DB4403_T 235-2022 企业商业秘密管理规范.docx
《DB4403_T 235-2022 企业商业秘密管理规范.docx》由会员分享,可在线阅读,更多相关《DB4403_T 235-2022 企业商业秘密管理规范.docx(33页珍藏版)》请在淘文阁 - 分享文档赚钱的网站上搜索。
1、ICS03.100CCSA01DB4403深圳市地方标准DB4403/T2352022企业商业秘密管理规范Specificationsformanagementoftradesecretsofenterprises2022-04-25发布2022-05-01实施深圳市市场监督管理局发布DB4403/T2352022目次前言.II1范围.12规范性引用文件.13术语和定义.14总体要求.15商业秘密管理组织.26商业秘密管理制度.37商业秘密信息管理.38员工管理.59外部人员管理.710物理区域管理.711物品及载体管理.812信息系统管理.913评估与改进.1014泄密事件管理.11附录A(
2、资料性)商业秘密保密范围.13附录B(资料性)竞业限制协议(参考文本).14附录C(资料性)商业秘密保密协议(参考文本).18附录D(资料性)不侵犯商业秘密承诺函(参考文本).24附录E(资料性)商务合作保密协议(参考文本).25参考文献.30IDB4403/T2352022前言本文件按照GB/T1.12020标准化工作导则第1部分:标准化文件的结构和起草规则的规定起草。本文件由深圳市市场监督管理局提出并归口。本文件起草单位:深圳市南山区科技创新局(深圳市南山区创新发展促进中心)、深圳市深标知识产权促进中心、北京市天元(深圳)律师事务所、深圳市标准技术研究院、华为技术有限公司、深信服科技股份有
3、限公司、比亚迪股份有限公司、深圳迈瑞生物医疗电子股份有限公司、深圳拓邦股份有限公司、深圳市韶音科技有限公司、光启技术股份有限公司、深圳市腾讯计算机系统有限公司。本文件主要起草人:郭世栈、张仲卿、陈桂育、曹环、刘静、郭晏、罗艳波、胡乐夫、庄丽凡、王磊。IIDB4403/T2352022企业商业秘密管理规范1范围本文件规定了企业商业秘密管理的总体要求,以及组织、制度、信息、人员、区域、物品及载体、信息系统、评估与改进和泄密事件的管理要求。本文件适用于企业的商业秘密管理。事业单位、研究机构、协会等组织的商业秘密管理可参照本文件执行。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不
4、可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T190012016质量管理体系要求GB/T220802016信息技术安全技术信息安全管理体系要求3术语和定义下列术语和定义适用于本文件。3.1商业秘密tradesecrets不为公众所知悉、具有商业价值并经权利人采取相应保密措施的技术信息、经营信息等商业信息。注1:“不为公众所知悉”和“具有商业价值”的具体内容见中华人民共和国反不正当竞争法的规定。注2:“相应保密措施”的具体内容见最高人民法院关于审理侵犯商业秘密民事案件适用法律若干问题的规定。3.2涉密物
5、品secret-relateditems含有商业秘密信息的设备和产品。注:包括计算机、手机、产品、原材料、半成品和样品等。3.3涉密载体secret-relatedcarriers以文字、数据、符号、图形、图像、视频和音频等方式记录商业秘密信息的介质。注:包括磁性介质、光盘、U盘、硬盘、服务器等电子存储介质(即涉密存储介质)和纸质材料(即涉密纸质文档)。3.4涉密计算机secret-relatedcomputers处理或存储商业秘密信息的台式机、便携机、一体机、平板等各类计算机。3.5涉密区域secret-relatedplaces含有商业秘密信息、人员进入后可能接触到商业秘密的物理区域。4总
6、体要求1DB4403/T23520224.1企业应按照GB/T220802016、GB/T190012016和本文件的要求建立、实施、持续改进商业秘密管理体系,将商业秘密管理贯彻到企业的全部经营活动中,包括但不限于生产、研发、销售、采购、财务、人事、行政、商业合作等。4.2企业的商业秘密管理工作应由企业最高管理者牵头,高管负责,专人管理,全员参与。4.3企业商业秘密信息的管理应遵循最小授权原则、必须授权原则、审批原则、受控原则、可追溯原则。4.4企业应制定商业秘密管理目标,确定保密、效率、成本三者之间的关系。5商业秘密管理组织5.1企业最高管理者应具备商业秘密管理意识,保障商业秘密管理资源投入
7、,实现以下关于商业秘密管理的要求:a)建立商业秘密管理方针和目标;b)将商业秘密管理要求整合到企业的业务中;c)要求员工加强商业秘密保护意识;d)管理并支持员工为商业秘密管理体系的实施持续努力;e)促进商业秘密管理体系的持续改进。5.2企业应设置专门的商业秘密管理部门,或由具备商业秘密管理职能的部门开展商业秘密管理工作。商业秘密管理部门的组织机构、职责和工作范围可按以下方式确定:a)指定专人作为商业秘密管理部门的负责人,负责企业商业秘密管理体系的决策、管理、实施并向企业最高管理者汇报,也可由企业最高管理者直接负责商业秘密管理部门;b)配备专职的商业秘密管理人员,或由法务、信息安全等部门人员兼任
8、商业秘密管理工作;c)商业秘密管理部门可设立两个以上层级的商业秘密管理组织架构;注:如负责决策的商业秘密管理委员会和负责执行决策、统筹管理的商业秘密管理部。d)商业秘密管理部门可根据职能设置不同的工作小组,分别负责制度、信息技术、宣传培训、检查评估等工作;e)商业秘密管理部门的职责应包括商业秘密信息、涉密物品、涉密载体、涉密部门、涉密人员、涉密区域等的识别和管理,管理制度的制定、执行、检查、改进,员工的保密宣传、培训、考核,以及泄密事件的内部处理和法律维权等;f)商业秘密管理部门应定期组织会议,对商业秘密信息的识别与分级、管理制度的修订、信息技术的实施等重大事项进行决策。5.3企业应指定各业务
9、部门的管理者作为各业务部门商业秘密管理的责任人,同时可在重点业务部门配备专职保密员,或由其他员工兼任该部门的商业秘密管理工作,共同负责管理制度在本部门的落地,承担相应的泄密责任。5.4企业设立专门商业秘密管理部门的,应明确商业秘密管理部门和法务部、信息部、审计部等部门的分工,分别负责以下工作:a)制定商业秘密管理标准、制度和流程;b)组织商业秘密管理宣传、培训、考核;c)负责信息技术手段的落地与支持;d)处理泄密事件;e)监督商业秘密管理工作的执行;f)对商业秘密管理体系进行评估与改进。2DB4403/T23520226商业秘密管理制度6.1企业应制定商业秘密管理的总体纲领文件,内容可包括商业
10、秘密管理的目标、方针、适用范围、定义、策略、原则等。6.2企业应制定商业秘密管理组织的运作机制文件,内容可包括商业秘密管理部门和各业务部门的组织架构、职责与分工、年度工作计划等。6.3企业应制定适用于整个企业的商业秘密管理制度,内容可包括:a)商业秘密信息的识别与分级;b)涉密物品管理;c)涉密载体管理;d)涉密纸质文档管理;e)涉密计算机管理;f)涉密网络管理;g)涉密区域管理;h)涉密人员管理;i)泄密事件管理;j)奖惩管理。6.4企业可根据研发、生产、销售、采购、信息技术、财务、行政等业务部门的工作流程和特点,分别制定适用于各个业务部门的商业秘密管理制度。6.5企业可编制下列清单以明确商
11、业秘密管理制度的管控对象:a)商业秘密信息及分级;b)涉密人员及岗位;c)涉密计算机;d)涉密物品;e)涉密信息系统。6.6商业秘密管理总纲、制度等文件均应形成企业级文件后在企业内部传达,并持续运行和改进。7商业秘密信息管理7.1识别7.1.1企业应评估并识别商业秘密信息。具体技术秘密和经营秘密的表现形式可参考附录A。7.1.2各业务部门经营活动中产生的商业秘密信息应及时报送商业秘密管理部门登记,商业秘密管理部门应定期更新商业秘密信息清单。7.2分级7.2.1企业对商业秘密信息进行评估时可考虑但不限于以下因素:a)商业秘密信息的经济价值;b)产生商业秘密信息投入的成本;c)商业秘密信息对企业的
12、重要程度;d)竞争对手获取商业秘密后产生的价值;e)商业秘密泄露后产生的经济损失;f)商业秘密泄露后可能承担的法律责任;3DB4403/T2352022g)商业秘密信息在企业内部可查阅的范围;h)对商业秘密采取保密措施所需的成本。7.2.2企业应根据评估结果将商业秘密信息进行分级管理,商业秘密信息的级别应在其载体上明确标识。7.2.3企业应分部门建立商业秘密信息清单,内容包括商业秘密信息名称、密级、管理人、载体、查阅范围等。7.3存档和保管7.3.1各业务部门应指定专人负责本部门涉密载体的存档和保管。7.3.2应使用保密柜等具有保密功能的设备来存放涉密载体。7.3.3存放涉密载体的区域应配备监
13、控摄像头、火灾报警等安防设备。7.4流转7.4.1涉密纸质文档的传递应采取密封包装、专人专车、EMS快递等保密措施。7.4.2涉密物品等实物的流转,应采取包装、密封等保密措施。7.4.3商业秘密信息只能在企业内部流转,因工作需要流出到外部需要经过审批。7.5备份7.5.1企业应定期对商业秘密信息进行备份,可根据商业秘密信息级别的不同分别确定备份保留时间。7.5.2企业员工未经审批不能访问备份商业秘密信息,因工作需要临时访问应由负责人进行审批并保留记录。7.6复制7.6.1企业员工未经授权不应复制或打印商业秘密信息,因工作需要临时复制或打印商业秘密信息应由责任人进行审批并保留记录。7.6.2企业
14、员工复制或打印商业秘密信息前应标明总页数及当前页,打印时必须在打印机旁守候,打印后及时取走不能遗留。7.7发布7.7.1对外发布的内容可能包含商业秘密信息的,发布前应由商业秘密管理部门进行审批。注:如对外发布论文、网文、产品说明书、用户手册等。7.7.2宜用商业秘密保护而不宜公开的内容不应申请专利。7.8加密及解密7.8.1商业秘密信息宜通过企业的加密系统进行加密。加密系统应采取密钥备份、双人控制等安全管理措施。7.8.2企业应指定各部门的责任人或保密员管理各部门的解密权限。员工申请解密的,应明确相应的使用人、项目、具体事由、日期。解密后的信息应及时回收并做相应处理。7.9销毁7.9.1商业秘
15、密信息载体的销毁过程应采取监督措施。注:如视频监控、录像、见证。4DB4403/T23520227.9.2应根据商业秘密信息载体的不同采取妥善的销毁方式,确保信息不可恢复。纸质文档应使用碎纸机彻底粉碎;硬盘、U盘等采用消磁的方式彻底销毁存储内容。7.10可追溯7.10.1所有商业秘密信息的产生、保存、流转、复制、发布、解密、销毁等均应保留记录。7.10.2记录的留存时间根据商业秘密信息的重要性、储存成本决定。8员工管理8.1入职管理8.1.1涉密人员入职前应审查其工作背景,审查范围可包括其过往任职的单位、担任的职务、工作内容、是否有涉及知识产权纠纷等。8.1.2企业应与涉密人员签订竞业限制协议
16、(见附录B)。8.1.3新入职或转岗到涉密岗位的涉密人员应签订与其工作内容相适应的保密协议(见附录C)。高级管理人员、重点项目、商业秘密管理部门员工等重点岗位的涉密人员应明确其保密范围和接触的商业秘密信息。8.1.4涉密人员入职前,应通过面谈或培训等方式明确告知其保密义务等注意事项。8.1.5涉密人员曾在存在竞争关系的企业工作过的,入职前应采取以下脱密措施以避免侵害他人的商业秘密:a)要求涉密人员提供与原企业的保密协议、竞业限制协议,或其他与保密义务有关的文件;b)提醒涉密人员工作中不能使用原企业的商业秘密信息;c)签署不侵犯原企业商业秘密的承诺函(见附录D);d)检查涉密人员有无携带或使用原
17、企业的商业秘密信息。8.2保密教育8.2.1企业对员工开展保密教育的内容应包括以下方面:a)商业秘密的重要性;b)商业秘密属于企业的职务成果;c)哪些行为可能泄露或侵害企业的商业秘密;d)侵害商业秘密可能承担的法律责任;e)企业的商业秘密管理制度;f)其他与保密义务、保密范围、保密行为有关的内容。8.2.2企业开展保密培训的形式可以是线下、线上集中培训,或录制成视频、音频课程,并保存好培训记录。可通过以下方式对员工开展保密培训:a)对新入职的员工开展保密培训;b)定期对全体员工开展保密培训;c)对重点岗位、重要涉密人员定期开展专项保密培训。8.2.3企业可通过以下方式对员工开展保密宣传:a)发
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- DB4403_T 235-2022 企业商业秘密管理规范 235 2022 企业 商业秘密 管理 规范
限制150内