CRM系統(tǒng)毋庸置疑,給我們客戶關(guān)系管理提供了一個(gè)很好的管理平臺(tái)�。但是,企業(yè)在CRM項(xiàng)目實(shí)施過程中�����,由于沒有考慮到數(shù)據(jù)的安全,導(dǎo)致了不少機(jī)密信息的外泄����。導(dǎo)致有些企業(yè)產(chǎn)生一些飛單現(xiàn)象。追查原因���,原來是客戶相關(guān)的信息�����,如客戶聯(lián)系方式���、客戶訂單信息等敏感內(nèi)容沒有采取保護(hù)措施,讓其他部門人員可以隨意的訪問��。導(dǎo)致采購(gòu)部門的員工把客戶信息與產(chǎn)品價(jià)格信息賣給了企業(yè)的競(jìng)爭(zhēng)對(duì)手��,導(dǎo)致了一些飛單現(xiàn)象�。可見����,若在實(shí)施CRM系統(tǒng)的時(shí)候,沒有考慮到信息泄露的風(fēng)險(xiǎn)��,這對(duì)于企業(yè)來說,是一件很危險(xiǎn)的事情��,企業(yè)可能會(huì)因此帶來很多不必要的損失�����。
為此���,筆者在這里結(jié)合自己的項(xiàng)目管理經(jīng)驗(yàn)����,談?wù)勗趯?shí)施CRM系統(tǒng)的時(shí)候����,該如何注意信息化安全�����。
一���、系統(tǒng)測(cè)試或者模擬運(yùn)行時(shí)�����,需要注意權(quán)限的控制��。
在系統(tǒng)正式上線之前����,我們往往需要對(duì)系統(tǒng)進(jìn)行測(cè)試或者模擬運(yùn)行,讓員工熟悉系統(tǒng)的相關(guān)操作�����。在這個(gè)階段���,我們也往往會(huì)建議企業(yè)向用戶開通所有的模塊�����,以讓用戶對(duì)于這套系統(tǒng)有一個(gè)全面的認(rèn)識(shí)�����。
但是����,在這里我們可能給用戶一個(gè)錯(cuò)誤的理解。我們說開通所有的模塊�����,并不是說����,用戶具有全部數(shù)據(jù)的訪問權(quán)限。在實(shí)際工作中����,企業(yè)在對(duì)系統(tǒng)進(jìn)行測(cè)試或者模擬運(yùn)行的時(shí)候,對(duì)數(shù)據(jù)訪問基本上沒有權(quán)限控制�����。如采購(gòu)部門員工可以隨意查詢客戶聯(lián)系方式以及交易記錄等信息����。我們都知道,若采購(gòu)員把這些信息泄露給企業(yè)的競(jìng)爭(zhēng)對(duì)手的話���,除非企業(yè)在這個(gè)產(chǎn)品上有其他生產(chǎn)廠家不可替代的優(yōu)勢(shì)或者技術(shù),否則的話���,其競(jìng)爭(zhēng)對(duì)手很有可能通過價(jià)格戰(zhàn)從企業(yè)手中奪取客戶�����。
所以����,筆者建議,只要把基礎(chǔ)數(shù)據(jù)導(dǎo)入到CRM系統(tǒng)之后�����,就需要在系統(tǒng)中實(shí)現(xiàn)對(duì)相關(guān)權(quán)限的控制�����。如只讓其他部門的員工查詢客戶的名稱����,而不知道具體的聯(lián)系方式;或者只能了解客戶訂單的交期以及下單的產(chǎn)品,而不能夠知道具體的價(jià)格信息等等�����。這些權(quán)限的設(shè)計(jì)與系統(tǒng)的實(shí)現(xiàn)�����,一般來說,在基礎(chǔ)數(shù)據(jù)導(dǎo)入的時(shí)候�����,就要在系統(tǒng)中實(shí)現(xiàn)���。如此�,員工才不能夠乘這個(gè)過渡時(shí)期的空檔����,竊取企業(yè)的機(jī)密信息。
根據(jù)筆者的了解����,在基礎(chǔ)數(shù)據(jù)導(dǎo)入到企業(yè)項(xiàng)目上線,這中間往往有一段權(quán)限管理真空期����,而很多信息往往是在這個(gè)時(shí)間內(nèi)泄漏的。所以�,企業(yè)若現(xiàn)在正準(zhǔn)備實(shí)施CRM項(xiàng)目,則在實(shí)施的過程中就需要注意這個(gè)問題����。只要系統(tǒng)中一有數(shù)據(jù),就要注意權(quán)限的訪問控制了�。
二、不能只對(duì)單據(jù)進(jìn)行簡(jiǎn)單的讀寫控制�。
以前很多企業(yè),認(rèn)為只要做好單據(jù)讀寫控制就安全了�。如采購(gòu)或者質(zhì)量部員工制能夠查詢訂單信息,而不能夠?qū)ζ溥M(jìn)行修改����、刪除或者新建等操作?���;蛟S,對(duì)于某些法律健全的國(guó)家����,或者對(duì)于產(chǎn)品具有別人不可替代的企業(yè)來說,即使讓其他員工看到這些信息也沒有多大關(guān)系�。但是,根據(jù)筆者的了解���,在國(guó)內(nèi)的企業(yè)中���,這么做風(fēng)險(xiǎn)往往會(huì)很大��。
如筆者的前段時(shí)間回訪一家客戶���,發(fā)現(xiàn)他們的質(zhì)量部門負(fù)責(zé)人換人了。后來了解��,原來這個(gè)質(zhì)量經(jīng)理挖走了公司的一個(gè)重要客戶���,把這個(gè)客戶的單子給自己朋友的企業(yè)做�。原來這個(gè)質(zhì)量經(jīng)理���,通過CRM系統(tǒng)知道了企業(yè)跟這家客戶交易的價(jià)格信息�。然后�����,跟他朋友的企業(yè)一起����,以比這家企業(yè)更低的價(jià)格,贏得了這個(gè)客戶��。企業(yè)發(fā)現(xiàn)后,雖然馬上讓這個(gè)質(zhì)量部離職走人�,但是,損失企業(yè)已經(jīng)無(wú)法挽回����。
可見����,在CRM系統(tǒng)權(quán)限管理的時(shí)候,不能夠只是一些簡(jiǎn)單的讀寫控制�����。讀寫控制雖然可以防止數(shù)據(jù)的非法修改�,但是,不能夠解決數(shù)據(jù)的泄露問題�。為此,企業(yè)在CRM項(xiàng)目部署的時(shí)候��,需要在讀寫控制的基礎(chǔ)之上��,對(duì)一些關(guān)鍵信息進(jìn)行屏蔽�。
如對(duì)于銷售訂單中交易價(jià)格來說,是一個(gè)比較敏感的信息��,一般只有銷售人員、以及負(fù)責(zé)應(yīng)收帳款的人員可以訪問����,企業(yè)其他人員沒有必要知道這方面的內(nèi)容。所以�,我們?cè)跈?quán)限設(shè)置的時(shí)候,可以讓質(zhì)量部門人員查詢到銷售訂單的信息�,但是,不能夠讓他們看到銷售訂單中的價(jià)格信息�,包括銷售單價(jià)、付款條件��、銷售總額等信息�����。
三���、部門內(nèi)部的權(quán)限��,也需要細(xì)分���。
對(duì)于部門內(nèi)部的權(quán)限設(shè)計(jì),一般需要考慮如下幾個(gè)方面���。
一是防止其他人員修改自己的紀(jì)錄�����。也就是說��,自己的紀(jì)錄自己負(fù)責(zé)���,別人最多只能夠查詢,而不能夠進(jìn)行更改��,就算是自己部門的人員也必須遵守����。如此的話,可以保證系統(tǒng)中的內(nèi)容跟所有者人心中的數(shù)據(jù)是一致的����。
二是限制其他人員查詢自己的紀(jì)錄。有些企業(yè)可能權(quán)限控制比較嚴(yán)格����,某個(gè)員工所做的單據(jù),除了指定的人員外�����,其他員工不能夠進(jìn)行訪問。最常見的����,如銷售員甲只能夠訪問自己所建的信息,而對(duì)于其他銷售人員的信息����,無(wú)法訪問,更加無(wú)法更改���。對(duì)于這個(gè)需求�,這個(gè)權(quán)限控制的比較嚴(yán)格�����,在使用的時(shí)候�,需要謹(jǐn)慎一點(diǎn)。
四�����、系統(tǒng)管理員權(quán)限,也需要額外的注意����。
筆者在實(shí)施項(xiàng)目的時(shí)候,發(fā)現(xiàn)很多企業(yè)對(duì)于下面員工的權(quán)限控制的很好���,每個(gè)員工具有訪問哪些數(shù)據(jù)的權(quán)限����,都設(shè)置的很清楚���。但是�����,對(duì)于企業(yè)的系統(tǒng)管理員卻忽視了。為了管理的方便����,企業(yè)的系統(tǒng)管理員往往具有整個(gè)系統(tǒng)的訪問權(quán)限。在實(shí)際工作中�,不僅各個(gè)業(yè)務(wù)部門的工作人員會(huì)出賣企業(yè)的信息以謀取私利。作為系統(tǒng)管理員��,其也不是十全十美的,也會(huì)在利益的誘惑下�,做類似的事情。
所以���,對(duì)于系統(tǒng)管理員�����,我們也要對(duì)此進(jìn)行嚴(yán)格的權(quán)限控制����。
如筆者現(xiàn)在所用的CRM系統(tǒng)����,在設(shè)計(jì)的時(shí)候,就把系統(tǒng)管理員角色與實(shí)體角色分離開來����。系統(tǒng)管理員角色不能夠訪問業(yè)務(wù)信息,而只能對(duì)一些系統(tǒng)的作業(yè)�,如數(shù)據(jù)庫(kù)備份、單據(jù)調(diào)整��、報(bào)表設(shè)計(jì)等等���,而無(wú)法查詢各個(gè)單據(jù)的具體內(nèi)容����。這主要就是為了杜絕系統(tǒng)管理員去訪問一些業(yè)務(wù)信息。也就是說�,只要把系統(tǒng)管理員設(shè)置為管理員的角色,而不需要進(jìn)行其他額外的設(shè)置��,就可以達(dá)到這個(gè)需求���。
五�����、用戶帳戶與密碼的保護(hù)措施���。
權(quán)限的設(shè)計(jì)都是基于用戶名帳戶展開的��。如果用戶的登陸帳戶與密碼泄露的話��,再怎么設(shè)計(jì)訪問機(jī)制����,也是徒勞的。所以在權(quán)限控制方面,我還需要從保護(hù)帳戶與密碼開始做起���。在實(shí)際工作中��,很多系統(tǒng)管理員喜歡為用戶配置好用戶名與密碼��,并且不允許用戶進(jìn)行修改��,個(gè)人認(rèn)為�����,這不是很合理�。特別是有些管理員喜歡設(shè)置一個(gè)統(tǒng)一的密碼����,這讓不法之徒就有機(jī)可乘了。
關(guān)鍵字: 實(shí)施 系統(tǒng) 要注意
粵公網(wǎng)安備