[推荐] ERP实施如何做好信息安全规划防止内部信息泄露

ERP实施如何做好信息安全规划防止内部信息泄露
# U6 r0 ^; F. Y7 o　　ERP系统涉及到企业的方方面面，包含着企业最重要的、最关键、最敏感的信息，如企业的客户信息、产品构成、产品成本、产品价格、产品利润等，任何一种信息被泄露，都有可能给企业带来巨大的损失，有些甚至是致命的。这也足见ERP数据安全的重要性。( Q( a. G8 i) L* g/ o! m$ ^1 u1 K

7 _& T6 B, c# R: J8 u　　但是，很多企业的ERP项目实施中，在强调ERP作业功能的同时，却忽视了ERP信息安全的规划，对ERP的数据安全要么轻描淡写，甚至视而不见；又或者只强调硬件上的安全性，如数据的备份、恢复，而对企业的"内鬼"，疏于防范。6 G' j& C- A5 W& b

/ v/ V! Z: y: W9 E' G( O　　小人易防，君子难防。该如何有效防止内鬼的"偷窥"呢？首先，要先了解一下，哪些信息，会成为内鬼的猎物，然后才能对症下药。 % ]* F+ x6 l0 X" i0 P4 J
8 ]' g# ^% q: D( o/ E3 @
% e8 E- }$ o2 |) V+ _) y3 c2 m
　　猎物一：客户信息。
: M# `: `2 S/ T8 @4 M  L) D0 d) t
3 D0 V0 w: W, M, q1 n　　众所周知，客户是企业生命的源泉，没有了客户，企业就如同鱼失去了水，马上就会干死。所以，客户信息是企业要保护的第一资源，如何防止客户信息泄露，防止离去的业务员带走客户的重要信息，就成了企业首当其冲要考虑的问题。
7 {" M. }& d; o$ q  ^
# X  `, m2 G$ ?/ X　　让生产经理看到客户信息，或者让业务员能打印或者导出所有客户信息列表，这都是非常危险的事情。- V: E+ C) G; r: z9 s8 c! I

+ F, X, j' Z' {　　猎物二：价格信息。* w1 a6 M2 J- `7 m+ x& P; d

9 _- f2 E9 _9 ?% e　　价格对企业来说，是非常敏感的。若让竞争对手知道自己产品的销售价格，则对方就可以打价格战；若让竞争对手知道自己的原材料价格，那自己辛辛苦苦开发出来的原材料供应商，就会被对方所用；若让供应商知道其他供应商的报价信息，则就会失去同供应商谈判的主动权。
+ f% R" F" Q7 N
4 w$ P5 i0 \6 y" b3 ~) y　　所以，保证此类信息的不外泄，是企业要关注的重要内容，特别是上ERP项目，企业信息共享以后，更加要注重。" F0 d/ v7 A9 k, M

7 Z: i: [& L+ ]+ ^　　猎物三：产品构成与配方管理。7 N+ z' M  K) q7 c
5 Q* d' R3 e# b. s' n
　　在食品、化工行业，产品构成(BOM)或者配方，在产品的成本中占据着非常大的比重，有的甚至到80%。若这些数据泄露给竞争对手，则对企业造成的影响，可想而知；很有可能，企业就从此一蹶不振，走向没落。
2 \4 r7 S, K" K0 |' K$ B. u* @4 W+ G/ M+ \
　　猎物四：成本信息。7 h0 w8 P5 v! n% `& G: I7 H

' B, ?# P  x0 Q* k* V! S+ k2 [! \　　若让客户知道企业产品的成本信息，客户就可以最大限度的压价；若让竞争对手知道成本信息，则竞争对手就可以对症下药，看是跟企业打价格战，还是想办法降低自己的成本，增强竞争能力。$ t5 y# r# P# o1 b3 b: G
　　可见而知，ERP系统中，有太多内鬼的猎物。该如何跟内鬼走好这场"无间道"，笔者认为还是要预防为主，如果等事情发生了再去追究责任，损失往往已经无法追回。
$ O% T0 H0 d' ]' p$ f+ T
, ~4 H- d1 K9 ~( J　　措施一：责任到人，只查询自己负责的信息。  G; {) |2 |3 ]& v7 Z) \% o

( o/ u# T+ k; e* p% Y) t8 p% U　　一般企业的客户，都会由业务员分类维护，如销售员A负责浙江地区的客户，销售员B负责北京地区的客户。那么，销售员A就不用知道北京有哪些客户，同理，销售员B也就不用关心公司浙江地区有哪些客户。
- V* q& N! w3 g3 X5 e/ u* |: i0 f/ z' M
　　所以，在关键信息权限设置的时候，要设置访问权限，把权限缩小到尽量的小，如业务员只能访问自己负责的客户，采购员只能查询自己采购的材料的价格、供应商信息，仓库人员不能访问价格、客户信息等等。' Z$ M/ b9 V( T/ o9 w! D

0 ?6 ]# V+ j7 ~& r& s+ q) y6 k5 S　　措施二：数据访问记录追踪。
& O% e$ c5 Q) `8 A8 T; s% u9 b: _$ S1 u; \
　　在ERP系统中，要能够显示历史访问记录，对一些特别敏感的信息，如配方，还要设置访问及时警告信息，谁访问这些信息，系统能够马上反馈给相关人员。当数据发生泄露时，也能够最快找到"内鬼"。2 g* i, E- ?* Z( I
0 l6 V0 `4 L, I5 H
　　措施三：及时审批制度。+ S& J) S9 m! ?- H! m

' \: i: M% y, W2 G% r; M7 m: ?2 O8 r　　对一些关系到企业成败的关键数据，要能够实现及时审批制度，如公司的重要客户信息、产品的配方信息等，相关人员要查询时，首先要在系统中向领导审批，领导审核通过后，才能查阅。这样程序虽然多些，但是，相对与关键数据的安全性，还是值得在此花点时间的。
# t" x( _: w: Q7 T
0 U1 S% X1 `) ]8 F) c5 u% x% M: R6 }1 K　　措施四：打印或导出的限制。
5 a0 {* S* ^% {" y- r' R& d3 q) M+ v% @3 k( s! u7 ^0 {
　　ERP系统为了做报表的方便，会提供一些打印或者导出功能，如订单日报表，产品价格表，客户信息与客户接单汇总等。对这些关键报表的打印、导出功能要加以限制。如业务员只能查询客户信息，而不能打印或者导出客户报表；财务人员在导出客户应收帐款表时，只能导出客户的名字，而不能导出客户的联系方式等资料。9 y0 R# K) T& ~* l3 P
* V5 H# C2 I4 t$ B6 F3 A
　　在ERP操作之前，一些资料都要专人存档保管，不会在企业内部共享，而上了ERP后，他们往往会忽视数据共享带来的安全性，而给别有用心的人有机可乘。所以，企业要防范与未然，把ERP的数据安全性，也作为评价ERP系统的一个标准之一。