第六条 接包方应加强对员工的信息安全培训,增强员工的保密意识,避免泄漏保密信息事故的发生。
第七条 接包方应成立信息保护机构或指定专职人员负责制定和完善本企业的信息保护规章制度,对保密信息采取合理的、具体的、有效的保密措施,包括但不限于:
(一)限定涉密人员范围,限制涉密人员与其他员工交流涉密信息;
(二)对配方含量和程序步骤等重要信息加密保存或保存于受限区域;
(三)对保密信息的记录载体使用密钥管理并进行分级管理;
(四)对保密信息载体及其存储场所采取技术物理控制,限制来访者或者对他们提出保密要求,有效阻隔可容纳信息的电子产品,以避免信息被他人不当访问或获取;
(五)对存有保密信息的计算机建立有效的网络安全管理和数据保护措施,建立严格的身份认证和访问授权体系,采用完善的系统备份和故障恢复手段,定期进行安全补丁和病毒库的升级;
(六)制定保密信息安全应急处置预案;
(七)鼓励购买通过国家信息安全认证的信息安全保护软件和备份系统;
(八) 接包方与发包方约定的其他措施。
第八条 接包方应积极开展对内部信息安全管理体系的检查及维护,持续改进企业内部信息安全体系。
第九条 接包方接受境外发包方委托,应以合法及公平的方式收集、处理涉及境外商业及个人资料,严格遵守合同涉及地区法律法规监管要求,做好信息资料和安全和保护。
第十条 接包方应当与发包方明确约定对合同所涉及的保密信息的使用主体、使用方式、使用范围以及保密信息的保存时间。接包企业受委托的商业及个人资料保存时间应严格依照合同约定,资料保存时间不得超过合同约定时间。
合同没有约定或者约定不明确的,接包方应当依照有利于保护保密信息的原则使用、保存保密信息。
第十一条 接包方对受委托的商业和个人资料的处理,除非获得发包方同意,受委托的商业和个人资料只可用于委托时述明的用途或与其直接相关的用途。
第十二条 接包企业必须制订并采取切实可行的步骤,以确保受委托处理的商业和个人资料受保障,不受未获准或以外的查阅、处理、删除或其他使用所影响。
