DB12T 1439-2025 商業(yè)秘密保護(hù)管理和服務(wù)規(guī)范

ICS03.100.20CCSA10ICS03.100.20CCSA10天 津 市 地 方 標(biāo) 準(zhǔn)DB12/T1439—2025商業(yè)秘密保護(hù)管理和服務(wù)規(guī)范Managementandservicespecificationfortradesecretprotection2025-02-12發(fā)布 2025-03-15實(shí)施天津市場(chǎng)監(jiān)理委員會(huì) 發(fā)布DB12/T1439DB12/T1439—2025II目 次前言 II112范引文件 13語(yǔ)定義 14本則 15業(yè)密范圍 16業(yè)主護(hù)管理 27486附錄A（料）商秘密理容措施 8參考獻(xiàn) 13DB12/T1439DB12/T1439—2025IIII前 言本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。本文件由天津市市場(chǎng)監(jiān)督管理委員會(huì)提出并歸口。本文件主要起草人：莊健、畢思友、陳洪波、井翠霞、王兵、王思予、李楨、郭敏。DB12/T1439DB12/T1439—2025PAGEPAGE10商業(yè)秘密保護(hù)管理和服務(wù)規(guī)范范圍本文件適用于企業(yè)開(kāi)展商業(yè)秘密保護(hù)管理和服務(wù)工作，其他組織可參照?qǐng)?zhí)行。本文件沒(méi)有規(guī)范性引用文件。下列術(shù)語(yǔ)和定義適用于本文件。3.1商業(yè)密 tradesecret不為公眾所知悉、具有商業(yè)價(jià)值并經(jīng)權(quán)利人采取相應(yīng)保密措施的技術(shù)信息、經(jīng)營(yíng)信息等商業(yè)信息。涉密員 secret-relatedperson根據(jù)工作職責(zé)或者保密協(xié)議有權(quán)接觸、使用、掌握商業(yè)秘密信息的企業(yè)員工或其他人員。3.3涉密體 secret-relatedcarrie以文字、數(shù)據(jù)、符號(hào)、圖形、圖像、視頻和音頻等方式記錄商業(yè)秘密信息的各類(lèi)介質(zhì)，如紙介質(zhì)、電磁介質(zhì)、光介質(zhì)等。3.4涉密品 secret-relateditem含有商業(yè)秘密信息的設(shè)備和產(chǎn)品，如計(jì)算機(jī)、手機(jī)、原材料、成品、半成品、樣品等。3.5涉密域 secret-relatedarea含有商業(yè)秘密信息、人員進(jìn)入后可能接觸到商業(yè)秘密的物理區(qū)域，如車(chē)間、研發(fā)室、實(shí)驗(yàn)室、機(jī)房、保密室、檔案室等。工藝、方法或其步驟、算法、數(shù)據(jù)、計(jì)算機(jī)程序及其有關(guān)文檔等信息。數(shù)據(jù)等信息?？蛻?hù)信息包括客戶(hù)的名稱(chēng)、地址、聯(lián)系方式以及交易習(xí)慣、意向、內(nèi)容等信息。（）——建立和實(shí)施商業(yè)秘密保護(hù)有關(guān)制度；——識(shí)別和管理商業(yè)秘密事項(xiàng)，如涉密人員、涉密載體、涉密物品、涉密區(qū)域等；——組織制定、實(shí)施商業(yè)秘密保護(hù)措施；——組織商業(yè)秘密保護(hù)宣傳、培訓(xùn)、考核；——監(jiān)督、檢查商業(yè)秘密保護(hù)管理工作的落實(shí)和執(zhí)行；——處理泄密或侵犯商業(yè)秘密事件；——商業(yè)秘密保護(hù)管理制度進(jìn)行評(píng)估和改進(jìn)?！虡I(yè)秘密識(shí)別與分級(jí)管理制度；——涉密商務(wù)活動(dòng)管理制度；——涉密信息管理制度；——應(yīng)急管理制度；——檢查和改進(jìn)制度；——獎(jiǎng)懲管理制度。A——應(yīng)急小組成員及職責(zé)；——緊急應(yīng)對(duì)流程；——泄密或侵權(quán)溯源和評(píng)估定級(jí)方案；——防止信息進(jìn)一步擴(kuò)散、危害和損失擴(kuò)大的應(yīng)急措施方案；——維權(quán)方案；——總結(jié)和改進(jìn)方案?！婕暗纳虡I(yè)秘密等級(jí)和數(shù)量；——侵權(quán)的方式，如未經(jīng)許可的復(fù)制、向第三方披露、被公開(kāi)、被第三方使用；——事件對(duì)企業(yè)造成的影響；——泄密或侵權(quán)嫌疑人的情況；——其他影響泄密或侵權(quán)事件評(píng)估分級(jí)的因素?！蚯謾?quán)嫌疑人發(fā)送侵權(quán)告知函，要求其立即停止侵權(quán)行為；——向法院申請(qǐng)保全措施?！O(jiān)督檢查結(jié)果運(yùn)用的整改、問(wèn)責(zé)、獎(jiǎng)懲機(jī)制?！虡I(yè)秘密的定密、分級(jí)、流轉(zhuǎn)；——涉密區(qū)域管理情況；——涉密商務(wù)活動(dòng)管理情況；——操作系統(tǒng)、辦公軟件、信息系統(tǒng)等工具軟件的賬號(hào)、權(quán)限、密碼管理和使用商業(yè)秘密情況；——商業(yè)秘密保護(hù)管理制度建立和實(shí)施情況?！{(diào)取涉密載體、涉密物品、涉密信息使用記錄；——調(diào)取涉密區(qū)域出入口和內(nèi)部監(jiān)控；——調(diào)取操作系統(tǒng)、辦公軟件、信息系統(tǒng)等工具軟件的日志文件等；——現(xiàn)場(chǎng)查驗(yàn)、問(wèn)詢(xún)涉密人員工作情況；——調(diào)取涉密活動(dòng)記錄及附屬合同等。改進(jìn)維權(quán)——商業(yè)秘密權(quán)屬證明，包括但不限于以下內(nèi)容：——商業(yè)秘密的具體內(nèi)容和載體；——商業(yè)秘密不為公眾所知悉的證明，包括但不限于下列情形：——商業(yè)秘密具有商業(yè)價(jià)值的證明，包括但不限于下列內(nèi)容：——已對(duì)商業(yè)秘密采取相應(yīng)保護(hù)措施的證明，包括但不限于下列情形：——可能與泄密信息有關(guān)的人員信息,包括但不限于以下內(nèi)容：——侵權(quán)信息與企業(yè)商業(yè)秘密相同或者實(shí)質(zhì)相同的證明材料；——和解與調(diào)解；7.1——認(rèn)為民事審判程序中審判人員存在違法行為的；——認(rèn)為民事執(zhí)行活動(dòng)存在違法情形的。服務(wù)概述宣傳培訓(xùn)——發(fā)放培訓(xùn)資料；——對(duì)企業(yè)股東、高級(jí)管理人員開(kāi)展商業(yè)秘密保護(hù)重要性、必要性和戰(zhàn)略性的培訓(xùn)；兼——對(duì)企業(yè)員工開(kāi)展商業(yè)秘密保護(hù)知識(shí)培訓(xùn)和警示教育。——設(shè)置商業(yè)秘密保護(hù)管理組織；——界定商業(yè)秘密保護(hù)范圍；——制定和完善商業(yè)秘密保護(hù)管理制度?！獏f(xié)助企業(yè)配合行政部門(mén)、司法部門(mén)等對(duì)案件的查處；——協(xié)助做好調(diào)解工作?！_(kāi)發(fā)、部署和維護(hù)涉密文件、數(shù)據(jù)的信息管理系統(tǒng)；——提供技術(shù)信息的非公知性、同一性和損失數(shù)額的鑒定評(píng)估；——提供技術(shù)查新、檢索委托服務(wù)；——其他專(zhuān)業(yè)服務(wù)。附錄A（資料性）商業(yè)秘密管理內(nèi)容及措施分級(jí)——經(jīng)濟(jì)價(jià)值，包括現(xiàn)有價(jià)值和預(yù)期價(jià)值；——投入成本；——對(duì)競(jìng)爭(zhēng)對(duì)手的價(jià)值；——內(nèi)部可查閱、使用秘密的范圍；——其他影響秘密分級(jí)的因素。清單措施對(duì)新入職、轉(zhuǎn)崗到涉密崗位的員工，管理措施包括但不限于：——與員工簽訂含有保密條款的勞動(dòng)合同或?qū)ｍ?xiàng)保密協(xié)議，保密條款內(nèi)容應(yīng)盡可能詳盡、具體；——與重要崗位涉密人員簽訂競(jìng)業(yè)限制協(xié)議；——做好入職前的背景調(diào)查，必要時(shí)與員工簽訂不侵犯他人商業(yè)秘密的承諾函；——在錄用潛在競(jìng)爭(zhēng)性關(guān)系企業(yè)的員工時(shí)應(yīng)：——做好商業(yè)秘密保護(hù)教育和培訓(xùn)，在培訓(xùn)結(jié)束后宜進(jìn)行考核，保存相關(guān)培訓(xùn)和考核記錄。對(duì)員工的履職管理措施包括但不限于：——督促員工遵守企業(yè)商業(yè)秘密保護(hù)管理制度，做好本崗位商業(yè)秘密保護(hù)工作：——對(duì)員工進(jìn)行監(jiān)督，防止員工未經(jīng)商業(yè)秘密保護(hù)部門(mén)審批出現(xiàn)下列行為：——定期進(jìn)行保密教育培訓(xùn)，并保存培訓(xùn)記錄。對(duì)涉密崗位員工轉(zhuǎn)崗、離職的管理措施包括但不限于：——在員工轉(zhuǎn)崗、離職前主動(dòng)告知保密義務(wù)及違規(guī)責(zé)任，告知其不應(yīng)有以下行為：——開(kāi)展離職檢查并做好書(shū)面記錄，檢查內(nèi)容包括：——交接所有涉密載體和涉密物品，收回門(mén)禁、賬號(hào)等所有工作權(quán)限；——及時(shí)通知與轉(zhuǎn)崗、離職員工有關(guān)的供應(yīng)商、客戶(hù)、合作單位等，告知工作交接情況；——及時(shí)掌握離職員工在競(jìng)業(yè)限制期限內(nèi)的任職去向。對(duì)電子載體的管理措施包括但不限于：對(duì)涉密紙質(zhì)文檔的管理措施包括但不限于：——有密級(jí)、保護(hù)期限等標(biāo)識(shí)，實(shí)行登記管理歸檔存放；——存放在涉密區(qū)域內(nèi)并由專(zhuān)人管理；對(duì)信息系統(tǒng)的管理措施包括但不限于：——對(duì)涉密信息系統(tǒng)實(shí)行分層權(quán)限管理，以“最小夠用”原則設(shè)定權(quán)限：——對(duì)涉密信息系統(tǒng)采取適當(dāng)?shù)拿艽a管理方式，如：——宜對(duì)所有涉密賬號(hào)和密碼實(shí)行統(tǒng)一登記、備案、發(fā)放和變更管理；——權(quán)限到期、人員轉(zhuǎn)崗、項(xiàng)目或事項(xiàng)變更時(shí)及時(shí)回收、變更系統(tǒng)權(quán)限；——在涉密信息系統(tǒng)內(nèi)設(shè)置保密義務(wù)提醒；——定期對(duì)涉密信息系統(tǒng)的數(shù)據(jù)、日志等進(jìn)行備份并妥善保管；對(duì)涉密電子數(shù)據(jù)的管理措施包括但不限于：——存儲(chǔ)于企業(yè)授權(quán)的存儲(chǔ)設(shè)備和應(yīng)用系統(tǒng)，不宜存儲(chǔ)于非授權(quán)存儲(chǔ)設(shè)備、網(wǎng)絡(luò)空間；——對(duì)涉密電子數(shù)據(jù)設(shè)置加密措施，加密措施宜與載體有所區(qū)別，形成二次加密；——指定專(zhuān)人進(jìn)行解密操作，員工按權(quán)限使用加密數(shù)據(jù)；——收發(fā)涉密數(shù)據(jù)宜使用唯一出入口，對(duì)涉密數(shù)據(jù)流入流出進(jìn)行審批；——內(nèi)部局域網(wǎng)宜與互聯(lián)網(wǎng)隔離，涉密數(shù)據(jù)網(wǎng)絡(luò)傳遞宜通過(guò)內(nèi)部局域網(wǎng)或加密互聯(lián)網(wǎng)通道完成；——通過(guò)郵件發(fā)送涉密數(shù)據(jù)時(shí)，宜加密和簽名，可限定打開(kāi)次數(shù)、打開(kāi)時(shí)限和編輯權(quán)限；——對(duì)外發(fā)送涉密數(shù)據(jù)宜經(jīng)過(guò)審批，并采取加密措施，數(shù)據(jù)發(fā)送與密鑰發(fā)送不宜采用同一通道；——宜對(duì)涉密數(shù)據(jù)拷貝采取限制措施，拷貝宜履行審批手續(xù)并妥善保存拷貝記錄；——涉密電子數(shù)據(jù)宜做好公證、第三方存證、電子存證等證據(jù)固定；——涉密電子數(shù)據(jù)銷(xiāo)毀時(shí)宜確保徹底永久刪除，避免可通過(guò)其他技術(shù)手段進(jìn)行數(shù)據(jù)恢復(fù)。對(duì)涉密物品的管理措施包括但不限于：——對(duì)涉密物品進(jìn)行標(biāo)記并單獨(dú)存放，存放區(qū)域按照涉密區(qū)域進(jìn)行管理；——使用涉密物品宜履行審批和登記手續(xù)；——宜對(duì)重要原料、部件等實(shí)行編號(hào)替代、分部門(mén)管理等管理方式；——涉密物品需外出攜帶時(shí)宜采取密封、包裝等保密措施；——涉密項(xiàng)目的不良品宜交由專(zhuān)人處理，不可隨意丟棄?！邪l(fā)設(shè)計(jì)、信息管理、財(cái)務(wù)、人力資源等部門(mén)；——實(shí)驗(yàn)室、重要生產(chǎn)工作場(chǎng)所；——控制中心、服務(wù)器機(jī)房、信息數(shù)據(jù)中心；——涉密檔案、涉密載體、涉密物品存放地點(diǎn)?！嗽O(shè)置物理隔離，形成獨(dú)立、封閉的區(qū)域并設(shè)置門(mén)禁，張貼明顯標(biāo)識(shí)和警示語(yǔ)；——出入口安裝監(jiān)控和報(bào)警裝置，采用有效技術(shù)手段對(duì)出入人員進(jìn)行身份驗(yàn)證；——出入涉密區(qū)域人員宜履行權(quán)限審批和登記手續(xù)；——宜限制使用具有錄音、拍照、攝像、信息存儲(chǔ)等功能的電子設(shè)備；——必要時(shí)采取網(wǎng)絡(luò)隔離阻斷。隱秘在商務(wù)活動(dòng)中涉及商業(yè)秘密的，宜對(duì)相關(guān)信息予以隱藏，可采取的隱秘方式有：——隱藏或刪除涉密信息；——對(duì)涉密信息進(jìn)行模糊化處理；——其他方式。對(duì)訪問(wèn)、參觀、檢查等活動(dòng)的管理措施包括但不限于：——來(lái)訪人員應(yīng)履行審批和登記手續(xù)；——宜安排專(zhuān)人陪同訪問(wèn)、參觀，限制拍照、錄音、錄像、信息存儲(chǔ)等行為；——政府部門(mén)因檢查、監(jiān)督等工作需要接觸涉密信息或涉密物品的，宜提前向其明示保密義務(wù)。對(duì)商務(wù)合作活動(dòng)的管理措施包括但不限于：——開(kāi)展商務(wù)合作等活動(dòng)時(shí)，宜與相關(guān)方或人員簽訂保密協(xié)議約定保密義務(wù)；——聘任可能接觸涉密信息或涉密物品的外部人員時(shí)，宜簽訂保密協(xié)議，必要時(shí)可做背景調(diào)查；——可對(duì)合作過(guò)程進(jìn)行控制，對(duì)涉密信息或物品的使用情況進(jìn)行監(jiān)督管理。——選擇具有保密條件的場(chǎng)所；——對(duì)涉密資料、涉密物品進(jìn)行控制：——規(guī)定硬件和軟件的支持與維護(hù)要求；——配