公司技術(shù)文件安全保護(hù)管理辦法第一章總則第一條目的與依據(jù)為全面規(guī)范公司技術(shù)文件的管理，切實(shí)保障公司核心技術(shù)資產(chǎn)的安全與完整，防止因技術(shù)文件泄露、丟失、濫用或損壞給公司造成損失，依據(jù)國(guó)家相關(guān)法律法規(guī)及公司內(nèi)部管理規(guī)定，結(jié)合公司實(shí)際情況，特制定本辦法。第二條適用范圍本辦法適用于公司內(nèi)部所有與技術(shù)研發(fā)、產(chǎn)品設(shè)計(jì)、工藝規(guī)程、技術(shù)參數(shù)、軟件代碼、測(cè)試報(bào)告、技術(shù)方案、專利資料及其他具有商業(yè)價(jià)值和保密性質(zhì)的技術(shù)文檔（以下統(tǒng)稱“技術(shù)文件”）的創(chuàng)建、流轉(zhuǎn)、存儲(chǔ)、使用、借閱、復(fù)制、銷毀等全過(guò)程管理。公司所有員工（包括正式員工、試用期員工、實(shí)習(xí)生、顧問(wèn)及其他為公司提供服務(wù)的相關(guān)人員）均須嚴(yán)格遵守本辦法。第三條基本原則技術(shù)文件安全保護(hù)管理遵循以下原則：（一）誰(shuí)主管誰(shuí)負(fù)責(zé)：各部門負(fù)責(zé)人對(duì)本部門產(chǎn)生和管理的技術(shù)文件安全負(fù)直接領(lǐng)導(dǎo)責(zé)任，文件制作人及使用人對(duì)文件安全負(fù)直接責(zé)任。（二）分級(jí)分類：根據(jù)技術(shù)文件的重要性、敏感性及泄露可能造成的危害程度，實(shí)施分級(jí)分類管理和保護(hù)。（三）最小權(quán)限：技術(shù)文件的訪問(wèn)和使用權(quán)限應(yīng)嚴(yán)格控制在工作必需的最小范圍內(nèi)。（四）全程管控：對(duì)技術(shù)文件的產(chǎn)生、流轉(zhuǎn)、存儲(chǔ)、使用、歸檔直至銷毀的整個(gè)生命周期進(jìn)行嚴(yán)格控制和記錄。（五）預(yù)防為主：建立健全安全防護(hù)體系，加強(qiáng)員工安全意識(shí)教育，預(yù)防各類安全事件發(fā)生。第二章組織與職責(zé)第四條管理部門公司信息技術(shù)部（或指定專門的信息安全管理部門，以下統(tǒng)稱“安全管理部門”）是技術(shù)文件安全保護(hù)的歸口管理部門，主要職責(zé)包括：（一）組織制定和修訂公司技術(shù)文件安全保護(hù)相關(guān)制度和流程。（二）監(jiān)督、檢查本辦法在公司各部門的執(zhí)行情況。（三）負(fù)責(zé)公司級(jí)技術(shù)文件存儲(chǔ)系統(tǒng)的搭建、維護(hù)和安全管理。（四）組織開(kāi)展技術(shù)文件安全保護(hù)的宣傳教育和培訓(xùn)工作。（五）牽頭處理技術(shù)文件失泄密事件的調(diào)查與處置。（六）負(fù)責(zé)技術(shù)文件安全防護(hù)技術(shù)手段的選型與推廣。第五條業(yè)務(wù)部門職責(zé)各業(yè)務(wù)部門（包括但不限于研發(fā)部、工程部、設(shè)計(jì)部等）是技術(shù)文件的直接產(chǎn)生和使用部門，其主要職責(zé)包括：（一）嚴(yán)格執(zhí)行公司技術(shù)文件安全保護(hù)管理辦法及相關(guān)規(guī)定。（二）負(fù)責(zé)本部門技術(shù)文件的分類、分級(jí)初審和標(biāo)識(shí)工作。（三）指定專人（或兼職）負(fù)責(zé)本部門技術(shù)文件的日常管理，包括登記、分發(fā)、回收、歸檔等。（四）對(duì)本部門員工進(jìn)行技術(shù)文件安全意識(shí)和操作規(guī)范的培訓(xùn)與監(jiān)督。（五）及時(shí)上報(bào)本部門發(fā)生的技術(shù)文件失泄密事件或安全隱患。第六條員工職責(zé)公司所有員工在涉及技術(shù)文件的工作中，應(yīng)履行以下職責(zé)：（一）認(rèn)真學(xué)習(xí)并嚴(yán)格遵守本辦法及公司其他保密規(guī)定。（二）在授權(quán)范圍內(nèi)接觸、使用技術(shù)文件，不得超權(quán)限訪問(wèn)或使用。（三）妥善保管所接觸和使用的技術(shù)文件，防止泄露、丟失或損壞。（四）發(fā)現(xiàn)技術(shù)文件安全問(wèn)題或隱患時(shí)，立即采取補(bǔ)救措施并向直接上級(jí)或安全管理部門報(bào)告。（五）離職或崗位變動(dòng)時(shí)，按規(guī)定辦理技術(shù)文件的交接、清退手續(xù)。第三章技術(shù)文件的分類與分級(jí)第七條文件分類技術(shù)文件根據(jù)其性質(zhì)和用途，可分為但不限于以下類別：（一）研發(fā)類：包括但不限于項(xiàng)目計(jì)劃、需求規(guī)格說(shuō)明書(shū)、設(shè)計(jì)方案、架構(gòu)圖、源代碼、算法模型、測(cè)試用例、測(cè)試報(bào)告等。（二）工藝類：包括但不限于工藝流程、操作指導(dǎo)書(shū)、工藝參數(shù)、配方、生產(chǎn)圖紙等。（三）技術(shù)標(biāo)準(zhǔn)類：包括但不限于企業(yè)技術(shù)標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)、國(guó)際標(biāo)準(zhǔn)等引用或轉(zhuǎn)化文件。（四）知識(shí)產(chǎn)權(quán)類：包括但不限于專利申請(qǐng)文件、商標(biāo)注冊(cè)文件、軟件著作權(quán)登記文件、技術(shù)秘密等。（五）其他類：經(jīng)公司認(rèn)定具有技術(shù)價(jià)值和保密需求的其他文件材料。第八條文件分級(jí)根據(jù)技術(shù)文件的重要性、敏感性以及一旦泄露可能對(duì)公司造成的危害程度，將其劃分為以下四個(gè)級(jí)別：（一）絕密級(jí)：涉及公司核心競(jìng)爭(zhēng)力、具有重大商業(yè)價(jià)值，一旦泄露將對(duì)公司造成特別嚴(yán)重?fù)p害的技術(shù)文件。（二）機(jī)密級(jí)：涉及公司重要技術(shù)成果、關(guān)鍵工藝或核心參數(shù)，一旦泄露將對(duì)公司造成嚴(yán)重?fù)p害的技術(shù)文件。（三）秘密級(jí)：涉及公司一般技術(shù)信息、尚未公開(kāi)的技術(shù)資料，一旦泄露將對(duì)公司造成一定損害的技術(shù)文件。（四）普通級(jí)：除上述三級(jí)外，具有一定技術(shù)含量但公開(kāi)后對(duì)公司損害較小或無(wú)直接損害的技術(shù)文件。第九條分級(jí)確定與標(biāo)識(shí)（一）技術(shù)文件的分級(jí)由文件產(chǎn)生部門負(fù)責(zé)人根據(jù)本辦法第八條規(guī)定進(jìn)行初步判定，報(bào)安全管理部門（或公司指定的保密委員會(huì)）審核確認(rèn)。對(duì)于特別重要的絕密級(jí)、機(jī)密級(jí)文件，需報(bào)請(qǐng)公司分管領(lǐng)導(dǎo)審批。（二）技術(shù)文件（包括電子文檔和紙質(zhì)文檔）必須在其首頁(yè)或醒目位置清晰標(biāo)注其密級(jí)標(biāo)識(shí)。標(biāo)識(shí)方法為：“[絕密]”、“[機(jī)密]”、“[秘密]”、“[普通]”。電子文件還應(yīng)在文件屬性或元數(shù)據(jù)中進(jìn)行相應(yīng)標(biāo)記。第四章技術(shù)文件的全生命周期管理第十條文件的產(chǎn)生與標(biāo)識(shí)（一）技術(shù)文件在創(chuàng)建時(shí)，文件制作人應(yīng)初步確定其類別和密級(jí)建議，并提交部門負(fù)責(zé)人審核。（二）文件經(jīng)審核、審批確定密級(jí)后，制作人應(yīng)按規(guī)定進(jìn)行標(biāo)識(shí)。（三）電子文件建議使用公司統(tǒng)一的模板創(chuàng)建，模板中應(yīng)包含密級(jí)標(biāo)識(shí)欄、版本號(hào)、編制人、編制日期等必要信息。第十一條文件的存儲(chǔ)與保管（一）絕密級(jí)、機(jī)密級(jí)技術(shù)文件原則上應(yīng)存儲(chǔ)在公司指定的加密服務(wù)器或?qū)Ｓ么鎯?chǔ)設(shè)備中，并有嚴(yán)格的訪問(wèn)控制和操作日志。紙質(zhì)文件應(yīng)存放在保險(xiǎn)柜或具備防盜、防火、防潮功能的保密柜中。（二）秘密級(jí)技術(shù)文件應(yīng)存儲(chǔ)在公司內(nèi)部安全服務(wù)器或授權(quán)的共享存儲(chǔ)區(qū)域，紙質(zhì)文件應(yīng)存放在帶鎖的文件柜中。（三）普通級(jí)技術(shù)文件可存儲(chǔ)在公司內(nèi)部指定的普通服務(wù)器或共享文件夾，但仍需遵守公司信息安全基本規(guī)定。（四）禁止將涉密技術(shù)文件（絕密、機(jī)密、秘密）存儲(chǔ)在未經(jīng)授權(quán)的個(gè)人計(jì)算機(jī)（特別是便攜式計(jì)算機(jī)）、移動(dòng)存儲(chǔ)介質(zhì)（如U盤、移動(dòng)硬盤）、私人郵箱、云存儲(chǔ)服務(wù)或其他外部存儲(chǔ)載體中。（五）存儲(chǔ)介質(zhì)應(yīng)定期檢查，確保數(shù)據(jù)完好。重要技術(shù)文件應(yīng)定期備份，并對(duì)備份介質(zhì)進(jìn)行妥善保管和加密。第十二條文件的使用與流轉(zhuǎn)（一）技術(shù)文件的使用應(yīng)遵循“最小權(quán)限”和“按需分配”原則，由文件管理部門或其負(fù)責(zé)人根據(jù)工作需要授予相關(guān)人員訪問(wèn)和使用權(quán)限。（二）查閱、借閱涉密技術(shù)文件需履行審批手續(xù)，經(jīng)相關(guān)負(fù)責(zé)人批準(zhǔn)后方可進(jìn)行。借閱時(shí)應(yīng)進(jìn)行登記，明確借閱期限，到期及時(shí)歸還。（三）涉密技術(shù)文件原則上不得帶出公司辦公區(qū)域。確因工作需要帶出的，須經(jīng)公司分管領(lǐng)導(dǎo)批準(zhǔn)，并采取嚴(yán)格的保密措施，返回后立即歸還。（四）傳遞涉密技術(shù)文件，應(yīng)通過(guò)公司內(nèi)部安全通訊系統(tǒng)或加密郵件進(jìn)行。禁止使用非加密網(wǎng)絡(luò)、公共通訊工具（如普通郵件、即時(shí)通訊軟件）傳遞涉密信息。紙質(zhì)涉密文件傳遞應(yīng)專人專車，確保安全。（五）復(fù)制涉密技術(shù)文件必須經(jīng)原審批人批準(zhǔn)，并在指定的安全設(shè)備上進(jìn)行，復(fù)制件視同原件管理，并進(jìn)行登記。第十三條文件的修改與版本控制（一）技術(shù)文件需要修改時(shí)，應(yīng)由原編制部門或授權(quán)人員進(jìn)行，并履行相應(yīng)的審批手續(xù)。（二）文件修改后應(yīng)更新版本號(hào)，并在修改記錄中注明修改內(nèi)容、修改人、修改日期及審批人。（三）不同版本的文件應(yīng)進(jìn)行清晰標(biāo)識(shí)和管理，防止混淆。舊版本文件如需保留，應(yīng)按原密級(jí)進(jìn)行管理；如無(wú)保留價(jià)值，應(yīng)按規(guī)定程序銷毀。第十四條文件的歸檔與銷毀（一）項(xiàng)目結(jié)束或文件使用完畢后，相關(guān)技術(shù)文件應(yīng)及時(shí)整理、歸檔。歸檔工作由文件管理部門負(fù)責(zé)，確保文件的完整性和準(zhǔn)確性。（二）對(duì)于超過(guò)保管期限或已無(wú)保存價(jià)值的技術(shù)文件，由文件管理部門提出銷毀申請(qǐng)，經(jīng)審批后，按照“誰(shuí)產(chǎn)生、誰(shuí)銷毀”或指定專人負(fù)責(zé)的原則進(jìn)行銷毀。（三）銷毀涉密技術(shù)文件（包括電子和紙質(zhì)）必須使用符合安全要求的方式進(jìn)行，確保信息無(wú)法恢復(fù)。電子文件應(yīng)使用專業(yè)的數(shù)據(jù)銷毀工具，紙質(zhì)文件應(yīng)使用碎紙機(jī)粉碎或送指定保密銷毀機(jī)構(gòu)處理。銷毀過(guò)程需有記錄，并有專人監(jiān)督。第五章技術(shù)文件的安全防護(hù)第十五條存儲(chǔ)環(huán)境安全（一）公司內(nèi)部網(wǎng)絡(luò)應(yīng)與外部網(wǎng)絡(luò)進(jìn)行物理或邏輯隔離，核心服務(wù)器區(qū)域應(yīng)部署防火墻、入侵檢測(cè)/防御系統(tǒng)等安全設(shè)備。（二）存放涉密技術(shù)文件的計(jì)算機(jī)和服務(wù)器應(yīng)采取硬盤加密、BIOS密碼、操作系統(tǒng)登錄密碼、屏幕保護(hù)密碼等多重保護(hù)措施。（三）定期對(duì)存儲(chǔ)設(shè)備進(jìn)行安全檢查和漏洞掃描，及時(shí)修補(bǔ)安全漏洞。第十六條訪問(wèn)控制（一）建立嚴(yán)格的用戶身份認(rèn)證和授權(quán)機(jī)制，對(duì)不同密級(jí)的技術(shù)文件設(shè)置不同的訪問(wèn)權(quán)限。（二）員工賬號(hào)實(shí)行實(shí)名制管理，權(quán)限應(yīng)根據(jù)崗位職責(zé)和工作需要進(jìn)行分配，并定期審核權(quán)限有效性。（三）嚴(yán)禁轉(zhuǎn)借、共用賬號(hào)，員工應(yīng)妥善保管自己的賬號(hào)密碼，定期更換，并避免使用過(guò)于簡(jiǎn)單的密碼。第十七條傳輸安全（一）公司內(nèi)部技術(shù)文件的傳輸應(yīng)優(yōu)先使用內(nèi)部安全網(wǎng)絡(luò)。（二）通過(guò)外部網(wǎng)絡(luò)傳輸任何技術(shù)文件，均需進(jìn)行加密處理。（三）禁止使用未經(jīng)授權(quán)的外部存儲(chǔ)介質(zhì)接入公司內(nèi)部涉密計(jì)算機(jī)。確需使用的，必須經(jīng)過(guò)安全管理部門批準(zhǔn)并進(jìn)行病毒查殺和安全檢查。第十八條保密教育與培訓(xùn)公司應(yīng)定期組織開(kāi)展技術(shù)文件安全保護(hù)和保密知識(shí)的宣傳教育與培訓(xùn)活動(dòng)，提高全體員工的保密意識(shí)和技能。新員工入職時(shí)，必須接受保密教育和本辦法的培訓(xùn)，并簽署保密承諾書(shū)。第十九條應(yīng)急處置安全管理部門應(yīng)制定技術(shù)文件泄露事件應(yīng)急預(yù)案，明確應(yīng)急處置流程、責(zé)任分工和保障措施。發(fā)生技術(shù)文件泄露事件時(shí)，應(yīng)立即啟動(dòng)應(yīng)急預(yù)案，采取有效措施減少損失，并按規(guī)定上報(bào)。第六章監(jiān)督檢查與責(zé)任追究第二十條監(jiān)督檢查（一）安全管理部門會(huì)同相關(guān)業(yè)務(wù)部門，定期或不定期對(duì)公司技術(shù)文件安全保護(hù)管理工作的執(zhí)行情況進(jìn)行監(jiān)督檢查。（二）檢查內(nèi)容包括但不限于：制度落實(shí)情況、文件分類分級(jí)準(zhǔn)確性、存儲(chǔ)使用規(guī)范性、員工保密意識(shí)等。（三）對(duì)檢查中發(fā)現(xiàn)的問(wèn)題和隱患，應(yīng)及時(shí)向被檢查部門發(fā)出整改通知，限期整改，并跟蹤整改情況。第二十一條獎(jiǎng)勵(lì)與懲處（一）對(duì)在技術(shù)文件安全保護(hù)工作中做出突出貢獻(xiàn)，有效防止或挽回公司重大損失的部門或個(gè)人，公司將給予表彰和獎(jiǎng)勵(lì)。（二）對(duì)違反本辦法規(guī)定，造成技術(shù)文件泄露、