DB5105 T 59-2022 商业秘密保护示范基地建设规范.pdf

《DB5105 T 59-2022 商业秘密保护示范基地建设规范.pdf》由会员分享，可在线阅读，更多相关《DB5105 T 59-2022 商业秘密保护示范基地建设规范.pdf（29页珍藏版）》请在麦多课文档分享上搜索。

1、ICS 03.140CCS A 00DB5105四 川 省（泸 州 市）地 方 标 准DB5105/T 592022商业秘密保护示范基地建设规范Specifications for construction of demonstration bases for trade secret protection2022-11-16 发布2022-12-16 实施泸州市市场监督管理局发 布DB5105/T 592022I目次前 言.III1范围.12规范性引用文件.13术语和定义.14基本要求.25商业秘密范围和管理.26建设对象.107建设内容.108服务工作内容.129评价与改进.13附录 A（

2、资料性）商业秘密保密范围.14附录 B（规范性）商业秘密保密协议（参考文本）.15附录 C（资料性）竞业限制协议（参考文本）.19附录 D（资料性）不侵犯商业秘密承诺函（参考文本）.22附录 E（资料性）合作保密协议（参考文本）.23参考文献.26DB5105/T 592022II前言本文件按照GB/T 1.1-2020标准化工作导则 第1部分：标准化文件的结构和起草规则的规定起草。本文件由泸州市市场监督管理局提出并归口。本文件起草单位：泸州市市场监督管理局、四川国检检测有限责任公司。本文件主要起草人：徐林、黄晓东、孙小伟、杨晓军、刘峰、易啸、罗玉琳、曾亢、杜江。本文件为首次发布。DB5105

3、/T 5920221商业秘密保护示范基地建设规范1范围本文件规定了商业秘密保护示范基地的术语和定义、基本要求、商业秘密范围和管理、建设对象、建设内容、服务工作内容。本文件适用于泸州市行政区域内商业秘密保护示范基地的建设。2规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T 21347知识产权文献与信息 基本词汇GB/T 19001质量管理体系 要求GB/T 22080信息技术 安全技术 信息安全管理体系 要求3术语和定义GB/T 21347界定的以及下列术语和定义适

4、用于本文件。3.1商业秘密trade secret不为公众所知悉、具有商业价值并经权利人采取相应保密措施的技术信息、经营信息等商业信息。注 1：“不为公众所知悉”和“具有商业价值”的具体内容见中华人民共和国反不正当竞争法的规定。注 2：“相应保密措施”的具体内容见最高人民法院关于审理侵犯商业秘密民事案件适用法律若千问题的规定。3.2商业秘密保护示范基地Demonstration base for trade secret protection符合本建设规范，经商业秘密保护行政管理部门命名设立的商业秘密保护企事业单位。注：简称“示范基地”。3.3涉密物品secret-related items含

5、有商业秘密信息的设备和产品。注：包括计算机、手机、产品、原材料、半成品和样品等。3.4涉密载体secret-related carriers以文字、数据、符号、图形、图像、视频和音频等方式记录商业秘密信息的介质。DB5105/T 5920222注：包括磁性介质、光盘、U盘、硬盘、服务器等电子存储介质(即涉密存储介质)和纸质材料(即涉密纸质文档)。3.5涉密计算机secret-related computers处理或存储商业秘密信息的台式机、便携机、一体机、平板等各类计算机。3.6涉密区域secret-related p laces含有商业秘密信息、人员进入后可能接触到商业秘密的物理区域。4基本

6、要求4.1示范基地应按照 GB/T 22080、GB/T 19001和本文件的要求建立、实施、持续改进商业秘密管理体系，将商业秘密管理贯彻到企业的全部经营活动中，包括但不限于生产、研发、销售、采购、财务、人事、行政、商业合作等。4.2组织构架完整。示范基地应成立商业秘密保护工作领导机构，设立专门的商业秘密保护部门或依托相关部门开展商业秘密保护工作，由本单位主要负责人牵头，配备专（兼）职保密人员不少于2名。4.3制度建设完善。建立完善的内部管理制度，包括但不限于运营管理和服务支持体系，并持续改进。4.4工作保障到位。有固定的办公场所，配备必要的办公设施，保障商业秘密保护工作正常开展。4.5示范作

7、用突出。积极发挥示范引领作用，倡导商业秘密保护，辐射周边、上下游、相关行业企业提升商业秘密保护意识，营造行业创新发展环境。5商业秘密范围和管理5.1商业秘密范围5.1.1商业秘密包括但不限于以下内容：技术秘密、经营秘密、管理秘密、企业依照法律规定和有关协议的约定对外应承担保密义务的事项(如在缔约过程中知悉的对方当事人的秘密及技术合同等)。5.1.2技术秘密。指与技术有关的结构、原料、组分、配方、材料、样品、样式、植物新品种繁殖材料、工艺、方法或者其步骤、算法、数据、计算机程序及其有关文档、图纸设计方案等信息。如：a)工艺技术资料：所有产品的工艺流程图、工艺操作规程、产品技术标准、新产品鉴定资料

8、、试验结果和试验记录、技术总结、技术通知等；b)工程技术材料：所有产品的非标生产设备资料、工程设计(包括图纸及草图)、电器(仪表)设计等；c)生产技术资料：所有产品的生产配方、产品的制造方法、生产过程的检验、试验及最终检验、试验方法、生产过程中的原始质量记录。5.1.3经营秘密。指与经营活动有关的创意、管理、销售、财务、计划、样本、招投标材料、客户信息、数据等信息。如：a)销售信息资料：公司经营决策、营销计划、定价策略、销售网络、客户信息、商业函电(包括电子邮件)、合同订单等；b)采购信息资料：主要供应商信息、进价策略、采购渠道、主要原材料指标等；c)财务信息资料：银行存款结算、往来核算、成本

9、核算、存货核算、长期投资核算、工资核算、DB5105/T 5920223销售核算、所有者权益核算、外部会计报告、内部会计报告。5.1.4管理秘密。指具有管理性质的情报信息。如：a)公司资本运作信息资料：项目投资策略及方案、股权调整方案等；b)人力资源信息资料：公司人力资源计划、人力资源结构、薪酬方案、负工档案等信息资料；c)企业管理信息资料：公司整合体系内部审核、管理评审的结果；公司内部考核体系的方案、核算过程、核算方法、核算结果；d)档案信息资料：公司档案室的各类信息资料；e)电子信息资料：公司 ERP 信息资料、服务器备份数据资料、各部门电子档案、电子邮件等。5.1.5以下信息不作为企业的

10、商业秘密：a)公知信息和基础理论；b)已申请并公开的专利技术信息；c)公众可通过反向工程等合法途径获得的信息；d)法律、法规、规章及相关司法解释规定的其他情形。5.2商业秘密管理5.2.1商业秘密信息管理5.2.1.1识别。能对商业秘密进行评估和识别，在评估和识别可考虑但不限于以下因素：a)商业秘密信息的经济价值；b)产生商业秘密信息投入的成本；c)商业秘密信息对企业的重要程度；d)对竞争企业的价值；e)商业秘密泄露后产生的经济损失；f)商业秘密泄露后可能承担的法律责任；g)法律、法规、规章及相关司法解释等规定的其他情形。5.2.1.2分级。对商业秘密信息进行分级管理措施，商业秘密信息的级别应

11、在其载体上明确标识。分部门建立商业秘密信息清单，内容包括商业秘密信息名称、密级、管理人、载体、查阅范围等。5.2.1.3存档和保管。各业务部门应指定专人负责本部门涉密载体的存档和保管；使用保密柜等具有保密功能的设备来存放涉密载体；存放涉密载体的区域应配备监控摄像头、火灾报警等安防设备。5.2.1.4流转。涉密纸质文档的传递应采取密封包装、专人专车、EMS 快递等保密措施；涉密物品等实物的流转，应采取包装、密封等保密措施；商业秘密信息只能在企业内部流转，因工作需要流出到外部需要经过审批。5.2.1.5备份。企业应定期对商业秘密信息进行备份，可根据商业秘密信息级别的不同分别确定备份保留时间；企业员

12、工未经审批不能访问备份商业秘密信息，因工作需要临时访问应由负责人进行审批并保留记录。5.2.1.6复制。企业员工未经授权不应复制或打印商业秘密信息，因工作需要临时复制或打印商业秘密信息应由责任人进行审批并保留记录；企业员工复制或打印商业秘密信息前应标明总页数及当前页，打印时必须在打印机旁守候，打印后及时取走不能遗留。5.2.1.7发布。对外发布的内容可能包含商业秘密信息的，发布前应由商业秘密管理部门进行审批；宜用商业秘密保护而不宜公开的内容不应申请专利。5.2.1.8加密及解密。商业秘密信息宜通过企业的加密系统进行加密，加密系统应采取密钥备份、双人控制等安全管理措施。企业应指定各部门的责任人或

13、保密员管理各部门的解密权限。员工申请解密的，应明确相应的使用人、项目、具体事由、日期。解密后的信息应及时回收并做相应处理。DB5105/T 59202245.2.1.9销毁。商业秘密信息载体的销毁过程应采取监督措施。应根据商业秘密信息载体的不同采取妥善的销毁方式，确保信息不可恢复。纸质文档应使用碎纸机彻底粉碎；硬盘、U 盘等采用消磁的方式彻底销毁存储内容。5.2.1.10可追溯。所有商业秘密信息的产生、保存、流转、复制、发布、解密、销毁等均应保留记录。记录的留存时间根据商业秘密信息的重要性、储存成本决定。5.2.2员工管理5.2.2.1入职管理5.2.2.1.1新入职或转岗到涉密岗位的涉密人员

14、应签订与其工作内容相适应的保密协议（见附录 B）。5.2.2.1.2高级管理人员、重点项目、商业秘密管理部门员工等重点岗位的涉密人员应明确其保密范围和接触的商业秘密信息，可与其签订竞业限制协议（见附录 C）5.2.2.1.3涉密人员入职前应审查其工作背景，审查范围可包括其过往任职的单位、担任的职务、工作内容、是否有涉及知识产权纠纷等5.2.2.1.4涉密人员入职前，应通过面谈或培训等方式明确告知其保密义务等注意事项。5.2.2.1.5涉密人员曾在存在竞争关系的企业工作过的，入职前应采取以下脱密措施以避免侵害他人的商业秘密：a)要求涉密人员提供与原企业的保密协议、竞业限制协议，或其他与保密义务有

15、关的文件；b)提醒涉密人员工作中不能使用原企业的商业秘密信息；c)签署不侵犯原企业商业秘密的承诺函(见附录 D)；d)检查涉密人员有无携带或使用原企业的商业秘密信息。5.2.2.2保密教育5.2.2.2.1企业对员工开展保密教育的内容应包括以下方面：a)商业秘密的重要性；b)商业秘密属于企业的职务成果；c)哪些行为可能泄露或侵害企业的商业秘密；d)侵害商业秘密可能承担的法律责任；e)企业的商业秘密管理制度；f)其他与保密义务、保密范围、保密行为有关的内容。5.2.2.2.2企业开展保密培训的形式可以是线下、线上集中培训，或录制成视频、音频课程，并保存好培训记录。可通过以下方式对员工开展保密培训

16、：a)对新入职的员工开展保密培训；b)定期对全体员工开展保密培训；c)对重点岗位、重要涉密人员定期开展专项保密培训。5.2.2.2.3企业可通过以下方式对员工开展保密宣传：a)发放员工手册；b)定期线上向员工推送宣传案例；c)组织答题竞赛；d)在办公场所内张贴宣传标语、播放宣传视频；e)召开全员保密动员大会。5.2.2.2.4企业可定期组织员工进行商业秘密保护知识考核，考核结果应归档并整理，用于改进宣传、培训的内容。考核结果可与员工绩效奖挂钩以促进员工增强保密意识。DB5105/T 59202255.2.2.3履职管理5.2.2.3.1员工所在的业务部门应督促员工熟悉并遵守企业制定的各项商业秘

17、密管理制度，按以下要求以保护员工所在岗位接触到的商业秘密不被泄露：a)工作中产生的商业秘密信息应及时上报商业秘密管理部门登记管理；b)获取、使用、披露企业的商业秘密信息要有授权或取得临时审批；c)获取、使用、披露企业的商业秘密信息要保留相应的记录；d)避免非授权人员获取本岗位的商业秘密信息；e)不进入非授权区域；f)不使用非授权设备、网络、账号。5.2.2.3.2建立商业秘密管理奖惩制度。违反企业商业秘密管理规定的处罚结果应形成书面文件，在企业内部通报并存档。鼓励员工举报违反企业商业秘密管理规定的行为，鼓励员工发现企业商业秘密管理体系、措施、技术手段存在的漏洞，对采纳的线索或意见给予奖励。5.

18、2.2.3.3企业员工参加的工作会议等活动涉及商业秘密的，可采取以下保密措施：a)在涉密区域内召开；b)使用保密会议室；c)参加会议的员工应具备接触所涉商业秘密的权限或经审批；d)告知其保密要求或签署保密承诺；e)限制使用手机、便携机或拍摄、录音设备，使用防录音装置；f)重要涉密纸质文档做好标识，会议后检查并回收。5.2.2.4离职管理5.2.2.4.1涉密人员离职前应与之谈话，告知其保密义务、禁止行为以及违反保密义务的法律责任。5.2.2.4.2企业应要求离职的涉密人员主动向指定人员移交所有的原始涉密载体且不应删除或篡改，删除其复制的电子数据并签收交接清单。5.2.2.4.3企业应回收并注销

19、离职员工所有的域名、应用系统、网络系统、门禁系统账号或访问权限，及时通知与离职员工有关的供应商、客户、合作单位等，告知工作交接情况。5.2.2.4.4涉密人员离职前应做如下检查：a)工作电脑数据是否完整，是否有删除、复制痕迹；b)工作电脑上是否有权限之外的文档；c)工作系统、软件的账户的访问日志是否有异常；d)是否有非工作时间登录、频繁登录、批量下载、删除、修改的异常行为痕迹；e)是否有访问外部邮箱的记录；f)是否有对外发送商业秘密信息的记录；g)检查员工离职前一定期限内的商业秘密信息的查阅和使用情况有无异常。5.2.2.4.5离职检查过程中如发现离职员工可能侵害企业商业秘密的，应及时收集并固

20、定证据，按照企业泄密事件管理规定处理。5.2.2.4.6企业应根据需要决定是否对离职员工启动竞业限制，定期掌握涉密岗位离职员工在离职后特别是竞业限制期限内的任职情况。5.2.3外部人员管理5.2.3.1外部人员进入企业应出示证件并履行登记程序，佩戴与员工不同颜色的出入卡。访问涉密区域应经审批并进行登记，告知其禁止录音、摄影、摄像、使用便携机、移动存储介质等设备，限制手机等器 材的拍摄功能，DB5105/T 5920226并安排专人全程陪同。进入企业参观的，应设置专门的参观路线以避开涉密区域，参观路线上可能涉及的商业秘密信息应采取隐秘措施。5.2.3.2外部企业需要接触企业商业秘密信息的，应与该

21、企业及相关人员签订保密协议（见附录E）或以其他书面形式约定保密义务，内容包括涉密载体、保密范围、保密义务及违约责任等。因诉讼、仲裁等司法活动需要向第三人披露商业秘密信息又无法签订保密协议的，可申请不公开质证或其他保密程序。5.2.3.3专家、顾问、律师、会计师等外部人员因工作需要在短期内大量接触企业商业秘密信息的，可要求其使用企业提供的保密计算机并对信息进行加密。5.2.3.4涉密项目需要长期向供应商或外部研发企业提供商业秘密信息的，或因维修、研发等需要经常进入涉密区域的，可要求外部企业采取以下保密措施：a)与参与项目的外部企业员工签订个人保密协议；b)使用企业提供的保密计算机；c)使用企业提

22、供的加密系统；d)使用企业提供的加密存储介质；e)对外部人员使用的便携机等设备进行检查。5.2.3.5与外部人员召开的重要涉密会议，应避免使用远程视频或音频、电话会议。涉密会议应采取以下保密措施：a)在涉密区域内召开；b)使用保密会议室；c)告知保密要求或签署保密承诺；d)采取会议密码、屏幕水印等保密措施。5.2.4物理区域管理a)企业内部的办公区域应根据商业秘密信息划分为不同的涉密区域，可按涉密区域、办公区域、外部接待区域三级分区。涉密区域可包括核心产品或服务的研发、生产，存储商业秘密信息的数据中心、档案中心等。不同密级的区域之间应采取物理门、墙、隔断等物理隔离措施。密级高的办公区域应设置在

23、离企业出入口相对较远的位置。b)涉密区域可采取如下保密措施：1)使用独立、封闭的办公区域，不宜使用开放式办公或多部门混合办公；2)人员进出需具备相应权限且佩戴身份标识卡，非授权人员因工作需要出入需经审批取得临时授权，外部人员进入需有专人全程陪同；3)出入口配备安保人员及安防设备；4)不应携带手机、便携机、平板、智能手表等具备拍摄、录音、存储功能的设备器材；5)不应非授权人员接入涉密网络；6)区域内部覆盖实时面部识别、动作识别、异常行为识别的高清摄像头；内部设置专门的涉密会议室或电话室；7)涉密计算机配备防偷窥、防拍照措施。c)存放商业秘密信息的数据中心、文档中心应设置在隐蔽的位置，远离非涉密区

24、域且不宜张贴明确标识以防侵入；d)涉密区域入口处应张贴涉密区域级别标识和“禁止携带违禁品”标识，区域内部应张贴“禁止拍摄”等禁止标识；e)涉密区域的出入口可采取以下安保措施：1)使用指纹、人脸识别、瞳孔等技术手段的防尾随门禁，不宜使用刷卡或密码门禁；2)配备检测设备以限制携带手机、便携机等违禁品出入；DB5105/T 59202273)配备视频监控及报警系统，对非法闯入或携带违禁品进入实时报警；4)设置监控中心并配备专职人员实时监控；5)设置临时储物柜以存放限制物品。f)企业应根据业务和保密要求的不同，将内部网络划分为不同的网络区域。涉密区域的涉密网络可采取以下保密措施：1)不应接入外网；2)

25、与其他内部网络隔离，不能相互连通；3)与其他内部网络采取不同的分级管理措施；4)禁止使用无线网络、无线热点；5)访问涉密区域网络的设备应使用终端准入限制；6)不应内部网络设备接入外网；7)通过 VPN 等方式远程接入涉密区域网络应使用终端准入、身份安全等验证措施；8)配备独立的网络基础设施。注：如服务器、防火墙、专线等。g)企业应设置专门的外部接待区域用于接待外部人员或用于临时办公、会议，非经审批不应允许外部人员进入内部区域或涉密区域办公。5.2.5物品及载体管理5.2.5.1计算机5.2.5.1.1涉密计算机宜使用云桌面系统办公以将工作数据存储在内部云服务器上，不宜存储在涉密计算机的本地存储

26、中。5.2.5.1.2应关闭或禁用涉密计算机的移动存储、光驱、蓝牙、无线网卡等数据传输功能模块，以及摄像头、声卡、话筒等音视频采集设备，未经许可不应使用。5.2.5.1.3涉密计算机硬件的配置、维修、报废均应经过审批或授权交由指定人员处理，应使用封条封住主机以禁止员工私自拆机维修、更换、增加硬件配件。5.2.5.1.4计算机未经批准不应安装非授权软件。5.2.5.1.5计算机的网络接入、网络配置均应按规定设置，不应接入非授权网络。5.2.5.1.6涉密便携机应设置身份验证、硬盘口令，封闭摄像头和麦克风功能，存放时使用带锁的保密柜。不宜在涉密区域使用便携机办公。5.2.5.2纸质文档5.2.5.

27、2.1涉密纸质文档应存放在涉密区域内，打印、复印、扫描、查阅、借用等使用涉密纸质文档应由专人专管并登记。5.2.5.2.2企业应配备打印管控系统管理纸质文档的打印、复印、扫描，并保留记录及备份。打印、复印、传真涉密纸质文档时应具备授权并在机器旁守候及时取走文档。扫描纸质文档不应使用公共盘存储。5.2.5.2.3废弃的纸质文档应通过碎纸机粉碎，不应随意丢弃。5.2.5.3产品5.2.5.3.1涉密项目的半成品、样品应由专人管理，放置在保密柜或专门的存储室保管，出入口配备摄像头监控。携带外出时应采取包装等保密措施。5.2.5.3.2涉密项目的不良品应交由专人处理或报废，不应随意丢弃。DB5105/

28、T 59202285.2.5.3.3涉密产品、半成品、原料等的标签应替换为企业内部的编码统一管理。5.2.5.4移动存储介质5.2.5.4.1未经审批不应使用移动存储设备存储商业秘密信息。涉密移动存储介质不应连接非涉密或未采彩中取保密措施的计算机及电子设备。5.2.5.4.2涉密移动存储介质应由专人专管，且使用身份识别、内容加密、设备绑定等保密措施。5.2.6信息系统管理5.2.6.1权限管理5.2.6.1.1商业秘密管理部门应统-管理对涉密信息系统的授权及审批。5.2.6.1.2权限到期、人员变更或离职、项目变更等情况应及时变更、回收相应的信息系统权限。5.2.6.1.3信息系统的权限管理应

29、保留记录日志，用于定期检查各信息系统用户的访问权限、特别授权等权限管理是否存在漏洞。5.2.6.1.4信息系统的管理员权限应在不同人员之间进行分配，避免由超级管理员管理整个系统或若千个系统的情况。5.2.6.2账号及口令5.2.6.2.1业务部门设置公用账号、匿名账号等特殊账号应经过商业秘密管理部门审批。5.2.6.2.2外部人员的账号应与内部员工账号有明显的区别。5.2.6.2.3账号应同时包括特殊符号、大写英文字母、小写英文字母、数字四种不同字符。5.2.6.2.4信息系统账号的初始口令应是随机产生的口令，不能相同或有规律，且应规定修改口令设置的位数、更换周期的最低标准。5.2.6.3信息

30、出口控制5.2.6.3.1未经审批不应允许任何商业秘密信息外部出口存在。所有经审批的信息出口都应有以下“四统一”：a)统一登记；b)统一管理；c)统一备份；d)统一监控。5.2.6.3.2企业的办公网络不应允许访问非企业邮箱的外部邮箱，应将常见的外部邮箱、地址包括网址设为禁止访问名单。因工作需要登录外部邮箱的应经过审批并备案邮箱账号和密码。5.2.6.3.3企业应建立代理服务器访问备份系统，代理服务器访问日志备份 6 个月以上。应设置访问外网时允许上传的字节数，从而限制通过代理服务器对外发送商业秘密信息。5.2.6.3.4企业应禁止员工使用网盘，应将常见的网盘网址设为禁止访问名单。确因工作需要

31、登录网盘的应经过审批，并向企业备案网盘账号和密码。5.2.6.3.5企业涉密计算机使用的即时通讯软件应避免和其他外部通讯软件交互商业秘密信息，应具备以下保密功能：a)具备对用户登录进行网络、设备控制的功能，保证其在安全环境下运行；b)具备检查聊天内容关键字的后台管控功能；c)在移动终端应具备禁止复制、转发、下载和全场景添加水印的管控功能。5.2.6.3.6企业存储商业秘密信息的云服务器或信息系统应关闭信息外部出口，未经审批不应允许在DB5105/T 5920229服务器上复制、修改商业秘密信息。5.2.7保密措施5.2.7.1涉密计算机的操作系统、办公软件、信息系统等均应设置登录账号，密码应定

32、期更换，不应共用账号。5.2.7.2企业应对操作系统设置屏幕保护恢复密码、屏幕水印、复制粘贴限制等保密措施。5.2.7.3涉密计算机的办公软件应由企业统一 安装并管理，未经授权不应私自安装软件。个人邮箱、网盘、即时通讯工具等具备通过网络对外发送文件的软件均应禁止。5.2.7.4企业应使用具备关键字过滤、外发邮件审批、邮件审计等保密功能的企业邮箱。5.2.7.5在涉密网络内部使用的即时通讯软件不应与其他网络，或连接到互联网的通讯软件连接。5.2.7.6加密软件应定期检查，确保加密软件对所有类型文件在所有场景都能够进行加密。批量解密等特殊解密的授权权限应经过审批统一管理。5.2.7.7企业应使用专

33、用的信息系统存储商业秘密信息，信息系统应具备权限管理、日志、审计等保密功能。5.2.7.8涉密计算机应安装专门的行为管控软件，可记录商业秘密信息数据的复制、流转、删除等操作并保存备份。5.2.8商业秘密维权5.2.8.1应急处理5.2.8.1.1制定商业秘密泄密紧急处理预案，建立泄密事件紧急应对流程。a)采取保护措施防止信息进一步扩散或损失扩大；b)调查原因、涉事人员、责任人等；c)收集并固定证据；d)启动内部处罚或外部维权；e)形成报告和改进方案。5.2.8.1.2培训和引导员工对商业秘密可能泄露的异常状态保持警觉，发现可能泄密迹象及时报告上级。5.2.8.1.3出现商业秘密泄露的征兆或者迹

34、象时，企业应采取以下措施：a)迅速进行处置，防止信息扩散；b)启动对商业秘密泄露的核查、确认和评估，查明原因、责任人；c)采取措施，将危害和损失控制在最小限度内等。5.2.8.2证据固定5.2.8.2.1可向专业的商业秘密保护服务机构寻求取证、鉴定、评估等指引和协助。5.2.8.2.2发现商业秘密可能被泄露或侵权时，应收集并固定证据。5.2.8.2.3商业秘密信息的非公知性、同一性、损失数额的确定可向有资质的专业机构申请协助鉴定或评估。5.2.8.2.4电子数据类证据可向公证处等机构申请公证或证据固化。实物和文档类证据应保存原物或原件。5.2.8.3维权途径5.2.8.3.1据证据收集情况，企

35、业可依法采取下列方式进行维权：DB5105/T 59202210a)向侵权人所在地等有管辖权的商业秘密行政管理部门举报，要求查处商业秘密侵权行为的证据，责令侵权人停止侵权并处以罚款；b)符合刑事案件立案条件的可向犯罪行为发生地的公安机关控告，要求追究侵权人的刑事责任；c)违反竞业限制协议等属于劳动仲裁受案范围的，应先向企业所在地等有管辖权的劳动仲裁委员会申请劳动仲裁。d)第三方企业违反协议约定的保密义务且约定商事仲裁管辖条款的，应向约定的仲裁委员会申请仲裁。e)属于劳动仲裁且没有商事仲裁约定的，可向侵权行为发生地或侵权人所在地等有管辖权的人民法院起诉，或申请诉前禁令。5.2.8.3.2据证涉及

36、涉及国家秘密的，应立即向当地国家安全机关、保密行政管理部门或公安机关报告。6建设对象本行政区域内支柱产业、新兴产业、高科技产业或区域重点集聚产业中，经营规模和技术实力具有领先地位，商业秘密保护工作成效较为突出的企事业单位。7建设内容7.1商业秘密保护管理组织7.1.1示范基地最高管理者应具备商业秘密管理意识，保障商业秘密管理资源投入，实现以下关于商业秘密保护管理的要求：a)建立商业秘密保护管理方针和目标；b)将商业秘密管理要求整合到企业的业务中；c)管理并支持员工为商业秘密管理体系的实施持续努力；d)促进商业秘密管理体系的持续改进。7.1.2成立商业秘密保护工作领导机构，设立专门的商业秘密保护

37、部门或依托相关部门开展商业秘密保护工作。商业秘密保护部门的组织机构、职责和工作范围可按以下方式确定：a)指定专人作为商业秘密保护部门的负责人，负责企业商业秘密管理体系的决策、管理、实施，并向企事业单位最高管理者汇报，也可由企事业单位最高管理者直接负责商业秘密管理部门；b)商业秘密保护部门可根据职能设置不同的工作小组，分别负责咨询指导、维权支持、宣传培训、体系辅导等工作；c)商业秘密保护管理部门的职责应包括商业秘密信息、涉密物品、涉密载体、涉密部门、涉密人员、涉密区域等的识别和管理，管理制度的制定、执行、检查、改进，员工的保密宣传、培训、考核，以及泄密事件的内部处理和法律维权等；d)商业秘密保护

38、管理部门应定期组织会议，对商业秘密信息的识别与分级、管理制度的修订、信息技术的实施等重大事项进行决策。e)商业秘密保护管理部门应集合承担商业秘密保护相关职能的党政机构、司法机关、社会团体、企事业单位共同参与运营，合力为企业保护商业秘密。7.1.3设立专门商业秘密保护管理部门的，应明确商业秘密保护管理部门和法务部、信息部、审计部等部门的分工，分别负责以下工作：a)制定商业秘密管理标准、制度和流程；b)组织商业秘密管理宣传、培训、考核；DB5105/T 59202211c)负责信息技术手段的落地与支持；d)处理泄密事件；e)监督商业秘密管理工作的执行；f)对商业秘密管理体系进行评估与改进。7.1.

39、4集合承担商业秘密保护相关职能的党政机构、司法机关、社会团体、企事业单位共同参与运营，合力为企业保护商业秘密。7.2商业秘密保护管理制度7.2.1制定商业秘密保护的总体纲领文件，内容可包括商业秘密保护的目标、方针、适用范围、定义、策略、原则等。7.2.2制定商业秘密保护组织的运作机制文件，内容可包括商业秘密保护部门和各业务部门的组织架构、职责与分工、年度工作计划等。7.2.3制定适用于整个企业的商业秘密保护管理制度，内容可包括商业秘密信息的识别与分级等。7.2.4根据研发、生产、销售、采购、信息技术、财务、行政等业务部门的工作流程和特点，分别制定适用于各个业务部门的商业秘密管理制度。7.2.5

40、建立相应的运营管理制度，如：a)企业咨询服务管理制度，包括企业咨询服务的公开渠道、受理、答复等内容；b)宣传培训管理制度，包括宣传培训开展的方式、流程、要求等内容；c)商业秘密侵权纠纷调解制度，包括受理条件、文件要求、工作流程等内容；d)企业信息保密制度，包括保密范围、保密方式、接触权限、保密要求等内容；e)企业泄密应急处置制度和奖惩管理制度，包括企业遇到泄密行为后的各种应急处置方案，对商业秘密保护中有重大贡献以及泄密事件的奖惩制度；f)对企业商业秘密保护的重点部门、重点岗位和重点人员，实行分级管理措施并制定相应的内部管理制度；g)对商业秘密保护的物理区域、网络、硬件、软件等制定相应的管理制度

41、；h)其他经营管理制度，包括人力资源管理、财务管理等内容。7.2.6示范基地应形成商业秘密保护服务的记录文件，并保持文件的可追溯性。7.3商业秘密保护管理人员商业秘密保护管理部门的人员应熟悉国家、地方商业秘密及相关知识产权的法律、法规、政策，应具备商业秘密、知识产权、信息安全等相关专业知识，至少有2名具有商业秘密保护经验的专（兼）职人员。7.4设施保障7.4.1具备一定面积且建设规范的固定办公场所，用于为提供企业商业秘密保护公共服务。7.4.2公共服务场地可配置：a)接待窗口，用于接待企业咨询等用途的专门窗口；b)会议室，用于会议等小规模交流等用途的封闭房间；c)多功能厅，用于宣传培训等大规模

42、活动等用途的封闭或半封闭空间。7.4.3示范基地应建设网站、公众号等网络平台，为企业提供保护宣传、查询、资料下载、意见征集、业务办理等服务。7.4.4应有专人负责公共场所、设施设备及网络平台的运营与维护，确保其正常运行。DB5105/T 592022128服务工作内容8.1宣传培训8.1.1可编制法律法规汇总、典型案例、常见问题、维权指引、体系建设指引等各类商业秘密保护资料，将资料汇总并整理成册后通过以下方式对外宣传：a)线下派发宣传资料；b)线上提供宣传资料下载；c)开展商业秘密保护专题讲座；d)举办商业秘密保护培训班；e)通过媒体平台或网络自媒体宣传。8.1.2邀请院校、司法机关、行政机关

43、、第三方服务机构、知名企业等商业秘密领域的学者或专家，线上线下同步举办商业秘密保护专题培训，每年培训不少于 1 次。培训内容可根据不同人员区分为：a)针对企事业单位最高负责人、高管、股东的商业秘密保护重要性、必要性的商业秘密保护战略价值培训；b)针对企事业单位商业秘密保护工作的专（兼）职人员、重点岗位人员开展商业秘密保护实务和企业案例培训；c)针对企事业单位员工的商业秘密保护意识、法律知识、警示教育培训；d)利用行业协会、学会、商会等渠道将维权成功的案例向企业广泛宣传等。8.2咨询应通过线上、线下多种形式，接收企业的商业秘密相关咨询，并及时答复。接受咨询的范围可包括：a)商业秘密法律法规相关问

44、题的咨询；b)企业商业秘密管理体系建设相关问题的咨询；c)企业商业秘密应急处理方案等相关问题的咨询；d)商业秘密侵权纠纷相关问题的咨询。8.3维权支持8.3.1建立商业秘密侵权案件的专门受理窗口，为企业选择商业秘密维权方式、收集维权材料等提供具体建议。8.3.2可引荐具备资质的第三方服务机构为企业维权提供专业服务，包括：a)技术信息的非公知性、同一性的鉴定；b)损失数额的评估；c)协助被侵权企业收集证据并通过法律途径维权；d)提供商业秘密信息管理系统或其他保护措施服务。8.3.3根据被侵权企业意愿，示范基地可协调执法部门开展泄密核查、现场检查等行动，并配合做好调解服务。8.3.4对于尚未造成进

45、一步披露和危害的商业秘密侵权案件，示范基地可协调公安部门对侵权人进行警示谈话。8.3.5对于较为复杂的商业秘密侵权案件，示范基地可协调公检法部门协助企业制定合理的维权方案。8.3.6对于企业商业秘密侵权案件中存在的管理问题，示范基地可向企业出具整改建议类的防范建议书。8.3.7可根据法律法规的要求，依企业的申请为企业提供商业秘密侵权或合同纠纷调解服务的接口。DB5105/T 592022138.4体系辅导结合地方标准的指引，辅导企业建设或完善商业秘密管理体系，包括以下方式：a)建立基本的商业秘密管理体系；b)协助企业评估商业秘密管理体系存在的漏洞；c)完善企业商业秘密管理体系。d)可以从以下方

46、面辅导企业建设或完善商业秘密管理体系：e)设置商业秘密管理组织；f)制定商业秘密管理制度；g)界定商业秘密保护范围；h)制定商业秘密管理策略；i)制定涉密员工和外部人员管理机制；j)制定物理区域、网络、硬件、软件管理策略；g)制定商业秘密应急维权机制。8.5信息汇总通过走访调研信息，收集汇总信息，明确企业商业秘密保护需求，有针对性地开展商业秘密保护工作。9评价与改进9.1收集反馈设立专门沟通渠道用于受理企业反馈意见，并对外公布联系方式等信息。9.2服务评价通过自我评价和第三方评价等方式评价工作绩效，形成工作评价结果，可采用访谈、座谈、发放调查问卷等多种方式。9.3持续改进根据反馈意见、工作评价

47、结果发现运营管理存在的问题，针对性制定改进措施以提高工作质量。DB5105/T 59202214AA附录A（资料性）商业秘密保密范围A.1技术信息商业秘密的技术信息保护范围的参考内容见表A.1。表 A.1商业秘密的技术信息保护范围项目表现形式研发信息设计图纸、模型、样板、方案、测试记录及数据、进度表等生产信息产品配方、工艺流程、技术参数、电子数据、作业指导书、样本库等硬件信息设备仪器的型号、配置参数、特别要求等软件信息源代码、应用程序、数据算法等.其他企业认为有必要采取保密措施的其他技术信息A.2经营信息商业秘密的经营信息保护范围的参考内容见表A.2。表 A.2商业秘密的经营信息保护范围项目表

48、现形式公司基础信息公司架构、规章制度、内部通知、决议文件、会议纪要等决策信息战略决策、研发策略、投资计划、股权激励方案、专利规划布局等经营信息采购计划、采购记录、营销策划、营销方案等销售信息客户名单、供应商名单、销售记录、销售协议、投标书等财务信息财务报表、融资报表、预决算报告、各类统计报表、审计报告等人力资源信息员工名册、通讯录、工资表、社保公积金清单等信息技术信息网络拓扑图、信息安全风险报告、运维日志等其他企业认为有必要采取保密措施的其他经营信息DB5105/T 59202215BB附录B（规范性）商业秘密保密协议（参考文本）商业秘密保密协议的相关示例见图 B.1。甲方(用人单位)：法定代

49、表人：统一社会信用代码：电话：传真：地址：乙方(劳动者)：居民身份证号码：电话：职务：住址：甲、乙双方根据中华人民共和国反不正当竞争法中华人民共和国劳动合同法及国家、地方有关规定，双方本着平等自愿、协商一致、诚实守信的原则，为保护甲方商业秘密，于年月日(以下简称“生效日”)在中华人民共和国(具体签署地址)签署本保密协议以共同执行：第一条合同目的描述.乙方了解甲方就其产品、研发、制造、营销、管理、客户、计算机(程序)、营运模式等业务及相关技术、服务投入庞大资金及人力物力，享有经济效益及商誉；乙方知悉参与并接触第三条(保密信息范围的条款)所述各项业务机密资料系基于甲方对乙方履行本协议之信赖。乙方若

50、未履行或违反本协议规定，将对第三条(保密信息范围的条款)以及投资、经营、商誉或经济权益产生不利影响，甚至产生直接或间接损害，构成不公平竞争，影响产业公平秩序等，甲方将依据中华人民共和国相关法律、法规等追究其相应法律责任。第二条术语定义本协议所称商业秘密，是指企业在生产经营过程中形成的不为公众所知悉，具有商业价值并经权利人采取相应保密措施的技术信息和经营信息。第三条保密信息的范围经双方确认，乙方在甲方任职期间，因履行职务已经或将要接触或知悉甲方的商业秘密，包括但不限于以下内容：(1)甲方的客户、员工、管理人员及顾问的名单、联系方式及其他相关信息，包括但不限于姓名、联系电话(移动和固定电话)、电子