dasar keselamatan ict sppdasar keselamatan ict spp dkict spp versi 2.0 tarikh kuatkuasa: 27 mei 2015...

DASAR KESELAMATAN ICT SPP

DKICT SPP Versi 2.0 Tarikh Kuatkuasa: 27 Mei 2015 Muka Surat: ii

SEJARAH DOKUMEN

TARIKH NO.VERSI/

PINDAAN PERKARA

TARIKH

KUATKUASA

1 April 2015 2.0 Dasar Keselamatan ICT 27 Mei 2015


DKICT SPP Versi 2.0 Tarikh Kuatkuasa: 27 Mei 2015 Muka Surat: iii

TERMA DAN TAFSIRAN

Antivirus Perisian yang mengimbas virus pada media storan seperti

cakera padat, pita magnetik, optical disk, flash disk,

CDROM, thumb drive untuk sebarang kemungkinan adanya

virus.

Ancaman Apa sahaja kejadian yang berpotensi atau tindakan yang

boleh menyebabkan berlakunya kemusnahan atau

musibah.

Aset ICT Data, maklumat, perkakasan, perisian, aplikasi, dokumentasi

dan sumber manusia serta premis berkaitan dengan ICT

yang berada di bawah tanggungjawab SPP.

Backup Proses penduaan data, maklumat, perisian sistem dan

aplikasi.

Dokumen Semua himpunan atau kumpulan bahan yang disimpan

dalam bentuk media cetak, salinan lembut (soft copy),

elektronik, dalam talian, kertas lutsinar, risalah atau slaid.

Firewall Perkakasan atau perisian atau kombinasi kedua-duanya

yang direka bentuk untuk menghalang capaian pengguna

yang tidak berkenaan kepada atau daripada rangkaian

dalaman.

Insiden

Keselamatan

Musibah (adverse event) yang berlaku ke atas sistem

maklumat dan komunikasi atau ancaman kemungkinan

berlakunya kejadian tersebut.

ICT Teknologi Maklumat dan Komunikasi (Information and

Communication Technology)

ICTSO Pegawai Keselamatan ICT (Information and Communication

Technology Security Officer)

Integriti Data dan maklumat hendaklah tepat, lengkap dan

kemaskini. Ia hanya boleh diubah dengan cara yang

dibenarkan sahaja.

IPS Sistem Pencegah Pencerobohan (Intrusion Prevention


DKICT SPP Versi 2.0 Tarikh Kuatkuasa: 27 Mei 2015 Muka Surat: iv

System)

Ketersediaan Data dan maklumat yang boleh diakses pada bila-bila

masa.

Kerahsiaan Maklumat yang tidak boleh didedahkan sewenang-

wenangnya atau dibiarkan diakses tanpa kebenaran.

Keselamatan

Maklumat

Pemeliharaan kerahsiaan, integriti dan ketersediaan

maklumat, disamping sifat-sifat lain seperti kesahihan,

akauntabiliti dan kebolehpercayaan.

Kriptografi Penukaran data ke dalam kod rahsia untuk penghantaran

melalui rangkaian awam.

LAN Rangkaian Kawasan Setempat (Local Area Network) yang

menghubungkan peralatan komputer dalam jarak dekat.

Malicious Code Sebarang kod yang dicipta untuk merosakkan sistem atau

data, atau untuk mencegah sistem daripada digunakan

dengan cara biasa.

Media Storan Alat untuk menyimpan data dan maklumat seperti katrij,

cakera padat, cakera mudah alih, pita, cakera keras atau

thumb drive.

Pengguna Staf SPP, pembekal, pakar runding dan pihak-pihak lain

yang dibenarkan.

Penilaian Risiko Penilaian ke atas kemungkinan berlakunya bahaya atau

kerosakan atau kehilangan aset.

Pihak Ketiga Pihak yang membekalkan perkhidmatan/ pembekalan

kepada SPP.

Risiko Kemungkinan yang boleh menyebabkan bahaya,

kerosakan dan kerugian.

SOP Standard Operating Prosedur

WAN Rangkaian Kawasan Luas (Wide Area Network) adalah

rangkaian komputer jarak jauh yang menghubungkan

komputer dalam kawasan yang lebih luas.


DKICT SPP Versi 2.0 Tarikh Kuatkuasa: 27 Mei 2015 Muka Surat: 1

KANDUNGAN

PENGESAHAN DOKUMEN................................................................................... ERROR! BOOKMARK NOT DEFINED.

SEJARAH DOKUMEN ................................................................................................................................................. I

TERMA DAN TAFSIRAN ........................................................................................................................................... II

1. TUJUAN ........................................................................................................................................................... 3

2. SKOP ............................................................................................................................................................... 3

3. PRINSIP-PRINSIP ............................................................................................................................................. 5

4. PERNYATAAN DASAR ................................................................................................................................... 7

5. DASAR KESELAMATAN ................................................................................................................................. 8

5.1 DASAR KESELAMATAN ICT (DKICT) ......................................................................................................... 8

6. ORGANISASI KESELAMATAN MAKLUMAT ................................................................................................. 9

6.1 PENTADBIRAN DALAMAN .......................................................................................................................... 9

6.2 PERALATAN MUDAH ALIH DAN TELEWORKING ......................................................................................... 10

7. KESELAMATAN SUMBER MANUSIA ............................................................................................................ 11

7.1 SEBELUM PERKHIDMATAN ......................................................................................................................... 11

7.2 SEMASA PERKHIDMATAN ......................................................................................................................... 11

7.3 PENAMATAN DAN PERTUKARAN PERKHIDMATAN ..................................................................................... 12

8. PENGURUSAN ASET ...................................................................................................................................... 13

8.1 TANGGUNGJAWAB TERHADAP ASET ........................................................................................................ 13

8.2 PENGKELASAN MAKLUMAT ...................................................................................................................... 13

8.3 PENGENDALIAN MEDIA ........................................................................................................................... 14

9. KAWALAN CAPAIAN ................................................................................................................................... 15

9.1 KEPERLUAN CAPAIAN .............................................................................................................................. 15

9.2 PENGURUSAN CAPAIAN PENGGUNA ...................................................................................................... 15

9.3 TANGGUNGJAWAB PENGGUNA .............................................................................................................. 16

9.4 KAWALAN CAPAIAN SISTEM DAN APLIKASI ............................................................................................. 16

10. KRIPTOGRAFI ................................................................................................................................................. 18

10.1 KAWALAN KRIPTOGRAFI .......................................................................................................................... 18

11. KESELAMATAN FIZIKAL DAN PERSEKITARAN ............................................................................................ 19

11.1 KESELAMATAN KAWASAN ........................................................................................................................ 19

11.2 PERALATAN ............................................................................................................................................. 20

12. OPERASI KESELAMATAN .............................................................................................................................. 22

12.1 PROSEDUR OPERASI DAN TANGGUNGJAWAB ......................................................................................... 22

12.2 PERLINDUNGAN DARIPADA MALWARE .................................................................................................... 22

12.3 BACKUP .................................................................................................................................................. 23



12.4 LOG DAN PEMANTAUAN ......................................................................................................................... 23

12.5 KAWALAN OPERASI PERISIAN .................................................................................................................. 24

12.6 PENGURUSAN KELEMAHAN TEKNIKAL ....................................................................................................... 24

12.7 AUDIT KESELAMATAN MAKLUMAT ............................................................................................................ 24

13. KESELAMATAN KOMUNIKASI...................................................................................................................... 25

13.1 PENGURUSAN KESELAMATAN RANGKAIAN .............................................................................................. 25

13.2 PEMINDAHAN MAKLUMAT ....................................................................................................................... 25

14. PEROLEHAN, PEMBANGUNAN DAN PENYELENGGARAAN SISTEM ....................................................... 27

14.1 KEPERLUAN KESELAMATAN TERHADAP SISTEM MAKLUMAT ....................................................................... 27

14.2 KESELAMATAN DALAM PEMBANGUNAN DAN PROSES SOKONGAN ......................................................... 27

14.3 DATA PENGUJIAN ................................................................................................................................... 29

15. BERURUSAN DENGAN PEMBEKAL .............................................................................................................. 30

15.1 KESELAMATAN MAKLUMAT BILA BERURUSAN DENGAN PEMBEKAL ........................................................... 30

15.2 PENGURUSAN PENGHANTARAN PERKHIDMATAN PEMBEKAL .................................................................... 30

16. PENGURUSAN INSIDEN KESELAMATAN MAKLUMAT ............................................................................... 32

16.1 MENGURUS INSIDEN KESELAMATAN MAKLUMAT DAN PENAMBAHBAIKAN ................................................ 32

17. PENGURUSAN KESINAMBUNGAN .............................................................................................................. 34

17.1 KESINAMBUNGAN KESELAMATAN MAKLUMAT .......................................................................................... 34

17.2 PENDUA .................................................................................................................................................. 34

18. PEMATUHAN .................................................................................................................................................. 35

18.1 PEMATUHAN TERHADAP KEPERLUAN PERUNDANGAN DAN KONTRAK ...................................................... 35

18.2 KAJIAN SEMULA KESELAMATAN MAKLUMAT ............................................................................................ 36

LAMPIRAN A ................................................................................................................................................................ 37

LAMPIRAN B ................................................................................................................................................................ 38



1. TUJUAN

Dasar ini bertujuan menerangkan peraturan-peraturan yang mesti dibaca,

difahami dan dipatuhi dalam menggunakan aset ICT SPP.

2. SKOP

Dasar Keselamatan ICT SPP ini merangkumi perlindungan semua bentuk

maklumat kerajaan yang dimasukkan, diwujud, dimusnah, disimpan, dijana,

dicetak, diakses, diedar, dalam penghantaran, dan yang dibuat salinan

keselamatan. Ini akan dilakukan melalui pewujudan dan penguatkuasaan

sistem kawalan dan prosedur dalam pengendalian semua aset ICT:

a) Data dan Maklumat

Koleksi fakta-fakta dalam bentuk kertas atau mesej elektronik, yang

mengandungi maklumat-maklumat untuk digunakan bagi mencapai misi

dan objektif SPP. Contohnya, sistem dokumentasi, prosedur operasi, rekod-

rekod, profil-profil pelanggan, pangkalan data dan fail-fail data,

maklumat-maklumat arkib dan lain-lain;

b) Peralatan ICT

Semua aset yang digunakan untuk menyokong pemprosesan maklumat

dan kemudahan storan SPP. Contoh komputer, pelayan, peralatan

komunikasi dan sebagainya;

c) Perkhidmatan

Perkhidmatan atau sistem yang menyokong aset lain untuk melaksanakan

fungsi-fungsinya. Contoh:

i. Perkhidmatan rangkaian seperti LAN, WAN dan lain-lain;

ii. Sistem halangan akses seperti sistem kad akses; dan

iii. Perkhidmatan sokongan seperti kemudahan elektrik, penghawa

dingin, sistem pencegah kebakaran dan lain-lain.



d) Komunikasi dan Peralatan Rangkaian

e) Perisian

Program, prosedur atau peraturan yang ditulis dan dokumentasi yang

berkaitan dengan sistem pengoperasian komputer yang disimpan di

dalam sistem ICT. Contoh perisian aplikasi atau perisian sistem seperti sistem

pengoperasian, sistem pangkalan data, perisian sistem rangkaian, atau

aplikasi pejabat yang menyediakan kemudahan pemprosesan maklumat

kepada SPP;

f) Dokumentasi

Semua dokumentasi yang mengandungi maklumat berkaitan dengan

penggunaan dan pemasangan peralatan dan perisian. Ia juga meliputi

data dalam semua bentuk media seperti salinan kekal, salinan elektronik,

risalah dan presentation slides.

g) Manusia

Individu yang mempunyai pengetahuan dan kemahiran untuk

melaksanakan skop kerja harian SPP bagi mencapai misi dan objektif SPP.

Individu berkenaan merupakan aset berdasarkan kepada tugas-tugas dan

fungsi yang dilaksanakan;

h) Premis

Semua kemudahan serta premis yang digunakan untuk menempatkan

perkara (a) - (g) di atas

Setiap perkara di atas perlu diberi perlindungan rapi. Sebarang kebocoran

rahsia atau kelemahan perlindungan adalah dianggap sebagai

perlanggaran langkah-langkah keselamatan.



3. PRINSIP-PRINSIP

Prinsip-prinsip yang menjadi asas kepada Dasar Keselamatan ICT SPP adalah

selaras dengan dasar keselamatan ICT Kerajaan iaitu:

a) Akses atas dasar “perlu mengetahui"

Akses terhadap penggunaan aset ICT hanya diberikan untuk tujuan

spesifik dan dihadkan kepada pengguna tertentu atas dasar “perlu

mengetahui” sahaja. Ini bermakna akses hanya akan diberikan

sekiranya peranan atau fungsi pengguna memerlukan maklumat

tersebut. Pertimbangan untuk akses adalah berdasarkan kategori

maklumat seperti yang dinyatakan di dalam dokumen Arahan

Keselamatan pada perenggan 53, muka surat 15;

b) Hak akses minimum

Hak akses pengguna hanya diberi pada tahap set yang paling

minimum iaitu untuk membaca dan/atau melihat sahaja. Kelulusan

adalah perlu untuk membolehkan pengguna mewujud, menyimpan,

mengemas kini, mengubah atau membatalkan sesuatu maklumat. Hak

akses perlu dikaji dari semasa ke semasa berdasarkan kepada peranan

dan tanggungjawab pengguna/bidang tugas;

c) Akauntabiliti

Semua pengguna adalah bertanggungjawab ke atas semua

tindakannya terhadap aset ICT SPP;

d) Pengasingan

Tugas mewujud, memadam, kemas kini, mengubah dan mengesahkan

data perlu diasingkan bagi mengelakkan daripada capaian yang tidak

dibenarkan serta melindungi aset ICT daripada kesilapan, kebocoran

maklumat terperingkat atau dimanipulasi. Pengasingan juga

merangkumi tindakan memisahkan antara kumpulan operasi dan

rangkaian;

e) Pengauditan

Pengauditan adalah tindakan untuk mengenal pasti insiden berkaitan

keselamatan atau mengenal pasti keadaan yang mengancam

keselamatan. Ia membabitkan pemeliharaan semua rekod berkaitan

tindakan keselamatan. Dengan itu, aset ICT seperti komputer, pelayan,



router, firewall dan rangkaian hendaklah ditentukan dapat menjana

dan menyimpan log tindakan keselamatan atau audit trail;

f) Pematuhan

Dasar Keselamatan ICT SPP hendaklah dibaca, difahami dan dipatuhi

bagi mengelakkan sebarang bentuk pelanggaran ke atasnya yang

boleh membawa ancaman kepada keselamatan ICT;

g) Pemulihan

Pemulihan sistem amat perlu untuk memastikan kebolehsediaan dan

kebolehcapaian. Objektif utama adalah untuk meminimumkan

sebarang gangguan atau kerugian akibat daripada ketidaksediaan.

Pemulihan boleh dilakukan melalui aktiviti penduaan dan mewujudkan

pelan pemulihan bencana/kesinambungan perkhidmatan; dan

h) Saling bergantung

Setiap prinsip di atas adalah saling lengkap-melengkapi dan

bergantung antara satu sama lain. Dengan itu, tindakan

mempelbagaikan pendekatan dalam menyusun dan mencorakkan

sebanyak mungkin mekanisme keselamatan adalah perlu bagi

menjamin keselamatan yang maksimum.



4. PERNYATAAN DASAR

Keselamatan ditakrifkan sebagai keadaan yang bebas daripada risiko dan

ancaman. Pengurusan keselamatan adalah suatu proses yang berterusan. Ia

melibatkan aktiviti berkala yang mesti dilakukan dari semasa ke semasa bagi

mendepani pelbagai ancaman dan kelemahan yang boleh menganggu

gugat aspek keselamatan.

Keselamatan ICT adalah bermaksud keadaan di mana segala urusan

menyedia dan membekalkan perkhidmatan yang berasaskan kepada sistem

ICT berjalan secara berterusan tanpa gangguan yang boleh menjejaskan

keselamatan. Keselamatan ICT berkait rapat dengan perlindungan aset ICT.

Dasar Keselamatan ICT SPP merangkumi perlindungan kerahsiaan, integriti

dan kebolehsediaan ke atas semua bentuk maklumat.

a) Maklumat hendaklah dilindungi daripada pihak lain yang tidak diberi kuasa

menggunakan maklumat;

b) Maklumat hendaklah sentiasa tepat, lengkap dan terkini semasa ianya

diproses; dan

c) Maklumat hendaklah sentiasa tersedia jika diperlukan oleh pihak lain yang

diberi kuasa mencapai maklumat tersebut.

Selain dari itu, langkah-langkah ke arah menjamin keselamatan ICT hendaklah

bersandarkan kepada penilaian yang bersesuaian dengan perubahan

semasa terhadap kelemahan semula jadi aset ICT; ancaman yang wujud

akibat daripada kelemahan tersebut; risiko yang mungkin timbul; dan

langkah-langkah pencegahan sesuai yang boleh diambil untuk menangani

risiko berkenaan.



5. DASAR KESELAMATAN

5.1 Dasar Keselamatan ICT (DKICT)

Objektif: Menyediakan hala tuju dan sokongan pihak pengurusan

terhadap keselamatan maklumat selaras dengan keperluan SPP dan

perundangan serta peraturan-peraturan yang berkaitan.

5.1.1 Dasar Keselamatan

Mewujud, menerbit dan menyebarkan Dasar Keselamatan ICT

SPP kepada pihak-pihak yang berkaitan hendaklah mendapat

kelulusan Pengurusan SPP.

5.1.2 Kajian semula

Kajian semula DKICT SPP adalah tertakluk kepada semakan dan

pindaan sekurang-kurangnya sekali setiap dua (2) tahun atau

bila-bila masa tertakluk kepada keperluan SPP bagi memastikan

ianya bersesuaian, bertepatan dan efektif.



6. ORGANISASI KESELAMATAN MAKLUMAT

6.1 Pentadbiran Dalaman

Objektif: Mewujudkan pengurusan keselamatan maklumat dalam

organisasi.

6.1.1 Peranan dan Tanggungjawab

Berikut adalah peranan dan tanggungjawab terhadap

keselamatan maklumat di SPP.

Bil. Nama Peranan dan Tanggungjawab

1. Setiusaha SPP Pegawai yang bertanggungjawab

terhadap perancangan dan hala tuju

Keselamatan Maklumat SPP.

2. CIO (Chief Information

Officer)

Ketua Pegawai Maklumat yang

bertanggungjawab untuk merancang

pelan tindakan kawalan ICT dan sistem

maklumat bagi menyokong arah tuju

sesebuah organisasi

3. Pengurus ICT Pegawai yang bertanggungjawab

menyelaras, mengurus dan memantau

kawalan Keselamatan Maklumat.

4. ICTSO (ICT Security

Officer)

Pegawai yang bertanggungjawab untuk

melaksana dan menguatkuasa program-

program Keselamatan Maklumat.

5. Jawatankuasa

Keselamatan Pejabat

Jawatankuasa yang bertanggungjawab

untuk menyelaraskan pelaksanaan

kawalan Keselamatan Perlindungan serta

menyelesaikan isu-isu yang berbangkit

dalam melaksanakan kawalan

Keselamatan Perlindungan di SPP.

6. Jawatankuasa ISMS Jawatankuasa yang bertanggungjawab

merancang, memantau dan menyemak

pelaksanaan pensijilan ISMS di SPP.

7. Pasukan Pelaksana

ISMS

Pasukan kerja yang bertanggungjawab

untuk melaksana ISMS, menyedia kaedah

pengukuran keberkesanan kawalan ISMS

serta memantau dan menyemak semula

ISMS.

8. Pasukan Audit Dalam

ISMS

Pasukan yang bertanggungjawab

melaksanakan Audit Dalam berdasarkan

kawalan yang diperlukan dalam MS

ISO/IEC 27001:2013



6.1.2 Pengagihan tugas dan tanggungjawab secara berasingan

hendaklah dilaksanakan bagi mengurangkan peluang

pengubahsuaian tanpa kebenaran atau tidak disengajakan atau

salah guna aset SPP.

6.1.3 Memastikan direktori pihak berkuasa berkaitan sentiasa

dikemaskini.

6.1.4 Memastikan direktori kumpulan berkepentingan sentiasa

dikemaskini

6.1.5 Memastikan direktori Keselamatan maklumat hendaklah

dinyatakan dalam pengurusan projek tanpa mengira jenis projek.

6.2 Peralatan Mudah Alih dan Teleworking

Objektif: Memastikan keselamatan penggunaan peralatan mudah alih

dan aktiviti teleworking.

6.2.1 Mewujudkan peraturan keselamatan maklumat yang bersesuaian

untuk mengurus risiko akibat dari penggunaan peralatan mudah

alih selaras dengan kelulusan pihak SPP.

6.2.2 Mewujudkan peraturan keselamatan maklumat yang bersesuaian

untuk mengurus risiko akibat dari pelaksanaan aktiviti teleworking

selaras dengan kelulusan pihak SPP.



7. KESELAMATAN SUMBER MANUSIA

7.1 Sebelum Perkhidmatan

Objektif: Memastikan staf SPP dan pihak ketiga memahami peranan

dan tanggungjawab mereka masing-masing sebagaimana yang telah

ditetapkan.

7.1.1 Tapisan Keselamatan

Memastikan semua pihak yang berkaitan sebelum memulakan

perkhidmatan telah melalui tapisan keselamatan selaras dengan

keperluan SPP, perundang dan peraturan yang sedang

berkuatkuasa.

7.1.2 Terma dan Syarat Perkhidmatan

Terma dan syarat perjanjian kontrak antara SPP dan pihak ketiga

hendaklah dengan jelas menyatakan peranan dan

tanggungjawab masing-masing bagi tujuan menjamin

keselamatan maklumat.

7.2 Semasa Perkhidmatan

Objektif: Memastikan staf dan pihak ketiga memahami dan

melaksanakan tanggungjawab terhadap keselamatan maklumat.

7.2.1 Tanggungjawab Pengurusan

Pihak pengurusan SPP hendaklah memastikan semua staf SPP dan

pihak ketiga melaksanakan keselamatan maklumat selaras

dengan dasar-dasar, peraturan-peraturan dan prosedur-prosedur

yang diwujudkan oleh pihak SPP.

7.2.2 Kesedaran dan Latihan Keselamatan Maklumat

Memastikan semua staf SPP dan pihak berkepentingan yang

berkaitan diberi pendedahan dan latihan mengenai



tanggungjawab dan peranan mereka terhadap dasar dan

prosedur keselamatan maklumat SPP.

7.2.3 Proses Disiplin

Memastikan proses disiplin dilaksanakan terhadap mana-mana

staf SPP yang melanggar dasar, peraturan-peraturan dan

prosedur keselamatan maklumat yang sedang berkuatkuasa.

7.3 Penamatan dan Pertukaran Perkhidmatan

7.3.1 Peranan dan Tanggungjawab

Memastikan peranan dan tanggungjawab semua staf SPP dan

pihak ketiga dinyatakan dengan jelas apabila perkhidmatan

mereka tamat atau bertukar. Antaranya adalah:

a) Pemulangan Aset Kerajaan

b) Pembatalan Hak Capaian Pengguna



8. PENGURUSAN ASET

8.1 Tanggungjawab Terhadap Aset

8.1.1 Inventori Aset

Semua aset berkaitan dengan maklumat dan kemudahan yang

digunakan untuk memproses maklumat hendaklah direkod ke

dalam inventori aset dan sentiasa dikemaskini.

8.1.2 Pemilikan Aset

Semua aset yang direkodkan dalam inventori aset hendaklah

mempunyai pemilikan.

8.1.3 Kebenaran Penggunaan Aset

Semua peraturan berkaitan penggunaan maklumat dan aset

yang berkaitan dengan maklumat dan kemudahan yang

digunakan untuk memproses maklumat hendaklah didokumen

dan dilaksanakan.

8.1.4 Pemulangan Aset

Semua staf SPP dan pihak ketiga hendaklah memulangkan

semua aset yang didaftarkan di bawah SPP yang di dalam

pegangan masing-masing apabila berlakunya penamatan

perkhidmatan, kontrak atau perjanjian dengan pihak SPP.

8.2 Pengkelasan Maklumat

8.2.1 Pengkelasan Maklumat

Pengkelasan maklumat hendaklah dilaksanakan selaras dengan

keperluan perundangan, nilai, tahap kritikal dan sensitif terhadap

pemberitahuan yang tidak dibenarkan atau pengubahsuaian.



8.2.2 Pelabelan Maklumat

Prosedur-prosedur yang bersesuaian hendaklah diwujud dan

dilaksanakan selaras dengan dengan pengkelasan maklumat

yang ditetapkan oleh pihak SPP.

8.2.3 Pengendalian Aset

Prosedur pengendalian aset hendaklah diwujud dan

dilaksanakan selaras dengan pengkelasan maklumat yang

ditetapkan oleh pihak SPP.

8.3 Pengendalian Media

Objektif: Melindungi maklumat didedahkan oleh pihak yang tidak

dibenarkan, mengubahsuai, pemindahan atau pemusnahan maklumat

yang terkandung di dalam media.

8.3.1 Pengurusan Media Mudah Alih

Melaksanakan prosedur pengurusan media mudah alih selaras

dengan pengkelasan yang ditetapkan oleh pihak SPP.

8.3.2 Pelupusan Media

Media hendaklah dilupuskan dengan cara selamat sekiranya ia

tidak diperlukan lagi selaras dengan peraturan dan prosedur

yang ditetapkan.

8.3.3 Fizikal Media Dalam Transit

Media yang mengandungi maklumat hendaklah di lindungi

daripada capaian yang tidak dibenarkan, salah guna atau

penyelewengan semasa di dalam transit.



9. KAWALAN CAPAIAN

9.1 Keperluan Capaian

Objektif: Menghadkan capaian terhadap maklumat dan kemudahan

pemprosesan maklumat.

9.1.1 Polisi Kawalan Capaian

Polisi kawalan capaian hendaklah diwujud, didokumen dan

disemak semula berdasarkan keperluan SPP dan keselamatan

maklumat.

9.1.2 Capaian Rangkaian Dan Perkhidmatan Rangkaian

Pengguna hanya perlu diberi kebenaran ke atas capaian

rangkaian dan perkhidmatan rangkaian selaras hak capaian

yang dibenarkan sahaja.

9.2 Pengurusan Capaian Pengguna

Objektif: Memastikan capaian terhadap sistem dan perkhidmatan

yang disediakan hanya kepada pengguna yang dibenarkan sahaja

dan menghalang capaian kepada pengguna yang tidak dibenarkan.

9.2.1 Pendaftaran dan Pembatalan

Pendaftaran dan pembatalan pendaftaran pengguna untuk

memberi kebenaran capaian hendaklah dilaksanakan mengikut

proses yang ditetapkan oleh SPP.

9.2.2 Hak Capaian

Pengguna yang diberi hak capaian untuk mendaftar dan

membatalkan hak capaian pengguna lain daripada membuat

capaian sistem dan perkhidmatannya hendaklah mendapat

kelulusan pihak pengurusan SPP.



9.2.3 Pengurusan Hak Capaian Istimewa

Hak istimewa capaian kepada pengguna yang diberikan hak

hendaklah dihadkan dan dikawal.

9.2.4 Pengurusan Kata Laluan Pengguna

Pemberian Kata Laluan kepada pengguna hendaklah dikawal

melalui proses yang ditetapkan oleh SPP.

9.2.5 Semakan Semula Hak Capaian Pengguna

Pemilik aset hendaklah menyemak semula hak capaian

penggunaan secara berkala.

9.2.6 Pembatalan Hak Capaian

Hak capaian oleh semua staf SPP dan pihak ketiga terhadap

maklumat dan kemudahan pemprosesan maklumat hendaklah

dibatalkan apabila perkhidmatan, kontrak atau perjanjian

mereka tamat atau adanya pertukaran.

9.3 Tanggungjawab Pengguna

Objektif: Memastikan pengguna bertanggungjawab untuk melindungi

Kata Laluan mereka.

9.3.1 Penggunaan Kata Laluan

Pengguna hendaklah mematuhi ketetapan penggunaan Kata

Laluan yang ditetapkan.

9.4 Kawalan Capaian Sistem Dan Aplikasi

Objektif: Menghalang capaian yang tidak dibenarkan terhadap sistem

dan aplikasi.



9.4.1 Kawalan Capaian

Capaian terhadap maklumat dan fungsi sistem aplikasi

hendaklah dikawal selaras dengan polisi kawalan capaian.

9.4.2 Prosedur Log-on Yang Selamat

Selaras dengan keperluan polisi kawalan capaian, maka capaian

terhadap sistem dan aplikasi hendaklah dikawal dengan

menggunakan prosedur log-on yang selamat.

9.4.3 Sistem Pengurusan Kata Laluan

Sistem pengurusan Kata Laluan hendaklah interaktif dan

hendaklah dipastikan ianya adalah Kata Laluan yang berkualiti.

9.4.4 Hak Penggunaan Utility Programs

Utility Programs yang berupaya mengambil alih kawalan

terhadap sistem dan aplikasi hendaklah dihadkan dan dikawal

dengan ketat.

9.4.5 Kawalan Capaian Kod Sumber

Capaian terhadap kod sumber hendaklah dihadkan kepada

pengguna yang dibenarkan sahaja.



10. KRIPTOGRAFI

10.1 Kawalan Kriptografi

Objektif: Memastikan keberkesanan penggunaan kriptografi untuk

melindungi kerahsiaan, pengesahan dan integriti data.

10.1.1 Polisi Penggunaan Kriptografi

Polisi yang menggunakan kawalan kriptografi untuk melindungi

maklumat hendaklah diwujud dan dilaksanakan mengikut

ketetapan SPP.

10.1.2 Pengurusan Kunci

Polisi terhadap penggunaan, perlindungan dan hayat kunci

kriptografi hendaklah diwujudkan dan dilaksanakan sepanjang

kitaran hayatnya.



11. KESELAMATAN FIZIKAL DAN PERSEKITARAN

11.1 Keselamatan Kawasan

Objektif: Mencegah akses fizikal yang tidak dibenarkan, kerosakan dan

ancaman kepada maklumat dan kemudahan pemprosesan maklumat.

11.1.1 Perimeter Keselamatan

Perimeter keselamatan hendaklah dikenalpasti dan digunakan

untuk melindungi kawasan-kawasan yang mengandungi

maklumat sensitif atau kritikal dan kawasan yang mengandungi

kemudahan pemprosesan.

11.1.2 Kawalan Masuk Fizikal

Melindungi kawasan larangan / kawasan keselamatan dengan

kawalan yang bersesuaian bagi memastikan yang hanya orang-

orang yang dibenarkan sahaja diberi akses.

11.1.3 Keselamatan Pejabat, Bilik Dan Kemudahan

Merekabentuk dan melaksanakan keselamatan terhadap fizikal

pejabat, bilik-bilik dan kemudahan yang disediakan.

11.1.4 Perlindungan Terhadap Ancaman Luar dan Persekitaran

Merekabentuk dan melaksanakan perlindungan fizikal dari

bencana, malicious attack atau kemalangan.

11.1.5 Bekerja Di Kawasan Keselamatan

Memastikan mereka yang bekerja/ bertugas di kawasan

keselamatan mematuhi prosedur yang ditetapkan.



11.1.6 Kawasan Penghantaran dan Pemunggahan

Mengawal laluan akses di kawasan penghantaran dan

pemunggahan serta lain-lain laluan akses untuk mengelakkan

akses yang tidak dibenarkan.

11.2 Peralatan

Objektif: Mencegah kehilangan, kecurian atau salah guna aset dan

gangguan terhadap pelaksanaan operasi.

11.2.1 Penempatan dan Perlindungan Peralatan

Menempat dan melindungi peralatan untuk mengurangkan risiko

persekitaran dan bencana serta peluang-peluang akses yang

tidak dibenarkan.

11.2.2 Kemudahan Sokongan

Melindungi peralatan daripada kegagalan bekalan kuasa dan

lain-lain gangguan yang disebabkan oleh kegagalan

kemudahan sokongan.

11.2.3 Keselamatan Kabel

Melindungi kabel elektrik dan komunikasi dari gangguan, salah

guna atau kerosakan yang boleh menjejaskan data atau

kemudahan perkhidmatan sokongan.

11.2.4 Penyelenggaraan Peralatan

Menyelenggara peralatan dengan teratur bagi memastikan

integriti dan ketersediaan yang berterusan.

11.2.5 Aset Yang Dibawa Keluar

Peralatan, maklumat atau perisian tidak dibenarkan membawa

keluar tanpa kebenaran.



11.2.6 Keselamatan Peralatan Di Luar Premis

Mengambil langkah keselamatan ke atas peralatan yang di

bawa keluar dari premis organisasi.

11.2.7 Pelupusan Atau Penggunaan Semula Aset

Menyemak semua peralatan yang mengandungi media storan

bagi memastikan data yang sensitif dan perisian berlesen

dipadamkan dengan cara selamat sebelum dilupuskan atau

untuk penggunaan semula peralatan.

11.2.8 Peralatan Tanpa Kehadiran Pengguna

Pengguna hendaklah memastikan keselamatan peralatan

terjamin sekiranya peralatan adalah tanpa kehadiran pengguna.

11.2.9 Clear Desk dan Clear Screen

Menggunapakai dasar Clear Desk untuk kertas dan media storan

mudah alih dan dasar Clear Screen untuk kemudahan

pemprosesan maklumat.



12. OPERASI KESELAMATAN

12.1 Prosedur Operasi dan Tanggungjawab

Objektif: Memastikan kemudahan pemprosesan maklumat beroperasi

dengan betul dan selamat.

12.1.1 Mendokumentasikan Prosedur Operasi

Semua prosedur operasi hendaklah didokumen dan tersedia

kepada semua pengguna yang berkaitan sekiranya diperlukan.

12.1.2 Pengurusan Perubahan

Mengawal semua perubahan termasuk proses organisasi,

kemudahan pemprosesan maklumat dan sistem yang

menjejaskan keselamatan maklumat.

12.1.3 Pengurusan Kapasiti

Memantau penggunaan sumber, melaksanakan penalaan dan

membuat unjuran bagi keperluan kapasiti masa hadapan bagi

mencapai tahap prestasi yang ditetapkan.

12.1.4 Pengasingan Persekitaran Pembangunan, Pengujian Dan

Pengoperasian

Mengasingkan persekitaran pembangunan, pengujian dan

operasi bagi mengurangkan risiko terhadap capaian yang tidak

dibenarkan atau perubahan kepada sistem yang sedang

beroperasi.

12.2 Perlindungan Daripada Malware

Objektif: Memastikan maklumat dan kemudahan pemprosesan

maklumat dilandungi daripada malware.



12.2.1 Kawalan Terhadap Malware

Melaksanakan kawalan pengesanan, pencegahan dan

pemulihan untuk melindungi dari malware dan melaksanakan

juga kesedaran pengguna yang bersesuaian.

12.3 Backup

Objektif: Melindungi data dari kehilangan.

12.3.1 Maklumat Backup

Melaksanakan backup maklumat, perisian dan system images

serta melakukan pengujian secara berkala selaras dengan

prosedur backup yang ditetapkan.

12.4 Log dan Pemantauan

Objektif: Merekod events dan penghasilan bukti.

12.4.1 Event Logging

Menghasil, menyimpan dan menyemak dari masa ke semasa

hasil event logs yang merekod semua aktiviti pengguna, pindaan

yang tidak dibenarkan dan kesilapan terhadap keselamatan

maklumat.

12.4.2 Perlindungan Terhadap Maklumat Log

Melindungi kemudahan dan maklumat log daripada dipinda dan

capaian yang tidak dibenarkan.

12.4.3 Log Pentadbir dan Operator

Memastikan aktiviti pentadbir dan operator sistem direkodkan

(logged) dan rekod ini dilindungi serta disemak dari masa ke

semasa.



12.4.4 Keseragaman Waktu

Menyeragamkan semua waktu dalam organisasi atau domain

keselamatan bagi semua sistem pemprosesan maklumat yang

berkaitan.

12.5 Kawalan Operasi Perisian

Objektif: Memastikan integriti dalam sistem operasi.

12.5.1 Pemasangan Perisian (installation of software) pada sistem operasi

Pemasangan perisian pada sistem operasi hendaklah dikawal

dan mengikut peraturan yang ditetapkan.

12.6 Pengurusan Kelemahan Teknikal

12.6.1 Pengurusan Terhadap Kelemahan Teknikal

Maklumat mengenai kelemahan teknikal terhadap sesuatu sistem

maklumat yang digunakan hendaklah direkod mengikut masa

dan tindakan diambil bagi menilai dan mengukur mengikut

kesesuaian terhadap risiko yang berkaitan dengannya.

12.6.2 Menghadkan Pemasangan Perisian (installation of software)

Peraturan terhadap pemasangan atau instalasi sesuatu perisian

hendaklah diwujudkan dan dilakasnakan mengikut ketetapan

SPP.

12.7 Audit Keselamatan Maklumat

Objektif: Meminimakan impak daripada aktiviti audit terhadap sistem

operasi



13. KESELAMATAN KOMUNIKASI

13.1 Pengurusan Keselamatan Rangkaian

Objektif: Memastikan maklumat dalam rangkaian dan kemudahan

pemprosesan maklumat dilindungi.

13.1.1 Kawalan rangkaian

Mengawal dan mengurus rangkaian untuk melindungi sistem

maklumat dan aplikasi.

13.1.2 Keselamatan Perkhidmatan Rangkaian

Mengenalpasti dan menyatakan ciri-ciri keselamatan, tahap

keselamatan dan keperluan pengurusan bagi semua

perkhidmatan rangkaian ke dalam perjanjian perkhidmatan

rangkaian.

13.1.3 Pengasingan Dalam Rangkaian

Mengasingkan capaian bagi kumpulan perkhidmatan maklumat,

pengguna dan sistem maklumat.

13.2 Pemindahan Maklumat

Objektif: Menjamin keselamatan pemindahan maklumat dalam

organisasi dan dengan mana-mana agensi luar.

13.2.1 Prosedur Pemindahan Maklumat

Pemindahan maklumat perlu dilindungi dengan mematuhi

prosedur dan kawalan yang ditetapkan.



13.2.2 Perjanjian Terhadap Pemindahan Maklumat

Keselamatan pemindahan maklumat organisasi dengan pihak

ketiga hendaklah dinyatakan dalam perjanjian bagi menjamin

keselamatan maklumat.

13.2.3 Mesej Elektronik

Maklumat yang menggunakan mesej elektronik hendaklah

dilindungi sewajarnya.

13.2.4 Perjanjian Kerahsiaan Atau Non-Disclosure

Mengenalpasti, menyemak dari masa ke semasa dan

mendokumenkan persetujuan berkaitan keperluan organisasi

melindungi kerahsiaan atau non-disclosure maklumat.



14. PEROLEHAN, PEMBANGUNAN DAN PENYELENGGARAAN SISTEM

14.1 Keperluan Keselamatan Terhadap Sistem Maklumat

Objektif: Memastikan keselamatan maklumat adalah disepadukan

dalam kitaran hayat sistem maklumat.

14.1.1 Analisis Keperluan Keselamatan Maklumat dan Spesifikasi

Mengenalpasti keperluan berkaitan keselamatan maklumat

samada dalam sistem maklumat baru atau sistem maklumat

sediada yang dipertingkatkan (enhancements).

14.1.2 Keselamatan Perkhidmatan Aplikasi Dalam Public Networks

Melindungi maklumat yang terlibat dalam perkhidmatan aplikasi

dalam rangkaian awam (public networks) daripada aktiviti

penipuan, pertikaian kontrak dan pendedahan serta

pengubahsuaian yang tidak dibenarkan.

14.1.3 Melindungi Transaksi Perkhidmatan Aplikasi

Melindungi maklumat yang terlibat dengan transaksi

perkhidmatan aplikasi bagi mengelak transmisi tidak lengkap,

salah destinasi dan pengubahsuaian, pendedahan atau

pengulangan (replay) mesej yang tidak dibenarkan.

14.2 Keselamatan Dalam Pembangunan dan Proses Sokongan

Objektif: Memastikan pembangunan dan pelaksanaan keselamatan

maklumat adalah sebahagian dari kitaran hayat pembangunan.

14.2.1 Polisi Keselamatan Pembangunan

Pembangunan perisian dan sistem hendaklah dilaksanakan

mengikut ketetapan peraturan yang telah dibangunkan oleh

pihak SPP.



14.2.2 Prosedur Kawalan Perubahan Sistem

Perubahan terhadap sistem hendaklah dikawal menggunakan

prosedur yang telah ditetapkan.

14.2.3 Kajian Teknikal Terhadap Aplikasi Selepas Melaksanakan

Perubahan Platform

Mengkaji semula dan menguji aplikasi kritikal apabila terdapat

perubahan terhadap sistem pengoperasian bagi memastikan

tiada kesan buruk terhadap operasi atau keselamatan SPP.

14.2.4 Kawalan Perubahan Pakej Perisian

Mengawal perubahan dan/ atau pindaan ke atas pakej perisian

dan sebarang perubahan adalah terhad mengikut keperluan

sahaja.

14.2.5 Secure Engineering Principles

Mewujud, mendokumen dan menyelenggara ke atas

pelaksanaan sistem maklumat.

14.2.6 Keselamatan Persekitaran Pembangunan

Mewujudkan dan mengawal persekitaran pembangunan sistem

dan usaha-usaha integrasi yang merangkumi keseluruhan kitaran

hayat.

14.2.7 Pembangunan Secara Outsourced

Menyelia dan mengawal aktiviti pembangunan sistem yang

dilaksanakan secara outsource.

14.2.8 Pengujian Keselematan Sistem

Melaksanakan pengujian fungsi keselamatan semasa

pembangunan sistem.



14.2.9 Pengujian Penerimaan Sistem

Menetapkan kriteria penerimaan dan menjalankan pengujian

bagi sistem baharu, sistem yang dipertingkatkan dan versi baharu

semasa dan sebelum penerimaan.

14.3 Data Pengujian

Objektif: Memastikan data untuk pengujian dilindungi.

14.3.1 Melindungi Data Pengujian

Memilih data ujian dengan teliti, dilindungi dan dikawal.



15. BERURUSAN DENGAN PEMBEKAL

15.1 Keselamatan Maklumat Bila Berurusan Dengan Pembekal

Objektif: Memastikan aset organisasi yang boleh dicapai oleh pembekal

dilindungi.

15.1.1 Polisi Keselamatan Maklumat Bila Berurusan Dengan Pembekal

Keperluan keselamatan maklumat bagi mengurangkan risiko

berkaitan dengan aset organisasi yang boleh dicapai oleh

pembekal hendaklah dipersetujui bersama dan didokumenkan.

15.1.2 Keperluan Keselamatan Dalam Perjanjian Dengan Pembekal

Memastikan semua keperluan keselamatan maklumat yang

berkaitan dinyatakan dengan jelas dalam semua kontrak

perjanjian yang melibatkan akses, pemprosesan, penyimpanan,

penghantaran, atau pembekalan komponen infrastruktur

teknologi maklumat kepada SPP oleh pembekal.

15.1.3 Rantaian Pembekalan Teknologi Maklumat Dan Komunikasi

Perjanjian dengan pihak pembekal hendaklah merangkumi

pernyataan risiko keselamatan maklumat berkaitan dengan

perkhidmatan ICT dan produk yang dibekalkan (supply chain).

15.2 Pengurusan Penghantaran Perkhidmatan Pembekal

Objektif: Memastikan tahap kawalan keselamatan maklumat dan

perkhidmatan penyampaian adalah selaras dengan perjanjian/ kontrak

dengan pembekal.

15.2.1 Memantau Dan Menyemak Semula Perkhidmatan Pembekal

Memantau dan menyemak semula serta audit terhadap

perkhidmatan penyampaian pembekal hendaklah dilaksanakan

secara berkala.



15.2.2 Mengurus Perubahan Terhadap Perkhidmatan Pembekal

Mengurus sebarang perubahan terhadap perkhidmatan

pembekal termasuk semua polisi, prosedur dan kawalan dengan

mengambil kira tahap kritikal maklumat SPP, sistem dan proses-

proses yang terlibat serta melaksanakan semula penilaian risiko

keselamatan.



16. PENGURUSAN INSIDEN KESELAMATAN MAKLUMAT

16.1 Mengurus Insiden Keselamatan Maklumat dan Penambahbaikan

Objektif: Memastikan pedekatan yang kosisten dan efektif digunakan

dalam pengurusan insiden keselamatan maklumat.

16.1.1 Tanggungjawab Dan Prosedur

Mewujudkan Jawatankuasa Keselamatan dan melantik ICTSO

serta mengguna pakai Surat Pekeliling Am Bilangan 4 Tahun 2006:

Pengurusan Pengendalian Insiden Keselamatan Teknologi

Maklumat dan Komunikasi (ICT) Sektor Awam bagi memastikan

tindakan insiden keselamatan dikendalikan dengan cepat,

berkesan dan teratur.

16.1.2 Pelaporan Insiden Keselamatan Maklumat

Insiden keselamatan maklumat hendaklah dilaporkan dengan

kadar segera kepada ICTSO SPP atau menggunakan sistem

HESKS.

16.1.3 Pelaporan Kelemahan Keselamatan Maklumat

Semua staf SPP dan pihak ketiga adalah dikehendaki melaporkan

insiden keselamatan kepada ICTSO atau menggunakan sistem

HESKS.

16.1.4 Penilaian Dan Keputusan Terhadap Insiden Keselamatan

Penilaian terhadap insiden keselamatan hendaklah dilaksanakan

sekiranya ia dikelasifikasikan sebagai insiden keselamatan

maklumat.

16.1.5 Tindakan Terhadap Insiden Keselamatan

Tindakan terhadap insiden keselamatan maklumat hendaklah

selaras dengan ketetapan prosedur yang digunapakai.



16.1.6 Pembelajaran Dari Insiden Keselamatan Maklumat

Pembelajaran dari analisis dan penyelesaian insiden keselamatan

maklumat hendaklah digunakan bagi mengurangkan impak

pada insiden masa hadapan.

16.1.7 Pengumpulan Bahan Bukti

Mengenalpasti, mengumpul, menyimpan, dan memelihara

maklumat yang mana boleh dijadikan bahan bukti selaras

dengan peraturan atau prosedur yang ditetapkan.



17. PENGURUSAN KESINAMBUNGAN

17.1 Kesinambungan Keselamatan Maklumat

Objektif: Kesinambungan keselamatan maklumat hendaklah

diselaraskan dengan pengurusan kesinambungan SPP.

17.1.1 Perancangan Kesinambungan Keselamatan Maklumat

Mengenalpasti keperluan keselamatan maklumat SPP dan

kesinambungan pengurusan keselamatan maklumat sekiranya

berlaku bencana atau dalam krisis.

17.1.2 Melaksanakan Kesinambungan Keselamatan Maklumat

Mewujud, mendokumen, melaksana dan menyelenggara proses-

proses, prosedur-prosedur dan kawalan-kawalan bagi

memastikan tahap keperluan kesinambungan keselamatan

maklumat semasa berlakunya gangguan atau bencana.

17.1.3 Menyemak, Mengkaji Semula Dan Menilai Kesinambungan

Keselamatan Maklumat

Kawalan-kawalan yang dibangun dan dilaksanakan di bawah

kesinambungan keselamatan maklumat hendaklah disemak,

dikaji semula secara berkala bagi memastikan ianya terkini dan

berkesan apabila berlakunya gangguan atau bencana.

17.2 Pendua

Objektif: Memastikan ketersediaan kemudahan pemprosesan

maklumat.

17.2.1 Ketersediaan Kemudahan Pemprosesan Maklumat

Kemudahan pemprosesan maklumat hendaklah mencukupi

selaras dengan keperluan yang ditetapkan.



18. PEMATUHAN

18.1 Pematuhan Terhadap Keperluan Perundangan Dan Kontrak

Objektif: Mengelak pelanggaran mana-mana undang-undang,

kewajipan berkanun, peraturan atau kontrak yang berkaitan dengan

keselamatan maklumat dan mana-mana keperluan keselamatan.

18.1.1 Mengenalpasti Keperluan Perundangan dan Kontrak

Semua keperluan perundangan, peraturan, kontrak dan

pendekatan terkini yang digunapakai oleh SPP hendaklah

dikenalpasti, didokumen dan disimpan.

18.1.2 Hak Harta Intelek (IPR)

Melaksanakan prosedur yang bersesuaian bagi memastikan

pematuhan kepada keperluan perundangan dan peraturan

dalam penggunaan bahan yang mempunyai hak harta intelek

dan penggunaan produk-produk perisian proprietary.

18.1.3 Perlindungan Rekod Organisasi

Melindungi rekod-rekod penting daripada kehilangan,

kemusnahan, pemalsuan, capaian yang tidak dibenarkan dan

hebahan yang tidak dibenarkan selaras dengan perundangan,

peraturan, kontrak dan keperluan yang ditetapkan SPP.

18.1.4 Privasi Dan Perlindungan Terhadap Maklumat

Memastikan perlindungan data dan provasi maklumat peribadi

mematuhi perundangan dan peraturan yang berkaitan.

18.1.5 Peraturan Terhadap Kawalan Kriptografi

Menggunakan kawalan kriptografi berpandukan perjanjian,

perundangan dan peraturan yang berkaitan.



18.2 Kajian Semula Keselamatan Maklumat

Objektif: Memastikan pelaksanaan dan operasi keselamatan maklumat

adalah selaras dengan dasar-dasar dan prosedur-prosedur SPP

18.2.1 Kajian Keselamatan Maklumat Oleh Pihak Ketiga

Pendekatan mengurus keselamatan maklumat dan

pelaksanaannya (seperti kawalan objektif, kawalan, dasar, proses

dan prosedur keselamatan maklumat) hendaklah di kaji oleh

pihak ketiga secara berkala atau apabila berlakunya perubahan.

18.2.2 Pematuhan Terhadap Polisi Keselamatan Dan Piawaian

Pihak pengurusan SPP hendaklah mengkaji semula pematuhan

terhadap pemprosesan maklumat dan prosedur-prosedur dalam

bidang tanggungjawab masing-masing selaras dengan dasar

keselamatan, piawaian dan lain-lain keperluan keselamatan.

18.2.3 Kajian Semula Pematuhan Teknikal

Mengkaji semula sistem maklumat secara berkala terhadap

pematuhan dasar keselamatan dan piawaian.

T A M A T



LAMPIRAN A

SURAT AKUAN PEMATUHAN

DASAR KESELAMATAN ICT

SURUHANJAYA PERKHIDMATAN PELAJARAN

Nama (Huruf Besar) : .....................................................................................

No. Kad Pengenalan : .....................................................................................

Jawatan : .....................................................................................

Unit/ Bahagian/

Jabatan

: .....................................................................................

Adalah dengan sesungguhnya dan sebenarnya mengaku bahawa:

1. Saya telah membaca, memahami dan akur akan peruntukan-peruntukan

yang terkandung di dalam Dasar Keselamatan ICT SPP; dan

2. Jika saya ingkar kepada peruntukan-peruntukan yang ditetapkan, maka

tindakan sewajarnya boleh diambil ke atas diri saya.

Tandatangan : ............................................................................................

Tarikh : ............................................................................................

Pengesahan Ketua Jabatan/ Bahagian

.........................................................................................

( )

b.p. Setiausaha

Suruhanjaya Perkhidmatan Pelajaran

Tarikh: ...................................................



LAMPIRAN B

SENARAI PERUNDANGAN DAN PERATURAN

1. Arahan Keselamatan

2. Surat Pekeliling Am Bil.2 Tahun 2000 - Peranan Jawatankuasa-

jawatankuasa di Bawah Jawatankuasa IT dan Internet Kerajaan (JITIK)

3. Pekeliling Am Bilangan 3 Tahun 2000 – Rangka Dasar Keselamatan

Teknologi Maklumat dan Komunikasi Kerajaan

4. Pekeliling Kemajuan Pentadbiran Awam Bil.1/2003 - Garis Panduan

Mengenai Tatacara Penggunaan Internet dan Mel Elektronik

5. Surat Pekeliling Am Bil.6/2005 - Garis Panduan Penilaian Risiko Keselamatan

Maklumat Sektor Awam

6. Surat Pekeliling Am Bil.4/2006 - Pengurusan Pengendalian Insiden

Keselamatan Teknologi Maklumat dan Komunikasi (ICT) Sektor Awam

7. Surat Arahan Ketua Setiausaha Negara – 20 Oktober 2006: Langkah-

langkah untuk Memperkukuhkan Keselamatan Rangkaian Setempat Tanpa

Wayer (Wireless Local Area Network) di Agensi-Agensi Kerajaan

8. Surat Arahan Ketua Pengarah MAMPU, 1 Jun 2007: Langkah-langkah

Mengenai Penggunaan Mel Elektronik di Agensi-agensi Kerajaan

9. Surat Arahan Ketua Pengarah MAMPU, 23 November 2007: Langkah-

langkah Pemantapan Pelaksanaan Sistem Mel Elektronik di Agensi-agensi

Kerajaan

10. Surat Pekeliling Am Bil.3/2009 - Garis Panduan Penilaian Tahap

Keselamatan Rangkaian dan Sistem ICT Sektor Awam

11. Surat Arahan Ketua MAMPU – 22 Januari 2010 : Pengurusan

Kesinambungan Perkhidmatan Agensi Sektor Awam

12. Surat Arahan Ketua MAMPU - 24 November 2010 : Pelaksanaan Pensijilan

MS ISO/IEC 27001:2007 Dalam Sektor Awam

13. Edaran Melalui Emel KP MAMPU - 8 April 2011 : Amalan Terbaik

Penggunaan Media Jaringan Sosial Di Sektor Awam

14. Akta Rahsia Rasmi 1972

15. Akta Hak Cipta (Pindaan) Tahun 1997

16. Akta Komunikasi dan Multimedia 1998

17. Perintah-Perintah Am

18. Arahan Perbendaharaan



19. Arahan Teknologi Maklumat 2007

20. Standard Operating Prosedur (SOP) SPP

21. Manual Prosedur Kerja (MPK) SPP

dasar keselamatan ict sppdasar keselamatan ict spp dkict spp versi 2.0 tarikh kuatkuasa: 27 mei 2015...

Documents