信息安全獎(jiǎng)懲管理辦法

信息安全獎(jiǎng)懲管理辦法

1.目的

明確信息安全獎(jiǎng)勵(lì)與違規(guī)行為處罰的操作原則,強(qiáng)化執(zhí)行,促進(jìn)員工信息安全意識(shí)提升。

2.適用范圍

本規(guī)范適用于深圳市**公司 (后續(xù)簡(jiǎn)稱為公司)。

3.定義

序號(hào)

角色

職責(zé)

001

信息安全事件

指識(shí)別出的發(fā)生的系統(tǒng)、服務(wù)或網(wǎng)絡(luò)事件表明可能違反信息安全策略或防護(hù)措施失效;或以前未知的與安全相關(guān)的情況;其中一、二級(jí)信息安全事件稱為重大信息安全事件。

002

信息安全活動(dòng)

為培養(yǎng)員工信息安全意識(shí),提高公司整體安全水平而舉辦的活動(dòng),形式包括但不限于:考試、培訓(xùn)、宣傳和自查。

4.職責(zé)與權(quán)限

序號(hào)

角色

職責(zé)

001

員工

遵守公司信息安全管理制度,積極配合、參與信息安全活動(dòng)。

002

各部門信息安全接口人

協(xié)助公司信息安全管理制度、產(chǎn)品的宣傳與培訓(xùn)工作;負(fù)責(zé)對(duì)部門信息安全問題進(jìn)行匯總與反饋。

003

部門主管

是部門信息安全的直接責(zé)任人,負(fù)責(zé)監(jiān)督和管理本部門員工的信息安全行為,并對(duì)潛在的信息安全風(fēng)險(xiǎn)進(jìn)行預(yù)警,預(yù)防信息安全事件。

004

部門經(jīng)理

作為部門信息安全的間接責(zé)任人,熟悉公司信息安全戰(zhàn)略,并積極推動(dòng)信息安全策略的落地執(zhí)行。

005

部門副總

對(duì)所負(fù)責(zé)部門的信息安全事件負(fù)相應(yīng)的管理責(zé)任。

006

it部信息安全組

對(duì)信息安全事件進(jìn)行跟蹤處理,并確定事件責(zé)任人。

007

董事會(huì)秘書

審核信息安全事件處理報(bào)告。

008

總經(jīng)理

最終審批信息安全事件處罰申請(qǐng)。

009

人力資源部

依據(jù)公司財(cái)務(wù)制度對(duì)已審批的信息安全獎(jiǎng)勵(lì)/處罰報(bào)告執(zhí)行經(jīng)濟(jì)獎(jiǎng)勵(lì)或者處罰措施。

010

法務(wù)部

配合it部信息安全組進(jìn)行信息安全事件處理,對(duì)違反法律法規(guī)的信息安全責(zé)任人依法追究法律責(zé)任。

5.內(nèi)容

5.1獎(jiǎng)勵(lì)、違規(guī)行為處罰原則

5.1.1及時(shí)激勵(lì)原則

對(duì)長(zhǎng)期妥善保護(hù)公司信息資產(chǎn),有效避免信息資產(chǎn)的遺失、濫用、盜用等,或?qū)τ诖龠M(jìn)信息安全合理共享表現(xiàn)突出的個(gè)人或者集體,將及時(shí)獎(jiǎng)勵(lì)。

5.1.2舉報(bào)保密原則

對(duì)于舉報(bào)信息安全違規(guī)行為的人員,將對(duì)其進(jìn)行獎(jiǎng)勵(lì)并嚴(yán)格保護(hù)其個(gè)人資料不公開。

5.1.3違規(guī)行為處罰原則

5.1.3.1法律追究原則

公司所有保密信息均為公司合法資產(chǎn),受國(guó)家法律法規(guī)保護(hù)。任何損害公司保密信息的行為,公司均有權(quán)追究行為人法律責(zé)任。

5.1.3.2違規(guī)分級(jí)原則

根據(jù)違規(guī)行為的性質(zhì)、造成的損失和影響的嚴(yán)重程度、違規(guī)人員是否有意對(duì)違規(guī)行為分級(jí)。涉及關(guān)鍵信息資產(chǎn)的,違規(guī)等級(jí)要升級(jí);一次違反多條信息安全規(guī)定的人員按最高違規(guī)等級(jí)從重處罰;對(duì)多次違反信息安全規(guī)定的人員再次違規(guī)時(shí)要從重處罰。

5.1.3.3主動(dòng)從寬原則

產(chǎn)生違規(guī)行為后主動(dòng)報(bào)告,積極采取補(bǔ)救措施以減少影響和損失的人員,可減輕處罰;對(duì)問題隱瞞不報(bào)或者不及時(shí)上報(bào)而導(dǎo)致違規(guī)影響擴(kuò)大的人員,加重處罰。

5.1.3.4過(guò)度防衛(wèi)處罰原則

對(duì)阻礙信息合理流動(dòng)與共享的人員要給予處罰。

5.1.3.5及時(shí)處理原則

對(duì)重大信息安全違規(guī)事件,要及時(shí)處理。任何拖延、推諉不處理的責(zé)任人,要給予問責(zé)。

5.2 獎(jiǎng)勵(lì)等級(jí)與責(zé)任部門

5.2.1獎(jiǎng)勵(lì)等級(jí)與措施

獎(jiǎng)勵(lì)事跡

獎(jiǎng)勵(lì)等級(jí)

獎(jiǎng)勵(lì)措施

舉報(bào)或者制止泄密、竊密或者其他嚴(yán)重?fù)p害公司利益事件的集體或者個(gè)人

一級(jí)

根據(jù)具體情況給予8000元集體獎(jiǎng)勵(lì)或者5000元個(gè)人獎(jiǎng)勵(lì);通報(bào)表?yè)P(yáng)(遵循“舉報(bào)保密原則“淡化事跡并隱藏人員信息)。

制止他人違規(guī)行為或者即時(shí)反映可能造成泄密、竊密或者其他重大安全隱患的個(gè)人,以及在信息安全方面做出表率或者突出貢獻(xiàn)的集體

二級(jí)

根據(jù)具體情況集體獎(jiǎng)5000元或者3000個(gè)人獎(jiǎng)勵(lì);通報(bào)表?yè)P(yáng)(遵循“舉報(bào)保密原則“淡化事跡并隱藏人員信息)。

在信息安全管理中做出貢獻(xiàn),反映信息安全隱患或者過(guò)度防衛(wèi)被核實(shí)、提出信息安全合理化建議并被采納的個(gè)人,以及在信息安全方面做出貢獻(xiàn)的集體

三級(jí)

根據(jù)具體情況給予3000元集體獎(jiǎng)勵(lì)或者1000元個(gè)人獎(jiǎng)勵(lì)。

5.2.2獎(jiǎng)勵(lì)責(zé)任部門

1)對(duì)于滿足信息安全獎(jiǎng)勵(lì)標(biāo)準(zhǔn)的集體或者個(gè)人,it部信息安全組可根據(jù)具體事跡定期進(jìn)行申報(bào),審批通過(guò)后由人力資源部根據(jù)公司財(cái)務(wù)制度進(jìn)行發(fā)放獎(jiǎng)金;

2) 各部門信息安全接口人可自行組織對(duì)本部門優(yōu)秀信息安全集體或者個(gè)人進(jìn)行獎(jiǎng)勵(lì)。

5.3 違規(guī)等級(jí)與責(zé)任部門

5.3.1 違規(guī)等級(jí)與措施

違規(guī)事件

違規(guī)等級(jí)

處罰措施

盜竊、故意泄露公司保密信息的,或故意違反信息安全管理規(guī)定,性質(zhì)嚴(yán)重造成重大影響或者風(fēng)險(xiǎn)

一級(jí)

1. 直接開除,永不錄用;

2. 如違反法律法規(guī)由公司法務(wù)部移送公安機(jī)關(guān)處理;如給公司造成相關(guān)損失,須賠償公司損失。

3. 全公司范圍內(nèi)通報(bào)處罰決定。

故意違反信息安全規(guī)定,性質(zhì)嚴(yán)重;或者造成較大影響或較大風(fēng)險(xiǎn)

二級(jí)

1. 如給公司造成相關(guān)損失,須賠償公司損失;

2. 擔(dān)任公司管理崗位的人員,進(jìn)行降職或者降薪處理;非公司管理崗位的人員,進(jìn)行降薪處理;

3. 全公司范圍內(nèi)通報(bào)處罰決定。

過(guò)失違反信息安全管理規(guī)定,造成一定影響或者風(fēng)險(xiǎn)的;或者故意違反信息安全管理規(guī)定,但性質(zhì)不嚴(yán)重且沒有造成嚴(yán)重影響或風(fēng)險(xiǎn)

三級(jí)

1. 記入關(guān)鍵事件考評(píng)結(jié)果減10分或罰款500元;

2. 12個(gè)月內(nèi)2次三級(jí)違規(guī)升級(jí)為1次二級(jí)違規(guī)。

3.部門內(nèi)部通報(bào)處罰決定。

過(guò)失違反信息安全管理規(guī)定,性質(zhì)較輕,且造成輕微影響或者風(fēng)險(xiǎn)

四級(jí)

1.記入關(guān)鍵事件考評(píng)結(jié)果減5分或罰款300元;

2.12個(gè)月內(nèi)2次四級(jí)違規(guī)升級(jí)為1次三級(jí)違規(guī);

3.部門內(nèi)部通報(bào)處罰決定。

說(shuō)明:

1) 信息安全管理規(guī)定包括公司各部門正式發(fā)布的信息安全管理制度;

2) 上表中“違規(guī)事件“的描述是定性的描述,是違規(guī)事件定級(jí)的參考原則。常見違規(guī)行為所適用違規(guī)等級(jí)具體參考附件1:《常見違規(guī)行為及其適用處罰等級(jí)舉例》,其他違規(guī)行為所使用等級(jí)可參考舉例進(jìn)行認(rèn)定。

5.3.2 責(zé)任判定

1)發(fā)生一、二級(jí)重大信息安全事件違規(guī)時(shí),違規(guī)者直接上級(jí)和部門經(jīng)理承擔(dān)直接和間接責(zé)任,部門副總須承擔(dān)連帶管理責(zé)任,并按照《常見違規(guī)行為及其適用處罰等級(jí)舉例v1.0》適用條款進(jìn)行處罰;

2)對(duì)于三、四級(jí)信息安全違規(guī),根據(jù)以下條件判斷責(zé)任人直接上級(jí)是否連帶處罰:

員工無(wú)意違規(guī),且責(zé)任人領(lǐng)導(dǎo)未進(jìn)行審批授權(quán)的,不進(jìn)行連帶處罰;

員工無(wú)意違規(guī),但責(zé)任人領(lǐng)導(dǎo)進(jìn)行包庇的,在事實(shí)確認(rèn)的基礎(chǔ)上,進(jìn)行連帶處罰;

若所管理部門一個(gè)月內(nèi)發(fā)生2次(含)以上故意違規(guī)或者4次(含)以上無(wú)意違規(guī)事件,對(duì)直接上級(jí)進(jìn)行連帶處罰。

5.3.3 處罰責(zé)任部門

處罰等級(jí)

處罰責(zé)任人

批準(zhǔn)

申訴

一級(jí)

總經(jīng)理

/

人力資源部

二級(jí)

總經(jīng)理

/

人力資源部

三級(jí)

部門分管副總

it部信息安全組

人力資源部

四級(jí)

部門分管副總

it部信息安全組

人力資源部

說(shuō)明:

1)對(duì)于各類違規(guī)行為處罰應(yīng)當(dāng)慎重,應(yīng)建立在客觀事實(shí)的基礎(chǔ)上給出處罰意見。根據(jù)違規(guī)行為性質(zhì)、造成的損失和影響的大小,it部信息安全組有權(quán)要求對(duì)當(dāng)事人加重或者減輕處罰;

2)發(fā)現(xiàn)可疑事件的組織作為事件調(diào)查和處理的責(zé)任部門。為了加快一級(jí)違規(guī)行為的處理進(jìn)度,溝通時(shí)限和批準(zhǔn)期限都是2天;

3)在違規(guī)事件處理過(guò)程中,it部信息安全組協(xié)助與監(jiān)督處罰責(zé)任人完成處罰執(zhí)行工作。處罰責(zé)任人或其授權(quán)人員要做好與違規(guī)員工的溝通工作。對(duì)違規(guī)處罰過(guò)程中出現(xiàn)的拖延、推諉行為,it部信息安全組可以行使否決權(quán)。

5.4.維護(hù)與解釋

1)本規(guī)定發(fā)布之日起生效;

2)本規(guī)定由it部信息安全組至少每?jī)赡陮徱曇淮?根據(jù)審核結(jié)果修訂標(biāo)準(zhǔn)并頒布執(zhí)行;

3)本規(guī)定解釋權(quán)歸it部信息安全組。

6.相關(guān)文件

附件1:《常見違規(guī)行為及其適用處罰等級(jí)舉例》

7.記錄表格

無(wú)