张连聪律师张连聪律师
以法律的智慧服务人 以法律的知识帮助人
Specifications for management of trade secrets of enterprises
目次
前言
1范围
2规范性引用文件
3术语和定义
4总体要求
5商业秘密管理组织
6商业秘密管理制度
7商业秘密信息管理
8员工管理
9外部人员管理
10物理区域管理
11物品及载体管理
12信息系统管理
13评估与改进
14泄密事件管理
附录A(资料性)商业秘密保密范围
附录B(资料性)竞业限制协议(参考文本)
附录C(资料性)商业秘密保密协议(参考文本)
附录D(资料性)不侵犯商业秘密承诺函(参考文本)
附录E(资料性)商务合作保密协议(参考文本)
参考文献
前言
本文件按照GB/T1.1—2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规定起草。
本文件由深圳市市场监督管理局提出并归口。
本文件起草单位:深圳市南山区科技创新局(深圳市南山区创新发展促进中心)、深圳市深标知识产权促进中心、北京市天元(深圳)律师事务所、深圳市标准技术研究院、华为技术有限公司、深信服科技股份有限公司、比亚迪股份有限公司、深圳迈瑞生物医疗电子股份有限公司、深圳拓邦股份有限公司、深圳市韶音科技有限公司、光启技术股份有限公司、深圳市腾讯计算机系统有限公司。
本文件主要起草人:郭世栈、张仲卿、陈桂育、曹环、刘静、郭晏、罗艳波、胡乐夫、庄丽凡、王磊。
1范围
本文件规定了企业商业秘密管理的总体要求,以及组织、制度、信息、人员、区域、物品及载体、信息系统、评估与改进和泄密事件的管理要求。
本文件适用于企业的商业秘密管理。事业单位、研究机构、协会等组织的商业秘密管理可参照本文件执行。
2规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T19001—2016质量管理体系要求
GB/T22080—2016信息技术安全技术信息安全管理体系要求
3术语和定义
下列术语和定义适用于本文件。
不为公众所知悉、具有商业价值并经权利人采取相应保密措施的技术信息、经营信息等商业信息。
注1:“不为公众所知悉”和“具有商业价值”的具体内容见《中华人民共和国反不正当竞争法》的规定。
注2:“相应保密措施”的具体内容见《最高人民法院关于审理侵犯商业秘密民事案件适用法律若干问题的规定》。
含有商业秘密信息的设备和产品。
注:包括计算机、手机、产品、原材料、半成品和样品等。
以文字、数据、符号、图形、图像、视频和音频等方式记录商业秘密信息的介质。
注:包括磁性介质、光盘、U盘、硬盘、服务器等电子存储介质(即涉密存储介质)和纸质材料(即涉密纸质文档)。
处理或存储商业秘密信息的台式机、便携机、一体机、平板等各类计算机。
含有商业秘密信息、人员进入后可能接触到商业秘密的物理区域。
4总体要求
4.1企业应按照GB/T22080—2016、GB/T19001—2016和本文件的要求建立、实施、持续改进商业秘密管理体系,将商业秘密管理贯彻到企业的全部经营活动中,包括但不限于生产、研发、销售、采购、财务、人事、行政、商业合作等。
4.2企业的商业秘密管理工作应由企业最高管理者牵头,高管负责,专人管理,全员参与。
4.3企业商业秘密信息的管理应遵循最小授权原则、必须授权原则、审批原则、受控原则、可追溯原则。
4.4企业应制定商业秘密管理目标,确定保密、效率、成本三者之间的关系。
5商业秘密管理组织
5.1企业最高管理者应具备商业秘密管理意识,保障商业秘密管理资源投入,实现以下关于商业秘密管理的要求:
a)建立商业秘密管理方针和目标;
b)将商业秘密管理要求整合到企业的业务中;
c)要求员工加强商业秘密保护意识;
d)管理并支持员工为商业秘密管理体系的实施持续努力;
e)促进商业秘密管理体系的持续改进。
5.2企业应设置专门的商业秘密管理部门,或由具备商业秘密管理职能的部门开展商业秘密管理工作。商业秘密管理部门的组织机构、职责和工作范围可按以下方式确定:
a)指定专人作为商业秘密管理部门的负责人,负责企业商业秘密管理体系的决策、管理、实施并向企业最高管理者汇报,也可由企业最高管理者直接负责商业秘密管理部门;
b)配备专职的商业秘密管理人员,或由法务、信息安全等部门人员兼任商业秘密管理工作;
c)商业秘密管理部门可设立两个以上层级的商业秘密管理组织架构;
注:如负责决策的商业秘密管理委员会和负责执行决策、统筹管理的商业秘密管理部。
d)商业秘密管理部门可根据职能设置不同的工作小组,分别负责制度、信息技术、宣传培训、检查评估等工作;
e)商业秘密管理部门的职责应包括商业秘密信息、涉密物品、涉密载体、涉密部门、涉密人员、涉密区域等的识别和管理,管理制度的制定、执行、检查、改进,员工的保密宣传、培训、考核,以及泄密事件的内部处理和法律维权等;
f)商业秘密管理部门应定期组织会议,对商业秘密信息的识别与分级、管理制度的修订、信息技术的实施等重大事项进行决策。
5.3企业应指定各业务部门的管理者作为各业务部门商业秘密管理的责任人,同时可在重点业务部门配备专职保密员,或由其他员工兼任该部门的商业秘密管理工作,共同负责管理制度在本部门的落地,承担相应的泄密责任。
5.4企业设立专门商业秘密管理部门的,应明确商业秘密管理部门和法务部、信息部、审计部等部门的分工,分别负责以下工作:
a)制定商业秘密管理标准、制度和流程;
b)组织商业秘密管理宣传、培训、考核;
c)负责信息技术手段的落地与支持;
d)处理泄密事件;
e)监督商业秘密管理工作的执行;
f)对商业秘密管理体系进行评估与改进。
劳动法专业律师 传播劳动法律知识,一个有深度、有温度、不打扰的劳动法交流平台! 公众号 6商业秘密管理制度
6.1企业应制定商业秘密管理的总体纲领文件,内容可包括商业秘密管理的目标、方针、适用范围、定义、策略、原则等。
6.2企业应制定商业秘密管理组织的运作机制文件,内容可包括商业秘密管理部门和各业务部门的组织架构、职责与分工、年度工作计划等。
6.3企业应制定适用于整个企业的商业秘密管理制度,内容可包括:
a)商业秘密信息的识别与分级;
b)涉密物品管理;
c)涉密载体管理;
d)涉密纸质文档管理;
e)涉密计算机管理;
f)涉密网络管理;
g)涉密区域管理;
h)涉密人员管理;
i)泄密事件管理;
j)奖惩管理。
6.4企业可根据研发、生产、销售、采购、信息技术、财务、行政等业务部门的工作流程和特点,分别制定适用于各个业务部门的商业秘密管理制度。
6.5企业可编制下列清单以明确商业秘密管理制度的管控对象:
a)商业秘密信息及分级;
b)涉密人员及岗位;
c)涉密计算机;
d)涉密物品;
e)涉密信息系统。
6.6商业秘密管理总纲、制度等文件均应形成企业级文件后在企业内部传达,并持续运行和改进。
7商业秘密信息管理
7.1.1企业应评估并识别商业秘密信息。具体技术秘密和经营秘密的表现形式可参考附录A。
7.1.2各业务部门经营活动中产生的商业秘密信息应及时报送商业秘密管理部门登记,商业秘密管理部门应定期更新商业秘密信息清单。
7.2.1企业对商业秘密信息进行评估时可考虑但不限于以下因素:
a)商业秘密信息的经济价值;
b)产生商业秘密信息投入的成本;
c)商业秘密信息对企业的重要程度;
d)竞争对手获取商业秘密后产生的价值;
e)商业秘密泄露后产生的经济损失;
f)商业秘密泄露后可能承担的法律责任;
g)商业秘密信息在企业内部可查阅的范围;
h)对商业秘密采取保密措施所需的成本。
7.2.2企业应根据评估结果将商业秘密信息进行分级管理,商业秘密信息的级别应在其载体上明确标识。
7.2.3企业应分部门建立商业秘密信息清单,内容包括商业秘密信息名称、密级、管理人、载体、查阅范围等。
7.3.1各业务部门应指定专人负责本部门涉密载体的存档和保管。
7.3.2应使用保密柜等具有保密功能的设备来存放涉密载体。
7.3.3存放涉密载体的区域应配备监控摄像头、火灾报警等安防设备。
7.4.1涉密纸质文档的传递应采取密封包装、专人专车、EMS快递等保密措施。
7.4.2涉密物品等实物的流转,应采取包装、密封等保密措施。
7.4.3商业秘密信息只能在企业内部流转,因工作需要流出到外部需要经过审批。
7.5.1企业应定期对商业秘密信息进行备份,可根据商业秘密信息级别的不同分别确定备份保留时间。
7.5.2企业员工未经审批不能访问备份商业秘密信息,因工作需要临时访问应由负责人进行审批并保留记录。
7.6.1企业员工未经授权不应复制或打印商业秘密信息,因工作需要临时复制或打印商业秘密信息应由责任人进行审批并保留记录。
7.6.2企业员工复制或打印商业秘密信息前应标明总页数及当前页,打印时必须在打印机旁守候,打印后及时取走不能遗留。
7.7.1对外发布的内容可能包含商业秘密信息的,发布前应由商业秘密管理部门进行审批。
注:如对外发布论文、网文、产品说明书、用户手册等。
7.7.2宜用商业秘密保护而不宜公开的内容不应申请专利。
7.8.1商业秘密信息宜通过企业的加密系统进行加密。加密系统应采取密钥备份、双人控制等安全管理措施。
7.8.2企业应指定各部门的责任人或保密员管理各部门的解密权限。员工申请解密的,应明确相应的使用人、项目、具体事由、日期。解密后的信息应及时回收并做相应处理。
7.9.1商业秘密信息载体的销毁过程应采取监督措施。
注:如视频监控、录像、见证。
7.9.2应根据商业秘密信息载体的不同采取妥善的销毁方式,确保信息不可恢复。纸质文档应使用碎纸机彻底粉碎;硬盘、U盘等采用消磁的方式彻底销毁存储内容。
7.10.1所有商业秘密信息的产生、保存、流转、复制、发布、解密、销毁等均应保留记录。
7.10.2记录的留存时间根据商业秘密信息的重要性、储存成本决定。
8员工管理
8.1.1涉密人员入职前应审查其工作背景,审查范围可包括其过往任职的单位、担任的职务、工作内容、是否有涉及知识产权纠纷等。
8.1.2企业应与涉密人员签订竞业限制协议(见附录B)。
8.1.3新入职或转岗到涉密岗位的涉密人员应签订与其工作内容相适应的保密协议(见附录C)。高级管理人员、重点项目、商业秘密管理部门员工等重点岗位的涉密人员应明确其保密范围和接触的商业秘密信息。
8.1.4涉密人员入职前,应通过面谈或培训等方式明确告知其保密义务等注意事项。
8.1.5涉密人员曾在存在竞争关系的企业工作过的,入职前应采取以下脱密措施以避免侵害他人的商业秘密:
a)要求涉密人员提供与原企业的保密协议、竞业限制协议,或其他与保密义务有关的文件;
b)提醒涉密人员工作中不能使用原企业的商业秘密信息;
c)签署不侵犯原企业商业秘密的承诺函(见附录D);
d)检查涉密人员有无携带或使用原企业的商业秘密信息。
8.2.1企业对员工开展保密教育的内容应包括以下方面:
a)商业秘密的重要性;
b)商业秘密属于企业的职务成果;
c)哪些行为可能泄露或侵害企业的商业秘密;
d)侵害商业秘密可能承担的法律责任;
e)企业的商业秘密管理制度;
f)其他与保密义务、保密范围、保密行为有关的内容。
8.2.2企业开展保密培训的形式可以是线下、线上集中培训,或录制成视频、音频课程,并保存好培训记录。可通过以下方式对员工开展保密培训:
a)对新入职的员工开展保密培训;
b)定期对全体员工开展保密培训;
c)对重点岗位、重要涉密人员定期开展专项保密培训。
8.2.3企业可通过以下方式对员工开展保密宣传:
a)发放员工手册;
b)定期线上向员工推送宣传案例;
c)组织答题竞赛;
d)在办公场所内张贴宣传标语、播放宣传视频;
e)召开全员保密动员大会。
8.2.4企业可定期组织员工进行商业秘密保护知识考核,考核结果应归档并整理,用于改进宣传、培训的内容。考核结果可与员工绩效奖挂钩以促进员工增强保密意识。
8.3.1员工所在的业务部门应督促员工熟悉并遵守企业制定的各项商业秘密管理制度,按以下要求以保护员工所在岗位接触到的商业秘密不被泄露:
a)工作中产生的商业秘密信息应及时上报商业秘密管理部门登记管理;
b)获取、使用、披露企业的商业秘密信息要有授权或取得临时审批;
c)获取、使用、披露企业的商业秘密信息要保留相应的记录;
d)避免非授权人员获取本岗位的商业秘密信息;
e)不进入非授权区域;
f)不使用非授权设备、网络、账号。
8.3.2企业应建立商业秘密管理奖惩制度。违反企业商业秘密管理规定的处罚结果应形成书面文件,在企业内部通报并存档。鼓励员工举报违反企业商业秘密管理规定的行为,鼓励员工发现企业商业秘密管理体系、措施、技术手段存在的漏洞,对采纳的线索或意见给予奖励。
8.3.3企业员工参加的工作会议等活动涉及商业秘密的,可采取以下保密措施:
a)在涉密区域内召开;
b)使用保密会议室;
c)参加会议的员工应具备接触所涉商业秘密的权限或经审批;
d)告知其保密要求或签署保密承诺;
e)限制使用手机、便携机或拍摄、录音设备,使用防录音装置;
f)重要涉密纸质文档做好标识,会议后检查并回收。
8.4.1涉密人员离职前应与之谈话,告知其保密义务、禁止行为以及违反保密义务的法律责任。
8.4.2企业应要求离职的涉密人员主动向指定人员移交所有的原始涉密载体且不应删除或篡改,删除其复制的电子数据并签收交接清单。
8.4.3企业应回收并注销离职员工所有的域名、应用系统、网络系统、门禁系统账号或访问权限,及时通知与离职员工有关的供应商、客户、合作单位等,告知工作交接情况。
8.4.4涉密人员离职前应做如下检查:
a)工作电脑数据是否完整,是否有删除、复制痕迹;
b)工作电脑上是否有权限之外的文档;
c)工作系统、软件的账户的访问日志是否有异常;
d)是否有非工作时间登录、频繁登录、批量下载、删除、修改的异常行为痕迹;
e)是否有访问外部邮箱的记录;
f)是否有对外发送商业秘密信息的记录;
g)检查员工离职前一定期限内的商业秘密信息的查阅和使用情况有无异常。
8.4.5离职检查过程中如发现离职员工可能侵害企业商业秘密的,应及时收集并固定证据,按照企业泄密事件管理规定处理。
8.4.6企业应根据需要决定是否对离职员工启动竞业限制,定期掌握涉密岗位离职员工在离职后特别是竞业限制期限内的任职情况。
9外部人员管理
9.1外部人员进入企业应出示证件并履行登记程序,佩戴与员工不同颜色的出入卡。访问涉密区域应经审批并进行登记,告知其禁止录音、摄影、摄像、使用便携机、移动存储介质等设备,限制手机等器材的拍摄功能,并安排专人全程陪同。进入企业参观的,应设置专门的参观路线以避开涉密区域,参观路线上可能涉及的商业秘密信息应采取隐秘措施。
9.2外部企业需要接触企业商业秘密信息的,应与该企业及相关人员签订保密协议(见附录E)或以其他书面形式约定保密义务,内容包括涉密载体、保密范围、保密义务及违约责任等。因诉讼、仲裁等司法活动需要向第三人披露商业秘密信息又无法签订保密协议的,可申请不公开质证或其他保密程序。
9.3专家、顾问、律师、会计师等外部人员因工作需要在短期内大量接触企业商业秘密信息的,可要求其使用企业提供的保密计算机并对信息进行加密。需要通过企业内部网络接入涉密计算机或设备的,应通过堡垒机采取保密措施。
注:“堡垒机”是指具备监控和记录运维人员操作行为功能的网络安全设备。
9.4涉密项目需要长期向供应商或外部研发企业提供商业秘密信息的,或因维修、研发等需要经常进入涉密区域的,可要求外部企业采取以下保密措施:
a)与参与项目的外部企业员工签订个人保密协议;
b)使用企业提供的保密计算机;
c)使用企业提供的加密系统;
d)使用企业提供的加密存储介质;
e)对外部人员使用的便携机等设备进行检查。
9.5与外部人员召开的重要涉密会议,应避免使用远程视频或音频、电话会议。涉密会议应采取以下保密措施:
a)在涉密区域内召开;
b)使用保密会议室;
c)告知保密要求或签署保密承诺;
d)采取会议密码、屏幕水印等保密措施。
10物理区域管理
10.1企业内部的办公区域应根据商业秘密信息划分为不同的涉密区域,可按涉密区域、办公区域、外部接待区域三级分区。涉密区域可包括核心产品或服务的研发、生产,存储商业秘密信息的数据中心、档案中心等。不同密级的区域之间应采取物理门、墙、隔断等物理隔离措施。密级高的办公区域应设置在离企业出入口相对较远的位置。
10.2涉密区域可采取如下保密措施:
a)使用独立、封闭的办公区域,不宜使用开放式办公或多部门混合办公;
b)人员进出需具备相应权限且佩戴身份标识卡,非授权人员因工作需要出入需经审批取得临时授权,外部人员进入需有专人全程陪同;
c)出入口配备安保人员及安防设备;
d)不应携带手机、便携机、平板、智能手表等具备拍摄、录音、存储功能的设备器材;
e)不应非授权人员接入涉密网络;
f)区域内部覆盖实时面部识别、动作识别、异常行为识别的高清摄像头;
g)内部设置专门的涉密会议室或电话室;
h)涉密计算机配备防偷窥、防拍照措施。
10.3存放商业秘密信息的数据中心、文档中心应设置在隐蔽的位置,远离非涉密区域且不宜张贴明确标识以防侵入。
10.4涉密区域入口处应张贴涉密区域级别标识和“禁止携带违禁品”标识,区域内部应张贴“禁止拍摄”等禁止标识。
10.5涉密区域的出入口可采取以下安保措施:
a)使用指纹、人脸识别、瞳孔等技术手段的防尾随门禁,不宜使用刷卡或密码门禁;
b)配备检测设备以限制携带手机、便携机等违禁品出入;
c)配备视频监控及报警系统,对非法闯入或携带违禁品进入实时报警;
d)设置监控中心并配备专职人员实时监控;
e)设置临时储物柜以存放限制物品。
10.6企业应根据业务和保密要求的不同,将内部网络划分为不同的网络区域。涉密区域的涉密网络可采取以下保密措施:
a)不应接入外网;
b)与其他内部网络隔离,不能相互连通;
c)与其他内部网络采取不同的分级管理措施;
d)禁止使用无线网络、无线热点;
e)访问涉密区域网络的设备应使用终端准入限制;
f)不应内部网络设备接入外网;
g)通过VPN等方式远程接入涉密区域网络应使用终端准入、身份安全等验证措施;
h)配备独立的网络基础设施。
注:如服务器、防火墙、专线等。
10.7企业应设置专门的外部接待区域用于接待外部人员或用于临时办公、会议,非经审批不应允许外部人员进入内部区域或涉密区域办公。
11物品及载体管理
11.1.1涉密计算机宜使用云桌面系统办公以将工作数据存储在内部云服务器上,不宜存储在涉密计算机的本地存储中。
11.1.2应关闭或禁用涉密计算机的移动存储、光驱、蓝牙、无线网卡等数据传输功能模块,以及摄像头、声卡、话筒等音视频采集设备,未经许可不应使用。
11.1.3涉密计算机硬件的配置、维修、报废均应经过审批或授权交由指定人员处理,应使用封条封住主机以禁止员工私自拆机维修、更换、增加硬件配件。
11.1.4计算机未经批准不应安装非授权软件。
11.1.5计算机的网络接入、网络配置均应按规定设置,不应接入非授权网络。
11.1.6涉密便携机应设置身份验证、硬盘口令,封闭摄像头和麦克风功能,存放时使用带锁的保密柜。不宜在涉密区域使用便携机办公。
11.2.1涉密区域不应使用个人智能手机。如携带个人智能手机进入涉密区域应关闭或禁用摄像头、麦克风,不应在涉密区域内拍摄、录音、设置热点。
11.2.2个人智能手机不应接入存有商业秘密信息的软件及信息系统,避免在个人手机内存储商业秘密信息。
注:如OA、SAP、CRM等系统。
11.2.3个人智能手机不应接入企业涉密网络。
11.3.1涉密纸质文档应存放在涉密区域内,打印、复印、扫描、查阅、借用等使用涉密纸质文档应由专人专管并登记。
11.3.2企业应配备打印管控系统管理纸质文档的打印、复印、扫描,并保留记录及备份。打印、复印、传真涉密纸质文档时应具备授权并在机器旁守候及时取走文档。扫描纸质文档不应使用公共盘存储。
11.3.3废弃的纸质文档应通过碎纸机粉碎,不应随意丢弃。
11.4.1涉密项目的半成品、样品应由专人管理,放置在保密柜或专门的存储室保管,出入口配备摄像头监控。携带外出时应采取包装等保密措施。
11.4.2涉密项目的不良品应交由专人处理或报废,不应随意丢弃。
11.4.3涉密产品、半成品、原料等的标签应替换为企业内部的编码统一管理。
11.5.1未经审批不应使用移动存储设备存储商业秘密信息。涉密移动存储介质不应连接非涉密或未采取保密措施的计算机及电子设备。
11.5.2涉密移动存储介质应由专人专管,且使用身份识别、内容加密、设备绑定等保密措施。
12信息系统管理
12.1.1商业秘密管理部门应统一管理对涉密信息系统的授权及审批。
12.1.2权限到期、人员变更或离职、项目变更等情况应及时变更、回收相应的信息系统权限。
12.1.3信息系统的权限管理应保留记录日志,用于定期检查各信息系统用户的访问权限、特别授权等权限管理是否存在漏洞。
12.1.4信息系统的管理员权限应在不同人员之间进行分配,避免由超级管理员管理整个系统或若干个系统的情况。
12.2.1业务部门设置公用账号、匿名账号等特殊账号应经过商业秘密管理部门审批。
12.2.2外部人员的账号应与内部员工账号有明显的区别。
12.2.3账号应同时包括特殊符号、大写英文字母、小写英文字母、数字四种不同字符。
12.2.4信息系统账号的初始口令应是随机产生的口令,不能相同或有规律,且应规定修改口令设置的位数、更换周期的最低标准。
12.2.5信息系统的口令应通过系统设置强制用户定期更换。
12.3.1未经审批不应允许任何商业秘密信息外部出口存在。所有经审批的信息出口都应有以下“四统一”:
a)统一登记;
b)统一管理;
c)统一备份;
d)统一监控。
12.3.2企业的办公网络不应允许访问非企业邮箱的外部邮箱,应将常见的外部邮箱、地址包括网址设为禁止访问名单。因工作需要登录外部邮箱的应经过审批并备案邮箱账号和密码。
12.3.3企业应建立代理服务器访问备份系统,代理服务器访问日志备份6个月以上。应设置访问外网时允许上传的字节数,从而限制通过代理服务器对外发送商业秘密信息。
12.3.4企业应禁止员工使用网盘,应将常见的网盘网址设为禁止访问名单。确因工作需要登录网盘的应经过审批,并向企业备案网盘账号和密码。
12.3.5企业涉密计算机使用的即时通讯软件应避免和其他外部通讯软件交互商业秘密信息,应具备以下保密功能:
a)具备对用户登录进行网络、设备控制的功能,保证其在安全环境下运行;
b)具备检查聊天内容关键字的后台管控功能;
c)在移动终端应具备禁止复制、转发、下载和全场景添加水印的管控功能。
12.3.6企业存储商业秘密信息的云服务器或信息系统应关闭信息外部出口,未经审批不应允许在服务器上复制、修改商业秘密信息。
12.4.1涉密计算机的操作系统、办公软件、信息系统等均应设置登录账号,密码应定期更换,不应共用账号。
12.4.2企业应对操作系统设置屏幕保护恢复密码、屏幕水印、复制粘贴限制等保密措施。
12.4.3涉密计算机的办公软件应由企业统一安装并管理,未经授权不应私自安装软件。个人邮箱、网盘、即时通讯工具等具备通过网络对外发送文件的软件均应禁止。
12.4.4企业应使用具备关键字过滤、外发邮件审批、邮件审计等保密功能的企业邮箱。
12.4.5在涉密网络内部使用的即时通讯软件不应与其他网络,或连接到互联网的通讯软件连接。
12.4.6加密软件应定期检查,确保加密软件对所有类型文件在所有场景都能够进行加密。批量解密等特殊解密的授权权限应经过审批统一管理。
12.4.7企业应使用专用的信息系统存储商业秘密信息,信息系统应具备权限管理、日志、审计等保密功能。
12.4.8涉密计算机应安装专门的行为管控软件,可记录商业秘密信息数据的复制、流转、删除等操作并保存备份。
13评估与改进
13.1企业应配备专门的人员负责商业秘密管理的检查,也可由各业务部门保密员负责各部门的检查工作。
13.2企业应采取以下措施并保留记录或原始文件用于检查和评估:
a)重要涉密区域的出入口和内部应安装监控系统实时监控;
b)涉密网络的出、入口应实时监控;
c)涉密计算机的操作;
d)存储商业秘密信息的信息系统;
e)对外发送商业秘密信息的软件。
注:如电子邮箱、即时通讯软件。
13.3应定期对企业的以下商业秘密管理情况进行评估并形成书面报告提交商业秘密管理部门:
a)商业秘密管理部门人员的履职;
b)商业秘密管理制度的适宜性;
c)商业秘密信息的定密、分级、流转;
d)涉密纸质文档、物品、计算机的管理;
e)涉密区域的管理;
f)操作系统、办公软件、信息系统的账号、权限;
g)涉密人员的管理;
h)其他商业秘密管理制度规定的内容。
13.4针对定期评估报告发现的管理漏洞制定改进方案、实施计划并执行落地。
14泄密事件管理
14.1.1指定内部受理泄密事件报告窗口的负责人,并公开电话、邮箱等联系方式。
14.1.2制定泄密事件处理流程和应对预案。包括以下内容:
a)采取保护措施防止信息进一步扩散或损失扩大;
b)调查原因、涉事人员、责任人等;
c)收集并固定证据;
d)启动内部处罚或外部维权;
e)形成报告和改进方案。
14.2.1可向专业的商业秘密保护服务机构寻求取证、鉴定、评估等指引和协助。
14.2.2发现商业秘密可能被泄露或侵权时,应收集并固定如下证据:
a)企业是商业秘密的权利人;
b)商业秘密信息的具体内容和载体;
c)商业秘密信息不为一般公众普遍知悉;
d)商业秘密信息不为一般公众容易获得;
e)企业对商业秘密信息采取的保密措施;
f)商业秘密信息具有商业价值;
g)泄密人员的身份、工作信息;
h)泄密人员接触到了商业秘密信息;
i)被控侵权信息与商业秘密信息实质性相似;
j)泄密人员以不正当手段获取、披露、使用商业秘密信息等反不正当竞争法规定的侵权行为;
k)因泄密产生的损失或侵权人的获利、许可使用费,以及因维权产生的律师费、鉴定费、评估费等;
l)产生商业秘密信息的开发费用等成本。
14.2.3商业秘密信息的非公知性、同一性、损失数额的确定可向有资质的专业机构申请协助鉴定或评估。
14.2.4电子数据类证据可向公证处等机构申请公证或证据固化。实物和文档类证据应保存原物或原件。
14.3.1可向侵权人所在地等有管辖权的商业秘密行政管理部门举报,要求查处商业秘密侵权行为的证据,责令侵权人停止侵权并处以罚款。
14.3.2符合刑事案件立案条件的可向犯罪行为发生地的公安机关控告,要求追究侵权人的刑事责任。
14.3.3违反竞业限制协议等属于劳动仲裁受案范围的,应先向企业所在地等有管辖权的劳动仲裁委员会申请劳动仲裁。
14.3.4第三方企业违反协议约定的保密义务且约定商事仲裁管辖条款的,应向约定的仲裁委员会申请仲裁。
14.3.5不属于劳动仲裁且没有商事仲裁约定的,可向侵权行为发生地或侵权人所在地等有管辖权的人民法院起诉,或申请诉前禁令。
14.3.6如泄露的商业秘密信息涉及国家秘密的,应立即向当地国家安全机关、保密行政管理部门或公安机关报告。