DB4403∕T 235-2022 企业商业秘密管理规范(深圳市).pdf
《DB4403∕T 235-2022 企业商业秘密管理规范(深圳市).pdf》由会员分享,可在线阅读,更多相关《DB4403∕T 235-2022 企业商业秘密管理规范(深圳市).pdf(34页珍藏版)》请在淘文阁 - 分享文档赚钱的网站上搜索。
1、ICS 03.100CCS A 01DB4403深圳市地方标准DB4403/T 2352022企业商业秘密管理规范Specifications for management of trade secrets of enterprises2022-04-25 发布2022-05-01 实施深圳市市场监督管理局发 布DB4403/T 2352022I目次前言.II1范围.12规范性引用文件.13术语和定义.14总体要求.15商业秘密管理组织.26商业秘密管理制度.37商业秘密信息管理.38员工管理.59外部人员管理.710物理区域管理.711物品及载体管理.812信息系统管理.913评估与改进.1
2、014泄密事件管理.11附录 A(资料性)商业秘密保密范围.13附录 B(资料性)竞业限制协议(参考文本).14附录 C(资料性)商业秘密保密协议(参考文本).18附录 D(资料性)不侵犯商业秘密承诺函(参考文本).24附录 E(资料性)商务合作保密协议(参考文本).25参考文献.30DB4403/T 2352022II前言本文件按照GB/T 1.12020标准化工作导则第1部分:标准化文件的结构和起草规则的规定起草。本文件由深圳市市场监督管理局提出并归口。本文件起草单位:深圳市南山区科技创新局(深圳市南山区创新发展促进中心)、深圳市深标知识产权促进中心、北京市天元(深圳)律师事务所、深圳市标
3、准技术研究院、华为技术有限公司、深信服科技股份有限公司、比亚迪股份有限公司、深圳迈瑞生物医疗电子股份有限公司、深圳拓邦股份有限公司、深圳市韶音科技有限公司、光启技术股份有限公司、深圳市腾讯计算机系统有限公司。本文件主要起草人:郭世栈、张仲卿、陈桂育、曹环、刘静、郭晏、罗艳波、胡乐夫、庄丽凡、王磊。DB4403/T 23520221企业商业秘密管理规范1范围本文件规定了企业商业秘密管理的总体要求,以及组织、制度、信息、人员、区域、物品及载体、信息系统、评估与改进和泄密事件的管理要求。本文件适用于企业的商业秘密管理。事业单位、研究机构、协会等组织的商业秘密管理可参照本文件执行。2规范性引用文件下列
4、文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T 190012016质量管理体系要求GB/T 220802016信息技术安全技术信息安全管理体系要求3术语和定义下列术语和定义适用于本文件。3.1商业秘密trade secrets不为公众所知悉、具有商业价值并经权利人采取相应保密措施的技术信息、经营信息等商业信息。注 1:“不为公众所知悉”和“具有商业价值”的具体内容见中华人民共和国反不正当竞争法的规定。注 2:“相应保密措施”的具体内容见最高人民法院关于审
5、理侵犯商业秘密民事案件适用法律若干问题的规定。3.2涉密物品secret-related items含有商业秘密信息的设备和产品。注:包括计算机、手机、产品、原材料、半成品和样品等。3.3涉密载体secret-related carriers以文字、数据、符号、图形、图像、视频和音频等方式记录商业秘密信息的介质。注:包括磁性介质、光盘、U 盘、硬盘、服务器等电子存储介质(即涉密存储介质)和纸质材料(即涉密纸质文档)。3.4涉密计算机secret-related computers处理或存储商业秘密信息的台式机、便携机、一体机、平板等各类计算机。3.5涉密区域secret-related pla
6、ces含有商业秘密信息、人员进入后可能接触到商业秘密的物理区域。4总体要求DB4403/T 235202224.1企业应按照 GB/T 220802016、GB/T 190012016 和本文件的要求建立、实施、持续改进商业秘密管理体系,将商业秘密管理贯彻到企业的全部经营活动中,包括但不限于生产、研发、销售、采购、财务、人事、行政、商业合作等。4.2企业的商业秘密管理工作应由企业最高管理者牵头,高管负责,专人管理,全员参与。4.3企业商业秘密信息的管理应遵循最小授权原则、必须授权原则、审批原则、受控原则、可追溯原则。4.4企业应制定商业秘密管理目标,确定保密、效率、成本三者之间的关系。5商业秘
7、密管理组织5.1企业最高管理者应具备商业秘密管理意识,保障商业秘密管理资源投入,实现以下关于商业秘密管理的要求:a)建立商业秘密管理方针和目标;b)将商业秘密管理要求整合到企业的业务中;c)要求员工加强商业秘密保护意识;d)管理并支持员工为商业秘密管理体系的实施持续努力;e)促进商业秘密管理体系的持续改进。5.2企业应设置专门的商业秘密管理部门,或由具备商业秘密管理职能的部门开展商业秘密管理工作。商业秘密管理部门的组织机构、职责和工作范围可按以下方式确定:a)指定专人作为商业秘密管理部门的负责人,负责企业商业秘密管理体系的决策、管理、实施并向企业最高管理者汇报,也可由企业最高管理者直接负责商业
8、秘密管理部门;b)配备专职的商业秘密管理人员,或由法务、信息安全等部门人员兼任商业秘密管理工作;c)商业秘密管理部门可设立两个以上层级的商业秘密管理组织架构;注:如负责决策的商业秘密管理委员会和负责执行决策、统筹管理的商业秘密管理部。d)商业秘密管理部门可根据职能设置不同的工作小组,分别负责制度、信息技术、宣传培训、检查评估等工作;e)商业秘密管理部门的职责应包括商业秘密信息、涉密物品、涉密载体、涉密部门、涉密人员、涉密区域等的识别和管理,管理制度的制定、执行、检查、改进,员工的保密宣传、培训、考核,以及泄密事件的内部处理和法律维权等;f)商业秘密管理部门应定期组织会议,对商业秘密信息的识别与
9、分级、管理制度的修订、信息技术的实施等重大事项进行决策。5.3企业应指定各业务部门的管理者作为各业务部门商业秘密管理的责任人,同时可在重点业务部门配备专职保密员,或由其他员工兼任该部门的商业秘密管理工作,共同负责管理制度在本部门的落地,承担相应的泄密责任。5.4企业设立专门商业秘密管理部门的,应明确商业秘密管理部门和法务部、信息部、审计部等部门的分工,分别负责以下工作:a)制定商业秘密管理标准、制度和流程;b)组织商业秘密管理宣传、培训、考核;c)负责信息技术手段的落地与支持;d)处理泄密事件;e)监督商业秘密管理工作的执行;f)对商业秘密管理体系进行评估与改进。DB4403/T 235202
10、236商业秘密管理制度6.1企业应制定商业秘密管理的总体纲领文件,内容可包括商业秘密管理的目标、方针、适用范围、定义、策略、原则等。6.2企业应制定商业秘密管理组织的运作机制文件,内容可包括商业秘密管理部门和各业务部门的组织架构、职责与分工、年度工作计划等。6.3企业应制定适用于整个企业的商业秘密管理制度,内容可包括:a)商业秘密信息的识别与分级;b)涉密物品管理;c)涉密载体管理;d)涉密纸质文档管理;e)涉密计算机管理;f)涉密网络管理;g)涉密区域管理;h)涉密人员管理;i)泄密事件管理;j)奖惩管理。6.4企业可根据研发、生产、销售、采购、信息技术、财务、行政等业务部门的工作流程和特点
11、,分别制定适用于各个业务部门的商业秘密管理制度。6.5企业可编制下列清单以明确商业秘密管理制度的管控对象:a)商业秘密信息及分级;b)涉密人员及岗位;c)涉密计算机;d)涉密物品;e)涉密信息系统。6.6商业秘密管理总纲、制度等文件均应形成企业级文件后在企业内部传达,并持续运行和改进。7商业秘密信息管理7.1识别7.1.1企业应评估并识别商业秘密信息。具体技术秘密和经营秘密的表现形式可参考附录 A。7.1.2各业务部门经营活动中产生的商业秘密信息应及时报送商业秘密管理部门登记,商业秘密管理部门应定期更新商业秘密信息清单。7.2分级7.2.1企业对商业秘密信息进行评估时可考虑但不限于以下因素:a
12、)商业秘密信息的经济价值;b)产生商业秘密信息投入的成本;c)商业秘密信息对企业的重要程度;d)竞争对手获取商业秘密后产生的价值;e)商业秘密泄露后产生的经济损失;f)商业秘密泄露后可能承担的法律责任;DB4403/T 23520224g)商业秘密信息在企业内部可查阅的范围;h)对商业秘密采取保密措施所需的成本。7.2.2企业应根据评估结果将商业秘密信息进行分级管理,商业秘密信息的级别应在其载体上明确标识。7.2.3企业应分部门建立商业秘密信息清单,内容包括商业秘密信息名称、密级、管理人、载体、查阅范围等。7.3存档和保管7.3.1各业务部门应指定专人负责本部门涉密载体的存档和保管。7.3.2
13、应使用保密柜等具有保密功能的设备来存放涉密载体。7.3.3存放涉密载体的区域应配备监控摄像头、火灾报警等安防设备。7.4流转7.4.1涉密纸质文档的传递应采取密封包装、专人专车、EMS 快递等保密措施。7.4.2涉密物品等实物的流转,应采取包装、密封等保密措施。7.4.3商业秘密信息只能在企业内部流转,因工作需要流出到外部需要经过审批。7.5备份7.5.1企业应定期对商业秘密信息进行备份,可根据商业秘密信息级别的不同分别确定备份保留时间。7.5.2企业员工未经审批不能访问备份商业秘密信息,因工作需要临时访问应由负责人进行审批并保留记录。7.6复制7.6.1企业员工未经授权不应复制或打印商业秘密
14、信息,因工作需要临时复制或打印商业秘密信息应由责任人进行审批并保留记录。7.6.2企业员工复制或打印商业秘密信息前应标明总页数及当前页,打印时必须在打印机旁守候,打印后及时取走不能遗留。7.7发布7.7.1对外发布的内容可能包含商业秘密信息的,发布前应由商业秘密管理部门进行审批。注:如对外发布论文、网文、产品说明书、用户手册等。7.7.2宜用商业秘密保护而不宜公开的内容不应申请专利。7.8加密及解密7.8.1商业秘密信息宜通过企业的加密系统进行加密。加密系统应采取密钥备份、双人控制等安全管理措施。7.8.2企业应指定各部门的责任人或保密员管理各部门的解密权限。员工申请解密的,应明确相应的使用人
15、、项目、具体事由、日期。解密后的信息应及时回收并做相应处理。7.9销毁7.9.1商业秘密信息载体的销毁过程应采取监督措施。注:如视频监控、录像、见证。DB4403/T 235202257.9.2应根据商业秘密信息载体的不同采取妥善的销毁方式,确保信息不可恢复。纸质文档应使用碎纸机彻底粉碎;硬盘、U 盘等采用消磁的方式彻底销毁存储内容。7.10可追溯7.10.1所有商业秘密信息的产生、保存、流转、复制、发布、解密、销毁等均应保留记录。7.10.2记录的留存时间根据商业秘密信息的重要性、储存成本决定。8员工管理8.1入职管理8.1.1涉密人员入职前应审查其工作背景,审查范围可包括其过往任职的单位、
16、担任的职务、工作内容、是否有涉及知识产权纠纷等。8.1.2企业应与涉密人员签订竞业限制协议(见附录 B)。8.1.3新入职或转岗到涉密岗位的涉密人员应签订与其工作内容相适应的保密协议(见附录 C)。高级管理人员、重点项目、商业秘密管理部门员工等重点岗位的涉密人员应明确其保密范围和接触的商业秘密信息。8.1.4涉密人员入职前,应通过面谈或培训等方式明确告知其保密义务等注意事项。8.1.5涉密人员曾在存在竞争关系的企业工作过的,入职前应采取以下脱密措施以避免侵害他人的商业秘密:a)要求涉密人员提供与原企业的保密协议、竞业限制协议,或其他与保密义务有关的文件;b)提醒涉密人员工作中不能使用原企业的商
17、业秘密信息;c)签署不侵犯原企业商业秘密的承诺函(见附录 D);d)检查涉密人员有无携带或使用原企业的商业秘密信息。8.2保密教育8.2.1企业对员工开展保密教育的内容应包括以下方面:a)商业秘密的重要性;b)商业秘密属于企业的职务成果;c)哪些行为可能泄露或侵害企业的商业秘密;d)侵害商业秘密可能承担的法律责任;e)企业的商业秘密管理制度;f)其他与保密义务、保密范围、保密行为有关的内容。8.2.2企业开展保密培训的形式可以是线下、线上集中培训,或录制成视频、音频课程,并保存好培训记录。可通过以下方式对员工开展保密培训:a)对新入职的员工开展保密培训;b)定期对全体员工开展保密培训;c)对重
18、点岗位、重要涉密人员定期开展专项保密培训。8.2.3企业可通过以下方式对员工开展保密宣传:a)发放员工手册;b)定期线上向员工推送宣传案例;c)组织答题竞赛;d)在办公场所内张贴宣传标语、播放宣传视频;DB4403/T 23520226e)召开全员保密动员大会。8.2.4企业可定期组织员工进行商业秘密保护知识考核,考核结果应归档并整理,用于改进宣传、培训的内容。考核结果可与员工绩效奖挂钩以促进员工增强保密意识。8.3履职管理8.3.1员工所在的业务部门应督促员工熟悉并遵守企业制定的各项商业秘密管理制度,按以下要求以保护员工所在岗位接触到的商业秘密不被泄露:a)工作中产生的商业秘密信息应及时上报
19、商业秘密管理部门登记管理;b)获取、使用、披露企业的商业秘密信息要有授权或取得临时审批;c)获取、使用、披露企业的商业秘密信息要保留相应的记录;d)避免非授权人员获取本岗位的商业秘密信息;e)不进入非授权区域;f)不使用非授权设备、网络、账号。8.3.2企业应建立商业秘密管理奖惩制度。违反企业商业秘密管理规定的处罚结果应形成书面文件,在企业内部通报并存档。鼓励员工举报违反企业商业秘密管理规定的行为,鼓励员工发现企业商业秘密管理体系、措施、技术手段存在的漏洞,对采纳的线索或意见给予奖励。8.3.3企业员工参加的工作会议等活动涉及商业秘密的,可采取以下保密措施:a)在涉密区域内召开;b)使用保密会
20、议室;c)参加会议的员工应具备接触所涉商业秘密的权限或经审批;d)告知其保密要求或签署保密承诺;e)限制使用手机、便携机或拍摄、录音设备,使用防录音装置;f)重要涉密纸质文档做好标识,会议后检查并回收。8.4离职管理8.4.1涉密人员离职前应与之谈话,告知其保密义务、禁止行为以及违反保密义务的法律责任。8.4.2企业应要求离职的涉密人员主动向指定人员移交所有的原始涉密载体且不应删除或篡改,删除其复制的电子数据并签收交接清单。8.4.3企业应回收并注销离职员工所有的域名、应用系统、网络系统、门禁系统账号或访问权限,及时通知与离职员工有关的供应商、客户、合作单位等,告知工作交接情况。8.4.4涉密
21、人员离职前应做如下检查:a)工作电脑数据是否完整,是否有删除、复制痕迹;b)工作电脑上是否有权限之外的文档;c)工作系统、软件的账户的访问日志是否有异常;d)是否有非工作时间登录、频繁登录、批量下载、删除、修改的异常行为痕迹;e)是否有访问外部邮箱的记录;f)是否有对外发送商业秘密信息的记录;g)检查员工离职前一定期限内的商业秘密信息的查阅和使用情况有无异常。8.4.5离职检查过程中如发现离职员工可能侵害企业商业秘密的,应及时收集并固定证据,按照企业泄密事件管理规定处理。8.4.6企业应根据需要决定是否对离职员工启动竞业限制,定期掌握涉密岗位离职员工在离职后特别是竞业限制期限内的任职情况。DB
22、4403/T 235202279外部人员管理9.1外部人员进入企业应出示证件并履行登记程序,佩戴与员工不同颜色的出入卡。访问涉密区域应经审批并进行登记,告知其禁止录音、摄影、摄像、使用便携机、移动存储介质等设备,限制手机等器材的拍摄功能,并安排专人全程陪同。进入企业参观的,应设置专门的参观路线以避开涉密区域,参观路线上可能涉及的商业秘密信息应采取隐秘措施。9.2外部企业需要接触企业商业秘密信息的,应与该企业及相关人员签订保密协议(见附录 E)或以其他书面形式约定保密义务,内容包括涉密载体、保密范围、保密义务及违约责任等。因诉讼、仲裁等司法活动需要向第三人披露商业秘密信息又无法签订保密协议的,可
23、申请不公开质证或其他保密程序。9.3专家、顾问、律师、会计师等外部人员因工作需要在短期内大量接触企业商业秘密信息的,可要求其使用企业提供的保密计算机并对信息进行加密。需要通过企业内部网络接入涉密计算机或设备的,应通过堡垒机采取保密措施。注:“堡垒机”是指具备监控和记录运维人员操作行为功能的网络安全设备。9.4涉密项目需要长期向供应商或外部研发企业提供商业秘密信息的,或因维修、研发等需要经常进入涉密区域的,可要求外部企业采取以下保密措施:a)与参与项目的外部企业员工签订个人保密协议;b)使用企业提供的保密计算机;c)使用企业提供的加密系统;d)使用企业提供的加密存储介质;e)对外部人员使用的便携
24、机等设备进行检查。9.5与外部人员召开的重要涉密会议,应避免使用远程视频或音频、电话会议。涉密会议应采取以下保密措施:a)在涉密区域内召开;b)使用保密会议室;c)告知保密要求或签署保密承诺;d)采取会议密码、屏幕水印等保密措施。10物理区域管理10.1企业内部的办公区域应根据商业秘密信息划分为不同的涉密区域,可按涉密区域、办公区域、外部接待区域三级分区。涉密区域可包括核心产品或服务的研发、生产,存储商业秘密信息的数据中心、档案中心等。不同密级的区域之间应采取物理门、墙、隔断等物理隔离措施。密级高的办公区域应设置在离企业出入口相对较远的位置。10.2涉密区域可采取如下保密措施:a)使用独立、封
25、闭的办公区域,不宜使用开放式办公或多部门混合办公;b)人员进出需具备相应权限且佩戴身份标识卡,非授权人员因工作需要出入需经审批取得临时授权,外部人员进入需有专人全程陪同;c)出入口配备安保人员及安防设备;d)不应携带手机、便携机、平板、智能手表等具备拍摄、录音、存储功能的设备器材;e)不应非授权人员接入涉密网络;f)区域内部覆盖实时面部识别、动作识别、异常行为识别的高清摄像头;g)内部设置专门的涉密会议室或电话室;h)涉密计算机配备防偷窥、防拍照措施。DB4403/T 2352022810.3存放商业秘密信息的数据中心、文档中心应设置在隐蔽的位置,远离非涉密区域且不宜张贴明确标识以防侵入。10
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- DB4403T 235-2022 企业商业秘密管理规范深圳市 DB4403 235 2022 企业 商业秘密 管理 规范 深圳市
限制150内