信息安全獎懲管理辦法

信息安全獎懲管理辦法

1.目的

明確信息安全獎勵與違規行為處罰的操作原則,強化執行,促進員工信息安全意識提升。

2.適用范圍

本規范適用于深圳市**公司 (后續簡稱為公司)。

3.定義

序號

角色

職責

001

信息安全事件

指識別出的發生的系統、服務或網絡事件表明可能違反信息安全策略或防護措施失效;或以前未知的與安全相關的情況;其中一、二級信息安全事件稱為重大信息安全事件。

002

信息安全活動

為培養員工信息安全意識,提高公司整體安全水平而舉辦的活動,形式包括但不限于:考試、培訓、宣傳和自查。

4.職責與權限

序號

角色

職責

001

員工

遵守公司信息安全管理制度,積極配合、參與信息安全活動。

002

各部門信息安全接口人

協助公司信息安全管理制度、產品的宣傳與培訓工作;負責對部門信息安全問題進行匯總與反饋。

003

部門主管

是部門信息安全的直接責任人,負責監督和管理本部門員工的信息安全行為,并對潛在的信息安全風險進行預警,預防信息安全事件。

004

部門經理

作為部門信息安全的間接責任人,熟悉公司信息安全戰略,并積極推動信息安全策略的落地執行。

005

部門副總

對所負責部門的信息安全事件負相應的管理責任。

006

it部信息安全組

對信息安全事件進行跟蹤處理,并確定事件責任人。

007

董事會秘書

審核信息安全事件處理報告。

008

總經理

最終審批信息安全事件處罰申請。

009

人力資源部

依據公司財務制度對已審批的信息安全獎勵/處罰報告執行經濟獎勵或者處罰措施。

010

法務部

配合it部信息安全組進行信息安全事件處理,對違反法律法規的信息安全責任人依法追究法律責任。

5.內容

5.1獎勵、違規行為處罰原則

5.1.1及時激勵原則

對長期妥善保護公司信息資產,有效避免信息資產的遺失、濫用、盜用等,或對于促進信息安全合理共享表現突出的個人或者集體,將及時獎勵。

5.1.2舉報保密原則

對于舉報信息安全違規行為的人員,將對其進行獎勵并嚴格保護其個人資料不公開。

5.1.3違規行為處罰原則

5.1.3.1法律追究原則

公司所有保密信息均為公司合法資產,受國家法律法規保護。任何損害公司保密信息的行為,公司均有權追究行為人法律責任。

5.1.3.2違規分級原則

根據違規行為的性質、造成的損失和影響的嚴重程度、違規人員是否有意對違規行為分級。涉及關鍵信息資產的,違規等級要升級;一次違反多條信息安全規定的人員按最高違規等級從重處罰;對多次違反信息安全規定的人員再次違規時要從重處罰。

5.1.3.3主動從寬原則

產生違規行為后主動報告,積極采取補救措施以減少影響和損失的人員,可減輕處罰;對問題隱瞞不報或者不及時上報而導致違規影響擴大的人員,加重處罰。

5.1.3.4過度防衛處罰原則

對阻礙信息合理流動與共享的人員要給予處罰。

5.1.3.5及時處理原則

對重大信息安全違規事件,要及時處理。任何拖延、推諉不處理的責任人,要給予問責。

5.2 獎勵等級與責任部門

5.2.1獎勵等級與措施

獎勵事跡

獎勵等級

獎勵措施

舉報或者制止泄密、竊密或者其他嚴重損害公司利益事件的集體或者個人

一級

根據具體情況給予8000元集體獎勵或者5000元個人獎勵;通報表揚(遵循“舉報保密原則“淡化事跡并隱藏人員信息)。

制止他人違規行為或者即時反映可能造成泄密、竊密或者其他重大安全隱患的個人,以及在信息安全方面做出表率或者突出貢獻的集體

二級

根據具體情況集體獎5000元或者3000個人獎勵;通報表揚(遵循“舉報保密原則“淡化事跡并隱藏人員信息)。

在信息安全管理中做出貢獻,反映信息安全隱患或者過度防衛被核實、提出信息安全合理化建議并被采納的個人,以及在信息安全方面做出貢獻的集體

三級

根據具體情況給予3000元集體獎勵或者1000元個人獎勵。

5.2.2獎勵責任部門

1)對于滿足信息安全獎勵標準的集體或者個人,it部信息安全組可根據具體事跡定期進行申報,審批通過后由人力資源部根據公司財務制度進行發放獎金;

2) 各部門信息安全接口人可自行組織對本部門優秀信息安全集體或者個人進行獎勵。

5.3 違規等級與責任部門

5.3.1 違規等級與措施

違規事件

違規等級

處罰措施

盜竊、故意泄露公司保密信息的,或故意違反信息安全管理規定,性質嚴重造成重大影響或者風險

一級

1. 直接開除,永不錄用;

2. 如違反法律法規由公司法務部移送公安機關處理;如給公司造成相關損失,須賠償公司損失。

3. 全公司范圍內通報處罰決定。

故意違反信息安全規定,性質嚴重;或者造成較大影響或較大風險

二級

1. 如給公司造成相關損失,須賠償公司損失;

2. 擔任公司管理崗位的人員,進行降職或者降薪處理;非公司管理崗位的人員,進行降薪處理;

3. 全公司范圍內通報處罰決定。

過失違反信息安全管理規定,造成一定影響或者風險的;或者故意違反信息安全管理規定,但性質不嚴重且沒有造成嚴重影響或風險

三級

1. 記入關鍵事件考評結果減10分或罰款500元;

2. 12個月內2次三級違規升級為1次二級違規。

3.部門內部通報處罰決定。

過失違反信息安全管理規定,性質較輕,且造成輕微影響或者風險

四級

1.記入關鍵事件考評結果減5分或罰款300元;

2.12個月內2次四級違規升級為1次三級違規;

3.部門內部通報處罰決定。

說明:

1) 信息安全管理規定包括公司各部門正式發布的信息安全管理制度;

2) 上表中“違規事件“的描述是定性的描述,是違規事件定級的參考原則。常見違規行為所適用違規等級具體參考附件1:《常見違規行為及其適用處罰等級舉例》,其他違規行為所使用等級可參考舉例進行認定。

5.3.2 責任判定

1)發生一、二級重大信息安全事件違規時,違規者直接上級和部門經理承擔直接和間接責任,部門副總須承擔連帶管理責任,并按照《常見違規行為及其適用處罰等級舉例v1.0》適用條款進行處罰;

2)對于三、四級信息安全違規,根據以下條件判斷責任人直接上級是否連帶處罰:

員工無意違規,且責任人領導未進行審批授權的,不進行連帶處罰;

員工無意違規,但責任人領導進行包庇的,在事實確認的基礎上,進行連帶處罰;

若所管理部門一個月內發生2次(含)以上故意違規或者4次(含)以上無意違規事件,對直接上級進行連帶處罰。

5.3.3 處罰責任部門

處罰等級

處罰責任人

批準

申訴

一級

總經理

/

人力資源部

二級

總經理

/

人力資源部

三級

部門分管副總

it部信息安全組

人力資源部

四級

部門分管副總

it部信息安全組

人力資源部

說明:

1)對于各類違規行為處罰應當慎重,應建立在客觀事實的基礎上給出處罰意見。根據違規行為性質、造成的損失和影響的大小,it部信息安全組有權要求對當事人加重或者減輕處罰;

2)發現可疑事件的組織作為事件調查和處理的責任部門。為了加快一級違規行為的處理進度,溝通時限和批準期限都是2天;

3)在違規事件處理過程中,it部信息安全組協助與監督處罰責任人完成處罰執行工作。處罰責任人或其授權人員要做好與違規員工的溝通工作。對違規處罰過程中出現的拖延、推諉行為,it部信息安全組可以行使否決權。

5.4.維護與解釋

1)本規定發布之日起生效;

2)本規定由it部信息安全組至少每兩年審視一次,根據審核結果修訂標準并頒布執行;

3)本規定解釋權歸it部信息安全組。

6.相關文件

附件1:《常見違規行為及其適用處罰等級舉例》

7.記錄表格

無