DB51 T 2874-2022 检验检测机构保护客户秘密实施指南.pdf

1、 ICS 03.120.10 CCS A 00 DB51 四川省地方标准 DB51/T 2874 2022 检验检测 机构 保护 客户秘密 实施指南 2022-02-24 发布 2022-04-01 实施 四 川 省 市 场 监 督 管 理 局 发 布 DB51/T 2874 2022 I 目 次 前 言 . II 1 范围 . 1 2 规范 性引 用文 件 . 1 3 术语 和定 义 . 1 4 基本 要求 . 2 5 涉及 客户 秘密 的过 程识 别及管 理 . 3 6 内部 涉密 人员 管理 . 5 7 涉密 载体 的管 理 . 5 8 风险 管理 . 6 9 审核 和改 进 . 6 D

2、B51/T 2874 2022 II 前 言 本文件 按照GB/T 1.1 2020 标准 化工 作导则 第1 部分： 标准化 文件 的结构 和起草 规则 的规 定 起草。 本文件 由四 川省 市场 监督 管理局 提出 、归 口并 解释 。 本文件 起草 单位 ： 四川 省 产品质 量监 督检 验检 测院 、 广 元市 产品 质量 监督 检 验所 、 成 都市 产品 质量 监督检 验研 究院 、四 川凯 乐食品 检测 有限 公司 。 本文件 主要 起草 人： 胡丹 、 姬洪 涛 、 张 文龙 、 韩渝 、 王睿、 韩勇、 何羽 乔 、 唐诗 俊 、 赵 瑞麒 、 江瑜 、 蒋美琴 、谷 雨、

3、杨沐 、 丁 劲松 、 曾珂 、陈洁 。 本文件 首次 发布 。 DB51/T 2874 2022 1 检 验检测 机构保护 客户秘 密实施指 南 1 范围 本 文件 规定 了检 验检 测机 构 保护 客户 秘密 的基本 要 求、 涉 及客 户秘 密 过 程识 别及管 理、 内部 涉密人 员管理 、涉 密载 体管 理、 风险管 理、 审核 和改 进 等 内容 。 本 文件 适用 于取得 资 质认 定（CMA ） 或实 验室 认可 （CNAS ） 的检 验检 测机 构。 2 规范性 引用 文件 下列文 件中 的内 容通 过文 中的规 范性 引用 而构 成本 文件必 不可 少的 条款 。 其 中

4、， 注日 期的 引用 文件 ， 仅该日 期对 应的 版本 适用 于本文 件； 不注 日期 的引 用文件 ， 其 最新 版本 （包 括所有 的修 改单 ） 适 用 于 本 文件。 GB 17859-1999 计算 机信 息 系统安 全保 护等 级划 分准 则 GB/T 24353 风 险管 理 原 则与实 施指 南 GB/T27025 检测 和校 准实 验室能 力的 通用 要求 RB/T 214 检验 检测 机构 资 质认定 能力 评价 检 验检 测 机构通 用要 求 3 术语和 定义 GB/T 19000 、GB/T 27025 、RB/T 214 界定 的以 及下 列术语 和定 义适 用于

5、本文 件。 3.1 检 验检 测机 构 inspection body and laboratory 依 法成 立， 依据 相关 标准或 者技 术规 范， 利用 仪器设 备、 环境 设施 等技 术条件 和专 业技 能 ， 对 产 品 或者法 律法 规规 定的 特定 对象进 行检 验检 测的 专业 技术组 织。 来 源 ：RB/T 214-2017,3.1 3.2 客户 customer 能 够或 实际 接受 为其 提供的， 或按 其要 求提 供的 产品或 服务 的个 人或 组织， 如消费 者、 最 终使 用 者 、 零售商 、公 共组 织、 公司 、集团 、企 事业 单位 、行 政机构 、协

6、会、 研究 机构 等。 来 源 ：GB/T 19000-2016 ，3.2.1, 有 改写 3.3 活动 activity 由一组 有起 止日 期的 、相 互协调 的受 控活 动组 成的 独特过 程 中 识别 出的 最小 的工作 项 。 来 源 ：GB/T 19016-2005.3.1,有 改写 3.4 国家秘 密 state secret 关系国 家安 全和 利益 ，依 照法定 程序 确定 ，在 一定 时间内 只限 一定 范围 的人 员知悉 的事 项。 DB51/T 2874 2022 2 3.5 商业秘 密 trade secret 不为公 众所 知悉 、具 有商 业价值 并经 权利 人采

7、 取相 应保密 措施 的技 术信 息、 经营信 息等 商业 信息。 3.6 个人信 息 personal information 以电子 或者 其 他 方式 记录 的能够 单独 或者 与其 他信 息结合 识别 特定 自然 人的 各种信 息 。 注： 个人信息包括： 自然人的姓名、 出生日期、 身份证件号码、 生物识别信息、 住址、 电话号码、 电子邮箱、 健康 信息、行踪信息等。 3.7 涉密人 员 secret-related personnel 根据工 作职 责或 者保 密协 议有权 接触 、使 用、 掌握 涉密信 息的 检验 检测 机构 员工或 其他 人。 3.8 涉密的 载体 secr

8、et-related carrier 以文字 、 数 据、 符 号、 图 形、 实 物、 视 频和 音频 等 形式记 载和 存储 秘密 信息 的纸介 质、 光介 质、 电 磁介质 、产 品、 样品 等各 类物品 。 注1 ：纸介质涉密载体是指传统的纸质涉密文件资料、书刊、图纸等。 注2 ：光介质涉密载体是指利用激光原理写入和读取涉密信息的存储介质，包括CD、VCD 、DVD 等 各类光盘。 注3 ：电磁介质涉密载体包括电子介质和磁介质两种，包括各类闪存盘、硬磁盘、软磁盘、磁带等。 3.9 涉密区 域secret-related area 可以接 触到 客户 秘密 信息 的一切 场所 。 注：

9、如实验室、办公室、档案室、机房等。 4 基本要求 4.1 检验检 测机构 应依 据国家 保密 相 关法规 及相 关标准 建立保 护客户 秘密 的制度 ， 制定 保护客户秘密 的程序 文件， 对保 密要求 、 保密 职责、 涉密 载体的 管理 、 涉密人 员管 理、相 关活动 涉及客 户秘 密识 别 、 风险评 估等 内容 做出 规定 ， 并宣 贯和 实施 。 4.2 检验检 测机 构在 实验 室活 动中获 得的 或产 生的 以下 信息， 均为 客户 秘密 ： 客户提 交检 测的 资料 及样 品，工 艺流 程、 设计 图纸 、技术 依据 、外 观设 计（ 照片） 、产 品技 术说明 书、 专利

10、技术 、顾 客 送检 附带 的 信 息， 试样 或产品 ； 检验检 测活 动中 所获 取的 有关信 息， 检测 数据 和结 果； 客户要 求其 他保 密的 信息 或者特 别规 定的 保密 信息 。 4.2.1 客户秘 密保密 要求 由客户 提出， 必要时 签订 保密 协议 对保密 内容 和期限 进行约 定 ，机 构 应 根据法 律规 定或 双方 约 定 并按以 下原 则采 取相 应 保 密措施 ： a) 涉 及 国家 秘 密， 应按 照 中 华 人民 共 和国 保守 国 家秘 密 法 、 中 华人 民 共和 国 保守 国家秘 密法实 施条 例 及相 关法 律法规 执行 。 b) 涉及客 户的

11、商业 秘密 ，按 照协议 约定 履行 保密 义务. c) 涉及自 然人 的个 人信 息， 应按照 个 人信 息保 护法 及相 关法 律法 规执 行 4.3 如需对 外披 露客 户秘 密， 以下要 求需 注意 ： DB51/T 2874 2022 3 a) 依据法 律要 求或 合同 授权 需透露 保密 信息 时， 应按 照 GB/T 27025 中 4.2.2 要 求，将 所提 供 的 信息通 知到 相关 客户 或个 人； b) 建立对 外披 露客 户秘 密审 批责任 ，明 确对 外披 露客 户秘密 审批 要求 和流 程； c) 对披露 客户 秘密 进行 检查 ，发现 问题 ，立 即采 取补 救

12、措施 。 4.4 涉密区 域管理 ，根 据机构 实际情 况有条 件的 机 构可 设置门 禁、视 频监 控装置 ；可适 时采用 信 息 化 手段对 区域 的管 理进 行 实 时记录 和监 控。 4.5 机构涉 密人员 内部 沟通时 ， 应尽 量避免 在任何 社交 媒体、 即时通 讯软 件私自 传输， 发送涉及客户 的信息 。 4.6 机构应 根据 需要 配置 检验 检测业 务管 理 系 统， 制定 访问控 制策 略， 可参 照GB17859-1999 的要 求 进 行软硬 件配 置， 必要 时可 对机构 信息 系统 保密 等级 及符合 性进 行第 三方 权威 机构的 审查 认定 。 有 条 件

13、的 机构可 配置 终端 管理 程序 ， 用 于记 录操 作终 端对 涉 密信息 拷入 拷出 ， 截屏 和 屏幕拍 照 等 操作 ， 实现 可 追 溯。 5 涉及客 户秘 密的 过程 识别 及管理 5.1 检验检 测机构 与客 户信息 （不论 是获取 还是 工作过 程产生 的）有 接触 的任何 个人和 任何活 动 ，不 论是内 部还 是外 部 ， 都应 视为涉 密 ， 纳入 保护 客户 秘密的 管理 中 。 5.2 检验检 测机构 在合 同评审 阶段， 应与客 户就 保密事 项和要 求予以 约定 ，将约 定内容 纳入合 同 或 协 议中， 如有 必要 可另 行签 订专门 的保 密合 同， 专项

14、约定保 密内 容及 期限 。 5.3 检验检 测机 构应 保留 合同 履行过 程中 保护 客户 秘密 的记录 。 5.4 内部活 动中 客户 秘密 的保 护 5.4.1 分包, 将任务 分包 给满 足要 求的 检验检 测机 构时 ， 确 保但 不限于 以下 措施 得以 实施 ： a) 应与接 受分 包任 务的 检验 检测机 构明 确保 密要 求； b) 应 对 保密 要 求及 内容 用 合同 的 形式 予 以约 定， 必 要时 签 订专 门 的保 密协 议 ，约 定 保密 内容及 期限。 5.4.2 采购 当检验 检测 机构 需采 购服 务时， 如设 备检 定和 校准 服务， 设备 设施 的运

15、 输、 维护和 保养 ， 样 品 制 备 和运输 等 ， 确保 但不 限于 以下措 施得 以实 施： a) 应就保 密要 求与 提供 服务 方进行 约定 ，对 保密 事项 提出要 求； b) 应对保 存在 设备 或电 脑中 的信息 进行 加密 ； c) 在对供 应商 进行 评价 时， 应将遵 守保 密协 议的 情况 纳入评 价内 容。 5.4.3 服务客 户 当允许 客户 或其 代表 合理 进入为 其检 验检 测的 相关 区域观 察时 ， 确 保但 不限 于以下 措施 得以 实施 ： a) 应确保 其他 客户 的机 密得 到保护 ； b) 检验检 测机 构应 对客 户进 入检验 检测 现场 的

16、区 域和 路线进 行限 定， 并经 过相 应审批 ； c) 必要时 ，对 现场 涉及 到的 其他客 户的 检测 活动 暂时 停止； d) 必要时 ，对 现场 在检 其他 客户的 样品 进行 遮盖 或遮 挡。 DB51/T 2874 2022 4 5.4.4 投诉 从客户 以外 渠道 （如 投诉 人 、 监管 机构 ） 获 取有 关客 户 的信息 时 ， 确保 但不 限于 以 下措施 得以 实施 ： a) 应在客 户和 实验 室间 保密 ； b) 除非信 息的 提供 方同 意， 实验室 应为 信息 提供 方（ 来源） 保密 ，且 不应 告知 客户或 其他 方； c) 检验检 测机 构应 限定 知

17、悉 人员的 范围 ，与 活动 无关 的人员 无权 知悉 ； d) 在调查 处理 时， 必要 时可 将信息 拆分 ，分 别告 知办 理投诉 相应 职责 人员 。 5.4.5 数据信 息管 理 利用计 算机 或自 动化 设备 对检验 检测 数据 进行 采集 、 处理 、 记 录、 报告 、 存 储 或检索 时 ， 确保 但 不 限于以 下措 施得 以实 施 ： a) 应对登 陆系 统操 作人 员进 行审批 ； b) 应根据 岗位 职责 对可 操作 范围和 内容 给定 权限 范围 ； c) 应对登 陆密 码设 定的 复杂 程度作 出要 求； d) 应对登 陆操 作特 别是 删除 、拷贝 、传 输等

18、进行 记录 。 5.4.6 样品处 置 样品在 运输 、 接 收、 处 置 、 保护、 存储 、 保 留、 清 理或返 回过 程应 予以 控制 和记录 ， 以 保护 样品 的 完整性 并为 客户 保密 ，确 保但不 限于 以下 措施 得以 实施 ： a) 样品接 收人 员应 按客 户要 求并遵 照合 同约 定对 样品 进行分 类， 及时 入库 并妥 善保管 ； b) 有 条 件的 检 验检 测机 构 可配 置 实时 音 视频 记录 装 置， 用 于从 样 品接 收、 入 库、 流 转全 过程记 录； c) 检测现 场待 检样 品应 于检 测前再 拆封 ，尽 量避 免相 关信息 的暴 露； d)

19、 在对样 品进 行清 理和 处置 中，应 做好 登记 ，待 审批 后采取 相应 措施 予以 处置 ； e) 需清理 和处 置的 样品 ，应 对其标 签标 识尽 量涂 抹损 坏至不 便于 识别 ； f) 对于有 特殊 保密 要求 的样 品，应 按签 署的 保密 协议 分类分 区保 存； g) 对特殊 保密 样品 应进 行保 密标识 以便 于识 别； h) 在检测 过程 中， 可采 用防 护屏风 或防 护罩 等措 施适 当隔离 ，并 限 定 知悉 人员 数量。 5.4.7 结果传 送和 格式 当客户 需要 使用 电话 、传 真或其 他 电 子或 电磁 方式 传输报 告时 ， 确 保但 不限 于以下

20、 措施 得以 实施 ： a) 应有客 户要 求的 记录 ； b) 如 使 用电 子 邮箱 发送 ， 应发 送 至客 户 指定 的电 子 邮箱 ， 发送 前 应对 邮箱 的 正确 性 再次 确认， 并及时 向客 户确 认收 件情 况，同 时做 好记 录； c) 尽量避 免使 用如 微信 或 QQ 此类即 时通 讯软 件为 客户 传输检 验检 测结 果， 除非 有证据 表明 客 户 同意； d) 如使用 传真 ，应 确认 接收 方的真 实身 份后 方可 传送 结果。 5.5 外部活 动中 客户 秘密 的保 护 5.5.1 除内部 检验检 测活 动外， 检验检 测机构 因为 机构间 合作、 资质获

21、取、 发展需 要等事 项而开 展的 实验室 参观 、 评审 、 出租 或 租用设 备设 施等 活动 ， 机 构应对 这些 活动 采取 适当 措施以 确保 其他 客户 秘密 得到保 护。 DB51/T 2874 2022 5 5.5.2 应制定 相应管 理文 件并采 取适宜 的保护 措施 ，对外 来参观 人员、 审核 人员、 合同方 人员进 入 实 验室进 行控 制 。 a) 当 外 来 人 员 到 本 检 验 检 测 机 构 参 观 、 学 习 时 ， 应 对 样 品 或 结 果 予 以 控 制 和 保 护, 参 见 本 文 件 5.4.3 的要 求 实 施客 户秘 密的保 护 。 b) 对外

22、出 租或 租用 设备 设施 情况时 ，例 如：EMC 、电 气 防爆实 验室 等 ， 可采 取以 下保护 措施 ： 必要时 ，应 对出 租或 租用 设备设 施区 域采 取适 当措 施予以 隔离 ； 应对非 本实 验室 人员 在进 入本实 验室 的活 动范 围进 行限 定 。参 见本 文 件 5.4.3 的要求 实 施客 户秘密 保护 。 c) 外部评审 ， 检验 检测 机 构接 受 第二 方 或第 三方 评 审时 ， 应对 需 保密 的事 项 、需 保 密区 域以及 保密要 求予 以说 明， 必要 时，双 方签 订保 密协 议。 6 内部涉 密人 员管 理 检验检 测机 构应 采取 相应 措施

23、对 内部 涉密 人员 进行 相应的 管理 ，包 括但 不限 于以下 措施 ： a) 签订保 密承 诺书 ，承 诺书 内容包 括但 不限 于以 下内 容： 1) 保密的 内容 和范 围； 2) 保密的 权利 和义 务； 3) 保密的 期限 ； 4) 违约责 任； 5) 其他需 约定 事项 。 b) 保 密 培训 ， 对机 构内 部 涉密 人 员开 展 保密 教育 和 培训 ， 确保 其 了 解 保密 的 责任 和 义务 ，包括 但不限 于以 内容 ： 1) 相关法 律法 规； 2) 机构管 理制 度及 文件 ； 3) 接触涉 密信 息的 范围 及接 触超越 此范 围涉 密信 息的 审批程 序；

24、4) 风险管 理要 求。 c) 离职管 理， 对于 离开 本检 验检测 机构 的涉 密人 员， 检验检 测机 构应 采取 以下 措施： 1) 离职面 谈， 告知 员工 负有 的保密 义务 ，以 及其 他约 定或法 定的 注意 事项 ； 2) 退还涉 密载 体； 3) 签订保 密承 诺书 。 d) 根据知 悉需 要， 将涉 及客 户秘密 的完 整事 项分 割， 进行分 段化 管理 。 7 涉密载 体的 管理 7.1 建立涉 密载体 台账 ， 实施 涉密载 体的制 作、 收发、 传递、 使用、 复制 、保存 、维修 、销毁 的 全 生 命周期 管理 ，防 止未 授权 的 使用 、访 问， 防止 被

25、盗 。 7.2 涉密载 体制 作需 明确 以下 事项： a) 制作过 程的 保护 措施 和管 理权限 ； b) 使用或 发放 范围 和制 作数 量。 7.3 指定专 人负 责涉 密载 体的 传递。 7.4 涉密载 体使 用， 需符 合以 下要求 ： DB51/T 2874 2022 6 a) 涉及系 统登 陆， 根据 工作 需要， 给使 用人 授权 ，给 定相应 权限 的账 号； b) 存放在 相应 区域 的涉 密载 体，使 用门 禁装 置， 还可 设置实 时监 控便 于追 溯； c) 在使用 涉密 载体 时按 规定 履行审 批； d) 携带涉 密载 体外 出或 外发 涉密载 体时 按规 定履

26、 行审 批； e) 携带外 出或 外发 的涉 密载 体使用 完毕 后及 时交 回并 做好登 记。 7.5 涉密载 体在 需要 复制 时， 应符合 以下 要求 ： a) 履行审 批、 登记 手续 ； b) 加盖标 识， 可以 是专 门的 复制专 用章 ，并 视同 原件 管理。 7.6 涉密载 体的 保存 、清 理、 销毁符 合以 下要 求： a) 环境场 所条 件满 足涉 密载 体的存 放； b) 定期清 查、 核对 涉密 载体 ； c) 维 修 维护 一 般由 本检 验 检测 机 构机 构 专人 负责 ， 确需 外 部人 员 现场 维修 的 ，应 指 定专 人全程 现场监 督； d) 销毁涉

27、密载 体应 履行 审批 手续， 并进 行清 点和 登记 ； e) 已销毁 的涉 密载 体中 的秘 密信息 无法 还原 。 8 风险管 理 检验检 测机 构 要 把机 构保密 过程 纳入 风险 管理 ，每 年至少 进行 一次 风险 评估 。 9 审核和 改进 9.1 检验检 测机 构 应 对保 护客 户秘密 的管 理文 件和 保密 措施进 行评 审评 估， 确保 其适宜 。 9.2 应对保 护客 户秘 密实 施情 况进行 审核 检查 ，确 保措 施落实 到位 ，满 足要 求， 记录可 追溯 。 9.3 应根据 风险 评估 、评 审和 审核结 果、 客户 反馈 等信 息来持 续改 进保 护客 户秘 密的管 理 。