DB12T 1439-2025商業(yè)秘密保護(hù)管理和服務(wù)規(guī)范

12Managementandservicespecificationfortrad 本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定本文件主要起草人：莊健、畢思友、陳洪波、井翠霞、王兵、商業(yè)秘密保護(hù)管理和服務(wù)規(guī)范涉密人員secret-related涉密載體secret-related涉密區(qū)域secret-related4基本原則5.1企業(yè)應(yīng)根據(jù)自身情況界定商業(yè)秘密的范圍，商業(yè)秘密一般分為技術(shù)信息和經(jīng)營(yíng)信息。5.2技術(shù)信息指與技術(shù)有關(guān)的結(jié)構(gòu)、原料、組分、5.3經(jīng)營(yíng)信息是與經(jīng)營(yíng)活動(dòng)有關(guān)的創(chuàng)意、管理、銷數(shù)據(jù)等信息。客戶信息包括客戶的名稱、地址、聯(lián)系方式以及交易習(xí)慣、意向、內(nèi)容等6.1.1企業(yè)的最高管理者應(yīng)具備商業(yè)秘密保護(hù)意識(shí)，商業(yè)秘密6.1.2企業(yè)可設(shè)立商業(yè)秘密保護(hù)部門或依托相關(guān)部門開展商業(yè)秘密保護(hù)工作，配備專（兼）職保密人——組織商業(yè)秘密保護(hù)宣傳、培訓(xùn)、考核；6.2.1企業(yè)應(yīng)對(duì)確定的商業(yè)秘密進(jìn)行分類分級(jí)6.2.3企業(yè)應(yīng)明確商業(yè)秘密的保密事項(xiàng)，并建立對(duì)涉密人員、涉密載體、涉密物品、涉密區(qū)域、涉密6.2.4企業(yè)應(yīng)根據(jù)實(shí)際業(yè)務(wù)和經(jīng)營(yíng)情況制定商業(yè)秘密保護(hù)管理制度并在企業(yè)內(nèi)部公開，6.2.5商業(yè)秘密保護(hù)的具體管理內(nèi)容和——泄密或侵權(quán)溯源和評(píng)估定級(jí)方案；——總結(jié)和改進(jìn)方案。6.3.3緊急應(yīng)對(duì)流程一般包括事件上報(bào)、成立應(yīng)急小組、核查確認(rèn)泄密或侵權(quán)內(nèi)容、評(píng)估泄密或侵權(quán)——涉及的商業(yè)秘密等級(jí)和數(shù)量；——泄密或侵權(quán)嫌疑人的情況；——其他影響泄密或侵權(quán)事件評(píng)估分級(jí)的因素。6.3.5出現(xiàn)商業(yè)秘密泄露的征兆或者跡象時(shí)，企業(yè)應(yīng)采取措施防止信息擴(kuò)散，將危害和損失控制在最——涉密載體、物品等失竊或被未經(jīng)許可復(fù)制的，應(yīng)做好現(xiàn)場(chǎng)保護(hù)工作，調(diào)查并確定泄密范圍和——商業(yè)秘密被上傳至信息系統(tǒng)、互聯(lián)網(wǎng)或其他未被允許渠道公開的，應(yīng)聯(lián)系相應(yīng)渠道的運(yùn)營(yíng)方——向法院申請(qǐng)保全措施。6.3.6企業(yè)應(yīng)加強(qiáng)對(duì)員工的培訓(xùn)和引導(dǎo)，使員工對(duì)商業(yè)秘密可能泄露的異常狀態(tài)保持警覺，發(fā)現(xiàn)可能6.4.1.1企業(yè)應(yīng)對(duì)商業(yè)秘密保護(hù)管理情況進(jìn)行監(jiān)督檢查，確保其持續(xù)的適宜性、充分性和有效性。6.4.1.2企業(yè)的商業(yè)秘密保護(hù)部門或?qū)嶋H開展商業(yè)秘密保護(hù)工作的相關(guān)部門應(yīng)制定監(jiān)督檢查方案，內(nèi)——調(diào)取涉密區(qū)域出入口和內(nèi)部監(jiān)控；——調(diào)取操作系統(tǒng)、辦公軟件、信息系統(tǒng)等工具軟件的日志文件等；——調(diào)取涉密活動(dòng)記錄及附屬合同等。6.4.1.5企業(yè)應(yīng)根據(jù)監(jiān)督檢查結(jié)果評(píng)估商業(yè)秘密保護(hù)管理制度和措施的適宜性、充分性和有效性并形6.4.1.6企業(yè)可委托第三方機(jī)構(gòu)開展商業(yè)秘密保護(hù)監(jiān)督檢查與評(píng)估。6.4.2.1企業(yè)應(yīng)針對(duì)監(jiān)督檢查發(fā)現(xiàn)的問題制定整改計(jì)劃，采取有效措施持續(xù)改進(jìn)?！虡I(yè)秘密不為公眾所知悉的證明，包括但不限于下列情形：7.1.2商業(yè)秘密的非公知性、同一性等——和解與調(diào)解；7.2.2涉及國(guó)家秘密的，應(yīng)立即向當(dāng)?shù)毓矙C(jī)關(guān)、國(guó)家安全機(jī)關(guān)、保密行政管理部門報(bào)告并采取補(bǔ)救7.3.1企業(yè)可以通過協(xié)商和解方式解決商業(yè)秘密侵權(quán)糾紛，在和解協(xié)議中可以約定一定的賠償金額、7.3.2企業(yè)可以與侵權(quán)人雙方本著真實(shí)自愿的原則委托共同認(rèn)可的政府機(jī)構(gòu)或社會(huì)機(jī)構(gòu)進(jìn)行調(diào)解或由7.4.1企業(yè)可以向違法行為發(fā)生地的縣級(jí)以上市場(chǎng)監(jiān)督管理部門舉報(bào)，應(yīng)按照市場(chǎng)監(jiān)督管理部門要求7.4.2企業(yè)可根據(jù)案件進(jìn)展情況，在立案7.4.3經(jīng)核查立案后，企業(yè)應(yīng)積極配合市場(chǎng)監(jiān)督管理部門進(jìn)行詢問、現(xiàn)場(chǎng)檢查等調(diào)查取證7.6.1.1商業(yè)秘密民事案件可向有管轄權(quán)的人民法院提起民事訴訟，并提供初步證據(jù)，證據(jù)內(nèi)容可參——已經(jīng)發(fā)生法律效力的民事判決、裁定、調(diào)解書符合《中華人民共和國(guó)民事訴訟法》第二百零商業(yè)秘密侵權(quán)案件造成企業(yè)損失情況符合《最高人民檢察院公安部關(guān)于修改侵犯商業(yè)秘密刑事案8.1.1提供商業(yè)秘密保護(hù)服務(wù)的機(jī)構(gòu)可以是行政管理部門、行業(yè)組織、第三方社會(huì)服務(wù)機(jī)構(gòu)等。8.1.3提供商業(yè)秘密保護(hù)服務(wù)的相關(guān)人員應(yīng)具備商業(yè)秘密保護(hù)的專業(yè)知識(shí)，能及時(shí)解決企業(yè)在商業(yè)秘8.2.2商業(yè)秘密保護(hù)宣傳推廣可通過制作宣傳手冊(cè)、派發(fā)宣傳單張、拍攝宣傳視頻等形式，借助報(bào)刊8.2.3可對(duì)具有社會(huì)影響力、示范意義較8.3.1服務(wù)機(jī)構(gòu)應(yīng)制定培訓(xùn)方案和計(jì)劃，定期組織企業(yè)、服務(wù)機(jī)構(gòu)工作人員開展商業(yè)秘密保護(hù)培訓(xùn)。8.3.3可對(duì)企業(yè)不同層次人員開展商業(yè)秘密保護(hù)專題培——對(duì)企業(yè)從事商業(yè)秘密保護(hù)工作的專（兼）職人員、重點(diǎn)崗位人員開展商業(yè)秘密保護(hù)實(shí)務(wù)及案——對(duì)企業(yè)員工開展商業(yè)秘密保護(hù)知識(shí)培訓(xùn)和警示教育。8.3.4對(duì)服務(wù)機(jī)構(gòu)相關(guān)部門工作人員可開展商業(yè)秘密保護(hù)技能和服務(wù)意識(shí)提升培訓(xùn)。8.4.1服務(wù)機(jī)構(gòu)可開展商業(yè)秘密保護(hù)指導(dǎo)工作，解答企業(yè)商業(yè)秘密保護(hù)專業(yè)知識(shí)咨詢，為企業(yè)提供商8.4.3服務(wù)機(jī)構(gòu)可指導(dǎo)企業(yè)開展商業(yè)秘密保護(hù)風(fēng)險(xiǎn)與合規(guī)排8.4.4服務(wù)機(jī)構(gòu)可引導(dǎo)并協(xié)助企業(yè)做好公證——協(xié)助做好調(diào)解工作?！_發(fā)、部署和維護(hù)涉密文件、數(shù)據(jù)的信息管理系統(tǒng)；——提供技術(shù)信息的非公知性、同一性和損失數(shù)額的鑒定評(píng)估；A.1.1企業(yè)宜對(duì)確定的商業(yè)秘密進(jìn)行核查、評(píng)估，將商業(yè)秘密劃分等級(jí)，商業(yè)秘密的評(píng)估可考慮以下——其他影響秘密分級(jí)的因素。A.1.2商業(yè)秘密泄漏后有可能影響國(guó)家安全和利益的，應(yīng)依法定程序?qū)⑵浯_定為國(guó)家秘密。A.2.1企業(yè)宜建立商業(yè)秘密清單，包括商業(yè)秘密名稱、主題、密級(jí)、保密期限、知悉范圍、載體、權(quán)A.3措施A.3.1人員管理A.3.1.1入職管理——做好商業(yè)秘密保護(hù)教育和培訓(xùn)，在培訓(xùn)結(jié)束后宜進(jìn)行考核，保存相關(guān)A.3.1.2履職管理——定期進(jìn)行保密教育培訓(xùn)，并保存培訓(xùn)記錄。A.3.1.3離職管理——在員工轉(zhuǎn)崗、離職前主動(dòng)告知保密義務(wù)及違規(guī)責(zé)任，告知其不應(yīng)有以下行為：——開展離職檢查并做好書面記錄，檢查內(nèi)容包括：——及時(shí)通知與轉(zhuǎn)崗、離職員工有關(guān)的供應(yīng)商、客戶、合作單位等，告知工作交接情況；——向已簽訂競(jìng)業(yè)限制協(xié)議的員工書面送達(dá)競(jìng)業(yè)限制告知書，告知其保密義務(wù)和競(jìng)業(yè)限制義務(wù)，并在法定期限內(nèi)發(fā)放競(jìng)業(yè)限制補(bǔ)償金，如不需要員工競(jìng)業(yè)限制的，及時(shí)書面告知A.3.2載體管理——涉密非移動(dòng)電子載體宜禁用移動(dòng)存儲(chǔ)、光驅(qū)、藍(lán)牙等數(shù)據(jù)傳輸功能，未經(jīng)權(quán)限審批不得隨意——涉密移動(dòng)電子載體宜設(shè)置身份識(shí)別等加密措施，不可接入非涉密或未采取保密措施的電子設(shè)——對(duì)涉密電子載體的制作、使用、保存、維修、銷毀實(shí)施全生命周期管理，履行審批和登記手——涉密電子載體不可擅自外送維修，外送維修前宜經(jīng)商業(yè)秘密保護(hù)部門審批，并拆卸涉密存儲(chǔ)A.3.2.2紙質(zhì)文檔管理——存放在涉密區(qū)域內(nèi)并由專人管理；A.3.2.3信息系統(tǒng)管理——對(duì)涉密信息系統(tǒng)實(shí)行分層權(quán)限管理，以“最小夠用”原則設(shè)定權(quán)限：——在涉密信息系統(tǒng)內(nèi)設(shè)置保密義務(wù)提醒；——定期對(duì)涉密信息系統(tǒng)的數(shù)據(jù)、日志等進(jìn)行備份并妥善保管；——信息系統(tǒng)的管理員權(quán)限宜在不同員工之間進(jìn)行分配，避免由超級(jí)管理員管理整個(gè)系統(tǒng)或若干——對(duì)涉密電子數(shù)據(jù)設(shè)置加密措施，加密措施宜與載體有所區(qū)別，形成二次加密；——指定專人進(jìn)行解密操作，員工按權(quán)限使用加密數(shù)據(jù)；——通過郵件發(fā)送涉密數(shù)據(jù)時(shí)，宜加密和簽名，可限定打開次數(shù)、打開時(shí)限和編輯權(quán)限；——宜對(duì)涉密數(shù)據(jù)拷貝采取限制措施，拷貝宜履行審批手續(xù)并妥善保存拷貝記錄；——涉密電子數(shù)據(jù)宜做好公證、第三方存證、電子存證等證據(jù)固定；——涉密電子數(shù)據(jù)銷毀時(shí)宜確保徹底永久刪除，避免可通過其他技術(shù)手段進(jìn)行數(shù)據(jù)恢復(fù)。A.3.4物品管理——使用涉密物品宜履行審批和登記手續(xù)；——宜對(duì)重要原料、部件等實(shí)行編號(hào)替代、分部門管理等管理方式；——涉密項(xiàng)目的不良品宜交由專人處理，不可隨意丟棄。A.3.5.1宜列為涉密區(qū)域的地點(diǎn)或部門包括但不限于：A.3.5.2對(duì)涉密區(qū)域的管理措施包括但不限于：——出入涉密區(qū)域人員宜履行權(quán)限審批和登記手續(xù)；——必要時(shí)采取網(wǎng)絡(luò)隔離阻斷。A.3.6商務(wù)活動(dòng)管理——隱藏或刪除涉密信息；A.3.6.2訪問、參觀、檢查——來訪人員應(yīng)履行審批和登記手續(xù)；——宜安排專人陪同訪問、參觀，限制拍照、錄音、錄像、信息存儲(chǔ)等行為；——政府部門因檢查、監(jiān)督等工作需要接觸A.3.6.3商務(wù)合作——開展商務(wù)合作等活動(dòng)時(shí)，宜與相關(guān)方或人員簽訂保密協(xié)議約定保密義務(wù)；——可對(duì)合作過程進(jìn)行控制，對(duì)涉密信息或物品的使A