07-商業(yè)秘密管理程序

07-商業(yè)秘密管理程序******公司

信息平安管理體系文件

商業(yè)隱秘管理程序

***-ISMS-0102-2024

2024-*-*發(fā)布2024-*-*實(shí)施

******公司發(fā)布

商業(yè)隱秘管理程序

1目的

為了加強(qiáng)公司的信息平安管理，提高員工的保密意識(shí)，愛護(hù)公司的商業(yè)隱秘，特制定本程序。

2范圍

適用于對公司保密管理的一切組織、當(dāng)事人及其涉密行為、涉密活動(dòng)。

3職責(zé)

3.1管理部

負(fù)責(zé)公司商業(yè)隱秘的管理工作。包括密級(jí)的確定，保密措施的檢查及評(píng)估等。3.2各相關(guān)部門

負(fù)責(zé)本部門商業(yè)隱秘的管理工作，負(fù)責(zé)將相關(guān)保密資料的傳閱、收集、整理，并按規(guī)定期限移交管理部，填寫好記錄。

4程序

4.1總則

4.1.1公司涉密事項(xiàng)包括綜合管理事項(xiàng)（書面文檔）、信息系統(tǒng)事項(xiàng)。

4.1.2綜合管理事項(xiàng)由管理部歸口管理。

4.1.3信息系統(tǒng)事項(xiàng)由技術(shù)部進(jìn)行管理。

4.1.4應(yīng)識(shí)別涉及信息平安的關(guān)鍵崗位，填報(bào)《關(guān)鍵崗位一覽表》，該崗位的確定應(yīng)考慮：

a)涉密狀況。該崗位接觸或涉及的公司最高密級(jí)。

b)業(yè)務(wù)依靠程度。公司的工作或業(yè)務(wù)對該崗位的業(yè)務(wù)依靠程度，可分為高、中、低三級(jí)，以崗位重要程度、人員數(shù)量、人員取代的難易程序、對崗位資格和培訓(xùn)要求確定。

4.1.5各部門應(yīng)對工作人員，特殊是新參與工作的人員進(jìn)行保密訓(xùn)練。

4.1.6各部門對外發(fā)送的涉密信息，由本部門領(lǐng)導(dǎo)初審后，由管理部審核同意，經(jīng)分管信息平安的主管領(lǐng)導(dǎo)批準(zhǔn)后方可外送，管理部應(yīng)進(jìn)行登記。

4.2密級(jí)的分類

4.2.1公司的隱秘是指關(guān)系公司進(jìn)展和經(jīng)濟(jì)利益，泄露后會(huì)給企業(yè)帶來損失，甚至重大損失的有關(guān)事項(xiàng)(信息)。企業(yè)隱秘在肯定時(shí)間內(nèi)僅限肯定范圍內(nèi)相關(guān)業(yè)務(wù)人員知悉。4.2.2公司隱秘等級(jí)分為重要級(jí)(機(jī)密)、一般級(jí)（隱秘）和內(nèi)部信息（敏感）三個(gè)等級(jí)，公司所稱涉密是指涉及重要級(jí)(機(jī)密)和一般級(jí)（隱秘）事項(xiàng)。

4.2.3重要級(jí)隱秘是指涉及技術(shù)、商業(yè)等對企業(yè)進(jìn)展產(chǎn)生較嚴(yán)峻影響的重要隱秘，泄露后會(huì)使企業(yè)利益遭受嚴(yán)峻損害。重要級(jí)隱秘的范圍：

1)通過特別渠道獲得的對企業(yè)經(jīng)營重要影響作用的技術(shù)、商務(wù)資料。

2)本公司的自主創(chuàng)新與創(chuàng)造成果，本公司討論開發(fā)或引進(jìn)開發(fā)的新項(xiàng)目和技術(shù)訣竅等。

3)重要的營銷策略、營銷渠道、重要客戶資料、尚未公開的價(jià)格及經(jīng)營信息。

4)尚未公開的企業(yè)進(jìn)展規(guī)劃、技術(shù)引進(jìn)方案、投資方案等。

5)尚未公開的或處于保密階段重大技改方案、可行性討論報(bào)告、項(xiàng)目招標(biāo)標(biāo)底等。

6)未予披露的對公司有重大影響的財(cái)務(wù)、經(jīng)營信息。

7)其他涉及影響公司進(jìn)展與信譽(yù)形象的重要信息。

4.2.4一般級(jí)隱秘是指涉及公司進(jìn)展的一般隱秘，泄露后會(huì)使公司利益遭受肯定的損害。一般級(jí)隱秘的范圍：

1)本企業(yè)非重要密級(jí)產(chǎn)品的生產(chǎn)開發(fā)力量、作業(yè)指導(dǎo)書、掌握指標(biāo)、生產(chǎn)成本等各種技術(shù)資料。

2)規(guī)定不得外傳的行業(yè)溝通資料，統(tǒng)計(jì)數(shù)據(jù)等。

3)勞資統(tǒng)計(jì)報(bào)表、人事信息檔案等。

4)各部們涉及公司非重要密級(jí)技術(shù)、商務(wù)方面的基礎(chǔ)臺(tái)帳及統(tǒng)計(jì)的報(bào)表、數(shù)據(jù)等。

4.2.5內(nèi)部信息是指為了日常的業(yè)務(wù)能順當(dāng)進(jìn)行而向公司員工公開、但暫不行向公司以外人員隨便公開的事項(xiàng)。

4.2.6對于關(guān)鍵的或顧客有嚴(yán)格保密要求的商業(yè)隱秘，經(jīng)過風(fēng)險(xiǎn)評(píng)估，可設(shè)立絕密等級(jí)，絕密等級(jí)的標(biāo)識(shí)和掌握要求，由風(fēng)險(xiǎn)評(píng)估部門制定風(fēng)險(xiǎn)掌握方案和方案，按風(fēng)險(xiǎn)掌握方案和方案進(jìn)行管理。

4.2.7公司密級(jí)的確定策略是：誰起草誰定密，部門領(lǐng)導(dǎo)審核，批準(zhǔn)人員把關(guān)。涉密文件一經(jīng)授權(quán)人員批準(zhǔn)，其密級(jí)和保密期限即正式生效。起草人員對自己起草的信息需確定密級(jí)時(shí)，應(yīng)隨時(shí)詢問領(lǐng)導(dǎo)。后者對前者的懇求應(yīng)準(zhǔn)時(shí)賜予明確的判定。無法判明時(shí)，

可請示更高一級(jí)領(lǐng)導(dǎo)。

4.3涉密文件的標(biāo)識(shí)、制發(fā)

4.3.1本單位產(chǎn)生的企業(yè)隱秘事項(xiàng)應(yīng)按確定的密級(jí)和保密期限，做好密級(jí)標(biāo)識(shí)或加蓋識(shí)別印章，敏感信息事項(xiàng)不作標(biāo)識(shí)。識(shí)別標(biāo)識(shí)應(yīng)標(biāo)記在文件首頁左上方，識(shí)別印章見圖1。

機(jī)密信息隱秘信息

圖1.涉密信息識(shí)別印章圖示

4.3.2企業(yè)隱秘解除或變更加蓋解除或變更識(shí)別印章，加蓋在秘級(jí)印章下方，識(shí)別印章見圖2。

隱秘解除隱秘變更

圖2.涉密信息隱秘解除或變更識(shí)別印章圖示

4.3.3采納電磁等媒體記錄的隱秘文件，應(yīng)在其包裝盒上明顯的位置用標(biāo)簽標(biāo)明密級(jí)管理分類，使用的印章同上；計(jì)算機(jī)中儲(chǔ)存的涉密文件夾，應(yīng)在文件夾名后加—M后綴，并設(shè)置訪問密碼，文件夾不得共享。

4.3.4制作密件過程中形成的草稿、修改稿、清樣、電子文件等中間材料，凡需要保存的，應(yīng)當(dāng)按正式密件的密級(jí)和保密期限管理。不需保存的，必需粉碎銷毀，電子文件應(yīng)刪除。

4.3.5公司涉密文件一般不得托付外單位印刷和制作。必需到印刷廠印刷的密級(jí)資料，須經(jīng)公司分管領(lǐng)導(dǎo)批準(zhǔn)，并在公司專人監(jiān)督下到指定的印刷廠印制，嚴(yán)格掌握印刷份數(shù)，并應(yīng)與指定的印刷廠簽署包括保密內(nèi)容的協(xié)議。

4.4涉密文件、資料的管理

4.4.1一般級(jí)文件、資料，由發(fā)放部門依據(jù)工作需要，確定發(fā)放范圍。分發(fā)給各部門，有保密級(jí)的文件、資料必需登記，落實(shí)到專人管理，妥當(dāng)保存，限期收回。因工作關(guān)系所獲得的有關(guān)隱秘資料，涉及人員應(yīng)妥當(dāng)保管，個(gè)人不得帶到家里和公共場所，不得對外泄密。

4.4.2涉密文件、記錄、磁盤、光盤或其它存貯媒體在不用時(shí)，應(yīng)放在上鎖的文件柜、保險(xiǎn)柜或其它形式的保險(xiǎn)家具中，指定專人負(fù)責(zé)該鑰匙的保管。

4.4.3電腦終端在不用時(shí)，應(yīng)不處于登錄狀態(tài)，設(shè)立開機(jī)密碼并實(shí)行屏幕密碼愛護(hù)程序或予以關(guān)機(jī)，屏幕愛護(hù)程序設(shè)定時(shí)間不少于10分鐘。含有打印機(jī)、復(fù)印機(jī)、傳真機(jī)或其它能夠輸出、復(fù)制或傳輸?shù)男畔⑻幚碓O(shè)施的辦公室或場所在人員不在時(shí)，應(yīng)將門上鎖。

4.4.4服務(wù)器終端在不用時(shí)實(shí)行鎖屏（SREENLOCK），屏幕愛護(hù)程序設(shè)定時(shí)間不少于5分鐘。

4.4.5因工作需要借閱涉密文件材料的，需填寫《借閱使用登記本》。借閱人應(yīng)妥當(dāng)保管涉密文件，用后準(zhǔn)時(shí)歸還。

4.4.6每年辦理完畢的涉密文件、資料，應(yīng)準(zhǔn)時(shí)移交檔案管理部門處理。

4.4.7對超越保管期限、沒有保存價(jià)值的文件材料（包括各部門在工作中形成的文件、記錄），文件由發(fā)放部門負(fù)責(zé)回收，記錄由保管部門匯合，填寫《文件銷毀清單》，報(bào)分管領(lǐng)導(dǎo)批準(zhǔn)后，由兩人以上在指定的場所實(shí)行監(jiān)銷，并做好監(jiān)銷記錄。

4.4.8員工在退休、調(diào)離、換崗時(shí)必需將全部文檔資料交給本部門負(fù)責(zé)人，不得私自帶走或私自處理。各部門加強(qiáng)本部門內(nèi)信息資產(chǎn)的掌握，在員工的文檔資料全部收回后，方可為員工辦理退休、離職、換崗的相關(guān)手續(xù)。

4.5信息系統(tǒng)、研發(fā)掌握系統(tǒng)保密管理

4.5.1嚴(yán)禁在無保密措施的有線、無線通信及計(jì)算機(jī)網(wǎng)絡(luò)中傳遞企業(yè)隱秘。進(jìn)行涉密內(nèi)容的活動(dòng)，嚴(yán)禁使用無線話筒；同一信息的傳遞，嚴(yán)禁明密混用。

4.5.2凡有密級(jí)的文件不得在Web服務(wù)器或公司局域網(wǎng)中流轉(zhuǎn)、辦理。

4.5.3涉密計(jì)算機(jī)設(shè)備的安裝、調(diào)試、檢修，應(yīng)由指定的公司計(jì)算機(jī)專業(yè)技術(shù)人員負(fù)責(zé)；使用人員和未經(jīng)批準(zhǔn)人員不得隨便拆卸和檢修。涉密計(jì)算機(jī)檢修前，應(yīng)徹底清除設(shè)備中的涉密信息或拆除全部涉密存儲(chǔ)介質(zhì)，并派專人伴隨、監(jiān)督。

4.5.4計(jì)算機(jī)應(yīng)用人員應(yīng)使用合法的用戶名稱、密碼或口令，密碼或口令不得泄露與此業(yè)務(wù)或未授權(quán)的他人。任何個(gè)人不得擅自修改網(wǎng)絡(luò)資源配置、網(wǎng)絡(luò)權(quán)限和網(wǎng)絡(luò)平安等級(jí)。

4.5.5敏感信息應(yīng)由各職能部門管理，以紙質(zhì)/電子文檔形式存在于企業(yè)內(nèi)部。在網(wǎng)絡(luò)中供企業(yè)內(nèi)部職工使用的文檔，應(yīng)避開以WORD文檔形式發(fā)布，宜以PDF形式供企業(yè)內(nèi)部職工查詢。

4.5.6涉及涉密信息的計(jì)算機(jī)設(shè)備實(shí)施大修、升級(jí)、停用或報(bào)廢前由使用部門對包含儲(chǔ)

存媒體的設(shè)備的全部項(xiàng)目進(jìn)行檢查，并填寫《涉密信息清除記錄》交由管理部確認(rèn)并存檔，確保在處置之前全部敏感數(shù)據(jù)和許可軟件都被清除或者掩蓋掉。

4.6會(huì)議保密規(guī)定

4.6.1凡牽涉隱秘的會(huì)議，管理部依據(jù)需要，嚴(yán)格確定出席、列席會(huì)議人員。

4.6.2任何參會(huì)人員不得向外泄露會(huì)議內(nèi)容。

4.6.3重要隱秘內(nèi)容，不印制文件，也不作記錄。

4.6.4會(huì)議文件要?jiǎng)澏芗?jí)，統(tǒng)一編號(hào)，根據(jù)規(guī)定的范圍印發(fā)和傳達(dá)。會(huì)議結(jié)束時(shí)，對文件、資料進(jìn)行清點(diǎn)，應(yīng)收回的要全部收回。

4.7宣揚(yáng)報(bào)道的保密規(guī)定

4.7.1對外宣揚(yáng)、投稿、發(fā)表論文以及本公司刊物報(bào)道中，不得泄露本公司隱秘，在宣揚(yáng)報(bào)道中有可能涉及到本公司的某些機(jī)密時(shí)，應(yīng)對報(bào)道內(nèi)容進(jìn)行適當(dāng)處理，全部對外宣揚(yáng)稿件、公司網(wǎng)站發(fā)表信息、涉及公司技術(shù)內(nèi)容的發(fā)表論文需填寫《文章保密審查單》經(jīng)管理部審核，總經(jīng)理批準(zhǔn)后蓋公司印章方可對外發(fā)布。

4.7.2在接待任務(wù)中，應(yīng)嚴(yán)格遵守公司的接待規(guī)定，需訪問公司有關(guān)現(xiàn)場或信息系統(tǒng)時(shí)，按《相關(guān)方信息平安管理程序》進(jìn)行。遇到需要保密的問題時(shí)，應(yīng)主動(dòng)準(zhǔn)時(shí)向主管領(lǐng)導(dǎo)請示，防止以參觀為名竊取情報(bào)的事情發(fā)生。

4.8通信保密規(guī)定

4.8.1嚴(yán)禁用一般郵政、明碼電報(bào)、一般傳真、一般電話等非保密通訊設(shè)備傳遞涉密事項(xiàng)。公司各部門需發(fā)送涉密文件的，統(tǒng)一由管理部辦理。

4.8.2特殊狀況下，必需用電話通知時(shí)，在用語上要加以留意。一般隱秘內(nèi)容假如發(fā)傳真，應(yīng)當(dāng)加密。

4.9電子郵件保密規(guī)定

4.9.1不得用Email經(jīng)過外部網(wǎng)絡(luò)發(fā)送機(jī)密信息。

4.9.2公司有權(quán)對職工的Email進(jìn)行監(jiān)視和記錄。

4.9.3公司有權(quán)對Email的內(nèi)容進(jìn)行存儲(chǔ)備份以用于法律目的。

4.9.4禁止使用Email進(jìn)行如下內(nèi)容：

a)發(fā)送或者轉(zhuǎn)發(fā)與工作業(yè)務(wù)無關(guān)的個(gè)人信息；

b)發(fā)送或者轉(zhuǎn)發(fā)虛假、黃色、反動(dòng)信息；

c)發(fā)送或者轉(zhuǎn)發(fā)宣揚(yáng)個(gè)人政治傾向或者宗教信仰信息；

d)發(fā)送或者轉(zhuǎn)發(fā)垃圾信息；

e)發(fā)送或者轉(zhuǎn)發(fā)能夠引起連鎖發(fā)送的恐嚇、慶賀等信息；

f)Email大小超過限制；

g)發(fā)送口令、密鑰、信用卡等敏感信息；

h)用個(gè)人賬號(hào)發(fā)送、轉(zhuǎn)發(fā)、收取本公司隱秘信息；

i)在非授權(quán)狀況下以本公司的名義發(fā)表個(gè)人意見；

j)發(fā)送或者轉(zhuǎn)發(fā)可能有計(jì)算機(jī)病毒的信息；

k)在非授權(quán)狀況下向全體員工群發(fā)郵件。

4.10大事處理

4.10.1發(fā)覺丟失密級(jí)文件、資料或泄密，應(yīng)按《信息平安大事管理程序》，準(zhǔn)時(shí)報(bào)告管理部，并實(shí)行必要的補(bǔ)救措施，對當(dāng)事人要訓(xùn)練、批判，嚴(yán)厲?處理。

4.10.2對員工違反公司策略、程序、保密協(xié)議條款，以及泄露隱秘的狀況視情節(jié)輕重,按《信息平安懲戒管理程序》，追究違約賠償甚至法律責(zé)任。

4.10.3本公司員工要自覺執(zhí)行保密規(guī)定，不得私自將企業(yè)商業(yè)隱秘向其他崗位人員泄露，也不得打聽、竊取其他崗位的隱秘事項(xiàng)。不得在工作時(shí)間或工余時(shí)間為外單位從事有損本公司利益、涉及本公司隱秘的工作，退休、離職人員離公司兩年內(nèi)也不得從事有損本公司利益的工作。

4.10