在信息化時代或者是數據時代，企業都會面臨一個重大的問題，那就是信息數據的安全問題。企業在實現信息化戰略的過程中，CRM是必不可少的。但是在CRM項目實施的過程中，如果沒有考慮數據的安全，就很容易造成一些機密信息外泄。

對于企業來講，機密信息外泄是一件很危險的事情，企業可能會因此而帶來很多不必要的損失。因此，在實施CRM項目的時候，必須對與客戶相關的信息，如客戶聯系方式，客戶訂單信息等敏感內容采取保護措施，以防外泄。那么，企業在實施CRM系統的時候，該如何來注意信息化的安全呢?

1、系統測試或模擬運行時，需注意權限的控制

在系統正式上線之前，往往需要對系統進行測試或者模擬運行，讓員工熟悉系統的相關操作。在這個階段，CRM實施顧問往往會建議企業向用戶開通所有的模塊，以讓用戶對于這套系統有一個全面的認識。

但是，這里可能給企業一個錯誤的理解。CRM實施顧問說開通所有的模塊，并不是說，用戶具有全部數據的訪問權限。在實際工作中，企業在對系統進行測試或者模擬運行的時候，對數據訪問基本上沒有權限控制。如銷售部門員工可以隨意查詢客戶聯系方式以及交易記錄等信息。大家都知道，若銷售員把這些信息泄露給企業的競爭對手的話，除非企業在這個產品上有其他生產廠家不可替代的優勢或者技術，否則的話，其競爭對手很有可能通過價格戰從企業手中奪取客戶。

所以，在此建議，只要把基礎數據導入到CRM系統之后，就需要在系統中實現對相關權限的控制。如只讓其他部門的員工查詢客戶的名稱，而不知道具體的聯系方式;或者只能了解客戶訂單的交期以及下單的產品，而不能夠知道具體的價格信息等等。這些權限的設計與系統的實現，一般來說，在基礎數據導入的時候，就要在系統中實現。如此，員工才不能夠乘這個過渡時期的空檔，竊取企業的機密信息。

總之，一般來說，在基礎數據導入到企業項目上線，這中間往往有一段權限管理真空期，而很多信息往往是在這個時間內泄漏的。所以，企業若現在正準備實施CRM項目，則在實施的過程中就需要注意這個問題。只要系統中一有數據，就要注意權限的訪問控制了。

2、不能只對單據進行簡單的讀寫控制

以前很多企業，認為只要做好單據讀寫控制就安全了。如銷售員或者質量部員工能夠查詢訂單信息，而不能夠對其進行修改、刪除或者新建等操作?；蛟S，對于某些法律健全的國家，或者對于產品別人不可替代的企業來說，即使讓其他員工看到這些信息也沒有多大關系。但是，在國內的企業中，這么做風險往往會很大。員工很容易通過CRM系統知道企業和客戶交易的價格等相關信息，然后賣給企業的競爭對手或者跳槽到競爭企業，以比原企業更低的價格來贏得這個客戶。

所以，在CRM系統權限管理的時候，不能夠只是一些簡單的讀寫控制。讀寫控制雖然可以防止數據的非法修改，但是，不能夠解決數據的泄露問題。為此，企業在CRM項目部署的時候，需要在讀寫控制的基礎之上，對一些關鍵信息進行屏蔽。

如對于銷售訂單中交易價格來說，是一個比較敏感的信息，一般只有銷售人員、以及負責應收帳款的人員可以訪問。企業其他人員沒有必要知道這方面的內容。所以，企業在權限設置的時候，可以讓質量部門人員查詢到銷售訂單的信息，但是，不能夠讓他們看到銷售訂單中的價格信息，包括銷售單價、付款條件、銷售總額等信息。在CRM系統中，往往可以進行相關的設置，如可以指定價格這個信息，只有哪些用戶可以訪問等等。

CRM系統提供了一個信息共享的平臺，但是，企業用戶在享受由此帶來的工作便利的時候，也需要考慮到其可能帶來的數據泄露的風險。

3、部門內部的權限，也需細分

有的企業在數據的訪問控制上，會提出這么一個需求。在銷售部門中，兩個人為一組，每組負責不同的客戶。在CRM系統中，他們希望各組的銷售人員制能夠看到自己負責客戶的交易信息，而不能夠看到其他組負責客戶的交易信息。但是，銷售總監則可以看到所有客戶的信息。

雖然這種需求的客戶可能不多，因為這個安全性級別有點高。但是，可以看出，提出這種需求的企業對于信息化安全的態度是非常嚴謹的。不僅部門之間的訪問權限需要嚴格控制，就算本部門之間的數據訪問權限也不能小視。

對于部門內部的權限設計，一般需要考慮如下幾個方面。

一、防止其他人員修改自己的紀錄。也就是說，自己的記錄自己負責，別人最多只能夠查詢，而不能夠進行更改，就算是自己部門的人員也必須遵守。如此的話，可以保證系統中的內容跟所有者人心中的數據是一致的。在CRM系統中，一般有一個“個人專有”的選項。若選中這個選項的話，就表示只有本人可以對這條數據進行修改或者刪除，其他人對這條記錄制能夠查詢。

二、限制其他人員查詢自己的記錄。有些企業可能權限控制比較嚴格，某個員工所做的單據，除了指定的人員外，其他員工不能夠進行訪問。最常見的，如銷售員甲只能夠訪問自己所建的信息，而對于其他銷售人員的信息，無法訪問，更加無法更改。對于這個需求，可以通過“排他訪問”來進行控制。選擇這個選項之后，除非我們制定的特殊人員，否則的話，其他人都不能夠訪問這個信息。這個權限控制的比較嚴格，在使用的時候，需要謹慎一點。

4、系統管理員權限，需要額外注意

有的企業在實施項目的時候，對于下面員工的權限控制的很好，每個員工具有訪問哪些數據的權限，都設置的很清楚。但是，對于企業的系統管理員卻忽視了。為了管理的方便，企業的系統管理員往往具有整個系統的訪問權限。在實際工作中，不僅各個業務部門的工作人員會出賣企業的信息以謀取私利。作為系統管理員，其也不是十全十美的，也會在利益的誘惑下，做類似的事情。

所以，對于系統管理員，企業也要對此進行嚴格的權限控制。

如區域在做CRM設計的時候，可以把系統管理員角色與實體角色分離開來。系統管理員角色不能夠訪問業務信息，而只能對一些系統的作業操作，如數據庫備份、單據調整、報表設計等等，而無法查詢各個單據的具體內容。這主要就是為了杜絕系統管理員去訪問一些業務信息。也就是說，只要把系統管理員設置為管理員的角色，而不需要進行其他額外的設置，就可以達到這個需求。

5、用戶賬戶與密碼的保護措施

權限的設計都是基于用戶名賬戶展開的。如果用戶的登陸賬戶與密碼泄露的話，再怎么設計訪問機制，也是徒勞的。所以在權限控制方面，還需要從保護賬戶與密碼開始做起。在實際工作中，很多系統管理員喜歡為用戶配置好用戶名與密碼，并且不允許用戶進行修改，其實，這不是很合理。特別是有些管理員喜歡設置一個統一的密碼，這就讓不法之徒就有機可乘了。

因此，在對員工建立賬號的時候，可以借鑒Windows操作系統的管理機制。新建立用戶后，初始化一個密碼。然后設定為“用戶下次登陸系統之前必須重新修改密碼”。如此的話，用戶在下次登陸系統的時候，不得不重新修改密碼，從而保證避免的唯一性，只有用戶自己知道密碼的所在。從而防止企業用戶假借某個用戶的名字登陸系統，做一些破壞性的工作。

總結

信息化安全問題是一個很重要的問題，稍有不慎就會給企業帶來重大的損失。所以，必須要引起企業足夠的重視。企業在做CRM項目實施的時候，就必須要對信息數據安全進行充分的考慮。對一些敏感內容做好防護措施，盡量做到防患于未然。

聲明：本內容轉載自第三方平臺，如有侵權請聯系我們刪除