dasar keselamatan ict kkr filedasar keselamatan ict kkr. kementerian kerja raya (kkr)

DASAR KESELAMATAN ICT KKR

Kementerian Kerja Raya (KKR)

Dasar Keselamatan ICT

Bahagian Teknologi Maklumat Tingkat 4, Blok B, Kompleks Kerja Raya, Jalan Sultan Salahuddin, 50480 Kuala Lumpur e-mel: [email protected] website: http://www.kkr.gov.my

25 Feb 2008

RUJUKAN REVISI TARIKH M/SURAT

Versi 2.0 1 dari 71

mailto:[email protected]



Versi 2.0 2 dari 71

KANDUNGAN PENGENALAN 9 OBJEKTIF 9 SKOP 9 PRINSIP-PRINSIP 9 CIRI-CIRI KESELAMATAN MAKLUMAT 12 PERKARA 01 PEMBANGUNAN DAN PENYELENGGARAAN DASAR 13 Dasar Keselamatan ICT 13 DK-010101 Pelaksanaan Dasar 13 DK-010102 Penyebaran Dasar 13 DK-010103 Penyelenggaraan Dasar 13 DK-010104 Pengecualian Dasar 14 PERKARA 02 ORGANISASI KESELAMATAN 15 Infrastruktur Keselamatan Organisasi 15 DK-020101 Ketua Setiausaha KKR 15 DK-020102 Ketua Pegawai Maklumat (CIO) 15 DK-020103 SUB (BTM) 16 DK-020104 Pegawai Keselamatan ICT (ICTSO) 17 DK-020105 Pentadbir Sistem 18 DK-020106 Pentadbir Rangkaian 19 DK-020107 Peyelaras ICT 20 DK-020108 Pengguna 20 Pihak Ketiga 22 DK-020201 Keperluan Keselamatan Kontrak dengan Pihak Ketiga 22 PERKARA 03KAWALAN DAN PENGELASAN ASET 23



Versi 2.0 3 dari 71

Akauntabiliti Aset 23 DK-030101 Inventori Aset 23 Pengelasan dan Pengendalian Maklumat 23 DK-030201 Pengelasan Maklumat 23 DK-030202 Pengendalian Maklumat 24 PERKARA 04 KESELAMATAN SUMBER MANUSIA 25 Keselamatan ICT Dalam Tugas Harian 25 DK-040101 Tanggungjawab Keselamatan 25 DK-040102 Terma dan Syarat Perkhidmatan 25 DK-040103 Perakuan Akta Rahsia Rasmi 25 Menangani Insiden Keselamatan ICT 25 DK-040201 Pelaporan Insiden 25 Pendidikan 26 DK-040301 Program Kesedaran Keselamatan ICT 27 Tindakan Tatatertib 27 DK-040401 Pelanggaran Dasar 27

PERKARA 05 KESELAMATAN FIZIKAL 28 Keselamatan Kawasan 28 DK-050101 Perimeter Keselamatan Fizikal 28 DK-050102 Kawalan Masuk Fizikal 29 DK-050103 Kawasan Larangan 29 Keselamatan Aset ICT 30 DK-050201 Perkakasan 30 DK-050202 Dokumen 31 DK-050203 Media Storan 32 DK-050204 Kabel 33 DK-050205 Penyelenggaraan 34 DK-050206 Peminjaman Perkakasan Untuk Kegunaan di Luar Pejabat 34



Versi 2.0 4 dari 71

DK-050207 Pengendalian Peralatan Luar Dibawa Masuk 35 DK-050208 Pelupusan 35 DK-050209 Clear Desk dan Clear Screen 36 Keselamatan Persekitaran 37 DK-050301 Kawalan Persekitaran 37 DK-050302 Bekalan Kuasa 38 DK-050303 Prosedur Kecemasan 39 PERKARA 06 PENGURUSAN OPERASI DAN KOMUNIKASI 40 Pengurusan Prosedur Operasi 40 DK-060101 Pengendalian Prosedur 40 DK-060102 Kawalan Perubahan 40 DK-060103 Prosedur Pengurusan Insiden 41 DK-060104 Pelaporan Insiden 42 Perancangan dan Penerimaan Sistem 43 DK-060201 Perancangan Kapasiti 43 DK-060202 Penerimaan Sistem 43 Perisian Berbahaya 44 DK-060301 Perlindungan dan Perisian Berbahaya 44 Housekeeping 45 DK-060401 Penduaan (backup) 45 DK-060402 Sistem Log 46 Pengurusan Rangkaian 46 DK-060501 Kawalan Infrastruktur Rangkaian 46 Pengurusan Media 48 DK-060601 Penghantaran dan Pemindahan 48 DK-060602 Prosedur Pengendalian Media 49 DK-060603 Keselamatan Sistem Dokumentasi 50 Keselamatan Komunikasi 50 DK-060701 Internet 50 DK-060702 Mel Elektronik (E-Mel) 51



Versi 2.0 5 dari 71

Pemantauan 53 DK-0600801 Merekodkan Maklumat 54 PERKARA 07 KAWALAN CAPAIAN 55 Dasar Kawalan Capaian 55 DK-070101 Keperluan Dasar 55 Pengurusan Capaian Pengguna 55 DK-070201 Akaun Pengguna 55 DK-070202 Jejak Audit 56 Kawalan Capaian 57 DK-070301 Sistem Maklumat dan Aplikasi 57 DK-070302 Kawalan Capaian Rangkaian 58 DK-070303 Kawalan Capaian Sistem Operasi 59 Perkakasan ICT Mudah Alih 61 DK-070401 Penggunaan Perkakasan ICT Mudah Alih dan Kerja

Jarak Jauh 61 PERKARA 08 PEMBANGUNAN DAN PENYELENGGARAAN

SISTEM 62 Keselamatan dalam Membangunkan Sistem dan Aplikasi 62

DK-080101 Keperluan Keselamatan 62 Kriptografi 62 DK-080201 Enkripsi (encryption) 62 DK-080202 Tandatangan Digital 63 DK-080203 Pengurusan Kunci 63 Sistem Fail 63 DK-080301 Kawalan Sistem Fail 63 Pembangunan dan Proses Sokongan 64 DK-080401 Kawalan Perubahan 64



Versi 2.0 6 dari 71

PERKARA 09 PENGURUSAN KESINAMBUNGAN PERKHIDMATAN 65 Dasar Kesinambungan Perkhidmatan 65 DK-090101 Pelan Kesinambungan Perkhidmatan 65 PERKARA 10 PEMATUHAN 66 Pematuhan dan Keperluan Perundangan 66 DK-100101 Pematuhan Dasar 66 DK-100102 Keperluan Perundangan/Peraturan/Garis Panduan 66



Versi 2.0 7 dari 71

DEFINISI Aset ICT Aset Information &

Communications Technology BTM Bahagian Teknologi Maklumat CERT Computer Emergency

Response Team CERT KKR Computer Emergency

Response Team KKR CIO Chief-Information Officer iaitu

Timbalan Ketua Setiausaha (Pembangunan)

ICTSO ICT Security Officer (Pegawai Keselamatan ICT)

JPICT KKR Jawatankuasa Pemandu ICT KKR

Ketua Setiausaha Ketua Setiausaha Kementerian Kerja Raya

KKR Kementerian Kerja Raya Malaysia

Pasukan Penyelaras Keselamatan ICT KKR

Pegawai Aset Pegawai yang bertanggungjawab ke atas pengurusan inventori aset ICT bahagian/cawangan.

Pegawai Keselamatan Pegawai Keselamatan Bahagian/Cawangan yang dilantik.

Pegawai Teknikal BTM Terdiri Pegawai Teknologi Maklumat, Penolong Pegawai Teknologi Maklumat, Juruteknik Komputer dan OMPD.

Pengguna Warga KKR yang menggunakan peralatan dan perkhidmatan ICT yang disediakan.

Pentadbir Rangkaian Pegawai yang bertanggungjawab dalam mentadbir, membina dan menguji rangkaian



Versi 2.0 8 dari 71

Pentadbir Sistem Pegawai yang bertanggungjawab mentadbir sesuatu sistem

Penyelaras ICT Penyelaras ICT Bahagian/Cawangan yang dilantik.

PSU(TM) Penolong Setiausaha (Teknologi Maklumat) di Bahagian Teknologi Maklumat

SUB Setiausaha Bahagian



Versi 2.0 9 dari 71

PENGENALAN Dasar Keselamatan ICT mengandungi peraturan-peraturan yang mesti

dibaca dan dipatuhi dalam menggunakan aset teknologi maklumat

dan komunikasi (ICT) Kementerian Kerja Raya (KKR). Dasar ini juga

menerangkan kepada semua Pengguna di KKR mengenai

tanggungjawab dan peranan mereka dalam melindungi aset ICT KKR.

OBJEKTIF

Dasar Keselamatan ICT diwujudkan untuk menjamin kesinambungan

urusan KKR dengan meminimumkan kesan insiden keselamatan ICT.

SKOP

Dasar ini meliputi semua sumber atau aset ICT yang digunakan

seperti :

a. Maklumat (contoh: fail, dokumen, data elektronik),

b. Perisian (contoh: aplikasi dan sistem perisian),

c. Fizikal (Contoh: komputer, peralatan komunikasi dalam

rangkaian berwayar dan tanpa wayar serta media magnet).

Dasar ini terpakai kepada semua pengguna yang menggunakan aset

ICT di KKR.

PRINSIP-PRINSIP Prinsip-prinsip yang menjadi asas kepada Dasar Keselamatan ICT

KKR dan perlu dipatuhi adalah seperti berikut:

a. Akses atas dasar perlu mengetahui



Versi 2.0 10 dari 71

Akses terhadap penggunaan aset ICT hanya diberikan untuk

tujuan spesifik dan dihadkan kepada pengguna tertentu atas

dasar “perlu mengetahui” sahaja. Ini bermakna akses hanya

akan diberikan sekiranya peranan atau fungsi pengguna

memerlukan maklumat tersebut. Pertimbangan untuk akses

adalah berdasarkan kategori maklumat seperti yang dinyatakan

di dalam dokumen Arahan Keselamatan perenggan 53, muka

surat 15;

b. Hak akses minimum Hak akses pengguna hanya diberi pada tahap set yang paling

minimum iaitu untuk membaca dan/atau melihat sahaja.

Kelulusan perlu untuk membolehkan pengguna mewujud,

menyimpan, mengemas kini, mengubah atau membatalkan

sesuatu maklumat. Hak akses adalah dikaji dari semasa ke

semasa berdasarkan kepada peranan dan tanggungjawab

pengguna/bidang tugas;

c. Akauntabiliti Semua pengguna adalah bertanggungjawab ke atas semua

tindakannya terhadap aset ICT KKR.

d. Pengasingan Tugas mewujud, memadam, mengemas kini, mengubah dan

mengesahkan data perlu diasingkan bagi mengelakkan daripada

capaian yang tidak dibenarkan serta melindungi aset ICT

daripada kesilapan, kebocoran maklumat terperingkat atau di




manipulasi. Pengasingan juga merangkumi tindakan

memisahkan antara kumpulan operasi dan rangkaian;

e. Pengauditan Pengauditan adalah untuk mengenal insiden berkaitan

keselamatan atau mengenal pasti keadaan yang mengancam

keselamatan. Ia membabitkan pemeliharaan semua rekod

berkaitan tindakan keselamatan. Dengan itu, aset ICT seperti

komputer, pelayan, router, firewall dan rangkaian hendaklah

ditentukan dapat menjana dan menyimpan log tindakan

keselamatan atau audit trail;

f. Pematuhan Dasar Keselamatan ICT KKR hendaklah dibaca, difahami dan

dipatuhi bagi mengelakkan sebarang bentuk pelanggaran ke

atasnya yang boleh membawa ancaman kepada keselamatan

ICT;

g. Pemulihan Pemulihan sistem amat perlu untuk memastikan kebolehsediaan

dan kebolehcapaian. Objektif utama adalah untuk

meminimumkan sebarang gangguan atau kerugian akibat

daripada ketidaksediaan. Pemulihan boleh dilakukan melalui

aktiviti penduaan dan mewujudkan pelan pemulihan

bencana/kesinambungan perkhidmatan; dan




h. Saling bergantungan Setiap prinsip di atas adalah saling lengkap-melengkapi dan

bergantung antara satu sama lain. Dengan itu, tindakan

mempelbagaikan pendekatan dalam menyusun dan

mencorakkan sebanyak mungkin mekanisme keselamatan

adalah perlu bagi menjamin keselamatan yang maksimum.

CIRI-CIRI KESELAMATAN MAKLUMAT a. Kerahsiaan

Maklumat tidak boleh didedahkan sewenang-wenangnya atau

dibiarkan di akses tanpa kebenaran;

b. Integriti Data dan maklumat hendaklah tepat, lengkap dan kemas kini. Ia

hanya boleh diubah dengan cara yang dibenarkan;

c. Tidak boleh disangkal Punca data dan maklumat hendaklah dari punca yang sah dan

tidak boleh disangkal;

d. Kesahihan

Data dan maklumat hendaklah dijamin kesahihannya; dan

e. Kebolehsediaan

Data dan maklumat hendaklah boleh diakses pada bila-bila

masa.




PERKARA 01 - PEMBANGUNAN DAN PENYELENGGARAAN DASAR

01 Dasar Keselamatan ICT DK-010101 Pelaksanaan Dasar

Tanggungjawab melaksanakan dasar

Pelaksanaan dasar ini adalah tanggungjawab Ketua Setiausaha KKR dengan dibantu oleh Pasukan Pengurusan Keselamatan ICT yang terdiri daripada Ketua Pegawai Maklumat (CIO), Pegawai Keselamatan ICT (ICTSO) dan semua Ketua Bahagian/Ketua Cawangan.

Ketua Setiausaha

KKR

DK-010102 Penyebaran Dasar

Penyebaran Dasar ini bertujuan memastikan hala tuju pengurusan organisasi untuk melindungi aset ICT selaras dengan kehendak perundangan, Dasar ini perlu disebarkan kepada semua pengguna KKR termasuk pembekal, pakarunding dan kontraktor yang berurusan dengan KKR.

ICTSO

DK-010103 Penyelenggaraan Dasar

Penyelarasan mengikut perubahan dan keperluan semasa

Dasar Keselamatan ICT KKR adalah tertakluk kepada semakan dan pindaan dari semasa ke semasa selaras dengan perubahan teknologi, aplikasi, prosedur, perundangan atau kepentingan sosial. Berikut adalah prosedur yang berhubung dengan penyelenggaraan Dasar keselamatan ICT KKR: a. kenal pasti dan tentukan perubahan

yang diperlukan; b. kemukakan cadangan pindaan secara

bertulis kepada ICTSO untuk pembentangan dan persetujuan JPICT;

ICTSO




PERKARA 01 - PEMBANGUNAN DAN PENYELENGGARAAN DASAR 01 Dasar Keselamatan ICT

c. Perubahan yang telah dipersetujui oleh JPICT dimaklumkan kepada semua pengguna; dan

d. Dasar ini hendaklah dikaji semula sekurang-kurangnya sekali setahun.

DK- 010104 Pengecualian Dasar

Pemakaian dan tiada pengecualian

Dasar keselamatan ICT KKR adalah terpakai kepada semua pengguna ICT KKR dan tiada pengecualian diberikan.

Semua




PERKARA 02 - ORGANISASI KESELAMATAN

01 Infrastruktur Organisasi Keselamatan

Objektif : Menerangkan peranan dan tanggungjawab individu yang terlibat dengan lebih jelas dan teratur dalam mencapai objektif organisasi.

DK-020101 Ketua Setiausaha KKR

Peranan dan tanggungjawab Ketua Setiausaha KKR

Peranan dan tanggungjawab Ketua Setiausaha KKR adalah seperti berikut: a. memastikan semua pengguna

memahami peruntukan-peruntukan di bawah Dasar Keselamatan ICT KKR;

b. memastikan semua pengguna mematuhi Dasar Keselamatan ICT KKR;

c. memastikan semua keperluan organisasi (sumber kewangan, sumber kakitangan dan perlindungan keselamatan) adalah mencukupi; dan

d. memastikan penilaian risiko dan program keselamatan ICT dilaksanakan seperti yang ditetapkan di dalam Dasar Keselamatan ICT KKR.

Ketua Setiausaha KKR

DK-020102 Ketua Pegawai Maklumat (CIO)

Timbalan Ketua Setiausaha (Pembangunan) KKR adalah merupakan Ketua Pegawai Maklumat (CIO). Peranan dan tanggung jawab beliau adalah seperti berikut: a. membantu dan menasihati

Ketua Setiausaha KKR dalam

CIO




PERKARA 02 - ORGANISASI KESELAMATAN melaksanakan tugas-tugas yang melibatkan keselamatan ICT;

b. mengetuai dan mengetuai pasukan penyelaras keselamatan ICT KKR.

c. menentukan keperluan keselamatan ICT; dan

d. membangun dan menyelaras pelaksanaan pelan latihan dan program kesedaran mengenai keselamatan ICT.

DK-020103 SUB (BTM)

Peranan dan tanggung jawab SUB (BTM)

SUB(BTM) adalah merupakan Pengarah CERT KKR. Peranan dan tanggung jawab beliau adalah seperti berikut: a. Membaca, memahami dan

mematuhi Dasar Keselamatan ICT KKR;

b. Menentukan kawalan akses semua pengguna terhadap aset ICT kerajaan;

c. Melaporkan sebarang perkara atau penemuan/ancaman keselamatan ICT kepada ICTSO; dan

d. Memastikan penyimpanan rekod, bahan bukti dan laporan terkini mengenai ancaman keselamatan ICT KKR dilaksanakan.

SUB (BTM)




PERKARA 02 - ORGANISASI KESELAMATAN

DK-020104 Pegawai Keselamatan ICT (ICTSO)

Peranan dan tanggungjawab ICTSO

Peranan dan tanggungjawab ICTSO yang dilantik adalah seperti berikut: a. mengurus keseluruhan program-

program keselamatan ICT KKR; b. menguatkuasakan Dasar

Keselamatan ICT KKR; c. memberi penerangan dan

pendedahan berkenaan Dasar Keselamatan ICT KKR kepada semua pengguna; dan

d. mewujudkan garis panduan, prosedur dan tatacara selaras dengan keperluan Dasar Keselamatan ICT KKR;

e. menjalankan pengurusan risiko; f. menjalankan audit, mengkaji

semula, merumus tindak balas pengurusan agensi berdasarkan hasil penemuan dan menyediakan laporan mengenainya;

g. memberi amaran terhadap kemungkinan berlakunya ancaman berbahaya seperti virus dan memberi khidmat nasihat serta menyediakan langkah-langkah perlindungan yang bersesuaian;

h. melaporkan insiden keselamatan ICT kepada CERT KKR dan memaklumkannya kepada CIO dan Pengarah CERT KKR;

i. bekerjasama dengan semua pihak yang berkaitan dalam

ICTSO




PERKARA 02 - ORGANISASI KESELAMATAN mengenal pasti punca ancaman atau insiden keselamatan ICT dan memperakukan langkah-langkah baik pulih dengan segera;

j. memperakui proses pengambilan tindakan tatatertib ke atas pengguna yang melanggar Dasar Keselamatan ICT KKR; dan

k. menyediakan dan melaksanakan program-program kesedaran mengenai keselamatan ICT.

DK-020105 Pentadbir Sistem

Peranan dan tanggungjawab Pentadbir Sistem

PSU(TM)4 adalah merupakan Pentadbir Sistem KKR. Peranan dan tanggungjawab pentadbir sistem ICT adalah seperti berikut: a. membaca, memahami dan


b. bertanggung jawab atas operasi Pusat Data KKR;

c. memastikan keselamatan aset ICT;

d. mengambil tindakan yang bersesuaian dengan segera apabila dimaklumkan mengenai pegawai atau kakitangan yang berhenti, bertukar, bercuti atau berlaku perubahan dalam bidang tugas;

e. menentukan ketepatan dan kesempurnaan sesuatu tahap capaian berdasarkan arahan pemilik sumber maklumat sebagaimana yang telah

Pentadbir Sistem




PERKARA 02 - ORGANISASI KESELAMATAN ditetapkan di dalam Dasar Keselamatan ICT KKR;

f. memantau aktiviti capaian harian pengguna;

g. mengenal pasti aktiviti-aktiviti tidak normal seperti pencerobohan dan pengubahsuaian data tanpa kebenaran dan membatalkan atau memberhentikannya dengan serta-merta;

h. menyimpan dan menganalisis rekod jejak audit; dan

i. menyediakan laporan mengenai aktiviti capaian kepada pemilik maklumat berkenaan secara berkala.

DK-020106 Pentadbir Rangkaian

Peranan dan tanggungjawab Pentadbir Rangkaian

PSU(TM)2 adalah merupakan Pentadbir Rangkaian KKR. Peranan dan tanggungjawab pentadbir sistem ICT adalah seperti berikut: a. membaca, memahami dan


b. memantau penggunaan rangkaian ICT KKR;

c. menyediakan laporan aktiviti rangkaian;

d. memastikan pengurusan keselamatan berjalan dengan sempurna;

e. memantau aktiviti capaian harian pengguna;

Pentadbir Rangkaian




PERKARA 02 - ORGANISASI KESELAMATAN f. mengenal pasti aktiviti-aktiviti

tidak normal seperti pencerobohan dan pengubahsuaian data tanpa kebenaran dan membatalkan atau memberhentikannya dengan serta-merta;

g. menyimpan dan menganalisis rekod jejak audit; dan

h. menyediakan laporan mengenai aktiviti capaian kepada pemilik maklumat berkenaan secara berkala.

DK-020107 Penyelaras ICT

Peranan dan tanggungjawab Penyelaras ICT.

Penyelaras ICT Bahagian/Cawangan dilantik oleh SUB/Ketua Cawangan masing-masing. Peranan dan tanggungjawab Penyelaras ICT Bahagian/Cawangan adalah seperti berikut: a. menyelaras aktiviti ICT di

bahagian/cawangan; b. menyelaras aktiviti ICT di antara

bahagian/cawangan dengan BTM.

Penyelaras ICT Bahagian/Cawangan

DK-020108 Pengguna

Peranan dan tanggungjawab pengguna

Peranan dan tanggungjawab pengguna adalah seperti berikut: a. membaca, memahami dan


b. mengetahui dan memahami implikasi keselamatan ICT

Pengguna




PERKARA 02 - ORGANISASI KESELAMATAN kesan dari tindakannya;

c. melaksanakan prinsip-prinsip Dasar Keselamatan ICT dan menjaga kerahsiaan maklumat KKR;

d. melaksanakan langkah-langkah perlindungan seperti berikut:

i. menghalang pendedahan maklumat kepada pihak yang tidak dibenarkan;

ii. memeriksa maklumat dan menentukan ia tepat dan lengkap dari semasa ke semasa;.

iii. menentukan maklumat sedia untuk digunakan:

iv. menjaga kerahsiaan kata laluan;

v. mematuhi standard, prosedur, langkah dan garis panduan keselamatan yang ditetapkan;

vi. memberi perhatian kepada maklumat terperingkat terutama semasa pewujudan, pemprosesan, penyimpanan, penghantaran, penyampaian, pertukaran dan pemusnahan; dan

vii. menjaga kerahsiaan langkah-langkah keselamatan ICT dari diketahui umum.

e. melaporkan sebarang aktiviti yang mengancam keselamatan ICT kepada ICTSO dengan segera;




PERKARA 02 - ORGANISASI KESELAMATAN f. menghadiri program-program

kesedaran mengenai keselamatan ICT; dan

g. menandatangani surat akuan pematuhan Dasar Keselamatan ICT KKR

02 Pihak Ketiga

Objektif : Menjamin keselamatan semua aset ICT yang digunakan oleh pihak ketiga.

DK-020201 Keperluan keselamatan Kontrak dengan Pihak Ketiga

Akses kepada aset ICT KKR perlu berlandaskan kepada perjanjian kontrak. Perkara-perkara berikut hendaklah dimasukkan di dalam perjanjian yang dimateraikan. a. Dasar Keselamatan ICT

MAMPU; b. Tapisan Keselamatan; c. Perakuan Akta Rahsia Rasmi

1972 dimana adalah menjadi kesalahan seksyen 8 Akta Rahsia Rasmi sekiranya sebarang rahsia rasmi dibocorkan;

d. Hak Harta Intelek; Pihak Ketiga adalah bertanggungjawab untuk mendapatkan Hak Harta Intelek untuk sebarang perkakasan dan perisian yang dibekalkan kepada KKR. KKR tidak akan bertanggungjawab ke atas sebarang isu yang berkaitan dengan Hak Harta Intelek

Ketua Setiausaha KKR




PERKARA 02 - ORGANISASI KESELAMATAN perkakasan dan perisian yang dibekalkan.

e. Klausa Disclaimer Klausa Dislaimer hendaklah disediakan sekiranya pengguna dibenarkan mengakses maklumat yang dibekalkan oleh KKR.

Nota: Surat Pekeliling Perbendaharaan Bilangan 2 Tahun 1995 bertajuk “Tatacara Penyediaan, Penilaian dan penerimaan Tender” dan Surat Pekeliling Perbendaharaan Bilangan 3 Tahun 1995 bertajuk “Peraturan Perolehan Perkhidmatan Perundingan” yang berkaitan juga boleh dirujuk.




PERKARA 03 - KAWALAN DAN PENGELASAN ASET

01 Akauntabiliti Aset Objektif : Memberi dan menyokong perlindungan yang bersesuaian ke atas semua aset ICT KKR DK-030101 Inventori Aset

Semua aset ICT KKR hendaklah direkodkan. Ini termasuklah mengenal pasti aset, mengelas aset mengikut tahap sensitiviti aset berkenaan dan merekodkan maklumat seperti pemilik dan sebagainya. Setiap pengguna adalah bertanggungjawab ke atas semua aset ICT di bawah kawalannya.

Pentadbir Sistem/ Pentadbir Rangkaian

RUJUK ASET

Semua

02 Pengelasan dan Pengendalian Maklumat

Objektif: Memastikan setiap maklumat atau aset ICT diberikan tahap perlindungan yang bersesuaian.

DK-030201 Pengelasan Maklumat

Maklumat hendaklah dikelaskan dan dilabelkan sewajarnya. Setiap maklumat yang dikelaskan mestilah mempunyai peringkat keselamatan sebagaimana yang telah ditetapkan di dalam dokumen. Arahan Keselamatan seperti berikut: a. Rahsia Besar; b. Rahsia; c. Sulit; atau d. Terhad.

Semua




PERKARA 03 - KAWALAN DAN PENGELASAN ASET DK-030202 Pengendalian Maklumat

Aktiviti pengendalian maklumat seperti mengumpul, memproses, menyimpan, menghantar, menyampai, menukar dan memusnahkan hendaklah mengambil kira langkah-langkah keselamatan berikut: a. menghalang pendedahan maklumat

kepada pihak yang tidak dibenarkan;

b. memeriksa, menyemak dan menentukan maklumat ia tepat dan lengkap dari semasa ke semasa;

c. menentukan maklumat sedia untuk digunakan;

d. menjaga kerahsiaan kata laluan; e. mematuhi standard, prosedur,

langkah dan garis panduan keselamatan yang ditetapkan;

f. memberi perhatian kepada maklumat terperingkat terutama semasa pewujudan, pemprosesan, penyimpanan, penghantaran, penyampaian, pertukaran dan pemusnahan; dan

g. menjaga kerahsiaan langkah-langkah keselamatan ICT dari diketahui umum.

Semua




PERKARA 04 - KESELAMATAN SUMBER MANUSIA

01 Keselamatan ICT Dalam Tugas Harian

Objektif : Meminimumkan risiko seperti kesilapan, kecuaian, kecurian, penipuan dan penyalahgunaan aset ICT KKR.

DK-040101 Tanggungjawab Keselamatan

Peranan dan tanggungjawab pengguna terhadap keselamatan ICT mestilah lengkap, jelas, direkodkan, di patuhi dan dilaksanakan serta dinyatakan di dalam fail meja atau kontrak. Keselamatan ICT merangkumi tanggungjawab pengguna dalam menyediakan dan memastikan perlindungan ke atas semua aset atau sumber ICT yang digunakan di dalam melaksanakan tugas harian

Semua

DK-040102 Terma dan Syarat Perkhidmatan

Semua warga KKR yang dilantik hendaklah mematuhi terma dan syarat perkhidmatan yang ditawarkan oleh peraturan semasa yang berkuat kuasa.

Semua

DK-040103 Perakuan Akta Rahsia Rasmi

Warga KKR yang menguruskan maklumat terperingkat hendaklah mematuhi semua peruntukan Akta Rahsia Rasmi 1972.

Semua

02 Menangani Insiden Keselamatan ICT

Objektif: Meminimumkan kesan insiden keselamatan ICT

DK-040201 Pelaporan Insiden

Insiden keselamatan ICT seperti berikut hendaklah dilaporkan kepada CERT KKR dengan kadar segera:

Semua




PERKARA 04 - KESELAMATAN SUMBER MANUSIA a. Pelanggaran Dasar (Violation of

Policy); b. Penghalangan Penyampaian

Perkhidmatan (Denial of Service); c. Pencerobohan (Intrusion); d. Pemalsuan (Forgery); e. Spam; f. Malicious Code; g. Harrassment/Threats; h. Attempts/Hack Threats/Information

Gathering; i. Kehilangan Fizikal (Physical Loss). Nota : Pekeliling Am Bilangan 1 Tahun 2001 bertajuk “Mekanisme Pelaporan Insiden Keselamatan ICT” dan Surat pekeliling Am Bilangan 4 Tahun 2006 bertajuk “Pengurusan Pengendalian Insiden Keselamatan Teknologi Maklumat Dan Komunikasi (ICT) Sektor Awam” mengenainya bolehlah dirujuk.

RUJUK CERT

03 Pendidikan

Objektif: Meningkatkan pengetahuan dan kesedaran mengenai kepentingan keselamatan ICT.

DK-040301 Program Kesedaran Keselamatan ICT

Setiap pengguna di KKR perlu diberikan program kesedaran, latihan atau kursus mengenai keselamatan ICT yang mencukupi secara berterusan dalam melaksanakan tugas-tugas dan tanggungjawab mereka. Program menangani insiden juga dilihat

ICTSO




PERKARA 04 - KESELAMATAN SUMBER MANUSIA penting sebagai langkah proaktif yang boleh mengurangkan ancaman keselamatan ICT KKR.

04 Tindakan Tatatertib

Objektif: Meningkat kesedaran dan pematuhan ke atas Dasar Keselamatan ICT KKR

DK-040401 Pelanggaran Dasar

Pelanggaran Dasar Keselamatan ICT KKR akan dikenakan tindakan tatatertib.

Semua




PERKARA 05 - KESELAMATAN FIZIKAL

01 Keselamatan Kawasan

Objektif : Mencegah akses fizikal yang tidak dibenarkan, kerosakan dan gangguan kepada premis dan Maklumat.

DK-050101 Perimeter Keselamatan Fizikal

Keselamatan fizikal adalah bertujuan untuk menghalang, mengesan dan mencegah cubaan untuk menceroboh. Langkah-langkah keselamatan fizikal tidak terhad kepada langkah-langkah berikut: a. Kawasan keselamatan fizikal

hendaklah di kenal pasti dengan jelas. Lokasi dan keteguhan keselamatan fizikal hendaklah bergantung kepada keperluan untuk melindungi aset dan hasil penilaian risiko;

b. Mempamerkan papan tanda kawasan larangan;

c. memperkukuhkan tingkap dan pintu serta dikunci untuk mengawal kemasukan;

d. Memperkukuhkan dinding dan siling; e. Mengehadkan jalan keluar masuk; f. Mengadakan kaunter kawalan; g. Menyediakan tempat atau bilik khas

untuk pelawat-pelawat; h. Mewujudkan perkhidmatan kawalan

keselamatan; dan i. Memasang alat penggera atau

kamera (CCTV) jika berkaitan

Pejabat Ketua Setiausaha KKR, Timbalan Ketua

Setiausaha KKR, CIO dan ICTSO.





DK-050102 Kawalan Masuk Fizikal

Kawalan masuk fizikal adalah bertujuan untuk mewujudkan kawalan keluar masuk ke premis atau bangunan KKR. a. Setiap pengguna KKR hendaklah

memakai atau mengenakan pas keselamatan sepanjang waktu bertugas;

b. Setiap pelawat hendaklah mendaftar di pintu utama Kompleks Kerja Raya terlebih dahulu;

c. Setiap pelawat boleh mendapat Pas Keselamatan Pelawat di pintu masuk ke kawasan atau tempat berurusan dan hendaklah dikembalikan semula selepas tamat lawatan;

d. Semua pas keselamatan hendaklah diserahkan balik kepada jabatan apabila pengguna berhenti atau bersara;

e. Kehilangan pas mestilah dilaporkan dengan segera kepada pentadbiran KKR; dan

f. Hanya pengguna yang diberi kebenaran sahaja boleh mencapai atau menggunakan aset ICT KKR;

Semua

DK-050103 Kawalan Larangan

Kawasan larangan ditakrifkan sebagai kawasan yang dihadkan kemasukan. Hanya pegawai-pegawai dengan kebenaran atau yang berkuasa (mempunyai akses dalam bentuk kad) boleh memasuki kawasan larangan. Ini dilaksanakan untuk melindungi aset ICT yang terdapat di dalam kawasan tersebut. Kawasan larangan di KKR

Semua




PERKARA 05 - KESELAMATAN FIZIKAL adalah bilik Menteri KKR, bilik Timbalan Menteri KKR, bilik Ketua Setiausaha KKR, Timbalan-Timbalan Ketua Setiausaha KKR, Pusat Data dan bilik riser. a. Secara umumnya peralatan ICT

hendaklah dijaga dan dikawal dengan baik, supaya boleh digunakan bila perlu.

b. Pihak-pihak lain (selain daripada yang disebut di atas) adalah dilarang sama sekali untuk memasuki kawasan larangan kecuali, bagi kes-kes tertentu seperti memberi perkhidmatan sokongan atau bantuan teknikal, serta mereka hendaklah diiringi sepanjang masa sehingga tugas di kawasan berkenaan selesai; dan

c. Semua penggunaan peralatan yang melibatkan penghantaran, kemas kini dan penghapusan maklumat rahsia rasmi hendaklah dikawal dan mendapat kebenaran daripada Ketua Setiausaha KKR.

02 Keselamatan Aset ICT

Objektif : Melindungi aset ICT daripada hilang, rosak, dicuri atau salah guna serta gangguan ke atas aktiviti KKR

DK-050201 Perkakasan

Secara umumnya aset ICT hendaklah dijaga dan dikawal dengan baik supaya boleh digunakan bila perlu. Perkara yang perlu dipatuhi adalah seperti berikut: a. Setiap pengguna hendaklah

menyemak dan memastikan semua

Semua




PERKARA 05 - KESELAMATAN FIZIKAL perkakasan ICT di bawah kawalannya berfungsi dengan sempurna;

b. Semua perkakasan hendaklah disimpan atau diletakkan di tempat yang teratur, bersih dan mempunyai ciri-ciri keselamatan;

c. Setiap pengguna adalah bertanggungjawab di atas kerosakan atau kehilangan perkakasan ICT di bawah kawalannya; dan

d. Sebarang bentuk penyelewengan atau salah guna perkakasan hendaklah dilaporkan kepada ICTSO.

e. Setiap peralatan dan perkakasan ICT hendaklah direkodkan oleh BTM dan nombor rujukan aset berkenaan hendaklah dilekatkan pada peralatan tersebut.

DK-050202 Dokumen

Bagi memastikan integriti maklumat, langkah-langkah pengurusan dokumentasi yang baik dan selamat perlu dilaksanakan. Perkara-perkara yang perlu dipatuhi adalah seperti berikut: a. memastikan sistem dokumentasi

atau penyimpanan maklumat adalah selamat dan terjamin;

b. menggunakan tanda atau label keselamatan seperti Rahsia Besar, Rahsia, Sulit, Terhad dan Terbuka kepada dokumen;

c. Mewujudkan sistem pengurusan dokumen terperingkat bagi

Semua




PERKARA 05 - KESELAMATAN FIZIKAL menerima, memproses, menyimpan dan menghantar dokumen terperingkat supaya ianya diuruskan berasingan daripada dokumen-dokumen tidak terperingkat;

d. memastikan dokumen yang mengandungi bahan atau maklumat sensitif diambil segera dari pencetak;

e. memastikan maklumat yang hendak dikirim menggunakan media elektronik hanya maklumat yang betul;

f. dokumen rahsia rasmi tidak dibenarkan dihantar menggunakan e-mel kecuali dengan kelulusan. (Nota: Keputusan JPICT KKR); dan

g. menggunakan enkripsi (encryption) ke atas dokumen terperingkat yang disediakan dan dihantar secara elektronik.

DK-050203 Media Storan (seperti pita magnetik, cakera keras, CD, disket, optical disk, removal disk (thumb drive/pen drive) dan sebagainya.

Keselamatan media storan perlu diberi perhatian khusus kerana ianya berupaya menyimpan maklumat yang besar. Langkah-langkah pencegahan seperti berikut hendaklah di ambil untuk memastikan kerahsiaan, integriti dan kebolehsediaan maklumat yang di simpan dalam media storan adalah terjamin dan selamat : a. penyediaan ruang penyimpanan

yang baik dan mempunyai ciri-ciri keselamatan bersesuaian dengan kandungan maklumat;

b. akses untuk memasuki kawasan

Semua




PERKARA 05 - KESELAMATAN FIZIKAL penyimpanan media hendaklah terhad kepada mereka atau pengguna yang dibenarkan sahaja;

c. penghapusan maklumat atau kandungan media mestilah mendapat kelulusan pemilik maklumat terlebih dahulu;

d. Merekodkan sistem pengurusan media termasuk inventori, pergerakan, melabel dan penduaan (backup).

e. Mengimbas untuk memastikan media storan mudah alih (seperti thumb/pen drive, disket dan sebagainya) bebas dari virus dan apa-apa perisian yang boleh mengakibatkan berlakunya insiden keselamatan ICT.

DK-050204 Kabel

Kabel termasuk kabel elektrik dan komunikasi hendaklah di lindung kerana boleh menjadi punca maklumat menjadi terdedah. Perkara yang perlu dipatuhi adalah seperti berikut: a. Menggunakan kabel yang mengikut

spesifikasi yang telah ditetapkan; b. Melindungi kabel daripada kerosakan

yang disengajakan atau tidak disengajakan;

c. Melindung laluan pemasangan kabel sepenuhnya bagi mengelakkan ancaman kerosakan dan wire tapping; dan

d. Membuat penamaan kabel (pelabelan) menggunakan kod tertentu.

BTM dan ICTSO





DK-050205 Penyelenggaraan

Perkakasan hendaklah diselenggarakan dengan betul bagi memastikan kebolehsediaan dan integriti. a. Semua perkakasan yang

diselenggarakan hendaklah mematuhi spesifikasi penyelenggaraan yang ditetapkan oleh pengeluar perkakasan berkenaan;

b. Perkakasan hanya boleh diselenggarakan oleh pegawai teknikal BTM atau pihak yang dibenarkan sahaja;

c. Semua perkakasan hendaklah disemak dan diuji sebelum dan selepas proses penyelenggaraan dilakukan;

d. Semua penyelenggaraan dan proses upgrading mestilah mendapat kebenaran daripada SUB BTM.

e. BTM akan memaklumkan kepada pihak pengguna melalui e-mel atau Penyelaras ICT sebelum melaksanakan penyelenggaraan pencegahan (preventive), penyelenggaraan pemulihan (remedial) atau atas keperluan tertentu.

Semua

DK-050206 Peminjaman Perkakasan Untuk Kegunaan Di luar Pejabat

Perkakasan yang dipinjam untuk kegunaan di luar pejabat adalah terdedah kepada pelbagai risiko. Langkah-langkah berikut boleh diambil untuk menjamin keselamatan perkakasan :

CIO




PERKARA 05 - KESELAMATAN FIZIKAL a. Peralatan, maklumat atau perisian

yang dibawa keluar pejabat mestilah mendapat kelulusan SUB/Ketua Cawangan dan tertakluk kepada tujuan yang dibenarkan;

b. Pemindahan peralatan ICT di antara bahagian/cawangan/unit di KKR hendaklah mendapat kelulusan daripada SUB BTM.

c. Aktiviti peminjaman dan pemulangan peralatan mestilah direkodkan oleh bahagian berkenaan;

d. Peralatan perlu dilindungi dan dikawal sepanjang masa; dan

e. Penyimpanan atau penempatan peralatan mestilah mengambil kira ciri-ciri keselamatan yang bersesuaian.

DK-050207 Pengendalian Peralatan Luar Yang Dibawa Masuk

Bagi peralatan yang dibawa masuk ke premis kerajaan, perkara yang perlu dipatuhi adalah seperti berikut: a. Memastikan peralatan yang dibawa

masuk tidak mengancam keselamatan ICT KKR;

b. Mendapat kelulusan mengikut peraturan yang telah ditetapkan oleh KKR bagi membawa masuk atau keluar peralatan; dan

c. Memeriksa dan memastikan peralatan yang dibawa keluar tidak mengandungi maklumat kerajaan. Ia perlu disalin dan dihapuskan.

CIO

DK-050208 Pelupusan

Aset ICT yang hendak dilupuskan perlu Pegawai Aset




PERKARA 05 - KESELAMATAN FIZIKAL melalui proses pelupusan semasa. Pelupusan aset ICT perlu dilakukan secara terkawal dan lengkap supaya maklumat tidak terlepas dari kawalan KKR: a. Semua kandungan peralatan

khususnya maklumat rahsia rasmi hendaklah dihapuskan terlebih dahulu sebelum pelupusan sama ada melalui shredding, grinding, degauzing atau pembakaran;

b. Sekiranya maklumat perlu disimpan, maka pengguna bolehlah membuat penduaan; dan

Nota: Maklumat lanjut pelupusan bolehlah merujuk kepada Surat Pekeliling Perbendaharaan Bilangan 5 Tahun 2007 bertajuk “Tatacara pengurusan Aset Alih Kerajaan”.

DK-050209 Clear Desk dan Clear Screen

Semua maklumat dalam apa jua bentuk media hendaklah di simpan dengan teratur dan selamat bagi mengelakkan kerosakan, kecurian atau kehilangan. Clear Desk bermaksud tidak meninggalkan bahan-bahan yang sensitif terdedah sama ada atas meja warga atau di paparan skrin apabila warga tidak berada di tempatnya : a. Gunakan kemudahan password

screen saver atau log keluar apabila meninggalkan komputer; dan

b. Bahan-bahan sensitif hendaklah disimpan dalam laci atau kabinet fail

Semua




PERKARA 05 - KESELAMATAN FIZIKAL yang berkunci;

c. Adalah menjadi tanggungjawab seseorang individu untuk memastikan kedudukan komputer yang digunakan tidak mendedahkan rahsia.

03 Keselamatan Persekitaran

Objektif : Melindungi aset ICT KKR dari sebarang bentuk ancaman persekitaran yang disebabkan oleh bencana alam, kesilapan, kecuaian atau kemalangan.

DK-050301 Kawalan Persekitaran

Bagi menghindarkan kerosakan dan gangguan terhadap premis dan aset ICT, semua cadangan berkaitan premis sama ada untuk memperoleh, menyewa, ubahsuai, pembelian hendaklah dirujuk terlebih dahulu kepada Pejabat Ketua Pegawai Keselamatan Kerajaan (KPKK). Bagi menjamin keselamatan persekitaran, langkah-langkah berikut hendaklah di ambil: a. Merancang dan menyediakan pelan

keseluruhan susun atur pusat data (bilik percetakan, peralatan komputer dan ruang atur pejabat dan sebagainya) dengan teliti;

b. Semua ruang pejabat khususnya kawasan yang mempunyai kemudahan ICT hendaklah dilengkapi dengan perlindungan keselamatan yang mencukupi dan dibenarkan seperti alat pencegah kebakaran dan pintu kecemasan;

c. Peralatan perlindungan hendaklah dipasang di tempat yang

Semua




PERKARA 05 - KESELAMATAN FIZIKAL bersesuaian, mudah dikenali dan dikendalikan;

d. Bahan mudah terbakar hendaklah disimpan di luar kawasan kemudahan penyimpanan aset ICT;

e. Semua bahan cecair hendaklah diletakkan di tempat yang bersesuaian dan berjauhan dari aset ICT;

f. Pengguna adalah dilarang merokok atau menggunakan peralatan memasak seperti cerek elektrik berhampiran peralatan komputer; dan

g. Semua peralatan perlindungan hendaklah disemak dan diuji sekurang-kurangnya dua (2) kali dalam setahun. Aktiviti dan keputusan ujian ini perlu direkodkan bagi memudahkan rujukan dan tindakan sekiranya perlu.

DK-050302 Bekalan Kuasa

a. Semua peralatan ICT hendaklah dilindungi dari kegagalan bekalan elektrik dan bekalan yang sesuai hendaklah disalurkan kepada peralatan ICT;

b. Peralatan sokongan seperti UPS (Uninterruptable Power Supply) dan penjana (generator) boleh digunakan bagi perkhidmatan kritikal seperti di bilik server supaya mendapat bekalan kuasa berterusan; dan

c. Semua peralatan sokong bekalan kuasa hendaklah disemak dan diuji secara berjadual.

Setiausaha Bahagian/ Ketua

Agensi





DK-050303 Prosedur Kecemasan

Perkara yang perlu dipatuhi adalah seperti berikut: a. Memastikan setiap pengguna

membaca, memahami dan mematuhi prosedur kecemasan dengan merujuk kepada peraturan keselamatan Kementerian yang sedia ada;

b. Melaporkan insiden kecemasan persekitaran seperti kebakaran kepada pegawai keselamatan KKR;

c. Mengadakan, menguji dan mengemas kini pelan kecemasan dari masa ke semasa;

d. Merancang dan mengadakan latihan kebakaran bangunan (firedrill) secara berkala.

Pegawai Keselamatan

Bahagian




PERKARA 06 – PENGURUSAN OPERASI DAN KOMUNIKASI

01 Pengurusan Prosedur Operasi

Objektif : Memastikan perkhidmatan dan pemprosesan maklumat dapat berfungsi dengan betul dan selamat.

DK-060101 Pengendalian Prosedur

a. Semua prosedur keselamatan ICT yang di wujud, dikenal pasti dan masih diguna pakai hendaklah didokumenkan, disimpan dan dikawal;

b. Setiap prosedur mestilah mengandungi arahan-arahan yang jelas, teratur dan lengkap seperti keperluan kapasiti, pengendalian dan pemprosesan maklumat, pengendalian dan penghantaran ralat, pengendalian output, bantuan teknikal dan pemulihan sekiranya pemprosesan tergendala atau terhenti; dan

c. Semua prosedur hendaklah dikemas kini dari semasa ke semasa atau mengikut keperluan.

Semua

DK-060102 Kawalan Perubahan

a. Pengubahsuaian yang melibatkan perkakasan, sistem untuk pemprosesan maklumat, perisian, dan prosedur mestilah mendapat kebenaran daripada pegawai atasan atau pemilik aset ICT terlebih dahulu;

b. Aktiviti–aktiviti seperti memasang, menyelenggara, menghapus dan mengemas kini mana-mana komponen sistem ICT hendaklah dikendalikan oleh pihak atau pegawai yang diberi kuasa dan mempunyai

Semua




PERKARA 06 – PENGURUSAN OPERASI DAN KOMUNIKASI pengetahuan atau terlibat secara langsung dengan aset ICT berkenaan;

c. Semua aktiviti pengubahsuaian komponen sistem ICT hendaklah mematuhi spesifikasi perubahan yang telah ditetapkan; dan

d. Semua aktiviti perubahan atau pengubahsuaian hendaklah di rekod dan dikawal bagi mengelakkan berlakunya ralat sama ada secara sengaja atau pun tidak.

DK-060103 Prosedur Pengurusan Insiden

Bagi memastikan tindakan menangani insiden keselamatan ICT diambil dengan cepat, teratur dan berkesan. Prosedur pengurusan insiden mestilah mengambil kira kawalan-kawalan berikut: a. mengenal pasti semua jenis insiden

keselamatan ICT seperti gangguan perkhidmatan yang disengajakan, pemalsuan identiti dan pengubahsuaian perisian tanpa kebenaran;

b. menyedia pelan kontingensi dan mengaktifkan pelan kesinambungan perkhidmatan;

c. menyimpan jejak audit dan memelihara bahan bukti; dan

d. Menyediakan tindakan pemulihan segera.

Nota : Pekeliling Am Bilangan 1 Tahun 2001 bertajuk “Mekanisme Pelaporan Insiden Keselamatan ICT” dan Surat Pekeliling

JPICT KKR, ICTSO, CERT

KKR




PERKARA 06 – PENGURUSAN OPERASI DAN KOMUNIKASI Am Bilangan 4 Tahun 2006 bertajuk “Pengurusan Pengendalian Insiden Keselamatan Teknologi Maklumat Dan Komunikasi (ICT) Sektor Awam” mengenainya bolehlah dirujuk.

DK-060104 Pelaporan Insiden

Insiden Keselamatan ICT hendaklah dilaporkan kepada ICTSO dengan kadar segera. Insiden keselamatan ICT adalah termasuk yang berikut: a. Maklumat didapati hilang, didedahkan

kepada pihak-pihak yang tidak diberi kuasa atau, disyaki hilang, atau didedahkan kepada pihak-pihak yang tidak diberi kuasa;

b. Sistem maklumat disyaki digunakan tanpa kebenaran dan kecurian maklumat/data;

c. Kata laluan atau mekanisme kawalan akses hilang, dicuri atau didedahkan atau disyaki hilang, dicuri atau didedahkan;

d. Kejadian sistem luar biasa seperti kehilangan fail, sistem kerap kali gagal berfungsi dan kesilapan/ralat dalam komunikasi data; dan

e. Berlaku percubaan menceroboh, penyelewengan dan insiden-insiden yang tidak diingini.

Nota :

Pekeliling Am Bilangan 1 Tahun 2001 bertajuk “Mekanisme Pelaporan Insiden Keselamatan ICT” dan Surat pekeliling Am Bilangan 4 Tahun 2006 bertajuk “pengurusan Pengendalian

Semua




PERKARA 06 – PENGURUSAN OPERASI DAN KOMUNIKASI Insiden Keselamatan Teknologi Maklumat Dan Komunikasi (ICT) Sektor Awam” mengenainya bolehlah dirujuk.

02 Perancangan dan Penerimaan Sistem

Objektif : Meminimumkan risiko yang menyebabkan gangguan atau kegagalan sistem.

DK-060201 Perancangan Kapasiti

a. Kapasiti sesuatu komponen atau sistem ICT hendaklah dirancang, diurus dan dikawal dengan teliti oleh pegawai yang berkenaan bagi memastikan keperluannya adalah mencukupi dan bersesuaian untuk pembangunan dan kegunaan sistem ICT pada masa akan datang;

b. Keperluan kapasiti ini juga perlu mengambil kira ciri-ciri keselamatan ICT bagi meminimumkan risiko seperti gangguan pada perkhidmatan dan kerugian akibat pengubahsuaian yang tidak dirancang; dan

c. Penggunaan peralatan mestilah dipantau, ditala (tuned) dan perancangan perlu dibuat bagi memastikan prestasi sistem di tahap optimum.

ICTSO, Pentadbir Sistem

dan Pentadbir Rangkaian

DK-060202 Penerimaan Sistem

Kriteria penerimaan untuk sistem maklumat baru, peningkatan dan versi baru perlu ditetapkan dan ujian yang sesuai ke atasnya perlu dibuat semasa pembangunan dan sebelum penerimaan sistem atau sebelum sistem itu dipersetujui.

Pentadbir Sistem/

Pentadbir Rangkaian





03 Perisian Berbahaya

Objektif : Melindungi integriti perisian dan maklumat dari pendedahan atau kerosakan yang disebabkan oleh perisian berbahaya seperti virus, trojan dan sebagainya.

DK-060301 Perlindungan dari Perisian Berbahaya

a. Memasang Sistem keselamatan untuk mengesan perisian atau program berbahaya seperti anti virus dan Intrusion Detection System (IDS) dan mengikut prosedur penggunaan yang betul dan selamat;

b. Memasang dan menggunakan hanya perisian yang berdaftar dan dilindungi di bawah Akta Hakcipta (Pindaan) Tahun 1997;

c. Pengguna mesti mengimbas semua perisian atau sistem dengan perisian keselamatan seperti anti virus, spyware, adware sebelum menggunakannya;

d. Mengemas kini pattern atau signature perisian keselamatan secara berkala secara auto-update;

e. Menyemak kandungan sistem atau maklumat secara berkala bagi mengesan aktiviti yang tidak diingini seperti kehilangan dan kerosakan maklumat;

f. Menghadiri program kesedaran mengenai ancaman perisian berbahaya dan cara mengendalikannya;

g. Memasukkan klausa tanggungan di dalam mana-mana kontrak yang telah ditawarkan kepada pembekal perisian. Klausa ini bertujuan untuk

Semua

ICTSO, CERT KKR




PERKARA 06 – PENGURUSAN OPERASI DAN KOMUNIKASI tuntutan baik pulih sekiranya perisian tersebut mengandungi program berbahaya;

h. Mengadakan program dan prosedur jaminan kualiti ke atas semua perisian yang dibangunkan;

i. CERT KKR hendaklah mengeluarkan amaran awal atau advisory mengenai insiden keselamatan ICT seperti serangan virus kepada semua pengguna;

j. Dalam keadaan mobile code dibenarkan konfigurasi hendaklah memastikan bahawa ianya beroperasi berdasarkan dasar keselamatan yang jelas dan mobile code yang tidak dibenarkan perlu dielakkan daripada digunakan.

04 Housekeeping

Objektif : Melindungi integriti maklumat dan perkhidmatan komunikasi agar boleh diakses pada bila-bila masa.

DK-060401 Penduaan (backup)

Bagi memastikan sistem dapat dibangunkan semula setelah berlakunya bencana, salinan penduaan seperti yang dibutirkan hendaklah dilakukan setiap kali konfigurasi berubah. Salinan penduaan hendaklah direkodkan dan disimpan di off site. a. Membuat salinan keselamatan ke

atas semua sistem perisian dan aplikasi sekurang-kurangnya sekali atau setelah mendapat versi terbaru;

b. Membuat salinan penduaan ke atas semua data dan maklumat mengikut

Semua




PERKARA 06 – PENGURUSAN OPERASI DAN KOMUNIKASI keperluan operasi;

c. Menguji sistem penduaan sedia ada bagi memastikan ianya dapat berfungsi dengan sempurna, boleh dipercayai dan berkesan apabila digunakan khususnya pada waktu kecemasan; dan

d. Salinan maklumat dan perisian perlu dibuat dan di uji secara berkala berdasarkan kepada prosedur penduaan.

DK-060402 Sistem Log

a. Mewujudkan sistem log bagi merekodkan semua aktiviti harian pengguna;

b. Menyemak sistem log secara berkala bagi mengesan ralat yang menyebabkan gangguan kepada sistem dan mengambil tindakan membaik pulih dengan segera; dan

c. Sekiranya wujud aktiviti-aktiviti tidak sah lain seperti kecurian maklumat dan pencerobohan, hendaklah dilaporkan kepada ICTSO.

Pentadbir Sistem

05 Pengurusan Rangkaian

Objektif : Melindungi maklumat dalam rangkaian dan infrastruktur sokongan.

DK-060501 Kawalan Infrastruktur Rangkaian

Infrastruktur rangkaian mestilah dikawal dan diuruskan sebaik mungkin demi melindungi ancaman kepada sistem dan aplikasi di dalam rangkaian. Berikut adalah langkah-langkah yang perlu dipertimbangkan:- a. Tanggungjawab atau kerja-kerja

Pentadbir Rangkaian




PERKARA 06 – PENGURUSAN OPERASI DAN KOMUNIKASI operasi rangkaian komputer hendaklah diasingkan untuk mengurangkan capaian dan pengubahsuaian yang tidak dibenarkan;

b. Peralatan rangkaian hendaklah diletakkan di lokasi yang mempunyai ciri-ciri fizikal yang kukuh dan bebas dari risiko seperti banjir, gegaran dan habuk;

c. Capaian kepada peralatan rangkaian hendaklah dikawal dan terhad kepada pengguna yang dibenarkan sahaja;

d. Semua peralatan mestilah melalui proses Factory Acceptance Check (FAC) semasa pemasangan dan konfigurasi;

e. Firewall hendaklah dipasang di antara rangkaian dalaman dan sistem yang melibatkan maklumat rahsia rasmi Kerajaan serta di konfigurasi oleh pentadbir sistem/pentadbir rangkaian;

f. Semua trafik keluar dan masuk hendaklah melalui firewall di bawah kawalan KKR;

g. Semua perisian sniffer atau network analyser adalah dilarang dipasang pada komputer pengguna kecuali mendapat kebenaran ICTSO;

h. Pemasangan perisian Intrusion Detection System (IDS) adalah perlu bagi mengesan sebarang cubaan menceroboh dan aktiviti-aktiviti lain yang boleh mengancam sistem dan maklumat KKR;




PERKARA 06 – PENGURUSAN OPERASI DAN KOMUNIKASI i. Pemasangan Web Content Filter

pada Internet Gateway adalah perlu untuk menyekat aktiviti yang dilarang seperti yang termaktub di dalam Pekeliling Kemajuan Pentadbiran Awam Bilangan 1 Tahun 2003 bertajuk “Garis Panduan Mengenai Tatacara Penggunaan Internet dan Mel Elektronik di Agensi-Agensi Kerajaan”;

j. Sebarang penyambungan rangkaian yang bukan di bawah kawalan KKR hendaklah mendapat kebenaran ICTSO;

k. Semua pengguna hanya dibenarkan menggunakan kawalan KKR sahaja. Penggunaan modem adalah dilarang sama sekali;

l. Memastikan keperluan perlindungan ICT adalah bersesuaian dan mencukupi bagi menyokong perkhidmatan yang lebih optimum; dan

m. Penggunaan tanpa wayar LAN di KKR hendaklah mematuhi peraturan-peraturan yang dikeluarkan dari masa ke semasa oleh agensi tertentu seperti PKPA MAMPU dan sebagainya.

06 Pengurusan Media

Objektif : Melindungi Aset ICT dari kerosakan dan gangguan aktiviti perkhidmatan yang tidak dikawal.

DK-060601 Penghantaran dan Pemindahan

Penghantaran atau pemindahan media ke luar pejabat hendaklah mendapat kebenaran daripada SUB/Ketua

Semua




PERKARA 06 – PENGURUSAN OPERASI DAN KOMUNIKASI Cawangan terlebih dahulu. Media yang mengandungi maklumat Kerajaan perlu dilindungi daripada capaian yang tidak dibenarkan, penyalahgunaan atau kerosakan semasa pemindahan keluar dari KKR. Prosedur perlu disediakan untuk pengurusan media mudah alih.

DK-060602 Prosedur Pengendalian Media

Prosedur ini bertujuan untuk mengendali dan menyimpan maklumat yang perlu diwujudkan untuk melindungi maklumat daripada didedahkan tanpa kebenaran atau disalah guna. a. Melabelkan semua media mengikut

tahap sensitiviti sesuatu maklumat; b. Mengehadkan dan menentukan

capaian media kepada pengguna yang sah sahaja;

c. Mengehadkan pengedaran data atau media untuk tujuan yang dibenarkan;

d. Mengawal dan merekodkan aktiviti penyelenggaraan media bagi mengelak dari sebarang kerosakan dan pendedahan yang tidak dibenarkan;

e. Menyimpan semua media di tempat yang selamat;

f. Media yang mengandungi maklumat rahsia rasmi hendaklah dihapus atau dimusnahkan mengikut prosedur yang betul dan selamat.

Nota: Maklumat lanjut pelupusan bolehlah merujuk kepada Surat Pekeliling

Pentadbir Sistem/

Pentadbir Rangkaian




PERKARA 06 – PENGURUSAN OPERASI DAN KOMUNIKASI Perbendaharaan Bilangan 5 Tahun 2007 bertajuk “Tatacara Pengurusan Aset Alih Kerajaan”.

DK-060603 Keselamatan Sistem Dokumentasi

Dokumentasi sistem perlu dilindungi daripada capaian yang tidak dibenarkan. Langkah-langkah yang perlu dipatuhi ialah: a. Memastikan sistem penyimpan

dokumentasi mempunyai ciri-ciri keselamatan;

b. Menyediakan dan memantapkan keselamatan sistem dokumentasi; dan

c. Mengawal dan merekodkan semua aktiviti capaian sistem dokumentasi sedia ada.

Pentadbir Sistem, ICTSO

07 Keselamatan Komunikasi

Objektif : Melindungi aset ICT melalui sistem komunikasi yang selamat

DK-060701 Internet

Capaian Internet perlu dikawal dan diurus bagi mengelakkan gangguan sistem rangkaian KKR. a. Laman yang dilayari hendaklah

hanya yang berkaitan dengan bidang kerja dan terhad untuk tujuan yang dibenarkan oleh Ketua Jabatan;

b. Bahan yang diperoleh dari Internet hendaklah ditentukan ketepatan dan kesahihannya. Sebagai amalan baik, rujukan sumber Internet hendaklah dinyatakan;

c. Bahan rasmi hendaklah disemak dan mendapat pengesahan daripada Ketua Jabatan sebelum dimuat naik

Semua




PERKARA 06 – PENGURUSAN OPERASI DAN KOMUNIKASI ke Internet; dan

d. Pengguna hanya dibenarkan memuat turun bahan yang sah seperti perisian yang berdaftar dan di bawah hak cipta terpelihara;

e. Sebarang bahan yang dimuat turun dari Internet hendaklah digunakan untuk tujuan yang dibenarkan oleh KKR;

f. Hanya pegawai yang mendapat kebenaran sahaja boleh menggunakan kemudahan perbincangan awam seperti newsgroup dan bulletin board. Walau bagaimana pun, kandungan perbincangan awam ini hendaklah mendapat kelulusan daripada Ketua Jabatan terlebih dahulu tertakluk kepada dasar dan peraturan yang telah ditetapkan;

g. Penggunaan kemudahan yang menggunakan bandwidth tinggi seperti penggunaan peer-to-peer (P2P) atau video sharing (YouTube dan sebagainya) perlulah mendapat kebenaran dari Setiausaha Bahagian/Ketua Cawangan.

Nota: Maklumat lanjut mengenai keselamatan Internet boleh lah merujuk kepada Pekeliling Kemajuan Pentadbiran Awam Bilangan 1 Tahun 2003 bertajuk “Garis Panduan mengenai Tatacara Penggunaan Internet dan Mel Elektronik di Agensi-agensi Kerajaan”.

DK-060702 Mel Elektronik (E-Mel)

Maklumat yang terdapat dalam mel




PERKARA 06 – PENGURUSAN OPERASI DAN KOMUNIKASI elektronik KKR perlu dilindungi sebaik-baiknya bagi menghindari capaian atau sebaran maklumat yang tidak dibenarkan. Akaun atau alamat e-mel adalah bukan hak mutlak pengguna dan penggunaannya tertakluk kepada peraturan yang ditetapkan. Akaun atau alamat e-mel ini adalah hak milik KKR. Perkara yang perlu dipatuhi adalah seperti berikut: a. Pengguna hanya boleh

menggunakan akaun atau alamat e-mel yang diperuntukkan oleh KKR. Penggunaan akaun milik orang lain atau akaun yang dikongsi bersama adalah dilarang;

b. Pengguna mestilah bertanggungjawab atas akaun e-mel yang diberikan kepadanya;

c. Setiap e-mel yang disediakan hendaklah mematuhi format yang telah ditetapkan oleh KKR;

d. Pengguna mestilah memastikan subjek dan kandungan e-mel adalah berkaitan dan menyentuh perkara perbincangan yang sama sebelum penghantaran dilakukan;

e. Penghantaran e-mel rasmi hendaklah menggunakan akaun e-mel rasmi dan pastikan alamat e-mel penerima adalah betul;

f. Pengguna dinasihatkan menggunakan fail kepilan, sekirannya perlu, tidak melebihi 10 Mb semasa penghantaran. Kaedah pemampatan untuk mengurangkan




PERKARA 06 – PENGURUSAN OPERASI DAN KOMUNIKASI saiz adalah disarankan;

g. Pengguna hendaklah mengelak dari membuka e-mel daripada penghantar yang tidak diketahui atau diragui;

h. Pengguna hendaklah mengenal pasti dan mengesahkan identiti pengguna yang berkomunikasi dengannya sebelum meneruskan transaksi maklumat melalui e-mel;

i. Setiap e-mel rasmi yang dihantar atau diterima hendaklah disimpan (dalam inbox atau disimpan dalam folder yang berasingan pada dekstop) mengikut tatacara pengurusan sistem fail elektronik yang telah ditetapkan dan tidak boleh dihapuskan;

j. E-mel yang tidak penting dan tidak mempunyai nilai arkib yang telah diambil tindakan dan tidak diperlukan lagi boleh lah dihapuskan;

k. Pengguna hendaklah menentukan tarikh dan masa sistem komputer adalah tepat; dan

Nota: Maklumat lanjut mengenai keselamatan e-mel boleh lah merujuk kepada Pekeliling Kemajuan Pentadbiran Awam Bilangan 1 Tahun 2003 bertajuk “Garis Panduan Mengenai Tatacara Penggunaan Internet dan Mel Elektronik di Agensi-agensi Kerajaan’.

08 Pemantauan

Objektif : Memastikan pengesanan aktiviti pemprosesan maklumat yang tidak dibenarkan.





DK-060801 Merekodkan Maklumat

a. Log Audit yang merekodkan semua aktiviti perlu di hasilkan dan disimpan untuk tempoh masa yang dipersetujui bagi membantu siasatan dan memantau kawalan capaian;

b. Prosedur untuk memantau penggunaan kemudahan memproses maklumat perlu diwujudkan dan hasilnya perlu dipantau secara berkala;

c. Kemudahan merekodkan dan maklumat log perlu dilindungi daripada diubahsuai dan sebarang capaian yang tidak dibenarkan;

d. Aktiviti pentadbiran dan operator sistem perlu direkodkan;

e. Kesalahan yang dilakukan perlu direkod, dianalisis dan diambil tindakan yang sewajarnya; dan

f. Masa yang berkaitan dengan sistem pemprosesan maklumat dalam KKR atau domain keselamatan perlu diselaraskan dengan satu sumber tepat yang dipersetujui.

g. Pemantauan rawak akan dibuat oleh Pegawai Keselamatan ICT dari BTM terhadap peralatan ICT di semua bahagian/cawangan/unit di KKR tanpa perlu mendapat persetujuan daripada pengguna.

Pentadbir Sistem




PERKARA 07 – KAWALAN CAPAIAN

01 Dasar Kawalan Capaian

Objektif : Memahami dan mematuhi keperluan keselamatan dalam mencapai dan menggunakan aset ICT KKR.

DK-070101 Keperluan Dasar

Capaian kepada proses dan maklumat hendaklah dikawal mengikut keperluan keselamatan dan fungsi kerja pengguna yang berbeza. Ia perlu direkodkan, dikemas kini dan menyokong dasar kawalan capaian pengguna sedia ada. Peraturan kawalan capaian hendaklah mengambilkira faktor identification, authentication dan authorization.

BTM, ICTSO

02 Pengurusan Capaian Pengguna

Objektif : Mengawal capaian pengguna ke atas aset ICT KKR

DK-070201 Akaun Pengguna

Pengguna adalah bertanggungjawab ke atas sistem ICT yang digunakan. Bagi mengenal pasti pengguna dan aktiviti yang dilakukan, langkah-langkah berikut hendaklah dipatuhi: a. akaun yang diperuntukkan oleh KKR

sahaja boleh digunakan; b. akaun pengguna mestilah unik; c. akaun pengguna yang di wujud

pertama kali akan diberi tahap capaian paling minimum iaitu untuk melihat dan membaca sahaja. Sebarang perubahan tahap capaian hendaklah mendapat kelulusan daripada Ketua Jabatan terlebih dahulu;

Semua




PERKARA 07 – KAWALAN CAPAIAN d. pemilikan akaun pengguna bukanlah

hak mutlak seseorang dan ia tertakluk kepada peraturan jabatan. Akuan boleh ditarik balik jika penggunaannya melanggar peraturan;

e. penggunaan akaun milik orang lain atau akaun yang dikongsi bersama adalah dilarang; dan

f. Pentadbir Sistem boleh membeku dan menamatkan akaun pengguna atas sebab-sebab berikut: i) pengguna bercuti panjang atau

menghadiri kursus di luar pejabat dalam tempoh waktu melebihi 1 bulan.

ii) Bertukar bidang tugas kerja; iii) Bertukar ke agensi lain; iv) Bersara; atau v) Ditamatkan perkhidmatan

DK-070202 Jejak Audit

Jejak audit akan merekodkan semua aktiviti sistem Jejak audit juga adalah penting dan digunakan untuk tujuan penyiasatan sekiranya berlaku kerosakan atau penyalahgunaan sistem. Aktiviti jejak audit mengandungi: a. maklumat identiti pengguna, sumber

yang digunakan, perubahan maklumat, tarikh dan masa aktiviti, rangkaian dan program yang digunakan;

b. aktiviti capaian pengguna ke atas sistem ICT sama ada secara sah atau sebaliknya; dan

Pentadbir Sistem dan Pentadbir

Rangkaian




PERKARA 07 – KAWALAN CAPAIAN c. maklumat aktiviti sistem yang tidak

normal atau aktiviti yang tidak mempunyai ciri-ciri keselamatan.

Pentadbir Sistem dan Pentadbir Rangkaian hendaklah menyemak catatan jejak audit dari semasa ke semasa dan menyediakan laporan jika perlu. Ini akan dapat membantu mengesan aktiviti yang tidak normal dengan lebih awal. Jejak audit juga perlu dilindungi dari kerosakan, kehilangan, penghapusan, pemalsuan dan pengubah suaian yang tidak dibenarkan.

03 Kawalan Capaian

Objektif : Melindungi sistem ICT sedia ada dari sebarang bentuk capaian yang tidak dibenarkan yang boleh menyebabkan kerosakan.

DK-070301 Sistem Maklumat dan Aplikasi

Capaian sistem dan aplikasi di KKR adalah terhad kepada pengguna dan tujuan yang dibenarkan. Bagi memastikan kawalan capaian sistem dan aplikasi adalah kukuh, langkah-langkah berikut hendaklah dipatuhi: a. pengguna hanya boleh menggunakan

sistem maklumat dan aplikasi yang dibenarkan mengikut tahap capaian dan sensitiviti maklumat yang telah ditentukan;

b. setiap aktiviti capaian sistem maklumat dan aplikasi pengguna hendaklah direkodkan (log) bagi mengesan aktiviti –aktiviti yang tidak diingini;

c. Memaparkan notis amaran pada skrin komputer pengguna sebelum

Pentadbir Sistem dan ICTSO




PERKARA 07 – KAWALAN CAPAIAN memulakan capaian bagi melindungi maklumat dari sebarang bentuk penyalahgunaan;

d. Mengehadkan capaian sistem dan aplikasi kepada tiga (3) kali percubaan. Sekiranya gagal, akaun atau kata laluan pengguna akan disekat;

e. Memastikan kawalan sistem rangkaian adalah kukuh dan lengkap dengan ciri-ciri keselamatan bagi mengelakkan aktiviti atau capaian yang tidak sah; dan

f. Capaian sistem maklumat dan aplikasi melalui jarak jauh adalah digalakkan. Walau bagaimanapun, penggunaan nya terhad kepada perkhidmatan yang dibenarkan sahaja.

DK-070302 Kawalan Capaian Rangkaian

Tujuan kawalan ini adalah untuk menghalang capaian tidak sah dan tanpa kebenaran ke atas perkhidmatan rangkaian. Kawalan capaian perkhidmatan rangkaian hendaklah dijamin selamat dengan; a. Menempatkan atau memasang

antara muka yang menepati kesesuaian penggunaannya di antara rangkaian KKR dan lain-lain organisasi; dan

b. Mewujudkan dan menguatkuasakan mekanisme untuk pengesahan pengguna dan peralatan, yang menepati kesesuaian penggunaannya.

Perkara yang perlu dipatuhi adalah

Pentadbir Rangkaian




PERKARA 07 – KAWALAN CAPAIAN seperti berikut: a. Memastikan pengguna boleh

mencapai perkhidmatan yang dibenarkan sahaja;

b. Mewujudkan mekanisme pengesahan yang sesuai untuk mengawal capaian oleh pengguna jarak jauh;

c. Mengguna kaedah pengenalan automatik berdasarkan lokasi dan peralatan untuk pengesahan sambungan ke dalam rangkaian;

d. Mengawal capaian fizikal dan logikal ke atas kemudahan port diagnostik dan konfigurasi jarak jauh;

e. Mengasingkan capaian mengikut kumpulan perkhidmatan maklumat, pengguna dan sistem maklumat dalam rangkaian;

f. Mengawal sambungan ke rangkaian, khususnya bagi kemudahan yang dikongsi dan menjangkau sempadan KKR; dan

g. Mewujud dan melaksana kawalan pengalihan laluan (routing control untuk memastikan pematuhan ke atas peraturan KKR.

DK-070303 Kawalan Capaian Sistem Operasi

Memastikan bahawa kawalan ke atas sistem operasi dikawal dan dihadkan kepada pengguna yang dibenarkan sahaja. Kaedah yang digunakan hendaklah mampu menyokong perkara berikut: a. Mengesah pengguna yang

dibenarkan selaras dengan peraturan KKR;

Pentadbir Sistem




PERKARA 07 – KAWALAN CAPAIAN b. Mewujudkan audit trail ke atas semua

capaian sistem operasi terutama pengguna bertaraf khas (super user);

c. Menjana amaran (alert) sekiranya berlaku pelanggaran kepada peraturan keselamatan sistem;

d. Menyediakan kaedah sesuai untuk pengesahan capaian (authentication); dan

e. Mengehadkan tempoh penggunaan mengikut kesesuaian.

Perkara yang perlu dipatuhi adalah seperti berikut: a. Mengawal capaian ke atas sistem

operasi menggunakan prosedur log-on yang selamat;

b. Prosedur log-on yang selamat perlulah: i. Menggunakan kaedah pengenalan

pengguna yang unik dan teknik pengesahan pengguna yang berkesan dan selamat;

ii. Melaksana sistem pengurusan kata laluan yang interaktif dan menjamin kualiti serta keselamatan kata laluan;

iii. Mengawal penggunaan utiliti yang berkeupayaan melepasi sistem dan aplikasi terhad;

iv. Menamatkan sesi yang tidak aktif selepas tempoh masa yang ditetapkan;

v. Mengehadkan tempoh masa penggunaan bagi meningkatkan keselamatan aplikasi yang berisiko tinggi




PERKARA 07 – KAWALAN CAPAIAN

04 Perkakasan ICT Mudah Alih

Objektif : Memastikan keselamatan maklumat apabila menggunakan kemudahan atau perkakasan ICT mudah alih.

DK-070401 Penggunaan Perkakasan ICT Mudah Alih dan Kerja Jarak jauh

Keselamatan maklumat perlu dipastikan semasa menggunakan peralatan mudah alih dan kemudahan kerja jarak jauh. Perkara yang perlu dipatuhi adalah seperti berikut: a. Mewujudkan peraturan atau garis

panduan keselamatan yang bersesuaian untuk melindungi dari risiko penggunaan peralatan mudah alih dan kemudahan komunikasi;

b. Mewujudkan peraturan atau garis panduan untuk memastikan persekitaran kerja jarak jauh adalah sesuai dan selamat.

c. Merekodkan aktiviti keluar masuk penggunaan peralatan komputer mudah alih bagi mengesan kehilangan atau pun kerosakan; dan

d. Komputer mudah alih hendaklah disimpan dan dikunci di tempat yang selamat apabila tidak digunakan.

Pentadbir Sistem/ Pentadbir Rangkaian




PERKARA 08 – PEMBANGUNAN DAN PENYELENGGARAAN SISTEM

01 Keselamatan Dalam Membangunkan Sistem dan Aplikasi

Objektif : Memastikan sistem yang dibangunkan mempunyai ciri-ciri keselamatan ICT yang bersesuaian.

DK-080101 Keperluan Keselamatan

a. Pembangunan sistem hendaklah mengambil kira kawalan keselamatan bagi memastikan tidak wujudnya sebarang ralat yang boleh mengganggu pemprosesan dan ketepatan maklumat;

b. Ujian keselamatan hendaklah dijalankan ke atas sistem input untuk menyemak pengesahan dan integriti data yang dimasukkan, sistem pemprosesan untuk menentukan sama ada program berjalan dengan betul dan sempurna dan; sistem output untuk memastikan data yang telah diproses adalah tepat; dan

c. Sebaiknya-baiknya, semua sistem yang dibangunkan sama ada secara dalaman atau sebaliknya hendaklah diuji terlebih dahulu bagi memastikan sistem berkenaan memenuhi keperluan keselamatan yang telah ditetapkan sebelum digunakan.

BTM, ICTSO

02 Kriptografi

Objektif : Melindungi kerahsiaan, integriti dan kesahihan maklumat.

DK-080201 Enkripsi (encryption)

Pengguna hendaklah membuat enkripsi ke atas maklumat sensitif atau maklumat rahsia rasmi pada setiap masa.

Semua

DK-080202 Tandatangan Digital





Penggunaan tandatangan digital adalah dimestikan kepada semua pengguna khususnya mereka yang menguruskan transaksi maklumat rahsia rasmi secara elektronik.

Semua

DK-080203 Pengurusan Kunci

Pengurusan kunci hendaklah dilakukan dengan berkesan dan selamat bagi melindungi kunci berkenaan dari diubah, dimusnahkan dan didedahkan sepanjang tempoh sah kunci tersebut.

Semua

03 Sistem Fail

Objektif : Memastikan supaya fail dikawal dan dikendalikan dengan baik dan selamat.

DK-080301 Kawalan Sistem Fail

a. Proses pengemaskinian sistem fail hanya boleh dilakukan oleh pentadbir sistem ICT atau pegawai yang berkenaan dan mengikut prosedur yang telah ditetapkan;

b. Kod atau atur cara sistem yang telah dikemas kini hanya boleh dilaksanakan atau digunakan selepas diuji;

c. Mengawal capaian ke atas kod atau atur cara program bagi mengelakkan kerosakan, pengubah suaian tanpa kebenaran, Penghapusan dan kecurian; dan

d. Mengaktifkan audit log bagi merekodkan semua aktiviti pengemas kinian untuk tujuan statistik, pemulihan dan keselamatan.

Pentadbir Sistem





04 Pembangunan dan Proses Sokongan

Objektif : Menjaga dan menjamin keselamatan sistem maklumat dan aplikasi.

DK-080401 Kawalan Perubahan

Perubahan atau Pengubah suaian ke atas sistem maklumat dan aplikasi hendaklah dikawal, diuji, direkodkan dan disahkan sebelum diguna pakai. Perkara yang perlu dipatuhi adalah seperti berikut: a. Peraturan formal untuk mengawal

pelaksanaan perubahan; b. Semakan teknikal selepas perubahan

sistem operasi dibuat bagi menjamin tiada impak negatif ke atas keselamatan operasi KKR;

c. Perubahan ke atas perisian dikawal dan terhad ke atas yang perlu sahaja;

d. Semua peluang untuk kebocoran maklumat dihalang; dan

e. Pembangunan perisian oleh pihak luar di kawal selia dan dipantau oleh pihak KKR dari masa ke semasa.

Pentadbir Sistem




PERKARA 09 – PENGURUSAN KESINAMBUNGAN PERKHIDMATAN

01 Dasar Kesinambungan Perkhidmatan

Objektif : Menjamin operasi perkhidmatan agar tidak tergendala dan penyampaian perkhidmatan yang berterusan kepada pelanggan.

DK-090101 Pelan Kesinambungan Perkhidmatan

Pelan kesinambungan perkhidmatan hendaklah dibangunkan untuk menentukan pendekatan yang menyeluruh diambil bagi mengekalkan kesinambungan perkhidmatan. Ini bertujuan memastikan tiada gangguan kepada proses-proses dalam penyediaan perkhidmatan organisasi. Pelan ini mestilah diluluskan oleh JPICT KKR dan perkara-perkara berikut perlu diberi perhatian: a. Mengenal pasti semua

tanggungjawab dan prosedur kecemasan atau pemulihan;

b. melaksanakan prosedur-prosedur kecemasan bagi membolehkan pemulihan dapat dilakukan secepat mungkin atau dalam jangka masa yang telah ditetapkan;

c. mendokumentasikan proses dan prosedur yang telah dipersetujui;

d. mengadakan program latihan kepada pengguna mengenai prosedur kecemasan;

e. membuat penduaan; dan f. menguji dan mengemas kini pelan

sekurang-kurangnya setahun sekali.

ICTSO, Pentadbir Sistem, Pentadbir

Rangkaian




PERKARA 10 – PEMATUHAN

01 Pematuhan dan Keperluan Perundangan

Objektif : Meningkatkan tahap keselamatan ICT bagi mengelakkan dari pelanggaran kepada Dasar Keselamatan ICT KKR.

DK-100101 Pematuhan Dasar

Setiap pengguna di KKR hendaklah membaca, memahami dan mematuhi Dasar Keselamatan ICT KKR dan undang-undang atau peraturan-peraturan lain yang berkaitan yang berkuat kuasa. Semua aset ICT di KKR termasuk maklumat yang di simpan di dalamnya adalah hak milik Kerajaan dan Ketua Jabatan berhak untuk memantau aktiviti pengguna untuk mengesan penggunaan selain dari tujuan yang telah ditetapkan.

Semua

DK-100102 Keperluan Perundangan/Peraturan/Garis Panduan

Dasar ini bertujuan memastikan reka bentuk, operasi, penggunaan dan pengurusan sistem maklumat adalah selaras serta berkeupayaan menghalang pelanggaran mana-mana keperluan perundangan, peraturan dan perjanjian yang berkuat kuasa. Perkara yang perlu dipatuhi adalah seperti berikut: a. semua perlembagaan, undang-

undang, peraturan, perjanjian yang dimeterai dan lain-lain perkara yang relevan kepada keselamatan sistem maklumat dan organisasi hendaklah dikenal pasti,

b. peraturan yang sesuai dilaksanakan untuk pematuhan ke atas perlembagaan, undang-undang dan

Semua




PERKARA 10 – PEMATUHAN keperluan kontrak mengenai penggunaan bahan yang tertakluk kepada hak milik harta intelek;

c. rekod penting hendaklah dilindungi daripada hilang, rosak dan dipalsukan selaras dengan keperluan undang-undang, peraturan dan keperluan perjanjian KKR;

d. perlindungan ke atas data dan hak milik peribadi hendaklah mematuhi perundangan, peraturan dan terma perjanjian jika perlu;

e. pengguna dilarang menggunakan kemudahan proses maklumat untuk tujuan yang tidak dibenarkan; dan

f. penggunaan kriptografi dikawal selaras dengan perjanjian, perundangan dan peraturan yang berkuat kuasa.

Berikut adalah keperluan perundangan atau peraturan-peraturan lain berkaitan yang perlu dipatuhi oleh semua pengguna di KKR: a. Arahan Keselamatan; b. Malaysian Public Sector Management

of Information and Commmunications Tecknology Security Handbook (MyMIS);

c. Pekeliling Kemajuan Pentadbiran Awam i. Pekeliling Kemajuan Pentadbiran

Awam Bilangan 1 Tahun 2003 bertajuk ‘Garis Panduan Mengenai Tatacara Penggunaan Internet dan Mel Elektronik di Agensi-agensi Kerajaan”;




PERKARA 10 – PEMATUHAN d. Pekeliling Am

i. Pekeliling Am Bilangan 1 Tahun 2006 bertajuk “Pengurusan laman Web/Portal Sektor Awam”.

ii. Pekeliling Am Bilangan 1 tahun 2001 bertajuk “Mekanisme Pelaporan Insiden Keselamatan Teknologi Maklumat dan Komunikasi (ICT)”.

iii. Pekeliling Am Bilangan 3 Tahun 2000 bertajuk “Rangka Dasar Keselamatan Teknologi Maklumat dan Komunikasi Kerajaan”;

e. Surat Pekeliling Am i. Surat Pekeliling Am Bilangan 6

Tahun 2005 bertajuk “Garis Panduan Penilaian Risiko Keselamatan Maklumat Sektor Awam”;

ii. Surat Pekeliling Am Bilangan 4 tahun 2006 bertajuk “Pengurusan Pengendalian Insiden Keselamatan Teknologi Maklumat dan Komunikasi (ICT) Sektor Awam;

f. Surat Arahan KSN i. Rujukan KPKK(R)200/55 Klt. 8(2)

bertarikh 31 Januari 2007 bertajuk “Langkah-langkah Keselamatan Perlindungan Untuk Larangan Penggunaan Telefon Bimbit Atau Lain-Lain peralatan komunikasi ICT tanpa kebenaran atau kuasa sah di agensi-agensi kerajaan”.

ii. Rujukan UPTM(S) 159/338/8 Jld. 30(84) bertarikh 20 Oktober 2006 bertajuk “Langkah-langkah untuk memperkukuhkan keselamatan




PERKARA 10 – PEMATUHAN rangkaian setempat tanpa wayar (wireless local area network) di agensi-agensi kerajaan”.

iii. Rujukan UPTM 159/267/50 Klt.4(46) bertarikh 20 Ogos 2004 bertajuk “Arahan pematuhan akta keselamatan dan kesihatan pekerjaan 1994 dan pelaksanaan arahan, peraturan, prosedur dan peruntukan undang-undang berkaitan keselamatan perlindungan di jabatan-jabatan kerajaan”.

iv. Rujukan UPTM(S) 1594/476/3 bertarikh 24 April 2004 bertajuk “Usaha-usaha meningkatkan keberkesanan sistem penyampaian perkhidmatan kerajaan”.

g. Surat Arahan KP MAMPU i. Rujukan UPTM 159/526/9 Jld.4(60)

bertarikh 23 November 2007 bertajuk “Langkah-langkah pemantapan sistem mel elektronik di agensi-agensi kerajaan”.

ii. Rujukan UPTM 159/10/648/1 bertarikh 09 Julai 2007 bertajuk “Langkah-langkah meningkatkan keberkesanan sistem penyampaian perkhidmatan kerajaan menerusi pemantapan pengurusan dan pengendalian perkhidmatan helpdesk unit khidmat pelanggan”.

iii. Rujukan UPTM 159/526/9 Jld.4 (59) bertarikh 01 Jun 2007 bertajuk “langkah-langkah mengenai penggunaan mel elektronik di agensi-agensi kerajaan”.

iv. UPTM 159/476/3 bertarikh 24 April




PERKARA 10 – PEMATUHAN 2004 bertajuk “Usaha-usaha meningkatkan keberkesanan sistem penyampaian perkhidmatan kerajaan”.

h. Akta Tandatangan Digital 1997; i. Akta Jenayah Komputer 1997; j. Akta Hak cipta (pindaan) Tahun 1997;

dan k. Akta Komunikasi dan Multimedia

1998. l. Electronic Goverment Activities Act

2007 (Act 680) m. Pekeliling Perbendaharaan Bil. 5

tahun 2007 bertajuk “Tatacara Pengurusan Aset Alih Kerajaan”.

n. Garis Panduan MAMPU i. Garis Panduan Portal

myGovernment dan Laman Web/Portal Agensi-Agensi Sektor Awam.

ii. Garis Panduan IT Outsourcing Agensi-Agensi Sektor Awam (MAMPU, Oktober 2006).

Seksyen Sokongan Teknikal dan Keselamatan ICT Bahagian Teknologi Maklumat

Kementerian Kerja Raya Mac 2008

dasar keselamatan ict kkr filedasar keselamatan ict kkr. kementerian kerja raya (kkr)

Documents