《2022年内部控制制度《电子数据处理循环》.doc》由会员分享,可在线阅读,更多相关《2022年内部控制制度《电子数据处理循环》.doc(28页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、内部操纵制度电子数据处理循环文件管制等级:管制文件非管制文件文件履历纪要页文件发行单位文件管制等级治理代表管制文件非管制文件文件履历纪录版次修订内容核准权责编撰日期0第1版(新发行)1. 总则1.1. 制定目的为促使本公司内部操纵(Internal Control)之电子数据处理循环(Electronic Data)程序,能有所遵照,特订定本文件,俾利各相关单位遵照。1.2. 适用范围凡本公司有关内部操纵之电子数据处理循环作业程序与操纵重点,悉按照本文件之标准办理。1.3. 权责单位信息单位为本文件之权责单位,权责单位主管经承认单位受权,负责本文件之管制,并确保依照本文件之标准作业。2. 电子
2、数据处理循环2.1. 循环图【见】(材料1)电子数据处理循环图。2.2. 循环作业本循环之各项作业:1) 组织及职责作业(CE101),另订之。2) 系统开发及修废作业(CE102),另订之。3) 系统应用文书治理作业(CE103),另订之。4) 系统使用治理作业(CE104),另订之。5) 材料输出入治理作业(CE105),另订之。6) 数据处理作业(CE106),另订之。7) 档案及设备之平安作业(CE107),另订之。8) 软硬件设备治理作业(CE108),另订之。9) 系统复原及测试作业(CE109),另订之。10) 计算机机房治理作业(CE110),另订之。11) 网络系统治理作业(
3、CE111),另订之。12) 其它相关庶务治理作业(CE112),另订之。3. 附则3.1. 制修废与公布施行本文件属于治理文件,经运营会审议后,呈请董事长核准承认后,交由权责单位公布公告施行;修订或废止时亦同。3.2. 编号、版本、日期、页次页数本文件之项类、标题、编号、版本、施行日期、公司名称、文件页次页数等项,见本文件之页首与页尾。3.3. 附件3.3.1. 相关材料(材料1)电子数据处理循环图(材料1)电子数据处理循环图其它相关循环CE101-组织及职责|CE102|CE107系统开发及修废-档案及设备之平安|CE103|CE108系统应用文书治理-软硬件设备治理|CE104|CE10
4、9系统使用治理-系统复原及测试|CE105|CE110材料输出入治理-计算机机房治理|CE106|CE111数据处理-网络系统治理|CE112其它相关庶务治理第1節 作业程序1. 设立目的为因应公司长期开展之需要,指导公司计算机化,并规划企业治理与信息应用相结合之治理信息系统,以期提供实时正确之信息,协助决策单位提升治理绩效。确定公司之软、硬件规划标准政策,以保公司之长期开展及电子数据处理之一致性。信息单位除依使用单位提出之需求作应用系统开发维护操作外,应规划评估新的计算机技术和应用,以提升信息系统之效率。2. 组织及职责本公司信息单位设主管、程序设计师与系统治理师等。1) 主管(A) 依公司
5、政策,研拟短、中、长期计算机化作业之整体规划与整合。(B) 信息业务之规划、执行、协调、督导及审核。(C) 信息处理作业及操纵方法之拟订。(D) 所属人员之治理,训练及考核。(E) 与其它单位之业务协调与沟通。(F) 系统文件、手册制造规划。(G) 新系统之评估、规划、分析、设计。(H) 信息单位之预算编列和执行操纵。 (I) 计算机应用系统密码设定维护。(J) 其它上级交办事项。 2) 程序设计师(A) 计算机信息系统规划、分析、与设计。(B) 应用系统程序之开发、治理和维护。(C) 系统文件,操作手册之编制,维护和治理。(D) 使用单位之咨询题排除及软硬件技术支持。(E) 内部新进人员计算
6、机教育训练。(F) 其它上级交办事项。3) 系统治理师(A) 计算机平安操纵与治理。(B) 相关操作系统、应用系统、数据文件及数据库之治理及维护。(C) 数据文件与系统程序备份。(D) 硬设备之维护。(E) 机房计算机及相关外围之平安与清洁。(F) 使用单位之咨询题排除及软硬件技术支持。(G) 信息单位相关资源之维护治理。(H) 其它上级交办事项。4) 各单位计算机使用人员(A) 各单位使用计算机系统之人员,负责审查输入材料之凭证是否合于规定,并负责检查填写,登录有无错误。(B) 各单位使用计算机系统之人员,必需经由权责单位主管受权后,始可执行应用系统之日常买卖材料输入与更正。(C) 严禁员工
7、使用非法或未经受权的应用软件。第2節 操纵要点1) 信息单位之人员,是否依职责完成各项工作。2) 对已提出辞呈之信息单位人员,是否防止同意其离任前接近敏感程序或档案。3) 员工离任时,该人员往常经手的一切文件、磁带、磁盘及磁盘等,是否盘点清晰并完作移交手续;员工离任后,该员曾接触之密码是否做适当的调整。第1節 作业程序1. 系统开发1) 使用单位关于现行系统功能需要变更或重新开发系统,应提出系统开发修正废止申请单,并将需求内容及要点详列于申请单中,经该单位直属主管提出需求申请,径交信息单位处理。2) 信息单位收到申请单后,由单位主管指派资讯工程师处理。3) 系统分析及设计信息人员进展系统功能之
8、确认,并划分子系统且描绘子系统之输出入规格及作业流程;假设该系统开发后将会妨碍到其它单位之作业时,信息单位主管或资讯工程师须与相关单位主管讨论会签后,再由信息单位主管决定自行开发、外包或购置合法软件。4) 程序开发完成后,应会同相单位按照各项需求功能进展测试,假设无咨询题则相关单位应于系统开发修正废止申请单上签认,并执行次一阶段作业。2. 系统修正1) 使用单位关于现行系统功能需要变更或重新开发系统,应提出系统开发修正废止申请单,并将需求内容及作要点详列于申请单中,经该单位直属主管提出需求申请,径交信息单位处理。2) 信息单位收到申请单后,由单位主管指派资讯工程师处理。3) 资讯工程师依照修正
9、内容及作业要点进展可行性分析,假设须修正的内容有妨碍至其它单位之作业时,信息单位主管或资讯工程师须与相关单位管讨论会签后,再由单位主管决定自行修正、外包或购置。4) 系统修正完成后,得会同相关单位按照各项需求功能进展测试,假设无咨询题则请相关单位主管于原系统开发修正废止申请单上签名,并进展应用软件更新作业。3. 系统废止1) 当信息单位或使用单位发觉系统已不合时宜欲终止时,应填具系统开发修正废止申请单,并将其缘故详列于申请单中,经各单位主管签核后,交由信息单位处理。2) 信息单位收到申请单后,由单位主管指派资讯工程师处理。3) 资讯工程师依照系统内容及作业要点进展分析,假设该系统牵涉到其它单位
10、时,信息单位主管或资讯工程师须与相关单位主管讨论并会签意见。4. 材料备份系统开发修正完成后,须将原始程序及档案备份至磁带或磁盘等备份媒体上,并将备份的内容及备份媒体的编号,记录在原始程序及相关档案备份纪录表内。5. 作业期限信息单位依大、小型系统分别订工期,并依工期进展程序之新增及修正,假设有多项需求同时申请时,信息单位得依其重要性适时调整其工期,并记录在系统开发修正废止进度管制表内。6. 其它1) 未经许可,所有软件严禁拷贝。2) 系统外包厂商开发、修正及维护时,其所订合约应妥善保管。软件版本如有更新时,应将旧版删除或加以治理,并将处理情形做成记录备查。3) 系统上线前均应逐一测试。4)
11、系统测试时,非经许可不可用线上实际之材料,须在测试区进展测试,待测试完成后,再正式开放给使用者使用。系统测试完成上线时,应知会主要使用单位。5) 系统开发时,须撰写相关数据文件及文件,并留存备查。6) 系统修正时,须将相关文件一并随之修正,并留存备查。7) 信息单位须制造操作手册,并随程序之修正更新之,并留存备查,且由信息单位教诲使用者如何使用新系统。第2節 操纵重点1) 应用系统开发、修正、废止,是否依规定进展申请、验收及废止程序。2) 原始程序及相关档案是否依规定进展备份,并完成纪录。3) 应用系统开发、修正是否依时限完成。4) 应用系统开发、修正、废止等之相关合约、档案及文件有无妥善保管
12、。5) 外购软件是否合法。第3節 相关材料系统开发修正废止申请单、原始程序及相关档案备份纪录表、系统开发修正废止进度管制表等。第1節 作业程序1) 信息单位自行开发之系统,应具备系统应用说明书,其内容应依以下大纲表达:(A) 系统功能介绍。(B) 档案说明。(C) 事务作业流程图。(D) 系统模块架构表。(E) 程序名称一览表。(F) 操作说明。2) 信息单位所有文书或档案,应指派专人保管存盘。3) 系统或程序变更时,相关文书或手册应随即更新抽换。4) 所有系统文书之保管人于离任前,应依人事治理相关规定作业,并于完成离任手续后方可离任。第2節 操纵重点1) 系统应用文书之编制应按照既定之标准。
13、2) 确保所有系统说明文件均已按照既定之标准编制,足以供系统设计人员维护现有系统。第3節 相关材料系统应用说明书等。第1節 作业程序1. 系统使用操纵1) 所有新计算机系统使用者,须依其工作职掌以系统使用需求申请变更表向信息单位提出建置计算机系统识别码之申请,该项申请须经权责单位主管核准为之。2) 计算机系统使用者如有职务调动或离任,该项人事异动应知会信息单位取消或更改其计算机系统使用识别码。3) 个人之计算机系统使用识别码及密码不得告知或提供别人使用,密码如有外泄,应即更换其密码。4) 个人之计算机使用者注册文件,应不定期由专人复核以确保使用者确实存在,且无不当的使用情形。5) 个人之计算机
14、系统识别码及密码,应存在经特别保护之档案,以防止未经受权之存取发生,且识别码及密码之建置应有适当操纵,以防止遭不当援用而损及公司的重要档案。2. 程序的存取原始程序档案应作权限管制,以防止系统或程序设计人员或使用者不当地更新原始程序档案,而对公司资源造成损害。3. 材料的存在1) 如紧急材料主文件有变更需求时,应由使用单位主管核准后,以系统开发修正废止申请单向信息单位提出申请。2) 目前正在上线正常运作中之材料,需经信息单位主管的认可,才能编修与校正。第2節 操纵重点1) 应有适当措施以预防公司机密或重要材料,遭未经受权之揭露及蓄意或非成心的取用。2) 应能保护公司重要材料不遭蓄意或非成心更改
15、或毁损,并及时侦测公司重要材料遭不当的揭露或取用。第3節 相关材料系统使用需求申请变更表、系统开发修正废止申请单等。第1節 作业程序1. 输入操纵1) 关于所有赖以输入计算机之凭证输入,计算机要会产生唯一性之编号,并做对此笔材料的唯一识别。2) 数据处理时,可能发生之毛病与忽略或原始材料之错误而使主文件材料受损者,均应在程序中详为防备与补救。3) 输入之材料能由程序执行材料校核者,应厘订检查与操纵方法,纳入程序设计范围之内,才能发觉咨询题防止错误。4) 错误材料及材料输入错误之更正,须填具数据库修正申请单经适当程序,并经权责主管核准;错误材料更正后,应能确定材料已经更正无误,并回复数据库修正申
16、请单后留下纪录,送交权责主管复核。2. 输出操纵1) 各操作人员之报表打印权限,经由相关单位主管会同信息单位主管核定,始能执行打印作业。2) 凡属非定期,重要性及特别需求之报表,应由需求单位填写材料需求申请单,并经权责主管核准后,送请信息单位或相关单位专人执行。3) 输出材料使用后假设无保存需要,应经适当毁弃处理。4) 输出材料假设发觉错误,应及时通知信息单位人员做必要更正,并重新执行数据处理作业。第2節 操纵重点1) 确保输入计算机之材料有适当的凭证及受权。2) 于计算机系统中设定输入检核之功能以确保输入程序之正确性及完好性。3) 确保各种材料之机密及信息输出能满足使用者之需求。第3節 相关
17、材料数据库修正申请单、材料需求申请单等。第1節 作业程序1) 各项计算机系统操作程序皆需依操作手册施行。2) 各计算机系统维护由专人维护。3) 计算机操作或维护时,所发生之重要咨询题事件,应记载于计算机维护日志上。4) 数据处理执行时,应做一般检核操纵,以防止人为错误。5) 数据处理过程中,因错误或不可抗拒之要素,导致需重新处理时,应实时复原,以确保数据处理之正确性。第2節 操纵重点1) 计算机系统操作程序是否依操作手册施行。2) 确保系统正常运作,防止操作错误并确保数据处理的可靠性、正确性、及时性。第3節 相关材料计算机维护日志等。第1節 作业程序1. 档案治理硬盘内之系统目录档案应定期整理
18、,并将不需之档案或目录由专人负责施以消除或重整作业,以节约磁盘驱动器使用空间并增加系统运作效能。2. 备份制造1) 依照各使用档案材料之重要性,制造材料备份或复原回存。2) 系统应每日备份,并施行月备份。3) 于材料备份日志表上,详细记录备份材料之操作日期、起迄时间、材料内容、磁带编号。4) 信息单位主管,应定期检视备份制造之完好性。3. 媒体保存及治理1) 更新后及所有日常备份完成之媒体,应分别存放于隔不同楼层的防潮箱中。2) 所有媒体之存放地点皆应有防火、防潮、防水及防尘装置、灭火设备,并定期施行检测以确保储存之平安性。第2節 操纵重点1. 机房环境操纵1) 计算机机房应有适当的消防设备据
19、以保护各项设备。2) 机房应保持适当之温度及湿度,设有独立之空调设备,并设置温湿度计,以随时监控机房环境。2. 设备实体平安治理1) 机房内应设置电力设备,如稳压器、不断电设备等,以确保电路稳定及供作紧急处理用。2) 机房应随时记录机器运转情况,对机器停顿缘故、维修次数、更换零件等,均应详细记录以利追踪。3) 网络工作站及单机式或可携带式计算机等,皆应有病毒侦测软件之程序,以防止档案遭受损害。4) 定期对机房之各项平安操纵设备实行检测并记录测试结果,由信息单位主管定期复核。5) 计算机机房及其它敏感地区(如档案、磁带磁盘储存区及通讯设备区等)严禁闲人进入,非信息单位主管同意绝不能携出或带入不相
20、关东西。6) 有关硬设备都列入资产治理,并编列维护费用以确保机器正常运转。第3節 相关材料材料备份日志表等。第1節 作业程序1. 硬件1) 由各需求单位提出,经该单位主管核准,并经信息单位主管会签,呈董事长核准后始可采购。2) 硬件的安装、维护、由信息单位负责。3) 硬件的保管,由各保管人自行负责。4) 硬件发生毛病时,须将毛病处理情形记录于毛病维修纪录表内并备查。2. 软件1) 系统软件之请购需求,由需求单位填写软件需求单后交信息单位,由信息单位评估购置。2) 软件的安装、维护,由信息单位负责。3) 使用者所建立的材料,由各使用者自行备份。4) 软件发生咨询题时,须将咨询题处理情形记录于毛病
21、维修纪录表内并备查。3. 防毒软件1) 为防止PC硬盘中之档案,因感染病毒而造成系统或材料损毁,于PC上均须安装防毒软件;防毒软件的安装、设定、维护及档案等材料均应妥善保存。4. PC移转作业1) PC进展移转作业时,应依相关资产治理规定为之,假设属单位内移转,则由单位主管自行决定硬盘材料是否保存;假设属跨单位移转,则为防止机密材料外泄,一律重新安装硬盘。第2節 操纵重点1) 软硬件相关设备,是否依相关资产治理规定确实保管好。2) 各项设备装置毛病时,是否做成记录,并述明现象、发生缘故及采取措施等。3) 防毒软件是否确实安装及正常运作。4) PC跨单位移转时,是否完成硬盘重新安装作业。5) 硬
22、件送修,是否依相关规定为之。第3節 相关材料毛病维修纪录表、软件需求单等。第1節 作业程序1) 尽速切断灾变来源,以减少计算机设备损失。2) 尽速恢复可用设备之运转。3) 调用及运用备份设备或材料进展灾变回复。4) 速通知使用单位进展时差性材料之补建工作。5) 如遇严重灾变致妨碍业务活动时,应就系统之重要性逐一复原并予以测试。6) 信息单位应适当仿真灾变情况之复原对策、计划,并每半年需予执行演练一次,以确保灾祸复原之正确性。第2節 操纵重点1) 为防止灾变发生,需随时留意可能造成灾变要素之环境。2) 材料备份系统档案应放置平安环境下,以因应突发情况。3) 系统复原应经适当测试,以确保复原。第1
23、節 作业程序1) 机房内禁止吸烟、进用食物及饮料。2) 机房内不得有易燃物或散置垃圾及私人物品,以保持清洁。3) 非信息单位人员不得任意进入机房。4) 机房大门平时须上锁。5) 机房中所有机器设备均应由信息单位人员或由信息单位人员陪同下,依规定激活及操作。6) 空调系统治理、电力系统治理(A) 温度范围:1525。(B) 湿度范围:4060。(C) 以UPS确保电力供给之稳定。(D) 保养、维修,依相关保养维修规定作业之。第2節 操纵重点1) 计算机机房是否依规定进展管制。2) 空调系统是否认期检查及保养。3) 电力系统是否认期检查及保养。第1節 作业程序1. 网络及其外围设备治理1) 网络设
24、备(例如:计算机主机、效劳器、Router、Switch、Hub等)应安装稳压及不断电电力系统装置(UPS),以防止电压不稳及不预期之断电时,造成材料之流失。2) 须建立网络系统配置图、网络设备配置图及网络使用者端配置图并随时更新,以供维护人员查阅,并定期关于各线路检测,以保持网络之畅通。3) 激活设备时应留意运转是否正常。4) 网络设备须依网络设备检查工程及程序,每月定期检查并填立网络设备检查纪录表,以预防咨询题之发生。5) 网络设备如发生毛病时,应将其处理情况记录于毛病维修纪录表内,以供查阅。2. 操作系统及应用软件之建立及维护1) 操作系统及应用软件之建立由信息单位负责,必要时可由专业厂
25、商协助。2) 操作系统或应用软件建立时之相关文件及档案须妥善保管,并建立网络操作系统应用软件维护纪录表。3) 操作系统及应用软件更新前,须经信息单位主管同意后进展更新,并将更新之内容记录于网络操作系统应用软件维护纪录表内。4) 操作系统或应用软件因故停顿使用前,须经信息单位主管同意后进展处理,并将处理结果记录于网络操作系统应用软件维护纪录表内备查。3. 使用者权限治理1) 有网络作业需求或须调整使用权限者,须向信息单位提出网络帐号使用权限申请单,经信息单位主管审核同意后,交由资讯工程师完成使用者权限设定。2) 研发单位专属之操作系统,因其作业性质较为特别及平安上的考量,使用者之治理权限由研发单
26、位自行治理。3) 使用者密码关系到材料平安与防护,严禁张贴于计算机或计算机屏幕上。4) 信息单位须建立网络使用者权限一览表,并对所设定之权限详述之。4. 档案数据治理1) 须建立磁盘档案配置表、系统软件配置表并随时更新,以供维护人员查阅。2) 当操作者输入材料错误或系统本身咨询题,造成材料错误且程序不予许修正时,得由信息单位或需求单位提出数据库修正申请单,并将修正缘故详列于申请单,经该单位主管签核后,径交信息单位处理。3) 信息单位收到申请单后,由单位主管指派资讯工程师处理。资讯工程师依照修正内容及作业要点进展分析,假设该数据库修正将妨碍到其它单位之作业时,信息单位主管或资讯工程师须与相关单位
27、主管讨论会签后完成修正,并将处理结果记录于原数据库修正申请单中备查。4) 硬盘材料,假设经使用单位或信息单位人员断定短期内不再使用,则可由信息单位或使用单位提出历史材料去除申请单。5) 信息单位收到申请单后,由单位主管指派资讯工程师处理。资讯工程师依照修正内容及作业要点进展分析,假设该数据库修正将妨碍到其它单位之作业,信息单位主管或资讯工程师须与相关单位主管讨论会签后,由信息单位将材料转入备份(如磁盘、磁带等),并将磁盘材料予以删除,其处理结果记录于原历史材料去除申请单中备查。5. 网络平安防护为防止档案因感染病毒而造成系统或材料损毁,于主机及效劳器上均须安装防毒软件,防毒软件的安装及设定及维
28、护及档案材料均须妥善保存。6. 网络主机、效劳器之材料备份1) 每日做一次Differential backup,每星期做一次full backup,每月并将重要材料做成CD片永久保存。2) 备份媒体须妥善保管,己存有材料之备份媒体则须放置于平安的地点。3) 网络主机、效劳器之材料备份之安装、设定及操作程序等,须详载于主机效劳器备份回复之安装、设定及操作程序内。7. 系统回复作业1) 当系统或应用程序发生异常或错误且已无法回复时,得采行本作业。2) 回复前立即要求线上使用者退出系统。3) 信息单位依主机效劳器备份回复之安装、设定及操作程序进展回复作业。4) 材料回复作业完成后,假设须补建材料,
29、应知会相关单位补建。第2節 操纵重点1) 各项设备装置是否认期检查,并做成纪录。2) 各项设备装置毛病时,是否做成纪录并述明现象、发生缘故及采取措施等。3) 网络系统使用者之使用权限,有无按照规定程序完成申请手续并经核准。4) 现有的网络使用者权限设定是否有不当之处。5) 对网络系统之档案材料修正去除时,是否依规定程序办理。6) 网络磁盘空间是否足够,过期材料是否适时完成清理。7) 防火墙及防毒软件是否正常运作。8) 材料备份是否正常运作。9) 备份媒体(如磁带、CD片等)是否妥善保存。第3節 相关材料网络系统配置图、网络设备配置图、网络使用者端配置图、网络设备检查工程及程序、网络设备检查纪录
30、表、毛病维修纪录表、网络操作系统应用软件维护纪录表、网络帐号使用权限申请单、网络使用者权限一览表、磁盘档案配置表、系统软件配置表、数据库修正申请单、历史材料去除申请单、主机效劳器备份回复之安装、设定及操作程序等。第1節 作业程序1. 计算机软、硬件及相关外围设备之购置各单位请购计算机软、硬件及相关外围设备时,须先会签信息单位,俾使资源能充份运用。2. 耗费品治理1) 设备耗用品(如报表纸、碳粉等)及备份媒体(如磁盘、磁带等)之耗用及库存治理均属之。2) 用品之购入及使用均须登于一般用品购入使用登记表备查。3. 资产设帐及保管1) 网络系统及个人计算机所使用的软、硬件及外围设备均属信息单位所列管
31、之资产。2) 使用单位所列管的资产假设有任何异动时,均须会签信息单位后始可异动。3) 信息单位所列管的资产,每年由信息单位负责盘点一次。4. 资产借用及携出1) 信息单位所保管之资产,如因工作需求借出时,须填写信息单位列管资产借还登记表,且不得违背规定移为他用。2) 信息单位所保管之资产,如因工作需要携出办公场所外时,须依相关规定完成携出手续。5. 软件使用规定1) 公司自行开发修正之软件,可因工作上之需要而进展安装及拷贝,惟须确恪守规定不可移做它用。2) 公司所购置或委托别人所开发之软件,则须确实遵照版权及合约规定,不得违背。6. 教育训练1) 当员工或单位因工作上需要,且须由信息单位提供教育训练时,依教育训练相关规定施行之。2) 因新系统开发或系统修正所衍生之教育训练,则由信息单位统筹办理使用单位受训事宜,并将上课情形做成纪录备查。7. 文件治理信息单位与公司内、外部往来的文件皆属文件治理的范围,应依相关文件治理规定办理。第2節 操纵重点1) 信息单位所列管之资产是否规定进展治理。2) 公司员工离任时,是否确依规定完成资产移交,其网络帐号是否确实予以删除。3) 软件是否确依规定来使用。4) 相关计算机操作等教育训练,有无依规定施行。5) 文件是否依规定进展存盘。第3節 相关材料一般用品购入使用登记表、信息单位列管资产借还登记表等。
黑公网安备:91230400333293403D