企業(yè)商業(yè)秘密管理規(guī)范

1企業(yè)商業(yè)秘密管理規(guī)范本文件規(guī)定了企業(yè)商業(yè)秘密管理的總體要求，以及組織、制度、信息、人員、區(qū)域、物品及載體、信息系統(tǒng)、評估與改進和泄密事件的管理要求。本文件適用于企業(yè)的商業(yè)秘密管理。事業(yè)單位、研究機構(gòu)、協(xié)會等組織的商業(yè)秘密管理可參照本文件執(zhí)行。2規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T19001—2016質(zhì)量管理體系要求GB/T22080—2016信息技術(shù)安全技術(shù)信息安全管理體系要求3術(shù)語和定義下列術(shù)語和定義適用于本文件。3.1商業(yè)秘密tradesecrets不為公眾所知悉、具有商業(yè)價值并經(jīng)權(quán)利人采取相應(yīng)保密措施的技術(shù)信息、經(jīng)營信息等商業(yè)信息。3.2含有商業(yè)秘密信息的設(shè)備和產(chǎn)品。3.3涉密載體secret-relatedcarriers以文字、數(shù)據(jù)、符號、圖形、圖像、視頻和音頻等方式記錄商業(yè)秘密信息的介質(zhì)。3.4涉密計算機secret-relatedcomputers處理或存儲商業(yè)秘密信息的臺式機、便攜機、一體機、平板等各類計算機。3.5涉密區(qū)域secret-relatedplaces含有商業(yè)秘密信息、人員進入后可能接觸到商業(yè)秘密的物理區(qū)域。4總體要求24.1企業(yè)應(yīng)按照GB/T22080—2016、GB/T19001—2016和本文件的要求建立、實施、持續(xù)改進商業(yè)秘密管理體系，將商業(yè)秘密管理貫徹到企業(yè)的全部經(jīng)營活動中，包括但不限于生產(chǎn)、研發(fā)、銷售、采購、財務(wù)、人事、行政、商業(yè)合作等。4.2企業(yè)的商業(yè)秘密管理工作應(yīng)由企業(yè)最高管理者牽頭，高管負責，專人管理，全員參與。4.3企業(yè)商業(yè)秘密信息的管理應(yīng)遵循最小授權(quán)原則、必須授權(quán)原則、審批原則、受控原則、可追溯原4.4企業(yè)應(yīng)制定商業(yè)秘密管理目標，確定保密、效率、成本三者之間的關(guān)系。5商業(yè)秘密管理組織5.1企業(yè)最高管理者應(yīng)具備商業(yè)秘密管理意識，保障商業(yè)秘密管理資源投入，實現(xiàn)以下關(guān)于商業(yè)秘密管理的要求：a)建立商業(yè)秘密管理方針和目標；b)將商業(yè)秘密管理要求整合到企業(yè)的業(yè)務(wù)中；c)要求員工加強商業(yè)秘密保護意識；d)管理并支持員工為商業(yè)秘密管理體系的實施持續(xù)努力；e)促進商業(yè)秘密管理體系的持續(xù)改進。5.2企業(yè)應(yīng)設(shè)置專門的商業(yè)秘密管理部門，或由具備商業(yè)秘密管理職能的部門開展商業(yè)秘密管理工作。商業(yè)秘密管理部門的組織機構(gòu)、職責和工作范圍可按以下方式確定：a)指定專人作為商業(yè)秘密管理部門的負責人，負責企業(yè)商業(yè)秘密管理體系的決策、管理、實施并向企業(yè)最高管理者匯報，也可由企業(yè)最高管理者直接負責商業(yè)秘密管理部門；b)配備專職的商業(yè)秘密管理人員，或由法務(wù)、信息安全等部門人員兼任商業(yè)秘密管理工作；c)商業(yè)秘密管理部門可設(shè)立兩個以上層級的商業(yè)秘密管理組織架構(gòu)；注：如負責決策的商業(yè)秘密管理委員會和負責執(zhí)行決策、統(tǒng)籌d)商業(yè)秘密管理部門可根據(jù)職能設(shè)置不同的工作小組，分別負責制度、信息技術(shù)、宣傳培訓(xùn)、檢查評估等工作；e)商業(yè)秘密管理部門的職責應(yīng)包括商業(yè)秘密信息、涉密物品、涉密載體、涉密部門、涉密人員、涉密區(qū)域等的識別和管理，管理制度的制定、執(zhí)行、檢查、改進，員工的保密宣傳、培訓(xùn)、考核，以及泄密事件的內(nèi)部處理和法律維權(quán)等；f)商業(yè)秘密管理部門應(yīng)定期組織會議，對商業(yè)秘密信息的識別與分級、管理制度的修訂、信息技術(shù)的實施等重大事項進行決策。5.3企業(yè)應(yīng)指定各業(yè)務(wù)部門的管理者作為各業(yè)務(wù)部門商業(yè)秘密管理的責任人，同時可在重點業(yè)務(wù)部門配備專職保密員，或由其他員工兼任該部門的商業(yè)秘密管理工作，共同負責管理制度在本部門的落地，承擔相應(yīng)的泄密責任。5.4企業(yè)設(shè)立專門商業(yè)秘密管理部門的，應(yīng)明確商業(yè)秘密管理部門和法務(wù)部、信息部、審計部等部門的分工，分別負責以下工作：a)制定商業(yè)秘密管理標準、制度和流程；b)組織商業(yè)秘密管理宣傳、培訓(xùn)、考核；c)負責信息技術(shù)手段的落地與支持；d)處理泄密事件；e)監(jiān)督商業(yè)秘密管理工作的執(zhí)行；f)對商業(yè)秘密管理體系進行評估與改進。36商業(yè)秘密管理制度6.1企業(yè)應(yīng)制定商業(yè)秘密管理的總體綱領(lǐng)文件，內(nèi)容可包括商業(yè)秘密管理的目標、方針、適用范圍、定義、策略、原則等。6.2企業(yè)應(yīng)制定商業(yè)秘密管理組織的運作機制文件，內(nèi)容可包括商業(yè)秘密管理部門和各業(yè)務(wù)部門的組織架構(gòu)、職責與分工、年度工作計劃等。6.3企業(yè)應(yīng)制定適用于整個企業(yè)的商業(yè)秘密管理制度，內(nèi)容可包括：a)商業(yè)秘密信息的識別與分級；b)涉密物品管理；c)涉密載體管理；d)涉密紙質(zhì)文檔管理；e)涉密計算機管理；f)涉密網(wǎng)絡(luò)管理；g)涉密區(qū)域管理；h)涉密人員管理；i)泄密事件管理；j)獎懲管理。6.4企業(yè)可根據(jù)研發(fā)、生產(chǎn)、銷售、采購、信息技術(shù)、財務(wù)、行政等業(yè)務(wù)部門的工作流程和特點，分別制定適用于各個業(yè)務(wù)部門的商業(yè)秘密管理制度。6.5企業(yè)可編制下列清單以明確商業(yè)秘密管理制度的管控對象：a)商業(yè)秘密信息及分級；b)涉密人員及崗位；c)涉密計算機；d)涉密物品；e)涉密信息系統(tǒng)。6.6商業(yè)秘密管理總綱、制度等文件均應(yīng)形成企業(yè)級文件后在企業(yè)內(nèi)部傳達，并持續(xù)運行和改進。7商業(yè)秘密信息管理7.1識別7.1.1企業(yè)應(yīng)評估并識別商業(yè)秘密信息。具體技術(shù)秘密和經(jīng)營秘密的表現(xiàn)形式可參考附錄A。7.1.2各業(yè)務(wù)部門經(jīng)營活動中產(chǎn)生的商業(yè)秘密信息應(yīng)及時報送商業(yè)秘密管理部門登記，商業(yè)秘密管理部門應(yīng)定期更新商業(yè)秘密信息清單。7.2分級7.2.1企業(yè)對商業(yè)秘密信息進行評估時可考慮但不限于以下因素：a)商業(yè)秘密信息的經(jīng)濟價值；b)產(chǎn)生商業(yè)秘密信息投入的成本；c)商業(yè)秘密信息對企業(yè)的重要程度；d)競爭對手獲取商業(yè)秘密后產(chǎn)生的價值；e)商業(yè)秘密泄露后產(chǎn)生的經(jīng)濟損失；f)商業(yè)秘密泄露后可能承擔的法律責任；4g)商業(yè)秘密信息在企業(yè)內(nèi)部可查閱的范圍；h)對商業(yè)秘密采取保密措施所需的成本。7.2.2企業(yè)應(yīng)根據(jù)評估結(jié)果將商業(yè)秘密信息進行分級管理，商業(yè)秘密信息的級別應(yīng)在其載體上明確標7.2.3企業(yè)應(yīng)分部門建立商業(yè)秘密信息清單，內(nèi)容包括商業(yè)秘密信息名稱、密級、管理人、載體、查閱范圍等。7.3存檔和保管7.3.1各業(yè)務(wù)部門應(yīng)指定專人負責本部門涉密載體的存檔和保管。7.3.2應(yīng)使用保密柜等具有保密功能的設(shè)備來存放涉密載體。7.3.3存放涉密載體的區(qū)域應(yīng)配備監(jiān)控攝像頭、火災(zāi)報警等安防設(shè)備。7.4流轉(zhuǎn)7.4.1涉密紙質(zhì)文檔的傳遞應(yīng)采取密封包裝、專人專車、EMS快遞等保密措施。7.4.2涉密物品等實物的流轉(zhuǎn)，應(yīng)采取包裝、密封等保密措施。7.4.3商業(yè)秘密信息只能在企業(yè)內(nèi)部流轉(zhuǎn)，因工作需要流出到外部需要經(jīng)過審批。7.5備份7.5.1企業(yè)應(yīng)定期對商業(yè)秘密信息進行備份，可根據(jù)商業(yè)秘密信息級別的不同分別確定備份保留時間。7.5.2企業(yè)員工未經(jīng)審批不能訪問備份商業(yè)秘密信息，因工作需要臨時訪問應(yīng)由負責人進行審批并保留記錄。7.6復(fù)制7.6.1企業(yè)員工未經(jīng)授權(quán)不應(yīng)復(fù)制或打印商業(yè)秘密信息，因工作需要臨時復(fù)制或打印商業(yè)秘密信息應(yīng)由責任人進行審批并保留記錄。7.6.2企業(yè)員工復(fù)制或打印商業(yè)秘密信息前應(yīng)標明總頁數(shù)及當前頁，打印時必須在打印機旁守候，打印后及時取走不能遺留。7.7發(fā)布7.7.1對外發(fā)布的內(nèi)容可能包含商業(yè)秘密信息的，發(fā)布前應(yīng)由商業(yè)秘密管理部門進行審批。7.7.2宜用商業(yè)秘密保護而不宜公開的內(nèi)容不應(yīng)申請專利。7.8加密及解密7.8.1商業(yè)秘密信息宜通過企業(yè)的加密系統(tǒng)進行加密。加密系統(tǒng)應(yīng)采取密鑰備份、雙人控制等安全管理措施。7.8.2企業(yè)應(yīng)指定各部門的責任人或保密員管理各部門的解密權(quán)限。員工申請解密的，應(yīng)明確相應(yīng)的使用人、項目、具體事由、日期。解密后的信息應(yīng)及時回收并做相應(yīng)處理。7.9銷毀7.9.1商業(yè)秘密信息載體的銷毀過程應(yīng)采取監(jiān)督措施。57.9.2應(yīng)根據(jù)商業(yè)秘密信息載體的不同采取妥善的銷毀方式，確保信息不可恢復(fù)。紙質(zhì)文檔應(yīng)使用碎紙機徹底粉碎；硬盤、U盤等采用消磁的方式徹底銷毀存儲內(nèi)容。7.10可追溯7.10.1所有商業(yè)秘密信息的產(chǎn)生、保存、流轉(zhuǎn)、復(fù)制、發(fā)布、解密、銷毀等均應(yīng)保留記錄。7.10.2記錄的留存時間根據(jù)商業(yè)秘密信息的重要性、儲存成本決定。8員工管理8.1入職管理8.1.1涉密人員入職前應(yīng)審查其工作背景，審查范圍可包括其過往任職的單位、擔任的職務(wù)、工作內(nèi)容、是否有涉及知識產(chǎn)權(quán)糾紛等。8.1.2企業(yè)應(yīng)與涉密人員簽訂競業(yè)限制協(xié)議（見附錄B）。8.1.3新入職或轉(zhuǎn)崗到涉密崗位的涉密人員應(yīng)簽訂與其工作內(nèi)容相適應(yīng)的保密協(xié)議（見附錄C）。高級管理人員、重點項目、商業(yè)秘密管理部門員工等重點崗位的涉密人員應(yīng)明確其保密范圍和接觸的商業(yè)秘密信息。8.1.4涉密人員入職前，應(yīng)通過面談或培訓(xùn)等方式明確告知其保密義務(wù)等注意事項。8.1.5涉密人員曾在存在競爭關(guān)系的企業(yè)工作過的，入職前應(yīng)采取以下脫密措施以避免侵害他人的商業(yè)秘密：a)要求涉密人員提供與原企業(yè)的保密協(xié)議、競業(yè)限制協(xié)議，或其他與保密義務(wù)有關(guān)的文件；b)提醒涉密人員工作中不能使用原企業(yè)的商業(yè)秘密信息；c)簽署不侵犯原企業(yè)商業(yè)秘密的承諾函（見附錄Dd)檢查涉密人員有無攜帶或使用原企業(yè)的商業(yè)秘密信息。8.2保密教育8.2.1企業(yè)對員工開展保密教育的內(nèi)容應(yīng)包括以下方面：a)商業(yè)秘密的重要性；b)商業(yè)秘密屬于企業(yè)的職務(wù)成果；c)哪些行為可能泄露或侵害企業(yè)的商業(yè)秘密；d)侵害商業(yè)秘密可能承擔的法律責任；e)企業(yè)的商業(yè)秘密管理制度；f)其他與保密義務(wù)、保密范圍、保密行為有關(guān)的內(nèi)容。8.2.2企業(yè)開展保密培訓(xùn)的形式可以是線下、線上集中培訓(xùn)，或錄制成視頻、音頻課程，并保存好培訓(xùn)記錄?？赏ㄟ^以下方式對員工開展保密培訓(xùn)：a)對新入職的員工開展保密培訓(xùn)；b)定期對全體員工開展保密培訓(xùn)；c)對重點崗位、重要涉密人員定期開展專項保密培訓(xùn)。8.2.3企業(yè)可通過以下方式對員工開展保密宣傳：a)發(fā)放員工手冊；b)定期線上向員工推送宣傳案例；c)組織答題競賽；d)在辦公場所內(nèi)張貼宣傳標語、播放宣傳視頻；6e)召開全員保密動員大會。8.2.4企業(yè)可定期組織員工進行商業(yè)秘密保護知識考核，考核結(jié)果應(yīng)歸檔并整理，用于改進宣傳、培訓(xùn)的內(nèi)容?？己私Y(jié)果可與員工績效獎掛鉤以促進員工增強保密意識。8.3履職管理8.3.1員工所在的業(yè)務(wù)部門應(yīng)督促員工熟悉并遵守企業(yè)制定的各項商業(yè)秘密管理制度，按以下要求以保護員工所在崗位接觸到的商業(yè)秘密不被泄露：a)工作中產(chǎn)生的商業(yè)秘密信息應(yīng)及時上報商業(yè)秘密管理部門登記管理；b)獲取、使用、披露企業(yè)的商業(yè)秘密信息要有授權(quán)或取得臨時審批；c)獲取、使用、披露企業(yè)的商業(yè)秘密信息要保留相應(yīng)的記錄；d)避免非授權(quán)人員獲取本崗位的商業(yè)秘密信息；e)不進入非授權(quán)區(qū)域；f)不使用非授權(quán)設(shè)備、網(wǎng)絡(luò)、賬號。8.3.2企業(yè)應(yīng)建立商業(yè)秘密管理獎懲制度。違反企業(yè)商業(yè)秘密管理規(guī)定的處罰結(jié)果應(yīng)形成書面文件，在企業(yè)內(nèi)部通報并存檔。鼓勵員工舉報違反企業(yè)商業(yè)秘密管理規(guī)定的行為，鼓勵員工發(fā)現(xiàn)企業(yè)商業(yè)秘密管理體系、措施、技術(shù)手段存在的漏洞，對采納的線索或意見給予獎勵。8.3.3企業(yè)員工參加的工作會議等活動涉及商業(yè)秘密的，可采取以下保密措施：a)在涉密區(qū)域內(nèi)召開；b)使用保密會議室；c)參加會議的員工應(yīng)具備接觸所涉商業(yè)秘密的權(quán)限或經(jīng)審批；d)告知其保密要求或簽署保密承諾；e)限制使用手機、便攜機或拍攝、錄音設(shè)備，使用防錄音裝置；f)重要涉密紙質(zhì)文檔做好標識，會議后檢查并回收。8.4離職管理8.4.1涉密人員離職前應(yīng)與之談話，告知其保密義務(wù)、禁止行為以及違反保密義務(wù)的法律責任。8.4.2企業(yè)應(yīng)要求離職的涉密人員主動向指定人員移交所有的原始涉密載體且不應(yīng)刪除或篡改，刪除其復(fù)制的電子數(shù)據(jù)并簽收交接清單。8.4.3企業(yè)應(yīng)回收并注銷離職員工所有的域名、應(yīng)用系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)、門禁系統(tǒng)賬號或訪問權(quán)限，及時通知與離職員工有關(guān)的供應(yīng)商、客戶、合作單位等，告知工作交接情況。8.4.4涉密人員離職前應(yīng)做如下檢查：a)工作電腦數(shù)據(jù)是否完整，是否有刪除、復(fù)制痕跡；b)工作電腦上是否有權(quán)限之外的文檔；c)工作系統(tǒng)、軟件的賬戶的訪問日志是否有異常；d)是否有非工作時間登錄、頻繁登錄、批量下載、刪除、修改的異常行為痕跡；e)是否有訪問外部郵箱的記錄；f)是否有對外發(fā)送商業(yè)秘密信息的記錄；g)檢查員工離職前一定期限內(nèi)的商業(yè)秘密信息的查閱和使用情況有無異常。8.4.5離職檢查過程中如發(fā)現(xiàn)離職員工可能侵害企業(yè)商業(yè)秘密的，應(yīng)及時收集并固定證據(jù)，按照企業(yè)泄密事件管理規(guī)定處理。8.4.6企業(yè)應(yīng)根據(jù)需要決定是否對離職員工啟動競業(yè)限制，定期掌握涉密崗位離職員工在離職后特別是競業(yè)限制期限內(nèi)的任職情況。79外部人員管理9.1外部人員進入企業(yè)應(yīng)出示證件并履行登記程序，佩戴與員工不同顏色的出入卡。訪問涉密區(qū)域應(yīng)經(jīng)審批并進行登記，告知其禁止錄音、攝影、攝像、使用便攜機、移動存儲介質(zhì)等設(shè)備，限制手機等器材的拍攝功能，并安排專人全程陪同。進入企業(yè)參觀的，應(yīng)設(shè)置專門的參觀路線以避開涉密區(qū)域，參觀路線上可能涉及的商業(yè)秘密信息應(yīng)采取隱秘措施。9.2外部企業(yè)需要接觸企業(yè)商業(yè)秘密信息的，應(yīng)與該企業(yè)及相關(guān)人員簽訂保密協(xié)議（見附錄E）或以其他書面形式約定保密義務(wù)，內(nèi)容包括涉密載體、保密范圍、保密義務(wù)及違約責任等。因訴訟、仲裁等司法活動需要向第三人披露商業(yè)秘密信息又無法簽訂保密協(xié)議的，可申請不公開質(zhì)證或其他保密程序。9.3專家、顧問、律師、會計師等外部人員因工作需要在短期內(nèi)大量接觸企業(yè)商業(yè)秘密信息的，可要求其使用企業(yè)提供的保密計算機并對信息進行加密。需要通過企業(yè)內(nèi)部網(wǎng)絡(luò)接入涉密計算機或設(shè)備的，應(yīng)通過堡壘機采取保密措施。9.4涉密項目需要長期向供應(yīng)商或外部研發(fā)企業(yè)提供商業(yè)秘密信息的，或因維修、研發(fā)等需要經(jīng)常進入涉密區(qū)域的，可要求外部企業(yè)采取以下保密措施：a)與參與項目的外部企業(yè)員工簽訂個人保密協(xié)議；b)使用企業(yè)提供的保密計算機；c)使用企業(yè)提供的加密系統(tǒng)；d)使用企業(yè)提供的加密存儲介質(zhì)；e)對外部人員使用的便攜機等設(shè)備進行檢查。9.5與外部人員召開的重要涉密會議，應(yīng)避免使用遠程視頻或音頻、電話會議。涉密會議應(yīng)采取以下保密措施：a)在涉密區(qū)域內(nèi)召開；b)使用保密會議室；c)告知保密要求或簽署保密承諾；d)采取會議密碼、屏幕水印等保密措施。10物理區(qū)域管理10.1企業(yè)內(nèi)部的辦公區(qū)域應(yīng)根據(jù)商業(yè)秘密信息劃分為不同的涉密區(qū)域，可按涉密區(qū)域、辦公區(qū)域、外部接待區(qū)域三級分區(qū)。涉密區(qū)域可包括核心產(chǎn)品或服務(wù)的研發(fā)、生產(chǎn)，存儲商業(yè)秘密信息的數(shù)據(jù)中心、檔案中心等。不同密級的區(qū)域之間應(yīng)采取物理門、墻、隔斷等物理隔離措施。密級高的辦公區(qū)域應(yīng)設(shè)置在離企業(yè)出入口相對較遠的位置。10.2涉密區(qū)域可采取如下保密措施：a)使用獨立、封閉的辦公區(qū)域，不宜使用開放式辦公或多部門混合辦公；b)人員進出需具備相應(yīng)權(quán)限且佩戴身份標識卡，非授權(quán)人員因工作需要出入需經(jīng)審批取得臨時授權(quán)，外部人員進入需有專人全程陪同；c)出入口配備安保人員及安防設(shè)備；d)不應(yīng)攜帶手機、便攜機、平板、智能手表等具備拍攝、錄音、存儲功能的設(shè)備器材；e)不應(yīng)非授權(quán)人員接入涉密網(wǎng)絡(luò)；f)區(qū)域內(nèi)部覆蓋實時面部識別、動作識別、異常行為識別的高清攝像頭；g)內(nèi)部設(shè)置專門的涉密會議室或電話室；h)涉密計算機配備防偷窺、防拍照措施。810.3存放商業(yè)秘密信息的數(shù)據(jù)中心、文檔中心應(yīng)設(shè)置在隱蔽的位置，遠離非涉密區(qū)域且不宜張貼明確標識以防侵入。10.4涉密區(qū)域入口處應(yīng)張貼涉密區(qū)域級別標識和“禁止攜帶違禁品”標識，區(qū)域內(nèi)部應(yīng)張貼“禁止拍攝”等禁止標識。10.5涉密區(qū)域的出入口可采取以下安保措施：a)使用指紋、人臉識別、瞳孔等技術(shù)手段的防尾隨門禁，不宜使用刷卡或密碼門禁；b)配備檢測設(shè)備以限制攜帶手機、便攜機等違禁品出入；c)配備視頻監(jiān)控及報警系統(tǒng)，對非法闖入或攜帶違禁品進入實時報警；d)設(shè)置監(jiān)控中心并配備專職人員實時監(jiān)控；e)設(shè)置臨時儲物柜以存放限制物品。10.6企業(yè)應(yīng)根據(jù)業(yè)務(wù)和保密要求的不同，將內(nèi)部網(wǎng)絡(luò)劃分為不同的網(wǎng)絡(luò)區(qū)域。涉密區(qū)域的涉密網(wǎng)絡(luò)可采取以下保密措施：a)不應(yīng)接入外網(wǎng)；b)與其他內(nèi)部網(wǎng)絡(luò)隔離，不能相互連通；c)與其他內(nèi)部網(wǎng)絡(luò)采取不同的分級管理措施；d)禁止使用無線網(wǎng)絡(luò)、無線熱點；e)訪問涉密區(qū)域網(wǎng)絡(luò)的設(shè)備應(yīng)使用終端準入限制；f)不應(yīng)內(nèi)部網(wǎng)絡(luò)設(shè)備接入外網(wǎng)；g)通過VPN等方式遠程接入涉密區(qū)域網(wǎng)絡(luò)應(yīng)使用終端準入、身份安全等驗證措施；h)配備獨立的網(wǎng)絡(luò)基礎(chǔ)設(shè)施。10.7企業(yè)應(yīng)設(shè)置專門的外部接待區(qū)域用于接待外部人員或用于臨時辦公、會議，非經(jīng)審批不應(yīng)允許外部人員進入內(nèi)部區(qū)域或涉密區(qū)域辦公。11物品及載體管理11.1計算機11.1.1涉密計算機宜使用云桌面系統(tǒng)辦公以將工作數(shù)據(jù)存儲在內(nèi)部云服務(wù)器上，不宜存儲在涉密計算機的本地存儲中。11.1.2應(yīng)關(guān)閉或禁用涉密計算機的移動存儲、光驅(qū)、藍牙、無線網(wǎng)卡等數(shù)據(jù)傳輸功能模塊，以及攝像頭、聲卡、話筒等音視頻采集設(shè)備，未經(jīng)許可不應(yīng)使用。11.1.3涉密計算機硬件的配置、維修、報廢均應(yīng)經(jīng)過審批或授權(quán)交由指定人員處理，應(yīng)使用封條封住主機以禁止員工私自拆機維修、更換、增加硬件配件。11.1.4計算機未經(jīng)批準不應(yīng)安裝非授權(quán)軟件。11.1.5計算機的網(wǎng)絡(luò)接入、網(wǎng)絡(luò)配置均應(yīng)按規(guī)定設(shè)置，不應(yīng)接入非授權(quán)網(wǎng)絡(luò)。11.1.6涉密便攜機應(yīng)設(shè)置身份驗證、硬盤口令，封閉攝像頭和麥克風功能，存放時使用帶鎖的保密柜。不宜在涉密區(qū)域使用便攜機辦公。11.2智能手機11.2.1涉密區(qū)域不應(yīng)使用個人智能手機。如攜帶個人智能手機進入涉密區(qū)域應(yīng)關(guān)閉或禁用攝像頭、麥克風，不應(yīng)在涉密區(qū)域內(nèi)拍攝、錄音、設(shè)置熱點。911.2.2個人智能手機不應(yīng)接入存有商業(yè)秘密信息的軟件及信息系統(tǒng)，避免在個人手機內(nèi)存儲商業(yè)秘密信息。11.2.3個人智能手機不應(yīng)接入企業(yè)涉密網(wǎng)絡(luò)。11.3紙質(zhì)文檔11.3.1涉密紙質(zhì)文檔應(yīng)存放在涉密區(qū)域內(nèi)，打印、復(fù)印、掃描、查閱、借用等使用涉密紙質(zhì)文檔應(yīng)由專人專管并登記。11.3.2企業(yè)應(yīng)配備打印管控系統(tǒng)管理紙質(zhì)文檔的打印、復(fù)印、掃描，并保留記錄及備份。打印、復(fù)印、傳真涉密紙質(zhì)文檔時應(yīng)具備授權(quán)并在機器旁守候及時取走文檔。掃描紙質(zhì)文檔不應(yīng)使用公共盤存儲。11.3.3廢棄的紙質(zhì)文檔應(yīng)通過碎紙機粉碎，不應(yīng)隨意丟棄。11.4產(chǎn)品11.4.1涉密項目的半成品、樣品應(yīng)由專人管理，放置在保密柜或?qū)ｉT的存儲室保管，出入口配備攝像頭監(jiān)控。攜帶外出時應(yīng)采取包裝等保密措施。11.4.2涉密項目的不良品應(yīng)交由專人處理或報廢，不應(yīng)隨意丟棄。11.4.3涉密產(chǎn)品、半成品、原料等的標簽應(yīng)替換為企業(yè)內(nèi)部的編碼統(tǒng)一管理。11.5移動存儲介質(zhì)11.5.1未經(jīng)審批不應(yīng)使用移動存儲設(shè)備存儲商業(yè)秘密信息。涉密移動存儲介質(zhì)不應(yīng)連接非涉密或未采取保密措施的計算機及電子設(shè)備。11.5.2涉密移動存儲介質(zhì)應(yīng)由專人專管，且使用身份識別、內(nèi)容加密、設(shè)備綁定等保密措施。12信息系統(tǒng)管理12.1權(quán)限管理12.1.1商業(yè)秘密管理部門應(yīng)統(tǒng)一管理對涉密信息系統(tǒng)的授權(quán)及審批。12.1.2權(quán)限到期、人員變更或離職、項目變更等情況應(yīng)及時變更、回收相應(yīng)的信息系統(tǒng)權(quán)限。12.1.3信息系統(tǒng)的權(quán)限管理應(yīng)保留記錄日志，用于定期檢查各信息系統(tǒng)用戶的訪問權(quán)限、特別授權(quán)等權(quán)限管理是否存在漏洞。12.1.4信息系統(tǒng)的管理員權(quán)限應(yīng)在不同人員之間進行分配，避免由超級管理員管理整個系統(tǒng)或若干個系統(tǒng)的情況。12.2賬號及口令12.2.1業(yè)務(wù)部門設(shè)置公用賬號、匿名賬號等特殊賬號應(yīng)經(jīng)過商業(yè)秘密管理部門審批。12.2.2外部人員的賬號應(yīng)與內(nèi)部員工賬號有明顯的區(qū)別。12.2.3賬號應(yīng)同時包括特殊符號、大寫英文字母、小寫英文字母、數(shù)字四種不同字符。12.2.4信息系統(tǒng)賬號的初始口令應(yīng)是隨機產(chǎn)生的口令，不能相同或有規(guī)律，且應(yīng)規(guī)定修改口令設(shè)置的位數(shù)、更換周期的最低標準。12.2.5信息系統(tǒng)的口令應(yīng)通過系統(tǒng)設(shè)置強制用戶定期更換。12.3信息出口控制12.3.1未經(jīng)審批不應(yīng)允許任何商業(yè)秘密信息外部出口存在。所有經(jīng)審批的信息出口都應(yīng)有以下“四統(tǒng)一”：a)統(tǒng)一登記；b)統(tǒng)一管理；c)統(tǒng)一備份；d)統(tǒng)一監(jiān)控。12.3.2企業(yè)的辦公網(wǎng)絡(luò)不應(yīng)允許訪問非企業(yè)郵箱的外部郵箱，應(yīng)將常見的外部郵箱、地址包括網(wǎng)址設(shè)為禁止訪問名單。因工作需要登錄外部郵箱的應(yīng)經(jīng)過審批并備案郵箱賬號和密碼。12.3.3企業(yè)應(yīng)建立代理服務(wù)器訪問備份系統(tǒng)，代理服務(wù)器訪問日志備份6個月以上。應(yīng)設(shè)置訪問外網(wǎng)時允許上傳的字節(jié)數(shù)，從而限制通過代理服務(wù)器對外發(fā)送商業(yè)秘密信息。12.3.4企業(yè)應(yīng)禁止員工使用網(wǎng)盤，應(yīng)將常見的網(wǎng)盤網(wǎng)址設(shè)為禁止訪問名單。確因工作需要登錄網(wǎng)盤的應(yīng)經(jīng)過審批，并向企業(yè)備案網(wǎng)盤賬號和密碼。12.3.5企業(yè)涉密計算機使用的即時通訊軟件應(yīng)避免和其他外部通訊軟件交互商業(yè)秘密信息，應(yīng)具備以下保密功能：a)具備對用戶登錄進行網(wǎng)絡(luò)、設(shè)備控制的功能，保證其在安全環(huán)境下運行；b)具備檢查聊天內(nèi)容關(guān)鍵字的后臺管控功能；c)在移動終端應(yīng)具備禁止復(fù)制、轉(zhuǎn)發(fā)、下載和全場景添加水印的管控功能。12.3.6企業(yè)存儲商業(yè)秘密信息的云服務(wù)器或信息系統(tǒng)應(yīng)關(guān)閉信息外部出口，未經(jīng)審批不應(yīng)允許在服務(wù)器上復(fù)制、修改商業(yè)秘密信息。12.4保密措施12.4.1涉密計算機的操作系統(tǒng)、辦公軟件、信息系統(tǒng)等均應(yīng)設(shè)置登錄賬號，密碼應(yīng)定期更換，不應(yīng)共用賬號。12.4.2企業(yè)應(yīng)對操作系統(tǒng)設(shè)置屏幕保護恢復(fù)密碼、屏幕水印、復(fù)制粘貼限制等保密措施。12.4.3涉密計算機的辦公軟件應(yīng)由企業(yè)統(tǒng)一安裝并管理，未經(jīng)授權(quán)不應(yīng)私自安裝軟件。個人郵箱、網(wǎng)盤、即時通訊工具等具備通過網(wǎng)絡(luò)對外發(fā)送文件的軟件均應(yīng)禁止。12.4.4企業(yè)應(yīng)使用具備關(guān)鍵字過濾、外發(fā)郵件審批、郵件審計等保密功能的企業(yè)郵箱。12.4.5在涉密網(wǎng)絡(luò)內(nèi)部使用的即時通訊軟件不應(yīng)與其他網(wǎng)絡(luò)，或連接到互聯(lián)網(wǎng)的通訊軟件連接。12.4.6加密軟件應(yīng)定期檢查，確保加密軟件對所有類型文件在所有場景都能夠進行加密。批量解密等特殊解密的授權(quán)權(quán)限應(yīng)經(jīng)過審批統(tǒng)一管理。12.4.7企業(yè)應(yīng)使用專用的信息系統(tǒng)存儲商業(yè)秘密信息，信息系統(tǒng)應(yīng)具備權(quán)限管理、日志、審計等保密功能。12.4.8涉密計算機應(yīng)安裝專門的行為管控軟件，可記錄商業(yè)秘密信息數(shù)據(jù)的復(fù)制、流轉(zhuǎn)、刪除等操作并保存?zhèn)浞荨?3評估與改進13.1企業(yè)應(yīng)配備專門的人員負責商業(yè)秘密管理的檢查，也可由各業(yè)務(wù)部門保密員負責各部門的檢查工作。13.2企業(yè)應(yīng)采取以下措施并保留記錄或原始文件用于檢查和評估：a)重要涉密區(qū)域的出入口和內(nèi)部應(yīng)安裝監(jiān)控系統(tǒng)實時監(jiān)控；b)涉密網(wǎng)絡(luò)的出、入口應(yīng)實時監(jiān)控；c)涉密計算機的操作；d)存儲商業(yè)秘密信息的信息系統(tǒng)；e)對外發(fā)送商業(yè)秘密信息的軟件。13.3應(yīng)定期對企業(yè)的以下商業(yè)秘密管理情況進行評估并形成書面報告提交商業(yè)秘密管理部門：a)商業(yè)秘密管理部門人員的履職；b)商業(yè)秘密管理制度的適宜性；c)商業(yè)秘密信息的定密、分級、流轉(zhuǎn)；d)涉密紙質(zhì)文檔、物品、計算機的管理；e)涉密區(qū)域的管理；f)操作系統(tǒng)、辦公軟件、信息系統(tǒng)的賬號、權(quán)限；g)涉密人員的管理；h)其他商業(yè)秘密管理制度規(guī)定的內(nèi)容。13.4針對定期評估報告發(fā)現(xiàn)的管理漏洞制定改進方案、實施計劃并執(zhí)行落地。14泄密事件管理14.1內(nèi)部管理14.1.1指定內(nèi)部受理泄密事件報告窗口的負責人，并公開電話、郵箱等聯(lián)系方式。14.1.2制定泄密事件處理流程和應(yīng)對預(yù)案。包括以下內(nèi)容：a)采取保護措施防止信息進一步擴散或損失擴大；b)調(diào)查原因、涉事人員、責任人等；c)收集并固定證據(jù)；d)啟動內(nèi)部處罰或外部維權(quán)；e)形成報告和改進方案。14.2證據(jù)固定14.2.1可向?qū)I(yè)的商業(yè)秘密保護服務(wù)機構(gòu)尋求取證、鑒定、評估等指引和協(xié)助。14.2.2發(fā)現(xiàn)商業(yè)秘密可能被泄露或侵權(quán)時，應(yīng)收集并固定如下證據(jù)：a)企業(yè)是商業(yè)秘密的權(quán)利人；b)商業(yè)秘密信息的具體內(nèi)容和載體；c)商業(yè)秘密信息不為一般公眾普遍知悉；d)商業(yè)秘密信息不為一般公眾容易獲得；e)企業(yè)對商業(yè)秘密信息采取的保密措施；f)商業(yè)秘密信息具有商業(yè)價值；g)泄密人員的身份、工作信息；h)泄密