2023新能源发电公司网络安全工作奖惩办法

XX新能源公司网络安全工作奖惩办法第一章总则第一条为规范和加强XXX新能源公司（以下简称公司）网络安全管理，建立健全网络安全激励约束机制，促进网络安全责任制有效落实，提高全员网络安全意识，依据《网络安全法》、《电力行业网络与信息安全管理办法》（等有关法律法规和《XXX新能源公司网络安全事件调查规程》、《XXX新能源公司网络安全工作奖惩办法》及相关制度，结合公司系统实际，特制定本办法。第二条公司实行网络安全管理过程考核的奖惩制度。对系统内部网络安全工作业绩优异的企业、集体和有突出贡献的个人，给予表彰与奖励。按照职责管理范围，从网络安全日常监控、系统漏洞检测及修复、病毒防护等各个环节，对发生网络安全事件的企业及责任人进行责任追究和处罚。第三条网络安全奖惩以强化网络安全管理为目的，以奖惩为手段，坚持精神鼓励与物质奖励相结合，批评教育与行政经济处罚相结合的原则。第四条对发生网络安全事件的企业和责任人，根据事件性质和责任划分，按照本办法和公司相关规定进行责任追究和处理。第五条对领导干部的奖惩,遵循“奖惩分明、权责对等、以责论处”的原则，按照干部管理权限办理。公司对本部和所属企业有关责任人的处理，事前应报集团公司审核；各所属企业、信息化项目承建单位、信息系统运维单位及其它相关方对内部发生一般及以上网络安全事件的责任人的处理，事前应报公司审核。第六条本办法适用于公司本部及所属各企业、信息化项目承建单位、信息系统运维单位及其它相关方。第七条公司所属各企业、信息化项目承建单位、信息系统运维单位及其它相关方应根据本办法，结合实际，制定本企业内部网络安全工作奖惩实施办法或细则。第二章网络安全事件定级第八条网络安全事件分为一般：特别重大网络安全事件、重大网络安全事件、较大网络安全事件、一般网络安全事件。1.符合下列情形之一的，为特别重大网络安全事件：（1）公司集控中心机组监控系统、Ⅰ区核心网络遭受特别严重的系统损失，造成网络或系统大面积瘫痪，丧失业务处理能力。（2）其他对公司生产经营构成特别严重威胁、造成特别严重影响的网络安全事件。2.符合下列情形之一且未达到特别重大网络安全事件的，为重大网络安全事件：（1）公司及所属各企业工控网络、核心网络和信息系统遭受特别严重的系统损失，造成系统大面积瘫痪，丧失业务处理能力。（2）公司及所属各企业秘密信息、重要敏感信息和关键数据丢失或被窃取、篡改、假冒，对公司生产经营产生特别严重影响，并产生了极其恶劣的社会影响。（3）其他对公司生产经营构成特别严重威胁、造成特别严重影响的网络安全事件。3.符合下列情形之一且未达到重大网络安全事件的，为较大网络安全事件：（1）公司及所属各企业工控网络、核心网络和信息系统遭受严重的系统损失，造成系统长时间中断或局部瘫痪，业务处理能力受到极大影响。（2）公司及所属各企业秘密信息、重要敏感信息和关键数据丢失或被窃取、篡改、假冒，对公司生产经营产生严重影响，并产生了恶劣的社会影响。（3）其他对公司及所属各企业生产经营构成严重威胁、造成严重影响的网络安全事件。4.符合下列情形之一且未达到较大网络安全事件的，为一般网络安全事件：（1）公司及所属各企业工控网络、核心网络和信息系统遭受较大的系统损失，造成系统中断，明显影响系统效率，业务处理能力受到影响。（2）公司及所属各企业秘密信息、重要敏感信息和关键数据丢失或被窃取、篡改、假冒，对公司生产经营产生较严重影响，并产生了较恶劣的社会影响。（3）其他对公司及所属各企业生产经营构成较严重威胁、造成较严重影响的网络安全事件。第三章网络安全违规行为第九条网络安全违规行为：1.未严格执行内外网分离，存在跨网连接、非法入网、非法外联、私自接入网络设备更改网络结构或配置信息的行为。2.利用网络从事违法违规活动及访问非法网站的行为。3.使用弱口令或将口令告知他人的行为。4.开发来源不明的邮件、网址和附件的行为。5.使用互联网进行涉密文档、公司敏感信息、未经公司披露的管理信息的传递、存储和发布。6.使用来路不明的、不安全的移动存储介质。7.私自卸载公司部署安装的终端安全管理软件。8.私自下载使用未授权的、不安全的以及与工作无关的软件。9.其他集团公司、公司发布制度里要求而未开展的行为。10.其他集团公司、公司发布制度禁止开展的行为。第四章表彰与奖励第十条公司设立网络安全专项奖励基金，用于对上一年度网络安全工作作出突出贡献的先进集体和先进个人予以表彰和奖励，奖励标准如下。第十一条公司对企业、集体、个人因网络安全行为及网络安全事件等网络安全考核中给予的经济处罚（包括网络安全事故损失赔偿金额，以下均同），以及公司对基层单位查处的经济处罚，纳入公司网络安全专项奖励基金。第五章惩处与处罚第十二条本办法对人员的处理包括经济处罚、行政处分、责令书面检查、通报批评、停职、调离工作岗位、免职、解除劳动合同等。行政处分分为警告、记过、降级、撤职。警告期限为六个月；记过期限为十二个月；降级期限为十二个月；撤职期限为二十四个月。受处分期间不得参加各类评优评先，不得列为后备干部，不得晋升工资、级别和职务。对于无行政职务的人员，降级是指岗级的降低，撤职是指降至最低岗级。对给予停职、调离工作岗位、免职、解除劳动合同处理的有关责任人员，由干部（员工）管理部门按照管理权限执行相关程序。第十三条发生特别重大网络安全事件的，根据事件调查组的调查结论，按事件责任的划分，对事件企业有关责任人的处理：（一）对事件主要责任者给予解除劳动合同或撤职处理；（二）对事件次要责任者给予撤职或降级处分；（三）对事件企业责任部门（车间、班组）的负责人给予降级或记过处分；（四）对事件企业网络安全管理的职能部门有关领导、总工程师、分管领导、主要负责人给予记过或警告处分；（五）对事件企业其他领导、有关职能（职权）部门管理人员的处理，按事件责任的划分参照上述规定执行；（六）按照政府调查处理结论，对公司本部负责网络安全管理的职能部门、分管领导、主要负责人给予相应处分。第十四条发生重大网络安全事件的，根据事件调查组的调查结论，按事件责任的划分，对事件企业有关责任人的处理：（一）对事件主要责任者给予解除劳动合同或撤职处理；（二）对事件次要责任者给予撤职或降级处分；（三）对事件企业责任部门（车间、班组）的负责人给予记过处分；（四）对事件企业网络安全管理的职能部门有关领导、总工程师、分管领导、主要负责人给予警告处分；（五）对事件企业其他领导、有关职能（职权）部门管理人员的处理，按事件责任的划分参照上述规定执行；（六）按照政府调查处理结论，对公司本部负责网络安全管理的职能部门、分管领导、主要负责人给予相应处分。第十五条发生较大网络安全事件的，根据事件调查组的调查结论，按事件责任的划分，对事件企业有关责任人的处理：（一）对事件主要责任者给予撤职或降级处分；（二）对事件次要责任者给予降级或记过处分；（三）对事件企业责任部门（车间、班组）的负责人给予记过或警告处分；（四）对事件企业网络安全管理的职能部门有关领导、总工程师、分管领导、主要负责人给予警告或通报批评处分；（五）对事件企业其他领导、有关职能（职权）部门管理人员的处理，按事件责任的划分参照上述规定执行；（六）对公司本部负责网络安全管理的职能部门、分管领导、主要负责人给予相应处分。第十六条发生一般网络安全事件的，根据事件调查组的调查结论，按事件责任的划分，对事件企业有关责任人的处理：（一）对事件主要责任者给予记过或警告处分；（二）对事件次要责任者给予警告或通报批评处分；（三）对事件企业责任部门（车间、班组）的负责人给予警告或通报批评处理；（四）对事件企业网络安全管理的职能部门有关领导、总工程师、分管领导、主要负责人给予通报批评处理；（五）对事件企业其他领导、有关职能（职权）部门管理人员的处理，按事件责任的划分参照上述规定执行。第十七条发生一般及以上网络安全事件，除对事件责任人进行处理和处罚外，对事件责任企业考核如下：（一）发生特别重大网络安全事件的，扣减XXX万元-XXXX万元工资总额。（二）发生重大网络安全事件的，扣减XXX万元-XXX万元工资总额。（三）发生较大网络安全事件的，扣减XX万元-XXX万元工资总额。（四）发生一般网络安全事件的，扣减XXX万元-XXX万元工资总额。第十八条同一基层企业12个月内连续发生2起及以上网络安全事件的或公司所属企业12月内发生同类网络安全事件（或同原因不安全事件），比照本办法相关条款对本部和基层企业有关人员加重处理。第十九条发生网络安全违规行为，按责任的划分，对事件企业有关责任人的处理。（一）对事件主要责任者给予XXX-XXX元经济处罚。（二）对事件企业责任部门（车间、班组）的负责人给200-300元经济处罚。（三）半年年重复发生第2次的，对责任企业主要负责人、分管领导并分别给予XXX-XXX元经济处罚；对责任部门（车间、班组）的负责人和主要责任者从重考核。（四）半年年重复发生第3次的，对责任企业主要负责人、分管领导并分别给予XXX-XXX元经济处罚；对责任部门（车间、班组）的负责人和主要责任者按最高限考核。第二十条公司对下列责令限期改正情形负有主要责任的领导干部和其他直接责任人，逾期未改正的，给予通报批评的处理，并处XXX～XXX元经济处罚；处罚后仍未改正的，给予降级处分，同时给予停职、调离工作岗位等处理；如因未整改或整改不到位导致事故发生的，给予撤职处分：（一）未履行《网络安全法》规定的安全管理职责。（二）重要网站、大型网络平台被攻击篡改，导致反动言论或者谣言等违法有害信息大面积扩散，且没有及时报告和组织处置的。（三）公司及所属企业门户或者其他重要网站、系统受到攻击后没有及时组织处置，造成瘫痪6小时以上的。（四）发生国家秘密泄露、大面积个人信息泄露或者大量地理、人口、资源等国家基础数据泄露的。（五）关键信息基础设施遭受网络攻击，没有及时处置导致大面积影响人民群众工作、生活，或者造成重大经济损失，或者造成严重不良社会影响的。（六）封锁、瞒报网络安全事件情况，拒不配合有关部门依法开展调查、处置工作，或者对有关部门通报的问题和风险隐患不及时整改并造成严重后果的。（七）阻碍公安机关、国家安全机关依法维护国家安全、侦查犯罪以及防范、调查恐怖活动，或者拒不提供支持和保障的。（八）发生其他严重危害网络安全工作行为的。第二十一条公司对有下列情形的企业第一责任人或分管网络安全工作的直接责任人进行约谈。（一）网络安全组织机构、人员配备不满足国家、行业网络安全法律法规及集团公司、新能源公司有关规定要求的。（二）网络安全隐患排查治理工作未形成长效机制，网络安全管理不到位、不规范的。（三）国家重大活动及法定节假日期间出现网络安全异常但未形成事件的。（四）应急管理机制不健全，应急预案存在严重缺陷且未按要求整改的。（五）同类网络安全事件重复发生的。（六）公司认定应约谈的其他有关网络安全的事项。第二十二条对有下列行为或事项的，即使无后果也要追究相关领导和责任人员的责任。（一）在上级单位开展的网络安全检查中被责令限期整改事项逾期未改的；（二）被政府部门通报批评的；（三）存在重大安全隐患和管理问题被集团公司、新能源公司重点督办的；（四）集团公司、新能源公司通过其他方式正式提出的网络安全要求没有落实的。第二十三条有下列隐瞒事件情形的公司本部、基层企业，对有关人员加重处理：（一）有故意隐瞒事件的个人或组织行为。（二）不按《XXX新能源公司网络安全事件调查规程》上报事故的。第二十四条信息化项目承建单位、信息系统运维单位及其它相关方发生网络安全事件时，依据双方签订的合同和网络安全协议，按照事件调查结论和责任划分对相关方进行责任追究，业主单位承担责任的对有关责任人员进行责任追究。信息系统基础设施发生施工安全事件时，按公司安全生产相关制度执行。第二十五条发生较大及以上网络安全事件，事件企业的上级公司的分管领