1企業商業秘密管理規范本文件規定了企業商業秘密管理的總體要求，以及組織、制度、信息、人員、區域、物品及載體、信息系統、評估與改進和泄密事件的管理要求。本文件適用于企業的商業秘密管理。事業單位、研究機構、協會等組織的商業秘密管理可參照本文件執行。2規范性引用文件下列文件中的內容通過文中的規范性引用而構成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T19001—2016質量管理體系要求GB/T22080—2016信息技術安全技術信息安全管理體系要求3術語和定義下列術語和定義適用于本文件。3.1商業秘密tradesecrets不為公眾所知悉、具有商業價值并經權利人采取相應保密措施的技術信息、經營信息等商業信息。3.2含有商業秘密信息的設備和產品。3.3涉密載體secret-relatedcarriers以文字、數據、符號、圖形、圖像、視頻和音頻等方式記錄商業秘密信息的介質。3.4涉密計算機secret-relatedcomputers處理或存儲商業秘密信息的臺式機、便攜機、一體機、平板等各類計算機。3.5涉密區域secret-relatedplaces含有商業秘密信息、人員進入后可能接觸到商業秘密的物理區域。4總體要求24.1企業應按照GB/T22080—2016、GB/T19001—2016和本文件的要求建立、實施、持續改進商業秘密管理體系，將商業秘密管理貫徹到企業的全部經營活動中，包括但不限于生產、研發、銷售、采購、財務、人事、行政、商業合作等。4.2企業的商業秘密管理工作應由企業最高管理者牽頭，高管負責，專人管理，全員參與。4.3企業商業秘密信息的管理應遵循最小授權原則、必須授權原則、審批原則、受控原則、可追溯原4.4企業應制定商業秘密管理目標，確定保密、效率、成本三者之間的關系。5商業秘密管理組織5.1企業最高管理者應具備商業秘密管理意識，保障商業秘密管理資源投入，實現以下關于商業秘密管理的要求：a)建立商業秘密管理方針和目標；b)將商業秘密管理要求整合到企業的業務中；c)要求員工加強商業秘密保護意識；d)管理并支持員工為商業秘密管理體系的實施持續努力；e)促進商業秘密管理體系的持續改進。5.2企業應設置專門的商業秘密管理部門，或由具備商業秘密管理職能的部門開展商業秘密管理工作。商業秘密管理部門的組織機構、職責和工作范圍可按以下方式確定：a)指定專人作為商業秘密管理部門的負責人，負責企業商業秘密管理體系的決策、管理、實施并向企業最高管理者匯報，也可由企業最高管理者直接負責商業秘密管理部門；b)配備專職的商業秘密管理人員，或由法務、信息安全等部門人員兼任商業秘密管理工作；c)商業秘密管理部門可設立兩個以上層級的商業秘密管理組織架構；注：如負責決策的商業秘密管理委員會和負責執行決策、統籌d)商業秘密管理部門可根據職能設置不同的工作小組，分別負責制度、信息技術、宣傳培訓、檢查評估等工作；e)商業秘密管理部門的職責應包括商業秘密信息、涉密物品、涉密載體、涉密部門、涉密人員、涉密區域等的識別和管理，管理制度的制定、執行、檢查、改進，員工的保密宣傳、培訓、考核，以及泄密事件的內部處理和法律維權等；f)商業秘密管理部門應定期組織會議，對商業秘密信息的識別與分級、管理制度的修訂、信息技術的實施等重大事項進行決策。5.3企業應指定各業務部門的管理者作為各業務部門商業秘密管理的責任人，同時可在重點業務部門配備專職保密員，或由其他員工兼任該部門的商業秘密管理工作，共同負責管理制度在本部門的落地，承擔相應的泄密責任。5.4企業設立專門商業秘密管理部門的，應明確商業秘密管理部門和法務部、信息部、審計部等部門的分工，分別負責以下工作：a)制定商業秘密管理標準、制度和流程；b)組織商業秘密管理宣傳、培訓、考核；c)負責信息技術手段的落地與支持；d)處理泄密事件；e)監督商業秘密管理工作的執行；f)對商業秘密管理體系進行評估與改進。36商業秘密管理制度6.1企業應制定商業秘密管理的總體綱領文件，內容可包括商業秘密管理的目標、方針、適用范圍、定義、策略、原則等。6.2企業應制定商業秘密管理組織的運作機制文件，內容可包括商業秘密管理部門和各業務部門的組織架構、職責與分工、年度工作計劃等。6.3企業應制定適用于整個企業的商業秘密管理制度，內容可包括：a)商業秘密信息的識別與分級；b)涉密物品管理；c)涉密載體管理；d)涉密紙質文檔管理；e)涉密計算機管理；f)涉密網絡管理；g)涉密區域管理；h)涉密人員管理；i)泄密事件管理；j)獎懲管理。6.4企業可根據研發、生產、銷售、采購、信息技術、財務、行政等業務部門的工作流程和特點，分別制定適用于各個業務部門的商業秘密管理制度。6.5企業可編制下列清單以明確商業秘密管理制度的管控對象：a)商業秘密信息及分級；b)涉密人員及崗位；c)涉密計算機；d)涉密物品；e)涉密信息系統。6.6商業秘密管理總綱、制度等文件均應形成企業級文件后在企業內部傳達，并持續運行和改進。7商業秘密信息管理7.1識別7.1.1企業應評估并識別商業秘密信息。具體技術秘密和經營秘密的表現形式可參考附錄A。7.1.2各業務部門經營活動中產生的商業秘密信息應及時報送商業秘密管理部門登記，商業秘密管理部門應定期更新商業秘密信息清單。7.2分級7.2.1企業對商業秘密信息進行評估時可考慮但不限于以下因素：a)商業秘密信息的經濟價值；b)產生商業秘密信息投入的成本；c)商業秘密信息對企業的重要程度；d)競爭對手獲取商業秘密后產生的價值；e)商業秘密泄露后產生的經濟損失；f)商業秘密泄露后可能承擔的法律責任；4g)商業秘密信息在企業內部可查閱的范圍；h)對商業秘密采取保密措施所需的成本。7.2.2企業應根據評估結果將商業秘密信息進行分級管理，商業秘密信息的級別應在其載體上明確標7.2.3企業應分部門建立商業秘密信息清單，內容包括商業秘密信息名稱、密級、管理人、載體、查閱范圍等。7.3存檔和保管7.3.1各業務部門應指定專人負責本部門涉密載體的存檔和保管。7.3.2應使用保密柜等具有保密功能的設備來存放涉密載體。7.3.3存放涉密載體的區域應配備監控攝像頭、火災報警等安防設備。7.4流轉7.4.1涉密紙質文檔的傳遞應采取密封包裝、專人專車、EMS快遞等保密措施。7.4.2涉密物品等實物的流轉，應采取包裝、密封等保密措施。7.4.3商業秘密信息只能在企業內部流轉，因工作需要流出到外部需要經過審批。7.5備份7.5.1企業應定期對商業秘密信息進行備份，可根據商業秘密信息級別的不同分別確定備份保留時間。7.5.2企業員工未經審批不能訪問備份商業秘密信息，因工作需要臨時訪問應由負責人進行審批并保留記錄。7.6復制7.6.1企業員工未經授權不應復制或打印商業秘密信息，因工作需要臨時復制或打印商業秘密信息應由責任人進行審批并保留記錄。7.6.2企業員工復制或打印商業秘密信息前應標明總頁數及當前頁，打印時必須在打印機旁守候，打印后及時取走不能遺留。7.7發布7.7.1對外發布的內容可能包含商業秘密信息的，發布前應由商業秘密管理部門進行審批。7.7.2宜用商業秘密保護而不宜公開的內容不應申請專利。7.8加密及解密7.8.1商業秘密信息宜通過企業的加密系統進行加密。加密系統應采取密鑰備份、雙人控制等安全管理措施。7.8.2企業應指定各部門的責任人或保密員管理各部門的解密權限。員工申請解密的，應明確相應的使用人、項目、具體事由、日期。解密后的信息應及時回收并做相應處理。7.9銷毀7.9.1商業秘密信息載體的銷毀過程應采取監督措施。57.9.2應根據商業秘密信息載體的不同采取妥善的銷毀方式，確保信息不可恢復。紙質文檔應使用碎紙機徹底粉碎；硬盤、U盤等采用消磁的方式徹底銷毀存儲內容。7.10可追溯7.10.1所有商業秘密信息的產生、保存、流轉、復制、發布、解密、銷毀等均應保留記錄。7.10.2記錄的留存時間根據商業秘密信息的重要性、儲存成本決定。8員工管理8.1入職管理8.1.1涉密人員入職前應審查其工作背景，審查范圍可包括其過往任職的單位、擔任的職務、工作內容、是否有涉及知識產權糾紛等。8.1.2企業應與涉密人員簽訂競業限制協議（見附錄B）。8.1.3新入職或轉崗到涉密崗位的涉密人員應簽訂與其工作內容相適應的保密協議（見附錄C）。高級管理人員、重點項目、商業秘密管理部門員工等重點崗位的涉密人員應明確其保密范圍和接觸的商業秘密信息。8.1.4涉密人員入職前，應通過面談或培訓等方式明確告知其保密義務等注意事項。8.1.5涉密人員曾在存在競爭關系的企業工作過的，入職前應采取以下脫密措施以避免侵害他人的商業秘密：a)要求涉密人員提供與原企業的保密協議、競業限制協議，或其他與保密義務有關的文件；b)提醒涉密人員工作中不能使用原企業的商業秘密信息；c)簽署不侵犯原企業商業秘密的承諾函（見附錄Dd)檢查涉密人員有無攜帶或使用原企業的商業秘密信息。8.2保密教育8.2.1企業對員工開展保密教育的內容應包括以下方面：a)商業秘密的重要性；b)商業秘密屬于企業的職務成果；c)哪些行為可能泄露或侵害企業的商業秘密；d)侵害商業秘密可能承擔的法律責任；e)企業的商業秘密管理制度；f)其他與保密義務、保密范圍、保密行為有關的內容。8.2.2企業開展保密培訓的形式可以是線下、線上集中培訓，或錄制成視頻、音頻課程，并保存好培訓記錄。可通過以下方式對員工開展保密培訓：a)對新入職的員工開展保密培訓；b)定期對全體員工開展保密培訓；c)對重點崗位、重要涉密人員定期開展專項保密培訓。8.2.3企業可通過以下方式對員工開展保密宣傳：a)發放員工手冊；b)定期線上向員工推送宣傳案例；c)組織答題競賽；d)在辦公場所內張貼宣傳標語、播放宣傳視頻；6e)召開全員保密動員大會。8.2.4企業可定期組織員工進行商業秘密保護知識考核，考核結果應歸檔并整理，用于改進宣傳、培訓的內容。考核結果可與員工績效獎掛鉤以促進員工增強保密意識。8.3履職管理8.3.1員工所在的業務部門應督促員工熟悉并遵守企業制定的各項商業秘密管理制度，按以下要求以保護員工所在崗位接觸到的商業秘密不被泄露：a)工作中產生的商業秘密信息應及時上報商業秘密管理部門登記管理；b)獲取、使用、披露企業的商業秘密信息要有授權或取得臨時審批；c)獲取、使用、披露企業的商業秘密信息要保留相應的記錄；d)避免非授權人員獲取本崗位的商業秘密信息；e)不進入非授權區域；f)不使用非授權設備、網絡、賬號。8.3.2企業應建立商業秘密管理獎懲制度。違反企業商業秘密管理規定的處罰結果應形成書面文件，在企業內部通報并存檔。鼓勵員工舉報違反企業商業秘密管理規定的行為，鼓勵員工發現企業商業秘密管理體系、措施、技術手段存在的漏洞，對采納的線索或意見給予獎勵。8.3.3企業員工參加的工作會議等活動涉及商業秘密的，可采取以下保密措施：a)在涉密區域內召開；b)使用保密會議室；c)參加會議的員工應具備接觸所涉商業秘密的權限或經審批；d)告知其保密要求或簽署保密承諾；e)限制使用手機、便攜機或拍攝、錄音設備，使用防錄音裝置；f)重要涉密紙質文檔做好標識，會議后檢查并回收。8.4離職管理8.4.1涉密人員離職前應與之談話，告知其保密義務、禁止行為以及違反保密義務的法律責任。8.4.2企業應要求離職的涉密人員主動向指定人員移交所有的原始涉密載體且不應刪除或篡改，刪除其復制的電子數據并簽收交接清單。8.4.3企業應回收并注銷離職員工所有的域名、應用系統、網絡系統、門禁系統賬號或訪問權限，及時通知與離職員工有關的供應商、客戶、合作單位等，告知工作交接情況。8.4.4涉密人員離職前應做如下檢查：a)工作電腦數據是否完整，是否有刪除、復制痕跡；b)工作電腦上是否有權限之外的文檔；c)工作系統、軟件的賬戶的訪問日志是否有異常；d)是否有非工作時間登錄、頻繁登錄、批量下載、刪除、修改的異常行為痕跡；e)是否有訪問外部郵箱的記錄；f)是否有對外發送商業秘密信息的記錄；g)檢查員工離職前一定期限內的商業秘密信息的查閱和使用情況有無異常。8.4.5離職檢查過程中如發現離職員工可能侵害企業商業秘密的，應及時收集并固定證據，按照企業泄密事件管理規定處理。8.4.6企業應根據需要決定是否對離職員工啟動競業限制，定期掌握涉密崗位離職員工在離職后特別是競業限制期限內的任職情況。79外部人員管理9.1外部人員進入企業應出示證件并履行登記程序，佩戴與員工不同顏色的出入卡。訪問涉密區域應經審批并進行登記，告知其禁止錄音、攝影、攝像、使用便攜機、移動存儲介質等設備，限制手機等器材的拍攝功能，并安排專人全程陪同。進入企業參觀的，應設置專門的參觀路線以避開涉密區域，參觀路線上可能涉及的商業秘密信息應采取隱秘措施。9.2外部企業需要接觸企業商業秘密信息的，應與該企業及相關人員簽訂保密協議（見附錄E）或以其他書面形式約定保密義務，內容包括涉密載體、保密范圍、保密義務及違約責任等。因訴訟、仲裁等司法活動需要向第三人披露商業秘密信息又無法簽訂保密協議的，可申請不公開質證或其他保密程序。9.3專家、顧問、律師、會計師等外部人員因工作需要在短期內大量接觸企業商業秘密信息的，可要求其使用企業提供的保密計算機并對信息進行加密。需要通過企業內部網絡接入涉密計算機或設備的，應通過堡壘機采取保密措施。9.4涉密項目需要長期向供應商或外部研發企業提供商業秘密信息的，或因維修、研發等需要經常進入涉密區域的，可要求外部企業采取以下保密措施：a)與參與項目的外部企業員工簽訂個人保密協議；b)使用企業提供的保密計算機；c)使用企業提供的加密系統；d)使用企業提供的加密存儲介質；e)對外部人員使用的便攜機等設備進行檢查。9.5與外部人員召開的重要涉密會議，應避免使用遠程視頻或音頻、電話會議。涉密會議應采取以下保密措施：a)在涉密區域內召開；b)使用保密會議室；c)告知保密要求或簽署保密承諾；d)采取會議密碼、屏幕水印等保密措施。10物理區域管理10.1企業內部的辦公區域應根據商業秘密信息劃分為不同的涉密區域，可按涉密區域、辦公區域、外部接待區域三級分區。涉密區域可包括核心產品或服務的研發、生產，存儲商業秘密信息的數據中心、檔案中心等。不同密級的區域之間應采取物理門、墻、隔斷等物理隔離措施。密級高的辦公區域應設置在離企業出入口相對較遠的位置。10.2涉密區域可采取如下保密措施：a)使用獨立、封閉的辦公區域，不宜使用開放式辦公或多部門混合辦公；b)人員進出需具備相應權限且佩戴身份標識卡，非授權人員因工作需要出入需經審批取得臨時授權，外部人員進入需有專人全程陪同；c)出入口配備安保人員及安防設備；d)不應攜帶手機、便攜機、平板、智能手表等具備拍攝、錄音、存儲功能的設備器材；e)不應非授權人員接入涉密網絡；f)區域內部覆蓋實時面部識別、動作識別、異常行為識別的高清攝像頭；g)內部設置專門的涉密會議室或電話室；h)涉密計算機配備防偷窺、防拍照措施。810.3存放商業秘密信息的數據中心、文檔中心應設置在隱蔽的位置，遠離非涉密區域且不宜張貼明確標識以防侵入。10.4涉密區域入口處應張貼涉密區域級別標識和“禁止攜帶違禁品”標識，區域內部應張貼“禁止拍攝”等禁止標識。10.5涉密區域的出入口可采取以下安保措施：a)使用指紋、人臉識別、瞳孔等技術手段的防尾隨門禁，不宜使用刷卡或密碼門禁；b)配備檢測設備以限制攜帶手機、便攜機等違禁品出入；c)配備視頻監控及報警系統，對非法闖入或攜帶違禁品進入實時報警；d)設置監控中心并配備專職人員實時監控；e)設置臨時儲物柜以存放限制物品。10.6企業應根據業務和保密要求的不同，將內部網絡劃分為不同的網絡區域。涉密區域的涉密網絡可采取以下保密措施：a)不應接入外網；b)與其他內部網絡隔離，不能相互連通；c)與其他內部網絡采取不同的分級管理措施；d)禁止使用無線網絡、無線熱點；e)訪問涉密區域網絡的設備應使用終端準入限制；f)不應內部網絡設備接入外網；g)通過VPN等方式遠程接入涉密區域網絡應使用終端準入、身份安全等驗證措施；h)配備獨立的網絡基礎設施。10.7企業應設置專門的外部接待區域用于接待外部人員或用于臨時辦公、會議，非經審批不應允許外部人員進入內部區域或涉密區域辦公。11物品及載體管理11.1計算機11.1.1涉密計算機宜使用云桌面系統辦公以將工作數據存儲在內部云服務器上，不宜存儲在涉密計算機的本地存儲中。11.1.2應關閉或禁用涉密計算機的移動存儲、光驅、藍牙、無線網卡等數據傳輸功能模塊，以及攝像頭、聲卡、話筒等音視頻采集設備，未經許可不應使用。11.1.3涉密計算機硬件的配置、維修、報廢均應經過審批或授權交由指定人員處理，應使用封條封住主機以禁止員工私自拆機維修、更換、增加硬件配件。11.1.4計算機未經批準不應安裝非授權軟件。11.1.5計算機的網絡接入、網絡配置均應按規定設置，不應接入非授權網絡。11.1.6涉密便攜機應設置身份驗證、硬盤口令，封閉攝像頭和麥克風功能，存放時使用帶鎖的保密柜。不宜在涉密區域使用便攜機辦公。11.2智能手機11.2.1涉密區域不應使用個人智能手機。如攜帶個人智能手機進入涉密區域應關閉或禁用攝像頭、麥克風，不應在涉密區域內拍攝、錄音、設置熱點。911.2.2個人智能手機不應接入存有商業秘密信息的軟件及信息系統，避免在個人手機內存儲商業秘密信息。11.2.3個人智能手機不應接入企業涉密網絡。11.3紙質文檔11.3.1涉密紙質文檔應存放在涉密區域內，打印、復印、掃描、查閱、借用等使用涉密紙質文檔應由專人專管并登記。11.3.2企業應配備打印管控系統管理紙質文檔的打印、復印、掃描，并保留記錄及備份。打印、復印、傳真涉密紙質文檔時應具備授權并在機器旁守候及時取走文檔。掃描紙質文檔不應使用公共盤存儲。11.3.3廢棄的紙質文檔應通過碎紙機粉碎，不應隨意丟棄。11.4產品11.4.1涉密項目的半成品、樣品應由專人管理，放置在保密柜或專門的存儲室保管，出入口配備攝像頭監控。攜帶外出時應采取包裝等保密措施。11.4.2涉密項目的不良品應交由專人處理或報廢，不應隨意丟棄。11.4.3涉密產品、半成品、原料等的標簽應替換為企業內部的編碼統一管理。11.5移動存儲介質11.5.1未經審批不應使用移動存儲設備存儲商業秘密信息。涉密移動存儲介質不應連接非涉密或未采取保密措施的計算機及電子設備。11.5.2涉密移動存儲介質應由專人專管，且使用身份識別、內容加密、設備綁定等保密措施。12信息系統管理12.1權限管理12.1.1商業秘密管理部門應統一管理對涉密信息系統的授權及審批。12.1.2權限到期、人員變更或離職、項目變更等情況應及時變更、回收相應的信息系統權限。12.1.3信息系統的權限管理應保留記錄日志，用于定期檢查各信息系統用戶的訪問權限、特別授權等權限管理是否存在漏洞。12.1.4信息系統的管理員權限應在不同人員之間進行分配，避免由超級管理員管理整個系統或若干個系統的情況。12.2賬號及口令12.2.1業務部門設置公用賬號、匿名賬號等特殊賬號應經過商業秘密管理部門審批。12.2.2外部人員的賬號應與內部員工賬號有明顯的區別。12.2.3賬號應同時包括特殊符號、大寫英文字母、小寫英文字母、數字四種不同字符。12.2.4信息系統賬號的初始口令應是隨機產生的口令，不能相同或有規律，且應規定修改口令設置的位數、更換周期的最低標準。12.2.5信息系統的口令應通過系統設置強制用戶定期更換。12.3信息出口控制12.3.1未經審批不應允許任何商業秘密信息外部出口存在。所有經審批的信息出口都應有以下“四統一”：a)統一登記；b)統一管理；c)統一備份；d)統一監控。12.3.2企業的辦公網絡不應允許訪問非企業郵箱的外部郵箱，應將常見的外部郵箱、地址包括網址設為禁止訪問名單。因工作需要登錄外部郵箱的應經過審批并備案郵箱賬號和密碼。12.3.3企業應建立代理服務器訪問備份系統，代理服務器訪問日志備份6個月以上。應設置訪問外網時允許上傳的字節數，從而限制通過代理服務器對外發送商業秘密信息。12.3.4企業應禁止員工使用網盤，應將常見的網盤網址設為禁止訪問名單。確因工作需要登錄網盤的應經過審批，并向企業備案網盤賬號和密碼。12.3.5企業涉密計算機使用的即時通訊軟件應避免和其他外部通訊軟件交互商業秘密信息，應具備以下保密功能：a)具備對用戶登錄進行網絡、設備控制的功能，保證其在安全環境下運行；b)具備檢查聊天內容關鍵字的后臺管控功能；c)在移動終端應具備禁止復制、轉發、下載和全場景添加水印的管控功能。12.3.6企業存儲商業秘密信息的云服務器或信息系統應關閉信息外部出口，未經審批不應允許在服務器上復制、修改商業秘密信息。12.4保密措施12.4.1涉密計算機的操作系統、辦公軟件、信息系統等均應設置登錄賬號，密碼應定期更換，不應共用賬號。12.4.2企業應對操作系統設置屏幕保護恢復密碼、屏幕水印、復制粘貼限制等保密措施。12.4.3涉密計算機的辦公軟件應由企業統一安裝并管理，未經授權不應私自安裝軟件。個人郵箱、網盤、即時通訊工具等具備通過網絡對外發送文件的軟件均應禁止。12.4.4企業應使用具備關鍵字過濾、外發郵件審批、郵件審計等保密功能的企業郵箱。12.4.5在涉密網絡內部使用的即時通訊軟件不應與其他網絡，或連接到互聯網的通訊軟件連接。12.4.6加密軟件應定期檢查，確保加密軟件對所有類型文件在所有場景都能夠進行加密。批量解密等特殊解密的授權權限應經過審批統一管理。12.4.7企業應使用專用的信息系統存儲商業秘密信息，信息系統應具備權限管理、日志、審計等保密功能。12.4.8涉密計算機應安裝專門的行為管控軟件，可記錄商業秘密信息數據的復制、流轉、刪除等操作并保存備份。13評估與改進13.1企業應配備專門的人員負責商業秘密管理的檢查，也可由各業務部門保密員負責各部門的檢查工作。13.2企業應采取以下措施并保留記錄或原始文件用于檢查和評估：a)重要涉密區域的出入口和內部應安裝監控系統實時監控；b)涉密網絡的出、入口應實時監控；c)涉密計算機的操作；d)存儲商業秘密信息的信息系統；e)對外發送商業秘密信息的軟件。13.3應定期對企業的以下商業秘密管理情況進行評估并形成書面報告提交商業秘密管理部門：a)商業秘密管理部門人員的履職；b)商業秘密管理制度的適宜性；c)商業秘密信息的定密、分級、流轉；d)涉密紙質文檔、物品、計算機的管理；e)涉密區域的管理；f)操作系統、辦公軟件、信息系統的賬號、權限；g)涉密人員的管理；h)其他商業秘密管理制度規定的內容。13.4針對定期評估報告發現的管理漏洞制定改進方案、實施計劃并執行落地。14泄密事件管理14.1內部管理14.1.1指定內部受理泄密事件報告窗口的負責人，并公開電話、郵箱等聯系方式。14.1.2制定泄密事件處理流程和應對預案。包括以下內容：a)采取保護措施防止信息進一步擴散或損失擴大；b)調查原因、涉事人員、責任人等；c)收集并固定證據；d)啟動內部處罰或外部維權；e)形成報告和改進方案。14.2證據固定14.2.1可向專業的商業秘密保護服務機構尋求取證、鑒定、評估等指引和協助。14.2.2發現商業秘密可能被泄露或侵權時，應收集并固定如下證據：a)企業是商業秘密的權利人；b)商業秘密信息的具體內容和載體；c)商業秘密信息不為一般公眾普遍知悉；d)商業秘密信息不為一般公眾容易獲得；e)企業對商業秘密信息采取的保密措施；f)商業秘密信息具有商業價值；g)泄密人員的身份、工作信息；h)泄密