信息安全獎懲管理辦法

　　評論：　更新日期：2016年02月25日

1.目的

明確信息安全獎勵與違規(guī)行為處罰的操作原則，強化執(zhí)行，促進員工信息安全意識提升。

2.適用范圍

本規(guī)范適用于深圳市XX公司 (后續(xù)簡稱為公司)。

3.定義

序號	角色	職責
001	信息安全事件	指識別出的發(fā)生的系統(tǒng)、服務或網絡事件表明可能違反信息安全策略或防護措施失效；或以前未知的與安全相關的情況；其中一、二級信息安全事件稱為重大信息安全事件。
002	信息安全活動	為培養(yǎng)員工信息安全意識，提高公司整體安全水平而舉辦的活動，形式包括但不限于：考試、培訓、宣傳和自查。

4.職責與權限

序號	角色	職責
001	員工	遵守公司信息安全管理制度，積極配合、參與信息安全活動。
002	各部門信息安全接口人	協助公司信息安全管理制度、產品的宣傳與培訓工作；負責對部門信息安全問題進行匯總與反饋。
003	部門主管	是部門信息安全的直接責任人，負責監(jiān)督和管理本部門員工的信息安全行為，并對潛在的信息安全風險進行預警，預防信息安全事件。
004	部門經理	作為部門信息安全的間接責任人，熟悉公司信息安全戰(zhàn)略，并積極推動信息安全策略的落地執(zhí)行。
005	部門副總	對所負責部門的信息安全事件負相應的管理責任。
006	IT部信息安全組	對信息安全事件進行跟蹤處理，并確定事件責任人。
007	董事會秘書	審核信息安全事件處理報告。
008	總經理	最終審批信息安全事件處罰申請。
009	人力資源部	依據公司財務制度對已審批的信息安全獎勵/處罰報告執(zhí)行經濟獎勵或者處罰措施。
010	法務部	配合IT部信息安全組進行信息安全事件處理，對違反法律法規(guī)的信息安全責任人依法追究法律責任。

5.內容

5.1獎勵、違規(guī)行為處罰原則

5.1.1及時激勵原則

對長期妥善保護公司信息資產，有效避免信息資產的遺失、濫用、盜用等，或對于促進信息安全合理共享表現突出的個人或者集體，將及時獎勵。

5.1.2?舉報保密原則

對于舉報信息安全違規(guī)行為的人員，將對其進行獎勵并嚴格保護其個人資料不公開。

5.1.3?違規(guī)行為處罰原則

5.1.3.1法律追究原則

公司所有保密信息均為公司合法資產，受國家法律法規(guī)保護。任何損害公司保密信息的行為，公司均有權追究行為人法律責任。

5.1.3.2違規(guī)分級原則

根據違規(guī)行為的性質、造成的損失和影響的嚴重程度、違規(guī)人員是否有意對違規(guī)行為分級。涉及關鍵信息資產的，違規(guī)等級要升級；一次違反多條信息安全規(guī)定的人員按最高違規(guī)等級從重處罰；對多次違反信息安全規(guī)定的人員再次違規(guī)時要從重處罰。

5.1.3.3主動從寬原則

產生違規(guī)行為后主動報告，積極采取補救措施以減少影響和損失的人員，可減輕處罰；對問題隱瞞不報或者不及時上報而導致違規(guī)影響擴大的人員，加重處罰。

5.1.3.4過度防衛(wèi)處罰原則

對阻礙信息合理流動與共享的人員要給予處罰。

5.1.3.5及時處理原則

對重大信息安全違規(guī)事件，要及時處理。任何拖延、推諉不處理的責任人，要給予問責。