信息安全奖惩管理办法

2020 3 301 6 信息安全奖惩管理办法信息安全奖惩管理办法 1 1 目的目的 明确信息安全奖励与违规行为处罚的操作原则 强化执行 促进员工信息安全意 识提升 2 2 适用范围适用范围 本规范适用于深圳市 XX 公司 后续简称为公司 3 3 定义定义 序号序号角色角色职责职责 001 信息安全事件指识别出的发生的系统 服务或网络事件表明可能违反信息安全 策略或防护措施失效 或以前未知的与安全相关的情况 其中一 二级信息安全事件称为重大信息安全事件 002 信息安全活动为培养员工信息安全意识 提高公司整体安全水平而举办的活动 形式包括但不限于 考试 培训 宣传和自查 4 4 职责与权限职责与权限 序号序号角色角色职责职责 001 员工遵守公司信息安全管理制度 积极配合 参与信息安全活动 002 各部门信息安全 接口人 协助公司信息安全管理制度 产品的宣传与培训工作 负责对 部门信息安全问题进行汇总与反馈 003 部门主管是部门信息安全的直接责任人 负责监督和管理本部门员工的 信息安全行为 并对潜在的信息安全风险进行预警 预防信息 安全事件 004 部门经理作为部门信息安全的间接责任人 熟悉公司信息安全战略 并 积极推动信息安全策略的落地执行 005 部门副总对所负责部门的信息安全事件负相应的管理责任 006 IT 部信息安全组对信息安全事件进行跟踪处理 并确定事件责任人 007 董事会秘书审核信息安全事件处理报告 008 总经理最终审批信息安全事件处罚申请 009 人力资源部依据公司财务制度对已审批的信息安全奖励 处罚报告执行经 济奖励或者处罚措施 2020 3 302 6 010 法务部配合 IT 部信息安全组进行信息安全事件处理 对违反法律法 规的信息安全责任人依法追究法律责任 5 5 内容内容 5 15 1 奖励 违规行为处罚原则奖励 违规行为处罚原则 5 1 15 1 1 及时激励原则及时激励原则 对长期妥善保护公司信息资产 有效避免信息资产的遗失 滥用 盗用等 或对于促进信息安全合理共享表现突出的个人或者集体 将及时奖励 5 1 25 1 2 举报保密原则举报保密原则 对于举报信息安全违规行为的人员 将对其进行奖励并严格保护其个人资料 不公开 5 1 35 1 3 违规行为处罚原则违规行为处罚原则 5 1 3 15 1 3 1 法律追究原则法律追究原则 公司所有保密信息均为公司合法资产 受国家法律法规保护 任何损害公司 保密信息的行为 公司均有权追究行为人法律责任 5 1 3 25 1 3 2 违规分级原则违规分级原则 根据违规行为的性质 造成的损失和影响的严重程度 违规人员是否有意对 违规行为分级 涉及关键信息资产的 违规等级要升级 一次违反多条信息安全 规定的人员按最高违规等级从重处罚 对多次违反信息安全规定的人员再次违规 时要从重处罚 5 1 3 35 1 3 3 主动从宽原则主动从宽原则 产生违规行为后主动报告 积极采取补救措施以减少影响和损失的人员 可 减轻处罚 对问题隐瞒不报或者不及时上报而导致违规影响扩大的人员 加重处 罚 2020 3 303 6 5 1 3 45 1 3 4 过度防卫处罚原则过度防卫处罚原则 对阻碍信息合理流动与共享的人员要给予处罚 5 1 3 55 1 3 5 及时处理原则及时处理原则 对重大信息安全违规事件 要及时处理 任何拖延 推诿不处理的责任人 要给 予问责 5 25 2奖励等级与责任部门奖励等级与责任部门 5 2 15 2 1 奖励等级与措施奖励等级与措施 奖励事迹奖励事迹奖励等级奖励等级奖励措施奖励措施 举报或者制止泄密 窃密或者 其他严重损害公司利益事件的 集体或者个人 一级根据具体情况给予 8000 元集体 奖励或者 5000 元个人奖励 通 报表扬 遵循 举报保密原则 淡化事迹并隐藏人员信息 制止他人违规行为或者即时反 映可能造成泄密 窃密或者其 他重大安全隐患的个人 以及 在信息安全方面做出表率或者 突出贡献的集体 二级根据具体情况集体奖 5000 元或 者 3000 个人奖励 通报表扬 遵循 举报保密原则 淡化事 迹并隐藏人员信息 在信息安全管理中做出贡献 反映信息安全隐患或者过度防 卫被核实 提出信息安全合理 化建议并被采纳的个人 以及 在信息安全方面做出贡献的集 体 三级根据具体情况给予 3000 元集体 奖励或者 1000 元个人奖励 5 2 25 2 2 奖励责任部门奖励责任部门 1 对于满足信息安全奖励标准的集体或者个人 IT 部信息安全组可根据具体事 2020 3 304 6 迹定期进行申报 审批通过后由人力资源部根据公司财务制度进行发放奖金 2 各部门信息安全接口人可自行组织对本部门优秀信息安全集体或者个人进行 奖励 5 35 3违规等级与责任部门违规等级与责任部门 5 3 15 3 1 违规等级与措施违规等级与措施 违规事件违规事件违规等级违规等级处罚措施处罚措施 盗窃 故意泄露公司保 密信息的 或故意违反 信息安全管理规定 性 质严重造成重大影响或 者风险 一级1 直接开除 永不录用 2 如违反法律法规由公司法务部移送公 安机关处理 如给公司造成相关损失 须赔偿公司损失 3 全公司范围内通报处罚决定 故意违反信息安全规定 性质严重 或者造成较 大影响或较大风险 二级1 如给公司造成相关损失 须赔偿公司 损失 2 担任公司管理岗位的人员 进行降职 或者降薪处理 非公司管理岗位的人 员 进行降薪处理 3 全公司范围内通报处罚决定 过失违反信息安全管理 规定 造成一定影响或 者风险的 或者故意违 反信息安全管理规定 但性质不严重且没有造 成严重影响或风险 三级1 记入关键事件考评结果减 10 分或罚款 500 元 2 12 个月内 2 次三级违规升级为 1 次二 级违规 3 部门内部通报处罚决定 过失违反信息安全管理 规定 性质较轻 且造 成轻微影响或者风险 四级1 记入关键事件考评结果减 5 分或罚款 300 元 2 12 个月内 2 次四级违规升级为 1 次三 级违规 2020 3 305 6 3 部门内部通报处罚决定 说明说明 1 信息安全管理规定包括公司各部门正式发布的信息安全管理制度 2 上表中 违规事件 的描述是定性的描述 是违规事件定级的参考原则 常见 违规行为所适用违规等级具体参考附件 1 常见违规行为及其适用处罚等级 举例 其他违规行为所使用等级可参考举例进行认定 5 3 25 3 2 责任判定责任判定 1 发生一 二级重大信息安全事件违规时 违规者直接上级和部门经理承担直接 和间接责任 部门副总须承担连带管理责任 并按照 常见违规行为及其适用处 罚等级举例 V1 0 适用条款进行处罚 2 对于三 四级信息安全违规 根据以下条件判断责任人直接上级是否连带处罚 员工无意违规 且责任人领导未进行审批授权的 不进行连带处罚 员工无意违规 但责任人领导进行包庇的 在事实确认的基础上 进行连带处 罚 若所管理部门一个月内发生 2 次 含 以上故意违规或者 4 次 含 以上无意 违规事件 对直接上级进行连带处罚 5 3 35 3 3 处罚责任部门处罚责任部门 处罚等级处罚等级处罚责任人处罚责任人批准批准申诉申诉 一级总经理 人力资源部 二级总经理 人力资源部 三级部门分管副总IT 部信息安全组人力资源部 四级部门分管副总IT 部信息安全组人力资源部 说明 说明 1 对于各类违规行为处罚应当慎重 应建立在客观事实的基础上给出处罚意 见 根据违规行为性质 造成的损失和影响的大小 IT 部信息安全组有权要求对 当事人加重或者减轻处罚 2020 3 306 6 2 发现可疑事件的组织作为事件调查和处理的责任部门 为了加快一级违规 行为的处理进度 沟通时限和批准期限都是 2 天 3 在违规事件处理过程中 IT 部信息安全组协助与监督处罚责任人完成处罚 执行工作 处罚责任人或其授权人员要做好与违规员工的沟通工作 对违规处罚 过