DB34-T 4533-2023 企業(yè)商業(yè)秘密管理體系要求

03.100.01CCS

A

0134 DB34/T

4533—2023企業(yè)商業(yè)秘密管理體系 要求

trade

secret

— 安徽省市場(chǎng)監(jiān)督管理局發(fā)

布DB34/T

4533—2023 前言

................................................................................

III1

...............................................................................

12 規(guī)范性引用文件

.....................................................................

13 術(shù)語和定義

.........................................................................

14 企業(yè)所處的環(huán)境

.....................................................................

24.14.24.34.4

理解企業(yè)及所處的環(huán)境

...........................................................

2理解相關(guān)方的需求和期望

.........................................................

2確定商業(yè)秘密管理體系的范圍

.....................................................

2商業(yè)秘密管理體系

...............................................................

35 領(lǐng)導(dǎo)作用

...........................................................................

35.1 領(lǐng)導(dǎo)作用和承諾

.................................................................

35.2 商業(yè)秘密管理方針

...............................................................

35.3 企業(yè)的角色、職責(zé)及權(quán)限

.........................................................

36

...............................................................................

46.1 應(yīng)對(duì)風(fēng)險(xiǎn)和機(jī)遇的措施

...........................................................

46.2 商業(yè)秘密管理目標(biāo)及其實(shí)現(xiàn)的策劃

.................................................

46.3 變更的策劃

.....................................................................

57

...............................................................................

57.17.27.37.47.5

資源

...........................................................................

5能力

...........................................................................

5意識(shí)

...........................................................................

5溝通

...........................................................................

6成文信息

.......................................................................

68

...............................................................................

78.18.28.38.4

策劃和控制

.....................................................................

7商業(yè)秘密的管理

.................................................................

7涉密事項(xiàng)的管理

.................................................................

7應(yīng)急準(zhǔn)備及響應(yīng)

.................................................................

79 績(jī)效評(píng)價(jià)

...........................................................................

89.1 監(jiān)視、測(cè)量、分析與評(píng)價(jià)

.........................................................

89.2 內(nèi)部審核

.......................................................................

89.3 管理評(píng)審

.......................................................................

810

..............................................................................

910.1 不符合和糾正措施

..............................................................

910.2 持續(xù)改進(jìn)

......................................................................

9DB34/T

4533—2023附錄

A（資料性） 涉密事項(xiàng)管理措施示例

................................................

10參考文獻(xiàn)..............................................................................

13IIDB34/T

4533—2023 本文件按照GB/T

—《標(biāo)準(zhǔn)化工作導(dǎo)則 第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。請(qǐng)注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別專利的責(zé)任。本文件由安徽省市場(chǎng)監(jiān)督管理局反壟斷和反不正當(dāng)競(jìng)爭(zhēng)執(zhí)法局提出。本文件由安徽省市場(chǎng)監(jiān)督管理局歸口。院、合肥高新技術(shù)產(chǎn)業(yè)開發(fā)區(qū)市場(chǎng)監(jiān)督管理局。本文件主要起草人：駱輝、鄭文寶、黃靜、陶學(xué)明、羅偉、何勇、黃媛、于學(xué)萍、朱珠、胡冠宇、王潤(rùn)杰、李必君、王迎宵。IIIDB34/T

4533—2023 1 范圍本文件規(guī)定了企業(yè)建立、實(shí)施、保持和持續(xù)改進(jìn)商業(yè)秘密管理體系的要求。本文件適用于具有下列意愿的企業(yè)：a)

建立商業(yè)秘密管理體系，降低風(fēng)險(xiǎn)；b)

運(yùn)行并持續(xù)改進(jìn)商業(yè)秘密管理體系，提升企業(yè)競(jìng)爭(zhēng)優(yōu)勢(shì)；c)

實(shí)現(xiàn)商業(yè)秘密管理目標(biāo)。本文件適用于各種類型、規(guī)模的企業(yè)。高校、科研單位、社會(huì)團(tuán)體等其他組織可參照使用。本文件適用于合格評(píng)定活動(dòng)。2規(guī)范性引用文件文件。GB/T

19000 質(zhì)量管理體系

基礎(chǔ)和術(shù)語3術(shù)語和定義GB/T

19000

界定的以及下列術(shù)語和定義適用于本文件。3.1商業(yè)秘密 trade

不為公眾所知悉、具有商業(yè)價(jià)值并經(jīng)權(quán)利人采取相應(yīng)保密措施的技術(shù)信息、經(jīng)營(yíng)信息等商業(yè)信息。[來源：DB34/T

4317-2022，3.1]3.2管理體系 management

組織建立方針和目標(biāo)以及實(shí)現(xiàn)這些目標(biāo)的過程的相互關(guān)聯(lián)或相互作用的一組要素。管理體系要素規(guī)定了組織的結(jié)構(gòu)、崗位和職責(zé)、策劃、運(yùn)行、方針、慣例、規(guī)則、理念、目標(biāo)，以及實(shí)現(xiàn)這管理體系的范圍可能包括整個(gè)組織，組織中可被明確識(shí)別的職能或可被明確識(shí)別的部門，以及跨組織的單一[來源：GB/T

19000-2016，3.5.3]3.3組織organization為實(shí)現(xiàn)目標(biāo)，由職責(zé)、權(quán)限和相互關(guān)系構(gòu)成自身功能的一個(gè)人或一組人。[來源：GB/T

19000-2016，3.2.1]3.4最高管理者

DB34/T

4533—2023在最高層指揮和控制組織的一個(gè)人或一組人。如果管理體系的范圍僅覆蓋組織的一部分，在這種情況下，最高管理者是指管理和控制組織的這部分的一個(gè)[來源：GB/T

19000-2016，3.1.1]3.5目標(biāo)objective要實(shí)現(xiàn)的結(jié)果。目標(biāo)可以涉及不同的領(lǐng)域，并可應(yīng)用于不同的層次。目標(biāo)可以采用其他的方式進(jìn)行表述，例如：采用預(yù)期的結(jié)果、活動(dòng)的目的或運(yùn)作準(zhǔn)則，或使用其他有類似含[來源：GB/T

19000-2016，3.7.1]3.6相關(guān)方 interested

；stakeholder可影響決策或活動(dòng)、受決策或活動(dòng)所影響、或自認(rèn)為受決策或活動(dòng)影響的個(gè)人或組織。[來源：GB/T

19000-2016，3.2.3]3.7績(jī)效 performance可測(cè)量的結(jié)果?？?jī)效可能涉及活動(dòng)、過程、產(chǎn)品、服務(wù)、體系或組織的管理。[來源：GB/T

19000-2016，3.7.8]4 企業(yè)所處的環(huán)境4.1 理解企業(yè)及所處的環(huán)境企業(yè)應(yīng)確定與其宗旨相關(guān)并影響其實(shí)現(xiàn)商業(yè)秘密管理體系預(yù)期結(jié)果的能力的各種外部和內(nèi)部因素：a)

外部因素可包括國(guó)內(nèi)外的法律法規(guī)、技術(shù)、競(jìng)爭(zhēng)、市場(chǎng)、文化、社會(huì)和經(jīng)濟(jì)環(huán)境等；b)

內(nèi)部因素可包括企業(yè)價(jià)值觀、文化、戰(zhàn)略、組織治理架構(gòu)、知識(shí)、業(yè)務(wù)模式、績(jī)效等。企業(yè)應(yīng)監(jiān)視和評(píng)審這些內(nèi)外部因素的相關(guān)信息。4.2理解相關(guān)方的需求和期望企業(yè)應(yīng)確定：a)

與商業(yè)秘密管理體系有關(guān)的相關(guān)方，包括但不限于：商業(yè)秘密權(quán)利人、員工、顧客、供方、合作伙伴、競(jìng)爭(zhēng)對(duì)手、國(guó)家機(jī)關(guān)等；b)

與商業(yè)秘密管理體系有關(guān)的相關(guān)方的要求，包括但不限于：企業(yè)規(guī)章制度、合同約定、法律法規(guī)的要求等。企業(yè)應(yīng)監(jiān)視和評(píng)審這些相關(guān)方的信息及其相關(guān)要求。4.3 確定商業(yè)秘密管理體系的范圍DB34/T

4533—20234.3.1企業(yè)應(yīng)確定商業(yè)秘密管理體系的邊界和適用性，以確定其范圍。在確定范圍時(shí)，企業(yè)應(yīng)考慮：a)

4.1

中所提及的各種外部和內(nèi)部因素；b)

4.2

中所提及的要求；c)

商業(yè)秘密管理要求；d)

權(quán)利人的技術(shù)信息、經(jīng)營(yíng)信息等商業(yè)信息。4.3.2 企業(yè)商業(yè)秘密管理體系應(yīng)包括在企業(yè)控制下或在其影響范圍內(nèi)可能影響企業(yè)商業(yè)秘密管理績(jī)效的活動(dòng)、產(chǎn)品和服務(wù)。4.3.3 范圍應(yīng)作為成文信息，可獲得并得到保持。4.4 商業(yè)秘密管理體系4.4.1 企業(yè)應(yīng)按照本文件的要求建立、實(shí)施、保持和持續(xù)改進(jìn)商業(yè)秘密管理體系，包括所需過程及其相互作用。4.4.2 在必要的范圍和程度上，企業(yè)應(yīng)：a)

保持成文信息以支持過程運(yùn)行，如商業(yè)秘密管理方針、商業(yè)秘密管理目標(biāo)、商業(yè)秘密管理文件等；b)

保留成文信息以確信其過程按策劃進(jìn)行，如本文件要求形成文件的程序和記錄。5 領(lǐng)導(dǎo)作用5.1 領(lǐng)導(dǎo)作用和承諾最高管理者應(yīng)通過以下方面，證實(shí)其對(duì)商業(yè)秘密管理體系的領(lǐng)導(dǎo)作用和承諾：a)

確保建立商業(yè)秘密管理方針和目標(biāo)，與企業(yè)戰(zhàn)略方向及所處的環(huán)境一致；b)

確保將商業(yè)秘密管理體系要求融入企業(yè)的相關(guān)業(yè)務(wù)過程中；c)

確保商業(yè)秘密管理體系所需的資源；d)

就有效的商業(yè)秘密管理和符合商業(yè)秘密管理體系要求的重要性進(jìn)行溝通；e)

確保商業(yè)秘密管理體系達(dá)到預(yù)期結(jié)果；f)

指導(dǎo)并支持相關(guān)人員為商業(yè)秘密管理體系的有效性做出貢獻(xiàn)；g)

促進(jìn)持續(xù)改進(jìn)；h)

支持其他相關(guān)管理人員，以證實(shí)在其職責(zé)范圍內(nèi)發(fā)揮領(lǐng)導(dǎo)作用；i)

確保商業(yè)秘密管理領(lǐng)導(dǎo)機(jī)構(gòu)的建立與運(yùn)行。5.2 商業(yè)秘密管理方針最高管理者應(yīng)建立、實(shí)施和保持商業(yè)秘密管理方針，該方針應(yīng)：a)

與企業(yè)的宗旨和所處的環(huán)境相適宜；b)

為建立商業(yè)秘密管理目標(biāo)提供框架；c)

包含滿足法律法規(guī)要求和其他要求的承諾；d)

包含持續(xù)改進(jìn)商業(yè)秘密管理體系的承諾；e)

在企業(yè)內(nèi)得到溝通與理解；f)

保持成文信息；g)

適當(dāng)時(shí)，可為相關(guān)方獲取。5.3 企業(yè)的角色、職責(zé)及權(quán)限D(zhuǎn)B34/T

4533—2023配職責(zé)和權(quán)限：a)

確保商業(yè)秘密管理體系符合本文件的要求；b)

向最高管理者報(bào)告商業(yè)秘密管理體系的績(jī)效以及改進(jìn)機(jī)會(huì)。6 策劃6.1 應(yīng)對(duì)風(fēng)險(xiǎn)和機(jī)遇的措施6.1.1總則6.1.1.1 在策劃商業(yè)秘密管理體系時(shí)，企業(yè)應(yīng)考慮

4.1

所提及的因素、4.2

所提及的要求和

4.3

定的范圍。6.1.1.2 企業(yè)應(yīng)確定與商業(yè)秘密泄漏和侵權(quán)、4.1

和

4.2

中識(shí)別的其他因素和要求相關(guān)的需要應(yīng)對(duì)的風(fēng)險(xiǎn)和機(jī)遇，以：——確保商業(yè)秘密管理體系實(shí)現(xiàn)預(yù)期結(jié)果；——增強(qiáng)有利影響；——預(yù)防或減少不期望的影響；——實(shí)現(xiàn)持續(xù)改進(jìn)。6.1.1.3 企業(yè)應(yīng)確定其商業(yè)秘密管理體系范圍內(nèi)的潛在緊急情況，包括那些可能發(fā)生商業(yè)秘密泄漏和侵權(quán)的潛在緊急情況。6.1.1.4 企業(yè)應(yīng)保持以下方面的成文信息：——需要應(yīng)對(duì)的風(fēng)險(xiǎn)和機(jī)遇；——6.1.1~6.1.3

中所需的過程，其詳盡程度應(yīng)確保這些過程和措施能按策劃得到實(shí)施。6.1.2 風(fēng)險(xiǎn)和機(jī)遇6.1.2.1 企業(yè)應(yīng)建立風(fēng)險(xiǎn)和機(jī)遇的評(píng)估準(zhǔn)則，識(shí)別和分析其活動(dòng)、產(chǎn)品和服務(wù)中能夠控制和能夠施加影響的商業(yè)秘密相關(guān)風(fēng)險(xiǎn)和機(jī)遇，并確定相應(yīng)的管理措施。6.1.2.2 企業(yè)應(yīng)保持以下方面的成文信息：——商業(yè)秘密相關(guān)風(fēng)險(xiǎn)，如泄漏風(fēng)險(xiǎn)、侵權(quán)風(fēng)險(xiǎn)（包括被侵權(quán)和被指控侵權(quán)風(fēng)險(xiǎn)）等；——商業(yè)秘密相關(guān)機(jī)遇；——風(fēng)險(xiǎn)和機(jī)遇的評(píng)估準(zhǔn)則。6.1.3 措施的策劃企業(yè)應(yīng)策劃：a)

措施，以：1)

應(yīng)對(duì)這些風(fēng)險(xiǎn)和機(jī)遇；2)

管理其商業(yè)秘密風(fēng)險(xiǎn)和機(jī)遇。b)

如何：1)

在其商業(yè)秘密管理體系過程中或其他業(yè)務(wù)過程中融入并實(shí)施這些措施；2)

評(píng)價(jià)這些措施的有效性。當(dāng)策劃措施時(shí)，企業(yè)應(yīng)考慮最佳實(shí)踐、可選技術(shù)方案以及財(cái)務(wù)、運(yùn)行和經(jīng)營(yíng)等要求。6.2 商業(yè)秘密管理目標(biāo)及其實(shí)現(xiàn)的策劃DB34/T

4533—20236.2.1 商業(yè)秘密管理目標(biāo)企業(yè)應(yīng)在相關(guān)職能和層級(jí)上建立商業(yè)秘密管理目標(biāo)。該目標(biāo)應(yīng)：a)

與商業(yè)秘密管理方針保持一致；b)

可測(cè)量（如可行）；c)

考慮適用的要求；d)

得到監(jiān)視；e)

予以溝通；f)

適當(dāng)時(shí)更新。企業(yè)應(yīng)保留商業(yè)秘密管理目標(biāo)的成文信息。6.2.2 實(shí)現(xiàn)商業(yè)秘密管理目標(biāo)的策劃在策劃如何實(shí)現(xiàn)商業(yè)秘密管理目標(biāo)時(shí)，企業(yè)應(yīng)確定：a)

需要做什么；b)

需要什么資源；c)

由誰負(fù)責(zé)；d)

何時(shí)完成；e)

如何評(píng)價(jià)結(jié)果；f)

如何將實(shí)現(xiàn)商業(yè)秘密管理目標(biāo)的措施融入其業(yè)務(wù)過程。6.3 變更的策劃當(dāng)企業(yè)確定需要對(duì)商業(yè)秘密管理體系進(jìn)行變更時(shí)，變更應(yīng)按所策劃的方式實(shí)施。7 支持7.1 資源企業(yè)應(yīng)確定并提供建立、實(shí)施、保持和持續(xù)改進(jìn)商業(yè)秘密管理體系所需的資源。包括：a)

配備所需的人員，以有效實(shí)施商業(yè)秘密管理體系，并運(yùn)行和控制其過程；b)

提供并維護(hù)所需的基礎(chǔ)設(shè)施設(shè)備，支撐商業(yè)秘密管理過程的運(yùn)行；c)

提供必要的經(jīng)費(fèi)，以保障商業(yè)秘密管理過程的運(yùn)行。7.2 能力企業(yè)應(yīng)：a)

確定影響商業(yè)秘密管理績(jī)效和有效性的人員所需具備的能力；b)

基于適當(dāng)?shù)慕逃?、培?xùn)或經(jīng)歷，確保人員具備勝任工作的能力；c)

在適用時(shí)，采取措施以獲得和保持所必需的能力，并評(píng)價(jià)所采取措施的有效性；d)

保留適當(dāng)?shù)某晌男畔?，作為人員能力的證據(jù)。7.3 意識(shí)企業(yè)應(yīng)確保在其控制下的人員理解：DB34/T

4533—2023a)

商業(yè)秘密管理方針和管理目標(biāo)；b)

其對(duì)商業(yè)秘密管理體系有效性的貢獻(xiàn)，包括改進(jìn)績(jī)效的益處；c)

不符合商業(yè)秘密管理體系要求的后果。7.4 溝通7.4.1 企業(yè)應(yīng)建立有效的溝通交流方式，確保商業(yè)秘密管理體系內(nèi)部不同層級(jí)之間的需求得到理解，并及時(shí)獲得反饋。7.4.2 企業(yè)應(yīng)建立必要的分層溝通機(jī)制，確保與商業(yè)秘密管理體系有關(guān)的內(nèi)部溝通和外部溝通，并應(yīng)確定不同層級(jí)溝通的內(nèi)容，包括：a)

溝通什么；b)

何時(shí)溝通；c)

與誰溝通；d)

如何溝通。7.4.3 企業(yè)在建立溝通過程時(shí)：——應(yīng)將其商業(yè)秘密管理方針、目標(biāo)、義務(wù)和保密文化納入溝通內(nèi)容；——應(yīng)確保所溝通的信息與來源于商業(yè)秘密管理體系的信息一致且可信。7.4.4 適當(dāng)時(shí)，企業(yè)應(yīng)保留成文信息作為其溝通的證據(jù)。7.5 成文信息7.5.1 總則企業(yè)的商業(yè)秘密管理體系成文信息包括：a)

本文件要求的成文信息；b)

企業(yè)所確定的實(shí)現(xiàn)商業(yè)秘密管理體系有效性所需的成文信息。通常包括商業(yè)秘密管理方針、商業(yè)秘密管理目標(biāo)、商業(yè)秘密管理文件等。7.5.2 創(chuàng)建和更新在創(chuàng)建和更新成文信息時(shí)，企業(yè)應(yīng)確保適當(dāng)?shù)模篴)

標(biāo)識(shí)和說明（如標(biāo)題、日期、作者、索引編號(hào)）；b)

形式（如語言、軟件版本、圖表）和載體（如紙質(zhì)的、電子的）；c)

評(píng)審和批準(zhǔn)，以確保適宜性和充分性。7.5.3 成文信息的控制7.5.3.1 應(yīng)控制商業(yè)秘密管理體系和本文件所要求的成文信息，以確保：a)

予以妥善保護(hù)（如防止泄密、不當(dāng)使用或缺失）；b)

在需要的場(chǎng)合和時(shí)機(jī)可獲得并適用。7.5.3.2 為控制成文信息，適用時(shí)，企業(yè)應(yīng)進(jìn)行下列活動(dòng)：a)

分發(fā)、訪問、檢索和使用；b)

存儲(chǔ)和防護(hù)；c)

更改控制（如版本控制）；d)

保留和處置。7.5.3.3 對(duì)于確定的策劃和運(yùn)行商業(yè)秘密管理體系所必需的來自外部的成文信息，企業(yè)應(yīng)進(jìn)行適當(dāng)識(shí)別并予以控制。DB34/T

4533—20237.5.3.4 對(duì)所保留的、作為符合性證據(jù)的成文信息應(yīng)予以保護(hù)，防止非預(yù)期的更改。8 運(yùn)行8.1 策劃和控制8.1.1 為滿足商業(yè)秘密管理體系的要求，并實(shí)施第

6

章所確定的措施，企業(yè)應(yīng)通過以下措施對(duì)所需的過程進(jìn)行策劃、實(shí)施和控制：a)

確定商業(yè)秘密管理要求；b)

建立過程準(zhǔn)則；c)

確定所需的資源；d)

按照準(zhǔn)則實(shí)施過程控制；e)

在必要的范圍和程度上，確定并保持、保留策劃和控制過程的成文信息，以確信過程已經(jīng)按策劃進(jìn)行。8.1.2 企業(yè)應(yīng)確保對(duì)外部提供的與商業(yè)秘密管理體系相關(guān)的產(chǎn)品、過程或服務(wù)實(shí)施控制。8.1.3 企業(yè)應(yīng)控制策劃的變更，評(píng)審非預(yù)期變更的后果，必要時(shí)，采取措施減輕不利影響。8.2 商業(yè)秘密的管理企業(yè)應(yīng)按照8.1的要求開展商業(yè)秘密的管理工作，包括但不限于：a)

識(shí)別和確定商業(yè)秘密；b)

采取措施隱藏商業(yè)秘密；c)

根據(jù)需要變更商業(yè)秘密；d)

解除不具有保密價(jià)值或由于特定因素導(dǎo)致被公開的商業(yè)秘密；e)

銷毀不需留存的商業(yè)秘密。企業(yè)應(yīng)定期對(duì)商業(yè)秘密管理措施進(jìn)行評(píng)審。8.3 涉密事項(xiàng)的管理企業(yè)應(yīng)按照8.1的要求開展涉密事項(xiàng)的管理工作，包括但不限于：a)

識(shí)別和確定涉密事項(xiàng)（如涉密人員、涉密載體、涉密物品、涉密區(qū)域、涉密商務(wù)活動(dòng)等）；b)

確定各涉密事項(xiàng)的管理過程或?qū)ο?；c)

制定各涉密事項(xiàng)的管理措施；d)

實(shí)施涉密事項(xiàng)的過程管理。企業(yè)應(yīng)定期對(duì)涉密事項(xiàng)管理措施進(jìn)行評(píng)審。附錄A給出了涉密事項(xiàng)管理措施。8.4 應(yīng)急準(zhǔn)備及響應(yīng)8.4.1 應(yīng)急準(zhǔn)備為了對(duì)6.1.1a)

針對(duì)商業(yè)秘密泄密、侵權(quán)等緊急情況策劃應(yīng)急預(yù)案；b)

為所策劃的響應(yīng)提供培訓(xùn)；c)

定期對(duì)策劃的應(yīng)急預(yù)案進(jìn)行測(cè)試或演練；d)

定期評(píng)審并修訂過程和策劃的響應(yīng)措施，特別是發(fā)生緊急情況后或進(jìn)行試驗(yàn)后。企業(yè)應(yīng)保留關(guān)于響應(yīng)潛在緊急情況的過程和計(jì)劃的成文信息。DB34/T

4533—20238.4.2 應(yīng)急響應(yīng)企業(yè)應(yīng)對(duì)已發(fā)生或疑似發(fā)生的泄密、侵權(quán)等緊急情況做出響應(yīng)，包括但不限于：a)

啟動(dòng)對(duì)商業(yè)秘密泄漏、侵權(quán)等緊急事件的核查，確認(rèn)事件發(fā)生的事實(shí)和過程；b)

分析商業(yè)秘密泄漏或侵權(quán)原因，判斷是否侵權(quán)，并評(píng)估事件的嚴(yán)重程度；c)

收集和固定商業(yè)秘密相關(guān)證據(jù)；必要時(shí)，可委托律師調(diào)查取證、通過公證機(jī)構(gòu)取證、向法院申請(qǐng)證據(jù)保全和/或申請(qǐng)法院調(diào)查取證；d)

依法開展維權(quán)，可按照

DB34/T

4317

的規(guī)定，向市場(chǎng)監(jiān)督管理部門、公安機(jī)關(guān)、人民法院、安全部門等尋求行政保護(hù)和司法保護(hù)。9 績(jī)效評(píng)價(jià)9.1 監(jiān)視、測(cè)量、分析與評(píng)價(jià)9.1.1企業(yè)應(yīng)建立、實(shí)施和保持用于監(jiān)視、測(cè)量、分析和評(píng)價(jià)商業(yè)秘密績(jī)效的過程。企業(yè)應(yīng)確定：a)

需要監(jiān)視測(cè)量的內(nèi)容；b)

適用時(shí)的監(jiān)視、測(cè)量、分析與評(píng)價(jià)的方法，以確保得到有效的結(jié)果；c)

企業(yè)評(píng)價(jià)其商業(yè)秘密績(jī)效所依據(jù)的準(zhǔn)則和適當(dāng)?shù)膮?shù)；d)

何時(shí)應(yīng)實(shí)施監(jiān)視和測(cè)量；e)

何時(shí)應(yīng)分析和評(píng)價(jià)監(jiān)視和測(cè)量的結(jié)果。9.1.2 企業(yè)應(yīng)評(píng)價(jià)其商業(yè)秘密績(jī)效和商業(yè)秘密管理體系的有效性。9.1.3 企業(yè)應(yīng)保留適當(dāng)?shù)某晌男畔ⅲ宰鳛榻Y(jié)果和證據(jù)。9.2 內(nèi)部審核9.2.1 總則企業(yè)應(yīng)按照策劃的時(shí)間間隔進(jìn)行內(nèi)部審核，以提供下列信息：a)

是否符合企業(yè)自身的商業(yè)秘密管理體系要求和本文件要求；b)

是否得到了有效的實(shí)施和保持。9.2.2 內(nèi)部審核方案企業(yè)應(yīng)：a)

在考慮相關(guān)過程的重要性和以往審核結(jié)果的情況下，策劃、建立、實(shí)施和保持審核方案，審核方案包括頻次、方法、職責(zé)、策劃要求和報(bào)告；b)

規(guī)定每次審核的審核準(zhǔn)則和范圍；c)

選擇審核員并實(shí)施審核，以確保審核過程的客觀性和公正性；d)

確保向相關(guān)管理者報(bào)告審核結(jié)果；e)

采取措施，以應(yīng)對(duì)不符合和持續(xù)改進(jìn)其商業(yè)秘密績(jī)效。9.3 管理評(píng)審9.3.1 總則審，以確保其持續(xù)的適宜性、充分性和有效性。DB34/T

4533—20239.3.2 管理評(píng)審輸入策劃和實(shí)施管理評(píng)審時(shí)應(yīng)考慮：a)

以往管理評(píng)審所采取措施的情況；b)

與商業(yè)秘密管理體系相關(guān)的內(nèi)外部因素的變化；c)

與商業(yè)秘密管理體系相關(guān)的相關(guān)方需求和期望的變化；d)

商業(yè)秘密管理目標(biāo)的實(shí)現(xiàn)程度；e)

應(yīng)對(duì)風(fēng)險(xiǎn)和機(jī)遇所采取措施的有效性；f)

資源的充分性；g)

內(nèi)部審核結(jié)果；h)

監(jiān)視測(cè)量的結(jié)果；i)

不符合及糾正措施；j)

持續(xù)改進(jìn)的機(jī)會(huì)。9.3.3 管理評(píng)審輸出管理評(píng)審的輸出應(yīng)包括與下列事項(xiàng)相關(guān)的決定和措施：a)

商業(yè)秘密管理體系所需的變更；b)

資源需求；c)

持續(xù)改進(jìn)的機(jī)會(huì)。企業(yè)應(yīng)保留成文信息，作為管理評(píng)審結(jié)果的證據(jù)。10 改進(jìn)10.1 不符合和糾正措施當(dāng)出現(xiàn)不符合時(shí)，企業(yè)應(yīng)：a)

對(duì)不符合做出應(yīng)對(duì)，并在適用時(shí)，采取措施以控制和糾正不符合，及處置后果；b)

評(píng)審和分析不符合，確定不符合的原因，確定是否存在或者可能發(fā)生類似的不符合；c)

實(shí)施所需的措施；d)

評(píng)審所采取措施的有效性；e)

需要時(shí)，變更商業(yè)秘密管理體系。糾正措施應(yīng)與所發(fā)生的不符合造成影響的重要程度相適應(yīng)。10.2 持續(xù)改進(jìn)10.2.1 評(píng)價(jià)等，以確定是否存在需求和機(jī)遇，這些需求和機(jī)遇應(yīng)作為持續(xù)改進(jìn)的一部分加以應(yīng)對(duì)。10.2.2 企業(yè)應(yīng)持續(xù)改進(jìn)商業(yè)秘密管理體系的適宜性、充分性和有效性，以提升商業(yè)秘密績(jī)效。DB34/T

4533—2023

附 錄 A（資料性）涉密事項(xiàng)管理措施示例下面給出了涉密事項(xiàng)管理措施的示例。XX

……一、涉密人員管理應(yīng)對(duì)涉密人員進(jìn)行保密管理：a)

應(yīng)制定涉密人員管理制度，明確涉密人員的應(yīng)聘、入職、在職、離職等環(huán)節(jié)的管理要求；b)

應(yīng)對(duì)涉密崗位的應(yīng)聘人員進(jìn)行保密事項(xiàng)提醒，對(duì)涉密崗位的擬入職人員進(jìn)行背景調(diào)查；應(yīng)要求其做出不侵犯前雇主的商業(yè)秘密、不違反與前雇主簽訂的競(jìng)業(yè)限制協(xié)議等承諾；c)

可簽署競(jìng)業(yè)限制協(xié)議；開展新入職人員的保密教育培訓(xùn)，培訓(xùn)結(jié)束后并進(jìn)行考核，保存培訓(xùn)和考核記錄；d)

應(yīng)對(duì)在職人員進(jìn)行管理，建立涉密人員名單，實(shí)施分級(jí)管理；定期開展保密教育培訓(xùn)，對(duì)進(jìn)行涉密接觸權(quán)限的調(diào)整；e)

應(yīng)對(duì)涉密人員離職進(jìn)行管理，對(duì)其使用的涉密設(shè)備、涉密載體、涉密文件及相關(guān)物品進(jìn)行清查并移交；開展離職面談，告知其離職后應(yīng)負(fù)有的保密義務(wù)；應(yīng)完成涉密載體的交接，開展離職涉密審查，簽署保密承諾書；宜對(duì)其離職后的去向進(jìn)行追蹤；f)

應(yīng)對(duì)聘任或委托外聘的專家、顧問、翻譯、律師等可能接觸涉密信息的外部人員簽訂保密協(xié)議或保密承諾書，宜進(jìn)行背景調(diào)查；臨時(shí)訪問人員需要接觸或可能接觸商業(yè)秘密時(shí)，應(yīng)經(jīng)審批和登記，簽訂保密協(xié)議或保密承諾書，并安排保密人員全程陪同；……應(yīng)保留涉密人員管理的成文信息。二、涉密載體管理應(yīng)對(duì)涉密載體進(jìn)行保密管理：a)

應(yīng)制定涉密載體管理制度，明確涉密載體的識(shí)別和確定、制作、使用、保存、維修和銷毀等環(huán)節(jié)的管理要求；b)

應(yīng)識(shí)別和確定企業(yè)所有涉密載體，建立涉密載體臺(tái)賬，宜按照涉密信息的密級(jí)和性質(zhì)進(jìn)行分類，實(shí)行分級(jí)管理；應(yīng)定期對(duì)涉密載體進(jìn)行清點(diǎn)和核查，確定涉密載體的數(shù)量、位置、狀況等信息；c)

涉密載體制作過程應(yīng)進(jìn)行保密，由專人負(fù)責(zé)制作、收轉(zhuǎn)、存檔，并在涉密載體的適當(dāng)位置標(biāo)注涉密標(biāo)志；秘密載體宜在本單位制作，委托外單位制作應(yīng)事前簽訂保密協(xié)議；d)

涉密載體的使用（包括查閱、借閱、復(fù)印、拷貝等）應(yīng)履行審批和登記手續(xù)，并對(duì)涉密載體的流轉(zhuǎn)過程進(jìn)行記錄；e)

涉密載體應(yīng)保存在涉密區(qū)域的專用設(shè)備中，并由專人負(fù)責(zé)保管；涉密載體的維修，應(yīng)指定10DB34/T

4533—2023專人全程現(xiàn)場(chǎng)監(jiān)督；f)

涉密載體的維修和銷毀應(yīng)履行審批和登記手續(xù)，按照規(guī)定的程序和方法，并在專人監(jiān)督下進(jìn)行；……應(yīng)保留涉密載體管理的成文信息。三、涉密物品管理應(yīng)對(duì)涉密物品進(jìn)行保密管理：a)

應(yīng)制定涉密物品管理制度，明確涉密物品的識(shí)別和確定、生產(chǎn)和加工、使用、保存、維修和銷毀等環(huán)節(jié)的管理要求；b)

應(yīng)識(shí)別和認(rèn)定企業(yè)所有涉密物品，建立涉密物品臺(tái)賬，宜實(shí)行分級(jí)管理，并在醒目位置粘貼（懸掛）涉密指示標(biāo)識(shí)和禁止行為的警示標(biāo)識(shí)；應(yīng)定期對(duì)涉密物品進(jìn)行清點(diǎn)和核查，確定涉密物品的數(shù)量、位置、狀況等信息；c)

應(yīng)在涉密區(qū)域內(nèi)進(jìn)行涉密物品的生產(chǎn)和加工，宜根據(jù)涉密物品生產(chǎn)和加工流程，安排不同的人員負(fù)責(zé)不同的環(huán)節(jié)；d)

應(yīng)在涉密區(qū)域內(nèi)使用涉密物品，并履行使用登記程序；對(duì)外銷售的涉密物品，應(yīng)與客戶簽訂保密協(xié)議或在銷售合同中增加保密義務(wù)條款，宜采取足以對(duì)抗不特定第三人通過反向工程獲取其技術(shù)秘密的保護(hù)措施；e)

應(yīng)在指定的涉密區(qū)域存放涉密物品，并指定專人