T/GDCIA 002-2025 广东省工业和信息化领域链式企业网络安全保险服务标准

　　ICS 03.080.99 CCS A11

团 体 标 准

T/GDCIA 002-2025

广东省工业和信息化领域链式企业网络

安全保险服务标准

Cybersecur ity Insurance Serv ice Standards for

Cha in Enterpr ises in the Industr ia l and

Informat ion Technology Sector of Guangdong

Prov ince

2025-12-23 发布 2025-12-23 实施

广 东 省 通 信 行 业 协 会 发 布

前 言

本文件参照GB/T 36637—2018《信息安全技术 ICT 供应链安全风险管理指南》的规定起草。

请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本文件由广东省通信行业协会提出并归口，由广东省通信管理局指导。

本文件起草单位：国家工业信息安全发展研究中心、中国电信股份有限公司广东分公司、中国太平洋财产保险股份有限公司广东分公司、广东亿迅科技有限公司、广东省通信网络保障中心、华为技术有限公司、广州竞远安全技术股份有限公司、太保科技有限公司、广东工业大学计算机学院、鼎熙国讯科技有限公司。

本文件主要起草人：孙倩文、詹林献、贺景锋、王庆、雷兴华、罗志强、陈杰生、丘碧山、姜卉、邵艾青、方冬茹、王猛、隋光烨、王峰、程良伦、何刚、杨明、钟添雄、丁雨晗、黄政、马洁。

本文件其他起草人员：张文辉、吴科、黄伟平、李峰、李爱春、刘阳瑞、张静、柯文仪、陈瑞瑞、方汉周、林妙诗、胡嘉珍。

本文件为首次发布。

引 言

在数字化浪潮席卷全球的当下，加强企业供应链的关键信息基础设施安全管理已经形成共识，应采取合理步骤来保证其保密性、完整性、可用性。很多国家和地区纷纷出台安全政策，采取测评认证、供应商的安全评估、安全审查等多种技术和服务手段加强企业供应链的信息和网络安全管理。

传统的安全管理模式难以应对关键信息基础设施和网络安全风险，保险服务团体标准的引入开创了"风险量化—控制强化—金融对冲"的新型治理范式。通过融合信息安全技术 ICT供应链安全风险管理指南与保险业的风控要求，构建"供应链企业准入认证—组件溯源管控—风险转移触发"的三层防御体系，企业可在获得风险保障的同时，享受融资成本优化等政策红利。这种"技术治理+金融工具"的双重赋能模式，不仅提升了关键信息基础设施的安全韧性，更推动了信息和网络产业生态的协同进化，为数字经济高质量发展构筑起新型信任基石。

本标准不规范信息技术产品供应方的安全行为准则。推荐在关键信息基础设施或重要信息系统中使用本标准。然而，由于个别需要和相关性，组织可选择将标准应用到其他系统或特定组织，不过应用本标准的控制措施可能会增加组织和外部供应链企业的潜在成本，需要组织在成本和风险间进行权衡。

本标准所涉及的政府采购评标加分等激励措施，其具体实施需符合广东省政府采购促进中小企业发展管理办法等地方政策规定，并由相关主管部门另行制定实施细则。

1. 范围

本团体标准规定了供应链企业网络安全保险服务的适用范围、服务框架、服务内容、风险管理及评估改进要求。

本文件适用于供应链企业网络安全保险服务落地，旨在通过技术检测、风险预警、合规审查等手段，提升链式企业的网络安全风险治理能力，并为保险服务提供技术和服务支撑。

2. 规范性引用文件

GB/T 36637—2018 信息安全技术 ICT 供应链安全风险管理指南

GB/T 22239—2019 信息安全技术 网络安全等级保护基本要求

GB/T 38299—2019 公共安全 业务连续性管理体系供应链连续性指南

GB/T 38674—2020 信息安全技术 应用软件安全编程指南

GB/T 38702—2020 供应链安全管理体系 实施供应链安全、评估和计划的最佳实践要求

和指南

GB/T 40753—2021 供应链安全管理体系 ISO28000 实施指南GB/T 43698—2024 网络安全技术 软件供应链安全要求

GB/T 45576—2025 网络安全技术 网络安全保险应用指南

GB/T 43848—2024 软件产品开源代码安全评价方法

GB/Z 26337.1—2010 供应链管理 第 1 部分：综述与基本原理

DB4403/T 28—2019 供应链企业分类与评估

3. 术语和定义

GB/Z 26337.1—2010、GB/T 43848—2024、GB/T 36637—2018、GB/T 38072—2020 、 GB/T 22239—2019 和 GB/T 45576—2025 界定的以及下列术语和定义适用于本文件。

3.1

供应链 supply chain

生产及流通过程中，围绕核心企业，将所涉及的原材料供应商、制造商、分销商、零售商直到最终用户等成员通过上游或下游成员链接所形成的网链结构。

[来源：GB/Z 26337.1—2010，定义 3.1.1] 3.2

链主企业 chain owner enterprise

链主企业是在产业链供应链中具有核心优势地位，对优化资源配置、技术产品创新和产业生态构建有重大影响力的企业。

[来源：广东省工业和信息化厅广东省战略性产业集群重点产业链链主企业管理办法定义]

3.3

供应链企业 supp ly chain enterprises

生产及流通过程中， 围绕核心企业， 为其提供采购 、 制造 、物流 、销售等服务的独立法人组织。

[来源：DB4403/T 28—2019 术语和定义 3.2]

3.4

供应链安全风险管理 supply chain security risk management指导和控制组织与供应链安全风险相关问题的协调活动。

[来源：GB/T 36637—2018 术语和定义 3.6]

3.5

供应链安全风险 supply chain security risk

供应链安全威胁利用供应链企业所提供的产品、服务或解决方案中存在的网络安全脆弱性，通过网络安全攻击导致供应链安全事件的可能性，及其由此对链主企业造成的影响。

[来源：参考 GB/T 36637—2018，术语和定义 3.5，有修改] 3.6

网络安全保险 cybersecurity insurance

承保因发生网络安全事件所造成的经济损失以及需承担的法定赔偿责任的一种财产保险。

[来源：GB/T 45576—2025，3.2]

注：网络安全保险属于广义的财产保险范畴，数字资产等无形资产可作为该险种的保险标的。

3.7

保险人 insurer

与投保人订立保险合同，并按照合同约定承担赔偿或者给付保险金责任的保险公司。 [来源：GB/T 36687—2018，2.4]

3.8

投保人 app licant

与保险人签订保险合同，并按照保险合同负有支付保险费义务的主体。 [来源：GB/T 36687—2018，2.5，有修改]

3.9

被保险人 insured

与保险人分担网络安全风险的主体，其财产受保险合同保障，享有保险金请求权。 [来源：GB/T 36687—2018，2.6，有修改]

注：投保人可以为被保险人。

3.10

技术支撑方 technical support provider

网络安全保险中提供相关供应链企业网络安全技术的服务方，包括但不限于提供安全风险评估、技术检测、风险分析、合规审查、安全风险控制、应急响应服务。

3.11

网络安全 cybersecurity

通过采取必要措施，防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故，使网络处于稳定可靠的状态，以及保障网络数据的完整性、保密性、可用性的能力。

[GB/T 22239—2019，术语和定义 3.1]

3.12

开源代码 open source code

公众可以获取源代码的计算机代码。

[GB/T 43848—2024，术语和定义 3.2]

3.13

开源许可证 open source license

允许公众用户根据协议内容使用、修改、复制和分发开源代码的授权协议。 [GB/T 43848—2024，术语和定义 3.3]

3.14

链式企业 chain enterprises

通过产业链和产业集群中的关键企业引领，增强企业网络安全供应链韧性和安全性，带动产业链供应链上下游和产业集群的链主企业与供应链企业协同发展的企业。

4. 缩略语

SCA：软件成分分析(Software Composition Analysis)

SAST：静态应用安全测试(Static Application Security Testing)

DAST：动态应用安全测试 (Dynamic Application Security Testing)

Container：容器安全(Container security)

SBOM：软件物料清单(Software Bill of Materials)

Gene：二进制软件基因安全评估 (Binary Software Gene Security Assessment)

ICT：信息通信技术 (Information and Communications Technology)

5. 服务概述

面向供应链的网络安全保险服务是针对供应链的全生命周期中潜在风险，如上游投毒攻击、组件漏洞、停服等设计的金融对冲工具，通过风险量化、技术防控与责任转移的闭环机制，降低供应链企业在遭受恶意网络攻击时，攻击通过供应链传导、延伸至其链主企业导致的链主企业或供应链企业经济损失。为了有效转移链主企业和供应链企业的网络安全风险，通过保险杠杆推动供应链整体安全能力升级，同时借助金融工具分散系统性风险，构建“技术防御—风险量化—资金保障 ”三位一体的新型供应链安全生态。

6. 供应链网络安全服务框架

6.1. 服务目标

通过网络安全保险服务，帮助企业识别、评估、转移供应链网络安全风险，提升链主企业与供应链企业整体安全水平。

6.2. 服务框架

链主企业利用其在整个供应链中的主导地位，将网络安全要求向其上下游企业传递，并通过引入服务+保险方案，为整个供应链企业提供标准化的管理支持和风险保障。链主企业提出要求，明确安全责任、要求投保，并将其作为商业合作的前提。风险管理专家作为技术支撑方与保险服务方(保险人)的联合体，提供工具、监测和应急等服务。企业参与网络安全服务能力提升，上下游企业在要求和服务支持下，以高性价比的方式提升安全水平并完成投保。相关管理部门以数据驱动决策，通过各方数据汇聚，形成整体供应链风险报告，服务于链主企业管理、保险定价和监管合规。供应链企业从而实现风险转移，最终将不可预见的巨大安全事故损失或安全责任赔款通过安全保险机制进行转移和分摊。

链式企业网络安全保险服务模型(见图6-1)通过管理机制、技术工具、安全服务、金融杠杆四位一体的服务模式，构建了一个高效、可持续的企业供应链网络安全服务协同生态。

图 6-1链式企业网络安全保险服务模型

6.2.1. 链主企业

链主企业是服务体系的最大受益者，其核心目标是掌握管理抓手并实现成本转移。对其供应链上下游企业，明确供应链企业的网络安全责任，要求其投保网络安全保险，将安全管理从软性要求变为硬性合作门槛。对上下游企业而言明确网络安全的信息披露和技术责任覆盖范围，建立数据通报机制。核心的行动是引入“服务+保险 ”方案，作为提升整个供应链安全水平的标准化路径。

6.2.2. 供应链企业

供应链企业是链主企业安全要求的执行者，也是该体系的直接参与者。其核心任务是响应链主企业要求，通过投保和采用标准化服务，以达到符合核心企业安全要求的目标。其获得高性价比的安全提升方案，避免了自行构建复杂安全体系的高昂成本，同时满足了链主企业的安全管理要求，获取商业合作机会。

6.2.3. 服务+保险模式

6.2.3.1. 一般要求

技术支撑方与保险人紧密协作，共同扮演供应链的网络风险管理专家的角色。

6.2.3.2. 技术支撑方

技术支撑方应具备以下服务能力：

a)标准化的供应链网安管理工具：降低安全管理门槛。

b)持续监测与供应链风险报告：实时洞察风险态势。

c)事故预警与排查：主动防御和快速响应。

d)健全供应链应急机制：提升整体韧性。

e)监管合规支撑：帮助满足法律法规要求。

6.2.3.3. 保险服务方—保险人

保险服务方提供金融杠杆和最终保障，包括：

a)提供保险产品：保障网络事故引起的责任赔款，实现管理成本转移。

b)提升事故偿付能力：确保事件发生后有充足的资金进行恢复和赔偿。

c)建立安全标准：通过承保前的风险评估，间接督促企业提升安全基线。

6.2.3.4. 相关管理部门

作为监管与指导方，相关管理部门是供应链安全服务模型的监督者和推动者。作为监管助手，为监管提供了透明化的窗口。其核心价值在于获得整体供应链报告和潜在风险识别及报告，从而丰富渠道数据，使其能够从宏观层面掌握行业安全趋势，实现精准、高效的监管。

6.3. 服务主体

技术支撑方：网络安全保险中提供相关供应链企业网络安全技术的服务方，包括但不限于提供安全风险评估、技术检测、风险分析、合规审查、安全风险控制、应急响应服务。

保险人：保险公司提供风险评估、保险产品设计、理赔服务。

6.4. 服务对象

参与相关服务的链主企业与供应链企业。

链主企业与供应链企业的责任义务要求见 6.5。

6.5. 责任义务

供应链网络安全的链主企业与供应链企业的主要责任和相关义务如下：

a) 链主企业应建立供应链安全管理制度，提供用于供应链安全管理的资金、人员和权限等可用资源。

b) 链主企业应建立和维护合格供应方目录。在网络安全方向，选择安全水平良好的企业，避免由于网络安全事件所导致的供应中断风险。

c)链主企业在采购相关产品和服务时，应明确供应链企业的安全责任和义务，要求供应链企业对网络产品和服务的设计、研发、生产、交付等关键环节加强安全管理。要求供应链企业声明不非法获取用户数据、控制和操纵用户系统和设备，或利用链主企业对产品的依赖性谋取不正当利益或者迫使用户更新换代。

d) 链主企业应与供应链企业签订安全保密协议，协议内容应包括安全职责、保密内容、奖惩机制、有效期等。

e)链主企业应自行或委托第三方网络安全服务机构对定制开发的软件进行源代码安全检测，或由供应方提供第三方网络安全服务机构出具的代码安全检测报告。

f)链主企业在使用的网络产品和服务存在安全缺陷、漏洞等风险时，应及时采取措施消除风险隐患，涉及重大风险的应按规定向相关部门报告。

6.6. 服务手段

保险人或技术支撑方开展供应链安全能力评价时，综合采取下列手段进行评价：

a) 人员访谈：对相关人员进行访谈，核查制度规章、防护措施、安全责任落实情况;

b) 文档查验：查验供应链安全管理制度、供应活动过程文件、测评报告等有关材料及制度落实情况的证明材料;

c) 安全核查：核查网络环境、生产环境等相关系统和设备安全策略、配置、防护措施情况;

d) 技术检测：建议使用应用软件成分分析(SCA)、静态应用安全测试(SAST)、动态应用安全测试(DAST)、容器镜像安全分析、二进制软件基因安全评估、互联网暴露面风险扫描等技术手段，检测供应链企业提供的产品或服务的有效性、安全性。

6.7. 服务内容

6.7.1. 承保前供应链网络安全风险评估服务

6.7.1.1. 一般要求

保险人针对业务、信息系统、基础网络和平台、数据资源等评估内容确定风险评估的工作形式，按照覆盖风险评估准备、资产识别、威胁识别、脆弱性识别、已有安全措施确认、风险分析、风险处理等环节的风险评估流程，对供应链企业面临的网络安全风险进行识别、分析和评价，并按优先顺序列出风险，提出抵御风险的安全策略和整改措施建议，于约定的工作日内出具书面风险评估报告。

6.7.1.2. 供应链企业网络安全等级评价服务

6.7.1.1.1.供应链企业调研

针对供应链企业开展评级，需进行供应链企业基本情况调研，调研内容包括但不限于以下内容：

a) 单位名称、组织机构代码、办公地址、法定代表人信息、人员规模、经营范围、供应链安全负责人及其职务、联系方式等基本信息;

b) 单位性质，例如党政机关、事业单位、企业、社会团体等;

c) 是否属于特定类型软硬件供应链企业，例如政务软硬件供应链企业、大型网络平台运营者、关键信息基础设施运营者等;

d) 所属行业领域;

e) 业务运营地区，开展供应链供应活动所在国家和地区等;

f) 主要业务范围、业务规模等;

g) 相关供应活动取得行政许可的情况;

h) 被评价单位的资本组成和实际控制人情况;

i) 是否境外上市或计划赴境外上市及境外资本参与情况，或以协议控制架构等方式实质性境外上市。

6.7.1.1.2.业务信息系统调研

针对供应链企业业务信息系统进行调研，应包括但不限于以下内容：

a) 网络和信息系统基本情况，包括网络规模、拓扑结构、信息系统等情况和对外连接、运营维护等情况以及是否为关键信息基础设施等情况;

b) 业务基本信息，包括业务描述、业务类型、服务对象、业务流程、用户规模、覆盖地域、相关部门等基本信息;

c) 业务涉及供应链具体生产活动、重要数据或核心数据处理情况;

d) 信息系统、App 和小程序情况，包括系统功能、网络安全等级保护备案和测评结论、

入口地址、系统连接关系、数据接口、App 及小程序名称和版本等;

e) 数据中心和使用云平台情况;

f) 接入的外部第三方产品、服务或 SDK 的情况，包括名称、版本、提供方、使用目的、合同协议等。

6.7.1.1.3.供应活动调研

针对评价对象和范围，梳理供应链供应活动清单，对供应活动过程能力进行调研。调研内容包括但不限于：

a) 安全产品管控，安全工具是否具备防恶意代码感染能力，保护自身不受恶意代码侵害，并对安全工具进行维护升级，确保工具安全可靠。

b) 供应活动通信安全，软硬件供应链企业是否采取安全措施保证与需求方的业务信息通信安全性和信息传输保密性，对参与供应活动的人员是否采取访问控制，并在关键网络节点进行监测，能防止或限制从内外部发起的网络安全事件。

c) 供应活动数据保障，软硬件供应链企业在供应活动中是否对需求方相关信息进行保密，能否保证数据的保密性和完整性，并确保需求方数据、个人信息的出境遵循国家相关规定。并按规定或按需求方请求，软硬件供应链企业删除存储的需求方相关信息。

d) 供应过程版本管控，在供应活动过程中是否对产生的文档进行版本管理和备份。

e) 供应活动应急响应，软硬件供应链企业是否制定应急预案、制定应急演练计划并定期执行应急演练计划，在发生网络安全事件后，能否及时响应链主企业安全需求。

f) 供应链企业安全培训，软硬件供应链企业是否定期对供应活动参与人员进行培训和考核，在培训内容是否包括供应链相关的法律法规、标准规范、应急处理、风险管理等内容，并根据安全形势变化不断更新培训内容。

6.7.1.1.4.供应链企业已有安全措施调研

针对供应链企业已有安全措施情况开展调研，应包括但不限于以下内容：

a) 已开展的等级保护测评、商用密码应用安全性评价、安全检测、安全能力评价、安全认证、合规审计情况，及发现问题的整改情况;

b) 供应链供应安全管理组织、人员及制度情况;

c) 防火墙、入侵检测、入侵防御等网络安全设备及策略情况;

d) 身份鉴别与访问控制情况;

e) 网络安全漏洞管理及修复情况;

f) 设备、系统及用户的账号口令管理情况;

g) 加密、脱敏、去标识化等安全技术应用情况;

h) 近年内发生的网络和数据安全事件、攻击威胁情况。

6.7.1.3. 供应链企业网络安全技术检测服务

6.7.1.2.1.病毒检测

检测软件包中是否含有恶意代码、病毒、木马或其他形式的恶意软件。这些恶意软件可能会损害用户的计算机系统，窃取个人信息，或者进行其他形式的非法活动。通过病毒扫描，及时发现并清除这些恶意软件，从而保护用户的计算机系统和数据安全。

6.7.1.2.2.动态应用安全测试

对软件的各个配置以及运行环境中的潜在弱点进行深入的探测和分析，模拟攻击者的行为，尝试发现软件中可以被利用来执行恶意活动的漏洞。通过漏洞扫描、渗透测试等手段，结合工具、人工分析帮助了解软件的安全状况，从而采取适当的措施来加强安全防护，减少潜在的安全风险。

6.7.1.2.3.静态应用安全测试

通过非侵入式代码扫描与结构分析，在不运行程序的前提下检测源代码、配置及依赖中的潜在漏洞与合规风险，实现安全缺陷的早期发现与修复成本优化。

6.7.1.2.4.开源组件检查

开源组件是软件的一个重要组成部分，而组件及其依赖项漏洞繁多，进行基于组件的漏洞检测是保障代码安全的必需环节;通过对软件工程中基于组件漏洞信息的检测，与许可证风险检测、组件信息检测互为补充，形成开源安全检测的闭环。

检测提交的软件/源代码包含的开源组件及组件对应的信息，过时的开源组件版本易受攻击，确认是否来源于官方发布版本，追踪开源组件的更新信息，有效降低开源组件带来的安全风险。

6.7.1.2.5.知识产权检测

通过对检测出的开源代码版权及声明的检测，检测识别软件工程中开源文件是否提供版权信息。

许可证之间可能会因其中的条款存在冲突而无法存在于同一个开源项目中，为避免引入的部分开源项目因许可证冲突问题而带来损失，需对许可证冲突性进行检测，避免或减少不必要的损失;通过对软件工程中开源许可证冲突性信息的检测，与许可证商用风险检测和开源项目漏洞检测互为补充，形成开源安全检测的闭环;

部分许可证仅限于非商业项目用途或用于商业存在一定风险，为避免引入的部分开源项目因许可证商用限制而带来损失，需对许可证商用性进行检测，避免或减少不必要的损失;通过对软件工程中开源许可证商用风险信息的检测，与许可证冲突性检测和开源项目漏洞检测互为补充，形成开源安全检测的闭环;部分许可证会强制要求项目源代码开源，若商用项目需为闭源项目，通过软件对工程中开源许可证的传染性，著作权信息的检测，避免项目违反许可证要求。

6.7.1.4. 供应链网络安全企业合规审查服务

依据国际、国内供应链安全标准，评估供应链企业及其提供系统的安全水平，作为保险定价依据。

6.7.1.5. 供应链企业网络安全互联网风险评估

互联网安全风险评估：在保险期间内，在供应链企业授权的前提下，对其网络安全风险状况定期进行评估，针对评估发现的新增风险进行及时提醒。

企业网络安全成熟度评估：结合网络安全风险评估数据、供应链企业填写的问卷数据和威胁情报数据综合评估供应链企业安全水平。

6.7.2. 承保中的供应链网络安全风险控制服务

保险人根据所承保供应链产品或服务的性质，从漏洞扫描、SCA、SAST、DAST、Container、 Gene、输出 SBOM 选取合适的服务提供，发现系统问题应及时告知被保险单位，减少供应链安全风险隐患。

6.7.2.1. 持续技术检测与监控

技术支撑方应按照合同约定的频率和范围，对投保的供应链企业执行互联网安全风险评估和企业网络安全成熟度评估。

6.7.2.2. 风险发现与报告

技术支撑方应及时分析检测与监控结果，识别、验证和评估发现的供应链网络安全风险。

对于确认的风险，技术支撑方应在合同约定的时效内向被保险单位和保险人提交书面或系统化的供应链安全风险预警或报告。报告应清晰描述风险详情、潜在影响、风险等级及初步处置建议。

定期向被保险单位和保险人提交供应链安全态势评估报告，总结承保期内的安全风险状况、处置进展及整体安全水平变化。

6.7.2.3. 供应链网络安全威胁情报推送服务

保险人为链主企业与供应链企业提供威胁情报的分析和利用服务，实现提前风险预警，风险减量。

具体服务内容:当链主企业的某个供应链企业的产品或服务出现漏洞情报时，链主企业和漏洞情报对应的供应链企业获得漏洞情报推送服务，以实现及时漏洞威胁处理。同时向链主企业与供应链企业提供其所属行业的行业威胁情报，以应对行业内可能扩散的网络安全风险。

6.7.2.4. 服务要求与记录

所有保中安全服务的执行过程、检测结果、风险报告、处置建议、沟通记录等应完整记录并存档，作为服务履行的证明及后续风险分析、理赔评估的依据。

服务的具体内容、范围、频率、响应时效等关键要素应在保险合同及其附件或补充协议中予以明确规定。

6.7.2.5. 保险机制的联动

保中安全服务的执行情况和风险评估结果是保险人进行风险动态管理的重要依据。保险人可根据持续的风险评估结果，依据合同约定，启动联动机制，例如：风险显著降低或恶化时调整保费、保额、保障范围等风险要素。

被保险人持续、有效地采纳技术支撑方提供的风险处置建议并提升自身安全水平，是维持保险保障有效性和享受潜在保费优惠的关键。未能履行合同约定的安全义务导致风险情况显著增加可能触发保险合同的相应调整。

在发生保险事故时，保中安全服务的完整记录将作为理赔调查与定责的重要参考依据。

6.7.2.6. 供应链网络安全风险预警服务

技术支撑方基于定期、持续监测数据，向供应链企业提供供应链网络安全风险预警报告，保险人据此调整保险策略。

6.7.2.7. 保中网络安全意识赋能

根据被保险单位的需求及风险评估结果，保险人或技术支撑方应提供针对性的供应链网络安全意识培训服务，覆盖链主企业及供应链企业，例如为员工提供基础信息安全意识培训，内容包含网络安全基本概念及认知、常见安全意识规范、安全法律法规解读等，帮助供应链企业提高整体信息安全保护意识。

6.7.2.8. 链主企业供应链网络安全管理服务

保险人向链主企业提供技术平台，帮助链主企业进行供应链网络安全管理，链主企业可在平台上查看自身供应链企业互联网安全量化水平和排名。

6.7.3. 应急响应服务

提供网络安全事件应急响应技术支持，保险人提供理赔及风险恢复资金支持。

7. 保险服务流程

7.1. 风险评估阶段

技术支撑方对供应链企业进行网络安全技术检测与风险评估，输出供应链的网络安全风险报告。保险人根据报告设计保险方案。

内容包含风险等级、主要脆弱点、整改建议的供应链网络安全风险报告是保险人确定承保条件的关键依据。

7.2. 保险方案设计

7.2.1. 供应链场景中网络安全保险的投保人与被保人

7.2.1.1. 投保人

投保人通常为上下游供应链企业。

7.2.1.2. 被保人

被保人通常为上下游供应链企业。

7.2.2. 保险人的保障范围

网络安全保险保障范围包括可承保的网络损失类型和安全事件。只有当发生在保险保障范围内的网络安全事件和经济损失时，即构成保险事故，才能通过保险进行赔偿。

7.2.2.1. 网络安全保险损失类型

损失类型宜包括第一方损失和第三者责任，第一方损失包括被保险人自身造成的直接经济损失以及应急响应所产生的费用等，第三者责任包括被保险人因网络安全事件引发的对第三者(例如受影响个人或机构等)的法定赔偿责任。

7.2.2.2. 网络安全事件类型

供应链场景的网络安全保险可承保的事件指：被保险人遭受网络安全事件攻击，并通过供应链将攻击传导、延伸至其指定的链主企业，使其网络、计算机系统和电子介质负责存储、保管或控制的数据损坏、丢失，使用网络丧失稳定运营的状态，无法保证被保险人的指定链主企业所存储、传输、处理信息的完整性、保密性和可用性的事件。宜包括以下类型：

a) 恶意程序事件：指因蓄意制造或传播恶意程序，使被保险人的系统造成损害，导致其业务损失或其他经济影响的事件，包括计算机病毒、网络蠕虫、木马、勒索软件、挖矿病毒事件等。

b) 网络攻击事件：指因通过网络实施的攻击或入侵行为，使被保险人的系统造成损害，导致其业务损失或其他经济影响的事件，包括网络扫描探测、网络钓鱼、漏洞利用、后门利用、拒绝服务、信号干扰、域名劫持、供应链攻击事件等。

c) 数据安全事件：指因对数据实施的攻击行为，使被保险人的数据造成损害，导致其业务损失或 其他经济影响的事件，包括数据篡改、数据假冒、数据泄露、数据窃取、数据滥用、隐私侵犯、数 据投毒、数据丢失、数据损坏事件等。

d) 违规操作事件：指因人为意外或无意的行为，使被保险人的系统造成损害，导致其业务损失或 其他经济影响的事件，包括误操作或其他违规操作事件等。

e) 其他可能造成系统或资产损失的事件，包括设备设施的技术故障、网络欺诈、媒体侵权、电信 诈骗事件等。

7.2.3. 保费设置规则

原则上供应链企业的网络安全责任风险情况与保费挂钩，结合链主企业需求设置供应链网络安全保险保费浮动调整机制。

7.3. 保险合同履行

明确技术检测、保险服务、供应链企业的责任划分，技术支撑方提供定期检测服务作为保险生效条件;被保险人需按照保险合同约定做好应履行的网络安全防护工作，确保被保人网络安全水平不低于保单生效前进行保险风险评估的标准。

供应链企业应严格遵守中华人民共和国有关网络安全的法律、法规及规定，加强管理，采取合理的预防措施，尽可能避免或减少责任事故的发生。

在保险合同有效期内，保险标的危险程度显著增加的，供应链企业或被保险人应当尽力采取必要、合理的措施，防止或减少损失，并按照保险合同的约定及时通知保险人。

7.4. 持续监测与理赔

技术支撑方实时监测供应链企业供应链安全状态，触发预警时保险人启动相关的理赔流程。

8. 风险管理措施

8.1. 预防措施

技术支撑方定期开展供应链安全检测，保险人为供应链企业提供风险解读、整改意见、风险信息通报等支持。

8.2. 控制措施

对高风险供应链环节实施动态监控，保险服务设置浮动保费机制。

8.3. 应急措施

技术支撑方与保险人应联合建立应急响应团队，制定明确的应急响应流程，包括风险上报、预案启动、初步遏制、处置修复、结果反馈等节点。确保在网络安全事件发生后及时启动应急响应流程，并立即采取隔离受感染系统、备份关键数据与日志、遏制漏洞利用等初步遏制措施。

8.4. 评估与改进

应定期组织对保险服务效果进行评估，保险人输出保险服务评估报告。报告应包含：风险治理数据对比分析、改进建议等内容。应根据评估报告制定具体的改进措施，包括但不限于优化检测频率、调整保费模型、更新服务内容，并在下一次评估前向被保险人公示改进措施的落地计划与进展。

参 考 文 献

[1] GB/T 38702—2020 供应链安全管理体系 实施供应链安全、评估和计划的最佳实践要求和指南

[2] GB/T 39204—2022 信息安全技术 关键信息基础设施安全保护要求

[3] GB/T 36637—2018 信息安全技术 ICT 供应链安全风险管理指南

[4] GB/T 30283—2022 信息安全技术 信息安全服务分类与代码

[5] GB/T 45576—2025 网络安全技术 网络安全保险应用指南

[6] GB/T 32914—2023 信息安全技术 网络安全服务能力要求

[7] GB/T 24364—2023 信息安全技术 信息安全风险管理实施指南

[8] GB/T 25069—2022 信息安全技术 术语

[9] GB/T 43848—2024 软件产品开源代码安全评价方法

[10] GB/T 22239—2019 信息安全技术 网络安全等级保护基本要求

[11] GB/Z 26337.1—2010 供应链管理 第 1 部分：综述与基本原理

[12] DB4403/T 28—2019 供应链企业分类与评估