某省公司网络与信息安全工作责任追究办法模板.docVIP

网络与信息安全工作责任追究办法

第一条为切实加强网络与信息安全（以下简称“网信安全”）管理工作，强化网络与信息安全意识，保障各业务平台安全稳定可靠运行，防止和杜绝安全事件的发生，持续提升平台开发质量，支撑保障公司高质量发展，根据集团公司及XX公司工作要求，结合公司实际，制定本办法。

第二条本办法所称网信安全工作责任是指在网信安全日常工作管理、软件研发生产、上线系统版本升级、信息发布等工作中，由于管理缺失、失职渎职、违规违章、错误操作等，导致发生网信安全事件、数据泄露事件、通报批评等，造成公司经济损失、考核扣分或损害公司形象的行为。

第三条本办法责任追究范围包括公司各部门、中心，各分公司责任部门的负责人、直接责任人等。

第四条网信安全实行“谁运营谁服务、谁主管谁负责、谁维护谁负责、谁接入谁负责、谁使用谁负责”的原则，网信安全工作责任追究坚持“客观公正、权责一致、惩教结合”原则。

第五条本办法适用于公司各部门、中心及各分公司。

第六条职责分工

—3—

(一)公司本部

部门统筹协调公司网信安全责任追究工作，负责制定责任追究制度办法。牵头负责网信安全工作责任追究调查工作，形成调查报告，提出处理建议，根据相关管理办法及考核要求提出考核处理意见。

2.产品业务管理部负责根据责任追究处理意见及公司绩效考核管理办法，对相应的责任部门进行考核处理。

3.人力资源部负责根据责任追究处理意见对相关责任部门的负责人、直接责任人进行处理，核对减发相关责任负责人、直接责任人的绩效工资。

4.纪检监察负责监督调查处理工作过程，负责涉及违法违纪问题线索的调查处理。

5.各相关部门负责协助配合调查工作。

(二)各分公司

负责协助配合调查工作，负责按管理权限对管辖范围内的责任单位、责任部门，以及责任单位与责任部门的负责人、直接责任人进行追究处理。

第七条追究责任情形

由于管理缺失、失职渎职、违规违章、错误操作，导致发生各类网信安全事件，造成公司经济损失、考核扣分或损害公司形象等情况的，予以追究责任。包括但不限于：

(一)网信安全各专业安全操作规章制度不健全，管理措施不落实，监督检查不到位，网信安全隐患整治和安全加固不及时不到位，漏洞整改未按要求时限完成，通报事件问题处置不及时不准确等。

(二)违反安全开发规范、暴露面上线审核管理流程、信息发布先审后发流程、数据安全管理规范等，擅自操作或操作不当、操作流程不规范的；非授权访问及入侵或中断网络，擅自篡改网络配置及运行参数或传播恶意代码、非法发布未经审核软件版本的；重要操作未按要求实施双人操作和审核检查的。

(三)违反网信安全各专业考核指标及评分标准管理规定，日常未制定漏洞扫描及渗透作业计划或作业计划执行不及时不到位的。

(四)违反网信安全各类专项工作要求，违反网信安全指挥调度规定，不服从指挥调度、擅自行动的。

(五)未及时发现或忽略、遗漏网络告警，处理、上报不及时不到位的；通报申诉、安全事件申告处理不及时不到位的；各部安全员在日常工作中未按要求组织开展学习，未将要求工作督办到位的。

(六)恶意破坏，对系统、业务等造成影响的。

第八条责任事项来源

(一)扫描/渗透/事件报告；

(二)公司内外部检查发现的问题或客户反馈、投诉；

(三)上级机关检查、通报或公司领导批示；

(四)其他信息来源。

第九条责任追究

(一)发生第七条所列条款情形，根据发生的安全事件严重程度进行处理。

(二)根据事件(故障)调查报告、情节轻重和责任判断，对责任单位(部门)和责任单位(部门)的负责人、直接责任人，按承担责任的主次及轻重进行责任追究，包括扣减绩效工资、诫勉谈话、通报批评、警告、记过、记大过、降岗降级、撤职、解除劳动合同等。

(三)责任单位(部门)或责任人能够及时如实反映问题，或者及时发现并主动采取措施认真整改、纠正，减轻或挽回公司损失和影响的，依据有关证据可酌情减轻相应责任。

(四)发生责任事件隐瞒不报或者迟报、漏报、谎报的；在事件查处中，拒不配合、弄虚作假、隐匿、销毁证据，或者以其他方式逃避、妨碍检查或者查处的，一经查实，加重处罚。

(五)涉嫌犯罪的，移交司法机关处理。

第十条责任审定与追究程序

(一)重大及特别重大安全事件

1.重大及特别重大安全事件由公司呈报区公司网络和信息安全管理部，由区公司相关部门作出责任追究处理决定。

2.各分公司按照管理权限完成对所属责任单位(部门)及相关责任人的处理事宜。

(二)一般及较大安全事件

根据事件发生的责任单位（部门），由部门负责组织事件责任追究调查，形成调查报告，完成责任认定、责任追究和处理事宜。各分公司处理结果报备公司部门。

第