TZAIF1001-2020互联网金融组织全面风险管理指南

ICS03.060

A11

T/ZAIF

互联网金融团体标准

T/ZAIF1001—2020

互联网金融组织全面风险管理指南

ComprehensiveriskmanagementguideforInternetfinanceorganizations

2020-07-24发布2020-09-01实施

浙江互联网金融联合会发布

T/ZAIF1001—2020

互联网金融组织全面风险管理指南

1范围

本标准规定了互联网金融行业全面风险管理的术语和定义、基本原则、体系框架、风险治理架构、

风险管控流程、管理工具、信息系统建设。

本标准适用于互联网金融行业全面风险防控管理。

2规范性引用文件

下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文

件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

GB/T23694—2013风险管理术语

GB/T24353—2009风险管理原则与实施指南管理框架和管理过程

GM/T0054—2018信息系统密码应用基本要求

3术语定义

GB/T23694—2013界定的及下列术语和定义适用于本文件。

3.1

风险risk

指未来的不确定性对组织实现其经营目标的影响。

[来源：GB/T23694—2013，术语3.1]

3.2

风险管理riskmanagement

指组织围绕经营目标，对经营中的风险进行识别、评估和控制的基本流程以及相关的组织架构、制

度和措施，是指挥和控制风险的协调活动。

3.3

风险责任人riskowner

指具有管理风险的责任和权力的个人或组织。

3.4

风险偏好riskappetite

指组织寻求或保留风险的意愿。

1

T/ZAIF1001—2020

[来源：GB/T23694—2013，术语4.7.1.2]

3.5

风险容忍度risktolerance

指组织或利益相关者为了实现目标在风险应对之后承担风险的意愿。

[GB/T23694—2013.术语4.7.1.3]

3.6

风险监测riskmonitoring

指在组织运营过程中，组织应对风险的发展与变化情况进行监测，并根据需要调整应对策略。

3.7

风险地图riskmap

将组织的风险缩小反映在平面上，能够反映组织风险的分布、联系、数量特征的一种“地图”，用于

描述组织在经营管理过程中将会遭遇到的风险以及应采取的风险管控策略，呈现组织的风险格局。

3.8

全面风险管理totalriskmanagement

围绕总体经营目标，通过在组织管理的各个环节和经营过程中运用各种方法对风险进行管理，将风

险产生的影响控制在可接受范围内的过程。

4基本原则

4.1全面管理与重点监控相统一

组织应建立能覆盖所有业务流程和操作环节，并能对风险进行持续监控、定期评估和准确预警的全

面风险管理体系，同时应根据组织的实际情况有针对性地实施重点风险监控，及时发现、防范和化解对

组织经营有重要影响的风险。

4.2独立集中与分工协作相统一

组织应建立全面评估和集中管理风险的机制，保证风险管理的独立性和客观性，同时应强化业务部

门的风险管理主体职责，在保证风险管理职能部门与业务单位分工明确、密切协作的基础上，使业务发

展与风险管理平行推进，实现对风险的过程控制。

4.3有效管理与成本控制相结合

组织应建立与自身经营目标、业务规模、资本实力、风险状况相适应的风险管理体系，合理权衡风

险管理成本与效益的关系，合理配置风险管理资源，实现适当成本下的有效风险管理。

5体系框架

2

T/ZAIF1001—2020

全面风险管理体系框架应考虑风险治理架构、风险管控流程、风险管理工具和风险管理系统四个方

面，如图1所示。

图1体系框架

6风险治理架构

6.1风险管理组织架构

6.1.1全面风险管理应按照“集中管控、矩阵分布、全面覆盖、全员参与”的要求，建立全面、垂直、

集中的风险管理组织架构。

6.1.2全面风险管理组织架构包括：董事会、监事会、管理层、审计部门、风险管理部门、各业务部

门等。所有部门和人员均按照分工承担风险管理的职责。互联网金融行业的风险管理组织架构如表1

所示。

表1风险管理组织架构

岗位/部门职责

应提高风险意识，主动识别本部门的各项风险，并采取相应措施。主要责任包括：

a）遵循公司董事会确立的风险管理战略定位，在公司各项风险管理政策、制度、流程和指引的框架

下，制定本部门业务范围内的风险管理目标、制度与流程；

各部门

b）及时识别、评估本部门业务流程中的风险，并及时报告相应的风险管理部门；

c）配合开展风险管理工作，对所发现的问题提出整改建议，追踪并确保各项整改行动落实到位。

d）与风险管理部门共同评估风险控制效果，确保将风险控制在组织可接受范围之内。

协助一线业务部门进行风险管控的部门。主要责任包括：

各风险管理部门a）制定组织的风险控制政策和标准，协助业务部门识别风险、评估风险、建立必要的方法与流程，

（例如法务部对组织的风险水平进行持续监控与处置，以确保组织的总体风险水平在董事会设定的风险容忍度

门、合规部门、范围之内；

反洗钱部门、信b）对重大风险进行决策，将组织风险发生的概率和可能造成的损失控制在可接受的合理范围内；

息安全部门等）c）采取必要的措施，对各业务部门风险控制的履职情况进行持续的监督与评价；

d）按照风险上报机制，定期向董事会、管理层报告公司风险管理情况。

3

T/ZAIF1001—2020

表1（续）

岗位/部门职责

审计部为独立的风险管理监督部门，通过内部审计提出改善风险管理的有效措施，帮助组织维持有效

的风险控制系统，并将风险管理监督情况提交管理层审核。具体职责包括：

审计部a）进行内部的日常、专项监督与评价；

b）针对监督检查过程中发现的内部控制缺陷，包括设计缺陷和运行缺陷、跟踪问题的整改，并就内

部审计中发现的重大问题提交管理层审核。

首席风险官负责部署、指挥组织的风险管理工作，监督风险管理有效性。

管理层负责领导组织风险管理与内部控制的日常运行，总经理是管理层风险管理的第一责任人。主要

职责包括：

a）审核重大风险关键监控指标和分解指标，以及预期实现关键监控指标的风险承受度，并提交董事

会审议；

高级管理层

b）对各风险管理部门提交的风险事项进行审议；

c）建立健全业务与管理流程的风险防范、内部监控体系，管理各部门的日常风险，有效化解和降低

组织整体的运营风险；

d）审核风险管理的其他重要事项。

监事会监事会对董事会、管理层建立健全风险防范、监控体系的工作进度与效果进行监督。

作为风险管理的最高决策机构，负责管理组织的整体风险，对重大风险事项进行决策，确保组织战略

的实现。主要职责包括：

a）确定风险管理的总体目标、风险偏好、风险容忍度，批准风险管理策略和重大风险管理解决方案；

董事会b）了解和掌握组织面临的各项重大风险及其风险管理现状，做出有效控制风险的决策；

c）批准风险管理组织架构设置及其职责方案；

d）督导风险管理文化的培育；

e）决定有关全面风险管理的其它重大事项。

6.2风险管理政策制度

6.2.1风险管理政策制度应包含风险管理组织结构体系、运行机制、沟通机制、应急机制等方面的内

容。

6.2.2风险管理政策制度分为三层：第一层为风险管理战略、全面风险管理政策等；第二层为风险管

理政策，是针对各类主要风险分别制定的风险管理政策；第三层为各职能部门、业务部门在风险政策的

指导下，制定的操作规程和实施细则等。

7风险管控流程

7.1流程图

风险管控流程包括风险识别、风险评估、风险应对、风险监测、沟通与报告五方面，如图2所示：

图2全面风险管理流程

4

T/ZAIF1001—2020

7.2风险识别

7.2.1要求

风险识别应及时、充分，可用流程分析法、数据分析法、风险与控制自我评估方法进行风险识别。

7.2.2对象

各类风险主要包括：

a)操作风险：由于不完善或有问题的内部程序、人员、信息科技系统或外部事件导致损失的可能

性；

b)合规风险：因未能遵循法律法规的要求，而可能受到法律制裁、监管机构的处罚、重大财务损

失或声誉损失的风险；

c)信用风险：由于债务人或者交易对手不能履行合同义务，或者信用状况的不利变动而造成损失

的可能性；

d)市场风险：由于利率、汇率等市场价格的不利变动而造成损失的可能性；

e)法律风险：因企业外部的法律环境发生变化，或由于包括组织自身在内的各种主体未按照法律

规定或合同约定行使权利、履行义务，而对企业造成负面法律影响的可能性；

f)声誉风险：由于意外事件、市场表现或日常经营活动所产生的负面结果，可能导致公众对组织

的信心受损，使组织的声誉遭受损失的风险；

g)欺诈风险：组织的员工、客户或第三方，单独或与他人联合，用虚构事实或者隐瞒真相的方法

骗取不正当的好处或利益，造成组织财务或其他方面损失的风险；

h)信息安全风险：由于人为或自然的威胁，利用信息系统及其管理体系中存在的脆弱性导致信息

资产的保密性、完整性和可用性遭到破坏的可能性；

i)洗钱风险：因反洗钱控制存在缺陷，导致组织被犯罪分子利用成为洗钱的通道，从而使组织遭

受到声誉、经济损失或者行政、刑事处罚的风险；

j)恐怖融资风险是由以下恐怖融资行为而引起的风险：

1）恐怖组织、恐怖分子募集、占有、使用资金或者其他形式财产；

2）以资金或者其他形式财产协助恐怖组织、恐怖分子以及恐怖主义、恐怖活动犯罪；

3）为恐怖主义和实施恐怖活动犯罪占有、使用以及募集资金或者其他形式财产；

4）为恐怖组织、恐怖分子占有、使用以及募集资金或者其他形式财产。

注：支付行业反欺诈风险管理指南可见附录A，系统安全加固设计参考指南可见附录B，互联网金融行业反洗钱风险

管理指南可见附录C。

7.2.3流程分析法

7.2.3.1对流程的每一阶段、每一环节逐一进行调查分析，将一项特定的经营活动按步骤或阶段顺序以

若干个模块形式组成一个流程图系列，在每个模块中标示出各种潜在的风险因素或风险事件，找出导致

风险发生的原因，分析可能造成的损失及不利影响，制定改善方案。

7.2.3.2步骤：

a)绘制组织的主要业务流程；

b)与各部门业务人员讨论业务流程图是否符合实际情况；

c)分析各流程中存在的主要风险并讨论确定改进方案；

d)制定新的业务流程图，确定合理的、切合实际的业务流程。

5

T/ZAIF1001—2020

7.2.4数据分析法

7.2.4.1根据组织的财务报表、运营数据等数据资料，风险管理人员经过实际的调查研究，对组织的经

营情况进行分析，发现其潜在风险。

7.2.4.2步骤：

a)确定信息需求；

b)收集所需数据；

c)分析数据；

d)过程改进。

7.2.5风险与控制自我评估

组织可通过会议面谈和调查问卷的形式对自身业务活动控制措施的有效性和适当性进行自我评估。

7.3风险评估

组织应对风险对各个方面造成的影响和损失的可能性进行量化评估。根据风险的影响程度以及发生

概率建立风险等级矩阵，通过风险等级矩阵对风险的大小进行评估。

7.4风险应对

组织应考虑建立规避风险、接受风险、降低风险和分担风险的风险应对措施。

7.4.1规避风险

对于发生频率和影响程度均很高的风险，可以采取措施来规避风险，常用的方法有：

a)放弃业务、改变业务模式；

b)采用更成熟的技术方案而非先进但尚未成熟的方案；

c)拒绝与信用不好的交易对手进行交易；

d)避免和不熟悉的服务提供商签约等。

7.4.2接受风险

对于发生概率低、影响程度低的风险，不采取任何行动，保持其现有水平。最常用的措施是根据风

险的概率、影响和可接受的风险损失建立风险储备，包括风险储备资金、资源。

7.4.3降低风险

对于发生频率高，但是损失程度相对较低的风险，可以通过改进控制措施等方法来更好地控制风

险水平，降低风险发生的频率及风险产生的影响。常用的方法有：

a)将金融资产、实物资产或信息资产分散放置在不同地方，以降低遭受灾难性损失的风险；

b)系统冗余设计；

c)借助内部流程或控制，将不良事件发生的可能性降低到可接受的程度。

7.4.4转移风险

对于发生频率低，但是却可能造成严重损失的风险，可以将风险的影响和责任转移给第三方,如保

险。

7.5风险监测

6

T/ZAIF1001—2020

风险监测常用关键风险指标监测法。根据组织的风险成因、风险控制及风险结果，由风险管理部门

和相关业务部门共同构建关键风险指标（KRI），通过系统化建设，实现风险辨识、评估、分析、监控

的全过程动态管理。

7.6沟通与上报

7.6.1组织应对风险事件和风险整体状态进行描述、分析和评价，并按规定流程进行报送。

7.6.2风险管理部门收集及分析风险事项及损失数据，定期或不定期编制风险统计分析报告，并提出

风险应对建议。

7.6.3董事会和管理层审阅风险报告，对于报告中涉及的重大风险应对策略调整方案、风险承受度调

整方案和其他重大事项进行决策。

8管理工具

8.1风险数据库

组织应建立风险数据库对组织的风险事件进行收录，及时了解风险事件的详细信息，依据风险数据

库样本，对风险事件进行数据分析和预测。互联网金融行业的组织风险数据库的模型如表2所示。

表2风险数据库——CERM模型

风险数据库

风应

风

风险对

风当险监监

风险风应调风监

险前应风督督

风风风险发险对整险督

影的对险KPI与与

险险险影生评调后责与

响风的责指检检

编描诱响的估整的任检

的险实任标查查

号述因程可时后剩部查

流应施人措频

度能间的余门人

程对频施率

性措风

率

施险

8.2风险关键指标

8.2.1分类

根据指标时滞性，KRI指标体系可具体分为：

a)预警指标：指标值的变化先于实际风险状况的变化，参考这种指标可以发现“预先警示标志”，

反映风险变动趋势，可用于分析未来风险状况及产生影响；

b)同步指标：指标值的变化同步于风险状况的变化，它的变化时间与风险情况基本一致，用于体

现“正在发生的风险”，其中潜在的风险可能导致组织产生实际的风险事件；

c)滞后指标：用于反映或查找已发生的“历史风险事件”，其值变动时间往往落后于实际风险状

况的变动。

注：如员工离职率，员工离职率过高，可能会引起操作风险发生的几率上升。

注：如客户投诉数量，反映客户对组织提供服务的满意程度。

7

T/ZAIF1001—2020

注：如信息系统每年宕机次数、资金损失率等。

8.2.2特征

关键指标应具有以下特征：

a)关键性；

b)容易获得，可以定期得到更新的数据；

c)风险敏感性；

d)可以量化；

e)对支持和改进管理决策有帮助。

8.2.3管理步骤

管理步骤如下：

a)分析风险成因，从中找出关键成因；

b)将关键成因量化，确定其度量，分析确定导致风险事件发生（或极有可能发生）时该成因的具

体数值；

c)以该具体数值为基础，以发出风险预警信息为目的，加上或减去一定数值后形成新的数值，该

数值即为关键风险指标；

d)建立风险预警系统，当关键成因数值达到关键风险指标时，发出风险预警信息；

e)制定出现风险预警信息时应采取的风险控制措施；

f)跟踪监测关键成因数值的变化，一旦出现预警，即实施风险控制措施。

8.2.4原则

按以下原则选取风险指标：

a)重要性原则，指标的选择应覆盖当前重要风险环节、风险易发或者风险严重的业务领域；

b)开放性原则，KRI体系是动态的、开放的，随着业务发展和风险偏好的转移，指标的选择应相

应地进行调整和完善；

c)事前预警和事后计量相结合的原则，指标体系中的部分指标应对风险有预先警示的作用，部分

指标应在事后对风险事件的损失情况进行计量，从而不断积累风险损失数据；

d)风险容忍原则，指标体系的建立并非要覆盖所有业务条线的所有风险点，根据成本效益原则，

对部分风险可以不进行监测。

8.2.5关键风险指标的制定

制定关键风险指标时包括但不限于以下内容：

a)指标名称；

b)指标计算公式及公式中各项内容的具体含义；

c)阈值及管理触发机制；

d)指标类型；

e)数据收集流程及报告机制（频率、内容、收集部门等）；

f)相关负责部门及人员。

8.3风险限额

组织应根据风险偏好，按照客户、行业、区域、产品等维度设定风险限额，并据此对业务开展监测

和控制。

8

T/ZAIF1001—2020

8.4风险地图

8.4.1编制原则

风险地图的编制应按照“突出重点、逐步推进、务求实效”的原则，结合组织经营管理的实际，对

各个业务环节、业务领域进行风险排查，通过对各项风险进行评估和计量，展现风险分布和发展趋势，

为组织的发展提供决策依据。

8.4.2编制方法

通过绘制组织业务活动的风险地图，展现组织管理流程中存在的相关风险信息。用风险地图的横坐

标表示风险发生的频率，纵坐标表示风险发生的强度，图中的点来自于不同的业务线，代表不同的风险

种类。

8.5风险报告

8.5.1实施全面风险管理定期报告机制，定期进行全面风险管理情况分析、总结、评价、报告管理层

以及董事会。

8.5.2对于重大风险事件通过专项事件报告，形成重大风险事件评估、应对、报告的管控机制，有效

避免和降低组织遭受重大损失的可能性。

8.6控制测试

控制测试是对内部控制的有效性和实际实施情况实施的审计程序，对风险管理的流程及其有效性进

行检验评估，并根据评估测试的结果及时改进。控制测试的方法主要包括询问、观察、检查和穿行测试。

9信息系统建设

9.1组织应建立完善的风险管理信息系统，采取定性和定量相结合的方法，识别、计量、评估、监测、

控制和报告各类风险。

9.2应从风险信息的采集、存储、分析、预警、传递、报告、应对、监督与改进等各个方面，为实施

全面风险管理建立一整套工作流程。

9

T/ZAIF1001—2020

AA

附录A

（规范性附录）

支付行业反欺诈风险管理指南

A.1概述

A.1.1欺诈风险

A.1.1.1欺诈风险指欺诈者故意制造假相、隐瞒事实真相，利用各种手段使他人发生错误认识并诱导

他人上当，直至欺诈者从中获取到一定的利益，并导致他人承担资金损失的风险。

A.1.1.2结合支付公司的业务场景，欺诈风险类型主要分为商户欺诈和交易欺诈。

A.1.2商户风险管理

风险管理者采取各种措施和方法，防止或降低风险事件发生的各种可能性，或者减少风险事件发生

时造成的损失。

A.2商户风险管理标准

A.2.1商户准入标准

A.2.1.1商户准入尽职调查

根据不同行业制定不同的准入标准，为确保在商户准入环节把握第一道防线，做好风险预防工作，

对商户采取的尽职调查方式不限于电话沟通、邮件沟通、现场尽调，其中现场尽调结束后，需做好记录

归档工作。

A.2.1.2商户风险评估

组织应对特约商户进行风险评估，根据评估结果进行分层管理，分两个阶段对商户风险等级进行评

定，分别是商户风险等级初评和商户风险等级重新评定。商户风险等级可分为高风险、中风险、低风险。

a)商户风险等级初评：指在商户准入环节，根据商户所属行业、经营内容、业务模式、资质情况、

配置产品等维度来初步评定商户风险等级；

b)商户风险等级重新评定：指根据商户交易情况、违规情况、经营内容或业务模式是否发生变化

等维度对商户风险等级进行动态调整及评估。

A.2.2商户风险监测标准

特约商户准入、上线后，应当根据商户风险等级、产品配置、交易渠道、交易终端或接口类型、交

易类型、交易金额、交易时间、商户类别等风险指标建立相应的风险监测模型及体系。

a)根据商户风险等级建立日常巡检机制：高风险、中风险、低风险的巡检频次分别是3个月、6

个月、12个月，确保特约商户在12个月内至少被巡检一次。巡检方式不限于现场尽调或非现

场尽调方式；

b)根据特约商户违规类型的交易特征，建立异常交易监测模型及规则，快速锁定异常商户名单，

缩小风险排查范围；

10

T/ZAIF1001—2020

c)根据特定时间范围内出现的风险特征开展专项风险排查项目，筛查违规商户名单，确保特约商

户业务合规化发展；

d)根据特约商户信息，建立完善的舆情监测系统，及时了解和发现特约商户的负面信息，便于在

第一时间采取应对措施。

A.2.3商户风险管控标准

组织应根据实际情况制定商户风险管控相关制度，商户交易监测过程中如发现商户存在违规行为，

应及时对商户采取相应风险管控措施，包括但不限于整改、降额、暂停合作、终止合作、延迟清算、录

入商户黑名单库等。

A.3交易风险管理

A.3.1概述

组织应建设功能完善的反欺诈实时监测系统,用于识别用户交易过程中可能存在的欺诈风险，风险

类型包括但不限于银行卡盗刷、账户盗用、虚假交易、伪冒签约、违规套现、侧录、买卖或租借银行账

户、第三方软件漏洞登录等。

A.3.2事前风险预防

组织应参与产品风险评估，包括了解产品的设计、运营模式、资金流向等产品相关信息。针对产品

设计功能各个环节可能存在的风险点提出风险防控措施并设置相应的风控埋点。包括但不限于产品交易

限额、行业范围、业务规则及风控规则的设置。

A.3.3交易风险监测

A.3.3.1基于交易过程中可能存在的欺诈风险，组织应建立实时交易监测系统，及时阻断高风险交易。

A.3.3.2并针对交易中新出现的各种钓鱼链接、木马病毒、预留手机被更改、非本人用卡、骗贷等不

同风险类型时，不断更新风控模型和风险规则。

A.3.3.3实时风险交易监测中可根据用户交易信息，环境信息，身份信息，操作信息等维度进行综合

判断，并配套进行策略输出，不限于直接阻断高风险交易、二次验证、关联录黑等。

A.3.4交易风险审理

组织应建立完善的人工审核机制和赔付制度。可采取以下措施：

a)对交易监测系统侦测出的风险可疑交易进行人工审核，若存在交易欺诈风险，致电持卡人告知

其银行卡存在异常交易情况，并对持卡人进行安全教育，建议持卡人查询银行账户资金情况；

b)如非本人操作且存在资损情况，建议持卡人紧急挂失银行卡并尽快报案；

c)在盗卡处理流程中，应积极协调特约商户紧急拦截资金或追踪物流情况；

d)对于未收货或者未发货的支付单进行及时止损；

e)对于未出票等情况取消订单操作。

A.4名单管理标准

组织应根据实际工作需要，建立各类风控名单库，如用户黑名单、用户灰名单、白名单、商户黑名

单、规则免疫名单等。各类名单应用原则如下：

11

T/ZAIF1001—2020

a)用户黑名单：有效期内拒接用户发起交易并将存在关联关系的用户名单自动录入用户黑名单库

中；

b)用户灰名单：有效期内拒接交易，有效期较短；

c)白名单：仅限于商户测试人员及公司内部测试人员使用，禁止正常用户配置；

d)商户黑名单：应用于商户准入及上线环节，如命中商户黑名单则会进行预警提示；

e)规则免疫名单：针对正常交易用户被误拦截情况下可进行规则免疫配置。

A.5外部机构合作标准

A.5.1支付清算协会

A.5.1.1接入支付清算综合服务平台，及时报送风险商户及风险用户信息，实现风险数据共享，强化

各支付机构之间的风险联防。

A.5.1.2接入商户信息报送系统，定期报送特约商户发展情况，不限于新增、变更、删除等。

A.5.1.3积极参与支付清算协会组织的各个课题研究。

A.5.2反欺诈中心

A.5.2.1对接人民银行电信反欺诈管理平台，根据公安、反欺诈中心等工作人员在对应字段录入的信

息，由系统自动提取并反馈相关订单信息。针对调取失败的任务，由人工介入进行排查。如发现存在关

联商户则采取相应管控措施，包括但不限于暂停合作、终止合作、冻结资金等。

A.5.2.2积极配合公安及全国各地反欺诈中心工作，共同打击电信网络违法犯罪活动。

A.6宣传培训

A.6.1通过官网或微信公众号等方式分享风险事件案例，提升商户及用户的风险意识。

A.6.2定期对相关部门进行反欺诈知识培训。

A.6.3定期或者不定期对商户及用户进行安全教育。

12

T/ZAIF1001—2020

BB

附录B

（规范性附录）

系统安全加固设计参考指南

B.1物理和环境安全

B.1.1基础设施安全

基础设施安全应符合以下要求：

a)组织的数据中心场地应选择在具有防震、防风和防雨等能力的建筑内；

b)组织的数据中心场地应避免设在建筑物的顶层或地下室，否则应加强防水和防潮措施；

c)组织应将主要设备放置在数据中心内；

d)应对数据中心内的设备或主要部件进行固定，并设置明显的不易除去的标记；

e)数据中心内的通讯线缆应铺设在隐蔽安全处；

f)数据中心内的各类机柜、设施和设备等应通过接地系统安全接地；

g)数据中心建筑应设置避雷装置；

h)应设置防雷保护器或过压保护装置等措施防止感应雷；

i)应设置自动消防系统，能够自动检测火情、自动报警，并自动灭火；

j)数据中心内的相关建筑材料应使用耐火等级材料；

k)数据中心内应采取措施防止雨水、地下积水等渗透；

l)数据中心内应配备有防水检测和自动报警设备；

m)数据中心内应安装防静电地板并采取防静电产生的措施，如采用静电消除器；

n)数据中心内应设置温、湿度自动调节设置，确保内部温湿度在设备运行所允许的范围内；

o)应在数据中心供电线路上配置稳压器和过电压防护设备；

p)数据中心内应提供短期的备用电力供应，至少确保在断电情况下，不影响业务正常运行；

q)应设置冗余或并行的电力电缆线路为计算机系统供电；

r)应建立备用供电系统；

s)应采用接地方式防止外界电磁干扰和设备寄生耦合干扰，关键设备应实施电磁屏蔽。

B.1.2物理访问控制

物理访问控制要求应包括：

a)数据中心出入口应安排专人值守并配置电子门禁系统，控制、鉴别和记录进出的人员；

b)应确保数据中心电子门禁系统记录存储时间不低于三个月；

c)来访人员进入数据中心应经过申请和审批，并限制和监控来访人员的活动范围；

d)宜对机房划分区域进行管理，区域和区域之间设置物理隔离装置，在重要区域前设置交付或安

装等过渡区域；

e)重要区域宜配置第二道电子门禁系统，控制、鉴别和记录进出的人员；

f)数据中心应设置防盗报警系统或设置有专人值守的视频监控系统；

g)应确保数据中心监控记录存储时间不低于三个月。

B.2网络和通信安全

13

T/ZAIF1001—2020

B.2.1网络架构

网络架构应符合以下要求：

a)应确保组织内的网络设备的业务处理能力具备冗余空间，满足业务高峰期需要；

b)应确保组织内网络各个部分的带宽可以满足业务高峰期需要；

c)应划分不同的网络区域，并避免将重要网络区域部署在边界处且直接连接外部信息系统；

d)重要网络区域与其他网络区域之间应采取可靠的技术隔离手段；

e)应提供通信线路、关键网络设备的硬件冗余，保证系统的可用性；

f)应绘制与当前运行情况相符的网络拓扑结构图；

g)按照对业务服务的重要次序来指定带宽分配优先级别，保证在网络发生拥堵的时候优先保护重

要主机。

B.2.2通信传输

通信传输应符合以下要求：

a)应采取措施确保通信过程中数据传输的完整性；

b)应采取密码技术确保通信过程中数据传输的保密性。

B.2.3访问控制

访问控制应符合以下要求：

a)应在网络边界或区域间根据访问控制策略以及最小化、默认拒绝原则设置访问控制规则；

b)应在业务终端与业务服务器之间进行路由控制，建立安全的访问路径；

c)应限制非授权设备私自联到内部网络；

d)应限制内部用户非授权联到外部网络；

e)应对源地址、目的地址、源端口、目的端口和协议等进行检查，以允许/拒绝数据包进出；

f)应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力，控制粒度为端口级；

g)应定期复核访问控制规则，删除多余或无效的访问控制规则，优化访问控制列表；

h)应对进出网络的数据流实现基于应用协议和应用内容的访问控制；

i)主要网络设备应采用两种或两种以上组合的鉴别技术对用户进行身份鉴别，且其中一种鉴别技

术至少应使用动态口令、密码技术或生物技术来实现。

B.2.4安全防范

安全规范应包括：

a)应在关键网络节点处检测、防止或限制从内部或外部发起的网络攻击行为；

b)应能对非授权设备私自连接到内部网络的行为进行检查，并对其进行有效阻断；

c)应能对内部网络用户私自连接到外部网络的行为进行检查，并对其进行有效阻断；

d)应限制无线网络的使用，确保无线网络通过受控的边界防护设备接入内部网络；

e)应采取措施对网络行为进行分析，实现对网络攻击行为的分析；

f)应对检测到的攻击行为进行详细记录和分析，并提供告警机制；

g)应在关键网络节点处对恶意代码进行检测和清除，并定期维护；

h)应在关键网络节点处对垃圾邮件进行检测和防护，并定期维护；

i)应定时更新升级恶意代码库及检测系统；

j)对非法外联和非法接入行为进行检测并阻断的同时，应以报警方式通知管理员；

14

T/ZAIF1001—2020

k)应在系统网络中监视以下攻击行为：端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓

冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等。

l)当检测到攻击行为时，记录攻击源IP、攻击类型、攻击目的、攻击时间，在发生严重入侵事

件时应报警并自动采取相应措施。

B.2.5安全审计

安全审计应符合以下要求：

a)应对网络系统中的网络设备运行状况、网络流量、用户行为和重要安全事件等进行日志记录；

b)应确保记录的留存时间符合法律法规要求；

c)应对日志记录进行保护，避免受到未预期的删除、修改或覆盖等；

d)应对网络日志进行审计，对其进行统计、查询、分析；

e)应在网络边界、重要网络节点进行安全审计，尤其关注重要的用户行为和安全事件；

f)审计记录应详尽，确保包括事件的日期和时间、用户、事件类型、事件结果、影响等信息；

g)应对审计记录进行保护，定期备份；

h)应对特殊权限行为进行单独审计，如远程访问的用户行为、访问互联网的用户行为等；

i)应具备自动化审计工具，可自动进行统计、查询、分析及生成审计报表的功能；

j)应根据系统统一的安全策略，实现集中审计。

B.3设备和计算安全

B.3.1身份鉴别

身份鉴别应包括：

a)应对登录的用户进行身份标识和鉴别，身份标识应确保唯一性，身份鉴别信息具有复杂度要求

且定期更换；

b)应具有失败登录处理功能，设置限制非法登录次数、超时自动退出等措施；

c)应对远程管理的行为采取保护措施，确保鉴别信息在网络传输中的安全性；

d)主要网络设备应采用两种或两种以上组合的鉴别技术对用户进行身份鉴别，且其中一种鉴别技

术至少应使用动态口令、密码技术或生物技术来实现。

B.3.2访问控制

访问控制要求如下：

a)应对登录的用户分配账户和权限；

b)应重命名或删除默认账户，修改默认账户的默认口令；

c)应及时删除或停用多余的、过期的账户；

d)应进行角色划分，并遵循最小化按需授权原则对角色授权，确保权限分离；

e)应定期复核访问控制策略，确保策略的安全性和有效性。

B.3.3资源控制

资源控制应符合以下要求：

a)应限制单个用户或进程对系统资源的最大使用限度；

b)应对登录设备的源地址进行限制；

c)应提供重要节点设备的硬件冗余，保证系统的可用性；

15

T/ZAIF1001—2020

d)应对重要节点进行监视，包括APU、硬盘、内存等资源的使用情况；

e)应对重要节点的服务水平进行监测，并提供告警机制。

B.3.4安全防范

安全防范应符合以下要求：

a)应遵循最小化安装的原则，仅安装需要的组件和应用程序；

b)应关闭不需要的系统服务和端口；

c)应对漏洞进行检测，并在充分测试评估后，及时修补漏洞；

d)应对入侵行为进行检测，提供告警机制并详细记录分析；

e)身份鉴别信息应具有不易被冒用的特点，口令应有复杂度要求并定期更换；

f)应能对系统程序、应用程序和重要配置文件/参数进行可信执行验证，并在检测到其完整性受

到破坏时采取恢复措施；

g)应提供自动恢复功能，当故障发生时恢复原来的工作状态，如自动启动新的进程。

B.3.5安全审计

安全审计应包括：

a)应启用安全审计功能，尤其关注重要的用户行为和安全事件；

b)审计记录应详尽，确保包括事件的日期和时间、用户、事件类型、事件结果、影响等信息；

c)应对审计记录进行保护，定期备份；

d)应能根据信息系统的统一安全策略，实现集中审计；

e)应保护审计进程，避免受到未预期的中断。

B.4应用和数据安全

B.4.1身份鉴别

身份鉴别应包括：

a)应对登录的用户进行身份标识和鉴别，身份标识应确保唯一性，身份鉴别信息具有复杂度要求

且定期更换；

b)应具有失败登录处理功能，设置限制非法登录次数、超时自动退出等措施；

c)应强制用户首次登陆时修改初始口令；

d)用户身份鉴别信息丢失或失效时，应采用技术措施保证鉴别信息重置过程的安全；

e)应设置鉴别警示信息，描述未授权访问可能导致的后果；

f)主要应用应采用两种或两种以上组合的鉴别技术对用户进行身份鉴别，且其中一种鉴别技术至

少应使用动态口令、密码技术或生物技术来实现；

B.4.2访问控制

访问控制要求如下：

a)应提供访问控制功能，对登录的用户分配账户和权限；

b)应重命名或删除默认账户，修改默认账户的默认口令；

c)应及时删除或停用多余的、过期的账户；

d)应进行角色划分，并遵循最小化按需授权原则对角色授权，确保权限分离；

e)应定期复核访问控制策略，确保策略的安全性和有效性

16

T/ZAIF1001—2020

B.4.3资源控制

资源控制应符合以下要求：

a)当通信双方中的一方在一段时间内未作出任何响应，另一方应能够自动结束会话；

b)应能够对系统的最大并发会话连接数进行限制；

c)应能够对单个账户的多重并发会话进行限制。

B.4.4安全防范

安全防范应符合以下要求：

a)应在故障发生时，能继续提供一部分功能，保证能够实施必要的措施；

b)应对应用漏洞进行检测，并在充分测试评估后，及时修补漏洞；

c)应采用相关措施确保数据在传输过程和存储过程中的完整性；

d)应采用相关措施确保数据咋传输过程和存储过程中的保密性；

e)应提供自动保护功能，当故障发生时自动保护当前所有状态，保证系统能够进行恢复；

f)应提供重要数据的本地数据备份与恢复功能；

g)应提供重要数据异地实时备份功能；

h)应提供重要数据处理系统的热冗余，保证系统的高可用性；

i)应确保存有敏感数据、鉴别信息的存储空间被释放或重新分配前得到完全清除；

j)应确保仅采集和保存业务必须的用户信息，且禁止未授权访问和非法使用用户信息；

k)应能对系统程序、应用程序和重要配置文件/参数进行可信执行验证，并在检测到其完整性受

到破坏时采取恢复措施；

l)应提供自动恢复功能，当故障发生时恢复原来的工作状态，如自动启动新的进程；

m)应具有在请求的情况下为数据原发者或接收者提供数据原发证据的功能；

n)应对数据原发行为和数据接收行为进行数字签名，数字签名应优先使用SM系列算法，并符合

GM/T0054—2018的相关规定

B.4.5安全审计

安全审计应包括：

a)应启用安全审计功能，尤其关注重要的用户行为和安全事件；

b)审计记录应详尽，确保包括事件的日期和时间、用户、事件类型、事件结果、影响等信息；

c)应对审计记录进行保护，定期备份；

d)应能根据信息系统的统一安全策略，实现集中审计；

e)应保护审计进程，避免受到未预期的中断。

B.5安全策略和管理制度

B.5.1安全策略

应制定组织内信息安全的总体方针和安全策略。

B.5.2管理制度

应建立安全管理制度，符合以下要求：

a)应对安全管理活动中的各类管理活动建立安全管理制度；

b)应对形成由安全策略、管理制度、操作规程、记录表单等构成的全面的信息安全管理制度体系；

17

T/ZAIF1001—2020

c)应定期对安全管理制度的合理性和适用性进行评审，及时修订；

d)数据中心中的开发、测试和运行设施应分离，以降低未授权访问或改变运行系统的风险；

e)应制定支付标记化安全管理制度，明确不得留存账户敏感信息；

f)存储Token时，应对Token实施有效的安全保护。

B.6人员安全

B.6.1人员录用

人员录用时，应符合以下要求：

a)应对被录用人员进行背景调查；

b)应与被录用人员签署保密协议。

B.6.2人员离岗

人员离岗时，应符合以下要求：

a)应及时终止离岗人员的所有访问权限，取回公司设备；

b)应办理严格的调离手续，并确保离岗人员承诺调离后的保密义务。

B.6.3安全意识教育和培训

应对人员进行安全意识教育和培训，具体要求如下：

a)应对组织内各类人员进行安全意识教育和岗位技能培训，并告知相关的安全责任和惩戒措施；

b)应针对不同岗位人员制定不同的培训计划，并定期进行人员安全意识和岗位技能考核。

B.6.4访客管理

访客管理应包括：

a)访客在物理访问受控区域前应经过申请并登记，批准后由组织内部专人全程陪同；

b)访客接入受控网络前应先经过书面的申请审批以后，由专人协助创建最小化权限的独立账户，

并登记备案；

c)访客离场时应及时清除其所有的访问权限，回收设备；

d)获得系统访问授权的外部访客应签署保密协议。

18

T/ZAIF1001—2020

CC

附录C

（规范性附录）

互联网金融组织洗钱风险管理指南

C.1概述

C.1.1《法人金融机构洗钱和恐怖融资风险管理指引（试行）》要求法人金融机构高度重视洗钱、恐怖

融资和扩散融资风险（统称反洗钱风险）管理，任何相关事件发生都可能导致声誉风险和法律风险。

C.1.2洗钱风险管理体系包括风险管理架构、风险管理策略、风险管理政策和程序、信息系统与数据

治理等，涉及客户身份识别与记录保存、风险评估、交易监测与报告、后续控制措施等。

C.1.3反洗钱工作人员来自中行、花旗、平安、广发等机构，核心成员平均反洗钱工作年限达到8年以

上，拥有丰富的反洗钱实操经验。

C.1.4反洗钱工作是互联网金融行业从业人员的必学必备知识和监管要求，反洗钱标准主要让业内人

员认识和了解反洗钱基本术语和基本反洗钱要求，同时指导构建洗钱风险管理体系。

C.2组织管理要求

C.2.1组织架构

C.2.1.1基本要求

组织应当建立组织健全、结构完整、职责明确的洗钱风险管理架构，规范董事会、监事会、高级管

理层、业务部门、反洗钱管理部门、内部审计部门、人力资源部门、信息科技部门、境内外分支机构和

相关附属机构在洗钱风险管理中的职责分工，建立层次清晰、相互协调、有效配合的运行机制。

C.2.1.2反洗钱工作领导小组

组织应当依据国家和中国人民银行制定的反洗钱相关法律规章，建立董事会负责下的反洗钱工作领

导小组。领导小组设组长及副组长。组长由本组织首席执行官担任，副组长由本组织分管反洗钱工作的

副总裁担任；领导小组成员由与反洗钱工作相关的业务、内部审计、人力资源、信息科技等部门的负责

人组成；领导小组下设办公室，由反洗钱管理部门承担。

C.2.1.3反洗钱岗位

组织反洗钱资源配置应当与其业务发展相匹配，配备充足的洗钱风险管理人员，其中:反洗钱管理

部门应当配备专职洗钱风险管理岗位（反洗钱岗位）人员，业务部门、境内外分支机构及相关附属机构

应当根据业务实际和洗钱风险状况配备专职或兼职洗钱风险管理岗位（反洗钱岗位）人员。

C.2.2组织架构说明和职责

C.2.2.1董事会承担洗钱风险管理的最终责任，主要履行以下职责:

a)确立洗钱风险管理文化建设目标；

b)审定洗钱风险管理策略；

c)审批洗钱风险管理的政策和程序；

d)授权高级管理人员牵头负责洗钱风险管理；

19

T/ZAIF1001—2020

e)定期审阅反洗钱工作报告，及时了解重大洗钱风险事件及处理情况；

f)其他相关职责。

C.2.2.2监事会承担洗钱风险管理的监督责任，负责监督董事会和高级管理层在洗钱风险管理方面的

履职尽责情况并督促整改，对本机构的洗钱风险管理提出建议和意见。

C.2.2.3高级管理层承担洗钱风险管理的实施责任，执行董事会决议，主要履行以下职责:

a)推动洗钱风险管理文化建设；

b)建立并及时调整洗钱风险管理组织架构，明确反洗钱管理部门、业务部门及其他部门在洗钱风

险管理中的职责分工和协调机制；

c)制定、调整洗钱风险管理策略及其执行机制；

d)审核洗钱风险管理政策和程序；

e)定期向董事会报告反洗钱工作情况，及时向董事会和监事会报告重大洗钱风险事件；

f)组织落实反洗钱信息系统和数据治理；

g)组织落实反洗钱绩效考核和奖惩机制；

h)根据董事会授权对违反洗钱风险管理政策和程序的情况进行处理；

i)其他相关职责。

C.2.2.4反洗钱工作领导小组将涉及反洗钱工作的各部门纳入领导小组的范畴。定义反洗钱领导小组

及其成员部门的工作职责、议事规程和管理机制。充分发挥反洗钱工作领导小组作为反洗钱职能部门与

各部门之间为完成反洗钱内控机制、反洗钱风控措施进行有效沟通的平台和纽带作用。

C.3洗钱风险管理原则

C.3.1全面性原则

洗钱风险管理应当贯穿决策、执行和监督的全过程；覆盖各项业务活动和管理流程；覆盖所有境内

外分支机构及相关附属机构，以及相关部门、岗位和人员。

C.3.2独立性原则

洗钱风险管理应当在组织架构、制度、流程、人员安排、报告路线等方面保持独立性，对业务经营

和管理决策保持合理制衡。

C.3.3匹配性原则

洗钱风险管理资源投入应当与所处行业风险特征、管理模式、业务规模、产品复杂程度等因素相适

应，并根据情况变化及时调整。

C.3.4有效性原则

洗钱风险管理应当融入日常业务和经营管理，根据实际风险情况采取有针对性的控制措施，将洗钱

风险控制在自身风险管理能力范围内。

C.4洗钱风险管理策略

C.4.1基本要求

20

T/ZAIF1001—2020

组织应当按照风险为本的方法制定科学、清晰、可行的洗钱风险管理策略，完善相关制度和工作机

制，合理配置、统筹安排人员、资金、系统等反洗钱资源，定期评估其有效性，并根据洗钱风险状况及

市场变化及时进行调整。

C.4.2主要内容

组织制定的洗钱风险管理策略，包括但不限于以下内容：

a)客户身份识别；

b)名单筛查；

c)洗钱风险评估；

d)反洗钱调查；

e)可疑交易报告；

f)客户资料和交易记录保存；

g)保密措施；

h)共享机制；

i)应急计划；

j)涉及恐怖活动资产冻结管理；

k)信息系统和数据治理。

C.4.3客户身份识别

C.4.3.1客户信息

遵循“了解你的客户”原则，针对具有不同洗钱或者恐怖融资风险特征的客户、业务或者交易采取相

应的合理措施，了解客户建立、维持业务关系的目的及交易性质。收集、识别、核验和留存客户信息：

a)要求客户提供符合法律规定或本机构所要求的完整、合法的客户身份资料，并通过合理手段核

对客户基本信息的真实性；

b)根据洗钱风险评估要求，了解客户基本信息、业务关系、客户产品和服务的用途、资金来源、

资金用途和经营状况等信息；

c)对于提供的资料不完整、不真实或失效的客户，拒绝与其建立业务关系。

C.4.3.2受益所有人

加强对非自然人客户的身份识别，提高受益所有人信息透明度，防范复杂股权或者控制权结构导致

的洗钱和恐怖融资风险。

C.4.3.3禁止合作

有以下情形之一的，禁止与其建立或维持业务关系：

a)客户属于国家法律法规或本机构禁止准入的行业；

b)客户或客户的股东、实际控制人、受益所有人或者相关联的人员，被列入政府机构或国际组织，

如中国公安部、中国人民银行、海外资产控制办公室（OFAC）等发布的，或我国承认的应实施

反洗钱监控措施的名单，且相关名单在本机构或监管禁止提供账户服务、禁止交易之列；

c)要求开立匿名账户或假名账户的；

d)无法进行客户身份识别工作的；

e)经评估超过本机构风险管理能力的；

f)其他违法准入标准的情况。

21

T/ZAIF1001—2020

C.4.4名单筛选

以下情况会触发名单筛查：

a)与客户建立业务关系时，对客户及相关人员（如法定代表人、控股股东、实际控制人、受益所

有人）开展名单筛查；

b)交易发生时，对客户及其交易对手开展名单筛查；

c)名单变更时，对所有客户以及交易开展回溯性筛查；

d)客户身份信息变更时，对该客户开展名单筛查；

e)本机构认为应重新进行名单筛查的其他情形。

C.4.5洗钱风险评估

C.4.5.1机构洗钱风险评估

C.4.5.1.1按照全面性、独立性、匹配性及有效性原则，从国家/地域、客户及业务（含产品、服务）

等维度综合考虑，确立风险因素，设置风险评估指标，开展机构洗钱风险评估。

C.4.5.1.2国家/地域风险因素应当考虑：

a)在高风险国家（地区）设立境外分支机构情况；

b)交易对手或对方金融机构涉及高风险国家（地区）情况；

c)境外分支机构数量及地域分布情况；

d)高风险国家（地区）经营收入占比等。

C.4.5.1.3客户风险因素应当考虑：

a)非居民客户数量占比；

b)离岸客户数量占比；

c)政治公众人物客户数量占比；

d)使用不可核查证件开户客户数量占比；

e)职业不明确客户数量占比；

f)高风险职业（行业）客户数量占比；

g)由第三方代理建立业务关系客户数量占比；

h)来自高风险国家（地区）的客户情况；

i)被国家机关调查的客户情况等。

C.4.5.1.4业务（含产品、服务）风险因素应当考虑：

a)非面对面交易情况；

b)跨境交易情况；

c)代理交易情况；

d)公转私交易情况；

e)特约商户业务情况；

f)一次性交易情况；

g)通道类资产管理业务情况等。

C.4.5.2产品洗钱风险评估

按照全面覆盖、风险为本及动态调整的原则，根据产品属性