電子數(shù)據處理循環(huán)

1、內控制度電子數(shù)據處理循環(huán)編號CE100電子數(shù)據處理循環(huán)（總說明）版本1.0日期2002/01/01內部控制制度電子數(shù)據處理循環(huán)文件管制等級：管制文件 非管制文 件（股份有限公司發(fā)行）頁次1/28 頁內控制度電子數(shù)據處理循環(huán)編號CE100電子數(shù)據處理循環(huán)（總說明）版本1.0日期2002/01/01文件履歷紀要頁文件發(fā)行單位文件管制等級管理代表管制文件非管制文件文件履歷紀錄版次修訂內容核準權責編撰日期0第1版（新發(fā)行）（股份有限公司發(fā)行）頁次2/28 頁內控制度電子數(shù)據處理循環(huán)編號CE100電子數(shù)據處理循環(huán)（總說明）版本1.0日期2002/01/011. 總則1.1. 制定目的為促使本公司內部控制

2、（Internal Control）之電子數(shù)據處理循環(huán)（Electronic Data）程序，能有所遵循，特訂定本文件，俾利各相關單位遵循。1.2. 適用范圍凡本公司有關內部控制之電子數(shù)據處理循環(huán)作業(yè)程序與控 制重點，悉依照本文件之規(guī)范辦理。1.3. 權責單位信息單位為本文件之權責單位，權責單位主管經承認單位授權，負 責本文件之管制，并確保依據本文件之規(guī)范作業(yè)。2. 電子數(shù)據處理循環(huán)2.1. 循環(huán)圖【見】（數(shù)據1） 電子數(shù)據處理循環(huán)圖。2.2. 循環(huán)作業(yè)本循環(huán)之各項作業(yè)：1）組織及職責作業(yè)（CE101），另訂之。2）系統(tǒng)開發(fā)及修廢作業(yè)（CE102），另訂之。3）系統(tǒng)應用文書管理作業(yè)（CE103

3、），另訂之。4）系統(tǒng)使用管理作業(yè)（CE104），另訂之。5）數(shù)據輸出入管理作業(yè)（CE105），另訂之。6）數(shù)據處理作業(yè)（CE106），另訂之。7）檔案及設備之安全作業(yè)（CE107），另訂之。8）軟硬件設備管理作業(yè)（CE108），另訂之。9）系統(tǒng)復原及測試作業(yè)（CE109），另訂之。10）計算機機房管理作業(yè)（CE110），另訂之。11）網絡系統(tǒng)管理作業(yè)（CE111），另訂之。12）其它相關庶務管理作業(yè)（CE112），另訂之。（股份有限公司發(fā)行）頁次3/28 頁內控制度電子數(shù)據處理循環(huán)編號CE100電子數(shù)據處理循環(huán)（總說明）版本1.0日期2002/01/013. 附則3.1. 制修廢與頒布實施本文

4、件屬于管理文件，經經營會審議后，呈請董事長核準承認 后，交由權責單位頒布公告實施；修訂或廢止時亦同。3.2. 編號、版本、日期、頁次/頁數(shù)本文件之項類、標題、編號、版本、實施日期、公司名稱、文件頁 次/頁數(shù)等項，見本文件之頁首與頁尾。3.3. 附件3.3.1. 相關資料（數(shù)據1） 電子數(shù)據處理循環(huán)圖（股份有限公司發(fā)行）頁次7/28頁內控制度電子數(shù)據處理循環(huán)編號CE100電子數(shù)據處理循環(huán)（總說明）版本1.0日期2002/01/01（數(shù)據1）電子數(shù)據處理循環(huán)圖其它相關 循環(huán)11CE101 I組織及職責|CE102_I_CE107系統(tǒng)開發(fā)K -+1檔案及設|及修廢:I備之安全|CE103_I|_CE

5、108系統(tǒng)應用卜-+軟硬件設|文書管理I:備管理|CE104 jI|CE109 |系統(tǒng)使用 管理I系統(tǒng)復原 及測試|CE1051I|_CE1101數(shù)據輸出-+-計算機機入管理I房管理|CE106I_CE111數(shù)據處理I網絡系統(tǒng) 管理|CE112內控制度電子數(shù)據處理循環(huán)編號CE100電子數(shù)據處理循環(huán)（總說明）版本1.0日期2002/01/01其它相關庶務管理內控制度電子數(shù)據處理循環(huán)編號CE101組織及職責作業(yè)版本1.0日期2002/01/01第1節(jié)作業(yè)程序1. 設立目的為因應公司長期發(fā)展之需要，指導公司計算機化，并規(guī)劃企業(yè)管理 與信息應用相結合之管理信息系統(tǒng)，以期提供實時正確之信息，協(xié) 助決策單

6、位提升管理績效。確定公司之軟、硬件規(guī)劃標準政策，以保公司之長期發(fā)展及電子數(shù) 據處理之一致性。信息單位除依使用單位提出之需求作應用系統(tǒng)開發(fā)維護操作外，應 規(guī)劃評估新的計算機技術和應用，以提升信息系統(tǒng)之效率。2. 組織及職責本公司信息單位設主管、程序設計師與系統(tǒng)管理師等。1) 主管(A) 依公司政策，研擬短、中、長期計算機化作業(yè)之整體規(guī)劃 與整合。(B) 信息業(yè)務之規(guī)劃、執(zhí)行、協(xié)調、督導及審核。(C) 信息處理作業(yè)及控制辦法之擬訂。(D) 所屬人員之管理，訓練及考核。(E) 與其它單位之業(yè)務協(xié)調與溝通。(F) 系統(tǒng)文件、手冊制作規(guī)劃。(G) 新系統(tǒng)之評估、規(guī)劃、分析、設計。(H) 信息單位之預算編

7、列和執(zhí)行控制。(I) 計算機應用系統(tǒng)密碼設定維護。(J) 其它上級交辦事項。2) 程序設計師(A) 計算機信息系統(tǒng)規(guī)劃、分析、與設計。(B) 應用系統(tǒng)程序之開發(fā)、管理和維護。(C) 系統(tǒng)文件，操作手冊之編制，維護和管理。(D) 使用單位之問題排除及軟硬件技術支持。(股份有限公司發(fā)行)頁次7/28 頁內控制度電子數(shù)據處理循環(huán)編號CE101組織及職責作業(yè)版本1.0日期2002/01/01(E) 內部新進人員計算機教育訓練。(F) 其它上級交辦事項。3) 系統(tǒng)管理師(A) 計算機安全控制與管理。(B) 相關操作系統(tǒng)、應用系統(tǒng)、數(shù)據文件及數(shù)據庫之管理及維 護。(C) 數(shù)據文件與系統(tǒng)程序備份。(D) 硬

8、設備之維護。(E) 機房計算機及相關外圍之安全與清潔。(F) 使用單位之問題排除及軟硬件技術支持。(G) 信息單位相關資源之維護管理。(H) 其它上級交辦事項。4) 各單位計算機使用人員(A) 各單位使用計算機系統(tǒng)之人員，負責審查輸入數(shù)據之憑證 是否合于規(guī)定，并負責檢查填寫，登錄有無錯誤。(B) 各單位使用計算機系統(tǒng)之人員，必需經由權責單位主管授 權后，始可執(zhí)行應用系統(tǒng)之日常交易數(shù)據輸入與更正。(C) 嚴禁員工使用非法或未經授權的應用軟件。第2節(jié) 控制要點1) 信息單位之人員，是否依職責完成各項工作。2) 對已提出辭呈之信息單位人員，是否避免允許其離職前接近敏 感程序或檔案。3) 員工離職時，

9、該人員以前經手的一切文件、磁帶、磁盤及磁盤 等，是否盤點清楚并完作移交手續(xù)；員工離職后，該員曾接 觸之密碼是否做適當?shù)恼{整。(股份有限公司發(fā)行)頁次8/28 頁內控制度電子數(shù)據處理循環(huán)編號CE102系統(tǒng)開發(fā)及修廢作業(yè)版本1.0日期2002/01/01第1節(jié) 作業(yè)程序1. 系統(tǒng)開發(fā)1) 使用單位對于現(xiàn)行系統(tǒng)功能需要變更或重新開發(fā)系統(tǒng)，應提出系統(tǒng)開發(fā)/修改/廢止申請單，并將需求內容及要點詳列 于申請單中，經該單位直屬主管提出需求申請，徑交信息單位 處理。2) 信息單位收到申請單后，由單位主管指派資訊工程師處理。3) 系統(tǒng)分析及設計信息人員進行系統(tǒng)功能之確認，并劃分子系統(tǒng) 且描述子系統(tǒng)之輸出入規(guī)格及

10、作業(yè)流程；若該系統(tǒng)開發(fā)后將會 影響到其它單位之作業(yè)時，信息單位主管或資訊工程師須與相 關單位主管討論會簽后，再由信息單位主管決定自行開發(fā)、外 包或購買合法軟件。4) 程序開發(fā)完成后，應會同相單位依照各項需求功能進行測試， 若無問題則相關單位應于系統(tǒng)開發(fā)/修改/廢止申請單上 簽認，并執(zhí)行次一階段作業(yè)。2. 系統(tǒng)修改1) 使用單位對于現(xiàn)行系統(tǒng)功能需要變更或重新開發(fā)系統(tǒng)，應提出系統(tǒng)開發(fā)/修改/廢止申請單，并將需求內容及作要點詳 列于申請單中，經該單位直屬主管提出需求申請，徑交信息單 位處理。2) 信息單位收到申請單后，由單位主管指派資訊工程師處理。3) 資訊工程師依據修改內容及作業(yè)要點進行可行性分析

11、，若須修 改的內容有影響至其它單位之作業(yè)時，信息單位主管或資訊工 程師須與相關單位管討論會簽后，再由單位主管決定自行修改 、外包或購買。4) 系統(tǒng)修改完成后，得會同相關單位依照各項需求功能進行測試 ,若無問題則請相關單位主管于原系統(tǒng)開發(fā)/修改/廢止申 請單上簽名，并進行應用軟件更新作業(yè)。3. 系統(tǒng)廢止1) 當信息單位或使用單位發(fā)現(xiàn)系統(tǒng)已不合時宜欲終止時，應填具 系統(tǒng)開發(fā)/修改/廢止申請單，并將其原因詳列于申請單(股份有限公司發(fā)行)頁次9/28 頁內控制度電子數(shù)據處理循環(huán)編號CE102系統(tǒng)開發(fā)及修廢作業(yè)版本1.0日期2002/01/01中，經各單位主管簽核后，交由信息單位處理。2) 信息單位收到

12、申請單后，由單位主管指派資訊工程師處理。3) 資訊工程師依據系統(tǒng)內容及作業(yè)要點進行分析，若該系統(tǒng)牽涉 到其它單位時，信息單位主管或資訊工程師須與相關單位主管 討論并會簽意見。4. 資料備份系統(tǒng)開發(fā)/修改完成后，須將原始程序及檔案備份至磁帶或磁盤 等備份媒體上，并將備份的內容及備份媒體的編號，記錄在原始 程序及相關檔案備份紀錄表內。5. 作業(yè)期限信息單位依大、小型系統(tǒng)分別訂工期，并依工期進行程序之新增及 修改，若有多項需求同時申請時，信息單位得依其重要性適時調整 其工期，并記錄在系統(tǒng)開發(fā)/修改/廢止進度管制表內。6. 其它1) 未經許可，所有軟件嚴禁拷貝。2) 系統(tǒng)外包廠商開發(fā)、修改及維護時，其

13、所訂合約應妥善保管。 軟件版本如有更新時，應將舊版刪除或加以管理，并將處理情 形做成記錄備查。3) 系統(tǒng)上線前均應逐一測試。4) 系統(tǒng)測試時，非經許可不可用在線實際之數(shù)據，須在測試區(qū)進 行測試，待測試完成后，再正式開放給使用者使用。系統(tǒng)測試 完成上線時，應知會主要使用單位。5) 系統(tǒng)開發(fā)時，須撰寫相關數(shù)據文件及文件，并留存?zhèn)洳椤?) 系統(tǒng)修改時，須將相關文件一并隨之修改，并留存?zhèn)洳椤?) 信息單位須制作操作手冊，并隨程序之修改更新之，并留存?zhèn)?查，且由信息單位教導使用者如何使用新系統(tǒng)。第2節(jié) 控制重點1) 應用系統(tǒng)開發(fā)、修改、廢止，是否依規(guī)定進行申請、驗收及廢 止程序。2) 原始程序及相關檔案

14、是否依規(guī)定進行備份，并完成紀錄。(股份有限公司發(fā)行)頁次10/28 頁內控制度電子數(shù)據處理循環(huán)編號CE102系統(tǒng)開發(fā)及修廢作業(yè)版本1.0日期2002/01/013) 應用系統(tǒng)開發(fā)、修改是否依時限完成。4) 應用系統(tǒng)開發(fā)、修改、廢止等之相關合約、檔案及文件有無妥 善保管。5) 外購軟件是否合法。第3節(jié)相關資料系統(tǒng)開發(fā)/修改/廢止申請單、原始程序及相關檔案備份紀 錄表、系統(tǒng)開發(fā)/修改/廢止進度管制表等。(股份有限公司發(fā)行)頁次#/28 頁內控制度電子數(shù)據處理循環(huán)編號CE103系統(tǒng)應用文書管理作業(yè)版本1.0日期2002/01/01第1節(jié) 作業(yè)程序1) 信息單位自行開發(fā)之系統(tǒng)，應具備系統(tǒng)應用說明書，其

15、內 容應依下列大綱敘述：(A) 系統(tǒng)功能介紹。(B) 檔案說明。(C) 事務作業(yè)流程圖。(D) 系統(tǒng)模塊架構表。(E) 程序名稱一覽表。(F) 操作說明。2) 信息單位所有文書或檔案，應指派專人保管存盤。3) 系統(tǒng)或程序變更時，相關文書或手冊應隨即更新抽換。4) 所有系統(tǒng)文書之保管人于離職前，應依人事管理相關規(guī)定作業(yè) ，并于完成離職手續(xù)后方可離職。第2節(jié) 控制重點1) 系統(tǒng)應用文書之編制應按照既定之標準。2) 確保所有系統(tǒng)說明文件均已按照既定之標準編制，足以供系統(tǒng) 設計人員維護現(xiàn)有系統(tǒng)。第3節(jié) 相關資料系統(tǒng)應用說明書等。(股份有限公司發(fā)行)頁次12/28 頁內控制度電子數(shù)據處理循環(huán)編號CE10

16、4系統(tǒng)使用管理作業(yè)版本1.0日期2002/01/01第1節(jié) 作業(yè)程序1. 系統(tǒng)使用控制1) 所有新計算機系統(tǒng)使用者，須依其工作職掌以系統(tǒng)使用需求 申請/變更表向信息單位提出建置計算機系統(tǒng)識別碼之申請 ，該項申請須經權責單位主管核準為之。2) 計算機系統(tǒng)使用者如有職務調動或離職，該項人事異動應知會 信息單位取消或更改其計算機系統(tǒng)使用識別碼。3) 個人之計算機系統(tǒng)使用識別碼及密碼不得告知或提供他人使用 ,密碼如有外泄，應即更換其密碼。4) 個人之計算機使用者注冊文件，應不定期由專人復核以確保使 用者確實存在，且無不當?shù)氖褂们樾巍?) 個人之計算機系統(tǒng)識別碼及密碼，應存在經特別保護之檔案， 以防止未

17、經授權之存取發(fā)生，且識別碼及密碼之建置應有適當 控制，以避免遭不當引用而損及公司的重要檔案。2. 程序的存取原始程序檔案應作權限管制，以防止系統(tǒng)或程序設計人員或使用者 不當?shù)馗略汲绦驒n案，而對公司資源造成損害。3. 數(shù)據的存在1) 如緊急數(shù)據主文件有變更需求時，應由使用單位主管核準后， 以系統(tǒng)開發(fā)/修改/廢止申請單向信息單位提出申請。2) 目前正在上線正常運作中之數(shù)據，需經信息單位主管的認可， 才能編修與校正。第2節(jié) 控制重點1) 應有適當措施以預防公司機密或重要數(shù)據，遭未經授權之揭露 及蓄意或非故意的取用。2) 應能保護公司重要數(shù)據不遭蓄意或非故意更改或毀損，并及時 偵測公司重要數(shù)據遭不

18、當?shù)慕衣痘蛉∮?。?節(jié) 相關資料系統(tǒng)使用需求申請/變更表、系統(tǒng)開發(fā)/修改/廢止申請單(股份有限公司發(fā)行)頁次13/28 頁內控制度電子數(shù)據處理循環(huán)編號CE104系統(tǒng)使用管理作業(yè)版本1.0日期2002/01/01等。（股份有限公司發(fā)行）頁次15/28頁內控制度電子數(shù)據處理循環(huán)編號CE105數(shù)據輸出入管理作業(yè)版本1.0日期2002/01/01第1節(jié) 作業(yè)程序1. 輸入控制1) 對于所有賴以輸入計算機之憑證輸入，計算機要會產生唯一性 之編號，并做對此筆資料的唯一識別。2) 數(shù)據處理時，可能發(fā)生之故障與疏忽或原始數(shù)據之錯誤而使主 文件數(shù)據受損者，均應在程序中詳為防范與補救。3) 輸入之數(shù)據能由程序執(zhí)行

19、數(shù)據校核者，應厘訂檢查與控制方法 ，納入程序設計范圍之內，才能發(fā)現(xiàn)問題避免錯誤。4) 錯誤數(shù)據及數(shù)據輸入錯誤之更正，須填具數(shù)據庫修改申請單 經適當程序，并經權責主管核準；錯誤數(shù)據更正后，應能確 定數(shù)據已經更正無誤，并回復數(shù)據庫修改申請單后留下紀 錄，送交權責主管復核。2. 輸出控制1) 各操作人員之報表打印權限，經由相關單位主管會同信息單位 主管核定，始能執(zhí)行打印作業(yè)。2) 凡屬非定期，重要性及特殊需求之報表，應由需求單位填寫 數(shù)據需求申請單，并經權責主管核準后，送請信息單位或相 關單位專人執(zhí)行。3) 輸出數(shù)據使用后若無保存需要，應經適當毀棄處理。4) 輸出數(shù)據若發(fā)現(xiàn)錯誤，應及時通知信息單位人

20、員做必要更正， 并重新執(zhí)行數(shù)據處理作業(yè)。第2節(jié) 控制重點1) 確保輸入計算機之數(shù)據有適當?shù)膽{證及授權。2) 于計算機系統(tǒng)中設定輸入檢核之功能以確保輸入程序之正確性 及完整性。3) 確保各種數(shù)據之機密及信息輸出能滿足使用者之需求。第3節(jié) 相關資料數(shù)據庫修改申請單、數(shù)據需求申請單等。(股份有限公司發(fā)行)頁次15/28 頁內控制度電子數(shù)據處理循環(huán)編號CE106數(shù)據處理作業(yè)版本1.0日期2002/01/01第1節(jié) 作業(yè)程序1) 各項計算機系統(tǒng)操作程序皆需依操作手冊實施。2) 各計算機系統(tǒng)維護由專人維護。3) 計算機操作或維護時，所發(fā)生之重要問題事件，應記載于計 算機維護日志上。4) 數(shù)據處理執(zhí)行時，應

21、做一般檢核控制，以避免人為錯誤。5) 數(shù)據處理過程中，因錯誤或不可抗拒之因素，導致需重新處理 時，應實時復原，以確保數(shù)據處理之正確性。第2節(jié) 控制重點1) 計算機系統(tǒng)操作程序是否依操作手冊實施。2) 確保系統(tǒng)正常運作，防止操作錯誤并確保數(shù)據處理的可靠性、 正確性、及時性。第3節(jié) 相關資料計算機維護日志等。內控制度電子數(shù)據處理循環(huán)編號CE107檔案及設備之安全作業(yè)版本1.0日期2002/01/01第1節(jié) 作業(yè)程序1. 檔案管理硬盤內之系統(tǒng)目錄檔案應定期整理，并將不需之檔案或目錄由專人 負責施以消除或重整作業(yè)，以節(jié)省磁盤驅動器使用空間并增加系統(tǒng) 運作效能。2. 備份制作1) 根據各使用檔案數(shù)據之重

22、要性，制作數(shù)據備份或復原回存。2) 系統(tǒng)應每日備份，并實施月備份。3) 于數(shù)據備份日志表上，詳細記錄備份數(shù)據之操作日期、起 迄時間、數(shù)據內容、磁帶編號。4) 信息單位主管，應定期檢視備份制作之完整性。3. 媒體保存及管理1) 更新后及所有日常備份完成之媒體，應分別存放于隔不同樓層 的防潮箱中。2) 所有媒體之存放地點皆應有防火、防潮、防水及防塵裝置、滅 火設備，并定期實施檢測以確保儲存之安全性。第2節(jié)控制重點1. 機房環(huán)境控制1) 計算機機房應有適當?shù)南涝O備據以保護各項設備。2) 機房應保持適當之溫度及濕度，設有獨立之空調設備，并設置 溫濕度計，以隨時監(jiān)控機房環(huán)境。2. 設備實體安全管理1)

23、 機房內應設置電力設備，如穩(wěn)壓器、不斷電設備等，以確保電 路穩(wěn)定及供作緊急處理用。2) 機房應隨時記錄機器運轉狀況，對機器停止原因、維修次數(shù)、 更換零件等，均應詳細記錄以利追蹤。3) 網絡工作站及單機式或可攜帶式計算機等，皆應有病毒偵測軟 件之程序，以避免檔案遭受損害。4) 定期對機房之各項安全控制設施實行檢測并記錄測試結果，由(股份有限公司發(fā)行)頁次17/28 頁內控制度電子數(shù)據處理循環(huán)編號CE107檔案及設備之安全作業(yè)版本1.0日期2002/01/01信息單位主管定期復核。5）計算機機房及其它敏感地區(qū)（如檔案、磁帶/磁盤儲存區(qū)及通 訊設備區(qū)等）嚴禁閑人進入，非信息單位主管允許絕不能攜出 或

24、帶入不相關東西。6）有關硬設備都列入資產管理，并編列維護費用以確保機器正常 運轉。第3節(jié)相關資料數(shù)據備份日志表等。內控制度電子數(shù)據處理循環(huán)編號CE108軟硬件設備管理作業(yè)版本1.0日期2002/01/01第1節(jié) 作業(yè)程序1. 硬件1) 由各需求單位提出，經該單位主管核準，并經信息單位主管會 簽，呈董事長核準后始可米購。2) 硬件的安裝、維護、由信息單位負責。3) 硬件的保管，由各保管人自行負責。4) 硬件發(fā)生故障時，須將故障處理情形記錄于故障維修紀錄表 內并備查。2. 軟件1) 系統(tǒng)軟件之請購需求，由需求單位填寫軟件需求單后交信 息單位，由信息單位評估購買。2) 軟件的安裝、維護，由信息單位負

25、責。3) 使用者所建立的數(shù)據，由各使用者自行備份。4) 軟件發(fā)生問題時，須將問題處理情形記錄于故障維修紀錄表 內并備查。3. 防毒軟件1) 為避免PC硬盤中之檔案，因感染病毒而造成系統(tǒng)或數(shù)據損毀， 于PC上均須安裝防毒軟件；防毒軟件的安裝、設定、維護及檔 案等數(shù)據均應妥善保存。4. PC移轉作業(yè)1) PC進行移轉作業(yè)時，應依相關資產管理規(guī)定為之，若屬單位內 移轉，則由單位主管自行決定硬盤數(shù)據是否保留；若屬跨單位 移轉，則為防止機密數(shù)據外泄，一律重新安裝硬盤。第2節(jié) 控制重點1) 軟硬件相關設備，是否依相關資產管理規(guī)定確實保管好。2) 各項設備裝置故障時，是否做成記錄，并述明現(xiàn)象、發(fā)生原因 及米

26、取措施等。3) 防毒軟件是否確實安裝及正常運作。4) PC跨單位移轉時，是否完成硬盤重新安裝作業(yè)。(股份有限公司發(fā)行)頁次19/28 頁內控制度電子數(shù)據處理循環(huán)編號CE108軟硬件設備管理作業(yè)版本1.0日期2002/01/01(股份有限公司發(fā)行)頁次23/28 頁5） 硬件送修，是否依相關規(guī)定為之。第3節(jié)相關資料故障維修紀錄表、軟件需求單等。內控制度電子數(shù)據處理循環(huán)編號CE109系統(tǒng)復原及測試作業(yè)版本1.0日期2002/01/01第1節(jié)作業(yè)程序1) 盡速切斷災變來源，以減少計算機設備損失。2) 盡速恢復可用設備之運轉。3) 調用及運用備份設備或數(shù)據進行災變回復。4) 速通知使用單位進行時差性數(shù)

27、據之補建工作。5) 如遇重大災變致影響業(yè)務活動時，應就系統(tǒng)之重要性逐一復原 并予以測試。6) 信息單位應適當仿真災變情況之復原對策、計劃，并每半年需 予執(zhí)行演練一次，以確保災害復原之正確性。第2節(jié)控制重點1) 為避免災變發(fā)生，需隨時注意可能造成災變因素之環(huán)境。2) 數(shù)據備份系統(tǒng)檔案應放置安全環(huán)境下，以因應突發(fā)狀況。3) 系統(tǒng)復原應經適當測試，以確保復原。內控制度電子數(shù)據處理循環(huán)編號CE110計算機機房管理作業(yè)版本1.0日期2002/01/01第1節(jié) 作業(yè)程序1) 機房內禁止吸煙、進用食物及飲料。2) 機房內不得有易燃物或散置垃圾及私人物品，以保持清潔。3) 非信息單位人員不得任意進入機房。4)

28、 機房大門平時須上鎖。5) 機房中所有機器設備均應由信息單位人員或由信息單位人員陪 同下，依規(guī)定啟動及操作。6) 空調系統(tǒng)管理、電力系統(tǒng)管理(A) 溫度范圍：1525 C。(B) 濕度范圍：40 %60 %。(C) 以UPS確保電力供應之穩(wěn)定。(D) 保養(yǎng)、維修，依相關保養(yǎng)維修規(guī)定作業(yè)之。第2節(jié) 控制重點1) 計算機機房是否依規(guī)定進行管制。2) 空調系統(tǒng)是否定期檢查及保養(yǎng)。3) 電力系統(tǒng)是否定期檢查及保養(yǎng)。內控制度電子數(shù)據處理循環(huán)編號CE111網絡系統(tǒng)管理作業(yè)版本1.0日期2002/01/01第1節(jié) 作業(yè)程序1. 網絡及其外圍設備管理1) 網絡設備(例如：計算機主機、服務器、Router、Sw

29、itch、Hub 等)應安裝穩(wěn)壓及不斷電電力系統(tǒng)裝置(UPS),以避免電壓不 穩(wěn)及不預期之斷電時，造成數(shù)據之流失。2) 須建立網絡系統(tǒng)配置圖、網絡設備配置圖及網絡使 用者端配置圖并隨時更新，以供維護人員查閱，并定期對于 各線路檢測，以保持網絡之暢通。3) 啟動設備時應注意運轉是否正常。4) 網絡設備須依網絡設備檢查項目及程序，每月定期檢查并 填立網絡設備檢查紀錄表，以預防問題之發(fā)生。5) 網絡設備如發(fā)生故障時，應將其處理情況記錄于故障維修紀 錄表內，以供查閱。2. 操作系統(tǒng)及應用軟件之建立及維護1) 操作系統(tǒng)及應用軟件之建立由信息單位負責，必要時可由專業(yè) 廠商協(xié)助。2) 操作系統(tǒng)或應用軟件建立

30、時之相關文件及檔案須妥善保管，并 建立網絡操作系統(tǒng)/應用軟件維護紀錄表。3) 操作系統(tǒng)及應用軟件更新前，須經信息單位主管同意后進行更 新，并將更新之內容記錄于網絡操作系統(tǒng)/應用軟件維護紀 錄表內。4) 操作系統(tǒng)或應用軟件因故停止使用前，須經信息單位主管同意 后進行處理，并將處理結果記錄于網絡操作系統(tǒng)/應用軟件 維護紀錄表內備查。3. 使用者權限管理1) 有網絡作業(yè)需求或須調整使用權限者，須向信息單位提出網 絡賬號使用權限申請單，經信息單位主管審核同意后，交由 資訊工程師完成使用者權限設定。2) 研發(fā)單位專屬之操作系統(tǒng)，因其作業(yè)性質較為特殊及安全上的 考量，使用者之管理權限由研發(fā)單位自行管理。(

31、股份有限公司發(fā)行)頁次23/28 頁內控制度電子數(shù)據處理循環(huán)編號CE111網絡系統(tǒng)管理作業(yè)版本1.0日期2002/01/013) 使用者密碼關系到數(shù)據安全與防護，嚴禁張貼于計算機或計算 機屏幕上。4) 信息單位須建立網絡使用者權限一覽表，并對所設定之權 限詳述之。4. 檔案數(shù)據管理1) 須建立磁盤檔案配置表、系統(tǒng)軟件配置表并隨時更新 ，以供維護人員查閱。2) 當操作者輸入數(shù)據錯誤或系統(tǒng)本身問題，造成數(shù)據錯誤且程序 不予許修改時，得由信息單位或需求單位提出數(shù)據庫修改申 請單，并將修改原因詳列于申請單，經該單位主管簽核后， 徑交信息單位處理。3) 信息單位收到申請單后，由單位主管指派資訊工程師處理

32、。資 訊工程師依據修改內容及作業(yè)要點進行分析，若該數(shù)據庫修改 將影響到其它單位之作業(yè)時，信息單位主管或資訊工程師須與 相關單位主管討論會簽后完成修改，并將處理結果記錄于原 數(shù)據庫修改申請單中備查。4) 硬盤數(shù)據，若經使用單位或信息單位人員判定短期內不再使用 ，則可由信息單位或使用單位提出歷史數(shù)據清除申請單。5) 信息單位收到申請單后，由單位主管指派資訊工程師處理。資 訊工程師依據修改內容及作業(yè)要點進行分析，若該數(shù)據庫修改 將影響到其它單位之作業(yè)，信息單位主管或資訊工程師須與相 關單位主管討論會簽后，由信息單位將數(shù)據轉入備份(如磁盤 、磁帶等)，并將磁盤數(shù)據予以刪除，其處理結果記錄于原歷史數(shù)據清

33、除申請單中備查。5. 網絡安全防護為避免檔案因感染病毒而造成系統(tǒng)或數(shù)據損毀，于主機及服務器上 均須安裝防毒軟件，防毒軟件的安裝及設定及維護及檔案數(shù)據均須 妥善保存。6. 網絡主機、服務器之數(shù)據備份1) 每日做一次 Differentialbackup ,每星期 做一次 full backup,每月并將重要資料做成CD片永久保存。(股份有限公司發(fā)行)頁次24/28 頁內控制度電子數(shù)據處理循環(huán)編號CE111網絡系統(tǒng)管理作業(yè)版本1.0日期2002/01/012) 備份媒體須妥善保管，己存有數(shù)據之備份媒體則須放置于安全 的地方。3) 網絡主機、服務器之數(shù)據備份之安裝、設定及操作程序等，須 詳載于主機/

34、服務器備份/回復之安裝、設定及操作程序 內。7. 系統(tǒng)回復作業(yè)1) 當系統(tǒng)或應用程序發(fā)生異?；蝈e誤且已無法回復時，得采行本 作業(yè)。2) 回復前立即要求在線使用者退出系統(tǒng)。3) 信息單位依主機/服務器備份/回復之安裝、設定及操作程 序進行回復作業(yè)。4) 數(shù)據回復作業(yè)完成后，若須補建數(shù)據，應知會相關單位補建。第2節(jié) 控制重點1) 各項設備裝置是否定期檢查，并做成紀錄。2) 各項設備裝置故障時，是否做成紀錄并述明現(xiàn)象、發(fā)生原因及 采取措施等。3) 網絡系統(tǒng)使用者之使用權限，有無依照規(guī)定程序完成申請手續(xù) 并經核準。4) 現(xiàn)有的網絡使用者權限設定是否有不當之處。5) 對網絡系統(tǒng)之檔案數(shù)據修改清除時，是否依規(guī)定程序辦理。6) 網絡磁盤空間是否足夠，過期數(shù)據是否適時完成清理。7) 防火墻及防毒軟件是否正常運作。8) 資料備份是否正常運作。9) 備份媒體(如磁帶、CD片等)是否妥善保存。第3節(jié) 相關資料網絡系統(tǒng)配置圖、網絡設備配置圖、網絡使用者端配置 圖、網絡設備檢查項目及程序、網絡設備檢查紀錄表、故障維修紀錄表、網絡操作系統(tǒng)/應用軟件維護紀錄表、 網絡賬號使用權限申請單、網絡使用者權限一覽表、磁 盤檔案配置表、系統(tǒng)軟件配置表、數(shù)據庫修改申請單、(股份有限公司發(fā)行)頁次25/28 頁內控制度電子數(shù)據處理循環(huán)編號CE