Dasar Keselamatan ICT MINDEF v 4.0

8/17/2019 Dasar Keselamatan ICT MINDEF v 4.0

1/91


2/91

DASARKESELAMATAN ICT

MINDEF

VERSI 4.0

TARIKH KUATKUASA 30 OGOS 2013

MUKA SURAT 1/91

DASAR KESELAMATAN TEKNOLOGI MAKLUMATDAN KOMUNIKASI (ICT) KEMENTERIAN PERTAHANAN

PENGENALAN

Kesan penggunaan ICT telah mengubah budaya kerja organisasi.

Sementara berbangga dengan kemajuan yang dicapai, semua warga Kementerian

Pertahanan (MinDef) juga perlu peka terhadap isu keselamatan ICT terutama dari

segi peranan, tanggungjawab dan kawalan penggunaan. Penekanan ke atas

kesedaran dan tahap keselamatan ICT adalah penting dan perlu diberi perhatian

yang serius disebabkan oleh dua (2) faktor.

Faktor pertama ialah peranan dan tanggungjawab MinDef selaku

kementerian yang diberi amanah dan tanggungjawab terhadap keselamatan dan

pertahanan negara. Secara umumnya, keselamatan ICT merupakan

tanggungjawab bersama warga MinDef untuk memastikan sistem ICT yang

dikendalikan adalah selamat daripada sebarang penyalahgunaan dan ancaman

pencerobohan.

Faktor kedua ialah kewujudan penggunaan pelbagai teknologi dan

platform sistem pengoperasian. Keadaan ini membuka ruang kepada ancaman

keselamatan. Adalah penting penyimpanan dan penyebaran maklumat dibatasi

supaya kawalan dapat dibuat dengan lebih berkesan. Kepentingan Dasar

Keselamatan ICT (DKICT) MinDef digambarkan seperti di Rajah 1.

Rajah 1 : Pelaksanaan Keselamatan ICT MinDef


3/91


MINDEF

VERSI 4.0


MUKA SURAT 2/91

DKICT MinDef mengandungi peraturan-peraturan yang mesti dibaca dan dipatuhi

dalam menggunakan aset Teknologi Maklumat dan Komunikasi (ICT). Dasar ini

juga menerangkan kepada semua pengguna mengenai tanggungjawab dan

peranan mereka dalam melindungi aset ICT MinDef.

OBJEKTIF

DKICT MinDef diwujudkan untuk menjamin kesinambungan bisnes MinDef dengan

meminimumkan kesan insiden keselamatan ICT.

Dasar ini juga bertujuan untuk memudahkan perkongsian maklumat sesuai dengan

keperluan operasi MinDef. Ini hanya boleh dicapai dengan memastikan semua aset

ICT dilindungi.

Objektif utama DKICT MinDef adalah seperti berikut :

(a) Menghebahkan pendirian pihak pengurusan untuk mendukung

pelaksanaan keselamatan ICT;

(b) Menyediakan DKICT MinDef yang komprehensif, sesuai dengan

perubahan semasa dan digunapakai oleh semua peringkat

pengurusan dan pengguna;

(c) Melindungi kepentingan aset dan pihak yang bergantung kepada

sistem ICT daripada kesan kegagalan atau kelemahan dari segi

kerahsiaan, integriti, kebolehsediaan, kesahihan maklumat dan

komunikasi, pencerobohan serta mencegah aktiviti

penyalahgunaan dan kecurian;

(d) Memastikan kelancaran operasi bisnes MinDef dengan mencegah

serta meminimumkan kemusnahan dan kerosakan aset ICT; dan

(e) Memberi kesedaran keselamatan ICT kepada warga MinDef dan

pembekal.

PERNYATAAN DASAR

Keselamatan ditakrifkan sebagai keadaan yang bebas daripada ancaman dan

risiko yang tidak boleh diterima. Kawalan keselamatan adalah proses berterusan

secara berkala yang mesti dilakukan untuk menjamin keselamatan.


4/91


MINDEF

VERSI 4.0


MUKA SURAT 3/91

Keselamatan ICT bermaksud keadaan di mana segala urusan menyedia dan

membekalkan perkhidmatan yang berasaskan ICT beroperasi tanpa

gangguan. Keselamatan ICT berkait rapat dengan perlindungan aset ICT. Terdapat

empat (4) komponen asas keselamatan ICT iaitu :

(a) Melindungi maklumat rahsia rasmi dan maklumat rasmi kerajaan

dari capaian tidak sah;

(b) Menjamin setiap maklumat adalah asli dan sempurna;

(c) Memastikan ketersediaan maklumat apabila diperlukan; dan

(d) Memastikan akses hanya kepada pengguna yang sah dan

penerimaan maklumat daripada sumber yang sah.

DKICT MinDef merangkumi perlindungan ke atas semua bentuk maklumat

elektronik bertujuan untuk menjamin keselamatan dan ketersediaan maklumat. Ciri-

ciri utama keselamatan maklumat adalah seperti berikut :

(a) Kerahsiaan - Maklumat tidak boleh didedahkan sewenang-

wenangnya atau dibiarkan diakses tanpa kebenaran;

(b) Integriti - Data dan maklumat hendaklah asli dan sempurna. Ia

hanya boleh diubah dengan cara yang dibenarkan;

(c) Ketersediaan - Data dan maklumat hendaklah boleh diakses pada

bila-bila masa;

(d) Tidak Boleh Disangkal - Punca data dan maklumat hendaklah

daripada sumber yang sah dan tidak boleh disangkal; dan

(e) Kesahihan - Data dan maklumat hendaklah dijamin kesahihannya.

SKOP

DKICT MinDef merangkumi skop berikut :

(a) Aset ICT MinDef terdiri daripada perkakasan, perisian,

perkhidmatan, data atau maklumat dan manusia;

(b) Proses dan prosedur keselamatan ICT; dan

(c) Tadbir urus keselamatan ICT.


5/91


MINDEF

VERSI 4.0


MUKA SURAT 4/91

DKICT MinDef merangkumi perlindungan ke atas semua bentuk maklumat kerajaan

yang diwujud, dimasuk, diedar, dijana, disimpan, dicetak, diakses dan dimusnah

melalui pewujudan dan penguatkuasaan sistem kawalan dan prosedur dalam

pengendalian semua aset ICT di lokasi yang terlibat.

Sebarang kebocoran rahsia atau kelemahan perlindungan adalah dianggap

sebagai pelanggaran langkah-langkah keselamatan.

PRINSIP-PRINSIP

Prinsip-prinsip yang menjadi asas kepada DKICT MinDef perlu dipatuhi seperti

berikut :

(a) Akses atas dasar perlu mengetahui

Akses terhadap penggunaan aset ICT hanya diberikan untuk tujuan

spesifik dan dihadkan kepada pengguna tertentu atas dasar “perlu

mengetahui” sahaja. Ini bermakna akses hanya akan diberikan

sekiranya peranan atau fungsi pengguna memerlukan maklumat

tersebut. Pertimbangan untuk akses adalah berdasarkan kategori

maklumat seperti yang dinyatakan di dalam dokumen Arahan

Keselamatan perenggan 53, muka surat 15;

(b) Hak akses minimum

Hak akses pengguna hanya diberi pada tahap paling minimum iaitu

untuk membaca dan / atau melihat sahaja. Kelulusan adalah perlu

untuk membolehkan pengguna mewujud, menyimpan,

mengemaskini, mengubah, membatal atau menghapus sesuatu

maklumat. Hak akses perlu disemak dari semasa ke semasa

berdasarkan kepada peranan dan tanggungjawab pengguna /

bidang tugas;

(c) Akauntabiliti

Semua pengguna adalah dipertanggungjawabkan ke atas semua

tindakannya terhadap aset ICT MinDef. Untuk menentukan

tanggungjawab ini dipatuhi, sistem ICT hendaklah mempunyai


6/91


MINDEF

VERSI 4.0


MUKA SURAT 5/91

keupayaan mengesan dan mengesahkan pengguna boleh

dipertanggungjawabkan atas tindakan mereka. Akauntabiliti atau

tanggungjawab pengguna merangkumi perkara berikut :

i. Menghalang pendedahan maklumat kepada pihak yang tidak

dibenarkan;

ii. Memeriksa maklumat dan menentukan keaslian dan

kesempurnaan dari semasa ke semasa;

iii. Menentukan maklumat sedia untuk digunakan;

iv. Menjaga kerahsiaan kata laluan;

v. Mematuhi standard, prosedur, langkah dan garis panduan

keselamatan yang ditetapkan; dan

vi. Memberi perhatian kepada maklumat berdarjah terutama

semasa pewujudan, pemprosesan, penyimpanan,

penyelenggaraan, penghantaran, penyampaian, pertukaran

dan pemusnahan.

(d) Pengasingan FungsiPengasingan fungsi perlu diadakan di antara pentadbir dan

pengguna. Pengasingan fungsi juga hendaklah dilakukan di antara

pentadbir sistem dan pentadbir rangkaian. Tugas mewujud,

memadam, mengemaskini, mengubah dan mengesahkan data

perlu diasingkan bagi mengelakkan daripada capaian yang tidak

dibenarkan serta melindungi aset ICT daripada kesilapan,

kebocoran maklumat terperingkat atau dimanipulasi.

(e) Pengauditan Keselamatan

Pengauditan keselamatan adalah tindakan untuk mengenalpasti

insiden berkaitan keselamatan atau mengenalpasti keadaan yang

mengancam keselamatan. Ia membabitkan pemeliharaan semua

rekod berkaitan tindakan keselamatan. Dengan itu, aset ICT seperti

komputer, server , firewall dan rangkaian hendaklah dapat menjana

dan menyimpan log tindakan keselamatan atau jejak audit.


7/91


MINDEF

VERSI 4.0


MUKA SURAT 6/91

(f) Pematuhan

DKICT MinDef hendaklah dibaca dan dipatuhi bagi mengelak

sebarang bentuk pelanggaran ke atasnya yang boleh membawa

ancaman kepada keselamatan ICT.

(g) Pemulihan

Pemulihan sistem ICT perlu untuk memastikan kebolehsediaan dan

kebolehcapaian maklumat. Objektif utama adalah untuk

meminimumkan sebarang gangguan atau kerugian akibat daripada

ketidaksediaan. Pemulihan boleh dilakukan melalui aktiviti

penduaan dan mewujudkan pelan pemulihan bencana /

kesinambungan perkhidmatan; dan

(h) Saling Bergantungan

Setiap prinsip adalah saling lengkap-melengkapi dan bergantung

antara satu sama lain bagi menjamin keselamatan ICT yang

maksimum.


8/91


MINDEF

VERSI 4.0


MUKA SURAT 7/91

BIDANG 1 : PELAKSANAAN DASAR KESELAMATAN ICT

Objektif

Untuk memberi hala tuju dan peraturan-peraturan bagi mengguna dan melindungi

aset ICT selaras dengan keperluan undang-undang.

Bil Perkara Tanggungjawab

1.1 Pelaksanaan Dasar Keselamatan ICT

Pelaksanaan dasar ini akan dijalankan oleh Ketua

Setiausaha (KSU) dengan dibantu oleh Jawatankuasa

Pemandu ICT (JPICT) MinDef yang terdiri daripada Ketua

Pegawai Maklumat (CIO), Pegawai Keselamatan ICT

(ICTSO) dan lain-lain pegawai yang dilantik.

KSU

1.2 Penyebaran Dasar

Dasar ini perlu disebarkan kepada semua warga MinDef

dan pembekal yang berurusan dengan MinDef.

ICTSO

1.3 Penyelenggaraan Dasar

DKICT MinDef perlu disemak sekurang-kurangnya dua (2)

tahun sekali atau sekiranya ada keperluan. Prosedur

penyelenggaraan DKICT MinDef adalah seperti berikut :

(a) Kenal pasti dan tentukan perubahan yang

diperlukan;

(b) Mengemukakan cadangan perubahan secara

bertulis kepada ICTSO untuk pembentangan

dan persetujuan Ketua-ketua Jabatan dan

Bahagian (KKB) / JPICT MinDef; dan

(c) Menyebarkan perubahan dasar yang telah

dipersetujui oleh KKB / JPICT MinDef kepada

semua warga MinDef.

ICTSO

1.4 Pemakaian Dan Pengecualian Dasar

DKICT MinDef adalah terpakai kepada semua warga

MinDef, pembekal dan pelawat yang berurusan dengan

MinDef dan tiada pengecualian diberikan.

Warga MinDef,Pembekal dan

Pelawat


9/91


MINDEF

VERSI 4.0


MUKA SURAT 8/91

BIDANG 2 : ORGANISASI KESELAMATAN ICT

Objektif

Menerangkan peranan dan tanggungjawab semua pihak yang terlibat dengan lebih

jelas dan teratur dalam mencapai objektif DKICT MinDef.


2.1 Ketua Setiausaha

Peranan dan tanggungjawab Ketua Setiausaha (KSU)

adalah seperti berikut :

(a) Memastikan pelaksanaan organisasi

keselamatan ICT MinDef berfungsi dengan

berkesan;

(b) Memastikan semua pengguna mematuhi DKICT

MinDef;

(c) Memastikan semua keperluan keselamatan ICT

(sumber kewangan, kakitangan dan

perlindungan keselamatan) adalah mencukupi;

dan

(d) Memastikan penilaian risiko dan program

keselamatan ICT dilaksanakan seperti yang

ditetapkan di dalam DKICT MinDef.

KSU

2.2 Ketua Pegawai Maklumat

Ketua Pegawai Maklumat (CIO) MinDef ialah Timbalan

Ketua Setiausaha (Pengurusan). Peranan dan

tanggungjawab CIO adalah seperti berikut :

(a) Membantu KSU dalam melaksanakan tugas-

tugas yang melibatkan keselamatan ICT;

(b) Menentukan keperluan keselamatan ICT;

(c) Menyelaras pembangunan dan pelaksanaan

pelan tindakan dan program kesedaran

mengenai keselamatan ICT;

(d) Bertanggungjawab ke atas perkara-perkara

CIO


10/91


MINDEF

VERSI 4.0


MUKA SURAT 9/91

yang berkaitan dengan keselamatan ICT; dan

(e) Mempengerusikan Mesyuarat JPICT MinDef.

2.3 Pegawai Keselamatan ICT

Pegawai Keselamatan ICT (ICTSO) bagi MinDef adalah

Setiausaha Bahagian (SUB), Bahagian Pengurusan

Maklumat (BPM). Peranan dan tanggungjawab ICTSO


(a) Menguatkuasa dan memantau pematuhan

DKICT MinDef;

(b) Mengurus keseluruhan program-program

keselamatan ICT MinDef;

(c) Memberi penerangan dan pendedahan

berkenaan DKICT MinDef kepada semua

pengguna;

(d) Mewujudkan garis panduan, prosedur dan

tatacara selaras dengan keperluan DKICT

MinDef;

(e) Menjalankan tugas pengurusan risiko;

(f) Menjalankan audit, mengkaji, merumus

tindakbalas pengurusan berdasarkan hasil

penemuan dan menyediakan laporan

mengenainya;

(g) Memberi amaran terhadap kemungkinan

berlakunya ancaman berbahaya seperti

malware dan memberikan khidmat nasihat serta

menyediakan langkah-langkah perlindungan

yang bersesuaian;

(h) Melaporkan insiden keselamatan ICT kepada

Pasukan Tindakbalas Insiden Keselamatan ICT

Kerajaan (GCERT), Unit Pemodenan Tadbiran

Dan Perancangan Pengurusan Malaysia

ICTSO


11/91


MINDEF

VERSI 4.0


MUKA SURAT 10/91

(MAMPU) dan memaklumkannya kepada CIO;

(i) Bekerjasama dengan semua pihak yang

berkaitan dalam mengenalpasti punca ancaman

atau insiden keselamatan ICT dan

memperakukan langkah-langkah baik pulih

dengan segera; dan

(j) Menyedia dan melaksanakan program

kesedaran mengenai keselamatan ICT.

2.4 Pengurus ICT

Pengurus ICT bagi MinDef ialah pegawai ICT yang

dilantik di Jabatan / Bahagian. Peranan dan

tanggungjawab Pengurus ICT adalah seperti berikut :

(a) Mengkaji semula dan melaksanakan kawalan

keselamatan ICT selaras dengan keperluan

MinDef;

(b) Menentukan kawalan akses semua pengguna

terhadap aset ICT MinDef di bawah kawalan;

(c) Melaporkan sebarang insiden atau penemuan /

ancaman keselamatan ICT kepada

MinDefCERT; dan

(d) Memastikan penyimpanan rekod, bahan bukti

dan laporan terkini mengenai ancaman

keselamatan ICT MinDef.

Pengurus ICT

2.5 Pentadbir Sistem ICT (Aplikasi, Rangkaian Dan Keselamatan)

Peranan dan tanggungjawab Pentadbir Sistem ICT


(a) Memastikan kerahsiaan kata laluan aset ICT;

(b) Mengambil tindakan mengikut proses dan

prosedur yang ditetapkan dengan segera

apabila dimaklumkan mengenai pengguna yang

berhenti, bersara, bertukar, bercuti panjang atau

Pentadbir

Sistem


12/91


MINDEF

VERSI 4.0


MUKA SURAT 11/91

berlaku perubahan dalam bidang tugas;

(c) Mengambil tindakan mengikut proses dan

prosedur yang ditetapkan dengan segera

apabila dimaklumkan mengenai pembekal yang

berhenti atau tamat projek;

(d) Memastikan ketepatan dan kesempurnaan

capaian seperti yang telah ditetapkan;

(e) Menentukan maklumat sedia untuk digunakan;

(f) Memantau aktiviti capaian harian pengguna;

(g) Mengenal pasti aktiviti-aktiviti tidak normal

seperti pencerobohan dan pengubahsuaian

data tanpa kebenaran dengan membatalkan

atau memberhentikan dengan serta merta

capaian terhadap sistem dan memaklumkan

kepada Pengurus ICT untuk tindakan

selanjutnya;

(h) Menganalisis dan menyimpan rekod jejak audit;

(i) Menyediakan laporan mengenai aktiviti capaian

kepada pemilik maklumat berkenaan secara

berkala; dan

(j) Bertanggungjawab memantau setiap

perkakasan ICT yang diagihkan kepada

pengguna seperti komputer peribadi, komputer

riba, pencetak, pengimbas dan sebagainya di

dalam keadaan yang baik.

2.6 Pengguna Akhir (Enduser )

Peranan dan tanggungjawab pengguna adalah seperti

berikut :

(a) Mematuhi DKICT MinDef;

(b) Mengetahui dan memahami implikasi

keselamatan ICT akibat dari tindakannya;

Pengguna Akhir


13/91


MINDEF

VERSI 4.0


MUKA SURAT 12/91

(c) Menjalani proses tapisan keselamatan seperti

yang diarahkan;

(d) Mematuhi prinsip-prinsip DKICT MinDef dan

menjaga kerahsiaan maklumat MinDef;

(e) Melaksanakan langkah-langkah perlindungan

berikut :

i. Tidak mendedahkan maklumat

kepada pihak yang tidak dibenarkan;

ii. Memeriksa maklumat dan

menentukan ia asli, tepat dan lengkap;

iii. Menjaga kerahsiaan kata laluan;

iv. Mematuhi standard, prosedur, langkah

dan garis panduan keselamatan yang

ditetapkan; dan

v. Mengendalikan maklumat terperingkat

mengikut proses dan prosedur yang

ditetapkan.

(f) Melaporkan sebarang aktiviti yang mengancam

keselamatan ICT kepada MinDefCERT dengan

segera;

(g) Menghadiri program kesedaran mengenai

keselamatan ICT; dan

(h) Menandatangani ”Surat Akuan Pematuhan

DKICT MinDef “(KEMBARAN A).

2.7 Pembekal

Perkara yang perlu dipatuhi dalam berurusan dengan

pembekal adalah seperti berikut :

(a) Mengenal pasti risiko keselamatan aset ICT

serta melaksanakan kawalan yang sesuai

sebelum memberi kebenaran capaian; dan

CIO, ICTSO,

Pengurus ICT,Pentadbir

Sistem dan

Pembekal


14/91


MINDEF

VERSI 4.0


MUKA SURAT 13/91

(b) Capaian kepada aset ICT MinDef perlu

dinyatakan secara jelas dalam perjanjian

kontrak.

Perkara-perkara berikut hendaklah dimasukkan di dalam

perjanjian yang dimeterai :

(a) DKICT MinDef;

(b) Tapisan Keselamatan;

(c) Perakuan Akta Rahsia Rasmi (Pindaan) 1986;

(d) Hak Harta Intelek.2.8 Jawatankuasa Pemandu ICT MinDef (JPICT)

Jawatankuasa Pemandu ICT MinDef (JPICT) adalah

jawatankuasa yang bertanggungjawab ke atas

keselamatan ICT dan berperanan sebagai penasihat

dalam merumuskan rancangan dan strategi keselamatan

ICT MinDef.

Keanggotaan JPICT adalah seperti berikut :

Pengerusi : Timbalan Ketua Setiausaha

(Pengurusan) (CIO)

Ahli :

(1) SUB BPM (ICTSO)

(2) Ketua Pengarah Institut Penyelidikan

Sains Dan Teknologi Pertahanan

(STRIDE)

(3) Ketua Pengarah Jabatan Latihan Khidmat

Negara (JLKN)

(4) Ketua Pengarah Jabatan Hal Ehwal

Veteran (JHEV)

(5) SUB Bahagian Audit Dalam dan Siasatan

Am (BADSA)

(6) SUB Bahagian Perolehan

JPICT MinDef


15/91


MINDEF

VERSI 4.0


MUKA SURAT 14/91

(7) SUB Bahagian Kewangan

(8) SUB Bahagian Pembangunan

(9) SUB Bahagian Pengurusan Sumber

Manusia (BPSM)

(10) Ketua Staf Markas Angkatan Bersama

(MAB)

(11) Asisten Ketua Staf Bahagian Komunikasi

Dan Elektronik Pertahanan (KOMLEK),

Markas Angkatan Tentera Malaysia

(MATM)

(12) Asisten Ketua Staf Bahagian

Perkhidmatan Anggota, MATM

(13) Asisten Ketua Staf Operasi dan Eksesais,

Markas Tentera Laut (MTL)

(14) Ketua Pegawai Semboyan, Markas

Tentera Darat (MTD)

(15) Pengarah Bahagian Teknologi Maklumat

Dan Komunikasi (BTMK), Markas

Tentera Udara (MTU)

(16) Ketua Cawangan Peperangan Elektronik

Bahagian Staf Perisikan Pertahanan

(BSPP), MATM

(17) Pengarah Cawangan Pertahanan Siber

(CPS), BSPP

(18) Pengarah Pusat Teknologi Maklumat

(PUSTEKMA), MTD

(19) Pengarah Teknologi Maklumat, Markas

Tentera Laut

(20) Timbalan SUB Cawangan Operasi, BPM

(21) Timbalan SUB Cawangan Aplikasi, BPM

(22) Ketua Penolong Setiausaha Cawangan


16/91


MINDEF

VERSI 4.0


MUKA SURAT 15/91

Perancangan Dan Pentadbiran, BPM

(23) Ketua Cawangan Pengurusan Maklumat,

STRIDE

(24) Pengarah BPM, JLKN

(25) Pengarah BPM, JHEV

(26) Pegawai Staf 1 MAB

(27) Pegawai Staf KOMLEK, MATM

(28) Pengurus ICT Bahagian Perkhidmatan

Anggota, MATM

(29) Pegawai Staf Semboyan Tentera Darat

(30) Pegawai Staf BTMK, MTU

(31) Pegawai Staf Peperangan Elektronik

BSPP, MATM

Urus Setia bagi JPICT MinDef ialah BPM.

Bidang kuasa :

(a) Memperaku, melulus dan menguatkuasa

dasar, halatuju, garis panduan dan

standard keselamatan ICT;

(b) Memantau tahap pematuhan

keselamatan ICT;

(c) Memastikan DKICT MinDef selaras

dengan dasar-dasar ICT semasa

kerajaan;

(d) Menerima dan membincangkan laporan

mengenai insiden-insiden keselamatan

ICT semasa;

(e) Membincang tindakan yang melibatkan

pelanggaran DKICT MinDef;

(f) Meneliti dan meluluskan semua program


17/91


MINDEF

VERSI 4.0


MUKA SURAT 16/91

dan aktiviti yang berkaitan dengan

keselamatan ICT;

(g) Memastikan pengauditan keselamatan

ICT MinDef dilaksanakan sekurang-

kurangnya sekali setahun; dan

(h) Memastikan peruntukan kewangan yang

mencukupi disediakan untuk pelaksanaan

program dan aktiviti keselamatan.

2.9 Jawatankuasa Teknikal ICT MinDef (JTICT)

Pengerusi : SUB BPM (ICTSO)

Ahli :

(1) Timbalan Setiausaha Bahagian (TSUB)

Cawangan Operasi, BPM

(2) TSUB Cawangan Aplikasi, BPM

(3) Ketua Penolong Setiausaha (KPSU)

Cawangan Perancangan Dan

Pentadbiran, BPM

(4) KPSU Unit Aplikasi, BPM

(5) KPSU Unit Rangkaian dan Keselamatan,

BPM

(6) KPSU Unit Teknikal, BPM

(7) KPSU Unit Pembangunan, BPM


STRIDE



(11) Pegawai Staf 1 KOMLEK, MATM

(12) Pengarah PUSTEKMA, Markas TD

(13) Pegawai Staf 1 Teknologi Maklumat

(14) Pengarah BTMK, MTU

JTICT MinDef


18/91


MINDEF

VERSI 4.0


MUKA SURAT 17/91

(15) Pegawai Staf 1 MAB

(16) Pegawai Staf 1 CPS, BSPP

(17) Pegawai Staf BSPP, MATM

Urus Setia bagi JTICT MinDef ialah BPM.

Bidang kuasa :

(a) Menilai aspek-aspek teknikal berhubung

inisiatif dan projek keselamatan ICT;

(b) Memberi nasihat teknikal kepada JPICT

MinDef;

(c) Menyediakan pelan tindakan untuk

pembangunan dan peningkatan

keselamatan sistem ICT;

(d) Menilai pilihan teknologi dan cadangan

penyelesaian terhadap keperluan

keselamatan sistem ICT; dan(e) Mengkaji semula DKICT dari semasa ke

semasa untuk dibentangkan kepada JPICT

MinDef.

2.10Organisasi Ministry of Defense Compu ter Emerg ency Respon se Team (MinDefCERT)

Keanggotaan MinDefCERT adalah seperti berikut :

Pengarah MinDefCERT : Timbalan Ketua Setiausaha(Pengurusan) (CIO)

Pengurus MinDefCERT : SUB BPM (ICTSO)

Ahli :

(1) TSUB Cawangan Operasi, BPM

(2) TSUB Cawangan Aplikasi, BPM

(3) KPSU Cawangan Perancangan Dan

MinDefCERT


19/91


MINDEF

VERSI 4.0


MUKA SURAT 18/91

Pentadbiran, BPM

(4) KPSU Unit Aplikasi, BPM

(5) KPSU Unit Rangkaian dan Keselamatan,

BPM

(6) KPSU Unit Teknikal, BPM

(7) KPSU Unit Pembangunan, BPM


STRIDE



(11) Pegawai Teknologi Maklumat BPM

(12) Pegawai Teknologi Maklumat JLKN

(13) Pegawai Teknologi Maklumat JHEV

(14) Pegawai Teknologi Maklumat STRIDE

Urus Setia bagi MinDefCERT ialah BPM.

Bidang kuasa :

Tugas dan tanggungjawab MinDefCERT meliputi

pengurusan pengendalian insiden keselamatan ICT

seperti berikut :

(a) Menerima dan mengesan aduan

keselamatan ICT dan menilai tahap dan

jenis insiden;

(b) Merekod dan menjalankan siasatan awal

insiden yang diterima;

(c) Menangani tindak balas (response) insiden

keselamatan ICT dan mengambil tindakan

baikpulih minima;

(d) Menghubungi dan melapor insiden yang


20/91


MINDEF

VERSI 4.0


MUKA SURAT 19/91

berlaku kepada GCERT MAMPU;

(e) Menasihat Jabatan / Bahagian supaya

mengambil tindakan pemulihan dan

pengukuhan;

(f) Memaklumkan sebarang ancaman dan

insiden keselamatan ICT kepada Jabatan /

Bahagian; dan

(g) Menjalankan penilaian untuk memastikan

tahap keselamatan ICT dan mengambil

tindakan pemulihan atau pengukuhan bagi

meningkatkan tahap keselamatan

infrastruktur ICT supaya insiden baru dapat

dielakkan.

GCERT MAMPU

MinDefCERT(Kementerian)

JLKN STRIDE JHEV MATM, TLDM, TUDM, TD,

MABBahagian-bahagian Awam

(Pengurus ICT)

Rajah 2 : Carta Pelaporan Insiden Keselamatan ICT MinDef


21/91


MINDEF

VERSI 4.0


MUKA SURAT 20/91

BIDANG 3 : PENGURUSAN ASET

Objektif

Menetap dan melaksanakan tindakan bersesuaian bagi melindungi semua aset ICT

MinDef.


3.1 Tanggungjawab Ke Atas Aset ICT

3.1.1 Memastikan semua aset ICT kerajaan diberi kawalan

dan perlindungan yang sewajarnya oleh pemilik

berdaftar dan pengurus aset.

Pentadbir

Sistem dan

Pengguna

3.1.2 Tanggungjawab yang perlu dipatuhi adalah termasuk

perkara-perkara berikut :

(a) Memastikan semua aset ICT dikenal pasti dan

maklumat aset direkod dan dikemaskini dalam

Borang Daftar Harta Modal;

(b) Memastikan semua aset ICT mempunyai

pemilik dan dikendalikan oleh pengguna yang

dibenarkan sahaja;

(c) Setiap pengguna adalah bertanggungjawab ke

atas semua aset ICT di bawah kawalannya; dan

(d) Peraturan bagi pengendalian aset hendaklah

dikenal pasti, didokumen dan dilaksanakan.

Pentadbir

Sistem dan

Pengguna

3.2 Pengelasan Maklumat

3.2.1 Memastikan setiap maklumat diberi perlindungan yang

bersesuaian berdasarkan tahap kerahsiaan.

Pengguna

3.2.2 Maklumat hendaklah dikelas berasaskan nilai, keperluan

perundangan, tahap sensitiviti dan tahap kritikal kepada

kerajaan. Setiap maklumat yang dikelaskan mestilah

mempunyai peringkat keselamatan sebagaimana yang

ditetapkan di dalam dokumen Arahan Keselamatan

seperti berikut :

Pengguna


22/91


MINDEF

VERSI 4.0


MUKA SURAT 21/91

i. Rahsia Besar;

ii. Rahsia;

iii. Sulit; dan

iv. Terhad

3.3 Pelabelan Dan Pengendalian Maklumat

3.3.1 Pelabelan dan pengendalian maklumat seperti

pewujudan, pengumpulan, pemprosesan, penyimpanan,

penghantaran, penyampaian, penukaran dan

pemusnahan hendaklah mengikut standard, prosedur,

langkah dan garis panduan keselamatan yang

ditetapkan. Prosedur pengurusan maklumat adalah

mengikut jenis-jenis pemprosesan berikut :

(a) Penyalinan (copying );

(b) Storan;

(c) Penghantaran melalui pos, faks dan e-mel;

(d) Penghantaran melalui percakapan termasuk

melalui telefon bimbit, mel suara dan mesin

menjawab telefon;

(e) Penghapusan; dan

(f) Multimedia.

Pengguna

3.3.2 Langkah-langkah keselamatan yang perlu diambil


(a) Tidak mendedahkan maklumat kepada pihak

yang tidak dibenarkan;

(b) Memeriksa, menyemak maklumat dan

menentukan ia tepat dan lengkap dari semasa

ke semasa;

(c) Memastikan maklumat sedia untuk digunakan;

(d) Menjaga kerahsiaan kata laluan;

(e) Mematuhi standard, prosedur, langkah dan garis

Pengguna


23/91


MINDEF

VERSI 4.0


MUKA SURAT 22/91

panduan keselamatan yang dikeluarkan dari

semasa ke semasa;

(f) Memberi perhatian kepada pengendalian

maklumat rasmi terperingkat terutama semasa

pewujudan, pengumpulan, pemprosesan,

penyimpanan, penghantaran, penyampaian,

penukaran dan pemusnahan; dan

(g) Menjaga kerahsiaan langkah-langkah

pengurusan pengendalian maklumat rasmi

keselamatan ICT dari diketahui umum.

Rajah 3 : Skim Penandaan Maklumat

Nota :-

a) AK – Arahan Khasb) BIASA - Terbuka iaitu boleh dilakukan

c) TX – Transmisi

JENIS-JENIS

PEMPROSESAN

RAHSIA

BESARRAHSIA SULIT TERHAD TERBUKA

i. Penyalinan AK AK AK BIASA BIASA

ii. Storan AK AK AK BIASA BIASA

iii. TX-Persuratan AK AK AK BIASA BIASA

iv. TX-Percakapan AK AK AK BIASA BIASA

v. Pemusnahan AK AK AK BIASA BIASA

vi. Multimedia AK AK AK BIASA BIASA


24/91


MINDEF

VERSI 4.0


MUKA SURAT 23/91

BIDANG 4 : KESELAMATAN SUMBER MANUSIA

Objektif

Memastikan semua sumber manusia yang menjadi pengguna aset ICT memahami

tanggungjawab dan peranan, meningkatkan pengetahuan dalam keselamatan aset

ICT serta mematuhi terma dan syarat perkhidmatan termasuk peraturan semasa

yang berkuatkuasa.


4.1 Sebelum Perkhidmatan

Perkara-perkara yang mesti dipatuhi adalah seperti

berikut :

(a) Menyatakan dengan lengkap dan jelas peranan

dan tanggungjawab pengguna serta pembekal

yang terlibat dalam menjamin keselamatan aset

ICT sebelum, semasa dan selepas

perkhidmatan;

(b) Menjalankan tapisan keselamatan untuk

pengguna serta pembekal yang terlibat

berasaskan keperluan perundangan, peraturan

dan etika terpakai yang selaras dengan

keperluan perkhidmatan, peringkat maklumat

yang akan dicapai serta risiko yang

dijangkakan;

(c) Mematuhi semua terma dan syarat

perkhidmatan yang ditawarkan dan peraturan

semasa yang berkuatkuasa berdasarkan

perjanjian yang telah ditetapkan; dan

(d) Ketua Jabatan / Bahagian perlu memastikan

setiap kakitangan di bawah seliaannya

menandatangani ”Surat Akuan Pematuhan

DKICT MinDef ” (KEMBARAN A).

Ketua Jabatan

dan Pengguna


25/91


MINDEF

VERSI 4.0


MUKA SURAT 24/91

4.2 Dalam Perkhidmatan


berikut :

(a) Memastikan pengguna serta pembekal yang

berkepentingan mengurus keselamatan aset

ICT berdasarkan perundangan dan peraturan

yang ditetapkan oleh MinDef;

(b) Memastikan latihan kesedaran dan yang

berkaitan mengenai pengurusan keselamatan

aset ICT diberi kepada pengguna secara

berterusan dalam melaksanakan tugas-tugas

dan tanggungjawab mereka dan sekiranya perlu

diberi kepada pembekal yang berkepentingan

dari semasa ke semasa;

(c) Memastikan adanya proses tindakan disiplin

dan / atau undang-undang ke atas pengguna

serta pembekal yang berkepentingan sekiranya

berlaku perlanggaran dengan perundangan dan

peraturan ditetapkan oleh MinDef; dan

(d) Memantapkan pengetahuan berkaitan dengan

penggunaan aset ICT bagi memastikan setiap

kemudahan ICT digunakan dengan cara dan

kaedah yang betul demi menjamin kepentingan

keselamatan ICT.

Ketua Jabatan

4.3 Bertukar Atau Tamat Perkhidmatan


berikut :

(a) Memastikan semua aset ICT dikembalikan

kepada MinDef mengikut peraturan dan / atau

terma perkhidmatan yang ditetapkan; dan

(b) Membatalkan atau menarik balik semua

Ketua Jabatan,

Pentadbir

Sistem dan

Pengguna


26/91


MINDEF

VERSI 4.0


MUKA SURAT 25/91

kebenaran capaian ke atas maklumat dan

kemudahan proses maklumat mengikut

peraturan yang ditetapkan oleh MinDef dan /

atau terma perkhidmatan.


27/91


MINDEF

VERSI 4.0


MUKA SURAT 26/91

BIDANG 5 : KESELAMATAN FIZIKAL DAN PERSEKITARAN

Objektif

Melindungi premis yang menempatkan aset ICT daripada sebarang bentuk

pencerobohan, ancaman, kerosakan serta akses yang tidak dibenarkan.

Bil. Perkara Tanggungjawab

5.1 Kawalan Kawasan

5.1.1 Kawalan kawasan adalah bertujuan untuk mengesan,

mencegah dan menghalang cubaan untuk

menceroboh ke kawasan yang menempatkan aset ICT

MinDef.

5.1.2 Perkara yang perlu dipatuhi adalah seperti berikut :

(a) Mengenalpasti kawasan keselamatan fizikal

dengan jelas. Lokasi serta keteguhan

kawasan ini hendaklah bergantung kepada

keperluan untuk melindungi aset dalam

kawasan ini dan hasil penilaian risiko;

(b) Menggunakan keselamatan perimeter

(halangan seperti dinding, pagar kawalan,

pengawal keselamatan) untuk melindungi

kawasan yang mengandungi maklumat dan

kemudahan pemprosesan maklumat;

(c) Memasang alat penggera atau kamera

(CCTV); (d) Mempamerkan papan tanda kawasan

larangan;

(e) Menghadkan jalan keluar dan masuk;

(f) Mengadakan kaunter kawalan;

(g) Mewujudkan sistem pas keselamatan;

(h) Mewujudkan perkhidmatan kawalan

keselamatan; dan

CIO, ICTSO danPentadbir Pusat

Data


28/91


MINDEF

VERSI 4.0


MUKA SURAT 27/91

(i) Memastikan kawasan-kawasan penghantaran

dan pemunggahan dan juga tempat-tempat

lain dikawal dari pihak yang tidak diberi

kebenaran memasukinya.

5.2 Kawalan Masuk Dan Keluar Fizikal

5.2.1 Kawalan masuk dan keluar fizikal adalah ditakrifkan

sebagai kawalan ke atas warga MinDef dan pelawat

yang masuk dan keluar premis.

5.2.2 Perkara-perkara yang perlu dipatuhi adalah sepertiberikut :

(a) Setiap warga MinDef hendaklah memakai

atau mengenakan pas keselamatan

sepanjang waktu bertugas;

(b) Semua pas keselamatan hendaklah

diserahkan balik kepada MinDef apabila

pegawai / kakitangan berhenti atau bersara;

(c) Setiap pelawat hendaklah mendapatkan Pas

Keselamatan Pelawat di pintu kawalan utama

MinDef;

(d) Pas ini hendaklah dikembalikan semula

selepas tamat lawatan; dan

(e) Kehilangan pas mestilah dilaporkan dengan

segera mengikut tatacara yang sedangberkuatkuasa di MinDef.

Warga MinDefdan Pelawat

5.3 Kawalan Kawasan Terhad

5.3.1 Kawasan terhad ditakrifkan sebagai kawasan yang

dihadkan kemasukan kepada warga MinDef yang

tertentu sahaja. Ini dilaksanakan untuk melindungi aset

ICT yang terdapat di dalam kawasan tersebut.

Kawasan terhad MinDef adalah merujuk kepada Pusat


29/91


MINDEF

VERSI 4.0


MUKA SURAT 28/91

Data dan Bilik Kawalan Keselamatan.

5.3.2 Perkara-perkara yang mesti dipatuhi adalah seperti

berikut :

(a) Menggunakan kawasan perimeter (halangan

seperti dinding, pagar kawalan, pengawal

keselamatan) untuk melindungi kawasan yang

mengandungi aset ICT;

(b) Melindungi kawasan terhad melalui kawalan

pintu masuk yang bersesuaian bagimemastikan warga MinDef yang diberi

kebenaran sahaja boleh masuk melalui pintu

ini;

(c) Merekabentuk dan melaksanakan

keselamatan fizikal di dalam pejabat, bilik dan

Pusat Data;

(d) Merekabentuk dan melaksanakan

perlindungan fizikal dari kebakaran, banjir,

letupan, kacau-bilau manusia dan sebarang

bencana disebabkan oleh kuasa Tuhan atau

perbuatan manusia; dan

(e) Melaksanakan perlindungan fizikal dan

menyediakan garis panduan untuk warga

MinDef yang bekerja di dalam kawasan

terhad.

Pentadbir PusatData

5.4 Keselamatan Peralatan ICT

5.4.1 Peralatan ICT hendaklah dijaga dan dikawal dengan

baik bagi mengelakkan dari sebarang kehilangan,

kerosakan, kecurian atau kompromi ke atas aset ICT

dan gangguan ke atas sistem penyampaian agensi.

Pegawai Aset,

Pentadbir

Sistem dan

Pengguna

5.4.2 Perkara-perkara yang mesti dipatuhi adalah seperti Pegawai Aset,


30/91


MINDEF

VERSI 4.0


MUKA SURAT 29/91

berikut :

(a) Pengguna hendaklah menyemak dan

memastikan semua peralatan ICT di bawah

kawalannya berfungsi dengan baik;

(b) Pengguna bertanggungjawab sepenuhnya ke

atas peralatan ICT masing-masing dan tidak

dibenarkan membuat sebarang pertukaran

perkakasan dan konfigurasi yang telah

ditetapkan;

(c) Pengguna dilarang sama sekali menambah,

menanggal atau mengganti sebarang

peralatan ICT yang telah ditetapkan atau

memindah kedudukan peralatan ICT yang

dipasang;

(d) Semua peralatan ICT hendaklah ditempatkan

dengan teratur di tempat yang dilengkapi

dengan ciri-ciri keselamatan;

(e) Pengguna adalah bertanggungjawab atas

kerosakan dan kehilangan peralatan ICT di

bawah kawalan;

(f) Pengguna mesti memastikan peralatan ICT

dilengkapi dengan perisian antivirus dan

dikemaskini serta melakukan imbasan ke atas

media storan yang digunakan;

(g) Penggunaan kata laluan untuk akses ke

sistem komputer adalah diwajibkan;

(h) Semua peralatan sokongan ICT hendaklah

dilindungi daripada kecurian, kerosakan,

penyalahgunaan atau pengubahsuaian tanpa

kebenaran;

(i) Sebarang kerosakan peralatan ICT hendaklah

Pentadbir

Sistem danPengguna


31/91


MINDEF

VERSI 4.0


MUKA SURAT 30/91

dilaporkan kepada Pentadbir Sistem ICT untuk

dibaik pulih;

(j) Peralatan ICT yang hilang hendaklah

dilaporkan kepada ICTSO seperti yang

ditetapkan mengikut proses dan prosedur

yang berkuatkuasa;

(k) Sebarang bentuk penyelewengan atau salah

guna peralatan ICT hendaklah dilaporkan

kepada ICTSO;

(l) Peralatan ICT yang hendak dibawa keluar dari

premis MinDef, perlulah mendapat kelulusan

dan direkodkan bagi tujuan pemantauan

seperti yang ditetapkan mengikut proses dan

prosedur yang berkuatkuasa;

(m) Peralatan ICT kritikal seperti server, peralatan

keselamatan dan rangkaian perlu disokong

oleh Uninterruptible Power Supply (UPS);

(n) Semua peralatan ICT yang digunakan secara

berterusan mestilah diletakkan di kawasan

yang berhawa dingin dan mempunyai

pengudaraan (air ventilation) yang sesuai;

(o) Konfigurasi alamat IP tidak dibenarkan diubah

daripada alamat IP yang asal;

(p) Penggunaan peralatan ICT hendaklah bagi

urusan rasmi sahaja;

(q) Pengguna hendaklah memastikan semua

peralatan ICT dimatikan suisnya apabila

meninggalkan pejabat;

(r) Memastikan plug dicabut daripada suis utama

(main switch) bagi mengelakkan kerosakan

peralatan ICT sebelum meninggalkan pejabat


32/91


MINDEF

VERSI 4.0


MUKA SURAT 31/91

jika berlaku kejadian seperti petir, kilat dan

sebagainya; dan

(s) Pengendalian peralatan ICT hendaklah

mematuhi dan merujuk kepada peraturan

semasa yang berkuatkuasa.

5.4.3 Media Storan

5.4.3.1 Media storan merupakan peralatan elektronik yang

digunakan untuk menyimpan data dan maklumat

seperti disket, kad multimedia, pemain MP3, CD, DVD,

pita magnetik, cakera keras, CD-ROM, optical disk,

removable disk (external hard disk / thumb drive / pen

drive) dan lain-lain.

5.4.3.2 Keselamatan media storan yang menyimpan maklumat

rasmi dan rahsia rasmi Kerajaan perlu diberi perhatian

khusus. Langkah-langkah pencegahan hendaklah

diambil untuk memastikan kerahsiaan, integriti dan

ketersediaan maklumat yang disimpan dalam media

storan adalah terjamin dan selamat.

Ketua Jabatan

5.4.3.3 Pengguna dilarang menyimpan maklumat terperingkat

(RAHSIA BESAR, RAHSIA, SULIT, TERHAD) di

dalam removable disk kecuali dibenarkan oleh Ketua

Jabatan.

PentadbirSistem danPengguna

5.4.3.4 Perkara yang perlu dipatuhi adalah seperti berikut :

(a) Media storan hendaklah disimpan di ruang

penyimpanan yang mempunyai ciri-ciri

keselamatan bersesuaian dengan kandungan

maklumat;

(b) Akses untuk memasuki kawasan

penyimpanan media storan hendaklah terhad

kepada pengguna yang dibenarkan sahaja;



33/91


MINDEF

VERSI 4.0


MUKA SURAT 32/91

(c) Semua media storan perlu dikawal bagi

mencegah dari capaian yang tidak

dibenarkan, kecurian dan kemusnahan;

(d) Semua media storan yang mengandungi

maklumat terperingkat hendaklah disimpan di

dalam peti keselamatan yang mempunyai ciri-

ciri keselamatan termasuk tahan dari

dipecahkan, api, air dan medan magnet;

(e) Mewujudkan sistem pengurusan media

termasuk inventori, pergerakan, pelabelan dan

backup / restore;

(f) Peralatan ICT bagi tujuan backup hendaklah

diletakkan di tempat yang selamat;

(g) Mengadakan salinan atau penduaan (backup)

bagi tujuan keselamatan dan bagi

mengelakkan kehilangan data; dan

(h) Sebarang pelupusan hendaklah merujuk

kepada proses dan prosedur yang ditetapkan.

5.4.4 Media Perisian Dan Aplikasi

5.4.4.1 Keselamatan media perisian dan aplikasi yang

digunakan untuk dipasang di peralatan ICT perlu diberi

perhatian khusus.

Ketua Jabatan

5.4.4.2 Perkara-perkara yang perlu dipatuhi adalah seperti

berikut :

(a) Hanya perisian yang diperakui sahaja

dibenarkan bagi kegunaan MinDef;

(b) Sistem aplikasi dalaman tidak dibenarkan

didemonstrasi atau diagih kepada pihak lain

kecuali dengan kebenaran Pengurus ICT;

(c) Lesen perisian (registration code, serials, CD-

Pentadbir

Sistem


34/91


MINDEF

VERSI 4.0


MUKA SURAT 33/91

keys) perlu disimpan berasingan daripada CD-

ROM, disk atau media berkaitan bagi

mengelakkan dari berlakunya kecurian atau

cetak rompak; dan

(d) Source code sesuatu sistem hendaklah

disimpan mengikut proses dan prosedur yang

ditetapkan.

5.4.5 Penyelenggaraan Peralatan ICT

5.4.5.1 Peralatan ICT hendaklah diselenggara mengikut

proses dan prosedur yang ditetapkan bagi memastikan

kerahsiaan, integriti dan ketersediaan.

Pengurus ICT

5.4.5.2 Langkah-langkah keselamatan yang perlu diambil


(a) Melaksanakan selenggaraan berdasarkan

spesifikasi pengeluar;

(b) Memastikan peralatan ICT hanya

diselenggara oleh pihak yang dibenarkan

sahaja;

(c) Menyemak dan menguji semua peralatan ICT

sebelum dan selepas proses

penyelenggaraan mengikut prosedur yang

ditetapkan; dan

(d) Memaklumkan pihak pengguna sebelum

melaksanakan penyelenggaraan.

Pentadbir

Sistem dan

Pengguna

5.4.6 Peminjaman Peralatan ICT Bagi Kegunaan Di Luar Pejabat

5.4.6.1 Peminjaman peralatan ICT bagi kegunaan di luar

pejabat hendaklah mengikut proses dan prosedur yang

telah ditetapkan bagi memastikan kerahsiaan, integriti

dan ketersediaan.

Pengurus ICT

5.4.6.2 Langkah-langkah yang perlu diambil adalah seperti Pentadbir


35/91


MINDEF

VERSI 4.0


MUKA SURAT 34/91

berikut :

(a) Mendapatkan kelulusan mengikut peraturan

yang telah ditetapkan oleh MinDef bagi

membawa keluar peralatan ICT, tertakluk

kepada tujuan yang dibenarkan;

(b) Melindungi dan mengawal peralatan ICT

sepanjang masa;

(c) Merekod aktiviti peminjaman dan pemulangan

peralatan ICT; dan

(d) Menyemak peralatan yang dipulangkan

berada dalam keadaan baik.

Sistem dan

Pengguna

5.4.7 Pengendalian Peralatan ICT Luar Yang Dibawa Masuk Dan Keluar

5.4.7.1 Peralatan ICT yang dibawa masuk dari luar bagi

tujuan tertentu dan dibawa keluar selepas proses

berkenaan selesai hendaklah dipantau bagi

memastikan tidak berlaku sebarang kebocoran

maklumat.

Pengurus ICT

5.4.7.2 Langkah keselamatan yang perlu diambil adalah

seperti berikut :

(a) Mendapatkan kelulusan mengikut peraturan

yang telah ditetapkan; dan

(b) Memeriksa peralatan yang dibawa keluar bagi

mengelak sebarang ketirisan maklumat.

Pentadbir

Sistem dan

Pengguna

5.4.8 Pelupusan Peralatan ICT

5.4.8.1 Semua peralatan ICT yang telah rosak, usang dan

tidak ekonomi untuk dibaiki hendaklah dilupuskan

mengikut prosedur pelupusan yang ditetapkan.

Pengurus ICT

dan Pegawai

Aset

5.4.8.2 Perkara-perkara yang perlu dipatuhi adalah sepertiberikut:

(a) Semua kandungan peralatan ICT hendaklah

Pegawai Aset,

Pentadbir

Sistem dan

Pengguna


36/91


MINDEF

VERSI 4.0


MUKA SURAT 35/91

dihapuskan terlebih dahulu sebelum proses

pelupusan dilaksanakan;

(b) Peralatan ICT yang hendak dilupus hendaklah

disimpan di tempat yang telah dikhaskan yang

mempunyai ciri-ciri keselamatan;

(c) Pelupusan peralatan ICT hendaklah dilakukan

mengikut tatacara pelupusan semasa yang

berkuatkuasa di MinDef; dan

(d) Pengguna adalah DILARANG SAMA SEKALI

daripada melakukan perkara-perkara seperti

berikut :

i. Mengambil mana-mana peralatan ICT

seperti CPU atau komponen peralatan

ICT seperti RAM dan cakera keras

yang hendak dilupuskan untuk milik

peribadi; dan

ii. Melupuskan sendiri peralatan ICT

kerana kerja-kerja pelupusan di bawah

tanggungjawab MinDef.

5.5 Keselamatan Persekitaran

Keselamatan persekitaran bertujuan untuk melindungi

aset ICT MinDef dari sebarang bentuk ancaman

persekitaran yang disebabkan oleh bencana alam,

kesilapan, kecuaian atau kemalangan.

5.6 Kawalan Persekitaran

5.6.1 Kawalan persekitaran bertujuan untuk menghindarkan

kerosakan dan gangguan terhadap premis dan aset

ICT. Semua cadangan perolehan dan pengubahsuaian

hendaklah dirujuk terlebih dahulu kepada Pejabat

Ketua Pegawai Keselamatan Kerajaan (CGSO).

Ketua Jabatan


37/91


MINDEF

VERSI 4.0


MUKA SURAT 36/91


(a) Merancang dan menyediakan pelan

keseluruhan Pusat Data (ruang percetakan,

peralatan komputer dan ruang atur pejabat);

(b) Melengkapi semua ruang pejabat khususnya

kawasan yang mempunyai kemudahan ICT

dengan perlindungan keselamatan yang

mencukupi dan dibenarkan seperti alat

pencegah kebakaran dan pintu kecemasan;

(c) Memasang peralatan perlindungan di tempat

yang bersesuaian, mudah dikenali dan

dikendalikan;

(d) Menyimpan bahan mudah terbakar di luar

kawasan penyimpanan aset ICT;

(e) Meletakkan semua bahan cecair di tempat

yang bersesuaian dan berjauhan dari aset

ICT;

(f) Pengguna adalah dilarang merokok atau

menggunakan peralatan memasak seperti

cerek elektrik berhampiran peralatan

komputer;

(g) Menyemak dan menguji semua peralatan

perlindungan mengikut tatacara dan jadual

yang ditetapkan. Aktiviti dan keputusan ujian

ini perlu direkodkan bagi memudahkan

rujukan dan tindakan sekiranya perlu; dan

(h) Memastikan suhu premis mengikut spesifikasi

yang ditetapkan.

Pentadbir PusatData dan

Pengguna


38/91


MINDEF

VERSI 4.0


MUKA SURAT 37/91

5.7 Bekalan Kuasa

5.7.1 Bekalan kuasa merupakan punca kuasa elektrik yang

dibekalkan kepada peralatan ICT.

5.7.2 Perkara yang perlu dipatuhi bagi menjamin

keselamatan bekalan kuasa adalah seperti berikut :

(a) Melindungi semua peralatan ICT dari

kegagalan bekalan elektrik dengan

menyalurkan bekalan yang sesuai kepada

peralatan ICT;(b) Menggunakan peralatan sokongan seperti

Uninterruptible Power Supply (UPS) dan

janakuasa ( power generator ) bagi

perkhidmatan kritikal seperti di Pusat Data

supaya mendapat bekalan kuasa berterusan;

dan

(c) Menyemak dan menguji semua peralatan

sokongan bekalan kuasa secara berjadual.

Pengurus ICT

5.8 Keselamatan Kabel

5.8.1 Kabel elektrik dan kabel rangkaian hendaklah

dilindungi daripada gangguan dan kerosakan.

5.8.2 Langkah-langkah keselamatan yang perlu diambil


(a) Menggunakan kabel yang mengikut spesifikasiyang telah ditetapkan;

(b) Melindungi kabel daripada kerosakan yang

disengajakan atau tidak disengajakan;

(c) Melindungi laluan pemasangan kabel

sepenuhnya seperti menggunakan conduit

atau trunking mengikut spesifikasi yang

ditetapkan bagi mengelakkan ancaman

Pengurus ICT


39/91


MINDEF

VERSI 4.0


MUKA SURAT 38/91

kerosakan dan wire tapping ; dan

(d) Membuat pelabelan kabel mengikut spesifikasi

dan prosedur yang ditetapkan.

5.9 Prosedur Kecemasan

5.9.1 Prosedur kecemasan merupakan langkah proaktif

dalam usaha persediaan menghadapi fenomena-

fenomena seperti kebakaran, kemalangan,

kecederaan dan bencana alam untuk melindungi

warga MinDef dan pelawat dengan serta-merta.

Pegawai

Keselamatan

Jabatan /

Bahagian


(a) Pengguna hendaklah mematuhi prosedur

kecemasan yang ditetapkan oleh Pegawai

Keselamatan MinDef;

(b) Melaporkan insiden kecemasan persekitaran

seperti kebakaran kepada Pegawai

Keselamatan MinDef;

(c) Mengadakan, menguji dan mengemaskini

pelan kecemasan dari semasa ke semasa;

dan

(d) Mengadakan latihan fire drill mengikut jadual.

Pegawai

Keselamatan

Jabatan /

Bahagian dan

Warga MinDef

5.10 Keselamatan Dokumen

Pengurusan dokumen yang melibatkan pewujudan,

penyimpanan, pergerakan dan pelupusan hendaklah

mengikut Arahan Keselamatan 1972, Arahan Amalan

(Jadual Pelupusan Rekod) dan tatacara Jabatan Arkib

Negara serta proses dan prosedur yang berkuatkuasa.

Warga MinDef


40/91


MINDEF

VERSI 4.0


MUKA SURAT 39/91

BIDANG 6 : PENGURUSAN OPERASI DAN KOMUNIKASI

ObjektifMemastikan operasi dan komunikasi berfungsi dengan baik dan selamat daripada

sebarang ancaman atau gangguan.

Bil. Perkara Tanggungjawab

6.1 Pengendalian Prosedur Operasi

6.1.1 Pengendalian prosedur operasi perlu disediakan bagi

memastikan pengurusan operasi sistem dan

komunikasi dapat berfungsi dengan cekap dan

selamat.

ICTSO

6.1.2 Perkara-perkara yang perlu dipatuhi adalah seperti

berikut :

(a) Semua prosedur operasi hendaklah

didokumenkan dengan jelas, teratur,

dikemaskini dan sedia diguna pakai oleh

pengguna;

(b) Setiap perubahan kepada prosedur operasi

mestilah dikawal;

(c) Tugas dan tanggungjawab fungsi perlu

diasingkan bagi mengurangkan risiko

kecuaian dan penyalahgunaan aset ICT

MinDef;

(d) Kemudahan ICT untuk pembangunan,

pengujian dan operasi perlu diasingkan bagi

mengurangkan risiko capaian atau

pengubahsuaian secara tidak sah ke atas

sistem yang sedang beroperasi.

Pentadbir

Sistem

6.2 Pengurusan Penyampaian Perkhidmatan Pembekal

6.2.1 Memastikan pembekal melaksanakan perkhidmatan

mengikut perjanjian perkhidmatan serta mematuhi

Pengurus ICT


41/91


MINDEF

VERSI 4.0


MUKA SURAT 40/91

sepenuhnya proses dan prosedur keselamatan yang

berkuatkuasa.

6.2.2 Perkara-perkara yang perlu dilaksanakan adalah

seperti berikut :

(a) Perkhidmatan, laporan dan rekod yang

dikemukakan oleh pembekal perlu dipantau,

disemak semula dan diaudit dari semasa ke

semasa; dan

(b) Pengurusan ke atas perubahan penyediaanperkhidmatan perlu mengambil kira tahap

kritikal sistem dan proses yang terlibat serta

penilaian semula risiko.

Pentadbir

Sistem

6.3 Perancangan Dan Penerimaan Sistem

6.3.1 Perancangan Kapasiti

6.3.1.1 Kapasiti sesuatu komponen atau sistem ICT

hendaklah dirancang, diurus dan dikawal dengan teliti

oleh pegawai yang berkenaan bagi memastikan

keperluannya adalah mencukupi dan bersesuaian

untuk pembangunan dan kegunaan sistem ICT pada

masa akan datang.

Pentadbir

Sistem

6.3.1.2 Keperluan kapasiti ini juga perlu mengambil kira ciri-ciri

keselamatan ICT bagi meminimumkan risiko seperti

gangguan pada perkhidmatan dan kerugian akibat

pengubahsuaian yang tidak dirancang.

Pentadbir

Sistem

6.3.2 Penerimaan Sistem

Semua sistem baru (termasuklah sistem yang

dikemaskini atau diubahsuai) hendaklah memenuhi

kriteria yang ditetapkan sebelum diterima atau

dipersetujui.

Pentadbir

Sistem


42/91


MINDEF

VERSI 4.0


MUKA SURAT 41/91

6.4 Perlindungan Dari Malicious Dan Mobi le Code

6.4.1 Aset ICT perlu diindungi supaya tidak terdedah kepada

kerosakan yang disebabkan oleh perisian berbahaya

seperti virus, worm, trojan dan lain-lain.

Pengurus ICT

6.4.2 Perkara-perkara yang mesti dipatuhi adalah :

(a) Memasang sistem keselamatan untuk

mengesan perisian berbahaya seperti

antivirus, Intrusion Detection System (IDS)

dan Intrusion Prevention System (IPS);(b) Memasang dan menggunakan hanya perisian

yang tulen;

(c) Mengimbas semua perisian dengan antivirus

sebelum menggunakannya;

(d) Mengemaskini paten antivirus dari semasa ke

semasa;

(e) Menyemak kandungan sistem ICT secara

berkala bagi mengesan aktiviti yang tidak

normal seperti kehilangan atau kerosakan

maklumat;

(f) Menghadiri program kesedaran mengenai

ancaman perisian berbahaya dan cara

mengendalikannya dari semasa ke semasa;

(g) Memasukkan klausa tanggungan ke dalam

kontrak yang ditawarkan kepada pembekal

perisian. Klausa ini bertujuan untuk tuntutan

baik pulih sekiranya perisian tersebut

mengandungi program berbahaya;

(h) Mewujud dan melaksanakan prosedur jaminan

kualiti ke atas semua perisian yang

dibangunkan;

Pentadbir Sistem

dan Pengguna


43/91


MINDEF

VERSI 4.0


MUKA SURAT 42/91

(i) Memberi amaran mengenai ancaman seperti

serangan virus terhadap keselamatan aset

ICT MinDef;

(j) Kawalan pencegahan, pengesanan dan

pemulihan untuk melindungi sistem ICT

daripada gangguan malicious code;

(k) Melaksanakan program kesedaran pengguna

yang bersesuaian; dan

(l) Penggunaan mobile code yang boleh

mendatangkan ancaman keselamatan ICT

adalah tidak dibenarkan.

6.5 Backup ( Salinan Penduaan )

6.5.1 Salinan penduaan adalah penting bagi memastikan

sistem ICT dan data dapat dipulihkan semula sekira

berlakunya bencana.

6.5.2 Perkara yang mesti dipatuhi adalah sepeti berikut :

(a) Membuat salinan penduaan ke atas semua

sistem perisian dan aplikasi mengikut jadual

yang ditetapkan atau apabila berlaku

perubahan versi;

(b) Membuat salinan penduaan ke atas data

mengikut kesesuaian operasi; dan

(c) Menguji sistem penduaan bagi memastikan

ianya dapat dimasukkan semula (restore) dan

beroperasi dengan normal.

PentadbirSistem

6.6 Pengurusan Keselamatan Rangkaian

6.6.1 Keselamatan rangkaian adalah elemen penting dalam

memastikan pengaliran maklumat lancar dan

sempurna. Infrastruktur rangkaian mestilah dikawal,

dipantau dan diurus sebaiknya daripada ancaman

Pengurus ICT


44/91


MINDEF

VERSI 4.0


MUKA SURAT 43/91

kepada sistem ICT.

6.6.2 Kawalan Infrastruktur RangkaianPerkara-perkara yang mesti dipatuhi adalah :

(a) Polisi dan prosedur perlu dibangunkan dan

dilaksanakan bagi melindungi maklumat yang

berhubung kait dengan sistem rangkaian;

(b) Ciri-ciri keselamatan, tahap perkhidmatan dan

keperluan pengurusan bagi semua

perkhidmatan rangkaian perlu dikenal pasti

dan dimasukkan dalam perjanjian

perkhidmatan rangkaian sama ada

perkhidmatan berkenaan disediakan secara

dalaman atau melalui pembekal;

(c) Tanggungjawab dan fungsi operasi rangkaian

hendaklah diasingkan untuk meminimumkan

risiko capaian dan pengubahsuaian yang tidakdibenarkan;

(d) Peralatan rangkaian hendaklah diletakkan di

lokasi yang bebas dari risiko seperti banjir,

gegaran dan habuk;

(e) Capaian kepada peralatan rangkaian

hendaklah dikawal dan terhad kepada

pengguna yang dibenarkan sahaja;

(f) Peralatan keselamatan seperti firewall

hendaklah dipasang bagi memastikan hak

capaian ke atas sistem ICT dapat

dilaksanakan seperti ditetapkan;

(g) Semua trafik keluar dan masuk hendaklah

ditapis oleh peralatan keselamatan di bawah

kawalan MinDef;

PentadbirSistem


45/91


MINDEF

VERSI 4.0


MUKA SURAT 44/91

(h) Semua perisian sniffer atau network analyzer

adalah dilarang dipasang pada komputer

pengguna kecuali mendapat kebenaran

ICTSO;

(i) Sebarang cubaan menceroboh dan aktiviti-

aktiviti lain yang boleh mengancam sistem dan

maklumat MinDef perlu dipantau dan dikesan

melalui pemasangan peralatan keselamatan

seperti Intrusion Detection System (IDS) dan

Intrusion Prevention System (IPS);

(j) Sebarang aktiviti yang dilarang seperti yang

termaktub di dalam PKPA Bil. 1/2003 perlu

disekat melalui pemasangan Web Content

Filtering pada Internet Gateway ;

(k) Sebarang keperluan penyambungan

rangkaian hendaklah melalui proses dan

prosedur yang ditetapkan oleh MinDef; dan

(l) Penggunaan rangkaian tanpa wayar (wireless)

LAN di MinDef hendaklah mematuhi surat

MAMPU dengan rujukan UPTM (S) 159/338/8

Jilid 30 (84) bertajuk “Langkah-langkah Untuk

Memperkukuhkan Keselamatan Rangkaian

Setempat Tanpa Wayar (Wireless Local Area

Network) di Agensi-agensi Kerajaan”.

6.7 Prosedur Pengendalian Maklumat

6.7.1 Prosedur ini bertujuan untuk mengendali, menyimpan,

memindah serta melindungi maklumat daripada

didedah tanpa kebenaran atau salah guna serta

memastikan keselamatan pertukaran maklumat

dengan entiti luar terjamin.

Pengurus ICT


46/91


MINDEF

VERSI 4.0


MUKA SURAT 45/91


(a) Menghad dan menentukan capaian kepada

pengguna yang dibenarkan sahaja;

(b) Menghadkan pengedaran data untuk tujuan

rasmi dan yang dibenarkan sahaja;

(c) Polisi, prosedur dan kawalan pertukaran

maklumat yang formal perlu diwujudkan untuk

melindungi pertukaran maklumat melalui

penggunaan pelbagai jenis kemudahankomunikasi;

(d) Sebarang pertukaran maklumat di antara

MinDef dan agensi kerajaan yang lain

mestilah dikawal; dan

(e) Perjanjian perlu diwujudkan untuk pertukaran

maklumat dan perisian di antara agensi

dengan pihak luar.

PentadbirSistem

6.8 Keselamatan Sistem Dokumentasi

6.8.1 Dokumentasi sistem perlu dilindungi dari capaian yang

tidak dibenarkan. Langkah-langkah pengurusan

dokumentasi yang baik dan selamat perlu

dilaksanakan bagi memastikan integriti maklumat.

Pengurus ICT


(a) Memastikan sistem dokumentasi ataupenyimpanan maklumat adalah selamat dan

terjamin;

(b) Menggunakan tanda atau label keselamatan

seperti rahsia besar, rahsia, sulit atau terhad

pada dokumen;

(c) Mewujudkan sistem pengurusan dokumen

terperingkat bagi menerima, memproses,

PentadbirSistem


47/91


MINDEF

VERSI 4.0


MUKA SURAT 46/91

menyimpan dan menghantar dokumen-

dokumen tersebut supaya ianya diuruskan

berasingan daripada dokumen-dokumen tidak

terperingkat;

(d) Penyediaan dan penghantaran dokumen

terperingkat secara elektronik hendaklah

mengikut prosedur dan peraturan yang telah

ditetapkan; dan

(e) Mengawal dan merekodkan semua aktiviti

capaian sistem dokumentasi sedia ada.

6.9 Pertukaran Maklumat

6.9.1 Pertukaran maklumat dan perisian antara MinDef dan

agensi luar hendaklah sentiasa dipastikan terjamin

selamat.

Pengurus ICT

6.9.2 Polisi Dan Prosedur Pertukaran Maklumat

Perkara-perkara yang perlu dipatuhi adalah seperti

berikut :

(a) Dasar, prosedur dan kawalan pertukaran

maklumat yang formal perlu diwujudkan untuk

melindungi pertukaran maklumat melalui

penggunaan pelbagai jenis kemudahan

komunikasi;

(b) Media yang mengandungi maklumat perlu

dilindungi daripada capaian yang tidak

dibenarkan, penyalahgunaan atau kerosakan

semasa pemindahan keluar dari MinDef; dan

(c) Maklumat yang terdapat dalam mel elektronik

perlu dilindungi sebaik-baiknya.

Pentadbir

Sistem

6.9.3 Perjanjian Pertukaran Maklumat

Perjanjian perlu diwujudkan untuk pertukaran

maklumat dan perisian di antara MinDef dengan

Pengurus ICT


48/91


MINDEF

VERSI 4.0


MUKA SURAT 47/91

agensi luar.

6.10 Mel Elektronik (e-mel)

6.10.1 Maklumat yang dihantar, diterima dan disimpan

melalui mel elektronik MinDef perlu dilindungi bagi

menghindari capaian atau sebaran maklumat yang

tidak dibenarkan. Pengguna layak menerima

kemudahan perkhidmatan e-mel dengan kelulusan

dari Ketua Jabatan.

Ketua Jabatan

6.10.2 Perkara yang perlu dipatuhi adalah seperti termaktubdalam “Etika Penggunaan Internet Dan E-mel

MinDef”. Sila rujuk KEMBARAN B.


6.11 Telecommut ing

6.11.1 Maklumat yang diakses atau dihantar semasa

menggunakan kemudahan telecommuting hendaklah

dijamin selamat.

Pengurus ICT

6.11.2 Perkara yang perlu dipatuhi adalah :

(a) Kemudahan hanya disediakan untuk sistem

aplikasi ICT yang dibenarkan sahaja;

(b) Kebenaran secara bertulis untuk

menggunakan kemudahan hendaklah

diperolehi daripada Pentadbir Sistem;

(c) Sebarang akses daripada luar mengguna

kemudahan ini hendaklah diberi perlindungan

keselamatan yang mencukupi.

PentadbirSistem

6.12 Br ing Your Own Device (BYOD)

6.12.1 BYOD adalah peralatan mudah alih persendirian

seperti telefon pintar, tablet dan laptop yang

digunakan untuk tujuan rasmi.


49/91


MINDEF

VERSI 4.0


MUKA SURAT 48/91

6.12.2 Maklumat lanjut mengenai BYOD boleh merujuk

kepada Polisi Berkaitan Br ing Your Own Device

(BYOD) seperti di KEMBARAN C.

Pengguna

6.13 Pengauditan Dan Forensik ICT

6.13.1 ICTSO hendaklah memastikan semua proses

pengauditan dan forensik ICT dijalankan bagi

menjamin keselamatan ICT sentiasa terpelihara.

ICTSO

6.13.2 Pentadbir Sistem hendaklah merekod dan

menganalisis perkara-perkara berikut :

(a) Sebarang percubaan pencerobohan kepada

sistem ICT MinDef;

(b) Serangan kod perosak (malicious code),

halangan pemberian perkhidmatan (denial of

service), spam, pemalsuan (forgery, phising ),

pencerobohan (intrusion), ancaman (threats)

dan kehilangan fizikal ( physical loss);

(c) Pengubahsuaian ciri-ciri perkakasan, perisian

atau mana-mana komponen sesebuah sistem

tanpa pengetahuan, arahan atau persetujuan

mana-mana pihak;

(d) Aktiviti melayari, menyimpan atau mengedar

bahan-bahan lucah, berunsur fitnah dan

propaganda anti kerajaan;(e) Aktiviti pewujudan perkhidmatan-perkhidmatan

yang tidak dibenarkan;

(f) Aktiviti instalasi dan penggunaan perisian yang

membebankan jalur lebar (bandwidth)

rangkaian;

(g) Aktiviti penyalahgunaan akaun e-mel; da

(h) Aktiviti penukaran alamat IP (IP address)

Pentadbir

Sistem


50/91


MINDEF

VERSI 4.0


MUKA SURAT 49/91

selain daripada yang telah diperuntukkan

tanpa kebenaran Pentadbir Sistem ICT.

6.14 Jejak Audit

6.14.1 Setiap sistem mestilah mempunyai jejak audit. Jejak

audit merekod aktiviti-aktiviti yang berlaku dalam

sistem secara kronologi bagi membenarkan

pemeriksaan dan pembinaan semula dilakukan bagi

susunan dan perubahan dalam sesuatu acara.

Pengurus ICT

6.14.2 Jejak audit hendaklah mengandungi maklumat-maklumat berikut :

(a) Rekod setiap aktiviti transaksi;

(b) Maklumat jejak audit mengandungi identiti

pengguna, sumber yang digunakan,

perubahan maklumat, tarikh dan masa aktiviti,

rangkaian dan aplikasi yang digunakan;

(c) Aktiviti capaian pengguna ke atas sistem ICT

sama ada secara sah atau sebaliknya;

(d) Maklumat aktiviti sistem yang tidak normal

atau aktiviti yang tidak mempunyai ciri-ciri

keselamatan.

(e) Jejak audit hendaklah disimpan untuk tempoh

masa seperti yang disarankan oleh Arahan

Teknologi Maklumat dan Akta Arkib Negara;

(f) Pentadbir Sistem ICT hendaklah menyemak

catatan jejak audit dari semasa ke semasa

dan menyediakan laporan jika perlu. Ini akan

dapat membantu mengesan aktiviti yang tidak

normal dengan lebih awal; dan

(g) Jejak audit juga perlu dilindungi dari

kerosakan, kehilangan, penghapusan,

PentadbirSistem


51/91


MINDEF

VERSI 4.0


MUKA SURAT 50/91

pemalsuan dan pengubahsuaian yang tidak

dibenarkan.

6.15 Sistem Log

6.15.1 Setiap sistem mestilah mempunyai sistem log. Sistem

log merekod aktiviti-aktiviti yang berlaku dalam sistem

secara kronologi bagi membenarkan pemeriksaan dan

pembinaan semula dilakukan bagi susunan dan

perubahan dalam sesuatu acara.

Pentadbir

Sistem

6.15.2 Pentadbir Sistem ICT hendaklah melaksanakanperkara-perkara berikut :

(a) Mewujudkan sistem log bagi merekodkan

semua aktiviti harian pengguna;

(b) Menyemak sistem log secara berkala bagi

mengesan ralat yang menyebabkan gangguan

kepada sistem dan mengambil tindakan

membaik pulih dengan segera; dan

(c) Sekiranya wujud aktiviti-aktiviti lain yang tidak

sah seperti kecurian maklumat dan

pencerobohan, Pentadbir Sistem ICT

hendaklah melaporkan kepada MinDefCERT.

PentadbirSistem

6.15.3 Pemantauan Log

Perkara-perkara yang perlu dipatuhi adalah seperti

berikut :

(a) Log Audit yang merekodkan semua aktiviti

perlu dihasilkan dan disimpan untuk tempoh

masa yang dipersetujui bagi membantu

siasatan dan memantau kawalan capaian;

(b) Prosedur untuk memantau penggunaan

kemudahan memproses maklumat perlu

diwujud dan hasilnya perlu dipantau secara

PentadbirSistem


52/91


MINDEF

VERSI 4.0


MUKA SURAT 51/91

berkala;

(c) Maklumat log perlu dilindungi daripada

diubahsuai dan sebarang capaian yang tidak

dibenarkan;

(d) Aktiviti pentadbiran dan operator sistem perlu

direkodkan;

(e) Kesalahan, kesilapan dan / atau

penyalahgunaan perlu direkodkan log,

dianalisis dan diambil tindakan sewajarnya;

(f) Waktu yang berkaitan dengan sistem

pemprosesan maklumat MinDef atau domain

keselamatan perlu diselaraskan dengan satu

sumber waktu yang dipersetujui;

(g) Menyemak sistem log secara berkala bagi

mengesan ralat yang menyebabkan gangguan

kepada sistem dan mengambil tindakan

membaik pulih dengan segera; dan

(h) Sekiranya wujud aktiviti-aktiviti tidak sah

seperti kecurian maklumat dan pencerobohan

hendaklah dilaporkan kepada MinDefCERT.


53/91


MINDEF

VERSI 4.0


MUKA SURAT 52/91

BIDANG 7 : KAWALAN CAPAIAN

Objektif

Melindungi maklumat dari sebarang bentuk capaian yang tidak dibenarkan.


7.1 Kawalan Capaian

7.1.1 Peraturan bagi mengawal capaian hendaklah

diwujud, didokumen dan dikaji semula berasaskan

keperluan perkhidmatan dan keselamatan. Peraturan

kawalan capaian hendaklah mengambilkira faktor

identification, authentication dan authorization.

Pengurus ICT

7.1.2 Perkara-perkara yang perlu dipatuhi adalah seperti

berikut :

(a) Kawalan capaian ke atas aset ICT

mengikut keperluan keselamatan dan

peranan pengguna;

(b) Kawalan capaian ke atas perkhidmatan

rangkaian dalaman dan luaran;

(c) Keselamatan maklumat yang dicapai

menggunakan kemudahan atau peralatan

mudah alih; dan

(d) Kawalan ke atas kemudahan pemprosesan

maklumat.

Pentadbir

Sistem

7.1.3 Capaian kepada proses dan maklumat hendaklahdikawal mengikut keperluan keselamatan dan fungsi

kerja pengguna. Setiap capaian perlu direkod,

dikemaskini dan hendaklah mematuhi dasar kawalan

capaian pengguna yang berkuatkuasa.

PentadbirSistem

7.2 Pengurusan Capaian

Pengurusan capaian adalah merujuk kepada

kawalan capaian pengguna ke atas sistem

Pengurus ICT


54/91


MINDEF

VERSI 4.0


MUKA SURAT 53/91

pengoperasian, aplikasi dan maklumat melalui

rangkaian MinDef bagi memastikan bahawa sistem

maklumat MinDef dicapai oleh pengguna yang sah

dan menghalang capaian yang tidak sah.

7.2.1 Kawalan Capaian Pengguna

Perkara yang perlu dipatuhi adalah seperti berikut :

(a) Memastikan bahawa sistem maklumat

dicapai oleh pengguna yang sah dan

menghalang capaian yang tidak sah;

(b) Prosedur yang melibatkan proses

pendaftaran dan pembatalan kebenaran

capaian pengguna perlu diwujudkan dan

didokumenkan; dan

(c) Aktiviti capaian pengguna direkod dan

dikaji secara berkala. Maklumat yang

direkod termasuk identiti pengguna,

sumber yang digunakan, perubahan

maklumat, tarikh, masa, rangkaian dilalui,

aplikasi diguna dan aktiviti capaian secara

sah atau sebaliknya.

Pentadbir

Sistem

7.2.1.1 Pendaftaran Dan Pembatalan Akaun

Perkara yang perlu dipatuhi adalah seperti berikut :

(a) Akaun pengguna adalah unik dan

pengguna bertanggungjawab ke atas

akaun tersebut selepas pengesahan

penerimaan dibuat;

(b) Akaun pengguna yang diwujudkan, tahap

capaian dan sebarang perubahan ke atas

akaun dan capaian mestilah mendapat

kebenaran pihak pengurusan secara

bertulis dan direkodkan;

Ketua Jabatan,

Pengurus ICT,

Pentadbir

Sistem dan

Pengguna


55/91


MINDEF

VERSI 4.0


MUKA SURAT 54/91

(c) Pemilihan akaun dan capaian pengguna

adalah tertakluk kepada peraturan jabatan

dan tindakan pembatalan /

pengubahsuaian hendaklah diambil atas

sebab seperti berikut :

i. Pengguna tidak hadir bertugas tanpa

kebenaran melebihi satu tempoh

yang ditentukan oleh Ketua Jabatan;

ii. Pengguna bercuti atau bertugas di

luar pejabat;

iii. Melebihi satu tempoh yang

ditentukan oleh Ketua Jabatan;

iv. Pengguna bertukar jawatan,

tanggungjawab dan / atau bidang

tugas;

v. Pengguna bertukar atau berpindah

Jabatan; dan

vi. Pengguna bersara atau tamat

perkhidmatan.

7.2.1.2 Hak Capaian (privi lege )

Penetapan dan penggunaan ke atas hak capaian

memerlukan kawalan dan seliaan yang ketat. Hak

capaian hendaklah sentiasa dipantau dan

dikemaskini mengikut keperluan semasa. Prosedur

yang melibatkan proses kawalan capaian perlu

diwujud dan didokumenkan.

Pengurus ICT

dan Pentadbir

Sistem

7.2.1.3 Pengurusan Kata Laluan

Pemilihan, penggunaan dan pengurusan kata laluan

sebagai laluan utama bagi mencapai maklumat dan

data dalam sistem mestilah mematuhi amalan

terbaik serta prosedur yang ditetapkan oleh MinDef

Pentadbir

Sistem dan

Pengguna


56/91


MINDEF

VERSI 4.0


MUKA SURAT 55/91

seperti berikut :

(a) Dalam apa jua keadaan dan sebab, kata

laluan hendaklah dilindungi dan tidak boleh

dikongsi dengan sesiapa pun;

(b) Pengguna hendaklah menukar kata laluan

apabila disyaki berlakunya kebocoran kata

laluan atau dikompromi;

(c) Panjang kata laluan mestilah sekurang-

kurangnya lapan (8) aksara dengan

gabungan antara huruf dan nombor atau

aksara khusus;

(d) Kata laluan hendaklah diingat dan TIDAK

BOLEH dicatat, disimpan atau didedahkan

dengan apa cara sekalipun;

(e) Kata laluan sistem pengoperasian dan

screen saver hendaklah diaktifkan

terutamanya pada komputer yang terletak

di ruang guna sama;

(f) Kata laluan hendaklah tidak dipaparkan

semasa input , dalam laporan atau media

lain dan tidak boleh dikodkan di dalam

program;

(g) Kuatkuasakan pertukaran kata laluan

semasa login kali pertama atau selepas

login kali pertama atau selepas kata laluan

diset semula;

(h) Kata laluan hendaklah berlainan daripada

pengenalan identiti pengguna;

(i) Kata laluan hendaklah ditukar selepas 90

hari atau selepas tempoh masa yang

bersesuaian; dan


57/91


MINDEF

VERSI 4.0


MUKA SURAT 56/91

(j) Mengelakkan penggunaan semula kata

laluan yang baru digunakan.

7.2.1.4 Polisi Clear Desk An d Clear Screen

7.2.1.4.1 Clear Desk and Clear Screen bermaksud tidak

meninggalkan bahan-bahan yang sensitif terdedah

sama ada atas meja pengguna atau di paparan skrin

apabila pengguna tidak berada di tempatnya.

Pengguna

7.2.1.4.2 Semua maklumat dalam apa jua bentuk media

hendaklah disimpan dengan teratur dan selamat bagimengelakkan kerosakan, kecurian atau kehilangan.

Pengguna

7.2.1.4.3 Perkara-perkara yang perlu dipatuhi adalah seperti

berikut :

(a) Menyimpan bahan-bahan sensitif di dalam

laci atau kabinet fail yang berkunci;

(b) Menggunakan kemudahan password

screen saver atau logout / lock apabila

meninggalkan komputer; dan

(c) Memastikan semua dokumen diambil

segera dari pencetak, pengimbas, mesin

faksimili dan mesin fotostat.

Pengguna

7.2.2 Kawalan Capaian Rangkaian

7.2.2.1 Menghalang capaian tidak sah dan tanpa kebenaran

ke atas rangkaian MinDef. Kawalan capaianperkhidmatan rangkaian hendaklah dijamin selamat

dengan :

(a) Mewujudkan segmen rangkaian yang

bersesuaian bagi membezakan had

capaian pengguna dan keperluan sistem;

(b) Mewujudkan dan menguatkuasakan

mekanisme untuk pengesahan pengguna

Pentadbir

Sistem


58/91


MINDEF

VERSI 4.0


MUKA SURAT 57/91

dengan peralatan yang menepati

kesesuaian penggunaannya;

(c) Memantau dan menguatkuasakan kawalan

capaian pengguna terhadap perkhidmatan

rangkaian ICT.

(d) Mewujudkan mekanisme pengesahan yang

sesuai untuk mengawal capaian oleh

pengguna jarak jauh;

(e) Capaian fizikal dan logikal ke atas

perkakasan rangkaian bagi tujuan

mengubah konfigurasi perlulah dikawal.

7.2.2.2 Capaian Perkhidmatan Internet

(a) Capaian Internet perlu dikawal dan diurus

bagi mengelakkan gangguan sistem

rangkaian MinDef;

(b) Penggunaan Internet di MinDef hendaklah

dipantau secara berterusan oleh

Pentadbir Rangkaian bagi memastikan

penggunaannya untuk tujuan capaian yang

dibenarkan sahaja.

(c) Kaedah Content Filtering mestilah

digunakan bagi mengawal akses Internet

mengikut fungsi kerja dan pemantauan

tahap pematuhan;

(d) Pengurusan bandwidth hendaklah

digunakan untuk mengawal aktiviti

seperti video conferencing; video

streaming, chat, downloading bagi

mengawal penggunaan bandwidth

mengikut keperluan.

(e) Maklumat lanjut mengenai keselamatan

Pentadbir

Sistem


59/91


MINDEF

VERSI 4.0


MUKA SURAT 58/91

Internet bolehlah merujuk kepada “Etika

Penggunaan Internet dan Emel

Kementerian Pertahanan“ seperti di

KEMBARAN B dan Pekeliling Kemajuan

Pentadbiran Awam Bilangan 1 Tahun 2003

bertajuk “Garis Panduan Mengenai

Tatacara Penggunaan Internet dan Mel

Elektronik di Agensi-agensi Kerajaan”.

7.2.3 Capaian Sistem Pengoperasian

7.2.3.1 Memastikan bahawa capaian ke atas sistem

pengoperasian dikawal dan dihadkan kepada

pengguna yang dibenarkan sahaja.

PentadbirSistem

7.2.3.2 Kaedah yang digunakan hendaklah menyokong

perkara-perkara berikut :

(a) Mengesahkan pengguna yang dibenarkan.

(b) Mewujudkan jejak audit ke atas semua

capaian sistem operasi terutama

pengguna bertaraf khas (super user );

(c) Menjana amaran (alert) sekiranya berlaku

pelanggaran ke atas peraturan

keselamatan sistem.

Pentadbir

Sistem

7.2.3.3 Perkara yang perlu dipatuhi adalah seperti berikut :

(a) Mewujudkan satu pengenalan diri yangunik untuk setiap penguna dan hanya

digunakan oleh pengguna yang berkenaan

sahaja;

(b) Melaksana sistem pengurusan kata laluan

teguh (strong password ) yang mempunyai

gabungan antara huruf dan nombor atau

aksara khusus;

Pentadbir

Sistem


60/91


MINDEF

VERSI 4.0


MUKA SURAT 59/91

(c) Mengawal penggunaan utiliti yang

berkeupayaan melepasi sistem

pengoperasi;

(d) Menamatkan sesi yang tidak aktif selepas

tempoh masa yang ditetapkan; dan

(e) Hadkan tempoh masa penggunaan bagi

meningkatkan keselamatan aplikasi yang

berisiko tinggi.

7.2.4 Capaian Aplikasi Dan Maklumat

7.2.4.1 Melindungi aplikasi dan maklumat dari sebarang

bentuk capaian yang tidak dibenarkan.

7.2.4.2 Perkara-perkara yang perlu dipatuhi adalah :

(a) Pengguna hanya boleh menggunakan

aplikasi dan sistem maklumat yang

dibenarkan mengikut tahap capaian dan

keselamatan maklumat yang ditentukan;

(b) Setiap aktiviti capaian pengguna ke atas

aplikasi dan maklumat hendaklah direkod

(sistem log); dan

(c) Capaian aplikasi dan maklumat melalui

jarak jauh adalah digalakkan. Walau

bagaimanapun penggunaannya terhad

kepada perkhidmatan yang dibenarkan

sahaja.

PentadbirSistem

7.3 Capaian Jarak Jauh

7.3.1 Capaian jarak jauh adalah merujuk kepada capaian

daripada sistem rangkaian dalaman dan capaian

daripada sistem rangkaian luaran bagi lokasi luar

pejabat untuk tujuan telecommuting yang perlu

dikawal bagi memastikan keselamatan maklumat.

Pengurus ICT


61/91


MINDEF

VERSI 4.0


MUKA SURAT 60/91

7.3.2 Perkara-perkara yang perlu dipatuhi adalah :

(a) Penghantaran maklumat yang

menggunakan capaian jarak jauh mestilah

menggunakan kaedah enkripsi;

(b) Lokasi bagi akses ke sistem ICT MinDef

hendaklah dipastikan selamat;

(c) Penggunaan perkhidmatan jarak jauh

hendaklah mendapat kebenaran daripada

Pengurus ICT; dan (d) Pengguna yang diberi hak adalah

bertanggungjawab sepenuhnya ke atas

penggunaan kemudahan yang diberikan.

Pentadbir

Sistem danPengguna

7.4 Peralatan Mudah Alih

7.4.1 Peralatan mudah alih merujuk kepada telef

Dasar Keselamatan ICT MINDEF v 4.0

Documents

Transcript of Dasar Keselamatan ICT MINDEF v 4.0