办公室保密管理制度

办公室保密管理制度本制度适用于本公司全体在职员工、劳务派遣人员、项目外包人员、实习人员，以及因业务往来需要进入办公区域的合作方人员、访客、临时服务人员，所有涉及本公司保密信息的主体均需严格遵守本制度要求。第一章保密范畴与密级界定1.1保密信息基本范畴本制度所指保密信息，指所有未通过公司官方渠道公开、能够为公司带来经济利益、具有实用性且公司采取了保密措施的各类信息，具体涵盖以下类别：（1）经营决策类：包括公司中长期战略规划、年度经营目标、未公开的业务布局计划、并购重组方案、投融资谈判内容、投标文件及报价底线、核心客户名单及合作细节、渠道合作政策、未公开的市场推广方案、竞品分析内部报告、重大项目的谈判预案等。（2）技术研发类：包括未公开的产品迭代计划、核心技术源代码、算法模型、技术专利申请材料、产品测试报告、技术研发台账、核心技术参数、技术合作的核心约定、尚未对外发布的产品功能设计稿及原型图等。（3）财务资产类：包括未公开的季度/年度财务报表、预算决算数据、成本核算明细、纳税申报核心数据、员工薪酬核算标准、供应商报价清单、公司资产盘点涉密数据、对外担保及负债情况、未公开的政府补贴申请材料等。（4）人事管理类：包括未发布的组织架构调整方案、人员任免通知、核心员工竞业限制协议内容、员工薪酬体系及个人薪酬数据、核心岗位招聘计划、内部人才盘点报告、员工投诉及调查未公开材料、劳动争议处理预案等。（5）行政运营类：包括公章用印涉密记录、未公开的办公场地搬迁方案、保密设施布局及运行参数、内部涉密会议纪要、安全保卫核心预案、重大突发事件的内部处置方案、举报人的身份信息及举报材料等。（6）其他约定类：包括与合作方签署的保密协议中约定需保密的第三方信息、监管部门要求限制知悉范围的报送材料、公司明确标注保密标识的其他各类信息。1.2密级划分标准所有保密信息按照泄露后对公司造成的影响程度，划分为核心涉密、重要涉密、普通涉密三个等级：（1）核心涉密：指泄露后会导致公司核心竞争力受损、遭受重大经济损失（100万元以上）、面临重大法律风险或品牌声誉严重受损的信息，包括但不限于公司战略规划、核心技术源代码、并购重组方案、年度经营核心目标、投标最终报价等。（2）重要涉密：指泄露后会导致公司经济损失（10万元以上100万元以下）、业务开展受阻、合作权益受损的信息，包括但不限于核心客户合作细节、未公开的产品研发方案、薪酬体系标准、财务季度未披露数据、投标文件初稿等。（3）普通涉密：指泄露后会对公司正常运营造成一定影响、产生潜在经营风险的信息，包括但不限于内部部门级未公开会议纪要、普通供应商报价清单、常规项目的内部推进计划、未正式发布的行政通知等。1.3保密标识规范所有涉密载体需在显著位置标注密级及保密期限，核心涉密信息标注“核心涉密·保密期限X年”，重要涉密标注“重要涉密·保密期限X年”，普通涉密标注“普通涉密·保密期限X年”，未标注保密期限的默认按照对应密级最高期限管理，核心涉密默认保密期限10年，重要涉密默认5年，普通涉密默认2年。第二章保密责任主体划分2.1层级责任划分（1）公司法定代表人为保密工作第一责任人，全面负责公司保密工作的统筹部署，审批保密工作重大事项及核心涉密信息的流转权限。（2）分管行政运营的副总经理为保密工作直接责任人，负责监督保密制度的落地执行，审核保密管理工作计划，协调泄密事件的处置工作。（3）各部门负责人为本部门保密工作第一责任人，负责向部门员工传达保密制度要求，审核本部门涉密信息的流转申请，监督本部门员工的保密行为，及时上报本部门发现的泄密隐患。（4）公司设立保密管理办公室（以下简称“保密办”，挂靠总经办），配置2名专职保密管理人员，具体负责保密制度的修订完善、保密培训组织、保密日常检查、涉密载体全生命周期管理、泄密事件的调查处置等日常工作。2.2员工通用保密责任（1）严格遵守公司保密制度要求，不打听、不传播、不复制非本职工作范围内的涉密信息，仅在工作必要范围内知悉对应等级的涉密信息，不得超出权限申请查阅涉密内容。（2）妥善保管自身接触到的各类涉密载体，离开工位时需将纸质涉密文件锁入文件柜，办公电脑自动锁屏时间设置不超过5分钟，锁屏密码需包含大小写字母、数字及特殊字符，长度不少于8位，每90天更换一次，不得将锁屏密码告知他人。（3）不得使用私人微信、QQ、邮箱等非公司指定的通讯工具传输、存储涉密信息，不得在私人社交媒体平台（包括朋友圈、抖音、小红书、微博等）发布任何涉及公司未公开信息的内容，包括但不限于办公环境照片、内部会议截图、未上线产品的相关内容。（4）发现泄密隐患或泄密事件时，需第一时间向保密办上报，不得隐瞒或擅自处置，配合保密办的调查工作。（5）离职时需全部交回所持有的各类涉密载体，包括纸质文件、电子存储设备、系统账号权限等，签署离职保密承诺书，严格遵守离职后的保密义务及竞业限制约定。2.3外部人员保密责任（1）合作方人员因业务需要进入办公区域的，需提前在行政部报备，签署访客保密承诺书，由对接部门员工全程陪同，不得进入核心涉密办公区域，不得随意翻阅办公区域的文件资料。（2）外包服务人员（包括保洁、维修、IT外包等）需与公司签署保密协议，明确保密义务，进入核心涉密区域作业的，需由保密办审批，安排专人全程监督。（3）外部访客进入办公区域需佩戴访客证，随身携带的电子设备需按要求存放至指定寄存柜，不得私自拍摄、录音。第三章涉密载体全生命周期管理载体类型密级划分制作要求流转要求存储要求销毁要求纸质载体（含文件、合同、报表、设计稿等）核心涉密需在保密办指定的涉密打印机打印，标注唯一编号及密级标识，制作过程中产生的废页需当场粉碎，制作完成后第一时间交保密办登记归档，不得留存多余副本流转需全程走线下审批流程，由核心涉密信息的知悉人提交申请，经总经理审批同意后，仅可在指定办公区域阅读，不得带出、不得复印、不得摘抄，借阅时间不超过2小时，需由保密办人员全程在场监督存放于保密办的密码保险柜中，保险柜钥匙由2名保密管理人员分别保管，需两人同时在场方可开启保险柜需由2名保密管理人员共同监销，采用粉碎+熔浆的方式销毁，销毁后填写销毁登记台账，留存销毁现场照片，不得作为废品出售或随意丢弃纸质载体（含文件、合同、报表、设计稿等）重要涉密可在部门指定的打印机打印，标注密级标识及编号，制作完成后1个工作日内交部门涉密管理员登记台账，多余副本需当场粉碎流转需提交涉密载体借阅审批表，经分管副总经理审批同意后，可在本部门办公区域阅读，如需复印需经审批，复印后的副本需按照原件等级管理，借阅时间不超过1个工作日存放于部门带锁的专用文件柜中，由部门涉密管理员负责保管，文件柜钥匙不得转借他人需由部门涉密管理员提交销毁申请，经保密办审核同意后，统一送至保密办指定的粉碎设备销毁，监销人不少于2人，填写销毁登记台账纸质载体（含文件、合同、报表、设计稿等）普通涉密可在部门公共打印机打印，标注密级标识，制作完成后由经办人自行保管流转需经部门负责人审批同意，可带出办公区域，如需复印无需额外审批，复印件需标注与原件一致的密级标识，借阅时间不超过3个工作日存放于本人带锁的工位文件柜中，不得随意摆放在工位桌面由经办人提交销毁申请，经部门负责人审批同意后，使用部门粉碎设备销毁，填写部门销毁台账电子载体（含电脑存储文件、U盘、硬盘、光盘等）核心涉密需存储在公司指定的加密涉密服务器中，不得存储在员工本地电脑或私人存储设备中，文件命名需标注密级标识，设置访问权限，仅授权人员可查看流转仅可通过公司内部加密传输通道，不得通过任何外网渠道传输，如需外发需经总经理审批，签署对外保密协议后，由保密办专人负责传输存储在离线加密硬盘中，存放于保密办密码保险柜中，不得连接外网设备需采用物理粉碎+消磁的方式销毁，由2名保密管理人员共同监销，填写销毁台账，不得直接删除或格式化电子载体（含电脑存储文件、U盘、硬盘、光盘等）重要涉密需存储在公司内部服务器对应加密目录中，本地存储需设置打开密码，文件标注密级标识流转仅可通过公司内部OA系统或指定加密邮箱传输，不得通过私人通讯工具传输，外发需经分管副总经理审批，签署保密协议后发送存储在加密U盘或加密硬盘中，由部门涉密管理员保管，不得接入外网电脑采用消磁+格式化的方式销毁，经保密办核验确认无法恢复后，填写销毁台账电子载体（含电脑存储文件、U盘、硬盘、光盘等）普通涉密可存储在员工本地办公电脑中，需设置文件打开密码，标注密级标识可通过公司内部沟通工具传输，外发需经部门负责人审批，优先使用公司指定邮箱发送存储在员工办公电脑加密文件夹中，不得存储在私人手机或私人存储设备中采用多次格式化+文件粉碎的方式销毁，由部门涉密管理员核验确认视听载体（含会议录音、录像、照片等）所有密级涉密会议的视听资料需由保密办指定专人录制，标注密级标识及录制时间、参会人员范围流转需按照对应密级的纸质载体要求执行，不得私自复制、传播存储在保密办指定的加密服务器中，不得私自留存副本按照对应密级的电子载体销毁要求执行3.2涉密载体借阅流程（1）申请人填写《涉密载体借阅审批表》，明确需要借阅的涉密载体名称、密级、借阅用途、借阅时间。（2）按照密级对应的审批权限提交审批：普通涉密由部门负责人审批，重要涉密由部门负责人审核后提交分管副总经理审批，核心涉密由部门负责人、分管副总经理审核后提交总经理审批。（3）审批通过后，申请人到保密办（或部门涉密管理员）处登记，领取涉密载体，签署借阅确认书。（4）借阅到期后，申请人需按时归还涉密载体，管理人员核对载体完整性后，在台账上登记归还时间，如需续借需重新走审批流程。3.3涉密载体外发管理所有涉密信息需要对外发送给合作方、客户、监管部门的，均需提前签署《保密协议》，明确对方的保密义务，按照密级审批流程完成审批后，由保密办专人通过加密渠道发送，不得由员工私自发送。对外发送的涉密载体需标注保密标识，明确对方的知悉范围及保密期限。第四章重点办公场景保密管理规范4.1办公区域保密管理（1）核心涉密部门（包括战略部、核心研发部、财务部、投资部）的办公区域设置独立门禁，门禁权限仅开放给对应部门的员工及经审批的管理人员，其他人员进入需提前提交申请，经部门负责人审批同意后，由本部门员工全程陪同。（2）所有员工离开工位超过10分钟的，需将桌面的涉密文件锁入文件柜，办公电脑手动锁屏，不得将涉密文件随意摆放在桌面、打印机、复印机等公共区域。（3）办公区域的公共打印机、复印机设置刷卡打印功能，员工打印文件后需当场取走，不得遗留在打印机上，涉密文件优先在部门专用打印机打印。（4）禁止在办公区域的公共会客区谈论涉密内容，会客区需设置明显的“禁止谈论涉密信息”提示标识。4.2涉密会议保密管理（1）召开涉密会议前，主办部门需提前向保密办提交申请，明确会议密级、参会人员名单、会议地点、会议内容，由保密办审核后安排符合保密要求的会议场地。（2）核心涉密会议需选择具备信号屏蔽功能的会议室，参会人员需将手机、智能手表等电子设备寄存至会场外的寄存柜，不得带入会场，会议现场禁止私自录音、录像、拍照。（3）涉密会议发放的纸质材料需标注密级及编号，按照参会人员名单发放，签收确认，会议结束后全部收回，不得允许参会人员带走。（4）涉密会议的记录由专人负责，存储在指定的加密服务器中，不得随意转发，会议纪要的分发范围需经会议主办部门负责人审批，按照密级要求管理。4.3对外沟通及信息发布管理（1）员工接受外部媒体采访、参加行业公开论坛、对外发布演讲材料的，需提前将采访提纲、演讲材料提交品牌部及保密办审核，确认无涉密内容后方可对外发布。（2）员工在对外业务沟通中，如对方索要涉及公司涉密信息的材料，需先告知对方公司保密管理要求，签署保密协议并走审批流程后方可提供，不得私自提供任何涉密内容。（3）公司官方账号（包括官网、公众号、抖音、微博等）发布的所有内容，需经品牌部、业务对应部门、保密办三级审核，确认无涉密内容后方可发布。（4）保密办每季度对员工的私人社交媒体账号进行抽查，如发现发布涉及公司未公开涉密内容的，需第一时间要求删除，按照相关规定追责。4.4系统权限保密管理（1）所有办公系统、业务系统的账号权限按照“最小权限”原则分配，仅为员工分配本职工作所需的最低权限，不得随意开通超出工作范围的权限。（2）员工岗位调整时，HR需在3个工作日内通知IT部门调整系统权限，收回原岗位的相关权限，开通新岗位所需权限。（3）员工离职时，IT部门需在离职当天注销所有系统账号权限，回收公司配备的办公电脑、U盘等设备，核查设备中存储的涉密内容，确认全部交接后方可办理离职手续。第五章保密培训与检查机制5.1保密培训体系（1）新员工入职培训中必须包含不少于2课时的保密制度培训，培训结束后进行闭卷考试，考试分数低于80分的需重新培训，考核合格后方可正式上岗。（2）全体在职员工每年需参加不少于2次的保密复训，每次培训时长不少于1.5课时，培训内容包括最新的保密制度要求、行业泄密案例分析、保密实操技能（如文件加密、钓鱼邮件识别、泄密隐患排查等），培训完成后需签署保密承诺书。（3）核心涉密岗位员工（包括战略部、研发部、财务部、投资部员工及各部门负责人）每季度需参加1次专项保密培训，培训内容针对岗位涉及的涉密内容制定，每年签署1次岗位保密责任书。（4）保密办负责建立员工保密培训档案，记录所有员工的培训时间、培训内容、考核成绩、承诺书签署情况，档案留存期限不少于员工离职后5年。检查类别检查内容检查频率责任部门合格判定标准整改要求日常常规检查1.员工工位涉密文件摆放情况；2.办公电脑锁屏设置情况；3.公共打印机遗留文件情况；4.核心涉密区域门禁使用情况每月1次，随机抽查覆盖不少于30%的员工保密办1.无涉密文件随意摆放在桌面；2.所有办公电脑锁屏时间设置不超过5分钟，密码符合复杂度要求；3.公共打印机无遗留超过30分钟的打印文件；4.核心涉密区域无无关人员进入发现问题当场要求整改，第一次出现问题予以口头警告，同一个月内累计出现2次及以上的，扣除当月绩效的5%专项检查1.涉密载体管理台账情况；2.电子文件加密情况；3.涉密信息对外传输情况；4.系统权限分配情况每季度1次，覆盖所有涉及涉密信息的部门保密办牵头，各部门配合1.涉密载体台账登记完整，借阅、归还、销毁记录清晰；2.所有涉密电子文件均设置加密权限；3.无违规使用私人通讯工具传输涉密信息的情况；4.系统权限分配符合最小权限原则，无冗余权限发现问题出具书面整改通知书，限期3个工作日内整改完成，整改不到位的，扣除部门负责人当月绩效的10%，部门当月绩效考核扣5分年度全面检查1.保密制度落地执行情况；2.员工保密知识掌握情况；3.全年泄密隐患排查及处置情况；4.保密培训开展情况每年12月开展，覆盖所有部门及全体员工保密办牵头，管理层监督1.所有部门均严格执行保密制度要求；2.员工保密知识考核合格率达到100%；3.全年无重大泄密事件，一般泄密隐患处置率达到100%；4.全年保密培训覆盖率达到100%检查结果纳入部门年度绩效考核，排名前三的部门予以年度保密先进部门奖励，排名末位的部门负责人需向管理层提交书面检讨，制定下一年度的保密工作改进计划5.2检查结果应用所有保密检查的结果均纳入员工及部门的绩效考核体系，与员工的评优、晋升、年终奖挂钩，部门年度保密检查不合格的，取消当年所有评优资格。第六章泄密事件处置与奖惩机制6.1泄密事件界定本制度所指泄密事件，包括但不限于以下情形：（1）涉密信息被未授权人员知悉的；（2）涉密载体丢失、被盗的；（3）涉密信息通过网络、通讯工具等渠道被未授权人员获取的；（4）违反保密制度要求，私自复制、传播、存储涉密信息的，无论是否造成实际损失，均视为泄密事件。6.2泄密事件处置流程（1）第一发现人需在30分钟内上报保密办，说明泄密的信息内容、密级、已经传播的范围、可能造成的影响，不得隐瞒或拖延上报。（2）保密办接到上报后，立即启动泄密应急预案，第一时间采取措施控制涉密信息的传播范围，包括撤回已发送的文件、联系接收方删除涉密内容、断开相关设备的网络连接等。（3）保密办牵头成立调查小组，在3个工作日内完成泄密事件的调查，查明泄密原因、责任人、传播范围、造成的实际损失及潜在影响，形成书面调查报告上报管理层。（4）根据调查结果，按照本制度的追责要求对相关责任人进行处理，同时制定整改措施，完善相关管理流程，避免同类事件再次发生。（5）如泄密事件造成重大经济损失或涉嫌违法犯罪的，由公