DB51T 2874-2022 檢驗(yàn)檢測機(jī)構(gòu)保護(hù)客戶秘密實(shí)施指南

DB512022-02-24發(fā)布I 2 3 5 5 6 6本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定1檢驗(yàn)檢測機(jī)構(gòu)保護(hù)客戶秘密實(shí)施指南GB17859-1999計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等GB/T27025檢測和校準(zhǔn)實(shí)驗(yàn)室能力的通用RB/T214檢驗(yàn)檢測機(jī)構(gòu)資質(zhì)認(rèn)定能力評價(jià)檢驗(yàn)檢測機(jī)構(gòu)關(guān)系國家安全和利益，依照法定程序確定，在2注：個(gè)人信息包括：自然人的姓名、出生日期、身份證件號碼、生物識別信涉密人員secret-relatedper涉密的載體secret-relatedc4.1檢驗(yàn)檢測機(jī)構(gòu)應(yīng)依據(jù)國家保密相關(guān)法規(guī)及相關(guān)標(biāo)準(zhǔn)建立保護(hù)客戶秘密的制度，制定保護(hù)客戶秘密4.2檢驗(yàn)檢測機(jī)構(gòu)在實(shí)驗(yàn)室活動(dòng)中獲得的或產(chǎn)生的以下信息，均為客戶秘密：——客戶提交檢測的資料及樣品，工藝流程、設(shè)計(jì)圖紙、技術(shù)依據(jù)、外觀設(shè)計(jì)（照片）、產(chǎn)品技——客戶要求其他保密的信息或者特別規(guī)定的保密信息。4.2.1客戶秘密保密要求由客戶提出，必要時(shí)簽訂《保密協(xié)議》對保密內(nèi)容和期限進(jìn)行約定，機(jī)構(gòu)應(yīng)根據(jù)法律規(guī)定或雙方約定并按以下原則采取相應(yīng)保密a)涉及國家秘密，應(yīng)按照《中華人民共和國保守國家秘密法》、《中華人民共和國保守國家秘b)涉及客戶的商業(yè)秘密，按照協(xié)議約定履行保密義務(wù).c)涉及自然人的個(gè)人信息，應(yīng)按照《個(gè)人信息保護(hù)法》及相關(guān)法律法規(guī)執(zhí)行4.3如需對外披露客戶秘密，以下要求需注意：3b)建立對外披露客戶秘密審批責(zé)任，明c)對披露客戶秘密進(jìn)行檢查，發(fā)現(xiàn)問題，立即采取補(bǔ)救措施。4.4涉密區(qū)域管理，根據(jù)機(jī)構(gòu)實(shí)際情況有條件的機(jī)構(gòu)可設(shè)置門禁、視頻監(jiān)控裝置；可適時(shí)采用信息化4.5機(jī)構(gòu)涉密人員內(nèi)部溝通時(shí)，應(yīng)盡量避免在任何社交媒體、即時(shí)通訊軟件私自傳輸，發(fā)送涉及客戶5涉及客戶秘密的過程識別及管理5.1檢驗(yàn)檢測機(jī)構(gòu)與客戶信息（不論是獲取還是工作過程產(chǎn)生的）有接觸的任何個(gè)人和任何活動(dòng)論是內(nèi)部還是外部，都應(yīng)視為涉密，納入保護(hù)客戶秘5.2檢驗(yàn)檢測機(jī)構(gòu)在合同評審階段，應(yīng)與客戶就保密事項(xiàng)和要求予以約定，將約定內(nèi)容納入合同或協(xié)議中，如有必要可另行簽訂專門的保密合同，專項(xiàng)約定保密內(nèi)容5.3檢驗(yàn)檢測機(jī)構(gòu)應(yīng)保留合同履行過程中保護(hù)客戶秘密的記錄。5.4內(nèi)部活動(dòng)中客戶秘密的保護(hù)5.4.1分包,將任務(wù)分包給滿足要求的檢驗(yàn)檢測機(jī)構(gòu)時(shí)，確保但不限于以下措施得以實(shí)施：b)應(yīng)對保密要求及內(nèi)容用合同的形式予以約定，必要時(shí)簽訂專門的保密協(xié)議，約定保密內(nèi)容及b)應(yīng)對保存在設(shè)備或電腦中的信息進(jìn)行加密；a)應(yīng)確保其他客戶的機(jī)密得到保護(hù)；b)檢驗(yàn)檢測機(jī)構(gòu)應(yīng)對客戶進(jìn)入檢驗(yàn)檢測現(xiàn)場的區(qū)域和路線進(jìn)行限定，并經(jīng)過相應(yīng)審批；45.4.4投訴a)應(yīng)在客戶和實(shí)驗(yàn)室間保密；b)除非信息的提供方同意，實(shí)驗(yàn)室應(yīng)為信息提供方（來源c)檢驗(yàn)檢測機(jī)構(gòu)應(yīng)限定知悉人員的范圍，與活動(dòng)無關(guān)的人員無權(quán)知悉；d)在調(diào)查處理時(shí)，必要時(shí)可將信息拆分，分別告知辦理投訴相應(yīng)職責(zé)人員。a)應(yīng)對登陸系統(tǒng)操作人員進(jìn)行審批；b)應(yīng)根據(jù)崗位職責(zé)對可操作范圍和內(nèi)容給定權(quán)限范圍；d)應(yīng)對登陸操作特別是刪除、拷貝、傳輸?shù)冗M(jìn)行記錄。完整性并為客戶保密，確保但不限于以下措a)樣品接收人員應(yīng)按客戶要求并遵照合同約定對樣品進(jìn)行分類，及時(shí)入庫并妥善保管；b)有條件的檢驗(yàn)檢測機(jī)構(gòu)可配置實(shí)時(shí)音視頻記錄裝置，用于從樣品接收、入庫、流轉(zhuǎn)全過程記d)在對樣品進(jìn)行清理和處置中，應(yīng)做好登記，待審批后采取相應(yīng)措施予以處置；e)需清理和處置的樣品，應(yīng)對其標(biāo)簽標(biāo)識盡量涂抹損壞至不便于識別；h)在檢測過程中，可采用防護(hù)屏風(fēng)或防護(hù)罩等措施適當(dāng)隔a)應(yīng)有客戶要求的記錄；b)如使用電子郵箱發(fā)送，應(yīng)發(fā)送至客戶指定的電子郵箱，發(fā)送前應(yīng)對郵箱的正確性再次確認(rèn)，c)盡量避免使用如微信或QQ此類即時(shí)通訊軟件為客5.5外部活動(dòng)中客戶秘密的保護(hù)5.5.1除內(nèi)部檢驗(yàn)檢測活動(dòng)外，檢驗(yàn)檢測機(jī)構(gòu)因?yàn)闄C(jī)構(gòu)間合作、資質(zhì)獲取、發(fā)展需要等事項(xiàng)而開展的55.5.2應(yīng)制定相應(yīng)管理文件并采取適宜的保護(hù)措施，對外來參觀人員、審核人員、合同方人員進(jìn)入實(shí)a)當(dāng)外來人員到本檢驗(yàn)檢測機(jī)構(gòu)參觀、學(xué)習(xí)時(shí)，應(yīng)對樣品或結(jié)果予以控制和保護(hù),參見本文件——必要時(shí)，應(yīng)對出租或租用設(shè)備設(shè)施區(qū)域采取適當(dāng)措施予以隔離；c)外部評審，檢驗(yàn)檢測機(jī)構(gòu)接受第二方或第三方評審時(shí)，應(yīng)對需保密的事項(xiàng)、需保密區(qū)域以及檢驗(yàn)檢測機(jī)構(gòu)應(yīng)采取相應(yīng)措施對內(nèi)部涉密人員進(jìn)行相應(yīng)的管理，包括但不限于以下措施：b)保密培訓(xùn)，對機(jī)構(gòu)內(nèi)部涉密人員開展保密教育和培訓(xùn)，確保其了解保密的責(zé)任和義務(wù)，包括1)離職面談，告知員工負(fù)有的保密義務(wù)，以d)根據(jù)知悉需要，將涉及客戶秘密的完整事項(xiàng)分割，進(jìn)行分段化管理。7.1建立涉密載體臺賬，實(shí)施涉密載體的制作、收發(fā)、傳遞、使用、復(fù)制、保存、維修、銷毀的全生命周期管理，防止未授權(quán)的使用、訪問，防止a)制作過程的保護(hù)措施和管理權(quán)限；6b)存放在相應(yīng)區(qū)域的涉密載體，使用門7.5涉密載體在需要復(fù)制時(shí)，應(yīng)符合a)履行審批、登記手續(xù)；b)定期清查、核對涉密載體；c)維修維護(hù)一般由本檢驗(yàn)檢測機(jī)構(gòu)機(jī)構(gòu)專人負(fù)責(zé)，確需外部人員現(xiàn)場維修的，應(yīng)指定專人全程d)銷毀涉密載體應(yīng)履行審批手續(xù)，并進(jìn)行清點(diǎn)和登記；e)已銷毀的涉密載體中的秘密信息無法還檢驗(yàn)檢測機(jī)構(gòu)要把機(jī)構(gòu)保密過程納入風(fēng)險(xiǎn)管理，每年至少進(jìn)行一次風(fēng)險(xiǎn)評