DB34T 4533-2023 企業(yè)商業(yè)秘密管理體系 要求

ICS03.100.01CCSICS03.100.01CCSA01安 徽 省 地 方 標 準DB34/T4533—2023企業(yè)商秘密管體系 要求發(fā)布安徽省市場監(jiān)督管理局2023發(fā)布安徽省市場監(jiān)督管理局2023083120230731DB34/T4533DB34/T4533—2023DB34/T4533DB34/T4533—2023目 次前言 III1范引文件 1語定義 1業(yè)處環(huán)境 2理企及處境 2理相方需期望 2確商秘管系的圍 2商秘管體系 3導用 3領作和諾 3商秘管方針 3企的色職權限 34應風和遇施 4商秘管目其實的劃 4變的劃 55資源 5能力 5意識 5溝通 6成信息 67策和制 7商秘的理 7涉事的理 7應準及應 7效價 8監(jiān)、量分評價 8內審核 8管評審 89不合糾措施 9持改進 9III附錄A（料） 涉事項理施例 10II參考獻 13IIIIII前 言本文按照GB/T1.1—2020《標化作導則 第部分標準文的結和起規(guī)則的起草。請注意本文件的某些內容可能涉及專利。本文件的發(fā)布機構不承擔識別專利的責任。本文件由安徽省市場監(jiān)督管理局反壟斷和反不正當競爭執(zhí)法局提出。本文件由安徽省市場監(jiān)督管理局歸口。本文件主要起草人：駱輝、鄭文寶、黃靜、陶學明、羅偉、何勇、黃媛、于學萍、朱珠、胡冠宇、王潤杰、李必君、王迎宵。DB34/T4533DB34/T4533—2023DB34/T4533DB34/T4533—2023企業(yè)商業(yè)秘密管理體系 要求范圍本文件規(guī)定了企業(yè)建立、實施、保持和持續(xù)改進商業(yè)秘密管理體系的要求。本文件適用于具有下列意愿的企業(yè)：本文件適用于各種類型、規(guī)模的企業(yè)。高校、科研單位、社會團體等其他組織可參照使用。本文件適用于合格評定活動。（1最高1最高理者 topmanagement3.4組織 organizationGB/T19000-2016，3.2.1]3.3管理系 managementsystem組織建立方針和目標以及實現(xiàn)這些目標的過程的相互關聯(lián)或相互作用的一組要素。注1：一個管理體系可以針對單一的領域或幾個領域，如質量管理、財務管理或環(huán)境管理。注2：管理體系要素規(guī)定了組織的結構、崗位和職責、策劃、運行、方針、慣例、規(guī)則、理念、目標，以及實現(xiàn)這些目標的過程。注3：管理體系的范圍可能包括整個組織，組織中可被明確識別的職能或可被明確識別的部門，以及跨組織的單一職能或多個職能。[來源：GB/T19000-2016，3.5.3]3.2商業(yè)密 tradesecretsDB34/T4317-2022，3.1]3.1GB/T19000界定的以及下列術語和定義適用于本文件。3 注1：最高管理者在組織內有授權和提供資源的權力。注2：如果管理體系的范圍僅覆蓋組織的一部分，在這種情況下，最高管理者是指管理和控制組織的這部分的一個人或一組人。[來源：GB/T19000-2016，3.1.1]3.5目標 objective要實現(xiàn)的結果。注1：目標可以是戰(zhàn)略的、戰(zhàn)術的或操作層面的。注2：目標可以涉及不同的領域，并可應用于不同的層次。注3：目標可以采用其他的方式進行表述，例如：采用預期的結果、活動的目的或運作準則，或使用其他有類似含意的詞（如：目的、終點或標的）。[來源：GB/T19000-2016，3.7.1]3.6相關方 interestedparty；stakeholderGB/T19000-2016，3.2.3]3.7績效 performance可測量的結果。注1：績效可能涉及定量的或定性的結果。注2：績效可能涉及活動、過程、產品、服務、體系或組織的管理。[來源：GB/T19000-2016，3.7.8]企業(yè)應確定與其宗旨相關并影響其實現(xiàn)商業(yè)秘密管理體系預期結果的能力的各種外部和內部因素：注：這些因素可能包括需要考慮的正面和負面要素或條件。企業(yè)應確定：企業(yè)應監(jiān)視和評審這些相關方的信息及其相關要求。24.14.2件等；最高管理者應通過以下方面，證實其對商業(yè)秘密管理體系的領導作用和承諾：最高管理者應建立、實施和保持商業(yè)秘密管理方針，該方針應：3策劃總則4.14.24.34.14.2——確保商業(yè)秘密管理體系實現(xiàn)預期結果；——增強有利影響；——預防或減少不期望的影響；——實現(xiàn)持續(xù)改進。6.1.1.4 6.1.1.4 ——需要應對的風險和機遇；——6.1.1~6.1.3中所需的過程，其詳盡程度應確保這些過程和措施能按策劃得到實施?！虡I(yè)秘密相關風險，如泄漏風險、侵權風險（包括被侵權和被指控侵權風險）等；——商業(yè)秘密相關機遇；——風險和機遇的評估準則。企業(yè)應策劃：如何：當策劃措施時，企業(yè)應考慮最佳實踐、可選技術方案以及財務、運行和經營等要求。6.2 4企業(yè)應在相關職能和層級上建立商業(yè)秘密管理目標。該目標應：（）；企業(yè)應保留商業(yè)秘密管理目標的成文信息。在策劃如何實現(xiàn)商業(yè)秘密管理目標時，企業(yè)應確定：資源資源注：基礎設施設備可包括：建筑物、固定辦公場所和相關設施，及硬件、軟件、信息技術、通訊手段、監(jiān)視測量設備等。能力企業(yè)應：注：人員能力可包括職業(yè)道德、職業(yè)素養(yǎng)、專業(yè)知識、專業(yè)學歷等。意識企業(yè)應確保在其控制下的人員理解：57 支持當企業(yè)確定需要對商業(yè)秘密管理體系進行變更時，變更應按所策劃的方式實施。溝通——應將其商業(yè)秘密管理方針、目標、義務和保密文化納入溝通內容；——應確保所溝通的信息與來源于商業(yè)秘密管理體系的信息一致且可信。企業(yè)的商業(yè)秘密管理體系成文信息包括：企業(yè)的商業(yè)秘密管理體系成文信息包括：注：通常包括商業(yè)秘密管理方針、商業(yè)秘密管理目標、商業(yè)秘密管理文件等。在創(chuàng)建和更新成文信息時，企業(yè)應確保適當?shù)模海ǎ?；形式）（）；）?7.5.3.4 運行6企業(yè)應按照8.1的要求開展商業(yè)秘密的管理工作，包括但不限于：企業(yè)應定期對商業(yè)秘密管理措施進行評審。企業(yè)應按照8.1的要求開展涉密事項的管理工作，包括但不限于：（）；企業(yè)應定期對涉密事項管理措施進行評審。附錄A給出了涉密事項管理措施。為了對6.1.1中所識別的潛在緊急情況進行應急準備，企業(yè)應建立、實施并保持所需的過程，包括：7企業(yè)應對已發(fā)生或疑似發(fā)生的泄密、侵權等緊急情況做出響應，包括但不限于：/DB34/T431789.1.3 89.1.3 總則企業(yè)應按照策劃的時間間隔進行內部審核，以提供下列信息：企業(yè)應：總則策劃和實施管理評審時應考慮：管理評審的輸出應包括與下列事項相關的決定和措施：99糾正措施應與所發(fā)生的不符合造成影響的重要程度相適應。10 改進附錄A（資料性）涉密事項管理措施示例下面給出了涉密事項管理措施的示例。XX公司涉密事項管理措施……一、涉密人員管理應對涉密人員進行保密管理：應對在職人員進行管理，建立涉密人員名單，實施分級管理；定期開展保密教育培訓，對……應保留涉密人員管理的成文信息。二、涉密載體管理應對涉密載體進行保密管理：涉密載體的使用（包括查閱、借閱、復印、拷貝等）涉密載體應保存在涉密區(qū)域的專用設備中，并由專人負責保管；涉密載體的維修，應指定10專人全程現(xiàn)場監(jiān)督；進行；……應保留涉密載體管理的成文信息。三、涉密物品管理應對涉密物品進行保密管理：貼（懸掛）……應保留涉密物品管理的成文信息。四、涉密區(qū)域管理應對涉密區(qū)域進行保密管理：應識別企業(yè)所有涉密區(qū)域，確定涉密區(qū)域的范圍，并在醒目位置粘貼（懸掛）涉密區(qū)域指應對涉密區(qū)域人員、物資進出實行登記管理，未經審批或授權嚴禁人員進入和物資離開；涉密區(qū)域如需接待外來人員，應指派保密人員全程陪同，并告知保密注意事項和要求；必……應保留涉密區(qū)域管理的成文信息。111212五、涉密商務活動管理五、涉密商務活動管理應對涉密商務活動進行管理：應制定涉密商務活動管理制度，明確涉密商務活動中信息發(fā)布、涉密會議、商業(yè)活動、對應對信息發(fā)布實施保密審查，明確人員職責權限，對新聞稿件、展覽展會宣傳資料、著作應對涉密會議實施商業(yè)秘密管理，選擇具有保密條件的場所，限定參會人員范圍，簽訂保密協(xié)議或承諾書；涉密文件資料應有明顯保密和會后回收標識，會后應及時收回、清點和登記。應對涉密的采購、銷售、委托開發(fā)、委托生產、參展等商業(yè)活動實施商業(yè)秘密管理，開展應對技術合作、商務合作、共同研究等對外合作實施保密管理，簽訂合作合同，約定原始商業(yè)秘密以及在共同開發(fā)、改進或二次開發(fā)中形成的商業(yè)秘密的內容、歸屬、管理責任和保密義務；應對企業(yè)并購或重組、技術許可或轉讓等產權交易活動實施商業(yè)秘密管理，清理和登記現(xiàn)……應保留涉密商務活動管理的成文信息。1313參 考 文 獻GB/T19001-2016 GB/T20001.11-2022 11[3]GB/T22080-2016