网络安全违规问责制度(暂行)AccountabilitySystemofCyberSecurityViolation(Provisional)内部公开Internaluse第1页,共4页Page1of4网络安全违规问责制度(暂行)1目的为明确在发生网络安全违规事件时各责任人的问责机制,加强网络安全相关工作的规范性,特制定本制度。2适用范围本制度适用于华为事业部现场定制的员工。若本制度中的某一项或几项规定与当地法律、法规的强制性规定冲突,则以当地强制性规定为准,但不影响本制度其他规定的效力。3网络安全定义网络安全是指在法律合规下保护产品、解决方案和服务的可用性、完整性、机密性、可追溯性和抗攻击性,及保护其所承载的客户或用户的通信内容、个人数据及隐私、客观信息流动。通过网络安全的保障,避免公司及其客户的经济、声誉受损;避免行为人或公司承担民事、行政甚至刑事责任。4问责细则4.1问责原则4.1.1分级处理原则:根据员工网络安全违规的性质,以及造成的后果确定问责处理等级,分级处理,对触犯法律法规的,报送司法机关处理。4.1.2主管承担管理责任原则:违规行为发生时的违规人直接管理者和间接管理者(包含流程owner)若存在管理不力或知情不作为等情形的,此违规人的直接管理者和间接管理者须承担管理责任。4.1.3加重或减轻原则:违规事件处理可根据违规人的态度与调查配合情况等予以加重或减轻处理,但原则上,减轻处理最多只能降低一个处罚等级。网络安全违规问责制度(暂行)AccountabilitySystemofCyberSecurityViolation(Provisional)内部公开Internaluse第2页,共4页Page2of44.2问责事项与标准4.2.1总体要求1)现场员工被华为公司书面投诉(包含但不限于电子邮件),适用本制度;2)现场员工被华为公司非书面投诉2次(含)以上,适用本制度,问责等级按第2次投诉等级确认。4.2.2对违规直接责任人的问责对违规直接责任人的问责,根据违规行为的性质、对公司及客户造成的损失和影响及其可能导致的政治、法律风险等因素进行处理。各业务部门在日常业务管理和自查自纠中发现的网络安全违规行为的处理,可参照执行。4.2.3违规直接责任人的问责等级网络安全违规情节问责等级问责措施属于公司《网络安全违规行为》(见附件1)中的一级行为,或对公司造成重大危机事件、重大投诉、重大损失、重大隐患、重大风险的一级1、解除劳动关系2、如触犯国家法律法规,公司依法追究或保留追究其法律责任的权利3、扣除当年绩效,薪资扣除基本工资10%4、直接管理者扣除基本工资5%,当季度绩效不得高于C+属于公司《网络安全违规行为》(见附件1)中的二级行为,或导致客户投诉、较大损失、较大隐患、较大风险的二级1、季度考评为D2、取消全年补贴3、扣除当季度绩效,薪资扣除基本工资10%4、直接管理者扣除基本工资5%属于公司《网络安全违规行为》(见附件1)中的三级行为,或导致较小损失、较小隐患、较小风险的三级1、季度考评为C2、12个月内2次三级违规升级为1次二级违规3、薪资扣除基本工资5%属于公司《网络安全违规行为》(见附件1)中的四级行为,或对公司尚未造成实际损失,但存在一定隐患、风险的四级1、季度考评不得高于C+2、12个月内2次四级违规升级为1次三级违规其他违规行为所适用等级可参照附件1:《网络安全违规行为》中的定级原则进行认定。网络安全违规问责制度(暂行)AccountabilitySystemofCyberSecurityViolation(Provisional)内部公开Internaluse第3页,共4页Page3of44.2.4违规直接责任人的问责加重或减轻1)有下列情形之一的,应当加重或从重处罚:在2人以上的共同违规行为中起主要作用的;干扰、妨碍违规事件调查的;隐匿、伪造、销毁证据的;串供或者阻止他人揭发举报、提供证据材料的;打击报复举报人、证人及其他人员的;包庇其他违规人员的;两次以上(含两次)违反网络安全相关规定的;其他不诚信行为。2)有下列情形之一的,可以减轻或从轻处罚:主动发现违规情形及时报告,并积极采取措施减少损失的;自首或主动坦白,积极配合调查,并主动退回全部不当获利的;举报其他违规人,情况属实的。4.3对管理责任人的问责4.3.1问责等级对于违规直接责任人的直接管理者和间接管理者,若存在管理不力、知情不作为、放任等情形的违规行为,将根据其行为性质和过失程度,给予不同的问责。直接责任人处罚等级为一、二级时,对管理责任人的处罚可参考执行二、三级;直接责任人处罚等级为三、四级时,对管理责任人的处罚可参考执行四级。4.3.2管理责任人问责的加重或减轻1)有下列情形之一的,应当加重或从重处罚:群体性行为;网络安全违规问责制度(暂行)AccountabilitySystemofCyberSecurityViolation(Provisional)内部公开Internaluse第4页,共4页Page4of4干扰、妨碍违规事件调查的;包庇违规人员的;打击报复举报人、证人及其他人员的;对立项调查的项目,未经调查小组同意,擅自调查和自行询问相关人员,造成相关后果的;其他不诚信行为。2)有下列情形之一的,可以减轻或从轻处罚:主动发现违规情形及时报告,积极配合调查的。5网络安全违规行为的法律后果违规员工或其相关管理责任人如触犯网络安全相关的法律规定,公司依法追究其法律责任或保留追究其法律责任的权利。附件1:《网络安全违规行为V1.0》