DB4403-T 235-2022 企業(yè)商業(yè)秘密管理規(guī)范

ICS03.100

CCSA01

DB4403

深圳市地方標準

DB4403/T235—2022

企業(yè)商業(yè)秘密管理規(guī)范

Specificationsformanagementoftradesecretsofenterprises

2022-04-25發(fā)布2022-05-01實施

深圳市市場監(jiān)督管理局發(fā)布

DB4403/T235—2022

企業(yè)商業(yè)秘密管理規(guī)范

1范圍

本文件規(guī)定了企業(yè)商業(yè)秘密管理的總體要求，以及組織、制度、信息、人員、區(qū)域、物品及載體、信

息系統(tǒng)、評估與改進和泄密事件的管理要求。

本文件適用于企業(yè)的商業(yè)秘密管理。事業(yè)單位、研究機構、協(xié)會等組織的商業(yè)秘密管理可參照本文件

執(zhí)行。

2規(guī)范性引用文件

下列文件中的內容通過文中的規(guī)范性引用而構成本文件必不可少的條款。其中，注日期的引用文件，

僅該日期對應的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本

文件。

GB/T19001—2016質量管理體系要求

GB/T22080—2016信息技術安全技術信息安全管理體系要求

3術語和定義

下列術語和定義適用于本文件。

3.1

商業(yè)秘密tradesecrets

不為公眾所知悉、具有商業(yè)價值并經(jīng)權利人采取相應保密措施的技術信息、經(jīng)營信息等商業(yè)信息。

注1：“不為公眾所知悉”和“具有商業(yè)價值”的具體內容見《中華人民共和國反不正當競爭法》的規(guī)定。

注2：“相應保密措施”的具體內容見《最高人民法院關于審理侵犯商業(yè)秘密民事案件適用法律若干問題的規(guī)定》。

3.2

涉密物品secret-relateditems

含有商業(yè)秘密信息的設備和產(chǎn)品。

注：包括計算機、手機、產(chǎn)品、原材料、半成品和樣品等。

3.3

涉密載體secret-relatedcarriers

以文字、數(shù)據(jù)、符號、圖形、圖像、視頻和音頻等方式記錄商業(yè)秘密信息的介質。

注：包括磁性介質、光盤、U盤、硬盤、服務器等電子存儲介質（即涉密存儲介質）和紙質材料（即涉密紙質文檔）。

3.4

涉密計算機secret-relatedcomputers

處理或存儲商業(yè)秘密信息的臺式機、便攜機、一體機、平板等各類計算機。

3.5

涉密區(qū)域secret-relatedplaces

含有商業(yè)秘密信息、人員進入后可能接觸到商業(yè)秘密的物理區(qū)域。

4總體要求

1

DB4403/T235—2022

4.1企業(yè)應按照GB/T22080—2016、GB/T19001—2016和本文件的要求建立、實施、持續(xù)改進商業(yè)秘

密管理體系，將商業(yè)秘密管理貫徹到企業(yè)的全部經(jīng)營活動中，包括但不限于生產(chǎn)、研發(fā)、銷售、采購、

財務、人事、行政、商業(yè)合作等。

4.2企業(yè)的商業(yè)秘密管理工作應由企業(yè)最高管理者牽頭，高管負責，專人管理，全員參與。

4.3企業(yè)商業(yè)秘密信息的管理應遵循最小授權原則、必須授權原則、審批原則、受控原則、可追溯原

則。

4.4企業(yè)應制定商業(yè)秘密管理目標，確定保密、效率、成本三者之間的關系。

5商業(yè)秘密管理組織

5.1企業(yè)最高管理者應具備商業(yè)秘密管理意識，保障商業(yè)秘密管理資源投入，實現(xiàn)以下關于商業(yè)秘密

管理的要求：

a)建立商業(yè)秘密管理方針和目標；

b)將商業(yè)秘密管理要求整合到企業(yè)的業(yè)務中；

c)要求員工加強商業(yè)秘密保護意識；

d)管理并支持員工為商業(yè)秘密管理體系的實施持續(xù)努力；

e)促進商業(yè)秘密管理體系的持續(xù)改進。

5.2企業(yè)應設置專門的商業(yè)秘密管理部門，或由具備商業(yè)秘密管理職能的部門開展商業(yè)秘密管理工作。

商業(yè)秘密管理部門的組織機構、職責和工作范圍可按以下方式確定：

a)指定專人作為商業(yè)秘密管理部門的負責人，負責企業(yè)商業(yè)秘密管理體系的決策、管理、實施

并向企業(yè)最高管理者匯報，也可由企業(yè)最高管理者直接負責商業(yè)秘密管理部門；

b)配備專職的商業(yè)秘密管理人員，或由法務、信息安全等部門人員兼任商業(yè)秘密管理工作；

c)商業(yè)秘密管理部門可設立兩個以上層級的商業(yè)秘密管理組織架構；

注：如負責決策的商業(yè)秘密管理委員會和負責執(zhí)行決策、統(tǒng)籌管理的商業(yè)秘密管理部。

d)商業(yè)秘密管理部門可根據(jù)職能設置不同的工作小組，分別負責制度、信息技術、宣傳培訓、

檢查評估等工作；

e)商業(yè)秘密管理部門的職責應包括商業(yè)秘密信息、涉密物品、涉密載體、涉密部門、涉密人員、

涉密區(qū)域等的識別和管理，管理制度的制定、執(zhí)行、檢查、改進，員工的保密宣傳、培訓、

考核，以及泄密事件的內部處理和法律維權等；

f)商業(yè)秘密管理部門應定期組織會議，對商業(yè)秘密信息的識別與分級、管理制度的修訂、信息

技術的實施等重大事項進行決策。

5.3企業(yè)應指定各業(yè)務部門的管理者作為各業(yè)務部門商業(yè)秘密管理的責任人，同時可在重點業(yè)務部門

配備專職保密員，或由其他員工兼任該部門的商業(yè)秘密管理工作，共同負責管理制度在本部門的落地，

承擔相應的泄密責任。

5.4企業(yè)設立專門商業(yè)秘密管理部門的，應明確商業(yè)秘密管理部門和法務部、信息部、審計部等部門

的分工，分別負責以下工作：

a)制定商業(yè)秘密管理標準、制度和流程；

b)組織商業(yè)秘密管理宣傳、培訓、考核；

c)負責信息技術手段的落地與支持；

d)處理泄密事件；

e)監(jiān)督商業(yè)秘密管理工作的執(zhí)行；

f)對商業(yè)秘密管理體系進行評估與改進。

2

DB4403/T235—2022

6商業(yè)秘密管理制度

6.1企業(yè)應制定商業(yè)秘密管理的總體綱領文件，內容可包括商業(yè)秘密管理的目標、方針、適用范圍、

定義、策略、原則等。

6.2企業(yè)應制定商業(yè)秘密管理組織的運作機制文件，內容可包括商業(yè)秘密管理部門和各業(yè)務部門的組

織架構、職責與分工、年度工作計劃等。

6.3企業(yè)應制定適用于整個企業(yè)的商業(yè)秘密管理制度，內容可包括：

a)商業(yè)秘密信息的識別與分級；

b)涉密物品管理；

c)涉密載體管理；

d)涉密紙質文檔管理；

e)涉密計算機管理；

f)涉密網(wǎng)絡管理；

g)涉密區(qū)域管理；

h)涉密人員管理；

i)泄密事件管理；

j)獎懲管理。

6.4企業(yè)可根據(jù)研發(fā)、生產(chǎn)、銷售、采購、信息技術、財務、行政等業(yè)務部門的工作流程和特點，分

別制定適用于各個業(yè)務部門的商業(yè)秘密管理制度。

6.5企業(yè)可編制下列清單以明確商業(yè)秘密管理制度的管控對象：

a)商業(yè)秘密信息及分級；

b)涉密人員及崗位；

c)涉密計算機；

d)涉密物品；

e)涉密信息系統(tǒng)。

6.6商業(yè)秘密管理總綱、制度等文件均應形成企業(yè)級文件后在企業(yè)內部傳達，并持續(xù)運行和改進。

7商業(yè)秘密信息管理

7.1識別

7.1.1企業(yè)應評估并識別商業(yè)秘密信息。具體技術秘密和經(jīng)營秘密的表現(xiàn)形式可參考附錄A。

7.1.2各業(yè)務部門經(jīng)營活動中產(chǎn)生的商業(yè)秘密信息應及時報送商業(yè)秘密管理部門登記，商業(yè)秘密管理

部門應定期更新商業(yè)秘密信息清單。

7.2分級

7.2.1企業(yè)對商業(yè)秘密信息進行評估時可考慮但不限于以下因素：

a)商業(yè)秘密信息的經(jīng)濟價值；

b)產(chǎn)生商業(yè)秘密信息投入的成本；

c)商業(yè)秘密信息對企業(yè)的重要程度；

d)競爭對手獲取商業(yè)秘密后產(chǎn)生的價值；

e)商業(yè)秘密泄露后產(chǎn)生的經(jīng)濟損失；

f)商業(yè)秘密泄露后可能承擔的法律責任；

3

DB4403/T235—2022

g)商業(yè)秘密信息在企業(yè)內部可查閱的范圍；

h)對商業(yè)秘密采取保密措施所需的成本。

7.2.2企業(yè)應根據(jù)評估結果將商業(yè)秘密信息進行分級管理，商業(yè)秘密信息的級別應在其載體上明確標

識。

7.2.3企業(yè)應分部門建立商業(yè)秘密信息清單，內容包括商業(yè)秘密信息名稱、密級、管理人、載體、查

閱范圍等。

7.3存檔和保管

7.3.1各業(yè)務部門應指定專人負責本部門涉密載體的存檔和保管。

7.3.2應使用保密柜等具有保密功能的設備來存放涉密載體。

7.3.3存放涉密載體的區(qū)域應配備監(jiān)控攝像頭、火災報警等安防設備。

7.4流轉

7.4.1涉密紙質文檔的傳遞應采取密封包裝、專人專車、EMS快遞等保密措施。

7.4.2涉密物品等實物的流轉，應采取包裝、密封等保密措施。

7.4.3商業(yè)秘密信息只能在企業(yè)內部流轉，因工作需要流出到外部需要經(jīng)過審批。

7.5備份

7.5.1企業(yè)應定期對商業(yè)秘密信息進行備份，可根據(jù)商業(yè)秘密信息級別的不同分別確定備份保留時間。

7.5.2企業(yè)員工未經(jīng)審批不能訪問備份商業(yè)秘密信息，因工作需要臨時訪問應由負責人進行審批并保

留記錄。

7.6復制

7.6.1企業(yè)員工未經(jīng)授權不應復制或打印商業(yè)秘密信息，因工作需要臨時復制或打印商業(yè)秘密信息應

由責任人進行審批并保留記錄。

7.6.2企業(yè)員工復制或打印商業(yè)秘密信息前應標明總頁數(shù)及當前頁，打印時必須在打印機旁守候，打

印后及時取走不能遺留。

7.7發(fā)布

7.7.1對外發(fā)布的內容可能包含商業(yè)秘密信息的，發(fā)布前應由商業(yè)秘密管理部門進行審批。

注：如對外發(fā)布論文、網(wǎng)文、產(chǎn)品說明書、用戶手冊等。

7.7.2宜用商業(yè)秘密保護而不宜公開的內容不應申請專利。

7.8加密及解密

7.8.1商業(yè)秘密信息宜通過企業(yè)的加密系統(tǒng)進行加密。加密系統(tǒng)應采取密鑰備份、雙人控制等安全管

理措施。

7.8.2企業(yè)應指定各部門的責任人或保密員管理各部門的解密權限。員工申請解密的，應明確相應的

使用人、項目、具體事由、日期。解密后的信息應及時回收并做相應處理。

7.9銷毀

7.9.1商業(yè)秘密信息載體的銷毀過程應采取監(jiān)督措施。

注：如視頻監(jiān)控、錄像、見證。

4

DB4403/T235—2022

7.9.2應根據(jù)商業(yè)秘密信息載體的不同采取妥善的銷毀方式，確保信息不可恢復。紙質文檔應使用碎

紙機徹底粉碎；硬盤、U盤等采用消磁的方式徹底銷毀存儲內容。

7.10可追溯

7.10.1所有商業(yè)秘密信息的產(chǎn)生、保存、流轉、復制、發(fā)布、解密、銷毀等均應保留記錄。

7.10.2記錄的留存時間根據(jù)商業(yè)秘密信息的重要性、儲存成本決定。

8員工管理

8.1入職管理

8.1.1涉密人員入職前應審查其工作背景，審查范圍可包括其過往任職的單位、擔任的職務、工作內

容、是否有涉及知識產(chǎn)權糾紛等。

8.1.2企業(yè)應與涉密人員簽訂競業(yè)限制協(xié)議（見附錄B）。

8.1.3新入職或轉崗到涉密崗位的涉密人員應簽訂與其工作內容相適應的保密協(xié)議（見附錄C）。高

級管理人員、重點項目、商業(yè)秘密管理部門員工等重點崗位的涉密人員應明確其保密范圍和接觸的商業(yè)

秘密信息。

8.1.4涉密人員入職前，應通過面談或培訓等方式明確告知其保密義務等注意事項。

8.1.5涉密人員曾在存在競爭關系的企業(yè)工作過的，入職前應采取以下脫密措施以避免侵害他人的商

業(yè)秘密：

a)要求涉密人員提供與原企業(yè)的保密協(xié)議、競業(yè)限制協(xié)議，或其他與保密義務有關的文件；

b)提醒涉密人員工作中不能使用原企業(yè)的商業(yè)秘密信息；

c)簽署不侵犯原企業(yè)商業(yè)秘密的承諾函（見附錄D）；

d)檢查涉密人員有無攜帶或使用原企業(yè)的商業(yè)秘密信息。

8.2保密教育

8.2.1企業(yè)對員工開展保密教育的內容應包括以下方面：

a)商業(yè)秘密的重要性；

b)商業(yè)秘密屬于企業(yè)的職務成果；

c)哪些行為可能泄露或侵害企業(yè)的商業(yè)秘密；

d)侵害商業(yè)秘密可能承擔的法律責任；

e)企業(yè)的商業(yè)秘密管理制度；

f)其他與保密義務、保密范圍、保密行為有關的內容。

8.2.2企業(yè)開展保密培訓的形式可以是線下、線上集中培訓，或錄制成視頻、音頻課程，并保存好培

訓記錄?？赏ㄟ^以下方式對員工開展保密培訓：

a)對新入職的員工開展保密培訓；

b)定期對全體員工開展保密培訓；

c)對重點崗位、重要涉密人員定期開展專項保密培訓。

8.2.3企業(yè)可通過以下方式對員工開展保密宣傳：

a)發(fā)放員工手冊；

b)定期線上向員工推送宣傳案例；

c)組織答題競賽；

d)在辦公場所內張貼宣傳標語、播放宣傳視頻；

5

DB4403/T235—2022

e)召開全員保密動員大會。

8.2.4企業(yè)可定期組織員工進行商業(yè)秘密保護知識考核，考核結果應歸檔并整理，用于改進宣傳、培

訓的內容?？己私Y果可與員工績效獎掛鉤以促進員工增強保密意識。

8.3履職管理

8.3.1員工所在的業(yè)務部門應督促員工熟悉并遵守企業(yè)制定的各項商業(yè)秘密管理制度，按以下要求以

保護員工所在崗位接觸到的商業(yè)秘密不被泄露：

a)工作中產(chǎn)生的商業(yè)秘密信息應及時上報商業(yè)秘密管理部門登記管理；

b)獲取、使用、披露企業(yè)的商業(yè)秘密信息要有授權或取得臨時審批；

c)獲取、使用、披露企業(yè)的商業(yè)秘密信息要保留相應的記錄；

d)避免非授權人員獲取本崗位的商業(yè)秘密信息；

e)不進入非授權區(qū)域；

f)不使用非授權設備、網(wǎng)絡、賬號。

8.3.2企業(yè)應建立商業(yè)秘密管理獎懲制度。違反企業(yè)商業(yè)秘密管理規(guī)定的處罰結果應形成書面文件，

在企業(yè)內部通報并存檔。鼓勵員工舉報違反企業(yè)商業(yè)秘密管理規(guī)定的行為，鼓勵員工發(fā)現(xiàn)企業(yè)商業(yè)秘密

管理體系、措施、技術手段存在的漏洞，對采納的線索或意見給予獎勵。

8.3.3企業(yè)員工參加的工作會議等活動涉及商業(yè)秘密的，可采取以下保密措施：

a)在涉密區(qū)域內召開；

b)使用保密會議室；

c)參加會議的員工應具備接觸所涉商業(yè)秘密的權限或經(jīng)審批；

d)告知其保密要求或簽署保密承諾；

e)限制使用手機、便攜機或拍攝、錄音設備，使用防錄音裝置；

f)重要涉密紙質文檔做好標識，會議后檢查并回收。

8.4離職管理

8.4.1涉密人員離職前應與之談話，告知其保密義務、禁止行為以及違反保密義務的法律責任。

8.4.2企業(yè)應要求離職的涉密人員主動向指定人員移交所有的原始涉密載體且不應刪除或篡改，刪除

其復制的電子數(shù)據(jù)并簽收交接清單。

8.4.3企業(yè)應回收并注銷離職員工所有的域名、應用系統(tǒng)、網(wǎng)絡系統(tǒng)、門禁系統(tǒng)賬號或訪問權限，及

時通知與離職員工有關的供應商、客戶、合作單位等，告知工作交接情況。

8.4.4涉密人員離職前應做如下檢查：

a)工作電腦數(shù)據(jù)是否完整，是否有刪除、復制痕跡；

b)工作電腦上是否有權限之外的文檔；

c)工作系統(tǒng)、軟件的賬戶的訪問日志是否有異常；

d)是否有非工作時間登錄、頻繁登錄、批量下載、刪除、修改的異常行為痕跡；

e)是否有訪問外部郵箱的記錄；

f)是否有對外發(fā)送商業(yè)秘密信息的記錄；

g)檢查員工離職前一定期限內的商業(yè)秘密信息的查閱和使用情況有無異常。

8.4.5離職檢查過程中如發(fā)現(xiàn)離職員工可能侵害企業(yè)商業(yè)秘密的，應及時收集并固定證據(jù)，按照企業(yè)

泄密事件管理規(guī)定處理。

8.4.6企業(yè)應根據(jù)需要決定是否對離職員工啟動競業(yè)限制，定期掌握涉密崗位離職員工在離職后特別

是競業(yè)限制期限內的任職情況。

6

DB4403/T235—2022

9外部人員管理

9.1外部人員進入企業(yè)應出示證件并履行登記程序，佩戴與員工不同顏色的出入卡。訪問涉密區(qū)域應

經(jīng)審批并進行登記，告知其禁止錄音、攝影、攝像、使用便攜機、移動存儲介質等設備，限制手機等器

材的拍攝功能，并安排專人全程陪同。進入企業(yè)參觀的，應設置專門的參觀路線以避開涉密區(qū)域，參觀

路線上可能涉及的商業(yè)秘密信息應采取隱秘措施。

9.2外部企業(yè)需要接觸企業(yè)商業(yè)秘密信息的，應與該企業(yè)及相關人員簽訂保密協(xié)議（見附錄E）或以

其他書面形式約定保密義務，內容包括涉密載體、保密范圍、保密義務及違約責任等。因訴訟、仲裁等

司法活動需要向第三人披露商業(yè)秘密信息又無法簽訂保密協(xié)議的，可申請不公開質證或其他保密程序。

9.3專家、顧問、律師、會計師等外部人員因工作需要在短期內大量接觸企業(yè)商業(yè)秘密信息的，可要

求其使用企業(yè)提供的保密計算機并對信息進行加密。需要通過企業(yè)內部網(wǎng)絡接入涉密計算機或設備的，

應通過堡壘機采取保密措施。

注：“堡壘機”是指具備監(jiān)控和記錄運維人員操作行為功能的網(wǎng)絡安全設備。

9.4涉密項目需要長期向供應商或外部研發(fā)企業(yè)提供商業(yè)秘密信息的，或因維修、研發(fā)等需要經(jīng)常進

入涉密區(qū)域的，可要求外部企業(yè)采取以下保密措施：

a)與參與項目的外部企業(yè)員工簽訂個人保密協(xié)議；

b)使用企業(yè)提供的保密計算機；

c)使用企業(yè)提供的加密系統(tǒng)；

d)使用企業(yè)提供的加密存儲介質；

e)對外部人員使用的便攜機等設備進行檢查。

9.5與外部人員召開的重要涉密會議，應避免使用遠程視頻或音頻、電話會議。涉密會議應采取以下

保密措施：

a)在涉密區(qū)域內召開；

b)使用保密會議室；

c)告知保密要求或簽署保密承諾；

d)采取會議密碼、屏幕水印等保密措施。

10物理區(qū)域管理

10.1企業(yè)內部的辦公區(qū)域應根據(jù)商業(yè)秘密信息劃分為不同的涉密區(qū)域，可按涉密區(qū)域、辦公區(qū)域、外

部接待區(qū)域三級分區(qū)。涉密區(qū)域可包括核心產(chǎn)品或服務的研發(fā)、生產(chǎn)，存儲商業(yè)秘密信息的數(shù)據(jù)中心、

檔案中心等。不同密級的區(qū)域之間應采取物理門、墻、隔斷等物理隔離措施。密級高的辦公區(qū)域應設置

在離企業(yè)出入口相對較遠的位置。

10.2涉密區(qū)域可采取如下保密措施：

a)使用獨立、封閉的辦公區(qū)域，不宜使用開放式辦公或多部門混合辦公；

b)人員進出需具備相應權限且佩戴身份標識卡，非授權人員因工作需要出入需經(jīng)審批取得臨時

授權，外部人員進入需有專人全程陪同；

c)出入口配備安保人員及安防設備；

d)不應攜帶手機、便攜機、平板、智能手表等具備拍攝、錄音、存儲功能的設備器材；

e)不應非授權人員接入涉密網(wǎng)絡；

f)區(qū)域內部覆蓋實時面部識別、動作識別、異常行為識別的高清攝像頭；

g)內部設置專門的涉密會議室或電話室；

h)涉密計算機配備防偷窺、防拍照措施。

7

DB4403/T235—2022

10.3存放商業(yè)秘密信息的數(shù)據(jù)中心、文檔中心應設置在隱蔽的位置，遠離非涉密區(qū)域且不宜張貼明確

標識以防侵入。

10.4涉密區(qū)域入口處應張貼涉密區(qū)域級別標識和“禁止攜帶違禁品”標識，區(qū)域內部應張貼“禁止拍

攝”等禁止標識。

10.5涉密區(qū)域的出入口可采取以下安保措施：

a)使用指紋、人臉識別、瞳孔等技術手段的防尾隨門禁，不宜使用刷卡或密碼門禁；

b)配備檢測設備以限制攜帶手機、便攜機等違禁品出入；

c)配備視頻監(jiān)控及報警系統(tǒng)，對非法闖入或攜帶違禁品進入實時報警；

d)設置監(jiān)控中心并配備專職人員實時監(jiān)控；

e)設置臨時儲物柜以存放限制物品。

10.6企業(yè)應根據(jù)業(yè)務和保密要求的不同，將內部網(wǎng)絡劃分為不同的網(wǎng)絡區(qū)域。涉密區(qū)域的涉密網(wǎng)絡可

采取以下保密措施：

a)不應接入外網(wǎng)；

b)與其他內部網(wǎng)絡隔離，不能相互連通；

c)與其他內部網(wǎng)絡采取不同的分級管理措施；

d)禁止使用無線網(wǎng)絡、無線熱點；

e)訪問涉密區(qū)域網(wǎng)絡的設備應使用終端準入限制；

f)不應內部網(wǎng)絡設備接入外網(wǎng)；

g)通過VPN等方式遠程接入涉密區(qū)域網(wǎng)絡應使用終端準入、身份安全等驗證措施；

h)配備獨立的網(wǎng)絡基礎設施。

注：如服務器、防火墻、專線等。

10.7企業(yè)應設置專門的外部接待區(qū)域用于接待外部人員或用于臨時辦公、會議，非經(jīng)審批不應允許外

部人員進入內部區(qū)域或涉密區(qū)域辦公。

11物品及載體管理

11.1計算機

11.1.1涉密計算機宜使用云桌面系統(tǒng)辦公以將工作數(shù)據(jù)存儲在內部云服務器上，不宜存儲在涉密計算

機的本地存儲中。

11.1.2應關閉或禁用涉密計算機的移動存儲、光驅、藍牙、無線網(wǎng)卡等數(shù)據(jù)傳輸功能模塊，以及攝像

頭、聲卡、話筒等音視頻采集設備，未經(jīng)許可不應使用。

11.1.3涉密計算機硬件的配置、維修、報廢均應經(jīng)過審批或授權交由指定人員處理，應使用封條封住

主機以禁止員工私自拆機維修、更換、增加硬件配件。

11.1.4計算機未經(jīng)批準不應安裝非授權軟件。

11.1.5計算機的網(wǎng)絡接入、網(wǎng)絡配置均應按規(guī)定設置，不應接入非授權網(wǎng)絡。

11.1.6涉密便攜機應設置身份驗證、硬盤口令，封閉攝像頭和麥克風功能，存放時使用帶鎖的保密柜。

不宜在涉密區(qū)域使用便攜機辦公。

11.2智能手機

11.2.1涉密區(qū)域不應使用個人智能手機。如攜帶個人智能手機進入涉密區(qū)域應關閉或禁用攝像頭、麥

克風，不應在涉密區(qū)域內拍攝、錄音、設置熱點。

8

DB4403/T235—2022

11.2.2個人智能手機不應接入存有商業(yè)秘密信息的軟件及信息系統(tǒng)，避免在個人手機內存儲商業(yè)秘密

信息。

注：如OA、SAP、CRM等系統(tǒng)。

11.2.3個人智能手機不應接入企業(yè)涉密網(wǎng)絡。

11.3紙質文檔

11.3.1涉密紙質文檔應存放在涉密區(qū)域內，打印、復印、掃描、查閱、借用等使用涉密紙質文檔應由

專人專管并登記。

11.3.2企業(yè)應配備打印管控系統(tǒng)管理紙質文檔的打印、復印、掃描，并保留記錄及備份。打印、復印、

傳真涉密紙質文檔時應具備授權并在機器旁守候及時取走文檔。掃描紙質文檔不應使用公共盤存儲。

11.3.3廢棄的紙質文檔應通過碎紙機粉碎，不應隨意丟棄。

11.4產(chǎn)品

11.4.1涉密項目的半成品、樣品應由專人管理，放置在保密柜或專門的存儲室保管，出入口配備攝像

頭監(jiān)控。攜帶外出時應采取包裝等保密措施。

11.4.2涉密項目的不良品應交由專人處理或報廢，不應隨意丟棄。

11.4.3涉密產(chǎn)品、半成品、原料等的標簽應替換為企業(yè)內部的編碼統(tǒng)一管理。

11.5移動存儲介質

11.5.1未經(jīng)審批不應使用移動存儲設備存儲商業(yè)秘密信息。涉密移動存儲介質不應連接非涉密或未采

取保密措施的計算機及電子設備。

11.5.2涉密移動存儲介質應由專人專管，且使用身份識別、內容加密、設備綁定等保密措施。

12信息系統(tǒng)管理

12.1權限管理

12.1.1商業(yè)秘密管理部門應統(tǒng)一管理對涉密信息系統(tǒng)的授權及審批。

12.1.2權限到期、人員變更或離職、項目變更等情況應及時變更、回收相應的信息系統(tǒng)權限。

12.1.3信息系統(tǒng)的權限管理應保留記錄日志，用于定期檢查各信息系統(tǒng)用戶的訪問權限、特別授權等

權限管理是否存在漏洞。

12.1.4信息系統(tǒng)的管理員權限應在不同人員之間進行分配，避免由超級管理員管理整個系統(tǒng)或若干個

系統(tǒng)的情況。

12.2賬號及口令

12.2.1業(yè)務部門設置公用賬號、匿名賬號等特殊賬號應經(jīng)過商業(yè)秘密管理部門審批。

12.2.2外部人員的賬號應與內部員工賬號有明顯的區(qū)別。

12.2.3賬號應同時包括特殊符號、大寫英文字母、小寫英文字母、數(shù)字四種不同字符。

12.2.4信息系統(tǒng)賬號的初始口令應是隨機產(chǎn)生的口令，不能相同或有規(guī)律，且應規(guī)定修改口令設置的

位數(shù)、更換周期的最低標準。

12.2.5信息系統(tǒng)的口令應通過系統(tǒng)設置強制用戶定期更換。

12.3信息出口控制

9

DB4403/T235—2022

12.3.1未經(jīng)審批不應允許任何商業(yè)秘密信息外部出口存在。所有經(jīng)審批的信息出口都應有以下“四統(tǒng)

一”：

a)統(tǒng)一登記；

b)統(tǒng)一管理；

c)統(tǒng)一備份；

d)統(tǒng)一監(jiān)控。

12.3.2企業(yè)的辦公網(wǎng)絡不應允許訪問非企業(yè)郵箱的外部郵箱，應將常見的外部郵箱、地址包括網(wǎng)址設

為禁止訪問名單。因工作需要登錄外部郵箱的應經(jīng)過審批并備案郵箱賬號和密碼。

12.3.3企業(yè)應建立代理服務器訪問備份系統(tǒng)，代理服務器訪問日志備份6個月以上。應設置訪問外網(wǎng)

時允許上傳的字節(jié)數(shù)，從而限制通過代理服務器對外發(fā)送商業(yè)秘密信息。

12.3.4企業(yè)應禁止員工使用網(wǎng)盤，應將常見的網(wǎng)盤網(wǎng)址設為禁止訪問名單。確因工作需要登錄網(wǎng)盤的

應經(jīng)過審批，并向企業(yè)備案網(wǎng)盤賬號和密碼。

12.3.5企業(yè)涉密計算機使用的即時通訊軟件應避免和其他外部通訊軟件交互商業(yè)秘密信息，應具備以

下保密功能：

a)具備對用戶登錄進行網(wǎng)絡、設備控制的功能，保證其在安全環(huán)境下運行；

b)具備檢查聊天內容關鍵字的后臺管控功能；

c)在移動終端應具備禁止復制、轉發(fā)、下載和全場景添加水印的管控功能。

12.3.6企業(yè)存儲商業(yè)秘密信息的云服務器或信息系統(tǒng)應關閉信息外部出口，未經(jīng)審批不應允許在服務

器上復制、修改商業(yè)秘密信息。

12.4保密措施

12.4.1涉密計算機的操作系統(tǒng)、辦公軟件、信息系統(tǒng)等均應設置登錄賬號，密碼應定期更換，不應共

用賬號。

12.4.2企業(yè)應對操作系統(tǒng)設置屏幕保護恢復密碼、屏幕水印、復制粘貼限制等保密措施。

12.4.3涉密計算機的辦公軟件應由企業(yè)統(tǒng)一安裝并管理，未經(jīng)授權不應私自安裝軟件。個人郵箱、網(wǎng)

盤、即時通訊工具等具備通過網(wǎng)絡對外發(fā)送文件的軟件均應禁止。

12.4.4企業(yè)應使用具備關鍵字過濾、外發(fā)郵件審批、郵件審計等保密功能的企業(yè)郵箱。

12.4.5在涉密網(wǎng)絡內部使用的即時通訊軟件不應與其他網(wǎng)絡，或連接到互聯(lián)網(wǎng)的通訊軟件連接。

12.4.6加密軟件應定期檢查，確保加密軟件對所有類型文件在所有場景都能夠進行加密。批量解密等

特殊解密的授權權限應經(jīng)過審批統(tǒng)一管理。

12.4.7企業(yè)應使用專用的信息系統(tǒng)存儲商業(yè)秘密信息，信息系統(tǒng)應具備權限管理、日志、審計等保密

功能。

12.4.8涉密計算機應安裝專門的行為管控軟件，可記錄商業(yè)秘密信息數(shù)據(jù)的復制、流轉、刪除等操作

并保存?zhèn)浞荨?/p>

13評估與改進

13.1企業(yè)應配備專門的人員負責商業(yè)秘密管理的檢查，也可由各業(yè)務部門保密員負責各部門的檢查工

作。

13.2企業(yè)應采取以下措施并保留記錄或原始文件用于檢查和評估：

a)重要涉密區(qū)域的出入口和內部應安裝監(jiān)控系統(tǒng)實時監(jiān)控；

b)涉密網(wǎng)絡的出、入口應實時監(jiān)控；

c)涉密計算機的操作；

10

DB4403/T235—2022

d)存儲商業(yè)秘密信息的信息系統(tǒng)；

e)對外發(fā)送商業(yè)秘密信息的軟件。

注：如電子郵箱、即時通訊軟件。

13.3應定期對企業(yè)的以下商業(yè)秘密管理情況進行評估并形成書面報告提交商業(yè)秘密管理部門：

a)商業(yè)秘密管理部門人員的履職；

b)商業(yè)秘密管理制度的適宜性；

c)商業(yè)秘密信息的定密、分級、流轉；

d)涉密紙質文檔、物品、計算機的管理；

e)涉密區(qū)域的管理；

f)操作系統(tǒng)、辦公軟件、信息系統(tǒng)的賬號、權限；

g)涉密人員的管理；

h)其他商業(yè)秘密管理制度規(guī)定的內容。

13.4針對定期評估報告發(fā)現(xiàn)的管理漏洞制定改進方案、實施計劃并執(zhí)行落地。

14泄密事件管理

14.1內部管理

14.1.1指定內部受理泄密事件報告窗口的負責人，并公開電話、郵箱等聯(lián)系方式。

14.1.2制定泄密事件處理流程和應對預案。包括以下內容：

a)采取保護措施防止信息進一步擴散或損失擴大；

b)調查原因、涉事人員、責任人等；

c)收集并固定證據(jù)；

d)啟動內部處罰或外部維權；

e)形成報告和改進方案。

14.2證據(jù)固定

14.2.1可向專業(yè)的商業(yè)秘密保護服務機構尋求取證、鑒定、評估等指引和協(xié)助。

14.2.2發(fā)現(xiàn)商業(yè)秘密可能被泄露或侵權時，應收集并固定如下證據(jù)：

a)企業(yè)是商業(yè)秘密的權利人；

b)商業(yè)秘密信息的具體內容和載體；

c)商業(yè)秘密信息不為一般公眾普遍知悉；

d)商業(yè)秘密信息不為一般公眾容易獲得；

e)企業(yè)對商業(yè)秘密信息采取的保密措施；

f)商業(yè)秘密信息具有商業(yè)價值；

g)泄密人員的身份、工作信息；

h)泄密人員接觸到了商業(yè)秘密信息；

i)被控侵權信息與商業(yè)秘密信息實質性相似；

j)泄密人員以不正當手段獲取、披露、使用商業(yè)秘密信息等反不正當競爭法規(guī)定的侵權行為；

k)因泄密產(chǎn)生的損失或侵權人的獲利、許可使用費，以及因維權產(chǎn)生的律師費、鑒定費、評估

費等；

l)產(chǎn)生商業(yè)秘密信息的開發(fā)費用等成本。

11

DB4403/T235—2022

14.2.3商業(yè)秘密信息的非公知性、同一性、損失數(shù)額的確定可向有資質的專業(yè)機構申請協(xié)助鑒定或評

估。

14.2.4電子數(shù)據(jù)類證據(jù)可向公證處等機構申請公證或證據(jù)固化。實物和文檔類證據(jù)應保存原物或原

件。

14.3外部維權

14.3.1可向侵權人所在地等有管轄權的商業(yè)秘密行政管理部門舉報，要求查處商業(yè)秘密侵權行為的證

據(jù)，責令侵權人停止侵權并處以罰款。

14.3.2符合刑事案件立案條件的可向犯罪行為發(fā)生地的公安機關控告，要求追究侵權人的刑事責任。

14.3.3違反競業(yè)限制協(xié)議等屬于勞動仲裁受案范圍的，應先向企業(yè)所在地等有管轄權的勞動仲裁委員

會申請勞動仲裁。

14.3.4第三方企業(yè)違反協(xié)議約定的保密義務且約定商事仲裁管轄條款的，應向約定的仲裁委員會申請

仲裁。

14.3.5不屬于勞動仲裁且沒有商事仲裁約定的，可向侵權行為發(fā)生地或侵權人所在地等有管轄權的人

民法院起訴，或申請訴前禁令。

14.3.6如泄露的商業(yè)秘密信息涉及國家秘密的，應立即向當?shù)貒野踩珯C關、保密行政管理部門或公

安機關報告。

12

DB4403/T235—2022

附錄A

（資料性）

商業(yè)秘密保密范圍

A.1技術信息

商業(yè)秘密的技術信息保護范圍的參考內容見表A.1。

表A.1商業(yè)秘密的技術信息保護范圍

項目表現(xiàn)形式

研發(fā)信息設計圖紙、模型、樣板、方案、測試記錄及數(shù)據(jù)、進度表等

生產(chǎn)信息產(chǎn)品配方、工藝流程、技術參數(shù)、電子數(shù)據(jù)、作業(yè)指導書、樣本庫等

硬件信息設備儀器的型號、配置參數(shù)、特別要求等

軟件信息源代碼、應用程序、數(shù)據(jù)算法等

其他企業(yè)認為有必要采取保密措施的其他技術信息

A.2經(jīng)營信息

商業(yè)秘密的經(jīng)營信息保護范圍的參考內容見表A.2。

表A.2商業(yè)秘密的經(jīng)營信息保護范圍

項目表現(xiàn)形式

公司基礎信息公司架構、規(guī)章制度、內部通知、決議文件、會議紀要等

決策信息戰(zhàn)略決策、研發(fā)策略、投資計劃、股權激勵方案、專利規(guī)劃布局等

經(jīng)營信息采購計劃、采購記錄、營銷策劃、營銷方案等

銷售信息客戶名單、供應商名單、銷售記錄、銷售協(xié)議、投標書等

財務信息財務報表、融資報表、預決算報告、各類統(tǒng)計報表、審計報告等

人力資源信息員工名冊、通訊錄、工資表、社保公積金清單等

信息技術信息網(wǎng)絡拓撲圖、信息安全風險報告、運維日志等

其他企業(yè)認為有必要采取保密措施的其他經(jīng)營信息

13

DB4403/T235—2022

附錄B

（資料性）

競業(yè)限制協(xié)議（參考文本）

競業(yè)限制協(xié)議的相關示例見圖B.1。

圖B.1競業(yè)限制協(xié)議

14

DB4403/T235—2022

圖B.1競業(yè)限制協(xié)議（續(xù)）

15

DB4403/T235—2022

圖B.1競業(yè)限制協(xié)議（續(xù)）

16

DB4403/T235—2022

圖B.1競業(yè)限制協(xié)議（續(xù)）

17

DB4403/T235—2022

附錄C

（資料性）

商業(yè)秘密保密協(xié)議（參考文本）

商業(yè)秘密保密協(xié)議的相關示例見圖C.1。

圖C.1商業(yè)秘密保密協(xié)議

18

DB4403/T235—2022

圖C.1商業(yè)秘密保密協(xié)議（續(xù)）