DB3715-T 48-2023 商業(yè)秘密保護管理和服務(wù)規(guī)范

3715I 2 3 3 4 6 9 9 本文件按照GB/T1.1—2020《標準化工作導(dǎo)則第1部分：標準化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定1商業(yè)秘密保護管理和服務(wù)規(guī)范理、人員管理、涉密區(qū)域管理、涉密信息管業(yè)提供的商業(yè)秘密保護服務(wù)，其他組織的商業(yè)秘密保護可參照執(zhí)注1：“不為公眾所知悉”是指權(quán)利人請求保護的信息在侵權(quán)行為發(fā)生時不為所屬領(lǐng)域的相關(guān)人員普遍——該信息僅涉及產(chǎn)品的尺寸、結(jié)構(gòu)、材料、部件注3：“相應(yīng)保密措施”是指權(quán)利人為防止商業(yè)秘密泄露，在被訴侵權(quán)行為發(fā)生以前所采取的合理保密措施。正?！ㄟ^章程、培訓(xùn)、規(guī)章制度、書面告知等方式，對能夠接觸、獲取商業(yè)秘密的員工、前員工、供應(yīng)商、2注5：“經(jīng)營信息”是指與經(jīng)營活動有關(guān)的創(chuàng)意、管理、銷售、財務(wù)、計劃、樣本、招投標材料、客戶信息（包括涉密區(qū)域secret-related注：“計算機”指處理或存儲商業(yè)秘密信息的臺式機涉密載體secret-relatedca存儲介質(zhì)（磁性介質(zhì)、光盤、U盤、硬盤、服務(wù)器等）和涉密數(shù)據(jù)secret-related涉密商務(wù)活動secret-relatedcommerciala涉密人員secret-related4基本原則和總體要求4.1基本原則4.1.1應(yīng)堅持“企業(yè)自主、政府指導(dǎo)、預(yù)4.1.2企業(yè)商業(yè)秘密信息的管理應(yīng)遵循最小夠用原則、最小授權(quán)原則、必注1：最小夠用原則指企業(yè)對相關(guān)信息是否適用商業(yè)秘密保護，應(yīng)根據(jù)預(yù)估技術(shù)信息和經(jīng)營信息的保護成本與實際經(jīng)濟效益之比確定，當預(yù)估技術(shù)信息和經(jīng)營信息的保護成本小于實際經(jīng)濟效益時，應(yīng)考慮作為商業(yè)秘密適用注3：必須授權(quán)原則指根據(jù)本企業(yè)對商業(yè)秘密的分類，知悉和應(yīng)用商業(yè)秘密必須獲得授權(quán)；知悉和應(yīng)用相應(yīng)層級的4.1.3應(yīng)對涉密信息進行嚴格管控，應(yīng)按涉密崗位、業(yè)務(wù)流程等細化分割涉密信息，涉密崗位按權(quán)限34.2.1企業(yè)應(yīng)制定商業(yè)秘密管理目標，確定保密、效率、成本三者之間的關(guān)系。4.2.3企業(yè)應(yīng)對確定的商業(yè)秘密進行分類分級，并4.2.4企業(yè)應(yīng)明確商業(yè)秘密的保密事項，并建立對涉密區(qū)域、涉密物品、涉密載體、涉密人員、涉密4.2.5企業(yè)應(yīng)建立、實施、持續(xù)改進商業(yè)秘密管理體系，將商業(yè)秘密管理貫徹到企業(yè)的全部經(jīng)營活動4.2.6應(yīng)制定和實施有關(guān)商業(yè)秘密的保護、培訓(xùn)、宣傳、泄密應(yīng)急處置和獎懲的管理制度。5.1企業(yè)應(yīng)制定商業(yè)秘密管理的綱領(lǐng)文件，內(nèi)容可包括但不限于商業(yè)秘密管理的目標、基本原則和總體要求，根據(jù)本企業(yè)情況平衡保密、效率、成本三者之間5.2企業(yè)應(yīng)制定商業(yè)秘密管理的運作機制文件，內(nèi)容可包括但不限于商業(yè)秘密管理部門和各業(yè)務(wù)部門5.3企業(yè)應(yīng)制定商業(yè)秘密管理制度，內(nèi)容包括但不限于：——檢查與改進。46.1企業(yè)的商業(yè)秘密管理工作應(yīng)由企業(yè)最高管理者牽頭，6.2企業(yè)應(yīng)設(shè)立商業(yè)秘密保護部門或依托相關(guān)部門開展商業(yè)秘密保6.3企業(yè)的分支機構(gòu)、子公司和關(guān)聯(lián)企業(yè)可參照設(shè)置商業(yè)秘密保護部門和專（兼）職保密員。6.4應(yīng)分析確定企業(yè)的商業(yè)秘密保護重點部門和重點崗位，劃定商業(yè)秘密保護重點區(qū)域，應(yīng)在涉及商6.5企業(yè)的商業(yè)秘密保護部門和保密員應(yīng)履行以下——制定商業(yè)秘密管理標準、制度和流程；——組織企業(yè)員工進行商業(yè)秘密保護宣傳、培訓(xùn)、考核；——會同各部門對相關(guān)保密制度及其落實情況進行檢查及督促整改；——履行商業(yè)秘密泄露的證據(jù)整理、搜集、舉證、協(xié)助調(diào)查取證等工作。7.1.2企業(yè)應(yīng)定期對商業(yè)秘密進行核查和評估，制定本企業(yè)商業(yè)秘密保護清單，確定商業(yè)秘密保護范7.1.3根據(jù)信息泄露會使企業(yè)的經(jīng)濟利益遭受損害的程度，可以將商業(yè)秘密分為核心商業(yè)秘密、普通——商業(yè)秘密信息對企業(yè)的重要程度；5——商業(yè)秘密泄露后產(chǎn)生的經(jīng)濟損失；——商業(yè)秘密泄露后可能承擔的法律責任；——對商業(yè)秘密采取保密措施所需的成本。7.1.5企業(yè)應(yīng)設(shè)定商業(yè)秘密的保密期限?？梢灶A(yù)見時限的以年、月、日計，不可以預(yù)見時限的應(yīng)當定7.1.6企業(yè)商業(yè)秘密的密級和保密期限一經(jīng)確定，應(yīng)當在秘密載體上作出明顯標志。標志由權(quán)屬（單7.1.7企業(yè)應(yīng)根據(jù)商業(yè)秘密的內(nèi)容和密級，確定相關(guān)涉密崗位權(quán)限和接觸商業(yè)秘密的7.2.1企業(yè)和企業(yè)內(nèi)各部門在進行生產(chǎn)、經(jīng)營、宣傳等活動中應(yīng)當對商業(yè)秘密信息予以隱藏?？刹扇　[藏或刪除涉密信息；——隱藏或刪除涉密信息；7.2.3配合行政機關(guān)和部門的行政檢查、行政執(zhí)法行動如涉及商業(yè)秘密的，企業(yè)應(yīng)主動提醒該檢查涉7.3.1商業(yè)秘密管理組織經(jīng)對商業(yè)秘密保護清單進行核查和評估，認為特定商業(yè)秘密事項已不再具有67.4.1銷毀涉及商業(yè)秘密的文件資7.4.2可采取下列方式對銷毀過程進——其他合適的方式。78.1.1新入職、轉(zhuǎn)崗到涉密崗位的員工，應(yīng)與其簽訂與崗位工作內(nèi)容相適應(yīng)的商業(yè)秘密保護協(xié)議，商8.1.2高級管理人員、高級技術(shù)人員及其他負有保密義務(wù)的人員（如職業(yè)經(jīng)理人、技術(shù)、采購、銷售），8.1.3涉密重點崗位員工入職前應(yīng)做背景調(diào)查，必要時應(yīng)要求其作簽署不侵犯原企業(yè)商業(yè)秘密的承諾函，不侵犯原企業(yè)商業(yè)秘密的承諾函參見附錄E；——定期對已入職的員工所從事的業(yè)務(wù)內(nèi)容進行審核，以排除使用原單位商業(yè)秘密。8.2.1商業(yè)秘密保護培訓(xùn)應(yīng)列入企業(yè)年度培訓(xùn)計劃，使在職員工對商業(yè)秘密可能泄露的異常狀態(tài)及承8.2.2應(yīng)對新入職涉密崗位的人員進行商業(yè)秘密保護培8.2.3可采取發(fā)放資料、集中培訓(xùn)、網(wǎng)絡(luò)培8.2.4簽訂員工保密合同/協(xié)議的人員在培訓(xùn)結(jié)束后應(yīng)進行考核，保存相關(guān)考核材8.3.1員工所在的業(yè)務(wù)部門應(yīng)督促員工熟悉并遵守企業(yè)制定的各項商業(yè)秘密管理制度，按以下要求以——獲取、使用、披露企業(yè)的商業(yè)秘密信息要保留相應(yīng)的記錄；——不使用非授權(quán)設(shè)備、網(wǎng)絡(luò)、賬號。8管理體系、措施、技術(shù)手段存在的漏洞，對采納的線索或8.3.3企業(yè)員工參加的工作會議等活動涉及商業(yè)秘密的，可采取以下保密措施：——使用保密會議室；——告知其保密要求或簽署保密承諾；8.4.1涉密崗位員工轉(zhuǎn)崗、離職前，企業(yè)應(yīng)主動告知保密義務(wù)，以及若違反規(guī)定應(yīng)承擔的相應(yīng)法律責——查閱、拷貝、纂改、發(fā)送涉密電子文檔、數(shù)據(jù)；——刪除、更改賬戶；8.4.2提醒轉(zhuǎn)崗、離職員工主動移交一切涉密載體和物8.4.3應(yīng)對其采取適當措施進行脫密，及時回收系統(tǒng)權(quán)限，并及時通知與轉(zhuǎn)崗、離職員工有關(guān)的供應(yīng)——轉(zhuǎn)崗、離職前一定期限內(nèi)的涉密文檔、數(shù)據(jù)的8.4.5應(yīng)與離職涉密重點崗位員工簽訂競業(yè)限制協(xié)議等商業(yè)秘密保護確認文書，競業(yè)限制協(xié)議應(yīng)根據(jù)98.4.6應(yīng)及時掌握離職員工在競業(yè)限制期限內(nèi)的任職去9涉密區(qū)域管理9.2涉密區(qū)域應(yīng)限制非相關(guān)人員進入，確因工作需要進入的應(yīng)履行審批手續(xù)并全程監(jiān)督。9.3應(yīng)識別涉密區(qū)域，區(qū)域入口處張貼涉密區(qū)域標志和警示語。應(yīng)將下列部門或地點列為涉密重點區(qū)——模具、專用夾具、重要零部件等的存放區(qū)；——重要原材料、重要半成品等涉密物資存放區(qū)等?！獎澏ㄏ鄬Κ毩⒌目臻g，進出口有涉密區(qū)域標識；——限制使用具有錄音、攝像、拍照、信息存儲等功能的設(shè)備；——必要時采取網(wǎng)絡(luò)隔離阻斷等。10.1.1應(yīng)有密級、保護期限等標識，實行登記管理、應(yīng)履行審批和登記手續(xù)，復(fù)印件或復(fù)制件與原件的密級、保密期限10.2.1應(yīng)充分考慮設(shè)備、系統(tǒng)的安全性，做好賬戶、密碼的收集——用戶的操作行為應(yīng)有日志記錄，可實時報告登陸、獲取信息和異常入侵等行為?！皇褂媚J密碼或保存密碼自動登陸；——對所有涉密賬號和密碼實行統(tǒng)一登記、備案、發(fā)放和變更管理?！诵拿孛堋⒅匾孛艿燃壍臄?shù)據(jù)應(yīng)采用加密方式存儲；——指定專人進行解密操作，員工按照權(quán)限使用加密數(shù)據(jù)；——應(yīng)對涉密數(shù)據(jù)拷貝采取限制措施，經(jīng)審核批準后方可拷貝，妥善保存拷貝記錄。取標記、分類、隔離、加密、封存、限制使用等10.3.4涉密載體、涉密物品的存放地點應(yīng)設(shè)為涉密重點區(qū)域，應(yīng)采取訂商務(wù)合作保密合同/協(xié)議，并約定商業(yè)秘密權(quán)屬、保密范圍、保密措施、失密應(yīng)急處理、違約責任追究、爭議解決機制與程序等內(nèi)容；在進行委托開發(fā)或合作開發(fā)時，也應(yīng)簽訂商務(wù)合作保密合同/協(xié)議，——選擇具有保密條件的場所；顯保密和會后回收標識；休會或會議結(jié)束時，及時10.4.7在共同或委托開發(fā)的項目合作中應(yīng)采取措施防止侵犯他人商業(yè)秘密，簽訂保密合——證據(jù)收集、固定方案；——企業(yè)是該商業(yè)秘密的權(quán)利人的證據(jù)；——該商業(yè)秘密被侵犯所造成的損害。——不符合刑事立案條件的可向市場監(jiān)督管理部門舉——涉密網(wǎng)絡(luò)的出、入口應(yīng)實時監(jiān)控；——涉密人員的管理；——涉密區(qū)域的管理；——操作系統(tǒng)、辦公軟件、信息系統(tǒng)的賬號、權(quán)限。12.5針對定期評估報告發(fā)現(xiàn)的管理漏洞制定改進方業(yè)秘密保護的服務(wù)資源，提供商業(yè)秘密保護13.3園區(qū)管理機構(gòu)應(yīng)積極協(xié)調(diào)職能部門或社會組織設(shè)立13.4園區(qū)管理機構(gòu)、行業(yè)協(xié)會和第三方社會服務(wù)機——引導(dǎo)企業(yè)建立和完善商業(yè)秘密保護工作體1.管理層會議、其他會議的會議紀要及上述議//7.處理勞動工作中重大突發(fā)事件或不安定因素的對策及正在調(diào)查中的職工安定因素的對策及正）；）；）；）；）；）； 居民身份證號碼：（1）嚴守對其前工作單位或合作單位的保密義務(wù)，在甲方工作期間不泄露、不使用其在前單（3）在甲方工作期間不違反與其前工作單位的競業(yè)限制約定，不從事與其前工作單位具有競業(yè)秘密內(nèi)容的甲方客戶或第三人進行必要的保密性交流10.發(fā)現(xiàn)第三人以盜竊、賄賂、欺詐、脅迫、電子侵入或其他不正當手秘密時，即向商業(yè)秘密保護部門報告，并積極采取保護的必要措數(shù)據(jù)商業(yè)秘密；以電子侵入或非法侵入方式使用電腦、獲取存儲的商業(yè)秘密或聯(lián)系人、聯(lián)系人習(xí)慣、聯(lián)系方式、聊天工具、電子郵箱、交易習(xí)慣、合同關(guān)系、合同內(nèi)容、傭金或折方支付違約金為萬元。甲方遭受到的損失難以計算時，賠償額為 關(guān)系的組織，以及從事與甲方業(yè)務(wù)相同或相似的業(yè)務(wù)，無論在該組織中任何職，無論全六、雙方確認，競業(yè)限制的范圍為為則應(yīng)書面告知甲方，否則由乙方承擔相應(yīng)責任。乙方在甲項目負責人及聯(lián)系方式：法定代表人：統(tǒng)一社會信用代碼：