實(shí)施網(wǎng)上審批系統(tǒng)時(shí)要注意信息化安全

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

       企業(yè)在網(wǎng)上審批系統(tǒng)項(xiàng)目實(shí)施過(guò)程中，由于沒(méi)有考慮到數(shù)據(jù)的安全，導(dǎo)致了不少機(jī)密信息的外泄。網(wǎng)上審批系統(tǒng)毋庸置疑，給我們客戶關(guān)系管理提供了一個(gè)很好的管理平臺(tái)。但是，企業(yè)在網(wǎng)上審批系統(tǒng)項(xiàng)目實(shí)施過(guò)程中，由于沒(méi)有考慮到數(shù)據(jù)的安全，導(dǎo)致了不少機(jī)密信息的外泄。如據(jù)筆者的了解，有些企業(yè)上了網(wǎng)上審批系統(tǒng)之后，會(huì)產(chǎn)生一些飛單現(xiàn)象。后來(lái)追查原因，原來(lái)是客戶相關(guān)的信息，如客戶聯(lián)系方式、客戶訂單信息等敏感內(nèi)容沒(méi)有采取保護(hù)措施。這些本來(lái)對(duì)銷(xiāo)售部門(mén)以外的員工是保密的，但是在網(wǎng)上審批系統(tǒng)中沒(méi)有采取保護(hù)措施，讓其他部門(mén)人員可以隨意的訪問(wèn)。所以，采購(gòu)部門(mén)的員工就把客戶信息與產(chǎn)品價(jià)格信息賣(mài)給了企業(yè)的競(jìng)爭(zhēng)對(duì)手，導(dǎo)致了一些飛單現(xiàn)象。

　　可見(jiàn)，若在實(shí)施網(wǎng)上審批系統(tǒng)的時(shí)候，沒(méi)有考慮到信息泄露的風(fēng)險(xiǎn)，這對(duì)于企業(yè)來(lái)說(shuō)，是一件很危險(xiǎn)的事情，企業(yè)可能會(huì)因此帶來(lái)很多不必要的損失。

　　為此，筆者在這里結(jié)合自己的項(xiàng)目管理經(jīng)驗(yàn)，談?wù)勗趯?shí)施網(wǎng)上審批系統(tǒng)的時(shí)候，該如何注意信息化安全。

　　一、系統(tǒng)測(cè)試或者模擬運(yùn)行時(shí)，需要注意權(quán)限的控制。

　　在系統(tǒng)正式上線之前，我們往往需要對(duì)系統(tǒng)進(jìn)行測(cè)試或者模擬運(yùn)行，讓員工熟悉系統(tǒng)的相關(guān)操作。在這個(gè)階段，我們也往往會(huì)建議企業(yè)向用戶開(kāi)通所有的模塊，以讓用戶對(duì)于這套系統(tǒng)有一個(gè)全面的認(rèn)識(shí)。

　　但是，在這里我們可能給用戶一個(gè)錯(cuò)誤的理解。我們說(shuō)開(kāi)通所有的模塊，并不是說(shuō)，用戶具有全部數(shù)據(jù)的訪問(wèn)權(quán)限。在實(shí)際工作中，企業(yè)在對(duì)系統(tǒng)進(jìn)行測(cè)試或者模擬運(yùn)行的時(shí)候，對(duì)數(shù)據(jù)訪問(wèn)基本上沒(méi)有權(quán)限控制。如采購(gòu)部門(mén)員工可以隨意查詢客戶聯(lián)系方式以及交易記錄等信息。我們都知道，若采購(gòu)員把這些信息泄露給企業(yè)的競(jìng)爭(zhēng)對(duì)手的話，除非企業(yè)在這個(gè)產(chǎn)品上有其他生產(chǎn)廠家不可替代的優(yōu)勢(shì)或者技術(shù)，否則的話，其競(jìng)爭(zhēng)對(duì)手很有可能通過(guò)價(jià)格戰(zhàn)從企業(yè)手中奪取客戶。

　　所以，筆者建議，只要把基礎(chǔ)數(shù)據(jù)導(dǎo)入到網(wǎng)上審批系統(tǒng)之后，就需要在系統(tǒng)中實(shí)現(xiàn)對(duì)相關(guān)權(quán)限的控制。如只讓其他部門(mén)的員工查詢客戶的名稱，而不知道具體的聯(lián)系方式;或者只能了解客戶訂單的交期以及下單的產(chǎn)品，而不能夠知道具體的價(jià)格信息等等。這些權(quán)限的設(shè)計(jì)與系統(tǒng)的實(shí)現(xiàn)，一般來(lái)說(shuō)，在基礎(chǔ)數(shù)據(jù)導(dǎo)入的時(shí)候，就要在系統(tǒng)中實(shí)現(xiàn)。如此，員工才不能夠乘這個(gè)過(guò)渡時(shí)期的空檔，竊取企業(yè)的機(jī)密信息。

　　總之，根據(jù)筆者的了解，在基礎(chǔ)數(shù)據(jù)導(dǎo)入到企業(yè)項(xiàng)目上線，這中間往往有一段權(quán)限管理真空期，而很多信息往往是在這個(gè)時(shí)間內(nèi)泄漏的。所以，企業(yè)若現(xiàn)在正準(zhǔn)備實(shí)施網(wǎng)上審批系統(tǒng)項(xiàng)目，則在實(shí)施的過(guò)程中就需要注意這個(gè)問(wèn)題。只要系統(tǒng)中一有數(shù)據(jù)，就要注意權(quán)限的訪問(wèn)控制了。

　　二、不能只對(duì)單據(jù)進(jìn)行簡(jiǎn)單的讀寫(xiě)控制。

　　以前很多企業(yè)，認(rèn)為只要做好單據(jù)讀寫(xiě)控制就安全了。如采購(gòu)或者質(zhì)量部員工制能夠查詢訂單信息，而不能夠?qū)ζ溥M(jìn)行修改、刪除或者新建等操作?；蛟S，對(duì)于某些法律健全的國(guó)家，或者對(duì)于產(chǎn)品具有別人不可替代的企業(yè)來(lái)說(shuō)，即使讓其他員工看到這些信息也沒(méi)有多大關(guān)系。但是，根據(jù)筆者的了解，在國(guó)內(nèi)的企業(yè)中，這么做風(fēng)險(xiǎn)往往會(huì)很大。

　　如筆者的前段時(shí)間回訪一家客戶，發(fā)現(xiàn)他們的質(zhì)量部門(mén)負(fù)責(zé)人換人了。后來(lái)了解，原來(lái)這個(gè)質(zhì)量經(jīng)理挖走了公司的一個(gè)重要客戶，把這個(gè)客戶的單子給自己朋友的企業(yè)做。原來(lái)這個(gè)質(zhì)量經(jīng)理，通過(guò)網(wǎng)上審批系統(tǒng)知道了企業(yè)跟這家客戶交易的價(jià)格信息。然后，跟他朋友的企業(yè)一起，以比這家企業(yè)更低的價(jià)格，贏得了這個(gè)客戶。企業(yè)發(fā)現(xiàn)后，雖然馬上讓這個(gè)質(zhì)量部離職走人，但是，損失企業(yè)已經(jīng)無(wú)法挽回。

　　可見(jiàn)，在網(wǎng)上審批系統(tǒng)權(quán)限管理的時(shí)候，不能夠只是一些簡(jiǎn)單的讀寫(xiě)控制。讀寫(xiě)控制雖然可以防止數(shù)據(jù)的非法修改，但是，不能夠解決數(shù)據(jù)的泄露問(wèn)題。為此，企業(yè)在網(wǎng)上審批系統(tǒng)項(xiàng)目部署的時(shí)候，需要在讀寫(xiě)控制的基礎(chǔ)之上，對(duì)一些關(guān)鍵信息進(jìn)行屏蔽。

　　如對(duì)于銷(xiāo)售訂單中交易價(jià)格來(lái)說(shuō)，是一個(gè)比較敏感的信息，一般只有銷(xiāo)售人員、以及負(fù)責(zé)應(yīng)收帳款的人員可以訪問(wèn)。企業(yè)其他人員沒(méi)有必要知道這方面的內(nèi)容。所以，我們?cè)跈?quán)限設(shè)置的時(shí)候，可以讓質(zhì)量部門(mén)人員查詢到銷(xiāo)售訂單的信息，但是，不能夠讓他們看到銷(xiāo)售訂單中的價(jià)格信息，包括銷(xiāo)售單價(jià)、付款條件、銷(xiāo)售總額等信息。在網(wǎng)上審批系統(tǒng)中，往往可以進(jìn)行相關(guān)的設(shè)置，如可以指定價(jià)格這個(gè)信息，只有哪些用戶可以訪問(wèn)等等。

　　網(wǎng)上審批系統(tǒng)提供了一個(gè)信息共享的平臺(tái)，但是，企業(yè)用戶在享受由此帶來(lái)的工作便利的時(shí)候，也需要考慮到其可能帶來(lái)的數(shù)據(jù)泄露的風(fēng)險(xiǎn)。