1、资讯处理部门之功能及职责划分之稽核.doc

柒、電腦作業與資訊提供：C-10000  目　　　錄 一、 資訊處理部門之功能及職責劃分之稽核：AC-10100 3 二、 系統開發及程式修改之控制作業之稽核：AC-10200 5 三、 編製系統文書之控制作業之稽核：AC-10300 8 四、 程式及資料存取之控制作業之稽核：AC-10400 10 五、 資料輸出入之控制作業之稽核：AC-10500 13 六、 資料處理之控制作業之稽核：AC-10600 16 七、 檔案及設備之安全控制作業之稽核：AC-10700 18 八、 硬體及系統軟體之購置、使用及維護之控制作業之稽核：AC-10800 21 九、 系統復原計畫制度及測試程序之控制作業之稽核：AC-10900 24 十、 資通安全檢查之控制作業之稽核：AC-11000 27 十一、 向主管機關指定網站進行公開資訊申報控制作業之稽核：AC-11100 30  資訊處理部門之功能及職責劃分：AC-10100 編　號 作業項目及目的 作業 週期 作 業 程 序 ( 方 法 ) 及 稽 核 重 點 依據資料 AC-10100 資訊處理部門之功能及職責劃分之稽核 目的： 確定上述作業是否符合規定辦理 不 定 期 ： 每 半 年 至 少 查 核 乙 次 資訊單位之組織及功能 資訊處理之組織功能是否基於職能適當分工，訂定權責分工及職務說明，並規劃適當之職務代理人。 資訊處理內各單位職掌設計，是否避免不同單位權責重疊現象。訊單位人員工作執掌說明 資訊處理與業務單位之權責是否明確劃分。 資訊作業人員是否填具必威体育官网网址切結書；並於離職時取消其識別碼且收繳其通行證、卡及相關證件。資訊單位人員之聘用與教育訓練 是否定期(每年至少一次)對全公司員工辦理資訊安全宣導講習（例如：防毒、資料備份、使用合法軟體及電子郵件使用規定等），並留存紀錄。 法令規章： 證券暨期貨市場各服務事業建立內部控制制度處理準則 第條 台期稽字第09300034210號 台財證字第0930115938號函 系統開發及程式修改之控制作業：AC-10200 編　號 作業項目 作業 週期 作 業 程 序 ( 方 法 ) 及 稽 核 重 點 依據資料 AC-10200 系統開發及程式修改之控制作業之稽核 目的： 確定上述作業是否符合規定辦理 不 定 期 ： 每 半 年 至 少 查 核 乙 次 系統開發控制作業： 資訊單位是否評估使用單位實際作業需求，確認可行且有開發新系統必要，簽呈送請相關主管會簽，判定是否執行系統開發作業。 資訊單位辦理委外開發之採購作業時，是否根據使用者需求邀集相關單位共同規劃解決方案，實際查詢廠商的成功案例，評選有能力按需求完成系統開發工作的最佳廠商。 合約內容是否包含委外時程表、完成時間、維護方式、付款方式、版權、軟硬體需求、交付文件、相關賠償方式及規定所有必要之安全要求等，委外作業合約內容應完備嚴密。資訊單位人員是否根據合約內容控管該委外案件之執行。 程式修改控制作業：資訊單位權責主管是否核准系統開發/程式變更申請單，以確認程式修改需求係經相關權責人員充考量程式變更的必要性及其風險。系統開發人員是否編系統規格需求說明書，與使用單位進行討論瞭解細部需求，除留存各階段會議錄外，並由使用單位確認。資訊人員是否建置有獨立之開發及測試環境，以維護正式環境之資料。系統開發及程式修改作業是否皆於開發及測試環境執行。資訊單位是否會同申請單位於測試環境測試開發或修改完成之系統或程式，將測試結果記錄於系統開發/程式變更申請單，並檢附相關報表及畫面。系統負責人是否進行上線變更申請程序並填寫系統上線申請單，經資訊單位主管簽核並確認預定上線日期，由經資訊單位主管授權之執行人員負責將系統上線至系統正式環境。系統上線至系統正式環境，資訊人員是否建立軟體更新的版本控制機制。上線完成後，資訊單位應用系統管理組人員是否將系統開發/程式變更申請單、系統規格需求說明書及系統上線申請單編號歸檔後留存。 法令規章： 證券暨期貨市場各服務事業建立內部控制制度處理準則 第條 台期稽字第09600018150號 金管證期七字第0950160204號函 台期稽字第09300034210號 台財證字第0930115938號函 使用表單： 系統開發/程式申請單 系統規格需求說明書 系統上線申請單 編製系統文書之控制作業：AC-10300 編　號 作業項目 作業 週期 作 業 程 序 ( 方 法 ) 及 稽 核 重 點 依據資料 AC-10300 編系統文書之