信息安全奖惩管理规定目 录
1. 目的和范围 3
2. 引用文件 3
3. 职责和权限 3
4. 活动描述 3
4.1. 奖惩的原则 3
4.2. 惩戒规定 4
4.3. 奖惩核查 5
4.4. 补充规定 5
目的和范围
为对违反信息安全方针和制度的员工进行公正有效的处罚，对有效避免信息安全事故的有功人员进行表彰，并作为对可能在其它情况下有意轻视信息安全制度的员工的威慑，强化全体员工的信息安全意识，有效防止信息安全事故的发生，特制定本规定。
本规定适用于公司内部信息安全管理体系规定范围内的所有在职人员、临时雇用的人员。
引用文件
下列文件中的条款通过本规定的引用而成为本规定的条款。凡是注日期的引用文件，其随后所有的修订版均不适用于本标准，然而，鼓励各部门研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。
GB/T 22080-2008/ISO/IEC 27001:2013 信息技术-安全技术-信息安全管理体系要求。
《信息安全管理手册》。
职责和权限
信息安全领导小组：负责公司内部泄密等信息安全事件的奖惩管理。
总经理：负责决定重大信息安全事故的处罚。
人力资源部：负责奖惩的核实调查确认。
各部门：具体负责对本部门员工违反信息安全方针和制度的处罚。
活动描述
奖惩的原则
奖惩有据的原则：奖惩的依据是相关部门的各项规章制度、员工的岗位描述及工作目标等。
奖惩及时的原则：为及时地鼓励员工对相关部门的贡献和正确行为以及纠正员工的错误行为，使奖惩机制发挥应有的作用，奖惩必须及时。
奖惩公开的原则：为了使奖惩公正、公平，并达到应有的效果，奖惩结果必须公开。
有功必奖，有过必惩的原则：杜绝相关部门员工特权的产生，在制度面前公司内部所有员工应人人平等，一视同仁。
惩戒规定
惩戒的目的在于促使员工严格遵守信息安全的管理制度，惩前毖后，从而保障相关部门和员工共同利益和长远利益。
按照信息安全事故的分类，违反规定的员工，视情节轻重给予相应的处罚。
信息安全处罚规定分为违章事故处罚和信息安全事故的处罚。
违章事故的处罚
各部门领导负责对本部门内部信息安全管理活动的执行情况进行日常监督与检查，对发现的问题及时向上级部门负责人汇报并由其进行处理。对于员工违反信息安全方针、信息安全管理手册、制度文件、操作规程等信息安全管理体系文件的规定，但没有造成信息安全事故的，均属于违章现象；违章一次，由本部门负责人给予书面警告，必要时根据劳动法和公司内部相关规定处罚；累计三次书面警告公司将与当事人解除劳动合同，