2023新能源發(fā)電公司網絡安全工作獎懲實施細則

-1-XXX發(fā)電公司網絡安全工作獎懲實施細則（2023年版）第一章總則第一條為加強XXXX分公司（以下簡稱“分公司”）網絡安全管理，落實網絡安全責任制，充分調動分公司系統(tǒng)各級人員做好網絡安全工作的積極性，依據《中華人民共和國網絡安全法》、《電力行業(yè)網絡與信息安全管理辦法》（國能安全〔2014〕317號）等有關法律法規(guī)和《XXXX集團有限公司網絡安全工作獎懲辦法》、《XXXX集團有限公司網絡安全事件調查規(guī)程》及相關制度，結合分公司實際，制定本實施細則。第二條本實施細則適用于分公司本部及所屬各單位。第三條本實施細則用于明確分公司系統(tǒng)內部對網絡安全工作的表彰與獎勵、處理與處罰。第四條本實施細則堅持“誰主管誰負責”，“獎懲分明、以責論處”的原則，堅持精神鼓勵與物質獎勵相結合，批評教育、行政處分和經濟處罰相結合。第五條對網絡安全工作業(yè)績優(yōu)異的單位和有突出貢獻的個人，給予表彰與獎勵。第六條對發(fā)生網絡安全事件的部門和責任人，根據事件性質和責任劃分，按照本實施細則進行責任追究和處理。第七條網絡安全事件結案時，分公司安委會審核對事件相關責任人處理意見的嚴肅性和合理性。第二章表彰與獎勵第八條分公司網絡安全工作表彰與獎勵資金在分公司安全生產專項獎勵中列支；獎勵標準依據《XXXX集團公司XX分公司安全生產工作獎懲辦法》中“其他分公司安委會認定具體獎勵條件的集體或個人”的事項及標準執(zhí)行，或提請總經理進行專項嘉獎。第九條網絡安全工作表彰與獎勵程序：（一）分公司所屬各單位、部門于每年1月10日前填報上一年度《網絡安全工作總結評價表》（詳見附件）。（二）分公司生產運營部負責組織專項審核討論，形成表彰與獎勵提議，報分公司網絡安全分管領導審核后上報分公司安委會審定。（三）分公司安委會審定確認后，生產運營部發(fā)文公示公告。第三章處理與處罰第十條根據《XXXX集團有限公司網絡安全事件調查規(guī)程》，網絡安全事件劃分四個級別：特別重大事件（一級）、重大事件（二級）、較大事件（三級）和一般事件（四級）。（一）特別重大事件（一級）特別重大事件是指能夠導致特別嚴重影響或破壞的網絡安全事件，包括以下情況：1.因網絡安全問題導致涉及集團公司、XX國際秘密信息外泄，信息數據遭惡意篡改、破壞、泄露和竊取，對集團公司、XX國際生產經營產生重大影響，并產生了極其惡劣的社會影響。2.涉及分公司的重要網站、大型網絡平臺等被攻擊篡改，導致反動言論或者謠言等違法有害信息大面積擴散，且沒有及時報告和組織處置。3.分公司等保三級及以上的信息系統(tǒng)遭受特別嚴重的系統(tǒng)損失，產生特別重大的社會影響。4.分公司等保三級及以上的信息系統(tǒng)數據完全丟失24小時及以上，且不可恢復。5.分公司等保三級及以上的信息系統(tǒng)完全癱瘓時間超過12小時且造成特別嚴重影響。6.分公司局域網完全癱瘓時間超過12小時且造成特別嚴重影響。7.分公司上聯(lián)集團公司專線網絡中斷時間超過4小時且造成特別嚴重影響。8.分公司網絡安全領導小組認定的其它特別重大事件。（二）重大事件（二級）重大事件是指能夠導致嚴重影響或破壞的網絡安全事件，包括以下情況：1.因網絡安全問題導致集團公司、XX國際涉密信息外泄，或重要數據遭惡意篡改、破壞、泄露和竊取，對集團公司、XX國際生產經營產生了較大影響，并產生了較大的社會影響。2.分公司等保三級及以上的信息系統(tǒng)遭受嚴重的系統(tǒng)損失或使分公司等保二級的信息系統(tǒng)遭受特別嚴重的系統(tǒng)損失，產生的重大的社會影響。3.分公司等保二級的信息系統(tǒng)數據完全丟失12小時以上，且不可恢復。4.分公司等保三級及以上的信息系統(tǒng)癱瘓時間超過8小時或分公司等保二級的信息系統(tǒng)癱瘓時間超過12小時，且造成嚴重影響。5.分公司等保三級及以上的信息系統(tǒng)與集團公司總部數據傳輸中斷時間超過8小時或分公司等保二級的信息系統(tǒng)與集團公司總部數據傳輸中斷時間超過12小時，且造成嚴重影響。6.分公司局域網完全癱瘓時間超過8小時且造成嚴重影響。7.分公司上聯(lián)XX國際或下聯(lián)各所屬單位的網絡專線中斷時間超過4小時且造成嚴重影響。8.分公司網絡安全領導小組認定的其它重大事件。（三）較大事件（三級）較大事件是指能夠導致較嚴重影響或破壞的網絡安全事件，包括以下情況：1.因網絡安全問題造成分公司敏感信息外泄，或信息系統(tǒng)數據遭惡意篡改、破壞、泄露和竊取，對分公司生產經營產生了較大影響。2.分公司等保三級及以上的信息系統(tǒng)遭受較大的系統(tǒng)損失，或分公司等保二級的信息系統(tǒng)遭受嚴重的系統(tǒng)損失，或分公司等保二級以下的信息系統(tǒng)遭受特別嚴重的系統(tǒng)損失，且產生較大的社會影響。3.分公司等保三級及以上的信息系統(tǒng)數據丟失8小時以上，且不可恢復。4.分公司等保三級及以上的信息系統(tǒng)中斷時間超過4小時或分公司等保二級的信息系統(tǒng)中斷時間超過8小時，且造成較大影響。5.分公司等保三級及以上的信息系統(tǒng)與集團公司總部數據傳輸中斷時間超過4小時或分公司等保二級的信息系統(tǒng)與集團公司總部數據傳輸中斷時間超過8小時，且造成較大影響。6.分公司局域網完全癱瘓時間超過4小時且造成較大影響。7.分公司下聯(lián)各所屬、所管企業(yè)的網絡中斷時間超過4小時且造成較大影響。8.分公司網絡安全領導小組認定的其它較大事件。（四）一般事件（四級）一般事件是指不滿足以上條件的網絡安全事件，包括以下情況：1.因網絡安全問題造成分公司本部及所屬各單位敏感信息外泄，或信息系統(tǒng)數據遭惡意、破壞、泄露和竊取，對分公司本部及所屬各單位生產經營產生了較大影響。2.分公司等保三級及以上的信息系統(tǒng)遭受較小的系統(tǒng)損失、或分公司等保二級的信息系統(tǒng)遭受較大的系統(tǒng)損失，分公司等保二級以下的信息系統(tǒng)遭受嚴重或嚴重以下級別的系統(tǒng)損失，且產生一般的社會影響。3.分公司區(qū)域信息網絡和工控網絡系統(tǒng)設備數據丟失，但處理后可恢復，造成了一般影響。4.分公司等保三級及以上的信息系統(tǒng)完全中斷時間超過2小時或分公司等保二級的信息系統(tǒng)中斷時間超過4小時，且造成一般影響。5.分公司等保三級及以上的信息系統(tǒng)與集團公司總部數據傳輸中斷時間超過2小時或分公司等保二級的信息系統(tǒng)與集團公司總部數據傳輸中斷時間超過4小時，且造成一般影響。6.分公司本部及所屬各單位發(fā)生被國家或地方網絡安全主管部門、集團公司等通報的其他網絡安全事件。7.分公司網絡安全領導小組認定的其它一般事件。第十一條發(fā)生網絡安全事件時，根據《XXXX集團有限公司網絡安全事件調查規(guī)程》進行事件報告和調查。（一）判定為發(fā)生一級網絡安全事件，由集團公司組織調查。（二）判定為發(fā)生二級或三級網絡安全事件，由分公司組織調查。（三）判定為發(fā)生四級網絡安全事件，由事件發(fā)生單位組織調查。（四）對于一級網絡安全事件，由分公司直接配合集團公司調查工作，并將調查結論上報分公司安委會，按照集團公司要求進行處理；對于二級及以下的網絡安全事件，組織調查的單位（或部門）根據調查結論填寫網絡安全事件調查報告書，上報分公司安委會審查，對事件責任單位及個人進行處理與處罰。（五）由各信息化應用系統(tǒng)的業(yè)務主管單位（部門）或其開發(fā)、集成、運維、物資供應等外委協(xié)作單位造成的網絡安全事件，根據事件調查結論，對業(yè)務主管單位（部門）相關責任人員按本實施細則處理，對外委協(xié)作單位及人員按合同約定處理。（六）處理與處罰標準按《XXXX集團有限公司網絡安全工作獎懲辦法》執(zhí)行。第十二條發(fā)生以下影響網絡安全的行為但未造成網絡安全事件的，依據《XXXX集團公司XX分公司安全生產工作獎懲辦法》中“內部統(tǒng)計事故”的處分標準執(zhí)行。（一）在內外網辦公計算機內安裝游戲、娛樂軟件等與工作無關的各類程序，造成網絡安全通報預警的行為。（二）違規(guī)將未經企業(yè)內部安全認證的移動介質接入內外網辦公計算機，造成網絡安全通報預警的行為。（三）違規(guī)將未經企業(yè)內部安全認證的BYOD設備、筆記本電腦接入企業(yè)信息內網，造成網絡安全通報預警的行為。（四）在內外網辦公計算機上違規(guī)關停經企業(yè)內部安全認證的防病毒軟件，造成網絡安全通報預警的行為。（五）擅自允許外來人員使用（或遠程登錄）企業(yè)內外網服務器等終端設備，造成網絡安全通報預警的行為。（六）擅自允許外來人員進入網絡信息機房，造成網絡安全通報預警的行為。若因外來人員在網絡信息機房內違規(guī)部署應用軟件、違規(guī)變更服務器、網絡配置及網絡組網結構等情況造成非法外聯(lián)和訪問的，參照四級網絡安全事件進行處理與處罰。（七）內外網辦公計算機終端或共享終端的保密措施未落實，導致所存放的管理信息網絡拓撲圖、電力工控網絡拓撲圖、建設圖紙、機密文件等敏感涉密信息泄露，造成網絡安全通報預警的行為。情節(jié)嚴重的，參照《XXXX分公司保密工作管理辦法》有關監(jiān)督與獎懲的條款進行處理與處罰。（八）違規(guī)部署信息化系統(tǒng)且未按《XXXX分公司應用軟件系統(tǒng)管理辦法》要求上報分公司生產運營部備案的行為，參照四級網絡安全事件實行無后果追責。（九）網絡安全領導小組認定的其它需要懲戒的危害網絡安全行為。第四章附則第十三條本實施細則不作為處理和判定刑事、治安、民事責任的依據。第十四條本實施細則由分公司生產運營部負責解釋。第十五條本實施細則自頒發(fā)之日起執(zhí)行；原《XXXX分公司網絡安全工作獎懲辦法（試行）》（XXXX制〔2018〕129號）同時廢止。附件：網絡工作總結評價表附件網絡工作總結評價表填報單位：年度企業(yè)名稱網絡安全第一責任人網絡安全分管責任人網絡安全主管部門：部門負責人：主管網絡安全的人員：業(yè)績考核指標完成情況主要考核內容完成情況黨委（黨組）網絡安全責任制落實