12Managementandservicespecificationfortrad 本文件按照GB/T1.1—2020《標準化工作導則第1部分：標準化文件的結構和起草規則》的規定本文件主要起草人：莊健、畢思友、陳洪波、井翠霞、王兵、商業秘密保護管理和服務規范涉密人員secret-related涉密載體secret-related涉密區域secret-related4基本原則5.1企業應根據自身情況界定商業秘密的范圍，商業秘密一般分為技術信息和經營信息。5.2技術信息指與技術有關的結構、原料、組分、5.3經營信息是與經營活動有關的創意、管理、銷數據等信息。客戶信息包括客戶的名稱、地址、聯系方式以及交易習慣、意向、內容等6.1.1企業的最高管理者應具備商業秘密保護意識，商業秘密6.1.2企業可設立商業秘密保護部門或依托相關部門開展商業秘密保護工作，配備專（兼）職保密人——組織商業秘密保護宣傳、培訓、考核；6.2.1企業應對確定的商業秘密進行分類分級6.2.3企業應明確商業秘密的保密事項，并建立對涉密人員、涉密載體、涉密物品、涉密區域、涉密6.2.4企業應根據實際業務和經營情況制定商業秘密保護管理制度并在企業內部公開，6.2.5商業秘密保護的具體管理內容和——泄密或侵權溯源和評估定級方案；——總結和改進方案。6.3.3緊急應對流程一般包括事件上報、成立應急小組、核查確認泄密或侵權內容、評估泄密或侵權——涉及的商業秘密等級和數量；——泄密或侵權嫌疑人的情況；——其他影響泄密或侵權事件評估分級的因素。6.3.5出現商業秘密泄露的征兆或者跡象時，企業應采取措施防止信息擴散，將危害和損失控制在最——涉密載體、物品等失竊或被未經許可復制的，應做好現場保護工作，調查并確定泄密范圍和——商業秘密被上傳至信息系統、互聯網或其他未被允許渠道公開的，應聯系相應渠道的運營方——向法院申請保全措施。6.3.6企業應加強對員工的培訓和引導，使員工對商業秘密可能泄露的異常狀態保持警覺，發現可能6.4.1.1企業應對商業秘密保護管理情況進行監督檢查，確保其持續的適宜性、充分性和有效性。6.4.1.2企業的商業秘密保護部門或實際開展商業秘密保護工作的相關部門應制定監督檢查方案，內——調取涉密區域出入口和內部監控；——調取操作系統、辦公軟件、信息系統等工具軟件的日志文件等；——調取涉密活動記錄及附屬合同等。6.4.1.5企業應根據監督檢查結果評估商業秘密保護管理制度和措施的適宜性、充分性和有效性并形6.4.1.6企業可委托第三方機構開展商業秘密保護監督檢查與評估。6.4.2.1企業應針對監督檢查發現的問題制定整改計劃，采取有效措施持續改進。——商業秘密不為公眾所知悉的證明，包括但不限于下列情形：7.1.2商業秘密的非公知性、同一性等——和解與調解；7.2.2涉及國家秘密的，應立即向當地公安機關、國家安全機關、保密行政管理部門報告并采取補救7.3.1企業可以通過協商和解方式解決商業秘密侵權糾紛，在和解協議中可以約定一定的賠償金額、7.3.2企業可以與侵權人雙方本著真實自愿的原則委托共同認可的政府機構或社會機構進行調解或由7.4.1企業可以向違法行為發生地的縣級以上市場監督管理部門舉報，應按照市場監督管理部門要求7.4.2企業可根據案件進展情況，在立案7.4.3經核查立案后，企業應積極配合市場監督管理部門進行詢問、現場檢查等調查取證7.6.1.1商業秘密民事案件可向有管轄權的人民法院提起民事訴訟，并提供初步證據，證據內容可參——已經發生法律效力的民事判決、裁定、調解書符合《中華人民共和國民事訴訟法》第二百零商業秘密侵權案件造成企業損失情況符合《最高人民檢察院公安部關于修改侵犯商業秘密刑事案8.1.1提供商業秘密保護服務的機構可以是行政管理部門、行業組織、第三方社會服務機構等。8.1.3提供商業秘密保護服務的相關人員應具備商業秘密保護的專業知識，能及時解決企業在商業秘8.2.2商業秘密保護宣傳推廣可通過制作宣傳手冊、派發宣傳單張、拍攝宣傳視頻等形式，借助報刊8.2.3可對具有社會影響力、示范意義較8.3.1服務機構應制定培訓方案和計劃，定期組織企業、服務機構工作人員開展商業秘密保護培訓。8.3.3可對企業不同層次人員開展商業秘密保護專題培——對企業從事商業秘密保護工作的專（兼）職人員、重點崗位人員開展商業秘密保護實務及案——對企業員工開展商業秘密保護知識培訓和警示教育。8.3.4對服務機構相關部門工作人員可開展商業秘密保護技能和服務意識提升培訓。8.4.1服務機構可開展商業秘密保護指導工作，解答企業商業秘密保護專業知識咨詢，為企業提供商8.4.3服務機構可指導企業開展商業秘密保護風險與合規排8.4.4服務機構可引導并協助企業做好公證——協助做好調解工作。——開發、部署和維護涉密文件、數據的信息管理系統；——提供技術信息的非公知性、同一性和損失數額的鑒定評估；A.1.1企業宜對確定的商業秘密進行核查、評估，將商業秘密劃分等級，商業秘密的評估可考慮以下——其他影響秘密分級的因素。A.1.2商業秘密泄漏后有可能影響國家安全和利益的，應依法定程序將其確定為國家秘密。A.2.1企業宜建立商業秘密清單，包括商業秘密名稱、主題、密級、保密期限、知悉范圍、載體、權A.3措施A.3.1人員管理A.3.1.1入職管理——做好商業秘密保護教育和培訓，在培訓結束后宜進行考核，保存相關A.3.1.2履職管理——定期進行保密教育培訓，并保存培訓記錄。A.3.1.3離職管理——在員工轉崗、離職前主動告知保密義務及違規責任，告知其不應有以下行為：——開展離職檢查并做好書面記錄，檢查內容包括：——及時通知與轉崗、離職員工有關的供應商、客戶、合作單位等，告知工作交接情況；——向已簽訂競業限制協議的員工書面送達競業限制告知書，告知其保密義務和競業限制義務，并在法定期限內發放競業限制補償金，如不需要員工競業限制的，及時書面告知A.3.2載體管理——涉密非移動電子載體宜禁用移動存儲、光驅、藍牙等數據傳輸功能，未經權限審批不得隨意——涉密移動電子載體宜設置身份識別等加密措施，不可接入非涉密或未采取保密措施的電子設——對涉密電子載體的制作、使用、保存、維修、銷毀實施全生命周期管理，履行審批和登記手——涉密電子載體不可擅自外送維修，外送維修前宜經商業秘密保護部門審批，并拆卸涉密存儲A.3.2.2紙質文檔管理——存放在涉密區域內并由專人管理；A.3.2.3信息系統管理——對涉密信息系統實行分層權限管理，以“最小夠用”原則設定權限：——在涉密信息系統內設置保密義務提醒；——定期對涉密信息系統的數據、日志等進行備份并妥善保管；——信息系統的管理員權限宜在不同員工之間進行分配，避免由超級管理員管理整個系統或若干——對涉密電子數據設置加密措施，加密措施宜與載體有所區別，形成二次加密；——指定專人進行解密操作，員工按權限使用加密數據；——通過郵件發送涉密數據時，宜加密和簽名，可限定打開次數、打開時限和編輯權限；——宜對涉密數據拷貝采取限制措施，拷貝宜履行審批手續并妥善保存拷貝記錄；——涉密電子數據宜做好公證、第三方存證、電子存證等證據固定；——涉密電子數據銷毀時宜確保徹底永久刪除，避免可通過其他技術手段進行數據恢復。A.3.4物品管理——使用涉密物品宜履行審批和登記手續；——宜對重要原料、部件等實行編號替代、分部門管理等管理方式；——涉密項目的不良品宜交由專人處理，不可隨意丟棄。A.3.5.1宜列為涉密區域的地點或部門包括但不限于：A.3.5.2對涉密區域的管理措施包括但不限于：——出入涉密區域人員宜履行權限審批和登記手續；——必要時采取網絡隔離阻斷。A.3.6商務活動管理——隱藏或刪除涉密信息；A.3.6.2訪問、參觀、檢查——來訪人員應履行審批和登記手續；——宜安排專人陪同訪問、參觀，限制拍照、錄音、錄像、信息存儲等行為；——政府部門因檢查、監督等工作需要接觸A.3.6.3商務合作——開展商務合作等活動時，宜與相關方或人員簽訂保密協議約定保密義務；——可對合作過程進行控制，對涉密信息或物品的使A