《中小企業(yè)商業(yè)秘密安全保護(hù)規(guī)范》

ICS點(diǎn)擊此處添加ICS號

CCS點(diǎn)擊此處添加CCS號

T/BJHDSMEA0001—2023

團(tuán)體標(biāo)準(zhǔn)

中小企業(yè)商業(yè)秘密安全保護(hù)規(guī)范

Specificationforsecurityprotectionoftradesecrets

ofsmallandmedium-sizedenterprises

（征求意見稿）

XXXX-XX-XX發(fā)布XXXX-XX-XX實施

北京海淀中小企業(yè)協(xié)會??發(fā)布

T/BJHDSMEA0001—2023

中小企業(yè)商業(yè)秘密安全保護(hù)規(guī)范

1范圍

本文件是為了配合商業(yè)秘密相關(guān)法律法規(guī)的實施，同時適應(yīng)云計算、物聯(lián)網(wǎng)和大數(shù)據(jù)等新技術(shù)、新

應(yīng)用情況下商業(yè)秘密保護(hù)工作的開展，對商業(yè)秘密保護(hù)安全措施提出有效可靠的安全保護(hù)內(nèi)容。文件主

要從商業(yè)秘密安全管理措施與商業(yè)秘密安全技術(shù)措施兩個方面提出相關(guān)要求，形成商業(yè)秘密保護(hù)技術(shù)基

本要求。

本文件適用于中小企業(yè)開展商業(yè)秘密安全保護(hù)等相關(guān)活動，其他類型企業(yè)可參考執(zhí)行。

注：中小企業(yè)工信部《關(guān)于印發(fā)中小企業(yè)劃型標(biāo)準(zhǔn)規(guī)定的通知》。

2規(guī)范性引用文件

本文件沒有規(guī)范性引用文件。

3術(shù)語和定義

下列術(shù)語和定義適用于本文件。

3.1

商業(yè)秘密tradesecrets

不為公眾所知悉、具有商業(yè)價值并經(jīng)權(quán)利人采取相應(yīng)保密措施的技術(shù)信息、經(jīng)營信息等商業(yè)信息。

注1：“不為公眾所知悉”和“具有商業(yè)價值”的具體內(nèi)容見《中華人民共和國反不正當(dāng)競爭法》的規(guī)定。

注2：“相應(yīng)保密措施”的具體內(nèi)容見《最高人民法院關(guān)于審理侵犯商業(yè)秘密民事案件適用法律若干問題的規(guī)定》。

3.2

商業(yè)秘密數(shù)據(jù)tradesecretdata

以電子方式存在的，一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，可能危害企業(yè)運(yùn)行、生

產(chǎn)經(jīng)營、企業(yè)合法權(quán)益的數(shù)據(jù)。

3.3

3.4商密載體commercialsecretcarriers

以文字、數(shù)據(jù)、符號、圖形、圖像、視頻和音頻等方式記錄商業(yè)秘密信息的介質(zhì)。

注：包括磁性介質(zhì)、光盤、U盤、硬盤、服務(wù)器等電子存儲介質(zhì)（即涉密存儲介質(zhì)）和紙質(zhì)材料（即涉密紙質(zhì)文檔）。

3.5

3.6涉及商密的設(shè)備equipmentconcerningtradesecrets

處理或存儲商業(yè)秘密信息的臺式機(jī)、便攜機(jī)、一體機(jī)、平板等各類計算機(jī)。

4概述

商業(yè)秘密保護(hù)措施主要從商業(yè)秘密安全管理措施與商業(yè)秘密安全技術(shù)措施兩個方面進(jìn)行體現(xiàn)。商業(yè)

秘密管理措施主要從組織保障、人員保障、數(shù)據(jù)分級、權(quán)限管理、日志留存、安全審計、應(yīng)急響應(yīng)、事

件處置、競業(yè)管理、教育培訓(xùn)等方面進(jìn)行管理要求；商業(yè)秘密安全技術(shù)措施主要從商業(yè)秘密形成、商業(yè)

秘密存儲、商業(yè)秘密流轉(zhuǎn)、商業(yè)秘密加工、商業(yè)秘密傳輸、商業(yè)秘密提供、商業(yè)秘密脫敏等過程中不同

安全保護(hù)需求提出安全技術(shù)要求。

5商業(yè)秘密安全管理措施

5.1組織保障

商業(yè)秘密通用安全措施組織保障方面應(yīng)符合下列要求：

1

T/BJHDSMEA0001—2023

a)應(yīng)明確商業(yè)秘密管理職責(zé)部門，配備商業(yè)秘密安全管理人員，制定商業(yè)秘密制度規(guī)范及操作

規(guī)程，如商業(yè)秘密的保護(hù)、培訓(xùn)、宣傳、泄密應(yīng)急處置和獎懲的管理制度，并實施商業(yè)秘密

保護(hù)措施，開展商業(yè)秘密安全監(jiān)督檢查和考核管理；

b)企業(yè)根據(jù)自身商業(yè)秘密數(shù)據(jù)安全管理的實際情況，應(yīng)建立商業(yè)秘密定密管理規(guī)范和定密流程，

確定責(zé)任人、審核人、承辦人，并授予其相應(yīng)定密權(quán)限，確定單位的定密依據(jù)、定密細(xì)則等；

信息系統(tǒng)中的商業(yè)秘密應(yīng)根據(jù)定密結(jié)果設(shè)定相應(yīng)的密級標(biāo)識，密級標(biāo)注統(tǒng)一為“核心商密”、

“普通商密”；

c)應(yīng)建立商業(yè)秘密保護(hù)工作體系，明確商業(yè)秘密數(shù)據(jù)安全管理機(jī)構(gòu)，設(shè)置數(shù)據(jù)安全管理專職崗

位，明確商業(yè)秘密安全責(zé)任人，加強(qiáng)核心商業(yè)秘密處理崗位人員管理，如定期對核心商業(yè)秘

密處理崗位人員進(jìn)行專項培訓(xùn)、安全審計及應(yīng)急響應(yīng)等工作；相關(guān)人員應(yīng)負(fù)責(zé)具體承擔(dān)落實

商業(yè)秘密安全管理相關(guān)工作，包括不限于權(quán)限管理、日志留存、安全審計、應(yīng)急響應(yīng)、事件

處置和教育培訓(xùn)等工作；

d)應(yīng)結(jié)合所屬行業(yè)的商業(yè)秘密數(shù)據(jù)特征、數(shù)據(jù)處理場景等，制定商業(yè)秘密數(shù)據(jù)安全管理制度和

業(yè)務(wù)相關(guān)的數(shù)據(jù)安全策略和規(guī)程，明確商業(yè)秘密數(shù)據(jù)安全工作方針、目標(biāo)和原則，并對管理

制度執(zhí)行落實情況進(jìn)行監(jiān)督檢查和考核問責(zé)，管理制度包括但不限于商業(yè)秘密數(shù)據(jù)安全管理

辦法、商業(yè)秘密數(shù)據(jù)分級規(guī)范、商業(yè)秘密數(shù)據(jù)安全審計辦法、商業(yè)秘密數(shù)據(jù)安全應(yīng)急管理制

度、商業(yè)秘密數(shù)據(jù)內(nèi)部登記審批制度等，并及時進(jìn)行修訂。

e)企業(yè)根據(jù)自身商業(yè)秘密數(shù)據(jù)的實際情況，應(yīng)明確商業(yè)秘密的經(jīng)營特性或技術(shù)功能；確定信息

所屬領(lǐng)域并了解該領(lǐng)域的現(xiàn)實情況；簡要梳理概括并簡要表達(dá)無論是技術(shù)信息還是經(jīng)營信息。

5.2人員保障

商業(yè)秘密通用安全措施人員保障方面應(yīng)符合下列要求：

a)處理商業(yè)秘密的人員應(yīng)簽署保密協(xié)議書（模板可參考附錄A）；

b)重要關(guān)鍵崗位應(yīng)嚴(yán)格規(guī)范人員錄用、調(diào)離過程，對被錄用人的身份、背景、專業(yè)資格和資質(zhì)

等進(jìn)行審查，對其所具有的技術(shù)技能進(jìn)行核查；

c)應(yīng)對安全保密教育和培訓(xùn)進(jìn)行書面規(guī)定，針對不同崗位制定不同的培訓(xùn)計劃，定期對各類人

員進(jìn)行安全保密教育、崗位技能培訓(xùn)和相關(guān)安全技術(shù)培訓(xùn)，提高人員數(shù)據(jù)安全意識和專業(yè)技

能；

d)應(yīng)對安全教育和培訓(xùn)的情況和結(jié)果進(jìn)行記錄并歸檔保存；

e)應(yīng)根據(jù)人員角色（包括商業(yè)秘密處理人員、內(nèi)部人員、運(yùn)維人員等）加強(qiáng)對數(shù)據(jù)的訪問控制；

f)應(yīng)加強(qiáng)核心商業(yè)秘密數(shù)據(jù)處理關(guān)鍵崗位的管理，將能獲知核心商密內(nèi)容的人員確定為關(guān)鍵崗

位人員，明確數(shù)據(jù)處理行為規(guī)范和安全保護(hù)責(zé)任，簽署保密承諾書（模板可參考附錄B）；

g)核心商密數(shù)據(jù)處理者，應(yīng)在商密數(shù)據(jù)安全管理責(zé)任部門中配備專門的數(shù)據(jù)安全管理和技術(shù)人

員，其他部門應(yīng)按照商業(yè)秘密數(shù)據(jù)安全職責(zé)及分工要求，明確專職或兼職的商密數(shù)據(jù)安全管

理和技術(shù)人員。

5.3數(shù)據(jù)分級

商業(yè)秘密通用安全措施數(shù)據(jù)分級方面應(yīng)符合下列要求：

a)企業(yè)在對商業(yè)秘密數(shù)據(jù)分級時，應(yīng)優(yōu)先考慮其秘密性和價值性，可以參考以下原則：

1)商業(yè)秘密應(yīng)是不為所屬領(lǐng)域相關(guān)人員普遍知悉和容易獲得的信息；

2)考慮商業(yè)秘密與企業(yè)主營業(yè)務(wù)的關(guān)聯(lián)程度，泄露后對于企業(yè)的影響以及在現(xiàn)階段的市場

地位、技術(shù)先進(jìn)性及潛在的發(fā)展前景等，評估其經(jīng)濟(jì)價值?？蓪⒀邪l(fā)成本、合同價格或

市場前景分析等信息作為評估其經(jīng)濟(jì)價值的參考。

b)應(yīng)按照商業(yè)秘密數(shù)據(jù)一旦遭到泄露、篡改、破壞或者非法獲取、非法利用，對企業(yè)運(yùn)行、生

產(chǎn)經(jīng)營、企業(yè)合法權(quán)益等造成的危害程度，將商業(yè)秘密所包含的商業(yè)秘密數(shù)據(jù)分為“核心商

密”和“普通商密”：

1)普通商密:數(shù)據(jù)一旦遭到泄露、篡改、破壞或者非法獲取、非法利用，可能對企業(yè)運(yùn)行、

生產(chǎn)經(jīng)營、企業(yè)合法權(quán)益造成一般或嚴(yán)重危害；

2

T/BJHDSMEA0001—2023

2)核心商密:數(shù)據(jù)一旦遭到泄露、篡改、破壞或者非法獲取、非法利用，可能對企業(yè)運(yùn)行、

生產(chǎn)經(jīng)營、企業(yè)合法權(quán)益造成特別嚴(yán)重危害，或者可能對公共利益、社會穩(wěn)定造成一般

危害。

5.4權(quán)限管理

商業(yè)秘密通用安全措施權(quán)限管理方面應(yīng)符合下列要求：

a)應(yīng)明確開展商業(yè)秘密處理活動的系統(tǒng)賬號分配、開通、使用、變更、注銷等審批流程和操作

要求；

b)應(yīng)遵循安全策略和最小授權(quán)原則等進(jìn)行權(quán)限分配，對于開展商業(yè)秘密處理活動的平臺，采用

技術(shù)手段保障權(quán)限管理實施；

c)涉及數(shù)據(jù)重大操作的（例如數(shù)據(jù)批量復(fù)制、傳輸、使用加工、提供和銷毀等），應(yīng)采取多人

審批授權(quán)或操作監(jiān)控；

d)應(yīng)明確核心商業(yè)秘密處理權(quán)限審批、登記方式和流程，嚴(yán)格控制權(quán)限范圍，留存登記、審批

記錄；

e)對于開展核心商業(yè)秘密處理活動的系統(tǒng)，應(yīng)具備權(quán)限管理配套保障功能，包括限制非正常登

錄次數(shù)，登錄連接超時自動退出，配置口令遺忘申請和重置流程，賬號口令加密保護(hù)等；

f)對于開展核心商業(yè)秘密處理活動的系統(tǒng)，應(yīng)具備用戶登陸的驗證信息（例如口令鑒別信息）

進(jìn)行完整性保護(hù)措施，防止重放性攻擊，防止非授權(quán)的數(shù)據(jù)訪問；

g)涉及處理核心商密數(shù)據(jù)、授權(quán)特定人員超權(quán)限處理數(shù)據(jù)、核心商密數(shù)據(jù)批量復(fù)制、核心商密

數(shù)據(jù)提供、核心商密數(shù)數(shù)據(jù)脫密等數(shù)據(jù)處理活動的，應(yīng)由數(shù)據(jù)安全管理責(zé)任部門或者數(shù)據(jù)安

全責(zé)任人審批。

5.5日志留存

商業(yè)秘密通用安全措施日志留存方面應(yīng)符合下列要求：

a)應(yīng)對商業(yè)秘密處理活動進(jìn)行日志記錄，包括數(shù)據(jù)授權(quán)訪問、形成、流轉(zhuǎn)、應(yīng)用、提供、脫密、

銷毀及數(shù)據(jù)接口調(diào)用等環(huán)節(jié)，例如用戶登錄和退出，數(shù)據(jù)導(dǎo)入導(dǎo)出或修改，賬戶創(chuàng)建授權(quán)等；

記錄內(nèi)容包括操作時間、操作賬號、處理方式、授權(quán)情況、操作對象和數(shù)據(jù)量級等；

b)日志留存時間應(yīng)不少于6個月，定期對日志進(jìn)行備份與歸檔；

c)應(yīng)明確日志審計人員，且審計權(quán)限與系統(tǒng)管理權(quán)限、策略管理權(quán)限分立設(shè)置；對日志操作人

員操作進(jìn)行權(quán)限控制，避免惡意刪除、修改和覆蓋。

5.6安全審計

商業(yè)秘密通用安全措施安全審計方面應(yīng)符合下列要求：

a)結(jié)合組織機(jī)構(gòu)業(yè)務(wù)、商業(yè)秘密處理場景和安全保障需求等確定必要的數(shù)據(jù)審計策略，應(yīng)明確

審計對象、審計內(nèi)容和實施周期，加強(qiáng)數(shù)據(jù)重大操作、越權(quán)訪問數(shù)據(jù)和遠(yuǎn)程訪問數(shù)據(jù)等重點(diǎn)

場景安全審計和數(shù)據(jù)分析；

b)應(yīng)定期開展安全審計，審計內(nèi)容包括商密數(shù)據(jù)處理活動日志記錄、商密數(shù)據(jù)處理操作（如對

商業(yè)秘密的批量復(fù)制、傳輸、處理、開放、共享和銷毀等）審批情況、內(nèi)部權(quán)限分配（如數(shù)

據(jù)非授權(quán)訪問）情況、數(shù)據(jù)安全保障措施有效性等；

c)應(yīng)記錄并形成數(shù)據(jù)安全審計情況總結(jié)，針對審計發(fā)現(xiàn)的問題及時進(jìn)行處置、整改并跟蹤復(fù)核；

d)應(yīng)具備安全審計能力，將本數(shù)據(jù)處理者核心商業(yè)秘密處理活動全量納入審計平臺，發(fā)現(xiàn)核心

商業(yè)秘密違規(guī)處理行為；

e)應(yīng)定期對核心商業(yè)秘密處理操作進(jìn)行審計并形成安全審計情況總結(jié)。

5.7應(yīng)急響應(yīng)

商業(yè)秘密通用安全措施應(yīng)急響應(yīng)方面應(yīng)符合下列要求：

a)應(yīng)制定商業(yè)秘密安全事件應(yīng)急響應(yīng)預(yù)案，充分考慮企業(yè)涉及的各類商業(yè)秘密安全事件業(yè)務(wù)場

景，包括不限于商業(yè)秘密泄露(丟失)、商業(yè)秘密濫用、商業(yè)秘密被篡改、商業(yè)秘密被損毀、

數(shù)據(jù)違規(guī)使用等；

3

T/BJHDSMEA0001—2023

b)應(yīng)制定應(yīng)急響應(yīng)預(yù)案制定演練計劃并定期組織演練；

c)發(fā)生商業(yè)秘密安全事件時應(yīng)及時按照應(yīng)急預(yù)案實施應(yīng)急措施，企業(yè)應(yīng)迅速做出響應(yīng)，并采取措

施，將危害和損失控制在最小限度內(nèi)，措施包括但不限于：

1)對商業(yè)秘密泄密或被侵權(quán)事件的調(diào)查，確認(rèn)事件發(fā)生的過程、責(zé)任人等；

2)分析商業(yè)秘密泄密原因，并收集商業(yè)秘密泄密或被侵權(quán)的證據(jù)，判斷是否受到侵權(quán)，并

評估事件的嚴(yán)重程度；

3)向市場監(jiān)督管理部門或公安機(jī)關(guān)舉報，并視情況向相關(guān)主管部門報告。

5.8事件處置

商業(yè)秘密通用安全措施事件處置方面應(yīng)符合下列要求：

a)應(yīng)制定商業(yè)秘密威脅事件處理機(jī)制，根據(jù)事件等級明確事件處置責(zé)任分工、工作流程和處置

措施等；

b)應(yīng)對商業(yè)秘密威脅事件處置情況進(jìn)行總結(jié)及定期上報，并進(jìn)行商業(yè)秘密威脅事件的證據(jù)整理、

搜集、舉證、協(xié)助調(diào)查取證等工作；

c)涉及核心商業(yè)秘密威脅事件，應(yīng)第一時間向相關(guān)主管部門報告，并進(jìn)行事態(tài)跟蹤與評估影響。

5.9競業(yè)管理

商業(yè)秘密通用安全措施競業(yè)管理方面應(yīng)符合下列要求：

a)應(yīng)制定競業(yè)限制啟動評估機(jī)制，明確競業(yè)限制義務(wù)的范圍、履行競業(yè)限制義務(wù)的方式、履行

競業(yè)限制義務(wù)的期限等相關(guān)競業(yè)限制內(nèi)容；

b)權(quán)利人應(yīng)和董事、高級管理人員、核心技術(shù)人員或權(quán)利人認(rèn)為的重要人員簽訂競業(yè)禁止協(xié)議

（模板可參考附錄C）；

c)權(quán)利人應(yīng)和參與處理核心商密相關(guān)人員簽訂競業(yè)限制協(xié)議。(模板可參考附錄D)

5.10教育培訓(xùn)

商業(yè)秘密通用安全措施教育培訓(xùn)方面應(yīng)符合下列要求：

a)應(yīng)建立數(shù)據(jù)安全教育培訓(xùn)制度，對商業(yè)秘密管理崗位人員定期開展教育培訓(xùn)，教育和培訓(xùn)涵

蓋數(shù)據(jù)安全法律、行政法規(guī)、行業(yè)標(biāo)準(zhǔn)、組織機(jī)構(gòu)內(nèi)部商業(yè)秘密管理管理制度和工作要求、

數(shù)據(jù)安全領(lǐng)域知識技能以及數(shù)據(jù)安全保護(hù)意識等內(nèi)容；

b)應(yīng)在企業(yè)內(nèi)部進(jìn)行商業(yè)秘密保護(hù)宣傳（例如設(shè)置畫報、標(biāo)語、信息通知提醒等），營造商業(yè)

秘密保護(hù)氛圍；

c)應(yīng)強(qiáng)化核心商業(yè)秘密處理關(guān)鍵崗位的管理，將能獲知核心商業(yè)秘密內(nèi)容的人員確定為關(guān)鍵崗

位人員，明確數(shù)據(jù)處理行為規(guī)范和安全保護(hù)責(zé)任，簽署商業(yè)秘密承諾書；

d)核心商業(yè)秘密處理崗位應(yīng)定期開展全員教育和培訓(xùn)，強(qiáng)化安全意識和安全操作規(guī)程。

6商業(yè)秘密安全技術(shù)措施

6.1概述

商密數(shù)據(jù)應(yīng)綜合運(yùn)用身份鑒別、數(shù)據(jù)加密、細(xì)粒度訪問控制以及安全審計等多種技術(shù)進(jìn)行全程全域

的安全保護(hù)，以確保商業(yè)秘密數(shù)據(jù)全生命周期的安全與全域的安全保護(hù)，同時針對在導(dǎo)出時商密數(shù)據(jù)應(yīng)

采用加密等技術(shù)確保使用過程中的安全。綜上所述，商業(yè)秘密數(shù)據(jù)處理過程中，可以根據(jù)數(shù)據(jù)處理過程

采取對應(yīng)數(shù)據(jù)安全技術(shù)進(jìn)行安全保護(hù)（可參考附錄E）。

6.2商業(yè)秘密形成

商業(yè)秘密數(shù)據(jù)形成階段主要分為非結(jié)構(gòu)化商密數(shù)據(jù)形成階段和結(jié)構(gòu)化商密數(shù)據(jù)形成階段。結(jié)構(gòu)化商

密數(shù)據(jù)形成階段為錄入商密數(shù)據(jù)并保存到數(shù)據(jù)庫的階段；非結(jié)構(gòu)化商密數(shù)據(jù)形成階段主要包括文件的起

草、定密、審核及批準(zhǔn)等。商業(yè)秘密處理者在商業(yè)秘密形成方面的安全措施應(yīng)符合下列要求：

4

T/BJHDSMEA0001—2023

a)應(yīng)制定商密數(shù)據(jù)形成操作規(guī)范，對服務(wù)器、應(yīng)用系統(tǒng)、數(shù)據(jù)庫等商密數(shù)據(jù)設(shè)置密級標(biāo)識；密

級標(biāo)識由權(quán)屬、密級、保密期限三部分組成，需要保持標(biāo)識的統(tǒng)一與完整，且與商密主體不

可分離、不可篡改；

b)商密數(shù)據(jù)應(yīng)采用加密技術(shù)，并且可以預(yù)置流程通過統(tǒng)一定密、統(tǒng)一變更，實現(xiàn)商密數(shù)據(jù)密級

變更，查看審批記錄是否可以追溯到相關(guān)責(zé)任人；

c)應(yīng)加強(qiáng)核心商密數(shù)據(jù)的存儲位置、操作人員、使用設(shè)備的安全管控措施。增強(qiáng)對核心商密處

理設(shè)備的身份鑒別與訪問權(quán)限控制策略。

6.3商業(yè)秘密存儲

商業(yè)秘密數(shù)據(jù)存儲階段應(yīng)按照商業(yè)秘密級別采取不同存儲要求（如存儲結(jié)構(gòu)、存儲周期、備份周期

等），將收集到的商業(yè)秘密與系統(tǒng)自身生成的商業(yè)秘密存儲至相應(yīng)的系統(tǒng)，該行為屬于商業(yè)秘密存儲活

動。商業(yè)秘密處理者在商業(yè)秘密存儲方面的安全措施應(yīng)符合下列要求：

a)應(yīng)制定數(shù)據(jù)存儲操作規(guī)范，加強(qiáng)數(shù)據(jù)存儲環(huán)境和存儲系統(tǒng)安全管理，建立數(shù)據(jù)備份和恢復(fù)驗

證機(jī)制；

b)商密人員應(yīng)簽訂保密協(xié)議或者法律文件，明確商密使用范圍、操作權(quán)限、違約責(zé)任等，有效

約束相關(guān)人員行為；

c)應(yīng)采用商用密碼加密等技術(shù)措施進(jìn)行機(jī)密性保護(hù)，對設(shè)備上的商密數(shù)據(jù)進(jìn)行保護(hù)，并對加密

數(shù)據(jù)做訪問控制，防止存儲的商密數(shù)據(jù)被竊??；

d)商密數(shù)據(jù)在存儲過程中應(yīng)采取完整性監(jiān)測措施，防止存儲的信息被篡改、被破壞，并提供必

要的恢復(fù)措施；

e)商密載體的設(shè)備維修、報廢和銷毀應(yīng)集中由專人統(tǒng)一處理，并進(jìn)行登記；

f)應(yīng)采用校驗技術(shù)、密碼技術(shù)等措施進(jìn)行安全存儲，并實施容災(zāi)備份和存儲介質(zhì)安全管理；

g)涉密計算機(jī)上禁止大量存放核心商密數(shù)據(jù)，對核心商密數(shù)據(jù)應(yīng)實現(xiàn)集中加密存儲，實現(xiàn)細(xì)粒

度的使用權(quán)限控制，對使用情況進(jìn)行統(tǒng)計分析；

h)應(yīng)制定備份恢復(fù)相關(guān)管理制度，包括核心商密數(shù)據(jù)容災(zāi)備份的規(guī)范和操作規(guī)程；

i)應(yīng)明確規(guī)定核心商密容災(zāi)備份的周期、備份方式、備份地點(diǎn)，定期開展數(shù)據(jù)恢復(fù)性測試和災(zāi)

難恢復(fù)演練；

j)存儲在涉密計算機(jī)上的核心商密數(shù)據(jù)應(yīng)可以進(jìn)行遠(yuǎn)程管控與銷毀。

6.4商業(yè)秘密流轉(zhuǎn)

商業(yè)秘密流轉(zhuǎn)主要分為結(jié)構(gòu)化商密數(shù)據(jù)流轉(zhuǎn)與非結(jié)構(gòu)化商密數(shù)據(jù)流轉(zhuǎn)。結(jié)構(gòu)化商密數(shù)據(jù)流轉(zhuǎn)為數(shù)據(jù)

庫表單數(shù)據(jù)的存取和利用；非結(jié)構(gòu)化商密數(shù)據(jù)流轉(zhuǎn)包括商密數(shù)據(jù)內(nèi)部網(wǎng)絡(luò)應(yīng)用與外部網(wǎng)絡(luò)傳輸階段等活

動。商業(yè)秘密處理者在商業(yè)秘密流轉(zhuǎn)方面的安全措施應(yīng)符合下列要求：

a)應(yīng)制定商密流轉(zhuǎn)管理制度，包含商密使用審批流程、數(shù)據(jù)使用和分析處理的目的和范圍的要

求等；

b)商密數(shù)據(jù)在非內(nèi)部網(wǎng)絡(luò)傳輸時，宜采取商用密碼加密等技術(shù)措施進(jìn)行保護(hù)，防止傳輸?shù)男畔?/p>

被竊?。?/p>

c)應(yīng)采取數(shù)字簽名、時間戳等技術(shù)保護(hù)信息的完整性，并提供信息發(fā)送者的身份認(rèn)證，防止抵

賴行為的發(fā)生；

d)運(yùn)行商密信息系統(tǒng)的網(wǎng)絡(luò)中，未經(jīng)授權(quán)不應(yīng)使用帶有網(wǎng)絡(luò)嗅探功能（包括抓包、監(jiān)聽、數(shù)據(jù)

包回放分析等）的工具或設(shè)備；

e)宜通過黑/白名單等方式管理電子郵件、網(wǎng)頁訪問、文件傳輸、文件共享、即時通信等軟件的

使用，并對相關(guān)信息操作記錄進(jìn)行審計；

f)應(yīng)采用技術(shù)手段對使用加工過程中的數(shù)據(jù)訪問、數(shù)據(jù)批量操作和接口調(diào)用等操作進(jìn)行管控；

g)應(yīng)明確核心商密數(shù)據(jù)處理活動相關(guān)平臺系統(tǒng)的訪問制度和流程建設(shè)，從身份管理原則、身份

憑證保護(hù)、最小授權(quán)原則和權(quán)限申請與審批等方面提出核心商密使用安全管控要求；

h)不應(yīng)租用無相關(guān)資質(zhì)的第三方服務(wù)商提供的網(wǎng)絡(luò)應(yīng)用服務(wù)傳輸核心商密數(shù)據(jù)，包括外部郵件

服務(wù)、外部基于云計算技術(shù)的服務(wù)、即時通信服務(wù)等；

5

T/BJHDSMEA0001—2023

i)核心商密數(shù)據(jù)通過內(nèi)部網(wǎng)絡(luò)傳輸時，應(yīng)采用加密信道或其他技術(shù)手段，防止數(shù)據(jù)被截獲后被

解密或被破解；

j)宜能夠檢測到核心商密數(shù)據(jù)在傳輸過程中完整性，并提供必要的恢復(fù)措施。

6.5商業(yè)秘密加工

商業(yè)秘密加工階段主要是對結(jié)構(gòu)化商密數(shù)據(jù)與非結(jié)構(gòu)化商密數(shù)據(jù)進(jìn)行操作使用加工活動。商業(yè)秘密

處理者在商業(yè)秘密應(yīng)用方面的安全措施應(yīng)符合下列要求：

a)應(yīng)制定數(shù)據(jù)使用加工的操作規(guī)范，明確數(shù)據(jù)使用加工的流程、安全保護(hù)要求、數(shù)據(jù)訪問授權(quán)

機(jī)制、數(shù)據(jù)加工技術(shù)方法和數(shù)據(jù)加工結(jié)果的處理規(guī)則等；

b)應(yīng)采用技術(shù)手段對使用加工過程中的商業(yè)秘密中不同類別的商密數(shù)據(jù)設(shè)置相應(yīng)權(quán)限；

c)對商密數(shù)據(jù)的管理和控制，應(yīng)以不影響員工正常的編輯閱讀、數(shù)據(jù)處理、數(shù)據(jù)交換、出差和

在外辦公為前提，并且不受到網(wǎng)絡(luò)連通與否狀況的影響；

d)在涉密計算機(jī)上使用核心商密數(shù)據(jù)時，應(yīng)在終端屏幕上自動顯示水印，水印位置、格式、透

明度等可自定義，以防止通過拍照方式泄露商業(yè)秘密；

e)應(yīng)用開發(fā)人員不宜直接訪問核心商密數(shù)據(jù)，確有需要時應(yīng)對其進(jìn)行控制和管理，開發(fā)任務(wù)完

成后應(yīng)對相關(guān)的核心商密數(shù)據(jù)進(jìn)行及時回收或轉(zhuǎn)移。

6.6商業(yè)秘密傳輸

商業(yè)秘密流轉(zhuǎn)是通過數(shù)據(jù)傳輸通道，在組織機(jī)構(gòu)內(nèi)部或向組織機(jī)構(gòu)外部傳送數(shù)據(jù)的活動。商業(yè)秘密

處理者在商業(yè)秘密傳輸方面的安全措施應(yīng)符合下列要求：

a)應(yīng)根據(jù)法律法規(guī)、業(yè)務(wù)需求、業(yè)務(wù)系統(tǒng)可用性、建設(shè)成本等要求，明確商密傳輸相關(guān)制度文

件，包括商密傳輸安全策略和操作規(guī)程等；

b)應(yīng)根據(jù)業(yè)務(wù)流程、網(wǎng)絡(luò)部署和安全風(fēng)險等情況，合理劃分網(wǎng)絡(luò)系統(tǒng)安全域，明確商密數(shù)據(jù)傳

輸場景與保護(hù)措施；

c)應(yīng)制定商密數(shù)據(jù)傳輸接口安全管理工作規(guī)范，明確接口運(yùn)行、管理及安全保護(hù)措施；

d)應(yīng)建立核心商密數(shù)據(jù)審批流程，對跨組織或者跨域傳輸核心商密進(jìn)行審批；

e)應(yīng)采取校驗技術(shù)、密碼技術(shù)、安全傳輸通道或者安全傳輸協(xié)議等措施，保證核心商密傳輸?shù)?/p>

安全性；

f)傳輸接口應(yīng)具備安全監(jiān)測能力，能夠?qū)涌谡{(diào)用的異常情況進(jìn)行告警和處置。

6.7商業(yè)秘密提供

商業(yè)秘密提供是因數(shù)據(jù)共享或開展數(shù)據(jù)合作等目的，在組織機(jī)構(gòu)內(nèi)部不同部門或不同子公司之間提

供數(shù)據(jù)，以及組織機(jī)構(gòu)向外部數(shù)據(jù)合作者提供數(shù)據(jù)的活動。商業(yè)秘密處理者在商業(yè)秘密提供方面的安全

措施應(yīng)符合下列要求：

a)應(yīng)制定商密數(shù)據(jù)提供的評估和審批流程，明確商密提供的范圍、類別、條件、授權(quán)等；

b)應(yīng)使用商用密碼加密等安全技術(shù)，對外發(fā)的商密數(shù)據(jù)內(nèi)容進(jìn)行安全保護(hù)，且對商密數(shù)據(jù)知悉

范圍和權(quán)限進(jìn)行控制，限制閱讀人員、閱讀次數(shù)以及閱讀期限，并且不受網(wǎng)絡(luò)連通情況的影

響；

c)開展業(yè)務(wù)合作時，向合作者提供商業(yè)數(shù)據(jù)時應(yīng)簽訂合作合同和保密協(xié)議，明確數(shù)據(jù)安全保護(hù)

條款，包括合作的數(shù)據(jù)范圍、合作者的處理權(quán)限及用途、期限和違約責(zé)任等；

d)應(yīng)明確商密數(shù)據(jù)提供服務(wù)合同或協(xié)議，包含數(shù)據(jù)安全保護(hù)條款，按照最小必要的原則，結(jié)合

數(shù)據(jù)提供情況，規(guī)定數(shù)據(jù)接收方可接觸到的數(shù)據(jù)范圍、使用權(quán)限、用途，明確數(shù)據(jù)接收方的

數(shù)據(jù)安全保護(hù)責(zé)任；

e)商密數(shù)據(jù)提供涉及數(shù)據(jù)出境時，應(yīng)按照國家相關(guān)規(guī)定和相關(guān)標(biāo)準(zhǔn)的要求執(zhí)行；

f)核心商密數(shù)據(jù)的外發(fā)應(yīng)只能在指定地點(diǎn)及商密載體進(jìn)行集中操作，對外發(fā)商密數(shù)據(jù)做集中式

留檔便于審計；

g)核心商密數(shù)據(jù)應(yīng)由兩個及以上相關(guān)人員審批通過后才可外發(fā)，外發(fā)后未經(jīng)相關(guān)人員授權(quán)禁止

脫離安全環(huán)境；