dasar keselamatan ict mindef v 4.0
TRANSCRIPT
-
8/17/2019 Dasar Keselamatan ICT MINDEF v 4.0
1/91
-
8/17/2019 Dasar Keselamatan ICT MINDEF v 4.0
2/91
DASARKESELAMATAN ICT
MINDEF
VERSI 4.0
TARIKH KUATKUASA 30 OGOS 2013
MUKA SURAT 1/91
DASAR KESELAMATAN TEKNOLOGI MAKLUMATDAN KOMUNIKASI (ICT) KEMENTERIAN PERTAHANAN
PENGENALAN
Kesan penggunaan ICT telah mengubah budaya kerja organisasi.
Sementara berbangga dengan kemajuan yang dicapai, semua warga Kementerian
Pertahanan (MinDef) juga perlu peka terhadap isu keselamatan ICT terutama dari
segi peranan, tanggungjawab dan kawalan penggunaan. Penekanan ke atas
kesedaran dan tahap keselamatan ICT adalah penting dan perlu diberi perhatian
yang serius disebabkan oleh dua (2) faktor.
Faktor pertama ialah peranan dan tanggungjawab MinDef selaku
kementerian yang diberi amanah dan tanggungjawab terhadap keselamatan dan
pertahanan negara. Secara umumnya, keselamatan ICT merupakan
tanggungjawab bersama warga MinDef untuk memastikan sistem ICT yang
dikendalikan adalah selamat daripada sebarang penyalahgunaan dan ancaman
pencerobohan.
Faktor kedua ialah kewujudan penggunaan pelbagai teknologi dan
platform sistem pengoperasian. Keadaan ini membuka ruang kepada ancaman
keselamatan. Adalah penting penyimpanan dan penyebaran maklumat dibatasi
supaya kawalan dapat dibuat dengan lebih berkesan. Kepentingan Dasar
Keselamatan ICT (DKICT) MinDef digambarkan seperti di Rajah 1.
Rajah 1 : Pelaksanaan Keselamatan ICT MinDef
-
8/17/2019 Dasar Keselamatan ICT MINDEF v 4.0
3/91
DASARKESELAMATAN ICT
MINDEF
VERSI 4.0
TARIKH KUATKUASA 30 OGOS 2013
MUKA SURAT 2/91
DKICT MinDef mengandungi peraturan-peraturan yang mesti dibaca dan dipatuhi
dalam menggunakan aset Teknologi Maklumat dan Komunikasi (ICT). Dasar ini
juga menerangkan kepada semua pengguna mengenai tanggungjawab dan
peranan mereka dalam melindungi aset ICT MinDef.
OBJEKTIF
DKICT MinDef diwujudkan untuk menjamin kesinambungan bisnes MinDef dengan
meminimumkan kesan insiden keselamatan ICT.
Dasar ini juga bertujuan untuk memudahkan perkongsian maklumat sesuai dengan
keperluan operasi MinDef. Ini hanya boleh dicapai dengan memastikan semua aset
ICT dilindungi.
Objektif utama DKICT MinDef adalah seperti berikut :
(a) Menghebahkan pendirian pihak pengurusan untuk mendukung
pelaksanaan keselamatan ICT;
(b) Menyediakan DKICT MinDef yang komprehensif, sesuai dengan
perubahan semasa dan digunapakai oleh semua peringkat
pengurusan dan pengguna;
(c) Melindungi kepentingan aset dan pihak yang bergantung kepada
sistem ICT daripada kesan kegagalan atau kelemahan dari segi
kerahsiaan, integriti, kebolehsediaan, kesahihan maklumat dan
komunikasi, pencerobohan serta mencegah aktiviti
penyalahgunaan dan kecurian;
(d) Memastikan kelancaran operasi bisnes MinDef dengan mencegah
serta meminimumkan kemusnahan dan kerosakan aset ICT; dan
(e) Memberi kesedaran keselamatan ICT kepada warga MinDef dan
pembekal.
PERNYATAAN DASAR
Keselamatan ditakrifkan sebagai keadaan yang bebas daripada ancaman dan
risiko yang tidak boleh diterima. Kawalan keselamatan adalah proses berterusan
secara berkala yang mesti dilakukan untuk menjamin keselamatan.
-
8/17/2019 Dasar Keselamatan ICT MINDEF v 4.0
4/91
DASARKESELAMATAN ICT
MINDEF
VERSI 4.0
TARIKH KUATKUASA 30 OGOS 2013
MUKA SURAT 3/91
Keselamatan ICT bermaksud keadaan di mana segala urusan menyedia dan
membekalkan perkhidmatan yang berasaskan ICT beroperasi tanpa
gangguan. Keselamatan ICT berkait rapat dengan perlindungan aset ICT. Terdapat
empat (4) komponen asas keselamatan ICT iaitu :
(a) Melindungi maklumat rahsia rasmi dan maklumat rasmi kerajaan
dari capaian tidak sah;
(b) Menjamin setiap maklumat adalah asli dan sempurna;
(c) Memastikan ketersediaan maklumat apabila diperlukan; dan
(d) Memastikan akses hanya kepada pengguna yang sah dan
penerimaan maklumat daripada sumber yang sah.
DKICT MinDef merangkumi perlindungan ke atas semua bentuk maklumat
elektronik bertujuan untuk menjamin keselamatan dan ketersediaan maklumat. Ciri-
ciri utama keselamatan maklumat adalah seperti berikut :
(a) Kerahsiaan - Maklumat tidak boleh didedahkan sewenang-
wenangnya atau dibiarkan diakses tanpa kebenaran;
(b) Integriti - Data dan maklumat hendaklah asli dan sempurna. Ia
hanya boleh diubah dengan cara yang dibenarkan;
(c) Ketersediaan - Data dan maklumat hendaklah boleh diakses pada
bila-bila masa;
(d) Tidak Boleh Disangkal - Punca data dan maklumat hendaklah
daripada sumber yang sah dan tidak boleh disangkal; dan
(e) Kesahihan - Data dan maklumat hendaklah dijamin kesahihannya.
SKOP
DKICT MinDef merangkumi skop berikut :
(a) Aset ICT MinDef terdiri daripada perkakasan, perisian,
perkhidmatan, data atau maklumat dan manusia;
(b) Proses dan prosedur keselamatan ICT; dan
(c) Tadbir urus keselamatan ICT.
-
8/17/2019 Dasar Keselamatan ICT MINDEF v 4.0
5/91
DASARKESELAMATAN ICT
MINDEF
VERSI 4.0
TARIKH KUATKUASA 30 OGOS 2013
MUKA SURAT 4/91
DKICT MinDef merangkumi perlindungan ke atas semua bentuk maklumat kerajaan
yang diwujud, dimasuk, diedar, dijana, disimpan, dicetak, diakses dan dimusnah
melalui pewujudan dan penguatkuasaan sistem kawalan dan prosedur dalam
pengendalian semua aset ICT di lokasi yang terlibat.
Sebarang kebocoran rahsia atau kelemahan perlindungan adalah dianggap
sebagai pelanggaran langkah-langkah keselamatan.
PRINSIP-PRINSIP
Prinsip-prinsip yang menjadi asas kepada DKICT MinDef perlu dipatuhi seperti
berikut :
(a) Akses atas dasar perlu mengetahui
Akses terhadap penggunaan aset ICT hanya diberikan untuk tujuan
spesifik dan dihadkan kepada pengguna tertentu atas dasar “perlu
mengetahui” sahaja. Ini bermakna akses hanya akan diberikan
sekiranya peranan atau fungsi pengguna memerlukan maklumat
tersebut. Pertimbangan untuk akses adalah berdasarkan kategori
maklumat seperti yang dinyatakan di dalam dokumen Arahan
Keselamatan perenggan 53, muka surat 15;
(b) Hak akses minimum
Hak akses pengguna hanya diberi pada tahap paling minimum iaitu
untuk membaca dan / atau melihat sahaja. Kelulusan adalah perlu
untuk membolehkan pengguna mewujud, menyimpan,
mengemaskini, mengubah, membatal atau menghapus sesuatu
maklumat. Hak akses perlu disemak dari semasa ke semasa
berdasarkan kepada peranan dan tanggungjawab pengguna /
bidang tugas;
(c) Akauntabiliti
Semua pengguna adalah dipertanggungjawabkan ke atas semua
tindakannya terhadap aset ICT MinDef. Untuk menentukan
tanggungjawab ini dipatuhi, sistem ICT hendaklah mempunyai
-
8/17/2019 Dasar Keselamatan ICT MINDEF v 4.0
6/91
DASARKESELAMATAN ICT
MINDEF
VERSI 4.0
TARIKH KUATKUASA 30 OGOS 2013
MUKA SURAT 5/91
keupayaan mengesan dan mengesahkan pengguna boleh
dipertanggungjawabkan atas tindakan mereka. Akauntabiliti atau
tanggungjawab pengguna merangkumi perkara berikut :
i. Menghalang pendedahan maklumat kepada pihak yang tidak
dibenarkan;
ii. Memeriksa maklumat dan menentukan keaslian dan
kesempurnaan dari semasa ke semasa;
iii. Menentukan maklumat sedia untuk digunakan;
iv. Menjaga kerahsiaan kata laluan;
v. Mematuhi standard, prosedur, langkah dan garis panduan
keselamatan yang ditetapkan; dan
vi. Memberi perhatian kepada maklumat berdarjah terutama
semasa pewujudan, pemprosesan, penyimpanan,
penyelenggaraan, penghantaran, penyampaian, pertukaran
dan pemusnahan.
(d) Pengasingan FungsiPengasingan fungsi perlu diadakan di antara pentadbir dan
pengguna. Pengasingan fungsi juga hendaklah dilakukan di antara
pentadbir sistem dan pentadbir rangkaian. Tugas mewujud,
memadam, mengemaskini, mengubah dan mengesahkan data
perlu diasingkan bagi mengelakkan daripada capaian yang tidak
dibenarkan serta melindungi aset ICT daripada kesilapan,
kebocoran maklumat terperingkat atau dimanipulasi.
(e) Pengauditan Keselamatan
Pengauditan keselamatan adalah tindakan untuk mengenalpasti
insiden berkaitan keselamatan atau mengenalpasti keadaan yang
mengancam keselamatan. Ia membabitkan pemeliharaan semua
rekod berkaitan tindakan keselamatan. Dengan itu, aset ICT seperti
komputer, server , firewall dan rangkaian hendaklah dapat menjana
dan menyimpan log tindakan keselamatan atau jejak audit.
-
8/17/2019 Dasar Keselamatan ICT MINDEF v 4.0
7/91
DASARKESELAMATAN ICT
MINDEF
VERSI 4.0
TARIKH KUATKUASA 30 OGOS 2013
MUKA SURAT 6/91
(f) Pematuhan
DKICT MinDef hendaklah dibaca dan dipatuhi bagi mengelak
sebarang bentuk pelanggaran ke atasnya yang boleh membawa
ancaman kepada keselamatan ICT.
(g) Pemulihan
Pemulihan sistem ICT perlu untuk memastikan kebolehsediaan dan
kebolehcapaian maklumat. Objektif utama adalah untuk
meminimumkan sebarang gangguan atau kerugian akibat daripada
ketidaksediaan. Pemulihan boleh dilakukan melalui aktiviti
penduaan dan mewujudkan pelan pemulihan bencana /
kesinambungan perkhidmatan; dan
(h) Saling Bergantungan
Setiap prinsip adalah saling lengkap-melengkapi dan bergantung
antara satu sama lain bagi menjamin keselamatan ICT yang
maksimum.
-
8/17/2019 Dasar Keselamatan ICT MINDEF v 4.0
8/91
DASARKESELAMATAN ICT
MINDEF
VERSI 4.0
TARIKH KUATKUASA 30 OGOS 2013
MUKA SURAT 7/91
BIDANG 1 : PELAKSANAAN DASAR KESELAMATAN ICT
Objektif
Untuk memberi hala tuju dan peraturan-peraturan bagi mengguna dan melindungi
aset ICT selaras dengan keperluan undang-undang.
Bil Perkara Tanggungjawab
1.1 Pelaksanaan Dasar Keselamatan ICT
Pelaksanaan dasar ini akan dijalankan oleh Ketua
Setiausaha (KSU) dengan dibantu oleh Jawatankuasa
Pemandu ICT (JPICT) MinDef yang terdiri daripada Ketua
Pegawai Maklumat (CIO), Pegawai Keselamatan ICT
(ICTSO) dan lain-lain pegawai yang dilantik.
KSU
1.2 Penyebaran Dasar
Dasar ini perlu disebarkan kepada semua warga MinDef
dan pembekal yang berurusan dengan MinDef.
ICTSO
1.3 Penyelenggaraan Dasar
DKICT MinDef perlu disemak sekurang-kurangnya dua (2)
tahun sekali atau sekiranya ada keperluan. Prosedur
penyelenggaraan DKICT MinDef adalah seperti berikut :
(a) Kenal pasti dan tentukan perubahan yang
diperlukan;
(b) Mengemukakan cadangan perubahan secara
bertulis kepada ICTSO untuk pembentangan
dan persetujuan Ketua-ketua Jabatan dan
Bahagian (KKB) / JPICT MinDef; dan
(c) Menyebarkan perubahan dasar yang telah
dipersetujui oleh KKB / JPICT MinDef kepada
semua warga MinDef.
ICTSO
1.4 Pemakaian Dan Pengecualian Dasar
DKICT MinDef adalah terpakai kepada semua warga
MinDef, pembekal dan pelawat yang berurusan dengan
MinDef dan tiada pengecualian diberikan.
Warga MinDef,Pembekal dan
Pelawat
-
8/17/2019 Dasar Keselamatan ICT MINDEF v 4.0
9/91
DASARKESELAMATAN ICT
MINDEF
VERSI 4.0
TARIKH KUATKUASA 30 OGOS 2013
MUKA SURAT 8/91
BIDANG 2 : ORGANISASI KESELAMATAN ICT
Objektif
Menerangkan peranan dan tanggungjawab semua pihak yang terlibat dengan lebih
jelas dan teratur dalam mencapai objektif DKICT MinDef.
Bil Perkara Tanggungjawab
2.1 Ketua Setiausaha
Peranan dan tanggungjawab Ketua Setiausaha (KSU)
adalah seperti berikut :
(a) Memastikan pelaksanaan organisasi
keselamatan ICT MinDef berfungsi dengan
berkesan;
(b) Memastikan semua pengguna mematuhi DKICT
MinDef;
(c) Memastikan semua keperluan keselamatan ICT
(sumber kewangan, kakitangan dan
perlindungan keselamatan) adalah mencukupi;
dan
(d) Memastikan penilaian risiko dan program
keselamatan ICT dilaksanakan seperti yang
ditetapkan di dalam DKICT MinDef.
KSU
2.2 Ketua Pegawai Maklumat
Ketua Pegawai Maklumat (CIO) MinDef ialah Timbalan
Ketua Setiausaha (Pengurusan). Peranan dan
tanggungjawab CIO adalah seperti berikut :
(a) Membantu KSU dalam melaksanakan tugas-
tugas yang melibatkan keselamatan ICT;
(b) Menentukan keperluan keselamatan ICT;
(c) Menyelaras pembangunan dan pelaksanaan
pelan tindakan dan program kesedaran
mengenai keselamatan ICT;
(d) Bertanggungjawab ke atas perkara-perkara
CIO
-
8/17/2019 Dasar Keselamatan ICT MINDEF v 4.0
10/91
DASARKESELAMATAN ICT
MINDEF
VERSI 4.0
TARIKH KUATKUASA 30 OGOS 2013
MUKA SURAT 9/91
yang berkaitan dengan keselamatan ICT; dan
(e) Mempengerusikan Mesyuarat JPICT MinDef.
2.3 Pegawai Keselamatan ICT
Pegawai Keselamatan ICT (ICTSO) bagi MinDef adalah
Setiausaha Bahagian (SUB), Bahagian Pengurusan
Maklumat (BPM). Peranan dan tanggungjawab ICTSO
adalah seperti berikut :
(a) Menguatkuasa dan memantau pematuhan
DKICT MinDef;
(b) Mengurus keseluruhan program-program
keselamatan ICT MinDef;
(c) Memberi penerangan dan pendedahan
berkenaan DKICT MinDef kepada semua
pengguna;
(d) Mewujudkan garis panduan, prosedur dan
tatacara selaras dengan keperluan DKICT
MinDef;
(e) Menjalankan tugas pengurusan risiko;
(f) Menjalankan audit, mengkaji, merumus
tindakbalas pengurusan berdasarkan hasil
penemuan dan menyediakan laporan
mengenainya;
(g) Memberi amaran terhadap kemungkinan
berlakunya ancaman berbahaya seperti
malware dan memberikan khidmat nasihat serta
menyediakan langkah-langkah perlindungan
yang bersesuaian;
(h) Melaporkan insiden keselamatan ICT kepada
Pasukan Tindakbalas Insiden Keselamatan ICT
Kerajaan (GCERT), Unit Pemodenan Tadbiran
Dan Perancangan Pengurusan Malaysia
ICTSO
-
8/17/2019 Dasar Keselamatan ICT MINDEF v 4.0
11/91
DASARKESELAMATAN ICT
MINDEF
VERSI 4.0
TARIKH KUATKUASA 30 OGOS 2013
MUKA SURAT 10/91
(MAMPU) dan memaklumkannya kepada CIO;
(i) Bekerjasama dengan semua pihak yang
berkaitan dalam mengenalpasti punca ancaman
atau insiden keselamatan ICT dan
memperakukan langkah-langkah baik pulih
dengan segera; dan
(j) Menyedia dan melaksanakan program
kesedaran mengenai keselamatan ICT.
2.4 Pengurus ICT
Pengurus ICT bagi MinDef ialah pegawai ICT yang
dilantik di Jabatan / Bahagian. Peranan dan
tanggungjawab Pengurus ICT adalah seperti berikut :
(a) Mengkaji semula dan melaksanakan kawalan
keselamatan ICT selaras dengan keperluan
MinDef;
(b) Menentukan kawalan akses semua pengguna
terhadap aset ICT MinDef di bawah kawalan;
(c) Melaporkan sebarang insiden atau penemuan /
ancaman keselamatan ICT kepada
MinDefCERT; dan
(d) Memastikan penyimpanan rekod, bahan bukti
dan laporan terkini mengenai ancaman
keselamatan ICT MinDef.
Pengurus ICT
2.5 Pentadbir Sistem ICT (Aplikasi, Rangkaian Dan Keselamatan)
Peranan dan tanggungjawab Pentadbir Sistem ICT
adalah seperti berikut :
(a) Memastikan kerahsiaan kata laluan aset ICT;
(b) Mengambil tindakan mengikut proses dan
prosedur yang ditetapkan dengan segera
apabila dimaklumkan mengenai pengguna yang
berhenti, bersara, bertukar, bercuti panjang atau
Pentadbir
Sistem
-
8/17/2019 Dasar Keselamatan ICT MINDEF v 4.0
12/91
DASARKESELAMATAN ICT
MINDEF
VERSI 4.0
TARIKH KUATKUASA 30 OGOS 2013
MUKA SURAT 11/91
berlaku perubahan dalam bidang tugas;
(c) Mengambil tindakan mengikut proses dan
prosedur yang ditetapkan dengan segera
apabila dimaklumkan mengenai pembekal yang
berhenti atau tamat projek;
(d) Memastikan ketepatan dan kesempurnaan
capaian seperti yang telah ditetapkan;
(e) Menentukan maklumat sedia untuk digunakan;
(f) Memantau aktiviti capaian harian pengguna;
(g) Mengenal pasti aktiviti-aktiviti tidak normal
seperti pencerobohan dan pengubahsuaian
data tanpa kebenaran dengan membatalkan
atau memberhentikan dengan serta merta
capaian terhadap sistem dan memaklumkan
kepada Pengurus ICT untuk tindakan
selanjutnya;
(h) Menganalisis dan menyimpan rekod jejak audit;
(i) Menyediakan laporan mengenai aktiviti capaian
kepada pemilik maklumat berkenaan secara
berkala; dan
(j) Bertanggungjawab memantau setiap
perkakasan ICT yang diagihkan kepada
pengguna seperti komputer peribadi, komputer
riba, pencetak, pengimbas dan sebagainya di
dalam keadaan yang baik.
2.6 Pengguna Akhir (Enduser )
Peranan dan tanggungjawab pengguna adalah seperti
berikut :
(a) Mematuhi DKICT MinDef;
(b) Mengetahui dan memahami implikasi
keselamatan ICT akibat dari tindakannya;
Pengguna Akhir
-
8/17/2019 Dasar Keselamatan ICT MINDEF v 4.0
13/91
DASARKESELAMATAN ICT
MINDEF
VERSI 4.0
TARIKH KUATKUASA 30 OGOS 2013
MUKA SURAT 12/91
(c) Menjalani proses tapisan keselamatan seperti
yang diarahkan;
(d) Mematuhi prinsip-prinsip DKICT MinDef dan
menjaga kerahsiaan maklumat MinDef;
(e) Melaksanakan langkah-langkah perlindungan
berikut :
i. Tidak mendedahkan maklumat
kepada pihak yang tidak dibenarkan;
ii. Memeriksa maklumat dan
menentukan ia asli, tepat dan lengkap;
iii. Menjaga kerahsiaan kata laluan;
iv. Mematuhi standard, prosedur, langkah
dan garis panduan keselamatan yang
ditetapkan; dan
v. Mengendalikan maklumat terperingkat
mengikut proses dan prosedur yang
ditetapkan.
(f) Melaporkan sebarang aktiviti yang mengancam
keselamatan ICT kepada MinDefCERT dengan
segera;
(g) Menghadiri program kesedaran mengenai
keselamatan ICT; dan
(h) Menandatangani ”Surat Akuan Pematuhan
DKICT MinDef “(KEMBARAN A).
2.7 Pembekal
Perkara yang perlu dipatuhi dalam berurusan dengan
pembekal adalah seperti berikut :
(a) Mengenal pasti risiko keselamatan aset ICT
serta melaksanakan kawalan yang sesuai
sebelum memberi kebenaran capaian; dan
CIO, ICTSO,
Pengurus ICT,Pentadbir
Sistem dan
Pembekal
-
8/17/2019 Dasar Keselamatan ICT MINDEF v 4.0
14/91
DASARKESELAMATAN ICT
MINDEF
VERSI 4.0
TARIKH KUATKUASA 30 OGOS 2013
MUKA SURAT 13/91
(b) Capaian kepada aset ICT MinDef perlu
dinyatakan secara jelas dalam perjanjian
kontrak.
Perkara-perkara berikut hendaklah dimasukkan di dalam
perjanjian yang dimeterai :
(a) DKICT MinDef;
(b) Tapisan Keselamatan;
(c) Perakuan Akta Rahsia Rasmi (Pindaan) 1986;
(d) Hak Harta Intelek.2.8 Jawatankuasa Pemandu ICT MinDef (JPICT)
Jawatankuasa Pemandu ICT MinDef (JPICT) adalah
jawatankuasa yang bertanggungjawab ke atas
keselamatan ICT dan berperanan sebagai penasihat
dalam merumuskan rancangan dan strategi keselamatan
ICT MinDef.
Keanggotaan JPICT adalah seperti berikut :
Pengerusi : Timbalan Ketua Setiausaha
(Pengurusan) (CIO)
Ahli :
(1) SUB BPM (ICTSO)
(2) Ketua Pengarah Institut Penyelidikan
Sains Dan Teknologi Pertahanan
(STRIDE)
(3) Ketua Pengarah Jabatan Latihan Khidmat
Negara (JLKN)
(4) Ketua Pengarah Jabatan Hal Ehwal
Veteran (JHEV)
(5) SUB Bahagian Audit Dalam dan Siasatan
Am (BADSA)
(6) SUB Bahagian Perolehan
JPICT MinDef
-
8/17/2019 Dasar Keselamatan ICT MINDEF v 4.0
15/91
DASARKESELAMATAN ICT
MINDEF
VERSI 4.0
TARIKH KUATKUASA 30 OGOS 2013
MUKA SURAT 14/91
(7) SUB Bahagian Kewangan
(8) SUB Bahagian Pembangunan
(9) SUB Bahagian Pengurusan Sumber
Manusia (BPSM)
(10) Ketua Staf Markas Angkatan Bersama
(MAB)
(11) Asisten Ketua Staf Bahagian Komunikasi
Dan Elektronik Pertahanan (KOMLEK),
Markas Angkatan Tentera Malaysia
(MATM)
(12) Asisten Ketua Staf Bahagian
Perkhidmatan Anggota, MATM
(13) Asisten Ketua Staf Operasi dan Eksesais,
Markas Tentera Laut (MTL)
(14) Ketua Pegawai Semboyan, Markas
Tentera Darat (MTD)
(15) Pengarah Bahagian Teknologi Maklumat
Dan Komunikasi (BTMK), Markas
Tentera Udara (MTU)
(16) Ketua Cawangan Peperangan Elektronik
Bahagian Staf Perisikan Pertahanan
(BSPP), MATM
(17) Pengarah Cawangan Pertahanan Siber
(CPS), BSPP
(18) Pengarah Pusat Teknologi Maklumat
(PUSTEKMA), MTD
(19) Pengarah Teknologi Maklumat, Markas
Tentera Laut
(20) Timbalan SUB Cawangan Operasi, BPM
(21) Timbalan SUB Cawangan Aplikasi, BPM
(22) Ketua Penolong Setiausaha Cawangan
-
8/17/2019 Dasar Keselamatan ICT MINDEF v 4.0
16/91
DASARKESELAMATAN ICT
MINDEF
VERSI 4.0
TARIKH KUATKUASA 30 OGOS 2013
MUKA SURAT 15/91
Perancangan Dan Pentadbiran, BPM
(23) Ketua Cawangan Pengurusan Maklumat,
STRIDE
(24) Pengarah BPM, JLKN
(25) Pengarah BPM, JHEV
(26) Pegawai Staf 1 MAB
(27) Pegawai Staf KOMLEK, MATM
(28) Pengurus ICT Bahagian Perkhidmatan
Anggota, MATM
(29) Pegawai Staf Semboyan Tentera Darat
(30) Pegawai Staf BTMK, MTU
(31) Pegawai Staf Peperangan Elektronik
BSPP, MATM
Urus Setia bagi JPICT MinDef ialah BPM.
Bidang kuasa :
(a) Memperaku, melulus dan menguatkuasa
dasar, halatuju, garis panduan dan
standard keselamatan ICT;
(b) Memantau tahap pematuhan
keselamatan ICT;
(c) Memastikan DKICT MinDef selaras
dengan dasar-dasar ICT semasa
kerajaan;
(d) Menerima dan membincangkan laporan
mengenai insiden-insiden keselamatan
ICT semasa;
(e) Membincang tindakan yang melibatkan
pelanggaran DKICT MinDef;
(f) Meneliti dan meluluskan semua program
-
8/17/2019 Dasar Keselamatan ICT MINDEF v 4.0
17/91
DASARKESELAMATAN ICT
MINDEF
VERSI 4.0
TARIKH KUATKUASA 30 OGOS 2013
MUKA SURAT 16/91
dan aktiviti yang berkaitan dengan
keselamatan ICT;
(g) Memastikan pengauditan keselamatan
ICT MinDef dilaksanakan sekurang-
kurangnya sekali setahun; dan
(h) Memastikan peruntukan kewangan yang
mencukupi disediakan untuk pelaksanaan
program dan aktiviti keselamatan.
2.9 Jawatankuasa Teknikal ICT MinDef (JTICT)
Pengerusi : SUB BPM (ICTSO)
Ahli :
(1) Timbalan Setiausaha Bahagian (TSUB)
Cawangan Operasi, BPM
(2) TSUB Cawangan Aplikasi, BPM
(3) Ketua Penolong Setiausaha (KPSU)
Cawangan Perancangan Dan
Pentadbiran, BPM
(4) KPSU Unit Aplikasi, BPM
(5) KPSU Unit Rangkaian dan Keselamatan,
BPM
(6) KPSU Unit Teknikal, BPM
(7) KPSU Unit Pembangunan, BPM
(8) Ketua Cawangan Pengurusan Maklumat,
STRIDE
(9) Pengarah BPM, JLKN
(10) Pengarah BPM, JHEV
(11) Pegawai Staf 1 KOMLEK, MATM
(12) Pengarah PUSTEKMA, Markas TD
(13) Pegawai Staf 1 Teknologi Maklumat
(14) Pengarah BTMK, MTU
JTICT MinDef
-
8/17/2019 Dasar Keselamatan ICT MINDEF v 4.0
18/91
DASARKESELAMATAN ICT
MINDEF
VERSI 4.0
TARIKH KUATKUASA 30 OGOS 2013
MUKA SURAT 17/91
(15) Pegawai Staf 1 MAB
(16) Pegawai Staf 1 CPS, BSPP
(17) Pegawai Staf BSPP, MATM
Urus Setia bagi JTICT MinDef ialah BPM.
Bidang kuasa :
(a) Menilai aspek-aspek teknikal berhubung
inisiatif dan projek keselamatan ICT;
(b) Memberi nasihat teknikal kepada JPICT
MinDef;
(c) Menyediakan pelan tindakan untuk
pembangunan dan peningkatan
keselamatan sistem ICT;
(d) Menilai pilihan teknologi dan cadangan
penyelesaian terhadap keperluan
keselamatan sistem ICT; dan(e) Mengkaji semula DKICT dari semasa ke
semasa untuk dibentangkan kepada JPICT
MinDef.
2.10Organisasi Ministry of Defense Compu ter Emerg ency Respon se Team (MinDefCERT)
Keanggotaan MinDefCERT adalah seperti berikut :
Pengarah MinDefCERT : Timbalan Ketua Setiausaha(Pengurusan) (CIO)
Pengurus MinDefCERT : SUB BPM (ICTSO)
Ahli :
(1) TSUB Cawangan Operasi, BPM
(2) TSUB Cawangan Aplikasi, BPM
(3) KPSU Cawangan Perancangan Dan
MinDefCERT
-
8/17/2019 Dasar Keselamatan ICT MINDEF v 4.0
19/91
DASARKESELAMATAN ICT
MINDEF
VERSI 4.0
TARIKH KUATKUASA 30 OGOS 2013
MUKA SURAT 18/91
Pentadbiran, BPM
(4) KPSU Unit Aplikasi, BPM
(5) KPSU Unit Rangkaian dan Keselamatan,
BPM
(6) KPSU Unit Teknikal, BPM
(7) KPSU Unit Pembangunan, BPM
(8) Ketua Cawangan Pengurusan Maklumat,
STRIDE
(9) Pengarah BPM, JLKN
(10) Pengarah BPM, JHEV
(11) Pegawai Teknologi Maklumat BPM
(12) Pegawai Teknologi Maklumat JLKN
(13) Pegawai Teknologi Maklumat JHEV
(14) Pegawai Teknologi Maklumat STRIDE
Urus Setia bagi MinDefCERT ialah BPM.
Bidang kuasa :
Tugas dan tanggungjawab MinDefCERT meliputi
pengurusan pengendalian insiden keselamatan ICT
seperti berikut :
(a) Menerima dan mengesan aduan
keselamatan ICT dan menilai tahap dan
jenis insiden;
(b) Merekod dan menjalankan siasatan awal
insiden yang diterima;
(c) Menangani tindak balas (response) insiden
keselamatan ICT dan mengambil tindakan
baikpulih minima;
(d) Menghubungi dan melapor insiden yang
-
8/17/2019 Dasar Keselamatan ICT MINDEF v 4.0
20/91
DASARKESELAMATAN ICT
MINDEF
VERSI 4.0
TARIKH KUATKUASA 30 OGOS 2013
MUKA SURAT 19/91
berlaku kepada GCERT MAMPU;
(e) Menasihat Jabatan / Bahagian supaya
mengambil tindakan pemulihan dan
pengukuhan;
(f) Memaklumkan sebarang ancaman dan
insiden keselamatan ICT kepada Jabatan /
Bahagian; dan
(g) Menjalankan penilaian untuk memastikan
tahap keselamatan ICT dan mengambil
tindakan pemulihan atau pengukuhan bagi
meningkatkan tahap keselamatan
infrastruktur ICT supaya insiden baru dapat
dielakkan.
GCERT MAMPU
MinDefCERT(Kementerian)
JLKN STRIDE JHEV MATM, TLDM, TUDM, TD,
MABBahagian-bahagian Awam
(Pengurus ICT)
Rajah 2 : Carta Pelaporan Insiden Keselamatan ICT MinDef
-
8/17/2019 Dasar Keselamatan ICT MINDEF v 4.0
21/91
DASARKESELAMATAN ICT
MINDEF
VERSI 4.0
TARIKH KUATKUASA 30 OGOS 2013
MUKA SURAT 20/91
BIDANG 3 : PENGURUSAN ASET
Objektif
Menetap dan melaksanakan tindakan bersesuaian bagi melindungi semua aset ICT
MinDef.
Bil Perkara Tanggungjawab
3.1 Tanggungjawab Ke Atas Aset ICT
3.1.1 Memastikan semua aset ICT kerajaan diberi kawalan
dan perlindungan yang sewajarnya oleh pemilik
berdaftar dan pengurus aset.
Pentadbir
Sistem dan
Pengguna
3.1.2 Tanggungjawab yang perlu dipatuhi adalah termasuk
perkara-perkara berikut :
(a) Memastikan semua aset ICT dikenal pasti dan
maklumat aset direkod dan dikemaskini dalam
Borang Daftar Harta Modal;
(b) Memastikan semua aset ICT mempunyai
pemilik dan dikendalikan oleh pengguna yang
dibenarkan sahaja;
(c) Setiap pengguna adalah bertanggungjawab ke
atas semua aset ICT di bawah kawalannya; dan
(d) Peraturan bagi pengendalian aset hendaklah
dikenal pasti, didokumen dan dilaksanakan.
Pentadbir
Sistem dan
Pengguna
3.2 Pengelasan Maklumat
3.2.1 Memastikan setiap maklumat diberi perlindungan yang
bersesuaian berdasarkan tahap kerahsiaan.
Pengguna
3.2.2 Maklumat hendaklah dikelas berasaskan nilai, keperluan
perundangan, tahap sensitiviti dan tahap kritikal kepada
kerajaan. Setiap maklumat yang dikelaskan mestilah
mempunyai peringkat keselamatan sebagaimana yang
ditetapkan di dalam dokumen Arahan Keselamatan
seperti berikut :
Pengguna
-
8/17/2019 Dasar Keselamatan ICT MINDEF v 4.0
22/91
DASARKESELAMATAN ICT
MINDEF
VERSI 4.0
TARIKH KUATKUASA 30 OGOS 2013
MUKA SURAT 21/91
i. Rahsia Besar;
ii. Rahsia;
iii. Sulit; dan
iv. Terhad
3.3 Pelabelan Dan Pengendalian Maklumat
3.3.1 Pelabelan dan pengendalian maklumat seperti
pewujudan, pengumpulan, pemprosesan, penyimpanan,
penghantaran, penyampaian, penukaran dan
pemusnahan hendaklah mengikut standard, prosedur,
langkah dan garis panduan keselamatan yang
ditetapkan. Prosedur pengurusan maklumat adalah
mengikut jenis-jenis pemprosesan berikut :
(a) Penyalinan (copying );
(b) Storan;
(c) Penghantaran melalui pos, faks dan e-mel;
(d) Penghantaran melalui percakapan termasuk
melalui telefon bimbit, mel suara dan mesin
menjawab telefon;
(e) Penghapusan; dan
(f) Multimedia.
Pengguna
3.3.2 Langkah-langkah keselamatan yang perlu diambil
adalah seperti berikut :
(a) Tidak mendedahkan maklumat kepada pihak
yang tidak dibenarkan;
(b) Memeriksa, menyemak maklumat dan
menentukan ia tepat dan lengkap dari semasa
ke semasa;
(c) Memastikan maklumat sedia untuk digunakan;
(d) Menjaga kerahsiaan kata laluan;
(e) Mematuhi standard, prosedur, langkah dan garis
Pengguna
-
8/17/2019 Dasar Keselamatan ICT MINDEF v 4.0
23/91
DASARKESELAMATAN ICT
MINDEF
VERSI 4.0
TARIKH KUATKUASA 30 OGOS 2013
MUKA SURAT 22/91
panduan keselamatan yang dikeluarkan dari
semasa ke semasa;
(f) Memberi perhatian kepada pengendalian
maklumat rasmi terperingkat terutama semasa
pewujudan, pengumpulan, pemprosesan,
penyimpanan, penghantaran, penyampaian,
penukaran dan pemusnahan; dan
(g) Menjaga kerahsiaan langkah-langkah
pengurusan pengendalian maklumat rasmi
keselamatan ICT dari diketahui umum.
Rajah 3 : Skim Penandaan Maklumat
Nota :-
a) AK – Arahan Khasb) BIASA - Terbuka iaitu boleh dilakukan
c) TX – Transmisi
JENIS-JENIS
PEMPROSESAN
RAHSIA
BESARRAHSIA SULIT TERHAD TERBUKA
i. Penyalinan AK AK AK BIASA BIASA
ii. Storan AK AK AK BIASA BIASA
iii. TX-Persuratan AK AK AK BIASA BIASA
iv. TX-Percakapan AK AK AK BIASA BIASA
v. Pemusnahan AK AK AK BIASA BIASA
vi. Multimedia AK AK AK BIASA BIASA
-
8/17/2019 Dasar Keselamatan ICT MINDEF v 4.0
24/91
DASARKESELAMATAN ICT
MINDEF
VERSI 4.0
TARIKH KUATKUASA 30 OGOS 2013
MUKA SURAT 23/91
BIDANG 4 : KESELAMATAN SUMBER MANUSIA
Objektif
Memastikan semua sumber manusia yang menjadi pengguna aset ICT memahami
tanggungjawab dan peranan, meningkatkan pengetahuan dalam keselamatan aset
ICT serta mematuhi terma dan syarat perkhidmatan termasuk peraturan semasa
yang berkuatkuasa.
Bil Perkara Tanggungjawab
4.1 Sebelum Perkhidmatan
Perkara-perkara yang mesti dipatuhi adalah seperti
berikut :
(a) Menyatakan dengan lengkap dan jelas peranan
dan tanggungjawab pengguna serta pembekal
yang terlibat dalam menjamin keselamatan aset
ICT sebelum, semasa dan selepas
perkhidmatan;
(b) Menjalankan tapisan keselamatan untuk
pengguna serta pembekal yang terlibat
berasaskan keperluan perundangan, peraturan
dan etika terpakai yang selaras dengan
keperluan perkhidmatan, peringkat maklumat
yang akan dicapai serta risiko yang
dijangkakan;
(c) Mematuhi semua terma dan syarat
perkhidmatan yang ditawarkan dan peraturan
semasa yang berkuatkuasa berdasarkan
perjanjian yang telah ditetapkan; dan
(d) Ketua Jabatan / Bahagian perlu memastikan
setiap kakitangan di bawah seliaannya
menandatangani ”Surat Akuan Pematuhan
DKICT MinDef ” (KEMBARAN A).
Ketua Jabatan
dan Pengguna
-
8/17/2019 Dasar Keselamatan ICT MINDEF v 4.0
25/91
DASARKESELAMATAN ICT
MINDEF
VERSI 4.0
TARIKH KUATKUASA 30 OGOS 2013
MUKA SURAT 24/91
4.2 Dalam Perkhidmatan
Perkara-perkara yang mesti dipatuhi adalah seperti
berikut :
(a) Memastikan pengguna serta pembekal yang
berkepentingan mengurus keselamatan aset
ICT berdasarkan perundangan dan peraturan
yang ditetapkan oleh MinDef;
(b) Memastikan latihan kesedaran dan yang
berkaitan mengenai pengurusan keselamatan
aset ICT diberi kepada pengguna secara
berterusan dalam melaksanakan tugas-tugas
dan tanggungjawab mereka dan sekiranya perlu
diberi kepada pembekal yang berkepentingan
dari semasa ke semasa;
(c) Memastikan adanya proses tindakan disiplin
dan / atau undang-undang ke atas pengguna
serta pembekal yang berkepentingan sekiranya
berlaku perlanggaran dengan perundangan dan
peraturan ditetapkan oleh MinDef; dan
(d) Memantapkan pengetahuan berkaitan dengan
penggunaan aset ICT bagi memastikan setiap
kemudahan ICT digunakan dengan cara dan
kaedah yang betul demi menjamin kepentingan
keselamatan ICT.
Ketua Jabatan
4.3 Bertukar Atau Tamat Perkhidmatan
Perkara-perkara yang mesti dipatuhi adalah seperti
berikut :
(a) Memastikan semua aset ICT dikembalikan
kepada MinDef mengikut peraturan dan / atau
terma perkhidmatan yang ditetapkan; dan
(b) Membatalkan atau menarik balik semua
Ketua Jabatan,
Pentadbir
Sistem dan
Pengguna
-
8/17/2019 Dasar Keselamatan ICT MINDEF v 4.0
26/91
DASARKESELAMATAN ICT
MINDEF
VERSI 4.0
TARIKH KUATKUASA 30 OGOS 2013
MUKA SURAT 25/91
kebenaran capaian ke atas maklumat dan
kemudahan proses maklumat mengikut
peraturan yang ditetapkan oleh MinDef dan /
atau terma perkhidmatan.
-
8/17/2019 Dasar Keselamatan ICT MINDEF v 4.0
27/91
DASARKESELAMATAN ICT
MINDEF
VERSI 4.0
TARIKH KUATKUASA 30 OGOS 2013
MUKA SURAT 26/91
BIDANG 5 : KESELAMATAN FIZIKAL DAN PERSEKITARAN
Objektif
Melindungi premis yang menempatkan aset ICT daripada sebarang bentuk
pencerobohan, ancaman, kerosakan serta akses yang tidak dibenarkan.
Bil. Perkara Tanggungjawab
5.1 Kawalan Kawasan
5.1.1 Kawalan kawasan adalah bertujuan untuk mengesan,
mencegah dan menghalang cubaan untuk
menceroboh ke kawasan yang menempatkan aset ICT
MinDef.
5.1.2 Perkara yang perlu dipatuhi adalah seperti berikut :
(a) Mengenalpasti kawasan keselamatan fizikal
dengan jelas. Lokasi serta keteguhan
kawasan ini hendaklah bergantung kepada
keperluan untuk melindungi aset dalam
kawasan ini dan hasil penilaian risiko;
(b) Menggunakan keselamatan perimeter
(halangan seperti dinding, pagar kawalan,
pengawal keselamatan) untuk melindungi
kawasan yang mengandungi maklumat dan
kemudahan pemprosesan maklumat;
(c) Memasang alat penggera atau kamera
(CCTV); (d) Mempamerkan papan tanda kawasan
larangan;
(e) Menghadkan jalan keluar dan masuk;
(f) Mengadakan kaunter kawalan;
(g) Mewujudkan sistem pas keselamatan;
(h) Mewujudkan perkhidmatan kawalan
keselamatan; dan
CIO, ICTSO danPentadbir Pusat
Data
-
8/17/2019 Dasar Keselamatan ICT MINDEF v 4.0
28/91
DASARKESELAMATAN ICT
MINDEF
VERSI 4.0
TARIKH KUATKUASA 30 OGOS 2013
MUKA SURAT 27/91
(i) Memastikan kawasan-kawasan penghantaran
dan pemunggahan dan juga tempat-tempat
lain dikawal dari pihak yang tidak diberi
kebenaran memasukinya.
5.2 Kawalan Masuk Dan Keluar Fizikal
5.2.1 Kawalan masuk dan keluar fizikal adalah ditakrifkan
sebagai kawalan ke atas warga MinDef dan pelawat
yang masuk dan keluar premis.
5.2.2 Perkara-perkara yang perlu dipatuhi adalah sepertiberikut :
(a) Setiap warga MinDef hendaklah memakai
atau mengenakan pas keselamatan
sepanjang waktu bertugas;
(b) Semua pas keselamatan hendaklah
diserahkan balik kepada MinDef apabila
pegawai / kakitangan berhenti atau bersara;
(c) Setiap pelawat hendaklah mendapatkan Pas
Keselamatan Pelawat di pintu kawalan utama
MinDef;
(d) Pas ini hendaklah dikembalikan semula
selepas tamat lawatan; dan
(e) Kehilangan pas mestilah dilaporkan dengan
segera mengikut tatacara yang sedangberkuatkuasa di MinDef.
Warga MinDefdan Pelawat
5.3 Kawalan Kawasan Terhad
5.3.1 Kawasan terhad ditakrifkan sebagai kawasan yang
dihadkan kemasukan kepada warga MinDef yang
tertentu sahaja. Ini dilaksanakan untuk melindungi aset
ICT yang terdapat di dalam kawasan tersebut.
Kawasan terhad MinDef adalah merujuk kepada Pusat
-
8/17/2019 Dasar Keselamatan ICT MINDEF v 4.0
29/91
DASARKESELAMATAN ICT
MINDEF
VERSI 4.0
TARIKH KUATKUASA 30 OGOS 2013
MUKA SURAT 28/91
Data dan Bilik Kawalan Keselamatan.
5.3.2 Perkara-perkara yang mesti dipatuhi adalah seperti
berikut :
(a) Menggunakan kawasan perimeter (halangan
seperti dinding, pagar kawalan, pengawal
keselamatan) untuk melindungi kawasan yang
mengandungi aset ICT;
(b) Melindungi kawasan terhad melalui kawalan
pintu masuk yang bersesuaian bagimemastikan warga MinDef yang diberi
kebenaran sahaja boleh masuk melalui pintu
ini;
(c) Merekabentuk dan melaksanakan
keselamatan fizikal di dalam pejabat, bilik dan
Pusat Data;
(d) Merekabentuk dan melaksanakan
perlindungan fizikal dari kebakaran, banjir,
letupan, kacau-bilau manusia dan sebarang
bencana disebabkan oleh kuasa Tuhan atau
perbuatan manusia; dan
(e) Melaksanakan perlindungan fizikal dan
menyediakan garis panduan untuk warga
MinDef yang bekerja di dalam kawasan
terhad.
Pentadbir PusatData
5.4 Keselamatan Peralatan ICT
5.4.1 Peralatan ICT hendaklah dijaga dan dikawal dengan
baik bagi mengelakkan dari sebarang kehilangan,
kerosakan, kecurian atau kompromi ke atas aset ICT
dan gangguan ke atas sistem penyampaian agensi.
Pegawai Aset,
Pentadbir
Sistem dan
Pengguna
5.4.2 Perkara-perkara yang mesti dipatuhi adalah seperti Pegawai Aset,
-
8/17/2019 Dasar Keselamatan ICT MINDEF v 4.0
30/91
DASARKESELAMATAN ICT
MINDEF
VERSI 4.0
TARIKH KUATKUASA 30 OGOS 2013
MUKA SURAT 29/91
berikut :
(a) Pengguna hendaklah menyemak dan
memastikan semua peralatan ICT di bawah
kawalannya berfungsi dengan baik;
(b) Pengguna bertanggungjawab sepenuhnya ke
atas peralatan ICT masing-masing dan tidak
dibenarkan membuat sebarang pertukaran
perkakasan dan konfigurasi yang telah
ditetapkan;
(c) Pengguna dilarang sama sekali menambah,
menanggal atau mengganti sebarang
peralatan ICT yang telah ditetapkan atau
memindah kedudukan peralatan ICT yang
dipasang;
(d) Semua peralatan ICT hendaklah ditempatkan
dengan teratur di tempat yang dilengkapi
dengan ciri-ciri keselamatan;
(e) Pengguna adalah bertanggungjawab atas
kerosakan dan kehilangan peralatan ICT di
bawah kawalan;
(f) Pengguna mesti memastikan peralatan ICT
dilengkapi dengan perisian antivirus dan
dikemaskini serta melakukan imbasan ke atas
media storan yang digunakan;
(g) Penggunaan kata laluan untuk akses ke
sistem komputer adalah diwajibkan;
(h) Semua peralatan sokongan ICT hendaklah
dilindungi daripada kecurian, kerosakan,
penyalahgunaan atau pengubahsuaian tanpa
kebenaran;
(i) Sebarang kerosakan peralatan ICT hendaklah
Pentadbir
Sistem danPengguna
-
8/17/2019 Dasar Keselamatan ICT MINDEF v 4.0
31/91
DASARKESELAMATAN ICT
MINDEF
VERSI 4.0
TARIKH KUATKUASA 30 OGOS 2013
MUKA SURAT 30/91
dilaporkan kepada Pentadbir Sistem ICT untuk
dibaik pulih;
(j) Peralatan ICT yang hilang hendaklah
dilaporkan kepada ICTSO seperti yang
ditetapkan mengikut proses dan prosedur
yang berkuatkuasa;
(k) Sebarang bentuk penyelewengan atau salah
guna peralatan ICT hendaklah dilaporkan
kepada ICTSO;
(l) Peralatan ICT yang hendak dibawa keluar dari
premis MinDef, perlulah mendapat kelulusan
dan direkodkan bagi tujuan pemantauan
seperti yang ditetapkan mengikut proses dan
prosedur yang berkuatkuasa;
(m) Peralatan ICT kritikal seperti server, peralatan
keselamatan dan rangkaian perlu disokong
oleh Uninterruptible Power Supply (UPS);
(n) Semua peralatan ICT yang digunakan secara
berterusan mestilah diletakkan di kawasan
yang berhawa dingin dan mempunyai
pengudaraan (air ventilation) yang sesuai;
(o) Konfigurasi alamat IP tidak dibenarkan diubah
daripada alamat IP yang asal;
(p) Penggunaan peralatan ICT hendaklah bagi
urusan rasmi sahaja;
(q) Pengguna hendaklah memastikan semua
peralatan ICT dimatikan suisnya apabila
meninggalkan pejabat;
(r) Memastikan plug dicabut daripada suis utama
(main switch) bagi mengelakkan kerosakan
peralatan ICT sebelum meninggalkan pejabat
-
8/17/2019 Dasar Keselamatan ICT MINDEF v 4.0
32/91
DASARKESELAMATAN ICT
MINDEF
VERSI 4.0
TARIKH KUATKUASA 30 OGOS 2013
MUKA SURAT 31/91
jika berlaku kejadian seperti petir, kilat dan
sebagainya; dan
(s) Pengendalian peralatan ICT hendaklah
mematuhi dan merujuk kepada peraturan
semasa yang berkuatkuasa.
5.4.3 Media Storan
5.4.3.1 Media storan merupakan peralatan elektronik yang
digunakan untuk menyimpan data dan maklumat
seperti disket, kad multimedia, pemain MP3, CD, DVD,
pita magnetik, cakera keras, CD-ROM, optical disk,
removable disk (external hard disk / thumb drive / pen
drive) dan lain-lain.
5.4.3.2 Keselamatan media storan yang menyimpan maklumat
rasmi dan rahsia rasmi Kerajaan perlu diberi perhatian
khusus. Langkah-langkah pencegahan hendaklah
diambil untuk memastikan kerahsiaan, integriti dan
ketersediaan maklumat yang disimpan dalam media
storan adalah terjamin dan selamat.
Ketua Jabatan
5.4.3.3 Pengguna dilarang menyimpan maklumat terperingkat
(RAHSIA BESAR, RAHSIA, SULIT, TERHAD) di
dalam removable disk kecuali dibenarkan oleh Ketua
Jabatan.
PentadbirSistem danPengguna
5.4.3.4 Perkara yang perlu dipatuhi adalah seperti berikut :
(a) Media storan hendaklah disimpan di ruang
penyimpanan yang mempunyai ciri-ciri
keselamatan bersesuaian dengan kandungan
maklumat;
(b) Akses untuk memasuki kawasan
penyimpanan media storan hendaklah terhad
kepada pengguna yang dibenarkan sahaja;
PentadbirSistem danPengguna
-
8/17/2019 Dasar Keselamatan ICT MINDEF v 4.0
33/91
DASARKESELAMATAN ICT
MINDEF
VERSI 4.0
TARIKH KUATKUASA 30 OGOS 2013
MUKA SURAT 32/91
(c) Semua media storan perlu dikawal bagi
mencegah dari capaian yang tidak
dibenarkan, kecurian dan kemusnahan;
(d) Semua media storan yang mengandungi
maklumat terperingkat hendaklah disimpan di
dalam peti keselamatan yang mempunyai ciri-
ciri keselamatan termasuk tahan dari
dipecahkan, api, air dan medan magnet;
(e) Mewujudkan sistem pengurusan media
termasuk inventori, pergerakan, pelabelan dan
backup / restore;
(f) Peralatan ICT bagi tujuan backup hendaklah
diletakkan di tempat yang selamat;
(g) Mengadakan salinan atau penduaan (backup)
bagi tujuan keselamatan dan bagi
mengelakkan kehilangan data; dan
(h) Sebarang pelupusan hendaklah merujuk
kepada proses dan prosedur yang ditetapkan.
5.4.4 Media Perisian Dan Aplikasi
5.4.4.1 Keselamatan media perisian dan aplikasi yang
digunakan untuk dipasang di peralatan ICT perlu diberi
perhatian khusus.
Ketua Jabatan
5.4.4.2 Perkara-perkara yang perlu dipatuhi adalah seperti
berikut :
(a) Hanya perisian yang diperakui sahaja
dibenarkan bagi kegunaan MinDef;
(b) Sistem aplikasi dalaman tidak dibenarkan
didemonstrasi atau diagih kepada pihak lain
kecuali dengan kebenaran Pengurus ICT;
(c) Lesen perisian (registration code, serials, CD-
Pentadbir
Sistem
-
8/17/2019 Dasar Keselamatan ICT MINDEF v 4.0
34/91
DASARKESELAMATAN ICT
MINDEF
VERSI 4.0
TARIKH KUATKUASA 30 OGOS 2013
MUKA SURAT 33/91
keys) perlu disimpan berasingan daripada CD-
ROM, disk atau media berkaitan bagi
mengelakkan dari berlakunya kecurian atau
cetak rompak; dan
(d) Source code sesuatu sistem hendaklah
disimpan mengikut proses dan prosedur yang
ditetapkan.
5.4.5 Penyelenggaraan Peralatan ICT
5.4.5.1 Peralatan ICT hendaklah diselenggara mengikut
proses dan prosedur yang ditetapkan bagi memastikan
kerahsiaan, integriti dan ketersediaan.
Pengurus ICT
5.4.5.2 Langkah-langkah keselamatan yang perlu diambil
adalah seperti berikut :
(a) Melaksanakan selenggaraan berdasarkan
spesifikasi pengeluar;
(b) Memastikan peralatan ICT hanya
diselenggara oleh pihak yang dibenarkan
sahaja;
(c) Menyemak dan menguji semua peralatan ICT
sebelum dan selepas proses
penyelenggaraan mengikut prosedur yang
ditetapkan; dan
(d) Memaklumkan pihak pengguna sebelum
melaksanakan penyelenggaraan.
Pentadbir
Sistem dan
Pengguna
5.4.6 Peminjaman Peralatan ICT Bagi Kegunaan Di Luar Pejabat
5.4.6.1 Peminjaman peralatan ICT bagi kegunaan di luar
pejabat hendaklah mengikut proses dan prosedur yang
telah ditetapkan bagi memastikan kerahsiaan, integriti
dan ketersediaan.
Pengurus ICT
5.4.6.2 Langkah-langkah yang perlu diambil adalah seperti Pentadbir
-
8/17/2019 Dasar Keselamatan ICT MINDEF v 4.0
35/91
DASARKESELAMATAN ICT
MINDEF
VERSI 4.0
TARIKH KUATKUASA 30 OGOS 2013
MUKA SURAT 34/91
berikut :
(a) Mendapatkan kelulusan mengikut peraturan
yang telah ditetapkan oleh MinDef bagi
membawa keluar peralatan ICT, tertakluk
kepada tujuan yang dibenarkan;
(b) Melindungi dan mengawal peralatan ICT
sepanjang masa;
(c) Merekod aktiviti peminjaman dan pemulangan
peralatan ICT; dan
(d) Menyemak peralatan yang dipulangkan
berada dalam keadaan baik.
Sistem dan
Pengguna
5.4.7 Pengendalian Peralatan ICT Luar Yang Dibawa Masuk Dan Keluar
5.4.7.1 Peralatan ICT yang dibawa masuk dari luar bagi
tujuan tertentu dan dibawa keluar selepas proses
berkenaan selesai hendaklah dipantau bagi
memastikan tidak berlaku sebarang kebocoran
maklumat.
Pengurus ICT
5.4.7.2 Langkah keselamatan yang perlu diambil adalah
seperti berikut :
(a) Mendapatkan kelulusan mengikut peraturan
yang telah ditetapkan; dan
(b) Memeriksa peralatan yang dibawa keluar bagi
mengelak sebarang ketirisan maklumat.
Pentadbir
Sistem dan
Pengguna
5.4.8 Pelupusan Peralatan ICT
5.4.8.1 Semua peralatan ICT yang telah rosak, usang dan
tidak ekonomi untuk dibaiki hendaklah dilupuskan
mengikut prosedur pelupusan yang ditetapkan.
Pengurus ICT
dan Pegawai
Aset
5.4.8.2 Perkara-perkara yang perlu dipatuhi adalah sepertiberikut:
(a) Semua kandungan peralatan ICT hendaklah
Pegawai Aset,
Pentadbir
Sistem dan
Pengguna
-
8/17/2019 Dasar Keselamatan ICT MINDEF v 4.0
36/91
DASARKESELAMATAN ICT
MINDEF
VERSI 4.0
TARIKH KUATKUASA 30 OGOS 2013
MUKA SURAT 35/91
dihapuskan terlebih dahulu sebelum proses
pelupusan dilaksanakan;
(b) Peralatan ICT yang hendak dilupus hendaklah
disimpan di tempat yang telah dikhaskan yang
mempunyai ciri-ciri keselamatan;
(c) Pelupusan peralatan ICT hendaklah dilakukan
mengikut tatacara pelupusan semasa yang
berkuatkuasa di MinDef; dan
(d) Pengguna adalah DILARANG SAMA SEKALI
daripada melakukan perkara-perkara seperti
berikut :
i. Mengambil mana-mana peralatan ICT
seperti CPU atau komponen peralatan
ICT seperti RAM dan cakera keras
yang hendak dilupuskan untuk milik
peribadi; dan
ii. Melupuskan sendiri peralatan ICT
kerana kerja-kerja pelupusan di bawah
tanggungjawab MinDef.
5.5 Keselamatan Persekitaran
Keselamatan persekitaran bertujuan untuk melindungi
aset ICT MinDef dari sebarang bentuk ancaman
persekitaran yang disebabkan oleh bencana alam,
kesilapan, kecuaian atau kemalangan.
5.6 Kawalan Persekitaran
5.6.1 Kawalan persekitaran bertujuan untuk menghindarkan
kerosakan dan gangguan terhadap premis dan aset
ICT. Semua cadangan perolehan dan pengubahsuaian
hendaklah dirujuk terlebih dahulu kepada Pejabat
Ketua Pegawai Keselamatan Kerajaan (CGSO).
Ketua Jabatan
-
8/17/2019 Dasar Keselamatan ICT MINDEF v 4.0
37/91
DASARKESELAMATAN ICT
MINDEF
VERSI 4.0
TARIKH KUATKUASA 30 OGOS 2013
MUKA SURAT 36/91
5.6.2 Perkara yang perlu dipatuhi adalah seperti berikut :
(a) Merancang dan menyediakan pelan
keseluruhan Pusat Data (ruang percetakan,
peralatan komputer dan ruang atur pejabat);
(b) Melengkapi semua ruang pejabat khususnya
kawasan yang mempunyai kemudahan ICT
dengan perlindungan keselamatan yang
mencukupi dan dibenarkan seperti alat
pencegah kebakaran dan pintu kecemasan;
(c) Memasang peralatan perlindungan di tempat
yang bersesuaian, mudah dikenali dan
dikendalikan;
(d) Menyimpan bahan mudah terbakar di luar
kawasan penyimpanan aset ICT;
(e) Meletakkan semua bahan cecair di tempat
yang bersesuaian dan berjauhan dari aset
ICT;
(f) Pengguna adalah dilarang merokok atau
menggunakan peralatan memasak seperti
cerek elektrik berhampiran peralatan
komputer;
(g) Menyemak dan menguji semua peralatan
perlindungan mengikut tatacara dan jadual
yang ditetapkan. Aktiviti dan keputusan ujian
ini perlu direkodkan bagi memudahkan
rujukan dan tindakan sekiranya perlu; dan
(h) Memastikan suhu premis mengikut spesifikasi
yang ditetapkan.
Pentadbir PusatData dan
Pengguna
-
8/17/2019 Dasar Keselamatan ICT MINDEF v 4.0
38/91
DASARKESELAMATAN ICT
MINDEF
VERSI 4.0
TARIKH KUATKUASA 30 OGOS 2013
MUKA SURAT 37/91
5.7 Bekalan Kuasa
5.7.1 Bekalan kuasa merupakan punca kuasa elektrik yang
dibekalkan kepada peralatan ICT.
5.7.2 Perkara yang perlu dipatuhi bagi menjamin
keselamatan bekalan kuasa adalah seperti berikut :
(a) Melindungi semua peralatan ICT dari
kegagalan bekalan elektrik dengan
menyalurkan bekalan yang sesuai kepada
peralatan ICT;(b) Menggunakan peralatan sokongan seperti
Uninterruptible Power Supply (UPS) dan
janakuasa ( power generator ) bagi
perkhidmatan kritikal seperti di Pusat Data
supaya mendapat bekalan kuasa berterusan;
dan
(c) Menyemak dan menguji semua peralatan
sokongan bekalan kuasa secara berjadual.
Pengurus ICT
5.8 Keselamatan Kabel
5.8.1 Kabel elektrik dan kabel rangkaian hendaklah
dilindungi daripada gangguan dan kerosakan.
5.8.2 Langkah-langkah keselamatan yang perlu diambil
adalah seperti berikut :
(a) Menggunakan kabel yang mengikut spesifikasiyang telah ditetapkan;
(b) Melindungi kabel daripada kerosakan yang
disengajakan atau tidak disengajakan;
(c) Melindungi laluan pemasangan kabel
sepenuhnya seperti menggunakan conduit
atau trunking mengikut spesifikasi yang
ditetapkan bagi mengelakkan ancaman
Pengurus ICT
-
8/17/2019 Dasar Keselamatan ICT MINDEF v 4.0
39/91
DASARKESELAMATAN ICT
MINDEF
VERSI 4.0
TARIKH KUATKUASA 30 OGOS 2013
MUKA SURAT 38/91
kerosakan dan wire tapping ; dan
(d) Membuat pelabelan kabel mengikut spesifikasi
dan prosedur yang ditetapkan.
5.9 Prosedur Kecemasan
5.9.1 Prosedur kecemasan merupakan langkah proaktif
dalam usaha persediaan menghadapi fenomena-
fenomena seperti kebakaran, kemalangan,
kecederaan dan bencana alam untuk melindungi
warga MinDef dan pelawat dengan serta-merta.
Pegawai
Keselamatan
Jabatan /
Bahagian
5.9.2 Perkara yang perlu dipatuhi adalah seperti berikut :
(a) Pengguna hendaklah mematuhi prosedur
kecemasan yang ditetapkan oleh Pegawai
Keselamatan MinDef;
(b) Melaporkan insiden kecemasan persekitaran
seperti kebakaran kepada Pegawai
Keselamatan MinDef;
(c) Mengadakan, menguji dan mengemaskini
pelan kecemasan dari semasa ke semasa;
dan
(d) Mengadakan latihan fire drill mengikut jadual.
Pegawai
Keselamatan
Jabatan /
Bahagian dan
Warga MinDef
5.10 Keselamatan Dokumen
Pengurusan dokumen yang melibatkan pewujudan,
penyimpanan, pergerakan dan pelupusan hendaklah
mengikut Arahan Keselamatan 1972, Arahan Amalan
(Jadual Pelupusan Rekod) dan tatacara Jabatan Arkib
Negara serta proses dan prosedur yang berkuatkuasa.
Warga MinDef
-
8/17/2019 Dasar Keselamatan ICT MINDEF v 4.0
40/91
DASARKESELAMATAN ICT
MINDEF
VERSI 4.0
TARIKH KUATKUASA 30 OGOS 2013
MUKA SURAT 39/91
BIDANG 6 : PENGURUSAN OPERASI DAN KOMUNIKASI
ObjektifMemastikan operasi dan komunikasi berfungsi dengan baik dan selamat daripada
sebarang ancaman atau gangguan.
Bil. Perkara Tanggungjawab
6.1 Pengendalian Prosedur Operasi
6.1.1 Pengendalian prosedur operasi perlu disediakan bagi
memastikan pengurusan operasi sistem dan
komunikasi dapat berfungsi dengan cekap dan
selamat.
ICTSO
6.1.2 Perkara-perkara yang perlu dipatuhi adalah seperti
berikut :
(a) Semua prosedur operasi hendaklah
didokumenkan dengan jelas, teratur,
dikemaskini dan sedia diguna pakai oleh
pengguna;
(b) Setiap perubahan kepada prosedur operasi
mestilah dikawal;
(c) Tugas dan tanggungjawab fungsi perlu
diasingkan bagi mengurangkan risiko
kecuaian dan penyalahgunaan aset ICT
MinDef;
(d) Kemudahan ICT untuk pembangunan,
pengujian dan operasi perlu diasingkan bagi
mengurangkan risiko capaian atau
pengubahsuaian secara tidak sah ke atas
sistem yang sedang beroperasi.
Pentadbir
Sistem
6.2 Pengurusan Penyampaian Perkhidmatan Pembekal
6.2.1 Memastikan pembekal melaksanakan perkhidmatan
mengikut perjanjian perkhidmatan serta mematuhi
Pengurus ICT
-
8/17/2019 Dasar Keselamatan ICT MINDEF v 4.0
41/91
DASARKESELAMATAN ICT
MINDEF
VERSI 4.0
TARIKH KUATKUASA 30 OGOS 2013
MUKA SURAT 40/91
sepenuhnya proses dan prosedur keselamatan yang
berkuatkuasa.
6.2.2 Perkara-perkara yang perlu dilaksanakan adalah
seperti berikut :
(a) Perkhidmatan, laporan dan rekod yang
dikemukakan oleh pembekal perlu dipantau,
disemak semula dan diaudit dari semasa ke
semasa; dan
(b) Pengurusan ke atas perubahan penyediaanperkhidmatan perlu mengambil kira tahap
kritikal sistem dan proses yang terlibat serta
penilaian semula risiko.
Pentadbir
Sistem
6.3 Perancangan Dan Penerimaan Sistem
6.3.1 Perancangan Kapasiti
6.3.1.1 Kapasiti sesuatu komponen atau sistem ICT
hendaklah dirancang, diurus dan dikawal dengan teliti
oleh pegawai yang berkenaan bagi memastikan
keperluannya adalah mencukupi dan bersesuaian
untuk pembangunan dan kegunaan sistem ICT pada
masa akan datang.
Pentadbir
Sistem
6.3.1.2 Keperluan kapasiti ini juga perlu mengambil kira ciri-ciri
keselamatan ICT bagi meminimumkan risiko seperti
gangguan pada perkhidmatan dan kerugian akibat
pengubahsuaian yang tidak dirancang.
Pentadbir
Sistem
6.3.2 Penerimaan Sistem
Semua sistem baru (termasuklah sistem yang
dikemaskini atau diubahsuai) hendaklah memenuhi
kriteria yang ditetapkan sebelum diterima atau
dipersetujui.
Pentadbir
Sistem
-
8/17/2019 Dasar Keselamatan ICT MINDEF v 4.0
42/91
DASARKESELAMATAN ICT
MINDEF
VERSI 4.0
TARIKH KUATKUASA 30 OGOS 2013
MUKA SURAT 41/91
6.4 Perlindungan Dari Malicious Dan Mobi le Code
6.4.1 Aset ICT perlu diindungi supaya tidak terdedah kepada
kerosakan yang disebabkan oleh perisian berbahaya
seperti virus, worm, trojan dan lain-lain.
Pengurus ICT
6.4.2 Perkara-perkara yang mesti dipatuhi adalah :
(a) Memasang sistem keselamatan untuk
mengesan perisian berbahaya seperti
antivirus, Intrusion Detection System (IDS)
dan Intrusion Prevention System (IPS);(b) Memasang dan menggunakan hanya perisian
yang tulen;
(c) Mengimbas semua perisian dengan antivirus
sebelum menggunakannya;
(d) Mengemaskini paten antivirus dari semasa ke
semasa;
(e) Menyemak kandungan sistem ICT secara
berkala bagi mengesan aktiviti yang tidak
normal seperti kehilangan atau kerosakan
maklumat;
(f) Menghadiri program kesedaran mengenai
ancaman perisian berbahaya dan cara
mengendalikannya dari semasa ke semasa;
(g) Memasukkan klausa tanggungan ke dalam
kontrak yang ditawarkan kepada pembekal
perisian. Klausa ini bertujuan untuk tuntutan
baik pulih sekiranya perisian tersebut
mengandungi program berbahaya;
(h) Mewujud dan melaksanakan prosedur jaminan
kualiti ke atas semua perisian yang
dibangunkan;
Pentadbir Sistem
dan Pengguna
-
8/17/2019 Dasar Keselamatan ICT MINDEF v 4.0
43/91
DASARKESELAMATAN ICT
MINDEF
VERSI 4.0
TARIKH KUATKUASA 30 OGOS 2013
MUKA SURAT 42/91
(i) Memberi amaran mengenai ancaman seperti
serangan virus terhadap keselamatan aset
ICT MinDef;
(j) Kawalan pencegahan, pengesanan dan
pemulihan untuk melindungi sistem ICT
daripada gangguan malicious code;
(k) Melaksanakan program kesedaran pengguna
yang bersesuaian; dan
(l) Penggunaan mobile code yang boleh
mendatangkan ancaman keselamatan ICT
adalah tidak dibenarkan.
6.5 Backup ( Salinan Penduaan )
6.5.1 Salinan penduaan adalah penting bagi memastikan
sistem ICT dan data dapat dipulihkan semula sekira
berlakunya bencana.
6.5.2 Perkara yang mesti dipatuhi adalah sepeti berikut :
(a) Membuat salinan penduaan ke atas semua
sistem perisian dan aplikasi mengikut jadual
yang ditetapkan atau apabila berlaku
perubahan versi;
(b) Membuat salinan penduaan ke atas data
mengikut kesesuaian operasi; dan
(c) Menguji sistem penduaan bagi memastikan
ianya dapat dimasukkan semula (restore) dan
beroperasi dengan normal.
PentadbirSistem
6.6 Pengurusan Keselamatan Rangkaian
6.6.1 Keselamatan rangkaian adalah elemen penting dalam
memastikan pengaliran maklumat lancar dan
sempurna. Infrastruktur rangkaian mestilah dikawal,
dipantau dan diurus sebaiknya daripada ancaman
Pengurus ICT
-
8/17/2019 Dasar Keselamatan ICT MINDEF v 4.0
44/91
DASARKESELAMATAN ICT
MINDEF
VERSI 4.0
TARIKH KUATKUASA 30 OGOS 2013
MUKA SURAT 43/91
kepada sistem ICT.
6.6.2 Kawalan Infrastruktur RangkaianPerkara-perkara yang mesti dipatuhi adalah :
(a) Polisi dan prosedur perlu dibangunkan dan
dilaksanakan bagi melindungi maklumat yang
berhubung kait dengan sistem rangkaian;
(b) Ciri-ciri keselamatan, tahap perkhidmatan dan
keperluan pengurusan bagi semua
perkhidmatan rangkaian perlu dikenal pasti
dan dimasukkan dalam perjanjian
perkhidmatan rangkaian sama ada
perkhidmatan berkenaan disediakan secara
dalaman atau melalui pembekal;
(c) Tanggungjawab dan fungsi operasi rangkaian
hendaklah diasingkan untuk meminimumkan
risiko capaian dan pengubahsuaian yang tidakdibenarkan;
(d) Peralatan rangkaian hendaklah diletakkan di
lokasi yang bebas dari risiko seperti banjir,
gegaran dan habuk;
(e) Capaian kepada peralatan rangkaian
hendaklah dikawal dan terhad kepada
pengguna yang dibenarkan sahaja;
(f) Peralatan keselamatan seperti firewall
hendaklah dipasang bagi memastikan hak
capaian ke atas sistem ICT dapat
dilaksanakan seperti ditetapkan;
(g) Semua trafik keluar dan masuk hendaklah
ditapis oleh peralatan keselamatan di bawah
kawalan MinDef;
PentadbirSistem
-
8/17/2019 Dasar Keselamatan ICT MINDEF v 4.0
45/91
DASARKESELAMATAN ICT
MINDEF
VERSI 4.0
TARIKH KUATKUASA 30 OGOS 2013
MUKA SURAT 44/91
(h) Semua perisian sniffer atau network analyzer
adalah dilarang dipasang pada komputer
pengguna kecuali mendapat kebenaran
ICTSO;
(i) Sebarang cubaan menceroboh dan aktiviti-
aktiviti lain yang boleh mengancam sistem dan
maklumat MinDef perlu dipantau dan dikesan
melalui pemasangan peralatan keselamatan
seperti Intrusion Detection System (IDS) dan
Intrusion Prevention System (IPS);
(j) Sebarang aktiviti yang dilarang seperti yang
termaktub di dalam PKPA Bil. 1/2003 perlu
disekat melalui pemasangan Web Content
Filtering pada Internet Gateway ;
(k) Sebarang keperluan penyambungan
rangkaian hendaklah melalui proses dan
prosedur yang ditetapkan oleh MinDef; dan
(l) Penggunaan rangkaian tanpa wayar (wireless)
LAN di MinDef hendaklah mematuhi surat
MAMPU dengan rujukan UPTM (S) 159/338/8
Jilid 30 (84) bertajuk “Langkah-langkah Untuk
Memperkukuhkan Keselamatan Rangkaian
Setempat Tanpa Wayar (Wireless Local Area
Network) di Agensi-agensi Kerajaan”.
6.7 Prosedur Pengendalian Maklumat
6.7.1 Prosedur ini bertujuan untuk mengendali, menyimpan,
memindah serta melindungi maklumat daripada
didedah tanpa kebenaran atau salah guna serta
memastikan keselamatan pertukaran maklumat
dengan entiti luar terjamin.
Pengurus ICT
-
8/17/2019 Dasar Keselamatan ICT MINDEF v 4.0
46/91
DASARKESELAMATAN ICT
MINDEF
VERSI 4.0
TARIKH KUATKUASA 30 OGOS 2013
MUKA SURAT 45/91
6.7.2 Perkara yang perlu dipatuhi adalah seperti berikut :
(a) Menghad dan menentukan capaian kepada
pengguna yang dibenarkan sahaja;
(b) Menghadkan pengedaran data untuk tujuan
rasmi dan yang dibenarkan sahaja;
(c) Polisi, prosedur dan kawalan pertukaran
maklumat yang formal perlu diwujudkan untuk
melindungi pertukaran maklumat melalui
penggunaan pelbagai jenis kemudahankomunikasi;
(d) Sebarang pertukaran maklumat di antara
MinDef dan agensi kerajaan yang lain
mestilah dikawal; dan
(e) Perjanjian perlu diwujudkan untuk pertukaran
maklumat dan perisian di antara agensi
dengan pihak luar.
PentadbirSistem
6.8 Keselamatan Sistem Dokumentasi
6.8.1 Dokumentasi sistem perlu dilindungi dari capaian yang
tidak dibenarkan. Langkah-langkah pengurusan
dokumentasi yang baik dan selamat perlu
dilaksanakan bagi memastikan integriti maklumat.
Pengurus ICT
6.8.2 Perkara yang perlu dipatuhi adalah seperti berikut :
(a) Memastikan sistem dokumentasi ataupenyimpanan maklumat adalah selamat dan
terjamin;
(b) Menggunakan tanda atau label keselamatan
seperti rahsia besar, rahsia, sulit atau terhad
pada dokumen;
(c) Mewujudkan sistem pengurusan dokumen
terperingkat bagi menerima, memproses,
PentadbirSistem
-
8/17/2019 Dasar Keselamatan ICT MINDEF v 4.0
47/91
DASARKESELAMATAN ICT
MINDEF
VERSI 4.0
TARIKH KUATKUASA 30 OGOS 2013
MUKA SURAT 46/91
menyimpan dan menghantar dokumen-
dokumen tersebut supaya ianya diuruskan
berasingan daripada dokumen-dokumen tidak
terperingkat;
(d) Penyediaan dan penghantaran dokumen
terperingkat secara elektronik hendaklah
mengikut prosedur dan peraturan yang telah
ditetapkan; dan
(e) Mengawal dan merekodkan semua aktiviti
capaian sistem dokumentasi sedia ada.
6.9 Pertukaran Maklumat
6.9.1 Pertukaran maklumat dan perisian antara MinDef dan
agensi luar hendaklah sentiasa dipastikan terjamin
selamat.
Pengurus ICT
6.9.2 Polisi Dan Prosedur Pertukaran Maklumat
Perkara-perkara yang perlu dipatuhi adalah seperti
berikut :
(a) Dasar, prosedur dan kawalan pertukaran
maklumat yang formal perlu diwujudkan untuk
melindungi pertukaran maklumat melalui
penggunaan pelbagai jenis kemudahan
komunikasi;
(b) Media yang mengandungi maklumat perlu
dilindungi daripada capaian yang tidak
dibenarkan, penyalahgunaan atau kerosakan
semasa pemindahan keluar dari MinDef; dan
(c) Maklumat yang terdapat dalam mel elektronik
perlu dilindungi sebaik-baiknya.
Pentadbir
Sistem
6.9.3 Perjanjian Pertukaran Maklumat
Perjanjian perlu diwujudkan untuk pertukaran
maklumat dan perisian di antara MinDef dengan
Pengurus ICT
-
8/17/2019 Dasar Keselamatan ICT MINDEF v 4.0
48/91
DASARKESELAMATAN ICT
MINDEF
VERSI 4.0
TARIKH KUATKUASA 30 OGOS 2013
MUKA SURAT 47/91
agensi luar.
6.10 Mel Elektronik (e-mel)
6.10.1 Maklumat yang dihantar, diterima dan disimpan
melalui mel elektronik MinDef perlu dilindungi bagi
menghindari capaian atau sebaran maklumat yang
tidak dibenarkan. Pengguna layak menerima
kemudahan perkhidmatan e-mel dengan kelulusan
dari Ketua Jabatan.
Ketua Jabatan
6.10.2 Perkara yang perlu dipatuhi adalah seperti termaktubdalam “Etika Penggunaan Internet Dan E-mel
MinDef”. Sila rujuk KEMBARAN B.
PentadbirSistem danPengguna
6.11 Telecommut ing
6.11.1 Maklumat yang diakses atau dihantar semasa
menggunakan kemudahan telecommuting hendaklah
dijamin selamat.
Pengurus ICT
6.11.2 Perkara yang perlu dipatuhi adalah :
(a) Kemudahan hanya disediakan untuk sistem
aplikasi ICT yang dibenarkan sahaja;
(b) Kebenaran secara bertulis untuk
menggunakan kemudahan hendaklah
diperolehi daripada Pentadbir Sistem;
(c) Sebarang akses daripada luar mengguna
kemudahan ini hendaklah diberi perlindungan
keselamatan yang mencukupi.
PentadbirSistem
6.12 Br ing Your Own Device (BYOD)
6.12.1 BYOD adalah peralatan mudah alih persendirian
seperti telefon pintar, tablet dan laptop yang
digunakan untuk tujuan rasmi.
-
8/17/2019 Dasar Keselamatan ICT MINDEF v 4.0
49/91
DASARKESELAMATAN ICT
MINDEF
VERSI 4.0
TARIKH KUATKUASA 30 OGOS 2013
MUKA SURAT 48/91
6.12.2 Maklumat lanjut mengenai BYOD boleh merujuk
kepada Polisi Berkaitan Br ing Your Own Device
(BYOD) seperti di KEMBARAN C.
Pengguna
6.13 Pengauditan Dan Forensik ICT
6.13.1 ICTSO hendaklah memastikan semua proses
pengauditan dan forensik ICT dijalankan bagi
menjamin keselamatan ICT sentiasa terpelihara.
ICTSO
6.13.2 Pentadbir Sistem hendaklah merekod dan
menganalisis perkara-perkara berikut :
(a) Sebarang percubaan pencerobohan kepada
sistem ICT MinDef;
(b) Serangan kod perosak (malicious code),
halangan pemberian perkhidmatan (denial of
service), spam, pemalsuan (forgery, phising ),
pencerobohan (intrusion), ancaman (threats)
dan kehilangan fizikal ( physical loss);
(c) Pengubahsuaian ciri-ciri perkakasan, perisian
atau mana-mana komponen sesebuah sistem
tanpa pengetahuan, arahan atau persetujuan
mana-mana pihak;
(d) Aktiviti melayari, menyimpan atau mengedar
bahan-bahan lucah, berunsur fitnah dan
propaganda anti kerajaan;(e) Aktiviti pewujudan perkhidmatan-perkhidmatan
yang tidak dibenarkan;
(f) Aktiviti instalasi dan penggunaan perisian yang
membebankan jalur lebar (bandwidth)
rangkaian;
(g) Aktiviti penyalahgunaan akaun e-mel; da
(h) Aktiviti penukaran alamat IP (IP address)
Pentadbir
Sistem
-
8/17/2019 Dasar Keselamatan ICT MINDEF v 4.0
50/91
DASARKESELAMATAN ICT
MINDEF
VERSI 4.0
TARIKH KUATKUASA 30 OGOS 2013
MUKA SURAT 49/91
selain daripada yang telah diperuntukkan
tanpa kebenaran Pentadbir Sistem ICT.
6.14 Jejak Audit
6.14.1 Setiap sistem mestilah mempunyai jejak audit. Jejak
audit merekod aktiviti-aktiviti yang berlaku dalam
sistem secara kronologi bagi membenarkan
pemeriksaan dan pembinaan semula dilakukan bagi
susunan dan perubahan dalam sesuatu acara.
Pengurus ICT
6.14.2 Jejak audit hendaklah mengandungi maklumat-maklumat berikut :
(a) Rekod setiap aktiviti transaksi;
(b) Maklumat jejak audit mengandungi identiti
pengguna, sumber yang digunakan,
perubahan maklumat, tarikh dan masa aktiviti,
rangkaian dan aplikasi yang digunakan;
(c) Aktiviti capaian pengguna ke atas sistem ICT
sama ada secara sah atau sebaliknya;
(d) Maklumat aktiviti sistem yang tidak normal
atau aktiviti yang tidak mempunyai ciri-ciri
keselamatan.
(e) Jejak audit hendaklah disimpan untuk tempoh
masa seperti yang disarankan oleh Arahan
Teknologi Maklumat dan Akta Arkib Negara;
(f) Pentadbir Sistem ICT hendaklah menyemak
catatan jejak audit dari semasa ke semasa
dan menyediakan laporan jika perlu. Ini akan
dapat membantu mengesan aktiviti yang tidak
normal dengan lebih awal; dan
(g) Jejak audit juga perlu dilindungi dari
kerosakan, kehilangan, penghapusan,
PentadbirSistem
-
8/17/2019 Dasar Keselamatan ICT MINDEF v 4.0
51/91
DASARKESELAMATAN ICT
MINDEF
VERSI 4.0
TARIKH KUATKUASA 30 OGOS 2013
MUKA SURAT 50/91
pemalsuan dan pengubahsuaian yang tidak
dibenarkan.
6.15 Sistem Log
6.15.1 Setiap sistem mestilah mempunyai sistem log. Sistem
log merekod aktiviti-aktiviti yang berlaku dalam sistem
secara kronologi bagi membenarkan pemeriksaan dan
pembinaan semula dilakukan bagi susunan dan
perubahan dalam sesuatu acara.
Pentadbir
Sistem
6.15.2 Pentadbir Sistem ICT hendaklah melaksanakanperkara-perkara berikut :
(a) Mewujudkan sistem log bagi merekodkan
semua aktiviti harian pengguna;
(b) Menyemak sistem log secara berkala bagi
mengesan ralat yang menyebabkan gangguan
kepada sistem dan mengambil tindakan
membaik pulih dengan segera; dan
(c) Sekiranya wujud aktiviti-aktiviti lain yang tidak
sah seperti kecurian maklumat dan
pencerobohan, Pentadbir Sistem ICT
hendaklah melaporkan kepada MinDefCERT.
PentadbirSistem
6.15.3 Pemantauan Log
Perkara-perkara yang perlu dipatuhi adalah seperti
berikut :
(a) Log Audit yang merekodkan semua aktiviti
perlu dihasilkan dan disimpan untuk tempoh
masa yang dipersetujui bagi membantu
siasatan dan memantau kawalan capaian;
(b) Prosedur untuk memantau penggunaan
kemudahan memproses maklumat perlu
diwujud dan hasilnya perlu dipantau secara
PentadbirSistem
-
8/17/2019 Dasar Keselamatan ICT MINDEF v 4.0
52/91
DASARKESELAMATAN ICT
MINDEF
VERSI 4.0
TARIKH KUATKUASA 30 OGOS 2013
MUKA SURAT 51/91
berkala;
(c) Maklumat log perlu dilindungi daripada
diubahsuai dan sebarang capaian yang tidak
dibenarkan;
(d) Aktiviti pentadbiran dan operator sistem perlu
direkodkan;
(e) Kesalahan, kesilapan dan / atau
penyalahgunaan perlu direkodkan log,
dianalisis dan diambil tindakan sewajarnya;
(f) Waktu yang berkaitan dengan sistem
pemprosesan maklumat MinDef atau domain
keselamatan perlu diselaraskan dengan satu
sumber waktu yang dipersetujui;
(g) Menyemak sistem log secara berkala bagi
mengesan ralat yang menyebabkan gangguan
kepada sistem dan mengambil tindakan
membaik pulih dengan segera; dan
(h) Sekiranya wujud aktiviti-aktiviti tidak sah
seperti kecurian maklumat dan pencerobohan
hendaklah dilaporkan kepada MinDefCERT.
-
8/17/2019 Dasar Keselamatan ICT MINDEF v 4.0
53/91
DASARKESELAMATAN ICT
MINDEF
VERSI 4.0
TARIKH KUATKUASA 30 OGOS 2013
MUKA SURAT 52/91
BIDANG 7 : KAWALAN CAPAIAN
Objektif
Melindungi maklumat dari sebarang bentuk capaian yang tidak dibenarkan.
Bil Perkara Tanggungjawab
7.1 Kawalan Capaian
7.1.1 Peraturan bagi mengawal capaian hendaklah
diwujud, didokumen dan dikaji semula berasaskan
keperluan perkhidmatan dan keselamatan. Peraturan
kawalan capaian hendaklah mengambilkira faktor
identification, authentication dan authorization.
Pengurus ICT
7.1.2 Perkara-perkara yang perlu dipatuhi adalah seperti
berikut :
(a) Kawalan capaian ke atas aset ICT
mengikut keperluan keselamatan dan
peranan pengguna;
(b) Kawalan capaian ke atas perkhidmatan
rangkaian dalaman dan luaran;
(c) Keselamatan maklumat yang dicapai
menggunakan kemudahan atau peralatan
mudah alih; dan
(d) Kawalan ke atas kemudahan pemprosesan
maklumat.
Pentadbir
Sistem
7.1.3 Capaian kepada proses dan maklumat hendaklahdikawal mengikut keperluan keselamatan dan fungsi
kerja pengguna. Setiap capaian perlu direkod,
dikemaskini dan hendaklah mematuhi dasar kawalan
capaian pengguna yang berkuatkuasa.
PentadbirSistem
7.2 Pengurusan Capaian
Pengurusan capaian adalah merujuk kepada
kawalan capaian pengguna ke atas sistem
Pengurus ICT
-
8/17/2019 Dasar Keselamatan ICT MINDEF v 4.0
54/91
DASARKESELAMATAN ICT
MINDEF
VERSI 4.0
TARIKH KUATKUASA 30 OGOS 2013
MUKA SURAT 53/91
pengoperasian, aplikasi dan maklumat melalui
rangkaian MinDef bagi memastikan bahawa sistem
maklumat MinDef dicapai oleh pengguna yang sah
dan menghalang capaian yang tidak sah.
7.2.1 Kawalan Capaian Pengguna
Perkara yang perlu dipatuhi adalah seperti berikut :
(a) Memastikan bahawa sistem maklumat
dicapai oleh pengguna yang sah dan
menghalang capaian yang tidak sah;
(b) Prosedur yang melibatkan proses
pendaftaran dan pembatalan kebenaran
capaian pengguna perlu diwujudkan dan
didokumenkan; dan
(c) Aktiviti capaian pengguna direkod dan
dikaji secara berkala. Maklumat yang
direkod termasuk identiti pengguna,
sumber yang digunakan, perubahan
maklumat, tarikh, masa, rangkaian dilalui,
aplikasi diguna dan aktiviti capaian secara
sah atau sebaliknya.
Pentadbir
Sistem
7.2.1.1 Pendaftaran Dan Pembatalan Akaun
Perkara yang perlu dipatuhi adalah seperti berikut :
(a) Akaun pengguna adalah unik dan
pengguna bertanggungjawab ke atas
akaun tersebut selepas pengesahan
penerimaan dibuat;
(b) Akaun pengguna yang diwujudkan, tahap
capaian dan sebarang perubahan ke atas
akaun dan capaian mestilah mendapat
kebenaran pihak pengurusan secara
bertulis dan direkodkan;
Ketua Jabatan,
Pengurus ICT,
Pentadbir
Sistem dan
Pengguna
-
8/17/2019 Dasar Keselamatan ICT MINDEF v 4.0
55/91
DASARKESELAMATAN ICT
MINDEF
VERSI 4.0
TARIKH KUATKUASA 30 OGOS 2013
MUKA SURAT 54/91
(c) Pemilihan akaun dan capaian pengguna
adalah tertakluk kepada peraturan jabatan
dan tindakan pembatalan /
pengubahsuaian hendaklah diambil atas
sebab seperti berikut :
i. Pengguna tidak hadir bertugas tanpa
kebenaran melebihi satu tempoh
yang ditentukan oleh Ketua Jabatan;
ii. Pengguna bercuti atau bertugas di
luar pejabat;
iii. Melebihi satu tempoh yang
ditentukan oleh Ketua Jabatan;
iv. Pengguna bertukar jawatan,
tanggungjawab dan / atau bidang
tugas;
v. Pengguna bertukar atau berpindah
Jabatan; dan
vi. Pengguna bersara atau tamat
perkhidmatan.
7.2.1.2 Hak Capaian (privi lege )
Penetapan dan penggunaan ke atas hak capaian
memerlukan kawalan dan seliaan yang ketat. Hak
capaian hendaklah sentiasa dipantau dan
dikemaskini mengikut keperluan semasa. Prosedur
yang melibatkan proses kawalan capaian perlu
diwujud dan didokumenkan.
Pengurus ICT
dan Pentadbir
Sistem
7.2.1.3 Pengurusan Kata Laluan
Pemilihan, penggunaan dan pengurusan kata laluan
sebagai laluan utama bagi mencapai maklumat dan
data dalam sistem mestilah mematuhi amalan
terbaik serta prosedur yang ditetapkan oleh MinDef
Pentadbir
Sistem dan
Pengguna
-
8/17/2019 Dasar Keselamatan ICT MINDEF v 4.0
56/91
DASARKESELAMATAN ICT
MINDEF
VERSI 4.0
TARIKH KUATKUASA 30 OGOS 2013
MUKA SURAT 55/91
seperti berikut :
(a) Dalam apa jua keadaan dan sebab, kata
laluan hendaklah dilindungi dan tidak boleh
dikongsi dengan sesiapa pun;
(b) Pengguna hendaklah menukar kata laluan
apabila disyaki berlakunya kebocoran kata
laluan atau dikompromi;
(c) Panjang kata laluan mestilah sekurang-
kurangnya lapan (8) aksara dengan
gabungan antara huruf dan nombor atau
aksara khusus;
(d) Kata laluan hendaklah diingat dan TIDAK
BOLEH dicatat, disimpan atau didedahkan
dengan apa cara sekalipun;
(e) Kata laluan sistem pengoperasian dan
screen saver hendaklah diaktifkan
terutamanya pada komputer yang terletak
di ruang guna sama;
(f) Kata laluan hendaklah tidak dipaparkan
semasa input , dalam laporan atau media
lain dan tidak boleh dikodkan di dalam
program;
(g) Kuatkuasakan pertukaran kata laluan
semasa login kali pertama atau selepas
login kali pertama atau selepas kata laluan
diset semula;
(h) Kata laluan hendaklah berlainan daripada
pengenalan identiti pengguna;
(i) Kata laluan hendaklah ditukar selepas 90
hari atau selepas tempoh masa yang
bersesuaian; dan
-
8/17/2019 Dasar Keselamatan ICT MINDEF v 4.0
57/91
DASARKESELAMATAN ICT
MINDEF
VERSI 4.0
TARIKH KUATKUASA 30 OGOS 2013
MUKA SURAT 56/91
(j) Mengelakkan penggunaan semula kata
laluan yang baru digunakan.
7.2.1.4 Polisi Clear Desk An d Clear Screen
7.2.1.4.1 Clear Desk and Clear Screen bermaksud tidak
meninggalkan bahan-bahan yang sensitif terdedah
sama ada atas meja pengguna atau di paparan skrin
apabila pengguna tidak berada di tempatnya.
Pengguna
7.2.1.4.2 Semua maklumat dalam apa jua bentuk media
hendaklah disimpan dengan teratur dan selamat bagimengelakkan kerosakan, kecurian atau kehilangan.
Pengguna
7.2.1.4.3 Perkara-perkara yang perlu dipatuhi adalah seperti
berikut :
(a) Menyimpan bahan-bahan sensitif di dalam
laci atau kabinet fail yang berkunci;
(b) Menggunakan kemudahan password
screen saver atau logout / lock apabila
meninggalkan komputer; dan
(c) Memastikan semua dokumen diambil
segera dari pencetak, pengimbas, mesin
faksimili dan mesin fotostat.
Pengguna
7.2.2 Kawalan Capaian Rangkaian
7.2.2.1 Menghalang capaian tidak sah dan tanpa kebenaran
ke atas rangkaian MinDef. Kawalan capaianperkhidmatan rangkaian hendaklah dijamin selamat
dengan :
(a) Mewujudkan segmen rangkaian yang
bersesuaian bagi membezakan had
capaian pengguna dan keperluan sistem;
(b) Mewujudkan dan menguatkuasakan
mekanisme untuk pengesahan pengguna
Pentadbir
Sistem
-
8/17/2019 Dasar Keselamatan ICT MINDEF v 4.0
58/91
DASARKESELAMATAN ICT
MINDEF
VERSI 4.0
TARIKH KUATKUASA 30 OGOS 2013
MUKA SURAT 57/91
dengan peralatan yang menepati
kesesuaian penggunaannya;
(c) Memantau dan menguatkuasakan kawalan
capaian pengguna terhadap perkhidmatan
rangkaian ICT.
(d) Mewujudkan mekanisme pengesahan yang
sesuai untuk mengawal capaian oleh
pengguna jarak jauh;
(e) Capaian fizikal dan logikal ke atas
perkakasan rangkaian bagi tujuan
mengubah konfigurasi perlulah dikawal.
7.2.2.2 Capaian Perkhidmatan Internet
(a) Capaian Internet perlu dikawal dan diurus
bagi mengelakkan gangguan sistem
rangkaian MinDef;
(b) Penggunaan Internet di MinDef hendaklah
dipantau secara berterusan oleh
Pentadbir Rangkaian bagi memastikan
penggunaannya untuk tujuan capaian yang
dibenarkan sahaja.
(c) Kaedah Content Filtering mestilah
digunakan bagi mengawal akses Internet
mengikut fungsi kerja dan pemantauan
tahap pematuhan;
(d) Pengurusan bandwidth hendaklah
digunakan untuk mengawal aktiviti
seperti video conferencing; video
streaming, chat, downloading bagi
mengawal penggunaan bandwidth
mengikut keperluan.
(e) Maklumat lanjut mengenai keselamatan
Pentadbir
Sistem
-
8/17/2019 Dasar Keselamatan ICT MINDEF v 4.0
59/91
DASARKESELAMATAN ICT
MINDEF
VERSI 4.0
TARIKH KUATKUASA 30 OGOS 2013
MUKA SURAT 58/91
Internet bolehlah merujuk kepada “Etika
Penggunaan Internet dan Emel
Kementerian Pertahanan“ seperti di
KEMBARAN B dan Pekeliling Kemajuan
Pentadbiran Awam Bilangan 1 Tahun 2003
bertajuk “Garis Panduan Mengenai
Tatacara Penggunaan Internet dan Mel
Elektronik di Agensi-agensi Kerajaan”.
7.2.3 Capaian Sistem Pengoperasian
7.2.3.1 Memastikan bahawa capaian ke atas sistem
pengoperasian dikawal dan dihadkan kepada
pengguna yang dibenarkan sahaja.
PentadbirSistem
7.2.3.2 Kaedah yang digunakan hendaklah menyokong
perkara-perkara berikut :
(a) Mengesahkan pengguna yang dibenarkan.
(b) Mewujudkan jejak audit ke atas semua
capaian sistem operasi terutama
pengguna bertaraf khas (super user );
(c) Menjana amaran (alert) sekiranya berlaku
pelanggaran ke atas peraturan
keselamatan sistem.
Pentadbir
Sistem
7.2.3.3 Perkara yang perlu dipatuhi adalah seperti berikut :
(a) Mewujudkan satu pengenalan diri yangunik untuk setiap penguna dan hanya
digunakan oleh pengguna yang berkenaan
sahaja;
(b) Melaksana sistem pengurusan kata laluan
teguh (strong password ) yang mempunyai
gabungan antara huruf dan nombor atau
aksara khusus;
Pentadbir
Sistem
-
8/17/2019 Dasar Keselamatan ICT MINDEF v 4.0
60/91
DASARKESELAMATAN ICT
MINDEF
VERSI 4.0
TARIKH KUATKUASA 30 OGOS 2013
MUKA SURAT 59/91
(c) Mengawal penggunaan utiliti yang
berkeupayaan melepasi sistem
pengoperasi;
(d) Menamatkan sesi yang tidak aktif selepas
tempoh masa yang ditetapkan; dan
(e) Hadkan tempoh masa penggunaan bagi
meningkatkan keselamatan aplikasi yang
berisiko tinggi.
7.2.4 Capaian Aplikasi Dan Maklumat
7.2.4.1 Melindungi aplikasi dan maklumat dari sebarang
bentuk capaian yang tidak dibenarkan.
7.2.4.2 Perkara-perkara yang perlu dipatuhi adalah :
(a) Pengguna hanya boleh menggunakan
aplikasi dan sistem maklumat yang
dibenarkan mengikut tahap capaian dan
keselamatan maklumat yang ditentukan;
(b) Setiap aktiviti capaian pengguna ke atas
aplikasi dan maklumat hendaklah direkod
(sistem log); dan
(c) Capaian aplikasi dan maklumat melalui
jarak jauh adalah digalakkan. Walau
bagaimanapun penggunaannya terhad
kepada perkhidmatan yang dibenarkan
sahaja.
PentadbirSistem
7.3 Capaian Jarak Jauh
7.3.1 Capaian jarak jauh adalah merujuk kepada capaian
daripada sistem rangkaian dalaman dan capaian
daripada sistem rangkaian luaran bagi lokasi luar
pejabat untuk tujuan telecommuting yang perlu
dikawal bagi memastikan keselamatan maklumat.
Pengurus ICT
-
8/17/2019 Dasar Keselamatan ICT MINDEF v 4.0
61/91
DASARKESELAMATAN ICT
MINDEF
VERSI 4.0
TARIKH KUATKUASA 30 OGOS 2013
MUKA SURAT 60/91
7.3.2 Perkara-perkara yang perlu dipatuhi adalah :
(a) Penghantaran maklumat yang
menggunakan capaian jarak jauh mestilah
menggunakan kaedah enkripsi;
(b) Lokasi bagi akses ke sistem ICT MinDef
hendaklah dipastikan selamat;
(c) Penggunaan perkhidmatan jarak jauh
hendaklah mendapat kebenaran daripada
Pengurus ICT; dan (d) Pengguna yang diberi hak adalah
bertanggungjawab sepenuhnya ke atas
penggunaan kemudahan yang diberikan.
Pentadbir
Sistem danPengguna
7.4 Peralatan Mudah Alih
7.4.1 Peralatan mudah alih merujuk kepada telef