DB12T 1439-2025商業(yè)秘密保護(hù)管理和服務(wù)規(guī)范

商業(yè)秘密保護(hù)管理和服務(wù)規(guī)范2025-02-12發(fā)布2025-03-15實(shí)施天津市市場監(jiān)督管理委員會(huì)發(fā)布I前言 12規(guī)范性引用文件 13術(shù)語和定義 14基本原則 15商業(yè)秘密的范圍 16企業(yè)自主保護(hù)與管理 27維權(quán) 48服務(wù) 6附錄A(資料性)商業(yè)秘密管理內(nèi)容及措施 8參考文獻(xiàn) 本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定本文件由天津市市場監(jiān)督管理委員會(huì)提出并歸口。本文件起草單位：天津市市場監(jiān)督管理委員會(huì)、天津市濱海新區(qū)市場監(jiān)督管理局、天津?yàn)I海高新技術(shù)產(chǎn)業(yè)開發(fā)區(qū)市場監(jiān)督管理局。本文件主要起草人：莊健、畢思友、陳洪波、井翠霞、王兵、王思予、李楨、郭敏。1商業(yè)秘密保護(hù)管理和服務(wù)規(guī)范本文件規(guī)定了商業(yè)秘密保護(hù)的基本原則、商業(yè)秘密的范圍、企業(yè)自主保護(hù)與管理、維權(quán)及服務(wù)等內(nèi)本文件適用于企業(yè)開展商業(yè)秘密保護(hù)管理和服務(wù)工作，其他組織可參照執(zhí)行。2規(guī)范性引用文件本文件沒有規(guī)范性引用文件。3術(shù)語和定義下列術(shù)語和定義適用于本文件。商業(yè)秘密tradesecret不為公眾所知悉、具有商業(yè)價(jià)值并經(jīng)權(quán)利人采取相應(yīng)保密措施的技術(shù)信息、經(jīng)營信息等商業(yè)信息。根據(jù)工作職責(zé)或者保密協(xié)議有權(quán)接觸、使用、掌握商業(yè)秘密信息的企業(yè)員工或其他人員。以文字、數(shù)據(jù)、符號(hào)、圖形、圖像、視頻和音頻等方式記錄商業(yè)秘密信息的各類介質(zhì)，如紙介質(zhì)、電磁介質(zhì)、光介質(zhì)等。含有商業(yè)秘密信息的設(shè)備和產(chǎn)品，如計(jì)算機(jī)、手機(jī)、原材料、成品、半成品、樣品等。含有商業(yè)秘密信息、人員進(jìn)入后可能接觸到商業(yè)秘密的物理區(qū)域，如車間、研發(fā)室、實(shí)驗(yàn)室、機(jī)房、保密室、檔案室等。4基本原則商業(yè)秘密保護(hù)首先是權(quán)利人的自主保護(hù)，實(shí)施保護(hù)的商業(yè)秘密由權(quán)利人自主提出，確定的商業(yè)秘密應(yīng)具備秘密性、價(jià)值性和保密性。商業(yè)秘密保護(hù)應(yīng)遵循重在預(yù)防、主動(dòng)維權(quán)、協(xié)同保護(hù)的原則，建立自主保護(hù)、行政保護(hù)與司法保護(hù)一體的商業(yè)秘密保護(hù)體系。5商業(yè)秘密范圍25.1企業(yè)應(yīng)根據(jù)自身情況界定商業(yè)秘密的范圍，商業(yè)秘密一般分為技術(shù)信息和經(jīng)營信息。5.2技術(shù)信息指與技術(shù)有關(guān)的結(jié)構(gòu)、原料、組分、配方、材料、樣品、樣式、植物新品種繁殖材料、工藝、方法或其步驟、算法、數(shù)據(jù)、計(jì)算機(jī)程序及其有關(guān)文檔等信息。5.3經(jīng)營信息是與經(jīng)營活動(dòng)有關(guān)的創(chuàng)意、管理、銷售、財(cái)務(wù)、計(jì)劃、樣本、招投標(biāo)材料、客戶信息、數(shù)據(jù)等信息?？蛻粜畔蛻舻拿Q、地址、聯(lián)系方式以及交易習(xí)慣、意向、內(nèi)容等信息。6企業(yè)自主保護(hù)與管理6.1組織機(jī)構(gòu)6.1.1企業(yè)的最高管理者應(yīng)具備商業(yè)秘密保護(hù)意識(shí)，商業(yè)秘密管理工作應(yīng)由最高管理者牽頭進(jìn)行。6.1.2企業(yè)可設(shè)立商業(yè)秘密保護(hù)部門或依托相關(guān)部門開展商業(yè)秘密保護(hù)工作，配備專(兼)職保密人6.1.3商業(yè)秘密保護(hù)部門和保密人員應(yīng)履行包括但不限于以下職責(zé)：——建立和實(shí)施商業(yè)秘密保護(hù)有關(guān)制度；——識(shí)別和管理商業(yè)秘密事項(xiàng)，如涉密人員、涉密載體、涉密物品、涉密區(qū)域等；——組織制定、實(shí)施商業(yè)秘密保護(hù)措施；——組織商業(yè)秘密保護(hù)宣傳、培訓(xùn)、考核；——監(jiān)督、檢查商業(yè)秘密保護(hù)管理工作的落實(shí)和執(zhí)行；——處理泄密或侵犯商業(yè)秘密事件；——商業(yè)秘密保護(hù)管理制度進(jìn)行評(píng)估和改進(jìn)。6.2秘密管理6.2.1企業(yè)應(yīng)對(duì)確定的商業(yè)秘密進(jìn)行分類分級(jí)，并按照密級(jí)高低實(shí)行分級(jí)保護(hù)和管理。6.2.2企業(yè)應(yīng)建立商業(yè)秘密保護(hù)清單，并對(duì)商業(yè)秘密進(jìn)行標(biāo)識(shí)。6.2.3企業(yè)應(yīng)明確商業(yè)秘密的保密事項(xiàng)，并建立對(duì)涉密人員、涉密載體、涉密物品、涉密區(qū)域、涉密商務(wù)活動(dòng)等事項(xiàng)的管理要求，采取相應(yīng)的保密措施。6.2.4企業(yè)應(yīng)根據(jù)實(shí)際業(yè)務(wù)和經(jīng)營情況制定商業(yè)秘密保護(hù)管理制度并在企業(yè)內(nèi)部公開，內(nèi)容包括但不限于：——商業(yè)秘密識(shí)別與分級(jí)管理制度；——涉密人員管理制度；——涉密載體管理制度；——涉密物品管理制度；——涉密區(qū)域管理制度；——涉密商務(wù)活動(dòng)管理制度；——涉密信息管理制度；——應(yīng)急管理制度；——檢查和改進(jìn)制度；——獎(jiǎng)懲管理制度。6.2.5商業(yè)秘密保護(hù)的具體管理內(nèi)容和措施參見附錄A。6.3應(yīng)急管理6.3.1企業(yè)應(yīng)制定商業(yè)秘密泄密或侵權(quán)的應(yīng)急處理預(yù)案，預(yù)案內(nèi)容包括但不限于：3——應(yīng)急小組成員及職責(zé)；——緊急應(yīng)對(duì)流程；——泄密或侵權(quán)溯源和評(píng)估定級(jí)方案；——防止信息進(jìn)一步擴(kuò)散、危害和損失擴(kuò)大的應(yīng)急措施方案；——維權(quán)方案；——總結(jié)和改進(jìn)方案。6.3.2應(yīng)急小組一般由商業(yè)秘密保護(hù)部門或企業(yè)高級(jí)管理人員牽頭，成員可包括人事部門、法務(wù)部門、信息技術(shù)部門、行政部門、公關(guān)部門等。6.3.3緊急應(yīng)對(duì)流程一般包括事件上報(bào)、成立應(yīng)急小組、核查確認(rèn)泄密或侵權(quán)內(nèi)容、評(píng)估泄密或侵權(quán)事件等級(jí)、應(yīng)急處置、維權(quán)和責(zé)任追究、形成事件報(bào)告、提出整改方案等。6.3.4對(duì)泄密或侵權(quán)事件的評(píng)估定級(jí)，可考慮如下因素：——涉及的商業(yè)秘密等級(jí)和數(shù)量；——侵權(quán)的方式，如未經(jīng)許可的復(fù)制、向第三方披露、被公開、被第三方使用；——事件對(duì)企業(yè)造成的影響；——泄密或侵權(quán)嫌疑人的情況；——其他影響泄密或侵權(quán)事件評(píng)估分級(jí)的因素。6.3.5出現(xiàn)商業(yè)秘密泄露的征兆或者跡象時(shí)，企業(yè)應(yīng)采取措施防止信息擴(kuò)散，將危害和損失控制在最小限度內(nèi)。措施包括但不限于：——涉密載體、物品等失竊或被未經(jīng)許可復(fù)制的，應(yīng)做好現(xiàn)場保護(hù)工作，調(diào)查并確定泄密范圍和流向，及時(shí)追回被竊涉密載體、物品或復(fù)制后的版本；——商業(yè)秘密被上傳至信息系統(tǒng)、互聯(lián)網(wǎng)或其他未被允許渠道公開的，應(yīng)聯(lián)系相應(yīng)渠道的運(yùn)營方或信息管理部門對(duì)泄露信息進(jìn)行屏蔽或刪除；——向侵權(quán)嫌疑人發(fā)送侵權(quán)告知函，要求其立即停止侵權(quán)行為；——向法院申請保全措施。6.3.6企業(yè)應(yīng)加強(qiáng)對(duì)員工的培訓(xùn)和引導(dǎo)，使員工對(duì)商業(yè)秘密可能泄露的異常狀態(tài)保持警覺，發(fā)現(xiàn)可能泄密跡象及時(shí)報(bào)告上級(jí)。6.3.7企業(yè)可以定期進(jìn)行商業(yè)秘密泄密應(yīng)急處理演練，提高應(yīng)對(duì)商業(yè)秘密泄密情形發(fā)生時(shí)的處置能力。6.4檢查評(píng)估與改進(jìn)6.4.1檢查評(píng)估6.4.1.1企業(yè)應(yīng)對(duì)商業(yè)秘密保護(hù)管理情況進(jìn)行監(jiān)督檢查，確保其持續(xù)的適宜性、充分性和有效性。6.4.1.2企業(yè)的商業(yè)秘密保護(hù)部門或?qū)嶋H開展商業(yè)秘密保護(hù)工作的相關(guān)部門應(yīng)制定監(jiān)督檢查方案，內(nèi)容應(yīng)包括但不限于：——監(jiān)督檢查工作的內(nèi)容和方法；——監(jiān)督檢查工作的職責(zé)和權(quán)限；——執(zhí)行監(jiān)督檢查的頻次和時(shí)限；——監(jiān)督檢查結(jié)果運(yùn)用的整改、問責(zé)、獎(jiǎng)懲機(jī)制。6.4.1.3監(jiān)督檢查內(nèi)容應(yīng)包括但不限于：——商業(yè)秘密的定密、分級(jí)、流轉(zhuǎn)；——涉密人員管理情況；——涉密載體管理情況；——涉密物品管理情況；4——涉密區(qū)域管理情況；——涉密商務(wù)活動(dòng)管理情況；——操作系統(tǒng)、辦公軟件、信息系統(tǒng)等工具軟件的賬號(hào)、權(quán)限、密碼管理和使用商業(yè)秘密情況；——商業(yè)秘密保護(hù)管理制度建立和實(shí)施情況。6.4.1.4監(jiān)督檢查方法可包括但不限于：——調(diào)取涉密載體、涉密物品、涉密信息使用記錄；——調(diào)取涉密區(qū)域出入口和內(nèi)部監(jiān)控；——調(diào)取操作系統(tǒng)、辦公軟件、信息系統(tǒng)等工具軟件的日志文件等；——現(xiàn)場查驗(yàn)、問詢涉密人員工作情況；——調(diào)取涉密活動(dòng)記錄及附屬合同等。6.4.1.5企業(yè)應(yīng)根據(jù)監(jiān)督檢查結(jié)果評(píng)估商業(yè)秘密保護(hù)管理制度和措施的適宜性、充分性和有效性并形成評(píng)估結(jié)論或報(bào)告。6.4.1.6企業(yè)可委托第三方機(jī)構(gòu)開展商業(yè)秘密保護(hù)監(jiān)督檢查與評(píng)估。6.4.2.1企業(yè)應(yīng)針對(duì)監(jiān)督檢查發(fā)現(xiàn)的問題制定整改計(jì)劃，采取有效措施持續(xù)改進(jìn)。6.4.2.2企業(yè)應(yīng)對(duì)改進(jìn)情況進(jìn)行復(fù)查、復(fù)評(píng)。7維權(quán)7.1證據(jù)收集7.1.1企業(yè)應(yīng)及時(shí)收集并固定以下證據(jù)材料，必要時(shí)可進(jìn)行證據(jù)保全公證。——商業(yè)秘密權(quán)屬證明，包括但不限于以下內(nèi)容：●研發(fā)立項(xiàng)、記錄文件、試驗(yàn)數(shù)據(jù)、技術(shù)成果驗(yàn)收備案文件等證明材料；·商業(yè)秘密交易轉(zhuǎn)讓合同或授權(quán)使用許可協(xié)議等證明材料。——商業(yè)秘密的具體內(nèi)容和載體；——商業(yè)秘密不為公眾所知悉的證明，包括但不限于下列情形：●該信息在所屬領(lǐng)域不屬于一般常識(shí)或者行業(yè)慣例；●該信息不僅涉及產(chǎn)品的尺寸、結(jié)構(gòu)、材料、部件的簡單組合等內(nèi)容，所屬領(lǐng)域的相關(guān)人員不能通過觀察上市產(chǎn)品即可直接獲得；●該信息未在公開版物或者其他媒體上公開披露；●該信息未通過公開的報(bào)告會(huì)、展覽會(huì)等方式公開；●所屬領(lǐng)域的相關(guān)人員無法從其他公開渠道獲得該信息?！虡I(yè)秘密具有商業(yè)價(jià)值的證明，包括但不限于下列內(nèi)容：●生產(chǎn)經(jīng)營活動(dòng)中形成的階段性成果；●研究開發(fā)成本、實(shí)施該項(xiàng)商業(yè)秘密的收益、可得利益、可保持競爭優(yōu)勢的時(shí)間?！褜?duì)商業(yè)秘密采取相應(yīng)保護(hù)措施的證明，包括但不限于下列情形：●簽訂保密協(xié)議或者在合同中約定保密義務(wù)；●通過章程、培訓(xùn)、規(guī)章制度、書面告知等方式，對(duì)能夠接觸、獲取商業(yè)秘密的員工、前員工、供應(yīng)商、客戶、來訪者等提出保密要求；●對(duì)涉密的廠房、車間等生產(chǎn)經(jīng)營場所限制來訪者或者進(jìn)行區(qū)分管理；5●以標(biāo)記、分類、隔離、加密、封存、限制能夠接觸或者獲取的人員范圍等方式，對(duì)商業(yè)秘密及其載體進(jìn)行區(qū)分和管理；●對(duì)能夠接觸、獲取商業(yè)秘密的計(jì)算機(jī)設(shè)備、電子設(shè)備、網(wǎng)絡(luò)設(shè)備、存儲(chǔ)設(shè)備、軟件等，采取禁止或者限制使用、訪問、存儲(chǔ)、復(fù)制等措施；●要求離職員工登記、返還、清除、銷毀其接觸或者獲取的商業(yè)秘密及其載體，繼續(xù)承擔(dān)保密義務(wù)?！赡芘c泄密信息有關(guān)的人員信息，包括但不限于以下內(nèi)容：●有關(guān)人員在本單位的工作經(jīng)歷、工作內(nèi)容、接觸到的涉密信息以及其他有可能、有條件接觸到商業(yè)秘密的證明材料；●有關(guān)人員在本單位接受保密培訓(xùn)的記錄；●有關(guān)人員與本單位簽訂的保密協(xié)議?！謾?quán)信息與企業(yè)商業(yè)秘密相同或者實(shí)質(zhì)相同的證明材料；——侵犯商業(yè)秘密的具體行為表現(xiàn)；——侵犯商業(yè)秘密行為導(dǎo)致的后果。7.1.2商業(yè)秘密的非公知性、同一性等專業(yè)技術(shù)事項(xiàng)可委托第三方機(jī)構(gòu)進(jìn)行鑒定。7.2維權(quán)途徑7.2.1當(dāng)商業(yè)秘密被侵犯時(shí)，企業(yè)應(yīng)主動(dòng)維權(quán)，根據(jù)實(shí)際情況可依法采取下列維權(quán)方式：——和解與調(diào)解；——尋求行政保護(hù)；——申請商事仲裁；——尋求司法保護(hù)。7.2.2涉及國家秘密的，應(yīng)立即向當(dāng)?shù)毓矙C(jī)關(guān)、國家安全機(jī)關(guān)、保密行政管理部門報(bào)告并采取補(bǔ)救措施。7.3和解與調(diào)解7.3.1企業(yè)可以通過協(xié)商和解方式解決商業(yè)秘密侵權(quán)糾紛，在和解協(xié)議中可以約定一定的賠償金額、保密義務(wù)等條款，也可以基于實(shí)際的商業(yè)談判情況和具體的商業(yè)需求，在符合法律規(guī)定的情況下，約定競業(yè)禁止等條款。7.3.2企業(yè)可以與侵權(quán)人雙方本著真實(shí)自愿的原則委托共同認(rèn)可的政府機(jī)構(gòu)或社會(huì)機(jī)構(gòu)進(jìn)行調(diào)解或由人民法院委派調(diào)解機(jī)構(gòu)進(jìn)行訴前、訴中調(diào)解。7.4行政保護(hù)7.4.1企業(yè)可以向違法行為發(fā)生地的縣級(jí)以上市場監(jiān)督管理部門舉報(bào)，應(yīng)按照市場監(jiān)督管理部門要求提供相應(yīng)材料。7.4.2企業(yè)可根據(jù)案件進(jìn)展情況，在立案后變更、增加其所主張的商業(yè)秘密具體內(nèi)容。7.4.3經(jīng)核查立案后，企業(yè)應(yīng)積極配合市場監(jiān)督管理部門進(jìn)行詢問、現(xiàn)場檢查等調(diào)查取證工作。7.5商事仲裁違反協(xié)議約定的保密義務(wù)并且約定商事仲裁管轄條款的，若尚未構(gòu)成刑事犯罪的，應(yīng)向約定的仲裁委員會(huì)申請仲裁。7.6司法保護(hù)67.6.1民事保護(hù)7.6.1.1商業(yè)秘密民事案件可向有管轄權(quán)的人民法院提起民事訴訟，并提供初步證據(jù)，證據(jù)內(nèi)容可參照7.1。7.6.1.2針對(duì)以下情形可以向人民檢察院提請商業(yè)秘密訴訟活動(dòng)法律監(jiān)督：——已經(jīng)發(fā)生法律效力的民事判決、裁定、調(diào)解書符合《中華人民共和國民事訴訟法》第二百零九條第一款規(guī)定的；——認(rèn)為民事審判程序中審判人員存在違法行為的；——認(rèn)為民事執(zhí)行活動(dòng)存在違法情形的。7.6.2刑事保護(hù)商業(yè)秘密侵權(quán)案件造成企業(yè)損失情況符合《最高人民檢察院公安部關(guān)于修改侵犯商業(yè)秘密刑事案件立案追訴標(biāo)準(zhǔn)的決定》的有關(guān)規(guī)定的，企業(yè)可向犯罪地的公安機(jī)關(guān)報(bào)案，由公安部門對(duì)侵權(quán)人進(jìn)行刑事立案調(diào)查。企業(yè)應(yīng)按照公安機(jī)關(guān)的要求提供相應(yīng)材料。對(duì)公安機(jī)關(guān)應(yīng)當(dāng)立案而不予立案的，企業(yè)可到檢察機(jī)關(guān)申請立案監(jiān)督。8服務(wù)8.1概述8.1.1提供商業(yè)秘密保護(hù)服務(wù)的機(jī)構(gòu)可以是行政管理部門、行業(yè)組織、第三方社會(huì)服務(wù)機(jī)構(gòu)等。8.1.2服務(wù)機(jī)構(gòu)可按照市場化原則，根據(jù)自身力量和企業(yè)需求，聚集、整合商業(yè)秘密保護(hù)的服務(wù)資源，以設(shè)立涵蓋商業(yè)秘密保護(hù)的服務(wù)平臺(tái)等形式，提供宣傳、培訓(xùn)、咨詢、指導(dǎo)、快速維權(quán)等商業(yè)秘密保護(hù)服務(wù)。8.1.3提供商業(yè)秘密保護(hù)服務(wù)的相關(guān)人員應(yīng)具備商業(yè)秘密保護(hù)的專業(yè)知識(shí)，能及時(shí)解決企業(yè)在商業(yè)秘密保護(hù)工作中發(fā)現(xiàn)的問題。8.2.1服務(wù)機(jī)構(gòu)應(yīng)對(duì)管理范圍內(nèi)的企業(yè)開展商業(yè)秘密保護(hù)宣傳。8.2.2商業(yè)秘密保護(hù)宣傳推廣可通過制作宣傳手冊、派發(fā)宣傳單張、拍攝宣傳視頻等形式，借助報(bào)刊雜志、新興自媒體等載體，以“線上+線下”并行、“流動(dòng)+定點(diǎn)”互補(bǔ)等方式進(jìn)行。8.2.3可對(duì)具有社會(huì)影響力、示范意義較大的典型商業(yè)秘密保護(hù)案例開展專題宣傳活動(dòng)。8.3.1服務(wù)機(jī)構(gòu)應(yīng)制定培訓(xùn)方案和計(jì)劃，定期組織企業(yè)、服務(wù)機(jī)構(gòu)工作人員開展商業(yè)秘密保護(hù)培訓(xùn)。8.3.2培訓(xùn)可采用多種形式開展，培訓(xùn)形式包括但不限于：——發(fā)放培訓(xùn)資料；——線下培訓(xùn)；——在線培訓(xùn)；——錄課培訓(xùn)。8.3.3可對(duì)企業(yè)不同層次人員開展商業(yè)秘密保護(hù)專題培訓(xùn)：——對(duì)企業(yè)股東、高級(jí)管理人員開展商業(yè)秘密保護(hù)重要性、必要性和戰(zhàn)略性的培訓(xùn)；——對(duì)企業(yè)從事商業(yè)秘密保護(hù)工作的專(兼)職人員、重點(diǎn)崗位人員開展商業(yè)秘密保護(hù)實(shí)務(wù)及案例培訓(xùn)；7——對(duì)企業(yè)員工開展商業(yè)秘密保護(hù)知識(shí)培訓(xùn)和警示教育。8.3.4對(duì)服務(wù)機(jī)構(gòu)相關(guān)部門工作人員可開展商業(yè)秘密保護(hù)技能和服務(wù)意識(shí)提升培訓(xùn)。8.4保護(hù)指導(dǎo)與支持8.4.1服務(wù)機(jī)構(gòu)可開展商業(yè)秘密保護(hù)指導(dǎo)工作，解答企業(yè)商業(yè)秘密保護(hù)專業(yè)知識(shí)咨詢，為企業(yè)提供商業(yè)秘密保護(hù)相關(guān)資料。8.4.2服務(wù)機(jī)構(gòu)可輔導(dǎo)企業(yè)建立和完善商業(yè)秘密保護(hù)工作體系，內(nèi)容包括但不限于：——設(shè)置商業(yè)秘密保護(hù)管理組織；——界定商業(yè)秘密保護(hù)范圍；——制定和完善商業(yè)秘密保護(hù)管理制度。8.4.3服務(wù)機(jī)構(gòu)可指導(dǎo)企業(yè)開展商業(yè)秘密保護(hù)風(fēng)險(xiǎn)與合規(guī)排查，并進(jìn)行風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)提示。8.4.4服務(wù)機(jī)構(gòu)可引導(dǎo)并協(xié)助企業(yè)做好公證、第三方存證、電子存證等證據(jù)固定。8.4.5企業(yè)被侵權(quán)時(shí)，服務(wù)機(jī)構(gòu)可協(xié)助維權(quán)，包括但不限于：——協(xié)助企業(yè)收集證據(jù)，整理維權(quán)材料；——引導(dǎo)企業(yè)通過合理的途徑依法維權(quán)；——協(xié)助企業(yè)配合行政部門、司法部門等對(duì)案件的查處；——協(xié)助做好調(diào)解工作。8.4.6具備條件的服務(wù)機(jī)構(gòu)等可依相應(yīng)服務(wù)資質(zhì)提供下列專業(yè)服務(wù)：——開發(fā)、部署和維護(hù)涉密文件、數(shù)據(jù)的信息管理系統(tǒng)；——提供技術(shù)信息的非公知性、同一性和損失數(shù)額的鑒定評(píng)估；——提供技術(shù)查新、檢索委托服務(wù)；——其他專業(yè)服務(wù)。8(資料性)商業(yè)秘密管理內(nèi)容及措施A.1.1企業(yè)宜對(duì)確定的商業(yè)秘密進(jìn)行核查、評(píng)估，將商業(yè)秘密劃分等級(jí)，商業(yè)秘密的評(píng)估可考慮以下因素：——經(jīng)濟(jì)價(jià)值，包括現(xiàn)有價(jià)值和預(yù)期價(jià)值；——投入成本；——對(duì)競爭對(duì)手的價(jià)值；——內(nèi)部可查閱、使用秘密的范圍；——秘密泄露后可能造成的經(jīng)濟(jì)損失；——秘密泄露后可能承擔(dān)的法律責(zé)任；——其他影響秘密分級(jí)的因素。A.1.2商業(yè)秘密泄漏后有可能影響國家安全和利益的，應(yīng)依法定程序?qū)⑵浯_定為國家秘密。A.2.1企業(yè)宜建立商業(yè)秘密清單，包括商業(yè)秘密名稱、主題、密級(jí)、保密期限、知悉范圍、載體、權(quán)屬部門、保存方式、存放地點(diǎn)等。A.2.2可根據(jù)經(jīng)營活動(dòng)實(shí)際以及涉密信息的密級(jí)等情況，設(shè)定保密期限。涉密信息可預(yù)見解密期限的，可以年、月、日計(jì)；不可預(yù)見期限的，可定為“長期”或者“公開前”。A.2.3可根據(jù)涉密信息的密級(jí)以及經(jīng)營需要，確定知悉范圍。知悉范圍應(yīng)明確限定到具體的業(yè)務(wù)部門、具體崗位和具體人員，并按照密級(jí)實(shí)行分類管理。A.3.1人員管理A.3.1.1入職管理對(duì)新入職、轉(zhuǎn)崗到涉密崗位的員工，管理措施包括但不限于：——與員工簽訂含有保密條款的勞動(dòng)合同或?qū)ｍ?xiàng)保密協(xié)議，保密條款內(nèi)容應(yīng)盡可能詳盡、具體；——與重要崗位涉密人員簽訂競業(yè)限制協(xié)議；——做好入職前的背景調(diào)查，必要時(shí)與員工簽訂不侵犯他人商業(yè)秘密的承諾函；——在錄用潛在競爭性關(guān)系企業(yè)的員工時(shí)應(yīng)：●審核待錄用的員工與原單位之間的保密約定、保密義務(wù)、保密內(nèi)容及范圍，以防范該員工在本企業(yè)內(nèi)部公開或使用原單位的商業(yè)秘密；●提醒待錄用的員工不應(yīng)將原單位的商業(yè)秘密帶入本企業(yè)進(jìn)行使用或公開，并要求就本項(xiàng)內(nèi)容簽署不侵犯原單位商業(yè)秘密的承諾函；·定期對(duì)已入職的員工所從事的業(yè)務(wù)內(nèi)容進(jìn)行審核，以排除使用原單位商業(yè)秘密。——做好商業(yè)秘密保護(hù)教育和培訓(xùn)，在培訓(xùn)結(jié)束后宜進(jìn)行考核，保存相關(guān)培訓(xùn)和考核記錄。9A.3.1.2履職管理對(duì)員工的履職管理措施包括但不限于：——督促員工遵守企業(yè)商業(yè)秘密保護(hù)管理制度，做好本崗位商業(yè)秘密保護(hù)工作：·涉密電子文檔、數(shù)據(jù)、載體、物品等按規(guī)定途徑和要求使用、流轉(zhuǎn)，并應(yīng)履行審批和登記手續(xù)；●按授權(quán)使用涉密信息系統(tǒng)及網(wǎng)絡(luò)；·離開工作崗位前及時(shí)下線工作賬戶并設(shè)置電腦鎖屏。——對(duì)員工進(jìn)行監(jiān)督，防止員工未經(jīng)商業(yè)秘密保護(hù)部門審批出現(xiàn)下列行為：●超范圍、超權(quán)限或以不正當(dāng)手段獲取使用涉密信息、物品等；●拍攝、復(fù)制、摘抄、仿造、傳播、公開涉密信息；●拍攝、測繪、仿造、公開涉密物品；●進(jìn)入非授權(quán)涉密區(qū)域等?！ㄆ谶M(jìn)行保密教育培訓(xùn)，并保存培訓(xùn)記錄。A.3.1.3離職管理對(duì)涉密崗位員工轉(zhuǎn)崗、離職的管理措施包括但不限于：——在員工轉(zhuǎn)崗、離職前主動(dòng)告知保密義務(wù)及違規(guī)責(zé)任，告知其不應(yīng)有以下行為：●復(fù)制、帶離、損毀、纂改、拍攝涉密紙質(zhì)文檔、物品；●查閱、拷貝、纂改、發(fā)送涉密電子文檔、數(shù)據(jù)；●刪除、更改賬戶；●披露、使用商業(yè)秘密等?！_展離職檢查并做好書面記錄，檢查內(nèi)容包括：·工作電腦數(shù)據(jù)是否完整，是否有復(fù)制、刪除痕跡；●是否有對(duì)外發(fā)送商業(yè)秘密信息的記錄；●是否有權(quán)限之外的文檔、信息數(shù)據(jù)等；●轉(zhuǎn)崗、離職前一定期限內(nèi)的涉密信息查閱和使用情況等。——交接所有涉密載體和涉密物品，收回門禁、賬號(hào)等所有工作權(quán)限；——及時(shí)通知與轉(zhuǎn)崗、離職員工有關(guān)的供應(yīng)商、客戶、合作單位等，告知工作交接情況；——向已簽訂競業(yè)限制協(xié)議的員工書面送達(dá)競業(yè)限制告知書，告知其保密義務(wù)和競業(yè)限制義務(wù)，并在法定期限內(nèi)發(fā)放競業(yè)限制補(bǔ)償金，如不需要員工競業(yè)限制的，及時(shí)書面告知并由員工進(jìn)行確認(rèn)；——及時(shí)掌握離職員工在競業(yè)限制期限內(nèi)的任職去向。A.3.2載體管理A.3.2.1電子載體管理對(duì)電子載體的管理措施包括但不限于：——涉密非移動(dòng)電子載體宜禁用移動(dòng)存儲(chǔ)、光驅(qū)、藍(lán)牙等數(shù)據(jù)傳輸功能，未經(jīng)權(quán)限審批不得隨意安裝軟件；——涉密移動(dòng)電子載體宜設(shè)置身份識(shí)別等加密措施，不可接入非涉密或未采取保密措施的電子設(shè)——對(duì)涉密電子載體的制作、使用、保存、維修、銷毀實(shí)施全生命周期管理，履行審批和登記手續(xù)，由專人負(fù)責(zé)并建立臺(tái)賬；——涉密電子載體不可擅自外送維修，外送維修前宜經(jīng)商業(yè)秘密保護(hù)部門審批，并拆卸涉密存儲(chǔ)設(shè)備或清除涉密信息。A.3.2.2紙質(zhì)文檔管理對(duì)涉密紙質(zhì)文檔的管理措施包括但不限于：——有密級(jí)、保護(hù)期限等標(biāo)識(shí)，實(shí)行登記管理歸檔存放；——存放在涉密區(qū)域內(nèi)并由專人管理；——按權(quán)限使用，使用涉密紙質(zhì)文檔履行審批和登記手續(xù)；——廢棄涉密紙質(zhì)文檔宜由專人進(jìn)行銷毀，不宜隨意丟棄。A.3.2.3信息系統(tǒng)管理對(duì)信息系統(tǒng)的管理措施包括但不限于：——對(duì)涉密信息系統(tǒng)實(shí)行分層權(quán)限管理，以“最小夠用”原則設(shè)定權(quán)限：●合理分配不同層級(jí)賬戶的功能和審批權(quán)限；●合理分配項(xiàng)目中不同賬戶的功能和使用期限；●合理設(shè)定不同賬戶的訪問、操作、查看等權(quán)限及其使用期限；●合理設(shè)定不同賬戶的互聯(lián)網(wǎng)使用權(quán)限。——對(duì)涉密信息系統(tǒng)采取適當(dāng)?shù)拿艽a管理方式，如：●不使用默認(rèn)密碼，不可設(shè)置保存密碼自動(dòng)登錄功能；●限制設(shè)置簡單密碼；●不定期更改密碼，最長間隔時(shí)間不宜超過三個(gè)月；●輸錯(cuò)密碼一定次數(shù)鎖定賬戶；●同一用戶登錄不同涉密信息系統(tǒng)宜采用不同密碼，確保密碼唯一性；●設(shè)置生物識(shí)別進(jìn)行密碼雙重驗(yàn)證?！藢?duì)所有涉密賬號(hào)和密碼實(shí)行統(tǒng)一登記、備案、發(fā)放和變更管理；——權(quán)限到期、人員轉(zhuǎn)崗、項(xiàng)目或事項(xiàng)變更時(shí)及時(shí)回收、變更系統(tǒng)權(quán)限；——在涉密信息系統(tǒng)內(nèi)設(shè)置保密義務(wù)提醒；——做好病毒防范、查殺和病毒庫的升級(jí)等工作；——定期進(jìn)行安全檢查，發(fā)現(xiàn)系統(tǒng)漏洞及時(shí)修補(bǔ)；——定期對(duì)涉密信息系統(tǒng)的數(shù)據(jù)、日志等進(jìn)行備份并妥善保管；——信息系統(tǒng)的管理員權(quán)限宜在不同員工之間進(jìn)行分配，避免由超級(jí)管理員管理整個(gè)系統(tǒng)或若干個(gè)系統(tǒng)的情況。A.3.3電子數(shù)據(jù)管理對(duì)涉密電子數(shù)據(jù)的管理措施包括但不限于：——存儲(chǔ)于企業(yè)授權(quán)的存儲(chǔ)設(shè)備和應(yīng)用系統(tǒng)，不宜存儲(chǔ)于非授權(quán)存儲(chǔ)設(shè)備、網(wǎng)絡(luò)空間；——對(duì)涉密電子數(shù)據(jù)設(shè)置加密措施，加密措施宜與載體有所區(qū)別，形成二次加密；——指定專人進(jìn)行解密操作，員工按權(quán)限使用加密數(shù)據(jù)；——收發(fā)涉密數(shù)據(jù)宜使用唯一出入口，對(duì)涉密數(shù)據(jù)流入流出進(jìn)行審批；——內(nèi)部局域網(wǎng)宜與互聯(lián)網(wǎng)隔離，涉密數(shù)據(jù)網(wǎng)絡(luò)傳遞宜通過內(nèi)部局域網(wǎng)或加密互聯(lián)網(wǎng)通道完成；——通過郵件發(fā)送涉密數(shù)據(jù)時(shí)，宜加密和簽名，可限定打開次數(shù)、打開時(shí)限和編輯權(quán)限；——對(duì)外發(fā)送涉密數(shù)據(jù)宜經(jīng)過審批，并采取加密措施，數(shù)據(jù)發(fā)送與密鑰發(fā)送不宜采用同一通道；——宜對(duì)涉密數(shù)據(jù)拷貝采取限制措施，拷貝宜履行審批手續(xù)并妥善保存拷貝記錄；——涉密電子數(shù)據(jù)宜做好公證、第三方存證、電子存證等證據(jù)固定；——涉密電子數(shù)據(jù)銷毀時(shí)宜確保徹底永久刪除，避免可通過其他技術(shù)手段進(jìn)行數(shù)據(jù)恢復(fù)。A.3.4物品管理對(duì)涉密物品的管理措施包括但不限于：——對(duì)涉密物品進(jìn)行標(biāo)記并單獨(dú)存放，存放區(qū)域按照涉密區(qū)域進(jìn)行管理；——使用涉密物品宜履行審批和登記手續(xù)；——宜對(duì)重要原料、部件等實(shí)行編號(hào)替代、分部門管理等管理方式；——對(duì)涉密物品的制作、使用、保存、維修、銷毀實(shí)施全生命周期管理，履行審批和登記手續(xù)，由專人負(fù)責(zé)并建立臺(tái)賬；——涉密物品需外出攜帶時(shí)宜采取密封、包裝等保密措施；——涉密項(xiàng)目的不良品宜交由專人處理，不可隨意丟棄。A.3.5區(qū)域管理A.3.5.1宜列為涉密區(qū)域的地點(diǎn)或部門包括但不限于：——研發(fā)設(shè)計(jì)、信息管理、財(cái)務(wù)、人力資源等部門；——實(shí)驗(yàn)室、重要生產(chǎn)工作場所；——控制中心、服務(wù)器機(jī)房、信息數(shù)據(jù)中心；——涉密檔案、涉密載體、涉密物品存放地點(diǎn)。A.3.5.2對(duì)涉密區(qū)域的管理措施包括但不限于：——宜設(shè)置物理隔離，形成獨(dú)立、封閉的區(qū)域并設(shè)置門禁，張貼明顯標(biāo)識(shí)和警示語；——出入口安裝監(jiān)控和報(bào)警裝置，采用有效技術(shù)手段對(duì)出入人員進(jìn)行身份驗(yàn)證；——出入涉密區(qū)域人員宜履行