0102-商业秘密管理程序

商业秘密管理程序

1 目的

为了加强公司的信息安全管理，提高员工的保密意识，保护公司的商业秘密，特制定本程序。

2 范围

适用于对公司保密管理的所有活动。

3 职责

3.1 综合部

负责公司商业秘密的管理工作。包括密级的确定，保密措施的检查及评估等。

3.2 相关部门

负责本部门商业秘密的管理工作，负责相关保密资料的传阅、收集、整理。

3．3管理职责

企业秘密管理的最高责任者为公司总经理，各部门的管理责任者为本部门主管。全体员工都负有遵守保密承诺、保守企业秘密的义务。

第0次修改 第 1 页 共 4 页

商业秘密管理程序CX-ISMS-0102-2015 版本：A/0

4 程序

4.1总则

4.1.1 公司商业秘密属于公司资产，受法律保护，公司所有员工均有保密义务。各部门应对工作人员，特别是新参加工作的人员进行保密教育。

4.1.2 综合部应组织各部门对公司的涉密信息进行识别，并进行风险评估和风险管理。

4.1.3 各部门对外发送的任何涉密信息，须由本部门领导审核，总经理批准方可外送。

4.2 密级的分类

4.2.1信息的密级分为3类：企业秘密事项（秘密）、内部信息事项（受控）和公开事项。

信息分类定义：

a)“秘密”：《中华人民共和国保守国家秘密法》中指定的秘密事项；或不可对外公开、若泄露或被篡改会对本公司的日常经营造成严重损害，或者由于业务上的需要仅限有关人员知道的事项；介质包括但不限于：纸类、电磁类及其它媒体（纸张、软盘、硬盘、光盘、磁带、胶片）。

b)“受控”：不可对外公开、若泄露或被篡改会对本公司的日常经营造成损害，或者由于业务上的需要仅限有关人员知道的事项；或是指为了日常的业务能顺利进行而向公司员工公开、但不可向公司以外人员随意公开的事项。

第0次修改 第 2 页 共 4 页

商业秘密管理程序CX-ISMS-0102-2015 版本：A/0

c)“公开”：秘密事项以外，仅用来传递信息、昭示承诺或对外宣传所涉及的事项。

4.2.2对于关键的或顾客有严格保密要求的商业秘密，经过风险评估，可设立绝密等级，绝密等级的标识和控制要求，由风险评估部门制定风险控制方案和计划，按风险控制方案和计划进行管理。

4.2.3公司密级的确定策略是：谁起草谁定密，部门领导审核，批准人员把关。涉密文件一经授权人员批准，其密级和保密期限即正式生效。起草人员对自己起草的信息需确定密级时，应随时询问领导。后者对前者的请求应及时给予明确的判定。无法判明时，可请示更高一级领导。

4.3 涉密、受控文件的标识、制发

4.3.1 本单位产生的企业“秘密”、受控文件应按确定的密级和保密期限，做好密级标识或加盖识别印章，敏感信息事项不作标识。

4.3.2 企业秘密解除或变更加盖解除或变更识别印章。

4.3.3 采用电磁等媒体记录的秘密文件，应在其包装盒上明显的位置用标签标明密级管理分类，使用的印章同上；计算机中储存的涉密文件，应设置访问密码，文件夹不得共享。

4.3.4由规划与建筑设计所负责发行管理的技术关联材料等，除特别指定外均属受控文件。

4.3.5 制作密件过程中形成的草稿、修改稿、电子文件等，凡需要保存的，应当按正式密件的密级和保密期限管理。不需保存的，必须销毁，电子文件应删除。

第0次修改 第 3 页 共 4 页

商业秘密管理程序CX-ISMS-0102-2015 版本：A/0

4.3.6 公司涉密文件一般不得委托外单位印刷和制作。必需到印刷厂印刷的密级资料，须经公司分管领导批准，并在公司专人监督下到指定的印刷厂印制，严格控制印刷份数，并应与指定的印刷厂签署包括保密内容的协议。

4.4 涉密信息（文件资料）的管理

4.4.1 一般级文件、资料，由发放部门根据工作需要，确定发放范围。分发给各部门，有保密级的文件、资料必须登记，落实到专人管理，妥善保存，限期收回。因工作关系所获得的有关秘密资料，涉及人员应妥善保管，个人不得带到家里和公共场所，不得对外泄密。

4.4.2 涉密文件、记录、磁盘、光盘或其它存贮媒体在不用时，应放在上锁的文件柜、保险柜或其它形式的保险家具中，指定专人负责该钥匙的保管。

4.4.3 电脑终端应按《个人计算机管理程序》的规定保证桌面安全。综合部或场所在人员不在时，应将门上锁。

4.4.4 服务器终端在不用时实行锁屏，屏幕保护程序设定时间不少于5分钟。

4.4.5在网络中（Web服务器上）供内部职工使用的文档，应以WORD保护文档形式发布，供企业内部职工查询。

4.4.6 因工作需要借阅涉密文件材料的，需填写《文件资料借阅申请表》。借阅人应妥善保管涉密文件，用后及时归还。

4.4.7 对超越保管期限、没有保存价值的文件材料（包括各部门在工作中形成的文件、记录），

第0次修改 第 4 页 共 4 页

商业秘密管理程序CX-ISMS-0102-2015 版本：A/0

文件由综合部负责回收、汇集，填写《文件销毁记录》或《记录销毁记录》，报总经理批准后，由两人以上在指定的场所实行监销，并做好监销记录。

4.4.8 员工在退休、调离、换岗时必须将全部文档资料交给本部门负责人，不得私自带走或私自处理。各部门加强本部门内信息资产的控制，在员工的文档资料全部收回后，方可为员工办理退休、离职、换岗的相关手续。

4.5 软件开发过程的保密管理

4.5.1 软件开发过程的涉密信息包括初始阶段的信息、设计编码阶段的信息、测试阶段的信息、收尾阶段的信息。

4.5.2 规划与建筑设计所应对软件开发过程的涉密信息进行识别，录入相应文档或数据项下，并进行风险评估和风险管理。

4.5.3 反映顾客要求的文件，如软件需求说明书，应为书面文件，并经双方签署，做好密级标识，按本程序妥善保存。

4.5.4 软件开发过程的数据信息，如设计编码和测试阶段的数据信息等，其保密性、完整性和可用性应按《数据安全管理程序》进行管理。

4.5.5 软件开发过程开发的源代码及其他需交付给顾客的文件，应按顾客要求的方式交付给顾客，交付前应填写《对外提交信息审批表》，经批准后交付。

4.5.6 采用电子邮件交付时，应按双方约定进行加密。

第0次修改 第 5 页 共 4 页

商业秘密管理程序CX-ISMS-0102-2015 版本：A/0

4.6 会议保密规定

4.6.1 凡牵涉秘密的会议，综合部根据需要，严格确定出席、列席会议人员。

4.6.2 任何参会人员不得向外泄露会议内容。

4.6.3 重要秘密内容，不印制文件，也不作记录。

4.6.4 会议文件要划定密级，统一编号，按照规定的范围印发和传达。会议结束时，对文件、资料进行清点，应收回的要全部收回。

4.7 宣传报道的保密规定

4.7.1 对外宣传、投稿、发表论文以及本公司刊物报道中，不得泄露本公司秘密，在宣传报道中有可能涉及到本公司的某些机密时，应对报道内容进行适当处理，所有对外宣传稿件、涉及公司技术内容的发表论文需填写《文章保密审查单》经总经理批准后盖公司印章方可对外发布。

4.7.2 在接待工作中，应严格遵守公司的接待规定，外来人员需访问公司有关现场或信息系统时，按《相关方信息安全管理程序》进行。遇到需要保密的问题时，应主动及时向主管领导请示，防止以参观为名窃取情报的事情发生。

4.8 通信保密规定

4.8.1 严禁用普通邮政、明码电报、普通传真、普通电话等传递涉密事项。公司各部门需发送涉密文件的，统一由综合部办理。

第0次修改 第 6 页 共 4 页

商业秘密管理程序CX-ISMS-0102-2015 版本：A/0

4.8.2 特别情况下，必须用电话通知时，在用语上要加以注意。一般秘密内容如果发传真，应当加密。

4.8.3 使用电子邮件通信应按《信息交换管理程序》规定的电子邮箱使用策略执行。

4.9 事件处理

4.9.1发现丢失密级文件、资料或泄密，应按《信息安全事件管理程序》，及时报告综合部，并采取必要的补救措施，对当事人要教育、批评，严肃处理。

4.9.2对员工及相关方违反公司策略、程序、保密协议条款，以及泄露秘密的情况视情节轻重,按《信息安全惩戒管理程序》，追究违约赔偿甚至法律责任。

4.9.3 本公司员工要自觉执行保密规定，不得私自将企业商业秘密向其他岗位人员泄露，也不得打听、窃取其他岗位的秘密事项。不得在工作时间或工余时间为外单位从事有损本公司利益、涉及本公司秘密的工作，退休、离职人员离公司两年内也不得从事有损本公司利益的工作。

4.9.4综合部通过多种形式对涉密人员进行保密教育。

4.9.5综合部负责对保密工作措施进行检查及评估，一般每六个月应检查相关部门的保密工作情况。

5 引用文件

5.1《个人计算机管理程序》

第0次修改 第 7 页 共 4 页

商业秘密管理程序CX-ISMS-0102-2015 版本：A/0

5.2《数据安全管理程序》

5.3《相关方信息安全管理程序》

5.4《信息交换管理程序》

5.5《信息安全事件管理程序》

5.6《信息安全惩戒管理程序》

6 记录

JL0102-01《文章保密审查单》

JL0102-02《信息发布审核表》

JL0102-03《对外提交信息审批表》

第0次修改 第 8 页 共 4 页