【团体标准】 软件行业商业秘密保护规范

6.1总则6.1.1企业商业秘密的管理应由商业秘密保护委员会或领导小组统一组织实施。6.1.2企业应制定商业秘密管理制度，明确商业秘密的定密、隐秘、解密、销秘等工作的准则或程序。6.1.3企业应按照规定准则或程序对商业秘密的定密、隐秘、解密、销秘等过程实施管理，并保留过程管理的成文信息。6.2定密6.2.1定密范围企业商业秘密保护委员会或领导小组应界定其商业秘密的定密范围，定密范围宜考虑以下方面：a)与技术有关的结构、原料、组分、配方、材料、样品、样式、植物新品种繁殖材料、工艺、方法或其步骤、算法、数据、计算机程序及其有关文档等技术信息；b)与经营活动有关的创意、管理、销售、财务、计划、样本、招投标材料、客户信息、数据等经营信息。其中客户信息包括客户的名称、地址、联系方式以及交易习惯、意向、内容等信息；c)符合商业秘密构成要件，除技术信息、经营信息以外的商业信息。6.2.2定密要求6.2.2.1涉密部门或涉密个人应及时收集和登记生产经营过程中产生的技术信息、经营信息等商业信息，拟定保密项目，并填写定密申请，经部门保密负责人签批确认后，报送企业商业秘密管理办公室。6.2.2.2商业秘密管理办公室牵头组建定密小组，定密小组对提出的商业秘密确认申请进行论证，论证内容包括但不限于：a)密点的公众知悉或获取渠道。此时需要论证包括但不限于以下情况：1)未在国内外公开使用；2)未在国内外公开出版物或者其他媒体上公开披露；3)未通过公开的报告会、展览等方式公开；4)不属于其所属领域相关人员普遍掌握的常识或行业惯例；5)不能仅涉及产品尺寸、结构、材料、部件的简单组合等内容；6)不能从公开渠道获得。b)密点的现实的或者潜在的商业价值。此时需要论证包括但不限于以下情况：1)给企业带来的经济收益，包括现有的和潜在的经济收益；2)对企业生产经营的重要程度；3)企业的投入研发、经营以及其他成本；4)为企业带来竞争优势；5)竞争对手获取商业信息后产生的价值；6)因信息泄露后产生或可能产生的经济损失；7)因信息泄露后可能承担的法律责任。6.2.2.3经论证的商业秘密，由商业秘密管理办公室统一报送企业保密委员会或领导小组审批确定。企业可通过公证、第三方存证、电子存证等证据保全方式实现对商业秘密权属的初步确认。6.2.2.4企业应根据商业秘密的重要性程度和商业价值高低，确定商业秘密的密级，一般划分为核心商业秘密、重要商业秘密、一般商业秘密和定向商业秘密。各密级划分标准如下：a)核心商业秘密是指公开或泄露后，会给权利人带来致命的、毁灭性的、长久性极大伤害或即时性持续重大伤害或极大经济损失的商业秘密。b)重要商业秘密是指公开或泄露后，会给权利人带来相对滞后的持续性重大伤害或短期性即时重大伤害或重大经济损失的商业秘密。c)一般商业秘密是指较难采取技术和物理防护措施，且公开或泄露后会给权利人带来相对滞后的持续性较大伤害或即时性一般伤害或一般经济损失的商业秘密。d)定向商业秘密是指无法采取技术和物理防护措施，且被竞争对手、同业人员或特定的利益相关者知悉后，给权利人带来伤害、经济损失、竞争威胁、潜在负面影响的商业秘密。6.2.2.5商业秘密管理办公室应对审批后的商业秘密及其相关文件进行登记备案，并明确其密级、保密期限、知悉范围、保密事项、保护措施、存放地点及保存方式等内容。6.3隐密6.3.1下列情形涉及商业秘密的，应由定密小组对相关信息予以隐藏：a)与供应商、客户、合作方等的沟通和信息往来中；b)信息公开、发布、流转时；c)协助其他单位尽职调查时；d)其他情形。6.3.2可采取的隐密方式包括但不限于：a)隐藏或删除涉密信息；b)对涉密信息进行模糊化处理；c)其他方式。6.4解密6.4.1满足下列要求之一的商业秘密，应由定密小组对其进行解密：a)企业认为商业秘密事项已不再具有保护价值的；b)保密期限届满；c)其它特定因素导致商业秘密被公开的。6.4.2可采取的解密方式包括但不限于：a)移出涉密区域；b)消除密级标识、提示；c)电子文档解密；d)其他方式。6.5销密6.5.1销毁涉及商业秘密的文件(含复制文件)、资料、电子信息、载体和物品，应列出销毁清单，经商业秘密保护办公室审批后，由定密小组实施。可采取的销毁方式包括但不限于：a)文件、资料应粉碎成颗粒状或焚烧处置；b)电子信息应利用彻底删除软件永久删除；c)含有核心秘密的电子信息载体应做销毁处理；d)其他合适的方式。6.5.2可采取下列方式对销毁过程进行监督管理：a)在视频监控范围内销毁；b)不少于2名定密人员见证下销毁；c)对销毁过程录像等。6.6标志6.6.1企业商业秘密的标志由密级、标识、保密期限三部分组织，标志以3号方正黑体字。示例：“绝密R15年”。6.6.2涉密文件应将标志标注在文件首页左上角。涉密载体应在外包装上标明与内容一致的密级。标志与涉密载体不得分离。6.6.3摘录、引用秘密信息的，应在派生载体上标识与原件一致的密级。6.6.4文件资料汇编中有涉密文件的，除对各独立文件的密级做出标识外，还应按照汇编中的最高密级，在封面做出标识。6.6.5各部门对商业秘密标识后，应即行登记建立台帐，由专人管理，按企业档案管理有关规定建立查阅、借阅制度。6.6.6在特殊情况下，未进行标识的涉密资料、涉密文件仍然为商业秘密。