企業(yè)商業(yè)秘密管理規(guī)范

1企業(yè)商業(yè)秘密管理規(guī)范本文件規(guī)定了企業(yè)商業(yè)秘密管理的總體要求和制度建設(shè)，以及對商業(yè)秘密的識別、管理和處理的相關(guān)要求。本文件適用于企業(yè)的商業(yè)秘密管理，有商業(yè)秘密管理需求的事業(yè)單位、研究機構(gòu)、行業(yè)協(xié)會及其它組織，可參照本文件執(zhí)行。2規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T19001質(zhì)量管理體系要求GB/T22080信息技術(shù)安全技術(shù)信息安全管理體系要求GB/T29490企業(yè)知識產(chǎn)權(quán)合規(guī)管理體系要求GB/T34061.1知識管理體系第1部分:指南3術(shù)語和定義下列術(shù)語和定義適用于本文件。3.1商業(yè)秘密tradesecrets不為公眾所知悉、具有商業(yè)價值并經(jīng)權(quán)利人采取相應(yīng)保密措施的技術(shù)信息、經(jīng)營信息等商業(yè)信息。3.2涉密人員secret-relatedpersonnel根據(jù)工作職責(zé)和業(yè)務(wù)交往能夠接觸、使用、掌握、管理商業(yè)秘密的企業(yè)員工或其他人員。3.3涉密物品secret-relateditem生產(chǎn)經(jīng)營活動中使用的或產(chǎn)生的含有商業(yè)秘密信息的會議記錄本、文件、商業(yè)策劃文案、商業(yè)資料、商業(yè)文件、圖紙、技術(shù)手冊、工藝指導(dǎo)文件、工藝卡片、生產(chǎn)記錄、生產(chǎn)總結(jié)/報告、檢查記錄、檢測報告或包含有生產(chǎn)加工參數(shù)、產(chǎn)品檢測方法/要求等信息的設(shè)備、樣品、半成品、產(chǎn)成品、原材料、廢棄物等。3.4涉密載體secret-relatedcarrier2以文字、數(shù)據(jù)、符號、圖形、圖像、視頻和音頻等方式生成、記載、存儲或處理商業(yè)秘密信息的各類有形物體。3.5涉密場所secret-relatedsite形成、存放、保管、流轉(zhuǎn)、使用涉密信息或涉密物品、涉密載體的實驗室、車間、廠房、辦公室、業(yè)務(wù)活動室、會議室、保密室、檔案室、機房等區(qū)域。4總體要求4.1企業(yè)應(yīng)按照GB/T19001、GB/T22080、GB/T29490、GB/T34061.1和本文件的要求建立、實施、持續(xù)改進(jìn)商業(yè)秘密管理體系，將商業(yè)秘密管理貫徹到企業(yè)經(jīng)營活動的各個環(huán)節(jié)，包括經(jīng)營決策、規(guī)劃、研發(fā)、生產(chǎn)、營銷、售后、采購、財務(wù)、人事、行政、商業(yè)合作等。4.2企業(yè)應(yīng)設(shè)置商業(yè)秘密管理的職能部門、明確管理人員，職能部門負(fù)責(zé)企業(yè)商業(yè)秘密管理制度的建立、商業(yè)秘密管理文件的制定、商業(yè)秘密管理決策的組織實施、商業(yè)秘密管理工作的開展等。4.3企業(yè)應(yīng)主動進(jìn)行商業(yè)秘密識別和標(biāo)示，及時對經(jīng)營決策、規(guī)劃、研發(fā)、生產(chǎn)、營銷、售后、采購、財務(wù)、人事、行政、商業(yè)合作等過程中的技術(shù)信息和經(jīng)營信息進(jìn)行識別，并在分級分類后予以標(biāo)示。注2：“經(jīng)營信息”是指與經(jīng)營活動有關(guān)的創(chuàng)意、管理、銷售、財務(wù)、計劃、樣本、招投標(biāo)材料、客戶信息、數(shù)據(jù)4.4企業(yè)對于經(jīng)營活動的各個環(huán)節(jié)，都應(yīng)評估和判斷是否涉及或可能涉及企業(yè)應(yīng)保密的商業(yè)信息，對于相關(guān)活動涉及或可能涉及企業(yè)應(yīng)保密的商業(yè)信息的，應(yīng)采取明確的保密措施：a）向所有參與該環(huán)節(jié)活動的人員提出明確的保密要求并形成要求保密的工作記錄，或由所有參與該環(huán)節(jié)活動的人員簽署保密承諾；b）該環(huán)節(jié)下的相關(guān)活動置于涉密場所進(jìn)行；c）該環(huán)節(jié)中涉及企業(yè)保密商業(yè)信息的相關(guān)物品、文件、資料（包括影像資料）等，均應(yīng)使其處于有效控制和管理狀態(tài)。4.5企業(yè)應(yīng)根據(jù)商業(yè)秘密管理和保護的實際需要，通過與涉密人員簽訂商業(yè)秘密保密協(xié)議（參考文本見附錄A）的方式，明確涉密人員保護企業(yè)商業(yè)秘密的法律義務(wù)和責(zé)任。4.6企業(yè)對于商業(yè)秘密信息產(chǎn)生、使用密集的研發(fā)活動、生產(chǎn)活動、營銷活動、對外業(yè)務(wù)合作等，應(yīng)根據(jù)企業(yè)的經(jīng)營管理實際，建立并執(zhí)行更加嚴(yán)格的商業(yè)秘密管理措施。5制度建設(shè)5.1企業(yè)應(yīng)建立商業(yè)秘密管理的工作機制，涵蓋商業(yè)秘密管理的工作組織架構(gòu)、專職或兼職管理人員及其工作職責(zé)、商業(yè)秘密信息的識別標(biāo)定、涉密事項的管理檢查、泄密事件的處理等。5.2企業(yè)應(yīng)確立由最高管理者直接領(lǐng)導(dǎo)，高級管理人員牽頭負(fù)責(zé)，專人管理，涉密人員全覆蓋的商業(yè)秘密管理工作體系。5.3企業(yè)應(yīng)編制商業(yè)秘密管理清單，對下列內(nèi)容予以記錄：a）保密要求；b）涉密信息；c）涉密人員；d）涉密物品；3e）涉密載體。5.4企業(yè)商業(yè)秘密管理清單應(yīng)保持動態(tài)調(diào)整，調(diào)整前、調(diào)整后的管理清單都應(yīng)予以保存。5.5企業(yè)應(yīng)建立商業(yè)秘密的管理權(quán)限制度，對接觸商業(yè)秘密信息的批準(zhǔn)權(quán)限、脫密解密的批準(zhǔn)權(quán)限、獲得相關(guān)權(quán)限的審批程序等予以規(guī)定。5.6企業(yè)應(yīng)建立商業(yè)秘密的信息流轉(zhuǎn)制度，明確涉密信息的傳送方式、傳送工具等。對外發(fā)布的信息可能包含商業(yè)秘密信息的，發(fā)布前應(yīng)由商業(yè)秘密管理部門進(jìn)行審查批準(zhǔn)。5.7企業(yè)商業(yè)秘密管理制度等文件均應(yīng)作為企業(yè)正式文件在企業(yè)內(nèi)部公開發(fā)布。5.8行政機關(guān)在履行行政管理職責(zé)中需要獲得企業(yè)商業(yè)秘密的，企業(yè)在按照規(guī)定提供商業(yè)秘密信息時，應(yīng)對涉密內(nèi)容明確標(biāo)注并提出保密聲明，請求行政機關(guān)對商業(yè)秘密信息予以保密對待和處理。6商業(yè)秘密的識別、分類分級和標(biāo)示6.1商業(yè)秘密的識別6.1.1企業(yè)各部門對于準(zhǔn)備開展、正在開展或已經(jīng)完成的管理、經(jīng)營、技術(shù)研發(fā)、產(chǎn)品改進(jìn)活動中形成的技術(shù)信息、經(jīng)營信息應(yīng)及時記錄、整理并提交企業(yè)商業(yè)秘密管理部門。6.1.2企業(yè)應(yīng)對形成的技術(shù)信息和經(jīng)營信息及時進(jìn)行識別，明確將具有商業(yè)價值、不為公眾所知悉的信息作為商業(yè)秘密予以保護。6.2商業(yè)秘密的分類分級6.2.1企業(yè)對于商業(yè)秘密，應(yīng)根據(jù)其重要程度進(jìn)行分類，可以確定為絕密、機密、秘密。6.2.2企業(yè)對于已經(jīng)分類的商業(yè)秘密，應(yīng)根據(jù)其包含的相關(guān)信息的價值和作用進(jìn)行分級，可以將其分為核心信息、基礎(chǔ)信息、一般信息6.2.3企業(yè)應(yīng)根據(jù)商業(yè)秘密的不同類別、不同級別采取不同等級的保密措施。6.3商業(yè)秘密的標(biāo)示6.3.1企業(yè)應(yīng)根據(jù)對商業(yè)秘密分類、分級的情況，在不同類別的商業(yè)秘密或不同級別的商業(yè)秘密信息載體上予以明確標(biāo)示。6.3.2企業(yè)對不同類別的商業(yè)秘密或不同級別的商業(yè)秘密信息，應(yīng)明確標(biāo)示相應(yīng)的保密要求，包括可以接觸的部門和人員范圍。6.3.3企業(yè)根據(jù)經(jīng)營和管理的需要，變更密級或保密期限的，應(yīng)經(jīng)過審批。7過程管理7.1研發(fā)活動7.1.1企業(yè)應(yīng)對研發(fā)決策、研發(fā)立項、項目執(zhí)行、成果管理的過程進(jìn)行保密管理，按照本文件的相應(yīng)要求采取保密措施。7.1.2企業(yè)對于研發(fā)決策的保密，應(yīng)包括決策事項、決策內(nèi)容、決策人員、決策過程等。7.1.3企業(yè)對于研發(fā)立項的保密，應(yīng)包括項目內(nèi)容、研發(fā)計劃、研發(fā)投入、研發(fā)人員等。7.1.4企業(yè)對于項目執(zhí)行過程中的場所、研發(fā)和參與人員、外部協(xié)作、設(shè)備和原材料采購及使用、研發(fā)過程中形成的試驗數(shù)據(jù)、半成品和樣品、廢棄物等，應(yīng)予以保密管理和處理。7.1.5企業(yè)對于重要項目的研發(fā)活動，應(yīng)和項目參與人員單獨簽訂保密協(xié)議，明確對項目研發(fā)目標(biāo)、主要技術(shù)指標(biāo)、研發(fā)計劃、參與人員信息、物品、場所等的特殊保密要求。47.1.6研發(fā)成果包括研發(fā)總結(jié)、研發(fā)報告、產(chǎn)品或設(shè)備、成果驗收或檢測、鑒定報告等，企業(yè)對于研發(fā)成果及記載研發(fā)成果信息的載體都應(yīng)采取保密措施。7.2生產(chǎn)活動7.2.1企業(yè)應(yīng)對生產(chǎn)活動中可能涉及商業(yè)秘密信息的涉密場所進(jìn)行區(qū)分，對涉密場所按照本文件的要求采取保密措施。7.2.2企業(yè)應(yīng)對生產(chǎn)活動中可能涉及商業(yè)秘密信息的涉密物品，以及與涉密物品的供應(yīng)、來源、去向有關(guān)的渠道、客戶信息等，按照本文件的要求進(jìn)行管理、使用和處理。7.2.3企業(yè)應(yīng)對生產(chǎn)活動中可能涉及商業(yè)秘密信息的涉密載體，按照本文件的要求采取保密措施。7.2.4生產(chǎn)活動中涉及商業(yè)秘密的材料形成的廢料、作為商業(yè)秘密的工藝過程產(chǎn)生的廢液、廢渣等廢棄物品，應(yīng)在符合保密要求的前提下處理。7.3營銷活動7.3.1企業(yè)應(yīng)對營銷計劃制定和決策的過程進(jìn)行保密管理，按照本文件的要求采取保密措施。7.3.2企業(yè)應(yīng)對營銷計劃/規(guī)劃、營銷策略、營銷的價格體系等，按照本文件的要求采取保密措施。7.3.3企業(yè)應(yīng)對商品采購渠道、商品來源、采購/進(jìn)貨價格等，按照本文件的要求采取保密措施。7.3.4企業(yè)應(yīng)根據(jù)需要對執(zhí)行企業(yè)營銷策略、營銷價格要求的經(jīng)銷商、代理商或運營商提出明確的保密要求，簽署保密文件。7.3.5企業(yè)應(yīng)對參與營銷活動的管理人員、業(yè)務(wù)人員等相關(guān)人員提出明確的保密要求，簽署保密文件。7.4對外業(yè)務(wù)合作7.4.1企業(yè)應(yīng)根據(jù)對外業(yè)務(wù)合作類型、合作方式和合作內(nèi)容，明確相應(yīng)的保密信息和保密要求。7.4.2企業(yè)對外業(yè)務(wù)合作中涉及或可能涉及企業(yè)和/或合作相對方的商業(yè)秘密信息的，應(yīng)在合作的接觸或洽談開始前，與合作相對方簽署對外業(yè)務(wù)洽談（合作）保密協(xié)議（參考文本見附錄B）。7.4.3在簽署對外業(yè)務(wù)洽談（合作）保密協(xié)議的基礎(chǔ)上，企業(yè)應(yīng)對業(yè)務(wù)合作洽談過程中的下列信息采取保密措施：a）對于涉及企業(yè)和/或合作相對方的商業(yè)秘密信息，以及涉及新形成（產(chǎn)生）的商業(yè)信息的相關(guān)物品、文件、資料（包括影像資料）等，均應(yīng)使其處于滿足保密要求的有效控制和管理狀態(tài)；b）對于涉及業(yè)務(wù)洽談和業(yè)務(wù)合作過程中合作相對方的商業(yè)秘密信息和新形成（產(chǎn)生）的商業(yè)信息，應(yīng)明確納入企業(yè)商業(yè)秘密保護范圍，并通過明確要求或簽署相關(guān)保密協(xié)議等方式，使企業(yè)接觸或知悉上述信息的員工承擔(dān)法律上的保密義務(wù)；c）相關(guān)業(yè)務(wù)洽談和/或合作活動應(yīng)置于涉密場所進(jìn)行；d）對于業(yè)務(wù)洽談和/或合作活動中的相關(guān)人員，應(yīng)按照8.3條的規(guī)定管理；e）企業(yè)應(yīng)與合作相對方就業(yè)務(wù)合作結(jié)束后涉及企業(yè)和/或合作相對方的商業(yè)秘密信息及相關(guān)物品、載體的處理措施進(jìn)行明確約定。8人員管理8.1入職管理58.1.1企業(yè)對于申請入職人員應(yīng)建立入職前審查制度，要求入職人員填寫員工信息登記表（參考文本見附錄C）。8.1.2申請入職人員曾在其它單位工作過的，企業(yè)應(yīng)采取下列必要措施：a）審查申請入職人員與原單位的保密協(xié)議、競業(yè)限制協(xié)議，以及其他具有保密約束性的文件或事b）明確要求申請入職人員在入職后不得攜帶任何涉及原單位商業(yè)秘密的載體進(jìn)入企業(yè)，不得在工作中使用所知悉的原單位的商業(yè)秘密信息，并由申請入職人員簽署遵守單位關(guān)于商業(yè)秘密要求的承諾書（參考文本見附錄D）。8.1.3企業(yè)對入職人員應(yīng)進(jìn)行商業(yè)秘密的保密培訓(xùn)和教育，增強入職人員對商業(yè)秘密的保密意識，了解企業(yè)保護商業(yè)秘密的管理制度和措施。8.2員工管理8.2.1企業(yè)應(yīng)與入職后可能涉及企業(yè)商業(yè)秘密的人員簽訂專門的商業(yè)秘密保密協(xié)議，保密協(xié)議應(yīng)包括商業(yè)秘密的范圍、保密義務(wù)以及對于在保密協(xié)議簽訂后形成的企業(yè)商業(yè)秘密的保密義務(wù)、保密期限（保密期限由企業(yè)根據(jù)自己經(jīng)營管理的需要以及對于相關(guān)商業(yè)秘密的評估確定，在無法準(zhǔn)確確定的情況下，可以約定保密期限為至相關(guān)商業(yè)秘密公開時止）等。8.2.2企業(yè)應(yīng)開展經(jīng)常性的商業(yè)秘密保密培訓(xùn)和保密教育，幫助員工熟悉企業(yè)保護商業(yè)秘密的管理制度，了解企業(yè)保護商業(yè)秘密的工作措施和流程。8.2.3企業(yè)對員工參與產(chǎn)品技術(shù)改進(jìn)、研發(fā)項目、出國培訓(xùn)等，應(yīng)簽署含有保密條款的工作協(xié)議，載明主要工作事項、工作任務(wù)及保密要求。8.2.4企業(yè)應(yīng)要求參與相關(guān)技術(shù)改進(jìn)、研發(fā)項目的員工建立原始工作檔案，記錄相關(guān)工作的主要過程節(jié)點、工作的主要內(nèi)容及形成的主要信息，工作檔案應(yīng)按企業(yè)要求及時提交企業(yè)指定的部門。8.2.5涉密人員離職的，企業(yè)應(yīng)在其辦理離職手續(xù)前做好涉及商業(yè)秘密事項的工作交接，開展下列商業(yè)秘密管理事項的必要檢查,并形成交接檢查記錄：a）離職員工管理、使用的涉及商業(yè)秘密的文件等載體的完整性；b）離職員工管理、使用的工作電腦中存儲數(shù)據(jù)的完整性，是否存在被刪除、復(fù)制的情形；c）企業(yè)信息管理系統(tǒng)、使用賬戶是否存在異常訪問的情形；d）是否存在不當(dāng)訪問外部郵箱或?qū)ν獍l(fā)送商業(yè)秘密信息的情形；e）員工離職前是否存在查閱和使用商業(yè)秘密信息的異常情形。8.2.6企業(yè)如發(fā)現(xiàn)離職人員存在侵害企業(yè)商業(yè)秘密情形的，應(yīng)及時收集并固定證據(jù)，根據(jù)情況采取必要法律措施。8.2.7企業(yè)應(yīng)消除離職人員接觸商業(yè)秘密的權(quán)限，對離職人員接觸商業(yè)秘密的載體等事項進(jìn)行技術(shù)分離、物理分離，并應(yīng)向離職人員出具要求保護企業(yè)商業(yè)秘密的告知書。8.3外單位合作人員管理8.3.1企業(yè)在與外單位合作人員進(jìn)行業(yè)務(wù)洽談和/或合作活動中，尤其是在業(yè)務(wù)交流內(nèi)容和往來文件資料中，不得擅自涉及企業(yè)商業(yè)秘密信息。8.3.2企業(yè)在與外單位合作人員進(jìn)行業(yè)務(wù)洽談和/或合作活動中，確實需要涉及企業(yè)商業(yè)秘密信息的，應(yīng)先行與外單位合作人員簽署保密協(xié)議，明確約定對于業(yè)務(wù)洽談和/或合作活動中的信息予以保密。8.3.3外單位合作人員訪問和進(jìn)入企業(yè)涉密場所，應(yīng)經(jīng)過批準(zhǔn)同意。8.3.4外單位合作人員經(jīng)批準(zhǔn)訪問和進(jìn)入涉密場所的，企業(yè)應(yīng)安排人員陪同，并對涉密場所能夠直接觀察到的商業(yè)秘密信息采取必要隱蔽措施。68.3.5企業(yè)外聘咨詢、服務(wù)機構(gòu)或人員時，應(yīng)與受聘機構(gòu)或人員簽署保密協(xié)議，就涉及商業(yè)秘密信息的知悉、傳送、使用等予以明確約定。9涉密物品、載體、場所管理9.1涉密物品9.1.1涉密物品應(yīng)進(jìn)行登記，存放在涉密場所。9.1.2涉密物品的轉(zhuǎn)移、使用應(yīng)處于受控狀態(tài)，并形成記錄。9.1.3涉密物品的處理應(yīng)采取保密措施，防止商業(yè)秘密信息的泄露。9.2涉密載體9.2.1企業(yè)應(yīng)編制涉密載體清單，對涉密載體進(jìn)行登記，由企業(yè)商業(yè)秘密管理部門統(tǒng)一管理，并根據(jù)涉密載體的性質(zhì)、等級分配使用（權(quán)限）。9.2.2涉密載體的轉(zhuǎn)移、使用應(yīng)處于受控狀態(tài)，并形成記錄。9.2.3移動涉密載體（尤其是紙質(zhì)介質(zhì)、電子存儲介質(zhì)、磁介質(zhì)、光介質(zhì)等）應(yīng)進(jìn)行保密標(biāo)記并備份，存放在涉密場所，并建立受監(jiān)督有制約的管理權(quán)限制度。9.2.4在工作中使用移動涉密載體的，應(yīng)采取必要的物理的或技術(shù)的保密措施，限制為涉密人員專用。9.2.5企業(yè)應(yīng)建立涉密載體信息修改程序，移動涉密載體中的信息需要修改的，應(yīng)經(jīng)過批準(zhǔn)并記錄修改過程、修改內(nèi)容。9.2.6企