实施CRM系统要注意安全

来源: IT专家网
2010/8/16 13:02:42
CRM系统给客户关系管理提供了一个很好的管理平台。企业在CRM项目实施过程中,由于没有考虑到数据的安全,导致了不少机密信息的外泄。

分享到: 新浪微博 腾讯微博
本文关键字: CRM 实施 安全

三、部门内部的权限,也需要细分。

前不久,笔者对一家企业进行需求调研的时候,他们在数据的访问控制上,提出了这么一个需求。在销售部门中,两个人为一组,每组负责不同的客户。在CRM系统中,他们希望各组的销售人员制能够看到自己负责客户的交易信息,而能够看到其他组负责客户的交易信息。但是,作销售总监则可以看到所有客户的信息。

虽然这种需求的客户可能不多,因为这个安全性级别有点高。但是,可以看出,这家企业对于信息化安全的态度是非常严谨的。不仅部门之间的访问权限需要严格控制,就算本部门之间的数据访问权限也不能小视。

对于部门内部的权限设计,一般需要考虑如下几个方面。

一是防止其他人员修改自己的纪录。也就是说,自己的纪录自己负责,别人最多只能够查询,而不能够进行更改,就算是自己部门的人员也必须遵守。如此的话,可以保证系统中的内容跟所有者人心中的数据是一致的。在CRM系统中,一般有一个“个人专有”的选项。若选中这个选项的话,就表示只有本人可以对这条数据进行修改或者删除,其他人对这条纪录制能够查询。

二是限制其他人员查询自己的纪录。有些企业可能权限控制比较严格,某个员工所做的单据,除了指定的人员外,其他员工不能够进行访问。最常见的,如销售员甲只能够访问自己所建的信息,而对于其他销售人员的信息,无法访问,更加无法更改。对于这个需求,可以通过“排他访问”来进行控制。选择这个选项之后,除非我们制定的特殊人员,否则的话,其他人都不能够访问这个信息。这个权限控制的比较严格,在使用的时候,需要谨慎一点。

四、系统管理员权限,也需要额外的注意。

笔者在实施项目的时候,发现很多企业对于下面员工的权限控制的很好,每个员工具有访问哪些数据的权限,都设置的很清楚。但是,对于企业的系统管理员却忽视了。为了管理的方便,企业的系统管理员往往具有整个系统的访问权限。在实际工作中,不仅各个业务部门的工作人员会出卖企业的信息以谋取私利。作为系统管理员,其也不是十全十美的,也会在利益的诱惑下,做类似的事情。

所以,对于系统管理员,我们也要对此进行严格的权限控制。

如笔者现在所用的CRM系统,在设计的时候,就把系统管理员角色与实体角色分离开来。系统管理员角色不能够访问业务信息,而只能对一些系统的作业,如数据库备份、单据调整、报表设计等等,而无法查询各个单据的具体内容。这主要就是为了杜绝系统管理员去访问一些业务信息。也就是说,只要把系统管理员设置为管理员的角色,而不需要进行其他额外的设置,就可以达到这个需求。

五、用户帐户与密码的保护措施。

权限的设计都是基于用户名帐户展开的。如果用户的登陆帐户与密码泄露的话,再怎么设计访问机制,也是徒劳的。所以在权限控制方面,我还需要从保护帐户与密码开始做起。在实际工作中,很多系统管理员喜欢为用户配置好用户名与密码,并且不允许用户进行修改,个人认为,这不是很合理。特别是有些管理员喜欢设置一个统一的密码,这让不法之徒就有机可乘了。

笔者认为,在对员工建立帐号的时候,可以借鉴Windows操作系统的管理机制。新建立用户后,初始化一个密码。然后设定为“用户下次登陆系统之前必须重新修改密码”。如此的话,用户在下次登陆系统的时候,不得不重新修改密码,从而保证避免的唯一性,只有用户自己知道密码的所在。从而防止企业用户假借某个用户的名字登陆系统,做一些破坏性的工作。

共2页: [1]2 下一页
责编:赵新娜
vsharing 微信扫一扫实时了解行业动态
portalart 微信扫一扫分享本文给好友
著作权声明:kaiyun体育官方人口 文章著作权分属kaiyun体育官方人口 、网友和合作伙伴,部分非原创文章作者信息可能有所缺失,如需补充或修改请与我们联系,工作人员会在1个工作日内配合处理。
畅享
首页
返回
顶部
×
畅享IT
    信息化规划
    IT总包
    供应商选型
    IT监理
    开发维护外包
    评估维权
客服电话
400-698-9918
Baidu
map