信息安全獎懲管理辦法

信息安全獎懲管理辦法

1.目的

明確信息安全獎勵與違規(guī)行為處罰的操作原則,強化執(zhí)行,促進員工信息安全意識提升。

2.適用范圍

本規(guī)范適用于深圳市**公司 (后續(xù)簡稱為公司)。

3.定義

序號

角色

職責

001

信息安全事件

指識別出的發(fā)生的系統(tǒng)、服務(wù)或網(wǎng)絡(luò)事件表明可能違反信息安全策略或防護措施失效;或以前未知的與安全相關(guān)的情況;其中一、二級信息安全事件稱為重大信息安全事件。

002

信息安全活動

為培養(yǎng)員工信息安全意識,提高公司整體安全水平而舉辦的活動,形式包括但不限于:考試、培訓、宣傳和自查。

4.職責與權(quán)限

序號

角色

職責

001

員工

遵守公司信息安全管理制度,積極配合、參與信息安全活動。

002

各部門信息安全接口人

協(xié)助公司信息安全管理制度、產(chǎn)品的宣傳與培訓工作;負責對部門信息安全問題進行匯總與反饋。

003

部門主管

是部門信息安全的直接責任人,負責監(jiān)督和管理本部門員工的信息安全行為,并對潛在的信息安全風險進行預警,預防信息安全事件。

004

部門經(jīng)理

作為部門信息安全的間接責任人,熟悉公司信息安全戰(zhàn)略,并積極推動信息安全策略的落地執(zhí)行。

005

部門副總

對所負責部門的信息安全事件負相應(yīng)的管理責任。

006

it部信息安全組

對信息安全事件進行跟蹤處理,并確定事件責任人。

007

董事會秘書

審核信息安全事件處理報告。

008

總經(jīng)理

最終審批信息安全事件處罰申請。

009

人力資源部

依據(jù)公司財務(wù)制度對已審批的信息安全獎勵/處罰報告執(zhí)行經(jīng)濟獎勵或者處罰措施。

010

法務(wù)部

配合it部信息安全組進行信息安全事件處理,對違反法律法規(guī)的信息安全責任人依法追究法律責任。

5.內(nèi)容

5.1獎勵、違規(guī)行為處罰原則

5.1.1及時激勵原則

對長期妥善保護公司信息資產(chǎn),有效避免信息資產(chǎn)的遺失、濫用、盜用等,或?qū)τ诖龠M信息安全合理共享表現(xiàn)突出的個人或者集體,將及時獎勵。

5.1.2舉報保密原則

對于舉報信息安全違規(guī)行為的人員,將對其進行獎勵并嚴格保護其個人資料不公開。

5.1.3違規(guī)行為處罰原則

5.1.3.1法律追究原則

公司所有保密信息均為公司合法資產(chǎn),受國家法律法規(guī)保護。任何損害公司保密信息的行為,公司均有權(quán)追究行為人法律責任。

5.1.3.2違規(guī)分級原則

根據(jù)違規(guī)行為的性質(zhì)、造成的損失和影響的嚴重程度、違規(guī)人員是否有意對違規(guī)行為分級。涉及關(guān)鍵信息資產(chǎn)的,違規(guī)等級要升級;一次違反多條信息安全規(guī)定的人員按最高違規(guī)等級從重處罰;對多次違反信息安全規(guī)定的人員再次違規(guī)時要從重處罰。

5.1.3.3主動從寬原則

產(chǎn)生違規(guī)行為后主動報告,積極采取補救措施以減少影響和損失的人員,可減輕處罰;對問題隱瞞不報或者不及時上報而導致違規(guī)影響擴大的人員,加重處罰。

5.1.3.4過度防衛(wèi)處罰原則

對阻礙信息合理流動與共享的人員要給予處罰。

5.1.3.5及時處理原則

對重大信息安全違規(guī)事件,要及時處理。任何拖延、推諉不處理的責任人,要給予問責。

5.2 獎勵等級與責任部門

5.2.1獎勵等級與措施

獎勵事跡

獎勵等級

獎勵措施

舉報或者制止泄密、竊密或者其他嚴重損害公司利益事件的集體或者個人

一級

根據(jù)具體情況給予8000元集體獎勵或者5000元個人獎勵;通報表揚(遵循“舉報保密原則“淡化事跡并隱藏人員信息)。

制止他人違規(guī)行為或者即時反映可能造成泄密、竊密或者其他重大安全隱患的個人,以及在信息安全方面做出表率或者突出貢獻的集體

二級

根據(jù)具體情況集體獎5000元或者3000個人獎勵;通報表揚(遵循“舉報保密原則“淡化事跡并隱藏人員信息)。

在信息安全管理中做出貢獻,反映信息安全隱患或者過度防衛(wèi)被核實、提出信息安全合理化建議并被采納的個人,以及在信息安全方面做出貢獻的集體

三級

根據(jù)具體情況給予3000元集體獎勵或者1000元個人獎勵。

5.2.2獎勵責任部門

1)對于滿足信息安全獎勵標準的集體或者個人,it部信息安全組可根據(jù)具體事跡定期進行申報,審批通過后由人力資源部根據(jù)公司財務(wù)制度進行發(fā)放獎金;

2) 各部門信息安全接口人可自行組織對本部門優(yōu)秀信息安全集體或者個人進行獎勵。

5.3 違規(guī)等級與責任部門

5.3.1 違規(guī)等級與措施

違規(guī)事件

違規(guī)等級

處罰措施

盜竊、故意泄露公司保密信息的,或故意違反信息安全管理規(guī)定,性質(zhì)嚴重造成重大影響或者風險

一級

1. 直接開除,永不錄用;

2. 如違反法律法規(guī)由公司法務(wù)部移送公安機關(guān)處理;如給公司造成相關(guān)損失,須賠償公司損失。

3. 全公司范圍內(nèi)通報處罰決定。

故意違反信息安全規(guī)定,性質(zhì)嚴重;或者造成較大影響或較大風險

二級

1. 如給公司造成相關(guān)損失,須賠償公司損失;

2. 擔任公司管理崗位的人員,進行降職或者降薪處理;非公司管理崗位的人員,進行降薪處理;

3. 全公司范圍內(nèi)通報處罰決定。

過失違反信息安全管理規(guī)定,造成一定影響或者風險的;或者故意違反信息安全管理規(guī)定,但性質(zhì)不嚴重且沒有造成嚴重影響或風險

三級

1. 記入關(guān)鍵事件考評結(jié)果減10分或罰款500元;

2. 12個月內(nèi)2次三級違規(guī)升級為1次二級違規(guī)。

3.部門內(nèi)部通報處罰決定。

過失違反信息安全管理規(guī)定,性質(zhì)較輕,且造成輕微影響或者風險

四級

1.記入關(guān)鍵事件考評結(jié)果減5分或罰款300元;

2.12個月內(nèi)2次四級違規(guī)升級為1次三級違規(guī);

3.部門內(nèi)部通報處罰決定。

說明:

1) 信息安全管理規(guī)定包括公司各部門正式發(fā)布的信息安全管理制度;

2) 上表中“違規(guī)事件“的描述是定性的描述,是違規(guī)事件定級的參考原則。常見違規(guī)行為所適用違規(guī)等級具體參考附件1:《常見違規(guī)行為及其適用處罰等級舉例》,其他違規(guī)行為所使用等級可參考舉例進行認定。

5.3.2 責任判定

1)發(fā)生一、二級重大信息安全事件違規(guī)時,違規(guī)者直接上級和部門經(jīng)理承擔直接和間接責任,部門副總須承擔連帶管理責任,并按照《常見違規(guī)行為及其適用處罰等級舉例v1.0》適用條款進行處罰;

2)對于三、四級信息安全違規(guī),根據(jù)以下條件判斷責任人直接上級是否連帶處罰:

員工無意違規(guī),且責任人領(lǐng)導未進行審批授權(quán)的,不進行連帶處罰;

員工無意違規(guī),但責任人領(lǐng)導進行包庇的,在事實確認的基礎(chǔ)上,進行連帶處罰;

若所管理部門一個月內(nèi)發(fā)生2次(含)以上故意違規(guī)或者4次(含)以上無意違規(guī)事件,對直接上級進行連帶處罰。

5.3.3 處罰責任部門

處罰等級

處罰責任人

批準

申訴

一級

總經(jīng)理

/

人力資源部

二級

總經(jīng)理

/

人力資源部

三級

部門分管副總

it部信息安全組

人力資源部

四級

部門分管副總

it部信息安全組

人力資源部

說明:

1)對于各類違規(guī)行為處罰應(yīng)當慎重,應(yīng)建立在客觀事實的基礎(chǔ)上給出處罰意見。根據(jù)違規(guī)行為性質(zhì)、造成的損失和影響的大小,it部信息安全組有權(quán)要求對當事人加重或者減輕處罰;

2)發(fā)現(xiàn)可疑事件的組織作為事件調(diào)查和處理的責任部門。為了加快一級違規(guī)行為的處理進度,溝通時限和批準期限都是2天;

3)在違規(guī)事件處理過程中,it部信息安全組協(xié)助與監(jiān)督處罰責任人完成處罰執(zhí)行工作。處罰責任人或其授權(quán)人員要做好與違規(guī)員工的溝通工作。對違規(guī)處罰過程中出現(xiàn)的拖延、推諉行為,it部信息安全組可以行使否決權(quán)。

5.4.維護與解釋

1)本規(guī)定發(fā)布之日起生效;

2)本規(guī)定由it部信息安全組至少每兩年審視一次,根據(jù)審核結(jié)果修訂標準并頒布執(zhí)行;

3)本規(guī)定解釋權(quán)歸it部信息安全組。

6.相關(guān)文件

附件1:《常見違規(guī)行為及其適用處罰等級舉例》

7.記錄表格

無