举报或者制止泄密、窃密或者其一级 他严重损害公司利益事件的集体或者个人 根据具体情况给予8000元集体奖励或者5000元个人奖励;通报表扬(遵循“举报保密原则“淡化事迹并隐藏人员信息)。 制止他人违规行为或者即时反二级 映可能造成泄密、窃密或者其他重大安全隐患的个人,以及在信息安全方面做出表率或者突出贡献的集体 在信息安全管理中做出贡献,反三级 映信息安全隐患或者过度防卫被核实、提出信息安全合理化建议并被采纳的个人,以及在信息安全方面做出贡献的集体 奖励责任部门
根据具体情况集体奖5000元或者3000个人奖励;通报表扬(遵循“举报保密原则“淡化事迹并隐藏人员信息)。 根据具体情况给予3000元集体奖励或者1000元个人奖励。 1)对于满足信息安全奖励标准的集体或者个人,IT部信息安全组可根据具体事迹定期进行申报,审批通过后由综合部根据公司财务制度进行发放奖金;
2) 各部门信息安全接口人可自行组织对本部门优秀信息安全集体或者个人进行奖励。
违规等级与措施 违规事件 违规等级 处罚措施 1. 直接开除,永不录用; 2. 如违反法律法规由公司法务部移送公安机关处理;如给公司造成相关损失,须赔偿公司损失。 3. 全公司范围内通报处罚决定。 故意违反信息安全规定,二级 性质严重;或者造成较大影响或较大风险 1. 如给公司造成相关损失,须赔偿公司损失; 2. 担任公司管理岗位的人员,进行降职或盗窃、故意泄露公司保密一级 信息的,或故意违反信息安全管理规定,性质严重造成重大影响或者风险
者降薪处理;非公司管理岗位的人员,进行降薪处理; 3. 全公司范围内通报处罚决定。 过失违反信息安全管理三级 规定,造成一定影响或者风险的;或者故意违反信息安全管理规定,但性质不严重且没有造成严重影响或风险 过失违反信息安全管理四级 规定,性质较轻,且造成轻微影响或者风险 1.记入关键事件考评结果减5分或罚款300元; 2.12个月内2次四级违规升级为1次三级违规; 3.部门内部通报处罚决定。 说明:
1) 信息安全管理规定包括公司各部门正式发布的信息安全管理制度; 2) 上表中“违规事件“的描述是定性的描述,是违规事件定级的参考原则。常见违规行为所适用违规等级具体参考附件1:《常见违规行为及其适用处罚等级举例》,其他违规行为所使用等级可参考举例进行认定。 责任判定
1)发生一、二级重大信息安全事件违规时,违规者直接上级和部门经理承担直接和间接责任,部门副总须承担连带管理责任,并按照《常见违规行为及其适用处罚等级举例V1.0》适用条款进行处罚;
2)对于三、四级信息安全违规,根据以下条件判断责任人直接上级是否连带处罚:
? 员工无意违规,且责任人领导未进行审批授权的,不进行连带处罚; ? 员工无意违规,但责任人领导进行包庇的,在事实确认的基础上,进行连带处罚;
? 若所管理部门一个月内发生2次(含)以上故意违规或者4次(含)以上无
1. 记入关键事件考评结果减10分或罚款500元; 2. 12个月内2次三级违规升级为1次二级违规。 3.部门内部通报处罚决定。
意违规事件,对直接上级进行连带处罚。 处罚责任部门 处罚等级 一级 二级 三级 四级 说明:
1)对于各类违规行为处罚应当慎重,应建立在客观事实的基础上给出处罚意见。根据违规行为性质、造成的损失和影响的大小,IT部信息安全组有权要求对当事人加重或者减轻处罚;
2)发现可疑事件的组织作为事件调查和处理的责任部门。为了加快一级违规行为的处理进度,沟通时限和批准期限都是2天;
3)在违规事件处理过程中,IT部信息安全组协助与监督处罚责任人完成处罚执行工作。处罚责任人或其授权人员要做好与违规员工的沟通工作。对违规处罚过程中出现的拖延、推诿行为,IT部信息安全组可以行使否决权。
维护与解释
1)本规定发布之日起生效;
2)本规定由信息安全组至少每两年审视一次,根据审核结果修订标准并颁布执行;
3)本规定解释权归信息安全组。
处罚责任人 总经理 总经理 部门分管副总 部门分管副总 批准 / / IT部信息安全组 IT部信息安全组 申诉 综合部 综合部 综合部 综合部 1.2.4 计算机数据备份管理规定
为保证本公司计算机所保存的数据和信息安全,加强和规范公司计算机数据和信息管理,特制定本规定。
本办法适用于公司所有使用计算机进行日常办公、信息化系统操作、自动化控制系统操作的部门与员工,本规定自下发之日起执行。
1.2.4.1职责
1) 计算机使用者负责所使用计算机的数据备份操作,涉及到信息监控系统、
自动化控制系统用计算机,有关单位和部门要指定专人负责。 2) 各单位、部门的负责人是本部门数据备份管理、信息安全管理的第一责
任人。各部门负责人要了解本部门需要备份的数据内容与类型,落实备份要求,防范可能出现的数据风险,对本部门数据备份情况要进行不定期抽查,对不按规定备份要立即予以纠正。
3) 研发部网络管理员负责公司各部门数据备份技术支持、培训、监督核查
工作。
1.2.4.2数据备份管理 (一)备份方法及要求
1) 数据备份采用人工备份的方式,备份分重要数据备份、重要文档资料备
份、信息监控系统数据库原始数据备份、计算机操作系统备份、应用软件备份。所有备份工作必须由操作人员做详细记录,要求记录备份的内容、时间及次数。
2) 计算机需要备份的数据、文档资料要随时归档备份并异地存放, 每周至
少备份一次,日新增数据量大、财务、销售、经营调度等部门的数据必须每天备份一次,每月整理一次,备份方法实行三重备份方式,即本地硬盘、移动存储设备(网络硬盘)、光盘刻录保存并进行异地存储。备份介质由各部门自行准备,并妥善保管。计算机操作系统应使用正版软件,每周打一次补丁,每季度用Ghost做镜像备份。应用软件更新后,及时用光盘刻录方式转存。
3) 每年元月,各部门将上一年的所有数据分类,完整、真实、准确地以刻
录光盘的形式存档,然后交由部门负责人保管。
4) 应定期检查备份介质的可用性,若发现介质已经不能使用,应及时更换
新介质并对重要数据进行转存处理。
5) 备份数据资料保管地点必须满足防火、防热、防潮、防尘、防盗等条件,
并指定专人保存。
6) 计算机需要重装操作系统时,必须自行确认其系统所在硬盘所有盘符中
重要数据有异地备份,以防止意外发生(有少数计算机会因病毒、硬盘损坏或是磁盘分区问题,存在重装系统后若干磁盘打不开提示格式化现
象)。
7) 研发部软件开发代码及文档备份必须同时满足本地及云端要求。 (二)关于数据丢失
1) 网络管理员在对各部门备份数据核查的过程中,发现数据未备份或是备
份不及时、不完整的情况,应及时指出,并向全公司通报。
2) 因可控的人为原因造成重要数据(例如行政办公、技术、销售、人事及
财务等)遗失的,公司根据损失情况将对责任人进行严厉处罚,涉及到企业安全的,依法追究刑事责任。
3) 如因违反计算机数据备份管理规定,造成备份数据不完整或丢失,由此
造成的损失及数据恢复费用由各部门自己承担。
4) 各部门统一由研发部安装正版网络杀毒软件,并定期更新病毒数据库和
定期查杀毒,如果因杀毒软件误操作破坏数据,各部门应保持原始状态,由研发部联系杀毒软件服务商进行数据恢复。 1.2.4.3 数据保密
(一) 根据公司保密要求,严禁外泄备份的数据,否则以故意泄露公司商业机密论处。
(二)除公司数据备份管理人员外,任何人无权询问、刺探、破解其他部门数据备份的信息内容。
(三) 员工离职时,必须将重要数据与本部门相关人员交接清楚。 (四)外请计算机维护人员进行系统维护时,本部门人员必须全程陪同并监督,严禁维护人员以任何形式拷贝任何资料。
1.2.5 服务器安全管理办法
(一)总则
为本公司业务正常运行,特制定本管理办法。 (二)日常管理
第二条 服务器由维护组人员进行管理并授权与建站服务相关的人员使用,明确各自服务器的用途、应用范围及使用对象,并对整个系统资源进行合理的规划。