hjh jafizatul azlinda bt jaafar - mykms.mbpj.gov.mymykms.mbpj.gov.my/attachments/article/448/info...
TRANSCRIPT
CERTIFIED TO ISO/IEC 27001:2013
CERT NO: AR 6424
HJH JAFIZATUL AZLINDA BT JAAFARPEN PENGARAH KANAN TEKNOLOGI MAKLUMAT
UNIT TEKNOLOGI MAKLUMAT
MAJLIS BANDARAYA PETALING JAYA
PENGENALAN ORGANISASI
PELAKSANAAN ISMS
SKOP & OBJEKTIF PELAKSANAAN
STRUKTUR JAWATANKUASA ISMS
POLISI DAN GARISPANDUAN
FAKTOR KEJAYAAN
RUMUSAN
SAMSUL BAHARI
SEKSYEN PENTADBIRAN & QRD
JAFIZATUL AZLINDA
FAZILA ROZI
FAZLINA SHIMA
SYAHRIL RAFIZAN
SAHLAWATI LIZA
NOR HAZIRA HAFIZ
ERWIN AKHSAN
SEKSYEN PENGURUSAN
APLIKASI
ZATUL ‘IFFAH
HAFIZA SAHANA
MAT NIZAM ASLIN
KHAIRUDDIN SUHAILA
ZAMHANA
NURUL IZZATY
SEKSYEN INFRASTRUKTUR
DAN TEKNIKAL ICT
UMMU FATIN
KHAIRUL NIZAM ZULHILMI
AIZUL FARID
RASHDAN HARRIS
SUFI SYAFIQ
PETUNJUK
PENGARAH TEKNOLOGI MAKKLUMAT (PTM) - F52 (KUP)
PEN PENGARAH TEKNOLOGI MAKLUMAT KANAN - PTMk F44
PEGAWAI TEKNOLOGI MAKLUMAT – PTM F41
PEN.PEGAWAI TEKNOLOGI MAKLUMAT (KANAN) – PPTMk F32(KUP)
PEN.PEGAWAI TEKNOLOGI MAKLUMAT – PPTM FA29
JURUTEKNIK – FT19
PEMBANTU TADBIR (KANAN) – PTbk N22
PEMBANTU TADBIR – PTb N19
PEMBANTU OPERASI – N 11
PEMANDU – R11
CARTA UNIT TEKNOLOGI MAKLUMAT 2018
MAJLIS BANDARAYA PETALING JAYA
UNIT
SOSIAL MEDIA
HASRA IZZATY
NAIMAH
AMIRUL
AZWAN
AZIMAH
• Jumlah Jawatan : 37
• Pengisian : 37
• CFS – Contract For Service
HANIF
ICT PEMACU UTAMA BANDARAYA PETALING
JAYA YANG CEMERLANG, DINAMIK DAN
LESTARI
MEMPERKASAKAN KAPASITI ICT DAN MEMANTAPKAN
SISTEM PENYAMPAIAN DIGITAL BAGI MENINGKATKAN
KECEKAPAN DAN KEBOLEHPERCAYAAN PERKHIDMATAN
BANDARAYA
PENGUKUHAN
APLIKASI
SECARA
BERSEPADU DAN
BERKESAN
PENGUKUHAN
INFRASTRUKTUR
ICT YANG
SELAMAT DAN
STABIL
PEMANTAPAN
MODAL INSAN
DAN
PEMBUDAYAAN
ICT
PENGUKUHAN
KUALITI SISTEM
PENYAMPAIAN
DAN TADBIR
URUS ICT1
2
3
4
VISI, MISI DAN OBJEKTIF UNIT TEKNOLOGI MAKLUMAT
Majlis Bandaraya Petaling Jaya telah memperolehi pensijilan ISO/IEC 27001:2013
dari SIRIM QAS International Sdn. Bhd. pada 22 Oktober 2015 yang lalu atas
kejayaan dalam melaksanakan Sistem Pengurusan Keselamatan Maklumat
(ISMS). Pensijilan adalah bagi skop Sistem Pengurusan Keselamatan bagi
Maklumat Elektronik Cukai Taksiran dan diperbaharui setiap tahun untuk
memastikan MBPJ masih relevan dan konsisten dalam melaksanakan ISMS.
Tahun
2015
Sekarang
Objektif pelaksanaan ISMS adalah
untuk mengawal keselamatan
maklumat dari segi kerahsiaan, integriti
dan kebolehsediaan mengenalpasti
ancaman risiko dalam persekitaran ICT
dan meningkatkan keyakinan
pelanggan kepada tahap keselamatan
maklumat.
PERJALANAN ISMS ISO/IEC 27001:2013
2014Tahun Mula
2015Pensijilan
2016 Surveiilance
Audit
2017Surveillance
Audit
2018Pensijilan
Semula
PERJALANAN ISMS ISO/IEC 27001:2013
22 Okt 2015 21 Okt 2018
Bermula pada tahun 2014, Unit Teknologi Maklumat telah mula melaksanakan program Pensijilan ISO/IEC 27001:2013.
Mesyuarat Pelaksanaan ISMS yang pertama telah diadakan pada 30 Oktober 2014 bagi mengenalpasti skop yang
dipilih.
Pada tahun 2015, bermula aktiviti audit dijalankan
7 hingga 8 April 2015 - Pasukan Audit Dalam
25-26 Jun 2015 - Audit Luar ISMS Peringkat satu (1)
12-14 Ogos 2015 - Audit Luar ISMS Peringkat dua (2)
Pengiktirafan Pensijilan ISMS kali pertama pada 22 Oktober 2015 . Tempoh pensijilan adalah selama 3 tahun dan
berakhir pada 21 Oktober 2018
2016 - Aktiviti Surveillance Audit
2017 - Aktiviti Surveillance Audit
Aktiviti Pensijilan Semula ISMS 2018
Unit Teknologi Maklumat
2015
KEJAYAAN
Secara keseluruhannya perlaksanaan ISMS adalah memenuhi keperluan
standard ISO/IEC 27001:2013 dan polisi / prosedur yang telah
dibangunkan di peringkat MBPJ.
Pihak Majlis telah berjaya memperolehi Pensijilan ISMS pada 22 Oktober
2015.
CERTIFIED TO ISO/IEC 27001:2013
CERT. NO. : AR 6424
PELAKSANAAN ISMS DI MBPJ
Penentuan Skop
Laksana Penilaian Risiko
Kenalpasti Risiko yang perlu dirawat dalam Risk Treatment Plan
(RTP)
Kenalpasti Kawalan Keselamatan
berdasarkan Annexe A
Pelaksanaan ISMS & Program Kesedaran
Pengukuran Keberkesanan
Audit Dalaman
Mesyuarat KajianSemula Pengurusan
(MKSP)
Audit SIRIM
PELAKSANAAN ISMS DI MBPJ
2
8 3
7
6 5
4
9 1
SISTEM CUKAI TAKSIRAN
SISTEM PENILAIAN
SISTEM KUTIPANSISTEM PENGURUSAN
LATIHAN
PUSAT DATA MBPJ
Skop ISMS MBPJ merangkumi Pusat Data dan sistem
maklumat ICT yang melibatkan hasil utama Majlis dan memberikanimpak tinggi kepada organisasi
PENENTUAN SKOP
LAKSANA PENILAIAN RISIKO
Pengemaskinian MyRAMhttps://myram.mampu.gov.my/index.php
RISK TREATMENT PLAN (RTP)
Category Asset Threat Mitigation PlanTime length
StatusStart End
Software Oracle 9.2.0 Loss of
personal
• Melantik pembantu DBA
• Melantik pembantu DBA
dikalangan kakitangan sedia
ada
Jun-16 Dec-16 Telah dilantik
pada tahun
2016 -
completed
People Staf UTM Personnel is
not
competent
Permohonan latihan PLSQL
telah diminta untuk bajet 2016-
2017
Jun-16 Dec-17 Penyediaan
paperwork,
target
completion
training
attended
Software Oracle 9.2.0 End of
Support
Loss of Data
Kajian Teknologi baru - 2017
Fine tuning healthcheck 6 mth
Oracle support from Array
Technology - preventive
maintenance every 3 mths
(space, i/o, table space
availability, user scema status,
object error checking, lock
checking, share pool clear,
temporary table space
maintenance)
Apr-17 Jul-17 Projek naiktaraf
server
pangkalan data
dan oracle 9i
kepada oracle
12c bermula
pada 14 Feb
dan berakhir
pada Julai
2017
Berdasarkan Penyataan Dasar ISMS yang telah dinyatakan pada Bab 3.3,
empat (4) objektif keselamatan maklumat telah dikenalpasti dan perlu
dicapai iaitu:
Memastikan program kesedaran keselamatan ICT dilaksanakan
sekurang-kurangnya sekali setahun.
Memastikan aktiviti backup dilaksanakan dengan berjaya pada setiap
bulan dan aktiviti restore dilaksanakan dengan berjaya bagi menjamin
keselamatan dan ketersediaan data/maklumat di Sistem Cukai Taksiran.
Melaksanakan semakan kawalan capaian sebanyak dua (2) kali setahun
bagi memastikan keselamatan data/maklumat di Sistem Cukai Taksiran
terjamin.
Memastikan pelan pengunjuran kapasiti dilaksanakan sekurang-
kurangnya sekali setahun.
OBJEKTIF KESELAMATAN
Matrik PengukuranPENGUKURAN KEBERKESANAN
SOA (Statement of Applicability)
Like the Quality Manual in ISO 9001, it is the central
document that defines how we will implement a large part
of information security.
Matrik Pengukuran113 KAWALAN KESELAMATAN
Satu kawalan yang tidak terpakai di MBPJ
ialah dibawah klausa 13.2.2 – Agrements
in information transfer kerana klausa ini
tidak terlibat dalam skop pelaksanaan
Majlis
Matrik PengukuranSTRUKTUR JAWATANKUASA ISMS
BIL JABATAN/BAHAGIAN PERANAN DAN TANGGUNGJAWAB
JABATAN UTAMA
1 Unit Teknologi Maklumat • Pentadbir dan pelaksana sistem Penilaian & Cukai taksiran
dan kutipan hasil
• Menguruskan Pusat Data
• Pasukan Pelaksana ISMS
2 Jabatan Penilaian• Pengguna dan pelaksana Sistem cukai taksiran Sistem
Penilaian & Cukai taksiran dan kutipan hasil
• Pasukan Pelaksana ISMS
3 Jabatan Perbendaharaan
JABATAN SOKONGAN
4 Jabatan Penguatkuasaan • Kawalan keselamatan bangunan Majlis
• CCTV
5 Jabatan Kejuruteraan • Penyelenggaraan bangunan – Aircond, elektrik , kawalan
sistem pencegah kebakaran
6 Bahagian Sumber Manusia • Pelaksanaan Fire Drill
• Perlantikan dan Penamatan Kakitangan Majlis
• Latihan Kompentensi Kepada Kakitangan Majlis
7 Unit Korporat • Sokongan & penglibatan dlm ISO & ISMS Majlis
8 Unit Perundangan • Dokumen perjanjian dengan pihak pembekal dan akta yang
perlu dipatuhi oleh Majlis berkaitan pengeluaran dan
pemprosesan Bil Cukai taksiran.
PERANAN DAN TANGGUNGJAWAB
Sistem dokumentasi telah dibangunkan oleh pasukan ISMS
dengan merujuk kepada Prosedur Kawalan Dokumen ISMS
dan Prosedur Kawalan Rekod ISMS .
Terdapat lima (5) peringkat dokumen iaitu
P1 – Manual Keselamatan,
P2 – Prosedur ISMS,
P3 – Standard Operating Procedure (SOP),
P4 - Contoh Borang
P5 - Dokumen Sokongan.
Kesemua dokumentasi yang diperlukan oleh klausa 7.5.1
dan prosedur wajib telah disediakan oleh pasukan ISMS
mengikut keperluan standard ISO/IEC 27001:2013.
Matrik PengukuranDOKUMENTASI ISMS
Versi 3.0
DKICT mengandungi arahan
keselamatan berkaitan kawalan aset-
aset majlis, keselamatan sumber
manusia, keselamatan fizikal dan
pengurusan operasi dan kawalan.
Hebahan DKICT dibuat melalui email
secara berkala untuk semua kakitangan
Majlis.
Akses Laman Web
http://eps.mbpj.gov.my/dkictv3.1.pdf
Akses Portal KMS
http://mykms.mbpj.gov.my/index.php/gar
is-panduan-mbpj/85-dasar-keselamatan
Arahan serta polisi seperti penggunaan
emel telah diedarkan kepada semua
warga mbpj.
Polisi Emel
http://eps.mbpj.gov.my/emel.pdf
3.1
12 MESEJ PEMATUHAN DKICT MBPJ
Bil Nama Dokumen No. Rujukan ISMS Version
1 Manual Keselamatan MBPJ-ISMS-P1-001 3.0
2 Prosedur Kawalan Dokumen ISMS MBPJ-ISMS-P1-002 2.0
3 Prosedur Kawalan Rekod MBPJ-ISMS-P1-003 1.2
4 Prosedur Audit Dalam MBPJ-ISMS-P1-004 1.2
5 Prosedur Penambahbaikan dan Tindakan Pembetulan MBPJ-ISMS-P1-005 1.2
6 Prosedur Pengukuran Keberkesanan MBPJ-ISMS-P1-006 1.2
7 Risk Assessment Guideline MBPJ-ISMS-P1-007 2.1
8 Penilaian Risiko MBPJ-ISMS-P1-008 3.0
9 Risk Treatment Plan MBPJ-ISMS-P1-009 3.0
10 Statement of Applicability MBPJ-ISMS-P1-010 2.0
11 Panduan Mesyuarat Kajian Semula ISMS MBPJ-ISMS-P1-011 1.2
12 Panduan Program Kesedaran ISMS MBPJ-ISMS-P1-012 1.2
P1 – Manual Keselamatan
BIL. NAMA DOKUMENNO. RUJUKAN
ISMS
VERSIO
N
1 Prosedur Klasifikasi dan Pengendalian Maklumat ISMS-P2-001 1.2
2Prosedur Pengurusan Kata Nama Pengguna (User ID) dan
Kata Laluan (Password)
ISMS-P2-002 1.2
3 Prosedur Pertukaran Maklumat ISMS-P2-003 1.2
4 Prosedur Kawalan Keselamatan Sistem Pengoperasian ISMS-P2-004 1.2
5 Prosedur Pengurusan Insiden Keselamatan ICT ISMS-P2-005 1.2
6 Prosedur Pengurusan Perubahan ISMS-P2-006 1.2
7 Prosedur Pengendalian Media ISMS-P2-007 1.2
8 Prosedur Pengurusan Pembekal dan Pihak Ketiga ISMS-P2-008 1.2
9 Prosedur Pengurusan Keselamatan Fizikal Pusat Data ISMS-P2-009 1.2
10 Prosedur Pengurusan Patch ISMS-P2-010 1.2
11Prosedur Pengurusan Anti-Virus bagi Server dan
Perlindungan Kod Perosak
ISMS-P2-012 2.0
12Prosedur Pengurusan e-Mel bagi Pengurusan e-Mel Data
Cukai Taksiran
ISMS-P2-015 1.2
13 Prosedur Kawalan Keselamatan Log-On ISMS-P2-018 1.2
14 Prosedur Pengurusan Kapasiti Sumber ISMS-P2-019 1.2
15 Prosedur Melindungi Harta Intelek ISMS-P2-020 1,2
16 Prosedur Pemantauan Penggunaan Sistem ISMS-P2-021 1.2
BIL Nama Dokumen (P3) No. Rujukan ISMS Versi
1 Prosedur Polisi Pengendalian Backup Dan Reload Data MBPJ-ISMS-P3-001 2.0
2 Prosedur Pelaksanaan Pelan Pemulihan Bencana MBPJ-ISMS-P3-002 1.1
3 Permohonan Penggunaan VPN MBPJ-ISMS-P3-003 1.1
4 Prosedur Pengendalian Firewall MBPJ-ISMS-P3-004 1.1
5 Prosedur Mendapatkan Rakaman CCTV MBPJ-ISMS-P3-005 1.1
6Prosedur Proses Memohon Pengesahan Borang Maklumbalas
Pelaksanaan Sistem MyRAM AppMBPJ-ISMS-P3-006 1.1
7 Prosedur Pengesahan Piagam Pelanggan MBPJ-ISMS-P3-007 1.1
8Prosedur Penyelenggaraan Pencegahan Perkakasan dan
Perisian (PM)MBPJ-ISMS-P3-008 1.1
9 Prosedur Kebenaran Melakukan Kerja di Pusat Data MBPJ MBPJ-ISMS-P3-009 1.1
10 Prosedur Pematuhan DKICT Kakitangan atau Pembekal MBPJ-ISMS-P3-010 1.1
11 Proses Penambahbaikan Sistem MBPJ-ISMS-P3-011 1.1
12 Prosedur Proses Melaksanakan Polisi Pertukaran Katalaluan MBPJ-ISMS-P3-012 1.1
13 Prosedur Penyelenggaraan Server Dan Perisian MBPJ-ISMS-P3-013 1.1
14 Prosedur Pinjaman Peralatan Komputer di MBPJ MBPJ-ISMS-P3-014 1.1
15 Proses Kerja Perkhidmatan Rangkaian Wireless MBPJ MBPJ-ISMS-P3-016 1.1
16 Prosedur Pelawat Unit Teknologi Maklumat MBPJ-ISMS-P3-017 1.1
17 Prosedur Penghantaran Pita Media Backup MBPJ-ISMS-P3-018 1.1
18 Prosedur Permohonan Remote Access Server oleh Pihak Ketiga MBPJ-ISMS-P3-019 1.1
19 Prosedur Proses Pemuliharaan Ancaman Siber MBPJ-ISMS-P3-020 1.1
20 Prosedur Mobile Form ISMS MBPJ-ISMS-P3-021 1.0
Unit Teknologi Maklumat
2015
BENGKEL ISMS
TAKLIMAT ISMS
Unit Teknologi Maklumat
2015
TAKLIMAT ISMS
Bengkel dan lawatan Kerja ISMS
Susulan daripada kejayaan Pensijilan ISMS itu, pasukan
kerja ISMS telah mengadakan 1 lawatan kerja ke Jabatan
Komputer Kota kinabalu SABAH pada 13-15 dec 2015 untuk
sesi perkongsian persediaan dan persiapan Jabatan
Perkhidmatan Komputer Sabah (JPKN) menghadapi
‘Surveillance Audit’ bagi mengekalkan prestasi pensijilan
ISMS mereka.
Bengkel penambahbaikan dokumentasi
Dokumen ISMS melalui
Sistem ISO DMS
35
Menggantikan Pengunaan borang
manual semasa kepada Aplikasi mudah
alih - smartphone
SEBELUM SELEPAS
PENANDA ARASPELAKSANAANMFORM ISMS
ROAD MAP ISMS ISO/IEC 27001:2013
Audit DalamanISMS
Audit PemantauanSIRIM
SasaranPensijilanSemulaMAC-APRIL 2018
OGOS 2018
OKT 2018
ISO/IEC 27001:2013 ISMS CARTA PERBATUAN 2018
NO AKTIVITITAHUN 2017 TAHUN 2018
NOV DEC JAN FEB MAC APR MEI JUN JULYOGO
SSEPT OKT NOV DIS
1Perancangan Penyediaan Pensijilan ISMS
PENYEDIAAN PENSIJILAN ISO/IEC 27001:2013 ISMS
2 Mesyuarat Pasukan Induk ISMS 4 53 Bengkel Semakan Dokumen ISMS
4Program Kesedaran Keselamatan ICT
21
5Mesyuarat RTP(Risk Treatment Plan)
6 Semakan Dokumentasi MYRAM7 Semakan Dokumen P1-P38 Semakan RA (Risk Assessment)9 Semakan Dokumen sokongan ISMS
10 Semakan SOA11 Preventive Maintainance12 Audit Dalaman ISMS13 Semakan Semula Audit Dalam
14Mesyuarat MKSP/Pengurus Tertinggi
15 Fire Drill Tindakan Bahagian Sumber Manusia16 Pensijilan Semula ISMS
PerancanganAwal
TarikhSebenar
PENANDA ARASFAKTOR KEJAYAAN
Peningkatan
Pemahaman Prosedur
Kerja dan Dokumentasi
ISMS
Mempunyai pasukan
audit yang terlatih dan
mempunyai Ahli
dengan kepakaran
tersendiri
Peluasan Penggunaan
Teknologi Terkini dengan
menggunakan Mobile
Technology & Online System
Menghadiri Kursus,
Seminar dan Bengkel
Pemantapan ISMS
Perbincangan Dan Percambahan
Idea antara Pihak Pengurusan,
Pegawai Teknologi Maklumat dan
Bahagian – Bahagian Lain.
Komitmen dan Sokongan
antara Pihak Pengurusan
RUMUSANPengurusan keselamatan ICT yang lebih cekap, perancangan yang tepat,
perkhidmatan yang efisien dan penyelenggaraan yang teratur merupakan matlamat
utama Unit Teknologi Maklumat bagi memastikan pentadbiran dalam pengurusan
ICT yang lebih cemerlang. Unit akan terus menjayakan program ISMS mengikut
perancangan strategik dengan penyediaan sumber yang mencukupi supaya dapat
menghadapi cabaran-cabaran IT yang semakin mencabar.