信息资产投保问题及对策研究论文

信息资产投保问题及对策研究

陈咪CHEN Mi

（安徽财经大学金融学院，蚌埠233030）

摘要： 计算机网络技术的飞速发展提高了企业信息资产价值在总资产价值中所占的比重，与此同时，信息资产的投保率并不高，未来有可能面临巨大的安全隐患。本文首先通过分析信息资产的投保现状，发现当前以信息资产为代表的无形资产投保率明显不足，然后从企业、保险公司、政府三个角度分析了信息资产投保情况不佳的原因，最后针对企业如何识别、评估信息资产风险、保险公司如何量化信息资产风险以及政府如何促进与信息资产保险相关的法制环境建设提供具体的建议，以期改善信息资产的投保现状。

关键词： 无形资产；信息资产；投保率

0 引言

随着互联网的发展，当今社会进入了信息化时代。与此同时，利用数字化信息服务消费者的颠覆性行业正在兴起，颠覆性行业与传统行业相比，更容易追踪获取消费者信息，从而更快更好地满足消费者的需求。全球市值最高的企业也从十年前的石油公司发展到如今的科技行业的公司，这些都充分显示了当今世界经济的演变以及科技的发展。与此同时，企业的资产负债表也发生了从有形资产到无形资产的转变。1975年，无形资产占公司价值的17%，而到2015年，无形资产占比上升到87%，这意味着无形资产的风险将成为企业新的风险来源^[1]。互联网时代最典型的无形资产就是信息资产，在当前网络安全存在隐患的情况下，信息资产更容易遭受被盗或者被破坏的风险。不过，与无形资产价值占企业总价值的高比例现状截然相反的是，无形资产的投保率并不高。相比信息资产面临的威胁，与其相关的保障难以承担预计的损失。本文通过引入以信息资产为代表的无形资产投保率不足的现象，进一步分析当前阻碍企业对信息资产投保的原因，据此提供改善信息资产投保情况的具体措施。

1 信息资产及其投保现状

1.1 信息资产概念的界定及其总体情况

有形资产常指一些实在的物质性的资产，例如建筑物、库存、机械等；而无形资产是不同的，它具有非物质性，例如数据和内容、社交网络和互联网、机密信息、专业技能和网络以及彼此间紧密相关的品牌和声誉以及设计。根据Ocean Tomo发布的一篇有关无形资产市值（IAMV）的报告，我们可以大致看到近四十年来企业市值组成的变化情况，图1是标准普尔500的市值构成，无形资产在市值中所占的比重由1975年的17%增长到2015年的84%。2005年至2015年间，标普欧洲350的市值组成经历了一个U型的变化趋势，如图2所示，总体来看无形资产市值所占比重变化不大，平均水平在70%左右。

此次个人所得税法改革取得的突破性进展，就是实现了从分类征收到综合与分类相结合的税制，而迈出这一步，中国用了22年时间。

图1 标准普尔500市值构成

图2 标普欧洲350市值构成^①

信息资产属于无形资产的其中一部分，已经有学者根据信息资产在业务流程过程中物理位置是否相对固定将其分为两类：一类是位置固定资产，比如计算机设备、网络设备、安全设备、传输介质、存储设备、保障设备、安全保障设备、应用软件、系统软件、网络通信协议软件，人员等；一类是位置变动资产，比如业务信息、用户信息、各种数据资料、系统文档等。因此，需要明确的是，信息资产并不是全部都属于无形资产，而本文所讨论的信息资产是属于无形资产的那一部分。

近几年，信息资产价值的增长速度远超过有形资产。安联保险在2015年对2000多家资产价值超过百万美元的企业进行了调研，其结果如图3所示，2015年企业信息资产的价值为5.89亿美元，而在2017年，信息资产的价值增加到10.82亿美元。短短两年的时间，信息资产的价值就增长了将近一倍，比有形资产的增长速度要高很多^[1]。

加入WTO后中国经济进入高速增长期，国际市场的激烈竞争倒逼国内改革，经济的高速增长创造了“中国奇迹”。制造业在这场改革中受益最大，中国成为“世界工厂”，国力得到极大增强。

图3 参与调查的企业的资产价值（单位：百万美元）^②

1.2 信息资产的投保情况

安联集团在对企业信息资产的价值进行调研的同时，也统计得到了企业对信息资产的投保情况。在2017年，85%的信息资产是没有保险保障的，尽管信息资产被盗或者被破坏而可能造成的最大损失预计达9.79亿美元；与此同时，大约59%的有形资产是获得保险保障的。有形资产全损可能造成的最大损失预计达7.7亿美元。信息资产所面临的预计损失比有形资产更多，其保障情况是不足以弥补预计可能造成的风险损失的。从信息资产和有形资产投保悬殊的情况来看，保险市场的发展并不成熟^[1]。

图4 2017年有形资产的保险覆盖率

图5 2017年信息资产的保险覆盖率^③

目前，我国保险公司推出的有关信息资产的保险品种并不多，这一方面是由于企业所能提供的有关信息资产的价值信息不够全面，保险公司无法得到真实可靠的数据来评估信息资产的风险。另一方面，即便企业能够准确识别自身所存在的信息资产的风险，保险公司自身也缺乏评估和量化信息资产风险的技术方法，这些都成为拟定保险产品费率的主要障碍。具体到信息资产风险评估的流程，保险公司在以下三个方面的水平还有待提高：

在国内，虽然信息资产保险市场还处于起步阶段，法律机制有待完善，但也有比较早尝试进入该领域的保险公司。笔者整理了国内有关网络安全方面的保险，如表2所示。从表中信息可以看到，网络安全方面的保险从一开始只承保计算机硬件设施的安全，发展到现在承保一些数据资产，网络安全方面的保险的承保范围正在逐渐扩大到信息资产。

2 信息资产投保率不足的原因

2.1 企业还未意识到信息资产所面临的风险

由于有形资产能够让人们切实感觉到它的存在，并且有形资产的价值能够准确地反映在资产负债表中，因此更容易引起企业的注意，企业也会采取购买财产险的方式对有形资产可能面临的风险进行保障。如今的社会已经进入互联网发展的时代，信息化的服务充斥着人们的生活，但是相比信息资产的快速增长，其并没有从企业方得到与之地位相对等的重视。因为以信息资产为代表的无形资产大多是非物质性的，并且难以用真实的价值量来衡量无形资产的价值，也就无法反映在资产负债表上，这样公司的管理层利用公司的财务报表进行决策时，往往会忽略信息资产所隐藏的风险^[5]。另外，互联网时代背景下，每个公司对于信息资产的开发运用程度以及风险理解能力是不一样的，一些小规模、新出现的企业还处于创业的初期，对于信息资产所面临的风险考虑不够周全，一些技术条件比较落后的企业更是没有能力理解应对新风险的技术，这些因素都会导致信息资产的投保率相对较低。

2.2 保险公司缺乏评估和量化信息资产风险的技术方法

信息资产的种类较多，然而并不是所有的信息资产都需要通过购买保险进行风险管理。目前发展已初具形态的信息资产保险是网络信息安全保险，但由于国内外对网络信息安全保险的研究起步都比较晚，网络信息安全保险仍处于市场开拓阶段，发展并不成熟^[2]。国际上关于互联网安全风险方面的保险业务市场主要集中在美国，2005年美国信息安全保险的市场规模约为4.5亿美元，根据测算，到2020年，这个市场规模将会放大到20亿美元^[3]。目前国际上比较常见的网络信息安全保险类型如表1所示^[4]。

在业务流程中，企业需要对每项重要的信息资产进行威胁识别，然后再建立一对一的威胁配置文件，分析每种威胁发生的可能性和严重程度并制定相应的策略。威胁配置文件有一套通用的结构方法，在OCTAVE方法中，威胁配置文件包含的属性如表3所示，用表中的五个属性可以对每个威胁事件进行描述，从而建立相应的威胁配置文件。除了业务流程过程中的风险评估，企业信息资产的风险评估还包括基础设施脆弱性的评估，OCTAVE方法的应用也提高了传统的脆弱性评估方法的效率。

表1 典型的网络信息安全保险类型

表2 我国保险公司推出的网络安全方面的保险（部分）

首先，在信息资产风险的识别方面，信息资产保险的责任认定范围不明确，因为网络技术自身存在的不稳定性，可能会导致计算机发生病毒或者黑客入侵的风险，这就难以区分损失属于自身的责任还是第三者责任，从而带来信息资产核保困难的问题；其次，在信息资产出险之后损失程度的评估方面，信息资产不同与其他有形资产，其产生的经济损失也难以估计，尤其是重要数据丢失和损坏之后如何评估损失是一个难题；再次，在信息资产风险的量化方面，保险公司缺乏精算的数据和风险评估模型，因为拥有信息资产的行业比较多，而不同行业对于信息资产安全的需求程度也不同，这就不能简单使用相同的模型对保险公司的信息资产风险进行评估，同时在同一企业内部其存在的信息安全漏洞之间很可能是相互耦合的，这就使得安全漏洞数量与风险程度并不是线性关系，核保时必须进行深度的关联性分析；最后，企业的信息化建设进程是随着时代的发展不断前进的，企业面临的风险状况也在不断变化，保险公司的核保工作也要定期重新进行评估。

北京大学房地产研究中心主任楼建波表示，《房产测量规范》提到的公摊面积计算方式在《住宅设计规范》中无相应体现，致使国内报批、设计、施工每个环节都不是特别清楚公摊如何计算，只能等着房子盖出来，测绘部门最终来测公摊大小，导致出现不少乱象。

2.3 政府缺乏信息资产安全方面的法律法规和标准规范

信息资产保险费率的厘定困难同样是制约信息资产保险发展的重要因素。因为信息资产与有形资产相比具有极大的不确定性，很难采用固定的保险费率进行估测，本文建议可以根据目前网络信息资产的实际情况拟定保险费率。保险公司可以通过统计信息资产相关的损失记录，然后确定每一风险单位发生损失的概率，从而确定信息资产保险的纯费率，其次再来确定附加费率。

3 改善信息资产投保现状的建议

3.1 企业需要采取适当的方法评估信息资产风险

其中，Conf代表机密性赋值；Int代表完整性赋值；Avail代表可用性赋值；Round{}表示四舍五入处理，保留一位小数；log₂[]表示取以2为底的对数。用这个公式得到每项信息资产的相对价值之后，就可以根据估值结果对信息资产的优先级进行分类，从而确定每项信息资产的重要程度，识别出需要保护的重要的信息资产。

首先，企业可以基于业务的流程对资产进行详细的识别和分类，然后通过对每项资产的安全属性赋予不同的值来确定每项信息资产的重要价值。信息资产的安全属性有很多，本文选取具有代表性的机密性、完整性和可用性。信息资产安全属性的赋值标准有可忽略、较低、中等、较高和非常高五个等级，分别对应的数值为0、1、2、3和4。这里可以应用下面的经验算式来评估各项信息资产的价值：

传统的风险评估的方法主要强调系统上和技术上存在的威胁性和脆弱性，忽视了业务流程过程中应用信息资产所存在的风险，因此实际应用的价值不高。据此，有学者提出了引入OCTAVE的信息资产评估方法，OCTAVE（可操作性关键威胁评估和脆弱性评估）是由美国卡耐基·梅隆大学软件工程研究所下属的CERT协调中心开发的用来定义一种系统的、企业范围内的风险评估方法。它最注重风险评估方法的可操作性，其次关注引起安全风险的关键性因素^[6]。下面，本文就采用OCTAVE方法进行企业信息资产风险的评估。

表3 威胁配置文件包含的属性

作为管理学中的重点理论，科层制在高校中成为了不利于基层行政管理人员发展的“绊脚石”，在某种程度上导致了管理人员职业倦怠的产生：①严格分明的等级制度。上下级职权关系按等级划定，严格按章办事，各项活动都受规则限制。②科层制强调垂直化管理，扼杀了院（系）层级员工的积极性和创造力。③工作内容的专业化使各项工作趋于死板和固定，一旦涉及分工不明会导致员工惰性和厌烦情绪。④非人格化，个人情感和规章制度的严格界定，缺乏人文关怀。

3.2 保险公司需要创造核保的前提并解决核保、费率厘定的技术难题

企业如果能采用OCTAVE方法做好信息资产风险的评估工作，那么保险公司就可以根据企业提供的信息资产风险评估报告，设计满足其信息资产安全需求的保险产品。现实情况中，很多企业并不具备专业的信息资产风险评估团队，即便是有，也有可能考虑到公司的声誉不想提供给保险公司真实的信息。为了改善这些情况，一方面，保险公司可以派出自己的风险评估团队向有信息资产安全需求的企业提供风险评估服务；另一方面，对于拥有风险评估团队的企业，为了防止企业提供不实信息，保险公司可以设立专业的监督团队对企业的风险评估结果进行审核，从而保证企业提供的信息是准确、完整的。

改变防疫方法对基层动物防疫的监管水平提升发挥着重要作用，传统的防疫工作没有主动性，只有畜牧人员发现动物出现问题时才会到兽医部门进行报告，然后部门安排兽医人员进行出诊。这种工作方法严重影响了动物防疫的工作效果。新时代的动物防疫工作主要是以预防为重点内容，将疫病控制在严重之前。所以，一方面各政府部门应明确各级责任，建立完善的动物防疫责任机制，市级部门监管县级部门，县级部门监管乡镇级部门，层层进行严格监管与负责。另一方面建立健全的重大动物疫病追责制度，管理人员要承担管理的责任，明确人员的管理地区，将管理区域内动物疫情及危害等作为考核制度，当出现疫情时对相关责任人进行及时严格的处理。

表4 信息资产核保体系

由于网络对信息资产的攻击具有规模大、时间短的特点，再加上信息资产本身的不稳定性以及评估技术的限制，信息资产受破坏后产生的损失难以量化，责任的认定也存在困难。当保险公司已经拥有充分的技术条件来鉴定信息资产的风险，此时还需要相关的法律法规和标准规范来保证保险公司鉴定工作的公正性和公平性。同时，信息资产也面临着逆向选择的问题，因为企业相比保险公司拥有更多关于信息资产方面的资料，所以对于其所存在的风险也有更加全面的了解，这样可能会出现企业为了维护自己的声誉，向保险公司隐藏不良信息资产的情况，企业也有可能通过伪造信息资产的不实信息向保险公司骗取保险费。这些道德风险的存在都需要政府制定相关法律法规对相关主体的行为进行规范，从而为信息资产的投保营造一个健康稳定的法律环境。

针对目前信息资产核保工作存在的技术难题，有学者建立了相关的核保体系以及技术支撑平台^[7]。信息资产的核保体系如表4所示，其包含技术、管理和组织三个层面，其中技术层面所做的资产评定以及脆弱点核查工作可以与保险公司进行对接，采用的方法也可以参考OCTAVE的方法。在管理层面，需要保险公司对被保险企业出现的新的风险进行核查，企业也应该对其信息资产在发生重大变更时向保险公司如实告知。在组织层面，如果财产保险公司自身的评估能力有限，也可以联合第三方专业公司共同参与核定企业信息资产的投保。

3.3 政府需要推进与信息资产保险相关的法制环境建设

目前，虽然信息资产的价值在企业总价值中所占的比例不断提高，但是相关的法律和制度建设并没有同步跟进，这就难以规范信息资产保险当事人的行为。信息资产保险的顺利推行，需要完善的法律条文支撑。首先，在信息资产损害责任认定方面，需要依赖更多的司法机构进行裁决；其次，在存在信息不对称的情况下，政府需要制定相关的法律对被保险人的行为进行规范，必要时设立专业的第三方监督机构，保证被保险人所提供信息的真实性和完整性；最后，在信息资产保险品种的设计方面，为了鼓励和支持保险公司的创新理念，政府在适度放开保险产品进入门槛的同时，也要对保险品种的合规性进行充分考量^[8]。

节日最大特点是周期性复现。因为传统节日是每年都有一个轮回，传统节日周期性的复现就为年轻一代的伦理价值体验提供了有力保证。人们利用传统节日定期进行传统表演与传统教育，使传统在民众生活中得到延续与加强。传统节日给传统的创新与发展提供了重要机会。中国传统节日是祭祀日、庆祝日与亲情日的复合。受中国传统文化的影响与制约，传统节日的伦理意识特别浓厚。传统节日就是中国传统文化的一个集中体现，而中国传统文化的核心就是伦理的文化，伦理文化就是讲人际关系的文化，就是道德，有很多道德的理念。

4 结语

国内外信息资产保险产品推出已久，但是从投保情况来看，由于企业对于信息资产风险的认知度并不高，保险公司在产品开发上存在技术困难，政府对于信息资产保险相关的政策法规没有实时跟进，导致信息资产的保险覆盖率严重不足。笔者针对这些原因进一步提出改良信息资产投保情况的具体措施，分析的过程和观点难免有不恰当之处，但是如果能引起相关主体的充分关注，应该可以在一定程度上改善信息资产的投保情况，提高企业应对互联网风险的能力，促进信息化服务行业的稳定发展，维护金融体系的安全运行，同时贯彻落实国家信息资产安全保障工作，积极响应国家总体安全观。

注释：

①数据来源：http：//oceantomo.cn/index.html。

②数据来源：中国保险网。

1）北京市渗沥液原液中基本化学特性随着季节变化有着一定变化，主要是不同季节垃圾的种类数量有变化，尤其夏天COD、BOD等指标明显高于其他季节，说明渗沥液处理设施在夏季达到最高负荷，在不同季节处理渗沥液的压力不同。

③数据来源：中国保险网。

参考文献：

[1]苏洁.以信息资产为代表的无形资产投保率不足[N].中国保险报，2018.

[2]王新雷，王玥.论网络安全保险发展初级阶段的问题与对策[J].情报杂志，2017（12）：26-32.

[3]王禹.网络安全保险的新兴发展与监管研究[J].中国信息安全，2017（3）：45-47.

[4]陈伟，吴刚，祁志敏.浅析我国网络信息安全保险体系的建立与发展[J].信息网络安全，2016.

[5]胡苏，贾云洁.网络经济环境下信息资产的价值计量[J].财会月刊，2006（5）：4-5.

[6]王艳玮，陈恒.基于业务流程的信息资产识别及其价值确定[J].图书馆理论与实践，2011（8）.

[7]王一飞.信息安全保险核保体系的研究与设计[J].保险研究，2008（6）：72-75.

[8]池骋，何丽新.互联网保险创新的法律规制探析[J].金融法苑，2016（1）.

Research on the Problems and Countermeasures of Information Assets Insurance

（School of Finance，Anhui University of Finance&Economics，Bengbu 233030，China）

Abstract: The rapid development of computer network technology has increased the proportion of corporate information asset value in total asset value.At the same time,the insurance rate of information assets is not high,and it may face huge security risks in the future.This paper firstly analyzes the current situation of information assets insurance,and finds that the current intangible assets represented by information assets are obviously insufficient.Then,from the perspectives of enterprises,insurance companies and governments,the reasons for the poor insurance of information assets are analyzed.The specific recommendations for how to identify and assess the risk of information assets,how insurance companies quantify the risk of information assets,and how the government can promote the construction of the legal environment related to information asset insurance are proposed,with a view to improving the current status of information assets.

Key words: intangible assets；information assets；insurance rate

中图分类号： F842.6

文献标识码： A

文章编号： 1006-4311（2019）29-0113-04

作者简介： 陈咪（1995-），女，安徽宿州人，安徽财经大学金融学院保险专业硕士。

标签：无形资产论文;  信息资产论文;  投保率论文;  安徽财经大学金融学院论文;