企业商业秘密体系评价指南

1企业商业秘密保护体系评价指南本文件规定了企业商业秘密保护体系评价的基本要求、评价策略、评价实施、评价要素及评价结论管理及改进意见。本文件适用于企业商业秘密保护体系评价的自我评价和第三方评价，第二方评价可参照执行，可为企业自主管理、培训商业秘密保护工作提供参考。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。DB21/T3659-2022商业秘密保护管理规范3术语和定义DB21/T3659-2022界定的术语和定义适用于本文件。4基本要求4.1企业要求4.1.1企业依据相关法律、法规、政策及标准等建立企业商业秘密保护体系并有效运行。4.1.2企业在申请第三方评价前至少开展一次完整的自我评价，并于申请评价时将最近一期的自我评价报告提供给评价组织作为参考，评价报告形式可参照附录B提供的样式。4.2评价组织4.2.1评价组织应满足以下要求：——开展第三方评价的组织，应是具有独立法人资格的组织；——应具有与开展评价工作相适应的专（兼）职评价人员；——应明确评价人员的职责和权限；——第三方评价组织应三年内未发生重大质量、安全等事故。4.3评价人员4.3.1应具有评价经验，熟悉国家有关商业秘密的法律法规、政策等，掌握商业秘密的系列标准，胜任评价工作。4.3.2应具备识别企业在商业秘密保护工作中存在的问题的能力。4.3.3应遵纪守法、诚信正直、坚持原则、实事求是、科学公正。24.3.4第三方评价组织的评价人员还应具备：——熟悉被评价企业所属的行业特点；——评价组组长应从事评价、评审工作不少于三年；——恪守职业道德，保守被评价企业的商业秘密；——独立于被评价企业。5评价策略5.1评价目标改善和优化企业商业秘密保护体系，提升商业秘密保护的实效性，增加商业秘密的市场价值。5.2评价原则企业商业秘密保护体系评价应遵循客观性、合法性、科学性、公开性的总体原则。5.3评价流程评价流程应按图1所示的流程进行。图1商业秘密保护体系评价流程图35.4评价准备5.4.1评价方案评价方案至少包括：——评价组的组成及分工；——评价时间安排，包括文件评价时间和现场评价时间；——评价程序和方法；——特殊情况处理。5.4.2商业秘密保护体系文件被评价方应提前准备好附录A评价条款及分值所涉及的相关文件。5.4.3评价联系人第三方评价时被评价方应提前安排专职或兼职的保密人员担任评价联系人，指引评价人员问询相关人员、查阅相关文件材料、实地考察商业秘密保护的场地、设施设备等相关软硬件。注2：保密人员指从事企业商业秘密保护工作，熟悉企业商业秘密保护制度，了解企业商业秘密保护的场地及软硬6评价实施6.1首次会议6.1.1参会人员参加首次会议的人员应包括评价组成员、企业最高管理者或管理者代表、商业秘密管理机构的管理人员以及其他相关人员，首次会议应由评价组组长主持。6.1.2会议内容首次会议内容应包括：a)评价方依据被评价方提供的材料介绍企业商业秘密保护情况、商业秘密保护体系建设情况、商业秘密保护机构组织架构、商业秘密保护体系运行情况、商业秘密保护体系自我评价情况b)评价方宣布评价方案，被评价方确认评价方案及相关工作安排；若调整相关方案时，应由双方予以再次确认；c)双方确定支持评价所需的资源和设施等内容；d)双方确定末次会议的信息；e)评价方做出可能造成评价提前终止的情况说明；f)双方确定其他可能涉及评价的事项。第三方评价时还应包括：——与企业确定保密区域及保密设备；——应对有关的保密和公正性声明等事宜进行承诺与确认；——提醒企业对评价过程及评价结论有申诉和投诉的权力；4——双方确定沟通方式，支持评价所需的资源和设施内容以及企业指定相应的评价联系人与评价人员对接并提供相应的支持。6.2文件评价6.2.1评价内容主要以查阅的方式，按照附录A内容进行评价，评价内容应包括但不限于：——组织机构建设情况包括：商业秘密保护机构的建设情况；——制度体系建设情况包括：商业秘密管理制度、涉密资料、涉密物品管理制度、涉密信息系统、云储存空间管理制度、涉密区域管理制度、涉密人员管理制度、涉密活动管理制度、商业秘密泄露事件处置管理制度等；——人员管理情况包括：发生员工入职、履职、调岗与离职等情况，出于保护商业秘密的目的而形成的文件；——加分项包括：涉及到企业商业秘密保护体系获得奖项、认可、推广等材料。6.3现场评价6.3.1文件抽取针对首次会议确定的涉及现场评价的文件进行抽取，抽取的文本应符合以下条件：——抽取的样本范围应涵盖企业商业秘密管理体系的所有涉密活动类型以及软硬件设备；——抽取的样本涉及到的软硬件等设备暂时故障、更迭、维护、涉及到人员的无法到场等以及其他不可抗力情况，评价组织可更换抽样样本，如评价当日无法更换抽样样本，评价组可在3日内再次评价该项目，无论是否更换样本被评价企业均需在3日内提供证据证明设备是出于暂时故障、更迭、维护等突发情况，提供人员无法到场的合理原因，以及其他证明为不可抗力证据，否则按照附录A规定扣分；——抽取样本数量由评价组组长按照企业规模、涉密人员数量、设备数量、秘密复杂程度等因素决定。6.3.2评价内容可以通过查看、问询、操作演示等方式，按照附录A的内容进行评价，评价内容包括但不限于：——组织机构建设情况包括：最高管理者、商业秘密保护领导机构以及保密人员的管理情况；——运行与实施管理情况包括：硬件管理、软件管理、涉密活动管理、涉密应急演练管理；——监督与改进情况包括：企业对涉密员工行为的监督情况、企业对监督、自我评价、演习发现问题的改进情况；——加分项包括：企业的制度创新、软件、硬件的情况。6.4评价结论核实6.4.1第三方评价时，评价组织应安排独立专家组，对评价结论以及涉及的记录、证据等资料的完整性、准确性进行核实。6.4.2从事核实的人员，应熟悉被评价企业所属专业领域的知识，评价人员不可参与同一项目的核实工作。6.4.3对于核实发现的问题，应及时与评价组组长沟通，并得到确认。5针对核实中存在的6.4.4问题，必要时核实人员应返回被评价企业进行核实，形成核实结论。6.4.5对于核实不通过的评价结论，可以要求评价组重新评价。6.5沟通6.5.1内部沟通内部沟通为评价组成员间沟通，包括但不限于：——协调评价进度与分工；——出现重大不符合项、不期望情况以及能够影响评价的意外事件时的沟通；——对评价信息进行沟通并形成评价结论。6.5.2外部沟通外部沟通为评价组与评价对象间的沟通，包括但不限于：——要求提供必要的支撑文件以及必要说明；——要求提供必要的技术支持；——协调评价工作进度；——针对现场评价安全风险情况，提出继续评价、暂停评价或终止评价；——对评价过程中发现的不符合项以及评价结论意见等内容进行沟通，并得到确认。6.6末次会议6.6.1参会人员末次会议人员应与首次会议人员相同，特殊情况下在进行好交接的情况下可以由他人代为参加，末次会议应由评价组组长主持。6.6.2会议内容末次会议内容应包括但不限于：——说明获取客观证据的方法及评价中发现的不符合项；——企业自我评价时根据不符合报告内容介绍不符合情况及整改情况，不符合报告内容可参照附录B中表B.2的格式；——形成评价报告，并宣布评价结论；——改进建议；——明确申诉或投诉的权力及处理程序。7评价要素7.1评价条款及分值评价条款及分值参见附录A。7.2定量评分和定性评分7.2.1定量评分企业商业秘密保护体系评价基本分为600分，加分50分，总分满分650分。6针对评价条款依据对评价条款内容的核实情况，按照相应的评分标准予以加分或扣分，具体分值参见附录A。7.2.2定性评分依据评价的最终总分给予项目申请方的商业秘密保护体系的等级评价，分别为：——A级基本分达到540分以上，或基本分不低于530分以上且加分项达到25分以上，体系成熟度优秀；——B级基本分480～539分，或基本分不低于470以上且加分项达到15分以上，体系成熟度高；——C级基本分420～479分，或基本分不低于410以上且加分项在10分以上，体系成熟度中等；——D级基本分360～419分，体系成熟度低；——E级基本分360分以下（不含360分商业秘密保护体系存在较大的安全隐患或商业秘密存在较大的泄密风险。8评价结论管理及改进意见8.1申诉与投诉8.1.1申诉与投诉内容申诉与投诉内容包括但不限于：——对评价组人员组成或行为有意见；——对评价过程有异议；——对评价方法有异议；——对评价结论有异议。8.1.2申诉与投诉处理申诉与投诉处理方法包括：——建立受理、确认和调查申诉与投诉的处理流程；——及时对申诉/投诉人提出的意见组织开展调查和复核；——对申诉与投诉意见处理情况应书面通知申诉/投诉人。8.2报告内容8.2.1报告要素企业商业秘密保护体系评价报告内容宜包括封面、声明、概述、正文、附录等。注4：企业自评报告宜在显著位置注明该评价为自评及其局限性，并在报告封面标8.2.2封面报告封面宜包括以下内容：——报告编号；——企业名称；——报告类型；——评价机构及其单位公章；——报告出具日期。78.2.3声明报告声明仅适用于委托报告，报告声明可包括但不限于以下内容：——报告内容公正、合理、合规、免责的文字性说明；——对跟踪评价的说明；——自愿接受监管的声明。8.2.4概述报告概述可包括但不限于以下内容：——企业名称；——企业统一社会信用代码；——企业地址；——法定代表人；——评价等级；——评价负责人；——评价机构名称；——评价机构统一社会信用代码；——报告出具日期；——基本观点。8.2.5正文商业秘密体系评价报告正文可包括但不限于以下内容：——被评价企业基本信息包括：企业名称、地址、确认时间、法定代表人、联系人、电话等；——评价组成员；——其他参与评价人员；——评价目的、评价依据；——各大项的分值及本大项的总体评价，包括：大项总体情况及不足；——加分情况及加分原因；——评价得分及评价级别；——评价综述及评价结论；——改进意见。8.2.6附录报告附录可包括但不限于以下内容：——评价等级与符号定义；——评价方法与流程；——评价项目说明；——其他需要附加的资料。8.2.7示例评价报告封面、声明及概述示例参见资料性附录B，图B1-B3。评价报告正文参见资料性附录B，表B.1。8.3改进意见8在评价报告正文中针对评价的内容给出被评价方可针对商业秘密保护体系进行的改进意见。9评价条款及分值A.1分数分布情况分为六大模块内容，分别为组织机构（80分）、制度体系（220分）、涉密人员管理（120分）、运行与实施管理（130分）、监督与改进（50分）、加分项（50分）。A.2针对制度体系度和运行与实施管理评分项出现删减的情况说明企业可结合实际情况对制度体系和运行与实施管理的评分项进行删减，并在评分表中做出删减说明，并提出充分理由。由现场评价该领域的评价人员或组长作出判断，以保证其删减的合理性。删除后计分要求见表A.1。A.3商业秘密保护体系评价条款及分值见表A.1。表A.1商业秘密保护体系评价条款及分值说明：本细则中“有不符合可视严重、一般、轻微程度及影响范围扣分”中的“严重程度”是指不符合会造成系统性风险、结构性风险、商业秘密泄露风险，应扣该项全部分数；“一般程度”是指单一偶发不符合，无连带风险，不会造成系统性风险、结构性风险、商业秘密泄露风险，应扣除30%～60%的分数；“轻微程度”是指文字性、编辑性、偶然性、非关键点轻微不符合，应扣除30%以下的分数。加分项依据该项目所具备的分数来加分。大项评价项目分值得分评分细则备注一、组织机构（80）1商业秘密保护机构（1）通过查阅核实：确定企业建立了商业秘密保护机构或组织，机构或组织具有明确的组织架构，人员责任明确，部门职责明确。（2）有不符合可视严重、一般、轻微程度及影响范围扣分，本项要求全符合可得最高分。2最高管理者(1)通过访谈核实：最高管理者应为第一责任人，最高管理者应具备商业秘密保护意识。（2）通过访谈核实：最高管理者熟悉本单位商业秘密，了解商业秘密保护制度及保护机构人员构成。（3）有不符合可视严重、一般、轻微程度及影响范围扣分，本项要求全符合可得最高分。3商业秘密保护领导机构（1）企业应由最高管理者牵头设立商业秘密保护领导机构。（2）通过访谈核实:领导机构的主要负责人均应具备商业秘密保护意识，了解商业秘密保护制度及保护机构人员构成。（3）有不符合可视严重、一般、轻微程度及影响范围扣分，本项要求全符合可得最高分。表A.1（续大项评价项目分值得分评分细则备注机构（80）4保密人员20（1）依据不同的职责，通过访谈核实：保密人员熟悉商业秘密保护制度，具备相关的保密设施的使用能力，具备商业秘密保护相关的法律知识，法律知识指熟悉《中华人民共和国民法典》《中华人民共和国反不正当竞争法》《中华人民共和国刑法》《中华人民共和国劳动法》等法律关于商业秘密或侵权行为的条款，及相关的标准要求。（2）有不符合可视严重、一般、轻微程度及影响范围扣分，本项要求全符合可得最高分。体系（220）1商业秘密管理制度40管理制度要素参照DB/T3659-2022附录A的相关规定（要素原则上不得少于DB/T3659-2022的列举的要素）,相关要素的具体制度需要明确、具备操作性、合法。（2）有不符合可视严重、一般、轻微程度及影响范围扣分，本项要求全符合可得最高分。2涉密资品管理制度（1）通过查阅核实：查看企业涉密资料、涉密物品管理制度，管理制度要素参照DB/T3659-2022附录A的相关规定（要素原则上不得少于DB/T3659-2022的列举有不符合可视严重、一般、轻微程度及影响范围扣分，本项要求全符合可得最高分。3涉密信息存空间管理制度（1）通过查阅核实：查看企业涉密信息系统、云储存空间管理制度，管理制度要素参照DB/T3659-2022附录A的相关规定（要素原则上不得少于DB/T3659-2022的列举的要素）,相关要素的具体制度需确保合理、有效。（2）有不符合可视严重、一般、轻微程度及影响范围扣分，本项要求全符合可得最高分。如信息系统或云储存空间系第三方机构代理需签署保密协议，如无保密协议，则此项视为“严重程度”。4涉密区域管理制度（1）通过查阅核实：查看企业涉密区域管理制度，管理制度要素参照DB/T3659-2022附录A的相关规定（要素原则上不得少于DB/T3659-2022的列举的要素）,相关要素的具体制度需确保明确、合理。（2）有不符合可视严重、一般、轻微程度及影响范围扣分，本项要求全符合可得最高分。5涉密人员管理制度（1）通过查阅核实：查看企业涉密人员管理制度，管理制度要素参照DB/T3659-2022附录A的相关规定（要素原则上不得少于DB/T3659-2022的列举的要素）,相关要素的具体制度需确保合法、明确。（2）有不符合可视严重、一般、轻微程度及影响范围扣分，本项要求全符合可得最高分。)表A.1(续)大项评价项目分值得分评分细则备注制度体系（220）6涉密活动管理制度（1）通过查阅核实：查看企业涉密活动管理制度，管理制度要素参照DB/T3659-2022附录A的相关规定（要素原则上不得少于DB/T3659-2022的列举的要素）,相关要素的具体制度需确保全面覆盖保密行为，与制度体系1-4的相关管理制度相适配。（2）有不符合可视严重、一般、轻微程度及影响范围扣分，本项要求全符合可得最高分。7商业秘密泄露事件处置管理制度（1）通过查阅核实：查看企业商业秘密泄露事件处置管理制度，管理制度要素参照DB/T3659-2022附录A的相关规定（要素原则上不得少于DB/T3659-2022的列举的要素），相关要素的具体制度需要明确、具备操作性、合法。（2）有不符合可视严重、一般、轻微程度及影响范围扣分，本项要求全符合可得最高分。如企业在商业秘密保护体系建立后发生泄密情况并且造成经济损失则此项视为“严重程度”。三、涉密人员管理（120）1入职40（1）通过查阅核实：查看所有涉密人员是否与企业签署保密条款或协议，及合同或条款合法性和合理华人民共和国民法典》的相关规定，合理性可参照DB/T3659-2022第五章的相关规定。（2）有不符合可视严重、一般、轻微程度及影响范围扣分，本项要求全符合可得最高分。凡入职即涉密的人员均需签署保密协议，如有未签署保密协议的，则此项视为“严重程度”。2履职40（1）通过查阅及抽查访谈核实：企业是否有保密培训的制度、保密培训的材料及培训内容的合理性，培训制度、材料的合理性可参照DB/T3659-2022第五章的相关规定。（2）通过抽查访谈问询核实：受培训人员对培训内容的掌握情况。（3）有不符合可视严重、一般、轻微程度及影响范围扣分，本项要求全符合可得最高分。入职为非涉密人员后经转岗成为涉密人员的59%以下签署保密协议则此项视为“严重”；60%~69%签署保密协议则此项视为“一般”；70%～89%签署保密协议则此项视为“轻微”；90%以上签署保密协议则此项视为“符合”。3调岗与离职40（1）通过查阅核实：涉密岗员工调岗或离职前是否有关于保密的谈话及离岗前的检查，所涉及工作的合理性可参照DB/T3659-2022第五章的相关规定。（2）有不符合可视严重、一般、轻微程度及影响范围扣分，本项要求全符合可得最高分。凡涉密员工离职未签署保密协议，未进行检查则此项视为“严重程度”。表A.1（续大项评价项目分值得分评价细则备注与实施管理（130）1硬件管理（1）通过实地考察核实：涉密场地及设施是否运行完好，监控设备、报警设备是否运行良好。（2）通过抽查核实：监控日志以及监控储存的信息与涉密人员活动是否一致。（3）有不符合可视严重、一般、轻微程度及影响范围扣分，本项要求全符合可得最高分。2软件管理云储存运行是否良好。（2）通过抽查核实：软件日志与涉密人员活动是否一致。（3）有不符合可视严重、一般、轻微程度及影响范围扣分，本项要求全符合可得最高分。3涉密活动管理（1）通过抽查方式查阅核实：涉密人员在进行涉密活动时是否按照相关制度进行涉密活动，并且与相关的软硬件日志进行比对。（2）有不符合可视严重、一般、轻微程度及影响范围扣分，本项要求全符合可得最高分。4涉密应急演练20（1）通过查阅核实：企业是否具有相应的关于泄密的应急预案，企业是否针对应急预案进行应急演练。（2）有不符合可视严重、一般、轻微程度及影响范围扣分，本项要求全符合可得最高分。与改进（50）（1）通过查阅核实:企业是否对员工涉密行为进行监督、对涉密活动的记录核查。（2）通过查阅核实：企业是否对涉密的场地、设施设备进行维护和维修。（3）有不符合可视严重、一般、轻微程度及影响范围扣分，本项要求全符合可得最高分。20（1）通过查阅核实：企业是否针对监督或演习发现的问题进行改进。（2）有不符合可视严重、一般、轻微程度及影响范围扣分，本项要求全符合可得最高分。改进方法有创新且满足加分项条件的可列入加分项。项（50）1制度或技术创新（1）通过查阅、实地考察等方式核实：企业在商业秘密保护体系上的制度或技术具有创新性。（2）制度或技术能够证明运行有效则加分。可、推广（1）通过查阅核实：企业的商业秘密保护体系受到过政府、行业、协会等组织的评优或奖励。（2）通过查阅核实：企业的商业秘密保护体系受到过政府、行业、协会等组织的认可并且具有高度评价。（3）通过查阅核实：企业的商业秘密保护体系受到过政府、行业、协会等组织的认可并受到推广（推广可不限于本行业）。（4）以上满足任意一条即可加分。)表A.1(续)大项评价项目分值得分评分细则备注项（50）3软件（1）通过实地考察核实：企业在商业秘密保护上具有独立开发的或专属的软件。（2）软件运行有效则加分。4硬件（1）通过查阅、实地考察核实