一般上市櫃公司,公司內部需設立內部稽核人員,負責公司相關內部控制與稽核辦法之制定與執行,並對董事會負責。 稽核人員除稽核公司內部相關業務之執行外,本身稽核人員也...
每一家公司都有其組織章程與配合公司管理制度所訂定的相關管理措施與執行細則,資訊部門當然也不例外。 稽核重點:是否規範資訊部門的功能與職責?是否依據公司發展狀況,...
資訊部門人員依其所轄業務,賦予其功能性職務內容,應明定相關業務工作執掌,以利業務之推動與執行。 稽核重點:資訊部門人員工作執掌是否清楚規範,是否依功能性需求劃分...
依據「公開發行公司建立內部控制制度處理準則」第九條第一款: 公開發行公司使用電腦化資訊系統處理者,其內部控制制度除資訊部門與 使用者部門應明確劃分權責外,至少應...
由於網際網路的發達,企業對外聯絡的資訊已由以往的電話傳真,轉變為email,即時通訊等溝通方式,甚至於公司對公司間的資料交換(B2B),對於網際網路的依賴程度,...
每一家公司針對業務與營運上的需求,對於現行運作中的系統多少都會有功能的調整與新增,由於人員可能異動,或系統可能大幅調整,如果文件沒有跟著更新,隨著人員的異動,久...
資訊部門的年度目標與預算,是一項重頭戲,關乎 IT 部門的營運是否可以順利進行。 稽核重點:是否擬定年度計劃?是否軟硬體設備採購經由內部審核程序?是否有編列預算...
緊急應變計畫乃依據『資訊管理系統循環』中系統復原計劃及測試作業程序之控制而訂定。 其目的為將公司重要資訊系統如ERP、MAIL與網路系統等如遭重大之天災或人為破...
資訊安全對於企業的營運是愈來愈重要與需要非常重視的議題,企業對資訊的依賴程度與日俱增,相關的法令也愈來愈完備(如即將實施的「個人資料保護法」),這些都關乎著企業...
如同前一篇所提,資訊設備是公司營運的資產,是否列入固定資產管理,其保管、移轉與報廢是否都可以追蹤,則相形重要。 稽核重點:是否針對資訊資產設備進行固定資產管理?...
鐵人賽,這是第三屆了。 第一屆的鐵人賽,找了一個自己不熟悉的領域--「雲端運算」,從 SaaS->PaaS->IaaS...及各種衍生的雲端服務 X...
資訊單位基於維持公司資訊系統穩定運作之必要性,需將重大資訊系統與設備簽訂維護合約,以確保當系統或設備出問題時,能由系統廠商提供災難復原之協助,以維持企業營運之所...
上市櫃公司基於政府法令規範,各項重大訊息都應發佈給投資大眾知悉(公開資訊觀測站),為使公司各項依法令應公開資訊之電子申報作業有所遵循,必須制定公開資訊申報作業程...
機房如同軍事重地一樣,必須有森嚴的防衛與安全措施。機房進出管制記錄,主要記錄進出機房的人員其目的與事由。 查核重點:進出電腦機房等敏感地區是否加以管制,另是否安...
經過 28 天的內功心法調教,是不是沒死也半條命 咳...是不是有通體舒暢的感覺... 我們總結這系列所介紹的各項檢查機制,大致上可以分成三大類: (本圖採用...
前面幾天我們都是針對比較屬於策略面及管理面的事務進行說明,接下來的篇幅,會必較屬於執行面的做法,先從系統功能增修單元談起。 稽核重點:程式的開發與變更是否依據系...
資訊部門為維持公司系統營運之穩定與提供符合公司營運發展所需之系統與設備,軟硬體設備的採購是資訊部門的重要業務項目之一,同時也是公司的重要資產。 稽核重點:電腦軟...
備份是資訊單位最基本也最必要的工作項目之一,一個公司的資料沒有妥善的備份,就如同懷抱著一顆不定時炸彈一般,每天都要提心吊膽的工作。 稽核重點:備份機制是否健全?...
網路環境最基本的保障,即為防火牆的設置。主要目的為防止外界未經授權的使用者不當之侵入、存取企業資源或者竊取機密資料。防火牆妥善的設定,可以大幅增加企業存取網路的...
重大營運系統(如:ERP)的帳號管控,關係著公司的重要營運系統是否安全?使用者的操作歷程是否可被追蹤?除了系統的帳號需要特別列入稽核項目之外,人員的使用權限使否...
這邊的工作日誌,指的不是資訊人員每天工作的記錄,而是系統或伺服器每天執行記錄與執行狀況的檢查,尚包括機房的溫濕度記錄等。 稽核重點:每天是否有確實檢查伺服器的...
資訊部門工作中很大的部份在於維護系統與使用者問題的解決,對於發生的問題如果可以詳細記錄其發生原因與處理方式,日後除了在維護上,可以縮短問題查詢的時間,在規劃軟硬...
很快的,資訊查核的時間,咻~一下就過去了,1~2個禮拜的工作天(上軌道之後,順利的話通常2~3天就結束了),主要為資訊的蒐集與訪談,只要平常都有按部就班的執行,...
一個企業的營運不可能一條龍,從頭到腳完全一手包辦,或多或少都會將某些業務承包出去的作法,資訊部門同樣也會有這種狀況,如何管理這些委外服務,也是資訊部門必須思考的...
企業除了設置防火牆以及弱點偵測防護外,很多時候由於使用者不當的網路存取行為,而導致電腦遭受病毒破壞,資料外洩等事件,甚至於癱瘓企業網路,常會讓資訊人員焦頭爛額。...
除了在新人報到時部門主管會幫使用者決定該使用的系統權限外,隨著人員部門與業務的異動,針對原有的系統權限也應該進行檢討,這些權限的異動必須要能夠稽查以避免人員擁有...
與前面程式開發與變更申請的作法類似,資料修改申請是偏資料內容本身的修改異動記錄。 稽核重點:資料的修改申請是否依據資料修改管理流程進行?是否需求單位主管認可?是...
與新進人員的審核程序類似,離職人員主要檢查帳號與權限移轉與停用是否依規定處理。 稽核重點:離職人員資訊系統帳號與權限移除,是否依照流程辦理?資產設備是否移轉?是...
人員的流動對於公司來說是一種常態,也因為人員的流動的關係,會產生一些資安管理上的問題,如果沒有處理好,會是資訊安全上的一個隱憂。我們就先從新進人員的報到看起。...
提供正確的觀念給大家參考.至於是否正確.專家自有評斷... 如果一個集團企業的財務長或會計師對於IFRS國際財務報導準則的規範不 夠理解,對於集團財務合併報表的...