ICS03.060

A11

T/ZAIF

互聯(lián)網(wǎng)金融團體標準

T/ZAIF1001—2020

互聯(lián)網(wǎng)金融組織全面風險管理指南

ComprehensiveriskmanagementguideforInternetfinanceorganizations

2020-07-24發(fā)布2020-09-01實施

浙江互聯(lián)網(wǎng)金融聯(lián)合會發(fā)布

T/ZAIF1001—2020

互聯(lián)網(wǎng)金融組織全面風險管理指南

1范圍

本標準規(guī)定了互聯(lián)網(wǎng)金融行業(yè)全面風險管理的術(shù)語和定義、基本原則、體系框架、風險治理架構(gòu)、

風險管控流程、管理工具、信息系統(tǒng)建設(shè)。

本標準適用于互聯(lián)網(wǎng)金融行業(yè)全面風險防控管理。

2規(guī)范性引用文件

下列文件對于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅所注日期的版本適用于本文

件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

GB/T23694—2013風險管理術(shù)語

GB/T24353—2009風險管理原則與實施指南管理框架和管理過程

GM/T0054—2018信息系統(tǒng)密碼應(yīng)用基本要求

3術(shù)語定義

GB/T23694—2013界定的及下列術(shù)語和定義適用于本文件。

3.1

風險risk

指未來的不確定性對組織實現(xiàn)其經(jīng)營目標的影響。

[來源：GB/T23694—2013，術(shù)語3.1]

3.2

風險管理riskmanagement

指組織圍繞經(jīng)營目標，對經(jīng)營中的風險進行識別、評估和控制的基本流程以及相關(guān)的組織架構(gòu)、制

度和措施，是指揮和控制風險的協(xié)調(diào)活動。

3.3

風險責任人riskowner

指具有管理風險的責任和權(quán)力的個人或組織。

3.4

風險偏好riskappetite

指組織尋求或保留風險的意愿。

1

T/ZAIF1001—2020

[來源：GB/T23694—2013，術(shù)語4.7.1.2]

3.5

風險容忍度risktolerance

指組織或利益相關(guān)者為了實現(xiàn)目標在風險應(yīng)對之后承擔風險的意愿。

[GB/T23694—2013.術(shù)語4.7.1.3]

3.6

風險監(jiān)測riskmonitoring

指在組織運營過程中，組織應(yīng)對風險的發(fā)展與變化情況進行監(jiān)測，并根據(jù)需要調(diào)整應(yīng)對策略。

3.7

風險地圖riskmap

將組織的風險縮小反映在平面上，能夠反映組織風險的分布、聯(lián)系、數(shù)量特征的一種“地圖”，用于

描述組織在經(jīng)營管理過程中將會遭遇到的風險以及應(yīng)采取的風險管控策略，呈現(xiàn)組織的風險格局。

3.8

全面風險管理totalriskmanagement

圍繞總體經(jīng)營目標，通過在組織管理的各個環(huán)節(jié)和經(jīng)營過程中運用各種方法對風險進行管理，將風

險產(chǎn)生的影響控制在可接受范圍內(nèi)的過程。

4基本原則

4.1全面管理與重點監(jiān)控相統(tǒng)一

組織應(yīng)建立能覆蓋所有業(yè)務(wù)流程和操作環(huán)節(jié)，并能對風險進行持續(xù)監(jiān)控、定期評估和準確預(yù)警的全

面風險管理體系，同時應(yīng)根據(jù)組織的實際情況有針對性地實施重點風險監(jiān)控，及時發(fā)現(xiàn)、防范和化解對

組織經(jīng)營有重要影響的風險。

4.2獨立集中與分工協(xié)作相統(tǒng)一

組織應(yīng)建立全面評估和集中管理風險的機制，保證風險管理的獨立性和客觀性，同時應(yīng)強化業(yè)務(wù)部

門的風險管理主體職責，在保證風險管理職能部門與業(yè)務(wù)單位分工明確、密切協(xié)作的基礎(chǔ)上，使業(yè)務(wù)發(fā)

展與風險管理平行推進，實現(xiàn)對風險的過程控制。

4.3有效管理與成本控制相結(jié)合

組織應(yīng)建立與自身經(jīng)營目標、業(yè)務(wù)規(guī)模、資本實力、風險狀況相適應(yīng)的風險管理體系，合理權(quán)衡風

險管理成本與效益的關(guān)系，合理配置風險管理資源，實現(xiàn)適當成本下的有效風險管理。

5體系框架

2

T/ZAIF1001—2020

全面風險管理體系框架應(yīng)考慮風險治理架構(gòu)、風險管控流程、風險管理工具和風險管理系統(tǒng)四個方

面，如圖1所示。

圖1體系框架

6風險治理架構(gòu)

6.1風險管理組織架構(gòu)

6.1.1全面風險管理應(yīng)按照“集中管控、矩陣分布、全面覆蓋、全員參與”的要求，建立全面、垂直、

集中的風險管理組織架構(gòu)。

6.1.2全面風險管理組織架構(gòu)包括：董事會、監(jiān)事會、管理層、審計部門、風險管理部門、各業(yè)務(wù)部

門等。所有部門和人員均按照分工承擔風險管理的職責?；ヂ?lián)網(wǎng)金融行業(yè)的風險管理組織架構(gòu)如表1

所示。

表1風險管理組織架構(gòu)

崗位/部門職責

應(yīng)提高風險意識，主動識別本部門的各項風險，并采取相應(yīng)措施。主要責任包括：

a）遵循公司董事會確立的風險管理戰(zhàn)略定位，在公司各項風險管理政策、制度、流程和指引的框架

下，制定本部門業(yè)務(wù)范圍內(nèi)的風險管理目標、制度與流程；

各部門

b）及時識別、評估本部門業(yè)務(wù)流程中的風險，并及時報告相應(yīng)的風險管理部門；

c）配合開展風險管理工作，對所發(fā)現(xiàn)的問題提出整改建議，追蹤并確保各項整改行動落實到位。

d）與風險管理部門共同評估風險控制效果，確保將風險控制在組織可接受范圍之內(nèi)。

協(xié)助一線業(yè)務(wù)部門進行風險管控的部門。主要責任包括：

各風險管理部門a）制定組織的風險控制政策和標準，協(xié)助業(yè)務(wù)部門識別風險、評估風險、建立必要的方法與流程，

（例如法務(wù)部對組織的風險水平進行持續(xù)監(jiān)控與處置，以確保組織的總體風險水平在董事會設(shè)定的風險容忍度

門、合規(guī)部門、范圍之內(nèi)；

反洗錢部門、信b）對重大風險進行決策，將組織風險發(fā)生的概率和可能造成的損失控制在可接受的合理范圍內(nèi)；

息安全部門等）c）采取必要的措施，對各業(yè)務(wù)部門風險控制的履職情況進行持續(xù)的監(jiān)督與評價；

d）按照風險上報機制，定期向董事會、管理層報告公司風險管理情況。

3

T/ZAIF1001—2020

表1（續(xù)）

崗位/部門職責

審計部為獨立的風險管理監(jiān)督部門，通過內(nèi)部審計提出改善風險管理的有效措施，幫助組織維持有效

的風險控制系統(tǒng)，并將風險管理監(jiān)督情況提交管理層審核。具體職責包括：

審計部a）進行內(nèi)部的日常、專項監(jiān)督與評價；

b）針對監(jiān)督檢查過程中發(fā)現(xiàn)的內(nèi)部控制缺陷，包括設(shè)計缺陷和運行缺陷、跟蹤問題的整改，并就內(nèi)

部審計中發(fā)現(xiàn)的重大問題提交管理層審核。

首席風險官負責部署、指揮組織的風險管理工作，監(jiān)督風險管理有效性。

管理層負責領(lǐng)導(dǎo)組織風險管理與內(nèi)部控制的日常運行，總經(jīng)理是管理層風險管理的第一責任人。主要

職責包括：

a）審核重大風險關(guān)鍵監(jiān)控指標和分解指標，以及預(yù)期實現(xiàn)關(guān)鍵監(jiān)控指標的風險承受度，并提交董事

會審議；

高級管理層

b）對各風險管理部門提交的風險事項進行審議；

c）建立健全業(yè)務(wù)與管理流程的風險防范、內(nèi)部監(jiān)控體系，管理各部門的日常風險，有效化解和降低

組織整體的運營風險；

d）審核風險管理的其他重要事項。

監(jiān)事會監(jiān)事會對董事會、管理層建立健全風險防范、監(jiān)控體系的工作進度與效果進行監(jiān)督。

作為風險管理的最高決策機構(gòu)，負責管理組織的整體風險，對重大風險事項進行決策，確保組織戰(zhàn)略

的實現(xiàn)。主要職責包括：

a）確定風險管理的總體目標、風險偏好、風險容忍度，批準風險管理策略和重大風險管理解決方案；

董事會b）了解和掌握組織面臨的各項重大風險及其風險管理現(xiàn)狀，做出有效控制風險的決策；

c）批準風險管理組織架構(gòu)設(shè)置及其職責方案；

d）督導(dǎo)風險管理文化的培育；

e）決定有關(guān)全面風險管理的其它重大事項。

6.2風險管理政策制度

6.2.1風險管理政策制度應(yīng)包含風險管理組織結(jié)構(gòu)體系、運行機制、溝通機制、應(yīng)急機制等方面的內(nèi)

容。

6.2.2風險管理政策制度分為三層：第一層為風險管理戰(zhàn)略、全面風險管理政策等；第二層為風險管

理政策，是針對各類主要風險分別制定的風險管理政策；第三層為各職能部門、業(yè)務(wù)部門在風險政策的

指導(dǎo)下，制定的操作規(guī)程和實施細則等。

7風險管控流程

7.1流程圖

風險管控流程包括風險識別、風險評估、風險應(yīng)對、風險監(jiān)測、溝通與報告五方面，如圖2所示：

圖2全面風險管理流程

4

T/ZAIF1001—2020

7.2風險識別

7.2.1要求

風險識別應(yīng)及時、充分，可用流程分析法、數(shù)據(jù)分析法、風險與控制自我評估方法進行風險識別。

7.2.2對象

各類風險主要包括：

a)操作風險：由于不完善或有問題的內(nèi)部程序、人員、信息科技系統(tǒng)或外部事件導(dǎo)致?lián)p失的可能

性；

b)合規(guī)風險：因未能遵循法律法規(guī)的要求，而可能受到法律制裁、監(jiān)管機構(gòu)的處罰、重大財務(wù)損

失或聲譽損失的風險；

c)信用風險：由于債務(wù)人或者交易對手不能履行合同義務(wù)，或者信用狀況的不利變動而造成損失

的可能性；

d)市場風險：由于利率、匯率等市場價格的不利變動而造成損失的可能性；

e)法律風險：因企業(yè)外部的法律環(huán)境發(fā)生變化，或由于包括組織自身在內(nèi)的各種主體未按照法律

規(guī)定或合同約定行使權(quán)利、履行義務(wù)，而對企業(yè)造成負面法律影響的可能性；

f)聲譽風險：由于意外事件、市場表現(xiàn)或日常經(jīng)營活動所產(chǎn)生的負面結(jié)果，可能導(dǎo)致公眾對組織

的信心受損，使組織的聲譽遭受損失的風險；

g)欺詐風險：組織的員工、客戶或第三方，單獨或與他人聯(lián)合，用虛構(gòu)事實或者隱瞞真相的方法

騙取不正當?shù)暮锰幓蚶?，造成組織財務(wù)或其他方面損失的風險；

h)信息安全風險：由于人為或自然的威脅，利用信息系統(tǒng)及其管理體系中存在的脆弱性導(dǎo)致信息

資產(chǎn)的保密性、完整性和可用性遭到破壞的可能性；

i)洗錢風險：因反洗錢控制存在缺陷，導(dǎo)致組織被犯罪分子利用成為洗錢的通道，從而使組織遭

受到聲譽、經(jīng)濟損失或者行政、刑事處罰的風險；

j)恐怖融資風險是由以下恐怖融資行為而引起的風險：

1）恐怖組織、恐怖分子募集、占有、使用資金或者其他形式財產(chǎn)；

2）以資金或者其他形式財產(chǎn)協(xié)助恐怖組織、恐怖分子以及恐怖主義、恐怖活動犯罪；

3）為恐怖主義和實施恐怖活動犯罪占有、使用以及募集資金或者其他形式財產(chǎn)；

4）為恐怖組織、恐怖分子占有、使用以及募集資金或者其他形式財產(chǎn)。

注：支付行業(yè)反欺詐風險管理指南可見附錄A，系統(tǒng)安全加固設(shè)計參考指南可見附錄B，互聯(lián)網(wǎng)金融行業(yè)反洗錢風險

管理指南可見附錄C。

7.2.3流程分析法

7.2.3.1對流程的每一階段、每一環(huán)節(jié)逐一進行調(diào)查分析，將一項特定的經(jīng)營活動按步驟或階段順序以

若干個模塊形式組成一個流程圖系列，在每個模塊中標示出各種潛在的風險因素或風險事件，找出導(dǎo)致

風險發(fā)生的原因，分析可能造成的損失及不利影響，制定改善方案。

7.2.3.2步驟：

a)繪制組織的主要業(yè)務(wù)流程；

b)與各部門業(yè)務(wù)人員討論業(yè)務(wù)流程圖是否符合實際情況；

c)分析各流程中存在的主要風險并討論確定改進方案；

d)制定新的業(yè)務(wù)流程圖，確定合理的、切合實際的業(yè)務(wù)流程。

5

T/ZAIF1001—2020

7.2.4數(shù)據(jù)分析法

7.2.4.1根據(jù)組織的財務(wù)報表、運營數(shù)據(jù)等數(shù)據(jù)資料，風險管理人員經(jīng)過實際的調(diào)查研究，對組織的經(jīng)

營情況進行分析，發(fā)現(xiàn)其潛在風險。

7.2.4.2步驟：

a)確定信息需求；

b)收集所需數(shù)據(jù)；

c)分析數(shù)據(jù)；

d)過程改進。

7.2.5風險與控制自我評估

組織可通過會議面談和調(diào)查問卷的形式對自身業(yè)務(wù)活動控制措施的有效性和適當性進行自我評估。

7.3風險評估

組織應(yīng)對風險對各個方面造成的影響和損失的可能性進行量化評估。根據(jù)風險的影響程度以及發(fā)生

概率建立風險等級矩陣，通過風險等級矩陣對風險的大小進行評估。

7.4風險應(yīng)對

組織應(yīng)考慮建立規(guī)避風險、接受風險、降低風險和分擔風險的風險應(yīng)對措施。

7.4.1規(guī)避風險

對于發(fā)生頻率和影響程度均很高的風險，可以采取措施來規(guī)避風險，常用的方法有：

a)放棄業(yè)務(wù)、改變業(yè)務(wù)模式；

b)采用更成熟的技術(shù)方案而非先進但尚未成熟的方案；

c)拒絕與信用不好的交易對手進行交易；

d)避免和不熟悉的服務(wù)提供商簽約等。

7.4.2接受風險

對于發(fā)生概率低、影響程度低的風險，不采取任何行動，保持其現(xiàn)有水平。最常用的措施是根據(jù)風

險的概率、影響和可接受的風險損失建立風險儲備，包括風險儲備資金、資源。

7.4.3降低風險

對于發(fā)生頻率高，但是損失程度相對較低的風險，可以通過改進控制措施等方法來更好地控制風

險水平，降低風險發(fā)生的頻率及風險產(chǎn)生的影響。常用的方法有：

a)將金融資產(chǎn)、實物資產(chǎn)或信息資產(chǎn)分散放置在不同地方，以降低遭受災(zāi)難性損失的風險；

b)系統(tǒng)冗余設(shè)計；

c)借助內(nèi)部流程或控制，將不良事件發(fā)生的可能性降低到可接受的程度。

7.4.4轉(zhuǎn)移風險

對于發(fā)生頻率低，但是卻可能造成嚴重損失的風險，可以將風險的影響和責任轉(zhuǎn)移給第三方,如保

險。

7.5風險監(jiān)測

6

T/ZAIF1001—2020

風險監(jiān)測常用關(guān)鍵風險指標監(jiān)測法。根據(jù)組織的風險成因、風險控制及風險結(jié)果，由風險管理部門

和相關(guān)業(yè)務(wù)部門共同構(gòu)建關(guān)鍵風險指標（KRI），通過系統(tǒng)化建設(shè)，實現(xiàn)風險辨識、評估、分析、監(jiān)控

的全過程動態(tài)管理。

7.6溝通與上報

7.6.1組織應(yīng)對風險事件和風險整體狀態(tài)進行描述、分析和評價，并按規(guī)定流程進行報送。

7.6.2風險管理部門收集及分析風險事項及損失數(shù)據(jù)，定期或不定期編制風險統(tǒng)計分析報告，并提出

風險應(yīng)對建議。

7.6.3董事會和管理層審閱風險報告，對于報告中涉及的重大風險應(yīng)對策略調(diào)整方案、風險承受度調(diào)

整方案和其他重大事項進行決策。

8管理工具

8.1風險數(shù)據(jù)庫

組織應(yīng)建立風險數(shù)據(jù)庫對組織的風險事件進行收錄，及時了解風險事件的詳細信息，依據(jù)風險數(shù)據(jù)

庫樣本，對風險事件進行數(shù)據(jù)分析和預(yù)測?；ヂ?lián)網(wǎng)金融行業(yè)的組織風險數(shù)據(jù)庫的模型如表2所示。

表2風險數(shù)據(jù)庫——CERM模型

風險數(shù)據(jù)庫

風應(yīng)

風

風險對

風當險監(jiān)監(jiān)

風險風應(yīng)調(diào)風監(jiān)

險前應(yīng)風督督

風風風險發(fā)險對整險督

影的對險KPI與與

險險險影生評調(diào)后責與

響風的責指檢檢

編描誘響的估整的任檢

的險實任標查查

號述因程可時后剩部查

流應(yīng)施人措頻

度能間的余門人

程對頻施率

性措風

率

施險

8.2風險關(guān)鍵指標

8.2.1分類

根據(jù)指標時滯性，KRI指標體系可具體分為：

a)預(yù)警指標：指標值的變化先于實際風險狀況的變化，參考這種指標可以發(fā)現(xiàn)“預(yù)先警示標志”，

反映風險變動趨勢，可用于分析未來風險狀況及產(chǎn)生影響；

b)同步指標：指標值的變化同步于風險狀況的變化，它的變化時間與風險情況基本一致，用于體

現(xiàn)“正在發(fā)生的風險”，其中潛在的風險可能導(dǎo)致組織產(chǎn)生實際的風險事件；

c)滯后指標：用于反映或查找已發(fā)生的“歷史風險事件”，其值變動時間往往落后于實際風險狀

況的變動。

注：如員工離職率，員工離職率過高，可能會引起操作風險發(fā)生的幾率上升。

注：如客戶投訴數(shù)量，反映客戶對組織提供服務(wù)的滿意程度。

7

T/ZAIF1001—2020

注：如信息系統(tǒng)每年宕機次數(shù)、資金損失率等。

8.2.2特征

關(guān)鍵指標應(yīng)具有以下特征：

a)關(guān)鍵性；

b)容易獲得，可以定期得到更新的數(shù)據(jù)；

c)風險敏感性；

d)可以量化；

e)對支持和改進管理決策有幫助。

8.2.3管理步驟

管理步驟如下：

a)分析風險成因，從中找出關(guān)鍵成因；

b)將關(guān)鍵成因量化，確定其度量，分析確定導(dǎo)致風險事件發(fā)生（或極有可能發(fā)生）時該成因的具

體數(shù)值；

c)以該具體數(shù)值為基礎(chǔ)，以發(fā)出風險預(yù)警信息為目的，加上或減去一定數(shù)值后形成新的數(shù)值，該

數(shù)值即為關(guān)鍵風險指標；

d)建立風險預(yù)警系統(tǒng)，當關(guān)鍵成因數(shù)值達到關(guān)鍵風險指標時，發(fā)出風險預(yù)警信息；

e)制定出現(xiàn)風險預(yù)警信息時應(yīng)采取的風險控制措施；

f)跟蹤監(jiān)測關(guān)鍵成因數(shù)值的變化，一旦出現(xiàn)預(yù)警，即實施風險控制措施。

8.2.4原則

按以下原則選取風險指標：

a)重要性原則，指標的選擇應(yīng)覆蓋當前重要風險環(huán)節(jié)、風險易發(fā)或者風險嚴重的業(yè)務(wù)領(lǐng)域；

b)開放性原則，KRI體系是動態(tài)的、開放的，隨著業(yè)務(wù)發(fā)展和風險偏好的轉(zhuǎn)移，指標的選擇應(yīng)相

應(yīng)地進行調(diào)整和完善；

c)事前預(yù)警和事后計量相結(jié)合的原則，指標體系中的部分指標應(yīng)對風險有預(yù)先警示的作用，部分

指標應(yīng)在事后對風險事件的損失情況進行計量，從而不斷積累風險損失數(shù)據(jù)；

d)風險容忍原則，指標體系的建立并非要覆蓋所有業(yè)務(wù)條線的所有風險點，根據(jù)成本效益原則，

對部分風險可以不進行監(jiān)測。

8.2.5關(guān)鍵風險指標的制定

制定關(guān)鍵風險指標時包括但不限于以下內(nèi)容：

a)指標名稱；

b)指標計算公式及公式中各項內(nèi)容的具體含義；

c)閾值及管理觸發(fā)機制；

d)指標類型；

e)數(shù)據(jù)收集流程及報告機制（頻率、內(nèi)容、收集部門等）；

f)相關(guān)負責部門及人員。

8.3風險限額

組織應(yīng)根據(jù)風險偏好，按照客戶、行業(yè)、區(qū)域、產(chǎn)品等維度設(shè)定風險限額，并據(jù)此對業(yè)務(wù)開展監(jiān)測

和控制。

8

T/ZAIF1001—2020

8.4風險地圖

8.4.1編制原則

風險地圖的編制應(yīng)按照“突出重點、逐步推進、務(wù)求實效”的原則，結(jié)合組織經(jīng)營管理的實際，對

各個業(yè)務(wù)環(huán)節(jié)、業(yè)務(wù)領(lǐng)域進行風險排查，通過對各項風險進行評估和計量，展現(xiàn)風險分布和發(fā)展趨勢，

為組織的發(fā)展提供決策依據(jù)。

8.4.2編制方法

通過繪制組織業(yè)務(wù)活動的風險地圖，展現(xiàn)組織管理流程中存在的相關(guān)風險信息。用風險地圖的橫坐

標表示風險發(fā)生的頻率，縱坐標表示風險發(fā)生的強度，圖中的點來自于不同的業(yè)務(wù)線，代表不同的風險

種類。

8.5風險報告

8.5.1實施全面風險管理定期報告機制，定期進行全面風險管理情況分析、總結(jié)、評價、報告管理層

以及董事會。

8.5.2對于重大風險事件通過專項事件報告，形成重大風險事件評估、應(yīng)對、報告的管控機制，有效

避免和降低組織遭受重大損失的可能性。

8.6控制測試

控制測試是對內(nèi)部控制的有效性和實際實施情況實施的審計程序，對風險管理的流程及其有效性進

行檢驗評估，并根據(jù)評估測試的結(jié)果及時改進。控制測試的方法主要包括詢問、觀察、檢查和穿行測試。

9信息系統(tǒng)建設(shè)

9.1組織應(yīng)建立完善的風險管理信息系統(tǒng)，采取定性和定量相結(jié)合的方法，識別、計量、評估、監(jiān)測、

控制和報告各類風險。

9.2應(yīng)從風險信息的采集、存儲、分析、預(yù)警、傳遞、報告、應(yīng)對、監(jiān)督與改進等各個方面，為實施

全面風險管理建立一整套工作流程。

9

T/ZAIF1001—2020

AA

附錄A

（規(guī)范性附錄）

支付行業(yè)反欺詐風險管理指南

A.1概述

A.1.1欺詐風險

A.1.1.1欺詐風險指欺詐者故意制造假相、隱瞞事實真相，利用各種手段使他人發(fā)生錯誤認識并誘導(dǎo)

他人上當，直至欺詐者從中獲取到一定的利益，并導(dǎo)致他人承擔資金損失的風險。

A.1.1.2結(jié)合支付公司的業(yè)務(wù)場景，欺詐風險類型主要分為商戶欺詐和交易欺詐。

A.1.2商戶風險管理

風險管理者采取各種措施和方法，防止或降低風險事件發(fā)生的各種可能性，或者減少風險事件發(fā)生

時造成的損失。

A.2商戶風險管理標準

A.2.1商戶準入標準

A.2.1.1商戶準入盡職調(diào)查

根據(jù)不同行業(yè)制定不同的準入標準，為確保在商戶準入環(huán)節(jié)把握第一道防線，做好風險預(yù)防工作，

對商戶采取的盡職調(diào)查方式不限于電話溝通、郵件溝通、現(xiàn)場盡調(diào)，其中現(xiàn)場盡調(diào)結(jié)束后，需做好記錄

歸檔工作。

A.2.1.2商戶風險評估

組織應(yīng)對特約商戶進行風險評估，根據(jù)評估結(jié)果進行分層管理，分兩個階段對商戶風險等級進行評

定，分別是商戶風險等級初評和商戶風險等級重新評定。商戶風險等級可分為高風險、中風險、低風險。

a)商戶風險等級初評：指在商戶準入環(huán)節(jié)，根據(jù)商戶所屬行業(yè)、經(jīng)營內(nèi)容、業(yè)務(wù)模式、資質(zhì)情況、

配置產(chǎn)品等維度來初步評定商戶風險等級；

b)商戶風險等級重新評定：指根據(jù)商戶交易情況、違規(guī)情況、經(jīng)營內(nèi)容或業(yè)務(wù)模式是否發(fā)生變化

等維度對商戶風險等級進行動態(tài)調(diào)整及評估。

A.2.2商戶風險監(jiān)測標準

特約商戶準入、上線后，應(yīng)當根據(jù)商戶風險等級、產(chǎn)品配置、交易渠道、交易終端或接口類型、交

易類型、交易金額、交易時間、商戶類別等風險指標建立相應(yīng)的風險監(jiān)測模型及體系。

a)根據(jù)商戶風險等級建立日常巡檢機制：高風險、中風險、低風險的巡檢頻次分別是3個月、6

個月、12個月，確保特約商戶在12個月內(nèi)至少被巡檢一次。巡檢方式不限于現(xiàn)場盡調(diào)或非現(xiàn)

場盡調(diào)方式；

b)根據(jù)特約商戶違規(guī)類型的交易特征，建立異常交易監(jiān)測模型及規(guī)則，快速鎖定異常商戶名單，

縮小風險排查范圍；

10

T/ZAIF1001—2020

c)根據(jù)特定時間范圍內(nèi)出現(xiàn)的風險特征開展專項風險排查項目，篩查違規(guī)商戶名單，確保特約商

戶業(yè)務(wù)合規(guī)化發(fā)展；

d)根據(jù)特約商戶信息，建立完善的輿情監(jiān)測系統(tǒng)，及時了解和發(fā)現(xiàn)特約商戶的負面信息，便于在

第一時間采取應(yīng)對措施。

A.2.3商戶風險管控標準

組織應(yīng)根據(jù)實際情況制定商戶風險管控相關(guān)制度，商戶交易監(jiān)測過程中如發(fā)現(xiàn)商戶存在違規(guī)行為，

應(yīng)及時對商戶采取相應(yīng)風險管控措施，包括但不限于整改、降額、暫停合作、終止合作、延遲清算、錄

入商戶黑名單庫等。

A.3交易風險管理

A.3.1概述

組織應(yīng)建設(shè)功能完善的反欺詐實時監(jiān)測系統(tǒng),用于識別用戶交易過程中可能存在的欺詐風險，風險

類型包括但不限于銀行卡盜刷、賬戶盜用、虛假交易、偽冒簽約、違規(guī)套現(xiàn)、側(cè)錄、買賣或租借銀行賬

戶、第三方軟件漏洞登錄等。

A.3.2事前風險預(yù)防

組織應(yīng)參與產(chǎn)品風險評估，包括了解產(chǎn)品的設(shè)計、運營模式、資金流向等產(chǎn)品相關(guān)信息。針對產(chǎn)品

設(shè)計功能各個環(huán)節(jié)可能存在的風險點提出風險防控措施并設(shè)置相應(yīng)的風控埋點。包括但不限于產(chǎn)品交易

限額、行業(yè)范圍、業(yè)務(wù)規(guī)則及風控規(guī)則的設(shè)置。

A.3.3交易風險監(jiān)測

A.3.3.1基于交易過程中可能存在的欺詐風險，組織應(yīng)建立實時交易監(jiān)測系統(tǒng)，及時阻斷高風險交易。

A.3.3.2并針對交易中新出現(xiàn)的各種釣魚鏈接、木馬病毒、預(yù)留手機被更改、非本人用卡、騙貸等不

同風險類型時，不斷更新風控模型和風險規(guī)則。

A.3.3.3實時風險交易監(jiān)測中可根據(jù)用戶交易信息，環(huán)境信息，身份信息，操作信息等維度進行綜合

判斷，并配套進行策略輸出，不限于直接阻斷高風險交易、二次驗證、關(guān)聯(lián)錄黑等。

A.3.4交易風險審理

組織應(yīng)建立完善的人工審核機制和賠付制度?？刹扇∫韵麓胧?/p>

a)對交易監(jiān)測系統(tǒng)偵測出的風險可疑交易進行人工審核，若存在交易欺詐風險，致電持卡人告知

其銀行卡存在異常交易情況，并對持卡人進行安全教育，建議持卡人查詢銀行賬戶資金情況；

b)如非本人操作且存在資損情況，建議持卡人緊急掛失銀行卡并盡快報案；

c)在盜卡處理流程中，應(yīng)積極協(xié)調(diào)特約商戶緊急攔截資金或追蹤物流情況；

d)對于未收貨或者未發(fā)貨的支付單進行及時止損；

e)對于未出票等情況取消訂單操作。

A.4名單管理標準

組織應(yīng)根據(jù)實際工作需要，建立各類風控名單庫，如用戶黑名單、用戶灰名單、白名單、商戶黑名

單、規(guī)則免疫名單等。各類名單應(yīng)用原則如下：

11

T/ZAIF1001—2020

a)用戶黑名單：有效期內(nèi)拒接用戶發(fā)起交易并將存在關(guān)聯(lián)關(guān)系的用戶名單自動錄入用戶黑名單庫

中；

b)用戶灰名單：有效期內(nèi)拒接交易，有效期較短；

c)白名單：僅限于商戶測試人員及公司內(nèi)部測試人員使用，禁止正常用戶配置；

d)商戶黑名單：應(yīng)用于商戶準入及上線環(huán)節(jié)，如命中商戶黑名單則會進行預(yù)警提示；

e)規(guī)則免疫名單：針對正常交易用戶被誤攔截情況下可進行規(guī)則免疫配置。

A.5外部機構(gòu)合作標準

A.5.1支付清算協(xié)會

A.5.1.1接入支付清算綜合服務(wù)平臺，及時報送風險商戶及風險用戶信息，實現(xiàn)風險數(shù)據(jù)共享，強化

各支付機構(gòu)之間的風險聯(lián)防。

A.5.1.2接入商戶信息報送系統(tǒng)，定期報送特約商戶發(fā)展情況，不限于新增、變更、刪除等。

A.5.1.3積極參與支付清算協(xié)會組織的各個課題研究。

A.5.2反欺詐中心

A.5.2.1對接人民銀行電信反欺詐管理平臺，根據(jù)公安、反欺詐中心等工作人員在對應(yīng)字段錄入的信

息，由系統(tǒng)自動提取并反饋相關(guān)訂單信息。針對調(diào)取失敗的任務(wù)，由人工介入進行排查。如發(fā)現(xiàn)存在關(guān)

聯(lián)商戶則采取相應(yīng)管控措施，包括但不限于暫停合作、終止合作、凍結(jié)資金等。

A.5.2.2積極配合公安及全國各地反欺詐中心工作，共同打擊電信網(wǎng)絡(luò)違法犯罪活動。

A.6宣傳培訓(xùn)

A.6.1通過官網(wǎng)或微信公眾號等方式分享風險事件案例，提升商戶及用戶的風險意識。

A.6.2定期對相關(guān)部門進行反欺詐知識培訓(xùn)。

A.6.3定期或者不定期對商戶及用戶進行安全教育。

12

T/ZAIF1001—2020

BB

附錄B

（規(guī)范性附錄）

系統(tǒng)安全加固設(shè)計參考指南

B.1物理和環(huán)境安全

B.1.1基礎(chǔ)設(shè)施安全

基礎(chǔ)設(shè)施安全應(yīng)符合以下要求：

a)組織的數(shù)據(jù)中心場地應(yīng)選擇在具有防震、防風和防雨等能力的建筑內(nèi)；

b)組織的數(shù)據(jù)中心場地應(yīng)避免設(shè)在建筑物的頂層或地下室，否則應(yīng)加強防水和防潮措施；

c)組織應(yīng)將主要設(shè)備放置在數(shù)據(jù)中心內(nèi)；

d)應(yīng)對數(shù)據(jù)中心內(nèi)的設(shè)備或主要部件進行固定，并設(shè)置明顯的不易除去的標記；

e)數(shù)據(jù)中心內(nèi)的通訊線纜應(yīng)鋪設(shè)在隱蔽安全處；

f)數(shù)據(jù)中心內(nèi)的各類機柜、設(shè)施和設(shè)備等應(yīng)通過接地系統(tǒng)安全接地；

g)數(shù)據(jù)中心建筑應(yīng)設(shè)置避雷裝置；

h)應(yīng)設(shè)置防雷保護器或過壓保護裝置等措施防止感應(yīng)雷；

i)應(yīng)設(shè)置自動消防系統(tǒng)，能夠自動檢測火情、自動報警，并自動滅火；

j)數(shù)據(jù)中心內(nèi)的相關(guān)建筑材料應(yīng)使用耐火等級材料；

k)數(shù)據(jù)中心內(nèi)應(yīng)采取措施防止雨水、地下積水等滲透；

l)數(shù)據(jù)中心內(nèi)應(yīng)配備有防水檢測和自動報警設(shè)備；

m)數(shù)據(jù)中心內(nèi)應(yīng)安裝防靜電地板并采取防靜電產(chǎn)生的措施，如采用靜電消除器；

n)數(shù)據(jù)中心內(nèi)應(yīng)設(shè)置溫、濕度自動調(diào)節(jié)設(shè)置，確保內(nèi)部溫濕度在設(shè)備運行所允許的范圍內(nèi)；

o)應(yīng)在數(shù)據(jù)中心供電線路上配置穩(wěn)壓器和過電壓防護設(shè)備；

p)數(shù)據(jù)中心內(nèi)應(yīng)提供短期的備用電力供應(yīng)，至少確保在斷電情況下，不影響業(yè)務(wù)正常運行；

q)應(yīng)設(shè)置冗余或并行的電力電纜線路為計算機系統(tǒng)供電；

r)應(yīng)建立備用供電系統(tǒng)；

s)應(yīng)采用接地方式防止外界電磁干擾和設(shè)備寄生耦合干擾，關(guān)鍵設(shè)備應(yīng)實施電磁屏蔽。

B.1.2物理訪問控制

物理訪問控制要求應(yīng)包括：

a)數(shù)據(jù)中心出入口應(yīng)安排專人值守并配置電子門禁系統(tǒng)，控制、鑒別和記錄進出的人員；

b)應(yīng)確保數(shù)據(jù)中心電子門禁系統(tǒng)記錄存儲時間不低于三個月；

c)來訪人員進入數(shù)據(jù)中心應(yīng)經(jīng)過申請和審批，并限制和監(jiān)控來訪人員的活動范圍；

d)宜對機房劃分區(qū)域進行管理，區(qū)域和區(qū)域之間設(shè)置物理隔離裝置，在重要區(qū)域前設(shè)置交付或安

裝等過渡區(qū)域；

e)重要區(qū)域宜配置第二道電子門禁系統(tǒng)，控制、鑒別和記錄進出的人員；

f)數(shù)據(jù)中心應(yīng)設(shè)置防盜報警系統(tǒng)或設(shè)置有專人值守的視頻監(jiān)控系統(tǒng)；

g)應(yīng)確保數(shù)據(jù)中心監(jiān)控記錄存儲時間不低于三個月。

B.2網(wǎng)絡(luò)和通信安全

13

T/ZAIF1001—2020

B.2.1網(wǎng)絡(luò)架構(gòu)

網(wǎng)絡(luò)架構(gòu)應(yīng)符合以下要求：

a)應(yīng)確保組織內(nèi)的網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力具備冗余空間，滿足業(yè)務(wù)高峰期需要；

b)應(yīng)確保組織內(nèi)網(wǎng)絡(luò)各個部分的帶寬可以滿足業(yè)務(wù)高峰期需要；

c)應(yīng)劃分不同的網(wǎng)絡(luò)區(qū)域，并避免將重要網(wǎng)絡(luò)區(qū)域部署在邊界處且直接連接外部信息系統(tǒng)；

d)重要網(wǎng)絡(luò)區(qū)域與其他網(wǎng)絡(luò)區(qū)域之間應(yīng)采取可靠的技術(shù)隔離手段；

e)應(yīng)提供通信線路、關(guān)鍵網(wǎng)絡(luò)設(shè)備的硬件冗余，保證系統(tǒng)的可用性；

f)應(yīng)繪制與當前運行情況相符的網(wǎng)絡(luò)拓撲結(jié)構(gòu)圖；

g)按照對業(yè)務(wù)服務(wù)的重要次序來指定帶寬分配優(yōu)先級別，保證在網(wǎng)絡(luò)發(fā)生擁堵的時候優(yōu)先保護重

要主機。

B.2.2通信傳輸

通信傳輸應(yīng)符合以下要求：

a)應(yīng)采取措施確保通信過程中數(shù)據(jù)傳輸?shù)耐暾裕?/p>

b)應(yīng)采取密碼技術(shù)確保通信過程中數(shù)據(jù)傳輸?shù)谋Ｃ苄浴?/p>

B.2.3訪問控制

訪問控制應(yīng)符合以下要求：

a)應(yīng)在網(wǎng)絡(luò)邊界或區(qū)域間根據(jù)訪問控制策略以及最小化、默認拒絕原則設(shè)置訪問控制規(guī)則；

b)應(yīng)在業(yè)務(wù)終端與業(yè)務(wù)服務(wù)器之間進行路由控制，建立安全的訪問路徑；

c)應(yīng)限制非授權(quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)；

d)應(yīng)限制內(nèi)部用戶非授權(quán)聯(lián)到外部網(wǎng)絡(luò)；

e)應(yīng)對源地址、目的地址、源端口、目的端口和協(xié)議等進行檢查，以允許/拒絕數(shù)據(jù)包進出；

f)應(yīng)能根據(jù)會話狀態(tài)信息為數(shù)據(jù)流提供明確的允許/拒絕訪問的能力，控制粒度為端口級；

g)應(yīng)定期復(fù)核訪問控制規(guī)則，刪除多余或無效的訪問控制規(guī)則，優(yōu)化訪問控制列表；

h)應(yīng)對進出網(wǎng)絡(luò)的數(shù)據(jù)流實現(xiàn)基于應(yīng)用協(xié)議和應(yīng)用內(nèi)容的訪問控制；

i)主要網(wǎng)絡(luò)設(shè)備應(yīng)采用兩種或兩種以上組合的鑒別技術(shù)對用戶進行身份鑒別，且其中一種鑒別技

術(shù)至少應(yīng)使用動態(tài)口令、密碼技術(shù)或生物技術(shù)來實現(xiàn)。

B.2.4安全防范

安全規(guī)范應(yīng)包括：

a)應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點處檢測、防止或限制從內(nèi)部或外部發(fā)起的網(wǎng)絡(luò)攻擊行為；

b)應(yīng)能對非授權(quán)設(shè)備私自連接到內(nèi)部網(wǎng)絡(luò)的行為進行檢查，并對其進行有效阻斷；

c)應(yīng)能對內(nèi)部網(wǎng)絡(luò)用戶私自連接到外部網(wǎng)絡(luò)的行為進行檢查，并對其進行有效阻斷；

d)應(yīng)限制無線網(wǎng)絡(luò)的使用，確保無線網(wǎng)絡(luò)通過受控的邊界防護設(shè)備接入內(nèi)部網(wǎng)絡(luò)；

e)應(yīng)采取措施對網(wǎng)絡(luò)行為進行分析，實現(xiàn)對網(wǎng)絡(luò)攻擊行為的分析；

f)應(yīng)對檢測到的攻擊行為進行詳細記錄和分析，并提供告警機制；

g)應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點處對惡意代碼進行檢測和清除，并定期維護；

h)應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點處對垃圾郵件進行檢測和防護，并定期維護；

i)應(yīng)定時更新升級惡意代碼庫及檢測系統(tǒng)；

j)對非法外聯(lián)和非法接入行為進行檢測并阻斷的同時，應(yīng)以報警方式通知管理員；

14

T/ZAIF1001—2020

k)應(yīng)在系統(tǒng)網(wǎng)絡(luò)中監(jiān)視以下攻擊行為：端口掃描、強力攻擊、木馬后門攻擊、拒絕服務(wù)攻擊、緩

沖區(qū)溢出攻擊、IP碎片攻擊和網(wǎng)絡(luò)蠕蟲攻擊等。

l)當檢測到攻擊行為時，記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時間，在發(fā)生嚴重入侵事

件時應(yīng)報警并自動采取相應(yīng)措施。

B.2.5安全審計

安全審計應(yīng)符合以下要求：

a)應(yīng)對網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備運行狀況、網(wǎng)絡(luò)流量、用戶行為和重要安全事件等進行日志記錄；

b)應(yīng)確保記錄的留存時間符合法律法規(guī)要求；

c)應(yīng)對日志記錄進行保護，避免受到未預(yù)期的刪除、修改或覆蓋等；

d)應(yīng)對網(wǎng)絡(luò)日志進行審計，對其進行統(tǒng)計、查詢、分析；

e)應(yīng)在網(wǎng)絡(luò)邊界、重要網(wǎng)絡(luò)節(jié)點進行安全審計，尤其關(guān)注重要的用戶行為和安全事件；

f)審計記錄應(yīng)詳盡，確保包括事件的日期和時間、用戶、事件類型、事件結(jié)果、影響等信息；

g)應(yīng)對審計記錄進行保護，定期備份；

h)應(yīng)對特殊權(quán)限行為進行單獨審計，如遠程訪問的用戶行為、訪問互聯(lián)網(wǎng)的用戶行為等；

i)應(yīng)具備自動化審計工具，可自動進行統(tǒng)計、查詢、分析及生成審計報表的功能；

j)應(yīng)根據(jù)系統(tǒng)統(tǒng)一的安全策略，實現(xiàn)集中審計。

B.3設(shè)備和計算安全

B.3.1身份鑒別

身份鑒別應(yīng)包括：

a)應(yīng)對登錄的用戶進行身份標識和鑒別，身份標識應(yīng)確保唯一性，身份鑒別信息具有復(fù)雜度要求

且定期更換；

b)應(yīng)具有失敗登錄處理功能，設(shè)置限制非法登錄次數(shù)、超時自動退出等措施；

c)應(yīng)對遠程管理的行為采取保護措施，確保鑒別信息在網(wǎng)絡(luò)傳輸中的安全性；

d)主要網(wǎng)絡(luò)設(shè)備應(yīng)采用兩種或兩種以上組合的鑒別技術(shù)對用戶進行身份鑒別，且其中一種鑒別技

術(shù)至少應(yīng)使用動態(tài)口令、密碼技術(shù)或生物技術(shù)來實現(xiàn)。

B.3.2訪問控制

訪問控制要求如下：

a)應(yīng)對登錄的用戶分配賬戶和權(quán)限；

b)應(yīng)重命名或刪除默認賬戶，修改默認賬戶的默認口令；

c)應(yīng)及時刪除或停用多余的、過期的賬戶；

d)應(yīng)進行角色劃分，并遵循最小化按需授權(quán)原則對角色授權(quán)，確保權(quán)限分離；

e)應(yīng)定期復(fù)核訪問控制策略，確保策略的安全性和有效性。

B.3.3資源控制

資源控制應(yīng)符合以下要求：

a)應(yīng)限制單個用戶或進程對系統(tǒng)資源的最大使用限度；

b)應(yīng)對登錄設(shè)備的源地址進行限制；

c)應(yīng)提供重要節(jié)點設(shè)備的硬件冗余，保證系統(tǒng)的可用性；

15

T/ZAIF1001—2020

d)應(yīng)對重要節(jié)點進行監(jiān)視，包括APU、硬盤、內(nèi)存等資源的使用情況；

e)應(yīng)對重要節(jié)點的服務(wù)水平進行監(jiān)測，并提供告警機制。

B.3.4安全防范

安全防范應(yīng)符合以下要求：

a)應(yīng)遵循最小化安裝的原則，僅安裝需要的組件和應(yīng)用程序；

b)應(yīng)關(guān)閉不需要的系統(tǒng)服務(wù)和端口；

c)應(yīng)對漏洞進行檢測，并在充分測試評估后，及時修補漏洞；

d)應(yīng)對入侵行為進行檢測，提供告警機制并詳細記錄分析；

e)身份鑒別信息應(yīng)具有不易被冒用的特點，口令應(yīng)有復(fù)雜度要求并定期更換；

f)應(yīng)能對系統(tǒng)程序、應(yīng)用程序和重要配置文件/參數(shù)進行可信執(zhí)行驗證，并在檢測到其完整性受

到破壞時采取恢復(fù)措施；

g)應(yīng)提供自動恢復(fù)功能，當故障發(fā)生時恢復(fù)原來的工作狀態(tài)，如自動啟動新的進程。

B.3.5安全審計

安全審計應(yīng)包括：

a)應(yīng)啟用安全審計功能，尤其關(guān)注重要的用戶行為和安全事件；

b)審計記錄應(yīng)詳盡，確保包括事件的日期和時間、用戶、事件類型、事件結(jié)果、影響等信息；

c)應(yīng)對審計記錄進行保護，定期備份；

d)應(yīng)能根據(jù)信息系統(tǒng)的統(tǒng)一安全策略，實現(xiàn)集中審計；

e)應(yīng)保護審計進程，避免受到未預(yù)期的中斷。

B.4應(yīng)用和數(shù)據(jù)安全

B.4.1身份鑒別

身份鑒別應(yīng)包括：

a)應(yīng)對登錄的用戶進行身份標識和鑒別，身份標識應(yīng)確保唯一性，身份鑒別信息具有復(fù)雜度要求

且定期更換；

b)應(yīng)具有失敗登錄處理功能，設(shè)置限制非法登錄次數(shù)、超時自動退出等措施；

c)應(yīng)強制用戶首次登陸時修改初始口令；

d)用戶身份鑒別信息丟失或失效時，應(yīng)采用技術(shù)措施保證鑒別信息重置過程的安全；

e)應(yīng)設(shè)置鑒別警示信息，描述未授權(quán)訪問可能導(dǎo)致的后果；

f)主要應(yīng)用應(yīng)采用兩種或兩種以上組合的鑒別技術(shù)對用戶進行身份鑒別，且其中一種鑒別技術(shù)至

少應(yīng)使用動態(tài)口令、密碼技術(shù)或生物技術(shù)來實現(xiàn)；

B.4.2訪問控制

訪問控制要求如下：

a)應(yīng)提供訪問控制功能，對登錄的用戶分配賬戶和權(quán)限；

b)應(yīng)重命名或刪除默認賬戶，修改默認賬戶的默認口令；

c)應(yīng)及時刪除或停用多余的、過期的賬戶；

d)應(yīng)進行角色劃分，并遵循最小化按需授權(quán)原則對角色授權(quán)，確保權(quán)限分離；

e)應(yīng)定期復(fù)核訪問控制策略，確保策略的安全性和有效性

16

T/ZAIF1001—2020

B.4.3資源控制

資源控制應(yīng)符合以下要求：

a)當通信雙方中的一方在一段時間內(nèi)未作出任何響應(yīng)，另一方應(yīng)能夠自動結(jié)束會話；

b)應(yīng)能夠?qū)ο到y(tǒng)的最大并發(fā)會話連接數(shù)進行限制；

c)應(yīng)能夠?qū)蝹€賬戶的多重并發(fā)會話進行限制。

B.4.4安全防范

安全防范應(yīng)符合以下要求：

a)應(yīng)在故障發(fā)生時，能繼續(xù)提供一部分功能，保證能夠?qū)嵤┍匾拇胧?/p>

b)應(yīng)對應(yīng)用漏洞進行檢測，并在充分測試評估后，及時修補漏洞；

c)應(yīng)采用相關(guān)措施確保數(shù)據(jù)在傳輸過程和存儲過程中的完整性；

d)應(yīng)采用相關(guān)措施確保數(shù)據(jù)咋傳輸過程和存儲過程中的保密性；

e)應(yīng)提供自動保護功能，當故障發(fā)生時自動保護當前所有狀態(tài)，保證系統(tǒng)能夠進行恢復(fù)；

f)應(yīng)提供重要數(shù)據(jù)的本地數(shù)據(jù)備份與恢復(fù)功能；

g)應(yīng)提供重要數(shù)據(jù)異地實時備份功能；

h)應(yīng)提供重要數(shù)據(jù)處理系統(tǒng)的熱冗余，保證系統(tǒng)的高可用性；

i)應(yīng)確保存有敏感數(shù)據(jù)、鑒別信息的存儲空間被釋放或重新分配前得到完全清除；

j)應(yīng)確保僅采集和保存業(yè)務(wù)必須的用戶信息，且禁止未授權(quán)訪問和非法使用用戶信息；

k)應(yīng)能對系統(tǒng)程序、應(yīng)用程序和重要配置文件/參數(shù)進行可信執(zhí)行驗證，并在檢測到其完整性受

到破壞時采取恢復(fù)措施；

l)應(yīng)提供自動恢復(fù)功能，當故障發(fā)生時恢復(fù)原來的工作狀態(tài)，如自動啟動新的進程；

m)應(yīng)具有在請求的情況下為數(shù)據(jù)原發(fā)者或接收者提供數(shù)據(jù)原發(fā)證據(jù)的功能；

n)應(yīng)對數(shù)據(jù)原發(fā)行為和數(shù)據(jù)接收行為進行數(shù)字簽名，數(shù)字簽名應(yīng)優(yōu)先使用SM系列算法，并符合

GM/T0054—2018的相關(guān)規(guī)定

B.4.5安全審計

安全審計應(yīng)包括：

a)應(yīng)啟用安全審計功能，尤其關(guān)注重要的用戶行為和安全事件；

b)審計記錄應(yīng)詳盡，確保包括事件的日期和時間、用戶、事件類型、事件結(jié)果、影響等信息；

c)應(yīng)對審計記錄進行保護，定期備份；

d)應(yīng)能根據(jù)信息系統(tǒng)的統(tǒng)一安全策略，實現(xiàn)集中審計；

e)應(yīng)保護審計進程，避免受到未預(yù)期的中斷。

B.5安全策略和管理制度

B.5.1安全策略

應(yīng)制定組織內(nèi)信息安全的總體方針和安全策略。

B.5.2管理制度

應(yīng)建立安全管理制度，符合以下要求：

a)應(yīng)對安全管理活動中的各類管理活動建立安全管理制度；

b)應(yīng)對形成由安全策略、管理制度、操作規(guī)程、記錄表單等構(gòu)成的全面的信息安全管理制度體系；

17

T/ZAIF1001—2020

c)應(yīng)定期對安全管理制度的合理性和適用性進行評審，及時修訂；

d)數(shù)據(jù)中心中的開發(fā)、測試和運行設(shè)施應(yīng)分離，以降低未授權(quán)訪問或改變運行系統(tǒng)的風險；

e)應(yīng)制定支付標記化安全管理制度，明確不得留存賬戶敏感信息；

f)存儲Token時，應(yīng)對Token實施有效的安全保護。

B.6人員安全

B.6.1人員錄用

人員錄用時，應(yīng)符合以下要求：

a)應(yīng)對被錄用人員進行背景調(diào)查；

b)應(yīng)與被錄用人員簽署保密協(xié)議。

B.6.2人員離崗

人員離崗時，應(yīng)符合以下要求：

a)應(yīng)及時終止離崗人員的所有訪問權(quán)限，取回公司設(shè)備；

b)應(yīng)辦理嚴格的調(diào)離手續(xù)，并確保離崗人員承諾調(diào)離后的保密義務(wù)。

B.6.3安全意識教育和培訓(xùn)

應(yīng)對人員進行安全意識教育和培訓(xùn)，具體要求如下：

a)應(yīng)對組織內(nèi)各類人員進行安全意識教育和崗位技能培訓(xùn)，并告知相關(guān)的安全責任和懲戒措施；

b)應(yīng)針對不同崗位人員制定不同的培訓(xùn)計劃，并定期進行人員安全意識和崗位技能考核。

B.6.4訪客管理

訪客管理應(yīng)包括：

a)訪客在物理訪問受控區(qū)域前應(yīng)經(jīng)過申請并登記，批準后由組織內(nèi)部專人全程陪同；

b)訪客接入受控網(wǎng)絡(luò)前應(yīng)先經(jīng)過書面的申請審批以后，由專人協(xié)助創(chuàng)建最小化權(quán)限的獨立賬戶，

并登記備案；

c)訪客離場時應(yīng)及時清除其所有的訪問權(quán)限，回收設(shè)備；

d)獲得系統(tǒng)訪問授權(quán)的外部訪客應(yīng)簽署保密協(xié)議。

18

T/ZAIF1001—2020

CC

附錄C

（規(guī)范性附錄）

互聯(lián)網(wǎng)金融組織洗錢風險管理指南

C.1概述

C.1.1《法人金融機構(gòu)洗錢和恐怖融資風險管理指引（試行）》要求法人金融機構(gòu)高度重視洗錢、恐怖

融資和擴散融資風險（統(tǒng)稱反洗錢風險）管理，任何相關(guān)事件發(fā)生都可能導(dǎo)致聲譽風險和法律風險。

C.1.2洗錢風險管理體系包括風險管理架構(gòu)、風險管理策略、風險管理政策和程序、信息系統(tǒng)與數(shù)據(jù)

治理等，涉及客戶身份識別與記錄保存、風險評估、交易監(jiān)測與報告、后續(xù)控制措施等。

C.1.3反洗錢工作人員來自中行、花旗、平安、廣發(fā)等機構(gòu)，核心成員平均反洗錢工作年限達到8年以

上，擁有豐富的反洗錢實操經(jīng)驗。

C.1.4反洗錢工作是互聯(lián)網(wǎng)金融行業(yè)從業(yè)人員的必學(xué)必備知識和監(jiān)管要求，反洗錢標準主要讓業(yè)內(nèi)人

員認識和了解反洗錢基本術(shù)語和基本反洗錢要求，同時指導(dǎo)構(gòu)建洗錢風險管理體系。

C.2組織管理要求

C.2.1組織架構(gòu)

C.2.1.1基本要求

組織應(yīng)當建立組織健全、結(jié)構(gòu)完整、職責明確的洗錢風險管理架構(gòu)，規(guī)范董事會、監(jiān)事會、高級管

理層、業(yè)務(wù)部門、反洗錢管理部門、內(nèi)部審計部門、人力資源部門、信息科技部門、境內(nèi)外分支機構(gòu)和

相關(guān)附屬機構(gòu)在洗錢風險管理中的職責分工，建立層次清晰、相互協(xié)調(diào)、有效配合的運行機制。

C.2.1.2反洗錢工作領(lǐng)導(dǎo)小組

組織應(yīng)當依據(jù)國家和中國人民銀行制定的反洗錢相關(guān)法律規(guī)章，建立董事會負責下的反洗錢工作領(lǐng)

導(dǎo)小組。領(lǐng)導(dǎo)小組設(shè)組長及副組長。組長由本組織首席執(zhí)行官擔任，副組長由本組織分管反洗錢工作的

副總裁擔任；領(lǐng)導(dǎo)小組成員由與反洗錢工作相關(guān)的業(yè)務(wù)、內(nèi)部審計、人力資源、信息科技等部門的負責

人組成；領(lǐng)導(dǎo)小組下設(shè)辦公室，由反洗錢管理部門承擔。

C.2.1.3反洗錢崗位

組織反洗錢資源配置應(yīng)當與其業(yè)務(wù)發(fā)展相匹配，配備充足的洗錢風險管理人員，其中:反洗錢管理

部門應(yīng)當配備專職洗錢風險管理崗位（反洗錢崗位）人員，業(yè)務(wù)部門、境內(nèi)外分支機構(gòu)及相關(guān)附屬機構(gòu)

應(yīng)當根據(jù)業(yè)務(wù)實際和洗錢風險狀況配備專職或兼職洗錢風險管理崗位（反洗錢崗位）人員。

C.2.2組織架構(gòu)說明和職責

C.2.2.1董事會承擔洗錢風險管理的最終責任，主要履行以下職責:

a)確立洗錢風險管理文化建設(shè)目標；

b)審定洗錢風險管理策略；

c)審批洗錢風險管理的政策和程序；

d)授權(quán)高級管理人員牽頭負責洗錢風險管理；

19

T/ZAIF1001—2020

e)定期審閱反洗錢工作報告，及時了解重大洗錢風險事件及處理情況；

f)其他相關(guān)職責。

C.2.2.2監(jiān)事會承擔洗錢風險管理的監(jiān)督責任，負責監(jiān)督董事會和高級管理層在洗錢風險管理方面的

履職盡責情況并督促整改，對本機構(gòu)的洗錢風險管理提出建議和意見。

C.2.2.3高級管理層承擔洗錢風險管理的實施責任，執(zhí)行董事會決議，主要履行以下職責:

a)推動洗錢風險管理文化建設(shè)；

b)建立并及時調(diào)整洗錢風險管理組織架構(gòu)，明確反洗錢管理部門、業(yè)務(wù)部門及其他部門在洗錢風

險管理中的職責分工和協(xié)調(diào)機制；

c)制定、調(diào)整洗錢風險管理策略及其執(zhí)行機制；

d)審核洗錢風險管理政策和程序；

e)定期向董事會報告反洗錢工作情況，及時向董事會和監(jiān)事會報告重大洗錢風險事件；

f)組織落實反洗錢信息系統(tǒng)和數(shù)據(jù)治理；

g)組織落實反洗錢績效考核和獎懲機制；

h)根據(jù)董事會授權(quán)對違反洗錢風險管理政策和程序的情況進行處理；

i)其他相關(guān)職責。

C.2.2.4反洗錢工作領(lǐng)導(dǎo)小組將涉及反洗錢工作的各部門納入領(lǐng)導(dǎo)小組的范疇。定義反洗錢領(lǐng)導(dǎo)小組

及其成員部門的工作職責、議事規(guī)程和管理機制。充分發(fā)揮反洗錢工作領(lǐng)導(dǎo)小組作為反洗錢職能部門與

各部門之間為完成反洗錢內(nèi)控機制、反洗錢風控措施進行有效溝通的平臺和紐帶作用。

C.3洗錢風險管理原則

C.3.1全面性原則

洗錢風險管理應(yīng)當貫穿決策、執(zhí)行和監(jiān)督的全過程；覆蓋各項業(yè)務(wù)活動和管理流程；覆蓋所有境內(nèi)

外分支機構(gòu)及相關(guān)附屬機構(gòu)，以及相關(guān)部門、崗位和人員。

C.3.2獨立性原則

洗錢風險管理應(yīng)當在組織架構(gòu)、制度、流程、人員安排、報告路線等方面保持獨立性，對業(yè)務(wù)經(jīng)營

和管理決策保持合理制衡。

C.3.3匹配性原則

洗錢風險管理資源投入應(yīng)當與所處行業(yè)風險特征、管理模式、業(yè)務(wù)規(guī)模、產(chǎn)品復(fù)雜程度等因素相適

應(yīng)，并根據(jù)情況變化及時調(diào)整。

C.3.4有效性原則

洗錢風險管理應(yīng)當融入日常業(yè)務(wù)和經(jīng)營管理，根據(jù)實際風險情況采取有針對性的控制措施，將洗錢

風險控制在自身風險管理能力范圍內(nèi)。

C.4洗錢風險管理策略

C.4.1基本要求

20

T/ZAIF1001—2020

組織應(yīng)當按照風險為本的方法制定科學(xué)、清晰、可行的洗錢風險管理策略，完善相關(guān)制度和工作機

制，合理配置、統(tǒng)籌安排人員、資金、系統(tǒng)等反洗錢資源，定期評估其有效性，并根據(jù)洗錢風險狀況及

市場變化及時進行調(diào)整。

C.4.2主要內(nèi)容

組織制定的洗錢風險管理策略，包括但不限于以下內(nèi)容：

a)客戶身份識別；

b)名單篩查；

c)洗錢風險評估；

d)反洗錢調(diào)查；

e)可疑交易報告；

f)客戶資料和交易記錄保存；

g)保密措施；

h)共享機制；

i)應(yīng)急計劃；

j)涉及恐怖活動資產(chǎn)凍結(jié)管理；

k)信息系統(tǒng)和數(shù)據(jù)治理。

C.4.3客戶身份識別

C.4.3.1客戶信息

遵循“了解你的客戶”原則，針對具有不同洗錢或者恐怖融資風險特征的客戶、業(yè)務(wù)或者交易采取相

應(yīng)的合理措施，了解客戶建立、維持業(yè)務(wù)關(guān)系的目的及交易性質(zhì)。收集、識別、核驗和留存客戶信息：

a)要求客戶提供符合法律規(guī)定或本機構(gòu)所要求的完整、合法的客戶身份資料，并通過合理手段核

對客戶基本信息的真實性；

b)根據(jù)洗錢風險評估要求，了解客戶基本信息、業(yè)務(wù)關(guān)系、客戶產(chǎn)品和服務(wù)的用途、資金來源、

資金用途和經(jīng)營狀況等信息；

c)對于提供的資料不完整、不真實或失效的客戶，拒絕與其建立業(yè)務(wù)關(guān)系。

C.4.3.2受益所有人

加強對非自然人客戶的身份識別，提高受益所有人信息透明度，防范復(fù)雜股權(quán)或者控制權(quán)結(jié)構(gòu)導(dǎo)致

的洗錢和恐怖融資風險。

C.4.3.3禁止合作

有以下情形之一的，禁止與其建立或維持業(yè)務(wù)關(guān)系：

a)客戶屬于國家法律法規(guī)或本機構(gòu)禁止準入的行業(yè)；

b)客戶或客戶的股東、實際控制人、受益所有人或者相關(guān)聯(lián)的人員，被列入政府機構(gòu)或國際組織，

如中國公安部、中國人民銀行、海外資產(chǎn)控制辦公室（OFAC）等發(fā)布的，或我國承認的應(yīng)實施

反洗錢監(jiān)控措施的名單，且相關(guān)名單在本機構(gòu)或監(jiān)管禁止提供賬戶服務(wù)、禁止交易之列；

c)要求開立匿名賬戶或假名賬戶的；

d)無法進行客戶身份識別工作的；

e)經(jīng)評估超過本機構(gòu)風險管理能力的；

f)其他違法準入標準的情況。

21

T/ZAIF1001—2020

C.4.4名單篩選

以下情況會觸發(fā)名單篩查：

a)與客戶建立業(yè)務(wù)關(guān)系時，對客戶及相關(guān)人員（如法定代表人、控股股東、實際控制人、受益所

有人）開展名單篩查；

b)交易發(fā)生時，對客戶及其交易對手開展名單篩查；

c)名單變更時，對所有客戶以及交易開展回溯性篩查；

d)客戶身份信息變更時，對該客戶開展名單篩查；

e)本機構(gòu)認為應(yīng)重新進行名單篩查的其他情形。

C.4.5洗錢風險評估

C.4.5.1機構(gòu)洗錢風險評估

C.4.5.1.1按照全面性、獨立性、匹配性及有效性原則，從國家/地域、客戶及業(yè)務(wù)（含產(chǎn)品、服務(wù)）

等維度綜合考慮，確立風險因素，設(shè)置風險評估指標，開展機構(gòu)洗錢風險評估。

C.4.5.1.2國家/地域風險因素應(yīng)當考慮：

a)在高風險國家（地區(qū)）設(shè)立境外分支機構(gòu)情況；

b)交易對手或?qū)Ψ浇鹑跈C構(gòu)涉及高風險國家（地區(qū)）情況；

c)境外分支機構(gòu)數(shù)量及地域分布情況；

d)高風險國家（地區(qū)）經(jīng)營收入占比等。

C.4.5.1.3客戶風險因素應(yīng)當考慮：

a)非居民客戶數(shù)量占比；

b)離岸客戶數(shù)量占比；

c)政治公眾人物客戶數(shù)量占比；

d)使用不可核查證件開戶客戶數(shù)量占比；

e)職業(yè)不明確客戶數(shù)量占比；

f)高風險職業(yè)（行業(yè)）客戶數(shù)量占比；

g)由第三方代理建立業(yè)務(wù)關(guān)系客戶數(shù)量占比；

h)來自高風險國家（地區(qū)）的客戶情況；

i)被國家機關(guān)調(diào)查的客戶情況等。

C.4.5.1.4業(yè)務(wù)（含產(chǎn)品、服務(wù)）風險因素應(yīng)當考慮：

a)非面對面交易情況；

b)跨境交易情況；

c)代理交易情況；

d)公轉(zhuǎn)私交易情況；

e)特約商戶業(yè)務(wù)情況；

f)一次性交易情況；

g)通道類資產(chǎn)管理業(yè)務(wù)情況等。

C.4.5.2產(chǎn)品洗錢風險評估

按照全面覆蓋、風險為本及動態(tài)調(diào)整的原則，根據(jù)產(chǎn)品屬性