ISO27001：2013信息安全管理手册和程序文件

信息安全管理手册GB/T22080-2016/IS0/IEC27001:2013

编写委员会信息安全管理手册GLSC2020第A/0版编写：审核：批准：受控状态：XXX网络科技有限公司发布时间：2020发布时间：2020年9月1日实施时间：2020年9月1日0101目录第第页《重要安全区域控制一览表》《专项管理检查整改通知单》15商业秘密管理程序1目的为更好地保护各相关方(包括客户、合作方)和本组织在业务活动中产生的各类信息，防止因不恰当使用或泄漏，使本公司蒙受经济损失或法律纠纷，特制定本程序。2范围本程序适用于各相关方和本组织在业务中产生的各类信息的管理。3职责1综合部负责商业秘密的归口管理。3.2全体员工遵守保密承诺、保守商业秘密。4程序1商业秘密分类本程序中所指的商业技术秘密分：绝密、机密、秘密、敏感和一般共5类：“绝密”：按《中华人民共和国保守国家秘密法》中指定的秘密和不可对外公开、若泄露或被篡改会对本组织的业务造成特别严重损害的事项；“机密”：是指不可对外公开、若泄露或被篡改会对本组织的业务造成严重损害，或者由于业务上的需要仅限有关人员知道的事项；“秘密”：是指不可对外公开、若泄露或被篡改会对本组织的业务造成损害，或者由于业务上的需要仅限有关人员知道的事项；“敏感”：是指为了日常的业务及正常工作能顺利进行而向组织内部员工公开、但不可向组织以外人员随意公开的事项。“一般”：是指无须进行任何保密的信息或资料，可向外部公开。以上a)-d)4类事项以下简称秘密。2商业秘密的密级确定和标识2.1商业秘密由产生该事项的部门确定，员工对产生的信息确定密级时，可随时询问部门领导。后者对前者的请求应及时给予明确的处理。无法判明时，可请示更高一级领导。2.2编写的文件一旦被指定为秘密文件，则负责人应对编写中和编写后的无用稿件进行处置。3涉密文件的发放3.1发送秘密文件时，指定者应根据文件内容指定接收部门和接收人。3.2为了避免接收人因不清楚使用范围而泄密，可在附件中指明使用目的和使用范围，若从文件标题和送付部门一览中能使接收者明确使用目的和范围，可省略上述指定。3.3组织内发送的秘密文件，尽可能亲自交给接收人，或装入信封并标明“亲展”，封好后作为组织内文件发送。非收件人不得随便拆阅该文件。3.4发往组织以外的秘密文件，原则上双方应签署含有保密条款的合同，并经部门主管以上的批准后方可提供。特殊情况（无保密条款合同，但又必需提供）需事先准备好保密协议书，经部门主管以上批准并要求对方在接收时签收。4.4商业秘密的使用4.1秘密文件的接收人应按秘密文件的使用目的、使用范围正确使用秘密文件。4.2秘密文件的保管人员和秘密的实际操作人员未经指定者许可不得擅自将秘密内容向其它人员公开。4.3秘密文件原则上严禁复印。因业务必需时应填写《涉密文件复印登记表》，并限制在最小限度，并且在使用后及时处置。未经批准严禁将秘密文件带出公司使用。如工作必须，应经过部门经理以上领导的批准。4.5商业秘密的解除或变更4.5.1解除或变更的条件a）秘密因对外公开发表而成为众所周知的信息时，商业秘密的指定将自动解除。b）随着时间的推移，某些秘密的内容已过时的情况下。4.5.2解除或变更的方法a）解除或变更商业秘密指定时，由原编写部门的指定者书面通知原接收者。b）解除/变更后的文件，按相应的管理区分保管和使用。5相关文件《保护客户秘密和所有权程序》6记录《涉密文件清单》《涉密文件复印登记表》16保护客户秘密和所有权程序1目的保护客户机密和权益，维护客户利益和本公司信誉。2范围适用于公司所有涉及客户利益的全部活动。3职责3.1总经理是该程序实施的负责人。3.2综合部负责技术文件和记录的保密工作。3.3全体员工执行该程序，承担保护客户机密信息的责任。4程序4.1保护内容4.1.1国家秘密、商业秘密和技术秘密客户保密信息：客户名称、合同、技术资料、各种标准、专利权、数据、价格等所有不愿公开或要求保密的信息。研发设计过程中涉及客户保密的原始记录、测试/验收记录、评价报告等及计算机中存储和传输的相关信息。4.2保护措施4.2.1加强员工的客户机密和所有权保护意识教育。4.2.2保护内容所涉及的所有资料，未经批准一律不得借阅和复印。4.2.3有保密要求的工作，在产品完成后及时从计算机中删除有关数据和资料。需要暂时或长期保留的，须设置密码予以保护。4.2.4员工签署《保密协议》、《保密承诺书》对秘密承担责任。4.3产品研发过程保护控制4.3.1接受客户订单时，当客户提出保密要求后，业务人员须在协议书（合同）或相关资料上注明“保密”字样，并采取有效措施保护协议书（合同）和有关资料。综合部向技术部负责人及时传达客户的保密要求。4.3.2技术部负责人在接到有保密要求的指令后，安排专人保管相关资料，并对研发设计数据、测试数据等相关资料予以妥善保管。工作人员需要查阅该保密的相关资料时，可直接与相关人员或部门联系。4.4产品传送客户要