ISMS-02-25-V1.0 安全职责考核管理规定

安全职责考核管理规定

第一章 总则

第一条 目的

为规范思度安全运营中心信息安全职责考核，对部门及员工的信息安全职责落实情况进行量化评价，特制定本规定。

第二条 适用范围

本规定适用于思度安全运营中心范围内信息安全职责考核活动。

第二章 组织与职责

第三条 风险管理组

思度安全运营中心风险管理组负责制订各部门的信息安全考核指标，牵头组织思度安全运营中心各部门信息安全职责考核工作。

第四条 各部门负责人

负责本部门员工的信息安全职责考核工作。

第五条 全体员工

应遵守相应的信息安全职责规定，并积极配合考核工作。

第三章 信息安全考核管理

第六条 职责考核原则

信息安全职责考核应依据实事求是、公开公正、责任明确、奖惩结合的责任管理原则，并根据考核结果进行相应的奖励或处罚。

第七条 信息安全职责考核

思度安全运营中心应依据"思度安全运营中心考核部门、部门考核员工"的方式，进行信息安全职责考核，并将考核结果纳入部门和员工绩效考核评价中。

第八条 思度安全运营中心风险管理组职责

应根据各部门的信息安全职责，设计相应的部门考核指标，设置合理的权重比例，并建立考核细则，明确信息安全职责考核的方法和内容。

第九条 部门考核职责指标

各部门应根据本部门员工的信息安全职责，设计员工考核指标，设置合理的权重比例，并对员工进行考核。

第四章 员工信息安全奖惩管理

第十条 员工奖励措施

员工有以下行为之一的，可给予相应奖励： （一） 对重要及以上级别的信息安全事件处理及时准确，使业务中断时间和负面影响程度得到大幅度缩减的； （二） 在信息安全技术或管理方面有重大创新并有效降低安全风险的； （三） 及时发现、上报重大信息安全隐患，负责或协助相关部门采取有效措施，大幅度降低思度安全运营中心运行风险等方面做出突出贡献的。

第十一条 处罚规定

对造成信息安全事件或违反信息安全管理规定的员工，除对主要责任人进行处罚外，还应根据性质和影响程度对其他相关责任人进行相应的处罚。

第十二条 从重处罚

员工有以下行为之一的，应给予从重处理： （一） 故意或恶意破坏行为的； （二） 以谋取私利为目的泄漏思度安全运营中心内部信息的； （三） 玩忽职守、疏于管理等渎职行为的； （四） 人为原因致使信息安全事件升级、影响恶劣、损失巨大的； （五） 隐瞒事实真相，隐匿、篡改、销毁证据，妨碍调查等逃避责任的。

第十三条 特殊处理

对主动说明问题、积极配合调查、态度良好的员工，可予以从轻处理。

第五章 附则

本规定由思度安全运营中心制定、修订和解释。 本规定自发布之日起生效。