DB4403_T 235-2022 企业商业秘密管理规范.docx
-
资源ID:95939755
资源大小:3.56MB
全文页数:33页
- 资源格式: DOCX
下载积分:20金币
快捷下载
会员登录下载
微信登录下载
三方登录下载:
微信扫一扫登录
友情提示
2、PDF文件下载后,可能会被浏览器默认打开,此种情况可以点击浏览器菜单,保存网页到桌面,就可以正常下载了。
3、本站不支持迅雷下载,请使用电脑自带的IE浏览器,或者360浏览器、谷歌浏览器下载即可。
4、本站资源下载后的文档和图纸-无水印,预览文档经过压缩,下载后原文更清晰。
5、试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓。
|
DB4403_T 235-2022 企业商业秘密管理规范.docx
ICS 03.100CCS A 01DB4403深圳市地方标准DB4403/T 2352022企业商业秘密管理规范Specifications for management of trade secrets of enterprises2022-04-25 发布2022-05-01 实施深圳市市场监督管理局发 布DB4403/T 2352022目次前言. II1 范围. 12 规范性引用文件.13 术语和定义. 14 总体要求. 15 商业秘密管理组织.26 商业秘密管理制度.37 商业秘密信息管理.38 员工管理. 59 外部人员管理.710 物理区域管理. 711 物品及载体管理.812 信息系统管理. 913 评估与改进.1014 泄密事件管理.11附录 A(资料性) 商业秘密保密范围.13附录 B(资料性) 竞业限制协议(参考文本). 14附录 C(资料性) 商业秘密保密协议(参考文本). 18附录 D(资料性) 不侵犯商业秘密承诺函(参考文本). 24附录 E(资料性) 商务合作保密协议(参考文本). 25参考文献. 30IDB4403/T 2352022前言本文件按照GB/T 1.12020标准化工作导则 第1部分:标准化文件的结构和起草规则的规定起草。本文件由深圳市市场监督管理局提出并归口。本文件起草单位:深圳市南山区科技创新局(深圳市南山区创新发展促进中心)、深圳市深标知识产权促进中心、北京市天元(深圳)律师事务所、深圳市标准技术研究院、华为技术有限公司、深信服科技股份有限公司、比亚迪股份有限公司、深圳迈瑞生物医疗电子股份有限公司、深圳拓邦股份有限公司、深圳市韶音科技有限公司、光启技术股份有限公司、深圳市腾讯计算机系统有限公司。本文件主要起草人:郭世栈、张仲卿、陈桂育、曹环、刘静、郭晏、罗艳波、胡乐夫、庄丽凡、王磊。IIDB4403/T 2352022企业商业秘密管理规范1 范围本文件规定了企业商业秘密管理的总体要求,以及组织、制度、信息、人员、区域、物品及载体、信息系统、评估与改进和泄密事件的管理要求。本文件适用于企业的商业秘密管理。事业单位、研究机构、协会等组织的商业秘密管理可参照本文件执行。2 规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T 190012016 质量管理体系 要求GB/T 220802016 信息技术 安全技术 信息安全管理体系 要求3 术语和定义下列术语和定义适用于本文件。3.1商业秘密 trade secrets不为公众所知悉、具有商业价值并经权利人采取相应保密措施的技术信息、经营信息等商业信息。注 1:“不为公众所知悉”和“具有商业价值”的具体内容见中华人民共和国反不正当竞争法的规定。注 2:“相应保密措施”的具体内容见最高人民法院关于审理侵犯商业秘密民事案件适用法律若干问题的规定。3.2涉密物品 secret-related items含有商业秘密信息的设备和产品。注:包括计算机、手机、产品、原材料、半成品和样品等。3.3涉密载体 secret-related carriers以文字、数据、符号、图形、图像、视频和音频等方式记录商业秘密信息的介质。注:包括磁性介质、光盘、U 盘、硬盘、服务器等电子存储介质(即涉密存储介质)和纸质材料(即涉密纸质文档)。3.4涉密计算机 secret-related computers处理或存储商业秘密信息的台式机、便携机、一体机、平板等各类计算机。3.5涉密区域 secret-related places含有商业秘密信息、人员进入后可能接触到商业秘密的物理区域。4 总体要求1DB4403/T 23520224.1 企业应按照 GB/T 220802016、GB/T 190012016 和本文件的要求建立、实施、持续改进商业秘密管理体系,将商业秘密管理贯彻到企业的全部经营活动中,包括但不限于生产、研发、销售、采购、财务、人事、行政、商业合作等。4.2 企业的商业秘密管理工作应由企业最高管理者牵头,高管负责,专人管理,全员参与。4.3 企业商业秘密信息的管理应遵循最小授权原则、必须授权原则、审批原则、受控原则、可追溯原则。4.4 企业应制定商业秘密管理目标,确定保密、效率、成本三者之间的关系。5 商业秘密管理组织5.1 企业最高管理者应具备商业秘密管理意识,保障商业秘密管理资源投入,实现以下关于商业秘密管理的要求:a)建立商业秘密管理方针和目标;b)将商业秘密管理要求整合到企业的业务中;c)要求员工加强商业秘密保护意识;d)管理并支持员工为商业秘密管理体系的实施持续努力;e)促进商业秘密管理体系的持续改进。5.2 企业应设置专门的商业秘密管理部门,或由具备商业秘密管理职能的部门开展商业秘密管理工作。商业秘密管理部门的组织机构、职责和工作范围可按以下方式确定:a)指定专人作为商业秘密管理部门的负责人,负责企业商业秘密管理体系的决策、管理、实施并向企业最高管理者汇报,也可由企业最高管理者直接负责商业秘密管理部门;b)配备专职的商业秘密管理人员,或由法务、信息安全等部门人员兼任商业秘密管理工作;c)商业秘密管理部门可设立两个以上层级的商业秘密管理组织架构;注:如负责决策的商业秘密管理委员会和负责执行决策、统筹管理的商业秘密管理部。d)商业秘密管理部门可根据职能设置不同的工作小组,分别负责制度、信息技术、宣传培训、检查评估等工作;e)商业秘密管理部门的职责应包括商业秘密信息、涉密物品、涉密载体、涉密部门、涉密人员、涉密区域等的识别和管理,管理制度的制定、执行、检查、改进,员工的保密宣传、培训、考核,以及泄密事件的内部处理和法律维权等;f)商业秘密管理部门应定期组织会议,对商业秘密信息的识别与分级、管理制度的修订、信息技术的实施等重大事项进行决策。5.3 企业应指定各业务部门的管理者作为各业务部门商业秘密管理的责任人,同时可在重点业务部门配备专职保密员,或由其他员工兼任该部门的商业秘密管理工作,共同负责管理制度在本部门的落地,承担相应的泄密责任。5.4 企业设立专门商业秘密管理部门的,应明确商业秘密管理部门和法务部、信息部、审计部等部门的分工,分别负责以下工作:a)制定商业秘密管理标准、制度和流程;b)组织商业秘密管理宣传、培训、考核;c)负责信息技术手段的落地与支持;d)处理泄密事件;e)监督商业秘密管理工作的执行;f)对商业秘密管理体系进行评估与改进。2DB4403/T 23520226 商业秘密管理制度6.1 企业应制定商业秘密管理的总体纲领文件,内容可包括商业秘密管理的目标、方针、适用范围、定义、策略、原则等。6.2 企业应制定商业秘密管理组织的运作机制文件,内容可包括商业秘密管理部门和各业务部门的组织架构、职责与分工、年度工作计划等。6.3 企业应制定适用于整个企业的商业秘密管理制度,内容可包括:a)商业秘密信息的识别与分级;b)涉密物品管理;c)涉密载体管理;d)涉密纸质文档管理;e)涉密计算机管理;f)涉密网络管理;g)涉密区域管理;h)涉密人员管理;i)泄密事件管理;j)奖惩管理。6.4 企业可根据研发、生产、销售、采购、信息技术、财务、行政等业务部门的工作流程和特点,分别制定适用于各个业务部门的商业秘密管理制度。6.5 企业可编制下列清单以明确商业秘密管理制度的管控对象:a)商业秘密信息及分级;b)涉密人员及岗位;c)涉密计算机;d)涉密物品;e)涉密信息系统。6.6 商业秘密管理总纲、制度等文件均应形成企业级文件后在企业内部传达,并持续运行和改进。7 商业秘密信息管理7.1 识别7.1.1 企业应评估并识别商业秘密信息。具体技术秘密和经营秘密的表现形式可参考附录 A。7.1.2 各业务部门经营活动中产生的商业秘密信息应及时报送商业秘密管理部门登记,商业秘密管理部门应定期更新商业秘密信息清单。7.2 分级7.2.1 企业对商业秘密信息进行评估时可考虑但不限于以下因素:a) 商业秘密信息的经济价值;b) 产生商业秘密信息投入的成本;c) 商业秘密信息对企业的重要程度;d) 竞争对手获取商业秘密后产生的价值;e) 商业秘密泄露后产生的经济损失;f) 商业秘密泄露后可能承担的法律责任;3DB4403/T 2352022g)商业秘密信息在企业内部可查阅的范围;h)对商业秘密采取保密措施所需的成本。7.2.2 企业应根据评估结果将商业秘密信息进行分级管理,商业秘密信息的级别应在其载体上明确标识。7.2.3 企业应分部门建立商业秘密信息清单,内容包括商业秘密信息名称、密级、管理人、载体、查阅范围等。7.3 存档和保管7.3.1 各业务部门应指定专人负责本部门涉密载体的存档和保管。7.3.2 应使用保密柜等具有保密功能的设备来存放涉密载体。7.3.3 存放涉密载体的区域应配备监控摄像头、火灾报警等安防设备。7.4 流转7.4.1 涉密纸质文档的传递应采取密封包装、专人专车、EMS 快递等保密措施。7.4.2 涉密物品等实物的流转,应采取包装、密封等保密措施。7.4.3 商业秘密信息只能在企业内部流转,因工作需要流出到外部需要经过审批。7.5 备份7.5.1 企业应定期对商业秘密信息进行备份,可根据商业秘密信息级别的不同分别确定备份保留时间。7.5.2 企业员工未经审批不能访问备份商业秘密信息,因工作需要临时访问应由负责人进行审批并保留记录。7.6 复制7.6.1 企业员工未经授权不应复制或打印商业秘密信息,因工作需要临时复制或打印商业秘密信息应由责任人进行审批并保留记录。7.6.2 企业员工复制或打印商业秘密信息前应标明总页数及当前页,打印时必须在打印机旁守候,打印后及时取走不能遗留。7.7 发布7.7.1 对外发布的内容可能包含商业秘密信息的,发布前应由商业秘密管理部门进行审批。注:如对外发布论文、网文、产品说明书、用户手册等。7.7.2 宜用商业秘密保护而不宜公开的内容不应申请专利。7.8加密及解密7.8.1 商业秘密信息宜通过企业的加密系统进行加密。加密系统应采取密钥备份、双人控制等安全管理措施。7.8.2 企业应指定各部门的责任人或保密员管理各部门的解密权限。员工申请解密的,应明确相应的使用人、项目、具体事由、日期。解密后的信息应及时回收并做相应处理。7.9 销毁7.9.1 商业秘密信息载体的销毁过程应采取监督措施。注:如视频监控、录像、见证。4DB4403/T 23520227.9.2 应根据商业秘密信息载体的不同采取妥善的销毁方式,确保信息不可恢复。纸质文档应使用碎纸机彻底粉碎;硬盘、U 盘等采用消磁的方式彻底销毁存储内容。7.10 可追溯7.10.1 所有商业秘密信息的产生、保存、流转、复制、发布、解密、销毁等均应保留记录。7.10.2 记录的留存时间根据商业秘密信息的重要性、储存成本决定。8 员工管理8.1 入职管理8.1.1 涉密人员入职前应审查其工作背景,审查范围可包括其过往任职的单位、担任的职务、工作内容、是否有涉及知识产权纠纷等。8.1.2 企业应与涉密人员签订竞业限制协议(见附录 B)。8.1.3 新入职或转岗到涉密岗位的涉密人员应签订与其工作内容相适应的保密协议(见附录 C)。高级管理人员、重点项目、商业秘密管理部门员工等重点岗位的涉密人员应明确其保密范围和接触的商业秘密信息。8.1.4 涉密人员入职前,应通过面谈或培训等方式明确告知其保密义务等注意事项。8.1.5 涉密人员曾在存在竞争关系的企业工作过的,入职前应采取以下脱密措施以避免侵害他人的商业秘密:a)要求涉密人员提供与原企业的保密协议、竞业限制协议,或其他与保密义务有关的文件;b)提醒涉密人员工作中不能使用原企业的商业秘密信息;c)签署不侵犯原企业商业秘密的承诺函(见附录 D);d)检查涉密人员有无携带或使用原企业的商业秘密信息。8.2 保密教育8.2.1 企业对员工开展保密教育的内容应包括以下方面:a)商业秘密的重要性;b)商业秘密属于企业的职务成果;c)哪些行为可能泄露或侵害企业的商业秘密;d)侵害商业秘密可能承担的法律责任;e)企业的商业秘密管理制度;f)其他与保密义务、保密范围、保密行为有关的内容。8.2.2 企业开展保密培训的形式可以是线下、线上集中培训,或录制成视频、音频课程,并保存好培训记录。可通过以下方式对员工开展保密培训:a)对新入职的员工开展保密培训;b)定期对全体员工开展保密培训;c)对重点岗位、重要涉密人员定期开展专项保密培训。8.2.3 企业可通过以下方式对员工开展保密宣传:a)发放员工手册;b)定期线上向员工推送宣传案例;c)组织答题竞赛;d)在办公场所内张贴宣传标语、播放宣传视频;5DB4403/T 2352022e)召开全员保密动员大会。8.2.4 企业可定期组织员工进行商业秘密保护知识考核,考核结果应归档并整理,用于改进宣传、培训的内容。考核结果可与员工绩效奖挂钩以促进员工增强保密意识。8.3履职管理8.3.1 员工所在的业务部门应督促员工熟悉并遵守企业制定的各项商业秘密管理制度,按以下要求以保护员工所在岗位接触到的商业秘密不被泄露:a)工作中产生的商业秘密信息应及时上报商业秘密管理部门登记管理;b)获取、使用、披露企业的商业秘密信息要有授权或取得临时审批;c)获取、使用、披露企业的商业秘密信息要保留相应的记录;d)避免非授权人员获取本岗位的商业秘密信息;e)不进入非授权区域;f)不使用非授权设备、网络、账号。8.3.2 企业应建立商业秘密管理奖惩制度。违反企业商业秘密管理规定的处罚结果应形成书面文件,在企业内部通报并存档。鼓励员工举报违反企业商业秘密管理规定的行为,鼓励员工发现企业商业秘密管理体系、措施、技术手段存在的漏洞,对采纳的线索或意见给予奖励。8.3.3 企业员工参加的工作会议等活动涉及商业秘密的,可采取以下保密措施:a)在涉密区域内召开;b)使用保密会议室;c)参加会议的员工应具备接触所涉商业秘密的权限或经审批;d)告知其保密要求或签署保密承诺;e)限制使用手机、便携机或拍摄、录音设备,使用防录音装置;f)重要涉密纸质文档做好标识,会议后检查并回收。8.4 离职管理8.4.1 涉密人员离职前应与之谈话,告知其保密义务、禁止行为以及违反保密义务的法律责任。8.4.2 企业应要求离职的涉密人员主动向指定人员移交所有的原始涉密载体且不应删除或篡改,删除其复制的电子数据并签收交接清单。8.4.3 企业应回收并注销离职员工所有的域名、应用系统、网络系统、门禁系统账号或访问权限,及时通知与离职员工有关的供应商、客户、合作单位等,告知工作交接情况。8.4.4 涉密人员离职前应做如下检查:a)工作电脑数据是否完整,是否有删除、复制痕迹;b)工作电脑上是否有权限之外的文档;c)工作系统、软件的账户的访问日志是否有异常;d)是否有非工作时间登录、频繁登录、批量下载、删除、修改的异常行为痕迹;e)是否有访问外部邮箱的记录;f)是否有对外发送商业秘密信息的记录;g)检查员工离职前一定期限内的商业秘密信息的查阅和使用情况有无异常。8.4.5 离职检查过程中如发现离职员工可能侵害企业商业秘密的,应及时收集并固定证据,按照企业泄密事件管理规定处理。8.4.6 企业应根据需要决定是否对离职员工启动竞业限制,定期掌握涉密岗位离职员工在离职后特别是竞业限制期限内的任职情况。6DB4403/T 23520229 外部人员管理9.1 外部人员进入企业应出示证件并履行登记程序,佩戴与员工不同颜色的出入卡。访问涉密区域应经审批并进行登记,告知其禁止录音、摄影、摄像、使用便携机、移动存储介质等设备,限制手机等器材的拍摄功能,并安排专人全程陪同。进入企业参观的,应设置专门的参观路线以避开涉密区域,参观路线上可能涉及的商业秘密信息应采取隐秘措施。9.2 外部企业需要接触企业商业秘密信息的,应与该企业及相关人员签订保密协议(见附录 E)或以其他书面形式约定保密义务,内容包括涉密载体、保密范围、保密义务及违约责任等。因诉讼、仲裁等司法活动需要向第三人披露商业秘密信息又无法签订保密协议的,可申请不公开质证或其他保密程序。9.3 专家、顾问、律师、会计师等外部人员因工作需要在短期内大量接触企业商业秘密信息的,可要求其使用企业提供的保密计算机并对信息进行加密。需要通过企业内部网络接入涉密计算机或设备的,应通过堡垒机采取保密措施。注:“堡垒机”是指具备监控和记录运维人员操作行为功能的网络安全设备。9.4 涉密项目需要长期向供应商或外部研发企业提供商业秘密信息的,或因维修、研发等需要经常进入涉密区域的,可要求外部企业采取以下保密措施:a)与参与项目的外部企业员工签订个人保密协议;b)使用企业提供的保密计算机;c)使用企业提供的加密系统;d)使用企业提供的加密存储介质;e)对外部人员使用的便携机等设备进行检查。9.5 与外部人员召开的重要涉密会议,应避免使用远程视频或音频、电话会议。涉密会议应采取以下保密措施:a)在涉密区域内召开;b)使用保密会议室;c)告知保密要求或签署保密承诺;d)采取会议密码、屏幕水印等保密措施。10 物理区域管理10.1 企业内部的办公区域应根据商业秘密信息划分为不同的涉密区域,可按涉密区域、办公区域、外部接待区域三级分区。涉密区域可包括核心产品或服务的研发、生产,存储商业秘密信息的数据中心、档案中心等。不同密级的区域之间应采取物理门、墙、隔断等物理隔离措施。密级高的办公区域应设置在离企业出入口相对较远的位置。10.2 涉密区域可采取如下保密措施:a)使用独立、封闭的办公区域,不宜使用开放式办公或多部门混合办公;b)人员进出需具备相应权限且佩戴身份标识卡,非授权人员因工作需要出入需经审批取得临时授权,外部人员进入需有专人全程陪同;c)出入口配备安保人员及安防设备;d)不应携带手机、便携机、平板、智能手表等具备拍摄、录音、存储功能的设备器材;e)不应非授权人员接入涉密网络;f)区域内部覆盖实时面部识别、动作识别、异常行为识别的高清摄像头;g)内部设置专门的涉密会议室或电话室;h)涉密计算机配备防偷窥、防拍照措施。7DB4403/T 235202210.3 存放商业秘密信息的数据中心、文档中心应设置在隐蔽的位置,远离非涉密区域且不宜张贴明确标识以防侵入。10.4 涉密区域入口处应张贴涉密区域级别标识和“禁止携带违禁品”标识,区域内部应张贴“禁止拍摄”等禁止标识。10.5 涉密区域的出入口可采取以下安保措施:a)使用指纹、人脸识别、瞳孔等技术手段的防尾随门禁,不宜使用刷卡或密码门禁;b)配备检测设备以限制携带手机、便携机等违禁品出入;c)配备视频监控及报警系统,对非法闯入或携带违禁品进入实时报警;d)设置监控中心并配备专职人员实时监控;e)设置临时储物柜以存放限制物品。10.6 企业应根据业务和保密要求的不同,将内部网络划分为不同的网络区域。涉密区域的涉密网络可采取以下保密措施:a)不应接入外网;b)与其他内部网络隔离,不能相互连通;c)与其他内部网络采取不同的分级管理措施;d)禁止使用无线网络、无线热点;e)访问涉密区域网络的设备应使用终端准入限制;f)不应内部网络设备接入外网;g)通过 VPN 等方式远程接入涉密区域网络应使用终端准入、身份安全等验证措施;h)配备独立的网络基础设施。注:如服务器、防火墙、专线等。10.7 企业应设置专门的外部接待区域用于接待外部人员或用于临时办公、会议,非经审批不应允许外部人员进入内部区域或涉密区域办公。11 物品及载体管理11.1 计算机11.1.1 涉密计算机宜使用云桌面系统办公以将工作数据存储在内部云服务器上,不宜存储在涉密计算机的本地存储中。11.1.2 应关闭或禁用涉密计算机的移动存储、光驱、蓝牙、无线网卡等数据传输功能模块,以及摄像头、声卡、话筒等音视频采集设备,未经许可不应使用。11.1.3 涉密计算机硬件的配置、维修、报废均应经过审批或授权交由指定人员处理,应使用封条封住主机以禁止员工私自拆机维修、更换、增加硬件配件。11.1.4 计算机未经批准不应安装非授权软件。11.1.5 计算机的网络接入、网络配置均应按规定设置,不应接入非授权网络。11.1.6 涉密便携机应设置身份验证、硬盘口令,封闭摄像头和麦克风功能,存放时使用带锁的保密柜。不宜在涉密区域使用便携机办公。11.2 智能手机11.2.1 涉密区域不应使用个人智能手机。如携带个人智能手机进入涉密区域应关闭或禁用摄像头、麦克风,不应在涉密区域内拍摄、录音、设置热点。8DB4403/T 235202211.2.2 个人智能手机不应接入存有商业秘密信息的软件及信息系统,避免在个人手机内存储商业秘密信息。注:如 OA、SAP、CRM 等系统。11.2.3 个人智能手机不应接入企业涉密网络。11.3 纸质文档11.3.1 涉密纸质文档应存放在涉密区域内,打印、复印、扫描、查阅、借用等使用涉密纸质文档应由专人专管并登记。11.3.2 企业应配备打印管控系统管理纸质文档的打印、复印、扫描,并保留记录及备份。打印、复印、传真涉密纸质文档时应具备授权并在机器旁守候及时取走文档。扫描纸质文档不应使用公共盘存储。11.3.3 废弃的纸质文档应通过碎纸机粉碎,不应随意丢弃。11.4 产品11.4.1 涉密项目的半成品、样品应由专人管理,放置在保密柜或专门的存储室保管,出入口配备摄像头监控。携带外出时应采取包装等保密措施。11.4.2 涉密项目的不良品应交由专人处理或报废,不应随意丢弃。11.4.3 涉密产品、半成品、原料等的标签应替换为企业内部的编码统一管理。11.5 移动存储介质11.5.1 未经审批不应使用移动存储设备存储商业秘密信息。涉密移动存储介质不应连接非涉密或未采取保密措施的计算机及电子设备。11.5.2 涉密移动存储介质应由专人专管,且使用身份识别、内容加密、设备绑定等保密措施。12 信息系统管理12.1 权限管理12.1.1 商业秘密管理部门应统一管理对涉密信息系统的授权及审批。12.1.2 权限到期、人员变更或离职、项目变更等情况应及时变更、回收相应的信息系统权限。12.1.3 信息系统的权限管理应保留记录日志,用于定期检查各信息系统用户的访问权限、特别授权等权限管理是否存在漏洞。12.1.4 信息系统的管理员权限应在不同人员之间进行分配,避免由超级管理员管理整个系统或若干个系统的情况。12.2 账号及口令12.2.1 业务部门设置公用账号、匿名账号等特殊账号应经过商业秘密管理部门审批。12.2.2 外部人员的账号应与内部员工账号有明显的区别。12.2.3 账号应同时包括特殊符号、大写英文字母、小写英文字母、数字四种不同字符。12.2.4 信息系统账号的初始口令应是随机产生的口令,不能相同或有规律,且应规定修改口令设置的位数、更换周期的最低标准。12.2.5 信息系统的口令应通过系统设置强制用户定期更换。12.3 信息出口控制9DB4403/T 235202212.3.1 未经审批不应允许任何商业秘密信息外部出口存在。所有经审批的信息出口都应有以下“四统一”:a)统一登记;b)统一管理;c)统一备份;d)统一监控。12.3.2 企业的办公网络不应允许访问非企业邮箱的外部邮箱,应将常见的外部邮箱、地址包括网址设为禁止访问名单。因工作需要登录外部邮箱的应经过审批并备案邮箱账号和密码。12.3.3 企业应建立代理服务器访问备份系统,代理服务器访问日志备份 6 个月以上。应设置访问外网时允许上传的字节数,从而限制通过代理服务器对外发送商业秘密信息。12.3.4 企业应禁止员工使用网盘,应将常见的网盘网址设为禁止访问名单。确因工作需要登录网盘的应经过审批,并向企业备案网盘账号和密码。12.3.5 企业涉密计算机使用的即时通讯软件应避免和其他外部通讯软件交互商业秘密信息,应具备以下保密功能:a)具备对用户登录进行网络、设备控制的功能,保证其在安全环境下运行;b)具备检查聊天内容关键字的后台管控功能;c)在移动终端应具备禁止复制、转发、下载和全场景添加水印的管控功能。12.3.6 企业存储商业秘密信息的云服务器或信息系统应关闭信息外部出口,未经审批不应允许在服务器上复制、修改商业秘密信息。12.4 保密措施12.4.1 涉密计算机的操作系统、办公软件、信息系统等均应设置登录账号,密码应定期更换,不应共用账号。12.4.2 企业应对操作系统设置屏幕保护恢复密码、屏幕水印、复制粘贴限制等保密措施。12.4.3 涉密计算机的办公软件应由企业统一安装并管理,未经授权不应私自安装软件。个人邮箱、网盘、即时通讯工具等具备通过网络对外发送文件的软件均应禁止。12.4.4 企业应使用具备关键字过滤、外发邮件审批、邮件审计等保密功能的企业邮箱。12.4.5 在涉密网络内部使用的即时通讯软件不应与其他网络,或连接到互联网的通讯软件连接。12.4.6 加密软件应定期检查,确保加密软件对所有类型文件在所有场景都能够进行加密。批量解密等特殊解密的授权权限应经过审批统一管理。12.4.7 企业应使用专用的信息系统存储商业秘密信息,信息系统应具备权限管理、日志、审计等保密功能。12.4.8 涉密计算机应安装专门的行为管控软件,可记录商业秘密信息数据的复