DB4420/T 54-2024 企业商业秘密保护管理规范

ICS03.100.01

CCSA10

4420

中山市地方标准

DB4420/T54—2024

企业商业秘密保护管理规范

2024-06-26发布2024-08-26实施

中山市市场监督管理局发布

DB4420/T54—2024

目  次

前言...................................................................................II

1范围................................................................................1

2规范性引用文件......................................................................1

3术语和定义..........................................................................1

4总则................................................................................1

5制度建设与管理......................................................................2

6人员管理............................................................................5

7信息系统管理........................................................................6

8物理空间管理........................................................................8

9泄密应急处置措施....................................................................8

10维权指引...........................................................................8

附录A（资料性）商业秘密保密协议.....................................................11

附录B（资料性）竞业限制协议.........................................................19

附录C（资料性）商务合作保密协议.....................................................24

附录D（资料性）构成商业秘密的证据材料...............................................29

参考文献..............................................................................30

I

DB4420/T54—2024

前  言

本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定

起草。

请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。

本文件由中山市市场监督管理局（知识产权局）提出并归口。

本文件起草单位：中山市深中标准质量研究中心、广州中新知识产权服务有限公司、中山市家电知

识产权快速维权服务中心、中山市知识产权保护中心。

本文件主要起草人：叶俊文、郝爱昕、陈程、陈淑曲、孙倩、欧慧敏、郭金丰、江承成、贺丽君、

黄嘉慧、黄石娟、杜展浩、殷欢、刘皇增、曹璐、吴佩珊。

II

DB4420/T54—2024

企业商业秘密保护管理规范

1范围

本文件规定了企业商业秘密保护的术语和定义、总则、制度建设与管理、人员管理、信息系统管理、

物理空间管理、泄密应急处置措施、维权指引。

本文件适用于企业商业秘密保护管理。若涉及国家秘密应按照《中华人民共和国保守国家秘密法》

及相关规定要求执行。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，

仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本

文件。

GB/T22080信息技术安全技术信息安全管理体系要求

GB/T29490企业知识产权合规管理体系要求

3术语和定义

下列术语和定义适用于本文件。

3.1

商业秘密tradesecrets

不为公众所知悉、具有商业价值并经权利人采取相应保密措施的技术信息、经营信息等商业信息。

3.2

涉密载体secretcarriers

以文字、数据、符号、图形、图像、视频和音频等方式记录商业秘密信息的各类纸介质、磁介质、

光盘等各类载体。磁介质载体包括计算机硬盘、软盘和录音带、录像带等。

3.3

涉密人员secret-relatedpersonnel

根据工作职责或者保密协议有权接触、使用、掌握商业秘密的企业员工或其他人。

4总则

4.1一般要求

4.1.1应明确界定商业秘密的内容和范围，明确涉密信息的密级，对含有保密信息的载体采取相应保

密措施。

4.1.2应全面分析企业经营管理各个环节，逐一梳理企业的技术信息、经营信息等商业信息，对照“不

为公众所知悉”、“具有商业价值”和“保密措施”界定企业商业秘密范围。

1

DB4420/T54—2024

4.2保密范围

4.2.1对于技术信息，应明确载体中哪些数据、指标、尺寸或技术方案等构成商业秘密。

4.2.2对于技术信息，可选择专利权或商业秘密进行保护。

4.2.3在以下情形之一时，宜以专利权进行保护：

a)技术信息在商业产品/服务中易为公众所接触；

b)客户不愿签署保密协议；

c)有可能对外进行许可；

d)相关技术人员流动性高；

e)法律法规或政府机关要求公开技术信息；

f)属于可能或者将会对技术标准产生重大贡献的技术方案，很有可能形成标准必要专利；

g)可以预见或已经存在与外部的合作关系；

h)可通过反向工程、自行研发获得相同的技术；

i)技术方案处于更新换代较快的领域。

4.2.4在以下情形之一时，宜以商业秘密进行保护：

a)属于企业的内部信息；

b)在企业内部只有少数员工知晓；

c)接触该信息的人员都愿意签署保密协议或承诺书；

d)技术方案本身先进性程度较高，在一定时期内难以被他人研发出来，也不可能从其他渠道获取

同样的技术；

e)无法通过专利权或者著作权保护；

f)技术方案难以进行专利侵权技术比对的。

4.3管理原则

4.3.1宜建立完善的商业秘密保护管理体系，可参照GB/T29490相关要求执行。

4.3.2宜建立保密管理机构或领导小组，如设立企业保密委员会，规模较小的企业可由企业相关管理

部门归口管理，设置保密专员。

4.3.3应定期对员工开展保密教育，增强员工保密观念和自觉性，提高员工保密的一般常识和技能。

4.3.4应对商业秘密日常保密情况进行检查和监督，及时发现和处理泄密隐患及问题。

4.3.5应制定保密工作激励机制，宜奖励在商业秘密保护中作出突出成绩和贡献的部门和人员。

4.3.6应维护保密规章制度的权威性，追究违反保密制度、泄露商业秘密人员的责任。

4.3.7商业秘密被侵犯时，应及时采取补救措施，搜集相关证据，提出维权方案，寻求行政或司法保

护。

5制度建设与管理

5.1制度与协议

5.1.1制度建设

5.1.1.1应制定总体的保密制度及相应的惩罚措施，对企业保密信息的定义、保密信息的分级、员工

保密义务、违反保密义务的罚则等进行规定。

5.1.1.2应对涉密文件管理、涉密人员管理、涉密区域管理、涉密载体管理、计算机网络及信息系统

管理、人员流动及保密应急处置预案等制定企业保密制度。

5.1.1.3保密制度与企业其它制度应相互协调，形成有效的监督与约束机制。

2

DB4420/T54—2024

5.1.1.4应定期开展商业秘密保护制度的有效性评估，跟踪、判别企业发展过程中的涉密风险，及时

更新、完善保密制度和保密措施。

5.1.2协议

5.1.2.1应与员工签订保密协议或者在劳动合同中明确约定保密义务，保密协议可参考附录A。

5.1.2.2宜与知悉或接触商业秘密的高级管理人员、高级技术人员或其他负有保密义务的员工签订竞

业限制协议，竞业限制协议可参考附录B。及时评估员工是否需要履行竞业限制义务，并作相应的调整。

5.1.2.3涉及商业秘密的磋商谈判开始前，应先签订商务合作保密协议或保密承诺,商务合作保密协议

可参考附录C。

5.2商业秘密信息管理

5.2.1一般要求

5.2.1.1商业秘密信息的产生、保存、流转、复制、发布、解密、销毁等均应保留记录。应根据商业

秘密信息的重要性及储存成本规定记录留存时间。

5.2.1.2认定技术信息和经营信息是否为商业秘密，可从保密必要性、保密可能性、保密效果等方面

评估。

5.2.1.3应根据商业秘密信息自身的生命周期长短、技术成熟程度、信息现实或潜在价值大小和市场

需要程度等因素，确定其密级和保密期限。

5.2.2秘密点确定

5.2.2.1技术信息主要包括与技术有关的结构、原料、组分、配方、材料、样品、样式、植物新品种

繁殖材料、工艺、方法或其步骤、算法、数据、计算机程序及其有关文档等信息。

5.2.2.2经营信息主要包括与经营活动有关的创意、管理、销售、财务、计划、样本、招投标材料、

客户信息、数据等信息。

5.2.2.3技术信息的秘密点确定，应考虑以下内容：

a)明确商业秘密信息的具体内容；

b)技术秘密“三性”检验。应综合考虑秘密性、价值性、保密性三个方面，做三性评价；

c)合理确定秘密点的数量。宜从创造性、贡献度、成本等维度来确定秘密点数量。

5.2.2.4经营信息的秘密点确定，应从主观布局和经营管理信息累积及信息的更迭做综合评估。

5.2.2.5技术秘密点应根据技术进步和维权的需要及时调整。

5.2.3分级管理

5.2.3.1商业秘密可分为核心商业秘密（绝密级）、重要商业秘密（机密级）及普通商业秘密（秘密

级），宜实行分级管理。商业秘密信息的级别应在其载体上明确标识。

5.2.3.2核心商业秘密确定依据包括但不限于：

a)保密价值高；

b)内部扩散或向外部泄露威胁到企业生存、发展，削弱企业核心竞争力的；

c)泄露对企业经济利益造成特别严重损失、危害的；

d)泄露对业务开展造成严重影响的。

5.2.3.3重要商业秘密确定依据包括但不限于：

a)保密价值中等；

b)内部扩散或向外部泄露可能威胁到企业生产、发展，削弱企业市场竞争力的；

3

DB4420/T54—2024

c)泄露对企业经济利益造成严重损失、危害的；

d)泄露对业务开展造成重要影响的。

5.2.3.4普通商业秘密确定依据包括但不限于：

a)保密价值相对较低；

b)泄露对业务造成轻微影响的。

5.2.3.5核心商业秘密宜仅限于为核心管理层或特定部门部分人员知晓；重要商业秘密宜仅限于在特

定部门或项目组内部知晓；普通商业秘密仅允许在企业一定范围内部流通。

5.2.3.6应建立商业秘密分级管理信息清单，内容包括商业秘密信息名称、密级、管理人、载体、查

阅范围等。

5.2.4解密

5.2.4.1企业认为不需要继续保密的信息可予以解密，可采取的解密方式包括但不限于：

a)移出涉密区域；

b)消除或涂改密级标识、提示；

c)电子文档解密。

5.2.4.2信息解密前，根据需要对即将解密的信息可采取相应措施，做好保护工作（如专利申请、版

权登记等）。

5.2.5销毁

5.2.5.1删除商业秘密信息或销毁含有商业秘密的载体，应经批准后实施。

5.2.5.2应采取合适的方式妥善销毁，包括但不限于：

a)纸质类资料作粉碎性处理；

b)电子信息类的存储硬盘、光盘、U盘等介质与信息系统内的记录进行删除；

c)含有核心秘密的电子信息载体宜作销毁处理。

5.2.5.3可采取视频监控、录像、见证等方式对销毁过程进行监督管理。

5.3商业秘密载体管理

5.3.1纸质文件

5.3.1.1应有密级、保护期限等标识，实行登记管理、归档存放。

5.3.1.2按权限使用，查阅、借阅等应履行登记手续。

5.3.1.3复制（复印、打印、扫描、摘抄等）、跨区域转移、向第三方披露或提供第三人使用前应履

行审批和登记手续，复制件与原件的密级、保密期限相同。

5.3.2电子信息载体

5.3.2.1涉密数据应存储于企业授权的存储设备和应用系统，应采用加密方式存储。

5.3.2.2涉密电子信息物理载体的采购、维护应进行归档登记，并选用安全稳定、运转正常的电脑、

手机、硬盘等存储介质。存储介质送外维修前应经审批，并使用专业工具擦除介质中的数据。

5.3.2.3对能够接触、获取商业秘密的计算机设备、电子设备、网络设备、存储设备、软件等，采取

禁止或者限制使用、访问、存储、复制等措施。

5.3.2.4涉密电子信息存储系统应定期进行安全检查，发现系统漏洞及时修补。

5.3.3产品

5.3.3.1涉密项目的半成品、样品应由专人管理，放置在保密柜或专门的存储室保管。

4

DB4420/T54—2024

5.3.3.2涉密项目的不良品应交由专人处理或报废，不应随意丢弃。

5.4内部保密管理

5.4.1研发流程管理

应完整保留研发过程中的实验记录（包括失败的研发记录）。宜采用研发管理系统进行项目管理，

研发资料应定期上报并核查，研发文件应有研发人员签名和签署日期。

5.4.2生产流程管理

对特有的制作工艺流程、涉及生产设备的改进技术应进行保密管理。涉密的厂房、车间等生产经营

场所应限制来访或进行区分管理。

5.4.3日常保密管理

5.4.3.1通过保密协议、章程、培训、规章制度、书面告知等方式，对能够接触、获取商业秘密的人

员（员工、前员工、供应商、客户、来访者等）提出保密要求。

5.4.3.2办公使用后废弃的图纸、文件、磁盘、打字机色带等宜彻底粉碎销毁。

5.4.3.3涉密区域需要外部人员进行维修、保洁、安装等作业，或涉密载体、计算机设备等需要携带

外出进行修理、维护时，应当采取合理保密措施，并指定专人进行现场监督。

5.4.3.4对外宣传交流应由宣传部门承担保密初审工作，建立对外宣传审查制度。

5.4.3.5应建立论文或科技成果发表、项目申报审查制度，对文件材料预先审查，不应涉及专有技术

秘密、在研产品、精确技术参数和保密数据等。

5.4.3.6专利申请时，应先确定需要按照商业秘密进行保护的技术内容和范围。确定为按照商业秘密

进行保护的技术内容，不应写入专利申请文件，不应在专利授权审查、专利无效宣告程序中泄露。

5.4.3.7应建立信息对外披露的保密审查责任制，明确信息对外发布的保密审查程序和主管领导机构

及工作人员；在提供商业秘密前，应与信息接收方签署保密协议。

5.5外部商务合作保密管理

5.5.1与第三方进行合作时，企业应做好与第三方的保密管理。重点包括但不限于以下情形：

a)合作研发、委托研发；

b)委托加工及定制、受托生产；

c)合作供应、经销；

d)临床试验、检测检验；

e)运输、仓储；

f)产品注册、法律事务、会计、审计等。

5.5.2应与可能获取、接触本企业保密信息的第三方签订保密协议，明确相关方的保密义务及违约责

任。

5.5.3应在合同中明确技术成果商业秘密归属，对共有商业秘密，应要求其他权利人履行保密义务。

5.5.4向第三方或政府审评审批机构等主体提供涉密资料时，应当对相关涉密资料进行明确的涉密标

识，并要求相关方采取合理的保密措施。

6人员管理

6.1岗位划分

5

DB4420/T54—2024

6.1.1日常工作中产生、经管或者经常接触、知悉核心商业秘密的岗位划分为核心商业秘密岗位。

6.1.2日常工作中产生、经管或者经常接触、知悉重要商业秘密的岗位划分为重要商业秘密岗位。

6.1.3日常工作中偶尔需要接触企业普通商业秘密的岗位划分为普通商业秘密岗位。

6.2涉密人员分类

6.2.1以所在岗位接触到的商业秘密等级为原则，将涉密人员分为核心商业秘密人员、重要商业秘密

人员及普通商业秘密人员。涉密人员包括但不限于以下人员：

a)企业董事、经理、合伙人等高级管理人员；

b)从事生产、研发、策划、财务等重要岗位的人员；

c)从事法务、办公室等登记和管理商业秘密的人员；

d)其他可能接触到商业秘密的人员。

6.2.2应与核心商业秘密人员、重要商业秘密人员及普通商业秘密人员签订保密协议，并与核心商业

秘密人员及重要商业秘密人员签订竞业限制协议。

6.2.3应对涉密人员明确其保密范围和接触的商业秘密信息。

6.3入职

6.3.1人力资源管理部门应了解员工是否与原单位签订竞业限制协议、竞业限制期限是否已经届满、

竞业限制协议是否提前解除等情况，并要求员工签订不侵犯他人商业秘密保证书。

6.3.2新入职的涉密人员应与其签订保密协议，必要时签订竞业限制协议。

6.3.3应通过面谈或培训等方式明确告知保密义务等注意事项。

6.4转岗

6.4.1员工转岗到涉密岗位的应签订与其工作内容相适应的保密协议。

6.4.2员工调离涉密岗位的应明确是否已签署与其工作内容相适应的的保密协议，并督促转岗员工做

好保密材料交接工作，及时做好涉密权限调整，做好脱密管理工作。

6.5离职或退休

6.5.1人力资源管理部门应与相关部门对离职或退休员工进行保密谈话，明确提出保密要求，并在谈

话笔录上进行签字确认。

6.5.2应要求离职员工登记、返还、清除、销毁其接触或获取的商业秘密及其载体，继续履行保密义

务。

6.5.3应结合员工离职前的岗位、工作内容进行综合评估，确定该员工是否需要履行竞业限制义务，

并在办理离职手续时明确告知。

6.5.4应设置离职或退休交接清单，由员工所在部门、人力资源、行政、财务等相关部门进行保密资

料、载体等的清退，并在交接清单上设置保密要求条款，由员工本人签字确认。

7信息系统管理

7.1信息安全管理体系

企业宜按照GB/T22080的要求建立信息安全管理体系，以最大化降低信息安全风险。

7.2信息安全管理

7.2.1权限

6

DB4420/T54—2024

7.2.1.1信息系统的管理员权限应在不同人员之间进行分配，避免由超级管理员管理整个系统或若干

个系统的情况。

7.2.1.2信息系统的权限管理应保留记录日志，用于定期检查各信息系统用户的访问权限、特别授权

等权限管理是否存在漏洞。

7.2.2访问控制

7.2.2.1访问控制应按照以下两个原则：

a)“按需所知”原则：只允许访问执行任务所需的信息；

b)“按需使用”原则：只允许访问执行任务所需要的信息处理设施（如IT设备、应用程序、规

程、场所等）。

7.2.2.2宜通过用户注册和注销分配访问权。对用户ID的管理包括但不限于以下内容：

a)宜使用唯一用户ID，使得用户与其行为链接起来，并对其行为负责。必要时，经过批准且形

成文件情形下，允许使用共享ID；

b)应定期识别并删除或禁用冗余的用户ID，确保冗余的用户ID不会发给其他用户。

7.2.2.3宜限制对信息和应用系统功能的访问，可采取措施包括但不限于：

a)提供控制访问应用系统功能的选择菜单；

b)控制用户的访问权，如读、写、删除和执行；

c)限制输出中包含的信息。

7.2.2.4宜通过安全登录控制对系统和应用的访问。可选择适当的身份鉴别技术，如密码手段、智能

卡、令牌或生物特征识别方法。

7.2.2.5若采用密码手段鉴