16信息安全奖惩管理程序.docx

目录目录11目的22范围23职责24相关文件25程序26记录41目的为了对有效避免信息安全事故的人员和行为进行奖励，对违反信息安全方针和程序的人员和行为进行处罚，作为对有意轻视信息安全程序的员工的威慑，强化全体员工的信息安全意识，特制定本规定。2范围本程序适用于组织内对违反信息安全方针和程序员工的惩戒及对信息安全做出贡献员工的奖励管理。3职责3.1 各部门负责其管理权限范围内的奖惩管理，具体负责对本部门员工违反信息安全方针和程序的处罚。3.2 综合部负责泄密事件信息安全事故的奖惩管理。负责组织内IT方面信息安全事故的奖惩管理。负责决定重大信息安全事故的处罚。4相关文件信息安全管理手册信息安全事件管理程序5程序5.1 违章处罚各部门应安排一名信息安全员，负责对本部门内部信息安全管理活动的执行情况进行日常监督与检查，对发现的问题及时向本部门负责人汇报并由其进行处理。对于员工违反信息安全方针、信息安全管理手册、程序文件、操作规程等信息安全管理体系文件的规定，但没有造成信息安全事故的，均属于违章现象；违章一次，由本部门负责人给予口头警告；一月内连续两次违章，应予认定一般违纪，扣发当月奖金的浮动部分；一年内累计二次或二次以上一般违纪应认定为一次较重违纪，责令违章者写出书面检查报告，并在部门内部进行通报。负有信息安全事故处罚的各职能部门在日常检查过程发现在其职责范围内的违章现象，应通过适当的纠正、预防措施予以纠正和改进，并给予责任人口头警告；一月内连续两次违章，应予认定较重违纪,扣发二个月奖金的浮动部分；一年内累计二次一般违纪应认定为一次较重违纪，责令违章者写出书面检查报告，并在部门内部进行通报。对于审核中（包括内部审核及第三方审核）发现的一般不符合事项，应通过适当的纠正、预防措施予以纠正和改进，并给予责任人口头警告；严重不符合事项，扣发责任人当月奖金浮动部分，并在部门内部进行通报。5.2 信息安全事故的处罚信息安全事故发生后，按照信息安全事件管理程序的规定对信息安全事故进行调查，确定事故发生的原因及事故的责任者，根据事故所造成的损失，由信息安全管理职能部门形成处理报告，提出处罚意见，报组织分管领导批准后对责任者予以处罚；对于重大信息安全事故的责任者的处罚应提交综合部决定。处罚方式a）一般安全事故，根据所造成的经济损失，给予责任人扣罚当月奖金浮动部分的处罚；b）造成重大安全事故的，将责任人调离原工作岗位并给予扣罚三个月以下绩效奖金的处罚；c）如果属于故意行为导致信息安全事故，解除劳动合同并依法追究法律责任；d）对由于违反IT管理方针程序和越权访问策略的，应收Pl其访问权限。对于信息安全事故责任人的处理结果由处理部门在组织范围内予以通报。负有信息安全事故处罚的各职能部门在确定实施处罚后，应填写惩戒申报单，交综合部。综合部与被处罚部门沟通，确认责任者及处罚方式，并在责任人当月工资单扣除处罚金额。5.3 奖励规定对以下行为，组织将酌情予以奖励：a）及时发现非责任区信息安全隐患，该隐患足以导致信息安全事故的；b）及时发现非责任区信息安全重大隐患，该隐患足以导致信息安全重大事故的；c）及时发现并制止系统操作问题以避免设备及人身重大损失或人员伤亡的；d）及时制止或报告泄露商业机密的事件以避免组织重大经济损失或及时或中止正在进行中的商业泄密行为的；e）其他有效避免组织信息安全事故的行为；f）在信息安全事故中采取积极有效措施，降低损失的程度。奖励方式a）防止一般安全事故发生，给予相关人员一次性50-200元的奖励；b）防止造成重大安全事故的，给予相关人员一次性200-500元的奖励；c）及时中止正在进行中的商业泄密行为，根据秘密等级给予相关人员一次性500-2000元的奖励；d）信息安全事件中采取积极有效措施，降低损失程度，按照具体情况给予相关人员100-500元奖励；e）提出信息安全合理化建议，经组织采纳执行，给予相关人员一次性200元的奖励。发现信息安全事故、薄弱点与故障的员工应按照信息安全事件管理程序进行报告。相关的职能部门进行调查后，处理是否应给予奖励，如需要应填写奖励建议书，报综合部审批后，由综合部在其当月工资中加发奖励金额。对于授予奖励的相关人员的奖励结果由综合部在组织范围内予以通报。6记录惩戒申报单奖励建议书