信息安全奖惩管理办法.docVIP

DATE \@ yyyy年M月d日 2019年9月27日 第 PAGE Page 5 页 / 共 NUMPAGES Pages 5 页 信息安全奖惩管理办法 1.目的 明确信息安全奖励与违规行为处罚的操作原则，强化执行，促进员工信息安全意识提升。 2.适用范围 本规范适用于深圳市XX公司 (后续简称为公司)。 3.定义 序号 角色 职责 001 信息安全事件 指识别出的发生的系统、服务或网络事件表明可能违反信息安全策略或防护措施失效；或以前未知的与安全相关的情况；其中一、二级信息安全事件称为重大信息安全事件。 002 信息安全活动 为培养员工信息安全意识，提高公司整体安全水平而举办的活动，形式包括但不限于：考试、培训、宣传和自查。 4.职责与权限 序号 角色 职责 001 员工 遵守公司信息安全管理制度，积极配合、参与信息安全活动。 002 各部门信息安全接口人 协助公司信息安全管理制度、产品的宣传与培训工作；负责对部门信息安全问题进行汇总与反馈。 003 部门主管 是部门信息安全的直接责任人，负责监督和管理本部门员工的信息安全行为，并对潜在的信息安全风险进行预警，预防信息安全事件。 004 部门经理 作为部门信息安全的间接责任人，熟悉公司信息安全战略，并积极推动信息安全策略的落地执行。 005 部门副总 对所负责部门的信息安全事件负相应的管理责任。 006 IT部信息安全组 对信息安全事件进行跟踪处理，并确定事件责任人。 007 董事会秘书 审核信息安全事件处理报告。 008 总经理 最终审批信息安全事件处罚申请。 009 人力资源部 依据公司财务制度对已审批的信息安全奖励/处罚报告执行经济奖励或者处罚措施。 010 法务部 配合IT部信息安全组进行信息安全事件处理，对违反法律法规的信息安全责任人依法追究法律责任。 5.内容 5.1奖励、违规行为处罚原则 5.1.1及时激励原则 对长期妥善保护公司信息资产，有效避免信息资产的遗失、滥用、盗用等，或对于促进信息安全合理共享表现突出的个人或者集体，将及时奖励。 5.1.2 举报保密原则 对于举报信息安全违规行为的人员，将对其进行奖励并严格保护其个人资料不公开。 5.1.3 违规行为处罚原则 5.1.3.1法律追究原则 公司所有保密信息均为公司合法资产，受国家法律法规保护。任何损害公司保密信息的行为，公司均有权追究行为人法律责任。 5.1.3.2违规分级原则 根据违规行为的性质、造成的损失和影响的严重程度、违规人员是否有意对违规行为分级。涉及关键信息资产的，违规等级要升级；一次违反多条信息安全规定的人员按最高违规等级从重处罚；对多次违反信息安全规定的人员再次违规时要从重处罚。 5.1.3.3主动从宽原则 产生违规行为后主动报告，积极采取补救措施以减少影响和损失的人员，可减轻处罚；对问题隐瞒不报或者不及时上报而导致违规影响扩大的人员，加重处罚。 5.1.3.4过度防卫处罚原则 对阻碍信息合理流动与共享的人员要给予处罚。 5.1.3.5及时处理原则 对重大信息安全违规事件，要及时处理。任何拖延、推诿不处理的责任人，要给予问责。