dasar & garis panduan keselamatan ict jkr...
Post on 25-Sep-2019
58 Views
Preview:
TRANSCRIPT
28/100/2011
DASAR & GARIS PANDUAN DASAR & GARIS PANDUAN KESELAMATAN ICT JKRKESELAMATAN ICT JKR
SHAMSUDDIN BIN JAMRAN SHAMSUDDIN BIN JAMRAN SSCP, MTCPSSCP, MTCPBHG. TEKNOLOGI MAKLUMAT BHG. TEKNOLOGI MAKLUMAT
1
AAGENDAGENDA
Pengenalan
28/10/20g Objektif Dasar & Garis Panduan Keselamatan ICT
(DGPKICT)
011
Prinsip Keselamatan Skop Dasar & Garis Panduan Keselamatan ICT
Perkara 1 Dasar dan Garis Panduan Keselamatan Perkara 1 – Dasar dan Garis Panduan KeselamatanICT
Perkara 2 – Organisasi Keselamatan ICTg Perkara 3 – Pengurusan Aset ICT Perkara 4 – Keselamatan Sumber Manusia Perkara 5 – Keselamatan Fizikal 2
AAGENDAGENDA
Perkara 6 – Pengurusan Operasi dan Komunikasi
28/10/20g p Perkara 7 – Kawalan Capaian Perkara 8 – Pembangunan dan Penyenggaraan
011
Sistem Perkara 9 – Pengurusan Pengendalian Insiden
KeselamatanKeselamatan Perkara 10 – Pengurusan Kesinambungan
Perkhidmatan Perkara 11 - Pematuhan
3
PPENGENALANENGENALAN
Peraturan yang perlu dibaca, difahami dan dipatuhi;
28/10/20y g p , p ; Menerangkan tentang tanggungjawab dan peranan
semua pengguna dalam penggunaan danli d t ICT
011
perlindungan aset ICT. Pengguna
Kakitangan JKR; Kakitangan JKR; Bukan kakitangan JKR; Pembekal; Perunding; Kontraktor; dan Lain-lain.Lain lain.
4
OOBJEKTIFBJEKTIF DGPKICTDGPKICT
Menjamin kesinambungan urusan;
28/10/20j g ; Meminimumkan kesan insiden keselamatan.
011
5
PPRINSIPRINSIP--PRINSIPPRINSIP KESELAMATANKESELAMATAN
Akses atas dasar perlu mengetahui;
28/10/20p g ; Hak akses minimum; Akauntabiliti;
011
Pengasingan; Pengauditan; Pemulihan; dan Pematuhan.
6
28/10/20
Akses atasdasar perlumengetahui
011Hak aksesminimumPematuhan
Prinsip-prinsipKeselamatan ICT
AkauntabilitiPemulihan
Keselamatan ICT
7PengasinganPengauditan
28/10/20
Data/ maklumatS b
011maklumatSumberManusia
Skop Dasar
Perkakasan
Perkhidmatan
Perisian
8
PPERKARAERKARA 1 1 –– DASARDASAR DANDAN GARISGARIS PANDUANPANDUANKESELAMATANKESELAMATAN ICTICT
Objektif
28/10/20j Menerangkan hala tuju dan sokongan pengurusan
terhadap keselamatan maklumat selaras dengan keperluan JKR dan perundangan yang berkaitan
011
keperluan JKR dan perundangan yang berkaitan.
Pelaksanaan – KPKR Penyebaran & Penyenggaraan – ICTSOy y gg Pengecualian
Tiada pengecualian;S ICT JKR Semua pengguna ICT JKR.
9
PPERKARAERKARA 2 2 –– ORGANISASIORGANISASI KESELAMATANKESELAMATANICTICT
Objektif
28/10/20j Menerangkan peranan dan tanggungjawab individu yang
terlibat dengan lebih jelas dan teratur dalam mencapaiobjektif Dasar dan Garis Panduan Keselamatan ICT JKR;
011
Menjamin keselamatan semua aset ICT yang digunakan olehpihak ketiga
Penyelaras ICTy perantara di antara Bahagian Teknologi Maklumat, Pentadbir
Sistem dan Pengguna di bawah kawalannya; Melapor pergerakan pegawai;p p g p g ; Menyimpan dan kemaskini rekod aset ICT JKR di bawah
kawalannya; dan Melaporkan sebarang aktiviti yang mengancam keselamatanMelaporkan sebarang aktiviti yang mengancam keselamatan
ICT kepada ICTSO dengan segera; 10
PPERKARAERKARA 2 2 –– ORGANISASIORGANISASI KESELAMATANKESELAMATANICTICT
Penguna
28/10/20g Membaca, memahami dan mematuhi Dasar Mengetahui dan memahami implikasi keselamatan ICT
kesan dari tindakannya;
011
y ; Melaksanakan prinsip-prinsip Dasar Melaksanakan langkah-langkah perlindungan Melaporkan sebarang aktiviti yang mengancam Melaporkan sebarang aktiviti yang mengancam
keselamatan ICT kepada Penyelaras ICT dengansegera;
Menghadiri program kesedaran mengenai keselamatanMenghadiri program kesedaran mengenai keselamatanICT; dan
Menandatangani SURAT AKUAN PEMATUHAN DASAR DAN GARIS PANDUAN KESELAMATAN ICT JKR. 11
PPERKARAERKARA 3 3 –– PENGURUSANPENGURUSAN ASETASET ICTICT
Objektif
28/10/20j Memberi dan menyokong perlindungan yang
bersesuaian ke atas semua aset ICT JKR; Memastikan setiap maklumat atau aset ICT diberikan
011
Memastikan setiap maklumat atau aset ICT diberikan tahap perlindungan yang bersesuaian.
Pengelasan Maklumat Rahsia Besar; Rahsia; Rahsia; Sulit; atau Terhad.
12
PPERKARAERKARA 3 3 –– PENGURUSANPENGURUSAN ASETASET ICTICT
Pengendalian Maklumat
28/10/20
Menghalang pendedahan maklumat kepada pihak yang tidakdibenarkan;
Memeriksa maklumat dan menentukan ia tepat dan lengkapdari semasa ke semasa;
011
dari semasa ke semasa; Menentukan maklumat sedia untuk digunakan; Menjaga kerahsiaan kata laluan; Mematuhi standard prosedur langkah dan garis panduan Mematuhi standard, prosedur, langkah dan garis panduan
keselamatan yang ditetapkan; Memberi perhatian kepada maklumat terperingkat terutama
semasa pewujudan, pemprosesan, penyimpanan, p j p p p y ppenghantaran, penyampaian, pertukaran dan pemusnahan; dan
Menjaga kerahsiaan mengenai keselamatan ICT dari diketahuiumumumum. 13
PPERKARAERKARA 4 4 –– KESELAMATANKESELAMATAN SUMBERSUMBERMANUSIAMANUSIA
Objektif
28/10/20j Meminimumkan risiko seperti kesilapan, kecuaian, kecurian,
penipuan dan penyalahgunaan aset ICT JKR oleh pengguna; Memastikan semua pengguna sedar dan bertanggungjawab
011
p gg gg gjmengenai ancaman keselamatan maklumat bagimeminimumkan risiko seperti kesilapan, kecuaian, kecurian, penipuan dan penyalahgunaan aset ICT JKR; dan
Memastikan semua pengguna yang bertukar atau tamatperkhidmatan diuruskan dengan teratur bagi meminimumkanrisiko keselamatan ICT.
Peranan dan Tanggungjawab Pengguna jelas peranan dan tanggungjawab terhadap
keselamatan ICT; Memastikan perlindungan ke atas aset ICT. 14
PPERKARAERKARA 5 5 –– KESELAMATANKESELAMATAN FIZIKALFIZIKAL
Objektif
28/10/20j Mencegah akses fizikal yang tidak dibenarkan,
kerosakan dan gangguan kepada premis dan maklumatJabatan;
011
Jabatan; Melindungi aset ICT JKR dari sebarang bentuk ancaman
persekitaran yang disebabkan oleh bencana alam, kesilapan kecuaian atau kemalangan;kesilapan, kecuaian atau kemalangan;
Melindungi peralatan ICT JKR dari kehilangan, kerosakan, kecurian serta gangguan kepada peralatantersebuttersebut.
15
PPERKARAERKARA 5 5 –– KESELAMATANKESELAMATAN FIZIKALFIZIKAL
Kawalan Masuk Fizikal
28/10/20
Setiap pengguna JKR hendaklah memakai ataumengenakan pas keselamatan pengguna sepanjangwaktu bertugas;
011
waktu bertugas; Semua pas keselamatan pengguna hendaklah
diserahkan balik kepada Jabatan apabila penggunabertukar berhenti atau bersara;bertukar, berhenti atau bersara;
Hanya pengguna yang diberi kebenaran sahaja bolehmencapai atau menggunakan aset ICT JKR; dan
h l l h d l k d Kehilangan pas mestilah dilaporkan dengan segera.
16
PPERKARAERKARA 5 5 –– KESELAMATANKESELAMATAN FIZIKALFIZIKAL
Prosedur Kecemasan
28/10/20
Setiap pengguna hendaklah membaca, memahami danmematuhi prosedur kecemasan dengan merujuk kepadaGaris Panduan Keselamatan JKR dan CGSO (The Chief
011
Garis Panduan Keselamatan JKR dan CGSO (The Chief Government Security Office);
Kecemasan persekitaran seperti kebakaran hendaklahdilaporkan kepada Pegawai Keselamatan Jabatan (PKJ)dilaporkan kepada Pegawai Keselamatan Jabatan (PKJ) yang dilantik; dan
Mengadakan latihan fire drill mengikut jadual.
17
PPERKARAERKARA 5 5 –– KESELAMATANKESELAMATAN FIZIKALFIZIKAL
Peralatan ICTP h d kl h k d tik
28/10/20
Pengguna hendaklah menyemak dan memastikan semuaperalatan ICT di bawah kawalannya berfungsi dengan sempurna;
Pengguna bertanggungjawab sepenuhnya ke atas komputermasing-masing dan tidak dibenarkan membuat sebarangpertukaran perkakasan dan konfigurasi yang telah ditetapkan;
011
pertukaran perkakasan dan konfigurasi yang telah ditetapkan; Pengguna dilarang sama sekali menambah, menanggal atau
mengganti sebarang perkakasan ICT yang telah ditetapkan; Pengguna adalah bertanggungjawab untuk melapor di atas
kerosakan atau kehilangan peralatan ICT di bawah kawalannya;kerosakan atau kehilangan peralatan ICT di bawah kawalannya; Pengguna perlu memastikan perisian antivirus di komputer
peribadi mereka sentiasa aktif (activated) dan dikemaskini disamping melakukan imbasan ke atas media storan yang digunakan;digunakan;
Penggunaan kata laluan untuk akses ke sistem komputer adalahdiwajibkan;
Semua peralatan sokongan ICT hendaklah dilindungi daripadakecurian kerosakan penyalahgunaan atau pengubahsuaiankecurian, kerosakan, penyalahgunaan atau pengubahsuaiantanpa kebenaran; 18
PPERKARAERKARA 5 5 –– KESELAMATANKESELAMATAN FIZIKALFIZIKAL
Peralatan ICT
28/10/20
Semua peralatan ICT hendaklah disimpan atau diletakkan ditempat yang teratur, bersih dan mempunyai ciri-ciri keselamatan. Peralatan rangkaian seperti switches, hub, router dan lain-lain perlu diletakkan di dalam rak khas dan berkunci;
011
p ; Semua peralatan yang digunakan secara berterusan mestilah
diletakkan di kawasan yang berhawa dingin dan mempunyaipengudaraan (air ventilation) yang sesuai;
Peralatan ICT yang hendak dibawa keluar dari premis JKR Peralatan ICT yang hendak dibawa keluar dari premis JKR, perlulah mendapat kelulusan Pengurus ICT dan direkodkan bagitujuan pemantauan;
Peralatan ICT yang hilang hendaklah dilaporkan kepada PegawaiA t d di kl k k d ICTSO dAset dan dimaklumkan kepada ICTSO dengan segera;
Pengendalian peralatan ICT hendaklah mematuhi dan merujuk kepada peraturan semasa yang berkuat kuasa;
Sebarang kerosakan peralatan ICT hendaklah dilaporkan kepadaSebarang kerosakan peralatan ICT hendaklah dilaporkan kepadaPentadbir Sistem ICT untuk di baik pulih; 19
PPERKARAERKARA 5 5 –– KESELAMATANKESELAMATAN FIZIKALFIZIKAL
Peralatan ICT
28/10/20
Konfigurasi alamat IP tidak dibenarkan diubah daripadaalamat IP yang asal;
Pengguna dilarang sama sekali mengubah kata laluan
011
gg g gbagi pentadbir (administrator password) yang telahditetapkan oleh Pentadbir Sistem ICT;
Pengguna bertanggungjawab terhadap perkakasan, perisian dan maklumat di bawah jagaannya danhendaklah digunakan sepenuhnya bagi urusan rasmisahaja; P h d kl h tik k k Pengguna hendaklah memastikan semua perkakasankomputer, pencetak dan pengimbas dipadamkan apabilameninggalkan pejabat; dan
Sebarang bentuk penyelewengan atau salahguna Sebarang bentuk penyelewengan atau salahgunaperalatan ICT hendaklah dilaporkan kepada ICTSO.
20
PPERKARAERKARA 6 6 –– PENGURUSANPENGURUSAN OPERASIOPERASI DANDANKOMUNIKASIKOMUNIKASI
Objektif
28/10/20
Memastikan perkhidmatan dan pemprosesan maklumat dapatberfungsi dengan betul dan selamat daripada sebarangancaman dan gangguan;Meminimumkan risiko yang menyebabkan gangguan atau
011
Meminimumkan risiko yang menyebabkan gangguan ataukegagalan sistem;
Melindungi integriti perisian dan maklumat dari pendedahanatau kerosakan yang disebabkan oleh perisian berbahayay g p yseperti virus, trojan dan sebagainya;
Melindungi integriti maklumat dan perkhidmatan komunikasiagar boleh diakses pada bila-bila masa;M li d i kl t d l k i d i f t kt Melindungi maklumat dalam rangkaian dan infrastruktursokongan;
Melindungi aset ICT dari kerosakan dan gangguan aktivitiperkhidmatan yang tidak dikawal; danperkhidmatan yang tidak dikawal; dan
Melindungi aset ICT melalui sistem komunikasi yang selamat.21
PPERKARAERKARA 6 6 –– PENGURUSANPENGURUSAN OPERASIOPERASI DANDANKOMUNIKASIKOMUNIKASI
Perlindungan Dari Perisian BerbahayaM i t k l t t k i i t
28/10/20
Memasang sistem keselamatan untuk mengesan perisian atau program berbahaya seperti anti virus atau sistem pengesanan pencerobohan (IDS) dan mengikut prosedur penggunaan yang betul dan selamat;
Memasukkan klausa tanggungan di dalam mana-mana kontrak yang telahditawarkan kepada pembekal perisian. Klausa ini bertujuan untuk
011
p p p jtuntutan baikpulih sekiranya perisian tersebut mengandungi program berbahaya;
Mengadakan program dan prosedur jaminan kualiti ke atas semua perisian yang dibangunkan;
Memberi amaran mengenai ancaman keselamatan ICT seperti serangan Memberi amaran mengenai ancaman keselamatan ICT seperti seranganvirus;
Memasang dan menggunakan hanya perisian yang berdaftar dandilindungi di bawah undang-undang bertulis yang berkuatkuasa;
Mengimbas semua perisian atau sistem dengan anti virus sebelumg p gmenggunakannya;
Memastikan pattern anti virus sentiasa dikemaskini; Menyemak kandungan sistem atau maklumat secara berkala bagi
mengesan aktiviti yang tidak diingini seperti kehilangan dan kerosakanmaklumat; danmaklumat; dan
Menghadiri program kesedaran mengenai ancaman perisian berbahayadan cara mengendalikannya.
22
PPERKARAERKARA 6 6 –– PENGURUSANPENGURUSAN OPERASIOPERASI DANDANKOMUNIKASIKOMUNIKASI
Prosedur Pengendalian Media
28/10/20g Melabelkan semua media mengikut tahap sensitiviti
sesuatu maklumat; Menghadkan dan menentukan capaian media kepada
011
g p ppengguna yang sah sahaja;
Menghadkan pengedaran maklumat atau media untuktujuan yang dibenarkan;
Mengawal dan merekodkan aktiviti penyelenggaraanmedia bagi mengelak dari sebarang kerosakan danpendedahan yang tidak dibenarkan;
Menyimpan semua media di tempat yang selamat; dan Media yang mengandungi maklumat rahsia rasmi
hendaklah dihapus atau dimusnahkan mengikutd b t l d l t bil tid kprosedur yang betul dan selamat apabila tidak
diperlukan.23
PPERKARAERKARA 6 6 –– PENGURUSANPENGURUSAN OPERASIOPERASI DANDANKOMUNIKASIKOMUNIKASI
InternetL l b l h dil i dil d di d l h b b t k
28/10/20
Laman-laman yang boleh dilayari, dilanggan dan diguna adalah berbentukakademik dan pengetahuan serta untuk urusan kerja harian. Laman yang berbentuk keganasan, lucah, hasutan dan yang boleh menimbul ataumembawa kepada keganasan, keruntuhan akhlak dan kebencian adalahtidak dibenarkan sama sekali;
011
Capaian laman yang berbentuk hiburan, hobi atau leisure tidakdibenarkan termasuk laman game online, radio online dan video streaming;
Melayari internet tanpa tujuan atau meninggalkan capaian internet unattended adalah amat tidak beretika dan tidak digalakkan kerana ianyaunattended adalah amat tidak beretika dan tidak digalakkan kerana ianyaboleh menyebabkan kesesakan rangkaian JKR;
Ketua Pengarah atau Wakil Pengurusan berhak menapis, menghalang danmenegah penggunaan mana-mana laman web yang dianggap tidaksesuai; Pengguna dilarang mengganggu atau menceroboh laman web mana Pengguna dilarang mengganggu atau menceroboh laman web mana-mana Jabatan, Organisasi atau Negara;
Pengguna dilarang memasuki, menyalin, menciplak, mencetak danmenyebarkan maklumat daripada Internet yang menyalahi undang-undang negara; g g
24
PPERKARAERKARA 6 6 –– PENGURUSANPENGURUSAN OPERASIOPERASI DANDANKOMUNIKASIKOMUNIKASI
Internet
28/10/20
Pengguna tidak dibenarkan mencapai atau cuba mencapaisumber elektronik (data, paparan, keystrokes, fail atau media storan) dalam sebarang bentuk yang dimiliki oleh penggunayang lain tanpa mendapat kebenaran atau kelulusan
011
yang lain tanpa mendapat kebenaran atau kelulusanpengguna terbabit terlebih dahulu. Ini termasuk membaca, menyalin, menukar, merosak atau memadam data, program dan perisian. Penggunaan penganalisis rangkaian (network analyzer) atau pengintip (sniffer) adalah dilarang sama sekalianalyzer) atau pengintip (sniffer) adalah dilarang sama sekali.
Pengguna yang mencapai sesuatu perkhidmatan yang perludibayar (contohnya pangkalan data online komersial), hendaklah bertanggungjawab ke atas segala bayaran yang gg gj g y y gdikenakan.
Maklumat lanjut mengenai keselamatan Internet hendaklahmerujuk kepada PKPA Bil. 1 Tahun 2003 bertajuk “GarisPanduan Mengenai Tatacara Penggunaan Internet danPanduan Mengenai Tatacara Penggunaan Internet danMel Elektronik di Agensi-agensi Kerajaan”.
25
PPERKARAERKARA 6 6 –– PENGURUSANPENGURUSAN OPERASIOPERASI DANDANKOMUNIKASIKOMUNIKASI
Media Sosial
28/10/20
Mencapai laman web jaringan sosial yang hanyaberkaitan dengan urusan rasmi agensi pada waktupejabat;
011
pejabat; Menggunakan ayat yang lengkap dan jelas maksudnya; Tidak memaparkan isu-isu sensitif seperti agama, politik
d k t b fit h tdan perkauman serta yang berunsur fitnah atau hasutan;
Tidak memaparkan kenyataan-kenyataan yang bolehk dmenjejaskan imej Kerajaan; dan
Tidak menggunakan laman web jaringan sosial untukmengaibkan individu tertentu.
26
PPERKARAERKARA 6 6 –– PENGURUSANPENGURUSAN OPERASIOPERASI DANDANKOMUNIKASIKOMUNIKASI
Mel ElektronikAk l l kt ik ( l) JKR h di t kk k d
28/10/20
Akaun mel elektronik (e-mel) JKR hanya diperuntukkan kepadapegawai dan kakitangan yang mempunyai maklumat di dalamSistem Maklumat Kakitangan Jabatan semasa.
Pengguna hanya boleh menggunakan akaun atau alamat e-melyang diperuntukkan oleh JKR sahaja Penggunaan akaun milik
011
yang diperuntukkan oleh JKR sahaja. Penggunaan akaun milikorang lain tidak dibenarkan;
Memastikan subjek dan kandungan e-mel adalah berkaitan danmenyentuh perkara perbincangan yang sama sebelumpenghantaran dilakukan;penghantaran dilakukan;
Akaun e-mel rasmi JKR hanyalah untuk kegunaan urusan rasmisahaja. Sebarang penyalahgunaan e-mel akan di ambil tindakantatatertib mengikut peraturan semasa yang berkuatkuasa.
Pengguna hendaklah memastikan alamat e-mel persendirian Pengguna hendaklah memastikan alamat e-mel persendirianseperti e-mel yahoo, gmail, streamyx dan sebagainya tidak bolehdigunakan untuk tujuan rasmi;
Pengguna dinasihatkan menggunakan fail kepilan, sekiranyaperlu tidak melebihi sepuluh (10) MB semasa penghantaran.perlu tidak melebihi sepuluh (10) MB semasa penghantaran. Kaedah pemampatan untuk mengurangkan saiz adalahdisarankan;
27
PPERKARAERKARA 6 6 –– PENGURUSANPENGURUSAN OPERASIOPERASI DANDANKOMUNIKASIKOMUNIKASI
Mel Elektronik
28/10/20
Pengguna hendaklah mengelak dari membuka e-mel daripadapenghantar yang tidak diketahui atau diragui;
Pengguna hendaklah mengenal pasti dan mengesahkanidentiti pengguna yang berkomunikasi dengannya sebelum
011
p gg y g g ymeneruskan transaksi maklumat melalui e-mel;
E-mel yang tidak penting dan tidak mempunyai nilai arkibyang telah diambil tindakan dan tidak diperlukan lagi bolehlahdihapuskan; p ;
Pengguna hendaklah menentukan tarikh dan masa sistemkomputer adalah tepat;
Pengguna adalah dilarang menggunakan apa-apa cara pun untuk menyamar sebagai penghantar e-mel yang sahuntuk menyamar sebagai penghantar e mel yang sah. Sebarang penyalahgunaan hendaklah dilaporkan kepadaICTSO;
Akaun e-mel yang tidak aktif selama 3 bulan akan disable danseterusnya akan dihapuskan selepas 6 bulan;seterusnya akan dihapuskan selepas 6 bulan;
28
PPERKARAERKARA 6 6 –– PENGURUSANPENGURUSAN OPERASIOPERASI DANDANKOMUNIKASIKOMUNIKASI
Mel Elektronik
28/10/20
Mengambil tindakan segera dan memberi maklum balasterhadap e-mel yang diterima;
Sekiranya pengguna akan bercuti atau berkursus dalam
011
Sekiranya pengguna akan bercuti atau berkursus dalamjangkamasa yang panjang atau bertukar tempat kerja, makluman kepada pentadbir e-mel perlu dilakukansupaya kerja-kerja penyenggaraan e-mel dapatsupaya kerja-kerja penyenggaraan e-mel dapatdilaksanakan;
Pengguna tidak boleh melibatkan diri dalam aktivitipenghantaran mel sampah (flaming) mel bom (mailpenghantaran mel sampah (flaming), mel bom (mail bombing) dan mel spam (spamming); dan
Pengguna hendaklah bertanggungjawab ke ataski i d ilb ipengemaskinian dan penggunaan mailbox masing-
masing.29
PPERKARAERKARA 7 7 –– KAWALANKAWALAN CAPAIANCAPAIAN
Objektif
28/10/20j Memahami dan mematuhi keperluan keselamatan
dalam mengawal capaian ke atas aset ICT JKR; Mengawal capaian pengguna ke atas aset ICT Jabatan;
011
Mengawal capaian pengguna ke atas aset ICT Jabatan; Menghalang capaian tidak sah dan tanpa kebenaran ke
atas maklumat yang terdapat di dalam sistem aplikasi; Memastikan keselamatan maklumat apabila
menggunakan kemudahan atau peralatan komputermudah alih;
Menghalang capaian tidak sah dan tanpa kebenaran keatas sistem pengoperasian.
30
PPERKARAERKARA 7 7 –– KAWALANKAWALAN CAPAIANCAPAIAN
Pengurusan Katalaluan
28/10/20g Dalam apa jua keadaan dan sebab, katalaluan hendaklah
dilindungi dan tidak boleh dikongsi dengan sesiapa pun; Pengguna hendaklah menukar katalaluan apabila disyaki
011
gg p yberlakunya kebocoran katalaluan atau dikompromi;
Panjang katalaluan mestilah sekurang-kurangnya lapan (8) aksara dengan gabungan aksara, angka dan aksara khusus;
Katalaluan hendaklah diingat dan TIDAK BOLEH dicatat, disimpan atau didedahkan dengan apa cara sekalipun;
Katalaluan windows dan screen saver hendaklah diaktifkanterutamanya pada komputer yang terletak di ruanggunasama;
31
PPERKARAERKARA 7 7 –– KAWALANKAWALAN CAPAIANCAPAIAN
Pengurusan Katalaluan
28/10/20g Katalaluan hendaklah tidak dipaparkan semasa input, dalam
laporan atau media lain dan tidak boleh dikodkan di dalam program;
011
Kuatkuasakan pertukaran katalaluan semasa login kali pertama atau selepas login kali pertama atau selepas katalaluan diset semula;
Katalaluan hendaklah berlainan daripada pengenalan identitipengguna;
Tentukan had masa pengesahan dengan maksimum selamali (5) i it ( ik t k i i t ) d l h dlima (5) minit (mengikut kesesuaian sistem) dan selepas had itu, sesi perlu ditamatkan;
Katalaluan perlu ditukar dalam tempoh satu (1) tahun; danM l kk l ti (3) k t l l Mengelakkan penggunaan semula tiga (3) katalaluan yang terbaru.
32
PPERKARAERKARA 7 7 –– KAWALANKAWALAN CAPAIANCAPAIAN
Clear Desk dan Clear Screen
28/10/20
Clear Desk dan Clear Screen bermaksud tidakmeninggalkan bahan-bahan yang sensitif terdedahsama ada atas meja pengguna atau di paparan skrin
011
sama ada atas meja pengguna atau di paparan skrinapabila pengguna tidak berada di tempatnya.
Menggunakan kemudahan katalaluan screen saver ataulog keluar apabila meninggalkan komputer;log keluar apabila meninggalkan komputer;
Menyimpan bahan-bahan sensitif di dalam laci ataukabinet fail yang berkunci; dan
k d k d b l d Memastikan semua dokumen diambil segera dari pencetak, pengimbas, mesin faksimili dan mesin fotostat.
33
PPERKARAERKARA 7 7 –– KAWALANKAWALAN CAPAIANCAPAIAN
Penggunaan Peralatan Komputer Mudah Alih
28/10/20gg p Memastikan perisian antivirus dan penampalan
(patches) dipasang dan dikemaskini (updated virus pattern & patches);
011
pattern & patches); Keselamatan peralatan adalah di bawah tanggungjawab
pengguna; M tik ti d i i b l h Memastikan tiada perisian yang boleh mengganggugugat keselamatan rangkaian JKR;
Penggunaan adalah atas urusan rasmi sahaja.
34
PPERKARAERKARA 8 8 –– PEMBANGUNANPEMBANGUNAN DANDANPENYENGGARAANPENYENGGARAAN SISTEMSISTEM
Objektif
28/10/20j Memahami dan mematuhi keperluan keselamatan
dalam mencapai dan menggunakan aset ICT JKR; Melindungi kerahsiaan integriti dan kesahihan
011
Melindungi kerahsiaan, integriti dan kesahihan maklumat;
Memastikan supaya fail sistem dikawal dan dikendalikand b ik d l tdengan baik dan selamat;
Menjaga dan menjamin keselamatan sistem maklumat dan aplikasi.
Penyulitan (encryption) Maklumat sensitif dan rahsia rasmi.
Tandatangan Digital Tandatangan Digital Transaksi maklumat rahsia rasmi secara elektronik.
35
PPERKARAERKARA 9 9 –– PENGURUSANPENGURUSAN PENGENDALIANPENGENDALIANINSIDENINSIDEN KESELAMATANKESELAMATAN
ObjektifM tik i id dik d lik d t d b k b i
28/10/20
Memastikan insiden dikendalikan dengan cepat dan berkesan bagimeminimumkan kesan insiden keselamatan ICT;
Memastikan pendekatan yang konsisten dan efektif digunakan dalam pengurusan maklumat insiden keselamatan ICT.
011
Insiden Yang Perlu Dilaporkan Maklumat didapati hilang; Maklumat didedahkan kepada pihak-pihak yang tidak diberi kuasa; Maklumat disyaki hilang atau didedahkan kepada pihak pihak yang tidak Maklumat disyaki hilang atau didedahkan kepada pihak-pihak yang tidak
diberi kuasa; Sistem maklumat digunakan tanpa kebenaran atau disyaki sedemikian; Katalaluan atau mekanisme kawalan akses hilang, dicuri atau didedahkan,
atau disyaki hilang, dicuri atau didedahkan;y g, ; Berlaku kejadian sistem yang luar biasa seperti kehilangan fail, sistem
kerap kali gagal dan komunikasi tersalah hantar; dan Berlaku percubaan menceroboh, penyelewengan dan insiden-insiden yang
tidak dijangka.36
PPERKARAERKARA 10 10 –– PENGURUSANPENGURUSANKESINAMBUNGANKESINAMBUNGAN PERKHIDMATANPERKHIDMATAN
Objektif
28/10/20j Menjamin operasi perkhidmatan agar tidak tergendala
dan penyampaian perkhidmatan yang berterusankepada pelanggan
011
kepada pelanggan.
Pengurusan Kesinambungan Perkhidmatan (BCM)
37
PPERKARAERKARA 11 11 -- PEMATUHANPEMATUHAN
Objektif
28/10/20j Meningkatkan tahap keselamatan ICT bagi mengelak
dari pelanggaran kepada Dasar dan Garis PanduanKeselamatan ICT JKR
011
Keselamatan ICT JKR.
Pematuhan Baca, faham dan patuh; Aset ICT hakmilik Kerajaan; Aktiviti dipantau;
Keperluan Perundangan Keperluan Perundangan
38
28/100/2011
TTERIMAERIMA KASIHKASIHSS
SHAMSUDDIN BIN JAMRAN SHAMSUDDIN BIN JAMRAN SSCP, MTCPSSCP, MTCP
BHG. TEKNOLOGI MAKLUMAT BHG. TEKNOLOGI MAKLUMAT jsham@jkr gov myjsham@jkr gov my
39
jsham@jkr.gov.myjsham@jkr.gov.my
top related