16信息安全奖惩管理程序.doc

文档编号：XXXX-IT/ISMS-B-16

XXXX有限公司

IT/ISMS程序文件

信息安全奖惩管理程序

拟制

编制小组

审核

XXX

批准

XXX

日期

2023-01-10

日期

2023-01-10

日期

2023-01-10

修订记录

日期

版本

修订内容概要

拟制

审核

批准

2023-01-10

A/0

首次发布

编制小组

XXX

XXX

XXXX有限公司对本文件资料享受著作权及其它专属权利，未经书面许可，不得将该等文件资料（其全部或任何部分）披露予任何第三方，或进行修改后使用。

目录

TOC\o1-2\h\z\u30463目录 2

176501目的 3

206312范围 3

324143职责 3

116054相关文件 3

132475程序 3

291836记录 4

1目的

为了对有效避免信息安全事故的人员和行为进行奖励，对违反信息安全及信息技术服务方针和程序的人员和行为进行处罚，作为对有意轻视信息安全程序的员工的威慑，强化全体员工的信息安全意识，特制定本规定。

2范围

本程序适用于组织内对违反信息安全及信息技术服务方针和程序员工的惩戒及对信息安全做出贡献员工的奖励管理。

3职责

3.1各部门

负责其管理权限范围内的奖惩管理，具体负责对本部门员工违反信息安全及信息技术服务方针和程序的处罚。

3.2综合部

负责泄密事件信息安全事故的奖惩管理。

负责组织内IT方面信息安全事故的奖惩管理。

负责决定重大信息安全事故的处罚。

4相关文件

《信息安全及信息技术服务管理手册》

《信息安全事件管理程序》

5程序

5.1违章处罚

各部门应安排一名信息安全员，负责对本部门内部信息安全及信息技术服务管理活动的执行情况进行日常监督与检查，对发现的问题及时向本部门负责人汇报并由其进行处理。对于员工违反信息安全及信息技术服务方针、信息安全及信息技术服务管理手册、程序文件、操作规程等信息安全和信息技术服务管理体系文件的规定，但没有造成信息安全事故的，均属于违章现象；违章一次，由本部门负责人给予口头警告；一月内连续两次违章，应予认定一般违纪，扣发当月奖金的浮动部分；一年内累计二次或二次以上一般违纪应认定为一次较重违纪，责令违章者写出书面检查报告，并在部门内部进行通报。

负有信息安全事故处罚的各职能部门在日常检查过程发现在其职责范围内的违章现象，应通过适当的纠正、预防措施予以纠正和改进，并给予责任人口头警告；一月内连续两次违章，应予认定较重违纪，扣发二个月奖金的浮动部分；一年内累计二次一般违纪应认定为一次较重违纪，责令违章者写出书面检查报告，并在部门内部进行通报。

对于审核中（包括内部审核及第三方审核)发现的一般不符合事项，应通过适当的纠正、预防措施予以纠正和改进，并给予责任人口头警告；严重不符合事项，扣发责任人当月奖金浮动部分，并在部门内部进行通报。

5.2信息安全事故的处罚

信息安全事故发生后，按照《信息安全事件管理程序》的规定对信息安全事故进行调查，确定事故发生的原因及事故的责任者，根据事故所造成的损失，由信息安全及信息技术服务管理职能部门形成处理报告，提出处罚意见，报组织分管领导批准后对责任者予以处罚；对于重大信息安全事故的责任者的处罚应提交综合部决定。

处罚方式

一般安全事故，根据所造成的经济损失，给予责任人扣罚当月奖金浮动部分的处罚；

造成重大安全事故的，将责任人调离原工作岗位并给予扣罚三个月以下绩效奖金的处罚；

如果属于故意行为导致信息安全事故，解除劳动合同并依法追究法律责任；

对由于违反IT管理方针程序和越权访问策略的，应收回其访问权限。

对于信息安全事故责任人的处理结果由处理部门在组织范围内予以通报。

负有信息安全事故处罚的各职能部门在确定实施处罚后，应填写《惩戒申报单》，交综合部。综合部与被处罚部门沟通，确认责任者及处罚方式，并在责任人当月工资单扣除处罚金额。

5.3奖励规定

对以下行为，组织将酌情予以奖励：

及时发现非责任区信息安全隐患，该隐患足以导致信息安全事故的；

及时发现非责任区信息安全重大隐患，该隐患足以导致信息安全重大事故的；

及时发现并制止系统操作问题以避免设备及人身重大损失或人员伤亡的；

及时制止或报告泄露商业机密的事件以避免组织重大经济损失或及时或中止正在进行中的商业泄密行为的；

其他有效避免组织信息安全事故的行为；

在信息安全事故中采取积极有效措施，降低损失的程度。

奖励方式

防止一般安全事故发生，给予相关人员一次性50-200元的奖励；

防止造成重大安全事故的，给予相关人员一次性200-500元的奖励；

及时中止正在进行中的商业泄密行为，根据秘密等级给予相关人员一次性500-2000元的奖励；

信息