ISMS-02-25-V1.0 安全职责考核管理规定
安全职责考核管理规定
第一章 总则
第一条 目的
为规范思度安全运营中心信息安全职责考核,对部门及员工的信息安全职责落实情况进行量化评价,特制定本规定。
第二条 适用范围
本规定适用于思度安全运营中心范围内信息安全职责考核活动。
第二章 组织与职责
第三条 风险管理组
思度安全运营中心风险管理组负责制订各部门的信息安全考核指标,牵头组织思度安全运营中心各部门信息安全职责考核工作。
第四条 各部门负责人
负责本部门员工的信息安全职责考核工作。
第五条 全体员工
应遵守相应的信息安全职责规定,并积极配合考核工作。
第三章 信息安全考核管理
第六条 职责考核原则
信息安全职责考核应依据实事求是、公开公正、责任明确、奖惩结合的责任管理原则,并根据考核结果进行相应的奖励或处罚。
第七条 信息安全职责考核
思度安全运营中心应依据"思度安全运营中心考核部门、部门考核员工"的方式,进行信息安全职责考核,并将考核结果纳入部门和员工绩效考核评价中。
第八条 思度安全运营中心风险管理组职责
应根据各部门的信息安全职责,设计相应的部门考核指标,设置合理的权重比例,并建立考核细则,明确信息安全职责考核的方法和内容。
第九条 部门考核职责指标
各部门应根据本部门员工的信息安全职责,设计员工考核指标,设置合理的权重比例,并对员工进行考核。
第四章 员工信息安全奖惩管理
第十条 员工奖励措施
员工有以下行为之一的,可给予相应奖励: (一) 对重要及以上级别的信息安全事件处理及时准确,使业务中断时间和负面影响程度得到大幅度缩减的; (二) 在信息安全技术或管理方面有重大创新并有效降低安全风险的; (三) 及时发现、上报重大信息安全隐患,负责或协助相关部门采取有效措施,大幅度降低思度安全运营中心运行风险等方面做出突出贡献的。
第十一条 处罚规定
对造成信息安全事件或违反信息安全管理规定的员工,除对主要责任人进行处罚外,还应根据性质和影响程度对其他相关责任人进行相应的处罚。
第十二条 从重处罚
员工有以下行为之一的,应给予从重处理: (一) 故意或恶意破坏行为的; (二) 以谋取私利为目的泄漏思度安全运营中心内部信息的; (三) 玩忽职守、疏于管理等渎职行为的; (四) 人为原因致使信息安全事件升级、影响恶劣、损失巨大的; (五) 隐瞒事实真相,隐匿、篡改、销毁证据,妨碍调查等逃避责任的。
第十三条 特殊处理
对主动说明问题、积极配合调查、态度良好的员工,可予以从轻处理。
第五章 附则
本规定由思度安全运营中心制定、修订和解释。 本规定自发布之日起生效。