《中小企业商业秘密安全保护规范》征求意见稿

1T/BJHDSMEA0001—2023中小企业商业秘密安全保护规范本文件是为了配合商业秘密相关法律法规的实施，同时适应云计算、物联网和大数据等新技术、新应用情况下商业秘密保护工作的开展，对商业秘密保护安全措施提出有效可靠的安全保护内容。文件主要从商业秘密安全管理措施与商业秘密安全技术措施两个方面提出相关要求，形成商业秘密保护技术基本要求。本文件适用于中小企业开展商业秘密安全保护等相关活动，其他类型企业可参考执行。2规范性引用文件本文件没有规范性引用文件。3术语和定义下列术语和定义适用于本文件。3.1商业秘密tradesecrets不为公众所知悉、具有商业价值并经权利人采取相应保密措施的技术信息、经营信息等商业信息。3.2商业秘密数据tradesecretdata以电子方式存在的，一旦遭到篡改、破坏、泄露或者非法获取、非法利用，可能危害企业运行、生产经营、企业合法权益的数据。3.33.4商密载体commercialsecretcarriers以文字、数据、符号、图形、图像、视频和音频等方式记录商业秘密信息的介质。3.53.6涉及商密的设备equipmentconcerningtradesecrets处理或存储商业秘密信息的台式机、便携机、一体机、平板等各类计算机。4概述商业秘密保护措施主要从商业秘密安全管理措施与商业秘密安全技术措施两个方面进行体现。商业秘密管理措施主要从组织保障、人员保障、数据分级、权限管理、日志留存、安全审计、应急响应、事件处置、竞业管理、教育培训等方面进行管理要求；商业秘密安全技术措施主要从商业秘密形成、商业秘密存储、商业秘密流转、商业秘密加工、商业秘密传输、商业秘密提供、商业秘密脱敏等过程中不同安全保护需求提出安全技术要求。5商业秘密安全管理措施5.1组织保障商业秘密通用安全措施组织保障方面应符合下列要求：2T/BJHDSMEA0001—2023a)应明确商业秘密管理职责部门，配备商业秘密安全管理人员，制定商业秘密制度规范及操作规程，如商业秘密的保护、培训、宣传、泄密应急处置和奖惩的管理制度，并实施商业秘密保护措施，开展商业秘密安全监督检查和考核管理；b)企业根据自身商业秘密数据安全管理的实际情况，应建立商业秘密定密管理规范和定密流程，确定责任人、审核人、承办人，并授予其相应定密权限，确定单位的定密依据、定密细则等；信息系统中的商业秘密应根据定密结果设定相应的密级标识，密级标注统一为“核心商密”、“普通商密”；c)应建立商业秘密保护工作体系，明确商业秘密数据安全管理机构，设置数据安全管理专职岗位，明确商业秘密安全责任人，加强核心商业秘密处理岗位人员管理，如定期对核心商业秘密处理岗位人员进行专项培训、安全审计及应急响应等工作；相关人员应负责具体承担落实商业秘密安全管理相关工作，包括不限于权限管理、日志留存、安全审计、应急响应、事件处置和教育培训等工作；d)应结合所属行业的商业秘密数据特征、数据处理场景等，制定商业秘密数据安全管理制度和业务相关的数据安全策略和规程，明确商业秘密数据安全工作方针、目标和原则，并对管理制度执行落实情况进行监督检查和考核问责，管理制度包括但不限于商业秘密数据安全管理办法、商业秘密数据分级规范、商业秘密数据安全审计办法、商业秘密数据安全应急管理制度、商业秘密数据内部登记审批制度等，并及时进行修订。e)企业根据自身商业秘密数据的实际情况，应明确商业秘密的经营特性或技术功能；确定信息所属领域并了解该领域的现实情况；简要梳理概括并简要表达无论是技术信息还是经营信息。5.2人员保障商业秘密通用安全措施人员保障方面应符合下列要求：a)处理商业秘密的人员应签署保密协议书（模板可参考附录A）；b)重要关键岗位应严格规范人员录用、调离过程，对被录用人的身份、背景、专业资格和资质等进行审查，对其所具有的技术技能进行核查；c)应对安全保密教育和培训进行书面规定，针对不同岗位制定不同的培训计划，定期对各类人员进行安全保密教育、岗位技能培训和相关安全技术培训，提高人员数据安全意识和专业技d)应对安全教育和培训的情况和结果进行记录并归档保存；e)应根据人员角色（包括商业秘密处理人员、内部人员、运维人员等）加强对数据的访问控制；f)应加强核心商业秘密数据处理关键岗位的管理，将能获知核心商密内容的人员确定为关键岗位人员，明确数据处理行为规范和安全保护责任，签署保密承诺书（模板可参考附录B）；g)核心商密数据处理者，应在商密数据安全管理责任部门中配备专门的数据安全管理和技术人员，其他部门应按照商业秘密数据安全职责及分工要求，明确专职或兼职的商密数据安全管理和技术人员。5.3数据分级商业秘密通用安全措施数据分级方面应符合下列要求：a)企业在对商业秘密数据分级时，应优先考虑其秘密性和价值性，可以参考以下原则：1)商业秘密应是不为所属领域相关人员普遍知悉和容易获得的信息；2)考虑商业秘密与企业主营业务的关联程度，泄露后对于企业的影响以及在现阶段的市场地位、技术先进性及潜在的发展前景等，评估其经济价值。可将研发成本、合同价格或市场前景分析等信息作为评估其经济价值的参考。b)应按照商业秘密数据一旦遭到泄露、篡改、破坏或者非法获取、非法利用，对企业运行、生产经营、企业合法权益等造成的危害程度，将商业秘密所包含的商业秘密数据分为“核心商密”和“普通商密”：1)普通商密:数据一旦遭到泄露、篡改、破坏或者非法获取、非法利用，可能对企业运行、生产经营、企业合法权益造成一般或严重危害；3T/BJHDSMEA0001—20232)核心商密:数据一旦遭到泄露、篡改、破坏或者非法获取、非法利用，可能对企业运行、生产经营、企业合法权益造成特别严重危害，或者可能对公共利益、社会稳定造成一般危害。5.4权限管理商业秘密通用安全措施权限管理方面应符合下列要求：a)应明确开展商业秘密处理活动的系统账号分配、开通、使用、变更、注销等审批流程和操作要求；b)应遵循安全策略和最小授权原则等进行权限分配，对于开展商业秘密处理活动的平台，采用技术手段保障权限管理实施；c)涉及数据重大操作的（例如数据批量复制、传输、使用加工、提供和销毁等），应采取多人审批授权或操作监控；d)应明确核心商业秘密处理权限审批、登记方式和流程，严格控制权限范围，留存登记、审批记录；e)对于开展核心商业秘密处理活动的系统，应具备权限管理配套保障功能，包括限制非正常登录次数，登录连接超时自动退出，配置口令遗忘申请和重置流程，账号口令加密保护等；f)对于开展核心商业秘密处理活动的系统，应具备用户登陆的验证信息（例如口令鉴别信息）进行完整性保护措施，防止重放性攻击，防止非授权的数据访问；g)涉及处理核心商密数据、授权特定人员超权限处理数据、核心商密数据批量复制、核心商密数据提供、核心商密数数据脱密等数据处理活动的，应由数据安全管理责任部门或者数据安全责任人审批。5.5日志留存商业秘密通用安全措施日志留存方面应符合下列要求：a)应对商业秘密处理活动进行日志记录，包括数据授权访问、形成、流转、应用、提供、脱密、销毁及数据接口调用等环节，例如用户登录和退出，数据导入导出或修改，账户创建授权等；记录内容包括操作时间、操作账号、处理方式、授权情况、操作对象和数据量级等；b)日志留存时间应不少于6个月，定期对日志进行备份与归档；c)应明确日志审计人员，且审计权限与系统管理权限、策略管理权限分立设置；对日志操作人员操作进行权限控制，避免恶意删除、修改和覆盖。5.6安全审计商业秘密通用安全措施安全审计方面应符合下列要求：a)结合组织机构业务、商业秘密处理场景和安全保障需求等确定必要的数据审计策略，应明确审计对象、审计内容和实施周期，加强数据重大操作、越权访问数据和远程访问数据等重点场景安全审计和数据分析；b)应定期开展安全审计，审计内容包括商密数据处理活动日志记录、商密数据处理操作（如对商业秘密的批量复制、传输、处理、开放、共享和销毁等）审批情况、内部权限分配（如数据非授权访问）情况、数据安全保障措施有效性等；c)应记录并形成数据安全审计情况总结，针对审计发现的问题及时进行处置、整改并跟踪复核；d)应具备安全审计能力，将本数据处理者核心商业秘密处理活动全量纳入审计平台，发现核心商业秘密违规处理行为；e)应定期对核心商业秘密处理操作进行审计并形成安全审计情况总结。5.7应急响应商业秘密通用安全措施应急响应方面应符合下列要求：a)应制定商业秘密安全事件应急响应预案，充分考虑企业涉及的各类商业秘密安全事件业务场景，包括不限于商业秘密泄露(丢失)、商业秘密滥用、商业秘密被篡改、商业秘密被损毁、数据违规使用等；4T/BJHDSMEA0001—2023b)应制定应急响应预案制定演练计划并定期组织演练；c)发生商业秘密安全事件时应及时按照应急预案实施应急措施，企业应迅速做出响应，并采取措施，将危害和损失控制在最小限度内，措施包括但不限于：1)对商业秘密泄密或被侵权事件的调查，确认事件发生的过程、责任人等；2)分析商业秘密泄密原因，并收集商业秘密泄密或被侵权的证据，判断是否受到侵权，并评估事件的严重程度；3)向市场监督管理部门或公安机关举报，并视情况向相关主管部门报告。5.8事件处置商业秘密通用安全措施事件处置方面应符合下列要求：a)应制定商业秘密威胁事件处理机制，根据事件等级明确事件处置责任分工、工作流程和处置措施等；b)应对商业秘密威胁事件处置情况进行总结及定期上报，并进行商业秘密威胁事件的证据整理、搜集、举证、协助调查取证等工作；c)涉及核心商业秘密威胁事件，应第一时间向相关主管部门报告，并进行事态跟踪与评估影响。5.9竞业管理商业秘密通用安全措施竞业管理方面应符合下列要求：a)应制定竞业限制启动评估机制，明确竞业限制义务的范围、履行竞业限制义务的方式、履行竞业限制义务的期限等相关竞业限制内容；b)权利人应和董事、高级管理人员、核心技术人员或权利人认为的重要人员签订竞业禁止协议（模板可参考附录C）；c)权利人应和参与处理核心商密相关人员签订竞业限制协议。(模板可参考附录D)5.10教育培训商业秘密通用安全措施教育培训方面应符合下列要求：a)应建立数据安全教育培训制度，对商业秘密管理岗位人员定期开展教育培训，教育和培训涵盖数据安全法律、行政法规、行业标准、组织机构内部商业秘密管理管理制度和工作要求、数据安全领域知识技能以及数据安全保护意识等内容；b)应在企业内部进行商业秘密保护宣传（例如设置画报、标语、信息通知提醒等），营造商业秘密保护氛围；c)应强化核心商业秘密处理关键岗位的管理，将能获知核心商业秘密内容的人员确定为关键岗位人员，明确数据处理行为规范和安全保护责任，签署商业秘密承诺书；d)核心商业秘密处理岗位应定期开展全员教育和培训，强化安全意识和安全操作规程。6商业秘密安全技术措施6.1概述商密数据应综合运用身份鉴别、数据加密、细粒度访问控制以及安全审计等多种技术进行全程全域的安全保护，以确保商业秘密数据全生命周期的安全与全域的安全保护，同时针对在导出时商密数据应采用加密等技术确保使用过程中的安全。综上所述，商业秘密数据处理过程中，可以根据数据处理过程采取对应数据安全技术进行安全保护（可参考附录E）。6.2商业秘密形成商业秘密数据形成阶段主要分为非结构化商密数据形成阶段和结构化商密数据形成阶段。结构化商密数据形成阶段为录入商密数据并保存到数据库的阶段；非结构化商密数据形成阶段主要包括文件的起草、定密、审核及批准等。商业秘密处理者在商业秘密形成方面的安全措施应符合下列要求：T/BJHDSMEA0001—2023a)应制定商密数据形成操作规范，对服务器、应用系统、数据库等商密数据设置密级标识；密级标识由权属、密级、保密期限三部分组成，需要保持标识的统一与完整，且与商密主体不可分离、不可篡改；b)商密数据应采用加密技术，并且可以预置流程通过统一定密、统一变更，实现商密数据密级变更，查看审批记录是否可以追溯到相关责任人；c)应加强核心商密数据的存储位置、操作人员、使用设备的安全管控措施。增强对核心商密处理设备的身份鉴别与访问权限控制策略。6.3商业秘密存储商业秘密数据存储阶段应按照商业秘密级别采取不同存储要求（如存储结构、存储周期、备份周期等将收集到的商业秘密与系统自身生成的商业秘密存储至相应的系统，该行为属于商业秘密存储活动。商业秘密处理者在商业秘密存储方面的安全措施应符合下列要求：a)应制定数据存储操作规范，加强数据存储环境和存储系统安全管理，建立数据备份和恢复验证机制；b)商密人员应签订保密协议或者法律文件，明确商密使用范围、操作权限、违约责任等，有效约束相关人员行为；c)应采用商用密码加密等技术措施进行机密性保护，对设备上的商密数据进行保护，并对加密数据做访问控制，防止存储的商密数据被窃取；d)商密数据在存储过程中应采取完整性监测措施，防止存储的信息被篡改、被破坏，并提供必要的恢复措施；e)商密载体的设备维修、报废和销毁应集中由专人统一处理，并进行登记；f)应采用校验技术、密码技术等措施进行安全存储，并实施容灾备份和存储介质安全管理；g)涉密计算机上禁止大量存放核心商密数据，对核心商密数据应实现集中加密存储，实现细粒度的使用权限控制，对使用情况进行统计分析；h)应制定备份恢复相关管理制度，包括核心商密数据容灾备份的规范和操作规程；i)应明确规定核心商密容灾备份的周期、备份方式、备份地点，定期开展数据恢复性测试和灾难恢复演练；j)存储在涉密计算机上的核心商密数据应可以进行远程管控与销毁。6.4商业秘密流转商业秘密流转主要分为结构化商密数据流转与非结构化商密数据流转。结构化商密数据流转为数据库表单数据的存取和利用；非结构化商密数据流转包括商密数据内部网络应用与外部网络传输阶段等活动。商业秘密处理者在商业秘密流转方面的安全措施应符合下列要求：a)应制定商密流转管理制度，包含商密使用审批流程、数据使用和分析处理的目的和范围的要求等；b)商密数据在非内部网络传输时，宜采取商用密码加密等技术措施进行保护，防止传输的信息被窃取；c)应采取数字签名、时间戳等技术保护信息的完整性，并提供信息发送者的身份认证，防止抵赖行为的发生；d)运行商密信息系统的网络中，未经授权不应使用带有网络嗅探功能（包括抓包、监听、数据包回放分析等）的工具或设备；e)宜通过黑/白名单等方式管理电子邮件、网页访问、文件传输、文件共享、即时通信等软件的使用，并对相关信息操作记录进行审计；f)应采用技术手段对使用加工过程中的数据访问、数据批量操作和接口调用等操作进行管控；g)应明确核心商密数据处理活动相关平台系统的访问制度和流程建设，从身份管理原则、身份凭证保护、最小授权原则和权限申请与审批等方面提出核心商密使用安全管控要求；h)不应租用无相关资质的第三方服务商提供的网络应用服务传输核心商密数据，包括外部邮件服务、外部基于云计算技术的服务、即时通信服务等；T/BJHDSMEA0001—2023i)核心商密数据通过内部网络传输时，应采用加密信道或其他技术手段，防止数据被截获后被解密或被破解；j)宜能够检测到核心商密数据在传输过程中完整性，并提供必要的恢复措施。6.5商业秘密加工商业秘密加工阶段主要是对结构化商密数据与非结构化商密数据进行操作使用加工活动。商业秘密处理者在商业秘密应用方面的安全措施应符合下列要求：a)应制定数据使用加工的操作规范，明确数据使用加工的流程、安全保护要求、数据访问授权机制、数据加工技术方法和数据加工结果的处理规则等；b)应采用技术手段对使用加工过程中的商业秘密中不同类别的商密数据设置相应权限；c)对商密数据的管理和控制，应以不影响员工正常的编辑阅读、数据处理、数据交换、出差和在外办公为前提，并且不受到网络连通与否状况的影响；d)在涉密计算机上使用核心商密数据时，应在终端屏幕上自动显示水印，水印位置、格式、透明度等可自定义，以防止通过拍照方式泄露商业秘密；e)应用开发人员不宜直接访问核心商密数据，确有需要时应对其进行控制和管理，开发任务完成后应对相关的核心商密数据进行及时回收或转移。6.6商业秘密传输商业秘密流转是通过数据传输通道，在组织机构内部或向组织机构外部传送数据的活动。商业秘密处理者在商业秘密传输方面的安全措施应符合下列要求：a)应根据法律法规、业务需求、业务系统可用性、建设成本等要求，明确商密传输相关制度文件，包括商密传输安全策略和操作规程等；b)应根据业务流程、网络部署和安全风险等情况，合理划分网络系统安全域，明确商密数据传输场景与保护措施；c)应制定商密数据传输接口安全管理工作规范，明确接口运行、管理及安全保护措施；d)应建立核心商密数据审批流程，对跨组织或者跨域传输核心商密进行审批；e)应采取校验技术、密码技术、安全传输通道或者安全传输协议等措施，保证核心商密传输的安全性；f)传输接口应具备安全监测能力，能够对接口调用的异常情况进行告警和处置。6.7商业秘密提供商业秘密提供是因数据共享或开展数据合作等目的，在组织机构内部不同部门或不同子公司之间提供数据，以及组织机构向外部数据合作者提供数据的活动。商业秘密处理者在商业秘密提供方面的安全措施应符合下列要求：a)应制定商密数据提供的评估和审批流程，明确商密提供的范围、类别、条件、授权等；b)应使用商用密码加密等安全技术，对外发的商密数据内容进行安全保护，且对商密数据知悉范围和权限进行控制，限制阅读人员、阅读次数以及阅读期限，并且不受网络连通情况的影c)开展业务合作时，向合作者提供商业数据时应签订合作合同和保密协议，明确数据安全保护条款，包括合作的数据范围、合作者的处理权限及用途、期限和违约责任等；d)应明确商密数据提供服务合同或协议，包含数据安全保护条款，按照最小必要的原则，结合数据提供情况