《企业it架构课件》由会员分享,可在线阅读,更多相关《企业it架构课件(47页珍藏版)》请在金锄头文库上搜索。
1、企业IT架构课件,屏東商業技術學院 周國華,2,目錄,智慧財產權聲明,本文件係由周國華師獨自撰寫,除引用之概念屬於原文作者外,其餘文字及圖形內容之智慧財產權當然屬於周師獨有。 任何機構或個人,在未取得周師同意前,得直接以本文件做為學校、研究機構、企業、會計師事務所、政府機關或財團法人機構舉辦教學或進修課程之教材,否則即屬侵權為。 任何機構或個人,在未取得周師同意前,得在自編撰的教材中直接大引用本文件的內容。屬單頁內部分內容之引用,亦請註明出處。,3,屏東商業技術學院 周國華,企業風險層次,Dunn et al. (EIS, 2005)將企業面臨的風險分為五個層次: 經濟體風險(economy
2、risk):影響整個經濟體(國家、區域)的風險,例如:景氣反轉、戰爭、SARS、恐怖攻擊、環境惡化等。 產業風險(industry risk):個別產業內所有公司都受影響的風險。 企業風險(enterprise risk):個別企業面臨的內、外部風險。前者包含道德欠缺、士氣低落、技能不足等;後者包含競爭加劇、產品或企業形象下降、供應鍊伙伴出現危機、突發性災難導致營運中斷、其他企業的併購行為影響本公司的競爭力等。 企業程序風險(business process risk):與企業程序內之個體(資源、事件、代理人)及個體間之關係有關的風險。 資訊程序風險(information process r
3、isk):與企業程序內各項資訊之紀錄、維護、報導有關的風險。 本講義重點所在!,屏東商業技術學院 周國華,4,電腦舞弊及濫用,電腦舞弊及濫用(computer fraud and abuse)是資訊系統安全最大的威脅,它不僅與資訊程序風險攸關,也與其他層級的企業風險息息相關。 Romney and Steinbart (AIS, 2006)整理了35種與電腦舞弊及濫用有關的犯罪技術: 廣告間諜軟體(adware) 資料竄改(data diddling) 資料洩漏(data leakage) 阻斷服務攻擊(denial-of-service attack) 字典攻擊(dictionary att
4、ack) 竊聽(eavesdropping) 冒名電子郵件(e-mail forgery/spoofing),屏東商業技術學院 周國華,5,電子郵件恐嚇(e-mail threats) 駭客入侵(hacking) 劫持(hijacking) 身份盜用(identity theft) 網路散佈謠言(internet misinformation) 網路恐怖攻擊(internet terrorism) 鍵盤動作紀錄(key logger) 邏輯定時炸彈(logic time bomb) 冒名闖入(masquerading/impersonation) 封包探密(packet sniffing) 密
5、碼破解(password cracking) 網路釣魚(phishing) 盜撥(phreaking) 混隨侵入(piggybacking) 攢聚利息尾數(round-down) 微量監守自盜(salami technique),屏東商業技術學院 周國華,6,在字紙簍中拼湊出秘密(scavenging/dumpster diving) 近身竊聽(shoulder surfing) 以社交手法詐騙(social engineering) 軟體盜版(software piracy) 垃圾郵件(spamming) 間諜軟體(spyware) 使用特殊軟體繞過系統安全檢查(superzapping)
6、後門程式(trap door) 木馬程式(Trojan horse) 病毒(virus) 撥號偵測已連線但閒置中的數據機(war dialing), 駕車偵測未受保護之無線網路(war driving), 用粉筆記下已偵知未受保護之無線網路點(war chalking) 蠕蟲(worm),屏東商業技術學院 周國華,7,電腦網路安全防護,為預防電腦舞弊及濫用造成的危害,無論家用或企業電腦,都應盡可能建立以下基本防護措施: 電腦開機或登錄入口網頁應設置密碼。 每部電腦均應安裝防毒軟體,並定期更新病毒碼。 電子郵件系統應強化病毒及垃圾郵件過濾功能。 安裝軟體或硬體防火牆(firewall)。 設置入
7、侵偵測/預防系統(IDS/IPS)。 作業系統及應用程式定期進行更新(例如:Windows update 或Microsoft update),以及時修補程式安全漏洞。 此外,企業應設置完善的內部控制制度,以降低企業資訊系統的風險,並確保營運程序及資訊處理程序的正確性及完整性。,屏東商業技術學院 周國華,8,CERT/CC,Morris & CERT/CC: Robert T. Morris 在1988/11/2透過MIT的電腦網路散佈全球第一支網路蠕蟲(Internet Worm),對剛起步的全球資訊網造成重大危害。有鑑於此類行為未來可能層出不窮,美國國防部在當時(1988/11)即出資在卡
8、耐基美隆大學設立全球第一個電腦危機反應協調中心(Computer Emergency Response Team / Coordination Center)。此外,美國聯邦政府國土安全部在2003年另外設立US-CERT,做為政府與民間合作維護電腦網路安全的中介機構。 R. T. Morris在1989年被依違反美國1986年電腦舞弊及濫用法定罪,是全球第一個類似定罪案例。他後來從哈佛大學取得博士學位,目前任教於MIT。台灣類似法例:刑法第三十六章妨害電腦使用罪 世界各國隨後紛紛成立類似的機構。以台灣為例,目前也有兩個CERT: 台灣電腦網路危機處理暨協調中心(TWCERT/CC):是台灣最
9、早設立的CERT(成立於1998年)。 政府網路危機處理中心(GSN CERT/CC):由行政院研考會設置。,屏東商業技術學院 周國華,9,內部控制,針對各種潛在的風險,企業都應規劃內部控制及危機處理程序。但須符合成本效益原則。 對企業內部控制制度現況的評估,是會計師進行財務報表審計的基礎。 內部控制可按事前、事後分成以下三種類型: 預防性控制(preventive control):能防止問題發生。 偵測性控制(detective control):能察覺出已發生的問題。 修正性控制(corrective control):能針對已發生的問題做改正。,屏東商業技術學院 周國華,10,屏東商業
10、技術學院 周國華,11,內部控制制度相關法令,國內主要法令: 證券交易法第14條之1 (授權金管會訂定相關準則)。 公開發行公司建立內部控制制度處理準則 (金管會訂定,以下簡稱內控準則)。 審計準則公報第31號:電腦資訊系統環境下執行查核工作之考量。 美國主要法令: Foreign Corrupt Practices Act (1977) Statements of Auditing Standards (SAS) No. 78 & 94 Sarbanes-Oxley Act (2002, 簡稱SOX),內部控制:八大循環,內控準則第7條:公開發行公司之內部控制制度應涵蓋所有營運活動,並應依企
11、業所屬產業 特性以交易循環類型區分,訂定對下列循環之控制作業: 一、銷售及收款循環:包括訂單處理、授信管理、運送貨品或提供勞務、 開立銷貨發票、開出帳單、記錄收入及應收帳款、銷貨折讓及銷貨退 回、執行與記錄現金收入等之政策及程序。 二、採購及付款循環:包括請購、進貨或採購原料、物料、資產和勞務、 處理採購單、經收貨品、檢驗品質、填寫驗收報告書或處理退貨、記 錄供應商負債、核准付款、進貨折讓、執行與記錄現金付款等之政策 及程序。,屏東商業技術學院 周國華,12,內部控制:八大循環,三、生產循環:包括擬訂生產計畫、開立用料清單、儲存材料、領料、投 入生產、計算存貨生產成本、計算銷貨成本等之政策及程
12、序。 四、薪工循環:包括僱用、請假、加班、辭退、訓練、退休、決定薪資率 、計時、計算薪津總額、計算薪資稅及各項代扣款、設置薪資紀錄、 支付薪資、考勤及考核等之政策及程序。 五、融資循環:包括借款、保證、承兌、租賃、發行公司債及其他有價證 券等資金融通事項之授權、執行與記錄等之政策及程序。,屏東商業技術學院 周國華,13,內部控制:八大循環,六、固定資產循環:包括固定資產之取得、處分、維護、保管與記錄等之 政策及程序。 七、投資循環:包括有價證券、不動產、衍生性商品及其他投資之決策、 買賣、保管與記錄等之政策及程序。 八、研發循環:包括對基礎研究、產品設計、技術研發、產品試作與測試 、研發記錄及
13、文件保管等之政策及程序。,屏東商業技術學院 周國華,14,電腦化資訊系統內控作業,內控準則第9條:公開發行公司使用電腦化資訊系統處理者,其內部控制制度除資訊部門與 使用者部門應明確劃分權責外,至少應包括下列十一項控制作業: 一、資訊處理部門之功能及職責劃分。 二、系統開發及程式修改之控制。 三、編製系統文書之控制。 四、程式及資料之存取控制。 五、資料輸出入之控制。 六、資料處理之控制。 七、檔案及設備之安全控制。,屏東商業技術學院 周國華,15,電腦化資訊系統內控作業,八、硬體及系統軟體之購置、使用及維護之控制。 九、系統復原計畫制度及測試程序之控制。 一、資通安全檢查之控制。 一一、向本會
14、(註: 金管會)指定網站進行公開資訊申報相關作業之控制。,屏東商業技術學院 周國華,16,內部控制參考架構,COSO 架構:由美國COSO委員會在1992年提出的內部控制整體架構,已成為許多國家(包含台灣)制訂企業內部控制法令的重要參考資料。 ERM 架構:由美國COSO委員會在2004年提出的企業風險管理架構,將過去以控制為基礎的1992 COSO架構,調整為以風險為基礎的2004新架構。此架構包含(而非取代)COSO 1992架構的內容,並增加新的元素,使其內容更完整且更有彈性。 COBIT 架構:由國際電腦稽核協會(ISACA)在1996年制訂的資訊科技內控架構(2007最新版本:4.1
15、版),是許多AIS教科書討論企業資訊系統內部控制的主要參考資料。,屏東商業技術學院 周國華,17,COSO 架構,COSO委員會(Committee of Sponsoring Organizations)在1992年提出的內部控制整體架構(Internal Control Integrated Framework),包含五個組成要素(以下說明內容取材自金管會制訂的內控準則第6條): 一、控制環境(control environment):係指塑造組織文化、影響員工控制意識之綜合因素。影響控制環境之因素,包括員工之操守、價值觀及能力;董事會及經理人 之管理哲學、經營風格;聘僱、訓練、組織員工與
16、指派權責之方式;董事會及監察人之關注及指導等。控制環境係其他組成要素之基礎。 二、風險評估(risk assessment):係指公司辨認其目標不能達成之內、外在因素,並評估其影響程度及可能性之過程。其評估結果,可協助公司及時設計、修正及執行必要之控制作業。,屏東商業技術學院 周國華,18,COSO 架構,三、控制作業(control activities):係指設立完善之控制架構及訂定各層級之控制程序,以幫助董事會及經理人確保其指令已被執行,包括核准、授權、驗證、調節、覆核、定期盤點、記錄核對、職能分工、保障資產實體安全、與計畫、預算或前期績效之比較及對子公司之監督與管理等之政策及程序。 四、資訊及溝通(information and communication):所稱資訊,係指資訊系統所辨認、衡量、處理及報導之標的,包括與營運、財務報導或遵循法令等目標有關之財務或非財務資訊。所稱溝通,係指把資訊告知相關人員,包括公司內、外部溝通。內部控制制度須具備產生規劃、監督等所需資訊及提供資訊需求者適時取得資訊之機制。
