DASAR & GARIS PANDUAN KESELAMATAN ICT JKR...

28/100/2011

DASAR & GARIS PANDUAN DASAR & GARIS PANDUAN KESELAMATAN ICT JKRKESELAMATAN ICT JKR

SHAMSUDDIN BIN JAMRAN SHAMSUDDIN BIN JAMRAN SSCP, MTCPSSCP, MTCPBHG. TEKNOLOGI MAKLUMAT BHG. TEKNOLOGI MAKLUMAT

1

AAGENDAGENDA

Pengenalan

28/10/20g Objektif Dasar & Garis Panduan Keselamatan ICT

(DGPKICT)

011

Prinsip Keselamatan Skop Dasar & Garis Panduan Keselamatan ICT

Perkara 1 Dasar dan Garis Panduan Keselamatan Perkara 1 – Dasar dan Garis Panduan KeselamatanICT

Perkara 2 – Organisasi Keselamatan ICTg Perkara 3 – Pengurusan Aset ICT Perkara 4 – Keselamatan Sumber Manusia Perkara 5 – Keselamatan Fizikal 2

AAGENDAGENDA

Perkara 6 – Pengurusan Operasi dan Komunikasi

28/10/20g p Perkara 7 – Kawalan Capaian Perkara 8 – Pembangunan dan Penyenggaraan

011

Sistem Perkara 9 – Pengurusan Pengendalian Insiden

KeselamatanKeselamatan Perkara 10 – Pengurusan Kesinambungan

Perkhidmatan Perkara 11 - Pematuhan

3

PPENGENALANENGENALAN

Peraturan yang perlu dibaca, difahami dan dipatuhi;

28/10/20y g p , p ; Menerangkan tentang tanggungjawab dan peranan

semua pengguna dalam penggunaan danli d t ICT

011

perlindungan aset ICT. Pengguna

Kakitangan JKR; Kakitangan JKR; Bukan kakitangan JKR; Pembekal; Perunding; Kontraktor; dan Lain-lain.Lain lain.

4

OOBJEKTIFBJEKTIF DGPKICTDGPKICT

Menjamin kesinambungan urusan;

28/10/20j g ; Meminimumkan kesan insiden keselamatan.

011

5

PPRINSIPRINSIP--PRINSIPPRINSIP KESELAMATANKESELAMATAN

Akses atas dasar perlu mengetahui;

28/10/20p g ; Hak akses minimum; Akauntabiliti;

011

Pengasingan; Pengauditan; Pemulihan; dan Pematuhan.

6

28/10/20

Akses atasdasar perlumengetahui

011Hak aksesminimumPematuhan

Prinsip-prinsipKeselamatan ICT

AkauntabilitiPemulihan

Keselamatan ICT

7PengasinganPengauditan

28/10/20

Data/ maklumatS b

011maklumatSumberManusia

Skop Dasar

Perkakasan

Perkhidmatan

Perisian

8

PPERKARAERKARA 1 1 –– DASARDASAR DANDAN GARISGARIS PANDUANPANDUANKESELAMATANKESELAMATAN ICTICT

Objektif

28/10/20j Menerangkan hala tuju dan sokongan pengurusan

terhadap keselamatan maklumat selaras dengan keperluan JKR dan perundangan yang berkaitan

011

keperluan JKR dan perundangan yang berkaitan.

Pelaksanaan – KPKR Penyebaran & Penyenggaraan – ICTSOy y gg Pengecualian

Tiada pengecualian;S ICT JKR Semua pengguna ICT JKR.

9

PPERKARAERKARA 2 2 –– ORGANISASIORGANISASI KESELAMATANKESELAMATANICTICT

Objektif

28/10/20j Menerangkan peranan dan tanggungjawab individu yang

terlibat dengan lebih jelas dan teratur dalam mencapaiobjektif Dasar dan Garis Panduan Keselamatan ICT JKR;

011

Menjamin keselamatan semua aset ICT yang digunakan olehpihak ketiga

Penyelaras ICTy perantara di antara Bahagian Teknologi Maklumat, Pentadbir

Sistem dan Pengguna di bawah kawalannya; Melapor pergerakan pegawai;p p g p g ; Menyimpan dan kemaskini rekod aset ICT JKR di bawah

kawalannya; dan Melaporkan sebarang aktiviti yang mengancam keselamatanMelaporkan sebarang aktiviti yang mengancam keselamatan

ICT kepada ICTSO dengan segera; 10

PPERKARAERKARA 2 2 –– ORGANISASIORGANISASI KESELAMATANKESELAMATANICTICT

Penguna

28/10/20g Membaca, memahami dan mematuhi Dasar Mengetahui dan memahami implikasi keselamatan ICT

kesan dari tindakannya;

011

y ; Melaksanakan prinsip-prinsip Dasar Melaksanakan langkah-langkah perlindungan Melaporkan sebarang aktiviti yang mengancam Melaporkan sebarang aktiviti yang mengancam

keselamatan ICT kepada Penyelaras ICT dengansegera;

Menghadiri program kesedaran mengenai keselamatanMenghadiri program kesedaran mengenai keselamatanICT; dan

Menandatangani SURAT AKUAN PEMATUHAN DASAR DAN GARIS PANDUAN KESELAMATAN ICT JKR. 11

PPERKARAERKARA 3 3 –– PENGURUSANPENGURUSAN ASETASET ICTICT

Objektif

28/10/20j Memberi dan menyokong perlindungan yang

bersesuaian ke atas semua aset ICT JKR; Memastikan setiap maklumat atau aset ICT diberikan

011

Memastikan setiap maklumat atau aset ICT diberikan tahap perlindungan yang bersesuaian.

Pengelasan Maklumat Rahsia Besar; Rahsia; Rahsia; Sulit; atau Terhad.

12

PPERKARAERKARA 3 3 –– PENGURUSANPENGURUSAN ASETASET ICTICT

Pengendalian Maklumat

28/10/20

Menghalang pendedahan maklumat kepada pihak yang tidakdibenarkan;

Memeriksa maklumat dan menentukan ia tepat dan lengkapdari semasa ke semasa;

011

dari semasa ke semasa; Menentukan maklumat sedia untuk digunakan; Menjaga kerahsiaan kata laluan; Mematuhi standard prosedur langkah dan garis panduan Mematuhi standard, prosedur, langkah dan garis panduan

keselamatan yang ditetapkan; Memberi perhatian kepada maklumat terperingkat terutama

semasa pewujudan, pemprosesan, penyimpanan, p j p p p y ppenghantaran, penyampaian, pertukaran dan pemusnahan; dan

Menjaga kerahsiaan mengenai keselamatan ICT dari diketahuiumumumum. 13

PPERKARAERKARA 4 4 –– KESELAMATANKESELAMATAN SUMBERSUMBERMANUSIAMANUSIA

Objektif

28/10/20j Meminimumkan risiko seperti kesilapan, kecuaian, kecurian,

penipuan dan penyalahgunaan aset ICT JKR oleh pengguna; Memastikan semua pengguna sedar dan bertanggungjawab

011

p gg gg gjmengenai ancaman keselamatan maklumat bagimeminimumkan risiko seperti kesilapan, kecuaian, kecurian, penipuan dan penyalahgunaan aset ICT JKR; dan

Memastikan semua pengguna yang bertukar atau tamatperkhidmatan diuruskan dengan teratur bagi meminimumkanrisiko keselamatan ICT.

Peranan dan Tanggungjawab Pengguna jelas peranan dan tanggungjawab terhadap

keselamatan ICT; Memastikan perlindungan ke atas aset ICT. 14

PPERKARAERKARA 5 5 –– KESELAMATANKESELAMATAN FIZIKALFIZIKAL

Objektif

28/10/20j Mencegah akses fizikal yang tidak dibenarkan,

kerosakan dan gangguan kepada premis dan maklumatJabatan;

011

Jabatan; Melindungi aset ICT JKR dari sebarang bentuk ancaman

persekitaran yang disebabkan oleh bencana alam, kesilapan kecuaian atau kemalangan;kesilapan, kecuaian atau kemalangan;

Melindungi peralatan ICT JKR dari kehilangan, kerosakan, kecurian serta gangguan kepada peralatantersebuttersebut.

15


Kawalan Masuk Fizikal

28/10/20

Setiap pengguna JKR hendaklah memakai ataumengenakan pas keselamatan pengguna sepanjangwaktu bertugas;

011

waktu bertugas; Semua pas keselamatan pengguna hendaklah

diserahkan balik kepada Jabatan apabila penggunabertukar berhenti atau bersara;bertukar, berhenti atau bersara;

Hanya pengguna yang diberi kebenaran sahaja bolehmencapai atau menggunakan aset ICT JKR; dan

h l l h d l k d Kehilangan pas mestilah dilaporkan dengan segera.

16


Prosedur Kecemasan

28/10/20

Setiap pengguna hendaklah membaca, memahami danmematuhi prosedur kecemasan dengan merujuk kepadaGaris Panduan Keselamatan JKR dan CGSO (The Chief

011

Garis Panduan Keselamatan JKR dan CGSO (The Chief Government Security Office);

Kecemasan persekitaran seperti kebakaran hendaklahdilaporkan kepada Pegawai Keselamatan Jabatan (PKJ)dilaporkan kepada Pegawai Keselamatan Jabatan (PKJ) yang dilantik; dan

Mengadakan latihan fire drill mengikut jadual.

17


Peralatan ICTP h d kl h k d tik

28/10/20

Pengguna hendaklah menyemak dan memastikan semuaperalatan ICT di bawah kawalannya berfungsi dengan sempurna;

Pengguna bertanggungjawab sepenuhnya ke atas komputermasing-masing dan tidak dibenarkan membuat sebarangpertukaran perkakasan dan konfigurasi yang telah ditetapkan;

011

pertukaran perkakasan dan konfigurasi yang telah ditetapkan; Pengguna dilarang sama sekali menambah, menanggal atau

mengganti sebarang perkakasan ICT yang telah ditetapkan; Pengguna adalah bertanggungjawab untuk melapor di atas

kerosakan atau kehilangan peralatan ICT di bawah kawalannya;kerosakan atau kehilangan peralatan ICT di bawah kawalannya; Pengguna perlu memastikan perisian antivirus di komputer

peribadi mereka sentiasa aktif (activated) dan dikemaskini disamping melakukan imbasan ke atas media storan yang digunakan;digunakan;

Penggunaan kata laluan untuk akses ke sistem komputer adalahdiwajibkan;

Semua peralatan sokongan ICT hendaklah dilindungi daripadakecurian kerosakan penyalahgunaan atau pengubahsuaiankecurian, kerosakan, penyalahgunaan atau pengubahsuaiantanpa kebenaran; 18


Peralatan ICT

28/10/20

Semua peralatan ICT hendaklah disimpan atau diletakkan ditempat yang teratur, bersih dan mempunyai ciri-ciri keselamatan. Peralatan rangkaian seperti switches, hub, router dan lain-lain perlu diletakkan di dalam rak khas dan berkunci;

011

p ; Semua peralatan yang digunakan secara berterusan mestilah

diletakkan di kawasan yang berhawa dingin dan mempunyaipengudaraan (air ventilation) yang sesuai;

Peralatan ICT yang hendak dibawa keluar dari premis JKR Peralatan ICT yang hendak dibawa keluar dari premis JKR, perlulah mendapat kelulusan Pengurus ICT dan direkodkan bagitujuan pemantauan;

Peralatan ICT yang hilang hendaklah dilaporkan kepada PegawaiA t d di kl k k d ICTSO dAset dan dimaklumkan kepada ICTSO dengan segera;

Pengendalian peralatan ICT hendaklah mematuhi dan merujuk kepada peraturan semasa yang berkuat kuasa;

Sebarang kerosakan peralatan ICT hendaklah dilaporkan kepadaSebarang kerosakan peralatan ICT hendaklah dilaporkan kepadaPentadbir Sistem ICT untuk di baik pulih; 19


Peralatan ICT

28/10/20

Konfigurasi alamat IP tidak dibenarkan diubah daripadaalamat IP yang asal;

Pengguna dilarang sama sekali mengubah kata laluan

011

gg g gbagi pentadbir (administrator password) yang telahditetapkan oleh Pentadbir Sistem ICT;

Pengguna bertanggungjawab terhadap perkakasan, perisian dan maklumat di bawah jagaannya danhendaklah digunakan sepenuhnya bagi urusan rasmisahaja; P h d kl h tik k k Pengguna hendaklah memastikan semua perkakasankomputer, pencetak dan pengimbas dipadamkan apabilameninggalkan pejabat; dan

Sebarang bentuk penyelewengan atau salahguna Sebarang bentuk penyelewengan atau salahgunaperalatan ICT hendaklah dilaporkan kepada ICTSO.

20

PPERKARAERKARA 6 6 –– PENGURUSANPENGURUSAN OPERASIOPERASI DANDANKOMUNIKASIKOMUNIKASI

Objektif

28/10/20

Memastikan perkhidmatan dan pemprosesan maklumat dapatberfungsi dengan betul dan selamat daripada sebarangancaman dan gangguan;Meminimumkan risiko yang menyebabkan gangguan atau

011

Meminimumkan risiko yang menyebabkan gangguan ataukegagalan sistem;

Melindungi integriti perisian dan maklumat dari pendedahanatau kerosakan yang disebabkan oleh perisian berbahayay g p yseperti virus, trojan dan sebagainya;

Melindungi integriti maklumat dan perkhidmatan komunikasiagar boleh diakses pada bila-bila masa;M li d i kl t d l k i d i f t kt Melindungi maklumat dalam rangkaian dan infrastruktursokongan;

Melindungi aset ICT dari kerosakan dan gangguan aktivitiperkhidmatan yang tidak dikawal; danperkhidmatan yang tidak dikawal; dan

Melindungi aset ICT melalui sistem komunikasi yang selamat.21


Perlindungan Dari Perisian BerbahayaM i t k l t t k i i t

28/10/20

Memasang sistem keselamatan untuk mengesan perisian atau program berbahaya seperti anti virus atau sistem pengesanan pencerobohan (IDS) dan mengikut prosedur penggunaan yang betul dan selamat;

Memasukkan klausa tanggungan di dalam mana-mana kontrak yang telahditawarkan kepada pembekal perisian. Klausa ini bertujuan untuk

011

p p p jtuntutan baikpulih sekiranya perisian tersebut mengandungi program berbahaya;

Mengadakan program dan prosedur jaminan kualiti ke atas semua perisian yang dibangunkan;

Memberi amaran mengenai ancaman keselamatan ICT seperti serangan Memberi amaran mengenai ancaman keselamatan ICT seperti seranganvirus;

Memasang dan menggunakan hanya perisian yang berdaftar dandilindungi di bawah undang-undang bertulis yang berkuatkuasa;

Mengimbas semua perisian atau sistem dengan anti virus sebelumg p gmenggunakannya;

Memastikan pattern anti virus sentiasa dikemaskini; Menyemak kandungan sistem atau maklumat secara berkala bagi

mengesan aktiviti yang tidak diingini seperti kehilangan dan kerosakanmaklumat; danmaklumat; dan

Menghadiri program kesedaran mengenai ancaman perisian berbahayadan cara mengendalikannya.

22


Prosedur Pengendalian Media

28/10/20g Melabelkan semua media mengikut tahap sensitiviti

sesuatu maklumat; Menghadkan dan menentukan capaian media kepada

011

g p ppengguna yang sah sahaja;

Menghadkan pengedaran maklumat atau media untuktujuan yang dibenarkan;

Mengawal dan merekodkan aktiviti penyelenggaraanmedia bagi mengelak dari sebarang kerosakan danpendedahan yang tidak dibenarkan;

Menyimpan semua media di tempat yang selamat; dan Media yang mengandungi maklumat rahsia rasmi

hendaklah dihapus atau dimusnahkan mengikutd b t l d l t bil tid kprosedur yang betul dan selamat apabila tidak

diperlukan.23


InternetL l b l h dil i dil d di d l h b b t k

28/10/20

Laman-laman yang boleh dilayari, dilanggan dan diguna adalah berbentukakademik dan pengetahuan serta untuk urusan kerja harian. Laman yang berbentuk keganasan, lucah, hasutan dan yang boleh menimbul ataumembawa kepada keganasan, keruntuhan akhlak dan kebencian adalahtidak dibenarkan sama sekali;

011

Capaian laman yang berbentuk hiburan, hobi atau leisure tidakdibenarkan termasuk laman game online, radio online dan video streaming;

Melayari internet tanpa tujuan atau meninggalkan capaian internet unattended adalah amat tidak beretika dan tidak digalakkan kerana ianyaunattended adalah amat tidak beretika dan tidak digalakkan kerana ianyaboleh menyebabkan kesesakan rangkaian JKR;

Ketua Pengarah atau Wakil Pengurusan berhak menapis, menghalang danmenegah penggunaan mana-mana laman web yang dianggap tidaksesuai; Pengguna dilarang mengganggu atau menceroboh laman web mana Pengguna dilarang mengganggu atau menceroboh laman web mana-mana Jabatan, Organisasi atau Negara;

Pengguna dilarang memasuki, menyalin, menciplak, mencetak danmenyebarkan maklumat daripada Internet yang menyalahi undang-undang negara; g g

24


Internet

28/10/20

Pengguna tidak dibenarkan mencapai atau cuba mencapaisumber elektronik (data, paparan, keystrokes, fail atau media storan) dalam sebarang bentuk yang dimiliki oleh penggunayang lain tanpa mendapat kebenaran atau kelulusan

011

yang lain tanpa mendapat kebenaran atau kelulusanpengguna terbabit terlebih dahulu. Ini termasuk membaca, menyalin, menukar, merosak atau memadam data, program dan perisian. Penggunaan penganalisis rangkaian (network analyzer) atau pengintip (sniffer) adalah dilarang sama sekalianalyzer) atau pengintip (sniffer) adalah dilarang sama sekali.

Pengguna yang mencapai sesuatu perkhidmatan yang perludibayar (contohnya pangkalan data online komersial), hendaklah bertanggungjawab ke atas segala bayaran yang gg gj g y y gdikenakan.

Maklumat lanjut mengenai keselamatan Internet hendaklahmerujuk kepada PKPA Bil. 1 Tahun 2003 bertajuk “GarisPanduan Mengenai Tatacara Penggunaan Internet danPanduan Mengenai Tatacara Penggunaan Internet danMel Elektronik di Agensi-agensi Kerajaan”.

25


Media Sosial

28/10/20

Mencapai laman web jaringan sosial yang hanyaberkaitan dengan urusan rasmi agensi pada waktupejabat;

011

pejabat; Menggunakan ayat yang lengkap dan jelas maksudnya; Tidak memaparkan isu-isu sensitif seperti agama, politik

d k t b fit h tdan perkauman serta yang berunsur fitnah atau hasutan;

Tidak memaparkan kenyataan-kenyataan yang bolehk dmenjejaskan imej Kerajaan; dan

Tidak menggunakan laman web jaringan sosial untukmengaibkan individu tertentu.

26


Mel ElektronikAk l l kt ik ( l) JKR h di t kk k d

28/10/20

Akaun mel elektronik (e-mel) JKR hanya diperuntukkan kepadapegawai dan kakitangan yang mempunyai maklumat di dalamSistem Maklumat Kakitangan Jabatan semasa.

Pengguna hanya boleh menggunakan akaun atau alamat e-melyang diperuntukkan oleh JKR sahaja Penggunaan akaun milik

011

yang diperuntukkan oleh JKR sahaja. Penggunaan akaun milikorang lain tidak dibenarkan;

Memastikan subjek dan kandungan e-mel adalah berkaitan danmenyentuh perkara perbincangan yang sama sebelumpenghantaran dilakukan;penghantaran dilakukan;

Akaun e-mel rasmi JKR hanyalah untuk kegunaan urusan rasmisahaja. Sebarang penyalahgunaan e-mel akan di ambil tindakantatatertib mengikut peraturan semasa yang berkuatkuasa.

Pengguna hendaklah memastikan alamat e-mel persendirian Pengguna hendaklah memastikan alamat e-mel persendirianseperti e-mel yahoo, gmail, streamyx dan sebagainya tidak bolehdigunakan untuk tujuan rasmi;

Pengguna dinasihatkan menggunakan fail kepilan, sekiranyaperlu tidak melebihi sepuluh (10) MB semasa penghantaran.perlu tidak melebihi sepuluh (10) MB semasa penghantaran. Kaedah pemampatan untuk mengurangkan saiz adalahdisarankan;

27


Mel Elektronik

28/10/20

Pengguna hendaklah mengelak dari membuka e-mel daripadapenghantar yang tidak diketahui atau diragui;

Pengguna hendaklah mengenal pasti dan mengesahkanidentiti pengguna yang berkomunikasi dengannya sebelum

011

p gg y g g ymeneruskan transaksi maklumat melalui e-mel;

E-mel yang tidak penting dan tidak mempunyai nilai arkibyang telah diambil tindakan dan tidak diperlukan lagi bolehlahdihapuskan; p ;

Pengguna hendaklah menentukan tarikh dan masa sistemkomputer adalah tepat;

Pengguna adalah dilarang menggunakan apa-apa cara pun untuk menyamar sebagai penghantar e-mel yang sahuntuk menyamar sebagai penghantar e mel yang sah. Sebarang penyalahgunaan hendaklah dilaporkan kepadaICTSO;

Akaun e-mel yang tidak aktif selama 3 bulan akan disable danseterusnya akan dihapuskan selepas 6 bulan;seterusnya akan dihapuskan selepas 6 bulan;

28


Mel Elektronik

28/10/20

Mengambil tindakan segera dan memberi maklum balasterhadap e-mel yang diterima;

Sekiranya pengguna akan bercuti atau berkursus dalam

011

Sekiranya pengguna akan bercuti atau berkursus dalamjangkamasa yang panjang atau bertukar tempat kerja, makluman kepada pentadbir e-mel perlu dilakukansupaya kerja-kerja penyenggaraan e-mel dapatsupaya kerja-kerja penyenggaraan e-mel dapatdilaksanakan;

Pengguna tidak boleh melibatkan diri dalam aktivitipenghantaran mel sampah (flaming) mel bom (mailpenghantaran mel sampah (flaming), mel bom (mail bombing) dan mel spam (spamming); dan

Pengguna hendaklah bertanggungjawab ke ataski i d ilb ipengemaskinian dan penggunaan mailbox masing-

masing.29

PPERKARAERKARA 7 7 –– KAWALANKAWALAN CAPAIANCAPAIAN

Objektif

28/10/20j Memahami dan mematuhi keperluan keselamatan

dalam mengawal capaian ke atas aset ICT JKR; Mengawal capaian pengguna ke atas aset ICT Jabatan;

011

Mengawal capaian pengguna ke atas aset ICT Jabatan; Menghalang capaian tidak sah dan tanpa kebenaran ke

atas maklumat yang terdapat di dalam sistem aplikasi; Memastikan keselamatan maklumat apabila

menggunakan kemudahan atau peralatan komputermudah alih;

Menghalang capaian tidak sah dan tanpa kebenaran keatas sistem pengoperasian.

30


Pengurusan Katalaluan

28/10/20g Dalam apa jua keadaan dan sebab, katalaluan hendaklah

dilindungi dan tidak boleh dikongsi dengan sesiapa pun; Pengguna hendaklah menukar katalaluan apabila disyaki

011

gg p yberlakunya kebocoran katalaluan atau dikompromi;

Panjang katalaluan mestilah sekurang-kurangnya lapan (8) aksara dengan gabungan aksara, angka dan aksara khusus;

Katalaluan hendaklah diingat dan TIDAK BOLEH dicatat, disimpan atau didedahkan dengan apa cara sekalipun;

Katalaluan windows dan screen saver hendaklah diaktifkanterutamanya pada komputer yang terletak di ruanggunasama;

31


Pengurusan Katalaluan

28/10/20g Katalaluan hendaklah tidak dipaparkan semasa input, dalam

laporan atau media lain dan tidak boleh dikodkan di dalam program;

011

Kuatkuasakan pertukaran katalaluan semasa login kali pertama atau selepas login kali pertama atau selepas katalaluan diset semula;

Katalaluan hendaklah berlainan daripada pengenalan identitipengguna;

Tentukan had masa pengesahan dengan maksimum selamali (5) i it ( ik t k i i t ) d l h dlima (5) minit (mengikut kesesuaian sistem) dan selepas had itu, sesi perlu ditamatkan;

Katalaluan perlu ditukar dalam tempoh satu (1) tahun; danM l kk l ti (3) k t l l Mengelakkan penggunaan semula tiga (3) katalaluan yang terbaru.

32


Clear Desk dan Clear Screen

28/10/20

Clear Desk dan Clear Screen bermaksud tidakmeninggalkan bahan-bahan yang sensitif terdedahsama ada atas meja pengguna atau di paparan skrin

011

sama ada atas meja pengguna atau di paparan skrinapabila pengguna tidak berada di tempatnya.

Menggunakan kemudahan katalaluan screen saver ataulog keluar apabila meninggalkan komputer;log keluar apabila meninggalkan komputer;

Menyimpan bahan-bahan sensitif di dalam laci ataukabinet fail yang berkunci; dan

k d k d b l d Memastikan semua dokumen diambil segera dari pencetak, pengimbas, mesin faksimili dan mesin fotostat.

33


Penggunaan Peralatan Komputer Mudah Alih

28/10/20gg p Memastikan perisian antivirus dan penampalan

(patches) dipasang dan dikemaskini (updated virus pattern & patches);

011

pattern & patches); Keselamatan peralatan adalah di bawah tanggungjawab

pengguna; M tik ti d i i b l h Memastikan tiada perisian yang boleh mengganggugugat keselamatan rangkaian JKR;

Penggunaan adalah atas urusan rasmi sahaja.

34

PPERKARAERKARA 8 8 –– PEMBANGUNANPEMBANGUNAN DANDANPENYENGGARAANPENYENGGARAAN SISTEMSISTEM

Objektif

28/10/20j Memahami dan mematuhi keperluan keselamatan

dalam mencapai dan menggunakan aset ICT JKR; Melindungi kerahsiaan integriti dan kesahihan

011

Melindungi kerahsiaan, integriti dan kesahihan maklumat;

Memastikan supaya fail sistem dikawal dan dikendalikand b ik d l tdengan baik dan selamat;

Menjaga dan menjamin keselamatan sistem maklumat dan aplikasi.

Penyulitan (encryption) Maklumat sensitif dan rahsia rasmi.

Tandatangan Digital Tandatangan Digital Transaksi maklumat rahsia rasmi secara elektronik.

35

PPERKARAERKARA 9 9 –– PENGURUSANPENGURUSAN PENGENDALIANPENGENDALIANINSIDENINSIDEN KESELAMATANKESELAMATAN

ObjektifM tik i id dik d lik d t d b k b i

28/10/20

Memastikan insiden dikendalikan dengan cepat dan berkesan bagimeminimumkan kesan insiden keselamatan ICT;

Memastikan pendekatan yang konsisten dan efektif digunakan dalam pengurusan maklumat insiden keselamatan ICT.

011

Insiden Yang Perlu Dilaporkan Maklumat didapati hilang; Maklumat didedahkan kepada pihak-pihak yang tidak diberi kuasa; Maklumat disyaki hilang atau didedahkan kepada pihak pihak yang tidak Maklumat disyaki hilang atau didedahkan kepada pihak-pihak yang tidak

diberi kuasa; Sistem maklumat digunakan tanpa kebenaran atau disyaki sedemikian; Katalaluan atau mekanisme kawalan akses hilang, dicuri atau didedahkan,

atau disyaki hilang, dicuri atau didedahkan;y g, ; Berlaku kejadian sistem yang luar biasa seperti kehilangan fail, sistem

kerap kali gagal dan komunikasi tersalah hantar; dan Berlaku percubaan menceroboh, penyelewengan dan insiden-insiden yang

tidak dijangka.36

PPERKARAERKARA 10 10 –– PENGURUSANPENGURUSANKESINAMBUNGANKESINAMBUNGAN PERKHIDMATANPERKHIDMATAN

Objektif

28/10/20j Menjamin operasi perkhidmatan agar tidak tergendala

dan penyampaian perkhidmatan yang berterusankepada pelanggan

011

kepada pelanggan.

Pengurusan Kesinambungan Perkhidmatan (BCM)

37

PPERKARAERKARA 11 11 -- PEMATUHANPEMATUHAN

Objektif

28/10/20j Meningkatkan tahap keselamatan ICT bagi mengelak

dari pelanggaran kepada Dasar dan Garis PanduanKeselamatan ICT JKR

011

Keselamatan ICT JKR.

Pematuhan Baca, faham dan patuh; Aset ICT hakmilik Kerajaan; Aktiviti dipantau;

Keperluan Perundangan Keperluan Perundangan

38

28/100/2011

TTERIMAERIMA KASIHKASIHSS

SHAMSUDDIN BIN JAMRAN SHAMSUDDIN BIN JAMRAN SSCP, MTCPSSCP, MTCP

BHG. TEKNOLOGI MAKLUMAT BHG. TEKNOLOGI MAKLUMAT jsham@jkr gov myjsham@jkr gov my

39

[email protected]@jkr.gov.my

DASAR & GARIS PANDUAN KESELAMATAN ICT JKR...

Documents

Transcript of DASAR & GARIS PANDUAN KESELAMATAN ICT JKR...