单位网络安全责任追究制度

单位网络安全责任追究制度一、总则

1.1制定目的与依据

为加强单位网络安全管理，落实网络安全责任，预防和处置网络安全事件，保障单位信息系统及数据安全，依据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《关键信息基础设施安全保护条例》及行业主管部门相关规定，结合单位实际，制定本制度。

1.2适用范围

本制度适用于单位所属各部门、各分支机构、全体工作人员（含正式员工、合同制员工、实习人员及其他为单位提供劳务的人员）以及与单位存在业务合作关系的第三方服务提供者。单位所有网络基础设施、信息系统、数据资源的规划、建设、运行、维护和管理活动中的网络安全责任追究，适用本制度。

1.3基本原则

网络安全责任追究遵循依法依规、客观公正、权责一致、谁主管谁负责、谁运行谁负责、教育与惩戒相结合的原则。以事实为依据，以法律为准绳，坚持惩前毖后、治病救人，既追究违规行为责任，又注重警示教育，推动网络安全责任落实。

1.4责任主体

单位主要负责人是网络安全第一责任人，对单位网络安全工作负全面责任；分管网络安全工作的负责人是直接责任人，协助主要负责人统筹推进网络安全工作；各部门负责人是本部门网络安全责任人，负责落实本部门网络安全管理要求；各岗位人员是直接责任人，履行岗位对应的网络安全职责；第三方服务提供者通过合同或协议明确网络安全责任，接受单位监督与管理。

二、责任划分

2.1单位领导层责任

2.1.1主要负责人责任

单位主要负责人作为网络安全第一责任人，承担全面领导职责。其核心任务是确保网络安全工作与单位业务目标紧密结合，统筹制定网络安全战略和政策。主要负责人需定期组织网络安全会议，审核安全预算，批准重大安全措施，并监督执行效果。在日常管理中，主要负责人应确保网络安全资源充足，包括人员、技术和资金投入，避免因资源不足导致安全漏洞。例如，在系统升级或新项目启动时，主要负责人必须优先评估安全风险，并签署相关审批文件。此外，主要负责人需对网络安全事件负最终责任，一旦发生重大事故，应亲自牵头调查，并向上级主管部门汇报处理结果。这一责任划分体现了“谁主管谁负责”的原则，确保领导层对网络安全有直接掌控力。

2.1.2分管负责人责任

分管网络安全工作的负责人作为直接责任人，协助主要负责人落实具体安全事务。其职责包括制定年度网络安全计划，细化安全目标和考核指标，并协调各部门协作。分管负责人需定期检查安全措施执行情况，如防火墙配置、数据加密标准等，确保符合国家法规和单位制度。在技术层面，分管负责人应推动安全技术创新，引入先进防护工具，并组织安全演练，提升应急响应能力。同时，分管负责人需与外部安全机构建立合作关系，获取最新威胁情报，并指导内部团队进行漏洞修复。例如，在发现系统漏洞时，分管负责人必须安排技术人员立即修补，并记录处理过程。这一责任强调“谁运行谁负责”，确保安全工作从规划到执行无缝衔接。

2.2部门负责人责任

2.2.1部门内部管理责任

部门负责人作为本部门网络安全责任人，负责将单位安全政策转化为部门内部行动。其首要任务是制定部门级安全实施细则，明确各岗位安全职责，并建立日常监督机制。部门负责人需定期组织部门会议，传达安全要求，解决员工在操作中遇到的问题，如密码管理规范或数据访问权限控制。在人员管理上，部门负责人应确保员工接受必要的安全培训，提升风险意识，避免因疏忽导致安全事故。例如，在员工入职或转岗时，部门负责人必须安排安全培训，并签署责任书。此外，部门负责人需监控部门内部安全事件，如异常登录或数据泄露，并第一时间向分管负责人报告。这一责任划分确保部门层级安全工作落地，形成“自上而下”的管理链条。

2.2.2安全措施落实责任

部门负责人需直接推动安全措施在本部门的实施，确保技术和管理手段有效运行。具体包括部署安全软件，如杀毒程序或入侵检测系统，并定期更新以应对新威胁。部门负责人还应监督数据分类处理，对敏感信息实施加密和备份，防止未授权访问。在日常操作中，部门负责人需检查员工合规性，如禁止使用未经授权的设备或软件，并记录违规行为。例如，在部门共享文件管理中，负责人必须设置访问权限，并定期审计日志。此外，部门负责人应配合单位整体安全审计，提供必要文档和证据，证明安全措施到位。这一责任强调“谁使用谁负责”，确保每个部门成为安全防线的关键环节。

2.3员工责任

2.3.1日常操作责任

员工作为网络安全直接责任人，需在日常工作中严格遵守安全规定，履行具体操作职责。其核心任务是正确使用单位信息系统，包括定期更新密码、避免点击可疑邮件链接，并及时报告安全异常。例如，在处理数据时，员工必须按照分类标准操作，防止泄露敏感信息。员工还需维护个人工作环境安全，如锁屏离开电脑、不安装未经批准的软件，并参与单位组织的安全演练，提升应急能力。在协作中，员工应遵守信息共享规则，如通过加密渠道传输文件，避免使用公共网络处理工作。这一责任划分确保每位员工成为安全防线的基础单元，减少人为失误导致的风险。

2.3.2安全意识责任

员工需主动提升安全意识，识别潜在威胁，并积极参与安全文化建设。具体包括定期参加安全培训，学习最新攻击手段防护知识，如钓鱼邮件识别或社会工程学防范。员工应养成良好习惯，如定期检查系统更新、备份重要文件，并在发现漏洞时立即报告上级。例如，在收到可疑信息时，员工必须暂停操作，联系IT部门核实。此外，员工需协助推广安全文化，向同事分享安全经验，并参与安全宣传活动，如月度安全讲座。这一责任强调“全员参与”，确保安全意识融入日常工作，形成“人人有责”的氛围。

2.4第三方服务提供者责任

2.4.1合同约定责任

第三方服务提供者通过与单位签订合同，明确网络安全责任，确保合作过程中安全合规。合同中需规定第三方必须遵守单位安全政策，如数据保护标准、访问控制协议，并接受单位定期审计。第三方需指定专人负责安全事务，及时响应单位安全要求，如漏洞修复或安全报告。例如，在提供云服务时，第三方必须确保数据加密存储，并签署保密协议。此外，第三方需在合同中明确违约责任，如因疏忽导致数据泄露，应承担相应赔偿。这一责任划分通过法律约束，保障单位数据安全，避免第三方引入风险。

2.4.2监督配合责任

第三方服务提供者需主动配合单位安全监督，提供必要支持以维护整体安全。具体包括定期提交安全报告，描述系统运行状态和风险处理情况，并允许单位安全团队进行现场检查。第三方应参与单位安全演练，模拟应急场景，如系统故障或攻击事件，提升协同响应能力。例如，在安全事件发生时，第三方必须立即启动应急预案，并共享相关信息。此外，第三方需持续改进安全措施，根据单位反馈调整服务，如加强防火墙配置或员工培训。这一责任强调“共同负责”，确保第三方成为单位安全生态的有机部分，形成内外联动的防护机制。

三、责任追究情形

3.1管理失职情形

3.1.1制度建设缺失

单位未建立网络安全管理制度或制度内容违反国家法律法规，导致安全责任无法落实。例如，未制定数据分类分级保护规则、未明确第三方安全管理要求，或制度长期未修订更新。部门负责人未将单位安全政策转化为部门实施细则，造成管理真空。分管负责人未监督制度执行，未定期组织合规性检查，导致制度形同虚设。主要负责人未审批关键制度文件，未保障制度推行所需资源，使管理要求无法落地。

3.1.2资源保障不足

单位未按网络安全需求配置必要资源，包括安全预算未纳入年度计划、安全岗位编制不足或技术设备陈旧。例如，因资金短缺未部署入侵检测系统，或未安排专职安全人员导致日常监控缺位。分管负责人未统筹资源调配，未向主要负责人提出资源申请，造成防护能力滞后。部门负责人未及时上报部门资源缺口，未推动员工安全培训，使基层防护能力薄弱。

3.1.3监督检查缺位

单位未建立网络安全监督检查机制，或检查流于形式。例如，未开展年度安全审计、未对高风险系统进行渗透测试，或检查报告未反馈整改要求。分管负责人未组织跨部门联合检查，未跟踪问题整改闭环，导致同类问题反复出现。部门负责人未开展部门内部自查，未记录员工违规操作，使风险持续积累。主要负责人未听取监督汇报，未督促重大隐患处置，造成监管失效。

3.2技术防护失效情形

3.2.1系统漏洞未处置

未及时修复信息系统漏洞或未响应安全预警。例如，收到国家漏洞通报后30日内未完成补丁更新，或未对高危漏洞采取临时隔离措施。技术部门负责人未建立漏洞管理流程，未分配修复责任人，导致漏洞长期存在。运维人员未执行漏洞扫描任务，未验证修复效果，使系统暴露于攻击风险。分管负责人未审核漏洞处置报告，未协调业务部门配合停机修复，延误处置时机。

3.2.2防护措施未落实

未按规范部署安全防护技术措施。例如，未启用数据库加密功能、未配置访问控制策略，或未建立安全日志留存机制。技术团队未实施网络分区隔离，未部署终端防护软件，导致横向攻击风险。部门负责人未监督措施落地，未检查策略有效性，使防护形同虚设。分管负责人未批准技术方案，未验收防护效果，造成技术防线失守。

3.2.3应急响应迟滞

发生网络安全事件后未按预案响应。例如，系统被攻击后2小时内未启动应急小组，或未及时切断攻击源。技术负责人未指挥事件溯源，未保存证据链，影响后续追责。部门负责人未配合业务恢复，未通知受影响用户，扩大事件影响。分管负责人未向上级报告事件，未组织复盘分析，导致同类事件再发。

3.3人为操作违规情形

3.3.1权限滥用

超越权限访问系统或数据。例如，非授权人员查看敏感数据库，或管理员违规导出客户信息。员工未遵守最小权限原则，未定期清理冗余账户，导致权限失控。部门负责人未审批权限申请，未定期审计权限清单，使越权操作有机可乘。分管负责人未建立权限管理制度，未监督权限回收流程，埋下数据泄露隐患。

3.3.2密码管理疏漏

未遵守密码安全规范。例如，使用简单密码、多系统共用密码，或明文传输密码。员工未定期更换密码，未启用多因素认证，增加账户盗用风险。部门负责人未检查密码策略执行，未处罚违规行为，使管理要求虚设。分管负责人未推广密码管理工具，未组织安全意识培训，导致防护意识薄弱。

3.3.3数据处理违规

未按规范处理敏感数据。例如，未加密存储个人信息、未脱敏公开数据，或通过私人邮箱传输工作文件。员工未参与数据分类培训，未识别数据敏感级别，造成误操作。部门负责人未制定数据操作规程，未监督数据处理流程，引发合规风险。分管负责人未审核数据出境方案，未评估第三方数据安全能力，导致跨境数据违规。

3.4第三方管理失察情形

3.4.1合同责任未履行

第三方未履行合同安全条款。例如，未按约定进行安全审计，或未及时报告自身系统漏洞。单位未在合同中明确安全违约条款，未约定数据归属权，导致追责无据。部门负责人未监督第三方履约，未审核其安全报告，使风险持续存在。分管负责人未参与合同谈判，未评估第三方安全资质，埋下合作隐患。

3.4.2数据共享失控

向第三方提供数据未受控。例如，未签署数据保密协议，或未限制第三方数据使用范围。员工未审批数据共享申请，未跟踪数据流向，导致数据扩散。部门负责人未建立数据共享清单，未定期审计第三方数据操作，引发泄露风险。分管负责人未制定数据出境评估机制，未监督第三方销毁数据，造成数据滞留风险。

3.4.3服务中断未追责

第三方服务中断未按合同追责。例如，云服务宕机后未启动赔偿条款，或未要求第三方提交故障报告。单位未在合同中约定服务等级协议，未明确中断赔偿标准，损失无法弥补。部门负责人未记录服务中断影响，未向第三方索赔，损害单位权益。分管负责人未终止违规合作，未更新供应商黑名单，导致风险重复发生。

四、责任追究程序

4.1线索管理

4.1.1线索来源

网络安全责任追究线索主要来源于日常监督检查、安全事件报告、上级交办、第三方投诉及系统自动监测。监督检查中发现的安全隐患或违规行为，由安全部门形成书面材料；安全事件报告需包含事件时间、影响范围及初步原因；上级交办线索需注明指令文件编号；第三方投诉需记录投诉人信息及诉求；系统自动监测通过日志分析、异常流量检测等手段生成预警信息。所有线索均需标注来源渠道和接收时间，确保可追溯性。

4.1.2线索登记

线索接收后由安全管理部门统一登记，建立《责任追究线索台账》，编号格式为"AN-年份-序号"。台账需记录线索类型、涉及部门、责任人、事件描述、来源渠道、接收时间及初步处理状态。线索登记应在24小时内完成，特殊情况不超过48小时。对于匿名线索，需注明"匿名"并优先标注紧急程度。台账实行电子化管理，定期备份，确保数据安全。

4.1.3线索核查

安全管理部门在收到线索后3个工作日内启动核查程序。核查方式包括查阅文件资料、系统日志、访谈相关人员、现场检查及技术检测。核查人员不得少于2人，其中至少1人为非直接关联部门人员。核查过程需制作《核查笔录》，记录时间、地点、参与人员及核查发现。重大线索需在7个工作日内完成初步核查，形成《核查报告》，明确是否构成责任追究情形及初步责任主体。

4.2调查程序

4.2.1调查启动

经核查确需追究责任的，由单位网络安全领导小组成立调查组。调查组由分管负责人任组长，成员包括安全管理部门、人事部门、涉及部门代表及外部专家（必要时）。调查组需在成立后2个工作日内制定《调查方案》，明确调查范围、方法、时间节点及保密要求。调查方案需经网络安全领导小组审批后实施。

4.2.2证据收集

调查组通过以下方式收集证据：

（1）调取系统操作日志、访问记录、监控录像等电子证据；

（2）收集规章制度文件、培训记录、责任书等书面材料；

（3）询问相关人员并制作《询问笔录》，笔录需经被询问人核对签字；

（4）委托第三方机构进行技术鉴定或漏洞复现；

（5）现场勘查并制作《现场笔录》。

证据收集需遵循客观、全面原则，形成证据链。电子证据需采用哈希值校验，确保完整性。

4.2.3责任认定

调查组在证据收集完成后5个工作日内召开责任认定会议。会议需形成《会议纪要》，记录参会人员、讨论内容及认定结果。责任认定需依据《网络安全责任追究制度》及国家相关法律法规，明确：

（1）责任主体：直接责任人、间接责任人及领导责任；

（2）责任性质：管理失职、技术失效、操作违规或第三方失察；

（3）责任程度：轻微、一般、严重或特别严重；

（4）造成影响：经济损失、业务中断、声誉损害或法律风险。

认定结果需经调查组全体成员签字确认。

4.3处理执行

4.3.1处理决定

责任认定结果报单位主要负责人审批后，由人事部门制作《责任追究处理决定书》。处理决定需包含以下内容：

（1）责任人基本信息；

（2）违规事实及认定依据；

（3）处理方式：包括书面警告、通报批评、绩效扣减、岗位调整、降职、解除劳动合同等；

（4）整改要求及期限；

（5）申诉途径及时限。

处理决定书需加盖单位公章，通过书面形式送达责任人，并抄送相关部门。

4.3.2申诉程序

责任人对处理决定不服的，可在收到决定书5个工作日内向单位纪检监察部门提出书面申诉。申诉需提供新证据或说明理由，纪检监察部门在收到申诉后10个工作日内组织复核。复核人员不得为原调查组成员，复核结果为最终决定。申诉期间不停止处理决定的执行，但涉及人身自由或重大经济处罚的除外。

4.3.3整改落实

责任追究处理后，责任部门需在15个工作日内提交《整改报告》，说明整改措施、完成情况及长效机制建设。安全管理部门对整改情况进行跟踪验证，形成《整改验收报告》。对于重复发生的同类问题，需启动问责升级程序，追究领导责任。整改情况纳入部门年度绩效考核，与评优评先挂钩。

五、责任追究方式

5.1行政处理

5.1.1警告

对情节轻微的违规行为，给予警告处分。警告需以书面形式作出，明确违规事实、处分依据及期限，期限一般为六个月。处分期间，责任人不得晋升职务、调整岗位，年度考核不得评为优秀。警告处分记入个人档案，作为后续考核、晋升的参考依据。例如，员工因未按规范操作导致系统短暂异常，未造成实际损失，经调查核实后，给予警告处分并组织安全再培训。

5.1.2记过

对情节较重或造成一定损失的违规行为，给予记过处分。记过期限为十二个月，处分期间责任人不得参与评优评先，不得晋升薪酬等级，年度考核只能评为基本合格或以下。记过处分需在单位内部通报，强化警示效果。例如，部门负责人未落实安全检查制度，导致部门内出现多起安全隐患，经认定需承担管理责任，给予记过处分并责令提交书面检讨。

5.1.3降级

对情节严重或造成重大损失的违规行为，给予降级处分。降级包括降低职务层级或专业技术岗位等级，期限一般为二十四个月。降级后责任人薪酬待遇按新岗位标准执行，不得恢复原级别。降级处分需经单位领导班子集体研究决定，并报上级主管部门备案。例如，分管负责人因未审批安全预算导致关键系统防护缺失，引发数据泄露事件，造成重大经济损失和声誉损害，给予降级处分并调整至非核心岗位。

5.2经济处理

5.2.1绩效扣减

根据违规行为造成的损失程度，扣减责任人当月或年度绩效奖金。扣减比例由单位人力资源部门会同安全管理部门核定，一般不超过当月绩效的30%，情节特别严重的可扣减全年绩效奖金。绩效扣减需在处理决定中明确金额及发放时间，并在工资清单中单独列示。例如，员工因违规操作导致业务系统中断4小时，造成直接经济损失5万元，扣减其当月绩效奖金的20%，即4000元。

5.2.2经济赔偿

对因违规行为造成单位经济损失的，责任人需承担相应赔偿责任。赔偿金额根据实际损失大小和责任比例确定，最高不超过责任人十二个月工资。赔偿可一次性缴纳或分期从工资中扣除，分期扣除每月不超过当月工资的20%。例如，第三方服务提供者因未履行数据加密义务导致客户数据泄露，单位按合同约定要求其赔偿直接损失10万元，并承担后续整改费用5万元。

5.2.3奖金取消

对年度内发生重大安全责任事故的责任人，取消当年年终奖金及专项奖励。奖金取消需在年度绩效考核前完成，并书面通知责任人。取消奖金不替代其他责任追究方式，可与警告、记过等处分并行适用。例如，某部门因连续发生两起安全事件，部门负责人被取消年度优秀管理者奖金及部门年终奖金，以示惩戒。

5.3组织处理

5.3.1岗位调整

对不适合继续担任现职的责任人，可进行岗位调整。调整包括调离关键岗位、转任非技术岗位或待岗培训，调整前需与责任人沟通说明理由。岗位调整后，新岗位职责不得涉及网络安全核心工作，薪酬待遇按新岗位标准执行。例如，安全部门负责人因未及时处置漏洞导致系统被攻击，经评估其专业能力不足，调任行政辅助岗位，待岗培训三个月。

5.3.2免职

对严重失职渎职、造成特别重大损失或恶劣影响的责任人，予以免职处理。免职包括免除现任领导职务或管理职务，免职后按干部管理权限重新安排工作，一般不安排担任领导职务。免职决定需通过单位正式文件发布，并在一定范围内通报。例如，主要负责人因未履行网络安全第一责任人职责，导致单位核心系统被摧毁，造成不可挽回的损失，经上级主管部门批准，予以免职处理。

5.3.3解除劳动合同

对严重违反单位规章制度或法律法规的责任人，可解除劳动合同。解除合同需符合《劳动合同法》规定，提前三十日书面通知或支付代通知金，经济补偿按工作年限计算。例如，员工因故意泄露客户信息并从中获利，单位依据《员工手册》及国家相关法律，与其解除劳动合同，并保留追究其法律责任的权利。

5.4协同处理

5.4.1通报批评

对具有典型教育意义的违规案例，在单位内部进行通报批评。通报需通过内部OA系统、公告栏或会议等形式发布，内容包括违规事实、处理结果及警示要求。通报批评可单独适用，也可与其他处理方式并行，强化“查处一案、警示一片”的效果。例如，某员工因点击钓鱼邮件导致部门电脑感染病毒，造成文件损坏，单位在周例会上通报批评该事件，要求全体员工引以为戒。

5.4.2社会公示

对造成重大社会影响的网络安全事件，可依规向社会公示处理结果。公示需通过单位官网、官方微信公众号等渠道发布，说明事件原因、责任认定及处理措施，接受社会监督。公示前需经法律部门审核，避免泄露敏感信息或侵犯个人隐私。例如，单位因第三方合作导致用户数据泄露，事件引发媒体关注，单位在官网公示处理结果，包括对相关责任人的处分及整改措施，以挽回公众信任。

5.4.3第三方追责

对因第三方服务提供者违规导致的网络安全事件，单位依据合同约定和法律程序进行追责。追责方式包括扣除服务费用、终止合作、要求赔偿损失及向行业主管部门举报。例如，云服务提供商因未按合同约定提供安全防护，导致单位数据丢失，单位扣除全部服务费用，终止合作协议，并委托律师提起诉讼，要求赔偿直接及间接损失共计50万元。

六、保障措施

6.1组织保障

6.1.1领导小组职责

单位网络安全领导小组作为责任追究制度的核心决策机构，由主要负责人担任组长，分管网络安全工作的负责人担任副组长，成员包括各部门负责人及安全管理部门代表。领导小组每季度召开专题会议，审议网络安全重大事项，审批责任追究结果，协调跨部门资源调配。在重大安全事件发生后，领导小组需24小时内启动应急指挥，统筹调查处理与责任认定工作。领导小组下设办公室，设在安全管理部门，负责日常事务协调与督办，确保制度执行不打折扣。

6.1.2跨部门协作机制

建立网络安全责任追究联席会议制度，由安全管理部门牵头，人事、财务、法务、IT等部门参与。每月召开协调会，通报责任追究案例，共享风险信息，解决执行障碍。例如，在处理第三方违规事件时，法务部门需同步介入合同条款审核，财务部门冻结相关款项，IT部门暂停系统访问权限，形成快速响应链条。协作机制需明确各部门在线索核查、证据收集、整改验收等环节的职责分工，避免推诿扯皮。

6.1.3专职队伍建设

设立网络安全专职岗位，配备不少于3名持证安全工程师，负责制度执行的技术支撑。安全工程师需具备CISP（注册信息安全专业人员）或同等资质，定期参与攻防演练与行业交流。同时，各部门指定兼职安全联络员，负责日常安全检查与问题上报，形成“专职+兼职”的双轨制队伍。队伍管理实行年度考核制，考核结果与绩效奖金直接挂钩，对连续两年考核不合格者予以调岗。

6.2资源保障

6.2.1预算专项管理

将网络安全责任追究相关费用纳入年度预算专项科目，包括调查取证设备采购（如日志分析系统、取证工具箱）、外部专家咨询费、法律诉讼费用等。预算额度按上年度网络安全投入的15%核定，重大事件追责费用实行追加审批制。财务部门建立专项台账，确保资金专款专用，每季度向领导小组提交使用报告。例如，在处理跨境数据泄露事件时，可专项申请国际法务咨询费用，保障追责程序合规性。

6.2.2技术平台建设

部署网络安全责任追溯系统，整合日志审计、操作监控、漏洞扫描等功能模块。系统需实现全流程电子化：线索自动生成工单、调查过程留痕存证、处理结果智能归档。平台采用区块链技术固化电子证据，确保数据不可篡改。技术部门每半年进行平台升级，新增AI风险预警功能，通过行为分析自动识别异常操作，为责任认定提供客观依据。

6.2.3人才储备机制

建立网络安全人才梯队，通过“内部培养+外部引进”双路径强化队伍建设。与高校合作开设定向培训班，选拔优秀员工攻读在职网络安全硕士；每年从社会招聘2名高级安全顾问，负责重大案件研判。同时推行“安全导师制”，由资深工程师带教新入职人员，确保技术能力传承。人才储备库实行动态更新，每年评估一次，淘汰率不低于10%。

6.3监督保障

6.3.1内部审计监督

内部审计部门每半年开展一次责任追究专项审计，重点检查：

-线索登记台账的完整性与时效性

-调取证据的合法性与关联性

-处理决定的合规性与执行情况

-整改报告的真实性与有效性

审计结果直接报送纪检监察部门，对发现的程序违规问题启动问责。例如，审计发现某部门未在规定时间内完成整改，将追究部门负责人监管不力的责任。

6.3.2外部监督引入

聘请第三方机构每年开展一次制度执行评估，采用“神秘