您的浏览器版本过低,为保证更佳的浏览体验,请点击更新高版本浏览器

以后再说X
反窃听检测

24小时服务:18653681316(微信同号)

新闻资讯 NEWS CENTER

江苏什么是技术监控对策“TSCM”?江苏为什么需要进行物理安全检查?

分类:公司新闻 发布时间:2021-12-29 43355次浏览

为企业实施物理信息安全防范措施—通过物理安全检测实现商业机密保护的三个过程什么是...

为企业实施物理信息安全防范措施

—通过物理安全检测实现商业机密保护的三个过程




什么是技术监控对策“TSCM”?为什么需要进行物理安全检查?

Technical Surveillance Countermeasures(TSCM),起源于美国,欧美称为技术监视对策,也被称为窃听窃拍等电子窃密器材检测。国内称为【环境物理安全检测】,它包括对用于企业和工业间谍活动和其他非法或不道德活动的技术、电子和网络监视的防御方法。

企业需要了解,保护其企业和员工的信息和隐私为公司稳定发展、盈利能力和行业领先优势提供了基础保障。信息(商业机密)丢失或被盗会对业务发展、产品研究、股票价格、品牌声誉和公司诉讼等领域造成严重损害。企业应该在其公司机密保护工作中包含环境物理安全检查。当采取预防性安全措施时,可以避免许多问题。

许多知名公司已经成功地将物理安全检查作为其信息安全战略不可分割的一部分。中小公司也发现,早期实施这种主动的安全措施有助于防止以后出现重大问题。了解物理信息安全的范畴,可以帮助企业员工提高防范意识。

企业应努力营造一种防泄密的氛围,即把物理安全检查工作作为日常安全检查的一部分,以期保护企业信息资产以及员工隐私防护。

对此,我们提出三个步骤防范措施,所有企业都可以参照执行。




一、风险评估



与安全的各个方面一样,执行风险评估是重要的步,以了解物理信息安全检查的必要性,以及应用的必要性。它包括审查您的业务运营、信息存储和商业谈判、企业内部会议的地点,以及哪些活动由于其敏感或机密性质而可能需要额外的保护。
在进行此评估时,请务必咨询专业物理信息安全技术人员。在你的规划过程中包含一个专业的、客观的观点是很重要的。
每个企业和公司的运作方式都不同,所以在执行风险评估时,有很多方面需要考虑。下面是一些示例, 可以帮助您开始确定哪些区域最需要保护的过程。A. 确定需要保密的关键领域:
· 各部门
o 人力资源部
o 法律事务部
o 企业研发部
o 业务发展部
o 企业财务部
o 采购部供应链管理
· 会议策划
o会议的地点和时间
o参会人员
· 行政人员的行程安排
o防止绑架或攻击者
o防止骚扰、恐吓者
· 行政人员安全保护细节
o防范计划的备用方案
o防范有组织的攻击
B、讨论商业机密的地点
· 行政办公室
· 内部餐厅
· 会议室
· 电话/视频会议室
· 私人飞机和车辆
· 企业管理人员住宅
· 外部位置
o 酒店客房
o 酒店内的会议室
o 酒店用餐区
o 会议和会议期间
C. 评估并优先考虑您的业务的各个方面:
o创建上述最重要的区域的列表。
o根据需要为每个区域分配一个优先级。
o 一个简单的方法是设置三个级别:基本安全。中等优先级。高度机密性
o根据每个区域的保密级别,考虑物理安全检查项目和时间表。


二、物理安全检查




检查方式、频率:

江苏企业物理信息安全检查通常分为三种:

· 例行、临时检查

· 重要事件(会议)专项检查

· 突发事件保障

了解每种类型的检查将更好地使企业制定商业反窃密政策和应对方案。  

例行和临时检查:

※ 主动例行检查是指全年定期进行的检查。


不仅能非常有效地发现和消除物理窃听窃拍的威胁,而且还有助于识别安全漏洞。积极主动的例行检查也提供了一种威慑作用,因为它们帮助员工了解对保密的重要性,并制定了重要的安全程序和应对措施。
※安排例行检查企业信息安全部门应该注意的关键部分
在确定上述位置和区域的优先级后,为企业环境物理安全检查制定适当的计划。典型的和推荐的进度。计划包括:
1. 每季度:建议对高度机密、高优先级活动空间制定季度时间表。根据您的业务活动的性质和机密性,可以制定更紧密的检查计划,检查覆盖重点区域,但不一定限于这些。根据事件和现场情况,也可能包括其他地点。
2. 每半年:半年一次的检查足以适合定期举行的保密会议或重要事件。每年提供两次物理检查,可以使为您提供专业物理安全检查的服务商更加熟悉您的场地设施和办公室环境,这在突发事件发生并需要快速部署防御措施事变得更加重要。
3. 每年度:年度检查可能适合于可能优先级较低的区域。这可能适用于那些只偶尔用于临时讨论或处理敏感信息的部门办公室。

让专业物理安全检测人员定期例行查看您的公司环境,特别是在您新的办公室改建或装修期间,这对保护您的个人信息和商业机密的安全。每次例行查看都将环境内的变化和异常记录下来,在下一次的检查中将会进行重点检查。

请注意,随着时间的推移,环境中的物品或部门地点可能会发生变化,这可能导致需要重新评估调整分配优先级。应定期重新评估物理安全检查计划。



重大(典型)活动检查与保障:

需要进行专项检查的典型事件包括但不限于:

· 董事会会议

· 股东会议

· 管理人员会议

· 关于并购问题的讨论

· 审计委员会会议

· 人力资源、财务和法律团队活动

· 行业活动和会议

· 私人会议

物理检查可能不仅仅包括会议前的检测作业:


· 可以安排对无线信号进行“实时”监测和分析,以确保现场没有未经授权的传输设备临时开启。
· 检测人员还可以对音频-视频系统进行详细的检查,以确保它们不会因为会议线路损坏或不安全的无线设备而泄露信息。
· 可能需要对进入会议的手机或其他电子设备(如笔记本电脑)的进行管控。禁止手机入场有助于确保高度敏感会议的其中一项措施。这也可能需要手机信号查找、场地入口非线性检测等对策措施来对参与者进行物理检查。必要的时候还可做无线信号阻断部署。


· 应在会议前计划好,以确保能够进行适当的准备工作。

突发事件的响应

通常专业物理安全技术人员会要求与企业机密安全相关的事件以及非安全事项进行及时的安全检查。每当发生可疑事件时,标准的处理措施应包括物理安全检测确定机密信息是否已经被泄露,并分析对方采取了哪种方式进行了窃密行为。

与安全措施相关的突发事件:

· 入室安装。如发现一个明显的入室痕迹,可能是有人非法进入室内安装可窃听窃拍器材。

· 无关人员突然出现在机密场所。

· 在某个地点偶然发现一种非法设备,如窃听器或者摄像头,可能需要对该区域和其他地点进行专业检查。

· 企业员工出现可疑活动或者非正常表现时,可能需要企业HR、法务部门对该员工进行背景及活动进一步调查。因为许多窃密事件被发现,往往因为窃密者的反常行为或评论引起了大家的怀疑。


· 网络、通信安全也可能涉及到安全检查。互联网窃密行为往往非常隐蔽,在物理安全检查中是必须进行的一项专项检查工作。包括环境内的wifi和VOIP检查。
· 如果办公软件可能允许访问隐私或机密信息,则应视为潜在威胁。


其他类型的突发事件


· 掌握企业机密的员工或者高管在离职时,应考虑他们在其职责过程中是否可以获得机密信息,是否有完善的防范机制。

· 首席执行官或公司总裁变更。

· 来自其他同业公司的来访者离开后。

· 企业高管更换新的办公室





如果企业执行了定期的例行检查,那么将会更好的对任何商业反窃密事件进行快速反应和防范部署。在例行检查过程中,您的物理安全检查服务商已经熟悉所应对的环境,并能够在任何突发事件发生时及时、高效地作出响应。并根据此前扫描的记录,对环境内的未知的异常信号、异常区域和物品进行精准检查。







三、江苏长期商业机密防护措施






企业应将物理信息安全检查纳入日常企业安保、信息安全检查工作中。


防范措施的制定:

应制定明确指示何时何地执行安全检测的政策和程序。每个公司都会有不同的需求和要求,但这里有一些可以适应各种情况的考虑因素。通过了解优先级以及企业业务开展方式,可以选择适当的物理安全检查响应方式。

主动式计划清扫的策略

周期性检查将有助于提供一个基础标准,以对未来的检查过程中进行对比,包括重大事件和突发事件时的对比和判断。以审查次检查中保存的记录,以提供可帮助未来检查的比较数据。

 定期扫描也会在检查过程中将此前没有被纳入到保密范围的某种事件、某种技术或者决策划进为保密范围内。

定义明确的例行检查策略还将使企业决策者能够在信息安全方面发挥更积极的作用。 


 特殊事件


为重要事件制定检查方案将有助于确保重要事件的安全不被忽视。

在事件计划一开始时,就应提醒事件组织者注意对场所的安全检查,并可与更传统的安防、安保安全要求一起进行。

对突发事件的响应

公司的相关部门应该把环境物理信息安全检查作为许多和安保、网络安全检查等相关检查工作的一部分。并不一定在出现泄密事件时才做相关检查工作。

门事件也是如此,比如在出现可疑事件时辞退员工。法律、人力资源和财务部门都可能不直接承担安全责任,但可能需要物理检查以保护公司秘密和隐私。


 一般政策


员工和高管都应意识到对环境物理安全的必要性。如果他们怀疑自己有安全或隐私方面的问题,也应该鼓励他们对发现的问题及时上报。

明确的政策将帮助员工认识到,他们所接触的信息是机密的,如果他们怀疑可能发生了一些泄密迹象,他们应该知道该向谁汇报。


责任的划分


根据对部门、地点及其保密性的评估,还可以制定部门内部政策,这样每个部门自己可以根据部门的情况单独制定检查方案,采取差别化检查方案,避免重要部门因部门内部事件造成的泄密问题。

这种方法可能并不适用于所有企业,但它值得考虑。这种方法的好处是多方面的。

· 部门及其员工更认真地考虑本部门机密安全问题。

· 部门主管可能比一般安全部门更了解其办公室的保密要求。

· 在企业统一检查时,避免因部门内部原因错失专业检查。



结论

商业机密信息安全是当今最重要的安全工作之一,因此,它正在越来越被人们所关注。如上所述,需要环境物理信息安全检查的原因有很多,其实施方法也有很多。

小型企业和大公司都需要保护他们的通信和商业机密安全小微企业不应该认为他们不是商业间谍的标。因为他们的客户可能包括大公司,因此小企业也往往成为商业间谍的目标  

环境物理信息安全检查应该是所有企业必不可少的安全服务。尤其是在今天科技技术日新月异的情况下。技术威胁手段层出不穷,更应该引起企业的重视。江苏