电脑化资讯系统控制.docx

1、电脑化资讯系统控制編 號CT-C00電腦化資訊系統控制制定部門資訊處1、 目的：為使本公司之電腦化資訊系統之運用及管理有所遵循，以提昇管理績效。2、 作業程序： CC-101 CC-107 CC-108 CC-102 CC-103 CC-109 CC-104 CC-105 CC-106最新制(修)定日期核 准審 核制(修)定者會 辦 單 位使用部門章89年7月16日第 1 版2 8 1編 號CT-C00電腦化資訊系統控制制定部門資訊處作業編號作業項目作業程序及控制重點依據資料CC-101資訊處理部門之功能及職責劃分(一)、作業程序： 1.組織：(1) 資訊單位設主管一人秉承總經理之命，負責處理

2、該單位之業務。(2) 人事編制應依規定不得超編，但因實際情形需要變更員工編制或任免調動時，應先知會人事單位依序轉呈總經理批准後始能生效。 2.功能及權責劃分：(1) 資訊部門與使用部門之權責劃分：A. 資訊部門負責系統之開發、程式之撰寫及網路軟硬體之維修；使用部門負責提供屬於工作範圍之電腦化流程、輸出報表格式，向資訊部門申請電腦化。B. 資訊部門人員未經授權不可從事系統資料輸入、更正。若資料異常或例外需求，則需由使用部門填寫資訊系統需求表，經資訊部門主管核可後，才可從事系統資料維護。C. 資訊部門應明列經授權之電腦軟體項目。D. 使用者端要安裝特殊軟體應提出申請，經使用單位最高主管簽核後，經資

3、管單位確認所申請為經授權之軟體，才可轉由技術支援人員安裝。 (2)資訊單位之功能與權責劃分： A.功能： 資訊單位統籌處理公司各管理資訊系統建立及執行，包括系統分析、程式設計等權責功能；對公司電腦軟硬體設備之維護及技術支援或與專業電腦廠商簽立契約維護。 B.權責劃分：(A)資訊單位主管：a. 提報電腦作業年度計劃b. 資源設備之規劃c. 系統開發進度與範圍之控制d. 密碼控制作業之執行e. 電腦作業控制之督導f. 使用單位之協調及教育訓練(1) 依據資料1. 資訊管理辦法2. 組織編制表3. 人力編制表(2) 使用表單1. 資訊系統求表(R-0019-A)2. 離職(退休)申請單最新制(修)定

4、日期核 准審 核制(修)定者會 辦 單 位使用部門章89年7月16日第 1 版2 8 2編 號CT-C00電腦化資訊系統控制制定部門資訊處作業編號作業項目作業程序及控制重點依據資料CC-101資訊處理部門之功能及職責劃分 (B)資訊單位員工：a. 資源設備建置及管理b. 系統設備之維護c. 應用系統之資料與程式維護d. 系統開發工作之執行e. 系統維護作業f. 資料備份及回復計劃g. 程式製作及維護h. 程式單元測試i. 各項文件作成j. 設備及檔案管理k. 日常備份作業l. 問題記錄 3.部門（人員）管理：(1) 該單位所用人員應需確認其品格、學識、興趣，並據以指派其職務。(2) 該單位人員

5、工作內容需與其實務經驗及電腦技術相配合。(3) 對已提辭呈之員工，儘量避免允許其在離職前接近敏感程式或檔案。(4) 員工離職時，該人員以前所經手一切文件、磁帶等均需盤點清楚辦理移交。(5) 員工離職後，該人員曾接觸之密碼應視需要予以適當調整。(6) 該單位應不定期調查所屬員工對組織、環境、工作滿意程度等。(二)、控制重點：1. 資訊部門與使用部門之權責是否劃分清楚。2. 資訊部門是否經授權才從事系統資料維護。3. 資訊部門所擬短、中、長期資訊計劃是否配合公司營運計劃且經相關部門參與及高階主管人員核准。4. 資訊單位主管是否(不)定時向主管報告資訊業務推廣情形。最新制(修)定日期核 准審 核制(

6、修)定者會 辦 單 位使用部門章89年7月16日第 1 版2 8 3編 號CT-C00電腦化資訊系統控制制定部門資訊處作業編號作業項目作業程序及控制重點依據資料CC-101資訊處理部門之功能及職責劃分5. 單位主管是否確實明暸所屬人員業務內容，並確定各項業務是否在授權範圍內進行。6. 系統分析及程式設計人員不得負責資料輸入之管制及兼代資料輸入之操作。7. 因實際需要不得不由懂得操作之程式設計師暫代資料輸入工作時，是否有嚴密之監督。8. 工作量與員工人數是否配合。9. 對各式密碼是否因人員變動視需要做適當之調整。10. 電腦軟體是否經授權後才安裝。11. 員工離職時各項移交手續是否清楚。最新制(

7、修)定日期核 准審 核制(修)定者會 辦 單 位使用部門章89年7月16日第 1 版2 8 4編 號CT-C00電腦化資訊系統控制制定部門資訊處作業編號作業項目作業程序及控制重點依據資料CC-102系統開發及程式修改控制(一)、作業程序：1. 系統開發：(1) 系統需求分策略規劃與使用者需求：A. 策略規劃：公司政策性之規劃系統發展遠景由資管單位主管主動規劃，使系統發展具一致性、統合性。B. 使用者需求：由使用單位填寫資訊系統需求表經單位主管核准後，交資管單位主管核派工作與時間，但資管單位主管視需求之合理性、必要性與關聯性具有否決權，可退回資訊系統需求表。(2) 系統開發、修改可自行開發或委外

8、開發，由資管單位主管視當時之人力、物力及時間需求之急迫性決定，其執行方式如下：A. 與需求者或未來系統使用者洽談，了解相關作業流程、取得表單，並討論工作改善之可行性；將所瞭解作業流程及表單與資管單位主管研討，以期尋找工作改善之可行性。B. 擬出檔案結構、程式運作流程與作業輸出畫面/報表之系統分析資料提請需求者確認後開始撰寫程式碼，並進行模擬作業確認程式無誤後才可正式上線；若尚有暇疪則必須再修改或溝通。(3) 系統上線依各廠需求對已完成之系統功能分別設立使用權限。2. 程式修改：(1) 使用單位於資料異常、功能修改、功能新增時填寫資訊系統需求表以及附上需求報表/畫面格式說明，並彙整現行相關作業表

9、單資料及程序做為附件，向資管單位提出程式修改需求。(2) 資管單位主管將資訊系統需求表及相關資料交給系統維護者進行評估，評估確定後作成處理建議，經由資訊單位主管核可後則由系統維護者與使用單位討論確認程式修改規格，以進行程式維護或由委外進行程式維護；不可行時則將原因說明分析後交回原需求單位。(1) 依據資料1. 資訊管理辦法(2) 使用表單1. 資訊系統需求表(R-0019-A)2. 系統需求驗收單(R-0021-A)最新制(修)定日期核 准審 核制(修)定者會 辦 單 位使用部門章89年7月16日第 1 版2 8 5編 號CT-C00電腦化資訊系統控制制定部門資訊處作業編號作業項目作業程序及控

10、制重點依據資料CC-102系統開發及程式修改控制(3) 程式修改必要時需於測試環境中進行修改(若委外修改，則需將程式放入測試環境中，由資管單位先行做大略測試)之後通知並教育使用者操作及進行測試作業；測試確認無誤後，提供系統需求驗收單交予使用單位簽認收回歸檔並視需要將程式由測試環境轉至正式環境。 3. 程式及檔案管理：(1) 對於重要程式、檔案存取使用應詳加管制並留下記錄由主管定期核驗。(2) 系統程式應對有權存取某特定檔案的程式，限制其功能，重要檔案之存取只限於預先許可的工作權限，存取使用重要程式需經一定程序並經主管核准。(3) 程式及檔案應依其機密性不同，而分別訂立管理程序，不同用途存放不同

11、區域。(4) 正式程式說明文件之使用，均應有專人負責控管。(5) 資訊系統需求表均應連續編號並包含下列資料：A. 申請日期B. 作業名稱C. 申請理由D. 目的內容說明E. 需求人員及程式設計員簽章F. 各級核准主管簽章禁止操作員變更程式名稱或編錄程式，有關單位應視需要參與重要程式修改批准過程，所有程式修改均應經批准並有負責之人員。(6) 對正式程式之修改需經多次測試方可決定其預定結果；程式修改時其備用程式、程式列表及其他說明文件也應一起更新。(7) 程式管制應極嚴密以確保不會有未經授權之更改。最新制(修)定日期核 准審 核制(修)定者會 辦 單 位使用部門章89年7月16日第 1 版2 8

12、6編 號CT-C00電腦化資訊系統控制制定部門資訊處作業編號作業項目作業程序及控制重點依據資料CC-102系統開發及程式修改控制(二)、控制重點：1. 資訊系統需求表申請核准流程是否經相關核決人員之核准。2. 資訊系統需求表及報表/畫面格式說明之內容是否明確清楚及現行相關作業表單資料是否齊全。3. 系統維護者評估重點如下(1) 相關資料表單必須齊全。(2) 需求能否如期完成。(3) 涉及其他單位權責時必須經由各該權責單位主管簽章確認。4. 必要時程式修改是否在測試環境中進行。5. 已完成之資訊系統需求表是否經使用單位驗收完成，填寫系統需求驗收單後歸檔。6. 程式修改是否均經相關主管核簽。7.

13、程式變動時是否留下完整變動記錄。8. 程式修改是否經過週全測試程序。9. 程式修改完成後，有關說明文件有無隨同更新。10. 程式說明文件有無妥善建檔保管。11. 非資訊人員是否經核准授權才能存取原程式。(1) 依據資料1. 資訊管理辦法(2) 使用表單1. 資訊系統需求表(R-0019-A)2. 系統需求驗收單(R-0021-A)最新制(修)定日期核 准審 核制(修)定者會 辦 單 位使用部門章89年7月16日第 1 版2 8 7 編 號CT-C00電腦化資訊系統控制制定部門資訊處作業編號作業項目作業程序及控制重點依據資料CC-103編制系統文書之控制(一)、作業程序： 1.系統及程式標準化建

14、立：(1) 程式撰寫應有標準語言、格式及模組化之規定。(2) 系統運轉時，應有標準之開關機程序。(3) 各系統之系統規格，由資訊單位與系統使用單位共同研擬制定。(4) 系統軟、硬體之選取、購租及更換應遵照規定程序辦理。 2.系統文件管理：(1) 系統文件應有撰寫標準說明，應使用相同術語及編碼，所使用之符號體系應有統一規定及填寫說明。(2) 新系統開發應依循系統開發程序作業，不論是自行開發或委外開發，都應製作系統及程式書面文件，文件格式標準可視需要做調整。(3) 委外開發時，各系統之系統文件由資訊單位與軟體公司共同研擬制定。(4) 已正式作業之系統文件需具備：A.系統文件： (A)系統流程圖 (

15、B)檔案結構 ( FILE LAYOUT ) (C)程式說明B.操作手冊(5) 暨有舊系統若無法製作完整的系統及程式書面文件，亦應將重點文件補齊。(6) 系統文件應有專人負責保管，文件之借閱應限有關人員並經登記依時限歸還。(7) 系統修改時，文件應隨之修改並註明修改時間。(二)、控制重點：1. 程式設計有無依標準撰寫。2. 系統標準化建立有無依一定程序進行。3. 系統文件是否齊全，有無妥善保管以及是否及時更新。(1) 依據資料1. 資訊管理辦法(2) 使用表單1. 資訊系統需求表(R-0019-A)2. 系統需求驗收單(R-0021-A)最新制(修)定日期核 准審 核制(修)定者會 辦 單 位

16、使用部門章89年7月16日第 1 版2 8 8編 號CT-C00電腦化資訊系統控制制定部門資訊處作業編號作業項目作業程序及控制重點依據資料CC-104資料存取控制(一)、作業程序：1. 資料存取管理：(1) 使用者代號之新增、更改及刪除應填具網路使用申請單，會簽並通知資訊單位(密碼管理人員)執行新增、修改或刪除其權限及密碼。(2) 每位系統使用者應有其個別之使用者帳戶 (User Id) 及密碼(Password)。(3) 資料檔(庫)維護人員在未經相關主管同意前不得更改資料，只有在經相關單位填寫系統需求表詳列更改項目、方式及合理性後才有權變更。(4) 資料檔(庫)之存取應採取下列方式限制：A

17、. 對進入資料檔(庫)存取資料之指令，能辨識其由何處、何時、何人輸入。B. 鎖住資料檔(庫)與使用者無關區域。C. 對不同使用者嚴格限制對資料檔(庫)檔案之使用權限。D. 嚴格確認使用者對資料檔(庫)所能執行之功能，如新增、修改、刪除、查詢等功能。(5) 應設系統異動記錄，供系統操作員記載系統異動之情況，並經主管覆核。(6) 在緊急狀況下，經使用單位主管及資訊單位主管同意後，可對資料更新作臨時性之授權，資訊單位應記錄，使用單位應補網路使用申請單或資訊系統需求表。2. 存放密碼的表格(TABLE)應加以特別保護，以防未經授權的存取發生。(二)、控制重點：1. 正式程式之使用是否經授權。2. 重要

18、程式、檔案存取使用是否留下記錄。3. 存放密碼表格(TABLE)是否特別保護。4. 存取資料是否經適當授權核准。5. 使用者異動時，其權限是否經授權核准。6. 密碼是否視實際需要，不定期更換。(1) 依據資料1. 資訊管理辦法(2) 使用表單1. 資訊系統需求表(R-0019-A)2. 系統需求驗收單(R-0021-A)3. 網路使用申請單(R-0023-A)最新制(修)定日期核 准審 核制(修)定者會 辦 單 位使用部門章89年7月16日第 1 版2 8 9編 號CT-C00電腦化資訊系統控制制定部門資訊處作業編號作業項目作業程序及控制重點依據資料CC-105資料輸入、輸出控制(一)、作業程

19、序 1.資料輸入控制：(1) 應用程式對輸入資料的正確性，應有下列核對功能：A. 資料屬性如文字及數字之檢查。B. 數值正負號之檢查。C. 檢查碼之核對。D. 範圍限度之檢查。E. 代號對照表檢查。F. 資料間關聯性檢查。(2) 資料輸入須能確知經由何種管道處理，能有適當之控制確知所有資料均已輸入電腦裏；而資料輸入單位由該單位主管依密碼控制及系統使用權限授權資料輸入人員負責輸入。(3) 資料輸入處理之檔案內，必須逐筆記錄輸入人員代號及輸入日期，已登錄資料之修改或輸入錯誤之更正應由被授權之人員負責執行。(4) 輸入作業包含新增、修改、刪除、查詢等四項。(5) 該資料經核准輸入時，應控制避免重複輸

20、入情況之發生，當錯誤發生時，應先分析是屬於資料本身錯誤或主檔錯誤還是程式錯誤，並追究其原因採取不同應變措施。(6) 當資料輸入電腦被發現錯誤剔除時，應有控制程序確保該資料會被處理。 2.資料輸出控制：(1) 輸出資料須依作業週期產出並按資料之敏感性或機密程度呈核保管，若無保存需要，必需經過適當銷毀處理。(2) 輸出資料若以磁性媒體保存，應定期檢查以確定在必要時能以報表方式列印。(3) 原始資料與電腦輸出資料應可互相勾稽，並由使用單位人員審核其電腦輸出資料之合理性。(1) 依據資料1. 資訊管理辦法(2) 使用表單1. 資訊系統需求表(R-0019-A)2. 系統需求驗收單(R-0021-A)最

21、新制(修)定日期核 准審 核制(修)定者會 辦 單 位使用部門章89年7月16日第 1 版2 8 10編 號CT-C00電腦化資訊系統控制制定部門資訊處作業編號作業項目作業程序及控制重點依據資料CC-105資料輸入、輸出控制 3.資料異常或資料回復之檔案維護：(1) 使用單位於資料異常或資料回復時向資訊單位提出資料維護需求，並填寫資訊系統需求表及附上該項資料之相關文件，經由使用單位主管簽章確認後送交資訊單位。(2) 資訊單位主管簽核後給系統維護者進行評估其資料修改範圍及影響，如果涉及其他單位的資料異動，確定是否由相關單位主管之簽章，並做成處理建議。(3) 由資訊單位主管簽核後為可行時，則由系統

22、維護者進行資料維護；不可行時，則將原因說明分析後，交回原使用單位。(4) 必要時系統維護者根據評估可行之資訊系統需求表於測試庫進行資料修改或回復，完成後通知使用單位測試，測試無誤後使用單位簽認，作成記錄並存檔備查。(5) 資訊單位根據使用單位簽認已修改或回復之資料，由測試環境轉換至正式環境(二)、控制重點：(1) 資料輸入處理是否留下記錄。(2) 應用程式有無核對輸入資料之功能。(3) 當資料輸入發現錯誤，是否立即追查原因並處理之。(4) 資料輸出有無適當管制，員工是否知道密碼不得告訴他人，若因作業需要而將密碼暫交他人用後，是否立即修改密碼。(5) 異常之資料內容應詳實記錄並說明。(6) 資訊

23、系統需求表是否經由使用單位及各相關人員簽章，若涉及其他單位資料異動，是否經由相關單位主管之簽章授權。最新制(修)定日期核 准審 核制(修)定者會 辦 單 位使用部門章89年7月16日第 1 版2 8 11編 號CT-C00電腦化資訊系統控制制定部門資訊處作業編號作業項目作業程序及控制重點依據資料CC-106資料處理之控制(一)、作業程序：1. 資料處理時應控制重要的資料項目及交易事項，並與輸出資料互相勾稽。2. 應適當控制資料輸入作業，以確保資料適當且完整被電腦處理。3. 進行重要資料處理作業時，應利用密碼控制，密碼應不顯示於終端機上，並視實際狀況不定期更換。4. 系統提供資料處理功能時，各種

24、輸入資料之合理性及正確性應再次檢查。5. 資料經處理後，使用單位應核對各項輸出報表及輸入憑證，並由各單位主管落實執行。6. 資料輸入錯誤時應及時追蹤、解決及再輸入處理，而輸出資料錯誤應做必要更正，並重新執行資料處理作業。7. 系統應提供使用者在作業處理中，能夠顯示各項錯誤或作業失敗之訊息，並產生錯誤報表以利追蹤更正。8. 錯誤資料之更正執行，須經過適當申請程序由主管核准，並由專人覆核更正並追蹤處理情形，更正後應能確定資料已經正確更正。9. 對於經常發生錯誤資料之原因，應進行追蹤考核以期改善，並減少錯誤發生。10. 程式錯誤之處理：(1) 程式對輸入資料有無錯誤，應於輸入資料時能加以檢查。(2)

25、 程式應儘量設想各種可能錯誤而加以預防。(3) 程式執行時發生錯誤，需顯示出詳細錯誤情況，以供操作人員參考。(4) 對於程式執行時，可能顯示出的各種錯誤訊息，需在文件上詳細說明其可能狀況及處理方式。11. 程式發生錯誤時，操作人員應立即記錄顯示的錯誤訊息及相關資料於電腦系統異常記錄表，以供系統人員處理，其處理過程應予以記錄並交由主管核驗。(1) 依據資料1. 資訊管理辦法(2) 使用表單1. 資訊系統需求表(R-0019-A)2. 系統需求驗收單(R-0021-A)3. 電腦系統異常記錄表最新制(修)定日期核 准審 核制(修)定者會 辦 單 位使用部門章89年7月16日第 1 版2 8 12編

26、 號CT-C00電腦化資訊系統控制制定部門資訊處作業編號作業項目作業程序及控制重點依據資料CC-106資料處理之控制12. 須要花費較長時間執行的程式，應預先設置檢查點(CHECK POINT)，每隔一段時間即記錄相關資料，以使程式中斷後復原時，不必從頭重新執行。13. 各單位日常之電腦操作應檢核並記錄電腦系統異常記錄表定期呈核單位主管，對電腦操作所發生之重要事件，應予以記錄並定期會核資訊單位主管。(二)、控制重點：1. 資料處理時，其平衡性及合理性有無檢查。2. 資料處理完畢時其輸出報表有無核對其正確性。3. 是否制定操作手冊。4. 輸出資料發現錯誤是否確實更正，有無適當處理。5. 執行重要

27、的作業應作記錄，電腦操作所發生之重要事件有無記錄，系統異常是否詳實記載，其記錄是否定期會核資訊單位主管。6. 輸入資料有無重複。7. 有關單位人員是否確實審核輸出資料之合理性。8. 程式錯誤之處理：(1) 重要程式的各種錯誤訊息有無確實記錄。(2) 程式設計人員是否針對程式錯誤加以修改。(3) 各種錯誤及其處理過程之記錄，有無呈送主管核驗。最新制(修)定日期核 准審 核制(修)定者會 辦 單 位使用部門章89年7月16日第 1 版2 8 13編 號CT-C00電腦化資訊系統控制制定部門資訊處作業編號作業項目作業程序及控制重點依據資料CC-107檔案及設備之安全控制(一)、作業程序： 1.硬體設

28、施管理：(1) 電腦機房各裝置的運轉情況及故障情況均須記錄(故障原因經分析後應採取適當之措施，其處理情形應列入記錄)，並送有關主管核閱。(2) 備份儲存體(如磁帶)之存放應安排定期放置於主機房之其他建築物中，將備份內容及存放地點登錄於資訊檔案備援記錄表。(3) 各裝置應定期辦理預防性維護並做成記錄，若由廠商辦理為確定維護內容應訂定書面契約，完成維護時需有人會同驗收。(4) 啟動機器時對各種裝置應注意其正常運轉，且需訂定檢查程序；維護人員專用之開關等應嚴禁他人使用。各項磁碟機、印表機等設備，需注意避免有閒置狀態，若係租用需定期評估市場狀況。(5) 主機應置放於安全場所並只准特定人員才可接近，並依使用性質