文档编号 XX_3_IS_信息安全量化计分规范 版 本 号 V1. 密 级 内部公开 信息安全量化计分规范 XXX信息技术有限公司 文档信息 发布版本：V1. 最后发布时间：XX 编写人：XX 审核人：XX 文档编写目的 本文档的目标是建立一套XXX信息技术有限公司客观公正的、以信息安全目标为导向的信息安全管理量化评价机制，促进员工安全意识提升。 文档主要内容 本文档包括了信息安全量化计分标准以及信息安全量化计分的实施管理规范。 文档适用范围 本文档适用于XXX信息技术有限公司。 版本控制 编号 修订人 修订时间 版本号 修订内容说明  目录 1. 目标、范围与术语定义 2. 信息安全量化计分职责 3. 信息安全量化计分标准 4. 信息安全量化计分管理 5. 附则 目标、范围与术语定义 本文件的目标是建立一套XXX信息技术有限公司（以下简称“XXX”）客观公正的、以信息安全目标为导向的信息安全管理量化评价机制，强化全体员工遵守信息安全管理规范及相关安全要求的意识，为促进信息安全的全员参与和责任落实提供有效的依据。 本文件中的量化计分主要是指针对XXX员工日常信息安全行为规范的量化评价，对于信息安全专业工作开展情况的检查和考核不属于本文档范畴。本文件包括了信息安全量化计分标准以及信 息安全量化计分的实施管理要求。 下列术语和定义适用于本文件： 信息安全事件：指由恶意代码传播、网络攻击、非法访问、人为操作失误及破坏等行为引起的信息系统失效、硬件设备故障、资产丢失或被破坏等危害XXX业务运行和威胁到XXX信息安全的事件。 信息安全量化计分职责 XXX人力资源部门负责基于信息安全量化计分细化相应的惩罚措施，建立计分结果与员工绩效考核及部门绩效考核之间的关联关系，并负责在实际工作过程中的落实。 信息安全管理小组是信息安全量化计分的管理和责任机构，负责制定和维护信息安全量化计分标准，定期审核信息安全工作小组上报的计分结果并进行汇总和公示。 信息安全工作小组负责在日常工作过程中记录员工的违规情况，进行初步评分，汇总后上报信息安全管理小组。 信息安全量化计分标准 信息安全量化计分采用违规计分的方式，即根据员工违反信息安全规范行为的类型、影响后果，分别参照相应的计分标准确定分值，并按照季度/年度进行汇总统计和处理。 对于员工某次单项违规行为的记分将分别从违规行为的类型性质和造成的影响后果两个角度进行考虑，其公式及标准如下： 单项违规行为记分 =违规行为基础分值 ×违规行为影响后果对应分值 “信息安全违规行为基础分值”是根据该员工具体的信息安全违规行为从《信息安全违规行为基础分值表》中查表得出的。 信息安全违规行为影响后果主要以该违规行为造成的信息安全事件等级为主要依据， “信息安全违规行为影响后果对应分值”说明如下所示： 影响后果 计分 造成轻微信息安全事件或基本无明显后果 1分 造成一般信息安全事件 2分 较大程度危害XXX信息安全，造成重大信息安全事件 3分 严重危害XXX信息安全，造成特别重大信息安全事件，触犯国家法律法规 4分 表 31 影响范围与计分对应 单次违规行为若违反《信息安全违规行为基础分值表》中的若干项，则按“单次违规行为记分”公式分别记分并合计，即“单次违规行为记分 ＝ ∑本次所包含的单项违规行为记分”。 季度违规行为的分值总计按本季度内“单次违规行为记分公式”分别记分并合计，每次汇总时季度的违规行为记分初始分值不为零，记分跨季度累计。 年度违规行为的分值总计，按本年度内“季度违规行为记分公式=∑本季度所包含的单次违规行为记分”分别记分并合计，，每