欢迎您访问
射洪市市场监督管理局
企业商业秘密保护流程图
企业如何进行泄密风险测评
泄密风险测评是企业降低商业秘密保护成本、保证保护效果的基础。只有在获取泄密风险因素准确数据的前提下,企业才能够利用最少的成本,取得最佳的保护效果。
进行泄密风险测评的目的是发现企业商业秘密保护的现状,找出可能导致商业秘 密泄密的风险因素,以便采取有的放矢的控制措施,预防泄密风险的发生。
企业可用《企业商业秘密脆弱性可利用程度赋值表》进行泄密风险测评。
企业如何界定商业秘密范围
界定商业秘密范围,就是确定商业秘密保护对象,是商业秘密保护的基础工作。其目的是把存在于企业每个部门、各个业务流程和环节,符合商业秘密法定构成要件 的信息及信息载体识别出来,形成“商业秘密清单”或“商业秘密事项目录”,为接 下来的商业秘密保护工作奠定基础。
我国法律对商业秘密有一个宽泛的定义,但在实践中,商业秘密的表现形式要复 杂得多,确认难度也很大。因为每个具体的商业秘密信息所对应的资产形式可能有多种,如一份新产品营销规划,既有纸质形式,也有电子媒介形式,还有根据图纸制造 的样品等。另外,每项商业秘密信息还会随业务流程 、岗位职能划分等活动产生大量 的衍生信息,如:一项产品设计,除了技术图纸,还有许多相关的工艺设计信息、采购 信息 、生产信息 、质量控制和检验信息等, 这些信息同样会以多种不同的资产方式 存在。如何划分商业秘密的范围,是长期困扰企业的“老大难”问题。商业秘密保护 的基础工作是确定保护对象,只有知道了“保什么”,才有可能采取有效的保护手段和措施。
商业秘密范围划分方法尚无统一标准,而且由于各企业的商业秘密信息不同、环境不同、保护要求不同,也无法建立统一的识别方法和标准。一般来说,企业可采用 列举式、概括式和强制式三种方法,划分出本单位的商业秘密范围。
列举式方法。所谓列举式,就是将企业内符合商业秘密构成要件的信息全部列举出来。实践中,一般由企业内负责商业秘密保护的部门会同各业务部门,对企业的业 务流程、岗位职责划分进行深入调查研究,对各类信息产生的形态及其价值和保密要 求进行细致分析,形成本企业的商业秘密信息范围清单或商业秘密事项目录。
采取列举式方法,企业各业务部门只需按照目录或清单,对号入座即可完成商业 秘密事项的确定和定级工作,适用于组织机构复杂、业务流程相对稳定的大型企业。但是,由于列举式方法需要提前统一编制商业秘密事项清单, 前期工作量大、涉及部 门多,需要企业最高管理层统筹协调安排,从各部门抽调专人或委托商业秘密保护专业咨询服务机构才能完成。
概括式方法。所谓概括式,就是将企业的商业秘密信息概括性地划分为几个大类,然后规定一个相对科学的商业秘密信息识别和确定标准,企业各个部门依照统一的标准,界定具体的商业秘密事项。
概括式方法不需要编制繁杂的商业秘密清单,各部门只需按照标准自行判定是否 属于商业秘密。这种确定商业秘密的方法简便快捷,但由于各部门对标准理解和把握 的差异,可能会出现对商业秘密确认不完整、不统一等种种问题。因此,这种确认方法仅适用于规模小、商业秘密资产变化较快的企业。
强制式方法。所谓强制式方法,就是强制性地把某些信息规定为商业秘密,并统 一规定其密级。强制方法仅限于在一定时间内对特殊项目的管理,如项目研发、样品 制造、招投标活动、市场推广、商务谈判等。强制式方法把特定范围内的信息规定为 商业秘密,甚至把一些不属于商业秘密的信息也提升到最高保护等级,企业在条件具 备时应及时解除强制状态,防止保护过度导致的成本浪费。
对于大型企业或研发类企业,可综合运用上述三种方法来实现保护成本的最优 化 。如:在运行稳定的企业集团总部 、管理层和职能部门,可采取列举法;对于商业秘 密资产变化快、数量多的研发部门采用概括法更为有效;对特殊的研发项目则可以采取 强制式方法。
企业如何进行定密分级管理
定密分级是指企业结合自身行业业务特性、管理要求等因素, 识别商业秘密事项 范围和内容、划分商业秘密事项保密等级、明确保密要求的过程。
( 一 ) 确定企业商业秘密事项范围,以及各涉密事项对应的定密责任人和知悉部门范 围,最终形成《企业商业秘密事项目录》。
《企业商业秘密事项目录》
( 二 ) 确定各源头部门商业秘密事项明细内容信息,以及各涉密信息对应的保密等级与保密期限,最终形成《 XX 部门商业秘密事项明细表》, 上报至保密办。
XX 公司销售部商业秘密事项明细表
(三) 保密办在各部门反馈本部门商业秘密事项知悉人员范围信息后, 汇总本企业全部商业秘密事项信息,编制最终的《企业商业秘密事项清单》。
企业商业秘密事项清单 (部分)
附件:
企业商业秘密分级测评标准
测评计算方法与定级标准:
将问题 1-1 至 1-5 的得分数相加获得本项总分值。
本项总得分≥80 分的,可定为“绝密级”商业秘密;
本项总得分≥60 分的,可定为“机密级”商业秘密;
本项总得分<60 分的,可定为“秘密级”商业秘密。
1.技术成果类 (满分 100 分)
1-1.该项技术成果目前在本行业同类成果中具有的竞争优势程度。
A.填补技术领域空白 ( 30 分)
B.技术优势很强 ( 20 分)
C.技术优势较强 ( 10 分)
D.技术优势一般 ( 0 分)
1-2.该项技术成果在行业中预测能够保持优势的时效性。
A.保持 5 年以上的优势 ( 20 分)
B.保持 2 年至 5 年的优势 ( 10 分)
C.保持 1 年至 2 年的优势 ( 5 分)
D.保持不足 1 年的优势 ( 0 分)
1-3.获得该项技术成果的投入成本。
A.投入成本巨大 ( 15 分)
B.投入成本较大 ( 10 分)
C.投入一定成本 ( 5 分)
D.投入成本可忽略不计 ( 0 分)
1-4.该项技术成果通过逆向工程是否容易被获取?
A.极难获取 ( 15 分)
B.较难获取 ( 10 分)
C.花费一定投入后可能被获取 ( 5 分)
D.容易被获取 ( 0 分)
1-5.该项技术成果对公司业务效益的影响程度。
A.非常重要 ( 20 分)
B.较为重要 ( 10 分)
C.一定程度影响 ( 5 分)
D.影响较小 ( 0 分)
2.技术辅助类 (满分 100 分)
2-1.该项技术辅助信息对技术成果的贡献作用。
A.作用很大,他人通过研究该技术信息可非常容易地获取相同或类似的技术成
果。 (系数 0.6 ) ( 50 分)
B.有一定作用,他人通过研究该技术信息有可能获取相同或类似的技术成果。(系 数 0.4 ) ( 30 分)
C.作用较小, 他人通过研究该技术信息较难获取相同或类似的技术成果。 (系数 0.2 ) ( 20 分)
2-2.他人通过其他途径获得与该项技术辅助信息相同的信息数据的难易程度。
A.他人很难通过其他途径获得相同的信息数据。 (系数 0.4 ) ( 50 分) B.他人较难通过其他途径获得相同的信息数据。 (系数 0.2 ) ( 30 分)
C.他人花费一定代价,可以通过其他途径获得相同或者类似的信息数据。 (系数 0.1 ) ( 20 分)
3.技术评估预测类 (满分 100 分)
3-1.本企业获取该技术评估预测信息的成本投入。
A.获取该信息非常困难,需要花费很大代价。 ( 20 分)
B.获取该信息具有一定难度,需要花费一定代价。 ( 10 分)
C.可十分容易地获取该信息,几乎不花费代价。 ( 5 分)
3-2.该技术评估预测信息的权威性。
A.该信息在业内具有很高的权威性。( 15 分)
B.该信息在业内具有较高的权威性。( 10 分)
C.该信息在业内具有一定的权威性。( 5 分)
3-3.该技术评估预测信息的内幕性。
A.该信息在业内具有很强的内幕性。( 20 分)
B.该信息在业内具有较强的内幕性。( 10 分)
C.该信息在业内具有一定的内幕性。( 5 分)
3-4.该技术评估预测信息的时效性。
A.该信息在业内具有很强的时效性。 ( 15 分)
B.该信息在业内具有较强的时效性。 ( 10 分)
C.该信息在业内具有一定的时效性。 ( 5 分)
3-5.他人从其他渠道获取该技术评估预测信息的难易程度。
A.获取该信息非常困难,需要花费很大代价。 ( 30 分)
B.获取该信息具有较大难度,需要花费较大代价。 ( 15 分)
C.获取该信息具有一定难度,需要花费一定代价。 ( 5 分)
4.业务营销类 (满分 100 分)
4-1.该信息对企业获取经营效益发挥作用的重要程度。
A.发挥了关键作用。 ( 30 分)
B.发挥了重要作用。 ( 15 分)
C.发挥了一定作用。 ( 5 分)
4-2.他人从其他渠道获取该技术评估预测信息的难易程度。
A.获取该信息非常困难,需要花费很大代价。 ( 30 分)
B.获取该信息具有较大难度,需要花费较大代价。 ( 15 分)
C.获取该信息具有一定难度,需要花费一定代价。 ( 5 分)
4-3.该信息如被竞争对手获取,对企业业务所产生的影响。
A.该信息如被竞争对手获取,将使我方业务中断、停止。 ( 40 分) B.该信息如被竞争对手获取,将对我方业务造成严重影响。 ( 20 分) C.该信息如被竞争对手获取,将对我方业务造成一定影响。 ( 10 分)
5.经营策划类 (满分 100 分)
5-1.本企业获取该经营策划信息的成本投入。
A.获取该信息非常困难,需要花费很大代价。 ( 20 分)
B.获取该信息具有较大难度,需要花费较大代价。 ( 10 分)
C.获取该信息有一定难度,需要花费一定代价。 ( 5 分)
5-2.该经营策划信息的创新性。
A.该信息在同领域具有很强的创新性。 ( 15 分)
B.该信息在同领域具有较强的创新性。 ( 10 分)
C.该信息在同领域具有一定的创新性。 ( 5 分)
5-3.该经营策划信息的实用价值。
A.具有很强的实用价值。 ( 20 分)
B.具有较强的实用价值。 ( 10 分)
C.具有一定的实用价值。 ( 5 分)
5-4.该经营策划信息的可复制性。
A.该信息在业内具有很强的可复制性,竞争对手获取后十分容易实施。 ( 15 分)
B.该信息在业内具有一定的可复制性,竞争对手获取后花费一定代价可实施。( 10 分)
C.该信息在业内的可复制性不强,但竞争对手获取后仍可对部分内容实施 。 ( 5 分)
5-5.该经营策划信息被竞争对手获取后,对本企业经营造成的影响。
A.该信息被竞争对手获取后,将对本企业经营造成特别严重的影响。 ( 30 分)
B.该信息被竞争对手获取后,将对本企业经营造成较大影响。 ( 20 分) C.该信息被竞争对手获取后, 将对本企业经营造成一定影响。 ( 10 分)
6.经营评估参考类 (满分 100 分)
6-1.本企业获取该评估参考信息的成本投入。
A.获取该信息非常困难,需要花费很大代价。 ( 20 分)
B.获取该信息具有较大难度,需要花费较大代价。 ( 10 分)
C.获取该信息具有一定难度, 需要花费一定代价。 ( 5 分)
6-2.该技术评估参考信息的实用价值。
A.该信息在业内具有很高的实用价值。 ( 15 分)
B.该信息在业内具有较高的实用价值。 ( 10 分)
C.该信息在业内具有一定的实用价值。 ( 5 分)
6-3.该技术评估预测信息的内幕性。
A.该信息在业内具有很强的内幕性。 ( 30 分)
B.该信息在业内具有较强的内幕性。 ( 3 分)
C.该信息在业内具有一定的内幕性。 ( 1 分)
6-4.该技术评估预测信息的时效性。
A.该信息在业内具有很强的时效性。 ( 15 分)
B.该信息在业内具有较强的时效性。 ( 3 分)
C.该信息在业内具有一定的时效性。 ( 1 分)
6-5.他人从其他渠道获取该技术评估预测信息的难易程度。
A.获取该信息非常困难,需要花费很大代价。 ( 20 分)
B.获取该信息具有较大难度,需要花费较大代价。 ( 15 分)
C.获取该信息具有一定难度,需要花费一定代价。 ( 5 分)
7.运营与管理类 (满分 100 分)
7-1.该信息对企业获取经营效益发挥作用的重要程度。
A.发挥了关键作用。 ( 30 分)
B.发挥了重要作用。 ( 15 分)
C.发挥了一定作用。 ( 5 分)
7-2.他人从其他渠道获取该技术评估预测信息的难易程度。
A.获取该信息非常困难,需要花费很大代价。 ( 30 分)
B.获取该信息具有较大难度,需要花费较大代价。 ( 15 分)
C.获取该信息具有一定难度,需要花费一定代价。 ( 5 分)
7-3.该信息如被竞争对手获取,对企业业务所产生的影响。
A.该信息如被竞争对手获取,将对企业经营造成特别严重的影响。 ( 40 分) B.该信息如被竞争对手获取,将对我方业务造成较大影响。 ( 20 分)
C.该信息如被竞争对手获取,将对我方业务造成一定影响。 ( 10 分)
注:
( 1 ) 本标准仅适用于对企业内商业秘密定密分级,如企业内部包含有国家秘密 的,应根据国家相关保密法规执行定密分级工作。
( 2 ) 企业如在经营活动中,承担对其他合作方相关商业秘密保密义务, 则应视 情确定该商业秘密的保密等级。
( 3 ) 企业业务营销活动类商业秘密中,有关招投标标书标底信息 、产品底价信 息,以及业务谈判底牌底线信息,等等,由于其往往对企业经营活动影响较大,故此 类信息在其未公开前,可直接定为企业的最高保密等级。
企业实施商业秘密保护的措施
企业商业秘密保护措施着重体现在以下方面:
1.设立管理和监控机构。商业秘密是科研、生产、经营活动的产物, 其存在于企 业活动的各个方面,分布在技术、生产、经营等各个部门,需要有组织机构和人员来 实现对商业秘密的统一协调、管理和监控。商业秘密管理机构应视企业大小和商业秘 密管理任务的需要选择相应模式。可以组建商业秘密管理专门机构,也可以指定企业 法律部门、知识产权管理部门或者其他综合管理部门负责,小企业或者商业秘密相对 较少的企业,也可以指定专人负责管理。不论采取何种组织管理模式,都应当突出以下原则:一是权力相对集中,明确赋予保密机构对商业秘密的统一管理权,避免政出 多门形成内耗和管理死角;二是设定职责权限,明确规定保密管理责任人、保密管理 机构和人员的管理责任,积极创造管理条件,维护其管理权威;三是强化管理素质,通过选拔、培训等渠道,增强保密管理人员的思想素质和业务水平,打造一支忠诚、可靠、专业、干练的管理队伍。
2.建立和完善规章制度。用制度保护商业秘密,是法律认可的保护商业秘密的重 要措施,也是现代企业制度的重要内容。商业秘密保护应根据商业秘密产生、复制、存储、传递、使用、保管等运行轨迹, 以有效控制接触范围、消除泄密隐患为主要目 建立完善制度。保密制度一般分为三个层次; 第一层为企业章程有关商业秘密保护的 原则规定;第二层为企业商业秘密管理规定;第三层为单项保密规定以及保密协议。商业秘密保护制度主要包括: 商业秘密载体保密管理制度;保密要害部门、部位管理 制度;涉密人员管理制度;办公自动化管理制度;涉密会议、涉密活动管理规定;对外接待管理规定;对外合资、合作保密管理规定; 对外宣传及广告策划保密规定;重点事项保密管理制度;奖惩制度等。
3.严格控制接触范围 。保密的实质就是控制接触范围。企业保密的基本原则,就是把商业秘密知悉范围控制在不影响科研、生产和经营正常运行的最低限度。企业的 一切保密管理行为,都要把目标放在有效控制商业秘密的接触范围上,把重点放在知
悉范围内人员的管理上。商业秘密接触范围的控制原则是:
( 1 ) 需要原则。即根据生产经营需要限定接触范围 。特别是关系核心竞争力的 商业秘密或者商业秘密中关键部分,更要控制在充分必要的需要范围内。
( 2 ) 分割原则。即把涉及商业秘密的完整事项,根据不同的岗位、生产流程的不同部分、技术研究的不同环节、工程设计的不同层次,按知悉的需要分割成若干个 部分,使不同的人员只知道自已确需知道的部分,而不知道其他的各个部份,使得局 部使用人员掌握不了一项商业秘密的全部信息。即使是研发人员,也只能掌握自已研 发的那一部分信息,而不掌握全部成果信息。在企业运行条件允许的范围内,这样的分割越细,一项商业秘密信息全部泄漏的概率就会越小。
( 3 ) 隔离原则。即把商业秘密信息有效封闭或隔离起来,把研究、保管或使用 商业秘密的区域有效隔离起来,使无关人员没有机会接触到商业秘密,使这一部分生 产流程的人员没有机会接触到另一部分生产流程的商业秘密,从而增加窃取商业秘密 的难度系数,有效降低泄密风险,达到阻断窃密、泄密渠道的目的。
4.加强重点部位监控与管理 。产生 、处理 、存储、使用商业秘密的部位,是保密 管理的重点。企业应根据商业秘密信息产生、使用和保管的实际,明确确定企业保密 重点部门和部位,制定和完善重点部门、部位保密管理制度,采取必要的人员进出特 许控制和物品进出监控措施,加强重点部门、部位人员的教育和管理,优化商业秘密 保护环境。
5.积极推行契约管理 。在保密管理中积极引进和推行契约管理机制, 是契约经济 和法制经济的客观必然,也是提高商业秘密保护和管理水平的必由之路。契约管理的 重点是突出合同的完整性和有效性。签订保密合同应坚持下述原则:一是合法合理原则; 二是权利义务对等原则;三是平等自愿原则;四是合理约定原则 。在上述原则基础上 ,企业应当充分运用合理约定内容具有法律效力的特点,提高合同功效。根据商业秘密 运行轨迹,商业秘密保护合同主要有:商业秘密所有权转让合同、商业秘密使用权转 让合同、商业秘密技术合作合同、商业秘密合作研究开发合同、涉及商业秘密的委托 加工合同、涉及商业秘密的营销合作合同、涉及商业秘密设备的使用合同、员工保密 合同、商业秘密开发研究合同、商业秘密信息保密合同、涉密人员竞业禁止合同。
6.提高技术监控手段 。在高度发达的信息化时代,运用保密技术来降低风险,提 高与高技术窃密抗衡的能力,是商业秘密保护的发展方向。企业应根据实际需要不断
优化保密技术, 提高技术防范能力。应着重强化以下措施:
(1)防盗窃技术 。商业秘密载体保存、使用的场所或区域,应当装备可靠的防盗设备。防盗设备组合要具备以下功能:延缓作案时间并使之与报警救援所需时间相匹配、 监控报警装置不易被发现,并具有在遭破坏时自动报警功能、进出人员身份辨别和录 像监控记录功能。
(2)防辐射技术。防电磁辐射泄密,目前主要有四种方法:一是物理距离间隔法,即根据对电子辐射距离的测试,只要辐射源周边安全距离能够被有效控制,就可保障电 子设备处理信息的安全;二是物理衰减法,即根据电磁辐射信号穿透物体时自然衰减原 理,将辐射源置于需多层穿透的地下室等位置,可有效缩短其辐射距离,减弱辐射信 号;三是干扰法,即选用同步干扰和相关干扰设备形成对辐射信号的覆盖式干扰或附着 信息干扰,形成不可显示和还原的信号;四是屏蔽法,即对一栋建筑物、一间房屋或者 一个更小区域四周加装金属网框,阻断辐射信号。上述物理方法和技术方法能够结合 使用其效果会更佳。
(3)防复制技术。可以采用在载有商业秘密信息的文件资料上加入某些印记或插入 一些虚假信息的方法,使复制时不可覆盖掉这些印记和信息, 以此证明复制事实及原 信息的归属。
(4)防窃听技术 。防窃听着重注意电话、手机、无线扩音、传真等空中信号的窃听 和便携式、固定式窃听器的窃听,一是重要信息采用商用密码传输;二是不用普通通信 工具传递或谈论商业秘密信息,没有替代设备又确需传递的,应设定商业秘密代号和 通话密语;三是召开秘密会议不用无线扩音设备;四是接待外来人员应设定专用场所,尽可能不要与内部内议室和办公室混用,并在外来人员走后进行认真检查, 防止借机 放置窃听器;五是可定期聘请有关部门进行防窃听“扫除”;六是出境期间在宾馆 、特 别是在境外接洽的企业特意安排的宾馆下榻时,要提防房间内有可能事先安装的窃听 器或者针孔摄像镜头,避免在房间或一些特定地点商谈商业秘密。
(5)防窃照技术。一是接待参观的路线实行“坚壁清野”,不留下商业秘密痕迹 , 如生产流程图、工艺配方图表、生产岗位责任表、生产示意图或进度工程设计图纸等。二是实行”清桌”制度,要求员工做到离开工作地点时工作台不留只言片纸,计算机 必须返回初始窗口或关机。三是外来人员确有必要参生产线的,应有专人负责控制外 来人员的照相、摄像行为, 严密监控偷拍行为。
(6)防网络窃密技术 。网络分为内网和外网,应分别采取相应监控技术和措施。内 网一般采取三级控制技术:第一级是入网用户名和密码控制;第二级是目录和文件访问 权限控制;第三级是文件和目录属性控制。外网控制的目标是通过网络隔离技术和安全 软件技术对联网的计算机单机和内部网络实施有效保护, 防范黑客的攻击性窃密。鉴 于目前对付黑客攻击的技术还很不成熟,有必要采取“双机双网”、“隔离机”、“隔 离卡”等物理隔离手段。
7.加强人员教育管理 。企业的一切行为归根到底都是人的行为,企业商业秘密保 护最终还要落实到对人的教育和管理上。一是建立长效的职工保密教育机制,采取各种方法和途径加强对员工保密常识、保密义务、防窃密、防泄密教育,不断增强员工 保密义务观念和防范商业间谍意识。二是树立以人为本的管理理念,实施以人为本的 人才战略,加强对涉密人员特别是重要涉密人员的管理 。三是注重企业文化建设,把商业秘密保护作为企业文化的重要内容,使企业竞争利益与职工个人利益有机融为一 体,使“保密就是保生存” 、"保密就是保饭碗”的观念深入人心,成为企业上下的 共识,培养职工对企业的热爱和忠诚。创造良好的商业秘密保护环境。
工作制度
1.企业保密管理组织工作机制
为强化公司商业秘密保护,需在公司内部建立相关保密管理组织体系。具体机制
如下:
一、保密组织总体架构
公司内设立保密工作小组,组长由副总经理担任,保密工作小组工作直接向总经 理汇报,公司保密工作实行总经理负责制。保密工作小组下设兼职保密管理员一名,计算机与网络安全管理员一名。保密管理员负责保密相关事务的协调和处理,计算机 与网络安全管理员负责公司计算机及网络信息安全管理 。公司各部门保密工作依照 “业务工作谁主管、保密工作谁负责”原则,根据公司保密工作小组的具体要求,由各部门主管负责组织本部门人员配合实施。
二、保密工作小组职能
( 1 ) 制订公司保密工作规划、计划,研究部署本公司保密工作;
( 2 ) 将保密工作纳入公司日常行政管理 、经营业务活动中,研究解决保密工作中的重大问题;
( 3 ) 组织审定公司保密管理制度;
( 4 ) 审查、审批公司保密工作重要事项;
( 5 ) 指导 、协调 、监督 、检查公司保密工作开展情况,每年工作会议不少于两 次;
( 6 ) 牵头处置公司失 、泄密事件,提出处理意见,及时采取补救措施, 视情追 究责任人责任;
( 7 ) 总结、推广保密工作先进经验,表彰奖励保密工作先进集体和个人;
( 8 ) 牵头负责企业商业秘密定密分级工作,制订定密分级标准和相关方案,并 组织企业各部门参与具体工作。
三、公司各级领导和人员保密职责
1.公司总经理保密职责
( 1 ) 对本公司保密工作负全面领导责任;
( 2 ) 定期听取保密工作小组工作汇报,掌握保密工作整体情况;
( 3 ) 对重要保密工作事项提出明确要求,并针对公司保密工作中的突出问题, 组织相关人员采取有效措施解决;
( 4 ) 年度内对公司内各级领导和人员保密工作落实情况进行监督 (考核) ;
( 5 ) 为公司保密工作提供人力、物力、财力的保障。
( 1 ) 组织协调公司各部门落实有关保密工作决策和部署;
( 2 ) 制定和完善保密管理制度并组织实施;
( 3 ) 组织指导涉密人员相关保密协议的签订;
( 4 ) 组织实施涉密人员的相关保密检查工作;
( 5 ) 监督指导涉密经营活动的保密管理工作;
( 6 ) 监督指导保密防护措施的实施;
( 7 ) 查处违反保密法律法规和公司保密管理制度的行为及泄密事件, 在公司发生窃、泄密事件后组织、协调相关部门进行处置,并及时向总经理报告;
( 8 ) 依据公司保密管理制度执行情况 、保密工作落实情况,提出保密责任追究 和奖惩建议;
( 9 ) 组织开展多种形式的保密教育培训;
( 10 ) 完成总经理交办的其他保密工作,定期向总经理汇报工作情况。
( 1 ) 依照公司保密工作小组组长的要求,协调各业务部门做好公司日常保密管 理工作;
( 2 ) 对各部门保密工作进行指导、监督和检查;
( 3 ) 对保密工作中需要改进的事项向保密工作小组组长提出建议;
( 4 ) 具体落实保密工作小组组长布置的工作。 4.计算机与网络安全管理员职责
( 1 ) 依照公司保密工作小组的要求,负责对计算机和网络信息系统进行技术安 全管理;
( 2 ) 配合公司保密工作小组进行各项日常保密监督检查;
( 3 ) 对公司计算机设备和计算机网络进行安全防护和维护,确保正常运行。
( 1 ) 直接负责并掌握本部门的保密工作情况;
( 2 ) 采取具体措施组织本部门人员落实公司保密工作小组的有关部署;
( 3 ) 对本部门保密措施落实情况进行监督检查;
( 4 ) 遵守公司保密管理制度,切实履行保密职责。
2.企业涉密人员管理机制
为加强本公司涉密人员管理,特制定本管理机制。
— 、涉密人员的定义
公司涉密人员是指在公司内工作中产生、掌握、管理或接触本公司商业秘密的人员。
二、涉密人员范围与分级
公司涉密人员的划分范围为:产生、掌握、管理或接触到公司涉密事项清单中所列商业秘密的人员。
本公司涉密人员划分为两个涉密等级:核心级涉密人员、普通级涉密人员。
1.等级划分原则
公司根据涉密人员工作任务、工作岗位及职责范围的实际涉密情况综合界定其涉 密等级。原则上,核心级涉密人员界定为: 产生、掌握、管理或接触到公司绝密级商 业秘密的员工。普通级涉密人员界定为: 产生、掌握、管理或接触到公司机密级或秘 密级商业秘密的员工。上述人员的涉密内容如有交叉,则参照其所涉及的商业秘密最 高级别而定。
2.涉密人员涉密等级的首次确定
涉密人员涉密等级的首次界定,由公司保密工作小组开展深入调研分析后,制订 涉密人员范围及相应涉密等级的初步设定意见,报经总经理审批同意后确定。
3.涉密人员密级调整程序
涉密人员密级调整工作由公司保密工作小组牵头负责,原则上每年定期更新调整一次。
具体程序如下:
( 1 ) 涉密人员岗位或职务发生变化时,其所在部门应根据涉密人员实际工作岗位、工作任务、职责范围的变化,及时提出调整涉密等级的初审意见,部门负责人审核确定后,报送公司保密工作小组进行复审。
( 2 ) 保密工作小组对业务部门上报的涉密人员涉密等级初审意见进行复审。
( 3 ) 复审通过后,保密工作小组将涉密人员涉密等级的复审意见提交公司总经理审核后最终确定。
( 4 ) 各级涉密人员定级后,统一 由保密工作小组存档备案。
三、在职涉密人员管理
第一,公司统一与所有涉密人员签订保密协议。同时,所有涉密人员签领《涉密 员工保密手册》,明确自己应当承担的保密责任和义务。
第二,公司应对涉密人员进行定期保密教育培训,强化涉密人员保密意识。
第三,涉密人员在职期间,公司应对涉密人员遵守保密制度和纪律以及接受保密 教育的情况进行定期考核,建立健全保密监督和管理制度并严格执行。
第四,涉密人员岗位变动前及时收回商业秘密资产,包括涉及商业秘密的文件资 料、信息数据、存储设备、物品等。
第五,公司应对泄密事件进行惩戒,必要时追究相关责任人的法律责任。
第六,发放保密津贴。公司对涉密人员实行保密津贴制度,在对涉密人员进行涉
密等级界定和其已签订《保密协议》的基础上,审批发放保密津贴。并做以下管理:
( 1 ) 涉密人员保密津贴根据工作岗位和承担任务的实际涉密情况的变化随时进 行调整。
( 2 ) 涉密人员承担多项涉密任务或一人多岗的,以涉密等级最高的任务或岗位 确定其涉密等级和保密津贴。
( 3 ) 保密津贴发放必须发放至涉密人员本人,并由本人签字领取,相关收据由保密工作小组统一进行归档保存。
第一,涉密人员脱离涉密岗位前,应清退所有涉密文件、资料及物品,并不得再 接触本公司商业秘密。
第二,涉密人员在提出离职申请后,须由公司保密工作小组对其进行保密提醒谈 话后,方可办理离职手续。
五、职责划分和保障措施
第一,公司保密工作小组牵头负责对涉密人员管理组织和协调工作,各部门主管 负责配合做好相关措施的落实工作。
第二,保密工作小组负责具体实施涉密人员管理工作的保障措施:
( 1 ) 根据部门初审意见进行涉密人员范围与等级界定的复审工作;
( 2 ) 组织和安排涉密人员签订保密协议;
( 3 ) 组织涉密人员保密教育活动;
( 4 ) 根据涉密人员涉密等级做好保密津贴发放工作;
( 5 ) 做好涉密人员离职前的保密管理工作,包括督促其清退公司涉密资料和物 品,安排进行提醒谈话;
( 6 ) 对违反公司保密制度的失、泄密人员,泄露商业秘密的,将进行查处,情节严重的,将根据国家相关法律法规追究责任。
3.企业涉密部门保密管理制度
第一章 总则
第一条为加强本公司涉密部门的保密管理,现以“保障业务效率与提升保密能力相结合”为原则,制定本管理制度。
第二条 本公司涉密部门的涉密事项及知悉范围参见本公司“涉密事项一览表”。
第二章 各部门保密工作要求
第五条业务部保密工作要求。业务部人员应在下列情形中注意保密工作,不得
向无关人员透露:
1.招投标项目信息的存储、传递、交流;
2.招投标项目技术方案递交业主方确认时;
3.参与有关招投标项目的定价时。
第六条技术部保密工作要求。
1.技术部人员的保密管理要求参见《重要招投标项目保密管理制度》执行。
2.技术部在委托外包加工相关产品过程中,如产品中含有技术秘密, 应与有关加 工单位签订委托外包加工保密协议,保护相关技术改进信息。
第七条 市场部保密工作要求。
1.市场部招投标项目的保密工作,由市场部主管负责。项目标书与投标价格相关 的纸质资料、电子文档和磁介质存储设备均属于机密级涉密载体。相关涉密资料的传 递, 可参照《重要投标项目保密管理制度》相关条款进行管理。但填写投标价格与标 书打印制作,可在市场部自有办公设备上进行。
2.长期与本公司开展商务合作的公司名录电子文档应存放到公司配发的加密移动硬盘中进行管理和使用,相关纸质资料、电子文档均属于公司秘密级涉密载体,磁介质存储设备属于公司机密级涉密载体。
3.对重要招投标项目中涉及的商务合作公司信息进行保密,不得向无关人员透露。
第八条采供部保密工作要求。
1.长期供货的供应商名录电子文档应存放到公司配发的加密移动硬盘中进行管理 和使用,相关电子文档、磁介质存储设备均属于公司机密级涉密载体。
2.在具体项目的设备采购过程中,相关重要设备的采购交易价格作为秘密级信息 管理,应在相关交易合同中对设备供应商进行保密条款约定,禁止供应商将相关设备 的交易价格清单泄露第三方知悉,特别是严禁其将交易价格清单随货物发送。
第九条 行政部保密工作要求。
1.本公司历年工程竣工验收资料 (纸质) 集中由行政部进行管理,统一登记并存 放到保密室专用保密柜。该类纸质资料属于公司秘密级涉密载体。公司历年工程项目资料 ( 电子文档) 一式两份,均存放于公司配发的加密移动硬盘中。其中一份由行政 部保管,另一份由工程部保管。该类电子文档资料属于公司秘密级涉密载体,相关磁 介质存储设备属于公司机密级涉密载体。
2.本公司有关人事档案,统一登记并存放到保密室专用保密柜 。该类纸质资料属 于公司秘密级涉密载体。
第十条工程部保密工作要求。
1.公司历年工程项目资料 ( 电子文档) 一式两份,其中一份由工程部主管保管。该类电子文档资料属于公司秘密级涉密载体,相关磁介质存储设备属于公司机密级涉密载体。
2.工程部人员在查阅公司历年工程竣工验收资料时,应提前报经工程部主管同意,由工程部主管告知行政部主管后,由行政部人员统一从保密室中取放和转交借阅人员,并做好借阅台账登记工作。
第十一条 财务部保密工作要求。
本公司财务相关年度预决算报告、审计报告、统计报表、资产债务、财务凭证资 料均属公司机密级资料,全部统一存放至专用保密柜,参照机密级纸质涉密载体管理。上述相关资料的电子文档,除依照财务制度存储在财务部计算机中以外,如需要使用 移动存储设备的,均须使用公司配发的磁介质存储设备,相关电子文档资料和磁介质 存储设备均属于机密级涉密载体。
第十二条以上各涉密部门所管理使用的纸质、电子文档及磁介质涉密载体,均依照本公司《涉密载体管理制度》相关规定管理和使用 (涉密电子文档的密级标注可参照纸质涉密载体的标注方式执行) 。
第十三条以上各涉密部门所管理使用的存储有本公司各类业务、技术等信息数
据的计算机 (含公司配备和个人自购计算机) ,均应做好基本防泄密工作:
1.必须设置 BIOS 口令。
2.必须设置操作系统登录口令,长度不得少于 8 个字符,且应采用英文字母、数 字、字符混合方式,不得单独采用英文字母、数字、字符设置口令。
3.必须安装杀毒防护软件。
4.非业务工作必要的情况下,用于连接互联网的计算机上应当尽可能少地存储涉 密信息,相关涉密信息应当尽量以加密移动硬盘、加密 U 盘、光盘为载体进行存储和 备份。
第三章 保密职责
第十四条以上有关各部门的保密管理工作要求,由本部门主管负责组织、协调 和落实。
第十五条公司保密工作小组对各部门保密管理工作进行指导、协调和监督,并负责相关泄密情况的调查、处置和追责工作。
第四章 附则
第十六条本制度由公司保密工作小组负责解释。
第十七条本制度自颁布之日起施行。
XXXXX 公司
XX 年 XX 月 XX 日
企业涉密计算机及打印机管理制度
第一条为加强本公司重要涉密计算机和办公设备的保密管理,根据公司实际情况,制定本制度。
第二条本制度适用于公司重要招投标项目标书制作中间机、打印计算机及打印 机的保密管理。
第三条标书打印计算机作为公司绝密级计算机设备、标书打印机作为公司绝密 级办公设备、标书制作中间机作为公司机密级计算机设备,纳入保密管理范围。
第四条标书制作中间机、打印计算机和打印机须存放于公司保密室内, 由公司 保密工作小组计算机安全管理员负责管理;由重要招投标项目负责人专人使用,标书 打印计算机登录密码只限于保密工作小组计算机安全管理员和所有项目负责人掌握,严禁向其他人透露。其余无关人员均不得使用和操作标书打印计算机和打印机设备。
第五条标书制作中间机主机箱显眼处须粘贴“机密级”保密标签,标书打印计 算机主机箱和打印机机身显眼处须粘贴“绝密级”保密标签。上述设备品牌、型号、配置均由公司保密工作小组进行登记备案。
第六条标书制作中间机、打印计算机须禁用或拆除无线网卡,打印计算机还须 禁用或封禁除键盘 、鼠标外的所有 USB 接口 。如采用封条方式封禁 USB 接口的,则须在键盘、鼠标 USB 头与接口连接处加粘封禁易碎标签。
第七条 标书制作中间机、标书打印计算机必须设置 BIOS 口令和操作系统登录 口令 。操作系统登录口令长度不得少于 10 个字符,且应采用英文字母 、数字 、字符 混合方式,不得单独采用英文字母、数字、字符设置口令。
第八条 标书制作中间机和打印计算机应安装杀毒软件, 由计算机管理员定期查 杀病毒,所有需要拷贝或安装到涉密计算机中的信息或软件, 均须经过杀毒后,才能 拷贝或安装。
第九条 标书制作中间机、打印计算机和打印机的更换、维修须经公司保密工作 小组批准方可进行。原则上在公司内进行更换、维修,并全程由公司计算机安全管理 员陪同维修人员。涉密设备如需要出公司进行更换或维修,应先报告公司保密工作小 组,经同意并进行保密安全处理后,才能带出公司。
第十条标书制作中间机、打印计算机和打印机设备如需要报废,则先报告公司 保密工作小组,经同意并进行保密安全处理后 (拆除 CPU 、硬 盘 、内存条) ,才能够进行报废处置。
第十一条 公司保密工作小组对标书制作中间机、打印计算机和打印机设备保密 管理工作进行指导和监督,计算机安全管理员负责其管理和维护。
第十二条 重要招投标项目负责人对标书制作中间机、打印计算机和打印机设备 的使用过程保密工作负责。
第十三条对于违反本保密制度,造成泄密隐患和泄密事件的,公司保密工作小 组将追究相关责任人责任。
第十四条本制度由公司保密工作小组负责解释。
第十五条本制度自颁布之日起施行。
XXXXX 公司
XX 年 XX 月 X X 日
企业涉密载体管理制度
第一章 总则
第一条为加强本公司涉密载体的保密管理,确保商业秘密的安全,现以“保障 业务效率与提升保密能力相结合”为原则,制定本管理制度。
第二条 涉密载体是指以文字 、数据、符号、图形、图像、声音等方式记载公司 涉密信息的纸介质、磁介质、光盘等各类物品。磁介质载体包括计算机硬盘、软盘和 录音带、录像带等。本公司的涉密载体主要是以纸介质和磁介质载体形式存在。
第二章 涉密载体的标识
第三条纸介质载体,应在封面或首页明显处 ( 一般为右上角) 以“密级保密期限”的形式进行标注。电子文档类涉密载体的密级标注方式可参照纸介质载体执行。
第四条磁介质类涉密载体应当标明密级、编号、使用人姓名。根据本公司实际情况,将配发加密移动硬盘和加密u盘两种磁介质类涉密载体,并且均按机密级涉密 载体管理。
具体标识方法为:在涉密载体机身或挂标处粘贴公司涉密载体标签, 由公司保密工作小组统一编号管理。
涉密设备标签如下图:
第三章 磁介质涉密载体的配发
第五条公司磁介质涉密载体分为加密移动硬盘与加密 U 盘两种。具体由公司保 密工作小组根据相关保密要求进行统一采购、登记和发放, 制作和填写“磁介质涉密 载体领发登记表”,公司相关涉密部门主管和涉密人员签字领取。
第四章 涉密载体的管理和传递
第六条公司纸质涉密载体在传递时,应严格履行登记 、签收、传阅手续,填写 “纸质涉密载体传递登记表”,应当随时明确涉密载体的去向。
第七条 携带纸质涉密载体外出时,应做包装密封,并采取保护措施,使涉密载 体始终处于携带人的有效控制之下。
第八条公司配发的磁介质涉密载体由保密工作小组登记的使用人负责保管,其中,加密移动硬盘仅作为保存重要涉密数据使用,不得进行电子文档传递。需要进行 涉密电子文档传递 (阅) 的,只能使用加密 U 盘进行传递 ( 阅) ,U 盘使用人应将需 要传递 ( 阅) 的电子文档根据具体传递 ( 阅) 要求,对接收人进行权限设置后,再进 行传递 ( 阅) 。
第五章 纸质涉密载体的复印
第九条 本公司秘密级纸质涉密载体的复印,须报经涉密载体所属部门主管同意;机密级纸质涉密载体的复印,需要报经部门主管后,由保密工作小组审核同意; 绝密级纸质涉密载体的复印,须报经总经理同意。相关报批手续参见“纸质涉密载体 复印审批单”。
第六章 涉密载体的保存和清退
第十条涉密载体应当保存在公司规定的保密文件柜中。
第十一条 工作人员离开办公场所,应当将涉密载体存放在保密文件柜里。
第十二条 涉密人员、涉密载体管理人员离岗、离职前应当将所保管的涉密载 体全部清退,并办理移交手续。
第十三条 保密工作小组管理员须定期对各部门涉密载体进行清查 、核对, 发现 问题及时向公司保密工作小组组长报告。按照规定应当清退的涉密载体,应及时如数 清退,不得自行销毁。
第七章 涉密载体的报废和销毁
第十四条需要报废或销毁涉密载体的,应当经所属部门主管批准,其中, 纸质 涉密载体的销毁,应填写“纸质涉密载体销毁登记表”。磁介质载体的报废由公司保密管理员登记审核,并履行清点回收手续。
第十五条涉密载体销毁,应当确保涉密信息无法还原。销毁纸介质涉密载体, 使用符合保密要求的碎纸机;销毁磁介质、光盘等涉密载体,应当采用物理或化学的 方法彻底销毁。销毁工作完毕后,应当认真清理销毁现场, 确保无密件残片等方可离开。
第十六条严禁将拟销毁的涉密载体作为废品出售。
第八章 职责划分和保障措施
第十七条公司保密工作小组具体负责涉密载体的发放、监督销毁,并对涉密部 门的涉密载体管理工作进行监督。
第十八条 各部门主管负责指导和监督本部门涉密人员正确形成、使用和管理涉 密载体。具体涉密人员负责涉密载体的制作和标识,并应及时销毁制作过程中产生的不需归档的材料。涉密载体具体使用人负责使用过程中的保密工作。
第九章 附则
第十九条本制度由公司保密工作小组负责解释。
第二十条本制度自颁布之日起施行。
XXXX 公司
XX XX 月 XX 日
欢迎关注
页内导航
为您服务
