9电脑环境内部控制作业980731.docx

9电脑环境内部控制作业980731.docx

《9电脑环境内部控制作业980731.docx》由会员分享，可在线阅读，更多相关《9电脑环境内部控制作业980731.docx（27页珍藏版）》请在冰豆网上搜索。

9电脑环境内部控制作业980731

9、電腦環境內部控制作業CM-100

電腦環境內部控制作業流程圖

編號

作業項目

作業程序及控制重點

依據資料

CM-101

資訊單位之功能及職責劃分

一、作業程序：

1.目的：

（1）減少電子資料處理系統發生錯誤或舞弊風險。

（2）建全參與人員之管理，使資訊相關工作人員勝任其所負職務，以配合公司其他相關營運活動作業的需要，並達成控制要求。

2.單位功能：

（1）資訊作業規劃、推動及執行。

（2）電腦應用系統之分析規劃、程式撰寫、測試、設置及維護。

（3）套裝軟體評估、採購導入、測試、系統升級、資料移轉、及維護。

（4）電腦病毒預防與清除。

（5）各應用系統相關人員之操作教育訓練。

（6）主機系統之採購評估、採購計劃、設備管理、機房管理。

（7）編制備援及備份計劃與執行、資料回復。

（8）使用者帳號管理、主機系統管理、應用系統管理。

（9）網路規劃、架設、管理、及維護。

（10）各項作業流程制度化之建議。

（11）資訊部門預算之執行與控制。

（12）網路及電子資料之安全控管。

（13）排除各種電腦或應用軟體之異常狀況。

3.職責劃分：

（1）資訊單位主管：

（1.1）根據公司的作業目標與未來方向，擬定整體資訊系統之短期與長期之發展計劃，及預算之控制。

（1.2）公司資訊系統電腦相關軟／硬體設備之評估規劃。

（1.3）檢討與評核各項作業之進度與成效。

（1.4）輔導各單位對電腦軟硬體之充份有效利用。

（1.5）依工作需求規劃人員教育訓練。

（1.6）從事與其它單位之間的協調與配合工作。

（2）資訊人員之職掌：

（2.1）協助主管擬定計劃。

（2.2）系統功能可行性評估與需求分析。

（2.3）系統建置成本效益評估。

（2.4）作業系統（應用系統）規劃。

（2.5）教育使用者系統操作。

（2.6）應用系統之安全控管與設定。

（2.7）建立、維護及更新系統文件。

（2.8）作業系統（應用系統）設計與執行。

（2.9）應用系統程式修改及維護。

（2.10）建立、維護及更新程式文件。

（2.11）網路系統之規劃、管理與安全設定。

（2.12）伺服器與相關應用環境軟／硬體之維護與管理。

（2.13）使用單位之個人電腦、週邊設備之維護與管理。

（2.14）公司內使用軟體管理。

二、控制重點：

1.軟／硬體管理是否確實。

2.備份是否詳實謹愼、確實。

3.系統之安全控管是否確實。

4.資訊部門負責日常工作之內容，是否符合職責劃分之要求。

5.資訊部門與相關部門的溝通管道及方法，是否達到功效。

CM-102

系統開發及程式修改控制

一、作業程序：

透過系統開發及程式設計修改過程中的管制手段，使電腦應用系統的設計更能配合公司各使用單位之需要，並增進系統的可靠度。

1.系統需求：

先合理化，再電腦化。

2.現況分析：

瞭解使用單位之需求。

3.成本評估：

評估系統自行開發、委外開發、建置所需之軟硬體設備等投資所需之預算。

4.有開發新系統或程式修改需求時，使用部門應填寫資訊作業需求單，送交資訊部門進行可行性分析、安排系統設計、程式撰寫及測試進度，呈報權責主管核准。

5.進行系統開發或程式修改作業時，應先由資訊部門與使用單位共同參與系統規劃作業。

6.系統開發或程式修改計劃應詳細釐訂作業程序、作業功能、輸出入格式、導入方式與進度，並寫成報告，做為電腦化執行之依據。

7.若因系統功能複雜或過於龐大，自行研發不易，可委請專業電腦機構代為研發，或洽詢市面上已有之套裝系統，因應公司需求加以修改。

購置程序依「請購/採購作業程序」辦理。

8.外購系統應要求配合廠商作完整評估及訂定開發時程，並視實際需求要求委託開發單位簽訂合約進行導入使用輔導。

9.系統測試：

依各種可能進行日常處理動作進行測試。

二、控制重點：

1.確認系統需求是否符合公司之成本效益。

2.系統文件是否詳實。

3.測試環境是否獨立於上線環境。

4.是否由非程式設計人員進行測試。

5.確認人工作業與電腦作業之結果是否一致。

6.書面申請是否經過核准。

7.是否設立獨立之修改及測試環境。

8.程式修改是否有使用者確認。

依據資料：

（1）請購/採購作業程序。

使用表單：

（1）資訊作業需求單。

CM-103

編制電腦文件之控制

一、作業程序：

本公司及所屬各單位自行開發之電腦文書編製及保存與外購套裝軟體之系統使用文書之保存及管理，均依本作業辦理。

1.資訊部門應設專人負責文件或檔案之記錄、編號及保管。

2.公司同仁欲取閱及返還資訊部門之軟體及設備或其他資料時，需填具資訊設備借用登記表。

3.負責文件或檔案之記錄及保管人員，於職務變動時應辦理清點移交。

二、控制重點：

1.納入正式作業之文件或檔案，是否切實保管記錄。

2.人員離職或異動，是否確實辦好移交手續。

3.文件檔案借用是否依規定辦理借閱登錄，是否按時歸還。

使用表單：

（1）資訊設備借用登記表。

CM-104

程式及資料之存取控制

一、作業程序：

防止系統程式、資料檔案及相關電腦作業文書被擅自修改，以及程式、資料暨電腦設備未經核准使用，而造成電腦資源濫用或電腦舞弊的危機，以確保資料適當儲存、更新及取用。

1.密碼控制：

（1）每一使用者皆有獨自的系統帳號、密碼及權限。

（2）新進人員或建置新的應用管理系統時，應依其所轄職員之業務權限，填寫帳號申請表經權責主管核准後，交資訊單位賦予權限。

（3）授權使用者應建檔列管，密碼應適時更換，個人之系統帳號與密碼不得借他人使用。

（4）職員離職或更換工作，其所用密碼應立即註銷或更新。

（5）竊取盜用他人之帳號與密碼者，應受最嚴重的懲戒。

（6）對於軟硬體廠商維護時使用之使用者代號應限制其存取權限，不得重覆使用。

2.權限控制：

（1）使用者依權限設定存取適當之資料並操作所授與之系統。

（2）使用人員若有需新增、修改、刪除電腦軟硬體使用權限者，依其性質，填寫資訊作業需求單經權責主管核准後，交資訊單位賦予權限。

（3）不定期檢查並清除未經授權之使用識別。

（4）非相關系統的使用者，無權使用與其業務無關之系統。

二、控制重點：

1.程式檔案的存取使用是否加以管制。

2.程式檔案的存取使用是否均留下可追蹤的記錄。

3.權責主管是否定期覆核相關記錄。

4.離職人員之移交程序是否確實完成。

5.離職人員之密碼是否於離職當日確定由資訊單位刪除之。

6.高權限之系統相關人員離職後，是否變更相關系統的密碼。

使用表單：

（1）帳號申請表。

（2）資訊作業需求單。

CM-105

資料輸出入之控制

一、作業程序：

確保使用單位在輸入資料的完整性及正確性，系統處理結果的正確性與有效性，且輸出處理結果適時分發適當人員確認與參考。

1.各使用單位將資料輸出後必需管制其用途，以防止重要資料外流。

2.於輸出作業時，若有錯誤產生應填寫資訊作業需求單交資訊單位，由該系統負責人員處理，並將該單據存檔。

3.資料輸出電腦後，應由單位主管或專人負責核對，並於簽收確認後再予分發。

4.線上資料輸入應由授權人員執行，並利用使用者帳戶名稱及密碼加以控制。

5.資料輸入後經確認，未經許可不得任意變更其資料。

6.資料輸入後，使用單位應輸出適當之單據，提供相關單位審核校正之。

7.單據類之資料輸入時，由電腦自動編列序號管制。

二、控制重點：

1.輸出入資料人員是否經授權。

2.報表、資料之輸出是否管制其用途及妥善保存。

3.報表輸出後是否有依簽核權限，進行簽核之程序。

4.單據若發生漏號或遺失是否有追蹤處理。

5.單據號碼是否有連號，若不連號是否有標示其原因。

使用表單：

（1）資訊作業需求單。

CM-106

資料處理之控制

一、作業程序：

1.特定檔案資料指派專人負責輸入及維護。

2.資料庫與使用者無關之區域予以鎖定，系統程式限定某些程式僅得存取某些特定檔案，並只限於預先許可之工作範圍。

3.對有權存取特定檔案之程式，限制其存取權力，如僅讀、僅寫、或讀寫。

4.資料庫之管理責任與使用應用程式於資料庫作業之職能相互獨立，限制取用資料庫中之資料。

5.經核准之資料方可用以更新、異動資料庫檔案，處理結果並彙送相關使用單位核對後，再作為後續電腦使用。

6.資料庫須定期維護，並須由獲有授權之人員進行。

7.程式內應對不當操作錯誤提供預防檢查功能，俾於錯誤時產生反應訊息，即時發現處理。

8.執行系統程式處理資料時，若有錯誤發生應填具資訊作業需求單交資訊單位，由該系統管理人員處理，並將該單據存檔備查。

二、控制重點：

1.錯誤資料產生時，使用者是否即時排除障礙或向資訊單位反應進行處理。

2.使用者是否有不同的使用權限控制，應確實執行控管。

3.是否確保處理資料的一致性。

使用表單：

（1）資訊作業需求單。

CM-107

檔案及設備安全之控制

一、作業程序：

安全控制在確保檔案、程式及設備免於毀損或被未經核准之人員使用，且當萬一遭受毀損時，可迅速重建並恢復所有的檔案記錄及設備可用狀況。

1.檔案安全控制：

（1）電腦程式及檔案資料備份應依照規定記錄及時限保留。

（2）各備份標明媒體代碼、資料路徑、備份時間、及備份者等資料，並填寫資料備份記錄表。

（3）備份資料保留七天，若有資料須回復時告知資訊單位。

（4）備份資料逾時應按正確步驟清除。

（5）對交易歷史檔案資料，須進行不定期重整，以節省資料庫使用空間及增加系統運作效能。

（6）所有備份之媒體及資料檔案應分別存放固定之保管位置。

（7）重要檔案應存放安全場所保管，並有專人負責保管事務。

（8）磁碟機及網路伺服機內之系統目錄檔案應經常作管理，將不需要之檔案或目錄做消除作業。

2.設備之安全控制：

（1）電腦系統主要的硬體設備，其型號應記錄於資訊設備規格表以利維護作業。

（2）資訊單位所有硬/軟體設備如有故障送修情形及定期維護保養，均須加以記錄其日期、原因及廠商名稱。

（3）各項裝置如有需求應由廠商定期辦理預防性維護措施，並做成記錄，且應訂定書面契約，以確保維護內容，於做完維護時，須有專人會同驗收。

（4）不斷電系統之加裝，以防止電源中斷遭致之意外損害。

（5）只有經核准的人員方能接近電腦設備，以防止蓄意破壞。

（6）主控之電腦設備除操作人員及主管核准之人員外，禁止他人擅自操作。

（7）離開機房、放假無人留守時，應確實將房門鎖上，以防破壞。

（8）機房宜在流通空氣室內，並保持適當溫度。

（9）重要電腦設備及系統主機均設置於機房內。

（10）要有足夠空間及走道，便於維護系統主機空間。

（11）每日針對電腦機房設備檢查表內項目，查看機房內設備狀態是否正常，並將其狀態填入電腦機房設備檢查表中。

二、控制重點：

1.是否確實做好備份工作，妥善保存媒體。

2.是否確實管制機房進出，未經授權核准者，不得任意接近資訊設備。

3.是否設有不斷電及穩壓系統，以免停電而使連線資料流失。

4.備份資料是否異地存放，公司之機密檔案是否予以加密保護。

使用表單：

（1）資料備份記錄表。

（2）資訊設備規格表。

（3）資訊作業需求單。

（4）電腦機房設備檢查表。

CM-108

硬體及系統軟體之購置、使用及維護控制

一、作業程序：

1.購置控制：

（1）需求單位需增購軟/硬體設備時，須依公司有關請購/採購/驗收/付款作業辦理，於填寫資訊作業需求單後，交給資訊單位，由資訊單位評估確有購置之需要與所需規格且無其他單位閒置機台可轉供使用時，即可建立請購單交由採購進行採購作業。

（2）採購單位依資訊單位提供之意見，進行採購作業。

（3）相關資訊設備由需求單位驗收，資訊單位協助會驗，並依公司作業規範辦理。

2.使用控制：

（1）依「固定資產管理辦法」指定專人保管。

（2）凡屬個人電腦及系統軟體和本公司購買而來的軟體，由資訊單位負責維護。

（3）禁止使用來路不明或盜版之軟體。

3.資訊設備維護：

凡屬於個人電腦等級之相關設備之維護，由資訊單位負責；遇有重大及特殊情況，則商請供應商或維護廠商支援維修。

二、控制重點：

1.請/採購單是否有會簽並會驗資訊單位。

2.設備是否有專人保管。

3.有無簽訂維護合約及定期保養。

依據資料：

（1）固定資產管理辦法。

（2）請購及採購管理辦法。

使用表單：

（1）資訊作業需求單。

CM-109

系統復原計劃制度及測試程序之控制

一、作業程序：

避免因不可抗拒之災害發生，影響電腦硬、軟體設備作業，應有備援作業管理，期能於最短時間內，回復正常作業，減少損失。

1.重要系統資源應定期做預防性維護。

2.復原程序中列示之公司中重要的電腦系統及其相關復原程序，依程序進行。

3.應安排復原之地點及備援之電腦設備、系統軟體。

4.各使用單位遇有災變事故時，應即指派人員或通知資訊單位協調應變事宜。

5.若電腦設備採租借使用，應要求出租之電腦廠商於電腦設備發生災變後一定時間內應提供同系列可替換之設備，以確保作業之持續與正常。

6.系統備份煤體定期更新，以為備援系統之用。

7.復原進行期間，加強所有異動與現況之記錄。

二、控制重點：

1.電腦主機系統是否有適當備份。

2.設備或系統新購或修改時，是否同時修正必要之程序內容。

3.系統備份媒體是否妥善保管。

4.系統復原程序是否適當。

CM-110

資通安全檢查之控制

目的：

依據「公開發行公司建立內部控制制度處理準則」對資通安全檢查相關之規定，並確保資通安全檢查作業符合本公司的需求。

範圍：

依據評估之結果，本公司資通安全檢查需求評估之範圍，為本公司以下處所（如：

辦公室、工廠等）均適用此作業程序。

一、作業程序：

1.電腦系統應設置防火牆及防毒軟體，以防止駭客或電腦病毒之侵害。

2.防毒程式病毒碼應定期更新，並經適當補強防火牆軟體。

3.防毒程式之日誌檔案應定期檢核。

4.員工應避免透過公司網路收發或下載與業務無關之郵件或軟體，以避免佔用公司之網路資源，及增加電腦病毒感染機會。

5.重要之軟體及檔案應予加密處理，並定期更新密碼，以避免遭挪用或竊取。

6.各項網路服務之使用應依據資訊安全政策執行，關閉不必要之網路服務。

如須裝置並提供其它網路服務，應提出申請經權責主管核准。

7.應不定期覆核各項網路服務項目之systemlog。

二、控制重點：

1.公司內部是否有專業人員負責處理有關資訊系統安全預防及危機處理相關事宜。

2.是否建立電腦網路系統的安全控管機制，以確保網路傳輸資料的安全，防止未經授權的系統存取。

3.對於跨公司之電腦網路系統，是否對內安裝防毒軟體，對外設置網路防火牆。

4.是否教育員工正確使用合法軟體之概念。

5.網路申報系統的最高使用權限，是否經權責主管人員審慎評估。

6.公司是否依各業務範圍、權責分別設定使用者之帳號及權限，並且不得私自更換使用，使用者一旦離開原職務，是否立即撤銷該使用者之帳號及權限。

7.使用者之帳號及密碼，是否避免使用容易被識破及猜測的密碼。

8.網路系統管理人員是否負責網路安全規範的擬訂，執行網路管理工具之設定與操作。

9.個人電腦及網路系統伺服器，是否具備電腦病毒掃瞄工具。

10.網路系統資料，是否每日定期備份重要檔案及資料。

11.申報之資料是否儲存於電腦內，並以儲存煤體備份。

依據資料：

（1）公開發行公司應公告或向本會申報事項一覽表。

CM-111

公開資訊申報作業之控制

目的：

俾使本公司能確實遵守證券主管機關規定，進行公開資訊申報相關作業。

範圍：

凡本公司向證券主管機關指定網站進行公開資訊申報均適用此作業程序。

一、作業程序：

1.權責人員應依證券主管機關發佈「公開發行公司應公告或向本會申報事項一覽表」辦理本公司公開資訊申報相關作業。

2.對外公開之資訊，應由相關資訊權責人員詳細檢查驗證後，依法令規定格式、方式於規定期限內公告或申報之。

3.資訊公開之行為（如：

電子檔傳送、報紙公告以及其他對外文件發送等）經權責主管核准後，始可由授權人員執行。

4.資訊對外揭露後，權責人員應將相關資料以電子檔案或書面形式分類歸檔留存。

二、控制重點：

1.隨時注意證券主管機關訂定「公開發行公司應公告或向本會申報事項一覽表」更新情形。

2.資訊公開前應由權責主管核准。

3.資訊公開應依法令規定辦理。

4.資訊揭露後應確實歸檔。

依據資料：

（1）公開發行公司應公告或向本會申報事項一覽表。

使用表單彙總表

表一、資訊作業需求單

表四、資料備份記錄表

表二、帳號申請表

表五、資訊設備規格表

表三、資訊設備借用登記表

表六、電腦機房設備檢查表