网络信息安全责任追究制度

为明确网络与信息安全事故责任主体(以下简称“责任主体”)，追究网络与信息安全事故的责任，结合实际情况，制定本制度。责任主体的范围包括部门、科室或个人等。本制度适用于 XXXX，各部门应根据本制度制定具体实施细则。

第一章 总则

第一条 为明确网络与信息安全事故责任主体(以下简称“责任主体”)，追究网络与信息安全事故的责任，结合实际情况，制定本制度。责任主体的范围包括部门、科室或个人等。

第二章 范围

第二条 本制度适用于重庆 XX 中学，各部门应根据本制度制定具体实施细则。

第三章 原则

第三条 网络与信息安全事故责任认定实行“谁主管谁负责、谁使用谁负责”的原则。

第四章 管理细则

第四条 负责追究责任主体事故责任的单位或个人统称为责任追究主体，包括各级网络与信息安全领导小组、各级网络与信息安全办公室、各级部门或各级领导等。

第五条 发生网络与信息安全事故后，应根据安全事件造成的影响及相关责任主体的态度，作出如下处理：

1. 批评教育。包括责令责任主体检查、诫勉谈话等；
2. 书面检查。责令责任主体向上级主管领导作出书面检查；
3. 通报批评。在部门范围内对责任主体发文通报，责令整改；
4. 一般处理。降低或扣除责任主体的月薪补贴，将事故写入月度或年度考核中；
5. 严肃处理。追究网络与信息安全事故发生负有领导 责任的负责人的管理责任，发生严重网络与信息安全事故的， 对相关责任人处以罚款、责令其赔偿事故损失、全院通报批 评、降职处理、直至开除。
6. 报警处理。严重损坏社会或国家利益的，上报当地公安部门处理。

第六条 责任追究应当坚持公平公正、有责必究、过罚相当、教育与惩戒相结合的原则。

第七条 责任追究范围和适用

1、 责任主体有下列行为之一者，应对其进行批评教育或责令作出书面检查：

1. 发生一般或较大安全事件，未按要求上报的；
2. 未按规定落实相关网络与信息安全管理制度及技 术规范，且未导致安全事件发生的；
3. 发生重大安全事件后，对调查工作配合不力的。

2、责任主体有下列行为之一者，应当责令其作出书面检查或通报批评：

1. 发生重大安全事件，未按要求上报的；
2. 未按规定落实相关网络与信息安全管理制度几技 术规范，导致一般或较大安全事件发生的；
3. 发生重大或特别重大安全事件，且发生安全事件后处理及时，未对财产或声誉造成影响的；
4. 经过批评教育或责令作出书面检查后，仍不按规定落实相关网络与信息安全管理制度及技术规范的；
5. 发生特别重大安全事件后，对调查工作配合不力的。

3、责任主体有下列行为之一者，应当予以通报批评或一般处理：

1. 发生特别重大安全事件，未按要求上报的；
2. 发生重大或特别重大安全事件，且发生安全事件后处理不及时，给单位财产或声誉带来一定影响的；
3. 发生特别重大安全事件后，对调查工作不配合的。

4、责任主体有下列行为之一者，应当予严肃处理，情况十分严重者应报警处理：

1. 发生重大或特别重大安全事件造成后果严重并刻 意隐瞒或谎报，造成恶劣影响的；
2. 未按规定落实相关网络与信息安全管理制度及技 术规范导致发生重大或特别重大安全事件，且发生安全事件后处理不及时，给单位财产或声誉带来恶劣影响的；
3. 发生安全事件后销毁证据、弄虚作假的。
4. 对应追究责任主体责任而敷衍结案、弄虚作假的，应当对责任追究主体通报批评。

5、下列情形之一者，不追究责任主体的责任：

1. 因不可抗力导致发生的网络与信息安全事故；
2. 有充分证据证明完全落实了相关安全要求，由未知原因导致网络与信息安全事故发生的。

6、责任主体主动承认过错并及时修补管理或技术漏洞， 减少损失、挽回影响，态度非常好的，应当予以从轻或减轻 责任追究。

第八条 责任追究程序和实施

1. 责任追究过程采用层层负责制，下级责任追究主体对上级责任追究主体负责。
2. 责任追究程序包括调查、对调查报告审核、作出责任追究决定等。
3. 对网络与信息安全事故的调查和对事故责任的初步定性由各级网络与信息安全办公室及相应的主管部门共 同负责，并对调查报告进行审核。
4. 调查报告的审核重点：
   • 事故的事实是否清楚；
   • 证据是否确实、充分；
   • 性质认定是否准确；
   • 责任划分是否明确。
5. 责任追究决定：
   • 对责任主体作出批评教育、责令作出书面检查、通报批评时，由责任主体所在部门网络与信息安全办公室或上级网络与信息安全办公室直接决定。
   • 对责任主体作出一般处理、严肃处理时，由责任主体所在部门或上级部门网络与信息安全办公室、人事、主管部门共同作出决定，并报网络与信息安全领导小组审批通过后执行。
6. 对责任主体的追究决定由人事、财务、相对应的主管部门、网络与信息安全办公室等职能部门分别负责实施。