第一章 总则
第一条 为规范北京企密安信息安全技术有限公司所服务的服务型企业的保密管理,维护客户信任和企业商誉,保障企业商业秘密安全,依据中华人民共和国相关法律法规,结合服务型企业经营特点,制定本制度示范条文。
第二条 服务型企业的保密工作具有以下特点:客户信息大量集中,服务人员直接接触客户数据,业务流程中涉及大量敏感信息,品牌声誉与保密工作密切相关。本制度适用于企业所有部门、项目和岗位,包括但不限于客户服务、项目交付、运营管理、市场销售、技术支撑等各业务环节。
第三条 服务型企业的商业秘密包括客户资料、服务方案、项目文档、运营数据、财务信息和内部管理信息等。其中客户信息是服务型企业最核心的保密资产,包括客户基本信息、业务需求、合同信息、服务记录和客户交易数据等。
第四条 企业保密工作坚持客户信息保护优先、全员参与、全程管控、持续改进的原则,将保密要求融入各项业务流程和服务环节。
第二章 保密组织与职责
第五条 企业设立保密管理委员会,由企业主要负责人担任主任,各部门负责人担任委员。保密管理委员会负责审定保密管理制度,部署保密工作任务,研究解决保密管理中的重要问题。
第六条 保密管理委员会下设保密管理办公室,配备专职保密管理人员。保密管理办公室的主要职责包括组织制定和修订保密制度,开展保密宣传和培训,组织保密检查和风险评估,受理保密投诉和举报,协调处理泄密事件。
第七条 各部门负责人为所在部门保密管理责任人,负责本部门保密制度的执行和监督检查,组织本部门员工保密教育和培训,确保本部门员工了解并遵守保密规定。各项目经理对本项目组的保密工作负责。
第八条 全体员工应履行岗位保密职责,包括但不限于了解并遵守企业保密制度,妥善保管工作中接触的涉密信息和载体,发现泄密隐患和泄密事件及时向主管人员或保密办公室报告,接受保密教育和保密检查。
第三章 客户信息保密
第九条 客户信息实行分类分级管理。按照客户信息敏感程度分为敏感客户信息、一般客户信息和公开客户信息。敏感客户信息包括客户的商业秘密信息、个人隐私信息、交易明细等。一般客户信息包括客户联系方式、服务记录等。公开客户信息为客户主动公开或企业合法公开的信息。
第十条 服务人员在工作过程中收集和生成的客户信息应存放在企业指定的信息系统中,不得私自保存到个人设备上。客户信息的查询和使用应基于工作需要并经主管批准,批量导出客户信息需要部门负责人审批。
第十一条 为客户提供服务过程中知悉的客户商业秘密,服务人员应严格保密,不得向无关人员透露,也不得利用客户商业秘密为自己或第三方谋取利益。服务合同结束后,应将保管的客户信息全部归还或按照合同约定处理。
第十二条 客户信息的使用仅限于与客户约定的服务目的,超出约定范围使用客户信息须获得客户书面同意。企业不得将客户信息出售或与其他方交换牟利。
第四章 服务项目保密管理
第十三条 每个服务项目应在启动时明确项目保密级别,制定项目保密方案。保密方案包括项目涉密信息范围、项目团队保密要求、项目文档保密管理、项目交付物保密控制等内容。
第十四条 项目团队成员在加入项目组时应签署项目保密承诺书,明确项目保密责任。项目成员的保密义务不随项目结束而终止,在保密期限内持续有效。
第十五条 项目文档和交付成果应按照保密级别进行分类管理。项目文档的生成、修改、审阅和分发过程应有版本控制和记录。项目交付物中的敏感信息应根据客户要求进行脱敏处理。
第十六条 项目实施过程中使用的临时数据和中间成果,在项目结束后应按照保密规定进行清理或归档,不得保留非必要的项目数据于个人设备或临时存储空间中。
第五章 员工保密管理
第十七条 企业所有员工入职时须签署保密协议。保密协议内容包括保密范围、保密期限、保密义务、违约责任等。保密协议应在员工入职前完成签署,作为劳动合同的组成部分或附件。
第十八条 员工在职期间参加行业会议、公开讲座、接受媒体采访等公开活动,以及通过社交媒体、技术论坛等渠道发表与工作相关的言论和内容,应符合企业信息发布规定,不得泄露企业商业秘密和客户信息。
第十九条 员工离职时须办理保密交接手续,包括:归还所有纸质和电子形式的涉密资料,清除个人电脑和移动设备中的企业数据,交回门禁卡、钥匙等物理访问凭证,交回系统账号和权限,签署离职保密承诺书。
第二十条 离职员工在离职后脱密期内,不得利用在原企业工作中知悉的商业秘密为自己或第三方从事与原企业有竞争关系的业务活动。必要时企业可与核心岗位员工签订竞业限制协议。
第六章 信息安全管理
第二十一条 企业信息系统中的客户数据和商业秘密数据应设置分级访问权限,权限分配遵循最小够用原则。信息系统操作日志应完整记录并定期审计,发现异常访问行为及时调查处理。
第二十二条 员工使用的工作设备应安装企业统一管理的安全防护软件,操作系统和应用软件应及时更新安全补丁。员工不得在办公设备上安装未经企业批准的软件程序。
第二十三条 企业建立数据备份和恢复机制,重要业务数据和客户数据应定期备份并异地存储。备份数据的安全管理级别与原始数据相同。数据恢复操作需经过审批并做好记录。
第二十四条 企业制定信息安全事件应急预案,定期组织应急演练。发生数据泄露、系统入侵等安全事件时应立即启动应急预案,采取控制措施减少损失,并及时向相关方通报。
第七章 办公与场所保密
第二十五条 客户服务区域、数据处理中心和档案资料室等重要区域实行进出管理,非授权人员不得进入。来访人员须进行登记并由企业人员陪同,来访记录保存备查。
第二十六条 员工在办公区域应注意桌面安全,涉密文件和资料在离开办公位时应锁入文件柜。办公区域的电话通话和口头交流应避免泄露客户敏感信息。开放式办公区域讨论涉密事项应在会议室进行。
第二十七条 废弃的涉密文件、资料和存储介质应通过专业销毁设备或委托具有资质的销毁服务商进行销毁。销毁过程应有两人以上在场监督并做好销毁记录。
第八章 保密教育培训
第二十八条 企业建立保密教育常态化机制,将保密培训纳入员工年度培训计划。培训内容包括保密法律法规、企业保密制度、客户数据保护要求、信息安全常识、泄密案例警示等。
第二十九条 新员工入职培训必须包含保密教育模块,使新员工了解企业保密制度和岗位保密要求。未完成保密培训的新员工不能接触涉密信息。
第三十条 涉密岗位员工每年应参加保密继续教育。企业可以组织保密知识测试、保密工作评价和保密应急演练等多种形式的保密教育活动。
第九章 检查与监督
第三十一条 保密办公室定期组织保密检查,检查内容包括保密制度执行情况、涉密信息管理状况、信息安全措施落实情况和员工保密行为规范遵守情况等。检查结果形成报告报送保密管理委员会。
第三十二条 企业建立保密投诉和举报渠道,员工发现保密违规行为可以向保密办公室或者主管领导投诉举报。企业对举报人信息保密,不得打击报复举报人。
第十章 奖惩
第三十三条 对保密工作成绩突出的部门和个人给予奖励。具有以下情形之一的可给予奖励:严格执行保密制度有效防止泄密的,发现泄密隐患及时报告避免损失的,在保密技术和管理方法上有创新贡献的。
第三十四条 违反保密制度根据情节轻重给予相应处理。造成泄密的应追究泄密责任,客户信息泄露给客户造成损失的应承担相应责任。涉及违法犯罪行为的移交司法机关处理。
第十一章 附则
第三十五条 本制度由企业保密管理委员会负责解释。各业务部门可根据本制度制定符合业务特点的保密实施细则。
第三十六条 本制度自发布之日起施行。企业原有保密规定与本制度不一致的,以本制度为准。
常见问题
问:服务型企业如何平衡客户服务的便利性和客户信息保护之间的关系? 答:这是一个在服务型企业中很常见的问题。北京企密安建议企业采取以下措施寻求平衡:一是根据客户信息敏感程度实行分级管理,对一般联系信息和服务记录适当放宽访问权限,便于一线服务人员高效工作,对敏感交易数据和隐私信息则严格控制;二是建立基于角色的访问控制体系,确保服务人员只能看到自己工作所需的客户信息范围;三是使用数据脱敏技术,在服务过程中对敏感字段如密码、完整身份证号等进行自动脱敏显示;四是对客户信息的查询和使用保留完整日志,做到可追溯可审计。通过以上措施既保障服务效率又保护客户信息安全。
问:服务型企业外包部分业务时,如何要求外包方保护客户信息? 答:服务型企业将部分业务外包的情况比较普遍,外包方接触客户信息时的保密管理非常重要。北京企密安建议做好以下工作:一是与外包方签订保密协议,明确保密范围、保密期限和违约责任;二是在外包合同中约定客户信息保护条款,要求外包方建立相应的保密制度;三是在条件允许时向外包方提供经过脱敏处理的客户数据,减少原始敏感信息的暴露;四是定期评估和检查外包方的保密措施执行情况;五是明确约定外包结束后所有客户信息的归还或销毁要求。做好以上工作可以有限降低外包服务中的客户信息泄露风险。
如需保密制度建设和保密管理咨询,请联系北京企密安。北京企密安 010-63711822 baomiwang.com
