搜索结果: JR/T 0200-2020, JR/T0200-2020, JRT 0200-2020, JRT0200-2020
| 标准编号 | JR/T 0200-2020 (JR/T0200-2020) | | 中文名称 | 金融科技创新风险监控规范 | | 英文名称 | (Financial technology innovation risk monitoring regulations) | | 行业 | 金融行业标准 (推荐) | | 中标分类 | A11 | | 字数估计 | 27,298 | | 发布日期 | 2020-10-21 | | 实施日期 | 2020-10-21 | | 标准依据 | 全国金融标准化技术委员会通知(2020.10.21) | | 发布机构 | 中国人民银行 | JR/T 0200-2020: 金融科技创新风险监控规范
JR/T 0200-2020 英文名称: (Financial technology innovation risk monitoring regulations)
中 华 人 民 共 和 国 金 融 行 业 标 准
金融科技创新风险监控规范
中国人民银行 发 布
1 范围
本文件规定了金融科技创新应用风险监控的要求,包括监控框架、流程、实施等方面。
本文件适用于从事金融服务创新的持牌金融机构和从事相关业务系统、算力存储、算法模型等科
技产品研发的科技公司,也适用于相关安全评估机构、风险监测机构、自律组织等。
2 规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文
件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适
用于本文件。
JR/T 0193-2020 区块链技术金融应用 评估规则
3 术语和定义
下列术语和定义适用于本文件。
5.1 概述
金融科技创新风险监控主要通过对金融科技创新应用等进行数据采集、关联分析,识别发现可能
存在的安全事件和风险并进行展示和预警,掌握金融科技应用风险态势,保证金融科技应用安全稳定
运行,保护消费者合法权益。金融科技创新风险监控框架见图1。
图 1 金融科技应用风险监控框架
5.2 监控对象和内容
5.2.1 监控对象
主要涵盖金融科技创新机构(以下简称创新机构)的业务系统、API、SDK、APP等。
5.2.2 监控内容
监控内容主要包括个人金融信息保护、金融交易安全、业务连续性、服务质量、技术使用安全、
内控管理、网络安全、意见投诉、公开舆情等。
5.3 基本原则
5.3.1 安全可控原则
应按照安全可控原则,开展风险监测和防控,保障系统和服务的风险可控,提前做好应对威胁风
险的处置预案。
5.3.2 开放共享原则
应按照开放共享原则,开展风险信息报送与风险数据共享。
5.3.3 隐私保护原则
应按照隐私保护原则,开展风险监控过程中对于可能涉及的个人或金融交易隐私信息应采取有效
安全保护措施,确保隐私信息安全不被泄露。
5.3.4 披露与监督原则
应按照披露与监督原则,积极披露系统及应用风险,定期发布报告,主动接受监督,确保系统与
应用安全运行。
6 风险监控流程
6.1 基本要求
创新机构应按照本文件接受监测机构的风险监测,并按照监管机构、自律组织要求进行风险处置。
监控流程包含数据采集、数据分析、风险预警、风险处置、信息共享。
在风险监控过程中各参与方应采取数据安全存储、访问权限控制、敏感信息脱敏等技术措施保证
数据全生命周期安全。
6.2 数据采集
监测机构应根据监控对象分类,明确定义数据采集的类型、接口和通讯方式,采集监测数据,为
数据分析提供源数据,具体包括:
a) 统一数据采集接口。
b) 对数据进行标准化处理。
6.3 数据分析
监测机构应根据监控对象的技术和业务风险防范要求,明确分析目的,选择合适的数据分析工具
和方法,进行数据分析处理,具体包括:
a) 选择数据,进行特征抽取,建立、训练、优化分析模型,计算分析结果。
b) 对分析处理的过程和结果进行校验,格式化输出,产生分析报表。
6.4 风险预警
监测机构应根据数据分析结果识别风险的类别、影响严重程度等,判断预警级别并触发预警,具
体包括:
a) 按照预警的监控对象类型进行分类。
b) 按照预警的触发原因进行分类,包括但不限于系统漏洞、病毒木马、钓鱼网站、可疑活动、
扫描探测、拒绝服务类、认证/授权/访问类告警,如撞库、僵尸网络等。
c) 对预警形成可视报表进行展示,包括但不限于监控对象的状态、事件、预警信息以及事件间
的关联关系等。
d) 预警方式包括但不限于短信、邮件、即时通信、站内信、系统间互联接口推送等。
7.1.1 机构报送
按照风险监控要求通过信息填报、文件上传等方式报送金融科技创新应用相关设施状态、变更信
息、运行数据和日志等,为风险识别提供信息。针对未按要求如期报送的创新机构,应予以提醒。
7.1.2 接口采集
在不干扰金融科技创新应用正常运行的前提下,以旁路或镜像等方式采集数据,通过预定义的接
口进行信息采集,识别系统风险。
7.1.3 自动探测
在不干扰金融科技创新应用正常运行的前提下,使用自动化方式通过机构外部网络采集应用系统
的状态数据,应用于风险识别。
7.1.4 人工核验
对运行中的系统,在不事先告知创新机构的情况下,模拟用户进行核验,验证系统的业务功能、
处理流程和控制措施等与事先报备的内容是否一致。
7.1.5 信息共享
对国家网络安全管理部门、公安机关等通报的信息,认证机构、安全评估机构、科研机构或其他
组织报告或共享的信息进行分析,识别应用的风险。
7.1.6 舆情监测
对媒体发布的公开信息、热点事件、风险事件等信息进行跟踪、采集,并分析、核实,及时发现
舆情风险。
7.1.7 意见投诉
对通过创新机构、行业自律组织、监管部门或其他投诉渠道收集到的意见投诉信息进行分析跟踪,
为识别创新应用风险提供信息。
7.2 个人金融信息保护
7.2.1 隐私政策合规
a) 应对隐私政策合规情况进行监测,采取以下措施:
--机构报送:创新机构每季度定期报送隐私政策条款,报送内容包含但不限于隐私政策的
链接、隐私政策的文本、变更公告、白皮书、修订记录等。
--自动探测:通过自动化的技术手段对隐私政策文本进行检查,识别隐私政策变更情况。
--人工核验:对隐私政策的文本描述、收集和处理过程、收集权限、收集范围等内容进行
核验,确认隐私政策内容符合 JR/T 0171-2020及相关法律法规要求,确认创新机构所
报送信息、行为与业务需求匹配。
--意见投诉:分析意见投诉信息,确认隐私政策文本的合理性。
--信息共享:确认隐私政策内容是否符合相关管理部门要求。
b) 应对隐私政策合规风险进行处置,采取以下处置措施:
--监测机构:
• 及时告知创新机构,对发现的风险提出处置建议,并协助创新机构开展风险处置;
• 视情况严重程度报送自律组织;
• 对创新机构处置的结果进行核验。
--创新机构:及时整改隐私政策合规风险,完善隐私政策文本,调整对个人金融信息的收
集和使用方式,保证隐私政策的合规性及系统行为和隐私政策的一致性。
--自律组织:
• 及时将公众对隐私政策的投诉意见反馈至创新机构;
• 督促创新机构处置隐私政策合规风险;
• 视情况严重程度报告监管机构。
--监管机构:监督创新机构处置隐私政策合规风险。
7.2.2 信息收集权限和范围
a) 应对信息收集权限和范围进行监测,采取以下措施:
--机构报送:
• 创新机构每季度定期报送信息收集的权限和范围;
• 在报送内容中包含但不限于应用名称、应用版本、权限名称、权限描述、开启时机、
是否强制或默认开启、权限使用场景、用途、是否已告知用户权限和用途等;
• 针对应用中嵌入 SDK 的情况,报送内容包含但不限于应用名称、应用版本、SDK 名
称、SDK类别、SDK开发厂商、SDK版本、SDK功能、使用场景、SDK安全测试情况、
SDK收集个人信息情况、SDK收集个人信息范围、SDK收集个人信息目的、SDK收集
个人信息方式等。
--自动探测:通过自动化的技术手段对信息收集权限和范围进行检查,识别信息收集超范
围收集和采集范围越界风险。
--人工核验:
• 对生产环境应用(或从应用市场获取生产环境的 APP)收集信息的权限和范围进行
核验,确认无高危行为或与隐私政策不一致的行为,确认符合 JR/T 0171-2020要
求;
• 确认数据收集的权限和范围是否与隐私政策不符。
--意见投诉:对个人金融信息超范围收集的用户投诉、报告进行分析和跟踪。
--信息共享:分析其他机构提供的信息,核验个人金融信息收集权限和范围的合理性。
b) 应对信息收集权限和范围不当风险进行处置,采取以下处置措施:
--监测机构:
• 发现后及时通报创新机构,协助创新机构开展风险处置;
• 视情况严重程度报送自律组织;
• 对创新机构的处置结果进行核验。
--创新机构:
• 针对风险问题进行整改,移除非必要信息采集权限;
• 对收集信息的功能进行整改,删除超范围收集的信息,保证信息收集权限和范围与
隐私政策文本一致。
--自律组织:
• 将公众对信息收集权限和范围的意见投诉反馈至创新机构,并对意见投诉处理情况
进行核实;
• 督促创新机构及时调整信息收集的权限和范围,组织对处置结果进行核验;
• 视情况严重程度报送监管机构。
--监管机构:监督创新机构处置信息收集权限和范围不当风险。
7.2.3 异常访问管理
a) 应对个人金融信息异常访问进行监测,采取以下措施:
--机构报送:
• 创新机构每季度定期报送针对敏感信息访问的统计数据;
• 报送信息包含但不限于查询量波动阈值、月均查询量波动阈值、最高查询量波动阈
值、睡眠用户查询、非工作时段查询、未授权查询、跨地域查询等;
• 针对个人金融信息异常访问事件,及时报送包含但不限于事件描述、发生时间、事
件原因、处置措施及处置时间、影响用户数等信息。
--信息共享:通过比对信息共享渠道获取的信息,核实异常访问事件。
b) 应对异常访问风险进行处置,采取以下处置措施:
--监测机构:
• 发现后及时通报创新机构,提出处置建议,协助创新机构开展风险处置;
• 视情况严重程度报送自律组织;
• 对机构处置后的结果进行核验。
--创新机构:
• 核实事件发生的原因,因系统技术漏洞、外部入侵导致异常查询的,及时定位漏洞
点、修补系统漏洞,并对其他相关系统进行排查;
• 因内部管理等原因导致异常访问的,及时排查及修复管理漏洞;
• 对于导致重大损失的责任人员,遵循法律程序处理。
--自律组织:
• 将个人金融信息异常访问的意见投诉反馈至创新机构,对意见投诉处理情况进行跟
踪核实;
• 督促创新机构对异常访问的情况进行及时处置,组织对处置结果进行核验;
• 视情况严重程度报送监管机构。
--监管机构:监督创新机构处置异常访问风险。
7.2.4 信息泄露监测
a) 应对信息泄露进行监测,采取以下措施:
--机构报送:
• 创新机构及时报送疑似信息泄露事件;
• 报送信息泄露事件时,报送内容包含但不限于事件描述、发生时间、泄露规模、影
响用户数以及可能涉及的资金情况等。
--信息共享:比对通过信息共享渠道获取的信息,识别信息泄露风险。
--舆情监测:针对公开、媒体发布的信息、舆情进行分析,识别信息泄露风险。
--意见投诉:针对集中式的用户投诉举报事件进行分析,识别信息泄露聚合点,对目标机
构进行进一步调查。
b) 应对信息泄露风险进行处置,采取以下处置措施:
--监测机构:
• 提出防止信息泄露的处置建议,协助创新机构开展风险处置;
• 视情况严重程度报送自律组织;
• 对机构处置后的......
|