公司保密體系建設及措施

公司保密體系的建設及措施隨著公司規(guī)模的擴大及業(yè)務的拓展，公司對保密工作的需求越來越強烈，為企業(yè)發(fā)展構建安全屏障成為需解決的問題，結合公司的實際情況考慮保密體系的建設，不能單單依靠技術層現(xiàn)實現(xiàn)保密的作用，而應該將公司管理、業(yè)務流程及技術手段結合起來，用制度約束人，進而形成新的安全運作模式。一、保密體系的目標由于公司的性質及保密程度的高低，建立一個以預防發(fā)現(xiàn)和消除泄密隱患為主的保密體系，將保密制度及保密手段滲透到業(yè)務流程的各個環(huán)節(jié)，減少不必要的可能發(fā)生泄密的環(huán)節(jié)，而且一旦發(fā)生泄密情況，以責任人為點，業(yè)務流程為線，能夠在最短時間找到泄密點加以補救或懲罰責任人。保證公司的業(yè)務運行終處于受控狀態(tài)，使保密管理無縫隙、無漏洞，將保密管理工作納入系統(tǒng)化、規(guī)范化、效率化的軌道。二、保密體系的構建綜合保密體系的目標，擬從六個方面構建我公司的安全保密體系：保密管理宣傳教育體系、保密管理規(guī)章制度體系、保密管理組織機構體系、保密管理定密工作體系、保密管理技術防護體系、保密管理監(jiān)督檢查體系。具體如下：（一）保密管理宣傳教育體系作為公司發(fā)展的安全屏障，加強安全保密教育培訓，加強信息安全基礎知識及防護技能的培訓，尤其是個人終端安全技術的培訓，以便提高受培訓人員的安全保密意識，以及檢查入侵、查處失泄密事件的能力。保密管理宣傳教育體系可分為三個部分組成：1、入職崗前培訓。對新員工進行公司企業(yè)文化培訓，普及一般的保密規(guī)定。此培訓可由人力資源制定、實施；2、轉職崗中培訓。各部門根據(jù)工作需要制定本部門切實有效的培訓內(nèi)容，對轉入人員的崗位職能及可能涉及的保密事項予以集中培訓。3、涉密工作培訓。公司機要部門或重要涉密崗位的專門培訓，對于特殊職務人員可簽訂競業(yè)禁止協(xié)議。（二）保密管理規(guī)章制度體系以制度約束人，建立系統(tǒng)、規(guī)范、有效的保密體系需要全面可行的管理制度，故而保密管理規(guī)章制度體系是整個保密體系的核心，考慮到各職能部門的業(yè)務內(nèi)容，建議由各職能部門根據(jù)崗位職能及工作性質制定安全有效的管理制度和工作流程。在此可分劃為如下幾個部分：公司保密管理制度、領導干部保密制度、機要部門及各職能部門保密制度、文件檔案管理制度及涉密計算機及移動存儲介質使用管理制度。1、公司保密管理制度。適用于全體員工，可作為入職培訓的內(nèi)容之一，屬于普適的一類制度。2、領導干部保密制度。此領導干部主要指部門主管、分管副總以及總經(jīng)理等必須涉及保密事項的領導，關系到公司決策內(nèi)容及重要業(yè)務的嚴密性。3、各職能部門保密制度。由各部門自行制定嚴密可行的制度規(guī)范，并嚴格執(zhí)行。4、文件檔案管理制度。公司文件原件統(tǒng)一歸文件檔案管理部門整理歸檔，由該部門制定管理制度，根據(jù)文件密級、重要性不同分別制定不同的管理制度。5、涉密計算機及移動存儲介質使用管理制度。從信息安全管理的角度，為保護涉密信息，消除或降低泄密風險，制訂相關使用規(guī)范，例如：禁止（工作或技術人員）將涉密軟盤或移動存儲設備帶出涉密場所；嚴禁（使用人員將）涉密計算機（連）上互聯(lián)網(wǎng)；不允許（參觀人員）在涉密場所拍照、錄像等。（三）保密管理組織機構體系建立健全與公司業(yè)務發(fā)展相適應的安全保密工作組織機構體系，集中和優(yōu)化保密資源，在公司業(yè)務發(fā)展過程中自動啟動保密工作流程，在不影響工作效率的情況下提高業(yè)務的保密程度，進而預防商業(yè)泄密的發(fā)生。公司涉密工作監(jiān)督檢查小組成員主要有：總經(jīng)理（負責公司所有事項的最終決策）；主管副總（負責定密及具體業(yè)務事項的復審工作）；各業(yè)務部門經(jīng)理（負責密級建議及業(yè)務初審）；檔案管理部門（根據(jù)密級不同分發(fā)傳閱公司決策或存檔文件）。其結構及工作流程圖如下：總經(jīng)理（負責公司所有事項的最終決策）劃分業(yè)務密級各業(yè)務部門經(jīng)理（負責密級建議及業(yè)務初審）根據(jù)密級上報工作各項工作承辦責任人（負責具體業(yè)務工作的實施）發(fā)文或傳閱發(fā)文或傳閱劃分密級后頒布檔案管理部門總經(jīng)理（負責公司所有事項的最終決策）劃分業(yè)務密級各業(yè)務部門經(jīng)理（負責密級建議及業(yè)務初審）根據(jù)密級上報工作各項工作承辦責任人（負責具體業(yè)務工作的實施）發(fā)文或傳閱發(fā)文或傳閱劃分密級后頒布檔案管理部門（根據(jù)密級不同分發(fā)傳閱公司決策）業(yè)務工作審批公司決策文件各主管副總（負責定密及具體業(yè)務事項的復審工作）業(yè)務工作審批業(yè)務工作審批（四）保密管理定密工作體系公司中所涉業(yè)務量較大，根據(jù)信息的重要程度對所涉及的商業(yè)秘密進行定密劃分并根據(jù)相應密級制定具體工作流程，本定密體系將可能涉及的商業(yè)秘密劃分為絕密、機密及秘密三類，根據(jù)密級的不同規(guī)定了相應的保密工作流程，泄密處罰方式等規(guī)定。商業(yè)秘密的密級和保密期限一經(jīng)確定，應當在秘密載體上作出明顯標志。標志由主要承辦負責人、密級、保密期限三部分組成。商業(yè)秘密需變更密級、保密期限、知悉范圍或者在保密期限內(nèi)解密的，由業(yè)務承辦部門擬定，主管副總審批，檔案管理辦公室備案。保密期限已滿或者已公開的，自行解密。商業(yè)秘密的密級、保密期限發(fā)生變更，應當在原標明位置的附近作出新標志，原標志以明顯方式廢除。保密期限內(nèi)解密的，應當以能夠明顯識別的方式標明“解密”的字樣。總體來說，公司商業(yè)秘密可分為兩個部門：一是自下而上的業(yè)務部門所涉及的商業(yè)秘密；二是自上而下形成的公司經(jīng)營性、戰(zhàn)略性的管理文件、信息等機要秘密。根據(jù)此兩種商業(yè)秘密的形成及執(zhí)行情況的不同，可分別設定如下定密工作流程：自下而上的業(yè)務秘密。公司業(yè)務部門所涉商業(yè)秘密及其密級、保密期限和知悉范圍，由該事項主要承辦業(yè)務部門擬定，主管副總審批，檔案管理部門備案。自上而下的重要秘密。公司發(fā)展方向、業(yè)務拓展等由公司高層領導決定實施的商業(yè)機密，由公司總經(jīng)理根據(jù)事項的重要程度予以劃定密級，由所涉主管副總根據(jù)密級不同指導相關部門或人員予以執(zhí)行。企業(yè)根據(jù)工作需要嚴格確定商業(yè)秘密的知悉范圍。知悉范圍應當限定到具體崗位和人員，并按照涉密程度實行分類管理。（五）保密管理技術防護體系企業(yè)與員工簽訂的勞動合同中應當含有保密條款。企業(yè)與涉密人員簽訂的保密協(xié)議中，應當明確保密內(nèi)容和范圍、雙方的權利與義務、協(xié)議期限、違約責任等。企業(yè)應當根據(jù)涉密程度等與核心涉密人員簽訂競業(yè)限制協(xié)議，協(xié)議中應當包含經(jīng)濟補償條款。對涉密崗位較多、涉密等級較高的部門（崗位）或區(qū)域，應當確定為商業(yè)秘密保護要害部門（崗位）或者涉密區(qū)域，加強防范與管理。加強涉及商業(yè)秘密的計算機信息系統(tǒng)、通訊及辦公自動化等信息設施、設備的保密管理，保障商業(yè)秘密信息安全，做好涉密計算機及移動存儲介質的技術防護工作。（六）保密管理監(jiān)督檢查體系如發(fā)生商業(yè)秘密泄密事件，由本企業(yè)涉密工作監(jiān)督檢查小組根據(jù)泄密信息密級的不同確定知悉該秘密的人群范圍，查找泄密點，并將責任人提交相關部門依法依規(guī)進行處理。為了保持公司保密體系的積極性和效率性，在商業(yè)秘密保護工作中，對成績顯著或作出突出貢獻的部門和個人，應當給予表彰和獎勵。公司保密制度提要部門經(jīng)理應當迅速查明被泄露的公司秘密的內(nèi)容和密級，造成或者可能造成危害的范圍和嚴重程度`事件的主要情節(jié)和有關責任者，并將情況書面報告總經(jīng)理。1總則1．1為保守公司秘密，維護公司的利益，制定本制度。1．2公司秘密是指關系公司的利益，依照一定程序確定，在一定時間內(nèi)只限一定范圍的人員知悉的，經(jīng)公司采取保密措施并具有實用性的技術信息和經(jīng)營信息。1．3公司的所有人員都有保守公司秘密的義務。1．4保守公司秘密的工作，實行積極防范，突出重點，既確保公司秘密，又便于各項工作的方針。1．5總經(jīng)理主管保守公司秘密的工作，各部門主管在其職權范圍內(nèi)負責本部門保守公司秘密的工作。1．6在保守公司秘密方面做出顯著成績的個人和部門，應當給予獎勵，對違反本制度者給予處罰。2秘密的范圍：2．1股東及董事會活動資料；2．2重大決策方案及行動計劃；2．3客戶的資料及供應商資料；2．4財務資料；2．5一切裝備的技術資料；2．6專有技術和決竅；2．7重大的人事變動信息；2．8一切成文的規(guī)章制度和管理文件；2．9各類合同；2．10所設計的圖文資料；2．11公司認為其他重要的資料。3密級劃分：3．1公司秘密的密級分為絕密、機密、秘密三級。3．11絕密是最重要的公司秘密，泄密會使公司的利益受到特別嚴重的損害；3．12機密是重要的公司秘密，泄密會使公司受到嚴重的損害；3．13秘密是一般的公司秘密，泄露會使公司的利益受到損害。3．2屬于公司秘密的文件`資料，應當在文件的右上角標明密級。3．3秘密等級的劃分由總經(jīng)理起草，經(jīng)董事長批準后，由總經(jīng)理組織實施。3．4對公司所產(chǎn)生的秘密事項應當及時確定密級，最遲不得超過10日，對以往的文件應于本制度發(fā)布后三個月內(nèi)整理完畢，并確定密級。3．5對是否屬于公司秘密和屬于何種密級不明確的事項，應由產(chǎn)生該事項的部門主管應在3天內(nèi)擬定密級，報總經(jīng)理批準。3．6絕密文件的保密期限為長久，機密文件的保密期限為10年，秘密文件的保密期限為5年。4保密措施4．1絕密的文件資料分別由董事長和總經(jīng)理親自保管，必要時也可特別委托可靠人員按照規(guī)定的制度保管，機密和秘密的文件資料由文檔秘書保管。4．2密級文件必須在設備完善的保險裝置中保存。4．3非經(jīng)原確定密級的人批準，任何人不得借閱`復制和摘抄。接觸公司秘密的人員范圍由確定密級的人限定。4．4接收涉及公司秘密的傳真`信件，由接收員馬上交給文檔秘書登記后，由文檔秘書交相關人員。4．5寄發(fā)公司秘密，由文檔秘書負責，并登記備案。4．6外出需攜帶公司保密文件，必須經(jīng)領導批準，由文檔秘書登記，本人簽字，由文檔秘書開給《保密文件外攜許可單》，憑單由保安放行。返回后要及時到文檔秘書處核銷登記。4．7對涉及公司秘密的場所，非經(jīng)總經(jīng)理批準，任何人不準進入。4．8不準在私人交往和通信中泄露公司秘密，不準在公司內(nèi)外談論公司秘密。4．9對涉及公司秘密內(nèi)容的會議，應采取下列保密措施：4．91選擇具備保密條件的會議場所；4．92指定參加會議人員；4．93確定會議內(nèi)容是否傳達及傳達的范圍。4．94由專人記錄會議，其他人不得記錄會議內(nèi)容。4．95會議文件分發(fā)應編號，閱后收回。4．10公司對主管及相關員工，每年進行兩次保密教育，定期檢查保密工作。4．11公司人員應養(yǎng)成良好的保密習慣，做到：4．111不是自己應知道的事，不應問；4．112對別人不應知道的事，不應說；4．12公司人員如發(fā)現(xiàn)公司秘密已經(jīng)泄露時，應當立即采取補救措施，并及時報告部門主管和總經(jīng)理。部門經(jīng)理應當迅速查明被泄露的公司秘密的內(nèi)容和密級.fdcew.，造成或者可能造成危害的范圍和嚴重程度`事件的主要情節(jié)和有關責任者，并將情況書面報告總經(jīng)理。5解除和降低密級5．1符合下列條件的文件屬于可解除或降低密級：5．11規(guī)定的保密期限屆滿；5．12已有新的替代文件出現(xiàn)；5．13外界情況已經(jīng)變化，原密級已無必要的文件；5．14發(fā)生了其他可以解密和密級降低的情況；5．2解密和降低密級由文檔秘書提出清單，報總經(jīng)理批準后執(zhí)行；5．3解密和降低密級操作由總經(jīng)理委托專人監(jiān)管，文檔秘書具體實施；5．4文件解密后一律當場銷毀；5．5銷毀程序為：公司總經(jīng)理委托專人按清單一一核對正確無誤，用碎紙機或燃燒的方式進行。6獎懲6．1凡有下列表現(xiàn)之一的公司員工，公司根據(jù)其貢獻給予獎勵100--100