首頁(yè)>>>技術(shù)>>>CRM  CRM產(chǎn)品

實(shí)施CRM系統要注意信息化安全

鄭峰 2008/09/10

  以前很多企業(yè),認為只要做好單據讀寫(xiě)控制就安全了。如采購或者質(zhì)量部員工制能夠查詢(xún)訂單信息,而不能夠對其進(jìn)行修改、刪除或者新建等操作。或許,對于某些法律健全的國家,或者對于產(chǎn)品具有別人不可替代的企業(yè)來(lái)說(shuō),即使讓其他員工看到這些信息也沒(méi)有多大關(guān)系。但是,根據筆者的了解,在國內的企業(yè)中,這么做風(fēng)險往往會(huì )很大。

  CRM系統毋庸置疑,給我們客戶(hù)關(guān)系管理提供了一個(gè)很好的管理平臺。但是,企業(yè)在CRM項目實(shí)施過(guò)程中,由于沒(méi)有考慮到數據的安全,導致了不少機密信息的外泄。如據筆者的了解,有些企業(yè)上了CRM系統之后,會(huì )產(chǎn)生一些飛單現象。后來(lái)追查原因,原來(lái)是客戶(hù)相關(guān)的信息,如客戶(hù)聯(lián)系方式、客戶(hù)訂單信息等敏感內容沒(méi)有采取保護措施。這些本來(lái)對銷(xiāo)售部門(mén)以外的員工是保密的,但是在CRM系統中沒(méi)有采取保護措施,讓其他部門(mén)人員可以隨意的訪(fǎng)問(wèn)。所以,采購部門(mén)的員工就把客戶(hù)信息與產(chǎn)品價(jià)格信息賣(mài)給了企業(yè)的競爭對手,導致了一些飛單現象。

  可見(jiàn),若在實(shí)施CRM系統的時(shí)候,沒(méi)有考慮到信息泄露的風(fēng)險,這對于企業(yè)來(lái)說(shuō),是一件很危險的事情,企業(yè)可能會(huì )因此帶來(lái)很多不必要的損失。

  為此,筆者在這里結合自己的項目管理經(jīng)驗,談?wù)勗趯?shí)施CRM系統的時(shí)候,該如何注意信息化安全。

  一、系統測試或者模擬運行時(shí),需要注意權限的控制

  在系統正式上線(xiàn)之前,我們往往需要對系統進(jìn)行測試或者模擬運行,讓員工熟悉系統的相關(guān)操作。在這個(gè)階段,我們也往往會(huì )建議企業(yè)向用戶(hù)開(kāi)通所有的模塊,以讓用戶(hù)對于這套系統有一個(gè)全面的認識。

  但是,在這里我們可能給用戶(hù)一個(gè)錯誤的理解。我們說(shuō)開(kāi)通所有的模塊,并不是說(shuō),用戶(hù)具有全部數據的訪(fǎng)問(wèn)權限。在實(shí)際工作中,企業(yè)在對系統進(jìn)行測試或者模擬運行的時(shí)候,對數據訪(fǎng)問(wèn)基本上沒(méi)有權限控制。如采購部門(mén)員工可以隨意查詢(xún)客戶(hù)聯(lián)系方式以及交易記錄等信息。我們都知道,若采購員把這些信息泄露給企業(yè)的競爭對手的話(huà),除非企業(yè)在這個(gè)產(chǎn)品上有其他生產(chǎn)廠(chǎng)家不可替代的優(yōu)勢或者技術(shù),否則的話(huà),其競爭對手很有可能通過(guò)價(jià)格戰從企業(yè)手中奪取客戶(hù)。

  所以,筆者建議,只要把基礎數據導入到CRM系統之后,就需要在系統中實(shí)現對相關(guān)權限的控制。如只讓其他部門(mén)的員工查詢(xún)客戶(hù)的名稱(chēng),而不知道具體的聯(lián)系方式;或者只能了解客戶(hù)訂單的交期以及下單的產(chǎn)品,而不能夠知道具體的價(jià)格信息等等。這些權限的設計與系統的實(shí)現,一般來(lái)說(shuō),在基礎數據導入的時(shí)候,就要在系統中實(shí)現。如此,員工才不能夠乘這個(gè)過(guò)渡時(shí)期的空檔,竊取企業(yè)的機密信息。

  總之,根據筆者的了解,在基礎數據導入到企業(yè)項目上線(xiàn),這中間往往有一段權限管理真空期,而很多信息往往是在這個(gè)時(shí)間內泄漏的。所以,企業(yè)若現在正準備實(shí)施CRM項目,則在實(shí)施的過(guò)程中就需要注意這個(gè)問(wèn)題。只要系統中一有數據,就要注意權限的訪(fǎng)問(wèn)控制了。

  二、不能只對單據進(jìn)行簡(jiǎn)單的讀寫(xiě)控制

  以前很多企業(yè),認為只要做好單據讀寫(xiě)控制就安全了。如采購或者質(zhì)量部員工制能夠查詢(xún)訂單信息,而不能夠對其進(jìn)行修改、刪除或者新建等操作。或許,對于某些法律健全的國家,或者對于產(chǎn)品具有別人不可替代的企業(yè)來(lái)說(shuō),即使讓其他員工看到這些信息也沒(méi)有多大關(guān)系。但是,根據筆者的了解,在國內的企業(yè)中,這么做風(fēng)險往往會(huì )很大。

  如筆者的前段時(shí)間回訪(fǎng)一家客戶(hù),發(fā)現他們的質(zhì)量部門(mén)負責人換人了。后來(lái)了解,原來(lái)這個(gè)質(zhì)量經(jīng)理挖走了公司的一個(gè)重要客戶(hù),把這個(gè)客戶(hù)的單子給自己朋友的企業(yè)做。原來(lái)這個(gè)質(zhì)量經(jīng)理,通過(guò)CRM系統知道了企業(yè)跟這家客戶(hù)交易的價(jià)格信息。然后,跟他朋友的企業(yè)一起,以比這家企業(yè)更低的價(jià)格,贏(yíng)得了這個(gè)客戶(hù)。企業(yè)發(fā)現后,雖然馬上讓這個(gè)質(zhì)量部離職走人,但是,損失企業(yè)已經(jīng)無(wú)法挽回。

  可見(jiàn),在CRM系統權限管理的時(shí)候,不能夠只是一些簡(jiǎn)單的讀寫(xiě)控制。讀寫(xiě)控制雖然可以防止數據的非法修改,但是,不能夠解決數據的泄露問(wèn)題。為此,企業(yè)在CRM項目部署的時(shí)候,需要在讀寫(xiě)控制的基礎之上,對一些關(guān)鍵信息進(jìn)行屏蔽。

  如對于銷(xiāo)售訂單中交易價(jià)格來(lái)說(shuō),是一個(gè)比較敏感的信息,一般只有銷(xiāo)售人員、以及負責應收帳款的人員可以訪(fǎng)問(wèn)。企業(yè)其他人員沒(méi)有必要知道這方面的內容。所以,我們在權限設置的時(shí)候,可以讓質(zhì)量部門(mén)人員查詢(xún)到銷(xiāo)售訂單的信息,但是,不能夠讓他們看到銷(xiāo)售訂單中的價(jià)格信息,包括銷(xiāo)售單價(jià)、付款條件、銷(xiāo)售總額等信息。在CRM系統中,往往可以進(jìn)行相關(guān)的設置,如可以指定價(jià)格這個(gè)信息,只有哪些用戶(hù)可以訪(fǎng)問(wèn)等等。

  CRM系統提供了一個(gè)信息共享的平臺,但是,企業(yè)用戶(hù)在享受由此帶來(lái)的工作便利的時(shí)候,也需要考慮到其可能帶來(lái)的數據泄露的風(fēng)險。

  三、部門(mén)內部的權限,也需要細分

  前不久,筆者對一家企業(yè)進(jìn)行需求調研的時(shí)候,他們在數據的訪(fǎng)問(wèn)控制上,提出了這么一個(gè)需求。在銷(xiāo)售部門(mén)中,兩個(gè)人為一組,每組負責不同的客戶(hù)。在CRM系統中,他們希望各組的銷(xiāo)售人員制能夠看到自己負責客戶(hù)的交易信息,而能夠看到其他組負責客戶(hù)的交易信息。但是,作銷(xiāo)售總監則可以看到所有客戶(hù)的信息。

  雖然這種需求的客戶(hù)可能不多,因為這個(gè)安全性級別有點(diǎn)高。但是,可以看出,這家企業(yè)對于信息化安全的態(tài)度是非常嚴謹的。不僅部門(mén)之間的訪(fǎng)問(wèn)權限需要嚴格控制,就算本部門(mén)之間的數據訪(fǎng)問(wèn)權限也不能小視。

  對于部門(mén)內部的權限設計,一般需要考慮如下幾個(gè)方面。

  一是防止其他人員修改自己的紀錄。也就是說(shuō),自己的紀錄自己負責,別人最多只能夠查詢(xún),而不能夠進(jìn)行更改,就算是自己部門(mén)的人員也必須遵守。如此的話(huà),可以保證系統中的內容跟所有者人心中的數據是一致的。在CRM系統中,一般有一個(gè)“個(gè)人專(zhuān)有”的選項。若選中這個(gè)選項的話(huà),就表示只有本人可以對這條數據進(jìn)行修改或者刪除,其他人對這條紀錄制能夠查詢(xún)。

  二是限制其他人員查詢(xún)自己的紀錄。有些企業(yè)可能權限控制比較嚴格,某個(gè)員工所做的單據,除了指定的人員外,其他員工不能夠進(jìn)行訪(fǎng)問(wèn)。最常見(jiàn)的,如銷(xiāo)售員甲只能夠訪(fǎng)問(wèn)自己所建的信息,而對于其他銷(xiāo)售人員的信息,無(wú)法訪(fǎng)問(wèn),更加無(wú)法更改。對于這個(gè)需求,可以通過(guò)“排他訪(fǎng)問(wèn)”來(lái)進(jìn)行控制。選擇這個(gè)選項之后,除非我們制定的特殊人員,否則的話(huà),其他人都不能夠訪(fǎng)問(wèn)這個(gè)信息。這個(gè)權限控制的比較嚴格,在使用的時(shí)候,需要謹慎一點(diǎn) 。

  四、系統管理員權限,也需要額外的注意

  筆者在實(shí)施項目的時(shí)候,發(fā)現很多企業(yè)對于下面員工的權限控制的很好,每個(gè)員工具有訪(fǎng)問(wèn)哪些數據的權限,都設置的很清楚。但是,對于企業(yè)的系統管理員卻忽視了。為了管理的方便,企業(yè)的系統管理員往往具有整個(gè)系統的訪(fǎng)問(wèn)權限。在實(shí)際工作中,不僅各個(gè)業(yè)務(wù)部門(mén)的工作人員會(huì )出賣(mài)企業(yè)的信息以謀取私利。作為系統管理員,其也不是十全十美的,也會(huì )在利益的誘惑下,做類(lèi)似的事情。

  所以,對于系統管理員,我們也要對此進(jìn)行嚴格的權限控制。

  如筆者現在所用的CRM系統,在設計的時(shí)候,就把系統管理員角色與實(shí)體角色分離開(kāi)來(lái)。系統管理員角色不能夠訪(fǎng)問(wèn)業(yè)務(wù)信息,而只能對一些系統的作業(yè),如數據庫備份、單據調整、報表設計等等,而無(wú)法查詢(xún)各個(gè)單據的具體內容。這主要就是為了杜絕系統管理員去訪(fǎng)問(wèn)一些業(yè)務(wù)信息。也就是說(shuō),只要把系統管理員設置為管理員的角色,而不需要進(jìn)行其他額外的設置,就可以達到這個(gè)需求。

  五、用戶(hù)帳戶(hù)與密碼的保護措施

  權限的設計都是基于用戶(hù)名帳戶(hù)展開(kāi)的。如果用戶(hù)的登陸帳戶(hù)與密碼泄露的話(huà),再怎么設計訪(fǎng)問(wèn)機制,也是徒勞的。所以在權限控制方面,我還需要從保護帳戶(hù)與密碼開(kāi)始做起。在實(shí)際工作中,很多系統管理員喜歡為用戶(hù)配置好用戶(hù)名與密碼,并且不允許用戶(hù)進(jìn)行修改,個(gè)人認為,這不是很合理。特別是有些管理員喜歡設置一個(gè)統一的密碼,這讓不法之徒就有機可乘了。

  筆者認為,在對員工建立帳號的時(shí)候,可以借鑒Windows操作系統的管理機制。新建立用戶(hù)后,初始化一個(gè)密碼。然后設定為“用戶(hù)下次登陸系統之前必須重新修改密碼”。如此的話(huà),用戶(hù)在下次登陸系統的時(shí)候,不得不重新修改密碼,從而保證避免的唯一性,只有用戶(hù)自己知道密碼的所在。從而防止企業(yè)用戶(hù)假借某個(gè)用戶(hù)的名字登陸系統,做一些破壞性的工作。

IT專(zhuān)家網(wǎng)


相關(guān)鏈接:
移動(dòng)客戶(hù)關(guān)系管理系統的發(fā)展與應用 2008-09-10
CRM在經(jīng)濟滯長(cháng)中更加重要的五種原因 2008-09-10
六大技術(shù)為你的CRM錦上添花 2008-09-09
用銷(xiāo)售管理軟件“你能管什么?” 2008-09-08
如何有始有終的做好CMR項目結束工作 2008-09-08

分類(lèi)信息:        
亚洲精品网站在线观看不卡无广告,国产a不卡片精品免费观看,欧美亚洲一区二区三区在线,国产一区二区三区日韩 沙洋县| 贵阳市| 湖口县| 浦北县| 枝江市| 长顺县| 曲松县| 海盐县| 东港市| 冕宁县| 萨迦县| 扎鲁特旗| 西乌| 修文县| 汪清县| 略阳县| 牡丹江市| 边坝县| 灯塔市| 泸定县| 敖汉旗| 黄冈市| 珠海市| 图木舒克市| 汾阳市| 金昌市| 格尔木市| 军事| 磐石市| 依兰县| 嘉义市| 海伦市| 吴忠市| 钦州市| 侯马市| 阿瓦提县| 阳城县| 筠连县| 鄂伦春自治旗| 湖南省| 阿勒泰市| http://444 http://444 http://444 http://444 http://444 http://444