Sebelum perusahaan asuransi dapat menanggung risiko cyber, mereka perlu melakukan uji tuntas terhadap lingkungan bisnis tertanggung dan sektor bisnis yang relevan serta peraturan terkait jenis usaha atau pun lokasi geografis calon tertanggung.
Oleh karena itu, penanggung mungkin memerlukan informasi berikut dari calon tertanggung, untuk tujuan penetapan harga asuransi:
- Jumlah catatan data pribadi yang disimpan.
- Berapa lama catatan data pribadi disimpan.
- Sifat catatan data pribadi (misalnya, catatan kesehatan atau informasi sensitif).
- Pendapatan (relevan untuk menilai eksposur business interruption).
- Perkiraan jadwal untuk pemulihan sistem TI utama setelah pemadaman.
- Salinan kebijakan keamanan siber, tata kelola dan respons insiden siber serta rencana kelangsungan bisnis (business continuity plans).
- Tinjauan kontrol keamanan cyber termasuk firewall, anti-virus, deteksi intrusi, pencegahan kehilangan data, pemantauan log peringatan, dan patching.
- Ikhtisar perlindungan untuk data penting dan pemisahan sistem.
- Tindakan yang diambil untuk mengurangi dampak gangguan bisnis (kehilangan sistem kritis) dan kehilangan data (misalnya, pencadangan). Bukti kepatuhan terhadap standar keamanan informasi yang diakui (seperti ISO27001) atau, jika tercakup, Standar Keamanan Data Industri Kartu Pembayaran.
- Penunjukan Petugas Perlindungan Data (jika relevan).
- Ketergantungan pada pihak ketiga yang penting untuk kelangsungan layanan TI.
- Bukti pengujian kerentanan (vulnerability testing).
- Deklarasi bahwa tertanggung tidak mengetahui adanya pelanggaran atau keadaan potensial yang dapat menimbulkan klaim potensial berdasarkan polis.
- Korespondensi dan laporan mengenai klaim atau insiden sebelumnya.
Pengumpulan informasi umumnya dilakukan melalui proposal form. Proposal form asuransi siber cenderung lebih panjang dan lebih komprehensif daripada proposal untuk asuransi tradisional. Terkadang, untuk risiko yang lebih besar dan tidak langsung, mungkin lebih baik untuk memberikan presentasi underwriting. Dalam kedua peristiwa tersebut, pertanyaan lanjutan dari perusahaan asuransi mungkin terjadi. Sementara indikasi harga yang tidak mengikat dan indikasi yang sangat kasar dapat diperoleh dari perusahaan asuransi atau broker pada tahap proses yang relatif awal, quotation premi hanya akan datang setelah selesainya langkah pengumpulan informasi di atas.
Pertimbangan merger dan akuisisi
Akuisisi atau merger dengan organisasi lain dapat membawa ketidakpastian pada tingkat ketahanan siber dan masalah warisan yang tidak diinginkan. Due diligence harus mencakup risiko cyber Banyak polis asuransi cyber akan menyediakan entitas yang diakuisisi untuk ditambahkan secara otomatis selama periode polis, dengan tunduk pada kriteria terperinci mengenai, misalnya, persentase pendapatan dari entitas yang diakuisisi secara proporsional dengan yang diasuransikan.