东软信息安全管理办法 - Neusoft · - 3 - 第一章 总则 第一条...
26
东软信息安全管理办法 文件版本:1.3 发布日期:2018 年 11 月 30 日 东软集团股份有限公司 版权所有 Copyright © Neusoft Corporation 东软内部公开
Transcript of 东软信息安全管理办法 - Neusoft · - 3 - 第一章 总则 第一条...
东软信息安全管理办法
文件版本:1.3 发布日期:2018 年 11 月 30 日
东软集团股份有限公司 版权所有 Copyright © Neusoft Corporation
东软内部公开
- 2 -
文件修订说明
序号 修订要点 主要涉及条款 修订说明
1 增加了“公司及相关方涉密信息的
范围”的内容
第十四条 适应业务发展需要
2 增加了对“信息载体的管理”的要
求
第二十四、二十五、二
十六条、二十七条
适应业务发展需要
3 修订了“个人信息保护”的内容 第四十四、四十五、四
十六、四十七、四十八
条
适应业务发展需要
4 修订了“信息安全教育”的内容 第五十九、六十、六十
一条
适应业务发展需要
5 修订了“员工的权利和义务” 第六十九条 适应业务发展需要
6 修订了“个人信息”及“相关方”的
相关定义
第七、九条 适应业务发展需要
7 增加了互联网行为的处罚内容 第七十条 适应业务发展需要
8 修订了员工风险行为所对应的内
部责任
员工风险行为&法律责
任对照表
适应业务发展需要
- 3 -
第一章 总则
第一条 为加强东软集团股份有限公司(以下简称“公司”)的信息安全管理,保护公司及相
关方信息安全和商业利益,保证公司业务持续、平稳运行,根据国家有关法律、法规、部门规章和
行业规范要求,特制定本办法。
第二条 信息安全是公司及相关方正常经营的重要保障,公司遵照“管理风险,保障信息安
全,提升经营持续性”的方针,通过风险管理,采取一切可能的控制措施,加强信息安全管理体系
的建设和管理。
第三条 公司全体员工均有参与信息安全管理、保护公司及相关方信息安全的义务和责任。
员工应积极参加各种形式的信息安全教育和培训,遵守国家有关法律、法规、部门规章和行业规
范,遵守公司信息安全管理要求。
第四条 本办法适用于公司各职能部门、事业部、分公司(以下如无特殊所指,均简称“部
门”)、全资子公司、控股子公司及全体员工,参股公司等其它关联单位可参照本办法执行。
第二章 定义
第五条 本办法所称信息,是指以文字、数字、图形、符号、图像、声音等形式存在的,可
以存储在介质或人脑中的,具有约定含义的事物,包括但不限于源代码、文档、系统数据等。
第六条 本办法所称涉密信息,是指不为公众所知悉,并经公司及相关方采取保护措施的信
息。
第七条 本办法所称个人信息,是指以电子或其他方式记录的、能够单独或者与其他信息结
合,识别特定自然人身份或者反映特定自然人活动情况的各种信息,如姓名、出生日期、身份证件
号码、住址、电话号码、账号、密码、照片、各类记录等。
第八条 本办法所称信息安全,是指保证信息的保密性(Confidentiality)、完整性
(Integrity)和可用性(Availability)。
第九条 本办法所称相关方,是指公司的客户及与公司合作、支持公司业务运行的其它实
体,通常包括客户、网络服务提供商、顾客、IT 系统运维服务商、外部审核机构、供应商等。
第十条 本办法所称信息安全管理体系文件,是按照 ISO27001标准建立的公司日常信息安
全管理活动的执行依据。
第三章 组织和职责
第十一条 信息系统规划与建设委员会是公司信息安全工作的最高领导机构,负责制定公司
信息安全管理方针和策略,审批公司信息安全管理计划及监督信息安全管理体系运行,由公司管
- 4 -
理层组成。信息系统规划与建设委员会下设公司级信息安全事件处理小组,由公司相关职能部门
负责人组成,组长由公司管理层担任,负责处理公司的重大信息安全事件与严重信息安全事件。
信息安全管理中心是公司信息系统规划与建设委员会的常设机构,负责贯彻、执行信息系统
规划与建设委员会制定的信息安全方针、策略和计划,组织、协调、管理公司日常信息安全活
动。
第十二条 各事业部、分公司设立部门级信息安全管理委员会,负责部门信息安全工作的规
划和管理,由部门管理层组成。部门级信息安全管理委员会下设部门信息安全事件处理小组,负
责处理与本部门相关的信息安全事件。
各部门设立信息安全主管及专员,负责部门日常的信息安全管理工作。
第十三条 对信息安全组织和职责的详细规定,参见公司信息安全管理体系文件之 《信息安
全组织管理规范》。
第四章 涉密信息的范围及密级划分
第十四条 根据本办法第二章的规定,公司及相关方涉密信息的范围包括但不限于:
(一)技术信息
计算机软件、硬件、软硬件一体机、医疗/健康设备等产品及技术信息:各类研究开发计
划、设计方案、设计思想、技术方案、专有技术、源程序、算法、公式、核心数据、技术支持数
据、测试数据、产品规格和零件清单、使用手册、说明文档、产品标准、著作权登记材料、专利未
公开前的技术资料、未注册的商标图样、网络拓扑图、原型机、测试车辆、样品等;
(二)经营信息
1、经营策略:已实施或尚未付诸实施的经营策略、经营决策等信息;
2、经营计划:各项业务发展计划安排、商业模型、投资计划、资产重组、收购、兼并计划及
方案等;
3、市场信息:营销策略、销售渠道、供求信息、销售及合作意向、投标机会、相关方名称
及联系方式、公司及相关方需求、产品目录、服务标准、价格政策、利润分析、成本控制、经整
理的竞争对手信息等;
4、运营及管理信息:计划参与的项目信息、现有的或正在开发中的内部流程与管理体系以及
各种重要管理文件、招投标文件、公司及相关方所有合同内容、合同履行情况、合同执行过程文档、
诉讼或仲裁案件情况等;
5、财务信息:未公开的财务预、决算报告及各类财务报表、统计报表、融资及贷款情况、资
金计划、资信信息等;
6、人力资源信息:组织机构变动计划、人力资源策略及安排、工资、福利、职位体系、岗
位或人员变动信息、培训课程体系、定制培养方案、培训教材、试题库、试卷等;
- 5 -
7、可能对公司股票价格产生重大影响的尚未公开的信息。
其它无论以任何形式和载体发送、传递、记录或存储的技术及经营等信息。
第十五条 公司有权根据业务发展需要特别指定涉密信息。
公司根据涉密信息与公司发展策略和经营方针的关系,对市场竞争的影响程度以及是否能为
公司带来收益等关键因素,将涉密信息按重要程度高低,依次分为“东软绝密”、“东软秘密”、“东
软内部公开”三个级别,实施分级管理。
东软绝密信息是指最重要的涉密信息,一旦泄露将给公司的研究开发或生产经营造成特别严
重的影响或使公司的利益遭受特别严重的损害。
东软秘密信息是指一般的涉密信息,一旦泄露将给公司的研究开发或生产经营造成严重的影
响或使公司的利益遭受损害。
东软内部公开信息是指仅在公司内部或部门内部公开的涉密信息,一旦泄露将使公司的利益
遭受影响。
国家对密级设定另有规定的,从其规定。
第十六条 公司员工或相关方员工必须经过信息责任人授权后才能查阅、复制、传递、使用
涉密信息。
第五章 信息安全管理制度
第一节 对区域的管理
第十七条 公司区域划分为楼宇外、楼宇内公共区域、办公区域和重要区域。
楼宇外,指公司办公楼宇外至公司土地周界之间的所有区域。
楼宇内公共区域,指公司办公楼宇内远离办公区的公共空间,如大堂、休闲区、停车场、健
身中心等。
办公区域,指公司进行正常办公的区域,如办公室、会议室、库房、测试间,以及以上区域
周边的走廊。
重要区域,指公司业务的核心区域以及重要安全区域,如机房、变电所、强弱电间、档案室
等。
第十八条 不同区域之间应设置有效的隔离和明显的标识,并采取适当的出入管理。员工应
严格遵守各区域的出入管理要求,不得进入未授权的办公区域。
第十九条 公司制作的员工卡为员工身份识别的有效依据,员工应按规定妥善保管及使用员
工卡。员工不得将员工卡借与他人使用,员工卡丢失应在 24 小时内上报相关主管部门。
第二十条 员工在客户现场办公时必须严格遵守客户现场的物理安全管理要求,认真保管客
户发放的门禁卡,退出客户现场时及时返还。
- 6 -
第二十一条 未经公司相关部门批准,员工不得允许外部人员进入公司办公区域和重要区
域。
第二十二条 外部人员进入公司前需要登记,得到接待部门确认后,由接待部门员工陪同在
规定区域内活动。
第二十三条 对区域管理的详细规定,参见公司信息安全管理体系文件之《物理与环境安全
管理规范》、《机房管理规范》。
第二节 对信息载体的管理
第二十四条 信息载体是指用于记录、传输、积累和保存信息的任何载体或者介质,包括但
不限于纸质文件、草图、照片、模型、计算机硬盘、计算机移动存储设备、计算机网络存储设备、
互联网或局域网电子邮件、录音、录像、软硬件一体机、医疗/健康设备、原型机、测试车辆、样
品等。
第二十五条 凡开发、生产、销售、经营、管理中的涉密信息、个人信息载体均应单独管
理,严格执行编号、登记、使用、借用、返还等制度。员工对使用、借用的涉密信息、个人信息载
体负有谨慎的保管义务,涉密信息、个人信息载体损坏、丢失的,使用人、借用人应立即上报所在
部门信息安全主管。
第二十六条 使用、借用涉密信息、个人信息载体必须采取严格的保密措施,不得擅自扩大
传阅范围,不得泄露。原型机、测试车辆、样品或外观需要进行保护的设备须进行严格且有效的管
理,并存放在安全区域。如需带出安全区域,须有专人全程进行监控。对于开发、生产、经营和
管理过程中产生的废弃涉密信息、个人信息载体,须采用有效的方式彻底销毁。严禁将涉密信
息、个人信息载体作为废品出售、丢弃。
第二十七条 对涉密信息、个人信息载体的详细规定,参见公司信息安全管理体系文件之《设
备安全管理规范》、《信息管理规范》、《个人信息安全管理规范》。
第三节 对计算机系统的管理
第二十八条 公司 IT管理部门负责信息基础设施的规划和建设,统一管理网络结构、线路、
设备配置和参数,任何员工不可擅自调整。
第二十九条 各部门必须建立计算机及相关设备清单并定期更新,明确设备责任人。设备在
借用、更换、维修及报废时,必须采取适当措施,包括备份原有信息、删除涉密信息/个人信息、
格式化硬盘、物理破坏等,以防止设备中原有涉密信息、个人信息的泄露或丢失。
第三十条 帐号和密码是访问计算机系统的重要控制措施,员工须妥善保管和正确使用。密
码的设置必须符合强密码策略,并定期修改。
- 7 -
第三十一条 信息系统必须由专门指定的系统管理员进行管理,系统管理员权限应依据工作
需要及时进行调整。系统管理员应严格遵守以下规定:
1、按照系统维护规定进行定期备份及恢复验证;
2、定期检查系统日志,及时处理发现的问题并上报;
3、按照操作流程进行系统配置的变更和系统功能的变更,并详细记录;
4、严格保管系统帐号及密码,禁止提供给他人使用;
5、按照系统的权限审批流程进行权限维护工作。
第三十二条 外部人员对公司信息系统的访问必须得到公司相关管理部门的批准,并签署保
密协议或在合同中声明双方有关信息保密的责任与义务。
第三十三条 对计算机系统的详细规定,参见公司信息安全管理体系文件之《计算机终端安
全管理规范》、《服务器管理规范》、《备份管理规范》、《网络安全管理规范》。
第四节 软件使用的管理
第三十四条 各部门使用的自用外购软件须由公司统一购买、统一管理。
第三十五条 各部门应严格管理自用外购软件的相关资料,严禁对外泄露。自用外购软件的更换
和升级,应遵循相关购买与使用协议。
第三十六条 各部门使用开源软件或其它非商业软件时,需遵守公司的相关规定及与相关方的
合同约定;在公司重大项目或关键产品研发时,部门需与法律部一同对开源软件或其它非商业软件使
用情况形成评估报告,报公司批准后执行。
第三十七条 公司所有计算机系统必须按照公司或部门的软件清单要求安装软件。禁止安装、
使用与工作无关的任何软件,禁止下载和使用未经授权的软件。
第三十八条 对自用外购软件使用管理的详细规定,参见公司《自用外购计算机软件管理制
度》。
第五节 客户信息资产的管理
第三十九条 各部门须按照本办法的各项规定和客户的要求,对客户的信息资产实施严格的
保护。
第四十条 各部门员工从客户处获得的涉密信息、个人信息,应根据合同内容或默示义务承
担保密责任。必要时,由公司或者客户与接触该涉密信息、个人信息的员工签署保密协议。
第四十一条 员工未经公司或客户许可,不得进行系统安装、软件维护、故障排除等可能对
客户信息系统带来不利影响的操作。
第四十二条 一旦发生客户信息资产损失或泄密事件时,各部门必须及时上报公司信息安全
- 8 -
事件处理小组,并积极协助客户共同制定并实施补救措施。
第四十三条 对客户信息资产的详细规定,参见公司信息安全管理体系文件之《信息管理规
范》、《客户现场安全管理规范》。
第六节 个人信息保护
第四十四条 各部门应根据相关法律、法规、部门规章、行业规范、公司规定以及与相关方
的合同约定,对个人信息进行管理、使用及保护。
第四十五条 各部门应以合法手段,获取业务所必需的个人信息。对于获取的非业务必需的
个人信息,需按公司规定或相关方要求屏蔽或删除该个人信息。
第四十六条 对自行获取的个人信息,各部门需在事先告知并获得个人信息所有人同意的情
况下才能取得,并按事先声明的目的使用该个人信息;未经个人信息所有人同意,各部门不得在事
先声明的目的之外使用该个人信息。对从相关方获取的个人信息,应在个人信息所有人同意的使用
目的范围内或相关方提出的(合同或其它方式)使用目的范围内对个人信息进行处理,不可超范围
使用。
第四十七条 各部门应采取必要的措施和技术手段,管理、使用及保护个人信息,防止公开、
泄露、篡改、滥用、丢失、损毁和未经授权检索个人信息。
第四十八条 对个人信息的详细规定,参见公司信息安全管理体系文件之《个人信息安全管理
规范》。
第七节 信息安全评测和供应商管理
第四十九条 公司对关键软件业务系统进行信息安全评测,各部门应针对信息安全评测结果
中的安全漏洞进行积极整改。
第五十条 公司对软件与服务供应商实施满足业务需求的信息安全管理,并有权实施信息安
全审计。
第五十一条 公司的软件与服务供应商及其相关人员应承担对公司及相关方的涉密信息、个
人信息的保密义务,与公司签署保密协议或承诺。
第五十二条 公司的软件与服务供应商未经公司许可,不得使用包含第三方知识产权的软件
或产品;未经公司许可,不得使用开源软件或其它非商业软件;不得实施在合同中公司明确禁止的
行为。
第五十三条 公司同软件与服务供应商的合作终止后,各部门需及时撤销供应商的相关权
限。
- 9 -
第八节 对外交流和合作的管理
第五十四条 对于进入公司的特定外部人员,包括但不限于软件/硬件的支持/维护人员、保
安、保洁和其它服务人员、学生及其它短期临时工作人员,公司与其派出单位签署保密协议,要
求其遵守公司的信息安全管理制度。
第五十五条 在公司的公关、宣传活动中,对发布可能涉及公司涉密信息的宣传报导、录
音、录像等,以及参加国内、外展览会或举办项目推介会,可能导致技术方案公开或披露涉密信
息,须经公司相关管理部门批准。
第五十六条 各部门利用网络信息发布平台发布信息时,应确定信息是否为涉密信息,涉密
信息不得通过外部网站及其它平台进行发布。
在网络信息发布平台发布的信息内容必须符合国家相关法律、法规规定,必须真实、准确、
完整。
第五十七条 在对外交流和合作过程中,如涉及涉密信息,各部门应视该涉密信息对公司业
务的重要程度,与因业务往来需要知悉公司涉密信息的相关方人员签订保密协议。
第五十八条 各部门申请加入商业性组织、商业性网络平台时,应坚持信息最小化披露原则。
第九节 信息安全教育
第五十九条 信息安全工作人人有责。公司重视对员工的信息安全教育工作,采取一切可能
手段提高员工信息安全意识,加强员工保护公司信息安全的责任感。
第六十条 接受信息安全教育是公司所有员工的义务和责任。
第六十一条 信息安全教育一般包括:
1、新入职员工在始业教育中必修《东软信息安全管理》课程;
2、定期的信息安全培训及日常信息安全知识普及教育;
3、针对进入特定业务、特定项目或相关方现场的员工进行专项信息安全教育;
4、信息安全事件发生后,组织相关人员进行专项信息安全教育;
5、对离职员工进行离职前信息安全教育及保密义务提示。
第十节 审核和检查
第六十二条 信息安全管理体系审核包括管理评审、内部审核、二方审核及认证审核,二方
审核包括客户对公司、公司对第三方服务商进行的审核。通过这些审核活动,检查公司信息安全管
理体系是否有效运行,发现公司在信息安全管理中存在的问题。
第六十三条 公司每年至少组织一次全公司范围的信息安全管理体系内部审核,各部门须配
- 10 -
合内部审核活动,并对审核中发现的问题及时整改。
公司不定期对各部门进行信息安全日常检查,及时通报检查结果并监控改进措施的落实。
第六十四条 各部门需定期对本部门的信息安全工作进行内部自检,对于自检中发现的问题
及时整改。
第六十五条 对信息安全审核和检查的详细规定,参见公司信息安全管理体系文件之《信息安
全管理体系审核与评价规范》。
第六章 信息安全事件
第六十六条 信息安全事件是指对公司及相关方信息资产的保密性、完整性、可用性造成危
害,或者对公司或相关方造成负面影响的事件,主要包括信息的未授权泄露、信息的未授权修改
或破坏、计算机系统或信息的使用中断等。根据其对公司或相关方造成的影响及损失程度,信息
安全事件分为重大事件、严重事件、一般事件。
重大事件是指有意窃取、泄露公司或相关方的涉密信息或个人信息,有意或无意破坏信息系
统的运行导致业务中断,给公司或相关方造成重大影响或损失的行为,包括但不限于:引起客户重
大投诉、丢失或损坏公司或相关方设备、泄露绝密信息、信息系统发生故障导致公司或相关方关键
业务中断 6 小时以上等。
严重事件是指有意的系统攻击,泄露涉密信息、个人信息,大规模爆发病毒,损坏信息资
产,给公司或相关方造成了一定影响或损失的行为,包括但不限于:企图访问重要信息系统、破坏
重要服务或者网络、泄露秘密信息、破坏性地/大规模病毒爆发、信息系统发生故障导致公司或相
关方关键业务中断 2-6 小时等。
一般事件是指违反公司或相关方信息安全管理规定,影响范围较小,给公司或相关方造成了
较小的影响或损失的行为,包括但不限于信息系统发生故障导致公司或相关方关键业务中断 2 小时
以内、小范围的病毒爆发等。
第六十七条 员工如发现信息安全事件须在第一时间上报部门信息安全主管,由部门信息安全
主管判断事件级别,并根据事件级别进行相应处理。重大信息安全事件须在 2 小时内、严重信息安
全事件须在 12 小时内,向公司信息安全事件处理小组报告。
第六十八条 对信息安全事件报告及处理的详细规定,参见公司信息安全管理体系文件之《信
息安全事件管理规范》。
第七章 员工的权利和义务
第一节 基本原则
- 11 -
第六十九条 工作原因产生的涉密信息,所有权属于公司。员工在职期间对公司及相关方的
涉密信息和个人信息,负有仅为工作目的使用、谨慎保管、默示保密等义务;员工离职后对公司及
相关方的涉密信息和个人信息负有无保留归还、销毁、不使用、默示保密等义务。
第七十条 员工应承担以下义务:
1、遵守国家关于信息安全和保密的法律、法规、部门规章和行业规范,遵守公司的相关管
理制度以及与公司和相关方签订的合同、协议、承诺的规定;
2、从事互联网业务的员工应遵守公司《互联网运营类业务管理办法》及相关管理制度、规
范、流程等,不得有以下行为:
(1)对法律、行政法规禁止发布或传输的信息,未采取停止传输、消除等处置措施,保存有
关记录,并向有关主管部门报告的;
(2)未履行安全管理义务,发现用户设置恶意程序,未采取停止提供服务、消除等处置措
施,保存有关记录,并向有关主管部门报告的;
(3)不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而
拒不改正,且出现下列情形之一的:致使违法信息大量传播的;致使用户信息泄露,造成严重后
果的;致使刑事案件证据灭失,情节严重的;有其他严重情节的;
(4)对其产品、服务存在的安全缺陷、漏洞等风险,未立即采取补救措施,或者未按照规定
及时告知用户并向有关主管部门报告的;
(5)擅自终止为产品、服务提供安全维护的;
(6)未要求用户提供真实身份信息,或者对不提供真实身份信息的用户提供相关服务的;
(7)未采取技术措施和其它必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、
丢失;
(8)在发生或者可能发生个人信息泄露、毁损、丢失的情况时,未立即采取补救措施,按照
规定及时告知用户并向有关主管部门报告的;
(9)违反个人信息和重要数据“本地部署及跨境传输评估”规定的。
3、员工不得有以下行为:
(1)制作、复制、查阅和传播颠覆国家政权、推翻社会主义制度,或者分裂国家、破坏国家
统一的信息;
(2)制作、复制、发布、传播反对宪法所确定的基本原则的信息;制作、复制、发布、传播
损害国家荣誉和利益的信息;
(3)制作、复制、查阅和传播民族仇恨、民族歧视,破坏民族团结的信息;
(4)制作、复制、发布、传播扰乱社会秩序和破坏社会稳定的信息及谣言;
(5)制作、复制、发布、传播包含法律、行政法规禁止的其他内容的信息;
(6)窃取、泄露国家秘密、情报或者军事秘密、情报;
(7)组织和利用会道门、邪教组织或者利用迷信破坏国家法律、行政法规实施;
- 12 -
(8)发布、传播色情、暴力信息;
(9)发布、传播虚假恐怖信息;
(10)发布、传播侮辱、攻击他人的信息;
(11)发布、传播不利于公司或相关方的虚假信息;
(12)非法侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的;
(13)非法获取计算机信息系统数据、非法控制计算机信息系统;
(14)提供侵入、非法控制计算机信息系统程序、工具;
(15)窃取或以其它非法方式获取个人信息;
(16)出售或非法向他人提供个人信息,故意泄露个人信息;
(17)利用信息网络实施下列行为之一,情节严重的:设立用于实施诈骗、传授犯罪方法、
制作或者销售违禁物品、管制物品等违法犯罪活动的网站、通讯群组的;发布有关制作或者销售毒
品、枪支、淫秽物品等违禁物品、管制物品或者其他违法犯罪信息的;为实施诈骗等违法犯罪活动
发布信息的;
(18)明知他人利用信息网络实施犯罪,为其犯罪提供互联网接入、服务器托管、网络存
储、通讯传输等技术支持,或者提供广告推广、支付结算等帮助,情节严重的;
(19)破坏计算机系统,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机
信息系统不能正常运行;对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、
修改、增加的操作;在公司或相关方系统中故意或非故意制作、传播病毒等破坏性程序,影响计
算机系统正常运行;
(20)在公司或相关方系统内建立不安全的后门;
(21)故意泄露、盗用公司或相关方系统密码;
(22)泄露公司或相关方的涉密信息;
(23)过失泄露公司或相关方系统密码;
(24)过失泄露、篡改、毁损收集的个人信息;
(25)未经被收集者同意,向他人提供个人信息(经过处理无法识别特定个人且不能复原的
除外);
(26)窃取或者以其他非法方式获取、非法出售或者非法向他人提供个人信息;
(27)未经公司授权擅自对外发布信息;
(28)未经同意进入公司或相关方非授权区域;
(29)未经书面授权修改公司或相关方系统数据;
(30)未经公司授权私自处理公司或相关方业务;
(31)未经公司或相关方授权登录、启动、停止系统;
(32)未经公司及相关方共同书面确认的开发、维护行为;
(33)未经公司测试私自进行系统版本更新、上线;
- 13 -
(34)未经公司授权带走公司资产,未经相关方许可带走相关方资产;
(35)未经授权使用公司或相关方资源;
(36)获取超出工作需要的密码权限;
(37) 非工作目的使用、接触涉密信息、个人信息;
(38)未对相关方的信息、数据进行脱密处理直接使用;
(39)未按公司或部门要求及时交还、销毁涉密信息、个人信息;
(40)未及时删除或按要求处理接触到的与工作无关的涉密信息、个人信息;
(41)未经培训参与维护服务;
(42)未正确使用第三方软件;
(43)过度占用公司或相关方系统资源;
(44)未遵守相关方信息安全的特殊要求;
(45)私自安装、使用未经许可的第三方软件;
(46)未经部门同意私自使用开源软件;
(47)披露、使用或允许他人使用权利人的商业秘密;
(48)直接或间接地参与,与公司业务存在直接或间接竞争的同类/近似产品的生产、经营或
从事同类/近似业务;
(49)直接或间接参与劝诱、劝说(或企图劝说)公司员工加入与公司业务存在竞争的任何
第三方;
(50)离职后登录公司或相关方系统;
(51)离职后带走、使用、泄露涉密信息、个人信息。
第七十一条 公司管理层及部门主要负责人对公司涉密信息的特殊义务,由公司与其在劳动
合同或补充协议中另行约定。
第七十二条 员工享有如下权利:
1、就本办法下的各事项以口头、书面、电子邮件等形式向信息安全管理中心或部门信息安
全主管提出意见或建议;
2、有权监督组织其他员工对涉密信息、个人信息的操作和管理,并对其合理性发表意见;
3、依据公司有关管理制度的规定获得奖励;
4、负有竞业限制义务的离职员工有权要求公司支付竞业限制补偿金。
第七十三条 员工在入职时,应将是否对原任职单位负有保密义务和竞业限制义务的情况向
公司人力资源部门如实报告。对与原任职单位竞业限制义务没有解除的人员,原则上公司不予录
用。
第七十四条 员工在入职后,不得携带和使用原任职单位或其它第三方的商业秘密。
第七十五条 员工在工作中因业务需要,将涉密信息、个人信息向第三方披露或者交由第三
方使用的,必须事前得到部门信息安全主管的批准。
- 14 -
第七十六条 员工在工作中取得或将要取得其它公司商业秘密的,应在事前向部门信息安全
主管报告。
第七十七条 员工在工作过程中做出或取得的本管理办法第七十五、七十六条规定事项的涉
密介质或其复制品,应按要求及时交给公司。
第七十八条 由于工作需要,依照规定需暂时由员工个人保管的涉密信息、个人信息,员工应
慎重保管,并且不得向任何第三方泄露。
第七十九条 员工在公司内部调转时,须与原部门办理所有涉密信息、个人信息及相关物品交
接手续。
第八十条 员工离职时,个人创造、占有、使用、保管的涉密信息、个人信息及相关物品应全
部返还公司。
第八十一条 员工在本职工作中产生发明创造,应立即向部门技术负责人报告,在申请专利
前不得公开披露。如拟在报刊、书籍、网络等公开媒介上发表的,须事先报部门技术负责人及公
司专利管理部门联合审批。
员工在本职工作中产生的其它涉密信息,应立即向部门信息安全主管报告,如在报刊、书
籍、网络等公开媒介上发表的,须经部门负责人和/或公司相关管理部门批准。未经批准,不得发
表。
第八十二条 员工无论以任何方式离职,在与公司结束劳动关系后,仍然对公司和相关方的
涉密信息、个人信息承担保密义务,直至该信息完全合法公开。
第八十三条 员工退休或劳动关系解除或劳动关系终止后 1 年以内做出的,与在公司承担的
本职工作或者公司分配的任务有关的发明创造,为职务发明创造。申请专利的权利、商业秘密的
权利等归属于公司。公司将根据合同约定及有关规定,对该离职员工支付奖励和报酬。
第二节 保密协议、竞业限制、脱密期
第八十四条 签署保密协议是公司对加入的公司员工及参与公司业务的服务人员的要求。公
司有权要求员工及服务人员在其入职(或提供服务时)、加入特定业务/特定项目、离职时(或终
止服务时)签署书面保密协议和相关保密承诺,员工及服务人员应及时履行签订义务。
公司有权根据国家法律、法规变化或公司业务发展需要,随时调整、修订保密协议和相关保
密承诺的内容,员工及服务人员有义务应公司要求签订公司调整、修订后最新版本的保密协议及
保密承诺。
第八十五条 员工保密协议是劳动合同的重要组成部分,保密协议一般有如下条款:
1、保密的范围与内容;
2、竞业限制;
3、禁止劝说;
- 15 -
4、违约及赔偿;
5、职务工作成果;
6、其它应当具备的条款。
第八十六条 签订保密协议后,员工及服务人员应履行下列义务:
1、严格遵守公司相关信息安全管理制度;
2、不得向他人泄露公司及相关方涉密信息、个人信息;
3、未经公司的书面同意,不得直接或间接使用涉密信息、个人信息在公司外进行经营活动;
4、遵守保密协议中约定的义务。
第八十七条 符合以下任一条件的员工,公司将要求其在离职后仍遵守竞业限制义务并支付
竞业限制补偿金:
1、接触涉密信息;
2、有机会、有意向独立从事与公司业务有关的竞争性业务或到与公司相竞争的第三方工
作,或利用自身掌握的公司涉密信息营利;
3、为公司岗位核心人员;
4、公司指定的其他涉密人员。
第八十八条 竞业限制是指员工在职期间或离开公司的一定时期内,不得到与公司生产\经营
同类产品、从事同类业务的具有竞争关系其他单位任职,或自己生产\经营公司同类产品、从事同
类业务。竞业限制应该包括以下内容:
1、竞业限制范围;
2、竞业限制的期限;
3、补偿金的数额及支付方式;
4、违约责任。
第八十九条 员工离职后的竞业限制期限最长不得超过二年。保密协议中没有约定期限的,
员工离职后的竞业限制期限为二年。
第九十条 竞业限制期间,相关员工对其在公司任职期间掌握的涉密信息、个人信息负有严
格的保密义务。
第九十一条 公司为离职后因受竞业限制条款约束而损失一定就业机会和利益的员工提供一
定数额的补偿金,补偿金数额由双方协商并在相关的保密协议或保密协议补充协议中载明,一般
每竞业限制一年,补偿金数额不超过该员工离职前12个月平均档案工资的四倍。保密协议中没有
约定的,按本条规定的标准执行。
第九十二条 竞业限制补偿金由公司按月支付,具体支付方式按保密协议约定的方式执行。
第九十三条 受竞业限制条款约束的员工因非正常离职、无法取得联系、失踪、本人拒绝领
取等原因未能领取竞业限制补偿金的,不影响竞业限制条款的有效性。
第九十四条 根据员工工作内容、工作岗位、项目要求等,公司可要求员工签订劳动合同变
- 16 -
更协议,履行脱密期义务,脱密期最长不超过 6 个月。脱密期内公司可对员工采取更换工作内
容、调整工作岗位、回国履行脱密期等脱密措施。
第九十五条 公司依法合并、分立时,保密协议、保密协议补充协议中公司的权利、义务由
变更后的主体承继。
第九十六条 离职承诺书、保密协议、保密协议补充协议等法律文件的签订与终止,由人力
资源部门存档备案。
第八章 奖惩
第九十七条 对于保护公司信息安全表现突出的员工,公司将给予表扬(通报表扬)、晋级、
晋职、物质奖励等奖励,具体包括:
1、发现他人刺探公司涉密信息,及时报告、处理,使公司避免重大损失的;
2、发现公司员工泄露或可能泄露公司及相关方涉密信息、个人信息,及时采取措施避免或
减轻损害后果的;
3、提出有关信息安全管理的合理化建议,被公司采纳的;
4、其它为保护公司信息安全做出贡献的。
第九十八条 员工违反本办法第七十条的规定,公司有权根据情节和危害程度采取如下处理
措施:
员工违反第七十条 2 款(4)、(6)-(9)及 3 款(1)-(9)、(12)-(19)、(21)、(26)、
(47)-(48)项规定的,立即与其解除劳动合同;
员工违反第七十条 2 款(1)-(3)、(5)及 3 款(10)-(11)、(20)、(22)-(25)、
(27)-(46)项规定的,没有给公司及相关方造成经济损失及不良影响的,给予部门内通报批评;
员工违反第七十条 2 款(1)-(3)、(5)及 3 款(10)-(11)、(20)、(22)-(25)、
(27)-(46)、(49)项规定的,给公司及相关方造成经济损失在 2000 元以下(包括 2000 元)
或给公司及相关方经营、名誉等造成影响的,给予公司内通报批评;
员工违反第七十条 2 款(1)-(3)、(5)及 3 款(10)-(11)、(20)、(22)-(25)、
(27)-(46)、(49)项规定的,给公司及相关方造成经济损失超过 2000 元或给公司及相关方
经营、名誉等造成重大影响的,立即与其解除劳动合同。
第九十九条 员工违反第十九条规定的,给予部门内通报批评。
第一百条 员工利用本办法第七十条 3 款(11)、(20)、(22)、(27)-(31)、(34)、
(36)-(37)项规定的行为为自己或他人谋取利益的,公司有权立即与其解除劳动合同。
第一百零一条 本办法第九十八条规定的给公司及相关方经营、名誉造成影响是指:公司或
相关方被口头投诉、警告的;公司项目、服务停滞但未超过 6 小时的;公司或相关方系统运行停
滞但未超过 2 小时的;公司或相关方被媒体负面报导的;与上述列举情形类似的情况。
- 17 -
第一百零二条 本办法第九十八条规定的给公司及相关方经营、名誉造成重大影响是指:公
司或相关方被书面投诉、函告的;公司业务合作终止的;公司项目、服务停滞 6 小时以上的;公
司或相关方系统运行停滞 2 小时以上的;公司或相关方被两家以上(包括转载)媒体负面报导的;
公司或相关方被提起索赔、仲裁或诉讼;公司或相关方被公安机关、政府部门调查的;公司被客户
审计或要求提供自审报告的;与上述列举情形类似的情况。
第一百零三条 员工违反本办法第七十条 3 款(49)项的规定,给予公司内通报批评;如导
致被劝诱者离职,公司有权立即与劝诱者解除劳动合同。
第一百零四条 对涉密信息、个人信息载体损坏、丢失负直接责任的员工,给予公司内通报
批评。
第一百零五条 出现信息安全事件,员工或部门相关负责人未按本办法规定报告的,给予公
司内通报批评。
第一百零六条 员工被部门内通报批评三次以上(包括三次)或被公司内通报批评二次以上
(包括二次),公司有权立即与其解除劳动合同。
第一百零七条 员工及离职人员违反本办法的规定,给公司及相关方造成经济损失的,应承
担赔偿责任。
第一百零八条 员工及离职人员违反本办法的规定,其行为已构成犯罪的,公司将移交司法
机关处理。
第一百零九条 离职人员违反应履行的竞业限制义务,应按保密协议的约定承担相应的违约
责任。
第一百一十条 员工违反本办法的规定,但公司处理措施在本章没有规定的,公司可根据员
工违反规定的情节及造成的后果,参照本章规定处理。如员工违反本办法的行为同时也违反了公
司其它规章制度,则从严、从重处理。
第一百一十一条 对于引发重大或严重信息安全事件的员工和部门,公司将依照本办法及相
关规定严肃处理,部门负责人作为部门信息安全管理第一责任人,承担部门信息安全工作最高责
任。对于发生重大或严重信息安全事件的员工、部门,公司将考虑取消其当年评优资格。
第一百一十二条 员工及离职人员违反本办法规定应承担的民事责任及刑事责任可参照附件
《员工风险行为与法律责任对照表》。
第九章 附则
第一百一十三条 本办法未尽事宜,由公司根据本办法另行规定。
第一百一十四条 本办法由公司法律部、人力资源部及信息安全管理中心负责解释。
第一百一十五条 本办法自公布之日起正式实施,2014 年 8 月 29 日发布的《东软信息安全
管理办法》自本办法正式实施之日起废。
- 18 -
员工风险行为&法律责任对照表
序号 员工的风险行为 行为
后果
内部
责任
民事
责任
刑事
责任
R1
制作、复制、查阅和传播颠覆国家政权、推翻社会主
义制度,或者分裂国家、破坏国家统一的信息
A6 B3
D1
A7 B3
D2
A8 B3
D4
制作、复制、发布、传播反对宪法所确定的基本原则
的信息;制作、复制、发布、传播损害国家荣誉和利
益的信息
A23 B3
制作、复制、查阅和传播民族仇恨、民族歧视,破坏
民族团结的信息
A4 B3 D4
A5 B3 D2
制作、复制、发布、传播散布谣言,扰乱社会秩序,
破坏社会稳定的信息
A23 B3
A24 B3 D4
A11 B3 D3
制作、复制、发布、传播包含法律、行政法规禁止的
其他内容的信息 A23 B3
R2
窃取国家秘密、情报 B3
D4
A4 B3
D3
泄露国家秘密、情报 A4 B3
D15
A5 B3
D3
窃取军事秘密、情报
B3
D16
A4 B3
D17
A5 B3
D18
泄露军事秘密、情报 A4 B3
D6
A5 B3
D17
R3 组织和利用会道门、邪教组织或者利用迷信破坏国家
法律、行政法规实施
B3
D11
A5 B3
D21
A26 B3 D22
R4
发布、传播色情、暴力信息 B3
A4 B3
D8
发布、传播虚假恐怖信息
B3
A21 B3
D19
A11 B3
D7
发布、传播侮辱、攻击他人的信息
A1 B1
A2 B2 C1 C2
C3 C4
A3 B3 C1 C2
C3 C4
A4 B3 C1 C2
C3 C4 D4
发布、传播不利于公司或相关方的虚假信息 A1 B1
- 19 -
序号 员工的风险行为 行为
后果
内部
责任
民事
责任
刑事
责任
A2 B2 C1 C2
C3 C4
A3 B3 C1 C2
C3 C4
A12 B3 C1 C2
C3 C4 D9
A16 B3 C1 C2
C3 C4
R5
非法侵入国家事务、国防建设、尖端科学技术领域的
计算机信息系统的 B3
D15
D20
非法获取计算机信息系统数据、非法控制计算机信息
系统
A4 B3 D10
D20
A5 B3 D11
D20
提供侵入、非法控制计算机信息系统程序、工具 A4 B3 D10
D20
R6 窃取或以其它非法方法获取个人信息
A4 B3 C3 D10
D20
A5 B3 C3 D11
D20
R7 出售或非法向他人提供个人信息、故意泄露个人信息
A4 B3 C3 D10
D20
A5 B3 C3 D11
D20
R8
利用信息网络实施下列行为之一,情节严重的:
(一)设立用于实施诈骗、传授犯罪方法、制作或者销
售违禁物品、管制物品等违法犯罪活动的网站、通讯
群组的
(二)发布有关制作或者销售毒品、枪支、淫秽物品等
违禁物品、管制物品或者其他违法犯罪信息的
(三)为实施诈骗等违法犯罪活动发布信息的
A4 B3 D10
D20
R9
明知他人利用信息网络实施犯罪,为其犯罪提供互联
网接入、服务器托管、网络存储、通讯传输等技术支
持,或者提供广告推广、支付结算等帮助,情节严重
的
A4 B3 D10
D20
R10
破坏计算机系统,对计算机信息系统功能进行删除、
修改、增加、干扰,造成计算机信息系统不能正常运
行;对计算机信息系统中存储、处理或者传输的数据
和应用程序进行删除、修改、增加的操作;在公司或
相关方系统中故意制作、传播病毒等破坏性程序,影
响计算机系统正常运行
A11 B3 C1 C2
C3
D6
D20
A22 B3 C1 C2
C3
D7
D20
- 20 -
序号 员工的风险行为 行为
后果
内部
责任
民事
责任
刑事
责任
R11 在公司或相关方系统内建立不安全的后门
A1 B1
A2 B2 C3
A3 B3 C3
A9 B3 C3 D6
A10 B3 C3 D7
A16 B3 C3
A17 B3 C3 D12
A18 B3 C3 D13
A19 B3 C3 D14
R12 故意泄露、盗用公司或相关方系统密码
B3 C3
A9 B3 C3 D6
A10 B3 C3 D7
A17 B3 C3 D12
A18 B3 C3 D13
A19 B3 C3 D14
R13 泄露公司或相关方的涉密资料、数据
A1 B1
A2 B2 C1 C3
A3 B3 C1 C3
A13 B3 C1 C3 D10
A14 B3 C1 C3 D11
A16 B3 C1 C3
R14 过失泄露公司或相关方系统密码
A1 B1
A2 B2 C3
A3 B3 C3
A13 B3 C3 D10
A14 B3 C3 D11
R15 过失泄露、篡改、毁损收集的个人信息
A1 B1
A2 B2 C3
A3 B3 C3
R16 未经被收集者同意,向他人提供个人信息(经过处理
无法识别特定个人且不能复原的除外)
A1 B1
A2 B2
A3 B3
A4 B3 D10
D20
A5 B3 D11
D20
R17 窃取或者以其他非法方式获取、非法出售或者非法向
他人提供个人信息
A4 B3 D20
D23
A5 B3 D11
D20
- 21 -
序号 员工的风险行为 行为
后果
内部
责任
民事
责任
刑事
责任
R18 未经公司授权擅自对外发布信息
A1 B1 C1
A2 B2 C1 C2
C3 C4
A3 B3 C1 C2
C3 C4
A12 B3 C1 C2
C3 C4 D9
A16 B3 C1 C2
C3 C4
R19 未经许可进入公司或相关方非授权区域
A1 B1
A2 B2 C3
A3 B3 C3
A16 B3 C3
A17 B3 C3 D12
A18 B3 C3 D13
A19 B3 C3 D14
R20 非经书面授权修改公司或相关方系统数据
A1 B1
A2 B2 C3
A3 B3 C3
A9 B3 C3 D6
A10 B3 C3 D7
A16 B3 C3
A17 B3 C3 D12
A18 B3 C3 D13
A19 B3 C3 D14
R21 未经公司许可私自处理公司或相关方业务
A1 B1
A2 B2 C3
A3 B3 C3
A9 B3 C3 D6
A10 B3 C3 D7
A16 B3 C3
A17 B3 C3 D12
A18 B3 C3 D13
A19 B3 C3 D14
R22 未经公司或相关方许可登录、启动、停止系统
A1 B1
A2 B2 C3
A3 B3 C3
A16 B3 C3
- 22 -
序号 员工的风险行为 行为
后果
内部
责任
民事
责任
刑事
责任
R23 未经公司及相关方共同书面确认的开发、维护行为
A1 B1
A2 B2 C3
A3 B3 C3
A9 B3 C3 D6
A10 B3 C3 D7
R24 未经公司测试私自进行系统版本更新、上线
A1 B1
A2 B2 C3
A3 B3 C3
A9 B3 C3 D6
A10 B3 C3 D7
R25 未经公司许可带走公司资产,未经相关方许可带走相
关方资产
A1 B1 C6
A2 B2 C6 C3
A3 B3 C6 C3
A16 B3 C6 C3
A17 B3 C6 C3 D12
A18 B3 C6 C3 D13
A19 B3 C6 C3 D14
R26 未经授权使用公司或相关方资源
A1 B1
A2 B2 C3
A3 B3 C3
A9 B3 C3 D6
A10 B3 C3 D7
R27 获取超出工作需要的密码权限
A1 B1
A2 B2 C3
A3 B3 C3
A16 B3 C3
A17 B3 C3 D12
A18 B3 C3 D13
A19 B3 C3 D14
R28 非工作目的使用、接触公司或相关方的涉密信息、个
人信息
A1 B1
A2 B2 C3
A3 B3 C3
A16 B3 C3
R29 未对相关方的信息、数据进行脱密处理直接使用
A1 B1
A2 B2 C3
A3 B3 C3
R30 未按公司或部门要求及时交还、销毁涉密信息、个人
信息
A1 B1 C6
A2 B2 C3 C6
A3 B3 C3 C6
- 23 -
序号 员工的风险行为 行为
后果
内部
责任
民事
责任
刑事
责任
R31 未及时删除或按要求处理接触到的与工作无关的涉密
信息、个人信息
A1 B1
A2 B2 C3
A3 B3 C3
R32 未经培训参与维护服务
A1 B1
A2 B2 C3
A3 B3 C3
R33 未正确使用第三方软件
A1 B1
A2 B2 C3
A3 B3 C3
R34 过度占用公司或相关方系统资源
A1 B1
A2 B2 C3
A3 B3 C3
R35 未遵守相关方信息安全的特殊要求
A1 B1
A2 B2 C3
A3 B3 C3
R36 私自安装、使用未经授权的第三方软件
A1 B1
A2 B2 C3
A3 B3 C3
R37 未经部门同意私自使用开源软件
A1 B1
A2 B2 C3
A3 B3 C3
R38 披露、使用或允许他人使用权利人的商业秘密
A27 B3 C1 C2
C3 C5 D10
A22 B3 C1 C2
C3 C5 D11
R39 直接或间接地参与公司业务存在直接或间接竞争的同
类/近似产品,生产、经营或从事同类/近似业务 B3 C1 C3
R40 直接或间接参与劝诱、劝说(或企图劝说)公司员工
加入与公司业务存在竞争的任何第三方
B2 C1
A20 B3 C3
R41 离职后登录公司或相关方系统
A15 C1 C3
A9 C1 C3 D6
A10 C1 C3 D7
A17 C1 C3 D12
A18 C1 C3 D13
A19 C1 C3 D14
R42 离职后带走、使用、泄露涉密信息、个人信息
A15 C3 C6
A4 C3 C6 D10
A13 C3 C6 D10
A14 C3 C6 D11
- 24 -
序号 员工的风险行为 行为
后果
内部
责任
民事
责任
刑事
责任
R43
对法律、行政法规禁止发布或传输的信息,未采取停
止传输、消除等处置措施,保存有关记录,并向有关
主管部门报告的
A1 B1
A2 B2
A3 B3
A4
A25 B3
R44
未履行安全管理义务,知道其用户有设置恶意程序,
未停止提供服务,采取消除等处置措施,保存有关记
录,并向有关主管部门报告的
A1 B1
A2 B2
A3 B3
A4
A25 B3
R45
不履行法律、行政法规规定的信息网络安全管理义务,
经监管部门责令采取改正措施而拒不改正,且出现下
列情形之一的:
(一)致使违法信息大量传播的
(二)致使用户信息泄露,造成严重后果的
(三)致使刑事案件证据灭失,情节严重的
(四)有其他严重情节的
B3 D12
D20
R46
对其产品、服务存在的安全缺陷、漏洞等风险,未立
即采取补救措施,或者未按照规定及时告知用户并向
有关主管部门报告的
A25 B3
R47 擅自终止为产品、服务提供安全维护的
A1 B1
A2 B2
A3 B3
A25 B3
R48 未要求用户提供真实身份信息,或者对不提供真实身
份信息的用户提供相关服务的
A4
A25 B3
R49 未采取技术措施和其他必要措施,确保其收集的个人
信息安全,防止信息泄露、毁损、丢失 A4 B3
R50
在发生或者可能发生个人信息泄露、毁损、丢失的情
况时,未立即采取补救措施,按照规定及时告知用户
并向有关主管部门报告
A4 B3
R51 违反个人信息和重要数据“本地部署及跨境传输评估”
规定 B3
行为后果、处理措施及法律责任标号索引
序号 风险行为后果
序号 内部责任
序号 民事责任
序号 刑事责任
A1 没有给公司及相关方造成经济损失及不良影
响的 B1
部门内通报批
评 C1 停止侵害
D1 无期徒刑或者十年以上有期徒刑
A2
给公司及相关方造成经济损失在 2000 元以
下或给公司及相关方经营、名誉等造成影响
的
B2
公司内通报批
评 C2 消除影响
D2 三年以上十年以下有期徒刑
B3 解除劳动合同
C3 赔偿损失
D3 三年以上七年以下有期徒刑
A3
给公司及相关方造成经济损失超过 2000 元
或给公司及相关方经营、名誉等造成重大影
响的
C4 恢复名誉
D4
三年以下有期徒刑、拘役、管制或者
剥夺政治权利
C5 赔礼道歉
A4 情节严重的
C6 返还财产
D5 七年以上有期徒刑
A5 情节特别严重的
D6 五年以下有期徒刑或者拘役
A6 首要分子或者罪行重大的
D7 五年以上有期徒刑
A7 积极参加的
D8 二年以下有期徒刑、拘役或管制
A8 其他参加的
D9 二年以下有期徒刑或者拘役,并处或
者单处罚金
A9
对计算机信息系统功能进行删除、修改、增
加、干扰,造成计算机信息系统不能正常运
行,后果严重的
D10 三年以下有期徒刑或者拘役,并处或
者单处罚金
A10
对计算机信息系统功能进行删除、修改、增
加、干扰,造成计算机信息系统不能正常运
行,后果特别严重的
D11 三年以上七年以下有期徒刑,并处罚
金
A11 后果严重的
D12 三年以下有期徒刑、拘役或者管制,
并处或者单处罚金
A12
捏造并散布虚伪事实,损害他人的商业信誉、
商品声誉,给他人造成重大损失或者有其他
严重情节的
D13 三年以上十年以下有期徒刑,并处罚
金
A13 给商业秘密的权利人造成重大损失的 D14
十年以上有期徒刑或者无期徒刑,并
处罚金或者没收财产 A14 给商业秘密的权利人造成特别严重后果的
A15 给公司及相关方造成经济损失的
D15 三年以下有期徒刑或者拘役
A16 为自己或他人牟取利益的
D16 五年以下有期徒刑
A17 盗窃公私财物,数额较大(1000 元至 3000
元以上)或者多次盗窃的 D17 五年以上十年以下有期徒刑
A18 盗窃公私财物,数额巨大(3 万元至 10 万元
以上)或者有其他严重情节的 D18 十年以上有期徒刑
A19 盗窃公私财物,数额特别巨大(30 万元至
50 万元以上)或者有其他特别严重情节的 D19 五年以下有期徒刑、拘役或者管制
A20 导致被劝诱者离职
D20 对单位判处罚金,并对其直接负责的
主管人员和其他直接负责人处罚
A21 严重扰乱社会秩序的
D21 七年以上有期徒刑或无期徒刑,并处
罚款或者没收财产
- 26 -
A22 后果特别严重的
D22 三年以下有期徒刑、拘役、管制或剥
夺政治权利,并处或单处罚金
A23 尚不构成犯罪的
A24 构成犯罪的
A25 拒不改正或导致危害网络安全等后果的
A26 情节较轻的
A27 造成重大损失的
