信息安全獎懲管理辦法
1.目的
明確信息安全獎勵與違規(guī)行為處罰的操作原則,強化執(zhí)行,促進員工信息安全意識提升。
2.適用范圍
本規(guī)范適用于深圳市**公司 (后續(xù)簡稱為公司)。
3.定義
序號
角色
職責
001
信息安全事件
指識別出的發(fā)生的系統(tǒng)、服務(wù)或網(wǎng)絡(luò)事件表明可能違反信息安全策略或防護措施失效;或以前未知的與安全相關(guān)的情況;其中一、二級信息安全事件稱為重大信息安全事件。
002
信息安全活動
為培養(yǎng)員工信息安全意識,提高公司整體安全水平而舉辦的活動,形式包括但不限于:考試、培訓(xùn)、宣傳和自查。
4.職責與權(quán)限
序號
角色
職責
001
員工
遵守公司信息安全管理制度,積極配合、參與信息安全活動。
002
各部門信息安全接口人
協(xié)助公司信息安全管理制度、產(chǎn)品的宣傳與培訓(xùn)工作;負責對部門信息安全問題進行匯總與反饋。
003
部門主管
是部門信息安全的直接責任人,負責監(jiān)督和管理本部門員工的信息安全行為,并對潛在的信息安全風(fēng)險進行預(yù)警,預(yù)防信息安全事件。
004
部門經(jīng)理
作為部門信息安全的間接責任人,熟悉公司信息安全戰(zhàn)略,并積極推動信息安全策略的落地執(zhí)行。
005
部門副總
對所負責部門的信息安全事件負相應(yīng)的管理責任。
006
it部信息安全組
對信息安全事件進行跟蹤處理,并確定事件責任人。
007
董事會秘書
審核信息安全事件處理報告。
008
總經(jīng)理
最終審批信息安全事件處罰申請。
009
人力資源部
依據(jù)公司財務(wù)制度對已審批的信息安全獎勵/處罰報告執(zhí)行經(jīng)濟獎勵或者處罰措施。
010
法務(wù)部
配合it部信息安全組進行信息安全事件處理,對違反法律法規(guī)的信息安全責任人依法追究法律責任。
5.內(nèi)容
5.1獎勵、違規(guī)行為處罰原則
5.1.1及時激勵原則
對長期妥善保護公司信息資產(chǎn),有效避免信息資產(chǎn)的遺失、濫用、盜用等,或?qū)τ诖龠M信息安全合理共享表現(xiàn)突出的個人或者集體,將及時獎勵。
5.1.2舉報保密原則
對于舉報信息安全違規(guī)行為的人員,將對其進行獎勵并嚴格保護其個人資料不公開。
5.1.3違規(guī)行為處罰原則
5.1.3.1法律追究原則
公司所有保密信息均為公司合法資產(chǎn),受國家法律法規(guī)保護。任何損害公司保密信息的行為,公司均有權(quán)追究行為人法律責任。
5.1.3.2違規(guī)分級原則
根據(jù)違規(guī)行為的性質(zhì)、造成的損失和影響的嚴重程度、違規(guī)人員是否有意對違規(guī)行為分級。涉及關(guān)鍵信息資產(chǎn)的,違規(guī)等級要升級;一次違反多條信息安全規(guī)定的人員按最高違規(guī)等級從重處罰;對多次違反信息安全規(guī)定的人員再次違規(guī)時要從重處罰。
5.1.3.3主動從寬原則
產(chǎn)生違規(guī)行為后主動報告,積極采取補救措施以減少影響和損失的人員,可減輕處罰;對問題隱瞞不報或者不及時上報而導(dǎo)致違規(guī)影響擴大的人員,加重處罰。
5.1.3.4過度防衛(wèi)處罰原則
對阻礙信息合理流動與共享的人員要給予處罰。
5.1.3.5及時處理原則
對重大信息安全違規(guī)事件,要及時處理。任何拖延、推諉不處理的責任人,要給予問責。
5.2 獎勵等級與責任部門
5.2.1獎勵等級與措施
獎勵事跡
獎勵等級
獎勵措施
舉報或者制止泄密、竊密或者其他嚴重損害公司利益事件的集體或者個人
一級
根據(jù)具體情況給予8000元集體獎勵或者5000元個人獎勵;通報表揚(遵循“舉報保密原則“淡化事跡并隱藏人員信息)。
制止他人違規(guī)行為或者即時反映可能造成泄密、竊密或者其他重大安全隱患的個人,以及在信息安全方面做出表率或者突出貢獻的集體
二級
根據(jù)具體情況集體獎5000元或者3000個人獎勵;通報表揚(遵循“舉報保密原則“淡化事跡并隱藏人員信息)。
在信息安全管理中做出貢獻,反映信息安全隱患或者過度防衛(wèi)被核實、提出信息安全合理化建議并被采納的個人,以及在信息安全方面做出貢獻的集體
三級
根據(jù)具體情況給予3000元集體獎勵或者1000元個人獎勵。
5.2.2獎勵責任部門
1)對于滿足信息安全獎勵標準的集體或者個人,it部信息安全組可根據(jù)具體事跡定期進行申報,審批通過后由人力資源部根據(jù)公司財務(wù)制度進行發(fā)放獎金;
2) 各部門信息安全接口人可自行組織對本部門優(yōu)秀信息安全集體或者個人進行獎勵。
5.3 違規(guī)等級與責任部門
5.3.1 違規(guī)等級與措施
違規(guī)事件
違規(guī)等級
處罰措施
盜竊、故意泄露公司保密信息的,或故意違反信息安全管理規(guī)定,性質(zhì)嚴重造成重大影響或者風(fēng)險
一級
1. 直接開除,永不錄用;
2. 如違反法律法規(guī)由公司法務(wù)部移送公安機關(guān)處理;如給公司造成相關(guān)損失,須賠償公司損失。
3. 全公司范圍內(nèi)通報處罰決定。
故意違反信息安全規(guī)定,性質(zhì)嚴重;或者造成較大影響或較大風(fēng)險
二級
1. 如給公司造成相關(guān)損失,須賠償公司損失;
2. 擔任公司管理崗位的人員,進行降職或者降薪處理;非公司管理崗位的人員,進行降薪處理;
3. 全公司范圍內(nèi)通報處罰決定。
過失違反信息安全管理規(guī)定,造成一定影響或者風(fēng)險的;或者故意違反信息安全管理規(guī)定,但性質(zhì)不嚴重且沒有造成嚴重影響或風(fēng)險
三級
1. 記入關(guān)鍵事件考評結(jié)果減10分或罰款500元;
2. 12個月內(nèi)2次三級違規(guī)升級為1次二級違規(guī)。
3.部門內(nèi)部通報處罰決定。
過失違反信息安全管理規(guī)定,性質(zhì)較輕,且造成輕微影響或者風(fēng)險
四級
1.記入關(guān)鍵事件考評結(jié)果減5分或罰款300元;
2.12個月內(nèi)2次四級違規(guī)升級為1次三級違規(guī);
3.部門內(nèi)部通報處罰決定。
說明:
1) 信息安全管理規(guī)定包括公司各部門正式發(fā)布的信息安全管理制度;
2) 上表中“違規(guī)事件“的描述是定性的描述,是違規(guī)事件定級的參考原則。常見違規(guī)行為所適用違規(guī)等級具體參考附件1:《常見違規(guī)行為及其適用處罰等級舉例》,其他違規(guī)行為所使用等級可參考舉例進行認定。
5.3.2 責任判定
1)發(fā)生一、二級重大信息安全事件違規(guī)時,違規(guī)者直接上級和部門經(jīng)理承擔直接和間接責任,部門副總須承擔連帶管理責任,并按照《常見違規(guī)行為及其適用處罰等級舉例v1.0》適用條款進行處罰;
2)對于三、四級信息安全違規(guī),根據(jù)以下條件判斷責任人直接上級是否連帶處罰:
員工無意違規(guī),且責任人領(lǐng)導(dǎo)未進行審批授權(quán)的,不進行連帶處罰;
員工無意違規(guī),但責任人領(lǐng)導(dǎo)進行包庇的,在事實確認的基礎(chǔ)上,進行連帶處罰;
若所管理部門一個月內(nèi)發(fā)生2次(含)以上故意違規(guī)或者4次(含)以上無意違規(guī)事件,對直接上級進行連帶處罰。
5.3.3 處罰責任部門
處罰等級
處罰責任人
批準
申訴
一級
總經(jīng)理
/
人力資源部
二級
總經(jīng)理
/
人力資源部
三級
部門分管副總
it部信息安全組
人力資源部
四級
部門分管副總
it部信息安全組
人力資源部
說明:
1)對于各類違規(guī)行為處罰應(yīng)當慎重,應(yīng)建立在客觀事實的基礎(chǔ)上給出處罰意見。根據(jù)違規(guī)行為性質(zhì)、造成的損失和影響的大小,it部信息安全組有權(quán)要求對當事人加重或者減輕處罰;
2)發(fā)現(xiàn)可疑事件的組織作為事件調(diào)查和處理的責任部門。為了加快一級違規(guī)行為的處理進度,溝通時限和批準期限都是2天;
3)在違規(guī)事件處理過程中,it部信息安全組協(xié)助與監(jiān)督處罰責任人完成處罰執(zhí)行工作。處罰責任人或其授權(quán)人員要做好與違規(guī)員工的溝通工作。對違規(guī)處罰過程中出現(xiàn)的拖延、推諉行為,it部信息安全組可以行使否決權(quán)。
5.4.維護與解釋
1)本規(guī)定發(fā)布之日起生效;
2)本規(guī)定由it部信息安全組至少每兩年審視一次,根據(jù)審核結(jié)果修訂標準并頒布執(zhí)行;
3)本規(guī)定解釋權(quán)歸it部信息安全組。
6.相關(guān)文件
附件1:《常見違規(guī)行為及其適用處罰等級舉例》
7.記錄表格
無