安全惩戒奖励管理程序.docVIP

1 目的 为对违反信息安全方针和程序的员工进行公正有效的处罚，对有效避免信息安全事故的有功人员进行奖励，并作为对可能在其它情况下有意轻视信息安全程序的员工的威慑，强化全体员工的信息安全意识，有效防止信息安全事故的发生，特制定本规定。 2 适用 本程序适用于公司对违反信息安全方针和程序员工的惩戒及对信息安全做出贡献员工的奖励。 3 职责 3.1 各部门负责其管理权限范围内的奖惩管理。 3.2 研发部负责软件开发方面信息安全事故的奖惩管理。 3.3 人事行政部负责全公司泄密事件、人员出入公司的奖惩管理。 3.4 技术部负责公司IT方面信息安全事故的奖惩管理。 3.6 人事行政部负责消防安全方面的奖惩管理。 3.7 各部门具体负责对本部门员工违反信息安全方针和程序的处罚。 3.8 信息安全管理委员会负责决定重大信息安全事故的处罚。 4 程序 4.1 信息安全事故分类参照《事故、薄弱点与故障管理程序》。 4.2 违章处罚 4.2.1 各部门应安排一名信息安全员，负责对本部门内部信息安全管理活动的执行情况进行日常监督与检查，对发现的问题及时向本部门负责人汇报并由其进行处理。对于员工违反信息安全方针、信息安全管理手册、程序文件、操作规程等信息安全管理体系文件的规定，但没有造成信息安全事故的，均属于违章现象；违章一次，由本部门负责人给予口头警告；一月内连续两次违章，应予认定一般违纪，罚款50元；一年内累计二次或二次以上一般违纪应认定为一次较重违纪，责令违章者写出书面检查报告，并在部门内部进行通报。 4.2.2 负有信息安全事故处罚的各职能部门在日常检查过程发现在其职责范围内的违章现象，应通过适当的纠正、预防措施予以纠正和改进，并给予责任人口头警告；一月内连续两次违章，应予认定较重违纪，罚款100元；一年内累计二次一般违纪应认定为一次较重违纪，责令违章者写出书面检查报告，并在部门内部进行通报。 4.2.3 对于审核中（包括内部审核及第三方审核）发现的一般不符合事项，应通过适当的纠正、预防措施予以纠正和改进，并给予责任人口头警告； 严重不符合事项，扣发责任人罚款200元，并在部门内部进行通报。 4.3 信息安全事故的处罚 4.3.1 信息安全事故发生后，按照《事故、薄弱点与故障管理程序》的规定对信息安全事故进行调查，确定事故发生的原因及事故的责任者，根据事故所造成的损失，由信息安全管理职能部门形成处理报告，提出处罚意见，报公司总经理批准后对责任者予以处罚；对于重大信息安全事故的责任者的处罚应提交公司信息安全管理委员会决定。 4.3.2 处罚方式 a) 一般安全事故，根据所造成的经济损失，给予责任人罚款100-200元； b) 造成重大安全事故的，将责任人调离原工作岗位并给予500-2000元罚款; c) 如果属于故意行为导致信息安全事故，解除劳动合同并依法追究法律责任。 4.3.3 对于信息安全事故责任人的处理结果由处理部门在全公司范围内予以通报。 4.4 负有信息安全事故处罚的各职能部门在确定实施处罚后，应填写《惩戒申报单》，交人事行政部。人事行政部与被处罚部门沟通，确认责任者及处罚方式，并在责任人当月工资单扣除处罚金额。 5 奖励规定 5.1 对以下行为，公司将酌情予以奖励： 5.1.1 及时发现非责任区信息安全隐患，该隐患足以导致信息安全事故的； 5.1.2 及时发现非责任区信息安全重大隐患，该隐患足以导致信息安全重大事故的； 5.1.3 及时发现并制止系统操作问题以避免设备及人身重大损失或人员伤亡的； 5.1.4 及时制止或报告泄露商业机密的事件以避免公司重大经济损失或及时或中止正在进行中的商业泄密行为的； 5.1.5 其他有效避免公司信息安全事故的行为。 5.1.6 在信息安全事故中采取积极有效措施，降低损失的程度。 5.2 奖励方式 5.2.1 防止一般安全事故发生，授予相关人员季度优秀员工的荣誉称号，并给予100元的奖励； 5.2.2 防止造成重大安全事故的，授予相关人员的荣誉称号，并给予相关人员一次性200-1000元的奖励； 5.2.3 及时中止正在进行中的商业泄密行为，根据秘密等级给予相关人员一次性 500-2000元的奖励； 5.2.4 信息安全事件中采取积极有效措施，降低损失程度，按照具体情况给予相关人员200-4000元奖励； 5.2.5提出信息安全合理化建议，经公司采纳执行，给予相关人员一次性200元的奖励。 5.3 发现信息安全事故、薄弱点与故障的员工应按照《事故、薄弱点与故障管理程序》进行报告。相关的职能部门进行调查后，判定是否应给予奖励，如需要应填写《奖励建议书》，报人事行政部审批后，由人事行政部在其当月工资中加发奖励金额。 5.4 对于授予奖励的相关人员的奖励结果由信息安全管理委员会在全公司范围内予以通报。