dasar-ict-mindef-v3.1

DASAR KESELAMATAN TEKNOLOGI MAKLUMAT DAN KOMUNIKASI (ICT) KEMENTERIAN PERTAHANAN

12 MEI 2010

Versi 3.1

DISEDIAKAN OLEH Bahagian Pengurusan Maklumat Kementerian Pertahanan Malaysia (MinDef) Wisma Pertahanan, Jalan Padang Tembak 50634 Kuala Lumpur

ISI KANDUNGAN Muka Surat

PENGENALAN OBJEKTIF PERNYATAAN DASAR SKOP PRINSIP-PRINSIP PERKARA 1 : PELAKSANAAN DASAR KESELAMATAN ICT 1.1 1.2 1.3 1.4 1.5 Objektif Pelaksanaan Dasar Keselamatan ICT Penyebaran Dasar Penyelenggaraan Dasar Pemakaian Dan Pengecualian Dasar

1 2 3 4 6 10

PERKARA 2 : ORGANISASI KESELAMATAN ICT 2.1 2.2 2.3 2.4 2.5 2.6 2.7 2.8 2.9 2.10 2.11 Objektif Ketua Setiausaha Ketua Pegawai Maklumat Pegawai Keselamatan ICT Pengurus ICT Pentadbir Sistem ICT Pengguna Kontraktor / Pihak Ketiga Jawatankuasa Pemandu ICT MinDef Jawatankuasa Teknikal ICT MinDef MinDef*CERT

12

PERKARA 3 : PENGURUSAN ASET 3.1 3.2 3.3 3.4 Objektif Tanggungjawab Ke Atas Aset ICT Pengelasan Maklumat Pelabelan Dan Pengendalian Maklumat

22

PERKARA 4

: KESELAMATAN SUMBER MANUSIA 4.1 4.2 4.3 4.4 4.5 Objektif Tanggungjawab Keselamatan Sebelum Perkhidmatan Dalam Perkhidmatan Bertukar Atau Tamat Perkhidmatan

25

PERKARA 5

: KESELAMATAN FIZIKAL DAN PERSEKITARAN 5.1 5.2 5.3 5.4 5.5 5.6 5.7 5.8 5.9 5.10 5.11 5.12 5.13 Objektif Kawalan Kawasan Fizikal Kawalan Masuk Fizikal Kawalan Kawasan Larangan Kawalan Kawasan Terhad Keselamatan Peralatan Penyelenggaraan Peralatan Peminjaman Perkakasan Bagi Kegunaan Di Luar Pejabat Pengendalian Peralatan Luar Yang Dibawa Masuk/Keluar Pelupusan Peralatan Keselamatan Persekitaran Keselamatan Dokumen Clear Desk Dan Clear Screen

29

PERKARA 6 : PENGURUSAN OPERASI DAN KOMUNIKASI 6.1 6.2 6.3 6.4 6.5 6.6 6.7 6.8 6.9 6.10 6.11 PERKARA 7 Objektif Pengurusan Prosedur Operasi Dan Komunikasi Pengendalian Prosedur Operasi Pengurusan Penyampaian Perkhidmatan Pihak Ketiga Perancangan Dan Penerimaan Sistem Perlindungan Dari Malicious Code Backup Pengurusan Keselamatan Rangkaian Keselamatan Komunikasi Rangkaian Pengurusan Media Pemantauan

44

: KAWALAN CAPAIAN

56

7.1 7.2 7.3 7.4 7.5 7.6 7.7 7.8 7.9PERKARA 8

Objektif Kawalan Capaian Dasar kawalan Capaian Pengurusan Capaian Pengguna Pengurusan Kata Laluan Kawalan Capaian Rangkaian Kawalan Capaian Sistem Operasi Kawalan Capaian Aplikasi Dan Maklumat Peralatan Mudah Alih 64

: PEROLEHAN, PEMBANGUNAN DAN PENYELENGGARAAN SISTEM 8.1 Objektif 8.2 Kerperluan Keselamatan Sistem Maklumat 8.3 Pengesahan Data Input Dan Output 8.4 Kawalan Kriptografi 8.5 Keselamatan Fail-Fail Sistem Dan Kod Program 8.6 Keselamatan Dalam Proses Pembangunan Dan Sokongan 8.7 Pembangunan Perisian Secara Outsource 8.8 Pengurusan Teknikal Keterdedahan (Vulnerability)

PERKARA 9 : PENGURUSAN PENGENDALIAN INSIDEN KESELAMATAN ICT 9.1 9.2 9.3 9.4 Objektif Prosedur Pengurusan Insiden Keselamatan ICT Mekanisme Pelaporan Insiden Keselamatan ICT Pengurusan maklumat Insiden Keselamatan ICT

69

PERKARA 10 : PENGURUSAN KESINAMBUNGAN PERKHIDMATAN 10.1 10.2 10.3 Objektif Pelan Kesinambungan Perkhidmatan Pengurusan Penilaian Risiko Keselamatan ICT

73

PERKARA 11 : PEMATUHAN 11.1 11.2 11.3 11.4 11.5 11.6 Objektif Pematuhan Dasar Pematuhan Keperluan Audit Keperluan Perundangan Pelanggaran Perundangan Pematuhan Dengan Dasar, Piawaian Dan Keperluan Teknikal

77

GLOSARI KEMBARAN A KEMBARAN B

81 87 88

NO. VERSI

3.1 00 12 Mei 2010 1/95

DASARKESELAMATAN ICTMinDef

NO. PINDAAN TARIKH KUATKUASA MUKA SURAT

DASAR KESELAMATAN TEKNOLOGI MAKLUMAT DAN KOMUNIKASI (ICT) KEMENTERIAN PERTAHANAN

PENGENALAN Kesan penggunaan ICT telah mengubah budaya kerja organisasi. Sementara

berbangga dengan kemajuan yang dicapai, semua warga Kementerian Pertahanan (MinDef) juga perlu peka terhadap isu keselamatan ICT terutama dari segi peranan, tanggungjawab dan kawalan penggunaan. Penekanan ke atas kesedaran dan tahap keselamatan ICT adalah

penting dan perlu diberi perhatian yang serius disebabkan oleh dua faktor. Faktor pertama ialah peranan dan tanggungjawab MinDef selaku Kementerian yang diberi amanah dan tanggungjawab terhadap keselamatan dan pertahanan negara. Secara umumnya, keselamatan ICT merupakan tanggungjawab bersama warga MinDef untuk memastikan sistem ICT yang dikendalikan adalah selamat daripada sebarang penyalahgunaan dan ancaman pencerobohan. Faktor kedua ialah kewujudan penggunaan pelbagai teknologi dan platfom sistem

pengoperasian. Keadaan ini menjadikan ia lebih terbuka kepada ancaman keselamatan. Adalah penting di sini supaya penyimpanan maklumat dan penyebaran maklumat perlu dibatasi

supaya ia dapat dikawal dengan lebih berkesan. Kepentingan Dasar Keselamatan ICT MinDef boleh digambarkan seperti di Rajah 1.

DasarKeselamatanICTKementerianPertahanan!

!

NO. VERSI

3.1 00 12 Mei 2010 2/95



Rajah 1 : Pelaksanaan Keselamatan ICT MinDef

Dasar Keselamatan ICT MinDef mengandungi peraturan-peraturan yang mesti dibaca dan dipatuhi dalam menggunakan aset Teknologi Maklumat dan Komunikasi (ICT). Dasar ini juga menerangkan kepada semua pengguna mengenai tanggungjawab dan peranan mereka dalam melindungi aset ICT MinDef.

OBJEKTIF Dasar Keselamatan ICT MinDef diwujudkan untuk menjamin kesinambungan urusan MinDef dengan meminimumkan kesan insiden keselamatan ICT. Dasar ini juga bertujuan untuk memudahkan perkongsian maklumat sesuai dengan keperluan operasi MinDef. Ini hanya boleh dicapai dengan memastikan semua aset ICT dilindungi.

Objektif utama Keselamatan ICT MinDef ialah seperti berikut:

(a)

Menghebahkan pendirian pihak pengurusan untuk mendukung pelaksanaan keselamatan ICT;


!

NO. VERSI

3.1 00 12 Mei 2010 3/95



(b)

Menyediakan Dasar Keselamatan ICT MinDef yang komprehensif, sesuai dengan perubahan semasa dan digunapakai oleh semua peringkat pengurusan dan pengguna;

(c)

Melindungi kepentingan aset-aset dan pihak-pihak yang bergantung kepada sistem ICT daripada kesan kegagalan atau kelemahan dari segi kerahsiaan, integriti, kebolehsediaan, kesahihan maklumat dan komunikasi serta mencegah aktiviti penyalahgunaan dan kecurian.

(d)

Memastikan kelancaran operasi MinDef dan meminimumkan kerosakan atau kemusnahan;

PERNYATAAN DASAR Keselamatan ditakrifkan sebagai keadaan yang bebas daripada ancaman dan risiko yang tidak boleh diterima. Penjagaan keselamatan adalah suatu proses yang berterusan. Ia melibatkan aktiviti berkala yang mesti dilakukan dari semasa ke semasa untuk menjamin keselamatan kerana ancaman dan kelemahan sentiasa berubah.

Keselamatan ICT adalah bermaksud keadaan di mana segala urusan menyedia dan membekalkan perkhidmatan yang berasaskan kepada sistem ICT berjalan secara berterusan tanpa gangguan yang boleh menjejaskan keselamatan. Keselamatan ICT berkait rapat dengan perlindungan aset ICT. Terdapat empat (4) komponen asas keselamatan ICT iaitu: (a) Melindungi maklumat rahsia rasmi dan maklumat rasmi kerajaan dari capaian tanpa kuasa yang sah; (b) Menjamin setiap maklumat adalah tepat dan sempurna;

(c)

Memastikan ketersediaan maklumat apabila diperlukan oleh pengguna; dan


!

NO. VERSI

3.1 00 12 Mei 2010 4/95



(d)

Memastikan

akses

kepada

hanya

pengguna-pengguna

yang

sah

atau

penerimaan maklumat dari sumber yang sah. Dasar Keselamatan ICT MinDef merangkumi perlindungan ke atas semua bentuk maklumat elektronik bertujuan untuk menjamin keselamatan maklumat tersebut dan kebolehsediaan kepada semua pengguna yang dibenarkan. Ciri-ciri utama keselamatan maklumat adalah seperti berikut:

(a)

Kerahsiaan - Maklumat tidak boleh didedahkan sewenang-wenangnya atau dibiarkan diakses tanpa kebenaran;

(b)

Integriti - Data dan maklumat hendaklah tepat, lengkap dan kemas kini. Ia hanya boleh diubah dengan cara yang dibenarkan;

(c)

Tidak Boleh Disangkal - Punca data dan maklumat hendaklah dari punca yang sah dan tidak boleh disangkal;

(d)

Kesahihan - Data dan maklumat hendaklah dijamin kesahihannya; dan

(e)

Ketersediaan - Data dan maklumat hendaklah boleh diakses pada bila-bila masa.

Selain dari itu, langkah-langkah ke arah menjamin keselamatan ICT hendaklah bersandarkan kepada penilaian yang bersesuaian dengan perubahan semasa terhadap kelemahan semula jadi aset ICT, ancaman yang wujud akibat daripada kelemahan tersebut, risiko yang mungkin timbul dan langkah-langkah pencegahan sesuai yang boleh diambil untuk menangani risiko berkenaan.

SKOP Aset ICT MinDef terdiri daripada perkakasan, perisian, perkhidmatan, data/maklumat dan manusia. Dasar Keselamatan ICT MinDef menetapkan keperluan-keperluan asas berikut:


!

NO. VERSI

3.1 00 12 Mei 2010 5/95



(a)

Data dan maklumat hendaklah boleh diakses secara berterusan dengan cepat, tepat, mudah dan boleh dipercayai. Ini adalah amat perlu bagi membolehkan keputusan dan penyampaian perkhidmatan dilakukan dengan berkesan dan berkualiti; dan

(b)

Semua data dan maklumat hendaklah dijaga kerahsiaannya dan dikendalikan sebaik mungkin pada setiap masa bagi memastikan kesempurnaan dan ketepatan maklumat serta untuk melindungi kepentingan kerajaan, perkhidmatan dan masyarakat.

Bagi menentukan Aset ICT ini terjamin keselamatannya sepanjang masa, Dasar Keselamatan ICT MinDef ini merangkumi perlindungan semua bentuk maklumat kerajaan yang dimasukkan, diwujud, dimusnah, disimpan, dijana, dicetak, diakses, diedar, dalam penghantaran dan yang dibuat salinan keselamatan. Ini akan dilakukan melalui pewujudan dan penguatkuasaan sistem kawalan dan prosedur dalam pengendalian semua perkara-perkara berikut: (a) Perkakasan Semua aset yang digunakan untuk menyokong pemprosesan maklumat dan kemudahan storan MinDef. Contoh komputer, pelayan, peralatan komunikasi dan sebagainya.

(b)

Perisian Program, prosedur, peraturan dan dokumentasi yang berkaitan dengan sistem pengoperasian komputer yang disimpan di dalam sistem ICT. Contoh perisian aplikasi atau perisian sistem seperti sistem pengoperasian, sistem pangkalan data, perisian sistem rangkaian, atau aplikasi pejabat yang menyediakan kemudahan pemprosesan maklumat kepada MinDef.

(c)

Perkhidmatan Perkhidmatan atau sistem yang menyokong aset lain untuk melaksanakan fungsi-fungsinya. Contoh:


!

NO. VERSI

3.1 00 12 Mei 2010 6/95



(i) (ii) (iii)

Perkhidmatan rangkaian seperti LAN, WAN dan lain-lain; Sistem halangan akses seperti sistem kad akses; dan Perkhidmatan sokongan seperti kemudahan elektrik, penghawa dingin, sistem pencegah kebakaran dan lain-lain.

(d)

Data atau Maklumat Koleksi fakta-fakta dalam bentuk kertas atau mesej elektronik, yang

mengandungi maklumat-maklumat untuk digunakan bagi mencapai misi dan objektif MinDef. Contohnya, sistem dokumentasi, prosedur operasi, rekod-rekod MinDef, profil-profil pelanggan, pangkalan data dan fail-fail data, maklumatmaklumat arkib dan lain-lain. (e) Manusia Individu yang mempunyai pengetahuan dan kemahiran untuk melaksanakan skop kerja harian MinDef bagi mencapai misi dan objektif agensi. Individu berkenaan merupakan aset berdasarkan kepada tugas-tugas dan fungsi yang dilaksanakan. (f) Premis Komputer Dan Komunikasi Semua kemudahan serta premis yang digunakan untuk menempatkan perkara (a) - (e) di atas.

Setiap perkara di atas perlu diberi perlindungan rapi. Sebarang kebocoran rahsia atau kelemahan perlindungan adalah dianggap sebagai perlanggaran langkah-langkah keselamatan.

PRINSIP-PRINSIP Prinsip-prinsip yang menjadi asas kepada Dasar Keselamatan ICT MinDef dan perlu dipatuhi adalah seperti berikut:


!

NO. VERSI

3.1 00 12 Mei 2010 7/95



(a)

Akses atas dasar perlu mengetahui Akses terhadap penggunaan aset ICT hanya diberikan untuk tujuan spesifik dan dihadkan kepada pengguna tertentu atas dasar perlu mengetahui sahaja. Ini bermakna akses hanya akan diberikan sekiranya peranan atau fungsi pengguna memerlukan maklumat tersebut. Pertimbangan untuk akses adalah berdasarkan kategori maklumat seperti yang dinyatakan di dalam dokumen Arahan Keselamatan perenggan 53, muka surat 15.

(b)

Hak akses minimum Hak akses pengguna hanya diberi pada tahap yang paling minimum iaitu untuk membaca dan/atau melihat sahaja. Kelulusan adalah perlu untuk membolehkan pengguna mewujud, menyimpan, mengemas kini, mengubah atau membatalkan sesuatu maklumat. Hak akses perlu dikaji dari semasa ke semasa berdasarkan kepada peranan dan tanggungjawab pengguna/bidang tugas.

(c)

Akauntabiliti Semua pengguna adalah dipertanggungjawabkan ke atas semua tindakannya terhadap aset ICT MinDef. Untuk menentukan tanggungjawab ini dipatuhi, sistem ICT hendaklah mempunyai keupayaan mengesan dan mengesahkan pengguna boleh dipertanggungjawabkan atas tindakan mereka. Akauntabiliti atau

tanggungjawab pengguna merangkumi perkara berikut: (i) (ii) Menghalang pendedahan maklumat kepada pihak yang tidak dibenarkan; Memeriksa maklumat dan menentukan ianya tepat dan lengkap dari semasa ke semasa; (iii) (iv) (v) Menentukan maklumat sedia untuk digunakan; Menjaga kerahsiaan kata laluan; Mematuhi piawaian, prosedur, langkah dan garis panduan keselamatan yang ditetapkan; dan


!

NO. VERSI

3.1 00 12 Mei 2010 8/95



(vi)

Memberi perhatian kepada maklumat berdarjah terutama semasa pengwujudan, pemprosesan, penyimpanan, penyelenggaraan,

penghantaran, penyampaian, pertukaran dan pemusnahan. (d) Pengasingan Pengasingan fungsi perlu diadakan di antara pentadbir dan pengguna. Pengasingan fungsi juga hendaklah dilakukan di antara pentadbir sistem dan pentadbir rangkaian. Tugas mewujud, memadam, mengemaskini, mengubah dan mengesahkan data perlu diasingkan bagi mengelakkan daripada capaian yang tidak dibenarkan serta melindungi aset ICT daripada kesilapan, kebocoran maklumat terperingkat atau di manipulasi. (e) Pengauditan Keselamatan Pengauditan keselamatan adalah tindakan untuk mengenal pasti insiden berkaitan keselamatan atau mengenal pasti keadaan yang mengancam keselamatan. Ia membabitkan pemeliharaan semua rekod berkaitan tindakan keselamatan. Dengan itu, aset ICT seperti komputer, pelayan, router, firewall dan rangkaian hendaklah ditentukan dapat menjana dan menyimpan log tindakan keselamatan atau audit trail. (f) Pematuhan Dasar Keselamatan ICT MinDef hendaklah dibaca, difahami dan dipatuhi bagi mengelakkan sebarang bentuk pelanggaran ke atasnya yang boleh membawa ancaman kepada keselamatan ICT. Pematuhan Dasar Keselamatan ICT MinDef adalah berdasarkan tindakan berikut: (i) Mewujudkan proses yang sistematik khususnya untuk menjamin keselamatan ICT bagi memantau dan menilai tahap pematuhan langkahlangkah keselamatan yang telah dikuatkuasakan;


!

NO. VERSI

3.1 00 12 Mei 2010 9/95



(ii)

Merumus pelan pematuhan untuk menangani sebarang kelemahan atau kekurangan langkah-langkah keselamatan ICT yang dikenalpasti;

(iii)

Pelaksanaan program pengawasan dan pemantauan keselamatan maklumat secara berterusan hendaklah dilaksanakan oleh setiap perkhidmatan di kawasan tanggungjawab masing-masing; dan

(iv)

Menguatkuasakan amalan melapor sebarang peristiwa yang mengancam keselamatan ICT dan seterusnya mengambil tindakan pembetulan.

g)

Pemulihan Pemulihan sistem amat perlu untuk memastikan kebolehsediaan dan

kebolehcapaian kerahsiaan. Objektif utama adalah untuk meminimumkan sebarang gangguan atau kerugian akibat daripada ketidaksediaan. Pemulihan boleh dilakukan melalui aktiviti penduaan dan mewujudkan pelan pemulihan bencana/kesinambungan perkhidmatan. (h) Saling Bergantungan Setiap prinsip di atas adalah saling lengkap-melengkapi dan bergantung antara satu sama lain. Dengan itu, tindakan mempelbagaikan pendekatan dalam menyusun dan mencorakkan sebanyak mungkin mekanisme keselamatan adalah perlu bagi menjamin keselamatan yang maksimum.


!

NO. VERSI

3.1 00 12 Mei 2010 10/95



PERKARA 1 : PELAKSANAAN DASAR KESELAMATAN ICT

1.1

Objektif Untuk memberi hala tuju dan peraturan-peraturan bagi mengguna dan melindungi aset ICT selaras dengan keperluan undang-undang.

1.2

Pelaksanaan Dasar Keselamatan ICT Pelaksanaan dasar ini akan dijalankan oleh Ketua Setiausaha (KSU) dengan dibantu oleh Jawatankuasa Pemandu ICT MinDef yang terdiri daripada Ketua Pegawai Maklumat (CIO), Pegawai Keselamatan ICT (ICTSO) dan lain-lain pegawai yang dilantik.

1.3

Penyebaran Dasar Dasar ini perlu disebarkan kepada semua pengguna MinDef (termasuk kakitangan, pembekal dan pakar runding yang berurusan dengan MinDef).

1.4

Penyelenggaraan Dasar 1.4.1 Dasar Keselamatan ICT MinDef adalah tertakluk kepada semakan dan pindaan dari semasa ke semasa termasuk kawalan keselamatan, prosedur dan proses selaras dengan perubahan teknologi, aplikasi, prosedur, perundangan, dasar Kerajaan dan kepentingan sosial. 1.4.2 Prosedur penyelenggaraan Dasar Keselamatan ICT MinDef adalah termasuk yang berikut: (a) (b) Kenal pasti dan tentukan perubahan yang diperlukan; Mengemukakan cadangan perubahan secara bertulis kepada ICTSO untuk pembentangan dan persetujuan Jawatankuasa Pemandu ICT;


!

NO. VERSI

3.1 00 12 Mei 2010 11/95



(c)

Memaklumkan

perubahan

dasar

yang

telah

dipersetujui

oleh

Jawatankuasa Pemandu ICT MinDef kepada semua pengguna; dan (d) Menyemak dasar ini sekurang-kurangnya sekali setahun bagi

mengenalpasti dan menentukan perubahan yang diperlukan.

1.5

Pemakaian Dan Pengecualian Dasar Dasar Keselamatan ICT MinDef adalah terpakai kepada semua pengguna MinDef dan tiada pengecualian diberikan.


!

NO. VERSI

3.1 00 12 Mei 2010 12/95



PERKARA 2 : ORGANISASI KESELAMATAN ICT

2.1

Objektif Menerangkan peranan dan tanggungjawab organisasi pengurusan keselamatan ICT dan individu yang terlibat dengan lebih jelas dan teratur dalam mencapai objektif Dasar Keselamatan ICT MinDef.

2.2

Ketua Setiausaha Peranan dan tanggungjawab Ketua Setiausaha (KSU) adalah seperti berikut : (a) Memastikan pelaksanaan organisasi keselamatan ICT MinDef berfungsi dengan berkesan; (b) Memastikan semua pengguna memahami dan mematuhi Dasar Keselamatan ICT MinDef; (c) Memastikan semua keperluan keselamatan ICT (sumber kewangan, kakitangan dan perlindungan keselamatan) adalah mencukupi; (d) Memastikan penilaian risiko dan program keselamatan ICT dilaksanakan seperti yang ditetapkan di dalam Dasar Keselamatan ICT Kerajaan.

2.3

Ketua Pegawai Maklumat Ketua Pegawai Maklumat (CIO) MinDef ialah Timbalan Ketua Setiausaha (Pengurusan). Peranan dan tanggungjawab CIO adalah seperti berikut: (a) Membantu KSU dalam melaksanakan tugas-tugas yang melibatkan keselamatan ICT; (b) Menentukan keperluan keselamatan ICT;


!

NO. VERSI

3.1 00 12 Mei 2010 13/95



(c)

Menyelaras pembangunan dan pelaksanaan pelan tindakan dan program kesedaran mengenai keselamatan ICT;

(d)

Memastikan semua pengguna memahami peruntukan di bawah Dasar Keselamatan ICT MinDef;

(e)

Bertanggungjawab ke atas perkara-perkara yang berkaitan dengan keselamatan ICT; dan

(f)

Mempengerusikan Mesyuarat Jawatankuasa Pemandu ICT.

2.4

Pegawai Keselamatan ICT Pegawai Keselamatan ICT (ICTSO) bagi MinDef adalah Setiausaha Bahagian, Bahagian Pengurusan Maklumat (BPM). Peranan dan tanggungjawab ICTSO adalah seperti berikut: (a) (b) (c) Menguatkuasa dan memantau pematuhan Dasar Keselamatan ICT MinDef; Mengurus keseluruhan program-program keselamatan ICT MinDef; Memberi penerangan dan pendedahan berkenaan Dasar Keselamatan ICT MinDef kepada semua pengguna; (d) Mewujudkan garis panduan, prosedur dan tatacara selaras dengan keperluan Dasar Keselamatan ICT MinDef; (e) (f) Menjalankan tugas pengurusan risiko; Menjalankan audit, mengkaji semua, merumus tindakbalas pengurusan

berdasarkan hasil penemuan dan menyediakan laporan mengenainya;


!

NO. VERSI

3.1 00 12 Mei 2010 14/95



(g)

Memberi amaran terhadap kemungkinan berlakunya ancaman berbahaya seperti malware dan memberikan khidmat nasihat serta menyediakan langkah-langkah perlindungan yang bersesuaian;

(h)

Melaporkan insiden keselamatan ICT kepada Pasukan Tindak balas Insiden Keselamatan ICT Kerajaan (GCERT), MAMPU dan memaklumkannya kepada CIO;

(i)

Bekerjasama dengan semua pihak yang berkaitan dalam mengenalpasti punca ancaman atau insiden keselamatan ICT dan memperakukan langkah-langkah baikpulih dengan segera; dan

(j)

Menyedia

dan

melaksanakan

program-program

kesedaran

mengenai

keselamatan ICT.

2.5

Pengurus ICT Pengurus ICT bagi MinDef ialah pegawai ICT yang dilantik di Jabatan/Bahagian dan Perkhidmatan ATM. Peranan dan tanggungjawab Pengurus ICT adalah seperti berikut: (a) Mengkaji semula dan melaksanakan kawalan keselamatan ICT selaras dengan keperluan MinDef; (b) (c) Menentukan kawalan akses semua pengguna terhadap aset ICT MinDef; Melaporkan sebarang insiden atau penemuan/ancaman keselamatan ICT kepada MinDef*CERT; dan (d) Memastikan penyimpanan rekod, bahan bukti dan laporan terkini mengenai

ancaman keselamatan ICT MinDef dilaksanakan;


!

NO. VERSI

3.1 00 12 Mei 2010 15/95



2.6

Pentadbir Sistem ICT Pentadbir Sistem ICT bagi MinDef ialah pemilik sistem aplikasi MinDef. Peranan dan tanggungjawab pemilik sistem aplikasi adalah seperti berikut : (a) (b) Memastikan kerahsiaan kata laluan aset ICT; Mengambil tindakan yang bersesuaian dengan segera apabila dimaklumkan mengenai pengguna ICT MinDef yang berhenti, bersara, bertukar, bercuti panjang atau berlaku perubahan dalam bidang tugas; (c) Mengambil tindakan yang bersesuaian dengan segera apabila dimaklumkan mengenai pengguna luar dan pihak ketiga yang berhenti atau tamat projek; (d) Menentukan ketepatan dan kesempurnaan sesuatu tahap capaian berdasarkan arahan pemilik sumber maklumat sebagaimana yang telah ditetapkan di dalam Dasar Keselamatan ICT MinDef; (e) (f) Memantau aktiviti capaian harian sistem aplikasi pengguna; Mengenal pasti aktiviti-aktiviti tidak normal seperti pencerobohan dan

pengubahsuaian data tanpa kebenaran, membatalkan atau memberhentikannya dengan serta merta dan memaklumkan kepada Pengurus ICT untuk tindakan selanjutnya; (g) (h) Menganalisis dan menyimpan rekod jejak audit; Menyediakan laporan mengenai aktiviti capaian kepada pemilik maklumat berkenaan secara berkala; dan (i) Bertanggungjawab memantau setiap perkakasan ICT yang diagihkan kepada pengguna seperti komputer peribadi, komputer riba, pencetak, pengimbas dan sebagainya di dalam keadaan yang baik.


!

NO. VERSI

3.1 00 12 Mei 2010 16/95



2.7

Pengguna Peranan dan tanggungjawab pengguna adalah seperti berikut: (a) (b) (c) (d) Membaca, memahami dan mematuhi Dasar Keselamatan ICT MinDef; Mengetahui dan memahami implikasi keselamatan ICT kesan dari tindakannya; Melepasi tapisan keselamatan; Melaksanakan prinsip-prinsip Dasar Keselamatan ICT MinDef dan menjaga kerahsiaan maklumat MinDef; (e) Melaksanakan langkah-langkah perlindungan seperti berikut: (i) (ii) Menghalang pendedahan maklumat kepada pihak yang tidak dibenarkan; Memeriksa maklumat dan menentukan ia tepat dan lengkap dari semasa ke semasa; (iii) (iv) (v) Menentukan maklumat sedia untuk digunakan; Menjaga kerahsiaan kata laluan; Mematuhi standard, prosidur, langkah dan garis panduan keselamatan yang ditetapkan; (vi) Memberi perhatian kepada maklumat terperingkat terutama semasa pewujudan, pemprosesan, penyimpanan, penghantaran, penyampaian, pertukaran dan pemusnahan; dan (vii) Menjaga kerahsiaan langkah-langkah keselamatan ICT dari diketahui umum. (f) Melaporkan sebarang aktiviti yang mengancam keselamatan ICT kepada MinDef*CERT dengan segera; (g) (h) Menghadiri program-program kesedaran mengenai keselamatan ICT; dan Menandatangani Surat Akuan Pematuhan Pematuhan Dasar Keselamatan ICT MinDef (KEMBARAN A).


!

NO. VERSI

3.1 00 12 Mei 2010 17/95



2.8

Kontraktor / Pihak Ketiga Pihak MinDef hendaklah memastikan keselamatan pengguna maklumat dan kemudahan proses maklumat oleh kontraktor/pihak ketiga dikawal. Perkara yang perlu dipatuhi adalah seperti berikut: (a) Mengenal pasti risiko keselamatan maklumat dan kemudahan pemprosesan maklumat serta melaksanakan kawalan yang sesuai sebelum memberi kebenaran capaian; (b) Mengenal pasti keperluan keselamatan sebelum memberi kebenaran capaian atau penggunaan kepada pengguna luar / asing. Capaian kepada aset ICT MinDef perlu berlandaskan kepada perjanjian kontrak; (c) Memastikan semua syarat keselamatan dinyatakan dengan jelas dalam perjanjian dengan pihak ketiga; (d) Memastikan setiap pekerja kontrak menandatangi surat perjanjian kontrak sepanjang tempoh kontrak; dan (e) Perkara-perkara berikut hendaklah dimasukkan di dalam perjanjian yang dimeterai.

(i) (ii) (iii) (iv)

Dasar Keselamatan ICT MinDef; Tapisan Keselamatan; Perakuan Akta Rahsia Rasmi (Pindaan) 1986;dan Akta Hak Cipta (Pindaan) Tahun 1997.


!

NO. VERSI

3.1 00 12 Mei 2010 18/95



2.9

Jawatankuasa Pemandu ICT MinDef Jawatankuasa Pemandu ICT MinDef adalah jawatankuasa yang bertanggungjawab dalam keselamatan ICT dan berperanan sebagai penasihat dan pemangkin dalam merumuskan rancangan dan strategi keselamatan ICT MinDef. Keanggotaan Jawatankuasa Pemandu ICT MinDef adalah seperti berikut: Pengerusi Ahli : Timbalan Ketua Setiausaha (Pengurusan) (CIO) : (1) (2) (3) Setiausaha Bahagian (SUB), BPM (ICTSO) Ketua Staf Markas Angkatan Bersama Asisten Ketua Staf (AKS) Bahagian Komunikasi Dan Elektronik Pertahanan (KOMLEK) Markas Angkatan Tentera Malaysia (4) (5) (6) AKS KOMLEK, Cawangan Peperangan Siber AKS Bahagian Perkhidmatan Anggota AKS Cawangan Teknologi Maklumat / Logistik, Markas Tentera Laut (7) (8) Ketua Pegawai Semboyan, Markas Tentera Darat Pengarah Pusat Teknologi Maklumat, Markas Tentera Darat (PUSTEKMA) (9) Pengarah Jabatan Arah Teknologi Maklumat Dan Komunikasi (JTMK) Markas Tentera Udara (10) Ketua Cawangan Peperangan Elektronik Bahagian Staf Perisikan Pertahanan (BSPP) Markas Angkatan Tentera Malaysia (11) (12) (13) (14) (15) (16) (17) Pengarah Pusat Sains & Teknologi Pertahanan (STRIDE) Ketua Pengarah Jabatan Latihan Khidmat Negara Ketua Pengarah Jabatan Hal Ehwal Veteran SUB Bahagian Audit Dalam dan Siasatan Am SUB Bahagian Pengurusan Sumber Manusia SUB Bahagian Pentadbiran SUB Bahagian Perolehan


!

NO. VERSI

3.1 00 12 Mei 2010 19/95



(18) (19)

SUB bahagian Kewangan SUB Bahagian Pembanguanan

Urus Setia bagi Jawatankuasa Pemandu ICT MinDef ialah BPM. Bidang kuasa : (a) Memperaku, melulus dan menguatkuasakan dasar, halatuju, garis panduan dan piawaian keselamatan ICT; (b) (c) Memantau tahap pematuhan keselamatan ICT; Memastikan Dasar Keselamatan ICT MinDef selaras dengan dasar-dasar ICT semasa kerajaan; (d) Menerima dan membincangkan laporan mengenai insiden-insiden keselamatan ICT semasa; (e) Membincang tindakan yang melibatkan pelanggaran DKICT MinDef; (f) Meneliti dan meluluskan semua program dan aktiviti yang berkaitan dengan keselamatan ICT; (g) Memastikan pengauditan keselamatan ICT MinDef dilaksanakan sekurang-kurangnya sekali setahun; dan (h) Memastikan peruntukan kewangan yang mencukupi disediakan untuk pelaksanaan program dan aktiviti keselamatan.

2.10

Jawatankuasa Teknikal ICT MinDef Pengerusi Ahli : Setiausaha Bahagian (SUB), BPM (ICTSO) : (1) Wakil PUSTEKMA


!

NO. VERSI

3.1 00 12 Mei 2010 20/95



(2) (3) (4) (5) (6) (7) (8) (9) (10) (11)

Wakil Caw. IT, MTL Wakil JTMK, TUDM Wakil KOMLEK Wakil BPM Wakil MAB Wakil CPS, KOMLEK Wakil BSPP Wakil STRIDE Wakil JLKN Wakil JHEV

Urus Setia bagi Jawatankuasa Teknikal ICT MinDef ialah BPM. Bidang kuasa : (a) Menilai aspek-aspek teknikal berhubung inisiatif dan projek keselamatan ICT; (b) Memberi nasihat teknikal kepada Jawatankuasa Pemandu ICT Mindef; (c) Menyediakan pelan tindakan untuk pembangunan dan peningkatan keselamatan sistem ICT; (d) Menilai pilihan teknologi dan cadangan penyelesaian terhadap keperluan keselamatan sistem ICT; (e) Mengkaji semula Dasar Keselamatan ICT MinDef dari semasa ke semasa untuk dibentangkan kepada Jawatankuasa Pemandu ICT MinDef; dan (f) Menyediakan Sistem Pengurusan Kekunci Kriptografi ICT yang berkesan untuk digunapakai oleh MinDef.


!

NO. VERSI

3.1 00 12 Mei 2010 21/95



2.11

Organisasi Ministry of Defense Computer Emergency Response Team (MinDef*CERT) Keanggotaan MinDef*CERT adalah seperti berikut: Pengurus Ahli Bidang kuasa : Setiausaha Bahagian (SUB), BPM (ICTSO) : Pengurus-Pengurus ICT Jabatan/Bahagian dan Perkhidmatan : (a) Menerima dan merekod aduan keselamatan ICT serta menilai tahap dan jenis insiden; (b) Menjalankan siasatan ke atas insiden yang diterima dan kenal pasti tindakan baik pulih; (c) Menasihati pentadbir sistem dan pengguna untuk

mengambil tindakan pemulihan dan pengukuhan; (d) (e) Memaklumkan perkara berkaitan insiden kepada ICTSO; Menyebarkan makluman berkaitan pengukuhan

keselamatan ICT; dan (f) Mempunyai keupayaan untuk menjadi penasihat dan memberi bantuan teknikal kepada agensi penguatkuasa undang-undang bagi menjalankan tindakan seterusnya. BPM dipertanggungjawabkan untuk pemulihan insiden keselamatan ICT MinDef. Organisasi MinDef*CERT adalah seperti Rajah 2. ICTSO

Pengurus-Pengurus ICT Jabatan/Bahagian dan Perkhidmatan ATM Rajah 2: Organisasi MinDef*CERT


!

NO. VERSI

3.1 00 12 Mei 2010 22/95



PERKARA 3 : PENGURUSAN ASET

3.1

Objektif Memberi dan menyokong perlindungan yang bersesuaian ke atas semua aset ICT MinDef.

3.2

Tanggungjawab Ke Atas Aset ICT 3.2.1 Memastikan semua aset ICT Kerajaan diberi kawalan dan perlindungan yang sesuai oleh pemilik atau pemegang amanah masing-masing. 3.2.2 Tanggungjawab yang perlu dipatuhi adalah termasuk perkara-perkara berikut: (a) Memastikan semua aset dikenalpasti dan maklumat aset di rekod dalam borang daftar harta modal dan inventori dan sentiasa dikemaskini; (b) Memastikan semua aset mempunyai pemilik dan dikendalikan oleh pengguna yang dibenarkan sahaja; (c) Setiap pengguna adalah bertanggungjawab ke atas semua aset ICT di bawah kawalannya; (d) Memastikan semua pengguna mengesahkan penempatan aset ICT yang ditempatkan di MinDef; dan (e) Peraturan bagi pengendalian aset hendaklah dikenalpasti, didokumenkan dan dilaksanakan.

3.3

Pengelasan Maklumat 3.3.1 Memastikan setiap maklumat diberi perlindungan yang bersesuaian berdasarkan tahap kerahsiaan.


!

NO. VERSI

3.1 00 12 Mei 2010 23/95



3.3.2

Maklumat hendaklah dikelaskan berasaskan nilai, keperluan perundangan, tahap sensitiviti dan tahap kritikal kepada kerajaan. Setiap maklumat yang dikelaskan mestilah mempunyai peringkat keselamatan sebagaimana yang ditetapkan di dalam dokumen Arahan Keselamatan seperti berikut: (i) (ii) (iii) (iv) Rahsia Besar; Rahsia; Sulit; dan Terhad.

3.4

Pelabelan Dan Pengendalian Maklumat 3.4.1 Pelabelan dan pengendalian maklumat seperti pewujudan, pengumpulan, pemprosesan, penyimpanan, penghantaran, penyampaian, penukaran dan pemusnahan hendaklah mengikut standard, prosedur, langkah dan garis panduan keselamatan yang ditetapkan. Prosedur pengurusan maklumat adalah mengikut jenis-jenis pemprosesan berikut :

(a) (b) (c) (d)

Penyalinan (copying); Storan; Penghantaran melalui pos, faks dan e-mel; Penghantaran melalui percakapan termasuk melalui telefon bimbit, mel suara dan mesin menjawab telefon;

(e) (f)

Penghapusan; dan Multimedia.


!

NO. VERSI

3.1 00 12 Mei 2010 24/95



JENIS-JENIS PEMPROSESAN 1. Penyalinan 2. Storan 3.TX-Persuratan 4.TX-Percakapan 5. Pemusnahan 6. Multimedia

RAHSIA BESAR AK AK AK AK AK AK

RAHSIA AK AK AK AK AK AK

SULIT AK AK AK AK AK AK

TERHAD BIASA BIASA BIASA BIASA BIASA BIASA

TERBUKA BIASA BIASA BIASA BIASA BIASA BIASA

Rajah 3 : Skim Penandaan Maklumat Nota :a) AK Arahan Khas b) TX Transmisi 3.4.2 Langkah-langkah keselamatan yang perlu diambil adalah seperti berikut: (a) Menghalang pendedahan maklumat kepada pihak yang tidak dibenarkan; c ) BIASA - Terbuka iaitu boleh dilakukan

(b)

Memeriksa, menyemak maklumat dan menentukan ia tepat dan lengkap dari semasa ke semasa;

(c) (d) (e)

Memastikan maklumat sedia untuk digunakan; Menjaga kerahsiaan kata laluan; Mematuhi standard, prosedur, langkah dan garis panduan keselamatan yang dikeluarkan dari semasa ke semasa;

(f)

Memberi perhatian kepada pengendalian maklumat rasmi terperingkat terutama semasa pewujudan, pengumpulan, penyampaian, pemprosesan, penukaran dan

penyimpanan, pemusnahan; dan (g) Menjaga

penghantaran,

kerahsiaan

langkah-langkah

pengurusan

pengendalian

maklumat rasmi keselamatan ICT dari diketahui umum.DasarKeselamatanICTKementerianPertahanan!

!

NO. VERSI

3.1 00 12 Mei 2010 25/95



PERKARA 4 : KESELAMATAN SUMBER MANUSIA

4.1

Objektif Memahami tanggungjawab dan peranan semua sumber manusia dalam keselamatan aset ICT MinDef.

4.2

Tanggungjawab Keselamatan 4.2.1 Peranan dan tanggungjawab pengguna terhadap keselamatan ICT mestilah lengkap, jelas, direkod, dipatuhi dan dilaksanakan serta dinyatakan di dalam fail meja atau kontrak. 4.2.2 Keselamatan ICT merangkumi tanggungjawab pengguna dalam menyediakan dan memastikan perlindungan ke atas semua aset atau sumber ICT yang digunakan di dalam melaksanakan tugas harian. 4.2.3 Mematuhi semua terma dan syarat perkhidmatan yang ditawarkan dan peraturan semasa yang berkuatkuasa berdasarkan perjanjian yang telah ditetapkan.

4.3

Terma Rujukan 4.3.1 Awam atau Tentera

4.3.1.1 Anggota tentera dan awam yang menggunakan dan mengendalikan aset ICT dan maklumat elektronik berdarjah mestilah menjalani tapisan keselamatan.

4.3.1.2 Anggota tentera dan awam mesti mematuhi prosedur penggunaan aset ICT yang disediakan oleh setiap bahagian atau semua peringkat pemerintahan.


!

NO. VERSI

3.1 00 12 Mei 2010 26/95



4.3.2 Pekerja kontrak 4.3.2.1 Anggota yang berkhidmat secara kontrak yang menggunakan dan mengendalikan aset ICT yang berkaitan atau relevan dengan tugas masing-masing sepanjang tempoh kontrak.

4.3.2.2 Anggota mesti mematuhi prosedur penggunaan aset ICT yang disediakan oleh setiap bahagian atau semua peringkat pemerintahan.

4.3.2.3 Ketua Jabatan dan setaraf dikehendaki menentukan setiap pekerja kontrak menandatangi surat perjanjian kontrak sepanjang tempoh kontrak

4.3.3 Kontraktor atau Pihak Ketiga 4.3.3.1 Kontraktor hanya dibenarkan menggunakan peralatan, terminal-terminal dan melakukan penyelenggaran terhadap peralatan yang mengikut kontrak untuk diselenggara atau dibaiki dan hendaklah diawasi oleh anggota yang bertanggungjawab terhadap sistem atau projek tersebut.

4.3.3.2 Ketua Jabatan atau setaraf dikehendaki menentukan setiap pekerja kontrak menandatangani surat perjanjian kontrak sepanjang tempoh kontrak.

4.4

Sebelum Perkhidmatan Perkara-perkara yang mesti dipatuhi termasuk yang berikut: (a) Menyatakan dengan lengkap dan jelas peranan dan tanggungjawab pegawai dan kakitangan MinDef serta pihak ketiga yang terlibat dalam menjamin keselamatan aset ICT sebelum, semasa dan selepas perkhidmatan; (b) Menjalankan tapisan keselamatan untuk pegawai dan kakitangan MinDef serta pihak ketiga yang terlibat berasaskan keperluan perundangan, peraturan dan


!

NO. VERSI

3.1 00 12 Mei 2010 27/95



etika terpakai yang selaras dengan keperluan perkhidmatan, peringkat maklumat yang akan dicapai serta risiko yang dijangkakan; dan (c) Mematuhi semua terma dan syarat perkhidmatan yang ditawarkan dan peraturan semasa yang berkuat kuasa berdasarkan perjanjian yang telah ditetapkan.

4.5

Dalam Perkhidmatan Perkara-perkara yang perlu dipatuhi termasuk yang berikut:

(a)

Memastikan pegawai dan kakitangan MinDef serta pihak ketiga yang berkepentingan mengurus keselamatan aset ICT berdasarkan perundangan dan peraturan yang ditetapkan oleh MinDef;

(b)

Memastikan latihan kesedaran dan yang berkaitan mengenai pengurusan keselamatan aset ICT diberi kepada pengguna ICT MinDef secara berterusan dalam melaksanakan tugas-tugas dan tanggungjawab mereka, dan sekiranya perlu diberi kepada pihak ketiga yang berkepentingan dari semasa ke semasa;

(c)

Memastikan adanya proses tindakan disiplin dan/atau undang-undang ke atas pegawai dan kakitangan MinDef serta pihak ketiga yang berkepentingan sekiranya berlaku perlanggaran dengan perundangan dan peraturan ditetapkan oleh MinDef; dan

(d)

Memantapkan pengetahuan berkaitan dengan penggunaan aset ICT bagi memastikan setiap kemudahan ICT digunakan dengan cara dan kaedah yang betul demi menjamin kepentingan keselamatan ICT.


!

NO. VERSI

3.1 00 12 Mei 2010 28/95



4.6

Bertukar Atau Tamat Perkhidmatan Perkara-perkara yang perlu dipatuhi termasuk yang berikut: (a) Memastikan semua aset ICT dikembalikan kepada MinDef mengikut peraturan dan/atau terma perkhidmatan yang ditetapkan; dan (b) Membatalkan atau menarik balik semua kebenaran capaian ke atas maklumat dan kemudahan proses maklumat mengikut peraturan yang ditetapkan oleh MinDef dan/atau terma perkhidmatan.

4.7

Latihan Kesedaran Keselamatan ICT 4.7.1 Ketua Jabatan atau setaraf bertanggungjawab menentukan program kesedaran keselamatan ICT dilaksanakan pada semua peringkat anggota. 4.7.2 Ketua Jabatan atau setaraf dikehendaki memastikan pengguna dan pentadbir komputer menghadiri latihan, memahami dasar dan tatacara penggunaan terutamanya yang melibatkan keselamatan ICT.


!

NO. VERSI

3.1 00 12 Mei 2010 29/95



PERKARA 5 : KESELAMATAN FIZIKAL DAN PERSEKITARAN

5.1

Objektif Melindungi dan mencegah akses fizikal yang tidak dibenarkan yang boleh

mengakibatkan kecurian, kerosakan dan gangguan kepada persekitaran premis, peralatan dan maklumat.

5.2

Kawalan Kawasan Fizikal Ini bertujuan untuk mengesan, mencegah dan menghalang cubaan untuk menceroboh ke kawasan yang menempatkan peralatan, maklumat dan kemudahan proses maklumat. Perkara yang perlu dipatuhi adalah seperti berikut: (a) Mengenalpasti kawasan keselamatan fizikal dengan jelas, dan lokasi serta keteguhan kawasan ini hendaklah bergantung kepada keperluan untuk melindungi aset dalam kawasan ini dan hasil penilaian risiko; (b) Menggunakan keselamatan perimeter (halangan seperti dinding, pagar kawalan, pengawal keselamatan) untuk melindungi kawasan yang mengandungi

maklumat dan kemudahan pemprosesan maklumat; (c) (d) (e) (f) (g) Memasang alat penggera atau kamera (CCTV). Mempamerkan papan tanda kawasan larangan; Menghadkan jalan keluar masuk; Mengadakan kaunter kawalan; Mewujudkan sistem pas keselamatan;


!

NO. VERSI

3.1 00 12 Mei 2010 30/95



(h) (i) (j)

Menyediakan tempat dan bilik khas untuk pelawat; Mewujudkan perkhidmatan kawalan keselamatan; dan Memastikan kawasan-kawasan penghantaran dan pemunggahan dan juga tempat-tempat lain dikawal dari pihak yang tidak diberi kebenaran memasukinya.

5.3

Kawalan Masuk Fizikal (a) Setiap pegawai/staf MinDef hendaklah memakai atau mengenakan pas keselamatan sepanjang waktu bertugas; (b) Semua pas keselamatan hendaklah diserahkan balik kepada MinDef apabila pegawai/staf berhenti atau bersara; (c) Setiap pelawat hendaklah mendapatkan Pas Keselamatan Pelawat di pintu kawalan utama MinDef; (d) (e) Pas ini hendaklah dikembalikan semula selepas tamat lawatan; dan Kehilangan pas mestilah dilaporkan dengan segera.

5.4

Kawalan Kawasan Larangan Kawasan larangan ditakrifkan sebagai kawasan yang dihadkan kemasukan kepada pegawai-pegawai yang tertentu sahaja. Ini dilaksanakan untuk melindungi aset ICT yang terdapat di dalam kawasan tersebut. Perkara-perkara yang mesti dipatuhi termasuk yang berikut: (a) Akses kepada kawasan larangan hanyalah kepada pegawai-pegawai yang dibenarkan sahaja; dan


!

NO. VERSI

3.1 00 12 Mei 2010 31/95



(b)

Pihak ketiga adalah dilarang sama sekali untuk memasuki kawasan larangan kecuali, bagi kes-kes tertentu seperti memberi perkhidmatan sokongan atau bantuan teknikal, dan mereka hendaklah diiringi sepanjang masa sehingga tugas di kawasan berkenaan selesai.

5.5

Kawalan Kawasan Terhad Menghalang capaian, kerosakan dan gangguan secara fizikal terhadap premis dan maklumat MinDef. Perkara-perkara yang mesti dipatuhi termasuk yang berikut:

(a)

Menggunakan kawasan perimeter (halangan seperti dinding, pagar kawalan, pengawal keselamatan) untuk melindungi kawasan yang mengandungi

maklumat dan kemudahan pemprosesan maklumat; (b) Melindungi kawasan terhad melalui kawalan pintu masuk yang bersesuaian bagi memastikan kakitangan yang diberi kebenaran sahaja boleh masuk melalui pintu ini; (c) Mereka bentuk dan melaksanakan keselamatan fizikal di dalam pejabat, bilik dan kemudahan; (d) Mereka bentuk dan melaksanakan perlindungan fizikal dari kebakaran, banjir, letupan, kacau-bilau manusia dan sebarang bencana disebabkan oleh kuasa Tuhan atau perbuatan manusia; (e) Melaksanakan perlindungan fizikal dan menyediakan garis panduan untuk kakitangan yang bekerja di dalam kawasan terhad; dan (f) Memastikan kawasan-kawasan penghantaran dan pemunggahan dan juga tempat-tempat lain dikawal dari pihak yang tidak diberi kebenaran memasukinya.


!

NO. VERSI

3.1 00 12 Mei 2010 32/95



5.6

Keselamatan Peralatan Peralatan ICT hendaklah dijaga dan dikawal dengan baik bagi mengelakkan dari

sebarang kehilangan, kerosakan, kecurian atau kompromi ke atas aset ICT dan gangguan ke atas sistem penyampaian agensi. Perkara-perkara yang perlu dipatuhi termasuk yang berikut: 5.6.1 Peralatan ICT (a) Pengguna hendaklah menyemak dan memastikan semua peralatan ICT di bawah kawalannya berfungsi dengan baik; (b) Pengguna bertanggungjawab sepenuhnya ke atas komputer masingmasing dan tidak dibenarkan membuat sebarang pertukaran perkakasan dan konfigurasi yang telah ditetapkan; (c) Pengguna dilarang sama sekali menambah, menanggal atau mengganti sebarang perkakasan ICT yang telah ditetapkan; (d) Semua perkakasan hendaklah ditempatkan dan disimpan di tempat yang teratur, bersih dan dilengkapi dengan ciri-ciri keselamatan; (e) Setiap pengguna adalah bertanggungjawab di atas kerosakan dan kehilangan peralatan ICT di bawahnya; (f) Pengguna mesti memastikan perisian antivirus di komputer peribadi mereka sentiasa aktif (activated) dan dikemas kini disamping melakukan imbasan ke atas media storan yang digunakan; (g) Penggunaan kata laluan untuk akses ke sistem komputer adalah diwajibkan; (h) Semua peralatan sokongan ICT hendaklah dilindungi daripada kecurian, kerosakan, penyalahgunaan atau pengubahsuaian tanpa kebenaran;DasarKeselamatanICTKementerianPertahanan!

!

NO. VERSI

3.1 00 12 Mei 2010 33/95



(i)

Peralatan-peralatan kritikal perlu disokong oleh Uninterruptable Power Supply (UPS);

(j)

Semua peralatan yang digunakan secara berterusan mestilah diletakkan di kawasan yang berhawa dingin dan mempunyai pengudaraan (air ventilation) yang sesuai;

(k)

Peralatan ICT yang hendak dibawa keluar dari premis MinDef, perlulah mendapat kelulusan Pentadbir Sistem ICT dan direkodkan bagi tujuan pemantauan;

(l)

Peralatan ICT yang hilang hendaklah dilaporkan kepada ICTSO dan Pegawai Aset dengan segera;

(m)

Pengendalian peralatan ICT hendaklah mematuhi dan merujuk kepada peraturan semasa yang berkuat kuasa;

(n)

Pengguna tidak dibenarkan mengubah kedudukan komputer dari tempat asal ia ditempatkan tanpa kebenaran Pentadbir Sistem ICT;

(o)

Sebarang kerosakan peralatan ICT hendaklah dilaporkan kepada Pentadbir Sistem ICT untuk di baik pulih;

(p)

Sebarang pelekat selain bagi tujuan rasmi tidak dibenarkan. Ini bagi menjamin peralatan tersebut sentiasa berkeadaan baik;

(q)

Konfigurasi alamat IP tidak dibenarkan diubah daripada alamat IP yang asal;

(r)

Pengguna dilarang sama sekali mengubah kata laluan bagi pentadbir (administrator password) yang telah ditetapkan oleh Pentadbir Sistem ICT;


!

NO. VERSI

3.1 00 12 Mei 2010 34/95



(s)

Pengguna

bertanggungjawab

terhadap

perkakasan,

perisian

dan

maklumat di bawah jagaannya dan hendaklah digunakan sepenuhnya bagi urusan rasmi sahaja; (t) Pengguna hendaklah memastikan semua perkakasan komputer,

pencetak dan pengimbas dalam keadaan OFF apabila meninggalkan pejabat; (u) Sebarang bentuk penyelewengan atau salah guna peralatan ICT hendaklah dilaporkan kepada ICTSO; dan (v) Memastikan plag dicabut daripada suis utama (main switch) bagi mengelakkan kerosakan perkakasan sebelum meninggalkan pejabat jika berlaku kejadian seperti petir, kilat dan sebagainya.

5.6.2

Media Storan 5.6.2.1 Media storan merupakan peralatan elektronik yang digunakan untuk menyimpan data dan maklumat seperti disket, Kad SD, Kad multimedia, Pemain mp3, CD, DVD, Pita Magnetik, Cakera Keras, CD-ROM, Optical Disk, Removable Disk (External Hard disk/Thumb/Pen Drive) dan lainlain. 5.6.2.2 Keselamatan media storan perlu diberi perhatian khusus kerana ia berupaya menyimpan maklumat rasmi dan rahsia rasmi Kerajaan. Langkah-langkah pencegahan hendaklah diambil untuk memastikan kerahsiaan, integriti dan kebolehsediaan maklumat yang disimpan dalam media storan adalah terjamin dan selamat. 5.6.2.3 Semua staf tidak boleh menyimpan maklumat RAHSIA BESAR, RAHSIA, SULIT di dalam removable disk (External Hard disk/Thumb/Pen Drive) kecuali dibenarkan oleh Ketua Jabatan.


!

NO. VERSI

3.1 00 12 Mei 2010 35/95



Perkara yang perlu dipatuhi adalah seperti berikut: (a) Menyediakan ruang penyimpanan dan bekas-bekas keselamatan yang mempunyai ciri-ciri keselamatan bersesuaian dengan kandungan maklumat; (b) (c) Menghadkan akses kepada pengguna yang dibenarkan sahaja; Sebarang pelupusan; (d) Mengadakan sistem pengurusan media termasuk inventori, pergerakan, pelabelan dan backup/restore; (e) Semua media hendaklah dilabelkan mengikut tahap sensitiviti sesuatu maklumat; (f) Penyelenggaraan direkodkan bagi media storan dari hendaklah sebarang dikawal kerosakan dan dan pelupusan hendaklah merujuk kepada tatacara

mengelak

pendedahan yang tidak dibenarkan; dan (g) Semua media storan yang mengandungi data kritikal hendaklah disimpan di dalam peti keselamatan yang mempunyai ciri-ciri keselamatan termasuk tahan dari dipecahkan, api, air dan medanmagnet;

5.7

Penyelenggaraan Peralatan 5.7.1 Perkakasan hendaklah disenggarakan dengan betul bagi memastikan

kebolehsediaan, kerahsiaan dan integriti.

5.7.2

Langkah-langkah keselamatan yang perlu diambil termasuklah seperti berikut:


!

NO. VERSI

3.1 00 12 Mei 2010 36/95



(a)

Mematuhi spesifikasi yang ditetapkan oleh pengeluar bagi semua perkakasan yang disenggara;

(b)

Memastikan perkakasan hanya disenggara oleh kakitangan atau pihak yang dibenarkan sahaja;

(c)

Menyemak dan menguji semua perkakasan sebelum dan selepas proses penyenggaraan;

(d)

Memaklumkan pihak pengguna sebelum melaksanakan penyenggaraan mengikut jadual yang ditetapkan atau atas keperluan;

(e)

Bertanggungjawab terhadap setiap perkakasan bagi penyelenggaraan perkakasan sama ada dalam tempoh jaminan atau telah habis tempoh jaminan;

(f)

Semua

penyelenggaraan

mestilah

mendapat

kebenaran

daripada

Pengurus ICT/Pentadbir Sistem.

5.8

Peminjaman Perkakasan Bagi Kegunaan di Luar Pejabat 5.8.1 Perkakasan yang dipinjam untuk kegunaan di luar pejabat adalah terdedah kepada pelbagai risiko.

5.8.2

Langkah-langkah perlu diambil termasuklah seperti berikut : (a) Mendapatkan kelulusan mengikut peraturan yang telah ditetapkan oleh MinDef bagi membawa keluar peralatan, perisian atau maklumat tertakluk kepada tujuan yang dibenarkan; (b) (c) Melindungi dan mengawal peralatan sepanjang masa; Merekod aktiviti peminjaman dan pemulangan peralatan; dan


!

NO. VERSI

3.1 00 12 Mei 2010 37/95



(d)

Menyemak peralatan yang dipulangkan berada dalam keadaan baik.

5.9

Pengendalian Peralatan Luar yang dibawa Masuk/Keluar Bagi peralatan yang dibawa masuk/keluar ke MinDef, langkah keselamatan yang perlu diambil adalah seperti berikut:

(a)

Memastikan peralatan yang dibawa masuk tidak mengancam keselamatan ICT MinDef.

(b)

Mendapatkan kelulusan mengikut peraturan yang telah ditetapkan oleh MinDef bagi membawa masuk/keluar peralatan; dan

(c)

Menyemak peralatan yang dibawa keluar tidak mengandungi maklumat MinDef.

5.10

Pelupusan Peralatan 5.10.1 Pelupusan melibatkan semua peralatan ICT yang telah rosak, usang dan tidak boleh dibaiki sama ada harta modal atau inventori yang dibekalkan oleh MinDef dan ditempatkan di MinDef. Peralatan ICT yang hendak dilupuskan perlu melalui prosedur pelupusan semasa. Pelupusan perlu dilakukan secara terkawal dan lengkap supaya maklumat tidak terlepas dari kawalan MinDef.

5.10.2 Peralatan ICT yang hendak dilupuskan perlu melalui prosedur pelupusan terkini. Pelupusan perlu dilakukan secara terkawal dan lengkap supaya maklumat tidak terlepas dari kawalan kerajaan. Perkara-perkara yang perlu dipatuhi adalah seperti berikut: (a) Semua kandungan peralatan khususnya maklumat rahsia rasmi hendaklah dihapuskan terlebih dahulu sebelum pelupusan sama ada


!

NO. VERSI

3.1 00 12 Mei 2010 38/95



melalui shredding, grinding, degauzing atau pembakaran;Sekiranya maklumat perlu disimpan, maka pengguna bolehlah membuat penduaan; (b) Peralatan ICT yang akan dilupuskan sebelum dipindah-milik hendaklah dipastikan data-data dalam storan telah dihapuskan dengan cara yang selamat; (c) Pegawai Aset hendaklah mengenal pasti sama ada peralatan tertentu boleh dilupuskan atau sebaliknya; (d) Peralatan yang hendak dilupus hendaklah disimpan di tempat yang telah dikhaskan yang mempunyai ciri-ciri keselamatan bagi menjamin

keselamatan peralatan tersebut; (e) Pegawai aset bertanggungjawab merekodkan butirbutir pelupusan dan mengemas kini rekod pelupusan peralatan ICT ke dalam Sistem Inventori; (f) Pelupusan peralatan ICT hendaklah dilakukan secara berpusat dan mengikut tatacara pelupusan semasa yang berkuat kuasa; dan

(g)

Pengguna ICT adalah DILARANG SAMA SEKALI daripada melakukan perkara-perkara seperti berikut: (i) Menyimpan mana-mana peralatan ICT yang hendak dilupuskan untuk milik peribadi. Mencabut, menanggal dan menyimpan perkakasan tambahan dalaman CPU seperti RAM, hardisk, motherboard dan sebagainya; (ii) Menyimpan dan memindahkan perkakasan luaran komputer seperti Automatic Voltage Regulator (AVR), speaker dan manamana peralatan yang berkaitan ke mana-mana bahagian di MinDef;


!

NO. VERSI

3.1 00 12 Mei 2010 39/95



(iii)

Memindah keluar dari MinDef mana-mana peralatan ICT yang hendak dilupuskan;

(iv)

Melupuskan sendiri peralatan ICT kerana kerja-kerja pelupusan di bawah tanggungjawab MinDef; dan

(v)

Pengguna ICT bertanggungjawab memastikan segala maklumat sulit dan rahsia di dalam komputer disalin pada media storan kedua seperti disket atau thumb drive sebelum menghapuskan maklumat tersebut daripada peralatan komputer yang hendak dilupuskan.

5.11

Keselamatan Persekitaran Melindungi aset ICT Kerajaan dari sebarang bentuk ancaman persekitaran yang disebabkan oleh bencana alam, kesilapan, kecuaian atau kemalangan. 5.11.1 Kawalan Persekitaran

5.11.1.1 Menghindarkan kerosakan dan gangguan terhadap premis dan aset ICT, semua cadangan perolehan dan pengubahsuaian hendaklah dirujuk terlebih dahulu kepada Pejabat Ketua Pegawai Keselamatan Kerajaan (KPKK). 5.11.1.2 Perkara yang perlu dipatuhi adalah seperti berikut: (a) Merancang dan menyediakan pelan keseluruhan Pusat Data termasuk ruang peralatan komputer, ruang percetakan dan ruang atur pejabat; (b) Melengkapi semua ruang pejabat khususnya kawasan yang mempunyai kemudahan ICT dengan perlindungan keselamatan


!

NO. VERSI

3.1 00 12 Mei 2010 40/95



yang mencukupi dan dibenarkan seperti alat pencegah kebakaran dan pintu kecemasan; (c) Memasang peralatan perlindungan di tempat yang bersesuaian, mudah dikenali dan dikendalikan; (d) Menyimpan bahan mudah terbakar di luar kawasan kemudahan penyimpanan aset ICT; (e) Meletakkan semua bahan cecair di tempat yang bersesuaian dan berjauhan dari aset ICT; (f) Pengguna adalah dilarang merokok atau menggunakan peralatan memasak seperti cerek elektrik berhampiran peralatan komputer; (g) Menyemak dan menguji semua peralatan perlindungan sekurangkurangnya dua (2) kali setahun. Aktiviti dan keputusan ujian ini perlu direkodkan bagi memudahkan rujukan dan tindakan sekiranya perlu; dan (h) Menetapkan suhu premis mengikut spesifikasi perkakasan yang diperlukan.

5.11.2 Bekalan Kuasa Bekalan kuasa merupakan punca kuasa elektrik yang dibekalkan kepada peralatan ICT. Perkara yang perlu dipatuhi bagi menjamin keselamatan bekalan kuasa adalah seperti berikut: (a) Melindungi semua peralatan ICT dari kegagalan bekalan elektrik dan menyalurkan bekalan yang sesuai kepada peralatan ICT;


!

NO. VERSI

3.1 00 12 Mei 2010 41/95



(b)

Menggunakan peralatan sokongan seperti Uninterruptable Power Supply (UPS) dan penjana (generator) bagi perkhidmatan kritikal seperti di Bilik Server supaya mendapat bekalan kuasa berterusan; dan

(c)

Menyemak dan menguji semua peralatan sokongan bekalan kuasa secara berjadual.

5.11.3 Keselamatan Kabel Kabel elektrik dan telekomunikasi yang menyalurkan data atau menyokong sistem penyampaian perkhidmatan hendaklah dilindungi daripada pencerobohan dan kerosakan. Langkah-langkah keselamatan yang perlu diambil adalah seperti berikut: (a) (b) Menggunakan kabel yang mengikut spesifikasi yang telah ditetapkan; Melindungi kabel daripada kerosakan yang disengajakan atau tidak disengajakan; (c) Melindungi laluan pemasangan kabel sepenuhnya bagi mengelakkan ancaman kerosakan dan wire tapping; dan (d) Membuat pelabelan kabel menggunakan kod tertentu.

5.11.4 Prosedur Kecemasan Perkara yang perlu dipatuhi adalah seperti berikut: (a) Memastikan setiap pengguna membaca, memahami dan mematuhi prosedur kecemasan yang ditetapkan oleh Pegawai Keselamatan MinDef;


!

NO. VERSI

3.1 00 12 Mei 2010 42/95



(b)

Melaporkan insiden kecemasan persekitaran seperti kebakaran kepada Pegawai Keselamatan MinDef;

(c)

Mengadakan, menguji dan mengemaskini pelan kecemasan dari semasa ke semasa; dan

(d)

Mengadakan latihan fire drill mengikut jadual.

5.12

Keselamatan Dokumen Melindungi maklumat MinDef dari sebarang bentuk ancaman persekitaran yang disebabkan oleh bencana alam, kesilapan atau kecuaian. Perkara-perkara yang perlu dipatuhi adalah seperti berikut: (a) Setiap dokumen hendaklah difail dan dilabelkan mengikut klasifikasi

keselamatan seperti Terbuka, Terhad, Sulit, Rahsia atau Rahsia Besar; (b) Pergerakan fail dan dokumen hendaklah direkodkan dan perlulah mengikut prosedur keselamatan; (c) Kehilangan dan kerosakan ke atas semua jenis dokumen perlu dimaklumkan mengikut prosedur Arahan Keselamatan; (d) Pelupusan dokumen hendaklah mengikut prosedur keselamatan semasa seperti mana Arahan Keselamatan, Arahan Amalan (Jadual tatacara Jabatan Arkib Negara;dan (e) Menggunakan enkripsi (encryption) ke atas dokumen rahsia rasmi yang disediakan dan dihantar secara elektronik. Pelupusan Rekod) dan


!

NO. VERSI

3.1 00 12 Mei 2010 43/95



5.13

Clear Desk dan Clear Screen Prosedur Clear Desk dan Clear Screen perlu dipatuhi supaya maklumat dalam apa jua bentuk media hendaklah disimpan dengan teratur dan selamat bagi mengelakkan kerosakan, kecurian atau kehilangan. Perkara yang perlu dipatuhi adalah seperti berikut:

(a)

Menggunakan kemudahan password screen saver atau I apabila meninggalkan komputer;

(b)

Menyimpan bahan-bahan sensitif di dalam laci atau kabinet fail yang berkunci; dan

(c)

Memastikan semua dokumen diambil segera dari pencetak, pengimbas, mesin faksimili dan mesin fotostat.


!

NO. VERSI

3.1 00 12 Mei 2010 44/95



PERKARA 6 : PENGURUSAN OPERASI DAN KOMUNIKASI

6.1

Objektif Memastikan perkhidmatan dan pemprosesan maklumat dapat berfungsi dengan betul dan selamat.

6.2

Pengurusan Prosedur Operasi dan Komunikasi KSU adalah bertanggungjawab untuk memastikan pengurusan operasi sistem dan komunikasi dapat berfungsi dengan betul dan selamat.

6.3

Pengendalian Prosedur Operasi Perkara-perkara yang perlu dipatuhi adalah seperti berikut: (a) Semua prosedur operasi hendaklah didokumenkan dengan jelas lagi teratur, dikemaskini dan sedia diguna pakai oleh pengguna mengikut keperluan; (b) Setiap perubahan kepada sistem dan kemudahan pemprosesan maklumat mestilah dikawal; (c) Aktiviti-aktiviti seperti memasang, menyelenggara, menghapus dan mengemas kini mana-mana komponen sistem ICT hendaklah dikendalikan oleh pihak atau pegawai yang diberi kuasa dan mempunyai pengetahuan atau terlibat secara langsung dengan aset ICT berkenaan; (d) Tugas dan tanggungjawab perlu diasingkan bagi mengurangkan risiko kecuaian dan penyalahgunaan aset MinDef; dan


!

NO. VERSI

3.1 00 12 Mei 2010 45/95



(e)

Kemudahan ICT untuk pembangunan, pengujian dan operasi mestilah diasingkan bagi mengurangkan risiko capaian atau pengubahsuaian tidak sah ke atas sistem yang sedang beroperasi. secara

6.4

Pengurusan Penyampaian Perkhidmatan Pihak Ketiga Memastikan pelaksanaan dan penyenggaraan tahap keselamatan maklumat dan penyampaian perkhidmatan yang sesuai selaras dengan perjanjian perkhidmatan dengan pihak ketiga. Perkara-perkara yang mesti dipatuhi termasuk yang berikut: (a) Memastikan kawalan keselamatan, definasi perkhidmatan dan tahap

penyampaian yang terkandung dalam perjanjian dipatuhi, dilaksanakan dan disenggarakan oleh pihak ketiga; (b) Perkhidmatan, laporan dan rekod yang dikemukakan oleh pihak ketiga dan pihak-pihak lain yang terlibat perlu sentiasa dipantau, disemak semula dan diaudit dari semasa ke semasa; dan (c) Pengurusan ke atas perubahan penyediaan perkhidmatan termasuk

menyenggara dan menambah baik polisi keselamatan, prosedur dan kawalan maklumat sedia ada, perlu mengambil kira tahap kritikal sistem dan proses yang terlibat serta penilaian semula risiko.

6.5

Perancangan dan Penerimaan Sistem Meminimumkan risiko yang menyebabkan gangguan atau kegagalan sistem. Perkara-perkara yang mesti dipatuhi termasuk yang berikut: (a) Kapasiti sesuatu komponen atau sistem ICT hendaklah dirancang, diurus dan


!

NO. VERSI

3.1 00 12 Mei 2010 46/95



dikawal dengan teliti oleh pegawai yang berkenaan bagi memastikan keperluannya adalah mencukupi dan bersesuaian untuk pembangunan dan kegunaan sistem ICT pada masa akan datang; (b) Penggunaan peralatan dan sistem mestilah dipantau, ditala (fine tuning) dan perancangan perlu dibuat bagi memenuhi keperluan kapasiti akan datang untuk memastikan prestasi sistem di tahap optimum; dan (c) Kriteria penerimaan untuk peralatan dan sistem baru, peningkatan dan versi baru perlu ditetapkan dan ujian yang sesuai ke atasnya perlu dibuat semasa pembangunan dan sebelum penerimaan sistem.

6.6

Perlindungan Dari Malicious Code (Kod Jahat) Melindungi integriti maklumat dan perisian dari pendedahan atau kerosakan yang disebabkan oleh perisian berbahaya seperti virus, worm, trojan dan lain-lain. Perkara-perkara yang mesti dipatuhi adalah seperti berikut: (a) Memasang sistem keselamatan untuk mengesan perisian atau program berbahaya seperti anti virus, Intrusion Detection System (IDS) dan Intrusion Prevention System (IPS) dan mengikut prosedur penggunaan yang selamat; (b) (c) Memasang dan menggunakan hanya perisian yang tulen; Mengimbas semua perisian atau sistem dengan anti virus sebelum

menggunakannya; (d) (e) Mengemaskini paten anti virus dari semasa ke semasa; Menyemak kandungan sistem atau maklumat secara berkala bagi mengesan aktiviti yang tidak diingini seperti kehilangan atau kerosakan maklumat;


!

NO. VERSI

3.1 00 12 Mei 2010 47/95



(f)

Menghadiri program kesedaran mengenai ancaman perisian berbahaya dan cara mengendalikannya;

(g)

Memasukkan klausa tanggungan di dalam mana-mana kontrak yang ditawarkan kepada pembekal perisian. Klausa ini bertujuan untuk tuntutan baik pulih

sekiranya perisian tersebut mengandungi program berbahaya; (h) Mengadakan program dan prosedur jaminan kualiti ke atas semua perisian yang dibangunkan; (i) Memberi amaran mengenai ancaman seperti serangan virus terhadap

keselamatan aset ICT MinDef; (j) Kawalan pencegahan, pengesanan dan pemulihan untuk melindungi daripada malicious code dan program kesedaran pengguna yang bersesuaian mesti dilaksanakan; dan (k) Dalam keadaan di mana mobile code dibenarkan, konfigurasinya hendaklah memastikan bahawa ianya beroperasi berdasarkan kepada dasar keselamatan yang jelas dan penggunaan mobile code yang tidak dibenarkan adalah dilarang sama sekali.

6.7

Backup (Salinan Penduaan) Mengekalkan integriti, kesediaan maklumat dan kemudahan pemprosesan maklumat. Bagi memastikan sistem dapat dibangunkan semula setelah berlakunya bencana, salinan maklumat dan perisian hendaklah dilakukan setiap kali berubah. Salinan penduaan hendaklah direkodkan dan disimpan di lokasi yang berlainan (off site). Perkara yang mesti dipatuhi adalah sepeti berikut: (a) Membuat salinan keselamatan ke atas semua sistem perisian dan aplikasi sekurang-kurangnya sekali atau setelah mendapat versi terbaru;


!

NO. VERSI

3.1 00 12 Mei 2010 48/95



(b)

Membuat salinan penduaan ke atas semua data dan maklumat mengikut kesesuaian operasi;

(c)

Menguji sistem penduaan sedia ada bagi memastikan ianya dapat berfungsi dengan sempurna, boleh dipercayai dan berkesan apabila digunakan khususnya pada waktu kecemasan; dan

(d)

Salinan maklumat dan perisian perlu dibuat dan diuji secara berkala berdasarkan kepada prosedur penduaan.

6.8

Pengurusan Keselamatan Rangkaian Memastikan keselamatan rangkaian MinDef terpelihara daripada pencerobohan daripada pihak yang tidak bertanggungjawab .

6.8.1

Kawalan Infrastruktur Rangkaian

Infrastruktur rangkaian mestilah dikawal, dipantau dan diurus sebaiknya, demi melindungi ancaman kepada sistem dan aplikasi di dalam rangkaian. Perkara-perkara yang mesti dipatuhi termasuk yang berikut:

(a)

Polisi dan prosedur perlu dibangunkan dan dilaksanakan bagi melindung maklumat yang berhubung kait dengan sistem rangkaian;

(b)

Ciri-ciri keselamatan, tahap perkhidmatan dan keperluan pengurusan bagi semua perkhidmatan rangkaian perlu dikenal pasti dan dimasukkan dalam mana-mana perjanjian perkhidmatan rangkaian sama ada perkhidmatan berkenaan disediakan secara dalaman atau melalui khidmat luar;


!

NO. VERSI

3.1 00 12 Mei 2010 49/95



(c)

Tanggungjawab atau kerja-kerja operasi rangkaian dan komputer hendaklah diasingkan untuk mengurangkan capaian dan

pengubahsuaian yang tidak dibenarkan; (d) Peralatan rangkaian hendaklah diletakkan di lokasi yang mempunyai ciriciri fizikal yang kukuh dan bebas dari risiko seperti banjir, gegaran dan habuk; (e) Capaian kepada peralatan rangkaian hendaklah dikawal dan terhad kepada pengguna yang dibenarkan sahaja; (f) Semua peralatan mestilah melalui proses Factory Acceptance Check (FAC) semasa pemasangan dan konfigurasi; (g) Firewall hendaklah dipasang di antara rangkaian dalaman dan sistem yang melibatkan maklumat rahsia rasmi Kerajaan serta di konfigurasi oleh pentadbir sistem yang dibenarkan sahaja; (h) Semua trafik keluar dan masuk hendaklah melalui firewall di bawah kawalan MinDef; (i) Semua perisian sniffer atau network analyzer adalah dilarang dipasang pada komputer pengguna kecuali mendapat kebenaran MinDef*CERT; (j) Memasang perisian Intrusion Detection System (IDS) dan Intrusion Prevention System (IPS) bagi mengesan sebarang cubaan menceroboh dan aktiviti-aktiviti lain yang boleh mengancam sistem dan maklumat MinDef; (k) Memasang Web Content Filter pada Internet Gateway untuk menyekat aktiviti yang dilarang seperti yang termaktub di dalam PKPA 1/2003; (l) Sebarang penyambungan rangkaian yang bukan di bawah kawalan MinDef adalah tidak dibenarkan;DasarKeselamatanICTKementerianPertahanan!

!

NO. VERSI

3.1 00 12 Mei 2010 50/95



(m)

Memastikan keperluan perlindungan ICT adalah bersesuaian dan mencukupi bagi menyokong perkhidmatan yang optimum; dan

(n)

Penggunaan rangkaian tanpa wayar (wireless) LAN di MinDef hendaklah mematuhi surat MinDef dengan rujukan UPTM (S) 159/338/8 Jilid 30 (84) bertajuk Langkah-langkah Untuk Memperkukuhkan Keselamatan

Rangkaian Setempat Tanpa Wayar (Wireless Local Area Network) di Agensi-agensi Kerajaan.

6.9

Keselamatan Komunikasi Rangkaian

6.9.1

Memastikan

perlindungan

keselamatan

maklumat

dalam

rangkaian

dan

infrastruktur sokongan terurus dan terkawal. Perkara yang perlu dipatuhi adalah seperti berikut: (a) Polisi, prosedur dan kawalan rangkaian MinDef yang formal perlu diwujudkan untuk melindungi pertukaran maklumat melalui penggunaan pelbagai jenis kemudahan komunikasi; dan (b) Mematuhi ISP (Pelan Strategik ICT) rangkaian bersepadu yang telah ditetapkan.

6.9.2 Perkhidmatan Mel Elektronik (e-Mel)

Maklumat yang terdapat dalam mel elektronik MinDef perlu dilindungi sebaikbaiknya bagi menghidari capaian atau sebaran maklumat yang tidak dibenarkan. Perkara yang perlu dipatuhi adalah seperti berikut: (a) Etika Penggunaan Internet Dan E-mel MinDef perlu dipatuhi oleh semua pengguna MinDef. Rujuk KEMBARAN B.DasarKeselamatanICTKementerianPertahanan!

!

NO. VERSI

3.1 00 12 Mei 2010 51/95



(b)

Akaun atau alamat mel elektronik (e-mel) yang diperuntukkan oleh MinDef sahaja boleh digunakan. Penggunaan free web-based mail untuk kegunaan rasmi dilarang sama sekali. Penggunaan akaun milik orang lain atau akaun yang dikongsi bersama adalah dilarang;

(c)

Segala akaun e-mel yang diberi adalah bukan hak persendirian. Pentadbir Sistem e-mel berhak mengakses atas sebab-sebab tertentu. Walau bagaimanapun, e-mel tidak akan diakses atau didedahkan kecuali untuk tujuan keselamatan dan undang-undang;

(d)

Setiap e-mel yang disediakan hendaklah mematuhi format yang ditetapkan oleh MinDef;

(e)

Sebarang penggunaan yang boleh memudaratkan nama baik MinDef adalah dilarang sama sekali.

(f)

Memastikan subjek dan kandungan e-mel adalah berkaitan dan menyentuh perkara perbincangan yang sama sebelum penghantaran dilakukan;

(g)

Penghantaran e-mel rasmi hendaklah menggunakan akaun e-mel rasmi dan pastikan alamat e-mel penerima adalah betul;

(h)

Pengguna dinasihatkan menggunakan fail kepilan, sekiranya perlu semasa penghantaran. Kaedah pemampatan untuk mengurangkan saiz adalah disarankan;

(i)

Pengguna

hendaklah

mengelak

dari

membuka

e-mel

daripada

penghantar yang tidak diketahui atau diragui; (j) Pengguna pengguna hendaklah yang mengenal pasti dan mengesahkan sebelum identiti

berkomunikasi

dengannya

meneruskan

transaksi maklumat melalui e-mel;


!

NO. VERSI

3.1 00 12 Mei 2010 52/95



(k)

Setiap e-mel rasmi yang dihantar atau diterima hendaklah disimpan mengikut ditetapkan; tatacara pengurusan sistem fail elektronik yang telah

(l)

Emel yang tidak penting dan tidak mempunyai nilai arkib yang telah diambil tindakan dan tidak diperlukan lagi bolehlah dihapuskan;

(m)

Pengguna hendaklah menentukan tarikh dan masa sistem komputer adalah tepat; dan

(n)

Maklumat yang terdapat dalam mel elektronik perlu dilindungi sebaikbaiknya.

6.9.3

Telecommuting Memastikan keselamatan maklumat yang diakses atau dihantar semasa menggunakan kemudahan telecommuting adalah terjamin. Perkara yang perlu dipatuhi adalah seperti berikut: (a) Kemudahan ini disediakan hanya untuk sistem-sistem yang dibenarkan sahaja; (b) Kebenaran untuk menggunakan perkhidmatan hendaklah diberikan secara bertulis oleh Pengurus Sistem dengan menggunakan komputer peribadi perkhidmatan sahaja; (c) Sistem yang diakses dari luar hendaklah mempunyai sistem perlindungan (encryption) yang mencukupi. Menghantar katataluan tanpa perlindungan (encryption) adalah dilarang sama sekali; dan (d) Individu yang dibenarkan untuk menggunakan kemudahan ini adalah bertanggungjawab sepenuhnya ke atas peralatan dan data sepanjang melakukan tugasnya. Sekiranya individu ini terpaksa menghantar


!

NO. VERSI

3.1 00 12 Mei 2010 53/95



maklumat

berdarjah

atau

terperingkat

ia

mestilah

menggunakan

encryption yang dibenarkan oleh MinDef.

6.9.4

Prosedur Pengendalian Maklumat

Prosedur ini bertujuan untuk mengendali, menyimpan, memindah serta melindungi maklumat daripada didedah tanpa kebenaran atau salah guna. Memastikan keselamatan pertukaran maklumat dan mana-mana entiti luar terjamin.

Perkara yang perlu dipatuhi adalah seperti berikut:

(a)

Menghadkan

dan

menentukan

capaian

kepada

pengguna

yang

dibenarkan sahaja;

(b)

Menghadkan pengedaran data untuk tujuan rasmi dan dibenarkan sahaja;

(c)

Polisi, prosedur dan kawalan pertukaran maklumat yang formal perlu diwujudkan untuk melindungi pertukaran maklumat melalui penggunaan pelbagai jenis kemudahan komunikasi;

(d)

Sebarang pertukaran maklumat di antara MinDef dan agensi kerajaan yang lain mestilah dikawal; dan

(e)

Perjanjian perlu diwujudkan untuk pertukaran maklumat dan perisian di antara agensi dengan pihak luar.


!

NO. VERSI

3.1 00 12 Mei 2010 54/95



6.10

Pengurusan Media 6.10.1 Melindungi aset ICT dari sebarang pendedahan, pengubahsuaian, pemindahan atau pemusnahan serta gangguan ke atas aktiviti perkhidmatan. Penghantaran atau pemindahan media ke luar pejabat hendaklah mendapat kebenaran daripada pemilik terlebih dahulu.

Prosedur-prosedur pengendalian media yang perlu dipatuhi adalah seperti berikut: (a) (b) Melabelkan semua media mengikut tahap sensitiviti sesuatu maklumat; Menghadkan dan menentukan capaian media kepada pengguna yang dibenarkan sahaja; (c) Menghadkan pengedaran data atau media untuk tujuan yang dibenarkan sahaja; (d) Mengawal dan merekodkan aktiviti penyelenggaraan media bagi mengelak dari sebarang kerosakan dan pendedahan yang dibenarkan; (e) (f) Menyimpan semua media di tempat yang selamat; dan Media yang mengandungi maklumat terperingkat yang hendak tidak

dihapuskan atau dimusnahkan mestilah dilupuskan mengikut prosedur yang betul dan selamat.

6.10.2 Keselamatan Sistem Dokumentasi

Dokumentasi sistem perlu dilindungi dari capaian yang dibenarkan. Langkahlangkah pengurusan dokumentasi yang baik dan selamat perlu dilaksanakan bagi memastikan integriti maklumat. Perkara yang perlu dipatuhi adalah seperti berikut:DasarKeselamatanICTKementerianPertahanan!

!

NO. VERSI

3.1 00 12 Mei 2010 55/95



(a)

Memastikan sistem dokumentasi atau penyimpanan maklumat adalah selamat dan terjamin;

(b)

Menggunakan tanda atau label keselamatan seperti rahsia besar, rahsia, sulit atau terhad pada dokumen;

(c)

Mewujudkan sistem pengurusan dokumen terperingkat bagi menerima, memproses, menyimpan dan menghantar dokumen-dokumen tersebut supaya ianya diuruskan berasingan daripada dokumen-dokumen tidak terperingkat;

(d)

Menggunakan enkripsi (encryption) ke atas dokumen terperingkat yang disediakan dan dihantar secara elektronik; dan

(e)

Mengawal dan merekodkan semua aktiviti capaian sistem dokumentasi sedia ada.

6.11

Pemantauan Memastikan pengesanan aktiviti pemprosesan maklumat yang tidak dibenarkan. Perkara yang perlu dipatuhi adalah seperti berikut:

(a)

Mewujudkan sistem log bagi merekodkan semua aktiviti harian pengguna dan disimpan untuk tempoh masa yang dipersetujui bagi membantu siasatan dan memantau kawalan capaian;

(b)

Menyemak sistem log secara berkala bagi mengesan ralat yang menyebabkan gangguan kepada sistem dan mengambil tindakan membaik pulih dengan segera; dan

(c)

Sekiranya wujud aktiviti-aktiviti tidak sah seperti kecurian maklumat dan pencerobohan hendaklah dilaporkan kepada MinDef*Cert.


!

NO. VERSI

3.1 00 12 Mei 2010 56/95



PERKARA 7 : KAWALAN CAPAIAN

7.1

Objektif Melindungi maklumat dari sebarang bentuk capaian yang tidak dibenarkan.

7.2

Kawalan Capaian Mengawal capaian ke atas maklumat, kemudahan proses maklumat dan proses urus niaga berdasarkan keperluan urus niaga dan keperluan keselamatan. Peraturan

kawalan capaian hendaklah mengambil kira faktor identification, authentication dan authorization.

7.3

Dasar Kawalan Capaian Peraturan kawalan capaian hendaklah diwujudkan, didokumenkan dan dikaji semula berasaskan keperluan pengurusan MinDef dan keselamatan.

Perkara yang perlu dipatuhi adalah seperti berikut : (a) Kawalan capaian ke atas maklumat dan proses urus niaga mengikut keperluan keselamatan dan peranan pengguna; (b) (c) Kawalan capaian ke atas perkhidmatan rangkaian dalaman dan luaran; Kawalan capaian ke atas information process facilities seperti capaian pengguna; dan (d) Keselamatan maklumat yang dicapai menggunakan kemudahan atau peralatan mudah alih.


!

NO. VERSI

3.1 00 12 Mei 2010 57/95



7.3

Pengurusan Capaian Pengguna 7.4.1 Memastikan bahawa sistem maklumat dicapai oleh pengguna yang sah dan menghalang capaian yang tidak sah. 7.4.2 Prosedur pendaftaran dan pembatalan kebenaran capaian pengguna perlu diwujudkan dan didokumenkan. Perkara yang perlu dipatuhi adalah seperti berikut: (a) Akaun pengguna adalah unik dan pengguna bertanggungjawab ke atas akaun tersebut selepas pengesahan penerimaan dibuat; (b) Akaun pengguna yang diwujudkan dan tahap capaian termasuk sebarang perubahan mestilah mendapat kebenaran Ketua Jabatan secara bertulis dan direkodkan; (c) Pemilihan akaun dan capaian pengguna adalah tertakluk kepada peraturan jabatan dan tindakan pembatalan/pengubahsuaian hendaklah di ambil atas sebab seperti berikut:

(i)

Pengguna tidak hadir bertugas tanpa kebenaran melebihi satu tempoh yang ditentukan oleh Ketua Jabatan;

(ii) (iii) (iv)

Pengguna bercuti atau bertugas di luar pejabat; Melebihi satu tempoh yang ditentukan oleh Ketua Jabatan; Pengguna bertukar jawatan, tanggungjawab dan/atau bidang tugas;

(v) (vi)

Pengguna bertukar atau berpindah Jabatan; dan Pengguna bersara atau tamat perkhidmatan.


!

NO. VERSI

3.1 00 12 Mei 2010 58/95



(d)

Aktiviti capaian oleh pengguna direkod, disenggara dengan sistematik dan dikaji dari masa ke semasa. Maklumat yang direkod termasuk

identiti pengguna, sumber yang digunakan, perubahan maklumat, tarikh, masa, rangkaian dilalui, aplikasi diguna dan aktiviti capaian secara sah atau sebaliknya.

7.5

Pengurusan Kata Laluan Pemilihan, penggunaan dan pengurusan kata laluan sebagai laluan utama bagi mencapai maklumat dan data dalam sistem mestilah mematuhi amalan terbaik serta prosedur yang ditetapkan oleh MinDef seperti berikut: (a) Dalam apa jua keadaan dan sebab, kata laluan hendaklah dilindungi dan tidak boleh dikongsi dengan sesiapa pun; (b) Pengguna hendaklah menukar kata laluan apabila disyaki berlakunya kebocoran kata laluan atau dikompromi; (c) Kata laluan hendaklah diingat dan TIDAK BOLEH dicatat, disimpan atau didedahkan dengan apa cara sekalipun; (d) Kata laluan windows dan screen saver hendaklah diaktifkan terutamanya pada komputer yang terletak di ruang guna sama; (e) Kata laluan hendaklah tidak dipaparkan semasa input, dalam laporan atau media lain dan tidak boleh dikodkan di dalam program; (f) Kuatkuasakan pertukaran kata laluan semasa login kali pertama atau selepas login kali pertama atau selepas kata laluan diset semula; (g) (h) Kata laluan hendaklah berlainan daripada pengenalan identiti pengguna; Kata laluan hendaklah ditukar selepas 90 hari atau selepas tempoh masa yang bersesuaian; dan


!

NO. VERSI

3.1 00 12 Mei 2010 59/95



(i)

Mengelakkan penggunaan semula kata laluan yang baru digunakan.

7.6

Kawalan Capaian Rangkaian 7.6.1 Menghalang capaian tidak sah dan tanpa kebenaran ke atas rangkaian MinDef. Kawalan capaian perkhidmatan rangkaian hendaklah dijamin selamat dengan:

(a)

Menempatkan atau memasang antaramuka yang menepati kesesuaian penggunaannya di antara rangkaian MinDef dan rangkaian lain-lain organisas; dan

(b)

Mewujudkan dan menguatkuasakan mekanisme untuk pengesahan pengguna dan peralatan yang menepati kesesuaian penggunaannya.

Perkara yang perlu dipatuhi adalah seperti berikut:

(a)

Memastikan pengguna boleh mencapai perkhidmatan yang dibenarkan sahaja;

(b)

Mewujudkan mekanisme pengesahan yang sesuai untuk mengawal capaian oleh pengguna jarak jauh;

(c)

Mengguna kaedah pengenalan automatik berdasarkan lokasi dan peralatan untuk pengesahan sambungan ke dalam rangkaian;

(d)

Mengawal capaian fizikal dan logikal ke atas kemudahan port diagnostik dan konfigurasi jarak jauh;

(e)

Mengasingkan capaian mengikut kumpulan perkhidmatan, pengguna dan sistem maklumat dalam rangkaian;

maklumat

(f)

Mengawal sambungan ke rangkaian, khususnya bagi kemudahan yang dikongsi dan menjangkau sempadan MinDef; dan


!

NO. VERSI

3.1 00 12 Mei 2010 60/95



(g)

Mewujud dan melaksana kawalan pengalihan laluan (routing control) untuk memastikan pematuhan ke atas peraturan MinDef.

7.6.2

Perkhidmatan Internet Capaian Internet perlu dikawal dan diurus bagi mengelakkan gangguan sistem rangkaian MinDef. Perkara yang perlu dipatuhi adalah seperti berikut :

(a)

Arahan yang dikeluarkan mengenai etika penggunaan Internet dan emel MinDef perlu dipatuhi oleh semua pengguna MinDef;

(b)

Semua pihak dikehendaki menyediakan kawalan terhadap kemudahan internet;

(c)

Laman yang dilayari hendaklah hanya yang berkaitan dengan bidang kerja dan terhad untuk tujuan yang dibenarkan oleh Ketua Jabatan;

(d)

Melayari laman web yang menentang pemerintahan kerajaan, berunsur hasutan dan mempunyai unsur-unsur lucah adalah dilarang sama sekali;

(e)

Bahan yang diperoleh dari Internet hendaklah ditentukan ketepatan dan kesahihannya. Sebagai amalan baik, rujukan sumber Internet hendaklah dinyatakan;

(f)

Bahan rasmi hendaklah disemak dan mendapat pengesahan daripada Ketua Jabatan sebelum dimuat naik ke Internet;

(g)

Pengguna hanya dibenarkan memuat turun bahan yang sah seperti perisian yang berdaftar dan dibawah hak cipta terpelihara;


!

NO. VERSI

3.1 00 12 Mei 2010 61/95



(h)

Sebarang bahan yang dimuat turun dari Internet hendaklah digunakan untuk tujuan yang dibenarkan oleh MinDef; dan

(i)

Maklumat lanjut mengenai keselamatan Internet bolehlah merujuk kepada Etika Penggunaan Internet dan Emel Kementerian Pertahanan dan Pekeliling Kemajuan Pentadbiran Awam Bilangan 1 Tahun 2003 bertajuk Garis Panduan Mengenai Tatacara Penggunaan Internet dan Mel Elektronik di Agensi-agensi Kerajaan.

7.7

Kawalan Capaian Sistem Operasi 7.7.1 Memastikan bahawa capaian ke atas sistem operasi dikawal dan dihadkan kepada pengguna yang dibenarkan sahaja. Kaedah yang digunakan hendaklah menyokong perkara-perkara berikut: (a) Mengesahkan pengguna yang dibenarkan selaras dengan peraturan MinDef; (b) Mewujudkan audit trail ke atas semua capaian sistem operasi terutama pengguna bertaraf khas (super user); (c) Menjana amaran (alert) sekiaranya berlaku pelanggaran ke atas peraturan keselamatan sistem; (d) Menyedia kaedah sesuai untuk pengesahan capaian (authentication); dan (e) Menghadkan tempoh penggunaan mengikut kesesuaian.

7.7.2

Mengawal capaian ke atas sistem operasi menggunakan prosedur log-on yang selamat. Prosedur log-on yang selamat perlulah:


!

NO. VERSI

3.1 00 12 Mei 2010 62/95



(a)

Menggunakan kaedah pengenalan pengguna yang unik dan teknik pengesahan pengguna yang berkesan dan selamat;

(b)

Melaksana sistem pengurusan kata laluan yang interaktif dan menjamin kualiti serta keselamatan kata laluan;

(c)

Mengawal penggunaan utiliti yang berkeupayaan melepasi sistem dan aplikasi terhad;

(d)

Menamatkan sesi yang tidak aktif selepas tempoh masa ditetapkan; dan

yang

(e)

Hadkan tempoh masa penggunaan bagi meningkatkan keselamatan aplikasi yang berisiko tinggi.

7.8

Kawalan Capaian Aplikasi Dan Maklumat Menghalang capaian tidak sah ke atas sistem aplikasi dan maklumat. Kawalan capaian hendaklah :

(a)

Membenarkan pengguna mencapai aplikasi dan maklumat mengikut tahap capaian yang ditentukan;

(b)

Menyediakan mekanisme perlindungan bagi menghalang capaian tidak sah ke atas aplikasi dan maklumat daripada utiliti yang sedia ada dalam sistem operasi dan perisian malicious yang berup

dasar-ict-mindef-v3.1

Documents