在信息时代或数据时代，企业将面临信息数据安全的重大问题。在实现信息化战略的过程中，crm管理系统至关重要。但是在crm管理系统项目实施过程中，如果不考虑数据的安全性，很容易造成一些机密信息泄露。

　　对于企业来说，泄露机密信息是一件非常危险的事情，企业可能会带来许多不必要的损失。因此，在实施中crm管理系统项目时，必须保护与客户相关的信息，如客户联系方式、客户订单信息等敏感内容，防止泄露。然后，企业在实施crm管理系统时，如何注意信息安全？

　　在测试或模拟系统运行时，应注意权限的控制

　　在系统正式启动之前，通常需要测试或模拟系统，以便员工熟悉系统的相关操作。现阶段，crm管理系统实施顾问经常建议企业向用户开放所有模块，让用户对该系统有全面的了解。然而，这里可能会给企业一个错误的理解。crm管理系统实施顾问表示，打开所有模块并不意味着用户有权访问所有数据。在实践中，企业在测试或模拟系统运行时，基本没有权限控制数据访问。如果销售部可随意查询客户联系方式、交易记录等信息。众所周知，如果销售人员向企业的竞争对手披露这些信息，除非企业在该产品上具有其他制造商不可替代的优势或技术，否则其竞争对手很可能通过价格战从企业手中赢得客户。因此，建议将基础数据导入crm管理系统后，需要控制系统中的相关权限。例如，其他部门的员工只能在不知道具体联系方式的情况下查询客户的姓名；或者您只能了解客户订单的交付日期和订单产品，而不能了解具体的价格信息等。一般来说，在导入基础数据时，需要在系统中实现这些权限的设计和实现。如此，员工才不能够乘这个过渡时期的空档，窃取企业的机密信息。总之，一般来说，在将基础数据导入企业项目上线时，往往会有权限管理真空期，很多信息往往会在此期间泄露。所以，企业若现在正准备实施crm管理系统项目，则在实施的过程中就需要注意这个问题。只要系统中一有数据，就要注意权限的访问控制了。

　　、不能只对单据进行简单的读写控制

　　以前很多企业，认为只要做好单据读写控制就安全了。如果销售人员或质量部门的员工可以查询订单信息，而不能修改、删除或新建。或许，对于某些法律健全的国家，或者对于产品别人不可替代的企业来说，即使让其他员工看到这些信息也没有多大关系。但是，在国内的企业中，这么做风险往往会很大。员工很容易通过crm管理系统了解企业和客户之间的交易价格等相关信息，然后将其出售给企业的竞争对手或跳槽到竞争企业，以较低的价格赢得客户。所以，在crm管理系统权限时，不能只是一些简单的读写控制。读写控制虽然可以防止数据的非法修改，但是，不能够解决数据的泄露问题。为此，企业在crm管理系统项目部署的时候，需要在读写控制的基础之上，对一些关键信息进行屏蔽。如对于销售订单中交易价格来说，是一个比较敏感的信息，一般只有销售人员、以及负责应收帐款的人员可以访问。企业其他人员没有必要知道这方面的内容。所以，企业在权限设置的时候，可以让质量部门人员查询到销售订单的信息，但是，不能够让他们看到销售订单中的价格信息，包括销售单价、付款条件、销售总额等信息。在crm管理系统中，往往可以进行相关的设置，如可以指定价格这个信息，只有哪些用户可以访问等等。crm管理系统提供了一个信息共享的平台，但是，企业用户在享受由此带来的工作便利的时候，也需要考虑到其可能带来的数据泄露的风险。

　　部门内部的权限，也需细分

　　有的企业在数据的访问控制上，会提出这么一个需求。在销售部门中，两个人为一组，每组负责不同的客户。在crm管理系统中，他们希望各组的销售人员制能够看到自己负责客户的交易信息，而不能够看到其他组负责客户的交易信息。但是，销售总监则可以看到所有客户的信息。虽然这种需求的客户可能不多，因为这个安全性级别有点高。但是，可以看出，提出这种需求的企业对于信息化安全的态度是非常严谨的。不仅部门之间的访问权限需要严格控制，就算本部门之间的数据访问权限也不能小视。

　　对于部门内部的权限设计，一般需要考虑如下几个方面。

　　一、防止其他人员修改自己的纪录。也就是说，自己的记录自己负责，别人最多只能够查询，而不能够进行更改，就算是自己部门的人员也必须遵守。如此的话，可以保证系统中的内容跟所有者人心中的数据是一致的。在crm管理系统中，一般有一个“个人专有”的选项。若选中这个选项的话，就表示只有本人可以对这条数据进行修改或者删除，其他人对这条记录制能够查询。

　　二、限制其他人员查询自己的记录。有些企业可能权限控制比较严格，某个员工所做的单据，除了指定的人员外，其他员工不能够进行访问。最常见的，如销售员甲只能够访问自己所建的信息，而对于其他销售人员的信息，无法访问，更加无法更改。对于这个需求，可以通过“排他访问”来进行控制。选择这个选项之后，除非我们制定的特殊人员，否则的话，其他人都不能够访问这个信息。这个权限控制的比较严格，在使用的时候，需要谨慎一点。

　　、系统管理员权限，需要额外注意

　　有的企业在实施项目的时候，对于下面员工的权限控制的很好，每个员工具有访问哪些数据的权限，都设置的很清楚。但是，对于企业的系统管理员却忽视了。为了管理的方便，企业的系统管理员往往具有整个系统的访问权限。在实际工作中，不仅各个业务部门的工作人员会出卖企业的信息以谋取私利。作为系统管理员，其也不是十全十美的，也会在利益的诱惑下，做类似的事情。所以，对于系统管理员，企业也要对此进行严格的权限控制。如区域在做crm管理系统设计的时候，可以把系统管理员角色与实体角色分离开来。系统管理员角色不能够访问业务信息，而只能对一些系统的作业操作，如数据库备份、单据调整、报表设计等等，而无法查询各个单据的具体内容。这主要就是为了杜绝系统管理员去访问一些业务信息。也就是说，只要把系统管理员设置为管理员的角色，而不需要进行其他额外的设置，就可以达到这个需求。

　　用户账户与密码的保护措施

　　权限的设计都是基于用户名账户展开的。如果用户的登录账号和密码泄露，无论如何设计访问机制，都是徒劳的。因此，在权限控制方面，需要从保护账户和密码入手。在实践中，许多系统管理员喜欢为用户配置好用户名和密码，并且不允许用户修改，其实这是不合理的。特别是有些管理员喜欢设置一个统一的密码，这就让不法之徒就有机可乘了。因此，在为员工建立账号时，可以从中学习Windows管理机制。新建立用户后，初始化一个密码。然后设定为“用户下次登陆系统之前必须重新修改密码”。这样，用户下次登录系统时，必须重新修改密码，以确保唯一的避免，只有用户知道密码。防止企业用户以用户名登录系统，做一些破坏性的工作。总结信息化安全问题是一个很重要的问题，稍有不慎就会给企业带来重大的损失。因此，企业必须给予足够的重视。企业在做实施crm管理系统项目时，必须充分考虑信息数据的安全性。对一些敏感内容做好防护措施，尽量做到防患于未然。