※ 引述《IVIVI (越来越大支)》之铭言： : 我是个内部稽核人员 : 根据证期局上市柜公司的规定"系统复原及测试演练"每年最少要做一次 : 但是我们公司资讯部竟然回覆说不可能 : 他说因为我们公司用鼎新的TipTop ERP : 测试系统复原时还要跟鼎新借机器跟序号 : 一次的费用将近十万 : 所以不可能每年都做 : 但是我总觉得这个复原测试真得没办法自己做吗？ : 我想请问各位强者大大倒底是我们公司IT无能？还是他讲的是事实？ (1) 其实主要要备份的部分是 "资料" 与 "设定" 因为像TipTop是软体公司提供的, 并非贵公司自行开发的, 所以一旦发生意外, 只要是钱能解决的, 都是小事. 找鼎新就行, 软体硬体都是花钱就能解决. 惟独 "资料" 与 "设定" 是钱也买不到的... (2) 很多资讯部门, 的确在 "资料库" 上的备份做到了. 可是设定部份, 常常忽略. 这有点像是: 你的单机 Windows Xp 虽然说可以重灌, 可是其实你还是有很多个人化的设定 以及一些你常用的配置, 或是应用程式. 因此, 不是只有把你 的 "个人资料" 备份就好, 你也必须把设定备份. 至少, 在设定上, 要有文件, 清楚记载还原程序. 一个单机尚且如此,系统及多台机器的设定细节更要注意! (3) 系统测试还原演练, 就是要把平日 "资料" 及 "设定" 依照 "还原程序" 实作一遍. 以证明 "日常备份作业" 是有效的. 你只要抓住这个原则就行!!! 是要证明 "还原程序" 有效! 不然平日每天作的备份作业是 作假的啊? 还是做安心的? 不是只有 "资料" 活着就好了, 还有 还原的设定及实作程序也要操练啊! (4) 注意: 是有时效性的! 一个上市上柜公司, 万一遇到意外 系统瘫痪, 当需要重建的时候, 是必须说出 "时间", 面对社会 大众压力的! 你翻阅资讯部门的 "还原计画" , 上面若是写着 24小时就是24小时! 上面要是写着 36 小时就必须是36小时以内. 或是200小时! 他写xxx小时内, 这xxx小时就是你稽核的重点!!! 不是万一出事, 你只能对社会大众说: 放心, 资料都还在, 本公司 有备份! 抢修中, 时间未定, 我们尽快! 你觉得买你公司股票的股东能接受这种说辞? 更不要说证期会了! 要抓狂了! 系统还原测试, 就是演习! 请资讯部门 "证明" 他们所拟定的 还原计画, 能在他们文件上所载明的时程内完成! (5) 你的稽核重点不在听他们 "解释" 他们是如何专业的为安全而 努力 ! 你的重点在: OK , please just prove it now !!! Prove what ? What ur document is !!! ------------------------ 你可能身为一个稽核人员, 没有对抗过 "主管" 的经验. 不用怕. 更不必被资讯主管那些说辞给混淆! 有时候是他们懒, 有时候是有些主管喜欢故意试探菜鸟, 看看你是不是随便被唬唬 就倒了. ------------------------ 以下是你必须采取的行动: 你说你依照规定, 必须要做到 "系统还原演练" , 以证明在 xxx小时内 系统还原程序文件上的一切是有效的. 这是规定. 预算多少钱你别管, 把球丢给资讯主管就是, 再多预算都要答覆! 没有什麽 "不可能" 那种鬼话, 可不可能不是他决定的, 是总裁决定的. 你正式行文, 就有凭据. 他要是不配合, 到时候出包他负责! 等你拿到他的答覆, 你就依照他上面的预算及计画, 签呈上去, 请上面批. 我再强调一遍, 要花多少钱不是你决定的, 预算是资讯主管给的, 需求是证期会规定的, 你就是执行监督!!! 要是案子过不了, 出在钱的问题, 那还是回到资讯部门的责任, 跟 厂商议价杀价仍然不是你的责任. 要是案子过不了, 是出在总裁认为没必要, 那你还是得依照风险 管理的专业, 再度签呈上去说明! 说明! 说明! 请记住, 这些签呈公文往来, 就是你的凭据. 你做了, 不管结果如何 你都没有失职, 你要是没做, 你就失职. ------------------------ 有些年轻小姑娘看起来温和善良, 稽核起来凶悍得让人敬畏. 过去我跟稽核员交手, 他们都这样干! 给你参考! --

※ 发信站: 批踢踢实业坊(ptt.cc) ◆ From: 118.165.13.226