資訊保安獎懲管理辦法

明確資訊保安獎勵與違規行為處罰的操作原則，強化執行，促進員工資訊保安意識提公升。

本規範適用於深圳市xx公司 (後續簡稱為公司)。

對長期妥善保護公司資訊資產，有效避免資訊資產的遺失、濫用、盜用等，或對於促進資訊保安合理共享表現突出的個人或者集體，將及時獎勵。

5.1.2 舉報保密原則

對於舉報資訊保安違規行為的人員，將對其進行獎勵並嚴格保護其個人資料不公開。

5.1.3 違規行為處罰原則

公司所有保密資訊均為公司合法資產，受國家法律法規保護。任何損害公司保密資訊的行為，公司均有權追究行為人法律責任。

根據違規行為的性質、造成的損失和影響的嚴重程度、違規人員是否有意對違規行為分級。涉及關鍵資訊資產的，違規等級要公升級；一次違反多條資訊保安規定的人員按最高違規等級從重處罰；對多次違反資訊保安規定的人員再次違規時要從重處罰。

產生違規行為後主動報告，積極採取補救措施以減少影響和損失的人員，可減輕處罰；對問題隱瞞不報或者不及時上報而導致違規影響擴大的人員，加重處罰。

對阻礙資訊合理流動與共享的人員要給予處罰。

對重大資訊保安違規事件，要及時處理。任何拖延、推諉不處理的責任人，要給予問責。

1）對於滿足資訊保安獎勵標準的集體或者個人，it部資訊保安組可根據具體事蹟定期進行申報，審批通過後由人力資源部根據公司財務制度進行發放獎金；

2）各部門資訊保安介面人可自行組織對本部門優秀資訊保安集體或者個人進行獎勵。

說明：1) 資訊保安管理規定包括公司各部門正式發布的資訊保安管理制度；

2) 上表中「違規事件「的描述是定性的描述，是違規事件定級的參考原則。常見違規行為所適用違規等級具體參考附件1：《常見違規行為及其適用處罰等級舉例》，其他違規行為所使用等級可參考舉例進行認定。

1）發生

一、二級重大資訊保安事件違規時，違規者直接上級和部門經理承擔直接和間接責任，部門副總須承擔連帶管理責任，並按照《常見違規行為及其適用處罰等級舉例v1.0》適用條款進行處罰；

2）對於

三、四級資訊保安違規，根據以下條件判斷責任人直接上級是否連帶處罰：

員工無意違規，且責任人領導未進行審批授權的，不進行連帶處罰；

員工無意違規，但責任人領導進行包庇的，在事實確認的基礎上，進行連帶處罰；

若所管理部門乙個月內發生2次（含）以上故意違規或者4次（含）以上無意違規事件，對直接上級進行連帶處罰。

說明：1）對於各類違規行為處罰應當慎重，應建立在客觀事實的基礎上給出處罰意見。根據違規行為性質、造成的損失和影響的大小，it部資訊保安組有權要求對當事人加重或者減輕處罰；

2）發現可疑事件的組織作為事件調查和處理的責任部門。為了加快一級違規行為的處理進度，溝通時限和批准期限都是2天；

3）在違規事件處理過程中，it部資訊保安組協助與監督處罰責任人完成處罰執行工作。處罰責任人或其授權人員要做好與違規員工的溝通工作。對違規處罰過程中出現的拖延、推諉行為，it部資訊保安組可以行使否決權。

5.4.維護與解釋

1）本規定發布之日起生效；

2）本規定由it部資訊保安組至少每兩年審視一次，根據審核結果修訂標準並頒布執行；

3）本規定解釋權歸it部資訊保安組。

附件1：《常見違規行為及其適用處罰等級舉例》無