客户运营中心内控安全培训(1)

1、服务内控服务内控 客户运营中心内控安全培训 大纲 数据定义 数据使用 违规案例 大纲 数据定义 数据使用 违规案例 “数据” 的定义和范围 所有跟工作相关的数据、文档、信息等 数据 “数据” 的分类、分级 客户数据(C) 业务数据(S) 公司数据(B) 数据分级 公开数据L1内部数据L2保密数据L3机密数据L4 客户可公开数据 C1 客户可共享数据 C2 客户隐私数据 C3 客户机密数据 C4 业务可公开数据 S1 业务内部数据 S2 业务保密数据 S3 业务机密数据 S4 公司可公开数据 B1 公司内部数据 B2 公司保密数据 B3 公司机密数据 B4 数据类型 按照集团数据安全总纲规定，数

2、据分为L1L4四个等级，L1为最低等级，L4为最高等级。其中 敏感数据范围包括L3数据（保密数据）、L4数据（机密数据）和B2数据（公司内部数据）。 菜鸟业务中有哪些敏感数据？ 全网数据（L4) 分业务大盘数据(L3) 业务保密数据（L3） 资产相关 数据(L4) 密码相关 数据(L4) 买/卖家个人 隐私数据(L3) 机密数据(L4) 全网发货包裹量 各业务的交易量、交易额 菜鸟电子面单发货量 仓配总单量 菜鸟联盟单量 跨境总单量 内部赔付判定标准 投诉、赔付量数据 所有与资产相关的数 据（如用户支付宝账 号，银行卡号等等） 取件码 寄件码 公司数据：如内网公告、帖子、组织架构、员工信息、日

3、常产出工作文档、分析 报告、业务规划、内部沟通记录. 如买/卖家姓名、电话、 详细地址、生日、护 照号码、等， 身份证号码（L4） 大纲 数据定义 数据使用 违规案例 数据的生命周期数据的生命周期 数据的生命周期 2. 数据存储数据存储 禁止将数据存储到外部产品，如U盘或外部服务上 任何帐号、密码不要在任何地方明文存储或展示。 只能使用公司产品备份数据 禁止在本地电脑中留存敏感会员数据 除工作必要情况下，不允许私自保存客户信息 （包含截图、文本信息、纸质文件） 3. 1数据使用数据使用 敏感数据不要存储在本机或硬盘上 权限不互借，谁需要谁申请，权限使用完毕需主动交还 不得利用工作权限查询、处理

4、与本工作岗位无关的场景 不要用自己账号登录别人电脑 查询客户、商家及cp的信息必须基于服务或者工作需要 数据、权限按需申请、最小化原则 权限申请，需提供明确的业务场景，并选择对应的有效期 申请高风险权限【可查看敏感信息或敏感操作】，新业务权限，新增系统权限等， 需联系自营主管发邮件给风控评估 任何场景下不允许泄漏客户、合作伙伴的密码 电脑开机账户、旺旺账号、后台账户等一切工作或个人账号 （含邮件账户）、密码严禁出借或与共享； 3. 2数据使用数据使用 群发战报时，注意检查发送对象，注意数据脱敏 日常工作交流，非必要提供敏感信息，需做脱敏，如截图中敏感信息需隐去 发送至“菜鸟人”邮箱的邮件，须经

5、安全审批 下班或离开办公桌分钟以上，应关闭或锁定计算机。 终端电脑登录密码不允许通过任何渠道 （例如电子邮件、短信、电话、纸质文件等）向任何人透露密码。 常用的工具和审批流程程 数据上传、分享工具：玄机藏（离岸不可用） ； 数据处理工具：七星阵（离岸不可用）； 权限申请平台：acl.alibaba-； 权限申请攻略：知识库-内控家园-权限管理 4. 数据传输数据传输 不要通过非公司产品传输、讨论与工作相关的信息 出差/旅行在外，不要用不可信网络处理工作 禁止未经许可使用U盘/移动硬盘拷贝公司数据 传输完毕后是否及时销毁或妥善保存 5. 数据传播数据传播 对外传播内部传播 对外传播（数据对外披露

6、）对外传播（数据对外披露） 所有把数据给到集团以外的任何个人、公司、政府部门等行为 都称“对外数据披露”。 任何的“对外数据披露”，都需要流程审批通过后才能进行。对外数据披露流程： dw.cainiao-。任何相关咨询可发送邮件至 运营数据推送给合作伙伴，邮件、系统对接； 场景举例场景举例： 网页上发数据：如发微博、博客、微信、论坛等； 公司网站上发数据； 公开演讲； 日常工作/生活交流 对内传播对内传播 把数据共享给集团以内其他BU的行为属于跨BU数据交换，需要走邮件审批。 审批流程： 项目负责人 项目负责人 主管 项目负责人 所在BU数据 安全接口人 菜鸟数据安 全 接口人 对方BU数据

7、安全接口人 若交换数据中包含L4信息，需要双方BU负责人审批。 6. 数据销毁数据销毁 纸质文件丢弃前要粉粹 开会离开时，板书及时擦 离开会议室后，投屏要断开 大纲 数据定义 数据使用 违规案例 菜鸟近期违规案例 外包客服员工在离职前通过USB拷贝敏感文件 后续处理： 一类违规，辞退永不录用 针对离职外包员工，就泄露的文档和相关机密敏感数据内容签署保密协议，保留离职后如有非 授权泄露和流传追究离职员工法律责任的权利 案例1： 启示：慎用USB拷贝，外包员工禁止使用USB设备拷贝工作文档；离职前的数据安全管控 菜鸟近期违规案例 外包客服员工将内部系统中包含业务敏感信息的截图发送给消费者 事件回放

8、： 小二在服务客户时，客户咨询赔付情况，小二直接将内部系统的赔付信息截图给了客户，该信息中 包含了cp赔付给菜鸟的金额，及菜鸟赔付给消费者的金额，消费者发现赔付金额不对等后，直接发起投 诉，考虑到服务体验，最终菜鸟进行了额外赔付。 Cp赔付给菜鸟的金额属于业务敏感信息，小二违规截图给了客户，造成了敏感信息的泄露，且引发投 诉，造成菜鸟资损。 处理结果：依据当前合同安全条款，认定为三类违规 给予警告处分。如后续再犯、取消该人员服务此项目的资格。 案例2： 启示：切勿将与客户本人不相关的信息泄露给客户； 能不截图尽量不要截图，若一定要截图，切记把敏感信息涂掉。 菜鸟近期违规案例 外包客服员工未按标

9、准转交、处理投诉工单，违规赔付给关联人 事件回放： 小二在知晓菜鸟某活动后，将活动相关信息泄露给朋友，后其朋友多次发起相关投诉，该员工知晓后，违规要求 同组小二转交其朋友的投诉工单，收到后，又多次未按处理标准处理，违规进行了赔付，造成公司资损，影响恶劣。 处理结果：认定为一类违规，利用外包活动的便利，为本人或他人谋取不正当利益（无论该利益是现实的财产利益， 还是潜在的竞争优势） 辞退并处永不录用。 PS：此事件中，还有多名小二因协助、纵容，包庇此违规行为，被予以了同等处罚 案例3： 启示：1、严格遵守工单转交、处理等业务流程规范操作； 2、遇到关联人（如朋友、亲人、熟人等）的任务，基于避嫌，需

10、重新分配他人处理。 3、一旦发现身边存在违规行为，应及时反馈，加以制止。 4、内部投诉赔付判定标准属于业务敏感信息，不允许随意对外透漏。 菜鸟近期违规案例 某同学将重大商业项目成员的人事信息截图给竞争公司 后续处理： 二类违规 一年内（到明年4月30日）取消期权奖励和晋升机会，年终奖看绩效表现适当给予 一年内如果再有任何违规行为，须严肃处理，甚至劝退 案例4： 启示：内网信息（如内网帖子、公告、员工信息、组织架构等）属于敏感信息， 谨记不可截图外发。 菜鸟近期违规案例 外包员工在工单处理时，为了快速核实信息，将消费者用于举证的面单照片微信发送给cp 用于核实情况，面单包含收件人姓名及手机号码，

11、属于敏感信息。 违反保密义务行为1.1未经授权获取、使用、泄露、传播保密信息，或未妥善保存数据，引 发泄密等风险。即二类违规。 后续处理： 二类违规 即责令SP公司予以记过处分，自处分生效日起三个月内不得晋升并取消一切激励资格（如有）、 情节严重的并处降级降薪处分。 案例5： 启示：用户隐私信息不能向第三方透露、传播 一小二转岗后，外包主管在配置工单时未将名字删除，导致工单仍流 入其名下。之后主管、代理组长分别向小二要密码，小二拒绝了主管、 给了代理组长 后续处理： 代理组长 一类违规 主管二类违规 小二二类违规 案例6： 启示：安全风险时刻警惕，要有自己的安全判断，记住制度规则大于行政命令，若有特殊情 况，务必事前咨询服务内控。 菜鸟近期违规案例 小二获知CP账号密码后，直接将该CP密码提交在goc工单中，密码属 于L4敏感信息，该行为