Ini adalah dokumen Dasar Keselamatan ICT Pejabat · PDF fileIni adalah dokumen Dasar...

VERSI TARIKH KEMASKINI MUKASURAT

4.0 25 JULAI 2013 1 / 75

Ini adalah dokumen Dasar Keselamatan ICT Pejabat Perdana Menteri

versi 4.0 yang telah dipersetujui oleh Jawatankuasa Pemandu ICT PPM

pada 5 Ogos 2013 untuk pertimbangan dan kelulusan YBhg Tan Sri jua.


4.0 25 JULAI 2013 2 / 75


4.0 25 JULAI 2013 3 / 75

KANDUNGAN MUKASURAT DEFINISI 6

PENGENALAN 11 OBJEKTIF 11 SKOP 11 PRINSIP-PRINSIP 13 PENILAIAN RISIKO KESELAMATAN ICT 14 PERKARA 01 – PEMBANGUNAN DAN PENYELENGGARAAN DASAR 16

0101 Dasar Keselamatan ICT 16 010101 Pelaksanaan Dasar 16 010102 Penyebaran Dasar 16 010103 Penyelenggaraan Dasar 16 010104 Pengecualian Dasar 16 PERKARA 02 – ORGANISASI KESELAMATAN 18 0201 Infrastruktur Organisasi Keselamatan 18 020101 Ketua Setiausaha Sulit (KSUS) kepada YAB PM 18 020102 Ketua Pegawai Maklumat (CIO) 18 020103 Pegawai Keselamatan ICT (ICTSO) 18 020104 Pengurus ICT 19

020105 Pentadbir Sistem ICT 19 020106 Pentadbir Rangkaian dan Komunikasi 20 020107 Pentadbir Aplikasi dan Pangkalan Data 21 020108 Pentadbir Laman Web (Web Master) 21 020109 Pengguna PPM 21 020110 Jawatankuasa Pemandu ICT (JPICT) PPM 22 020111 Computer Emergency Response Team PPM (CERT PPM) 23 0202 Pengguna Luar 24 020201 Peranan Pengguna Luar 020202 Keperluan Keselamatan Kontrak Perjanjian dengan Pengguna

Luar

24 24

PERKARA 03 – KAWALAN DAN PENGELASAN ASET ICT 26 0301 Akauntabiliti Aset 26 030101 Inventori Aset ICT 26 0302 Pengelasan dan Pengendalian Maklumat 26 030201 Pengelasan Maklumat 26 030202 Pengendalian Maklumat 26 PERKARA 04 – KESELAMATAN SUMBER MANUSIA 28 0401 Keselamatan ICT Dalam Tugas Harian 28

040101 Sebelum Perkhidmatan 28 040102 Dalam Perkhidmatan 28 040103 Bertukar atau Tamat Perkhidmatan 28 PERKARA 05 – KESELAMATAN FIZIKAL DAN PERSEKITARAN 30 0501 Keselamatan Kawasan 30 050101 Kawalan Kawasan 30 050102 Kawalan Masuk Fizikal 30 050103 Kawasan Larangan 31 050104 Kawalan Pusat Data 31 0502 Keselamatan Peralatan ICT 32

050201 Perkakasan ICT 32 050202 Media Storan 33 050203 Media Tandatangan Digital 34 050204 Media Perisian dan Aplikasi 34 050205 Penyelanggaraan Perkakasan ICT 34 050206 Kegunaan Perkakasan ICT di Luar Pejabat 35


4.0 25 JULAI 2013 4 / 75

050207 Pelupusan 35 0503 Keselamatan Persekitaran 36 050301 Kawalan Persekitaran 36 050302 Bekalan Kuasa 37 050303 Kabel 37

050304 Prosedur Kecemasan 37 0504 Keselamatan Dokumen 37 050401 Dokumen 37 PERKARA 06 – PENGURUSAN OPERASI DAN KOMUNIKASI 40 0601 Pengurusan Prosedur Operasi 40 060101 Pengendalian dan Pematuhan Standard Operating Procedure (SOP)

40

060102 Kawalan Perubahan 40 060103 Pengasingan Tugas dan Tanggungjawab 40

0602 Pengurusan Penyampaian Perkhidmatan Pengguna Luar 41 060201 Penyampaian Perkhidmatan 41 0603 Perancangan dan Penerimaan Sistem 41 060301 Perancangan Kapasiti 41 060302 Penerimaan Sistem 41 0604 Perisian Berbahaya 42 060401 Perlindungan dari Perisian Berbahaya 42 060402 Perlindungan dari Mobile Code 42 0605 Housekeeping 43

060501 Backup 43 0606 Pengurusan Rangkaian 43 060601 Kawalan Infrastruktur Rangkaian dan Komunikasi 43 0607 Pengurusan Media 44 060701 Penghantaran dan Pemindahan 44 060702 Prosedur Pengendalian Media 44 060703 Keselamatan Sistem Dokumentasi 44 0608 Pengurusan Pertukaran Maklumat dan Keselamatan Komunikasi 45

060801 Pertukaran Maklumat 45 060802 Pengurusan Mel Elektronik (E-mel) 45 060803 Penggunaan Telefon, Faksimili dan SMS 46 0609 Pemantauan 47 060901 Pengauditan dan Forensik ICT 47 060902 Jejak Audit 47 060903 Sistem Log 48 060904 Pemantauan Log 48 PERKARA 07 – KAWALAN CAPAIAN 50 0701 Dasar Kawalan Capaian 50

070101 Keperluan Dasar 50 0702 Pengurusan Capaian Pengguna 50 070201 Akaun Pengguna 50 070202 Hak Capaian 51 070203 Pengurusan Kata Laluan 51 070204 Clear Desk dan Clear Screen 52 0703 Kawalan Capaian Rangkaian 52 070301 Capaian Rangkaian 52 070302 Capaian Internet 53

0704 Kawalan Capaian Sistem Pengoperasian 54 070401 Capaian Sistem Pengoperasian 54 070402 Kad Pintar 55


4.0 25 JULAI 2013 5 / 75

0705 Kawalan Capaian Aplikasi dan Maklumat 55 070501 Capaian Aplikasi dan Maklumat 55 0706 Alatan Mudah Alih dan Kerja Jarak Jauh 56 070601 Penggunaan Alatan Mudah Alih 56 070602 Perubahan Konfigurasi Alatan Mudah Alih 56

070603 Hubungan Rangkaian Alatan Mudah Alih 57 070604 Kawalan Fizikal Alatan Mudah Alih 57 070605 Kawalan Am Alatan Mudah Alih 57 070606 Kerja Jarak Jauh (Teleworking) 57 PERKARA 08 – PEMBANGUNAN DAN PENYELENGGARAAN SISTEM 60 0801 Keselamatan Dalam Membangunkan Sistem dan Aplikasi 60 080101 Keperluan Keselamatan Sistem Maklumat 60 080102 Pengesahan Data Input dan Output 60 0802 Kriptografi 60 080201 Pengurusan Infrastruktur Kekunci Awam (PKI) 60

0803 Keselamatan Sistem Fail 61 080301 Kawalan Sistem Fail 61 0804 Keselamatan Dalam Proses Pembangunan dan Sokongan 61 080401 Prosedur Kawalan Perubahan 61 080402 Pembangunan Secara Outsource 62 0805 Kawalan Teknikal Keterdedahan (Vulnerability) 62 080501 Kawalan dari Ancaman Teknikal 62 PERKARA 09 – PENGURUSAN DAN PENGENDALIAN INSIDEN

KESELAMATAN ICT

64

0901 Mekanisme Pelaporan Insiden Keselamatan ICT 64 090101 Mekanisme Pelaporan 64 0902 Pengurusan Maklumat Insiden Keselamatan ICT 64 090201 Prosedur Pengurusan Maklumat Insiden Keselamatan ICT 64 PERKARA 10 – PENGURUSAN KESINAMBUNGAN PERKHIDMATAN 66 1001 Pelan Kesinambungan Perkhidmatan 66 100101 Pelan Pemulihan Bencana 66

PERKARA 11 – PEMATUHAN 70 1101 Pematuhan dan Keperluan Perundangan 70 110101 Pematuhan Dasar 70 110102 Pematuhan Dasar, Piawaian dan Keperluan Teknikal 70 110103 Pematuhan Keperluan Audit 70 110104 Keperluan Perundangan 70 110105 Pelanggaran Dasar 72

LAMPIRAN 73 Lampiran A - Surat Akuan Pematuhan Dasar Keselamatan ICT PPM - Pengguna

PPM Lampiran B - Surat Akuan Pematuhan Dasar Keselamatan ICT PPM - Pengguna Luar

74

75


4.0 25 JULAI 2013 6 / 75

DEFINISI

Alatan mudah alih

Ancaman berisiko tinggi

Antivirus

Aset ICT

Backup

Bandwidth

BCC

BPPSM

CERT PPM

CIO

DM

Dokumen Terperingkat

Denial of Service

Downloading

Alatan elektronik yang digunakan bagi mencapai perkhidmatan ICT tanpa

mengira tempat dan masa seperti smartphone, notebook, tablet dan lain-lain.

Ancaman kepada keselamatan ICT yang membawa kepada kerosakan dan

kegagalan bisnes atau operasi.

Perisian yang digunakan untuk mengesan dan menghapuskan virus komputer.

Aset ICT terdiri daripada perkakasan, perisian, perkhidmatan, data atau

maklumat dan manusia yang merupakan harta benda kepunyaan atau milikan

atau di bawah kawalan Kerajaan.

Proses menyalin data/maklumat/fail/aplikasi dalam media storan.

Ukuran kadar kemampuan penghantaran maklumat secara elektronik melalui

saluran komunikasi seperti talian kabel sepaksi, gentian optik atau bas dalam

perkakasan ICT.

Aktiviti yang dilakukan oleh organisasi untuk memastikan fungsi-fungsi sistem

yang kritikal adalah berterusan kepada pelanggan dan lain-lain entiti yang mesti

mempunyai akses kepada fungsi-fungsi itu.

Bahagian Pengurusan Pentadbiran dan Sumber Manusia

Computer Emergency Response Team Pejabat Perdana Menteri (PPM)

Pasukan yang ditubuhkan untuk membantu PPM mengurus pengendalian insiden

keselamatan ICT di PPM.

Chief Information Officer atau Ketua Pegawai Maklumat yang bertanggungjawab

terhadap ICT dan sistem maklumat bagi menyokong arahtuju PPM.

Defacement Management adalah aplikasi yang menguruskan aktiviti

pencerobohan ke atas laman web.

Dokumen rasmi yang mengandungi maklumat rasmi yang mesti diberi

perlindungan untuk kepentingan keselamatan dan yang bertanda dengan sesuatu

peringkat keselamatan.

Aktiviti yang menghalang penggunaan perkhidmatan ICT.

Aktiviti muat-turun sesuatu perisian/data atau maklumat.


4.0 25 JULAI 2013 7 / 75

Eavesdropping

Encryption

Firewall

FSS

GCERT

Hard disk

Hub

ICT

ICTSO

IDMS

IDS

Insiden Keselamatan

IPS

ISDN

Perbuatan memintas keseluruhan atau sebahagian komunikasi sulit tanpa

pengetahuan penghantar atau penerima dengan kaedah pengintipan.

Enkripsi atau penyulitan. Proses penyulitan data oleh pengirim supaya tidak

difahami oleh orang lain kecuali penerima yang sah.

Perkakasan atau perisian atau kombinasi kedua-duanya yang direkabentuk untuk

menghalang capaian pengguna yang tidak berkenaan ke atas rangkaian dalaman

dan sebaliknya.

Federated Search System adalah teknologi capaian maklumat yang membolehkan

carian dilakukan serentak dari pelbagai sumber.

Government Computer Emergency Response Team

Satu pasukan khas yang ditempatkan di MAMPU bertanggungjawab menangani

semua aduan mengenai insiden ICT yang dilaporkan.

Cakera keras yang digunakan untuk menyimpan data/maklumat.

Peranti yang menghubungkan dua atau lebih stesen kerja menjadi suatu topologi

bas berbentuk bintang dan menyiarkan (broadcast) data yang diterima daripada

sesuatu port kepada semua port yang lain.

Information and Communication Technology atau Teknologi Maklumat dan

Komunikasi.

ICT Security Officer atau Pegawai Keselamatan ICT yang bertanggungjawab

terhadap keselamatan ICT.

ISMS Document Management System atau Sistem Pengurusan Dokumen ISMS

Intrusion Detection System atau Sistem Pengesan Pencerobohan iaitu perisian

atau perkakasan yang mengesan aktiviti tidak berkaitan, kesilapan atau yang

berbahaya kepada sistem.

Musibah (adverse event) yang berlaku ke atas aset ICT atau ancaman

kemungkinan berlaku kejadian tersebut.

Intrusion Prevention System atau Sistem Pencegah Pencerobohan iaitu

perkakasan keselamatan komputer yang memantau rangkaian dan/atau aktiviti

yang berlaku dalam sistem bagi mengesan perisian berbahaya. Boleh

bertindakbalas menyekat atau menghalang aktiviti serangan atau malicious code.

Integrated Services Digital Networks

Menggunakan isyarat digital pada talian telefon analog yang sedia ada.


4.0 25 JULAI 2013 8 / 75

Internet

Internet Gateway

Intranet

JPM

Keadaan Berisiko Tinggi

LAN

Logout

Maklumat Terperingkat

Malicious code

Media storan

Mobile code

Modem

NMS

Outsource

Pemilik sistem

Pengguna luar

Rangkaian komputer terbesar yang merangkumi rangkaian komputer di seluruh

dunia.

Merupakan pintu masuk ke rangkaian yang lain.

Rangkaian dalaman yang dimiliki oleh PPM dan hanya boleh dicapai oleh

pengguna PPM dan pengguna luar yang diberi kebenaran sahaja.

Jabatan Perdana Menteri

Situasi dimana terdapat ancaman dari pihak luar atau apa-apa kemungkinan

yang boleh menjejaskan kelancaran sistem dan mengganggu sistem

perkhidmatan kerajaan.

Local Area Network atau rangkaian Kawasan Setempat yang menghubungkan

perkakasan ICT.

Keluar daripada sesuatu sistem atau aplikasi.

Maklumat rasmi yang mesti diberi perlindungan untuk kepentingan keselamatan.

Kod program atau skrip yang terdapat didalam sistem perisian yang boleh

menyebabkan kemusnahan terhadap sistem serta pelanggaran peraturan

keselamatan. Contoh computer virus, trojan horse, worms.

Peralatan elektronik yang digunakan untuk menyimpan data dan maklumat

seperti disket, cakera padat, pita magnetik, optical disk, flash disc, CD ROM,

thumb drive dan media storan lain.

Kod program yang boleh disebarkan dari komputer ke komputer dan di execute

secara automatik. Contohnya Java script, VB script dan active apps control.

Modulator Demodulator atau peranti elektronik yang membolehkan data daripada

komputer dihantar kepada komputer lain melalui talian telefon.

Network Management System adalah sistem peralatan lengkap yang digunakan

untuk pemantauan kawalan dan pengurusan rangkaian komunikasi data.

Menggunakan perkhidmatan luar untuk melaksanakan fungsi-fungsi ICT tertentu.

Pegawai PPM yang diberi tanggungjawab ke atas aplikasi sistem dari segi

pengoperasian.

Individu yang bukan kakitangan Pejabat Perdana Menteri seperti pembekal, pakar

runding dan pihak yang berurusan berkaitan dengan perkhidmatan ICT PPM.


4.0 25 JULAI 2013 9 / 75

Pengguna PPM

Pengurusan Tertinggi

Perisian

Perkakasan ICT

Perkakasan sokongan

PKI

PPM

Pusat Data

Rahsia

Rahsia Besar

Restoration

Router

SCOM

Screen saver

Kakitangan kerajaan yang berkhidmat di Pejabat Perdana Menteri, Pejabat Timb

Perdana Menteri, Pej Menteri dan Pej Timb Menteri di JPM dan Pejabat KSN sama

ada berjawatan tetap, sambilan dan kontrak yang menggunakan perkhidmatan

ICT PPM.

Pegawai Pengurusan dan Profesional yang berperanan sebagai ketua di Pejabat

Perdana Menteri.

Set atur cara komputer dan dokumentasi yang menjalankan sesuatu tugas pada

sistem komputer.

Peralatan elektronik yang memerlukan sambungan ke komputer untuk berfungsi

dan tidak boleh berfungsi dengan sendiri tanpa bantuan atau sokongan komputer

seperti komputer, appliance, router dan switch.

Komponen yang menyokong operasi ICT seperti Uninterruptable Power Supply

(UPS), penjana (generator), penghawa dingin, bekalan kuasa dan lain-lain.

Public-Key Infrastructure atau Infrastruktur Kekunci Awam satu kombinasi

perisian, teknologi penyulitan dan perkhidmatan yang membolehkan organisasi

dalam memastikan keselamatan yang menyokong elemen keselamatan dari segi

kerahsiaan, integriti dan kebolehsediaan.

Pejabat Perdana Menteri

Tempat yang digunakan untuk menempatkan server dan komponen rangkaian

berkaitan serta perkakasan sokongan ICT.

Dokumen rasmi, maklumat rasmi dan bahan rasmi yang jika didedahkan tanpa

kebenaran akan membahayakan keselamatan negara, menyebabkan kerosakan

besar kepada kepentingan dan martabat Malaysia atau memberi keuntungan

besar kepada sesebuah kuasa asing.


kebenaran akan menyebabkan kerosakan yang amat besar kepada Malaysia.

Proses pemulihan data/maklumat/sistem/fail daripada media storan ke

komputer/server.

Peranti yang menerima dan menghantar paket data dari satu rangkaian ke satu

rangkaian yang lain.

System Center Operations Manager merupakan sistem sepusat yang mengurus

sistem dan aplikasi yang menggunakan sistem operasi Windows.

Imej yang akan diaktifkan pada komputer setelah ianya tidak digunakan dalam


4.0 25 JULAI 2013 10 / 75

Server

SMPKE

Sulit

Switches

Terhad

UPS

Virus

VoIP

VPN

WAN

Worm

Wireless

jangka masa tertentu.

Pelayan komputer atau merujuk kepada komputer yang berkeupayaan tinggi

yang berfungsi sebagai pelayan perkhidmatan dalam sesuatu rangkaian.

Sistem Maklumat dan Pengurusan Ketua Eksekutif


kebenaran walaupun tidak membahayakan keselamatan negara tetapi

memudaratkan kepentingan atau martabat Malaysia atau kegiatan Kerajaan atau

orang perseorangan atau akan menyebabkan keadaan memalukan atau

kesusahan kepada pentadbiran atau akan menguntungkan sesebuah kuasa asing

hendaklah diperingkatkan Sulit.

Perkakasan perantaraan yang menghubungkan perkakasan ICT dalam satu

rangkaian (LAN).

Dokumen rasmi, maklumat rasmi dan bahan rasmi selain daripada yang

dperingkatkan Rahsia Besar, Rahsia atau Sulit tetapi berkehendakan juga diberi

satu tahap perlindungan keselamatan hendaklah diperingkatkan Terhad.

Uninterruptible Power Supply atau perkakasan yang digunakan bagi

membekalkan bekalan kuasa yang berterusan dari sumber berlainan ketika

ketiadaan bekalan kuasa ke perkakasan ICT yang disambung.

Program komputer yang dibangunkan bertujuan untuk menjangkiti fail atau

sistem operasi tanpa kebenaran atau pun pengetahuan pengguna sehingga

mengakibatkan kerosakan data, perisian dan perkakasan.

Voice over Internet Protocol adalah teknologi yang digunakan untuk menghantar

suara melalui rangkaian data, dengan menggunakan protokol Internet.

Virtual Private Network atau rangkaian persendirian maya yang dicapai dari luar

pejabat menerusi jaringan internet.

Wide Area Network adalah rangkaian komputer yang merangkumi kawasan yang

luas.

Sejenis virus yang boleh mereplikasi dan membiak dengan sendiri. Ia biasanya

menjangkiti sistem operasi yang lemah atau tidak dikemas kini.

Jaringan komputer yang terhubung tanpa melalui kabel.


4.0 25 JULAI 2013 11 / 75

PENGENALAN Dasar Keselamatan ICT (DKICT) PPM mengandungi peraturan-peraturan yang mesti dibaca dan dipatuhi dalam menggunakan aset teknologi maklumat dan komunikasi (ICT) PPM. Dasar ini juga menerangkan kepada semua

pengguna di PPM mengenai tanggungjawab dan peranan mereka dalam melindungi aset ICT PPM. OBJEKTIF DKICT PPM diwujudkan untuk menjamin kesinambungan urusan PPM dengan meminimumkan kesan insiden keselamatan ICT. Dasar ini juga bertujuan untuk memudahkan perkongsian maklumat sesuai dengan keperluan operasi PPM. Ini hanya boleh dicapai dengan memastikan semua aset ICT dilindungi. Manakala, objektif utama keselamatan ICT PPM ialah seperti berikut:

a. Memastikan kelancaran operasi PPM dan meminimumkan kerosakan atau kemusnahan; b. Melindungi kepentingan pihak-pihak yang bergantung kepada sistem maklumat dari kesan kegagalan

atau kelemahan dari segi kerahsiaan, integriti, kebolehsediaan, kesahihan maklumat dan komunikasi; dan

c. Mencegah salah guna atau kecurian aset ICT Kerajaan.

DKICT PPM merangkumi perlindungan ke atas semua bentuk maklumat fizikal dan elektronik bertujuan untuk menjamin keselamatan maklumat tersebut dan kebolehsediaan kepada semua pengguna yang dibenarkan. Ciri-

ciri utama keselamatan maklumat adalah seperti berikut:

a. Kerahsiaan - Maklumat tidak boleh didedahkan sewenang-wenangnya atau dibiarkan diakses tanpa kebenaran;

b. Integriti - Data dan maklumat hendaklah tepat, lengkap dan kemas kini. Ia hanya boleh diubah dengan cara yang dibenarkan;

c. Tidak Boleh Disangkal - Punca data dan maklumat hendaklah dari punca yang sah dan tidak boleh disangkal;

d. Kesahihan - Data dan maklumat hendaklah dijamin kesahihannya; dan

e. Ketersediaan - Data dan maklumat hendaklah boleh diakses pada bila-bila masa.

SKOP

Aset ICT PPM terdiri daripada perkakasan, perisian, perkhidmatan, data atau maklumat dan manusia. DKICT PPM menetapkan keperluan-keperluan asas berikut:

a. Data dan maklumat hendaklah boleh diakses secara berterusan dengan cepat, tepat, mudah dan boleh dipercayai. Ini adalah amat perlu bagi membolehkan keputusan dan penyampaian perkhidmatan dilakukan dengan berkesan dan berkualiti; dan

b. Semua data dan maklumat hendaklah dijaga kerahsiaannya dan dikendalikan sebaik mungkin pada

setiap masa bagi memastikan kesempurnaan dan ketepatan maklumat serta untuk melindungi kepentingan kerajaan, perkhidmatan dan masyarakat.

Bagi menentukan aset ICT ini terjamin keselamatannya sepanjang masa, DKICT PPM ini merangkumi perlindungan semua bentuk maklumat kerajaan yang dimasukkan, diwujud, dimusnah, disimpan, dijana, dicetak, diakses, diedar, dalam penghantaran, dan yang dibuat salinan. Ini akan dilakukan melalui pewujudan dan penguatkuasaan sistem kawalan dan prosedur dalam pengendalian semua perkara-perkara berikut:

a. Perkakasan Semua aset yang digunakan untuk menyokong pemprosesan maklumat dan kemudahan storan PPM.

Contoh komputer, pelayan, peralatan komunikasi dan sebagainya;


4.0 25 JULAI 2013 12 / 75

b. Perisian Program, prosedur atau peraturan yang ditulis dan dokumentasi yang berkaitan dengan

sistem pengoperasian komputer yang disimpan di dalam sistem ICT. Contoh perisian aplikasi atau perisian sistem seperti sistem pengoperasian, sistem pangkalan data, perisian sistem rangkaian, atau aplikasi pejabat yang menyediakan kemudahan pemprosesan maklumat kepada PPM;

c. Perkhidmatan Perkhidmatan atau sistem yang menyokong aset lain untuk melaksanakan fungsi-fungsinya. Contoh:

i. Perkhidmatan rangkaian seperti LAN, WAN dan lain-lain; ii. Sistem halangan akses seperti sistem kad akses; dan iii. Perkhidmatan sokongan seperti kemudahan elektrik, penghawa dingin, sistem pencegah

kebakaran dan lain-lain. d. Data atau Maklumat Koleksi fakta-fakta dalam bentuk kertas atau mesej elektronik, yang mengandungi

maklumat-maklumat untuk digunakan bagi mencapai misi dan objektif PPM. Contohnya, sistem

dokumentasi, prosedur operasi, rekod- rekod PPM, profil-profil pelanggan, pangkalan data dan fail-fail data, maklumat-maklumat arkib dan lain-lain;

e. Manusia Individu yang mempunyai pengetahuan dan kemahiran untuk melaksanakan skop kerja harian PPM

bagi mencapai misi dan objektif PPM. Individu berkenaan merupakan aset berdasarkan kepada tugas-tugas dan fungsi yang dilaksanakan; dan

f. Premis Komputer Dan Komunikasi Semua kemudahan serta premis yang digunakan untuk menempatkan perkara a - e di atas.

Setiap perkara di atas perlu diberi perlindungan rapi. Sebarang kebocoran rahsia atau kelemahan perlindungan

adalah dianggap sebagai perlanggaran langkah-langkah keselamatan.


4.0 25 JULAI 2013 13 / 75

PRINSIP-PRINSIP Prinsip-prinsip yang menjadi asas kepada DKICT PPM dan perlu dipatuhi adalah seperti berikut:

a. Akses atas dasar perlu mengetahui

Akses terhadap penggunaan aset ICT hanya diberikan untuk tujuan spesifik dan dihadkan kepada

pengguna tertentu atas dasar “perlu mengetahui” sahaja. Ini bermakna akses hanya akan diberikan sekiranya peranan atau fungsi pengguna memerlukan maklumat tersebut. Pertimbangan untuk akses adalah berdasarkan kategori maklumat seperti yang dinyatakan di dalam dokumen Arahan Keselamatan perenggan 53, muka surat 15;

b. Hak akses minimum Hak akses pengguna hanya diberi pada tahap set yang paling minimum iaitu untuk membaca dan/atau

melihat sahaja. Kelulusan khas adalah perlu untuk membolehkan pengguna mewujud, menyimpan, mengemas kini, mengubah atau membatalkan sesuatu maklumat. Hak akses adalah dikaji dari

semasa ke semasa berdasarkan kepada peranan dan tanggungjawab pengguna/bidang tugas; c. Akauntabiliti Semua pengguna adalah bertanggungjawab ke atas semua tindakannya terhadap aset ICT PPM.

Tanggungjawab ini perlu dinyatakan dengan jelas dan sesuai dengan tahap sensitivity sesuatu sumber ICT. Bagi menentukan tanggungjawab ini dipatuhi, sistem ICT hendaklah mampu menyokong kemudahan mengesan atau mengesahkan bahawa pengguna system maklumat boleh dipertanggungjawabkan atas tindakan mereka.

d. Pengasingan

Tugas mewujud, memadam, mengemaskini, mengubah dan mengesahkan data perlu diasingkan bagi mengelakkan daripada capaian yang tidak dibenarkan serta melindungi aset ICT daripada kesilapan, kebocoran maklumat terperingkat atau di manipulasi. Pengasingan juga merangkumi tindakan memisahkan antara kumpulan operasi dan rangkaian;

e. Pengauditan Pengauditan adalah tindakan untuk mengenal pasti insiden berkaitan keselamatan atau mengenal

pasti keadaan yang mengancam keselamatan. Ia membabitkan pemeliharaan semua rekod berkaitan tindakan keselamatan. Dengan itu, aset ICT seperti komputer, pelayan, router, firewall dan rangkaian hendaklah ditentukan dapat menjana dan menyimpan log tindakan keselamatan atau audit trail;

f. Pematuhan DKICT PPM hendaklah dibaca, difahami dan dipatuhi bagi mengelakkan sebarang bentuk pelanggaran

ke atasnya yang boleh membawa ancaman kepada keselamatan ICT. g. Pemulihan Pemulihan sistem amat perlu untuk memastikan kebolehsediaan dan kebolehcapaian. Objektif utama

adalah untuk meminimumkan sebarang gangguan atau kerugian akibat daripada ketidaksediaan. Pemulihan boleh dilakukan melalui aktiviti penduaan dan mewujudkan pelan pemulihan bencana/kesinambungan perkhidmatan; dan

h. Saling Bergantungan Setiap prinsip di atas adalah saling lengkap-melengkapi dan bergantung antara satu sama lain.

Dengan itu, tindakan mempelbagaikan pendekatan dalam menyusun dan mencorakkan sebanyak mungkin mekanisme keselamatan adalah perlu bagi menjamin keselamatan yang maksimum.


4.0 25 JULAI 2013 14 / 75

PENILAIAN RISIKO KESELAMATAN ICT PPM hendaklah mengambil kira kewujudan risiko ke atas aset ICT akibat dari ancaman dan vulnerability yang

semakin meningkat hari ini. Justeru itu PPM perlu mengambil langkah-langkah proaktif dan bersesuaian untuk menilai tahap risiko aset ICT supaya pendekatan dan keputusan yang paling berkesan dikenal pasti bagi menyediakan perlindungan dan kawalan ke atas aset ICT. PPM hendaklah melaksanakan penilaian risiko keselamatan ICT secara berkala dan berterusan bergantung kepada perubahan teknologi dan keperluan keselamatan ICT. Seterusnya mengambil tindakan susulan dan/atau langkah-langkah bersesuaian untuk mengurangkan atau mengawal risiko keselamatan ICT berdasarkan penemuan penilaian risiko. Penilaian risiko keselamatan ICT hendaklah dilaksanakan ke atas sistem maklumat PPM termasuklah aplikasi, perisian, pelayan, rangkaian dan/atau proses serta prosedur. Penilaian risiko ini hendaklah juga dilaksanakan di premis yang menempatkan sumber-sumber teknologi maklumat termasuklah pusat data, bilik media storan,

kemudahan utiliti dan sistem-sistem sokongan lain. PPM bertanggungjawab melaksanakan dan menguruskan risiko keselamatan ICT selaras dengan keperluan Surat Pekeliling Am Bilangan 6 Tahun 2005: Garis Panduan Penilaian Risiko Keselamatan Maklumat Sektor Awam. PPM perlu mengenal pasti tindakan yang sewajarnya bagi menghadapi kemungkinan risiko berlaku dengan memilih tindakan berikut:

a. Mengurangkan risiko dengan melaksanakan kawalan yang bersesuaian;

b. Menerima dan/atau bersedia berhadapan dengan risiko yang akan terjadi selagi ia memenuhi kriteria

yang telah ditetapkan oleh pengurusan agensi;

c. Mengelak dan/atau mencegah risiko dari terjadi dengan mengambil tindakan yang dapat mengelak

dan/atau mencegah berlakunya risiko; dan

d. Memindahkan risiko ke pihak lain seperti pembekal, pakar runding dan pihak pihak lain yang

berkepentingan.


4.0 25 JULAI 2013 16 / 75

PERKARA 01 - PEMBANGUNAN DAN PENYELENGGARAAN DASAR

0101 Dasar Keselamatan ICT Objektif : Dasar Keselamatan ICT (DKICT) PPM diwujudkan untuk memastikan tahap keselamatan ICT terurus dan dilindungi bagi menjamin kesinambungan urusan PPM dengan meminimumkan kesan insiden keselamatan ICT.

010101 Pelaksanaan Dasar Tanggungjawab

Pelaksanaan dasar ini akan dijalankan oleh Ketua Setiausaha Sulit kepada YAB Perdana Menteri (PM) selaku Pengerusi Jawatankuasa Pemandu ICT (JPICT). Ahli JPICT ini terdiri daripada Ketua Pegawai Maklumat (CIO), Pegawai Keselamatan ICT (ICTSO), Pengarah Bahagian Pengurusan Perkhidmatan dan Sumber

Manusia (BPPSM) serta semua Pengurus Bahagian SMPKE.

Ketua Setiausaha Sulit kepada YAB PM, JPICT

010102 Penyebaran Dasar

Tanggungjawab

Dasar ini perlu disebarkan kepada semua pengguna PPM serta pengguna luar yang mempunyai rangkaian dengan ICT PPM.

ICTSO

010103 Penyelenggaraan Dasar

Tanggungjawab

DKICT PPM adalah tertakluk kepada semakan dan pindaan dari semasa ke semasa selaras dengan perubahan teknologi, aplikasi, prosedur, perundangan dan kepentingan sosial. Berikut adalah prosedur yang berhubung dengan penyelenggaraan DKICT PPM:

a. Mengenal pasti dan menentukan perubahan yang diperlukan; b. Mengemukakan cadangan pindaan secara bertulis kepada

ICTSO untuk pembentangan dan perakuan Mesyuarat Pengurusan SMPKE sebelum diangkat ke JPICT PPM untuk kelulusan;

c. Memaklumkan perubahan yang telah dipersetujui oleh JPICT

kepada semua pengguna; dan d. Menyemak dan mengkaji semula dasar ini sekurang-

kurangnya (1) sekali setahun atau mengikut keperluan bagi memastikan dasar ini sentiasa relevan.

ICTSO dan Pengguna PPM

010104 Pengecualian Dasar

Tanggungjawab

DKICT PPM adalah terpakai kepada semua pengguna PPM serta pengguna luar dan tiada pengecualian diberikan.

Semua Pengguna


4.0 25 JULAI 2013 18 / 75

PERKARA 02 - ORGANISASI KESELAMATAN

0201 Infrastruktur Organisasi Keselamatan Objektif : Menerangkan peranan dan tanggungjawab individu yang terlibat dengan lebih jelas dan teratur dalam mencapai objektif organisasi serta objektif DKICT PPM.

020101 Ketua Setiausaha Sulit (KSUS) kepada YAB PM Tanggungjawab

Peranan dan tanggungjawab KSUS adalah seperti berikut:

a. Memastikan peruntukan-peruntukan di bawah DKICT PPM

difahami dan dipatuhi oleh semua pengguna serta program keselamatan ICT dilaksanakan;

b. Memastikan semua keperluan organisasi (sumber kewangan, sumber kakitangan dan perlindungan keselamatan) adalah mencukupi; dan

c. Mempengerusikan JPICT PPM.

KSUS kepada YAB

PM

020102 Ketua Pegawai Maklumat (CIO) Tanggungjawab

Pengarah Bahagian SMPKE adalah merupakan Ketua Pegawai Maklumat (CIO). Peranan dan tanggungjawab CIO adalah seperti berikut: a. Membantu KSUS memastikan peruntukan-peruntukan di

bawah DKICT PPM difahami dan dipatuhi oleh semua pengguna;

b. Memastikan keperluan keselamatan ICT dikuatkuasa; dan

c. Menyelaras pelaksanaan program keselamatan ICT.

CIO

020103 Pegawai Keselamatan ICT (ICTSO) Tanggungjawab

Pengurus Seksyen Keselamatan, Pematuhan dan Inovasi (SKPI) adalah merupakan Pegawai Keselamatan ICT (ICTSO). Peranan dan tanggungjawab ICTSO yang dilantik adalah seperti berikut:

a. Memastikan semua infrastruktur keselamatan ICT PPM

menepati prinsip-prinsip keselamatan berpandukan DKICT PPM dan Arahan Keselamatan Kerajaan;

b. Mengenal pasti bidang-bidang keselamatan ICT PPM yang

perlu diberikan perhatian rapi; c. Memastikan tahap keselamatan ICT PPM adalah terjamin

setiap masa;

d. Menjalankan penilaian risiko dan program-program keselamatan ICT di PPM;

e. Mewujudkan pelan tindakan bagi mengurus risiko akibat dari

ketidak patuhan kepada standard, garis panduan dan prosedur keselamatan ICT di PPM;

f. Melaporkan kepada CERT PPM mengenai sebarang insiden

keselamatan ICT yang berlaku di PPM;

ICTSO


4.0 25 JULAI 2013 19 / 75

g. Membantu dalam membangunkan standard, garis panduan

dan prosedur untuk aplikasi, sistem dan infrastruktur ICT di PPM bagi mematuhi keperluan DKICT PPM;

h. Mewujudkan program-program bagi meningkatkan

pengetahuan, kesedaran dan pembudayaan mengenai teknologi dan mekanisme kawalan maklumat dan aset ICT, ancaman-ancaman siber dan peranan serta tanggungjawab pengguna dalam mengendalikan kemudahan ICT di PPM;

i. Menyebar dan menyalurkan amaran awal terhadap ancaman-

ancaman yang berpotensi menyebabkan kerosakan besar kepada aset ICT PPM; dan

j. Mengurus keseluruhan program-program keselamatan ICT di

PPM.

020104 Pengurus ICT Tanggungjawab

Pengurus ICT adalah Ketua-ketua Seksyen di Bahagian SMPKE. Peranan dan tanggungjawab Pengurus ICT adalah seperti berikut: a. Mengkaji semula dan melaksanakan kawalan keselamatan ICT

selaras dengan keperluan PPM; b. Menentukan kawalan akses semua pengguna terhadap aset

ICT PPM; c. Melaporkan sebarang perkara atau penemuan mengenai

keselamatan ICT kepada ICTSO;

d. Menyimpan rekod dan bahan bukti mengenai ancaman

keselamatan ICT PPM;

e. Menyediakan laporan terkini mengenai ancaman keselamatan ICT yang berisiko tinggi di PPM; dan

f. Memastikan pematuhan dasar keselamatan dalam

pelaksanaan projek baru ICT.

Pengurus ICT (P(O), P(P), P(A) dan P(K))

020105 Pentadbir Sistem ICT Tanggungjawab

Pentadbir Sistem ICT adalah terdiri daripada: a. Pentadbir Backup Data; b. Pentadbir Firewall; c. Pentadbir Firewall IPS; d. Pentadbir Sistem Emel; e. Pentadbir Sistem Operasi; f. Pentadbir SCOM; g. Pentadbir IMSS; h. Pentadbir Virtual Server; i. Pentadbir Blackberry; j. Pentadbir SCCM; k. Pentadbir Centralized Log; dan

l. Pentadbir BCC. Peranan dan tanggungjawab Pentadbir Sistem ICT adalah seperti berikut : a. Pengurusan Identiti - mengambil tindakan yang bersesuaian

dengan segera apabila dimaklumkan mengenai kakitangan yang berhenti, bertukar, bercuti atau berlaku perubahan dalam bidang tugas;

Pentadbir Sistem ICT


4.0 25 JULAI 2013 20 / 75

b. Memastikan ketepatan dan kawalan capaian berdasarkan

arahan pemilik sumber maklumat berdasarkan prinsip-prinsip DKICT PPM;

c. Memantau aktiviti capaian pengguna bagi mengenal pasti

aktiviti-aktiviti tidak normal seperti pencerobohan dan pengubahsuaian data tanpa kebenaran dan membatalkan atau memberhentikannya dengan serta merta;

d. Memantau dan menyimpan rekod jejak audit; e. Menyediakan laporan mengenai aktiviti capaian secara

berkala; f. Melaksanakan proses backup dan restoration ke atas

pangkalan data; dan

g. Server health check.

020106 Pentadbir Rangkaian dan Komunikasi Tanggungjawab Tanggungjawab

Pentadbir Rangkaian dan Komunikasi adalah terdiri daripada a. Pentadbir VPN; b. Pentadbir NMS; c. Pentadbir Wireless; dan d. Pentadbir Pusat Data Peranan dan tanggungjawab Pentadbir Rangkaian dan Komunikasi adalah seperti berikut:

a. Memastikan rangkaian setempat (LAN) dan rangkaian luas (WAN) serta komunikasi seperti telefon, rangkaian tanpa wayar, faksimili dan alatan mudah alih yang dibekalkan oleh PPM beroperasi sepanjang masa;

b. Merancang peningkatan infrastruktur, ciri-ciri keselamatan

dan prestasi rangkaian sedia ada;

c. Memastikan semua peralatan dan perisian rangkaian diselenggarakan dengan sempurna;

d. Mengesan dan mengambil tindakan pembaikan segera ke atas rangkaian yang tidak stabil;

e. Memantau penggunaan rangkaian dan melaporkan kepada ICTSO sekiranya berlaku penyalahgunaan sumber rangkaian;

f. Memastikan laluan trafik keluar dan masuk diuruskan secara

berpusat dan tidak membenarkan sambungan ke rangkaian PPM secara tidak sah;

g. Menyediakan zon khas rangkaian untuk tujuan pengujian peralatan dan perisian rangkaian;

h. Memastikan segala perkakasan komunikasi beroperasi dengan

baik; dan i. Memantau penggunaan capaian rangkaian berwayar dan

tanpa wayar.

Pentadbir Rangkaian dan Komunikasi


4.0 25 JULAI 2013 21 / 75

020107 Pentadbir Sistem Aplikasi dan Pangkalan Data Tanggungjawab

Pentadbir Sistem Aplikasi dan Pangkalan Data adalah terdiri daripada: a. Pentadbir Sistem Intranet; b. Pentadbir Sistem Operasi; c. Pentadbir Acunetic; d. Pentadbir DM; e. Pentadbir Aplikasi Pembekal; f. Pentadbir FSS; g. Pentadbir Aplikasi Khidmat Bantuan; h. Pentadbir Sistem IDMS; i. Pentadbir Sistem dan Pangkalan Data; dan

j. Pentadbir Al-Quran dan Hadis.

Peranan dan tanggungjawab Pentadbir Sistem Aplikasi dan Pangkalan Data adalah seperti berikut: a. Melaksanakan instalasi dan penambahbaikan pangkalan data

serta perisian lain yang berkaitan dengan pangkalan data;

b. Memastikan pangkalan data sentiasa boleh digunakan pada setiap masa;

c. Melakukan pemantauan dan penyelenggaraan yang berterusan ke atas pangkalan data;

d. Memastikan aktiviti pentadbiran pangkalan data seperti

prestasi capaian, penyelesaian masalah pangkalan data dan proses pengemaskinian data dilaksanakan dengan teratur;

e. Melaporkan sebarang insiden pelanggaran Prosedur Pengurusan Pangkalan Data kepada ICTSO.

Pentadbir Sistem Aplikasi dan Pangkalan Data

020108 Pentadbir Laman Web (Web Master) Tanggungjawab

Peranan dan tanggungjawab Pentadbir Laman Web adalah seperti

berikut: a. Memastikan kandungan laman web sentiasa sahih dan

terkini; b. Memantau prestasi capaian dan menjalankan penalaan

prestasi untuk memastikan akses sentiasa lancar;

c. Memantau aktiviti capaian pengguna bagi mengesan sebarang capaian yang tidak sah atau cubaan menggodam, menceroboh atau mengubahsuai laman;

d. Memastikan reka bentuk web dibangunkan dengan ciri-ciri keselamatan supaya tidak dicerobohi; dan

e. Melaporkan sebarang pelanggaran keselamatan laman web kepada ICTSO.

Pentadbir Laman

Web

020109 Pengguna PPM Tanggungjawab

Peranan dan tanggungjawab pengguna PPM adalah seperti berikut: a. Membaca, memahami dan mematuhi DKICT PPM; b. Mengetahui dan memahami implikasi keselamatan sekiranya

DKICT PPM tidak dipatuhi;

Pengguna PPM


4.0 25 JULAI 2013 22 / 75

c. Lulus tapisan keselamatan; d. Melaksanakan prinsip-prinsip DKICT dan menjaga kerahsiaan

maklumat PPM;

e. Melaporkan sebarang aktiviti yang mengancam keselamatan ICT kepada ICTSO dengan segera;

f. Bertanggungjawab ke atas semua aset ICT di bawah kawalannya;

g. Menghadiri program-program kesedaran mengenai

keselamatan ICT; dan h. Menandatangani Surat Akuan Pematuhan DKICT PPM

(Lampiran A).

020110 Jawatankuasa Pemandu ICT (JPICT) PPM Tanggungjawab

Jawatankuasa Pemandu ICT (JPICT) adalah jawatankuasa yang bertanggungjawab merancang dan menyelaras pelaksanaan program/projek ICT di PPM.

Keanggotaan JPICT PPM adalah seperti berikut : Pengerusi : KSUS Ahli : a. TKSUS – Pengerusi Ganti;

b. CIO; c. Pengarah BPPSM; d. ICTSO; dan e. Pengurus ICT. Urus Setia : Seksyen Khidmat Pengguna (SKP) Bidang Kuasa : a. Menetapkan arah tuju dan strategi untuk pelaksanaan ICT

PPM;

b. Merancang, mengenal pasti dan mencadangkan sumber seperti kepakaran, tenaga kerja dan kewangan yang diperlukan bagi melaksanakan arah tuju/strategi ICT PPM;

c. Merancang dan menyelaras pelaksanaan program/projek-projek ICT PPM;

d. Menyelaras dan menyeragamkan pelaksanaan ICT PPM agar selari dengan Pelan Strategik ICT PPM dan Pelan Strategik ICT Sektor Awam;

e. Meluluskan projek ICT PPM berdasarkan kepada keperluan

sebenar dan dengan perbelanjaan yang berhemah serta mematuhi peraturan-peraturan semasa yang berkaitan;

f. Mengikuti dan memantau perkembangan program ICT PPM serta memahami keperluan, masalah dan isu-isu yang dihadapi dalam pelaksanaan ICT;

JPICT PPM


4.0 25 JULAI 2013 23 / 75

g. Merancang dan menentukan langkah-langkah keselamatan ICT;

h. Mengemukakan perolehan ICT yang telah diluluskan di

peringkat Jawatankuasa Pemandu ICT PPM ke Jawatankuasa Teknikal ICT (JTICT) MAMPU bagi projek yang melebihi nilai tertentu untuk kelulusan;

i. Membincangkan tindakan yang melibatkan pelanggaran DKICT PPM; dan

j. Memperaku/meluluskan dokumen DKICT PPM.

020111 Computer Emergency Response Team PPM (CERT PPM) Tanggungjawab

CERT PPM adalah pasukan yang bertanggungjawab mengurus pengendalian insiden keselamatan ICT PPM. Keanggotaan CERT PPM adalah seperti berikut: Pengarah CERT: CIO Pengurus CERT: ICTSO

Ahli CERT:

a. Pengurus ICT;

b. Pengarah BPPSM;

c. PP(P)2;

d. PP(P)4;

e. PP(O)1;

f. PP(A)2; dan

g. PP(K)2.

Peranan dan tanggungjawab CERT PPM adalah seperti berikut:

a. Menerima dan mengesan aduan keselamatan ICT serta

menilai tahap dan jenis insiden; b. Merekod dan menjalankan siasatan awal dan terperinci

insiden yang diterima; c. Menyelaras tindak balas (response) insiden keselamatan

ICT dan memastikan tindakan baik pulih minimum dilaksanakan;

d. Menasihati pengguna PPM mengambil tindakan pemulihan

dan pengukuhan; dan e. Menyebarkan makluman berkaitan pengukuhan

keselamatan ICT kepada PPM.

CERT PPM


4.0 25 JULAI 2013 24 / 75

0202 Pengguna Luar Objektif: Menjamin keselamatan semua aset ICT yang digunakan oleh pengguna luar.

020201 Peranan Pengguna Luar Tanggungjawab

Peranan dan tanggungjawab pengguna luar adalah seperti berikut: a. Membaca, memahami dan mematuhi DKICT PPM; b. Menjaga kerahsiaan kata laluan yang diberikan;

c. Menggunakan kemudahan ICT dengan berpandukan garis

panduan yang telah ditetapkan; dan

d. Menandatangani Surat Akuan Pematuhan DKICT PPM (Lampiran B), Borang Akta Rahsia Rasmi (KPKK) dan Borang Soalan Keselamatan (KPKK 11).

Pengguna Luar

020202 Keperluan Keselamatan Kontrak Perjanjian dengan Pengguna Luar

Tanggungjawab

Ini bertujuan memastikan penggunaan maklumat dan kemudahan proses maklumat oleh pengguna luar dikawal. Perkara yang perlu dipatuhi termasuk seperti berikut : a. Mengenal pasti risiko keselamatan maklumat dan

kemudahan pemprosesan maklumat serta melaksanakan kawalan yang sesuai sebelum memberi kebenaran capaian;

b. Mengenal pasti keperluan keselamatan sebelum

memberi kebenaran capaian atau penggunaan kepada pengguna luar;

c. Akses kepada aset ICT PPM perlu berlandaskan

kepada kontrak perjanjian; dan d. Memastikan semua syarat keselamatan dinyatakan dengan

jelas dalam perjanjian dengan pengguna luar. Perkara-perkara berikut hendaklah dimasukkan ke dalam kontrak perjanjian yang dimeterai; i. Tapisan Keselamatan; ii. Perakuan Akta Rahsia Rasmi 1972; dan iii. Hak Harta Intelek.

CIO, ICTSO, Pengurus ICT, Pentadbir Sistem ICT, P(BPPSM) dan Pihak Ketiga


4.0 25 JULAI 2013 26 / 75

PERKARA 03 - KAWALAN DAN PENGELASAN ASET ICT

0301 Akauntabiliti Aset Objektif : Memberi dan menyokong perlindungan keselamatan yang bersesuaian ke atas semua aset ICT PPM.

030101 Inventori Aset ICT

Tanggungjawab

Perkara-perkara yang perlu dipatuhi adalah seperti berikut: a. Semua aset ICT PPM yang diterima hendaklah diperakukan,

menepati spesikasi dan berfungsi dengan sempurna; dan b. Semua aset ICT PPM hendaklah direkod dan dilabelkan

merujuk kepada pekeliling pengurusan aset.

Pegawai Penerima Aset ICT dan Pegawai Aset ICT

0302 Pengelasan dan Pengendalian Maklumat

Objektif: Memastikan setiap maklumat diberikan tahap perlindungan yang bersesuaian.

030201 Pengelasan Maklumat Tanggungjawab

Maklumat hendaklah dikelaskan dan dilabelkan sewajarnya. Setiap maklumat yang dikelaskan mestilah mempunyai peringkat keselamatan sebagaimana yang telah ditetapkan di dalam Arahan Keselamatan seperti berikut: a. Rahsia Besar; b. Rahsia; c. Sulit; atau d. Terhad.

Mengesahkan maklumat rahsia atau rahsia besar.

Pemula Dokumen dan Pengawai Pengelas PPM

030202 Pengendalian Maklumat Tanggungjawab

Aktiviti pengendalian maklumat seperti mengumpul, memproses, menyimpan, menghantar, menyampai, menukar dan memusnah

hendaklah mengambil kira langkah-langkah keselamatan berikut : a. Menghalang pendedahan maklumat kepada pihak yang tidak

dibenarkan; b. Memeriksa maklumat dan menentukan ia tepat dan lengkap

dari semasa ke semasa; c. Menentukan maklumat sedia untuk digunakan; d. Menjaga kerahsiaan kata laluan;

e. Mematuhi prinsip-prinsip dan peruntukan-peruntukan keselamatan berpandukan DKICT PPM dan Arahan Keselamatan Kerajaan;

f. Memberi perhatian kepada maklumat terperingkat terutama

semasa pewujudan, pemprosesan, penyimpanan, penghantaran, penyampaian, pertukaran dan pemusnahan; dan

g. Menjaga kerahsiaan maklumat keselamatan ICT PPM dari

diketahui umum.

Pengguna PPM


4.0 25 JULAI 2013 28 / 75

PERKARA 04 - KESELAMATAN SUMBER MANUSIA

0401 Keselamatan ICT Dalam Tugas Harian Objektif: Memastikan semua pengguna PPM dan pengguna luar memahami tanggungjawab dan peranan serta meningkatkan pengetahuan dalam keselamatan aset ICT. Semua pengguna hendaklah mematuhi terma dan syarat perkhidmatan serta peraturan semasa yang berkuat kuasa.

040101 Sebelum Perkhidmatan

Tanggungjawab

Perkara-perkara yang perlu dipatuhi adalah yang berikut: a. Menyatakan dengan lengkap dan jelas peranan dan

tanggungjawab pegawai dan kakitangan PPM serta pihak ketiga yang terlibat dalam menjamin keselamatan aset ICT sebelum, semasa dan selepas perkhidmatan;

b. Menjalankan tapisan keselamatan untuk pengguna PPM serta

pengguna luar yang melibatkan aset ICT; dan c. Mematuhi semua terma dan syarat perkhidmatan yang

ditawarkan dan peraturan semasa yang berkuat kuasa berdasarkan perjanjian yang telah ditetapkan.

P(BPPSM), Pengurus ICT dan Pengguna PPM

040102 Dalam Perkhidmatan Tanggungjawab

Perkara-perkara yang perlu dipatuhi adalah seperti berikut:

a. Memastikan pengguna PPM serta pengguna luar mengurus keselamatan aset ICT berdasarkan perundangan dan peraturan yang ditetapkan oleh PPM;

b. Melaksanakan program kesedaran berkaitan

pengurusan keselamatan aset ICT kepada pengguna

PPM dan pengguna luar (sekiranya perlu) dalam melaksanakan tugas-tugas dan tanggungjawab mereka;

c. Mengambil tindakan tatatertib atau undang-undang ke

atas pengguna PPM serta pengguna luar sekiranya berlaku perlanggaran perundangan dan peraturan yang ditetapkan; dan

d. Memantapkan pengetahuan berkaitan dengan

penggunaan aset ICT bagi memastikan setiap kemudahan ICT digunakan dengan cara dan kaedah yang betul demi menjamin kepentingan keselamatan ICT. Sebarang

kursus dan latihan teknikal yang diperlukan, pengguna boleh merujuk kepada BPPSM.

P(BPPSM) dan Pengurus ICT

040103 Bertukar atau Tamat Perkhidmatan Tanggungjawab


a. Menguruskan urusan keluar, berhenti, pertukaran peranan

dan tanggungjawab pengguna PPM serta pengguna luar;

b. Memastikan semua aset ICT dikembalikan kepada PPM mengikut peraturan dan/atau terma perkhidmatan yang ditetapkan; dan

c. Membatalkan atau menarik balik semua kebenaran capaian

ke atas maklumat dan kemudahan proses maklumat mengikut peraturan yang ditetapkan oleh PPM dan/atau

terma perkhidmatan.

P(BPPSM) dan Pengurus ICT Pegawai Aset ICT dan Pengguna PPM P(BPPSM) dan Pengurus ICT


4.0 25 JULAI 2013 30 / 75

PERKARA 05 - KESELAMATAN FIZIKAL DAN PERSEKITARAN

0501 Keselamatan Kawasan Objektif : Melindungi premis dan maklumat daripada sebarang bentuk pencerobohan, ancaman, kerosakan serta akses yang tidak dibenarkan.

050101 Kawalan Kawasan

Tanggungjawab

Ini bertujuan untuk menghalang akses tanpa kebenaran, kerosakan dan gangguan secara fizikal terhadap premis dan maklumat PPM. Perkara-perkara yang perlu dipatuhi adalah seperti berikut:

a. Kawasan keselamatan fizikal hendaklah dikenal pasti dengan jelas. Lokasi dan keteguhan keselamatan fizikal hendaklah bergantung kepada keperluan untuk melindungi aset dan hasil penilaian risiko;

b. Menggunakan keselamatan perimeter (halangan seperti

dinding,pagar kawalan, pengawal keselamatan) untuk melindungi kawasan yang mengandungi maklumat dan kemudahan pemprosesan maklumat;

c. Memasang alat penggera atau kamera;

d. Menghadkan jalan keluar masuk; e. Mengadakan kaunter kawalan; f. Menyediakan tempat atau bilik khas untuk pelawat-pelawat; g. Mewujudkan perkhidmatan kawalan keselamatan; h. Melindungi kawasan terhad melalui kawalan pintu

masuk yang bersesuaian bagi memastikan kakitangan yang diberi kebenaran sahaja boleh melalui pintu masuk

ini;

i. Melaksanakan keselamatan fizikal di dalam pejabat, bilik dan kemudahan mengikut Arahan Keselamatan Kerajaan;

j. Melaksanakan dan mematuhi perlindungan fizikal dari

kebakaran, banjir, letupan, kacau-bilau,bencana dan lain-lain;

k. Menyediakan garis panduan untuk kakitangan yang

bekerja di dalam kawasan terhad; dan

l. Memastikan kawasan-kawasan penghantaran dan

pemunggahan dan juga tempat-tempat lain dikawal dari pihak yang tidak diberi kebenaran memasukinya.

P(BPPSM), CIO dan ICTSO

050102 Kawalan Masuk Fizikal Tanggungjawab

Perkara-perkara yang perlu dipatuhi adalah seperti berikut : a. Pengguna PPM hendaklah dibekalkan pas keselamatan dan

menggunakannya bagi tujuan pengenalan diri dan akses ke premis;

P(BPPSM), Pengguna PPM dan Pengguna Luar


4.0 25 JULAI 2013 31 / 75

b. Semua pas keselamatan hendaklah diserahkan balik kepada

PPM apabila pengguna PPM berhenti, bertukar atau bersara;

c. Setiap penguna luar dan pelawat hendaklah mendaftar dan mendapatkan Pas Keselamatan Pelawat di Balai Pengawal Bangunan Perdana Putra dan dikembalikan semula selepas tamat urusan;

d. Hanya pengguna luar atau pelawat yang diberi kebenaran

sahaja boleh mencapai atau menggunakan aset ICT PPM; dan

e. Kehilangan pas mestilah dilaporkan dengan segera.

050103 Kawasan Larangan Tanggungjawab

Kawasan larangan ditakrifkan sebagai kawasan yang dihadkan kemasukan pegawai-pegawai yang tertentu sahaja. Ini dilaksanakan untuk melindungi aset ICT yang terdapat di dalam kawasan tersebut. Kawasan larangan yang melibatkan aset ICT di bawah kawalan

PPM merangkumi bilik-bilik utama di Blok Utama, Blok Timur dan Blok Barat Bangunan Perdana Putra seperti bilik YAB Perdana Menteri, bilik YB Timbalan Perdana Menteri, bilik Menteri dan Timbalan Menteri di JPM, bilik Penasihat, bilik Ketua Setiausaha Negara, bilik pegawai atasan/pengurusan, bilik sulit/kebal, Pusat Data dan bilik riser. Akses kepada bilik-bilik tersebut hanyalah kepada pegawai-pegawai yang diberi kuasa sahaja. Pengguna luar adalah dilarang sama sekali untuk memasuki kawasan larangan kecuali bagi kes-kes tertentu (seperti memberi perkhidmatan sokongan atau bantuan teknikal) serta mereka

hendaklah diiringi sepanjang masa sehingga tugas di kawasan berkenaan selesai.

P(BPPSM), Pengguna PPM dan Pengguna Luar

050104 Kawalan Pusat Data Tanggungjawab

Kawalan Pusat Data adalah bertujuan untuk mewujudkan kawalan keselamatan ke atas laluan masuk dan keluar. Perkara-perkara yang perlu dipatuhi adalah seperti berikut :

a. Pusat Data mesti diaktifkan dengan Sistem Kawalan Pintu Biometrik pada setiap masa;

b. Hanya Pentadbir Rangkaian dan Komunikasi serta pegawai

yang diberi kebenaran sahaja dibenarkan masuk;

c. Pengguna PPM dan pengguna luar yang perlu berurusan di pusat data hendaklah memaklumkan kepada Pentadbir Rangkaian dan Komunikasi terlebih dahulu dan mengisi buku log keluar masuk Pusat Data;

d. Pengguna luar yang dibenarkan masuk ke Pusat Data perlu

diiringi oleh Pentadbir Rangkaian dan Komunikasi atau pentadbir yang bertanggungjawab sepanjang masa sehingga tugas selesai;

e. Kunci Pusat Data dan rak server adalah di bawah

tanggungjawab Pentadbir Rangkaian dan Komunikasi;

f. Rak-rak server hendaklah sentiasa berada di dalam keadaan berkunci dan teratur;

Pentadbir Sistem ICT, Pentadbir Rangkaian dan Komunikasi, Pentadbir Sistem

Aplikasi dan Pangkalan Data, Pentadbir Laman Web, Pengguna PPM dan Pengguna Luar


4.0 25 JULAI 2013 32 / 75

g. Dilarang mengalihkan peralatan yang berada di dalam Pusat

Data tanpa kebenaran Pentadbir Rangkaian dan Komunikasi; dan

h. Tidak dibenarkan makan atau minum semasa berada di

dalam Pusat Data.

0502 Keselamatan Peralatan ICT Objektif : Melindungi peralatan ICT PPM dari kehilangan, kerosakan, kecurian serta gangguan kepada peralatan tersebut.

050201 Perkakasan ICT Tanggungjawab

Secara umumnya perkakasan ICT hendaklah dijaga dan dikawal dengan baik supaya boleh digunakan apabila diperlukan. Antara perkara yang perlu dipatuhi adalah seperti berikut: a. Pengguna hendaklah menyemak dan memastikan semua

peralatan ICT di bawah kawalannya berfungsi dengan

sempurna;

b. Pengguna bertanggungjawab sepenuhnya ke atas perkakasan ICT masing-masing dan tidak dibenarkan membuat sebarang pertukaran perkakasan dan konfigurasi yang telah ditetapkan;

c. Pengguna dilarang sama sekali menambah,

menanggal atau mengganti sebarang perkakasan ICT yang telah ditetapkan;

d. Pengguna dilarang membuat instalasi sebarang perisian tambahan yang tidak berkenaan tanpa kebenaran;

e. Pengguna adalah bertanggungjawab di atas

kerosakan atau kehilangan peralatan ICT di bawah kawalannya;

f. Pengguna mesti memastikan perisian antivirus di

komputer peribadi mereka sentiasa aktif (activated) dan dikemas kini disamping melakukan imbasan ke atas media storan yang digunakan;

g. Penggunaan kata laluan untuk akses ke sistem komputer adalah diwajibkan;

h. Semua perkakasan ICT termasuk perkakasan sokongan ICT

hendaklah dilindungi daripada kecurian, kerosakan, penyalahgunaan atau pengubahsuaian tanpa kebenaran;

i. Perkakasan ICT yang kritikal perlu disokong oleh

Uninterruptable Power Supply (UPS) ; j. Semua perkakasan ICT hendaklah disimpan atau

diletakkan ditempat yang teratur, bersih dan mempunyai

ciri-ciri keselamatan. Peralatan rangkaian seperti switches, hub, router dan lain-lain perlu diletakkan di dalam rak khas dan berkunci;

k. Semua perkakasan ICT yang digunakan secara

berterusan mestilah diletakkan di kawasan yang berhawa dingin dan mempunyai pengudaraan (air ventilation) yang sesuai;

l. Perkakasan ICT yang hilang hendaklah dilaporkan kepada

ICTSO dan Pegawai Aset ICT dengan segera;

Semua Pengguna


4.0 25 JULAI 2013 33 / 75

m. Pengendalian perkakasan ICT hendaklah mematuhi

dan merujuk kepada peraturan semasa yang berkuat kuasa;

n. Pengguna tidak dibenarkan mengubah kedudukan

perkakasan ICT dari lokasi asal ia ditempatkan tanpa kebenaran Pegawai Aset ICT;

o. Sebarang kerosakan perkakasan ICT hendaklah dilaporkan

kepada Pegawai Aset ICT untuk di baik pulih; p. Sebarang pelekat selain bagi tujuan rasmi tidak

dibenarkan. Ini bagi menjamin perkakasan ICT tersebut sentiasa berkeadaan baik;

q. Konfigurasi alamat IP tidak dibenarkan diubah daripada alamat IP yang asal;

r. Pengguna dilarang sama sekali mengubah kata

laluan bagi pentadbir (administrator password) yang telah ditetapkan oleh Pentadbir Sistem ICT;

s. Pengguna bertanggungjawab terhadap perkakasan,

perisian dan maklumat di bawah jagaannya dan hendaklah digunakan sepenuhnya bagi urusan rasmi sahaja;

t. Mengaktifkan mode standby ke atas semua perkakasan komputer, pencetak dan pengimbas apabila meninggalkan pejabat;

u. Sebarang bentuk penyelewengan atau salah guna peralatan

ICT hendaklah dilaporkan kepada ICTSO; dan v. Memastikan suis dimatikan daripada suis utama sebelum

meninggalkan pejabat terutama ketika cuti panjang bagi mengelakkan kerosakan.

050202 Media Storan Tanggungjawab

Keselamatan media storan perlu diberi perhatian khusus kerana ianya berupaya menyimpan maklumat yang besar. Langkah-langkah pencegahan berikut hendaklah di ambil untuk memastikan kerahsiaan, integriti dan kebolehsediaan maklumat

yang di simpan dalam media storan adalah terjamin dan selamat. Perkara-perkara yang perlu dipatuhi adalah seperti berikut: a. Media storan hendaklah disimpan di ruang penyimpanan

yang baik dan mempunyai ciri-ciri keselamatan bersesuaian dengan kandungan maklumat;

b. Akses untuk memasuki kawasan penyimpanan media

hendaklah terhad kepada mereka atau pengguna yang dibenarkan sahaja;

c. Semua media storan data yang hendak dilupuskan mestilah dihapuskan dengan teratur dan selamat;

d. Penghapusan maklumat atau kandungan media mestilah

mendapat kelulusan pemilik maklumat terlebih dahulu;

e. Semua media storan perlu dikawal bagi mencegah dari capaian yang tidak dibenarkan, kecurian dan kemusnahan;

Semua Pengguna


4.0 25 JULAI 2013 34 / 75

f. Pergerakan media storan hendaklah direkodkan;

g. Semua media storan yang mengandungi data kritikal hendaklah disimpan di dalam peti keselamatan yang mempunyai ciri-ciri keselamatan termasuk tahan dari dipecahkan, api, air dan medan magnet;

h. Perkakasan backup hendaklah diletakkan di Pusat Data; i. Mengadakan salinan atau penduaan (backup) pada media

storan kedua bagi tujuan keselamatan dan bagi mengelakkan kehilangan data; dan

j. Sebarang kehilangan media storan yang berlaku hendaklah

dilaporkan mengikut prosedur yang telah ditetapkan.

050203 Media Tandatangan Digital Tanggungjawab

Perkara-perkara yang perlu dipatuhi adalah seperti berikut: a. Pengguna hendaklah bertanggungjawab sepenuhnya ke atas

media tandatangan digital bagi melindungi daripada kecurian, kehilangan, kerosakan, penyalahgunaan dan pengklonan;

b. Media ini tidak boleh dipindah milik atau dipinjamkan; dan c. Sebarang insiden kehilangan yang berlaku hendaklah

dilaporkan dengan segera kepada ICTSO untuk tindakan seterusnya.

Pengguna PPM

050204 Media Perisian dan Aplikasi Tanggungjawab

Perkara-perkara yang perlu dipatuhi adalah seperti berikut: a. Hanya perisian yang diperakui sahaja dibenarkan bagi

kegunaan PPM; b. Sistem aplikasi dalaman tidak dibenarkan di demonstrasi

atau diagih kepada pihak lain kecuali dengan kebenaran Pengurus ICT;

c. Lesen perisian (registration code, serials, CD-keys) perlu

disimpan berasingan daripada CD-rom, disk atau media berkaitan bagi mengelakkan dari berlakunya kecurian atau cetak rompak; dan

d. Source code sesuatu sistem hendaklah disimpan dengan

teratur dan selamat. Sebarang pindaan mestilah mengikut prosedur yang ditetapkan.

Semua Pengguna

050205 Penyelenggaraan Perkakasan ICT Tanggungjawab

Perkakasan ICT hendaklah diselenggarakan dengan betul bagi memastikan kebolehsediaan, kerahsiaan dan integriti. Langkah-langkah keselamatan yang perlu diambil termasuklah seperti berikut :

a. Semua perkakasan ICT yang diselenggarakan hendaklah mematuhi spesifikasi pengeluar yang telah ditetapkan;

b. Perkakasan ICT dan perkakasan sokongan ICT hanya boleh

diselenggarakan oleh kakitangan atau pihak yang dibenarkan sahaja;

Bahagian SMPKE


4.0 25 JULAI 2013 35 / 75

c. Bertanggungjawab terhadap penyelenggaraan perkakasan

ICT sama ada dalam tempoh jaminan atau selepas tempoh jaminan;

d. Semua perkakasan ICT hendaklah disemak dan diuji

sebelum dan selepas proses penyelenggaraan dilakukan;

e. Memaklumkan pengguna sebelum melaksanakan penyelenggaraan mengikut jadual yang ditetapkan atau atas keperluan; dan

f. Semua penyelenggaraan mestilah mendapat kebenaran daripada Pengurus ICT.

050206 Kegunaan Perkakasan ICT Di Luar Pejabat Tanggungjawab

Penggunaan perkakasan ICT di luar pejabat adalah terdedah kepada pelbagai risiko. Langkah-langkah berikut hendaklah

diambil untuk menjamin keselamatan perkakasan ICT: a. Perkakasan ICT selain yang dibekalkan yang dibawa keluar

pejabat untuk tujuan rasmi mestilah mendapat kelulusan Pegawai Aset ICT dan tertakluk kepada tujuan yang dibenarkan;

b. Aktiviti peminjaman dan pemulangan perkakasan ICT mestilah direkodkan oleh pegawai yang berkenaan;

c. Perkakasan ICT perlu dilindungi dan dikawal sepanjang

masa; dan

d. Penyimpanan atau penempatan perkakasan ICT mestilah mengambil kira ciri-ciri keselamatan yang bersesuaian.

Semua Pengguna

050207 Pelupusan Tanggungjawab

Aset ICT yang hendak dilupuskan perlu melalui proses pelupusan semasa. Pelupusan aset ICT perlu dilakukan secara terkawal dan lengkap supaya maklumat tidak terlepas dari kawalan PPM. Langkah-langkah berikut perlu diambil dalam memastikan peralatan ICT dilupuskan dengan teratur : a. Pegawai Aset ICT akan mengenal pasti sama ada

perkakasan ICT tertentu boleh dilupuskan atau sebaliknya; b. Semua maklumat dan perisian berlesen hendaklah

dihapuskan dengan selamat terlebih dahulu sebelum

perkakasan ICT dilupus atau dipindah milik; c. Sekiranya maklumat perlu disimpan, maka pengguna PPM

hendaklah membuat backup; d. Perkakasan ICT yang hendak dilupus hendaklah disimpan di

tempat yang telah dikhaskan yang mempunyai ciri-ciri keselamatan bagi menjamin keselamatan perkakasan ICT tersebut;

e. Pegawai Aset ICT bertanggungjawab merekodkan butir–butir

pelupusan dan mengemas kini rekod pelupusan perkakasan ICT ke dalam sistem inventori;

f. Pelupusan perkakasan ICT hendaklah dilaksanakan mengikut

tatacara pelupusan semasa yang berkuat kuasa;

Pegawai Aset ICT dan Pengguna PPM


4.0 25 JULAI 2013 36 / 75

g. Pengguna ICT adalah DILARANG SAMA SEKALI

daripada melakukan perkara-perkara seperti berikut:

i. Mencabut, menanggal dan menyimpan perkakasan ICT seperti RAM, cakera keras, motherboard dan sebagainya dijadikan milik peribadi;

ii. Menyimpan dan memindahkan perkakasan luaran

komputer seperti AVR, speaker dan mana-mana peralatan yang berkaitan ke mana-mana bahagian di PPM;

iii. Membawa keluar dari PPM mana-mana perkakasan ICT yang hendak dilupuskan; dan

iv. Melupuskan sendiri perkakasan ICT kerana kerja-kerja pelupusan di bawah tanggungjawab Pegawai Aset ICT.

h. Pengguna PPM bertanggungjawab memastikan segala maklumat terperingkat di dalam perkakasan ICT disalin pada media storan dan maklumat tersebut dihapuskan sebelum

perkakasan tersebut dilupuskan.

0503 Keselamatan Persekitaran Objektif: Melindungi aset ICT PPM dari sebarang bentuk ancaman persekitaran yang disebabkan oleh bencana alam, kesilapan, kecuaian atau kemalangan.

050301 Kawalan Persekitaran Tanggungjawab

Bagi menghindarkan kerosakan dan gangguan terhadap premis dan aset ICT, semua cadangan berkaitan premis sama ada untuk memperoleh, menyewa, mengubahsuai dan membeli hendaklah dirujuk terlebih dahulu kepada Pejabat KPKK. Bagi menjamin keselamatan persekitaran, langkah-langkah yang perlu dipatuhi adalah seperti berikut:

a. Merancang dan menyediakan pelan keseluruhan susun atur pusat data dengan teliti;

b. Semua ruang pejabat khususnya kawasan yang mempunyai

kemudahan ICT hendaklah dilengkapi dengan perlindungan keselamatan yang mencukupi dan dibenarkan seperti alat pencegah kebakaran dan pintu kecemasan;

c. Peralatan perlindungan hendaklah dipasang di tempat yang

bersesuaian, mudah dikenali dan dikendalikan;

d. Bahan mudah terbakar hendaklah disimpan di luar kawasan kemudahan penyimpanan aset ICT;

e. Semua bahan cecair hendaklah diletakkan di tempat yang

bersesuaian dan berjauhan dari aset ICT; f. Pengguna adalah dilarang merokok atau menggunakan

peralatan memasak seperti cerek elektrik berhampiran peralatan komputer; dan

g. Semua perkakasan perlindungan hendaklah disemak

sekurang-kurangnya sekali setahun.

P(BPPSM) dan Semua Pengguna


4.0 25 JULAI 2013 37 / 75

050302 Bekalan Kuasa Tanggungjawab

Langkah-langkah seperti berikut perlu diambil dalam memastikan keselamatan bekalan kuasa : a. Semua perkakasan ICT hendaklah dilindungi dari kegagalan

bekalan elektrik; b. Perkakasan sokongan ICT hendaklah digunakan bagi

perkhidmatan kritikal seperti di Pusat Data; dan

c. Semua perkakasan sokongan ICT hendaklah disemak dan diuji secara berjadual sekurang-kurangnya sekali setahun.

P(BPPSM) dan Pentadbir Rangkaian dan Komunikasi

050303 Kabel Tanggungjawab

Sambungan kabel ke perkakasan ICT hendaklah dilindungi kerana ia boleh menyebabkan kerosakan dan keterdedahan maklumat. Langkah-langkah keselamatan yang perlu diambil adalah seperti

berikut: a. Menggunakan kabel yang mengikut spesifikasi yang telah

ditetapkan; b. Melindungi kabel daripada kerosakan yang

disengajakan atau tidak disengajakan; c. Melindungi laluan pemasangan kabel sepenuhnya bagi

mengelakkan ancaman kerosakan dan wire tapping; dan

d. Semua kabel di Pusat Data dan Bilik Riser perlu dilabelkan

dengan jelas dan mestilah melalui trunking bagi memastikan keselamatan kabel daripada kerosakan dan pintasan maklumat.

Pentadbir Rangkaian dan Komunikasi

050304 Prosedur Kecemasan Tanggungjawab


a. Hendaklah membaca, memahami dan mematuhi prosedur semasa yang berkuatkuasa; dan

b. Kecemasan persekitaran seperti kebakaran hendaklah

dilaporkan kepada Pegawai Keselamatan Jabatan (PKJ) yang dilantik mengikut aras yang telah ditetapkan.

P(BPPSM), PKJ dan Pengguna PPM

0504 Keselamatan Dokumen

Objektif: Melindungi maklumat PPM dari sebarang bentuk ancaman persekitaran yang disebabkan oleh bencana alam, kesilapan atau kecuaian.

050401 Dokumen Tanggungjawab

Perkara-perkara yang perlu dipatuhi adalah seperti berikut: a. Setiap dokumen hendaklah difail dan dilabelkan

mengikut klasifikasi keselamatan seperti Terbuka, Terhad, Sulit, Rahsia atau Rahsia Besar;

b. Pergerakan fail dan dokumen hendaklah direkodkan dan

perlulah mengikut prosedur keselamatan;

Semua Pengguna


4.0 25 JULAI 2013 38 / 75

c. Kehilangan dan kerosakan ke atas semua jenis dokumen perlu dimaklumkan mengikut Arahan Keselamatan Kerajaan;

d. Pelupusan dokumen hendaklah mengikut prosedur keselamatan semasa yang berkuatkuasa; dan

e. Menggunakan langkah perlindungan ke atas dokumen terperingkat yang disediakan dan dihantar secara elektronik.


4.0 25 JULAI 2013 40 / 75

PERKARA 06 - PENGURUSAN OPERASI DAN KOMUNIKASI

0601 Pengurusan Prosedur Operasi Objektif: Memastikan perkhidmatan dan pemprosesan maklumat dapat berfungsi dengan betul dan selamat.

060101 Pengendalian dan Pematuhan Standard Operating Procedure (SOP)

Tanggungjawab

Bagi memastikan kemudahan pemprosesan maklumat beroperasi seperti yang telah ditetapkan dan selamat, langkah-langkah berikut perlu dilakukan :

a. Semua SOP keselamatan ICT yang di wujud, dikenal pasti

dan masih diguna pakai hendaklah didokumenkan, disimpan dan dikawal;

b. Setiap prosedur mestilah mengandungi arahan-arahan yang

jelas, teratur dan lengkap seperti keperluan kapasiti, pengendalian dan pemprosesan maklumat, pengendalian dan penghantaran ralat, pengendalian output, bantuan teknikal dan pemulihan sekiranya pemprosesan tergendala atau terhenti;

c. Semua SOP hendaklah dikemaskini dari semasa ke semasa atau mengikut keperluan; dan

d. Setiap SOP yang wujud hendaklah dikuatkuasakan dan mesti diguna pakai bagi memastikan operasi berjalan lancar.

Semua Pengguna

060102 Kawalan Perubahan Tanggungjawab

Perkara-perkara yang perlu dipatuhi adalah seperti berikut: a. Pengubahsuaian yang melibatkan perkakasan, sistem untuk

pemprosesan maklumat, perisian, dan prosedur mestilah mengikut prosedur pengurusan perubahan yang telah ditetapkan;

b. Aktiviti-aktiviti seperti memasang, menyelenggara,

menghapus dan mengemas kini mana-mana komponen sistem ICT hendaklah dikendalikan oleh pihak atau pegawai

yang diberi kuasa dan mempunyai pengetahuan atau terlibat secara langsung dengan aset ICT berkenaan;

c. Semua aktiviti pengubahsuaian komponen sistem ICT

hendaklah mematuhi spesifikasi perubahan yang telah ditetapkan; dan

d. Semua aktiviti perubahan atau pengubahsuaian hendaklah di

rekod dan dikawal bagi mengelakkan berlakunya ralat sama ada secara sengaja atau pun tidak.

Pengurus ICT

060103 Pengasingan Tugas dan Tanggungjawab Tanggungjawab

Perkara-perkara yang perlu dipatuhi adalah seperti berikut: a. Skop tugas dan tanggungjawab perlu diasingkan

bagi mengurangkan peluang berlaku penyalahgunaan atau pengubahsuaian yang tidak dibenarkan ke atas aset ICT;

Pengurus ICT dan Pentadbir Sistem ICT


4.0 25 JULAI 2013 41 / 75

b. Tugas mewujud, memadam, mengemas kini,

mengubah dan mengesahkan data hendaklah diasingkan bagi mengelakkan daripada capaian yang tidak dibenarkan

serta melindungi aset ICT daripada kesilapan, kebocoran maklumat terperingkat atau dimanipulasi; dan

c. Perkakasan yang digunakan bagi proses pembangunan,

pengujian dan pengoperasian hendaklah diasingkan dari perkakasan yang digunakan sebagai production.

0602 Pengurusan Penyampaian Perkhidmatan Pengguna Luar Objektif: Memastikan pelaksanaan dan penyelenggaraan tahap keselamatan maklumat dan

penyampaian perkhidmatan yang sesuai selaras dengan perjanjian perkhidmatan dengan pengguna luar.

060201 Penyampaian Perkhidmatan Tanggungjawab

Perkara-perkara yang perlu dipatuhi adalah seperti berikut: a. Memastikan kawalan keselamatan, definisi perkhidmatan

dan tahap penyampaian yang terkandung dalam perjanjian dipatuhi, dilaksanakan dan diselenggarakan oleh pengguna luar;

b. Perkhidmatan, laporan dan rekod yang dikemukakan

sentiasa dipantau, disemak semula dari semasa ke semasa

dan diaudit sekiranya perlu; dan c. Pengurusan perubahan dasar perlu mengambil kira tahap

kritikal sistem dan proses yang terlibat serta penilaian semula risiko.

Semua Pengguna

0603 Perancangan dan Penerimaan Sistem Objektif: Meminimumkan risiko yang menyebabkan gangguan atau kegagalan sistem.

060301 Perancangan Kapasiti Tanggungjawab

Perkara-perkara yang perlu dipatuhi adalah seperti berikut : a. Kapasiti sesuatu komponen atau sistem ICT hendaklah

dirancang, diurus dan dikawal dengan teliti oleh pegawai yang berkenaan bagi memastikan keperluannya adalah

mencukupi dan bersesuaian untuk pembangunan dan kegunaan sistem ICT pada masa akan datang; dan

b. Keperluan kapasiti ini juga perlu mengambil kira ciri-ciri

keselamatan ICT bagi meminimumkan risiko seperti gangguan pada perkhidmatan dan kerugian akibat pengubahsuaian yang tidak dirancang.

Pengurus ICT dan Pentadbir Sistem ICT

060302 Penerimaan Sistem Tanggungjawab

a. Semua sistem baru (termasuklah sistem yang dikemaskini

atau diubahsuai) hendaklah memenuhi kriteria yang ditetapkan sebelum diterima atau dipersetujui; dan

b. Semua laporan yang telah disahkan yang melibatkan fasa

kitaran hayat perolehan sumber ICT perlu difailkan bagi tujuan digunakan semula samada semasa pelupusan sumber atau semasa pengauditan dilakukan.

Pengurus ICT dan



4.0 25 JULAI 2013 42 / 75

0604 Perisian Berbahaya Objektif : Melindungi integriti perisian dan maklumat dari pendedahan atau kerosakan yang disebabkan oleh perisian berbahaya seperti virus, trojan dan sebagainya.

060401 Perlindungan dari Perisian Berbahaya Tanggungjawab

Perkara-perkara yang perlu dilaksanakan bagi memastikan perlindungan aset ICT dari perisian berbahaya: a. Memasang sistem keselamatan untuk mengesan perisian

atau program berbahaya seperti anti virus dan Intrusion

Prevention System (IPS) dan mengikut prosedur penggunaan yang betul dan selamat;

b. Memasang dan menggunakan hanya perisian yang tulen,

berdaftar dan dilindungi di bawah Akta Hakcipta (Pindaan) Tahun 1997;

c. Mengimbas semua perisian atau sistem dengan anti virus

sebelum menggunakannya; d. Mengemas kini pattern anti virus yang terkini;

e. Menyemak kandungan sistem atau maklumat secara berkala bagi mengesan aktiviti yang tidak diingini seperti kehilangan dan kerosakan maklumat;

f. Menghadiri program kesedaran mengenai ancaman perisian

berbahaya dan cara mengendalikannya; g. Memasukkan klausa tanggungan di dalam mana-mana

kontrak yang telah ditawarkan kepada pembekal perisian. Klausa ini bertujuan untuk tuntutan baik pulih sekiranya perisian tersebut mengandungi program berbahaya; dan

h. Memberi amaran mengenai ancaman keselamatan ICT

seperti serangan virus.

Semua Pengguna

060402 Perlindungan dari Mobile Code Tanggungjawab

Penggunaan mobile code yang boleh mendatangkan ancaman keselamatan ICT adalah tidak dibenarkan. Dalam keadaan di mana mobile code dibenarkan, pastikan konfigurasinya beroperasi berdasarkan kepada garis panduan atau prosedur.

Penggunaan mobile code tidak boleh digunakan atas tujuan salah laku seperti berikut :

a. Mencapai maklumat yang bukan hak miliknya;

b. Akses ke sistem dimana tiada hak capaian ke atasnya; c. Menyebabkan kesesakan trafik rangkaian;

d. Packet Spoofing; dan

e. Melancarkan serangan Denial-of-Service.

Semua Pengguna


4.0 25 JULAI 2013 43 / 75

0605 Housekeeping Objektif: Melindungi integriti maklumat dan perkhidmatan komunikasi agar boleh diakses pada bila-bila masa.

060501 Backup Tanggungjawab

Bagi memastikan sistem dapat dibangunkan semula setelah berlakunya bencana, backup hendaklah dilaksanakan setiap kali

konfigurasi berubah. Perkara-perkara yang perlu dipatuhi adalah seperti berikut: a. Melaksanakan backup ke atas semua sistem perisian dan

aplikasi sekurang-kurangnya sekali; b. Melaksanakan backup ke atas semua data dan maklumat

mengikut keperluan operasi. Kekerapan backup bergantung pada tahap kritikal maklumat;

c. Menguji sistem backup dan prosedur restore sedia ada bagi

memastikan ianya dapat berfungsi dengan sempurna, boleh dipercayai dan berkesan apabila digunakan khususnya pada waktu kecemasan;

d. Menyimpan sekurang-kurangnya tiga (3) generasi backup;

dan

e. Merekod dan menyimpan salinan backup di lokasi yang berlainan dan selamat.

Pentadbir Sistem ICT, Pentadbir

Rangkaian dan Komunikasi, Pentadbir Sistem Aplikasi dan Pangkalan Data dan Pentadbir Laman Web

0606 Pengurusan Rangkaian Objektif: Melindungi maklumat dalam rangkaian dan infrastruktur sokongan.

060601 Kawalan Infrastruktur Rangkaian dan Komunikasi Tanggungjawab

Infrastruktur Rangkaian dan Komunikasi mestilah di kawal dan diuruskan sebaik mungkin demi melindungi ancaman kepada sistem dan aplikasi di dalam rangkaian. Berikut adalah langkah-langkah yang perlu dipertimbangkan :- a. Tanggungjawab atau kerja-kerja operasi rangkaian dan

komputer hendaklah diasingkan untuk mengurangkan capaian dan pengubahsuaian yang tidak dibenarkan;

b. Peralatan rangkaian hendaklah diletakkan di lokasi yang

mempunyai ciri-ciri fizikal yang kukuh dan bebas dari risiko seperti banjir, gegaran dan habuk;

c. Capaian kepada peralatan rangkaian hendaklah dikawal dan

terhad kepada pengguna yang dibenarkan sahaja; d. Semua peralatan mestilah melalui proses Hardware

Acceptence Test (HAT) semasa pemasangan dan konfigurasi;

e. Firewall hendaklah dipasang serta dikonfigurasi dan diselia oleh Pentadbir Rangkaian dan Komunikasi;

f. Semua trafik keluar dan masuk hendaklah melalui firewall di

bawah kawalan PPM; g. Semua perisian sniffer atau network analyser adalah dilarang

dipasang pada komputer pengguna kecuali mendapat kebenaran ICTSO;

Pengurus ICT, ICTSO, Pentadbir Sistem ICT dan Pentadbir Rangkaian dan Komunikasi


4.0 25 JULAI 2013 44 / 75

h. Memasang perisian Intrusion Prevention System (IPS) bagi

mengesan sebarang cubaan menceroboh dan aktiviti-aktiviti lain yang boleh mengancam sistem dan maklumat PPM;

i. Memasang Web Content Filter pada Internet Gateway untuk

menyekat aktiviti yang dilarang; j. Sebarang penyambungan rangkaian yang bukan di bawah

kawalan PPM adalah tidak dibenarkan; k. Semua pengguna hanya dibenarkan menggunakan rangkaian

PPM sahaja. Penggunaan modem adalah dilarang sama sekali;

l. Memastikan keperluan perlindungan ICT adalah bersesuaian

dan mencukupi bagi menyokong perkhidmatan yang lebih optimum; dan

m. Memastikan kaedah penyulitan (encryption) digunakan ke

atas sistem VoIP bagi mengelakkan sebarang eavesdropping.

0607 Pengurusan Media Objektif: Melindungi aset ICT dari sebarang pendedahan, pengubahsuaian, pemindahan atau pemusnahan serta gangguan ke atas aktiviti perkhidmatan.

060701 Penghantaran dan Pemindahan Tanggungjawab

Penghantaran atau pemindahan media ke luar pejabat hendaklah mendapat kebenaran daripada pemilik terlebih dahulu.

Semua Pengguna

060702 Prosedur Pengendalian Media Tanggungjawab

Prosedur-prosedur pengendalian media yang perlu dipatuhi adalah seperti berikut : a. Melabelkan semua media mengikut tahap sensitiviti sesuatu

maklumat; b. Menghadkan dan menentukan capaian media kepada

pengguna yang dibenarkan sahaja; c. Menghadkan pengedaran/penghantaran data atau media

untuk tujuan yang dibenarkan mengikut prosedur dan arahan keselamatan;

d. Mengawal dan merekodkan aktiviti penyelenggaraan media bagi mengelak dari sebarang kerosakan dan pendedahan

yang tidak dibenarkan; e. Menyimpan semua media di tempat yang selamat; dan

f. Media yang mengandungi maklumat terperingkat yang hendak dihapus atau dimusnahkan mestilah dilaksanakan mengikut tatacara yang telah ditetapkan.

Pengguna PPM

060703 Keselamatan Sistem Dokumentasi Tanggungjawab

Sistem dokumentasi perlu diutamakan keselamatannya untuk melindunginya daripada diceroboh. Oleh itu, pihak SMPKE telah menggunakan sistem elektronik dokumen atau EDMS (Electronic Document Management System) bagi memastikan segala urusan melibatkan dokumen-dokumen sentiasa teratur.

Pengguna PPM


4.0 25 JULAI 2013 45 / 75

Langkah-langkah seperti berikut perlu diambil dalam memastikan keselamatan sistem dokumentasi ini, antaranya:

a. Memastikan sistem penyimpanan dokumentasi (EDMS) mempunyai ciri-ciri keselamatan;

b. Menyediakan dan memantapkan keselamatan sistem

dokumentasi; c. Mengawal dan merekodkan semua aktiviti capaian sistem

dokumentasi sedia ada;

d. Kehilangan dan kerosakan ke atas semua jenis dokumen perlu dimaklumkan mengikut prosedur Arahan Keselamatan; dan

e. Dokumen dalam bentuk fizikal, perlu difail dan dilabelkan

mengikut klasifikasi keselamatan seperti Terbuka, Terhad, Sulit, Rahsia atau Rahsia Besar.

0608 Pengurusan Pertukaran Maklumat dan Keselamatan Komunikasi Objektif: Melindungi dan memastikan keselamatan pertukaran maklumat dan perisian antara PPM dan agensi luar serta aset ICT melalui sistem komunikasi yang selamat.

060801 Pertukaran Maklumat Tanggungjawab

Perkara-perkara yang perlu dipatuhi adalah seperti berikut: a. Media yang mengandungi maklumat perlu dilindungi

daripada capaian yang tidak dibenarkan, penyalahgunaan atau kerosakan semasa pemindahan keluar dari PPM; dan

b. Maklumat terperingkat yang terdapat dalam e-mel elektronik

perlu dilindungi dengan baik.

Semua Pengguna

060802 Pengurusan Mel Elektronik (E-mel) Tanggungjawab

Penggunaan e-mel di PPM hendaklah dipantau secara berterusan

oleh Pentadbir Sistem ICT untuk memenuhi keperluan etika penggunaan e-mel dan internet. Di antara prosedur-prosedur pengurusan e-mel termasuk: a. Akaun atau alamat mel elektronik (e-mel) yang

diperuntukkan oleh PPM sahaja boleh digunakan. Penggunaan akaun milik orang lain atau akaun yang dikongsi bersama adalah dilarang;

b. Setiap e-mel yang disediakan hendaklah mematuhi format

yang telah ditetapkan oleh PPM. Setiap e-mel mestilah mengandungi rujukan fail, tarikh dan logo rasmi. Penggunaan

huruf besar kandungan e-mel adalah tidak digalakkan dan dianggap tidak beretika. Sebaik-baiknya, gabungan huruf besar dan huruf kecil digunakan di tempat-tempat bersesuaian dengan bahasa yang betul, ringkas dan sopan;

c. Memastikan subjek dan kandungan e-mel adalah berkaitan

dan menyentuh perkara perbincangan yang sama sebelum penghantaran dilakukan;

d. Penghantaran e-mel rasmi hendaklah menggunakan akaun e-

mel rasmi dan pastikan alamat e-mel penerima adalah betul.

Penghantar boleh menggunakan kemudahan ‘salinan kepada’ (cc) jika untuk dimaklumkan kepada penerima lain, tetapi penggunaan ‘blind cc’ (bcc) tidak digalakkan;

Semua Pengguna


4.0 25 JULAI 2013 46 / 75

e. E-mel penghantar hendaklah dijawab selewat-lewatnya 4 hari

dari tarikh e-mel bekenaan diterima.

f. Pengguna dinasihatkan menggunakan fail kepilan, sekiranya perlu, tidak melebihi sepuluh (10) megabait semasa penghantaran. Kaedah pemampatan untuk mengurangkan saiz adalah disarankan;

g. Pengguna hendaklah mengelak dari membuka e-mel daripada

penghantar yang tidak diketahui atau diragui; h. Pengguna hendaklah mengenal pasti dan mengesahkan

identiti pengguna yang berkomunikasi dengannya sebelum meneruskan transaksi maklumat melalui e-mel;

i. Setiap e-mel rasmi yang dihantar atau diterima hendaklah disimpan di dalam Sistem EDMS PPM mengikut tatacara penggunaan EDMS yang telah diwujudkan;

j. E-mel yang tidak penting dan tidak mempunyai nilai arkib

yang telah diambil tindakan dan tidak diperlukan lagi bolehlah dihapuskan;

k. Pengguna hendaklah menentukan tarikh dan masa sistem

komputer adalah tepat;

l. Pengguna adalah dilarang daripada melakukan sebarang aktiviti yang melanggar tatacara penggunaan e-mel rasmi Kerajaan seperti :

i. menggunakan identiti palsu atau menyamar sebagai

penghantar maklumat yang sah;

ii. menggunakan e-mel untuk tujuan komersial atau politik;

iii. menghantar dan melibatkan diri dalam e-mel yang

berunsur hasutan, e-mel bom, e-mel spam, fitnah, ciplak

atau aktiviti-aktiviti lain yang ditegah oleh undang-

undang Kerajaan Malaysia;

iv. menyebarkan kod perosak seperti virus, worm, trojan

horse dan trap door yang boleh merosakkan sisitem

komputer dan maklumat pengguna lain;

v. menghantar semula e-mel yang gagal sampai ke

destinasi sebelum menyiasat punca kejadian; dan

vi. membenarkan pihak ketiga untuk menjawab e-mel

kepada penghantar asal bagi pihaknya.

m. Pengguna hendaklah memastikan alamat e-mel persendirian (seperti yahoo.com, gmail.com, hotmail.com dan seumpamanya) tidak boleh digunakan untuk tujuan rasmi; dan

n. Pengguna hendaklah bertanggungjawab ke atas

pengemaskinian dan penggunaan mailbox masing-masing.

060803 Penggunaan Telefon, Faksimili dan SMS Tanggungjawab

Perkhidmatan telefon, faksimili, dan pesanan khidmat ringkas (SMS) juga merupakan alat komunikasi yang penting di PPM. Oleh itu, beberapa peraturan telah ditetapkan supaya perkhidmatan ini tidak disalahguna oleh semua pengguna.

Semua Pengguna


4.0 25 JULAI 2013 47 / 75

0609 Pemantauan Objektif: Memastikan pengesanan aktiviti pemprosesan maklumat yang tidak dibenarkan.

060901 Pengauditan dan Forensik ICT Tanggungjawab

ICTSO mestilah bertanggungjawab menyelia dan memantau perkara-perkara berikut:

a. Sebarang percubaan pencerobohan dan sebarang insiden keselamatan ICT kepada sistem ICT PPM;

b. Pengubahsuaian ciri-ciri perkakasan, perisian atau mana-mana komponen sesebuah sistem tanpa pengetahuan, arahan atau persetujuan mana-mana pihak;

c. Aktiviti melayari, menyimpan atau mengedar bahan-bahan

lucah, berunsur fitnah dan propaganda anti kerajaan; d. Aktiviti pewujudan perkhidmatan-perkhidmatan yang tidak

dibenarkan; e. Aktiviti instalasi dan penggunaan perisian yang

membebankan jalur lebar (bandwidth) rangkaian; f. Aktiviti penyalahgunaan akaun e-mel; dan

g. Aktiviti penukaran alamat IP (IP address) selain daripada yang telah diperuntukkan.

ICTSO

060902 Jejak Audit Tanggungjawab

Setiap sistem mestilah mempunyai jejak audit (audit trail). Jejak audit merekod aktiviti-aktiviti yang berlaku dalam sistem secara kronologi bagi membenarkan pemeriksaan dan pembinaan semula

dilakukan bagi susunan dan perubahan dalam sesuatu acara. Jejak audit hendaklah mengandungi maklumat-maklumat berikut: a. Rekod setiap aktiviti transaksi; b. Maklumat jejak audit mengandungi identiti pengguna,

sumber yang digunakan, perubahan maklumat, tarikh dan masa aktiviti, rangkaian dan aplikasi yang digunakan;

c. Aktiviti capaian pengguna ke atas sistem ICT sama ada

secara sah atau sebaliknya; dan d. Maklumat aktiviti sistem yang tidak normal atau aktiviti yang

tidak mempunyai ciri-ciri keselamatan. Pentadbir Sistem ICT, Pentadbir Rangkaian dan Komunikasi, Pentadbir Laman Web serta Pentadbir Sistem Aplikasi dan Pangkalan Data hendaklah menyemak catatan jejak audit dari semasa ke semasa dan menyediakan laporan jika perlu. Ini akan dapat membantu mengesan aktiviti yang tidak normal dengan lebih awal. Jejak audit juga perlu dilindungi dari kerosakan, kehilangan, penghapusan, pemalsuan dan

pengubahsuaian yang tidak dibenarkan.

Pentadbir Sistem ICT, Pentadbir Rangkaian dan

Komunikasi, Pentadbir Laman Web dan Pentadbir Sistem Aplikasi dan Pangkalan Data


4.0 25 JULAI 2013 48 / 75

060903 Sistem Log Tanggungjawab

Perkara-perkara yang perlu dipatuhi adalah seperti berikut: a. Mewujudkan sistem log bagi merekodkan semua

aktiviti harian pengguna; b. Menyemak sistem log secara berkala bagi mengesan ralat

yang menyebabkan gangguan kepada sistem dan mengambil tindakan membaik pulih dengan segera; dan

c. Sekiranya wujud aktiviti-aktiviti lain yang tidak sah seperti

kecurian maklumat dan pencerobohan, ia hendaklah dilaporkan kepada ICTSO dan CIO.

Pentadbir Sistem ICT, Pentadbir Rangkaian dan

Komunikasi, Pentadbir Laman Web dan Pentadbir Sistem Aplikasi dan Pangkalan Data

060904 Pemantauan Log Tanggungjawab


a. Log Audit yang merekodkan semua aktiviti perlu

dihasilkan dan disimpan selama 90 hari bagi membantu siasatan dan memantau kawalan capaian;

b. Menyemak sistem log secara berkala bagi mengesan ralat yang menyebabkan gangguan kepada sistem dan mengambil tindakan membaik pulih dengan segera;

c. Kemudahan merekod dan maklumat log perlu dilindungi

daripada diubahsuai dan sebarang capaian yang tidak dibenarkan;

d. Aktiviti pentadbiran dan pengoperasian sistem perlu

direkodkan; e. Kesalahan, kesilapan dan/atau penyalahgunaan perlu

direkodkan log, dianalisis dan diambil tindakan sewajarnya; dan

f. Waktu yang berkaitan dengan sistem pemprosesan

maklumat dalam PPM atau domain keselamatan perlu diselaraskan dengan satu sumber waktu yang dipersetujui.

Pentadbir Sistem

ICT, Pentadbir Rangkaian dan Komunikasi, Pentadbir Laman Web dan Pentadbir Sistem Aplikasi dan Pangkalan Data


4.0 25 JULAI 2013 50 / 75

PERKARA 07 – KAWALAN CAPAIAN

0701 Dasar Kawalan Capaian Objektif : Memahami dan mematuhi keperluan keselamatan dalam mengawal capaian ke atas maklumat.

070101 Keperluan Dasar

Tanggungjawab

Capaian kepada proses dan maklumat hendaklah dikawal mengikut keperluan keselamatan dan fungsi kerja pengguna yang berbeza. Ia perlu direkodkan, dikemas kini dan menyokong dasar kawalan capaian pengguna sedia ada. Peraturan kawalan capaian hendaklah diwujudkan, didokumenkan

dan dikaji semula berasaskan keperluan perkhidmatan dan keselamatan. Perkara-perkara yang perlu dipatuhi adalah seperti berikut: a. Kawalan capaian ke atas aset ICT mengikut keperluan

keselamatan dan peranan pengguna; b. Kawalan capaian ke atas perkhidmatan rangkaian

dalaman dan luaran;

c. Keselamatan maklumat yang dicapai menggunakan kemudahan atau peralatan mudah alih; dan

d. Kawalan ke atas kemudahan pemprosesan maklumat.

ICTSO, Pengurus ICT

0702 Pengurusan Capaian Pengguna Objektif : Mengawal capaian pengguna ke atas semua aset ICT PPM.

070201 Akaun Pengguna Tanggungjawab

Pengguna PPM termasuk Pentadbir Sistem ICT dan Pengguna Luar

adalah bertanggungjawab ke atas sistem ICT yang digunakan. Bagi mengenal pasti pengguna dan aktiviti yang dilakukan, beberapa peraturan telah ditetapkan seperti berikut : 1. Pengguna PPM :

a. Akaun yang diperuntukkan oleh jabatan sahaja boleh digunakan;

b. Akaun pengguna atau user id hendaklah mencerminkan

identiti pengguna dan mestilah unik; c. Pemilikan akaun pengguna bukanlah hak mutlak

seseorang dan ia tertakluk kepada peraturan jabatan. Akaun boleh ditarik balik jika penggunaannya melanggar peraturan; dan

d. Penggunaan akaun milik orang lain atau akaun yang

dikongsi bersama adalah dilarang. 2. Pentadbir Sistem ICT :

a. Akaun pengguna atau user id hendaklah mencerminkan identiti pengguna dan mestilah unik;

Semua Pengguna


4.0 25 JULAI 2013 51 / 75

b. Sebarang pengurusan identiti dan pengesahan perlu

memenuhi elemen tertentu untuk memastikan sentiasa selamat. Elemen-elemen tersebut ialah:

i. Menghadkan cubaan log in; ii. Menetapkan tahap kesukaran pengesahan kata laluan

kepada 12 character; iii. Pengesahan mesti mempunyai jangka hayat; dan iv. Fail dan dokumentasi pengesahan perlu dilindungi

oleh tahap Access Control List (ACL) dan encrypted. c. Pentadbir Sistem ICT boleh membeku dan menamatkan

akaun pengguna atas sebab-sebab berikut;

i. Bertukar bidang tugas kerja;

ii. Bertukar ke agensi lain; iii. Bersara; atau iv. Ditamatkan perkhidmatan.

d. Pentadbir Sistem ICT hendaklah melaksanakan

pemantauan ke atas akaun pengguna secara berkala.

3. Pengguna Luar :

a. Akaun pengguna yang di wujud pertama kali akan diberi tahap capaian yang dibenarkan iaitu untuk melihat dan membaca sahaja;

b. Akaun yang diberikan boleh digunakan dalam satu tempoh

masa tertentu sahaja yang telah ditetapkan oleh Pentadbir Sistem ICT;

c. Tidak boleh menyalahgunakan akaun yang telah diberikan untuk kepentingan sendiri atau agensi kerana akaun yang

diberikan adalah milik kerajaan; dan d. Akaun pengguna atau user id hendaklah mencerminkan

identiti pengguna dan mestilah unik.

070202 Hak Capaian Tanggungjawab

Penetapan dan penggunaan ke atas hak capaian perlu diberi kawalan dan penyeliaan yang ketat berdasarkan keperluan skop tugas.


070203 Pengurusan Kata Laluan Tanggungjawab

Pemilihan, penggunaan dan pengurusan kata laluan sebagai laluan utama bagi mencapai maklumat dan data dalam sistem mestilah mematuhi amalan terbaik serta prosedur yang ditetapkan oleh PPM seperti berikut: a. Dalam apa jua keadaan dan sebab, kata laluan

hendaklah dilindungi dan tidak boleh dikongsi dengan sesiapa pun;

b. Pengguna hendaklah menukar kata laluan apabila

disyaki berlakunya kebocoran kata laluan atau dikompromi; c. Panjang kata laluan mestilah sekurang-kurangnya dua

belas (12) aksara dengan gabungan aksara, angka dan aksara khusus KECUALI bagi perkakasan atau perisian yang mempunyai pengurusan katalaluan yang terhad;

Semua Pengguna


4.0 25 JULAI 2013 52 / 75

d. Kata laluan hendaklah diingat dan TIDAK BOLEH dicatat,

disimpan atau didedahkan dengan apa cara sekalipun;

e. Screen saver beserta kata laluan hendaklah diaktifkan; f. Kata laluan hendaklah tidak dipaparkan semasa input,

dalam laporan atau media lain dan tidak boleh dikodkan di dalam program;

g. Kuatkuasakan pertukaran kata laluan semasa login kali

pertama atau selepas login kali pertama atau selepas kata laluan diset semula;

h. Kata laluan hendaklah berlainan daripada pengenalan

identiti pengguna;

i. Tentukan had masa pengesahan selama kurang dari tiga (3)

minit mengikut kesesuaian sistem dan selepas had itu, sesi ditamatkan;

j. Kata laluan hendaklah ditukar setiap 180 hari atau pada bila-

bila masa sebelum tempoh tersebut; dan k. Penggunaan semula kata laluan yang terdahulu

adalah tidak dibenarkan.

070204 Clear Desk dan Clear Screen Tanggungjawab

Semua maklumat dalam apa jua bentuk media hendaklah

disimpan dengan teratur dan selamat bagi mengelakkan kerosakan, kecurian atau kehilangan. Clear Desk dan Clear Screen bermaksud tidak meninggalkan bahan-bahan yang sensitif terdedah sama ada atas meja pengguna atau di paparan skrin apabila pengguna tidak berada di tempatnya. Perkara-perkara yang perlu dipatuhi adalah seperti berikut: a. Menggunakan kemudahan password screen saver atau logout

apabila meninggalkan komputer; b. Menyimpan bahan-bahan sensitif di dalam laci atau kabinet

fail yang berkunci; dan c. Memastikan semua dokumen diambil segera dari

pencetak, pengimbas, mesin faksimili dan mesin fotostat.

Semua Pengguna

0703 Kawalan Capaian Rangkaian

Objektif: Menghalang capaian tidak sah dan tanpa kebenaran ke atas perkhidmatan rangkaian.

070301 Capaian Rangkaian Tanggungjawab

Kawalan capaian perkhidmatan rangkaian hendaklah dijamin selamat dengan: a. Menempatkan atau memasang perkakasan ICT yang

bersesuaian di antara rangkaian PPM, rangkaian agensi lain dan rangkaian awam;

b. Mewujud dan menguatkuasakan mekanisme untuk pengesahan pengguna dan perkakasan ICT yang dihubungkan ke rangkaian; dan

P(O), ICTSO dan Pentadbir Sistem ICT


4.0 25 JULAI 2013 53 / 75

c. Memantau dan menguatkuasakan kawalan capaian

pengguna terhadap perkhidmatan rangkaian ICT.

070302 Capaian Internet Tanggungjawab

Bagi menjamin keselamatan PPM, langkah-langkah berikut perlu diambil kira :

a. Laman yang dilayari hendaklah hanya yang berkaitan dengan bidang kerja dan terhad untuk tujuan yang dibenarkan oleh Ketua Jabatan;

b. Bahan yang diperoleh dari Internet hendaklah ditentukan

ketepatan dan kesahihannya. Sebagai amalan baik, rujukan sumber internet hendaklah dinyatakan;

c. Bahan rasmi hendaklah disemak dan mendapat pengesahan

daripada Ketua Jabatan sebelum dimuat naik (upload) ke internet;

d. Pengguna hanya dibenarkan memuat turun (download) bahan yang sah seperti perisian yang berdaftar dan di bawah hak cipta terpelihara;

e. Sebarang bahan yang dimuat turun dari internet hendaklah

digunakan untuk tujuan yang dibenarkan oleh PPM; f. Penggunaan jaringan media sosial di PPM adalah tertakluk

kepada peraturan seperti berikut :

i. Pengurusan tertinggi adalah dibenarkan atas keperluan tugas di PPM;

ii. Pengguna PPM perlu mendapatkan kelulusan daripada

P(BPPSM) untuk capaian ke jaringan media sosial di PPM; dan

iii. Penggunaan jaringan media sosial di PPM adalah tertakluk kepada surat arahan semasa yang berkuatkuasa.

g. Penjawat awam adalah dilarang daripada melakukan sebarang aktiviti yang melanggar tatacara penggunaan internet seperti berikut :

i. Memuat naik, memuat turun, menyimpan dan

meggunakan perisian tidak berlesen;

ii. Menyedia dan menghantar maklumat berulang-ulang

berupa gangguan;

iii. Menyedia, memuat naik, memuat turun dan menyimpan

material, teks ucapan, imej atau bahan-bahan yang

mengandungi unsur-unsur lucah;

iv. Menyedia, memuat naik, memuat turun dan menyimpan

maklumat Internet yang melibatkan sebarang

pernyataan fitnah atau hasutan yang boleh memburuk

dan menjatuhkan imej Kerajaan;

v. Menyalahgunakan kemudahan perbincangan awam atas

talian seperti newsgroup dan bulletin board;

Semua Pengguna


4.0 25 JULAI 2013 54 / 75

vi. Memuat naik, memuat turun dan menyimpan gambar

atau teks yang bercorak penentangan yang boleh

membawa keadaan huru-hara dan menakutkan

pengguna Internet yang lain;

vii. Memuat turun, menyimpan dan meggunakan perisian

berbentuk hiburan atas talian seperti permainan

elektronik, video dan lagu;

viii. Menggunakan kemudahan chatting melalui Internet;

ix. Menggunakan kemudahan Internet untuk tujuan

peribadi;

x. Menjalankan aktiviti-aktiviti komersial dan politik;

xi. Melakukan aktiviti jenayah seperti menyebarkan bahan

yang membabitkan perjudian, senjata dan aktiviti

pengganas;

xii. Memuat naik, memuat turun, menghantar dan

menyimpan kad elektronik, video, lagu dan kepilan fail

melebihi saiz 2 megabait yang boleh mengakibatkan

kelembapan perkhidmatan dan operasi system rangkaian

computer; dan

xiii. Menggunakan modem peribadi untuk membuat capaian

terus ke Internet.

h. Maklumat lanjut mengenai keselamatan Internet bolehlah merujuk kepada Pekeliling Kemajuan Pentadbiran Awam Bilangan 1 Tahun 2003 bertajuk “Garis Panduan Mengenai Tatacara Penggunaan Internet dan Mel Elektronik di Agensi-agensi Kerajaan”.

0704 Kawalan Capaian Sistem Pengoperasian Objektif: Menghalang capaian tidak sah dan tanpa kebenaran ke atas sistem pengoperasian.

070401 Capaian Sistem Pengoperasian Tanggungjawab

Kawalan capaian sistem pengoperasian perlu bagi mengelakkan sebarang capaian yang tidak dibenarkan. Kemudahan keselamatan dalam sistem operasi perlu digunakan untuk menghalang capaian ke sumber sistem komputer. Kemudahan ini juga perlu bagi:

a. Mengenalpasti sama ada identiti, stesen kerja atau lokasi bagi setiap pengguna; dan

b. Merekodkan capaian yang berjaya dan gagal.

Kaedah-kaedah yang digunakan hendaklah mampu menyokong perkara-perkara berikut:

a. Mengesahkan pengguna yang dibenarkan; b. Mengaktifkan jejak audit ke atas semua capaian sistem

operasi terutama pengguna bertaraf super user; dan

Pentadbir Sistem ICT, Pentadbir Rangkaian dan Komunikasi, Pentadbir Aplikasi dan Pangkalan Data dan

Pentadbir Laman Web


4.0 25 JULAI 2013 55 / 75

c. Menjana amaran (alert) sekiranya berlaku perlanggaran ke

atas peraturan keselamatan sistem.

Perkara-perkara yang perlu dipatuhi adalah seperti berikut: a. Mengawal capaian ke atas sistem operasi menggunakan

prosedur log on yang terjamin; b. Mewujudkan satu pengenalan diri (ID) yang unik

untuk setiap pengguna dan hanya digunakan oleh pengguna berkenaan sahaja; dan

c. Menghadkan dan mengawal penggunaan program.

070402 Kad Pintar Tanggungjawab

Perkara-perkara yang perlu dipatuhi adalah seperti berikut: a. Penggunaan kad pintar Kerajaan Elektronik (KadEG)

hendaklah digunakan bagi capaian sistem Kerajaan Elektronik yang dikhususkan;

b. Kad pintar hendaklah disimpan di tempat selamat bagi

mengelakkan sebarang kecurian atau digunakan oleh pihak lain;

c. Perkongsian kad pintar untuk sebarang capaian sistem

adalah tidak dibenarkan sama sekali. Kad pintar yang salah kata laluan sebanyak tiga (3) kali cubaan akan disekat; dan

d. Sebarang kehilangan, kerosakan dan kata laluan disekat

perlu dimaklumkan kepada pihak Khidmat Bantuan SMPKE, PPM.

Pengguna PPM

0705 Kawalan Capaian Aplikasi dan Maklumat Objektif: Melindungi sistem maklumat dan aplikasi sedia ada dari sebarang bentuk capaian yang tidak dibenarkan yang boleh menyebabkan risiko keselamatan.

070501 Capaian Aplikasi dan Maklumat Tanggungjawab

Capaian sistem dan aplikasi di PPM adalah terhad kepada pengguna dan tujuan yang dibenarkan. Bagi memastikan kawalan capaian sistem dan aplikasi adalah kukuh, langkah-langkah berikut hendaklah dipatuhi:

a. Pengguna hanya boleh menggunakan sistem maklumat dan aplikasi yang dibenarkan mengikut tahap capaian dan sensitiviti maklumat yang telah ditentukan;

b. Setiap aktiviti capaian sistem maklumat dan aplikasi

pengguna hendaklah direkodkan (log) bagi mengesan aktiviti-aktiviti yang tidak diingini;

c. Menghadkan capaian kepada tiga (3) kali percubaan ke atas

sistem dan aplikasi yang tertentu sahaja. Jika gagal, akaun pengguna akan disekat;

d. Memastikan kawalan sistem rangkaian adalah kukuh dan lengkap dengan ciri-ciri keselamatan bagi mengelakkan aktiviti atau capaian yang tidak sah;

e. Capaian sistem maklumat dan aplikasi melalui jarak jauh

adalah digalakkan dengan syarat MESTI mematuhi dasar keselamatan yang ditetapkan;

Pentadbir Sistem ICT, ICTSO


4.0 25 JULAI 2013 56 / 75

f. Logout secara automatik apabila tiada aktiviti dalam tempoh

yang ditetapkan bagi sistem dan aplikasi yang tertentu sahaja; dan

g. Capaian dan transaksi secara atas talian yang melibatkan

aplikasi mobile perlulah dilengkapi dengan ciri-ciri keselamatan bagi mengelakkan sebarang aktiviti atau capaian yang tidak sah.

0706 Alatan Mudah Alih dan Kerja Jarak Jauh

Objektif: Memastikan keselamatan maklumat semasa menggunakan alatan mudah alih dan kemudahan kerja jarak jauh

070601 Penggunaan Alatan Mudah Alih Tanggungjawab

Perkara-perkara yang perlu dipatuhi adalah seperti berikut: a. Penggunaan alatan mudah alih adalah dibenarkan dengan

mematuhi peraturan sedia ada yang berkuatkuasa; b. Pengguna adalah bertanggungjawab melindungi alatan

mudah alih pada setiap masa dan dimana sahaja;

c. Alatan mudah alih PPM perlulah dikawal dengan kata laluan;

d. Alatan mudah alih PPM mestilah dimasukkan kawalan keselamatan yang sepatutnya seperti perisian antivirus sebelum dipakai oleh pengguna. Alatan ini mestilah diselaras untuk menerima kemaskinian keselamatan secara automatik;

e. Pengguna mesti mematuhi peraturan yang sedia ada bagi memastikan keselamatan dan kerahsiaan semua maklumat sensitif di PPM yang dimuat turun ke dalam alatan mudah alih; dan

f. Alatan mudah alih pengguna luar hanya boleh dihubungkan ke rangkaian PPM (wayar dan tanpa wayar) dengan kebenaran Pentadbir Sistem ICT.

Semua Pengguna

070602 Perubahan Konfigurasi Alatan Mudah Alih Tanggungjawab


a. Pengguna dilarang untuk menukar sebarang konfigurasi dan

ketetapan (setting) sistem pada alatan mudah alih yang dipunyai oleh PPM kecuali mendapat kebenaran untuk tugas-tugas rasmi dan dibenarkan sahaja;

b. Pengguna alatan mudah alih yang dibekalkan oleh PPM adalah dilarang untuk mengubahsuai komponen alatan tersebut. (contoh: menambah RAM, menukar CPU dan sebagainya);

c. Jika perubahan perlu dilakukan, ia perlu mendapatkan kebenaran daripada Pegawai Aset ICT terlebih dahulu; dan

d. PPM berhak untuk mengaudit penggunaan alatan tersebut pada bila-bila masa.

Semua Pengguna


4.0 25 JULAI 2013 57 / 75

070603 Hubungan Rangkaian Alatan Mudah Alih Tanggungjawab


a. Pengguna mestilah tidak menghubungkan alatan mudah alih

mereka kepada rangkaian tidak selamat (unsecured), yang mana ia boleh mendedahkan maklumat sensitif kepada pihak yang tidak dibenarkan. Rangkaian luar dari batasan PPM adalah diklasifikasikan sebagai rangkaian tidak selamat (unsecured);

b. Maklumat PPM hanya boleh dihantar menggunakan rangkaian tanpa wayar dari alatan mudah alih hanya dengan menggunakan protokol yang dibenarkan dan teknik enkripsi yang dibenarkan sahaja;

c. Pengguna yang dibenarkan boleh menghubungkan alatan mudah alih mereka kepada access points (AP) yang disediakan;

d. Pengguna dilarang dari menyambungkan AP persendirian kepada rangkaian PPM. Jika alatan ini dikesan, PPM boleh menghalang alatan tersebut; dan

e. Pengguna mestilah memastikan hubungan rangkaian tanpa wayar ditutup bila tidak digunakan. Mod komunikasi ini boleh

mendatangkan risiko kepada pemintasan isyarat yang terlarang.

Semua Pengguna

070604 Kawalan Fizikal Alatan Mudah Alih Tanggungjawab

Perkara-perkara yang perlu dipatuhi adalah seperti berikut: a. Pengguna mestilah memastikan alatan mudah alih selamat

secara fizikal pada setiap masa; dan b. Perlindungan yang sesuai mestilah diambil untuk

menghalang dari cubaan untuk melihat maklumat yang sensitif dan sulit di tempat awam.

Semua Pengguna

070605 Kawalan Am Alatan Mudah Alih Tanggungjawab


a. Alatan mudah alih yang memerlukan pembaikan mestilah dilaporkan kepada Pentadbir Sistem ICT;

b. Jika berlaku kehilangan alatan mudah alih, pengguna

mestilah melaporkan kepada pihak polis dan Pegawai Aset ICT untuk tindakan selanjutnya; dan

c. Apabila pengguna PPM bertukar, bersara atau ditamatkan perkhidmatan, semua alatan mudah alih yang dibekalkan oleh PPM mestilah dikembalikan.

Semua Pengguna

070606 Kerja Jarak Jauh (Teleworking) Tanggungjawab

Tindakan perlindungan hendaklah diambil bagi menghalang kehilangan perkakasan ICT, pendedahan maklumat dan capaian tidak sah serta salah guna kemudahan.

Kemudahan kerja jarak jauh (teleworking) dan VPN adalah bertujuan untuk memberi kemudahan kepada pegawai supaya dapat bekerja di luar waktu pejabat secara atas talian supaya dapat meningkatkan produktiviti kerja.

Semua Pengguna


4.0 25 JULAI 2013 58 / 75

Berikut adalah langkah yang perlu dipatuhi untuk kemudahan kerja jarak jauh:

a. Peraturan dan garis panduan keselamatan yang bersesuaian untuk melindungi daripada risiko penggunaan alatan mudah alih dan kemudahan komunikasi; dan

b. Peraturan sedia ada untuk memastikan persekitaran

teleworking adalah sesuai dan selamat. Manakala berikut adalah langkah yang perlu dipatuhi untuk menggunakan perkhidmatan VPN: a. Pengguna PPM mestilah diberikan capaian VPN berdasarkan

fungsi kerja mereka untuk memastikan kerahsiaan dan

integriti data yang dihantar pada rangkaian tersebut;

b. Pengguna PPM mestilah ditentusahkan didalam persekitaran VPN sebelum dibenarkan untuk mencapai aset ICT di PPM dengan menggunakan kaedah penyulitan (encryption) yang telah ditetapkan;

c. Penggunaan perkhidmatan ini hendaklah mendapat kebenaran daripada Pengurus ICT; dan

d. Pengguna PPM yang diberi hak adalah bertanggungjawab

sepenuhnya ke atas penggunaan kemudahan ini.


4.0 25 JULAI 2013 60 / 75

PERKARA 08 - PEMBANGUNAN DAN PENYELENGGARAAN SISTEM

0801 Keselamatan Dalam Membangunkan Sistem dan Aplikasi Objektif : Memastikan sistem yang dibangunkan sendiri atau pembekal mematuhi ciri-ciri keselamatan ICT yang ditetapkan.

080101 Keperluan Keselamatan Sistem Maklumat

Tanggungjawab

Bagi tujuan keselamatan sistem PPM, prosedur-prosedur perlu dipatuhi seperti berikut:

a. Perolehan, pembangunan, penambahbaikan dan penyelenggaraan sistem hendaklah mengambil kira kawalan keselamatan bagi memastikan tidak wujudnya sebarang ralat yang boleh mengganggu pemprosesan dan ketepatan maklumat;

b. Ujian keselamatan hendaklah dijalankan ke atas :

i. Sistem input untuk menyemak pengesahan dan

integriti data yang dimasukkan; ii. Sistem pemprosesan untuk menentukan sama

ada program berjalan dengan betul dan

sempurna; dan iii. Sistem output untuk memastikan data yang telah

diproses adalah tepat; c. Aplikasi perlu melalui proses semakan pengesahan dan

validasi untuk mengelakkan sebarang kerosakan maklumat akibat kesilapan pemprosesan atau perlakuan yang disengajakan; dan

d. Semua sistem yang dibangunkan sama ada secara dalaman

atau sebaliknya hendaklah diuji terlebih dahulu bagi memastikan sistem berkenaan memenuhi keperluan

keselamatan yang telah ditetapkan sebelum digunakan.

Pengurus ICT, ICTSO, Pentadbir Laman Web,

Pentadbir Sistem Aplikasi dan Pangkalan Data dan Pembekal

080102 Pengesahan Data Input dan Output Tanggungjawab

Perkara-perkara yang perlu dipatuhi adalah seperti berikut: a. Data input bagi aplikasi perlu disahkan bagi memastikan

data adalah betul dan bersesuaian; dan b. Data output daripada aplikasi perlu disahkan bagi

memastikan maklumat yang dihasilkan adalah betul dan tepat.

Pentadbir Laman Web, Pentadbir Sistem Aplikasi

dan Pangkalan Data

0802 Kriptografi Objektif: Melindungi kerahsiaan, integriti dan kesahihan maklumat.

080201 Pengurusan Infrastruktur Kekunci Awam (PKI) Tanggungjawab

Pengurusan kekunci hendaklah dilaksanakan dengan berkesan dan selamat bagi melindungi kekunci berkenaan dari diubah, di musnah dan didedahkan sepanjang tempoh sah kekunci tersebut. Perkara-perkara yang perlu dipatuhi adalah seperti berikut: a. Sebarang transaksi melalui aplikasi tertentu sahaja mestilah

dilindungi melalui penggunaan kekunci awam bagi

Semua Pengguna


4.0 25 JULAI 2013 61 / 75

memastikan keselamatan data terjamin; dan

b. Kekunci awam yang digunapakai dalam aplikasi yang terlibat perlu diakui sah oleh standard tempatan dan antarabangsa.

0803 Keselamatan Sistem Fail Objektif: Memastikan supaya sistem fail dikawal dan dikendalikan dengan baik dan selamat.

080301 Kawalan Sistem Fail Tanggungjawab

Sistem fail perlu dikawal dan dikendalikan dengan baik dan selamat. Perkara berikut perlu dipatuhi : a. Proses konfigurasi sistem fail hanya boleh dilakukan oleh

Pentadbir Sistem Aplikasi dan Pangkalan Data yang bertanggungjawab;

b. Kod atau aturcara sistem yang telah dikemas kini hanya boleh dilaksanakan atau digunakan selepas diuji;

c. Mengawal capaian ke atas kod atau aturcara program bagi

mengelakkan kerosakan, pengubahsuaian tanpa kebenaran, penghapusan dan kecurian;

d. Data ujian yang sesuai perlu dipilih, dilindungi dan dikawal; dan

e. Mengaktifkan audit log bagi merekodkan semua aktiviti

pengemaskinian untuk tujuan statistik, pemulihan dan keselamatan.

Pentadbir Sistem Aplikasi dan Pangkalan Data

0804 Keselamatan Dalam Proses Pembangunan dan Sokongan

Objektif: Menjaga dan menjamin keselamatan sistem maklumat dan aplikasi.

080401 Prosedur Kawalan Perubahan

Tanggungjawab

Perkara-perkara yang perlu dipatuhi adalah seperti berikut: a. Perubahan atau pengubahsuaian ke atas sistem maklumat

dan aplikasi hendaklah dikawal, diuji, direkodkan dan disahkan sebelum diguna pakai;

b. Aplikasi kritikal perlu dikaji semula dan diuji apabila

terdapat perubahan kepada sistem pengoperasian untuk memastikan tiada kesan yang buruk terhadap operasi dan keselamatan PPM. Pemilik sistem perlu bertanggungjawab memantau penambahbaikan dan pembetulan yang dilakukan oleh pembekal;

c. Mengawal perubahan dan/atau pindaan ke atas pakej perisian dan memastikan sebarang perubahan adalah terhad mengikut keperluan sahaja;

d. Akses kepada kod sumber (source code) aplikasi perlu

dihadkan kepada pengguna yang diizinkan; dan e. Menghalang sebarang peluang untuk membocorkan

maklumat.

Pemilik Sistem


4.0 25 JULAI 2013 62 / 75

080402 Pembangunan Secara Outsource

Tanggungjawab

Pembangunan perisian aplikasi secara outsource perlu dipantau oleh pihak SMPKE. Semua source code perlu diserahkan kepada pihak SMPKE dan ia adalah menjadi hak milik SMPKE.

Pengurus ICT, Pentadbir Sistem Aplikasi dan Pangkalan Data

0805 Kawalan Teknikal Ketertedahan (Vulnerability) Objektif: Memastikan kawalan teknikal keterdedahan adalah berkesan, sistematik dan berkala dengan mengambil langkah-langkah yang bersesuaian untuk menjamin keberkesanannya.

080501 Kawalan dari Ancaman Teknikal Tanggungjawab

Kawalan teknikal keterdedahan (vulnerability) ini perlu dilaksanakan ke atas sistem pengoperasian dan sistem aplikasi yang digunakan.

Perkara-perkara yang perlu dipatuhi adalah seperti berikut: a. Memperoleh maklumat teknikal keterdedahan yang

tepat pada ketika itu ke atas sistem maklumat yang digunakan;

b. Menilai tahap pendedahan bagi mengenal pasti tahap risiko

yang bakal dihadapi; dan c. Mengambil langkah-langkah kawalan untuk mengatasi

risiko berkaitan.

ICTSO dan Pentadbir Sistem ICT


4.0 25 JULAI 2013 64 / 75

PERKARA 09 - PENGURUSAN DAN PENGENDALIAN INSIDEN KESELAMATAN ICT

0901 Mekanisme Pelaporan Insiden Keselamatan ICT Objektif : Memastikan insiden dikendalikan dengan cepat dan berkesan bagi meminimumkan kesan insiden keselamatan ICT.

090101 Mekanisme Pelaporan Tanggungjawab

Insiden keselamatan ICT bermaksud musibah (adverse event) yang berlaku ke atas aset ICT atau ancaman kemungkinan berlaku kejadian tersebut. Ia mungkin suatu perbuatan yang melanggar DKICT sama ada yang ditetapkan secara tersurat atau tersirat. Insiden keselamatan ICT seperti berikut hendaklah dilaporkan kepada ICTSO dan CERT PPM dengan kadar segera:

a. Maklumat didapati hilang, didedahkan kepada pihak-

pihak yang tidak diberi kuasa atau, disyaki hilang atau didedahkan kepada pihak-pihak yang tidak diberi kuasa;

b. Sistem maklumat digunakan tanpa kebenaran atau

disyaki sedemikian; c. Kata laluan atau mekanisme kawalan akses hilang,

dicuri atau didedahkan, atau disyaki hilang, dicuri atau didedahkan;

d. Berlaku kejadian sistem yang luar biasa seperti

kehilangan fail, sistem kerap kali gagal dan komunikasi tersalah hantar; dan

e. Berlaku percubaan menceroboh, penyelewengan dan

insiden-insiden yang tidak dijangka.

ICTSO, CERT PPM dan Pengguna PPM

0902 Pengurusan Maklumat Insiden Keselamatan ICT

Objektif : Memastikan pendekatan yang konsisten dan efektif digunakan dalam pengurusan maklumat insiden keselamatan ICT.

090201 Prosedur Pengurusan Maklumat Insiden Keselamatan ICT Tanggungjawab

Maklumat mengenai insiden keselamatan ICT yang dikendalikan perlu disimpan dan dianalisis bagi tujuan perancangan, tindakan pengukuhan dan pembelajaran bagi

mengawal kekerapan, kerosakan dan kos kejadian insiden yang akan datang. Maklumat ini juga digunakan untuk mengenal pasti insiden yang kerap berlaku atau yang memberi kesan serta impak yang tinggi kepada PPM. Bahan-bahan bukti berkaitan insiden keselamatan ICT hendaklah disimpan dan disenggarakan. Kawalan-kawalan yang perlu diambil kira dalam pengumpulan maklumat dan pengurusan pengendalian insiden adalah seperti berikut: a. Merekod, menyalin, menyimpan dan melindungi integriti

semua bahan bukti;

b. Mengaktifkan Business Continuity Centre (BCC) sekiranya perlu;

c. Menyelaras tindakan pemulihan segera; dan d. Memaklumkan atau mendapatkan nasihat pihak berkuasa

perundangan sekiranya perlu.

CERT PPM


4.0 25 JULAI 2013 66 / 75

PERKARA 10 - PENGURUSAN KESINAMBUNGAN PERKHIDMATAN

1001 Pelan Kesinambungan Perkhidmatan Objektif : Menjamin operasi perkhidmatan agar tidak tergendala dan penyampaian perkhidmatan yang berterusan kepada pelanggan.

100101 Pelan Pemulihan Bencana

Tanggungjawab

Pelan Pemulihan Bencana merujuk kepada dokumen pelan yang menetapkan sumber, tindakan, tanggungjawab dan data yang diperlukan untuk mengurus proses pemulihan selepas berlaku gangguan dalam perkhidmatan PPM. Pelan ini direka bentuk untuk membantu PPM mengembalikan semula proses perkhidmatan dalam tempoh ditetapkan untuk pemulihan bencana.

Pelan Pemulihan Bencana hendaklah dibangunkan untuk menentukan pendekatan yang menyeluruh diambil bagi mengekalkan kesinambungan perkhidmatan. Ini bertujuan memastikan tiada gangguan kepada proses-proses dalam penyediaan perkhidmatan organisasi. Pelan ini mestilah diluluskan oleh CIO dan perkara-perkara berikut perlu diberi perhatian: a. Membentuk jawatankuasa bagi merangka pelan kontigensi

yang komprehensif dan mengenal pasti semua tanggungjawab dan prosedur kecemasan atau pemulihan;

b. Mengenal pasti semua tanggungjawab dan prosedur kecemasan atau pemulihan;

c. Mengenal pasti peristiwa yang boleh mengakibatkan gangguan terhadap proses bisnes bersama dengan kebarangkalian dan impak gangguan yang boleh menjejaskan penyampaian perkhidmatan;

d. Melaksanakan prosedur-prosedur kecemasan bagi

membolehkan pemulihan dapat dilakukan secepat mungkin atau dalam jangka masa yang telah ditetapkan;

e. Mendokumentasikan proses dan prosedur yang telah dipersetujui;

f. Memastikan program latihan kepada pengguna mengenai prosedur kecemasan;

g. Memastikan pelaksanaan aktiviti backup dan restoration bagi memastikan pemulihan secara menyeluruh tanpa menjejaskan penyampaian perkhidmatan;

h. Menganalisa kontigensi/kemusnahan yang berpotensi

mengecam fungsi kritikal PPM dan memilih strategi pelan kontigensi yang bersesuaian;

i. Memastikan simulasi pengujian pelaksanaan Pelan Pemulihan Bencana dilaksanakan;

j. Senarai aktiviti teras yang dianggap kritikal mengikut susunan keutamaan; dan

k. Senarai personel PPM dan pembekal beserta nombor yang boleh dihubungi (faksimili, telefon dan e-mel). Senarai kedua juga hendaklah disediakan sebagai menggantikan personel tidak dapat hadir untuk menangani insiden.

Jawatankuasa Kerja Pelan Pemulihan Bencana


4.0 25 JULAI 2013 67 / 75

Pelan Pemulihan Bencana perlu disimpan di lokasi berasingan untuk mengelakkan kerosakan akibat bencana di lokasi utama. Salinan Pelan Pemulihan Bencana hendaklah sentiasa dikemas

kini dan dilindungi. Penilaian secara berkala hendaklah dilaksanakan untuk memastikan pelan tersebut bersesuaian dan memenuhi tujuan dibangunkan.


4.0 25 JULAI 2013 68 / 75


4.0 25 JULAI 2013 70 / 75

PERKARA 11 – PEMATUHAN

1101 Pematuhan dan Keperluan Perundangan Objektif: Meningkatkan tahap keselamatan ICT bagi mengelak dari pelanggaran kepada DKICT PPM.

110101 Pematuhan Dasar

Tanggungjawab

Pengguna PPM hendaklah membaca, memahami dan mematuhi DKICT PPM dan undang-undang atau peraturan-peraturan lain yang berkaitan. Semua aset ICT di PPM termasuk maklumat rasmi yang disimpan di dalamnya adalah hak milik Kerajaan. KSUS berhak untuk memantau aktiviti pengguna untuk

mengesan penggunaan selain dari tujuan yang telah ditetapkan. Sebarang penggunaan aset ICT PPM selain daripada maksud dan tujuan yang telah ditetapkan, adalah merupakan satu penyalahgunaan sumber PPM.

Semua Pengguna

110102 Pematuhan Dasar, Piawaian dan Keperluan Teknikal

Tanggungjawab

Pengurus ICT hendaklah memastikan semua prosedur keselamatan ICT mematuhi dasar, piawaian dan keperluan teknikal mengikut bidang tugas masing-masing. Sistem maklumat perlu diperiksa secara berkala bagi mematuhi standard pelaksanaan keselamatan ICT.

Pengurus ICT

110103 Pematuhan Keperluan Audit Tanggungjawab

Pematuhan kepada keperluan audit perlu bagi meminimumkan ancaman dan memaksimumkan keberkesanan dalam proses audit sistem maklumat. Keperluan audit dan sebarang aktiviti pemeriksaan ke atas pengoperasian sistem perlu dirancang dan dipersetujui oleh CIO bagi mengurangkan kebarangkalian berlaku gangguan dalam penyediaan perkhidmatan. Capaian ke atas alat bantu

yang digunakan untuk tujuan audit sistem maklumat perlu dijaga dan diselia bagi mengelakkan berlaku penyalahgunaan. Senarai perundangan dan peraturan yang perlu dipatuhi oleh semua pengguna PPM adalah seperti di para 110104.

Semua Pengguna

110104 Keperluan Perundangan

Tanggungjawab

Berikut adalah keperluan perundangan atau peraturan-peraturan lain berkaitan yang perlu dipatuhi oleh semua pengguna PPM: i. Arahan Keselamatan Kerajaan; ii. Pekeliling Am Bilangan 3 Tahun 2000 - Rangka Dasar

Keselamatan Teknologi Maklumat dan Komunikasi Kerajaan bertarikh 1 Oktober 2000;

iii. Pekeliling Am Bilangan 1 Tahun 2001 - Mekanisme

Pelaporan Insiden Keselamatan Teknologi Maklumat

Semua Pengguna


4.0 25 JULAI 2013 71 / 75

dan Komunikasi (ICT) bertarikh 4 April 2001;

iv. Pekeliling Am Bil 1 Tahun 2006 – Pengurusan Laman Web/Portal Sektor Awam 6 November 2006;

v. Malaysian Public Sector Management of Information

and Communications Technology Security Handbook (MyMIS) bertarikh 15 Januari 2002;

vi. Pekeliling Kemajuan Pentadbiran Awam Bilangan 1

Tahun 2003 - Garis Panduan Mengenai Tatacara Penggunaan Internet dan Mel Elektronik di Agensi-agensi Kerajaan bertarikh 28 November 2003;

vii. Surat Pekeliling Am Bilangan 6 Tahun 2005 - Garis

Panduan Penilaian Risiko Keselamatan Maklumat

Sektor Awam bertarikh 7 November 2005;

viii. Surat Pekeliling Am Bil. 4 Tahun 2006 – Pengurusan Pengendalian Insiden Keselamatan Teknologi Maklumat dan Komunikasi (ICT) Sektor Awam bertarikh 9 November 2006;

ix. Surat Pekeliling Am Bilangan 3 Tahun 2009 - Garis

Panduan Penilaian Tahap Keselamatan Rangkaian dan Sistem ICT Sektor Awam bertarikh 17 November 2009;

x. Surat Arahan Ketua Setiausaha Negara - Langkah-langkah untuk Memperkukuhkan Keselamatan Rangkaian Setempat Tanpa Wayar Di Agensi-Agensi Kerajaan bertarikh 20 Oktober 2006;

xi. Surat Arahan Ketua Pengarah MAMPU - Langkah-

langkah Mengenai Penggunaan Mel Elektronik Di Agensi-Agensi Kerajaan bertarikh 1 Jun 2007;

xii. Surat Arahan Ketua Pengarah MAMPU - Langkah-

langkah Mengenai Pemantapan Mel Elektronik Di

Agensi-Agensi Kerajaan bertarikh 23 November 2007; xiii. Surat Arahan Ketua Pengarah MAMPU - Pengaktifan

Fail Log Server bertarikh 23 Mac 2009;

xiv. Surat Arahan Ketua Pengarah MAMPU - Penggunaan Media Jaringan Sosial Di Sektor Awam 19 November 2009;

xv. Surat Arahan Ketua Pengarah MAMPU - Pemantapan

Penggunaan dan Pengurusan E-mel bertarikh 1 Julai 2010;

xvi. Surat Arahan Ketua Pengarah MAMPU Bil 3 Tahun

2010 - Perlaksanaan Pensijilan MS ISO/IEC 27001:2007 Dalam Sektor Awam bertarikh 24 November 2010;

xvii. Garis Panduan IT Outsourcing 2006 bertarikh Oktober

2006;

xviii. Garis Panduan Penggunaan ICT Ke Arah ICT Hijau Dalam Perkhidmatan Awam 2010 bertarikh 3 Ogos 2010;

xix. Emel Edaran Ketua Pengarah MAMPU - Amalan

Terbaik Penggunaan Media Jaringan Sosial Di Sektor Awam bertarikh 8 April 2011;


4.0 25 JULAI 2013 72 / 75

xx. Arahan Teknologi Maklumat 2007 bertarikh 19 Disember 2007;

xxi. Surat pekeliling Perbendaharaan Bil.2/1995

(Tambahan pertama) – Tatacara Penyediaan, Penilaian dan Penerimaan Tender bertarikh 24 Jun 2008;

xxii. Pekeliling Perkhidmatan Bil 5 Tahun 2007 - Panduan

Pengurusan Pejabat bertarikh 30 April 2007; xxiii. Pekeliling Perbendaharaan Bil 5 Tahun 2007 -

Tatacara Pengurusan Aset Alih Kerajaan bertarikh 2 Mac 2007;

xxiv. Pekeliling Am Bil 1 Tahun 2009 - Manual Pengurusan

Aset Menyeluruh Kerajaan bertarikh 27 Mac 2009; xxv. Arahan Perbendaharaan bertarikh 31 Julai 2008; xxvi. Akta Tandatangan Digital 1997 bertarikh 30 Jun

1997; xxvii. Akta Jenayah Komputer 1997 bertarikh 30 Jun 1997; xxviii. Akta Hak cipta (Pindaan) Tahun 1997 bertarikh 1 Mac

2012;

xxix. Akta Komunikasi dan Multimedia 1998 bertarikh 15 Oktober 1998;

xxx. Akta Suruhanjaya Komunikasi dan Multimedia 1998

bertarikh 15 Oktober 1998;

xxxi. Akta Arkib Negara 2003; xxxii. Surat Akujanji; xxxiii. Fail Meja Kakitangan; dan

xxxiv. Prosedur dan SOP PPM.

110105 Pelanggaran Dasar

Tanggungjawab

Pelanggaran DKICT PPM boleh dikenakan tindakan tatatertib.

Semua Pengguna


4.0 25 JULAI 2013 74 / 75

LAMPIRAN A

AKUAN PEMATUHAN

DASAR KESELAMATAN ICT

PEJABAT PERDANA MENTERI

Saya, XXX, nombor kad pengenalan XXX yang dilantik sebagai XXX,

Bahagian XXX di Pejabat Yang Amat Berhormat Perdana Menteri

Malaysia dengan sesungguhnya mengaku bahawa saya telah membaca,

memahami dan akur akan peruntukan-peruntukan yang terkandung

dalam Dasar Keselamatan ICT PPM.

Saya sedar tindakan tatatertib boleh dikenakan ke atas saya sekiranya

saya didapati bersalah melanggar akuan yang telah saya tandatangani

ini.

Tandatangan Pegawai: Disahkan Oleh:

........................................ .......................................................................

(XXX) (XXX)

Ketua Pegawai Maklumat (CIO)

b.p Ketua Setiausaha Sulit kepada

YAB Perdana Menteri

Tarikh :


4.0 25 JULAI 2013 75 / 75

LAMPIRAN B

AKUAN PEMATUHAN

DASAR KESELAMATAN ICT

PEJABAT PERDANA MENTERI

Adalah saya xxx, nombor kad pengenalan xxx yang mewakili Syarikat xxx,

No Pendaftaran xxx dengan ini mengaku bahawa perhatian saya telah

ditarik kepada Dasar Keselamatan ICT Pejabat Perdana Menteri dan

bahawa saya faham dengan sepenuhnya akan segala yang dimaksudkan

dalam dasar tersebut.

Sekiranya saya atau mana-mana individu yang mewakili syarikat ini didapati

melanggar dasar yang telah ditetapkan, maka saya sebagai wakil syarikat

bersetuju tindakan undang-undang boleh diambil keatas sesiapa yang

terlibat mengikut peruntukan-peruntukan undang-undang sedia ada yang

sedang berkuatkuasa.

Tandatangan: Disahkan Oleh:

................................. ........................................................................

(xxx) (xxx)

Ketua Pegawai Maklumat (CIO)

b.p Ketua Setiausaha Sulit kepada

YAB Perdana Menteri

Tarikh :

Ini adalah dokumen Dasar Keselamatan ICT Pejabat · PDF fileIni adalah dokumen Dasar...

Documents

Transcript of Ini adalah dokumen Dasar Keselamatan ICT Pejabat · PDF fileIni adalah dokumen Dasar...