dasar keselamatan ict kementerian kesihatan malaysia dasar keselamatan... · melaksanakan fungsi....
TRANSCRIPT
Taklimat
Dasar Keselamatan ICT
Kementerian kesihatan Malaysia
versi 5.0
UNIT RANGKAIAN DAN KESELAMATAN
BAHAGIAN PENGURUSAN MAKLUMAT
KEMENTERIAN KESIHATAN MALAYSIA
PENGENALAN
DKICT mengandungi peraturan-peraturan yangmesti dibaca dan dipatuhi dalam menggunakanaset Teknologi Maklumat dan Komunikasi (ICT)KKM.
Menerangkan kepada semua tanggungjawabdan peranan mereka dalam melindungi aset ICT KKM.
PENGUATKUASAAN
Telah diluluskan dalam MesyuaratJawatankuasa Pemandu ICT (JPICT) KKM Bil.3/2019 bertarikh 2 Ogos 2019
Diedarkan melalui Surat Pekeliling KSU Bil.10/2019 bertarikh 19 September 2019
OBJEKTIF DKICT
1 2
3
Melindungi kepentinganpihak-pihak yang
bergantung kepadasistem maklumat darikesan kegagalan ataukelemahan seterusnyamenjamin kerahsiaan,
integriti, kesediaan, dankesahihan aset ICT KKM
Mencegahsalah guna
atau kecurianaset ICT KKM
Memastikankelancaran
operasi KKM danmeminimumkankerosakan atau
kemusnahanaset ICT KKM
OBJEKTIF TAKLIMAT
Membaca Dan Memahami
Dasar Keselamatan ICT
KKM BACA
Menghayati &
Meningkatkan
Kesedaran FAHAM
Pematuhan PATUH
Kes/ Insiden
Keselamatan
ICT dapat
dikawal
11 DOMAIN DKICT SEDIA ADA
Pembangunan & Pengemaskinian
Dasar1Organisasi Keselamatan2Kawalan & Pengelasan Aset3Keselamatan Sumber Manusia4Keselamatan Fizikal & Persekitaran5Pengurusan Operasi & Komunikasi6
Kawalan Capaian7Perolehan, Pembangunan &
Penyelenggaraan Sistem Maklumat8Pengurusan Insiden Keselamatan ICT9Pengurusan Kesinambungan
Perkhidmatan10Pematuhan11
14 DOMAIN DKICT BAHARUPerkara 1 Pembangunan Dan Penyelarasan Dasar
Perkara 2 Organisasi Keselamatan
Perkara 3 Keselamatan Sumber Manusia
Perkara 4 Pengurusan Aset
Perkara 5 Kawalan Capaian
Perkara 6 Kriptografi
Perkara 7 Keselamatan Fizikal Dan Persekitaran
Perkara 8 Keselamatan Operasi
Perkara 9 Keselamatan Komunikasi
Perkara 10 Perolehan, Pembangunan, Penambahbaikan Dan Penyelenggaraan Sistem
Perkara 11 Perhubungan Dengan Pembekal
Perkara 12 Pengurusan Pengendalian Insiden Keselamatan
Perkara 13 Aspek Keselamatan Dalam Pengurusan Kesinambungan Perkhidmatan
Perkara 14 Pematuhan
MAPPING DKICT 4.0 vs DKICT 5.0
DKICT 4.0 DKICT 5.0
Perkara 1 – Pembangunan & Pengemaskinian Dasar Perkara 1 – Pembangunan & Penyelarasan Dasar
Perkara 2 – Organisasi Keselamatan Perkara 2 – Organisasi Keselamatan
Perkara 3 – Kawalan & Pengelasan Aset Perkara 3 – Keselamatan Sumber Manusia
Perkara 4 – Keselamatan Sumber Manusia Perkara 4 – Pengurusan Aset
Perkara 5 – Keselamatan Fizikal & Persekitaran Perkara 5 – Kawalan Capaian
Perkara 6 – Pengurusan Operasi & KomunikasiPerkara 6 – Kriptografi
(08-02 Kawalan Kriptografi, ms 56)
Perkara 7 – Keselamatan Fizikal Dan Persekitaran
Perkara 8 – Keselamatan Operasi
Perkara 7 – Kawalan Capaian Perkara 9 – Keselamatan Komunikasi
Perkara 8 – Perolehan, Pembangunan &
Penyelenggaraan Sistem Maklumat
Perkara 10 – Perolehan, Pembangunan,
Penambaikan Dan Penyelenggaraan Sistem
Perkara 11 – Perhubungan Dengan Pembekal
02-04 Pihak Luar/Ketiga, ms 19)
Perkara 9 – Pengurusan Insiden Keselamatan ICTPerkara 12 – Pengurusan Pengendalian Insiden
Keselamatan
Perkara 10 – Pengurusan Kesinambungan
Perkhidmatan
Perkara 13 – Aspek Keselamatan Dalam
Pengurusan Kesinambungan Perkhidmatan
Perkara 11 – Pematuhan Perkara 14 – Pematuhan
JADUAL PINDAAN
VERSI BUTIRAN PINDAAN
5.0 1. Pindaan keseluruhan bagi memenuhi keperluanstandard ISO/IEC 27001:2013 Information Security Management System (ISMS)
2. Tambahan sub bidang bagi 4-3-4 Media MudahAlih Persendirian (Bring Your Own Device)
3. Tambahan sub bidang bagi 5-1-3 Pengkomputeran Awan (Cloud Computing)
IMPAK: WEB DEFACEMENT
IMPAK: KEBOCORAN MAKLUMAT
IMPAK: ISU KESELAMATAN FIZIKAL
SKOP DKICT
Semua aset yang menyokong pemprosesan maklumat & kemudahan storan.
Semua program/ perisian / peraturan & dokumentasi berkaitan sistem pemprosesan maklumat.
Perkhidmatan/ sistem yang menyokong aset melaksanakan fungsi.
Koleksi fakta softcopy/hardcopy mengandungi maklumat bagi mencapai misi & objektif KKM.
Individu dengan pengetahuan/kemahiran untuk melaksanakan skop kerja harian KKM.
Semua kemudahan & premis yang digunakan untuk menempatkan perkara yg dinyatakan di atas.
Semua dokumentasi yang mengandungi maklumat penggunaan/pemasangan peralatan & perisian. Meliputi data dalam semua bentuk media.
PRINSIP KESELAMATAN
PRINSIP-
PRINSIP ASAS
DKICT KKM
Akses diberikan untuk tujuan spesifik dan dihadkan kepada pengguna tertentu sahaja
Hak akses pengguna hanya diberi pada tahap set yang paling minimum
Semua pengguna bertanggungjawab ke atas semua tindakannya terhadap aset ICT KKM
Pengasingan tugas bagi mengelakkan capaian yang tidak dibenarkan serta melindungi aset ICT daripada kesilapan, kebocoran maklumat terperingkat atau dimanipulasi
Tindakan mengenal pasti insiden keselamatan atau keadaan yang
mengancam keselamatan
Baca, faham & patuh DKICT bagi mengelakkan perlanggaran dasar
yang menyebabkan ancaman keselamatan ICT
Memastikan kebolehsediaan dan kebolehcapaian perkhidmatan
Setiap prinsip adalah saling lengkap-melengkapi dan bergantung antara satu sama lain
14 DOMAIN DKICT
Pembangunan & Penyelarasan Dasar1Organisasi Keselamatan2Keselamatan Sumber Manusia3Pengurusan Aset4Kawalan Capaian5Kriptografi6Keselamatan Fizikal Dan Persekitaran7
Keselamatan Operasi8Keselamatan Komunikasi9Perolehan, Pembangunan, Penambahbaikan
Dan Penyelenggaraan Sistem10Perhubungan Dengan Pembekal11Pengurusan Pengendalian Insiden
Keselamatan12Aspek Keselamatan Dalam Pengurusan
Kesinambungan Perkhidmatan13Pematuhan14
1 PEMBANGUNAN & PENYELARASAN DASAR
OBJEKTIFmenerangkan hala tuju dan
sokongan pengurusan terhadap keselamatan
maklumat selaras dengankeperluan KKM danperundangan yang
berkaitan.
1-1-1 Pelaksanaan Dasar
- KSU - CIO - ICTSO - Pegawai dilantik
1-1-2 Penyebaran Dasar
- Warga KKM - Pihak ketiga/ Luar
1-1-3 Penyelenggaraan Dasar
- Dikaji 1x setahun- Kemukakan untuk kelulusan JPICT- Memaklumkan pada Warga KKM
1-1-4 Pengecualian Dasar
- Perlu dibaca, difahami & dipatuhiwarga KKM
- Terpakai kepada semua warga KKM- Tiada Pengecualian
1-1 DASAR KESELAMATAN ICT KKM
2 ORGANISASI KESELAMATAN
OBJEKTIFMewujudkan
pengurusan organisasi keselamatan untuk
melaksana serta mengawal
pelaksanaan dan operasi keselamatan
maklumat dalam organisasi.
2-1-1 Peranan Dan Tanggungjawab OrganisasiKeselamatan Maklumat
Ketua Setiausaha/ Ketua Pengarah/ Ketua Jabatan CIO ICTSO IPKKM ICTSO Fasiliti Penyelaras ICT Fasiliti Pentadbir Sistem ICT Pengguna CERT KKM
2-1-2 Pengasingan Peranan Dan Tanggungjawab
Mengurangkan peluang bagi pengubahsuaian ataupenyalahgunaan yang tidak dibenarkan ke atas asetorganisasi
2-1-3 Senarai Perhubungan Dengan Pihak Berkuasa
- Perlu diwujudkan dan dikemaskini- Sumber rujukan pengguna KKM
2-1 ORGANISASI DALAMAN
2 ORGANISASI KESELAMATAN
Pentadbir Sistem &
Penyelaras ICT
PengurusICT
PenggunaICT KKM
Tentukan kawalan akses Tentukan tahap kawalan
akses Laporkan sebarang
ancaman/insiden kepada ICTSO
Kaji semula pelaksanaan keselamatan ICT Fasiliti
Pastikan rekod/bukti/laporan ancaman/insiden disimpan/direkodkan
Pastikan kerahsiaan kata laluan Mengambil tindakan segera terhadap staf yang berhenti/ bertukar/ bercuti/ berkursus
(password revoked, hak capaian fizikal, dll) Mengambil tindakan segera terhadap pihak ketiga yang berhenti atau tamat kontrak Pemantauan Audit Trail/log Pastikan peralatan ICT dalam keadaan baik dan selamat Menyatakan semua keperluan keselamatan dengan jelas dalam perjanjian dengan pihak
ketiga (hak capaian/ tapisan keselamatan/ Patuh DKICT, Akta Rahsia Rasmi)
Tahu, faham & patuh DKICT Melepasi tapisan keselamatan Laksanakan Prinsip-prinsip DKICT Lapor ancaman/insiden kepada
ICTSO agensi Hadiri program kesedaran
keselamatan ICT Melaksana Akuan
pematuhan DKICT
3 KESELAMATAN SUMBER MANUSIA
OBJEKTIFMemastikan semua sumber manusia (Warga KKM, Pihak Ketiga) memahami
tanggungjawab dan peranan serta mematuhi terma dan syarat perkhidmatanserta peraturan semasa.
Memastikan Pegawai,Kakitangan dan PihakKetiga lakukan TapisanKeselamatan
Memastikan sumber manusiamemahami tanggungjawab masing-masing bagi meminimukan risiko sepertikesilapan, kecuaian, kecurian, penipuan& Penyalahgunaan aset ICT kerajaan
3-1-1 Tapisan
3-1-2 Terma & Syarat Pelantikan
3-1 KESELAMATAN SUMBER MANUSIA SEBELUM PERKHIDMATAN
3 KESELAMATAN SUMBER MANUSIA
OBJEKTIFMemastikan
pegawai, kakitangan dan
pihak ketigamengetahui
tanggungjawabkeselamatanmaklumat.
3-2 KESELAMATAN SUMBER MANUSIA DALAM PERKHIDMATAN
• Pastikan semua pengguna KKM mematuhi DKICT
• Pastikan pengurusan Keselamatan ICT berdasarkanperundangan dan peraturan
3-2-1 TanggungjawabPihak Pengurusan
• Laksana sesi kesedaran dan pendidikan pengurusankeselamatan ICT
• Sekali setahun
• Memantapkan pengetahuan berkaitan penggunaan aset ICT
3-2-2 Pembudayaan, Latihan dan Sesi
KesedaranKeselamatan Maklumat
• Boleh dikenakan jika pengguna KKM melakukan pelanggaranke atas dasar-dasar Kerjaan, peraturan serta undang-undangsemasa masih berkuat kuasa berhubung denganKeselamatan ICT
3-2-3 TindakanTatatertib
3 KESELAMATAN SUMBER MANUSIA
3-3 PENAMATAN ATAU PERUBAHAN PERKHIDMATAN
1
• Memastikan semua aset ICT yang dikembalikankepada KKM mengikut peraturan dan/atau termaperkhidmatan yang ditetapkan
2
• Membatalkan atau menarik balik semua kebenarancapaian ke atas maklumat dan kemudahan proses maklumat
3• Menguruskan urusan keluar, berhenti, pertukaran
peranan dan tanggungjawab pengguna KKM
Perkara yang perlu dipatuhi adalah seperti berikut :
4 PENGURUSAN ASET
OBJEKTIFMemberi dan menyokong
perlindunganyang bersesuaian
ke atas semuaaset ICT KKM
sentiasa di dalamkeadaan baik dan
selamat.
4-1 AKAUNTABILITI ASET
4-1-4 Pemulangan
Aset ICT
4-1-3 Pengunaan
Aset ICT
4-1-2 Hak milikAset ICT
4-1-1 InventoriAset ICT
Bertujuanmemastikansemua aset ICT diberi kawalan& perlindungan
Memastikansemua aset ICT mempunyaipemilik dan dikendalikanoleh penggunayang dibenarkan
- Pengunaan asetICT & Kemudahanpemprosesanmaklumat dikenalpasti, didokumendan dilaksana
- Pengendalianaset merujukperaturan ataupekeliling semasa
-Mengembalikanaset ICT setelahbertukar keluaratau ditamatkanperkhidmatan
- Memulangkankepada PegawaiAset atau PegawaiBertanggungjawab
4-2-2 Pelabelan Maklumat
4-2-1 Pengelasan Maklumat
4 PENGURUSAN ASET
OBJEKTIFMemastikan setiap maklumatatau aset ICT diberikan tahap
perlindungan yang bersesuaian.
Dikelaskan oleh Pegawai yang diberikuasa mengikut dokumen ArahanKeselamatan.
Mempunyai peringkat keselamatan :1. Rahsia Besar;2. Rahsia;3. Sulit; dan4. Terhad.
Maklumat dilabel dan dikendali berasaskan peringkat keselamatan selarasdengan peraturan prosedur yang ditetapkan KKM.
Maklumat Rekod Perubatan Pesakit perlu dirahsiakan tertakluk kepadaArahan Pekeliling Ketua Pengarah Kesihatan Bil 17/2010
Garis Panduan Pengendalian dan Pengurusan Rekod Perubatan Pesakit bagiHospital-Hospital dan Intitusi Perubatan KKM
4-2 PENGELASAN DAN PENGENDALIAN MAKLUMAT
4 PENGURUSAN ASET
4-2-3 Pengendalian Aset Atau MaklumatAktiviti pengendalian maklumat hendaklah mengambil kira langkah-langkah keselamatan
12
34
56
7
Menghalang pendedahan maklumat kepada pihak yang tidak dibenarkan
Memeriksa, menyemak maklumat dan menentukan ia tepat dan lengkap dari semasa ke semasaMemastikan menentukan maklumat
sedia untuk digunakan
Menjaga kerahsiaan kata laluanMematuhi piawaian, prosedur,
tatacara dan garis panduan keselamatan yang dikeluarkan Beri perhatian semasa pengendalian
maklumat rahsia rasmi terperingkat (wujud, proses, simpan, hantar, edar, tukar dan musnah)
Menjaga kerahsiaan langkah-langkah pengurusan pengendalian maklumat
rahsia rasmi keselamatan ICT dari diketahui umum
4 PENGURUSAN ASET
08 0201
05
0406
07 03
Dikawal bagi mencegah dari capaian yang tidak dibenarkan, kecurian dan kemusnahan
Mengandungi data terperingkat hendaklah disimpan di dalam peti keselamatan yang mempunyai ciri-ciri keselamatan
Peralatan Backup bagi mediamudah alih diletakkan ditempat yang terkawal
Maklumat rasmi sahaja boleh disimpan dalam media mudah alih
yang dibekalkan oleh kerajaan
Akses untuk memasuki kawasan penyimpanan media mudah alih hendaklah terhad
Wujudkan salinan atau pendua media mudah alih bagi tujuan keselamatan.
Akses dan pergerakan media mudah alih perlu direkodkan
Disimpan di ruang penyimpanan yang baik dan selamat
OBJEKTIFMelindungi media dari sebarangpendedahan, pengubahsuaian, pemindahan atau pemusnahan sertagangguan ke atas aktivitiperkhidmatan.
4-3 PENGURUSAN MEDIA MUDAH ALIH
4 PENGURUSAN ASET
4-3-2 PELUPUSAN
MEDIA
Pelupusan media perlu mendapat kelulusan dari pihak pengurusan ICT dan mengikut prosedur. Berikut peraturan pelupusan:
1. Mengikut prosedur yang betul serta selamat;2. Data terperingkat / sensitif dihapuskan (wipe data) dengan teratur
dan selamat;3. Mengikut Pekeliling Aset Alih Kerajaan yang berkuat kuasa; dan4. Mendapat kelulusan pemilik maklumat terlebih dahulu
4-3-3PENGHANTARAN
DAN PEMINDAHAN
Berdasarkan Arahan Keselamatan dan seperti berikut:
1. Mendapat kebenaran pemilik bagi penghantaran ataupemindahan media ke luar;
2. Mempunyai rekod penghantaran dan pemindahan media ke luar;3. Maklumat terperingkat dilindungi daripada capaian yang tidak
dibenarkan, penyalahgunaan atau kerosakan semasa pemindahan.
4 PENGURUSAN ASET
4-3-4 Media Mudah Alih Persendirian (Bring Your Own Device)
Mematuhi Tatacara Penggunaan BYOD
a. Maklumat rasmi kerajaan adalah hakmilik kerajaan;b. Bahan rasmi yang dimuatnaik/ edar/ kongsi mendapat kebenaran ketua
jabatan;c. Menandatangani Surat Akuan Pematuhan DKICT & Akta Rahsia Rasmi
1972 [Akta 88];d. Peranti yang digunakan mempunyai kawalan keselamatane. Pengguna dilarang :
Simpan maklumat rasmi; Akses maklumat rasmi dan terperingkat; Backup maklumat rasmi; Rakam maklumat bagi tujuan peribadi Menjadikan BYOD sebagai access point kepada aset ICT jabatan
untuk capaian ke internet tanpa kebenaran.
5-1-3 PengkomputeranAwam (Cloud Computing) Perkhidmatan sumber
ICT yang dimayakantanpa penyediaaninfrastruktur daripengguna;
Kelulusan PihakKerajaan;
Dipastikan selamat bagimenjamin keselamatanmaklumat.
5 KAWALAN CAPAIAN
OBJEKTIFMengawal capaian ke
atas maklumat dan kemudahan
pemprosesanmaklumat
5-1-1 Polisi Kawalan CapaianPeraturan kawalan capaianperlu diwujudkan bagirangkaian, fasiliti/sistemmaklumat
5-1-2 Kawalan CapaianRangkaian Dan Perkhidmatan RangkaianMendapat kebenaran dariKKM bagi tujuan akses
5-1 KEPERLUAN KE ATAS KAWALAN
CAPAIAN
5 KAWALAN CAPAIAN
OBJEKTIFMemastikan kawalan capaian pengguna yang diperakukan
sahaja dan menghalang capaian yang tidak dibenarkan
5-2 PENGURUSAN CAPAIAN PENGGUNA
5-2-1Pendaftaran
Dan PembatalanAkaun Pengguna
Wujudkan prosedur
pendaftaran dan pembatalan bagi
menguruskan capaian dan
pembatalan hak capaian
5-2-2Penyediaan Dan
Semakan CapaianPengguna
Wujudkan prosedur
penyediaan capaian
pengguna atau pembatalan
capaian pengguna kepada perkhidmatan ICT
5-2-3Pengurusan Hak
Capaian KhasPengguna
Peruntukan dan penggunaan
Priviledge Access Rights perlu
dihadkan
5-2-4Pengurusan Kata Laluan Pengguna
Pemilihan, penggunaan dan pengurusan kata
laluan sebagai laluan utama
bagi mencapai maklumat dan
data dalam sistem.
5-2-5Kajian SemulaHak Capaian
Pengguna
Secara berkalaatau sekurang-kurangnya satu(1) kali setahunatau mengikut
keperluan
5-2-6Pembatalan Atau
Pelarasan HakCapaian Pengguna
- Hak Capaiandibatalkanapabila tamatkontrak;
- Pelarasanperludilakukanapabilaberlakuperubahan.
5 KAWALAN CAPAIAN
OBJEKTIFMemastikan pengguna bertanggungjawab untuk melindungi
maklumat yang digunakan untuk pengesahan identiti
5-3 TANGGUNGJAWAB PENGGUNA
5-3-1 Pematuhan Kata Laluan Pengguna
Mematuhi amalan terbaik kata laluan;
Kemudahan & peralatan tidak digunakan mendapat perlindungan sewajarnya;
Amalan Clear desk / Clear screen policy.
5-3-2 Kawalan Penggunaan Program Atau Perisian Khas Utiliti
Program atau perisian khas utiliti yang selamat sahaja digunakan;
Program atau perisian yang membebankan kapasiti (bandwidth) rangkaian perlu dihadkan.
5-3-3 Kawalan Capaian Kepada Source Code Program
Diselia dan dipantau oleh pemilik sistem; Menjadi hakmilik KKM; Disimpan dengan teratur dan selamat; Mengikut prosedur yang ditetapkan; Log audit perlu dikekalkan kepada semua capaian
kepada source code.
6 KRIPTOGRAFI
OBJEKTIF
6-1-1 Polisi Kawalan Penggunaan Kriptografi
6-1-2 Pengurusan Kunci Kriptografi (Key Management)
Memastikan penggunaan kriptografi yang betul dan berkesan untuk melindungikerahsiaan, kesahihan dan/atau integriti maklumat
- Laksana peraturan enkripsi untuk melindungi maklumat sensitif menggunakan kaedah kriptografi yang sesuai;
- Melindungi penggunaan kriptografi dengan mengambil kira jenis, kekuatan dan kualiti algoritma;
- Menggunakan kriptografi ke atas maklumat sensitif.
- Pengurusan ke atas kunci kriptografi perlu dilakukan dengan selamat;- Kaedah yang selamat;- Menggunakan tandatangan digital atau kunci kriptografi.
6-1 KAWALAN KRIPTOGRAFI
7 KESELAMATAN FIZIKAL & PERSEKITARAN
OBJEKTIFMelindungi premis dan maklumat daripada sebarang bentuk pencerobohan, ancaman,
kerosakan serta akses yang tidak dibenarkan.
Kawalan Keselamatan Fizikal7-1-1 7-1-2
7-1-3
7-1-57-1-6
Bertujuan untuk menghalang akses, kerosakan dan gangguan secara fizikal terhadap agensi
Kawalan Masuk Fizikal Memakai pas keselamatan sepanjang bertugas; Dipulangkan semula pada KKM apabila
berhenti @ bersara; Pelawat perlu mendapatkan Pas Keselamatan Kehilangan pas perlu dilaporkan segera.
Kawalan Keselamatan Bagi Pejabat, Bilik Dan Kemudahan ICT
Hadkan kawasan akses; Penunjuk tempat larangan tidak
perlu menonjol & hanya penunjukminimum.
7-1-4Kawalan Perlindungan Terhadap Ancaman Luar & Bencana Alam Merekabentuk dan melaksanakan pelan
perlindungan fizikal; Pelan tindakan perlindungan bagi ancaman
berbahaya.
Kawalan Tempat LaranganDitakrifkan sebagai kawasan yang dihadkan kepada pegawai-pegawai tertentu sahaja.
Kawasan Penghantaran & PemunggahanKKM hendaklah memastikan kawasan-kawasan penghantaran dan pemunggahan dan juga tempat lain dikawal dari pihak tidak berkenaan.
7-2-4 PenyelenggaraanPeralatan ICT – diselenggaradengan betul; semak dan ujisebelum dan selepaspenyelenggaraan
7-2-5 Pengalihan PeralatanICT – perlu mendapatkelulusan dan direkodkan
7-2-3 Kawalan Keselamatankabel Telekomunikasi Dan Elektrik – lindungi darimenjadi punca maklumatterdedah (kod label, trunking)
7 KESELAMATAN FIZIKAL & PERSEKITARAN
OBJEKTIFMelindungi
peralatan ICT dan peranti perubatanyang mempunyai
fungsi ICT KKM darikehilangan,
kerosakan, kecurianserta gangguan
kepada peralatanyang menyebabkan
perkhidmatan fasilititerjejas.
7-2-1 Penempatan Dan Perlindungan Peralatan ICT –dijaga & dikawal; berfungsi biladiperlukan. Setiap penggunabertanggungjawab ke atas asetICT dibawah kawalannya.
7-2-2 Peralatan SokonganICT – lindungi dari gangguanbekalan (UPS, genset) dan ujisecara berkala
7-2 Keselamatan Peralatan ICT
7-2-6 KeselamatanPeralatan ICT Di Luar Premis– dilindungi dan dikawalsepanjang masa; Menyemakperalatan yang dipulangkanberada dalam keadaan baikdan lengkap
7-2-9 Clear Desk dan Clear Screen – set kata laluan, screen saver; simpan bahan2 sensitive mengikut TatacaraPenyimpanan DokumenTerperingkat
7-2-10 Kawalan PeralatanSewaan/Ujicuba (Proof Of Concept) – peralatan yang diterima bebas daripadavirus, backdoor, worm; capaian melalui rangkaianluar KKM tidak dibenarkan; maklumat yang tersimpandalam storan perludihapuskan secara kekal(secured delete)
7 KESELAMATAN FIZIKAL & PERSEKITARAN
OBJEKTIFMelindungi
peralatan ICT dan peranti perubatanyang mempunyai
fungsi ICT KKM darikehilangan,
kerosakan, kecurianserta gangguan
kepada peralatanyang menyebabkan
perkhidmatan fasilititerjejas.
7-2-7 Keselamatan SemasaPelupusan Dan PenggunaanSemula – tatacara pelupusansemasa; mengemas kini rekodpelupusan peralatan ICT kedalam sistem inventori SistemPengurusan Aset (SPA); segala maklumat rasmidihapuskan terlebih dahulusblm pelupusan
7-2-8 Peralatan ICT Gunasama Atau TiadaPengguna – gunakan id pengguna dan kata laluanyang diberikan; peralatanICT digunakan olehpengguna KKM shj
7-2 Keselamatan Peralatan ICT
8 KESELAMATAN OPERASI
8-1 Tanggungjawab Dan Prosedur Operasi
8-1-1 Dokumen Prosedur Operasi – wujud dan patuh dokumen SOP keselamatan ICT8-1-2 Kawalan Perubahan – sebarang perubahan perlu dikawal8-1-3 Perancangan Kapisiti – kapasiti komponen atau sistem ICT perlu dirancang, diurus, dipantau dan ditala (tuned) bagi mengurangkan risiko kegagalan atau gangguan sistem8-1-4 Pengasingan Persekitaran Pembangunan, Pengujian, Latihan Dan Operasi – mewujudkan persekitaran yang berasingan untuk mengurangkan risiko capaian tidak sah atau perubahan yang tidak dibenarkan
OBJEKTIFMemastikankemudahan
pemprosesanmaklumatberfungsi
dengan betuldan selamat
daripadasebarangancaman.
8 KESELAMATAN OPERASI
8-2 Perlindungan Malware Atau Virus
8-2-1 Perlindungan Daripada Perisian Berbahaya Pasang kawalan keselamatan spt anti virus, IDS, IPS,
Content Filtering, Web Application Firewall (WAF) Gunakan perisian yang tulen, berdaftar dan dilindungi
dibawah undang-undang bertulis yang berkuat kuasa Imbas semua perisian atau sistem dgn anti virus Kemas kini anti virus dgn pattern yang terkini Semak kandungan sistem atau maklumat secara
berkala bagi mengesan aktiviti yang tidak diingini Mengadakan program kesedaran kepada pengguna
mengenai ancaman perisian berbahaya Memberi notifikasi kpd pegawai bertanggungjawab
mengenai ancaman keselamatan ICT spt seranganmalware atau virus
OBJEKTIFMelindungi
integriti perisiandan maklumat
daripadapendedahan
atau kerosakanyang disebabkan
oleh perisianberbahaya
seperti virus, trojan dan
sebagainya.
8 KESELAMATAN OPERASI
8-3 Salinan Pendua (Backup)
8-3-1 Maklumat Pendua (Backup) Membuat polisi backup spt harian (incremental),
mingguan (full) dan bulanan (full) Backup semua data dan maklumat mengikut
keperluan operasi dan tahap kritikal maklumat Uji sistem backup dan restore sekurang-kurangnya
sekali setahun Pastikan sistem backup berfungsi dgn sempurna Simpan sekurang-kurangnya tiga (3) generasi backup Rekod dan simpanan salinan backup di lokasi yang
berlainan (off-site)
OBJEKTIFMemastikan
sistem, aplikasi, data, imej dan
maklumatmempunyai
salinan pendua, berkeupayaanuntuk restoresemula dan melindungi
daripadakehilanganmaklumat.
8 KESELAMATAN OPERASI
8-4 Log Dan Pemantauan
8-4-1 Log Aktiviti – pastikan setiap peralatan ICT menyimpan log yg mengandungi ID pengguna, tarikh dan masa aktiviti8-4-2 Kawalan Perlindungan Log – lindungi maklumat log drp capaian yg tidak dibenarkan8-4-3 Log Pentadbir Dan Pengendali (Operator) –pastikan log pentadbir dan pengendali sistem direkod, log sentiasa dipantau dan disemak secara berkala8-4-4 Penyeragaman Waktu (Clock Synchronisation) – waktu bagi sistem, aplikasi atau peralatan ICT perlu diselaraskan dgn Masa Standard Malaysia
OBJEKTIFMemastikan log direkodkan dan
menjanapembuktian
melaluipemantauan.
8 KESELAMATAN OPERASI
8-5 Kawalan Perisian Operasi
8-5-1 Instalasi Perisian Pada Sistem Operasi Pengemaskinian perisian operasi, aplikasi dan
program libraries hanya boleh dilakukan olehpentadbir
Sistem operasi hanya boleh memegang “executable code”
Instalasi perisian hendaklah mendapat kebenaran drpPentadbir Sistem ICT dan ICTSO
Pastikan perisian mempunyai lesen sah Setiap konfigurasi ke atas sistem operasi perlu dikawal
dan didokumentasikan melalui prosedur perubahankawalan konfigurasi
OBJEKTIFMelindungi
sistem operasidan memastikanintegriti sistem
operasi.
8 KESELAMATAN OPERASI
8-6 Pengurusan Keterdedahan Teknikal(Technical Vulnerability)
8-6-1 Pengurusan Ancaman Keterdedahan Teknikal Kenal pasti keterdedahan teknikal pada sistem
maklumat yg digunakan Menilai tahap keterdedahan bagi mengenal pasti
tahap risiko yg bakal dihadapi Ambil tindakan pengawalan dan pengukuhan utk atasi
risiko berkaitan8-6-2 Kawalan Pemasangan Perisian Perisian yg diperakui oleh ICTSO shj dibenarkan bagi
kegunaan pengguna di KKM Pasang dan guna perisian yg tulen dan berlesen shj Imbas semua perisian atau sistem dgn anti virus
sebelum menggunakannnya
OBJEKTIFMelindungi dan
mencegahdaripadaberlaku
eksploitasi padaketerdedahan
teknikal.
8 KESELAMATAN OPERASI
8-7 Keperluan Audit Pada Sistem Maklumat
8-7-1 Kawalan Audit Pada Sistem Maklumat Keperluan audit perlu dirancang bagi
mengurangkan kebarangkalian berlaku gangguandalam penyediaan perkhidmatan
Capaian ke atas audit sistem maklumat perludijaga dan diselia bagi mengelakkan berlakupenyalahgunaan
OBJEKTIFMengurangkan
impak bagiaktiviti audit ke
atas sistemoperasi.
9 KESELAMATAN KOMUNIKASI
9-1 Pengurusan
KeselamatanRangkaian
OBJEKTIFMemastikan
kawalankeselamatan dan
perlindunganmaklumat termasuk
kemudahanpemproses
maklumat dalamrangkaian.
9-1-1 Kawalan Rangkaian
9-1-2 Keselamatan Perkhidmatan Rangkaian
9-1-3 Pengasingan Rangkaian
Kawalan Infrastruktur rangkaian mesti diuruskansebaik mungkin melalui penggunaan peralatankeselamatan (firewall/ WAF/ IDS/ IPS/ ContentFiltering)
Sebarang penyambungan rangkaian yang bukankawalan Pengurus ICT adalah tidak dibenarkan
Semua perjanjian perkhidmatan rangkaianhendaklah mematuhi Service Level Agreement(SLA) yang telah dipersetujui
Demilitarized Zone (DMZ), Server Farm
Segmen Rangkaian Dalaman (LAN)
Segmen Rangkaian Luaran (WAN)
Segmen rangkaian tanpa wayar (Wireless)
Segmen rangkaian untuk pengurusan peralatan (Management Segment)
9 KESELAMATAN KOMUNIKASI
9-2 Perpindahan
Maklumat
OBJEKTIFMemastikan
kawalankeselamatan
semasaperpindahan atau
pertukaranmaklumat antara
KKM dengan pihakketiga.
9-2-1 Polisi Dan Prosedur Perpindahan Maklumat
9-2-2 Perjanjian Dalam Perpindahan Maklumat
Dasar, prosedur dan kawalan perpindahanmaklumat perlu diwujudkan untuk melindungiperpindahan maklumat
Tatacara dan syarat perpindahan maklumatantara KKM dengan pihak ketiga perludimasukkan dalam perjanjian atau suratpersetujuan
Memastikan keselamatan maklumat organisasidengan mewujudkan perjanjian bertulis apabilaberlaku perpindahan maklumat antara KKMdengan pihak ketiga
9 KESELAMATAN KOMUNIKASI
9-2 Perpindahan
Maklumat
OBJEKTIFMemastikan
kawalankeselamatan
semasaperpindahan atau
pertukaranmaklumat antara
KKM dengan pihakketiga.
9-2-3 Pengurusan e-Mel Atau Mesej Elektronik
Akaun atau alamat mel elektronik (e-Mel)yang diperuntukkan oleh KKM sahaja bolehdigunakan untuk urusan rasmi([email protected]).
Tidak dibenarkan berkongsi e-Mel. Tidak dibenarkan membuka e-Mel dari
penghantar yang tidak dikenali/meragukan.Imbas attachment.
Pastikan alamat penerima adalah betul.
e-Mel persendirian tidak boleh digunakan untuk tujuan rasmi.
Bagi pengguna yg ditamatkan perkhidmatan atau meninggal dunia, akaun e-Mel mereka perlu ditamatkan serta-merta.
9 KESELAMATAN KOMUNIKASI
9-2 Perpindahan
Maklumat
OBJEKTIFMemastikan
kawalankeselamatan
semasaperpindahan atau
pertukaranmaklumat antara
KKM dengan pihakketiga.
9-2-4 Kerahsiaan Dan Non-Disclosure Agreement
Mewujudkan perjanjian kerahsiaan atau non-disclosure agreement (NDA) dengan pihak ketiga
Mengambil kira keperluan kerahsiaan maklumat organisasi dalam perjanjian
Mengkaji dan menyemak perjanjian dari masa semasa serta mendokumentasikan perjanjian
10-1 Keperluan Keselamatan Sistem Maklumat
10-1-1 Analisis Keperluan Dan Spesifikasi KeselamatanMaklumat Keperluan keselamatan bagi memastikan tiada
sebarang ralat Ujian keselamatan hendaklah dijalankan ke atas
sistem input Sistem maklumat perlu megandungi semakan
pengesahan Sistem yang dibangunkan perlu diuji sebelum
digunakan
OBJEKTIFMemastikan
keperluankeselamatan
sistem maklumatdikenal pasti,
dipersetujui dan didokumenkan
pada setiapperingkat
perolehan, pembangunan,
penambahbaikandan
penyelenggaraan.
10PEROLEHAN, PEMBANGUNAN, PENAMBAHBAIKAN &
PENYELENGGARAAN SISTEM
10-1 Keperluan Keselamatan Sistem Maklumat
10-1-2 Keselamatan Perkhidmatan Aplikasi DalamRangkaian Umum Gunakan encryption utk penghantaran dan
penerimaan maklumat Pastikan aplikasi menggunakan Secure Socket Layer
(SSL) dlm setiap transaksi Pastikan pengesahan berkaitan dgn pihak yg berhak Pastikan setiap pengguna aplikasi adalah pengguna yg
betul dan sah Pastikan pengguna mempunyai tahap akses mengikut
kelulusan atau kebenaran pemilik sistem
OBJEKTIFMemastikan
keperluankeselamatan
sistem maklumatdikenal pasti,
dipersetujui dan didokumenkan
pada setiapperingkat
perolehan, pembangunan,
penambahbaikandan
penyelenggaraan.
10PEROLEHAN, PEMBANGUNAN, PENAMBAHBAIKAN &
PENYELENGGARAAN SISTEM
10-1 Keperluan Keselamatan Sistem Maklumat
10-1-3 Perlindungan Transaksi Perlhidmatan Aplikasi Pastikan perkhidmatan aplikasi dilindungi drp
penghantaran yg tidak lengkap (mis-routing), pengubahan maklumat, pendedahan yg tidakdibenarkan serta penduaan mesej
gunakan tandatangan elektronik komunikasi bagi semua pihak yg terlibat di
enkrip gunakan mekanisme tambahan spt secret key,
kad pintar pihak yg keluarkan pensijilan digital atau
tandatangan adalah dilantik oleh kerajaan
OBJEKTIFMemastikan
keperluankeselamatan
sistem maklumatdikenal pasti,
dipersetujui dan didokumenkan
pada setiapperingkat
perolehan, pembangunan,
penambahbaikandan
penyelenggaraan.
10PEROLEHAN, PEMBANGUNAN, PENAMBAHBAIKAN &
PENYELENGGARAAN SISTEM
10-2 Keselamatan Pembangunan Sistem Dan Proses Sokongan
10-2-1 Tatacara Keselamatan Dalam Pembangunan Sistem Keperluan keselamatan maklumat semasa persekitaran
kitar hayat pembangunan Panduan keselamatan dlm kitar hayat
Keselamatan maklumat dlm fasa reka bentuk
Pemeriksaan keselamatan dlm perkembangan projek
Keselamatan repositori atau ruang storan
Keselamatan dlm kawalan versi
Keperluan pengetahuan keselamatan dlmpembangunan sistem maklumat (secure coding)
Kebolehan pengaturcara untuk mengenalpastikelemahan dan mencadangkan penambahbaikan dlmpembangunan sistem
OBJEKTIFMemastikan
keperluankeselamatan
sistem maklumatdikenal pasti,
dipersetujui dan didokumenkan
pada setiapkitaran hayat
pembangunansistem maklumat.
10PEROLEHAN, PEMBANGUNAN, PENAMBAHBAIKAN &
PENYELENGGARAAN SISTEM
10-2 Keselamatan Pembangunan Sistem Dan Proses Sokongan
10-2-2 Prosedur Kawalan Perubahan Sistem Mengenalpasti perubahan ke atas sistem melalui kajian
keperluan pengguna (user requirement study – URS) Mendokumentasi dan mengesahkan URS sebelum
dilaksanakan Mengkaji impak operasi dan keselamatan maklumat Melaksanakan perubahan sistem pada pelayan
pembangunan untuk menguji keberkesanan operasi Setiap permohonan perubahan/penambahbaikan
sistem hendaklah menggunakan Change Request Form(CRF)
Kawalan perlu dibuat ke atas sebarang perubahan ataupindaan ke atas sistem
OBJEKTIFMemastikan
keperluankeselamatan
sistem maklumatdikenal pasti,
dipersetujui dan didokumenkan
pada setiapkitaran hayat
pembangunansistem maklumat.
10PEROLEHAN, PEMBANGUNAN, PENAMBAHBAIKAN &
PENYELENGGARAAN SISTEM
10-2 Keselamatan Pembangunan Sistem Dan Proses Sokongan
10-2-3 Kajian Teknikal Sistem Maklumat SelepasPerubahan Platform Operasi Pastikan perubahan platform operasi dilaksanakan dlm
persekitaran pengujian Kawalan aplikasi dan prosedur integriti disemak untuk
memastikan sistem tidak terjejas Perubahan platform dimaklumkan dari semasa ke
semasa bagi membolehkan ujian yg bersesuaiandilakukan sebelum pelaksanaan
Pastikan perubahan yg sesuai diselaraskan kpd pelankesinambungan perkhidmatan
OBJEKTIFMemastikan
keperluankeselamatan
sistem maklumatdikenal pasti,
dipersetujui dan didokumenkan
pada setiapkitaran hayat
pembangunansistem maklumat.
10PEROLEHAN, PEMBANGUNAN, PENAMBAHBAIKAN &
PENYELENGGARAAN SISTEM
10-2 Keselamatan Pembangunan Sistem Dan Proses Sokongan
10-2-4 Kawalan Keselamatan Perubahan Pakej Perisian(Software Packages) Pastikan perubahan pakej perisian mengambilkira
aspek keselamatan maklumat Perubahan pakej perisian hanya dilaksanakan oleh
pihak yg dibenarkan shj Laksanakan pengujian ke atas pakej perisian yang
terkini Pastikan perubahan pakej perisian tidak menjejaskan
perkhidmatan operasi sistem maklumat
OBJEKTIFMemastikan
keperluankeselamatan
sistem maklumatdikenal pasti,
dipersetujui dan didokumenkan
pada setiapkitaran hayat
pembangunansistem maklumat.
10PEROLEHAN, PEMBANGUNAN, PENAMBAHBAIKAN &
PENYELENGGARAAN SISTEM
10-2 Keselamatan Pembangunan Sistem Dan Proses Sokongan
10-2-5 Prinsip Kejuruteraan Keselamatan Sistem Memastikan keselamatan spt ancaman drp bencana
alam dan manusia Perlindungan maklumat dlm pembangunan sistem
semasa pemprosesan, perpindahan dan penyimpanan Mengambil kira kriteria di bawah dlm prinsip
kejuruteraan pembangunan sistem
– Business Layer
– Data Layer
– Application Layer
– Technology Layer
OBJEKTIFMemastikan
keperluankeselamatan
sistem maklumatdikenal pasti,
dipersetujui dan didokumenkan
pada setiapkitaran hayat
pembangunansistem maklumat.
10PEROLEHAN, PEMBANGUNAN, PENAMBAHBAIKAN &
PENYELENGGARAAN SISTEM
10-2 Keselamatan Pembangunan Sistem Dan Proses Sokongan
10-2-6 Keselamatan Persekitaran Pembangunan Sistem Pastikan persekitaraan pembangunan sistem yang
berbeza diasingkan Capaian ke persekitaraan pembangunan hanya kpd
pengguna yang dibenarkan shj Pastikan pengaturcara menggunakan mekanisma yang
selamat dalam perpindahan data atau maklumat
OBJEKTIFMemastikan
keperluankeselamatan
sistem maklumatdikenal pasti,
dipersetujui dan didokumenkan
pada setiapkitaran hayat
pembangunansistem maklumat.
10PEROLEHAN, PEMBANGUNAN, PENAMBAHBAIKAN &
PENYELENGGARAAN SISTEM
10-2 Keselamatan Pembangunan Sistem Dan Proses Sokongan
10-2-7 Pembangunan Sistem Oleh Pihak Ketiga(Outsourced) Pastikan persekitaraan pembangunan sistem yg
berbeza diasingkan Pembangunan sistem oleh pihak ketiga diselia dan
dipantau Pastikan perpindahan teknologi oleh pihak ketiga
dilaksanakan Kod sumber (source code) bagi semua sistem dan
aplikasi yg dibangunkan menjadi hak milik KKM Pastikan pembangunan sistem menggunakan teknik
secure coding Pembangunan sistem maklumat disarankan
dilaksanakan di dalam premis KKM
OBJEKTIFMemastikan
keperluankeselamatan
sistem maklumatdikenal pasti,
dipersetujui dan didokumenkan
pada setiapkitaran hayat
pembangunansistem maklumat.
10PEROLEHAN, PEMBANGUNAN, PENAMBAHBAIKAN &
PENYELENGGARAAN SISTEM
10-2 Keselamatan Pembangunan Sistem Dan Proses Sokongan
10-2-8 Pengujian Keselamatan Sistem Maklumat Pengujian fungsi keselamatan sistem dilaksanakan
semasa fasa pembangunan Semua sistem baru atau penambahbaikan sistem perlu
menjalani ujian Security Posture Assessment (SPA) Semak dan sahkan input data sblm dimasukkan ke dlm
aplikasi bagi menjamin proses dan ketepatanmaklumat
Kenalpasti dan laksanakan kawalan yg sesuai bagipengesahan & perlindungan integriti data
Jalankan proses semakan ke atas output data utkmenjamin ketepatan
OBJEKTIFMemastikan
keperluankeselamatan
sistem maklumatdikenal pasti,
dipersetujui dan didokumenkan
pada setiapkitaran hayat
pembangunansistem maklumat.
10PEROLEHAN, PEMBANGUNAN, PENAMBAHBAIKAN &
PENYELENGGARAAN SISTEM
10-2 Keselamatan Pembangunan Sistem Dan Proses Sokongan
10-2-9 Pengujian Penerimaan Sistem Maklumat Pastikan proses kerja sistem memenuhi keperluan
pengguna Laksanakan ujian fungsi ke atas sistem menggunakan
dummy input Semakan ke atas sistem dan kebolehgunaan sistem Laksanakan integrasi dan pengujian dgn sistem yang
lain sekiranya berkaitan Ujian alfa (alpha testing) dan ujian beta (beta testing) Ujian prestasi (performance test) dan ujian stress
(stress test)
OBJEKTIFMemastikan
keperluankeselamatan
sistem maklumatdikenal pasti,
dipersetujui dan didokumenkan
pada setiapkitaran hayat
pembangunansistem maklumat.
10PEROLEHAN, PEMBANGUNAN, PENAMBAHBAIKAN &
PENYELENGGARAAN SISTEM
10PEROLEHAN, PEMBANGUNAN, PENAMBAHBAIKAN &
PENYELENGGARAAN SISTEM
10-3 Data Ujian
10-3-1 Kawalan Data Ujian Data ujian yg digunakan perlu dipilih, diperakui,
dilindungi dan dikawal Penggunaan data ujian dilaksanakan ke atas kod
aturcara yg terkini Aktifkan log audit bagi rekodkan semua aktiviti
pengujian Hanya boleh digunakan oleh pengguna yg
dibenarkan shj Perlu dihapuskan setelah proses pengujian
dilaksanakan
OBJEKTIFMemastikan
keselamatan data semasa
pengujian.
11 PERHUBUNGAN DENGAN PEMBEKAL
11-1-1 Dasar Keselamatan Maklumat UntukPembekal
11-1-2 Menangani Aspek Keselamatan DalamPerjanjian Pembekal
Memastikan pembekal diberikan taklimat keselamatan dan menandatangani Surat Akuan Pematuhan Dasar Keselamatan KKM
Melaksanakan tapisan keselamatan menerusi Sistem e-Vetting
Menandatangani Perakuan Akta Rahsia Rasmi 1972
Mewujukan keperluan keselamatan maklumat dgn pembekal yang mengakses, memproses, menyimpan, berkomunikasi dgn komponen infrastruktur di KKM
OBJEKTIFMemastikan
kawalankeselamatanke atas asetKKM yang
boleh dicapaioleh
pembekal.
11-1 Keselamatan Maklumat Perhubungan DenganPembekal
11 PERHUBUNGAN DENGAN PEMBEKAL
11-1-3 Rantaian Bekalan Atau PerkhidmatanTeknologi Maklumat Dan Komunikasi
OBJEKTIFMemastikan
kawalankeselamatan ke atas
aset KKM yang boleh dicapai oleh
pembekal.
11-1 Keselamatan Maklumat Perhubungan DenganPembekal
Tentukan keperluan keselamatan maklumat untuk kegunaan perolehan produk dan perkhidmatan
Pembekal utama hendaklah menyebarkan keperluan keselamatan maklumat kpd subkontraktor
Mengenal pasti komponen produk dan perkhidmatan kritikal dan komponen tambahan
Jaminan dari pembekal bahawa komponen produk dan perkhidmatan sentiasa dapat dibekalkan dan berfungsi dengan baik
Kaedah-kaedah bagi perkongsian maklumat mengenai rantaian bekalan (supply chain) antara KKM dan pembekal
11 PERHUBUNGAN DENGAN PEMBEKAL
11-2-1 Pemantauan Dan Kajian PerkhidmatanPembekal
11-2-2 Pengurusan Perubahan Dalam PerkhidmatanPembekal
Melaksanakan pemantauan, kajian semula dan pengauditan perkhidmatan pembekal
Memantau tahap prestasi perkhidmatan
Menyemak dan mengesahkan laporan perkhidmatan serta laporan insiden keselamatan
Memastikan perubahan dalam perkhidmatan pembekal dipersetujui bersama dan menguntungkan pihak KKM
OBJEKTIFMengekalkan
tahapkeselamatan
maklumatyang telah
dipersetujuidalam
penyampaianperkhidmatanselaras dengan
perjanjianbersama
pembekal.
11-2 Pengurusan Penyampaian Perkhidmatan Pembekal
12 PENGURUSAN PENGENDALIAN INSIDEN KESELAMATAN
OBJEKTIFMemastikan
pendekatan yang konsisten dan
berkesan untukpengurusan insiden
keselamatanmaklumat termasuk
mengenal pastiancaman dan kelemahan.
Prosedur Pengurusan Insiden
Tanggungjawab : ICTSO
Pelaporan Insiden Keselamatan
Tanggungjawab : Semua pengguna
Insiden perlu dilaporkan dengan segera kepada
ICTSO.
Contoh insiden keselamatan ICT :
• Maklumat disyaki digunakan tanpa
kebenaran/hilang; atau
• Kejadian sistem luar biasa seperti kehilangan
fail, sistem kerapkali gagal berfungsi dsb.
12-1 Mekanisme Pelaporan Insiden Keselamatan
OBJEKTIFMemastikankeselamatan
maklumathendaklah
diterapkan dalamsistem pengurusan
kesinambunganperkhidmatan KKM.
13-1 Keselamatan Maklumat Kesinambungan
Pengurusan Kesinambungan Perkhidmatan (PKP) sebagai satu dokumen yang diwujudkan bagimengenalpasti keperluan/ tatacara baikpulih dan kebarangkalian ancaman dan kesannya.
Pengujian pelan tersebut sekurang-kurang sekalisetahun bagi melihat keberkesanannya.
13ASPEK KESELAMATAN DALAM PENGURUSAN
KESINAMBUNGAN PERKHIDMATAN
OBJEKTIFMemastikanketersediaan
perkhidmatan dan kemudahan
pemperosesan atausistem maklumat.
13-2 Redundancy
13-2-1 Ketersediaan Perkhidmatan KemudahanPemprosesan Maklumat
Pelan pengurusan kesinambungan perkhidmatandiuji bagi memastikan ia sentiasa memenuhitahap ketersediaan yang ditetapkan
Melaksanakan pengujian failover test untukmenguji tahap ketersediaan sistem maklumat
13ASPEK KESELAMATAN DALAM PENGURUSAN
KESINAMBUNGAN PERKHIDMATAN
14-1-4 Privasi &
Perlindungan Maklumat
Peribadi
Tidak mendedahkan
maklumat peribadi
pengguna pada pihak yg
tidak berkaitan
Memastikan kawalan
penyimpanan rekod
maklumat peribadi ditempat
yg selamat
14-1-5 Peraturan Kawalan
Kriptografi
Memastikan kawalan
kriptografi digunakan dgn
mematuhi semua perjanjian,
undang-undang dan
peraturan-peraturan
14-1-3 Perlindungan
Rekod
Rekod-rekod yg penting
(fizikal @ media) hendaklah
dilindungi drp kehilangan,
kemusnahan, pemalsuan,
pelepasan yg tidak
dibenarkan
14 PEMATUHAN
OBJEKTIFMencegah
pelanggaran obligasiperundangan,
undang-undang, peraturan ataukontrak yang
berkaitan dengankeselamatan
maklumat dan apa-apa keperluankeselamatan.
14-1-1 Mengenalpasti
Keperluan Perundangan Dan
Kontrak
Perundangan dan peraturan yg
wajib dipatuhi oleh semua
pengguna
14-1-2 Hak Harta Intelek
(IPR)
Perisian atau sistem
maklumat yg dibangunkan
oleh KKM adalah menjadi
harta intelek KKM
14-1 Pematuhan Kepada Keperluan Perundangan Dan Kontrak
14 PEMATUHAN
OBJEKTIFMemastikankeselamatan
maklumatdilaksanakan dan beroperasi selarasdengan polisi atau
prosedur KKM.
14-2 Kajian Keselamatan Maklumat
Memastikan kaedah pengurusan keselamatanmaklumat serta pelaksanaannya seperti objektifkawalan, kawalan, polisi dan prosedur dikaji secarabebas atau oleh pihak ketiga secara berkala atausekiranya berlaku perubahan yang besar
14-2-1 Kajian Keselamatan Maklumat Oleh PihakKetiga Atau Badan Bebas
14 PEMATUHAN
OBJEKTIFMemastikankeselamatan
maklumatdilaksanakan dan beroperasi selarasdengan polisi atau
prosedur KKM.
14-2 Kajian Keselamatan Maklumat
http://epatuh.moh.gov.my/
Setiap pengguna di KKM hendaklah membaca, memahamidan mematuhi DKICT
Menandatangani Surat Akuan Pematuhan DKICT KKM di aplikasi ePatuh
14-2-2 Pematuhan Kepada Dasar Keselamatan & Standard
14 PEMATUHAN
OBJEKTIFMemastikankeselamatan
maklumatdilaksanakan dan beroperasi selarasdengan polisi atau
prosedur KKM.
14-2 Kajian Keselamatan Maklumat
Sistem maklumat dikaji sekurang-kurangnyasetahun sekali atau mengikut keperluan supayaselaras dgn pematuhan dasar dan standard
Keselamatan sistem maklumat dikaji sekurang-kurangnya sekali setahun atau mengikut keperluan
14-2-3 Pematuhan Kajian Teknikal
KESIMPULAN
Diharapkan dengan pematuhan ke atasDKICT KKM dapat menjamin kerahsiaan,integriti dan ketersediaaan maklumatkerajaan amnya dan KKM khususnya.
Sesi Soal
Jawab
Sekian, terima kasihSebarang soalan, boleh ajukan kepada
Unit Rangkaian Dan Keselamatan, BPM KKM di
emel [email protected]
Unit Rangkaian Dan Keselamatan, BPM KKM