無疑�,CRM系統(tǒng)給我們客戶關(guān)系管理提供了一個(gè)很好的管理平臺���。然而,在CRM項(xiàng)目的實(shí)施過程中,許多企業(yè)由于沒有充分考慮到數(shù)據(jù)的安全��,而導(dǎo)致了不少機(jī)密信息的外泄�����。
如有些企業(yè)上了CRM系統(tǒng)之后����,會產(chǎn)生一些飛單現(xiàn)象。后來追查原因��,原來是客戶相關(guān)的信息��,包括客戶聯(lián)系方式�、客戶訂單信息等敏感內(nèi)容沒有采取保護(hù)措施���。這些本來對銷售部門以外的員工是保密的���,但由于在CRM系統(tǒng)中沒有采取保護(hù)措施����,讓其他部門人員可以隨意的訪問。因此��,采購部門的員工就把客戶信息與產(chǎn)品價(jià)格信息賣給了企業(yè)的競爭對手���,而導(dǎo)致了產(chǎn)生了這種現(xiàn)象�����。
通過上述的分析可以看出, 在實(shí)施CRM系統(tǒng)時(shí),如果沒有考慮到信息泄露的風(fēng)險(xiǎn)��,這對于企業(yè)而言�����,無疑是一件非常糟糕的事 �����。鑒于此,本文就這個(gè)問題談?wù)勗趯?shí)施CRM系統(tǒng)時(shí)該如何注意信息化安全。
一、系統(tǒng)測試或者模擬運(yùn)行時(shí),需要注意權(quán)限的控制
在系統(tǒng)正式上線之前���,我們往往需要對系統(tǒng)進(jìn)行測試或者模擬運(yùn)行,讓員工熟悉系統(tǒng)的相關(guān)操作。在這個(gè)階段���,我們也往往會建議企業(yè)向用戶開通所有的模塊,以讓用戶對于這套系統(tǒng)有一個(gè)全面的認(rèn)識。但在這里我們可能給用戶一個(gè)錯(cuò)誤的理解。其實(shí)所謂的開通所有的模塊�,并不是說�����,用戶具有全部數(shù)據(jù)的訪問權(quán)限。在實(shí)際工作中,企業(yè)在對系統(tǒng)進(jìn)行測試或者模擬運(yùn)行時(shí),對數(shù)據(jù)訪問基本上沒有權(quán)限控制。如采購部門員工可以隨意查詢客戶聯(lián)系方式以及交易記錄等信息。我們都知道����,如果采購員把這些信息泄露給企業(yè)的競爭對手��,則企業(yè)在這個(gè)產(chǎn)品上有其他生產(chǎn)廠家不可替代的優(yōu)勢或者技術(shù),不然��,其競爭對手很有可能通過價(jià)格戰(zhàn)從企業(yè)手中奪取客戶��。
因此�,只要把基礎(chǔ)數(shù)據(jù)導(dǎo)入到CRM系統(tǒng)之后�,就需要在系統(tǒng)中實(shí)現(xiàn)對相關(guān)權(quán)限的控制。例如��,只讓其他部門的員工查詢客戶的名稱���,而不知道具體的聯(lián)系方式等�����。這些權(quán)限的設(shè)計(jì)與系統(tǒng)的實(shí)現(xiàn)一般來在基礎(chǔ)數(shù)據(jù)導(dǎo)入時(shí),就要在系統(tǒng)中實(shí)現(xiàn)���。只有這樣,員工才無法乘這個(gè)過渡時(shí)期的空檔�����,竊取企業(yè)的機(jī)密信息���。
總而言之���, 在基礎(chǔ)數(shù)據(jù)導(dǎo)入到企業(yè)項(xiàng)目上線��,這中間往往有一段權(quán)限管理真空期�����,不少信息往往是在這個(gè)時(shí)間內(nèi)泄漏的���。 如果企業(yè)現(xiàn)在正準(zhǔn)備實(shí)施CRM項(xiàng)目的話��,那么在實(shí)施的過程中,這個(gè)問題就尤為需要注意了�����。只要系統(tǒng)中一有數(shù)據(jù)�����,就要注意權(quán)限的訪問控制了。
二�、不能只對單據(jù)進(jìn)行簡單的讀寫控制
過去有不少的企業(yè)錯(cuò)誤地認(rèn)為��,只要做好單據(jù)讀寫控制就安全了。如采購或者質(zhì)量部員工制能夠查詢訂單信息�,而不能夠?qū)ζ溥M(jìn)行修改�����、刪除或者新建等操作。 對于某些法律健全的國家�����,或是對于產(chǎn)品具有別人不可替代的企業(yè)來講���,即使讓其他員工看到這些信息可能也沒有多大關(guān)系�����。但在國內(nèi)的企業(yè)中��,如果這么做的話,則風(fēng)險(xiǎn)往往會非常大��?����?傊?����,在CRM系統(tǒng)權(quán)限管理時(shí)����,不可只是一些簡單的讀寫控制。盡管讀寫控制可以防止數(shù)據(jù)的非法修改,但卻不可以解決數(shù)據(jù)的泄露問題�。所以��,企業(yè)在CRM項(xiàng)目部署時(shí),需要在讀寫控制的基礎(chǔ)之上,對一些關(guān)鍵信息進(jìn)行屏蔽��。
比如���,對于銷售訂單中交易價(jià)格來說�,是一個(gè)比較敏感的信息,一般只有銷售人員、以及負(fù)責(zé)應(yīng)收帳款的人員可以訪問��。企業(yè)其他人員沒有必要知道這方面的內(nèi)容���。因此�, 在權(quán)限設(shè)置時(shí),我們可以讓質(zhì)量部門人員查詢到銷售訂單的信息,但不可以讓他們看到銷售訂單中的銷售單價(jià)�、付款條件����、銷售總額等價(jià)格信息�����。
而在CRM系統(tǒng)中��,則可以進(jìn)行相關(guān)的設(shè)置�,例如����,可以指定價(jià)格這個(gè)信息,只有哪些用戶可以訪問等��。但需要指出的是���,雖然CRM系統(tǒng)提供了一個(gè)信息共享的平臺�,但企業(yè)用戶在享受由此帶來的工作便利的時(shí)候����,對其可能帶來的數(shù)據(jù)泄露的風(fēng)險(xiǎn)也同樣需要做充分的考慮。
三、部門內(nèi)部的權(quán)限需要細(xì)分
筆者最近對一家企業(yè)進(jìn)行需求調(diào)研的時(shí)候�,他們在數(shù)據(jù)的訪問控制上����,提出了這么一個(gè)需求��。在銷售部門中�,兩個(gè)人為一組��,每組負(fù)責(zé)不同的客戶����。在CRM系統(tǒng)中����,他們希望各組的銷售人員制可以看到自己負(fù)責(zé)客戶的交易信息,而能夠看到其他組負(fù)責(zé)客戶的交易信息。但作銷售總監(jiān)是可以看到所有客戶的信息的�。
因?yàn)檫@個(gè)性級別優(yōu)點(diǎn)高�����,所以有這種需求的客戶雖然可能并不是很多, 但這家企業(yè)對于信息化安全的態(tài)度是非常嚴(yán)謹(jǐn)?shù)摹2坏块T之間的訪問權(quán)限需要嚴(yán)格控制�,即便是本部門之間的數(shù)據(jù)訪問權(quán)限也不能小視��。因此,對于部門內(nèi)部的權(quán)限設(shè)計(jì),一般需要考慮兩個(gè)方面:
首先是防止其他人員修改自己的紀(jì)錄����。即自己的紀(jì)錄自己負(fù)責(zé)�,別人最多只能夠查詢�����,而不能夠進(jìn)行更改,即使自己部門的人員也必須遵守�����。這樣���,可以保證系統(tǒng)中的內(nèi)容跟所有者人心中的數(shù)據(jù)是一致的���。在CRM系統(tǒng)中�,一般有一個(gè)“個(gè)人專有”的選項(xiàng)。如果選中這個(gè)選項(xiàng) �����,則表示只有本人可以對這條數(shù)據(jù)進(jìn)行修改或者刪除����,其他人對這條紀(jì)錄制能夠查詢。其次是限制其他人員查詢自己的紀(jì)錄��。有些企業(yè)可能權(quán)限控制比較嚴(yán)格����,某個(gè)員工所做的單據(jù),除了指定的人員外����,其他員工不能夠進(jìn)行訪問����。最常見的���,如銷售員甲只能夠訪問自己所建的信息�����,而對于其他銷售人員的信息��,無法訪問,更加無法更改�。對于這個(gè)需求����,可以通過“排他訪問”來進(jìn)行控制�。選擇這個(gè)選項(xiàng)之后,除了我們制定的特殊人員之外����,其他人都不是能夠訪問這個(gè)信息的���。這個(gè)權(quán)限控制的比較嚴(yán)格�,在使用的時(shí)候���,需要謹(jǐn)慎一點(diǎn) ���。
四����、系統(tǒng)管理員權(quán)限需要額外注意
雖然不少企業(yè)對于下面員工的權(quán)限控制的很好,如每個(gè)員工具有訪問哪些數(shù)據(jù)的權(quán)限����,都設(shè)置的很清楚。但對于企業(yè)的系統(tǒng)管理員卻忽視了。為了管理的方便,企業(yè)的系統(tǒng)管理員往往具有整個(gè)系統(tǒng)的訪問權(quán)限�。在實(shí)際工作中���,不僅各個(gè)業(yè)務(wù)部門的工作人員會出賣企業(yè)的信息以謀取私利�����。作為系統(tǒng)管理員,其也不是十全十美的,也會在利益的誘惑下�����,做類似的事情����。因此,對于系統(tǒng)管理員,我們也要對此進(jìn)行嚴(yán)格的權(quán)限控制���。
五、用戶帳戶與密碼的保護(hù)措施
一般來說,權(quán)限的設(shè)計(jì)都是基于用戶名帳戶展開的。如果用戶的登陸帳戶與密碼泄露的話���,即便是再怎么設(shè)計(jì)訪問機(jī)制,也是白費(fèi)功夫的,因此���,在權(quán)限控制方面,還需要從保護(hù)帳戶與密碼開始做起。 不少的系統(tǒng)管理員,他們在實(shí)際工作中,都喜歡為用戶配置好用戶名與密碼���,并且不允許用戶進(jìn)行修改, 其實(shí)這不是很合理。尤其是有些管理員喜歡設(shè)置一個(gè)統(tǒng)一的密碼��,這讓不法之徒就有機(jī)可乘了�。
所以,在對員工建立帳號的時(shí)候,可以借鑒Windows操作系統(tǒng)的管理機(jī)制�����。新建立用戶后�,初始化一個(gè)密碼�。然后再設(shè)定為“用戶下次登陸系統(tǒng)之前必須重新修改密碼”。這樣�,用戶在下次登陸系統(tǒng)的時(shí)候�,不得不重新修改密碼而保證避免的唯一性��,只有用戶自己知道密碼的所在�。以防止企業(yè)用戶假借某個(gè)用戶的名字登陸系統(tǒng),做一些破壞性的工作�����。
上一篇:
企業(yè)CRM實(shí)施概要下一篇:
客戶關(guān)系管理有助于企業(yè)提高顧客忠誠度