當保險公司對企業的網路風險進行承保時,通常是多種風險型別同時承保。若保單內各風險之間存在相關性,該保單的定價就不能單純地為各單一風險的純風險保費相加,而要考慮其中的相互依存的結構,本文將從網路風險的可保性得出產品形式的建議。在此基礎上,得出針對網路資訊保安保險產品的定價思路如下:
1.網路風險可保性分析
我們從精算、市場、社會三方面給出判斷風險可保與否的標準,做如下分析:
(1)在損失發生的隨機性方面,著重強調獨立性和可預測性。
據相關資料顯示,僅16.8%的網路風險事件存在企業之間的損失相關性,即樣本中的大多數不存在相關關係影響,但也表明相關性不一定在所有的網路風險型別中;不同型別的網路風險下存在不同的相關性,不同風險之間也相互影響,若採用合適的方法較為準確地模擬相關關係,那麼保險人也能在提供此類產品時選擇合適的費率和條款。
(2)最大損失、平均損失和損失暴露等對於可保性不是嚴重的問題。
保險人可以根據其償付能力設定投保限額,從而使最大損失在其可控範圍內。關於事件平均損失,對不同風險的損失強度進行擬合的結果表明不同型別的網路風險的平均損失不同,在定價過程中需考慮不同風險型別。損失暴露方面,發生的頻率高度依賴風險型別與企業型別和規模,在定價過程中同樣需要分類考慮。
(3)在資訊不對稱方面,道德風險和逆向選擇是大多數保險產品均會存在的問題。
網路資訊保安保險的資訊不對稱問題主要體現在:具有保險保障的企業可能疏於對網路資訊系統的自我防護;網路資訊保安水平較低的企業更傾向於選擇網路資訊保安保險。保險公司可以設定免賠額、分企業型別設計險種,以及採取一種基於企業網路安全等級評分的定價方式,針對不同的企業做費率調整。
綜上,為了提高網路風險的可保性,網路資訊保安保險的設計需考慮分企業型別、分風險種類進行,其純風險費率釐定需考慮相關性,為控制風險可採取免賠和投保限額的方式,並針對不同的投保主體調整費率從而應對資訊不對稱問題。
2.理賠模型
保險合約中可以約定免賠額和投保限額,其中免賠額可以分為絕對免賠和相對免賠。這些約定使保險理賠支出與實際損失不一定相同。設X為實際損失,Y為理賠支出,則不同的產品約定下的理賠支出:
1)無免賠額、無投保限額產品的理賠支出:
2)絕對免賠額為d,無投保限額產品的理賠支出:
3)無免賠額,投保限額為m的產品理賠支出:
4)相對免賠額d,投保限額為m的產品理賠支出:
不同的免賠額和投保限額進行組合得到了上述四種理賠模型。
3.純風險保費
如果不同網路風險之間互相獨立,那麼包含多種風險責任的保險合約,其月累計損失可以用各單一風險的月累計損失直接相加,即L=L1+L2+.....+Li,其中L和Li就是實際損失的隨機變數,對應就是上述產品形式的X。
在得到月實際損失L,確定理賠模型後,就能得到月理賠支出的期望值E(Y),由此純風險保費則為:
其中E為風險單位數。
上述計算方法沒有考慮不同型別的風險之間的相關性,如果考慮定價中的不同型別風險的相依關係,則L不能直接由線性相加而得。
綜上,針對上述四種不同的理賠模型進行模擬,可以得出以下結論,相對於沒有免賠額和投保限額的情形,如果透過設定投保限額和免賠額,會很大程度上縮減期望理賠支出,這也反映了網路具有一定風險。
因此,對於保險人而言,設定免賠額和投保限額可以控制尾部風險損失。在網路資訊保安保險實場發展初期,風險分擔尚不成熟,保險人採取這種方式是較為謹慎的做法。
4.基於企業網路安全等級評分的定價
由於資訊的不對稱性,網路資訊保安水平較低的企業更傾向於購買保險,這要求保險人進行嚴格的風險篩查,針對不同風險等級的投保人制定不同費率。可以嘗試在純風險保費中加入一種基於企業網路安全等級評分的費率調整。網路安全等級保護是指對資訊和資訊載體按重要性等級分級保護,其具體工作分為五個階段:安全定級、備案、安全等級測評、建設與整改、定期檢查。其中安全等級測評是對單位資訊系統安全水平的評估,須由具有測評資質的第三方機構進行。測評可分為以下步驟:1)選取測評指標項,通常包括物理安全、主機安全、網路安全、應用安全、資料安全、終端安全、資訊系統運營保障、資訊系統運營維護、人員安全等;2)採取百分制,對每一項指標進行評分;3)根據不同的策略,為各項指標設定權重;4)由單項得分和加權,得出測評單位的安全等級綜合評分。企業選取的資訊保安策略從其自身的風險管理出發,由此得出的綜合評分不能直接作為保險公司評判其風險水平的標準。保險公司需根據其承保的風險型別,選擇合適的策略,對各評測指標重新賦予權重。例如:若保單責任以惡意攻擊為主,那麼對‘網路安全’,‘資料安全’,‘主機安全’等與惡意攻擊直接相關的指標項的權重應該增大。在對投保人的網路安全水平進行評分後,根據指定的規則得到費率調整係數,參考保險定價中的保費計算公式,即:其中,費率調整係數由網路安全等級評分確定。