1、內(nèi)部控制制度電子數(shù)據(jù)處理循環(huán)文件管制等級(jí)：管制文件非管制文件文件履歷紀(jì)要頁文件發(fā)行單位文件管制等級(jí)管理代表管制文件非管制文件版 次文修件 履訂 內(nèi) 容歷紀(jì)錄核準(zhǔn)權(quán)責(zé)編撰日 期0第 1版（新發(fā)行）1.總 則1.1.制定目的為 促 使 本 公司 內(nèi) 部控 制（ Internal Control）之電子數(shù)據(jù) 處 理 循 環(huán)（ ElectronicData ）程 序 ，能 有 所遵 循，特 訂定本文件，俾利各相關(guān)單位遵循。1.2.適用范圍凡本公司有關(guān)內(nèi)部控制之電子數(shù)據(jù)處理循環(huán)作業(yè)程序與控制重點(diǎn)，悉依照本文件之規(guī)范辦理。1.3.權(quán)責(zé)單位信息單位為本文件之權(quán)責(zé)單位，權(quán)責(zé)單位主管經(jīng)承認(rèn)單位授權(quán)，負(fù)責(zé)本文件之

2、管制，并確保依據(jù)本文件之規(guī)范作業(yè)。2.電子數(shù)據(jù)處理循環(huán)2.1.循 環(huán)圖【見】（資料 1）電子數(shù)據(jù)處理循環(huán)圖。2.2.循環(huán)作業(yè)本循環(huán)之各項(xiàng)作業(yè)：1)組織及職責(zé)作業(yè)（ CE101），另訂之。2)系統(tǒng)開發(fā)及修廢作業(yè)（CE102），另訂之。3)系統(tǒng)應(yīng)用文書管理作業(yè)（ CE103），另訂之。4)系統(tǒng)使用管理作業(yè)（CE104），另訂之 。5)資料輸出入管理作業(yè)（CE105），另訂之。6)數(shù)據(jù)處理作業(yè)（CE106），另訂之 。7)檔案及設(shè)備之安全作業(yè)（ CE107），另訂之。8)軟硬件設(shè)備管理作業(yè)（CE108），另訂之。9)系統(tǒng)復(fù)原及測試作業(yè)（CE109），另訂之。10)計(jì)算機(jī)機(jī)房管理作業(yè)（CE110），另

3、訂之。11)網(wǎng)絡(luò)系統(tǒng)管理作業(yè)（CE111），另訂之 。12)其它相關(guān)庶務(wù)管理作業(yè)（ CE112），另訂之。3.附 則3.1.制修廢與頒布實(shí)施本文件屬于管理文件，經(jīng)經(jīng)營會(huì)審議后，呈請(qǐng)董事長核準(zhǔn)承認(rèn)后，交由權(quán)責(zé)單位頒布公告實(shí)施；修訂或廢止時(shí)亦同。3.2.編號(hào)、版本、日期、頁次頁數(shù)本文件之項(xiàng)類、標(biāo)題、編號(hào)、版本、實(shí)施日期、公司名稱、文件頁次頁數(shù)等項(xiàng)，見本文件之頁首與頁尾。3.3.附 件3.3.1.相關(guān)資料（資料 1）電子數(shù)據(jù)處理循環(huán)圖（資料 1）電子數(shù)據(jù)處理循環(huán)圖其它相關(guān)CE101-組織及循 -環(huán)職責(zé)|CE102|CE107系統(tǒng)開發(fā) - - 檔案及設(shè)及 修廢|備之安全|CE103|CE108系統(tǒng)應(yīng)用

4、 - - 軟硬件設(shè)文書管理|備管 理|CE104|CE109系統(tǒng)使用 - - 系統(tǒng)復(fù)原管理|及測 試|CE105|CE110資料輸出 - - 計(jì)算機(jī)機(jī)入 管理|房管 理|CE106|CE111 - - 網(wǎng)絡(luò)系統(tǒng)數(shù)據(jù)處理|管理|CE112其它相關(guān)庶務(wù)管理第 1節(jié)作業(yè)程序1.設(shè)立目的為因應(yīng)公司長期發(fā)展之需要，指導(dǎo)公司計(jì)算機(jī)化，并規(guī)劃企業(yè)管理與信息應(yīng)用相結(jié)合之管理信息系統(tǒng)，以期提供實(shí)時(shí)正確之信息，協(xié)助決策單位提升管理績效。確定公司之軟、硬件規(guī)劃標(biāo)準(zhǔn)政策，以保公司之長期發(fā)展及電子數(shù)據(jù)處理之一致性。信息單位除依使用單位提出之需求作應(yīng)用系統(tǒng)開發(fā)維護(hù)操作外，應(yīng)規(guī)劃評(píng)估新的計(jì)算機(jī)技術(shù)和應(yīng)用，以提升信息系統(tǒng)之效

5、率。2.組織及職責(zé)本公司信息單位設(shè)主管、程序設(shè)計(jì)師與系統(tǒng)管理師等。1)主 管(A)依公司政策，研擬短、中、長期計(jì)算機(jī)化作業(yè)之整體規(guī)劃與整合。(B)信息業(yè)務(wù)之規(guī)劃、執(zhí)行、協(xié)調(diào)、督導(dǎo)及審核。(C)信息處理作業(yè)及控制辦法之?dāng)M訂。(D)所屬人員之管理，訓(xùn)練及考核。(E)與其它單位之業(yè)務(wù)協(xié)調(diào)與溝通。(F)系統(tǒng)文件、手冊(cè)制作規(guī)劃。(G)新系統(tǒng)之評(píng)估、規(guī)劃、分析、設(shè)計(jì)。(H)信息單位之預(yù)算編列和執(zhí)行控制。(I)計(jì)算機(jī)應(yīng)用系統(tǒng)密碼設(shè)定維護(hù)。(J)其它上級(jí)交辦事項(xiàng)。2)程 序設(shè)計(jì) 師(A)計(jì)算機(jī)信息系統(tǒng)規(guī)劃、分析、與設(shè)計(jì)。(B)應(yīng)用系統(tǒng)程序之開發(fā)、管理和維護(hù)。(C)系統(tǒng)文件，操作手冊(cè)之編制，維護(hù)和管理。(D)使

6、用單位之問題排除及軟硬件技術(shù)支持。(E)內(nèi)部新進(jìn)人員計(jì)算機(jī)教育訓(xùn)練。(F) 其它上級(jí)交辦事項(xiàng)。3) 系統(tǒng)管理師(A) 計(jì)算機(jī)安全控制與管理。(B) 相關(guān)操作系統(tǒng)、應(yīng)用系統(tǒng)、數(shù)據(jù)文件及數(shù)據(jù)庫之管理及維護(hù) 。(C) 數(shù)據(jù)文件與系統(tǒng)程序備份。(D) 硬設(shè)備之維護(hù)。(E) 機(jī)房計(jì)算機(jī)及相關(guān)外圍之安全與清潔。(F) 使用單位之問題排除及軟硬件技術(shù)支持。(G) 信息單位相關(guān)資源之維護(hù)管理。(H) 其它上級(jí)交辦事項(xiàng)。4) 各單位計(jì)算機(jī)使用人員(A) 各單位使用計(jì)算機(jī)系統(tǒng)之人員，負(fù)責(zé)審查輸入資料之憑證是否合于規(guī)定，并負(fù)責(zé)檢查填寫，登錄有無錯(cuò)誤。(B) 各單位使用計(jì)算機(jī)系統(tǒng)之人員，必需經(jīng)由權(quán)責(zé)單位主管授權(quán)后，始

7、可執(zhí)行應(yīng)用系統(tǒng)之日常交易資料輸入與更正。(C) 嚴(yán)禁員工使用非法或未經(jīng)授權(quán)的應(yīng)用軟件。第2節(jié)控制要點(diǎn)1) 信息單位之人員，是否依職責(zé)完成各項(xiàng)工作。2) 對(duì)已提出辭呈之信息單位人員，是否避免允許其離職前接近敏感程序或檔案。3) 員工離職時(shí)，該人員以前經(jīng)手的一切文件、磁帶、磁盤及磁盤等，是否盤點(diǎn)清楚并完作移交手續(xù)；員工離職后，該員曾接觸之密碼是否做適當(dāng)?shù)恼{(diào)整。第 1節(jié)作業(yè)程序1.系統(tǒng)開發(fā)1)使用單位對(duì)于現(xiàn)行系統(tǒng)功能需要變更或重新開發(fā)系統(tǒng)，應(yīng)提出系統(tǒng)開發(fā)修改廢止申請(qǐng)單，并將需求內(nèi)容及要點(diǎn)詳列于申請(qǐng)單中，經(jīng)該單位直屬主管提出需求申請(qǐng)，徑交信息單位處 理。2)信息單位收到申請(qǐng)單后，由單位主管指派資訊工程

8、師處理。3)系統(tǒng)分析及設(shè)計(jì)信息人員進(jìn)行系統(tǒng)功能之確認(rèn)，并劃分子系統(tǒng)且描述子系統(tǒng)之輸出入規(guī)格及作業(yè)流程；若該系統(tǒng)開發(fā)后將會(huì)影響到其它單位之作業(yè)時(shí)，信息單位主管或資訊工程師須與相關(guān)單位主管討論會(huì)簽后，再由信息單位主管決定自行開發(fā)、外包或購買合法軟件。4)程序開發(fā)完成后，應(yīng)會(huì)同相單位依照各項(xiàng)需求功能進(jìn)行測試，若無問題則相關(guān)單位應(yīng)于系統(tǒng)開發(fā)修改廢止申請(qǐng)單上簽認(rèn)，并執(zhí)行次一階段作業(yè)。2.系統(tǒng)修改1)使用單位對(duì)于現(xiàn)行系統(tǒng)功能需要變更或重新開發(fā)系統(tǒng)，應(yīng)提出系統(tǒng)開發(fā)修改廢止申請(qǐng)單，并將需求內(nèi)容及作要點(diǎn)詳列于申請(qǐng)單中，經(jīng)該單位直屬主管提出需求申請(qǐng)，徑交信息單位處理。2)信息單位收到申請(qǐng)單后，由單位主管指派資訊工

9、程師處理。3)資訊工程師依據(jù)修改內(nèi)容及作業(yè)要點(diǎn)進(jìn)行可行性分析，若須修改的內(nèi)容有影響至其它單位之作業(yè)時(shí)，信息單位主管或資訊工程師須與相關(guān)單位管討論會(huì)簽后，再由單位主管決定自行修改、外包或購買。4)系統(tǒng)修改完成后，得會(huì)同相關(guān)單位依照各項(xiàng)需求功能進(jìn)行測試，若無問題則請(qǐng)相關(guān)單位主管于原系統(tǒng)開發(fā)修改廢止申請(qǐng)單上簽名，并進(jìn)行應(yīng)用軟件更新作業(yè)。3.系統(tǒng)廢止1) 當(dāng)信息單位或使用單位發(fā)現(xiàn)系統(tǒng)已不合時(shí)宜欲終止時(shí)，應(yīng)填具系統(tǒng)開發(fā)修改廢止申請(qǐng)單，并將其原因詳列于申請(qǐng)單中，經(jīng)各單位主管簽核后，交由信息單位處理。2) 信息單位收到申請(qǐng)單后，由單位主管指派資訊工程師處理。3) 資訊工程師依據(jù)系統(tǒng)內(nèi)容及作業(yè)要點(diǎn)進(jìn)行分析，若

10、該系統(tǒng)牽涉到其它單位時(shí)，信息單位主管或資訊工程師須與相關(guān)單位主管討論并會(huì)簽意見。4.資料備份系統(tǒng)開發(fā)修改完成后，須將原始程序及檔案備份至磁帶或磁盤等備份媒體上，并將備份的內(nèi)容及備份媒體的編號(hào)，記錄在原始程序及相關(guān)檔案備份紀(jì)錄表內(nèi)。5.作業(yè)期限信息單位依大、小型系統(tǒng)分別訂工期，并依工期進(jìn)行程序之新增及修改，若有多項(xiàng)需求同時(shí)申請(qǐng)時(shí)，信息單位得依其重要性適時(shí)調(diào)整其工期，并記錄在系統(tǒng)開發(fā)修改廢止進(jìn)度管制表內(nèi)。6.其它1) 未經(jīng)許可，所有軟件嚴(yán)禁拷貝。2) 系統(tǒng)外包廠商開發(fā)、修改及維護(hù)時(shí)，其所訂合約應(yīng)妥善保管。軟件版本如有更新時(shí)，應(yīng)將舊版刪除或加以管理，并將處理情形做成記錄備查。3) 系統(tǒng)上線前均應(yīng)逐一

11、測試。4) 系統(tǒng)測試時(shí)，非經(jīng)許可不可用線上實(shí)際之資料，須在測試區(qū)進(jìn)行測試，待測試完成后，再正式開放給使用者使用。系統(tǒng)測試完成上線時(shí)，應(yīng)知會(huì)主要使用單位。5) 系統(tǒng)開發(fā)時(shí)，須撰寫相關(guān)數(shù)據(jù)文件及文件，并留存?zhèn)洳椤?) 系統(tǒng)修改時(shí)，須將相關(guān)文件一并隨之修改，并留存?zhèn)洳椤?) 信息單位須制作操作手冊(cè)，并隨程序之修改更新之，并留存?zhèn)洳椋矣尚畔挝唤虒?dǎo)使用者如何使用新系統(tǒng)。第2節(jié)控制重點(diǎn)1) 應(yīng)用系統(tǒng)開發(fā)、修改、廢止，是否依規(guī)定進(jìn)行申請(qǐng)、驗(yàn)收及廢止程序。2) 原始程序及相關(guān)檔案是否依規(guī)定進(jìn)行備份，并完成紀(jì)錄。3) 應(yīng)用系統(tǒng)開發(fā)、修改是否依時(shí)限完成。4) 應(yīng)用系統(tǒng)開發(fā)、修改、廢止等之相關(guān)合約、檔案及文件有

12、無妥善保管。5) 外購軟件是否合法。第3節(jié)相關(guān)資料系統(tǒng)開發(fā)修改廢止申請(qǐng)單、原始程序及相關(guān)檔案備份紀(jì)錄表、系統(tǒng)開發(fā)修改廢止進(jìn)度管制表等。第1節(jié)作業(yè)程序1) 信息單位自行開發(fā)之系統(tǒng)，應(yīng)具備系統(tǒng)應(yīng)用說明書，其內(nèi)容應(yīng)依下列大綱敘述：(A) 系統(tǒng)功能介紹。(B) 檔案說明。(C) 事務(wù)作業(yè)流程圖。(D) 系統(tǒng)模塊架構(gòu)表。(E) 程序名稱一覽表。(F) 操作說明。2) 信息單位所有文書或檔案，應(yīng)指派專人保管存盤。3) 系統(tǒng)或程序變更時(shí)，相關(guān)文書或手冊(cè)應(yīng)隨即更新抽換。4) 所有系統(tǒng)文書之保管人于離職前，應(yīng)依人事管理相關(guān)規(guī)定作業(yè)，并于完成離職手續(xù)后方可離職。第2節(jié)控制重點(diǎn)1) 系統(tǒng)應(yīng)用文書之編制應(yīng)按照既定之標(biāo)

13、準(zhǔn)。2) 確保所有系統(tǒng)說明文件均已按照既定之標(biāo)準(zhǔn)編制，足以供系統(tǒng)設(shè)計(jì)人員維護(hù)現(xiàn)有系統(tǒng)。第3節(jié)相關(guān)資料系統(tǒng)應(yīng)用說明書等。第 1節(jié)作業(yè)程序1.系統(tǒng)使用控制1)所有新計(jì)算機(jī)系統(tǒng)使用者，須依其工作職掌以系統(tǒng)使用需求申請(qǐng)變更表向信息單位提出建置計(jì)算機(jī)系統(tǒng)識(shí)別碼之申請(qǐng)，該項(xiàng)申請(qǐng)須經(jīng)權(quán)責(zé)單位主管核準(zhǔn)為之。2)計(jì)算機(jī)系統(tǒng)使用者如有職務(wù)調(diào)動(dòng)或離職，該項(xiàng)人事異動(dòng)應(yīng)知會(huì)信息單位取消或更改其計(jì)算機(jī)系統(tǒng)使用識(shí)別碼。3)個(gè)人之計(jì)算機(jī)系統(tǒng)使用識(shí)別碼及密碼不得告知或提供他人使用，密碼如有外泄，應(yīng)即更換其密碼。4)個(gè)人之計(jì)算機(jī)使用者注冊(cè)文件，應(yīng)不定期由專人復(fù)核以確保使用者確實(shí)存在，且無不當(dāng)?shù)氖褂们樾巍?)個(gè)人之計(jì)算機(jī)系統(tǒng)識(shí)別碼

14、及密碼，應(yīng)存在經(jīng)特別保護(hù)之檔案，以防止未經(jīng)授權(quán)之存取發(fā)生，且識(shí)別碼及密碼之建置應(yīng)有適當(dāng)控制，以避免遭不當(dāng)引用而損及公司的重要檔案。2.程序的存取原始程序檔案應(yīng)作權(quán)限管制，以防止系統(tǒng)或程序設(shè)計(jì)人員或使用者不當(dāng)?shù)馗略汲绦驒n案，而對(duì)公司資源造成損害。3.資料的存在1) 如緊急資料主文件有變更需求時(shí)，應(yīng)由使用單位主管核準(zhǔn)后，以系統(tǒng)開發(fā)修改廢止申請(qǐng)單向信息單位提出申請(qǐng)。2) 目前正在上線正常運(yùn)作中之資料，需經(jīng)信息單位主管的認(rèn)可，才能編修與校正。第2節(jié)控制重點(diǎn)1) 應(yīng)有適當(dāng)措施以預(yù)防公司機(jī)密或重要資料，遭未經(jīng)授權(quán)之揭露及蓄意或非故意的取用。2) 應(yīng)能保護(hù)公司重要資料不遭蓄意或非故意更改或毀損，并及時(shí)偵

15、測公司重要資料遭不當(dāng)?shù)慕衣痘蛉∮谩５?節(jié)相關(guān)資料系統(tǒng)使用需求申請(qǐng)變更表、系統(tǒng)開發(fā)修改廢止申請(qǐng)單 等 。第 1節(jié)作業(yè)程序1.輸入控制1)對(duì)于所有賴以輸入計(jì)算機(jī)之憑證輸入，計(jì)算機(jī)要會(huì)產(chǎn)生唯一性之編號(hào)，并做對(duì)此筆資料的唯一識(shí)別。2)數(shù)據(jù)處理時(shí)，可能發(fā)生之故障與疏忽或原始資料之錯(cuò)誤而使主文件資料受損者，均應(yīng)在程序中詳為防范與補(bǔ)救。3)輸入之資料能由程序執(zhí)行資料校核者，應(yīng)厘訂檢查與控制方法，納入程序設(shè)計(jì)范圍之內(nèi)，才能發(fā)現(xiàn)問題避免錯(cuò)誤。4)錯(cuò)誤資料及資料輸入錯(cuò)誤之更正，須填具數(shù)據(jù)庫修改申請(qǐng)單經(jīng)適當(dāng)程序，并經(jīng)權(quán)責(zé)主管核準(zhǔn)；錯(cuò)誤資料更正后，應(yīng)能確定資料已經(jīng)更正無誤，并回復(fù)數(shù)據(jù)庫修改申請(qǐng)單后留下紀(jì)錄，送交權(quán)責(zé)主

16、管復(fù)核。2.輸出控制1) 各操作人員之報(bào)表打印權(quán)限，經(jīng)由相關(guān)單位主管會(huì)同信息單位主管核定，始能執(zhí)行打印作業(yè)。2) 凡屬非定期，重要性及特殊需求之報(bào)表，應(yīng)由需求單位填寫資料需求申請(qǐng)單，并經(jīng)權(quán)責(zé)主管核準(zhǔn)后，送請(qǐng)信息單位或相關(guān)單位專人執(zhí)行。3) 輸出資料使用后若無保存需要，應(yīng)經(jīng)適當(dāng)毀棄處理。4) 輸出資料若發(fā)現(xiàn)錯(cuò)誤，應(yīng)及時(shí)通知信息單位人員做必要更正，并重新執(zhí)行數(shù)據(jù)處理作業(yè)。第2節(jié)控制重點(diǎn)1) 確保輸入計(jì)算機(jī)之資料有適當(dāng)?shù)膽{證及授權(quán)。2) 于計(jì)算機(jī)系統(tǒng)中設(shè)定輸入檢核之功能以確保輸入程序之正確性及完整性。3) 確保各種資料之機(jī)密及信息輸出能滿足使用者之需求。第3節(jié)相關(guān)資料數(shù)據(jù)庫修改申請(qǐng)單、資料需求申請(qǐng)單

17、等。第1節(jié)作業(yè)程序1) 各項(xiàng)計(jì)算機(jī)系統(tǒng)操作程序皆需依操作手冊(cè)實(shí)施。2) 各計(jì)算機(jī)系統(tǒng)維護(hù)由專人維護(hù)。3) 計(jì)算機(jī)操作或維護(hù)時(shí)，所發(fā)生之重要問題事件，應(yīng)記載于計(jì)算機(jī)維護(hù)日志上。4) 數(shù)據(jù)處理執(zhí)行時(shí)，應(yīng)做一般檢核控制，以避免人為錯(cuò)誤。5) 數(shù)據(jù)處理過程中，因錯(cuò)誤或不可抗拒之因素，導(dǎo)致需重新處理時(shí)，應(yīng)實(shí)時(shí)復(fù)原，以確保數(shù)據(jù)處理之正確性。第2節(jié)控制重點(diǎn)1) 計(jì)算機(jī)系統(tǒng)操作程序是否依操作手冊(cè)實(shí)施。2) 確保系統(tǒng)正常運(yùn)作，防止操作錯(cuò)誤并確保數(shù)據(jù)處理的可靠性、正確性、及時(shí)性。第3節(jié)相關(guān)資料計(jì)算機(jī)維護(hù)日志等。第 1節(jié)作業(yè)程序1.檔案管理硬盤內(nèi)之系統(tǒng)目錄檔案應(yīng)定期整理，并將不需之檔案或目錄由專人負(fù)責(zé)施以消除或重整

18、作業(yè)，以節(jié)省磁盤驅(qū)動(dòng)器使用空間并增加系統(tǒng)運(yùn)作效能。2.備份制作1)根據(jù)各使用檔案資料之重要性，制作資料備份或復(fù)原回存。2)系統(tǒng)應(yīng)每日備份，并實(shí)施月備份。3)于資料備份日志表上，詳細(xì)記錄備份資料之操作日期、起迄時(shí)間、資料內(nèi)容、磁帶編號(hào)。4)信息單位主管，應(yīng)定期檢視備份制作之完整性。3.媒體保存及管理1) 更新后及所有日常備份完成之媒體，應(yīng)分別存放于隔不同樓層的防潮箱中。2) 所有媒體之存放地點(diǎn)皆應(yīng)有防火、防潮、防水及防塵裝置、滅火設(shè)備，并定期實(shí)施檢測以確保儲(chǔ)存之安全性。第2節(jié)控制重點(diǎn)1.機(jī)房環(huán)境控制1) 計(jì)算機(jī)機(jī)房應(yīng)有適當(dāng)?shù)南涝O(shè)備據(jù)以保護(hù)各項(xiàng)設(shè)備。2) 機(jī)房應(yīng)保持適當(dāng)之溫度及濕度，設(shè)有獨(dú)立之空

19、調(diào)設(shè)備，并設(shè)置溫濕度計(jì)，以隨時(shí)監(jiān)控機(jī)房環(huán)境。2.設(shè)備實(shí)體安全管理1) 機(jī)房內(nèi)應(yīng)設(shè)置電力設(shè)備，如穩(wěn)壓器、不斷電設(shè)備等，以確保電路穩(wěn)定及供作緊急處理用。2) 機(jī)房應(yīng)隨時(shí)記錄機(jī)器運(yùn)轉(zhuǎn)狀況，對(duì)機(jī)器停止原因、維修次數(shù)、更換零件等，均應(yīng)詳細(xì)記錄以利追蹤。3) 網(wǎng)絡(luò)工作站及單機(jī)式或可攜帶式計(jì)算機(jī)等，皆應(yīng)有病毒偵測軟件之程序，以避免檔案遭受損害。4) 定期對(duì)機(jī)房之各項(xiàng)安全控制設(shè)施實(shí)行檢測并記錄測試結(jié)果，由信息單位主管定期復(fù)核。5) 計(jì)算機(jī)機(jī)房及其它敏感地區(qū)（如檔案、磁帶磁盤儲(chǔ)存區(qū)及通訊設(shè)備區(qū)等）嚴(yán)禁閑人進(jìn)入，非信息單位主管允許絕不能攜出或帶入不相關(guān)東西。6) 有關(guān)硬設(shè)備都列入資產(chǎn)管理，并編列維護(hù)費(fèi)用以確保機(jī)器

20、正常運(yùn) 轉(zhuǎn)。第3節(jié)相關(guān)資料資料備份日志表等。第 1節(jié)作業(yè)程序1.硬 件1)由各需求單位提出，經(jīng)該單位主管核準(zhǔn)，并經(jīng)信息單位主管會(huì)簽，呈董事長核準(zhǔn)后始可采購。2)硬件的安裝、維護(hù)、由信息單位負(fù)責(zé)。3)硬件的保管，由各保管人自行負(fù)責(zé)。4)硬件發(fā)生故障時(shí)，須將故障處理情形記錄于故障維修紀(jì)錄表內(nèi)并備查。2.軟 件1)系統(tǒng)軟件之請(qǐng)購需求，由需求單位填寫軟件需求單后交信息單位，由信息單位評(píng)估購買。2)軟件的安裝、維護(hù)，由信息單位負(fù)責(zé)。3)使用者所建立的資料，由各使用者自行備份。4)軟件發(fā)生問題時(shí)，須將問題處理情形記錄于故障維修紀(jì)錄表內(nèi)并備查。3.防毒軟件1)為避免 PC硬盤中之檔案，因感染病毒而造成系統(tǒng)或

21、資料損毀，于 PC上均須安裝防毒軟件；防毒軟件的安裝、設(shè)定、維護(hù)及檔案 等資料均應(yīng)妥善保存。4.PC移轉(zhuǎn)作業(yè)1) PC進(jìn)行移轉(zhuǎn)作業(yè)時(shí)，應(yīng)依相關(guān)資產(chǎn)管理規(guī)定為之，若屬單位內(nèi)移轉(zhuǎn)，則由單位主管自行決定硬盤資料是否保留；若屬跨單位移轉(zhuǎn)，則為防止機(jī)密資料外泄，一律重新安裝硬盤。第2節(jié)控制重點(diǎn)1) 軟硬件相關(guān)設(shè)備，是否依相關(guān)資產(chǎn)管理規(guī)定確實(shí)保管好。2) 各項(xiàng)設(shè)備裝置故障時(shí)，是否做成記錄，并述明現(xiàn)象、發(fā)生原因及采取措施 等。3) 防毒軟件是否確實(shí)安裝及正常運(yùn)作。4) PC跨單位移轉(zhuǎn)時(shí)，是否完成硬盤重新安裝作業(yè)。5) 硬件送修，是否依相關(guān)規(guī)定為之。第3節(jié)相關(guān)資料故障維修紀(jì)錄表、軟件需求單等。第1節(jié)作業(yè)程序1

22、) 盡速切斷災(zāi)變來源，以減少計(jì)算機(jī)設(shè)備損失。2) 盡速恢復(fù)可用設(shè)備之運(yùn)轉(zhuǎn)。3) 調(diào)用及運(yùn)用備份設(shè)備或資料進(jìn)行災(zāi)變回復(fù)。4) 速通知使用單位進(jìn)行時(shí)差性資料之補(bǔ)建工作。5) 如遇重大災(zāi)變致影響業(yè)務(wù)活動(dòng)時(shí)，應(yīng)就系統(tǒng)之重要性逐一復(fù)原并予以測試。6) 信息單位應(yīng)適當(dāng)仿真災(zāi)變情況之復(fù)原對(duì)策、計(jì)劃，并每半年需予執(zhí)行演練一次，以確保災(zāi)害復(fù)原之正確性。第2節(jié)控制重點(diǎn)1) 為避免災(zāi)變發(fā)生，需隨時(shí)注意可能造成災(zāi)變因素之環(huán)境。2) 資料備份系統(tǒng)檔案應(yīng)放置安全環(huán)境下，以因應(yīng)突發(fā)狀況。3) 系統(tǒng)復(fù)原應(yīng)經(jīng)適當(dāng)測試，以確保復(fù)原。第1節(jié)作業(yè)程序1) 機(jī)房內(nèi)禁止吸煙、進(jìn)用食物及飲料。2) 機(jī)房內(nèi)不得有易燃物或散置垃圾及私人物品，

23、以保持清潔。3) 非信息單位人員不得任意進(jìn)入機(jī)房。4) 機(jī)房大門平時(shí)須上鎖。5) 機(jī)房中所有機(jī)器設(shè)備均應(yīng)由信息單位人員或由信息單位人員陪同下，依規(guī)定激活及操作。6) 空調(diào)系統(tǒng)管理、電力系統(tǒng)管理(A) 溫度范圍：1525。(B) 濕度范圍：4060。(C) 以 UPS確保電力供應(yīng)之穩(wěn)定。(D) 保養(yǎng)、維修，依相關(guān)保養(yǎng)維修規(guī)定作業(yè)之。第2節(jié)控制重點(diǎn)1) 計(jì)算機(jī)機(jī)房是否依規(guī)定進(jìn)行管制。2) 空調(diào)系統(tǒng)是否定期檢查及保養(yǎng)。3) 電力系統(tǒng)是否定期檢查及保養(yǎng)。第 1節(jié)作業(yè)程序1.網(wǎng)絡(luò)及其外圍設(shè)備管理1)網(wǎng) 絡(luò)設(shè)備（ 例如 ：計(jì)算 機(jī)主 機(jī) 、服務(wù) 器 、Router 、Switch 、Hub等）應(yīng)安裝穩(wěn)壓及

24、不斷電電力系統(tǒng)裝置（UPS），以避免電壓不穩(wěn)及不預(yù)期之?dāng)嚯姇r(shí)，造成資料之流失。2)須建立網(wǎng)絡(luò)系統(tǒng)配置圖、網(wǎng)絡(luò)設(shè)備配置圖及網(wǎng)絡(luò)使用者端配置圖并隨時(shí)更新，以供維護(hù)人員查閱，并定期對(duì)于各線路檢測，以保持網(wǎng)絡(luò)之暢通。3)激活設(shè)備時(shí)應(yīng)注意運(yùn)轉(zhuǎn)是否正常。4)網(wǎng)絡(luò)設(shè)備須依網(wǎng)絡(luò)設(shè)備檢查項(xiàng)目及程序，每月定期檢查并填立網(wǎng)絡(luò)設(shè)備檢查紀(jì)錄表，以預(yù)防問題之發(fā)生。5)網(wǎng)絡(luò)設(shè)備如發(fā)生故障時(shí)，應(yīng)將其處理情況記錄于故障維修紀(jì)錄表內(nèi)，以供查閱。2.操作系統(tǒng)及應(yīng)用軟件之建立及維護(hù)1)操作系統(tǒng)及應(yīng)用軟件之建立由信息單位負(fù)責(zé)，必要時(shí)可由專業(yè)廠商協(xié)助。2)操作系統(tǒng)或應(yīng)用軟件建立時(shí)之相關(guān)文件及檔案須妥善保管，并建立網(wǎng)絡(luò)操作系統(tǒng)應(yīng)用軟件維護(hù)

25、紀(jì)錄表。3)操作系統(tǒng)及應(yīng)用軟件更新前，須經(jīng)信息單位主管同意后進(jìn)行更新，并將更新之內(nèi)容記錄于網(wǎng)絡(luò)操作系統(tǒng)應(yīng)用軟件維護(hù)紀(jì)錄表內(nèi)。4)操作系統(tǒng)或應(yīng)用軟件因故停止使用前，須經(jīng)信息單位主管同意后進(jìn)行處理，并將處理結(jié)果記錄于網(wǎng)絡(luò)操作系統(tǒng)應(yīng)用軟件維護(hù)紀(jì)錄表內(nèi)備查。3.使用者權(quán)限管理1)有網(wǎng)絡(luò)作業(yè)需求或須調(diào)整使用權(quán)限者，須向信息單位提出網(wǎng)絡(luò)帳號(hào)使用權(quán)限申請(qǐng)單，經(jīng)信息單位主管審核同意后，交由資訊工程師完成使用者權(quán)限設(shè)定。2)研發(fā)單位專屬之操作系統(tǒng)，因其作業(yè)性質(zhì)較為特殊及安全上的考量，使用者之管理權(quán)限由研發(fā)單位自行管理。3) 使用者密碼關(guān)系到資料安全與防護(hù)，嚴(yán)禁張貼于計(jì)算機(jī)或計(jì)算機(jī)屏幕上。4) 信息單位須建立網(wǎng)絡(luò)

26、使用者權(quán)限一覽表，并對(duì)所設(shè)定之權(quán)限詳述之。4.檔案數(shù)據(jù)管理1) 須建立磁盤檔案配置表、系統(tǒng)軟件配置表并隨時(shí)更新， 以供維護(hù)人員查閱。2) 當(dāng)操作者輸入資料錯(cuò)誤或系統(tǒng)本身問題，造成資料錯(cuò)誤且程序不予許修改時(shí)，得由信息單位或需求單位提出數(shù)據(jù)庫修改申請(qǐng)單，并將修改原因詳列于申請(qǐng)單，經(jīng)該單位主管簽核后，徑交信息單位處理。3) 信息單位收到申請(qǐng)單后，由單位主管指派資訊工程師處理。資訊工程師依據(jù)修改內(nèi)容及作業(yè)要點(diǎn)進(jìn)行分析，若該數(shù)據(jù)庫修改將影響到其它單位之作業(yè)時(shí)，信息單位主管或資訊工程師須與相關(guān)單位主管討論會(huì)簽后完成修改，并將處理結(jié)果記錄于原數(shù)據(jù)庫修改申請(qǐng)單中備查。4) 硬盤資料，若經(jīng)使用單位或信息單位人員

27、判定短期內(nèi)不再使用， 則可由信息單位或使用單位提出歷史資料清除申請(qǐng)單。5) 信息單位收到申請(qǐng)單后，由單位主管指派資訊工程師處理。資訊工程師依據(jù)修改內(nèi)容及作業(yè)要點(diǎn)進(jìn)行分析，若該數(shù)據(jù)庫修改將影響到其它單位之作業(yè)，信息單位主管或資訊工程師須與相關(guān)單位主管討論會(huì)簽后，由信息單位將資料轉(zhuǎn)入備份（如磁盤、磁帶 等），并將磁盤資料予以刪除，其處理結(jié)果記錄于原歷史資料清除申請(qǐng)單中備查。5.網(wǎng)絡(luò)安全防護(hù)為避免檔案因感染病毒而造成系統(tǒng)或資料損毀，于主機(jī)及服務(wù)器上均須安裝防毒軟件，防毒軟件的安裝及設(shè)定及維護(hù)及檔案資料均須妥善保存。6.網(wǎng)絡(luò)主機(jī)、服務(wù)器之資料備份1) 每 日做 一 次 Differentialback

28、up ， 每 星 期 做一 次 full backup，每月并將重要資料做成 CD片永久保存。2) 備份媒體須妥善保管，己存有資料之備份媒體則須放置于安全的地方。3) 網(wǎng)絡(luò)主機(jī)、服務(wù)器之資料備份之安裝、設(shè)定及操作程序等，須詳載于主機(jī)服務(wù)器備份回復(fù)之安裝、設(shè)定及操作程序內(nèi) 。7.系統(tǒng)回復(fù)作業(yè)1) 當(dāng)系統(tǒng)或應(yīng)用程序發(fā)生異常或錯(cuò)誤且已無法回復(fù)時(shí)，得采行本作 業(yè)。2) 回復(fù)前立即要求線上使用者退出系統(tǒng)。3) 信息單位依主機(jī)服務(wù)器備份回復(fù)之安裝、設(shè)定及操作程序進(jìn)行回復(fù)作業(yè)。4) 資料回復(fù)作業(yè)完成后，若須補(bǔ)建資料，應(yīng)知會(huì)相關(guān)單位補(bǔ)建。第2節(jié)控制重點(diǎn)1) 各項(xiàng)設(shè)備裝置是否定期檢查，并做成紀(jì)錄。2) 各項(xiàng)設(shè)備裝置故障時(shí)，是否做成紀(jì)錄并述明現(xiàn)象、發(fā)生原因及采取措施 等。3) 網(wǎng)絡(luò)系統(tǒng)使用者之使用權(quán)限，有無依照規(guī)定程序完成申請(qǐng)手續(xù)并經(jīng)核準(zhǔn)。4) 現(xiàn)有的網(wǎng)絡(luò)使用者權(quán)限設(shè)定是否有不當(dāng)之處。5) 對(duì)網(wǎng)絡(luò)系統(tǒng)之檔案資料修改清除時(shí)，是否依規(guī)定程序辦理。6) 網(wǎng)絡(luò)磁盤空間是否足夠，過期資料是否適時(shí)完成清理。7) 防火墻及防毒軟件是否正常運(yùn)作。8) 資料備份是