电子数据循环处理

1、內部操纵制度電子資料處理循環文件管制等級：管制文件非管制文件文件履歷紀要頁文件發行單位文件管制等級治理代表管制文件非管制文件文件履歷紀錄版次修訂內容核准權責編撰日期0第1版（新發行）總則制定目的為促使本公司內部操纵（Internal Control）之電子資料處理循環（Electronic Data）程序，能有所遵循，特訂定本文件，俾利各相關單位遵循。適用範圍凡本公司有關內部操纵之電子資料處理循環作業程序與操纵重點，悉依照本文件之規範辦理。權責單位資訊單位為本文件之權責單位，權責單位主管經承認單位授權，負責本文件之管制，並確保依據本文件之規範作業。電子資料處理循環循環圖【見】（資料1）電子資料

2、處理循環圖。循環作業本循環之各項作業：組織及職責作業（CE101），另訂之。系統開發及修廢作業（CE102），另訂之。系統應用文書治理作業（CE103），另訂之。系統使用治理作業（CE104），另訂之。資料輸出入治理作業（CE105），另訂之。資料處理作業（CE106），另訂之。檔案及設備之安全作業（CE107），另訂之。軟硬體設備治理作業（CE108），另訂之。系統復原及測試作業（CE109），另訂之。電腦機房治理作業（CE110），另訂之。網路系統治理作業（CE111），另訂之。其他相關庶務治理作業（CE112），另訂之。附則制修廢與頒布實施本文件屬於治理文件，經經營會審議後，呈請董事長核

3、准承認後，交由權責單位頒布公告實施；修訂或廢止時亦同。編號、版本、日期、頁次頁數本文件之項類、標題、編號、版本、實施日期、公司名稱、文件頁次頁數等項，見本文件之頁首與頁尾。附件相關資料（資料1）電子資料處理循環圖（資料1）電子資料處理循環圖其他相關循環CE101-組織及職責|CE102|CE107系統開發及修廢-檔案及設備之安全|CE103|CE108系統應用文書治理-軟硬體設備治理|CE104|CE109系統使用治理-系統復原及測試|CE105|CE110資料輸出入治理-電腦機房治理|CE106|CE111資料處理-網路系統治理|CE112其他相關庶務治理作業程序設立目的為因應公司長期發展之

4、需要，指導公司電腦化，並規劃企業治理與資訊應用相結合之治理資訊系統，以期提供即時正確之資訊，協助決策單位提昇治理績效。確定公司之軟、硬體規劃標準政策，以保公司之長期發展及電子資料處理之一致性。資訊單位除依使用單位提出之需求作應用系統開發維護操作外，應規劃評估新的電腦技術和應用，以提昇資訊系統之效率。組織及職責本公司資訊單位設主管、程式設計師與系統治理師等。主管依公司政策，研擬短、中、長期電腦化作業之整體規劃與整合。資訊業務之規劃、執行、協調、督導及審核。資訊處理作業及操纵辦法之擬訂。所屬人員之治理，訓練及考核。與其他單位之業務協調與溝通。系統文件、手冊製作規劃。新系統之評估、規劃、分析、設計。

5、資訊單位之預算編列和執行操纵。 電腦應用系統密碼設定維護。其他上級交辦事項。 程式設計師電腦資訊系統規劃、分析、與設計。應用系統程式之開發、治理和維護。系統文件，操作手冊之編製，維護和治理。使用單位之問題排除及軟硬體技術支援。內部新進人員電腦教育訓練。其他上級交辦事項。系統治理師電腦安全操纵與治理。相關作業系統、應用系統、資料檔案及資料庫之治理及維護。資料檔案與系統程式備份。硬體設備之維護。機房電腦及相關週邊之安全與清潔。使用單位之問題排除及軟硬體技術支援。資訊單位相關資源之維護治理。其他上級交辦事項。各單位電腦使用人員各單位使用電腦系統之人員，負責審查輸入資料之憑證是否合於規定，並負責檢查填

6、寫，登錄有無錯誤。各單位使用電腦系統之人員，必需經由權責單位主管授權後，始可執行應用系統之日常交易資料輸入與更正。嚴禁員工使用非法或未經授權的應用軟體。操纵要點資訊單位之人員，是否依職責完成各項工作。對已提出辭呈之資訊單位人員，是否幸免允許其離職前接近敏感程式或檔案。員工離職時，該人員往常經手的一切文件、磁帶、磁碟及磁片等，是否盤點清晰並完作移交手續；員工離職後，該員曾接觸之密碼是否做適當的調整。作業程序系統開發使用單位對於現行系統功能需要變更或重新開發系統，應提出系統開發修改廢止申請單，並將需求內容及要點詳列於申請單中，經該單位直屬主管提出需求申請，逕交資訊單位處理。資訊單位收到申請單後，由

7、單位主管指派資訊工程師處理。系統分析及設計資訊人員進行系統功能之確認，並劃分子系統且描述子系統之輸出入規格及作業流程；若該系統開發後將會影響到其他單位之作業時，資訊單位主管或資訊工程師須與相關單位主管討論會簽後，再由資訊單位主管決定自行開發、外包或購買合法軟體。程式開發完成後，應會同相單位依照各項需求功能進行測試，若無問題則相關單位應於系統開發修改廢止申請單上簽認，並執行次一階段作業。系統修改使用單位對於現行系統功能需要變更或重新開發系統，應提出系統開發修改廢止申請單，並將需求內容及作要點詳列於申請單中，經該單位直屬主管提出需求申請，逕交資訊單位處理。資訊單位收到申請單後，由單位主管指派資訊工

8、程師處理。資訊工程師依據修改內容及作業要點進行可行性分析，若須修改的內容有影響至其他單位之作業時，資訊單位主管或資訊工程師須與相關單位管討論會簽後，再由單位主管決定自行修改、外包或購買。系統修改完成後，得會同相關單位依照各項需求功能進行測試，若無問題則請相關單位主管於原系統開發修改廢止申請單上簽名，並進行應用軟體更新作業。系統廢止當資訊單位或使用單位發現系統已不合時宜欲終止時，應填具系統開發修改廢止申請單，並將其缘故詳列於申請單中，經各單位主管簽核後，交由資訊單位處理。資訊單位收到申請單後，由單位主管指派資訊工程師處理。資訊工程師依據系統內容及作業要點進行分析，若該系統牽涉到其他單位時，資訊單

9、位主管或資訊工程師須與相關單位主管討論並會簽意見。資料備份系統開發修改完成後，須將原始程式及檔案備份至磁帶或磁片等備份媒體上，並將備份的內容及備份媒體的編號，記錄在原始程式及相關檔案備份紀錄表內。作業期限資訊單位依大、小型系統分別訂工期，並依工期進行程式之新增及修改，若有多項需求同時申請時，資訊單位得依其重要性適時調整其工期，並記錄在系統開發修改廢止進度管制表內。其他未經許可，所有軟體嚴禁拷貝。系統外包廠商開發、修改及維護時，其所訂合約應妥善保管。軟體版本如有更新時，應將舊版刪除或加以治理，並將處理情形做成記錄備查。系統上線前均應逐一測試。系統測試時，非經許可不可用線上實際之資料，須在測試區進

10、行測試，待測試完成後，再正式開放給使用者使用。系統測試完成上線時，應知會要紧使用單位。系統開發時，須撰寫相關資料檔案及文件，並留存備查。系統修改時，須將相關文件一併隨之修改，並留存備查。資訊單位須製作操作手冊，並隨程式之修改更新之，並留存備查，且由資訊單位教導使用者如何使用新系統。操纵重點應用系統開發、修改、廢止，是否依規定進行申請、驗收及廢止程序。原始程式及相關檔案是否依規定進行備份，並完成紀錄。應用系統開發、修改是否依時限完成。應用系統開發、修改、廢止等之相關合約、檔案及文件有無妥善保管。外購軟體是否合法。相關資料系統開發修改廢止申請單、原始程式及相關檔案備份紀錄表、系統開發修改廢止進度管

11、制表等。作業程序資訊單位自行開發之系統，應具備系統應用說明書，其內容應依下列大綱敘述：系統功能介紹。檔案說明。事務作業流程圖。系統模組架構表。程式名稱一覽表。操作說明。資訊單位所有文書或檔案，應指派專人保管存檔。系統或程式變更時，相關文書或手冊應隨即更新抽換。所有系統文書之保管人於離職前，應依人事治理相關規定作業，並於完成離職手續後方可離職。操纵重點系統應用文書之編製應按照既定之標準。確保所有系統說明文件均已按照既定之標準編製，足以供系統設計人員維護現有系統。相關資料系統應用說明書等。作業程序系統使用操纵所有新電腦系統使用者，須依其工作職掌以系統使用需求申請變更表向資訊單位提出建置電腦系統識別

12、碼之申請，該項申請須經權責單位主管核准為之。電腦系統使用者如有職務調動或離職，該項人事異動應知會資訊單位取消或更改其電腦系統使用識別碼。個人之電腦系統使用識別碼及密碼不得告知或提供他人使用，密碼如有外洩，應即更換其密碼。個人之電腦使用者註冊檔，應不定期由專人複核以確保使用者確實存在，且無不當的使用情形。個人之電腦系統識別碼及密碼，應存在經特別保護之檔案，以防止未經授權之存取發生，且識別碼及密碼之建置應有適當操纵，以幸免遭不當引用而損及公司的重要檔案。程式的存取原始程式檔案應作權限管制，以防止系統或程式設計人員或使用者不當地更新原始程式檔案，而對公司資源造成損害。資料的存在如緊急資料主檔有變更需

13、求時，應由使用單位主管核准後，以系統開發修改廢止申請單向資訊單位提出申請。目前正在上線正常運作中之資料，需經資訊單位主管的認可，才能編修與校正。操纵重點應有適當措施以預防公司機密或重要資料，遭未經授權之揭露及蓄意或非有意的取用。應能保護公司重要資料不遭蓄意或非有意更改或毀損，並及時偵測公司重要資料遭不當的揭露或取用。相關資料系統使用需求申請變更表、系統開發修改廢止申請單等。作業程序輸入操纵對於所有賴以輸入電腦之憑證輸入，電腦要會產生唯一性之編號，並做對此筆資料的唯一識別。資料處理時，可能發生之故障與疏忽或原始資料之錯誤而使主檔資料受損者，均應在程式中詳為防範與補救。輸入之資料能由程式執行資料校

14、核者，應釐訂檢查與操纵方法，納入程式設計範圍之內，才能發現問題幸免錯誤。錯誤資料及資料輸入錯誤之更正，須填具資料庫修改申請單經適當程序，並經權責主管核准；錯誤資料更正後，應能確定資料已經更正無誤，並回覆資料庫修改申請單後留下紀錄，送交權責主管覆核。輸出操纵各操作人員之報表列印權限，經由相關單位主管會同資訊單位主管核定，始能執行列印作業。凡屬非定期，重要性及专门需求之報表，應由需求單位填寫資料需求申請單，並經權責主管核准後，送請資訊單位或相關單位專人執行。輸出資料使用後若無保存需要，應經適當毀棄處理。輸出資料若發現錯誤，應及時通知資訊單位人員做必要更正，並重新執行資料處理作業。操纵重點確保輸入電

15、腦之資料有適當的憑證及授權。於電腦系統中設定輸入檢核之功能以確保輸入程序之正確性及完整性。確保各種資料之機密及資訊輸出能滿足使用者之需求。相關資料資料庫修改申請單、資料需求申請單等。作業程序各項電腦系統操作程序皆需依操作手冊實施。各電腦系統維護由專人維護。電腦操作或維護時，所發生之重要問題事件，應記載於電腦維護日誌上。資料處理執行時，應做一般檢核操纵，以幸免人為錯誤。資料處理過程中，因錯誤或不可抗拒之因素，導致需重新處理時，應即時復原，以確保資料處理之正確性。操纵重點電腦系統操作程序是否依操作手冊實施。確保系統正常運作，防止操作錯誤並確保資料處理的可靠性、正確性、及時性。相關資料電腦維護日誌等

16、。作業程序檔案治理硬碟內之系統目錄檔案應定期整理，並將不需之檔案或目錄由專人負責施以消除或重整作業，以節省磁碟機使用空間並增加系統運作效能。備份製作根據各使用檔案資料之重要性，製作資料備份或復原回存。系統應每日備份，並實施月備份。於資料備份日誌表上，詳細記錄備份資料之操作日期、起迄時間、資料內容、磁帶編號。資訊單位主管，應定期檢視備份製作之完整性。媒體保存及治理更新後及所有日常備份完成之媒體，應分別存放於隔不同樓層的防潮箱中。所有媒體之存放地點皆應有防火、防潮、防水及防塵裝置、滅火設備，並定期實施檢測以確保儲存之安全性。操纵重點機房環境操纵電腦機房應有適當的消防設備據以保護各項設備。機房應保持

17、適當之溫度及濕度，設有獨立之空調設備，並設置溫溼度計，以隨時監控機房環境。設備實體安全治理機房內應設置電力設備，如穩壓器、不斷電設備等，以確保電路穩定及供作緊急處理用。機房應隨時記錄機器運轉狀況，對機器停止缘故、維修次數、更換零件等，均應詳細記錄以利追蹤。網路工作站及單機式或可攜帶式電腦等，皆應有病毒偵測軟體之程式，以幸免檔案遭受損害。定期對機房之各項安全操纵設施實行檢測並記錄測試結果，由資訊單位主管定期覆核。電腦機房及其他敏感地區（如檔案、磁帶磁碟儲存區及通訊設備區等）嚴禁閒人進入，非資訊單位主管允許絕不能攜出或帶入不相關東西。有關硬體設備都列入資產治理，並編列維護費用以確保機器正常運轉。相

18、關資料資料備份日誌表等。作業程序硬體由各需求單位提出，經該單位主管核准，並經資訊單位主管會簽，呈董事長核准後始可採購。硬體的安裝、維護、由資訊單位負責。硬體的保管，由各保管人自行負責。硬體發生故障時，須將故障處理情形記錄於故障維修紀錄表內並備查。軟體系統軟體之請購需求，由需求單位填寫軟體需求單後交資訊單位，由資訊單位評估購買。軟體的安裝、維護，由資訊單位負責。使用者所建立的資料，由各使用者自行備份。軟體發生問題時，須將問題處理情形記錄於故障維修紀錄表內並備查。防毒軟體為幸免PC硬碟中之檔案，因感染病毒而造成系統或資料損毀，於PC上均須安裝防毒軟體；防毒軟體的安裝、設定、維護及檔案等資料均應妥善

19、保存。PC移轉作業PC進行移轉作業時，應依相關資產治理規定為之，若屬單位內移轉，則由單位主管自行決定硬碟資料是否保留；若屬跨單位移轉，則為防止機密資料外洩，一律重新安裝硬碟。操纵重點軟硬體相關設備，是否依相關資產治理規定確實保管好。各項設備裝置故障時，是否做成記錄，並述明現象、發生缘故及採取措施等。防毒軟體是否確實安裝及正常運作。PC跨單位移轉時，是否完成硬碟重新安裝作業。硬體送修，是否依相關規定為之。相關資料故障維修紀錄表、軟體需求單等。作業程序盡速切斷災變來源，以減少電腦設備損失。盡速恢復可用設備之運轉。調用及運用備份設備或資料進行災變回復。速通知使用單位進行時差性資料之補建工作。如遇重大

20、災變致影響業務活動時，應就系統之重要性逐一復原並予以測試。資訊單位應適當模擬災變情況之復原對策、計劃，並每半年需予執行演練一次，以確保災害復原之正確性。操纵重點為幸免災變發生，需隨時注意可能造成災變因素之環境。資料備份系統檔案應放置安全環境下，以因應突發狀況。系統復原應經適當測試，以確保復原。作業程序機房內禁止吸菸、進用食物及飲料。機房內不得有易燃物或散置垃圾及私人物品，以保持清潔。非資訊單位人員不得任意進入機房。機房大門平時須上鎖。機房中所有機器設備均應由資訊單位人員或由資訊單位人員陪同下，依規定啟動及操作。空調系統治理、電力系統治理溫度範圍：1525。溼度範圍：4060。以UPS確保電力供

21、應之穩定。保養、維修，依相關保養維修規定作業之。操纵重點電腦機房是否依規定進行管制。空調系統是否定期檢查及保養。電力系統是否定期檢查及保養。作業程序網路及其週邊設備治理網路設備（例如：電腦主機、伺服器、Router、Switch、Hub等）應安裝穩壓及不斷電電力系統裝置（UPS），以幸免電壓不穩及不預期之斷電時，造成資料之流失。須建立網路系統配置圖、網路設備配置圖及網路使用者端配置圖並隨時更新，以供維護人員查閱，並定期對於各線路檢測，以保持網路之暢通。啟動設備時應注意運轉是否正常。網路設備須依網路設備檢查項目及程序，每月定期檢查並填立網路設備檢查紀錄表，以預防問題之發生。網路設備如發生故障時，

22、應將其處理情況記錄於故障維修紀錄表內，以供查閱。作業系統及應用軟體之建立及維護作業系統及應用軟體之建立由資訊單位負責，必要時可由專業廠商協助。作業系統或應用軟體建立時之相關文件及檔案須妥善保管，並建立網路作業系統應用軟體維護紀錄表。作業系統及應用軟體更新前，須經資訊單位主管同意後進行更新，並將更新之內容記錄於網路作業系統應用軟體維護紀錄表內。作業系統或應用軟體因故停止使用前，須經資訊單位主管同意後進行處理，並將處理結果記錄於網路作業系統應用軟體維護紀錄表內備查。使用者權限治理有網路作業需求或須調整使用權限者，須向資訊單位提出網路帳號使用權限申請單，經資訊單位主管審核同意後，交由資訊工程師完成使

23、用者權限設定。研發單位專屬之作業系統，因其作業性質較為专门及安全上的考量，使用者之治理權限由研發單位自行治理。使用者密碼關係到資料安全與防護，嚴禁張貼於電腦或電腦螢幕上。資訊單位須建立網路使用者權限一覽表，並對所設定之權限詳述之。檔案資料治理須建立磁碟檔案配置表、系統軟體配置表並隨時更新，以供維護人員查閱。當操作者輸入資料錯誤或系統本身問題，造成資料錯誤且程式不予許修改時，得由資訊單位或需求單位提出資料庫修改申請單，並將修改缘故詳列於申請單，經該單位主管簽核後，逕交資訊單位處理。資訊單位收到申請單後，由單位主管指派資訊工程師處理。資訊工程師依據修改內容及作業要點進行分析，若該資料庫修改將影響到

24、其它單位之作業時，資訊單位主管或資訊工程師須與相關單位主管討論會簽後完成修改，並將處理結果記錄於原資料庫修改申請單中備查。硬碟資料，若經使用單位或資訊單位人員判定短期內不再使用，則可由資訊單位或使用單位提出歷史資料清除申請單。資訊單位收到申請單後，由單位主管指派資訊工程師處理。資訊工程師依據修改內容及作業要點進行分析，若該資料庫修改將影響到其它單位之作業，資訊單位主管或資訊工程師須與相關單位主管討論會簽後，由資訊單位將資料轉入備份（如磁碟、磁帶等），並將磁碟資料予以刪除，其處理結果記錄於原歷史資料清除申請單中備查。網路安全防護為幸免檔案因感染病毒而造成系統或資料損毀，於主機及伺服器上均須安裝防

25、毒軟體，防毒軟體的安裝及設定及維護及檔案資料均須妥善保存。網路主機、伺服器之資料備份每日做一次Differential backup，每星期做一次full backup，每月並將重要資料做成CD片永久保存。備份媒體須妥善保管，己存有資料之備份媒體則須放置於安全的地点。網路主機、伺服器之資料備份之安裝、設定及操作程序等，須詳載於主機伺服器備份回復之安裝、設定及操作程序內。系統回復作業當系統或應用程式發生異常或錯誤且已無法回復時，得採行本作業。回復前立即要求線上使用者退出系統。資訊單位依主機伺服器備份回復之安裝、設定及操作程序進行回復作業。資料回復作業完成後，若須補建資料，應知會相關單位補建。操纵重點各項設備裝置是否定期檢查，並做成紀錄。各項設備裝置故障時，是否做成紀錄並述明現象、發生缘故及採取措施等。網路系統使用者之使用權限，有無依照規定程序完成申請手續並經核准。現有的網路使用者權限設定是否有不當之處。對網路系統之檔案資料修改清除時，是否依規定程序辦理。網路磁碟空間是否足夠，過期資料是否適時完成清理。防火牆及防毒軟體是否正常運作。資料備份是否正常運作。備份媒體（如磁