【文章摘要】可见,若在实施CRM系统的时候,没有考虑到信息泄露的风险,这对于企业来说,是一件很危险的事情,企业可能会因此带来很多不必要的损失。 $ s+ H$ K* k3 {5 D5 E , W# e& k8 x6 |/ H1 ]! X! v/ X 企业在CRM项目实施过程中,由于没有考虑到数据的安全,导致了不少机密信息的外泄。CRM系统毋庸置疑,给我们客户关系管理提供了一个很好的管理平台。但是,企业在CRM项目实施过程中,由于没有考虑到数据的安全,导致了不少机密信息的外泄。如据笔者的了解,有些企业上了CRM系统之后,会产生一些飞单现象。后来追查原因,原来是客户相关的信息,如客户联系方式、客户订单信息等敏感内容没有采取保护措施。这些本来对销售部门以外的员工是保密的,但是在CRM系统中没有采取保护措施,让其他部门人员可以随意的访问。所以,采购部门的员工就把客户信息与产品价格信息卖给了企业的竞争对手,导致了一些飞单现象。 * ?1 o$ h8 `+ Q N% I" Y) R# q' l9 X- [! D6 y, |- U: S
可见,若在实施CRM系统的时候,没有考虑到信息泄露的风险,这对于企业来说,是一件很危险的事情,企业可能会因此带来很多不必要的损失。 ) s" k9 a( P" d. ^ ) R/ F$ _' c+ M# v3 e# k6 a( { 为此,笔者在这里结合自己的项目管理经验,谈谈在实施CRM系统的时候,该如何注意信息化安全。 ) B7 k2 Q+ Z6 E, u! X- w& i$ z4 U! U9 V, I% e% j. p. h
一、系统测试或者模拟运行时,需要注意权限的控制。 7 J$ m& n# D. r; v! ]
o" t; p1 ?! m
在系统正式上线之前,我们往往需要对系统进行测试或者模拟运行,让员工熟悉系统的相关操作。在这个阶段,我们也往往会建议企业向用户开通所有的模块,以让用户对于这套系统有一个全面的认识。 1 r9 g4 v7 R+ c' N' t: ], ^
( e9 r$ ?' [# Q5 M 但是,在这里我们可能给用户一个错误的理解。我们说开通所有的模块,并不是说,用户具有全部数据的访问权限。在实际工作中,企业在对系统进行测试或者模拟运行的时候,对数据访问基本上没有权限控制。如采购部门员工可以随意查询客户联系方式以及交易记录等信息。我们都知道,若采购员把这些信息泄露给企业的竞争对手的话,除非企业在这个产品上有其他生产厂家不可替代的优势或者技术,否则的话,其竞争对手很有可能通过价格战从企业手中夺取客户。 % t+ u! v {! L
1 u) G0 y' _ P: T 所以,笔者建议,只要把基础数据导入到CRM系统之后,就需要在系统中实现对相关权限的控制。如只让其他部门的员工查询客户的名称,而不知道具体的联系方式;或者只能了解客户订单的交期以及下单的产品,而不能够知道具体的价格信息等等。这些权限的设计与系统的实现,一般来说,在基础数据导入的时候,就要在系统中实现。如此,员工才不能够乘这个过渡时期的空档,窃取企业的机密信息。 " F( J, O3 d- E8 o. b! |0 G / F |, f! N* n, [, l 总之,根据笔者的了解,在基础数据导入到企业项目上线,这中间往往有一段权限管理真空期,而很多信息往往是在这个时间内泄漏的。所以,企业若现在正准备实施CRM项目,则在实施的过程中就需要注意这个问题。只要系统中一有数据,就要注意权限的访问控制了。 ! C% @: m2 X, o( I! b. [8 D
+ f O! u1 }0 p$ X 二、不能只对单据进行简单的读写控制。 6 H( `- {4 e5 t% i" e% b9 H
0 l8 \! N! |/ d 以前很多企业,认为只要做好单据读写控制就安全了。如采购或者质量部员工制能够查询订单信息,而不能够对其进行修改、删除或者新建等操作。或许,对于某些法律健全的国家,或者对于产品具有别人不可替代的企业来说,即使让其他员工看到这些信息也没有多大关系。但是,根据笔者的了解,在国内的企业中,这么做风险往往会很大。 ) b5 \2 I; t! `& T( w
; ~ ^' x+ s8 [; s
如笔者的前段时间回访一家客户,发现他们的质量部门负责人换人了。后来了解,原来这个质量经理挖走了公司的一个重要客户,把这个客户的单子给自己朋友的企业做。原来这个质量经理,通过CRM系统知道了企业跟这家客户交易的价格信息。然后,跟他朋友的企业一起,以比这家企业更低的价格,赢得了这个客户。企业发现后,虽然马上让这个质量部离职走人,但是,损失企业已经无法挽回。 C' Y# B2 u4 Z5 X/ W ^0 Q1 U& f+ f$ L2 \7 A `5 U$ k6 R& p4 d
可见,在CRM系统权限管理的时候,不能够只是一些简单的读写控制。读写控制虽然可以防止数据的非法修改,但是,不能够解决数据的泄露问题。为此,企业在CRM项目部署的时候,需要在读写控制的基础之上,对一些关键信息进行屏蔽。 - v" W3 ?9 |# U, i* ]+ Q+ c0 F % O. K; F2 R( Q8 a; K0 B 如对于销售订单中交易价格来说,是一个比较敏感的信息,一般只有销售人员、以及负责应收帐款的人员可以访问。企业其他人员没有必要知道这方面的内容。所以,我们在权限设置的时候,可以让质量部门人员查询到销售订单的信息,但是,不能够让他们看到销售订单中的价格信息,包括销售单价、付款条件、销售总额等信息。在CRM系统中,往往可以进行相关的设置,如可以指定价格这个信息,只有哪些用户可以访问等等。 8 _7 f K) N: l) t# a4 ]' q7 E+ q, \* F. X0 L1 s+ ?7 B
CRM系统提供了一个信息共享的平台,但是,企业用户在享受由此带来的工作便利的时候,也需要考虑到其可能带来的数据泄露的风险。 " W" D1 z/ ?9 S5 d& F6 P' b9 |% o
0 r' b3 S$ y) S p! e# d' @ 三、部门内部的权限,也需要细分。 & S: N! G, l3 c: w
/ Y3 M9 w4 a! o9 r5 M 前不久,笔者对一家企业进行需求调研的时候,他们在数据的访问控制上,提出了这么一个需求。在销售部门中,两个人为一组,每组负责不同的客户。在CRM系统中,他们希望各组的销售人员制能够看到自己负责客户的交易信息,而能够看到其他组负责客户的交易信息。但是,作销售总监则可以看到所有客户的信息。 ) z, n3 U4 h. q9 R# q