導(dǎo)航：安全管理網(wǎng)>> 安全管理>> 安全管理制度>> 通用安全>>正文

信息安全獎懲管理辦法

　　評論：　更新日期：2016年02月25日

1.目的

明確信息安全獎勵與違規(guī)行為處罰的操作原則，強化執(zhí)行，促進(jìn)員工信息安全意識提升。

2.適用范圍

本規(guī)范適用于深圳市XX公司 (后續(xù)簡稱為公司)。

3.定義

序號	角色	職責(zé)
001	信息安全事件	指識別出的發(fā)生的系統(tǒng)、服務(wù)或網(wǎng)絡(luò)事件表明可能違反信息安全策略或防護(hù)措施失效；或以前未知的與安全相關(guān)的情況；其中一、二級信息安全事件稱為重大信息安全事件。
002	信息安全活動	為培養(yǎng)員工信息安全意識，提高公司整體安全水平而舉辦的活動，形式包括但不限于：考試、培訓(xùn)、宣傳和自查。

4.職責(zé)與權(quán)限

序號	角色	職責(zé)
001	員工	遵守公司信息安全管理制度，積極配合、參與信息安全活動。
002	各部門信息安全接口人	協(xié)助公司信息安全管理制度、產(chǎn)品的宣傳與培訓(xùn)工作；負(fù)責(zé)對部門信息安全問題進(jìn)行匯總與反饋。
003	部門主管	是部門信息安全的直接責(zé)任人，負(fù)責(zé)監(jiān)督和管理本部門員工的信息安全行為，并對潛在的信息安全風(fēng)險進(jìn)行預(yù)警，預(yù)防信息安全事件。
004	部門經(jīng)理	作為部門信息安全的間接責(zé)任人，熟悉公司信息安全戰(zhàn)略，并積極推動信息安全策略的落地執(zhí)行。
005	部門副總	對所負(fù)責(zé)部門的信息安全事件負(fù)相應(yīng)的管理責(zé)任。
006	IT部信息安全組	對信息安全事件進(jìn)行跟蹤處理，并確定事件責(zé)任人。
007	董事會秘書	審核信息安全事件處理報告。
008	總經(jīng)理	最終審批信息安全事件處罰申請。
009	人力資源部	依據(jù)公司財務(wù)制度對已審批的信息安全獎勵/處罰報告執(zhí)行經(jīng)濟(jì)獎勵或者處罰措施。
010	法務(wù)部	配合IT部信息安全組進(jìn)行信息安全事件處理，對違反法律法規(guī)的信息安全責(zé)任人依法追究法律責(zé)任。

5.內(nèi)容

5.1獎勵、違規(guī)行為處罰原則

5.1.1及時激勵原則

對長期妥善保護(hù)公司信息資產(chǎn)，有效避免信息資產(chǎn)的遺失、濫用、盜用等，或?qū)τ诖龠M(jìn)信息安全合理共享表現(xiàn)突出的個人或者集體，將及時獎勵。

5.1.2?舉報保密原則

對于舉報信息安全違規(guī)行為的人員，將對其進(jìn)行獎勵并嚴(yán)格保護(hù)其個人資料不公開。

5.1.3?違規(guī)行為處罰原則

5.1.3.1法律追究原則

公司所有保密信息均為公司合法資產(chǎn)，受國家法律法規(guī)保護(hù)。任何損害公司保密信息的行為，公司均有權(quán)追究行為人法律責(zé)任。

5.1.3.2違規(guī)分級原則

根據(jù)違規(guī)行為的性質(zhì)、造成的損失和影響的嚴(yán)重程度、違規(guī)人員是否有意對違規(guī)行為分級。涉及關(guān)鍵信息資產(chǎn)的，違規(guī)等級要升級；一次違反多條信息安全規(guī)定的人員按最高違規(guī)等級從重處罰；對多次違反信息安全規(guī)定的人員再次違規(guī)時要從重處罰。

5.1.3.3主動從寬原則

產(chǎn)生違規(guī)行為后主動報告，積極采取補救措施以減少影響和損失的人員，可減輕處罰；對問題隱瞞不報或者不及時上報而導(dǎo)致違規(guī)影響擴(kuò)大的人員，加重處罰。

5.1.3.4過度防衛(wèi)處罰原則

對阻礙信息合理流動與共享的人員要給予處罰。

5.1.3.5及時處理原則

對重大信息安全違規(guī)事件，要及時處理。任何拖延、推諉不處理的責(zé)任人，要給予問責(zé)。