近來不斷的有消息指出在呼叫中心行業中，在客戶的信息安全保護上出了很多事情，不斷有客戶情報泄漏和名單泄漏的事故發生，這導致客戶對企業的信用、信任度下降，可能導致高額的侵權賠償要求的案件層出不窮。這不但是對企業所代表的服務形象與能力的損傷，更進一步的會對服務性的產業損傷，當然也會逐漸擴大影響層面，尤其對服務的BPO產業或是以客戶服務為主要核心的產業正大力推廣中的業務至為不利。我想“為顧客利益而保護顧客信息”是BPO產業生存或是客戶服務產業的根本生存之道。除了泄露信息的嚴重后果之外，對客戶信息的使用已經到了濫用數據的境界，客戶逐漸會有反感與不信任的態度，一但有著被騷擾的感覺那是另一種對此行業的戕害。

我想在“服務型經濟”或是“體驗型經濟”時代的發展之下，企業的核心業務與客戶數據信息的機密性、完整性與可用性，是企業成功與求生存的關鍵因素，與對本身業務發展的保障基礎，尤其是現在已經是信息普及化的時代，企業通過且利用IT和網絡科技的布建，在訊息情報上的共享有著飛躍的發展，信息傳遞的速度與滲透程度又快又密，與此同時內部泄漏的威脅機會也相應的增加了。而開放式的網絡既成為企業對外溝通的渠道、也是與客戶交換業務數據及信息的主要管道。利用網絡溝通固然方便，但卻使機密的商業數據與客戶數據很容易透過開放的網絡泄露出去。

所以，對科技管道的泄密方式管理是企業體應有的防治目標，其實細想起來，這些安全管理信息的是人，而盜取信息或泄露信息的同樣也是人。不管用怎樣的系統來保護信息安全，這最關鍵的還是人。當然有人說在員工錄用前的篩選手段來降低風險，或許是選取高學歷的員工就可以避免這個風險；抑或是說選用職業道德意識較高的正式職員也成為一種手段。但真的嗎？

公司里大部分員工都認為辦公室的計算機屬于他們所有？

常常在一個呼叫中心的作業環境我們可以觀察到幾個現象：有些高階的管理人士不太注重這些細節的，總覺得已經有了安全門禁管制以后就覺得在中心里就是安全的，甚至有些重要的報表、重要的評比報告，甚至一些重要的客戶活動紀錄與施行細則是毫無遮蔽的躺在辦公桌上，有些主管更怕忘記了有些密碼也把它記錄在明顯的地方，辦公室房門是永遠不關上的。那我就不明白了，那些專用的辦公室是為何設置的呢？不就是為了隔開或是隱避這些無謂的困攪嗎？

呼叫中心的運營應該具備高度自動化與流程化的科技支撐，甚至于接近無紙化的作業流程，按理說這些紙質的文件應該是會少，但我們還是發現仍然有大量的文件打印與影印的現象經常的發生，是為了作業需求倒是好，如僅是為了方便就是不可以了。從人本管理出發，我們一直追求著新的科技的作業環境來讓員工作業更便利。與傳統的作業模式區隔，我們花了錢買了設備、軟件與應用平臺，但員工仍依自己的想法來進行作業，這些紙質作業依據卻成為安全的另一大隱憂，甚至會隨意的棄置或根本沒有銷毀機制與管控機制。我們常說個笑話：有公司的數據最多的應該是搞清潔的員工，要是這些員工是對手的人那就糟了。

我認為以目前的工作環境來說，公司里大部分員工都認為辦公室的計算機屬于他們所有，可以想干什么就干什么。對于接觸的客戶信息也是覺得隨處可及且理所當然，對關鍵客戶數據或是敏感財務信息，員工并無意識到那是公司的核心知識產權，似乎影響范圍與連帶責任與這些人員無關，那主觀的惡意就更不必說了！

在運營前我們應該準備做什么可以降低安全風險呢？

在信息安全的議題上我們可以分兩個方面來說：第一是外在的環境因素，也就是在法規政策上的補強，我想對于企業的核心業務與客戶數據訊息，相關的保護法律規范必須全面的出臺，以杜絕犯罪意圖，這是基于對產業（企業）的保護也是對消費者的保護，也是邁向現代文明國家的象征，所以此法不單指量身裁衣般的適用于客服產業的保護所有消費者外，更是在于電子數據使用的普及化與應用化深入基層，并與世界接軌。幾乎未來人類生活的法律保障也必須涵蓋著這部份法律而以規范之。當然我們知道這是件復雜的工程也非短時間可能完成的了，但是必須一步步的往前邁進。

相關法令的規范也是對于從業人員職業道德的相關規范，這就需要在員工入職的教育中加上此課程，用以明白的告知從業人員的職業道德所涵蓋的范圍，這就是第二方面的稱之為內部因素，這個因素是可控的。這個因素對于客服管理人員或是領導可能已經意識到，但做的遠遠不夠。我認為，應該是將此與全公司的安全機制構建一種策略，從信息安全理論出發，在文化理念的建立體系下全面構建完善的信息安全策略，從入職前的訓練、到文化標語設置、到流程的安全，這已經成為了各個企業面臨的迫在眉睫的問題。雖然外在因素的整體的動向不無亡羊補牢的缺憾，但借此機會來構建立完善的安全體制（內部因素）還是有必要的。

我們知道，呼叫中心必需要靠標準化流程來規范，同樣的也需要高科技技術的支撐，需要標準行為規范來約束。對于整體化的安全機制來說，客服或 BPO產業已然具備良好的安全機制實施環境背景，在導入標準化的同時也建構安全機制是有迫切的需求。所以在規劃設計或運營之初就必須對環境作業規范、信息科技規范、流程作業規范與人員行為事先制定規范等等。

呼叫中心需要高職業道德意識的人？ 防君子還是小人？

據資料統計，有83%的信息泄漏比例是來自內部人員所為，其中大部分都是屬于正式職員，甚至是由高層的經營人員、管理人員或是資料維護人員。客服人員泄漏的信息反而是有限度的。管理信息的是人，盜取信息的同樣也是人，所以不管用怎樣的系統來保護信息安全，在人的行為上就多了一些不可控因素。當然對所有從業人員基本上我們還是往正向思考方式來走，對人尊重多一些，也就是我之前一直在強調的呼叫中心各環節需要貫徹人本管理的思想。所以當然就有人就說，選用職業道德意識較高的正式職員是一種預防手段。
但我們如何能得知什么樣的人是職業道德意識較高？是否這些員工也有“變節”的一天呢？從人本管理的出發點來講，我們不能像防賊一樣的對待員工，但人本管理也不是大開方便之門。在法治的社會里，工作也是像合約一般的簽訂勞動合同。在先前也許可以透過人才錄用程序可以篩選，但卻不能保證，那我們就要有強而有利的依據——“競業條款或保密條款”的合約方式，清楚明白告知從業人員的所承擔的法律責任與法律義務，我可以稱為“工作法律”之規范要件。

另外，每個客服中心都有一本圣經（Operation Manual），對于呼叫中心作業模式的開展的相關工作都有著嚴謹且明確的規范，比如環境作業規范、信息科技規范、流程作業規范與人員行為規范等，均是對安全的系統化的管理策略。

誰都可進出呼叫中心？ 相關人員那么多怎么管啊？

環境作業規范是對于呼叫中心的所處的環境做規范與訂定規則，不是相關于客服中心得人員是不必要進入呼叫中心場地的，當然安全的第一關就是門禁管制，可是我們發現幾乎所有企業的人均可自由的進出呼叫中心的作業場地，當然還有我最不喜歡的參觀訪問團來“打攪”呼叫中心，自然就很不好管制。其實在環境空間的許可狀況下，呼叫中心所涵蓋的區域應進行分級管控或是以隔墻、隔斷或是以空間將各種區塊隔離出來，會議室或是公共的空間機密性較小可放在外圍，中心區域可以在內圍作為一級管制區域。我的觀念就是不必要的人就管制，因為所有非核心業務會議或內部會議或是溝通可在外圍舉行不需要進入中心作業環境區域。機房則是位為核心管制區域，應該嚴格限制出入人的管理，自然而然的就形成安圈區域體系。

呼叫中心的出入管理的原則就是：“不準入與個人作業無關的物品”與“呼叫中心由內而外的攜出管理”，有些呼叫中心徹底實施把個人物品保管在客服中心外部的櫥柜的規定，甚至有的呼叫中心在內部無論職位高低，像百貨商店防止店員偷東西一樣，要求職員把筆記本、香煙、飲料等用品裝在透明的塑料包上。從人性化管理角度出發，我認為無論實施何種方法，均要住尊重的人的權利，避免侵犯人權的事發生。
我之所以這樣說就是不希望將監視器布建的滿坑滿谷的，除了進出口的監視以外不能將此應用于呼叫中心內部的監控，畢竟是上班的場所無此必要。

科技技術日新月異，防不勝防干脆別用太多的功能。

如前所說，科技的發展網絡的發達是依據人的需求而產生，既然是需求就讓科技來滿足人所想要的方式吧！從過去完全倚賴電話到傳真到郵件到在線服務，網路功能是越來越開放，甚至到視頻的服務更是將科技發揮到極致了！電腦電話整合（CTI）與工作流（WFM）周邊的系統的結合使得幾乎在客服作業平臺（Agent Desktop System）幾乎可無縫的將客戶所需的信息立即傳遞，無時間差、無錯誤的達成客戶期望的服務，高效的服務是自動化流程作業使然。

當然在科技上我們得思考：“如何的讓正確的人，在正確的時間，授權做正確的事”。當然就需要一些規范來管制，資訊科技規范要達成的目標就是：
1、防止機密資料泄漏，保障資訊安全。
2、詳細記錄操作；對重要文檔做了違規操作后，系統會報警并阻止。
3、對檔案系統的設定讀寫許可權，防止移動存儲和網路共享方式傳播出去。
4、限制使各種外部設備如USB、光盤機、軟碟機、印表機、藍芽、紅外線等防止非法復制和傳送資料。
5、管理員工通過郵件、FTP、P2P軟體、即時通訊工具等傳送文檔。
6、未授權的非法外來電腦無法與企業內部網路共享或通訊。
7、對指定移動儲存設備上存取的文檔自動進行透明加解密，其它未經授權的用戶端或外部的電腦無法讀取該移動儲存設備中的加密文檔。
8、監控管理打印檔案，并提供打印副本內容紀錄,便于事后稽查。

規范的要求不是限制式管理，資訊科技安全規范的最終目的，還是希望在員工電腦使用行為上能提高生產力。因此，記錄、分析并統計員工使用各類應用軟體的情況，記錄員工瀏覽的網站并進行瀏覽統計，紀錄各種即時通訊工具的聊天內容以及傳遞出去的文檔，當然還需要預警機制來做事前管控，也可根據工作需要限制使用。

詳細記錄員工在電腦上的各項操作，便于追蹤和分析員工的使用行為，也可作為合理分配系統資源的依據，尤其網絡資源的限制更需要對網絡通訊進行統計，控制網絡流量，合理分配網絡帶寬資源。當然也要針對著現代員工的工作型態做了解，控制網路通訊端口和地址，限制員工玩網路游戲、聊天、BT下載及外發資料。再則監控員工文件檔案打印的情況，光盤燒錄等資源使用情況，合理規劃企業資源的使用與使用目的。

后勤單位的工作太忙支撐的人員太多，把資料拷回家做吧！

常見到資料被吸出的單位最多就是后勤單位或是支撐的單位，尤其是人員把資料拷貝給相關的業務單位，甚至是支持廠商。我想大多數客戶的支持廠商都有著一大部分的商業機密，更不要說是電銷作業的資料了。

在呼叫中心的作業流程規范下不但是規范著服務流程、支撐體系的流程、質檢的流程與培訓的流程……等等，對于行政作業或是項目進行與工作的規范與授權也有相關的規定。

作業流程的規范事實上就是對資訊本身的攜出與攜入進行規范與授權，限制著資訊在可受管制下進行作業。筆記本電腦的使用人依賴電腦作業的程度太高，我們幾乎不可能限制員工不使用不攜出這電腦工具，那我們不是放棄了工作的延伸——在家工作？當然不會！科技可以幫助我們達成：“如何的讓正確的人，在正確的時間，授權做正確的事”。無論本機或網域控制下，無論是在公司網域下或是在家連線，都可限制員工本人或該電腦（筆記本）作業而無法移至其它的作業平臺或非本人開啟檔案，當然離線也是在記錄控管底下，一回公司網域底下就上傳所有記錄資料，做過的事當然清清楚楚一目了然。拜科技與需求所賜，這種科技現在就有。
資料的隨意放置或棄置另人乍舌！

曾經看過報導在考察某大型電子銷售代理店的業務處理方式中，發現經理和主管們把含有專業數據的個別呼叫結果的資料隨意放在桌子上后下班。呼叫中心的從業人員至少應該明白資訊處理規則及其遵守狀況的檢查均已然形成為操作的標準，這些均可稱之為“人員行為規范”。這種資料應保管在上鎖的地方，這是我們這個行業的常識，不能說不懂只能說沒有在平時開始養成良好的習慣。雖然說是瑣碎的事情，但要在對呼叫中心的從業人員來說卻是個長時間的奮戰，有位前輩說的好：“成為習慣之前，即使懂得道理也是很難實踐的，重要的是超越那個界限的意識改革與實踐”。

企業應有意識的嚴格遵守對規范化運作的客服中心，“人員行為規范”也是品質認證的一環。因為現實中常常不遵守“理所當然的事情”，標準品質認證是使人們注意這些“理所當然的事情”，并逐漸使其成為習慣，也就取得了相當好的效果。

資訊安全需管理而非全面的限制

無論是企業的核心業務或是服務經驗與客戶信息我們都可視為“商業機密”或是企業的“知識財產”數據，一經泄漏無論是有意還是無意，最終是會對企業構成一定的損失。因此，企業需要經由管理方式來降低有可能泄密的管道，也需運用科技來輔助對員工行為規范以及使用計算機工具紀錄、統計分析與預警。當然我們也必須有稽核體系與工具來平衡科技管理人員的設計與限制，合理的制定規則與實施的總結是稽核的人員必須詳加審核以避免科技人員過度的濫權與浮濫的內控機制發生，當然稽核的體制必須有科技支撐，幸運的是這科技已經存在，不是空中樓閣。

環境作業規范、信息科技規范、流程作業規范與人員行為規范是資訊安全規劃體系的四大支柱。無論是客服產業或是外包客服產業來說，資訊安全就是生存的命脈不可不重視。

“你的競爭優勢從何而來?　在于創造出優于任何一家競爭者所能及的顧客經驗。”這產業就是逐漸的累積“客戶經驗”來形成企業的“知識財”，靠這獨特的經驗產生區隔式的競爭優勢。這個“知識財”在客服產業就是在客戶的資料與商業數據中通過科技的服務與客戶的互動所累積的，如果因為是各種的原因而被泄漏因而造成的重大損失是得不償失的。

當然我們已不可能回到從前的低科技時代的操作環境，而新的競爭優勢更依賴科技來實現。立足人本管理的角度，我認為資訊安全需管理而非全面的限制，只有靠文化建立、管理機制、規范制度與科技工具的手段來共同防止這種危害才是上策。

作者江以仁 為遠傳技術副總裁，首席咨詢顧問。