保密工作的具体事务处理

任务二　保密工作的具体事务处理

企业保密工作应以国家相关法律法规为依据，坚持“预防为主、突出重点、便利工作、保障安全”的方针，着重做好以下几个方面的具体工作。

一、成立保密工作的机构

保密工作是一项专业性和群众性都很强的工作，在充分发动广大员工做好保密工作的同时，办公室应辅助领导建立健全各级保密工作的组织机构。成立企业保密工作委员会，负责企业保密具体事务，依法组织开展商业秘密保护教育培训、保密检查、保密技术防护和泄密事件查处等工作。有条件的企业应当配备专职保密工作人员，负责商业秘密保护管理。企业内部的科技、法律、知识产权等业务部门按照职责分工，负责职责范围内商业秘密的保护和管理工作。

在各业务部门确定保密员，主要负责所在部门的具体保密工作。保密员应根据企业保密工作委员会对保密工作的要求和本部门负责人意见，草拟、收集、保管有关保密信息和内部资料，并对本部门人员保密制度的执行进行监督。

二、确定企业秘密事项

1.确定本企业商业秘密的保护范围。一般企业商业秘密主要包括：战略规划、管理方法、商业模式、改制上市、并购重组、产权交易、财务信息、投融资决策、产购销策略、资源储备、客户信息、招投标事项等经营信息；设计、程序、产品配方、制作工艺、制作方法、技术诀窍等技术信息。

2.企业应及时拟定本企业商业秘密及其密级、保密期限和知悉范围，并根据企业发展变化及时进行变更调整。

3.一般根据泄露会使企业的经济利益遭受损害的程度，将企业密级确定为核心商业秘密、普通商业秘密两级，密级标注统一为“核心商密”、“普通商密”。

4.设定商业秘密的保密期限。可以预见时限的以年、月、日计，不可以预见时限的应当定为“长期”或者“公布前”。

5.企业商业秘密的密级和保密期限一经确定，应当在秘密载体上做出明显标志。标志由权属（单位规范简称或者标识等）、密级、保密期限三部分组成。

6.企业根据工作需要严格确定商业秘密知悉范围。知悉范围应当限定到具体岗位和人员，并按照涉密程度实行分类管理。

7.商业秘密需变更密级、保密期限、知悉范围或者在保密期限内解密的，由业务部门拟定，主管领导审批，办公室备案。

8.商业秘密的密级、保密期限变更后，应当在原标明位置的附近做出新标志，原标志以明显方式废除。保密期限内解密的，应当以能够明显识别的方式标明“解密”的字样。

三、建立保密工作制度

制度是保密工作的保证，企业应根据新形势、新技术条件，在《保密法》及其《实施办法》所规定的要求下，建立健全保密工作制度。保密制度应包括保密范围和密级确定、保密措施、保密守则等内容。可以根据企业工作实际分项制定办公室工作人员保密守则、文书工作保密制度、会议保密制度、涉密档案管理办法等具体制度。

四、企业秘密保护的措施

常见的企业秘密保护措施有：

1.企业与员工签订的劳动合同中应当含有保密条款。

2.企业与涉密人员签订的保密协议中，应当明确保密内容和范围、双方的权利与义务、协议期限、违约责任。

3.企业应当根据涉密程度等与核心涉密人员签订竞业限制协议，协议中应当包含经济补偿条款。

4.企业因工作需要向各级国家机关，具有行政管理职能的事业单位、社会团体等提供商业秘密资料，应当以适当方式向其明示保密义务。所提供涉密资料，由业务部门拟定，主管领导审批，办公室备案。

5.企业涉及商业秘密的咨询、谈判、技术评审、成果鉴定、合作开发、技术转让、合资入股、外部审计、尽职调查、清产核资等活动，应当与相关方签订保密协议。

6.企业在涉及境内外发行证券、上市及上市公司信息披露过程中，要建立和完善商业秘密保密审查程序，规定相关部门、机构、人员的保密义务。

7.对涉密岗位较多、涉密等级较高的部门（部位）及区域，应当确定为商业秘密保护要害部门（部位）或者涉密区域，加强防范与管理。

8.企业应当对商业秘密载体的制作、收发、传递、使用、保存、销毁等过程实施控制，确保秘密载体安全。

9.企业应当加强涉及商业秘密的计算机信息系统、通讯及办公自动化等信息设施、设备的保密管理，保障商业秘密信息安全。

10.企业应当将商业秘密保护工作纳入风险管理，制定泄密事件应急处置预案，增强风险防范能力。发现商业秘密载体被盗、遗失、失控等事件，要及时采取补救措施，发生泄密事件要及时查处并报告国务院国资委保密委员会。

11.企业应当对侵犯本单位商业秘密的行为，依法主张权利，要求停止侵权，消除影响，赔偿损失。

12.企业应当有一定的经费保证用于商业秘密保密教育、培训、检查、奖励及保密设施、设备购置等工作。

五、企业秘密承诺管理

1.企业所有成员（无论何种用工形式）在上岗或离岗时均须签订《保密承诺书》。在岗人员还应在年度述职或工作总结中对保密承诺执行情况作出说明。

2.《保密承诺书》内容一般包含三部分。第一部分为“单位”、“姓名”、“职务（岗位）”、“涉密等级”及承诺书编号；第二部分为“保密守则”；第三部分为保密承诺。保密承诺须本人亲自签名，并注明签订日期。

3.企业根据员工工作岗位接触、知悉企业秘密的程度确定人员涉密等级。企业董事会董事、高级管理人员、办公室机要文件收发及档案管理等界定为“重要涉密人员”；其他人员界定为“一般涉密人员”。在岗位调整时涉及涉密等级变化的人员，应在及时调整涉密等级的同时进行涉密期限的管理。

4.企业可根据需要补充保密承诺相关内容，或增订专项保密承诺内容。

六、文书资料保密管理

1.办公室文书（保密员）对收到的文件要认真登记、编号，按规定的范围和程序传阅、办理。其中具有“秘密”级以上文件，要及时送上司阅示，紧急密件、密电要随到随送、不过夜，阅后及时退回办公室，按保密规定保存或送缴发文单位。

2.属企业绝密、机密内容的电子文档必须要用专用磁盘。绝密纸质文件只能打印一份，由起草人送有阅文资格的人员传阅，阅完后由起草人收回归档，保存在具有保险防护装置的橱柜内。机密文件和资料，由起草人根据批阅人要求按审阅人数确定打印份数，并对每份进行编号后登记发放，阅完后由起草人收回归档，保存在具有保险防护装置的橱柜内。秘密文件、资料由办公室文书（或部门保密员）根据要求确定打印份数、登记发放，由阅文人妥善保管，最后按档案管理制度立卷归档。

3.“秘密”以上文件未经企业领导批准，不得查阅、复印和严禁携带外出；经领导批准，查阅时要做好查阅登记工作。

4.妥善保管秘密文件、内部资料，不在不利于保密的地方存放秘密文件、内部资料。

5.当公开企业信息、资料时，凡涉及企业内部统计数字、资料的，必须经领导同意。

七、会议与活动保密管理

具有属于企业秘密内容的会议和其他活动，应采取下列保密措施：

1.选择具备保密条件的会议场所，严禁使用无线话筒传达和向室外扩音。

2.根据工作需要，限定参加会议人员的范围，对参加涉及密级事项会议的人员予以指定。

3.周密规定使用会议设备、管理会议文件。

4.确定会议内容是否传达及传达范围。

5.凡规定不准记录的会议内容，与会人员不得记录。

6.与会人员不得以任何形式对外泄露会议秘密内容，不得公开报道会议秘密事项。

7.会议结束后，要对会议场所进行保密检查，查看有无遗失的文件、资料、笔记本等。

8.与会人员进入涉密会议会场前要关闭手机，未经批准，不得将通讯工具以及具有录音、录像、拍照等信息存储的设备带入涉密会场。

八、电子信息保密管理

随着办公现代化的普及，用计算机、电子网络处理、传输企业内部信息和资料已成为日常工作，因此电子信息涉密管理日显重要。企业应对计算机、局域网的保密管理做出规定。

1.企业资产管理部门负责计算机的添置，并对计算机进行登记备案，建立计算机台账。

2.企业涉及秘密的计算机由专人保管，按有关规定管理使用，并做到与国际互联网脱离。

3.企业一般应专设一台涉及公司秘密及内部资料的计算机，不与任何网络连接，按有关规定操作和储存信息，定期对信息进行光盘刻录，登记编号保存。

4.各部门计算机由使用人员做好设备的日常清洁、维护工作。计算机使用人员对所使用计算机设置并保管开机密码和屏保密码。密码由所在部门保密备份一份，以防遗忘。

5.计算机使用人员不得使用来历不明的软盘或光盘，禁止在计算机上传播含有反动、黄色淫秽内容的信息。未经企业领导同意，不得将企业文件和数据拷贝或传输给其他单位或个人。

6.计算机应安装正版杀毒软件，计算机使用人员应定期对所使用的计算机扫描杀毒，如遇清除不了的病毒或其他故障，及时报告，由办公室安排专业人员进行杀毒或维修。

7.企业局域网安装硬件防火墙和路收器，通过技术手段物理隔离病毒和计算机上网管理，局域网机房由专人管理，保持机房整洁。如有故障报请办公室安排专人进行维修，其他人员未经许可不得入内。

8.在计算机上处理涉及公司内部秘密信息时，该计算机必须切断与互联网的联通，用后及时存储到专用可移动介质（移动硬盘），当处理结束后可移动介质应及时在计算机上移除，做到“计算机不涉密，可移动磁介质不联网”。

9.企业可为各职能部门配备可移动介质（移动硬盘），指定专人妥善管理，进行统一登记编号和密级标积；各职能部门定期将保密信息在公司保密计算机进行备份，以防资料的丢失；报废涉密硬盘及可移动存储介质，按涉密载体管理的有关规定统一上交集中销毁。

10.企业网站是公司宣传企业形象的重要窗口，在及时上传公司新闻等信息时，由专人填写公司网站上传信息登记审批表，经公司总经理或总经理授权人员审批同意后，由专人负责上传。

九、手机保密管理

手机等移动通信工具的广泛使用，给工作带来很大方便，但是随着信息技术的发展，手机的功能越来越多，泄密隐患也越来越多。因此，必须加强手机保密工作。

1.企业涉密人员不得在手机通话中涉及企业秘密事项，不得发送涉及企业秘密事项的信息。

2.核心涉密人员、重要涉密人员应尽可能配备和使用专用手机，使用的手机应经过必要的安全检查。不得使用未经入网许可的手机和开通位置服务、连接互联网等功能的手机；不得使用他人赠予的手机。

3.核心涉密人员、重要涉密人员的手机出现故障或发现异常情况时应立即报告，并在指定地点维修。无法修复使用的，应按涉密器材销毁。

4.涉密场所的手机使用保密管理必须明确要求，落实责任，完善设施。核心涉密场所禁止带入手机。重要涉密场所禁止使用手机。一般涉密场所限制使用手机。因特殊原因带入的，手机要取出电池或采取屏蔽措施。

◎技能训练

训练一　案例讨论

一、训练目标

通过案例分析与训练，熟练掌握企业保密工作的技能。

二、训练方案与要求

商业机密被盗　企业产品滞销

我市不少企业为商业泄密困扰

商业机密是我市许多企业赖以生存和发展的法宝。但记者在调查中了解到，商业泄密事件正在不断地困扰着我市不少企业，企业为此已蒙受巨大的经济损失。

商业泄密已出现多种类型

对商业泄密，曾有人打趣说，“世界上有三个秘密是人们不知道的：英国女王的财富，巴西球星罗纳尔多的体重和可口可乐的秘方。”事实上，商业泄密者已在经济活动当中无孔不入。据了解，我市企业当中出现的商业泄密事件也出现多样化。

一、亲属暗盗商业机密。永康有一家生产机械配套产品的企业，所生产的配套产品专供重庆一家整机生产厂家。本月初，企业老总发现重庆厂家不断向他的产品压价。他才想起，上月负责生产配套产品的两名工作人员不辞而别，其中一名还是他的亲戚。

通过四处打听，他了解到这个亲戚已在武义租了一座厂房，生产和他一模一样的产品。当初考虑到是自己的亲戚，这名企业老总就将产品图纸全部交给这名亲戚管理。在管理过程中，这名亲戚就私自将产品图纸复印了一份，偷偷盗走了这名企业老总的商业机密。

二、配套厂家窃密。方小东（化名）在东阳创办了一家木制品生产企业。这种木制品需要多个部件，他就将其中的几个部件请其他厂家加工生产。今年初，他发现其中的一家配套厂家开始生产跟他同样的产品，而且以比他产品更低的价格投放市场，他的产品销量迅速下降。

原来，这家配套厂家的业主常跑到他的厂里，了解这种木制品的整个生产过程和其中的工艺。当初，方小东并没有想到这家配套厂家的业主是早有预谋的。

三、管理人员带着“联络图”跳槽。这是在我市企业常发生的一种商业泄密现象。同类企业之间常用高薪为诱饵，“钓”走竞争对手的管理人员。在这些频繁跳槽的管理人员口中了解到对手的商业机密。

不少业主不知如何保密

从这些商业泄密事件中可以看出，我市不少业主还不懂得如何保护自己的商业机密。在我市规模以上的企业当中，业主都会跟员工或配套厂家签订保密协议。但一些小型企业的保护意识十分缺乏。昨日，方小东就说，这家配套厂家的业主跟他是多年的朋友，考虑到是朋友关系，他压根就没有考虑到要对朋友保密。

一旦发生商业泄密事件，我市不少业主不知如何去维护自身的权益。从今年年初开始，永康某日用五金厂的业主就托人到公安等部门反映自己的员工盗走商业机密的事。直到本月中旬，他的事才得到圆满解决。这时，他才知道，这类事情只要到劳动仲裁部门就可以了。永康仲裁部门已要求那名盗走商业机密的员工支付数万元违约金，并要求这名员工在五年内不得从事跟这名业主相类似的生产经营活动。（信息来源：《金华日报》，2007年05月30日）

分析思考：

1.通过案例分析，谈谈我国企业在商业秘密保护方面存在哪些问题？

2.结合你所掌握的企业保密工作知识，分别针对三则案例中的问题提供一些解决方案。

◎知识拓展

资料阅读：全球企业的信息保密

融合一家企业的传统方法是让员工在同一幢大楼里办公，而信息科技已经动摇了这一点。通过互联网连接起来的廉价计算网络，已在很大程度上改变了工作的组织方式，促使企业高管和政策制定者们努力探究随之而来的机遇与后果。其中一个后果，就是旨在保护商业信息隐私和安全的大战。如今，企业花费数十亿美元来应对10年前想不到的风险。

就在几年前，惠普（Hewlett-Packard）还把产品设计师与营销、制造人员安排在同一块办公地点。研发人员可以把正在研发的产品从楼梯上搬下来，到装配线上制作原型并进行试验。营销人员可以在午饭时间和设计工程师打一场排球，其间双方会交换有关客户需求或竞争威胁的想法。

而今天，这些人中有许多在一个扩展了的企业工作，企业由分布在全球的多个公司组成，彼此通过网络交流。通过网页浏览器，设计师就能为远在地球另一边的工厂实施工程上的修改，采购员就能更动供应商订单，供应链经理就能监督工厂的生产状况，客户工程师就能协调货物的交付。此等互动环节中的每一个，都有可能被人观察或破坏，对方可能是寻求刺激的年轻黑客，也可能是为了追逐竞争优势而更为别有用心的人。

这些变化并不局限于科技公司。互联网戏剧性地增进了企业把工作转移到最高效率地点的能力。例如，沃尔玛（Wal-Mart）已将许多传统的零售功能转移给它的供应商，采用电子通讯手段协调日常采购和供应链规划。而通用汽车（General Motors）之类的汽车制造商，则把产品设计职能推给了供应商，双方通过网络交换设计信息。

由于大企业纷纷采用外包和其他削减成本的方法，它们正面临新的风险，包括供应中断和延误，共享的知识产权被盗，以及令客户失望。这些大企业整合了针对不同部门的应用系统，如制造、分销、财会和人力资源等。来自不同公司的成员组成虚拟团队，运用一系列个人设备进行交流，包括笔记本电脑、个人数字助理和手机等，而这些往往造成易受攻击的新的薄弱环节。

许多老式的制造控制应用程序，都是依照独立运行模式开发的，很少顾及安全问题。将这些应用程序与其他系统整合起来，就可能造成安全漏洞。同样，当两家公司为了加快信息流动而把它们的网络连接起来时，由于网络安全设置上的差异，两个网络间仿佛有一扇虚拟旋转门，这又是一个安全漏洞。一个整合网络的风险级别，往往取决于其中安全系数最低的企业。

在全球范围追踪和管理工作流，本来就已不易，而一旦外包，则工作及相关信息就会迅速流向供应商的供应商，甚至更远。在这种情况下，企业可能涉及几千家公司。

雷神飞机公司（Raytheon Aircraft）对此深有体会。该公司是防务承包商“雷神”的一家子公司。去年夏天，它与国际商业机器公司（IBM）签订了一份实施其企业软件项目的外包协议。当IBM表明，为了压低成本，它打算利用印度的承包商时，雷神的高管立刻意识到自己遇到了问题。由于该项目涉及有关飞机设计的敏感数据，如果按原计划履行合同，那么该公司将违反美国法规。为了保住这桩交易，IBM同意，在开发出一套安全管理系统之前，它会把这个项目留在美国本土完成。

从收件箱里删除中毒的电子邮件，已成了人们的一项例行公事，仿佛是开始又一天工作的仪式之一。然而，我们很容易对这些小小的安全疏漏视熟视无睹，将其视为互联网时代的小麻烦。事实上，小失误往往会导致极为严重的后果。

那些指望用科技解决安全问题的人将会失望，因为就连那些出售技术解决方案的企业都会立刻承认其不足。今年5月在塔克商学院（Tuck Business School）举行的一次峰会上，来自各行各业的首席信息官都同意这样一种看法：信息安全是一个管理问题，应对这个问题需要结合企业文化、教育以及有效的风险评估。

80年代，当许多欧美制造商面临与日本越来越大的质量差距时，它们发现，质量的突破不能由质控部门单独实现，而必须成为整个企业文化的一部分。同样，安全是每个人的责任。企业管理者不能消极待命，坐等信息安全警察的保护。信息主管必须阐明风险，而高管必须权衡这些风险。

思科公司（Cisco）的首席信息官布赖德・波斯顿（Brad Boston）描述了他的部门如何从交通警角色（即对管理者的要求作出肯定或否定答复），转变为帮助管理者作出好的决策。“我们的职责，是指明风险以及此等风险所构成的实际威胁，并告诉他们各种应对方案。然后，他们会作出有关哪些风险可以接受，哪些风险不能接受的商业决策。”

企业上下的每一层都负有这种责任，直至董事会。一位首席信息官抱怨说，当他向董事会演示最新的IT应用技术时，董事们的眼睛发亮了。而当他谈到安全问题时，他们就心不在焉。董事会内部有成员了解各种风险，并能帮助其他成员看到此等风险，对于有效的IT管理是至关重要的。

如何在企业内开展IT安全风险知识的教育呢？首先，此种教育应针对具体职能并具有相关性。有太多安全管理者只是在散布恐慌心理，大喊狼来了以提高人们的意识。这种做法在短期能够赢得注意力，但没有长期效果。对首席信息官来说，要赢得并维持其他高管的信心，就需要从商业角度阐明风险和机遇，而不仅仅是预报厄运。

嘉吉公司（Cargill）的全球信息保护经理斯哥特・戴（Scott Day）向人们介绍了这一农业集团是如何划分其培训的。“我们识别了各种角色，以及担当这些角色的业务部门领导。业务经理需要知道什么？他的决策权将如何受到影响？我们之所以开展这项工作，是因为我们认为这么做有助于将此种知识融入企业文化。当每个人都知道自己的职责，以及自己须如何负责时，他们就会去准备自己需要的东西，并确保自己不会落伍。”

其次，在扩展了的企业中实现安全保障，需要对供应商和客户都进行仔细审查，换句话说，要对他们构成的安全风险进行持续评估。应向他们提供相关的风险警告，并鼓励他们改进安全工作。例如，许多金融企业要求客户使用最新版本的网页浏览器，这既保护了自己，也保护了客户。

有时候，保护扩展了的企业，意味着不与那些风险超过潜在效益的公司合作。富达公司（Fidelity）管理研究部的首席信息官吉姆・麦克唐纳（Jim MacDonald）表示，信息安全方面的问题，已经影响到该公司对合作伙伴的选择。

“对我们来说，与那些小型科技公司极富创意的系统合作是一个问题。我们喜欢那些公司，因为它们能帮助我们获得竞争优势，”他说道，“（但）当我们进入这些公司做安全评估时，（我们发现）安全往往不是这些公司重视的领域，而是它们的不足之处。对于是否与这类公司合作，我们的决定要更慢：我们看到了它们的技术，棒极了，但他们就是（对安全）重视不足。”

根据IT安全风险来评价供应商，与评估他们的财务风险或质量同样重要。正如通用汽车的供应链主管马克・希尔姆（Mark Hillman）所说的：“如果你有许多外包项目，那你就得戳一戳每一个人。”在这里“戳”是指评估信息安全风险，然后监督这种风险，如同监督这家供应商可能带来的任何其他风险。这意味着确保供应商在接入你的系统时不会损害你的网络安全，确保它们的安全措施足以保护你与之共享的知识产权。在一个扩展企业的新世界里，安全问题决不能被掉以轻心。（信息来源：《金融时报》M.艾瑞克・约翰逊）