企業(yè)商業(yè)秘密保護(hù)體系評價(jià)指南

1企業(yè)商業(yè)秘密保護(hù)體系評價(jià)指南DB21/T3659-2022商業(yè)秘密保護(hù)管理規(guī)范DB21/T3659-2022界定的術(shù)語和定義適用于本文4基本要求4.1企業(yè)要求4.1.1企業(yè)依據(jù)相關(guān)法律、法規(guī)、政策及標(biāo)準(zhǔn)等建4.2評價(jià)組織4.2.1評價(jià)組織應(yīng)滿足以下要求：4.3評價(jià)人員4.3.2應(yīng)具備識別企業(yè)在商業(yè)秘密保護(hù)工作中存在的問題的能力。4.3.3應(yīng)遵紀(jì)守法、誠信正直、堅(jiān)持原則、實(shí)事求是、科學(xué)公正。24.3.4第三方評價(jià)組織的評價(jià)人員還應(yīng)具備：——熟悉被評價(jià)企業(yè)所屬的行業(yè)特點(diǎn)；——評價(jià)組組長應(yīng)從事評價(jià)、評審工作不少于三年；5評價(jià)策略5.1評價(jià)目標(biāo)5.2評價(jià)原則5.3評價(jià)流程35.4評價(jià)準(zhǔn)備——評價(jià)組的組成及分工；——評價(jià)時(shí)間安排，包括文件評價(jià)時(shí)間和現(xiàn)場評價(jià)時(shí)間；——評價(jià)程序和方法；被評價(jià)方應(yīng)提前準(zhǔn)備好附錄A評價(jià)條款及分值所涉及的人員、查閱相關(guān)文件材料、實(shí)地考察商業(yè)秘密保護(hù)的場地、設(shè)施設(shè)備等相關(guān)軟注2：保密人員指從事企業(yè)商業(yè)秘密保護(hù)工作，熟悉企業(yè)商業(yè)秘密保護(hù)制度，了解企業(yè)商業(yè)秘密保護(hù)的場地及軟硬a)評價(jià)方依據(jù)被評價(jià)方提供的材料介紹企業(yè)商業(yè)秘密保護(hù)情況、商業(yè)秘密保護(hù)體系建設(shè)情況、商業(yè)秘密保護(hù)機(jī)構(gòu)組織架構(gòu)、商業(yè)秘密保護(hù)體系運(yùn)行情況、商業(yè)秘密保護(hù)體系自我評價(jià)情況b)評價(jià)方宣布評價(jià)方案，被評價(jià)方確認(rèn)評價(jià)方案及相關(guān)工作安排；若調(diào)整相關(guān)方案時(shí)，應(yīng)e)評價(jià)方做出可能造成評價(jià)提前終止的情況說——與企業(yè)確定保密區(qū)域及保密設(shè)備；4——要求企業(yè)指定相應(yīng)的評價(jià)聯(lián)系人與評價(jià)人員對接并提供相應(yīng)的支持。云儲存空間管理制度、涉密區(qū)域管理制度、涉密人員管理制度、涉密活動管理制度、商——加分項(xiàng)包括：涉及到企業(yè)商業(yè)秘密保護(hù)體系獲得獎項(xiàng)、——抽取的樣本范圍應(yīng)涵蓋企業(yè)商業(yè)秘密管理體系的所有涉密活動類型以及軟硬件設(shè)備；提供證據(jù)證明設(shè)備是出于暫時(shí)故障、更迭、維護(hù)等突發(fā)情況——抽取樣本數(shù)量由評價(jià)組組長按照企業(yè)規(guī)模、涉密人員數(shù)量、設(shè)備數(shù)量、秘密復(fù)雜程度等因素——運(yùn)行與實(shí)施管理情況包括：硬件管理、軟件管理——加分項(xiàng)包括：企業(yè)的制度創(chuàng)新、軟件、硬件的情況。6.4.1第三方評價(jià)時(shí)，評價(jià)組織應(yīng)安排獨(dú)立專家組，對評價(jià)結(jié)論以及涉及的記錄、證據(jù)等資料的完整5——協(xié)調(diào)評價(jià)進(jìn)度與分工；——對評價(jià)信息進(jìn)行溝通并形成評價(jià)結(jié)論?！筇峁┍匾募夹g(shù)支持；——針對現(xiàn)場評價(jià)安全風(fēng)險(xiǎn)情況，提出繼續(xù)評價(jià)、暫停評價(jià)或終止評價(jià)；——說明獲取客觀證據(jù)的方法及評價(jià)中發(fā)現(xiàn)的不符合項(xiàng)；6——對評價(jià)組人員組成或行為有意見；——建立受理、確認(rèn)和調(diào)查申訴與投訴的處理流程；——及時(shí)對申訴/投訴人提出的意見組織開展調(diào)查和復(fù)核；——對申訴與投訴意見處理情況應(yīng)書面通知申訴/投訴人?！獔?bào)告類型；7——法定代表人；——評價(jià)負(fù)責(zé)人；——評價(jià)組成員；——評價(jià)目的、評價(jià)依據(jù)；——各大項(xiàng)的分值及本大項(xiàng)的總體評價(jià)，包括：大項(xiàng)總體情況及不足；——加分情況及加分原因；——評價(jià)得分及評價(jià)級別；——評價(jià)綜述及評價(jià)結(jié)論；——評價(jià)等級與符號定義；——評價(jià)方法與流程；——其他需要附加的資料。評價(jià)報(bào)告封面、聲明及概述示例參見資料性附錄B，圖B1-B3。評價(jià)報(bào)告正文參見資料性在評價(jià)報(bào)告正文中針對評價(jià)的內(nèi)容給出被評價(jià)方可針對商8A.1商業(yè)秘密保護(hù)體系評價(jià)條款及分值見表A.1。“輕微程度”是指文字性、編輯性、偶然性、非關(guān)鍵點(diǎn)輕微不符合，應(yīng)扣除30%以下的分?jǐn)?shù)。加分項(xiàng)依據(jù)該項(xiàng)目所具備的分?jǐn)?shù)來加分。除加分項(xiàng)外總得分在359以下的則加分項(xiàng)不計(jì)入分值得分者9分值得分度（1）通過查閱核實(shí)：查看企業(yè)商業(yè)秘密保護(hù)管理制度，管理制度要素參照DB/T3659-2022附錄A的列舉的要素）,相關(guān)要素的具體制度需要明確、具（1）通過查閱核實(shí)：查看企業(yè)涉密資料、涉密物度（1）通過查閱核實(shí)：查看企業(yè)涉密信息系統(tǒng)、云DB/T3659-2022的列舉的要素）,相關(guān)要素的具體如信息系統(tǒng)或云儲存空間系第三方機(jī)構(gòu)代理需簽署保密協(xié)議，如無保密協(xié)重程度”。度管理制度要素參照DB/T3659-2022附錄A的相關(guān)規(guī)要素）,相關(guān)要素的具體制度需確保明確、合理。（2）有不符合可視嚴(yán)重、一般、輕微程度及影響度管理制度要素參照DB/T3659-2022附錄A的相關(guān)規(guī)要素）,相關(guān)要素的具體制度需確保合法、明確。（2）有不符合可視嚴(yán)重、一般、輕微程度及影響分值得分度管理制度要素參照DB/T3659-2022附錄A的相關(guān)規(guī)要素）,相關(guān)要素的具體制度需確保全面覆蓋保密（1）通過查閱核實(shí)：查看企業(yè)商業(yè)秘密泄露事件附錄A的相關(guān)規(guī)定（要素原則上不得少于DB/T3659-2022的列舉的要素），相關(guān)要素的具體制度需要明確、具備操作性、合法。（2）有不符合可如企業(yè)在商業(yè)秘密保護(hù)體系建立后發(fā)生泄密情況并且造成經(jīng)濟(jì)損失則此項(xiàng)人員管（1）通過查閱核實(shí)：查看所有涉密人員是否與企可參照DB/T3659-2022第五章的相關(guān)規(guī)定。（2）凡入職即涉密的人員均需簽署保密協(xié)議，如有未簽署保密協(xié)議的，則此項(xiàng)培訓(xùn)的制度、保密培訓(xùn)的材料及培訓(xùn)內(nèi)容的合理受培訓(xùn)人員對培訓(xùn)內(nèi)容的掌握情況。（3）有不符入職為非涉密人員后經(jīng)轉(zhuǎn)崗成為涉密人員的59%以下簽署保密協(xié)議則此項(xiàng)69%簽署保密協(xié)議則此項(xiàng)視為“一署保密協(xié)議則此項(xiàng)以上簽署保密協(xié)議則此項(xiàng)視為“符合”。（1）通過查閱核實(shí)：涉密崗員工調(diào)崗或離職前是的合理性可參照DB/T3659-2022第五章的相關(guān)規(guī)定。（2）有不符合可視嚴(yán)重、一般、輕微程度及凡涉密員工離職未簽署保密協(xié)議，未進(jìn)行檢查和收回權(quán)限的，則此項(xiàng)視為“嚴(yán)重程度”。分值得分理理改進(jìn)方法有創(chuàng)新且滿足加分項(xiàng)條件的可列入加分項(xiàng)。分值得分B.1企業(yè)商業(yè)秘密保護(hù)體系評價(jià)報(bào)告示例B．2企業(yè)商業(yè)秘密保護(hù)體系評價(jià)報(bào)告的