电子计算机循环Word文档下载推荐.docx

1、硬體及系統軟體之購置、使用及維護控制DP-09系統復原計劃制度及測試程序之控制DP-10資通安全檢查之控制文件編號：DP編 號作 業 項 目作 業 程 序 及 控 制 重 點依 據 資 料1. 目的：明確規範資訊單位之功能及與使用部門之職責劃分，確保公司作業電腦化規劃及資料處理之獨立性。2. 範圍：資訊單位功能及職掌之界定。3. 內容：3.1.流程圖號：無。3.2.程序說明：3.2.1.部門之功能：（一）設置企業資訊相關功能發展之部門，俾達成下列功能：（1） 推展各項應用系統，加強電腦化。（2） 促進各部門對電腦軟硬體之充分有效使用。（3） 發揮電腦作業迅速、省力及連貫作業之特性，提高公司各項

2、作業之效率及品質。（4） 運用電腦自動勾稽機能，達到內部牽制控制目標。（二）協助與電腦相關之自動化工作。（三）視需求制定公司資訊方向發展之年度或短中長期計畫。3.2.2.資訊單位之職責：（一）統籌規劃全公司電子資訊之安全、運用及系統整合。（二）電腦化資訊系統管理制度之訂定及維護與公司事務流程制度化標準之建議。（三）新應用系統規劃、開發及已開發應用系統之功能擴充及更新暨使用者教育訓練和作業指導。（四）災難回復管理之規劃與執行。（五）設備規劃與管理：（1） 公司電腦及週邊設備、套裝軟體之規劃、評估及採購預算之編製與控制。（2） 電腦及週邊設備、套裝軟體使用之管理、調度及維護。（3） 電腦主機空調、

3、電力、不斷電系統（UPS）及消防設備之規劃與管理。（4） 電腦網路與通訊系統之規劃、管理與架設。（六）電腦作業管理：（1） 電腦主機安全控管、作業系統及檔案管理。（2） 電腦主機及各週邊設備運轉之管理。（3） 資料輸出/輸入設備使用管制作業。3.2.3.資訊單位功能劃分：（一）主管：（1） 釐定短期及中長期資訊發展方向。（2） 評估並檢核各部門電腦化之需求，確定需求規格，且擬定開發之優先順序。（3） 溝通協調部門間電腦化之配合，並消除電腦化過程之衝突。（二）系統管理員：（1） 通訊網路及各項電腦硬體資源之管理。（2） 處理開機、關機所需之作業。（3） 處理系統備份之程序及檢核結果。（4） 接收

4、新軟硬體技術並作配合轉移。（5） 資料庫之安全控管，及損壞之安全回復。（6） 程式及資料之存取控管。（7） 系統使用者之管理。（8） 日常傳輸資料轉移作業。（9） 處理備份（Back-up）之程序及檢核結果。（10）各類電腦媒體（磁碟、磁片、磁帶）之管理。（11）電腦表單管制。（12）協助解決硬體之一般問題。（三）系統開發人員：（1） 負責分析各部門電腦化之需求，確定需求規格。（2） 應用系統之維護。（3） 電腦軟體系統教育訓練。（四）程式設計人員：（1） 新系統程式建置、撰寫設計及測試作業。（2） 舊系統程式之修正、更新及測試作業。3.2.4.職務代理：為避免資訊人員出缺造成電腦化資訊系統作

5、業困難，故應由資訊單位主管指定出缺之職務代理人。3.2.5.與使用單位之職責劃分：（一）為公司組織架構中與使用者單位平行之組織單位。（二）使用單位得視本身現行與未來作業情況，提出作業需求；資訊單位則為評估電腦化資訊系統作業之整體發展，據以採行必要之統籌、規劃與執行更新、增添、修訂電腦化資訊系統及委外採購發包等事宜。（三）使用單位自行登錄及處理資料者，除因業務需要並依核決權限呈核同意外，資訊單位不得擅自接觸有關資料之輸入、修改、刪除及報表輸出。（四）使用單位若有電腦或相關週邊設備、增添、異動或處分時，除依固定資產循環辦理外，均應由資訊單位評估並作成建議，始得辦理。3.3.控制重點：3.3.1.資

6、訊單位應持超然獨立之立場執行其職務，並不得逾越未經授權之事宜。3.3.2.資訊單位與使用單位應適當劃分職責及權限。3.3.3.各項電腦及週邊設備之採購或移動等相關事宜，應經資訊單位核閱後始可辦理。3.3.4每年由稽核單位不定期實行資訊作業稽核工作並提出稽核報告。附件：參考文件：明訂應用系統（程式）或軟體之購置、開發及修改程序，以確保電腦化作業之軟體符合企業及使用單位需求。本作業程序適用於系統開發及程式修改之申請、審核與驗收作業。3.1.程序說明：3.1.1.申請單位依實際業務之需求填寫電腦作業需求單，經依核決權限送呈簽核後，送交資訊單位編列單號並審核。3.1.2.資訊單位根據電腦作業需求單內容

7、進行初步問題分析，並呈請資訊單位主管評估；經評估需求可行者，應指派系統人員確認使用者需求，進行可行性分析後，呈核之。倘權責主管認為申請單位之需求確具開發價值者，資訊單位應依其決議，評估是否自行或委外開發、修改。3.1.3.系統自行開發或程式修改：（一）系統規劃分析及設計：（1） 系統開發人員依據所蒐集的資料進行結構化系統分析及作業流程之分析，進而確立系統之細部功能及作業範圍。（2） 系統開發人員會同使用者或相關單位（如會計、內部稽核）主管審核電腦作業需求單，以符合使用者之實際需求。若不符需求時，應會同使用者討論最適合之規格，並據以修正。（3） 設計或修改輸出報表時應依下列原則辦理：A.報表結構

8、之內容（包括表頭、明細、表尾）及相關位置應依標準格式設計。B.採用套版列印時，注意印表機的行距問題。C.具有機密性之報表，可由報表紙張（如特殊薪資封條）或程式設定控制。D.報表輸出列印時應能註記其累計列印次數或列印版次，並能記錄列印時點。（4） 設計或修改螢幕畫面時應依下列原則辦理：A.有關功能選擇、建檔、查詢、輸出、處理畫面及功能鍵使用之設計應力求一致性。B.畫面美觀、易讀，並與輸入表單或憑證順序一致。C.程式內應有自動核對輸入資料正確性之功能。（5） 電腦作業需求單經確認符合需求後，系統開發人員應就資料處理過程中需暫存之資料，編製資料檔格式。檔案格式應儘量力求一致，若有新增或變更時，應於文

9、件中記錄更動日期及使用人員，確保資料完整，有軌跡可查。（6） 資訊人員依電腦作業需求單之內容撰寫程式規格說明，供程式設計人員據以進行程式撰寫工作。（7） 程式設計人員撰寫程式時，應依下列原則作業：A.程式之撰寫不得任意變更內容，如需修改，應由需求單位提出電腦作業需求單，經由該部門主管及資訊單位主管核准後，始得修改。B.為加強程式之可讀性及方便維護，程式應儘量結構化。C.程式新增或修改應於程式內標示建立時間、修改時間、撰寫者等資料，若有複雜程序則應備註說明，以方便程式閱讀。（8） 如為系統修改異動時，應於進行程式修改前，將原程式複製到測試程式區內，再行修改。（二）系統測試：（1） 系統個別模組程

10、式撰寫、編譯完成後，資訊單位應就個別程式進行測試工作，並連同其他已完成之相關程式測試資料檔組織型態與記錄格式是否一致，當測試結果顯示有問題存在時，應即著手偵錯工作，並予以更正。（2） 系統各個模組程式撰寫、測試完畢，資訊單位即進行系統測試。（3） 經反覆測試、修改無誤，電腦作業需求單應交使用單位簽認後，依序號予以適當存檔。（4） 當系統測試完成時，若有影響到系統之修正，相關文件應比照修改。（三）系統建置（轉換）：（1） 系統經修改測試無誤，資訊單位應安排系統轉換事宜。（2） 資訊單位同時備妥各項說明文件，據以安排教育訓練，針對不同對象施以適當之訓練。同時資訊單位應備妥說明文件影本或將其電子說明

11、檔案，交使用單位據以操作並使用新系統。（3） 正式運作前，資訊單位應會同使用部門擬定新系統之訓練課程，經核准後，發文至各參加訓練之使用部門。（4） 資訊單位系統開發人員依據作業進度進行資料轉換作業，其作業程序及應注意事項分述如下：A.收集完整且正確之現行人工或電腦處理資料。B.拷貝（Back-up）轉換前資料，以免資料被毀。C.轉換後，應列印核對清單與原始資料（或原檔資料）核對。（5） 當資料轉換成功時，資訊單位應即開始實施轉換測試作業，測試期間若須修改系統時，應經有關單位同意方可修改並修正相關文件。3.2.5.系統委外開發購置：（一）請、採購：（1） 資訊單位依公司營運需求，規劃公司電腦化作

12、業，經決定對外選擇適當之系統軟體、應用系統（程式）或軟體時，應列出外購系統應具備之系統功能並洽詢優良之軟體（應用）系統供應廠商。（2） 資訊單位應向供應商取得報價單及相關資料後，邀請合格供應商進行功能簡介、展示（Demo）及教育訓練計劃等，據以評估比較後，進行請購申請，併同申請單位之資訊服務需求單及報價單等相關資料依核決權限送呈核准後，決定資訊供應商。（3） 經決定資訊供應商後，由資訊單位向廠商發訂購單或與其簽訂合約，並跟催廠商依約定日期交貨。訂購單正本或合約正本送交會計單位，據以作為付款之審核依據，影本乙份則由資訊單位留存。（4） 若採購之系統軟體以委外開發方式者，其簽約後之系統分析、系統設

13、計階段各項作業，應比照上述程序辦理。（5） 資訊單位收到廠商送來之系統軟體與相關操作手冊及文件時，測試完成後，應取得相關測試報告及發票，並將測試結果送交權責主管覆核。（6） 相關申請採購驗收單據，應由資訊單位依序歸檔存查。（二）測試、驗收：（1） 軟體廠商於程式設計完成，前來安裝時，除送貨文件外，應依相關操作手冊及使用文件等，作為線上測試之依據。（2） 供應廠商事前安裝系統軟體、應用系統（程式）或軟體時，應先將現行系統進行適當區隔（如暫時離線或備份措施），避免測試作業影響現行作業。（3） 系統軟體、應用系統（程式）或軟體測試時，除資訊單位應依其專業進行測試外，並須視購置性質由使用單位及相關單位

14、（如會計、內部稽核）等一併參與。（4） 於正式驗收前，供應廠商應提供適當之教育訓練予相關單位使用者。（5） 經測試及上線訓練完成後，資訊單位人員應於資訊服務需求單中說明測試結果，經送呈使用單位會簽及權責主管簽核後，始完成驗收程序。3.2.6.系統委外改版更新（upgrade）或修改：（一）使用單位因業務需要、或供應廠商定期更新版本、或資訊單位整體規劃需求時，應辦理系統軟體、應用系統（程式）或軟體之版本更新或修改。（二）資訊單位應與維護廠商連繫，安排修改事宜，並作成書面記錄，經呈權責主管核准後，存檔備查。（三）新設或修改系統，應於使用前提交使用部門模擬測試，經充分討論及驗證後，始可取代舊系統。（

15、四）相關系統操作手冊、技術手冊與設定文件等資料，應按DP-03系統文書編製之控制作業辦理。3.2.7.各單位如有系統修改之臨時緊急需求時，應立即呈報部門主管同意，並通知資訊單位，資訊單位認可需修改系統程式時，除立即著手與原供應商連繫，安排修改事宜外，另應要求申請單位於限期內提報電腦作業需求單，經權責主管核准後，以急件處理。3.3.1.系統軟體、應用系統（程式）或軟體之委外開發、購置，應依規定之作業程序辦理，並考慮使用單位之需求。3.3.2.評估紀錄、測試紀錄等書面文件應經適當簽核。3.3.3.開發或購置之系統軟體、應用系統（程式）或軟體之申請需求，應與實際開發或購置之系統相符。3.3.4.系統

16、之外購應經核准，並簽訂合約或書面訂購文件。3.3.5.相關單位與資訊單位應就書面設計與實際設計作最後比對。3.3.6.系統測試及修改應設立獨立資料庫之環境。3.3.7.系統修改應會稽核或其他相關人員表示意見，並留有適當之文書紀錄。3.3.8.程式變更修改應確實經核准後辦理。3.3.9.系統程式修改應有允當之版本控管。3.3.10.系統修改後，須會使用單位測試其可行性。3.3.11.系統上線除由管理人員執行外，亦應由權責主管控管覆核。電腦作業需求單資訊服務需求單為利於電腦系統文書資料之管理，特訂定本作業程序。本作業程序適用於電腦系統文書編製及保管之控制。3.2.1.電腦系統文書編製：（一）資訊單

17、位於完成系統測試程序及驗收程序後（含新購、版本更新及修改），應將修改事項留有適當之紀錄，並將相關操作手冊及技術手冊，與軟體編列序號，登錄於資訊系統書籍編冊存查列管。3.2.2.文書資料保管：（一）對於具機密性之資料、文件，應特別裝櫃加鎖，以避免資料外洩。（二）當作業人員因公借閱系統文件或資訊應用書籍時，應登記有關事項，且經權責主管核准後，方得借用，並依照規定還件日期歸還，資料保管人員應定期催討逾期未還者，並通知資訊部門主管及該作業人員主管。3.3.1.資訊單位所有之電腦文書及檔案文件應編號列冊，並設專人保管。3.3.2.資訊單位於新系統開發及進行修改作業時，其相關之電腦文書應同時予以更新。為建

18、立本公司各使用者對系統程式及資料存取之權限及範圍，特制定本作業程序。本作業程序適用於電腦連線系統、個人電腦程式及資料之存取控制。3.2.1.電腦連線系統內之存取控制作業：（一）使用者應依資通安全管理辦法定期更換系統密碼，且個人之帳號密碼不得借由他人使用。（二）各單位人員申請電子郵件、對外網路使用（Internet）或列印報表等權限者，及新進使用者或職務異動人員，申請ERP系統權限，應填寫資訊帳號申請單，由申請單位主管簽核後，送交資訊單位評估設定之。（三）電腦系統使用單位操作人員因故離職或調職時，單位主管應依移交清冊通知資訊管理單位刪除此使用者。（四）職員離職或更換工作，其使用代碼應立即註銷或更

19、新。（五）系統使用者密碼應加以特別保護，以防未經授權之接取。（六）密碼長度以不低於四碼為原則。（七）對於軟硬體廠商維護時使用之使用者代號應限制其存取權限，且不得重複使用。（八）為嚴格控制密碼使用管理，避免密碼為非使用權限人員知悉，不當破壞或更新程式或資料，於必要時應定期更新各作業系統使用密碼，以確保系統程式及資料之完整性。（九）執行系統作業時應先經權責主管核准，並予以記錄與存檔。（十）重要系統應設有相關軌跡（Log）及稽核紀錄（Audit Log）。（十一）公司各系統除應有合宜穩當之資訊安全管理機制，另應參照資通安全管理辦法。3.2.2.一般單位控制（個人電腦）：（一）資料處理結束，使用者應對

20、該資料編定檔案名稱。檔案之命名儘量以有意義之中文或英文代號命名之，並分主檔名及附檔名。（二）使用者所使用之磁片或軟體，除須為公務上之用途外，尚須經公司防毒軟體偵測後使用，以防止電腦病毒入侵，破壞存檔之資料。（三）接收外來郵件或附加檔案時，應先執行掃毒。3.2.3.權限控制：（一）使用者依權限擁有相關功能。（二）資料使用權限應有分層授權系統，稽核及管理人員無權限更新資料庫。（三）負責系統或程式上線人員應於執行上線程序時，依系統安全及使用者職權之所需設定程式及資料檔案之存取權限。（四）設定系統程式對有權接取某特定檔案的程式限制其接取權力。（五）若重要之資料需傳送予外界時，應經適當之核准使得為之，並

21、依規定之程序處理。（六）資料權限應配合使用者之職責，經權責主管授權後使用，修改資料之權限亦應經相關流程且由權責主管授權後異動。3.3.1.程式檔案的存取使用是否依密碼權限加以管制。3.3.2.重要之系統公用程式、工具及指令應依其使用者權限限制甚存取權限。3.3.3.一般應用系統之使用者除執行應用系統外，應無存取系統公用程式、工具及指令之權限。3.3.4.原始程式與執行程式，應有適當之權責控管。3.3.5.程式檔案的存取使用是否均留下可追蹤的記錄。3.3.6.若從遠端以撥接方式簽入系統應經適當合法授權。3.3.7.權責主管是否定期覆核相關記錄。3.3.8.公司機密資料及員工帳號密碼等，是否經合宜

22、之保護，以避免未經授權的擷取或查詢。3.3.9.程式及檔案是否依業務應用及稽核使用加以區分。3.3.A.密碼不可顯示於電腦螢幕上，亦不可未經亂碼化即列印於任何報表。3.3.B.系統應記錄使用者使用系統之情形，並由系統管理員定期覆核及追蹤久未登錄系統之使用者（至少一年兩次）。資訊帳號申請單為確保資料輸出入之正確，特制定本控制程序。本作業程序適用於資料輸出，輸入及錯誤更正之控制作業。3.2.1. 輸入電腦的資料，應依公司規定編製，必要時經適當權責主管批准。3.2.2. 在輸入資料前，負責輸入人員應先就正確性加以複核。3.3.3. 輸出之報告、報表圖面等資料，應對不同使用單位人員需求，訂定不同使用等

23、級之規定供已授權者使用。 3.3.4. 原始輸入單據或系統產生之單據應預先序號控管。3.3.5. 空白原始單據應授權專人負責保存於安全處所。3.3.6. 漏號或遺失單據需經適當之追蹤處理。3.3.7. 已登錄資料之修改或輸入錯誤之更正，需經權責主管適當授權。3.3.8. 輸出不成功需重新處理時原印錄未完之輸出應確實作廢。3.3.9. 輸出資料使用後若無保存需要應經過適當毀棄處理。3.3.10.應用系統之資料輸出入若與實際有任何差異,應由專人覆核及追究,並記錄處理結果。3.3.11.應依業務之需要及相關,設定所能接觸之資料,非經核准禁止將資料攜出辦公室外。3.3.12.重要資料之更正異動時，應填

24、寫電腦作業需求單，經權責主管簽核後執行，且由申請人及其權責主管覆核，以確保無非經授權修改資料之情形。3.3.13.敏感性或機密性資料之輸出入，應有適當控管方式。3.3.1. 程式或資料的存取使用，是否有系統負責人員或單位主管之核准。3.3.2. 重要性資料之更正異動，是否留下經權責主管覆核之書面記錄及系統記錄。3.3.3. 資料之輸入、處理及輸出，是否依據訂定之程序及時間執行，並由相關人員覆核結果，遇有差異，是否留下處理記錄。電腦作業申請單。建立軟、硬體於資料處理時之控制程序，以確保資料處理之正確性。本作業程序適用於硬體及系統軟體於資料處理之控制程序。有關資料處理之輸出入控制依資料輸出入之控制

25、作業辦理。3.內容：3.2.1. 資料處理時應控制重要的資料項目及交易事項，並與輸出資料能相互勾稽。3.2.2. 應適當控制資料輸入作業，以確保資料適當，且完整被電腦處理。3.2.3. 進行任何資料處理作業時，應利用密碼等適當程式，加以控制。3.2.4. 不成功的企圖接觸系統，應予以監控，以免安全措施被破壞。3.2.5. 系統提供資料處理功能時，各種輸入資料之合理性、正確性應再次檢查。3.2.6. 機器或程式發生故障或不正常情形時，操作人員須保留現況，待資訊室人員排除故障後，再繼續執行。3.2.7. 各單位之各類問題，必要時須協調資訊室人員協助澄清與支援，若非資訊室人員可以克服之問題，則洽請電

26、腦公司派員維修協助，並經適當核准程序。3.2.8. 資料經處理後應將輸出報表及輸入憑證加以核對，以確定資料之處理無誤。3.2.9. 輸出資料若發現錯誤，應做必要更正並重新執行資料處理作業。3.2.10.人工或系統之處理控制，應能確定交易業已記錄於適當之會計期間。3.2.11.系統提供使用者作業處理中各項錯誤或作業失敗之訊息，並產生錯誤報表以利追蹤更正。3.2.12.更正例外或異常項目之再輸入，需調節至原例外或異常項目。3.2.13.系統開發時使用者部門及資訊室應將資料處理過程所應有之稽核（管理）軌跡或重要控制，設計於系統中。3.2.14.若由資訊部門處理之相關應用系統資料處理工作，應有詳細之應

27、用系統書面作業指示（包括工作之建立、錯誤之回應及回復之處理）以供資訊部門操作人員作業時之遵循。並定期更新以確保適用於目前作業狀況。3.3.1資料處理完畢其輸出報表是否核對正確性 。3.3.2輸出資料發生錯誤是否確實更正。3.3.3資料處理人員是否依正確之操作程式使用系統。3.3.4資料處理過程發生異常是否循適當程序予以改善。1.目的：為維護資料檔案及各項電腦設備之安全，特制定本作業。2.範圍：本作業適用於資料檔案之拷貝、控管及電腦設備、機房之維護、安全控制。3.2.1.資料檔案之安全控制：（一）資訊單位之統籌控制：（1） 系統作業管制人員應定期拷貝資料，將備份情形及資料記錄人、備份之媒體資料登入MIS備份記錄表，備份儲存媒體並應貼上標籤以利辨識備份內容。（2） 將備份媒體分別各存放兩份，並有良善之保存控管機制。（3） 資料清除作業：配合實際作業需要及法令規範，決定資料保留期間，到期移除逾期歷史交易資料，執行清檔作業將資料移出，以節省磁碟空間及加快作業速度，在移出資料前應先做備份作業，一式二份，並分開保存於設有完善防災措施及空調設備之地點。（二）使用單位對