ICS03.100.20CCSA10ICS03.100.20CCSA10天 津 市 地 方 標 準DB12/T1439—2025商業秘密保護管理和服務規范Managementandservicespecificationfortradesecretprotection2025-02-12發布 2025-03-15實施天津市場監理委員會 發布DB12/T1439DB12/T1439—2025II目 次前言 II112范引文件 13語定義 14本則 15業密范圍 16業主護管理 27486附錄A（料）商秘密理容措施 8參考獻 13DB12/T1439DB12/T1439—2025IIII前 言本文件按照GB/T1.1—2020《標準化工作導則第1部分：標準化文件的結構和起草規則》的規定起草。本文件由天津市市場監督管理委員會提出并歸口。本文件主要起草人：莊健、畢思友、陳洪波、井翠霞、王兵、王思予、李楨、郭敏。DB12/T1439DB12/T1439—2025PAGEPAGE10商業秘密保護管理和服務規范范圍本文件適用于企業開展商業秘密保護管理和服務工作，其他組織可參照執行。本文件沒有規范性引用文件。下列術語和定義適用于本文件。3.1商業密 tradesecret不為公眾所知悉、具有商業價值并經權利人采取相應保密措施的技術信息、經營信息等商業信息。涉密員 secret-relatedperson根據工作職責或者保密協議有權接觸、使用、掌握商業秘密信息的企業員工或其他人員。3.3涉密體 secret-relatedcarrie以文字、數據、符號、圖形、圖像、視頻和音頻等方式記錄商業秘密信息的各類介質，如紙介質、電磁介質、光介質等。3.4涉密品 secret-relateditem含有商業秘密信息的設備和產品，如計算機、手機、原材料、成品、半成品、樣品等。3.5涉密域 secret-relatedarea含有商業秘密信息、人員進入后可能接觸到商業秘密的物理區域，如車間、研發室、實驗室、機房、保密室、檔案室等。工藝、方法或其步驟、算法、數據、計算機程序及其有關文檔等信息。數據等信息。客戶信息包括客戶的名稱、地址、聯系方式以及交易習慣、意向、內容等信息。（）——建立和實施商業秘密保護有關制度；——識別和管理商業秘密事項，如涉密人員、涉密載體、涉密物品、涉密區域等；——組織制定、實施商業秘密保護措施；——組織商業秘密保護宣傳、培訓、考核；——監督、檢查商業秘密保護管理工作的落實和執行；——處理泄密或侵犯商業秘密事件；——商業秘密保護管理制度進行評估和改進。——商業秘密識別與分級管理制度；——涉密商務活動管理制度；——涉密信息管理制度；——應急管理制度；——檢查和改進制度；——獎懲管理制度。A——應急小組成員及職責；——緊急應對流程；——泄密或侵權溯源和評估定級方案；——防止信息進一步擴散、危害和損失擴大的應急措施方案；——維權方案；——總結和改進方案。——涉及的商業秘密等級和數量；——侵權的方式，如未經許可的復制、向第三方披露、被公開、被第三方使用；——事件對企業造成的影響；——泄密或侵權嫌疑人的情況；——其他影響泄密或侵權事件評估分級的因素。——向侵權嫌疑人發送侵權告知函，要求其立即停止侵權行為；——向法院申請保全措施。——監督檢查結果運用的整改、問責、獎懲機制。——商業秘密的定密、分級、流轉；——涉密區域管理情況；——涉密商務活動管理情況；——操作系統、辦公軟件、信息系統等工具軟件的賬號、權限、密碼管理和使用商業秘密情況；——商業秘密保護管理制度建立和實施情況。——調取涉密載體、涉密物品、涉密信息使用記錄；——調取涉密區域出入口和內部監控；——調取操作系統、辦公軟件、信息系統等工具軟件的日志文件等；——現場查驗、問詢涉密人員工作情況；——調取涉密活動記錄及附屬合同等。改進維權——商業秘密權屬證明，包括但不限于以下內容：——商業秘密的具體內容和載體；——商業秘密不為公眾所知悉的證明，包括但不限于下列情形：——商業秘密具有商業價值的證明，包括但不限于下列內容：——已對商業秘密采取相應保護措施的證明，包括但不限于下列情形：——可能與泄密信息有關的人員信息,包括但不限于以下內容：——侵權信息與企業商業秘密相同或者實質相同的證明材料；——和解與調解；7.1——認為民事審判程序中審判人員存在違法行為的；——認為民事執行活動存在違法情形的。服務概述宣傳培訓——發放培訓資料；——對企業股東、高級管理人員開展商業秘密保護重要性、必要性和戰略性的培訓；兼——對企業員工開展商業秘密保護知識培訓和警示教育。——設置商業秘密保護管理組織；——界定商業秘密保護范圍；——制定和完善商業秘密保護管理制度。——協助企業配合行政部門、司法部門等對案件的查處；——協助做好調解工作。——開發、部署和維護涉密文件、數據的信息管理系統；——提供技術信息的非公知性、同一性和損失數額的鑒定評估；——提供技術查新、檢索委托服務；——其他專業服務。附錄A（資料性）商業秘密管理內容及措施分級——經濟價值，包括現有價值和預期價值；——投入成本；——對競爭對手的價值；——內部可查閱、使用秘密的范圍；——其他影響秘密分級的因素。清單措施對新入職、轉崗到涉密崗位的員工，管理措施包括但不限于：——與員工簽訂含有保密條款的勞動合同或專項保密協議，保密條款內容應盡可能詳盡、具體；——與重要崗位涉密人員簽訂競業限制協議；——做好入職前的背景調查，必要時與員工簽訂不侵犯他人商業秘密的承諾函；——在錄用潛在競爭性關系企業的員工時應：——做好商業秘密保護教育和培訓，在培訓結束后宜進行考核，保存相關培訓和考核記錄。對員工的履職管理措施包括但不限于：——督促員工遵守企業商業秘密保護管理制度，做好本崗位商業秘密保護工作：——對員工進行監督，防止員工未經商業秘密保護部門審批出現下列行為：——定期進行保密教育培訓，并保存培訓記錄。對涉密崗位員工轉崗、離職的管理措施包括但不限于：——在員工轉崗、離職前主動告知保密義務及違規責任，告知其不應有以下行為：——開展離職檢查并做好書面記錄，檢查內容包括：——交接所有涉密載體和涉密物品，收回門禁、賬號等所有工作權限；——及時通知與轉崗、離職員工有關的供應商、客戶、合作單位等，告知工作交接情況；——及時掌握離職員工在競業限制期限內的任職去向。對電子載體的管理措施包括但不限于：對涉密紙質文檔的管理措施包括但不限于：——有密級、保護期限等標識，實行登記管理歸檔存放；——存放在涉密區域內并由專人管理；對信息系統的管理措施包括但不限于：——對涉密信息系統實行分層權限管理，以“最小夠用”原則設定權限：——對涉密信息系統采取適當的密碼管理方式，如：——宜對所有涉密賬號和密碼實行統一登記、備案、發放和變更管理；——權限到期、人員轉崗、項目或事項變更時及時回收、變更系統權限；——在涉密信息系統內設置保密義務提醒；——定期對涉密信息系統的數據、日志等進行備份并妥善保管；對涉密電子數據的管理措施包括但不限于：——存儲于企業授權的存儲設備和應用系統，不宜存儲于非授權存儲設備、網絡空間；——對涉密電子數據設置加密措施，加密措施宜與載體有所區別，形成二次加密；——指定專人進行解密操作，員工按權限使用加密數據；——收發涉密數據宜使用唯一出入口，對涉密數據流入流出進行審批；——內部局域網宜與互聯網隔離，涉密數據網絡傳遞宜通過內部局域網或加密互聯網通道完成；——通過郵件發送涉密數據時，宜加密和簽名，可限定打開次數、打開時限和編輯權限；——對外發送涉密數據宜經過審批，并采取加密措施，數據發送與密鑰發送不宜采用同一通道；——宜對涉密數據拷貝采取限制措施，拷貝宜履行審批手續并妥善保存拷貝記錄；——涉密電子數據宜做好公證、第三方存證、電子存證等證據固定；——涉密電子數據銷毀時宜確保徹底永久刪除，避免可通過其他技術手段進行數據恢復。對涉密物品的管理措施包括但不限于：——對涉密物品進行標記并單獨存放，存放區域按照涉密區域進行管理；——使用涉密物品宜履行審批和登記手續；——宜對重要原料、部件等實行編號替代、分部門管理等管理方式；——涉密物品需外出攜帶時宜采取密封、包裝等保密措施；——涉密項目的不良品宜交由專人處理，不可隨意丟棄。——研發設計、信息管理、財務、人力資源等部門；——實驗室、重要生產工作場所；——控制中心、服務器機房、信息數據中心；——涉密檔案、涉密載體、涉密物品存放地點。——宜設置物理隔離，形成獨立、封閉的區域并設置門禁，張貼明顯標識和警示語；——出入口安裝監控和報警裝置，采用有效技術手段對出入人員進行身份驗證；——出入涉密區域人員宜履行權限審批和登記手續；——宜限制使用具有錄音、拍照、攝像、信息存儲等功能的電子設備；——必要時采取網絡隔離阻斷。隱秘在商務活動中涉及商業秘密的，宜對相關信息予以隱藏，可采取的隱秘方式有：——隱藏或刪除涉密信息；——對涉密信息進行模糊化處理；——其他方式。對訪問、參觀、檢查等活動的管理措施包括但不限于：——來訪人員應履行審批和登記手續；——宜安排專人陪同訪問、參觀，限制拍照、錄音、錄像、信息存儲等行為；——政府部門因檢查、監督等工作需要接觸涉密信息或涉密物品的，宜提前向其明示保密義務。對商務合作活動的管理措施包括但不限于：——開展商務合作等活動時，宜與相關方或人員簽訂保密協議約定保密義務；——聘任可能接觸涉密信息或涉密物品的外部人員時，宜簽訂保密協議，必要時可做背景調查；——可對合作過程進行控制，對涉密信息或物品的使用情況進行監督管理。——選擇具有保密條件的場所；——對涉密資料、涉密物品進行控制：——規定硬件和軟件的支持與維護要求；——配