标准规范下载简介:
内容预览由机器从pdf转换为word,准确率92%以上,供参考
JR/T 0200-2020 金融科技创新风险监控规范.pdf在不干扰金融科技创新应用正常运行的前提下,使用自动化方式通过机构外部网络采集应 的状态数据,应用于风险识别。
7.1. 4 人工核验
对运行中的系统,在不事先告知创新机构的情况下,模拟用户进行核验,验证系统的业务功能 流程和控制措施等与事先报备的内容是否一致。
DB43T 1777.6-2020 信息技术应用创新工程建设规范 第6部分:操作系统软件兼容性通用技术要求JR/T02002020
对国家网络安全管理部门、公安机关等通报的信息,认证机构、安全评估机构、科研机构或其他 组织报告或共享的信息进行分析,识别应用的风险,
7.1. 6 奥情监测
对通过创新机构、行业自律组织、监管部门或其他投诉渠道收集到的意见投诉信息进行分析跟踪, 为识别创新应用风险提供信息
7.2.1隐私政策合规
7.2.2信息收集权限和范围
对信息收集权限和范围进行监测,采取以下措施: 机构报送: 创新机构每季度定期报送信息收集的权限和范围; 在报送内容中包含但不限于应用名称、应用版本、权限名称、权限描述、开启时机 是否强制或默认开启、权限使用场景、用途、是否已告知用户权限和用途等:
JR/T 02002020
·针对应用中嵌入SDK的情况,报送内容包含但不限于应用名称、应用版本、SDK名 称、SDK类别、SDK开发厂商、SDK版本、SDK功能、使用场景、SDK安全测试情况、 SDK收集个人信息情况、SDK收集个人信息范围、SDK收集个人信息目的、SDK收集 个人信息方式等。 自动探测:通过自动化的技术手段对信息收集权限和范围进行检查,识别信息收集超范 围收集和采集范围越界风险。 一人工核验: ·对生产环境应用(或从应用市场获取生产环境的APP)收集信息的权限和范围进行 核验,确认无高危行为或与隐私政策不一致的行为,确认符合JR/T0171一2020要 求; ·确认数据收集的权限和范围是否与隐私政策不符。 意见投诉:对个人金融信息超范围收集的用户投诉、报告进行分析和跟踪。 信息共享:分析其他机构提供的信息,核验个人金融信息收集权限和范围的合理性。 应对信息收集权限和范围不当风险进行处置,采取以下处置措施: 监测机构: · 发现后及时通报创新机构,协助创新机构开展风险处置: ·视情况严重程度报送自律组织; ·对创新机构的处置结果进行核验。 创新机构: ·针对风险问题进行整改,移除非必要信息采集权限; 对收集信息的功能进行整改,删除超范围收集的信息,保证信息收集权限和范围与 隐私政策文本一致。 自律组织: ·将公众对信息收集权限和范围的意见投诉反馈至创新机构,并对意见投诉处理情况 进行核实; · 督促创新机构及时调整信息收集的权限和范围,组织对处置结果进行核验: ·视情况严重程度报送监管机构。 监管机构:监督创新机构处置信息收集权限和范围不当风险,
7.2.3异常访问管理
JR/T02002020
7.2. 4 信息泄露监测
)应对信息泄露进行监测,采取以下措施:
JR/T 02002020
7.3.2账户开立异常
7.3.3账户使用异常
JR/T02002020
a)应对账户开立后,连续发生大金额交易,连续发生身份验证、绑定或签约等非资金变动类交 易,连续发生交易失败,终端设备ID、网络地址、地理位置与申请开户时有明显差异,用户 立即或多次修改手机号码、绑定账户,多个不同身份的Ⅱ、IⅡ类银行结算账户在同一终端设 备或网络地址进行登录或操作使用等异常行为进行监测,采取以下措施: 机构报送:机构按照要求实时或按要求每季度定期报送账户开立后账户的交易异常情 况。 一 接口采集:通过接口对接创新机构内部的账户管理系统,当发现账户使用异常时,主动 采集相关信息。 b)应对账户使用异常风险进行处置,采取以下处置措施: 一监测机构: ·将账户使用异常的监测信息及时通知创新机构; ·视情况严重程度报送自律组织。 创新机构:核实监测信息的正确性后,根据实际情况对异常使用的账户进行处置,可采 取限制账户权限、账户锁定、删除账户等措施。 自律组织: · 督促创新机构及时进行整改和优化; ·视情况严重程度报送监管机构。 监管机构:监督创新机构处置账户使用异常风险
7.3.4交易流程安全
7.3.5可疑/大额交易
应对《金融机构大额交易和可疑交易报告管理办法》(中国人民银行令(2016)第3号发布,
JR/T 02002020
中国人民银行令(2018)年第2号修订)中规定的大额交易和可疑交易进行监测,采取以下 措施: 机构报送:创新机构应向监测机构报送可疑交易和大额交易的相关信息,并在交易发生 之日起5个工作日内以电子方式提交报告,交易监测标准包括但不限于客户的身份、行 为,交易的资金来源、金额、频率、流向、性质等存在异常的情形。 接口采集:通过接口对接创新机构内部的可疑交易和大额交易监控系统,当发现可疑交 易和大额交易时,主动采集相关信息。 一 信息共享:核实并分析其他机构、部门或技术平台分享的风险交易信息, b)应对可疑交易和大额交易风险进行处置,采取以下处置措施: 一监测机构: ·对监测发现的可疑交易和大额交易信息,应及时通知创新机构: ·根据交易类型及风险级别等信息,向创新机构提供处置建议; ·视情况严重程度报送自律组织。 创新机构:核实监测信息的止确性和时效性后,对批量、高频、异常时段、异常地点、 大额等可疑交易行为,采取风险提示、增强身份验证、拒绝交易等手段。 一一自律组织: ·督促创新机构适时处置可凝交易和大额交易; ·视情况严重程度报送监管机构。 一监管机构:监督创新机构处置可疑交易和大额交易风险
JR/T02002020
JR/T 02002020
对于因系统技术原因导致信息系统服务异常、重要业务停止运营的进行全面分析、 改造并进行充分验证; 对于因基础设施或运营环境不够完善,导致创新机构信息系统服务异常、重要业务 停止运营的,重新评估并完善其基础设施或运行环境,并加以充分验证; 对于因创新机构管理制度不够完善或管理不够严格,导致信息系统服务异常、重要 业务停止运营的,重新检查并完善管理制度,加强对技术风险的防范能力,切实提 高自身业务连续性保障水平。 自律组织: 及时将投诉意见反馈至创新机构; 督促创新机构积极处理风险: 视情况严重程度报送监管机构。 监管机构:对创新机构风险应按情况进行监督,根据不同的风险等级进行处置: 对于高风险机构,给予1个月的整改期限,如期满未能符合业务连续性要求,则要 求退出创新测试; 对于中风险机构,对风险点做定期跟踪监测,并定期发布风险提示; 对于低风险机构,对风险点做定期跟踪监测
a)应对服务质量进行监测,采取以下措施: 机构报送: 创新机构每月报送服务质量相关参数,包括但不限于QoS设计指标、实际QoS数据、 设计最大用户数、实际最大用户数、设计并发用户数、实际并发用户数、设计交易 成功率、实际交易成功率、设计交易平均响应时间、实际交易平均响应时间、异常 交易运行日志、交易并发能力、吞吐量、可靠性、自恢复能力等; 创新机构每月定期报送服务器运行情况数据,报送内容包括但不限于带宽占用情 况、服务器资源占用情况、交易响应情况、交易中断情况等。 一接口采集:监测在一段时间内持续超过系统设定的交易拥塞阅值的交易。 一自动探测:通过自动化的技术手段采集系统响应时间等方式,识别服务质量风险。 一人工核验: ·监测机构通过创新机构报送的测试报告及实际运行情况分析其措施是否能够满足 一股性交易需求,是否能在网络过载或拥塞时确保交易业务不被延迟或丢弃: 监测机构核查根据不同交易类型进行分类的TPS记录、交易状态记录、异常交易监 测跟踪记录等运行日志信息,分析是否存在异常数据: · 监测机构采用数据建模分析、交易风控建模等方式,识别异常交易和可疑风险交易。 b)应对服务质量风险进行处置,采取以下处置措施: 一监测机构: · 在出现网络服务无法满足基本交易需求或造成交易频繁失败的情况时,及时通知创 新机构并提供处置建议; ·视情况严重程度报送自律组织。 一 创新机构: 核实风险信息后,及时根据需求完善服务质量保障方案,包括但不限于升级相关技 术设备和系统应用等: 采用合理的网络数据传输方案,配置QoS策略保证业务不受延迟或丢弃
自律组织: 督促创新机构及时处置服务质量问题; 视情况严重程度报送监管机构。 监管机构:监督创新机构处置服务质量风险
7. 6. 1 人工智能
JR/T02002020
JR/T 02002020
信息共享:针对国家网络安全管理部门、公安机关通报的信息,安全评估机构、认证机 构、科研机构等组织发布或共享的信息进行核实分析,识别大数据技术使用风险。 应对大数据风险进行处置,采取以下处置措施: 监测机构: 发现风险后及时与创新机构进行沟通确认,协助创新机构开展大数据应用安全漏洞 的修复处理: 对于通用技术风险提醒其他机构进行排查: ? 视情况严重程度报送自律组织; 对风险处置情况进行持续监控。 创新机构: 尽快采取技术风险处置措施: 对已经发生损失的用户进行赔付。 自律组织: 及时将投诉意见反馈至创新机构; ? 督促创新机构对风险进行及时处置,对处置结果进行核验; 视情况严重程度报送监管机构。 监管机构:监督创新机构处置大数据技术应用风险
JR/T02002020
督促创新机构对风险进行及时处置,组织对处置结果进行核验; 视情况严重程度报送监管机构。 监管机构:监督创新机构处置云计算技术使用风险
JR/T 02002020
应对物联网风险进行处置,采取以下处置措施: 监测机构: 发现风险后及时与创新机构进行沟通确认,协助创新机构开展物联网技术应用安全 漏洞的修复处理; 对于通用技术风险提醒其他机构进行排查; 视情况严重程度报送自律组织; · 对风险处置情况进行持续监控。 创新机构: 尽快采取技术风险处置措施; 对已经发生损失的用户进行赔付。 自律组织: 及时将投诉意见反馈至创新机构; 督促创新机构对风险进行及时处置,组织对处置结果进行核验: 视情况严重程度报送监管机构。 监管机构:监督创新机构处置区物联网技术使用风险
7.7.1技术供应链管理
7. 7. 2内部控制
JR/T02002020
7.7.3产品服务变更
JR/T 02002020
监管机构:监督创新机构处置产品服务重大变更风险
7.7.4人员团队变化
a)应对人员团队变化进行监测,采取以下措施: 机构报送: · 创新机构在人员团队发生重大变化时进行上报,上报时间点包括主要负责人发生变 动、团队成员组织架构调整等。 创新机构报送的人员团队信息包括但不限于主要负责人信息、团队成员组成结构、 人员数量等。团队成员包括但不限于项目管理人员、开发人员、运维人员、业务人 员等。 b)应对人员团队变化进行处置,采取以下处置措施: 监测机构: 发现人员团队发生重大变化后及时与创新机构进行沟通确认: 视情况严重程度报送自律组织; 对风险处置情况进行持续监测。 创新机构:对人员团队变更风险进行核实、分析并处置。 一自律组织: 督促创新机构处置人员团队变更风险: 视情况严重程度报告监管机构。 一监管机构:监督创新机构处置人员团队变更风险。
JR/T02002020
创新机构: 对仿冒钓鱼应用进行核实和确认; 对于确认为仿冒钓鱼的应用与外部机构协作进行下架或关停; 对用户进行风险提示,对于已经获知被钓鱼的账户进行冻结,联系用户进行后续处 理; 加强网络钓鱼、APP篡改防护技术措施,采用技术手段对可能来自于钓鱼网站的请 求进行识别和拦截; 运用大数据等技术手段,对可疑请求进行识别,拦截非正常用户的访问请求 自律组织: 将仿冒钓鱼相关意见投诉反馈至创新机构QC/T 592-2013 液压制动钳总成性能要求及台架试验方法,对意见投诉处理情况进行核实: 督促创新机构及时对风险进行处置,组织对处置结果进行核验; 视情况严重程度报送监管机构。 蓝管机构:监督创新机构处置仿冒钓鱼风险
JR/T 02002020
应对网络安全威胁进行监测,采取以下措施: 机构报送:创新机构每季度定期报送威胁情报信息,报送的信息包含但不限于攻击行为、 政击方地址、所在区域、攻击方终端特性信息、可疑账户特征、灰名单、黑名单账户等 信息。 信息共享:对国家网络安全管理部门、公安机关通报的信息以及其他专业机构提供的威 胁情报信息进行核实分析,识别网络安全风险。 应对网络安全风险进行处置,采取以下处置措施: 一一监测机构: 。发现威胁情报后,及时与创新机构开展沟通确认,协助创新机构展开风险排查和情 报比对、验证分析; ·视情况严重程度报送自律组织。 创新机构:及时对情报信息进行比对和验证,对网络安全风险进行防范,对失陷情况进 行处置。 自律组织: ·督促创新机构对网络安全风险进行及时处置; ·视情况严重程度报告监管机构。 监管机构:监督创新机构处置网络安全风险
JR/T02002020
·视情况严重程度报送自律组织。 创新机构:及时处置被篡改页面,采取技术手段防御、恢复、记录网站页面篡改攻击。 一自律组织: · 督促创新机构及时处置页面篡改问题; 将页面篡改相关意见投诉反馈至创新机构,对意见投诉处理情况进行核实; · 视情况严重程度报告监管机构。 监管机构:监督创新机构及时处置页面算改风险
JR/T 02002020
视情况严重程度报送自律组织: 对舆情发展和应对情况进行持续监控。 创新机构: 根据舆情的信息内容及时采取应对措施予以澄清,对所反馈的问题及时进行跟进和 解决; 对于负面且不实的信息,及时进行引导,降低影响。 自律组织: ·对涉及到多机构的负面舆情,组织统一应对; 视情况严重程度报告监管机构。 监管机构:监督创新机构处理公开舆情问题。
视情况严重程度报送自律组织: 对舆情发展和应对情况进行持续监控。 创新机构: 根据舆情的信息内容及时采取应对措施予以澄清,对所反馈的问题及时进行跟进和 解决; ? 对于负面且不实的信息,及时进行引导GB/T 34778-2017 抹茶,降低影响。 自律组织: ·对涉及到多机构的负面舆情,组织统一应对; 视情况严重程度报告监管机构。 监管机构:监督创新机构处理公开舆情问题。
JR/T02002020