Re: [請益] 系統復原及測試演練

看板Soft_Job (軟體人)作者parus (被當的法師學徒)時間17年前 (2008/03/25 21:56)推噓0(0推 0噓 0→)

留言0則, 0人參與討論串4/4 (看更多)

你的問題要分兩方面來看從管理的角度來看, 系統本身不重要, 重要的是系統所要達成的功能與歷史資料所以用什麼廠牌什麼方案都是可以的, 只要做的到就好從IT部門來看, 系統復原等於重建一套跟現行系統一模一樣的東西出來所以當初花了上千萬, 測試花1/10的造價很正常只是另外建一套一模一樣的系統, 並不是你的目的吧證期局的規定是要公司在面臨意外災害的時候能有系統復原的能力所以要先有系統復原的程序然後才會有每年的定期演練從IVIVI的說法看來你們公司根本沒有復原的程序更別說什麼演練(找鼎新來建置一套可不是復原程序) 以稽核的角度來切入的話, 要先問公司的內部系統包括tiptop, 會在什麼情況下無法使用硬體損壞, 人為操作錯誤, 軟體錯誤每種損害發生的機率多高, 萬一發生時解救手段是什麼如果IT主管只會一句找廠商的話, 你可以記一個嚴重缺失給他因為這樣的IT沒有存在的必要有錯誤的解救手段之後再將這些復原做法紀錄成文字寫成復原程序, 每年的復原演練則是為了證明這各復原程序是有效的所以還需要加上驗證的手段, 確認復原之後的系統是可用技術上怎麼解決就是IT要想辦法的, 不是稽核單位的責任但是稽核的工作就是要IT在事先要擬出應變計畫出來 ※ 引述《albertyk ( STD:Monica / HC:Christ)》之銘言： : ※ 引述《IVIVI (越來越大支)》之銘言： : : 我是個內部稽核人員 : : 根據證期局上市櫃公司的規定"系統復原及測試演練"每年最少要做一次 : : 但是我們公司資訊部竟然回覆說不可能 : : 他說因為我們公司用鼎新的TipTop ERP : : 測試系統復原時還要跟鼎新借機器跟序號 : : 一次的費用將近十萬 : : 所以不可能每年都做 : : 但是我總覺得這個復原測試真得沒辦法自己做嗎？ : : 我想請問各位強者大大倒底是我們公司IT無能？還是他講的是事實？ : (1) 其實主要要備份的部分是 "資料" 與 "設定" : 因為像TipTop是軟體公司提供的, 並非貴公司自行開發的, : 所以一旦發生意外, 只要是錢能解決的, 都是小事. : 找鼎新就行, 軟體硬體都是花錢就能解決. : 惟獨 "資料" 與 "設定" 是錢也買不到的... : (2) 很多資訊部門, 的確在 "資料庫" 上的備份做到了. : 可是設定部份, 常常忽略. 這有點像是: 你的單機 Windows Xp : 雖然說可以重灌, 可是其實你還是有很多個人化的設定 : 以及一些你常用的配置, 或是應用程式. 因此, 不是只有把你 : 的 "個人資料" 備份就好, 你也必須把設定備份. : 至少, 在設定上, 要有文件, 清楚記載還原程序. : 一個單機尚且如此,系統及多台機器的設定細節更要注意! : (3) 系統測試還原演練, 就是要把平日 "資料" 及 "設定" : 依照 "還原程序" 實作一遍. 以證明 "日常備份作業" 是有效的. : 你只要抓住這個原則就行!!! : 是要證明 "還原程序" 有效! 不然平日每天作的備份作業是 : 作假的啊? 還是做安心的? 不是只有 "資料" 活著就好了, 還有 : 還原的設定及實作程序也要操練啊! : (4) 注意: 是有時效性的! 一個上市上櫃公司, 萬一遇到意外 : 系統癱瘓, 當需要重建的時候, 是必須說出 "時間", 面對社會 : 大眾壓力的! : 你翻閱資訊部門的 "還原計畫" , 上面若是寫著 24小時就是24小時! : 上面要是寫著 36 小時就必須是36小時以內. 或是200小時! : 他寫xxx小時內, 這xxx小時就是你稽核的重點!!! : 不是萬一出事, 你只能對社會大眾說: 放心, 資料都還在, 本公司 : 有備份! 搶修中, 時間未定, 我們盡快! : 你覺得買你公司股票的股東能接受這種說辭? : 更不要說證期會了! 要抓狂了! : 系統還原測試, 就是演習! 請資訊部門 "證明" 他們所擬定的 : 還原計畫, 能在他們文件上所載明的時程內完成! : (5) 你的稽核重點不在聽他們 "解釋" 他們是如何專業的為安全而 : 努力 ! 你的重點在: OK , please just prove it now !!! : Prove what ? : What ur document is !!! : ------------------------ : 你可能身為一個稽核人員, 沒有對抗過 "主管" 的經驗. : 不用怕. 更不必被資訊主管那些說辭給混淆! 有時候是他們懶, : 有時候是有些主管喜歡故意試探菜鳥, 看看你是不是隨便被唬唬 : 就倒了. : ------------------------ : 以下是你必須採取的行動: : 你說你依照規定, 必須要做到 "系統還原演練" , 以證明在 xxx小時內 : 系統還原程序文件上的一切是有效的. 這是規定. : 預算多少錢你別管, 把球丟給資訊主管就是, 再多預算都要答覆! : 沒有什麼 "不可能" 那種鬼話, 可不可能不是他決定的, 是總裁決定的. : 你正式行文, 就有憑據. 他要是不配合, 到時候出包他負責! : 等你拿到他的答覆, 你就依照他上面的預算及計畫, : 簽呈上去, 請上面批. 我再強調一遍, 要花多少錢不是你決定的, : 預算是資訊主管給的, 需求是證期會規定的, 你就是執行監督!!! : 要是案子過不了, 出在錢的問題, 那還是回到資訊部門的責任, 跟 : 廠商議價殺價仍然不是你的責任. : 要是案子過不了, 是出在總裁認為沒必要, 那你還是得依照風險 : 管理的專業, 再度簽呈上去說明! 說明! 說明! : 請記住, 這些簽呈公文往來, 就是你的憑據. 你做了, 不管結果如何 : 你都沒有失職, 你要是沒做, 你就失職. : ------------------------ : 有些年輕小姑娘看起來溫和善良, 稽核起來凶悍得讓人敬畏. : 過去我跟稽核員交手, 他們都這樣幹! 給你參考! -- 天有情天亦老春有意春須瘦雲無心雲也生愁 http://parus.idv.tw/ -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 220.133.51.165