信息安全奖惩管理办法
1.目的
明确信息安全奖励与违规行为处罚的操作原则,强化执行,促进员工信息安全意识提升。
2.适用范围
本规范适用于深圳市**公司 (后续简称为公司)。
3.定义
序号
角色
职责
001
信息安全事件
指识别出的发生的系统、服务或网络事件表明可能违反信息安全策略或防护措施失效;或以前未知的与安全相关的情况;其中一、二级信息安全事件称为重大信息安全事件。
002
信息安全活动
为培养员工信息安全意识,提高公司整体安全水平而举办的活动,形式包括但不限于:考试、培训、宣传和自查。
4.职责与权限
序号
角色
职责
001
员工
遵守公司信息安全管理制度,积极配合、参与信息安全活动。
002
各部门信息安全接口人
协助公司信息安全管理制度、产品的宣传与培训工作;负责对部门信息安全问题进行汇总与反馈。
003
部门主管
是部门信息安全的直接责任人,负责监督和管理本部门员工的信息安全行为,并对潜在的信息安全风险进行预警,预防信息安全事件。
004
部门经理
作为部门信息安全的间接责任人,熟悉公司信息安全战略,并积极推动信息安全策略的落地执行。
005
部门副总
对所负责部门的信息安全事件负相应的管理责任。
006
it部信息安全组
对信息安全事件进行跟踪处理,并确定事件责任人。
007
董事会秘书
审核信息安全事件处理报告。
008
总经理
最终审批信息安全事件处罚申请。
009
人力资源部
依据公司财务制度对已审批的信息安全奖励/处罚报告执行经济奖励或者处罚措施。
010
法务部
配合it部信息安全组进行信息安全事件处理,对违反法律法规的信息安全责任人依法追究法律责任。
5.内容
5.1奖励、违规行为处罚原则
5.1.1及时激励原则
对长期妥善保护公司信息资产,有效避免信息资产的遗失、滥用、盗用等,或对于促进信息安全合理共享表现突出的个人或者集体,将及时奖励。
5.1.2举报保密原则
对于举报信息安全违规行为的人员,将对其进行奖励并严格保护其个人资料不公开。
5.1.3违规行为处罚原则
5.1.3.1法律追究原则
公司所有保密信息均为公司合法资产,受国家法律法规保护。任何损害公司保密信息的行为,公司均有权追究行为人法律责任。
5.1.3.2违规分级原则
根据违规行为的性质、造成的损失和影响的严重程度、违规人员是否有意对违规行为分级。涉及关键信息资产的,违规等级要升级;一次违反多条信息安全规定的人员按最高违规等级从重处罚;对多次违反信息安全规定的人员再次违规时要从重处罚。
5.1.3.3主动从宽原则
产生违规行为后主动报告,积极采取补救措施以减少影响和损失的人员,可减轻处罚;对问题隐瞒不报或者不及时上报而导致违规影响扩大的人员,加重处罚。
5.1.3.4过度防卫处罚原则
对阻碍信息合理流动与共享的人员要给予处罚。
5.1.3.5及时处理原则
对重大信息安全违规事件,要及时处理。任何拖延、推诿不处理的责任人,要给予问责。
5.2 奖励等级与责任部门
5.2.1奖励等级与措施
奖励事迹
奖励等级
奖励措施
举报或者制止泄密、窃密或者其他严重损害公司利益事件的集体或者个人
一级
根据具体情况给予8000元集体奖励或者5000元个人奖励;通报表扬(遵循“举报保密原则“淡化事迹并隐藏人员信息)。
制止他人违规行为或者即时反映可能造成泄密、窃密或者其他重大安全隐患的个人,以及在信息安全方面做出表率或者突出贡献的集体
二级
根据具体情况集体奖5000元或者3000个人奖励;通报表扬(遵循“举报保密原则“淡化事迹并隐藏人员信息)。
在信息安全管理中做出贡献,反映信息安全隐患或者过度防卫被核实、提出信息安全合理化建议并被采纳的个人,以及在信息安全方面做出贡献的集体
三级
根据具体情况给予3000元集体奖励或者1000元个人奖励。
5.2.2奖励责任部门
1)对于满足信息安全奖励标准的集体或者个人,it部信息安全组可根据具体事迹定期进行申报,审批通过后由人力资源部根据公司财务制度进行发放奖金;
2) 各部门信息安全接口人可自行组织对本部门优秀信息安全集体或者个人进行奖励。
5.3 违规等级与责任部门
5.3.1 违规等级与措施
违规事件
违规等级
处罚措施
盗窃、故意泄露公司保密信息的,或故意违反信息安全管理规定,性质严重造成重大影响或者风险
一级
1. 直接开除,永不录用;
2. 如违反法律法规由公司法务部移送公安机关处理;如给公司造成相关损失,须赔偿公司损失。
3. 全公司范围内通报处罚决定。
故意违反信息安全规定,性质严重;或者造成较大影响或较大风险
二级
1. 如给公司造成相关损失,须赔偿公司损失;
2. 担任公司管理岗位的人员,进行降职或者降薪处理;非公司管理岗位的人员,进行降薪处理;
3. 全公司范围内通报处罚决定。
过失违反信息安全管理规定,造成一定影响或者风险的;或者故意违反信息安全管理规定,但性质不严重且没有造成严重影响或风险
三级
1. 记入关键事件考评结果减10分或罚款500元;
2. 12个月内2次三级违规升级为1次二级违规。
3.部门内部通报处罚决定。
过失违反信息安全管理规定,性质较轻,且造成轻微影响或者风险
四级
1.记入关键事件考评结果减5分或罚款300元;
2.12个月内2次四级违规升级为1次三级违规;
3.部门内部通报处罚决定。
说明:
1) 信息安全管理规定包括公司各部门正式发布的信息安全管理制度;
2) 上表中“违规事件“的描述是定性的描述,是违规事件定级的参考原则。常见违规行为所适用违规等级具体参考附件1:《常见违规行为及其适用处罚等级举例》,其他违规行为所使用等级可参考举例进行认定。
5.3.2 责任判定
1)发生一、二级重大信息安全事件违规时,违规者直接上级和部门经理承担直接和间接责任,部门副总须承担连带管理责任,并按照《常见违规行为及其适用处罚等级举例v1.0》适用条款进行处罚;
2)对于三、四级信息安全违规,根据以下条件判断责任人直接上级是否连带处罚:
员工无意违规,且责任人领导未进行审批授权的,不进行连带处罚;
员工无意违规,但责任人领导进行包庇的,在事实确认的基础上,进行连带处罚;
若所管理部门一个月内发生2次(含)以上故意违规或者4次(含)以上无意违规事件,对直接上级进行连带处罚。
5.3.3 处罚责任部门
处罚等级
处罚责任人
批准
申诉
一级
总经理
/
人力资源部
二级
总经理
/
人力资源部
三级
部门分管副总
it部信息安全组
人力资源部
四级
部门分管副总
it部信息安全组
人力资源部
说明:
1)对于各类违规行为处罚应当慎重,应建立在客观事实的基础上给出处罚意见。根据违规行为性质、造成的损失和影响的大小,it部信息安全组有权要求对当事人加重或者减轻处罚;
2)发现可疑事件的组织作为事件调查和处理的责任部门。为了加快一级违规行为的处理进度,沟通时限和批准期限都是2天;
3)在违规事件处理过程中,it部信息安全组协助与监督处罚责任人完成处罚执行工作。处罚责任人或其授权人员要做好与违规员工的沟通工作。对违规处罚过程中出现的拖延、推诿行为,it部信息安全组可以行使否决权。
5.4.维护与解释
1)本规定发布之日起生效;
2)本规定由it部信息安全组至少每两年审视一次,根据审核结果修订标准并颁布执行;
3)本规定解释权归it部信息安全组。
6.相关文件
附件1:《常见违规行为及其适用处罚等级举例》
7.记录表格
无