在信息化時(shí)代或者是數據時(shí)代，企業(yè)都會(huì )面臨一個(gè)重大的問(wèn)題，那就是信息數據的安全問(wèn)題。企業(yè)在實(shí)現信息化戰略的過(guò)程中，CRM是必不可少的。但是在CRM項目實(shí)施的過(guò)程中，如果沒(méi)有考慮數據的安全，就很容易造成一些機密信息外泄。

對于企業(yè)來(lái)講，機密信息外泄是一件很危險的事情，企業(yè)可能會(huì )因此而帶來(lái)很多不必要的損失。因此，在實(shí)施CRM項目的時(shí)候，必須對與客戶(hù)相關(guān)的信息，如客戶(hù)聯(lián)系方式，客戶(hù)訂單信息等敏感內容采取保護措施，以防外泄。那么，企業(yè)在實(shí)施CRM系統的時(shí)候，該如何來(lái)注意信息化的安全呢?

1、系統測試或模擬運行時(shí)，需注意權限的控制

在系統正式上線(xiàn)之前，往往需要對系統進(jìn)行測試或者模擬運行，讓員工熟悉系統的相關(guān)操作。在這個(gè)階段，CRM實(shí)施顧問(wèn)往往會(huì )建議企業(yè)向用戶(hù)開(kāi)通所有的模塊，以讓用戶(hù)對于這套系統有一個(gè)全面的認識。

但是，這里可能給企業(yè)一個(gè)錯誤的理解。CRM實(shí)施顧問(wèn)說(shuō)開(kāi)通所有的模塊，并不是說(shuō)，用戶(hù)具有全部數據的訪(fǎng)問(wèn)權限。在實(shí)際工作中，企業(yè)在對系統進(jìn)行測試或者模擬運行的時(shí)候，對數據訪(fǎng)問(wèn)基本上沒(méi)有權限控制。如銷(xiāo)售部門(mén)員工可以隨意查詢(xún)客戶(hù)聯(lián)系方式以及交易記錄等信息。大家都知道，若銷(xiāo)售員把這些信息泄露給企業(yè)的競爭對手的話(huà)，除非企業(yè)在這個(gè)產(chǎn)品上有其他生產(chǎn)廠(chǎng)家不可替代的優(yōu)勢或者技術(shù)，否則的話(huà)，其競爭對手很有可能通過(guò)價(jià)格戰從企業(yè)手中奪取客戶(hù)。

所以，在此建議，只要把基礎數據導入到CRM系統之后，就需要在系統中實(shí)現對相關(guān)權限的控制。如只讓其他部門(mén)的員工查詢(xún)客戶(hù)的名稱(chēng)，而不知道具體的聯(lián)系方式;或者只能了解客戶(hù)訂單的交期以及下單的產(chǎn)品，而不能夠知道具體的價(jià)格信息等等。這些權限的設計與系統的實(shí)現，一般來(lái)說(shuō)，在基礎數據導入的時(shí)候，就要在系統中實(shí)現。如此，員工才不能夠乘這個(gè)過(guò)渡時(shí)期的空檔，竊取企業(yè)的機密信息。

總之，一般來(lái)說(shuō)，在基礎數據導入到企業(yè)項目上線(xiàn)，這中間往往有一段權限管理真空期，而很多信息往往是在這個(gè)時(shí)間內泄漏的。所以，企業(yè)若現在正準備實(shí)施CRM項目，則在實(shí)施的過(guò)程中就需要注意這個(gè)問(wèn)題。只要系統中一有數據，就要注意權限的訪(fǎng)問(wèn)控制了。

2、不能只對單據進(jìn)行簡(jiǎn)單的讀寫(xiě)控制

以前很多企業(yè)，認為只要做好單據讀寫(xiě)控制就安全了。如銷(xiāo)售員或者質(zhì)量部員工能夠查詢(xún)訂單信息，而不能夠對其進(jìn)行修改、刪除或者新建等操作?；蛟S，對于某些法律健全的國家，或者對于產(chǎn)品別人不可替代的企業(yè)來(lái)說(shuō)，即使讓其他員工看到這些信息也沒(méi)有多大關(guān)系。但是，在國內的企業(yè)中，這么做風(fēng)險往往會(huì )很大。員工很容易通過(guò)CRM系統知道企業(yè)和客戶(hù)交易的價(jià)格等相關(guān)信息，然后賣(mài)給企業(yè)的競爭對手或者跳槽到競爭企業(yè)，以比原企業(yè)更低的價(jià)格來(lái)贏(yíng)得這個(gè)客戶(hù)。

所以，在CRM系統權限管理的時(shí)候，不能夠只是一些簡(jiǎn)單的讀寫(xiě)控制。讀寫(xiě)控制雖然可以防止數據的非法修改，但是，不能夠解決數據的泄露問(wèn)題。為此，企業(yè)在CRM項目部署的時(shí)候，需要在讀寫(xiě)控制的基礎之上，對一些關(guān)鍵信息進(jìn)行屏蔽。

如對于銷(xiāo)售訂單中交易價(jià)格來(lái)說(shuō)，是一個(gè)比較敏感的信息，一般只有銷(xiāo)售人員、以及負責應收帳款的人員可以訪(fǎng)問(wèn)。企業(yè)其他人員沒(méi)有必要知道這方面的內容。所以，企業(yè)在權限設置的時(shí)候，可以讓質(zhì)量部門(mén)人員查詢(xún)到銷(xiāo)售訂單的信息，但是，不能夠讓他們看到銷(xiāo)售訂單中的價(jià)格信息，包括銷(xiāo)售單價(jià)、付款條件、銷(xiāo)售總額等信息。在CRM系統中，往往可以進(jìn)行相關(guān)的設置，如可以指定價(jià)格這個(gè)信息，只有哪些用戶(hù)可以訪(fǎng)問(wèn)等等。

CRM系統提供了一個(gè)信息共享的平臺，但是，企業(yè)用戶(hù)在享受由此帶來(lái)的工作便利的時(shí)候，也需要考慮到其可能帶來(lái)的數據泄露的風(fēng)險。

3、部門(mén)內部的權限，也需細分

有的企業(yè)在數據的訪(fǎng)問(wèn)控制上，會(huì )提出這么一個(gè)需求。在銷(xiāo)售部門(mén)中，兩個(gè)人為一組，每組負責不同的客戶(hù)。在CRM系統中，他們希望各組的銷(xiāo)售人員制能夠看到自己負責客戶(hù)的交易信息，而不能夠看到其他組負責客戶(hù)的交易信息。但是，銷(xiāo)售總監則可以看到所有客戶(hù)的信息。

雖然這種需求的客戶(hù)可能不多，因為這個(gè)安全性級別有點(diǎn)高。但是，可以看出，提出這種需求的企業(yè)對于信息化安全的態(tài)度是非常嚴謹的。不僅部門(mén)之間的訪(fǎng)問(wèn)權限需要嚴格控制，就算本部門(mén)之間的數據訪(fǎng)問(wèn)權限也不能小視。

對于部門(mén)內部的權限設計，一般需要考慮如下幾個(gè)方面。

一、防止其他人員修改自己的紀錄。也就是說(shuō)，自己的記錄自己負責，別人最多只能夠查詢(xún)，而不能夠進(jìn)行更改，就算是自己部門(mén)的人員也必須遵守。如此的話(huà)，可以保證系統中的內容跟所有者人心中的數據是一致的。在CRM系統中，一般有一個(gè)“個(gè)人專(zhuān)有”的選項。若選中這個(gè)選項的話(huà)，就表示只有本人可以對這條數據進(jìn)行修改或者刪除，其他人對這條記錄制能夠查詢(xún)。

二、限制其他人員查詢(xún)自己的記錄。有些企業(yè)可能權限控制比較嚴格，某個(gè)員工所做的單據，除了指定的人員外，其他員工不能夠進(jìn)行訪(fǎng)問(wèn)。最常見(jiàn)的，如銷(xiāo)售員甲只能夠訪(fǎng)問(wèn)自己所建的信息，而對于其他銷(xiāo)售人員的信息，無(wú)法訪(fǎng)問(wèn)，更加無(wú)法更改。對于這個(gè)需求，可以通過(guò)“排他訪(fǎng)問(wèn)”來(lái)進(jìn)行控制。選擇這個(gè)選項之后，除非我們制定的特殊人員，否則的話(huà)，其他人都不能夠訪(fǎng)問(wèn)這個(gè)信息。這個(gè)權限控制的比較嚴格，在使用的時(shí)候，需要謹慎一點(diǎn)。

4、系統管理員權限，需要額外注意

有的企業(yè)在實(shí)施項目的時(shí)候，對于下面員工的權限控制的很好，每個(gè)員工具有訪(fǎng)問(wèn)哪些數據的權限，都設置的很清楚。但是，對于企業(yè)的系統管理員卻忽視了。為了管理的方便，企業(yè)的系統管理員往往具有整個(gè)系統的訪(fǎng)問(wèn)權限。在實(shí)際工作中，不僅各個(gè)業(yè)務(wù)部門(mén)的工作人員會(huì )出賣(mài)企業(yè)的信息以謀取私利。作為系統管理員，其也不是十全十美的，也會(huì )在利益的誘惑下，做類(lèi)似的事情。

所以，對于系統管理員，企業(yè)也要對此進(jìn)行嚴格的權限控制。

如區域在做CRM設計的時(shí)候，可以把系統管理員角色與實(shí)體角色分離開(kāi)來(lái)。系統管理員角色不能夠訪(fǎng)問(wèn)業(yè)務(wù)信息，而只能對一些系統的作業(yè)操作，如數據庫備份、單據調整、報表設計等等，而無(wú)法查詢(xún)各個(gè)單據的具體內容。這主要就是為了杜絕系統管理員去訪(fǎng)問(wèn)一些業(yè)務(wù)信息。也就是說(shuō)，只要把系統管理員設置為管理員的角色，而不需要進(jìn)行其他額外的設置，就可以達到這個(gè)需求。

5、用戶(hù)賬戶(hù)與密碼的保護措施

權限的設計都是基于用戶(hù)名賬戶(hù)展開(kāi)的。如果用戶(hù)的登陸賬戶(hù)與密碼泄露的話(huà)，再怎么設計訪(fǎng)問(wèn)機制，也是徒勞的。所以在權限控制方面，還需要從保護賬戶(hù)與密碼開(kāi)始做起。在實(shí)際工作中，很多系統管理員喜歡為用戶(hù)配置好用戶(hù)名與密碼，并且不允許用戶(hù)進(jìn)行修改，其實(shí)，這不是很合理。特別是有些管理員喜歡設置一個(gè)統一的密碼，這就讓不法之徒就有機可乘了。

因此，在對員工建立賬號的時(shí)候，可以借鑒Windows操作系統的管理機制。新建立用戶(hù)后，初始化一個(gè)密碼。然后設定為“用戶(hù)下次登陸系統之前必須重新修改密碼”。如此的話(huà)，用戶(hù)在下次登陸系統的時(shí)候，不得不重新修改密碼，從而保證避免的唯一性，只有用戶(hù)自己知道密碼的所在。從而防止企業(yè)用戶(hù)假借某個(gè)用戶(hù)的名字登陸系統，做一些破壞性的工作。

總結

信息化安全問(wèn)題是一個(gè)很重要的問(wèn)題，稍有不慎就會(huì )給企業(yè)帶來(lái)重大的損失。所以，必須要引起企業(yè)足夠的重視。企業(yè)在做CRM項目實(shí)施的時(shí)候，就必須要對信息數據安全進(jìn)行充分的考慮。對一些敏感內容做好防護措施，盡量做到防患于未然。

聲明：本內容轉載自第三方平臺，如有侵權請聯(lián)系我們刪除