众至科技:网络安全保险如何定价?

发布者:众至科技
发布于:2022-07-16 08:52

当保险公司对企业的网络风险进行承保时,通常是多种风险类型同时承保。若保单内各风险之间存在相关性,该保单的定价就不能单纯地为各单一风险的纯风险保费相加,而要考虑其中的相互依存的结构,本文将从网络风险的可保性得出产品形式的建议。在此基础上,得出针对网络信息安全保险产品的定价思路如下:


1.网络风险可保性分析

我们从精算、市场、社会三方面给出判断风险可保与否的标准,做如下分析:

(1)在损失发生的随机性方面,着重强调独立性和可预测性。

据相关资料显示,仅16.8%的网络风险事件存在企业之间的损失相关性,即样本中的大多数不存在相关关系影响,但也表明相关性不一定在所有的网络风险类型中;不同类型的网络风险下存在不同的相关性,不同风险之间也相互影响,若采用合适的方法较为准确地模拟相关关系,那么保险人也能在提供此类产品时选择合适的费率和条款。

(2)最大损失、平均损失和损失暴露等对于可保性不是严重的问题。

保险人可以根据其偿付能力设置投保限额,从而使最大损失在其可控范围内。关于事件平均损失,对不同风险的损失强度进行拟合的结果表明不同类型的网络风险的平均损失不同,在定价过程中需考虑不同风险类型。损失暴露方面,发生的频率高度依赖风险类型与企业类型和规模,在定价过程中同样需要分类考虑。

(3)在信息不对称方面,道德风险和逆向选择是大多数保险产品均会存在的问题。

网络信息安全保险的信息不对称问题主要体现在:具有保险保障的企业可能疏于对网络信息系统的自我防护;网络信息安全水平较低的企业更倾向于选择网络信息安全保险。保险公司可以设置免赔额、分企业类型设计险种,以及采取一种基于企业网络安全等级评分的定价方式,针对不同的企业做费率调整。

 综上,为了提高网络风险的可保性,网络信息安全保险的设计需考虑分企业类型、分风险种类进行,其纯风险费率厘定需考虑相关性,为控制风险可采取免赔和投保限额的方式,并针对不同的投保主体调整费率从而应对信息不对称问题。


2.理赔模型

保险合约中可以约定免赔额和投保限额,其中免赔额可以分为绝对免赔和相对免赔。这些约定使保险理赔支出与实际损失不一定相同。设X为实际损失,Y为理赔支出,则不同的产品约定下的理赔支出:

1)无免赔额、无投保限额产品的理赔支出:

2)绝对免赔额为d,无投保限额产品的理赔支出:

3)无免赔额,投保限额为m的产品理赔支出:

4)相对免赔额d,投保限额为m的产品理赔支出:

不同的免赔额和投保限额进行组合得到了上述四种理赔模型。


3.纯风险保费

如果不同网络风险之间互相独立,那么包含多种风险责任的保险合约,其月累计损失可以用各单一风险的月累计损失直接相加,即L=L1+L2+.....+Li,其中L和Li就是实际损失的随机变量,对应就是上述产品形式的X。

在得到月实际损失L,确定理赔模型后,就能得到月理赔支出的期望值E(Y),由此纯风险保费则为:

其中E为风险单位数。

上述计算方法没有考虑不同类型的风险之间的相关性,如果考虑定价中的不同类型风险的相依关系,则L不能直接由线性相加而得。

综上,针对上述四种不同的理赔模型进行模拟,可以得出以下结论,相对于没有免赔额和投保限额的情形,如果通过设置投保限额和免赔额,会很大程度上缩减期望理赔支出,这也反映了网络具有一定风险。

因此,对于保险人而言,设置免赔额和投保限额可以控制尾部风险损失。在网络信息安全保险实场发展初期,风险分担尚不成熟,保险人采取这种方式是较为谨慎的做法。


4.基于企业网络安全等级评分的定价

由于信息的不对称性,网络信息安全水平较低的企业更倾向于购买保险,这要求保险人进行严格的风险筛查,针对不同风险等级的投保人制定不同费率。可以尝试在纯风险保费中加入一种基于企业网络安全等级评分的费率调整。网络安全等级保护是指对信息和信息载体按重要性等级分级保护,其具体工作分为五个阶段:安全定级、备案、安全等级测评、建设与整改、定期检查。其中安全等级测评是对单位信息系统安全水平的评估,须由具有测评资质的第三方机构进行。测评可分为以下步骤:1)选取测评指标项,通常包括物理安全、主机安全、网络安全、应用安全、数据安全、终端安全、信息系统运营保障、信息系统运营维护、人员安全等;2)采取百分制,对每一项指标进行评分;3)根据不同的策略,为各项指标设置权重;4)由单项得分和加权,得出测评单位的安全等级综合评分。企业选取的信息安全策略从其自身的风险管理出发,由此得出的综合评分不能直接作为保险公司评判其风险水平的标准。保险公司需根据其承保的风险类型,选择合适的策略,对各评测指标重新赋予权重。例如:若保单责任以恶意攻击为主,那么对‘网络安全’,‘数据安全’,‘主机安全’等与恶意攻击直接相关的指标项的权重应该增大。在对投保人的网络安全水平进行评分后,根据指定的规则得到费率调整系数,参考保险定价中的保费计算公式,即:其中,费率调整系数由网络安全等级评分确定。



声明:该文观点仅代表作者本人,转载请注明来自看雪