DB34-T 4533-2023 企业商业秘密管理体系要求

03.100.01CCS

A

0134 DB34/T

4533—2023企业商业秘密管理体系 要求

trade

secret

— 安徽省市场监督管理局发

布DB34/T

4533—2023 前言

................................................................................

III1

...............................................................................

12 规范性引用文件

.....................................................................

13 术语和定义

.........................................................................

14 企业所处的环境

.....................................................................

24.14.24.34.4

理解企业及所处的环境

...........................................................

2理解相关方的需求和期望

.........................................................

2确定商业秘密管理体系的范围

.....................................................

2商业秘密管理体系

...............................................................

35 领导作用

...........................................................................

35.1 领导作用和承诺

.................................................................

35.2 商业秘密管理方针

...............................................................

35.3 企业的角色、职责及权限

.........................................................

36

...............................................................................

46.1 应对风险和机遇的措施

...........................................................

46.2 商业秘密管理目标及其实现的策划

.................................................

46.3 变更的策划

.....................................................................

57

...............................................................................

57.17.27.37.47.5

资源

...........................................................................

5能力

...........................................................................

5意识

...........................................................................

5沟通

...........................................................................

6成文信息

.......................................................................

68

...............................................................................

78.18.28.38.4

策划和控制

.....................................................................

7商业秘密的管理

.................................................................

7涉密事项的管理

.................................................................

7应急准备及响应

.................................................................

79 绩效评价

...........................................................................

89.1 监视、测量、分析与评价

.........................................................

89.2 内部审核

.......................................................................

89.3 管理评审

.......................................................................

810

..............................................................................

910.1 不符合和纠正措施

..............................................................

910.2 持续改进

......................................................................

9DB34/T

4533—2023附录

A（资料性） 涉密事项管理措施示例

................................................

10参考文献..............................................................................

13IIDB34/T

4533—2023 本文件按照GB/T

—《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规定起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由安徽省市场监督管理局反垄断和反不正当竞争执法局提出。本文件由安徽省市场监督管理局归口。院、合肥高新技术产业开发区市场监督管理局。本文件主要起草人：骆辉、郑文宝、黄静、陶学明、罗伟、何勇、黄媛、于学萍、朱珠、胡冠宇、王润杰、李必君、王迎宵。IIIDB34/T

4533—2023 1 范围本文件规定了企业建立、实施、保持和持续改进商业秘密管理体系的要求。本文件适用于具有下列意愿的企业：a)

建立商业秘密管理体系，降低风险；b)

运行并持续改进商业秘密管理体系，提升企业竞争优势；c)

实现商业秘密管理目标。本文件适用于各种类型、规模的企业。高校、科研单位、社会团体等其他组织可参照使用。本文件适用于合格评定活动。2规范性引用文件文件。GB/T

19000 质量管理体系

基础和术语3术语和定义GB/T

19000

界定的以及下列术语和定义适用于本文件。3.1商业秘密 trade

不为公众所知悉、具有商业价值并经权利人采取相应保密措施的技术信息、经营信息等商业信息。[来源：DB34/T

4317-2022，3.1]3.2管理体系 management

组织建立方针和目标以及实现这些目标的过程的相互关联或相互作用的一组要素。管理体系要素规定了组织的结构、岗位和职责、策划、运行、方针、惯例、规则、理念、目标，以及实现这管理体系的范围可能包括整个组织，组织中可被明确识别的职能或可被明确识别的部门，以及跨组织的单一[来源：GB/T

19000-2016，3.5.3]3.3组织organization为实现目标，由职责、权限和相互关系构成自身功能的一个人或一组人。[来源：GB/T

19000-2016，3.2.1]3.4最高管理者

DB34/T

4533—2023在最高层指挥和控制组织的一个人或一组人。如果管理体系的范围仅覆盖组织的一部分，在这种情况下，最高管理者是指管理和控制组织的这部分的一个[来源：GB/T

19000-2016，3.1.1]3.5目标objective要实现的结果。目标可以涉及不同的领域，并可应用于不同的层次。目标可以采用其他的方式进行表述，例如：采用预期的结果、活动的目的或运作准则，或使用其他有类似含[来源：GB/T

19000-2016，3.7.1]3.6相关方 interested

；stakeholder可影响决策或活动、受决策或活动所影响、或自认为受决策或活动影响的个人或组织。[来源：GB/T

19000-2016，3.2.3]3.7绩效 performance可测量的结果。绩效可能涉及活动、过程、产品、服务、体系或组织的管理。[来源：GB/T

19000-2016，3.7.8]4 企业所处的环境4.1 理解企业及所处的环境企业应确定与其宗旨相关并影响其实现商业秘密管理体系预期结果的能力的各种外部和内部因素：a)

外部因素可包括国内外的法律法规、技术、竞争、市场、文化、社会和经济环境等；b)

内部因素可包括企业价值观、文化、战略、组织治理架构、知识、业务模式、绩效等。企业应监视和评审这些内外部因素的相关信息。4.2理解相关方的需求和期望企业应确定：a)

与商业秘密管理体系有关的相关方，包括但不限于：商业秘密权利人、员工、顾客、供方、合作伙伴、竞争对手、国家机关等；b)

与商业秘密管理体系有关的相关方的要求，包括但不限于：企业规章制度、合同约定、法律法规的要求等。企业应监视和评审这些相关方的信息及其相关要求。4.3 确定商业秘密管理体系的范围DB34/T

4533—20234.3.1企业应确定商业秘密管理体系的边界和适用性，以确定其范围。在确定范围时，企业应考虑：a)

4.1

中所提及的各种外部和内部因素；b)

4.2

中所提及的要求；c)

商业秘密管理要求；d)

权利人的技术信息、经营信息等商业信息。4.3.2 企业商业秘密管理体系应包括在企业控制下或在其影响范围内可能影响企业商业秘密管理绩效的活动、产品和服务。4.3.3 范围应作为成文信息，可获得并得到保持。4.4 商业秘密管理体系4.4.1 企业应按照本文件的要求建立、实施、保持和持续改进商业秘密管理体系，包括所需过程及其相互作用。4.4.2 在必要的范围和程度上，企业应：a)

保持成文信息以支持过程运行，如商业秘密管理方针、商业秘密管理目标、商业秘密管理文件等；b)

保留成文信息以确信其过程按策划进行，如本文件要求形成文件的程序和记录。5 领导作用5.1 领导作用和承诺最高管理者应通过以下方面，证实其对商业秘密管理体系的领导作用和承诺：a)

确保建立商业秘密管理方针和目标，与企业战略方向及所处的环境一致；b)

确保将商业秘密管理体系要求融入企业的相关业务过程中；c)

确保商业秘密管理体系所需的资源；d)

就有效的商业秘密管理和符合商业秘密管理体系要求的重要性进行沟通；e)

确保商业秘密管理体系达到预期结果；f)

指导并支持相关人员为商业秘密管理体系的有效性做出贡献；g)

促进持续改进；h)

支持其他相关管理人员，以证实在其职责范围内发挥领导作用；i)

确保商业秘密管理领导机构的建立与运行。5.2 商业秘密管理方针最高管理者应建立、实施和保持商业秘密管理方针，该方针应：a)

与企业的宗旨和所处的环境相适宜；b)

为建立商业秘密管理目标提供框架；c)

包含满足法律法规要求和其他要求的承诺；d)

包含持续改进商业秘密管理体系的承诺；e)

在企业内得到沟通与理解；f)

保持成文信息；g)

适当时，可为相关方获取。5.3 企业的角色、职责及权限DB34/T

4533—2023配职责和权限：a)

确保商业秘密管理体系符合本文件的要求；b)

向最高管理者报告商业秘密管理体系的绩效以及改进机会。6 策划6.1 应对风险和机遇的措施6.1.1总则6.1.1.1 在策划商业秘密管理体系时，企业应考虑

4.1

所提及的因素、4.2

所提及的要求和

4.3

定的范围。6.1.1.2 企业应确定与商业秘密泄漏和侵权、4.1

和

4.2

中识别的其他因素和要求相关的需要应对的风险和机遇，以：——确保商业秘密管理体系实现预期结果；——增强有利影响；——预防或减少不期望的影响；——实现持续改进。6.1.1.3 企业应确定其商业秘密管理体系范围内的潜在紧急情况，包括那些可能发生商业秘密泄漏和侵权的潜在紧急情况。6.1.1.4 企业应保持以下方面的成文信息：——需要应对的风险和机遇；——6.1.1~6.1.3

中所需的过程，其详尽程度应确保这些过程和措施能按策划得到实施。6.1.2 风险和机遇6.1.2.1 企业应建立风险和机遇的评估准则，识别和分析其活动、产品和服务中能够控制和能够施加影响的商业秘密相关风险和机遇，并确定相应的管理措施。6.1.2.2 企业应保持以下方面的成文信息：——商业秘密相关风险，如泄漏风险、侵权风险（包括被侵权和被指控侵权风险）等；——商业秘密相关机遇；——风险和机遇的评估准则。6.1.3 措施的策划企业应策划：a)

措施，以：1)

应对这些风险和机遇；2)

管理其商业秘密风险和机遇。b)

如何：1)

在其商业秘密管理体系过程中或其他业务过程中融入并实施这些措施；2)

评价这些措施的有效性。当策划措施时，企业应考虑最佳实践、可选技术方案以及财务、运行和经营等要求。6.2 商业秘密管理目标及其实现的策划DB34/T

4533—20236.2.1 商业秘密管理目标企业应在相关职能和层级上建立商业秘密管理目标。该目标应：a)

与商业秘密管理方针保持一致；b)

可测量（如可行）；c)

考虑适用的要求；d)

得到监视；e)

予以沟通；f)

适当时更新。企业应保留商业秘密管理目标的成文信息。6.2.2 实现商业秘密管理目标的策划在策划如何实现商业秘密管理目标时，企业应确定：a)

需要做什么；b)

需要什么资源；c)

由谁负责；d)

何时完成；e)

如何评价结果；f)

如何将实现商业秘密管理目标的措施融入其业务过程。6.3 变更的策划当企业确定需要对商业秘密管理体系进行变更时，变更应按所策划的方式实施。7 支持7.1 资源企业应确定并提供建立、实施、保持和持续改进商业秘密管理体系所需的资源。包括：a)

配备所需的人员，以有效实施商业秘密管理体系，并运行和控制其过程；b)

提供并维护所需的基础设施设备，支撑商业秘密管理过程的运行；c)

提供必要的经费，以保障商业秘密管理过程的运行。7.2 能力企业应：a)

确定影响商业秘密管理绩效和有效性的人员所需具备的能力；b)

基于适当的教育、培训或经历，确保人员具备胜任工作的能力；c)

在适用时，采取措施以获得和保持所必需的能力，并评价所采取措施的有效性；d)

保留适当的成文信息，作为人员能力的证据。7.3 意识企业应确保在其控制下的人员理解：DB34/T

4533—2023a)

商业秘密管理方针和管理目标；b)

其对商业秘密管理体系有效性的贡献，包括改进绩效的益处；c)

不符合商业秘密管理体系要求的后果。7.4 沟通7.4.1 企业应建立有效的沟通交流方式，确保商业秘密管理体系内部不同层级之间的需求得到理解，并及时获得反馈。7.4.2 企业应建立必要的分层沟通机制，确保与商业秘密管理体系有关的内部沟通和外部沟通，并应确定不同层级沟通的内容，包括：a)

沟通什么；b)

何时沟通；c)

与谁沟通；d)

如何沟通。7.4.3 企业在建立沟通过程时：——应将其商业秘密管理方针、目标、义务和保密文化纳入沟通内容；——应确保所沟通的信息与来源于商业秘密管理体系的信息一致且可信。7.4.4 适当时，企业应保留成文信息作为其沟通的证据。7.5 成文信息7.5.1 总则企业的商业秘密管理体系成文信息包括：a)

本文件要求的成文信息；b)

企业所确定的实现商业秘密管理体系有效性所需的成文信息。通常包括商业秘密管理方针、商业秘密管理目标、商业秘密管理文件等。7.5.2 创建和更新在创建和更新成文信息时，企业应确保适当的：a)

标识和说明（如标题、日期、作者、索引编号）；b)

形式（如语言、软件版本、图表）和载体（如纸质的、电子的）；c)

评审和批准，以确保适宜性和充分性。7.5.3 成文信息的控制7.5.3.1 应控制商业秘密管理体系和本文件所要求的成文信息，以确保：a)

予以妥善保护（如防止泄密、不当使用或缺失）；b)

在需要的场合和时机可获得并适用。7.5.3.2 为控制成文信息，适用时，企业应进行下列活动：a)

分发、访问、检索和使用；b)

存储和防护；c)

更改控制（如版本控制）；d)

保留和处置。7.5.3.3 对于确定的策划和运行商业秘密管理体系所必需的来自外部的成文信息，企业应进行适当识别并予以控制。DB34/T

4533—20237.5.3.4 对所保留的、作为符合性证据的成文信息应予以保护，防止非预期的更改。8 运行8.1 策划和控制8.1.1 为满足商业秘密管理体系的要求，并实施第

6

章所确定的措施，企业应通过以下措施对所需的过程进行策划、实施和控制：a)

确定商业秘密管理要求；b)

建立过程准则；c)

确定所需的资源；d)

按照准则实施过程控制；e)

在必要的范围和程度上，确定并保持、保留策划和控制过程的成文信息，以确信过程已经按策划进行。8.1.2 企业应确保对外部提供的与商业秘密管理体系相关的产品、过程或服务实施控制。8.1.3 企业应控制策划的变更，评审非预期变更的后果，必要时，采取措施减轻不利影响。8.2 商业秘密的管理企业应按照8.1的要求开展商业秘密的管理工作，包括但不限于：a)

识别和确定商业秘密；b)

采取措施隐藏商业秘密；c)

根据需要变更商业秘密；d)

解除不具有保密价值或由于特定因素导致被公开的商业秘密；e)

销毁不需留存的商业秘密。企业应定期对商业秘密管理措施进行评审。8.3 涉密事项的管理企业应按照8.1的要求开展涉密事项的管理工作，包括但不限于：a)

识别和确定涉密事项（如涉密人员、涉密载体、涉密物品、涉密区域、涉密商务活动等）；b)

确定各涉密事项的管理过程或对象；c)

制定各涉密事项的管理措施；d)

实施涉密事项的过程管理。企业应定期对涉密事项管理措施进行评审。附录A给出了涉密事项管理措施。8.4 应急准备及响应8.4.1 应急准备为了对6.1.1a)

针对商业秘密泄密、侵权等紧急情况策划应急预案；b)

为所策划的响应提供培训；c)

定期对策划的应急预案进行测试或演练；d)

定期评审并修订过程和策划的响应措施，特别是发生紧急情况后或进行试验后。企业应保留关于响应潜在紧急情况的过程和计划的成文信息。DB34/T

4533—20238.4.2 应急响应企业应对已发生或疑似发生的泄密、侵权等紧急情况做出响应，包括但不限于：a)

启动对商业秘密泄漏、侵权等紧急事件的核查，确认事件发生的事实和过程；b)

分析商业秘密泄漏或侵权原因，判断是否侵权，并评估事件的严重程度；c)

收集和固定商业秘密相关证据；必要时，可委托律师调查取证、通过公证机构取证、向法院申请证据保全和/或申请法院调查取证；d)

依法开展维权，可按照

DB34/T

4317

的规定，向市场监督管理部门、公安机关、人民法院、安全部门等寻求行政保护和司法保护。9 绩效评价9.1 监视、测量、分析与评价9.1.1企业应建立、实施和保持用于监视、测量、分析和评价商业秘密绩效的过程。企业应确定：a)

需要监视测量的内容；b)

适用时的监视、测量、分析与评价的方法，以确保得到有效的结果；c)

企业评价其商业秘密绩效所依据的准则和适当的参数；d)

何时应实施监视和测量；e)

何时应分析和评价监视和测量的结果。9.1.2 企业应评价其商业秘密绩效和商业秘密管理体系的有效性。9.1.3 企业应保留适当的成文信息，以作为结果和证据。9.2 内部审核9.2.1 总则企业应按照策划的时间间隔进行内部审核，以提供下列信息：a)

是否符合企业自身的商业秘密管理体系要求和本文件要求；b)

是否得到了有效的实施和保持。9.2.2 内部审核方案企业应：a)

在考虑相关过程的重要性和以往审核结果的情况下，策划、建立、实施和保持审核方案，审核方案包括频次、方法、职责、策划要求和报告；b)

规定每次审核的审核准则和范围；c)

选择审核员并实施审核，以确保审核过程的客观性和公正性；d)

确保向相关管理者报告审核结果；e)

采取措施，以应对不符合和持续改进其商业秘密绩效。9.3 管理评审9.3.1 总则审，以确保其持续的适宜性、充分性和有效性。DB34/T

4533—20239.3.2 管理评审输入策划和实施管理评审时应考虑：a)

以往管理评审所采取措施的情况；b)

与商业秘密管理体系相关的内外部因素的变化；c)

与商业秘密管理体系相关的相关方需求和期望的变化；d)

商业秘密管理目标的实现程度；e)

应对风险和机遇所采取措施的有效性；f)

资源的充分性；g)

内部审核结果；h)

监视测量的结果；i)

不符合及纠正措施；j)

持续改进的机会。9.3.3 管理评审输出管理评审的输出应包括与下列事项相关的决定和措施：a)

商业秘密管理体系所需的变更；b)

资源需求；c)

持续改进的机会。企业应保留成文信息，作为管理评审结果的证据。10 改进10.1 不符合和纠正措施当出现不符合时，企业应：a)

对不符合做出应对，并在适用时，采取措施以控制和纠正不符合，及处置后果；b)

评审和分析不符合，确定不符合的原因，确定是否存在或者可能发生类似的不符合；c)

实施所需的措施；d)

评审所采取措施的有效性；e)

需要时，变更商业秘密管理体系。纠正措施应与所发生的不符合造成影响的重要程度相适应。10.2 持续改进10.2.1 评价等，以确定是否存在需求和机遇，这些需求和机遇应作为持续改进的一部分加以应对。10.2.2 企业应持续改进商业秘密管理体系的适宜性、充分性和有效性，以提升商业秘密绩效。DB34/T

4533—2023

附 录 A（资料性）涉密事项管理措施示例下面给出了涉密事项管理措施的示例。XX

……一、涉密人员管理应对涉密人员进行保密管理：a)

应制定涉密人员管理制度，明确涉密人员的应聘、入职、在职、离职等环节的管理要求；b)

应对涉密岗位的应聘人员进行保密事项提醒，对涉密岗位的拟入职人员进行背景调查；应要求其做出不侵犯前雇主的商业秘密、不违反与前雇主签订的竞业限制协议等承诺；c)

可签署竞业限制协议；开展新入职人员的保密教育培训，培训结束后并进行考核，保存培训和考核记录；d)

应对在职人员进行管理，建立涉密人员名单，实施分级管理；定期开展保密教育培训，对进行涉密接触权限的调整；e)

应对涉密人员离职进行管理，对其使用的涉密设备、涉密载体、涉密文件及相关物品进行清查并移交；开展离职面谈，告知其离职后应负有的保密义务；应完成涉密载体的交接，开展离职涉密审查，签署保密承诺书；宜对其离职后的去向进行追踪；f)

应对聘任或委托外聘的专家、顾问、翻译、律师等可能接触涉密信息的外部人员签订保密协议或保密承诺书，宜进行背景调查；临时访问人员需要接触或可能接触商业秘密时，应经审批和登记，签订保密协议或保密承诺书，并安排保密人员全程陪同；……应保留涉密人员管理的成文信息。二、涉密载体管理应对涉密载体进行保密管理：a)

应制定涉密载体管理制度，明确涉密载体的识别和确定、制作、使用、保存、维修和销毁等环节的管理要求；b)

应识别和确定企业所有涉密载体，建立涉密载体台账，宜按照涉密信息的密级和性质进行分类，实行分级管理；应定期对涉密载体进行清点和核查，确定涉密载体的数量、位置、状况等信息；c)

涉密载体制作过程应进行保密，由专人负责制作、收转、存档，并在涉密载体的适当位置标注涉密标志；秘密载体宜在本单位制作，委托外单位制作应事前签订保密协议；d)

涉密载体的使用（包括查阅、借阅、复印、拷贝等）应履行审批和登记手续，并对涉密载体的流转过程进行记录；e)

涉密载体应保存在涉密区域的专用设备中，并由专人负责保管；涉密载体的维修，应指定10DB34/T

4533—2023专人全程现场监督；f)

涉密载体的维修和销毁应履行审批和登记手续，按照规定的程序和方法，并在专人监督下进行；……应保留涉密载体管理的成文信息。三、涉密物品管理应对涉密物品进行保密管理：a)

应制定涉密物品管理制度，明确涉密物品的识别和确定、生产和加工、使用、保存、维修和销毁等环节的管理要求；b)

应识别和认定企业所有涉密物品，建立涉密物品台账，宜实行分级管理，并在醒目位置粘贴（悬挂）涉密指示标识和禁止行为的警示标识；应定期对涉密物品进行清点和核查，确定涉密物品的数量、位置、状况等信息；c)

应在涉密区域内进行涉密物品的生产和加工，宜根据涉密物品生产和加工流程，安排不同的人员负责不同的环节；d)

应在涉密区域内使用涉密物品，并履行使用登记程序；对外销售的涉密物品，应与客户签订保密协议或在销售合同中增加保密义务条款，宜采取足以对抗不特定第三人通过反向工程获取其技术秘密的保护措施；e)

应在指定的涉密区域存放涉密物品，并指定专人