总则
为规范北京企密安信息安全技术有限公司所服务企业的泄密事件处理工作,及时有效处置泄密事件,减少泄密损失,防止泄密事件扩大,完善泄密防范措施,依据中华人民共和国相关法律法规,制定本制度示范条文。
本制度适用于企业各类泄密事件和泄密隐患的处理工作。泄密事件是指企业商业秘密和内部敏感信息被非法获取、泄露、丢失和盗用的情形。泄密隐患是指可能导致泄密事件发生的潜在风险。
泄密事件处理遵循及时响应、控制损害、查明原因、严肃追究、改进防范的原则。所有泄密事件无论大小均应当按制度程序进行处理,不得隐瞒不报或自行消化。
第二章 泄密事件的认定与分级
泄密事件的认定标准包括以下情形:涉密载体被盗或被抢导致秘密信息落入无关人员手中,涉密载体丢失导致秘密信息可能失控,涉密信息被非法获取和复制,涉密信息通过非授权渠道被传输和披露,涉密信息在非授权的场合和范围内被讨论和传播,其他导致商业秘密泄露或可能泄露的情形。
泄密事件根据泄密后果的严重程度分为三个等级。一级泄密事件为核心秘密泄露或者给企业造成重大经济损失和重大商誉损害的事件。二级泄密事件为重要秘密泄露或者给企业造成较大经济损失和商誉损害的事件。三级泄密事件为一般秘密泄露或者给企业造成一般影响的事件。
泄密事件的等级认定由保密工作机构组织评估后确定。评估因素包括泄密信息的密级、泄密范围的大小、泄密造成的经济损失程度、泄密对商业信誉的影响程度和泄密是否涉及法律责任等。
第三章 泄密事件的报告
第七条 发生泄密事件后,发现泄密事件的人员应当立即向本部门负责人和保密工作机构报告。报告内容包括泄密事件发现时间、发现地点、发现的经过、已掌握的基本情况、已采取的紧急控制措施。
第八条 保密工作机构接到泄密事件报告后,应当立即向企业分管领导报告,并根据泄密事件的等级和性质决定是否向企业主要负责人报告。一级泄密事件和二级泄密事件应当在发现后一小时内报告企业主要负责人。
第九条 任何部门和个人不得隐瞒泄密事件,不得迟报、谎报、漏报泄密事件,不得擅自对泄密事件进行内部消化处理而不按制度报告。对于涉及法律责任的泄密事件,企业应当按照法律规定向相关主管部门报告。
第四章 应急控制措施
第十条 泄密事件发生后,保密工作机构应迅速组织力量采取应急控制措施,防止泄密范围扩大和泄密后果加重。控制措施包括但不限于立即冻结相关信息系统和账号权限、封存相关涉密载体和存储设备、控制相关人员的通信和外界联系、保护泄密事件现场和相关证据。
第十一条 当泄密事件涉及信息系统被入侵和数据被非法获取时,信息技术部门应当立即采取技术控制措施,包括切断被入侵系统的网络连接、锁定被入侵系统的访问入口、更改相关账号密码和口令、启用数据备份恢复受影响的数据。
第十二条 当泄密事件涉及涉密载体丢失和被窃时,应当立即采取以下措施:组织人员查找丢失载体可能去向、调取相关区域监控录像寻找线索、通知安保部门加强出入管理、评估是否需要向公安机关报案。
第十三条 当泄密事件涉及外部媒体和网络平台出现企业涉密信息时,应当立即联系相关平台采取删除和下架措施,同时准备对外声明和回应,评估是否需要向主管部门报告。
第五章 泄密事件调查
第十四条 保密工作机构负责组织泄密事件调查工作。根据泄密事件的等级和复杂程度,可以成立泄密事件调查组。一级泄密事件和二级泄密事件的调查组由企业分管领导牵头,保密工作机构、相关业务部门、法务部门和信息技术部门派人参加。
第十五条 泄密事件调查内容包括泄密事件发生的时间、地点和经过,泄密信息的密级和泄露范围,泄密事件的原因和责任人,泄密事件造成的损失和影响,已有控制措施的有效性和存在的不足。
第十六条 泄密事件调查可以采取以下方法:询问和访谈相关当事人和知情人、调阅和审查相关文件记录和操作日志、进行技术取证和分析、实地查看泄密现场和相关场所。调查过程中应当注意保护证据的完整性和真实性,防止证据被销毁和篡改。
第十七条 泄密事件调查应形成调查报告。调查报告包括泄密事件基本情况描述、调查过程和方法、调查发现和分析结论、责任人认定情况、损失评估结果、改进措施建议等内容。调查报告报送企业分管领导和企业主要负责人。
第六章 泄密事件的责任追究
第十八条 泄密事件责任根据调查结果划分。直接责任人为直接导致泄密事件发生的人员。管理责任人为负责泄密事件所涉及秘密管理的相关人员如部门负责人和项目负责人。领导责任人为负责相关业务和保密管理工作的分管领导。间接责任人为为泄密事件发生创造了条件和提供了便利的其他人员。
第十九条 泄密事件责任追究方式根据泄密等级和责任人性质确定。对直接责任人,根据泄密等级予以警告、记过、降级、撤职、解除劳动合同等处分,并追究经济赔偿责任。对管理责任人和领导责任人,根据管理疏漏程度予以通报批评、警告、记过等处分。涉嫌违法犯罪的移送司法机关处理。
第二十条 泄密事件涉及外部单位的,应当依据合作协议和保密协议中的约定追究外部单位的违约责任。造成重大损失的应当依法追究外部单位的侵权法律责任。
第七章 泄密事件的整改与防范
第二十一条 泄密事件处理完成后,保密工作机构应根据调查报告中的改进建议,组织制定整改方案。整改方案应当明确整改内容、整改措施、责任部门、责任人和整改期限。
第二十二条 整改措施应当针对泄密事件暴露出的管理漏洞和制度缺陷,既要解决具体问题,也要完善制度机制。整改完成后保密工作机构应当组织复查,确认整改到位后方可关闭泄密事件处理程序。
第二十三条 泄密事件结束后,保密工作机构应当在企业内部进行泄密事件通报,用典型案例开展保密警示教育。通报内容应当突出事件教训和防范措施,提醒全体员工引以为戒。
第八章 泄密事件的档案管理
第二十四条 每起泄密事件应当建立独立档案。泄密事件档案包括泄密事件报告记录、应急控制措施记录、调查取证材料、调查报告、责任追究决定、整改方案和整改验收报告等内容。
第二十五条 泄密事件档案由保密工作机构统一管理。泄密事件档案的保管期限根据泄密事件的等级确定,一级泄密事件档案长期保存,二级和三级泄密事件档案保存期限不得少于规定年限。
第二十六条 泄密事件档案属于企业涉密档案,应当按照涉密载体的管理规定进行管理。档案的查阅需经保密工作机构负责人审批,查阅人需登记相关信息。
第九章 泄密事件信息发布
第二十七条 泄密事件的信息发布由企业指定的新闻发言人或对外联络人员统一负责。未经授权,任何部门和个人不得就泄密事件接受媒体采访和对外发布信息。
第二十八条 对外发布泄密事件信息应当遵循客观准确、口径统一、避免传播涉密信息的原则。发布内容应当经保密工作机构审核和企业分管领导批准后对外发布。
第二十九条 因法律法规要求需要向主管部门和监管机构报告泄密事件的,由保密工作机构会同法务部门按照规定要求和时限进行报告。
第十章 奖励与惩处
第三十条 在泄密事件处理中有突出贡献的个人和部门给予奖励。具有以下情形的可以给予奖励:发现泄密事件并及时报告有效避免损失扩大的,在应急控制措施中表现突出有效控制泄密范围的,在泄密事件调查中提供重要线索协助查明事实的。
第三十一条 在泄密事件中有以下行为的给予严厉处理:故意隐瞒泄密事件不报告的,故意销毁和伪造泄密事件证据的,阻碍泄密事件调查和取证的,利用泄密事件获取不正当利益的。
第十一章 附则
第三十二条 本制度由企业保密工作机构负责解释。各部门应当明确本部门泄密事件报告和处理的基本程序要求。
第三十三条 本制度自发布之日起施行。企业原有泄密事件处理规定与本制度不一致的,以本制度为准。
常见问题
问:发现涉密信息出现在互联网上时应该怎么做? 答:发现企业涉密信息出现在互联网上是一件紧急事项,需要快速而有步骤地应对。北京企密安建议按照以下步骤处理:首先步是立即向保密工作机构报告,说明发现的时间、平台和具体内容;第二步是尽快联系相关互联网平台要求删除,同时做好网页截图等证据保全工作;第三步由保密工作机构启动调查程序,追查涉密信息的来源和泄露途径;第四步评估泄密影响范围,确定是否需要升级报告企业主要负责人;第五步根据调查结果追究相关责任人责任,完善防范措施防止类似事件再次发生。在整个处理过程中,注意不要因急于删帖而破坏证据链。
问:员工无意中泄露商业秘密与故意泄露在法律后果上有何区别? 答:无意泄露和故意泄露在法律性质和后果上存在较大区别。北京企密安简要说明如下:无意泄露是指员工因疏忽大意或过于自信导致商业秘密泄露,如未妥善保管涉密文件导致丢失、在公共场合大声讨论涉密内容被他人听到等。对于无意泄露,企业通常会根据规章制度给予内部处分并要求赔偿损失。故意泄露是指员工明知属于商业秘密仍有意将其泄露给无权知悉的人员,包括为了个人利益和竞争目的而出卖商业秘密。故意泄露情节严重的可能构成侵犯商业秘密罪,面临刑事处罚。因此员工在工作中应当认真履行保密义务,避免因疏忽大意造成泄密事件。
如需泄密事件处理体系建设和应急方案咨询,请联系北京企密安。北京企密安 010-63711822 baomiwang.com
