在不干扰金融科技创新应用正常运行的前提下，使用自动化方式通过机构外部网络采集应 的状态数据，应用于风险识别。

7.1. 4 人工核验

对运行中的系统，在不事先告知创新机构的情况下路桥图纸，模拟用户进行核验，验证系统的业务功能 流程和控制措施等与事先报备的内容是否一致。

JR/T02002020

对国家网络安全管理部门、公安机关等通报的信息，认证机构、安全评估机构、科研机构或其他 组织报告或共享的信息进行分析，识别应用的风险，

7.1. 6 奥情监测

对媒体发布的公开信息、热点事件、风险事件等信息进行跟踪、采集，并分析、核实，及时发现 奥情风险。

对通过创新机构、行业自律组织、监管部门或其他投诉渠道收集到的意见投诉信息进行分析跟踪， 为识别创新应用风险提供信息

7.2.1隐私政策合规

7.2.2信息收集权限和范围

对信息收集权限和范围进行监测，采取以下措施： 机构报送： 创新机构每季度定期报送信息收集的权限和范围； 在报送内容中包含但不限于应用名称、应用版本、权限名称、权限描述、开启时机 是否强制或默认开启、权限使用场景、用途、是否已告知用户权限和用途等：

JR/T 02002020

·针对应用中嵌入SDK的情况，报送内容包含但不限于应用名称、应用版本、SDK名 称、SDK类别、SDK开发厂商、SDK版本、SDK功能、使用场景、SDK安全测试情况、 SDK收集个人信息情况、SDK收集个人信息范围、SDK收集个人信息目的、SDK收集 个人信息方式等。 自动探测：通过自动化的技术手段对信息收集权限和范围进行检查，识别信息收集超范 围收集和采集范围越界风险。 一人工核验： ·对生产环境应用（或从应用市场获取生产环境的APP）收集信息的权限和范围进行 核验，确认无高危行为或与隐私政策不一致的行为，确认符合JR/T0171一2020要 求； ·确认数据收集的权限和范围是否与隐私政策不符。 意见投诉：对个人金融信息超范围收集的用户投诉、报告进行分析和跟踪。 信息共享：分析其他机构提供的信息，核验个人金融信息收集权限和范围的合理性。 应对信息收集权限和范围不当风险进行处置，采取以下处置措施： 监测机构： · 发现后及时通报创新机构，协助创新机构开展风险处置： ·视情况严重程度报送自律组织； ·对创新机构的处置结果进行核验。 创新机构： ·针对风险问题进行整改，移除非必要信息采集权限； 对收集信息的功能进行整改，删除超范围收集的信息，保证信息收集权限和范围与 隐私政策文本一致。 自律组织： ·将公众对信息收集权限和范围的意见投诉反馈至创新机构，并对意见投诉处理情况 进行核实； · 督促创新机构及时调整信息收集的权限和范围，组织对处置结果进行核验： ·视情况严重程度报送监管机构。 监管机构：监督创新机构处置信息收集权限和范围不当风险，

7.2.3异常访问管理

a）应对个人金融信息异常访问进行监测，采取以下措施： 机构报送： ·创新机构每季度定期报送针对敏感信息访问的统计数据； ·报送信息包含但不限于查询量波动阅值、月均查询量波动阈值、最高查询量波动阅 值、睡眠用户查询、非工作时段查询、未授权查询、跨地域查询等； · 针对个人金融信息异常访问事件，及时报送包含但不限于事件描述、发生时间、事 件原因、处置措施及处置时间、影响用户数等信息。 信息共享：通过比对信息共享渠道获取的信息，核实异常访问事件。 应对异常访问风险进行处置，采取以下处置措施： 监测机构： 发现后及时通报创新机构，提出处置建议，协助创新机构开展风险处置； · 视情况严重程度报送自律组织；

JR/T02002020

创新机构： 核实事件发生的原因，因系统技术漏洞、外部入侵导致异常查询的，及时定位漏洞 点、修补系统漏洞，并对其他相关系统进行排查； 因内部管理等原因导致异常访问的，及时排查及修复管理漏洞； 对于导致重大损失的责任人员，遵循法律程序处理。 自律组织： · 将个人金融信息异常访问的意见投诉反馈至创新机构，对意见投诉处理情况进行跟 踪核实； 督促创新机构对异常访问的情况进行及时处置，组织对处置结果进行核验： 视情况严重程度报送监管机构。 监管机构：监督创新机构处置异常访问风险

7.2. 4 信息泄露监测

）应对信息泄露进行监测，采取以下措施：

机构报送： · 创新机构及时报送疑似信息泄露事件： ·报送信息泄露事件时，报送内容包含但不限于事件描述、发生时间、泄露规模、影 响用户数以及可能涉及的资金情况等。 信息共享：比对通过信息共享渠道获取的信息，识别信息泄露风险。 一奥情监测：针对公开、媒体发布的信息、奥情进行分析，识别信息泄露风险。 意见投诉：针对集中式的用户投诉举报事件进行分析，识别信息泄露聚合点，对目标机 构进行进一步调查。 应对信息泄露风险进行处置，采取以下处置措施： 监测机构： · 提出防止信息泄露的处置建议，协助创新机构开展风险处置； · 视情况严重程度报送自律组织； · 对机构处置后的风险泄露隐惠进行核验。 创新机构： 核实信息泄露的原因，因系统技术漏洞、外部入侵导致信息泄露的，及时定位漏洞 点、修补系统漏洞，并对其他相关系统进行排查，梳理网络边界、强化违规外联监 测和防护，开展流量监测，及时阻断外部攻击和探测； 因内部管理等原因导致信息泄露的，及时排查修复管理漏洞； 对已经泄露的账户信息，应采取更换密码，注销、停用或更换账户等方式进行处理； 对已经导致资金损失的事件，应按照赔偿机制对人员进行补偿； ·对于导致重大损失的责任人员，遵循法律程序处理。 自律组织： 将意见投诉反馈至创新机构，对意见投诉处理情况进行跟踪核实； 督促创新机构对风险进行及时处置，组织对处置结果进行核验； 将信息泄露有关情况报告监管机构： 视情况严重程度报送监管机构。 监管机构：监督创新机构处置信息泄露风险

JR/T 02002020

7.3.2账户开立异常

a）应对短时间内账户开立数量异常增长、同一终端设备或网络地址反复申请开户、同一绑定账 户大量开户、同一绑定账户为不同客户身份开户等账户开立异常进行监测，采取以下措施： 机构报送：创新机构接照要求实时或每季度定期报送，报送信息包含但不限于基本存款 账户开立信息，Ⅱ、Ⅲ类银行结算账户开立信息，电子渠道开户信息，账户验证措施， 账户开立风险事件等。 一一接口采集： 通过接口对接创新机构内部的账户管理系统，当发现账户开立异常时，主动采集相 关信息； ·采集信息包含但不限于监控账户开立流程各个环节的验证要素，包括要素名称、要 素内容，开户时间、开户数量、异常行为、渠道特征、群体特征及统计规律等。 b）应对账户开立异常风险进行处置，采取以下处置措施： 一监测机构： ·对未按要求进行身份认证用户的监测信息及时通知创新机构； ·视情况严重程度报送自律组织。 创新机构：核实监测信息的正确性后，根据实际情况可采取实名认证要求提示、限制账 户权限、账户锁定等措施。 自律组织： ·督促创新机构及时进行整改和优化； ·视情况严重程度报送监管机构。 监管机构：监督创新机构处置账户开户异常风险

7.3.3账户使用异常

JR/T02002020

a）应对账户开立后，连续发生大金额交易，连续发生身份验证、绑定或签约等非资金变动类交 易，连续发生交易失败，终端设备ID、网络地址、地理位置与申请开户时有明显差异，用户 立即或多次修改手机号码、绑定账户，多个不同身份的Ⅱ、IⅡ类银行结算账户在同一终端设 备或网络地址进行登录或操作使用等异常行为进行监测，采取以下措施： 机构报送：机构按照要求实时或按要求每季度定期报送账户开立后账户的交易异常情 况。 一 接口采集：通过接口对接创新机构内部的账户管理系统，当发现账户使用异常时，主动 采集相关信息。 b）应对账户使用异常风险进行处置，采取以下处置措施： 一监测机构： ·将账户使用异常的监测信息及时通知创新机构； ·视情况严重程度报送自律组织。 创新机构：核实监测信息的正确性后，根据实际情况对异常使用的账户进行处置，可采 取限制账户权限、账户锁定、删除账户等措施。 自律组织： · 督促创新机构及时进行整改和优化； ·视情况严重程度报送监管机构。 监管机构：监督创新机构处置账户使用异常风险

7.3.4交易流程安全

应对交易开通、交易验证、交易确认等交易流程进行监测，采取以下措施： 机构报送：创新机构向监测机构每季度定期报送交易流程材料，材料应包含交易开通流 程、交易验证流程、交易确认流程等内容，监测机构核验是否存在风险： 交易开通流程包括交易开通提交的资料、用户的协议、用户的操作等内容。 交易验证流程描述采用的身份验证方式及限额控制机制。身份验证方式包含但不限 于仅客户本人知悉的要素（如静态密码），仅客户持有并特有的、不可复制或者不 可重复利用的要素（如电子证书），客户本人生物特征要素（如指纹）。 · 交易确认包括提示用户、用户参与交易确认的方式等、 意见投诉：通过外部投诉举报平台，获取对创新机构不合规交易流程的投诉举报事件。 应对交易流程风险进行处置，采取以下处置措施： 监测机构： 发现不合规交易流程后，告知创新机构； · 依据相关法律法规，向创新机构提供处置建议： 视情况严重程度报送自律组织。 创新机构：核实监测信息的正确性和时效性后，依据相关法律法规，修改可能造成交易 风险的漏洞，减少交易流程风险。 一自律组织： ·督促创新机构对交易流程风险进行整改； 视情况严重程度报送监管机构。 监管机构：监督创新机构处置交易流程风险

7.3.5可疑/大额交易

应对《金融机构大额交易和可疑交易报告管理办法》（中国人民银行令（2016）第3号发布，

JR/T 02002020

中国人民银行令（2018）年第2号修订）中规定的大额交易和可疑交易进行监测，采取以下 措施： 机构报送：创新机构应向监测机构报送可疑交易和大额交易的相关信息，并在交易发生 之日起5个工作日内以电子方式提交报告，交易监测标准包括但不限于客户的身份、行 为，交易的资金来源、金额、频率、流向、性质等存在异常的情形。 接口采集：通过接口对接创新机构内部的可疑交易和大额交易监控系统，当发现可疑交 易和大额交易时，主动采集相关信息。 一 信息共享：核实并分析其他机构、部门或技术平台分享的风险交易信息， b）应对可疑交易和大额交易风险进行处置，采取以下处置措施： 一监测机构： ·对监测发现的可疑交易和大额交易信息，应及时通知创新机构： ·根据交易类型及风险级别等信息，向创新机构提供处置建议； ·视情况严重程度报送自律组织。 创新机构：核实监测信息的止确性和时效性后，对批量、高频、异常时段、异常地点、 大额等可疑交易行为，采取风险提示、增强身份验证、拒绝交易等手段。 一一自律组织： ·督促创新机构适时处置可凝交易和大额交易； ·视情况严重程度报送监管机构。 一监管机构：监督创新机构处置可疑交易和大额交易风险

7.3.7资金损失事件

a）应对资金损失事件进行监测，采取以下措施：

JR/T02002020

机构报送：创新机构按要求每季度定期向监测机构报送造成用户或机构资金损失的事 件，资金损失信息报送的内容包含但不限于损失发生时间、损失发生金额、损失原因、 后续处理方式等。 信息共享：针对国家网络安全管理部门、公安机关通报的信息，料研机构等组织发布或 共享的信息进行核实分析，识别资金损失风险。 舆情监测：对公开、媒体发布的信息、舆情进行分析，识别资金损失风险。 意见投诉：对用户或机构投诉举报的涉及资金损失的事件进行核实及分析。 应对资金损失风险进行处置，采取以下处置措施： 一监测机构： ·将资金损失事件信息及时通知创新机构； · 视情况严重程度报送自律组织。 创新机构： 核实监测信息的正确性和时效性后，及时根据需求进行账户锁定、交易拦截等操作 避免造成实际资金损失； 如已造成实际损失的，遵照法律程序，配合相关部门进行处理； 同时查找交易系统漏洞，进行漏洞的整改。 自律组织： 及时处理相关投诉举报平台的资金损失事件，并督促创新机构进行整改； 视情况严重程度报送监管机构。 监管机构：监督创新机构处置资金损失风险

应对业务连续性进行监测，采取以下措施： 机构报送：创新机构按季度报送业务连续性相关信息，对创新机构报送的业务连续性信 息、收集到的创新机构相关业务服务能力信息进行综合分析、判断及核验，确认创新机 构相关业务服务能力是否存在技术风险，报送信息包含但不限于RTO参数、RPO参数、 灾备设施情况、业务连续性策略及其变更维护记录、业务连续性培训与演练记录、业务 连续性保障记录、业务设施变更信息等。 一接口采集：通过接口对接创新应用，主动采集应用状态信息、事件相关信息等，识别业 务连续性风险。 自动探测：通过自动化的技术手段对业务运行状态进行检查，识别业务连续性风险。 情监测：对公开、媒体发布的信息、奥情进行分析，业务连续性风险。 意见投诉：分析外部渠道获取的用户投诉、报告数据，结合创新机构报送信息，确认创 新机构相关业务服务能力是否存在技术风险。 应对业务连续性风险进行处置，采取以下处置措施： 一监测机构： ·协助创新机构开展风险处置； 对风险处置情况进行实时监控； ·视情况严重程度报送自律组织。 一创新机构： 主动开展业务影响分析，根据业务影响分析结果调整业务连续性计划及应急处置措 施；

JR/T 02002020

对于因系统技术原因导致信息系统服务异常、重要业务停止运营的进行全面分析、 改造并进行充分验证； 对于因基础设施或运营环境不够完善，导致创新机构信息系统服务异常、重要业务 停止运营的，重新评估并完善其基础设施或运行环境，并加以充分验证； 对于因创新机构管理制度不够完善或管理不够严格，导致信息系统服务异常、重要 业务停止运营的，重新检查并完善管理制度，加强对技术风险的防范能力，切实提 高自身业务连续性保障水平。 自律组织： 及时将投诉意见反馈至创新机构； 督促创新机构积极处理风险： 视情况严重程度报送监管机构。 监管机构：对创新机构风险应按情况进行监督，根据不同的风险等级进行处置： 对于高风险机构，给予1个月的整改期限，如期满未能符合业务连续性要求，则要 求退出创新测试； 对于中风险机构，对风险点做定期跟踪监测，并定期发布风险提示； 对于低风险机构，对风险点做定期跟踪监测

a）应对服务质量进行监测，采取以下措施： 机构报送： 创新机构每月报送服务质量相关参数，包括但不限于QoS设计指标、实际QoS数据、 设计最大用户数、实际最大用户数、设计并发用户数、实际并发用户数、设计交易 成功率、实际交易成功率、设计交易平均响应时间、实际交易平均响应时间、异常 交易运行日志、交易并发能力、吞吐量、可靠性、自恢复能力等； 创新机构每月定期报送服务器运行情况数据，报送内容包括但不限于带宽占用情 况、服务器资源占用情况、交易响应情况、交易中断情况等。 一接口采集：监测在一段时间内持续超过系统设定的交易拥塞阅值的交易。 一自动探测：通过自动化的技术手段采集系统响应时间等方式，识别服务质量风险。 一人工核验： ·监测机构通过创新机构报送的测试报告及实际运行情况分析其措施是否能够满足 一股性交易需求，是否能在网络过载或拥塞时确保交易业务不被延迟或丢弃： 监测机构核查根据不同交易类型进行分类的TPS记录、交易状态记录、异常交易监 测跟踪记录等运行日志信息，分析是否存在异常数据： · 监测机构采用数据建模分析、交易风控建模等方式，识别异常交易和可疑风险交易。 b）应对服务质量风险进行处置，采取以下处置措施： 一监测机构： · 在出现网络服务无法满足基本交易需求或造成交易频繁失败的情况时，及时通知创 新机构并提供处置建议； ·视情况严重程度报送自律组织。 一 创新机构： 核实风险信息后，及时根据需求完善服务质量保障方案，包括但不限于升级相关技 术设备和系统应用等： 采用合理的网络数据传输方案，配置QoS策略保证业务不受延迟或丢弃

自律组织： 督促创新机构及时处置服务质量问题； 视情况严重程度报送监管机构。 监管机构：监督创新机构处置服务质量风险

7. 6. 1 人工智能

JR/T02002020

应对人工智能风险进行监测，采取以下措施： 机构报送：创新机构每月根据人工智能的创新应用投产、变更情况，报送采用的基础设 施、关键技术、软件框架、算法模型、数据集合信息，以及针对编程设计或实施错误、 歧视性、黑箱、训练样本偏差和应能够对抗样本攻击等的安全防护措施和人工智能风险 控制措施，以及相关变更记录和风险事件等。 一人工核验：对人工智能应用进行验证，识别人工智能算法使用风险。 意见投诉：针对投诉举报等事件进行分析，识别人工智能算法使用风险。 一奥情监测：针对公开、媒体发布的信息、奥情进行分析，识别人工智能算法使用风险。 信息共享：监测机构针对国家网络安全管理部门、公安机关通报的信息，安全评估机构 认证机构、科研机构等组织发布或共享的风险信息进行核实分析，识别人工智能算法使 用风险。 应对人工智能风险进行处置，采取以下处置措施： 一监测机构： · 发现风险后及时与创新机构进行沟通确认，协助创新机构开展人工智能算法安全漏 洞的修复处理； 对于通用技术风险提醒其他机构进行排查： · 视情况严重程度报送自律组织； 对人工智能算法安全风险处置情况进行持续监控。 创新机构： 尽快采取算法安全风险处置措施； 对已经发生损失的用户进行赔付。 自律组织： 及时将投诉意见反馈至创新机构； 督促创新机构对算法安全风险进行及时处置，对处置结果进行核验； 视情况严重程度报送监管机构。 监管机构：监督创新机构处置人工智能算法使用风险

应对大数据风险进行监测，采取以下措施： 机构报送：创新机构每月报送大数据应用的安全管理体系、元数据安全保护措施、数据 供应链、数据监控和数据保护基本信息、变更记录和风险事件等。相关处理环节包括但 不限于数据采集、预处理、存储、分析挖掘等。 一人工核验：针对大数据应用进行验证，识别大数据技术使用风险。 意见投诉：针对投诉举报等事件进行分析，识别大数据技术使用风险。 随情监测：针对公开、媒体发布的信息、陶情进行分析，识别大数据技术使用风险

JR/T 02002020

信息共享：针对国家网络安全管理部门、公安机关通报的信息，安全评估机构、认证机 构、科研机构等组织发布或共享的信息进行核实分析，识别大数据技术使用风险。 应对大数据风险进行处置，采取以下处置措施： 监测机构： 发现风险后及时与创新机构进行沟通确认，协助创新机构开展大数据应用安全漏洞 的修复处理： 对于通用技术风险提醒其他机构进行排查： ? 视情况严重程度报送自律组织； 对风险处置情况进行持续监控。 创新机构： 尽快采取技术风险处置措施： 对已经发生损失的用户进行赔付。 自律组织： 及时将投诉意见反馈至创新机构； ? 督促创新机构对风险进行及时处置，对处置结果进行核验； 视情况严重程度报送监管机构。 监管机构：监督创新机构处置大数据技术应用风险

应对云计算风险进行监测，采取以下措施： 机构报送：创新机构参照JR/T0166、JR/T0167、JR/T0168相关要求，每月报送 云计算应用平台相关信息，包括但不限于平台框架、用户规模、业务领域、业务连续性 保护、变更记录和风险事件等。 自动探测：通过自动化的技术手段对云计算应用平台进行探测，识别云计算技术使用风 险。 一人工核验：对云计算应用进行验证，识别云计算技术使用风险。 一意见投诉：针对投诉举报等事件进行分析，识别云计算技术使用风险。 一舆情监测：对公开、媒体发布的信息、舆情进行分析，识别云计算技术使用风险。 一信息共享：针对国家网络安全管理部门、公安机关通报的事件或漏洞信息，安全评估机 构、认证机构、科研机构等组织等发布或共享的信息进行核实分析，识别云计算技术使 用风险。 应对云计算风险进行处置，采取以下处置措施： 监测机构： 发现风险后及时与创新机构进行沟通确认，协助创新机构开展云计算应用安全漏洞 的修复处理； 对于通用技术风险提醒其他机构进行排查； 视情况严重程度报送自律组织； 对风险处置情况进行持续监控。 创新机构： · 尽快采取技术风险处置措施： ? 对已经发生损失的用户进行赔付。 自律组织： 及时将投诉意见反馈至创新机构

JR/T02002020

督促创新机构对风险进行及时处置，组织对处置结果进行核验； 视情况严重程度报送监管机构。 监管机构：监督创新机构处置云计算技术使用风险

应对区块链风险进行监测，采取以下措施： 机构报送：创新机构参照JR/T0193相关要求，每月报送区块链技术应用相关信息， 包括但不限于区块链类型、共识机制、智能合药、加密机制、账本结构、变更记录和风 险事件等。 一自动探测：通过设置监控节点等技术手段对区块链应用进行探测和验证，识别区块链技 术使用风险。 一人工核验：对系统进行人工验证，识别区块链技术使用风险。 意见投诉：针对投诉举报等事件进行分析，识别区块链技术使用风险。 奥情监测：对公开、媒体发布的信息、奥情进行分析，识别区块链技术使用风险。 信息共享：对国家网络安全管理部门、公安机关门通报的信息，安全评估机构、认证机 构、科研机构等组织等发布或共享的信息进行核实分析，识别区块链技术使用风险。 应对区块链技术使用风险进行处置，采取以下处置措施： 一监测机构： 发现风险后及时与创新机构进行沟通确认，协助创新机构开展安全漏洞的修复处 理； 对于通用技术风险提醒其他机构进行排查； 视情况严重程度报送自律组织； 对风险处置情况进行持续监控。 创新机构： · 尽快采取技术风险处置措施； 对已经发生损失的用户进行赔付。 自律组织： 及时将投诉意见反馈至创新机构； 督促创新机构对风险进行及时处置，组织对处置结果进行核验； 视情况严重程度报送监管机构。 监管机构：监督创新机构处置区块链技术使用风险

应对物联网风险进行监测，采取以下措施： 机构报送：创新机构每月报送物联网技术应用相关信息，包括但不限于感知节点安全、 网关节点安全、数据安全和连接安全保护措施，以及不同场景下使用的组件服务类型、 组件服务产品基本信息、应用关系流程、拓扑结构、变更记录和风险事件等。 自动探测：通过技术手段对物联网技术应用进行探测，识别物联网技术使用风险。 一人工核验：针对物联网技术应用系统进行验证，识别物联网技术使用风险。 意见投诉：针对投诉举报等事件进行分析，识别物联网技术使用风险。 奥情监测：针对公开、媒体发布的信息、舆情进行分析，识别物联网技术使用风险。 信息共享：针对国家网络安全管理部门、公安机关通报的信息，以及安全评估机构、认 证机构、科研机构等组织发布或共享的信息进行核实分析，识别物联网技术使用风险。

JR/T 02002020

应对物联网风险进行处置，采取以下处置措施： 监测机构： 发现风险后及时与创新机构进行沟通确认，协助创新机构开展物联网技术应用安全 漏洞的修复处理； 对于通用技术风险提醒其他机构进行排查； 视情况严重程度报送自律组织； · 对风险处置情况进行持续监控。 创新机构： 尽快采取技术风险处置措施； 对已经发生损失的用户进行赔付。 自律组织： 及时将投诉意见反馈至创新机构； 督促创新机构对风险进行及时处置，组织对处置结果进行核验： 视情况严重程度报送监管机构。 监管机构：监督创新机构处置区物联网技术使用风险

7.7.1技术供应链管理

a）应对技术供应链管理进行监测，采取以下措施： 机构报送：创新机构每月报送新技术有关的技术方案、组件清单、组件供应商信息、变 更记录和风险事件等，使用开源技术组件的，需包含开源技术组件的维护组织、获取途 径等信息。 一人工核验：针对系统进行验证，识别技术供应链使用风险。 一意见投诉：针对投诉举报等事件进行分析，识别技术供应链使用风险。 奥情监测：针对公开、媒体发布的信息、舆情进行分析，识别技术供应链使用风险。 信息共享：针对国家网络安全管理部门、公安机关通报的信息，安全评估机构、认证机 构、科研机构等组织等发布或共享的风险信息进行核实分析，识别技术供应链使用风险， b 应对技术供应链管理风险进行处置，采取以下处置措施： 一监测机构 ·发现风险后及时与创新机构进行沟通确认，协助创新机构开展供应链相关风险的修 复处理； 对于影响广泛的供应链技术风险提醒其他机构进行排查： ·视情况严重程度报送自律组织； 对供应链风险的处置情况进行持续监控。 创新机构：尽快采取风险处置措施，保证用户的合法权益。 自律组织： 及时将投诉意见反馈至创新机构； · 督促创新机构对风险进行及时处置，对处置结果进行核验： 视情况严重程度报送监管机构。 一监管机构：监督创新机构处置技术供应链使用风险。

7. 7. 2内部控制

JR/T02002020

应对由于机构内部控制漏洞或制度执行不到位等造成的不满足依法合规经营、资产安全或购 务报告信息真实完整导致的风险进行监测，采取以下措施： 机构报送：当发生内控失效事件时，及时或每季度报送相关事件信息，报送内容包括但 不限于时间、事件标题、事件描述、事件原因、处置措施、处置状态、事件影响等。 信息共享：针对国家网络安全管理部门、公安机关通报的信息，安全评估机构、认证机 构、科研机构等组织等发布或共享的风险信息进行核实分析，识别内部控制风险。 意见投诉：分析投诉举报的事件，识别出机构在制度、流程、人员管理等方面的缺陷。 奥情监测：分析公开事件，识别出内控缺陷。 应对内部控制风险进行处置，采取以下处置措施： 一监测机构： · 发现风险后及时与创新机构进行沟通确认，协助创新机构开展内控失效风险处置： · 视情况严重程度报送自律组织； ·对风险处置情况进行持续监测。 创新机构：对内控失效风险进行分析并处置，完善制度、流程、人员管理上的缺陷。 自律组织： · 督促创新机构处置内控失效风险； · 将相关意见投诉反馈至创新机构，对意见投诉处理情况进行核实； 视情况严重程度报告监管机构。 监管机构：监督创新机构及时处置内控失效风险

7.7.3产品服务变更

应对产品服务变更进行监测，采取以下措施： 机构报送：创新机构在产品服务发生重大变更时及时或每季度进行上报，重大变更包括 但不限于业务功能、服务协议、服务对象、服务用户规模等内容的显著变化，同时应包 括针对产品服务重大变更的风险应对措施，如完善风险拨备资金、保险计划、应急处置 等风险补偿措施，健全客户投诉处理机制和投诉处理工作流程等。 自动探测：通过自动化的技术手段对产品或服务进行探测，采集产品服务重大变更信息， 识别产品服务变更风险 一信息共享：针对国家网络安全管理部门、公安机关通报的信息，安全评估机构、认证机 构、科研机构等组织等发布或共享的风险信息进行核实分析，识别产品服务变更风险。 意见投诉：分析投诉举报事件，识别出产品服务变更风险。 奥情监测：分析公开事件，识别出产品服务变更风险。 应对产品服务变更风险进行处置，采取以下处置措施： 一监测机构： · 发现后及时与创新机构进行沟通确认，协助创新机构开展产品服务重大变更风险处 置； ·视情况严重程度报送自律组织； ·对风险处置情况进行持续监测。 创新机构：对产品服务重大变更风险进行核实、分析并处置。 自律组织： 督促创新机构处置产品服务重大变更风险； 将相关意见投诉反馈至创新机构，对意见投诉处理情况进行核实； 视情况严重程度报告监管机构

JR/T 02002020

监管机构：监督创新机构处置产品服务重大变更风险

7.7.4人员团队变化

a）应对人员团队变化进行监测，采取以下措施： 机构报送： · 创新机构在人员团队发生重大变化时进行上报，上报时间点包括主要负责人发生变 动、团队成员组织架构调整等。 创新机构报送的人员团队信息包括但不限于主要负责人信息、团队成员组成结构、 人员数量等。团队成员包括但不限于项目管理人员、开发人员、运维人员、业务人 员等。 b）应对人员团队变化进行处置，采取以下处置措施： 监测机构： 发现人员团队发生重大变化后及时与创新机构进行沟通确认： 视情况严重程度报送自律组织； 对风险处置情况进行持续监测。 创新机构：对人员团队变更风险进行核实、分析并处置。 一自律组织： 督促创新机构处置人员团队变更风险： 视情况严重程度报告监管机构。 一监管机构：监督创新机构处置人员团队变更风险。

JR/T02002020

创新机构： 对仿冒钓鱼应用进行核实和确认； 对于确认为仿冒钓鱼的应用与外部机构协作进行下架或关停； 对用户进行风险提示，对于已经获知被钓鱼的账户进行冻结，联系用户进行后续处 理； 加强网络钓鱼、APP篡改防护技术措施，采用技术手段对可能来自于钓鱼网站的请 求进行识别和拦截； 运用大数据等技术手段，对可疑请求进行识别，拦截非正常用户的访问请求 自律组织： 将仿冒钓鱼相关意见投诉反馈至创新机构，对意见投诉处理情况进行核实： 督促创新机构及时对风险进行处置，组织对处置结果进行核验； 视情况严重程度报送监管机构。 蓝管机构：监督创新机构处置仿冒钓鱼风险

应对计算机信息系统在需求、设计、实现、配置、运行等过程中，有意或无意产生的缺陷进 行监测，采取以下措施： 一一 机构报送： 创新机构每季度定期报送安全漏洞管理相关材料，报送内容包括但不限于针对注入 攻击、文件上传下载、缓冲区溢出攻击、重放攻击、穷举登录尝试、接口滥用等的 防护措施； 创新机构每季度定期报送网络攻击防护相关材料，报送内容包括但不限于网络隔离 手段、安全审计机制、网络行为分析、恶意代码防护、大数据风控等防护措施； · 创新机构每季度及时报送自身识别的安全漏洞及网络攻击事件，漏洞信息包含但不 限于发现时间、漏洞编号、漏洞标题、影响目标、漏洞描述、漏洞风险等级、漏洞 详情信息（如：漏洞利用过程、漏洞攻击代码、漏洞证明等）、修复措施等。 自动探测：通过自动化的技术手段对系统进行探测，识别潜在的安全漏洞。 人工核验：通过安全人员对系统进行渗透测试，降低因自动探测设备无法进行深入检测 而遗留的安全隐惠。 接口报送：通过接口的方式进行数据监测，通过与防火墙、WAF、IDS、IPS、蜜罐、DNS 安全监测设备等进行对接等方式采集攻击行为数据，识别攻击路径和系统安全漏洞，通 过大数据的方式汇总呈现态势感知监测。 信息共享：对国家网络安全管理部门、公安机关通报的信息、其他机构共享的安全漏洞 信息或网络攻击事件进行核实分析，识别安全漏洞和网络攻击行为。 奥情监测：分析公开事件，识别出安全漏洞和网络攻击行为 应对安全漏洞进行处置，采取以下处置措施： 一监测机构： · 发现后及时与创新机构进行沟通确认，协助创新机构开展安全漏洞修复和网络攻击 事件处理； ·对于通用技术风险提醒其他机构进行排查，视情况严重程度报送自律组织： 对处置结果进行核验，对整改情况进行持续监测。 创新机构： 对安全漏洞进行及时修复，对暂时无法修复的应用组件进行关停或通过网络层面访

JR/T 02002020

问控制等措施进行补偿控制，对网络攻击事件及时处理； 对系统进行排查，识别潜在的后门，确认安全漏洞、入侵行为可能导致的影响，对 其他类似问题进行核查： ·对于已经发生泄露、损失的账户进行冻结、赔付。 自律组织： 督促创新机构对风险进行及时处置； ·视情况严重程度报告监管机构。 监管机构：监督创新机构修复安全漏洞、处置网络攻击事件。

应对网络安全威胁进行监测，采取以下措施： 机构报送：创新机构每季度定期报送威胁情报信息，报送的信息包含但不限于攻击行为、 政击方地址、所在区域、攻击方终端特性信息、可疑账户特征、灰名单、黑名单账户等 信息。 信息共享：对国家网络安全管理部门、公安机关通报的信息以及其他专业机构提供的威 胁情报信息进行核实分析，识别网络安全风险。 应对网络安全风险进行处置，采取以下处置措施： 一一监测机构： 。发现威胁情报后，及时与创新机构开展沟通确认，协助创新机构展开风险排查和情 报比对、验证分析； ·视情况严重程度报送自律组织。 创新机构：及时对情报信息进行比对和验证，对网络安全风险进行防范，对失陷情况进 行处置。 自律组织： ·督促创新机构对网络安全风险进行及时处置； ·视情况严重程度报告监管机构。 监管机构：监督创新机构处置网络安全风险

a）应对页面算改情况进行监测，采取以下措施： 机构报送：创新机构每季度报送页面防篡改设计方案、页面非授权篡改风险事件等。防 算募改设计方案内容包括但不限于备份文件、站点监控、程序目录监控、告警及恢复、用 户管理等。页面非授权募改风险事件内容包含但不限于募改时间、募改内容、募改原因、 修复时间、处置措施、预防措施等。 自动探测：通过自动化的技术手段对页面进行探测，识别页面篡改风险。 一意见投诉：对用户投诉举报的页面算改信息进行核实。 一信息共享：对国家网络安全管理部门、公安机关通报的信息，安全评估机构等组织等发 布或共享的页面改信息进行核实。 奥情监测：分析公开事件，识别出页面算改风险。 应对页面篡改进行处置，采取以下处置措施： 监测机构： 对监测发现的页面篡改情况及时通知创新机构，协助创新机构开展页面篡改的修复 处理：

JR/T02002020

·视情况严重程度报送自律组织。 创新机构：及时处置被篡改页面景观标准规范范本，采取技术手段防御、恢复、记录网站页面篡改攻击。 一自律组织： · 督促创新机构及时处置页面篡改问题； 将页面篡改相关意见投诉反馈至创新机构，对意见投诉处理情况进行核实； · 视情况严重程度报告监管机构。 监管机构：监督创新机构及时处置页面算改风险

应对公开舆情进行监测，采取以下措施： 机构报送：创新机构每季度报送涉及自身的负面热点事件及应对情况，包括但不限于时 间、舆情标题、奥情内容、传播渠道、传播范围、处理措施等。 奥情监测：对其他部门、主流媒体、社交网站发布的事件进行监控，利用人工智能、大 数据、情感分析等技术对于具有一定热度的信息进行筛选，并进行人工核实。 应对公开舆情进行处置，采取以下处置措施： 监测机构： ·发现后及时与创新机构进行沟通确认，协助创新机构进行舆情应对：

JR/T 02002020

视情况严重程度报送自律组织： 对舆情发展和应对情况进行持续监控。 创新机构： 根据舆情的信息内容及时采取应对措施予以澄清，对所反馈的问题及时进行跟进和 解决； 对于负面且不实的信息，及时进行引导，降低影响。 自律组织： ·对涉及到多机构的负面舆情，组织统一应对； 视情况严重程度报告监管机构。 监管机构：监督创新机构处理公开舆情问题。

视情况严重程度报送自律组织： 对舆情发展和应对情况进行持续监控。 创新机构： 根据舆情的信息内容及时采取应对措施予以澄清市政图纸、图集，对所反馈的问题及时进行跟进和 解决； ? 对于负面且不实的信息，及时进行引导，降低影响。 自律组织： ·对涉及到多机构的负面舆情，组织统一应对； 视情况严重程度报告监管机构。 监管机构：监督创新机构处理公开舆情问题。

JR/T02002020