《安全和韧性 产品和文档的真实性、完整性和可信性 产品欺诈风险与对策的一般原则》（征求意见稿）.docx

1

GB/TXXXXX—XXXX/ISO22380:2018

安全和韧性产品和文档的真实性、完整性和可信性产品欺诈风险与对策的一般原则

1范围

本文件为组织建立了识别各类产品欺诈和产品欺诈者相关风险的一般原则，指导组织如何以经济有效的方式制定战略、业务对策，以防止或减少此类欺诈攻击造成的任何伤害、有形或无形损失和成本。

本文件适用于所有组织，无论其类型、规模或性质，无论是私营或公共组织，适合于组织的需求、目标、资源和约束，旨在促进在产品相关欺诈风险及其对策领域的共识。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

GB/T24353-2022风险管理指南（ISO31000:2018，IDT）

ISO22300安全和韧性术语（Secrityandresilience—Vocabulary）

3术语和定义

ISO22300界定的以及下列术语和定义适用于本文件。3.1

产品欺诈productfraud

利用物质商品谋取经济或个人利益的不法或犯罪欺骗行为。

注1：欺诈是指为了获得经济或个人利益而造成社会或经济损害的不法或犯罪欺骗行为。注2：产品包括以实物为载体的电子媒介。

注3：应单独考虑涉及与数字传播电子媒体有关的欺诈。

4产品欺诈风险和对策的一般原则

4.1产品欺诈的情境背景评估

4.1.1考虑产品欺诈的机会

组织宜将其欺诈控制策略建立在对欺诈意图、动机、性质和类型以及欺诈者的正确理解之上。

组织宜考虑发生犯罪必不可少的三个要素（欺诈者、受害者/目标和监管薄弱），作为实施预防犯罪活动的基础。

当一个有动机的欺诈者和合适目标聚集在同一时间和地点，而缺乏有能力的监护人在场时，就会发生犯罪。

当产品欺诈者认为特定欺诈目标是脆弱的，可从欺诈攻击获得足够的回报，且缺乏或只有薄弱的监督和对策来阻止、拖延、阻碍或停止他们的攻击时，就构成了欺诈犯罪。这种漏洞被称为“欺诈机会”。这是基于犯罪学中的“理性选择”理论，该理论认为，当人们认为犯罪风险低而回报高时，就会犯罪，如图2所示。

2

GB/TXXXXX—XXXX/ISO22380:2018

产品欺诈者

产品欺诈者

产品欺诈机会

受害者/目标

监管薄弱

图2产品欺诈机会犯罪三角形

组织宜区分产品欺诈和金融欺诈，因为产品欺诈总是与产品相关，而金融欺诈的范围更广，不一定与产品相关。

金融欺诈的主要因素是压力、机会和合理化。金融欺诈中的欺诈者通常是雇员，而产品欺诈中的欺诈者则各不相同，如表4所示。

4.1.2评估产品欺诈风险

组织宜评估产品欺诈的情境背景。宜了解显著影响产品欺诈风险的因素以及对策的有效性。评估产品欺诈风险的外部情境背景包括以下几个方面：

——社会和文化、政治、法律、监管、金融、技术和经济环境；

——自然和竞争环境，无论是国际、国家、区域或当地市场以及供应链；——影响特定产品和品牌所有者的关键驱动因素和趋势；

——与外部利益相关者的关系，以及外部利益相关者的认知和价值观。评估产品欺诈风险的内部情境背景包括以下几个方面：

——治理、组织结构、角色和职责；

——政策、目标以及为实现这些目标而制定的策略；

——根据资源和知识（如资本、时间、人员、过程、系统和技术）来理解的能力；——信息系统、信息流和决策过程（正式和非正式）；

——与内部利益相关者的关系，以及内部利益相关者的认知和价值观；——组织文化；

——利益相关者采用的标准、指南和模式。

4.2产品欺诈的意图和动机分类

组织宜对产品欺诈的意图进行分类，见表1：

——欺骗性产品是指放置在供应链中意图在各个方面欺骗消费者使其相信产品是真货的产品；

3

GB/TXXXXX—XXXX/ISO22380:2018

——非欺骗性产品是指不试图通过其在市场上的定位来欺骗消费者使其相信该产品是真货，无论是通过其销售的零售店类型（跳蚤市场等），其价格（成倍地低）或质量（差）。

即使非欺骗性产品的分销商和销售者不试图欺骗消费者，使他们相信产品是真的，他们仍然是产品欺诈者，因为他们欺骗了知识产权（IPR）持有人。

表1按意图对产品分类

欺骗的意图

说明

欺骗性产品

放置在供应链中意图欺骗消费者使其相信产品是真货的产品。

非欺骗性产品

不试图欺骗消费者使其相信产品是真货的产品。

组织还宜对产品欺诈的动机进行分类，见表2：

——娱乐性产品欺诈是指为了消遣、乐趣、玩笑或仅仅是刺激而进行的欺诈行为；

——偶然性产品欺诈是指不经常或适时地发生的被动欺诈行为；

——职业产品欺诈是指内部人员在其