DB34T 4533-2023 企業(yè)商業(yè)秘密管理體系要求VIP

34Enterprisetradesecretmanagementsystems—RequireI 2 2 2 2 3 3 3 3 3 4 4 4 5 5 5 5 5 6 6 8 8 8 8 9 9 9 本文件按照GB/T1.1—2020《標準化工作導則第1部分：標準化文件的結構和起草規(guī)則》的規(guī)定本文件由安徽省市場監(jiān)督管理局反壟斷和反不正當競爭執(zhí)法1企業(yè)商業(yè)秘密管理體系要求注2：管理體系要素規(guī)定了組織的結構、崗位和職責、策劃、運行、方針、慣例、規(guī)則、理念、目標，以及實現(xiàn)這注3：管理體系的范圍可能包括整個組織，組織中可被明確識別的職能或可被明確識別的部門，以及跨組織的單一2注2：如果管理體系的范圍僅覆蓋組織的一部分，在這種情況下，最高管理者是指管理和控制組織的這部分的一個注3：目標可以采用其他的方式進行表述，例如：采用預期的結果、活動的目的或運作準則，或使用其他有類似含4企業(yè)所處的環(huán)境4.1理解企業(yè)及所處的環(huán)境a)外部因素可包括國內(nèi)外的法律法規(guī)、技術、競爭、市場、文化、社會和經(jīng)濟環(huán)境等；b)內(nèi)部因素可包括企業(yè)價值觀、文化、戰(zhàn)4.2理解相關方的需求和期望a)與商業(yè)秘密管理體系有關的相關方，包括但不限于：商業(yè)秘密權利人、員工、顧客、供方、b)與商業(yè)秘密管理體系有關的相關方的要求，包括但不限于：企業(yè)規(guī)章制度、合同約定、法律4.3確定商業(yè)秘密管理體系的范圍34.3.1企業(yè)應確定商業(yè)秘密管理體系的邊界和適用性，以確定其范圍。在確定范圍時，企業(yè)應考慮：d)權利人的技術信息、經(jīng)營信息等商業(yè)信息。4.3.2企業(yè)商業(yè)秘密管理體系應包括在企業(yè)控制下或在其影響范圍內(nèi)可能影響企業(yè)商業(yè)秘密管理績效4.3.3范圍應作為成文信息，可獲得并得到保持。4.4商業(yè)秘密管理體系4.4.1企業(yè)應按照本文件的要求建立、實施、保持和持續(xù)改進商業(yè)秘密管理體系，包括所需過程及其4.4.2在必要的范圍和程度上，企業(yè)應：a)保持成文信息以支持過程運行，如商業(yè)秘密管理方針、商業(yè)秘密管理目標、商業(yè)秘密管理文b)保留成文信息以確信其過程按策劃進行，如本文件要求形成文件的程序和記錄。5.1領導作用和承諾最高管理者應通過以下方面，證實其對商業(yè)秘密管理體系的領導作a)確保建立商業(yè)秘密管理方針和目標，與企業(yè)戰(zhàn)略方向及所處的環(huán)境一致；b)確保將商業(yè)秘密管理體系要求融入企業(yè)的相關業(yè)務過程中；d)就有效的商業(yè)秘密管理和符合商業(yè)秘密管理體系要求的重要性進行溝通；e)確保商業(yè)秘密管理體系達到預期結f)指導并支持相關人員為商業(yè)秘密管理體系的有效性做出貢獻；h)支持其他相關管理人員，以證實在其職責范圍內(nèi)發(fā)揮領導作用；最高管理者應建立、實施和保持商業(yè)秘密管理方針，a)與企業(yè)的宗旨和所處的環(huán)境相適宜；b)為建立商業(yè)秘密管理目標提供框架；c)包含滿足法律法規(guī)要求和其他要求的承d)包含持續(xù)改進商業(yè)秘密管理體系的4a)確保商業(yè)秘密管理體系符合本文件的要求；b)向最高管理者報告商業(yè)秘密管理體系的績效以及改進機會。6.1.1.1在策劃商業(yè)秘密管理體系時6.1.1.3企業(yè)應確定其商業(yè)秘密管理體系范圍內(nèi)的潛在緊急情況，包括那些可能發(fā)生商業(yè)秘密泄漏和——6.1.1~6.1.3中所需的過程，其詳盡程6.1.2.1企業(yè)應建立風險和機遇的評估準則，識別和分析其活動、產(chǎn)品和服務中能夠控制和能夠施加影響的商業(yè)秘密相關風險和機遇，并確定相應的管理措6.1.2.2企業(yè)應保持以下方面的成文當策劃措施時，企業(yè)應考慮最佳實踐、可選技術方5企業(yè)應在相關職能和層級上建立商業(yè)秘密管理目標在策劃如何實現(xiàn)商業(yè)秘密管理目標時，企業(yè)應f)如何將實現(xiàn)商業(yè)秘密管理目標的措施融入其業(yè)務過企業(yè)應確定并提供建立、實施、保持和持續(xù)改進商業(yè)秘密管理體系所需的a)配備所需的人員，以有效實施商業(yè)秘密管理體系，并運行和控制其過程；b)提供并維護所需的基礎設施設備，支撐商業(yè)秘密管理過程的運行；c)提供必要的經(jīng)費，以保障商業(yè)秘密管理過程的運行。a)確定影響商業(yè)秘密管理績效和有效性的人員所需具備的能力；b)基于適當?shù)慕逃⑴嘤柣蚪?jīng)歷，確保人員具備勝任工作的能力；c)在適用時，采取措施以獲得和保持所必需的能力，并評價所采取措施的有效性；d)保留適當?shù)某晌男畔?，作為人員能力的6c)不符合商業(yè)秘密管理體系要求的后7.4.2企業(yè)應建立必要的分層溝通機制，確保與商業(yè)秘密管理體系有關的內(nèi)部溝通和外部溝通，并應——應確保所溝通的信息與來源于商業(yè)秘密管理體系的信息一致且可信。注：通常包括商業(yè)秘密管理方針、商業(yè)秘密管理目標、商業(yè)秘密管理文件等。a)標識和說明（如標題、日期、作者、索引編號b)形式（如語言、軟件版本、圖表）和載體（如紙質(zhì)的、電子的c)評審和批準，以確保適宜性和充分7.5.3.1應控制商業(yè)秘密管理體系和本文件所要求的成文信息，以a)予以妥善保護（如防止泄密、不當使用或缺失a)分發(fā)、訪問、檢索和使用；b)存儲和防護；7.5.3.3對于確定的策劃和運行商業(yè)秘密管理體系所必需的來自外部的成文信息，企業(yè)應進行適當識77.5.3.4對所保留的、作為符合性證據(jù)的成文信息應予以保護，防止非預期8.1.1為滿足商業(yè)秘密管理體系的要求，a)確定商業(yè)秘密管理要求；e)在必要的范圍和程度上，確定并保持、保留策劃和控制過程的成文信息，以確信過程已經(jīng)按8.1.2企業(yè)應確保對外部提供的與商業(yè)秘密8.1.3企業(yè)應控制策劃的變更，評審非預期變更的后果，必要時，采取措施減輕不利影響。企業(yè)應按照8.1的要求開展商業(yè)秘密的管理工作a)識別和確定商業(yè)秘密；b)采取措施隱藏商業(yè)秘密；d)解除不具有保密價值或由于特定因素導致被公開的商業(yè)秘密；企業(yè)應按照8.1的要求開展涉密事項的管理工作a)識別和確定涉密事項（如涉密人員、涉密載體、涉密物品、涉密區(qū)域、涉密商務活動等企業(yè)應定期對涉密事項管理措施進行評審。附錄A給出了a)針對商業(yè)秘密泄密、侵權等緊急情況策劃應急預案；b)為所策劃的響應提供培訓；8企業(yè)應對已發(fā)生或疑似發(fā)生的泄密、侵權等緊急情況做出響應，a)啟動對商業(yè)秘密泄漏、侵權等緊急事件的核查，確認事件發(fā)生的事實和過程；b)分析商業(yè)秘密泄漏或侵權原因，判斷是否侵權，并評估事件的嚴重程度；c)收集和固定商業(yè)秘密相關證據(jù)；必要時，可委托律師調(diào)查取證、通過公證機構取證、向法院9績效評價9.1監(jiān)視、測量、分析與評價9.1.1企業(yè)應建立、實施和保持用于監(jiān)視、測量、b)適用時的監(jiān)視、測量、分析與評價的方法，以確保得到有效的結果；e)何時應分析和評價監(jiān)視和測量的結9.1.2企業(yè)應評價其商業(yè)秘密績效和商業(yè)秘密管理體系的有效性。9.2.1總則企業(yè)應按照策劃的時間間隔進行內(nèi)部審核，a)是否符合企業(yè)自身的商業(yè)秘密管理體系要求和本文件要求；a)在考慮相關過程的重要性和以往審核結果的情況下，策劃、建立、實施和保持審核方案，審b)規(guī)定每次審核的審核準則和范圍；c)選擇審核員并實施審核，以確保審核過程的客觀性和公正性；e)采取措施，以應對不符合和持續(xù)改進其商業(yè)秘密9.3管理評審9.3.1總則99.3.2管理評審輸入b)與商業(yè)秘密管理體系相關的內(nèi)外部因素的變化；e)應對風險和機遇所采取措施的有效h)監(jiān)視測量的結果；9.3.3管理評審輸出b)評審和分析不符合，確定不符合的原因，確定是否存在或者可能發(fā)生類似的不符合；評價等，以確定是否存在需求和機遇，這些需求和機遇10.2.2企業(yè)應持續(xù)改進商業(yè)秘密a)應制定涉密人員管理制度，明確涉密人員的應聘、入職、在職、離職等環(huán)節(jié)的管理要求；b)應對涉密崗位的應聘人員進行保密事項提醒，對涉密崗位的擬入職人員進行背景調(diào)查；應要求其做出不侵犯前雇主的商業(yè)秘密、不違反與前雇主簽訂的競業(yè)限制協(xié)議等承可簽署競業(yè)限制協(xié)議；開展新入職人員的保密教育培訓，培訓結束后并進行考核，保存培d)應對在職人員進行管理，建立涉密人員名單，實施分級管理；定期開展保密教育培訓，對e)應對涉密人員離職進行管理，對其使用的涉密設備、涉密載體、涉密文件及相關物品進行清查并移交；開展離職面談，告知其離職后應負有的保密義務；應完成涉密載體的交接，f)應對聘任或委托外聘的專家、顧問、翻譯、律師等可能接觸涉密信息的外部人員簽訂保密協(xié)議或保密承諾書，宜進行背景調(diào)查；臨時訪問人員需要接觸或可能接觸商業(yè)秘密時，應經(jīng)審批和登記，簽訂保密協(xié)議或保密承諾書，并安排保密人員全a)應制定涉密載體管理制度，明確涉密載體的識別和確定、制作、使用、保存、維修和銷毀b)應識別和確定企業(yè)所有涉密載體，建立涉密載體臺賬，宜按照涉密信息的密級和性質(zhì)進行分類，實行分級管理；應定期對涉密載體進行清點和核查，確定涉密載體的數(shù)量、位置、c)涉密載體制作過程應進行保密，由專人負責制作、收轉(zhuǎn)、存檔，并在涉密載體的適當位置d)涉密載體的使用（包括查閱、借閱、復印、拷貝等）應履行審批和登記手續(xù)，并對涉密載e)涉密載體應保存在涉密區(qū)域的專用設備中，并由專人負責保管；涉密載體的維修，應指定f)涉密載體的維修和銷毀應履行審批和登記手續(xù)，按照規(guī)定的程序和方法，并在專人監(jiān)督下a)應制定涉密物品管理制度，明確涉密物品的識別和確定、生產(chǎn)和加工、使用、保存、維修b)應識別和認定企業(yè)所有涉密物品，建立涉密物品臺賬，宜實行分級管理，并在醒目位置粘貼（懸掛）涉密指示標識和禁止行為的警示標識；應定期對涉密物品進行清點和核查，確c)應在涉密區(qū)域內(nèi)進行涉密物品的生產(chǎn)和加工，宜根據(jù)涉密物品生產(chǎn)和加工流程，安排不同d)應在涉密區(qū)域內(nèi)使用涉密物品，并履行使用登記程序；對外銷售的涉密物品，應與客戶簽訂保密協(xié)議或在銷售合同中增加保密義務條款，宜采取足以對抗不特定第三人通過反向工e)應在指定的涉密區(qū)域存放涉密物品，并指定專人負責管理；f)涉密物品的維修、報廢應履行審批和登記手續(xù)，按照規(guī)定的程序和方法，并在保密人員監(jiān)a)應制定涉密區(qū)域管理制度，明確涉密區(qū)域的識別和確定、安全防護、日常管理、檢修和維b)應識別企業(yè)所有涉密區(qū)域，確定涉密區(qū)域的范圍，并在醒目位置粘貼（懸掛）涉密區(qū)域指c)應對涉密區(qū)域進行物理隔離，并根據(jù)其保密級別，選擇安裝安全防范設施設備，配備專職d)涉密區(qū)域內(nèi)部使用的通信、網(wǎng)絡、計算機、信息系統(tǒng)、辦公設備等應符合國家相關保密規(guī)e)應對涉密區(qū)域人員、物資進出實行登記管理，未經(jīng)審批或授權嚴禁人員進入和物資離開；涉密區(qū)域如需接待外來人員，應指派保密人員全程陪同，并告知保密注意事項和要求；必f)應定期對涉密區(qū)域的設施設備進行檢修和維護，并履行審批和登記手續(xù)，按照規(guī)定的程序和方法，并在保密人員監(jiān)督下進行；必要時，應開展不定期a)應制定涉密商務活動管理制度，明確涉密商務活動中信息發(fā)布、涉密會議、商業(yè)活動、對b)應對信息發(fā)布實施保密審查，明確人員職責權限，對新聞稿件、展覽展會宣傳資料、著作論文、申請專利等信息實施對外發(fā)布前審查、發(fā)布后檢查，以及對涉密信息的c)應對涉密會議實施商業(yè)秘密管理，選擇具有保密條件的場所，限定參會人員范圍，簽訂保密協(xié)議或承諾書；涉密文件資料應