《中小企業(yè)商業(yè)秘密安全保護(hù)規(guī)范》

ICS點(diǎn)擊此處添加ICS號(hào)

CCS點(diǎn)擊此處添加CCS號(hào)

T/BJHDSMEA0001—2023

團(tuán)體標(biāo)準(zhǔn)

中小企業(yè)商業(yè)秘密安全保護(hù)規(guī)范

Specificationforsecurityprotectionoftradesecrets

ofsmallandmedium-sizedenterprises

（征求意見(jiàn)稿）

XXXX-XX-XX發(fā)布XXXX-XX-XX實(shí)施

北京海淀中小企業(yè)協(xié)會(huì)??發(fā)布

T/BJHDSMEA0001—2023

中小企業(yè)商業(yè)秘密安全保護(hù)規(guī)范

1范圍

本文件是為了配合商業(yè)秘密相關(guān)法律法規(guī)的實(shí)施，同時(shí)適應(yīng)云計(jì)算、物聯(lián)網(wǎng)和大數(shù)據(jù)等新技術(shù)、新

應(yīng)用情況下商業(yè)秘密保護(hù)工作的開(kāi)展，對(duì)商業(yè)秘密保護(hù)安全措施提出有效可靠的安全保護(hù)內(nèi)容。文件主

要從商業(yè)秘密安全管理措施與商業(yè)秘密安全技術(shù)措施兩個(gè)方面提出相關(guān)要求，形成商業(yè)秘密保護(hù)技術(shù)基

本要求。

本文件適用于中小企業(yè)開(kāi)展商業(yè)秘密安全保護(hù)等相關(guān)活動(dòng)，其他類(lèi)型企業(yè)可參考執(zhí)行。

注：中小企業(yè)工信部《關(guān)于印發(fā)中小企業(yè)劃型標(biāo)準(zhǔn)規(guī)定的通知》。

2規(guī)范性引用文件

本文件沒(méi)有規(guī)范性引用文件。

3術(shù)語(yǔ)和定義

下列術(shù)語(yǔ)和定義適用于本文件。

3.1

商業(yè)秘密tradesecrets

不為公眾所知悉、具有商業(yè)價(jià)值并經(jīng)權(quán)利人采取相應(yīng)保密措施的技術(shù)信息、經(jīng)營(yíng)信息等商業(yè)信息。

注1：“不為公眾所知悉”和“具有商業(yè)價(jià)值”的具體內(nèi)容見(jiàn)《中華人民共和國(guó)反不正當(dāng)競(jìng)爭(zhēng)法》的規(guī)定。

注2：“相應(yīng)保密措施”的具體內(nèi)容見(jiàn)《最高人民法院關(guān)于審理侵犯商業(yè)秘密民事案件適用法律若干問(wèn)題的規(guī)定》。

3.2

商業(yè)秘密數(shù)據(jù)tradesecretdata

以電子方式存在的，一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，可能危害企業(yè)運(yùn)行、生

產(chǎn)經(jīng)營(yíng)、企業(yè)合法權(quán)益的數(shù)據(jù)。

3.3

3.4商密載體commercialsecretcarriers

以文字、數(shù)據(jù)、符號(hào)、圖形、圖像、視頻和音頻等方式記錄商業(yè)秘密信息的介質(zhì)。

注：包括磁性介質(zhì)、光盤(pán)、U盤(pán)、硬盤(pán)、服務(wù)器等電子存儲(chǔ)介質(zhì)（即涉密存儲(chǔ)介質(zhì)）和紙質(zhì)材料（即涉密紙質(zhì)文檔）。

3.5

3.6涉及商密的設(shè)備equipmentconcerningtradesecrets

處理或存儲(chǔ)商業(yè)秘密信息的臺(tái)式機(jī)、便攜機(jī)、一體機(jī)、平板等各類(lèi)計(jì)算機(jī)。

4概述

商業(yè)秘密保護(hù)措施主要從商業(yè)秘密安全管理措施與商業(yè)秘密安全技術(shù)措施兩個(gè)方面進(jìn)行體現(xiàn)。商業(yè)

秘密管理措施主要從組織保障、人員保障、數(shù)據(jù)分級(jí)、權(quán)限管理、日志留存、安全審計(jì)、應(yīng)急響應(yīng)、事

件處置、競(jìng)業(yè)管理、教育培訓(xùn)等方面進(jìn)行管理要求；商業(yè)秘密安全技術(shù)措施主要從商業(yè)秘密形成、商業(yè)

秘密存儲(chǔ)、商業(yè)秘密流轉(zhuǎn)、商業(yè)秘密加工、商業(yè)秘密傳輸、商業(yè)秘密提供、商業(yè)秘密脫敏等過(guò)程中不同

安全保護(hù)需求提出安全技術(shù)要求。

5商業(yè)秘密安全管理措施

5.1組織保障

商業(yè)秘密通用安全措施組織保障方面應(yīng)符合下列要求：

1

T/BJHDSMEA0001—2023

a)應(yīng)明確商業(yè)秘密管理職責(zé)部門(mén)，配備商業(yè)秘密安全管理人員，制定商業(yè)秘密制度規(guī)范及操作

規(guī)程，如商業(yè)秘密的保護(hù)、培訓(xùn)、宣傳、泄密應(yīng)急處置和獎(jiǎng)懲的管理制度，并實(shí)施商業(yè)秘密

保護(hù)措施，開(kāi)展商業(yè)秘密安全監(jiān)督檢查和考核管理；

b)企業(yè)根據(jù)自身商業(yè)秘密數(shù)據(jù)安全管理的實(shí)際情況，應(yīng)建立商業(yè)秘密定密管理規(guī)范和定密流程，

確定責(zé)任人、審核人、承辦人，并授予其相應(yīng)定密權(quán)限，確定單位的定密依據(jù)、定密細(xì)則等；

信息系統(tǒng)中的商業(yè)秘密應(yīng)根據(jù)定密結(jié)果設(shè)定相應(yīng)的密級(jí)標(biāo)識(shí)，密級(jí)標(biāo)注統(tǒng)一為“核心商密”、

“普通商密”；

c)應(yīng)建立商業(yè)秘密保護(hù)工作體系，明確商業(yè)秘密數(shù)據(jù)安全管理機(jī)構(gòu)，設(shè)置數(shù)據(jù)安全管理專(zhuān)職崗

位，明確商業(yè)秘密安全責(zé)任人，加強(qiáng)核心商業(yè)秘密處理崗位人員管理，如定期對(duì)核心商業(yè)秘

密處理崗位人員進(jìn)行專(zhuān)項(xiàng)培訓(xùn)、安全審計(jì)及應(yīng)急響應(yīng)等工作；相關(guān)人員應(yīng)負(fù)責(zé)具體承擔(dān)落實(shí)

商業(yè)秘密安全管理相關(guān)工作，包括不限于權(quán)限管理、日志留存、安全審計(jì)、應(yīng)急響應(yīng)、事件

處置和教育培訓(xùn)等工作；

d)應(yīng)結(jié)合所屬行業(yè)的商業(yè)秘密數(shù)據(jù)特征、數(shù)據(jù)處理場(chǎng)景等，制定商業(yè)秘密數(shù)據(jù)安全管理制度和

業(yè)務(wù)相關(guān)的數(shù)據(jù)安全策略和規(guī)程，明確商業(yè)秘密數(shù)據(jù)安全工作方針、目標(biāo)和原則，并對(duì)管理

制度執(zhí)行落實(shí)情況進(jìn)行監(jiān)督檢查和考核問(wèn)責(zé)，管理制度包括但不限于商業(yè)秘密數(shù)據(jù)安全管理

辦法、商業(yè)秘密數(shù)據(jù)分級(jí)規(guī)范、商業(yè)秘密數(shù)據(jù)安全審計(jì)辦法、商業(yè)秘密數(shù)據(jù)安全應(yīng)急管理制

度、商業(yè)秘密數(shù)據(jù)內(nèi)部登記審批制度等，并及時(shí)進(jìn)行修訂。

e)企業(yè)根據(jù)自身商業(yè)秘密數(shù)據(jù)的實(shí)際情況，應(yīng)明確商業(yè)秘密的經(jīng)營(yíng)特性或技術(shù)功能；確定信息

所屬領(lǐng)域并了解該領(lǐng)域的現(xiàn)實(shí)情況；簡(jiǎn)要梳理概括并簡(jiǎn)要表達(dá)無(wú)論是技術(shù)信息還是經(jīng)營(yíng)信息。

5.2人員保障

商業(yè)秘密通用安全措施人員保障方面應(yīng)符合下列要求：

a)處理商業(yè)秘密的人員應(yīng)簽署保密協(xié)議書(shū)（模板可參考附錄A）；

b)重要關(guān)鍵崗位應(yīng)嚴(yán)格規(guī)范人員錄用、調(diào)離過(guò)程，對(duì)被錄用人的身份、背景、專(zhuān)業(yè)資格和資質(zhì)

等進(jìn)行審查，對(duì)其所具有的技術(shù)技能進(jìn)行核查；

c)應(yīng)對(duì)安全保密教育和培訓(xùn)進(jìn)行書(shū)面規(guī)定，針對(duì)不同崗位制定不同的培訓(xùn)計(jì)劃，定期對(duì)各類(lèi)人

員進(jìn)行安全保密教育、崗位技能培訓(xùn)和相關(guān)安全技術(shù)培訓(xùn)，提高人員數(shù)據(jù)安全意識(shí)和專(zhuān)業(yè)技

能；

d)應(yīng)對(duì)安全教育和培訓(xùn)的情況和結(jié)果進(jìn)行記錄并歸檔保存；

e)應(yīng)根據(jù)人員角色（包括商業(yè)秘密處理人員、內(nèi)部人員、運(yùn)維人員等）加強(qiáng)對(duì)數(shù)據(jù)的訪問(wèn)控制；

f)應(yīng)加強(qiáng)核心商業(yè)秘密數(shù)據(jù)處理關(guān)鍵崗位的管理，將能獲知核心商密內(nèi)容的人員確定為關(guān)鍵崗

位人員，明確數(shù)據(jù)處理行為規(guī)范和安全保護(hù)責(zé)任，簽署保密承諾書(shū)（模板可參考附錄B）；

g)核心商密數(shù)據(jù)處理者，應(yīng)在商密數(shù)據(jù)安全管理責(zé)任部門(mén)中配備專(zhuān)門(mén)的數(shù)據(jù)安全管理和技術(shù)人

員，其他部門(mén)應(yīng)按照商業(yè)秘密數(shù)據(jù)安全職責(zé)及分工要求，明確專(zhuān)職或兼職的商密數(shù)據(jù)安全管

理和技術(shù)人員。

5.3數(shù)據(jù)分級(jí)

商業(yè)秘密通用安全措施數(shù)據(jù)分級(jí)方面應(yīng)符合下列要求：

a)企業(yè)在對(duì)商業(yè)秘密數(shù)據(jù)分級(jí)時(shí)，應(yīng)優(yōu)先考慮其秘密性和價(jià)值性，可以參考以下原則：

1)商業(yè)秘密應(yīng)是不為所屬領(lǐng)域相關(guān)人員普遍知悉和容易獲得的信息；

2)考慮商業(yè)秘密與企業(yè)主營(yíng)業(yè)務(wù)的關(guān)聯(lián)程度，泄露后對(duì)于企業(yè)的影響以及在現(xiàn)階段的市場(chǎng)

地位、技術(shù)先進(jìn)性及潛在的發(fā)展前景等，評(píng)估其經(jīng)濟(jì)價(jià)值?？蓪⒀邪l(fā)成本、合同價(jià)格或

市場(chǎng)前景分析等信息作為評(píng)估其經(jīng)濟(jì)價(jià)值的參考。

b)應(yīng)按照商業(yè)秘密數(shù)據(jù)一旦遭到泄露、篡改、破壞或者非法獲取、非法利用，對(duì)企業(yè)運(yùn)行、生

產(chǎn)經(jīng)營(yíng)、企業(yè)合法權(quán)益等造成的危害程度，將商業(yè)秘密所包含的商業(yè)秘密數(shù)據(jù)分為“核心商

密”和“普通商密”：

1)普通商密:數(shù)據(jù)一旦遭到泄露、篡改、破壞或者非法獲取、非法利用，可能對(duì)企業(yè)運(yùn)行、

生產(chǎn)經(jīng)營(yíng)、企業(yè)合法權(quán)益造成一般或嚴(yán)重危害；

2

T/BJHDSMEA0001—2023

2)核心商密:數(shù)據(jù)一旦遭到泄露、篡改、破壞或者非法獲取、非法利用，可能對(duì)企業(yè)運(yùn)行、

生產(chǎn)經(jīng)營(yíng)、企業(yè)合法權(quán)益造成特別嚴(yán)重危害，或者可能對(duì)公共利益、社會(huì)穩(wěn)定造成一般

危害。

5.4權(quán)限管理

商業(yè)秘密通用安全措施權(quán)限管理方面應(yīng)符合下列要求：

a)應(yīng)明確開(kāi)展商業(yè)秘密處理活動(dòng)的系統(tǒng)賬號(hào)分配、開(kāi)通、使用、變更、注銷(xiāo)等審批流程和操作

要求；

b)應(yīng)遵循安全策略和最小授權(quán)原則等進(jìn)行權(quán)限分配，對(duì)于開(kāi)展商業(yè)秘密處理活動(dòng)的平臺(tái)，采用

技術(shù)手段保障權(quán)限管理實(shí)施；

c)涉及數(shù)據(jù)重大操作的（例如數(shù)據(jù)批量復(fù)制、傳輸、使用加工、提供和銷(xiāo)毀等），應(yīng)采取多人

審批授權(quán)或操作監(jiān)控；

d)應(yīng)明確核心商業(yè)秘密處理權(quán)限審批、登記方式和流程，嚴(yán)格控制權(quán)限范圍，留存登記、審批

記錄；

e)對(duì)于開(kāi)展核心商業(yè)秘密處理活動(dòng)的系統(tǒng)，應(yīng)具備權(quán)限管理配套保障功能，包括限制非正常登

錄次數(shù)，登錄連接超時(shí)自動(dòng)退出，配置口令遺忘申請(qǐng)和重置流程，賬號(hào)口令加密保護(hù)等；

f)對(duì)于開(kāi)展核心商業(yè)秘密處理活動(dòng)的系統(tǒng)，應(yīng)具備用戶(hù)登陸的驗(yàn)證信息（例如口令鑒別信息）

進(jìn)行完整性保護(hù)措施，防止重放性攻擊，防止非授權(quán)的數(shù)據(jù)訪問(wèn)；

g)涉及處理核心商密數(shù)據(jù)、授權(quán)特定人員超權(quán)限處理數(shù)據(jù)、核心商密數(shù)據(jù)批量復(fù)制、核心商密

數(shù)據(jù)提供、核心商密數(shù)數(shù)據(jù)脫密等數(shù)據(jù)處理活動(dòng)的，應(yīng)由數(shù)據(jù)安全管理責(zé)任部門(mén)或者數(shù)據(jù)安

全責(zé)任人審批。

5.5日志留存

商業(yè)秘密通用安全措施日志留存方面應(yīng)符合下列要求：

a)應(yīng)對(duì)商業(yè)秘密處理活動(dòng)進(jìn)行日志記錄，包括數(shù)據(jù)授權(quán)訪問(wèn)、形成、流轉(zhuǎn)、應(yīng)用、提供、脫密、

銷(xiāo)毀及數(shù)據(jù)接口調(diào)用等環(huán)節(jié)，例如用戶(hù)登錄和退出，數(shù)據(jù)導(dǎo)入導(dǎo)出或修改，賬戶(hù)創(chuàng)建授權(quán)等；

記錄內(nèi)容包括操作時(shí)間、操作賬號(hào)、處理方式、授權(quán)情況、操作對(duì)象和數(shù)據(jù)量級(jí)等；

b)日志留存時(shí)間應(yīng)不少于6個(gè)月，定期對(duì)日志進(jìn)行備份與歸檔；

c)應(yīng)明確日志審計(jì)人員，且審計(jì)權(quán)限與系統(tǒng)管理權(quán)限、策略管理權(quán)限分立設(shè)置；對(duì)日志操作人

員操作進(jìn)行權(quán)限控制，避免惡意刪除、修改和覆蓋。

5.6安全審計(jì)

商業(yè)秘密通用安全措施安全審計(jì)方面應(yīng)符合下列要求：

a)結(jié)合組織機(jī)構(gòu)業(yè)務(wù)、商業(yè)秘密處理場(chǎng)景和安全保障需求等確定必要的數(shù)據(jù)審計(jì)策略，應(yīng)明確

審計(jì)對(duì)象、審計(jì)內(nèi)容和實(shí)施周期，加強(qiáng)數(shù)據(jù)重大操作、越權(quán)訪問(wèn)數(shù)據(jù)和遠(yuǎn)程訪問(wèn)數(shù)據(jù)等重點(diǎn)

場(chǎng)景安全審計(jì)和數(shù)據(jù)分析；

b)應(yīng)定期開(kāi)展安全審計(jì)，審計(jì)內(nèi)容包括商密數(shù)據(jù)處理活動(dòng)日志記錄、商密數(shù)據(jù)處理操作（如對(duì)

商業(yè)秘密的批量復(fù)制、傳輸、處理、開(kāi)放、共享和銷(xiāo)毀等）審批情況、內(nèi)部權(quán)限分配（如數(shù)

據(jù)非授權(quán)訪問(wèn)）情況、數(shù)據(jù)安全保障措施有效性等；

c)應(yīng)記錄并形成數(shù)據(jù)安全審計(jì)情況總結(jié)，針對(duì)審計(jì)發(fā)現(xiàn)的問(wèn)題及時(shí)進(jìn)行處置、整改并跟蹤復(fù)核；

d)應(yīng)具備安全審計(jì)能力，將本數(shù)據(jù)處理者核心商業(yè)秘密處理活動(dòng)全量納入審計(jì)平臺(tái)，發(fā)現(xiàn)核心

商業(yè)秘密違規(guī)處理行為；

e)應(yīng)定期對(duì)核心商業(yè)秘密處理操作進(jìn)行審計(jì)并形成安全審計(jì)情況總結(jié)。

5.7應(yīng)急響應(yīng)

商業(yè)秘密通用安全措施應(yīng)急響應(yīng)方面應(yīng)符合下列要求：

a)應(yīng)制定商業(yè)秘密安全事件應(yīng)急響應(yīng)預(yù)案，充分考慮企業(yè)涉及的各類(lèi)商業(yè)秘密安全事件業(yè)務(wù)場(chǎng)

景，包括不限于商業(yè)秘密泄露(丟失)、商業(yè)秘密濫用、商業(yè)秘密被篡改、商業(yè)秘密被損毀、

數(shù)據(jù)違規(guī)使用等；

3

T/BJHDSMEA0001—2023

b)應(yīng)制定應(yīng)急響應(yīng)預(yù)案制定演練計(jì)劃并定期組織演練；

c)發(fā)生商業(yè)秘密安全事件時(shí)應(yīng)及時(shí)按照應(yīng)急預(yù)案實(shí)施應(yīng)急措施，企業(yè)應(yīng)迅速做出響應(yīng)，并采取措

施，將危害和損失控制在最小限度內(nèi)，措施包括但不限于：

1)對(duì)商業(yè)秘密泄密或被侵權(quán)事件的調(diào)查，確認(rèn)事件發(fā)生的過(guò)程、責(zé)任人等；

2)分析商業(yè)秘密泄密原因，并收集商業(yè)秘密泄密或被侵權(quán)的證據(jù)，判斷是否受到侵權(quán)，并

評(píng)估事件的嚴(yán)重程度；

3)向市場(chǎng)監(jiān)督管理部門(mén)或公安機(jī)關(guān)舉報(bào)，并視情況向相關(guān)主管部門(mén)報(bào)告。

5.8事件處置

商業(yè)秘密通用安全措施事件處置方面應(yīng)符合下列要求：

a)應(yīng)制定商業(yè)秘密威脅事件處理機(jī)制，根據(jù)事件等級(jí)明確事件處置責(zé)任分工、工作流程和處置

措施等；

b)應(yīng)對(duì)商業(yè)秘密威脅事件處置情況進(jìn)行總結(jié)及定期上報(bào)，并進(jìn)行商業(yè)秘密威脅事件的證據(jù)整理、

搜集、舉證、協(xié)助調(diào)查取證等工作；

c)涉及核心商業(yè)秘密威脅事件，應(yīng)第一時(shí)間向相關(guān)主管部門(mén)報(bào)告，并進(jìn)行事態(tài)跟蹤與評(píng)估影響。

5.9競(jìng)業(yè)管理

商業(yè)秘密通用安全措施競(jìng)業(yè)管理方面應(yīng)符合下列要求：

a)應(yīng)制定競(jìng)業(yè)限制啟動(dòng)評(píng)估機(jī)制，明確競(jìng)業(yè)限制義務(wù)的范圍、履行競(jìng)業(yè)限制義務(wù)的方式、履行

競(jìng)業(yè)限制義務(wù)的期限等相關(guān)競(jìng)業(yè)限制內(nèi)容；

b)權(quán)利人應(yīng)和董事、高級(jí)管理人員、核心技術(shù)人員或權(quán)利人認(rèn)為的重要人員簽訂競(jìng)業(yè)禁止協(xié)議

（模板可參考附錄C）；

c)權(quán)利人應(yīng)和參與處理核心商密相關(guān)人員簽訂競(jìng)業(yè)限制協(xié)議。(模板可參考附錄D)

5.10教育培訓(xùn)

商業(yè)秘密通用安全措施教育培訓(xùn)方面應(yīng)符合下列要求：

a)應(yīng)建立數(shù)據(jù)安全教育培訓(xùn)制度，對(duì)商業(yè)秘密管理崗位人員定期開(kāi)展教育培訓(xùn)，教育和培訓(xùn)涵

蓋數(shù)據(jù)安全法律、行政法規(guī)、行業(yè)標(biāo)準(zhǔn)、組織機(jī)構(gòu)內(nèi)部商業(yè)秘密管理管理制度和工作要求、

數(shù)據(jù)安全領(lǐng)域知識(shí)技能以及數(shù)據(jù)安全保護(hù)意識(shí)等內(nèi)容；

b)應(yīng)在企業(yè)內(nèi)部進(jìn)行商業(yè)秘密保護(hù)宣傳（例如設(shè)置畫(huà)報(bào)、標(biāo)語(yǔ)、信息通知提醒等），營(yíng)造商業(yè)

秘密保護(hù)氛圍；

c)應(yīng)強(qiáng)化核心商業(yè)秘密處理關(guān)鍵崗位的管理，將能獲知核心商業(yè)秘密內(nèi)容的人員確定為關(guān)鍵崗

位人員，明確數(shù)據(jù)處理行為規(guī)范和安全保護(hù)責(zé)任，簽署商業(yè)秘密承諾書(shū)；

d)核心商業(yè)秘密處理崗位應(yīng)定期開(kāi)展全員教育和培訓(xùn)，強(qiáng)化安全意識(shí)和安全操作規(guī)程。

6商業(yè)秘密安全技術(shù)措施

6.1概述

商密數(shù)據(jù)應(yīng)綜合運(yùn)用身份鑒別、數(shù)據(jù)加密、細(xì)粒度訪問(wèn)控制以及安全審計(jì)等多種技術(shù)進(jìn)行全程全域

的安全保護(hù)，以確保商業(yè)秘密數(shù)據(jù)全生命周期的安全與全域的安全保護(hù)，同時(shí)針對(duì)在導(dǎo)出時(shí)商密數(shù)據(jù)應(yīng)

采用加密等技術(shù)確保使用過(guò)程中的安全。綜上所述，商業(yè)秘密數(shù)據(jù)處理過(guò)程中，可以根據(jù)數(shù)據(jù)處理過(guò)程

采取對(duì)應(yīng)數(shù)據(jù)安全技術(shù)進(jìn)行安全保護(hù)（可參考附錄E）。

6.2商業(yè)秘密形成

商業(yè)秘密數(shù)據(jù)形成階段主要分為非結(jié)構(gòu)化商密數(shù)據(jù)形成階段和結(jié)構(gòu)化商密數(shù)據(jù)形成階段。結(jié)構(gòu)化商

密數(shù)據(jù)形成階段為錄入商密數(shù)據(jù)并保存到數(shù)據(jù)庫(kù)的階段；非結(jié)構(gòu)化商密數(shù)據(jù)形成階段主要包括文件的起

草、定密、審核及批準(zhǔn)等。商業(yè)秘密處理者在商業(yè)秘密形成方面的安全措施應(yīng)符合下列要求：

4

T/BJHDSMEA0001—2023

a)應(yīng)制定商密數(shù)據(jù)形成操作規(guī)范，對(duì)服務(wù)器、應(yīng)用系統(tǒng)、數(shù)據(jù)庫(kù)等商密數(shù)據(jù)設(shè)置密級(jí)標(biāo)識(shí)；密

級(jí)標(biāo)識(shí)由權(quán)屬、密級(jí)、保密期限三部分組成，需要保持標(biāo)識(shí)的統(tǒng)一與完整，且與商密主體不

可分離、不可篡改；

b)商密數(shù)據(jù)應(yīng)采用加密技術(shù)，并且可以預(yù)置流程通過(guò)統(tǒng)一定密、統(tǒng)一變更，實(shí)現(xiàn)商密數(shù)據(jù)密級(jí)

變更，查看審批記錄是否可以追溯到相關(guān)責(zé)任人；

c)應(yīng)加強(qiáng)核心商密數(shù)據(jù)的存儲(chǔ)位置、操作人員、使用設(shè)備的安全管控措施。增強(qiáng)對(duì)核心商密處

理設(shè)備的身份鑒別與訪問(wèn)權(quán)限控制策略。

6.3商業(yè)秘密存儲(chǔ)

商業(yè)秘密數(shù)據(jù)存儲(chǔ)階段應(yīng)按照商業(yè)秘密級(jí)別采取不同存儲(chǔ)要求（如存儲(chǔ)結(jié)構(gòu)、存儲(chǔ)周期、備份周期

等），將收集到的商業(yè)秘密與系統(tǒng)自身生成的商業(yè)秘密存儲(chǔ)至相應(yīng)的系統(tǒng)，該行為屬于商業(yè)秘密存儲(chǔ)活

動(dòng)。商業(yè)秘密處理者在商業(yè)秘密存儲(chǔ)方面的安全措施應(yīng)符合下列要求：

a)應(yīng)制定數(shù)據(jù)存儲(chǔ)操作規(guī)范，加強(qiáng)數(shù)據(jù)存儲(chǔ)環(huán)境和存儲(chǔ)系統(tǒng)安全管理，建立數(shù)據(jù)備份和恢復(fù)驗(yàn)

證機(jī)制；

b)商密人員應(yīng)簽訂保密協(xié)議或者法律文件，明確商密使用范圍、操作權(quán)限、違約責(zé)任等，有效

約束相關(guān)人員行為；

c)應(yīng)采用商用密碼加密等技術(shù)措施進(jìn)行機(jī)密性保護(hù)，對(duì)設(shè)備上的商密數(shù)據(jù)進(jìn)行保護(hù)，并對(duì)加密

數(shù)據(jù)做訪問(wèn)控制，防止存儲(chǔ)的商密數(shù)據(jù)被竊??；

d)商密數(shù)據(jù)在存儲(chǔ)過(guò)程中應(yīng)采取完整性監(jiān)測(cè)措施，防止存儲(chǔ)的信息被篡改、被破壞，并提供必

要的恢復(fù)措施；

e)商密載體的設(shè)備維修、報(bào)廢和銷(xiāo)毀應(yīng)集中由專(zhuān)人統(tǒng)一處理，并進(jìn)行登記；

f)應(yīng)采用校驗(yàn)技術(shù)、密碼技術(shù)等措施進(jìn)行安全存儲(chǔ)，并實(shí)施容災(zāi)備份和存儲(chǔ)介質(zhì)安全管理；

g)涉密計(jì)算機(jī)上禁止大量存放核心商密數(shù)據(jù)，對(duì)核心商密數(shù)據(jù)應(yīng)實(shí)現(xiàn)集中加密存儲(chǔ)，實(shí)現(xiàn)細(xì)粒

度的使用權(quán)限控制，對(duì)使用情況進(jìn)行統(tǒng)計(jì)分析；

h)應(yīng)制定備份恢復(fù)相關(guān)管理制度，包括核心商密數(shù)據(jù)容災(zāi)備份的規(guī)范和操作規(guī)程；

i)應(yīng)明確規(guī)定核心商密容災(zāi)備份的周期、備份方式、備份地點(diǎn)，定期開(kāi)展數(shù)據(jù)恢復(fù)性測(cè)試和災(zāi)

難恢復(fù)演練；

j)存儲(chǔ)在涉密計(jì)算機(jī)上的核心商密數(shù)據(jù)應(yīng)可以進(jìn)行遠(yuǎn)程管控與銷(xiāo)毀。

6.4商業(yè)秘密流轉(zhuǎn)

商業(yè)秘密流轉(zhuǎn)主要分為結(jié)構(gòu)化商密數(shù)據(jù)流轉(zhuǎn)與非結(jié)構(gòu)化商密數(shù)據(jù)流轉(zhuǎn)。結(jié)構(gòu)化商密數(shù)據(jù)流轉(zhuǎn)為數(shù)據(jù)

庫(kù)表單數(shù)據(jù)的存取和利用；非結(jié)構(gòu)化商密數(shù)據(jù)流轉(zhuǎn)包括商密數(shù)據(jù)內(nèi)部網(wǎng)絡(luò)應(yīng)用與外部網(wǎng)絡(luò)傳輸階段等活

動(dòng)。商業(yè)秘密處理者在商業(yè)秘密流轉(zhuǎn)方面的安全措施應(yīng)符合下列要求：

a)應(yīng)制定商密流轉(zhuǎn)管理制度，包含商密使用審批流程、數(shù)據(jù)使用和分析處理的目的和范圍的要

求等；

b)商密數(shù)據(jù)在非內(nèi)部網(wǎng)絡(luò)傳輸時(shí)，宜采取商用密碼加密等技術(shù)措施進(jìn)行保護(hù)，防止傳輸?shù)男畔?/p>

被竊?。?/p>

c)應(yīng)采取數(shù)字簽名、時(shí)間戳等技術(shù)保護(hù)信息的完整性，并提供信息發(fā)送者的身份認(rèn)證，防止抵

賴(lài)行為的發(fā)生；

d)運(yùn)行商密信息系統(tǒng)的網(wǎng)絡(luò)中，未經(jīng)授權(quán)不應(yīng)使用帶有網(wǎng)絡(luò)嗅探功能（包括抓包、監(jiān)聽(tīng)、數(shù)據(jù)

包回放分析等）的工具或設(shè)備；

e)宜通過(guò)黑/白名單等方式管理電子郵件、網(wǎng)頁(yè)訪問(wèn)、文件傳輸、文件共享、即時(shí)通信等軟件的

使用，并對(duì)相關(guān)信息操作記錄進(jìn)行審計(jì)；

f)應(yīng)采用技術(shù)手段對(duì)使用加工過(guò)程中的數(shù)據(jù)訪問(wèn)、數(shù)據(jù)批量操作和接口調(diào)用等操作進(jìn)行管控；

g)應(yīng)明確核心商密數(shù)據(jù)處理活動(dòng)相關(guān)平臺(tái)系統(tǒng)的訪問(wèn)制度和流程建設(shè)，從身份管理原則、身份

憑證保護(hù)、最小授權(quán)原則和權(quán)限申請(qǐng)與審批等方面提出核心商密使用安全管控要求；

h)不應(yīng)租用無(wú)相關(guān)資質(zhì)的第三方服務(wù)商提供的網(wǎng)絡(luò)應(yīng)用服務(wù)傳輸核心商密數(shù)據(jù)，包括外部郵件

服務(wù)、外部基于云計(jì)算技術(shù)的服務(wù)、即時(shí)通信服務(wù)等；

5

T/BJHDSMEA0001—2023

i)核心商密數(shù)據(jù)通過(guò)內(nèi)部網(wǎng)絡(luò)傳輸時(shí)，應(yīng)采用加密信道或其他技術(shù)手段，防止數(shù)據(jù)被截獲后被

解密或被破解；

j)宜能夠檢測(cè)到核心商密數(shù)據(jù)在傳輸過(guò)程中完整性，并提供必要的恢復(fù)措施。

6.5商業(yè)秘密加工

商業(yè)秘密加工階段主要是對(duì)結(jié)構(gòu)化商密數(shù)據(jù)與非結(jié)構(gòu)化商密數(shù)據(jù)進(jìn)行操作使用加工活動(dòng)。商業(yè)秘密

處理者在商業(yè)秘密應(yīng)用方面的安全措施應(yīng)符合下列要求：

a)應(yīng)制定數(shù)據(jù)使用加工的操作規(guī)范，明確數(shù)據(jù)使用加工的流程、安全保護(hù)要求、數(shù)據(jù)訪問(wèn)授權(quán)

機(jī)制、數(shù)據(jù)加工技術(shù)方法和數(shù)據(jù)加工結(jié)果的處理規(guī)則等；

b)應(yīng)采用技術(shù)手段對(duì)使用加工過(guò)程中的商業(yè)秘密中不同類(lèi)別的商密數(shù)據(jù)設(shè)置相應(yīng)權(quán)限；

c)對(duì)商密數(shù)據(jù)的管理和控制，應(yīng)以不影響員工正常的編輯閱讀、數(shù)據(jù)處理、數(shù)據(jù)交換、出差和

在外辦公為前提，并且不受到網(wǎng)絡(luò)連通與否狀況的影響；

d)在涉密計(jì)算機(jī)上使用核心商密數(shù)據(jù)時(shí)，應(yīng)在終端屏幕上自動(dòng)顯示水印，水印位置、格式、透

明度等可自定義，以防止通過(guò)拍照方式泄露商業(yè)秘密；

e)應(yīng)用開(kāi)發(fā)人員不宜直接訪問(wèn)核心商密數(shù)據(jù)，確有需要時(shí)應(yīng)對(duì)其進(jìn)行控制和管理，開(kāi)發(fā)任務(wù)完

成后應(yīng)對(duì)相關(guān)的核心商密數(shù)據(jù)進(jìn)行及時(shí)回收或轉(zhuǎn)移。

6.6商業(yè)秘密傳輸

商業(yè)秘密流轉(zhuǎn)是通過(guò)數(shù)據(jù)傳輸通道，在組織機(jī)構(gòu)內(nèi)部或向組織機(jī)構(gòu)外部傳送數(shù)據(jù)的活動(dòng)。商業(yè)秘密

處理者在商業(yè)秘密傳輸方面的安全措施應(yīng)符合下列要求：

a)應(yīng)根據(jù)法律法規(guī)、業(yè)務(wù)需求、業(yè)務(wù)系統(tǒng)可用性、建設(shè)成本等要求，明確商密傳輸相關(guān)制度文

件，包括商密傳輸安全策略和操作規(guī)程等；

b)應(yīng)根據(jù)業(yè)務(wù)流程、網(wǎng)絡(luò)部署和安全風(fēng)險(xiǎn)等情況，合理劃分網(wǎng)絡(luò)系統(tǒng)安全域，明確商密數(shù)據(jù)傳

輸場(chǎng)景與保護(hù)措施；

c)應(yīng)制定商密數(shù)據(jù)傳輸接口安全管理工作規(guī)范，明確接口運(yùn)行、管理及安全保護(hù)措施；

d)應(yīng)建立核心商密數(shù)據(jù)審批流程，對(duì)跨組織或者跨域傳輸核心商密進(jìn)行審批；

e)應(yīng)采取校驗(yàn)技術(shù)、密碼技術(shù)、安全傳輸通道或者安全傳輸協(xié)議等措施，保證核心商密傳輸?shù)?/p>

安全性；

f)傳輸接口應(yīng)具備安全監(jiān)測(cè)能力，能夠?qū)涌谡{(diào)用的異常情況進(jìn)行告警和處置。

6.7商業(yè)秘密提供

商業(yè)秘密提供是因數(shù)據(jù)共享或開(kāi)展數(shù)據(jù)合作等目的，在組織機(jī)構(gòu)內(nèi)部不同部門(mén)或不同子公司之間提

供數(shù)據(jù)，以及組織機(jī)構(gòu)向外部數(shù)據(jù)合作者提供數(shù)據(jù)的活動(dòng)。商業(yè)秘密處理者在商業(yè)秘密提供方面的安全

措施應(yīng)符合下列要求：

a)應(yīng)制定商密數(shù)據(jù)提供的評(píng)估和審批流程，明確商密提供的范圍、類(lèi)別、條件、授權(quán)等；

b)應(yīng)使用商用密碼加密等安全技術(shù)，對(duì)外發(fā)的商密數(shù)據(jù)內(nèi)容進(jìn)行安全保護(hù)，且對(duì)商密數(shù)據(jù)知悉

范圍和權(quán)限進(jìn)行控制，限制閱讀人員、閱讀次數(shù)以及閱讀期限，并且不受網(wǎng)絡(luò)連通情況的影

響；

c)開(kāi)展業(yè)務(wù)合作時(shí)，向合作者提供商業(yè)數(shù)據(jù)時(shí)應(yīng)簽訂合作合同和保密協(xié)議，明確數(shù)據(jù)安全保護(hù)

條款，包括合作的數(shù)據(jù)范圍、合作者的處理權(quán)限及用途、期限和違約責(zé)任等；

d)應(yīng)明確商密數(shù)據(jù)提供服務(wù)合同或協(xié)議，包含數(shù)據(jù)安全保護(hù)條款，按照最小必要的原則，結(jié)合

數(shù)據(jù)提供情況，規(guī)定數(shù)據(jù)接收方可接觸到的數(shù)據(jù)范圍、使用權(quán)限、用途，明確數(shù)據(jù)接收方的

數(shù)據(jù)安全保護(hù)責(zé)任；

e)商密數(shù)據(jù)提供涉及數(shù)據(jù)出境時(shí)，應(yīng)按照國(guó)家相關(guān)規(guī)定和相關(guān)標(biāo)準(zhǔn)的要求執(zhí)行；

f)核心商密數(shù)據(jù)的外發(fā)應(yīng)只能在指定地點(diǎn)及商密載體進(jìn)行集中操作，對(duì)外發(fā)商密數(shù)據(jù)做集中式

留檔便于審計(jì)；

g)核心商密數(shù)據(jù)應(yīng)由兩個(gè)及以上相關(guān)人員審批通過(guò)后才可外發(fā)，外發(fā)后未經(jīng)相關(guān)人員授權(quán)禁止

脫離安全環(huán)境；