企業在CRM項目實施過程中，由于沒有考慮到數據的安全，導致了不少機密信息的外泄。CRM系統毋庸置疑，給我們客戶關系管理提供了一個很好的管理平臺。但是，企業在CRM項目實施過程中，由于沒有考慮到數據的安全，導致了不少機密信息的外泄。如據筆者的了解，有些企業上了CRM系統之后，會產生一些飛單現象。后來追查原因，原來是客戶相關的信息，如客戶聯系方式、客戶訂單信息等敏感內容沒有采取保護措施。這些本來對銷售部門以外的員工是保密的，但是在CRM系統中沒有采取保護措施，讓其他部門人員可以隨意的訪問。所以，采購部門的員工就把客戶信息與產品價格信息賣給了企業的競爭對手，導致了一些飛單現象。

可見，若在實施CRM系統的時候，沒有考慮到信息泄露的風險，這對于企業來說，是一件很危險的事情，企業可能會因此帶來很多不必要的損失。

為此，筆者在這里結合自己的項目管理經驗，談談在實施CRM系統的時候，該如何注意信息化安全。

一、系統測試或者模擬運行時，需要注意權限的控制。

在系統正式上線之前，我們往往需要對系統進行測試或者模擬運行，讓員工熟悉系統的相關操作。在這個階段，我們也往往會建議企業向用戶開通所有的模塊，以讓用戶對于這套系統有一個全面的認識。

但是，在這里我們可能給用戶一個錯誤的理解。我們說開通所有的模塊，并不是說，用戶具有全部數據的訪問權限。在實際工作中，企業在對系統進行測試或者模擬運行的時候，對數據訪問基本上沒有權限控制。如采購部門員工可以隨意查詢客戶聯系方式以及交易記錄等信息。我們都知道，若采購員把這些信息泄露給企業的競爭對手的話，除非企業在這個產品上有其他生產廠家不可替代的優勢或者技術，否則的話，其競爭對手很有可能通過價格戰從企業手中奪取客戶。

所以，筆者建議，只要把基礎數據導入到CRM系統之后，就需要在系統中實現對相關權限的控制。如只讓其他部門的員工查詢客戶的名稱，而不知道具體的聯系方式;或者只能了解客戶訂單的交期以及下單的產品，而不能夠知道具體的價格信息等等。這些權限的設計與系統的實現，一般來說，在基礎數據導入的時候，就要在系統中實現。如此，員工才不能夠乘這個過渡時期的空檔，竊取企業的機密信息。

總之，根據筆者的了解，在基礎數據導入到企業項目上線，這中間往往有一段權限管理真空期，而很多信息往往是在這個時間內泄漏的。所以，企業若現在正準備實施CRM項目，則在實施的過程中就需要注意這個問題。只要系統中一有數據，就要注意權限的訪問控制了。

二、不能只對單據進行簡單的讀寫控制。

以前很多企業，認為只要做好單據讀寫控制就安全了。如采購或者質量部員工制能夠查詢訂單信息，而不能夠對其進行修改、刪除或者新建等操作。或許，對于某些法律健全的國家，或者對于產品具有別人不可替代的企業來說，即使讓其他員工看到這些信息也沒有多大關系。但是，根據筆者的了解，在國內的企業中，這么做風險往往會很大。

如筆者的前段時間回訪一家客戶，發現他們的質量部門負責人換人了。后來了解，原來這個質量經理挖走了公司的一個重要客戶，把這個客戶的單子給自己朋友的企業做。原來這個質量經理，通過CRM系統知道了企業跟這家客戶交易的價格信息。然后，跟他朋友的企業一起，以比這家企業更低的價格，贏得了這個客戶。企業發現后，雖然馬上讓這個質量部離職走人，但是，損失企業已經無法挽回。

可見，在CRM系統權限管理的時候，不能夠只是一些簡單的讀寫控制。讀寫控制雖然可以防止數據的非法修改，但是，不能夠解決數據的泄露問題。為此，企業在CRM項目部署的時候，需要在讀寫控制的基礎之上，對一些關鍵信息進行屏蔽。

如對于銷售訂單中交易價格來說，是一個比較敏感的信息，一般只有銷售人員、以及負責應收帳款的人員可以訪問。企業其他人員沒有必要知道這方面的內容。所以，我們在權限設置的時候，可以讓質量部門人員查詢到銷售訂單的信息，但是，不能夠讓他們看到銷售訂單中的價格信息，包括銷售單價、付款條件、銷售總額等信息。在CRM系統中，往往可以進行相關的設置，如可以指定價格這個信息，只有哪些用戶可以訪問等等。

CRM系統提供了一個信息共享的平臺，但是，企業用戶在享受由此帶來的工作便利的時候，也需要考慮到其可能帶來的數據泄露的風險。

三、部門內部的權限，也需要細分。

前不久，筆者對一家企業進行需求調研的時候，他們在數據的訪問控制上，提出了這么一個需求。在銷售部門中，兩個人為一組，每組負責不同的客戶。在CRM系統中，他們希望各組的銷售人員制能夠看到自己負責客戶的交易信息，而能夠看到其他組負責客戶的交易信息。但是，作銷售總監則可以看到所有客戶的信息。

雖然這種需求的客戶可能不多，因為這個安全性級別有點高。但是，可以看出，這家企業對于信息化安全的態度是非常嚴謹的。不僅部門之間的訪問權限需要嚴格控制，就算本部門之間的數據訪問權限也不能小視。

對于部門內部的權限設計，一般需要考慮如下幾個方面。

一是防止其他人員修改自己的紀錄。也就是說，自己的紀錄自己負責，別人最多只能夠查詢，而不能夠進行更改，就算是自己部門的人員也必須遵守。如此的話，可以保證系統中的內容跟所有者人心中的數據是一致的。在CRM系統中，一般有一個“個人專有”的選項。若選中這個選項的話，就表示只有本人可以對這條數據進行修改或者刪除，其他人對這條紀錄制能夠查詢。

二是限制其他人員查詢自己的紀錄。有些企業可能權限控制比較嚴格，某個員工所做的單據，除了指定的人員外，其他員工不能夠進行訪問。最常見的，如銷售員甲只能夠訪問自己所建的信息，而對于其他銷售人員的信息，無法訪問，更加無法更改。對于這個需求，可以通過“排他訪問”來進行控制。選擇這個選項之后，除非我們制定的特殊人員，否則的話，其他人都不能夠訪問這個信息。這個權限控制的比較嚴格，在使用的時候，需要謹慎一點。

四、系統管理員權限，也需要額外的注意。

筆者在實施項目的時候，發現很多企業對于下面員工的權限控制的很好，每個員工具有訪問哪些數據的權限，都設置的很清楚。但是，對于企業的系統管理員卻忽視了。為了管理的方便，企業的系統管理員往往具有整個系統的訪問權限。在實際工作中，不僅各個業務部門的工作人員會出賣企業的信息以謀取私利。作為系統管理員，其也不是十全十美的，也會在利益的誘惑下，做類似的事情。

所以，對于系統管理員，我們也要對此進行嚴格的權限控制。

如筆者現在所用的CRM系統，在設計的時候，就把系統管理員角色與實體角色分離開來。系統管理員角色不能夠訪問業務信息，而只能對一些系統的作業，如數據庫備份、單據調整、報表設計等等，而無法查詢各個單據的具體內容。這主要就是為了杜絕系統管理員去訪問一些業務信息。也就是說，只要把系統管理員設置為管理員的角色，而不需要進行其他額外的設置，就可以達到這個需求。

五、用戶帳戶與密碼的保護措施。

權限的設計都是基于用戶名帳戶展開的。如果用戶的登陸帳戶與密碼泄露的話，再怎么設計訪問機制，也是徒勞的。所以在權限控制方面，我還需要從保護帳戶與密碼開始做起。在實際工作中，很多系統管理員喜歡為用戶配置好用戶名與密碼，并且不允許用戶進行修改，個人認為，這不是很合理。特別是有些管理員喜歡設置一個統一的密碼，這讓不法之徒就有機可乘了。筆者認為，在對員工建立帳號的時候，可以借鑒Windows操作系統的管理機制。新建立用戶后，初始化一個密碼。然后設定為“用戶下次登陸系統之前必須重新修改密碼”。如此的話，用戶在下次登陸系統的時候，不得不重新修改密碼，從而保證避免的唯一性，只有用戶自己知道密碼的所在。從而防止企業用戶假借某個用戶的名字登陸系統，做一些破壞性的工作。