实施CRM系统要注意安全

三、部门内部的权限，也需要细分。

前不久，笔者对一家企业进行需求调研的时候，他们在数据的访问控制上，提出了这么一个需求。在销售部门中，两个人为一组，每组负责不同的客户。在CRM系统中，他们希望各组的销售人员制能够看到自己负责客户的交易信息，而能够看到其他组负责客户的交易信息。但是，作销售总监则可以看到所有客户的信息。

虽然这种需求的客户可能不多，因为这个安全性级别有点高。但是，可以看出，这家企业对于信息化安全的态度是非常严谨的。不仅部门之间的访问权限需要严格控制，就算本部门之间的数据访问权限也不能小视。

对于部门内部的权限设计，一般需要考虑如下几个方面。

一是防止其他人员修改自己的纪录。也就是说，自己的纪录自己负责，别人最多只能够查询，而不能够进行更改，就算是自己部门的人员也必须遵守。如此的话，可以保证系统中的内容跟所有者人心中的数据是一致的。在CRM系统中，一般有一个“个人专有”的选项。若选中这个选项的话，就表示只有本人可以对这条数据进行修改或者删除，其他人对这条纪录制能够查询。

二是限制其他人员查询自己的纪录。有些企业可能权限控制比较严格，某个员工所做的单据，除了指定的人员外，其他员工不能够进行访问。最常见的，如销售员甲只能够访问自己所建的信息，而对于其他销售人员的信息，无法访问，更加无法更改。对于这个需求，可以通过“排他访问”来进行控制。选择这个选项之后，除非我们制定的特殊人员，否则的话，其他人都不能够访问这个信息。这个权限控制的比较严格，在使用的时候，需要谨慎一点。

四、系统管理员权限，也需要额外的注意。

笔者在实施项目的时候，发现很多企业对于下面员工的权限控制的很好，每个员工具有访问哪些数据的权限，都设置的很清楚。但是，对于企业的系统管理员却忽视了。为了管理的方便，企业的系统管理员往往具有整个系统的访问权限。在实际工作中，不仅各个业务部门的工作人员会出卖企业的信息以谋取私利。作为系统管理员，其也不是十全十美的，也会在利益的诱惑下，做类似的事情。

所以，对于系统管理员，我们也要对此进行严格的权限控制。

如笔者现在所用的CRM系统，在设计的时候，就把系统管理员角色与实体角色分离开来。系统管理员角色不能够访问业务信息，而只能对一些系统的作业，如数据库备份、单据调整、报表设计等等，而无法查询各个单据的具体内容。这主要就是为了杜绝系统管理员去访问一些业务信息。也就是说，只要把系统管理员设置为管理员的角色，而不需要进行其他额外的设置，就可以达到这个需求。

五、用户帐户与密码的保护措施。

权限的设计都是基于用户名帐户展开的。如果用户的登陆帐户与密码泄露的话，再怎么设计访问机制，也是徒劳的。所以在权限控制方面，我还需要从保护帐户与密码开始做起。在实际工作中，很多系统管理员喜欢为用户配置好用户名与密码，并且不允许用户进行修改，个人认为，这不是很合理。特别是有些管理员喜欢设置一个统一的密码，这让不法之徒就有机可乘了。

笔者认为，在对员工建立帐号的时候，可以借鉴Windows操作系统的管理机制。新建立用户后，初始化一个密码。然后设定为“用户下次登陆系统之前必须重新修改密码”。如此的话，用户在下次登陆系统的时候，不得不重新修改密码，从而保证避免的唯一性，只有用户自己知道密码的所在。从而防止企业用户假借某个用户的名字登陆系统，做一些破坏性的工作。

微信扫一扫实时了解行业动态

微信扫一扫分享本文给好友