DASAR KESELAMATAN ICT JKSM/JKSN/MSN...Pengasingan dari segi penyediaan dokumen dan kelulusan sesuatu...

of 134 /134
DASAR KESELAMATAN ICT JKSM/JKSN/MSN JABATAN KEHAKIMAN SYARIAH MALAYSIA (JKSM) JABATAN KEHAKIMAN SYARIAH NEGERI (JKSN) MAHKAMAH SYARIAH NEGERI (MSN) Versi 3.0

Embed Size (px)

Transcript of DASAR KESELAMATAN ICT JKSM/JKSN/MSN...Pengasingan dari segi penyediaan dokumen dan kelulusan sesuatu...

  • DASAR KESELAMATAN ICT

    JKSM/JKSN/MSN

    JABATAN KEHAKIMAN SYARIAH MALAYSIA (JKSM) JABATAN KEHAKIMAN SYARIAH NEGERI (JKSN)

    MAHKAMAH SYARIAH NEGERI (MSN)

    Versi 3.0

  • DASAR KESELAMATAN ICT JKSM/JKSN/MSN

    Versi: 3.0 9 Mac 2016 JKSM M u k a s u r a t | ii

    A. INFORMASI DOKUMEN

    Jenis Dokumen: Versi Dokumen : Tarikh

    Manual Keselamatan 3.0

    Berkuatkuasa: 1 Jun 2016

    Disediakan Oleh : Disemak Oleh : Diluluskan Oleh :

    Urusetia DKICT BTMK Pengarah BTMK

    Mesyuarat Keselamatan ICT JKSM Bil 1/2016

    Pengedaran Dokumen

    BTMK

  • DASAR KESELAMATAN ICT JKSM/JKSN/MSN

    Versi: 3.0 9 Mac 2016 JKSM M u k a s u r a t | iii

    B. REKOD PINDAAN

    KELUARAN /

    KETERANGAN BAB / MUKA

    DILULUSKAN

    TARIKH RINGKAS PINDAAN

    SURAT

    OLEH

    PINDAAN

    2.0 10/12/2010 Jawatankuasa

    Pemandu ICT

    3.0

    09/03/2016

    Jawatankuasa

    Keselamatan ICT

    Bil 1/2016

    Pindaan

    keseluruhan

    Bidang

    Keselamatan

    dengan merujuk

    kepada Standard

    ISO/IEC

    27001:2013 (Information Security Management System)

  • DASAR KESELAMATAN ICT JKSM/JKSN/MSN

    Versi: 3.0 9 Mac 2016 JKSM

    KANDUNGAN HALAMAN

    A. INFORMASI DOKUMEN ......................................................................................................................... ii

    B. REKOD PINDAAN .................................................................................................................................. iii

    1.0 PENGENALAN ...................................................................................................................................... 1

    2.0 TUJUAN .................................................................................................................................................. 1

    3.0 OBJEKTIF ............................................................................................................................................... 1

    4.0 PERNYATAAN DASAR KESELAMATAN ICT ...................................................................................... 2

    5.0 SKOP ...................................................................................................................................................... 4

    6.0 PRINSIP-PRINSIP ................................................................................................................................. 6

    7.0 PENILAIAN RISIKO KESELAMATN ICT............................................................................................. 10

    BIDANG 01 - DASAR KESELAMATAN

    0101 - Pengurusan Keselamatan Maklumat ICT ........................................................................... 12

    0102 - Kajian Semula Dasar Keselamatan Maklumat ................................................................... 12

    0103 - Pematuhan Dasar ............................................................................................................... 13

    BIDANG 02 - KESELAMATAN ORGANISASI

    0201 - Struktur Organisasi Keselamatan ...................................................................................... 14

    BIDANG 03 - KESELAMATAN SUMBER MANUSIA

    0301 - Sebelum Perkhidmatan ..................................................................................................... .38

    0302 - Dalam Perkhidmatan .......................................................................................................... 38

    0303 - Penamatan atau Perubahan Perkhidmatan ........................................................................ 40

    BIDANG 04 - PENGURUSAN ASET

    0401 - Akauntabiliti/Tanggungjawab Aset ....................................................................................... 41

    0402 - Klasifikasi Maklumat ........................................................................................................... 42

    0403 - Pengendalian Media ............................................................................................................ 44

  • DASAR KESELAMATAN ICT JKSM/JKSN/MSN

    Versi: 3.0 9 Mac 2016 JKSM

    BIDANG 05 - KAWALAN CAPAIAN

    0501 - Keperluan Kawalan Capaian .............................................................................................. 46

    0502 - Pengurusan Capaian Pengguna .......................................................................................... 48

    0503 - Tanggungjawab Pengguna .............. …………………………………………………………...49

    0504 - Kawalan Capaian Sistem dan Aplikasi ................................................................................ 51

    BIDANG 06 - KRIPTOGRAFI

    0601 - Kriptografi ............................................................................................................................ 55

    BIDANG 07 - KESELAMATAN FIZIKAL DAN PERSEKITARAN

    0701 - Keselamatan Kawasan ........................................................................................................ 57

    0702 - Keselmatan Peralatan ICT .................................................................................................. 61

    BIDANG 08 - OPERASI PENGURUSAN

    0801 - Pengurusan Prosedur Operasi ........................................................................................... 71

    0802 - Perisian Berbahaya (Protection from Malware) .................................................................. 73

    0803 - Backup ................................................................................................................................ 74

    0804 - Log dan Pemantauan .......................................................................................................... 75

    0805 - Kawalan Perisian Operasi ................................................................................................... 78

    0806 - Kawalan Teknikal Keterdedahan (Vulnerability) ................................................................. 79

    0807 - Pertimbangan Audit Sistem Maklumat ................................................................................ 80

    BIDANG 09 - PENGURUSAN KOMUNIKASI

    0901 - Pengurusan Keselamatan Rangkaian ................................................................................ 81

    0902 - Pemindahan Maklumat ....................................................................................................... 83

    BIDANG 10 - PEROLEHAN, PEMBANGUNAN DAN PENYELENGGARAAN SISTEM

    1001 - Keperluan Keselamatan Sistem Maklumat ......................................................................... 88

    1002 - Keselamatan Dalam Pembangunan Sistem ....................................................................... 90

    1003 - Data Ujian ........................................................................................................................... 94

  • DASAR KESELAMATAN ICT JKSM/JKSN/MSN

    Versi: 3.0 9 Mac 2016 JKSM

    BIDANG 11 - HUBUNGAN DENGAN PEMBEKAL

    1101 - Keselamatan Maklumat Dalam Hubungan Dengan Pembekal ........................................... 96

    1102 - Pengurusan Penyampaian Perkhidmatan Pembekal .......................................................... 98

    BIDANG 12 - PENGURUSAN PENGENDALIAN INSIDEN KESELAMATAN

    1201 - Pengurusan dan Penambahbaikan Insiden Keselamatan Maklumat ................................. 100

    BIDANG 13 - ASPEK KESELAMATAN MAKLUMAT DALAM PENGURUSAN

    KESINAMBUNGAN PERKHIDTMATAN

    1301 - Keselamatan Maklumat Dalam Kesinambungan Perkhidmatan ....................................... 104

    1302 - Redundancy ...................................................................................................................... 109

    BIDANG 14 - PEMATUHAN

    1401 - Pematuhan Terhadap Keperluan Perundangan dan Perjanjian Kontrak .......................... 110

    1402 - Kajian Keselamatan Maklumat ......................................................................................... 114

    GLOSARI .................................................................................................................................................. 115

  • DASAR KESELAMATAN ICT JKSM/JKSN/MSN

    Versi: 3.0 9 Mac 2016 JKSM M u k a s u r a t | 1

    1.0 PENGENALAN

    Dasar Keselamatan ICT (DKICT) Jabatan Kehakiman Syariah

    Malaysia (JKSM)/ Jabatan Kehakiman Syariah Negeri (JKSN)/

    Mahkamah Syariah Negeri (MSN) mengandungi peraturan-peraturan

    yang mesti dibaca dan dipatuhi dalam menggunakan aset teknologi

    maklumat dan komunikasi (ICT). Dasar ini juga menerangkan kepada

    semua pengguna di JKSM/JKSN/MSN mengenai tanggungjawab dan

    peranan mereka dalam melindungi aset ICT di JKSM/JKSN/MSN.

    2.0 TUJUAN

    DKICT ini mengandungi peraturan-peraturan berkaitan penggunaan

    sumber ICT JKSM/JKSN/MSN yang perlu dipatuhi oleh kakitangan

    JKSM/JKSN/MSN, pengguna dan pembekal yang memberikan

    perkhidmatan. Tujuan DKICT ini disediakan adalah untuk menerangkan

    tanggungjawab dan peranan kakitangan JKSM/JKSN/MSN, pengguna

    dan pembekal.

    3.0 OBJEKTIF

    Dasar Keselamatan ICT JKSM/JKSN/MSN diwujudkan untuk menjamin

    kesinambungan urusan JKSM/JKSN/MSN dengan meminimumkan

    kesan insiden keselamatan ICT.

    Objektif utama Dasar Keselamatan ICT JKSM/JKSN/MSN ialah seperti

    berikut :

    (a) Memastikan kelancaran operasi JKSM/JKSN/MSN dan

  • DASAR KESELAMATAN ICT JKSM/JKSN/MSN

    Versi: 3.0 9 Mac 2016 JKSM M u k a s u r a t | 2

    meminimumkan kerosakan atau kemusnahan;

    (b) Melindungi kepentingan pihak-pihak yang bergantung kepada

    sistem maklumat dari kesan kegagalan atau kelemahan dari segi

    kerahsiaan, integriti, tidak boleh disangkal, kebolehsediaan, dan

    kesahihan (CIA);

    (c) Mencegah salah guna atau kecurian aset ICT JKSM/JKSN/MSN;

    (d) Memperkemaskan pengurusan risiko; dan

    (e) Melindungi aset ICT daripada penyelewengan oleh kakitangan,

    pengguna dan pembekal.

    4.0 PERNYATAAN DASAR KESELAMATAN ICT JKSM/JKSN/MSN

    Keselamatan ditakrifkan sebagai keadaan yang bebas daripada

    ancaman dan risiko yang tidak boleh diterima. Pengurusan

    keselamatan adalah suatu proses yang berterusan. Ia melibatkan

    aktiviti berkala yang mesti dilakukan dari semasa ke semasa

    untuk menjamin keselamatan kerana ancaman dan kelemahan

    sentiasa berubah.

    Keselamatan ICT adalah bermaksud keadaan bagi segala urusan

    menyedia dan membekalkan perkhidmatan yang berasaskan kepada

    sistem ICT berjalan secara berterusan. Terdapat empat (4)

    komponen asas keselamatan ICT iaitu:

    (a) Melindungi maklumat rahsia rasmi dan maklumat rasmi

    kerajaan dari capaian tanpa kuasa yang sah;

  • DASAR KESELAMATAN ICT JKSM/JKSN/MSN

    Versi: 3.0 9 Mac 2016 JKSM M u k a s u r a t | 3

    (b) Menjamin setiap maklumat adalah tepat dan sempurna; (c) Memastikan ketersediaan maklumat apabila diperlukan oleh

    pengguna; dan (d) Memastikan akses kepada hanya pengguna-pengguna yang

    sah atau penerimaan maklumat dari sumber yang sah.

    Dasar Keselamatan ICT JKSM/JKSN/MSN merangkumi

    perlindungan ke atas semua bentuk maklumat elektronik dan

    bukan elektronik bertujuan untuk menjamin keselamatan maklumat

    tersebut dan kebolehsediaan kepada semua pengguna yang

    dibenarkan. Ciri-ciri utama keselamatan maklumat adalah seperti

    berikut:

    (a) Kerahsiaan

    - Maklumat tidak boleh didedahkan sewenang-wenangnya atau

    dibiarkan diakses tanpa kebenaran;

    (b) Integriti

    - Data dan maklumat hendaklah tepat, lengkap dan kemaskini. Ia

    hanya boleh diubah dengan cara yang dibenarkan;

    (c) Tidak Boleh Disangkal

    - Punca data dan maklumat hendaklah daripada punca yang sah

    dan tidak boleh disangkal;

    (e) Kesahihan

    - Data dan maklumat hendaklah dijamin kesahihannya; dan

    (e) Ketersediaan

    - Data dan maklumat hendaklah boleh diakses pada bila-bila

  • DASAR KESELAMATAN ICT JKSM/JKSN/MSN

    Versi: 3.0 9 Mac 2016 JKSM M u k a s u r a t | 4

    masa.

    Selain itu, langkah-langkah ke arah menjamin keselamatan ICT

    hendaklah bersandarkan kepada penilaian yang bersesuaian

    dengan perubahan semasa terhadap kelemahan semula jadi aset

    ICT, ancaman yang wujud akibat daripada kelemahan tersebut,

    risiko yang mungkin timbul dan langkah-langkah pencegahan sesuai

    yang boleh diambil untuk menangani risiko berkenaan.

    5.0 SKOP

    Aset ICT JKSM/JKSN/MSN terdiri daripada perkakasan, perisian,

    perkhidmatan, data atau maklumat dan manusia. Dasar Keselamatan

    ICT JKSM/JKSN/MSN menetapkan keperluan-keperluan asas berikut:

    (a) Data dan maklumat hendaklah boleh diakses secara

    berterusan dengan cepat, tepat, mudah dan boleh dipercayai.

    Ini adalah amat perlu bagi membolehkan keputusan dan

    penyampaian perkhidmatan dilakukan dengan berkesan dan

    berkualiti; dan

    (b) Semua data dan maklumat hendaklah dijaga

    kerahsiaannya dan dikendalikan sebaik mungkin pada setiap

    masa bagi memastikan kesempurnaan dan ketepatan

    maklumat serta untuk melindungi kepentingan

    JKSM/JKSN/MSN.

    Bagi memastikan Aset ICT ini terjamin keselamatannya

    sepanjang masa, Dasar Keselamatan ICT JKSM/JKSN/MSN

    ini merangkumi perlindungan semua bentuk maklumat

  • DASAR KESELAMATAN ICT JKSM/JKSN/MSN

    Versi: 3.0 9 Mac 2016 JKSM M u k a s u r a t | 5

    kerajaan yang dimasukkan, diwujud, dimusnah, disimpan,

    dijana, dicetak, diakses, diedar dalam penghantaran dan yang

    dibuat salinan. Ini akan dilakukan melalui pewujudan dan

    penguatkuasaan sistem kawalan dan prosedur dalam

    pengendalian semua perkara- perkara berikut:

    (a) Perkakasan

    Semua aset yang digunakan untuk pemprosesan maklumat,

    kemudahan storan dan peralatan sokongan. Contoh komputer,

    pelayan, peralatan komunikasi, pencetak, Uninterruptible

    Power Supply (UPS), punca kuasa dan sebagainya;

    (b) Perisian

    Semua jenis perisian yang digunakan untuk mengendali,

    memproses, menyimpan dan menghantar data atau maklumat. Ini

    termasuklah sistem aplikasi seperti Sistem E-Syariah, Sistem

    Pertukaran Pegawai dan sistem pengoperasian seperti Windows,

    LINUX dan perisian utiliti, perisian komunikasi, sistem pengurusan

    pangkalan data, fail program, fail data dan lain-lain.

    (c) Perkhidmatan

    Perkhidmatan atau sistem yang menyokong aset lain untuk

    melaksanakan fungsi-fungsinya. Contoh :

    i. Perkhidmatan rangkaian seperti LAN, WAN dan lain-lain.

    ii. Sistem halangan akses seperti sistem kad akses.

    iii. Perkhidmatan sokongan seperti kemudahan elektrik,

    penghawa dingin, sistem pencegah kebakaran dan lain-lain.

  • DASAR KESELAMATAN ICT JKSM/JKSN/MSN

    Versi: 3.0 9 Mac 2016 JKSM M u k a s u r a t | 6

    (d) Data atau Maklumat

    Semua data atau maklumat yang disimpan atau digunakan di

    pelbagai media atau peralatan ICT.

    ( e ) Media Storan

    Semua media storan dan peralatan yang berkaitan seperti storan

    mudah alih, CD-ROM, pemacu pita, pemacu cakera, pita backup

    dan lain-lain.

    (f) Dokumentasi

    Semua dokumen termasuk prosedur dan manual pengguna yang

    berkaitan dengan aset ICT, dokumen pemasangan dan

    pengoperasian peralatan dan perisian.

    (g) Premis Komputer dan Komunikasi

    Semua kemudahan serta premis yang diguna untuk

    menempatkan perkara (a) hingga (e) di atas.

    (h) Manusia

    Semua pengguna infrastruktur ICT JKSM/JKSN/MSN yang

    dibenarkan termasuk kakitangan JKSM/JKSN/MSN, pengguna dan

    pembekal.

    6.0 PRINSIP-PRINSIP

    Prinsip-prinsip yang menjadi asas Dasar Keselamatan ICT

    JKSM/JKSN/MSN adalah seperti berikut ;

    (a) Akses Atas Dasar Perlu Mengetahui

  • DASAR KESELAMATAN ICT JKSM/JKSN/MSN

    Versi: 3.0 9 Mac 2016 JKSM M u k a s u r a t | 7

    Akses terhadap penggunaan aset ICT hanya diberikan untuk

    tujuan spesifik dan dihadkan kepada pengguna tertentu atas

    dasar “perlu mengetahui” sahaja. Ini bermakna akses hanya

    akan diberikan sekiranya peranan atau fungsi pengguna

    memerlukan maklumat tersebut. Pertimbangan untuk akses adalah

    berdasarkan kategori maklumat seperti yang dinyatakan di

    dalam dokumen Arahan Keselamatan.;

    (b) Hak Akses Minimum

    Hak akses kepada pengguna hanya diberi pada tahap yang

    paling minimum iaitu untuk membaca dan / atau melihat sahaja.

    Kelulusan adalah perlu untuk membolehkan pengguna

    mewujud, menyimpan, mengemaskini, mengubah atau

    menghapuskan sesuatu maklumat.

    (c) Akauntabiliti

    Semua pengguna adalah dipertanggungjawabkan ke atas semua

    tindakannya terhadap aset ICT. Tanggungjawab ini perlu dinyatakan

    dengan jelas dan sesuai dengan tahap sensitiviti sesuatu sumber

    ICT. Bagi menentukan tanggungjawab ini dipatuhi, sistem ICT

    hendaklah mampu menyokong kemudahan mengesan atau

    mengesah bahawa pengguna sistem maklumat boleh

    dipertanggungjawabkan atas tindakan mereka.

    (d) Pengasingan

    Pengasingan hendaklah dilaksana bagi mengelakkan capaian yang

    tidak dibenarkan serta melindungi aset daripada kesilapan,

  • DASAR KESELAMATAN ICT JKSM/JKSN/MSN

    Versi: 3.0 9 Mac 2016 JKSM M u k a s u r a t | 8

    kebocoran maklumat terperingkat atau manipulasi. Prinsip

    pengasingan hendaklah diamalkan dalam empat (4) keadaan

    berikut:

    1) Infrastruktur

    i) Rangkaian perlu dibezakan antara – LAN, WAN, VPN;

    ii) Saluran komunikasi – packet segmentation; dan

    iii) Platform aplikasi – client server, web based atau

    stand alone.

    2) Persekitaran Pembangunan Sistem

    Pengasingan dari segi persekitaran pembangunan sistem

    dilaksana berdasarkan persekitaran yang berikut:

    i) Persekitaran Pembangunan;

    ii) Persekitaran Pengujian; dan

    iii) Persekitaran Pengoperasian

    3) Kawalan Capaian

    Pengasingan dari segi kawalan capaian terhadap aset

    dilaksana mengikut keperluan fungsi bidang tugas yang

    ditetapkan sama ada sebagai pengguna biasa atau

    pentadbir sistem.

    4) Peranan dan Tanggungjawab

    Pengasingan dari segi penyediaan dokumen dan kelulusan

    sesuatu permohonan dilaksana berdasarkan peranan dan

    tanggungjawab sebagai:

  • DASAR KESELAMATAN ICT JKSM/JKSN/MSN

    Versi: 3.0 9 Mac 2016 JKSM M u k a s u r a t | 9

    i) Penyedia atau pemohon;

    ii) Penyemak atau penyokong; dan

    iii) Pelulus.

    (e) Pengauditan

    Pengauditan melibatkan pemeliharaan semua rekod berkaitan tindakan

    keselamatan maklumat bagi mengenalpasti ancaman dan insiden

    berkaitan keselamatan. Semua aset yang terlibat hendaklah dapat

    menjana dan menyimpan log tindakan keselamatan atau jejak audit.

    (f) Pematuhan

    Dasar Keselamatan ICT JKSM/JKSN/MSN hendaklah dibaca,

    difahami dan dipatuhi bagi mengelakkan sebarang bentuk

    pelanggaran ke atasnya yang boleh membawa ancaman kepada

    keselamatan ICT;

    (g) Pemulihan

    Pemulihan sistem amat perlu untuk memastikan kebolehsediaan dan

    kebolehcapaian. Objektif utama adalah untuk meminimumkan

    sebarang gangguan atau kerugian akibat daripada ketidaksediaan.

    Pemulihan boleh dilakukan melalui aktiviti penduaan dan

    mewujudkan pelan pemulihan bencana/kesinambungan perkhidmatan;

    (h) Tidak Boleh Disangkal

  • DASAR KESELAMATAN ICT JKSM/JKSN/MSN

    Versi: 3.0 9 Mac 2016 JKSM M u k a s u r a t | 10

    Prinsip tidak boleh disangkal dilaksana bagi memastikan punca data

    dan maklumat adalah daripada punca yang sah dan tidak diragui; dan

    (i) Saling Bergantungan

    Setiap prinsip di atas adalah saling lengkap-melengkapi dan

    bergantung antara satu sama lain. Dengan itu, tindakan

    mempelbagaikan pendekatan dalam menyusun dan mencorakkan

    sebanyak mungkin mekanisme keselamatan adalah perlu bagi

    menjamin keselamatan yang maksimum.

    7.0 PENILAIAN RISIKO KESELAMATAN ICT

    JKSM hendaklah mengambil kira kewujudan risiko ke atas aset ICT akibat

    dari ancaman dan vulnerability yang semakin meningkat. Justeru itu

    JKSM/JKSN/MSN perlu mengambil langkah-langkah proaktif dan

    bersesuaian untuk menilai tahap risiko aset ICT supaya pendekatan dan

    keputusan yang paling berkesan dikenal pasti bagi menyediakan

    perlindungan dan kawalan ke atas aset ICT.

    JKSM/JKSN/MSN hendaklah melaksanakan penilaian risiko keselamatan

    ICT secara berkala dan berterusan bergantung kepada perubahan teknologi

    dan keperluan keselamatan ICT. Seterusnya mengambil tindakan susulan

    dan/ atau langkah-langkah bersesuaian untuk mengurangkan atau

    mengawal risiko keselamatan ICT berdasarkan penemuan penilaian risiko.

    Penilaian risiko keselamatan ICT hendaklah dilaksanakan ke atas sistem

    maklumat JKSM/JKSN/MSN termasuklah aplikasi, perisian, perkakasan,

    pelayan, rangkaian, pangkalan data, sumber manusia, proses, dan prosedur.

    Penilaian risiko ini hendaklah juga dilaksanakan di premis yang

  • DASAR KESELAMATAN ICT JKSM/JKSN/MSN

    Versi: 3.0 9 Mac 2016 JKSM M u k a s u r a t | 11

    menempatkan sumber-sumber teknologi maklumat termasuklah pusat data,

    bilik media storan, kemudahan utiliti dan sistem-sistem sokongan lain.

    JKSM/JKSN/MSN bertanggungjawab melaksanakan dan menguruskan risiko

    keselamatan ICT selaras dengan keperluan Surat Pekeliling Am Bilangan 6

    Tahun 2005: Garis Panduan Penilaian Risiko Keselamatan Maklumat Sektor

    Awam.

    JKSM/JKSN/MSN perlu mengenal pasti tindakan yang sewajarnya bagi

    menghadapi kemungkinan risiko berlaku dengan memilih tindakan berikut:

    1. Mengurangkan risiko dengan melaksanakan kawalan yang

    bersesuaian;

    2. Menerima dan/ atau bersedia berhadapan dengan risiko

    yang akan terjadi selagi ia memenuhi kriteria yang telah

    ditetapkan oleh pengurusan atasan;

    3. Mengelak dan/ atau mencegah risiko dari terjadi dengan

    mengambil tindakan yang dapat mengelak dan/ atau

    mencegah berlakunya risiko; dan

    4. Memindahkan risiko ke pihak lain seperti pembekal, pakar

    runding dan pihak-pihak lain yang berkepentingan.

  • DASAR KESELAMATAN ICT JKSM/JKSN/MSN

    Versi: 3.0 9 Mac 2016 JKSM M u k a s u r a t | 12

    BIDANG 01 DASAR KESELAMATAN

    0101 Pengurusan Keselamatan Maklumat ICT

    Objektif : Menerangkan hala tuju dan sokongan pengurusan terhadap keselamatan

    maklumat selaras dengan keperluan JKSM/JKSN/MSN dan perundangan yang

    berkaitan.

    010101 Dasar Keselamatan Maklumat Satu set dasar untuk keselamatan maklumat perlu ditakrifkan,

    diluluskan, diterbitkan dan dimaklumkan oleh pihak pengurusan

    JKSM/JKSN/MSN kepada kakitangan JKSM/JKSN/MSN,

    pengguna dan pembekal.

    (A.5.1.1 Policies for Information Security)

    Pelaksanaan dasar ini akan dijalankan oleh Ketua Pengarah

    JKSM dibantu oleh Jawatankuasa Keselamatan ICT JKSM

    dan Jawatankuasa Keselamatan ICT JKSN/MSN yang terdiri

    daripada Ketua Pegawai Maklumat (CIO), Pegawai

    Keselamatan ICT (ICTSO) dan ahli-ahli yang dilantik oleh

    Ketua Pengarah/ Ketua Hakim Syarie.

    Ketua Pengarah/

    Ketua Hakim

    Syarie

    0102 Kajian Semula Dasar Keselamatan Maklumat

    Dasar Keselamatan ICT JKSM/JKSN/MSN perlu disemak dan

    dipinda pada jangka masa yang d i rancang atau apabila

    terdapat perubahan teknologi, aplikasi, prosedur, perundangan,

    dan polisi Kerajaan.

    (A.5.1.2 Review of policies for information security)

    Berikut adalah prosedur yang berhubung dengan kajian

    semula Dasar Keselamatan ICT JKSM/JKSN/MSN.

    ICTSO / JKICT

  • DASAR KESELAMATAN ICT JKSM/JKSN/MSN

    Versi: 3.0 9 Mac 2016 JKSM M u k a s u r a t | 13

    a) Mengenalpasti dan menentukan perubahan yang

    diperlukan;

    b) Mengemukakan cadangan pindaan secara bertulis

    kepada ICTSO untuk tindakan dan pertimbangan

    Jawatan Kuasa Keselamatan ICT (JKICT)

    JKSM/JKSN/MSN;

    (c) Memaklumkan cadangan pindaan yang telah

    dipersetujui oleh JKICT kepada JPICT bagi tujuan

    pengesahan;

    (d) Memaklumkan pindaan yang telah disahkan oleh JPICT

    kepada semua kakitangan JKSM/JKSN/MSN, pengguna

    dan pembekal; dan

    (e) Dasar ini hendaklah dikaji semula sekurang-

    kurangnya dua (2) tahun sekali atau mengikut

    keperluan semasa bagi memastikan dokumen sentiasa

    relevan.

    0103 Pematuhan Dasar

    DKICT JKSM/JKSN/MSN mestilah dipatuhi oleh semua

    kakitangan JKSM/JKSN/MSN, pengguna dan pembekal.

    Kakitangan

    JKSM/JKSN/MSN,

    Pengguna,

    Pembekal

  • DASAR KESELAMATAN ICT JKSM/JKSN/MSN

    Versi: 3.0 9 Mac 2016 JKSM M u k a s u r a t | 14

    BIDANG 02 KESELAMATAN ORGANISASI

    0201 Struktur Organisasi Keselamatan

    Objektif : Menerangkan peranan dan tanggungjawab individu yang terlibat dengan

    lebih jelas dan teratur dalam mencapai objektif Dasar Keselamatan ICT

    JKSM/JKSN/MSN.

    020101 Ketua Pengarah/Ketua Hakim Syarie Peranan dan tanggungjawab Ketua Pengarah / Ketua Hakim

    Syarie adalah seperti berikut:

    (a) Membaca, memahami dan mematuhi Dasar

    Keselamatan ICT JKSM/JKSN/MSN;

    (b) Memastikan semua pengguna memahami peruntukan-

    peruntukan di bawah Dasar Keselamatan ICT

    JKSM/JKSN/MSN

    (c) Memastikan semua pengguna mematuhi Dasar

    Keselamatan ICT JKSM/JKSN/MSN;

    (d) Memastikan semua keperluan organisasi seperti

    sumber kewangan, sumber kakitangan dan

    perlindungan keselamatan adalah mencukupi; dan

    (e) Memastikan penilaian risiko dan program keselamatan

    ICT dilaksanakan seperti yang ditetapkan di dalam Dasar

    Keselamatan ICT JKSM/JKSN/MSN;

    Ketua Pengarah/

    Ketua Hakim

    Syarie

    020102 Ketua Pegawai Maklumat (CIO)

  • DASAR KESELAMATAN ICT JKSM/JKSN/MSN

    Versi: 3.0 9 Mac 2016 JKSM M u k a s u r a t | 15

    Jawatan Ketua Pegawai Maklumat (CIO) JKSM adalah

    disandang oleh Ketua Pendaftar JKSM manakala Jawatan

    Ketua Pegawai Maklumat (CIO) JKSN/MSN adalah disandang

    oleh Ketua Pendaftar.

    Peranan dan tanggungjawab CIO adalah seperti berikut:

    (a) Membaca, memahami dan mematuhi Dasar

    Keselamatan ICT JKSM/JKSN/MSN;

    (b) Bertanggungjawab ke atas perkara-perkara yang

    berkaitan dengan keselamatan ICT JKSM/JKSN/MSN;

    (c) Memastikan kawalan keselamatan maklumat dalam

    organisasi diseragam dan diselaraskan dengan

    sebaiknya;

    (d) Menentukan keperluan keselamatan ICT;

    (e) Mempengerusikan Jawatankuasa Keselamatan ICT

    (JKICT); dan

    Memastikan program-program kesedaran mengenai

    Keselamatan ICT dilaksanakan;

    CIO

  • DASAR KESELAMATAN ICT JKSM/JKSN/MSN

    Versi: 3.0 9 Mac 2016 JKSM M u k a s u r a t | 16

    020103 Pegawai Keselamatan ICT (ICTSO)

    Jawatan ICTSO bagi JKSM adalah disandang oleh

    Pengarah Bahagian Teknologi Maklumat dan Komunikasi

    (BTMK) manakala jawatan ICTSO bagi JKSN/MSN adalah

    disandang oleh Ketua Unit ICT JKSN/MSN yang merupakan

    Pegawai Teknologi Maklumat (PTM).

    Peranan dan tanggungjawab ICTSO yang dilantik adalah

    seperti berikut:

    (a) Membaca, memahami dan mematuhi Dasar

    Keselamatan ICT JKSM/JKSN/MSN;

    (b) Mengurus keseluruhan program keselamatan ICT

    JKSM/JKSN/MSN;

    (c) Menguatkuasakan pelaksanaan Dasar Keselamatan

    ICT di JKSM/JKSN/MSN;

    (d) Mewujudkan garis panduan, prosedur dan tatacara

    selaras dengan keperluan Dasar Keselamatan ICT

    JKSM/JKSN/MSN;

    (e) Menjalankan pengurusan risiko dan audit keselamatan

    ICT berpandukan Malaysian Public Sector

    Management of Information and Communication

    (MyMIS) untuk mengenalpasti ketidakpatuhan kepada

    DKICT JKSM/JKSN/MSN;

    (f) Menyedia dan menyebarkan amaran-amaran yang

    sesuai terhadap kemungkinan berlaku ancaman

    keselamatan ICT dan memberikan khidmat nasihat

    serta menyediakan langkah-langkah perlindungan

    ICTSO

  • DASAR KESELAMATAN ICT JKSM/JKSN/MSN

    Versi: 3.0 9 Mac 2016 JKSM M u k a s u r a t | 17

    yang bersesuaian;

    (g) Melaporkan insiden keselamatan ICT kepada

    Pasukan Tindak balas Insiden Keselamatan ICT

    Kerajaan (GCERT MAMPU) dan seterusnya membantu

    dalam penyiasatan atau pemulihan;

    (h) Melaporkan insiden keselamatan ICT kepada CIO bagi

    insiden yang memerlukan Pelan Kesinambungan

    Perkhidmatan (PKP);

    (i) Bekerjasama dengan semua pihak yang berkaitan

    dalam mengenal pasti punca ancaman atau insiden

    keselamatan ICT dan memperakukan langkah-langkah

    baik pulih dengan segera;

    (j) Memastikan pematuhan DKICT JKSM/JKSN/MSN oleh

    pihak luar seperti pembekal dan kontraktor yang

    mencapai dan menggunakan aset ICT

    JKSM/JKSN/MSN untuk tujuan penyelenggaraan dan

    sebagainya;

    (k) Menyemak, mengkaji dan menyediakan laporan

    berkaitan dengan isu-isu keselamatan; dan

    (l) Memastikan Pelan Strategik ICT JKSM mengandungi

    aspek keselamatan;

  • DASAR KESELAMATAN ICT JKSM/JKSN/MSN

    Versi: 3.0 9 Mac 2016 JKSM M u k a s u r a t | 18

    020104 Pengurus ICT

    Pengarah Bahagian Teknologi Maklumat Komunikasi

    (BTMK) JKSM adalah merupakan Pengurus ICT

    JKSM/JKSN/MSN. Peranan dan tanggungjawab Pengurus ICT

    adalah seperti berikut:

    (a) Membaca, memahami dan mematuhi Dasar

    Keselamatan ICT JKSM/JKSN/MSN;

    (b) Mengkaji semula dan melaksanakan kawalan

    keselamatan ICT selaras dengan keperluan

    JKSM/JKSN/MSN;

    (c) Menentukan kawalan akses pengguna terhadap

    aset ICT JKSM/JKSN/MSN;

    (d) Melaporkan sebarang penemuan mengenai

    keselamatan ICT kepada JKICT JKSM ;

    (e) Menyimpan rekod atau laporan terkini tentang

    ancaman keselamatan ICT JKSM;

    (f) Memastikan semua kakitangan JKSM/JKSN/MSN,

    kontraktor dan pembekal yang terlibat dengan aset

    ICT JKSM/JKSN/MSN mematuhi dasar, piawaian dan

    garis panduan keselamatan ICT;

    (g) Melaksanakan keperluan DKICT dalam operasi

    semasa seperti berikut:

    i. Pelaksanaan sistem atau aplikasi baru sama ada

    dibangunkan secara dalaman atau luaran yang

    melibatkan teknologi baru;

    ii. Pembelian atau peningkatan perisian dan sistem

    komputer;

    Pengurus ICT

  • DASAR KESELAMATAN ICT JKSM/JKSN/MSN

    Versi: 3.0 9 Mac 2016 JKSM M u k a s u r a t | 19

    iii. Perolehan teknologi dan perkhidmatan komunikasi

    baru;

    iv. Menentukan pembekal dan rakan usahasama

    menjalani tapisan keselamatan.

    020105 Pentadbir Sistem

    Pegawai Teknologi Maklumat di setiap unit di BTMK JKSM

    adalah merupakan Pentadbir Sistem ICT di JKSM manakala

    Ketua Unit ICT di JKSN/MSN adalah merupakan Pentadbir

    Sistem ICT di JKSN/MSN.

    Pentadbir sistem terdiri seperti berikut :

    (i) Pentadbir Rangkaian dan Keselamatan;

    (ii) Pentadbir Pangkalan Data;

    (iii) Pentadbir Portal Rasmi JKSM (Web Master);

    (iv) Pentadbir Pusat Data;

    (v) Pentadbir Sistem Aplikasi; dan

    (vi) Pentadbir E-Mel.

    Pentadbir Sistem

    Pentadbir Rangkaian dan Keselamatan

    Peranan dan tanggungjawab Pentadbir Rangkaian dan

    Keselamatan adalah seperti berikut:

    (a) Memastikan rangkaian setempat (LAN) dan

    rangkaian luas (WAN) di JKSM beroperasi

    sepanjang masa;

    (b) Memastikan semua peralatan dan perisian rangkaian

    diselenggarakan dengan sempurna;

    Pentadbir

    Rangkaian dan

    Keselamatan

  • DASAR KESELAMATAN ICT JKSM/JKSN/MSN

    Versi: 3.0 9 Mac 2016 JKSM M u k a s u r a t | 20

    (c) Merancang peningkatan infrastruktur, ciri-ciri

    keselamatan dan prestasi rangkaian sedia ada;

    (d) Mengesan dan mengambil tindakan pembaikan segera

    ke atas rangkaian yang tidak stabil;

    (e) Memantau penggunaan rangkaian dan melaporkan

    kepada ICTSO sekiranya berlaku penyalahgunaan

    sumber rangkaian;

    (f) Memastikan laluan trafik keluar dan masuk

    diuruskan secara berpusat dan tidak membenarkan

    sambungan ke rangkaian JKSM secara tidak sah seperti

    melalui peralatan modem dan dial-up;

    (g) Menyediakan zon khas rangkaian untuk tujuan

    pengujian peralatan dan perisian rangkaian; dan

    (h) Melaksanakan penilaian tahap keselamatan sistem

    rangkaian dan sistem ICT (Security Posture

    Assessment, SPA) serta penilaian risiko keselamatan

    maklumat.

    Pentadbir Pangkalan Data

    Peranan dan tanggungjawab Pentadbir Pangkalan Data adalah

    seperti berikut:

    (a) Melaksanakan instalasi dan penambahbaikan

    pangkalan data serta perisian lain yang berkaitan

    dengan pangkalan data;

    (b) Memastikan pangkalan data boleh digunakan pada

    setiap masa;

    (c) Melaksanakan pemantauan dan penyelenggaraan

    yang berterusan ke atas pangkalan data;

    Pentadbir

    Pangkalan Data

  • DASAR KESELAMATAN ICT JKSM/JKSN/MSN

    Versi: 3.0 9 Mac 2016 JKSM M u k a s u r a t | 21

    (d) Memastikan aktiviti pentadbiran pangkalan data

    seperti prestasi capaian, penyelesaian masalah

    pangkalan data dan proses pengemaskinian data

    dilaksanakan dengan teratur;

    (e) Melaksanakan polisi pengguna pangkalan data

    berdasarkan kepada prinsip-prinsip DKICT;

    (f) Melaksanakan proses pembersihan data

    (housekeeping) di dalam pangkalan data; dan

    (g) Melaporkan sebarang insiden pelanggaran dasar

    keselamatan pangkalan data kepada ICTSO.

    Pentadbir Portal/ Laman Web JKSM

    Peranan dan tanggungjawab Pentadbir Portal/ Laman Web

    JKSM adalah seperti berikut:

    (a) Menerima kandungan laman web yang telah

    disahkan kesahihan dan terkini daripada sumber yang

    sah;

    (b) Memantau prestasi capaian dan menjalankan

    penalaan prestasi untuk memastikan akses yang

    lancar;

    (c) Memantau dan menganalisis log untuk mengesan

    sebarang capaian yang tidak sah atau cubaan

    menggodam, menceroboh dan mengubahsuai muka

    laman;

    (d) Menghadkan capaian Pentadbir Portal/ Laman Web ke

    web server;

    (e) Mengasingkan kandungan dan aplikasi atas talian

    untuk capaian secara Intranet dan Internet ke portal

    Pentadbir Portal/ Laman Web

  • DASAR KESELAMATAN ICT JKSM/JKSN/MSN

    Versi: 3.0 9 Mac 2016 JKSM M u k a s u r a t | 22

    JKSM;

    (f) Memastikan data-data SULIT tidak boleh disalin atau

    dicetak oleh orang yang tidak berhak;

    (g) Memastikan reka bentuk web dibangunkan dengan ciri-

    ciri keselamatan supaya tidak dicerobohi;

    (h) Melaksanakan housekeeping keselamatan terhadap

    sistem pengoperasian dan perisian-perisian lain di web

    server;

    (i) Melaksanakan proses backup dan restore secara

    berkala; dan

    (j) Melaporkan sebarang pelanggaran keselamatan laman

    portal kepada ICTSO.

    Pentadbir Pusat Data

    Peranan dan tanggungjawab Pentadbir Pusat Data adalah

    seperti berikut:

    (a) Memastikan persekitaran fizikal dan keselamatan Pusat

    Data berada dalam keadaan baik dan selamat;

    (b) Memastikan keselamatan data dan sistem aplikasi yang

    berada dalam Pusat Data;

    (c) Menjadualkan dan melaksanakan proses salinan

    (backup and restore) ke atas pangkalan data secara

    berkala;

    (d) Menyediakan perancangan pemulihan bencana

    mengikut prinsip Pengurusan Kesinambungan

    Perkhidmatan (PKP) dalam DKICT;

    (e) Melaksanakan prinsip-prinsip DKICT; dan

    (f) Memastikan Pusat Data sentiasa beroperasi

    Pentadbir Pusat Data

  • DASAR KESELAMATAN ICT JKSM/JKSN/MSN

    Versi: 3.0 9 Mac 2016 JKSM M u k a s u r a t | 23

    mengikut polisi yang telah ditetapkan.

    Pentadbir Sistem Aplikasi

    Peranan dan tanggungjawab Pentadbir Sistem Aplikasi adalah

    seperti berikut:

    (a) Mengkaji cadangan pembangunan/ penyelarasan

    sistem/ modul di JKSM;

    (b) Membuat kajian semula serta memperbaiki sistem/

    modul sedia ada di JKSM;

    (c) Membuat pertimbangan dan mengusulkan

    cadangan pelaksanaan sistem/ modul di JKSM;

    (d) Membuat pemantauan dan penyelenggaraan

    terhadap sistem / modul dari masa ke semasa;

    (e) Bertanggungjawab dalam aspek-aspek pelaksanaan

    keseluruhan sistem/ modul;

    (f) Menyediakan dokumentasi sistem/ modul dan

    manual pengguna;

    (g) Memastikan kelancaran operasi sistem aplikasi

    supaya perkhidmatan yang disediakan tidak

    terjejas;

    (h) Memastikan kod-kod program sistem aplikasi

    adalah selamat daripada penggodam sebelum

    sistem tersebut diaktifkan penggunaanya;

    (i) Memastikan virus pattern, hotfix dan patch yang

    berkaitan dengan sistem aplikasi dikemas kini supaya

    terhindar daripada ancaman virus dan penggodam;

    (j) Mematuhi dan melaksanakan prinsip-prinsip DKICT

    dalam pewujudkan akaun pengguna ke atas setiap

    Pentadbir Sistem Aplikasi

  • DASAR KESELAMATAN ICT JKSM/JKSN/MSN

    Versi: 3.0 9 Mac 2016 JKSM M u k a s u r a t | 24

    sistem aplikasi;

    (k) Melaksanakan sandaran (backup) sistem aplikasi

    pangkalan data yang berkaitan dengannya dibuat

    secara berjadual;

    (l) Menghadkan capaian Dokumentasi Sistem Aplikasi

    bagi mengelakkan daripada penyalahgunaannya;

    (m) Melaporkan kepada ICTSO jika berlakunya insiden

    keselamatan ke atas sistem aplikasi di bawah

    pentadbirannya; dan

    (n) Menjadi ahli Jawatankuasa Keselamatan ICT JKSM

    (JKICT).

    Pentadbir E-mel

    Peranan dan tanggungjawab Pentadbir E-mel adalah seperti

    berikut:

    (a) Menentukan setiap akaun yang diwujudkan atau

    dibatalkan telah mendapat kelulusan. Pembatalan

    akaun (pengguna yang berhenti, bertukar dan

    melanggar dasar dan tatacara jabatan) perlulah

    dilakukan dengan segera atas tujuan keselamatan

    maklumat;

    (b) Pentadbir e-mel boleh membekukan akaun

    pengguna jika perlu semasa pengguna bercuti panjang,

    berkursus atau menghadapi tindakan

    tatatertib;

    (c) Menyimpan jejak audit selama sekurang-kurangnya

    enam (6) bulan di dalam pelayan e-mel tertakluk

    Pentadbir E-mel

  • DASAR KESELAMATAN ICT JKSM/JKSN/MSN

    Versi: 3.0 9 Mac 2016 JKSM M u k a s u r a t | 25

    kepada kemampuan ruang storan;

    (d) Melaksanakan backup dan pengarkiban emel.

    Penyimpanan media storan sama ada di luar atau di

    dalam kawasan mestilah mempunyai ciri-ciri

    keselamatan fizikal yang terjamin bagi mengelak

    daripada sebarang risiko seperti kehilangan maklumat;

    (e) Memastikan akaun e-mel pengguna sentiasa di

    dalam keadaan baik dan berfungsi;

    (f) Memaklumkan kepada ICTSO sekiranya mengalami

    insiden keselamatan seperti serangan virus, serangan

    e-mail spamming, phishing, pencerobohan e-mel dan

    penyalahgunaan e-mel;

    (g) Pentadbir e-mel hendaklah mengurus dan

    menangani insiden yang berlaku dengan segera dan

    sistematik sehingga keadaan kembali pulih;

    (h) Menyediakan ruang mailbox yang mencukupi

    sekurang-kurangnya 200MB untuk setiap akaun emel

    dan jumlah ini adalah bergantung kepada keperluan

    pemilik akaun e-mel;

    (i) Memastikan pengguna e-mel JKSM berkemahiran

    menggunakan e-mel melalui penyediaan dokumen

    tatacara penggunaan e-mel JKSM dan Internet JKSM

    serta pelaksanaan Kursus Pembudayaan ICT

    (Penggunaan E-mel dan Internet) secara berterusan.

    020106 Pengguna

  • DASAR KESELAMATAN ICT JKSM/JKSN/MSN

    Versi: 3.0 9 Mac 2016 JKSM M u k a s u r a t | 26

    Peranan dan tanggungjawab pengguna adalah seperti berikut:

    (a) Membaca, memahami dan mematuhi Dasar

    Keselamatan ICT JKSM/JKSN/MSN;

    (b) Mengetahui dan memahami implikasi keselamatan

    ICT kesan dari tindakannya;

    (c) Menjalani tapisan keselamatan sekiranya dikehendaki

    berurusan dengan maklumat rasmi terperingkat;

    (d) Melaksanakan prinsip-prinsip Dasar Keselamatan ICT

    JKSM/JKSN/MSN dan menjaga kerahsiaan maklumat

    JKSM/JKSN/MSN;

    (e) Melaksanakan langkah-langkah perlindungan seperti

    berikut :

    i. Menghalang pendedahan maklumat kepada pihak

    yang tidak dibenarkan;

    ii. Memeriksa maklumat dan menentukan ia tepat

    dan lengkap dari semasa ke semasa;

    iii. Menentukan maklumat sedia untuk digunakan;

    iv. Menjaga kerahsiaan kata laluan;

    v. Mematuhi standard, prosedur, langkah dan garis

    panduan keselamatan yang ditetapkan;

    vi. Melaksanakan peraturan berkaitan maklumat

    terperingkat terutama semasa pewujudan,

    pemprosesan, penyimpanan, penghantaran,

    penyampaian, pertukaran dan pemusnahan; dan

    vii. Menjaga kerahsiaan langkah-langkah keselamatan

    ICT dari diketahui umum.

    (f) Melaporkan sebarang aktiviti yang mengancam

    Pengguna

  • DASAR KESELAMATAN ICT JKSM/JKSN/MSN

    Versi: 3.0 9 Mac 2016 JKSM M u k a s u r a t | 27

    keselamatan ICT kepada ICTSO dengan segera;

    (g) Menghadiri program-program kesedaran mengenai

    keselamatan ICT; dan

    (h) Menandatangani “Surat Akuan Pematuhan”

    (LAMPIRAN 1) bagi mematuhi Dasar Keselamatan

    ICT JKSM/JKSN/MSN.

    020107 Jawatan Kuasa Keselamatan ICT JKSM

    Keanggotaan JKICT JKSM adalah seperti berikut:

    Pengerusi: CIO

    Ahli :

    • Pengarah Bahagian Khidmat Pengurusan & Sumber

    Manusia

    • Pengarah Bahagian Latihan

    • Pengarah Bahagian Pusat Sumber Maklumat dan

    Penerbitan

    • Pengarah Bahagian Dasar dan Penyelidikan

    • Pengarah Bahagian Sokongan Keluarga

    • Pengarah Bahagian Pendaftaran, Keurusetiaan dan Rekod

    • Ketua Unit Integriti

    Urusetia: BTMK JKSM

    CIO

  • DASAR KESELAMATAN ICT JKSM/JKSN/MSN

    Versi: 3.0 9 Mac 2016 JKSM M u k a s u r a t | 28

    Carta struktur organisasi JKICT JKSM seperti di LAMPIRAN 2.

    Bidang Kuasa:

    (a) Menyelenggara dokumen DKICT JKSM;

    (b) Memantau tahap pematuhan DKICT JKSM;

    (c) Menilai aspek teknikal keselamatan projek-projek ICT;

    (d) Membangunkan garis panduan, prosedur dan tatacara

    untuk aplikasi-aplikasi khusus dalam jabatan yang

    mematuhi keperluan DKICT JKSM;

    (e) Menyemak semula sistem ICT supaya sentiasa

    mematuhi keperluan keselamatan dari semasa ke

    semasa;

    (f) Menilai teknologi yang bersesuaian dan

    mencadangkan penyelesaian terhadap keperluan

    keselamatan ICT;

    (g) Memastikan DKICT JKSM selaras dengan dasar-dasar

    ICT kerajaan semasa;

    (h) Bekerjasama dengan JKSMCERT untuk mendapatkan

    maklum balas dan insiden untuk tindakan

    pengemaskinian DKICT JKSM; dan

    (i) Membincang tindakan yang melibatkan pelanggaran

    DKICT JKSM.

    020108 Jawatan Kuasa Keselamatan ICT JKSN/MSN

    Keanggotaan JKICT JKSN/MSN adalah seperti berikut:

    JKICT JKSN/MSN

  • DASAR KESELAMATAN ICT JKSM/JKSN/MSN

    Versi: 3.0 9 Mac 2016 JKSM M u k a s u r a t | 29

    Pengerusi: CIO

    Ahli :

    • ICTSO

    • Wakil Mahkamah Tinggi Syariah yang dilantik

    Wakil Mahkamah Rendah Syariah yang dilantik

    Urusetia: ICT JKSN/MSN

    Carta struktur organisasi JKICT JKSN/MSN seperti di

    LAMPIRAN 2.

    Bidang Kuasa:

    (a) Memantau tahap pematuhan DKICT JKSN/MSN;

    (b) Menilai aspek teknikal keselamatan projek-projek ICT

    di JKSN/MSN;

    (c) Mengkaji keperluan garis panduan, prosedur dan

    tatacara untuk aplikasi-aplikasi khusus dalam

    jabatan yang mematuhi keperluan DKICT

    JKSM/JKSN/MSN;

    (d) Menyemak semula sistem ICT supaya sentiasa

    mematuhi keperluan keselamatan dari semasa ke

    semasa;

    (e) Menilai teknologi yang bersesuaian dan

    mencadangkan penyelesaian terhadap keperluan

    keselamatan ICT;

    (f) Memastikan DKICT JKSM/JKSN/MSN selaras

  • DASAR KESELAMATAN ICT JKSM/JKSN/MSN

    Versi: 3.0 9 Mac 2016 JKSM M u k a s u r a t | 30

    dengan dasar-dasar ICT kerajaan semasa; dan

    (g) Menyediakan laporan keselamatan ICT kepada

    JKICT JKSM dan membincangkan serta

    menyelesaikan isu-isu berbangkit.

    020108 Pasukan Tindak Balas Insiden Keselamatan ICT JKSM (JKSMCERT)

    Keanggotaan JKSMCERT adalah seperti berikut: Pengerusi: Pengarah BTMK

    Ahli :

    • Ketua Penolong Pengarah (P) di BTMK JKSM • Ketua Penolong Pengarah (O) di BTMK JKSM • Pegawai Teknologi Maklumat di BTMK JKSM • Penolong Pegawai Teknologi Maklumat di BTMK JKSM

    Urusetia: BTMK Bidang Kuasa:

    (a) Menerima dan mengesan aduan keselamatan ICT

    dan menilai tahap dan jenis insiden;

    (b) Merekod dan menjalankan siasatan awal insiden yang

    diterima;

    (c) Menangani tindak balas (response) insiden

    keselamatan ICT dan mengambil tindakan baik pulih

    minimum;

    (d) Menghubungi dan melaporkan insiden yang

    berlaku kepada ICTSO dan GCERT MAMPU sama

    ada sebagai input atau untuk tindakan seterusnya;

    (e) Menasihati JKSN/MSN untuk mengambil tindakan

    Pengarah BTMK

  • DASAR KESELAMATAN ICT JKSM/JKSN/MSN

    Versi: 3.0 9 Mac 2016 JKSM M u k a s u r a t | 31

    pemulihan dan pengukuhan;

    (f) Menjalankan penilaian untuk memastikan tahap

    keselamatan ICT dan mengambil tindakan pemulihan

    atau pengukuhan bagi meningkatkan tahap

    keselamatan infrastruktur ICT supaya insiden baru

    dapat dielakkan;

    (g) Mengguna pakai Standard Operating Procedure (SOP)

    bagi pengurusan pengendalian insiden keselamatan;

    dan

    (h) Melaporkan sebarang maklum balas dan insiden

    keselamatan ICT kepada ICTSO.

    020109 Jawatankuasa Pemandu ICT (JPICT) JKSM

  • DASAR KESELAMATAN ICT JKSM/JKSN/MSN

    Versi: 3.0 9 Mac 2016 JKSM M u k a s u r a t | 32

    Keanggotaan JPICT JKSM adalah seperti berikut:

    Pengerusi: Ketua Pengarah/Ketua Hakim Syarie

    Ahli :

    • Ketua Pendaftar JKSM

    Pengarah Kanan Pengurusan

    Pengarah Bahagian Khidmat Pengurusan & Sumber

    Manusia

    • Pengarah Bahagian Latihan

    • Pengarah Bahagian Pusat Sumber Maklumat dan

    Penerbitan

    • Pengarah Bahagian Dasar dan Penyelidikan

    • Pengarah Bahagian Sokongan Keluarga

    • Pengarah Bahagian Pendaftaran, Keurusetiaan dan Rekod

    • Pengarah Bahagian Teknologi Maklumat & Komunikasi

    Ketua Unit Integriti

    Ketua Pendaftar MSWP

    Urusetia: BTMK JKSM

    Bidangkuasa:

    (a) Menetapkan arah tuju dan strategi ICT untuk

    pelaksanaan ICT JKSM/JKSN/MSN;

    (b) Merancang, menyelaras dan memantau pelaksanaan

    program/projek ICT JKSM/JKSN/MSN;

    Ketua

    Pengarah/Ketua

    Hakim Syarie

  • DASAR KESELAMATAN ICT JKSM/JKSN/MSN

    Versi: 3.0 9 Mac 2016 JKSM M u k a s u r a t | 33

    (c) Menyelaras dan menyeragamkan pelaksanaan ICT

    agar selari dengan Pelan Strategik Teknologi Maklumat

    (ISP) JKSM;

    (d) Meluluskan projek-projek ICT;

    (e) Mengikuti dan memantau perkembangan program ICT

    serta memahami keperluan, masalah dan isu-isu yang

    dihadapi dalam pelaksanaan ICT;

    (f) Merancang dan menentukan langkah-langkah

    keselamatan ICT;

    (g) Mengemukakan perolehan ICT yang telah

    diluluskan di peringkat JPICT JKSM kepada

    Jawatankuasa Teknikal ICT Sektor Awam (JTISA)

    MAMPU untuk kelulusan;

    (h) Mengemukakan laporan kemajuan projek ICT yang

    diluluskan kepada JTISA MAMPU; dan

    (i) Menetapkan dasar dan prosedur pengurusan portal

    rasmi JKSM.

    020110 Jawatankuasa Pelaksana MS ISO/IEC 27001:2013 Pengurusan Sistem

    Keselamatan Maklumat (ISMS) JKSM

  • DASAR KESELAMATAN ICT JKSM/JKSN/MSN

    Versi: 3.0 9 Mac 2016 JKSM M u k a s u r a t | 34

    Keanggotaan jawatankuasa adalah seperti berikut:

    Pengerusi: ICTSO

    Ahli:

    Ketua Penolong Pengarah (O) BahagianTeknologi Maklumat

    & Komunikasi

    Ketua Penolong Pengarah (P) BahagianTeknologi Maklumat &

    Komunikasi

    Ketua Penolong Pengarah Bahagian Latihan

    Ketua Penolong Pengarah Bahagian Khidmat Pengurusan &

    Sumber Manusia

    Pegawai Teknologi Maklumat

    Penolong Pegawai Teknologi Maklumat

    Urusetia:

    BTMK

    Bidang Kuasa:

    (a) Merancang dan menyelaras struktur organisasi ISMS;

    (b) Menghadiri kursus kesedaran ISMS;

    (c) Menyediakan skop ISMS;

    (d) Menyediakan penyataan dasar ISMS, Statement of

    Applicability (SoA), penilaian risiko, Risk Treatment

    Plan(RTP), kaedah pengukuran kawalan dan

    prosedur-prosedur ISMS;

    Jawatankuasa

    Pelaksana ISMS

  • DASAR KESELAMATAN ICT JKSM/JKSN/MSN

    Versi: 3.0 9 Mac 2016 JKSM M u k a s u r a t | 35

    (e) Mengemukakan isu dan masalah ISMS, sekiranya ada;

    dan

    (f) Mengukur keberkesanan kawalan ISMS.

  • DASAR KESELAMATAN ICT JKSM/JKSN/MSN

    Versi: 3.0 9 Mac 2016 JKSM M u k a s u r a t | 36

    020111 Keperluan Keselamatan Kontrak dengan Pihak Luar/ Asing

    Memastikan penggunaan maklumat dan kemudahan proses

    maklumat oleh pihak luar/asing dikawal. Perkara-perkara yang

    perlu dipatuhi adalah seperti berikut :

    (a) Membaca, memahami dan mematuhi Dasar

    Keselamatan ICT JKSM/JKSN/MSN;

    (b) Mengenal pasti risiko keselamatan maklumat dan

    kemudahan pemprosesan maklumat serta

    melaksanakan kawalan yang sesuai sebelum memberi

    kebenaran capaian;

    (c) Mengenal pasti keperluan keselamatan sebelum

    memberi kebenaran capaian atau penggunaan kepada

    pengguna;

    (d) Memastikan semua syarat keselamatan dinyatakan

    dengan jelas dalam perjanjian dengan pihak luar/

    asing;

    (e) Perjanjian yang dimeterai perlu mematuhi perkara-

    perkara berikut :

    (i) Dasar Keselamatan ICT JKSM / JKSN / MSN;

    (ii) Tapisan Keselamatan;

    (iii) Perakuan Akta Rahsia Rasmi 1972;

    (iv) Hak Harta Intelek; dan

    (v) Arahan Teknologi Maklumat.

    (f) Capaian kepada aset ICT JKSM/JKSN/MSN perlu

    berlandaskan kepada perjanjian kontrak atau lain-lain

    persetujuan bertulis yang diberikan oleh

    JKSM/JKSN/MSN;

    CIO, ICTSO,

    Pengurus ICT,

    Pentadbir Sistem

    ICT dan Pihak

    Luar/ Asing.

  • DASAR KESELAMATAN ICT JKSM/JKSN/MSN

    Versi: 3.0 9 Mac 2016 JKSM M u k a s u r a t | 37

    (g) Menandatangani Surat Akuan Pematuhan DKICT

    JKSM seperti di LAMPIRAN 1;

    (h) Pihak luaran (pembekal, kontraktor, perunding dan

    sebagainya) juga perlu menandatangani Borang KPKK

    11 dan Declaration To Be Signed By Contractors,

    Official Secrets Act (OSA) 1972 bagi perakuan untuk

    tidak membocorkan sebarang maklumat rasmi yang

    diperolehi sepanjang berkhidmat dengan JKSM.

  • DASAR KESELAMATAN ICT JKSM/JKSN/MSN

    Versi: 3.0 9 Mac 2016 JKSM M u k a s u r a t | 38

    BIDANG 03 KESELAMATAN SUMBER MANUSIA

    0301 Sebelum Perkhidmatan

    Objektif: Memastikan kakitangan JKSM/JKSN/MSN dan pihak luar seperti

    pembekal dan pakar runding memahami tanggungjawab dan peranan serta

    meningkatkan pengetahuan dalam keselamatan aset ICT.

    030101 Tapisan Keselamatan (Screening)

    Menjalankan tapisan keselamatan terhadap kakitangan

    JKSM/JKSN/MSN, pembekal, pakar runding dan pihak-pihak

    lain yang terlibat selaras dengan keperluan perkhidmatan.

    (A.7.1.1 Screening).

    Semua

    030102 Terma dan Syarat

    Perkara-perkara yang mesti dipatuhi adalah seperti berikut:

    (a) Menyatakan dengan lengkap dan jelas peranan dan

    tanggungjawab kakitangan JKSM/JKSN/MSN,

    pembekal, pakar runding dan pihak- pihak lain yang

    terlibat dalam menjamin keselamatan aset ICT; dan

    (b) Mematuhi semua terma dan syarat perkhidmatan

    yang ditawarkan dan peraturan semasa yang berkuat

    kuasa berdasarkan perjanjian yang telah ditetapkan.

    (A.7.1.2 Terms and Conditions Of Employment).

    Semua

    0302 Dalam Perkhidmatan

    Memastikan kakitangan JKSM/JKSN/MSN dan pihak luar seperti pembekal dan

    pakar runding mematuhi tanggungjawab dan peranan serta meningkatkan

    pengetahuan dalam keselamatan aset ICT. Semua kakitangan

  • DASAR KESELAMATAN ICT JKSM/JKSN/MSN

    Versi: 3.0 9 Mac 2016 JKSM M u k a s u r a t | 39

    JKSM/JKSN/MSN dan pihak luar hendaklah mematuhi terma dan syarat

    perkhidmatan dan peraturan semasa yang berkuat kuasa.

    030201 Tanggungjawab Pengurusan

    (a) Memastikan kakitangan JKSM/JKSN/MSN, pembekal

    dan pakar runding mematuhi dasar keselamatan

    maklumat JKSM/JKSN/MSN; dan

    (b) Memastikan kakitangan JKSM/JKSN/MSN, pembekal

    dan pakar runding mengurus keselamatan aset ICT

    berdasarkan perundangan dan peraturan yang

    ditetapkan oleh JKSM/JKSN/MSN.

    (A.7.2.1 Management responsibilities).

    Semua

    030202 Latihan kesedaran dan Pendidikan Keselamatan Maklumat

    Kakitangan JKSM/JKSN/MSN, pembekal dan pakar runding perlu

    diberikan program kesedaran mengenai keselamatan ICT secara

    berterusan dalam melaksanakan tugas-tugas dan tanggungjawab

    mereka.

    (A.7.2.2 Information security awareness, education and

    training).

    Semua

    030203 Tindakan Tatatertib

    (a) Memastikan adanya proses tindakan disiplin dan /atau

    undang-undang ke atas kakitangan JKSM/JKSN/MSN

    sekiranya berlaku perlanggaran dengan perundangan

    Semua

  • DASAR KESELAMATAN ICT JKSM/JKSN/MSN

    Versi: 3.0 9 Mac 2016 JKSM M u k a s u r a t | 40

    dan peraturan yang ditetapkan oleh JKSM/JKSN/MSN;

    (b) Pengguna yang melanggar DKICT JKSM/JKSN/MSN

    akan dikenakan tindakan tatatertib atau digantung

    daripada mendapat capaian kepada kemudahan ICT

    JKSM/JKSN/MSN.

    (A.7.2.3 Disciplinary process)

    0303 Bertukar Atau Tamat Perkhidmatan

    Objektif: Memastikan pertukaran, tamat perkhidmatan dan perubahan bidang tugas

    kakitangan JKSM/JKSN/MSN diurus dengan teratur.

    030301 Tamat Perkhidmatan Atau Perubahan Bidang Tugas

    Perkara-perkara yang perlu dipatuhi adalah seperti berikut:

    (a) Memastikan semua aset ICT dikembalikan kepada

    JKSM/JKSN/MSN mengikut peraturan dan/atau terma

    perkhidmatan yang ditetapkan; dan

    (b) Membatalkan atau menarik balik semua kebenaran

    capaian ke atas maklumat dan kemudahan proses

    maklumat mengikut peraturan yang ditetapkan

    JKSM/JKSN/MSN dan terma perkhidmatan yang

    ditetapkan.

    (A.7.3.1 Termination or change of employment

    responsibilities).

    Semua

  • DASAR KESELAMATAN ICT JKSM/JKSN/MSN

    Versi: 3.0 9 Mac 2016 JKSM M u k a s u r a t | 41

    BIDANG 04 PENGURUSAN ASET

    0401 Akauntabiliti/Tanggungjawab Aset

    Objektif: Untuk mengenal pasti aset bagi memberi dan menyokong

    perlindungan yang bersesuaian ke atas semua aset ICT JKSM/JKSN/MSN.

    040101 Inventori Aset

    Memberi dan menyokong perlindungan yang bersesuaian ke atas

    semua aset ICT JKSM/JKSN/MSN. Tanggungjawab yang perlu

    dipatuhi adalah termasuk perkara-perkara berikut:

    (a) Memastikan semua aset ICT dikenal pasti, dikelas

    (dikategori), didokumen, diselenggara dan dilupuskan.

    Maklumat aset direkod dan dikemas kini dalam Sistem

    Pengurusan Aset (SPA), Kad Daftar Harta Modal dan

    Inventori sebagaimana mengikut Pekeliling

    Perbendaharaan Bil.5 Tahun 2007: Tatacara Pengurusan

    Aset Alih Kerajaan (TPA);

    (A.8.1.1 Inventory of assets) dan (A.8.1.2 Ownership of

    assest) dan (A.8.1.3 Acceptable use of assests).

    (c) Memastikan semua aset ICT mempunyai pemilik dan

    dikendalikan oleh pengguna yang dibenarkan sahaja;

    (d) Memastikan semua pengguna mengesahkan penempatan

    aset ICT yang ditempatkan di JKSM/JKSN/MSN;

    (e) Memastikan semua peraturan pengendalian aset

    dikenalpasti, didokumenkan dan dilaksanakan; dan

    (f) Setiap pengguna adalah bertanggungjawab ke atas

    semua aset ICT di bawah kawalannya.

    Pegawai Aset

    dan Pengguna

  • DASAR KESELAMATAN ICT JKSM/JKSN/MSN

    Versi: 3.0 9 Mac 2016 JKSM M u k a s u r a t | 42

    (A.8.1.2 Ownership of assest).

    (g) Semua pengguna JKSM/JKSN/MSN/ hendaklah

    memulangkan semua aset kepada JKSM/ selepas

    bersara, bertukar jabatan dan penamatan perkhidmatan

    atau kontrak.

    (A8.1.4 Return of assests).

    (h) Semua aset sewaan haruslah dipelihara dengan baik oleh

    pemegang aset.

    0402 Klasifikasi Maklumat

    Objektif: Memastikan setiap maklumat atau aset ICT diberikan tahap perlindungan

    yang bersesuaian.

    040201 Pengelasan Maklumat

    Maklumat hendaklah dikelaskan atau dilabelkan sewajarnya

    oleh Pegawai yang diberi kuasa mengikut dokumen Arahan

    Keselamatan. Setiap maklumat yang dikelaskan mestilah

    mempunyai peringkat keselamatan sebagaimana yang telah

    ditetapkan di dalam dokumen Arahan Keselamatan seperti

    berikut :

    (A.8.2.1 Classification guidelines).

    (a) Rahsia Besar;

    (b) Rahsia;

    (c) Sulit; atau

    (d) Terhad

    Semua

  • DASAR KESELAMATAN ICT JKSM/JKSN/MSN

    Versi: 3.0 9 Mac 2016 JKSM M u k a s u r a t | 43

    040202 Pelabelan Maklumat

    Prosedur pelabelan maklumat hendaklah dibangunkan dan

    dilaksanakan mengikut skim klasifikasi maklumat yang

    digunapakai oleh JKSM.

    A.8.2.2 (Labelling of information)

    Semua

    040203 Pengendalian Aset

    Aktiviti pengendalian maklumat seperti mengumpul,

    memproses, menyimpan, menghantar, menyampai, menukar

    dan memusnah hendaklah mengambil kira langkah-langkah

    keselamatan berikut :

    (A.8.2.3 Handling of assets).

    (a) Menghalang pendedahan maklumat kepada pihak

    yang tidak dibenarkan;

    (b) Memeriksa maklumat dan menentukan ia tepat dan

    lengkap dari semasa ke semasa;

    (c) Menentukan maklumat sedia untuk digunakan;

    (d) Menjaga kerahsiaan kata laluan;

    (e) Mematuhi standard, prosedur, langkah dan garis

    panduan keselamatan yang ditetapkan;

    (f) Memberi perhatian kepada maklumat terperingkat

    terutama semasa pewujudan, pemprosesan,

    penyimpanan, penghantaran, penyampaian,

    pertukaran dan pemusnahan; dan

    (g) Menjaga kerahsiaan langkah-langkah keselamatan

    ICT dari diketahui umum.

    Semua

  • DASAR KESELAMATAN ICT JKSM/JKSN/MSN

    Versi: 3.0 9 Mac 2016 JKSM M u k a s u r a t | 44

    0403 Pengendalian Media

    Objektif: Melindungi aset ICT dari sebarang pendedahan, pengubahsuaian,

    pemindahan atau pemusnahan serta gangguan ke atas aktiviti perkhidmatan.

    040301 Pengurusan Media Mudah Alih (Removal Media)

    Prosedur pengurusan media mudah alih hendaklah dilaksanakan

    mengikut skim pengelasan yang diguna pakai oleh JKSM.

    (A.8.3.1 Management of removal media)

    Prosedur-prosedur pengendalian media yang perlu dipatuhi

    adalah seperti berikut:

    (a) Melabelkan semua media mengikut tahap sensitiviti

    sesuatu maklumat;

    (b) Menghadkan dan menentukan capaian media kepada

    pengguna yang dibenarkan sahaja;

    (c) Menghadkan pengedaran data atau media untuk tujuan

    yang dibenarkan sahaja;

    (d) Mengawal dan merekodkan aktiviti penyelenggaraan

    media bagi mengelak dari sebarang kerosakan dan

    pendedahan yang tidak dibenarkan; dan

    (e) Menyimpan semua media di tempat yang selamat.

    CIO, Pegawai

    Teknologi

    Maklumat dan

    Pengguna

    040302 Pelupusan Media

    Pelupusan media perlu mendapat kelulusan dari pihak

    pengurusan ICT dan mengikut prosedur JKSM/JKSN/MSN yang

    mana berkenaan.

    (A.8.3.2 Disposal Media).

    CIO, Pegawai

    Teknologi

    Maklumat dan

    Pengguna

  • DASAR KESELAMATAN ICT JKSM/JKSN/MSN

    Versi: 3.0 9 Mac 2016 JKSM M u k a s u r a t | 45

    Media yang mengandungi maklumat terperingkat yang hendak

    dihapuskan atau dimusnahkan mestilah dilupuskan mengikut

    prosedur yang betul serta selamat dan dengan kebenaran

    JKSM/JKSN/MSN.

    040303 Pemindahan Media Fizikal

    JKSM hendaklah memastikan media yang mengandungi

    maklumat dilindungi daripada capaian yang tidak dibenarkan,

    penyalahgunaan atau kerosakan semasa pemindahan.

    (A.8.3.3 Physical media in transit).

    Semua

  • DASAR KESELAMATAN ICT JKSM/JKSN/MSN

    Versi: 3.0 9 Mac 2016 JKSM M u k a s u r a t | 46

    BIDANG 05 KAWALAN CAPAIAN 0501 Keperluan Kawalan Capaian

    Objektif: Menghadkan akses kepada kemudahan pemprosesan data dan

    maklumat dengan memahami dan mematuhi keperluan keselamatan

    dalam mengawal capaian ke atas maklumat.

    050101 Dasar Kawalan Capaian

    Capaian kepada proses dan maklumat hendaklah dikawal

    mengikut keperluan keselamatan dan fungsi kerja pengguna

    yang berbeza.

    (A.9.1.1 Access control policy)

    Peraturan kawalan capaian hendaklah diwujudkan,

    didokumenkan dan disemak berdasarkan keperluan

    perkhidmatan dan keselamatan maklumat. Ia perlu dikemas

    kini setahun sekali atau mengikut keperluan dan menyokong

    peraturan kawalan capaian pengguna sedia ada. Perkara yang

    perlu dipatuhi adalah seperti berikut:

    (a) Keperluan keselamatan aplikasi JKSM;

    (b) Kebenaran untuk menyebarkan maklumat;

    (c) Hak akses dan dasar klasifikasi maklumat sistem dan

    rangkaian;

    (d) Undang-undang Malaysia/ Persekutuan yang

    berkaitan dan obligasi kontrak mengenai had akses

    kepada data atau perkhidmatan;

    (e) Kawalan capaian ke atas perkhidmatan rangkaian

    dalaman dan luaran;

    ICTSO,

    Pengurus ICT

    dan Pentadbir

    Sistem

  • DASAR KESELAMATAN ICT JKSM/JKSN/MSN

    Versi: 3.0 9 Mac 2016 JKSM M u k a s u r a t | 47

    (f) Pengasingan peranan kawalan capaian;

    (g) Kebenaran rasmi permintaan akses;

    (h) Keperluan semakan hak akses berkala;

    (i) Pembatalan hak akses;

    (j) Arkib semua peristiwa penting yang berkaitan dengan

    penggunaan dan pengurusan identiti pengguna dan

    maklumat; dan

    (k) Akses privilage.

    050102 Capaian Kepada Rangkaian Dan Perkhidmatan Rangkaian

    Pengguna hanya boleh dibekalkan dengan capaian ke

    rangkaian dan perkhidmatan rangkaian setelah mendapat

    kebenaran dari ICTSO.

    (A.9.1.2 Access to network and network services)

    Kawalan capaian perkhidmatan rangkaian hendaklah dijamin

    selamat dengan:

    (a) Menempatkan atau memasang perkakasan ICT yang

    bersesuaian di antara rangkaian JKSM, rangkaian

    agensi lain dan rangkaian awam;

    (b) Mewujud dan menguatkuasakan mekanisme untuk

    pengesahan pengguna dan perkakasan ICT yang

    dihubungkan ke rangkaian; dan

    (c) Memantau dan menguatkuasakan kawalan capaian

    pengguna terhadap perkhidmatan rangkaian ICT.

    ICTSO,

    Pengurus ICT

    dan Pentadbir

    Rangkaian dan

    Keselamatan

  • DASAR KESELAMATAN ICT JKSM/JKSN/MSN

    Versi: 3.0 9 Mac 2016 JKSM M u k a s u r a t | 48

    0502 Pengurusan Capaian Pengguna

    Objektif: Capaian kepada proses dan maklumat hendaklah dikawal mengikut

    keperluan keselamatan dan fungsi kerja pengguna yang berbeza. Ia perlu

    direkodkan, dikemas kini dan menyokong dasar kawalan capaian pengguna

    sedia ada.

    050201 Pendaftaran Pengguna dan Pembatalan Pengguna

    Proses pendaftaran dan pembatalan pengguna hendaklah

    dilaksanakan bagi membolehkan capaian dan pembatalan hak

    capaian

    (A.9.2.1 User registration and deregistration).

    Perkara –perkara berikut hendaklah dipatuhi:

    (a) Akaun yang diperuntukkan oleh JKSM/JKSN/MSN

    sahaja boleh digunakan;

    (b) Akaun pengguna mestilah unik;

    (c) Sebarang perubahan tahap capaian hendaklah

    mendapat kelulusan daripada JKSM/JKSN/MSN

    terlebih dahulu;

    (d) Penggunaan akaun milik orang lain atau akaun yang

    dikongsi bersama adalah dilarang; dan

    (e) Menentukan setiap akaun yang diwujudkan atau

    dibatalkan telah mendapat kelulusan

    JKSM/JKSN/MSN.

    Pengguna

    JKSM/JKSN/MS

    N,

    Pentadbir

    Sistem Aplikasi,

    ICTSO,

    Pengurus ICT

  • DASAR KESELAMATAN ICT JKSM/JKSN/MSN

    Versi: 3.0 9 Mac 2016 JKSM M u k a s u r a t | 49

    050202 Penyediaan Akses Pengguna (Provisioning)

    Satu proses penyediaan akses pengguna untuk kebenaran

    dan pembatalan capaian pengguna ke atas semua aplikasi dan

    perkhidmatan ICT

    (A.9.2.2 User access provisioning)

    Pentadbir

    Sistem Aplikasi,

    ICTSO,

    Pengurus ICT

    050203 Pengurusan Hak Capaian

    Penetapan dan penggunaan ke atas hak capaian perlu

    diberi kawalan dan penyeliaan yang ketat berdasarkan

    keperluan skop tugas.

    (A.9.2.3 Management of Privileged Access Rights).

    Pentadbir

    Sistem Aplikasi

    050204 Pembatalan atau Pelarasan Hak Akses

    Hak capaian kakitangan dan pengguna pihak luar untuk

    kemudahan pemprosesan data atau maklumat hendaklah

    dikeluarkan/dibatalkan selepas penamatan pekerjaan, kontrak

    atau perjanjian, atau diselaraskan apabila berlaku perubahan

    dalam JKSM/JKSN/MSN.

    (A.9.2.6 Removal or adjustment of access rights)

    Pentadbir

    Sistem Aplikasi,

    Pentadbir e-

    mel, ICTSO,

    Pengurus ICT

    0503 Tanggungjawab pengguna

    Peranan dan tanggungjawab pengguna adalah seperti berikut:

    (a)Membaca, memahami dan mematuhi Dasar

    Keselamatan ICT JKSM/JKSN/MSN;

    (b) Mengetahui dan memahami implikasi keselamatan ICT

    kesan dari tindakannya;

    (c) Melaksanakan prinsip-prinsip Dasar Keselamatan

    ICT JKSM/JKSN/MSN dan menjaga kerahsiaan

    Pengguna,

    Pentadbir

    Sistem, ICTSO,

    Pengurus ICT

  • DASAR KESELAMATAN ICT JKSM/JKSN/MSN

    Versi: 3.0 9 Mac 2016 JKSM M u k a s u r a t | 50

    maklumat JKSM/JKSN/MSN;

    (d) Melaksanakan langkah-langkah perlindungan seperti

    berikut :-

    Menghalang pendedahan maklumat kepada pihak yang

    tidak dibenarkan;

    Memeriksa maklumat dan menentukan ia tepat dan

    lengkap dari semasa ke semasa;

    Menentukan maklumat sedia untuk digunakan;

    Menjaga kerahsiaan kata laluan;

    Mematuhi standard, prosedur, langkah dan garis

    panduan keselamatan yang ditetapkan;

    Memberi perhatian kepada maklumat terperingkat

    terutama semasa pewujudan, pemprosesan,

    penyimpanan, penghantaran, penyampaian, pertukaran

    dan pemusnahan; dan

    Menjaga kerahsiaan langkah-langkah keselamatan

    ICT dari diketahui umum.

    (e)Melaporkan sebarang aktiviti yang mengancam

    keselamatan ICT kepada ICTSO dengan segera;

    (f) Menghadiri program-program kesedaran mengenai

    keselamatan ICT.

  • DASAR KESELAMATAN ICT JKSM/JKSN/MSN

    Versi: 3.0 9 Mac 2016 JKSM M u k a s u r a t | 51

    050301 Penggunaan Kata Laluan

    Pengguna perlu mengikut amalan keselamatan yang baik di

    dalam pemilihan, penggunaan dan pengurusan kata laluan

    sebagai melindungi maklumat yang digunakan untuk

    pengesahihan identiti.

    (A.9.3.1 Use of secret authentication information)

    Pengguna,

    Pentadbir

    Sistem, ICTSO,

    Pengurus ICT

    0504 Kawalan Capaian Sistem dan Aplikasi

    Objektif: Menghalang capaian tidak sah dan tanpa kebenaran ke atas

    maklumat yang terdapat di dalam sistem dan aplikasi.

    050401 Had Kawalan Capaian Maklumat

    Akses kepada fungsi maklumat dan sistem aplikasi hendaklah

    dihadkan mengikut dasar kawalan capaian.

    (A.9.4.1 Information access restriction)

    Pengguna,

    Pentadbir

    Sistem, ICTSO,

    Pengurus ICT

    050402 Prosedur Log-on

    Kawalan terhadap capaian aplikasi sistem perlu mempunyai

    kaedah pengesahan log-on yang bersesuaian bagi

    mengelakkan sebarang capaian yang tidak dibenarkan.

    (A.9.4.2 Secure log-on procedure).

    Kaedah-kaedah yang digunakan adalah seperti berikut:

    (a) Mengesahkan pengguna yang dibenarkan selaras

    dengan peraturan jabatan;

    (b) Menjana amaran (alert) sekiranya berlaku

    perlanggaran semasa proses log-on terhadap aplikasi

    Pentadbir

    Sistem, ICTSO,

    Pengurus ICT

  • DASAR KESELAMATAN ICT JKSM/JKSN/MSN

    Versi: 3.0 9 Mac 2016 JKSM M u k a s u r a t | 52

    sistem;

    (c) Mengawal capaian ke atas aplikasi sistem

    menggunakan prosedur log-on yang terjamin;

    (d) Mewujudkan satu teknik pengesahan yang

    bersesuaian bagi mengesahkan pengenalan diri

    pengguna;

    (e) Mewujudkan sistem pengurusan kata laluan secara

    interaktif dan memastikan kata laluan adalah berkualiti;

    (f) Mewujudkan jejak audit ke atas semua capaian

    aplikasi sistem.

    050403 Sistem Pengurusan Kata Laluan

    Pengurusan kata laluan mestilah mematuhi amalan terbaik

    serta prosedur yang ditetapkan oleh JKSM seperti berikut:

    (A.9.4.3 Password Management System)

    (a) Dalam apa jua keadaan dan sebab, kata laluan

    hendaklah dilindungi dan tidak boleh dikongsi dengan

    sesiapa pun;

    (b) Pengguna hendaklah menukar kata laluan apabila

    disyaki berlakunya kebocoran kata laluan atau

    dikompromi;

    (c) Panjang kata laluan mestilah sekurang kurangnya dua

    belas (12) aksara dengan gabungan antara huruf,

    aksara khas dan nombor (alphanumerik);

    (d) Kata laluan hendaklah diingat dan TIDAK BOLEH

    dicatat, disimpan atau didedahkan dengan apa cara

    sekalipun;

    Pengguna,

    Pentadbir

    Sistem, ICTSO,

    Pengurus ICT

  • DASAR KESELAMATAN ICT JKSM/JKSN/MSN

    Versi: 3.0 9 Mac 2016 JKSM M u k a s u r a t | 53

    (e) Kata laluan windows hendaklah diaktifkan terutamanya

    pada komputer yang terletak di ruang gunasama;

    (f) Kata laluan hendaklah tidak dipaparkan semasa input,

    dalam laporan atau media lain dan tidak boleh

    dikodkan di dalam aturcara;

    (g) Kuatkuasakan pertukaran katalaluan semasa login kali

    pertama atau selepas login kali pertama atau selepas

    kata laluan diset semula;

    (h) Kata laluan hendaklah berlainan daripada pengenalan

    identiti pengguna;

    (i) Had kemasukan katalaluan bagi capaian kepada

    sistem aplikasi adalah maksimum tiga (3) kali sahaja.

    Setelah mencapai tahap maksimum, capaian kepada

    sistem akan disekat sehingga id capaian diaktifkan

    semula;dan

    (j) Sistem yang dibangunkan mestilah mempunyai

    kemudahan menukar kata laluan oleh pengguna.

    050404 Penggunaan Utiliti Sistem

    Penggunaan program utiliti hendaklah dikawal bagi

    mengelakkan Over-Riding sistem.

    (A.9.4.4 Use of privileged utility programs)

    Pentadbir

    Sistem, ICTSO,

    Pengurus ICT

  • DASAR KESELAMATAN ICT JKSM/JKSN/MSN

    Versi: 3.0 9 Mac 2016 JKSM M u k a s u r a t | 54

    050405 Kawalan Akses Kepada Source Code Program

    Pembangunan sistem secara outsource perlu diselia dan

    dipantau oleh JKSM.

    (A.9.4.5 Access control to program source code).

    (a) Log audit perlu dikekalkan kepada semua akses

    kepada kod sumber;

    (b) Penyelenggaraan dan penyalinan kod sumber

    hendaklah tertakluk kepada kawalan perubahan;

    (c) Kod sumber bagi semua aplikasi dan perisian

    hendaklah menjadi hakmilik JKSM.

    Pentadbir

    Sistem, ICTSO,

    Pengurus ICT

  • DASAR KESELAMATAN ICT JKSM/JKSN/MSN

    Versi: 3.0 9 Mac 2016 JKSM M u k a s u r a t | 55

    BIDANG 06 KRIPTOGRAFI

    0601 Kawalan Kriptografi

    Objektif: Melindungi kerahsiaan, integriti dan kesahihan maklumat melalui

    kawalan kriptografi.

    060101 Kawalan Pengunaan Kriptografi

    Melindungi kerahsiaan, integriti dan kesahihan maklumat

    yang merangkumi data di dalam sistem rangkaian, sistem

    aplikasi dan pangkalan data. Kunci enkripsi mestilah

    dilindungi dengan menggunakan cara kawalan yang terbaik

    dan hendaklah dirahsiakan. Semua kunci mestilah dilindungi

    daripada pengubahsuaian, pemusnahan dan sebaran tanpa

    kebenaran sepanjang kitaran hayat kunci tersebut.

    (A.10.1.1 Policy on the use of cryptographic control)

    Kriptografi turut merangkumi kaedah-kaedah seperti berikut:

    (a) Enkripsi

    Sistem aplikasi yang melibatkan maklumat

    terperingkat hendaklah dibuat enkripsi (encryption).

    (b) Tandatangan Digital

    Maklumat terperingkat yang perlu diproses dan

    dihantar secara elektronik hendaklah

    menggunakan tandatangan digital mengikut

    keperluan pelaksanaan.

    (c) Pengurusan Infrastruktur Kunci Awam/Public

    Key Infrastructure (PKI)

    Pentadbir

    Sistem ICT

  • DASAR KESELAMATAN ICT JKSM/JKSN/MSN

    Versi: 3.0 9 Mac 2016 JKSM M u k a s u r a t | 56

    Pengurusan ke atas PKI hendaklah dilakukan

    dengan berkesan dan selamat bagi melindungi

    kunci berkenaan dari diubah, dimusnah dan

    didedahkan sepanjang tempoh sah kunci tersebut.

  • DASAR KESELAMATAN ICT JKSM/JKSN/MSN

    Versi: 3.0 9 Mac 2016 JKSM M u k a s u r a t | 57

    BIDANG 07 KESELAMATAN FIZIKAL DAN PERSEKITARAN

    0701 Keselamatan Kawasan

    Objektif: Mencegah akses fizikal yang tidak dibenarkan yang boleh

    mengakibatkan kecurian, kerosakan atau gangguan kepada maklumat dan

    kemudahan pemprosesan maklumat JKSM/JKSN/MSN.

    070101 Kawalan Kawasan

    Ini bertujuan untuk menghalang capaian, kerosakan

    dan gangguan secaraperolehan fizikal terhadap premis

    dan maklumat agensi.

    (A.11.1.1 Physical security parameter)

    Perkara-perkara yang perlu dipatuhi termasuk yang berikut:

    (a) Menggunakan keselamatan perimeter

    (halangan seperti dinding,pagar,kawalan,pengawal

    keselamatan) untuk melindungi kawasan yang

    mengandungi maklumat dan kemudahan

    pemprosesan maklumat;

    (b) Melindungi kawasan terhad melalui kawalan pintu

    masuk yang bersesuaian bagi memastikan

    kakitangan yang diberi kebenaran sahaja boleh

    melalui pintu masuk ini;

    (c) Mereka bentuk dan melaksanakan keselamatan

    fizikal di dalam pejabat, bilik dan kemudahan ;

    (d) Mereka bentuk dan melaksanakan perlindungan

    fizikal dari kebakaran, banjir, letupan, kacau-bilau

    manusia dan sebarang bencana disebabkan oleh

    kuasa Tuhan atau perbuatan manusia;

    (e) Melaksana perlindungan fizikal dan menyediakan

    Pejabat

    Ketua Pegawai

    Keselamatan

    Kerajaan

    Malaysia, CIO

  • DASAR KESELAMATAN ICT JKSM/JKSN/MSN

    Versi: 3.0 9 Mac 2016 JKSM M u k a s u r a t | 58

    garis panduan untuk kakitangan yang bekerja di

    dalam kawasan terhad;

    (f) Memastikan kawasan-kawasan penghantaran dan

    pemunggahan dan juga tempat-tempat lain

    dikawal dari pihak yang tidak diberi kebenaran

    memasukinya; dan

    (g) Memasang alat penggera atau kamera;

    070102 Kawalan Masuk Fizikal

    Kawalan masuk fizikal adalah bertujuan untuk mewujudkan

    kawalan keluar masuk ke premis JKSM. Perkara yang perlu

    dipatuhi adalah seperti berikut:

    (A.11.1.2 Physical entry controls)

    (a) Setiap pegawai dan kakitangan JKSM hendaklah

    mempamerkan Pas Keselamatan sepanjang waktu

    bertugas. Semua pas keselamatan hendaklah

    dikembalikan kepada JKSM apabila bertukar, tamat

    perkhidmatan atau bersara;

    (b) Setiap pelawat hendaklah mendaftar dan

    mendapatkan pas keselamatan pelawat di kaunter

    keselamatan dan hendaklah dikembalikan selepas

    tamat lawatan; dan

    (c) Hanya pengguna yang diberi kebenaran sahaja

    boleh menggunakan aset ICT JKSM;

    (d) Kehilangan pas hendaklah dilaporkan segera

    Semua

  • DASAR KESELAMATAN ICT JKSM/JKSN/MSN

    Versi: 3.0 9 Mac 2016 JKSM M u k a s u r a t | 59

    kepada Pihak Berkuasa.

    070103 Kawalan Pejabat, Bilik dan Tempat Operasi

    Perkara yang perlu dipatuhi adalah seperti berikut:

    (A.11.1.3 Securing offices,rooms and facilities)

    (a) Kawasan tempat berkerja, bilik dan tempat operasi

    ICT perlu dihadkan daripada akses oleh orang luar;

    (b) Penunjuk ke lokasi bilik operasi dan tempat larangan

    tidak harus menonjol dan hanya memberi petunjuk

    minimum.

    Semua

    070104 Perlindungan Terhadap Ancaman Luaran dan Dalaman

    JKSM perlu merekabentuk dan melaksanakan perlindungan

    fizikal dari kebakaran, banjir, letupan, kacau bilau dan

    bencana.

    (A.11.1.4 Protecting against external and environmental

    threats)

    Semua

    070105 Kawalan Tempat Larangan (Working In Secure Area)

    Kawasan larangan lokasi ICT bagi JKSM ditakrifkan sebagai

    kawasan yang dihadkan kemasukan bagi warga JKSM yang

    tertentu sahaja. Ini dilakukan untuk melindungi aset ICT

    yang terdapat dalam premis tersebut. Kawasan larangan

    lokasi ICT JKSM adalah pusat data JKSM. Kawasan ini

    mestilah dilindungi daripada sebarang ancaman, kelemahan

    dan risiko seperti pencerobohan, kebakaran dan bencana

    Pentadbir

    Pusat Data,

    Pentadbir

    Keselamatan

    ICT

  • DASAR KESELAMATAN ICT JKSM/JKSN/MSN

    Versi: 3.0 9 Mac 2016 JKSM M u k a s u r a t | 60

    alam. Kawalan keselamatan ke atas premis tersebut adalah

    seperti berikut:

    (A.11.1.5 Working in secure areas)

    (a) Sumber data atau server, peralatan komunikasi dan

    storan perlu ditempatkan di pusat data, bilik server

    atau bilik khas yang mempunyai ciri-ciri

    keselamatan yang tinggi termasuk sistem pencegah

    kebakaran;

    (b) Akses adalah terhad kepada warga JKSM yang

    telah diberi kuasa sahaja dan dipantau pada setiap

    masa;

    (c) Pemantauan dibuat menggunakan Closed-Circuit

    Television (CCTV) kamera atau lain-lain peralatan

    yang sesuai;

    (d) Peralatan keselamatan (CCTV, log akses) perlu

    diperiksa secara berjadual;

    (e) Butiran pelawat yang keluar masuk ke kawasan

    larangan perlu direkodkan;

    (f) Pelawat yang dibawa masuk mesti diawasi oleh

    pegawai yang bertanggungjawab di sepanjang

    tempoh di lokasi berkaitan;

    (g) Lokasi premis ICT hendaklah tidak berhampiran

    dengan kawasan pemunggahan, saliran air dan

    laluan awam;

    (h) Memperkukuhkan tingkap dan pintu serta dikunci

    untuk mengawal kemasukan;

    (i) Memperkukuhkan dinding dan siling; dan

  • DASAR KESELAMATAN ICT JKSM/JKSN/MSN

    Versi: 3.0 9 Mac 2016 JKSM M u k a s u r a t | 61

    (j) Menghadkan jalan keluar masuk.

    070106 Kawasan Penghantaran dan Pemunggahan

    JKSM hendaklah memastikan kawasan-kawasan

    penghantaran dan pemunggahan dan juga tempat-tempat

    lain dikawal dari pihak yang tidak diberi kebenaran

    memasukinya.

    (A.11.1.6 Delivery and loading areas)

    Semua

    0702 Keselamatan Peralatan ICT

    Objektif: Melindungi peralatan ICT JKSM dari kehilangan, kerosakan, kecurian

    dan disalahgunakan.

    070201 Keselamatan Peralatan/ Peralatan ICT

    Langkah-langkah keselamatan yang perlu diambil adalah

    seperti berikut:

    (A.11.2.1 Equipment sitting and protection)

    (A.11.2.2 Supporting utilities)

    (a) Penggunaan kata laluan untuk akses ke sistem

    komputer adalah diwajibkan;

    (b) Pengguna bertanggungjawab sepenuhnya ke

    atas komputer masing-masing dan tidak

    dibenarkan membuat sebarang pertukaran

    perkakasan dan konfigurasi yang telah ditetapkan;

    (c) Pengguna dilarang sama sekali menambah,

    menanggal atau mengganti sebarang perkakasan

    Semua

  • DASAR KESELAMATAN ICT JKSM/JKSN/MSN

    Versi: 3.0 9 Mac 2016 JKSM M u k a s u r a t | 62

    ICT yang telah ditetapkan;

    (d) Pengguna dilarang membuat instalasi sebarang

    perisian tambahan tanpa kebenaran Pentadbir

    Sistem;

    (e) Pengguna mesti memastikan perisian antivirus

    di komputer peribadi mereka sentiasa aktif

    (activated) dan dikemas kini di samping

    melakukan imbasan ke atas mediastoran yang

    digunakan;

    (f) Semua peralatan sokongan ICT hendaklah

    dilindungi daripada sebarang kecurian, dirosakkan,

    diubahsuai tanpa kebenaran dan salah guna;

    (g) Setiap pengguna adalah bertanggungjawab di

    atas kerosakan atau kehilangan perkakasan ICT di

    bawah kawalannya;

    (h) Peralatan-peralatan kritikal perlu disokong oleh

    Uninterruptable Power Supply (UPS) dan Generator

    Set (Gen-Set);

    (i) Semua alat sokongan perlu disemak dan

    dikemaskinikan dari masa kesemasa (sekurang-

    kurangnya setahun sekali);

    (j) Semua perkakasan hendaklah disimpan atau

    diletakkan di tempat yang teratur, bersih dan

    mempunyai ciri-ciri keselamatan. Peralatan

    rangkaian seperti switches, hub, router dan lain-

    lain perlu diletakkan di dalam rak khas dan

    berkunci;

    (k) Semua peralatan yang digunakan secara

  • DASAR KESELAMATAN ICT JKSM/JKSN/MSN

    Versi: 3.0 9 Mac 2016 JKSM M u k a s u r a t | 63

    berterusan mestilah diletakkan di kawasan yang

    berhawa dingin dan mempunyai pengudaraan (air

    ventilation) yang sesuai;

    (l) Peralatan ICT yang hendak dibawa ke luar dari

    premis JKSM/JKSN/MSN, perlulah mendapat

    kelulusan Pegawai Aset dan direkodkan bagi

    tujuan pemantauan;

    (m) Peralatan ICT yang hilang semasa di luar

    waktu pejabat hendaklah dikendalikan mengikut

    prosedur pelaporan insiden;

    (n) Pengendalian Peralatan ICT hendaklah mematuhi

    dan merujuk kepada peraturan semasa yang

    berkuatkuasa;

    (o) Pengguna tidak dibenarkan mengubah kedudukan

    komputer dari tempat asal ianya ditempatkan

    tanpa kebenaran Pentadbir Sistem ICT;

    (p) Sebarang kerosakan perkakasan ICT

    hendaklah dilaporkan kepada Pentadbir Sistem

    ICT untuk dibaikpulih;

    (q) Sebarang pelekat selain bagi tujuan rasmi, hiasan

    atau contengan yang meninggalkan kesan yang

    lama pada perkakasan ICT tidak dibenarkan. Ini

    bagi