权限系统
了解功能权限的配置
数据权限安全
合同管理系统的数据权限功能,确保企业数据安全
很多企业在使用合同管理系统时都有这样的顾虑:如果让所有员工都使用系统,是不是意味着普通员工也能看到公司所有的合同数据?销售部的员工能不能看到采购部的合同?财务数据会不会被无关人员看到?这些担心完全可以理解,企业的合同数据、客户信息、财务数据都是核心机密,必须严格控制访问权限。
合同管理系统通过数据权限功能完美解决了这个问题。系统支持三种数据权限级别,可以精确控制每个员工能看到哪些数据。管理员可以根据员工的岗位和职责设置合适的权限,既保证了数据安全,又能让员工高效使用系统。您完全不用担心数据泄露的问题,系统会自动过滤数据,每个员工只能看到自己权限范围内的信息。
三种数据权限
Section titled “三种数据权限”全部数据权限适合公司高层领导、财务负责人、系统管理员等需要全局视角的岗位。拥有这个权限的员工可以看到系统中所有的合同、客户、项目等数据,不受部门和负责人的限制。比如总经理需要随时查看公司所有合同的执行情况,财务总监需要掌握所有合同的收付款进度,他们就应该设置为全部数据权限。但这个权限不能随便给,毕竟能看到所有数据意味着掌握了公司的核心机密。
本部门数据权限适合部门经理、团队负责人等需要管理本部门业务的岗位。拥有这个权限的员工只能看到本部门员工创建或负责的数据,看不到其他部门的数据。比如销售部经理可以看到销售部所有员工的销售合同和客户信息,但看不到采购部的采购合同。技术部主管可以看到技术部所有项目的进展,但看不到行政部的数据。这样既保证了部门负责人能够有效管理本部门业务,又防止了跨部门的数据泄露。
个人数据权限适合普通员工,也是最严格的权限级别。拥有这个权限的员工只能看到自己创建或负责的数据,看不到同事的数据。比如销售员只能看到自己跟进的客户和签订的合同,看不到其他销售员的业绩。采购员只能看到自己负责的采购订单,看不到其他采购员的采购信息。这种权限设置特别适合销售团队,避免了销售员之间互相窥探客户资源的问题,保护了每个人的业绩数据。
系统在判断数据是否属于某个员工时非常智能。除了创建人和负责人,如果合同的协作人员中包含这个员工,他也能看到这个合同。比如一个销售合同的负责人是张三,邀请了李四作为协作人员,那么即使李四是个人数据权限,他也能看到这个合同的完整信息并参与协作。
如何设置数据权限
Section titled “如何设置数据权限”数据权限的设置有两种方式,可以在角色中统一设置,也可以针对个别员工单独设置。通过角色设置是最常用也最高效的方式,适合大多数标准化岗位。
通过角色设置适合有固定职责的岗位。进入”用户管理→角色管理”,编辑或创建角色时有一个”数据权限”选项,选择全部数据、本部门数据或个人数据。比如创建”销售经理”角色时设置为本部门数据权限,创建”销售员”角色时设置为个人数据权限,创建”财务总监”角色时设置为全部数据权限。以后只要给员工分配对应的角色,他就自动拥有了这个数据权限,不用每个人单独设置。
如果某个员工的权限需要特殊处理,可以在员工信息中单独设置。进入”用户管理→员工管理”,编辑员工信息时也有”数据权限”选项。员工的数据权限优先级高于角色权限,也就是说如果员工和角色都设置了数据权限,系统会使用员工的设置。比如某个销售员业绩特别好被提拔为销售主管,但还没有调整角色,可以先把他的个人数据权限临时改为本部门数据,让他能够看到团队的数据。
权限的调整会立即生效。修改完权限保存后,员工下次刷新页面或重新登录,就会按照新权限过滤数据。他原来能看到的数据如果不在新权限范围内,就会从列表中消失。反过来,如果权限提升了,之前看不到的数据就会显示出来。这个机制保证了权限控制的实时性和准确性。
权限的实际应用
Section titled “权限的实际应用”销售部门的典型配置是销售总监设置为全部数据权限,可以看到所有销售业绩和客户资源,掌握整个销售团队的情况。各区域销售经理设置为本部门数据权限,华东区经理只能看华东区的数据,华南区经理只能看华南区的数据,既方便了区域管理,又避免了区域之间的数据泄露。普通销售员设置为个人数据权限,每个人只能看到自己的客户和合同,保护了个人的客户资源,避免了撞单和抢单的矛盾。
多部门协作项目的场景需要灵活运用协作人员功能。比如一个大项目需要销售部、技术部、财务部共同参与,销售部的王经理是项目负责人,技术部的张工和财务部的李会计需要参与。虽然张工和李会计都是个人数据权限,但王经理在创建项目合同时把他们添加为协作人员,他们就都能看到这个合同的完整信息并参与协作。项目结束后如果不需要他们继续关注,可以从协作人员中移除,他们就看不到这个合同了。
新员工入职时的权限设置需要谨慎。一般建议新员工刚入职时先给个人数据权限,等他熟悉了工作流程证明了能力再根据岗位调整权限。特别是销售类岗位,不要一上来就给本部门权限甚至全部权限,避免新员工还没做出业绩就把老员工的客户资源看了个遍。
离职员工处理需要及时操作。员工离职后要第一时间禁用账号或删除员工,防止他继续访问系统查看数据。如果他负责的合同还需要交接,应该在禁用账号前先把合同的负责人改为接手的员工,或者添加接手员工为协作人员。这样既保证了业务的连续性,又防止了离职员工带走敏感数据。
数据安全的其他保障
Section titled “数据安全的其他保障”除了数据权限控制,合同管理系统还有多重安全机制保护企业数据。系统会记录每个员工的所有操作日志,包括查看了哪些合同、修改了什么内容、导出了哪些数据,这些日志永久保存不可删除。如果发现数据泄露,可以通过日志追溯到具体的人和时间。
敏感数据的导出也受到严格控制。系统管理员可以设置哪些角色有导出权限,没有导出权限的员工即使能看到数据也不能导出为Excel。导出操作都会记录日志,包括导出的时间、数据范围、导出人等信息。有些企业还会设置导出审批流程,员工申请导出数据后需要部门负责人审批通过才能导出。
数据的删除也不是真的删除。合同、客户等核心数据被删除后会进入回收站,30天内可以恢复。即使超过30天彻底删除,数据库中仍然保留删除记录,可以查询到是谁在什么时候删除的什么数据。这种设计既防止了误删除,也保证了数据的可追溯性。
如果企业对数据安全有更高要求,还可以开启字段级权限控制。比如销售合同的成本价格字段只有财务和管理层能看到,销售员看不到。客户的联系方式只有本人和部门经理能看到,其他人看不到。这种细粒度的权限控制可以最大程度地保护敏感信息。
权限设置建议
Section titled “权限设置建议”权限设置要遵循最小权限原则,也就是给员工够用的最低权限。不要因为嫌麻烦就把所有人都设置为全部数据权限,这样虽然省事但存在巨大的安全隐患。宁可一开始权限给少了后续再调整,也不要一开始就给太高的权限。
不同类型的企业权限配置策略不同。小微企业(10人以下)如果团队成员互相信任,可以考虑给大部分人全部数据权限,方便协作。中型企业(10到100人)建议按部门设置权限,部门负责人给本部门权限,普通员工给个人权限。大型企业(100人以上)必须严格控制权限,建议设置多级审批和日志审计,定期检查权限配置是否合理。
定期审查权限配置很有必要。建议每个季度检查一次,看看是否有员工的权限过高或过低,是否有已离职员工的账号还在使用,是否有长期不登录的账号存在安全隐患。发现问题及时调整,保证权限配置始终符合实际需要。
权限调整要有记录。每次调整员工权限时最好在备注中说明调整原因和审批人,方便日后审计。特别是提升权限时,要有明确的业务需要和领导审批,不能随意提升。这些记录在发生数据泄露事件时可以作为责任判定的依据。
员工兼职多个部门怎么办? 系统支持员工设置主部门和兼职部门。如果员工是本部门数据权限,他可以看到主部门和所有兼职部门的数据。比如张三的主部门是销售部,兼职技术部,他可以看到销售部和技术部两个部门的数据。
临时需要查看其他部门数据怎么办? 有两种方式。第一种是管理员临时提升他的权限,完成工作后再改回来。第二种是让其他部门的负责人把相关合同的协作人员加上他,他就能看到这些合同。第二种方式更安全,推荐使用。
权限设置错了会影响历史数据吗? 不会。权限只影响查询时的数据过滤,不会修改或删除任何历史数据。即使某个员工现在看不到某个合同,只要他之前对这个合同有操作,操作日志仍然保留。
可以设置某个员工只能看特定客户的数据吗? 目前数据权限是按全部、本部门、个人三个级别控制的,不支持按客户维度控制。如果需要这种细粒度控制,可以考虑为不同客户创建不同的部门,然后用本部门权限来实现。
了解了数据权限安全后,您可以继续学习:
扫码添加客服微信