【畢業(yè)學(xué)位論文】(Word原稿)企業(yè)內(nèi)網(wǎng)路內(nèi)部控制與稽核功能架構(gòu)及現(xiàn)況分析-會(huì)計(jì)學(xué)

國立臺灣大學(xué)會(huì)計(jì)學(xué)研究所碩士論文 指導(dǎo)教授：吳琮璠 博士 企業(yè)內(nèi)網(wǎng)路內(nèi)部控制與稽核 功能架構(gòu)及現(xiàn)況分析 研究生：潘曉玫 撰 中華民國八十七年六月 企業(yè)內(nèi)網(wǎng)路內(nèi)部控制與稽核 功能架構(gòu)及現(xiàn)況分析 本論文系提交國立臺灣大學(xué) 會(huì)計(jì)學(xué)研究所做為完成碩士 學(xué)位所需條件之一部份 研究生：潘曉玫 撰 中華民國八十七年六月 授權(quán)書 (博碩士論文 ) 本授權(quán)書所授權(quán)之論文為本人在 國立臺灣大學(xué) 會(huì)計(jì)學(xué)系 _ 組 86 學(xué)年度第 2 學(xué)期所撰碩士學(xué)位論文 。 論文名稱：企業(yè)內(nèi)網(wǎng)路內(nèi)部控制與稽核功能架構(gòu)及現(xiàn)況分析 同意 不同意 本人具有著作財(cái)產(chǎn)權(quán)之論文提要，授予國家圖書館、本人畢業(yè)學(xué)校及行政院國家科學(xué)委員會(huì)科學(xué)技術(shù)資料中心，得重制成電子資料檔后收錄于該單位之 網(wǎng)路，并與臺灣學(xué)術(shù)網(wǎng)路及科技網(wǎng)路連線，得不限地域時(shí)間與次數(shù)，以光碟或紙本重制發(fā)行。 同 意 不同意 本人具有著作財(cái)產(chǎn)權(quán)之論文全文資料，授予行政院國家科學(xué)委員會(huì)科學(xué)技術(shù)資料中心，得不限地域時(shí)間與次數(shù)以微縮、光碟重制后發(fā)行，并得享該中心 微縮小組制作之研究報(bào)告、獎(jiǎng)勵(lì)代表作、博碩士論文三檔資料等值新臺幣伍佰元之服務(wù)。本論文因涉及專利等智慧財(cái)產(chǎn)權(quán)之申請，請將本論文全文延后至民國 _ 年 _ 月后再公開。 同意 不同意 本 人具有著作財(cái)產(chǎn)權(quán)之論文全文資料，授予教育部指定送繳之圖書館及本人畢業(yè)學(xué)校圖書館，為學(xué)術(shù)研究之目的以各種方法重制，或?yàn)樯鲜瞿康脑偈跈?quán) 他人以各種方法重制，不限時(shí)間與地域，惟每人以一份為限。 上述授權(quán)內(nèi)容均無須訂立讓與及授權(quán)契約書。依本授權(quán)之發(fā)行權(quán)為非專屬性發(fā)行權(quán)利。依本授權(quán)所為之收錄、重制、發(fā)行及學(xué)術(shù)研發(fā)利用均為無償。 指導(dǎo)教授姓名 :吳琮璠 博士 研究生簽名 : _ 學(xué)號 : 親筆正楷 ) 日期 : 民國 _ 年 _ 月 _ 日 注 : 1. 上述同意與不同意之欄位若未勾選，本人同意視同授權(quán)。 2. 授權(quán)第二項(xiàng)者，請?jiān)俳徽撐囊槐居璩修k人員。 3. 本授權(quán)書已于民國 85 年 4 月 10 日送請著委會(huì)修正定稿。 簽署人須知 何單位以網(wǎng)路、光碟與微縮等方式整合國內(nèi)學(xué)術(shù)資料，均須先得到著作財(cái)產(chǎn)權(quán)人授權(quán)，請分別在三種利用方式的同意欄內(nèi)鉤選并填妥各項(xiàng)資料。 屬授權(quán)是指被授權(quán)人所取得的權(quán)利并非獨(dú)占性的使用權(quán)，授權(quán)人尚可將相同的權(quán)利重復(fù)授權(quán)給他人使用；反之即為專屬授權(quán)，如果您已簽署專屬授權(quán)書予其他法人或自然人，請勿簽署本授權(quán)書。 在美國授權(quán)博碩士論文予公司 (博碩士論文全文資料發(fā)行公司 )制作發(fā)行，須交付美金 45 元的出版費(fèi)，銷售年逾七件以上時(shí)得享收入 10%的權(quán)利金約美金 20 元；在國內(nèi)本計(jì)畫之經(jīng)費(fèi)全數(shù)由政府支應(yīng)，收入亦應(yīng)歸國庫，為答謝您的支持，科資中心特為您提供新臺幣 500 元的等值資料服務(wù) (以研究報(bào)告、獎(jiǎng)勵(lì)代表作、博碩士論文三檔為 限 )，請徑洽本案聯(lián)絡(luò)人，地址電話詳如第項(xiàng)。義務(wù)方面唯一要注意是，著作人日后不可以主張終止本授權(quán)書，但您仍可以授權(quán)其他自然人或法人上述的行為。 在個(gè)人方面，您的論文將可永久保存 (微縮技術(shù)在理論上可保存八百年，實(shí)證已逾百年 ) ，也因?yàn)槟氖跈?quán)，使得后進(jìn)得以透過電腦網(wǎng)路與光碟多管道檢索，您的論文將因而被充分利用。在國家總體利益方面，紙本容易因影印而造成裝訂上的傷害，圖書館中孤本的公開陳列與外借也有破損之虞，唯有賴政府全面性的整合，借助科技設(shè)備才能一舉完成保 存與利用的全方位效益，回憶您過去尋找資料之不便經(jīng)驗(yàn)，學(xué)弟與學(xué)妺確實(shí)須要您的論文與授權(quán)書。 (02)7377746 江守田、王淑貞 地址 : 臺北市和平東路二段 106 號 17 樓 1702 室 究生姓名 : _ 聯(lián)絡(luò)電話 : _ 地址 : _ 謝 詞 謝謝指導(dǎo)教授吳琮璠老師的指引，讓我踏進(jìn)原本并不熟悉的資管領(lǐng)域；謝謝口試委員蔡揚(yáng)宗老師、陳錦烽老師、黃思明老師倉促之中依然細(xì)心閱讀拙作，提出相當(dāng)寶貴的建議。 謝謝親愛的同學(xué)與朋友，文欣、文怡、憶白、錦芬、重尹、康年、識安、佩琪、宜良、 立，還有其他許多在論文寫作期間多次相助，殷殷垂詢的人。 謝謝親愛的家人和英勇守門的小狗，尤其是媽媽在病中對我的論文進(jìn)度比對自己的病情更關(guān)心：爸爸一肩挑起照顧媽媽的重責(zé)，吩咐我好好完 成論文就是；妹妹和小狗是我的開心果。我真高興有這樣的家。 謝謝親愛的天父一路與我同行。 論文摘要 企業(yè)內(nèi)網(wǎng)路（ 1995 年以后新興出現(xiàn)的企業(yè)資訊系統(tǒng)型態(tài)，利用網(wǎng)際網(wǎng)路的標(biāo)準(zhǔn)協(xié)定，使企業(yè)內(nèi)的溝通、合作與應(yīng)用都能簡便地在 進(jìn)行， 場帶給軟硬體廠商的商機(jī)比網(wǎng)際網(wǎng)路更為廣大。承接網(wǎng)際網(wǎng)路架構(gòu)的 樣有著網(wǎng)際網(wǎng)路的顧慮：安全、內(nèi)部控制與稽核問題。 本研究首先說明 優(yōu)點(diǎn)、顧慮、定義、架構(gòu)；其次參考文獻(xiàn)，建立部 控制與稽核功能分析性架構(gòu)，建議 具備的內(nèi)部控制與稽核功能應(yīng)有認(rèn)證與存取控制、保密、資訊完整性、收發(fā)不可否認(rèn)、審計(jì)軌跡這五項(xiàng)，并針對各項(xiàng)功能建立相關(guān)之評量指標(biāo)；最后搜集 七家軟體大廠提供的 裝軟體并售方案，以此評量架構(gòu)做一分析，以了解目前市場上 裝軟體之內(nèi)部控制與稽核功能。 除上述技術(shù)層面之分析外，本研究并比較、對照電腦安全與審計(jì)學(xué)的觀點(diǎn)，參考臺灣證交所申 請上市公司自行評估及會(huì)計(jì)師審查內(nèi)部控制制度作業(yè)要點(diǎn)，針對五項(xiàng)內(nèi)部控制組成要素控制環(huán)境、風(fēng)險(xiǎn)評估、控制活動(dòng)、資訊及溝通、監(jiān)督，作成表格，陳述除技術(shù)方面的注意事項(xiàng)以外， 內(nèi)部控制與稽核尚需考量哪些觀點(diǎn)。 of u, is a of 995. It It in of in is a of of in of is to 論文目錄 第一章 緒論 1 第一節(jié) 研究緣起 1 第二節(jié) 研究目的 7 第三節(jié) 研究架構(gòu) 8 第 二 章 部 控 制 與 稽 核 功 能 分 析 性 架構(gòu) 一節(jié) 義 .二節(jié) 構(gòu) .應(yīng)用方面 .基礎(chǔ)設(shè)施方面 .三節(jié) 具備的內(nèi)部控制與稽核功能 . . 達(dá)成 .審計(jì)學(xué)與電腦安全之內(nèi)部控制觀念比較 .三章 資料搜集與分析 .一節(jié) 資料搜集 .二節(jié) 內(nèi)容分析方法 .三節(jié) 操作定義 .四節(jié) 資料分析與結(jié)果 . 各公司產(chǎn)品略述 . 資料分析與結(jié)果 .四章 結(jié)論與建議 一節(jié) 結(jié)果 二節(jié) 建議 考文獻(xiàn) 目錄 圖 1本篇論文之架構(gòu) 2構(gòu) 12 圖 2構(gòu)：應(yīng) 用方面，依功能區(qū)分 2 . 2構(gòu)：基礎(chǔ)設(shè)施方面 . 2加 /解密過程 40 圖 2電子簽章與簽章驗(yàn)證方法 3由公司網(wǎng)頁取得資料以 .目錄 表 1優(yōu)點(diǎn) . 1資訊系統(tǒng)稽核師的顧慮 . 2 . 10 表 2礎(chǔ)設(shè)施方面 .文獻(xiàn)探討匯總： 部控制與稽核功能需求 34 表 2內(nèi)部控制與稽核需求 39 表 2內(nèi)部控制與稽核功能評量架構(gòu) 49 表 2審計(jì)學(xué)內(nèi)部控制觀念與 54 表 2部控制與稽核架構(gòu)：電腦安全 2部控制組成要素評估表 58 表 3母體、樣本與資料來源 3研究樣本 3認(rèn)證功能的編碼架構(gòu) 3認(rèn)證功能之歸類指標(biāo) 3 . 91 表 3認(rèn)證與存取控制功能之歸類結(jié)果 認(rèn)證與存取控制功能之匯總結(jié)果 . 3保密功能之歸類結(jié)果 保密功能之匯總結(jié)果 . 3完整性之歸類結(jié)果 . 完整性功能之匯總結(jié)果 102 表 3不可否認(rèn)功能之歸類結(jié)果 . 不可否認(rèn)功能之匯總結(jié)果 105 表 3審計(jì)軌跡功能之歸類結(jié)果 . 107 表 審計(jì)軌跡功能 之匯總結(jié)果 . 3 各 裝產(chǎn)品內(nèi)部控制與稽核功能之匯總整理表 一章 緒論 第一節(jié) 研究緣起 網(wǎng)際網(wǎng)路的架構(gòu)起源于 1964 年， 司為了回應(yīng)美國國防部冷戰(zhàn)需求所提的軍事提案。隨著時(shí)代演進(jìn)，網(wǎng)際網(wǎng)路最重要的功能可分別為兩類，一是資訊與資源分享，二是通訊。在資訊與資源共享方面，包括 在通訊方面， 包括電子郵件、 批次通訊，以及聲音與影像的即時(shí)通訊 33。 當(dāng)伊利諾大學(xué)的高速電腦中心（ 表了 地位確立，各大公司的系統(tǒng)管理者開始在網(wǎng)際網(wǎng)路上建置自己的網(wǎng)站 78。 1995 年初，企業(yè)內(nèi)網(wǎng)路（ 初步概念成型：我們?yōu)槭裁床话颜九_建在公司內(nèi)部傳遞文件、分享資訊呢？ 個(gè)字也開始出現(xiàn) 65?，F(xiàn)在， 應(yīng)用范圍已不只 臺，而是利用網(wǎng)際網(wǎng)路多種協(xié)定與工具，在企業(yè)內(nèi)部環(huán)境中分享資訊、溝通聯(lián)絡(luò)、完成工作。 今日企業(yè)面臨的許多問題，如產(chǎn)品生命周期降低、成本壓力增加、對品質(zhì)和服務(wù)的要求增加、適應(yīng)市場急遽改變、全球化、新企業(yè)經(jīng)營型態(tài)的出現(xiàn)，都是傳統(tǒng)主要由大型主機(jī)構(gòu)成的資訊系統(tǒng)難以勝任的 6742，因?yàn)閭鹘y(tǒng)資訊系統(tǒng)有著以下缺失：不相容的專屬檔案格式、昂貴又較難使用的查詢工具、需要較多的印刷文件、資訊更新較為困難 73。 過去專屬的系統(tǒng)建置昂貴，向外界連結(jié)時(shí)更會(huì)遇到一方或雙方均需重新設(shè)計(jì)、組織其現(xiàn)有格式的困擾，如電子資料交換（ 統(tǒng)，建置時(shí)首先便需將往來雙方的電子文件標(biāo)準(zhǔn)化。雖然系統(tǒng)較為安全，但卻限制了企業(yè)進(jìn)行電子交易的對象，也限制了企業(yè)經(jīng)營的方式 40。在此情形下，始興起， 查發(fā)現(xiàn)截至 1996 年 7 月止，財(cái)星雜志所列一千大公司有三分之二均建有 6。 專家學(xué)者對 有定義，但定義均有相同之處，便是將網(wǎng)際網(wǎng)路上現(xiàn)有的技術(shù)應(yīng)用到企業(yè)內(nèi)部資訊系統(tǒng)中，其目的在藉由網(wǎng)際網(wǎng)路的開放性及建置彈性，增進(jìn)企業(yè)整體效率 6。 至于網(wǎng)際網(wǎng)路技術(shù)為何 如此吸引企業(yè)？主要是因?yàn)樗谕ㄓ?、資源共享及開放系統(tǒng)的功能上無人可出其右，正為常處于變革環(huán)境下的現(xiàn)代企業(yè)所需；此外，網(wǎng)際網(wǎng)路發(fā)展已有數(shù)十年，技術(shù)成熟，標(biāo)準(zhǔn)國際化，非常中立、開放及相容，可解決平臺間難以溝通的困擾；它主由軍方及學(xué)術(shù)界發(fā)展而成，運(yùn)用其技術(shù)無須支付可觀代價(jià)，只需在原有 構(gòu)上增添整合，并且使用方便，支援多媒體及安全交易需求，對企業(yè)來說，正是再好不過的選擇?；谏鲜鰩c(diǎn)理由， 3867 現(xiàn)在，有四分之三的網(wǎng)站伺服器（ 在 使用 65。網(wǎng)景公司的 皮書預(yù)測在 2000 年時(shí)， 場為 2,080 億美元，而單就伺服器來說， 服器市場為四百萬美元，是網(wǎng)際網(wǎng)路的十倍；網(wǎng)景公司并預(yù)測屆時(shí) 使用量會(huì)是網(wǎng)際網(wǎng)路的十倍 38。 則預(yù)測在 2000 年時(shí)， 服器市場為 460 萬美元，而網(wǎng)際網(wǎng)路為 44 萬美元56。 測 1999 年 場會(huì)是網(wǎng)際網(wǎng)路市場 的兩倍 47。預(yù)測數(shù)字雖有出入，但各方對 來展望的樂觀卻是一致。 究竟 區(qū)域網(wǎng)路（ 廣域網(wǎng)路（ 何異同？為何 此受人注意，似乎取代了 把網(wǎng)路上的訊息傳遞比擬為汽車在道路上駕駛，以往的網(wǎng)路通訊均為專線傳遞，亦即若要開車，就自己建一條私有道路。這樣的好處是速度快，車子較不容易出意外；缺點(diǎn)是私有道路的建置與租用價(jià)格較高。私有道路型的網(wǎng)路通訊，在同 一個(gè)辦公室或同一棟樓的小區(qū)域，稱為區(qū)域網(wǎng)路；當(dāng)公司在臺北高雄都有分公司需連接網(wǎng)路，則稱為廣域網(wǎng)路。 起后，因?yàn)槭褂谜叽蠓黾?，市場?guī)模夠大，開始有網(wǎng)路服務(wù)提供業(yè)者（ 以興建公用道路，讓不同私人與組織間的車輛在公用道路上通行，過去分公司要在臺北與高雄間拉專線的，現(xiàn)在只要使用 公用道路就可以了，這種利用公用線路傳遞訊息的組織網(wǎng)路，稱為個(gè)或以上的 相連結(jié)，稱為 用 公用道路，自然要守 規(guī)矩，因此 援并利用 協(xié)定。利用公用道路傳輸訊息的優(yōu)點(diǎn)是價(jià)錢便宜，缺點(diǎn)是會(huì)塞車、出車禍（訊息傳送失誤）、遭搶劫（訊息被攔截）等。 優(yōu)點(diǎn)，有許多文獻(xiàn)均加以探討 31733384048575866 67，歸納整合之后，可知專家學(xué)者主要是由兩個(gè)方向加以探討，而此二方向亦息息相關(guān)： 1. 系統(tǒng)特色方面 (1) 整合現(xiàn)有系統(tǒng)，建置迅速，彈性擴(kuò)充 ：并非要將現(xiàn)有系統(tǒng)、資 料庫、應(yīng)用軟體等重新?lián)Q過，而是整合、延伸現(xiàn)有系統(tǒng)，以杠桿作用只在原系統(tǒng)上增添少許裝置，便可使整體效能大幅增加。過去在 服器、大型主機(jī)、資料庫、應(yīng)用軟體及網(wǎng)路上的投資均為設(shè)計(jì) 的基礎(chǔ)，并可隨時(shí)加以擴(kuò)充。 (2) 跨平臺使用 ：同一客戶端可使用多種不同的伺服器，如 ，且借著檔案連結(jié)讀取各種檔案形式；位于 C 平臺上瀏覽器均可讀取相同的資訊，不同平臺無須使用不同版本的瀏覽器。 服器在連結(jié)其他應(yīng)用系統(tǒng)上有著非常彈性的介面，例如對資料庫的連 結(jié)。使用者可以不同應(yīng)用軟體在不同平臺上讀取不同的資料來源，如此省下了整合不相容系統(tǒng)的時(shí)間金錢。 (3) 開放，具有標(biāo)準(zhǔn) ：任何照著標(biāo)準(zhǔn)協(xié)定發(fā)展出的軟體均可作為伺服器或?yàn)g覽器，支援標(biāo)準(zhǔn)協(xié)定的各種產(chǎn)品均可同時(shí)使用，因此企業(yè)有多重選擇，可使用任一家廠商的商品，而非用了某一家廠商的產(chǎn)品后便受限于該廠商。 (4) 容易使用，多媒體支援 ：只要在文字或圖像上按一下滑鼠按鍵，就可以使用 超本文連結(jié)功能，輕易地得到檔案；只要加入簡單、價(jià)廉甚或免費(fèi)的支援軟體（ 便可輕易享有多媒體環(huán)境。 2. 組織效 益方面 (1) 成本考量 ：成本考量主要在兩方面，一為降低原有的溝通成本，二為較低的建置成本。在降低成本方面，企業(yè)有許多原本需大量印刷，又容易過時(shí)的資料，如員工手冊、產(chǎn)品價(jià)目表、銷售指南、操作手冊等，在 可透過站臺讓員工搜尋，降低印刷、郵寄、分送、更新等成本。此外， 對于其他系統(tǒng)，建置便宜，符合成本效益。在初始建置時(shí)， 需產(chǎn)品、訓(xùn)練費(fèi)用非常低，根據(jù)網(wǎng)景公司估計(jì)，每位使用者少于一百美元。 對網(wǎng)景公司企業(yè)網(wǎng)路產(chǎn)品的使用者做一調(diào)查，發(fā)現(xiàn) 資報(bào)酬率高達(dá) 1000，成本回收期間短至六到二十周 2，甚有專家表示企業(yè)網(wǎng)路建置的初始成本小到根本無須計(jì)算投資回收率 48。不過亦有反對的說法，認(rèn)為高達(dá)百分之一千的投資報(bào)酬率是只計(jì)算初始成本，忽略了維護(hù)及管理成本，并且，如果在慣于使用之后，使用者要求更快的速度、更多的記憶體空間、更好的應(yīng)用系統(tǒng)、增加的頻寬 等，則需花上更多費(fèi)用，使得投資報(bào)酬率降低 1948。不過，即便加入其它成本的考量，一般仍認(rèn)為 建置成本較低。 51 (2) 輕易且快速、彈性地取得資訊 ：傳統(tǒng)的電腦操作中，若要讀取 某應(yīng)用軟體所編輯出的檔案，一定要使用該軟體方能讀取，將檔案在編輯器或作業(yè)平臺間轉(zhuǎn)換的程序繁復(fù)，因此各平臺間資料難以整合，且使用者需學(xué)習(xí)操作多種介面。 瀏覽器為單一介面， 使用方法相較于傳統(tǒng)系統(tǒng)介面簡易許多。而利用 遠(yuǎn)端簽入功能，員工即擁有時(shí)間彈性，可隨時(shí)在 取得所需資訊，不必受限于上下班時(shí)段。使用電子郵件、電子布告欄可進(jìn)行行政命令的公布、會(huì)議通知等，使得傳遞速度倍增。此外，部門會(huì)簽、各種需在部門間流通的表格單據(jù)，均可透過電子媒介使 流程自動(dòng)化，加快資訊流通的速度。 25 (3) 與網(wǎng)際網(wǎng)路的結(jié)合 ： 過安全防護(hù)措施，可與網(wǎng)際網(wǎng)路緊密連結(jié)。在合作伙伴方面，可透過企業(yè)外網(wǎng)路（ 虛擬私有網(wǎng)路（ 放他們進(jìn)入 某些部分閱讀或存取資料48，此一方法較電子資料交換（ 專屬系統(tǒng)彈性較大，較易建置，且成本較低；在客戶方面，主要的利益來自電子商務(wù)，交易在網(wǎng)際網(wǎng)路上進(jìn)行，相關(guān)資訊亦直接送入 。2328 (4) 管理較易 ：在伺服器上便可集中管理位于各處的系統(tǒng)組成分子，管理人員不用四處奔波。數(shù)位化資料與紙本資料相比，無論在存檔或搜尋上都方便許多。 綜合以上各點(diǎn)，將 優(yōu)點(diǎn)表列如下： 表 1優(yōu)點(diǎn) 系統(tǒng)特色方面 置迅速，彈性擴(kuò)充 有標(biāo)準(zhǔn) 媒體支援 組織效益方面 低原有溝通成本，擁有較低建置成本） 性地取得資訊 資料來源：本研究 雖然 優(yōu)點(diǎn)如此之多，帶給企業(yè)的利益難以計(jì)數(shù)，但相對地，亦有隨之而來的風(fēng)險(xiǎn)。企業(yè)必須在建置 便先予考量，以免未蒙其利先受其害。 技術(shù)源自網(wǎng)際網(wǎng)路，而網(wǎng)際網(wǎng)路主要的精神即為自由開放、資源共享，原非設(shè)計(jì)用以進(jìn)行商業(yè)交易，因此也欠缺保障企業(yè)溝通及交易安全的技術(shù)40，如 P 網(wǎng)路通訊協(xié)定的設(shè)計(jì)便并未考量安全層面 59。企業(yè)以 用網(wǎng)際網(wǎng)路技術(shù)并無大礙，但當(dāng) 用涉及內(nèi)部機(jī)密資訊，便 需謹(jǐn)慎設(shè)計(jì)及維護(hù)安全機(jī)制 35。 在一項(xiàng)針對資訊系統(tǒng)稽核師（ 問卷中，受訪者認(rèn)為安全防護(hù)最為不足的是可對外連結(jié)的網(wǎng)路型系統(tǒng)，其次為不對外連結(jié)的網(wǎng)路系統(tǒng)；在網(wǎng)路系統(tǒng)中最擔(dān)心的是科技進(jìn)步得比內(nèi)部控制技術(shù)快，其次為未經(jīng)授權(quán)的存取，以及資訊完整性（ 足，如下表 41。 表 1資訊系統(tǒng)稽核師的顧慮 安全防護(hù)最不足的資訊系統(tǒng)？ 1. 對外連結(jié)的網(wǎng)路 2. 不對外連結(jié)的網(wǎng)路 網(wǎng)路系統(tǒng)中最讓人擔(dān)心的事？ 1. 科技進(jìn)步得比 內(nèi)部控制技術(shù)快 2. 未經(jīng)授權(quán)的存取 3. 資訊完整性不足 資料來源：根據(jù) 199641整理而得 如何確保透過 取資料的使用者均經(jīng)授權(quán)？如何確保資料庫內(nèi)的資料均正確無誤、未經(jīng)竄改？如何防止外來者入侵 部份牽涉到的內(nèi)部控制及稽核問題，即為本文主要探討方向。 第二節(jié) 研究目的 資訊系統(tǒng)中非常新穎的概念，相關(guān)文獻(xiàn)多數(shù)著重于說明它對組織帶來的利益、應(yīng)如何建置，關(guān)于 部控制與稽核的資料相對為少。即便是內(nèi)部控制與稽核的探討文獻(xiàn)，亦僅就某些安全機(jī)制 加以詳細(xì)說明，并無評比此項(xiàng)機(jī)制在各 品上的使用情形；或就某些 品加以介紹，提及其相關(guān)的內(nèi)部控制與稽核功能，至于此些功能是否便足以確保資訊安全，讀者難以得知。因此本研究的主要目的是： 一、 以安全需求的角度，提出一個(gè) 具備的內(nèi)部控制及稽核功能分析性架構(gòu)，作為企業(yè)或組織建置 之參考。 二、 依據(jù)所提出之架構(gòu)分析目前 關(guān)產(chǎn)品的功能現(xiàn)況。 第三節(jié) 論文架構(gòu) 本論文架構(gòu)，可以圖 1示。 圖 1本篇論文之架構(gòu) 文獻(xiàn)部分 了解 起的背景及優(yōu)點(diǎn)。 了解 定義 、架構(gòu)、功能及評量指標(biāo)。 第一章 緒論 第一節(jié) 研究緣起 第二節(jié) 研究目的 第三節(jié) 研究架構(gòu) 第二章 部控制與稽核功能分析性架構(gòu) 第一節(jié) 義 第二節(jié) 構(gòu) 第三節(jié) 架構(gòu)建立 第三章 資料搜集與分析 第一節(jié) 資料搜集 第二節(jié) 內(nèi)容分析方法 第三節(jié) 操作定義 第四節(jié) 資料分析與結(jié)果 第四章 結(jié)論與建議 第一節(jié) 結(jié)果 第二節(jié) 建議 實(shí)證分析 本論文共分四章，本章第一章說明研究緣起、目的、論文架構(gòu)，以下各章內(nèi)容則分別略述如下： 第二章 控及稽核功能分析性架構(gòu) 本章主要目的是在搜集有關(guān) 義、架構(gòu)及其內(nèi)控與稽核需求的文獻(xiàn)，用以建立 控與稽核功能分析性架構(gòu)，并作為此一架構(gòu)理論及實(shí)務(wù)上的基礎(chǔ)。 第三章 資料搜集與分析 本章主要是針對 控與稽核相關(guān)產(chǎn)品進(jìn)行資料搜集，資料來源包括各個(gè)產(chǎn)品在網(wǎng)際網(wǎng)路上的網(wǎng)站及 料庫，并依第 二章所提之控及稽核功能分析性架構(gòu)，以內(nèi)容分析法進(jìn)行資料的歸類與分析。 第四章 結(jié)論與建議 本章乃針對第三章研究之結(jié)果加以說明，并對使用 組織及提供相關(guān)產(chǎn)品的廠商提出建議。 第二章 控與稽核功能分析性架構(gòu) 在建立 控與稽核功能分析性架構(gòu)前，需先行了解 定義及其架構(gòu)。 第一節(jié) 定義 企業(yè)界或?qū)W術(shù)界都是一個(gè)新興課題，其定義可謂是眾說紛紜，各專家、學(xué)者、廠商均有不同說法，下表列出相關(guān)文獻(xiàn)對 定義 251722 3348576467686974。 表 2義之內(nèi)容匯整 來源 義 王文泰， 19962 一個(gè)使用 術(shù)與管理方式，并運(yùn)用在企業(yè)內(nèi)部的網(wǎng)路系統(tǒng)。 王瑞之， 19965 將網(wǎng)際網(wǎng)路技術(shù)運(yùn)用到企業(yè)內(nèi)部，以防火墻與網(wǎng)際網(wǎng)路外部區(qū)隔者稱為 張文鍾， 199717 利用網(wǎng)際網(wǎng)路的標(biāo)準(zhǔn)（ P）、技術(shù)及使用簡便、功能強(qiáng)大的瀏覽器當(dāng)使用者 共通介面之系統(tǒng)，來發(fā)展企業(yè)內(nèi)部之資訊網(wǎng)路系統(tǒng)，即所謂 程嘉君， 199722 般的說法是把 關(guān)技術(shù)（ P、 ）所建構(gòu)的 構(gòu)，用在企業(yè)內(nèi)部相關(guān)事務(wù)的處理上。 S. L. , 1997 68 組織內(nèi)電腦與網(wǎng)路的集合，透過它，組織的員工可以分享電腦的服務(wù)與資源，并且可以做資訊的交流。使用共通的協(xié)定與工具，即使不同軟硬體平臺的電腦也可連接。 S. L. , 1997 69 一種溝通用的基礎(chǔ)建設(shè)，它使用 溝通標(biāo)準(zhǔn)（ P），以及 內(nèi)容標(biāo)準(zhǔn)（ D & J , 199733 是把 相關(guān)技術(shù)應(yīng)用在辦公室的環(huán)境里面。 1998 48 在組織內(nèi)使用 術(shù)，比傳統(tǒng)資料存取或傳輸方式更有效地達(dá)成目標(biāo)。 1998 48 一個(gè)標(biāo)準(zhǔn)的廣域 網(wǎng)路（ 個(gè)詞是用來描述它在組織的廣域網(wǎng)路上采用為 展的軟體。 1997 64 是使用 技術(shù)來處理企業(yè)的日常業(yè)務(wù)。它是一種使用 路與計(jì)算工具的環(huán)境，可能不會(huì)與 個(gè)環(huán)境完全是屬于企業(yè)所有的。 199657 一個(gè)開放的 P 網(wǎng)路，在公司的區(qū)域網(wǎng)路（ 構(gòu)上使用 術(shù) ，以防火墻作為安全區(qū)隔。 199767 用來描述在組織內(nèi)而非對外采用 術(shù)的詞匯。 199774 任何支援 術(shù)的內(nèi)部網(wǎng)路（ 此些技術(shù)特別是指 也包含 其他項(xiàng)目。 資料來源：本研究 由上表可見， 定義各有不同，茲將其匯總整理，并定義如下： 位于企業(yè)內(nèi)的私有網(wǎng)路型態(tài)，它可以是區(qū)域網(wǎng)路、廣域網(wǎng)路或兩者的混 和，應(yīng)用并支援 術(shù)、協(xié)定及相關(guān)產(chǎn)品。 于企業(yè)使用的目的而在企業(yè)內(nèi)部運(yùn)作，支援組織內(nèi)各種形式的應(yīng)用，它可處理企業(yè)的日常業(yè)務(wù)，并用最少的成本與時(shí)間，將組織中大量的資訊傳遞給組織的成員，比傳統(tǒng)資料存取或傳輸方式更能有效地達(dá)成目標(biāo)。 以獨(dú)立于 是在安全控管下與 連。 構(gòu) 應(yīng)用方面 依功能區(qū)分 訊息傳遞 應(yīng)用存取 網(wǎng)路出版 管理 依企業(yè)流程區(qū)分 產(chǎn)品研發(fā) 產(chǎn)品制造 人力資源 財(cái)務(wù)、會(huì)計(jì) 行銷客服 運(yùn)輸 對外合作 基礎(chǔ)設(shè)施方面 硬體架構(gòu) 系統(tǒng)軟體 網(wǎng)站伺服器 郵件伺服器 目錄伺服器 憑證伺服器 資料庫伺服器 防火墻 應(yīng)用介面發(fā)展工 具 應(yīng)用軟體 瀏覽器 輔助應(yīng)用程式 企業(yè)應(yīng)用程式 圖 2構(gòu) 資料來源：本研究 第二節(jié) 構(gòu) 構(gòu)如圖 2分為兩個(gè)方向探討，一為應(yīng)用 方面（ 架構(gòu)，敘述 組織中可擔(dān)任哪些工作；二為基礎(chǔ)設(shè)施（ 架構(gòu)，研究建置 需的軟硬體。在此擬先于 對 組織中各層面的應(yīng)用有所了解后，再于 進(jìn)行基礎(chǔ)設(shè)施的探討，如此對 應(yīng)用方面 應(yīng)用范圍因組織而異，最小可以只是一個(gè)規(guī)模不大的組織內(nèi)網(wǎng)站（ 定期或不定期公布訊息，提供簡單的員工須知檢索服務(wù)；最大可以包含整 個(gè)公司的所有資訊流程，包括業(yè)務(wù)、財(cái)會(huì)、人事等資訊系統(tǒng)應(yīng)用。探討用架構(gòu)的文獻(xiàn)繁多 3121718222733343536384048 525358606167687475，大致上可分為兩類：其一以該應(yīng)用屬于哪一種功能（如出版、管理、存取應(yīng)用 ）為區(qū)分，其二以該應(yīng)用屬于企業(yè)流程的哪一部份（如研發(fā)、制造、客戶服務(wù) ）為區(qū)分。 壹、 依功能區(qū)分 在以功能為區(qū)分的文獻(xiàn)中，閱讀后發(fā)現(xiàn)以 出的完整企業(yè)解 答（ 60涵蓋最廣且分類清晰，便依其提出之架構(gòu)，參考其他文獻(xiàn)修改后說明如下。 以杠桿原理善用 把系統(tǒng)改變?yōu)榫呱a(chǎn)力， 且可延伸至客 現(xiàn)有投資及既存 符合成本效益，并擁有統(tǒng) 戶及合作對象 資訊， 一介面的網(wǎng)路， 的網(wǎng)站。 圖 2構(gòu)：應(yīng)用方面，依功能區(qū)分 資料來源： 0，修改而得 現(xiàn)有電子郵件系統(tǒng) 訊息傳遞電子郵件、線上討論系統(tǒng)、線上排程及會(huì)議系統(tǒng)彼此合作。 現(xiàn)有 料庫及企業(yè)應(yīng)用系統(tǒng) 應(yīng)用存取 一的存取介面，用以讀、寫公司資 料。 其他文件種類 網(wǎng)路出版 站上寫作、出版及分享文件資料。 現(xiàn)有硬體及網(wǎng)路 管理 中管理客戶端、安全問題、目錄服務(wù)及網(wǎng)路流量。 如圖 2提出的應(yīng)用架構(gòu)，把 應(yīng)用依功能分為四類：一、訊息傳遞（ 二、應(yīng)用存?。?三、網(wǎng)路出版（ 四、管理（ 其他文獻(xiàn)所提到的各種針對功能的分類均可歸于其中 48586774。以 下便針對這四類功能分別加以說明。 一、訊息傳遞（ 以電子郵件、線上問卷調(diào)查、討論系統(tǒng)、聊天室、線上排程及電子視訊會(huì)議彼此溝通合作。過去互動(dòng)式的溝通合作方式只能透過群組軟體進(jìn)行，但群組軟體乃專屬系統(tǒng)，建置較為昂貴，設(shè)計(jì)理念與 開放性不相同，乃是使用一專屬資料庫架構(gòu)，在其中復(fù)制資料，并不提供對遠(yuǎn)端資料庫的快速存取 4864。單就電子郵件而言，以往公司內(nèi)很可能亦有專屬環(huán)境的電子郵件系統(tǒng)如 在引進(jìn) 后，各專屬系統(tǒng)可以整合，并透過編譯軟體支 援 聲音影像的使用，簡單的電子郵件功能一下就豐富了起來。 應(yīng)用方式例如，一名業(yè)務(wù)員在線上討論團(tuán)體中得知某位客戶的近況后，在目錄中查詢該客戶的電子郵件地址，然后發(fā)一封電子郵件給他。 二、應(yīng)用存?。?結(jié)合現(xiàn)有的資料庫（ 資料倉庫（ 企業(yè)應(yīng)用系統(tǒng)，以統(tǒng)一的存取介面讀、寫公司資料。新的應(yīng)用系統(tǒng)可用 成，在任何硬體平臺、客戶端環(huán)境和伺服器作業(yè)系統(tǒng)上均可使用，應(yīng)用系統(tǒng)的存取限制可建置在 程中。例如，辦公文具訂購表格可放在 ，由經(jīng)授權(quán)的員工自行填寫，連接到采購部門的資料庫中；又如請求辦公室器具維修的表單亦可放在 ，直接傳到總務(wù)部門電腦上。 傳統(tǒng)應(yīng)用系統(tǒng)各有不同介面，每使用一種應(yīng)用便需學(xué)習(xí)一種介面，否則無法讀取資料。透過 覽器的技術(shù)，使用者只需學(xué)習(xí)一種介面便可讀取存放在不同應(yīng)用系統(tǒng)中的各種資料，并且瀏覽器的圖形介面比起其他任一種介面都容易學(xué)習(xí)，容易理解。至于如何以單一介面讀取不同資料庫系統(tǒng)的資訊？是透過程式撰寫者加在伺服器上的應(yīng)用程 式取得，應(yīng)用程式可以由公司自行開發(fā)、合作開發(fā)，或向軟體廠商訂購。 三、網(wǎng)路出版（ 即在企業(yè)內(nèi)部網(wǎng)站上寫作、出版及分享文件資料，任何有權(quán)存取資料的人均可以簡單介面，快速取得各種格式的資料。這是 早開始也是最為廣泛的應(yīng)用，最常放在網(wǎng)站上的包括公司產(chǎn)品價(jià)目表、常問問題集（ 人事部門查詢手冊、員工名錄、公司規(guī)章等，節(jié)省了大量印刷費(fèi)用及詢問時(shí)間。更深一點(diǎn)的應(yīng)用例如，產(chǎn)品部門可以很快地把最新產(chǎn)品資訊放在內(nèi) 部網(wǎng)站上，并附加影像教學(xué)。 使用超文連結(jié)、多媒體支援、搜尋引擎及互動(dòng)模式，可讓員工取得資料更加快速方便，利用新興的推動(dòng)科技（ 亦可讓管理者主動(dòng)把員工所需資訊傳到員工介面上，以免員工在搜尋時(shí)有所遺漏。此部份需要網(wǎng)站管理軟體加以整合，亦需要搜尋引擎軟體幫助使用者找到資料。網(wǎng)站管理軟體種類繁多，如 是；搜尋引擎軟體選擇亦不少，在 64。 由于網(wǎng)站標(biāo)準(zhǔn)語言是使用 式，把試算 表、 其他文書處理軟體產(chǎn)生的檔案放在網(wǎng)站上，需經(jīng)過轉(zhuǎn)檔動(dòng)作，或者需在客戶端安裝輔助程式（ 如以 讀 ，或以 螢?zāi)簧嫌^看教學(xué)光碟 33。由于 成產(chǎn)業(yè)標(biāo)準(zhǔn)，廠商有許多轉(zhuǎn)檔工具可用，如 9、 748。 四、管理（ 結(jié)合現(xiàn)有硬體及網(wǎng)路，集中管理客戶端、安全問題、目錄服務(wù)及網(wǎng)路流量等。管理又可細(xì)分為四項(xiàng)： 58。這四項(xiàng)息息相關(guān)，使得 夠順利提供上述訊息傳遞、應(yīng)用存取、出版的功能，沒有任何找不到資訊、安全受威脅或網(wǎng)路阻塞的問題。 目錄服務(wù)追蹤及管理關(guān)于人和資源的資訊，包括存取控制、伺服器 以往，目錄屬于專屬系統(tǒng)