方案。

以智能网联汽车网络安全保险为例：

（一）服务方案

1、网络安全保险产品设计

（1）风险来源

随着数智化转型的推进，电动化、网联化、智能化、共享化催生了智能网联汽车新型网络安全与功能安全等一系列问题。根据乘用车市场协会数据显示，在新车销售中，智能化和网联化的比例已超 50%，汽车从过去单纯的出行工具变成了一个超级网络终端、数据终端、信息终端，相应的网络与数据安全风险也随之而来。太保产险以智能网联汽车整车制造主机厂为核心，针对主机厂面临的网络安全损失风险设计了我司配套的网络安全保险产品。

主机厂所面临的网络安全相关的损失风险可来自内部与外部风险来源：内部风险来源于主机厂本身产品生产管理过程；外部风险来源于上游供应商、下游使用者。

①内部风险来源-主机厂

主机厂通常使用工业控制系统(ICS)来管理生产流程和设备。这些系统可能存在安全漏洞，如未打补丁的软件、弱密码或缺乏安全防护措施等。

a.生产经营破坏：攻击者可能针对关键设备和控制系统发起攻击，导致生产中断、设备损坏、数据丢失或供应链受阻。这种攻击旨在破坏企业的正常运营，造成严重经济损失和生产延误

b.勒索软件攻击：如今车联网行业攻击收益提升，主机厂的工业控制系统和设备已经成为勒索软件攻击的重要目标。攻击者通过加密企业的文件和系统，要求支付赎金以解锁，导致企业生产中断及其他重大损失。

c.数据泄露和窃取：主机厂的工业数据涉及到企业的核心资产和机密信息，如工艺参数、产品设计、生产计划等。攻击者可能通过窃取这些敏感数据，用于恶意用途或出售给竞争对手，对企业的声誉和竞争力造成影响。

d.员工行为失当：主机厂内部员工可能成为网络安全威胁的来源，员工的不当行为可能导致敏感数据的泄露、系统损坏或生产事故。

e.事件响应能力不足：主机厂自身安全管理中的安全监控和事件响应机制如不够健全，可能无法及时发现和应对车端和云端的安全威胁，导致损害扩大。

②外部风险来源-上游零部件/软件供应商：

A.上游零部件/软件供应商：

生产破坏或数据泄露：整车制造主机厂的供应链涉及多个环节和供应商，其中任何一个环节出现网络安全漏洞都可能波及整个供应链。

B.下游车主/车辆使用者

智能网联汽车是新一代网络通信技术与汽车、电子、道路交通运输等领域深度融合的新兴产业形态，网络攻击对象更为广泛，通信劫持、漏洞利用、平台攻击等控制车辆网络的攻击途径更加多样。

（2）保险产品匹配

①针对内部风险来源

我司网络安全产品中的网络安全保险（A 款）及其附加责任，可覆盖智能网联汽车主机厂自身面临的网络安全风险带来的损失。详见下表：

②针对外部风险来源

A.上游零部件/软件供应商

我司网络安全产品中的供应链网络安全责任保险，可覆盖上游供应商网络安全风险给主机厂带来的相应损失。保障主体为上游供应商，投保人/被保险人为上游供应商，使供应商有应对主机厂索赔的能力。

B. 下游车主/车辆使用者

我司网络安全产品中的智能控制系统责任保险搭配主机厂已有的网络安全保险（A 款），可保障车主或其他第三方使用汽车智能网联系统时面临外部网络攻击的风险损失。

2、网络安全保险开发与管理

目前我司报备的所有网络安全保险相关条款

3、网络安全服务内容、开展方式

（1）风险评估服务：为客户提供专业的网络安全风险评估服务，帮助客户识别潜在的安全隐患和漏洞。

（2）应急响应服务：建立专业的应急响应团队，为客户提供快速、有效的网络安全事件应急响应服务。

（3）培训与教育：定期为客户提供网络安全培训和教育服务，提高客户的网络安全意识和防范能力。

4、网络安全保险产业链各方主体合作模式

本方案产业链各方主体的合作形式为：产业协会会员单位的资源整合，围绕太保产线保险服务与源堡科技、爱思科技安全技术的结合，形成跨行业的融合创新，打造“资源整合+保险服务+安全风控”的主体合作模式。‌

网络安全保险作为新兴的网络安全服务模式，是产业数字化转型过程中防范网络安全风险、实现风险转移的有效手段。集风险管控服务与经济赔偿能力于一体，通过全流程安全服务提升防范应对高级威胁的能力，助力智能网联汽车行业网络和数据安全体系和能力现代化建设，有效弥合工业企业网络安全防护能力缺口，创造安全发展环境‌。

‌ 在“资源整合+保险服务+安全风控”模式下，由保险公司发挥主导作用，借助源堡、爱思科技、协会成员单位等网络安全企业、专业网络安全测评机构的网络安全技术能力、场景化评估分析能力和数据整合分析能力，开展产品开发、核保定价、防灾减损等保险服务，为行业企业提供网络安全财产损失险、责任险、综合险等保险产品，同时，借助协会法律成员单位的优势，为企业提供网络安全保险舆情公关、第三者责任行为处理等保后应急服务。通过保险公司与网络安全企业、测评机构、协会之间的紧密合作，共同为企业提供全面的网络安全保障。

5、配套网络安全风险评估、风险监测、溯源取证、定责定损等技术方案

针对智能网联汽车企业所面临的供应链网络安全风险特征，中国太保产险所提供的网络安全技术支持与应急响应服务主要包括保前风险评估、保中风险监测、保后应急响应与理赔，具体服务方案如下：

（1）保前风险评估具体服务方案

A.投保客户基本信息调研：该服务以调查问卷+线上查勘相结合的方式进行。通过线上调查问卷，投保企业线上输入：企业基本信息（企业名称），安全能力信息调研（防护、监测、响应能力），供应商安全信息（供应商数量、性质，供应产品及资质）。输入完成后保险公司存档，后续通过线上核验对输入信息（例如防护、监测、响应能力）的准确性进行检验。

另外通过企业信息自动收集服务和企业网络风险自动监测服务对输入信息进行校验和补充。

B.企业信息自动收集：通过企业基本信息自动化扫描收集，可以在投保企业非授权条件下，自动获取其所在行业，资产数量，员工数量，股权结构、子公司基本信息等企业基本信息。获取的信息保险公司将存档并定期更新。企业网络风险自动监测:首先本项服务可以进行企业攻击面扫描，以获取企业网络资产攻击面、影子资产攻击面详细信息，然后在企业攻击面扫描的基础上进行企业网络资产漏洞扫描，获取企业网络资产漏洞详情。获取的攻击面及漏洞详情保险公司将存档并定期更新。

C.威胁情报汇总：根据历史安全事件、安全设备能力、漏洞情报提供威胁情报安全评估，根据攻击团队研究、攻击特征、攻击方法、攻击面扩展方法提供威胁建模安全评估。相关评估信息保险公司将存档并定期更新，最终形成网络安全知识库。

D.风险量化：保险公司将投保客户基本信息调研，企业信息自动收集，企业网络风险自动监测，威胁情报汇总收集的信息进行量化计算，最终给出投保企业的网络安全风险量化评分。

（2）保前风险评估具体服务具体开展方式

在保前评估阶段，需要对投保客户所面临的内部、外部风险进行充分掌握并对收集的风险信息进行量化。并根据量化结果进行投保。

详见下图风险评估准备开展流程：