·五招搞定CRM系统实施问题

无疑，CRM系统给我们客户关系管理提供了一个很好的管理平台。然而，在CRM项目的实施过程中，许多企业由于没有充分考虑到数据的安全，而导致了不少机密信息的外泄。

如有些企业上了CRM系统之后，会产生一些飞单现象。后来追查原因，原来是客户相关的信息，包括客户联系方式、客户订单信息等敏感内容没有采取保护措施。这些本来对销售部门以外的员工是保密的，但由于在CRM系统中没有采取保护措施，让其他部门人员可以随意的访问。因此，采购部门的员工就把客户信息与产品价格信息卖给了企业的竞争对手，而导致了产生了这种现象。

　　通过上述的分析可以看出， 在实施CRM系统时，如果没有考虑到信息泄露的风险，这对于企业而言，无疑是一件非常糟糕的事 。鉴于此，本文就这个问题谈谈在实施CRM系统时该如何注意信息化安全。

一、系统测试或者模拟运行时，需要注意权限的控制

　　在系统正式上线之前，我们往往需要对系统进行测试或者模拟运行，让员工熟悉系统的相关操作。在这个阶段，我们也往往会建议企业向用户开通所有的模块，以让用户对于这套系统有一个全面的认识。但在这里我们可能给用户一个错误的理解。其实所谓的开通所有的模块，并不是说，用户具有全部数据的访问权限。在实际工作中，企业在对系统进行测试或者模拟运行时，对数据访问基本上没有权限控制。如采购部门员工可以随意查询客户联系方式以及交易记录等信息。我们都知道，如果采购员把这些信息泄露给企业的竞争对手，则企业在这个产品上有其他生产厂家不可替代的优势或者技术，不然，其竞争对手很有可能通过价格战从企业手中夺取客户。

　　因此，只要把基础数据导入到CRM系统之后，就需要在系统中实现对相关权限的控制。例如，只让其他部门的员工查询客户的名称，而不知道具体的联系方式等。这些权限的设计与系统的实现一般来在基础数据导入时，就要在系统中实现。只有这样，员工才无法乘这个过渡时期的空档，窃取企业的机密信息。

　　总而言之， 在基础数据导入到企业项目上线，这中间往往有一段权限管理真空期，不少信息往往是在这个时间内泄漏的。 如果企业现在正准备实施CRM项目的话，那么在实施的过程中，这个问题就尤为需要注意了。只要系统中一有数据，就要注意权限的访问控制了。

二、不能只对单据进行简单的读写控制

　　过去有不少的企业错误地认为，只要做好单据读写控制就安全了。如采购或者质量部员工制能够查询订单信息，而不能够对其进行修改、删除或者新建等操作。 对于某些法律健全的国家，或是对于产品具有别人不可替代的企业来讲，即使让其他员工看到这些信息可能也没有多大关系。但在国内的企业中，如果这么做的话，则风险往往会非常大。总之，在CRM系统权限管理时，不可只是一些简单的读写控制。尽管读写控制可以防止数据的非法修改，但却不可以解决数据的泄露问题。所以，企业在CRM项目部署时，需要在读写控制的基础之上，对一些关键信息进行屏蔽。

比如，对于销售订单中交易价格来说，是一个比较敏感的信息，一般只有销售人员、以及负责应收帐款的人员可以访问。企业其他人员没有必要知道这方面的内容。因此， 在权限设置时，我们可以让质量部门人员查询到销售订单的信息，但不可以让他们看到销售订单中的销售单价、付款条件、销售总额等价格信息。

而在CRM系统中，则可以进行相关的设置，例如，可以指定价格这个信息，只有哪些用户可以访问等。但需要指出的是，虽然CRM系统提供了一个信息共享的平台，但企业用户在享受由此带来的工作便利的时候，对其可能带来的数据泄露的风险也同样需要做充分的考虑。

三、部门内部的权限需要细分

　　 笔者最近对一家企业进行需求调研的时候，他们在数据的访问控制上，提出了这么一个需求。在销售部门中，两个人为一组，每组负责不同的客户。在CRM系统中，他们希望各组的销售人员制可以看到自己负责客户的交易信息，而能够看到其他组负责客户的交易信息。但作销售总监是可以看到所有客户的信息的。

　　因为这个性级别优点高，所以有这种需求的客户虽然可能并不是很多， 但这家企业对于信息化安全的态度是非常严谨的。不但部门之间的访问权限需要严格控制，即便是本部门之间的数据访问权限也不能小视。因此，对于部门内部的权限设计，一般需要考虑两个方面：

首先是防止其他人员修改自己的纪录。即自己的纪录自己负责，别人最多只能够查询，而不能够进行更改，即使自己部门的人员也必须遵守。这样，可以保证系统中的内容跟所有者人心中的数据是一致的。在CRM系统中，一般有一个“个人专有”的选项。如果选中这个选项 ，则表示只有本人可以对这条数据进行修改或者删除，其他人对这条纪录制能够查询。其次是限制其他人员查询自己的纪录。有些企业可能权限控制比较严格，某个员工所做的单据，除了指定的人员外，其他员工不能够进行访问。最常见的，如销售员甲只能够访问自己所建的信息，而对于其他销售人员的信息，无法访问，更加无法更改。对于这个需求，可以通过“排他访问”来进行控制。选择这个选项之后，除了我们制定的特殊人员之外，其他人都不是能够访问这个信息的。这个权限控制的比较严格，在使用的时候，需要谨慎一点 。

四、系统管理员权限需要额外注意

　　虽然不少企业对于下面员工的权限控制的很好，如每个员工具有访问哪些数据的权限，都设置的很清楚。但对于企业的系统管理员却忽视了。为了管理的方便，企业的系统管理员往往具有整个系统的访问权限。在实际工作中，不仅各个业务部门的工作人员会出卖企业的信息以谋取私利。作为系统管理员，其也不是十全十美的，也会在利益的诱惑下，做类似的事情。因此，对于系统管理员，我们也要对此进行严格的权限控制。
   

五、用户帐户与密码的保护措施

　　一般来说，权限的设计都是基于用户名帐户展开的。如果用户的登陆帐户与密码泄露的话，即便是再怎么设计访问机制，也是白费功夫的，因此，在权限控制方面，还需要从保护帐户与密码开始做起。  不少的系统管理员，他们在实际工作中，都喜欢为用户配置好用户名与密码，并且不允许用户进行修改， 其实这不是很合理。尤其是有些管理员喜欢设置一个统一的密码，这让不法之徒就有机可乘了。

　　所以，在对员工建立帐号的时候，可以借鉴Windows操作系统的管理机制。新建立用户后，初始化一个密码。然后再设定为“用户下次登陆系统之前必须重新修改密码”。这样，用户在下次登陆系统的时候，不得不重新修改密码而保证避免的唯一性，只有用户自己知道密码的所在。以防止企业用户假借某个用户的名字登陆系统，做一些破坏性的工作。