员工信息安全违章责任追究管理办法修订记录版本编号修订日期主要修订摘要审核记录审核人员属于部门审核日期第一章 总则第一条 为加强公司员工信息安全责任意识,界定员工信息安全违章行为,明确信息 安全违章责任追究和处罚依据,特制定本管理办法第二条 信息安全违章行为分为一般违章和严重违章信息安全违章行为由公司科技 培训部负责组织调查和认定,并依据本办法进行责任追究第三条 本管理办法中所称“计算机”包括桌面计算机、便携式计算机(含各类上网 本),除特别说明,通指内网计算机和外网计算机第四条 本管理办法适用于第二章 组织机构与职责第三章 违章行为界定第五条 凡具有下列行为之一均属违章行为:1. 违反国家信息安全有关法律和法规2. 违反公司信息安全管理规章制度3. 违反本单位信息安全管理规章制度第六条 一般违章界定1. 计算机未设置操作系统登录口令;设置了操作系统登录口令,但口令长度低于 8 位且不是由字母、数字或符号组合构成;未启用屏幕保护和超时锁屏功能2. 未按规定安装运行或自行卸载公司统一的防病毒软件、补丁更新策略、桌面终端管 理软件3. 未按要求使用安全移动存储介质进行内外网信息交换,擅自删除或破坏已注册安全 移动存储介质内的管理软件。
4. 擅自卸载(含格式化)本单位规定安装的操作系统和业务应用系统客户端5. 未使用公司统一的外网邮件系统处理和发送与工作相关的电子邮件6. 计算机外委维修时未拆除硬盘导致与工作有关的信息外泄;更换计算机和硬盘或在 报废处理前,未对原硬盘进行信息不可恢复操作处理(如低级格式化等)7. 在内网计算机上对未关闭互联网访问功能的和 PDA 等设备进行充电或数据同 步导致发生违规外联8. 开启文件共享且不设置共享密码或共享密码过于简单导致共享文件被非授权访问 和破坏9. 移动存储介质丢失未向本单位产品研发部和保密管理部门及时报告,并说明移动存 储介质中包含哪些与工作相关的文件、数据和程序10. 擅自将本人的门户及应用系统帐号和口令告诉他人由其长期代为进行业务操作11. 员工岗位异动后未及时向产品研发部申请账号和权限的变更12. 违反公司信息安全管理规定被认定为一般违章的其他行为第七条 严重违章界定1. 未经产品研发部进行安全检测和许可,擅自将外来人员的计算机接入信息内网或信 息外网2. 擅自更改计算机网卡的MAC地址或IP/MAC地址绑定策略3. 在计算机上私自开启DHCP、WWW、FTP、VOD、代理、游戏、论坛等服务对网络访问 造成干扰或信息资源被非授权访问。
4. 在内网计算机上利用线、电信运营商ADSL、无线上网卡或具备上网功能的手 机和PDA等设备访问互联网,以及任何具备有意识或故意性质使用内网计算机访问互联网5. 使用或PDA设备的无线WIFI功能访问信息内网或信息外网6. 在计算机中存储和处理国家、公司秘密信息,在外网计算机中存储涉及公司重要敏 感信息的电子文件7. 在同一台计算机(包括具备隔离卡和双硬盘的计算机)上安装两个操作系统或双网 卡分别接入信息内网和信息外网8. 安全移动介质损坏后私自丢弃未交产品研发部处理并造成企业信息外泄9. 私自在网络中接入任何具备网络地址转换(NAT). MAC克隆等功能的网络交换机和 路由器等有线设备和无线设备10. 擅自组建无线网络并接入信息内网11. 干扰他人正常工作行为,包括:发布不真实信息、垃圾信息;散布病毒及木马; 未经授权或通过口令猜测和破解等手段使用他人设备、系统、邮箱等12. 擅自在计算机中安装黑客程序、端口扫描或漏洞扫描软件并使用其进行网络扫 描或攻击破坏13. 拒绝产品研发部维护人员对计算机进行安全性检查和安装公司统一要求的桌面终端管理软件、防病毒软件等14. 违反公司和本单位信息安全管理规定被认定为严重违章的其他行为。
第四章 督察与检查第八条 对违章的查处采用专项督查、日常检查及应用工具软件检查相结合的方式进 行第九条 发生信息安全违章,按照管理权限,实行分级查处、分级追究1. 各部门、专业所(中心)自查自纠发现的违章,参照本办法自行处理2. 科技培训部组织的督查、日常检查及采用公司统一部署工具软件检查发现的违章, 按照本办法规定处理3. 公司督查、日常工作检查及采用公司统一部署工具软件检查发现的违章,按本规定 处理并将处理情况报告公司领导第五章 处罚规定第十条 在年度内第一次发生一般违章,对当事人给予诫勉谈话或通报批评;半年内同一当事人发生两次一般违章,对当事人给予200〜600元的经济处罚并通报批评;一年内 同一当事人发生三次一般违章,对当事人给予1000〜1500元的经济处罚,并对当事人所属 部门、专业所(中心)予以通报批评第十一条 在年度内第一次发生严重违章,对当事人给予600〜800元的经济处罚,并 对当事人所属部门或单位予以通报批评;半年内同一当事人发生两次严重违章,除对当事人 给予1000〜1500元的经济处罚,通报批评当事人所属部门或单位外,当事人必须自学网络 信息安全基本知识并通过本单位产品研发部的考核;一年内同一当事人发生三次严重违章 给予当事人下岗1 个月的处罚,享受下岗人员待遇至当事人申请并经计算机所对其进行信息 安全基本知识考核合格后方能上岗。
第六章 附则第十二条 本管理办法由产品研发部负责解释第十三条 本管理办法自发布之日起执行。