首頁>>>技術>>>CRM  CRM產(chǎn)品

實施CRM系統(tǒng)要注意信息化安全

鄭峰 2008/09/10

  以前很多企業(yè),認為只要做好單據(jù)讀寫控制就安全了。如采購或者質(zhì)量部員工制能夠查詢訂單信息,而不能夠?qū)ζ溥M行修改、刪除或者新建等操作;蛟S,對于某些法律健全的國家,或者對于產(chǎn)品具有別人不可替代的企業(yè)來說,即使讓其他員工看到這些信息也沒有多大關系。但是,根據(jù)筆者的了解,在國內(nèi)的企業(yè)中,這么做風險往往會很大。

  CRM系統(tǒng)毋庸置疑,給我們客戶關系管理提供了一個很好的管理平臺。但是,企業(yè)在CRM項目實施過程中,由于沒有考慮到數(shù)據(jù)的安全,導致了不少機密信息的外泄。如據(jù)筆者的了解,有些企業(yè)上了CRM系統(tǒng)之后,會產(chǎn)生一些飛單現(xiàn)象。后來追查原因,原來是客戶相關的信息,如客戶聯(lián)系方式、客戶訂單信息等敏感內(nèi)容沒有采取保護措施。這些本來對銷售部門以外的員工是保密的,但是在CRM系統(tǒng)中沒有采取保護措施,讓其他部門人員可以隨意的訪問。所以,采購部門的員工就把客戶信息與產(chǎn)品價格信息賣給了企業(yè)的競爭對手,導致了一些飛單現(xiàn)象。

  可見,若在實施CRM系統(tǒng)的時候,沒有考慮到信息泄露的風險,這對于企業(yè)來說,是一件很危險的事情,企業(yè)可能會因此帶來很多不必要的損失。

  為此,筆者在這里結(jié)合自己的項目管理經(jīng)驗,談談在實施CRM系統(tǒng)的時候,該如何注意信息化安全。

  一、系統(tǒng)測試或者模擬運行時,需要注意權(quán)限的控制。

  在系統(tǒng)正式上線之前,我們往往需要對系統(tǒng)進行測試或者模擬運行,讓員工熟悉系統(tǒng)的相關操作。在這個階段,我們也往往會建議企業(yè)向用戶開通所有的模塊,以讓用戶對于這套系統(tǒng)有一個全面的認識。

  但是,在這里我們可能給用戶一個錯誤的理解。我們說開通所有的模塊,并不是說,用戶具有全部數(shù)據(jù)的訪問權(quán)限。在實際工作中,企業(yè)在對系統(tǒng)進行測試或者模擬運行的時候,對數(shù)據(jù)訪問基本上沒有權(quán)限控制。如采購部門員工可以隨意查詢客戶聯(lián)系方式以及交易記錄等信息。我們都知道,若采購員把這些信息泄露給企業(yè)的競爭對手的話,除非企業(yè)在這個產(chǎn)品上有其他生產(chǎn)廠家不可替代的優(yōu)勢或者技術,否則的話,其競爭對手很有可能通過價格戰(zhàn)從企業(yè)手中奪取客戶。

  所以,筆者建議,只要把基礎數(shù)據(jù)導入到CRM系統(tǒng)之后,就需要在系統(tǒng)中實現(xiàn)對相關權(quán)限的控制。如只讓其他部門的員工查詢客戶的名稱,而不知道具體的聯(lián)系方式;或者只能了解客戶訂單的交期以及下單的產(chǎn)品,而不能夠知道具體的價格信息等等。這些權(quán)限的設計與系統(tǒng)的實現(xiàn),一般來說,在基礎數(shù)據(jù)導入的時候,就要在系統(tǒng)中實現(xiàn)。如此,員工才不能夠乘這個過渡時期的空檔,竊取企業(yè)的機密信息。

  總之,根據(jù)筆者的了解,在基礎數(shù)據(jù)導入到企業(yè)項目上線,這中間往往有一段權(quán)限管理真空期,而很多信息往往是在這個時間內(nèi)泄漏的。所以,企業(yè)若現(xiàn)在正準備實施CRM項目,則在實施的過程中就需要注意這個問題。只要系統(tǒng)中一有數(shù)據(jù),就要注意權(quán)限的訪問控制了。

  二、不能只對單據(jù)進行簡單的讀寫控制。

  以前很多企業(yè),認為只要做好單據(jù)讀寫控制就安全了。如采購或者質(zhì)量部員工制能夠查詢訂單信息,而不能夠?qū)ζ溥M行修改、刪除或者新建等操作;蛟S,對于某些法律健全的國家,或者對于產(chǎn)品具有別人不可替代的企業(yè)來說,即使讓其他員工看到這些信息也沒有多大關系。但是,根據(jù)筆者的了解,在國內(nèi)的企業(yè)中,這么做風險往往會很大。

  如筆者的前段時間回訪一家客戶,發(fā)現(xiàn)他們的質(zhì)量部門負責人換人了。后來了解,原來這個質(zhì)量經(jīng)理挖走了公司的一個重要客戶,把這個客戶的單子給自己朋友的企業(yè)做。原來這個質(zhì)量經(jīng)理,通過CRM系統(tǒng)知道了企業(yè)跟這家客戶交易的價格信息。然后,跟他朋友的企業(yè)一起,以比這家企業(yè)更低的價格,贏得了這個客戶。企業(yè)發(fā)現(xiàn)后,雖然馬上讓這個質(zhì)量部離職走人,但是,損失企業(yè)已經(jīng)無法挽回。

  可見,在CRM系統(tǒng)權(quán)限管理的時候,不能夠只是一些簡單的讀寫控制。讀寫控制雖然可以防止數(shù)據(jù)的非法修改,但是,不能夠解決數(shù)據(jù)的泄露問題。為此,企業(yè)在CRM項目部署的時候,需要在讀寫控制的基礎之上,對一些關鍵信息進行屏蔽。

  如對于銷售訂單中交易價格來說,是一個比較敏感的信息,一般只有銷售人員、以及負責應收帳款的人員可以訪問。企業(yè)其他人員沒有必要知道這方面的內(nèi)容。所以,我們在權(quán)限設置的時候,可以讓質(zhì)量部門人員查詢到銷售訂單的信息,但是,不能夠讓他們看到銷售訂單中的價格信息,包括銷售單價、付款條件、銷售總額等信息。在CRM系統(tǒng)中,往往可以進行相關的設置,如可以指定價格這個信息,只有哪些用戶可以訪問等等。

  CRM系統(tǒng)提供了一個信息共享的平臺,但是,企業(yè)用戶在享受由此帶來的工作便利的時候,也需要考慮到其可能帶來的數(shù)據(jù)泄露的風險。

  三、部門內(nèi)部的權(quán)限,也需要細分。

  前不久,筆者對一家企業(yè)進行需求調(diào)研的時候,他們在數(shù)據(jù)的訪問控制上,提出了這么一個需求。在銷售部門中,兩個人為一組,每組負責不同的客戶。在CRM系統(tǒng)中,他們希望各組的銷售人員制能夠看到自己負責客戶的交易信息,而能夠看到其他組負責客戶的交易信息。但是,作銷售總監(jiān)則可以看到所有客戶的信息。

  雖然這種需求的客戶可能不多,因為這個安全性級別有點高。但是,可以看出,這家企業(yè)對于信息化安全的態(tài)度是非常嚴謹?shù)。不僅部門之間的訪問權(quán)限需要嚴格控制,就算本部門之間的數(shù)據(jù)訪問權(quán)限也不能小視。

  對于部門內(nèi)部的權(quán)限設計,一般需要考慮如下幾個方面。

  一是防止其他人員修改自己的紀錄。也就是說,自己的紀錄自己負責,別人最多只能夠查詢,而不能夠進行更改,就算是自己部門的人員也必須遵守。如此的話,可以保證系統(tǒng)中的內(nèi)容跟所有者人心中的數(shù)據(jù)是一致的。在CRM系統(tǒng)中,一般有一個“個人專有”的選項。若選中這個選項的話,就表示只有本人可以對這條數(shù)據(jù)進行修改或者刪除,其他人對這條紀錄制能夠查詢。

  二是限制其他人員查詢自己的紀錄。有些企業(yè)可能權(quán)限控制比較嚴格,某個員工所做的單據(jù),除了指定的人員外,其他員工不能夠進行訪問。最常見的,如銷售員甲只能夠訪問自己所建的信息,而對于其他銷售人員的信息,無法訪問,更加無法更改。對于這個需求,可以通過“排他訪問”來進行控制。選擇這個選項之后,除非我們制定的特殊人員,否則的話,其他人都不能夠訪問這個信息。這個權(quán)限控制的比較嚴格,在使用的時候,需要謹慎一點 。

  四、系統(tǒng)管理員權(quán)限,也需要額外的注意。

  筆者在實施項目的時候,發(fā)現(xiàn)很多企業(yè)對于下面員工的權(quán)限控制的很好,每個員工具有訪問哪些數(shù)據(jù)的權(quán)限,都設置的很清楚。但是,對于企業(yè)的系統(tǒng)管理員卻忽視了。為了管理的方便,企業(yè)的系統(tǒng)管理員往往具有整個系統(tǒng)的訪問權(quán)限。在實際工作中,不僅各個業(yè)務部門的工作人員會出賣企業(yè)的信息以謀取私利。作為系統(tǒng)管理員,其也不是十全十美的,也會在利益的誘惑下,做類似的事情。

  所以,對于系統(tǒng)管理員,我們也要對此進行嚴格的權(quán)限控制。

  如筆者現(xiàn)在所用的CRM系統(tǒng),在設計的時候,就把系統(tǒng)管理員角色與實體角色分離開來。系統(tǒng)管理員角色不能夠訪問業(yè)務信息,而只能對一些系統(tǒng)的作業(yè),如數(shù)據(jù)庫備份、單據(jù)調(diào)整、報表設計等等,而無法查詢各個單據(jù)的具體內(nèi)容。這主要就是為了杜絕系統(tǒng)管理員去訪問一些業(yè)務信息。也就是說,只要把系統(tǒng)管理員設置為管理員的角色,而不需要進行其他額外的設置,就可以達到這個需求。

  五、用戶帳戶與密碼的保護措施。

  權(quán)限的設計都是基于用戶名帳戶展開的。如果用戶的登陸帳戶與密碼泄露的話,再怎么設計訪問機制,也是徒勞的。所以在權(quán)限控制方面,我還需要從保護帳戶與密碼開始做起。在實際工作中,很多系統(tǒng)管理員喜歡為用戶配置好用戶名與密碼,并且不允許用戶進行修改,個人認為,這不是很合理。特別是有些管理員喜歡設置一個統(tǒng)一的密碼,這讓不法之徒就有機可乘了。

  筆者認為,在對員工建立帳號的時候,可以借鑒Windows操作系統(tǒng)的管理機制。新建立用戶后,初始化一個密碼。然后設定為“用戶下次登陸系統(tǒng)之前必須重新修改密碼”。如此的話,用戶在下次登陸系統(tǒng)的時候,不得不重新修改密碼,從而保證避免的唯一性,只有用戶自己知道密碼的所在。從而防止企業(yè)用戶假借某個用戶的名字登陸系統(tǒng),做一些破壞性的工作。

IT專家網(wǎng)


相關鏈接:
移動客戶關系管理系統(tǒng)的發(fā)展與應用 2008-09-10
CRM在經(jīng)濟滯長中更加重要的五種原因 2008-09-10
六大技術為你的CRM錦上添花 2008-09-09
用銷售管理軟件“你能管什么?” 2008-09-08
如何有始有終的做好CMR項目結(jié)束工作 2008-09-08

分類信息: