PowerPoint Presentation - sainswater.com Handbook.pdf · Keperluan undang-undang atau peraturan dan...
Transcript of PowerPoint Presentation - sainswater.com Handbook.pdf · Keperluan undang-undang atau peraturan dan...
ISO/IEC 27001:2005 adalah standard antarabangsa bagi
pengurusan aset maklumat dan perlindungan perniagaan
yang berterusan. Ia menggariskan keperluan-keperluan untuk
sistem pengurusan keselamatan maklumat (ISMS)
ISO/IEC 27001:2005 bertujuan untuk memelihara
keselamatan maklumat secara sulit, integriti dan
ketersediaan bagi organisasi.
DASAR KESELAMATAN:
Information is protected against any unauthorized access
Maklumat dilindungi dari sebarang akses yang tidak dibenarkan
Confidentiality of information is assured
Rahsia maklumat dijamin
Integrity of information is maintained
Integriti maklumat dipelihara
Availability of information for business processes is maintained with
minimal disruption
Kesediaan maklumat dipelihara dengan gangguan yang minimum
Legal or regulatory requirements and contractual security obligations
will be met
Keperluan undang-undang atau peraturan dan obligasi keselamatan
dipatuhi
Business Continuity Plans is developed, maintained and tested to
counteract interruptions to business activities
Pelan Kesinambungan Perniagaan dibangunkan, disenggara dan diuji
untuk mengatasi gangguan pada aktiviti perniagaan
All actual or suspected information security breaches will be reported
to the information security committee and will be thoroughly
investigated.
Setiap pelanggaran keselamatan maklumat yang dilaporkan kepada
jawatankuasa keselamatan maklumat akan disiasat dengan teliti.
SKOP
Dasar ini meliputi semua sumber atau aset ICT yang digunakan seperti maklumat dokumen, data elektronik, perisian dan fizikal komputer/ peralatan komunikasi dan media. Dasar ini adalah terpakai oleh semua pengguna di SAINS termasuk kakitangan, pembekal dan pakar runding yang mengurus, menyelenggara, memproses, mencapai, memuat turun, menyedia, memuat naik, berkongsi, menyimpan dan menggunakan aset ICT syarikat.
MENGAPA PERLU ISO 27001:2005
• Membantu untuk memajukan keselamatan maklumat pada asasnya dan melaksanakan sistem pengurusan berdasarkan kepada pertimbangan dengan risiko.
• Membantu organisasi untuk menjamin risiko keselamatan
maklumat dapat dikendalikan melalui pengurangan kos berkesan dengan maklumbalas yang berbaloi.
• Meningkatkan keyakinan terhadap organisasi sebab ia
mematuhi undang-undang dan peraturan-peraturan keselamatan.
• Audit ISMS memberi pemahaman yang lebih baik mengenai aset maklumat dan proses pengurusan keselamatan maklumat yang diperlukan.
PENDEKATAN PROSES melalui permodelan ‘Plan Do Check Action’:
• Tanggungjawab pihak pengurusan • Pembangunan polisi keselamatan dan pematuhan • Pengurusan keselamatan maklumat • Pengurusan penilaian risiko keselamatan maklumat • Audit dalaman ISMS • Pengulasan untuk pengurusan ISMS • Pemajuan ISMS
STRUKTUR ORGANISASI ISMS
Management Representative
ISMS Working Committee
ISMS Internal Auditors
ISMS Security Officer
ISMS Steering Committee
STRUKTUR DOKUMENTASI
ISMS
Manual
Policies & Procedure
Support Documents
Records
CARA PENGAWALAN: • Menstruktur polisi keselamatan maklumat • Pengurusan aset
• Keselamatan sumber manusia
• Keselamatan fizikal dan persekitaran • Pengurusan komunikasi dan operasi
• Akses kepada pengawalan • Perolehan untuk sistem-sistem maklumat,
perkembangan dan pengekalannya • Pengurusan untuk peristiwa keselamatan maklumat
• Pengurusan untuk bisnes berterusan • Pematuhan
CONTOH KESALAHAN BIASA KESELAMATAN MAKLUMAT • Mencatit katalaluan di “post-it notes”. • Komputer dibiarkan menyala/terbuka tanpa pengawasan. • Membuka lampiran email yang diterima daripada orang yang
tidak dikenali. • Etika katalaluan yang lemah. • Penggunaan komputer riba yang terlalu longgar.
• “Plug and play” tanpa pengawalan/perlindungan. • Tidak melaporkan kejadian penyalahgunaan.