上櫃上市申請前，會經過一段審查的時間，其中對IT而言會有兩大塊， 一塊是有關資料流的部份，一塊是有關IT管理的部份。
資料流牽涉到系統的使用狀況，也就是常聽到ERP系統作業流程、表單、資料、權限的部份；
IT管理的部份牽涉到內控內稽，必須訂定電子計算機循環與管理辦法，現在還會要求針對資訊安全與緊急應變計畫。
資料最重要的是前後表單與匯總資料必須正確，適當(符合貴公司需求)的權限管制。IT的管理則在落實制度的執行與監控相關服務、設備的妥善！記得機房的環境也是其一！
其他的細節太多～就不廢話多述！

你們公司有稽核吧？跟他討論一下資通安全管理辦法如何制定
也要擬定貴公司的資訊部門管理辦法（或跟會計師要一下範本參考）

查核項目大概如下所列：
(1) 電子計算處理作業內部控制文件(由內部稽核人員提供)
(2) 電子計算處理作業內部稽核辦法(由內部稽核人員提供)
(3) 電子計算處理作業自行評估文件(由內部稽核人員提供)
(4) 查核年度 (YY.1.1~YY.12.31) 稽核計畫(由內部稽核人員提供)
(5) 資訊部門管理辦法
(6) 網路架構圖
(7) 公司及資訊部門之組織圖.
(8) 資訊部門人員職掌
(9) 相關會議記錄（包含資訊部年度目標策略、重要資訊設備或計畫擬定及預算）
(10) 軟硬體維護合約
(11) 程式開發及變更申請單據(當年度已結案清單)
(12) 系統文件（包括系統架構、系統流程、程式說明、測試記錄、操作手冊等）
(13) 資料修改申請單
(14) 軟硬體採購申請文件
(15) 硬體維護及異常處理記錄
(16) 應用系統之使用者清單
(17) 應用系統使用者權限申請單（新增、修改、刪除等）
(18) 查核年度 (YY.1.1~YY.12.31)新進/異動/離職人員清單
(19) 機房進出管制記錄
(20) 活動日誌覆核記錄
(21) 備份記錄（程式及檔案）
(22) 緊急應變計畫及測試記錄
(23) 資通安全政策
(24) 資訊資產清冊(當年度)
(25) 防火牆設定變更申請表
(26) 電腦病毒及網路駭客入侵之防範機制

所以要針對這些項目去訂定貴公司的管理制度與執行方式

資安是最近要求的重點，尤其是 ERP 的部份（包括系統程式面與作業系統面）
包括人員權限開立是否恰當，開發人員權限是否受到管制與稽核
資料庫管理人員(DBA)與程式設計人員是否分開.....
(如果是委外你的管理人員與廠商的權限如何區隔以及委外廠商的異動紀錄如何被有效的稽查會是重點)
還有緊急回復計畫是否健全與落實，是否有定期演練等

您目前只有兩個人，在權限的控管上會是很大的一個問題
可以跟會計師討論一下如何設計取得共識

有很多東西要紀錄，所以你需要的表格會很多
要將他制度化並確實執行，不然只會流於補資料
就失去資訊管理的意義了

大陸那是使用2個浮動式的ADSL連外(老闆說固定IP太貴，VPN線路也太貴)
Mail server在台北，大陸只有三部File server(申請DDNS，讓台北以VNC遠端控管)
目前大陸File server的資料都是靠順道過去的同事用usb行動碟複製再帶回台北

看到這一段，我覺得你們老闆講要上市上櫃，應該只是講給你們聽的，實際他並沒有準備要這樣做！

這樣的設備跟操作流程要上市上櫃?沒有IT標準流程?距離上市應該有一段距離,如果你們公司營收可以達到上市規模,應該不會吝惜於這樣的投資,連大陸的資料都要透過同是出差才能把資料帶回台灣,你覺得公司的即時營運資訊如果給股東知道,真是一個囧