第一章 总则
第一条 为明确网络与信息安全事故责任主体(以下简称“责任主体”),做好网络与信息安全事故的责任认定和追究工作,结合学校实际情况,制定本制度。
第二条 责任主体的范围包括各部门、单位或个人等。芜湖职业技术学院网络安全与信息化领导小组(以下简称“领导小组”)负责追究责任主体的事故责任,称为“责任追究主体”。
第三条 网络与信息安全事故的责任认定实行“谁主管谁负责、谁使用谁负责”的原则,由领导小组组织实施。
第四条 发生网络与信息安全事故后,应根据安全事件造成的影响及相关责任主体的处置态度,作出如下处理:
1、批评教育。包括责令责任主体检查、诫勉谈话等。
2、通报批评。在事发部门、单位范围内对责任主体发文通报,责令整改,并由责任主体向学校主管领导作出书面检查。
3、问责追责。将事故纳入责任主体的年度考核,取消当年年度考核评优资格,降低或扣除责任主体的年度绩效;依照发生网络与信息安全事故的严重程度,对责任主体和相关责任人处以罚款、赔偿事故损失、降职,直至解聘等。
4、报警处理。严重损害社会或国家利益的,上报当地公安部门处理。
第五条 责任追究应当坚持公平公正、有责必究、过罚相当、教育与惩戒相结合的原则。
第二章 责任追究范围和适用
第六条 责任主体未按规定落实相关网络与信息安全管理制度及技术规范,导致一般安全事件发生的,应对其进行批评教育。
第七条 责任主体未按规定落实相关网络与信息安全管理制度及技术规范,导致较大安全事件发生的,应对其进行通报批评。
第八条 责任主体未按规定落实相关网络与信息安全管理制度及技术规范,导致重大或特别重大安全事件发生的,应当予以问责追责,情况十分严重的应报警处理。
第九条 有下列情形之一者,减轻或不追究责任主体的责任:
1、因不可抗力导致发生的网络与信息安全事故。
2、有充分证据证明完全落实了相关安全要求,由未知原因导致网络与信息安全事故发生的。
3、责任主体主动承认过错并及时修补管理或技术漏洞,视减少损失、挽回影响程度,予以从轻或减轻责任追究。
第三章 责任追究程序和实施
第十条 责任追究程序包括调查、对调查报告审核、作出责任追究决定等。
第十一条 网络安全与信息化领导小组负责对网络与信息安全事故的调查和对事故责任的初步定性,并对调查报告进行审核。
第十二条 调查报告的审核重点:
1、事故的事实是否清楚;
2、证据是否确实、充分;
3、性质认定是否准确;
4、责任划分是否明确。
第十三条 对责任主体的追究决定由领导小组作出,相关部门实施。
第十四条 本制度自发布之日起施行。