【9A文】信息安全奖惩管理办法

信息安全奖惩管理办法

1.目的

明确信息安全奖励与违规行为处罚的操作原则，强化执行，促进员工信息安全意识提升。

2.适用范围

本规范适用于深圳市RR公司(后续简称为公司)。

3.定义

5.内容

5.1奖励、违规行为处罚原则

5.1.1及时激励原则

对长期妥善保护公司信息资产，有效避免信息资产的遗失、滥用、盗用等，或对于促进信息安全合理共享表现突出的个人或者集体，将及时奖励。

5.1.2举报保密原则

对于举报信息安全违规行为的人员，将对其进行奖励并严格保护其个人资料不公开。

5.1.3违规行为处罚原则

5.1.3.1法律追究原则

公司所有保密信息均为公司合法资产，受国家法律法规保护。任何损害公司保密信息的行为，公司均有权追究行为人法律责任。

5.1.3.2违规分级原则

根据违规行为的性质、造成的损失和影响的严重程度、违规人员是否有意对违规行为分级。涉及关键信息资产的，违规等级要升级；一次违反多条信息安全规定的人员按最高违规等级从重处罚；对多次违反信息安全规定的人员再次违规时要从重处罚。

5.1.3.3主动从宽原则

产生违规行为后主动报告，积极采取补救措施以减少影响和损失的人员，可减轻处罚；对问题隐瞒不报或者不及时上报而导致违规影响扩大的人员，加重处罚。

5.1.3.4过度防卫处罚原则

对阻碍信息合理流动与共享的人员要给予处罚。

5.1.3.5及时处理原则

对重大信息安全违规事件，要及时处理。任何拖延、推诿不处理的责任人，要给予问责。

5.2奖励等级与责任部门

5.2.1奖励等级与措施

5.2.2奖励责任部门

1）对于满足信息安全奖励标准的集体或者个人，IT部信息安全组可根据具体事迹定期进行申报，审批通过后由人力资源部根据公司财务制度进行发放奖金；

2）各部门信息安全接口人可自行组织对本部门优秀信息安全集体或者个人进行奖励。

5.3违规等级与责任部门

5.3.1违规等级与措施

1)信息安全管理规定包括公司各部门正式发布的信息安全管理制度；

2)上表中“违规事件“的描述是定性的描述，是违规事件定级的参考原则。常见

违规行为所适用违规等级具体参考附件1：《常见违规行为及其适用处罚等级举例》，其他违规行为所使用等级可参考举例进行认定。

5.3.2责任判定

1）发生一、二级重大信息安全事件违规时，违规者直接上级和部门经理承担直接和间接责任，部门副总须承担连带管理责任，并按照《常见违规行为及其适用处罚等级举例V1.0》适用条款进行处罚；

2）对于三、四级信息安全违规，根据以下条件判断责任人直接上级是否连带处罚：➢员工无意违规，且责任人领导未进行审批授权的，不进行连带处罚；

➢员工无意违规，但责任人领导进行包庇的，在事实确认的基础上，进行连带处罚；

➢若所管理部门一个月内发生2次（含）以上故意违规或者4次（含）以上无意违规事件，对直接上级进行连带处罚。

5.3.3处罚责任部门

1）对于各类违规行为处罚应当慎重，应建立在客观事实的基础上给出处罚意见。根据违规行为性质、造成的损失和影响的大小，IT部信息安全组有权要求对当事人加重或者减轻处罚；

2）发现可疑事件的组织作为事件调查和处理的责任部门。为了加快一级违规行为的处理进度，沟通时限和批准期限都是2天；

3）在违规事件处理过程中，IT部信息安全组协助与监督处罚责任人完成处罚

执行工作。处罚责任人或其授权人员要做好与违规员工的沟通工作。对违规处罚过程中出现的拖延、推诿行为，IT部信息安全组可以行使否决权。

5.4.维护与解释

1）本规定发布之日起生效；

2）本规定由IT部信息安全组至少每两年审视一次，根据审核结果修订标准并颁布执行；

3）本规定解释权归IT部信息安全组。

6.相关文件

附件1：《常见违规行为及其适用处罚等级举例》

7.记录表格

无