T-BJWX 005-2024 保密管理規(guī)范

ICS03.080.01CCSA16團體標準T/BJWX005—2024保密管理規(guī)范Specificationforconfidentialitymanagement2024?06?06發(fā)布2024?07?07實施北京物業(yè)管理行業(yè)協(xié)會發(fā)布ⅠT/BJWX005—2024前言 1范圍 2規(guī)范性引用文件 3術(shù)語和定義 4基本原則 5基本要求 6人員保密管理 7服務(wù)保密管理 8評價與改進 附錄A（資料性）保密協(xié)議書 參考文獻 ⅢT/BJWX005—2024本文件按照GB/T1.1—2020《標準化工作導則第1部分：標準化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。請注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機構(gòu)不承擔識別專利的責任。本文件由北京物業(yè)管理行業(yè)協(xié)會提出并歸口。本文件主編單位：北京安恒泰物業(yè)管理有限公司。本文件參編單位：北京中航大北物業(yè)管理有限公司、中電科（北京）物業(yè)管理有限公司、北京信科聯(lián)物業(yè)管理有限公司。1T/BJWX005—2024保密管理規(guī)范本文件規(guī)定了物業(yè)管理的保密管理基本要求、人員保密管理、服務(wù)保密管理及評價與改進。本文件適用于物業(yè)服務(wù)企業(yè)涉及的保密管理工作。2規(guī)范性引用文件本文件沒有規(guī)范性引用文件。3術(shù)語和定義下列術(shù)語和定義適用于本文件。3.1秘密secret關(guān)系國家、機關(guān)企事業(yè)單位及個人利益，有所隱蔽、不為人知的非公開信息。注：本文件中所指秘密包括國家秘密、工作秘密、商業(yè)秘密、個人隱私（業(yè)主及物業(yè)使用人）等。3.2保密管理confidentialitymanagement對物業(yè)管理可能接觸、使用、掌握的秘密進行保護的綜合性管理活動。注：本文件中所指保密管理的對象不等同于機關(guān)單位保護的國家秘密，但保密管理能借鑒保守國家秘密的某些要求。3.3涉密載體secretcarrier用于存儲、傳輸、處理秘密信息的各種紙質(zhì)介質(zhì)、物理介質(zhì)和電子設(shè)備。3.4涉密物品secretobject含有秘密信息的設(shè)備、原材料和產(chǎn)品等。3.5涉密區(qū)域secretarea存儲、處理或討論秘密信息的物理區(qū)域。注：包括物業(yè)服務(wù)區(qū)域內(nèi)業(yè)主或物業(yè)使用人的重點涉密區(qū)域和物業(yè)服務(wù)企業(yè)的內(nèi)部涉密區(qū)域。4基本原則4.1合法合規(guī)以國家和地方保密管理法律法規(guī)為依據(jù)和準則開展保密管理工作。2T/BJWX005—20244.2預防為主采取各種有效措施，控制和預防保密問題的產(chǎn)生。4.3層層落實層層傳達壓力，層層落實責任，形成具體的、環(huán)環(huán)相扣的保密管理責任鏈條。4.4全面覆蓋對物業(yè)管理和物業(yè)管理從業(yè)人員全面覆蓋保密管理要求。5基本要求5.1管理目標應(yīng)策劃、建立并組織實現(xiàn)保密管理目標。該目標應(yīng)具有適用性，應(yīng)可測量和監(jiān)視，應(yīng)適時評估和更新。包括各級機構(gòu)及人員履行保密管理職責應(yīng)實現(xiàn)的目標及業(yè)主和物業(yè)使用人對保密工作的滿意程度等。5.2管理要求保密管理滿足以下要求：a）應(yīng)科學處理保密、效率、成本三者之間的平衡關(guān)系；b）應(yīng)分析確定保密管理的重點部門和重點崗位，應(yīng)識別重點涉密區(qū)域和內(nèi)部涉密區(qū)域，配備并維護保密管理所需的設(shè)施設(shè)備；c）應(yīng)組織開展保密管理培訓，增強保密管理意識和能力；d）與物業(yè)服務(wù)專業(yè)供應(yīng)商簽訂的合同條款中應(yīng)規(guī)定保密管理要求，或與其單獨簽訂保密協(xié)議；e）應(yīng)形成并保留保密管理記錄。5.3組織機構(gòu)應(yīng)設(shè)立保密管理組織機構(gòu)，職責包括：a）確立保密管理目標；b）制定保密管理制度；c）組織實施保密管理；d）配置保密管理所需物資、人力及財務(wù)資源；e）組織實施保密管理宣傳、培訓及考核；f）組織實施保密管理監(jiān)督檢查；g）處置泄密應(yīng)急事件；h）組織實施保密管理評價與改進。5.4管理制度應(yīng)根據(jù)實際情況制定保密管理制度，包括人員保密管理規(guī)定、涉密載體管理規(guī)定、涉密區(qū)域管理規(guī)定、服務(wù)保密管理規(guī)定、保密管理獎懲規(guī)定、供應(yīng)商保密管理規(guī)定、泄密事件應(yīng)急處置預案、保密管理檢查規(guī)定、保密管理評估規(guī)定等。3T/BJWX005—20246人員保密管理6.1人員職責應(yīng)依據(jù)保密管理目標、制度，制定保密管理計劃、保密管理方案，落實并完善保密管理。6.2入職管理6.2.1員工入職前，應(yīng)審查與保密相關(guān)的工作經(jīng)歷和知識儲備，應(yīng)具備勝任崗位保密工作能力。6.2.2員工入職時，應(yīng)簽訂保密協(xié)議書，告知保密內(nèi)容、保密責任、保密期限及法律責任等重要信息，相關(guān)內(nèi)容見附錄A。6.3保密培訓6.3.1應(yīng)對新入職員工進行入職保密培訓，對全體員工進行崗位保密培訓，對重要崗位員工進行專項保密培訓。6.3.2保密培訓內(nèi)容應(yīng)包括保密相關(guān)法律法規(guī)及政策、保密管理制度、保密管理知識、保密管理技術(shù)及失泄密警示案例等。6.3.3宜采取發(fā)放資料、集中培訓、線上培訓及線上和線下相結(jié)合等方式進行保密培訓。6.4履職管理6.4.1為使崗位接觸的相關(guān)秘密不被泄露，應(yīng)達到下列要求：a）獲取、使用、披露接觸的重點涉密載體要履行登記手續(xù)、獲得授權(quán)或取得臨時審批；b）避免非授權(quán)人員獲取本崗位的秘密信息；c）不進入非授權(quán)區(qū)域；d）不使用非授權(quán)設(shè)備、網(wǎng)絡(luò)、賬號。6.4.2應(yīng)使崗位接觸的秘密信息在可控范圍，以提供監(jiān)視和測量依據(jù)，防止出現(xiàn)下列行為：a）超范圍、超權(quán)限或以不當方式獲取、使用、披露涉密載體；b）復制、發(fā)送涉密電子信息；c）進入非授權(quán)涉密區(qū)域。6.5離職管理6.5.1應(yīng)對重要保密管理崗位離職員工采取離職管控措施，保障相關(guān)涉密資料安全性。6.5.2應(yīng)要求離職員工移交所有涉密載體、涉密物品、賬戶信息、工作電腦、門禁卡等。6.5.3應(yīng)回收并注銷離職員工所有的域名、應(yīng)用系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)、門禁系統(tǒng)賬號或訪問權(quán)限，及時通知與離職員工業(yè)務(wù)相關(guān)者進行工作交接。7服務(wù)保密管理7.1涉密載體管理7.1.1應(yīng)識別涉密載體并對重點涉密載體和內(nèi)部涉密載體進行管控。7.1.2內(nèi)部涉密載體包括涉密紙質(zhì)文件、涉密電子信息及涉密物品等。b）應(yīng)對設(shè)備、數(shù)據(jù)庫和應(yīng)用系統(tǒng)及其賬戶實行權(quán)限管理和口令管理。4T/BJWX005—2024c）涉密電子信息使用云儲存時，應(yīng)嚴格考察其保密性、安全性、穩(wěn)定性，并就保密管理要求和責任與平臺做出明確約定。d）需要超出權(quán)限查閱或使用涉密數(shù)據(jù)的，應(yīng)履行審批手續(xù)。在查閱或使用完成后，應(yīng)予以刪除，不因非工作需要而擅自使用。f）涉密信息存放的硬盤、光盤、磁性介質(zhì)、U盤等存儲設(shè)備，應(yīng)妥善保存、歸檔登記。g）與獲取涉密物品相關(guān)的密鑰、門禁卡、鑰匙，應(yīng)由專人妥善保存。7.2涉密區(qū)域管理7.2.1應(yīng)識別業(yè)主及物業(yè)使用人涉密區(qū)域并作為重點涉密區(qū)域進行管理。7.2.2應(yīng)識別物業(yè)服務(wù)企業(yè)涉密區(qū)域并作為內(nèi)部涉密區(qū)域進行管控。7.3秩序維護管理7.3.1涉密區(qū)域應(yīng)具備人防、物防、技防結(jié)合的安全保密防范措施。涉密區(qū)域入口處應(yīng)張貼涉密區(qū)域門禁。7.3.2重點涉密區(qū)域應(yīng)按照業(yè)主及物業(yè)使用人要求對外來人員和物品進行出入管理。7.3.3應(yīng)采取相應(yīng)措施，避免出現(xiàn)以下泄密情形：a）泄露涉密區(qū)域的現(xiàn)場情況及相關(guān)信息；b）泄露涉密區(qū)域的保密設(shè)備設(shè)施及保密管理現(xiàn)狀；c）泄露業(yè)主及物業(yè)使用人的個人信息。7.4保潔管理7.4.1涉密區(qū)域保潔時，應(yīng)兩人以上同行進入，互相監(jiān)督。7.4.2進入重點涉密區(qū)域，業(yè)主或物業(yè)使用人安排人員全程陪同，不應(yīng)攜帶手機等移動通信設(shè)備或手表等智能穿戴設(shè)備，未經(jīng)允許不可私自挪動、翻看、拿取室內(nèi)物品。7.4.3在重點涉密區(qū)域垃圾廢棄物中，發(fā)現(xiàn)內(nèi)部文件資料應(yīng)及時報告，并按規(guī)定處置。7.4.4重點涉密區(qū)域消殺時，應(yīng)提醒并檢查保密專用柜、計算機、U盤、文件資料等電子設(shè)備和載體關(guān)閉和收納情況，不可隨意觸碰涉密區(qū)域內(nèi)物品。7.5設(shè)施設(shè)備維修養(yǎng)護管理7.5.1應(yīng)合理安排涉密區(qū)域維修養(yǎng)護的時間，維修時應(yīng)兩人以上同行，互相監(jiān)督。7.5.2進入重點涉密區(qū)域，業(yè)主或物業(yè)使用人安排人員全程陪同，不應(yīng)攜帶手機等移動通信設(shè)備或手表等智能穿戴設(shè)備，未經(jīng)允許不可私自挪動、翻看、拿取室內(nèi)物品。7.5.3對涉密區(qū)域的設(shè)施設(shè)備進行巡查、維修、養(yǎng)護時，應(yīng)履行審批手續(xù)，獲得批準后進行。7.6會議服務(wù)管理7.6.1按照規(guī)定，在會議舉辦前協(xié)助進行針對涉密會議、活動的場所及周邊環(huán)境的保密檢查和技術(shù)防護，對會議駐地采取保密管理措施。7.6.2按照規(guī)定，在會議進行期間配合提供會場保密保障，對會議駐地進行保密巡查，指派專人負責設(shè)備管理和調(diào)試。涉密會議服務(wù)應(yīng)由專人負責提供服務(wù)，遵守嚴禁使用無線通信設(shè)備和智能穿戴設(shè)備的規(guī)定，會議中途嚴禁進入會場。5T/BJWX005—20247.6.3涉密會議結(jié)束后進行會場檢查，對現(xiàn)場遺留涉密文件、涉密資料、涉密物品，應(yīng)及時報告，不應(yīng)私7.6.4涉密會議結(jié)束后不應(yīng)泄露會議內(nèi)容及有關(guān)涉密信息。8評價與改進8.1監(jiān)督檢查8.1.1應(yīng)制定保密管理監(jiān)督檢查方案，對保密管理進行監(jiān)督檢查，形成結(jié)論。8.1.2保密管理監(jiān)督檢查方案應(yīng)包括監(jiān)督檢查的內(nèi)容和方法、職責和權(quán)限、頻次和時限，以及監(jiān)督檢查結(jié)果運用的整改、問責、獎懲等。8.1.3保密管理監(jiān)督檢查內(nèi)容應(yīng)包括各部門保密管理職責落實情況、保密管理制度執(zhí)行情況、人員保密管理情況及服務(wù)保密管理情況等。8.2持續(xù)改進8.2.1評估應(yīng)對保密管理進行評估，使相關(guān)秘密均在受控保護范圍內(nèi)：a）應(yīng)監(jiān)測保密管理目標的實現(xiàn)程度；b）應(yīng)評估保密管理的適宜性、充分性和有效性；c）應(yīng)評估各級組織機構(gòu)及人員履行保密管理工作職責的結(jié)果；d）應(yīng)評估業(yè)主及物業(yè)使用人關(guān)于保密工作的需求和要求得到滿足的程度。8.2.2改進8.2.2.1應(yīng)分析評估結(jié)果，以確定是否存在泄密風險和安全隱患。8.2.2.2應(yīng)將存在的風險和隱患作為保密管理改進的一部分加以應(yīng)對，評估是否需要采取糾正措施、變更保密管理體系等，實現(xiàn)對秘密的有效保護。6T/BJWX005—2024（資料性）保密協(xié)議書甲方（物業(yè)服務(wù)企業(yè)法定代表人：地址：乙方（員工性別部門/職位：手機號碼：身份證號：通信地址：鑒于乙方在甲方任職，根據(jù)《中華人民共和國保守國家秘密法》《中華人民共和國勞動法》《中華人民共和國勞動合同法》及其他相關(guān)法律法規(guī)，甲乙雙方本著平等、自愿、公平和誠實信用的原則，就乙方在任職期間及離職以后保守秘密信息的有關(guān)事項，訂立本協(xié)議。第一條保密內(nèi)容本保密協(xié)議所指的保密信息包括但不限于：國家秘密、工作秘密、商業(yè)秘密、業(yè)主信息、技術(shù)信息、經(jīng)營信息等。第二條保密制度乙方應(yīng)保守國家秘密，不以任何形式泄露所掌握、知悉、管理的秘密。自覺接受各級保密管理部門的監(jiān)督和管理。在任職期間及離職后應(yīng)遵守甲方的保密管理相關(guān)制度。發(fā)現(xiàn)泄密隱患和發(fā)生泄密事件，立即向公司保密管理部門報告，及時采取補救措施，并協(xié)助、配合有關(guān)部門進行查處。遇到甲方保密管理制度中未規(guī)定或者規(guī)定不明確的情況時，乙方應(yīng)堅持守法合規(guī)、謹慎負責的原則，采取必要合理的措施，保守其于任職期間知悉或者持有的任何屬于甲方或者雖屬于第三方，但甲方承諾有保密義務(wù)的秘密。第三條保密責任除履行職務(wù)需要之外，未經(jīng)甲方按程序?qū)徟蚴孪葧嫱?，乙方不得獲取、使用、傳播、泄漏、公布、發(fā)表、傳播、轉(zhuǎn)讓、交換或者以其他任何方式，使任何第三方（包括無權(quán)知悉該項秘密的甲方員工）知悉屬于甲方或者屬于第三方、但甲方承諾有保密義務(wù)的秘密，也不得在履行職務(wù)之外使用這些秘密。第四條保密期限1.屬于國家秘密的保密期限按照國家秘密產(chǎn)生單位規(guī)定的期限執(zhí)行。2.乙方在甲方任職期間應(yīng)當遵守甲方的規(guī)章制度中關(guān)于保密的規(guī)定，履行保密職責。未經(jīng)甲方同意，乙方不得擅自披露和使用保密信息。3.勞動合同解除或終止，乙方承擔保密義務(wù)的期限為下列第種（未做選擇的，視為無限期保密（1）無限期保密，直至甲方宣布解密或者秘密信息實際上已經(jīng)公開2）有限期保密，保密期限自勞動合同解除或終止之日起的年期限內(nèi)。第五條涉密載體乙方因履職需要所持有或保管的一切記錄有甲方及其服務(wù)對象秘密信息的文件、資料、圖表、筆、儀器以及其他任何形式的載體均為涉密載體，歸甲方所有。乙方于離職時，或者于甲方提出要求時，應(yīng)當返還屬于甲方的一切涉密載體，不得將這些載體及其復制件擅自保留或交給其他任何單位或個人。第六條法律責任1.甲方有權(quán)要求乙方立即停止違反本協(xié)議所約定的保密義務(wù)的行為。2.若乙方在甲方任職期間違反保密義務(wù)，應(yīng)接受甲方的通報批評、降薪或辭退等處罰；若乙方自甲方離職后違反保密義務(wù)，應(yīng)一次性向甲方支付賠償金人民幣元。7T/BJWX005—20243.若乙方的違約行為造成甲方的實際損失，乙方應(yīng)當按照實際損失承擔賠償責任，上述損失賠償按照如下標準計算：（1）甲方因乙方的違反保密義務(wù)行為所受到的直接或間接經(jīng)濟損失；（2）如果甲方的損失依照前款所述的計算方法難以計算的，損失賠償額為乙方違反保密義務(wù)行為所獲得全部利潤；（3）甲方因調(diào)查乙方的違反保密義務(wù)行為、追索賠償以及解決糾紛所支出的合理費用，包括但不限4.因乙方違反保密義務(wù)導致甲方發(fā)生泄密事故的，甲方可以選擇根據(jù)本協(xié)議要求乙方承擔賠償責任，或者根據(jù)國家有關(guān)法律法規(guī)通過司法途徑要求乙方承擔賠償責任。5.乙方違反保密義務(wù)構(gòu)成犯罪的，由有關(guān)部門依法追究刑事責任。第七條爭議解決因本協(xié)議而產(chǎn)生的任何糾紛由雙方協(xié)商解決；如果協(xié)商不成，任何一方均可以向有管轄權(quán)的勞動爭議仲裁委員會申請仲裁。第八條保密津貼可根據(jù)企業(yè)實際對履行保密管理職責的員工發(fā)放保密津貼。第九條其他本協(xié)議正本一式兩份