DB12-T 1439-2025 商業(yè)秘密保護管理和服務規(guī)范

商業(yè)秘密保護管理和服務規(guī)范2025-02-12發(fā)布2025-03-15實施I前言 1范圍 12規(guī)范性引用文件 13術(shù)語和定義 14基本原則 15商業(yè)秘密的范圍 16企業(yè)自主保護與管理 2 48服務 6附錄A(資料性)商業(yè)秘密管理內(nèi)容及措施 8參考文獻 本文件按照GB/T1.1—2020《標準化工作導則第1部分：標準化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。本文件由天津市市場監(jiān)督管理委員會提出并歸口。本文件起草單位：天津市市場監(jiān)督管理委員會、天津市濱海新區(qū)市場監(jiān)督管理局、天津濱海高新技術(shù)產(chǎn)業(yè)開發(fā)區(qū)市場監(jiān)督管理局。本文件主要起草人：莊健、畢思友、陳洪波、井翠霞、王兵、王思予、李楨、郭敏。1商業(yè)秘密保護管理和服務規(guī)范本文件規(guī)定了商業(yè)秘密保護的基本原則、商業(yè)秘密的范圍、企業(yè)自主保護與管理、維權(quán)及服務等內(nèi)本文件適用于企業(yè)開展商業(yè)秘密保護管理和服務工作，其他組織可參照執(zhí)行。2規(guī)范性引用文件本文件沒有規(guī)范性引用文件。3術(shù)語和定義下列術(shù)語和定義適用于本文件。商業(yè)秘密tradesecret不為公眾所知悉、具有商業(yè)價值并經(jīng)權(quán)利人采取相應保密措施的技術(shù)信息、經(jīng)營信息等商業(yè)信息。根據(jù)工作職責或者保密協(xié)議有權(quán)接觸、使用、掌握商業(yè)秘密信息的企業(yè)員工或其他人員。以文字、數(shù)據(jù)、符號、圖形、圖像、視頻和音頻等方式記錄商業(yè)秘密信息的各類介質(zhì)，如紙介質(zhì)、電磁介質(zhì)、光介質(zhì)等。含有商業(yè)秘密信息的設備和產(chǎn)品，如計算機、手機、原材料、成品、半成品、樣品等。含有商業(yè)秘密信息、人員進入后可能接觸到商業(yè)秘密的物理區(qū)域，如車間、研發(fā)室、實驗室、機房、保密室、檔案室等。4基本原則商業(yè)秘密保護首先是權(quán)利人的自主保護，實施保護的商業(yè)秘密由權(quán)利人自主提出，確定的商業(yè)秘密應具備秘密性、價值性和保密性。商業(yè)秘密保護應遵循重在預防、主動維權(quán)、協(xié)同保護的原則，建立自主保護、行政保護與司法保護一體的商業(yè)秘密保護體系。5商業(yè)秘密范圍25.1企業(yè)應根據(jù)自身情況界定商業(yè)秘密的范圍，商業(yè)秘密一般分為技術(shù)信息和經(jīng)營信息。5.2技術(shù)信息指與技術(shù)有關的結(jié)構(gòu)、原料、組分、配方、材料、樣品、樣式、植物新品種繁殖材料、工藝、方法或其步驟、算法、數(shù)據(jù)、計算機程序及其有關文檔等信息。5.3經(jīng)營信息是與經(jīng)營活動有關的創(chuàng)意、管理、銷售、財務、計劃、樣本、招投標材料、客戶信息、數(shù)據(jù)等信息。客戶信息包括客戶的名稱、地址、聯(lián)系方式以及交易習慣、意向、內(nèi)容等信息。6企業(yè)自主保護與管理6.1組織機構(gòu)6.1.1企業(yè)的最高管理者應具備商業(yè)秘密保護意識，商業(yè)秘密管理工作應由最高管理者牽頭進行。6.1.2企業(yè)可設立商業(yè)秘密保護部門或依托相關部門開展商業(yè)秘密保護工作，配備專(兼)職保密人6.1.3商業(yè)秘密保護部門和保密人員應履行包括但不限于以下職責：——建立和實施商業(yè)秘密保護有關制度；——識別和管理商業(yè)秘密事項，如涉密人員、涉密載體、涉密物品、涉密區(qū)域等；——組織制定、實施商業(yè)秘密保護措施；——組織商業(yè)秘密保護宣傳、培訓、考核；——監(jiān)督、檢查商業(yè)秘密保護管理工作的落實和執(zhí)行；——處理泄密或侵犯商業(yè)秘密事件；——商業(yè)秘密保護管理制度進行評估和改進。6.2秘密管理6.2.1企業(yè)應對確定的商業(yè)秘密進行分類分級，并按照密級高低實行分級保護和管理。6.2.2企業(yè)應建立商業(yè)秘密保護清單，并對商業(yè)秘密進行標識。6.2.3企業(yè)應明確商業(yè)秘密的保密事項，并建立對涉密人員、涉密載體、涉密物品、涉密區(qū)域、涉密商務活動等事項的管理要求，采取相應的保密措施。6.2.4企業(yè)應根據(jù)實際業(yè)務和經(jīng)營情況制定商業(yè)秘密保護管理制度并在企業(yè)內(nèi)部公開，內(nèi)容包括但不限于：——商業(yè)秘密識別與分級管理制度；——涉密人員管理制度；——涉密載體管理制度；——涉密物品管理制度；——涉密區(qū)域管理制度；——涉密商務活動管理制度；——涉密信息管理制度；——應急管理制度；——檢查和改進制度；——獎懲管理制度。6.2.5商業(yè)秘密保護的具體管理內(nèi)容和措施參見附錄A。6.3應急管理6.3.1企業(yè)應制定商業(yè)秘密泄密或侵權(quán)的應急處理預案，預案內(nèi)容包括但不限于：3——應急小組成員及職責；——緊急應對流程；——泄密或侵權(quán)溯源和評估定級方案；——防止信息進一步擴散、危害和損失擴大的應急措施方案；——維權(quán)方案；——總結(jié)和改進方案。6.3.2應急小組一般由商業(yè)秘密保護部門或企業(yè)高級管理人員牽頭，成員可包括人事部門、法務部門、信息技術(shù)部門、行政部門、公關部門等。6.3.3緊急應對流程一般包括事件上報、成立應急小組、核查確認泄密或侵權(quán)內(nèi)容、評估泄密或侵權(quán)事件等級、應急處置、維權(quán)和責任追究、形成事件報告、提出整改方案等。6.3.4對泄密或侵權(quán)事件的評估定級，可考慮如下因素：——涉及的商業(yè)秘密等級和數(shù)量；——侵權(quán)的方式，如未經(jīng)許可的復制、向第三方披露、被公開、被第三方使用；——事件對企業(yè)造成的影響；——泄密或侵權(quán)嫌疑人的情況；——其他影響泄密或侵權(quán)事件評估分級的因素。6.3.5出現(xiàn)商業(yè)秘密泄露的征兆或者跡象時，企業(yè)應采取措施防止信息擴散，將危害和損失控制在最小限度內(nèi)。措施包括但不限于：——涉密載體、物品等失竊或被未經(jīng)許可復制的，應做好現(xiàn)場保護工作，調(diào)查并確定泄密范圍和流向，及時追回被竊涉密載體、物品或復制后的版本；——商業(yè)秘密被上傳至信息系統(tǒng)、互聯(lián)網(wǎng)或其他未被允許渠道公開的，應聯(lián)系相應渠道的運營方或信息管理部門對泄露信息進行屏蔽或刪除；——向侵權(quán)嫌疑人發(fā)送侵權(quán)告知函，要求其立即停止侵權(quán)行為；——向法院申請保全措施。6.3.6企業(yè)應加強對員工的培訓和引導，使員工對商業(yè)秘密可能泄露的異常狀態(tài)保持警覺，發(fā)現(xiàn)可能泄密跡象及時報告上級。6.3.7企業(yè)可以定期進行商業(yè)秘密泄密應急處理演練，提高應對商業(yè)秘密泄密情形發(fā)生時的處置能力。6.4檢查評估與改進6.4.1檢查評估6.4.1.1企業(yè)應對商業(yè)秘密保護管理情況進行監(jiān)督檢查，確保其持續(xù)的適宜性、充分性和有效性。6.4.1.2企業(yè)的商業(yè)秘密保護部門或?qū)嶋H開展商業(yè)秘密保護工作的相關部門應制定監(jiān)督檢查方案，內(nèi)容應包括但不限于：——監(jiān)督檢查工作的內(nèi)容和方法；——監(jiān)督檢查工作的職責和權(quán)限；——執(zhí)行監(jiān)督檢查的頻次和時限；——監(jiān)督檢查結(jié)果運用的整改、問責、獎懲機制。6.4.1.3監(jiān)督檢查內(nèi)容應包括但不限于：——商業(yè)秘密的定密、分級、流轉(zhuǎn)；——涉密人員管理情況；——涉密載體管理情況；——涉密物品管理情況；4——涉密區(qū)域管理情況；——涉密商務活動管理情況；——操作系統(tǒng)、辦公軟件、信息系統(tǒng)等工具軟件的賬號、權(quán)限、密碼管理和使用商業(yè)秘密情況；——商業(yè)秘密保護管理制度建立和實施情況。6.4.1.4監(jiān)督檢查方法可包括但不限于：——調(diào)取涉密載體、涉密物品、涉密信息使用記錄；——調(diào)取涉密區(qū)域出入口和內(nèi)部監(jiān)控；——調(diào)取操作系統(tǒng)、辦公軟件、信息系統(tǒng)等工具軟件的日志文件等；——現(xiàn)場查驗、問詢涉密人員工作情況；——調(diào)取涉密活動記錄及附屬合同等。6.4.1.5企業(yè)應根據(jù)監(jiān)督檢查結(jié)果評估商業(yè)秘密保護管理制度和措施的適宜性、充分性和有效性并形成評估結(jié)論或報告。6.4.1.6企業(yè)可委托第三方機構(gòu)開展商業(yè)秘密保護監(jiān)督檢查與評估。6.4.2.1企業(yè)應針對監(jiān)督檢查發(fā)現(xiàn)的問題制定整改計劃，采取有效措施持續(xù)改進。6.4.2.2企業(yè)應對改進情況進行復查、復評。7維權(quán)7.1證據(jù)收集7.1.1企業(yè)應及時收集并固定以下證據(jù)材料，必要時可進行證據(jù)保全公證?！虡I(yè)秘密權(quán)屬證明，包括但不限于以下內(nèi)容：●研發(fā)立項、記錄文件、試驗數(shù)據(jù)、技術(shù)成果驗收備案文件等證明材料；●商業(yè)秘密交易轉(zhuǎn)讓合同或授權(quán)使用許可協(xié)議等證明材料。——商業(yè)秘密的具體內(nèi)容和載體；——商業(yè)秘密不為公眾所知悉的證明，包括但不限于下列情形：●該信息在所屬領域不屬于一般常識或者行業(yè)慣例；●該信息不僅涉及產(chǎn)品的尺寸、結(jié)構(gòu)、材料、部件的簡單組合等內(nèi)容，所屬領域的相關人員不能通過觀察上市產(chǎn)品即可直接獲得；●該信息未在公開版物或者其他媒體上公開披露；●該信息未通過公開的報告會、展覽會等方式公開；●所屬領域的相關人員無法從其他公開渠道獲得該信息。——商業(yè)秘密具有商業(yè)價值的證明，包括但不限于下列內(nèi)容：●生產(chǎn)經(jīng)營活動中形成的階段性成果；●研究開發(fā)成本、實施該項商業(yè)秘密的收益、可得利益、可保持競爭優(yōu)勢的時間?！褜ι虡I(yè)秘密采取相應保護措施的證明，包括但不限于下列情形：●簽訂保密協(xié)議或者在合同中約定保密義務；●通過章程、培訓、規(guī)章制度、書面告知等方式，對能夠接觸、獲取商業(yè)秘密的員工、前員工、供應商、客戶、來訪者等提出保密要求；●對涉密的廠房、車間等生產(chǎn)經(jīng)營場所限制來訪者或者進行區(qū)分管理；5●以標記、分類、隔離、加密、封存、限制能夠接觸或者獲取的人員范圍等方式，對商業(yè)秘密及其載體進行區(qū)分和管理；●對能夠接觸、獲取商業(yè)秘密的計算機設備、電子設備、網(wǎng)絡設備、存儲設備、軟件等，采取禁止或者限制使用、訪問、存儲、復制等措施；●要求離職員工登記、返還、清除、銷毀其接觸或者獲取的商業(yè)秘密及其載體，繼續(xù)承擔保密義務。——可能與泄密信息有關的人員信息，包括但不限于以下內(nèi)容：●有關人員在本單位的工作經(jīng)歷、工作內(nèi)容、接觸到的涉密信息以及其他有可能、有條件接觸到商業(yè)秘密的證明材料；●有關人員在本單位接受保密培訓的記錄；●有關人員與本單位簽訂的保密協(xié)議?！謾?quán)信息與企業(yè)商業(yè)秘密相同或者實質(zhì)相同的證明材料；——侵犯商業(yè)秘密的具體行為表現(xiàn)；——侵犯商業(yè)秘密行為導致的后果。7.1.2商業(yè)秘密的非公知性、同一性等專業(yè)技術(shù)事項可委托第三方機構(gòu)進行鑒定。7.2維權(quán)途徑7.2.1當商業(yè)秘密被侵犯時，企業(yè)應主動維權(quán)，根據(jù)實際情況可依法采取下列維權(quán)方式：——和解與調(diào)解；——尋求行政保護；——申請商事仲裁；——尋求司法保護。7.2.2涉及國家秘密的，應立即向當?shù)毓矙C關、國家安全機關、保密行政管理部門報告并采取補救措施。7.3和解與調(diào)解7.3.1企業(yè)可以通過協(xié)商和解方式解決商業(yè)秘密侵權(quán)糾紛，在和解協(xié)議中可以約定一定的賠償金額、保密義務等條款，也可以基于實際的商業(yè)談判情況和具體的商業(yè)需求，在符合法律規(guī)定的情況下，約定競業(yè)禁止等條款。7.3.2企業(yè)可以與侵權(quán)人雙方本著真實自愿的原則委托共同認可的政府機構(gòu)或社會機構(gòu)進行調(diào)解或由人民法院委派調(diào)解機構(gòu)進行訴前、訴中調(diào)解。7.4行政保護7.4.1企業(yè)可以向違法行為發(fā)生地的縣級以上市場監(jiān)督管理部門舉報，應按照市場監(jiān)督管理部門要求提供相應材料。7.4.2企業(yè)可根據(jù)案件進展情況，在立案后變更、增加其所主張的商業(yè)秘密具體內(nèi)容。7.4.3經(jīng)核查立案后，企業(yè)應積極配合市場監(jiān)督管理部門進行詢問、現(xiàn)場檢查等調(diào)查取證工作。7.5商事仲裁違反協(xié)議約定的保密義務并且約定商事仲裁管轄條款的，若尚未構(gòu)成刑事犯罪的，應向約定的仲裁委員會申請仲裁。7.6司法保護67.6.1民事保護7.6.1.1商業(yè)秘密民事案件可向有管轄權(quán)的人民法院提起民事訴訟，并提供初步證據(jù)，證據(jù)內(nèi)容可參照7.1。7.6.1.2針對以下情形可以向人民檢察院提請商業(yè)秘密訴訟活動法律監(jiān)督：——已經(jīng)發(fā)生法律效力的民事判決、裁定、調(diào)解書符合《中華人民共和國民事訴訟法》第二百零九條第一款規(guī)定的；——認為民事審判程序中審判人員存在違法行為的；——認為民事執(zhí)行活動存在違法情形的。7.6.2刑事保護商業(yè)秘密侵權(quán)案件造成企業(yè)損失情況符合《最高人民檢察院公安部關于修改侵犯商業(yè)秘密刑事案件立案追訴標準的決定》的有關規(guī)定的，企業(yè)可向犯罪地的公安機關報案，由公安部門對侵權(quán)人進行刑事立案調(diào)查。企業(yè)應按照公安機關的要求提供相應材料。對公安機關應當立案而不予立案的，企業(yè)可到檢察機關申請立案監(jiān)督。8.1概述8.1.1提供商業(yè)秘密保護服務的機構(gòu)可以是行政管理部門、行業(yè)組織、第三方社會服務機構(gòu)等。8.1.2服務機構(gòu)可按照市場化原則，根據(jù)自身力量和企業(yè)需求，聚集、整合商業(yè)秘密保護的服務資源，以設立涵蓋商業(yè)秘密保護的服務平臺等形式，提供宣傳、培訓、咨詢、指導、快速維權(quán)等商業(yè)秘密保護服務。8.1.3提供商業(yè)秘密保護服務的相關人員應具備商業(yè)秘密保護的專業(yè)知識，能及時解決企業(yè)在商業(yè)秘密保護工作中發(fā)現(xiàn)的問題。8.2.1服務機構(gòu)應對管理范圍內(nèi)的企業(yè)開展商業(yè)秘密保護宣傳。8.2.2商業(yè)秘密保護宣傳推廣可通過制作宣傳手冊、派發(fā)宣傳單張、拍攝宣傳視頻等形式，借助報刊雜志、新興自媒體等載體，以“線上+線下”并行、“流動+定點”互補等方式進行。8.2.3可對具有社會影響力、示范意義較大的典型商業(yè)秘密保護案例開展專題宣傳活動。8.3.1服務機構(gòu)應制定培訓方案和計劃，定期組織企業(yè)、服務機構(gòu)工作人員開展商業(yè)秘密保護培訓。8.3.2培訓可采用多種形式開展，培訓形式包括但不限于：——發(fā)放培訓資料；——線下培訓；——在線培訓；——錄課培訓。8.3.3可對企業(yè)不同層次人員開展商業(yè)秘密保護專題培訓：——對企業(yè)股東、高級管理人員開展商業(yè)秘密保護重要性、必要性和戰(zhàn)略性的培訓；——對企業(yè)從事商業(yè)秘密保護工作的專(兼)職人員、重點崗位人員開展商業(yè)秘密保護實務及案例培訓；7——對企業(yè)員工開展商業(yè)秘密保護知識培訓和警示教育。8.3.4對服務機構(gòu)相關部門工作人員可開展商業(yè)秘密保護技能和服務意識提升培訓。8.4保護指導與支持8.4.1服務機構(gòu)可開展商業(yè)秘密保護指導工作，解答企業(yè)商業(yè)秘密保護專業(yè)知識咨詢，為企業(yè)提供商業(yè)秘密保護相關資料。8.4.2服務機構(gòu)可輔導企業(yè)建立和完善商業(yè)秘密保護工作體系，內(nèi)容包括但不限于：——設置商業(yè)秘密保護管理組織；——界定商業(yè)秘密保護范圍；——制定和完善商業(yè)秘密保護管理制度。8.4.3服務機構(gòu)可指導企業(yè)開展商業(yè)秘密保護風險與合規(guī)排查，并進行風險評估和風險提示。8.4.4服務機構(gòu)可引導并協(xié)助企業(yè)做好公證、第三方存證、電子存證等證據(jù)固定。8.4.5企業(yè)被侵權(quán)時，服務機構(gòu)可協(xié)助維權(quán)，包括但不限于：——協(xié)助企業(yè)收集證據(jù)，整理維權(quán)材料；——引導企業(yè)通過合理的途徑依法維權(quán)；——協(xié)助企業(yè)配合行政部門、司法部門等對案件的查處；——協(xié)助做好調(diào)解工作。8.4.6具備條件的服務機構(gòu)等可依相應服務資質(zhì)提供下列專業(yè)服務：——開發(fā)、部署和維護涉密文件、數(shù)據(jù)的信息管理系統(tǒng)；——提供技術(shù)信息的非公知性、同一性和損失數(shù)額的鑒定評估；——提供技術(shù)查新、檢索委托服務；——其他專業(yè)服務。8(資料性)商業(yè)秘密管理內(nèi)容及措施A.1.1企業(yè)宜對確定的商業(yè)秘密進行核查、評估，將商業(yè)秘密劃分等級，商業(yè)秘密的評估可考慮以下因素：——經(jīng)濟價值，包括現(xiàn)有價值和預期價值；——投入成本；——對競爭對手的價值；——內(nèi)部可查閱、使用秘密的范圍；——秘密泄露后可能造成的經(jīng)濟損失；——秘密泄露后可能承擔的法律責任；——其他影響秘密分級的因素。A.1.2商業(yè)秘密泄漏后有可能影響國家安全和利益的，應依法定程序?qū)⑵浯_定為國家秘密。A.2.1企業(yè)宜建立商業(yè)秘密清單，包括商業(yè)秘密名稱、主題、密級、保密期限、知悉范圍、載體、權(quán)屬部門、保存方式、存放地點等。A.2.2可根據(jù)經(jīng)營活動實際以及涉密信息的密級等情況，設定保密期限。涉密信息可預見解密期限的，可以年、月、日計；不可預見期限的，可定為“長期”或者“公開前”。A.2.3可根據(jù)涉密信息的密級以及經(jīng)營需要，確定知悉范圍。知悉范圍應明確限定到具體的業(yè)務部門、具體崗位和具體人員，并按照密級實行分類管理。A.3.1人員管理A.3.1.1入職管理對新入職、轉(zhuǎn)崗到涉密崗位的員工，管理措施包括但不限于：——與員工簽訂含有保密條款的勞動合同或?qū)ｍ棻Ｃ軈f(xié)議，保密條款內(nèi)容應盡可能詳盡、具體；——與重要崗位涉密人員簽訂競業(yè)限制協(xié)議；——做好入職前的背景調(diào)查，必要時與員工簽訂不侵犯他人商業(yè)秘密的承諾函；——在錄用潛在競爭性關系企業(yè)的員工時應：●審核待錄用的員工與原單位之間的保密約定、保密義務、保密內(nèi)容及范圍，以防范該員工在本企業(yè)內(nèi)部公開或使用原單位的商業(yè)秘密；●提醒待錄用的員工不應將原單位的商業(yè)秘密帶入本企業(yè)進行使用或公開，并要求就本項內(nèi)容簽署不侵犯原單位商業(yè)秘密的承諾函；●定期對已入職的員工所從事的業(yè)務內(nèi)容進行審核，以排除使用原單位商業(yè)秘密?！龊蒙虡I(yè)秘密保護教育和培訓，在培訓結(jié)束后宜進行考核，保存相關培訓和考核記錄。9A.3.1.2履職管理對員工的履職管理措施包括但不限于：——督促員工遵守企業(yè)商業(yè)秘密保護管理制度，做好本崗位商業(yè)秘密保護工作：●涉密電子文檔、數(shù)據(jù)、載體、物品等按規(guī)定途徑和要求使用、流轉(zhuǎn)，并應履行審批和登記手續(xù)；●按授權(quán)使用涉密信息系統(tǒng)及網(wǎng)絡；●離開工作崗位前及時下線工作賬戶并設置電腦鎖屏?！獙T工進行監(jiān)督，防止員工未經(jīng)商業(yè)秘密保護部門審批出現(xiàn)下列行為：●超范圍、超權(quán)限或以不正當手段獲取使用涉密信息、物品等；●拍攝、復制、摘抄、仿造、傳播、公開涉密信息；●拍攝、測繪、仿造、公開涉密物品；●進入非授權(quán)涉密區(qū)域等。——定期進行保密教育培訓，并保存培訓記錄。A.3.1.3離職管理對涉密崗位員工轉(zhuǎn)崗、離職的管理措施包括但不限于：——在員工轉(zhuǎn)崗、離職前主動告知保密義務及違規(guī)責任，告知其不應有以下行為：●復制、帶離、損毀、纂改、拍攝涉密紙質(zhì)文檔、物品；●查閱、拷貝、纂改、發(fā)送涉密電子文檔、數(shù)據(jù)；●刪除、更改賬戶；●披露、使用商業(yè)秘密等?！_展離職檢查并做好書面記錄，檢查內(nèi)容包括：●工作電腦數(shù)據(jù)是否完整，是否有復制、刪除痕跡；●是否有對外發(fā)送商業(yè)秘密信息的記錄；●是否有權(quán)限之外的文檔、信息數(shù)據(jù)等；●轉(zhuǎn)崗、離職前一定期限內(nèi)的涉密信息查閱和使用情況等?！唤铀猩婷茌d體和涉密物品，收回門禁、賬號等所有工作權(quán)限；——及時通知與轉(zhuǎn)崗、離職員工有關的供應商、客戶、合作單位等，告知工作交接情況；——向已簽訂競業(yè)限制協(xié)議的員工書面送達競業(yè)限制告知書，告知其保密義務和競業(yè)限制義務，并在法定期限內(nèi)發(fā)放競業(yè)限制補償金，如不需要員工競業(yè)限制的，及時書面告知并由員工進行確認；——及時掌握離職員工在競業(yè)限制期限內(nèi)的任職去向。A.3.2載體管理A.3.2.1電子載體管理對電子載體的管理措施包括但不限于：——涉密非移動電子載體宜禁用移動存儲、光驅(qū)、藍牙等數(shù)據(jù)傳輸功能，未經(jīng)權(quán)限審批不得隨意安裝軟件；——涉密移動電子載體宜設置身份識別等加密措施，不可接入非涉密或未采取保密措施的電子設——對涉密電子載體的制作、使用、保存、維修、銷毀實施全生命周期管理，履行審批和登記手續(xù)，由專人負責并建立臺賬；——涉密電子載體不可擅自外送維修，外送維修前宜經(jīng)商業(yè)秘密保護部門審批，并拆卸涉密存儲設備或清除涉密信息。A.3.2.2紙質(zhì)文檔管理對涉密紙質(zhì)文檔的管理措施包括但不限于：——有密級、保護期限等標識，實行登記管理歸檔存放；——存放在涉密區(qū)域內(nèi)并由專人管理；——按權(quán)限使用，使用涉密紙質(zhì)文檔履行審批和登記手續(xù)；——廢棄涉密紙質(zhì)文檔宜由專人進行銷毀，不宜隨意丟棄。A.3.2.3信息系統(tǒng)管理對信息系統(tǒng)的管理措施包括但不限于：——對涉密信息系統(tǒng)實行分層權(quán)限管理，以“最小夠用”原則設定權(quán)限：●合理分配不同層級賬戶的功能和審批權(quán)限；●合理分配項目中不同賬戶的功能和使用期限；●合理設定不同賬戶的訪問、操作、查看等權(quán)限及其使用期限；●合理設定不同賬戶的互聯(lián)網(wǎng)使用權(quán)限?！獙ι婷苄畔⑾到y(tǒng)采取適當?shù)拿艽a管理方式，如：●不使用默認密碼，不可設置保存密碼自動登錄功能；●限制設置簡單密碼；●不定期更改密碼，最長間隔時間不宜超過三個月；●輸錯密碼一定次數(shù)鎖定賬戶；●同一用戶登錄不同涉密信息系統(tǒng)宜采用不同密碼，確保密碼唯一性；●設置生物識別進行密碼雙重驗證。——宜對所有涉密賬號和密碼實行統(tǒng)一登記、備案、發(fā)放和變更管理；——權(quán)限到期、人員轉(zhuǎn)崗、項目或事項變更時及時回收、變更系統(tǒng)權(quán)限；——在涉密信息系統(tǒng)內(nèi)設置保密義務提醒；——做好病毒防范、查殺和病毒庫的升級等工作；——定期進行安全檢查，發(fā)現(xiàn)系統(tǒng)漏洞及時修補；——定期對涉密信息系統(tǒng)的數(shù)據(jù)、日志等進行備份并妥善保管；——信息系統(tǒng)的管理員權(quán)限宜在不同員工之間進行分配，避免由超級管理員管理整個系統(tǒng)或若干個系統(tǒng)的情況。A.3.3電子數(shù)據(jù)管理對涉密電子數(shù)據(jù)的管理措施包括但不限于：——存儲于企業(yè)授權(quán)的存儲設備和應用系統(tǒng)，不宜存儲于非授權(quán)存儲設備、網(wǎng)絡空間；——對涉密電子數(shù)據(jù)設置加密措施，加密措施宜與載體有所區(qū)別，形成二次加密；——指定專人進行解密操作，員工按權(quán)限使用加密數(shù)據(jù)；——收發(fā)涉密數(shù)據(jù)宜使用唯一出入口，對涉密數(shù)據(jù)流入流出進行審批；——內(nèi)部局域網(wǎng)宜與互聯(lián)網(wǎng)隔離，涉密數(shù)據(jù)網(wǎng)絡傳遞宜通過內(nèi)部局域網(wǎng)或加密互聯(lián)網(wǎng)通道完成；——通過郵件發(fā)送涉密數(shù)據(jù)時，宜加密和簽名，可限定打開次數(shù)、打開時限和編輯權(quán)限；——對外發(fā)送涉密數(shù)據(jù)宜經(jīng)過審批，并采取加密措施，數(shù)據(jù)發(fā)送與密鑰發(fā)送不宜采用同一通道；——宜對涉密數(shù)據(jù)拷貝采取限制措施，拷貝宜履行審批手續(xù)并妥善保存拷貝記錄；——涉密電子數(shù)據(jù)宜做好公證、第三方存證、電子存證等證據(jù)固定；——涉密電子數(shù)據(jù)銷毀時宜確保徹底永久刪除，避免可通過其他技術(shù)手段進行數(shù)據(jù)恢復。A.3.4物品管理對涉密物品的管理措施包括但不限于：——對涉密物品進行標記并單獨存放，存放區(qū)域按照涉密區(qū)域進行管理；——使用涉密物品宜履行審批和登記手續(xù)；——宜對重要原料、部件等實行編號替代、分部門管理等管理方式；——對涉密物品的制作、使用、保存、維修、銷毀實施全生命周期管理，履行審批和登記手續(xù)，由專人負責并建立臺賬；——涉密物品需外出攜帶時宜采取密封、包裝等保密措施；——涉密項目的不良品宜交由專人處理，不可隨意丟棄。A.3.5區(qū)域管理A.3.5.1宜列為涉密區(qū)域的地點或部門包括但不限于：——研發(fā)設計、信息管理、財務、人力資源等部門；——實驗室、重要生產(chǎn)工作場所；——控制中心、服務器機房、信息數(shù)據(jù)中心；——涉密檔案、涉密載體、涉密物品存放地點。A.3.5.2對涉密區(qū)域的管理措施包括但不限于：——宜設置物理隔離，形成獨立、封閉的區(qū)域并設置門禁，張貼明顯標識和警示語；——出入口安裝監(jiān)控和報警裝置，采用有效技術(shù)手段對出入人員進行身份驗證；——出入涉密區(qū)域人員宜