DB21-T 3659-2022 商業(yè)秘密保護管理規(guī)范

21ManagementspecificationsforprotectionoftradesecretsI 2 2 4 5 6 8 9 9 9 9 9 9 9 本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定連）律師事務(wù)所、遼寧同澤律師事務(wù)所、丹東通博電器（集團）有峰、陳越、衣慶云、潘莉麗、劉倍言、劉新偉1商業(yè)秘密保護管理規(guī)范本文件規(guī)定了商業(yè)秘密的管理與保護、機構(gòu)與職責(zé)、監(jiān)督與檢查、評價與改進、救濟與維注：“不為公眾所知悉”“具有商業(yè)價值”“通過觀察或測試、分析手段能夠獲得商業(yè)秘密的生產(chǎn)設(shè)備或產(chǎn)品、原材料、半成品、樣品等。4機構(gòu)與職責(zé)4.1企業(yè)商業(yè)秘密保護管理堅持依法規(guī)范、科學(xué)合理、目標(biāo)明確、重點突出、層層落實、全員參與的4.2企業(yè)最高管理者是商業(yè)秘密保護的第一責(zé)任人，應(yīng)具備商業(yè)秘密保護管理意識。4.3企業(yè)應(yīng)由最高管理者牽頭設(shè)立商業(yè)秘密保護領(lǐng)導(dǎo)機構(gòu)，確保組織內(nèi)的保密工作得到有效落實。其a)貫徹落實國家有關(guān)商業(yè)秘密保護的法律、法規(guī)和規(guī)章；b)確立企業(yè)商業(yè)秘密保護管理目標(biāo)、方針；d)做好企業(yè)商業(yè)秘密保護管理制度體系的評價與改進。4.4企業(yè)應(yīng)設(shè)立商業(yè)秘密保護部門或依托相關(guān)部門開展商業(yè)秘密保護工作，配備專(兼)職保密員。4.5企業(yè)的商業(yè)秘密保護部門和保密員應(yīng)履行的職責(zé)包括但不限于：2a)執(zhí)行企業(yè)商業(yè)秘密保護領(lǐng)導(dǎo)機構(gòu)的決策決議；b)研究制定企業(yè)商業(yè)秘密保護管理制度（見附錄A、B）；e)組織企業(yè)內(nèi)部商業(yè)秘密風(fēng)險隱患排查并落實專項f)做好泄密事件的應(yīng)急處理，配合有關(guān)部門完成商業(yè)秘密侵權(quán)事件的調(diào)查舉證。5管理與保護5.1基本流程5.1.1定密d)法律、法規(guī)、規(guī)章及相關(guān)司法解釋規(guī)定的其他信息。5.1.1.2在生產(chǎn)和經(jīng)營中，某一信息符合法律規(guī)定的商業(yè)秘密構(gòu)成要件，且泄露后會造成下列后果之b)影響企業(yè)營銷活動的事項；f)影響企業(yè)對外交流和商業(yè)談判順利進行的事項；5.1.1.3企業(yè)依法確定本企業(yè)商業(yè)秘密的保護范圍，可包括：運營成本、內(nèi)部定價文件、產(chǎn)品合格率、庫存量、創(chuàng)意管方式、交易習(xí)慣、交易內(nèi)容、特定需求等信息進行整理、加工后形成的客戶信息35.1.2.1對企業(yè)商業(yè)秘密進行分級、核查和評估時應(yīng)考慮的因素包括但不限于：a)商業(yè)秘密的經(jīng)濟價值；d)競爭對手獲取商業(yè)秘密后產(chǎn)生的價值；f)商業(yè)秘密泄漏后可能承擔(dān)的法律責(zé)任；5.1.2.2根據(jù)5.1.2.1規(guī)定的因素，企業(yè)商業(yè)秘密的密5.1.2.3企業(yè)應(yīng)按商業(yè)秘密保護管理制度對涉密資料、涉密物品、涉密區(qū)域、涉密人員、涉密活動實5.1.3保密5.1.3.1企業(yè)應(yīng)建立商業(yè)秘密事項目錄清單，列明商業(yè)秘密的密級、接觸人員范圍、存放地點、保存方式、保護措施、保密期限、價值估算、泄露損失5.1.3.2企業(yè)自行設(shè)定商業(yè)秘密的保密期限。可以預(yù)見時限的以年、月、日計，不可以預(yù)見時限的應(yīng)5.1.3.3企業(yè)應(yīng)在商業(yè)秘密載體上作出明顯標(biāo)志，5.1.4解密a)企業(yè)認(rèn)為商業(yè)秘密已不再具有保護價值的；b)保密期限屆滿的；5.1.4.2解密方式可包括：5.1.4.3保密期限內(nèi)解密的，應(yīng)以能夠明顯識別的方式標(biāo)明“解密”的字樣。5.1.5變更4有關(guān)事項如需變更的，應(yīng)經(jīng)商業(yè)秘密保護部門審批后實施，并登記5.1.6銷毀5.1.6.1銷毀涉密資料和涉密物品，應(yīng)由保密員列出銷毀清單，按商業(yè)秘密保護管理制度執(zhí)行審批后5.1.6.3企業(yè)應(yīng)采取合適的方式妥善銷毀涉密資料和涉密物品，包括：a)紙質(zhì)類資料作粉碎性處理；c)含有核心秘密的電子信息載體應(yīng)作銷毀5.2涉密資料5.2.1紙質(zhì)文件5.2.1.1涉密紙質(zhì)文件所屬部門應(yīng)建立涉密紙質(zhì)文件檔案，經(jīng)商業(yè)秘密保護部門審核后登記備案。5.2.1.2涉密紙質(zhì)文件存放地點和具體管理方式，由5.2.1.3按權(quán)限查閱、借閱、續(xù)借涉密紙質(zhì)文件，應(yīng)由部門保密員履行登記手續(xù)。5.2.1.4復(fù)制（復(fù)印、打印、掃描、拍照、摘抄等）、向第三方披露或提供第三人使用涉密紙質(zhì)文件5.2.2.1存儲5.2.2.1.1一般要求a)存儲于企業(yè)授權(quán)的存儲設(shè)備、信息系統(tǒng)或云存儲空間；b)核心秘密等級的數(shù)據(jù)采用加密方式存儲；5.2.2.1.2物理載體存儲a)對涉密電子信息物理載體的采購、維護進行歸檔登記；b)選用安全穩(wěn)定、運轉(zhuǎn)正常的電腦、手機、硬盤、光盤、U盤等存儲介質(zhì)；5.2.2.1.3信息系統(tǒng)存儲5a)安裝防惡意代碼軟件，及時更新軟件版本和惡意代碼庫；b)定期進行安全檢查，發(fā)現(xiàn)系統(tǒng)漏洞及時修補；c)在系統(tǒng)賬戶登陸提示及賬戶登陸后的主界面設(shè)置保密義務(wù)提醒；d)對系統(tǒng)中的涉密音視頻、涉密電子文檔設(shè)置保密義務(wù)提醒；用設(shè)備要求、使用記錄監(jiān)察要求等事項與平臺運營商作出5.2.2.2使用5.2.2.2.1企業(yè)應(yīng)對設(shè)備、數(shù)據(jù)庫和各類應(yīng)用系統(tǒng)及其賬戶實行權(quán)限管理，根據(jù)崗位職責(zé)或特定工作事項按“最小夠用”原則設(shè)定權(quán)限，并在它們之間形成相互制約的a)合理分配不同層級賬戶的功能和審批權(quán)限。b)合理分配項目中不同賬戶的功能和使用期限。c)合理設(shè)定不同賬戶的訪問、操作、查看、聯(lián)網(wǎng)等權(quán)限及其使用期限。5.2.2.2.2權(quán)限到期、人員轉(zhuǎn)崗、項目或事項變更時，應(yīng)經(jīng)商業(yè)秘密保護部門審批后重新授權(quán)。5.2.2.2.3應(yīng)對所有涉密賬戶和密碼實行統(tǒng)一登記、備案、發(fā)放和變更管理。存儲口令的文件應(yīng)采取5.2.2.2.5各類設(shè)備、數(shù)據(jù)庫和應(yīng)用系統(tǒng)應(yīng)設(shè)賬號和口令，不應(yīng)使用默認(rèn)口令或保存口令自動登陸。5.2.2.2.6同一用戶登錄不同處理涉密電子信息的系統(tǒng)應(yīng)采a)口令賬號啟用嚴(yán)格的口令策略，口令長度至少8位以上，采用大小寫英文字母、數(shù)字及特殊5.2.2.3流轉(zhuǎn)5.2.2.3.1企業(yè)應(yīng)對涉密電子信息拷貝采取限制措施，經(jīng)審批后方可拷貝，妥善保存拷貝記錄。5.2.2.3.2收發(fā)涉密電子信息應(yīng)使用唯一出入口，對涉密電5.2.2.3.3涉密電子信息網(wǎng)絡(luò)傳遞應(yīng)通過內(nèi)部局域網(wǎng)或加密互聯(lián)網(wǎng)通道完成，內(nèi)部局域網(wǎng)應(yīng)與互聯(lián)網(wǎng)5.2.2.3.4對涉密電子信息的發(fā)送應(yīng)采取加密措施，數(shù)據(jù)發(fā)送與密鑰發(fā)送不宜采用同一通道，并對涉密電子信息知悉范圍和權(quán)限進行控制，限制閱讀人員、閱讀次數(shù)以及5.2.2.3.5與外單位之間的涉密電子信息流轉(zhuǎn)，應(yīng)與涉密電子信息接收5.3涉密區(qū)域6a)產(chǎn)品研發(fā)設(shè)計實驗室、重要生產(chǎn)場所、信息數(shù)據(jù)中心；b)涉密檔案室，財務(wù)、人力資源、銷售等部門辦公室的涉密檔案存放區(qū)域；c)涉密的生產(chǎn)設(shè)備、產(chǎn)品、原材料、半成品、樣品、載體等存放場所。5.3.2涉密區(qū)域保護a)與非涉密區(qū)域之間設(shè)置物理隔離，可視情況增加網(wǎng)絡(luò)阻斷功能；f)出入涉密區(qū)域的人員履行權(quán)限審批和登記手續(xù)；h)限制使用具有錄音、錄像、拍照、信息存儲等功能的設(shè)備。5.3.2.2企業(yè)應(yīng)根據(jù)業(yè)務(wù)和保密要求的不同，將內(nèi)部網(wǎng)絡(luò)劃分為不同的網(wǎng)絡(luò)區(qū)域，涉密網(wǎng)絡(luò)區(qū)域宜采c)與其他內(nèi)部網(wǎng)絡(luò)采取不同的分級管理措施；5.4涉密人員5.4.1入職5.4.1.1企業(yè)與員工簽訂的勞動合同中應(yīng)含有保密條款，核心涉密員工應(yīng)簽訂專項保密協(xié)議。5.4.1.2企業(yè)應(yīng)與涉密人員簽訂競業(yè)限制協(xié)議（見），5.4.1.3企業(yè)應(yīng)對曾在與本企業(yè)具有現(xiàn)實或潛在競爭關(guān)系的企業(yè)工作員工的身份、背景、專業(yè)資格等5.4.2履職5.4.2.1保密教育培訓(xùn)5.4.2.2涉密崗位義務(wù)a)進入非授權(quán)涉密區(qū)域；7d)超范圍、超權(quán)限接觸涉密資料、涉密物品；h)披露企業(yè)未公開的信息。5.4.3.1涉密崗位員工調(diào)崗（或離職）前，企業(yè)應(yīng)與該員工進行離崗談話，形成離崗談話記錄并簽字b)告知其應(yīng)承擔(dān)的保密義務(wù)；5.4.3.2企業(yè)應(yīng)對調(diào)崗（或離職）員工開展離崗前檢查，檢查內(nèi)容包括：c)檢查工作賬戶近期是否有異常操作，如異常查5.4.3.3企業(yè)應(yīng)提醒調(diào)崗（或離職）員工主動移交所有涉密資料和涉密物品，包括但不限于：a)涉密紙質(zhì)文件、電子信息及其載體、物品；b)涉密工作電腦、手機及涉密信息系統(tǒng)的登陸賬戶、密碼；5.4.3.5企業(yè)應(yīng)對調(diào)崗（或離職）員工的交接情況登記備案。5.4.3.6企業(yè)應(yīng)對離職員工已簽訂的競業(yè)限制協(xié)議進行啟動或解除確認(rèn)。5.4.3.7企業(yè)應(yīng)及時掌握離職員工在競業(yè)限制期限內(nèi)的任職去向。5.5涉密活動5.5.1來訪人員訪問涉密區(qū)域應(yīng)經(jīng)審批，履行5.5.2來訪人員進入涉密區(qū)域后，應(yīng)安排陪同人員5.5.3在開展商務(wù)合作、共同研究及涉及商業(yè)秘密的交易、公證、保險等活動時，應(yīng)與相關(guān)方簽訂保5.5.4新聞發(fā)布、論文發(fā)表、專利申請等信息發(fā)布或公開前，應(yīng)經(jīng)商業(yè)秘密保護部門審核。5.5.6聘任或委托外聘專家、顧問、翻譯、律師等可能接觸商業(yè)秘密的外部人員，宜做背景調(diào)查，并5.5.7各級國家工作人員因監(jiān)督、檢查、取證等工作需要，進入涉密區(qū)域、接觸涉密資料或涉密物品8a)選擇具有保密條件的場所；d)對涉密資料、涉密物品進行控制：e)保密員應(yīng)使用專用設(shè)備對活動情況通過拍照、錄像、簽名等方式做好記5.5.9涉及商業(yè)秘密的遠(yuǎn)程工作，宜采取下列保密措施：a)經(jīng)商業(yè)秘密保護部門審批；b)對遠(yuǎn)程網(wǎng)絡(luò)進行安全鑒別；g)進行安全監(jiān)視和過程審核，形成記錄；h)遠(yuǎn)程工作終止時，撤銷授權(quán)和訪問權(quán)限；6.1商業(yè)秘密保護領(lǐng)導(dǎo)機構(gòu)應(yīng)制定監(jiān)督檢查方案，定期或不定期對企業(yè)商業(yè)秘密保護管理制度落實情d)監(jiān)督檢查結(jié)果運用的整改、問責(zé)、獎懲b)涉密資料、涉密物品的管理情況；g)電子郵箱、聊天工具、設(shè)計軟件、存儲軟件等工具軟件使用商業(yè)秘密的情況；h)企業(yè)認(rèn)為其他應(yīng)列為監(jiān)督檢查的內(nèi)容。97.1.1企業(yè)應(yīng)根據(jù)監(jiān)督檢查結(jié)論評價商業(yè)秘密保護管理制度的有效性，并形成評價報告。包7.1.2企業(yè)可根據(jù)自身情況，委托第三方專業(yè)機構(gòu)對企業(yè)商業(yè)秘密管理情況進行評價，第三方專業(yè)機7.2.1企業(yè)應(yīng)針對評價報告發(fā)現(xiàn)的問題制定整改計劃，采取有效措施持7.2.2企業(yè)應(yīng)對商業(yè)秘密保護制度落實環(huán)節(jié)中存在的問題對責(zé)任人進行約談8.1.1企業(yè)應(yīng)制定商業(yè)秘密泄露的應(yīng)急預(yù)案8.1.2企業(yè)應(yīng)定期組織商業(yè)秘密泄露應(yīng)企業(yè)指稱他人侵犯其商業(yè)秘密時，應(yīng)及時收集相關(guān)a)擁有的商業(yè)秘密符合法定條件，證據(jù)包括：）；b)與本企業(yè)商業(yè)秘密相同或者實質(zhì)相同；d)嫌疑侵權(quán)人接觸或有可能接觸本企業(yè)商業(yè)秘密；a)向商業(yè)秘密保護行政管理部門舉報投訴；e)向人民檢察院申請商業(yè)秘密訴訟活動法律監(jiān)注1：公示階段：按企業(yè)規(guī)章制度規(guī)定的表決）：法定代表人：統(tǒng)）：因從甲方離職，乙方在勞動關(guān)系解除或終止后年（不超過二年）內(nèi)，不得到應(yīng)及時向甲方提交下列證明材料，以證明自己是否履行了競業(yè)限制協(xié)議約定的義務(wù)：（1）從甲方離職后，與新的單位簽訂的勞動合同，或者能夠證明與新的（3）當(dāng)乙方為自由職業(yè)或無業(yè)狀態(tài)，無法提供上述（1）、（2）項證體訂立許可協(xié)議或其他合同安排，但通過證券交易所買賣上市公司不超過發(fā)行在外的上市公司股票3%領(lǐng)域與甲方經(jīng)營業(yè)務(wù)相同及或相似的經(jīng)濟實體招聘從甲方離職人前12個月平均工資（包括年終獎等一切勞動報酬）的%的標(biāo)準(zhǔn)支付津貼 損失，甲方還有權(quán)向乙方主張由此遭受的經(jīng)（1）損失賠償額為甲方因乙方的違約行為所受的實際經(jīng)濟損失，計4.如乙方不能按第二條第2項要求提交約定證明材料，則應(yīng)該視為乙方未履行競業(yè)限制協(xié)議約定的雙方約定，出現(xiàn)下列情況之一的，本協(xié)議自2.甲方無正當(dāng)理由不履行本協(xié)議第三條的義務(wù)，拒絕向乙方支付競業(yè)限制補務(wù)的終止不影響甲乙雙方在本合同簽訂之前或之后簽訂的商業(yè)秘密保密協(xié)議--------------------（以下無正