DB51T 2874-2022 檢驗檢測機構(gòu)保護客戶秘密實施指南

DB512022-02-24發(fā)布I 2 3 5 5 6 6本文件按照GB/T1.1—2020《標準化工作導則第1部分：標準化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定1檢驗檢測機構(gòu)保護客戶秘密實施指南GB17859-1999計算機信息系統(tǒng)安全保護等GB/T27025檢測和校準實驗室能力的通用RB/T214檢驗檢測機構(gòu)資質(zhì)認定能力評價檢驗檢測機構(gòu)關系國家安全和利益，依照法定程序確定，在2注：個人信息包括：自然人的姓名、出生日期、身份證件號碼、生物識別信涉密人員secret-relatedper涉密的載體secret-relatedc4.1檢驗檢測機構(gòu)應依據(jù)國家保密相關法規(guī)及相關標準建立保護客戶秘密的制度，制定保護客戶秘密4.2檢驗檢測機構(gòu)在實驗室活動中獲得的或產(chǎn)生的以下信息，均為客戶秘密：——客戶提交檢測的資料及樣品，工藝流程、設計圖紙、技術依據(jù)、外觀設計（照片）、產(chǎn)品技——客戶要求其他保密的信息或者特別規(guī)定的保密信息。4.2.1客戶秘密保密要求由客戶提出，必要時簽訂《保密協(xié)議》對保密內(nèi)容和期限進行約定，機構(gòu)應根據(jù)法律規(guī)定或雙方約定并按以下原則采取相應保密a)涉及國家秘密，應按照《中華人民共和國保守國家秘密法》、《中華人民共和國保守國家秘b)涉及客戶的商業(yè)秘密，按照協(xié)議約定履行保密義務.c)涉及自然人的個人信息，應按照《個人信息保護法》及相關法律法規(guī)執(zhí)行4.3如需對外披露客戶秘密，以下要求需注意：3b)建立對外披露客戶秘密審批責任，明c)對披露客戶秘密進行檢查，發(fā)現(xiàn)問題，立即采取補救措施。4.4涉密區(qū)域管理，根據(jù)機構(gòu)實際情況有條件的機構(gòu)可設置門禁、視頻監(jiān)控裝置；可適時采用信息化4.5機構(gòu)涉密人員內(nèi)部溝通時，應盡量避免在任何社交媒體、即時通訊軟件私自傳輸，發(fā)送涉及客戶5涉及客戶秘密的過程識別及管理5.1檢驗檢測機構(gòu)與客戶信息（不論是獲取還是工作過程產(chǎn)生的）有接觸的任何個人和任何活動論是內(nèi)部還是外部，都應視為涉密，納入保護客戶秘5.2檢驗檢測機構(gòu)在合同評審階段，應與客戶就保密事項和要求予以約定，將約定內(nèi)容納入合同或協(xié)議中，如有必要可另行簽訂專門的保密合同，專項約定保密內(nèi)容5.3檢驗檢測機構(gòu)應保留合同履行過程中保護客戶秘密的記錄。5.4內(nèi)部活動中客戶秘密的保護5.4.1分包,將任務分包給滿足要求的檢驗檢測機構(gòu)時，確保但不限于以下措施得以實施：b)應對保密要求及內(nèi)容用合同的形式予以約定，必要時簽訂專門的保密協(xié)議，約定保密內(nèi)容及b)應對保存在設備或電腦中的信息進行加密；a)應確保其他客戶的機密得到保護；b)檢驗檢測機構(gòu)應對客戶進入檢驗檢測現(xiàn)場的區(qū)域和路線進行限定，并經(jīng)過相應審批；45.4.4投訴a)應在客戶和實驗室間保密；b)除非信息的提供方同意，實驗室應為信息提供方（來源c)檢驗檢測機構(gòu)應限定知悉人員的范圍，與活動無關的人員無權(quán)知悉；d)在調(diào)查處理時，必要時可將信息拆分，分別告知辦理投訴相應職責人員。a)應對登陸系統(tǒng)操作人員進行審批；b)應根據(jù)崗位職責對可操作范圍和內(nèi)容給定權(quán)限范圍；d)應對登陸操作特別是刪除、拷貝、傳輸?shù)冗M行記錄。完整性并為客戶保密，確保但不限于以下措a)樣品接收人員應按客戶要求并遵照合同約定對樣品進行分類，及時入庫并妥善保管；b)有條件的檢驗檢測機構(gòu)可配置實時音視頻記錄裝置，用于從樣品接收、入庫、流轉(zhuǎn)全過程記d)在對樣品進行清理和處置中，應做好登記，待審批后采取相應措施予以處置；e)需清理和處置的樣品，應對其標簽標識盡量涂抹損壞至不便于識別；h)在檢測過程中，可采用防護屏風或防護罩等措施適當隔a)應有客戶要求的記錄；b)如使用電子郵箱發(fā)送，應發(fā)送至客戶指定的電子郵箱，發(fā)送前應對郵箱的正確性再次確認，c)盡量避免使用如微信或QQ此類即時通訊軟件為客5.5外部活動中客戶秘密的保護5.5.1除內(nèi)部檢驗檢測活動外，檢驗檢測機構(gòu)因為機構(gòu)間合作、資質(zhì)獲取、發(fā)展需要等事項而開展的55.5.2應制定相應管理文件并采取適宜的保護措施，對外來參觀人員、審核人員、合同方人員進入實a)當外來人員到本檢驗檢測機構(gòu)參觀、學習時，應對樣品或結(jié)果予以控制和保護,參見本文件——必要時，應對出租或租用設備設施區(qū)域采取適當措施予以隔離；c)外部評審，檢驗檢測機構(gòu)接受第二方或第三方評審時，應對需保密的事項、需保密區(qū)域以及檢驗檢測機構(gòu)應采取相應措施對內(nèi)部涉密人員進行相應的管理，包括但不限于以下措施：b)保密培訓，對機構(gòu)內(nèi)部涉密人員開展保密教育和培訓，確保其了解保密的責任和義務，包括1)離職面談，告知員工負有的保密義務，以d)根據(jù)知悉需要，將涉及客戶秘密的完整事項分割，進行分段化管理。7.1建立涉密載體臺賬，實施涉密載體的制作、收發(fā)、傳遞、使用、復制、保存、維修、銷毀的全生命周期管理，防止未授權(quán)的使用、訪問，防止a)制作過程的保護措施和管理權(quán)限；6b)存放在相應區(qū)域的涉密載體，使用門7.5涉密載體在需要復制時，應符合a)履行審批、登記手續(xù)；b)定期清查、核對涉密載體；c)維修維護一般由本檢驗檢測機構(gòu)機構(gòu)專人負責，確需外部人員現(xiàn)場維修的，應指定專人全程d)銷毀涉密載體應履行審批手續(xù)，并進行清點和登記；e)已銷毀的涉密載體中的秘密信息無法還檢驗檢測機構(gòu)要把機構(gòu)保密過程納入風險管理，每年至少進行一次風險評