信息系统责任认定与追究制度

信息系统安全问责制实施暂行办法
第一条为加强信息系统维护、管理、使用等人员的责任意识，形成职责明晰、权责对称、监督有力、管理规范的信息系统安全工作机制，依据有关规定，制定本办法。

第二条本办法实施对象为负责信息系统维护、管理、使用等的相关部门人员、项目组成员和各级负责人。

第三条本办法适用于由于工作失职、失误导致信息系统安全事故，违反账户信息安全管理规定的责任追究。

第四条发生信息系统安全事故后，相关单位应迅速进行应急处理或采取抢救措施，最大限度地减少损失，并对发生事故的情况，按规定及时报告主管部门和人力资源部。

第五条信息系统发生的各级安全事故的问责处理，应以事故程度和事故责任的认定为依据，视情节给予事故责任人行政处分和经济处罚。

行政处分分为：通报批评、警告、记过、记大过、降职、撤职、开除留用查看、开除。

经济处罚为扣发绩效工资。

第六条对因严重违反账户信息安全管理规定而被开除的员工，应及时通报银联商务厦门分公司，由银联商务通过中国银联风险信息共享系统报送违规员工个人信息。

第七条本流程自发布之日起执行，由电脑部负责解释。

某某公司年报信息披露重大差错责任追究制度第一章总则第一条为了进一步提高某某公司（以下简称“公司”）的规范运作水平，加大对公司年度报告（以下简称“年报”）信息披露责任人的问责力度，提高年报信息披露的质量和透明度，增强年报信息披露的真实性、准确性、完整性和及时性，根据《中华人民共和国证券法》、《中华人民共和国会计法》、《上市公司信息披露管理办法》、《上市公司治理准则》和深圳证券交易所《创业板股票上市规则》、《关于做好上市公司2010年年度报告披露工作的通知》（深证上〔2010〕434号）等法律、法规、规范性文件及《公司章程》、《信息披露管理制度》的有关规定，结合公司的实际情况，特制定本制度。

第二条公司相关人员应当严格执行《企业会计准则》及相关规定，严格遵守公司与财务报告相关的内部控制制度，确保财务报告真实、公允地反映公司的财务状况、经营成果和现金流量。

公司有关人员不得干扰、阻碍审计机构及相关注册会计师独立、客观地进行年报审计工作。

第三条公司董事、监事、高级管理人员以及与年报信息披露相关的其他人员在年报信息披露工作中违反国家有关法律、法规、规范性文件以及公司规章制度，未勤勉尽责或者不履行职责，导致年报信息披露发生重大差错，应当按照本制度的规定追究其责任。

第四条本制度所指年报信息披露重大差错包括年度财务报告存在重大会计差错、其他年报信息披露存在重大错误或重大遗漏、业绩预告或业绩快报存在重大差异等情形。

具体内容如下：1、年度财务报告违反《中华人民共和国会计法》、《企业会计准则》及相关规定，存在重大会计差错；2、会计报表附注中财务信息的披露违反了《企业会计准则》及相关解释规定、中国证监会《公开发行证券的公司信息披露编报规则第15 号——财务报告的一般规定（2010 年修订）》等信息披露编报规则的相关要求，存在重大错误或重大遗漏；3、其他年报信息披露的内容和格式不符合中国证监会《公开发行证券的公司信息披露内容与格式准则第30 号——创业板上市公司年度报告的内容与格式》和证券交易所信息披露指引等规章制度、规范性文件和《公司章程》、《信息披露管理制度》及其他内部控制制度的规定，存在重大错误或重大遗漏。

网络信息安全责任追究制度网络信息安全责任追究制度1·重要性与目的1·1 重要性：网络信息安全对于保障企业和个人的信息资产、维护社会稳定和促进经济发展具有重要意义。

1·2 目的：明确网络信息安全责任追究的原则和流程，建立完善的网络信息安全保障机制。

2·定义和范围2·1 定义：网络信息安全责任追究制度是指对于违反网络安全规定的行为，追究相关责任的制度。

2·2 范围：2·2·1 适用对象：本制度适用于所有使用和管理网络信息系统的人员，包括企事业单位、个人用户等。

2·2·2 适用行为：本制度适用于涉及网络信息安全的违规行为，包括但不限于：恶意代码攻击、非法获取用户个人信息、网络侵入、数据篡改等。

3·责任主体及职责3·1 系统管理员：负责网络信息系统的日常维护和安全管理，并保障系统的正常运行。

3·2 用户单位负责人：负责组织和管理本单位的网络信息系统，确保系统安全。

3·3 员工和用户：应遵守网络信息安全政策和制度，保护自己和他人的网络信息安全。

4·违规行为4·1 违反网络信息安全法律法规和规定的行为，如恶意攻击网络、非法获取他人信息等。

4·2 泄露、篡改、毁损网络信息系统中的数据。

4·3 未经授权使用他人的账号、密码及网络信息资源。

4·4 违反网络信息安全操作规程。

5·网络信息安全故障的处理5·1 紧急处理：一旦发生网络安全故障，应立即启动应急预案，采取必要的措施进行紧急处理。

5·2 故障原因分析：对网络安全故障进行详细分析，找出故障原因并采取相应的解决方案。

5·3 故障记录：对故障处理过程进行记录并进行归档，以备后续参考。

6·追究责任的程序和措施6·1 违规行为的发现和报告：发现违规行为后，应及时向网络信息安全管理部门报告，并提供相关证据。

岗位信息安全责任制度模版信息化岗位安全和保密责任制度为加强我局信息化岗位管理，保证局计算机信息系统安全，制定本制度。

第一条局信息化岗位管理遵循“谁主管谁负责、谁运行谁负责、谁公开谁负责”的原则，实行安全和保密管理工作责任制。

岗位所在部门负责人作为第一责任人，负责其职责范围内的计算机信息系统安全和保密管理。

第二条本规定中的信息化岗位指承载局计算机信息系统建设、管理和维护的岗位，主要包括局办公室和局信息中心工作人员，以及负有信息安全和保密责任的信息安全员和兼职保密员。

第三条局信息化岗位安全和保密管理按照国家保密法和国家信息安全等级保护的要求进行。

第四条信息化岗位实行岗位职责分离制度，岗位操作权限严格受岗位职责限制。

除非主管领导批准，信息化岗位人员不得打听、了解或参与职责以外的任何涉及岗位安全和保密的内容。

第五条信息化岗位人员应保管好自己的信息系统操作口令，不定期予以更换。

严禁向他人泄露自己的信息系统操作口令。

因工作需要必须告知他人的，应在使用完毕后即时更换口令。

第六条信息化岗位人员使用的台式和便携式计算机必须有密码保护措施，工作中离开岗位时计算机应置于屏幕保护状态。

计算机无人使用时不得置于上网状态。

第七条非经主管领导批准，信息化岗位工作人员不得携带存有工作信息的便携式计算机外出。

经主管领导批准携带便携式计算机外出的，应采取措施保证机内信息安全。

携带外出的便携式计算机禁止留存涉及国家秘密和工作秘密的内容。

第八条重要的信息化岗位休息日和节假日安排人员值班，重大事件期间应组织安排____小时值班。

值班期间，重点监控提供公共服务的信息子系统(如网站)运行状况，发现异常按局信息安全应急预案处理，并即时向主管领导报告。

第九条办公室应组织开展经常性的保密教育培训，提高局机关工作人员，尤其是信息化岗位工作人员的计算机信息安全保密意识与技能。

第十条局监察室负责局计算机信息系统安全和保密管理情况的监督。

为此，应不定期地组织专业技术人员对信息化岗位人员使用的台式和便携式计算机应进行安全检查，发现并排除病毒、木马等安全隐患。

信息系统责任认定与追究制度为进一步落实网络安全和信息安全管理责任，提高系统信息化建设水平，明确安全责任，强化责任追究，确保网络安全和信息系统安全、高效、稳定运行，提升业务工作水平，制定本办法。

一、总则本制度所称信息系统，是指由计算机软硬件系统、网络设备及相关的配套设备构成的，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。

所有使用计算机信息系统的单位和个人，必须遵守国家有关计算机信息系统安全保护的法律、法规和本制度。

二、信息系统安全管理细则1、本单位应成立计算机信息系统安全工作领导小组，负责本单位的计算机信息系统安全和维护工作。

本单位计算机信息系统安全领导责任人对本单位信息系统安全工作负主要领导责任；计算机信息系统安全部门负责人对本单位信息系统工作负直接领导责任；网络管理员是本单位计算机信息系统安全工作直接责任人，负责信息系统日常管理维护；各个电脑及信息系统操作人员为本机信息安全的直接责任人，负责本人使用的电脑的信息安全及日常维护管理。

2、任何单位和个人不得利用计算机信息系统从事危害国家利益和公民合法权益的活动，不得危害计算机信息系统的安全，不得利用计算机信息系统制作、存储、复制和传播下列信息：煽动抗拒、破坏我国宪法和法律、法规的；煽动颠覆国家政权、分裂国家、推翻社会主义制度的；捏造或歪曲事实、散布谣言、扰乱社会秩序的；宣扬封建迷信、色情、赌博、暴力、凶杀、恐怖或者教唆犯罪的；侮辱他人或者捏造事实诽谤他人的；含有法律、法规禁止的其他内容的。

3、机房服务器、路由器、防火墙、交换机等设备的口令应由专人掌握，定期更改，口令长度应在8位以上并且含有字符和数字。

4、随时关注信息系统运行状况，及时排除运行故障，做好维护记录，发现漏洞和攻击要及时报告有关部门，遇到重大问题时，及时上报相关领导。

5、加强对内部各类信息的网络安全防范工作，防篡改、防泄露。

系统内部业务信息不得对外公布，需要对外公布的信息要按规定程序报批。

信息系统事故责任追究办法（暂行）
一、目的
本办法旨在统一并规范信息体系重大责任事件的责任追究行为，确保所有责任事故能够有标准、明确的界定依据和处罚参考。

二、适用范围
该制度适用于IT总部下属的所有中心、部门各层级员工的责任追究，涵盖研发、运维、信息安全等各方面的工作。

三、事故分级
四、事故责任等级界定依据及追责处置标准参考
补充说明：以上界定依据及处罚标准应作为各中心重大责任事故的处理依据，但除绝对经济损失外，事故的影响包含许多其他不可量化的内容（如公司品牌、形象等），所以最终的处罚结果，应综合考虑责任行为的类型、性质以及后续的处理补救情况，来综合评定。

五、责任追究程序
1、责任追究程序在事故作应急处理措施后启动。

由PMO牵头发起。

2、针对一级责任事故，由PMO与CTO组成专项事故追责小组，通过对责任事故的分析，产出“事故等级、界定依据以及对应的责任人”等内容，并分别给出对应的管理改进措施及技术改进措施。

最终形成事故追责分析报告。

3、其他级别的责任事故，由PMO对接事故中心直接出具事故责任处理报告。

4、总部办作为程序监督部门，将相关处理结果与上级关系部门进行报备，并对最终的处理结果协调执行。

本制度是对《苏宁云商责任追究管理办法（暂行）》在IT体系内的适配性解读和细化，如有细则与集团制度出现冲突的，以集团所确立原则为最终依据。

本制度自下发之日起试行半年，试
行期结束后将根据实施效果进行修订完善，并最终下发正式制度。

IT总部办
二〇一五年九月十六号。

敏感个人信息保护制度第一章总则第一条为规范学校信息化建设中敏感个人信息的处置，明确信息化建设中对敏感个人信息保护的管理要求，避免敏感个人信息处置不当造成师生、学校及其他相关部门、人员利益受损，按照《中华人民共和国个人信息保护法》、《中华人民共和国网络安全法》、《中华人民共和国刑法》等法律法规要求，根据国标《GB/T35273-2017信息安全技术个人信息安全规范》及公安部《互联网个人信息保护指南》意见，特制定本办法。

第二条本办法适用于学校信息化建设中所涉及的敏感个人信息采集、存储、使用、共享、公开及删除等各环节。

在学校信息化建设中，为满足学校教学、科研及校务管理需求，且符合国家及相关主管部门在学籍、教务、人事、财务、档案、设备、资产管理等方面的法律法规及规章制度要求时，可依照本办法处置校内师生的敏感个人信息，校内师生有义务提供相关敏感个人信息。

第三条根据国家法律法规和国家标准，本办法中敏感个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息，包括但不限于如下信息：1.个人财产信息：银行账户、鉴别信息(口令)、存款信息(包括资金数量、支付收款记录等)、房产信息、信贷记录、征信信息、交易和消费记录、流水记录等，以及虚拟货币、虚拟交易、游戏类兑换码等虚拟财产信息；2.个人健康生理信息：个人因生病医治等产生的相关记录,如病症、住院志、医嘱单、检验报告、手术及麻醉记录、护理记录、用药记录、药物食物过敏信息、生育信息、以往病史、诊治情况、家族病史、现病史、传染病史等；3.个人生物识别信息：个人基因、指纹、声纹、掌纹、耳廓、虹膜、面部识别特征等；4.个人身份信息：身份证、军官证、护照、驾驶证、工作证、社保卡、居住证等；5.其他信息：性取向、婚史、宗教信仰、未公开的违法犯罪记录、通信记录和内容、通讯录、好友列表、群组列表、行除轨迹、网页浏览记录、住宿信息、精准定位信息等。

网络信息安全责任追究制度网络信息安全责任追究制度一、总则为加强网络信息安全管理工作，保障网络信息安全，明确网络信息安全责任的履行方式及追究机制，制定本制度。

二、适用范围本制度适用于组织内所有从事网络信息处理和管理工作的人员，包括但不限于网络管理员、系统管理员、安全管理员等。

三、网络信息安全责任追究机制1. 网络信息安全责任的划分1.1. 上级主管部门负责整体网络信息安全运营工作，包括策略制定、资金投入、组织协调等工作；1.2. 网络信息系统负责人负责网络信息系统的安全运行、管理和维护，建立相应的安全保护措施；1.3. 网络管理员负责网络信息安全的监测、分析、防御和日常管理工作；1.4. 用户部门负责自身网络信息的安全使用和管理；1.5. 个人用户要履行网络安全责任，不得传播违法信息或从事违法活动。

2. 责任的追究2.1. 上级主管部门对网络信息安全运营工作负最终责任，必要时会出台补充制度；2.2. 网络信息系统负责人需建立安全保护制度，审查网络信息安全政策，采取相应的防护措施，确保网络信息系统安全的运行；2.3. 网络管理员需配合网络信息系统负责人的工作，及时发现并处理网络安全事件，并协助相关部门进行调查；2.4. 用户部门需配合网络管理员的工作，确保自己的网络信息安全，并按照工作要求及时配合调查工作；2.5. 个人用户需要遵守网络安全法规，不进行任何危害网络信息安全的活动。

四、违规行为处理1. 违规行为的甄别1.1. 违反国家相关法律法规的行为；1.2. 违反组织内相关网络信息安全制度的行为；1.3. 非法获取、窃取、篡改、销毁网络信息的行为；1.4. 传播含有非法信息或对网络信息进行破坏的行为；1.5. 违反网络安全管理规范和规定的行为。

2. 处理措施2.1. 网络信息系统负责人对网络信息安全责任的追究包括口头警告、书面警告、通报批评、暂停使用网络等；2.2. 网络管理员对用户部门的违规行为处理包括警告、限制网络权限、禁止上网、责令整改等；2.3. 用户部门对个人用户的违规行为处理包括警告、禁止上网、停职检查等；2.4. 具体处理措施根据违规行为的轻重性、后果严重性来决定，必要时可向有关部门报案。

信息安全管理责任制度范文一、背景和目的在当今信息化时代，信息安全对于企业和组织来说具有重要意义。

为了确保信息系统的正常运行和信息资产的安全，制定一套完善的信息安全管理责任制度是必要的。

本制度的目的是明确组织内各级人员在信息安全管理中的职责和权力，保证信息资产的机密性、完整性和可用性。

二、适用范围本制度适用于组织内所有员工，包括正式员工、临时员工和合作伙伴。

三、责任划分1.最高责任人最高责任人是指拥有最终决策权和管理权的人员，对信息安全工作负有最终责任。

最高责任人应确保获得安全相关的知识并提供相应的资源和支持。

此外，最高责任人还负有审查和验证信息安全控制措施的责任，包括制定信息安全政策和制度。

2.信息安全管理层四、员工责任1.信息安全意识所有员工都有义务参与信息安全培训，并对个人行为和行为后果负责。

员工应遵守组织的信息安全政策和规定，并定期接受相关知识和技能的培训。

员工还应监督并报告任何疑似违规行为。

2.信息安全风险管理员工应积极参与信息安全风险管理活动，包括识别、评估和应对信息安全风险。

员工在处理、存储和传输信息时，应严格遵循信息安全管理的规定和流程。

3.私人信息保护员工应保护组织内部和外部的私人信息。

他们应了解和遵守相关隐私保护政策和法规，并对违反隐私保护规定的行为负有法律责任。

4.设备和系统使用员工应遵守组织的设备和系统使用政策。

禁止滥用公司设备和系统，禁止未经授权访问和使用他人的设备和系统。

5.信息资产保护员工应妥善保护组织的信息资产，包括文件、文档、软件和硬件等。

他们应遵守信息资产的使用和处理规定，不得私自泄露、篡改或销毁组织的信息资产。

6.审计和监督员工需配合内部和外部的信息安全审计和监督，提供所需的信息和数据，并积极改进信息安全管理工作。

五、制度维护和监督1.该制度应定期进行评估和审查，以确保其适应组织的发展和变化。

2.监督部门应监督制度的执行情况，处理违反规定的行为，并针对违规行为进行相应的纠正和处罚。

中国人民银行关于印发《中国人民银行计算机系统信息安全报告制度》的通知文章属性•【制定机关】中国人民银行•【公布日期】2010.12.28•【文号】银发[2010]366号•【施行日期】2010.12.28•【效力等级】部门规范性文件•【时效性】现行有效•【主题分类】计算机软件著作权,银行业监督管理正文中国人民银行关于印发《中国人民银行计算机系统信息安全报告制度》的通知（2010年12月28日银发[2010]366号）人民银行上海总部，各分行、营业管理部，各省会(首府)城市中心支行，各副省级城市中心支行，各直属企事业单位：为进一步做好人民银行计算机系统信息安全风险防范和事件处置工作，总行制定了《中国人民银行计算机系统信息安全报告制度》，现印发给你们，请遵照执行。

附件：中国人民银行计算机系统信息安全报告制度附件中国人民银行计算机系统信息安全报告制度一、总则第一条根据《中国人民银行计算机系统信息安全管理规定》(银发[2010]276号印发)，为加强人民银行计算机系统信息安全(以下简称信息安全)管理，规范计算机系统信息安全报告流程，提高信息安全事件和风险处置效率，制定本制度。

第二条本制度适用于人民银行总行、上海总部、各分支机构行、各直属企事业单位及其他相关单位。

第三条本制度报告范畴界定为网络与信息系统计算机系统的信息安全，报告事项包括信息安全事件和信息安全风险两类。

第四条本制度所称信息安全事件，是指由于人为、自然因素或计算机软硬件缺陷等原因，导致网络、信息系统出现异常或数据受到侵害，影响网络与信息系统正常运行或数据安全。

第五条本制度所称信息安全风险，是指人为、自然的威胁利用网络与信息系统及其管理机制中存在的脆弱性，导致信息安全事件发生的可能性。

第六条任何单位和个人均有信息安全报告的义务。

按照“谁发现、谁报告”的原则，信息安全事件发生或风险发现单位的计算机系统相关业务部门在向本单位应急办报告的同时，通报本单位科技部门。