DB4205/T 105-2023 商业秘密保护管理与服务规范

ICS03.140

CCSA00

4205

宜昌市地方标准

DB4205/T105—2023

商业秘密保护管理与服务规范

Managementandservicespecificationsforprotectionoftradesecret

2023-02-15发布2023-03-16实施

宜昌市市场监督管理局  发布

DB4205/T105—2023

目次

前言.......................................................................................................................................................................II

引言.....................................................................................................................................................................III

1范围...................................................................................................................................................................1

2规范性引用文件...............................................................................................................................................1

3术语和定义.......................................................................................................................................................1

4总则...................................................................................................................................................................2

5流程...................................................................................................................................................................2

6自主保护...........................................................................................................................................................4

7依法维权...........................................................................................................................................................9

8指导与服务.....................................................................................................................................................11

9评审与改进.....................................................................................................................................................11

附录A（规范性）商业秘密保护范围............................................................................................................13

附录B（规范性）商业秘密保护范围..........................................................................................................16

附录C（规范性）商业秘密保护范围............................................................................................................20

附录D（规范性）商业秘密保护范围..........................................................................................................26

附录E（规范性）商业秘密保护范围............................................................................................................27

参考文献...............................................................................................................................................................32

I

DB4205/T105—2023

前言

本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定

起草。

本文件由长阳土家族自治县市场监督管理局提出。

本文件由宜昌市市场监督管理局归口。

本文件起草单位：长阳土家族自治县市场监督管理局、宜昌市人民检察院、湖北康农种业股份有限

公司、宜昌百誉智慧物流有限公司、湖北一致魔芋生物科技股份有限公司、华新水泥（长阳）有限公司、

宜昌人福药业有限责任公司、安琪酵母股份有限公司、湖北兴发化工集团股份有限公司。

本文件主要起草人：周近群、付刚、黄革飞、胡锦钰、覃智征、陈晓霞、姚红林、张志军、刘军民、

沈蓉、洪建新、张婷、彭绪冰、吴鍪、隗飞、商琼容、袁瑛、费硕、胡秀丽。

II

DB4205/T105—2023

引言

本文件旨在为企业提供商业秘密的认知、管理、保护、维权等理念和方法，达成“企业自主、政府

指导、协同保护”的目标。

本文件建立的商业秘密保护体系，参考了《知识管理第一部分：框架》（GB/T23703.1-2009）中

的概念模型，以便捷高效的商业秘密保护目标为内在核心；以企业依据原则，按流程实施自主保护为第

二维；政府指导、协同保护、第三方提供服务、依法维权为第三维；形成多维商业秘密保护体系。企业

按照保护原则，发挥领导力作用，提供资源支持和保障，运用过程管理方法，形成商业秘密自主保护体

系；政府通过建立保护网络，加强商业秘密保护宣传和培训，提供智力支撑，营造良好保护氛围；第三

方机构以客户需求为焦点，帮助企业高效便捷维权，从而形成完整、高效的商业秘密保护服务管理体系。

III

DB4205/T105—2023

商业秘密保护管理与服务规范

1范围

本文件规定了商业秘密保护的术语与定义、总则、流程、自主保护、依法维权、指导与服务和评审

与改进。

本文件适用宜昌市范围内的企业商业秘密保护管理，也适用于第三方社会组织为企业提供的商业秘

密保护服务，其他组织的商业秘密保护可参照执行。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，

仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本

文件。

GB/T19000质量管理体系基础和术语

GB/T22080信息技术安全技术信息安全管理体系要求

GB/T23703.1知识管理第1部分：框架

GB/T29490企业知识产权管理规范

GB/T34061.1知识管理体系第1部分：指南

3术语和定义

下列术语和定义适用于本文件。

商业秘密tradesecret

不为公众所知悉、具有商业价值并经权利人采取相应保密措施的技术信息、经营信息等商业信息。

涉密物品secret-relateditem

含有商业秘密信息的设备和产品，包括但不仅限于计算机、手机、产品、原材料、半成品和样品等。

涉密载体secret-relatedcarrier

以文字、数据、符号、图形、图像、视频和音频等方式记录商业秘密信息的介质，包括但不仅限于

电磁介质、光介质等其他介质。

涉密计算机secret-relatedcomputer

处理或存储商业秘密信息的计算机。

涉密区域secret-relatedarea

存有商业秘密信息，人员进入后能够接触到商业秘密的物理区域，包括企业园区、厂房、车间、实

验室、办公室、保密室、档案室、机房等。

1

DB4205/T105—2023

涉密数据secret-relateddata

记录于包括但不限于磁存储、光存储、电存储等存储介质中的企业秘密信息。

4总则

企业应制定商业秘密保护管理的方针和目标，通过实施、检查、持续改进商业秘密保护管理体系，

将商业秘密保护管理贯彻到企业的全部经营活动中，包括但不限于生产、研发、销售、采购、财务、

人事、行政、商业合作等，并确保制定的相关措施与企业自身实际发展水平和发展战略相匹配。

企业的商业秘密保护管理工作应由企业领导承诺，专人负责，全员参与。

企业应建立商业秘密保护组织架构，最高管理者应为企业的实际控制人或董事长，也可以由实际

控制人或董事长授权的总经理担任。

企业应设立商业秘密保护部门或依托相关部门开展商业秘密保护工作，配备专（兼）职商业秘密

保护人员。

企业的商业秘密应是在合法经营的过程中形成的智慧成果。

企业保护商业秘密应坚持诚信原则并运用于合法目的，不应对抗社会经济秩序的正常运行。

企业应坚持“企业自主、政府指导、协同保护、依法维权”的商业秘密保护管理和服务原则。

企业商业秘密的保护管理应遵循最小够用原则、最小授权原则、必须授权原则、审批原则、受控

原则、可追溯原则。

注1：“最小够用原则”，指企业对是否适用商业秘密保护，应根据预估技术信息和经营信息的保护成本与实际

经济效益之比确定，当比值大于或者等于1时，就没有保护价值；如果比值小于1，应考虑作为商业秘密适

用标准保护。

注2：“最小授权原则”，指企业根据商业秘密的保护层级（或者保护等级），对其知悉范围的授权应控制在最

小范围内。

注3：“审批原则”，指企业商业秘密的披露和应用，应得到审批。

注4：“受控原则”，指企业通过管理体系的有效运行，保障商业秘密得到有效控制。

注5：“可追溯原则”，指企业在商业秘密的形成、应用和保护工作中，通过完善记录信息，实现对全过程的追

踪。

5流程

定密

5.1.1企业应根据行业特点，定期对商业秘密进行核查和评估，各行业典型商业秘密信息可参考附录

A中表A.1，以确定商业秘密保护范围，评估范围应包括涉密技术信息和涉密经营信息，具体分类可参

考附录A中的表A.2。

5.1.2对企业的商业秘密进行核查和评估时应考虑以下因素：

a)商业秘密现在的价值、该领域技术革新的速度、有无替代技术、将来的价值，以及对竞争企

业的价值；

b)泄露时可能遭受的损失程度；

c)泄露时可能承担的法律责任；

d)法律、法规、规章及相关司法解释等规定的其他情形。

5.1.3下列信息不应作为企业的商业秘密：

2

DB4205/T105—2023

a)公知信息和基础理论；

b)已申请并公开的专利技术信息；

c)公众可通过反向工程等合法途径获得的信息；

d)法律、法规、规章及相关司法解释规定的其他情形。

5.1.4企业应定期对技术秘密进行科技查新，确认其不为公众所知悉。

5.1.5企业应建立适宜运行的商业秘密信息清单，内容包括商业秘密信息名称、密级、管理人、载体、

查阅范围等，维度包括各业务部门。

隐密

5.2.1企业应通过加密系统对商业秘密信息进行隐密，加密系统必要时应采取密钥备份、双人控制等

安全管理措施。

5.2.2下列情形涉及商业秘密的，应对相关信息予以隐藏：

a)与供应商、客户、合作方等的沟通和信息往来中；

b)信息公开、发布、流转时；

c)协助其他单位尽职调查时；

d)其他情形。

5.2.3配合行政机关和部门的行政检查、行政执法行动中，涉及隐秘事项检查的，企业应主动提醒执

法检查人员履行保密义务。

5.2.4可采取的隐密方式有：

a)隐藏或删除涉密信息；

b)对涉密信息进行模糊化处理；

c)其他方式。

解密

5.3.1企业的商业秘密出现下列情形时，可予解密：

a)企业认为商业秘密事项已不再具有保护价值的；

b)其它特定因素导致商业秘密被公开的。

5.3.2企业认为不需要继续保密的信息可予以解密，可采取的解密方式为：

a)移出涉密区域；

b)消除或变更密级标识、提示；

c)电子文档解密；

d)其他方式。

5.3.3企业应指定专人管理解密权限。

5.3.4申请解密时，应明确相应使用人、范围、事由、期限等。

5.3.5解密后的信息应及时回收，并做相应处理。

5.3.6企业应保留该过程的相关记录。

销毁

5.4.1销毁涉及商业秘密的文件（含复制文件）、资料、电子信息、载体和物品，应由保密员列出销

毁清单，经商业秘密保护部门审批后实施。

5.4.2可采取下列方式对销毁过程进行监督管理：

a)在视频监控范围内销毁；

b)不少于2名员工见证下销毁；

3

DB4205/T105—2023

c)对销毁过程录像；

d)对销毁的物品制作销毁清单，销毁人员与监督销毁人员签字确认。

5.4.3企业应采取下列方式妥善销毁涉及商业秘密的文件、电子信息等物品：

a)文件、资料应粉碎成颗粒状或焚烧处置；

b)电子信息应利用彻底删除软件永久删除；

c)其他合适的方式。

6自主保护

组织

6.1.1企业最高管理者应通过以下方面，证实其对公司商业秘密保护的领导作用和承诺：

a)确保企业商业秘密管理保护体系所需的资源是可获得的；

b)确定、理解并持续满足商业秘密保护以及适用的法律法规要求的获得。

6.1.2确定和应对泄密风险的能力是否满足时，企业应考虑：

a)识别商业秘密事项范围和内容；

b)划分商业秘密事项保密等级；

c)明确保密要求的过程；

d)测评自身商业秘密信息因发生泄密而造成影响和损失的可能程度；

e)编制出兼顾组织保密管理与经营活动相关的保密措施方案；

f)建立、实现、维护和持续改进商业秘密管理保护体系。

6.1.3企业应制定与商业秘密保护相配套的激励与奖惩措施。

6.1.4企业应评价商业秘密管理的绩效和有效性。

6.1.5企业应保留适当的信息记录，以作为结果的证据。

6.1.6企业可针对自身商业秘密的特点，结合制定的泄密应急预案开展模拟商业秘密被泄密后的应急

处理演练。

权限管理

6.2.1企业应确保与商业秘密保护安全相关角色的责任和权限得到分配和沟通，根据岗位职责或特定

工作事项按“最小够用”原则设定权限，企业商业秘密保护权限详见附录A表A.3：

a)企业应对人员、环境、设备、数据库和各类应用系统实行权限管理；

b)合理分配不同层级人员涉密权限和审批权限；

c)合理设定涉密场所、涉密载体的访问、操作、查看等权限及其使用期限；

d)合理分配管理体系中不同用户的使用权限；

e)根据企业自身发展，分