ISMS-C-21信息安全奖惩管理制度

参考模版,仅供参考

1. 目的

为明确信息安全奖励与违规行为处罚的操作原则,促进和强化全体员工的信息安全意识,特制定本规定。

2. 范围

本制度适用于组织内的全体员工。

3. 职责

3.1 技术副总裁

  1. 负责对特别重大事件(Ⅰ级)和重大事件(Ⅱ级)奖惩的审批。

3.2 信息部总监

  1. 负责对较大事件(Ⅲ级)和一般事件(Ⅳ级)奖惩的审批。

3.3 息安全部

  1. 负责信息安全事件的奖惩管理。

3.4力专员

  1. 负责执行信息安全事件奖惩;
  2. 负责接受对信息安全事件奖惩的申诉。

3.5 其他各部门

  1. 负责监督和管理本部门员工的信息安全行为,并对潜在的信息安全风险进行预警,预防信息安全事件

4. 相关文件

《信息安全管理手册》
《信息安全事件管理制度》

5. 内容

5.1 奖励、违规行为处罚原则

5.1.1 及时激励原则

对妥善保护公司信息资产,有效避免信息资产的遗失、滥用、盗用等,或对于促进信息安全合理共享表现突出的个人或者集体,将及时奖励。

5.1.1 举报保密原则

对于举报信息安全违规行为的人员,将对其进行奖励并严格保护其个人资料不公开。

5.1.1 违规行为处罚原则

  • 法律追究原则
    所有保密信息均为组织合法资产,受国家法律法规保护。任何损害公司保密信息的行为,公司均有权追究行为人法律责任。
  • 违规分级原则
    根据违规行为的性质、造成的损失和影响的严重程度、违规人员是否有意对违规行为分级。涉及关键信息资产的,违规等级要升级;一次违反多条信息安全规定的人员按最高违规等级从重处罚;对多次违反信息安全规定的人员再次违规时要从重处罚。
  • 主动从宽原则
    产生违规行为后主动报告,积极采取补救措施以减少影响和损失的人员,可减轻处罚;对问题隐瞒不报或者不及时上报而导致违规影响扩大的人员,加重处罚。

5.2 奖励等级与责任部门

5.2.1 奖励等级与措施

事件等级 奖励措施
特别重大事件(Ⅰ级) 根据具体情况给予8000元集体奖励或者5000元个人奖励;通报表扬
重大事件(Ⅱ级) 根据具体情况集体奖5000元或者3000个人奖励;通报表扬
较大事件(Ⅲ级) 根据具体情况给予3000元集体奖励或者1000元个人奖励。
一般事件(Ⅳ级) 根据具体情况给予1000元集体奖励或者300元个人奖励。

5.2.2 奖励责任部门

  1. 对于满足信息安全奖励标准的集体或者个人,可根据具体事迹定期进行申报,由信息部总监审批,通过审批后由人力资源部根据公司财务制度进行发放奖金;
  2. 各部门信息安全接口人可自行组织对本部门优秀信息安全集体或者个人进行奖励。

5.3 违规等级与责任部门

5.3.1 违规等级与措施

事件等级 奖励措施
特别重大事件(Ⅰ级) 1. “情节特别严重,影响特别恶劣的,经公司管理层批准,可直接开除,永不录用”; 2. 如违反法律法规由公司法务部移送公安机关处理;如给公司造成相关损失,须赔偿公司损失;3. 全公司范围内通报处罚决定。
重大事件(Ⅱ级) 1.如给公司造成相关损失,须赔偿公司损失 ;2.将责任人调离原工作岗位并扣罚三个月绩效工资;3.全公司范围内通报处罚决定。
较大事件(Ⅲ级) 1.责任人月度绩效不合格,扣罚一个月绩效工资;2. 部门内部通报处罚决定。
一般事件(Ⅳ级) 1.罚款200元;2. 1年内3次Ⅳ级事件升级为1次Ⅲ级事件;3. 部门内部通报处罚决定

说明:
信息安全部负责对各部门内部信息安全管理活动的执行情况进行日常监督与检查,对发现的违章进行记录并通报员工的直接上级以及信息安全部。
处罚原则:

  • 一月内连续两次,月度绩效不合格;
  • 一年内累计三次或以上,年度绩效不合格。

5.3.2 责任判定

  1. 发生一、二级重大信息安全事件违规时,违规者直接上级和部门负责人承担直接和间接责任;
  2. 对于三、四级信息安全违规,根据以下条件判断责任人直接上级是否连带处罚:
  • 员工无意违规,且责任人领导未进行审批授权的,不进行连带处罚;
  • 员工无意违规,但责任人领导进行包庇的,在事实确认的基础上,进行连带处罚;
  • 若所管理部门一个月内发生2次(含)以上故意违规或者4次(含)以上无意违规事件,对直接上级进行连带处罚

5.3.3 处罚责任部门

事件等级 处罚责任人 批准 申诉
特别重大事件(Ⅰ级) 技术副总裁 / 人力专员
重大事件(Ⅱ级) 技术副总裁 / 人力专员
较大事件(Ⅲ级) 信息部总监 信息安全部 人力专员
一般事件(Ⅳ级) 信息部总监 信息安全部 人力专员

6. 记录

《员工奖惩建议申请单》

⭐您的支持将鼓励我继续创作⭐