信息安全奖惩管理规定.docx

信息安全奖惩管理规定文件编号:1 .目的和范围为对违反信息安全方针和制度的员工进行公正有效的处罚，对有效避免信息安全事故的有功人员进行表彰，并作为对可能在其它情况下有意轻视信息安全制度的员工的威慑，强化全体员工的信息安全意识，有效防止信息安全事故的发生，特制定本规定。本规定适用于公司内部信息安全管理体系规定范围内的所有在职人员、临时雇用的人员。2 .引用文件1）下列文件中的条款通过本规定的引用而成为本规定的条款。凡是注日期的引用文件，其随后所有的修订版均不适用于本标准，然而，鼓励各部门研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。2） GB/T22080-2008/ISO/IEC27001:2013信息技术安全技术信息安全管理体系要求。3）信息安全管理手册。3 .职责和权限1）信息安全领导小组：负责公司内部泄密等信息安全事件的奖惩管理。2）总经理：负责决定重大信息安全事故的处罚。3）人力资源部：负责奖惩的核实调查确认。4）各部门：具体负责对本部门员工违反信息安全方针和制度的处罚。4 .活动描述4.1. 奖惩的原则1）奖惩有据的原则：奖惩的依据是相关部门的各项规章制度、员工的岗位描述及工作目标等。2）奖惩及时的原则：为及时地鼓励员工对相关部门的贡献和正确行为以及纠正员工的错误行为，使奖惩机制发挥应有的作用，奖惩必须及时。3）奖惩公开的原则：为了使奖惩公正、公平，并达到应有的效果，奖惩结果必须公开。4）有功必奖，有过必惩的原则：杜绝相关部门员工特权的产生，在制度面前公司内部所有员工应人人平等，一视同仁。4.2. 惩戒规定1）惩戒的目的在于促使员工严格遵守信息安全的管理制度，惩前瑟后，从而保障相关部门和员工共同利益和长远利益。2）按照信息安全事故的分类，违反规定的员工，视情节轻重给予相应的处罚。3）信息安全处罚规定分为违章事故处罚和信息安全事故的处罚。4）违章事故的处罚 各部门领导负责对本部门内部信息安全管理活动的执行情况进行日常监督与检查，对发现的问题及时向上级部门负责人汇报并由其进行处理。对于员工违反信息安全方针、信息安全管理手册、制度文件、操作规程等信息安全管理体系文件的规定，但没有造成信息安全事故的，均属于违章现象；违章一次，由本部门负责人给予书面警告，必要时根据劳动法和公司内部相关规定处罚；累计三次书面警告公司将与当事人解除劳动合同，并出具解除劳动合同通知书。 负有信息安全事故处罚的各职能部门在日常检查过程发现在其职责范围内的违章现象，应通过适当的纠正、预防措施予以纠正和改进。 对于审核中（包括内部审核及第三方审核）发现的一般不符合事项，应通过适当的纠正、预防措施予以纠正和改进，并给予责任人口头警告；严重不符合事项，根据劳动法和公司相关规定处罚，并在部门内部进行通报。 办公物品丢失，IT设备丢失等，需向行政部提出丢失说明，并缴纳必要的成本费用。5）信息安全事故的处罚 信息安全事故发生后，对信息安全事故进行调查，确定事故发生的原因及事故的责任者，根据事故所造成的损失，由信息安全工作小组形成处理报告，提出处罚意见，报告信息安全领导小组，批准后对责任者予以处罚；对于重大信息安全事故的责任者的处罚应提交总经理决策。 一般安全事故，根据所造成的经济损失，根据劳动法和公司相关规定给予一定处罚；造成重大安全事故的，根据劳动法和员工手册相关规定给予一定处罚；如果属于故意行为导致信息安全事故，解除劳动关系并依法追究法律责任。6）对于信息安全事故责任人的处理结果由处理部门在公司一定范围内予以通报。1）人力资源部负责奖惩的核实调查确认，予以相应处理意见，并根据审批权限报由主管领导审批，予以嘉奖或惩处。2）各级领导对所属员工的各种惩处事件，如知情不报或蓄意袒护，除受连带处分外，将就其包庇行为进行另案处理。 .4.补充规定1）惩戒根据信息安全领导小组的决定执行。员工惩处结果需通知本人，对于不合理、不公平的惩罚，员工有申诉的权利。2）各部门无权对员工进行私下处罚，无权收取任何罚款，如经发现将严格按照本规定处理。3）员工被处罚时，根据其直接上级领导责任大小，给予该直接上级连带责任处罚。4）员工奖惩记录由人力资源部存档。文档编号（由总裁办填写）F4-B总裁办-003-V1.0密级内部公开文档发布级别公司级文档发布及实行范围全员制度试行日期（可选）制度执行日期文档起草人签字：文档修订人：签字：修订说明：备注：文档负责人：签字：文档审批人力资源部签字：信息安全管理者代表签字：文档审批人签字：本制度相关修改及解释权属于总裁办