信息安全奖惩管理办法

信息安全奖惩管理办法

1.目的

明确信息安全奖励与违规行为处罚的操作原则，强化执行，促进员工信息安全意识提升。 2.适用范围

本规范适用于深圳市XX公司 (后续简称为公司)。 3.定义 序号 角色 001 职责 信息安全事件 指识别出的发生的系统、服务或网络事件表明可能违反信息安全策略或防护措施失效；或以前未知的与安全相关的情况；其中一、二级信息安全事件称为重大信息安全事件。 002 信息安全活动 为培养员工信息安全意识，提高公司整体安全水平而举办的活动，形式包括但不限于：考试、培训、宣传和自查。 4.职责与权限 序号 角色 001 002 员工 各部门信息安全接口人 003 部门主管 职责 遵守公司信息安全管理制度，积极配合、参与信息安全活动。 协助公司信息安全管理制度、产品的宣传与培训工作；负责对部门信息安全问题进行汇总与反馈。 是部门信息安全的直接责任人，负责监督和管理本部门员工的信息安全行为，并对潜在的信息安全风险进行预警，预防信息安全事件。 004 部门经理 作为部门信息安全的间接责任人，熟悉公司信息安全战略，并积极推动信息安全策略的落地执行。 005 006 007 008 009 部门副总 对所负责部门的信息安全事件负相应的管理责任。 IT部信息安全组 对信息安全事件进行跟踪处理，并确定事件责任人。 董事会秘书 总经理 人力资源部 审核信息安全事件处理报告。 最终审批信息安全事件处罚申请。 依据公司财务制度对已审批的信息安全奖励/处罚报告执行经济奖励或者处罚措施。

2015-12-11/6

010 法务部 配合IT部信息安全组进行信息安全事件处理，对违反法律法规的信息安全责任人依法追究法律责任。 5.内容

5.1奖励、违规行为处罚原则 5.1.1及时激励原则

对长期妥善保护公司信息资产，有效避免信息资产的遗失、滥用、盗用等，或对于促进信息安全合理共享表现突出的个人或者集体，将及时奖励。 5.1.2 举报保密原则

对于举报信息安全违规行为的人员，将对其进行奖励并严格保护其个人资料不公开。

5.1.3 违规行为处罚原则 5.1.3.1法律追究原则

公司所有保密信息均为公司合法资产，受国家法律法规保护。任何损害公司保密信息的行为，公司均有权追究行为人法律责任。 5.1.3.2违规分级原则

根据违规行为的性质、造成的损失和影响的严重程度、违规人员是否有意对违规行为分级。涉及关键信息资产的，违规等级要升级；一次违反多条信息安全规定的人员按最高违规等级从重处罚；对多次违反信息安全规定的人员再次违规时要从重处罚。

5.1.3.3主动从宽原则

产生违规行为后主动报告，积极采取补救措施以减少影响和损失的人员，可减轻处罚；对问题隐瞒不报或者不及时上报而导致违规影响扩大的人员，加重处罚。

2015-12-12/6

5.1.3.4过度防卫处罚原则

对阻碍信息合理流动与共享的人员要给予处罚。 5.1.3.5及时处理原则

对重大信息安全违规事件，要及时处理。任何拖延、推诿不处理的责任人，要给予问责。 5.2

奖励等级与责任部门

5.2.1奖励等级与措施 奖励事迹 奖励等级 奖励措施 根据具体情况给予8000元集体奖励或者5000元个人奖励；通报表扬（遵循“举报保密原则“淡化事迹并隐藏人员信息）。 制止他人违规行为或者即时反二级 映可能造成泄密、窃密或者其他重大安全隐患的个人，以及在信息安全方面做出表率或者突出贡献的集体 在信息安全管理中做出贡献，反三级 映信息安全隐患或者过度防卫被核实、提出信息安全合理化建议并被采纳的个人，以及在信息安全方面做出贡献的集体 5.2.2奖励责任部门

1）对于满足信息安全奖励标准的集体或者个人，IT部信息安全组可根据具体事迹定期进行申报，审批通过后由人力资源部根据公司财务制度进行发放奖金；

举报或者制止泄密、窃密或者其一级 他严重损害公司利益事件的集体或者个人 根据具体情况集体奖5000元或者3000个人奖励；通报表扬（遵循“举报保密原则“淡化事迹并隐藏人员信息）。 根据具体情况给予3000元集体奖励或者1000元个人奖励。 2015-12-13/6

2） 各部门信息安全接口人可自行组织对本部门优秀信息安全集体或者个人进行奖励。 5.3

违规等级与责任部门

5.3.1 违规等级与措施 违规事件 违规等级 处罚措施 1. 直接开除，永不录用； 2. 如违反法律法规由公司法务部移送公安机关处理；如给公司造成相关损失，须赔偿公司损失。 3. 全公司范围内通报处罚决定。 故意违反信息安全规定，二级 性质严重；或者造成较大影响或较大风险 1. 如给公司造成相关损失，须赔偿公司损失； 2. 担任公司管理岗位的人员，进行降职或者降薪处理；非公司管理岗位的人员，进行降薪处理； 3. 全公司范围内通报处罚决定。 过失违反信息安全管理三级 规定，造成一定影响或者风险的；或者故意违反信息安全管理规定，但性质不严重且没有造成严重影响或风险 过失违反信息安全管理四级 规定，性质较轻，且造成轻微影响或者风险 1.记入关键事件考评结果减5分或罚款300元； 2.12个月内2次四级违规升级为1次三级违规； 3.部门内部通报处罚决定。 说明：

盗窃、故意泄露公司保密一级 信息的，或故意违反信息安全管理规定，性质严重造成重大影响或者风险 1. 记入关键事件考评结果减10分或罚款500元； 2. 12个月内2次三级违规升级为1次二级违规。 3.部门内部通报处罚决定。 2015-12-14/6