公司信息安全惩戒管理规定

　公司 信息安全惩戒管理规定

　第一章

　总则 第一条

　为对违反信息安全方针、体系文件要求、法律法规、合同要求的员工实施公正有效的奖惩，并作为对可能在其它情况下有意轻视信息安全程序的员工的威慑，强化全体员工的信息安全意识，有效防止信息安全事故的发生，特制定本规定。

　第二章 适用范围 第二条

　本规定适用于本公司，并在全公司范围内给予执行，由基础架构部对该项工作的落实和执行进行监督，并对本办法的有效性进行持续改进。

　第三章 职责 第三条 各副总经理负责自己区域内的奖惩。

　第四条 管理者代表负责对 IT 方面信息安全事故的奖惩管理。

　第五条 信息安全领导小组负责决定重大信息安全和事故的

　处罚。

　第六条

　综合管理员负责公司信息科技部内部泄密或信息泄漏的调查。

　第四章 程序 第七条

　计算机信息系统的安保 一、在计算机信息系统安全保护工作中成绩显著的单位和个人，由市行、市行所辖各单位或公安机关给予表彰、奖励。

　二、存在计算机信息系统安全隐患的市行所辖单位，由市行或公安机关发出整改通知，限期整改。因不及时整改而发生重大事故和案件的，由市行对该单位的主管负责人和直接负责人予以行政处分；构成违反治安管理或者违反计算机管理监察行为的，由公安机关依法予以处罚；构成犯罪的，由司法机关依法追究刑事责任。

　第八条

　计算机应用与管理违规行为处罚规定 一、计算机应用、维护及操作人员违反规定对账务、信息进行处理的，给予经济处罚或者警告至降级处分；造成严重后果的，给予撤职至开除处分。

　二、违反规定，擅自编制、使用、修改业务应用程序、调整系统参数和业务数据的，给予主管人员和其他责任人员记过至撤职处分；造成严重后果的，给予主管人员和其他责任人

　员留用察看至开除处分。

　三、利用计算机进行违法违规活动或者为违法违规活动提供条件的，给予主管人员和其他责任人员记过撤职处分；造成严重后果的，给予留用至开除处分。

　四、违反规定，有下列危害公司网络安全行为之一的，给予有关责任人员经济处罚或者警告至记过处分；造成严重后果的，给予记大过至开除处分：

　1）在生产经营用机上使用与业务无关的软件或者利用通讯手段非法侵入其他系统和网络的（含从公司的一个业务系统进入另一个业务系统，从公司以外的系统和设备侵入公司业务网络系统，以及从公司的业务网络系统进入公司以外的网络系统）； 2）未经审批，私自使用公司内部网络上的计算机拨号上国际互联网的； 3）将非公司计算机设备接入公司网络系统的； 4）私自卸载或屏蔽计算机安全软件的； 5）私自修改计算机操作系统、网络系统安全设置的； 6）未经审批，私自在公司网络系统内开设游戏网站、论坛、聊天室等与工作无关的网络服务的； 7）利用邮件系统传播损害公司形象的邮件的。

　五、利用公司的计算机设备和网络系统制造、传播计算机病毒，给予主管人员和其他责任人员记过至记大过处分；造成

　严重后果的，给予主管人员和其他责任人员降级至开除处分。

　六、计算机房值班人员擅自离岗的，给予经济处罚或者警告处分；造成严重后果的，给予记过至开除处分。

　七、系统管理和操作人员离开主机或者终端时没有按操作规程退出系统的，给予经济处罚或者警告至记过处分；造成严重后果的，给予记大过至开除处分。

　八、违反规定将属于公司的计算机软件、文档、资料、客户信息等据为己有、复制或者借给外单位的，给予有关责任人员记过至撤职处分；造成严重后果的，给予留用察看至开除处分。

　九、未按规定进行数据备份、没有妥善保管备份数据或备分数据无效的，给予主管人员和其他责任人员经济处罚或者警告至记过处分；造成严重后果的，给予记大过至开除处分。

　十、在对面向客户的业务应用系统管理中，从事后台维护的技术人员，违反规定同时进行前台技术维护的，给予主管人员和其他责任人员记过至记大过处分；造成严重后果的，给予降级至开除处分。

　第九条

　计算机信息类违规处罚 一、产品研发部职工违规操作，给系统造成一定的影响，但没有影响业务正常运行或对业务造成轻微危害者，给当事人

　警告或严重警告、情节较重或严重者，视情节轻重给予当事人和主管领导 200 元以上 1000 元以下罚款。

　二、产品研发部职工违规操作导致系统发生问题，影响业务长时间正常运行，立即调离信息科技部，情节严重者，按照市行的有关规定处罚。

　第十条

　奖惩记录

　一、综合管理员根据公司信息科技部奖惩管理规定，对奖惩的实施进行记录并形成《奖惩记录单》记录完毕后由综合管理员进行留存。

　第十一条

　证据的收集 一、当信息安全事件涉及到诉讼（民事的或刑事的），需要进一步对个人或组织进行起诉时，应收集、保留和呈递证据，以使证据符合相关诉讼管辖权。

　二、证据在收集时不得侵犯个人权益，应在不侵犯个人权益时对证据进行收拾并且证实证据是否可在法庭上使用。

　三、应保证证据的质量和完备性，防止未被授权的篡改和泄漏。

　四、证据获得的保证：公司信息科技部应确保收集证据其信息系统符合任何公布的标准或实用规则来产生被容许的证据。

　第十二条

　证据的保存及提供 一、提供证据的份量应符合任何适用的要求。对该证据的存储和处理的整个时期内，应进行过程控制保证证据的质量和完备性。

　二、纸面文档证据的提供：原物应被安全保存且带有下列信息的记录：谁发现了这个文档，文档是在哪儿被发现的，文档是什么时候被发现的，谁来证明这个发现；任何调查应确保原物没有被篡改； 三、 对计算机介质上的信息：任何可移动介质的镜像或拷贝（依赖于适用的要求）、硬盘或内存中的信息都应确保其可用性；拷贝过程中所有的行为日志都应保存下来，且应有证据证明该过程；原始的介质和日志（如果这一点不可能的话，那么至少有一个镜像或拷贝）应安全保存且不能改变 四、任何法律取证工作应仅在证据材料的拷贝上进行。所有证据材料的完整性应得到保护。证据材料的拷贝必须在可信耐人员的监督下进行，什么时候在什么地方执行的拷贝过程，谁执行的拷贝活动，以及使用了哪种工具和程序，这些信息都应记录作为日志。

　第五章 附 则 第十三条 本规定由基础架构部责解释和修改。

　第十四条 本规定自公布之日起施行。