dasar keselamatan ict mqa · 2013. 10. 21. · 0803 fail sistem ... premis komputer (contoh: bilik...

Dasar Keselamatan ICT MQA

(DKICT MQA)

AGENSI KELAYAKAN MALAYSIA (MQA) Kementerian Pengajian Tinggi

November 2012

Versi 2.0

DASAR KESELAMATAN ICT MQA

VERSI TARIKH DIKEMASKINI MUKASURAT

Versi 2.0 November 2012

Table of Contents PENGENALAN ................................................................................................................................................ 7

OBJEKTIF............................................................................................................................................ 7

PENYATAAN DASAR....................................................................................................................................... 7

SKOP .............................................................................................................................................................. 8

KAWALAN - KAWALAN .................................................................................................................................. 8

PERKARA 01 PEMBANGUNAN DAN PENYENGGARAAN DASAR KESELAMATAN ICT

0101 Dasar Keselamatan ICT ................................................................................. 11

010101 Pelaksanaan Dasar .................................................................................. 11

010102 Penyebaran Dasar ................................................................................... 11

010103 Penyenggaraan dan Pematuhan Dasar ................................................... 11

PERKARA 02 ORGANISASI KESELAMATAN

0201 Infrastruktur Organisasi Keselamatan ........................................................... 13

020101 Ketua Pegawai Eksekutif ......................................................................... 13

020102 Ketua Pegawai Maklumat (CIO) .............................................................. 13

020103 Pegawai Keselamatan ICT (ICTSO) .......................................................... 13

020104 Pengurus ICT ........................................................................................... 15

020105 Pegawai Inventori ICT ............................................................................ 15

020106 Pentadbir Rangkaian ............................................................................... 16

020107 Pentadbir Laman Web ............................................................................ 17

020108 Pentadbir Pangkalan Data ................................................................ 17

020109 Pentadbir Sistem ICT......................................................................... 18

020110 Pengguna ......................................................................................... 19

0202 Pihak Ketiga ................................................................................................. 20

020201 Keperluan Keselamatan Kontrak ICT ................................................................................ 20

PERKARA 03 KAWALAN DAN PENGELASAN ASET




0301 Akauntabiliti Aset ........................................................................................ 22

030101 Inventori Aset .................................................................................................................... 22

0302 Pengelasan dan Pengendalian Maklumat ...................................................... 22

030201 Pengelasan Maklumat ............................................................... 22

030202 Pengendalian Maklumat ......................................................................... 22

PERKARA 04 KESELAMATAN SUMBER MANUSIA

0401 Keselamatan CT Dalam Tugas Harian ............................................................ 25

040101 Tanggungjawab Keselamatan Aset ICT ...................................... 25

040102 Terma dan Syarat Perkhidmatan ............................................... 25

040103 Perakuan Akta Rahsia Rasmi ...................................................... 25

0402 Menangani Insiden Keselamatan ICT ............................................................ 25

040201 Pelaporan Insiden ................................................................................... 25

0403 Pendidikan .................................................................................................. 26

040301 Program Kesedaran Keselamatan ICT ..................................................... 26

0404 Tindakan Tatatertib ..................................................................................... 26

040401 Pelanggaran Dasar .................................................................................. 26

PERKARA 05 KESELAMATAN FIZIKAL

0501 Keselamatan Kawasan ................................................................................. 27

050101 Perimeter Keselamatan Fizikal ............................................................... 27

050102 Kawalan Keluar Masuk ............................................................................ 28

050103 Kawasan Larangan Aset ICT .................................................................... 29

0502 Keselamatan Peralatan ................................................................................ 29

050201 Perkakasan .............................................................................................. 30

050202 Dokumen................................................................................................. 30

050203 Media Storan Luaran .............................................................................. 30

050204 Kabel Rangkaian ...................................................................................... 31

050205 Penyenggaraan ....................................................................................... 31

050206 Peminjaman Perkakasan Untuk Kegunaan Di Luar Pejabat.................... 32

050207 Peralatan Di Luar Premis......................................................................... 32




050208 Pelupusan......................................................................................... 33

050209 Clear Desk dan Clear Screen .............................................................. 33

0503 Keselamatan Persekitaran ............................................................................ 34

050301 Kawalan Persekitaran ............................................................................. 34

050302 Bekalan Kuasa ......................................................................................... 34

050303 Prosedur Kecemasan .............................................................................. 35

PERKARA 06 PENGURUSAN OPERASI DAN KOMUNIKASI

0601 Pengurusan Prosedur Operasi ...................................................................... 37

060101 Pengendalian Prosedur ..................................................................................................... 37

060102 Kawalan Perubahan .......................................................................................................... 37

060103 Prosedure Pengurusan Insiden ......................................................................................... 37

0602 Perancangan dan Penerimaan Sistem ........................................................... 38

060201 Perancangan Kapasiti ........................................................................................................ 38

060202 Penerimaan Sistem ........................................................................................................... 38

0603 Perlindungan Perisian Berbahaya ................................................................. 38

060301 Perlindungan dari Perisian Berbahaya .............................................................................. 38

0604 Housekeeping .............................................................................................. 39

060401 Backup ............................................................................................................................... 39

060402 Sistem Log ......................................................................................................................... 40

0605 Pengurusan Rangkaian ................................................................................. 40

060501 Kawalan Infrastruktur Rangkaian ...................................................................................... 40

060502 Penggunaan Wireless ........................................................................................................ 41

0606 Pengurusan Media ....................................................................................... 42

060601 Penghantaran dan Pemindahan ....................................................................................... 42

060602 Prosedur Pngendalian Media ............................................................................................ 42

060603 Keselamatan Dokumentasi Sistem ................................................................................... 43

0607 Keselamatan Komunikasi ............................................................................. 43

060701 Internet ............................................................................................................................. 43

060702 Penggunaan Mel Elektronik (e-mel) ................................................................................. 44




PERKARA 07 KAWALAN CAPAIAN

0701 Dasar Kawalan Capaian ................................................................................ 47

070101 Keperluan Dasar ................................................................................................................ 47

0702 Pengurusan Capaian Pengguna ..................................................................... 47

070201 Akaun Pengguna ............................................................................................................... 47

070202 Pengurusan Kata Laluan ................................................................................................... 48

070203 Capaian Internet ............................................................................................................... 48

070204 Jejak Audit ............................................................................................... 49

0703 Kawalan Capaian Sistem dan Aplikasi ........................................................... 49

070301 Sistem Maklumat dan Aplikasi .......................................................................................... 50

0704 Peralatan Komputer Mudah Alih .................................................................. 50

070401 Penggunaan Peralatan Komputer Mudah Alih ................................................................. 50

PERKARA 08 PEMBANGUNAN DAN PENYENGGARAAN SISTEM

0801 Keselamatan Dalam Membangunkan Sistem dan Aplikasi ............................. 52

080101 Keperluan Keselamatan .................................................................................................... 52

080102 Kawalan Prosesan ............................................................................................................. 52

080103 Pengesahan Data Output .................................................................................................. 52

0802 Kriptografi ................................................................................................... 52

080201 Encryption ........................................................................................................................ 52

080202 Tandatangan Digital .......................................................................................................... 53

080203 Pengurusan Infrastruktur Kunci Awam (PKI) .................................................................... 53

0803 Fail Sistem ................................................................................................... 53

080301 Kawalan Fail Sistem........................................................................................................... 53

0804 Pembangunan dan Proses Sokongan ............................................................ 53

080401 Kawalan Perubahan .......................................................................................................... 53

080402 Pembangunan Secara Outsource ...................................................................................... 53

080403 Kawalan Perubahan Teknikal ............................................................................................ 54

PERKARA 09 PENGURUSAN KESINAMBUNGAN PERKHIDMATAN

0901 Dasar Kesinambungan Perkhidmatan ........................................................... 56




090101 Pelan Kesinambungan Perkhidmatan ............................................................................... 56

PERKARA 10 PEMATUHAN

1001 Pematuhan dan Keperluan Perundangan ...................................................... 58

100101 Pematuhan Dasar .............................................................................................................. 58

100102 Keperluan Perundangan ................................................................................................... 58

100103 Perlanggaran Dasar ........................................................................................................... 58

GLOSARI ...................................................................................................................................................... 60

SINGKATAN ..................................................................................................................................... 64

LAMPIRAN A

Keahlian Jawatankuasa Pemandu ICT (JPICT) MQA

LAMPIRAN B

Surat Akuan Pematuhan

LAMPIRAN C

Proses Kerja Pelaporan Insiden Keselamatan ICT



Versi 2.0 November 2012 1

PENGENALAN Dasar Keselamatan ICT mengandungi peraturan-peraturan yang mesti difahami dan dipatuhi dalam menggunakan aset teknologi maklumat dan komunikasi (ICT) MQA. Dasar ini juga menerangkan kepada semua pengguna di MQA mengenai tanggungjawab dan peranan mereka dalam melindungi aset ICT MQA. OBJEKTIF Dasar Keselamatan ICT MQA (DKICT MQA) diwujudkan untuk menjamin kesinambungan urusan MQA dengan meminimumkan kesan insiden keselamatan ICT. Objektif utama DKICT MQA adalah seperti berikut:

a. memastikan kelancaran operasi jabatan yang berlandaskan ICT dengan mencegah serta meminimumkan kerosakan atau kemusnahan aset ICT jabatan;

b. melindungi kepentingan pihak-pihak yang bergantung kepada sistem maklumat daripada

kesan kegagalan atau kelemahan dari segi kerahsiaan, integriti, tidak boleh disangkal, kebolehsediaan dan kesahihan;

c. meminimumkan kos penyenggaraan ICT akibat ancaman dan penyalahgunaan; d. meningkatkan tahap kesedaran keselamatan ICT kepada para kakitangan, pengguna dan

pembekal; e. memperkemaskan pengurusan risiko, mencegah penyalahgunaan atau kecurian aset ICT

jabatan; dan f. melindungi aset ICT daripada penyelewengan oleh kakitangan, pengguna dan pembekal.

PENYATAAN Keselamatan ditakrifkan sebagai keadaan yang bebas daripada ancaman dan risiko yang tidak boleh diterima. Keselamatan adalah suatu proses yang berterusan. Ia melibatkan aktiviti berkala yang mesti dilakukan dari semasa ke semasa untuk menjamin keselamatan kerana ancaman dan kelemahan sentiasa berubah. Keselamatan ICT adalah bermaksud keadaan bagi segala urusan menyedia dan membekalkan perkhidmatan yang berasaskan kepada sistem ICT berjalan secara berterusan. Terdapat empat (4) komponen asas keselamatan ICT, iaitu:

a. melindungi maklumat rahsia rasmi dan maklumat rasmi MQA dari capaian tanpa kuasa yang sah;




b. menjamin setiap maklumat adalah tepat dan sempurna;

c. memastikan ketersediaan maklumat apabila diperlukan oleh pengguna; dan

d. memastikan akses hanya kepada pengguna yang sah atau penerimaan maklumat dari sumber yang sah.

SKOP Dasar ini meliputi semua sumber atau aset ICT yang digunakan seperti maklumat (contoh: fail, dokumen, data elektronik dan manual pengguna), perisian (contoh: aplikasi dan sistem perisian), perkakasan (contoh: server, komputer peribadi, pencetak, peralatan komunikasi dan storan) dan premis komputer (contoh: bilik server, bilik hub dan stor ICT). Dasar ini adalah terpakai oleh semua pengguna di MQA termasuk kakitangan, pembekal dan pakar runding yang mengurus, menyelenggara, memproses, mencapai, memuat turun, menyedia, memuat naik, berkongsi, menyimpan dan menggunakan aset ICT MQA. KAWALAN-KAWALAN Prinsip-prinsip yang menjadi asas kepada DKICT MQA dan perlu dipatuhi adalah seperti berikut:

a. Akses atas dasar perlu mengetahui Akses terhadap penggunaan aset ICT hanya diberikan untuk tujuan spesifik dan dihadkan kepada pengguna tertentu atas dasar “perlu mengetahui” sahaja. Ini bermakna akses hanya akan diberikan sekiranya peranan atau fungsi pengguna memerlukan maklumat tersebut. Pertimbangan untuk akses adalah berdasarkan kategori maklumat seperti yang dinyatakan di dalam dokumen Arahan Keselamatan perenggan 53, muka surat 15;

b. Hak akses minimum Hak akses pengguna hanya diberi pada tahap set yang paling minimum iaitu untuk membaca dan/atau melihat sahaja. Kelulusan adalah perlu untuk membolehkan pengguna mewujud, menyimpan, mengemas kini, mengubah atau menghapus sesuatu maklumat. Hak akses adalah dikaji dari semasa ke semasa berdasarkan kepada peranan dan tanggungjawab pengguna/bidang tugas;

c. Akauntabiliti Semua pengguna adalah bertanggungjawab ke atas semua tindakannya terhadap aset ICT MQA;

d. Pengasingan Tugas mewujud, menghapus, mengemas kini, mengubah dan mengesahkan data perlu diasingkan bagi mengelakkan daripada capaian yang tidak dibenarkan (unauthorized access) serta melindungi aset ICT daripada kesilapan, kebocoran maklumat terperingkat atau dimanipulasi. Pengasingan juga merangkumi tindakan memisahkan antara kumpulan operasi dan rangkaian;




e. Pengauditan Pengauditan adalah tindakan untuk mengenal pasti insiden berkaitan keselamatan atau mengenal pasti keadaan yang mengancam keselamatan. Ia membabitkan pemeliharaan semua rekod berkaitan tindakan keselamatan. Dengan itu, aset ICT seperti komputer, server, router, firewall dan rangkaian hendaklah ditentukan dapat menjana dan menyimpan log tindakan keselamatan atau jejak audit (audit trail);

f. Pematuhan DKICT MQA hendaklah dibaca, difahami dan dipatuhi bagi mengelakkan sebarang bentuk pelanggaran ke atasnya yang boleh membawa ancaman kepada keselamatan ICT;

g. Pemulihan Pemulihan sistem amat perlu untuk memastikan kebolehsediaan dan kebolehcapaian bagi meminimumkan sebarang gangguan atau kerugian akibat daripada ketidaksediaan dan ketidakbolehcapaian. Pemulihan boleh dilakukan melalui aktiviti backup (penduaan) dan mewujudkan pelan pemulihan bencana (disaster recovery) / kesinambungan perkhidmatan (business continuity); dan

h. Saling Bergantungan Setiap prinsip di atas adalah saling lengkap-melengkapi dan bergantung antara satu sama lain. Dengan itu, tindakan mempelbagaikan pendekatan dalam menyusun dan mencorakkan sebanyak mungkin mekanisme keselamatan adalah perlu bagi menjamin tahap keselamatan yang maksimum.

dasar keselamatan ict mqa · 2013. 10. 21. · 0803 fail sistem ... premis komputer (contoh: bilik...

Documents