ISO,ERP,IFRS,內部控制制度
電腦化資訊系統處理,內控電腦化資訊系統處理,电脑化资讯系统
編 號 | 作 業 項 目 | 作 業 程 序 及 控 制 重 點 | 依 據 資 料 |
CE-101 | 資訊部門之功能及權責劃分作業 | 一、作業程序: 1.資訊單位之功能: 設置專職資訊人員,俾達成下列功能: (1)推展各項應用系統,加強電腦化。 (2)促進各部門對電腦軟硬體之有效使用。 (3)發揮電腦作業迅速、省力及連貫作業之特性,以提高各項作業之效率及品質。 (4)運用電腦自動勾稽功能,達到內部牽制/控制目標。 2.資訊單位之職責: (1)統籌全公司作業及應用系統之規劃事宜,並委外發包尋求相關資訊供應商或自行開發。 (2)新應用系統規劃、開發及已開發應用系統之功能擴充及更新暨使用者教育訓練。 (3)設備規劃與管理: A.公司電腦及週邊設備、套裝軟體之規劃、評估及採購控制。 B.電腦及週邊設備、套裝軟體使用、調度及維護,等需求的審核管理與執行。 C.電腦網路系統之規劃與管理。 D.內部網站(知識資料庫)建制與電子郵件管理。 E.電腦設備與軟體使用操作之教育訓練。 (4)電腦作業管理: A.作業系統及檔案管理。 B.電腦主機及各週邊設備運轉之管理。 C.資料歸檔、保護、備份之管理作業。 D.資料輸出/輸入設備使用管制作業。 F.系統復原計劃之規劃與執行。 (5)人員管理: A.資訊單位人員應具備其所任職務之相關專業能力。 B.資訊人員在職期間為公司所開發設計之程式及文之著作權均屬本公司所有,未經權責主管書面同意,不得自行複製、對外轉售或交付他人使用。 C.資訊單位人員之辭職手續按『薪工循環』之離職作業程序辦理。 (6)職務代理:資訊單位應根據職責劃分原則及系統安全控管精神制定職務代理制度。 (7)資訊作業計畫:資訊單位應訂定軟、硬體及資訊作業之計畫,經權責主管簽核後,依計畫所定時程進行各項電腦化工作,並視計畫特性及規模定期提出執行報告,俾以追蹤、調整、策進公司資訊化之推動。 (8)與使用單位之職責劃分: A.使用單位得視本身現行與未來作業情況,提出作業需求。資訊單位則參酌電腦軟硬體發展情況與相關部門會商決定開發之優先順序後辦理委外發包事宜。 B.若有電腦或相關週邊設備增添、異動或處分時,應依『固定資產管理辦法』辦理。 | 1.依據資料: (1)電腦資訊系統管理辦法 |
二、控制重點 1.資訊單位獨立執行其職務,並不得逾越未經授權之事宜。 2.資訊單位與使用單位應適當劃分職責、權限。 3.各項電腦及週邊設備之採購等相關事宜應經資訊單位簽核始可辦理。 4.資訊單位是否有訂定軟、硬體及資訊計畫,並定期提出執行報告。 | |||
CE-102 | 系統開發及程式修改作業 | 一、作業程序: 1.使用單位依業務需求,擬將現行人工作業予以電腦化或新增應用系統或軟體,應填具「資訊程式異動申請單」並詳述使用目的,交資訊單位評估並依核決權限送呈簽核後,由資訊單位存檔備查據以統一辦理申請。 2.資訊單位得因編制、技術能力等因素,將系統開發及修改作業委託優良軟體廠商執行或購置套裝軟體。 3.資訊單位應依公司營運需求,規劃公司電腦化作業,並選擇適當之系統(程式)或軟體,其請、採購及相關管理作業應依『固定資產管理辦法』辦理。 4.資訊單位應洽詢優良軟體廠商並進行詢比議價作業,邀請合格軟體廠商進行功能簡介、展示及教育訓練計劃等,以作為決定軟體廠商之依據。 5.資訊單位選定軟體廠商後,商議最後議價事宜,若開發、購置性質需保固或金額大小等因素,簽立「合約」。「合約」用印依『印鑑使用管理辦法』規定辦理;「合約」並存查。 | 1.依據資料: (1)電腦資訊系統管理辦法 2.使用表單: (1)資訊程式異動申請單 |
二、控制重點 1.應用系統(程式)或軟體之開發、購置,應依規定之作業程序辦理,並考慮使用單位需求。 | |||
CE-103 | 系統測試與驗收作業 | 一、作業程序: 1.軟體廠商事前安裝應用系統(程式)或軟體時,應先將現行系統進行適當區隔(如暫時離線或備份相關程式措施),避免測試作業影響現行作業。 2.應用系統(程式)或軟體測試時,除資訊單位應依其專業進行測試外,應視購置性質由使用單位及相關單位等一併參與。 3.於正式驗收前,軟體廠商應提供適當之教育訓練予相關單位使用者。 4.經測試及上線輔導完成後,應將測試應將測試紀錄於「資訊程式異動申請單」及訓練紀錄作成「內部訓練簽到表」,由參與單位人員簽認後,始完成移交程序。 5.移交完成後應將「資訊程式異動申請單」與「員工個人訓練統計表」及相關文件歸檔。 6.經測試及上線訓練完成後,應用系統(程式)或軟體之驗收請款作業程序,除應依『固定資產管理辦法』相關作業辦理外,資訊單位人員應於「驗收單」中說明測試結果並附驗收單據,始完成驗收程序。 7.相關操作手冊、技術手冊及設定文件等資料,應按『編製系統文書之控制作業』辦理。 | 1.依據資料: (1)電腦資訊系統管理辦法 (2)固定資產管理辦法 2.使用表單: (1)資訊程式異動申請單錄表 (2)內部訓練簽到表 (3)驗收單 |
二、控制重點 1.進行測試時,應與現行系統進行適當之區隔措施,以不影響現行系統為原則。 2.系統驗收前,軟體廠商應提供適當且完整之教育訓練,確認使用者可正確操作系統。 | |||
CE-104 | 系統改版更新或修改作業 | 一、作業程序: 1.使用單位因業務需要、或供應廠商定期更新版本、或資訊單位整體規劃需求時,應辦理應用系統(程式)或軟體之版本更新或修改。 2.需求單位提出申請時,應填具「資訊程式異動申請單」,經資訊人員專業判斷後,安排修改事宜。若為外購應用系統(程式)或軟體,資訊單位應立即與原軟體廠商(如合約廠商、原廠保證廠商)連繫。 3.資訊部門評估不可行時,填寫原因並經資訊部門主管簽核後將申請單歸檔存查,並COPY一份給申請單位。 4.資訊部門評估可行時,由資訊人員或原系統廠商進行程式開發或修改。 5.開發完成後,由資訊人員及申請人測試完成後,填寫於「資訊程式異動申請單」,由申請人員簽認。 6.更新或修改之測試、教育訓練及驗收比照前段之系統測試、驗收作業程序辦理。 7.新設或修改系統,應於使用前,提交使用部門模擬測試,經充份討論及驗證後,始可取代舊系統,原舊系統亦應由資訊單位備份存檔。 8.相關操作手冊、技術手冊及設定文件等資料,應按『編製系統文書之控制作業』辦理。 9.各單位如有臨時緊急系統修改需求時,應立即呈報部門主管同意,並通知資訊單位,資訊單位評估並確認需修改系統程式時,應立即與原軟體廠商連繫,安排修改事宜。 | 1.使用表單: (1)資訊程式異動申請單 |
二、控制重點: 1.系統程式之新增及變更修改是否確實經核准辦理。 2.系統程式異動/測試紀錄表應由資訊人員妥善保管。 3.系統程式須由使用單位測試驗證後,方正式啟用。 | |||
CE-105 | 編制系統文書之控制作業 | 一、作業程序: 1.資訊單位於完成系統測試及驗收程序後(含新購、版本更新及修改),將「資訊程式異動申請單」、操作手冊、保證書與軟體,存查列管。 2.具機密性之資料及文件應列入文件管制以避免資料外洩。 3.當使用單位因公借閱系統文件時,應登記「教育訓練手冊借閱紀錄」。 4.資訊單位應按時清點列管操作手冊、技術手冊、系統文件及保證書等資料,經核准後使得借閱。 | 1.使用表單: (1)電腦軟硬體文件借出登記表 (2)資訊軟硬體清冊一覽表 |
二、控制重點: 1.操作或管理手冊等文書說明應確實建立。 2.資訊單位於新系統開發及進行修改作業時,其相關之電腦文書應同時予以更新。 3.納入正式作業之電腦文件或檔案,應切實列冊保管紀錄。 4.列管清冊是否按時編制,並由資訊人員控管。 | |||
CE-106 | 程式及資料存取控制作業 | 一、作業程序: 1.操作控制 (1)非資料處理人員,未經核准不得擅入機房。 (2)使用者用完電腦時必須離線,個人電腦不使用時需關機。 (3)禁止擅自利用資訊中心系統設備,處理與本身業務無關的作業。 2.網路系統內之存取控制: (1)ERP系統 A.凡本公司員工因業務需要使用電腦網路系統,填寫「系統網路權限申請(異動)單」申請,經權責主管核准後,資訊單位依該員之業務權限建立其系統帳戶(Account),同時設定其系統使用權限,每人均有一個使用者帳號及密碼,以確保系統的程式及資料之存取安全。 B.資訊單位應將系統網路權限申請(異動)單列冊歸檔保存,各使用單位人員自設帳戶密碼,且個人之密碼不得借他人使用。 C.電腦系統使用單位操作人員因故離職時,行政部應將離職申請單會簽資訊單位刪除此使用者之代碼;電腦系統使用單位操作人員調換職務時,其系統使用權限應立即更新。 D.為避免系統經非授權人員使用,造成不當破壞或更新程式或資料,各使用單位人員應保密自設之帳戶密碼,以確保系統程式及資料之完整性。 (2)E-MAIL帳戶管理 A.凡本公司員工因業務需要使用電腦網路系統,填寫「系統網路權限申請(異動)單」申請,經部門主管核准後,資訊單位設立電子郵件信箱及密碼,使用者應將其密碼作妥善保密。 B.個人之E-MAIL資料由個人作收發文之管理,與公司業務有關者需列印歸檔管理。 C.禁止利用電腦系統進入、下載、列印、儲存、轉寄、傳送或散佈非公司營運相關資料。 (3)使用個人電腦之存取控制: A.資料處理結束,使用者應對該資料編定檔案編號。檔案之命名儘量以有意義之中文或英文代號命名之,並分主檔名及附檔名。 B.使用者所使用之磁片或軟體必須經資訊單位核可認定後,方可於公司電腦上使用,以防止電腦病毒入侵,破壞存檔之資料。 C.各部門如因業務需要,需參考其他單位之資料檔案時,須經由單位主管簽核後,使得調閱。 (4)權限控制 A.使用者依權限擁有相關功能。 B.負責系統或程式上線人員應於執行上線程序時,依系統安全及使用者職權之所需設定程式執行及資料檔案之存取權限。 | 1.使用表單: (1)系統網路權限申請(異動)單 |
二、控制重點 1.程式執行及資料的存取使用應依部門工作權責加以管制。 2.重要之系統公用程式、工具及指令應依其使用者工作權責限制其存取權限。 3.程式執行及資料的存取使用應均留下可追蹤的記錄。 4.「系統網路權限申請(異動)單」應確實歸檔存查。 | |||
CE-107 | 資料輸出入之控制作業 | 一、作業程序: 1.資料輸入控制: (1)使用單位應依照系統所需之輸入資料,設計合適之輸入異動單據。 (2)各項輸入單證後、於系統中簽核完成,或列印並完成相關單位的簽核作業。 (3)使用單位之主管應就其具有影響性之系統操作功能提出使用者之權限與密碼規範,並訓練合格的成員完成之。 (4)如發現資料有異常狀況時,應分析錯誤原因,以便執行更正程序。 2.輸出作業之控制 (1)報表之輸出符合報表之標準表頭格式。 (2)屬於決策性之報表,應由使用單位專人負責列印,以防止報表之重覆而引起混淆。 | |
二、控制重點 1.資料的輸入處理是否留下可供識別的記錄。(如:日期時間) 2.資料的輸入是否設定使用權限密碼。 3.機密性或敏感性資料的輸出是否納入應用系統權限設定。 4.輸出資料使用後,若無保存需要,是否經過適當的毀棄處理。 5.輸出資料若以磁性媒體保存,是否定期檢查,以確定可正常使用。 | |||
CE-108 | 資料處理之控制作業 | 一、作業程序: 1.硬體於處理資料之控制 (1)相關之硬體設備應定期審查,並將檢查情形予以記錄。 (2)硬體設備如有異常現象發生,應根據各項設備使用手冊之指示設法排除或是即刻通知廠商前來維修,並記錄於工作日誌。 2.系統開機: (1)各作業權責單位依據規定啟動各項電腦系統並記錄異常狀況。 (2)如發現不正常情形,應根據各項設備使用手冊之指示設法排除或是即刻通知廠商前來維修,並記錄於工作日誌。 3.系統軟體於處理資料之控制: (1)一般系統軟體係指作業系統及公用程式,通常由廠商提供,若需修改或更新系統軟體時,應比照『系統開發及程式修改作業』辦理。 (2)不同使用者應有不同的使用權限控制,其使用權限設定比照『程式及資料之存取控制作業』辦理。 4.應用軟體於處理資料之控制: (1)程式中設定同一應用軟體因不同使用目的有不同使用等級的設定,以確保資料隱密性。其使用等級或權限之設定比照『程式及資料之存取控制作業』辦理。 (2)執行應用軟體處理資料時,若有錯誤發生,應研判屬於資料或程式錯誤, 屬資料錯誤應依錯誤更正程序辦理;若程式錯誤應依『系統開發及程式修改作業』程序處理。 (3)系統因故中斷,使用單位應立即通知資訊單位協助處理,檢查當筆資料是否存在,是否可進行還原或必須重新輸入。 | |
二、控制重點: 1.系統異常之修護、排除過程應予記錄。 2.程式中應設定適當之控制功能,確保資料處理的正確性。 | |||
CE-109 | 檔案及設備之安全控制作業 | 一、作業程序: 1.資料檔案之安全控制: (1)資訊單位之統籌控制 A.定期拷貝網路伺服器系統目錄之資料,並將備份內容及資料記錄人、備份之資料保存期限登入「工作日誌」,並測試檢查備份資料之可用性,確保資料可完整回存。 B.重要資料檔案應複製雙份備份資料,並分別放置不同處所。 C.資訊單位應定期進行備分,並將備份出之媒體置放於完善防災措施獨立主機機房之外安全處所。 D.備份之資料應由資訊單位集中控管,不得擅自外借至其他單位。 E.應定期整理網路伺服器內之系統目錄檔案,並經常清除不必要之檔案。 F.電腦防毒措施由資訊單位裝入網路伺服器的防毒軟體,伺服器由資訊單位負責不定期更新防毒軟體。 (2)使用單位對檔案之控制 A.單機防毒措施,由各使用者依需求逕洽資訊單位安裝防毒軟體並由使用者自行透過網路更新病毒碼。 B.為防止公司電腦資訊遭電腦病毒侵入,使用者不得擅自使用磁片。 C.使用單位對於檔案之使用應依照『程式及資料之存取控制』作業辦理。 D.避免檔案資料遭病毒毀損,資訊單位定期自動偵測病毒,並訓練所有人員使用偵測病毒軟體偵測外來磁片之病毒。 2.電腦設備之安全控制 (1)硬體設備管理: A.凡資訊設備於購入時,資訊單位應依固定資產管理辦法會同使用單位驗收,以利資訊設備管理。 B.超過保存年限且無使用價值者應列單報廢,以避免留存不必要之設備。 (2)機房環境限制: A.機房遠離高溫及潮濕之環境。 B.機房內禁止吸煙、飲食、放置什物或私人用品,並按時維護,保持清潔。 C.機房儘量不堆積報表紙、紙箱、油墨以及各種套印的報表紙。 (3)人員進出機房管制: A.電腦機房,除資訊單位人員外,未經核准不得進入。 B.離開機房時,若無人留守,請將機房房門鎖上,以防止外人進入,破壞系統。 C.需注意放假時段電腦機房之安全防護措施。 (4)電源設備管理 A.重要設備應裝設有不斷電設備(UPS)及電源供應器以防止較長時間的停電。 B.若不斷電設備不足供應電源時,應依序關閉主機,以防止資料流失。 | 1.依據資料: (1)固定資產管理辦法 2.使用表單: (1)資訊系統工作日誌 |
二、控制重點 1.系統資料應定期備份,並定期清點及測試回存之可行性。 2.各項電腦設備及週邊設備應定期檢查、維修及保養。 3.人員進出機房,應嚴格管制。 4.偵測病毒軟體之版本應定期更新。 5.備份資料是否放置於安全且獨立於機房外之處所。 | |||
CE-110 | 電腦硬體及系統軟體之購置、使用及維護之控制作業 | 一、作業程序: 1.電腦硬體及系統軟體之購置: (1)資訊單位依據全公司整體電腦化計劃及各部門之電腦化個別需求,遴選廠商,經與使用單位主管評選適合包商呈准後,提報專案採購及簽約,並配合廠商依合約內容進行安裝事宜。 (2)使用單位依業務需求,欲購置電腦硬體及系統軟體時,一切應依『固定資產管理辦法』作業辦理採購事宜。 2.電腦硬體及系統軟體之使用: (1)使用單位對於電腦硬體及系統軟體之使用應依照操作手冊之說明進行操作。 (2)資訊單位對於電腦硬體及系統軟體之維護應依照系統手冊辦理。 (3)資訊人員對新操作人員進行使用說明及訓練,以使其順利上線。 (4)連線網路系統使用完畢或暫時停止使用時,均應予以離線,長時間不使用時,應確實關機。 (5)各使用人員除資訊單位灌入電腦之合法軟體外,不得私自灌入非法之盜版軟體。 3.硬體設備及軟體維護: (1)資訊單位應將硬體設備、故障送修情形予以記錄。 (2)公司所有之硬體設備,其使用人員及型號等相關資料應列冊記錄。 (3)使用單位電腦機器故障時,應通知資訊單位派員處理,資訊單位得視情形自行或洽廠商檢修,資訊單位人員並應於工作日誌記錄機器故障原因及維修狀況,以利維護作業。 | 1.使用表單: (1)資訊系統工作日誌 |
二、控制重點 1.電腦軟硬體購置、更新應依固定資產管理辦法規定辦理。 2.電腦軟硬體應定期維護並記錄。 | |||
CE-111 | 系統復原計畫制度及測試程序之控制作業 | 一、作業程序: 1.資料庫異常之復原 (1)如發生資料庫異常情形,應立即通知資訊人員處理。 (2)資訊人員應要求使用者全部離線,以做異常資訊之檢核。 (3)確認資料庫發生問題,應呈報權責主管並分析檔案及資料受損情形,及對公司營運之影響,同時排除異常狀況,保護資料完整性。 (4)若無法將資料完全復原則將備份資料復原,並協助使用單位完成資料備份後至作業現況期之各項原始交易資料之補鍵作業。 (5)資訊單位於進行系統資料復原作業前,應注意使該系統與各相關子系統之資料在同一時間點狀態,並於完成資料復原作業後再進行資料傳遞。 (6)資訊單位於完成資料復原作業後,應注意各相關子系統間傳輸資料比數是否ㄧ致。 (7)資訊人員應將異常情形及處理方式寫成報告呈權責主管核閱,並作為日後控制及改進之依據。 2.復原測試程序 (1)目的: A.發掘程式錯誤。 B.驗證是否符合需求規格。 C.找出系統之限制條件。 (2)系統復原測試應由使用者和資訊人員共同進行,以期對系統分析、設計、程式撰寫進行複核工作。 (3)測試過程中如發現錯誤,應由使用者填寫「資訊程式異動申請單」,交資訊人員查核改進。 (4)資訊單位應視系統毀損程度,於復原後指派專員予以監控一至六日,以確保復原無誤。 (5)資訊人員於排除錯誤後,應將修正內容詳列記錄,以為日後參考依據。 | 1.使用表單: (1)資訊程式異動申請單 |
二、控制重點 1.使用者發現異常訊息時,是否立即通知資訊人員處理。 2.資訊人員是否依規定及操作手冊排除異常狀況。 3.資訊人員是否將異常情形及處理方式詳細記錄並呈核,以為日後參考依據。 4.系統測試如有錯誤,是否由使用者填單請資訊人員處理。 5.測試錯誤之排除是否留有記錄,以備查考。 | |||
CE-112 | 公開資訊申報之控制作業 | 一、作業程序: 1.公開發行公司XXXXXXXX依規定向金管會指定網站進行公開資訊申報,並依臺灣證券交易所股份有限本公司(以下簡稱證交所)及財團法人中華民國證券櫃檯買賣中心(以下簡稱櫃買中心)所訂「公開發行本公司網路申報公開資訊應注意事項」之作業規範辦理相關事宜。 2.為維護傳輸資料之安全及正確性,公開資訊之傳輸應取得網路認證。 3.依相關法令申報本公司資料時,由申報資料提供單位彙整申報資料,經權責主管覆核,交由負責公開資訊申報作業人員辦理申報事宜,上傳成功後應將查詢畫面或取得證交所核發之「上傳檔案核可通知單」列印出來,交由申報單位主管簽核以結案備查。 4.若上傳成功後,相關部門發現申報之資訊需更正時,則須提出申請並說明修改原因及內容,由權責主管簽核後,始得交由有權申報人員辦理申報更正事宜。 | 1.依據資料: (1)公開發行本公司網路申報公開資訊應注意事項 2.使用表單: (1)公開資訊申報資料 (2)上傳檔案核可通知單 |
二、控制重點 1.是否依相關法令定期申報資訊。 2.申報之資料是否經適當核准。 3.已申報資料之更正是否經適當核准。 4.申報成功之資料是否完整歸檔保存。 5.私密金鑰之保管是否有適當之控管措施。 | |||
CE-113 | 資通安全檢查之控制作業 | 一、作業程序: 1.新進員工應填寫「系統網路權限申請(異動)單」,經權責主管核准後,申請電子郵件帳號,並由資訊人員告知使用電子郵件之規定。 2.資料經由電子郵件傳送或接收時,應於電腦系統設置防火牆及防毒軟體,以防止駭客或電腦病毒之侵害。 3.員工應避免透過本公司網路收發或下載與業務無關之郵件或軟體及檔案,以避免佔用本公司之網路資源,及增加電腦病毒感染機會。 4.本公司員工非經權責主管授權,禁止將本公司相關資訊經由電子郵件對外傳送。 5.重要之軟體及檔案應妥善保管及備份,並置放安全處所,以避免遭挪用或剽竊。 6.資訊人員應定期檢查防火牆之設定,並隨時檢視防火牆之設備是否足以隔絕外來之侵害。 7.各項網路服務之使用,針對不必要之網路服務應予關閉。 8.各項網路服務應提出申請並經相關權責人員之核准,方可設置。 9.資訊人員應定期覆核各項網路服務項目之系統日誌檔,並追蹤異常之情形。 10.資訊人員設定於最少ㄧ週自動更新病毒碼,並於每週自動掃描偵測病毒。 11.資訊人員定期更新偵測病毒軟體之版本,並訓練所有人員使用偵測 12.如需遠端登入管理資訊系統應提出申請並經權責主管核准後,由資訊人員安裝設定。 | 1.依據資料: (1)電腦資訊系統管理辦法 2.使用表單: (1)系統網路權限申請(異動)單 |
二、控制重點 1.新進員工是否填寫「系統網路權限申請(異動)單」,經權責主管核准後,申請電子郵件帳號,並由資訊人員告知使用電子郵件之規定。 2.本公司郵件伺服器是否裝設防火牆及防毒軟體以隔絕外來侵害。 3.資訊人員是否定期檢視伺服器上郵件收發情形,若有異常狀況應呈報權責主管處理。 4.機密檔案是否予以加密保護。 5.資訊人員是否有定期檢查防火牆之設定,並隨時檢視防火牆之設備是否足以隔絕外來之侵害。 6.各項網路服務是否有提出申請並經相關權責人員之核准,方可設置。 7.資訊人員是否有定期覆核各項網路服務項目之系統日誌檔,並追蹤異常之情形。 8.資訊人員是否有設定於最少ㄧ週自動更新病毒碼,並於每週自動掃描偵測病毒。 9.資訊人員是否有定期更新偵測病毒軟體之版本。 |