E资讯处理循环控制rev6.docx
《E资讯处理循环控制rev6.docx》由会员分享,可在线阅读,更多相关《E资讯处理循环控制rev6.docx(15页珍藏版)》请在冰豆网上搜索。
E资讯处理循环控制rev6
信息处理循环控制
文件编号:
CG00
文件名﹕信息处理循环控制
页数﹕9
核准
日期
审核
日期
编制
参与
全体内控专员
日期
2014/10/06
文件目录
编号
控制项目
页次
CG
信息处理循环
CG-00
信息处理循环流程图
02-02
CG-01
系统开发、维护及修改控制
03-03
CG-02
计算机编制系统文书控制
04-04
CG-03
系统限权控制
05-05
CG-04
程序及资料之存取控制
06-06
CG-05
资料输出入之控制
07-07
CG-06
档案及设备之安全控制
08-08
CG-07
硬件及系统软件之购置﹑使用及维护控制
09-09
<<信息处理循环流程图>>
编号
作业项目
作业程序及控制重点
使用表单
CG-01
系统开发、维护及修改控制
CG0101系统开发及程序修改作业
一、作业内容
1.需求单位经作计算机化可行性及成本效益评估后,据公司规定流程提出系统开发申请,说明需要之功能及运作流程,并指定人员进行追踪,确保开发进度如期完成。
2.开发需求分析,确保需求之可行性及完整性,并将结果通报申请单位。
3.系统开发立案,内部作业规划、程序撰写、测试及系统导入。
5.需求单位基础资料录入及使用,系统维护、修改。
6.公司因能力限制或经作成本考量后,需委外开发时由开发单位按公司采购流程办理委外开发作业。
二、控制重点
1.系统开发需求提出前须作成本效益评估,确保计算机化后之经济性。
2.开发前须作可行性分析、并与相关人员沟通﹐以确保需求之完整性。
3.应对系统之实现流程、达成目标作事前规划并提定负责之开发人员。
4.系统完成应有完整的测试报告﹐并检视系统功能已达成原始设计目标,测试时发生问题及错误应深入分析与追踪﹐并作成记录保存。
5.系统导入前应提供详尽之系统操作说明书,并据于对使用人员作教导,导入后应安排专人负责系统之日常维并作定期检讨。
6.系统修改应按规定流程申请核准后﹐由指定维护人员进行。
7.委外作业应有公开评估过程﹐决议记录应经权责主管核准,委外软件系统导入﹐应依规定标准进行检验测试﹐以确保系统质量。
1﹑计算机系统开发申请单
2﹑签核及B2B开发申请单
编号
作业项目
作业程序及控制重点
使用表单
编号
作业项目
作业程序及控制重点
使用表单
CG-03
系统限权控制
CG0301系统限权控制
一、作业内容
1.使用者据需求提出MIS系统、邮件或INTELNET使用申请,经权责主管核准后转信息中心。
2.信息中心作评估核可后,据需求内容开放权限并分配登录账号及登录密码,并制表分类列管。
4.使用者按核可之权限操作系统,并在权限充许范围内于对应数据库中存取相关资料,使用者账号、密码应善加保管以防她人偷用。
5.系统和数据库管理权限由信息按公司规定分配。
二、控制重点
1.限权应分层级设定并按需求开放,与使用者无关之区域要销住。
2.各项信息权限之取得,须经申请,并由权责主管核准。
3.覆核系统及账号使用记录,侦查是否有不当使用情形﹐并追踪。
4.账号及密码应善加保管,以确保公司资料及个人密码不被盗用。
5.个人账号、密码应善加保管,不得将其泄漏给他人使用。
6.使用者在权限允可范围内利用系统资源,不得外泄公司资料。
7.权限修改要按规定流程申请并经权责主管核准。
8.员工离职,应依规定办理交接并注销相关权限。
9.数据库及糸统只有数据库管理员有权变更,数据库管理员不得兼任机房操作。
1﹑权限申请单
2﹑电子邮件申请单
编号
作业项目
作业程序及控制重点
使用表单
CG-04
程序及资料之存取控制
CG0401程序及资料之存取
1.据公司实际需要,对各数据库之用途、储放资料类型作规划,并设目录进行管制。
2.数据库内的数据项均应有对应的说明文件,以确定各项资料的定义与存取规则。
3.各数据库应据功能不同指定专人维护,并对资料之正确性﹑完整性及资料之使用权限进行管理,重要资料档案应设有保护措施。
4.公用程序、档案、文件应依规定原则命名,并依用途不同存放于数据库指定区域。
5.公用程序、档案、文件之取用应按规定申请核准后分配账号及密码,个人接取权力应作限制(仅读﹑写﹑写读)。
6.各类公用程序应按类别不同,分别指定专人维护。
7.公用程序维护人员、数据库管理人员及程序使用人员工作应该相互独立,不得相互代理。
8.数据库及系统管理人员应限制其任意改动、取用数据库中的资料,资料的修改及删除均应由使用单位申请核准后办理。
9.研发工程、财务、估价等单位之人员应有设备限定其只能于指定数据库中存取资料。
10.数据库内的资料应定期清理﹐以避免过期资料占用数据库空间。
11.应设定备用数据库,并标示﹐以备需要时迅速取用。
12.重要数据档案应定期备份,以防资料丢失之损失。
1﹑资料存储申请单
2﹑扫描申请单
编号
作业项目
作业程序及控制重点
使用表单
CG-05
资料输出入之控制
CG0501资料输出入之管理
1.资料输入的处理﹐应有可供确认的记录,能确知是经由哪台机器、哪位操作者输入。
2.应有计算机程序可用来抽查资料确已经输入计算机。
3.输入资料应有适当覆核﹐以确保输入资料之正确性。
4.资料之修改、删除须经申请﹐并经主管核准,错误资料更正后﹐应能确定资料已经正确更正并留下记录﹐呈相关主管审核。
5.未经使用单位允许,系统管理员及数据库管理员不得善自修改相关数据。
6.经常发生错误之资料应进行统计分析并追踪改善。
7.机密资料的输出应作控制,输出产生时需留下记录。
8.输出产生份数应加以控制,并立即分送使用单位。
9.输出之收受单位及收件人应编有名单以供核对。
10.通过网络线路传送时﹐传输文件大小应作限制,超出限制大小之文件应经申请后交指定人员办理。
11.机密文件应对输出接收人员作管制。
12.输出资料使用后若无保存需要﹐应经过适当毁弃处理。
13.输出资料若以磁性媒体保存时﹐应定期检查﹐以确定在必要时能以报表方式印出。
14.因工作需要需从数据库调阅资料时,需经申请,并经权责主管核准后交信息办理。
编号
作业项目
作业程序及控制重点
使用表单
CG-06
档案及设备之安全控制
CG0601档案及设备之安全控制
一、作业内容及控制重点
1.主机房应配备防雷、防火及防水设施以免造成损害.
2.主机房应保持适当之温度及湿度﹐并设置检验仪器﹐监控机房环境。
3.主机房应配置稳压器﹑不断电设备以确保电路稳定。
4.主机房应随时记录机器运转状况﹐对机器停止原因﹑修理次数﹑更换零件等﹐均应详细记录以利追踪。
5.主机由公司指定人员进行维护,非经授权人员不得操作主机。
6.应严格限制员工使用非法软件﹐以降低公司重要档案遭受病毒侵入之损失及因违反相关法令规定而蒙受损失。
7.公司网络应配备病毒侦测设备﹐以避免档案遭受损害。
8.定期对机房之各项安全控制设施实行检测并记录测试结果﹐由信息部主管定期覆核。
9.计算机机房及档案﹑通讯设备区域等严禁闲人进入﹐非信息部主管允许绝不能携出或带入不相关东西。
10.重要程序、档案应实时备份,以防资料丢失之损失,工程研发类及财务类等重要资料应集中存储于指定主机上,并按权限取用,不得放于使用者本地硬盘。
11.末端机使用刻录设备、移动存取设备应作限制。
12.应按个人工作需要之范围,严格控制系统及档案之使用权限。
13.硬设备应列入资产管理﹐并编列维护费用以确保机器正常运转。
编号
作业项目
作业程序及控制重点
使用表单
CG-07
硬件及系统软件之购置﹑使用及维护控制
CG0701硬件及系统软件之购置﹑使用及维护控制
1.各单位需要新增硬件或系统软件,需按公司要求提出申请,经权责主管核准后,方能交采购单位购买。
2.硬件及软件之采购需经询比议价后方能进行采购。
3.硬件及软件收料后,需按规定办理验收及入库手续,并通知需求单位领用。
4.计算机、打印机等应指定责任维护人员以确保硬件安全。
5.应当不定期对公司购置之硬件、软件作盘点,以防资产遗失。
6.硬件、软件投入使用后,由信息部门指定专人分区域对其使用状况作维护,人为损坏情形应依公司规定办理惩处。
7.硬件软件出现异常时,由使用人按流程提出申请,经单位主管核准后转信息人员办理维护工作。
8.作业系统软件维护应由专人负责并设定安全措施﹐以防止XX之更改。
9.硬件之异动、报废及委外维修应程序核可后办理。
10.人员离职,应到管理单位办理资产交接手续,个人保管之有关计算机资产应依规定返还管理单位。
11.应禁止利用公司硬、软件资源办理与工作内容无关作业之行为。
1﹑计算机需求申请单
2﹑计算机硬件异常申请单
3﹑信息系统软件异常申请单