ICS 03.120.10 CCS A 00 DB51 四 川 省 地 方 标 准 DB51/T 2874—2022 检验检测机构保护客户秘密实施指南 2022-02-24 发布 四川省市场监督管理局 2022-04-01 实施 发 布 DB51/T 2874—2022 目 前 次 言 ........................................................................... II 1 范围 ................................................................................ 1 2 规范性引用文件 ...................................................................... 1 3 术语和定义 .......................................................................... 1 4 基本要求 ............................................................................ 2 5 涉及客户秘密的过程识别及管理 ........................................................ 3 6 内部涉密人员管理 .................................................................... 5 7 涉密载体的管理 ...................................................................... 5 8 风险管理 ............................................................................ 6 9 审核和改进 .......................................................................... 6 I DB51/T 2874—2022 前 言 本文件按照GB/T 1.1—2020《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规定 起草。 本文件由四川省市场监督管理局提出、归口并解释。 本文件起草单位：四川省产品质量监督检验检测院、广元市产品质量监督检验所、成都市产品质量 监督检验研究院、四川凯乐食品检测有限公司。 本文件主要起草人：胡丹、姬洪涛、张文龙、韩渝、王睿、韩勇、何羽乔、唐诗俊、赵瑞麒、江瑜、 蒋美琴、谷雨、杨沐、丁劲松、曾珂、陈洁。 本文件首次发布。 II DB51/T 2874—2022 检验检测机构保护客户秘密实施指南 1 范围 本文件规定了检验检测机构保护客户秘密的基本要求、涉及客户秘密过程识别及管理、内部涉密人 员管理、涉密载体管理、风险管理、审核和改进等内容。 本文件适用于取得资质认定（CMA）或实验室认可（CNAS）的检验检测机构。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件， 仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本 文件。 GB 17859-1999计算机信息系统安全保护等级划分准则 GB/T 24353 风险管理 原则与实施指南 GB/T27025 检测和校准实验室能力的通用要求 RB/T 214 检验检测机构资质认定能力评价 检验检测机构通用要求 3 术语和定义 GB/T 19000、GB/T 27025、RB/T 214界定的以及下列术语和定义适用于本文件。 3.1 检验检测机构 inspection body and laboratory 依法成立，依据相关标准或者技术规范，利用仪器设备、环境设施等技术条件和专业技能，对产品 或者法律法规规定的特定对象进行检验检测的专业技术组织。 [来源：RB/T 214-2017,3.1] 3.2 客户 customer 能够或实际接受为其提供的， 或按其要求提供的产品或服务的个人或组织，如消费者、最终使用者、 零售商、公共组织、公司、集团、企事业单位、行政机构、协会、研究机构等。 [来源：GB/T 19000-2016，3.2.1,有改写] 3.3 活动 activity 由一组有起止日期的、相互协调的受控活动组成的独特过程中识别出的最小的工作项。 [来源：GB/T 19016-2005.3.1,有改写] 3.4 国家秘密 state secret 关系国家安全和利益，依照法定程序确定，在一定时间内只限一定范围的人员知悉的事项。 1 DB51/T 2874—2022 3.5 商业秘密 trade secret 不为公众所知悉、具有商业价值并经权利人采取相应保密措施的技术信息、经营信息等商业信息。 3.6 个人信息 personal information 以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息。 注： 个人信息包括：自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康 信息、行踪信息等。 3.7 涉密人员 secret-related personnel 根据工作职责或者保密协议有权接触、使用、掌握涉密信息的检验检测机构员工或其他人。 3.8 涉密的载体 secret-related carrier 以文字、数据、符号、图形、实物、视频和音频等形式记载和存储秘密信息的纸介质、光介质、电 磁介质、产品、样品等各类物品。 注1：纸介质涉密载体是指传统的纸质涉密文件资料、书刊、图纸等。 注2：光介质涉密载体是指利用激光原理写入和读取涉密信息的存储介质，包括CD、VCD、DVD等各类光盘。 注3：电磁介质涉密载体包括电子介质和磁介质两种，包括各类闪存盘、硬磁盘、软磁盘、磁带等。 3.9 涉密区域 secret-related area 可以接触到客户秘密信息的一切场所。 注： 如实验室、办公室、档案室、机房等。 4 基本要求 4.1 检验检测机构应依据国家保密相关法规及相关标准建立保护客户秘密的制度，制定保护客户秘密 的程序文件，对保密要求、保密职责、涉密载体的管理、涉密人员管理、相关活动涉及客户秘密识别、 风险评估等内容做出规定，并宣贯和实施。 4.2 检验检测机构在实验室活动中获得的或产生的以下信息，均为客户秘密： ——客户提交检测的资料及样品，工艺流程、设计图纸、技术依据、外观设计（照片）、产品技 术说明书、专利技术、顾客送检附带的信息，试样或产品； ——检验检测活动中所获取的有关信息，检测数据和结果； ——客户要求其他保密的信息或者特别规定的保密信息。 4.2.1 客户秘密保密要求由客户提出，必要时签订《保密协议》对保密内容和期限进行约定，机构应 根据法律规定或双方约定并按以下原则采取相应保密措施： a) 涉及国家秘密，应按照《中华人民共和国保守国家秘密法》、《中华人民共和国保守国家秘 密法实施条例》及相关法律法规执行。 b) 涉及客户的商业秘密，按照协议约定履行保密义务. c) 涉及自然人的个人信息，应按照《个人信息保护法》及相关法律法规执行 4.3 如需对外披露客户秘密，以下要求需注意： 2 DB51/T 2874—2022 a) 依据法律要求或合同授权需透露保密信息时，应按照 GB/T 27025 中 4.2.2 要求，将所提供的 信息通知到相关客户或个人； b) 建立对外披露客户秘密审批责任，明确对外披露客户秘密审批要求和流程； c) 对披露客户秘密进行检查，发现问题，立即采取补救措施。 4.4 涉密区域管理，根据机构实际情况有条件的机构可设置门禁、视频监控装置；可适时采用信息化 手段对区域的管理进行实时记录和监控。 4.5 机构涉密人员内部沟通时，应尽量避免在任何社交媒体、即时通讯软件私自传输，发送涉及客户 的信息。 4.6 机构应根据需要配置检验检测业务管理系统，制定访问控制策略，可参照 GB17859-1999 的要求进 行软硬件配置，必要时可对机构信息系统保密等级及符合性进行第三方权威机构的审查认定。有条件的 机构可配置终端管理程序，用于记录操作终端对涉密信息拷入拷出，截屏和屏幕拍照等操作，实现可追 溯。 5 涉及客户秘密的过程识别及管理 5.1 检验检测机构与客户信息（不论是获取还是工作过程产生的）有接触的任何个人和任何活动，不 论是内部还是外部，都应视为涉密，纳入保护客户秘密的管理中。 5.2 检验检测机构在合同评审阶段，应与客户就保密事项和要求予以约定，将约定内容纳入合同或协 议中，如有必要可另行签订专门的保密合同，专项约定保密内容及期限。 5.3 检验检测机构应保留合同履行过程中保护客户秘密的记录。 5.4 内部活动中客户秘密的保护 5.4.1 分包, 将任务分包给满足要求的检验检测机构时，确保但不限于以下措施得以实施： a) 应与接受分包任务的检验检测机构明确保密要求； b) 应对保密要求及内容用合同的形式予以约定，必要时签订专门的保密协议，约定保密内容及 期限。 5.4.2 采购 当检验检测机构需采购服务时，如设备检定和校准服务，设备设施的运输、维护和保养，样品制备 和运输等，确保但不限于以下措施得以实施： a) 应就保密要求与提供服务方进行约定，对保密事项提出要求； b) 应对保存在设备或电脑中的信息进行加密； c) 在对供应商进行评价时，应将遵守保密协议的情况纳入评价内容。 5.4.3 服务客户 当允许客户或其代表合理进入为其检验检测的相关区域观察时，确保但不限于以下措施得以实施： a) 应确保其他客户的机密得到保护； b) 检验检测机构应对客户进入检验检测现场的区域和路线进行限定，并经过相应审批； c) 必要时，对现场涉及到的其他客户的检测活动暂时停止； d) 必要时，对现场在检其他客户的样品进行遮盖或遮挡。 3 DB51/T 2874—2022 5.4.4 投诉 从客户以外渠道（如投诉人、监管机构）获取有关客户的信息时，确保但不限于以下措施得以实施： a) 应在客户和实验室间保密； b) 除非信息的提供方同意，实验室应为信息提供方（来源）保密，且不应告知客户或其他方； c) 检验检测机构应限定知悉人员的范围，与活动无关的人员无权知悉； d) 在调查处理时，必要时可将信息拆分，分别告知办理投诉相应职责人员。 5.4.5 数据信息