企業(yè)內(nèi)部控制——電子資料處理循環(huán)

1、內(nèi)部控制制度電子資料處理循環(huán)文件管制等級(jí)：管制文件非管制文件文件履歷紀(jì)要頁(yè)文件發(fā)行單位文件管制等級(jí)管理代表管制文件非管制文件文件履歷紀(jì)錄版次修訂內(nèi)容核準(zhǔn)權(quán)責(zé)編撰日期0第1版（新發(fā)行）1. 總則1.1. 制定目的為促使本公司內(nèi)部控制（Internal Control）之電子資料處理循環(huán)（Electronic Data）程序，能有所遵循，特訂定本文件，俾利各相關(guān)單位遵循。1.2. 適用範(fàn)圍凡本公司有關(guān)內(nèi)部控制之電子資料處理循環(huán)作業(yè)程序與控制重點(diǎn)，悉依照本文件之規(guī)範(fàn)辦理。1.3. 權(quán)責(zé)單位資訊單位為本文件之權(quán)責(zé)單位，權(quán)責(zé)單位主管經(jīng)承認(rèn)單位授權(quán)，負(fù)責(zé)本文件之管制，並確保依據(jù)本文件之規(guī)範(fàn)作業(yè)。2. 電子

2、資料處理循環(huán)2.1. 循環(huán)圖【見(jiàn)】（資料1）電子資料處理循環(huán)圖。2.2. 循環(huán)作業(yè)本循環(huán)之各項(xiàng)作業(yè)：1) 組織及職責(zé)作業(yè)（CE101），另訂之。2) 系統(tǒng)開(kāi)發(fā)及修廢作業(yè)（CE102），另訂之。3) 系統(tǒng)應(yīng)用文書(shū)管理作業(yè)（CE103），另訂之。4) 系統(tǒng)使用管理作業(yè)（CE104），另訂之。5) 資料輸出入管理作業(yè)（CE105），另訂之。6) 資料處理作業(yè)（CE106），另訂之。7) 檔案及設(shè)備之安全作業(yè)（CE107），另訂之。8) 軟硬體設(shè)備管理作業(yè)（CE108），另訂之。9) 系統(tǒng)復(fù)原及測(cè)試作業(yè)（CE109），另訂之。10) 電腦機(jī)房管理作業(yè)（CE110），另訂之。11) 網(wǎng)路系統(tǒng)管理作業(yè)（C

3、E111），另訂之。12) 其他相關(guān)庶務(wù)管理作業(yè)（CE112），另訂之。3. 附則3.1. 制修廢與頒布實(shí)施本文件屬於管理文件，經(jīng)經(jīng)營(yíng)會(huì)審議後，呈請(qǐng)董事長(zhǎng)核準(zhǔn)承認(rèn)後，交由權(quán)責(zé)單位頒布公告實(shí)施；修訂或廢止時(shí)亦同。3.2. 編號(hào)、版本、日期、頁(yè)次頁(yè)數(shù)本文件之項(xiàng)類(lèi)、標(biāo)題、編號(hào)、版本、實(shí)施日期、公司名稱、文件頁(yè)次頁(yè)數(shù)等項(xiàng)，見(jiàn)本文件之頁(yè)首與頁(yè)尾。3.3. 附件3.3.1. 相關(guān)資料（資料1）電子資料處理循環(huán)圖（資料1）電子資料處理循環(huán)圖其他相關(guān)循環(huán)CE101-組織及職責(zé)|CE102|CE107系統(tǒng)開(kāi)發(fā)及修廢-檔案及設(shè)備之安全|CE103|CE108系統(tǒng)應(yīng)用文書(shū)管理-軟硬體設(shè)備管理|CE104|CE109

4、系統(tǒng)使用管理-系統(tǒng)復(fù)原及測(cè)試|CE105|CE110資料輸出入管理-電腦機(jī)房管理|CE106|CE111資料處理-網(wǎng)路系統(tǒng)管理|CE112其他相關(guān)庶務(wù)管理第1節(jié) 作業(yè)程序1. 設(shè)立目的為因應(yīng)公司長(zhǎng)期發(fā)展之需要，指導(dǎo)公司電腦化，並規(guī)劃企業(yè)管理與資訊應(yīng)用相結(jié)合之管理資訊系統(tǒng)，以期提供即時(shí)正確之資訊，協(xié)助決策單位提昇管理績(jī)效。確定公司之軟、硬體規(guī)劃標(biāo)準(zhǔn)政策，以保公司之長(zhǎng)期發(fā)展及電子資料處理之一致性。資訊單位除依使用單位提出之需求作應(yīng)用系統(tǒng)開(kāi)發(fā)維護(hù)操作外，應(yīng)規(guī)劃評(píng)估新的電腦技術(shù)和應(yīng)用，以提昇資訊系統(tǒng)之效率。2. 組織及職責(zé)本公司資訊單位設(shè)主管、程式設(shè)計(jì)師與系統(tǒng)管理師等。1) 主管(A) 依公司政策，研

5、擬短、中、長(zhǎng)期電腦化作業(yè)之整體規(guī)劃與整合。(B) 資訊業(yè)務(wù)之規(guī)劃、執(zhí)行、協(xié)調(diào)、督導(dǎo)及審核。(C) 資訊處理作業(yè)及控制辦法之?dāng)M訂。(D) 所屬人員之管理，訓(xùn)練及考核。(E) 與其他單位之業(yè)務(wù)協(xié)調(diào)與溝通。(F) 系統(tǒng)文件、手冊(cè)製作規(guī)劃。(G) 新系統(tǒng)之評(píng)估、規(guī)劃、分析、設(shè)計(jì)。(H) 資訊單位之預(yù)算編列和執(zhí)行控制。 (I) 電腦應(yīng)用系統(tǒng)密碼設(shè)定維護(hù)。(J) 其他上級(jí)交辦事項(xiàng)。 2) 程式設(shè)計(jì)師(A) 電腦資訊系統(tǒng)規(guī)劃、分析、與設(shè)計(jì)。(B) 應(yīng)用系統(tǒng)程式之開(kāi)發(fā)、管理和維護(hù)。(C) 系統(tǒng)文件，操作手冊(cè)之編製，維護(hù)和管理。(D) 使用單位之問(wèn)題排除及軟硬體技術(shù)支援。(E) 內(nèi)部新進(jìn)人員電腦教育訓(xùn)練。(F)

6、 其他上級(jí)交辦事項(xiàng)。3) 系統(tǒng)管理師(A) 電腦安全控制與管理。(B) 相關(guān)作業(yè)系統(tǒng)、應(yīng)用系統(tǒng)、資料檔案及資料庫(kù)之管理及維護(hù)。(C) 資料檔案與系統(tǒng)程式備份。(D) 硬體設(shè)備之維護(hù)。(E) 機(jī)房電腦及相關(guān)週邊之安全與清潔。(F) 使用單位之問(wèn)題排除及軟硬體技術(shù)支援。(G) 資訊單位相關(guān)資源之維護(hù)管理。(H) 其他上級(jí)交辦事項(xiàng)。4) 各單位電腦使用人員(A) 各單位使用電腦系統(tǒng)之人員，負(fù)責(zé)審查輸入資料之憑證是否合於規(guī)定，並負(fù)責(zé)檢查填寫(xiě)，登錄有無(wú)錯(cuò)誤。(B) 各單位使用電腦系統(tǒng)之人員，必需經(jīng)由權(quán)責(zé)單位主管授權(quán)後，始可執(zhí)行應(yīng)用系統(tǒng)之日常交易資料輸入與更正。(C) 嚴(yán)禁員工使用非法或未經(jīng)授權(quán)的應(yīng)用軟體

7、。第2節(jié) 控制要點(diǎn)1) 資訊單位之人員，是否依職責(zé)完成各項(xiàng)工作。2) 對(duì)已提出辭呈之資訊單位人員，是否避免允許其離職前接近敏感程式或檔案。3) 員工離職時(shí)，該人員以前經(jīng)手的一切文件、磁帶、磁碟及磁片等，是否盤(pán)點(diǎn)清楚並完作移交手續(xù)；員工離職後，該員曾接觸之密碼是否做適當(dāng)?shù)恼{(diào)整。第1節(jié) 作業(yè)程序1. 系統(tǒng)開(kāi)發(fā)1) 使用單位對(duì)於現(xiàn)行系統(tǒng)功能需要變更或重新開(kāi)發(fā)系統(tǒng)，應(yīng)提出系統(tǒng)開(kāi)發(fā)修改廢止申請(qǐng)單，並將需求內(nèi)容及要點(diǎn)詳列於申請(qǐng)單中，經(jīng)該單位直屬主管提出需求申請(qǐng)，逕交資訊單位處理。2) 資訊單位收到申請(qǐng)單後，由單位主管指派資訊工程師處理。3) 系統(tǒng)分析及設(shè)計(jì)資訊人員進(jìn)行系統(tǒng)功能之確認(rèn)，並劃分子系統(tǒng)且描述子系

8、統(tǒng)之輸出入規(guī)格及作業(yè)流程；若該系統(tǒng)開(kāi)發(fā)後將會(huì)影響到其他單位之作業(yè)時(shí)，資訊單位主管或資訊工程師須與相關(guān)單位主管討論會(huì)簽後，再由資訊單位主管決定自行開(kāi)發(fā)、外包或購(gòu)買(mǎi)合法軟體。4) 程式開(kāi)發(fā)完成後，應(yīng)會(huì)同相單位依照各項(xiàng)需求功能進(jìn)行測(cè)試，若無(wú)問(wèn)題則相關(guān)單位應(yīng)於系統(tǒng)開(kāi)發(fā)修改廢止申請(qǐng)單上簽認(rèn)，並執(zhí)行次一階段作業(yè)。2. 系統(tǒng)修改1) 使用單位對(duì)於現(xiàn)行系統(tǒng)功能需要變更或重新開(kāi)發(fā)系統(tǒng)，應(yīng)提出系統(tǒng)開(kāi)發(fā)修改廢止申請(qǐng)單，並將需求內(nèi)容及作要點(diǎn)詳列於申請(qǐng)單中，經(jīng)該單位直屬主管提出需求申請(qǐng)，逕交資訊單位處理。2) 資訊單位收到申請(qǐng)單後，由單位主管指派資訊工程師處理。3) 資訊工程師依據(jù)修改內(nèi)容及作業(yè)要點(diǎn)進(jìn)行可行性分析，若須

9、修改的內(nèi)容有影響至其他單位之作業(yè)時(shí)，資訊單位主管或資訊工程師須與相關(guān)單位管討論會(huì)簽後，再由單位主管決定自行修改、外包或購(gòu)買(mǎi)。4) 系統(tǒng)修改完成後，得會(huì)同相關(guān)單位依照各項(xiàng)需求功能進(jìn)行測(cè)試，若無(wú)問(wèn)題則請(qǐng)相關(guān)單位主管於原系統(tǒng)開(kāi)發(fā)修改廢止申請(qǐng)單上簽名，並進(jìn)行應(yīng)用軟體更新作業(yè)。3. 系統(tǒng)廢止1) 當(dāng)資訊單位或使用單位發(fā)現(xiàn)系統(tǒng)已不合時(shí)宜欲終止時(shí)，應(yīng)填具系統(tǒng)開(kāi)發(fā)修改廢止申請(qǐng)單，並將其原因詳列於申請(qǐng)單中，經(jīng)各單位主管簽核後，交由資訊單位處理。2) 資訊單位收到申請(qǐng)單後，由單位主管指派資訊工程師處理。3) 資訊工程師依據(jù)系統(tǒng)內(nèi)容及作業(yè)要點(diǎn)進(jìn)行分析，若該系統(tǒng)牽涉到其他單位時(shí)，資訊單位主管或資訊工程師須與相關(guān)單位主

10、管討論並會(huì)簽意見(jiàn)。4. 資料備份系統(tǒng)開(kāi)發(fā)修改完成後，須將原始程式及檔案?jìng)浞葜链艓Щ虼牌葌浞菝襟w上，並將備份的內(nèi)容及備份媒體的編號(hào)，記錄在原始程式及相關(guān)檔案?jìng)浞菁o(jì)錄表內(nèi)。5. 作業(yè)期限資訊單位依大、小型系統(tǒng)分別訂工期，並依工期進(jìn)行程式之新增及修改，若有多項(xiàng)需求同時(shí)申請(qǐng)時(shí)，資訊單位得依其重要性適時(shí)調(diào)整其工期，並記錄在系統(tǒng)開(kāi)發(fā)修改廢止進(jìn)度管制表內(nèi)。6. 其他1) 未經(jīng)許可，所有軟體嚴(yán)禁拷貝。2) 系統(tǒng)外包廠商開(kāi)發(fā)、修改及維護(hù)時(shí)，其所訂合約應(yīng)妥善保管。軟體版本如有更新時(shí)，應(yīng)將舊版刪除或加以管理，並將處理情形做成記錄備查。3) 系統(tǒng)上線前均應(yīng)逐一測(cè)試。4) 系統(tǒng)測(cè)試時(shí)，非經(jīng)許可不可用線上實(shí)際之資料，須

11、在測(cè)試區(qū)進(jìn)行測(cè)試，待測(cè)試完成後，再正式開(kāi)放給使用者使用。系統(tǒng)測(cè)試完成上線時(shí)，應(yīng)知會(huì)主要使用單位。5) 系統(tǒng)開(kāi)發(fā)時(shí)，須撰寫(xiě)相關(guān)資料檔案及文件，並留存?zhèn)洳椤?) 系統(tǒng)修改時(shí)，須將相關(guān)文件一併隨之修改，並留存?zhèn)洳椤?) 資訊單位須製作操作手冊(cè)，並隨程式之修改更新之，並留存?zhèn)洳?，且由資訊單位教導(dǎo)使用者如何使用新系統(tǒng)。第2節(jié) 控制重點(diǎn)1) 應(yīng)用系統(tǒng)開(kāi)發(fā)、修改、廢止，是否依規(guī)定進(jìn)行申請(qǐng)、驗(yàn)收及廢止程序。2) 原始程式及相關(guān)檔案是否依規(guī)定進(jìn)行備份，並完成紀(jì)錄。3) 應(yīng)用系統(tǒng)開(kāi)發(fā)、修改是否依時(shí)限完成。4) 應(yīng)用系統(tǒng)開(kāi)發(fā)、修改、廢止等之相關(guān)合約、檔案及文件有無(wú)妥善保管。5) 外購(gòu)軟體是否合法。第3節(jié) 相關(guān)資料系

12、統(tǒng)開(kāi)發(fā)修改廢止申請(qǐng)單、原始程式及相關(guān)檔案?jìng)浞菁o(jì)錄表、系統(tǒng)開(kāi)發(fā)修改廢止進(jìn)度管制表等。第1節(jié) 作業(yè)程序1) 資訊單位自行開(kāi)發(fā)之系統(tǒng)，應(yīng)具備系統(tǒng)應(yīng)用說(shuō)明書(shū)，其內(nèi)容應(yīng)依下列大綱敘述：(A) 系統(tǒng)功能介紹。(B) 檔案說(shuō)明。(C) 事務(wù)作業(yè)流程圖。(D) 系統(tǒng)模組架構(gòu)表。(E) 程式名稱一覽表。(F) 操作說(shuō)明。2) 資訊單位所有文書(shū)或檔案，應(yīng)指派專人保管存檔。3) 系統(tǒng)或程式變更時(shí)，相關(guān)文書(shū)或手冊(cè)應(yīng)隨即更新抽換。4) 所有系統(tǒng)文書(shū)之保管人於離職前，應(yīng)依人事管理相關(guān)規(guī)定作業(yè)，並於完成離職手續(xù)後方可離職。第2節(jié) 控制重點(diǎn)1) 系統(tǒng)應(yīng)用文書(shū)之編製應(yīng)按照既定之標(biāo)準(zhǔn)。2) 確保所有系統(tǒng)說(shuō)明文件均已按照既定之標(biāo)準(zhǔn)

13、編製，足以供系統(tǒng)設(shè)計(jì)人員維護(hù)現(xiàn)有系統(tǒng)。第3節(jié) 相關(guān)資料系統(tǒng)應(yīng)用說(shuō)明書(shū)等。第1節(jié) 作業(yè)程序1. 系統(tǒng)使用控制1) 所有新電腦系統(tǒng)使用者，須依其工作職掌以系統(tǒng)使用需求申請(qǐng)變更表向資訊單位提出建置電腦系統(tǒng)識(shí)別碼之申請(qǐng)，該項(xiàng)申請(qǐng)須經(jīng)權(quán)責(zé)單位主管核準(zhǔn)為之。2) 電腦系統(tǒng)使用者如有職務(wù)調(diào)動(dòng)或離職，該項(xiàng)人事異動(dòng)應(yīng)知會(huì)資訊單位取消或更改其電腦系統(tǒng)使用識(shí)別碼。3) 個(gè)人之電腦系統(tǒng)使用識(shí)別碼及密碼不得告知或提供他人使用，密碼如有外洩，應(yīng)即更換其密碼。4) 個(gè)人之電腦使用者註冊(cè)檔，應(yīng)不定期由專人複核以確保使用者確實(shí)存在，且無(wú)不當(dāng)?shù)氖褂们樾巍?) 個(gè)人之電腦系統(tǒng)識(shí)別碼及密碼，應(yīng)存在經(jīng)特別保護(hù)之檔案，以防止未經(jīng)授權(quán)之存

14、取發(fā)生，且識(shí)別碼及密碼之建置應(yīng)有適當(dāng)控制，以避免遭不當(dāng)引用而損及公司的重要檔案。2. 程式的存取原始程式檔案應(yīng)作權(quán)限管制，以防止系統(tǒng)或程式設(shè)計(jì)人員或使用者不當(dāng)?shù)馗略汲淌綑n案，而對(duì)公司資源造成損害。3. 資料的存在1) 如緊急資料主檔有變更需求時(shí)，應(yīng)由使用單位主管核準(zhǔn)後，以系統(tǒng)開(kāi)發(fā)修改廢止申請(qǐng)單向資訊單位提出申請(qǐng)。2) 目前正在上線正常運(yùn)作中之資料，需經(jīng)資訊單位主管的認(rèn)可，才能編修與校正。第2節(jié) 控制重點(diǎn)1) 應(yīng)有適當(dāng)措施以預(yù)防公司機(jī)密或重要資料，遭未經(jīng)授權(quán)之揭露及蓄意或非故意的取用。2) 應(yīng)能保護(hù)公司重要資料不遭蓄意或非故意更改或毀損，並及時(shí)偵測(cè)公司重要資料遭不當(dāng)?shù)慕衣痘蛉∮?。?節(jié) 相關(guān)

15、資料系統(tǒng)使用需求申請(qǐng)變更表、系統(tǒng)開(kāi)發(fā)修改廢止申請(qǐng)單等。第1節(jié) 作業(yè)程序1. 輸入控制1) 對(duì)於所有賴以輸入電腦之憑證輸入，電腦要會(huì)產(chǎn)生唯一性之編號(hào)，並做對(duì)此筆資料的唯一識(shí)別。2) 資料處理時(shí)，可能發(fā)生之故障與疏忽或原始資料之錯(cuò)誤而使主檔資料受損者，均應(yīng)在程式中詳為防範(fàn)與補(bǔ)救。3) 輸入之資料能由程式執(zhí)行資料校核者，應(yīng)釐訂檢查與控制方法，納入程式設(shè)計(jì)範(fàn)圍之內(nèi)，才能發(fā)現(xiàn)問(wèn)題避免錯(cuò)誤。4) 錯(cuò)誤資料及資料輸入錯(cuò)誤之更正，須填具資料庫(kù)修改申請(qǐng)單經(jīng)適當(dāng)程序，並經(jīng)權(quán)責(zé)主管核準(zhǔn)；錯(cuò)誤資料更正後，應(yīng)能確定資料已經(jīng)更正無(wú)誤，並回覆資料庫(kù)修改申請(qǐng)單後留下紀(jì)錄，送交權(quán)責(zé)主管覆核。2. 輸出控制1) 各操作人員之報(bào)表

16、列印權(quán)限，經(jīng)由相關(guān)單位主管會(huì)同資訊單位主管核定，始能執(zhí)行列印作業(yè)。2) 凡屬非定期，重要性及特殊需求之報(bào)表，應(yīng)由需求單位填寫(xiě)資料需求申請(qǐng)單，並經(jīng)權(quán)責(zé)主管核準(zhǔn)後，送請(qǐng)資訊單位或相關(guān)單位專人執(zhí)行。3) 輸出資料使用後若無(wú)保存需要，應(yīng)經(jīng)適當(dāng)毀棄處理。4) 輸出資料若發(fā)現(xiàn)錯(cuò)誤，應(yīng)及時(shí)通知資訊單位人員做必要更正，並重新執(zhí)行資料處理作業(yè)。第2節(jié) 控制重點(diǎn)1) 確保輸入電腦之資料有適當(dāng)?shù)膽{證及授權(quán)。2) 於電腦系統(tǒng)中設(shè)定輸入檢核之功能以確保輸入程序之正確性及完整性。3) 確保各種資料之機(jī)密及資訊輸出能滿足使用者之需求。第3節(jié) 相關(guān)資料資料庫(kù)修改申請(qǐng)單、資料需求申請(qǐng)單等。第1節(jié) 作業(yè)程序1) 各項(xiàng)電腦系統(tǒng)操作

17、程序皆需依操作手冊(cè)實(shí)施。2) 各電腦系統(tǒng)維護(hù)由專人維護(hù)。3) 電腦操作或維護(hù)時(shí)，所發(fā)生之重要問(wèn)題事件，應(yīng)記載於電腦維護(hù)日誌上。4) 資料處理執(zhí)行時(shí)，應(yīng)做一般檢核控制，以避免人為錯(cuò)誤。5) 資料處理過(guò)程中，因錯(cuò)誤或不可抗拒之因素，導(dǎo)致需重新處理時(shí)，應(yīng)即時(shí)復(fù)原，以確保資料處理之正確性。第2節(jié) 控制重點(diǎn)1) 電腦系統(tǒng)操作程序是否依操作手冊(cè)實(shí)施。2) 確保系統(tǒng)正常運(yùn)作，防止操作錯(cuò)誤並確保資料處理的可靠性、正確性、及時(shí)性。第3節(jié) 相關(guān)資料電腦維護(hù)日誌等。第1節(jié) 作業(yè)程序1. 檔案管理硬碟內(nèi)之系統(tǒng)目錄檔案應(yīng)定期整理，並將不需之檔案或目錄由專人負(fù)責(zé)施以消除或重整作業(yè)，以節(jié)省磁碟機(jī)使用空間並增加系統(tǒng)運(yùn)作效能。

18、2. 備份製作1) 根據(jù)各使用檔案資料之重要性，製作資料備份或復(fù)原回存。2) 系統(tǒng)應(yīng)每日備份，並實(shí)施月備份。3) 於資料備份日誌表上，詳細(xì)記錄備份資料之操作日期、起迄時(shí)間、資料內(nèi)容、磁帶編號(hào)。4) 資訊單位主管，應(yīng)定期檢視備份製作之完整性。3. 媒體保存及管理1) 更新後及所有日常備份完成之媒體，應(yīng)分別存放於隔不同樓層的防潮箱中。2) 所有媒體之存放地點(diǎn)皆應(yīng)有防火、防潮、防水及防塵裝置、滅火設(shè)備，並定期實(shí)施檢測(cè)以確保儲(chǔ)存之安全性。第2節(jié) 控制重點(diǎn)1. 機(jī)房環(huán)境控制1) 電腦機(jī)房應(yīng)有適當(dāng)?shù)南涝O(shè)備據(jù)以保護(hù)各項(xiàng)設(shè)備。2) 機(jī)房應(yīng)保持適當(dāng)之溫度及濕度，設(shè)有獨(dú)立之空調(diào)設(shè)備，並設(shè)置溫溼度計(jì)，以隨時(shí)監(jiān)控機(jī)

19、房環(huán)境。2. 設(shè)備實(shí)體安全管理1) 機(jī)房?jī)?nèi)應(yīng)設(shè)置電力設(shè)備，如穩(wěn)壓器、不斷電設(shè)備等，以確保電路穩(wěn)定及供作緊急處理用。2) 機(jī)房應(yīng)隨時(shí)記錄機(jī)器運(yùn)轉(zhuǎn)狀況，對(duì)機(jī)器停止原因、維修次數(shù)、更換零件等，均應(yīng)詳細(xì)記錄以利追蹤。3) 網(wǎng)路工作站及單機(jī)式或可攜帶式電腦等，皆應(yīng)有病毒偵測(cè)軟體之程式，以避免檔案遭受損害。4) 定期對(duì)機(jī)房之各項(xiàng)安全控制設(shè)施實(shí)行檢測(cè)並記錄測(cè)試結(jié)果，由資訊單位主管定期覆核。5) 電腦機(jī)房及其他敏感地區(qū)（如檔案、磁帶磁碟儲(chǔ)存區(qū)及通訊設(shè)備區(qū)等）嚴(yán)禁閒人進(jìn)入，非資訊單位主管允許絕不能攜出或帶入不相關(guān)東西。6) 有關(guān)硬體設(shè)備都列入資產(chǎn)管理，並編列維護(hù)費(fèi)用以確保機(jī)器正常運(yùn)轉(zhuǎn)。第3節(jié) 相關(guān)資料資料備份日

20、誌表等。第1節(jié) 作業(yè)程序1. 硬體1) 由各需求單位提出，經(jīng)該單位主管核準(zhǔn)，並經(jīng)資訊單位主管會(huì)簽，呈董事長(zhǎng)核準(zhǔn)後始可採(cǎi)購(gòu)。2) 硬體的安裝、維護(hù)、由資訊單位負(fù)責(zé)。3) 硬體的保管，由各保管人自行負(fù)責(zé)。4) 硬體發(fā)生故障時(shí)，須將故障處理情形記錄於故障維修紀(jì)錄表內(nèi)並備查。2. 軟體1) 系統(tǒng)軟體之請(qǐng)購(gòu)需求，由需求單位填寫(xiě)軟體需求單後交資訊單位，由資訊單位評(píng)估購(gòu)買(mǎi)。2) 軟體的安裝、維護(hù)，由資訊單位負(fù)責(zé)。3) 使用者所建立的資料，由各使用者自行備份。4) 軟體發(fā)生問(wèn)題時(shí)，須將問(wèn)題處理情形記錄於故障維修紀(jì)錄表內(nèi)並備查。3. 防毒軟體1) 為避免PC硬碟中之檔案，因感染病毒而造成系統(tǒng)或資料損毀，於PC上

21、均須安裝防毒軟體；防毒軟體的安裝、設(shè)定、維護(hù)及檔案等資料均應(yīng)妥善保存。4. PC移轉(zhuǎn)作業(yè)1) PC進(jìn)行移轉(zhuǎn)作業(yè)時(shí)，應(yīng)依相關(guān)資產(chǎn)管理規(guī)定為之，若屬單位內(nèi)移轉(zhuǎn)，則由單位主管自行決定硬碟資料是否保留；若屬跨單位移轉(zhuǎn)，則為防止機(jī)密資料外洩，一律重新安裝硬碟。第2節(jié) 控制重點(diǎn)1) 軟硬體相關(guān)設(shè)備，是否依相關(guān)資產(chǎn)管理規(guī)定確實(shí)保管好。2) 各項(xiàng)設(shè)備裝置故障時(shí)，是否做成記錄，並述明現(xiàn)象、發(fā)生原因及採(cǎi)取措施等。3) 防毒軟體是否確實(shí)安裝及正常運(yùn)作。4) PC跨單位移轉(zhuǎn)時(shí)，是否完成硬碟重新安裝作業(yè)。5) 硬體送修，是否依相關(guān)規(guī)定為之。第3節(jié) 相關(guān)資料故障維修紀(jì)錄表、軟體需求單等。第1節(jié) 作業(yè)程序1) 盡速切斷災(zāi)變

22、來(lái)源，以減少電腦設(shè)備損失。2) 盡速恢復(fù)可用設(shè)備之運(yùn)轉(zhuǎn)。3) 調(diào)用及運(yùn)用備份設(shè)備或資料進(jìn)行災(zāi)變回復(fù)。4) 速通知使用單位進(jìn)行時(shí)差性資料之補(bǔ)建工作。5) 如遇重大災(zāi)變致影響業(yè)務(wù)活動(dòng)時(shí)，應(yīng)就系統(tǒng)之重要性逐一復(fù)原並予以測(cè)試。6) 資訊單位應(yīng)適當(dāng)模擬災(zāi)變情況之復(fù)原對(duì)策、計(jì)劃，並每半年需予執(zhí)行演練一次，以確保災(zāi)害復(fù)原之正確性。第2節(jié) 控制重點(diǎn)1) 為避免災(zāi)變發(fā)生，需隨時(shí)注意可能造成災(zāi)變因素之環(huán)境。2) 資料備份系統(tǒng)檔案應(yīng)放置安全環(huán)境下，以因應(yīng)突發(fā)狀況。3) 系統(tǒng)復(fù)原應(yīng)經(jīng)適當(dāng)測(cè)試，以確保復(fù)原。第1節(jié) 作業(yè)程序1) 機(jī)房?jī)?nèi)禁止吸菸、進(jìn)用食物及飲料。2) 機(jī)房?jī)?nèi)不得有易燃物或散置垃圾及私人物品，以保持清潔。3

23、) 非資訊單位人員不得任意進(jìn)入機(jī)房。4) 機(jī)房大門(mén)平時(shí)須上鎖。5) 機(jī)房中所有機(jī)器設(shè)備均應(yīng)由資訊單位人員或由資訊單位人員陪同下，依規(guī)定啟動(dòng)及操作。6) 空調(diào)系統(tǒng)管理、電力系統(tǒng)管理(A) 溫度範(fàn)圍：1525。(B) 溼度範(fàn)圍：4060。(C) 以UPS確保電力供應(yīng)之穩(wěn)定。(D) 保養(yǎng)、維修，依相關(guān)保養(yǎng)維修規(guī)定作業(yè)之。第2節(jié) 控制重點(diǎn)1) 電腦機(jī)房是否依規(guī)定進(jìn)行管制。2) 空調(diào)系統(tǒng)是否定期檢查及保養(yǎng)。3) 電力系統(tǒng)是否定期檢查及保養(yǎng)。第1節(jié) 作業(yè)程序1. 網(wǎng)路及其週邊設(shè)備管理1) 網(wǎng)路設(shè)備（例如：電腦主機(jī)、伺服器、Router、Switch、Hub等）應(yīng)安裝穩(wěn)壓及不斷電電力系統(tǒng)裝置（UPS），以避

24、免電壓不穩(wěn)及不預(yù)期之?dāng)嚯姇r(shí)，造成資料之流失。2) 須建立網(wǎng)路系統(tǒng)配置圖、網(wǎng)路設(shè)備配置圖及網(wǎng)路使用者端配置圖並隨時(shí)更新，以供維護(hù)人員查閱，並定期對(duì)於各線路檢測(cè)，以保持網(wǎng)路之暢通。3) 啟動(dòng)設(shè)備時(shí)應(yīng)注意運(yùn)轉(zhuǎn)是否正常。4) 網(wǎng)路設(shè)備須依網(wǎng)路設(shè)備檢查項(xiàng)目及程序，每月定期檢查並填立網(wǎng)路設(shè)備檢查紀(jì)錄表，以預(yù)防問(wèn)題之發(fā)生。5) 網(wǎng)路設(shè)備如發(fā)生故障時(shí)，應(yīng)將其處理情況記錄於故障維修紀(jì)錄表內(nèi)，以供查閱。2. 作業(yè)系統(tǒng)及應(yīng)用軟體之建立及維護(hù)1) 作業(yè)系統(tǒng)及應(yīng)用軟體之建立由資訊單位負(fù)責(zé)，必要時(shí)可由專業(yè)廠商協(xié)助。2) 作業(yè)系統(tǒng)或應(yīng)用軟體建立時(shí)之相關(guān)文件及檔案須妥善保管，並建立網(wǎng)路作業(yè)系統(tǒng)應(yīng)用軟體維護(hù)紀(jì)錄表。3) 作業(yè)系

25、統(tǒng)及應(yīng)用軟體更新前，須經(jīng)資訊單位主管同意後進(jìn)行更新，並將更新之內(nèi)容記錄於網(wǎng)路作業(yè)系統(tǒng)應(yīng)用軟體維護(hù)紀(jì)錄表內(nèi)。4) 作業(yè)系統(tǒng)或應(yīng)用軟體因故停止使用前，須經(jīng)資訊單位主管同意後進(jìn)行處理，並將處理結(jié)果記錄於網(wǎng)路作業(yè)系統(tǒng)應(yīng)用軟體維護(hù)紀(jì)錄表內(nèi)備查。3. 使用者權(quán)限管理1) 有網(wǎng)路作業(yè)需求或須調(diào)整使用權(quán)限者，須向資訊單位提出網(wǎng)路帳號(hào)使用權(quán)限申請(qǐng)單，經(jīng)資訊單位主管審核同意後，交由資訊工程師完成使用者權(quán)限設(shè)定。2) 研發(fā)單位專屬之作業(yè)系統(tǒng)，因其作業(yè)性質(zhì)較為特殊及安全上的考量，使用者之管理權(quán)限由研發(fā)單位自行管理。3) 使用者密碼關(guān)係到資料安全與防護(hù)，嚴(yán)禁張貼於電腦或電腦螢?zāi)簧稀?) 資訊單位須建立網(wǎng)路使用者權(quán)限一覽

26、表，並對(duì)所設(shè)定之權(quán)限詳述之。4. 檔案資料管理1) 須建立磁碟檔案配置表、系統(tǒng)軟體配置表並隨時(shí)更新，以供維護(hù)人員查閱。2) 當(dāng)操作者輸入資料錯(cuò)誤或系統(tǒng)本身問(wèn)題，造成資料錯(cuò)誤且程式不予許修改時(shí)，得由資訊單位或需求單位提出資料庫(kù)修改申請(qǐng)單，並將修改原因詳列於申請(qǐng)單，經(jīng)該單位主管簽核後，逕交資訊單位處理。3) 資訊單位收到申請(qǐng)單後，由單位主管指派資訊工程師處理。資訊工程師依據(jù)修改內(nèi)容及作業(yè)要點(diǎn)進(jìn)行分析，若該資料庫(kù)修改將影響到其它單位之作業(yè)時(shí)，資訊單位主管或資訊工程師須與相關(guān)單位主管討論會(huì)簽後完成修改，並將處理結(jié)果記錄於原資料庫(kù)修改申請(qǐng)單中備查。4) 硬碟資料，若經(jīng)使用單位或資訊單位人員判定短期內(nèi)不再

27、使用，則可由資訊單位或使用單位提出歷史資料清除申請(qǐng)單。5) 資訊單位收到申請(qǐng)單後，由單位主管指派資訊工程師處理。資訊工程師依據(jù)修改內(nèi)容及作業(yè)要點(diǎn)進(jìn)行分析，若該資料庫(kù)修改將影響到其它單位之作業(yè)，資訊單位主管或資訊工程師須與相關(guān)單位主管討論會(huì)簽後，由資訊單位將資料轉(zhuǎn)入備份（如磁碟、磁帶等），並將磁碟資料予以刪除，其處理結(jié)果記錄於原歷史資料清除申請(qǐng)單中備查。5. 網(wǎng)路安全防護(hù)為避免檔案因感染病毒而造成系統(tǒng)或資料損毀，於主機(jī)及伺服器上均須安裝防毒軟體，防毒軟體的安裝及設(shè)定及維護(hù)及檔案資料均須妥善保存。6. 網(wǎng)路主機(jī)、伺服器之資料備份1) 每日做一次Differential backup，每星期做一次f

28、ull backup，每月並將重要資料做成CD片永久保存。2) 備份媒體須妥善保管，己存有資料之備份媒體則須放置於安全的地方。3) 網(wǎng)路主機(jī)、伺服器之資料備份之安裝、設(shè)定及操作程序等，須詳載於主機(jī)伺服器備份回復(fù)之安裝、設(shè)定及操作程序內(nèi)。7. 系統(tǒng)回復(fù)作業(yè)1) 當(dāng)系統(tǒng)或應(yīng)用程式發(fā)生異?；蝈e(cuò)誤且已無(wú)法回復(fù)時(shí)，得採(cǎi)行本作業(yè)。2) 回復(fù)前立即要求線上使用者退出系統(tǒng)。3) 資訊單位依主機(jī)伺服器備份回復(fù)之安裝、設(shè)定及操作程序進(jìn)行回復(fù)作業(yè)。4) 資料回復(fù)作業(yè)完成後，若須補(bǔ)建資料，應(yīng)知會(huì)相關(guān)單位補(bǔ)建。第2節(jié) 控制重點(diǎn)1) 各項(xiàng)設(shè)備裝置是否定期檢查，並做成紀(jì)錄。2) 各項(xiàng)設(shè)備裝置故障時(shí)，是否做成紀(jì)錄並述明現(xiàn)象、發(fā)生原因及採(cǎi)取措施等。3) 網(wǎng)路系統(tǒng)使用者之使用權(quán)限，有無(wú)依照規(guī)定程序完成申請(qǐng)手續(xù)並經(jīng)核準(zhǔn)。4) 現(xiàn)有的網(wǎng)路使用者權(quán)限設(shè)定是否有不當(dāng)之處。5) 對(duì)網(wǎng)路系統(tǒng)之檔案資料修改清除時(shí)，是否依規(guī)定程序辦理。6) 網(wǎng)路磁碟空間是否足夠，過(guò)期資料是否適時(shí)完成清理。7) 防火牆及防毒軟體是否正常運(yùn)作。8) 資料備份是否正常運(yùn)作