ISO/IEC 27001:2005 adalah standard antarabangsa bagi

pengurusan aset maklumat dan perlindungan perniagaan

yang berterusan. Ia menggariskan keperluan-keperluan untuk

sistem pengurusan keselamatan maklumat (ISMS)

ISO/IEC 27001:2005 bertujuan untuk memelihara

keselamatan maklumat secara sulit, integriti dan

ketersediaan bagi organisasi.

DASAR KESELAMATAN:

Information is protected against any unauthorized access

Maklumat dilindungi dari sebarang akses yang tidak dibenarkan

Confidentiality of information is assured

Rahsia maklumat dijamin

Integrity of information is maintained

Integriti maklumat dipelihara

Availability of information for business processes is maintained with

minimal disruption

Kesediaan maklumat dipelihara dengan gangguan yang minimum

Legal or regulatory requirements and contractual security obligations

will be met

Keperluan undang-undang atau peraturan dan obligasi keselamatan

dipatuhi

Business Continuity Plans is developed, maintained and tested to

counteract interruptions to business activities

Pelan Kesinambungan Perniagaan dibangunkan, disenggara dan diuji

untuk mengatasi gangguan pada aktiviti perniagaan

All actual or suspected information security breaches will be reported

to the information security committee and will be thoroughly

investigated.

Setiap pelanggaran keselamatan maklumat yang dilaporkan kepada

jawatankuasa keselamatan maklumat akan disiasat dengan teliti.

SKOP

Dasar ini meliputi semua sumber atau aset ICT yang digunakan seperti maklumat dokumen, data elektronik, perisian dan fizikal komputer/ peralatan komunikasi dan media. Dasar ini adalah terpakai oleh semua pengguna di SAINS termasuk kakitangan, pembekal dan pakar runding yang mengurus, menyelenggara, memproses, mencapai, memuat turun, menyedia, memuat naik, berkongsi, menyimpan dan menggunakan aset ICT syarikat.

MENGAPA PERLU ISO 27001:2005

• Membantu untuk memajukan keselamatan maklumat pada asasnya dan melaksanakan sistem pengurusan berdasarkan kepada pertimbangan dengan risiko.

• Membantu organisasi untuk menjamin risiko keselamatan

maklumat dapat dikendalikan melalui pengurangan kos berkesan dengan maklumbalas yang berbaloi.

• Meningkatkan keyakinan terhadap organisasi sebab ia

mematuhi undang-undang dan peraturan-peraturan keselamatan.

• Audit ISMS memberi pemahaman yang lebih baik mengenai aset maklumat dan proses pengurusan keselamatan maklumat yang diperlukan.

PENDEKATAN PROSES melalui permodelan ‘Plan Do Check Action’:

• Tanggungjawab pihak pengurusan • Pembangunan polisi keselamatan dan pematuhan • Pengurusan keselamatan maklumat • Pengurusan penilaian risiko keselamatan maklumat • Audit dalaman ISMS • Pengulasan untuk pengurusan ISMS • Pemajuan ISMS

STRUKTUR ORGANISASI ISMS

Management Representative

ISMS Working Committee

ISMS Internal Auditors

ISMS Security Officer

ISMS Steering Committee

STRUKTUR DOKUMENTASI

ISMS

Manual

Policies & Procedure

Support Documents

Records

CARA PENGAWALAN: • Menstruktur polisi keselamatan maklumat • Pengurusan aset

• Keselamatan sumber manusia

• Keselamatan fizikal dan persekitaran • Pengurusan komunikasi dan operasi

• Akses kepada pengawalan • Perolehan untuk sistem-sistem maklumat,

perkembangan dan pengekalannya • Pengurusan untuk peristiwa keselamatan maklumat

• Pengurusan untuk bisnes berterusan • Pematuhan

CONTOH KESALAHAN BIASA KESELAMATAN MAKLUMAT • Mencatit katalaluan di “post-it notes”. • Komputer dibiarkan menyala/terbuka tanpa pengawasan. • Membuka lampiran email yang diterima daripada orang yang

tidak dikenali. • Etika katalaluan yang lemah. • Penggunaan komputer riba yang terlalu longgar.

• “Plug and play” tanpa pengawalan/perlindungan. • Tidak melaporkan kejadian penyalahgunaan.