(从信息安全的特点谈引入保险机制的积极作用)
(一)、信息安全的特点
1.1 经济学角度:信息系统安全系数的提高是以更多地消耗网络信息资源或限制其使用为代价的。安全性越高,花费的成本会越高,同时信息系统的性能、使用便利性等等都会下降。所以从经济学看,并不是越安全越好,找到一个最佳的平衡点是关键。
1.2 信息系统免疫力(动态性)
信息安全是一种持续改进的过程,信息安全体系可以理解为人体的免疫系统,能建立一套自我发现安全风险、处置安全风险的安全体系是关键。具备一套良好的信息安全免疫体系是企业的安全战略目标。
1.3 信息安全对抗性:
信息安全是人和人的对抗,具备攻防的艺术性,所谓“道高一尺、魔高一丈”。人永远是信息安全中的核心要素,就像核武器不是战争的全部一样,人的战略布局、
战术策略、执行方法等等这些都是信息安全的基础。我们不可能仅仅靠安全设备去和人对抗。信息安全的效果很多时候是靠对手(敌人)评价的,而不是我们自己
YY评价。
(二)、信息安全的本质是风险管理
信息安全问题和其他安全问题(比如,健康问题、财产安全、金融安全等)一样,最终都归结为一个风险管理问题。并不是所有问题都需要或者都有能力整改,对于一些小概率、大风险的事件,或者整改成本太大的风险,可以考虑像买保险一样,保险实际上是风险的转移,依靠大众,因为是小概率、大风险事件,靠公众的一个共同分担风险的一种方法来解决掉小概率大风险的事件。保险是风险管理的有效的措施之一。
下图充分描述了风险管理的含义:风险肯定存在,我们的所有目标是风险处于可接受、可控的状态。
(三)、安全保险的业内雏形
有些互联网业务的“敢用敢赔”其实就含了保险的思想,即用户用了我的服务出了问题我来负担用户的损失。
目前信息安全最热一种模式是众测模式,通过平台打通B2C的通道,今天晚上和一个做众测的朋友聊天,也提到了用户付费(保护费或保险费),出现安全问题可以给用户赔付一定费用,这种的模式很容易打动企业用户的高层领导(CEO),跳出技术的框架来进行沟通。
(四)、信息安全保险的好处
(还没有完全想清楚,目前想到的……)
4.1责任更明确:在险种的条款上,可以更明确投保方、担保方的责任。尤其保险公司会积极的协助用户定义边界责任线、技术条件等。
4.2 安全保障的驱动力更强:
保险公司会积极推动或有效评定用户信息系统的安全性,信息安全保险的目的并不是在出险后获得高额赔偿,而是在深入调查研究投保公司内部的信息安全漏洞和可
能存在的风险的基础之上,通过风险评估来识别风险的大小,通过制定信息安全方针,采取适当的控制目标与控制方法对风险进行控制,使风险被避免、转移或降至
一个可被接受的水平。这是一个风险管理(Risk
Management)的过程,其突出特点就是进行事前的风险控制,防患于未然。因而在信息安全问题上引入保险机制,具有较大的主动性,用风险管理的方式
帮助企业减少可避免的损失。
4.3对保险公司的好处:通过保险保金的时间差,在金融市场盈利。后期可以更大胆保险到期后向用户退还本金。
信息安全保险一定会是未来的一个险种,它会从另一种积极的思维角度推进安全工作。