京东商家信息安全管理规范

小提示：您能找到这篇{京东商家信息安全管理规范}绝对不是偶然，我们能帮您找到潜在客户，解决您的困扰。如果您对本页介绍的京东商家信息安全管理规范内容感兴趣，有相关需求意向欢迎拨打我们的服务热线，或留言咨询，我们将第一时间联系您！

网络信息安全，是指通过采取必要措施，防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故，使网络处于稳定可靠运行的状态，以及保障网络数据的完整性、保密性、可用性的能力。

本次内容主要从商家管理角度，为商家提供信息安全管理建议。

一、员工安全意识著名的危机公关事件教育

1、商家务必要在内部进行员工安全意识教育，根据商家特性整理出适合商家特质的信息安全资料文档，并在商家内部进行宣讲，强调网络安全的重要性；保管好商家自身及客户的账号信息、个人信息等，防止被内部员工私自收集、泄露。

2、定期开展培训活动和学习计划，为员工进行案例分析讲解，加强员工的安全意识，避免被不法分子利用，造成信息安全事件；制定网络安全事件应急预案，明确反馈及处理流程，并定期进行演练。

3、商家应从自身做起抵制打击电信诈骗黑色产业链，坚持“正道成功”，拒绝刷单、恶意好评返现等非正当途径，建设更加安全的网络环境。

注：因商家在员工管理、账号管理、系统安全等方面存在过失而导致他人信息泄露的，京东将依据《京东开放平台商家违规积分管理规则》相关规定对商家进行处理；情节轻微的，每次扣12分；情节严重的，每次扣50分；情节特别严重的，每次扣除100分。其中，过失包括但不限于：商家店铺内部缺乏基本的信息安全保护措施、员工管理不善、系统存在明显的信息泄露风险但商家未采取有效补救措施等。具体参阅“《京东开放平台商家违规积分管理规则》-泄露他人信息细则网络营销学多久”

二、权限安全管理

1、结合业务需要，在保证一个人对应只使用一个账号的前提下，仅创建适当数量的子账号。每个账号按最小权限原则，根据使用人员的业务需要，仅分配需要使用的权限。严禁大量账号同时具有查看订单等敏感操作的权限，避免多人共用一个账号的情况。

2、针对新入职的员工，建议为其新建专用账号，供其熟悉业务；短期避免其接触可操作敏感数据（订单、售后等）的账号；针对已离职员工，在其离职后，需立即删除或停用其账号及权限。

三、账号与密码安全管理

1、正常情况下，严禁以任何形式将账号共享给内部/外部人员。若相关人员有使用账号需要，可结合其需求为其单独创建账号，并分配所需的权限。

2、任何情况下，严禁将商家后台账号、密码、验证码告知他人，切勿随意点击不明链接，更不要扫描来历不明的二维码。如非.jd.com作为域名结尾但宣称为京东网站的，都属于虚假网页，请商家一定要认清，避免中招钓鱼诈骗。

3、密码设置应具有安全性、保密性，密码是保护系统和数据安全的控制代码，也是保护用户自身权益的控制代码。切勿使用明显有规律性的密码，如“123”、“abc”、“qwert”等；密码不能包含具有特殊意义的字符串，切勿使用用户名/店铺名/生日/姓名等作为密码的全部或一部分；密码应尽量同时包含大小写字母、数字、特殊符号等。各应用系统密码应定期进行更换，如至少3个月更换一次密码，降低密码泄露的风险，如发现或怀疑密码遗失或泄露应立即修改。

4、避免因为便利，将账号及密码存储于word或文本文档，放置于公用电脑中；商家应当定期修改账号密码。

四、敏感数据安全管理

1、非必要业务需求，避免经常导出订单数据，且避免将包含数据的excel等文档直接存在办公电脑上。对已导出的不需要再使用的数据，需及时删除。

2、如有业务需要，需将携带敏感信息（订单、售后）的文档或EXCEL表格等数据传输至他人，需将文档使用压缩包加密后，再进行发送传输。压缩包使用的密码应尽量复杂，避免如123456…admin…等弱密码。

3、在任何情形下，严禁将用户的订单信息，联系方式等通过QQ群、微信群发送给物流或其他人。且商家内部使用的QQ群、微信群等，需要有严格的加群审核与管控，避免除商家工作人员以外的人员加群。

五、文件安全管理

1、所有人员不得私自将企业文件打印带出企业，一经发现，严肃处理。若上班时间打印文件时，需要即刻在打印机处等候文件的打印，打印完成后马上取走，若网络营销改进方法因文件打印时有其他紧急事件，应通知本企业/部门人员代为领取。禁止一切打印后未及时取走文件的行为。

2、重要的文件和工作资料不允许保存在C盘（含桌面），同时定期做好备份，以防丢失；拷贝/下载至公共计算机上的资料，使用完毕注意删除；涉及机密或重要信息的文件，所有人员需进行必要加密，并妥善保管。

3、严禁任何人员以个人介质光盘、U盘、移动硬盘等外接设备将公司文件资料带离企业；若因出差等原因需要拷贝资料到存储设备中，需向上级请示批准，并以企业内部存储设备做文件拷贝。

六、软件安全管理

1、常用工作软件应从正规途径进行下载和更新，使用正版软件；商家日常运营中严禁运行未经检验和来历不明的软件，确保常用软件从官方途径进行下载和更新，不使用不可信的软件。

2、从接收订单至货物签收的整个过程中，尽量避免使用未经安全认证的第三方插件、防止被不法分子通过技术手段获取客户信息，如有必要，请及时更换合作的第三方公司。

3、办公用途的计算机未经允许不准安装与各自业务无关的软件、严禁安装各种游戏软件，不准使用未经查毒处理的存储介质，如光盘、U盘、软盘、移动硬盘等。员工禁止使用办公电脑访问不良网站。登陆商家后台的电脑，严禁用于其他用途，不得轻易点击任何人发来的不明信息或链接。（非.jd.com作为域名结尾但宣称为京东网站的，都属于不明链接）

4、应指定专人进行计算机病毒和网络攻击的防范工作，安装安全防护类软件，定期进行计算机病毒检查和漏洞扫描，发现病毒和数据安全隐患等安全问题要及时处理和上报。

七、计算机设备安全管理

1、员工需使用公司提供的计算机设备（特殊情况需经过上级审批），不得私自调换及拆卸，并保持清洁、安全、良好的计算机设备工作环境。禁止在计算机应用环境中放置易燃、易爆、强腐蚀、强磁性等有害计算机设备安全的物品。

2、严格遵守计算机设备使用、开机、关机等安全操作规程和正确的使用方法。当计算机出现故障时应及时向公司报告，不允许私自处理和维修。

3、员工对所使用计算机及相关设备的安全负责，如暂时离开座位时须锁定系统，移动介质自行安全保管。，不得私自使用他人设备。

4、非企业技术人员对计算机设备、系统等进行维护、维修时，必须由企业相关技术人员现场全程监督，设备外送维修，须经企业内有关部门负责人审批。

八、商家应急处理措施

1、商家如遇到信息安全事件如账号被盗，信息泄露，客户被骗等，请第一时间按照上述要求进行自查，并紧急开展止损措施，包括但不限于：在24小时内对潜在受害群体进行安全提醒；在相应商品/店铺页面增加安全提醒；对集中受影响商品进行紧急下架等。

2、商家务必及时联系京东平台运营同事，同时可将事件信息进行收集反馈至京东平台反诈骗邮箱：fanzhapian@jd.com;并配合京东平台介入调查，按要求提供相应的数据资料。

【参考规范条文】

根据2016年颁发的《关于办理电信网络诈骗等刑事案件适用法律若干问题的意见》中“全面惩处关联犯罪”的第二条：违反国家有关规定，向他人出售或者提供公民个人信息，窃取或者以其他方法非法获取公民个人信息，符合刑法第二百五十三条之一规定的，以侵犯公民个人信息罪追究刑事责任。使用非法获取的公民个人信息，实施电信网络诈骗犯罪行为，构成数罪的，应当依法予以并罚。

根据《刑法》第二百八十六条之一【拒不履行信息网络安全管理义务罪】网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务，经监管部门责令采取改正措施而拒不改正，有下列情形之一的，处三年以下有期徒刑、拘役或者管制，并处或者单处罚金：(1)致使违法信息大量传播的；(2)致使用户信息泄露，造成严重后果的；(3)致使刑事案件证据灭失，情节严重的；(4)有其他严重情节的。单位犯前三款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照前款的规定处罚。有前两款行为，同时构成其他犯罪的，依照处罚较重的规定定罪处罚。