第一章 总 则
第一条 为明确网络与信息安全事故责任主体(以下简称“责任主体”),追究网络与信息安全事故的责任,结合学校实际情况,制定本制度。责任主体的范围包括学院、部门、科室或个人等。
第二条 负责追究责任主体事故责任的单位或个人统称为责任追究主体,包括信息中心、学校各院部(处室)或各级领导等。
第三条 本制度适用于河北工业职业技术大学,各部门应根据本制度制定具体实施细则。
第四条 网络与信息安全事故责任认定实行“谁主管谁负责、谁使用谁负责”的原则。
第五条 发生网络与信息安全事故后,应根据安全事件造成的影响及相关责任主体的态度,作出如下处理:
(1)批评教育。包括责令责任主体检查、诫勉谈话等;
(2)书面检查。责令责任主体向上级主管领导作出书面检查;
(3)通报批评。在部门范围内对责任主体发文通报,责令整改;
(4)一般处理。将事故写入年度考核中;
(5)严肃处理。追究网络与信息安全事故发生负有领导责任的负责人的管理责任,发生严重网络与信息安全事故的,对相关责任人处以罚款、责令其赔偿事故损失、全校通报批评、降职处理等。
(6)报警处理。严重损坏社会或国家利益的,上报当地公安部门处理。
第六条 责任追究应当坚持公平公正、有责必究、过罚相当、教育与惩戒相结合的原则。
第二章 责任追究范围和适用
第七条 责任主体有下列行为之一者,应对其进行批评教育或责令作出书面检查:
(1)发生一般或较大安全事件,未按要求上报的;
(2)未按规定落实相关网络与信息安全管理制度及技术规范,且未导致安全事件发生的;
(3)发生重大安全事件后,对调查工作配合不力的。
第八条 责任主体有下列行为之一者,应当责令其作出书面检查或通报批评:
(1)发生重大安全事件,未按要求上报的;
(2)未按规定落实相关网络与信息安全管理制度及技术规范,导致一般或较大安全事件发生的;
(3)发生重大或特别重大安全事件,且发生安全事件后处理及时,未对学校财产或声誉造成影响的;
(4)经过批评教育或责令作出书面检查后,仍不按规定落实相关网络与信息安全管理制度及技术规范的;
(5)发生特别重大安全事件后,对调查工作配合不力的。
第九条 责任主体有下列行为之一者,应当予以通报批评或一般处理:
(1)发生特别重大安全事件,未按要求上报的;
(2)发生重大或特别重大安全事件,且发生安全事件后处理不及时,给学校财产或声誉带来一定影响的;
(3)发生特别重大安全事件后,对调查工作不配合的。
第十条 责任主体有下列行为之一者,应当予严肃处理,情况十分严重者应报警处理:
(1)发生重大或特别重大安全事件造成后果严重并刻意隐瞒或谎报,造成恶劣影响的;
(2)未按规定落实相关网络与信息安全管理制度及技术规范导致发生重大或特别重大安全事件,且发生安全事件后处理不及时,给学校财产或声誉带来恶劣影响的;
(3)发生安全事件后销毁证据、弄虚作假的。
第十一条 对应追究责任主体责任而敷衍结案、弄虚作假的,应当对责任追究主体通报批评。
第十二条 有下列情形之一者,不追究责任主体的责任:
(1)因不可抗力导致发生的网络与信息安全事故;
(2)有充分证据证明完全落实了相关安全要求,由未知原因导致网络与信息安全事故发生的。
第十三条 责任主体主动承认过错并及时修补管理或技术漏洞,减少损失、挽回影响,态度非常好的,应当予以从轻或减轻责任追究。
第三章 责任追究程序和实施
第十四条 责任追究过程采用层层负责制,下级责任追究主体对上级责任追究主体负责。
第十五条 责任追究程序包括调查、对调查报告审核、作出责任追究决定等。
第十六条 对网络与信息安全事故的调查和对事故责任的初步定性由信息中心及相应的主管部门共同负责,并对调查报告进行审核。
第十七条 调查报告的审核重点:
(一)事故的事实是否清楚;
(二)证据是否确实、充分;
(三)性质认定是否准确;
(四)责任划分是否明确。
第十八条 责任追究决定:
(一)对责任主体作出批评教育、责令作出书面检查、通报批评时,由责任主体所在部门或信息中心直接决定。
(二)对责任主体作出一般处理、严肃处理时,由责任主体所在部门或主管部门作出决定,并报学校信息中心审批通过后执行。
第十九条 对责任主体的追究决定由对应的主管部门、信息中心等职能部门分别负责实施。