为什么写
成都一家正在研发下一代通信技术方案的科技公司,期间经历了一场令人脊背发凉的泄密事件。公司的两个研发团队在两个相邻的会议室里分别开会,一个团队讨论核心技术方案,另一个团队是在接待来访的客户。由于隔音效果不理想,来访客户那间会议室的人可以清楚地听到隔壁讨论的技术细节。
更让人意想不到的是,来访客户中有一人的手机在会议全程开启了录音功能。这段录音被分享出来后,技术的核心框架信息很快就在同行的圈子中传开了。虽然这家公司的技术方案有专利保护,但未公开的研发思路、即将申请的专利细节以及市场推出时间表等关键信息,都在提前暴露后被竞争对手做了针对性的阻击。
这些看似偶然的事件背后反映了企业管理中的深层问题。很多公司在对外接待和会议管理上缺乏系统性的安全考虑,把精力全花在了网络安全上,却没注意到会议室这种身边的物理空间同样存在信息泄露的风险。
带来哪些隐患
访客管理不当可能引发的信息安全问题比很多人想象的要严重得多。
空间的物理隔离是基本的防护要求。企业在设计办公空间时,应当充分考虑到会议室的隔音效果。普通的石膏板墙壁隔音效果有限,声音大一点隔壁就能听得一清二楚。研发团队讨论核心技术的会议室,应当与接待访客或者对外开放的会议室保持足够的距离。如果在物理布局上不能完全隔离,也可以考虑使用白噪音设备来干扰声音的外传。
访客的身份审核也需要重视。很多公司在接待客户或者其他外部人员时,对于来访人员的身份核实基本上停留在"他说他是谁就是谁"的水平。极少有公司会对来访人员进行背景调查或者在接待过程中采取必要的防范措施。在竞争激烈的行业中,伪装成客户或者合作伙伴的同行打探情报的行为并不少见。
访客在办公区域内的活动范围应当被严格控制。很多公司在接待访客时,要么没有安排专人全程陪同,任由访客在办公区域自由走动;要么安排的路线上恰好经过了正在展示技术成果或者讨论核心项目的区域。这些都是低级的泄密隐患,但每天都在无数公司反复发生。
访客携带的电子设备的管控也是一个不容忽视的问题。带有麦克风和摄像功能的手机、平板电脑、智能手表,这些设备如今几乎人手一部。如果不对访客做明确的设备管理要求,他们可以轻松地对看到的任何内容进行录音录像。对于核心研发团队的会议,可以考虑使用手机屏蔽柜或信号屏蔽器等措施。
临时聘用人员和外部服务人员的管理同样是普遍的薄弱环节。保洁、保安、维修、快递等外部服务人员可以轻松进出办公区域。其中如果有人受人指使或者被收买,就有可能成为窃取信息的重要工具。
给我们什么提醒
访客管理看似是一个小问题,但处理不好可能会给企业带来致命的打击。
建立访客分级管理制度。根据来访人员的身份和访问区域的不同,采取不同的管理措施。对于一般访客,只允许在接待区域活动;对于重要访客,安排专门的会议室并在指定路线上通行;对于可能接触敏感信息的访客,需要签署保密协议并在核心员工全程陪同下方可进入。
会议室的预约和使用要有明确的安全级别标签。一些涉及核心商业机密的会议,应当在会议室预约时做好标注。标注为涉密级别的会议,需要安排在隔音效果好的专门会议室,并且要对参会人员进行身份核对。会议开始前检查会议室是否有可疑的电子设备,结束后检查是否有人遗留了录音装置。
访客的全程陪同制度和电子设备的管控是有效做法。在接待访客时,安排内部员工全程陪同,不允许访客独自行动。对于进入核心区域的访客,需要提前告知电子设备使用的相关要求和授权。在极关键的会议中,可以采取寄存手机等电子设备的做法。
员工的安全意识培训不应当遗忘对外接待的技巧。当接待外部访客经过办公区域时,哪边不能经过、哪些话题不能聊、哪些文件不能展示在桌面,这些都是基本的接待常识。员工有技巧地引导访客避让敏感区域,是保护企业信息安全的重要环节。
企业启示
对外接待是企业形象展示的机会,而不是泄密的大门。北京企密安信息安全技术有限公司在为企业提供咨询服务时发现,很多公司的信息安全管理体系里缺少关于访客管理的章节。实际上,访客管理是物理安全的重要组成部分,与门禁系统、监控系统共同构成企业的物理安全防线。一个严谨而不失礼貌的访客管理制度,既能展现企业的专业形象,也能有效保护企业的商业秘密。
