網路保險公司需要什麼？

多數網路保險公司會先詢問你的企業在提供保險或續保之前，是否已具備幾項核心的保護措施。他們常見的例子包括：用於電子郵件與重要帳戶的多因素驗證，通常稱為 MFA；防毒或端點偵測與回應，稱為 EDR；定期套用軟體更新（修補程式）；備份；以及員工訓練。

他們也常會詢問你如何處理遠端存取、誰擁有管理員權限、是否會測試備份，以及你是否有因應事件的計畫，例如詐欺、勒索軟體或遺失的裝置。有些保險公司在申請時會提出更細的問題；也有些可能會在之後要求提供證明。

最重要的是：保險公司並不是在找「完美」。他們通常想看到的是：你有合理的控制措施、你清楚自己有哪些資產/做了什麼，並且有人負責讓這些基本工作持續維持到位。

網路保險能在某些特定事件發生後協助成本，但保障內容會取決於你申請表中的回答以及保單條款。如果你的企業說某項控制措施已到位，但實際並沒有，那在理賠期間可能會引發問題。這也是為什麼企業負責人應該放慢腳步，確認回答是正確且一致的。

對小型企業來說，這不只是保險問題。保險公司詢問的那些項目，往往也是一間不錯的委外資訊服務供應商，也就是 MSP，無論如何都會建議的基本做法。這些都是務實的步驟：能降低可避免的問題，並在事情出錯時讓復原更容易。

需求也會因產業與州別而不同。醫療院所可能會被問到與 HIPAA 有關的問題，也就是《健康保險可攜性與責任法案》。處理付款卡的企業可能會被問到 PCI，也就是《付款卡產業資料安全標準》。一家向大型組織銷售的公司，也可能聽到 SOC 2：這是一種許多客戶用來審視安全控制措施的架構。

電子郵件安全通常是保險公司最先關注的領域之一。他們常希望你在 Microsoft 365、Google Workspace，以及任何包含敏感資訊的雲端應用程式上啟用 MFA。MFA 的意思是：使用者在登入時需要第二步驟，而不只是密碼，例如應用程式代碼或硬體金鑰。

他們也會詢問端點保護。端點（endpoint）指的是例如筆記型電腦、桌上型電腦或伺服器等裝置。EDR（端點偵測與回應）是一種比基本防毒更進階的工具。它能協助偵測裝置上的可疑活動，並提供資訊技術（IT）供應商一個調查與回應的方式。

另一個常見主題是「修補程式更新」（patching）。修補程式更新指的是為作業系統、瀏覽器、商用軟體、防火牆，以及其他工具安裝安全性與穩定性更新。保險公司可能會詢問關鍵更新多久內會被套用，以及未支援（不再更新）的系統是否仍在使用。

備份也是重點之一。許多保險公司希望你有把備份與日常系統分離，且能定期測試的備份。你可能會聽到「3-2-1 備份」這個詞。意思是保留 3 份資料副本，分別存放在 2 種不同的媒體上，其中 1 份副本保留在離站（off-site）或以其他方式與其分離。任何誠信的供應商都不會承諾零停機、不可被駭入的網路或保證一定能復原；但保險公司確實會想看到：你的復原規劃是真實可行的。

存取控制也同樣重要。保險公司常會問：誰擁有管理員權限、離職員工是否能在合理時間內被移除、遠端存取是否受到限制並受到保護。他們也可能會問：供應商或承包商是否能存取到你的系統，以及這種存取是如何被控管的。