电子数据处理循环

内部控制制度《电子数据处理循环》文件管制等级口管制文件口非管制文件中，经各单位主管签核后，交由信息单位处理2信息单位收到申请单后，由单位主管指派资讯工程师处理3资讯工程师依据系统内容及作业要点进行分析，若该系统牵涉到其它单位时，信息单位主管或资讯工程师须与相关单位主管讨论并会签意见

4.资料备份系统开发/修改完成后，须将原始程序及档案备份至磁带或磁盘...等备份媒体上，并将备份的内容及备份媒体的编号，记录在「原始程序及相关档案备份纪录表」内

5.作业期限信息单位依大、小型系统分别订工期，并依工期进行程序之新增及修改，若有多项需求同时申请时，信息单位得依其重要性适时调整其工期，并记录在「系统开发/修改/废止进度管制表」内

6.其它1未经许可，所有软件严禁拷贝2系统外包厂商开发、修改及维护时，其所订合约应妥善保管软件版本如有更新时，应将旧版删除或加以管理，并将处理情形做成记录备查3系统上线前均应逐一测试4系统测试时，非经许可不可用在线实际之数据，须在测试区进行测试，待测试完成后，再正式开放给使用者使用系统测试完成上线时，应知会主要使用单位5系统开发时，须撰写相关数据文件及文件，并留存备查6系统修改时，须将相关文件一并随之修改，并留存备查7信息单位须制作操作手册，并随程序之修改更新之，并留存备查，且由信息单位教导使用者如何使用新系统第2gp控制重点1应用系统开发、修改、废止，是否依规定进行申请、验收及废止程序2原始程序及相关档案是否依规定进行备份，并完成纪录3应用系统开发、修改是否依时限完成4应用系统开发、修改、废止等之相关合约、档案及文件有无妥善保管5外购软件是否合法第3SP.相关资料「系统开发/修改/废止申请单」、「原始程序及相关档案备份纪录表」、「系统开发/修改/废止进度管制表」等第IIP作业程序1信息单位自行开发之系统，应具备「系统应用说明书」，其内容应依下列大纲叙述A系统功能介绍B档案说明C事务作业流程图D系统模块架构表E程序名称一览表F操作说明2信息单位所有文书或档案，应指派专人保管存盘3系统或程序变更时，相关文书或手册应随即更新抽换4所有系统文书之保管人于离职前，应依人事管理相关规定作业,并于完成离职手续后方可离职第205控制重点1系统应用文书之编制应按照既定之标准2确保所有系统说明文件均已按照既定之标准编制，足以供系统设计人员维护现有系统第相关资料「系统应用说明书」等第IIP作业程序

1.系统使用控制1所有新计算机系统使用者，须依其工作职掌以「系统使用需求申请/变更表」向信息单位提出建置计算机系统识别码之申请,该项申请须经权责单位主管核准为之2计算机系统使用者如有职务调动或离职，该项人事异动应知会信息单位取消或更改其计算机系统使用识别码3个人之计算机系统使用识别码及密码不得告知或提供他人使用,密码如有外泄，应即更换其密码4个人之计算机使用者注册文件，应不定期由专人复核以确保使用者确实存在，且无不当的使用情形5个人之计算机系统识别码及密码，应存在经特别保护之档案，以防止未经授权之存取发生，且识别码及密码之建置应有适当控制，以避免遭不当引用而损及公司的重要档案

2.程序的存取原始程序档案应作权限管制，以防止系统或程序设计人员或使用者不当地更新原始程序档案，而对公司资源造成损害

3.数据的存在1如紧急数据主文件有变更需求时，应由使用单位主管核准后，以「系统开发/修改/废止申请单」向信息单位提出申请2目前正在上线正常运作中之数据，需经信息单位主管的认可，才能编修与校正第2«5控制重点1应有适当措施以预防公司机密或重要数据，遭未经授权之揭露及蓄意或非故意的取用2应能保护公司重要数据不遭蓄意或非故意更改或毁损，并及时侦测公司重要数据遭不当的揭露或取用第相关资料「系统使用需求申请/变更表」、「系统开发/修改/废止申请单J等第IIP作业程序

1.输入控制1对于所有赖以输入计算机之凭证输入，计算机要会产生唯一性之编号，并做对此笔资料的唯一识别2数据处理时，可能发生之故障与疏忽或原始数据之错误而使主文件数据受损者，均应在程序中详为防范与补救3输入之数据能由程序执行数据校核者，应厘订检查与控制方法,纳入程序设计范围之内，才能发现问题避免错误4错误数据及数据输入错误之更正，须填具「数据库修改申请单J经适当程序，并经权责主管核准；错误数据更正后，应能确定数据已经更正无误，并回复「数据库修改申请单」后留下纪录，送交权责主管复核

2.输出控制1各操作人员之报表打印权限，经由相关单位主管会同信息单位主管核定，始能执行打印作业2凡属非定期，重要性及特殊需求之报表，应由需求单位填写「数据需求申请单」，并经权责主管核准后，送请信息单位或相关单位专人执行3输出数据使用后若无保存需要，应经适当毁弃处理4输出数据若发现错误，应及时通知信息单位人员做必要更正，并重新执行数据处理作业第2^控制重点1确保输入计算机之数据有适当的凭证及授权2于计算机系统中设定输入检核之功能以确保输入程序之正确性及完整性3确保各种数据之机密及信息输出能满足使用者之需求第3SP相关资料「数据库修改申请单」、「数据需求申请单」等第Igp作业程序1各项计算机系统操作程序皆需依操作手册实施2各计算机系统维护由专人维护3计算机操作或维护时，所发生之重要问题事件，应记载于「计算机维护日志」上4数据处理执行时，应做一般检核控制，以避免人为错误5数据处理过程中，因错误或不可抗拒之因素，导致需重新处理时，应实时复原，以确保数据处理之正确性第205控制重点1计算机系统操作程序是否依操作手册实施2确保系统正常运作，防止操作错误并确保数据处理的可靠性、正确性、及时性第相关资料「计算机维护日志」等第Igp作业程序

1.档案管理硬盘内之系统目录档案应定期整理，并将不需之档案或目录由专人负责施以消除或重整作业，以节省磁盘驱动器使用空间并增加系统运作效能

2.备份制作1根据各使用档案数据之重要性，制作数据备份或复原回存2系统应每日备份，并实施月备份3于「数据备份日志表」上，详细记录备份数据之操作日期、起迄时间、数据内容、磁带编号4信息单位主管，应定期检视备份制作之完整性

3.媒体保存及管理1更新后及所有日常备份完成之媒体，应分别存放于隔不同楼层的防潮箱中2所有媒体之存放地点皆应有防火、防潮、防水及防尘装置、灭火设备，并定期实施检测以确保储存之安全性第2^控制重点

1.机房环境控制1计算机机房应有适当的消防设备据以保护各项设备2机房应保持适当之温度及湿度，设有独立之空调设备，并设置温湿度计，以随时监控机房环境

2.设备实体安全管理1机房内应设置电力设备，如稳压器、不断电设备等，以确保电路稳定及供作紧急处理用2机房应随时记录机器运转状况，对机器停止原因、维修次数、更换零件等，均应详细记录以利追踪3网络工作站及单机式或可携带式计算机等，皆应有病毒侦测软件之程序，以避免档案遭受损害4定期对机房之各项安全控制设施实行检测并记录测试结果，由信息单位主管定期复核5计算机机房及其它敏感地区如档案、磁带/磁盘储存区及通讯设备区等严禁闲人进入，非信息单位主管允许绝不能携出或带入不相关东西6有关硬设备都列入资产管理，并编列维护费用以确保机器正常运转第3^.相关资料「数据备份日志表」等第Igp作业程序

1.硬件1由各需求单位提出，经该单位主管核准，并经信息单位主管会签，呈董事长核准后始可采购2硬件的安装、维护、由信息单位负责3硬件的保管，由各保管人自行负责4硬件发生故障时，须将故障处理情形记录于「故障维修纪录表J内并备查

2.软件1系统软件之请购需求，由需求单位填写「软件需求单」后交信息单位，由信息单位评估购买2软件的安装、维护，由信息单位负责3使用者所建立的数据，由各使用者自行备份4软件发生问题时，须将问题处理情形记录于「故障维修纪录表J内并备查

3.防毒软件1为避免PC硬盘中之档案，因感染病毒而造成系统或数据损毁,于PC上均须安装防毒软件；防毒软件的安装、设定、维护及档案…等数据均应妥善保存

4.PC移转作业1PC进行移转作业时，应依相关资产管理规定为之，若属单位内移转，则由单位主管自行决定硬盘数据是否保留；若属跨单位移转，则为防止机密数据外泄，一律重新安装硬盘第控制重点1软硬件相关设备，是否依相关资产管理规定确实保管好2各项设备装置故障时，是否做成记录，并述明现象、发生原因及采取措施…等3防毒软件是否确实安装及正常运作4PC跨单位移转时，是否完成硬盘重新安装作业文件履历纪要页文件发行单位文件管制等级管理代表口管制文件口非管制文件文件履历纪录版次修订内容核准权责编撰日期0第1版（新发行）5硬件送修，是否依相关规定为之第淘相关资料「故障维修纪录表」、「软件需求单」等第Igp作业程序1尽速切断灾变来源，以减少计算机设备损失2尽速恢复可用设备之运转3调用及运用备份设备或数据进行灾变回复4速通知使用单位进行时差性数据之补建工作5如遇重大灾变致影响业务活动时，应就系统之重要性逐一复原并予以测试6信息单位应适当仿真灾变情况之复原对策、计划，并每半年需予执行演练一次，以确保灾害复原之正确性第控制重点1为避免灾变发生，需随时注意可能造成灾变因素之环境2数据备份系统档案应放置安全环境下，以因应突发状况3系统复原应经适当测试，以确保复原第IIP作业程序1机房内禁止吸烟、进用食物及饮料2机房内不得有易燃物或散置垃圾及私人物品，以保持清洁3非信息单位人员不得任意进入机房4机房大门平时须上锁5机房中所有机器设备均应由信息单位人员或由信息单位人员陪同下，依规定启动及操作6空调系统管理、电力系统管理A温度范围15〜25℃B湿度范围40%〜60%C以UPS确保电力供应之稳定D保养、维修，依相关保养维修规定作业之第2fB控制重点1计算机机房是否依规定进行管制2空调系统是否定期检查及保养3电力系统是否定期检查及保养

1.网络及其外设备管理第IIP作业程序1网络设备例如计算机主机、服务器、Router Switch、Hub...等应安装稳压及不断电电力系统装置UPS,以避免电压不稳及不预期之断电时，造成数据之流失2须建立「网络系统配置图」、「网络设备配置图」及「网络使用者端配置图」并随时更新，以供维护人员查阅，并定期对于各线路检测，以保持网络之畅通3启动设备时应注意运转是否正常4网络设备须依「网络设备检查项目及程序」，每月定期检查并填立「网络设备检查纪录表」，以预防问题之发生5网络设备如发生故障时，应将其处理情况记录于「故障维修纪录表」内，以供查阅

2.操作系统及应用软件之建立及维护1操作系统及应用软件之建立由信息单位负责，必要时可由专业厂商协助2操作系统或应用软件建立时之相关文件及档案须妥善保管，并建立「网络操作系统/应用软件维护纪录表」3操作系统及应用软件更新前，须经信息单位主管同意后进行更新，并将更新之内容记录于「网络操作系统/应用软件维护纪录表」内4操作系统或应用软件因故停止使用前，须经信息单位主管同意后进行处理，并将处理结果记录于「网络操作系统/应用软件维护纪录表」内备查

3.使用者权限管理1有网络作业需求或须调整使用权限者，须向信息单位提出「网络账号使用权限申请单」，经信息单位主管审核同意后，交由资讯工程师完成使用者权限设定2研发单位专属之操作系统，因其作业性质较为特殊及安全上的考虑，使用者之管理权限由研发单位自行管理3使用者密码关系到数据安全与防护，严禁张贴于计算机或计算机屏幕上4信息单位须建立「网络使用者权限一览表」，并对所设定之权限详述之

4.档案数据管理1须建立「磁盘档案配置表」、「系统软件配置表」并随时更新,以供维护人员查阅2当操作者输入数据错误或系统本身问题，造成数据错误且程序不予许修改时，得由信息单位或需求单位提出「数据库修改申请单」，并将修改原因详列于申请单，经该单位主管签核后，径交信息单位处理3信息单位收到申请单后，由单位主管指派资讯工程师处理资讯工程师依据修改内容及作业要点进行分析，若该数据库修改将影响到其它单位之作业时，信息单位主管或资讯工程师须与相关单位主管讨论会签后完成修改，并将处理结果记录于原「数据库修改申请单」中备查4硬盘数据，若经使用单位或信息单位人员判定短期内不再使用,则可由信息单位或使用单位提出「历史数据清除申请单」5信息单位收到申请单后，由单位主管指派资讯工程师处理资讯工程师依据修改内容及作业要点进行分析，若该数据库修改将影响到其它单位之作业，信息单位主管或资讯工程师须与相关单位主管讨论会签后，由信息单位将数据转入备份如磁盘、磁带…等，并将磁盘数据予以删除，其处理结果记录于原「历史数据清除申请单」中备查

5.网络安全防护为避免档案因感染病毒而造成系统或数据损毁，于主机及服务器上均须安装防毒软件，防毒软件的安装及设定及维护及档案数据均须妥善保存

6.网络主机、服务器之数据备份1每日做一次Differential backup,每星期做一次full backup,每月并将重要资料做成CD片永久保存2备份媒体须妥善保管，己存有数据之备份媒体则须放置于安全的地方3网络主机、服务器之数据备份之安装、设定及操作程序等，须详载于「主机/服务器备份/回复之安装、设定及操作程序」内

7.系统回复作业1当系统或应用程序发生异常或错误且已无法回复时一，得实行本作业2回复前立即要求在线使用者退出系统3信息单位依「主机/服务器备份/回复之安装、设定及操作程序」进行回复作业4数据回复作业完成后，若须补建数据，应知会相关单位补建第2gp控制重点1各项设备装置是否定期检查，并做成纪录2各项设备装置故障时，是否做成纪录并述明现象、发生原因及采取措施…等3网络系统使用者之使用权限，有无依照规定程序完成申请手续并经核准4现有的网络使用者权限设定是否有不当之处5对网络系统之档案数据修改清除时，是否依规定程序办理6网络磁盘空间是否足够，过期数据是否适时完成清理7防火墙及防毒软件是否正常运作8资料备份是否正常运作9备份媒体如磁带、CD片...等是否妥善保存第3^相关资料「网络系统配置图」、「网络设备配置图」、「网络使用者端配置图」、「网络设备检查项目及程序」、「网络设备检查纪录表」、「故障维修纪录表」、「网络操作系统/应用软件维护纪录表」、「网络账号使用权限申请单」、「网络使用者权限一览表」、「磁盘档案配置表」、「系统软件配置表」、「数据库修改申请单」、「历史数据清除申请单」、「主机/服务器备份/回复之安装、设定及操作程序」等第使作业程序计算机软、硬件及相关外围设备之购买

1.各单位请购计算机软、硬件及相关外围设备时，须先会签信息单位,俾使资源能充份运用

2.消耗品管理1设备耗用品如报表纸、碳粉…等及备份媒体如磁盘、磁带…等之耗用及库存管理均属之2用品之购入及使用均须登于「一般用品购入/使用登记表」备查

3.资产设帐及保管1网络系统及个人计算机所使用的软、硬件及外围设备均属信息单位所列管之资产2使用单位所列管的资产若有任何异动时，均须会签信息单位后始可异动3信息单位所列管的资产，每年由信息单位负责盘点一次

4.资产借用及携出1信息单位所保管之资产，如因工作需求借出时，须填写「信息单位列管资产借/还登记表」，且不得违反规定移为他用2信息单位所保管之资产，如因工作需要携出办公场所外时，须依相关规定完成携出手续

5.软件使用规定1公司自行开发/修改之软件，可因工作上之需要而进行安装及拷贝，惟须确遵守规定不可移做它用2公司所购买或委托他人所开发之软件，则须确实遵照版权及合约规定，不得违反

6.教育训练1当员工或单位因工作上需要，且须由信息单位提供教育训练时,依教育训练相关规定实施之2因新系统开发或系统修改所衍生之教育训练，则由信息单位统筹办理使用单位受训事宜，并将上课情形做成纪录备查

7.文件管理信息单位与公司内、外部往来的文件皆属文件管理的范围，应依相关文件管理规定办理第2S5控制重点1信息单位所列管之资产是否规定进行管理2公司员工离职时，是否确依规定完成资产移交，其网络账号是否确实予以删除3软件是否确依规定来使用4相关计算机操作等教育训练，有无依规定实施5文件是否依规定进行存盘第3gB相关资料「一般用品购入/使用登记表」、「信息单位列管资产借/还登记表」等

1.总则

1.

1.制定目的为促使本公司「内部控制」（Internal Cont ro1）之「电子数据处理循环」（Electronic Data）程序，能有所遵循，特订定本文件，俾利各相关单位遵循

1.

2.适用范围凡本公司有关「内部控制」之「电子数据处理循环」作业程序与控制重点，悉依照本文件之规范办理

1.

3.权责单位信息单位为本文件之权责单位，权责单位主管经承认单位授权,负责本文件之管制，并确保依据本文件之规范作业

2.电子数据处理循环

2.

1.循环图【见】（数据1）「电子数据处理循环图」

2.

2.循环作业本循环之各项作业1）组织及职责作业（CE101）,另订之2）系统开发及修废作业（CE102），另订之3）系统应用文书管理作业（CE103）,另订之4）系统使用管理作业（CE104）,另订之5）数据输出入管理作业（CE105）,另订之6）数据处理作业（CE106），另订之7）档案及设备之安全作业（CE107），另订之8）软硬件设备管理作业（CE108）,另订之9）系统复原及测试作业（CE109）,另订之10）计算机机房管理作业（CE110）,另订之11）网络系统管理作业（CE111）,另订之12）其它相关庶务管理作业（CE112）,另订之

3.附则

3.

1.制修废与颁布实施本文件属于管理文件，经『经营会』审议后，呈请董事长核准承认后，交由权责单位颁布公告实施；修订或废止时亦同

3.

2.编号、版本、日期、页次/页数本文件之项类、标题、编号、版本、实施日期、公司名称、文件页次/页数等项，见本文件之页首与页尾

3.

3.附件

3.

3.1,相关资料（数据1）r电子数据处理循环图」（数据1）「电子数据处理循环图」CE102CE107档案及设备系统开发及之安全CE103系统应用文软硬件设备书管理CE104系统使用管系统复原及理CE105CE110数据输出入计算机机房CE106CE111网络系统管数据处理理CE112其它相关庶务管理第IIP作业程序

1.设立目的为因应公司长期发展之需要，指导公司计算机化，并规划企业管理与信息应用相结合之管理信息系统，以期提供实时正确之信息，协助决策单位提升管理绩效确定公司之软、硬件规划标准政策，以保公司之长期发展及电子数据处理之一致性信息单位除依使用单位提出之需求作应用系统开发维护操作外，应规划评估新的计算机技术和应用，以提升信息系统之效率

2.组织及职责本公司信息单位设主管、程序设计师与系统管理师等1主管A依公司政策，研拟短、中、长期计算机化作业之整体规划与整合B信息业务之规划、执行、协调、督导及审核C信息处理作业及控制办法之拟订D所属人员之管理，训练及考核E与其它单位之业务协调与沟通F系统文件、手册制作规划G新系统之评估、规划、分析、设计H信息单位之预算编列和执行控制I计算机应用系统密码设定维护J其它上级交办事项2程序设计师A计算机信息系统规划、分析、与设计B应用系统程序之开发、管理和维护C系统文件，操作手册之编制，维护和管理D使用单位之问题排除及软硬件技术支持E内部新进人员计算机教育训练F其它上级交办事项3系统管理师A计算机安全控制与管理B相关操作系统、应用系统、数据文件及数据库之管理及维护C数据文件与系统程序备份D硬设备之维护E机房计算机及相关外围之安全与清洁F使用单位之问题排除及软硬件技术支持G信息单位相关资源之维护管理H其它上级交办事项4各单位计算机使用人员A各单位使用计算机系统之人员，负责审查输入数据之凭证是否合于规定，并负责检查填写，登录有无错误B各单位使用计算机系统之人员，必需经由权责单位主管授权后，始可执行应用系统之日常交易数据输入与更正C严禁员工使用非法或未经授权的应用软件第控制要点1信息单位之人员，是否依职责完成各项工作2对已提出辞呈之信息单位人员，是否避免允许其离职前接近敏感程序或档案3员工离职时，该人员以前经手的一切文件、磁带、磁盘及磁盘…等，是否盘点清楚并完作移交手续；员工离职后，该员曾接触之密码是否做适当的调整第IIP作业程序

1.系统开发1使用单位对于现行系统功能需要变更或重新开发系统，应提出「系统开发/修改/废止申请单」，并将需求内容及要点详列于申请单中，经该单位直属主管提出需求申请，径交信息单位处理2信息单位收到申请单后，由单位主管指派资讯工程师处理3系统分析及设计信息人员进行系统功能之确认，并划分子系统且描述子系统之输出入规格及作业流程；若该系统开发后将会影响到其它单位之作业时，信息单位主管或资讯工程师须与相关单位主管讨论会签后，再由信息单位主管决定自行开发、外包或购买合法软件4程序开发完成后，应会同相单位依照各项需求功能进行测试，若无问题则相关单位应于「系统开发/修改/废止申请单」上签认，并执行次一阶段作业

2.系统修改1使用单位对于现行系统功能需要变更或重新开发系统，应提出「系统开发/修改/废止申请单」，并将需求内容及作要点详列于申请单中，经该单位直属主管提出需求申请，径交信息单位处理2信息单位收到申请单后，由单位主管指派资讯工程师处理3资讯工程师依据修改内容及作业要点进行可行性分析，若须修改的内容有影响至其它单位之作业时，信息单位主管或资讯工程师须与相关单位管讨论会签后，再由单位主管决定自行修改、外包或购买4系统修改完成后，得会同相关单位依照各项需求功能进行测试,若无问题则请相关单位主管于原「系统开发/修改/废止申请单」上签名，并进行应用软件更新作业

3.系统废止1当信息单位或使用单位发现系统已不合时宜欲终止时，应填具「系统开发/修改/废止申请单」，并将其原因详列于申请单。