参、电脑作业与资讯提供A03.doc

僅供未辦理境外基金總代理業務及全權委託投資業務之證券投資顧問事業參考使用 證券投資顧問事業經營證券投資顧問業務內部稽核實施細則 參、電腦作業與資訊提供 PAGE 1 3-PAGE 14 105年7月22日金管證投字第1050023273號函核定版 中華民國投信投顧公會 參、電腦作業與資訊提供：A03 一、資訊處理部門之功能及職責劃分：A03-01  編 號作業項目及目的作業週期作 業 程 序 （方 法） 與 稽 核 重 點依 據 資 料A03-01 資訊處理部門之功能及職責劃分之稽核 不 定 期 ： 每 半 年 至 少 查 核 乙 次 一、資訊處理部門之組織功能是否明確訂出。 二、資訊處理部門與業務單位之權責是否明確劃分。 三、資訊作業人員是否填具保密切結書；離職時是否取消其識別碼，並收繳其通行證、卡及相關證件。 四、是否定期（每年至少一次）對全公司員工辦理資訊安全宣導講習（例如：防毒、資料備份、使用合法軟體及電子郵件使用規定等），並留存紀錄。 五、公司所訂定之資訊安全政策，是否經管理階層核准，並是否正式發布要求所有員工共同遵守，且是否轉知與公司連線作業之公私機構、提供資訊服務之廠商共同遵守。 六、公司訂定之資訊安全政策，是否至少每年評估一次，確保公司資訊安全實務作業之有效性。 二、應用系統開發及維護管理：A03-02  編 號作業項目及目的作業週期作 業 程 序 （方 法） 與 稽 核 重 點依 據 資 料A03-02應用系統開發及維護管理之稽核 不 定 期 ： 每 半 年 至 少 查 核 乙 次 一、是否使用具有合法版權之軟體。 二、委外作業是否簽訂契約，契約是否應完備週延。 三、委外人員電腦通行使用權利是否經適當控管;委外期間結束後，是否立即收回該項權利。 四、各項文件及手冊是否由專人保管，並經適當維護與控制，僅限於相關業務人員借閱。 五、應用系統之維護是否指派專人或委請資訊廠商負責。 六、應用系統修訂後是否將所有設計上相關之改變配合修訂、更新。 七、已完成之程式因故需維護時，是否依據經過正式核准之程序辦理。 三、電腦系統管理：A03-03  編 號作業項目及目的作業週期作 業 程 序 （方 法） 與 稽 核 重 點依 據 資 料A03-03電腦系統管理之稽核 不 定 期 ： 每 半 年 至 少 查 核 乙 次 一、電腦設備之購置與管理之稽核： （一）電腦設備之購置是否依公司所訂定採購程序等相關規定辦理。 （二）電腦機房硬體設備之運轉及故障情況是否留存紀錄，並向資訊單位負責人報告。 （三）是否與廠商簽訂書面維護契約，確定電腦設備維護內容。維護完成時是否留存維護紀錄，且是否資訊單位派人會同廠商維護人員共同檢查。 （四）因經營業務需要而為個人資料之蒐集、電腦處理或國際傳遞及利用，是否訂定「與軟硬體廠商機密維護及損害賠償等雙方權責劃分」。 （五）是否訂定設備報廢作業程序，報廢前是否將機密性、敏感性資料及授權軟體予以移除或實施安全性覆寫，若委託第三者銷毀時，是否簽訂保密合約。 二、電腦作業系統環境設定及使用權限設定之稽核： (一)電腦作業系統環境設定及使用權限設是否經有關主管核示，並由系統管理人員執行。 (二)電腦系統檔案異動前後是否皆有完善之備份處理措施。 三、系統使用者管理之稽核： (一)對於程式及檔案之存取使用是否按權限劃分，並有詳細的書面管制說明。 (二)密碼是否以亂碼方式儲存；人員異動時，是否及時更新其使用權限。 (三)檢查公司現有之網站、伺服器、網路芳鄰、路由器、交換器、作業系統及資料庫等軟硬體設備是否設定使用密碼，且是否避免使用預設(如administrator、root、sa)或簡易(如1234)之帳號密碼及未設管理者存取權限。 四、應用系統異動管理之稽核： (一)應用程式文件是否與異動程式相符，正式作業環境之程式是否與所異動程式時間相符。 (二)程式經修改，其相關文件是否及時更新。  四、電腦作業管理：A03-04  編 號作業項目及目的作業週期作 業 程 序 （方 法） 與 稽 核 重 點依 據 資 料A03-04電腦作業管理之稽核不 定 期 ： 每 半 年 至 少 查 核 乙 次 一、實體安全管理之稽核： (一)電腦機房是否有門禁管制(例如：刷卡)。 (二)機房內是否有防火設施，並定期檢驗。另是否將地震、水災等天然災害因素列入考量。