信息安全奖惩管理规定(1).docVIP

【信息安全奖惩管理规定】 F4-C-总裁办-094-V1.0 第 PAGE 6 页 共 第 PAGE 6 页 共 NUMPAGES 6 页 第 PAGE 1 页 共 NUMPAGES 6 页 第 PAGE 1 页 共 NUMPAGES 6 页 信息安全奖惩管理规定 【信息安全奖惩管理规定】 目 录 TOC \o 1-3 \h \z 1. 目的和范围 3 2. 引用文件 3 3. 职责和权限 3 4. 活动描述 3 4.1. 奖惩的原则 3 4.2. 惩戒规定 4 4.3. 奖惩核查 5 4.4. 补充规定 5 目的和范围 为对违反信息安全方针和制度的员工进行公正有效的处罚，对有效避免信息安全事故的有功人员进行表彰，并作为对可能在其它情况下有意轻视信息安全制度的员工的威慑，强化全体员工的信息安全意识，有效防止信息安全事故的发生，特制定本规定。 本规定适用于公司内部信息安全管理体系规定范围内的所有在职人员、临时雇用的人员。 引用文件 下列文件中的条款通过本规定的引用而成为本规定的条款。凡是注日期的引用文件，其随后所有的修订版均不适用于本标准，然而，鼓励各部门研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。 GB/T 22080-2008/ISO/IEC 27001:2013 信息技术-安全技术-信息安全管理体系要求。 《信息安全管理手册》。 职责和权限 信息安全领导小组：负责公司内部泄密等信息安全事件的奖惩管理。 总经理：负责决定重大信息安全事故的处罚。 人力资源部：负责奖惩的核实调查确认。 各部门：具体负责对本部门员工违反信息安全方针和制度的处罚。 活动描述 奖惩的原则 奖惩有据的原则：奖惩的依据是相关部门的各项规章制度、员工的岗位描述及工作目标等。 奖惩及时的原则：为及时地鼓励员工对相关部门的贡献和正确行为以及纠正员工的错误行为，使奖惩机制发挥应有的作用，奖惩必须及时。 奖惩公开的原则：为了使奖惩公正、公平，并达到应有的效果，奖惩结果必须公开。 有功必奖，有过必惩的原则：杜绝相关部门员工特权的产生，在制度面前公司内部所有员工应人人平等，一视同仁。 惩戒规定 惩戒的目的在于促使员工严格遵守信息安全的管理制度，惩前毖后，从而保障相关部门和员工共同利益和长远利益。 按照信息安全事故的分类，违反规定的员工，视情节轻重给予相应的处罚。 信息安全处罚规定分为违章事故处罚和信息安全事故的处罚。 违章事故的处罚 各部门领导负责对本部门内部信息安全管理活动的执行情况进行日常监督与检查，对发现的问题及时向上级部门负责人汇报并由其进行处理。对于员工违反信息安全方针、信息安全管理手册、制度文件、操作规程等信息安全管理体系文件的规定，但没有造成信息安全事故的，均属于违章现象；违章一次，由本部门负责人给予书面警告，必要时根据劳动法和公司内部相关规定处罚；累计三次书面警告公司将与当事人解除劳动合同，并出具解除劳动合同通知书。 负有信息安全事故处罚的各职能部门在日常检查过程发现在其职责范围内的违章现象，应通过适当的纠正、预防措施予以纠正和改进。 对于审核中（包括内部审核及第三方审核）发现的一般不符合事项，应通过适当的纠正、预防措施予以纠正和改进，并给予责任人口头警告；严重不符合事项，根据劳动法和公司相关规定处罚，并在部门内部进行通报。 办公物品丢失，IT设备丢失等，需向行政部提出丢失说明，并缴纳必要的成本费用。 信息安全事故的处罚 信息安全事故发生后，对信息安全事故进行调查，确定事故发生的原因及事故的责任者，根据事故所造成的损失，由信息安全工作小组形成处理报告，提出处罚意见，报告信息安全领导小组，批准后对责任者予以处罚；对于重大信息安全事故的责任者的处罚应提交总经理决策。 一般安全事故，根据所造成的经济损失，根据劳动法和公司相关规定给予一定处罚；造成重大安全事故的，根据劳动法和员工手册相关规定给予一定处罚；如果属于故意行为导致信息安全事故，解除劳动关系并依法追究法律责任。 对于信息安全事故责任人的处理结果由处理部门在公司一定范围内予以通报。 奖惩核查 人力资源部负责奖惩的核实调查确认，予以相应处理意见，并根据审批权限报由主管领导审批，予以嘉奖或惩处。 各级领导对所属员工的各种惩处事件，如知情不报或蓄意袒护，除受连带处分外，将就其包庇行为进行另案处理。 补充规定 惩戒根据信息安全领导小组的决定执行。员工惩处结