DB3715∕T 48-2023 商业秘密保护管理和服务规范(聊城市).pdf
《DB3715∕T 48-2023 商业秘密保护管理和服务规范(聊城市).pdf》由会员分享,可在线阅读,更多相关《DB3715∕T 48-2023 商业秘密保护管理和服务规范(聊城市).pdf(29页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、 ICS 03.100.01 CCS A 01 3715 聊城市地方标准 DB3715/T 482023 商业秘密保护管理和服务规范 2023-11-27 发布 2023-12-27 实施 聊城市市场监督管理局 发 布 DB3715/T 482023 I 目次 前言.II 1 范围.1 2 规范性引用文件.1 3 术语和定义.1 4 基本原则和总体要求.2 5 商业秘密管理制度.3 6 商业秘密管理组织.3 7 商业秘密事项管理.4 8 人员管理.6 9 涉密区域管理.9 10 涉密信息管理.9 11 应急和处置.12 12 检查与改进.13 13 指导与服务.14 附录 A(资料性)企业商业
2、秘密信息分类表.15 附录 B(资料性)商业秘密保护协议.18 附录 C(资料性)竞业限制协议.21 附录 D(资料性)商务合作保密合同/协议.23 附录 E(资料性)不侵犯原企业商业秘密的承诺函.25 参考文献.26 DB3715/T 482023 II 前言 本文件按照GB/T 1.12020标准化工作导则 第1部分:标准化文件的结构和起草规则的规定起草。请注意本文件的某些内容可能涉及专利,本文件的发布机构不承担识别专利的责任。本文件由聊城市市场监督管理局提出、归口并组织实施。本文件起草单位:聊城市市场监督管理局、聊城市检验检测中心、东阿县市场监督管理局、东阿阿胶股份有限公司、鲁西化工集团
3、股份有限公司。本文件主要起草人:申磊、冯保柱、楚克伟、武延龙、王敏、王晓青、张艳君。DB3715/T 482023 1 商业秘密保护管理和服务规范 1 范围 本文件规定了商业秘密保护管理和服务相关的基本原则和总体要求、管理制度、管理组织、信息管理、人员管理、涉密区域管理、涉密信息管理、应急处置、检查与改进、指导与服务。本文件适用于企业商业秘密保护管理,也适用于企业集聚的园区、行业协会、第三方社会组织为企业提供的商业秘密保护服务,其他组织的商业秘密保护可参照执行。2 规范性引用文件 本文件没有规范性引用文件。3 术语和定义 下列术语和定义适用于本文件。3.1 商业秘密 trade secrets
4、 不为公众所知悉、具有商业价值并经权利人采取相应保密措施的技术信息、经营信息等商业信息。注1:“不为公众所知悉”是指权利人请求保护的信息在侵权行为发生时不为所属领域的相关人员普遍知悉和容易获得。有关信息具有下列情形之一的,属于“为公众所知悉”:该信息在所属领域属于一般常识或者行业惯例的;该信息仅涉及产品的尺寸、结构、材料、部件的简单组合等内容,所属领域的相关人员通过观察上市产品即可直接获得的;该信息已经在公开出版物或者其他媒体上公开披露的;该信息已通过公开的报告会、展览等方式公开的;所属领域的相关人员从其他公开渠道可以获得该信息的。注2:“具有商业价值”是指权利人请求保护的信息因不为公众所知悉
5、而具有现实的或者潜在的商业价值。注3:“相应保密措施”是指权利人为防止商业秘密泄露,在被诉侵权行为发生以前所采取的合理保密措施。正常情况下,权利人采取的防止商业秘密泄露的下列措施属于“相应保密措施”:签订保密协议或者在合同中约定保密义务的;通过章程、培训、规章制度、书面告知等方式,对能够接触、获取商业秘密的员工、前员工、供应商、客户、来访者等提出保密要求的;对涉密的厂房、车间等生产经营场所限制来访者或者进行区分管理的;以标记、分类、隔离、加密、封存、限制能够接触或者获取的人员范围等方式,对商业秘密及其载体进行区分和管理的;对能够接触、获取商业秘密的计算机设备、电子设备、网络设备、存储设备、软件
6、等,采取禁止或者限制使用、访问、存储、复制等措施的;要求离职员工登记、返还、清除、销毁其接触或者获取的商业秘密及其载体,继续承担保密义务的;采取其他合理保密措施的。注4:“技术信息”是指与技术有关的结构、原料、组分、配方、材料、样品、样式、植物新品种繁殖材料、工艺、DB3715/T 482023 2 方法或其步骤、算法、数据、计算机程序及其有关文档等信息。注5:“经营信息”是指与经营活动有关的创意、管理、销售、财务、计划、样本、招投标材料、客户信息(包括客户的名称、地址、联系方式以及交易习惯、意向、内容等信息)、数据等信息。3.2 涉密区域 secret-related places 含有商业
7、秘密信息且人员进入后可能接触到商业秘密的物理区域,包括但不限于厂房、车间、研发室、实验室、办公室、保密室、档案室等。3.3 涉密物品 secret-related items 含有商业秘密信息的设备和产品,包括但不仅限于计算机、手机、成品、原材料、半成品和样品等。注:“计算机”指处理或存储商业秘密信息的台式机、便携机、一体机、平板等各类涉密计算机。3.4 涉密载体 secret-related carriers 以文字、数据、符号、图形、图像、视频和音频等方式记录商业秘密信息的各类物质,如纸质文件、存储介质(磁性介质、光盘、U盘、硬盘、服务器等)和其他介质。3.5 涉密数据 secret-re
8、lated data 记录于包括但不限于磁存储、光存储、电存储等存储介质中的商业秘密信息。3.6 涉密商务活动 secret-related commercial activity 企业为实现生产经营目的而从事的各类有关资源、知识、信息交易等活动的总称,包括但不限于来访、购销、投资、收购、兼并、重组、贸易、合作、会议、培训、聚会、展览、报告、对外交流等活动。涉密商务活动指涉及企业商业秘密的商务活动。3.7 涉密人员 secret-related people 知悉商业秘密的人员,包括在涉密岗位工作的人员和不在涉密岗位工作但知悉企业商业秘密的工作人员。4 基本原则和总体要求 4.1 基本原则 4
9、.1.1 应坚持“企业自主、政府指导、预防为主和依法维权”的商业秘密保护管理和服务原则。4.1.2 企业商业秘密信息的管理应遵循最小够用原则、最小授权原则、必须授权原则、可追溯原则。注1:最小够用原则指企业对相关信息是否适用商业秘密保护,应根据预估技术信息和经营信息的保护成本与实际经济效益之比确定,当预估技术信息和经营信息的保护成本小于实际经济效益时,应考虑作为商业秘密适用标准保护。注2:最小授权原则指根据本企业对商业秘密的分类,对知悉相应商业秘密的授权应控制在最小范围内。注3:必须授权原则指根据本企业对商业秘密的分类,知悉和应用商业秘密必须获得授权;知悉和应用相应层级的商业秘密,必须获得相应
10、层级权限授权。注4:可追溯原则指企业在商业秘密的形成、应用和保护工作中,通过完善记录信息,实现对全过程的追踪。4.1.3 应对涉密信息进行严格管控,应按涉密岗位、业务流程等细化分割涉密信息,涉密岗位按权限DB3715/T 482023 3 接触相关的涉密信息。4.2 总体要求 4.2.1 企业应制定商业秘密管理目标,确定保密、效率、成本三者之间的关系。4.2.2 企业应建立商业秘密保护清单,并对商业秘密进行标识。4.2.3 企业应对确定的商业秘密进行分类分级,并按照密级高低,实行分级保护和管理。4.2.4 企业应明确商业秘密的保密事项,并建立对涉密区域、涉密物品、涉密载体、涉密人员、涉密商务活
11、动等事项的管理要求。4.2.5 企业应建立、实施、持续改进商业秘密管理体系,将商业秘密管理贯彻到企业的全部经营活动中,包括但不限于生产、研发、销售、采购、财务、人事、行政和商业合作等。4.2.6 应制定和实施有关商业秘密的保护、培训、宣传、泄密应急处置和奖惩的管理制度。5 商业秘密管理制度 5.1 企业应制定商业秘密管理的纲领文件,内容可包括但不限于商业秘密管理的目标、基本原则和总体要求,根据本企业情况平衡保密、效率、成本三者之间的关系。5.2 企业应制定商业秘密管理的运作机制文件,内容可包括但不限于商业秘密管理部门和各业务部门的组织架构、职责与分工、业务流程、年度工作计划等。5.3 企业应制
12、定商业秘密管理制度,内容包括但不限于:商业秘密管理组织及其职责;商业秘密信息的事项管理;涉密物品管理;涉密人员管理;涉密区域管理;涉密信息管理;应急处置;检查与改进。5.4 企业宜制定与商业秘密保护相配套的激励与奖惩制度。6 商业秘密管理组织 DB3715/T 482023 4 6.1 企业的商业秘密管理工作应由企业最高管理者牵头,高管负责,专人管理,全员参与。6.2 企业应设立商业秘密保护部门或依托相关部门开展商业秘密保护工作,配备专(兼)职保密员。6.3 企业的分支机构、子公司和关联企业可参照设置商业秘密保护部门和专(兼)职保密员。6.4 应分析确定企业的商业秘密保护重点部门和重点岗位,划
13、定商业秘密保护重点区域,应在涉及商业秘密保护的重点部门配备保密员。6.5 企业的商业秘密保护部门和保密员应履行以下职责:制定商业秘密管理标准、制度和流程;识别和管理商业秘密事项、涉密部门、涉密人员、涉密区域和涉密信息;组织企业员工进行商业秘密保护宣传、培训、考核;组织制订、实施商业秘密保护措施;会同各部门对相关保密制度及其落实情况进行检查及督促整改;履行商业秘密泄露的证据整理、搜集、举证、协助调查取证等工作。7 商业秘密事项管理 7.1 定密 7.1.1 本文件 3.1 定义的“商业秘密”为定密范畴。7.1.2 企业应定期对商业秘密进行核查和评估,制定本企业商业秘密保护清单,确定商业秘密保护范
14、围,评估范围应包括涉密技术信息和涉密经营信息。商业秘密的保护范围,主要包括:战略规划、管理方法、商业模式、改制上市、并购重组、产权交易、财务信息、投融资决策、产购销策略、资源储备、客户信息、招投标事项等经营信息;设计、程序、产品配方、制作工艺、制作方法、技术诀窍等技术信息。7.1.3 根据信息泄露会使企业的经济利益遭受损害的程度,可以将商业秘密分为核心商业秘密、普通商业秘密两级,具体分类和分级可参见附录 A。7.1.4 企业对商业秘密信息进行核查和评估时可考虑但不限于以下因素:商业秘密信息的经济价值;产生商业秘密信息投入的成本;商业秘密信息对企业的重要程度;DB3715/T 482023 5
15、竞争对手获取商业秘密后产生的价值;商业秘密泄露后产生的经济损失;商业秘密泄露后可能承担的法律责任;商业秘密信息在企业内部可查阅的范围;对商业秘密采取保密措施所需的成本。7.1.5 企业应设定商业秘密的保密期限。可以预见时限的以年、月、日计,不可以预见时限的应当定为“长期”或者“公布前”。7.1.6 企业商业秘密的密级和保密期限一经确定,应当在秘密载体上作出明显标志。标志由权属(单位规范简称或者标识等)、密级、保密期限三部分组成。7.1.7 企业应根据商业秘密的内容和密级,确定相关涉密岗位权限和接触商业秘密的范围。7.2 隐密 7.2.1 企业和企业内各部门在进行生产、经营、宣传等活动中应当对商
16、业秘密信息予以隐藏。可采取的隐藏方式为:隐藏或删除涉密信息;对涉密信息进行模糊化处理;其他方式。7.2.2 企业进行涉密商务活动时,应当对商业秘密信息予以隐藏。可采取的隐藏方式为:隐藏或删除涉密信息;对涉密信息进行模糊化处理;其他方式。7.2.3 配合行政机关和部门的行政检查、行政执法行动如涉及商业秘密的,企业应主动提醒该检查涉及企业商业秘密,协商可否对商业秘密信息予以隐藏;协商不成,则应当提醒执法检查人员履行保密义务。7.3 解密 7.3.1 商业秘密管理组织经对商业秘密保护清单进行核查和评估,认为特定商业秘密事项已不再具有保护价值的,可予以解密。DB3715/T 482023 6 7.3.
17、2 可采取的解密方式为:文件资料、涉密载体、涉密物品等移出涉密区域;变更涉密区域范围,取消涉密区域标志和警示语,解除保护措施;解除涉密岗位员工的保密义务;变更、解除设备、数据库和各类应用系统及其账户的管理权限;取消对相关商务活动的涉商业秘密审查;消除或变更密级标识、提示;电子文档解密;其他方式。7.4 销毁 7.4.1 销毁涉及商业秘密的文件资料、载体和物品,应经商业秘密保护部门审批后实施。7.4.2 可采取下列方式对销毁过程进行监督管理:在视频监控范围内;不少于 2 名员工见证;对销毁过程录像等。7.4.3 应采取合适的方式妥善销毁:文件资料应粉碎成颗粒状或焚烧处置,并对残留物妥善处置;电子
18、信息应利用彻底删除软件永久删除;涉密载体和涉密物品应采取防数据恢复处置,必要时销毁涉密载体和涉密物品本身;其他合适的方式。8 人员管理 8.1 入职管理 DB3715/T 482023 7 8.1.1 新入职、转岗到涉密岗位的员工,应与其签订与岗位工作内容相适应的商业秘密保护协议,商业秘密保护协议参见附录 B。8.1.2 高级管理人员、高级技术人员及其他负有保密义务的人员(如职业经理人、技术、采购、销售等涉密重点岗位人员),可与其签订竞业限制协议,竞业限制协议参见附录 C。8.1.3 涉密重点岗位员工入职前应做背景调查,必要时应要求其作出不侵犯他人商业秘密的承诺。8.1.4 在录用潜在竞争性关
19、系企业的员工时,应采取的措施有:审核待录用的员工与原单位之间的保密约定、保密义务、保密内容及范围,以防范该员工在本企业内部公开或使用原单位的商业秘密;提醒待录用的员工不应将原单位的商业秘密带入本企业进行使用或公开,并要求就本项内容签署不侵犯原企业商业秘密的承诺函,不侵犯原企业商业秘密的承诺函参见附录 E;定期对已入职的员工所从事的业务内容进行审核,以排除使用原单位商业秘密。8.2 培训管理 8.2.1 商业秘密保护培训应列入企业年度培训计划,使在职员工对商业秘密可能泄露的异常状态及承担法律后果保持足够警觉。8.2.2 应对新入职涉密岗位的人员进行商业秘密保护培训。8.2.3 可采取发放资料、集
20、中培训、网络培训或相结合的方式开展培训,保存培训记录。8.2.4 签订员工保密合同/协议的人员在培训结束后应进行考核,保存相关考核材料。8.3 履职管理 8.3.1 员工所在的业务部门应督促员工熟悉并遵守企业制定的各项商业秘密管理制度,按以下要求以保护员工所在岗位接触到的商业秘密不被泄露:工作中产生的商业秘密信息应及时上报商业秘密管理部门登记管理;获取、使用、披露企业的商业秘密信息要有授权或取得临时审批;获取、使用、披露企业的商业秘密信息要保留相应的记录;避免非授权人员获取本岗位的商业秘密信息;不进入非授权区域;不使用非授权设备、网络、账号。8.3.2 企业应建立商业秘密管理奖惩制度。违反企业
21、商业秘密管理规定的处罚结果应形成书面文件,DB3715/T 482023 8 在企业内部通报并存档。鼓励员工举报违反企业商业秘密管理规定的行为,鼓励员工发现企业商业秘密管理体系、措施、技术手段存在的漏洞,对采纳的线索或意见给予奖励。8.3.3 企业员工参加的工作会议等活动涉及商业秘密的,可采取以下保密措施:在涉密区域内召开;使用保密会议室;参加会议的员工应具备接触所涉商业秘密的权限或经审批同意;告知其保密要求或签署保密承诺;限制使用手机、便携机或拍摄、录音设备,使用防录音装置;重要涉密纸质文档做好标识,会议后检查并回收。8.4 转岗、离职管理 8.4.1 涉密岗位员工转岗、离职前,企业应主动告
22、知保密义务,以及若违反规定应承担的相应法律责任。告知转岗、离职员工不应有以下行为:复制、带离、损毁、纂改、拍摄涉密文件资料、物品;查阅、拷贝、纂改、发送涉密电子文档、数据;删除、更改账户;披露、使用商业秘密等。8.4.2 提醒转岗、离职员工主动移交一切涉密载体和物品。8.4.3 应对其采取适当措施进行脱密,及时回收系统权限,并及时通知与转岗、离职员工有关的供应商、客户、合作单位等,做好业务交接。8.4.4 应开展转岗、离职检查,检查内容包括:检查工作电脑数据是否完整;检查工作账户;转岗、离职前一定期限内的涉密文档、数据的查阅和使用情况等。8.4.5 应与离职涉密重点岗位员工签订竞业限制协议等商
23、业秘密保护确认文书,竞业限制协议应根据企业需要进行启动或解除。DB3715/T 482023 9 8.4.6 应及时掌握离职员工在竞业限制期限内的任职去向。9 涉密区域管理 9.1 涉密区域应采取物理隔离保护措施。9.2 涉密区域应限制非相关人员进入,确因工作需要进入的应履行审批手续并全程监督。9.3 应识别涉密区域,区域入口处张贴涉密区域标志和警示语。应将下列部门或地点列为涉密重点区域:研发设计、信息管理等部门;实验室、重要生产工作场所;控制中心、服务器机房等;涉密档案、涉密载体存放地点;未公开的样品存放地点;模具、专用夹具、重要零部件等的存放区;重要原材料、重要半成品等涉密物资存放区等。9
24、.4 涉密重点区域实行进出登记和保密告知,应采取以下保护措施:划定相对独立的空间,进出口有涉密区域标识;涉密区域进入需经过授权,设有门禁隔离设施,应采用指纹、脸部、瞳孔等技术手段验证身份;进出口处应安装视频监控设施和报警装置,非法闯入能立即告警;限制使用具有录音、摄像、拍照、信息存储等功能的设备;必要时采取网络隔离阻断等。10 涉密信息管理 10.1 文件资料管理 10.1.1 应有密级、保护期限等标识,实行登记管理、归档存放,应以发文形式公布。DB3715/T 482023 10 10.1.2 由部门保密员登记造册,按权限使用,查阅、借阅、续借应履行登记手续。10.1.3 复制(复印、打印、
25、扫描、拍摄、摘抄等)、跨区域转移、向第三方披露或提供第三人使用前应履行审批和登记手续,复印件或复制件与原件的密级、保密期限相同。10.1.4 新闻发布、论文发表、专利申请等信息发布和公开前,由商业秘密保护部门对信息进行审核。10.2 账户、电子信息管理 10.2.1 应充分考虑设备、系统的安全性,做好账户、密码的收集、存放和传输的安全工作:做好病毒防范和病毒库的升级、查杀病毒等工作;定期进行安全检查,发现系统漏洞及时修补;用户的操作行为应有日志记录,可实时报告登陆、获取信息和异常入侵等行为。10.2.2 应对设备、数据库和各类应用系统及其账户实行权限管理,按岗位职责或特定工作事项按“最小够用”
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- DB3715T 48-2023 商业秘密保护管理和服务规范聊城市 DB3715 48 2023 商业秘密 保护 管理 服务 规范 聊城市
限制150内