Pekeliling Ict Bil. 1 Tahun 2009-Dasar Keselamatan Ict

8/7/2019 Pekeliling Ict Bil. 1 Tahun 2009-Dasar Keselamatan Ict

1/72

Rujukan Kami : KP.BTMK(S)/1/08/007/01 JLD 2 ( 28 )Tarikh : Februari 2009

Semua Setiausaha / Pengarah Bahagian

Semua Pengarah Pelajaran Negeri

Kementerian Pelajaran Malaysia

PEKELILING ICT BIL. 1 TAHUN 2009

DASAR KESELAMATAN ICT (DKICT) KEMENTERIAN PELAJARANMALAYSIA

1. TUJUAN

1.1 Pekeliling ini bertujuan untuk menjelaskan Dasar Keselamatan ICT KPM sertaperkara perkara berkaitan yang perlu diberi pertimbangan dan diambil tindakan olehsemua agensi dibawah Kementerian Pelajaran Malaysia. Dasar Keselamatan ICT KPMadalah seperti di Lampiran kepada Pekeliling ini.

2. LATAR BELAKANG

2.1 Surat Pekeliling Am Bilangan 3 Tahun 2000 bertajuk Rangka DasarKeselamatan Teknologi Maklumat Dan Komunikasi Kerajaan yang dikeluarkanoleh Jabatan Perdana Menteri telah memberikan garis panduan kepada semua agensi agensi Kerajaan untuk merujuk dan mematuhi Dasar Keselamatan Teknologi Maklumatdan Komunikasi Kerajaan.

2.2 Selaras dengan ini, Pekeliling ICT KPM Bilangan 1 Tahun 2009 DasarKeselamatan ICT (DKICT) Kementerian Pelajaran Malaysia dikeluarkan sebagaimematuhi Dasar Keselamatan ICT di peringkat KPM.


2/72

3. DASAR KESELAMATAN ICT

3.1 Dasar Keselamatan ICT ini dirumus bagi memenuhi keperluan penguatkuasaan,kawalan dan langkah langkah yang menyeluruh untuk melindungi aset ICT Kerajaan.Perlindungan keselamatan ini perlu bersesuaian dengan nilai atau sensitiviti aset yangdimaksudkan. Ia juga perlu seimbang dengan kesan yang mungkin timbul akibatkegagalan perlindungan yang sesuai. Pernyataan dasar, prinsip, objektif dan skopdasar ini dijelaskan dalam lampiran kepada Pekeliling ini.

3.2 Dasar Keselamatan ICT yang disediakan bersama sama dengan Pekeliling inimeliputi:

Perkara 01 : Pembangunan Dan Penyelenggaraan DasarPerkara 02 : Organisasi Keselamatan

Perkara 03 : Kawalan Dan Pengelasan AsetPerkara 04 : Keselamatan Sumber ManusiaPerkara 05 : Keselamatan Fizikal Dan PersekitaranPerkara 06 : Pengurusan Operasi Dan KomunikasiPerkara 07 : Pengurusan Insiden Keselamatan ICTPerkara 08 : Kawalan CapaianPerkara 09 : Pembangunan Dan Penyelenggaraan SistemPerkara 10 : Pengurusan Kesinambungan Perkhidmatan

4. TANGGUNGJAWAB BAHAGIAN/AGENSI

4.1 Semua Bahagian/agensi dibawah KPM adalah dikehendaki mematuhi DasarKeselamatan ICT KPM dan melaksanakan tanggungjawab yang ditetapkan.Sehubungan dengan ini, semua Ketua Jabatan adalah diminta mengambil tindakan tindakan berikut:

i. Melantik seorang Pegawai Keselamatan ICT di kalangan pegawai kananyang bertanggungjawab dalam melaksanakan tindakan tindakan yangditetapkan dalam Dasar Keselamatan ICT (DKICT) KPM. Perlantikanpegawai ini dan sebarang pertukaran perlu dimaklumkan kepada MAMPUmelalui Bahagian Pengurusan Maklumat (BPM) KPM.

ii. Menyediakan semua infrastruktur keselamatan ICT menepati prinsip prinsipkeselamatan berpandukan DKICT KPM dan Arahan Keselamatan yangdisediakan oleh Ketua Pegawai Keselamatan Kerajaan.


3/72

iii. Menyedia dan mengkaji semula dokumen infrastruktur keselamatan ICT bagitujuan audit keselamatan ICT.

iv. Mengenal pasti bidang bidang keselamatan ICT yang perlu diberi perhatianrapi dan mengambil tindakan segera mengatasinya.

v. Memastikan tahap keselamatan ICT adalah terjamin setiap masa.

5. PEMATUHAN DASAR

5.1 Pematuhan adalah merupakan prinsip penting dalam menghindar dan mengesansebarang pelanggaran Dasar. Semua pengguna KPM tertakluk kepada pematuhanDasar Keselamatan ICT KPM.

6. PEMAKAIAN

6.1 Pekeliling ini adalah meliputi semua warga KPM kecuali Dewan Bahasa danPustaka (DBP), Institut Terjemahan Negara Malaysia (ITNM) dan Majlis PeperiksaanMalaysia (MPM).

7. TARIKH KUATKUASA

7.1 Pekeliling ini berkuatkuasa serta merta dari tarikh ia dikeluarkan.

Sekian, terima kasih.

BERKHIDMAT UNTUK NEGARA

(TAN SRI DR. ZULKURNAIN BIN HAJI AWANG )Ketua SetiausahaKementerian Pelajaran Malaysia


4/72

Salinan Kepada :

1. Ketua Pengarah Pelajaran Malaysia

2. Timbalan Timbalan Ketua SetiausahaKementerian Pelajaran Malaysia

3. Timbalan Timbalan Ketua Pengarah PelajaranKementerian Pelajaran Malaysia

4. SUSK Menteri Pelajaran Malaysia

5. SUSK Timbalan Timbalan Menteri Pelajaran Malaysia


5/72

DASAR KESELAMATAN ICT KPM

DASAR KESELAMATAN ICT

KEMENTERIAN PELAJARAN MALAYSIA

VERSI 1.3

FEBRUARI 2009

RUJUKAN VERSI TARIKH M/SURATDKICT KPM Versi 1.3 23/ 02/ 2009 1 dari 68


6/72


KANDUNGAN MUKA SURAT

TAFSIRAN 5 - 7

PENDAHULUAN

I. Pengenalan 8II. Objektif 8III. Skop 8IV. Prinsip-Prinsip 9

PERKARA 01 PEMBANGUNAN DAN PENYELENGGARAAN DASAR

Dasar Keselamatan ICT 121.1 Pelaksanaan Dasar 121.2 Penyebaran Dasar 121.3 Penyelenggaraan Dasar 121.4 Pemakaian Dasar 13

PERKARA 02 ORGANISASI KESELAMATAN

Struktur Organisasi Keselamatan 142.1 Ketua Setiausaha KPM 142.2 Jawatankuasa Penyelaras Keselamatan ICT 142.2.1 Ketua Pegawai Maklumat (CIO) 142.2.2 Pegawai Keselamatan ICT (ICTSO) 162.2.3 Pengurus Komputer 182.2.4 Pentadbir Sistem ICT 182.2.5 Penyelaras ICT Bahagian / JPN / PPD / IPG /

Kolej Matrikulasi / Sekolah 192.3 Pengguna ICT KPM 202.4 Keperluan Keselamatan Kontrak Dengan Pihak Ketiga 22

PERKARA 03 KAWALAN DAN PENGELASAN ASET

Akauntabiliti Aset 233.1 Aset ICT 233.2 Pengkelasan Maklumat 233.3 Pengendalian Maklumat 24



7/72


PERKARA 04 KESELAMATAN SUMBER MANUSIA

Keselamatan Sumber Manusia 254.1 Sebelum Berkhidmat 25

4.2 Dalam Perkhidmatan 254.3 Bertukar atau Tamat Perkhidmatan 26

PERKARA 05 KESELAMATAN FIZIKAL DAN PERSEKITARAN

Keselamatan Kawasan 275.1 Keselamatan Fizikal 275.2 Kawalan Masuk Fizikal 28

Keselamatan Aset ICT 295.3 Perkakasan 295.4 Dokumen 295.5 Media Storan 31

Keselamatan Persekitaran 325.6 Kawalan Persekitaran 325.7 Bekalan Kuasa 335.8 Prosedur Kecemasan 335.9 Keselamatan Kabel 345.10 Penyelenggaraan Peralatan ICT 355.11 Peminjaman Peralatan Untuk Kegunaan Di Luar Pejabat 355.12 Pengendalian Peralatan Luar Yang Dibawa Masuk 375.13 Pelupusan Peralatan 375.14 Clear Desk dan Clear Screen 37

PERKARA 06 PENGURUSAN OPERASI DAN KOMUNIKASI

Pengurusan Prosedur Operasi 396.1 Pengendalian Prosedur 396.2 Pengurusan Penyampaian Perkhidmatan Pihak Ketiga 39

6.3 Perancangan dan Penerimaan Sistem 416.4 Perlindungan dari Kod Jahat ( Malicious Code ) 426.5 Housekeeping 446.5.1 Penduaan ( Backup ) 446.5.2 Sistem Log 44

Pengurusan Rangkaian 466.6 Kawalan Infrastruktur Rangkaian 46

Pengurusan Media 486.7 Penghantaran dan Pemindahan 48

6.8 Pengendalian Media 48



8/72


Keselamatan Komunikasi Rangkaian 496.9 Internet 496.10 Mel Elektronik 49

PERKARA 07 PENGURUSAN INSIDEN KESELAMATAN ICT

Menangani Insiden Keselamatan ICT 507.1 Prosedur Pengurusan Insiden 507.2 Pelaporan Insiden 50

PERKARA 08 KAWALAN CAPAIAN

Kawalan Capaian 52

8.1 Keperluan Dasar 528.2 Pengurusan Capaian Pengguna 528.3 Tanggungjawab Pengguna 548.4 Kawalan Capaian Rangkaian 548.5 Kawalan Capaian Sistem Operasi 568.6 Kawalan Capaian Aplikasi dan Maklumat 588.7 Penggunaan Peralatan ICT Mudah Alih 58

PERKARA 09 PEMBANGUNAN DAN PENYELENGGARAAN SISTEM

Perolehan, Pembangunan dan Penyelenggaraan Sistem danAplikasi 60

9.1 Keperluan Keselamatan 609.2 Kawalan Kriptografi 609.3 Kawalan Perisian Operasi 629.4 Keselamatan Dalam Proses Pembangunan dan

Sokongan 62

PERKARA 10 PENGURUSAN KESINAMBUNGAN PERKHIDMATAN

Dasar Kesinambungan Perkhidmatan 6310.1 Pelan Kesinambungan Perkhidmatan 63

PERKARA 11 PEMATUHAN

Pematuhan dan Keperluan Perundangan 6411.1 Pematuhan Dasar 6411.2 Keperluan Perundangan 64



9/72


TAFSIRAN

Akaun pengguna Akaun e mel dan rangkaian.

Aset ICT Data, maklumat, perkakasan, perisian, aplikasi,dokumentasi dan sumber manusia serta premisberkaitan dengan ICT yang berada di bawahtanggungjawab KPM.

Dokumen Semua himpunan atau kumpulan bahan ataudokumen yang disimpan dalam bentuk mediacetak, salinan lembut ( soft copy ), elektronik, dalam

talian, kertas lutsinar, risalah atau slaid.Enkripsi Bermaksud menjadikan teks biasa ( plaintext )

kepada kod yang tidak dapat difahami dan kodyang tidak difahami ini akan menjadi versi tekscipher. Bagi mendapatkan semula teks biasatersebut, penyahsulitan digunakan.

Insiden Keselamatan Musibah ( adverse event ) yang berlaku ke atassistem maklumat dan komunikasi atau ancamankemungkinan berlaku kejadian tersebut.

Kawasan Kawasan-kawasan premis atau sebahagian dariTerperingkat premis di mana perkara-perkara terperingkat

disimpan atau diuruskan atau di mana kerjaterperingkat dijalankan.

Ketua Jabatan/Agensi Termasuk Ketua Setiausaha, Ketua Pengarah,Timbalan Ketua Setiausaha, Timbalan-timbalanKetua Pengarah, Setiausaha Bahagian, PengarahBahagian, Pengarah-pengarah Pelajaran Negeri,Pejabat Pelajaran Daerah, Institut PendidikanGuru, Kolej dan Sekolah-sekolah.

Kriptografi Satu sains penulisan kod rahsia yangmembolehkan penghantaran dan storan datadalam bentuk yang hanya difahami oleh pihakyang tertentu sahaja.



10/72


TAFSIRAN

Media storan Perkakasan yang berkaitan dengan penyimpanan

data dan maklumat seperti disket, kartrij, cakerapadat, cakera mudah alih, pita, cakera keras danpemacu pena.

Pengguna Kakitangan KPM, pembekal, pakar runding danpihak-pihak lain yang dibenarkan.

Peralatan Peralatan yang berfungsi untuk pengawalan,perlindungan pencegahan dan pengurusan tampalan seperti

firewall, router, proxy, antivirus dan peralatan-peralatan perlindungan yang lain.

Pihak Ketiga Pihak yang membekalkan perkhidmatan kepadaKPM.

Rahsia Besar Dokumen rasmi, maklumat rasmi dan bahan rasmiyang jika didedahkan tanpa kebenaran akanmenyebabkan kerosakan yang amat besar kepadaMalaysia.

Rahsia Dokumen rasmi, maklumat rasmi dan bahan rasmi

yang jika didedahkan tanpa kebenaran akanmembahayakan keselamatan negara,menyebabkan kerosakan besar kepadakepentingan dan martabat Malaysia atau memberikeuntungan besar kepada sesebuah kuasa asing.

Sulit Dokumen rasmi, maklumat rasmi dan bahan rasmiyang jika didedahkan tanpa kebenaran walaupuntidak membahayakan keselamatan negara tetapimemudaratkan kepentingan atau martabatMalaysia atau kegiatan Kerajaan atau orangperseorangan atau akan menyebabkan keadaanmemalukan atau kesusahan kepada pentadbiranatau akan menguntungkan sesebuah kuasa asing.



11/72


TAFSIRAN

Terhad Dokumen rasmi, maklumat rasmi dan bahan rasmi

selain daripada yang diperingkatkan Rahsia Besar,Rahsia atau Sulit tetapi berkehendakkan jugadiberi satu tahap perlindungan keselamatan.

Warga KPM Kakitangan KPM



12/72


13/72


PENDAHULUAN

IV. Prinsip-Prinsip

Prinsip-prinsip yang menjadi asas kepada Dasar Keselamatan ICT KPM

dan perlu dipatuhi adalah seperti berikut:

a. Akses Atas Dasar Perlu Mengetahui

Akses terhadap penggunaan aset ICT hanya diberikan untuk

tujuan spesifik dan dihadkan kepada pengguna tertentu atas

dasar perlu mengetahui sahaja. Ini bermakna akses hanyaakan diberikan sekiranya peranan atau fungsi pengguna

memerlukan maklumat tersebut. Pertimbangan untuk akses

adalah berdasarkan kategori maklumat seperti yang

dinyatakan di dalam dokumen Arahan Keselamatan

perenggan 53, muka surat 15;

b. Hak Akses Minimum

Hak akses kepada pengguna hanya diberi pada tahap yang

paling minimum iaitu untuk membaca dan/atau melihat sahaja.

Kelulusan adalah perlu untuk membolehkan pengguna

mewujud, menyimpan, mengemas kini, mengubah atau

membatalkan sesuatu maklumat. Hak akses akan dikaji darisemasa ke semasa berdasarkan kepada peranan dan

tanggungjawab pengguna/bidang tugas;

c. Akauntabiliti

Semua pengguna adalah bertanggungjawab ke atas semua

tindakannya terhadap aset ICT KPM;



14/72


PENDAHULUAN

d. Pengasingan

Tugas mewujud, memadam, kemas kini, mengubah dan

mengesahkan data perlu diasingkan bagi mengelakkan

daripada capaian yang tidak dibenarkan serta melindungi aset

ICT daripada kesilapan, kebocoran maklumat terperingkat

atau di manipulasi. Pengasingan juga merangkumi tindakan

memisahkan antara kumpulan operasi dan rangkaian;

e. Pengauditan

Pengauditan adalah tindakan untuk mengenal pasti insiden

berkaitan keselamatan atau mengenal pasti keadaan yang

mengancam keselamatan. Ia membabitkan pemeliharaan

semua rekod berkaitan tindakan keselamatan. Dengan itu,

aset ICT seperti komputer, pelayan( server ), router, firewall,IPS, Anti virus dan rangkaian hendaklah ditentukan dapat

menjana dan menyimpan log tindakan keselamatan atau audit

trail;

f. Pematuhan

Dasar Keselamatan ICT KPM hendaklah dibaca, difahami dandipatuhi bagi mengelakkan sebarang bentuk pelanggaran ke

atasnya yang boleh membawa ancaman kepada keselamatan

ICT;



15/72


PENDAHULUAN

g. Pemulihan

Pemulihan sistem amat perlu untuk memastikan

kebolehsediaan dan kebolehcapaian. Objektif utama adalah

untuk meminimumkan sebarang gangguan atau kerugian

akibat daripada ketidaksediaan. Pemulihan boleh dilakukan

melalui aktiviti penduaan ( backup ) dan pewujudan pelan

pemulihan bencana/kesinambungan perkhidmatan; dan

h. Saling Bergantungan

Setiap prinsip di atas adalah saling lengkap-melengkapi dan

bergantung antara satu sama lain. Dengan itu, tindakan

mempelbagaikan pendekatan dalam menyusun dan

mencorakkan sebanyak mungkin mekanisme keselamatan

adalah perlu bagi menjamin keselamatan yang maksimum.



16/72


PERKARA 01 PEMBANGUNAN DAN PENYELENGGARAAN DASAR

Dasar Keselamatan ICT

1.1 Pelaksanaan Dasar TanggungjawabKetua Setiausaha KPM adalah bertanggungjawab keatas pelaksanaan arahan dengan dibantu olehJawatankuasa Penyelaras Keselamatan ICT yangterdiri daripada Ketua Pegawai Maklumat (CIO),Pengurus Komputer, Pegawai Keselamatan ICT(ICTSO) dan lain-lain pegawai yang dilantik.

KetuaSetiausaha atauPegawai yangditurunkan kuasa

1.2 Penyebaran Dasar Tanggungjawab

Dasar ini bertujuan memastikan hala tuju pengurusankeselamatan kementerian untuk melindungi aset ICTselaras dengan keperluan perundangan.

Dasar ini perlu disebarkan kepada semua penggunaKPM (termasuk kakitangan, pembekal, pakar rundingdan lain-lain yang berurusan dengan KPM).

ICTSO

1.3 Penyelenggaraan Dasar Tanggungjawab

Dasar Keselamatan ICT KPM adalah tertakluk kepadasemakan dan pindaan dari semasa ke semasaselaras dengan perubahan teknologi, aplikasi,prosedur, perundangan dan kepentingan organisasi.

Prosedur yang berhubung dengan penyelenggaraanDasar Keselamatan ICT KPM adalah seperti berikut:

a. Mengkaji semula dasar ini sekurang-kurangnyasekali setahun bagi mengenalpasti danmenentukan perubahan yang diperlukan;

b. Mengemukakan cadangan pindaan secarabertulis kepada ICTSO untuk pembentangandan persetujuan Jawatankuasa Pemandu ICT(JPICT) Kementerian;

c. Memaklumkan perubahan yang telahdipersetujui oleh JPICT kepada semuapengguna.

ICTSO



17/72


1.4 Pemakaian Dasar TanggungjawabDasar Keselamatan ICT KPM adalah terpakai kepadasemua pengguna ICT KPM dan tiada pengecualiandiberikan.

SemuaPengguna KPM



18/72



Struktur Organisasi Keselamatan

Objektif : Menerangkan peranan dan tanggungjawab individu yangterlibat dengan lebih jelas dan teratur dalam mencapaiobjektif organisasi.

2.1 Ketua Setiausaha KPM TanggungjawabPeranan dan tanggungjawab Ketua Setiausahaadalah seperti berikut:

a. Memastikan pelaksanaan Jawatankuasa

Penyelaras Keselamatan ICT KPM;

b. Memastikan semua pengguna mematuhi Dasar Keselamatan ICT KPM;

c. Memastikan semua keperluan organisasi(sumber kewangan, sumber kakitangan danperlindungan keselamatan) adalah mencukupi;dan

d. Memastikan penilaian risiko dan programkeselamatan ICT dilaksanakan seperti yangditetapkan di dalam Dasar Keselamatan ICTKPM.

KetuaSetiausaha atauPegawai yangditurunkan kuasa

2.2 Jawatankuasa Penyelaras Keselamatan ICTObjektif : Menerangkan peranan dan tanggungjawab ahli pasukan

penyelaras keselamatan KPM

2.2.1 Ketua Pegawai Maklumat (CIO) TanggungjawabPeranan dan tanggungjawab CIO adalah sepertiberikut:

a. Mewujud dan mengetuai pasukan penyelaraskeselamatan ICT KPM;

b. Menasihati Ketua Setiausaha KPM dalammelaksanakan tugas-tugas yang melibatkankeselamatan ICT ;

CIO



19/72


c. Menentukan keperluan keselamatan ICT;

d. Menyelaras pembangunan dan pelaksanaan

pelan latihan dan program kesedaranmengenai keselamatan ICT; dan

e. Memastikan semua pengguna memahamiperuntukan di bawah Dasar Keselamatan ICTKPM.



20/72



2.2.2 Pegawai Keselamatan ICT (ICTSO) Tanggungjawab

Peranan dan tanggungjawab ICTSO adalah sepertiberikut:

a. Mengurus program-program keselamatan ICT;

b. Menguatkuasa dan memantau pematuhan keatas Dasar Keselamatan ICT ;

c. Memberi penerangan dan pendedahan

berkenaan Dasar Keselamatan ICT kepadasemua pengguna;

d. Mewujudkan garis panduan, prosedur dantatacara selaras dengan keperluan Dasar Keselamatan ICT;

e. Menjalankan pengurusan risiko;

f. Menjalankan audit, mengkaji semula, merumustindak balas pengurusan KPM berdasarkanhasil penemuan/keperluan semasa danmenyediakan laporan mengenainya;

g. Memberi amaran terhadap kemungkinanberlakunya ancaman berbahaya seperti virusdan memberi khidmat nasihat sertamenyediakan langkah-langkah perlindunganyang bersesuaian;

h. Melaporkan insiden keselamatan ICT kepadaPasukan Tindak balas Insiden KeselamatanICT (GCERT) MAMPU dan memaklumkannyakepada CIO;

i. Mengenal pasti punca ancaman atau insidenkeselamatan ICT dan melaksanakan langkah-langkah baik pulih dengan segera;

ICTSO



21/72


j. Memperakui proses pengambilan tindakantatatertib ke atas pengguna yang melanggar Dasar Keselamatan ICT KPM; dan

k. Membangun, menyelaras dan melaksana pelanlatihan dan program kesedaran keselamatanICT.



22/72



2.2.3 Pengurus Komputer Tanggungjawab

Peranan dan tanggungjawab Pengurus Komputer adalah seperti berikut:

a. Memahami dan mematuhi Dasar KeselamatanICT KPM;

b. Menentukan kawalan akses semua penggunaterhadap aset ICT KPM;

c. Melaporkan sebarang perkara atau ancamanke atas keselamatan ICT kepada ICTSO; dan

d. Menyimpan rekod, bahan bukti dan laporanterkini mengenai ancaman keselamatan ICTKPM.

PengurusKomputer

2.2.4 Pentadbir Sistem ICT TanggungjawabPeranan dan tanggungjawab Pentadbir Sistem ICTadalah seperti berikut:

a. Mengambil tindakan yang bersesuaian dengansegera apabila dimaklumkan mengenaikakitangan yang berhenti, bertukar, bercutiatau berlaku perubahan dalam bidang tugas;

b. Menentukan ketepatan dan kesempurnaansesuatu tahap capaian berdasarkan arahanpemilik sumber maklumat sebagaimana yangtelah ditetapkan di dalam Dasar KeselamatanICT KPM;

c. Memastikan kerahsiaan kata laluan danmemantau aktiviti capaian harian pengguna;

d. Mengenal pasti aktiviti-aktiviti tidak normalseperti pencerobohan dan pengubahsuaiandata tanpa kebenaran dan membatalkan ataumemberhentikannya dengan serta merta;

Pentadbir SistemICT



23/72


e. Menyimpan dan menganalisis rekod jejak audit(audit trail ); dan

f. Menyediakan laporan mengenai aktiviti capaiankepada pemilik maklumat berkenaan secaraberkala.

2.2.5 Penyelaras ICT Bahagian / JPN / PPD / IPG /Kolej Matrikulasi / Sekolah

Tanggungjawab

Peranan dan tanggungjawab Penyelaras ICT adalahseperti berikut:

a. Melaksanakan garis panduan, prosedur dantatacara selaras dengan keperluan Dasar Keselamatan ICT KPM;

b. Menyebarkan amaran terhadap kemungkinanberlakunya ancaman berbahaya seperti virusdan memberi khidmat nasihat sertamelaksanakan langkah-langkah perlindunganyang bersesuaian;

c. Melaporkan insiden keselamatan ICT kepadaICTSO.

d. Mengenal pasti punca ancaman atau insidenkeselamatan ICT dan melaksanakan langkah-langkah baik pulih dengan segera;

e. Melaporkan sebarang salahlaku penggunayang melanggar Dasar Keselamatan ICT KPMkepada ICTSO; dan

f. Melaksanakan program-program kesedaranmengenai keselamatan ICT.

Penyelaras ICT



24/72



2.3 Pengguna ICT KPM Tanggungjawab

Pengguna adalah termasuk kakitangan KPM,pembekal, pakar runding dan pihak-pihak lain yangdibenarkan. Peranan dan tanggungjawab penggunaadalah seperti berikut:

a. Memahami dan mematuhi Dasar KeselamatanICT KPM;

b. Mengetahui dan memahami implikasi

keselamatan ICT kesan dari tindakannya;c. Melepasi tapisan keselamatan (jika berkaitan);

d. Mematuhi prinsip-prinsip Dasar KeselamatanICT dan menjaga kerahsiaan maklumat KPM;

e. Mengambil langkah-langkah perlindunganseperti berikut :-

i. Menghalang pendedahan maklumat kepadapihak yang tidak dibenarkan;

ii. Memeriksa maklumat dan menentukan iatepat dan lengkap dari semasa ke semasa;

iii. Menentukan maklumat sedia untukdigunakan;

iv. Menjaga kerahsiaan kata laluan;

v. Mematuhi standard, prosedur, langkah dangaris panduan yang ditetapkan;

vi. Memberi perhatian kepada maklumatterperingkat terutama semasa pewujudan,pemprosesan, penyimpanan, penghantaran,penyampaian, pertukaran dan pemusnahan;

SemuaPengguna KPM



25/72


vii. Menjaga kerahsiaan langkah-langkahkeselamatan ICT dari diketahui umum.

f. Melaporkan sebarang aktiviti yang mengancamkeselamatan ICT kepada Penyelaras ICTdengan segera; dan

g. Menyertai program-program kesedaranmengenai keselamatan ICT.



26/72



2.4 Keperluan Keselamatan Kontrak Dengan

Pihak Ketiga

Tanggungjawab

Keselamatan penggunaan maklumat dan kemudahanproses maklumat oleh pihak ketiga/luar hendaklahsentiasa dikawal.

Perkara-perkara berikut hendaklah dimasukkan didalam perjanjian yang dimeterai:

a. Dasar Keselamatan ICT KPM;

b. Tapisan Keselamatan;

c. Perakuan Akta Rahsia Rasmi 1972;

d. Hak Harta Intelek;

Nota 1:

Surat Pekeliling Perbendaharaan Bilangan 5 Tahun2007 bertajuk Tatacara Pengurusan PerolehanKerajaan Secara Tender dan Surat PekelilingPerbendaharaan Bilangan 3 Tahun 1995 bertajukPeraturan Perolehan Perkhidmatan Perundinganyang berkaitan juga boleh dirujuk.

CIO, ICTSO,PengurusKomputer,Pentadbir Sistem ICT danPihak Ketiga



27/72


28/72


ii. Rahsia;

iii. Sulit; atau

iv. Terhad.

3.3 Pengendalian Maklumat TanggungjawabPengendalian maklumat seperti pewujudan,pengumpulan, pemprosesan, penyimpanan,penyalinan, penghantaran, penyampaian, penukarandan pemusnahan hendaklah mengambil kira langkah-langkah keselamatan berikut :

a. Menghalang pendedahan maklumat kepadapihak yang tidak dibenarkan;

b. Memeriksa maklumat dan menentukan ia tepatdan lengkap dari semasa ke semasa;

c. Menentukan maklumat sedia untuk digunakan;

d. Menjaga kerahsiaan kata laluan;

e. Mematuhi standard, prosedur dan garispanduan keselamatan yang ditetapkan;

f. Memberi perhatian kepada maklumatterperingkat terutama semasa pewujudan,pemprosesan, penyimpanan, penyalinan,penghantaran, penyampaian, pertukaran danpemusnahan; dan

g. Menjaga kerahsiaan langkah-langkahkeselamatan ICT daripada diketahui umum.

SemuaPengguna KPM



29/72


PERKARA 04 KESELAMATAN SUMBER MANUSIA

Keselamatan Sumber Manusia

Objektif : Untuk memastikan semua sumber manusia yang terlibattermasuk penjawat awam, pembekal, pakar runding danpihak-pihak lain yang terlibat memahami tanggungjawab danperanan mereka dalam keselamatan aset ICT.

4.1 Sebelum Berkhidmat TanggungjawabMemastikan penjawat awam, kontraktor, pihak ketiga,pakar runding dan pihak-pihak lain yangberkepentingan memahami tanggungjawab masing-

masing ke atas keselamatan aset ICT bagimeminimumkan risiko seperti kesilapan, kecuaian,kecurian, penipuan dan penyalahgunaan aset ICTKerajaan.

Perkara yang perlu dipatuhi adalah seperti berikut:

a. Menjalankan tapisan keselamatan untukpenjawat awam, pembekal, pakar runding danpihak-pihak lain yang terlibat selaras dengankeperluan perkhidmatan; dan

b. Mematuhi semua terma dan syaratperkhidmatan yang ditawarkan dan peraturansemasa yang berkuatkuasa berdasarkanperjanjian yang telah ditetapkan.

SemuaPengguna KPM

4.2 Dalam Perkhidmatan TanggungjawabMemastikan semua pengguna sedar akan ancamankeselamatan maklumat, peranan dan tanggungjawabmasing-masing untuk menyokong dasar keselamatanICT KPM.

Perkara-perkara yang perlu dipatuhi adalah sepertiberikut:

a. Memastikan semua pengguna KPM menguruskeselamatan berdasarkan perundangan danperaturan yang ditetapkan oleh KPM;

SemuaPengguna KPM



30/72


b. Memastikan latihan kesedaran dan yangberkaitan mengenai pengurusan keselamatanICT diberi kepada semua pengguna KPM dan

sekiranya perlu kepada pembekal, pakar runding dan pihak-pihak lain yangberkepentingan dari semasa ke semasa; dan

c. Memastikan adanya proses tindakan disiplin keatas semua pengguna KPM sekiranya berlakuperlanggaran dengan perundangan danperaturan yang ditetapkan oleh KPM.

4.3 Bertukar Atau Tamat Perkhidmatan TanggungjawabMemastikan semua pengguna KPM yang tamatperkhidmatan atau bertukar dari KPM diurus denganteratur.


a. Memastikan semua aset ICT Kerajaandikembalikan kepada KPM mengikut peraturandan/atau terma yang ditetapkan oleh KPM; dan

b. Membatalkan atau meminda semua kebenarancapaian ke atas maklumat dan kemudahanproses maklumat mengikut peraturan yangditetapkan oleh KPM.

Semuapengguna KPM



31/72



Keselamatan Kawasan

Objektif : Mencegah akses fizikal yang tidak dibenarkan, yang bolehmengakibatkan kecurian, kerosakan dan gangguan kepadapremis dan maklumat.

5.1 Keselamatan Fizikal TanggungjawabKeselamatan fizikal adalah bertujuan untukmenghalang, mengesan dan mencegah cubaan untukmenceroboh.


a. Mengenalpasti kawasan keselamatan fizikaldengan jelas dan lokasi serta keteguhankawasan hendaklah bergantung kepadakeperluan untuk melindungi aset dalamkawasan tersebut dan hasil dari penilaianrisiko;

b. Memperkukuhkan tingkap dan pintu sertadikunci untuk mengawal akses;

c. Memperkukuhkan dinding dan siling;

d. Memasang alat penggera atau kamera litar tertutup (CCTV), jika berkaitan;

e. Menghadkan laluan keluar masuk;

f. Mengadakan kaunter kawalan;

g. Menyediakan tempat atau bilik khas untukpelawat-pelawat; dan

h. Mewujudkan perkhidmatan kawalankeselamatan.

CIO, ICTSOdan PenyelarasICT



32/72


5.2 Kawalan Masuk Fizikal TanggungjawabKawalan masuk fizikal adalah bertujuan untukmewujudkan kawalan keluar masuk kepremis/bangunan KPM.


a. Mempamerkan pas keselamatan sepanjangwaktu bertugas; dan

b. Mendaftar dan mendapat Pas KeselamatanPelawat di kaunter keselamatan dan hendaklahdikembalikan selepas tamat lawatan bagi

setiap pelawat/ pihak luar.

SemuaPengguna KPM



33/72



Keselamatan Aset ICT

Objektif : Melindungi peralatan dan maklumat daripada kehilangan,kerosakan, kecurian atau salah guna yang mendatangkangangguan ke atas aktiviti KPM.

5.3 Perkakasan TanggungjawabPeralatan ICT hendaklah dijaga dan dikawal denganbaik supaya boleh berfungsi apabila diperlukan.


a. Memeriksa dan memastikan semuaperkakasan ICT di bawah kawalan setiappengguna berfungsi dengan sempurna;

b. Menyimpan atau meletakkan semuaperkakasan di tempat yang teratur, bersih danmempunyai ciri-ciri keselamatan;

c. Menjadi tanggungjawab setiap pengguna diatas kerosakan atau kehilangan perkakasanICT di bawah kawalannya; dan

d. Melaporkan sebarang bentuk penyelewenganatau salah guna perkakasan kepada ICTSO /Penyelaras ICT di agensi-agensi KPM.

SemuaPengguna KPM

5.4 Dokumen TanggungjawabLangkah-langkah pengurusan dokumen yang baik danselamat perlu dilaksanakan bagi memastikan integritimaklumat.


a. Memastikan sistem dokumentasi ataupenyimpanan maklumat adalah selamat danterjamin;

SemuaPengguna KPM



34/72


b. Menggunakan tanda atau label keselamatanseperti Rahsia Besar, Rahsia, Sulit, Terhaddan Terbuka kepada dokumen;

c. Menggunakan enkripsi ( encryption ) ke atasdokumen rahsia rasmi yang disediakan dandihantar secara elektronik; dan

d. Memastikan dokumen yang mengandungibahan atau maklumat terperingkat diambilsegera dari media output.



35/72



5.5 Media Storan Tanggungjawab

Keselamatan media storan perlu diberi perhatiankhusus kerana ia berupaya menyimpan maklumatyang besar. Langkah-langkah pencegahan sepertiberikut hendaklah di ambil untuk memastikankerahsiaan, integriti dan kebolehsediaan maklumatyang disimpan dalam media storan adalah terjamindan selamat.


a. Menyediakan ruang penyimpanan yang baikdan mempunyai ciri-ciri keselamatanbersesuaian dengan kandungan maklumat;

b. Menghadkan akses untuk memasuki kawasanpenyimpanan media kepada pengguna yangdibenarkan sahaja;

c. Merujuk kepada tatacara pelupusan sekiranyapenghapusan maklumat hendak dilakukan danmestilah mendapat kebenaran pemilikmaklumat terlebih dahulu; dan

d. Merekodkan pengurusan media termasukinventori, pergerakan dan penduaan ( backup ).

SemuaPengguna KPM



36/72


37/72


f. Melarang pengguna merokok ataumenggunakan peralatan memasak seperticerek elektrik berhampiran peralatan ICT; dan

g. Memeriksa dan menguji semua peralatanperlindungan sekurang-kurangnya dua (2) kalisetahun. Aktiviti dan keputusan ujian ini perludirekodkan bagi memudahkan rujukan dantindakan sekiranya perlu.

5.7 Bekalan Kuasa TanggungjawabPerkara yang perlu dipatuhi adalah seperti berikut:

a. Menggunakan peralatan sokongan seperti UPS(Uninterruptable Power Supply) dan penjana(generator) bagi perkhidmatan kritikal seperti dibilik server supaya mendapat bekalan kuasaberterusan;

b. Memeriksa dan menguji semua peralatansokongan bekalan kuasa secara berjadual; dan

c. Melindungi semua peralatan ICT darikegagalan bekalan elektrik dan menyalurkanbekalan yang sesuai.

Ketua Jabatan/

Bahagian/ Unit

5.8 Prosedur Kecemasan TanggungjawabPerkara yang perlu dipatuhi adalah seperti berikut:

a. Memastikan setiap pengguna membaca,memahami dan mematuhi prosedur kecemasan dengan merujuk kepada prosedur kecemasan yang telah ditetapkan;

b. Melaporkan insiden kecemasan persekitarandilaporkan kepada Pegawai KeselamatanJabatan (PKJ);

c. Mengada, menguji dan mengemaskini pelankecemasan dari semasa ke semasa; dan

SemuaPengguna KPM



38/72


d. Merancang dan mengadakan latihankebakaran bangunan ( fire drill ) secara berkala.

5.9 Keselamatan Kabel TanggungjawabKabel termasuk kabel elektrik dan telekomunikasi yangmenyalurkan data dan menyokong perkhidmatanpenyampaian maklumat hendaklah dilindungi.


a. Menggunakan kabel mengikut spesifikasi yangtelah ditetapkan;

b. Melindungi kabel daripada kerosakan yangdisengajakan atau tidak disengajakan;

c. Melindungi laluan pemasangan kabelsepenuhnya bagi mengelakkan ancamankerosakan dan wire tapping ; dan

d. Melabelkan kabel menggunakan kod standard.

Pentadbir SistemICT



39/72



5.10 Penyelenggaraan Peralatan ICT Tanggungjawab

Peralatan hendaklah diselenggara dengan betul bagimemastikan kebolehsediaan, kerahsiaan dan integritimaklumat.


a. Mematuhi spesifikasi yang ditetapkan olehpengeluar bagi semua perkakasan yangdiselenggarakan;

b. Memastikan perkakasan hanyadiselenggarakan oleh kakitangan atau pihakyang dibenarkan sahaja;

c. Memeriksa dan menguji semua perkakasansebelum dan selepas proses penyelenggaraan;dan

d. Memaklumkan pihak pengguna sebelummelaksanakan penyelenggaraan mengikut

jadual yang ditetapkan atau atas keperluan.

Penyelaras ICT/Pentadbir SistemICT

5.11 Peminjaman Peralatan Untuk Kegunaan DiLuar Pejabat

Tanggungjawab

Peralatan yang dipinjam untuk kegunaan di luar pejabat adalah terdedah kepada pelbagai risiko.


a. Mendapatkan kelulusan mengikut peraturandibawah Pekeliling Perbendaharaan TatacaraPengurusan Aset atau peraturan KPM bagimembawa keluar peralatan atau maklumattertakluk kepada tujuan yang dibenarkan;

b. Melindungi dan mengawal peralatan sepanjangmasa;

Ketua Bahagian,SemuaPengguna KPM



40/72


41/72



5.12 Pengendalian Peralatan Luar Yang Dibawa

Masuk

Tanggungjawab

Bagi peralatan yang dibawa masuk ke premiskerajaan, perkara yang perlu dipatuhi adalah sepertiberikut:

a. Memastikan peralatan yang dibawa masuk tidakmengancam keselamatan ICT KPM;

b. Mendapatkan kelulusan mengikut peraturan

yang telah ditetapkan oleh KPM bagi membawamasuk/ keluar peralatan; dan

c. Memeriksa dan memastikan peralatan ICT yangdibawa keluar tidak mengandungi maklumatkerajaan. Ia perlu disalin dan dihapuskan.

Penyelaras ICT,SemuaPengguna KPM,Pentadbir SistemICT

5.13 Pelupusan Peralatan TanggungjawabPeralatan ICT yang hendak dilupuskan perlu melaluiprosedur pelupusan.

Pelupusan perlu dilakukan secara terkawal danlengkap supaya maklumat tidak terlepas dari kawalanKPM:

a. Menghapuskan semua kandungan khususnyamaklumat rahsia rasmi terlebih dahulu samaada melalui shredding , grinding, degauzing ataupembakaran sebelum pelupusan; dan

b. Merujuk kepada Pekeliling Perbendaharaan Bil.5 Tahun 2007 Tatacara Pengurusan Aset AlihKerajaan.

SemuaPengguna KPM

5.14 Clear Desk Dan Clear Screen TanggungjawabClear Desk dan Clear Screen bermaksud tidakmeninggalkan bahan-bahan yang sensitif terdedahsama ada atas meja pengguna atau di paparan skrinapabila pengguna tidak berada di tempatnya.

Semuapengguna KPM



42/72



a. Menggunakan kemudahan password screen

saver atau logout apabila meninggalkankomputer;

b. Menyimpan bahan-bahan sensitif di dalam laciatau kabinet fail yang berkunci; dan

c. Memastikan semua dokumen diambil segeradari pencetak, pengimbas, mesin faksimili danmesin fotostat.



43/72



Pengurusan Prosedur Operasi

Objektif : Memastikan perkhidmatan dan pemprosesan maklumatdapat berfungsi dengan betul dan selamat.

6.1 Pengendalian Prosedur TanggungjawabMemastikan kemudahan pemprosesan maklumatberoperasi seperti yang ditetapkan dan selamat.


a. Mendokumenkan semua prosedur keselamatan ICT yang di wujud, dikenal pastidan masih diguna pakai, disimpan dan dikawal;

b. Memastikan setiap prosedur mengandungiarahan-arahan yang jelas, teratur dan lengkapseperti keperluan kapasiti, pengendalian danpemprosesan maklumat, pengendalian danpenghantaran ralat, pengendalian output,bantuan teknikal dan pemulihan sekiranyapemprosesan tergendala atau terhenti; dan

c. Mengemaskini semua prosedur hendaklah darisemasa ke semasa atau mengikut keperluan.

ICTSO danPenyelaras ICT

6.2 Pengurusan Penyampaian Perkhidmatan PihakKetiga

Tanggungjawab

Memastikan pelaksanaan dan penyelenggaraan tahapkeselamatan maklumat dan penyampaianperkhidmatan yang sesuai selaras dengan perjanjianperkhidmatan dengan pihak ketiga.


a. Memastikan kawalan keselamatan, definisiperkhidmatan dan tahap penyampaian yangterkandung dalam perjanjian dilaksanakan dandiselenggarakan oleh pihak ketiga;

Pentadbir SistemICT



44/72


b. Memantau, menyemak semula dan mengauditperkhidmatan, laporan dan rekod yangdikemukakan oleh pihak ketiga dari semasa ke

semasa; dan

c. Mengurus perubahan penyediaan perkhidmatantermasuk menyelenggara dan menambahbaikpolisi keselamatan, prosedur dan kawalanmaklumat sedia ada dengan mengambilkiratahap kritikal sistem dan proses yang terlibatserta penilaian semula risiko.



45/72



6.3 Perancangan Dan Penerimaan Sistem Tanggungjawab

Meminimumkan risiko yang menyebabkan gangguanatau kegagalan sistem.


a. Merancang, mengurus dan mengawal kapasitisesuatu komponen atau sistem ICT denganteliti oleh pegawai yang berkenaan bagimemastikan keperluannya adalah mencukupi

dan bersesuaian untuk pembangunan dankegunaan sistem ICT pada masa akan datang;

b. Memantau, menala dan merancangpenggunaan peralatan bagi memenuhikeperluan kapasiti akan datang untukmemastikan prestasi sistem di tahap optimum;

c. Menetap kriteria penerimaan untuk sistemmaklumat baru, peningkatan dan versi baru danujian yang sesuai ke atasnya perlu dibuatsemasa pembangunan dan sebelumpenerimaan sistem; dan

d. Mengambil kira ciri-ciri keselamatan ICT dalamperancangan keperluan kapasiti bagimeminimumkan risiko seperti gangguan padaperkhidmatan dan kerugian akibatpengubahsuaian yang tidak dirancang.

Pentadbir SistemICT



46/72



6.4 Perlindungan Dari Kod Jahat ( Malicious Code ) Tanggungjawab

Melindungi integriti perisian dan maklumat daripendedahan atau kerosakan yang disebabkan olehperisian berbahaya seperti virus, worm, trojan danspyware .


a. Memasang sistem keselamatan untukmengesan perisian atau program berbahaya

seperti anti virus dan Intrusion DetectionSystem (IDS) dan mengikut prosedur penggunaan yang betul dan selamat;

b. Memasang dan menggunakan hanya perisianyang berlesen dan dilindungi di bawah AktaHakcipta (Pindaan) Tahun 1997;

c. Mengimbas semua perisian atau sistemdengan anti virus sebelum menggunakannya;

d. Mengemas kini pattern anti virus dari semasake semasa;

e. Menyemak kandungan sistem atau maklumatsecara berkala bagi mengesan aktiviti yangtidak diingini seperti kehilangan dan kerosakanmaklumat;

f. Menghadiri program kesedaran secara berkalamengenai ancaman perisian berbahaya dancara mengendalikannya;

g. Memasukkan klausa tanggungan di dalammana-mana kontrak yang telah ditawarkankepada pembekal perisian. Klausa ini bertujuanuntuk tuntutan baik pulih sekiranya perisiantersebut mengandungi program berbahaya;

SemuaPengguna KPM



47/72


h. Mengadakan program dan prosedur jaminankualiti ke atas semua perisian yangdibangunkan; dan

i. Memberi amaran mengenai ancamankeselamatan ICT dari semasa ke semasa.



48/72



6.5 Housekeeping

Mengekalkan integriti, kebolehsediaan maklumat dankemudahan pemprosesan maklumat.

6.5.1 Penduaan ( Backup ) TanggungjawabBagi memastikan sistem dapat dibangunkan semulasetelah berlakunya bencana, salinan penduaanhendaklah direkodkan dan disimpan di lokasi yangberlainan.


a. Membuat salinan keselamatan ke atas semuasistem perisian dan aplikasi sekurang-kurangnya sekali atau setelah mendapat versiterbaru;

b. Membuat salinan penduaan ke atas semuadata dan maklumat mengikut kesesuaianoperasi;

c. Menguji sistem penduaan sedia ada bagimemastikan ianya dapat berfungsi dengansempurna, boleh dipercayai dan berkesanapabila digunakan khususnya pada waktukecemasan; dan

d. Membuat dan menguji salinan maklumat danperisian secara berkala berdasarkan prosedur penduaan.

Pentadbir SistemICT

6.5.2 Sistem Log TanggungjawabPerkara yang perlu dipatuhi adalah seperti berikut:

a. Mewujudkan sistem log bagi merekodkansemua aktiviti harian pengguna;

b. Menyemak sistem log secara berkala bagimengesan ralat yang menyebabkan gangguan

Pentadbir SistemICT



49/72


kepada sistem dan mengambil tindakanmembaik pulih dengan segera; dan

c. Melaporkan kepada ICTSO sekiranya wujud

aktiviti-aktiviti tidak sah lain seperti kecurianmaklumat dan pencerobohan.



50/72



Pengurusan Rangkaian

Objektif : Memastikan perlindungan keselamatan maklumat dalamrangkaian dan infrastruktur sokongan terurus dan terkawal.

6.6 Kawalan Infrastruktur Rangkaian TanggungjawabInfrastruktur Rangkaian mestilah dikawal dandiuruskan sebaik mungkin demi melindungi ancamankepada sistem dan aplikasi di dalam rangkaian.


a. Membangun dan melaksanakan polisi danprosedur bagi melindungi maklumat berhubungkait dengan sistem rangkaian;

b. Mengenalpasti ciri-ciri keselamatan, tahapperkhidmatan rangkaian dan memasukkannyake dalam mana-mana perjanjian sama adaperkhidmatan berkenaan disediakan secaradalaman atau melalui khidmat luar;

c. Mengasingkan tanggungjawab atau kerja-kerjaoperasi rangkaian dan komputer untukmengurangkan capaian dan pengubahsuaianyang tidak dibenarkan;

d. Meletakkan peralatan rangkaian hendaklah dilokasi yang mempunyai ciri-ciri fizikal yangkukuh dan selamat;

e. Mengawal capaian kepada peralatan rangkaiandan terhad kepada pengguna yang dibenarkansahaja;

f. Memastikan semua peralatan melalui prosesFactory Acceptance Check (FAC) semasapemasangan dan konfigurasi;

Pentadbir SistemICT



51/72


g. Memastikan semua trafik rangkaian melaluifirewall di bawah kawalan KPM;

h. Melarang semua perisian sniffer atau network analyser dipasang pada komputer penggunakecuali mendapat kebenaran ICTSO;

i. Memasang perisian Intrusion Detection System(IDS) bagi mengesan sebarang cubaanmenceroboh dan aktiviti-aktiviti lain yang bolehmengancam sistem dan maklumat KPM;

j. Memasang Web Content Filter pada Internet Gateway untuk menyekat aktiviti yang dilarangseperti yang termaktub di dalam PekelilingKemajuan Pentadbiran Awam Bilangan 1Tahun 2003 bertajuk Garis PanduanMengenai Tatacara Penggunaan Internet danMel Elektronik di Agensi-Agensi Kerajaan;

k. Mendapat kebenaran ICTSO bagi sebarangpenyambungan rangkaian yang bukan dibawah kawalan KPM;

l. Memastikan penggunaan LAN tanpa wayar diKPM mematuhi surat MAMPU UPTM(S)159/338/8 Jilid 30 (84) bertajuk Langkah-Langkah Untuk Memperkukuhkan KeselamatanRangkaian Setempat Tanpa Wayar ( WirelessLAN) di Agensi-agensi Kerajaan.



52/72



Pengurusan Media

Objektif : Melindungi media ICT dari kerosakan dan penyalahgunaan.

6.7 Penghantaran Dan Pemindahan TanggungjawabPenghantaran atau pemindahan media ke luar pejabat hendaklah mendapat kebenaran daripadaKetua Jabatan dan tertakluk kepada prosedur yangsedia ada.

Pentadbir SistemICT, SemuaPengguna KPM

6.8 Pengendalian Media Tanggungjawab

Prosedur bertujuan mengendali dan menyimpanmaklumat daripada didedah tanpa kebenaran ataudisalah guna.


a. Melabelkan semua media mengikut tahapsensitiviti sesuatu maklumat;

b. Menghadkan dan menentukan capaian mediakepada pengguna yang dibenarkan sahaja;

c. Menghadkan pengedaran media untuk tujuanyang dibenarkan;

d. Merekod dan mengawal aktivitipenyelenggaraan media bagi mengelak darisebarang kerosakan dan pendedahan yangtidak dibenarkan;

e. Menyimpan semua media di tempat yangselamat; dan

f. Menghapus atau memusnahkan media yangmengandungi maklumat rahsia rasmihendaklah mengikut prosedur keselamatanmedia yang dikeluarkan oleh kerajaan.

Pentadbir SistemICT, SemuaPengguna KPM



53/72



Keselamatan Komunikasi Rangkaian

Objektif : Memastikan keselamatan pertukaran maklumat dan perisiandalam KPM dan mana-mana agensi luar terjamin.

6.9 Internet TanggungjawabPenggunaan internet hendaklah merujuk kepadaPekeliling Kemajuan Pentadbiran Awam Bilangan 1Tahun 2003 bertajuk Garis Panduan MengenaiTatacara Penggunaan Internet dan Mel Elektronik diAgensi-agensi Kerajaan dan pekelilingpekeliling

yang dikeluarkan oleh kerajaan dari semasa kesemasa.

SemuaPengguna KPM

6.10 Mel Elektronik TanggungjawabPenggunaan mel elektronik hendaklah merujukkepada Pekeliling Kemajuan Pentadbiran AwamBilangan 1 Tahun 2003 bertajuk Garis PanduanMengenai Tatacara Penggunaan Internet dan MelElektronik di Agensi-agensi Kerajaan dan pekeliling

yang dikeluarkan oleh pihak kerajaan dari semasa-semasa.

SemuaPengguna KPM



54/72


PERKARA 07 PENGURUSAN INSIDEN KESELAMATAN ICT

Menangani Insiden Keselamatan ICT

Objektif : Memastikan tindakan menangani insiden keselamatan ICTdiambil dengan cepat, teratur dan berkesan sertameminimumkan kesan insiden keselamatan ICT.

7.1 Prosedur Pengurusan Insiden TanggungjawabProsedur pengurusan insiden perlu diwujudkan dandidokumenkan.


a. Mengenalpasti semua jenis insidenkeselamatan ICT seperti gangguanperkhidmatan yang disengajakan, pemalsuanidentiti dan pengubahsuaian perisian tanpakebenaran;

b. Menyedia pelan kontigensi dan mengaktifkanpelan kesinambungan perkhidmatan;

c. Menyimpan audit trail dan memelihara bahanbukti; dan

d. Menyediakan pelan tindakan pemulihansegera.

ICTSO

7.2 Pelaporan Insiden TanggungjawabInsiden keselamatan ICT seperti berikut hendaklahdilaporkan kepada ICTSO / Penyelaras KeselamatanICT Bahagian dengan kadar segera.

Insiden keselamatan ICT adalah termasuk yangberikut:

a. Mendapati maklumat hilang, terdedah kepadapihak-pihak yang tidak diberi kuasa ataudisyaki hilang;

SemuaPengguna KPM



55/72


b. Mendapati sistem maklumat digunakan tanpakebenaran atau disyaki sedemikian;

c. Mendapati kata laluan atau mekanismekawalan akses hilang, dicuri atau didedahkan,atau disyaki hilang, dicuri atau didedahkan;

d. Mendapati kejadian sistem yang luar biasaseperti kehilangan fail, sistem kerap kali gagaldan komunikasi tersalah hantar;

e. Mendapati berlaku percubaan menceroboh,

penyelewengan dan insiden-insiden yang tidakdiingini.

Nota 2:

Pekeliling Am Bilangan 1 Tahun 2001 bertajukMekanisme Pelaporan Insiden Keselamatan ICTmengenainya bolehlah dirujuk.



56/72


57/72


i. Pengguna tidak hadir bertugas tanpakebenaran melebihi satu tempoh yangditentukan oleh Ketua Jabatan;

ii. Pengguna bercuti atau bertugas di luar pejabat dalam satu tempoh yang lamaseperti mana yang ditetapkan oleh KetuaJabatan;

iii. Pengguna bertukar jawatan,tanggungjawab dan/atau dikenakantindakan tatatertib oleh Pihak Berkuasa

Tatatertib; daniv. Pengguna bertukar, berpindah agensi,

bersara dan/atau tamat perkhidmatan.

e. Merekod dan menyenggara aktiviti capaian olehpengguna dengan sistematik dan dikaji darisemasa ke semasa. Maklumat yang direkodtermasuk identiti pengguna, sumber yangdigunakan, perubahan maklumat, tarikh, masa,rangkaian dilalui, aplikasi diguna dan aktiviticapaian secara sah atau sebaliknya.



58/72



8.3 Tanggungjawab Pengguna Tanggungjawab

Memastikan pengguna melaksanakan langkahberkesan ke atas kawalan capaian untuk menghalangpenyalahgunaan, kecurian maklumat dan kemudahanproses maklumat.


a. Mematuhi amalan terbaik pemilihan danpenggunaan kata laluan; dan

b. Memastikan kemudahan dan peralatan yangtidak digunakan mendapat perlindungansewajarnya .

SemuaPengguna KPM

8.4 Kawalan Capaian Rangkaian TanggungjawabMenghalang capaian tidak sah dan tanpa kebenaranke atas perkhidmatan rangkaian.

Kawalan capaian perkhidmatan rangkaian hendaklahdijamin selamat dengan menempatkan ataumemasang antaramuka diantara rangkaian KPM danlain-lain organisasi serta mewujud dan menguatkuasamekanisme untuk pengesahan pengguna danperalatan yang menepati kesesuaian penggunaannya.


a. Memastikan pengguna boleh membuat capaianke atas perkhidmatan yang dibenarkan sahaja;

b. Mewujudkan mekanisme pengesahan yangsesuai untuk mengawal capaian olehpengguna jarak jauh;

c. Mengguna kaedah pengenalan automatikberdasarkan lokasi dan peralatan untukpengesahan sambungan ke dalam rangkaian;

Pentadbir SistemICT



59/72


d. Mengawal capaian fizikal dan logikal ke ataskemudahan port diagnostic dan konfigurasi

jarak jauh;

e. Mengasingkan capaian mengikut kumpulanperkhidmatan maklumat, pengguna dan sistemmaklumat dalam rangkaian;

f. Mengawal sambungan ke rangkaian,khususnya bagi kemudahan yang dikongsi danmenjangkau sempadan KPM; dan

g. Mewujud dan melaksana kawalan pengalihanlaluan ( routing control ) untuk memastikanpematuhan ke atas peraturan KPM.



60/72



8.5 Kawalan Capaian Sistem Operasi Tanggungjawab

Memastikan capaian ke atas sistem operasi dikawaldan dihadkan kepada pengguna yang dibenarkansahaja.

Kaedah yang digunakan hendaklah mampumenyokong perkara berikut:

a. Mengesahkan pengguna yang dibenarkanselaras dengan peraturan KPM;

b. Mewujudkan audit trail ke atas semua capaiansistem operasi terutama pengguna bertaraf khas ( super user );

c. Menjana amaran ( alert ) sekiranya berlakuperlanggaran ke atas peraturan keselamatansistem;

d. Menyedia kaedah sesuai untuk pengesahancapaian ( authentication ); dan

e. Menghadkan tempoh penggunaan mengikutkesesuaian.


a. Mengawal capaian ke atas sistem operasimenggunakan prosedur log-on yang selamat;

b. Memastikan prosedur log-on yang selamat:

i. Menggunakan kaedah pengenalanpengguna yang unik dan teknikpengesahan pengguna yang berkesan danselamat;

ii. Melaksana sistem pengurusan kata laluanyang interaktif dan menjamin kualiti sertakeselamatan kata laluan;

Pentadbir SistemICT



61/72


iii. Mengawal penggunaan utiliti yangberkeupayaan melepasi sistem danaplikasi terhad;

iv. Menamatkan sesi yang tidak aktif selepastempoh masa yang ditetapkan; dan

v. Menghadkan tempoh masa penggunaanbagi meningkatkan keselamatan aplikasiyang berisiko tinggi.



62/72



8.6 Kawalan Capaian Aplikasi Dan Maklumat Tanggungjawab

Capaian sistem dan aplikasi di KPM adalah terhadkepada pengguna dan tujuan yang dibenarkansahaja.

Bagi memastikan kawalan capaian sistem danaplikasi adalah kukuh, langkah-langkah berikuthendaklah dipatuhi:

a. Membenarkan pengguna membuat capaianaplikasi dan maklumat yang dibenarkanmengikut tahap capaian dan sensitivitimaklumat yang telah ditentukan;

b. Menyediakan mekanisme perlindungan bagimenghalang capaian tidak sah ke atas aplikasidan maklumat daripada utiliti yang sedia adadalam sistem operasi dan perisian maliciousyang berupaya melangkaui kawalan sistem.


a. Membuat capaian ke atas maklumat dan fungsisistem aplikasi oleh pengguna perlu dihadkan,selaras dengan peraturan KPM; dan

b. Mengasingkan persekitaran pengkomputeranyang khusus bagi sistem yang sensitif.

Pentadbir SistemICT

8.7 Penggunaan Peralatan ICT Mudah Alih TanggungjawabMemastikan keselamatan maklumat apabilamenggunakan kemudahan atau peralatan ICT mudahalih.


a. Mewujudkan peraturan dan garis panduankeselamatan yang bersesuaian untukmelindungi dari risiko penggunaan peralatanmudah alih dan kemudahan komunikasi; dan

Pentadbir SistemICT



63/72


b. Mewujudkan peraturan dan garis panduanuntuk memastikan persekitaran kerja jarak jauhadalah sesuai dan selamat.



64/72



Perolehan, Pembangunan Dan Penyelenggaraan Sistem Dan Aplikasi

Objektif : Memastikan sistem yang dibangunkan mempunyai ciri-cirikeselamatan ICT yang bersesuaian.

9.1 Keperluan Keselamatan TanggungjawabMemastikan kawalan keselamatan yang sesuaidijalinkan ke dalam aplikasi bagi menghalangkesilapan, kehilangan, pindaan yang tidak sah danpenyalahgunaan maklumat dalam aplikasi.


a. Menyemak dan mengesahkan data sebelumdimasukkan ke dalam aplikasi bagi menjaminketepatan maklumat;

b. Menggabungkan semakan pengesahan didalam aplikasi untuk mengenalpasti sebarangpencemaran maklumat sama ada keranakesilapan atau disengajakan;

c. Mengenalpasti dan melaksana kawalan yangsesuai bagi pengesahan dan perlindunganintegriti mesej dalam aplikasi; dan

d. Menjalankan proses semak ke atas hasil datadaripada setiap proses aplikasi untukmenjamin ketepatan dan kesesuaian.

ICTSO,Pentadbir SistemICT,Pemilik sistem

9.2 Kawalan Kriptografi TanggungjawabMemastikan kaedah kriptografi diguna untukmelindungi kerahsiaan, kesahihan dan integritimaklumat.


a. Membangun dan melaksana peraturan untukmelindungi maklumat menggunakan kaedahkriptografi yang sesuai; dan

Pentadbir SistemICT



65/72


b. Memastikan kaedah yang selamat danberkesan untuk pengurusan kunci yangmenyokong teknik kriptografi diguna pakai di

KPM.



66/72



9.3 Kawalan Perisian Operasi Tanggungjawab

Memastikan kaedah yang sesuai dilaksanakan untukmengawal capaian ke atas fail sistem dan kod sumber program bagi menjamin keselamatan sistem fail.


a. Mewujudkan peraturan untuk mengawalpemasangan perisian ke dalam persekitaranoperasi;

b. Mewujudkan peraturan untuk pemilihan,perlindungan dan kawalan data ujian; dan

c. Mengawal dan menghadkan capaian ke ataskod sumber kepada pengguna yang dibenarkansahaja.

Pentadbir SistemICT

9.4 Keselamatan Dalam Proses PembangunanDan Sokongan

Tanggungjawab

Memastikan keselamatan perisian sistem aplikasi danmaklumat dikawal supaya selamat dalam semuakeadaan.


a. Mengawal pelaksanaan perubahan melaluiperaturan formal;

b. Membuat semakan teknikal selepas perubahan

sistem operasi bagi menjamin tiada impaknegatif ke atas keselamatan operasi KPM;

c. Mengawal dan menghad perubahan ke atasperisian yang perlu sahaja;

d. Menghalang semua peluang untuk kebocoranmaklumat; dan

e. Mengawal selia dan memantau pembangunan

perisian oleh pihak luar dari semasa ke semasa.

Pentadbir SistemICT



67/72


PERKARA 10 PENGURUSAN KESINAMBUNGAN PERKHIDMATAN

Dasar Kesinambungan Perkhidmatan

Objektif : Menjamin operasi perkhidmatan agar tidak tergendala danpenyampaian perkhidmatan yang berterusan kepadapelanggan.

10.1 Pelan Kesinambungan Perkhidmatan TanggungjawabPelan kesinambungan perkhidmatan hendaklahdibangunkan untuk memastikan pendekatan yangmenyeluruh diambil bagi mengekalkankesinambungan perkhidmatan. Ini bertujuan

memastikan tiada gangguan kepada proses-prosesdalam penyediaan perkhidmatan KPM dan melindungiaktiviti daripada kesan bencana serta pemulihanperkhidmatan dalam tempoh yang ditetapkan.

Perkara yang perlu diberi perhatian adalah sepertiberikut:

a. Mengenalpasti semua tanggungjawab danprosedur kecemasan atau pemulihan;

b. Merancang dan melaksanakan prosedur-prosedur kecemasan bagi membolehkanpemulihan dapat dilakukan secepat mungkinatau dalam jangka masa yang telahditetapkan;

c. Mendokumenkan proses dan prosedur yangtelah dipersetujui;

d. Mengadakan program latihan kepadapengguna mengenai prosedur kecemasan;dan

e. Menguji dan mengemas kini pelan sekurang-kurangnya setahun sekali.

ICTSO,Pentadbir SistemICT



68/72



Pematuhan Dan Keperluan Perundangan

Objektif : Meningkatkan tahap keselamatan ICT bagi mengelak daripelanggaran kepada Dasar Keselamatan ICT KPM.

11.1 Pematuhan Dasar TanggungjawabSetiap pengguna di KPM hendaklah membaca,memahami dan mematuhi Dasar Keselamatan ICTKPM, undang-undang atau peraturan-peraturan lainyang berkaitan yang berkuatkuasa.

SemuaPengguna KPM

11.2 Keperluan Perundangan Tanggungjawab

Berikut adalah keperluan perundangan atauperaturan-peraturan lain berkaitan yang perlu dipatuhioleh semua pengguna di KPM:

a. Keselamatan perlindungan secara am

i. Emergency (Essential Power) Act 1964;

ii. Essential (Key Points) Regulations 1965;

iii. Perakuan Jawatankuasa mengkaji semulaperaturan keselamatan Pejabat Tahun 1982;

iv. Arahan Keselamatan Yang DikuatkuasakanMelalui Surat Pekeliling Am Sulit Bil. 1 Tahun1985;

v. Arahan Jawatankuasa Tetap SasaranPenting Bil. 1 Tahun 1985;

vi. Arahan Tetap Sasaran Penting YangDikeluarkan Kepada Pihak Yang TerlibatDalam Pengurusan Sasaran Penting MilikKerajaan Dan Swasta Yang Diluluskan OlehJemaah Menteri Pada 13 Oktober 1993; dan

vii. Surat Pekeliling Am Sulit Bil. 1 Tahun 1993 -Meningkatkan Kualiti Kawalan KeselamatanPerlindungan Di Jabatan-Jabatan Kerajaan.

SemuaPengguna KPM



69/72



b. Keselamatan dokumen

i. Confidential General Circular Memorandum No.1of 1959 (Code Words-Allocation & Control) ;

ii. Akta Rahsia Rasmi 1972;

iii. Akta Arkib Negara 2003;

iv. Surat Pekeliling Bil. 8 Tahun 1990 - ArahanKeselamatan Kawalan, Penyelenggaraan,Maklumat-Maklumat Ukur Dan Geografi YangAntara Lainnya Merangkumi Peta-Peta Rasmi DanPenderiaan Jauh;

v. Surat Pekeliling Am Sulit Bil. 1 Tahun 1972 -Keselamatan Rahsia-Rahsia Kerajaan DaripadaAncaman Penyuluhan ( espionage );

vi. Surat Pekeliling Am Bil. 2 Tahun 1987 - PeraturanPengurusan Rahsia Rasmi Selaras DenganPeruntukan-Peruntukan Akta Rahsia Rasmi(Pindaan) 1976;

vii. Peraturan Pengurusan Rahsia Rasmi Selarasdengan Peruntukan-Peruntukan Akta RahsiaRasmi (Pindaan) 1986 Dan Surat Pekeliling AmBil. 2 Tahun 1987 Yang Ditandatangani OlehKetua Setiausaha Negara Melalui SuratM(R)10308/3/(45) Bertarikh 8 Mei 1987; dan

viii. Kawalan Keselamatan Rahsia Rasmi DanDokumen Rasmi Kerajaan Yang Dikelilingkanmelalui Surat KPKK(R)200/55 Klt.7(21) Bertarikh21 Ogos 1999.

SemuaPenggunaKPM



70/72



c. Keselamatan fizikal bangunan

i. Akta Kawasan Larangan Dan Tempat LaranganTahun 1959;

ii. Arahan Pembinaan Bangunan BerdekatanDengan Sasaran Penting, Kawasan Larangan DanTempat Larangan;

iii. State Key Points ;iv. Surat Pekeliling Am Rahsia Bil.1 Tahun 1975 -

Keselamatan Jabatan-jabatan Kerajaan;

v. Surat Bil. KPKK/308/A (2) bertarikh 7/9/79 -Mencetak Pas-Pas Keselamatan dan Kad-KadPengenalan Kementerian/Jabatan;

vi. Surat Pekeliling Am Bil 4 Tahun 1982 -Permohonan Ruang Pejabat Sama Ada DalamBangunan Guna sama Atau pun Disewa DiBangunan Swasta; dan

vii. Surat Pekeliling Am Bil. 14 Tahun 1982 Pelaksanaan Pelan Pejabat Terbuka.

SemuaPenggunaKPM



71/72


72/72



e. Keselamatan aset ICT

i. Akta Tandatangan Digital 1997;

ii. Akta Jenayah Komputer 1997;

iii. Akta Hak Cipta (Pindaan) 1997;

iv. Akta Multimedia dan Telekomunikasi 1998;

v. Surat Pekeliling Am Bil. 1 Tahun 1993 PeraturanPenggunaan Mesin Faksimile di Pejabat-PejabatKerajaan;

vi. Pekeliling Am Bil. 1 Tahun 2001 MekanismePelaporan Insiden Keselamatan TeknologiMaklumat & Komunikasi (ICT);

vii. Pekeliling Kemajuan Pentadbiran Awam Bil. 1Tahun 2003 Garis Panduan mengenai TatacaraPenggunaan Internet & Mel Elektronik di Agensi Agensi Kerajaan;

viii. Malaysian Public Sector Management of Information & Communication Technology Security Handbook (MyMIS) 2002; dan

ix. Surat Pekeliling Am Bilangan 6 Tahun 2005 Garis Panduan Melaksanakan Penilaian RisikoKeselamatan Maklumat Sektor Awam bertarikh 7November 2005.

x. Surat Pekeliling Am Bilangan 4 Tahun 2006 P P d li I id K l

Semua

PenggunaKPM

Pekeliling Ict Bil. 1 Tahun 2009-Dasar Keselamatan Ict

Documents

Transcript of Pekeliling Ict Bil. 1 Tahun 2009-Dasar Keselamatan Ict