为企业实施物理信息安全防范措施
—通过物理安全检测实现商业机密保护的三个过程
什么是技术监控对策“TSCM”?为什么需要进行物理安全检查?
Technical Surveillance Countermeasures(TSCM),起源于美国,欧美称为技术监视对策,也被称为窃听窃拍等电子窃密器材检测。国内称为【环境物理安全检测】,它包括对用于企业和工业间谍活动和其他非法或不道德活动的技术、电子和网络监视的防御方法。
企业需要了解,保护其企业和员工的信息和隐私为公司稳定发展、盈利能力和行业领先优势提供了基础保障。信息(商业机密)丢失或被盗会对业务发展、产品研究、股票价格、品牌声誉和公司诉讼等领域造成严重损害。企业应该在其公司机密保护工作中包含环境物理安全检查。当采取预防性安全措施时,可以避免许多问题。
许多知名公司已经成功地将物理安全检查作为其信息安全战略不可分割的一部分。中小公司也发现,早期实施这种主动的安全措施有助于防止以后出现重大问题。了解物理信息安全的范畴,可以帮助企业员工提高防范意识。
企业应努力营造一种防泄密的氛围,即把物理安全检查工作作为日常安全检查的一部分,以期保护企业信息资产以及员工隐私防护。
对此,我们提出三个步骤防范措施,所有企业都可以参照执行。
一、风险评估
二、物理安全检查
检查方式、频率:
马鞍山企业物理信息安全检查通常分为三种:
· 例行、临时检查
· 重要事件(会议)专项检查
· 突发事件保障
了解每种类型的检查将更好地使企业制定商业反窃密政策和应对方案。
例行和临时检查:
※ 主动例行检查是指全年定期进行的检查。
让专业物理安全检测人员定期例行查看您的公司环境,特别是在您新的办公室改建或装修期间,这对保护您的个人信息和商业机密的安全。每次例行查看都将环境内的变化和异常记录下来,在下一次的检查中将会进行重点检查。
请注意,随着时间的推移,环境中的物品或部门地点可能会发生变化,这可能导致需要重新评估调整分配优先级。应定期重新评估物理安全检查计划。
重大(典型)活动检查与保障:
需要进行专项检查的典型事件包括但不限于:
· 董事会会议
· 股东会议
· 管理人员会议
· 关于并购问题的讨论
· 审计委员会会议
· 人力资源、财务和法律团队活动
· 行业活动和会议
· 私人会议
物理检查可能不仅仅包括会议前的检测作业:
· 应在会议前计划好,以确保能够进行适当的准备工作。
突发事件的响应
通常专业物理安全技术人员会要求与企业机密安全相关的事件以及非安全事项进行及时的安全检查。每当发生可疑事件时,标准的处理措施应包括物理安全检测确定机密信息是否已经被泄露,并分析对方采取了哪种方式进行了窃密行为。
与安全措施相关的突发事件:
· 入室安装。如发现一个明显的入室痕迹,可能是有人非法进入室内安装可窃听窃拍器材。
· 无关人员突然出现在机密场所。
· 在某个地点偶然发现一种非法设备,如窃听器或者摄像头,可能需要对该区域和其他地点进行专业检查。
· 企业员工出现可疑活动或者非正常表现时,可能需要企业HR、法务部门对该员工进行背景及活动进一步调查。因为许多窃密事件被发现,往往因为窃密者的反常行为或评论引起了大家的怀疑。
其他类型的突发事件
· 掌握企业机密的员工或者高管在离职时,应考虑他们在其职责过程中是否可以获得机密信息,是否有完善的防范机制。
· 首席执行官或公司总裁变更。
· 来自其他同业公司的来访者离开后。
· 企业高管更换新的办公室
如果企业执行了定期的例行检查,那么将会更好的对任何商业反窃密事件进行快速反应和防范部署。在例行检查过程中,您的物理安全检查服务商已经熟悉所应对的环境,并能够在任何突发事件发生时及时、高效地作出响应。并根据此前扫描的记录,对环境内的未知的异常信号、异常区域和物品进行精准检查。
三、马鞍山长期商业机密防护措施
防范措施的制定:
应制定明确指示何时何地执行安全检测的政策和程序。每个公司都会有不同的需求和要求,但这里有一些可以适应各种情况的考虑因素。通过了解优先级以及企业业务开展方式,可以选择适当的物理安全检查响应方式。
主动式计划清扫的策略
周期性检查将有助于提供一个基础标准,以对未来的检查过程中进行对比,包括重大事件和突发事件时的对比和判断。可以审查每次检查中保存的记录,以提供可帮助未来检查的比较数据。
定期扫描也会在检查过程中将此前没有被纳入到保密范围的某种事件、某种技术或者决策划进为保密范围内。
定义明确的例行检查策略还将使企业决策者能够在信息安全方面发挥更积极的作用。
为重要事件制定检查方案将有助于确保重要事件的安全不被忽视。
在事件计划一开始时,就应提醒事件组织者注意对场所的安全检查,并可与更传统的安防、安保安全要求一起进行。
对突发事件的响应
公司的相关部门应该把环境物理信息安全检查作为许多和安保、网络安全检查等相关检查工作的一部分。并不一定在出现泄密事件时才做相关检查工作。
部门事件也是如此,比如在出现可疑事件时辞退员工。法律、人力资源和财务部门都可能不直接承担安全责任,但可能需要物理检查以保护公司秘密和隐私。
员工和高管都应意识到对环境物理安全的必要性。如果他们怀疑自己有安全或隐私方面的问题,也应该鼓励他们对发现的问题及时上报。
明确的政策将帮助员工认识到,他们所接触的信息是机密的,如果他们怀疑可能发生了一些泄密迹象,他们应该知道该向谁汇报。
根据对部门、地点及其保密性的评估,还可以制定部门内部政策,这样每个部门自己可以根据部门的情况单独制定检查方案,采取差别化检查方案,避免重要部门因部门内部事件造成的泄密问题。
这种方法可能并不适用于所有企业,但它值得考虑。这种方法的好处是多方面的。
· 部门及其员工更认真地考虑本部门机密安全问题。
· 部门主管可能比一般安全部门更了解其办公室的保密要求。
· 在企业统一检查时,避免因部门内部原因错失专业检查。
结论
商业机密信息安全是当今最重要的安全工作之一,因此,它正在越来越被人们所关注。如上所述,需要环境物理信息安全检查的原因有很多,其实施方法也有很多。
小型企业和大公司都需要保护他们的通信和商业机密安全。小微企业不应该认为他们不是商业间谍的目标。因为他们的客户可能包括大公司,因此小企业也往往成为商业间谍的目标。
环境物理信息安全检查应该是所有企业必不可少的安全服务。尤其是在今天科技技术日新月异的情况下。新的技术威胁手段层出不穷,更应该引起企业的重视。马鞍山