資訊單位基於維持公司資訊系統穩定運作之必要性，需將重大資訊系統與設備簽訂維護合約，以確保當系統或設備出問題時，能由系統廠商提供災難復原之協助，以維持企業營運之所需。

稽核重點：重要資訊軟硬體設備是否有簽訂維護合約？是否有相關的簽核流程？維護是否確實執行

提供資料：軟硬體維護合約、簽呈、維護紀錄
一般公司針對重大資訊系統與硬體設備，會於保固期滿後與建置廠商簽訂維護合約，以確保系統後續的維護可以獲得保障，如同買保險一般。

一般硬體的維護合約通常註記在報價單上，可能包括：

1.維護期間內軟/軔體有新版本Release可免費更新
2.維護期間內硬體保固服務（免費更新硬體或零件、耗材等）
3.維護的時數
4.維護費用（這部份也必須進行議價）
5.維護/叫修的方式

視實質內容而定，雙方確認無誤後，蓋公司章（如：發票章）回傳後，即生效。

比較重大的硬體設備維護，可能會詳列保固範圍與現場支援次數與方式，並另定合約執行（需蓋公司大小章）。

稽核的重點主要檢查相關的維護合約，保固時間以及相關的簽呈，並確定重大資訊系統有簽訂軟硬體維護廠商，搭配緊急復原計畫中系統維護廠商的比對勾稽，來確認重大資訊系統的保障。

比較有制度的系統廠商，對於維護的執行，都會有維護紀錄交付委託單位存查，包括維護時間、維護項目、維護建議等（如果沒有必須要求提供），這些紀錄都必須妥善整理與保存，同時在前面所提到的相關記錄表格中，也須確實記錄，以利日後查核與問題追蹤之所需。

昨天 insider 大大所提的 SLA(Service Level Agreement) 維護層級，最近在 Survey 虛擬化 & 儲存設備時，也跟廠商提過這樣的服務方式，甚至問廠商如何 grantee 我們導入虛擬化後的穩定性...幾乎沒有一家廠商敢保證，都說以服務過上百家客戶以及導入多年的經驗，還沒有一家客戶在這方面出過問題...

當然還是得看您要投入多少預算，您的 DR Site 要如何建置與規劃，是否要建立即時備援...這些都跟您採購的 License 有關（指管理硬體運作的軟體 License），您的系統可以容忍的斷線時間以及回復時間等等，這些都是自己要先考量的，廠商只能針對您的需求給予建議與合乎預算範圍的規範。

不過比較重要的是，當硬體故障時，問題反應的處理以及備品提供的速度，這個就可以規範在維護合約中，例如硬體故障，備品需於 4 小時內提供（工作時間或 24 小時以及視廠商距離），問題反應需於隔天 8 小時內回覆之類的，以及人力支援是否需要額外 Charge 等，這都需要與業務細談，不然合約訂定之後，一番兩瞪眼，當初沒有想到的就來不及了！

全系列文章列表