信息安全保密责任追究制度

信息安全保密责任追究制度第一章总则1.1为在组织内部形成“数据即资产、泄密即事故、责任到个人”的刚性氛围，依据《网络安全法》《数据安全法》《个人信息保护法》《保守国家秘密法》以及行业监管细则，结合本单位业务特点，制定本制度。1.2本制度所称“信息安全保密责任”是指员工、外包人员、实习人员、第三方驻场人员在使用、管理、运维、开发、测试、销毁本单位信息资产过程中，对机密性、完整性、可用性负有的法定及约定义务。1.3责任追究坚持“事实清楚、证据确凿、定性准确、程序合规、处理恰当、修复优先”二十四字原则，实行“一案双查”：既查技术漏洞，又查管理失职；既追直接责任人，又追领导责任。1.4本制度适用于本单位境内外所有办公场景，包括远程办公、移动作业、云托管、边缘节点、分支机构、合资公司及并购实体；任何接入本单位身份认证体系或处理本单位数据的终端、账号、API、算法模型均受本制度约束。第二章信息分级与角色映射2.1信息资产分级2.1.1国家秘密级：依据法定密级确定，由保密办统一编号、统一台账、统一载体。2.1.2核心商密级：一旦泄露会使单位遭受特别严重经济损失或竞争劣势，如源代码、核心算法、未公开财报、并购预案。2.1.3普通商密级：泄露会造成可量化经济损失或声誉受损，如客户名单、价格策略、合同文本。2.1.4内部级：泄露会对日常运营造成不便，如内部通知、培训胶片、员工通讯录。2.1.5公开级：已对外公开或经公开审批流程允许公开的信息。2.2角色与最小权限矩阵2.2.1数据所有者（DataOwner）：对分级结果、共享范围、销毁时限拥有最终签字权。2.2.2数据管理者（DataCustodian）：负责存储、备份、加密、脱敏、日志审计，确保技术措施与分级一致。2.2.3数据使用者（DataUser）：在授权场景、授权时段、授权终端、授权算法包范围内使用数据，禁止二次衍生、禁止本地持久化。2.2.4安全审计者（Auditor）：独立编制审计计划，对访问日志、权限变更、异常下载进行持续监测，发现问题可直接越级上报。2.3动态调整机制2.3.1每年三月、九月由信息安全委员会牵头进行分级复审；因业务并购、跨境传输、IPO静默期等触发重大变化时，可启动临时复审。2.3.2角色发生调动、离职、外包转换时，人力资源部须在24小时内发起“权限清零-重新授权”流程，审计部同步进行离任审计。第三章责任清单与负面行为清单3.1领导责任清单3.1.1董事会：对信息安全保密投入预算、战略方针、重大风险承担最终责任；对未通过年度合规审计承担集体责任。3.1.2总经理：确保信息安全目标与经营目标同步考核，资源冲突时优先保障安全投入。3.1.3分管领导：每季度向董事会提交风险报告，对分管领域发生的3级及以上事件负直接领导责任。3.2部门责任清单3.2.1信息安全部：负责制定技术基线、检测预警、应急演练、取证分析；对未及时发现高危漏洞导致泄露的，承担技术监管责任。3.2.2法务与合规部：对合同保密条款、数据跨境评估、员工保密协议进行法审；对合同漏洞造成第三方泄密的，承担法审责任。3.2.3人力资源部：对入职背调、离职面谈、竞业限制、保密承诺书归档负管理责任；对离职人员账号未及时冻结导致泄密的，承担人事操作责任。3.2.4业务部门：对产生的数据主动分级、申请权限、定期清理；对违规共享、超期留存导致泄密的，承担数据主体责任。3.3员工负面行为清单（示例20条，实际可扩展）3.3.1将核心商密级数据上传至个人网盘、代码仓库或社交软件。3.3.2使用弱口令、默认口令、共享口令登录生产数据库。3.3.3擅自将办公VPN账号借予家属、朋友或其他员工。3.3.4在公共场所、交通工具上大声讨论国家秘密级项目内容。3.3.5私自安装远程控制软件、加密货币挖矿程序、游戏外挂。3.3.6发现漏洞后未在2小时内报告，而是私自进行“善意测试”。3.3.7伪造、冒用、买卖、赠送员工工卡、访客证、密钥卡。3.3.8以“测试需要”为由导出全量客户个人信息到本地笔记本电脑。3.3.9将生产日志复制到个人博客、社区论坛进行技术炫耀。3.3.10擅自将办公笔记本带出国（境）未申报。……3.4外包与第三方负面行为清单3.4.1外包人员使用私人邮箱接收本单位普通商密级表格。3.4.2云服务商未按合同开启对象存储日志，导致事后无法溯源。3.4.3第三方维护工程师在凌晨2点通过临时账号下载30GB源代码，且未在SLA窗口内备案。第四章事件分级与调查流程4.1事件分级4.1.1特别重大（5级）：国家秘密级数据泄露、超过1000万条个人信息泄露、全球媒体曝光、股价波动>10%。4.1.2重大（4级）：核心商密级泄露、500万至1000万条个人信息泄露、直接经济损失≥1000万元。4.1.3较大（3级）：普通商密级泄露、100万至500万条个人信息泄露、直接经济损失100万至1000万元。4.1.4一般（2级）：内部级泄露、10万至100万条个人信息泄露、直接经济损失10万至100万元。4.1.5轻微（1级）：公开级误发、小于10万条个人信息泄露、直接经济损失小于10万元。4.2报告时限4.2.1当事人或发现人须在10分钟内向本部门安全接口人口头报告，30分钟内通过事件管理系统提交初步报告。4.2.2安全接口人接到报告后1小时内完成初步研判，达到3级及以上事件须同步向信息安全部、法务部、董事会秘书报告。4.2.3信息安全部在2小时内向行业监管、省级以上网信办、公安机关履行外部报告义务。4.3调查组织4.3.13级及以上事件由“事件调查委员会”统一指挥，委员会主任由分管安全副总担任，成员包括信息安全、法务、内审、人力资源、业务线、外部取证机构。4.3.2调查过程遵循“先止血、再溯源、后定责”顺序：立即隔离账号、下线接口、冻结密钥、关闭管道；收集内存、磁盘、网络、云端日志；使用哈希校验、时间戳、区块链存证确保证据链完整。4.3.3被调查人应无条件配合，不得隐匿、销毁、篡改证据；拒绝配合的，可暂停其系统权限、工资发放，直至移交司法机关。4.4调查时限4.4.1轻微事件3个工作日完成；一般事件5个工作日；较大事件10个工作日；重大及以上事件15个工作日；确需延长的，经董事会批准可延长5个工作日。第五章责任认定与量纪标准5.1责任类型5.1.1全部责任：独立实施违规行为并直接导致泄露。5.1.2主要责任：多人过错中起决定性作用。5.1.3同等责任：多人过错作用相当。5.1.4次要责任：被动执行、未尽审核义务。5.1.5领导责任：分管领域反复出现同类事件或明显管理缺陷。5.2量纪基准表（节选）5.2.1全部责任+5级事件：解除劳动合同，追偿全部损失，移送司法机关，个人永久列入行业黑名单。5.2.2主要责任+4级事件：降职三级，扣罚24个月绩效，限制股票行权36个月。5.2.3同等责任+3级事件：记大过一次，扣罚12个月绩效，强制补训40学时。5.2.4次要责任+2级事件：书面警告，扣罚3个月绩效。5.2.5领导责任+重复2级事件：分管领导扣罚6个月绩效，并在职代会上作公开检讨。5.3从轻、从重情节5.3.1从轻：主动报告、积极补救、挽回损失50%以上、立功表现。5.3.2从重：隐瞒不报、销毁证据、打击报复举报人、造成国际影响。5.4组织处理与民事追偿55.4.1对造成经济损失的，按直接损失1—3倍进行追偿；追偿顺序先走员工履约保证金、未发放薪酬，再走股票未行权部分，最后走个人资产。5.4.2外包公司造成损失的，按合同总价10%—30%支付违约金，并冻结2年内投标资格。第六章申诉与复核6.1被处理人可在收到《责任认定书》之日起5个工作日内向“信息安全申诉委员会”提交书面申诉，附证据材料。6.2申诉委员会由工会代表、独立董事、外部律师组成，7个工作日内完成复核，作出维持、变更或撤销决定。6.3申诉期间不停止执行，但涉及解除劳动合同、移送司法机关的，可暂缓执行，待复核结论出具后再行处理。第七章整改与复测7.1责任事件结案后10个工作日内，责任部门须提交《信息安全整改计划》，包括技术措施、管理措施、文化措施、预算与里程碑。7.2信息安全部在整改截止后5个工作日内组织复测，复测未通过的，事件等级自动上调一级并重新启动问责。7.3整改完成后一年内再次发生同类事件，对原责任人按“从重”条款处理，并对部门负责人启动“一票否决”绩效考核。第八章奖惩衔接与信用记录8.1对连续三年未发生2级及以上事件的部门，授予“安全红旗单位”称号，年度绩效系数上调5%。8.2对发现4级及以上潜在风险并及时报告的员工，给予“安全卫士”奖金，金额不低于3个月工资，并优先推荐股权激励。8.3建立“信息安全信用分”，起始100分，扣分后低于60分的，限制晋升、评优、股票行权；低于40分的，强制转岗或辞退。8.4与行业共享平台对接，对解除劳动合同且负有主要责任的人员，同步录入“行业失信名单”，2年内不得录用。第九章培训与文化9.1入职必修：国家秘密法、数据安全法、个人信息保护案例、负面行为清单、应急演练。9.2在职年度复训：分级标准变化、新型攻击演示、社会工程学演练、元宇宙与AI合规。9.3高管特训：董事会成员每年须完成8学时黑箱攻防观摩，亲自参与一次红蓝对抗。9.4培训考核不合格者，暂停系统权限，补考通过后恢复；连续两年不合格者，视为不胜任工作，启动调岗或辞退流程。第十章远程与跨境场景10.1远程办公须通过零信任网关接入，终端须安装EDR、DLP、屏幕水印、录屏审计；未经审批禁止下载、打印、截屏。10.2跨境传输遵循“本地加密、跨境审批、最小字段、可撤销”原则，使用国密算法SM4/SM9加密，密钥托管在境内硬件加密机。10.3境外机构接收数据须签署“长臂管辖条款”，接受中国法律排他管辖；违约时境内母公司承担连带责任。10.4出国（境）携带办公设备须走“设备出境审批”流程，安装地理围栏，离开授权区域自动擦除数据并报警。第十一章外包与供应链11.1外包人员纳入“同责同权”管理，须签署保密协议、竞业限制、知识产权归属、违约金条款；违反者同步适用本制度量纪标准。11.2关键供应链（云、IDC、加密机、CA、SOC）须通过“安全准入评估”，评估不通过不得签约；已签约的每年复评一次。11.3对供应链实行“AB角”机制：主供应商发生3级事件立即切换备用供应商，切换时限不超过4小时。11.4外包开发代码须经过“源审+黑盒+灰盒”三级检测，发现高危漏洞即视为“潜在3级事件”，启动溯源问责。第十二章算法与人工智能补充条款12.1训练数据含个人信息或核心商密级的AI模型，须做“差分隐私+同态加密+模型水印”三重防护，任何一方缺失即视为2级隐患。12.2算法发布前须通过“伦理与安全双评审”，评审记录保存5年；擅自上线造成偏倚、泄露的，按4级事件追责。12.3