program kesedaran dasar dan garis panduan ict …

PROGRAM

KESEDARAN DASAR DAN GARIS PANDUAN ICT SEKTOR

AWAM 2015

1

DASAR PERKHIDMATAN PRASARANA KUNCI AWAM KERAJAAN

(GPKI)

Tujuan

Latar Belakang

Takrifan dan Pernyataan Dasar

Pelaksanaan GPKI

Faedah Perlindungan GPKI

Pindaan dan Kemaskini

Penutup

1

2

4

3

2

AGENDA AGENDA

5

6

7

TUJUAN DASAR GPKI

3

GPKI

Individu

Perisian

Perkakasan Polisi

Prosidur

4

“Menjelaskan perkhidmatan Prasarana Kunci

Awam Kerajaan [Government Public Key Infrastructure (GPKI)] kepada agensi sektor

awam bagi memantapkan tahap keselamatan data dan maklumat sistem teknologi maklumat

dan komunikasi (ICT) kerajaan.”

LATAR BELAKANG DASAR GPKI

5

GPKI

Individu

Perisian

Perkakasan Polisi

Prosidur

Public Key Infrastructure (PKI) atau Prasarana Kunci Awam adalah gabungan perisian, teknologi penyulitan dan perkhidmatan yang membolehkan organisasi melindungi keselamatan komunikasi dan transaksi urus niaga dalam internet. (terjemahan dari MyMIS, 2002).

AKTA TANDATANGAN DIGITAL 1997 Diwujudkan untuk memberi keyakinan dan galakan kepada masyarakat menggunakan transaksi elektronik sama ada transaksi di dalam atau di luar negara.

Tandatangan digital menyediakan sistem pengesahan yang boleh mengesahkan identiti pengguna dan mesej yang dihantar

Sijil digital diperolehi daripada Pihak Berkuasa Pemerakuan Berlesen yang dilesenkan oleh Suruhanjaya Komunikasi dan Multimedia Malaysia (SKMM)

Dokumen yang dibuat mengikut Akta ini atau ditandatangani secara digital adalah sah sebagai satu dokumen

PENGENALAN GPKI

7

APLIKASI ICT

KERAJAAN

MyGST POWER GEN 2

eVetting

SPPB

SPI eSPKB

ePerolehan

E-Syariah

e-Filing (eKehakiman)

SISTEM ICT KERAJAAN

8

PERKHIDMATAN GPKI

Pengurusan sijil digital yang merangkumi penyelarasan dengan Pihak Berkuasa

Pemerakuan (CA) bagi proses permohonan baharu, pembaharuan dan

pembatalan sijil digital

Khidmat nasihat serta konsultasi bagi

perancangan dan pelaksanaan GPKI

TAKRIFAN DAN PERNYATAAN

DASAR

9

GPKI

Individu

Perisian

Perkakasan Polisi

Prosidur

10

Prasarana Kunci Awam [Public Key Infrastructure (PKI)]

Satu set perkakasan, perisian, individu, teknologi, polisi dan tatacara yang perlu bagi mencipta, mengurus, mengedar, mengguna, menyimpan dan membatalkan pemerakuan digital.

Portal GPKI

Laman web yang menyampaikan maklumat mengenai perkhidmatan GPKI dan juga menyediakan kemudahan perkhidmatan dalam talian permohonan sijil digital kepada penjawat awam dan dicapai melalui URL https://gpki.mampu.gov.my.

Pihak Berkuasa Pemerakuan Berlesen [Licensed Certification Authority (CA)]

Pihak yang bertanggungjawab mengeluarkan sijil digital yang sah berdasarkan Akta Tandatangan Digital 1997 dan Peraturan-peraturan Tandatangan Digital 1998.

Pihak Berkuasa Pendaftaran [Registration Authority (RA)]

Pihak yang dilantik oleh CA bagi menjalankan kerja semakan permohonan dan mengesahkan pengeluaran sijil digital sebelum dikeluarkan oleh CA.

Sijil Digital

Sijil yang dikeluarkan CA untuk mengesahkan tanpa penafian identiti pengguna atau pelayan.

Sijil Digital Pengguna Sijil Digital Pelayan

Sijil yang dikeluarkan CA yang mengandungi maklumat berkenaan dengan identiti pelanggan dan kunci persendirian pelanggan dan ditandatangani pelanggan

Sijil yang dikeluarkan CA untuk mengesahkan identiti organisasi kepada pengguna supaya maklumat transaksi dihantar tanpa masalah pemintasan data semasa transaksi dilakukan, data penggodaman, atau pemalsuan mesej.

“Semua sistem ICT kerajaan yang memerlukan kemudahan

Prasarana Kunci Awam (PKI) hendaklah menggunakan

Perkhidmatan Prasarana Kunci Awam Kerajaan

(GPKI)”

Petikan Pekeliling Kemajuan Pentadbiran Awam Bil. 3/2015:

Dasar Perkhidmatan Prasarana Kunci Awam Kerajaan

[Government Public Key Infrastructure (GPKI)] (23 Oktober 2015), para 6

PERNYATAAN DASAR

PELAKSANAAN GPKI

12

GPKI

Individu

Perisian

Perkakasan Polisi

Prosidur

LAMPIRAN I

• Garis Panduan Teknikal Perkhidmatan Prasarana Kunci Awam Kerajaan (GPKI) Menerangkan kaedah pelaksanaan teknikal bagi aspek penggunaan sijil digital yang merangkumi kaedah penilaian risiko, panduan penentuan penggunaan sijil digital dan keperluan teknikal.

LAMPIRAN II

• Garis Panduan Operasi Perkhidmatan Prasarana Kunci Awam Kerajaan (GPKI) Menerangkan tadbir urus dan tatacara operasi merangkumi aspek pengurusan, pengendalian dan pelaksanaan operasi GPKI pada semua peringkat pelaksanaan termasuk pengeluaran sijil digital.

13

DASAR GPKI

14

LAMPIRAN I

DASAR GPKI

15

LAMPIRAN II

Jenis perkhidmatan dan prosedur permohonan 2

Model pengurusan dan operasi perkhidmatan Prasarana Kunci Awam Kerajaan (GPKI), peranan dan tanggungjawab semua pihak yang berkaitan dengan pelaksanaan GPKI

1

DASAR GPKI

FAEDAH

PERLINDUNGAN GPKI

16

GPKI

Individu

Perisian

Perkakasan Polisi

Prosidur

17

FAEDAH GPKI

Konsep Asas Keselamatan

PKI Keterangan Kaedah

Tradisional Kaedah Kawalan Keselamatan Melalui PKI

Kerahsiaan Maklumat disediakan hanya untuk pegawai yang dibenarkan sahaja

• Sampul surat yang dimeterai

• Dakwat limunan

Penyulitan maklumat dibuat menggunakan kunci awam bagi memastikan hanya pemunya kunci persendirian yang sepadan sahaja boleh menyahsulit maklumat. Tujuan Penggunaan: - Pengesahan Identiti - Penyulitan Maklumat

Pengesahan Identiti

Proses Mengesahkan identiti dan kesahihan pengguna, peranti atau pelayan sebelum mendapat akses kepada aplikasi agensi sektor awam

• ID Staf • Lesen

Memandu • Passport

Sijil digital yang dikeluarkan oleh Pihak Berkuasa Pemerakuan Berlesen mengandungi maklumat yang mengikat individu dengan kunci awam. Tujuan Penggunaan: Pengesahan Identiti

Integriti Kawalan terhadap pengubahsuaian dan penghapusan maklumat yang tidak teratur, kesilapan dan maklumat tertinggal

• Dakwat kekal • Kertas tera

air

Tandatangan digital yang mengandungi maklumat kunci persendirian penghantar boleh disahkan dengan menyemak kunci awam penghantar. Tujuan Penggunaan: - Pengesahan Identiti - Penyulitan Maklumat

Tidak Boleh Disangkal

Keperluan bagi membuktikan integriti dan punca data boleh disahkan daripada penafian penglibatan tindakan sebelumnya.

• Tandatangan yang diperakui

• Pos berdaftar

Transaksi yang melibatkan tandatangan digital hanya boleh dilakukan oleh pemegang kunci persendirian. Tujuan Penggunaan: Tandatangan Digital

PRINSIP PEGANGAN PELAKSANAAN GPKI

18

GPKI

Individu

Perisian

Perkakasan Polisi

Prosidur

19

PRINSIP GPKI • Semua aplikasi yang menggunakan PKI yang merentas agensi mestilah membenarkan penggunaan pelbagai medium

sijil digital selaras dengan tahap keselamatan aplikasi tersebut.

• Semua penjawat awam hanya dibenarkan menggunakan satu digital sahaja.

• Pemegang sijil digital yang mempunyai capaian kepada pelbagai aplikasi yang mempunyai tahap kawalan keselamatan yang berbeza hendaklah menggunakan medium sijil digital yang boleh mencapai aplikasi yang mempunyai tahap kawalan keselamatan yang tertinggi.

• Sistem ICT kerajaan yang menggunakan perkhidmatan PKI selain perkhidmatan GPKI mestilah beralih kepada perkhidmatan GPKI apabila sistem berkenaan hendak dinaik taraf atau tempoh kontrak sistem berkenaan telah tamat.

• Agensi pelaksana yang membangunkan sistem ICT kerajaan perlu memastikan sistem berkenaan boleh menyokong mana-mana medium sijil digital perkhidmatan GPKI yang sedang berkuat kuasa.

• Agensi sektor awam perlu mengambil kira keperluan sijil digital pelayan dalam spesifikasi sistem baharu.

• Perkhidmatan GPKI akan membekalkan sijil digital pelayan untuk tujuan pembaharuan sijil digital pelayan yang sedia ada yang akan tamat tempoh.

• Pemegang sijil digital pengguna perlu memaklumkan atau memulangkan medium sijil digital yang rosak, tamat tempoh, tamat perkhidmatan, bersara atau disalahgunakan kepada agensi pusat menerusi Pegawai Diberi Kuasa (AP).

• Agensi pusat menanggung semua kos bagi perkhidmatan GPKI untuk kementerian dan jabatan persekutuan yang bertindak sebagai agensi pelaksana dan semua aplikasi agensi pelaksana.

• Kos perkhidmatan GPKI bagi Badan Berkanun Persekutuan, agensi negeri, Badan Berkanun Negeri dan Pihak Berkuasa Tempatan yang berhasrat untuk bertindak sebagai agensi pelaksana dan semua pengguna aplikasi agensi ini adalah di bawah tanggungan agensi masing-masing.

• Agensi pelaksana yang berubah taraf daripada agensi persekutuan kepada agensi swasta atau badan berkanun, kos perkhidmatan GPKI bagi penggantian medium sijil digital, permohonan sijil digital baharu, naik taraf Antara Muka Pengaturcaraan Aplikasi (API) dan integrasi serta sokongan teknikal adalah di bawah tanggungan agensi berkenaan.

PINDAAN DAN KEMASKINI

20

GPKI

Individu

Perisian

Perkakasan Polisi

Prosidur

21

“Tertakluk

pada semakan dan pindaan dari semasa ke semasa selaras dengan perubahan teknologi,

aplikasi, prosedur, perundangan dan kepentingan sosial.”

PENUTUP

22

GPKI

Individu

Perisian

Perkakasan Polisi

Prosidur

Unit Pemodenan Tadbiran dan Perancangan Pengurusan Malaysia (MAMPU), Jabatan Perdana Menteri

Kompleks Jabatan Perdana Menteri, Pusat Pentadbiran Kerajaan Persekutuan,

62502 Putrajaya, Malaysia. Tel: 03 -8000 8000 Faks: 03 8888 3721

Portal : www.mampu.gov.my Emel: pmo.gpki@mampu.gov.my

23

MAKLUMAT LANJUT

Sekian, Terima Kasih

24

MODEL PENGURUSAN DAN OPERASI PERKHIDMATAN GPKI

25

PIHAK BERKUASA

PEMERAKUAN BERLESEN

SURUHANJAYA KOMUNIKASI

DAN MULTIMEDIA

MALAYSIA (SKMM)

PIHAK BERKUASA

PEMERAKUAN BERLESEN (DIGICERT)

PIHAK BERKUASA

PENDAFTARAN

PIHAK BERKUASA

PENDAFTARAN

KERAJAAN

PENGAWAL SELIA AKTA

TANDATANGAN DIGITAL

AGENSI AWAM PENGGUNA APLIKASI

(PENGGUNA)

AGENSI AWAM PENGGUNA APLIKASI

(PENGGUNA)

AGENSI PELAKSANA PEMILIK APLIKASI

(SUB ADMIN)

AGENSI AWAM PENTADBIR GPKI AGENSI (PEGAWAI DIBERI KUASA)

AGENSI AWAM PENTADBIR GPKI AGENSI (PEGAWAI DIBERI KUASA)

AGENSI PUSAT PENTADBIR UTAMA

GPKI

PIHAK BERKUASA

PEMERAKUAN BERLESEN

(TAB)

PIHAK BERKUASA

PEMERAKUAN BERLESEN

(MSC TRUSTGATE)

26

Portal GPKI

https://gpki.mampu.gov.my https://gpki.mampu.gov.my/RAAdmin

Portal Pengguna >> Portal Pentadbir >>

• Manual Pengguna • Borang • Perisian • Soalan lazim • Seminar

•Permohonan Sijil Digital Perisian (SoftCert)/Token/Perisian (Roaming) • Pengurusan PIN • Semak Status • Kemaskini Profil • Pengesahan Penerimaan/Muat

turun SoftCert

Meja bantuan • Alamat emel • No. telepon

Portal GPKI

SOFT CERTIFICATE

ROAMING SOFT CERTIFICATE

USB CRYPTO TOKEN

Bil Medium Cara Penggunaan

1 Perkakasan Kekunci disimpan dalam perkakasan (USB token atau kad pintar)

2 Perisian Kekunci akan disulitkan di dalam fail. Softcert dimuat turun ke PC/laptop pengguna.

3 Roaming Kekunci akan disulitkan di dalam fail sijil digital disimpan di server Certificate Authority (CA) dan akan dimuat turun ke PC/laptop pengguna ketika login dan dihapus setelah tamat session.

KAD PINTAR

Evolusi Medium Sijil Digital GPKI