企业商业秘密保护体系评价指南

1企业商业秘密保护体系评价指南DB21/T3659-2022商业秘密保护管理规范DB21/T3659-2022界定的术语和定义适用于本文4基本要求4.1企业要求4.1.1企业依据相关法律、法规、政策及标准等建4.2评价组织4.2.1评价组织应满足以下要求：4.3评价人员4.3.2应具备识别企业在商业秘密保护工作中存在的问题的能力。4.3.3应遵纪守法、诚信正直、坚持原则、实事求是、科学公正。24.3.4第三方评价组织的评价人员还应具备：——熟悉被评价企业所属的行业特点；——评价组组长应从事评价、评审工作不少于三年；5评价策略5.1评价目标5.2评价原则5.3评价流程35.4评价准备——评价组的组成及分工；——评价时间安排，包括文件评价时间和现场评价时间；——评价程序和方法；被评价方应提前准备好附录A评价条款及分值所涉及的人员、查阅相关文件材料、实地考察商业秘密保护的场地、设施设备等相关软注2：保密人员指从事企业商业秘密保护工作，熟悉企业商业秘密保护制度，了解企业商业秘密保护的场地及软硬a)评价方依据被评价方提供的材料介绍企业商业秘密保护情况、商业秘密保护体系建设情况、商业秘密保护机构组织架构、商业秘密保护体系运行情况、商业秘密保护体系自我评价情况b)评价方宣布评价方案，被评价方确认评价方案及相关工作安排；若调整相关方案时，应e)评价方做出可能造成评价提前终止的情况说——与企业确定保密区域及保密设备；4——要求企业指定相应的评价联系人与评价人员对接并提供相应的支持。云储存空间管理制度、涉密区域管理制度、涉密人员管理制度、涉密活动管理制度、商——加分项包括：涉及到企业商业秘密保护体系获得奖项、——抽取的样本范围应涵盖企业商业秘密管理体系的所有涉密活动类型以及软硬件设备；提供证据证明设备是出于暂时故障、更迭、维护等突发情况——抽取样本数量由评价组组长按照企业规模、涉密人员数量、设备数量、秘密复杂程度等因素——运行与实施管理情况包括：硬件管理、软件管理——加分项包括：企业的制度创新、软件、硬件的情况。6.4.1第三方评价时，评价组织应安排独立专家组，对评价结论以及涉及的记录、证据等资料的完整5——协调评价进度与分工；——对评价信息进行沟通并形成评价结论。——要求提供必要的技术支持；——针对现场评价安全风险情况，提出继续评价、暂停评价或终止评价；——说明获取客观证据的方法及评价中发现的不符合项；6——对评价组人员组成或行为有意见；——建立受理、确认和调查申诉与投诉的处理流程；——及时对申诉/投诉人提出的意见组织开展调查和复核；——对申诉与投诉意见处理情况应书面通知申诉/投诉人。——报告类型；7——法定代表人；——评价负责人；——评价组成员；——评价目的、评价依据；——各大项的分值及本大项的总体评价，包括：大项总体情况及不足；——加分情况及加分原因；——评价得分及评价级别；——评价综述及评价结论；——评价等级与符号定义；——评价方法与流程；——其他需要附加的资料。评价报告封面、声明及概述示例参见资料性附录B，图B1-B3。评价报告正文参见资料性在评价报告正文中针对评价的内容给出被评价方可针对商8A.1商业秘密保护体系评价条款及分值见表A.1。“轻微程度”是指文字性、编辑性、偶然性、非关键点轻微不符合，应扣除30%以下的分数。加分项依据该项目所具备的分数来加分。除加分项外总得分在359以下的则加分项不计入分值得分者9分值得分度（1）通过查阅核实：查看企业商业秘密保护管理制度，管理制度要素参照DB/T3659-2022附录A的列举的要素）,相关要素的具体制度需要明确、具（1）通过查阅核实：查看企业涉密资料、涉密物度（1）通过查阅核实：查看企业涉密信息系统、云DB/T3659-2022的列举的要素）,相关要素的具体如信息系统或云储存空间系第三方机构代理需签署保密协议，如无保密协重程度”。度管理制度要素参照DB/T3659-2022附录A的相关规要素）,相关要素的具体制度需确保明确、合理。（2）有不符合可视严重、一般、轻微程度及影响度管理制度要素参照DB/T3659-2022附录A的相关规要素）,相关要素的具体制度需确保合法、明确。（2）有不符合可视严重、一般、轻微程度及影响分值得分度管理制度要素参照DB/T3659-2022附录A的相关规要素）,相关要素的具体制度需确保全面覆盖保密（1）通过查阅核实：查看企业商业秘密泄露事件附录A的相关规定（要素原则上不得少于DB/T3659-2022的列举的要素），相关要素的具体制度需要明确、具备操作性、合法。（2）有不符合可如企业在商业秘密保护体系建立后发生泄密情况并且造成经济损失则此项人员管（1）通过查阅核实：查看所有涉密人员是否与企可参照DB/T3659-2022第五章的相关规定。（2）凡入职即涉密的人员均需签署保密协议，如有未签署保密协议的，则此项培训的制度、保密培训的材料及培训内容的合理受培训人员对培训内容的掌握情况。（3）有不符入职为非涉密人员后经转岗成为涉密人员的59%以下签署保密协议则此项69%签署保密协议则此项视为“一署保密协议则此项以上签署保密协议则此项视为“符合”。（1）通过查阅核实：涉密岗员工调岗或离职前是的合理性可参照DB/T3659-2022第五章的相关规定。（2）有不符合可视严重、一般、轻微程度及凡涉密员工离职未签署保密协议，未进行检查和收回权限的，则此项视为“严重程度”。分值得分理理改进方法有创新且满足加分项条件的可列入加分项。分值得分B.1企业商业秘密保护体系评价报告示例B．2企业商业秘密保护体系评价报告的