無疑，CRM系統給我們客戶關系管理提供了一個很好的管理平臺。然而，在CRM項目的實施過程中，許多企業由于沒有充分考慮到數據的安全，而導致了不少機密信息的外泄。

如有些企業上了CRM系統之后，會產生一些飛單現象。后來追查原因，原來是客戶相關的信息，包括客戶聯系方式、客戶訂單信息等敏感內容沒有采取保護措施。這些本來對銷售部門以外的員工是保密的，但由于在CRM系統中沒有采取保護措施，讓其他部門人員可以隨意的訪問。因此，采購部門的員工就把客戶信息與產品價格信息賣給了企業的競爭對手，而導致了產生了這種現象。

　　通過上述的分析可以看出， 在實施CRM系統時，如果沒有考慮到信息泄露的風險，這對于企業而言，無疑是一件非常糟糕的事 。鑒于此，本文就這個問題談談在實施CRM系統時該如何注意信息化安全。

一、系統測試或者模擬運行時，需要注意權限的控制

　　在系統正式上線之前，我們往往需要對系統進行測試或者模擬運行，讓員工熟悉系統的相關操作。在這個階段，我們也往往會建議企業向用戶開通所有的模塊，以讓用戶對于這套系統有一個全面的認識。但在這里我們可能給用戶一個錯誤的理解。其實所謂的開通所有的模塊，并不是說，用戶具有全部數據的訪問權限。在實際工作中，企業在對系統進行測試或者模擬運行時，對數據訪問基本上沒有權限控制。如采購部門員工可以隨意查詢客戶聯系方式以及交易記錄等信息。我們都知道，如果采購員把這些信息泄露給企業的競爭對手，則企業在這個產品上有其他生產廠家不可替代的優勢或者技術，不然，其競爭對手很有可能通過價格戰從企業手中奪取客戶。

　　因此，只要把基礎數據導入到CRM系統之后，就需要在系統中實現對相關權限的控制。例如，只讓其他部門的員工查詢客戶的名稱，而不知道具體的聯系方式等。這些權限的設計與系統的實現一般來在基礎數據導入時，就要在系統中實現。只有這樣，員工才無法乘這個過渡時期的空檔，竊取企業的機密信息。

　　總而言之， 在基礎數據導入到企業項目上線，這中間往往有一段權限管理真空期，不少信息往往是在這個時間內泄漏的。 如果企業現在正準備實施CRM項目的話，那么在實施的過程中，這個問題就尤為需要注意了。只要系統中一有數據，就要注意權限的訪問控制了。

二、不能只對單據進行簡單的讀寫控制

　　過去有不少的企業錯誤地認為，只要做好單據讀寫控制就安全了。如采購或者質量部員工制能夠查詢訂單信息，而不能夠對其進行修改、刪除或者新建等操作。 對于某些法律健全的國家，或是對于產品具有別人不可替代的企業來講，即使讓其他員工看到這些信息可能也沒有多大關系。但在國內的企業中，如果這么做的話，則風險往往會非常大。總之，在CRM系統權限管理時，不可只是一些簡單的讀寫控制。盡管讀寫控制可以防止數據的非法修改，但卻不可以解決數據的泄露問題。所以，企業在CRM項目部署時，需要在讀寫控制的基礎之上，對一些關鍵信息進行屏蔽。

比如，對于銷售訂單中交易價格來說，是一個比較敏感的信息，一般只有銷售人員、以及負責應收帳款的人員可以訪問。企業其他人員沒有必要知道這方面的內容。因此， 在權限設置時，我們可以讓質量部門人員查詢到銷售訂單的信息，但不可以讓他們看到銷售訂單中的銷售單價、付款條件、銷售總額等價格信息。

而在CRM系統中，則可以進行相關的設置，例如，可以指定價格這個信息，只有哪些用戶可以訪問等。但需要指出的是，雖然CRM系統提供了一個信息共享的平臺，但企業用戶在享受由此帶來的工作便利的時候，對其可能帶來的數據泄露的風險也同樣需要做充分的考慮。

三、部門內部的權限需要細分

　　 筆者最近對一家企業進行需求調研的時候，他們在數據的訪問控制上，提出了這么一個需求。在銷售部門中，兩個人為一組，每組負責不同的客戶。在CRM系統中，他們希望各組的銷售人員制可以看到自己負責客戶的交易信息，而能夠看到其他組負責客戶的交易信息。但作銷售總監是可以看到所有客戶的信息的。

　　因為這個性級別優點高，所以有這種需求的客戶雖然可能并不是很多， 但這家企業對于信息化安全的態度是非常嚴謹的。不但部門之間的訪問權限需要嚴格控制，即便是本部門之間的數據訪問權限也不能小視。因此，對于部門內部的權限設計，一般需要考慮兩個方面：

首先是防止其他人員修改自己的紀錄。即自己的紀錄自己負責，別人最多只能夠查詢，而不能夠進行更改，即使自己部門的人員也必須遵守。這樣，可以保證系統中的內容跟所有者人心中的數據是一致的。在CRM系統中，一般有一個“個人專有”的選項。如果選中這個選項 ，則表示只有本人可以對這條數據進行修改或者刪除，其他人對這條紀錄制能夠查詢。其次是限制其他人員查詢自己的紀錄。有些企業可能權限控制比較嚴格，某個員工所做的單據，除了指定的人員外，其他員工不能夠進行訪問。最常見的，如銷售員甲只能夠訪問自己所建的信息，而對于其他銷售人員的信息，無法訪問，更加無法更改。對于這個需求，可以通過“排他訪問”來進行控制。選擇這個選項之后，除了我們制定的特殊人員之外，其他人都不是能夠訪問這個信息的。這個權限控制的比較嚴格，在使用的時候，需要謹慎一點 。

四、系統管理員權限需要額外注意

　　雖然不少企業對于下面員工的權限控制的很好，如每個員工具有訪問哪些數據的權限，都設置的很清楚。但對于企業的系統管理員卻忽視了。為了管理的方便，企業的系統管理員往往具有整個系統的訪問權限。在實際工作中，不僅各個業務部門的工作人員會出賣企業的信息以謀取私利。作為系統管理員，其也不是十全十美的，也會在利益的誘惑下，做類似的事情。因此，對于系統管理員，我們也要對此進行嚴格的權限控制。
 

五、用戶帳戶與密碼的保護措施

　　一般來說，權限的設計都是基于用戶名帳戶展開的。如果用戶的登陸帳戶與密碼泄露的話，即便是再怎么設計訪問機制，也是白費功夫的，因此，在權限控制方面，還需要從保護帳戶與密碼開始做起。  不少的系統管理員，他們在實際工作中，都喜歡為用戶配置好用戶名與密碼，并且不允許用戶進行修改， 其實這不是很合理。尤其是有些管理員喜歡設置一個統一的密碼，這讓不法之徒就有機可乘了。

　　所以，在對員工建立帳號的時候，可以借鑒Windows操作系統的管理機制。新建立用戶后，初始化一個密碼。然后再設定為“用戶下次登陸系統之前必須重新修改密碼”。這樣，用戶在下次登陸系統的時候，不得不重新修改密碼而保證避免的唯一性，只有用戶自己知道密碼的所在。以防止企業用戶假借某個用戶的名字登陸系統，做一些破壞性的工作。