公司保密体系建设.doc

.公司保密体系的构建随着公司规模的扩大及业务的拓展，公司对保密工作的需求越来越强烈，为企业发展构建安全屏障成为亟需解决的问题，结合公司的实际情况考虑保密体系的建设，不能单单依靠技术层现实现保密的作用，而应该将公司管理、业务流程及技术手段结合起来，用制度约束人，进而形成新的安全运作模式。一、保密体系的目标由于公司的性质及保密程度的高低，建立一个以预防发现和消除泄密隐患为主的保密体系，将保密制度及保密手段渗透到业务流程的各个环节，减少不必要的可能发生泄密的环节，而且一旦发生泄密情况，以责任人为点，业务流程为线，能够在最短时间找到泄密点加以补救或惩罚责任人。保证公司的业务运行终处于受控状态，使保密管理无缝隙、无漏洞，将保密管理工作纳入系统化、规范化、效率化的轨道。二、保密体系的构建（见附件一）综合保密体系的目标，拟从六个方面构建我公司的安全保密体系：保密管理宣传教育体系、保密管理规章制度体系、保密管理组织机构体系、保密管理定密工作体系、保密管理技术防护体系、保密管理监督检查体系。具体如下：（一）保密管理宣传教育体系作为公司发展的安全屏障，加强安全保密教育培训，加强信息安全基础知识及防护技能的培训，尤其是个人终端安全技术的培训，以便提高受培训人员的安全保密意识，以及检查入侵、查处失泄密事件的能力。保密管理宣传教育体系可分为三个部分组成：1、入职岗前培训。对新员工进行公司企业文化培训，普及一般的保密规定。此培训可由人力资源制定、实施；2、转职岗中培训。各部门根据工作需要制定本部门切实有效的培训内容，对转入人员的岗位职能及可能涉及的保密事项予以集中培训。3、涉密工作培训。公司机要部门或重要涉密岗位的专门培训，对于特殊职务人员可签订竞业禁止协议。（二）保密管理规章制度体系以制度约束人，建立系统、规范、有效的保密体系需要全面可行的管理制度，故而保密管理规章制度体系是整个保密体系的核心，考虑到各职能部门的业务内容，建议由各职能部门根据岗位职能及工作性质制定安全有效的管理制度和工作流程。在此可分划为如下几个部分：公司保密管理制度、领导干部保密制度、机要部门及各职能部门保密制度、文件档案管理制度及涉密计算机及移动存储介质使用管理制度。1、公司保密管理制度。（见附件二）适用于全体员工，可作为入职培训的内容之一，属于普适的一类制度。2、领导干部保密制度。（见附件三）此领导干部主要指部门主管、分管副总以及总经理等必须涉及保密事项的领导，关系到公司决策内容及重要业务的严密性。3、各职能部门保密制度。由各部门自行制定严密可行的制度规范，并严格执行。4、文件档案管理制度。公司文件原件统一归文件档案管理部门整理归档，由该部门制定管理制度，根据文件密级、重要性不同分别制定不同的管理制度。5、涉密计算机及移动存储介质使用管理制度。（见附件五）从信息安全管理的角度，为保护涉密信息，消除或降低泄密风险，制订相关使用规范，例如：禁止（工作或技术人员）将涉密软盘或移动存储设备带出涉密场所；严禁（使用人员将）涉密计算机（连）上互联网；不允许（参观人员）在涉密场所拍照、录像等。（三）保密管理组织机构体系建立健全与公司业务发展相适应的安全保密工作组织机构体系，集中和优化保密资源，在公司业务发展过程中自动启动保密工作流程，在不影响工作效率的情况下提高业务的保密程度，进而预防商业泄密的发生。公司涉密工作监督检查小组成员主要有：总经理（负责公司所有事项的最终决策）；主管副总（负责定密及具体业务事项的复审工作）；各业务部门经理（负责密级建议及业务初审）；档案管理部门（根据密级不同分发传阅公司决策或存档文件）。其结构及工作流程图如下：总经理（负责公司所有事项的最终决策）划分业务密级各业务部门经理（负责密级建议及业务初审）根据密级上报工作各项工作承办责任人（负责具体业务工作的实施）发文或传阅发文或传阅划分密级后颁布档案管理部门（根据密级不同分发传阅公司决策）业务工作审批公司决策文件各主管副总（负责定密及具体业务事项的复审工作）业务工作审批（四）保密管理定密工作体系公司中所涉业务量较大，根据信息的重要程度对所涉及的商业秘密进行定密划分并根据相应密级制定具体工作流程，本定密体系将可能涉及的商业秘密划分为绝密、机密及秘密三类，根据密级的不同规定了相应的保密工作流程，泄密处罚方式等规定，具体规定见附件二。商业秘密的密级和保密期限一经确定，应当在秘密载体上作出明显标志。标志由主要承办负责人、密级、保密期限三部分组成。商业秘密需变更密级、保密期限、知悉范围或者在保密期限内解密的，由业务承办部门拟定，主管副总审批，档案管理办公室备案。保密期限已满或者已公开的，自行解密。商业秘密的密级、保密期限发生变更，应当在原标明位置的附近作出新标志，原标志以明显方式废除。保密期限内解密的，应当以能够明显识别的方式标明“解密”的字样。总体来说，公司商业秘密可分为两个部门：一是自下而上的业务部门所涉及的商业秘密；二是自上而下形成的公司经营性、战略性的管理文件、信息等机要秘密。根据此两种商业秘密的形成及执行情况的不同，可分别设定如下定密工作流程：1、 自下而上的业务秘密。公司业务部门所涉商业秘密及其密级、保密期限和知悉范围，由该事项主要承办业务部门拟定，主管副总审批，档案管理部门备案。2、 自上而下的重要秘密。公司发展方向、业务拓展等由公司高层领导决定实施的商业机密，由公司总经理根据事项的重要程度予以划定密级，由所涉主管副总根据密级不同指导相关部门或人员予以执行。企业根据工作需要严格确定商业秘密的知悉范围。知悉范围应当限定到具体岗位和人员，并按照涉密程度实行分类管理。（五）保密管理技术防护体系企业与员工签订的劳动合同中应当含有保密条款。企业与涉密人员签订的保密协议中，应当明确保密内容和范围、双方的权利与义务、协议期限、违约责任等。企业应当根据涉密程度等与核心涉密人员签订竞业限制协议，协议中应当包含经济补偿条款。对涉密岗位较多、涉密等级较高的部门（岗位）或区域，应当确定为商业秘密保护要害部门（岗位）或者涉密区域，加强防范与管理。加强涉及商业秘密的计算机信息系统、通讯及办公自动化等信息设施、设备的保密管理，保障商业秘密信息安全，做好涉密计算机及移动存储介质的技术防护工作。（六）保密管理监督检查体系如发生商业