ISMS-L2-004-安全责任和惩戒措施管理文档

编号：ISMS-L2-004申鼎互金信息安全管理体系文档深圳申鼎互联网金融服务有限公司安全责任和惩戒措施管理文档编号：ISMS-L2-004深圳申鼎互联网金融服务有限公司二0一六年三月编号：ISMS-L2-0042版本控制信息版本日期拟稿和修改说明Ver.1.02016-03-09初版发行Ver.1.12016-12-08第二版发行Ver.1.22017-05-26第三版发行Ver.1.32018-02-02第四版发行本文档中的所有内容为深圳申鼎互联网金融服务有限公司的机密和专属所有。未经深圳申鼎互联网金融服务有限公司的明确书面许可，任何组织或个人不得以任何目的、任何形式及任何手段复制或传播本文档部分或全部内容。编号：ISMS-L2-00431目的明确信息安全奖励与违规行为处罚的操作原则，强化执行，促进员工信息安全意识提升，有效防止信息安全事故的发生，特制定本规定。2范围本程序适用于本公司对违反信息安全方针、体系文件要求、法律法规、合同要求的员工的奖惩及对信息安全做出贡献员工的奖励。3定义序号角色职责001信息安全事件指识别出的发生的系统、服务或网络事件表明可能违反信息安全策略或防护措施失效；或以前未知的与安全相关的情况；其中一、二级信息安全事件称为重大信息安全事件。002信息安全活动为培养员工信息安全意识，提高公司整体安全水平而举办的活动，形式包括但不限于：考试、培训、宣传和自查。编号：ISMS-L2-00444职责序号角色职责001员工遵守公司信息安全管理制度，积极配合、参与信息安全活动。002部门主管是部门信息安全的直接责任人，负责监督和管理本部门员工的信息安全行为，并对潜在的信息安全风险进行预警，预防信息安全事件。003信息安全中心对信息安全事件进行跟踪处理，并确定事件责任人。004总经理最终审批信息安全事件处罚申请。005人事行政中心依据公司财务制度对已审批的信息安全奖励/处罚报告执行经济奖励或者处罚措施。5.内容5.1奖励、违规行为处罚原则5.1.1及时激励原则对长期妥善保护公司信息资产，有效避免信息资产的遗失、滥用、盗用等，或对于促进信息安全合理共享表现突出的个人或者集体，将及时奖励。5.1.2举报保密原则对于举报信息安全违规行为的人员，将对其进行奖励并严格保护其个人资料不公开。编号：ISMS-L2-00455.1.3违规行为处罚原则5.1.3.1法律追究原则公司所有保密信息均为公司合法资产，受国家法律法规保护。任何损害公司保密信息的行为，公司均有权追究行为人法律责任。5.1.3.2违规分级原则根据违规行为的性质、造成的损失和影响的严重程度、违规人员是否有意对违规行为分级。涉及关键信息资产的，违规等级要升级；一次违反多条信息安全规定的人员按最高违规等级从重处罚；对多次违反信息安全规定的人员再次违规时要从重处罚。5.1.3.3主动从宽原则产生违规行为后主动报告，积极采取补救措施以减少影响和损失的人员，可减轻处罚；对问题隐瞒不报或者不及时上报而导致违规影响扩大的人员，加重处罚。5.1.3.4过度防卫处罚原则对阻碍信息合理流动与共享的人员要给予处罚。5.1.3.5及时处理原则对重大信息安全违规事件，要及时处理。任何拖延、推诿不处理的责任人，要给予问责。编号：ISMS-L2-00465.2奖励等级与责任部门5.2.1奖励等级与措施奖励事迹奖励等级奖励措施举报或者制止泄密、窃密或者其他严重损害公司利益事件的集体或者个人一级根据具体情况给予8000元集体奖励或者5000元个人奖励；通报表扬（遵循“举报保密原则“淡化事迹并隐藏人员信息）。制止他人违规行为或者即时反映可能造成泄密、窃密或者其他重大安全隐患的个人，以及在信息安全方面做出表率或者突出贡献的集体二级根据具体情况集体奖5000元或者3000个人奖励；通报表扬（遵循“举报保密原则“淡化事迹并隐藏人员信息）。在信息安全管理中做出贡献，反映信息安全隐患或者过度防卫被核实、提出信息安全合理化建议并被采纳的个人，以及在信息安全方面做出贡献的集体三级根据具体情况给予3000元集体奖励或者1000元个人奖励。5.2.2奖励责任部门1）对于满足信息安全奖励标准的集体或者个人，信息安全中心可根据具体事迹定期进行申报，审批通过后由人力资源部根据公司财务制度进行发放奖金；2）各部门信息安全接口人可自行组织对本部门优秀信息安全集体或者个人进行奖励。编号：ISMS-L2-00475.3违规等级与责任部门5.3.1违规等级与措施违规事件违规等级处罚措施盗窃、故意泄露公司保密信息的，或故意违反信息安全管理规定，性质严重造成重大影响或者风险一级直接开除，永不录用；如违反法律法规由公司人事行政中心移送公安机关处理；如给公司造成相关损失，须赔偿公司损失。全公司范围内通报处罚决定。故意违反信息安全规定，性质严重；或者造成较大影响或较大风险二级如给公司造成相关损失，须赔偿公司损失；担任公司管理岗位的人员，进行降职或者降薪处理；非公司管理岗位的人员，进行降薪处理；全公司范围内通报处罚决定。过失违反信息安全管理规定，造成一定影响或者风险的；或者故意违反信息安全管理规定，但性质不严重且没有造成严重影响或风险三级1.记入关键事件考评结果减10分或罚款500元；2.12个月内2次三级违规升级为1次二级违规。3.部门内部通报处罚决定。过失违反信息安全管理规定，性质较轻，且造成轻微影响或者风险四级1.记入关键事件考评结果减5分或罚款300元；2.12个月内2次四级违规升级为1次三级违规；3.部门内部通报处罚决定。说明：编号：ISMS-L2-00481）信息安全管理规定包括公司各部门正式发布的信息安全管理制度；2）上表中“违规事件“的描述是定性的描述，是违规事件定级的参考原则。5.3.2责任判定1）发生一、二级重大信息安全事件违规时，违规者直接上级和部门经理承担直接和间接责任，部门副总须承担连带管理责任，并按照《常见违规行为及其适用处罚等级举例V1.0》适用条款进行处罚；2）对于三、四级信息安全违规，根据以下条件判断责任人直接上级是否连带处罚：3）员工无意违规，且责任人领导未进行审批授权的，不进行连带处罚；4）员工无意违规，但责任人领导进行包庇的，在事实确认的基础上，进行连带处罚；5）若所管理部门一个月内发生2次（含）以上故意违规或者4次（含）以上无意违规事件，对直接上级进行连带处罚。5.3.3处罚责任部门处罚等级处罚责任人批准申诉一级总经理/人事行政中心二级总经理/人事行政中心三级部门主管信息安全中心人事行政中心四级部门主管信息安全中心人事行政中心说明：1）对于各类违规行为处罚应当慎重，应建立在客观事实的基础上给出处罚意见。根据违规行为性质、造成的损失和影响的大小，信息安全中心有权要求对当事人加重或者减轻处罚；编号：ISMS-L2-00492）发现可疑事件的组织作为事件调查和处理的责任部门。为了加快一级违规行为的处理进度，沟通时限和批准期限都是2天；3）在违规事件处理过程中，信息安全中心协助与监督处罚责任人完成处罚执行工作。处罚责任人或其授权人员要做好与违规员工的沟通工作。对违规处罚过程中出现的拖延、推诿行为，信息安全中心可以行使否决权。5.4.维护与解释1）本规定发布之日起生效；2）本规定由信息安全中心至少每两年审视一次，根据审核结果修订标准并颁布执行；3）本规定解释权归信息安全中心。