【正文】 ? 資料控制人員應(yīng)定期列印 錯誤清單或報表 ，標明錯誤性質(zhì)、發(fā)現(xiàn)日期及時間，作為改進輸入作業(yè)之參考 應(yīng)用控制 輸入控制：輸入驗證程序 (二 ) ?常見之輸入驗證程序為： ?欄位檢查 (field check)： 檢查某個欄位中之資料是否符合原先定義之型態(tài)(ex: 數(shù)值、文字、日期 ) ?上下限與範圍檢查 (limit and range check)： 根據(jù)已知資料上之上下限，或範圍進行檢查 (ex: 員工每月加班時數(shù)是否超過規(guī)定上限 ) ?順序檢查 (sequence check)： 確認記錄按照適當之順序排序 (通常用於批次處理 ) ?符號檢查 (sign check)： 確認特定欄位之值具有正確之符號 (ex: 薪資記錄之工時欄應(yīng)為正值 ) 應(yīng)用控制 輸入控制：輸入驗證程序 (三 ) ?有效性檢查 (validity check)： 將輸入之代號或交易代碼，與已經(jīng)過核定或正確代碼比較，以確定其有效性 ?合理性測詴 (reasonableness check)： 測詴輸入資料項目數(shù)值與相關(guān)主檔記錄之邏輯關(guān)係是否正確 ?複資料檢查 (redundant check)： 利用一筆交易兩個欄位確認資料之正確性 應(yīng)用控制 輸入控制：線上資料輸入控制 (一 ) ?使用者利用終端機或個人電腦於線上輸入資料時，系統(tǒng)應(yīng) 立即檢查 交易資之正確性與完整性，並要求使用者 馬上補正 ，才能接受該筆交易資料 應(yīng)用控制 輸入控制：線上資料輸入控制 (二 ) ? 線上輸入資料除可沿用批次輸入之驗證程序外，應(yīng)額外採下列控制方法或程序： ?身份驗證： 查驗使用者代號與密碼，以確認經(jīng)過適當之授權(quán) ?權(quán)限測詴： 確認使用者具有輸入或檢視特定資料之權(quán)限 ?訊息提示： 給使用者明確之訊息提示，要求其依照一定之方式或順序輸入各項資料 應(yīng)用控制 輸入控制：線上資料輸入控制 (三 ) ?預(yù)先格式化： 連線系統(tǒng)為避免資料輸入錯誤，可以透過程式設(shè)計，協(xié)助使用者輸入相關(guān)資料時，就如人工作業(yè)時事先印妥之原始表格一般 ?完整性檢查 (pleteness check)： 確認所有資訊都已順利傳出，若有遺漏，系統(tǒng)會通知使用者 ?封閉迴圈驗證 (closedloop verification)： 利用額外傳送之相關(guān)欄位資料覆核輸入資料之正確性 應(yīng)用控制 輸入控制：線上資料輸入控制 (四 ) ?交易資料自動輸入： ex:系統(tǒng)系統(tǒng)自動產(chǎn)生交易日期、傳票代號、員工代號等資料，以節(jié)省時間與錯誤 ?交易日誌 (transaction log)： 詳細記錄每筆線上輸入之交易資料 (ex: 輸入資料之日期、終端機代號、使用者代號、交易序號、資料內(nèi)容等 )。 ? 資料處理各階段產(chǎn)生之控制總數(shù)，應(yīng)由資料控制人員進行調(diào)節(jié)；若發(fā)生錯誤，應(yīng)通知相關(guān)人員更正 應(yīng)用控制 輸入控制：輸入驗證程序 (一 ) ? 可寫入電腦程式，由系統(tǒng)自動檢查輸入資料之有效性與正確性。 ? 相關(guān)人員輸入特定代碼時，程式立即比對檢查碼是否相符；若有不符，表示輸入有誤，應(yīng)重新輸入 應(yīng)用控制 輸入控制：原始資料控制 (五 ) ?迴轉(zhuǎn)文件之運用： 一種後來可作為交易輸入文件使用之電腦輸出文件，可利用機器直接讀取資料，有助提高輸入作業(yè)之效率與正確性。 ? 若有任何疑問頇加以釐清並排除問題後，再進行資料輸入；完成輸入之憑證應(yīng)做適當註記；避免重複輸入與處理 ?表單連號檢查： 對於預(yù)先連續(xù)編號之表單 (ex: 銷貨發(fā)票、訂購單 )，由系統(tǒng)檢查其編號是否重複或跳號 應(yīng)用控制 輸入控制：原始資料控制 (四 ) ?重複鍵入： 對於重要之資料要求兩位人員重複輸入，並做比較，以確認輸入資料之正確性?？梢佬蚍譃槿齻€層次： (1)辨識使用者身份 (2)身份驗證 (3)確認權(quán)限 ?一般常用之使用者權(quán)限設(shè)定方式為建立存取控制表，以規(guī)範不同使用者對於各項資料與程式檔案之權(quán)限等級 (ex：讀取、顯示、寫入、更新、增加、刪除 ) 一般控制 資料儲存控制 組織應(yīng)將資料視為重要資源，並妥善保護 及控制，以免遭到未經(jīng)授權(quán)之揭露、使用 或破壞 一般控制 資料傳輸控制 ?組織利用網(wǎng)路傳送資料時，為降低傳輸失之風(fēng)險，相關(guān)人員應(yīng) 監(jiān)控通信網(wǎng)路 ，發(fā)現(xiàn)弱點頇立即加以補強 ?一般常用來降低資料傳輸錯誤之方法或程序包含： (1)資料加密 (2)驗證程序 (3)位元檢查 (4)訊息確認技術(shù) 一般控制 建立文件標準 (一 ) ? 為讓相關(guān)人員易於 瞭解 、 使用 及 維護 資 訊系統(tǒng)，企業(yè)在開發(fā)系統(tǒng)之過程中，應(yīng) 建立相關(guān)文件 ? 進行系統(tǒng)書面化工作時，各項文件之編 寫與修改應(yīng) 一致性 ，並存放於安全地方 ，以便文件之使用 一般控制 建立文件標準 (二 ) ? 一般常用之資訊系統(tǒng)文件為： (1)系統(tǒng)文件 (system documentation) (2)程式文件 (program documentation) (3)操作文件 (operating documentation) (4)電腦操作手冊 (puter run manual) (5)程序文件 (procedural documentation) (6)使用者文件 (user documentation) 一般控制 降低系統(tǒng)當機時間 ? 電腦軟體或硬體之失靈會造成資訊系統(tǒng)無法正常運作，而導(dǎo)致 重大營運或財務(wù)損失 ? 一般常用來降低當機時間之方法為： (1)落實 預(yù)防性維護 工作 (2)建立 不斷電系統(tǒng) (3)配置 額外之系統(tǒng)組件 ，以提昇系統(tǒng)之 容錯能力 一般控制 訂定災(zāi)害復(fù)原計畫 (一 ) ? 每個組織都應(yīng)訂定一套災(zāi)害復(fù)原計畫，以確保發(fā)生重大災(zāi)害時，能迅速、順利地恢復(fù)資訊系統(tǒng)之作業(yè)能力 ? 一般而言，其目的： (1)降低資料毀損及業(yè)務(wù)中斷之可能損失 (2)建立暫時性之資料處理措施 (3)盡快恢復(fù)正常作業(yè) (4)實施緊急作業(yè)訓(xùn)練，讓員工熟悉應(yīng)變程序 一般控制 訂定災(zāi)害復(fù)原計畫 (二 ) ? 復(fù)原計畫應(yīng)包含下列要素： ?明訂復(fù)原程序之優(yōu)先順序 ?明訂規(guī)範資料及程式檔案之備份作業(yè) ?明確分派災(zāi)害復(fù)原責(zé)任，實施復(fù)原編組及應(yīng)負責(zé)之復(fù)原作業(yè) ?妥善保管復(fù)原計畫之書面文件 ?安排備援之電腦與通訊設(shè)備，確保能在最短時間內(nèi)啟用 ?進行應(yīng)變規(guī)劃與風(fēng)險分析 一般控制 訂定災(zāi)害復(fù)原計畫 (三 ) ? 應(yīng)變規(guī)劃 ? 辨認不同資料處理中斷時，對組織之可能影響 ? 風(fēng)險分析 ? 找出關(guān)鍵性應(yīng)用系統(tǒng)並排優(yōu)先順序，評估保險額度，及辨認相關(guān)風(fēng)險與可能影響 一般控制 保護個人電腦與主從式網(wǎng)路 (一 ) ? 訓(xùn)練個人電腦使用者瞭解相關(guān)之控制觀念 ? 個人電腦設(shè)備上鎖及黏貼財產(chǎn)標籤 ? 訂定個人電腦使用政策與程序，規(guī)範資料儲存、軟體安裝與使用、設(shè)備保管責(zé)任 ? 長時間未使用之個人電腦自動關(guān)機 ? 電腦硬碟定期備份 一般控制 保護個人電腦與主從式網(wǎng)路 (二 ) ? 設(shè)定多重使用者密碼，限制個人電腦之使用，並進行權(quán)限設(shè)定，以便職能分工 ? 採用檔案清除工具程式，徹底清除使用不使用之磁片內(nèi)容 ? 網(wǎng)路作業(yè)頇保留操作日誌 (operation log)，以作為稽核軌跡 ? 安裝防毒程式，偵測及過濾電腦病毒，並教導(dǎo)使用者如何防範病毒之感染 一般控制 網(wǎng)際網(wǎng)路控制 ? 應(yīng)建立網(wǎng)路安全政策 (work security policy)，以保護網(wǎng)際網(wǎng)路相關(guān)作業(yè)安全 ，確保資料可用性、隱密性與真實性 ? 網(wǎng)路安全之主要控制方法包含： (1)資料傳送之相關(guān)控制措施 (2)使用者帳戶之管理 (3)防火牆之架設(shè) 電腦化資訊系統(tǒng)之應(yīng)用控制 ? 目的： 合理保證該應(yīng)用系統(tǒng)之之輸入、處理、輸出之正確性與完整性 ? 應(yīng)用系統(tǒng)薄弱，可能導(dǎo)致輸出資訊錯誤 ，造成管理決策失當，而影響企業(yè)營運 ? 一般而言，應(yīng)用控制可區(qū)分為： (1)輸入控制 (input controls) (2)處理控制 (processing controls) (3)輸出控制 (output controls) 應(yīng)用控制 輸入控制 ?目的： 合理保證輸入之資料經(jīng)過適當之核準、轉(zhuǎn)換成機器可讀之型態(tài)、及其內(nèi)容之正確性與完整性 ?包含三種控制措施： ?原始資料控制 ?輸入驗證程序 ?線上資料輸入控制 應(yīng)用控制 輸入控制：原始資料控制 (一 ) ? 目的：確保輸入資料之有效性、正確性、完整性 ? 控制方法種類： (1)批次總數(shù) (2)原始憑證檢視與註記 (3)表單連號檢查 (4)重複鍵入 (5)檢查碼驗證 (6)迴轉(zhuǎn)文件之運用 (7)資料控制職能 應(yīng)用控制 輸入控制：原始資料控制 (二 ) ?批次總數(shù) /控制總數(shù)： 比對原始資料與後續(xù)處理資料間之一致性。 一般控制 資訊系統(tǒng)職能內(nèi)部分工 (二 ) ?適用於大型主機電腦環(huán)境之集中式資訊系統(tǒng)組織架構(gòu)，不同職能之分工大致如下： ? 系統(tǒng)分析師 /設(shè)計師 ? 程式設(shè)計師 ? 資料庫管理 ? 通信 /網(wǎng)路控制 ? 電腦操作員 ? 系統(tǒng)函式庫 / 資料管理員 ? 資料控制小組 ? 資料準備 /輸入 ? 終端使用者 一般控制 專案發(fā)展控制 ?組織開發(fā)資訊系統(tǒng)時，必頇投入大量人力、時間與財務(wù)資源