star rating kpm (jpn / ppd)

MESYUARAT KETUA SEKTOR ICT JPN

HOTEL PULLMAN KUCHING, SARAWAK

12 MAC 2012

STAR RATING KPM(JPN / PPD)

2012

KANDUNGAN

Tujuan Struktur Tadbir Urus Star Rating KPM Kriteria Star Rating Pengurusan ICT 2012 Penetapan Sub-Kriteria Pengurusan ICT JPN &

PPD

TUJUAN

Memberi penerangan mengenai Sub-

Komponen A5: Pengurusan ICT kepada JPN

mengenai Star Rating tahun 2012.

Jawatankuasa Induk Star Rating

(YBhg.Dato’ KSU)

JK Pelaksana Star Rating( Pengurusan Kementerian )

Jawatankuasa Kecil Perlaksana Star Rating

Pengurusan ICT

(BPM)…

JK Pelaksana Star Rating( Perkhidmatan Teras )

JK Pelaksana Star Rating( Pengurusan Kewangan /

Pembangunan )

STRUKTUR TADBIR URUS STAR RATING KPM

A5.1

Tadbir Urus ICT• Pelan Strategik ICT (ISP)• Jawatankuasa Pemandu ICT (JPICT) / Setara

• Struktur, peranan & tanggungjawab

• Pematuhan Dasar/Arahan ICT

• Pasukan Tadbir Urus Pengurusan Projek

• Pasukan Tadbir Urus Laman Web/Portal

A5.2

Pengurusan Projek ICT

• Pelaksanaan Projek ICT• Pemantauan pelaksanaan projek

A5.3

Pembangunan & Pelaksanaan Sistem

ICT• Pembangunan laman web/Portal

• Pembangunan & pelaksanaan sistem aplikasi

A5.4

Pengurusan & Pentadbiran Info-

Struktur ICT• Pengurusan Aset ICT• Kawalan akses• Penggunaan internet• Penggunaan & pematuhan e-mel

• Pengurusan rangkaian komunikasi & operasi

A5.5

Pengurusan Keselamatan ICT

• Keselamatan fizikal & persekitaran

• Keselamatan sumber manusia• Keselamatan maklumat• Penilaian tahap keselamatan rangkaian & sistem ICT

• Pengurusan insiden keselamatan ICT

• Tindakan pengukuhan keselamatan ICT (Kriteria hanya untuk 176 agensi di bawah PRISMA)

• Tindakan pengukuhan keselamatan ICT (Kriteria hanya untuk agensi tidak di bawah PRISMA)

KRITERIA A5. PENGURUSAN ICT 2012

PERBANDINGAN KRITERIA STAR RATING 2010 DAN 2012

BIL

2010 BIL 2012

A5.1

Pelaksanaan Pelan Strategi ICT/ Polisi• Pelan Strategik ICT (ISP)• Dasar Keselamatan ICT

A5.1 Tadbir Urus ICT• Pelan Strategik ICT (ISP)• Jawatankuasa Pemandu ICT (JPICT) / Setara• Struktur Peranan dan Tanggungjawab Organisasi ICT• Pematuhan Dasar / Arahan Agensi• Pasukan Tadbir Urus Pengurusan Projek• Pasukan Tadbir Urus Laman Web / Portal Agensi

A5.2

Pelaksanaan Tadbir Urus ICT • Jawatankuasa Pemandu ICT

A5.2 Pengurusan Projek ICT• Pelaksanaan Projek ICT Utama Agensi• Pemantauan Pelaksanaan Projek ICT Utama Agensi

A5.3 Pengurusan Laman Web/ Portal Agensi • Pasukan Tadbir Urus Laman Web/ Portal Agensi • Pembangunan Laman Web/ Portal

A5.3 Pembangunan dan Pelaksanaan Sistem ICT• Pembangunan Laman Web / Portal• Pembangunan dan Pelaksanaan Sistem Aplikasi

PERBANDINGAN KRITERIA STAR RATING 2010 DAN 2012

BIL 2010 BIL 2012A5.4 Pembudayaan IT dalam agensi A5.4 Pengurusan dan Pentadbiran Info-Struktur ICT

• Pengurusan Aset ICT• Kawalan Akses• Penggunaan Internet• Penggunan dan Pematuhan E-mel• Pengurusan Rangkaian Komunikasi dan Operasi

A5.5 Pengurusan Keselamatan ICT• Keselamatan Fizikal dan Persekitaran• Keselamatan Sumber Manusia• Keselamatan Maklumat • Penilaian Tahap Keselamatan Rangkaian dan Sistem ICT• Pengurusan Insiden Keselamatan ICT• Tindakan Pengukuhan Keselamatan ICT

PENETAPAN SUB-KRITERIA A5 PENGURUSAN ICT BAGI JPN & PPD

A5.1 TADBIR URUS ICT JPN PPDA5.1.1 Strategik ICT (ISP)

a. Adakah agensi telah menyediakan ISP dan masih berkuatkuasa? X Xb. Adakah projek-projek utama ICT dilaksanakan mengikut perancangan ISP

agensi?X X

c. Adakah ISP agensi menyokong ISP Sektor Awam? X Xd. Adakah Kajian Semula ISP agensi telah diadakan? X X

A5.1.2 Jawatankuasa Pemandu ICT (JPICT) / Setara

e. Adakah Jawatankuasa Pemandu ICT (JPICT) agensi atau setara dengannya diwujudkan?

/ X

f. Adakah keselamatan ICT dijadikan agenda tetap dalam perbincangan jawatankuasa ini?

/ X

g. Adakah jawatankuasa ini melulus dan memantau kesemua projek ICT yang dilaksanakan di agensi?

/ X

PENETAPAN SUB-KRITERIA A5 PENGURUSAN ICT BAGI JPN & PPD

A5.1 TADBIR URUS ICT JPN PPDA5.1.3 Struktur, Peranan dan Tanggungjawab Organisasi ICT

h. Adakah Ketua Pegawai Maklumat (CIO) telah dilantik di kalangan pegawai pengurusan tertinggi agensi?

X Xi. Adakah CIO yang dilantik dimaklumkan kepada MAMPU? X Xj. Adakah Pegawai Keselamatan Maklumat (ICTSO) dilantik? X Xk. Adakah ICTSO yang dilantik dimaklumkan kepada MAMPU? X X

A5.1.4 Pematuhan Dasar / Arahan Agensi l. Adakah agensi telah mewujudkan Dasar Keselamatan ICT (DKICT)? X X

m. Adakah DKICT dikuatkuasakan ke seluruh agensi? / /n. Adakah DKICT agensi disebarkan secara menyeluruh? / /o. Adakah pembudayaan DKICT agensi dilaksanakan? / /p. Adakah kajian semula DKICT telah dilaksanakan? X X

PENETAPAN SUB-KRITERIA A5 PENGURUSAN ICT BAGI JPN & PPD

A5.1 TADBIR URUS ICT JPN PPDA5.1.5 Pasukan Tadbir Urus Pengurusan Projek

r. Adakah Tadbir Urus pengurusan projek-projek utama di peringkat agensi diwujudkan? X X

A5.1.6 Pasukan Tadbir Urus Laman Web/Portal Agensi s. Adakah Tadbir Urus laman web/portal di peringkat agensi diwujudkan? X Xt. Adakah ketiga-tiga jawatankuasa yang diwujudkan memainkan peranan aktif

dan berkesan?X X

PENETAPAN SUB-KRITERIA A5 PENGURUSAN ICT BAGI JPN & PPD

A5.2 PENGURUSAN PROJEK ICT JPN PPDA5.2.1 Pelaksanaan Projek ICT Utama Agensi

a. Adakah peringkat-peringkat dalam pengurusan projek ICT dipatuhi? X Xb. Adakah pelaksanaan awal projek mengambil kira kekangan terhadap skop

kerja, tempoh masa, sumber kewangan dan tenaga kerja?X X

c. Adakah keperluan keselamatan dikenal pasti, dipersetujui dan didokumenkan terlebih dahulu semasa fasa kajian keperluan projek?

X Xd. Adakah perolehan perkakasan atau perisian baru disesuaikan dengan

teknologi IPV6?X X

e. Adakah penguatkuasaan perjanjian kontrak ICT dilaksanakan? X Xf. Adakah kajian impak bagi projek ICT dilaksanakan? X X

PENETAPAN SUB-KRITERIA A5 PENGURUSAN ICT BAGI JPN & PPD

A5.2 PENGURUSAN PROJEK ICT JPN PPDA5.2.2 Pemantauan Pelaksanaan Projek ICT Utama AgensI

g. Adakah projek-projek ICT yang dilaksana mendapat kelulusan JPICT agensi ATAU yang setara dengannya?

X X

h. Adakah semua projek ICT yang sedang dilaksanakan, dipantau oleh JPICT agensi atau yang setaraf dengannya?

/ /

i. Adakah projek-projek ICT (tertakluk kepada Surat Pekeliling Am Bil. 1/2009) mendapat kelulusan JTICT MAMPU?

X X

j. Untuk projek ICT yang diluluskan oleh JTICT MAMPU, adakah Laporan Kemajuan Projek dikemukakan kepada JTICT MAMPU melalui JPICT agensi setiap 6 bulan dari tarikh kelulusan sehingga projek selesai?

X X

k. Adakah projek yang diluluskan oleh JPICT agensi dilaporkan kepada JTICT MAMPU empat (4) kali setahun?

X X

PENETAPAN SUB-KRITERIA A5 PENGURUSAN ICT BAGI JPN & PPD

A5.3 PEMBANGUNAN DAN PELAKSANAAN SISTEM ICT JPN PPDA5.3.1 Pembangunan Laman Web/Portal

a. Adakah laman web/portal yang dibangunkan memenuhi kesemua ciri-ciri asas mandatori? / X

b. Adakah laman web/portal yang dibangunkan menyediakan fungsi-fungsi berikut:i. Berita/aktiviti/peristiwa terkiniii. Pengumuman makluman/hebahaniii. Keratan/kenyataan/rencana akhbariv. Poster/Bannerv. Tawaran tender/sebutharga/jawatan kosong

/ X

c. Adakah agensi melaksanakan tugas-tugas penyenggaraan laman web? / X

d. Adakah agensi menyediakan perkhidmatan online? X Xe. Apakah tahap penggunaan perkhidmatan online utama yang disediakan?

(Merujuk kepada trend pencapaian)X X

f. Adakah mekanisma pemantauan perkhidmatan online diwujudkan? X Xg. Adakah agensi menyediakan kemudahan aplikasi media sosial untuk

kegunaan warga organisasi dan pelanggan? X X

h. Nyatakan hasil / kedudukan yang diperoleh bagi penarafan laman web dan portal Kementerian.

/ X

PENETAPAN SUB-KRITERIA A5 PENGURUSAN ICT BAGI JPN & PPD

A5.3 PEMBANGUNAN DAN PELAKSANAAN SISTEM ICT JPN PPDA5.3.2 Pembangunan dan Pelaksanaan Sistem Aplikasi

i. Adakah sistem yang dibangunkan mempunyai dokumentasi sistem yang lengkap?

X X

j. Adakah agensi menggunakan DDSA dalam pembangunan aplikasi? X X

k. Adakah prosedur untuk mengawal pemasangan perisian ke dalam sistem yang beroperasi diwujudkan?

X X

PENETAPAN SUB-KRITERIA A5 PENGURUSAN ICT BAGI JPN & PPD

A5.4 PENGURUSAN DAN PENTADBIRAN INFO-STRUKTUR ICT JPN PPDA5.4.1 Pengurusan Aset ICT

a. Adakah senarai aset dikemas kini setiap kali berlaku perubahan dalam maklumat aset?

/ /

b. Adakah aset ICT yang dibawa keluar mendapat keizinan/kelulusan agensi terlebih dahulu?

/ /

A5.4.2 Kawalan Akses

c. Adakah persekitaran pengkomputeran (non-fizikal) yang khusus disediakan bagi sistem yang sensitif?

X X

A5.4.3 Penggunaan Internet d. Adakah bahan rasmi yang hendak dimuat naik ke Internet dikawal? / X

e. Adakah mekanisme pemantauan diwujudkan untuk memantau aktiviti terlarang?

X X

PENETAPAN SUB-KRITERIA A5 PENGURUSAN ICT BAGI JPN & PPD

A5.4 PENGURUSAN DAN PENTADBIRAN INFO-STRUKTUR ICT JPN PPDA5.4.4 Penggunaan dan Pematuhan E-mel

f. Adakah kemudahan e-mel diberikan kepada semua warga agensi? X X

g. Adakah agensi melaksanakan program kesedaran, tatacara dan pembudayaan penggunaan e-mel secara berkala?

X X

h. Adakah agensi melarang perkongsian akaun e-mel? X X

i. Adakah saiz maksimum bagi e-mel beserta lampiran (attachment) yang keluar atau masuk dihadkan pada 10MB?

X X

j. Adakah Pentadbir E-mel sentiasa memantau kestabilan server (server health) 24 x 7 dan menguji capaian kepada sistem e-mel secara berkala?

X X

k. Adakah setiap akaun e-mel diberi ruang mailbox yang mencukupi (sekurang-kurangnya 100MB)?

X X

l. Adakah saiz mailbox yang tidak mempunyai had (unlimited) diberikan kepada pegawai peringkat pengurusan tertinggi?

X X

PENETAPAN SUB-KRITERIA A5 PENGURUSAN ICT BAGI JPN & PPD

A5.4 PENGURUSAN DAN PENTADBIRAN INFO-STRUKTUR ICT JPN PPDA5.4.5 Pengurusan Rangkaian Komunikasi dan Operasi

m. Adakah sebarang perubahan kepada kemudahan ICT dan sistem dikawal? X X

n. Adakah agensi mengasingkan persekitaran bagi pembangunan, ujian dan operasi?

X X

o. Adakah perkhidmatan, laporan dan rekod yang dikemukakan oleh kontraktor dipantau?

X X

p. Adakah agensi memantau, memperbaiki dan membuat unjuran keperluan kapasiti masa depan terhadap penggunaan sumber ICT?

X X

q. Adakah Pentadbir Sistem ICT menyimpan jejak audit selama sekurang-kurangnya dua (2) bulan di dalam server?

X X

PENETAPAN SUB-KRITERIA A5 PENGURUSAN ICT BAGI JPN & PPD

A5.5 PENGURUSAN KESELAMATAN ICT JPN PPDA5.5.1 Keselamatan Fizikal dan Persekitaran

a. Adakah peralatan ICT, utiliti sokongan, kabel elektrik dan telekomunikasi bagi kemudahan ICT yang kritikal dilindungi?

X X

b. Adakah agensi telah mewujudkan Pelan Kesinambungan Perkhidmatan bagi Sistem ICT agensi?

X X

A5.5.2 Keselamatan Sumber Manusiac. Adakah pekerja sementara/sambilan diawasi jika kerja itu melibatkan akses

pada kemudahan pemprosesan data?/ /

d. Adakah peranan dan tanggungjawab terhadap keselamatan ICT agensi dimaklumkan kepada kontraktor/pembekal?

X X

e. Adakah agensi menguruskan kawalan akses terhadap perubahan kontraktor/pembekal (berhenti/tamat kontrak)?

X X

f. Adakah pihak kontraktor/pembekal atau pihak ketiga yang mengendalikan maklumat menandatangani perjanjian Non Disclosure Agreement (NDA)?

X X

g. Adakah kontraktor/pembekal diawasi jika kerja itu melibatkan akses pada kemudahan pemprosesan data?

/ X

PENETAPAN SUB-KRITERIA A5 PENGURUSAN ICT BAGI JPN & PPD

A5.5 PENGURUSAN KESELAMATAN ICT JPN PPDA5.5.2 Keselamatan Sumber Manusia

h. Adakah semua aset ICT dikembalikan mengikut peraturan dan/atau terma perkhidmatan yang ditetapkan bagi personel bertukar/berhenti/bersara?

/ /

A5.5.3 Keselamatan Maklumati. Adakah agensi melaksanakan penilaian risiko sekurang-kurangnya sekali

setahun atau apabila terdapat perubahan?X X

j. Adakah agensi mengemukakan maklum balas hasil penilaian risiko keselamatan maklumat kepada MAMPU?

X X

k. Adakah agensi mengambil tindakan susulan atau langkah-langkah untuk mengurang atau mengawal risiko maklumat berdasarkan kepada penemuan penilaian risiko?

X X

l. Adakah agensi melaksanakan pensijilan MS ISO 27001 ISMS? X X

PENETAPAN SUB-KRITERIA A5 PENGURUSAN ICT BAGI JPN & PPD

A5.5 PENGURUSAN KESELAMATAN ICT JPN PPDA5.5.4 Penilaian Tahap Keselamatan Rangkaian dan Sistem ICT

(Security Posture Assessment - SPA)m. Adakah agensi telah melaksanakan penilaian SPA? X X

n. Adakah agensi melaksanakan penilaian SPA sekurang-kurangnya sekali setahun?

X X

o. Adakah agensi mengesan kelemahan sistem ICT melalui SPA? X X

p. Adakah agensi melaksanakan tindakan pengukuhan selepas pelaksanaan SPA?

X X

q. Adakah agensi memantau keberkesanan kawalan pengukuhan selepas tindakan pengukuhan diambil?

X X

PENETAPAN SUB-KRITERIA A5 PENGURUSAN ICT BAGI JPN & PPD

A5.5 PENGURUSAN KESELAMATAN ICT JPN PPDA5.5.5 Pengurusan Insiden Keselamatan ICT

r. Adakah insiden keselamatan ICT yang berlaku di agensi dilaporkan kepada GCERT MAMPU?

/ /

s. Adakah pasukan pengendali insiden (CERT) agensi ditubuhkan atau agensi menjadi ahli kepada CERT yang berkaitan?

X X

t. Adakah CERT Agensi / Pentadbir Sistem ICT mengurus dan menangani insiden yang berlaku dengan segera dan sistematik sehingga keadaan kembali pulih?

X X

u. Adakah panduan tindakan pengukuhan keselamatan ICT yang telah dikeluarkan oleh GCERT MAMPU dilaksanakan?

/ /

PENETAPAN SUB-KRITERIA A5 PENGURUSAN ICT BAGI JPN & PPD

A5.5 PENGURUSAN KESELAMATAN ICT JPN PPDA5.5.6 Tindakan Pengukuhan Keselamatan ICT

(Kriteria hanya untuk 176 agensi di bawah PRISMA)v. Adakah agensi mengambil tindakan pengukuhan sebagaimana yang

dicadangkan oleh PRISMA?X X

w. Adakah agensi memaklumkan sebarang perubahan maklumat yang merangkumi perubahan personel, perubahan kepada infrastruktur atau aset dan tindakan yang boleh menjejaskan operasi PRISMA dalam tempoh 1 hari secara bertulis kepada MAMPU?

X X

x. Adakah agensi melaporkan mengenai kerosakan atau kegagalan peralatan PRISMA dalam tempoh 1 hari?

X X

A5.5.7 Tindakan Pengukuhan Keselamatan ICT (Kriteria hanya untuk agensi yang tidak di bawah PRISMA)y. Adakah agensi melaksanakan pemantauan keselamatan rangkaian ICT? X X

z. Adakah agensi mengambil tindakan pengukuhan apabila mengesan sebarang ancaman daripada pemantauan diatas?

/ /

TERIMA KASIH