CCSA10DB4403Managementspecificationf深圳市市場監(jiān)督管理局發(fā)布DB4403/T461—2024前言 12規(guī)范性引用文件 13術(shù)語和定義 14總體要求 35商業(yè)秘密組織管理 36商業(yè)秘密制度管理 47商業(yè)秘密保護宣傳與培訓管理 48商業(yè)秘密資產(chǎn)確認 58.1實施要求 58.2商業(yè)秘密載體盤點 58.3商業(yè)秘密載體歸檔 68.4商業(yè)秘密電子存證 69商業(yè)秘密資產(chǎn)內(nèi)部保護 89.1涉密崗位管理 89.2涉密人員管理 89.3涉密文檔管理 109.4涉密系統(tǒng)管理 119.5涉密區(qū)域管理 1310商業(yè)秘密資產(chǎn)外部保護 1410.1信息公開 1410.2商務活動 1410.3委外服務 1410.4科技成果轉(zhuǎn)化 1411檢查與改進 12應急與維權(quán) 參考文獻 17DB4403/T461—2024本文件按照GB/T1.1—2020《標準化工作導則第1部分：標準化文件的結(jié)構(gòu)和起草規(guī)則》給出的規(guī)則起草。請注意本文件的某些內(nèi)容可能涉及專利，本文件的發(fā)布機構(gòu)不承擔識別專利的責任。本文件由深圳市市場監(jiān)督管理局提出并歸口。本文件起草單位：深圳高智量知識產(chǎn)權(quán)代理有限公司、深圳市市場監(jiān)督管理局、深圳市光明科學城知識產(chǎn)權(quán)公共服務中心、廣東智誠知識產(chǎn)權(quán)研究院、深圳市標準技術(shù)研究院、深圳灣實驗室、深圳大學知識產(chǎn)權(quán)研究所、深圳市公標知識產(chǎn)權(quán)鑒定評估中心。本文件主要起草人：李飛、洪雋、李富山、陳建民、朱謝群、彭建勛、吳良衛(wèi)、潘文歡、曹威、劉瑩瑩、王向東、冼志林、鄧光昀、鄧映均、譚麗、劉誠、唐立、張焱、王磊、代維偉、許宗強。1DB4403/T461—2024本文件規(guī)定了科研機構(gòu)商業(yè)秘密保護管理的總體要求、商業(yè)秘密組織管理、制度管理、保護宣傳與培訓管理、資產(chǎn)確認、資產(chǎn)內(nèi)部保護、資產(chǎn)外部保護、檢查與改進、應急與維權(quán)的要求。本文件適用于科研機構(gòu)在研發(fā)、科技成果轉(zhuǎn)化、日常經(jīng)營管理等過程中的商業(yè)秘密保護管理。法定機構(gòu)、協(xié)會等組織的商業(yè)秘密保護管理可參照本文件執(zhí)行。2規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T22239—2019信息安全技術(shù)網(wǎng)絡安全等級保護基本要求SF/T0076—2020電子數(shù)據(jù)存證技術(shù)規(guī)范3術(shù)語和定義下列術(shù)語和定義適用于本文件。3.1科研機構(gòu)scienceandtechnologyresearchorganization以自然科學與技術(shù)研發(fā)為核心業(yè)務，有明確的職能定位、研發(fā)布局，擁有研發(fā)人才隊伍，具備研發(fā)資源條件，能夠有組織、系統(tǒng)性、持續(xù)性開展研發(fā)活動的組織機構(gòu)。注：科研機構(gòu)是政府、企事業(yè)法人或社會力量依法依規(guī)設立的法人機構(gòu)，包括[來源：GB/T43803—2024，3.1，有修改]3.2商業(yè)秘密tradesecret不為公眾所知悉、具有商業(yè)價值并經(jīng)權(quán)利人采取相應保密措施的技術(shù)信息、經(jīng)營信息等商業(yè)信息。注1：技術(shù)信息為與技術(shù)有關(guān)的結(jié)構(gòu)、原料、組分、注2：經(jīng)營信息為與經(jīng)營活動有關(guān)的創(chuàng)意、管理、銷售、財務、計劃、樣本、息，其中客戶信息包括客戶的名稱、地址、聯(lián)系方式[來源：DB4403/T235—2022，3.1]3.3商業(yè)秘密載體tradesecretcarrier以文字、數(shù)據(jù)、符號、圖形、圖像、聲音等方式記載商業(yè)秘密（3.2）信息的紙介質(zhì)、光介質(zhì)、電磁介質(zhì)等各類物品。3.4涉密人員secret-relatedpersonnel在工作中能夠產(chǎn)出、接觸、使用、掌握商業(yè)秘密（3.2）的科研機構(gòu)（3.1）工作人員以及其他負有保密義務的第三方人員。3.5涉密崗位secret-relatedposition在工作中能夠產(chǎn)生、經(jīng)管或者經(jīng)常接觸、知悉商業(yè)秘密（3.2）事項的崗位。3.6涉密部門secret-relateddepartment2DB4403/T461—2024在工作中能夠產(chǎn)出、接觸、使用、掌握商業(yè)秘密（3.2）的科研機構(gòu)（3.1）內(nèi)部部門。3.7涉密區(qū)域secret-relatedarea在工作中制作、存儲、保管商業(yè)秘密載體（3.3）的場所。3.8元數(shù)據(jù)metadata描述電子文件和電子檔案的內(nèi)容、背景、結(jié)構(gòu)及其管理過程的數(shù)據(jù)。[來源：GB/T18894—2016，3.3]3.9歸檔filearchive將具有保存價值且辦理完畢的文件及其元數(shù)據(jù)、管理權(quán)限向檔案保管部門提交的過程。3.10備份backup將電子文件的全部復制或轉(zhuǎn)換到存儲載體或獨立的系統(tǒng)上。3.11封存sealupforsafekeeping將電子文件的正本或原件轉(zhuǎn)換到存儲載體或獨立的系統(tǒng)上，并且不再進行任何更改變動。3.12電子數(shù)據(jù)存證digitalevidencepreservation通過互聯(lián)網(wǎng)向科研機構(gòu)（3.1）提供電子數(shù)據(jù)證據(jù)保管和驗證的服務。[來源：SF/T0076—2020，3.1，有修改]3.13電子數(shù)據(jù)存證服務提供者digitalevidencepreservationserviceprovider提供電子數(shù)據(jù)存證（3.12）服務的機構(gòu)或組織。[來源：SF/T0076—2020，3.2]3.14電子數(shù)據(jù)存證平臺digitalevidencepreservationplatform由電子數(shù)據(jù)存證服務提供者（3.13）向使用者以網(wǎng)站、應用程序和編程接口等形式提供電子數(shù)據(jù)存證（3.12）服務的軟件或系統(tǒng)。[來源：SF/T0076—2020，3.4]3.15可信時間標識trustedtimestamp唯一的標識某一刻時間的字符序列。注：該標識不僅可以標識出行為的發(fā)生時間，還可以通過時間的先后順序[來源：SF/T0076—2020，3.5]3.16區(qū)塊鏈blockchain一種在對等網(wǎng)絡環(huán)境下，通過透明和可信規(guī)則，構(gòu)建不可偽造、不可篡改和可追溯的塊鏈式數(shù)據(jù)結(jié)構(gòu)，實現(xiàn)和管理事務處理的模式。[來源：GB/T37043—2018，2.5.8]3.17哈希值hashvalue計算機科學中一種從任何一種資料中建立小的數(shù)字的方法，通常用一個短的隨機字母和數(shù)字組成的字符串來代表，在電子數(shù)據(jù)取證領(lǐng)域常用作校驗數(shù)據(jù)的完整性。3.18DB4403/T461—2024商業(yè)秘密存證原件originalfilesfortradesecretevidencepreservation科研機構(gòu)（3.1）實際提交至電子數(shù)據(jù)存證平臺（3.14），用以實際進行存證的原始檔案。3.19存證憑證evidencepreservationcertificate由電子數(shù)據(jù)存證服務提供者（3.13）核發(fā)，可作為存證保全結(jié)果的證明文件。3.20商業(yè)秘密資產(chǎn)tradesecretasset通過確認和有效保護，能夠持續(xù)發(fā)揮作用并且為權(quán)利人帶來經(jīng)濟利益的非公開商業(yè)信息權(quán)益。4總體要求4.1科研機構(gòu)應堅持“管理部門指導監(jiān)督、自主管理、依規(guī)保護”的商業(yè)秘密保護管理原則。4.2科研機構(gòu)應明確最高管理者為商業(yè)秘密保護的第一責任人，將商業(yè)秘密保護管理納入整體規(guī)劃，并制定商業(yè)秘密保護管理的方針和目標，通過規(guī)劃、實施、檢查及持續(xù)改進商業(yè)秘密保護管理體系，將商業(yè)秘密保護管理措施貫徹到科研機構(gòu)經(jīng)營活動中，包括但不限于科研、商業(yè)合作、生產(chǎn)、銷售、采購、財務、人事、行政，確保制定的相關(guān)措施與科研機構(gòu)自身實際發(fā)展水平和發(fā)展戰(zhàn)略相匹配。4.3科研機構(gòu)應平衡商業(yè)秘密安全、管理效率、管理成本三者之間的關(guān)系，在不抵觸其他管理制度的條件下，制定符合科研機構(gòu)需求的商業(yè)秘密管理制度。涉及屬于國家秘密范圍的，還應遵守相關(guān)法律法規(guī)的規(guī)定。4.4科研機構(gòu)應建立合法合規(guī)的管理文化，重視無形資產(chǎn)價值，致力于建立行業(yè)間的公平競爭秩序，引領(lǐng)并發(fā)揮正面的示范作用。4.5科研機構(gòu)實施商業(yè)秘密保護管理應有相應的計劃文件、規(guī)范文件、程序文件及管理表單。5商業(yè)秘密組織管理5.1科研機構(gòu)最高管理者應具備商業(yè)秘密管理意識，且通過以下方面實現(xiàn)對商業(yè)秘密管理體系的領(lǐng)導與管理：a)建立商業(yè)秘密管理方針和目標，且與國家法律、政策、行業(yè)環(huán)境及科研機構(gòu)戰(zhàn)略相一致；b)保障投入具體且有效的資源，保持商業(yè)秘密管理體系穩(wěn)健運行；c)將商業(yè)秘密管理要求整合到科研機構(gòu)的業(yè)務流程中；d)要求工作人員建立并加強商業(yè)秘密保護意識；e)管理并支持工作人員為商業(yè)秘密管理體系的實施持續(xù)努力；f)促進商業(yè)秘密管理體系持續(xù)精進改善；g)維護科研機構(gòu)商業(yè)秘密資產(chǎn)合法權(quán)益。5.2科研機構(gòu)應設立商業(yè)秘密管理領(lǐng)導部門，由科研機構(gòu)最高管理者擔任總負責人，各部門最高管理者擔任該部門第一負責人。商業(yè)秘密管理領(lǐng)導部門的成員由科研機構(gòu)最高管理者依據(jù)組織架構(gòu)或業(yè)務現(xiàn)況，指派業(yè)務部門主管或由具備商業(yè)秘密管理相關(guān)職能（如法務、人事、信息安全、知識產(chǎn)權(quán)等）的部門主管擔任。其職責包括但不限于：a)貫徹落實國家有關(guān)商業(yè)秘密保護的法律、法規(guī)和規(guī)章；b)貫徹科研機構(gòu)的商業(yè)秘密管理方針、政策、決定和目標；c)負責科研機構(gòu)商業(yè)秘密管理體系的制定、發(fā)布、管理、實施和改善；d)持續(xù)監(jiān)控科研機構(gòu)內(nèi)部與外部的商業(yè)秘密侵害風險；e)明確商業(yè)秘密管理領(lǐng)導部門成員和各業(yè)務部門商業(yè)秘密管理人員的工作職責；f)定期召集商業(yè)秘密管理工作會議，梳理和盤點研發(fā)與經(jīng)營過程中形成的商業(yè)秘密，促進商業(yè)秘密管理體系的持續(xù)改進；g)監(jiān)督、檢查商業(yè)秘密管理工作的貫徹落實情況；h)對各部門的商業(yè)秘密管理工作進行評核并予以獎懲；i)指導開展商業(yè)秘密管理的宣傳與培訓工作；4DB4403/T461—2024j)積極爭取政府或其他外部單位的協(xié)同支持；k)組織、協(xié)調(diào)泄密事件的查處和應急管理，并采取補救措施。5.3科研機構(gòu)應指派專門的商業(yè)秘密管理執(zhí)行人員或工作小組，或由各個部門遴選具有商業(yè)秘密管理職能的人員，具體開展商業(yè)秘密管理工作。其職責包括但不限于以下事項：a)貫徹科研機構(gòu)商業(yè)秘密管理制度各項規(guī)定與程序；b)承擔商業(yè)秘密管理領(lǐng)導部門賦予的任務，并落實執(zhí)行；c)定期向商業(yè)秘密管理領(lǐng)導部門匯報工作執(zhí)行成果；d)針對科研機構(gòu)商業(yè)秘密管理制度實施結(jié)果，提出改善建議或解決方案；e)負責確認商業(yè)秘密資產(chǎn)，并執(zhí)行相應的保護措施；f)妥善保存商業(yè)秘密管理過程中的各項實施記錄；g)協(xié)助其他人員建立保密觀念及給予商業(yè)秘密保護工作指導；h)持續(xù)接受商業(yè)秘密管理專業(yè)知識與技能培訓，確保足以勝任科研機構(gòu)管理要求；i)及時向商業(yè)秘密管理領(lǐng)導部門通報科研機構(gòu)內(nèi)部或外部的商業(yè)秘密泄密風險或預警提示；j)針對可能涉嫌侵犯商業(yè)秘密的行為或案件，協(xié)助進行證據(jù)整理與調(diào)查工作；k)完成商業(yè)秘密管理相關(guān)的宣傳或推廣任務。5.4已有保密體系的科研機構(gòu)宜在原有保密體系基礎(chǔ)上建立商業(yè)秘密管理體系，相關(guān)制度、人員架構(gòu)宜視情況優(yōu)化復用或共用，實現(xiàn)秘密管理最小化原則。6商業(yè)秘密制度管理6.1科研機構(gòu)應制定、發(fā)布、實施和保存商業(yè)秘密管理制度文件，包括但不限于：a)商業(yè)秘密管理的目的、目標、方針、適用范圍、定義、策略和原則；b)商業(yè)秘密管理的組織架構(gòu)、職責與分工、年度工作計劃；c)商業(yè)秘密管理的培訓實施；d)涉密人員和涉密部門的管理，包括責任與獎懲；e)商業(yè)秘密載體的管理；f)實驗室和實驗數(shù)據(jù)的管理；g)專利與商業(yè)秘密協(xié)同管理；h)核心供應商的管理；i)客戶專項的管理；j)涉密系統(tǒng)的管理；k)涉密區(qū)域的管理；l)商業(yè)秘密管理的監(jiān)督考核機制；m)商業(yè)秘密泄密事件應急處理機制。6.2科研機構(gòu)的商業(yè)秘密管理制度宜以商業(yè)秘密管理手冊的形式保存，并在科研機構(gòu)內(nèi)部進行正式公示與發(fā)布。6.3科研機構(gòu)應每年定期檢查并視情況修訂和完善商業(yè)秘密管理制度。7商業(yè)秘密保護宣傳與培訓管理7.1科研機構(gòu)開展商業(yè)秘密保護宣傳與培訓工作，可采取的方式包括但不限于：a)發(fā)放保密手冊或商業(yè)秘密管理手冊；b)定期舉辦商業(yè)秘密保護培訓課程；c)編制、印發(fā)商業(yè)秘密保護宣傳資料；d)在辦公場所內(nèi)張貼宣傳標語、播放宣傳視頻；e)舉辦商業(yè)秘密保護相關(guān)研討會議活動；f)利用科研機構(gòu)或其他媒體平臺進行宣傳。7.2科研機構(gòu)應對涉密人員開展商業(yè)秘密保護與保密培訓，以確保涉密人員明白下列商業(yè)秘密保護知5DB4403/T461—2024識，遵守商業(yè)秘密保護的要求，培養(yǎng)商業(yè)秘密保護重要觀念，培訓內(nèi)容包括但不限于：a)商業(yè)秘密的定義與重要性；b)商業(yè)秘密屬于科研機構(gòu)的職務成果；c)科研機構(gòu)商業(yè)秘密資產(chǎn)的識別與合法使用；d)泄露或侵害科研機構(gòu)商業(yè)秘密的途徑和行為；e)侵害商業(yè)秘密可能承擔的法律責任；f)商業(yè)秘密司法判決案例；g)科研機構(gòu)商業(yè)秘密管理制度的實施內(nèi)容；h)其他與保密義務、保密范圍、保密行為有關(guān)的內(nèi)容。7.3科研機構(gòu)可針對不同單位、職務或權(quán)限的人員，另外組織商業(yè)秘密保護專題培訓，包括但不限于：a)對科研機構(gòu)法定代表人、股東、高級管理人員開展商業(yè)秘密保護觀念與管理策略培訓；b)對科研機構(gòu)從事商業(yè)秘密保護工作的專兼職人員開展商業(yè)秘密保護實務及技能培訓；c)對科研機構(gòu)涉密部門和涉密人員開展商業(yè)秘密泄密風險與保護義務培訓；d)對科研機構(gòu)商業(yè)秘密保護工作支持人員開展商業(yè)秘密保密工具與相關(guān)資源培訓。7.4科研機構(gòu)組織商業(yè)秘密宣傳培訓應有相應的計劃文件、培訓教程、實施程序及評價機制。7.5科研機構(gòu)需保留商業(yè)秘密宣傳培訓的所有實施記錄，包括但不限于：a)實施日期、地點與實施方式；b)實施內(nèi)容；c)實際參與的涉密部門；d)實際參與的涉密人員簽到記錄；e)實施成果記錄，包括但不限于口頭報告、文字報告、考核評價結(jié)果。7.6針對已實施的商業(yè)秘密宣傳或培訓，科研機構(gòu)可定期進行涉密人員商業(yè)秘密保護意識或能力考核，同時保留考核記錄，以利于進行獎懲及持續(xù)改進宣傳與培訓的內(nèi)容。8商業(yè)秘密資產(chǎn)確認8.1實施要求8.1.1科研機構(gòu)應定期進行商業(yè)秘密資產(chǎn)的識別與確認，包括但不限于：a)確定商業(yè)秘密的權(quán)益基礎(chǔ)；b)確定商業(yè)秘密具體客觀存在事實；c)確定商業(yè)秘密保護重點與管理的范圍；d)確定商業(yè)秘密授權(quán)、轉(zhuǎn)讓、質(zhì)押、融資、作價入股等合法交易的具體標的；e)確定商業(yè)秘密鑒定或訴訟維權(quán)時的具體客觀證據(jù)已獲得保全固化。注：將商業(yè)秘密視為資產(chǎn)來進行管理，其目的是確保科研組織能行使占有、使用、收益經(jīng)濟利益等商業(yè)秘密權(quán)益基礎(chǔ)，商業(yè)秘密資產(chǎn)與科技成8.1.2商業(yè)秘密資產(chǎn)確認的過程應包含商業(yè)秘密載體盤點、商業(yè)秘密載體歸檔與商業(yè)秘密電子存證。此過程主要適用于以電子檔案為保存形式的商業(yè)秘密載體。8.1.3商業(yè)秘密資產(chǎn)確認的范圍應采取最大化原則，以避免發(fā)生管理上的疏漏。8.2商業(yè)秘密載體盤點8.2.1科研機構(gòu)應定期進行商業(yè)秘密載體盤點，切實掌握商業(yè)秘密載體動向。8.2.2科研機構(gòu)應要求各涉密部門或?qū)Ｈ寺鋵嵣虡I(yè)秘密載體盤點。因商業(yè)秘密載體盤點需較強的專業(yè)性和知識產(chǎn)權(quán)背景知識，科研機構(gòu)可與有相關(guān)資質(zhì)的司法鑒定機構(gòu)共同參與、實施商業(yè)秘密載體盤點。盤點前，司法鑒定機構(gòu)應簽訂第三方保密協(xié)議。8.2.3科研機構(gòu)應基于所屬行業(yè)、部門組織或項目組織等不同情形，進行商業(yè)秘密載體的分類管理。8.2.4科研機構(gòu)進行商業(yè)秘密載體盤點后，應以商業(yè)秘密載體清單或商業(yè)秘密盤點表等方式管理。8.2.5科研機構(gòu)進行商業(yè)秘密載體盤點，應包含但不限于：a)商業(yè)秘密載體盤點實施日期；6DB4403/T461—2024b)商業(yè)秘密載體盤點部門名稱；c)商業(yè)秘密載體涉密信息類別，如技術(shù)信息或經(jīng)營信息；d)商業(yè)秘密載體業(yè)務或項目類別；e)商業(yè)秘密載體名稱，如電子檔案名稱、器材設備名稱、原料物件名稱；f)商業(yè)秘密載體形式，如電子檔案、實體圖紙、原料物件、制造器具；g)商業(yè)秘密載體取得方式說明，如自行研發(fā)、技術(shù)購入、并購取得；h)商業(yè)秘密載體保管部門及保管人員；i)其他有助于科研機構(gòu)進行商業(yè)秘密載體保護的信息，如保密分級、歸檔結(jié)果、存證結(jié)果。8.2.6下列可認定為公眾所知悉的信息，不應歸屬為科研機構(gòu)保護的商業(yè)秘密資產(chǎn)，不應列入商業(yè)秘密載體清單或商業(yè)秘密盤點表：a)所屬領(lǐng)域?qū)儆谝话愠ＷR或者行業(yè)慣例的；b)所屬領(lǐng)域的相關(guān)人員通過觀察上市產(chǎn)品或?qū)嵤┓聪蚬こ碳纯芍苯荧@得的；c)已經(jīng)在公開出版物或者其他媒體上公開披露的；d)已通過公開的研討會議、展覽等方式公開的；e)所屬領(lǐng)域的相關(guān)人員從其他公開渠道可以獲得該信息的；f)公知信息和基礎(chǔ)理論；g)已申請并公開的專利；h)科研機構(gòu)以其他方式公開的信息；i)可通過合法渠道獲得的公開信息；j)法律法規(guī)規(guī)定的其他情形。8.2.7涉密部門主管應為該部門商業(yè)秘密載體盤點第一負責人，保證商業(yè)秘密識別正確且完整地清查、記錄與保存。8.2.8各涉密部門商業(yè)秘密載體盤點結(jié)果僅限該部門涉密人員知悉，不應向其他部門揭露。8.2.9科研機構(gòu)商業(yè)秘密管理組織應負責管控所有涉密部門商業(yè)秘密載體盤點結(jié)果，負責監(jiān)督與考核。8.3商業(yè)秘密載體歸檔8.3.1科研機構(gòu)應制定明確的商業(yè)秘密載體歸檔相關(guān)實施辦法，內(nèi)容應包括但不限于商業(yè)秘密載體歸檔的實施單位、檔案格式、版本頻率、審核方式、操作方式、登記內(nèi)容。8.3.2商業(yè)秘密載體應由指定的檔案保管部門負責集中保存與管理，確保商業(yè)秘密載體的真實性、可靠性、完整性與可用性。8.3.3通過商業(yè)秘密資產(chǎn)盤點程序，且認定為商業(yè)秘密載體的檔案，應列入歸檔保護的范圍。8.3.4商業(yè)秘密管理組織應根據(jù)各部門商業(yè)秘密資產(chǎn)盤點結(jié)果，不定期進行查驗、監(jiān)督與考核，確保商業(yè)秘密載體如實完成歸檔程序。8.3.5商業(yè)秘密載體正式歸檔前，應由涉密部門負責核對檔案的真實性、完整性和有效性。8.3.6檔案保管部門收到涉密部門申請進行歸檔并完整移交商業(yè)秘密載體后，應進行核對與登記。8.3.7檔案保管部門應將指定歸檔的商業(yè)秘密載體存入專用的存儲設備或系統(tǒng)中，并進行封存。8.3.8科研機構(gòu)應采用可長期保存、不易遺失且具有信息安全保護能力的存儲設備保存商業(yè)秘密載體。8.3.9針對檔案保管部門已封存的商業(yè)秘密載體，不應調(diào)閱、編輯、移動、刪除、變造、重制、毀損或遺失，除非獲得商業(yè)秘密管理組織授權(quán)許可。8.3.10商業(yè)秘密載體封存的期限應為永久保存或設定合理的解封期限。8.3.11檔案保管部門應保有商業(yè)秘密載體歸檔及封存過程的申請、審核、登記與操作日志等記錄。8.4商業(yè)秘密電子存證8.4.1評估階段8.4.1.1科研機構(gòu)進行商業(yè)秘密載體存證前，應對所采用的電子數(shù)據(jù)存證平臺進行以下審查：a)存證平臺是否符合國家有關(guān)部門關(guān)于提供區(qū)塊鏈存證服務的相關(guān)規(guī)定；b)當事人與存證平臺是否存在利害關(guān)系，以及是否存在利用技術(shù)手段不當干預取證、存證過程的情況；DB4403/T461—2024c)存證平臺的信息系統(tǒng)是否符合SF/T0076—2020的要求；d)存證技術(shù)和過程是否符合相關(guān)具體國家標準或者行業(yè)標準中關(guān)于系統(tǒng)環(huán)境、技術(shù)安全、加密方式、數(shù)據(jù)傳輸、信息驗證等方面的要求；e)存證平臺應達到GB/T22239—2019的第三級基本要求并通過網(wǎng)絡安全等級保護第三級測評。8.4.1.2電子數(shù)據(jù)存證平臺宜引入外部參與者作為鑒證節(jié)點，強化存證效力，并對電子數(shù)據(jù)內(nèi)容有效性作出獨立判斷。外部相關(guān)方包括但不限于公證處、仲裁機構(gòu)、鑒定機構(gòu)、授時服務機構(gòu)、數(shù)字身份認證中心。8.4.2準備階段8.4.2.1科研機構(gòu)應通過電子數(shù)據(jù)存證服務提供者對于服務使用方的實名身份核驗并簽署有效的服務協(xié)議。8.4.2.2科研機構(gòu)應優(yōu)先采用不需要原文存證的電子數(shù)據(jù)存證方式，僅提交通過電子數(shù)據(jù)存證服務提供者提供的哈希值算法得到的哈希值來取得存證證明。如科研機構(gòu)需要進行原文存證的，應提交商業(yè)秘密存證原件到電子數(shù)據(jù)存證平臺，且在提交前應仔細確認電子數(shù)據(jù)存證平臺對于商業(yè)秘密存證原件的搜集、處理、利用與保管的方式，明確了解雙方權(quán)利義務，事先評估風險，以避免產(chǎn)生糾紛。8.4.2.3科研機構(gòu)應于每次正式進行商業(yè)秘密載體存證前，再次確認電子數(shù)據(jù)存證平臺的真實性、可靠性、完整性與可用性。8.4.2.4科研機構(gòu)應指派專人負責進行商業(yè)秘密載體存證，且確認該人員已具備電子數(shù)據(jù)存證平臺的操作能力。8.4.3實施階段8.4.3.1科研機構(gòu)應遵循依法正當、誠實信用原則，確保存證原件的真實性，不應偽造或篡改。8.4.3.2科研機構(gòu)用來進行商業(yè)秘密電子存證的相關(guān)權(quán)利證明原件，包括但不限于：a)已完成歸檔的商業(yè)秘密載體；b)商業(yè)秘密管理或保密制度文件；c)商業(yè)秘密管理或保護的實施記錄；d)研發(fā)歷程記錄，如研發(fā)日志、技術(shù)會議記錄、歷程文件記錄、研發(fā)費用支出等證明；e)業(yè)務歷程記錄，如客戶往來通訊、議價交易記錄、客戶需求、業(yè)務費用支出等證明；f)法律文件簽訂記錄，如保密協(xié)議、競業(yè)限制協(xié)議、技術(shù)取得或授權(quán)協(xié)議等證明；g)商業(yè)秘密不為公眾所知悉的證據(jù)，必要時可委托鑒定機構(gòu)出具非公知性鑒定報告；h)商業(yè)秘密具有經(jīng)濟價值的證據(jù)，包括具有現(xiàn)實或潛在的經(jīng)濟價值，必要時可委托評估機構(gòu)進行價值評估；i)泄密人員能夠接觸商業(yè)秘密的證據(jù)；j)商業(yè)秘密權(quán)利被侵犯的證據(jù)或受到損害的證據(jù)；k)其他有利于科研機構(gòu)證明自主商業(yè)秘密權(quán)利與未侵害他方商業(yè)秘密權(quán)利的證據(jù)。8.4.3.3科研機構(gòu)工作人員調(diào)取商業(yè)秘密存證原件進行存證前，應遵循相應的審核程序且保留記錄。8.4.3.4科研機構(gòu)進行商業(yè)秘密存證時，應提供有關(guān)必要的數(shù)據(jù)信息，包括但不限于：a)商業(yè)秘密存證原件的檔案名稱、摘要說明、哈希值、權(quán)利人名稱；b)商業(yè)秘密存證服務的申請人姓名；c)商業(yè)秘密存證的可信時間標識；d)其他有利于科研機構(gòu)辨識與管理商業(yè)秘密存證原件的元數(shù)據(jù)。8.4.3.5科研機構(gòu)完成存證后，應向電子數(shù)據(jù)存證服務提供者索要簽發(fā)存證憑證。存證憑證包括但不限于以下的明文信息：a)電子數(shù)據(jù)存證服務提供者或憑證核發(fā)單位名稱；b)電子數(shù)據(jù)存證平臺名稱；c)存證憑證編號；d)商業(yè)秘密存證原件的權(quán)利人名稱；e)商業(yè)秘密存證服務的申請人姓名；8DB4403/T461—2024f)商業(yè)秘密存證服務的可信時間標識；g)商業(yè)秘密存證原件的哈希值；h)可供科研機構(gòu)或他方進行核驗存證結(jié)果的信息；i)其他外部參與者作為鑒證節(jié)點的信息。8.4.3.6如發(fā)現(xiàn)以下事件，科研機構(gòu)應重新進行存證，以確保存證效力不受質(zhì)疑：a)前次存證操作未成功；b)先前存證所使用商業(yè)秘密存證原件，其內(nèi)容發(fā)生變更、已有更新的內(nèi)容版本、其申請數(shù)據(jù)信息內(nèi)容需要更新、發(fā)生毀損或遺失等狀況；c)先前的存證憑證無法通過查驗。8.4.3.7科研機構(gòu)應完整保存每次電子數(shù)據(jù)存證的正本記錄證據(jù)，包括商業(yè)秘密存證原件、存證憑證、存證操作記錄等，且不應事后偽造或篡改。8.4.4查驗階段8.4.4.1科研機構(gòu)有取證或調(diào)證需求時，應由科研機構(gòu)商業(yè)秘密管理組織設置申請審核窗口，指派專人進行查驗。8.4.4.2科研機構(gòu)向電子數(shù)據(jù)存證服務提供者申請查驗存證記錄，如存證憑證的真?zhèn)巍⒋孀C憑證的效力、完成存證的時間、存證原件的哈希值、區(qū)塊鏈地址等信息。9商業(yè)秘密資產(chǎn)內(nèi)部保護9.1涉密崗位管理科研機構(gòu)應根據(jù)工作情況明確涉密崗位，將涉密崗位劃分為核心涉密崗位、重要涉密崗位和一般涉密崗位。在涉密崗位工作的人員應遵循涉密人員管理要求。9.2涉密人員管理9.2.1入職管理對于新入職、到崗的涉密人員，應采取以下管理措施：a)新入職、到崗到涉密崗位的人員，與其簽訂與崗位工作內(nèi)容相適應的保密合同或協(xié)議，明確約定保密義務以及違約責任等；b)高級管理人員、高級技術(shù)人員及其他負有保密義務的重要涉密人員（如技術(shù)、采購、銷售等有機會接觸、利用重要或關(guān)鍵商業(yè)秘密的人員對因保密原因合法權(quán)益受到影響和限制的涉密人員，按照國家有關(guān)規(guī)定給予相應待遇或者補償，可另與涉密人員簽訂競業(yè)限制協(xié)議，明確約定保密義務以及競業(yè)限制的范圍、地域、生效條件、期限、違約責任、經(jīng)濟補償條件等；c)對所有待錄用涉密人員的背景進行驗證核查，核實其是否對前雇主負有保密義務或競業(yè)限制義務，且保留驗證核查記錄；d)提醒待錄用的涉密人員，不將原任職機構(gòu)的商業(yè)秘密帶入本科研機構(gòu)進行使用或公開，并保留提醒的記錄，要求其簽署不侵犯原任職機構(gòu)商業(yè)秘密的承諾函。9.2.2履職管理對于在職的涉密人員，應采取以下管理措施：a)要求所有涉密人員熟悉并履行商業(yè)秘密管理制度及各項管理工作；b)要求所有人員定期參與商業(yè)秘密保護的保密宣傳及培訓工作；c)建立商業(yè)秘密管理獎懲制度，鼓勵工作人員積極創(chuàng)新研發(fā)，上報有關(guān)商業(yè)秘密管理體系、保密策略、保密措施等的漏洞，對科技創(chuàng)新成果帶來顯著貢獻或發(fā)現(xiàn)并舉報違反商業(yè)秘密管理規(guī)定的行為給予獎勵，對違反商業(yè)秘密管理規(guī)定的行為進行處罰；d)根據(jù)涉密崗位及各部門接觸商業(yè)秘密的情況，建立涉密崗位及涉密人員清單；e)督促崗位變動人員做好保密材料交接工作，對人員重新劃分涉密類別與層級，及時做好涉密9DB4403/T461—2024接觸權(quán)限的調(diào)整；f)參加涉及商業(yè)秘密的工作會議等活動，采取相應的保密措施。9.2.3兼職管理對于科研機構(gòu)在外兼職的涉密人員，科研機構(gòu)應采取以下管理措施：a)根據(jù)涉密崗位及各部門實際接觸商業(yè)秘密以及在外兼職等情況，建立兼職人員名冊清單、在外兼職單位與參與外部項目清單；b)與從事兼職活動的人員、兼職單位三方共同簽署兼職協(xié)議，或與從事兼職活動的人員簽署雙方協(xié)議，以進一步明確各方保密義務以及知識產(chǎn)權(quán)權(quán)屬或權(quán)利劃分等約定；c)留存兼職人員在兼職期間從事相關(guān)研發(fā)工作的基礎(chǔ)資料、研發(fā)數(shù)據(jù)、設備等物資的使用記錄等證據(jù)資料；d)關(guān)注科研人員在外兼職單位近期的商業(yè)秘密侵害風險，對疑似涉入商業(yè)秘密或其他知識產(chǎn)權(quán)爭議案件的單位，評估是否啟動內(nèi)部預警調(diào)查與列入警示名單。9.2.4離職管理對于涉密人員離職，應采取以下管理措施：a)涉密崗位人員離職前，主動面談并告知其負有的保密義務，以及若違反規(guī)定應承擔的相應法律責任。同時告知離職人員不應有以下行為：·私自復制、帶離、損毀、篡改、拍攝涉密文件資料、物品；·私自查閱、拷貝、篡改、發(fā)送涉密電子文檔、數(shù)據(jù)；·私自刪除、更改賬戶；·私自披露、使用商業(yè)秘密；·其他侵害商業(yè)秘密的行為。b)要求待離職涉密人員主動移交一切涉密載體和物品，并進行盤點和登記；c)對待離職涉密人員（尤其對重點涉密人員）做好離職審計。離職審計包括但不限于以下內(nèi)容：·待離職涉密人員所使用的電腦上是否有權(quán)限之外的文檔；·待離職涉密人員所使用的電腦數(shù)據(jù)是否完整，是否有異常刪除或復制的痕跡；·待離職涉密人員所使用的信息系統(tǒng)，包括數(shù)據(jù)庫或郵件系統(tǒng)等，其訪問日志是否有異常；·涉密人員在申請離職前一定期限內(nèi)的商業(yè)秘密的查閱和使用情況是否有異常。d)主動探詢待離職涉密人員該部門的相關(guān)人員，了解該人員離職原因是否涉及競爭對手就業(yè)或其他可能涉及泄密竊密的風險因素；e)在離職審計過程中，若發(fā)現(xiàn)涉密人員可能存在侵害商業(yè)秘密行為的，應及時收集并固定證據(jù)，按照泄密事件管理的規(guī)定處理；f)對待離職涉密人員采取適當措施進行脫密，及時回收系統(tǒng)權(quán)限，并及時通知與離職人員有關(guān)的外部供應商、客戶、合作單位等，做好業(yè)務交接；g)采取適當?shù)姆绞交蚣s定內(nèi)容，進行離職人員追蹤，并掌握已簽訂競業(yè)限制協(xié)議的離職人員于競業(yè)限制期限內(nèi)的任職去向。9.2.5外部人員來訪管理對于外部來訪人員，應采取以下管理措施：a)外部來訪人員進入科研機構(gòu)涉密區(qū)域經(jīng)審批，履行進出登記，且全程佩戴臨時證件；b)外部來訪人員進入涉密區(qū)域，受訪部門安排人員陪同，限制來訪人員使用具有錄音、攝像、拍照、信息存儲等功能的設備；c)外部來訪人員進入涉密區(qū)域，限制其使用網(wǎng)絡接收、處理與傳輸信息的能力；d)科研機構(gòu)與外部人員召開重要涉密會議，主動告知相關(guān)保密義務并采取適當?shù)谋Ｃ艽胧籩)外部人員如需使用或外出攜帶商業(yè)秘密載體，包括但不限于電子檔案、實體物品，由受訪部門事先核實外部人員及其所任職的單位是否已簽訂相應的有效保密協(xié)議，同時依據(jù)科研機構(gòu)商業(yè)秘密管理制度的相關(guān)要求實施保密措施，并保留外部人員每次接觸、使用或外出攜帶商DB4403/T461—2024業(yè)秘密載體的簽署記錄；f)政府職能部門及其工作人員、第三方專業(yè)機構(gòu)、專家、觀察員等對參與調(diào)查過程中知悉的商業(yè)秘密負有保密義務。9.3涉密文檔管理9.3.1分級標示對于涉密文檔，應采取分級標示措施：a)科研機構(gòu)根據(jù)商業(yè)秘密泄露后可能對自身生存發(fā)展和利益造成的損害程度進行評估，將商業(yè)秘密載體進行分級管理，商業(yè)秘密載體分級見表1；b)商業(yè)秘密載體標記相應的提示警語文字與密級標識，任何人不私自刪除、涂改或遮蔽商業(yè)秘密文件的密級標識；c)科研機構(gòu)嚴格要求工作人員落實分級與標示，且不定期進行抽查及考核。表1商業(yè)秘密載體分級方式指重要的商業(yè)秘密，泄露會使科研機構(gòu)生存發(fā)指最重要的商業(yè)秘密，泄露會使科研機構(gòu)生存發(fā)展和9.3.2儲存保管對于涉密文檔儲存保管，應采取以下管理措施：a)各涉密部門指定專人負責該部門的商業(yè)秘密載體存檔和保管工作；b)科研機構(gòu)定期對商業(yè)秘密載體進行備份；c)商業(yè)秘密載體存放在科研機構(gòu)監(jiān)管下的實體儲存處或指定的信息系統(tǒng)，避免在辦公電腦、信息系統(tǒng)和設備以外的任何裝置進行存儲，如有特殊或例外情況需在科研機構(gòu)規(guī)定范圍外的裝置存儲商業(yè)秘密載體，事先提交相關(guān)申請，且獲得涉密部門主管審批同意；d)實體形式的商業(yè)秘密載體保存方式與其他一般文件或物品有所區(qū)隔，或使用上鎖的儲物柜，指定專人保管，且定期根據(jù)商業(yè)秘密載體清單或商業(yè)秘密盤點表進行核對；e)科研機構(gòu)存放商業(yè)秘密載體的區(qū)域配備監(jiān)控攝像頭、火災報警等安防設備。9.3.3內(nèi)部流通對于涉密文檔內(nèi)部流通，應采取以下管理措施：a)規(guī)定與限制人員使用商業(yè)秘密載體的場地、時機、條件、設備與方式；b)規(guī)定人員在進行商業(yè)秘密載體的復制（拷貝、打印、掃描、摘抄等）、跨部門或項目轉(zhuǎn)移、披露或使用之前，由涉密部門主管審批并完成登記手續(xù)，復制件與原件的密級相同；c)規(guī)定人員取得或提供商業(yè)秘密載體的傳輸方式，包括但不限于指定的網(wǎng)絡環(huán)境、郵件系統(tǒng)、儲存系統(tǒng)、收發(fā)件流程或密封包（箱）；d)商業(yè)秘密載體的請求與交付過程，基于“僅需要知道的原則”（NeedToKnowBasis）審慎處理，凡超過涉密部門業(yè)務范圍、項目范圍、職務范圍之外，無需過度知悉的商業(yè)秘密信息，不進行接觸或流通；e)制定標準化的檔案命名與版本編號等原則，易于快速辨識與遵守實施；f)科研機構(gòu)對于人員實際接觸商業(yè)秘密載體或密點信息的行為保有操作日志或相關(guān)記錄。9.3.4加密保護對于涉密文檔加密保護，采取以下管理措施：DB4403/T461—2024a)宜采用加密系統(tǒng)強化商業(yè)秘密載體的保護能力，加密系統(tǒng)應采取密鑰備份、雙人控制以及意外恢復還原等安全管理措施；b)宜制定檔案加密及解密的規(guī)范或程序，包含但不限于操作對象、操作時機、審批機制、應急方案。9.3.5刪除銷毀對于涉密文檔刪除銷毀，應采取以下管理措施：a)所有人員不隨意棄置、丟棄或毀損商業(yè)秘密信息載體；b)銷毀涉及商業(yè)秘密的文件、資料、電子信息、載體和物品，由涉密部門專責人員列出銷毀清單與事由，經(jīng)商業(yè)秘密管理組織審批后實施；c)商業(yè)秘密信息載體的銷毀過程采取監(jiān)督措施，如視頻監(jiān)控、錄像、見證；d)根據(jù)商業(yè)秘密信息載體的不同采取妥善的銷毀方式，確保信息不可恢復。9.3.6留痕記錄對于涉密文檔留痕記錄，應采取以下管理措施：a)所有商業(yè)秘密載體在科研機構(gòu)內(nèi)部的產(chǎn)生、分級、保存、流通、加解密及銷毀等保留記錄；b)留痕記錄的保存時間與方式由商業(yè)秘密管理組織進行評估與核定。9.4涉密系統(tǒng)管理9.4.1賬號密碼對于涉密系統(tǒng)賬號密碼管理，應采取以下管理措施：a)視業(yè)務或任務需求，為工作人員設置可登錄辦公電腦設備、數(shù)據(jù)庫、檔案庫或應用系統(tǒng)的賬戶和密碼；b)賬號和密碼屬于個別人員且僅限本人保管使用，不與其他人員共用；c)避免使用默認密碼或保存密碼等方式自動登錄信息系統(tǒng)；d)制定密碼強度（長度）規(guī)則；e)信息系統(tǒng)的密碼通過系統(tǒng)設置強制用戶定期更換；f)業(yè)務部門設置公用賬號、匿名賬號等特殊賬號，經(jīng)過商業(yè)秘密管理組織審批；g)信息系統(tǒng)的賬號密碼建立申請、登記、審核、發(fā)放及撤銷等作業(yè)辦法，由專人負責管理并保留所有變更記錄。9.4.2權(quán)限管理對于涉密系統(tǒng)權(quán)限管理，應采取以下管理措施：a)由商業(yè)秘密管理組織統(tǒng)一管理對涉密信息系統(tǒng)的授權(quán)使用范圍與條件；b)由商業(yè)秘密管理組織制定涉密信息系統(tǒng)賬號權(quán)限的申請或變更審批辦法；c)對接觸商業(yè)秘密信息的相關(guān)涉密系統(tǒng)的人員，如辦公電腦設備、數(shù)據(jù)庫和各類應用系統(tǒng)，為其賬戶實行權(quán)限管理，以“最小夠用”原則設定權(quán)限；d)涉密系統(tǒng)的權(quán)限至少包括可使用系統(tǒng)的期限、可操作的功能范圍、可操作的數(shù)據(jù)或檔案范圍e)權(quán)限到期、人員變更、轉(zhuǎn)崗或離職、項目變更時，及時變更、撤銷相應的信息系統(tǒng)權(quán)限；f)信息系統(tǒng)的權(quán)限變更事件保留完整記錄日志；g)信息系統(tǒng)的管理員權(quán)限在不同人員之間進行分配，避免由超級管理員管理整個系統(tǒng)或多個系統(tǒng)的情況。9.4.3辦公電腦對于涉密系統(tǒng)辦公電腦，應采取以下管理措施：a)科研機構(gòu)配備辦公電腦供工作人員公務使用，且作為主要的商業(yè)秘密信息處理設備；b)工作人員攜帶個人電腦至科研機構(gòu)辦公，由商業(yè)秘密管理組織審批核定，科研機構(gòu)可視人員DB4403/T461—2024職務涉密程度與權(quán)限層級，要求限制其個人電腦的信息處理能力，包括但不限于不在本地端儲存商業(yè)秘密載體、不接入特定科研機構(gòu)內(nèi)部網(wǎng)絡、需同意安裝電腦行為監(jiān)控軟件；c)關(guān)閉或禁用辦公電腦的移動存儲等數(shù)據(jù)傳輸功能模塊，以及音視頻采集設備，未經(jīng)許可不得使用；d)辦公電腦硬件的配置、維修、報廢均經(jīng)過審批或授權(quán)交由指定人員處理，使用封條封住主機以禁止工作人員私自拆機維修、更換、增加硬件配件；e)辦公電腦未經(jīng)批準不安裝非授權(quán)軟件；f)辦公電腦的網(wǎng)絡接入、網(wǎng)絡配置均按規(guī)定設置，禁止接入非授權(quán)網(wǎng)絡；g)可于辦公電腦安裝電腦行為監(jiān)控軟件，及早針對風險事件做出預警措施；h)可于辦公電腦安裝殺毒或系統(tǒng)還原軟件，降低系統(tǒng)因故損壞的風險。9.4.4數(shù)據(jù)系統(tǒng)對于涉密數(shù)據(jù)系統(tǒng)，應采取以下管理措施：a)商業(yè)秘密載體存儲于科研機構(gòu)授權(quán)的數(shù)據(jù)系統(tǒng)，不存儲于非授權(quán)的存儲設備或網(wǎng)絡空間；b)工作人員使用科研機構(gòu)核發(fā)的賬號與密碼才能進入并使用數(shù)據(jù)系統(tǒng)；c)工作人員操作數(shù)據(jù)系統(tǒng)時，以下行為履行審批手續(xù)，非工作需要不擅自使用或操作：·需要超出權(quán)限查閱或使用商業(yè)秘密載體數(shù)據(jù)；·需要拷貝或打印存儲設備或應用系統(tǒng)中的商業(yè)秘密載體數(shù)據(jù)；·需要上傳、匯總商業(yè)秘密載體數(shù)據(jù)至第三方系統(tǒng)平臺；·需要變更或刪除商業(yè)秘密載體數(shù)據(jù)。d)科研機構(gòu)保存工作人員使用數(shù)據(jù)系統(tǒng)的操作記錄；e)數(shù)據(jù)系統(tǒng)建立在科研機構(gòu)完全可控的環(huán)境之中，易于系統(tǒng)管理、更新與維護；f)數(shù)據(jù)系統(tǒng)有相應的信息安全保護機制，如防火墻、殺毒軟件等；g)數(shù)據(jù)系統(tǒng)定期進行備份以及信息安全漏洞檢測；h)數(shù)據(jù)系統(tǒng)有相應的災害應變與系統(tǒng)復原措施。9.4.5智能手機對于涉密智能手機，應采取以下管理措施：a)評估實際需求，列冊核發(fā)專用的智能手機，供工作人員執(zhí)行業(yè)務使用；b)科研機構(gòu)核發(fā)的智能手機由專人專管專用，且事先安裝具有身份識別、內(nèi)容加密、設備綁定、行為監(jiān)控等保密措施的軟件；c)個人智能手機不接入存有科研機構(gòu)商業(yè)秘密載體數(shù)據(jù)的系統(tǒng)，避免在個人手機內(nèi)存儲商業(yè)秘密信息；d)涉密區(qū)域不使用個人智能手機，如攜帶個人智能手機進入涉密區(qū)域關(guān)閉或禁用攝像頭、麥克風，不在涉密區(qū)域內(nèi)拍攝、錄音、設置熱點；e)個人智能手機不接入科研機構(gòu)涉密網(wǎng)絡。9.4.6移動存儲對于涉密移動存儲，應采取以下管理措施：a)科研機構(gòu)評估實際需求，列冊核發(fā)專用的涉密移動存儲設備，供工作人員執(zhí)行業(yè)務使用；b)涉密移動存儲設備由專人專管專用，且使用具有身份識別、內(nèi)容加密、設備綁定、行為監(jiān)控等保密功能的設備；c)工作人員完成任務后繳回涉密移動存儲設備且確實清空存儲內(nèi)容；d)未經(jīng)審批不使用移動存儲設備存儲商業(yè)秘密載體，涉密移動存儲介質(zhì)不連接非涉密或未采取保密措施的計算機及電子設備；e)未經(jīng)審批不攜帶涉密移動存儲設備至科研機構(gòu)外部使用。9.4.7信息傳輸DB4403/T461—2024對于涉密信息傳輸，應采取以下管理措施：a)限制工作人員進行商業(yè)秘密載體傳輸或交換的渠道，包括但不限于：·科研機構(gòu)專用的網(wǎng)盤；·科研機構(gòu)專用的郵箱；·科研機構(gòu)專用的即時通訊軟件；·科研機構(gòu)專用的數(shù)據(jù)系統(tǒng)；·科研機構(gòu)專用的網(wǎng)絡環(huán)境。b)工作人員透過郵件或即時通訊軟件進行商業(yè)秘密載體傳輸或交換時，于信息內(nèi)文加注提示警語文字與密級標識，必要時得以加密方式進行檔案傳輸；c)工作人員收到疑似非經(jīng)授權(quán)或許可的商業(yè)秘密載體或涉密信息時，主動通報業(yè)務部門主管或商業(yè)秘密管理組織，不進一步接觸或使用該涉密檔案；d)科研機構(gòu)的辦公網(wǎng)絡不允許工作人員訪問非科研機構(gòu)郵箱的外部郵箱，將常見的外部郵箱、地址包括網(wǎng)址設為禁止訪問名單，因工作需要登錄外部郵箱的經(jīng)過審批并備案郵箱賬號和密碼；e)禁止工作人員使用私人網(wǎng)盤，將常見的網(wǎng)盤網(wǎng)址設為禁止訪問名單，確因工作需要登錄私人網(wǎng)盤的經(jīng)過審批，并向科研機構(gòu)備案網(wǎng)盤賬號和密碼；f)科研機構(gòu)辦公電腦使用的即時通訊軟件避免和其他外部通訊軟件交互商業(yè)秘密信息；g)對于涉密信息的傳輸，科研機構(gòu)具備權(quán)限管理、操作記錄日志與行為監(jiān)控等保密能力。9.5涉密區(qū)域管理9.5.1科研機構(gòu)內(nèi)部的辦公區(qū)域應根據(jù)科研單位或項目的敏感程度、商業(yè)秘密信息儲存與流通的密集程度，劃分為不同等級的涉密區(qū)域。不同等級的區(qū)域之間應采取物理門、墻、隔斷等物理隔離措施。涉密等級較高的辦公區(qū)域應設置在離科研機構(gòu)出入口相對較遠的位置。9.5.2涉密區(qū)域可采取下列保密措施：a)宜使用獨立、封閉的辦公區(qū)域，不宜使用開放式辦公或多部門混合辦公；b)工作人員進出宜佩戴明顯的身份標識卡，非授權(quán)人員因工作而出入涉密區(qū)域，需經(jīng)審批取得臨時授權(quán)；c)涉密區(qū)域出入口應張貼“涉密級別”“禁止攜帶違禁品”或“禁止錄音攝像”等警語標識；d)宜配備安保人員及安防設備，安保人員需定時或不定時巡邏檢查；e)宜限制工作人員在較高等級涉密區(qū)域內(nèi)使用個人信息設備或網(wǎng)絡通訊的能力；f)宜于涉密區(qū)域設置如面部或指紋等具有個人生物特征識別能力的安防系統(tǒng)；g)有專人定期進行安全檢查，清查任何可能造成泄密的不明裝置或漏洞風險；h)涉密區(qū)域內(nèi)部可設置專門的涉密會議室或防竊聽通訊裝置；i)涉密電腦屏幕可配備防偷窺、防拍照措施；j)較高等級的涉密區(qū)域可評估是否適時關(guān)閉或遮蔽對外窗戶，以避免外部窺視；k)宜配備視頻監(jiān)控及報警系統(tǒng)，能對非法闖入或攜帶違禁品進入實時報警；l)非經(jīng)審批同意，不擅自移動或攜出涉密區(qū)域內(nèi)的物品或設備，若獲準攜出涉密區(qū)域內(nèi)的物品或設備，保留攜出登記記錄。9.5.3儲存或備份商業(yè)秘密載體的數(shù)據(jù)中心、文檔中心應設置在相對隱蔽的位置，遠離非涉密區(qū)域且不宜張貼明確標識以防侵入。9.5.4科研機構(gòu)可根據(jù)業(yè)務和保密要求的不同，將內(nèi)部網(wǎng)絡劃分為不同的網(wǎng)絡區(qū)域。涉密區(qū)域的涉密網(wǎng)絡可采取以下保密措施：a)禁止電腦或任何信息裝置接入外網(wǎng)，或以白名單方式限制接入外網(wǎng)的能力；b)與其他內(nèi)部網(wǎng)絡進行隔離，不能相互連通；c)與其他內(nèi)部網(wǎng)絡采取不同的分級或權(quán)限管理措施；d)禁止使用無線網(wǎng)絡、無線熱點；e)訪問涉密區(qū)域網(wǎng)絡的設備使用終端準入限制、身份安全等驗證措施；f)配備獨立的網(wǎng)絡基礎(chǔ)設施如服務器、防火墻、專線等。DB4403/T461—20249.5.5科研機構(gòu)應根據(jù)業(yè)務和保密等級要求，將較高等級的涉密區(qū)域設置在具有較高防災能力的建筑9.5.6科研機構(gòu)對外開放租借或共享研究設備、器材或場所（以下簡稱“共享平臺”），可采取下列保密措施：a)科研機構(gòu)制定共享平臺物理環(huán)境管理規(guī)范及使用規(guī)定；b)共享平臺設置專職管理員，負責共享平臺的日常管理工作，包括但不限于共享設備的登記備案、使用時段預約與實際使用簽到管理，并在每臺設備上張貼標簽以便于管理，標簽內(nèi)容包括設備責任人和緊急聯(lián)系電話；c)科研機構(gòu)與外部申請方簽訂共享平臺使用合同，嚴格要求按照操作流程進行實驗研究；d)共享平臺所有設備與物理環(huán)境與科研機構(gòu)涉密區(qū)域進行隔離，外部使用人員不接入可能接觸科研機構(gòu)商業(yè)秘密信息的內(nèi)部網(wǎng)絡、電腦或數(shù)據(jù)庫等系統(tǒng)；e)外部使用人員每次使用共享平臺后，自行保存實驗研究成果，每次使用結(jié)束后，由專職管理員進行設備檢查并進行清空還原；f)專職管理員定期進行共享平臺安全檢查，清查任何可能造成泄密的不明裝置或漏洞風險。10商業(yè)秘密資產(chǎn)外部保護10.1信息公開10.1.1科研機構(gòu)對外發(fā)布公開信息，發(fā)布人應注意識別和防范商業(yè)秘密泄露。對外發(fā)布公開信息包括但不限于：a)學術(shù)論文；b)專利文件；c)產(chǎn)品說明文件；d)技術(shù)成果展示；e)依法需公開披露的組織運營報告；f)科研機構(gòu)自主發(fā)布的媒體新聞；g)科研機構(gòu)自主或受委托發(fā)布的調(diào)研報告書；h)研討會議或展會活動所揭露的信息。10.1.2商業(yè)秘密管理組織應建立科研機構(gòu)信息公開時可能涉及商業(yè)秘密信息的保密審查制度。10.1.3科研機構(gòu)正式對外發(fā)布公開信息時，應就可能涉及商業(yè)秘密的信息，進行遮擋或隱蔽。10.2商務活動10.2.1在開始商務談判前或提供涉密信息前，應評估泄密風險，且與對方簽署保密協(xié)議。10.2.2在商務談判或提供涉密信息的過程中，應明確告知收受方對于取得涉密信息后的保密義務、使用范圍及使用限制，妥善保存交付過程的簽收證據(jù)。10.2.3在商務談判或提供涉密信息內(nèi)容之后，應監(jiān)督追蹤保密協(xié)議是否有效履行與相關(guān)涉密信息流10.2.4在商務活動中應避免泄漏科研機構(gòu)重大政策方向、關(guān)鍵技術(shù)走向、產(chǎn)品研發(fā)計劃、核心原料或零組件取得方式、涉密部門或涉密人員名單等可能讓外部方惡意探查商業(yè)秘密來源途徑的敏感信息。10.3委外服務科研機構(gòu)在正式聘任或委托外部專家、顧問、翻譯、律師、會計師或技術(shù)供應廠商進行服務之前，宜進行背景調(diào)查，評估竊密或泄密風險，并應簽訂保密協(xié)議及不侵犯他方商業(yè)秘密承諾書。10.4科技成果轉(zhuǎn)化10.4.1科研機構(gòu)進行科技成果轉(zhuǎn)化，應依法簽訂合同，明確各方享有的權(quán)益和各自承擔的責任，并在合同中約定在科技成果轉(zhuǎn)化過程中產(chǎn)生的后續(xù)改進技術(shù)成果的權(quán)屬，包括商業(yè)秘密權(quán)屬。科技成果轉(zhuǎn)化包括但不限于：DB4403/T461—2024a)自行投資實施轉(zhuǎn)化；b)向他人轉(zhuǎn)讓該科技成果；c)有償許可他人使用該科技成果；d)以該科技成果為合作條件與他人共同實施轉(zhuǎn)化；e)以該科技成果作價投資折算股份或出資比例；f)其他協(xié)商確定的合法方式。10.4.2科研機構(gòu)應依照科技成果轉(zhuǎn)化合同所約定的內(nèi)容、時間與方式，交付與該項科技成果相關(guān)的商業(yè)秘密涉密文件，且交付過程應保有完整的記錄。10.4.3科技成果轉(zhuǎn)化過程中涉及商業(yè)秘密轉(zhuǎn)化或交付的，科研機構(gòu)應與轉(zhuǎn)化方簽署相應的保密協(xié)議，保密協(xié)議應明確保密范圍、保密期限、泄密補救措施、違約責任等內(nèi)容。保密協(xié)議的法律效力獨立于科技成果轉(zhuǎn)化合同，不受科技成果轉(zhuǎn)化合同效力影響。11檢查與改進11.1商業(yè)秘密管理組織應要求涉密部門定期以書面方式報告商業(yè)秘密管理實施成果，確保科研機構(gòu)商業(yè)秘密資產(chǎn)均在受控的保護范圍內(nèi)，并且有效運行。11.2商業(yè)秘密管理組織應定期舉行檢查與評審會議，針對定期評估報告發(fā)現(xiàn)的管理缺失、風險漏洞及不足的資源，制定調(diào)整方案及改進計劃。11.3商業(yè)秘密管理組織應基于監(jiān)督檢查結(jié)果，落實完善商業(yè)秘密保護的獎懲機制。11.4商業(yè)秘密管理組織發(fā)現(xiàn)有泄密情況及隱患的，應及時采取糾正或預防措施。11.5商業(yè)秘密管理組織可適時采用外部第三方機構(gòu)的認證機制，客觀衡量科研機構(gòu)商業(yè)秘密管理制度的保護效力與實施績效。11.6商業(yè)秘密管理組織應留存商業(yè)秘密管理制度相關(guān)檢查與改進的實施記錄。12應急與維權(quán)12.1應急處置預案科研機構(gòu)應制定商業(yè)秘密泄密或被侵權(quán)的應急處置預案，建立緊急應對流程。應急處置預案應包括但不限于以下內(nèi)容：a)采取保護措施防止信息進一步擴散或損失擴大；b)調(diào)查原因、涉事人員、責任人等；c)收集并固定證據(jù)；d)啟動內(nèi)部處罰或外部維權(quán)；e)形成報告和改進方案；f