ICS03.100.20CCSA10ICS03.100.20CCSA10天 津 市 地 方 標(biāo) 準(zhǔn)DB12/T1439—2025商業(yè)秘密保護(hù)管理和服務(wù)規(guī)范Managementandservicespecificationfortradesecretprotection2025-02-12發(fā)布 2025-03-15實施天津市場監(jiān)理委員會 發(fā)布DB12/T1439DB12/T1439—2025II目 次前言 II112范引文件 13語定義 14本則 15業(yè)密范圍 16業(yè)主護(hù)管理 27486附錄A（料）商秘密理容措施 8參考獻(xiàn) 13DB12/T1439DB12/T1439—2025IIII前 言本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。本文件由天津市市場監(jiān)督管理委員會提出并歸口。本文件主要起草人：莊健、畢思友、陳洪波、井翠霞、王兵、王思予、李楨、郭敏。DB12/T1439DB12/T1439—2025PAGEPAGE10商業(yè)秘密保護(hù)管理和服務(wù)規(guī)范范圍本文件適用于企業(yè)開展商業(yè)秘密保護(hù)管理和服務(wù)工作，其他組織可參照執(zhí)行。本文件沒有規(guī)范性引用文件。下列術(shù)語和定義適用于本文件。3.1商業(yè)密 tradesecret不為公眾所知悉、具有商業(yè)價值并經(jīng)權(quán)利人采取相應(yīng)保密措施的技術(shù)信息、經(jīng)營信息等商業(yè)信息。涉密員 secret-relatedperson根據(jù)工作職責(zé)或者保密協(xié)議有權(quán)接觸、使用、掌握商業(yè)秘密信息的企業(yè)員工或其他人員。3.3涉密體 secret-relatedcarrie以文字、數(shù)據(jù)、符號、圖形、圖像、視頻和音頻等方式記錄商業(yè)秘密信息的各類介質(zhì)，如紙介質(zhì)、電磁介質(zhì)、光介質(zhì)等。3.4涉密品 secret-relateditem含有商業(yè)秘密信息的設(shè)備和產(chǎn)品，如計算機(jī)、手機(jī)、原材料、成品、半成品、樣品等。3.5涉密域 secret-relatedarea含有商業(yè)秘密信息、人員進(jìn)入后可能接觸到商業(yè)秘密的物理區(qū)域，如車間、研發(fā)室、實驗室、機(jī)房、保密室、檔案室等。工藝、方法或其步驟、算法、數(shù)據(jù)、計算機(jī)程序及其有關(guān)文檔等信息。數(shù)據(jù)等信息?？蛻粜畔蛻舻拿Q、地址、聯(lián)系方式以及交易習(xí)慣、意向、內(nèi)容等信息。（）——建立和實施商業(yè)秘密保護(hù)有關(guān)制度；——識別和管理商業(yè)秘密事項，如涉密人員、涉密載體、涉密物品、涉密區(qū)域等；——組織制定、實施商業(yè)秘密保護(hù)措施；——組織商業(yè)秘密保護(hù)宣傳、培訓(xùn)、考核；——監(jiān)督、檢查商業(yè)秘密保護(hù)管理工作的落實和執(zhí)行；——處理泄密或侵犯商業(yè)秘密事件；——商業(yè)秘密保護(hù)管理制度進(jìn)行評估和改進(jìn)?！虡I(yè)秘密識別與分級管理制度；——涉密商務(wù)活動管理制度；——涉密信息管理制度；——應(yīng)急管理制度；——檢查和改進(jìn)制度；——獎懲管理制度。A——應(yīng)急小組成員及職責(zé)；——緊急應(yīng)對流程；——泄密或侵權(quán)溯源和評估定級方案；——防止信息進(jìn)一步擴(kuò)散、危害和損失擴(kuò)大的應(yīng)急措施方案；——維權(quán)方案；——總結(jié)和改進(jìn)方案。——涉及的商業(yè)秘密等級和數(shù)量；——侵權(quán)的方式，如未經(jīng)許可的復(fù)制、向第三方披露、被公開、被第三方使用；——事件對企業(yè)造成的影響；——泄密或侵權(quán)嫌疑人的情況；——其他影響泄密或侵權(quán)事件評估分級的因素。——向侵權(quán)嫌疑人發(fā)送侵權(quán)告知函，要求其立即停止侵權(quán)行為；——向法院申請保全措施?！O(jiān)督檢查結(jié)果運(yùn)用的整改、問責(zé)、獎懲機(jī)制?！虡I(yè)秘密的定密、分級、流轉(zhuǎn)；——涉密區(qū)域管理情況；——涉密商務(wù)活動管理情況；——操作系統(tǒng)、辦公軟件、信息系統(tǒng)等工具軟件的賬號、權(quán)限、密碼管理和使用商業(yè)秘密情況；——商業(yè)秘密保護(hù)管理制度建立和實施情況?！{(diào)取涉密載體、涉密物品、涉密信息使用記錄；——調(diào)取涉密區(qū)域出入口和內(nèi)部監(jiān)控；——調(diào)取操作系統(tǒng)、辦公軟件、信息系統(tǒng)等工具軟件的日志文件等；——現(xiàn)場查驗、問詢涉密人員工作情況；——調(diào)取涉密活動記錄及附屬合同等。改進(jìn)維權(quán)——商業(yè)秘密權(quán)屬證明，包括但不限于以下內(nèi)容：——商業(yè)秘密的具體內(nèi)容和載體；——商業(yè)秘密不為公眾所知悉的證明，包括但不限于下列情形：——商業(yè)秘密具有商業(yè)價值的證明，包括但不限于下列內(nèi)容：——已對商業(yè)秘密采取相應(yīng)保護(hù)措施的證明，包括但不限于下列情形：——可能與泄密信息有關(guān)的人員信息,包括但不限于以下內(nèi)容：——侵權(quán)信息與企業(yè)商業(yè)秘密相同或者實質(zhì)相同的證明材料；——和解與調(diào)解；7.1——認(rèn)為民事審判程序中審判人員存在違法行為的；——認(rèn)為民事執(zhí)行活動存在違法情形的。服務(wù)概述宣傳培訓(xùn)——發(fā)放培訓(xùn)資料；——對企業(yè)股東、高級管理人員開展商業(yè)秘密保護(hù)重要性、必要性和戰(zhàn)略性的培訓(xùn)；兼——對企業(yè)員工開展商業(yè)秘密保護(hù)知識培訓(xùn)和警示教育?！O(shè)置商業(yè)秘密保護(hù)管理組織；——界定商業(yè)秘密保護(hù)范圍；——制定和完善商業(yè)秘密保護(hù)管理制度。——協(xié)助企業(yè)配合行政部門、司法部門等對案件的查處；——協(xié)助做好調(diào)解工作?！_發(fā)、部署和維護(hù)涉密文件、數(shù)據(jù)的信息管理系統(tǒng)；——提供技術(shù)信息的非公知性、同一性和損失數(shù)額的鑒定評估；——提供技術(shù)查新、檢索委托服務(wù)；——其他專業(yè)服務(wù)。附錄A（資料性）商業(yè)秘密管理內(nèi)容及措施分級——經(jīng)濟(jì)價值，包括現(xiàn)有價值和預(yù)期價值；——投入成本；——對競爭對手的價值；——內(nèi)部可查閱、使用秘密的范圍；——其他影響秘密分級的因素。清單措施對新入職、轉(zhuǎn)崗到涉密崗位的員工，管理措施包括但不限于：——與員工簽訂含有保密條款的勞動合同或?qū)ｍ棻Ｃ軈f(xié)議，保密條款內(nèi)容應(yīng)盡可能詳盡、具體；——與重要崗位涉密人員簽訂競業(yè)限制協(xié)議；——做好入職前的背景調(diào)查，必要時與員工簽訂不侵犯他人商業(yè)秘密的承諾函；——在錄用潛在競爭性關(guān)系企業(yè)的員工時應(yīng)：——做好商業(yè)秘密保護(hù)教育和培訓(xùn)，在培訓(xùn)結(jié)束后宜進(jìn)行考核，保存相關(guān)培訓(xùn)和考核記錄。對員工的履職管理措施包括但不限于：——督促員工遵守企業(yè)商業(yè)秘密保護(hù)管理制度，做好本崗位商業(yè)秘密保護(hù)工作：——對員工進(jìn)行監(jiān)督，防止員工未經(jīng)商業(yè)秘密保護(hù)部門審批出現(xiàn)下列行為：——定期進(jìn)行保密教育培訓(xùn)，并保存培訓(xùn)記錄。對涉密崗位員工轉(zhuǎn)崗、離職的管理措施包括但不限于：——在員工轉(zhuǎn)崗、離職前主動告知保密義務(wù)及違規(guī)責(zé)任，告知其不應(yīng)有以下行為：——開展離職檢查并做好書面記錄，檢查內(nèi)容包括：——交接所有涉密載體和涉密物品，收回門禁、賬號等所有工作權(quán)限；——及時通知與轉(zhuǎn)崗、離職員工有關(guān)的供應(yīng)商、客戶、合作單位等，告知工作交接情況；——及時掌握離職員工在競業(yè)限制期限內(nèi)的任職去向。對電子載體的管理措施包括但不限于：對涉密紙質(zhì)文檔的管理措施包括但不限于：——有密級、保護(hù)期限等標(biāo)識，實行登記管理歸檔存放；——存放在涉密區(qū)域內(nèi)并由專人管理；對信息系統(tǒng)的管理措施包括但不限于：——對涉密信息系統(tǒng)實行分層權(quán)限管理，以“最小夠用”原則設(shè)定權(quán)限：——對涉密信息系統(tǒng)采取適當(dāng)?shù)拿艽a管理方式，如：——宜對所有涉密賬號和密碼實行統(tǒng)一登記、備案、發(fā)放和變更管理；——權(quán)限到期、人員轉(zhuǎn)崗、項目或事項變更時及時回收、變更系統(tǒng)權(quán)限；——在涉密信息系統(tǒng)內(nèi)設(shè)置保密義務(wù)提醒；——定期對涉密信息系統(tǒng)的數(shù)據(jù)、日志等進(jìn)行備份并妥善保管；對涉密電子數(shù)據(jù)的管理措施包括但不限于：——存儲于企業(yè)授權(quán)的存儲設(shè)備和應(yīng)用系統(tǒng)，不宜存儲于非授權(quán)存儲設(shè)備、網(wǎng)絡(luò)空間；——對涉密電子數(shù)據(jù)設(shè)置加密措施，加密措施宜與載體有所區(qū)別，形成二次加密；——指定專人進(jìn)行解密操作，員工按權(quán)限使用加密數(shù)據(jù)；——收發(fā)涉密數(shù)據(jù)宜使用唯一出入口，對涉密數(shù)據(jù)流入流出進(jìn)行審批；——內(nèi)部局域網(wǎng)宜與互聯(lián)網(wǎng)隔離，涉密數(shù)據(jù)網(wǎng)絡(luò)傳遞宜通過內(nèi)部局域網(wǎng)或加密互聯(lián)網(wǎng)通道完成；——通過郵件發(fā)送涉密數(shù)據(jù)時，宜加密和簽名，可限定打開次數(shù)、打開時限和編輯權(quán)限；——對外發(fā)送涉密數(shù)據(jù)宜經(jīng)過審批，并采取加密措施，數(shù)據(jù)發(fā)送與密鑰發(fā)送不宜采用同一通道；——宜對涉密數(shù)據(jù)拷貝采取限制措施，拷貝宜履行審批手續(xù)并妥善保存拷貝記錄；——涉密電子數(shù)據(jù)宜做好公證、第三方存證、電子存證等證據(jù)固定；——涉密電子數(shù)據(jù)銷毀時宜確保徹底永久刪除，避免可通過其他技術(shù)手段進(jìn)行數(shù)據(jù)恢復(fù)。對涉密物品的管理措施包括但不限于：——對涉密物品進(jìn)行標(biāo)記并單獨(dú)存放，存放區(qū)域按照涉密區(qū)域進(jìn)行管理；——使用涉密物品宜履行審批和登記手續(xù)；——宜對重要原料、部件等實行編號替代、分部門管理等管理方式；——涉密物品需外出攜帶時宜采取密封、包裝等保密措施；——涉密項目的不良品宜交由專人處理，不可隨意丟棄?！邪l(fā)設(shè)計、信息管理、財務(wù)、人力資源等部門；——實驗室、重要生產(chǎn)工作場所；——控制中心、服務(wù)器機(jī)房、信息數(shù)據(jù)中心；——涉密檔案、涉密載體、涉密物品存放地點(diǎn)?！嗽O(shè)置物理隔離，形成獨(dú)立、封閉的區(qū)域并設(shè)置門禁，張貼明顯標(biāo)識和警示語；——出入口安裝監(jiān)控和報警裝置，采用有效技術(shù)手段對出入人員進(jìn)行身份驗證；——出入涉密區(qū)域人員宜履行權(quán)限審批和登記手續(xù)；——宜限制使用具有錄音、拍照、攝像、信息存儲等功能的電子設(shè)備；——必要時采取網(wǎng)絡(luò)隔離阻斷。隱秘在商務(wù)活動中涉及商業(yè)秘密的，宜對相關(guān)信息予以隱藏，可采取的隱秘方式有：——隱藏或刪除涉密信息；——對涉密信息進(jìn)行模糊化處理；——其他方式。對訪問、參觀、檢查等活動的管理措施包括但不限于：——來訪人員應(yīng)履行審批和登記手續(xù)；——宜安排專人陪同訪問、參觀，限制拍照、錄音、錄像、信息存儲等行為；——政府部門因檢查、監(jiān)督等工作需要接觸涉密信息或涉密物品的，宜提前向其明示保密義務(wù)。對商務(wù)合作活動的管理措施包括但不限于：——開展商務(wù)合作等活動時，宜與相關(guān)方或人員簽訂保密協(xié)議約定保密義務(wù)；——聘任可能接觸涉密信息或涉密物品的外部人員時，宜簽訂保密協(xié)議，必要時可做背景調(diào)查；——可對合作過程進(jìn)行控制，對涉密信息或物品的使用情況進(jìn)行監(jiān)督管理?！x擇具有保密條件的場所；——對涉密資料、涉密物品進(jìn)行控制：——規(guī)定硬件和軟件的支持與維護(hù)要求；——配