ke arah implementasi sistem polisi keselamatan ict
TRANSCRIPT
KE ARAH IMPLEMENTASI
SISTEM POLISI KESELAMATAN ICT
KAJIAN KES : PUSAT TEKNOLOGI MAKLUMAT DAN KOMUNIKASI
AZHARI BIN HJ AHMAD
Laporan projek ini dikemukakan
sebagai memenuhi sebahagian daripada syarat
penganugerahan Ijazah Sarjana Sains ( Teknologi Maklumat – Pengurusan )
Fakulti Sains Komputer dan Sistem Maklumat
Universiti Teknologi Malaysia
OKTOBER 2008
iii
To my beloved family
Harliza bte Haris , Nur Farhana Athirah
Hjh Khadijah, Hj Haris and Hjh Mariam
for their continuos support, motivation
and understanding
iv
PENGHARGAAN
Segala puji dan kesyukuran pada Ilahi serta salam buat rasul junjungan yang
telah menurunkan ilmu kepada seluruh umat manusia untuk di manfaat hingga ke akhir
zaman. Dengan berkat dan rahmat dariNya pembangunan Sistem Polisi Keselamatan
ICT ini telah dapat disiapkan.
Ucapan berbanyak terima kasih kepada Profesor Zamri b. Mohamed, selaku
penyelia projek ini yang telah memberikan tunjuk ajar dan nasihat kepada saya dalam
usaha menyiapkan projek ini. Disamping itu tidak lupa juga jutaan terima kasih kepada
Profesor Madya Wardah bte Zainal Abidin dan Profesor Madya Dr Azizah bte Zainal
Abidin kerana memberi pandangan dan idea dalam pembangunan sistem ini. Terima
kasih juga ditujukan kepada pengurusan CICT yang telah memberikan kerjasama
didalam membangunkan projek ini terutama didalam mendapatkan maklumat serta
teguran membina bagi memastikan sistem yang dihasilkan boleh digunapakai untuk
meningkatkan lagi keberkesanan dalam memberikan perkhidmatan teknologi maklumat
kepada pengguna .
Akhir sekali jutaan terima kasih juga buat keluarga tersayang bonda, ayahnanda
dan bonda mertua serta keluarga yang tidak jemu-jemu mendoakan kejayaan anakanda
ini. Semoga usaha ini akan memberikan sesuatu yang berguna kepada organisasi dan
universiti di samping diberkati oleh Allah.
v
ABSTRAK Insiden keselamatan seringkali berlaku terhadap organisasi yang mempunyai
kemudahan talian internet dan memberi kemudahan perkhidmatan terhadap orang ramai.
Masalah ini juga berlaku kepada Pusat ICT umumnya dan UTM khususnya, dalam
menyediakan pelbagai kemudahan komputer dan talian internet kepada pengguna.
Mengikut kajian yang dilakukan, termasuk responden dari Pusat ICT masalah ini dapat
dikurangkan dengan menyediakan satu panduan dokumen polisi ICT, memberi
kesedaran dan menguatkuasa akan Polisi ICT yang lengkap dan menyeluruh. Keadaan
ini menyebabkan fakulti atau jabatan di UTM terpaksa menggunakan inisiatif sendiri
bagi menyediakan polisi keselamatan ICT yang bersesuaian dengan keperluan mereka
seperti polisi penggunaan komputer di Perpustakaan Sultanah Zanariah. Tujuan projek
ini adalah untuk membangunkan, menyediakan dan merekabentuk suatu sistem polisi
keselamatan ICT agar dapat membantu pusat ICT sebagai sekretariat keselamatan ICT,
UTM bagi menyediakan dokumen polisi keselamatan ICT yang baik, lengkap dan
menyeluruh. Di samping itu, dokumen tersebut mestilah patuh kepada piawaian ISO
27001 dan Dasar Keselamatan Teknologi Maklumat dan Komunikasi untuk Sektor
Awam oleh MAMPU. Sistem Polisi Keselamatan ICT ini berasaskan web serta boleh
dicapai melalui rangkaian Internet, memberikan kemudahan kepada setiap peringkat
pengurusan, pentadbir IT dan pengguna dalam memberikan dan menerima
perkhidmatan ICT yang berkesan dan lebih baik.
vi
ABSTRACT
Breach of safety incidence occurs frequently to organization that own internet
connections especially if it is a public internet service facility. The problem exist to
CICT-UTM as well as other goverment organization in preparing the internet
connection to users. The study is based on questionaires of respondence at CICT that
concluded that the internet security problem may be reduced by implementing an ICT
policy, give an awareness to users globally and fully enforced the strict policy to users.
Even though that on-shelf security and policy system are existed in the market, but
mostly is about and focusing on the evaluation of the risk and managing the risk. This
difficulty has made the IT management of the faculty and centres in UTM making their
own initiatives by making and implementing the policy that only suit their own
requirement. For example, PSZ-UTM is enforcing their own developed ICT policy and
enforcing it by policing the user frequently. This projects is about developing, preparing
and designing a system for ICT security policy that will assist the security implementer
around the UTM-Campus. It will also assume that CICT will act as ICT security policy
secretariat with the role of preparing the comprehensive safety policy documentations.
The security policy document created in the thesis is in compliance with international
standard organization of ISO27011 and Policy of Security of Information Technology
and Communication for Public Sector produced by MAMPU. A web based ICT safety
policy system develop in the projects will assist the internet administrator in providing a
better and effective services in UTM.
vii
KANDUNGAN
BAB PERKARA MUKA SURAT
PENGAKUAN ii
DEDIKASI iii
PENGHARGAAN iv
ABSTRAK v
ABSTRACT vi
KANDUNGAN vii-xi
SENARAI JADUAL xii
SENARAI RAJAH xiii-xiv
SENARAI SINGKATAN xv
SENARAI LAMPIRAN xvi
1 PENGENALAN PROJEK
1.1 Pengenalan 1
1.2 Latar Belakang Masalah 2
1.3 Pernyataan Masalah 4
1.4 Matlamat Projek 5
1.5 Objektif Projek 5
1.6 Skop Projek 5
1.7 Faedah Projek 6
1.7.1 Faedah Untuk Pusat ICT, UTM 6
1.7.2 Faedah kepada Pusat ICT, IPTA secara umum 6
1.8 Ringkasan Bab 7
2 KAJIAN LITERASI
2.1 Pengenalan 8
viii
2.2 Isu Yang Dibangkitkan 8
2.3 Latar belakang dan Kajian Awal 10
2.4 Piawaian mengenai Polisi Keselamatan 12
2.4.1 Persediaan Perlaksanaan Polisi Keselamatan 14
2.4.2 Proses Pemadanan Polisi Keselamatan ICT 16
2.4.3 Perlaksanaan Polisi Keselamatan ICT Universiti 17
2.5 Aplikasi Berdasarkan Web 17
2.5.1 Information Technology Infrastructure Library 18
2.5.2 Active Server Pages (ASP) 19
2.5.3 Pangkalan Data Microsoft Access 20
2.5.4 Pelayan Internet Information Services 21
2.5.5 Perbincangan Pembangunan Sistem 22
2.6 Sistem Peralatan Polisi Keselamatan ICT Sedia Ada 22
2.6.1 Polisi Keselamatan ICT Berkaitan
Analisa Risiko 22
2.6.2 Polisi Keselamatan ICT SECURIS 24
2.6.3 Polisi Keselamatan ICT MAMPU 26
2.6.4 Perbincangan 27
2.7 Ringkasan Bab 31
3 METODOLOGI PROJEK
3.1 Pengenalan 32
3.2 Matlamat 32
3.3 Metodologi Pembangunan 33
3.3.1 Kajian Terhadap Organisasi CICT 34
3.3.2 Kajian Terhadap Sistem Polisi Keselamatan
ICT di UTM 35
3.3.3 Kajian Terhadap Perisian Yang Dipilih 35
3.3.4 Pemilihan Ciri-Ciri Perisian dan Penambahan
Ciri Dari Kajian Keperluan Pengguna 36
3.4 Keperluan Perisian 36
3.4.1 Pelantar Sistem Operasi 37
3.4.2 Pangkalan Data 38
ix
3.4.3 Perisian Aturcara 38
3.4.4 Perisian Pelayan Web 39
3.4.5 Penetapan Alamat URL 39
3.4.6 Perisian Pelayaran Web 39
3.5 Keperluan Perkakasan 40
3.5.1 Komputer Pengguna 40
3.5.2 Komputer Pelayan 40
3.6 Ringkasan Bab 41
4 HASIL KAJIAN
4.1 Pengenalan 42
4.2 CICT Sebagai Pusat Perkhidmatan Teknologi
Maklumat UTM 42
4.2.1 Misi dan Visi CICT 43
4.2.2 Objektif CICT 43
4.2.3 Carta Organisasi CICT 45
4.3 Latar Belakang Perlaksanaan Polisi Keselamatan
ICT 47
4.3.1 Struktur Organisasi Pusat Keselamatan ICT 47
4.3.2 Peraturan dan Tatacara Keselamatan ICT 49
4.4 Perlaksanaan Pembangunan Aplikasi Dan
Perkhidmatan Teknologi Maklumat di CICT 50
4.5 Hasil Kajian Keperluan CICT Untuk
Pembangunan Sistem Polisi Keselamatan ICT 52
4.6 Hasil Kajian Keperluan Pembangunan Sistem
Fakulti dan Bahagian 54
4.7 Perbandingan Ciri-Ciri Perisian Polisi Keselamatan
ICT 55
4.8 Pemilihan Ciri-Ciri Utama Perisian Di Pasaran 56
4.8.1 Ciri-ciri Tambahan Sistem Cadangan 57
4.7.2 Ciri-Ciri Utama Sistem Polisi Keselamatan
ICT 58
4.9. Rekabentuk Sistem 59
x
4.10. Rekabentuk Pangkalan Data 61
4.11 Rekabentuk Antaramuka 62
4.12 Penghasilan Data dan Laporan 63
4.13 Proses Penganalisaan 63
4.14 Ringkasan Bab 64 5 PEMBANGUNAN DAN IMPLEMENTASI SISTEM
5.1 Pengenalan 65
5.2 Pencapaian Pengguna Sistem 65
5.3 Modul-Modul Sistem Polisi Keselamatan ICT 66
5.3.1 Modul Umum 67
5.3.2 Modul Khusus 68
5.4 Pengujian Sistem 68
5.4.1 Pengujian Data dan Maklumat 68
5.4.2 Pengujian Validasi Data 69
5.4.3 Pengujian Keselamatan 70
5.4.4 Pengujian Aliran Proses Modul 70
5.4.5 Pengujian Masa Tindakbalas 70
5.4.6 Maklumbalas Pengguna 71
5.5 Penggunaan Sistem 71
5.5.1 Proses Login 72
5.5.1.1 Peringkat pengguna 72
5.5.2 Paparan Kawalan Polisi Keselamatan ICT
dan Kategori /Modul 73
5.5.3 Tambahan Kawalan , Sub Kawalan
dan Kategori/Modul 74
5.5.3.1 Tambah kawalan polisi baru 75
5.5.3.2 Tambahan Sub Polisi Kawalan Baru 76
5.5.3.3 Tambahan Modul/Kategori kepada Sub
Polisi Kawalan 76
5.5.4 Kemaskini,Sunting dan Hapus Kawalan,Sub
Kawalan pada Modul 77
5.5.4.1 Kemaskini Kawalan, Sub Kawalan dan
Modul/Kategori 77
xi
5.5.4.2 Hapuskan Kawalan , Sub Kawalan dan
Modul/Kategori 79
5.5.5 Membina Polisi Keselamatan ICT 79
5.6 Ringkasan Bab 83
6 PERBINCANGAN
6.1 Pengenalan 84
6.2 Perbincangan 84
6.2.1 Kejayaan Pembangunan Sistem Peralatan
Polisi Keselamatan ICT 84
6.2.2 Komponen Tadbir Urus ICT 85
6.2.3 Struktur Tadbir ICT 85
6.2.4 Persediaan Seminar/Bengkel Polisi
Keselamatan ICT 87
6.3 Cadangan Menjayakan Projek Ini Pada Masa
Akan Datang 87
6.3.1 Keselamatan Pangkalan Data 87
6.3.2 Pangkalan data yang lengkap dan menyeluruh 87
6.3.3 Capaian sistem melalui pelayar web 87
6.4 Ringkasan Bab 88
7 KESIMPULAN
7.1 Pengenalan 89
7.2 Pencapaian 89
7.3 Kekuatan Sistem 90
7.4 Kekangan 91
7.5 Cadangan Penambahbaikan 92
7.6 Ringkasan Bab 93
RUJUKAN 94-95 LAMPIRAN A - Z 96-144
xii
SENARAI JADUAL
JADUAL PERKARA MUKA SURAT
4.1 Senarai projek yang dilaksanakan oleh CICT 51
4.2 Perbandingan ciri positif dan negatif perisian pilihan 56
4.3 Ciri-ciri utama sistem cadangan 58
xiii
SENARAI RAJAH
RAJAH PERKARA MUKA SURAT
2.1 Peringkat kesedaran ISMS antara organisasi 9
2.2 Organisasi dan pemahaman keselamatan 9
2.3 Trafik Rangkaian Keluar Masuk UTM 11
2.4 Hubungan Polisi Keselamatan 14
2.5 Proses Keselamatan ICT Polisi 16
2.6 Pemantauan, Perancangan dan Pengawalan kualiti 24
2.7 Gambaran keseluruhan skema Projek SECURIS 25
3.1 Strategi Pembangunan Aplikasi Pantas 33
3.2 Konsep Pembangunan Aplikasi berasas Web 37
4.1 Struktur Organisasi CICT 45
4.2 Carta Organisasi Unit Keselamatan ICT 47
4.3 Rekabentuk Sistem Polisi Keselamatan CICT 61
5.1 Antaramuka modul proses memasuki sistem 67
5.2 Skrin Login 72
5.3 Skrin Utama Polisi Keselamatan ICT 73
5.4 Paparan Kawalan Polisi 74
5.5 Kawalan Paparan Polisi dan Kategori 74
5.6 Skrin paparan bagi tambahan kawalan polisi, sub kawalan 75
dan kategori/modul
5.7 Tambahan kawalan polisi baru 75
5.8 Tambahan sub polisi kawalan baru 76
5.9 Tambahan polisi baru kepada sub polisi kawalan 77
5.10 Menu Paparan – Penguruan Maklumat Keselamatan 78
5.11 Contoh Modul Kemaskini 78
xiv
5.12 Contoh Modul Hapus 79
5.13 Paparan Utama Membina Polisi Keselamatan ICT 80
5.14 Cetakan Polisi Keselamatan ICT 81
5.15 Bahagian kod sumber untuk membina dokumen Polisi 82
Keselamatan ICT
6.1 Jawatankuasa Struktur Tadbir ICT 86
xv
SENARAI SINGKATAN PERKATAAN
ISMS - Information Security Management System
NISER - National ICT Security & Emergency Response
Center
MAMPU - Malaysian Administrative Modernization and
Management Planning Unit
MyMIS - The Malaysian Public Sector ICT Management
Security Handbook
ISO - The International Organization for Standardization
IEC - The International Electrotechnical Commision
FDIS - Final Draft International Standard
TR - Technical Report
GMITS - Guidelines for the Management of IT Security
SECURIS - Model-driven Development and Analysis of Secure
Information Systems
HiLRA - The Malaysian Public Sector Information Security
High-Level Risk Assesment
ICTSO - Information and Communication Technology
Security Officer
SDLC - System Development Life Cycle
CIO - Chief Information Officer
xvi
SENARAI LAMPIRAN
LAMPIRAN TAJUK MUKA SURAT
A Kawalan Domain Berdasarkan ISO 27001 96
B Pengurus IT 97 - 98
C Soal Selidik 99 - 103
D Model Padanan 104 - 120
E Rajah Aktiviti 121
F Carta Gantt – Projek 1 122
G Carta Gantt – Projek 2 123
H Dokumen Polisi Keselamatan ICT 124 - 139
I Peranan Jawatankuasa Struktur Tadbir ICT 140 - 144
BAB 1
PENGENALAN
1.1 Pengenalan
Ledakan teknologi maklumat yang berkembang pesat di negara ini,
memperlihatkan betapa beruntungnya generasi masa kini berikutan terdedah kepada
dunia tanpa sempadan. Ia bukan saja berfungsi sebagai agen komunikasi, malah
menjadi jambatan untuk pengguna memanfaatkannya sebagai sebahagian daripada
rutin dan keperluan hidup. Keselamatan ICT berkait rapat dengan pelindungan
maklumat dan aset ICT. Ini kerana komponen peralatan perkakasan dan perisian
yang merupakan sebahagian daripada aset ICT organisasi kerajaan adalah pelaburan
besar dan perlu dilindungi. Begitu juga dengan maklumat yang tersimpan di dalam
sistem ICT, ia amat berharga kerana banyak sumber yang telah digunakan untuk
menghasilkannya dan sukar untuk dijana semula dalam jangkamasa yang singkat.
Tambahan pula terdapat maklumat yang diproses oleh sistem ICT adalah
sensitif dan terperingkat. Pendedahan tanpa kebenaran atau pembocoran rahsia boleh
memudaratkan kepentingan negara. Sebarang penggunaan aset ICT kerajaan selain
daripada maksud dan tujuan yang telah ditetapkan, adalah merupakan satu
penyalahgunaan sumber Kerajaan. Justeru itu satu tinjauan ISMS telah dibuat oleh
NISER (National IC Security & Emergency Response Center) dalam bulan Oktober
2003 terhadap 100 organisasi, kebiasaannya jenis serangan adalah serangan virus
(87%) dan mail spamming (83%). Lebih daripada 68% organisasi tersebut
mempunyai sedikit pengetahuan mengenai ISMS.1 Sementara lebih kurang 37%
organisasi tidak mempunyai polisi keselamatan langsung.
2
Bagi menangani risiko ini dari semasa ke semasa, Dasar Keselamatan ICT
Kerajaan akan diperjelaskan lagi melalui pengeluaran Piawaian Keselamatan ICT
yang mengandungi garis panduan serta langkah-langkah keselamatan ICT. Kegunaan
kesemua dokumen ini secara bersepadu adalah disarankan. Ini adalah kerana
pembentukan dasar, piawaian, peraturan, garis panduan dan langkah-langkah
keselamatan ini diorientasikan untuk melindungi kerahsiaan data, maklumat dan
sebarang kesimpulan yang boleh dibuat daripadanya.
1.2 Latar Belakang Masalah
Memandangkan sistem ICT sangat kompleks dan terdedah kepada
kelemahan, ancaman dan risiko, adalah tidak mudah untuk memenuhi keperluan ini.
Sistem ICT dan komponennya yang saling berhubungan dan bergantungan antara
satu dengan lain kerapkali mewujudkan pelbagai kelemahan.
Sesetengah risiko hanya menjadi kenyataan setelah masa berlalu manakala
sesetengahnya timbul apabila berlaku perubahan. Walau bagaimanapun risiko seperti
ini hendaklah dikenalpasti dan ditangani sewajarnya. Bagi menentukan Sistem ICT
ini terjamin keselamatannya sepanjang masa, Polisi dan Dasar Keselamatan ICT ini
merangkumi perlindungan semua bentuk maklumat yang dimasuk, diwujud,
dimusnah, disimpan, dijana, dicetak, dicapai, diedar, dalam penghantaran dan yang
dibuat salinan keselamatan ke dalam semua aset ICT.
Ini akan dilakukan melalui penubuhan dan penguatkuasaan sistem kawalan
dan prosedur dalam pengendalian semua perkara-perkara berikut :
i) Data dan Maklumat - Semua data dan maklumat yang disimpan atau
digunakan dipelbagai media atau peralatan ICT.
ii) Peralatan dan perkakasan ICT - Semua peralatan komputer dan
periferal seperti komputer peribadi, stesen kerja, kerangka utama dan
alat-alat prasarana seperti Uninterrupted Power Supply (UPS),
bekalan punca kuasa dan pendingin hawa.
3
iii) Media Storan - Semua alat berbentuk media storan dan peralatan
yang berkaitan seperti disket, kartrij, CD-ROM, pita, cakera, pemacu
cakera dan pemacu pita.
iv) Komunikasi dan Peralatan Rangkaian - Semua peralatan berkaitan
komunikasi seperti pelayan rangkaian, gateway, bridge, router dan
peralatan PABX.
iv) Perisian - Semua perisian yang digunakan untuk mengendali,
memproses, menyimpan, menjana dan mengirim maklumat. Ini
meliputi semua perisian sistem, perisian utiliti, perisian rangkaian,
program aplikasi, pangkalan data, fail program dan fail data.
v) Dokumentasi - Semua dokumentasi yang mengandungi maklumat
berkaitan dengan penggunaan dan pemasangan peralatan dan
perisian. Ia juga meliputi data dalam semua bentuk media seperti
salinan kekal, salinan elektronik, transparensi, risalah dan slaid.
vi) Manusia - Semua pengguna yang dibenarkan termasuk pentadbir dan
pengurus serta mereka yang bertanggungjawab terhadap keselamatan
ICT.
viii) Premis Komputer dan Komunikasi - semua kemudahan serta premis
yang diguna untuk menempatkan perkara (i)-(vii) di atas.
Justeru itu, satu Unit Keselamatan ICT perlu ditubuhkan di Pusat ICT, UTM
bagi memastikan perkhidmatan yang disediakan dan dilindungi dari serangan yang
disengajakan atau tidak disengajakan (seperti serangan virus dan cecacing). Unit ini
bertanggungjawab menyediakan pelayan dinding api dan proxy di laluan keluar
masuk fakulti dan bahagian dan juga dinding api di laluan utama rangkaian
universiti.
Disamping itu pemantauan terhadap keselamatan rangkaian dalaman ,sistem-
sistem pelayan, komputer-komputer pengguna dengan menggunakan beberapa
perisian seperti CISCO NAC (Network Access Control), OPMANAGER, Nagios,
MRTG (Multi Router Traffic Generator) dan Host Monitoring digunakan. Dengan
bantuan unit lain seperti Unit Rangkaian dan Bahagian Akademik kempen-kempen
kesedaran keselamatan ICT kepada pengguna kampus turut dilakukan. Unit ini akan
4
melihat perlaksanaan Polisi Keselamatan ICT yang telah diluluskan oleh pihak
universiti secara lebih terperinci .
Terdapat 5 pekeliling yang digariskan oleh agensi pusat (Malaysian
Administrative Modernization and Management and Management Planning
Unit(MAMPU) dan Jabatan Perdana Menteri) :
i) Pekeliling Am Bil. 3 Tahun 2000 : Rangka Dasar Keselamatan
Teknologi Maklumat dan Komunikasi Kerajaan.
ii) Pekeliling Am Bil. 1 Tahun 2001 : Mekanisme Pelaporan Insiden
Keselamatan Teknologi Maklumat dn Komunikasi(ICT).
iii) The Malaysian Public Sector ICT Management Security Handbook
(MyMIS), January 2002.
iv) Pekeliling Kemajuan Pentadbiran Awam Bil. 1 Tahun 2003 – Garis
Panduan Mengenai Tatacara Penggunaan Internet dan Mel Elektronik
di Agensi-agensi Kerajaan.
v) Surat Pekeliling Am Bilangan 6 Tahun 2005 – Garis Panduan
Melaksanakan Penilaian Risiko Keselamatan Maklumat Sektor
Awam.
1.3 Pernyataan Masalah
i) Walaupun polisi keselamatan ICT telah diluluskan oleh Universiti
pada tahun 2004 tetapi dokumen polisi keselamatan yang ada masih
belum dikaji secara menyeluruh untuk diimplementasi di UTM.
ii) Tiada terdapat sistem Polisi Keselamatan dari Pusat ICT dalam
membantu organisasi di UTM dalam menyediakan dokumen
Keselamatan ICT.
5
1.4 Matlamat Projek
Matlamat projek ini adalah menyediakan sistem untuk mambantu UTM
menyediakan polisi keselamatan ICT dengan berasakan piawaian ISO 27001 serta
pekeliling dan garis panduan dari MAMPU.
1.5 Objektif Projek
Objektif projek ini adalah seperti berikut :
i) Untuk membuat kajian bagi membangunkan prototaip berdasarkan
piawaian Keselamatan ICT yang sedia ada dari garispanduan yang
dikeluarkan oleh MAMPU dan piawaian ISO 27001.
ii) Untuk mendapatkan maklumat dan cadangan polisi keselamatan ICT
melalui sistem dari pegawai-pegawai terlibat dengan pengurusan ICT
UTM.
iii) Menghasilkan dan mengeluarkan dokumen Polisi Keselamatan ICT
untuk Pusat ICT umumnya dan UTM khususnya dengan
menggunakan sistem Polisi Keselamatan ICT yang dibangunkan.
1.6 Skop Projek
i) Analisa dan kajian terhadap piawaian keselamatan ISO 27001 dan
Dasar Keselamatan Teknologi Maklumat dan Komunikasi Untuk
Sektor Awam dan pekeliling yang dikeluarkan oleh MAMPU.
ii) Kajian ini akan dilakukan terhadap Pusat Teknologi Maklumat dan
Komunikasi, UTM yang bertindak sebagai sekretariat keselamatan
ICT, UTM.
6
iii) Suatu sistem Polisi Keselamatan ICT akan dibangunkan bagi
membantu Pusat ICT, UTM Skudai didalam membuat persediaan
mendokumenkan Polisi Keselamatan ICT. Untuk membangunkan
projek ini bahasa ASP dan Access sebagai pangkalan data akan
digunakan.
iv) Pengguna-pengguna sistem yang terlibat secara langsung dalam
perlaksanaan polisi keselamatan ICT adalah :
i. Pentadbir IT (Pusat Teknologi Maklumat dan Komunikasi)
ii. Pengurus IT
iii. Pegawai IT UTM (HEP,Canseleri, Bendahari, Pendaftar dan
Perpustakaan Sultanah Zanariah).
1.7 Faedah Projek
1.7.1 Faedah Untuk Pusat ICT, UTM
i) Pusat ICT akan menggunakan sistem Polisi Keselamatan ICT yang
dibangunkan bagi melahirkan Polisi Keselamatan ICT yang
bersesuaian dengan keperluan Universiti.
ii) Penggunaan sistem peralatan Polisi Keselamatan ICT akan
mengurangkan masa persediaan dan penyediaan dokumen.
iii) Semua input domain yang diperkenalkan oleh piawaian ISO 27001
pada bulan oktober 2005 boleh ditambah ke dalam pangkalan data.
Dengan itu pembangunan Polisi ICT akan menepati seperti yang
digariskan oleh MAMPU dan piawaian ISO 27001.
7
1.7.2 Faedah kepada Pusat ICT, IPTA Secara Umum
i) Pembangunan peralatan Polisi Keselamatan ini secara menyeluruh
boleh melahirkan Polisi Keselamatan ICT untuk IPTA yang lainnya.
ii) Kawalan-kawalan yang lainnya terhadap 11 kawalan domain (Sila
lihat di Lampiran A), dalam jenis piawaian yang berbeza boleh
dimasukkan ke dalam pangkalan data bagi memenuhi keperluan
organisasi.
1.8 Ringkasan Bab Pembangunan Sistem Polisi Keselamatan ICT ini mengambil kira keperluan
organisasi dan juga peningkatan kompetensi mereka yang terlibat dengan pengurusan
polisi. Pihak pengurusan organisasi di Pusat Teknologi Maklumat dan Komunikasi
(CICT) Universiti Teknologi Malaysia, ingin memastikan semua aset dan segala
yang berkaitan ICT mempunyai polisi keselamatan bagi menjamin UTM mempunyai
dasar polisi keselamatan ICT kepada warganya.
Pembangunan sistem ini mengambilkira penggunaan teknologi berasaskan
web bagi memudahkan maklumat dicapai dimana-mana lokasi tanpa mengira
pelantar operasi sistem komputer yang digunakan. Ia juga diharap boleh
dikembangkan dengan menambah ciri-ciri kaedah capaian dan memperincikan lagi
proses dan langkah-langkah yang dilaksanakan.
BAB 2
KAJIAN LITERATUR
2.1 Pengenalan
Bab ini menumpukan kepada kajian awalan dan perbincangan mengenai
kajian-kajian lepas yang berkaitan dengan sistem yang akan dibangunkan. Dalam
membangunkan sistem ini, pelbagai kajian telah dijalankan untuk memperolehi
maklumat, mengenalpasti dan memahami sesuatu masalah. Bab ini juga akan
menumpukan kepada empat perkara yang telah dikenalpasti dapat membantu
pengkaji dalam mendapatkan maklumat tentang sistem yang hendak dibangunkan.
Antara tumpuan kajian dalam bab ini ialah polisi keselamatan ICT, teknologi aplikasi
web dan kajian mengenai sistem yang telah dibangunkan sebelum ini ataupun yang
telah ada dijual dipasaran.
2.2 Isu Yang Dibangkitkan
Semua organisasi di UTM mengetahui tentang pentingnya kesedaran
keselamatan terhadap ICT, tetapi maklumat dan penguatkuasaan masih berada pada
tahap yang rendah. Berdasarkan tinjauan yang dibuat oleh NISER dan kerjasama AC
Nielsen pada bulan Oktober 2003 untuk 100 organisasi di Malaysia, menunjukkan
76% sedar tentang keperluan keselamatan ICT. (Ia merangkumi 43% peringkat
permulaan, 27% pada peringkat pertengahan dan 6% pada peringkat yang lebih
tinggi).
9
Ini dapat diterangkan pada rajah 2.12 di bawah :
Rajah 2.1 : Peringkat kesedaran ISMS antara organisasi
Kebanyakan organisasi yang ditinjau mempunyai polisi keselamatan untuk
mencegah daripada permasalahan keselamatan ICT yang difikirkan perlu.
Berdasarkan rajah 2.2 di bawah 63% sudah mempunyai Polisi Keselamatan, dan
melebihi 37% yang sudahpun menjalankan latihan kesedaran keselamatan.
Rajah 2.2 : Organisasi dan pemahaman keselamatan
Pada masa ini, dan ledakan teknologi ICT kebanyakan organisasi telahpun
sedar tentang perlunya pengawasan dan pengawalan terhadap harta dan aset ICT
daripada kerosakan dan bencana alam. Bagaimana dan bila organisasi mengawasi
dan mencegah aset ICT bergantung kepada sumber dan kebolehan membuat
10
keputusan dalam keselamatan ICT. Setiap organisasi perlu memahami unsur-unsur
asas pengurusan risiko seperti ancaman aset, kerosakan dan keselamatan aset dan
kesan kepada organisasi. Disiplin terhadap unsur ini adalah dikenali sebagai
pengurusan risiko.
2.3 Latar belakang dan Kajian Awal Pusat ICT UTM berperanan dalam memastikan semua organisasi di UTM
mempunyai polisi keselamatan bagi mengawasi setiap aset mereka. Dalam hal ini,
adalah baik sekiranya ada bahan berbentuk tulisan dan dokumen Polisi Keselamatan
ICT yang dapat membantu Pusat ICT, UTM khususnya dan organisasi dalam UTM
amnya dalam mengenalpasti dan mengawasi Keselamatan ICT. Polisi ini mestilah
peraturan biasa yang mudah difahami dan boleh disesuaikan untuk organisasi dalam
Universiti. Disamping itu setiap polisi mestilah mempunyai formula yang mampu
mengawal untuk mengukur keselamatan terhadap segala aset ICT.
MAMPU adalah peringkat pengurusan tertinggi yang memulakan
Keselamatan ICT terhadap sektor awam. Pihak MAMPU berperanan memulakan
serta selenggara terhadap Rangka Kerja Polisi Keselamatan dan pusat rujukan untuk
isu keselamatan untuk sektor awam. Isu-isu berkaitan keselamatan ICT yang boleh
mempengaruhi keberkesanan perlaksanaan dan perkhidmatan organisasi adalah
merupakan perkara utama. Peringkat pengurusan ICT perlu lebih fokus untuk
membangunkan setiap keperluan yang berkaitan dengan permasalahan keselamatan
dan isu ICT.
Untuk memulakan projek ini, satu set soal selidik sila lihat (Lampiran C)
berkenaan Pengurusan Keselamatan Maklumat telah diberikan untuk permulaan
kajian tentang isu keselamatan yang perlu ditekankan oleh Pusat ICT.
11
Berdasarkan soalselidik dan kajian awal, beberapa maklumat telah
dikumpulkan dan boleh diringkaskan seperti di bawah :
i) Kadar tingkatan penggunaan komputer di UTM (internet) begitu
tinggi terutama pada waktu puncak mencapai 100 MB iaitu mencapai
tahap maksimum (Sila lihat rajah 2.33 di bawah). Sekiranya berlaku
masalah kepada talian rangkaian akan menyebabkan urusan seharian
terhadap organisasi di UTM akan tergendala terutamanya bagi
pelajar-pelajar yang membuat penyelidikan, penghantaran e-mail,
carian maklumat dan sebagainya. Senario ini menunjukkan 100%
kebergantungan pengguna terhadap talian internet amat tinggi (Likert
Scale, 2001). Sementara itu talian rangkaian dalaman (intranet) tiada
masalah disebabkan setiap organisasi dihubungkan terus ke Pusat ICT
dengan menggunakan gigabit Ethernet (single-mode fibre optic).
Hanya 20% sahaja penggunaannya daripada penggunaan sebenar.
Rajah 2.3 : Trafik Rangkaian Keluar Masuk UTM
ii) Maklumat data yang sensitif perlu disimpan dan diawasi oleh Pusat
ICT.
12
iii) Pengalaman beberapa insiden keselamatan yang di hadapi oleh ICT
oleh Pusat ICT adalah :
a) Virus komputer, cecacing dan serangan kod-kod program yang
jahat.
b) Pencerobohan E-mail
c) Pekerja yang menyalahgunakan internet seperti memuat turun
bahan larangan.
d) Kecurian komputer.
iv) Perlu ada kerahsiaan (Confidentiality),integriti (Integrity) dan
kesediaan (Availability) (CIA) terhadap data sensitif atau kompromi
terhadap maklumat, yang akan memberi risiko terhadap Pusat ICT
dan UTM.
v) Adalah menjadi keperluan bagi pembangun dan pelaksana Polisi
Keselamatan untuk menyalurkan semua isu keselamatan dan
kemungkinan yang akan berlaku secara lebih teratur dan sistematik.
Ini bukan sahaja dapat menjadi panduan dalam pembangunan polisi
keselamatan yang akan dibina dalam projek ini.
2.4 Piawaian mengenai Polisi Keselamatan
“ISO 13335 Bahagian 1 (1998) menerangkan mengenai Polisi Keselamatan
sebagai peraturan, arahan dan latihan-latihan tentang pengawasan aset. Disamping
itu termasuk keselamatan maklumat yang sensitif pengurusan dan kawalan terhadap
organisasi serta pembangunan sistem-sistem IT.“
BS 7799 Part 2 (2002) :
“ Pengurusan hendaklah menyediakan arahan polisi yang jelas dan
memperlihatkan cara bantuan dan komitment untuk polisi keselamatan maklumat
melalui isu dan penyelenggaraan terhadap organisasi.“
13
ISO TR 13335 Part 4 (2000) :
“Pembangunan dokumen bertulis yang mana mengandungi peraturan, arahan
dan bagaimana pengurusan , kawalan dan agihan aset untuk sesebuah organisasi.
Ia sepatutnya menunjukkan keperluan dan menyediakan kandungan petunjuk
dokumen sistem polisi keselamatan “.
Berdasarkan daripada petikan diatas adalah jelas menujukkan begitu
pentingnya dan mustahaknya pembangunan polisi keselamatan dalam sesebuah
organisasi khususnya Pusat ICT yang berperanan sebagai peneraju utamanya. Polisi
keselamatan ini mestilah selari dengan polisi bisnes setiap organisasi.
Penitikberatan dalam ISO 1333 Part 3(2000) :
“Selepas pengukuhan objektif keselamatan organisasi, strategi keselamatan
IT hendaklah dibangunkan berasaskan polisi keselamatan IT korporat. Pembangunan
terhadap polisi keselamatan IT korporat adalah mustahak dalam menjamin proses
pengurusan risiko tepat dan efektif. Bantuan pengurusan keselamatan dari Pusat ICT
perlulah dapat merentasi organisasi yang memerlukan untuk implementasi polisi di
tempat mereka secara berkesan. Sudah semestinya perlu ada penjajaran dalam
memastikan pendekatan terhadap keselamatan IT merentasi jurang perbezaan
suasana sistem keselamatan yang telah dijalankan oleh organisasi di UTM.
14
Hubungan antara polisi dalam sesebuah organisasi boleh dihuraikan dalam
Rajah 2.44 di bawah :
Polisi Bisnes Korporat, Objektif dan Strategi
Polisi Keselamatan Korporat Polisi IT Korporat
Polisi IT Keselamatan Korporat
Pasaran Polisi Korporat
Jabatan Keselamatan Polisi IT
….
Sistem A Polisi Keselamatan IT
Rajah 2.4 : Hubungan Polisi Keselamatan
2.4.1 Persediaan Perlaksanaan Polisi Keselamatan
Polisi Keselamatan mestilah mengandungi arahan dan pengurusan yang jelas,
dalam membantu implementasi dan penyelenggaraan keselamatan maklumat. Untuk
menjadikannya lebih berkesan polisi hendaklah relevan, boleh dicapai dan difahami
kepada pengguna yang ingin melaksanakannya dalan organisasi mereka. Polisi
memerlukan komitmen daripada pihak pengurusan, bantuan prosedur dan rangka
kerja bantuan teknikal yang bertepatan untuk dilaksanakan.
ISO FDIS (Final Draft International Standard) 17799 (2005) menyatakan
dokumen polisi sepatutnya menepati pernyataan di bawah :
i) Definisi mengenai keselamatan maklumat, meliputi keseluruhan
objektif, skop dan pentingnya keselamatan dalam membenarkan
mekanisma perkongsian maklumat.
15
ii) Pernyataan tentang kehendak dari pihak pengurusan dan sokongan
perlindungan kepada maklumat keselamatan terhadap strategi bisnes
dan objektif.
iii) Rangkakerja untuk menyediakan objektif dan kawalan, termasuk
struktur pengurusan dan penaksiran terhadap risiko.
iv) Ringkasan penerangan mengenai polisi keselamatan, dasar-dasar dan
butir-butir keperluan yang berguna untuk organisasi termasuklah :
a) Pematuhan terhadap perundangan , peraturan dan keperluan
kontrak.
b) Keperluan keselamatan terhadap pendidikan, latihan dan
kesedaran.
c) Pengurusan bisnes berterusan.
d) Pencabulan terhadap polisi keselamatan maklumat.
v) Definisi terhadap pengkhususan dan kebiasaan maklumat pengurusan
keselamatan termasuk insiden laporan keselamatan.
vi) Rujukan terhadap dokumentasi yang boleh membantu seperti polisi
dan prosedur mengenai pengkhususan sistem maklumat atau
peraturan-peraturan keselamatan yang sepatutnya dilakukan terhadap
pengguna.
16
Proses yang melibatkan persediaan Polisi Keselamatan ICT diterangkan
seperti Rajah 2.55 di bawah :
1. Memantapkan sistem dan organisasi
6. Formula terhadap prosedur implementasi
5. Memutuskan polisi
4. Formula terhadap ukuran piawai
3. Analisa Risiko
2. Memadankan asas petunjuk polisi
Rajah 2.5 : Proses Keselamatan ICT Polisi
2.4.2 Proses Pemadanan Polisi Keselamatan ICT
Analisa dan pelajari mengenai maklumat dan sumber-sumber utama yang
berguna daripada piawaian keselamatan ICT dan garis panduan MAMPU. Sila lihat
lampiran D pemadanan polisi keselamatan ICT. Sumber-sumber yang ada adalah
seperti berikut :
i) ISO/IEC FDIS 27001:2005 Teknologi Maklumat – Teknik-teknik
Keselamatan – Sistem pengurusan maklumat keselamatan –
Keperluan-keperluan.
ii) ISO/IEC FDIS 17799:2005. Kod amalam untuk pengurusan maklumat
keselamatan.
17
iii) Dasar Keselamatan ICT Versi 4.0, MAMPU, 30 Mac 2006.
iv) Dasar Keselamatan Teknologi Maklumat dan Komunikasi untuk
Sektor Awam Versi 2.0 Revisi 9, MAMPU, 2007.
2.4.3 Perlaksanaan Polisi Keselamatan ICT Universiti
Berdasarkan kajian yang telah dilakukan terhadap Dasar Keselamatan ICT
oleh MAMPU dan ISO 27001, pengkaji mendapati polisi keselamatan ICT yang
digariskan amat bersesuaian dengan keperluan UTM. Kesemua 11 domain ISO
27001 yang digariskan hasil dari pemadanan dengan garis panduan MAMPU
menunjukkan perlaksanaan polisi keselamatan ICT boleh digunakan dan menepati
objektif yang telah dikaji oleh pengkaji. Sebagai panduan bagi memenuhi kejayaan
projek ini, dan persediaan Universiti dalam menyediakan satu sistem dokumen polisi
keselamatan ICT kesemua 11domain dan dasar ini akan digunakan.
2.5 Aplikasi Berasaskan Web Perkembangan internet pada masa kini adalah sangat pesat. Pembinaan
laman-laman web telah bertambah secara eksponen sejak Tim Berners-Lee
mengasaskan World-Wide Web di Pusat Penyelidikan Nuklear Eropah (CERN),
Geneva pada tahun 1989 (Zainuddin, 2001). Laman-laman web pada masa kini telah
berubah daripada sekadar memaparkan maklumat dan imej yang statik kepada yang
dinamik dan interaktif. Laman-laman web pada masa kini boleh digunakan,
antaranya untuk, mengisi borang maklumat, membeli dan menjual barang, dan
membuat tempahan. Menurut Fowler (2004), aplikasi web membolehkan kita
membuat sesuatu dan menyimpannya secara digital, manakala laman web pula hanya
memberikan maklumat sahaja.
Pembangunan aplikasi memerlukan pembangun perisian memilih beberapa
perkara sebelum membangunkan satu projek. Antara yang perlu dipilih ialah dua
perkara yang penting iaitu memilih pelayan web yang akan digunakan dan memilih
bahasa pengaturcaraan yang hendak digunakan (Rockwell, 2001).
18
Untuk pemilihan pelayan web, terdapat beberapa pilihan yang boleh
dicadangkan. Antaranya Internet Information Server (IIS) daripada Microsoft,
Netscape Enterprise Server daripada Netscape (sekarang dikenali sebagai Sun Java
Sistem Web Server), WebSphere Application Server daripada IBM, dan juga pelayan
web Apache Server dari sumber perisian terbuka (open source).
Pemilihan bahasa pengaturcaraan yang akan digunakan juga tidak terhad.
Terdapat beberapa bahasa pengaturcaraan yang boleh digunakan antaranya ASP,
PHP, XML dan Cold Fusion (Rockwell, 2001). Disamping itu juga bahasa ini boleh
digabungkan dengan penggunaan bahasa lain seperti Java dan bahawa bahasa asas
bagi pengaturcaraan laman web iaitu HTML.
2.5.1 Kelebihan Aplikasi Web Terdapat beberapa kelebihan yang ada pada aplikasi berasaskan web
berbanding aplikasi desktop. Berikut adalah beberapa kelebihan bagi aplikasi web
menurut Fowler (2004).
i) Tidak perlu instalasi
Aplikasi web tidak memerlukan proses instalasi untuk digunakan.
Pengguna hanya menggunakan pelayar web seperti Internet Explorer
atau Netscape untuk menggunakannya. Ini berbeza dengan aplikasi
desktop yang memrlukan proses instalasi ke dalam setiap komputer
yang hendak menggunakannya. Keadaan adalah sangat membebankan
kepada organisasi yang besar dan mempunyai banyak komputer yang
akan menggunakan aplikasi tersebut.
ii) Tidak bergantung kepada lokasi aplikasi web dan tidak terikat
kepada suatu lokasi untuk digunakan
Oleh kerana aplikasi web tidak disimpan di komputer pengguna, ia
boleh digunakan oleh pengguna dimana sahaja yang mempunyai
capaian ke Internet.
19
iii) Memudahkan kolaborasi
Penggunaan aplikasi web memudahkan kolaborasi dalam melakukan
kerja secara berkumpulan.Oleh kerana Internet adalah satu rangkaian
yang besar, sesiapa sahaja yang mempunyai capaian ke Internet boleh
berkomunikasi dan bekerjasama untuk membuat satu tugasan yang
sama.
iv) Tiada keperluan perkakasan
Penggunaan aplikasi web tidak memerlukan seseorang pengguna
membeli perkakasan yang khusus. Oleh kerana ia boleh digunakan
oleh pelayar web yang biasa, tidak ada keperluan untuk penambahan
sebarang perkakasan dalam penggunaannya.
2.5.2 Active Server Pages (ASP) ASP diperkembangkan sekitar tahun 1996 dan merupakan teknologi
pembangunan web yang menjadi pilihan orang ramai. Halaman web yang direka
bentuk adalah dinamik, interaktif serta mudah dibangunkan tanpa memerlukan
kepakaran yang tinggi. Pengaturcaraan ASP dilarikan di dalam Internet Information
Servies(IIS), komponen yang diberikan oleh Windows 2003. Perisian ini juga
sebahagian dari Windows NT 4.0 Option Pack atau melalui installasi Personal Web
Server(PWS) bagi Windows XP. Terdiri daripada tiga bahagian iaitu ASP Objects
atau lebih tepat Component Model(COM), Bahasa Scripting seperti VBScript dan
Jscript, ActiveX Server Component bagi capaian ke pangkalan data.
Terdapat banyak kelebihan yang menjadikan ASP bahasa pengaturcaraan
yang digunakan untuk menghasilkan laman web yang dinamik dan interaktif. Antara
kelebihan yang terdapat jika pengguna menggunakan ASP menurut ialah (Ridruejo
(2002) :
i) Mudah untuk dipelajari
20
ASP menggabungkan kod HTML dan kod ASP dalam satu bahasa
pengaturcaraan yang sama. Penghasilan kod untuk laman yang
dinamik boleh dilakukan dengan mudah dan ia tidak sukar untuk
dipelajari terutamanya kepada pengaturcara yang tidak mempunyai
asas pengaturcaraan yang kuat.
ii) Keterbukaan
Sifat keterbukaan ASP adalah kebebasan memilih bahasa skrip yang
boleh digunakan kerana adanya komponen ActiveX yang digunakan
pada ASP.
iii) Multiplatform
ASP boleh digunakan dalam berbagai-bagai platform pelayan web
dan sistem operasi. ASP boleh digunakan dalam pelayan web seperti
Apache, Microsoft IIS dan juga pelayan Netscape. ASP juga boleh
digunakan dalam sistem operasi Unix, Windows, Linux, OS/2
mahupun MAC OS X.
iv) Pangkalan Data
ASP boleh menggunakan berbagai-bagai jenis pangkalan data open
source seperti MySQL dan PostgreSQL dan juga pangkalan data yang
dikeluarkan secara komersil seperti Microsoft SQL Server,
Access,Oracle dan DB2.
2.5.3 Pangkalan Data Microsoft Access
Microsoft mengeluarkan Microsoft Access 1.0 pada bulan November 1992
dan dilanjutkan dengan mengeluarkan versi 2.0 pada tahun 1993. Microsoft
menentukan spesifikasi minimum untuk menjalankan Microsoft Access 2.0 adalah
21
sebuah komputer dengan sistem operasi Microsoft Windows 3.0, RAM berkapasiti 4
sebanyak megabyte (6 megabyte lebih disarankan) dan ruangan kosong cakera keras
yang diperlukan sebanyak 8 megabyte (14 megabyte lebih disarankan).
Microsoft Access dapat menggunakan data yang disimpan di dalam format
Microsoft Access, Microsoft Jet Database Engine, Microsoft SQL Server, Oracle
Database, atau semua data asas yang menyokong piawaian Open Database
Connectivity(ODBC). Pembangun aturcara yang mahir dapat menggunakannya
untuk mengembangkan aplikasi yang kompleks, sementara pengaturcara yang kurang
mahir dapat menggunakannya untuk mengembangkan aplikasi yang sederhana.
Access juga menyokong teknik-teknik pengaturcaraan berorientasi objek tetapi tidak
dapat digolongkan ke dalam pengaturcaraan berorientasi objek.
Menurut Rockwell (2001), Access juga dapat digunakan sebagai asas data
untuk aplikasi Web dasar yang disimpan di dalam server bagi menjalankan Microsoft
Internet Information Services (IIS) dan menggunakan Microsoft Active Server Pages
(ASP). Beberapa pengembang aplikasi profesional menggunakan Microsoft Access
untuk mengembangkan aplikasi secara cepat (digunakan sebagai Rapid Application
Development/RAD tool), khususnya untuk pembuatan sebuah program yang lebih
besar dan aplikasi yang berdiri sendiri.
2.5.4 Pelayan Internet Information Services (IIS)
Microsoft Internet Information Services (IIS) merupakan satu set bagi
perkhidmatan berasaskan Internet untuk pelayan menggunakan Microsoft Windows.
Ia adalah pelayan web kedua paling popular di dunia dari segi jumlah halaman web
di belakang Apache walaupun jurang antara keduanya sedang menurun mengikut
Netcraft.
IIS adalah pada mulanya dikeluarkan sebagai satu tambahan susunan Internet
perkhidmatan-perkhidmatan berpangkalan untuk Windows NT 3.51. IIS 2.0 diikuti
menambah sokongan untuk Windows NT 4.0 sistem pengendalian dan IIS 3.0
diperkenalkan Halaman Pelayan Aktif (ASP) dinamis menulis skrip alam sekitar.
22
2.5.5 Perbincangan Pembangunan Sistem
Dalam pembangunan sistem aplikasi ini, pengkaji telah memilih pelayan IIS,
pangkalan data MS Access dan bahasa pengaturcaraan ASP sebagai pilihan. Faktor
utama yang menyebabkan pemilihan ketiga-tiga aplikasi ini ialah kerana semuanya
adalah berasaskan sumber terbuka. Ini membolehkan aplikasi ini digunakan tanpa
memerlukan perbelanjaan untuk membeli aplikasi komersil seperti Microsoft Internet
Information Server (IIS), Microsoft Access atau menggunakan Microsoft VB.NET.
Ketiga-tiga aplikasi ini boleh diperolehi dengan memuat turun dari sumber dari
Internet seperti laman web Apache Friends (www.apachefriends.org) secara
percuma. Tambahan pula ketiga-tiga aplikasi ini adalah antara yang banyak
digunakan dalam pembangunan laman web pada masa ini
2.6 Sistem Peralatan Polisi Keselamatan ICT Sedia Ada
Perkembangan pesat dalam bidang teknologi maklumat dan komunikasi telah
menjadi penggalak bagi pembangunanan sistem aplikasi dan tidak terkecuali dalam
sistem aplikasi untuk mengendalikan Polisi Keselamatan ICT. Bahagian ini akan
membincangkan tentang sistem yang telah dibangunkan sebelum ini bagi
menguruskan perjalanan Polisi Keselamatan ICT. Terdapat tiga jenis sistem yang
akan dibincangkan dalam bahagian ini iaitu : pertama ialah sistem polisi
keselamatan ICT yang berkaitan analisa risiko, yang kedua sistem keselamatan yang
dikenali sebagai SECURIS dibangunkan untuk tujuan perdagangan dan yang ketiga
ialah HiLRA (High Level Risk Assessment) dan Malaysian Public Sector
Information Security Risk Assessment Methodology (MyRAM) oleh MAMPU .
2.6.1 Polisi Keselamatan ICT Berkaitan Analisa Risiko
Dari penyelidikan yang telah pengkaji lakukan, masih belum ada peralatan
yang telah dibangunkan untuk pembangunan peralatan Polisi Keselamatan ICT.
23
Kebanyakan peralatan yang dijumpai adalah berkaitan dengan analisa risiko seperti
EBIOS, CALLIO SECURA, OCTAVE, CORAS dan COBRA.
Penilaian bagi sistem-sistem ini dilakukan dengan menggunakan perisian
demonstrasi yang di muaturun dari laman web http://www.callio.com/secura.php dan
http://enisa.europa.eu/rmra/methods_tools/t_ebios.html . Versi demonstrasi
(CALLIO) ini adalah sama seperti versi asas sistem ini yang dipasarkan dengan
harga RM 30,000 (Lesen untuk 2 pengguna) dan setiap penambahan lesen adalah
sebanyak RM 9,000. Sistem ini adalah versi Windows dan keperluan minimumnya
ialah Windows 98 atau ke atas dan boleh dicapai melalui pelayar Internet. Versi
EBIOS boleh dimuat turun secara percuma dan boleh digunakan dalam mana-mana
platform sistem pengoperasian dan tidak boleh dicapai melalui pelayar Internet.
Pembangunan projek ini diasaskan oleh ENISA (European Network and
Information Security Agency) semenjak tahun 2006 sehingga sekarang.
Tumpuannya adalah kepada Pengurusan Risiko antaranya adalah :
i) Promosi aktiviti pengurusan risiko untuk organisasi kerajaan dan
swasta
ii) Menyediakan “common language” pada persekitaran pengurusan
risiko
iii) Menyediakan tinjauan tentang tatacara peralatan risiko dan
perlaksanaan
iv) Pembangunan penyelesaian pengurusan risiko dan integrasi bersama
Pengurusan Risiko dan Taksiran Risiko
Rajah 2.66 menyatakan tentang kaedah pemantauan, perancangan dan
pengawalan kualiti terhadap operasi risiko keselamatan yang dilakukan oleh
ENISA dalam memantapkan pembangunan peralatan keselamatan risiko.
24
Rajah 2.6 : Pemantauan, Perancangan dan Pengawalan kualiti
Peralatan ini juga adalah merupakan peralatan berasaskan web yang
mempunyai ruang untuk pangkalan data bagi membantu pengguna untuk
implementasi menyediakan sijil ISMS. Disamping itu sistem ini membantu piawaian
ISO 17799 dan ISO 27001 (BS 7799-2) dan mampu mengeluarkan dokumen yang
diperlukan untuk tujuan pensijilan. Penyediaan fungsi pengurusan dokumen dengan
membenarkan pengguna membuat pilihan berdasarkan peralatan pangkalan data juga
disediakan.
2.6.2 Polisi Keselamatan ICT SECURIS
Satu peralatan polisi keselamatan yang dipanggil SECURIS telah dibina di
Norweigan. Pembangunan ini mengambil masa 3 sehingga 4 tahun untuk disiapkan
25
di mana ia bermula pada 1 Januari 2003 dan berakhir pada pertengan bulan 1, 2006 .
Projek ini dipelopori oleh majlis penyelidikan Norway.
Terdapat 10 orang ahli yang diketuai oleh Profesor Ketil Stolen. Spesifikasi
metodologi pengkomputeran SECURIS boleh dilihat seperti di Rajah 2.77 :
i) Garispanduan proses pembangunan polisi berdasarkan keperluan
bisnes
ii) Spesifikasi polisi keselamatan dan andaian kebergantungannya
iii) Analisa polisi keselamatan
iv) Proses panduan model implementasi polisi keselamatan
v) Pemantauan dan percubaan pematuhan terhadap polisi
Rajah 2.7 Gambaran keseluruhan skema Projek SECURIS
Peralatan ini boleh didapati dan dimuat turun secara percuma dan masih
dalam proses penyelidikan. Ini disebabkan masih terdapat isu-isu keselamatan dari
segi perlaksanaan undang-undang dan prosedur terhadap beberapa perlaksanaan
polisi masih dalam proses pengujian. Versi 2.1 adalah merupakan versi terbaharu
yang disiapkan pada 28 Mac 2006 , dan versi ini hanya boleh dilakukan pada Java
26
platform. Versi ini terdapat beberapa ciri keselamatan seperti kawalan terhadap
capaian penggunaan dengan menggunakan pengesahan pengguna.
2.6.3 Polisi Keselamatan ICT MAMPU
Pihak MAMPU telah membangunkan peralatan keselamatan yang dipanggil
High-Level Risk Assessment(HiLRA) dan Garis Panduan Pengurusan Keselamatan
ICT Sektor Awam Malaysia (MyMIS) untuk Sektor Keselamatan Awam Malaysia.
MAMPU menyediakan Khidmat Perundingan Keselamatan ICT bagi memantapkan
lagi perlindungan keselamatan dan pembangunan infrastruktur ICT Kerajaan.
MAMPU menyediakan kemudahan khidmat perunding mengenai isu-isu
keselamatan ICT seperti berita, artikel, advisories dan tools yang terkini, penemuan
dan pengendalian insiden serta penyediaan dasar dan pengurusan keselamatan ICT.
Secara umumnya Khidmat Perundingan Keselamatan ICT meliputi:
i) Menjadi pemudah cara di dalam mana-mana bengkel, kursus atau
seminar mengenai keselamatan ICT
ii) Sebagai rujukan dan standard amalan bagi meningkatkan kesedaran
dan pengetahuan dalam keselamatan ICT serta memperkemaskan
operasi keselamatan dalaman sesebuah agensi sektor awam
iii) Menyediakan pandangan secara bertulis atau dalam talian mengenai
isu keselamatan ICT
iv) Mewujudkan forum dan buletin perbincangan secara elektronik
melalui laman khas Portal Keselamatan ICT Kerajaan (GSWP)
Penilaian Risiko Keselamatan Maklumat Sektor Awam adalah bertujuan
untuk membolehkan sektor awam mengukur, menganalisis tahap risiko aset
maklumat dan seterusnya mengambil tindakan untuk merancang dan mengawal
risiko. Untuk tujuan itu, kerajaan telah mengeluarkan Surat Pekeliling Am Bil. 6
Tahun 2005 : Garis Panduan Penilaian Risiko Keselamatan Maklumat Sektor Awam
bagi memaklumkan kepentingan dan cara melaksanakan penilaian risiko keselamatan
maklumat di sektor awam.
27
2.6.4 Perbincangan
Dari kajian yang dijalankan terhadap ketiga-tiga sistem tersebut, didapati
terdapat kelebihan dan kelemahan yang terdapat dalam setiap peralatan Polisi
Keselmatan ICT. Berikut adalah antara kelebihan dan kelemahan yang terdapat
dalam sistem-sistem tersebut.
i. Polisi Keselamatan ICT Berkaitan Analisa Risiko
Kelebihan
a) Sistem ini mempunyai keupayaan untuk membuat analisa
terhadap risiko keselamatan merangkumi taksiran aset,
ancaman dan komunikasi (pengurusan dokumen dan Pusat
Kesedaran pengguna)
b) Terdapat analisa risiko dan pengiraan.
c) Mempunyai pengenalpastian risiko terhadap ancaman
keselamatan dan pencerobohan.
d) Kajiselidik terhadap ISO 17799 seperti soal selidik.
e) Terdapat Pengurusan Dokumen : Keperluan dokumen ISMS,
Peralatan Pengeluaran Laporan : Mengeluarkan laporan
secara automatik dan boleh dikonfigurasi.
f) Teknologi senibina pembangunan peralatan :
• Pangkalan Data : MySQL, SQL Server
• Pelayan Web : IIS, Apache
• Aplikasi Pelayan: BlueDragon JX Server
• Capaian Pengguna : Internet Explorer
Kelemahan
a) Tidak terdapat kawalan yang jelas terhadap capaian antara
pentadbir dan pengguna . Semua pengguna boleh melihat
maklumat yang telah diisi ,dan boleh memaparkan setiap
risiko yang dihadapi oleh organisasi yang menggunakannya.
28
b) Penggunaan sistem ini adalah terhad kepada penilaian risiko
keselamatan dan tidak mampu untuk mengeluarkan polisi
keselamatan ICT dalam menjayakan projek ini.
v) Polisi Keselamatan ICT SECURIS
Kelebihan
a) Melengkapkan gabungan terhadap cara taksiran risiko bagi
setiap model yang berbeza
b) Menyediakan metodologi model bagi membantu dalam
memberi keputusan terhadap dokumentasikan taksiran risiko
c) Kajiselidik terperinici terhadap ISO 17799 dan ISO/IEC TR
13335 seperti soal selidik dan perundangan.
d) Garispanduan proses pembangunan polisi berdasarkan
keperluan bisnes
e) Spesifikasi polisi keselamatan dan andaian kebergantungannya
f) Analisa terhadap polisi keselamatan
g) Proses panduan model implementasi polisi keselamatan
h) Teknologi senibina pembangunan peralatan :
• Pangkalan Data : MySQL, SQL Server
• Pelayan Web : IIS, Apache
• Aplikasi Pelayan: Java
• Capaian Pengguna : Internet Explorer
Kelemahan
a) Bentuk laporan yang dikeluarkan adalah terhad yang
dibenarkan sahaja terutama kepada taksiran risiko, dan polisi
keselamatan ICT asas sahaja seperti pengurusan aset dan harta
dan maklumat keselamatan sahaja.
29
b) Penggunaan sistem ini adalah terhad kepada penilaian risiko
keselamatan dan tidak mampu untuk mengeluarkan polisi
keselamatan ICT dalam menjayakan projek ini.
c) Peralatan ini masih dalam proses kajian dan percubaan dan
maklumat yang digunakan masih tidak boleh digunakan untuk
dijadikan sebagai perlaksanaan dokumentasi Polisi
Keselamatan ICT.
iii. Polisi Keselamatan ICT MAMPU
Kelebihan
a) Melaksanakan imbasan ke atas sistem rangkaian dan aset ICT
agensi kerajaan secara jarak jauh
b) Mengesan insiden pencerobohan keselamatan ICT
c) Meramal serta memberi amaran awal tentang serangan siber
yang dijangka berlaku
d) Menerima dan mengambil tindakan ke atas insiden
keselamatan yang dilaporkan
e) Menyebarkan maklumat bagi membantu pengukuhan
keselamatan ICT sektor awam dari semasa ke semasa
f) Menyediakan khidmat nasihat kepada agensi-agensi dalam
mengesan, mengenal pasti dan menangani sesuatu insiden
keselamatan
g) Menyelaras dengan pihak-pihak yang terlibat seperti
Malaysian Computer Emergency Response Team (MyCERT),
pembekal, Internet Service Provider (ISP) dan agensi-agensi
penguat kuasa
h) Semua insiden keselamatan ICT perlu dilaporkan kepada
GCERT.
i) Memberi bantuan teknikal dalam pengendalian insiden
keselamatan ICT
j) Berkongsi pengalaman dan maklumat mengenai isu-isu
keselamatan ICT
30
k) Mengumpul statistik bagi Perancangan Strategik bagi
pemantauan keselamatan ICT
l) Mewujudkan kesedaran mengenai keselamatan ICT
m) Memupuk kerjasama dan hubungan baik di antara agensi
Kelemahan
a) Masih belum ada peralatan Polisi Keselamatan ICT yang
disediakan untuk agensi-agensi kerajaan untuk digunakan ,
hanya ada dua sistem yang dibangunkan oleh MAMPU iaitu :
• The Malaysian Public Sector Information Security
High-Level Risk Assessment (HiLRA) Guide
bertujuan memberi panduan melaksanakan penilaian
risiko maklumat untuk mendapatkan gambaran awal
tahap risiko yang terdapat dalam sistem maklumat
agensi.
• The Malaysian Public Sector Information Security
Risk Assessment Methodology (MyRAM) yang
bertujuan menyediakan kaedah bagi melaksanakan
penilaian risiko terperinci secara kualitatif terhadap
aset maklumat seperti ancaman, kelemahan, impak dan
kemungkinan berlaku musibah bagi setiap aset dalam
skop yang telah dipersetujui
2.7 Ringkasan Bab
Secara ringkasnya bab ini adalah kajian literatur yang telah dibuat untuk
mengkaji maklumat dan fakta yang boleh membantu pengkaji dalam membangunkan
31
sistem ini. Kajian yang dilakukan, termasuklah mengkaji tentang persediaan untuk
menyediakan satu sistem peralatan Polisi Keselamatan ICT yang sesuai untuk
dibangunkan untuk Pusat ICT, UTM. Pembangunan sistem yang berasaskan web
juga mengkehendaki pengkaji mengetahui tentang pembangunan sistem berasaskan
web serta perisian yang sesuai untuk digunakan. Akhir sekali kajian mengenai sistem
yang telah dibangunkan diharapkan dapat membantu pengkaji mengenalpasti
kelebihan-kelebihan yang ada dalam sistem tersebut untuk digunakan dalam
pembangunan sistem ini kelak.
BAB 3
METODOLOGI PROJEK
3.1 Pengenalan
Perancangan pembangunan Sistem Polisi Keselamatan ICT ini melibatkan
beberapa peringkat bermula dari peringkat kajian keperluan sistem tersebut terhadap
organisasi sehingga kepada pembangunan awal sistem. Pembangunan awal sistem
pula melibatkan rekabentuk pangkalan data, rekabentuk antaramuka dan hasil yang
sepatutnya dikeluarkan oleh sistem ini dengan menggunakan kaedah pembangunan
aplikasi yang dicadangkan supaya bersesuaian dengan kekangan masa yang ada.
3.2 Matlamat
Matlamat utama pembangunan sistem ini adalah bagi memudahkan mereka
yang terlibat dengan pengurusan polisi keselamatan ICT menggunakan sistem ini
bersesuaian dengan persekitaran kerja mereka. Pembangunan ini perlu disiapkan
dalam tempoh yang terhad. Kaedah pemilihan pembangunan sistem perlu
diambilkira bagi memenuhi keperluan tersebut. Sistem yang dibangunkan terdiri
daripada dua aktiviti utama iaitu sistem pengurusan polisi keselamatan ICT dan
proses pemantauan yang boleh dilakukan oleh pihak pengguna terutama pihak
pengurusan ICT dan Pengurus IT . Sistem ini akan meghasilkan laporan dalam
bentuk paparan dan juga cetakan serta menyediakan data yang boleh digunakan
dalam proses menganalisa dan memantau perkembangan polisi keselamatan ICT.
33
3.3 Metodologi Pembangunan
Pembangunan aplikasi sistem ini menggunakan kaedah strategi pembangunan
aplikasi pantas (RAD) dimana kajian dilakukan keatas keperluan organisasi Pusat
Teknologi Maklumat dan Komunikasi (CICT) Universiti Teknologi Malaysia (UTM)
dan pengguna bagi meningkatkan mutu perkhidmatan yang diberikan. Idea asas
dalam strategi ini adalah dengan melibatkan pengguna sistem dalam proses analisa,
rekabentuk dan pembinaan sistem.
Kaedah ini juga adalah mudah serta memfokuskan pembangunan sistem
kepada aktiviti-aktiviti tertentu berbanding penglibatan pengguna, penganalisa,
perekabentuk dan pembangun sistem. Ia juga untuk mempercepatkan keperluan fasa
analisa dan rekabentuk Faktor akhir yang menjadikan kaedah ini digunakan adalah
bagi mengurangkan masa untuk menyiapkan sistem ini. Rajah 3.1 dibawah
menunjukkan bagaimana strategi pembangunan aplikasi pantas dilaksanakan dalam
pembangunan sistem ini.
Rajah 3.1: Strategi Pembangunan Aplikasi Pantas
34
3.3.1 Kajian Terhadap Organisasi CICT
Pembangunan sistem ini dibuat adalah bagi kegunaan CICT. Oleh itu CICT
merupakan pemilik kepada sistem ini. Cadangan pembangunan sistem ini adalah
hasil dari pemerhatian dan kajian yang telah dijalankan. Berdasarkan pemerhatian
semasa melaksanakan tugas di CICT, keperluan untuk mempunyai sistem berkaitan
polisi keselmatan ICT adalah tinggi, memandangkan CICT sebagai sekretariat
pembangunan dan keselamatan teknologi maklumat diperingkat universiti seperti
keselamatan pembangunan sistem-sistem baru, pemantauan keselamatan sistem-
sistem yang dibangunkan bersama dengan syarikat-syarikat pembekal perkhidmatan
teknologi maklumat, penyediaan keselamatan ICT terhadap prasarana teknologi
maklumat seperti sistem rangkaian komputer, perolehan peralatan komputer,
perolehan perisian dan sebagainya.
Walaubagaimanapun kajian keperluan masih perlu dilakukan ke atas
organisasi CICT bagi memastikan keperluan terhadap pembangunan sistem ini
adalah bersesuaian dengan mengambilkira amalan yang sedang dilakukan oleh CICT
dalam melaksanakan polisi keselamatan ICT tersebut.` Selain dari itu kaedah soal
selidik juga dibuat dengan mengemukakan soalan-soalan yang berkaitan dengan
dasar polisi keselamatan ICT yang terdiri dari tiga kumpulan staf iaitu penolong
pegawai teknologi maklumat, pegawai teknologi maklumat dan ketua pegawai
teknologi maklumat.
Kumpulan penolong pegawai teknologi maklumat biasanya merupakan
mereka yang menerima arahan dari kumpulan pegawai teknologi maklumat bagi
melaksanakan aktiviti sesuatu projek sementara kumpulan pegawai teknologi
maklumat pula adalah mereka yang dipertanggungjawabkan merancang,
melaksanakan dan mengetuai sesuatu projek. Mereka boleh dianggap sebagai
pengurus sesuatu projek. Kumpulan ketua pegawai teknologi maklumat pula
merupakan mereka yang mengetuai sesuatu unit atau bahagian dan menjadi
perancang di peringkat organisasi. Oleh itu mereka biasanya akan memantau,
memberikan pandangan dan cadangan serta memaklumkan ciri-ciri keselamatan ICT
yang perlu ada kepada organisasi atau unit mereka. (rujuk lampiran E–Rajah aktiviti)
35
3.3.2 Kajian Terhadap Sistem Polisi Keselamatan ICT di UTM
Bagi memenuhi keperluan pengguna, terutama diperingkat fakulti dan
bahagian, satu kajian telah dibuat untuk melihat sejauh mana keperluan tersebut
diperlukan. Kajian ini juga boleh menyumbangkan maklumat sejauh mana fakulti
dan bahagian melibatkan penggunaan sebarang sistem polisi keselamatan ICT dalam
melaksanakan terhadap keselamatan ICT.
Dari kajian ini akan diperolehi sejauh mana sistem ini akan dapat digunakan
di dalam organisasi di UTM iaitu diperingkat fakulti dan bahagian dan bagaimana ia
dilaksanakan. Kajian ini juga berasaskan kepada sistem-sistem semasa yang
digunakan dalam pasaran dan keperluan sistem polisi keselmatan ICT jika ada dan
keperluannya pada masa akan datang.
3.3.3 Kajian Terhadap Perisian Yang Dipilih
Pembangunan sistem ini juga melibatkan kajian terhadap ciri-ciri perisian
keselamatan ICT yang dipilih samada yang berada di pasaran tempatan atau yang
berada dalam lingkungan organisasi UTM sendiri. Pemilihan perisian dibuat
berdasarkan kepada populariti perisian tersebut seperti banyak digunakan oleh
pengguna, mudah diperolehi dan keberkesanannya terhadap perlaksanaan polisi
keselamatan ICT.
Terdapat tiga jenis sistem yang akan dibincangkan dalam bahagian ini iaitu :
pertama ialah sistem polisi keselamatan ICT yang berkaitan analisa risiko ,yang
kedua sistem keselamatan yang dikenali sebagai SECURIS dibangunkan untuk
tujuan perdagangan dan yang ketiga ialah HiLRA (High Level Risk Assessment) dan
Malaysian Public Sector Information Security Risk Assessment Methodology
(MyRAM) oleh MAMPU . Kesemua ciri-ciri perisian ini akan dibuat penilaian
berasaskan kepada kelebihan dan kekurangannya.
36
3.3.4 Pemilihan Ciri-Ciri Perisian dan Penambahan Ciri Dari Kajian
Keperluan Pengguna
Pembangunan sistem ini adalah untuk memudahkan pelaksana dan pihak
pengurusan CICT memantau sesuatu polisi yang dilaksanakan. Ia juga memberi
kebenaran kepada pengguna untuk mengetahui dan melihat status perlaksaan polisi
yang sedang berlaku dalam organisasi mereka. Oleh itu keperluan bagi sistem ini
perlu memasukkan kepentingan mereka. Bagi membina satu sistem yang memenuhi
keperluan pengguna, maka beberapa perisian keselamatan ICT telah dipilih untuk
dijadikan asas kepada keperluan ciri-ciri pengurusan projek sistem yang akan
dibangunkan.
Perisian pengurusan projek tersebut adalah perisian SECURIS, HILRA dan
MyRAM. Pemilihan perisian-perisian ini adalah kerana penggunaannya yang
meluas. Ciri-ciri bagi perisian ini akan dinilai dan digabungkan bersama-sama
dengan ciri-ciri dari kajian keperluan pengguna untuk dijadikan keperluan dalam
pembangunan sistem yang dicadangkan.
3.4 Keperluan Perisian
Pembangunan Sistem Polisi Keselamatan ICT ini dibangunkan dengan
menggunakan konsep aplikasi berasaskan web. Aplikasi berasaskan web merupakan
konsep pembangunan aplikasi pada masa kini kerana ia mudah digunakan oleh
pengguna, antaramuka yang menarik serta boleh dicapai dari mana-mana lokasi
diseluruh dunia asalkan komputer mereka mempunyai sistem rangkaian Internet.
Keperluan perisian pembangunan aplikasi berasaskan web adalah sama dari
segi piawaiannya seperti perisian, dan peralatan. Perbezaannya adalah penggunaan
pelantar sistem operasi yang digunakan, pangkalan data dan aturcara aplikasi. Hasil
keluaran aplikasi berasaskan web boleh dilihat dengan menggunakan pelayar laman
web yang boleh dicapai di mana-mana lokasi diseluruh dunia.
37
Rajah 3.28 dibawah menunjukkan keperluan umum bagaimana capaian
aplikasi berasaskan web dilaksanakan.
Rajah 3.2 : Konsep Pembangunan Aplikasi berasas Web
3.4.1 Pelantar Sistem Operasi. Pelantar Sistem operasi yang digunakan bagi pembangunan awal sistem ini
adalah Sistem Operasi Windows XP. Sistem operasi berasaskan windows XP adalah
pelantar popular yang banyak digunakan oleh pengguna di seluruh dunia. Windows
XP adalah keluaran syarikat Microsoft Corporation ini adalah pelantar yang stabil
pada masa ini. Pelantar ini boleh menyokong komputer sebagai pelanggan atau
pelayan dengan keperluan perkakasan yang minimum.
Walau bagaimanapun pelantar sistem operasi pelayan Windows seperti
Microsoft Windows 2003 Advance Server akan dicadangkan untuk digunakan
apabila sistem sebenar dibangunkan. Ini kerana sistem operasi tersebut merupakan
sistem operasi yang mempunyai ciri-ciri keselamatan yang lebih baik dan stabil dan
sesuai digunakan sebagai pelayan sesuatu aplikasi pada masa kini.
38
3.4.2 Pangkalan Data Pangkalan data merupakan tempat dimana fail-fail data secara berstuktur
ditempatkan. Pemilihan pangkalan data adalah penting kerana ia akan menjadikan
sesuatu sistem itu stabil terutama untuk menampung keperluan data yang sentiasa
bertambah dari masa ke semasa. Pangkalan data yang baik biasanya melibatkan kos
yang tinggi.
3.4.3 Perisian Aturcara Perisian aturcara bagi pembangunan aplikasi web Sistem Polisi Keselamatan
ICT ini akan menggunakan perisian Active Server Pages (ASP). Pemilihan perisian
ASP ia banyak digunakan bagi membuat aturcara pembangunan aplikasi berasaskan
web. Terdiri daripada tiga bahagian iaitu ASP Objects atau lebih tepat Component
Model(COM), Bahasa Scripting seperti VBScript dan Jscript, ActiveX Server
Component bagi capaian ke pangkalan data.
Selain dari itu penggunaan aturcara ASP juga disebabkan oleh perkara-
perkara berikut :
1. Komuniti penggunanya adalah besar, oleh itu sokongan terhadapnya juga
adalah mudah
2. ASP menggabungkan kod HTML dan kod ASP dalam satu bahasa
pengaturcaraan yang sama.
3. Gabungannya dengan pangkalan data Access merupakan gabungan yang
stabil dan banyak digunakan dalam pembangunan aplikasi web termasuk
diperingkat organisasi
4. Sifat keterbukaan ASP adalah kebebasan memilih bahasa skrip yang boleh
digunakan kerana adanya komponen ActiveX yang digunakan pada ASP..
5. Ia juga mempunyai banyak fungsi-fungsi tambahan, cepat, mudah dibaca
dan lasak.
39
3.4.4 Perisian Pelayan Web Pelayan web menjadi perisian penting yang akan bertindak memproses
permintaan dari pengguna dan menyalurkan hasil permintaan tersebut kepada
pengguna melalui pelayar laman web. Pelayan web yang akan digunakan dalam
pembangunan sistem ini adalah pelayan web sumber terbuka yang banyak digunakan
pada masa kini iaitu Microsoft Internet Information Services (IIS) yang juga terdapat
dalam produk Microsoft Windows 2003 Advance Server dan ke atas. Penggunaan
perisian pelayan web oleh kebanyakan pembangun sistem adalah disebabkan faktor
perlesenan.
3.4.5 Penetapan Alamat URL Alamat laman web bagi sesuatu laman web atau aplikasi web yang
dinamakan sebagai Universal Resource Locator ( URL ) perlu didaftarkan di dalam
pelayan nama domain ( DNS ) sistem rangkaian sesebuah organisasi untuk dicapai
oleh pengguna. Dalam pembangunan sistem ini, pelayan web yang digunakan
bertindak di komputer pembangunan sahaja sebagai pelayan setempat. Apabila
sistem telah lengkap ia akan dimasukkan ke dalam pelayan web sebenar sesebuah
organisasi. Alamat yang dicadangkan untuk mencapai sistem ini adalah
http://www.ictsecuritypolicy.utm.my
3.4.6 Perisian Pelayaran Web Perisan pelayar web digunakan oleh pengguna bagi membuat pemprosesan
maklumat seperti kemasukan, kemaskini, melihat laporan dan sebagainya di layar
komputer. Oleh kerana aplikasi ini berasaskan web, sebarang perisian pelayar web
boleh digunakan seperti Internet Explorer, Netscape, Mozilla dan sebagainya.
Kebanyakan perisian pelayaran web ini menyokong semua jenis format seperti
grapik, audio, teks, animasi dan sebagainya.
40
3.5 Keperluan Perkakasan
Pembangunan sistem aplikasi berasaskan web tidak memerlukan keperluan
peralatan yang tinggi dari segi bilangan dan kos. Keperluan peralatan dibahagikan
kepada dua kategori iaitu komputer pengguna dan komputer pelayan. Keperluan
peralatan hanya bergantung kepada kelajuan pemprosesan data dan maklumat.
Keperluan peralatan yang lebih baik disyorkan jika ingin meningkatkan keupayaan
capaian sistem dan keselamatan sistem tersebut.
3.5.1 Komputer Pengguna Pengguna boleh menggunakan apa saja komputer bagi mencapai sistem yang
dibangunkan. Keistimewaan aplikasi berasaskan web adalah sistem tersebut boleh
dicapai di mana-mana lokasi di seluruh dunia dengan menggunakan pelayar web
asalkan komputer tersebut bersambung dengan sistem rangkaian Internet. Dengan
menggunakan alamat URL yang telah diberikan, paparan pertama sistem akan
dipaparkan pada layar komputer pengguna dan proses boleh dilaksanakan.
3.5.2 Komputer Pelayan Komputer pelayan yang menempatkan pelayan server IIS , pangkalan data
Access dan pengaturcaraan aplikasi ASP mestilah komputer yang mempunyai
keupayaan yang bersesuaian supaya sistem berjalan dengan lancar. Komputer
pelayan juga boleh disesuaikan dengan pelantar operasi yang digunakan.
41
3.6 Ringkasan Bab
Kaedah pembangunan sistem adalah berasaskan kepada penganalisaan sistem
yang sediaada di organisasi dan penggunaan biasa sistem maklumat pengurusan
projek di pasaran telah membantu mengujudkan idea bagi pembangunan sistem ini.
Strategi pembangunan aplikasi pantas (RAD) juga menjadikan pembangunan sistem
ini lebih menjurus kepada keperluan organisasi dan pengguna Pembangunan sistem
lebih menekan aspek pengurusan berbanding peringkat lain kerana aktiviti
pemantauan banyak melibatkan pihak pengurusan organisasi dan pengurus projek.
Pemilihan perisian pangkalan data dan perisian aturcara berasaskan aplikasi
web adalah mengikut keselesaan pengguna pada masa ini yang lebih suka
menggunakan perisian berasaskan web yang boleh dicapai dimana-mana. Lebih
menarik lagi aplikasi ini boleh diberi penambahbaikan jika dicapai dengan
menggunakan peralatan mudah alih. (Sila rujuk Lampiran F dan Lampiran G – Carta
Gantt Projek 1 dan Carta Gantt Projek 2).
BAB 4
HASIL KAJIAN
4.1 Pengenalan
Penghasilan pembangunan Sistem Polisi Keselamatan ICT bagi peningkatan
perkhidmatan CICT ini boleh dilihat melalui perkara-perkara yang telah dibuat
dalam proses perancangan pembangunan sistem tersebut. Oleh kerana strategi
pembangunan berdasarkan pembangunan aplikasi pantas ( Rapid Aplication
Development ), proses penganalisaan keperluan pengguna memainkan peranan yang
penting sebelum sesuatu sistem boleh dibangunkan. Hasil kajian projek boleh
ditunjukkan dengan maklumat-maklumat yang diambil semasa kajian dijalankan.
4.2 CICT Sebagai Pusat Perkhidmat Teknologi Maklumat UTM
CICT atau Pusat Teknologi Maklumat dan Komunikasi UTM merupakan
pusat yang dipertanggungjawabkan dalam menyediakan perkhidmatan teknologi
maklumat diperingkat universiti. Pusat ini yang telah banyak melalui perubahan dari
segi menjalankan aktiviti perkhidmatan teknologi maklumat universiti, kini menjadi
pusat perkhidmatan utama dalam membekalkan perkhidmatan teknologi maklumat
yang bersesuaian dengan keperluan semasa pengguna universiti. Berdasarkan kepada
visi, misi dan objektif semasa pusat ini, boleh digambarkan perkhidmatan teknologi
maklumat yang diberikan melalui visi, misi dan objektif CICT itu sendiri.
43
4.2.1 Misi dan Visi CICT
Visi CICT adalah untuk menjadi nadi penggerak perkhidmatan ICT yang
berkualiti dan inovatif ke arah merealisasikan aspirasi universiti manakala misi
CICT ada komited untuk memenuhi keperluan teknologi maklumat universiti melalui
aktiviti pengkomputeran pentadbiran dan akademik, penyediaan infrastruktur
teknologi maklumat dan latihan serta penyelidikan dan perundingan teknologi
maklumat berasaskan perkhidmatan yang berkualiti.
4.2.2 Objektif CICT
Bagi memenuhi visi dan misi CICT, CICT telah menggariskan beberapa
objektif yang perlu dicapai bagi memenuhi keperluan sebagai pembekal
perkhidmatan teknologi maklumat universiti melalui objektif berikut
• Meningkatkan kompentensi teknologi maklumat dalam masyarakat UTM.
• Memperluaskan penggunaan teknologi maklumat di dalam semua aktiviti
universiti.
• Menyediakan prasarana dan kemudahan teknologi maklumat yang
terjamin.
• Menjadi pusat rujukan dalam perkhidmatan dan perlaksanaan
pembangunan perisian aplikasi universiti.
• Menerokai teknologi baru dalam perkhidmatan dan perlaksanaan
teknologi maklumat.
4.2.3 Carta Organisasi CICT
Berdasarkan kepada carta organisasi CICT yang dikeluarkan pada tahun 2007
boleh digambarkan jenis perkhidmatan yang diberikan oleh organisasi tersebut
kepada penggunanya di seluruh universiti. Terdapat tiga bahagian utama yang
44
disokong oleh dua unit khas. Selain dari itu satu cawangannya yang memberikan
perkhidmatan teknologi maklumat berada di kampus cawangan Kuala Lumpur selain
dari satu unit perkhidmatan pentadbiran bagi menguruskan urusan pentadbiran.
Bahagian tersebut adalah Bahagian Pengkomputeran Pentadbiran yang memberikan
tumpuan menyediakan perkhidmatan kepada pengurusan pentadbiran universiti.
Bahagian ini terlibat dalam membangunkan aplikasi-aplikasi utama universiti selain
membuat penyelenggaraan terhadap aplikasi tersebut atau yang diperolehi dipasaran.
Bahagian Pengkomputeran Akademik pula memberikan tumpuan kepada
perkhidmatan akademik terutama aplikasi yang berkaitan dengan pengajaran dan
pembelajaran bagi kegunaan pelajar dan pensyarah seperti menyediakan kemudahan
makmal komputer, perisian-perisian pembelajaran dan penyelidikan. Bahagian
Infrastruktur dan Servis pula menumpukan kepada menyediakan kemudahan
prasarana teknologi maklumat seperti penyediaan rangkaian komputer seluruh
universiti, kemudahan peralatan komputer dan pelayan serta aktiviti penyelenggaraan
komputer seperti baikpulih komputer, pencetak dan sebagainya.
Sementara kedua-dua unit khas iaitu Unit Khas Latihan dan Perundingan
memberikan latihan teknologi maklumat dan kemudahan latihan teknologi maklumat
kepada staf universiti dan Unit Khas Kajian Perancangan dan Kualiti pula lebih
menumpukan kepada mengkaji teknologi-teknologi baru teknologi maklumat dan
komunikasi untuk digunakan dalam pembangunan aplikasi universiti serta
melaksanakan piawaian dan pemantauan kualiti perkhidmatan teknologi maklumat
yang diberikan kepada pelanggannya. Bahagian Pentadbiran pula melaksanakan
pengurusan pentadbiran dan kewangan organisasi.
45
Rajah 4.1 dibawah menunjukkan carta organisasi CICT secara keseluruhan.
Rajah 4.1 Struktur Organisasi CICT
Sumber : Laporan Perancangan Straregik CICT 2007
4.3 Latar Belakang Perlaksanaan Polisi Keselamatan ICT
Polisi Keselamatan ICT telah dikaji dan disemak semula oleh Pusat
Komputer semenjak tahun 1998 dibawah pengawasan dan pengelolaan En Md Noh
Main. Satu pertemuan pertama untuk membincangkan isu ini telah diadakan pada
tahun tersebut dan dihadiri oleh semua Pengurus IT, dan seorang pakar keselamatan
ICT dari CASE iaitu Datok Prof Dr Norbik , perunding ICT dari Pusat ICT Prof Dr
Kasiran Buang telah dipanggil bersama-sama untuk membincangkannya. Hasilnya
sebuah buku karangan John Dryden yang merupakan Ketua Jabatan Maklumat,
Komputer dan Bahagian Polisi IT tahun 1993 telah dibeli bertajuk IT Policy :
Documentation and Implementation .
Selepas itu buku ini telah dijadikan panduan untuk perlaksanaan ICT di Pusat
Komputer dan masih belum dijadikan sebagai polisi ICT resmi UTM. Pada tahun
46
2003 selepas Pusat Komputer di jelnamakan semula kepada Pusat ICT dan dibawah
pengurusan baru iaitu pengarah baru Prof Zamri b. Mohamed dasar polisi
keselamatan telah disemak semula dan telah dilulusakan oleh jawatankuasa tertinggi
Universiti pada tahun 2004. Tetapi polisi dan dasar dari buku ini tidak dikaji
sepenuhnya untuk diguna pakai terhadap organisasi UTM.
Pada tahun bulan September 2004 satu taklimat mengenai perlaksanaan
polisi keselamatan ICT berdasarkan garispanduan MAMPU (Rangka Dasar
Keselamatan Teknologi Maklumat dan Komunikasi Kerajaan) yang disampaikan
oleh Pengarah Pusat ICT dan Pegawai Teknologi Maklumat (Unit Keselamatan ICT
– Saudara Azhari Hj Ahmad). Taklimat ini dihadiri oleh semua Pengurus IT,
Pengarah OSHA, Pegawai Undang-Undang UTM dan wakil-wakil jabatan yang tiada
Pengurus IT. Setelah itu, satu bengkel Pemurnian Polisi ICT telah diadakan pada 22
hingga 24 April 2008 di Bayview Hotel, Melaka bagi membincangkan kaedah
perlaksanaan terbaik untuk melaksanakan Polisi ICT mengikut keperluan. Bengkel
ini adalah diselia oleh PM Wardah bt Zainal Abidin dan Dr Azizah bt A Rahman
selaku perunding Pusat ICT dalam Projek Pembangunan Draf dan Penggubalan
Polisi ICT di Universiti Teknologi Malaysia.
Keperluan tersebut adalah merangkumi :
i) Peraturan/Dasar Penggunaan E-mel UTM
ii) Cadangan Peraturan Penggunaan Internet UTM
iii) Cadangan Peraturan Penggunaan Makmal Komputer
iv) Cadangan Panduan Pengisian Kandungan Laman Web
v) Cadangan Panduan Pelupusan Peralatan ICT
vi) Cadangan Peraturan Penggunaan dan Peminjaman Peralatan
Komputer
vii) Cadangan Peraturan Pengagihan Komputer
Walaupun keperluan tersebut agak terhad, tetapi banyak membantu Pusat ICT
dalam menyediakan polisi dasar untuk keperluan pengguna dalam menjayakan
perlaksanaan Polisi Keselamatan ICT pada masa akan datang.
47
4.3.1 Struktur Organisasi Pusat Keselamatan ICT
Pengurus IT (JATIT)
Jawatan Kuasa IT Universiti (JITU)
Pusat ICT (Sekretarat)
Rajah 4.2 : Carta Organisasi Unit Keselamatan ICT
Unit Keselamatan ICT diketuai oleh Timbalan Naib Canseler (Pembangunan
dan Inovasi) Datok Prof Dr Zaini b. Ujang, dibantu oleh Pegawai Teknologi
Maklumat (masih kosong) bertindak sebagai Pegawai Teknologi Komunikasi dan
Keselamatan Maklumat (ICTSO). Disamping itu terdapat Pengurus IT yang dilantik
oleh TNCP yang bertindak sebagai pelaksana ICT fakulti atau organisasi di UTM.
Segala aduan atau perbincangan adalah melalui JATIT (Jawatan Kuasa Teknikal IT)
yang dipengerusikan oleh Pengarah Pusat ICT.
Tujuan utama keselamatan ICT adalah untuk menjamin kesinambungan
urusan Kerajaan dengan meminimumkan kesan insiden keselamatan. Keselamatan
ICT berkait rapat dengan pelindungan maklumat dan aset ICT. Ini kerana komponen
peralatan dan perisian yang merupakan sebahagian daripada aset ICT Kerajaan
adalah pelaburan besar dan perlu dilindungi. Begitu juga dengan maklumat yang
tersimpan di dalam sistem ICT. Ia amat berharga kerana banyak sumber yang telah
digunakan untuk menghasilkannya dan sukar untuk dijana semula dalam jangkamasa
yang singkat. Tambahan pula terdapat maklumat yang diproses oleh sistem ICT
adalah sensitif dan terperingkat. Pendedahan tanpa kebenaran atau pembocoran
rahsia boleh memudaratkan kepentingan negara. Sebarang penggunaan aset ICT
kerajaan selain daripada maksud dan tujuan yang telah ditetapkan, adalah merupakan
satu penyalahgunaan sumber Kerajaan.
48
Unit ini akan bertindak dalam membantu :
i) Dasar perisian, aplikasi dan perkakasan
ii) Dasar keselamatan ICT
iii) Dasar Keselamatan ICT Kerajaan (Pekeliling Am Bil. 3 Tahun 2000)
iv) Akta / Undang-undang berkenaan yang digubal oleh kerajaan
Malaysia.
v) Menjalinkan hubungan dengan Government Computer Emergency
Response Team (GCERT) di MAMPU iaitu sebuah badan yang
bertanggungjawab menangani semua laporan insiden keselamatan
ICT yang melibatkan agensi Kerajaan termasuk:
a) Menerima dan mengambil tindakan ke atas insiden
keselamatan yang dilaporkan
b) Menyebarkan maklumat bagi membantu pengukuhan
keselamatan ICT sektor awam dari semasa ke semasa
c) Menyediakan khidmat nasihat kepada agensi-agensi dalam
mengesan, mengenal pasti dan menangani sesuatu insiden
keselamatan
d) Menyelaras dengan pihak-pihak yang terlibat seperti
Malaysian Computer Emergency Response Team (MyCERT),
pembekal, Internet Service Provider (ISP) dan agensi-agensi
penguat kuasa.
e) Semua insiden keselamatan ICT perlu dilaporkan kepada
GCERT. Laporan mengenai insiden keselamatan ICT adalah
penting kepada GCERT untuk:
• Memberi bantuan teknikal dalam pengendalian insiden
keselamatan ICT
• Berkongsi pengalaman dan maklumat mengenai isu-isu
keselamatan ICT
• Mengumpul statistik bagi Perancangan Strategik bagi
pemantauan keselamatan ICT
49
4.3.2 Peraturan dan Tatacara Keselamatan ICT
Bagi menentukan Sistem ICT ini terjamin keselamatannya sepanjang masa,
Unit Keselamatan ICT ini melihat perlindungan semua bentuk maklumat yang
dimasuk, diwujud, dimusnah, disimpan, dijana, dicetak, diakses, diedar, dalam
penghantaran, dan yang dibuat salinan keselamatan ke dalam semua aset ICT. Ini
dilakukan melalui penubuhan dan penguatkuasaan sistem kawalan dan prosedur
dalam pengendalian semua perkara-perkara berikut:
i. Data dan Maklumat – Semua data dan maklumat yang disimpan atau
digunakan dipelbagai media atau peralatan ICT.
ii. Peralatan ICT – Semua peralatan komputer dan peralatan seperti
komputer peribadi, stesen kerja, kerangka utama dan alat-alat
prasarana seperti Uninterrupted Power Supply (UPS), punca kuasa
dan pendingin hawa.
iii. Media Storan – Semua media storan dan peralatan yang berkaitan
seperti disket, kartrij, CD-ROM, pita, cakera, pemacu cakera dan
pemacu pita.
iv. Komunikasi dan Peralatan Rangkaian – Semua peralatan berkaitan
komunikasi seperti pelayan rangkaian, gateway, bridge, router dan
peralatan PABX.
v. Perisian – Semua perisian yang digunakan untuk mengendali,
memproses, menyimpan, menjana dan mengirim maklumat. Ini
meliputi semua perisian sistem, perisian utiliti, perisian rangkaian,
program aplikasi, pangkalan data, fail program dan fail data.
vi. Dokumentasi - Semua dokumentasi yang mengandungi maklumat
berkaitan dengan penggunaan dan pemasangan peralatan dan perisian.
Ia juga meliputi data dalam semua bentuk media seperti salinan kekal,
salinan elektronik, transparencies, risalah dan slides.
Di samping itu unit keselamatan ini tertumpu kepada tugas dan
tanggungjawab seperti berikut:
i. Menentukan semua pegawai dan staf jabatan memahami keperluan
50
standard, garis panduan, prosedur dan langkah keselamatan di bawah
Dasar Keselamatan ICT Kerajaan.
ii. Menentukan semua pegawai dan staf jabatan mematuhi standard, garis
panduan, prosedur dan langkah keselamatan di bawah Dasar
Keselamatan ICT Kerajaan. Tindakan sewajarnya hendaklah diambil
apabila berlaku sebarang perlanggaran keselamatan.
iii. Menjalankan penilaian risiko dan program keselamatan berpandukan
kepada standard, garis panduan, prosedur dan langkah keselamatan
ICT.
iv. Mengadakan Pelan Rancangan Pematuhan yang bertujuan untuk
mengurus risiko yang timbul akibat daripada ketidakpatuhan kepada
standard, garis panduan, prosedur dan langkah keselamatan ICT.
v. Melaporkan kepada Pusat ICT, UTM sebarang insiden perlanggaran
keselamatan seperti kejadian-kejadian berikut:
a) Maklumat didapati hilang, didedahkan kepada pihak-pihak
yang tidak diberi kuasa atau, disyaki hilang atau didedahkan
kepada pihak-pihak yang tidak diberi kuasa.
b) Sistem maklumat digunakan tanpa kebenaran atau disyaki
sedemikian.
c) Kata laluan atau mekanisma kawalan sistem akses hilang,
dicuri atau didedahkan, atau disyaki hilang, dicuri atau
didedahkan.
4.4 Perlaksanaan Pembangunan Aplikasi Dan Perkhidmatan Teknologi
Maklumat di CICT
Sebagai pembekal perkhidmatan teknologi maklumat universiti, CICT diminta
menyediakan segala kemudahan teknologi maklumat kepada pengguna dan
pelanggan seluruh kampus. Secara umumnya perkhidmatan yang disediakan adalah
seperti menyediakan prasarana teknologi maklumat dan aplikasi sistem bagi
kegunaan universiti.
51
Kesemua ini dianggap sebagai projek teknologi maklumat yang perlu
dijalankan samada dalam jangkamasa pendek atau untuk jangkamasa panjang.
Sebagai contoh projek Rancangan Malaysia ke Sembilan RMK 9 CICT yang sedang
dan akan dijalankan dari tahun 2005 hingga 2010 melibatkan pelbagai projek
teknologi maklumat yang menelan belanja yang besar. Disenaraikan sebahagian
projek RMK 9 CICT bagi menunjukkan kaitannya dengan keperluan sistem Polisi
Keselamatan ICT yang berkesan.
Jadual 4.1 : Senarai projek yang dilaksanakan oleh CICT
Bahagian dan Unit Projek
Pengkomputeran Pentadbiran Pengurusan Akademik
Pengurusan Sumber Manusia
Pengurusan Kewangan
Sistem Sokongan
Sistem Pintar
Sistem aplikasi sokongan bagi fakulti dan
bahagian
Pengkomputeran Akademik Smart Learning Center
MyREN Satellite Network
High-Performance Computer Cluster
Infrastruktur dan Perkhidmatan Pemasangan wireless di kolej pelajar,
kawasan teras (UTM Skudai dan
CityCampus)
Pengukuhan rangkaian bagi infrastruktur
rangkaian pentadbiran dan akademik (
UTM Skudai & CityCampus)
Perlaksanaan thin client bagi komputer
pentadbiran dan staf sokongan
Penambahbaikan bagi server utama
universiti(Perlaksanaan menyeluruh
52
clustering dan high-availability semua
pelayan universiti)
Mewujudkan sistem authentication (dan
accounting) bagi semua pengguna
Menambah laluan kabel baru dan alternatif
Unit Khas Latihan dan Perundingan
Pengujudan makmal multimedia
Peningkatan prasarana makmal latihan
Unit Khas Kajian dan Perundingan Pembangunan Sistem Pengurusan
Kandungan Menyeluruh Universiti
Projek Penggunaan RFID
Berdasarkan kepada sebahagian projek-projek teknologi maklumat ini, maka
satu sistem Polisi Keselamatan ICT yang bersesuaian harus digunakan bagi
memastikan kesemua projek-projek tersebut dilaksanakan mengikut perancangan
dari segi masa dan kos yang ditetapkan. CICT juga sedang menyediakan kemudahan
dari segi kemahiran dan staf untuk menjadi sebuah organisasi pembangunan perisian.
Ini bermakna ia bersedia menerima projek-projek pembangunan sistem dari
pelanggan dalaman dan pengguna di luar UTM seperti agensi kerajaan dan syarikat.
Berdasarkan kepada sejarah perkembangan CICT, CICT pernah membangunkan
sistem-sistem teknologi maklumat dari agensi kerajaan pada tahun 1990 an.
4.5 Hasil Kajian Keperluan CICT Untuk Pembangunan Sistem Polisi
Keselamatan ICT
Satu kajian ringkas telah dibuat kepada staf CICT bagi melihat sejauh mana
satu sistem Polisi Keselamatan ICT diperlukan dalam organisasi CICT. Kajian
melibatkan tiga kumpulan staf iaitu staf sokongan pertama yang terdiri dari penolong
pegawai teknologi maklumat kategori F29, F32 dan F38. Manakala kumpulan kedua
adalah staf dari kumpulan kategori pengurusan dan profesional iaitu pegawai
53
teknologi maklumat yang melibatkan 20 staf dari peringkat tersebut. Manakala
kumpulan ketiga adalah kumpulan pengurusan CICT iaitu pegawai teknologi
maklumat dari kategori F48 dan ke atas. Mereka biasanya menjadi ketua bahagian
sesuatu bahagian atau unit. Bilangan pegawai kumpulan ini ada seramai 6 orang
sahaja.
Hasil kajian yang perolehi adalah seperti berikut :
1. Kesemua staf yang terlibat pernah mendengar tentang polisi
keselamatan ICT.
2. 20 % pernah melihat dan memahami polisi keselamatan ICT
3. 30 % menggunakan polisi keselamatan ICT pada peringkat asas
(pembangunan sistem), 10 % pada peringkat pertengahan (rangkaian,
komunikasi dan perkhidmatan komputer) dan 5 % menggunakan pada
peringkat lanjutan (keselamatan firewall dan penjagaan pelayan proxy).
4. Semua staf tidak pernah menggunakan perisian keselamatan ICT yang
ada di pasaran. Alasan utama tidak menggunakan perisian tersebut
adalah tidak mahir dan kurang pendedahan mengendalikan perisian
tersebut
5. Ciri-ciri utama perisian polisi keselamatan ICT yang diinginkan adalah
• Mudah diguna
• Berasaskan web
• Tidak terlalu rumit
• Mudah mengetahui polisi yang ingin mereka gunakan
6. Aktiviti utama yang ingin diketahui dalam sistem tersebut mengikut
turutan adalah pada peringkat :
• Perlaksanaan
• Pemantauan
• perancangan
Hasil kajian mendapati bahawa kebanyakan aktiviti pengurusan dan
perlaksanaan kuatkuasa di UTM hanya menggunakan pekeliling dan garispanduan
dari MAMPU dan hasil bacaan dari internet . Mereka sebenarnya hanya memerlukan
perisian polisi keselamatan ICT yang mudah digunakan dan boleh membantu dan
54
petujuk arah dalam setiap kaedah penggunaan komputer secara menyeluruh pada
arah yang lebih selamat . Hala tuju perisian yang digunakan adalah berasaskan
kepada aplikasi web. Pihak pengurusan pula lebih berminat dalam proses persediaan
satu piawaian dokumen polisi yang menyeluruh dan boleh diguna pakai oleh
masyarakat UTM.
4.6 Hasil Kajian Keperluan Pembangunan Sistem Fakulti dan Bahagian
Satu kajian telah dijalankan untuk fakulti dan bahagian di seluruh UTM bagi
mengetahui sistem maklumat yang lebih selamat di gunakan dan mempunyai polis
penggunaan diperingkat fakulti dan bahagian serta keperluan akan datang yang
diinginkan oleh mereka. Hasil maklumbalas yang diberikan oleh fakulti dan bahagian
memberikan keputusan berikut :
4.6.1) Terdapat 16 fakulti dan bahagian yang memberikan laporan berkaitan
keperluan sistem polisi keselamatan ICT :
• Fakulti Pendidikan
• Fakulti Kejuruteraan Mekanikal
• Fakulti Kejuruteraan Elektrik
• Fakulti Kejuruteraan Awam
• Fakulti Pengajian Pengurusan dan Sumber Manusia
• Fakulti Sains
• Fakulti Sains Komputer dan Sistem Maklumat
• Fakulti Alam Bina
• Fakulti Kejuruteraan Kimia dan Sumber Asli
• Fakulti Kejuruteraan Sains Geoinformasi
• Pejabat Pendaftar
• Pejabat Hal Ehwal Pelajar
• Pusat Pengajian dan Pembelajaran
• Sekolah Pengajian Siswazah
• Perpustakaan Sultanah Zanariah
55
• Kolej Sains dan Teknologi
4.6.2) Semua sistem yang dinyatakan boleh dikategorikan pada kategori
berikut :
• Akademik dan Hal Ehwal Pelajar
• Pengurusan Fasiliti
• Pengurusan Sumber Manusia
• Sistem Maklumat
• Pengurusan Dokumen
• Kawalan Harta ( Inventori )
• Pembangunan Web dan Portal
4.6.3) Terdapat sebanyak 160 sistem yang diperlukan sepanjang RMK 9
oleh fakulti dan bahagian
4.6.4) Kos setiap projek yang diperlukan bagi pembangunan sistem akan
datang paling minima adalah RM 10,000 dan maksima RM
100,000.00 dengan kos keseluruhan adalah sekitar 5 juta ringgit.
4.6.5) Tidak terdapat satu pun perisian berkaitan menyatakan ciri-ciri
keselamatan ICT yang dperlukan
Berdasarkan daripada hasil kajian tersebut boleh disimpulkan bahawa
tidak terdapat sebarang pembangunan sistem berkaitan dengan pemahaman
polisi keselamatan yang menyeluruh. Kebanyakan sistem tersebut mungkin
dibangunkan secara pembangunan sendiri dan mungkin juga secara usaha sama
dengan syarikat pembekal perkhidmatan teknologi maklumat. Oleh itu sistem
polisi keselmatan ICT amat penting digunakan bagi memastikan supaya semua
projek-projek tersebut boleh dilaksanakan mengikut panduan terbaik yang
digariskan oleh pekeliling dari MAMPU dan ISO 27001.
4.7 Perbandingan Ciri-Ciri Perisian Polisi Keselamatan ICT
Pembangunan aplikasi sistem ini adalah menggunakan kaedah Rapid
Application Development Strategy (RAD) dimana kajian dilakukan ke atas
keperluan organisasi dan pengguna bagi meningkatkan mutu perkhidmatan yang
56
diberikan. Salah satu kaedah yang digunakan dalam pembangunan sistem ini adalah
penganalisaan ciri-ciri sistem polisi keselamtan ICT yang sedia ada di pasaran dan
yang dibangunkan dalam persekitaran organisasi utama iaitu dari MAMPU. Tiga
perisian yang telah dipilih dalam penganalisaan ciri-ciri sistem tersebut untuk
melihat kekuatan dan kelemahannya bagi diubahsuai untuk dimasukkan dalam ciri-
ciri Polisi Keselamatan ICT yang akan dibangunkan.
Tiga perisian tersebut adalah pertama ialah sistem polisi keselamatan ICT
yang berkaitan analisa risiko ,yang kedua sistem keselamatan yang dikenali sebagai
SECURIS dibangunkan untuk tujuan perdagangan dan yang ketiga ialah HiLRA
(High Level Risk Assessment) dan Malaysian Public Sector Information Security
Risk Assessment Methodology (MyRAM) oleh MAMPU .
4.8 Pemilihan Ciri-Ciri Utama Perisian Di Pasaran
Pembangunan Sistem Polisi Keselamatan ICT ini dibangunkan dengan
menggunakan konsep aplikasi berasaskan web. Ini merupakan halatuju pembangunan
aplikasi pada masa ini. Oleh itu keperluan perisian pembangunan aplikasi berasaskan
web adalah sama. Perbezaan yang ada adalah pada pelantar sistem operasi yang
digunakan, pangkalan data dan aturcara aplikasi.
Hasil keluaran aplikasi berasaskan web boleh dilihat dengan menggunakan
pelayar laman web yang boleh di capai dimana-mana lokasi diseluruh dunia.
Berdasarkan kepada perisian Polisi Keselamatan ICT yang telah dikaji dan dianalisa,
beberapa ciri Polisi Keselamatan ICT sistem tersebut telah diambil bagi dibangunkan
untuk menjadi sistem Polisi Keselamatan ICT yang dicadangkan.
57
Ciri-ciri tersebut dinyatakan dalam jadual 4. 2 dibawah.
Jadual 4.2 : Perbandingan ciri positif dan negatif perisian pilihan
PERISIAN CIRI-CIRI POSITIF CIRI-CIRI NEGATIF
Polisi Keselamatan
ICT Berkaitan
Analisa Risiko
Berasaskan analisa risiko
Penggunaan sumber
Penggunaan kos
Sistem tersendiri ,
berasaskan aplikasi web
Tiada pengurusan risiko
Tidak dikaitkan dengan
amalan terbaik secara
jelas
Polisi Keselamatan
ICT SECURIS
Jenis proses
• Proses permulaan analisa
polisi keselamatan
• Peringkat pengukuhan
• Peringkat perancangan
• Peringkat kawalan
• Pemantauan dan pematuhan
Melibatkan komponen
• Organisasi projek
• Pengurusan risiko
• Perancangan
Prosedur yang rumit,
sukar bagi mereka yang
tidak biasa dengan
pengurusan polisi
keselamatan
Berasaskan aplikasi web
Kos yang tinggi
High-Level Risk
Assessment(HiLRA)
dan Garis Panduan
Pengurusan
Keselamatan ICT
Sektor Awam
Malaysia (MyMIS)
• rujukan dan standard amalan
meningkatkan kesedaran
dan pengetahuan dalam
keselamatan ICT
• memperkemaskan operasi
keselamatan dalaman
sesebuah agensi sektor
awam
• mengukur, menganalisis
tahap risiko aset maklumat
Berasaskan pelayan
pelanggan
Tiada ciri amalan terbaik
yang diamalkan
Banyak modul yang
belum lengkap
58
4.8.1 Ciri-Ciri Tambahan Sistem Cadangan
Ciri-ciri tambahan yang dimasukkan ke dalam pembangunan Sistem Polisi
Keselamatan ICT ini adalah di ambil dari maklumbalas pengguna. Keperluan lebih
ditumpukan kepada pihak pengurusan organisasi. Bagi pihak pengurusan, proses
pemantauan menjadi aktiviti penting kepada mereka. Salah satu perkara yang dilihat
adalah status maklumat polisi keselamatan ICT yang ada.
Ciri yang dimasukkan ke dalam sistem ini adalah status setiap polisi dan
proses penganalisaan bagi sesuatu kawalan polisi. Proses penganalisaan bergantung
kepada data yang dimasukkan dan yang dijana oleh sistem. Data-data ini boleh
dimanipulasi dalam bentuk carta dan sebagainya. Oleh kerana sistem ini
menggunakan pembangunan sistem berasas web, maka paparan carta boleh
dihasilkan menggunakan pakej-pakej lain yang boleh di dapati dipasaran atau secara
percuma atau lebih baik jika ia boleh dibangunkan sendiri.
4.8.2 Ciri-ciri Utama Sistem Polisi Keselamatan ICT Cadangan
Hasil dari analisa ciri-ciri sistem polisi keselamatan ICT pada perisian sedia
ada di pasaran atau yang telah dibangunkan akan digabungkan dengan ciri-ciri
tambahan Polisi Keselamatan ICT hasil dari keperluan pengguna, maka wujud satu
kumpulan maklumat yang akan diguna pakai bagi membangunkan satu sistem yang
diharapkan dapat memenuhi keperluan CICT sebagai sekretariat.
59
Ciri-ciri sistem tersebut adalah seperti jadual 4.3 dibawah.
Jadual 4.3 : Ciri-ciri utama sistem cadangan
Ciri-ciri utama sistem yang dibangunkan meliputi perkara berikut :
Berasaskan aktiviti kawalan polisi
Memasukkan penggunaan sumber
Memasukkan penggunaan polisi ICT
Memasukkan maklumat
Kawalan keselamatan penggunaan mengikut kategori pengguna
Jenis proses yang diambil kira
• Proses permulaan
• Peringkat perancangan
• Peringkat perlaksanaan
• Peringkat pemantauan
Melibatkan komponen
• Organisasi
• Pengurusan polisi
• Perancangan Polisi
Berasaskan web
Memantau polisi melalui peratusan penggunaan sistem tersebut
Melibatkan proses penganalisaan
Pengeluaran laporan
4.9 Rekabentuk Sistem
Secara keseluruhan sistem yang dibangunkan ini boleh ditunjukkan melalui
satu rajah rekabentuk sistem seperti Rajah 4.2 dibawah menggambarkan aktiviti dan
aliran data yang berlaku pada sistem tersebut. Dari rekabentuk sistem ini dapat
dikenalpasti pengguna yang terlibat secara aktif adalah pengurus sistem yang banyak
mengawal dan memastikan sistem diberikan data dan maklumat dengan betul.
60
Selain dari itu maklumat-maklumat juga diperolehi dari pengurus IT yang
memasukkan maklumat berkaitan dengan polisi yang dijalankan beserta dengan
maklumat penggunaan sumber dan maklumat dokumenkan kawalan polisi yang
mungkin dihadapi terhadap aktiviti tersebut. Maklumat akaun pengguna pula
dibekalkan oleh pengurusan sistem. Setiap pengguna yang ingin menggunakan
sistem ini perlu didaftarkan akaun penggunanya kedalam sistem ini. Pihak
pengurusan lebih memfokuskan aktiviti menerima laporan dan analisa yang dijana
hasil dari semua data yang dicadangkan dan telah sedia ada.
Selain laporan yang dijana hasil dari maklumat projek, sistem juga dapat
menghasilkan beberapa jenis analisa berkaitan dengan projek tersebut dengan
menggunakan bantuan pakej perisian yang dicadangkan. Setiap fail-fail data yang
diujudkan didalam pangkalan data sistem ini mempunyai keperluan dalam
memberikan maklumat kepada sistem. Setiap fail dihubungkaitkan melalui melalui
medan kunci utama. Medan kunci utama yang banyak digunakan dalam sistem ini
seperti kod polisi dan nombor kerja pengguna.
61
REKABENTUK SISTEM POLISI KESELAMATAN ICT
Pentadbir Sistem
Rajah 4.3 : Rekabentuk Sistem Polisi Keselamatan CICT
4.10 Rekabentuk Pangkalan Data
Pangkalan data merupakan tempat dimana fail-fail data secara berstuktur
ditempatkan. Penggunaan pangkalan data sumber terbuka seperti MySQL akan
memudahkan lagi rekabentuk pangkalan data yang akan dibangunkan bagi
62
memenuhi keperluan sistem. Dalam pembangunan sistem ini, pangkalan data
tersebut akan mengandungi fail-fail data berikut :
• Fail Akaun Pengguna
• Fail Maklumat Polisi
• Fail Komponen/Kawalan Polisi
• Fail Cadangan Polisi
• Fail Log Pengguna
4.11 Rekabentuk Antaramuka Oleh kerana pembangunan aplikasi Sistem Polisi Keselamatan ICT ini
berasaskan kepada aplikasi web, maka rekabentuk antaramuka memainkan peranan
utama bagi memudahkan pengguna atau sesiapa sahaja yang akan menggunakan
sistem ini. Rekabentuk antaramuka boleh mempengaruhi penggunaan sistem
terutama kepada mereka yang kurang mahir dalam komputer. Keistimewaan
antaramuka aplikasi web adalah ia boleh digabungkan dengan penggunaan
multimedia bagi menarik minat penggunaannya. Didalam sistem ini terdapat
berbagai antaramuka yang telah diwujudkan bagi memproses semua maklumat
sehingga kepada pengeluaran laporan dan penganalisaan. Antaramuka tersebut boleh
diringkaskan seperti berikut :
• Antaramuka utama
• Antaramuka pentadbiran sistem
• Antaramuka pengurusan akaun pengguna
• Antaramuka maklumat polisi
• Antaramuka cadangan polisi
• Antaramuka pemilihan polisi
• Antaramuka fasa perancangan polisi
• Antaramuka perlaksanaan polisi
• Antaramuka cetakan
• Antaramuka senarai laporan dan pemantauan polisi
63
4.12 Penghasilan Data dan Laporan Sistem polisi keselamatan polisi keselamatan ICT ini akan membantu pihak
pengurusan ICT, pengurusan dan pengguna yang mempunyai kelayakan bagi
mendapatkan laporan atau senarai maklumat berkaitan dengan polisi tersebut.
Laporan yang dihasilkan boleh diperolehi dengan dua kaedah iaitu pertama melalui
paparan atas skrin komputer dan kedua dalam bentuk salinan keras.
Diantara laporan yang boleh dikeluarkan oleh sistem ini adalah
1. Senarai polisi
2. Laporan penggunaan sumber polisi
3. Lapuran senarai polisi berteraskan 11 domain ISO 27001
4. Laporan semakan padanan pekeliling MAMPU dengan ISO 27001
5. Laporan status keseluruhan polisi yang dipilih oleh pengguna
6. Laporan dalam bentuk graf pilihan polisi oleh pengguna
4.13 Proses Penganalisaan Proses penganalisaan data boleh dihasilkan bergantung kepada data yang
dihasilkan oleh sistem. Dalam sistem ini, data yang dihasilkan akan digunakan bagi
proses penganalisaan. Hasil penganalisaan ini ditumpukan untuk kegunaaan pihak
pengurusan. Pihak pengurusan lebih berminat maklumat yang dihasilkan dalam
bentuk carta dan grafik. Proses penganalisaan ini akan menggunakan pakej yang
boleh diintergrasikan ke dalam aplikasi ini. Diantara analisa yang akan dikeluarkan
oleh sistem ini adalah :
1. Analisa status pemilihan polisi oleh organisasi di UTM
2. Analisa senarai maklumat polisi keselamatan yang disediakan
3. Analisa cadangan polisi keselamatan ICT oleh pengguna terhadap
penambahan kepada sistem
64
4.14 Ringkasan Bab Kaedah pembangunan sistem berasaskan kepada penganalisaan sistem yang
sedia ada di organisasi dan penggunaan biasa Sistem Polisi Keselamatan ICT di
pasaran telah membantu mengujudkan idea bagi pembangunan sistem ini.
Pembangunan sistem ini lebih ditekankan pada aspek pengurusan berbanding
peringkat lain kerana aktiviti pemantauan lebih diperlukan oleh pihak pengurusan
organisasi dan pengurus IT. Pemilihan perisian pangkalan data dan perisian aturcara
berasaskan aplikasi web adalah mengikut keselesaan pengguna pada masa ini yang
lebih suka menggunakan perisian berasaskan web yang boleh dicapai dimana-mana
dan dengan menggunakan antaramuka yang menarik.
BAB 5
PEMBANGUNAN DAN IMPLEMENTASI SISTEM
5.1 Pengenalan
Bab ini akan menerangkan kaedah implementasi sistem peralatan Polisi
Keselamatan ICT. Pengujian terhadap sistem melalui proses pengujian oleh
pentadbir-pentadbir ICT UTM bagi memastikan fungsi-fungsi yang dipaparkan
adalah memenuhi keperluan. Pembangunan sistem pengurusan projek teknologi
maklumat ini menggunakan proses strategi pembangunan aplikasi pantas(RAD)
dimana pembangunan sistem dipermudahkan dalam memenuhi keperluan
pembangunan ini. Pembangunan sistem dibuat berdasarkan kepada objektif yang
hendak dicapai iaitu bagi memudahkan pemanatauan pengurusan sesuatu projek
teknologi maklumat. kajian awal. Fasa pembangunan sistem ini diikategorikan
berdasarkan kepada jenis pengguna sistem tersebut dan aktiviti yang dilakukan oleh
setiap kategori pengguna. Setiap kategori pengguna melakukan beberapa jenis
akitiviti yang berlainan antara mereka yang memerlukan modul-modul dibangunkan
bagi memenuhi keperluan sistem tersebut.
5.2 Pengguna Sistem
Sistem pengurusan projek teknologi maklumat ini mempunyai lima kategori
pengguna iaitu pentadbir sistem, pengurus projek, perlaksana projek, pengurusan
atasan atau mereka yang berkepentingan dalam projek dan pengguna umum. Setiap
66
kategori pengguna mungkin mempunyai aktiviti yang berbeza dan ada juga yang
mempunyai aktiviti yang sama tetapi tahap pencapaian terhadap data dan maklumat
mungkin berbeza antara satu sama lain. Modul sistem yang dibangunkaan akan
memenuhi keperluan setiap pengguna sistem tersebut. Keperluan setiap pengguna
secara umumnya adalah untuk memasuki sistem tersebut bagi membuat proses
kemasukan data dan maklumat, kemaskini maklumat, melihat status projek dan
mengeluarkan laporan sesuatu projek.
Terdapat tiga kategori pengguna bagi sistem pengurusan projek teknologi
maklumat ini. Fungsi yang dilakukan oleh setiap kategori pengguna adalah seperti
beriktu :
i) Pentadbir Sistem iaitu individu yang mengawal operasi sistem
tersebut.
ii) Pengurus Teknologi Maklmat adalah mereka yang dilantik sebagai
pengurus bagi menjalankan projek tersebut..
iii) Pentadbir IT adalah mereka yang terlibat dalam mengendalikan
sesuatu tugas berkaitan dengan penggunaan dan peralatan IT seperti
makmal komputer dan sebagainya.
5.3 Modul-Modul Sistem Polisi Keselamatan ICT
Modul-modul sistem merupakan aturcara yang dibangunkan mengikut
keperluan proses yang akan dilakukan oleh pengguna sistem. Modul-modul ini akan
berdasarkan kepada jenis proses capaian dan aktiviti yang dilaksanakan oleh setiap
peringkat pengguna serta jenis kawalan yang diberikan ke atas aktiviti tersebut.
Secara umumnya setiap pengguna akan melakukan proses yang sama seperti
memasukkan maklumat, mengemaskini maklumat, mencapai maklumat dan
mencetak maklumat yang telah diproses.
67
Walaubagaimanapun maklumat di kalangan pengguna mungkin berbeza
bergantung kepada jenis kategori mereka serta tahap keselamatan yang diberikan
kepada pengguna bagi mencapai maklumat tersebut. Modul-modul sistem ini boleh
dikategorikan kepada kategori umum dan kategori khusus proses yang dilaksanakan
seperti dinyatakan di bawah ini.
5.3.1 Modul Umum
Modul umum adalah modul dimana prosesnya akan digunakan pada
semua peringkat pengguna sistem. Modul memasuki sistem dan keluar dari
sistem merupakan contoh modul umum dimana setiap pengguna yang hendak
menggunakan sistem ini perlu memasukkan nama akaun dan katakunci yang
telah didaftarkan kepada sistem oleh pentadbir sistem. Begitu juga dengan
modul untuk keluar dari sistem dimana setiap pengguna apabila tamat
menggunakan sistem akan melalui proses tersebut seperti yang ditunjukkan
dalam Rajah 5.1.
Rajah 5.1 : Antaramuka modul proses memasuki sistem
68
5.3.2 Modul Khusus
Modul khusus merupakan modul-modul yang dibangunkan khusus
mengikut keperluan kategori pengguna dan juga proses yang hendak
dilakukan seperti prosesproses memasukkan data, mengemaskini data,
mencapai maklumat, mencetak maklumat dan penghasilan analisa dan
laporan. Perbezaan antara mereka adalah jenis data yang akan diberikan dan
yang boleh dicapai oleh pengguna tersebut. Ia dikawal melalui penggunaan
nama pengguna dan katakunci mereka.
5.4 Pengujian Sistem
Bagi memastikan sistem yang dibangunkan berfungsi dengan baik, pengujian
sistem perlu dilakukan. Beberapa tahap pengujian telah dikenalpasti untuk
memastikan keseluruhan sistem boleh digunakan.
Tahap-tahap pengujian sistem telah dibuat berdasarkan kepada perkara-
perkara berikut :
i) Pengujian data dan maklumat
ii) Pengujian verifikasi data
iii) Pengujian keselamatan
iv) Pengujian aliran proses modul
v) Pengujian masa tindakbalas
vi) Maklumbalas pengguna
5.4.1 Pengujian Data dan Maklumat
Data dan maklumat yang dimasukkan ke dalam sistem hendaklah diuji
bagi memastikan data dan maklumat tersebut adalah benar dan sahih. Ini bagi
mengelakkan kesalahan semasa proses penganalisaan dan penentuan status
projek. Maklumat projek dimasukkan oleh pengurus projek dan juga oleh
69
pelaksana projek. Bagi memastikan maklumat yang dimsukkan adalah benar
maka proses capaian semula dan kemaskini boleh dilakukan bagi melihat
ketepatan maklumat tersebut.
Data-data yang digunakan dalam pengujian ini adalah data-data dan
maklumat dari pengurusan projek yang sedang dijalankan di peringkat Pusat
Teknologi Maklumat dan Komunikasi bagi melihat sejauh mana sistem
tersebut berfungsi. Selain dari maklumat projek, maklumat berkaitan akaun
pengguna juga turut diuji.
Beberapa proses utama telah dilaksanakan yang melibatkan langkah-
langkah berikut :
i) Memasukkan maklumat akaun dari ketiga-tiga kategori
pengguna
ii) Memasukkan polisi yang dipilih oleh pengguna
iii) Memasukkkan maklumat sub polisi
iv) Menguji capaian maklumat terhadap sistem
v) Penghasilan status projek
vi) Penghasilan laporan projek
vii) Penghasilan analisa projek
5.4.2 Pengujian Validasi Data
Data-data yang dimasukkan ke dalam sistem juga hendaklah
dipastikan mengikut format data tersebut. Beberapa jenis data di dalam sistem
ini menggunakan format tertentu seperti data berkaitan tarikh, masa dan
angka. Ini kerana sistem pengurusan projek ini banyak melibatkan data-data
dalam bentuk tarikh dan maklumat berbentuk teks. Ini bagi mengelakkan
gangguan terhadap sistem jika data yang dimasukkan tidak mengikut format
tersebut. Salah satu kaedah yang digunakan adalah dengan membuat validasi
data melalui kod aturcara-aturcara bagi setiap pembinaan modul sistem.
70
5.4.3 Pengujian Keselamatan
Terdapat beberapa langkah keselamatan yang perlu diambil perhatian
semasa membangunkan sistem ini. Ini bagi mengelakkan sistem tersebut
digunakan oleh mereka yang tidak dibenarkan atau meminda maklumat-
maklumat yang tidak dibenarkan kepada mereka.
Terdapat tiga ciri keselamatan yang ditetapkan keatas sistem ini iaitu :
i) Penggunaan Akaun dan kata kunci bagi setiap pengguna yang
ii) memasuki sistem
iii) Penetapan kod kategori pengguna
iv) Penghindaran alamat URL supaya semua pengguna memasuki
sistem
v) melalui paparan utama
5.4.4 Pengujian Aliran Proses Modul
Pengujian aliran proses adalah untuk memastikan proses yang
dilakukan mengikut aliran proses ditetapkan bermula dari memasuki sistem
sehingga proses ditamatkan. Ini bagi memastikan modul-modul yang terlibat
dalam setiap proses berinteraksi dengan sempurna antara satu sama lain
melalui arahan-arahan dan aktiviti di dalam modul tersebut. Setiap aktiviti di
dalam modul akan membawa data dan maklumat kepada modul-modul lain
bagi melakukan aktiviti seterusnya. Aliran proses ini boleh digambarkan
melalui cartaalir setiap proses yang dibuat.
5.4.5 Pengujian Masa Tindakbalas
Pengujian masa tindakbalas adalah untuk memastikan tindakbalas
yang diberikan kepada pengguna apabila sesuatu arahan dibuat keatas sistem
seperti mencapai maklumat, mengemaskini maklumat, membuat
penganalisaan dan mengeluarkan laporan. Ini kerana masa tindakbalas adalah
71
penting bagi sistem yang bersifat interaktif. Kesan tindakbalas akan dapat
dirasai jika maklumat yang terkandung di dalam sistem mempunyai jumlah
yang terlalu besar. Masa tindakbalas sesuatu arahan juga berkaitan rapat
dengan rekabnetuk pangkalan data, penulisan aturcara dan aliran sesuatu
proses dibuat.
5.4.6 Maklumbalas Pengguna
Maklumbalas pengguna adalah penting bagi memastikan sistem yang
dibangunkan adalah mesra pengguna dan mudah digunakan.
Ciri-ciri utama yang digunakan bagi memastikan penerimaan
pengguna keatas sistem ini adalah seperti berikut :
i) Antaramuka sistem
ii) Susunatur maklumat
iii) Rekaletak grafik
iv) Penggunaan ikon sebagai butang arahan
v) Butang panduan
vi) Mesej yang dihasilkan
5.5 Penggunaan Sistem
Sistem ini boleh dicapai melalui semua jenis pelayar web seperti Netscape,
Mozilla Fire Fox dan Internet Explorer. Pengguna-pengguna tidak memerlukan
pengetahuan ICT yang mendalam untuk menggunakan peralatan sistem keselamatan
ICT tetapi memerlukan penerangan dan latihan penggunaan. Setiap kandungan
polisi keselamatan yang dibina berdasarkan ISO 27001, serta boleh membantu
pengguna dalam membangunkan polisi keselamatan ICT setiap organisasi mereka.
72
5.5.1 Proses Login
Terdapat skrin login pada Rajah 5.1 untuk mula menggunakan sistem ini.
Rajah 5.2 : Skrin Login
5.5.1.1 Peringkat Pengguna
Terdapat 2 peringkat pengguna yang boleh menggunakan sistem ini :
i) Pentadbir ICT (Administrator)
Disamping membina, memantau dan mentadbir dokumen Polisi
Keselamatan ICT, pentadbir juga dibenarkan tambah, kemaskini,
hapus dan cetak data atau maklumat telah disimpan di dalam
pangkalan data, keluarkan laporan, graf statistik laporan dan e-mail.
ii) Pengguna (Pengurus IT atau Ketua Makmal)
Pengguna ini hanya dibenarkan untuk melihat dan membina dokumen
Polisi Keselamatan ICT yang ingin dibina dan dipohon kepada
Pentadbir ICT.
73
Setelah berjaya login masuk ke skrin utama Polisi Keselamatan ICT,
paparan seperti berikut akan dikeluarkan pada Rajah 5.3 di bawah :
Rajah 5.3 : Skrin Utama Polisi Keselamatan ICT
Di dalam skrin utama, pengguna boleh melihat dan memaparkan
terhadap kawalan Polisi Keselamatan ICT, tambahan terhadap pecahan
kawalan-kawalan polisi dan kategori modul ke dalam pangkalan data,
kemaskini dan hapus kawalan-kawalan dan kategori modul untuk keperluan
sesuatu organisasi di UTM.
Sekiranya terdapat penambahan polisi yang baru perlulah mengisi
borang elektronik ataupun menghantar e-mail kepada pentadbir ICT UTM.
5.5.2 Paparan Kawalan Polisi Keselamatan ICT dan Kategori/Modul
Dengan pilihan menu ini, pengguna boleh memaparkan kesemua
kawalan-kawalan yang boleh dimasukkan ke dalam sistem pangkalan data.
(Lihat Rajah 5.4) . Kesemua sebelas kawalan-kawalan yang diterangkan
dalam ISO 27001 telah disediakan dalam sistem ini.
74
Rajah 5.4 : Paparan Kawalan Polisi
Apabila pengguna memilih salah satu Kawalan Polisi, Sub Kawalan
dan kesemua kategori/modul akan diperlihatkan seperti Rajah 5.5 di bawah :
Rajah 5.5 : Kawalan Paparan Polisi dan Kategori
75
5.5.3 Tambahan Kawalan , Sub Kawalan dan Kategori/Modul
Terdapat tiga peringkat maklumat yang boleh ditambah pada
pangkalan data. Ini dapat diterangkan pada Rajah 5.6 dibawah:
Rajah 5.6 : Skrin paparan bagi tambahan kawalan polisi, sub kawalan dan
kategori/modul
5.5.3.1 Tambah Kawalan Polisi Baru
Jika pengguna menambah kawalan polisi, skrin akan memaparkan
seperti Rajah 5.7 di bawah :
Rajah 5.7 : Tambahan kawalan polisi baru
76
Pada menu ini, pengguna akan memilih pada kotak kawalan polisi
yang baru dan klik pada butang yang disediakan. Setiap tambahan polisi yang
baru akan disimpan dalam pangkalan data.
5.5.3.2 Tambahan Sub Polisi Kawalan Baru
Pengguna boleh membuat penambahan kawalan sub polisi yang telah
dibuat sebelumnya.
Ini boleh dilihat pada menu Rajah 5.8 dibawah :
Rajah 5.8 : Tambahan sub polisi kawalan baru
5.5.3.3 Tambahan Modul/Kategori Kepada Sub Polisi Kawalan
Peringkat ini melibatkan tambahan kepada Modul/Kategori Sub Polisi
Kawalan yang baru. Pengguna boleh membuat tambahan Modul/Kategori
yang akan dipilih seterusnya.
77
Menu tugasan ini boleh dilihat pada Rajah 5.9 di bawah.
Rajah 5.9 : Tambahan polisi baru kepada sub polisi kawalan
5.5.4 Kemaskini , sunting dan hapus Kawalan, Sub Kawalan pada
Modul/Kategori
Segala proses kemaskini, sunting dan hapus hanya dibenarkan pada
pentadbir IT pada semua peringkat kategori/modul untuk kemasukan data
pada pangkalan data.
5.5.4.1 Kemaskini Kawalan, Sub Kawalan dan Modul/Kategori
Kemaskini dan suntingan boleh dilakukan semasa pengguna berada
dalam mod paparan Kawalan Polisi dan Modul/Kategori.
78
Di bawah adalah contoh untuk Pengurusan Kawalan Polisi
Keselamatan Maklumat. Pengguna boleh mengemaskini, menghapus dan
menambah rekod sepertimana modul dalam Rajah 5.10
Rajah 5.10 : Menu Paparan – Pengurusan Maklumat Keselamatan
Selepas itu menu Rajah 5.11 dibawah dipaparkan :
Rajah 5.11 : Contoh Modul Kemaskini
79
5.5.4.2 Hapuskan Kawalan , Sub Kawalan dan Modul/Kategori
Pengguna boleh hapus Kawalan, Sub Kawalan dan Modul/Kategori
dengan klik pada butang hapus dalam Skrin Menu Paparan.
Rajah 5.12 : Contoh Modul Hapus
5.5.5 Membina Polisi Keselamatan ICT
Kesemua data yang telah dikenalpasti dan dipilih masuk ke dalam
sistem, tugasan terakhir adalah untuk memaparkan serta mencetak dokumen
Polisi Keselamatan ICT. Pengguna perlu membuat pilihan butang Bina Polisi
pada skrin utama. Menu pada Rajah 5.13 akan dipaparkan :
80
Rajah 5.13 : Paparan Utama Membina Polisi Keselamatan ICT
Selepas melengkapkan memilih kawalan polisi yang diperlukan dan
berkaitan, pengguna hendaklah klik pada butang Bina Polisi dalam Rajah
5.13 di atas.
Pengguna hendaklah memilih dan klik pada kotak Sub Kawalan dan
Modul yang dikehendakki untuk membina dokumen Polisi Keselamatan ICT.
81
Setelah melengkapkan tugasan ini, pengguna boleh mencetak pada butang
cetak seperti Rajah 5.14
Rajah 5.14 : Cetakan Polisi Keselamatan ICT
Dokumen Polisi Keselamatan ICT boleh dicetak seperti yang terdapat
pada Lampiran G.
Contoh kod sumber adalah pada Rajah 5.15 di bawah adalah untuk
membina dokumen Polisi Keselamatan ICT.
<html> <head> <script language="JavaScript"> <!-- hide function cetak() { window.print(); history.back(); } // --> </script> <title>11 Domain</title> </head> <%Set Conn = Server.CreateObject("ADODB.Connection") dbpath = "DRIVER={Microsoft Access Driver (*.mdb)};" & _ "DBQ=" & Server.MapPath("../database/policy.mdb") & ";" Conn.Open(dbpath)%>
82
<% SQLList = " select * from POLICY_DOML1 order by DOML1_ABJAD,DOML1_KOD asc " set rstList = conn.execute(SQLList) 'bil = 0 do while not rstList.eof 'bil = bil + 1 DOML1_ABJAD = rstList("DOML1_ABJAD") DOML1_KOD = rstList("DOML1_KOD") DOML1_KETERANGAN = rstList("DOML1_KETERANGAN") %> <% SQLList2 = " select * from POLICY_DOML2 where DOML1_ABJAD = '"&DOML1_ABJAD&"' "&_ "and DOML1_KOD = "&DOML1_KOD&" "&_ "order by DOML1_KOD,DOML2_KOD asc " set rstList2 = conn.execute(SQLList2) do while not rstList2.eof DOML1_ABJAD = rstList2("DOML1_ABJAD") DOML1_KOD = rstList2("DOML1_KOD") DOML2_KOD = rstList2("DOML2_KOD") DOML2_KETERANGAN = rstList2("DOML2_KETERANGAN") DOML2_OBJEKTIF = rstList2("DOML2_OBJEKTIF")%> <%SQLList3 = " select * from POLICY_DOML3 where DOML1_ABJAD = '"&DOML1_ABJAD&"' " &_ "and DOML1_KOD = "&DOML1_KOD&" and DOML2_KOD = "&DOML2_KOD&" "&_ "order by DOML1_KOD,DOML2_KOD,DOML3_KOD asc " set rstList3 = conn.execute(SQLList3) do while not rstList3.eof DOML1_ABJAD = rstList3("DOML1_ABJAD") DOML1_KOD = rstList3("DOML1_KOD") DOML2_KOD = rstList3("DOML2_KOD") DOML3_KOD = rstList3("DOML3_KOD") DOML3_KETERANGAN = rstList3("DOML3_KETERANGAN") DOML3_CONTROL = rstList3("DOML3_CONTROL")%> <%rstList3.movenext loop rstList3.close rstList2.movenext loop rstList2.close%> <% rstList.movenext loop rstList.close%>
Rajah 5.15 : Bahagian kod sumber untuk membina dokumen Polisi
Keselamatan ICT
83
5.6 Ringkasan Bab
Bab ini telah pun membincangkan pengujian dan implementasi terhadap
sistem peralatan Polisi Keselamatan ICT, berkaitan dengan rekabentuk sistem yang
telah pun dibangunkan. Pembangunan ini mengambilkira secara menyeluruh dari
segi kaedah capaian terhadap sistem, pengujian dan keselamatan terhadap sistem.
BAB 6
STRATEGI PERLAKSANAAN ORGANISASI
6.1 Pengenalan
Jawatankuasa Teknikal IT (JATIT) telah ditubuhkan pada penghujung tahun
1996, sebagai badan induk yang bertanggungjawab menggubal dasar dan strategi
menyelaras perancangan dan pelaksanaan serta memantau semua program ICT
Universiti Teknologi Malaysia. JATIT juga adalah sebagai jawatankuasa di bawah
Jawatan Kuasa IT Universiti (JITU), yang akan menyelaras dan melaporkan segala
berkaitan dengan ICT kepada JITU. Penubuhan JATIT ini diketuai oleh En Md Noh
b. Main dan dibantu oleh Mohd Nazri b. Samino selaku Pengarah dan Ketua Jabatan
Pusat Komputer. Pada asasnya dokumen polisi keselamatan ICT telah diberi
perhatian oleh JATIT dan pada lampiran H menunjukkan dokumen polisi
keselamatan ICT yang dibina dari sistem ini.
6.2 Perbincangan
Projek ini berjaya jika boleh memenuhi objektif seperti yang disarankan pada
paragraf 1.5 dalam Bab 1. Objektif ini diperjelaskan pada pernyataan di bawah :
6.2.1 Matlamat Pusat Teknologi Maklumat dan Komunikasi (CICT)
Matlamat ICT bagi Pusat Teknologi Maklumat dan Komunikasi
(CICT) adalah :
85
• Menjadikan ICT sebagai utiliti asas Universiti
• Menyediakan perkhidmatan berpusat bagi memudahkan
pelanggan memberi fokus kepada bisnes teras masing-masing
• Menyediakan perkhidmatan bersepadu bagi memudahkan capaian
maklumat dengan berkesan
• Membuat penambahbaikan berterusan dalam perkhidmatan ICT
6.2.2 Komponen Tadbir Urus ICT
Komponen tadbir urus ICT meliputi perkara-perkara berikut:
1. Pengurusan Maklumat Pengurusan maklumat yang mantap adalah penting untuk
menyokong sistem penyampaian perkhidmatan yang disalurkan
melalui aplikasi pengguna seperti laman web, aplikasi
elektronik dan lain-lain.
2. Infrastruktur ICT Infrastruktur ICT meliputi rangkaian, perkakasan dan perisian yang
menyokong pelaksanaan ICT di UTM.
3. Keselamatan ICT Keselamatan ICT meliputi keperluan dasar, penguatkuasaan,
kawalan dan langkah-langkah menyeluruh untuk melindungi aset
ICT bagi memastikan urusan jabatan dapat beroperasi dengan
lancar dan selamat.
4. Perkhidmatan Kemudahan perkhidmatan yang disediakan meliputi Internet dan
komunikasi elektronik.
5. Arahan dan peraturan Garis panduan tadbir urus ICT UTM ini adalah tertakluk
86
kepada arahan dan peraturan semasa.
6.2.3 Struktur Tadbir ICT
Struktur tadbir urus ICT adalah seperti rajah di bawah dan
merangkumi jawatankuasa-jawatankuasa seperti berikut:
Rajah 6.1 : Jawatankuasa Struktur Tadbir ICT
Sila lihat lampiran I, penerangan mengenai peranan jawatankuasa struktur
tadbir ICT secara menyeluruh. Jawatankuasa ini melibatkan pembelian, penggunaan,
pengagihan dan seluruh berkaitan aset Universiti.
87
6.2.4 Persediaan Seminar/Bengkel Polisi Keselamatan ICT
Dalam melaksanakan projek ini persediaan bengkel telah dilakukan
pada bulan September 2004 taklimat mengenai perlaksanaan polisi
keselamatan ICT berdasarkan garispanduan MAMPU (Rangka Dasar
Keselamatan Teknologi Maklumat dan Komunikasi Kerajaan), bengkel
Pemurnian Polisi ICT 22 hingga 24 April 2008 di Bayview Hotel dan satu
seminar pemurnian polisi keselamatan akan dilakukan untuk penerangan
kepada pentadbir-pentadbir ICT UTM. Seminar atau bengkel Kesedaran
Keselamatan ini adalah salah satu faktor kejayaan untuk implementasi polisi
keselamatan, disamping dapat membantu pengurusan dalam menjayakan
perlaksanaan polisi keselamatan ICT untuk dilaksanakan secara menyeluruh.
6.3 Cadangan Menjayakan Projek Ini Pada Masa Akan Datang
6.3.1 Keselamatan Pangkalan Data
Dengan kaedah simpanan data ke dalam pangkalan data yang telah
diklasifikasikan, adalah mustahak diberi keutamaan bagi memastikan data
tersedia boleh diintegrasikan dengan polisi keselamatan yang ada seperti dari
ITIL dan COBIT . Adalah juga dicadangkan mempertingkatkan capaian
terhadap proses pengesahan pengguna semasa penggunaan sistem, dan data
yang terdapat di dalam pangkalan data adalah terenkrip.
6.3.2 Pangkalan Data Yang Lengkap dan Menyeluruh
Adalah sukar untuk menyatakan semua data di dalam pangkalan data
lengkap dan menyeluruh. Ini adalah bagi memastikan setiap pengeluaran
dokumen Polisi Keselamatan ICT adalah menyeluruh dan meliputi semua
aspek keselamatan terutamanya yang telah diterangkan dalam Dasar
Keselamatan Teknlogi Maklumat dan Komunikasi Sektor Awam oleh
MAMPU dan piawaian ISO 27001. Perlaksanaan projek pada masa akan
88
datang, boleh juga dilakukan dengan memasukkan data dari piawaian
keselamatan yang lain dan daripada pelbagai sumber yang boleh membantu
dalam mendokumenkan polisi keselamatan.
6.3.3 Capaian Sistem Melalui Pelayar Web
Sistem yang dibina sekarang adalah diimplementasi serta
menitikberatkan untuk memudahkan kepada pengguna. Diharap pada masa
akan datang , lebih ramai pengguna dapat menggunakannya dan
memahaminya dalam mempertingkatkan pengetahuan dan kemahiran tentang
pentingnya keselamatan ICT dalam setiap urusan harian mereka. Justeru itu
capaian terhadap sistem ini dengan penggunaan pelayar web merupakan
kaedah terbaik dalam membudayakan pengetahuan terhadap keselamatan ICT
bukan sahaja kepada pentadbir ICT UTM khususnya bahkan juga kepada
warga UTM amnya.
6.4 Ringkasan Bab
Sesuatu projek teknologi maklumat adalah lebih komplek dari projek-projek
biasa kerana hasilnya hanya boleh dilihat diakhir projek tersebut. Semasa dalam
proses perlaksanaan kemungkinan banyak berlaku perubahan-perubahan berdasarkan
kepada keperluan pengguna. Sumbangan dari Pusat Teknologi Maklumat dan
Komunikasi dalam melaksanakan dan penguatkuasaan polisi keselamatan ICT amat
diperlukan. Oleh itu peranan Pusat Teknologi Maklumat dan Komunikasi dalam
menjadi jawatankuasa urusetia tadbir Universiti, sangat membantu dalam membantu
Universiti membangunkan dokumen polisi keselamatan ICT. Ia juga diharapkan
sebagai galakan dan tarikan daripada Pentadbir Teknologi Maklumat untuk
berkongsi maklumat terutama dengan pengguna dan mereka yang berkepentingan
dengan projek tersebut.
BAB 7
KESIMPULAN 7.1 Pengenalan Pembangunan perisian polisi keselamatan ICT ini mengandungi dua aktiviti
utama iaitu pengurusan polisi dan proses pemantauan polisi. Hasil daripada kajian
dan pembangunan sistem yang dijalankan mendapati Sistem Polisi Keselamatan ICT
ini adalah bagi mempertingkatkan perkhidmatan di CICT. Sistem ini juga
diharapkan dapat memudahkan tugas-tugas pihak pengurusan dan pengurus IT dalam
menyediakan Sistem Polisi Keselamatan ICT yang menyeluruh samada di peringkat
organisasi atau universiti.
7.2 Pencapaian
Pencapaian projek ini boleh diukur dari sejauhmana ia telah memenuhi
objektif dan menyelesaikan permasalahan yang ditimbulkan semasa projek ini
dicadangkan. Ia dinilai dari segi ciri-ciri yang dicadangkan dalam pembangunan
sistem ini. Setakat ini segala keperluan pengguna yang terlibat dalam sistem yang
dibangunkan telah dikenalpasti dari segi keperluan maklumat dan kaedah capaian.
Penggunaan pangkalan data dan pembinaan fail-fail yang berkaitan sistem ini telah
diwujudkan dan dirasakan dapat menampung keperluan sistem tersebut dari segi
keperluan data dan maklumat serta ciri-ciri keselamatan yang ingin diujudkan.
Proses membangunkan antaramuka berdasarkan keperluan juga telah dikenalpasti.
90
Proses membuat pengaturcaraan berdasarkan modul-modul sentiasa diperbaiki bagi
memenuhi keperluan setiap proses kerja sistem ini.
7.3 Kekuatan Sistem
Sistem Polisi Keselamatan ICT (SPOKE) ini dibangunkan adalah bagi
memenuhi keperluan Pusat Teknologi Maklumat dan Komunikasi berdasarkan
kepada kajian keperluan yang telah dilaksanakan. Oleh itu kekuatan dan keupayaan
sistem ini ditumpukan dalam memenuhi keperluan pengguna serta objektif dan
matlamat sistem ini dibangunkan. Kelebihan sistem ini disenaraikan seperti di bawah
:
1. Penggunaannya adalah mengikut kategori pengguna seperti pentadbir
ICT, pengurus IT dan pengguna biasa boleh mencapai maklumat dari
sistem tersebut.
2. Pentadbir IT mempunyai keupayaan bagi membenarkan samada
maklumat polisi tersebut dapat dilihat oleh pengguna biasa atau
jawatankuasa IT Universiti.
3. Maklumat utama seperti 11 domain ISO 27001 dan pekeliling MAMPU
dimasukkan ke dalam sistem bagi memudahkan pengguna menilai
tujuan dan kejayaan projek tersebut.
4. Sistem dibangunkan dengan menggunakan pelantar berasaskan web
bagi memudahkan maklumat dicapai melalui Internet dimana-mana
lokasi dan masa.
5. Maklumat aktiviti polisi dikategorikan mengikut empat peringkat
kitaran hayat iaitu peringkat awalan, peringkat perancangan, peringkat
perlaksanaan dan peringkat cadangan bagi memudahkan pemantauan
projek.
91
6. Setiap peringkat polisi dinyatakan dalam bentuk peratusan aktiviti yang
telah dipilih atau digunakan dari keseluruhan pilihan domain. Oleh itu
memudahkan pemantauan setiap perigkat pilihan polisi kawalan
domain.
7. Setiap cadangan oleh pengguna polisi mempunyai maklumat tarikh
mula dan tarikh cadangan diluluskan.
8. Sistem juga boleh menghasilkan laporan yang bersesuaian dengan
keperluan pengurusan seperti senarai polisi yang telah dipilih untuk
dilaksanakan oleh sesuatu organisasi, senarai cadangan polisi yang
dicadang untuk digunakan serta laporan-laporan lain yang diperlukan
dari masa ke semasa.
7.4 Kekangan
Semasa membangunkan sistem pengurusan projek teknologi maklumat ini,
tidak dinafikan terdapat kekangan-kekangan yang boleh menggagal dan
melambatkan pembangunan projek ini. Beberapa kekangan tersebut boleh
dinyatakan melalui perkara-perkara berikut :
1. Logik pengaturcaraan yang komplek
2. Tempuh masa yang akan terhad bagi mendapatkan hasil yang
memuaskan.
3. Data-data pengurusan projek yang digunakan sukar diperolehi secara
terperinci bagi menguji sistem secara keseluruhannya.
4. Keupayaan dan kemahiran pengaturcaraan yang tinggi amat diperlukan
92
7.5 Cadangan Penambahbaikan
Bagi menambahbaik lagi sistem ini pada masa hadapan supaya menjadi lebih
berkesan, cadangan-cadangan berikut boleh dilaksanakan iaitu
1. Sistem ini juga boleh dibangunkan dengan menggunakan pangkalan
data yang lebih baik dengan ciri-ciri keselamatannya atau menggunakan
pangkalan data organisasi semasa seperti ORACLE.
2. Penggunaan peralatan mudah alih seperti telepon dan alatan pengurus
peribadi ( PDA ) yang murah pada masa ini, patut dimanafaatkan
dengan membolehkan maklumat polisi keselamatan ini disalurkan ke
dalam peralatan mereka setidak-tidaknya dalam bentuk maklumat
ringkas atau fakta.
3. Oleh kerana sistem ini juga digunakan oleh pihak pengurusan atasan
selaku pemantau polisi ICT, maka bentuk laporan haruslah dipamirkan
dalam bentuk yang lebih mudah difahami seperti penggunaa carta dan
graf.
4. Menambahkan lagi piawaian pengurusan projek yang disyorkan dari
Information Technology Infrastructure Library ( ITIL) dan juga Project
Management Book Of Knowledge ( PMBOK).
5. Maklumat mereka yang terlibat dengan perlaksanaan projek seperti
penggunaan sumber manusia boleh dipertingkatkan lagi dengan
mengambil kira bidang kepakaran staf yang tidak dimasukkan dalam
sistem ini.
6. Sistem ini boleh dikembangkan untuk menjadi satu sistem yang boleh
melibatkan pengurusan pengetahuan.
7. Sistem ini juga boleh dikembangkan menjadi lebih pintar dengan
menambah keupayaannya menjadi sistem pengurusan pintar.
93
8. Sistem ini juga boleh dikembangkan bukan sahaja terarah untuk
pengurusan teknologi maklumat polisi keselamatan ICT tetapi juga
untuk peraturan penggunaan komputer secara am.
7.6 Ringkasan Bab
Sesuatu projek teknologi maklumat adalah lebih kompleks dari projek-projek
biasa kerana hasilnya hanya boleh dilihat diakhir projek tersebut. Semasa dalam
proses perlaksanaan kemungkinan banyak berlaku perubahan-perubahan berdasarkan
kepada keperluan pengguna. Oleh itu Sistem Polisi Keselamatan ICT yang
dibangunkan ini diharapkan boleh menyelesaikan sebahagian daripada permasalahan
yang dibangkitkan dan dapat memenuhi objektif projek ini. Ia juga diharapkan
sebagai galakan dan tarikan kepada Pentadbir ICT untuk berkongsi maklumat
terutama dengan pengguna dan mereka yang berkepentingan dalam
mempertingkatkan peraturan dan polisi penggunaan komputer di UTM.
RUJUKAN�
1.� ISMS and A LevellCT Through Diagrams. (2003), NISER.
2.� Keselamatan Organisasi di Malaysia (2003), NISER.
3.� UTM Web Trafik, https://www.traffic.jaring.my (2008), Jaring.
4.� ISO/IEC FDIS 17799:2005. Information Technology - Secutity Techniques
Information security management systems - Requirements.
5.� IT Security Promotion Committee Japan. (Julai, 2000). GUidelines/or IT
Security.
6.� Monitor and Review (Plans, events, quality). (18 Mei 2006). ENISA - Risk
Strategy.
7.� ICT Securis Security Policy. (January 2006). SECURIS.
8.� Shahrizan Othman, Lizawati, Suraya Miskon dan Syed Norris.(2006).
Pembangunan Aplikasi Berasaskan Web.
9.� Boston B, Greenspan, J, Wall, D (2004), MySQLlPHP Database
Applications, 2nd Ed, Wiley Publishing, Inc., Indianapolis.
10.� Digital Crime and Forensic Science in Cyberspace (2002), Prentice-Hall,
Englewood Cliffs, New Jersey.
II.� Dennis, A., Wixom, RH., Tegarden, D. (2005), System Analysis and Design
with UML Version 2.0, 2nd Ed., John Wiley & Sons, Inc.
12.� Integration of ICT in Smart Organisations, Istvan Mezgar. (2006), Wrox
Press.
13.� Dennis, A., Wixom, RH., Tegarden, D. (2005), System Analysis and Design
with UML Version 2.0, 2nd Ed, John Wiley & Sons, Inc.
14.� Introduction to ITIL. (2005), Stationery Office Books.
15.� Information and Communication Technology for Peace. (2005), Daniel
Stauffacher 3rd Ed, Prentice-Hall Inc., Englewood Cliffs, New Jersey.
16.� Terrorism and the International Business Environment (2004), Gabriele G.s.
Suder American Foreign Policy(31)
17.� Reaves, C.c. (1992), Quantitative Research 0/Behavioral Sciences, John
Wiley & Sons, New York.
18.� Ridruejo, D.L. (2002), SAMS Teach YourselfApache 2 in 24 Hours, Sams
Publishing, Indianapolis, Indiana.
19.� PekeIiling Am Bit. 3 Tabun 2000: Rangka Dasar Keselamatan Teknologi
Maklumat, MAMPU 2000.
20.� Pekeliling Am Bil. 1 Tabun 2001: Mekanisme Pelaporan Insiden
Keselamatan Teknologi Maklumat dan Komunikasi (lCT), MAMPU, 2001.
21.� Garispanduan Pengurusan Keselamatan ICT Sektor Awam Malaysia
(MyMIS), MAMPU, Januari 2002.
22.� Dasar Keselamatan ICT Versi 4.0, MAMPU, 30 Mac 2006.
23.� ISOIlEC FDIS 27001 :2005. Information Technology - Secutity Techniques-
Information security management systems - Requirements.
24.� ISO/IEC TR 13335-1:1996. GMITS - Concepts and models for IT Security.
25.� ISO/IEC TR 13335-2:1997. GMITS -Managing and planning IT Security.
26.� ISO/IEC TR 13335-3:1998. GMITS - Techniques for the management ofIT
Security.
27.� ISO/IEC TR 13335-4:2000. GMITS - Selection of safeguards. j,\
96
LAMPIRAN A : Kawalan Domain Berdasarkan ISO 27001
Bil Kawalan / Bidang Objektif 1 Pembangunan dan
penyelenggaraan dasar
Peranan utama dalam pelaksanaan dan penyelenggaraan dasar keselamatan
2 Organisasi Keselamatan
Peranan Ketua Jabatan, Ketua Pegawai Maklumat (CIO), Pengurus ICT, Pegawai Keselamatan ICT, pengguna dan pembekal (vendor)
3 Kawalan dan pengkelasan aset
Iventori aset ICT, kategori, pengelasan dan pengendalian maklumat
4 Keselamatan personel
Tanggungjawab, syarat pekerjaan, perakuan Akta Rahsia Rasmi, tapisan keselamatan, pelanggaran arahan dan program kesedaran.
5 Keselamatan fizikal dan persekitaran
Perimeter keselamatan fizikal, kawalan keluar masuk fizikal, kawasan larangan, keselamatan peralatan dan keselamatan persekitaran.
6 Pengurusan operasi dan komunikasi
Prosidur, kawalan perubahan, perancangan penerimaan sistem, perisian merbahaya, housekeeping, pengurusan rangkaian, pengurusan media dan keslamatan komunikasi.
7 Kawalan capaian
Pengurusan capaian pengguna, kawalan capaian sistem dan aplikasi dan peralatan komputer mudah alih.
8 Perolehan, pembangunan dan penyelenggaraan sistem
Keselamatan dalam membangun sistem dan aplikasi, kriptografi, sijil digital, kawalan system fail dan pembangunan sistem sokongan
9 Pengurusan insiden keselamatan ICT
Pelaporan, pengendalian insiden keselamatan ICT
10 Pengurusan kesinambungan perkhidmatan
Pelan kesinambungan perkhidmatan, penduaan (backup)
11 Pematuhan Pematuhan dan keperluan perundangan
Lampiran A
97
LAMPIRAN B : PENGURUS TEKNOLOGI MAKLUMAT UTM
BIL. FAKULTI NAMA EXT.
1.
FP (Fakulti Pendidikan)
PM DR. ZAIDATUN BINTI TASIR [email protected]
34154/34393 019 – 7255786
2.
FKKKSA (Fakulti Kejuruteraan Kimia dan Kejuruteraan Sumber Asli)
PM HANIZAM SULAIMAN [email protected]
35507/35575 019-7535047
3.
FSKSM (Fakulti Sains Komputer dan Sistem Maklumat
DR. MD ASRI BIN NGADI [email protected]
32384 016-7787871
EN. FIROZ BIN YUSUF PATEL DAWODI [email protected]
32381 012-7083820
4.
FAB (Fakulti Alam Bina)
DR. KHERUN NITA BT. ALI [email protected]
30602 019 - 7750354
5.
FKM (Fakulti Kejuruteraan Mekanikal)
Prof. Madya Dr. Abu Hasan Abdullah(Baru) [email protected]
34740 019-7694029
6.
FS (Fakulti Sains)
EN. MOHD KHALID BIN KASMIN [email protected]
34028 013 - 7758825
7.
FKA (Fakulti Kejuruteraan Awam)
PM DR. ABDUL KADIR MARSONO [email protected]
31606 / 6641 013 – 725 7737
8.
FKSG (Faklulti Kejuruteraan
EN. TAJUL ARIFFIN BIN MUSA [email protected]
30883
Lampiran B
98
Sains Geoinformasi)
9.
FPPSM (Fakulti Pembangunan dan Pengurusan Sumber Asli)
EN. FAIZAL YAMIMI BIN MUSTAFFA [email protected]/[email protected]
35130 012 – 7584785
10.
FKE (Fakulti Kejuruteraan Elektrik)
EN. ALIAS BIN MOHD [email protected]
35424 013-3402451
11 FKBSK (Fakulti Kejuruteraan Bioperubatan dan Sains Kesihatan)
-
12 FBB (Fakulti BioSains dan BioKejuruteraan)
-
11.
PPIPS (Pusat Pengajian Islam dan Pembangunan Sosial)
DR. AZHAR BIN MUHAMMAD (baru) [email protected]
35093 / 6033 017 - 7557357
12.
KST (Kolej Sains Teknologi)
DR. MASLIN BINTI MASROM -Cuti sebatikal [email protected]
03 – 2615 4778 019-2621438
13.
CTL (Pusat Pengajaran dan Pembelajaran)
DR. JAMALLUDIN BIN HARUN [email protected]
37880 012 – 7569408
14.
BIP (Biro Inovasi dan Perundingan)
TN HJ KAMAL BIN KHALIL [email protected]
5591504 019 – 7123004
15.
RMC (Pusat Pengurusan Penyelidikan)
PM DR. SHAHARUDDIN BIN SALLEH [email protected]
37835 012 – 7709914
16. PSZ (Perpustakaan Sultanah Zanariah )
PN. NOR ASIKIN BINTI MOHAMAD (baru) [email protected]
30301 019-7720350
Lampiran B
99
LAMPIRAN C : SOALSELIDIK PENGURUSAN SISTEM KESELAMATAN Tujuan soalselidik ini adalah mendapatkan maklumat kesedaran dan penggunaan aktiviti pengurusan organisasi di tempat anda dalam mencapai piawaian Pengurusan Maklumat Keselamatan. Semua maklumat adalah rahsia dan tidak boleh diedarkan tanpa kebenaran.
1. Apakah pengurusan organisasi anda ?
Pentadbiran Kejuruteraan Kewangan Teknologi dan Pembangunan Lain-lain
2. Jika anda menggunakan komputer, berapa kerap anda menggunakannya ?
Jarang sekali Kerapkali Tidak sama sekali Sangat bergantung Saya tidak menggunakan menyeluruh
3. Adakah anda menyimpan atau mengurusakan maklumat sensitif seperti :
o Rekod peribadi o Rekod pelanggan anda o Pelan Pengurusan/ Strategi o Maklumat Kewangan o Rangka tindakan , Ciptaan/Rekaan o Skala model, prototaip o Maklumat rahsia pelanggan o Maklumat rahsia anda
Ya Tidak 4. Jika salah satu daripada perkara berikut berlaku, bolehkah anda menjalankan
urusan anda secara berkesan : • Bencana Alam • Kecurian dokumen/ peralatan • Virus komputer • Gangguan elektrik yang bererusan ?
Ya Tidak Jika ya , adakah anda bergantung kepada langkah-langkah yang telah disediakan oleh organisasi anda seperti semakan virus secara bekala ?
Ya Tidak
Lampiran C
100
5. Apakah pengalaman utama di organisasi anda untuk persediaan kesedaran
keselamatan ?
Website : Defacement, vandalism Network : sabotaj, wiretap Komputer : Virus, Cecacing, serangan malicious Mail : spamming, reroute email Salahlaku pekerja : Muat Turun artikel menyalahi Undang-undang Kecurian : Komputer, CD/ Disket Penipuan Kewangan Lain-lain
6. Jika ada maklumat rahsia, , siapakah yang bertanggungjawab ?
Organisasi anda Pelanggan anda Pekerja anda Lain-lain
7. Adakah pelanggan anda bertanyakan keselamatan/kawalan yang anda
sediakan apabila maklumat di bawah pengawasan anda ?
Ya Tidak 8. Adakah pelanggan atau organisasi anda mahukan pengauditan terhadap
keselamatan komputer ?
Ya Tidak 9. Adakah pelanggan anda, akan menyaman sekiranya maklumat rahsia
dibocorkan ?
Ya Tidak 10. Apakah sikap orhanisasi anda apabila kualiti maklumat telah dikompromi ?
Contoh : Pemalsuan / pengeliruan inbois . Pilih salah satu :
Tak ambil peduli Ambil peduli dan buat sesuatu untuk menghadapinya Selesaikan sebelum pengguna tahu Beritahu pengguna dan tindakan yang diambil
11. Adakah anda mempunyai rangkaian komputer ?
Ya Tidak Jika “ Ya”
Lampiran C
101
a) Berapakah bilangan access point di tempat anda ?
< 5 6- 25 26- 100 101 - 500 501 - 1000 > 1000
b) Berapa ramaikah pengguna di tempat anda ?
< 5 6- 25 26- 100 101 - 500 501 - 1000 > 1000
c) Adakah rangkaian di tempat anda mempunyai capaian terus ke internet atau hanya melalui capaian remote?
Ya Tidak
d) Adakah anda mengambil tahu tentang gangguan atau kehilangan
maklumat dalam rangkaian ? Ya Tidak
e) Adakah anda mengambil tahu tentang kebocoran maklumat ? Ya Tidak
12. Adakah terdapat borang Sistem Maklumat Pengurusan Keselamatan di tempat anda ?
Ya Tidak
13. Sedarkah organisasi anda tentang Internal Standards dan Guidelines for
Information Security (contoh : TR13335, ISO17799, BS7799, COBIT) ?
Ya Tida Apakah piawaian tersebut ?
TR13355 IS017799
Lampiran C
102
BS7799 COBIT OECD Others Nyatakan : ____ (MyMIS atau yang lain)
(Jika ya, dimanakah organisasi anda mendapatkan maklumat tersebut) ?
Internet Seminar Majalah Others
Bagaimanakah anda dapati piawaian dan garispanduan maklumat keselamatan dapat membantu organisasi anda?
Dapatkan lebih maklumat keselamatan ICT t Kurangkan bilangan gangguan dalaman dan luaran Pertingkatkan persaiangan perkhidmatan Dapatkan keyakinan pihak pengurusan Lain-lain
14. Apakah polisi dan prosedur yang ada di organisasi anda sekarang ?
Polisi Keselamatan (Rancangan pemulihan bencana) Pengurusan Risiko
Rancangan pengurusan berterusan Program Kesedaran Keselamatan Pengauditan Keselamatan
Tiada satupun di atas
15. Garispanduan dan piawaian maklumat keselamatan yang mana satukah diimplementasi di tempat anda ?
Polisi Keselamatan Keselamatan Maklumat Organisasi Pengurusan Aset
Keselmatan Sumber Manusia Keselmatan Persekitaran dan Fizikal Pengurusan Opersai dan komunikasi
Kawalan Capaian
Sistem Maklumat, Perolehan, Pembangunan dan Selenggara Pengurusan perniagaan berterusan Patuhi apa yang telah digariskan oleh organisasi
Lampiran C
103
16. Adakah anda menghadapi masalah laksanakan pawaian keselamatan di
organisasi anda ?
Tak Pasti Boleh dialksnakan tanpa mengikuti panduan Boleh, tetapi sukar
17. Jika organisasi anda masih belum ada piawaian keselmatan, adakah anda
ingin mempertimbangkannya ?
Tak Pasti Ya Tidak
18. Jika tidak, apakah alasan anda ?
Kami bukan penentu Kami tidak mempunyai cukup sumber (kewangan, manusia) Tiada kaitan dengan urusan kerja Kami telah mempunyai system keselamatan yang boleh diguna Lain-lain
19. Jika anda merancang untuk laksana, apakah pendekatan anda?
Dapatkan pertolongan dari organisasi dalam UTM Daptakan perunding Buat ikut keperluan berdasarkan permintaan pengguna Lain-lain
Lampiran C
104
LAMPIRAN D : Model Padanan Proses Piawaian ICT Keselamatan dan
Garis Petunjuk MAMPU
1. ISO 27001 2. ISO 17799
Tajuk Kawalan
A.5 Security Policy Perkara 5
Polisi / Strategi Keselamatan
A.5.1 Information Security Policy
5.1
Pemakaian Dasar Keselamatan ICT Kerajaan. Dasar Keselamatan ICT Kerajaan adalah terpakai kepada semua pengguna aset ICT termasuk pembekal dan pakar runding yang berurusan dengan kerajaan.
A.5.1.1 Information Security Policy document
5.2 Penyebaran Dasar. Dasar ini perlu disebaran kepada semua pengguna (termasuk kakitangan, pembekal, pakar runding)
A.5.1.2 Review of the Information Security
5.3 Semakan dan Pindaan Dasar. Dasar Keselamatan ICT Kerajaan adalah tertakluk kepada semakan dan pindaan dari semasa ke semasa selaras dengan perubahan teknologi, aplikasi, prosedur, perundangan dan kepentingan social. Prosedur berkaitan seperti berikut : • Kenalpasti dan tentukan
perubahan yang diperlukan • Kemukakan cadangan bertulis
kepada ICTSO • Pembentangan dan persetujuan
Mesyuarat Jawatankuasa Pemandu ICT
• Perubahan yang dipersetujui dimaklumkan kepada pengguna.
A.6 Organization of Information Security
Perkara 6
Pengurusan Keselamatan ICT
6 Tanggungjawab Ketua Jabatan • Membaca, memahami dan • mematuhi Dasar Keselamatan ICT • Mewujud dan mengetuai jawatankuasa pengurusan keselamatan ICT organisasi.
Lampiran D
105
1. ISO 27001 2. ISO 17799
Tajuk Kawalan
• Memastikan semua pengguna ICT Kerajaan memashami dan mematuhi Dasar Keselamatan ICT Kerajaan. • Memastikan semua keperluan keselamatan ICT organisasi (sumb kewangan, kakitangan) adalah mencukupi. • Memastikan penilaian risiko dan program keselamtan ICT dilaksanakan seperti yang ditetapkan.
A.6.1 Internal Organisation
6.1 Struktur Organisasi
A.6.1.1 Management commitment to information security
6.1(a) Komitmen pengurusan atasan ke atas keselamatan ICT dengan aktif dan telus
A.6.1.2 Information security coordination
6.1(b) Aktiviti pengurusan keselamatan ICT diselaraskan oleh Ketua Bahagian dari semua peringkat organisasi
A.6.1.3 Allocation of information security responsibilities
6.1(c) Tanggungjawab yang jelas bagi semua pengguna ICT kerajaan
A.6.1.4 Authorization process for information processing facilities
A.6.1.5 Confidentialityagreements
6.1 (d) Keperluan untuk pengurusan kerahsiaan maklumat dikenalpasti, dilaksana dan dikaji secara berkala
A.6.1.6 Contact with authorities
A.6.1.7 Contact with special interest group
A.6.1.8 Independent review of information security
A.6.2 External parties 6.2 Pihak Luar/Asing A.6.2.1 Identification
Of risks related to external parties
6.2 (a) Mengenalpasti risiko keselamatan maklumat serta melaksanakan kawalan yang sesuai sebelum memberi kebenaran capaian
A.6.2.2 Addressing security 6.2 (b) Mengenalpasti keperluan keselamatan
Lampiran D
106
1. ISO 27001 2. ISO 17799
Tajuk Kawalan
when dealing with customers
A.6.2.3 Addressing security in third party agreements
6.2 (c) Memastikan semua syarat keselamatan dinyatakan dengan jelas dalam perjanjian dengan pihak ke tiga
6.3 Jawatankuasa Pengurusan Keselamatan ICT
6.3 (a) Ketua Pegawai Maklumat (CIO) • Membaca,memahami dan
mematuhi Dasar Keselamatan ICT Kerajaan
• Menentukan keperluan keselamatan ICT
• Membangun dan menyelaras perlaksanaan pelan latihan dan program kesedaran mengenai keselamatan ICT
6.3(b) Pegawai Keselamatan ICT (ICTSO) • Membaca,memahami dan
mematuhi Dasar Keselamatan ICT Kerajaan
• Menguatakuasakan keseluruhan program keselamatan ICT
• Menguatkuasakan Dasar Keselmatan ICT kerajaan
• Memberi penerangan dan pendedahan berkeanaan Dasar Keselmatan ICT kepada pengguna
• Melaporkan insiden keselamatan ICT kepada GCERT MAMPU dan memaklumkannya kepada Ketua Jabatan,CIO dan Pengurus ICT
• Memberi perakuan tindakan tatatertib ke atas pengguna
6.3 ( c) Pengurus ICT • Membaca, memahami dan mematuhi
Dasar Keselamatan ICT Kerajaan • Memastikan kajian semula dan
perlaksanaan kawalan keselamatan ICT selaras dengan keperluan organisasi
• Melaporkan sebarang insideen kepada ICTSO
• Memastikan rekod, bahan bukti dan laporan disimpan dan dilaksanakan
6.3 (d) Pentadbir Sistem ICT
• Membaca, memahami dan
Lampiran D
107
1. ISO 27001 2. ISO 17799
Tajuk Kawalan
mematuhi Dasar Keselamatan ICT Kerajaa.
• Menjaga kerahsiaan kata laluan. • Menjaga kerahsiaan konfigurasi
aset ICT. • Mengambil tindakan yang
bersesuaian dengan segera apabila dimaklumkan mengenai pengguna ICT yang digantung kerja, berhenti, bersara dan bertukar atau berlaku perubahan dalam bidang tugas.
• Management receives and acts upon routine reports summarizing security related information(e.g audits, logs, risk and vulnerability assessments).
• Memantau aktiviti capaian harian pengguna.
• Mengenalpasti aktiviti tidak normal seperti pencerobohan dan pengubahsuaian data tanpa kebenaran.
• Menyimpan dan menganalisis rekod jejak audit.
6.3 (e) Pengguna Dalaman • Membaca,memahami dan
mematuhi dasar keselamatan ICT kerajaan
• Mengetahui dan fahami impilkasi keselamatan ICT kesan dari tindakannya
• Melaksnakan langkah perlindungan seperti kerahsiaan maklumat
• Menghadiri program kesedaran keselamatan ICT
A.7 Asset Management
Perkara 7
Pengurusan Aset
A.7.1 Responsibility For Assests
7.1 Tanggungjawab ke atas aset
A.7.1.1 Inventory of assets 7.1 (a) Memastikan semua aset dikenalpasti dan direkod
A.7.1.2 Ownership of assets 7.1 (b) Memastikan semua aset mempunyai pemilik
A.7.1.3 Acceptable use of assets
7.1 (c) Peraturan bagi pengendalian aset hendaklah dikenalpasti
A.7.2 Information Classification
7.2 Pengelasan Maklumat
Lampiran D
108
1. ISO 27001 2. ISO 17799
Tajuk Kawalan
A.7.2.1 Classification guidelines
A.7.2.2 Information labeling and handling
7.3 Pelabelan dan pengendalian maklumat
A.8 Human Resources Security
Perkara 8
Keselamatan Sumber Manusia
A.8.1 Prior to employment
8.1 Sebelum berkhidmat
A.8.1.1 Roles and responsibilities
8.1 (a) Menyatakan dengan lengkap dan jelas peranan dan tanggungjawab penjawat awam
A.8.1.2 Screening 8.1(b) Menjalankan tapisan keselamatan A.8.1.3 Terms and
conditions of employment
8.1 (c) Mematuhi terma dan syarat perkhidmatan yang ditawarkan
A.8.2 During Employment
8.2 Mematuhi terma dan syarat perkhidmatan yang ditawarkan
A.8.2,1 Management Responsibilities
8.2 (a) Memastikan penjawat awam, pembekal dan pihak lain yang berkepentingan mengurus keselmatan aset ICT berdasarkan perundangan dan peraturan organisasi
A.8.2.2 Information security awareness , education and training
8.2 (b) Memastikan latihan kesedaran dan berkaitan pengurusan keselmatan ICT diberi kepada penjawat awam dan pihak yang berkepentingan
A.8.2.3 Disciplinary process
8.2 (c) Memastikan adanya proses tindakan dan undang-undang sekiranya berlaku pelanggaran perauran
A.8.3 Termination of change of employment
8.3 Bertikar atau tamat perkhidmatan
A.8.3.1 Termination responsibilities
A.8.3.2 Return of assets 8.3 (a) Memastikan semua aset ICT dikembalikan A.8.3.3 Removal of access
rights 8.3 (b) Membatalkan atau menarik balik semua
kebenaran capaian ke atas maklumat A.9 Physical and
environmental security
Perkara 9
Keselmatan Fizikal dan Persekitaran
A.9.1 Security Areas 9.1 Kawalan Kawasan Terhad A.9.1.1 Physical Security
Perimeter 9.1 (a) Menggunakan keselmatan perimeter
(halangan seperti dinding, pagar kawalan dan pengawal keselmatan)
A.9.1.2 Physical entry controls
9.1(b) Melindungi kawasan terhad melalui kawalan pintu masuk yang bersesuaian
A.9.1.3 Securing offices 9.1 (c ) Merekabentuk dan melaksankan
Lampiran D
109
1. ISO 27001 2. ISO 17799
Tajuk Kawalan
rooms and facilities keselamatan fizikal di dalam pejabat, bilik dan kemudahan
A.9.1.4 Protecting against external and environmental threats
9.1(d) Merekabentuk dan melaksanakan perlindungan fizikal dari bencana atau perbuatan manusia
A.9.1.5 Working in secure areas
9.1(e) Melaksana perlindungan fizikal dan menyediakan garis panduan untuk kakitangan yang bekerja di dalam kawasan terhad
A.9.1.6
Public access, delivery and loading areas
9.1(f) Memastikan kawasan-kawasan penghantaran dan pemunggahan dan juga tempat-tempat lain dikawal dari pihak yang tidak diberi kebenaran memasukinya
A.9.2 Equipment security 9.2 Keselamatan peralatan A.9.2.1 Equipment siting
and protection 9.2(a) Perkakasan
9.2(b) Dokumen 9.2(c) Media Storan A.9.2.2 Supporting utilities 9.3 Prasarana sokongan 9.3(b) Bekalan kuasa 9.3(c) Prosedur kecemasan A.9.2.3 Cabling security 9.3(d) Keselamatan kabel A.9.2.4 Equipment
maintenance 9.4 Penyelenggaraan peralatan
A.9.2.5 Security of equipment off-premises
9.5 Peminjaman perkakasan untuk kegunaan di luar pejabat
9.6 Pengendalian peralatan luar yang dibawa masuk atau keluar
A.9.2.6 Secure disposal or re-use of equipment
9.7 Pelupusan peralatan
A.9.2.7 Removal of property
9.8 Clear desk and clear screen
A.10 Communications
and operations management
Pekara 10
Pengurusan Operasi dan Komunikasi
A.10.1 Operational procedures and responsibilities
10.1 Tanggungjawab dan prosedur operasi
A.10.1.1 Documented operating procedures
10.1(a) Semua prosedur operasi hendakla di dokumenkan
A.10.1.2 Change management
10.1(b) Setiap perubahan kepada sistem mestilah dikawal
A.10.1.3 Segregation of 10.1(c) Tugas dan tanggungjawab perlu diasingkan
Lampiran D
110
1. ISO 27001 2. ISO 17799
Tajuk Kawalan
duties bagi mengurangkan risiko kecuaian dan penyalahgunaan aset organisasi
A.10.1.4 Separation of development,test and operational facilities
10.1(d) Kemudahan ict untuk pembangunan, pengujian dan operasi mestilah diasingkan
A.10.2 Third party service 10.2 Pengurusan penyampaian Delivery
management Perkhidmatan pembekal,pakar runding dan
pihak-pihak lain yang berkepentingan A.10.2.1 Service delivery 10.2(a) Memastikan kawalan keselamatan,definisi
perkhidmatan dan tahap penyampaian yang terkandung dalam perjanjian di patuhi
A.10.2.2 Monitoring and review of third party service
10.2(b) Perkhidmatan,laporan dan rekod yang dikemukakan oleh pembekal dan pihak berkepintingan perlu dipantau,di semak semula dan diaudit
A.10.2.3 Managing changes to third party services
10.2(c) Pengurusan kepada perubahan penyediaan perkhidmatan perlu mengambil kira tahap kritikal system dan proses yang terlibat serta penilaian semula risiko
A.10.3 System planning and acceptance
10.3 Perancangan dan penerimaan system
A.10.3.1 Capacity management
10.3(a) Penggunaan peralatan dan system mestilah dipantau dan perancangan perlu dibuat bagi memenuhi keperluan kapasiti akan datang
A.10.3.2 System acceptance 10.3(b) Criteria penerimaan untuk peralatan dan system baru perlu ditetapkan
A.10.4 Protection against malicious and mobile code
10.4 Perlindungan dari malicious dan mobile code
A.10.4.1 Controls against malicious code
10.4(a) Kawalan pencegahan, pengesanan dan pemulihan untuk melindungi daripada malicious code
A.10.4.2 Controls against mobile code
10.4(b) Dalam keadaan dimana mobile code dibenarkan,konfigurasinya hendaklah memastikan bahawa ianya beroperasi berdasarkan kepada dasar keselamatan yang jelas
A.10.5 Back-up 10.5 Backup A.10.5.1 Information back-
up
A.10.6 Network security management
10.6 Pengurusan keselamatan rangkaian
A.10.6.1 Network controls 10.6(a) Rangkaian perlu dikawal,dipantau dan diurus sebaiknya
A.10.6.2 Security of network services
10.6(b) Ciri-ciri keselamatan,tahap perkhidmatan dan keperluan pengurusan bagi semua perkhidmatan rangkaian perlu dikenal pasti
Lampiran D
111
1. ISO 27001 2. ISO 17799
Tajuk Kawalan
dan dimasukkan dalam mana-mana perjanjian perkhidmatan rangkaian.
• Firewall hendaklah dipasang diantara rangkaian dalaman dan system yang melibatkan maklumat rahsia rasmi kerajaan
• Memasang perisian Intrusion Detection System (IDS) bagi mengesan sebarang cubaan menceroboh
• Memasang Web Content Filter pada Internet Gateway untuk menyekat aktiviti yang dilarang
A.10.7 Media handling 10.7 Pengendalian media A.10.7.1 Management of
removable media 10.7(a) Prosedur perlu disediakan untuk
pengurusan media mudah alih A.10.7.2 Disposal of media 10.7(b) Media yang tidak digunakan perlu
dilupuskan secara selamat mengikut prosuder yang ditetapkan
A.10.7.3 Information handling procedures
10.7(c) Prosedur untuk mengendali dan menyimpan maklumat perlu diwujudkan
A.10.7.4 Security of system documentation
10.7(d) Dokumentasi system perlu dilindungi dari capaian yang tidak dibenarkan
A.10.8 Exchange of information
10.8 Pertukaran maklumat
A.10.8.1 Information exchange policies and procedures
10.8(a) Polisi,prosedur dan kawalan pertukaran maklumat yang formal perlu diwujudkan. Internet:
• Laman yang dilayari hendaklah hanya yang berkaitan dengan bidang kerja dan terhad untuk tujuan yang dibenarkan oleh ketua jabatan
• Bahan yang diperolehi dari internet hendaklah ditentukan ketepatan dan kesasihannya
• Pengguna hanya dibenarkan memuat turun bahan yang sah
• Bahan rasmi hendaklah disemak dan mendapat pengesahan daripada ketua jabatan sebelum dimuatnaik ke internet
A.10.8.2 Exchange 10.8(b) Perjanjian perlu diwujudkan
Lampiran D
112
1. ISO 27001 2. ISO 17799
Tajuk Kawalan
agreements A.10.8.3 Physical media in
transit 10.8(c) Media yang mengandungi maklumat perlu
dilindungi semasa pemindahan keluar dari organisasi
A.10.8.4 Electronic messaging
10.8(d) Maklumat yang terdapat dalam mel elektronik perlu dilindungi sebaiknya.
• Akaun atau alamat mel elektronik (e-mel) yang diperuntukkan sahaja boleh digunakan
• Pengguna hendaklah mengelak dari membuka e-mel daripada penghantar yang tidak diketahui atau diragui
• Pengguna dinasihatkan tidak menghantar fail kepilan yang melebihi 2MB
• Penggunaan e-mel hendaklah mematuhi Pekeliling Kemajuan Perkhidmatan Awam Bil.1 tahun 2003 bertajuk Garis Panduan mengenai Tatacara Penggunaan Internet dan Mel Elektronik di Agensi Kerajaan
A.10.8.5 Business information system
10.8(e) Polisi dan prosedur perlu dibangunkan bagi melindungi maklumat yang berhubungkait dengan sistem maklumat organisasi
A.10.9 Electronic commerce services
10.9 Perkhidmatan E-Dagang
A.10.9.1 Electronic commerce
10.9(a) Maklumat yang terlibat dalam e-dagang perlu dilindungi dari aktiviti penipuan
A.10.9.2 Online transactions 10.9(b) Maklumat yang terlibat dalam transaksi dalam talian perlu dilindungi
A.10.9.3 Publicly available information
10.9(c) Integriti maklumat yang disediakan untuk sistem yang boleh dicapai oleh orang awam hendaklah dilindungi
A.10.10 Monitoring 10.10 Pemantauan A.10.10.1 Audit Logging 10.10(a) Log audit yang merekodkan semua aktiviti
perlu dihasilkan dan disimpan A.10.10.2 Monitoring system
use 10.10(b) Prosedur untuk memantau penggunaan
kemudahan memproses maklumat perlu diwujudkan
A.10.10.3 Protection of log information
10.10(c) Kemudahan merekod dan maklumat log perlu dilindungi dari diubahsuai dan dihapuskan
A.10.10.4 Administrator and operator logs
10.10(d) Aktiviti pentadbiran dan operator sistem perlu direkodkan
Lampiran D
113
1. ISO 27001 2. ISO 17799
Tajuk Kawalan
A.10.10.5 Fault logging 10.10(e) Kesalahan atau penyalahgunaan perlu dilog dan dianalisa
A.10.10.6 Clock synchronization
10.10(f) Masa yang berkaitan dengan sistem pemprosesan maklumat dalam organisasi atau domain keselamatan perlu diselaraskan dengan satu sumber masa yang dipersetujui
A.11 Access Control Pekara 11
Kawalan Capaian
A.11.1 Business requirement for access control
11.1 Keperluan kawalan capaian
A.11.1.1 Access control policy
11.1(a) Kawalan capaian keatas maklumat dan proses perkhidmatan mengikut kepeluan keselamatan dan peranan pengguna yang berbeza ia perlu direkodkan,dikemaskini dan menyokong dasar kawalan capaian pengguna
A.11.2 User access managemant
11.2 Pengurusan capaian pengguna
A.11.2.1 User registration 11.2(a) Mewujudkan prosedur pendaftaran dan pembatalan kebenaran kepada pengguna
A.11.2.2 Privilege management
11.2(b) Akaun pengguna adalah unik dan pengguna bertanggungjawab keatas akaun tersebut
A.11.2.3 User password management
11.2(c) Akaun pengguna yang diwujudkan dan tahap capaian termasuk sebarang perubahan mestila mendapat kebenaran ketua jabatan secara bertulis
A.11.2.4 Review of user access rights
11.2(d) Pemilikan akaun dan capaian pengguna adalah tertakluk kepada peraturan jabatan dan tindakan pengemaskinian dan /atau pembatalan hendaklah diambil atas sebab perlu
A.11.3 User responsibilities
11.3 Tanggungjawab pengguna
A.11.3.1 Password use 11.3(a) Mematuhi amalan terbaik pemilihan dan penggunaan kata laluan
A.11.3.2 Unattended user equipment
11.3(b) Memastikan kemudahan dan peralatan yang tidak digunakan mendapat perlindungan sewajarnya
A.11.3.3 Clear desk and clear screen policy
11.3(c) Mematuhi amalan clear desk polisi dan clear screen polisi
A.11.4 Network access control
11.4 Kawalan capaian rangkaian
A.11.4.1 Policy on use of network services
11.4
A.11.4.2 User authentication for external
11.4(a) Memasang antaramuka yang bersesuaian di antara rangkaian orgnisasi, rangkaian
Lampiran D
114
1. ISO 27001 2. ISO 17799
Tajuk Kawalan
connections organisasi lain dan rangkaian awam. A.11.4.3 Equipment
identification in networks
11.4(b) Mewujudkan dan menguatkuasa mekanisme untuk pengesahan pengguna dan peralatan
A.11.4.4 Remote diagnostic and configuration port protection
11.4(c) Mementau dan menguatkuasakan kawalan capaian pengguna terhadap perkhidamatan rangkaian ICT
A.11.4.5 Segregation in networks
A.11.4.6 Network connection control
A.11.4.7 Network routing control
A.11.5 Operating system access control
11.5 Kawalan capaian sistem pengoperasian
A.11.5.1 Secure log-on procedures
11.5(a) Mengwal capaian ke atas sistem operasi menggunakan prosedur log-on yang terjamin
A.11.5.2 User identification and authentication
11.5(b) Mewujudkan satu pengenalan diri (ID) yang unik untuk setiap pengguna dan hanya digunakan oleh pengguna berkenaan sahaja dan satu teknik pengesahan yang bersesuaian hendaklah diwujudkan
A.11.5.3 Password management system
11.5(c) Mewujudkan sistem pengurusan kata laluan secara interaktif dan memastikan kata laluan adalah berkualiti
A.11.5.4 User of system utilities
11.5(d) Menghadkan dan mengawal penggunaan program utility
A.11.5.5 Session time-out 11.5(e) Menamtakan sesi yang tidak aktif bagi satu tempoh yang ditetapkan.
A.11.5.6 Limitation of connection time
11.5(f) Menghadkan tempoh sambungan ke sebuah aplikasi berisiko tinggi
A.11.6 Application and information access control
11.6 Kawalan capaian aplikasi dan maklumat
A.11.6.1 Information access restriction
11.6(a) Menghadkan capaian ke atas maklumat dan fungsi sistem aplikasi
A.11.6.2 Sensitive system isolution
11.6(b) Mewujudkan persekitaran pengkomputeran yang khusus dan terasing untuk sistem yang berklasifikasi tinggi
A.11.7 Mobile computing and teleworking
11.7 Peralatan Mudah Alih dan Kerja Jarak Jauh
A.11.7.1 Mobile computing and communication
11.7(a) Mewujudkan peraturan dan garis panduan keselamatan yang bersesuaian untuk melindungi risiko penggunaan peralatan mudah alih dan kemudahan komunikasi
A.11.7.2 Teleworking 11.7(b) Mewujudkan peraturan dan garis panduan untuk memastikan persekitaran kerja jarak
Lampiran D
115
1. ISO 27001 2. ISO 17799
Tajuk Kawalan
jauh adalah sesuai dan selamat A.12 Information
systems acquisition, development and maintenance
Perkara 12
Perolehan, Pembangunan dan Penyelenggaraan Sistem Maklumat
A.12.1 Security requirements of information systems
12.1 Keperluan Keselamatan Sistem maklumat
A.12.1.1 Security requirement analysis and specification
12.1(a) Pernyataan keperluan bagi sistem maklumat baru atau penambahbaikkan ke atas sistem sedia ada hendaklah menjelaskan mengenai kawalan jaminan keselamatan
A.12.2 Correct processing in applications
12.2 Pemprosesan Aplikasi dengan tepat
A.12.2.1 Input data validation
12.2(a) Menyemak dan mengesahkan input data
A.12.2.2 Control of internal processing
12.2(b) Menggabungkan semakan pengesahan ke dalam aplikasi untuk mengenalpasti sebarang kerosakan maklumat
A.12.2.3 Message integrity 12.2(c) Mengenalpasti dan melaksanakan kawalan untuk mengesah dan melindungi intergriti mesej
A.12.2.4 Output data validation
12.2(d) Melaksanakan proses pengesahan ke atas output data
A.12.3 Cryptographic controls
12.3 Kawalan kriptografi
A.12.3.1 Policy on use of cryptographic controls
A.12.3.2 Key management A.12.4 Security of system
files 12.4 Keselamatan fail-fail sistem
A.12.4.1 Control of operational software
12.4(a) Mewujudkan peraturan untuk mengawal pemasangan perisian ke dalam sistem yang sedang beroperasi
A.12.4.2 Protection of system test data
12.4(b) Melindungi dan mengawal data-data ujian
A.12.4.3 Access control to program source code
12.4(c) Menghadkan capaian ke atas kod sumber program.
A.12.5 Security in development and support process
12.5 Keselamatan dalam proses pembangunan dan sokongan
A.12.5.1 Change control procedures
12.5(a) Mengawal perlaksanaan perubahan menggunakan prosedur kawalan perubahan
Lampiran D
116
1. ISO 27001 2. ISO 17799
Tajuk Kawalan
yang formal A.12.5.2 Technical review of
application after operating system change
12.5(b) Mengkaji semula dan menguji aplikasi kritikal semasa melaksanakan perubahan keatas sistem operasi
A.12.5.3 Restrictions on chang to software packages
12.5(c) Mengawal perubahan dan pindaan ke atas pakej perisian
A.12.5.4 Information leakage 12.5(d) Menghalang sebarang peluang untuk membocorkan maklumat
A.12.5.5 Outsourced software development
12.5(e) Mengwalselia dan memantau pembangunan perisian oleh pembekal dan pihak-pihak lain.
A.12.6 Technical vulnerability management
12.6 Pengurusan Teknikal Vulnerabiliti
A.12.6.1 Control of technical vulnerabilitity
A.13 Information Security Incident Management
Perkara 13
Pengurusan Pengedalian Insiden Keselamatan
A.13.1 Reporting information security events and weaknesses
13.1 Insiden Keselamatan
A.13.1.1 Reporting information security events
13.1(a) Percubaan(samaada gagal atau berjaya) untuk mencapai sistem atau data tanpa kebenaran
A.13.1.2 Reporting security weaknesses
A.13.2 Management of information security incidents and improvements
13.2 Melaporkan kejadian insiden
A.13.2.1 Responsibility and procedures
Semua insiden keselamatan ICT mesti dilaporkan kepada Government Computer Emergency Response Team(GCERT)
A.13.2.2 Learning from information security incidents
A.13.2.3 Collection of evidence
A.14 Business continuity management
Perkara 14
Pengurusan Kesinambungan Perkhidmatan
A.14.1 Information security aspects of business continuity
14.1 Pelan Kesinambungan Perkhidmatan
Lampiran D
117
1. ISO 27001 2. ISO 17799
Tajuk Kawalan
management A.14.1.1 Including
information security in the business continuity management process
14.1(a) Mngenalpasti semua tanggungjawab dan prosedur kecemasan dan pemulihan
A.14.1.2 Business continuity and risk assessment
14.1(b) Melaksanakan prosedur-prosedur kecemasan bagi membolehkan pemulihan dapat dilakukan secepat mungkin.
A.14.1.3 Developing and implementing continuity plans including information security
14.1(c) Mendokumentasikan proses dan prosedur yang telah dipersetujui
A.14.1.4 Businee continuity planning frame work
14.1(d) Mengadakan program latihan kepada pengguna mengenai prosedur kecemasan
A.14.1.5 Testing,maintaining and reassessing business continuity plans
A.15 Compliance Perkara 15
Pematuhan
A.15.1 Compliance with legal requirements
15.1 Pematuhan Dasar
A.15.1.1 Identifications of applicable legislation
Memastikan setiap pengguna membaca, memahami dan mematuhi Dasar Keselamatan ICT Kerajaan
A.15.1.2 Intellectual property rights(IPR)
A.15.1.3 Protection of organizational records
A.15.1.4 Data protection and privacy of personal information
A.15.1.5 Prevention of misuse of information processing facilities
A.15.1.6 Regulation of cryptographic controls
A.15.2 Compliance with security policies
15.2 Keperluan Perundangan
Lampiran D
118
1. ISO 27001 2. ISO 17799
Tajuk Kawalan
and standards technical compliance
A.15.2.1 Compliance with security policies and standards
15.2(a) Keselamatan perlindungan secara am
A.15.2.2 Technical compliance checking
• Emergency(Essential Power) Act 1964
• Essential (Key Points) Regulations 1965
• Perakuan Jawatankuasa mengkaji semula peraturan keselamatan Pejabat Tahun 1982
• Arahan Keselamatan yang dikuatkuasakan melalui Surat Pekeliling Am Sulit Bil.1 Tahun 1985
• Arahan Jawatankuasa Tetap Sasaran Penting Bil.1 Tahun 1985
• Arahan Tetap Sasaran Penting Yang Dikeluarkan Kepada Pihak Yang Terlibat Dalam Pengurusan Sasaran Penting Milik Kerajaan Dan Swasta Yang Diluluskan Oleh Jeman Menteri Pada 13 Oktober 1993
• Surat Pekeliling Am Sulit Bil.1 1993-Meningkatkan Kualiti Kawalan Keselamatan Perlindungan Di Jabatan-Jabatan Kerajaan.
15.2(b) Keselamatan Dokumen • Akta Rahsia Rasmi 1972
• Akta Arkib Negara 2003 • Surat Pekeliling Am Bil.1 Tahun
1972-Keselamatan Rahsia-rahsia Kerajaan Daripada Ancaman Penyuluhan (espionage)
• Kawalan Keselamatan Rahsia Rasmi Dan Dokumen Rasmi Kerajaan Yang Dikelilingkan Melalui Surat KPKK(R) 200/55 Klt.7 (21) Bertarikh 21 Ogos 1999
15.2(c) Keselamatan Fizikal Bangunan • Akta Kawasan Larangan Dan
Tempat Larangan Tahun 1959 • Arahan Pembinaan Bangunan
Lampiran D
119
1. ISO 27001 2. ISO 17799
Tajuk Kawalan
Dengan Sasaran Penting, Kawasan Larangan Dan Tempat Larangan
15.2(d) Keselamatan Individu • Surat Pekeliling Tahun 1966-
Tapisan Keselamatan Terhadap Pakar/Penasihat Luar Negeri
• Pekeliling Kemajuan Pentadbiran Awam Bil.1 Tahun 2003-Garis Panduan Mengenai Tatacara Penggunaan Internet Dan Mel Elektronik Di Agensi-agensi Kerajaan
15.2(e) Keselamatan Aset ICT • Akta Tandatangan Digital 1997;
• Akta Jenayah Komputer 1997; • Akta Hak Cipta(Pindaan) Tahun
1997; • Akta Multimedia Dan
telekomunikasi 1998. • Pekeliling Am Bil.3 Tahun
2000:Rangka Dasar Keselamatan Teknologi Maklumat Dan Komunikasi Kerajaan
• Pekeliling Am Bil.1 Tahun 2001: mekanisme Pelaporan Insiden Keselamatan Teknologi Maklumat Dan Komunikasi(ICT)
• The Malaysian Public Sector ICT Management Security Handbook(MyMIS), January 2002
• Surat Pekeliling Am Bilangan 6 Tahun 2005-Garis Panduan Melaksanakan Penilaian Risiko Keselamatan Maklumat Sektor Awam
A.15.3 Information System Audit considerations
15.3 Pelanggaran perundangan
A.15.3.1 Information System Audit Controls
Mengambil tindakan tataterbit keatas sesiapa yang terlibat di dalam perbuatan kecuaian, kelalaian dan pelanggaran keselamatan yang membahayakan perkara-perkara terpenting di bawah Akta Rahsia Rasmi 1972
A.15.3.2 Protection 0f information system audit tools
Lampiran D
120
Lampiran D
LAMPlRAN E : Rajah Aktiviti Pegawai TeknoJogi Pengurus IT Statistik Pengarah Sistem Polisi Maklumat ICTSO (JA TIT)
[Rekod Baru]
Mesej Perubahan
Keluarkan Laporan
Lampiran E
122
LAMPIRAN F : Carta Gantt Projek I
123
LAMPIRAN G : Carta Gantt Projek II
124
LAMPIRAN H : Dokumen Polisi Keselamatan ICT A.5 Security policy A.5.1 Information security policy Objective: To provide management direction and support for information security in accordance with business requirement and relevant laws and regulations. A.5.1 Information security
policy document Control An information security policy document shall be approve by management and published and communicated to all employees and relevant external parties.
A.5.1.2 Review of the information security policy
Control The information security policy shall be reviewed at planned intervals or if significant changes occur to ensure its continuing suitability, adequacy, and effectiveness.
A.6 Organization of information security A.6.1 Internal organization Objective: To manage information security within the organization. A.6.1.1 Management
commitment to information security
Control Management shall actively support security within the organization through clear direction, demonstrated commitment. Explicit assignment, and acknowledgment of information security responsibilities.
A.6.1.2 Control Information security activities shall be co-ordinated by representatives from different parts of the organization with relevant roles and job functions
A.6.1.3 Allocation of information security responsibilities
Control All information security responsibilities shall be clearly defined.
A.6.1.4 Authorization process for information processing facilities
Control A management authorization process for new information processing facilities shall be defined and implemented.
A.6.1.5 Confidentiality agreements
Control Requirements for confidentiality or non-disclosure agreements reflecting the organization’s needs for the protection of information shall be identified and regularly reviewed.
A..6.1.6 Contact with authorities
Control Appropriate contacts with relevant authorities shall be
Lampiran H
125
maintained. A.6.1.7 Contact with
special interest group
Control Appropriate contacts with special interest groups or other specialist security forums and professional associations shall be maintained.
A.6.1.8 Independent review of information security
Control The organization’s approach to managing information security and its implementation (i.e. control objectives, controls, policies, processes, and procedures for information security) shall be reviewed independently at planned intervals or when significant changes to the security implementation occur.
A.6.2 External parties Objective: To maintain the security of the organization’s information and information processing facilities that are accessed, processed, communicated to, or managed by external parties. A.6.2.1 Identification of risk related to
external parties Control The risks to the organization’s information and information processing facilities from business processes involving external parties shall be identified and appropriate controls implemented before granting access.
A.6.2.2 Addressing security when dealing with customers
Control All identified security requirements shall be addressed before giving customers access to the organization’s information or assets.
A.6.2.3 Addressing security in third party agreements
Control Agreements with third parties involving accessing processing, communicating or managing the organization’s information or information processing facilities, or adding products or services to information processing facilities shall cover all relevant security requirements.
A.7 Asset management A.7.1 Responsibility for assets Objective: To achieve and maintain appropriate protection of organizational assets. A.7.1.1 Inventory of assets Control
All assets shall be clearly identified and an inventory of all important assets drawn up and maintained.
A.7.1.2 Ownership of assets Control All information and assets associated with information processing facilities shall be ‘owned’ by a designated part of the organization.
A.7.1.3 Acceptable use of assets Control Rules for the acceptable use of information and assets
Lampiran H
126
associated with information processing facilities shall be identified, documented, and implemented.
A.7.2 Information classification Objective: To ensure that information receives an appropriate level of protection. A.7.2.1 Classification guide lines Control
Information shall be classified in terms of its value, legal requirements, sensitivity and criticality to the organization.
A.7.2.2 Information labeling and handling
Control An appropriate set of procedures for information labeling and handling shall be developed and implemented in accordance with the classification scheme adopted by the organization.
A.8 Human resources security A.8.1 Prior to employment Objective: To ensure that employees, contractors and third party users understand the responsibilities, and are suitable for the roles they are considered for, and to reduce the risk of theft, fraud or misuse of facilities A.8.1.1 Roles and responsibilities Control
Security roles and responsibilities of employees, contractors and third party users shall be defined and documented in accordance with the organization’s information security policy.
A.8.1.2 Screening Control Background verification checks on all candidates for employments, contractors, and third party users shall be carried out in accordance with relevant laws, regulations and ethics, and proportional to the business requirements, the classification of the information to be accessed, and the perceived risks.
A.8.1.3 Terms and conditions of employment
Control As part of their contractual obligation, employees, contractors and third party users shall agree and sign the terms and conditions of their employment contract, which shall state their and the organization’s responsibilities for information security.
A.8.2 During employment Objective: To ensure that all employees, contractors and third party users aware of information security threats and concerns, their responsibilities and liabilities, and are equipped to support organizational security policy in the course of their normal work, and to reduce the risk of human error. A.8.2.1 Management
responsibilities Control Management shall require employees, contractors and third party users to apply security in accordance with established policies and procedures of the organization.
Lampiran H
127
A.8.2.2 Information security awareness, education and training
Control All employees of the organization and where relevant contractors and third party users shall receive appropriate awareness training and regular updates in organizational policies and procedures, as relevant for their job function.
A.8.2.3 Disciplinary process Control There shall be a formal disciplinary process for employees who have committed a security breach.
A.8.3 Termination or change of employment Objective: To ensure that employees, contractors and third party users exit an organization or change employment in an orderly manner. A.8.3.1 Termination
responsibilities Control Responsibilities for performing employment termination or change of employment shall be clearly defined and assigned.
A.8.3.2 Return of assets Control All employees, contractors and third party users shall return all of the organization’s assets in their possession upon termination of their employment contract or agreement.
A.8.3.3 Removal of assets rights Control The access rights of all employees, contractors and third party users to information and information processing facilities shall be removed upon termination of their employment, contract or agreement, or adjusted upon change.
A.9 Physical and environmental security A.9.1 Secure areas Objective: To prevent unauthorized physical access, damage and interference to the organization premises and information A.9.1.1 Physical security
perimeter Control Security perimeter (barriers such as walls, card controlled entry gates or manned reception desks) shall be used to protect areas that contain information and information processing facilities.
A.9.1.2 Physical entry controls Control Secure areas shall be protected by appropriate entry controls to ensure that only authorized personnel are allowed access.
A.9.1.3 Securing offices. rooms and facilities
Control Physical security for offices, rooms, and facilities shall be designed and applied
A.9.1.4 Protecting against external and environmental threats
Control Physical protection against damage from fire, food, earthquake, explosion, civil unrest, and other forms of
Lampiran H
128
natural or man-made disaster shall be designed and applied.
A.9.1.5 Working in secure areas Control Physical protection and guidelines for working in secure areas shall be designed and applied
A.9.1.6 Public access, delivery and loading areas
Control Access points such as delivery and loading areas and other points where unauthorized persons may enter the premises shall be controlled and, if possible, isolated from information processing facilities to avoid unauthorized access.
A.9.2 Equipment security Objective: To prevent loss, damage, theft or compromise of assets and interruption to the organization’s activities. A.9.2.1 Equipment sitting and
protection Control Equipment shall be sited or protected to reduce the risks from environment threats and hazards, and opportunities for unauthorized access.
A.9.2.2 Supporting utilities Control Equipment shall be protected from power failures and other disruption caused by failures in supporting utilities
A.9.2.3 Cabling security Control Power and telecommunications cabling carrying data or supporting information services shall be protected from interception on or damage.
A.9.2.4 Equipment maintenance Control Equipment shall be correctly maintained to ensure its continued availably and integrity.
A.9.2.5 Security of equipment off-premises
Control Security shall be applied to off-site equipment taking into account the different risks of working outside the organization’s premises.
A.9.2.6 Secure disposal or re-use of equipment
Control All items of equipment containing storage media shall be checked to ensure that sensitive data and licensed software has been removed or securely overwritten prior to disposal.
A.9.2.7 Removal of property Control Equipment information or software shall not be taken off-site without prior authorization.
A.10 Communications and operation management A.10.1 Operation procedures and responsibilities Objective : To ensure the correct and secure operation of information processing facilities. A.10.1.1
Documented operating procedures
Control
Lampiran H
129
Operating procedures shall be documented, maintained, and made available to all users who need them.
A.10.1.2 Change management Control Changes to information processing facilities and system shall be controlled.
A.10.1.3 Segregation of duties Control Duties and areas of responsibility shall be segregated to reduce opportunities for unauthorized or unintentional modification or misuse of the organizations assets.
A.10.1.4 Separation of development test and operational facilities
Control Development test and operational facilities shall be separated to reduce the risks of unauthorized access or change to the operational system.
A.10.1.2 Third party service delivery management Objective: To implement and maintain the appropriate level of information security and service delivery in line with third party service delivery agreement. A.10.2.1 Service delivery
Control It shall be ensured that the security control, service definition and delivery levels included in the third party service delivery agreement are implemented, operated, and maintained by the third party.
A.10.2.2 Monitoring and review of third party service
Control The services, reports and records provided by the third party shall be regularly monitored and reviewed, and audits shall be carried out regularly.
A.10.2.3 Managing changes to third party services
Control Changes to the provision of services, including maintaining and improving existing information security policies, procedures and controls, shall be managed talking account of the criticality of business systems and processes involved and re-assessment of risks.
A.10.3 System planning and acceptance Objective: To minimize the risk of system failures A.10.3.1 Capacity management Control
The use of resources shall be monitored, tuned, and projections made of future capacity requirement to ensure the required system performance.
A.10.3.2 System acceptance Control Acceptance criteria for new information systems, upgrades, and new versions shall be established and suitable tests of the systems carried out during development and prior to acceptance.
Lampiran H
130
A.10.4 Protection against malicious and mobile code Objective: To protect the integrity of software and information. A.10.4.1 Controls against
malicious code Control Detection, prevention, and recovery controls to protect against malicious code and appropriate user awareness procedures shall be implemented.
A.10.4.2 Controls against mobile code
Control Where the use of mobile code is authorized, the configuration shall ensure that the authorized mobile code operates according to a clearly defined security policy. And unauthorized mobile code shall be prevented from executing.
A.10.5 Back-up Objective: To maintain the integrity and availability of information and information processing facilities. A.10.5.1 Information back-up Control
Back-up copies of information and software shall be taken and tasted regularly in accordance with the agreed backup policy.
A.10.6 Network security management Objective: To ensure the protection of information in networks and the protection of the supporting infrastructure. A.10.6.1 Network controls Control
Networks shall be adequately managed and controlled. In order to be protected from threats, and to maintain security for the systems and application using the network, including information in transit.
A.10.6.2 Security of network services
Control Security features, service levels, and management requirement of all network services shall be indentified and included in any network services agreement. Whether these services are provided in-house or outsourced.
A.10.7 Media handling Objective: To prevent unauthorized disclosure, modification, removal or destruction of assets, and interruption to business activities. A.10.7.1 Management of
removable media Control There shall be procedures in place for the management of removable media.
A.10.7.2 Disposal of media Control Media shall be disposed of security and safety when no longer required, using formal procedures.
A.10.7.3 Information handling procedures
Control Procedures for the handling and storage of information shall be established to protect this information from unauthorized disclosure or misuse.
Lampiran H
131
A.10.7.4 Security of system documentation
Control System documentation shall be protected agains unauthorized access.
A.10.8 Exchange of information Objective: To maintain the security of information and software exchange within an organization and with any external entity. A.10.8.1 Information exchange
policies and procedures Control Formal exchange policies, procedures, and controls shall be in place to protect the exchange of information through the use of all types of communication facilities.
A.10.8.2 Exchange agreements Control Agreements shall be established for the exchange of information and software between the organization and external parties.
A.10.8.3 Physical media in transit Control Media containing information shall be protected against unauthorized access, misuse, or corruption during transportation beyond an organization physical boundaries.
A.10.8.4 Electronic messaging Control Information involved in electronic messaging shall be appropriately protected.
A.10.8.5 Business information systems
Control Policies and procedures shall be developed and implemented to protect information associated with her interconnection of business information systems.
A.10.9 Electronic commerce services Objective: To ensure the security of electronic commerce services, and their secure use. A.10.9.1 Electronic commerce Control
Information involved in electronic commerce passing over public networks shall be protected from fraudulent activity, contract dispute, and unauthorized disclosure and modification.
A.10.9.2 One-line transaction Control Information involved in one-line transaction shall be protected to prevent incomplete transmission, mis-routing, unauthorized message alteration, unauthorized disclosure, unauthorized message duplication or reply
A.10.9.3 Publicly available information
Control The integrity of information being made available on a publicly available system shall be protected to prevent unauthorized modification.
A.10.10 Monitoring Objective: To detect unauthorized information processing activities A.10.10.1 Audit logging Control
Audit logs recording user activities, exception, and
Lampiran H
132
information security events shall be produced and kept for an agreed period to assist in future investigations and access control monitoring.
A.10.10.2 Monitoring system use Control Procedures for monitoring use of information processing facilities shall be established and the result of the monitoring activities reviewed regularly.
A.10.10.3 Protection of log information
Control Logging facilities and log information shall be protected against tampering and unauthorized access.
A.10.10.4 Administrator and operator logs
Control System administrator and system operator activities shall be logged
A.10.10.5 Fault logging Control Faults shall be logged, analyzed, and appropriate action taken.
A.10.10.6
Clock synchronization Control The clock of all relevant information processing systems within an organization or security domain shall be synchronized with an agreed accurate time source.
A.11 Access control A.11.1 Business requirement for access control Objective : To control access to information A.11.1.1
Access control policy
Control An access control policy shall be established document and received based on business and security requirements for access.
A.11.2 User access management Objective : To ensure authorized user access and to prevent unauthorized access to information system. A.11.2.1
User registration
Control There shall be a formal user registration and de-registration procedure in place for granting ad revoking access to all information system and services.
A.11.2.2
Privilege management
Control The allocation and use of privileges shall be restricted and controlled.
A.11.2.3
User password management
Control The allocation of passwords shall be controlled through a formal management process.
A.11.2.4
Review of user access right
Control Management shall review users access right at regular intervals using a formal process.
A.11.3 User responsibilities Objective : To prevent unauthorized user access, and compromise or theft of information and
Lampiran H
133
information processing facilities. A.11.3.1
Password use
Control Users shall be required to follow good security practices in the selection and use of passwords.
A.11.3.2
Unattended user equipment
Control Users shall ensure that unattended equipment has appropriate protection.
A.11.3.3
Clear desk and clear screen policy
Control A clear desk policy for paper and removable storage median a clear screen policy for information processing facilities shall be adopted.
A.11.4 Network access control Objective : To prevent unauthorized access to networked services A.11.4.1
Policy on use of network services
Control Users shall only be provided with access to the services that they have been specially unauthorized to use.
A.11.4.2
User authentication for external connections
Control Appropriate authentication methods shall be used to control access by remote users.
A.11.4.3
Equipment identification in network
Control Automatic equipment identification shall be considered as a means to authenticate from specific location and equipment.
A.11.4.4
Remote diagnostic and configuration port protection
Control Physical and logical access to diagnostic and configuration ports shall be controlled.
A.11.4.5
Segregation in networks
Control Groups of information services, years and information system shall be segregated on networks.
A.11.4.6
Network connection control
Control For shared networks, especially those extending across the organization’s boundaries, the capability of users to connect to the network shall be restricted, in line with the access control policy and requirements of the business applications (see 11.1).
A.11.4.7
Network routing control
Control Routing controls shall be implemented for network to ensure that computer connections and information flows do not breach the access control policy of the business applications.
A.11.5 Operating system access control
Lampiran H
134
Objective : To prevent unauthorized access to operating systems. A.11.5.1
Secure log-on procedures
Control Access to operating system shall be controlled by a secure log-on procedure.
A.11.5.2
Users identification and authentication
Control All users shall have a unique identifier (user ID) for their personal use only, and a suitable authentication technique shall be chosen to substantiate the claimed identity of a user.
A.11.5.3 Password management system
Control System for managing password shall be interactive and shall ensure quality passwords.
A.11.5.4 Use of system utilities Control The use of utility programs that might be capable of overriding system and application control shall be restricted and tightly controlled.
A.11.5.5 Session time-out Control Inactive sessions shall shut down after a defined period of inactivity.
A.11.5.6 Limitation of connection time
Control Restrictions on connect times shall be used to provide additional security for high-risk application.
A.11.6 Application and information access control Objective: To prevent unauthorized access to information held in application system. A.11.6.1 Information access
restriction Control Access to information and application system function by users and support personnel shall be restricted in accordance with the defined access control policy.
A.11.6.2 Sensitive system isolation
Control Sensitive system shall have a dedicated (isolated ) computing environment.
A.11.7 Mobile computing and teleworking Objective : To ensure information security when using mobile computing and the teleworking facilities. A.11.7.1
Mobile computing and communications
Control A formal policy shall be in place, and appropriate security measures shall be adopted to protect against the risks of using mobile computing and communication facilities.
A.11.7.2
Teleworking
Control A policy operation plans and procedures shall be development and implemented for teleworking activities..
Lampiran H
135
A.12 Information system acquisition, development and maintenance A.12.1 Security requirements of information system Objective : To ensure that security is an integral part of information systems. A.12.1.1
Security requirements analysis and specification
Control Statement of business requirements for new information system or enhancement to existing information system shall specify the requirement for security controls.
A.12.2 Correct processing in applications Objective : To prevent errors, loss, unauthorized modification or misuse of information in applications. A.12.2.1
Input data validation
Control Data input to applications shall be validated to ensure that this data is correct and appropriate.
A.12.2.2
Control of internal processing
Control Validation checks shall be incorporated into applications to detect any corruption of information through processing errors or deliberate acts.
A.12.2.3
Message integrity
Control Requirements for ensuring authenticity and protecting message integrity in applications shall be identified and appropriate controls identified and implemented.
A.12.2.4
Output data validation
Control Data output from an application shall be validated to ensure that the processing of stored information is correct and appropriate to the circumstances.
A.12.3 Cryptographic controls Objective : To protect the confidentiality, authenticity or integrity of information by cryptographic means. A.12.3.1
Policy on the use of cryptographic controls
Control A policy on the use of cryptographic controls for protection of information shall be developed and implemented.
A.12.3.2
Key management
Control Key management shall be in place to support the organization’s use of cryptographic techniques.
A.12.4 Security of system files Objective : To ensure the security of system files. A.12.4.1
Control of operational software
Control There shall be procedures in place to control the installation of software on operational systems.
Control
Lampiran H
136
A.12.4.2 Protection of system test data
Test data shall be selected carefully and protected and controlled.
A.12.4.3
Access control to program source code
Control Access to program source code shall be restricted.
A.12.5 Security in development and support processes Objective : To maintain the security of application system software and information. A.12.5.1
Change control procedures
Control The implementation of changes shall be controlled by the use of formal change control procedures.
A.12.5.2
Technical review of applications after operating system changes.
Control When operating systems are changed business critical applications shall be reviewed and tested to ensure there is no adverse impact on organizational operations or security.
A.12.5.3
Restrictions on changes to software packages
Control Modifications to software packages shall be discouraged limited to necessary changes and all changes shall be strictly controlled.
A.12.5.4
Information leakage
Control Opportunities for information leakage shall be prevented.
A.12.5.5
Outsourced software development
Control Outsourced software development shall be supervised and monitored by the organization.
A.12.6 Technical Vulnerability Management Objective : To reduce risks resulting from exploitation of published technical vulnerabilities. A.12.6.1
Control of technical vulnerabilities.
Control Timely information about technical vulnerabilities of information systems being used shall obtained the organizations exposure to such vulnerabilities evaluated and appropriate measures taken to address the associated risk.
A.13 Information security incident management A.13.1 Reporting information security events and weaknesses Objective : To ensure information security events and weaknesses associated with information systems are communicated in manner allowing timely corrective to be taken. A.13.1.1
Reporting information security events
Control Information security events shall be reported through appropriate management channels quickly as possible.
A.13.1.2
Reporting security weaknesses
Control All employees, contractors and third party users of information systems and services shall be required to note and report any observed or suspected security weaknesses in systems or services.
Lampiran H
137
A.13.1 Management of information security incidents and improvements Objective: To ensure a consistent and effective approach is applied to the management of information security incidents. A.13.2.1 Responsibilities and
procedures Control Management responsibilities and procedures shall be established to ensure a quick, effective, and orderly response to information security incidents.
A.13.2.2 Learning from information security incidents
Control There shall be mechanisms in place to enable the types, volumes, and costs of information security incidents to be quantified and monitored.
A.13.2.3 Collection of evidence Control
Where a follow-up action against a person or organization after an information security incident involves legal action (either civil or criminal), evidence shall be collected, retained, and presented to conform to the rules for evidence laid down in the relevant jurisdiction(s).
A.14 business continuity management A.14.1 Information security aspects of business continuity management Objective: To Counteract interruptions to business activities and to protect critical business processes from the effects of major failures of information systems or disasters and to ensure their timely resumption. A.14.1.1 Including information
security in the business continuity management process
Control A managed process shall be developed and maintained for business continuity throughout the organization that addressed the information security requirements needed for the organization’s business continuity.
A.14.1.2 Business continuity and risk assessment
Control Events that can cause interruptions to business processes shall be identified, along with the probability and impact of such interruptions and their consequences for information security.
A.14.1.3 Developing and implementing continuity plans including information security
Control Plans shall be developed and implemented to maintain or restore operations and ensure availability of information at the required level and in the required time scales following interruption to or failure of critical business processes.
A.14.1.4 Business continuity planning framework
Control A single framework of business continuity plans shall be maintained to ensure all plans are consistent to consistently address information security requirements, and to identify priorities for testing and
Lampiran H
138
maintenance. A.14.1.5 Testing, maintaining and
reassessing business continuity plans
Control Business continuity plans shall be tested and updated regularly to ensure that they are up to date and effective.
A.15 Compliance A.15.1 compliance with legal requirements Objective : to avoid breaches of any law, statutory, regulatory or contractual obligations and security requirements. A.15.1.1
Identification of applicable legislation
Control All relevant statutory, regulatory and contractual requirements and the organization’s approach to meet these requirements shall be explicitly defined, documented, and kept up to date for each information system and the organization
A.15.1.2
Intellectual property rights (IPR)
Control Appropriate procedures shall be implemented to ensure compliance with legislative, regulatory, and contractual requirements on the use of material in respect of material in respect of which there may be intellectual property right and in the use of proprietary software products
A.15.1.3
Protection of organizational records
Control Important records shall be protected from loss, destruction and falsification, in accordance with statutory, regulatory, contractual, and business requirements.
A.15.1.4
Data protection and privacy of personal information
Control Data protection and privacy shall be ensure as required in relevant legislation, regulation, and if applicable, contractual clauses.
A.15.1.5
Prevention of misuse of information processing facilities
Control Users shall be deterred from using information processing facilities for unauthorized purpose.
A.15.1.6
Regulation of cryptographic controls
Control Cryptographic controls shall be used in compliance with all relevant agreements, laws, and regulations.
A.15.2 Compliance with security policies and standards, and technical compliance Objective : To ensure compliance of systems with organization security policies and standards. A.15.2.1
Compliance with security policies and standards
Control Managers shall ensure that all security procedures with their area of responsibility are carried out
Lampiran H
139
correctly to achieve compliance with security policies and standards.
A.15.2.2
Technical compliance cheeking
Control Information system shall be regularly checked for compliance with security implementation system.
A.15.3 Information systems audit considerations Objective : To maximize the effectiveness of and to minimize interference to/from the information system audit process. A.15.3.1
Information systems audit controls
Control Audit requirement and activities involving checks on operational systems shall be carefully planned and agreed to minimize the risk of disruptions to business processes.
A.15.3.2
Protection of information systems audit tools
Control Access to information systems audit too shall be protected to prevent any possible misuse or compromise
Lampiran H
140
LAMPIRAN I : Peranan Jawatankuasa ICT
1. Jawatankuasa ICT Universiti (JITU)
Keahlian:
Pengerusi : Timbalan Naib Canseler Penyelidikan dan Inovasi (TNCP&I)
atau pegawai yang diturunkan kuasa.
Ahli-ahli :
i. Ketua Pegawai Maklumat (Chief Information Officer) – Pengarah Pusat
Teknologi Maklumat dan Komunikasi
ii. Dekan-dekan Fakulti
iii. Pengarah Pusat Teknologi Maklumat dan Komunikasi
iv. Pegawai Keselamatan ICT
ix. Lain-lain ahli yang berkaitan
Urusetia : Pusat Teknologi Maklumat dan Komunikasi
Bidang Tugas:
i. Menetapkan arah tuju dan strategi untuk pelaksanaan
ICT Universiti.
ii. Merancang, mengenal pasti dan mencadangkan
sumber seperti kepakaran, tenaga kerja dan kewangan
yang diperlukan bagi melaksanakan arah tuju/ strategi
ICT jabatan/fakulti.
iii. Merancang dan menyelaras pelaksanaan program/projek-projek ICT
UTM dan fakulti-fakulti di bawahnya supaya selaras dengan Pelan
Strategik ICT Universiti.
iv. Menyelaras dan menyeragamkan pelaksanaan ICT antara fakulti-fakulti
dan jabatan-jabatan di bawahnya dengan Pelan Strategik ICT UTM.
Lampiran I
141
v. Mempromosi dan menggalakkan perkongsian pintar projek ICT.
vi. Merancang dan menentukan langkah-langkah keselamatan ICT.
vii. Mengikuti dan memantau perkembangan program ICT, serta
memahami keperluan, masalah dan isu-isu yang dihadapi dalam
pelaksanaan ICT.
viii.Menilai dan meluluskan semua perolehan ICT fakulti-fakulti atau
jabatan-jabatan di bawahnya berdasarkan kepada keperluan sebenar
dan denganperbelanjaan yang berhemah serta mematuhi
peraturan-peraturan semasa yang berkaitan.
ix. Menyelaras dan mengemukakan kertas cadangan perolehan ICT
kepada Urusetia untuk kelulusan teknikal.
x. Mengemukakan laporan projek ICT yang diluluskan di
peringkat JITU UTM dan dibuat perolehan kepada Urusetia JATIT.
xi. Mengemukakan laporan kemajuan projek ICT bagi Universiti yang
telah diluluskan kepada urusetia JATIT mengikut tempoh-tempoh
yang telah ditetapkan.
2. Jawatankuasa Pengurusan Maklumat Keahlian: Pengerusi : Timbalan Naib Canseler Penyelidikan dan Inovasi (TNCP&I)
atau Pegawai yang diturunkan kuasa.
Ahli-ahli :
i. Pengarah Pusat Teknologi Maklumat dan Komunikasi
ii. Ketua Pegawai Teknologi Maklumat
iii.Lain-lain ahli yang berkaitan
Urusetia : Pusat Teknologi Maklumat dan Komunikasi
Bidang Tugas:
i. Merancang dasar, strategi dan pelan tindakan pengurusan maklumat
Lampiran I
142
ii. Menyelaras, melaksana dan memantau pengurusan
maklumat
iii.Melapor perancangan, pelaksanaan dan pemantauan pengurusan
maklumat kepada JITU UTM.
3. Jawatankuasa Teknikal ICT
Keahlian:
Pengerusi : Ketua Pegawai Maklumat (Chief Information Officer) –
Pengarah Pusat Teknologi Maklumat dan Komunikasi atau
wakil ganti (Timbalan Pengarah)
Ahli ahli :
i. Pengurus IT Fakulti/Jabatan
ii. Wakil Bahagian/Seksyen
iii. Ahli-ahli lain berkaitan
Urusetia : Pusat Teknologi Maklumat dan Komunikasi
Bidang Tugas:
i. Merancang dasar, strategi dan pelan tindakan infrastruktur dan
perolehan ICT
ii. Menyelaras, melaksana dan memantau pengurusan infrastruktur
dan perolehan ICT
iii. Melapor perancangan, pelaksanaan dan pemantauan
pengurusan infrastruktur dan perolehan ICT
kepada JITU UTM.
4. Jawatankuasa Kerja Teknikal Penentuan Spesifikasi Perolehan
Keahlian:
Pengerusi : Ketua Pegawai Maklumat (Chief Information Officer) –
Pengarah Pusat Teknologi Maklumat dan Komunikasi atau
Wakil Ganti (Timbalan Pengarah)
Lampiran I
143
Pegawai kanan gred F48 dan ke atas
Ahli ahli :
i. Pegawai kanan gred F48 dan ke atas
ii. Wakil Bahagian Pentadbiran dan Kewangan;
iii.Lain-lain ahli yang berkaitan
Urusetia : Pusat Teknologi Maklumat dan Komunikasi
Bidang Tugas:
i. Menyemak dan mengesyor spesifikasi perolehan yang
dicadangkan berdasarkan teknologi semasa yang bersesuaian.
ii. Menjadi pakar rujuk dalam menentukan spesifikasi
perolehan ICT.
iii. Mengesah spesifikasi perolehan yang dicadangkan
sebelum dibawa ke peringkat perolehan seterusnya.
iv. Melapor kemajuan pelaksanaan penentuan spesifikasi
perolehan kepada Jawatankuasa Teknikal ICT.
5. Jawatankuasa Kerja Penilaian Teknikal Perolehan
Keahlian :
Pengerusi : Ketua Pegawai Maklumat (Chief Information Officer) –
Pengarah Pusat Teknologi Maklumat dan Komunikasi atau
Wakil Ganti (Timbalan Pengarah).
Ahli ahli :
i. Pegawai kanan gred F48 dan ke atas
ii. Wakil Bahagian Pentadbiran dan Kewangan;
iii.Lain-lain ahli yang berkaitan
Urusetia : Pusat Teknologi Maklumat dan Komunikasi
Lampiran I
144
Bidang Tugas:
i. Melaksanakan penilaian teknikal secara terperinci
permohonan perolehan ICT bagi sebut harga dan tender
ii. Menyediakan laporan penilaian teknikal beserta syor-syor
dan cadangan kepada Urusetia Lembaga Perolehan Universiti.
iii. Melapor kemajuan pelaksanaan penilaian perolehan ICT kepada
Jawatankuasa Teknikal IT Universiti untuk dikemukakan kepada
Jawatankuasa IT Universiti.
6. Jawatankuasa Keselamatan ICT
Keahlian:
Pengerusi : Ketua Pegawai Maklumat (Chief Information Officer) –
Pengarah Pusat Teknologi Maklumat dan Komunikasi atau
wakil ganti (Timbalan Pengarah)
Urusetia : Pusat Teknologi Maklumat dan Komunikasi
Ahli ahli :
i. Pegawai Keselamatan ICT
ii. Pengurus IT
iii. Wakil Jabatan
iv. Ahli-ahli lain berkaitan
Urusetia : Pusat Teknologi Maklumat dan Komunikasi
Bidang Tugas:
i. Merancang dasar, strategi dan pelan tindakan keselamatan ICT
UTM
ii. Menyelaras, melaksana dan memantau pengurusan
keselamatan ICT UTM dan
iii. Melapor perancangan, pelaksanaan, insiden atau pemantauan
keselamatan ICT kepada JITU.
Lampiran I