员工保密管理规定V.1.doc

员工保密管理规定保密等级公开文档名称 员工保密管理规定文档编号JSCA-C-005-2012发布组织JSCA信息安全工作小组发布日期2012年2月13日 执行日期2012年2月13日版 本 号V.1员工保密管理规定批准人签字审核人签字 制订人签字卞永华日期： 2012/2/13程国青日期：2012/2/8姬婼娜日期：2012/2/1江苏省电子商务服务中心有限责任公司 1 / 7员工保密管理规定变更履历序号版本编号或更改记录编号简要说明(变更内容、变更位置、变更原因和变更范围)变更日期变更人审核人批准人批准日期1V.1组织名称和架构变更2012-2-1姬婼娜程国青卞永华2012-2-131.目的为保守公司秘密，维护公司的信息安全和利益，明确员工和公司的信息安全职责，特制定本规定。2 适用范围 公司员工、所有访问敏感信息的承包方人员和第三方人员。以上范围内访问敏感信息的人员，在给予访问信息处理设施权限之前均应签署保密协议。所有公司员工都有保守公司信息安全和秘密的义务，并参与“三保”，即签署保密协议、树立保密观念、掌握保密方法。3.引用标准/名词定义3.1 ISO/IEC 27001:2005。3.2信息安全管理手册。4.职责4.1 各个部门经理负责对违规现象进行调查和取证；负责对违规现象的确认。 4.2 JSCA信息安全管理委员会负责对违规现象进行进一步的审查；提出纪律惩处意见。 4.3 JSCA总经理负责纪律奖惩意见的审批。 4.4人力资源部负责执行和纪律惩处措施并备案。 5.内容及要求5.1信息定义：1.公司秘密是关系公司的利益、由公司确定的、在一定时间内只限一定范围的人员知悉的事项包括但不限于：（1）技术秘密：技术方案、设计方案、测试方案、测试报告、立项报告、会议记录、研发代码、技术报告、测试数据、测试结果、研发样机、操作手册、产品说明、相关的函电等。（2）商业秘密：客户的档案资料、公司营销战略计划、销售策略、各类合同、采购资料、定价政策、招投标资料、进货渠道以及尚未公布的公司产品、服务或技术等。（3）工作成果：乙方在公司期间，无论是工作时间或业余时间，利用公司或公司的资源所获得的与公司利益有关的一切成果：信息、资料、技术、数据、记录、技术文档、工具及源程序等， （4）公司文档数据：凡封面、首页或页面上已明确标有“秘密”、“机密”、“绝密”字样的公司文件和资料；公司内部的财务制度和数据，人事制度和数据，其它管理制度、数据和记录类的函电，公司内部网络上的所有信息；每个员工的内部网络帐号及密码等；2.公司秘密的密级分为公开、秘密、机密及绝密四级。书面材料以加盖密级章方式证明，电子版本的文件在封面列明密级。密级由起草人确定，并可由其上级定级。不同密级文件只能在其受控范围内使用，禁止超出范围传播。3.电子介质的分类请见计算机及网络设备管理程序。 5.2保密职责：1.员工个人对自己起草、使用、保管、知悉的公司秘密承担首要保密责任。2.员工在公司工作期间，必须遵守公司规定的任何成文或不成文的保密规章、制度，遵守公司有关信息安全管理的制度、要求，履行与其工作岗位相应的保密职责。公司的保密规章、信息安全管理制度没有规定或者规定不明确之处，员工亦应本着谨慎、诚实的态度，采取认为是必要、合理的措施，保守秘密。3.除了履行职务的需要之外，未经公司同意，不得以泄露、告知、公布、发布、出版、传授、转让或者其他任何方式使任何第三方知悉公司的秘密信息，也不得在履行职务之外使用这些秘密信息。其中，员工的上级主管人员同意员工披露、使用有关的技术秘密或其他商业秘密的，视为公司同意，除非公司已事先公开明确该主管人员无此权限。第三方包括按照保密制度的规定不得知悉该项秘密的公司其他员工。公司的秘密信息不仅包括属于公司的秘密信息还包括虽属于第三方但公司承诺有保密义务的技术秘密或其他商业秘密信息。 4. 员工在为公司履行职务时，不得擅自使用任何属于他人的技术秘密或其他商业秘密信息，亦不得擅自实施可能侵犯他人知识产权的行为。员工在履行职务时，按照公司的明确要求或者为了完成公司明确交付的具体工作任务导致侵犯他人知识产权的，应事前向公司明确声明。5.如因工作需要，需携带移动设备离开公司办公，如到第三方公司进行技术支持服务、远程或在家办公等，应遵循公司移动计算和远程工作管理程序。6.员工在公司工作期间，非经公司事先同意，不在与公司生产、经营同类产品或提供同类服务的其他企业、事业单位、社会团体内担任任何职务，包括股东、合伙人、董事、监事、经理、职员、代理人、顾问等等。员工离职之后是否仍负有前款的义务，由双方以单独的协议另行规定。7. 公司在员工工因履行职务或者主要利用公司的物质技术条件、业务信息等产生的发明创造、作品、计算机软件、技术秘密或其他商业秘密信息，有关的知识产权均属于本公司。员工应当根据公司的要求，提供一切必要的信息和采取一切必要的行动，包括申请、注册、登记等，协助公司取得和行使有关的知识产权。8.员工在公司工作期间所完成的、与公司业务相关的发明创造、作品、计算机软件、技术秘密或其他商业秘密信息，员工主张由其本人享有知识产权的，应当及时向公司申明。经公司核实，认为确属于非职务成果的，公司可出具相关证明材料，由员工享有知识产权。员工没有申明的，推定其属于职务成果，公司可以使用这些成果进行生产、经营或者向第三方转让。即使日后证明实际上是非职务成果的，员工亦不得要求公司承担任何经济责任。员工申明后，公司对成果的权属有异议的，可以通过协商解决；协商不成的，通过诉讼途径解决。9. 公司员工离职后仍对其在职期间接触、知悉的属于公司或公司以外但公司承诺有保密义务的技术秘密和其他商业秘密信息，承担保密义务。而无论员工因何种原因离职。直至公司宣布解密或者秘密信息实际上已经公开。员工认可，公司在支付员工的技术奖励或工资报酬时，已考虑了员工离职后需要承担的保密义务，故在员工离职时不再另外支付保密费。10.员工应当于离职时或公司提出要求时，返还记载着公司秘密信息的一切载体。但当记录着秘密信息的载体是由员工自备的，且秘密信息可以从载体上消除或复制出来时，公司可将秘密信息复制到公司享有所有权的其他载体上，并将原载体上的秘密信息消除。5.3机密授权及监管：1. 机密信息的许可使用，及签署者使用信息的权力采用逐级签核制：绝密信息由总经理授权，机密信息由公司副总经理授权，秘密信息由部门经理授权。对访问权限的授权请见访问控制程序；2.对涉及机密信息的活动的审核和监督实行逐级负责制，主管有义务定期对下属的行为进行审计，每级主管都对下属的保密职责进行监督并承担连带责任。3.安全违规通报：按照公司信息安全奖惩管理规定，直属主管发现员工安全违纪行为应立即上报。同时，公司员工有义务发现未授权泄露或机密信息破坏的的行为，直接汇报给自己的直属主管。直属主管根据情况向经理、相关部门经理进行汇报。当情节严重时，可以向总经理进行汇报。4.违规验证：在不影响工作的情况下，部门经理负责收集相关事实，确认违纪行为的真实性。如为确实的违纪，应通过技术手段收集充分的证据。并如实向公司信息安全管理委员会通报，由信息安全管理委员会对违规现象进一步审查，提出纪律惩处意见。5.安全违规的处理5.1 根据违规的性质，重要性和对于业务开展的影响；相关法律、业务合同和公司声誉等由公司信息安全管理委员拟定处理意见报委员会委员逐级签核最后经总经理批准后执行。对于严重的明知故犯，应立即免职、删除访问权限和特殊权限。如果需要，由相关负责人直接带离现场。5.2员工如违反规定，应当一次性向公司支付本人两个月的工资作为违约金；无论违约金给付与否，公司均有权不经预告立即解除与员工的聘用关系。5.3员工的违约行为给公司造成损失的，员工应当按照公司的实际损失进行赔偿，实际损失低于违约金的，按照违约金进行赔偿。违约金不能代替赔偿损失，但可以从损失额中抵扣。5.4若员工违反上述承诺而导致公司遭受第三方的侵仅指控时，员工应当承担公司为应诉而支付的一切费用；公司因此而承担侵权赔偿责任的，有权向员工追偿。上述应诉费用和侵权赔偿可以从员工的工资