DASAR KESELAMATAN ICT SPP
DKICT SPP Versi 2.0 Tarikh Kuatkuasa: 27 Mei 2015 Muka Surat: ii
SEJARAH DOKUMEN
TARIKH NO.VERSI/
PINDAAN PERKARA
TARIKH
KUATKUASA
1 April 2015 2.0 Dasar Keselamatan ICT 27 Mei 2015
DASAR KESELAMATAN ICT SPP
DKICT SPP Versi 2.0 Tarikh Kuatkuasa: 27 Mei 2015 Muka Surat: iii
TERMA DAN TAFSIRAN
Antivirus Perisian yang mengimbas virus pada media storan seperti
cakera padat, pita magnetik, optical disk, flash disk,
CDROM, thumb drive untuk sebarang kemungkinan adanya
virus.
Ancaman Apa sahaja kejadian yang berpotensi atau tindakan yang
boleh menyebabkan berlakunya kemusnahan atau
musibah.
Aset ICT Data, maklumat, perkakasan, perisian, aplikasi, dokumentasi
dan sumber manusia serta premis berkaitan dengan ICT
yang berada di bawah tanggungjawab SPP.
Backup Proses penduaan data, maklumat, perisian sistem dan
aplikasi.
Dokumen Semua himpunan atau kumpulan bahan yang disimpan
dalam bentuk media cetak, salinan lembut (soft copy),
elektronik, dalam talian, kertas lutsinar, risalah atau slaid.
Firewall Perkakasan atau perisian atau kombinasi kedua-duanya
yang direka bentuk untuk menghalang capaian pengguna
yang tidak berkenaan kepada atau daripada rangkaian
dalaman.
Insiden
Keselamatan
Musibah (adverse event) yang berlaku ke atas sistem
maklumat dan komunikasi atau ancaman kemungkinan
berlakunya kejadian tersebut.
ICT Teknologi Maklumat dan Komunikasi (Information and
Communication Technology)
ICTSO Pegawai Keselamatan ICT (Information and Communication
Technology Security Officer)
Integriti Data dan maklumat hendaklah tepat, lengkap dan
kemaskini. Ia hanya boleh diubah dengan cara yang
dibenarkan sahaja.
IPS Sistem Pencegah Pencerobohan (Intrusion Prevention
DASAR KESELAMATAN ICT SPP
DKICT SPP Versi 2.0 Tarikh Kuatkuasa: 27 Mei 2015 Muka Surat: iv
System)
Ketersediaan Data dan maklumat yang boleh diakses pada bila-bila
masa.
Kerahsiaan Maklumat yang tidak boleh didedahkan sewenang-
wenangnya atau dibiarkan diakses tanpa kebenaran.
Keselamatan
Maklumat
Pemeliharaan kerahsiaan, integriti dan ketersediaan
maklumat, disamping sifat-sifat lain seperti kesahihan,
akauntabiliti dan kebolehpercayaan.
Kriptografi Penukaran data ke dalam kod rahsia untuk penghantaran
melalui rangkaian awam.
LAN Rangkaian Kawasan Setempat (Local Area Network) yang
menghubungkan peralatan komputer dalam jarak dekat.
Malicious Code Sebarang kod yang dicipta untuk merosakkan sistem atau
data, atau untuk mencegah sistem daripada digunakan
dengan cara biasa.
Media Storan Alat untuk menyimpan data dan maklumat seperti katrij,
cakera padat, cakera mudah alih, pita, cakera keras atau
thumb drive.
Pengguna Staf SPP, pembekal, pakar runding dan pihak-pihak lain
yang dibenarkan.
Penilaian Risiko Penilaian ke atas kemungkinan berlakunya bahaya atau
kerosakan atau kehilangan aset.
Pihak Ketiga Pihak yang membekalkan perkhidmatan/ pembekalan
kepada SPP.
Risiko Kemungkinan yang boleh menyebabkan bahaya,
kerosakan dan kerugian.
SOP Standard Operating Prosedur
WAN Rangkaian Kawasan Luas (Wide Area Network) adalah
rangkaian komputer jarak jauh yang menghubungkan
komputer dalam kawasan yang lebih luas.
DASAR KESELAMATAN ICT SPP
DKICT SPP Versi 2.0 Tarikh Kuatkuasa: 27 Mei 2015 Muka Surat: 1
KANDUNGAN
PENGESAHAN DOKUMEN................................................................................... ERROR! BOOKMARK NOT DEFINED.
SEJARAH DOKUMEN ................................................................................................................................................. I
TERMA DAN TAFSIRAN ........................................................................................................................................... II
1. TUJUAN ........................................................................................................................................................... 3
2. SKOP ............................................................................................................................................................... 3
3. PRINSIP-PRINSIP ............................................................................................................................................. 5
4. PERNYATAAN DASAR ................................................................................................................................... 7
5. DASAR KESELAMATAN ................................................................................................................................. 8
5.1 DASAR KESELAMATAN ICT (DKICT) ......................................................................................................... 8
6. ORGANISASI KESELAMATAN MAKLUMAT ................................................................................................. 9
6.1 PENTADBIRAN DALAMAN .......................................................................................................................... 9
6.2 PERALATAN MUDAH ALIH DAN TELEWORKING ......................................................................................... 10
7. KESELAMATAN SUMBER MANUSIA ............................................................................................................ 11
7.1 SEBELUM PERKHIDMATAN ......................................................................................................................... 11
7.2 SEMASA PERKHIDMATAN ......................................................................................................................... 11
7.3 PENAMATAN DAN PERTUKARAN PERKHIDMATAN ..................................................................................... 12
8. PENGURUSAN ASET ...................................................................................................................................... 13
8.1 TANGGUNGJAWAB TERHADAP ASET ........................................................................................................ 13
8.2 PENGKELASAN MAKLUMAT ...................................................................................................................... 13
8.3 PENGENDALIAN MEDIA ........................................................................................................................... 14
9. KAWALAN CAPAIAN ................................................................................................................................... 15
9.1 KEPERLUAN CAPAIAN .............................................................................................................................. 15
9.2 PENGURUSAN CAPAIAN PENGGUNA ...................................................................................................... 15
9.3 TANGGUNGJAWAB PENGGUNA .............................................................................................................. 16
9.4 KAWALAN CAPAIAN SISTEM DAN APLIKASI ............................................................................................. 16
10. KRIPTOGRAFI ................................................................................................................................................. 18
10.1 KAWALAN KRIPTOGRAFI .......................................................................................................................... 18
11. KESELAMATAN FIZIKAL DAN PERSEKITARAN ............................................................................................ 19
11.1 KESELAMATAN KAWASAN ........................................................................................................................ 19
11.2 PERALATAN ............................................................................................................................................. 20
12. OPERASI KESELAMATAN .............................................................................................................................. 22
12.1 PROSEDUR OPERASI DAN TANGGUNGJAWAB ......................................................................................... 22
12.2 PERLINDUNGAN DARIPADA MALWARE .................................................................................................... 22
12.3 BACKUP .................................................................................................................................................. 23
DASAR KESELAMATAN ICT SPP
DKICT SPP Versi 2.0 Tarikh Kuatkuasa: 27 Mei 2015 Muka Surat: 2
12.4 LOG DAN PEMANTAUAN ......................................................................................................................... 23
12.5 KAWALAN OPERASI PERISIAN .................................................................................................................. 24
12.6 PENGURUSAN KELEMAHAN TEKNIKAL ....................................................................................................... 24
12.7 AUDIT KESELAMATAN MAKLUMAT ............................................................................................................ 24
13. KESELAMATAN KOMUNIKASI...................................................................................................................... 25
13.1 PENGURUSAN KESELAMATAN RANGKAIAN .............................................................................................. 25
13.2 PEMINDAHAN MAKLUMAT ....................................................................................................................... 25
14. PEROLEHAN, PEMBANGUNAN DAN PENYELENGGARAAN SISTEM ....................................................... 27
14.1 KEPERLUAN KESELAMATAN TERHADAP SISTEM MAKLUMAT ....................................................................... 27
14.2 KESELAMATAN DALAM PEMBANGUNAN DAN PROSES SOKONGAN ......................................................... 27
14.3 DATA PENGUJIAN ................................................................................................................................... 29
15. BERURUSAN DENGAN PEMBEKAL .............................................................................................................. 30
15.1 KESELAMATAN MAKLUMAT BILA BERURUSAN DENGAN PEMBEKAL ........................................................... 30
15.2 PENGURUSAN PENGHANTARAN PERKHIDMATAN PEMBEKAL .................................................................... 30
16. PENGURUSAN INSIDEN KESELAMATAN MAKLUMAT ............................................................................... 32
16.1 MENGURUS INSIDEN KESELAMATAN MAKLUMAT DAN PENAMBAHBAIKAN ................................................ 32
17. PENGURUSAN KESINAMBUNGAN .............................................................................................................. 34
17.1 KESINAMBUNGAN KESELAMATAN MAKLUMAT .......................................................................................... 34
17.2 PENDUA .................................................................................................................................................. 34
18. PEMATUHAN .................................................................................................................................................. 35
18.1 PEMATUHAN TERHADAP KEPERLUAN PERUNDANGAN DAN KONTRAK ...................................................... 35
18.2 KAJIAN SEMULA KESELAMATAN MAKLUMAT ............................................................................................ 36
LAMPIRAN A ................................................................................................................................................................ 37
LAMPIRAN B ................................................................................................................................................................ 38
DASAR KESELAMATAN ICT SPP
DKICT SPP Versi 2.0 Tarikh Kuatkuasa: 27 Mei 2015 Muka Surat: 3
1. TUJUAN
Dasar ini bertujuan menerangkan peraturan-peraturan yang mesti dibaca,
difahami dan dipatuhi dalam menggunakan aset ICT SPP.
2. SKOP
Dasar Keselamatan ICT SPP ini merangkumi perlindungan semua bentuk
maklumat kerajaan yang dimasukkan, diwujud, dimusnah, disimpan, dijana,
dicetak, diakses, diedar, dalam penghantaran, dan yang dibuat salinan
keselamatan. Ini akan dilakukan melalui pewujudan dan penguatkuasaan
sistem kawalan dan prosedur dalam pengendalian semua aset ICT:
a) Data dan Maklumat
Koleksi fakta-fakta dalam bentuk kertas atau mesej elektronik, yang
mengandungi maklumat-maklumat untuk digunakan bagi mencapai misi
dan objektif SPP. Contohnya, sistem dokumentasi, prosedur operasi, rekod-
rekod, profil-profil pelanggan, pangkalan data dan fail-fail data,
maklumat-maklumat arkib dan lain-lain;
b) Peralatan ICT
Semua aset yang digunakan untuk menyokong pemprosesan maklumat
dan kemudahan storan SPP. Contoh komputer, pelayan, peralatan
komunikasi dan sebagainya;
c) Perkhidmatan
Perkhidmatan atau sistem yang menyokong aset lain untuk melaksanakan
fungsi-fungsinya. Contoh:
i. Perkhidmatan rangkaian seperti LAN, WAN dan lain-lain;
ii. Sistem halangan akses seperti sistem kad akses; dan
iii. Perkhidmatan sokongan seperti kemudahan elektrik, penghawa
dingin, sistem pencegah kebakaran dan lain-lain.
DASAR KESELAMATAN ICT SPP
DKICT SPP Versi 2.0 Tarikh Kuatkuasa: 27 Mei 2015 Muka Surat: 4
d) Komunikasi dan Peralatan Rangkaian
e) Perisian
Program, prosedur atau peraturan yang ditulis dan dokumentasi yang
berkaitan dengan sistem pengoperasian komputer yang disimpan di
dalam sistem ICT. Contoh perisian aplikasi atau perisian sistem seperti sistem
pengoperasian, sistem pangkalan data, perisian sistem rangkaian, atau
aplikasi pejabat yang menyediakan kemudahan pemprosesan maklumat
kepada SPP;
f) Dokumentasi
Semua dokumentasi yang mengandungi maklumat berkaitan dengan
penggunaan dan pemasangan peralatan dan perisian. Ia juga meliputi
data dalam semua bentuk media seperti salinan kekal, salinan elektronik,
risalah dan presentation slides.
g) Manusia
Individu yang mempunyai pengetahuan dan kemahiran untuk
melaksanakan skop kerja harian SPP bagi mencapai misi dan objektif SPP.
Individu berkenaan merupakan aset berdasarkan kepada tugas-tugas dan
fungsi yang dilaksanakan;
h) Premis
Semua kemudahan serta premis yang digunakan untuk menempatkan
perkara (a) - (g) di atas
Setiap perkara di atas perlu diberi perlindungan rapi. Sebarang kebocoran
rahsia atau kelemahan perlindungan adalah dianggap sebagai
perlanggaran langkah-langkah keselamatan.
DASAR KESELAMATAN ICT SPP
DKICT SPP Versi 2.0 Tarikh Kuatkuasa: 27 Mei 2015 Muka Surat: 5
3. PRINSIP-PRINSIP
Prinsip-prinsip yang menjadi asas kepada Dasar Keselamatan ICT SPP adalah
selaras dengan dasar keselamatan ICT Kerajaan iaitu:
a) Akses atas dasar “perlu mengetahui"
Akses terhadap penggunaan aset ICT hanya diberikan untuk tujuan
spesifik dan dihadkan kepada pengguna tertentu atas dasar “perlu
mengetahui” sahaja. Ini bermakna akses hanya akan diberikan
sekiranya peranan atau fungsi pengguna memerlukan maklumat
tersebut. Pertimbangan untuk akses adalah berdasarkan kategori
maklumat seperti yang dinyatakan di dalam dokumen Arahan
Keselamatan pada perenggan 53, muka surat 15;
b) Hak akses minimum
Hak akses pengguna hanya diberi pada tahap set yang paling
minimum iaitu untuk membaca dan/atau melihat sahaja. Kelulusan
adalah perlu untuk membolehkan pengguna mewujud, menyimpan,
mengemas kini, mengubah atau membatalkan sesuatu maklumat. Hak
akses perlu dikaji dari semasa ke semasa berdasarkan kepada peranan
dan tanggungjawab pengguna/bidang tugas;
c) Akauntabiliti
Semua pengguna adalah bertanggungjawab ke atas semua
tindakannya terhadap aset ICT SPP;
d) Pengasingan
Tugas mewujud, memadam, kemas kini, mengubah dan mengesahkan
data perlu diasingkan bagi mengelakkan daripada capaian yang tidak
dibenarkan serta melindungi aset ICT daripada kesilapan, kebocoran
maklumat terperingkat atau dimanipulasi. Pengasingan juga
merangkumi tindakan memisahkan antara kumpulan operasi dan
rangkaian;
e) Pengauditan
Pengauditan adalah tindakan untuk mengenal pasti insiden berkaitan
keselamatan atau mengenal pasti keadaan yang mengancam
keselamatan. Ia membabitkan pemeliharaan semua rekod berkaitan
tindakan keselamatan. Dengan itu, aset ICT seperti komputer, pelayan,
DASAR KESELAMATAN ICT SPP
DKICT SPP Versi 2.0 Tarikh Kuatkuasa: 27 Mei 2015 Muka Surat: 6
router, firewall dan rangkaian hendaklah ditentukan dapat menjana
dan menyimpan log tindakan keselamatan atau audit trail;
f) Pematuhan
Dasar Keselamatan ICT SPP hendaklah dibaca, difahami dan dipatuhi
bagi mengelakkan sebarang bentuk pelanggaran ke atasnya yang
boleh membawa ancaman kepada keselamatan ICT;
g) Pemulihan
Pemulihan sistem amat perlu untuk memastikan kebolehsediaan dan
kebolehcapaian. Objektif utama adalah untuk meminimumkan
sebarang gangguan atau kerugian akibat daripada ketidaksediaan.
Pemulihan boleh dilakukan melalui aktiviti penduaan dan mewujudkan
pelan pemulihan bencana/kesinambungan perkhidmatan; dan
h) Saling bergantung
Setiap prinsip di atas adalah saling lengkap-melengkapi dan
bergantung antara satu sama lain. Dengan itu, tindakan
mempelbagaikan pendekatan dalam menyusun dan mencorakkan
sebanyak mungkin mekanisme keselamatan adalah perlu bagi
menjamin keselamatan yang maksimum.
DASAR KESELAMATAN ICT SPP
DKICT SPP Versi 2.0 Tarikh Kuatkuasa: 27 Mei 2015 Muka Surat: 7
4. PERNYATAAN DASAR
Keselamatan ditakrifkan sebagai keadaan yang bebas daripada risiko dan
ancaman. Pengurusan keselamatan adalah suatu proses yang berterusan. Ia
melibatkan aktiviti berkala yang mesti dilakukan dari semasa ke semasa bagi
mendepani pelbagai ancaman dan kelemahan yang boleh menganggu
gugat aspek keselamatan.
Keselamatan ICT adalah bermaksud keadaan di mana segala urusan
menyedia dan membekalkan perkhidmatan yang berasaskan kepada sistem
ICT berjalan secara berterusan tanpa gangguan yang boleh menjejaskan
keselamatan. Keselamatan ICT berkait rapat dengan perlindungan aset ICT.
Dasar Keselamatan ICT SPP merangkumi perlindungan kerahsiaan, integriti
dan kebolehsediaan ke atas semua bentuk maklumat.
a) Maklumat hendaklah dilindungi daripada pihak lain yang tidak diberi kuasa
menggunakan maklumat;
b) Maklumat hendaklah sentiasa tepat, lengkap dan terkini semasa ianya
diproses; dan
c) Maklumat hendaklah sentiasa tersedia jika diperlukan oleh pihak lain yang
diberi kuasa mencapai maklumat tersebut.
Selain dari itu, langkah-langkah ke arah menjamin keselamatan ICT hendaklah
bersandarkan kepada penilaian yang bersesuaian dengan perubahan
semasa terhadap kelemahan semula jadi aset ICT; ancaman yang wujud
akibat daripada kelemahan tersebut; risiko yang mungkin timbul; dan
langkah-langkah pencegahan sesuai yang boleh diambil untuk menangani
risiko berkenaan.
DASAR KESELAMATAN ICT SPP
DKICT SPP Versi 2.0 Tarikh Kuatkuasa: 27 Mei 2015 Muka Surat: 8
5. DASAR KESELAMATAN
5.1 Dasar Keselamatan ICT (DKICT)
Objektif: Menyediakan hala tuju dan sokongan pihak pengurusan
terhadap keselamatan maklumat selaras dengan keperluan SPP dan
perundangan serta peraturan-peraturan yang berkaitan.
5.1.1 Dasar Keselamatan
Mewujud, menerbit dan menyebarkan Dasar Keselamatan ICT
SPP kepada pihak-pihak yang berkaitan hendaklah mendapat
kelulusan Pengurusan SPP.
5.1.2 Kajian semula
Kajian semula DKICT SPP adalah tertakluk kepada semakan dan
pindaan sekurang-kurangnya sekali setiap dua (2) tahun atau
bila-bila masa tertakluk kepada keperluan SPP bagi memastikan
ianya bersesuaian, bertepatan dan efektif.
DASAR KESELAMATAN ICT SPP
DKICT SPP Versi 2.0 Tarikh Kuatkuasa: 27 Mei 2015 Muka Surat: 9
6. ORGANISASI KESELAMATAN MAKLUMAT
6.1 Pentadbiran Dalaman
Objektif: Mewujudkan pengurusan keselamatan maklumat dalam
organisasi.
6.1.1 Peranan dan Tanggungjawab
Berikut adalah peranan dan tanggungjawab terhadap
keselamatan maklumat di SPP.
Bil. Nama Peranan dan Tanggungjawab
1. Setiusaha SPP Pegawai yang bertanggungjawab
terhadap perancangan dan hala tuju
Keselamatan Maklumat SPP.
2. CIO (Chief Information
Officer)
Ketua Pegawai Maklumat yang
bertanggungjawab untuk merancang
pelan tindakan kawalan ICT dan sistem
maklumat bagi menyokong arah tuju
sesebuah organisasi
3. Pengurus ICT Pegawai yang bertanggungjawab
menyelaras, mengurus dan memantau
kawalan Keselamatan Maklumat.
4. ICTSO (ICT Security
Officer)
Pegawai yang bertanggungjawab untuk
melaksana dan menguatkuasa program-
program Keselamatan Maklumat.
5. Jawatankuasa
Keselamatan Pejabat
Jawatankuasa yang bertanggungjawab
untuk menyelaraskan pelaksanaan
kawalan Keselamatan Perlindungan serta
menyelesaikan isu-isu yang berbangkit
dalam melaksanakan kawalan
Keselamatan Perlindungan di SPP.
6. Jawatankuasa ISMS Jawatankuasa yang bertanggungjawab
merancang, memantau dan menyemak
pelaksanaan pensijilan ISMS di SPP.
7. Pasukan Pelaksana
ISMS
Pasukan kerja yang bertanggungjawab
untuk melaksana ISMS, menyedia kaedah
pengukuran keberkesanan kawalan ISMS
serta memantau dan menyemak semula
ISMS.
8. Pasukan Audit Dalam
ISMS
Pasukan yang bertanggungjawab
melaksanakan Audit Dalam berdasarkan
kawalan yang diperlukan dalam MS
ISO/IEC 27001:2013
DASAR KESELAMATAN ICT SPP
DKICT SPP Versi 2.0 Tarikh Kuatkuasa: 27 Mei 2015 Muka Surat: 10
6.1.2 Pengagihan tugas dan tanggungjawab secara berasingan
hendaklah dilaksanakan bagi mengurangkan peluang
pengubahsuaian tanpa kebenaran atau tidak disengajakan atau
salah guna aset SPP.
6.1.3 Memastikan direktori pihak berkuasa berkaitan sentiasa
dikemaskini.
6.1.4 Memastikan direktori kumpulan berkepentingan sentiasa
dikemaskini
6.1.5 Memastikan direktori Keselamatan maklumat hendaklah
dinyatakan dalam pengurusan projek tanpa mengira jenis projek.
6.2 Peralatan Mudah Alih dan Teleworking
Objektif: Memastikan keselamatan penggunaan peralatan mudah alih
dan aktiviti teleworking.
6.2.1 Mewujudkan peraturan keselamatan maklumat yang bersesuaian
untuk mengurus risiko akibat dari penggunaan peralatan mudah
alih selaras dengan kelulusan pihak SPP.
6.2.2 Mewujudkan peraturan keselamatan maklumat yang bersesuaian
untuk mengurus risiko akibat dari pelaksanaan aktiviti teleworking
selaras dengan kelulusan pihak SPP.
DASAR KESELAMATAN ICT SPP
DKICT SPP Versi 2.0 Tarikh Kuatkuasa: 27 Mei 2015 Muka Surat: 11
7. KESELAMATAN SUMBER MANUSIA
7.1 Sebelum Perkhidmatan
Objektif: Memastikan staf SPP dan pihak ketiga memahami peranan
dan tanggungjawab mereka masing-masing sebagaimana yang telah
ditetapkan.
7.1.1 Tapisan Keselamatan
Memastikan semua pihak yang berkaitan sebelum memulakan
perkhidmatan telah melalui tapisan keselamatan selaras dengan
keperluan SPP, perundang dan peraturan yang sedang
berkuatkuasa.
7.1.2 Terma dan Syarat Perkhidmatan
Terma dan syarat perjanjian kontrak antara SPP dan pihak ketiga
hendaklah dengan jelas menyatakan peranan dan
tanggungjawab masing-masing bagi tujuan menjamin
keselamatan maklumat.
7.2 Semasa Perkhidmatan
Objektif: Memastikan staf dan pihak ketiga memahami dan
melaksanakan tanggungjawab terhadap keselamatan maklumat.
7.2.1 Tanggungjawab Pengurusan
Pihak pengurusan SPP hendaklah memastikan semua staf SPP dan
pihak ketiga melaksanakan keselamatan maklumat selaras
dengan dasar-dasar, peraturan-peraturan dan prosedur-prosedur
yang diwujudkan oleh pihak SPP.
7.2.2 Kesedaran dan Latihan Keselamatan Maklumat
Memastikan semua staf SPP dan pihak berkepentingan yang
berkaitan diberi pendedahan dan latihan mengenai
DASAR KESELAMATAN ICT SPP
DKICT SPP Versi 2.0 Tarikh Kuatkuasa: 27 Mei 2015 Muka Surat: 12
tanggungjawab dan peranan mereka terhadap dasar dan
prosedur keselamatan maklumat SPP.
7.2.3 Proses Disiplin
Memastikan proses disiplin dilaksanakan terhadap mana-mana
staf SPP yang melanggar dasar, peraturan-peraturan dan
prosedur keselamatan maklumat yang sedang berkuatkuasa.
7.3 Penamatan dan Pertukaran Perkhidmatan
7.3.1 Peranan dan Tanggungjawab
Memastikan peranan dan tanggungjawab semua staf SPP dan
pihak ketiga dinyatakan dengan jelas apabila perkhidmatan
mereka tamat atau bertukar. Antaranya adalah:
a) Pemulangan Aset Kerajaan
b) Pembatalan Hak Capaian Pengguna
DASAR KESELAMATAN ICT SPP
DKICT SPP Versi 2.0 Tarikh Kuatkuasa: 27 Mei 2015 Muka Surat: 13
8. PENGURUSAN ASET
8.1 Tanggungjawab Terhadap Aset
8.1.1 Inventori Aset
Semua aset berkaitan dengan maklumat dan kemudahan yang
digunakan untuk memproses maklumat hendaklah direkod ke
dalam inventori aset dan sentiasa dikemaskini.
8.1.2 Pemilikan Aset
Semua aset yang direkodkan dalam inventori aset hendaklah
mempunyai pemilikan.
8.1.3 Kebenaran Penggunaan Aset
Semua peraturan berkaitan penggunaan maklumat dan aset
yang berkaitan dengan maklumat dan kemudahan yang
digunakan untuk memproses maklumat hendaklah didokumen
dan dilaksanakan.
8.1.4 Pemulangan Aset
Semua staf SPP dan pihak ketiga hendaklah memulangkan
semua aset yang didaftarkan di bawah SPP yang di dalam
pegangan masing-masing apabila berlakunya penamatan
perkhidmatan, kontrak atau perjanjian dengan pihak SPP.
8.2 Pengkelasan Maklumat
8.2.1 Pengkelasan Maklumat
Pengkelasan maklumat hendaklah dilaksanakan selaras dengan
keperluan perundangan, nilai, tahap kritikal dan sensitif terhadap
pemberitahuan yang tidak dibenarkan atau pengubahsuaian.
DASAR KESELAMATAN ICT SPP
DKICT SPP Versi 2.0 Tarikh Kuatkuasa: 27 Mei 2015 Muka Surat: 14
8.2.2 Pelabelan Maklumat
Prosedur-prosedur yang bersesuaian hendaklah diwujud dan
dilaksanakan selaras dengan dengan pengkelasan maklumat
yang ditetapkan oleh pihak SPP.
8.2.3 Pengendalian Aset
Prosedur pengendalian aset hendaklah diwujud dan
dilaksanakan selaras dengan pengkelasan maklumat yang
ditetapkan oleh pihak SPP.
8.3 Pengendalian Media
Objektif: Melindungi maklumat didedahkan oleh pihak yang tidak
dibenarkan, mengubahsuai, pemindahan atau pemusnahan maklumat
yang terkandung di dalam media.
8.3.1 Pengurusan Media Mudah Alih
Melaksanakan prosedur pengurusan media mudah alih selaras
dengan pengkelasan yang ditetapkan oleh pihak SPP.
8.3.2 Pelupusan Media
Media hendaklah dilupuskan dengan cara selamat sekiranya ia
tidak diperlukan lagi selaras dengan peraturan dan prosedur
yang ditetapkan.
8.3.3 Fizikal Media Dalam Transit
Media yang mengandungi maklumat hendaklah di lindungi
daripada capaian yang tidak dibenarkan, salah guna atau
penyelewengan semasa di dalam transit.
DASAR KESELAMATAN ICT SPP
DKICT SPP Versi 2.0 Tarikh Kuatkuasa: 27 Mei 2015 Muka Surat: 15
9. KAWALAN CAPAIAN
9.1 Keperluan Capaian
Objektif: Menghadkan capaian terhadap maklumat dan kemudahan
pemprosesan maklumat.
9.1.1 Polisi Kawalan Capaian
Polisi kawalan capaian hendaklah diwujud, didokumen dan
disemak semula berdasarkan keperluan SPP dan keselamatan
maklumat.
9.1.2 Capaian Rangkaian Dan Perkhidmatan Rangkaian
Pengguna hanya perlu diberi kebenaran ke atas capaian
rangkaian dan perkhidmatan rangkaian selaras hak capaian
yang dibenarkan sahaja.
9.2 Pengurusan Capaian Pengguna
Objektif: Memastikan capaian terhadap sistem dan perkhidmatan
yang disediakan hanya kepada pengguna yang dibenarkan sahaja
dan menghalang capaian kepada pengguna yang tidak dibenarkan.
9.2.1 Pendaftaran dan Pembatalan
Pendaftaran dan pembatalan pendaftaran pengguna untuk
memberi kebenaran capaian hendaklah dilaksanakan mengikut
proses yang ditetapkan oleh SPP.
9.2.2 Hak Capaian
Pengguna yang diberi hak capaian untuk mendaftar dan
membatalkan hak capaian pengguna lain daripada membuat
capaian sistem dan perkhidmatannya hendaklah mendapat
kelulusan pihak pengurusan SPP.
DASAR KESELAMATAN ICT SPP
DKICT SPP Versi 2.0 Tarikh Kuatkuasa: 27 Mei 2015 Muka Surat: 16
9.2.3 Pengurusan Hak Capaian Istimewa
Hak istimewa capaian kepada pengguna yang diberikan hak
hendaklah dihadkan dan dikawal.
9.2.4 Pengurusan Kata Laluan Pengguna
Pemberian Kata Laluan kepada pengguna hendaklah dikawal
melalui proses yang ditetapkan oleh SPP.
9.2.5 Semakan Semula Hak Capaian Pengguna
Pemilik aset hendaklah menyemak semula hak capaian
penggunaan secara berkala.
9.2.6 Pembatalan Hak Capaian
Hak capaian oleh semua staf SPP dan pihak ketiga terhadap
maklumat dan kemudahan pemprosesan maklumat hendaklah
dibatalkan apabila perkhidmatan, kontrak atau perjanjian
mereka tamat atau adanya pertukaran.
9.3 Tanggungjawab Pengguna
Objektif: Memastikan pengguna bertanggungjawab untuk melindungi
Kata Laluan mereka.
9.3.1 Penggunaan Kata Laluan
Pengguna hendaklah mematuhi ketetapan penggunaan Kata
Laluan yang ditetapkan.
9.4 Kawalan Capaian Sistem Dan Aplikasi
Objektif: Menghalang capaian yang tidak dibenarkan terhadap sistem
dan aplikasi.
DASAR KESELAMATAN ICT SPP
DKICT SPP Versi 2.0 Tarikh Kuatkuasa: 27 Mei 2015 Muka Surat: 17
9.4.1 Kawalan Capaian
Capaian terhadap maklumat dan fungsi sistem aplikasi
hendaklah dikawal selaras dengan polisi kawalan capaian.
9.4.2 Prosedur Log-on Yang Selamat
Selaras dengan keperluan polisi kawalan capaian, maka capaian
terhadap sistem dan aplikasi hendaklah dikawal dengan
menggunakan prosedur log-on yang selamat.
9.4.3 Sistem Pengurusan Kata Laluan
Sistem pengurusan Kata Laluan hendaklah interaktif dan
hendaklah dipastikan ianya adalah Kata Laluan yang berkualiti.
9.4.4 Hak Penggunaan Utility Programs
Utility Programs yang berupaya mengambil alih kawalan
terhadap sistem dan aplikasi hendaklah dihadkan dan dikawal
dengan ketat.
9.4.5 Kawalan Capaian Kod Sumber
Capaian terhadap kod sumber hendaklah dihadkan kepada
pengguna yang dibenarkan sahaja.
DASAR KESELAMATAN ICT SPP
DKICT SPP Versi 2.0 Tarikh Kuatkuasa: 27 Mei 2015 Muka Surat: 18
10. KRIPTOGRAFI
10.1 Kawalan Kriptografi
Objektif: Memastikan keberkesanan penggunaan kriptografi untuk
melindungi kerahsiaan, pengesahan dan integriti data.
10.1.1 Polisi Penggunaan Kriptografi
Polisi yang menggunakan kawalan kriptografi untuk melindungi
maklumat hendaklah diwujud dan dilaksanakan mengikut
ketetapan SPP.
10.1.2 Pengurusan Kunci
Polisi terhadap penggunaan, perlindungan dan hayat kunci
kriptografi hendaklah diwujudkan dan dilaksanakan sepanjang
kitaran hayatnya.
DASAR KESELAMATAN ICT SPP
DKICT SPP Versi 2.0 Tarikh Kuatkuasa: 27 Mei 2015 Muka Surat: 19
11. KESELAMATAN FIZIKAL DAN PERSEKITARAN
11.1 Keselamatan Kawasan
Objektif: Mencegah akses fizikal yang tidak dibenarkan, kerosakan dan
ancaman kepada maklumat dan kemudahan pemprosesan maklumat.
11.1.1 Perimeter Keselamatan
Perimeter keselamatan hendaklah dikenalpasti dan digunakan
untuk melindungi kawasan-kawasan yang mengandungi
maklumat sensitif atau kritikal dan kawasan yang mengandungi
kemudahan pemprosesan.
11.1.2 Kawalan Masuk Fizikal
Melindungi kawasan larangan / kawasan keselamatan dengan
kawalan yang bersesuaian bagi memastikan yang hanya orang-
orang yang dibenarkan sahaja diberi akses.
11.1.3 Keselamatan Pejabat, Bilik Dan Kemudahan
Merekabentuk dan melaksanakan keselamatan terhadap fizikal
pejabat, bilik-bilik dan kemudahan yang disediakan.
11.1.4 Perlindungan Terhadap Ancaman Luar dan Persekitaran
Merekabentuk dan melaksanakan perlindungan fizikal dari
bencana, malicious attack atau kemalangan.
11.1.5 Bekerja Di Kawasan Keselamatan
Memastikan mereka yang bekerja/ bertugas di kawasan
keselamatan mematuhi prosedur yang ditetapkan.
DASAR KESELAMATAN ICT SPP
DKICT SPP Versi 2.0 Tarikh Kuatkuasa: 27 Mei 2015 Muka Surat: 20
11.1.6 Kawasan Penghantaran dan Pemunggahan
Mengawal laluan akses di kawasan penghantaran dan
pemunggahan serta lain-lain laluan akses untuk mengelakkan
akses yang tidak dibenarkan.
11.2 Peralatan
Objektif: Mencegah kehilangan, kecurian atau salah guna aset dan
gangguan terhadap pelaksanaan operasi.
11.2.1 Penempatan dan Perlindungan Peralatan
Menempat dan melindungi peralatan untuk mengurangkan risiko
persekitaran dan bencana serta peluang-peluang akses yang
tidak dibenarkan.
11.2.2 Kemudahan Sokongan
Melindungi peralatan daripada kegagalan bekalan kuasa dan
lain-lain gangguan yang disebabkan oleh kegagalan
kemudahan sokongan.
11.2.3 Keselamatan Kabel
Melindungi kabel elektrik dan komunikasi dari gangguan, salah
guna atau kerosakan yang boleh menjejaskan data atau
kemudahan perkhidmatan sokongan.
11.2.4 Penyelenggaraan Peralatan
Menyelenggara peralatan dengan teratur bagi memastikan
integriti dan ketersediaan yang berterusan.
11.2.5 Aset Yang Dibawa Keluar
Peralatan, maklumat atau perisian tidak dibenarkan membawa
keluar tanpa kebenaran.
DASAR KESELAMATAN ICT SPP
DKICT SPP Versi 2.0 Tarikh Kuatkuasa: 27 Mei 2015 Muka Surat: 21
11.2.6 Keselamatan Peralatan Di Luar Premis
Mengambil langkah keselamatan ke atas peralatan yang di
bawa keluar dari premis organisasi.
11.2.7 Pelupusan Atau Penggunaan Semula Aset
Menyemak semua peralatan yang mengandungi media storan
bagi memastikan data yang sensitif dan perisian berlesen
dipadamkan dengan cara selamat sebelum dilupuskan atau
untuk penggunaan semula peralatan.
11.2.8 Peralatan Tanpa Kehadiran Pengguna
Pengguna hendaklah memastikan keselamatan peralatan
terjamin sekiranya peralatan adalah tanpa kehadiran pengguna.
11.2.9 Clear Desk dan Clear Screen
Menggunapakai dasar Clear Desk untuk kertas dan media storan
mudah alih dan dasar Clear Screen untuk kemudahan
pemprosesan maklumat.
DASAR KESELAMATAN ICT SPP
DKICT SPP Versi 2.0 Tarikh Kuatkuasa: 27 Mei 2015 Muka Surat: 22
12. OPERASI KESELAMATAN
12.1 Prosedur Operasi dan Tanggungjawab
Objektif: Memastikan kemudahan pemprosesan maklumat beroperasi
dengan betul dan selamat.
12.1.1 Mendokumentasikan Prosedur Operasi
Semua prosedur operasi hendaklah didokumen dan tersedia
kepada semua pengguna yang berkaitan sekiranya diperlukan.
12.1.2 Pengurusan Perubahan
Mengawal semua perubahan termasuk proses organisasi,
kemudahan pemprosesan maklumat dan sistem yang
menjejaskan keselamatan maklumat.
12.1.3 Pengurusan Kapasiti
Memantau penggunaan sumber, melaksanakan penalaan dan
membuat unjuran bagi keperluan kapasiti masa hadapan bagi
mencapai tahap prestasi yang ditetapkan.
12.1.4 Pengasingan Persekitaran Pembangunan, Pengujian Dan
Pengoperasian
Mengasingkan persekitaran pembangunan, pengujian dan
operasi bagi mengurangkan risiko terhadap capaian yang tidak
dibenarkan atau perubahan kepada sistem yang sedang
beroperasi.
12.2 Perlindungan Daripada Malware
Objektif: Memastikan maklumat dan kemudahan pemprosesan
maklumat dilandungi daripada malware.
DASAR KESELAMATAN ICT SPP
DKICT SPP Versi 2.0 Tarikh Kuatkuasa: 27 Mei 2015 Muka Surat: 23
12.2.1 Kawalan Terhadap Malware
Melaksanakan kawalan pengesanan, pencegahan dan
pemulihan untuk melindungi dari malware dan melaksanakan
juga kesedaran pengguna yang bersesuaian.
12.3 Backup
Objektif: Melindungi data dari kehilangan.
12.3.1 Maklumat Backup
Melaksanakan backup maklumat, perisian dan system images
serta melakukan pengujian secara berkala selaras dengan
prosedur backup yang ditetapkan.
12.4 Log dan Pemantauan
Objektif: Merekod events dan penghasilan bukti.
12.4.1 Event Logging
Menghasil, menyimpan dan menyemak dari masa ke semasa
hasil event logs yang merekod semua aktiviti pengguna, pindaan
yang tidak dibenarkan dan kesilapan terhadap keselamatan
maklumat.
12.4.2 Perlindungan Terhadap Maklumat Log
Melindungi kemudahan dan maklumat log daripada dipinda dan
capaian yang tidak dibenarkan.
12.4.3 Log Pentadbir dan Operator
Memastikan aktiviti pentadbir dan operator sistem direkodkan
(logged) dan rekod ini dilindungi serta disemak dari masa ke
semasa.
DASAR KESELAMATAN ICT SPP
DKICT SPP Versi 2.0 Tarikh Kuatkuasa: 27 Mei 2015 Muka Surat: 24
12.4.4 Keseragaman Waktu
Menyeragamkan semua waktu dalam organisasi atau domain
keselamatan bagi semua sistem pemprosesan maklumat yang
berkaitan.
12.5 Kawalan Operasi Perisian
Objektif: Memastikan integriti dalam sistem operasi.
12.5.1 Pemasangan Perisian (installation of software) pada sistem operasi
Pemasangan perisian pada sistem operasi hendaklah dikawal
dan mengikut peraturan yang ditetapkan.
12.6 Pengurusan Kelemahan Teknikal
12.6.1 Pengurusan Terhadap Kelemahan Teknikal
Maklumat mengenai kelemahan teknikal terhadap sesuatu sistem
maklumat yang digunakan hendaklah direkod mengikut masa
dan tindakan diambil bagi menilai dan mengukur mengikut
kesesuaian terhadap risiko yang berkaitan dengannya.
12.6.2 Menghadkan Pemasangan Perisian (installation of software)
Peraturan terhadap pemasangan atau instalasi sesuatu perisian
hendaklah diwujudkan dan dilakasnakan mengikut ketetapan
SPP.
12.7 Audit Keselamatan Maklumat
Objektif: Meminimakan impak daripada aktiviti audit terhadap sistem
operasi
DASAR KESELAMATAN ICT SPP
DKICT SPP Versi 2.0 Tarikh Kuatkuasa: 27 Mei 2015 Muka Surat: 25
13. KESELAMATAN KOMUNIKASI
13.1 Pengurusan Keselamatan Rangkaian
Objektif: Memastikan maklumat dalam rangkaian dan kemudahan
pemprosesan maklumat dilindungi.
13.1.1 Kawalan rangkaian
Mengawal dan mengurus rangkaian untuk melindungi sistem
maklumat dan aplikasi.
13.1.2 Keselamatan Perkhidmatan Rangkaian
Mengenalpasti dan menyatakan ciri-ciri keselamatan, tahap
keselamatan dan keperluan pengurusan bagi semua
perkhidmatan rangkaian ke dalam perjanjian perkhidmatan
rangkaian.
13.1.3 Pengasingan Dalam Rangkaian
Mengasingkan capaian bagi kumpulan perkhidmatan maklumat,
pengguna dan sistem maklumat.
13.2 Pemindahan Maklumat
Objektif: Menjamin keselamatan pemindahan maklumat dalam
organisasi dan dengan mana-mana agensi luar.
13.2.1 Prosedur Pemindahan Maklumat
Pemindahan maklumat perlu dilindungi dengan mematuhi
prosedur dan kawalan yang ditetapkan.
DASAR KESELAMATAN ICT SPP
DKICT SPP Versi 2.0 Tarikh Kuatkuasa: 27 Mei 2015 Muka Surat: 26
13.2.2 Perjanjian Terhadap Pemindahan Maklumat
Keselamatan pemindahan maklumat organisasi dengan pihak
ketiga hendaklah dinyatakan dalam perjanjian bagi menjamin
keselamatan maklumat.
13.2.3 Mesej Elektronik
Maklumat yang menggunakan mesej elektronik hendaklah
dilindungi sewajarnya.
13.2.4 Perjanjian Kerahsiaan Atau Non-Disclosure
Mengenalpasti, menyemak dari masa ke semasa dan
mendokumenkan persetujuan berkaitan keperluan organisasi
melindungi kerahsiaan atau non-disclosure maklumat.
DASAR KESELAMATAN ICT SPP
DKICT SPP Versi 2.0 Tarikh Kuatkuasa: 27 Mei 2015 Muka Surat: 27
14. PEROLEHAN, PEMBANGUNAN DAN PENYELENGGARAAN SISTEM
14.1 Keperluan Keselamatan Terhadap Sistem Maklumat
Objektif: Memastikan keselamatan maklumat adalah disepadukan
dalam kitaran hayat sistem maklumat.
14.1.1 Analisis Keperluan Keselamatan Maklumat dan Spesifikasi
Mengenalpasti keperluan berkaitan keselamatan maklumat
samada dalam sistem maklumat baru atau sistem maklumat
sediada yang dipertingkatkan (enhancements).
14.1.2 Keselamatan Perkhidmatan Aplikasi Dalam Public Networks
Melindungi maklumat yang terlibat dalam perkhidmatan aplikasi
dalam rangkaian awam (public networks) daripada aktiviti
penipuan, pertikaian kontrak dan pendedahan serta
pengubahsuaian yang tidak dibenarkan.
14.1.3 Melindungi Transaksi Perkhidmatan Aplikasi
Melindungi maklumat yang terlibat dengan transaksi
perkhidmatan aplikasi bagi mengelak transmisi tidak lengkap,
salah destinasi dan pengubahsuaian, pendedahan atau
pengulangan (replay) mesej yang tidak dibenarkan.
14.2 Keselamatan Dalam Pembangunan dan Proses Sokongan
Objektif: Memastikan pembangunan dan pelaksanaan keselamatan
maklumat adalah sebahagian dari kitaran hayat pembangunan.
14.2.1 Polisi Keselamatan Pembangunan
Pembangunan perisian dan sistem hendaklah dilaksanakan
mengikut ketetapan peraturan yang telah dibangunkan oleh
pihak SPP.
DASAR KESELAMATAN ICT SPP
DKICT SPP Versi 2.0 Tarikh Kuatkuasa: 27 Mei 2015 Muka Surat: 28
14.2.2 Prosedur Kawalan Perubahan Sistem
Perubahan terhadap sistem hendaklah dikawal menggunakan
prosedur yang telah ditetapkan.
14.2.3 Kajian Teknikal Terhadap Aplikasi Selepas Melaksanakan
Perubahan Platform
Mengkaji semula dan menguji aplikasi kritikal apabila terdapat
perubahan terhadap sistem pengoperasian bagi memastikan
tiada kesan buruk terhadap operasi atau keselamatan SPP.
14.2.4 Kawalan Perubahan Pakej Perisian
Mengawal perubahan dan/ atau pindaan ke atas pakej perisian
dan sebarang perubahan adalah terhad mengikut keperluan
sahaja.
14.2.5 Secure Engineering Principles
Mewujud, mendokumen dan menyelenggara ke atas
pelaksanaan sistem maklumat.
14.2.6 Keselamatan Persekitaran Pembangunan
Mewujudkan dan mengawal persekitaran pembangunan sistem
dan usaha-usaha integrasi yang merangkumi keseluruhan kitaran
hayat.
14.2.7 Pembangunan Secara Outsourced
Menyelia dan mengawal aktiviti pembangunan sistem yang
dilaksanakan secara outsource.
14.2.8 Pengujian Keselematan Sistem
Melaksanakan pengujian fungsi keselamatan semasa
pembangunan sistem.
DASAR KESELAMATAN ICT SPP
DKICT SPP Versi 2.0 Tarikh Kuatkuasa: 27 Mei 2015 Muka Surat: 29
14.2.9 Pengujian Penerimaan Sistem
Menetapkan kriteria penerimaan dan menjalankan pengujian
bagi sistem baharu, sistem yang dipertingkatkan dan versi baharu
semasa dan sebelum penerimaan.
14.3 Data Pengujian
Objektif: Memastikan data untuk pengujian dilindungi.
14.3.1 Melindungi Data Pengujian
Memilih data ujian dengan teliti, dilindungi dan dikawal.
DASAR KESELAMATAN ICT SPP
DKICT SPP Versi 2.0 Tarikh Kuatkuasa: 27 Mei 2015 Muka Surat: 30
15. BERURUSAN DENGAN PEMBEKAL
15.1 Keselamatan Maklumat Bila Berurusan Dengan Pembekal
Objektif: Memastikan aset organisasi yang boleh dicapai oleh pembekal
dilindungi.
15.1.1 Polisi Keselamatan Maklumat Bila Berurusan Dengan Pembekal
Keperluan keselamatan maklumat bagi mengurangkan risiko
berkaitan dengan aset organisasi yang boleh dicapai oleh
pembekal hendaklah dipersetujui bersama dan didokumenkan.
15.1.2 Keperluan Keselamatan Dalam Perjanjian Dengan Pembekal
Memastikan semua keperluan keselamatan maklumat yang
berkaitan dinyatakan dengan jelas dalam semua kontrak
perjanjian yang melibatkan akses, pemprosesan, penyimpanan,
penghantaran, atau pembekalan komponen infrastruktur
teknologi maklumat kepada SPP oleh pembekal.
15.1.3 Rantaian Pembekalan Teknologi Maklumat Dan Komunikasi
Perjanjian dengan pihak pembekal hendaklah merangkumi
pernyataan risiko keselamatan maklumat berkaitan dengan
perkhidmatan ICT dan produk yang dibekalkan (supply chain).
15.2 Pengurusan Penghantaran Perkhidmatan Pembekal
Objektif: Memastikan tahap kawalan keselamatan maklumat dan
perkhidmatan penyampaian adalah selaras dengan perjanjian/ kontrak
dengan pembekal.
15.2.1 Memantau Dan Menyemak Semula Perkhidmatan Pembekal
Memantau dan menyemak semula serta audit terhadap
perkhidmatan penyampaian pembekal hendaklah dilaksanakan
secara berkala.
DASAR KESELAMATAN ICT SPP
DKICT SPP Versi 2.0 Tarikh Kuatkuasa: 27 Mei 2015 Muka Surat: 31
15.2.2 Mengurus Perubahan Terhadap Perkhidmatan Pembekal
Mengurus sebarang perubahan terhadap perkhidmatan
pembekal termasuk semua polisi, prosedur dan kawalan dengan
mengambil kira tahap kritikal maklumat SPP, sistem dan proses-
proses yang terlibat serta melaksanakan semula penilaian risiko
keselamatan.
DASAR KESELAMATAN ICT SPP
DKICT SPP Versi 2.0 Tarikh Kuatkuasa: 27 Mei 2015 Muka Surat: 32
16. PENGURUSAN INSIDEN KESELAMATAN MAKLUMAT
16.1 Mengurus Insiden Keselamatan Maklumat dan Penambahbaikan
Objektif: Memastikan pedekatan yang kosisten dan efektif digunakan
dalam pengurusan insiden keselamatan maklumat.
16.1.1 Tanggungjawab Dan Prosedur
Mewujudkan Jawatankuasa Keselamatan dan melantik ICTSO
serta mengguna pakai Surat Pekeliling Am Bilangan 4 Tahun 2006:
Pengurusan Pengendalian Insiden Keselamatan Teknologi
Maklumat dan Komunikasi (ICT) Sektor Awam bagi memastikan
tindakan insiden keselamatan dikendalikan dengan cepat,
berkesan dan teratur.
16.1.2 Pelaporan Insiden Keselamatan Maklumat
Insiden keselamatan maklumat hendaklah dilaporkan dengan
kadar segera kepada ICTSO SPP atau menggunakan sistem
HESKS.
16.1.3 Pelaporan Kelemahan Keselamatan Maklumat
Semua staf SPP dan pihak ketiga adalah dikehendaki melaporkan
insiden keselamatan kepada ICTSO atau menggunakan sistem
HESKS.
16.1.4 Penilaian Dan Keputusan Terhadap Insiden Keselamatan
Penilaian terhadap insiden keselamatan hendaklah dilaksanakan
sekiranya ia dikelasifikasikan sebagai insiden keselamatan
maklumat.
16.1.5 Tindakan Terhadap Insiden Keselamatan
Tindakan terhadap insiden keselamatan maklumat hendaklah
selaras dengan ketetapan prosedur yang digunapakai.
DASAR KESELAMATAN ICT SPP
DKICT SPP Versi 2.0 Tarikh Kuatkuasa: 27 Mei 2015 Muka Surat: 33
16.1.6 Pembelajaran Dari Insiden Keselamatan Maklumat
Pembelajaran dari analisis dan penyelesaian insiden keselamatan
maklumat hendaklah digunakan bagi mengurangkan impak
pada insiden masa hadapan.
16.1.7 Pengumpulan Bahan Bukti
Mengenalpasti, mengumpul, menyimpan, dan memelihara
maklumat yang mana boleh dijadikan bahan bukti selaras
dengan peraturan atau prosedur yang ditetapkan.
DASAR KESELAMATAN ICT SPP
DKICT SPP Versi 2.0 Tarikh Kuatkuasa: 27 Mei 2015 Muka Surat: 34
17. PENGURUSAN KESINAMBUNGAN
17.1 Kesinambungan Keselamatan Maklumat
Objektif: Kesinambungan keselamatan maklumat hendaklah
diselaraskan dengan pengurusan kesinambungan SPP.
17.1.1 Perancangan Kesinambungan Keselamatan Maklumat
Mengenalpasti keperluan keselamatan maklumat SPP dan
kesinambungan pengurusan keselamatan maklumat sekiranya
berlaku bencana atau dalam krisis.
17.1.2 Melaksanakan Kesinambungan Keselamatan Maklumat
Mewujud, mendokumen, melaksana dan menyelenggara proses-
proses, prosedur-prosedur dan kawalan-kawalan bagi
memastikan tahap keperluan kesinambungan keselamatan
maklumat semasa berlakunya gangguan atau bencana.
17.1.3 Menyemak, Mengkaji Semula Dan Menilai Kesinambungan
Keselamatan Maklumat
Kawalan-kawalan yang dibangun dan dilaksanakan di bawah
kesinambungan keselamatan maklumat hendaklah disemak,
dikaji semula secara berkala bagi memastikan ianya terkini dan
berkesan apabila berlakunya gangguan atau bencana.
17.2 Pendua
Objektif: Memastikan ketersediaan kemudahan pemprosesan
maklumat.
17.2.1 Ketersediaan Kemudahan Pemprosesan Maklumat
Kemudahan pemprosesan maklumat hendaklah mencukupi
selaras dengan keperluan yang ditetapkan.
DASAR KESELAMATAN ICT SPP
DKICT SPP Versi 2.0 Tarikh Kuatkuasa: 27 Mei 2015 Muka Surat: 35
18. PEMATUHAN
18.1 Pematuhan Terhadap Keperluan Perundangan Dan Kontrak
Objektif: Mengelak pelanggaran mana-mana undang-undang,
kewajipan berkanun, peraturan atau kontrak yang berkaitan dengan
keselamatan maklumat dan mana-mana keperluan keselamatan.
18.1.1 Mengenalpasti Keperluan Perundangan dan Kontrak
Semua keperluan perundangan, peraturan, kontrak dan
pendekatan terkini yang digunapakai oleh SPP hendaklah
dikenalpasti, didokumen dan disimpan.
18.1.2 Hak Harta Intelek (IPR)
Melaksanakan prosedur yang bersesuaian bagi memastikan
pematuhan kepada keperluan perundangan dan peraturan
dalam penggunaan bahan yang mempunyai hak harta intelek
dan penggunaan produk-produk perisian proprietary.
18.1.3 Perlindungan Rekod Organisasi
Melindungi rekod-rekod penting daripada kehilangan,
kemusnahan, pemalsuan, capaian yang tidak dibenarkan dan
hebahan yang tidak dibenarkan selaras dengan perundangan,
peraturan, kontrak dan keperluan yang ditetapkan SPP.
18.1.4 Privasi Dan Perlindungan Terhadap Maklumat
Memastikan perlindungan data dan provasi maklumat peribadi
mematuhi perundangan dan peraturan yang berkaitan.
18.1.5 Peraturan Terhadap Kawalan Kriptografi
Menggunakan kawalan kriptografi berpandukan perjanjian,
perundangan dan peraturan yang berkaitan.
DASAR KESELAMATAN ICT SPP
DKICT SPP Versi 2.0 Tarikh Kuatkuasa: 27 Mei 2015 Muka Surat: 36
18.2 Kajian Semula Keselamatan Maklumat
Objektif: Memastikan pelaksanaan dan operasi keselamatan maklumat
adalah selaras dengan dasar-dasar dan prosedur-prosedur SPP
18.2.1 Kajian Keselamatan Maklumat Oleh Pihak Ketiga
Pendekatan mengurus keselamatan maklumat dan
pelaksanaannya (seperti kawalan objektif, kawalan, dasar, proses
dan prosedur keselamatan maklumat) hendaklah di kaji oleh
pihak ketiga secara berkala atau apabila berlakunya perubahan.
18.2.2 Pematuhan Terhadap Polisi Keselamatan Dan Piawaian
Pihak pengurusan SPP hendaklah mengkaji semula pematuhan
terhadap pemprosesan maklumat dan prosedur-prosedur dalam
bidang tanggungjawab masing-masing selaras dengan dasar
keselamatan, piawaian dan lain-lain keperluan keselamatan.
18.2.3 Kajian Semula Pematuhan Teknikal
Mengkaji semula sistem maklumat secara berkala terhadap
pematuhan dasar keselamatan dan piawaian.
T A M A T
DASAR KESELAMATAN ICT SPP
DKICT SPP Versi 2.0 Tarikh Kuatkuasa: 27 Mei 2015 Muka Surat: 37
LAMPIRAN A
SURAT AKUAN PEMATUHAN
DASAR KESELAMATAN ICT
SURUHANJAYA PERKHIDMATAN PELAJARAN
Nama (Huruf Besar) : .....................................................................................
No. Kad Pengenalan : .....................................................................................
Jawatan : .....................................................................................
Unit/ Bahagian/
Jabatan
: .....................................................................................
Adalah dengan sesungguhnya dan sebenarnya mengaku bahawa:
1. Saya telah membaca, memahami dan akur akan peruntukan-peruntukan
yang terkandung di dalam Dasar Keselamatan ICT SPP; dan
2. Jika saya ingkar kepada peruntukan-peruntukan yang ditetapkan, maka
tindakan sewajarnya boleh diambil ke atas diri saya.
Tandatangan : ............................................................................................
Tarikh : ............................................................................................
Pengesahan Ketua Jabatan/ Bahagian
.........................................................................................
( )
b.p. Setiausaha
Suruhanjaya Perkhidmatan Pelajaran
Tarikh: ...................................................
DASAR KESELAMATAN ICT SPP
DKICT SPP Versi 2.0 Tarikh Kuatkuasa: 27 Mei 2015 Muka Surat: 38
LAMPIRAN B
SENARAI PERUNDANGAN DAN PERATURAN
1. Arahan Keselamatan
2. Surat Pekeliling Am Bil.2 Tahun 2000 - Peranan Jawatankuasa-
jawatankuasa di Bawah Jawatankuasa IT dan Internet Kerajaan (JITIK)
3. Pekeliling Am Bilangan 3 Tahun 2000 – Rangka Dasar Keselamatan
Teknologi Maklumat dan Komunikasi Kerajaan
4. Pekeliling Kemajuan Pentadbiran Awam Bil.1/2003 - Garis Panduan
Mengenai Tatacara Penggunaan Internet dan Mel Elektronik
5. Surat Pekeliling Am Bil.6/2005 - Garis Panduan Penilaian Risiko Keselamatan
Maklumat Sektor Awam
6. Surat Pekeliling Am Bil.4/2006 - Pengurusan Pengendalian Insiden
Keselamatan Teknologi Maklumat dan Komunikasi (ICT) Sektor Awam
7. Surat Arahan Ketua Setiausaha Negara – 20 Oktober 2006: Langkah-
langkah untuk Memperkukuhkan Keselamatan Rangkaian Setempat Tanpa
Wayer (Wireless Local Area Network) di Agensi-Agensi Kerajaan
8. Surat Arahan Ketua Pengarah MAMPU, 1 Jun 2007: Langkah-langkah
Mengenai Penggunaan Mel Elektronik di Agensi-agensi Kerajaan
9. Surat Arahan Ketua Pengarah MAMPU, 23 November 2007: Langkah-
langkah Pemantapan Pelaksanaan Sistem Mel Elektronik di Agensi-agensi
Kerajaan
10. Surat Pekeliling Am Bil.3/2009 - Garis Panduan Penilaian Tahap
Keselamatan Rangkaian dan Sistem ICT Sektor Awam
11. Surat Arahan Ketua MAMPU – 22 Januari 2010 : Pengurusan
Kesinambungan Perkhidmatan Agensi Sektor Awam
12. Surat Arahan Ketua MAMPU - 24 November 2010 : Pelaksanaan Pensijilan
MS ISO/IEC 27001:2007 Dalam Sektor Awam
13. Edaran Melalui Emel KP MAMPU - 8 April 2011 : Amalan Terbaik
Penggunaan Media Jaringan Sosial Di Sektor Awam
14. Akta Rahsia Rasmi 1972
15. Akta Hak Cipta (Pindaan) Tahun 1997
16. Akta Komunikasi dan Multimedia 1998
17. Perintah-Perintah Am
18. Arahan Perbendaharaan