人員的流動對於公司來說是一種常態，也因為人員的流動的關係，會產生一些資安管理上的問題，如果沒有處理好，會是資訊安全上的一個隱憂。我們就先從新進人員的報到看起。

稽核重點：新進人員資訊系統帳號與權限申請，是否依照流程辦理？是否有相關設備的採購？是否依採購流程處理？

提供資料：查核年度新進人員清單
猶記得前年底金融海嘯發生時，各界哀鴻遍野，無薪假、裁員等新聞令人怵目驚心，餘悸猶存。而如今，員工人數不僅已恢復至金融海嘯發生前的水準，人力的需求仍不斷的上升。

與新進人員報到有關的程序有哪些？

以我們公司的流程為例：新人在錄取後，會決定他的報到日期，在新人報到最慢前三天需提出資訊系統帳號以及設備的申請（因為電腦設備的採購最快當天早上下單下午交貨，最慢三天交貨），以讓資訊部門有前置的工作時間。

電腦設備一般不會備庫存，而是以人員離職的設備移轉為主。

針對外勤的人員，我們公司採用的方式是筆電補助的方案，由個人購買符合公司規定規格的筆電，而由公司按月撥款補助，此好處是公司不用準備電腦設備的庫存，不會因硬體生命週期汰換快速，而有設備規格過舊的問題，同時也省下作業系統的授權費用。但缺點是設備規格沒有統一，增加管理上的困難度。

而內勤人員則主要以品牌的商用桌機為主要考量，此部份規格就能夠統一，只要部門提出申請，即可在人員到職後交付機器使用。如前述設備有採購行為者，則稽查時會檢視相關的採購程序是否完備（於軟硬體採購申請篇時再說明）？是否列入固定資產管理等。

關於資訊系統的帳號，則關係到人員要如何使用公司的系統，包括 AD 帳號的建立、Mail 帳號與信箱容量設定、簽核系統組織架構與代理人機制、ERP系統帳號與權限申請等，於新進人員資訊系統申請單上都會有相關的項目供部門幫新人申請相關的設備與權限。

資訊查核主要以抽查為主，檢視相關的作業流程是否確實執行。所以相關的資料提供，會以抽查的樣本為主再提供相關的檢核資料給審計人員。

全系列文章列表