技術(shù)信息保密管理操作辦法1.總則1.1目的為規(guī)范企業(yè)技術(shù)信息保密管理，保護企業(yè)核心技術(shù)資產(chǎn)，防止技術(shù)信息泄露，維護企業(yè)合法權(quán)益和市場競爭力，根據(jù)國家有關(guān)法律法規(guī)及企業(yè)實際情況，制定本辦法。1.2依據(jù)本辦法依據(jù)《中華人民共和國反不正當競爭法》《中華人民共和國商業(yè)秘密保護法（草案）》《企業(yè)內(nèi)部控制基本規(guī)范》等法律法規(guī)及企業(yè)《知識產(chǎn)權(quán)管理制度》《勞動合同管理辦法》制定。1.3適用范圍本辦法適用于企業(yè)及所屬各單位（以下統(tǒng)稱“企業(yè)”）所有涉及技術(shù)信息的研發(fā)、存儲、使用、傳遞、銷毀等活動，以及與技術(shù)信息接觸的全體員工（包括正式員工、勞務(wù)派遣人員、實習生、外包人員等）。1.4基本原則（1）最小化原則：技術(shù)信息的知悉范圍僅限于完成工作所需的最小范圍，無關(guān)人員不得接觸。（2）分級管理原則：根據(jù)技術(shù)信息的重要性和泄露風險，分為絕密、機密、秘密三級，實行差異化管理。（3）責任到人原則：技術(shù)信息的產(chǎn)生、存儲、使用、傳遞等環(huán)節(jié)均明確責任人，確保責任可追溯。（4）協(xié)同保護原則：保密委員會、技術(shù)管理部門、人力資源部門、IT部門及各業(yè)務(wù)部門協(xié)同配合，形成全流程保護體系。2.職責分工2.1保密委員會（1）負責企業(yè)技術(shù)信息保密工作的決策和統(tǒng)籌，制定保密管理制度；（3）監(jiān)督各部門保密工作執(zhí)行情況，處理泄露事件；（4）協(xié)調(diào)解決保密工作中的重大問題。2.2技術(shù)管理部門（1）負責技術(shù)信息的識別、分類、定級及動態(tài)管理；（2）建立技術(shù)信息臺賬，記錄信息的產(chǎn)生、變更、銷毀等情況；（3）指導各業(yè)務(wù)部門開展技術(shù)信息保密工作，定期組織培訓；（4）審核技術(shù)信息的使用、傳遞申請，提出意見。2.3人力資源部門（1）負責將保密要求納入員工勞動合同，簽訂《保密協(xié)議》；（2）組織員工保密培訓，包括入職培訓、在崗培訓、離職培訓；（3）辦理員工離職脫密手續(xù)，監(jiān)督脫密期內(nèi)的義務(wù)履行；（4）將保密表現(xiàn)納入員工績效考核。2.4IT部門（1）負責技術(shù)信息存儲系統(tǒng)的建設(shè)和維護，確保系統(tǒng)安全；（2）設(shè)置技術(shù)信息的訪問權(quán)限，實行基于角色的訪問控制（RBAC）；（3）定期審計系統(tǒng)訪問日志，發(fā)現(xiàn)異常情況及時報告；（4）提供技術(shù)防護支持，如加密、防火墻、數(shù)據(jù)備份等。2.5各業(yè)務(wù)部門（1）執(zhí)行企業(yè)技術(shù)信息保密管理制度，落實本部門保密責任；（2）指定專人負責本部門技術(shù)信息的日常管理，如存儲、使用、傳遞；（3）對本部門員工進行保密教育，監(jiān)督員工遵守保密規(guī)定；（4）及時向技術(shù)管理部門報告本部門技術(shù)信息的變更或泄露情況。3.保密范圍與分級3.1保密范圍企業(yè)技術(shù)信息包括但不限于以下內(nèi)容：（1）研發(fā)成果：未公開的專利技術(shù)、實用新型、外觀設(shè)計、計算機軟件著作權(quán)、論文、實驗數(shù)據(jù)等；（2）技術(shù)文檔：設(shè)計圖紙、工藝規(guī)程、技術(shù)方案、操作手冊、檢驗標準、技術(shù)說明書等；（3）核心技術(shù)：產(chǎn)品配方、生產(chǎn)工藝、關(guān)鍵技術(shù)參數(shù)、算法模型、技術(shù)訣竅等；（4）研發(fā)過程信息：階段性成果報告、會議紀要、測試記錄、研發(fā)計劃、可行性分析報告等；（5）其他：技術(shù)合作協(xié)議、客戶技術(shù)需求、供應(yīng)商技術(shù)信息、未公開的技術(shù)改進方案等。3.2分級標準根據(jù)技術(shù)信息的重要性和泄露風險，分為以下三級：（1）絕密級：涉及企業(yè)核心競爭力，泄露會使企業(yè)遭受特別嚴重經(jīng)濟損失或喪失技術(shù)優(yōu)勢的技術(shù)信息。例如：核心專利的技術(shù)方案、關(guān)鍵產(chǎn)品配方、獨家算法模型等。（2）機密級：涉及企業(yè)重要競爭力，泄露會使企業(yè)遭受嚴重經(jīng)濟損失或影響技術(shù)進展的技術(shù)信息。例如：未公開的工藝規(guī)程、關(guān)鍵技術(shù)參數(shù)、研發(fā)中期成果等。（3）秘密級：涉及企業(yè)一般競爭力，泄露會使企業(yè)遭受經(jīng)濟損失或影響正常經(jīng)營的技術(shù)信息。例如：研發(fā)階段性報告、測試數(shù)據(jù)、技術(shù)改進方案草稿等。3.3定級流程（1）提出清單：技術(shù)管理部門會同業(yè)務(wù)部門，梳理本部門技術(shù)信息，形成清單；（2）專家評審：組織技術(shù)專家、法律專家對清單中的信息進行評估，提出定級建議；（3）審批備案：將定級建議提交保密委員會審批，審批通過后，納入技術(shù)信息臺賬，向IT部門提供分級清單。4.管理流程4.1存儲與訪問控制（1）存儲要求：絕密級：存放在企業(yè)專用保險柜或加密服務(wù)器（物理隔離），由技術(shù)管理部門指定專人保管，鑰匙或密碼由兩人分別持有；機密級：存放在企業(yè)內(nèi)部加密服務(wù)器，設(shè)置訪問權(quán)限，由IT部門管理；秘密級：存放在企業(yè)內(nèi)部網(wǎng)絡(luò)共享文件夾，設(shè)置訪問權(quán)限，由業(yè)務(wù)部門負責人管理。（2）訪問控制：員工需要訪問技術(shù)信息時，應(yīng)填寫《技術(shù)信息訪問申請表》，說明訪問目的、范圍和期限；申請表經(jīng)部門負責人審核、技術(shù)管理部門確認后，由IT部門開通相應(yīng)權(quán)限；訪問權(quán)限實行“最小授權(quán)”原則，即僅授予完成工作所需的最低權(quán)限；IT部門記錄訪問日志，包括訪問人、訪問時間、訪問內(nèi)容、操作類型等，日志保存期限不少于3年。4.2使用與傳遞員工使用技術(shù)信息時，應(yīng)遵守“誰使用、誰負責”的原則，不得超范圍使用；不得將技術(shù)信息用于與工作無關(guān)的用途，不得向無關(guān)人員透露。（2）外部傳遞：向企業(yè)外部傳遞技術(shù)信息（如客戶、供應(yīng)商、合作方），需對方簽署《保密協(xié)議》，明確保密義務(wù)；申請表經(jīng)業(yè)務(wù)部門負責人審核、技術(shù)管理部門評估、保密委員會審批后，由專人負責傳遞；傳遞方式需采用加密手段，如加密U盤、加密郵件、企業(yè)專用加密系統(tǒng)等，不得通過普通郵件、微信等非加密渠道傳遞。4.3銷毀與脫密（1）銷毀流程：對于過時、無用或不再需要的技術(shù)信息，由業(yè)務(wù)部門提出銷毀申請，填寫《技術(shù)信息銷毀申請表》；申請表經(jīng)部門負責人審核、技術(shù)管理部門確認后，提交保密委員會審批；審批通過后，由技術(shù)管理部門指定專人負責銷毀，銷毀方式包括碎紙（紙質(zhì)文檔）、格式化（電子文檔）、物理銷毀（存儲介質(zhì)）；銷毀后，填寫《技術(shù)信息銷毀記錄》，記錄銷毀時間、地點、物品、銷毀人及監(jiān)銷人，并存檔備查。（2）脫密管理：員工離職前，由人力資源部門通知其脫密義務(wù)，簽訂《脫密協(xié)議》；脫密期根據(jù)崗位不同確定：核心研發(fā)崗位脫密期6個月，一般技術(shù)崗位3個月，非技術(shù)崗位1個月；脫密期內(nèi)，員工不得從事與原崗位相關(guān)的工作，不得泄露企業(yè)技術(shù)信息；人力資源部門定期聯(lián)系離職員工，監(jiān)督脫密義務(wù)履行情況。5.監(jiān)督與責任5.1監(jiān)督機制（1）定期檢查：保密委員會每年至少組織一次全面檢查，重點檢查技術(shù)信息存儲、訪問、傳遞等環(huán)節(jié)的保密情況；（2）日志審計：IT部門每月審計系統(tǒng)訪問日志，發(fā)現(xiàn)異常訪問（如未授權(quán)訪問、頻繁訪問）及時報告技術(shù)管理部門；（3）舉報渠道：企業(yè)設(shè)立匿名舉報電話和郵箱，員工可以舉報泄露技術(shù)信息的行為，保密委員會及時調(diào)查處理，對舉報者給予獎勵（如獎金、表彰）。5.2責任追究（1）故意泄露：員工故意泄露技術(shù)信息的，解除勞動合同，要求賠償企業(yè)經(jīng)濟損失（賠償金額根據(jù)損失程度確定），情節(jié)嚴重的移送司法機關(guān)追究刑事責任；（2）過失泄露：員工過失泄露技術(shù)信息的，給予警告或記過處分，造成損失的賠償部分損失（賠償金額不超過當月工資的20%）；（3）管理不力：部門負責人因管理不力導致技術(shù)信息泄露的，給予降職或撤職處分，情節(jié)嚴重的解除勞動合同；（4）外部泄露：合作方違反《保密協(xié)議》泄露技術(shù)信息的，要求其承擔違約責任，賠償經(jīng)濟損失，情節(jié)嚴重的通過法律途徑解決。6.附則6.1解釋