你的问题要分两方面来看 从管理的角度来看, 系统本身不重要, 重要的是系统所要达成的功能与历史资料 所以用什麽厂牌什麽方案都是可以的, 只要做的到就好 从IT部门来看, 系统复原等於重建一套跟现行系统一模一样的东西出来 所以当初花了上千万, 测试花1/10的造价很正常 只是另外建一套一模一样的系统, 并不是你的目的吧 证期局的规定是要 公司在面临意外灾害的时候能有系统复原的能力 所以要先有系统复原的程序 然後才会有每年的定期演练 从IVIVI的说法看来 你们公司根本没有复原的程序 更别说什麽演练(找鼎新来建置一套可不是复原程序) 以稽核的角度来切入的话, 要先问 公司的内部系统包括tiptop, 会在什麽情况下无法使用 硬体损坏, 人为操作错误, 软体错误 每种损害发生的机率多高, 万一发生时解救手段是什麽 如果IT主管只会一句找厂商的话, 你可以记一个严重缺失给他 因为这样的IT没有存在的必要 有错误的解救手段之後再将这些复原做法纪录成文字 写成复原程序, 每年的复原演练则是为了证明这各复原程序是有效的 所以还需要加上验证的手段, 确认复原之後的系统是可用 技术上怎麽解决就是IT要想办法的, 不是稽核单位的责任 但是稽核的工作就是要IT在事先要拟出应变计画出来 ※ 引述《albertyk ( STD:Monica / HC:Christ)》之铭言： : ※ 引述《IVIVI (越来越大支)》之铭言： : : 我是个内部稽核人员 : : 根据证期局上市柜公司的规定"系统复原及测试演练"每年最少要做一次 : : 但是我们公司资讯部竟然回覆说不可能 : : 他说因为我们公司用鼎新的TipTop ERP : : 测试系统复原时还要跟鼎新借机器跟序号 : : 一次的费用将近十万 : : 所以不可能每年都做 : : 但是我总觉得这个复原测试真得没办法自己做吗？ : : 我想请问各位强者大大倒底是我们公司IT无能？还是他讲的是事实？ : (1) 其实主要要备份的部分是 "资料" 与 "设定" : 因为像TipTop是软体公司提供的, 并非贵公司自行开发的, : 所以一旦发生意外, 只要是钱能解决的, 都是小事. : 找鼎新就行, 软体硬体都是花钱就能解决. : 惟独 "资料" 与 "设定" 是钱也买不到的... : (2) 很多资讯部门, 的确在 "资料库" 上的备份做到了. : 可是设定部份, 常常忽略. 这有点像是: 你的单机 Windows Xp : 虽然说可以重灌, 可是其实你还是有很多个人化的设定 : 以及一些你常用的配置, 或是应用程式. 因此, 不是只有把你 : 的 "个人资料" 备份就好, 你也必须把设定备份. : 至少, 在设定上, 要有文件, 清楚记载还原程序. : 一个单机尚且如此,系统及多台机器的设定细节更要注意! : (3) 系统测试还原演练, 就是要把平日 "资料" 及 "设定" : 依照 "还原程序" 实作一遍. 以证明 "日常备份作业" 是有效的. : 你只要抓住这个原则就行!!! : 是要证明 "还原程序" 有效! 不然平日每天作的备份作业是 : 作假的啊? 还是做安心的? 不是只有 "资料" 活着就好了, 还有 : 还原的设定及实作程序也要操练啊! : (4) 注意: 是有时效性的! 一个上市上柜公司, 万一遇到意外 : 系统瘫痪, 当需要重建的时候, 是必须说出 "时间", 面对社会 : 大众压力的! : 你翻阅资讯部门的 "还原计画" , 上面若是写着 24小时就是24小时! : 上面要是写着 36 小时就必须是36小时以内. 或是200小时! : 他写xxx小时内, 这xxx小时就是你稽核的重点!!! : 不是万一出事, 你只能对社会大众说: 放心, 资料都还在, 本公司 : 有备份! 抢修中, 时间未定, 我们尽快! : 你觉得买你公司股票的股东能接受这种说辞? : 更不要说证期会了! 要抓狂了! : 系统还原测试, 就是演习! 请资讯部门 "证明" 他们所拟定的 : 还原计画, 能在他们文件上所载明的时程内完成! : (5) 你的稽核重点不在听他们 "解释" 他们是如何专业的为安全而 : 努力 ! 你的重点在: OK , please just prove it now !!! : Prove what ? : What ur document is !!! : ------------------------ : 你可能身为一个稽核人员, 没有对抗过 "主管" 的经验. : 不用怕. 更不必被资讯主管那些说辞给混淆! 有时候是他们懒, : 有时候是有些主管喜欢故意试探菜鸟, 看看你是不是随便被唬唬 : 就倒了. : ------------------------ : 以下是你必须采取的行动: : 你说你依照规定, 必须要做到 "系统还原演练" , 以证明在 xxx小时内 : 系统还原程序文件上的一切是有效的. 这是规定. : 预算多少钱你别管, 把球丢给资讯主管就是, 再多预算都要答覆! : 没有什麽 "不可能" 那种鬼话, 可不可能不是他决定的, 是总裁决定的. : 你正式行文, 就有凭据. 他要是不配合, 到时候出包他负责! : 等你拿到他的答覆, 你就依照他上面的预算及计画, : 签呈上去, 请上面批. 我再强调一遍, 要花多少钱不是你决定的, : 预算是资讯主管给的, 需求是证期会规定的, 你就是执行监督!!! : 要是案子过不了, 出在钱的问题, 那还是回到资讯部门的责任, 跟 : 厂商议价杀价仍然不是你的责任. : 要是案子过不了, 是出在总裁认为没必要, 那你还是得依照风险 : 管理的专业, 再度签呈上去说明! 说明! 说明! : 请记住, 这些签呈公文往来, 就是你的凭据. 你做了, 不管结果如何 : 你都没有失职, 你要是没做, 你就失职. : ------------------------ : 有些年轻小姑娘看起来温和善良, 稽核起来凶悍得让人敬畏. : 过去我跟稽核员交手, 他们都这样干! 给你参考! -- 天有情 天亦老 春有意 春须瘦 云无心 云也生愁 http://parus.idv.tw/ --

※ 发信站: 批踢踢实业坊(ptt.cc) ◆ From: 220.133.51.165