信息安全獎懲管理辦法
1.目的明確信息安全獎勵與違規行為處罰的操作原則,強化執行,促進員工信息安全意識提升。2.適用范圍本規范適用于深圳市**公司(后續簡稱為公司)。3.定義序號角色職責001信息安全事件指識別出的發生的系統、服務或網絡事件表明可能違反信息安全策略或防護措施失效;或以前未知的與安全相關的情況;其中一、二級信息安全事件稱為重大信息安全事件。002信息安全活動為培養員工信息安全意識,提高公司整體安全水平而舉辦的活動,形式包括但不限于:考試、培訓、宣傳和自查。4.職責與權限序號角色職責001員工遵守公司信息安全管理制度,積極配合、參與信息安全活動。002各部門信息安全接口人協助公司信息安全管理制度、產品的宣傳與培訓工作;負責對部門信息安全問題進行匯總與反饋。003部門主管是部門信息安全的直接責任人,負責監督和管理本部門員工的信息安全行為,并對潛在的信息安全風險進行預警,預防信息安全事件。004部門經理作為部門信息安全的間接責任人,熟悉公司信息安全戰略,并積極推動信息安全策略的落地執行。005部門副總對所負責部門的信息安全事件負相應的管理責任。006IT部信息安全組對信息安全事件進行跟蹤處理,并確定事件責任人。007董事會秘書審核信息安全事件處理報告。008總經理最終審批信息安全事件處罰申請。009人力資源部依據公司財務制度對已審批的信息安全獎勵/處罰報告執行經濟獎勵或者處罰措施。010法務部配合IT部信息安全組進行信息安全事件處理,對違反法律法規的信息安全責任人依法追究法律責任。5.內容5.1獎勵、違規行為處罰原則5.1.1及時激勵原則對長期妥善保護公司信息資產,有效避免信息資產的遺失、濫用、盜用等,或對于促進信息安全合理共享表現突出的個人或者集體,將及時獎勵。5.1.2?舉報保密原則對于舉報信息安全違規行為的人員,將對其進行獎勵并嚴格保護其個人資料不公開。5.1.3?違規行為處罰原則5.1.3.1法律追究原則公司所有保密信息均為公司合法資產,受國家法律法規保護。任何損害公司保密信息的行為,公司均有權追究行為人法律責任。5.1.3.2違規分級原則根據違規行為的性質、造成的損失和影響的嚴重程度、違規人員是否有意對違規行為分級。涉及關鍵信息資產的,違規等級要升級;一次違反多條信息安全規定的人員按最高違規等級從重處罰;對多次違反信息安全規定的人員再次違規時要從重處罰。5.1.3.3主動從寬原則產生違規行為后主動報告,積極采取補救措施以減少影響和損失的人員,可減輕處罰;對問題隱瞞不報或者不及時上報而導致違規影響擴大的人員,加重處罰。5.1.3.4過度防衛處罰原則對阻礙信息合理流動與共享的人員要給予處罰。5.1.3.5及時處理原則對重大信息安全違規事件,要及時處理。任何拖延、推諉不處理的責任人,要給予問責。5.2獎勵等級與責任部門5.2.1獎勵等級與措施獎勵事跡獎勵等級獎勵措施舉報或者制止泄密、竊密或者其他嚴重損害公司利益事件的集體或者個人一級根據具體情況給予8000元集體獎勵或者5000元個人獎勵;通報表揚(遵循“舉報保密原則“淡化事跡并隱藏人員信息)。制止他人違規行為或者即時反映可能造成泄密、竊密或者其他重大安全隱患的個人,以及在信息安全方面做出表率或者突出貢獻的集體二級根據具體情況集體獎5000元或者3000個人獎勵;通報表揚(遵循“舉報保密原則“淡化事跡并隱藏人員信息)。在信息安全管理中做出貢獻,反映信息安全隱患或者過度防衛被核實、提出信息安全合理化建議并被采納的個人,以及在信息安全方面做出貢獻的集體三級根據具體情況給予3000元集體獎勵或者1000元個人獎勵。5.2.2獎勵責任部門1)對于滿足信息安全獎勵標準的集體或者個人,IT部信息安全組可根據具體事跡定期進行申報,審批通過后由人力資源部根據公司財務制度進行發放獎金;2)各部門信息安全接口人可自行組織對本部門優秀信息安全集體或者個人進行獎勵。5.3違規等級與責任部門5.3.1違規等級與措施違規事件違規等級處罰措施盜竊、故意泄露公司保密信息的,或故意違反信息安全管理規定,性質嚴重造成重大影響或者風險一級1.?直接開除,永不錄用;2.?如違反法律法規由公司法務部移送公安機關處理;如給公司造成相關損失,須賠償公司損失。3.?全公司范圍內通報處罰決定。故意違反信息安全規定,性質嚴重;或者造成較大影響或較大風險二級1.?如給公司造成相關損失,須賠償公司損失;2.?擔任公司管理崗位的人員,進行降職或者降薪處理;非公司管理崗位的人員,進行降薪處理;3.?全公司范圍內通報處罰決定。過失違反信息安全管理規定,造成一定影響或者風險的;或者故意違反信息安全管理規定,但性質不嚴重且沒有造成嚴重影響或風險三級1.記入關鍵事件考評結果減10分或罰款500元;2.12個月內2次三級違規升級為1次二級違規。3.部門內部通報處罰決定。過失違反信息安全管理規定,性質較輕,且造成輕微影響或者風險四級1.記入關鍵事件考評結果減5分或罰款300元;2.12個月內2次四級違規升級為1次三級違規;3.部門內部通報處罰決定。說明:1)?信息安全管理規定包括公司各部門正式發布的信息安全管理制度;2)?上表中“違規事件“的描述是定性的描述,是違規事件定級的參考原則。常見違規行為所適用違規等級具體參考附件1:《常見違規行為及其適用處罰等級舉例》,其他違規行為所使用等級可參考舉例進行認定。5.3.2責任判定1)發生一、二級重大信息安全事件違規時,違規者直接上級和部門經理承擔直接和間接責任,部門副總須承擔連帶管理責任,并按照《常見違規行為及其適用處罰等級舉例V1.0》適用條款進行處罰;2)對于三、四級信息安全違規,根據以下條件判斷責任人直接上級是否連帶處罰:?員工無意違規,且責任人領導未進行審批授權的,不進行連帶處罰;?員工無意違規,但責任人領導進行包庇的,在事實確認的基礎上,進行連帶處罰;?若所管理部門一個月內發生2次(含)以上故意違規或者4次(含)以上無意違規事件,對直接上級進行連帶處罰。5.3.3處罰責任部門處罰等級處罰責任人批準申訴一級總經理/人力資源部二級總經理/人力資源部三級部門分管副總IT部信息安全組人力資源部四級部門分管副總IT部信息安全組人力資源部說明:1)對于各類違規行為處罰應當慎重,應建立在客觀事實的基礎上給出處罰意見。根據違規行為性質、造成的損失和影響的大小,IT部信息安全組有權要求對當事人加重或者減輕處罰;2)發現可疑事件的組織作為事件調查和處理的責任部門。為了加快一級違規行為的處理進度,溝通時限和批準期限都是2天;3)在違規事件處理過程中,IT部信息安全組協助與監督處罰責任人完成處罰執行工作。處罰責任人或其授權人員要做好與違規員工的溝通工作。對違規處罰過程中出現的拖延、推諉行為,IT部信息安全組可以行使否決權。5.4.維護與解釋1)本規定發布之日起生效;2)本規定由IT部信息安全組至少每兩年審視一次,根據審核結果修訂標準并頒布執行;3)本規定解釋權歸IT部信息安全組。6.相關文件附件1:《常見違規行為及其適用處罰等級舉例》7.記錄表格無
篇2:海成學校網絡與信息安全管理應急預案
九中學校網絡與信息安全管理應急預案
為確保網絡正常使用,充分發揮網絡在信息時代的作用,促進教育信息化健康發展,根據國務院《互聯網信息服務管理辦法》和有關規定,特制訂本預案,妥善處理危害網絡與信息安全的突發事件,最大限度地遏制突發事件的影響和有害信息的擴散。
一、危害網絡與信息安全突發事件的應急響應
1.如在局域網內發現病毒、木馬、黑客入侵等網絡管理中心應立即切斷局域網與外部的網絡連接。如有必要,斷開局內各電腦的連接,防止外串和互串。
2.突發事件發生在校園網內或具有外部IP地址的服務器上的,學校應立即切斷與外部的網絡連接,如有必要,斷開校內各節點的連接;突發事件發生在校外租用空間上的,立即與出租商聯系,關閉租用空間。
3.如在外部可訪問的網站、郵件等服務器上發現有害信息或數據被篡改,要立即切斷服務器的網絡連接,使得外部不可訪問。防止有害信息的擴散。
4.采取相應的措施,徹底清除。如發現有害信息,在保留有關記錄后及時刪除,(情況嚴重的)報告市教育局和公安部門。
5.在確保安全問題解決后,方可恢復網絡(網站)的使用。
二、保障措施
1.加強領導,健全機構,落實網絡與信息安全責任制。建立由主管領導負責的網絡與信息安全管理領導小組,并設立安全專管員。明確工作職責,落實安全責任制;BBS、聊天室等交互性欄目要設有防范措施和專人管理。
2.局內網絡由網管中心統一管理維護,其他人不得私自拆修設備,擅接終端設備。
3.加強安全教育,增強安全意識,樹立網絡與信息安全人人有責的觀念。安全意識淡薄是造成網絡安全事件的主要原因,各校要加強對教師、學生的網絡安全教育,增強網絡安全意識,將網絡安全意識與政治意識、責任意識、保密意識聯系起來。特別要指導學生提高他們識別有害信息的能力,引導他們正健康用網。
4.不得關閉或取消防火墻。保管好防火墻系統管理密碼。每臺電腦安裝殺毒軟件,并及時更新病毒代碼。
篇3:信息安全防范應急預案范本
信息安全防范應急預案
總則:
1、為了保護醫院計算機網絡系統安全,促進醫院計算機的應用和發展,保障HIS系統的順利運行,特制定本規則。
2、本規則所稱計算機網絡系統,是指在醫院信息系統中,由計算機及其配套的設備、設施構成,按照HIS系統的應用目標和規則對數據信息進行采集、加工、存儲、傳輸、檢索等處理的人機系統。
3、計算機網絡系統的安全保護,是保障計算機及配套的設備、設施的安全,運行環境的安全,保障信息的安全,保障醫院信息管理系統功能的正常發揮,以維護計算機網絡系統的安全運行。
4、計算機網絡系統的安全保護,重點是維護網絡系統中數據信息和網絡上一切設備的安全。
5、醫院內全部上網運行的計算機的安全保護都適用本規則,醫院信息系統建設與應用。
6、財務部網絡技術組主管全院計算機網絡系統的安全保護工作。
7、任何單位或者個人不得利用上網計算機從事危害醫院利益的活動,不得危害計算機網絡系統的安全。
安全保護制度
1、計算機網絡系統的建設和應用,應遵守上級主管機關辦法的行政法規,用戶手冊和其他有關規定。
2、計算機網絡系統實行安全等級保護和用戶使用權限劃分。安全等級和用戶使用權限以及用戶口令密碼的劃分和設置由計算機中心負責制定和實施。
3、計算機中心機房應符合國家標準和國家規定。
4、在計算機網絡系統設施附近進行營房維修、改造及其他活動,不得危害計算機網絡系統的安全。如無法避免而影響計算機網絡系統設施安全的作業,須事先通知計算機中心,經中心負責人同意并采取保護措施后,方可實施作業。
5、計算機網絡系統的使用單位和個人都必須遵守計算機安全使用規則,以及有關的操作規程和規章制度。
6、對計算機網絡系統中發生的問題,有關使用單位負責人應當立即向計算機工程技術人員報告。
7、對計算機病毒和危害網絡系統安全的其他有害數據信息的防治工作,由計算機中心負責處理。
8、對計算機網絡系統軟件、設備、設施的安裝、調試、故障排除等各項操作由計算機工程技術人員負責。其他任何單位或個人不得自行拆卸、安裝任何軟、硬件設施。
9、所有上網計算機絕對禁止進行國際聯網或與院外其他公共網絡聯接。
安全監督
計算機中心對計算機網絡系統安全保護工作行使下列監督職權。
1、監督、檢查、指導計算機網絡系統安全維護工作。
2、查處危害計算機網絡系統安全的違章行為。
3、履行計算機網絡系統安全工作的其他監督職責。
4、技術人員發現影響計算機網絡系統安全的隱患時,可立即采取各種有效措施予以制止。
5、計算機工程技術人員在緊急情況下,可以就設計計算機網絡安全的特定事項采取特殊措施進行防范。
實施情況
1、制度建立后印發各使用科室,要求各科認真組織學習,做到操作人員必須掌握。
2、財務部計算機網絡中心組織全院操作人員進行培訓,內容為信息質量與安全教育。
信息管理意外事件處理
一、應急預案
1、堅持信息化領導小組,明確職責權利;
2、發生意外事件后各科室在5分鐘內將信息反饋財務部計算機網絡中心;
3、快速向科主任及主管領導匯報,并啟動應急方案;
4、一旦發生無法挽回的事件后,應立即轉入手工狀態;
5、當故障解決后,在48小時之內將手工數據全部補錄到HIS系統中;
6、解決流程:
故障部門5分鐘上報計算機網絡中心10分鐘到現場事故處理結果
(重大事故報)手工模式(無法解決故障)
醫院領導恢復數據
計算機網絡中心組織搶修
7、應急事件處理領導小組:
組長:總經理
副組長:院長、人事行政部經理
組員:網管
二、替代程序
根據應急預案的規定,當現有系統出現問題并且無法快速恢復使用的時候,啟用深圳捷信達HIS系統。同時醫院財務部購買的是用友財務軟件系統。醫院這兩套系統都備有硬盤備份準備。