kementerian perdagangan dalam negeri koperasi dan ... keselamatan... · tambahan maklumat bagi bab...

TERHAD

2016 Versi 3.0

Dasar Keselamatan ICT

Kementerian Perdagangan Dalam Negeri Koperasi dan Kepenggunaan

TERHAD

DASAR KESELAMATAN ICT KPDNKK

“Maklumat yang terkandung dalam dokumen ini tidak boleh diberitahu secara langsung atau tidak kepada akhbar atau sesiapa yang tidak dibenarkan”

Hak cipta Terpelihara

©KPDNKK, 2016

KAWALAN DOKUMEN

Dasar Keselamatan ICT KPDNKK

KPDNKK-4-POL-Dasar Keselamatan ICT KPDNKK-v3.0

Muka 1 dari 84

TERHAD

SEJARAH DOKUMEN

Tarikh Versi Disediakan oleh Keterangan Perubahan

1.0 BPM

4/1/2012 2.0 BPM i. Tambahan maklumat dokumen di header setiap

muka surat

ii. Tambahan maklumat Sejarah Dokumen dan

Penguatkuasaan Dokumen di muka surat 1

iii. Tambahan maklumat dalam Skop dasar di muka

surat 6

iv. Tambahan tajuk “Objektif” bagi setiap bab

v. Tambahan maklumat bagi bab 2.0: Infrastruktur

Organisasi Keselamatan dalam seksyen 2.8

vi. Tambahan maklumat bagi bab 3.0:Kawalan dan

Pengelasan Aset dalam seksyen 3.2.1

vii. Tambahan ayat bagi bab 3.0:Kawalan dan

Pengelasan Aset dalam seksyen 3.3.1: Maklumat

hendaklah dikelaskan dan dilabelkan sewajarnya

berasaskan nilai, keperluan perundangan, tahap

sensitiviti dan tahap kritikal kepada kerajaan.

viii. Tambahan 3 tajuk utama dalam bab

4.0:Keselamatan Sumber Manusia iaitu Sebelum

Perkhidmatan, Dalam Perkhidmatan dan Bertukar

atau Tamat Perkhidmatan. Tajuk-tajuk sedia ada

disusun semula mengikut kesesuaian tajuk yang

baru.

ix. Menyusun semula tajuk-tajuk dalam bab 5.0:

Keselamatan Fizikal dan Persekitaran di bawah

empat tajuk utama yang baru iaitu Keselamatan

Kawasan, Keselamatan Perkakasan, Keselamatan

Dokumen dan Keselamatan Persekitaran.

Beberapa maklumat tambahan juga ditambah.

x. Menyusun semula tajuk-tajuk dalam bab 6.0:

Pengurusan Operasi dan Komunikasi. Tajuk utama

yang ditambah ialah Pengurusan Prosedur



Muka 2 dari 84

TERHAD

Operasi, Pengurusan Penyampaian Perkhidmatan

Pihak Ketiga, Perancangan dan Penerimaan

Sistem, Pengurusan Rangkaian, Pengurusan

Media, Pengurusan Pertukaran Maklumat dan

Pemantauan.

xi. Penambahan 3 tajuk utama iaitu Kawalan Capaian

Rangkaian, Kawalan Capaian Sistem Operasi dan

Peralatan Mudah Alih dalam bab 7.0: Kawalan

Capaian

xii. Penambahan maklumat dalam tajuk Pihak Ketiga

dan Kontrak Perjanjian dalam bab 8.0:

Pembangunan dan Penyelenggaraan Sistem

xiii. Isi kandungan yang baru bagi bab 9.0: Pengurusan

Insiden Keselamatan Maklumat

xiv. Penambahan maklumat bagi tajuk Pelan

Kesinambungan Perkhidmatan dalam bab 10.0:

Pengurusan Kesinambungan Perkhidmatan.

xv. Penambahan tajuk utama yang baru iaitu

Pematuhan Keperluan Audit; Pematuhan kepada

Dasar Piawaian dan Teknikal Keselamatan; dan

Perlanggaran Perundangan.

21/5/2012

2.1

BPM

i. Tambahan rujukan pekeliling di seksyen 3.2.2

ii. Tambahan rujukan pekeliling di seksyen 4.4

iii. Tambahan rujukan pekeliling di seksyen 5.3.9

iv. Tambahan rujukan pekeliling bagi seksyen 6.8.1

dan rujukan Arahan Keselamatan

v. Tambahan rujukan pekeliling bagi seksyen 9.2.1

vi. Tambahan rujukan Pelan Kesinambungan

Perkhidmatan KPDNKK 2012 di seksyen 10.2

vii. Tambahan prosedur kawalan hak cipta dan

perisian proprieteri bagi seksyen 11.2 (a)

2/1/2013

2.2

BPM

i. Lokasi offsite kedua di IDC CBJ5, Cyberjaya

dikeluarkan daripada Seksyen 6.6 Backup.

30/3/2016 3.0 BPM i. Perubahan Jawatankuasa Keselamatan kepada



Muka 3 dari 84

TERHAD

Jawatankuasa Pemandu ICT pada seksyen 1.2

ii. Perubahan Timbalan Ketua Setiausaha

(Kepenggunaan & Pengurusan) kepada

(Pengurusan) pada seksyen 2.3

iii. Menambah bahan rujukan dalam seksyen 2.8 (e)

iv. Menambah mukasurat pada seksyen 3.3.2

v. Memotong ayat berkaitan Borang Akurjanji pada

seksyen 4.2.1

vi. Menggantikan Borang Akurjanji kepada Surat

Akuan Pematuhan Dasar Keselamatan ICT

KPDNKK pada seksyen 4.3.1.

vii. Menambah perkataan emel pada seksyen 4.3.2

viii. Menukar perkataan PDA kepada tablet PC dan

modem kepada switch pada seksyen 5.3.1

ix. Menambah seksyen 6.7.5 : Keselamatan

Rangkaian Tanpa Wayar (Wireless)

x. Menambah seksyen 6.7.6 (g)

xi. Menambah Seksyen 6.7.8 : Keselamatan Media

Sosial.

xii. Mengeluarkan seksyen 6.9.1 (f).

xiii. Menambah bahan rujukan pada seksyen 6.9.1 (b)

xiv. Menukar tempoh kata laluan dan bilangan aksara

pada seksyen 7.3.1 (b dan c)

xv. Menukar perkataan Pelan BCM kepada Pelan

Pemulihan Bencana (DRP) pada seksyen 10.2

xvi. Menambah bahan rujukan pada seksyen 10.2

xvii. Menambah rujukan peraturan dalam seksyen

11.5 (p dan q)



Muka 4 dari 84

TERHAD

Senarai Kandungan

PENDAHULUAN 10

I. Pengenalan 10

II. Objektif 10

III. Skop 10

IV. Prinsip-prinsip 12

1.0 PEMBANGUNAN DAN PENYELENGGARAAN DASAR 15

1.1 Objektif 15

1.2 Pelaksanaan Dasar 15

1.3 Penyebaran Dasar 15

1.4 Penyelenggaraan Dasar 16

1.5 Pemakaian Dasar 16

2.0 INFRASTRUKTUR ORGANISASI KESELAMATAN 17

2.1 Objektif 17

2.2 Ketua Setiausaha KPDNKK 17

2.3 Ketua Pegawai Maklumat (CIO) 17

2.4 Pegawai Keselamatan ICT (ICT Security Officer) 18

2.5 Pengurus Komputer 19

2.6 Pentadbir Sistem ICT 20

2.7 Pengguna 21

2.8 Pihak Ketiga/luar 22



Muka 5 dari 84

TERHAD

3.0 KAWALAN DAN PENGELASAN ASET 24

3.1 Objektif 24

3.2 Akauntabiliti Aset 24

3.2.1. Hak milik 24

3.2.2. Inventori Aset 24

3.3 Pengelasan dan Pengendalian Maklumat 25

3.3.1. Pengelasan Maklumat 25

3.3.2. Pengendalian Maklumat 25

4.0 KESELAMATAN SUMBER MANUSIA 27

4.1 Objektif 27

4.2 Sebelum Perkhidmatan 27

4.2.1 Tanggungjawab Keselamatan 27

4.2.2 Terma Dan Syarat Perkhidmatan 27

4.2.3 Perakuan Akta Rahsia Rasmi 27

4.3 Dalam Perkhidmatan 28

4.3.1 Tanggungjawab Pihak Pengurusan 28

4.3.2 Pendidikan/Program Kesedaran Keselamatan ICT 28

4.3.3 Tindakan Tatatertib 29

4.4 Bertukar atau Tamat Perkhidmatan 29

4.4.1 Pemulangan Aset dan Pembatalan Kebenaran Capaian 29

5.0 KESELAMATAN FIZIKAL DAN PERSEKITARAN 30

5.1 Objektif 30



Muka 6 dari 84

TERHAD

5.2 Keselamatan Kawasan 30

5.2.1 Kawalan Kawasan Fizikal 30

5.2.2 Kawalan Keluar Masuk 32

5.2.3 Kawasan Larangan 32

5.3 Keselamatan Perkakasan 33

5.3.1 Perkakasan ICT 33

5.3.2 Perisian 34

5.3.3 Media Storan 35

5.3.4 Bekalan Kuasa 36

5.3.5 Kabel 37

5.3.6 Penyelenggaraan Peralatan 37

5.3.7 Peralatan Di Luar Premis 38

5.3.8 Pengendalian Peralatan Luar Yang Dibawa Masuk 38

5.3.9 Pelupusan Peralatan 39

5.4 Keselamatan Dokumen 40

5.5 Keselamatan Persekitaran 41

6.0 PENGURUSAN OPERASI DAN KOMUNIKASI 42

6.1 Objektif 42

6.2 Pengurusan Prosedur Operasi 42

6.2.1 Pengendalian Prosedur Operasi 42

6.2.2 Kawalan Perubahan 42

6.2.3 Pengasingan Tugas dan Tanggungjawab 43



Muka 7 dari 84

TERHAD

6.3 Pengurusan Penyampaian Perkhidmatan Pihak Ketiga 43

6.4 Perancangan dan Penerimaan Sistem 44

6.5 Perlindungan Dari Malicious Code 45

6.6 Backup 46

6.7 Pengurusan Rangkaian 47

6.7.1 Keselamatan Pusat Data 47

6.7.2 Pengurusan Komunikasi 48

6.7.3 Keselamatan Peralatan Komunikasi 48

6.7.4 Keselamatan Rangkaian 49

6.7.5 Keselamatan Rangkaian Tanpa Wayar ( Wireless) 51

6.7.6 Keselamatan Internet 51

6.7.7 Keselamatan Laman Web dan Intranet Kementerian 53

6.7.8 Keselamatan Media Sosial 53

6.8 Pengurusan Media 54

6.8.1 Pengendalian Media Boleh Ubah 54

6.8.2 Keselamatan Sistem Dokumentasi 55

6.9 Pengurusan Pertukaran Maklumat 56

6.9.1 Keselamatan Mel Elektronik 56

6.10 Pemantauan 59

7.0 KAWALAN CAPAIAN 60

7.1 Objektif 60

7.2 Dasar Kawalan Capaian 60



Muka 8 dari 84

TERHAD

7.3 Pengurusan Capaian Pengguna 60

7.3.1 Akaun Pengguna 60

7.3.2 Clear Screen and Clear Desk Policy 62

7.4 Kawalan Capaian Rangkaian 62

7.5 Kawalan Capaian Sistem Operasi 64

7.6 Kawalan Capaian Sistem Dan Aplikasi 65

7.7 Peralatan Mudah Alih 65

8.0 PEMBANGUNAN DAN PENYELENGGARAAN SISTEM 67

8.1 Objektif 67

8.2 Keperluan Keselamatan Sistem Maklumat 67

8.3 Encryption 68

8.4 Kawalan Fail Sistem 68

8.5 Prosedur Kawalan Perubahan 69

8.6 Pihak Ketiga Dan Kontrak Perjanjian 70

8.6.1 Dasar Pelaksanaan 70

8.7 Kawalan dari Ancaman Teknikal 71

9.0 PENGURUSAN INSIDEN KESELAMATAN MAKLUMAT 72

9.1 Objektif 72

9.2 Laporan Insiden Keselamatan 72

9.2.1 Melaporkan Peristiwa Keselamatan 72

9.2.2 Melaporkan Kelemahan Keselamatan Maklumat 73

9.3 Pengendalian Insiden Keselamatan 74



Muka 9 dari 84

TERHAD

9.3.1 Analisa dan Pengesahan Insiden 74

9.3.2 Keutamaan Insiden dan Penilaian Impak 75

9.3.3 Keutamaan Insiden Keselamatan 75

9.3.4 Pemberitahuan Insiden 76

9.3.5 Strategi Pengawalan Insiden 76

9.3.6 Pengumpulan Bahan Bukti 77

9.3.7 Penjagaan Bahan Bukti 77

9.4 Pengajaran daripada Insiden Maklumat Keselamatan 78

10.0 PENGURUSAN KESINAMBUNGAN PERKHIDMATAN 79

10.1 Objektif 79

10.2 Pelan Kesinambungan Perkhidmatan 79

11.0 PEMATUHAN 81

11.1 Objektif 81

11.2 Pematuhan Dasar 81

11.3 Pematuhan dengan Dasar, Piawaian dan Keperluan Teknikal 82

11.4 Pematuhan Keperluan Audit 83

11.5 Keperluan Perundangan 83

11.6 Pelanggaran Dasar 84



Muka 10 dari 84

TERHAD

PENDAHULUAN

I. Pengenalan

Dasar Keselamatan ICT mengandungi peraturan-peraturan yang mesti dibaca

dan dipatuhi dalam menggunakan aset teknologi maklumat dan komunikasi

(ICT) KPDNKK. Dasar ini juga menerangkan kepada semua pengguna di

KPDNKK mengenai tanggungjawab dan peranan mereka dalam melindungi

aset ICT KPDNKK.

II. Objektif

Dasar Keselamatan ICT KPDNKK diwujudkan untuk memastikan tahap

keselamatan ICT KPDNKK terurus dan dilindungi bagi menjamin

kesinambungan urusan KPDNKK dengan meminimumkan kesan

keselamatan ICT.

III. Skop

Bagi menentukan aset ICT ini terjamin keselamatannya sepanjang masa,

Dasar Keselamatan ICT KPDNKK ini merangkumi perlindungan semua

bentuk maklumat kerajaan yang dimasukkan, diwujud, dimusnah, disimpan,

dijana, dicetak, diakses, diedar dalam penghantaran dan yang dibuat salinan

keselamatan. Ini akan dilakukan melalui pewujudan dan penguatkuasaan

sistem kawalan dan prosedur dalam pengendalian semua perkara-perkara

berikut:



Muka 11 dari 84

TERHAD

a. Perkakasan

Semua aset yang digunakan untuk menyokong pemprosesan

maklumat dan kemudahan storan KPDNKK. Contoh komputer, server,

peralatan komunikasi dan sebagainya;

b. Perisian

Perisian aplikasi merangkumi semua program-program yang dipasang

di setiap komputer bagi tujuan pemprosesan data daripada pengguna .

Contoh perisian aplikasi atau perisian sistem seperti sistem

pengoperasian, sistem pangkalan data, perisian sistem rangkaian, atau

aplikasi pejabat yang menyediakan kemudahan pemprosesan

maklumat kepada KPDNKK;

c. Perkhidmatan

Perkhidmatan atau sistem yang menyokong aset lain untuk

melaksanakan fungsi-fungsinya. Contoh:

i. Perkhidmatan rangkaian seperti LAN, WAN dan lain-

lain;

ii. Sistem halangan akses seperti sistem kad akses; dan

iii. Perkhidmatan sokongan seperti kemudahan elektrik,

penghawa dingin, sistem pencegah kebakaran dan

lain-lain.

d. Data atau Maklumat

Koleksi fakta-fakta dalam bentuk kertas atau mesej elektronik, yang

mengandungi maklumat-maklumat untuk digunakan bagi mencapai

misi dan objektif KPDNKK. Contohnya sistem dokumentasi, prosedur



Muka 12 dari 84

TERHAD

operasi, rekod-rekod KPDNKK, profil-profil pelanggan, pangkalan data

dan fail-fail data, maklumat-maklumat arkib dan lain-lain;

e. Manusia

Individu yang mempunyai pengetahuan dan kemahiran untuk

melaksanakan skop kerja harian KPDNKK bagi mencapai misi dan

objektif agensi. Individu berkenaan merupakan aset berdasarkan

kepada tugas-tugas dan fungsi yang dilaksanakan; dan

f. Premis Komputer Dan Komunikasi

Semua kemudahan serta premis yang digunakan untuk menempatkan

perkara (a) - (e) di atas.

Dasar ini adalah terpakai oleh semua pengguna di KPDNKK termasuk

pegawai, pembekal dan pakar runding yang mengurus, menyelenggara,

memproses, mencapai, memuat turun, menyedia, memuat naik, berkongsi,

menyimpan dan menggunakan aset ICT KPDNKK.

IV. Prinsip-prinsip

Prinsip-prinsip yang menjadi asas kepada Dasar Keselamatan ICT KPDNKK

dan perlu dipatuhi adalah seperti berikut :

a. Akses Atas Dasar Perlu Mengetahui

Akses terhadap penggunaan aset ICT hanya diberikan untuk tujuan

spesifik dan dihadkan kepada pengguna tertentu atas dasar ”perlu

mengetahui” sahaja. Ini bermakna akses hanya akan diberikan



Muka 13 dari 84

TERHAD

sekiranya peranan atau fungsi pengguna memerlukan maklumat

tersebut. Pertimbangan untuk akses adalah berdasarkan kategori

maklumat seperti yang dinyatakan di dalam dokumen Arahan

Keselamatan perenggan 53, muka surat 15;

b. Hak Akses Minimum

Hak akses pengguna hanya diberi pada tahap yang paling minimum

iaitu untuk membaca dan/atau melihat sahaja. Kelulusan adalah perlu

untuk membolehkan pengguna mewujud, menyimpan, mengemas kini,

mengubah atau membatalkan sesuatu maklumat. Hak akses adalah

dikaji dari masa ke semasa berdasarkan kepada peranan dan

tanggungjawab pengguna/bidang tugas;

c. Akauntabiliti

Semua pengguna adalah bertanggungjawab ke atas semua

tindakannya terhadap aset ICT KPDNKK;

d. Pengasingan

Tugas mewujud, memadam, kemas kini, mengubah dan mengesahkan

data perlu diasingkan bagi mengelakkan daripada capaian yang tidak

dibenarkan serta melindungi aset ICT daripada kesilapan, kebocoran

maklumat terperingkat atau di manipulasi. Pengasingan juga

merangkumi tindakan memisahkan antara kumpulan operasi dan

rangkaian;

e. Pengauditan



Muka 14 dari 84

TERHAD

Pengauditan adalah tindakan untuk mengenal pasti insiden berkaitan

keselamatan atau mengenal pasti keadaan yang mengancam

keselamatan. Ia membabitkan pemeliharaan semua rekod yang

berkaitan tindakan keselamatan. Dengan itu, aset ICT seperti

komputer, pelayan(server), router, firewall, IPS, Antivirus dan

rangkaian hendaklah ditentukan dapat menjana dan menyimpan log

tindakan keselamatan atau jejak audit (audit trial);

f. Pematuhan

Dasar Keselamatan ICT KPDNKK hendaklah dibaca, difahami dan

dipatuhi bagi mengelakkan sebarang bentuk pelanggaran ke atasnya

yang boleh membawa ancaman kepada keselamatan ICT;

g. Pemulihan

Pemulihan sistem amat perlu untuk memastikan ketersediaan dan

kebolehcapaian. Objektif utama adalah untuk meminumkan sebarang

gangguan atau kerugian akibat daripada ketidaksediaan. Pemulihan

boleh dilakukan melalui aktiviti penduaan (backup) dan pewujudan

pelan pemulihan bencana/kesinambungan perkhidmatan;dan

h. Saling Bergantungan

Setiap prinsip di atas adalah saling lengkap melengkapi dan

bergantungan antara satu sama lain. Dengan itu, tindakan

mempelbagaikan pendekatan dalam menyusun dan mencorakkan

sebanyak mungkin mekanisme keselamatan adalah perlu bagi

menjamin keselamatan yang maksimum.



Muka 15 dari 84

TERHAD

1.0 PEMBANGUNAN DAN PENYELENGGARAAN DASAR

1.1 Objektif

Dasar ini bertujuan memastikan hala tuju pengurusan keselamatan

kementerian untuk melindungi aset ICT selaras dengan keperluan

perundangan.

1.2 Pelaksanaan Dasar

Ketua Setiausaha KPDNKK adalah bertanggungjawab ke atas

pelaksanaan arahan dengan dibantu oleh Jawatankuasa Pemandu ICT

yang terdiri daripada Ketua Pegawai Maklumat (CIO), Pengurus

Komputer, Pegawai Keselamatan ICT (ICTSO) dan lain-lain pegawai

yang dilantik.

1.3 Penyebaran Dasar

Dasar ini perlu disebarkan kepada semua pengguna KPDNKK

(termasuk pegawai, pembekal, pakar runding dan lain-lain yang

berurusan dengan KPDNKK).

Penyebaran dasar kepada pengguna akan dibuat melalui medium

seperti Intranet, Mesyuarat Pengurusan Kementerian, E-mel, Surat

Makluman dan lain-lain kaedah yang bersesuaian mengikut keperluan

semasa.



Muka 16 dari 84

TERHAD

1.4 Penyelenggaraan Dasar

Dasar Keselamatan ICT KPDNKK adalah tertakluk kepada semakan

dan pindaan dari masa ke semasa selaras dengan perubahan

teknologi, aplikasi, prosedur, perundangan dan kepentingan organisasi.

Prosedur yang berhubung dengan penyelenggaraan Dasar

Keselamatan ICT KPDNKK adalah seperti berikut:

a. Mengkaji semula dasar ini sekurang-kurangnya sekali

setahun bagi mengenal pasti dan menentukan perubahan

yang diperlukan;

b. Mengemukakan cadangan pindaan secara bertulis

kepada ICTSO untuk pembentangan dan persetujuan

Jawatankuasa Pemandu ICT (JPICT) KPDNKK;

c. Memaklumkan perubahan yang sudah dipersetujui oleh

JPICT kepada semua pengguna.

1.5 Pemakaian Dasar

Dasar Keselamatan ICT KPDNKK adalah terpakai kepada semua

pengguna ICT KPDNKK dan tiada pengecualian diberikan melainkan

mendapat persetujuan Ketua Setiausaha Kementerian.



Muka 17 dari 84

TERHAD

2.0 INFRASTRUKTUR ORGANISASI KESELAMATAN

2.1 Objektif

Menerangkan peranan dan tanggungjawab individu yang terlibat

dengan lebih jelas dan teratur dalam mencapai objektif organisasi.

2.2 Ketua Setiausaha KPDNKK

Peranan dan tanggungjawab Ketua Setiausaha adalah seperti berikut :

a. Memastikan semua pengguna ICT KPDNKK memahami

peruntukan-peruntukan di bawah Dasar Keselamatan ICT

KPDNKK;

b. Memastikan semua pengguna mematuhi Dasar

Keselamatan ICT KPDNKK;

c. Memastikan semua keperluan organisasi seperti sumber

kewangan, sumber manusia dan perlindungan

keselamatan adalah mencukupi; dan

d. Memastikan penilaian risiko dan program keselamatan

ICT dilaksanakan seperti yang ditetapkan dalam Dasar

Keselamatan ICT KPDNKK.

2.3 Ketua Pegawai Maklumat (CIO)

Timbalan Ketua Setiausaha (Pengurusan) adalah merupakan Ketua

Pegawai Maklumat (CIO). Peranan dan tanggungjawab beliau adalah

seperti berikut:



Muka 18 dari 84

TERHAD

a. Mewujudkan dan mengetuai Jawatankuasa Pemandu

ICT KPDNKK;

b. Membantu dan menasihati Ketua Setiausaha dalam

melaksanakan tugas-tugas yang melibatkan keselamatan

ICT;

c. Menentukan keperluan keselamatan ICT;

d. Menyelaraskan pembangunan dan pelaksanaan pelan

latihan dan program kesedaran mengenai keselamatan

ICT; dan

e. Menguatkuasakan Dasar Keselamatan ICT KPDNKK

bagi memastikan semua pengguna memahami

peruntukan di bawah Dasar Keselamatan ICT KPDNKK.

2.4 Pegawai Keselamatan ICT (ICT Security Officer)

Peranan dan tanggungjawab Pegawai Keselamatan ICT (ICTSO) ialah

seperti berikut:

a. Mengurus keseluruhan program-program keselamatan

ICT KPDNKK;

b. Memberi penerangan kepada pengguna berkenaan

Dasar Keselamatan ICT KPDNKK;

c. Mewujudkan garis panduan, prosedur dan tatacara

selaras dengan keperluan Dasar Keselamatan ICT

KPDNKK;

d. Bertindak sebagai pengurus Computer Emergency

Response Team ICT (CERT);



Muka 19 dari 84

TERHAD

e. Menjalankan audit, mengkaji semula, merumus tindak

balas berdasarkan hasil penemuan dan menyediakan

laporan;

f. Memberi amaran terhadap kemungkinan berlakunya

ancaman keselamatan ICT dan memberi khidmat nasihat

serta menyediakan langkah-langkah perlindungan yang

sesuai;

g. Memaklumkan insiden keselamatan ICT kepada CIO dan

melaporkannya kepada Computer Emergency Response

Team ICT (CERT) KPDNKK ;

h. Bekerjasama dengan pihak-pihak yang berkaitan dalam

mengenal pasti punca insiden dan memperakukan

langkah-langkah baik pulih dengan segera; dan

i. Menyedia dan melaksana program-program kesedaran

mengenai keselamatan ICT.

2.5 Pengurus Komputer

Pengarah Bahagian Pengurusan Maklumat (PBPM) adalah merupakan

Pengurus Komputer, KPDNKK. Peranan dan tanggungjawab Pengurus

Komputer ialah :

a. Memahami dan mematuhi Dasar Keselamatan ICT

KPDNKK ;

b. Mengkaji semula dan melaksanakan kawalan

keselamatan ICT selaras dengan keperluan KPDNKK;



Muka 20 dari 84

TERHAD

c. Menentukan kawalan akses semua pengguna terhadap

aset ICT KPDNKK;

d. Melaporkan sebarang perkara atau penemuan mengenai

keselamatan ICT kepada ICTSO; dan

e. Menyimpan rekod, bahan bukti dan laporan mengenai

ancaman keselamatan ICT KPDNKK.

2.6 Pentadbir Sistem ICT

Peranan dan tanggungjawab Pentadbir Sistem ICT adalah seperti

berikut:

a. Mengambil tindakan segera apabila dimaklumkan

mengenai pegawai yang berhenti, bertukar atau berlaku

perubahan dalam bidang tugas. Jika perlu, membeku

akaun pengguna yang bercuti/berkursus panjang atau

menghadapi tindakan tatatertib;

b. Memantau aktiviti capaian harian pengguna;

c. Mengenal pasti aktiviti-aktiviti tidak normal seperti

pencerobohan dan pengubahsuaian data tanpa

kebenaran;

d. Menyimpan dan menganalisis rekod jejak audit;

e. Melaksanakan penyelenggaraan dan patches terkini; dan

f. Menyedia laporan mengenai aktiviti capaian kepada

pihak pengurusan dan pihak yang berkaitan dari masa ke

semasa.



Muka 21 dari 84

TERHAD

2.7 Pengguna

Pengguna adalah termasuk pegawai KPDNKK, pegawai Kontrak,

pegawai sambilan harian, pembekal, pakar runding dan lain-lain.

Peranan dan tanggungjawab pengguna ialah:

a. Membaca, memahami dan mematuhi Dasar Keselamatan

ICT KPDNKK;

b. Mengetahui dan memahami implikasi keselamatan ICT

kesan dari tindakannya;

c. Melaksanakan prinsip-prinsip Dasar Keselamatan ICT

KPDNKK dan menjaga kerahsiaan maklumat;

d. Melaksanakan langkah-langkah perlindungan seperti

berikut:

i. Menghalang pendedahan maklumat kepada pihak

yang tidak dibenarkan;

ii. Memeriksa maklumat dan menentukan ia tepat dan

lengkap dari masa ke semasa;

iii. Menentukan maklumat sedia untuk digunakan;

iv. Menjaga kerahsiaan kata laluan;

v. Mematuhi standard, prosedur, langkah dan garis

panduan yang ditetapkan;

vi. Memberi perhatian kepada maklumat terperingkat

terutama semasa pewujudan, pemprosesan,

penyimpanan, penghantaran, penyampaian,

pertukaran dan pemusnahan; dan



Muka 22 dari 84

TERHAD

vii. Menjaga kerahsiaan langkah-langkah keselamatan

ICT dari diketahui umum.

e. Menghadiri program-program kesedaran mengenai

keselamatan ICT; dan

f. Melaporkan sebarang aktiviti yang mengancam

keselamatan ICT kepada ICTSO dengan kadar segera.

2.8 Pihak Ketiga/luar

Pihak KPDNKK hendaklah memastikan keselamatan penggunaan

maklumat dan kemudahan proses maklumat oleh kontraktor/pihak

ketiga dikawal. Perkara yang perlu dipatuhi adalah seperti berikut:

a. Mengenal pasti risiko keselamatan maklumat dan

kemudahan pemprosesan maklumat serta

melaksanakan kawalan yang sesuai sebelum memberi

kebenaran capaian;

b. Mengenal pasti keperluan keselamatan sebelum

memberi kebenaran capaian atau penggunaan kepada

pengguna luar/asing. Capaian kepada aset ICT KPDNKK

perlu berlandaskan kepada perjanjian kontrak;

c. Memastikan semua syarat keselamatan dinyatakan

dengan jelas dalam perjanjian dengan pihak ketiga;

d. Perkara-perkara berikut hendaklah dimasukkan di dalam

perjanjian yang dimeterai:

i. Surat Perakuan



Muka 23 dari 84

TERHAD

ii. Perakuan Akta Rahsia Rasmi 1972; dan

iii. Hak Harta Intelek.

e. Membaca, memahami dan mematuhi peraturan-peraturan

yang dinyatakan dalam Surat Pekeliling Perbendaharaan

Bilangan 5 Tahun 2007 Tatacara Pengurusan Perolehan

Kerajaan Secara Tender; Surat Pekeliling

Perbendaharaan Bilangan 2 Tahun 2011: Peraturan

Perolehan Perkhidmatan Perunding Bagi Projek Atau

Kajian Kerajaan yang berkaitan juga boleh dirujuk; Surat

Pekeliling Perbendaharaan Bilangan 9 Tahun 2009: Had

Nilai, Kuasa Dan Tanggungjawab Lembaga Perolehan

Agensi; dan Surat Pekeliling Perbendaharaan Bil.8 Tahun

2011 Perolehan Berkaitan Information and

Communication Technology (ICT) dan Rangkaian Internet

dan Surat Pekeliling Perbendaharaan Bil 3 Tahun 2013 :

Garis panduan mengenai pengurusan perolehan ICT

Kerajaan.



Muka 24 dari 84

TERHAD

3.0 KAWALAN DAN PENGELASAN ASET

3.1 Objektif

Memberi dan menyokong perlindungan yang optimum ke atas semua

aset ICT KPDNKK.

3.2 Akauntabiliti Aset

3.2.1. Hak milik

Semua aset ICT termasuk maklumat yang terkandung di

dalamnya adalah Hak Milik Kerajaan. Pengguna yang

dipertanggungjawabkan untuk menjaga aset-aset ini perlu

mematuhi perkara-perkara berikut:

a. Memastikan semua aset dikendalikan oleh pengguna

yang dibenarkan sahaja;

b. Setiap pengguna adalah bertanggungjawab ke atas

semua aset ICT di bawah kawalannya;

c. Peraturan bagi pengendalian aset hendaklah

dikenalpasti, didokumenkan dan dilaksanakan.

3.2.2. Inventori Aset

Semua aset ICT Kementerian hendaklah direkodkan. Ini

termasuklah mengenal pasti aset, mengelas aset mengikut

tahap sensitiviti aset berkenaan dan merekod maklumat seperti

pemilikan, penempatan dan sebagainya. Boleh merujuk kepada

pekeliling berikut untuk butiran lanjut, “Pekeliling



Muka 25 dari 84

TERHAD

Perbendaharaan Bil. 5 Tahun 2007 Tatacara Pengurusan Aset

Alih Kerajaan”.

3.3 Pengelasan dan Pengendalian Maklumat

Memastikan setiap maklumat atau aset ICT diberikan tahap

perlindungan yang bersesuaian.

3.3.1. Pengelasan Maklumat

Memastikan setiap maklumat diberi perlindungan yang

bersesuaian berdasarkan kepada tahap sensitiviti masing-

masing.

Maklumat hendaklah dikelaskan dan dilabelkan sewajarnya

berasaskan nilai, keperluan perundangan, tahap sensitiviti dan

tahap kritikal kepada kerajaan. Setiap maklumat yang dikelaskan

sebagai Rahsia Besar, Rahsia, Sulit dan Terhad mestilah

diuruskan mengikut peringkat keselamatan seperti dinyatakan

dalam dokumen Arahan Keselamatan.

3.3.2. Pengendalian Maklumat

Pengendalian maklumat seperti pewujudan, pengumpulan,

pemprosesan, penyimpanan, penyalinan, penghantaran,

penyampaian, penukaran dan pemusnahan hendaklah

mengambil kira langkah-langkah keselamatan berikut :

a. Pelabelan Maklumat:

Pelabelan maklumat perlu dilakukan bagi maklumat

dalam bentuk elektronik dan hardcopy. Bagi file



Muka 26 dari 84

TERHAD

elektronik, setiap muka harus dilabelkan mengikut

klasifikasi dokumen yang berkenaan. Manakala, bagi

dokumen dalam bentuk hardcopy, pelabelan mesti

mengikut arahan yang telah dikeluarkan dalam Arahan

Keselamatan, di bab Keselamatan Dokumen, mukasurat

14, seksyen III:Tanda Keselamatan.

b. Penyimpanan Maklumat:

Penyimpanan dokumen yang telah diklasifikasikan mesti

mengikut Arahan Keselamatan, di bab Keselamatan

Dokumen, mukasurat 16, seksyen IV:Penyimpanan

Perkara-perkara Terperingkat.

c. Penghantaran Maklumat:

Penghantaran dokumen yang telah diklasifikasikan mesti


Dokumen:

Seksyen V: Penghantaran Dokumen Terperingkat

Seksyen VI: Membawa Dokumen Terperingkat

Keluar Pejabat

Seksyen VII: Pelepasan Perkara Terperingkat,

d. Pelupusan Maklumat:

Pelupusan dokumen yang telah diklasifikasikan mesti


Dokumen, mukasurat 19 seksyen VIII: Pemusnahan

Dokumen Terperingkat.



Muka 27 dari 84

TERHAD

4.0 KESELAMATAN SUMBER MANUSIA

4.1 Objektif

Memahami tanggungjawab dan peranan semua sumber manusia

dalam keselamatan aset ICT KPDNKK.

4.2 Sebelum Perkhidmatan

4.2.1 Tanggungjawab Keselamatan

Peranan dan tanggungjawab pengguna terhadap keselamatan

ICT mestilah lengkap, jelas, direkodkan, dipatuhi dan

dilaksanakan.

Keselamatan ICT merangkumi tanggungjawab pengguna dalam

menyediakan dan memastikan perlindungan ke atas semua aset

atau sumber ICT di bawah kawalannya yang digunakan dalam

melaksanakan tugas harian.

4.2.2 Terma Dan Syarat Perkhidmatan

Semua warga KPDNKK yang dilantik hendaklah mematuhi

terma dan syarat perkhidmatan yang ditawarkan dan peraturan

semasa yang berkuat kuasa.

4.2.3 Perakuan Akta Rahsia Rasmi

Warga KPDNKK yang menguruskan maklumat terperingkat

hendaklah mematuhi semua peruntukan Akta Rahsia Rasmi

1972.



Muka 28 dari 84

TERHAD

4.3 Dalam Perkhidmatan

Pegawai KPDNKK yang bertanggungjawab menguruskan perkara-

perkara terperingkat pada peringkat Sulit, Rahsia dan Rahsia Besar

harus menjalani Tapisan Keselamatan bagi memeriksa latarbelakang

pegawai yang berkenaan seperti yang tertera di Arahan Keselamatan,

bab Keselamatan Peribadi, mukasurat 21, seksyen II:Tapisan.

4.3.1 Tanggungjawab Pihak Pengurusan

Memastikan staf KPDNKK serta pihak ketiga yang

berkepentingan mengurus keselamatan aset ICT berdasarkan

perundangan dan peraturan yang ditetapkan oleh KPDNKK.

Ketua Jabatan perlu memastikan setiap staf menandatangani

Surat Akuan Pematuhan Dasar Keselamatan ICT KPDNKK

4.3.2 Pendidikan/Program Kesedaran Keselamatan ICT

Setiap warga KPDNKK perlu diberikan program kesedaran,

latihan atau kursus mengenai keselamatan ICT secara

berterusan dalam melaksanakan tugas dan tanggungjawabnya.

Program latihan akan melibatkan semua pegawai KPDNKK dan

dilaksanakan secara berterusan. Selain itu, laman Intranet/emel

akan dijadikan sebagai medium penyebaran maklumat berkaitan

keselamatan ICT bagi meningkatkan tahap kesedaran pegawai

KPDNKK berkaitan kepentingan keselamatan ICT.

Pegawai teknikal yang dipertanggungjawabkan menjaga

keselamatan sumber ICT di mana ianya menyediakan

perkhidmatan berpusat kepada pengguna (seperti server,

storan, firewall, router, antivirus berpusat dan lain-lain) akan



Muka 29 dari 84

TERHAD

dipastikan menjalani latihan yang spesifik berkaitan bidang tugas

mengikut spesifikasi produk yang digunakan.

4.3.3 Tindakan Tatatertib

Pelanggaran Dasar Keselamatan ICT KPDNKK akan dikenakan

tindakan tatatertib atau digantung dari mendapat akses kepada

kemudahan ICT KPDNKK.

4.4 Bertukar atau Tamat Perkhidmatan

Peraturan yang berkaitan dengan pertukaran perkhidmatan atau tamat

perkhidmatan perlu ditakrifkan dengan jelas.

4.4.1 Pemulangan Aset dan Pembatalan Kebenaran Capaian

Perkara-perkara yang perlu dipatuhi termasuk yang berikut:

a. Memastikan semua aset ICT dikembalikan kepada

KPDNKK mengikut peraturan dan/atau terma

perkhidmatan yang ditetapkan; dan

b. Membatalkan atau menarik balik semua kebenaran

capaian ke atas maklumat dan kemudahan proses

maklumat mengikut peraturan yang ditetapkan oleh

KPDNKK dan/atau terma perkhidmatan.

Boleh rujuk Surat Pekeliling Perkhidmatan Bilangan 4 Tahun 2010

Pelaksanaan Modul Penamatan Perkhidmatan Urusan Persaraan

Kerana Mencapai Umur 55/56/58 Tahun, Urusan Persaraan Pilihan

dan Fungsi Kematian Dalam Perkhidmatan bagi maklumat lanjut.



Muka 30 dari 84

TERHAD

5.0 KESELAMATAN FIZIKAL DAN PERSEKITARAN

5.1 Objektif

Melindungi dan mencegah akses fizikal yang tidak dibenarkan yang

boleh mengakibatkan kecurian, kerosakan dan gangguan kepada

persekitaran premis, peralatan dan maklumat.

5.2 Keselamatan Kawasan

Memastikan langkah-langkah keselamatan yang diadakan adalah

sejajar dengan Arahan Keselamatan, di bab Keselamatan Fizikal,

mukasurat 5 – 7, seksyen I: Kawasan Terperingkat; seksyen

II:Keselamatan Bangunan; seksyen III: Perkhidmatan Pengawalan

Keselamatan; seksyen IV: Pas Keselamatan, Kad Pengenalan

Jabatan, Kad Kuasa dan Kad Perlantikan; dan seksyen VI: Kawalan

Kunci Keselamatan.

5.2.1 Kawalan Kawasan Fizikal

Bertujuan untuk mencegah akses fizikal yang tidak dibenarkan,

kerosakan dan gangguan kepada premis dan maklumat.

Langkah keselamatan yang perlu diikuti adalah seperti:

a. Mengenal pasti kawasan keselamatan fizikal.

Lokasi dan keteguhan keselamatan fizikal

hendaklah bergantung kepada keperluan untuk

melindungi aset;

b. Menggunakan keselamatan perimeter (halangan

seperti dinding, pagar kawalan, pengawal



Muka 31 dari 84

TERHAD

keselamatan) untuk melindungi kawasan yang

mengandungi maklumat dan kemudahan

pemprosesan maklumat;

c. Menyediakan tempat atau bilik khas untuk pelawat-

pelawat;

d. Melindungi kawasan terhad melalui kawalan pintu

masuk yang bersesuaian bagi memastikan

pegawai yang diberi kebenaran sahaja boleh

melalui pintu masuk ini;

e. Mengadakan kaunter kawalan;

f. Memasang alat penggera, kamera litar tertutup

(CCTV) dan seumpamanya;

g. Mewujudkan perkhidmatan kawalan keselamatan;

h. Mereka bentuk dan melaksanakan keselamatan

fizikal di dalam pejabat, bilik dan kemudahan;

i. Mereka bentuk dan melaksanakan perlindungan

fizikal dari kebakaran, banjir, letupan, kacau-bilau

dan bencana; dan

j. Memastikan kawasan-kawasan penghantaran dan

pemunggahan dan juga tempat-tempat lain dikawal

dari pihak yang tidak diberi kebenaran

memasukinya.

k. Mereka bentuk dan melaksanakan perlindungan

fizikal dan panduan untuk pegawai yang bertugas

di kawasan terhad.



Muka 32 dari 84

TERHAD

5.2.2 Kawalan Keluar Masuk

a. Setiap warga KPDNKK hendaklah memakai pas

keselamatan sepanjang waktu bertugas;

b. Semua pas keselamatan hendaklah diserah balik

kepada jabatan apabila pengguna berhenti,

bertukar atau bersara;

c. Setiap pelawat hendaklah mendapatkan pas

pelawat dan hendaklah dipulangkan selepas tamat

lawatan;

d. Kehilangan pas mestilah dilaporkan dengan segera

kepada Pegawai Keselamatan Kementerian; dan

e. Maklumat pelawat seperti tarikh, masa dan tempat

dituju hendaklah direkod dan dikawal.

5.2.3 Kawasan Larangan

Kawasan larangan ialah kawasan yang dihadkan kemasukan

untuk pegawai-pegawai tertentu sahaja. Kawasan larangan di

KPDNKK ialah seperti bilik Ketua Setiausaha, bilik-bilik Timbalan

Ketua Setiausaha dan Pengarah Bahagian, pusat data, bilik fail

dan bilik sulit yang menempatkan peralatan rangkaian dan

telekomunikasi.

Pihak ketiga dilarang memasuki kawasan larangan kecuali bagi

kes-kes tertentu seperti memberi perkhidmatan sokongan atau

bantuan teknikal. Mereka hendaklah diiringi sepanjang masa

sehingga tugas di kawasan berkenaan selesai.



Muka 33 dari 84

TERHAD

5.3 Keselamatan Perkakasan

5.3.1 Perkakasan ICT

Perkakasan ICT meliputi pelbagai peralatan ICT dan

komponennya seperti komputer mikro , komputer bimbit, tablet

PC, workstation, server, pencetak, switch, UPS dan sebagainya.

Perkakasan yang digunakan perlu dijaga, dilindungi dan dikawal

di mana:

a. Pengguna bertanggungjawab sepenuhnya

menjaga dan melindungi segala perkakasan,

komponen atau peralatan ICT di bawah

kawalannya agar sentiasa berkeadaan baik dan

lengkap sepanjang masa;

b. Setiap pengguna hendaklah memastikan semua

perkakasan ICT di bawah kawalannya disimpan di

tempat yang bersih dan selamat;

c. Pengguna dilarang memindah, menambah,

membuang, atau menukar sebarang komponen

atau perkakasan ICT tanpa kebenaran BPM;

d. Peminjaman dan pemulangan peralatan hendaklah

direkodkan oleh pegawai yang telah

dipertanggungjawabkan;

e. Setiap pengguna adalah bertanggungjawab di atas

kerosakan dan kehilangan perkakasan ICT di

bawah kawalannya;



Muka 34 dari 84

TERHAD

f. Setiap pengguna hendaklah melaporkan sebarang

bentuk penyelewengan atau salah guna

perkakasan ICT kepada ICTSO;

g. Penyelenggaraan peralatan ICT hanya boleh

dilakukan oleh pegawai atau pihak yang

dibenarkan sahaja; dan

h. Pelupusan peralatan ICT perlu dilakukan secara

terkawal dan lengkap dan mengikut prosedur

pelupusan aset yang dikuatkuasakan. Maklumat

atau kandungan dokumen hendaklah dihapuskan

terlebih dahulu sebelum pelupusan dilakukan.

Sekiranya maklumat perlu disimpan, penduaan

bolehlah dilakukan.

5.3.2 Perisian

Perisian merujuk kepada atur cara/program yang dilaksanakan

oleh sistem komputer. Perisian yang digunakan perlu dilindungi

supaya kebocoran maklumat dan gangguan perkhidmatan dapat

dihindari melalui kaedah seperti berikut:

a. Pengguna dilarang memasukkan perisian yang

tidak sah ke dalam komputer masing-masing.

Sebarang pemasangan perisian yang tidak sah

serta mengakibatkan kerosakan atau kehilangan

data akan dipertanggungjawabkan sepenuhnya

kepada pengguna terbabit.

b. Gunakan antivirus untuk mengimbas perisian

sebelum menggunakannya bagi memastikan



Muka 35 dari 84

TERHAD

perisian bebas dari virus, worm, Trojan dan

sebagainya.

c. Sebarang keperluan bagi memasukkan perisian

yang baru hendaklah dirujuk terlebih dahulu

kepada BPM.

5.3.3 Media Storan

Media storan merupakan tempat penyimpanan maklumat seperti

USB drive, disket, CD, DVD, pita, external hard disk dan

sebagainya. Langkah keselamatan adalah bagi mengelak

maklumat atau data menjadi rosak (corrupted) atau tidak boleh

dibaca. Langkah keselamatan yang perlu diambil ialah seperti

berikut:

a. Dilarang meninggalkan, memberi atau

menyerahkan media storan yang mengandungi

maklumat penting kepada orang lain bagi

mengelakkan berlakunya pembocoran rahsia;

b. Penghapusan kandungan media storan mestilah

mendapat kebenaran pemilik maklumat terlebih

dahulu;

c. Menyediakan ruang penyimpanan yang baik dan

mempunyai ciri-ciri keselamatan seperti kabinet

berkunci;

d. Elakkan media dari debu atau habuk, sinaran

matahari, suhu panas dan cecair bendalir;



Muka 36 dari 84

TERHAD

e. Akses untuk memasuki kawasan penyimpanan

media hendaklah dihadkan kepada pegawai yang

bertanggungjawab atau pengguna yang

dibenarkan sahaja;

f. Tidak dibenarkan menyimpan data-data yang tiada

kena mengena dengan bidang tugas kerja atau

pun yang dilarang oleh pihak Kementerian; dan

g. Media storan yang digunakan hendaklah bebas

daripada serangan virus yang boleh mengganggu

ketidakstabilan sistem komputer dan rangkaian.

Gunakan perisian antivirus untuk mengimbas

media storan sebelum menggunakannya.

5.3.4 Bekalan Kuasa

Bekalan kuasa merupakan punca kuasa elektrik yang dibekalkan

kepada peralatan ICT. Perkara yang perlu dipatuhi bagi

menjamin keselamatan bekalan kuasa adalah seperti berikut:

a. Melindungi semua peralatan ICT dari kegagalan

bekalan elektrik dan menyalurkan bekalan yang

sesuai kepada peralatan ICT;

b. Menggunakan peralatan sokongan seperti UPS

(Uninterruptable Power Supply) dan penjana

(generator) bagi perkhidmatan kritikal seperti di

bilik server supaya mendapat bekalan kuasa

berterusan; dan

c. Menyemak dan menguji semua peralatan

sokongan bekalan kuasa secara berjadual.



Muka 37 dari 84

TERHAD

5.3.5 Kabel

Kabel termasuk kabel elektrik dan telekomunikasi yang

menyalurkan data dan menyokong perkhidmatan penyampaian

maklumat hendaklah dilindungi. Langkah berikut hendaklah

diambil:

a. Menggunakan kabel mengikut standard dan

spesifikasi yang ditetapkan;dan

b. Kabel dan laluan pemasangan kabel sentiasa

dilindungi.

5.3.6 Penyelenggaraan Peralatan

Perkakasan hendaklah disenggarakan dengan betul bagi

memastikan kebolehsediaan, kerahsiaan dan integriti. Langkah-

langkah keselamatan yang perlu diambil termasuklah seperti

berikut:

a. Mematuhi spesifikasi yang ditetapkan oleh

pengeluar bagi semua perkakasan yang

disenggara;

b. Memastikan perkakasan hanya disenggara oleh

staf atau pihak yang dibenarkan sahaja;

c. Menyemak dan menguji semua perkakasan

sebelum dan selepas proses penyenggaraan;

d. Memaklumkan pihak pengguna sebelum

melaksanakan penyenggaraan mengikut jadual

yang ditetapkan atau atas keperluan;



Muka 38 dari 84

TERHAD

e. Bertanggungjawab terhadap setiap perkakasan

bagi penyelenggaraan perkakasan sama ada

dalam tempoh jaminan atau telah habis tempoh

jaminan;

f. Semua penyelenggaraan mestilah mendapat

kebenaran daripada Pengurus ICT/Pentadbir

Sistem.

5.3.7 Peralatan Di Luar Premis

Peralatan dan maklumat yang dibawa keluar dari pejabat

hendaklah mendapat kelulusan pegawai berkaitan dan tertakluk

kepada tujuan yang dibenarkan sahaja. Peralatan dan maklumat

perlu dilindungi dan dikawal sepanjang masa. Memastikan

aktiviti peminjaman dan pemulangan peralatan ICT direkodkan

dan menyemak peralatan yang dipulangkan berada dalam

keadaan baik dan lengkap.

5.3.8 Pengendalian Peralatan Luar Yang Dibawa Masuk

Bagi peralatan yang dibawa masuk ke premis kerajaan, perkara

yang perlu dipatuhi adalah seperti berikut:

a. Memastikan peralatan yang dibawa masuk tidak

mengancam keselamatan ICT KPDNKK;

b. Mendapatkan kelulusan mengikut peraturan yang

telah ditetapkan oleh KPDNKK bagi membawa

masuk/keluar peralatan; dan



Muka 39 dari 84

TERHAD

c. Memeriksa dan memastikan peralatan ICT yang

dibawa keluar tidak mengandungi maklumat

kerajaan. Ia perlu disalin dan dihapuskan.

5.3.9 Pelupusan Peralatan

Pelupusan melibatkan semua peralatan ICT yang telah

rosak, usang dan tidak boleh dibaiki sama ada harta modal

atau inventori yang dibekalkan oleh KPDNKK dan ditempatkan

di KPDNKK. Peralatan ICT yang hendak dilupuskan perlu

melalui prosedur pelupusan semasa. Pelupusan perlu dilakukan

secara terkawal dan lengkap supaya maklumat tidak terlepas

dari kawalan KPDNKK. Perkara-perkara yang perlu dipatuhi

adalah seperti berikut:

a. Semua kandungan peralatan khususnya maklumat

rahsia rasmi hendaklah dihapuskan terlebih dahulu

sebelum pelupusan sama ada melalui shredding,

grinding, degauzing atau pembakaran. Sekiranya

maklumat perlu disimpan, maka pengguna

bolehlah membuat penduaan; dan

b. Peralatan ICT yang akan dilupuskan sebelum

dipindah-milik hendaklah dipastikan data-data

dalam storan telah dihapuskan dengan cara yang

selamat.

Boleh merujuk kepada pekeliling berikut untuk butiran lanjut

mengenai pelupusan aset, “Pekeliling Perbendaharaan Bil. 5

Tahun 2007 Tatacara Pengurusan Aset Alih Kerajaan”.



Muka 40 dari 84

TERHAD

5.4 Keselamatan Dokumen

Keselamatan dokumen adalah bagi memastikan integriti maklumat.

Langkah-langkah berikut hendaklah dipatuhi:

a. Memastikan sistem dokumentasi dan penyimpanan

maklumat adalah selamat dan terjamin. Dokumen tidak

ditinggalkan terdedah, ditinggalkan di tempat yang

mudah dicapai atau ditinggalkan tanpa kawalan;

b. Menggunakan tanda atau label keselamatan seperti

Rahsia Besar, Rahsia, Sulit, Terhad dan Terbuka kepada

dokumen;

c. Penyimpanan dilakukan dalam laci atau kabinet yang

berkunci bagi maklumat yang terperingkat;

d. Memastikan dokumen yang mengandungi maklumat

sensitif diambil segera dari pencetak;

e. Menggunakan kata laluan atau encryption dalam

penyediaan dan penghantaran dokumen sensitif;

f. Menggunakan kemudahan log keluar atau kata laluan

screen saver apabila meninggalkan komputer; dan

g. Salinan cetakan yang mengandungi maklumat penting

atau rahsia hendaklah dihapuskan dengan menggunakan

kaedah yang sesuai seperti menggunakan shredder.



Muka 41 dari 84

TERHAD

5.5 Keselamatan Persekitaran

Kawasan yang mempunyai kemudahan ICT hendaklah dilengkapi

dengan perlindungan keselamatan yang mencukupi dan dibenarkan

seperti alat pencegah kebakaran dan pintu kecemasan.

Peralatan perlindungan hendaklah dipasang di tempat yang sesuai,

mudah dikenali dan dikendalikan. Peralatan hendaklah disenggarakan

dengan baik sekurang-kurangnya 1 kali setahun.

Kecemasan persekitaran seperti kebakaran dan kebocoran air

hendaklah dilaporkan segera kepada pihak yang bertanggungjawab.



Muka 42 dari 84

TERHAD

6.0 PENGURUSAN OPERASI DAN KOMUNIKASI

6.1 Objektif

Memastikan pengurusan operasi dan komunikasi adalah berfungsi

dengan baik dan selamat dari sebarang ancaman atau gangguan.

6.2 Pengurusan Prosedur Operasi

6.2.1 Pengendalian Prosedur Operasi

Pengendalian Prosedur Operasi bertujuan memastikan

perkhidmatan dan pemprosesan maklumat dapat berfungsi

dengan betul dan selamat.

Semua prosedur keselamatan ICT yang diwujudkan, dikenal

pasti dan masih diguna pakai hendaklah didokumenkan,

disimpan dan dikawal.

Setiap prosedur hendaklah mengandungi arahan-arahan yang

jelas, teratur dan lengkap. Semua prosedur hendaklah dikemas

kini dari masa ke semasa mengikut keperluan.

6.2.2 Kawalan Perubahan

Pengubahsuaian mestilah mendapat kebenaran pihak

pengurusan atau pemilik aset ICT terlebih dahulu.

Aktiviti-aktiviti seperti pemasangan, penyelenggaraan,

mengemas kini komponen aset dan sistem ICT hendaklah

dikendalikan oleh pihak atau pegawai yang diberi kuasa dan



Muka 43 dari 84

TERHAD

mempunyai pengetahuan dan kemahiran atau terlibat secara

langsung dengan aset ICT berkenaan.

Aktiviti perubahan atau pengubahsuaian hendaklah mematuhi

spesifikasi atau kriteria yang ditetapkan dan hendaklah

direkodkan serta dikawal bagi mengelakkan berlakunya ralat.

6.2.3 Pengasingan Tugas dan Tanggungjawab

Perkara-perkara yang perlu dipatuhi adalah seperti berikut:

a. Skop tugas dan tanggungjawab perlu diasingkan

bagi mengurangkan peluang berlaku

penyalahgunaan atau pengubahsuaian yang tidak

dibenarkan ke atas aset ICT;

b. Tugas mewujud, memadam, mengemas kini,

mengubah dan mengesahkan data hendaklah

diasingkan bagi mengelakkan daripada capaian

yang tidak dibenarkan serta melindungi aset ICT

daripada kesilapan, kebocoran maklumat

terperingkat atau dimanipulasi; dan

c. Sistem yang digunakan bagi tugas membangun,

mengemas kini, menyenggara dan menguji aplikasi

hendaklah diasingkan dari sistem yang digunakan

sebagai production.

6.3 Pengurusan Penyampaian Perkhidmatan Pihak Ketiga

Perkara-perkara yang mesti dipatuhi adalah seperti berikut:



Muka 44 dari 84

TERHAD

a. Memastikan kawalan keselamatan, definisi

perkhidmatan dan tahap penyampaian yang

terkandung dalam perjanjian dipatuhi, dilaksanakan

dan diselenggarakan oleh pihak ketiga;

b. Perkhidmatan, laporan dan rekod yang

dikemukakan oleh pihak ketiga perlu sentiasa

dipantau, disemak semula dan diaudit dari semasa

ke semasa; dan

c. Pengurusan perubahan dasar perlu mengambil kira

tahap kritikal sistem dan proses yang terlibat serta

penilaian semula risiko.

6.4 Perancangan dan Penerimaan Sistem

Meminimumkan risiko yang menyebabkan gangguan atau kegagalan

sistem. Perkara-perkara yang mesti dipatuhi termasuk yang berikut:

a. Kapasiti sesuatu komponen atau sistem ICT

hendaklah dirancang, diurus dan dikawal dengan teliti

oleh pegawai yang berkenaan bagi memastikan

keperluannya adalah mencukupi dan bersesuaian untuk

pembangunan dan kegunaan sistem ICT pada masa akan

datang;

b. Penggunaan peralatan dan sistem mestilah dipantau dan

perancangan perlu dibuat bagi memenuhi keperluan

kapasiti di masa akan datang untuk memastikan prestasi

sistem di tahap optimum;



Muka 45 dari 84

TERHAD

c. Kriteria penerimaan untuk peralatan dan sistem baru,

peningkatan dan versi baru perlu ditetapkan dan ujian

yang sesuai ke atasnya perlu dibuat semasa

pembangunan dan sebelum penerimaan sistem; dan

d. Semua sistem baru (termasuklah sistem yang

dikemas kini atau diubahsuai) hendaklah memenuhi

kriteria yang ditetapkan sebelum diterima atau

dipersetujui.

6.5 Perlindungan Dari Malicious Code

Perlindungan bertujuan melindungi integriti perisian dan maklumat dari

pendedahan atau kerosakan yang disebabkan oleh kod jahat atau

program merbahaya seperti virus dan Trojan. Langkah keselamatan

adalah seperti:

a. Memasang perisian antivirus dan Intrusion Prevention

System (IPS) bagi mengesan dan menghalang

kemasukannya;

b. Mengemas kini pattern perisian antivirus;

c. Menghadiri program kesedaran mengenai ancaman kod

jahat atau program merbahaya;

d. Memberi amaran mengenai ancaman keselamatan ICT

seperti serangan virus;

e. Memasukkan klausa tanggungan di dalam kontrak

dengan pembekal perisian. Klausa bertujuan untuk

tuntutan baik pulih sekiranya perisian mengandungi

program merbahaya; dan



Muka 46 dari 84

TERHAD

f. Dalam keadaan di mana mobile code dibenarkan,

konfigurasinya hendaklah memastikan bahawa ianya

beroperasi berdasarkan kepada dasar keselamatan yang

jelas dan penggunaan mobile code yang tidak dibenarkan

adalah dilarang sama sekali. Penggunaan mobile

code yang boleh mendatangkan ancaman keselamatan

ICT adalah tidak dibenarkan.

6.6 Backup

Penduaan dari server atau komputer ke media storan lain perlu

dilakukan dari masa ke semasa untuk mengelak kehilangan data

sekiranya berlaku kerosakan hard disk.

Kekerapan penduaan data bergantung kepada keperluan operasi dan

kepentingan data tersebut samada perlu kepada harian, mingguan atau

pun bulanan.

Penduaan sistem aplikasi dan sistem pengoperasian perlu diadakan

sekurang-kurangnya sekali bagi setiap versi. Penduaan yang

melibatkan saiz data yang besar hendaklah dibuat di sebelah malam

untuk mengelakkan kesesakan rangkaian serta mengganggu prestasi

server.

Penduaan data yang penting dan kritikal dicadangkan dibuat dua (2)

salinan dan setiap satu disimpan di lokasi offsite yang berasingan bagi

mengelakkan kemusnahan atau kerosakan fizikal disebabkan oleh

bencana seperti kebakaran, banjir atau sebagainya.

Sistem penduaan sedia ada hendaklah diuji sekurang-kurangnya

setahun sekali bagi memastikan ianya dapat berfungsi, boleh



Muka 47 dari 84

TERHAD

dipercayai dan berkesan apabila digunakan (restoration) khususnya

pada waktu kecemasan.

Faktor ketahanan dan jangka hayat media storan perlu di ambil kira

dalam melakukan penduaan serta merancang penyalinan semula

kepada media storan yang baru.

6.7 Pengurusan Rangkaian

6.7.1 Keselamatan Pusat Data

Untuk memastikan server sentiasa selamat dari pencerobohan

atau gangguan beberapa langkah boleh diambil seperti:

a. Semua server hendaklah diletakkan di pusat data atau

bilik khas yang mempunyai sistem keselamatan yang

baik. Pintu bilik hendaklah sentiasa tertutup dan berkunci;

b. Sistem penghawa dingin hendaklah dihidupkan 24 jam

sehari. Suhu persekitaran hendaklah berada di dalam

lingkungan 20 – 25 darjah Celsius dan kelembapan di

paras 50.7%;

c. Kesemua peralatan komputer di bilik server hendaklah

dilengkapi dengan kemudahan UPS atau Generator;

d. Alat pemadam api hendaklah diletakkan di tempat yang

mudah dilihat, tidak terhalang oleh sesuatu, mudah

dicapai, tidak melepasi tarikh luput serta diselenggarakan

dengan baik;

e. Hanya pegawai atau pegawai yang dibenarkan sahaja

yang boleh memasuki pusat data;



Muka 48 dari 84

TERHAD

f. Kontraktor/vendor dibenarkan memasuki pusat data

dengan diiringi oleh seorang pegawai/pegawai BPM dan

hendaklah mendaftar di buku log yang disediakan; dan

g. Setiap server hendaklah dilabelkan bagi memudahkan

pentadbir sistem menjalankan tugas.

6.7.2 Pengurusan Komunikasi

Komunikasi adalah merujuk kepada penghantaran dan

penerimaan maklumat dari satu media ke satu media yang lain

yang dirangkaikan secara fizikal (berwayar) atau wireless (tanpa

wayar). Contoh rangkaian komunikasi ialah Intranet dan Internet.

Pergerakan maklumat dalam rangkaian adalah menggunakan

kemudahan aplikasi seperti mel elektronik, ftp dan pelayar

(browser).

Kawalan ke atas infrastruktur rangkaian dan peralatan rangkaian

seperti switch, router, bridge, peralatan PABX dan sebagainya

adalah amat penting bagi menjaga kerahsiaan dan integriti

maklumat yang dihantar dan diterima.

6.7.3 Keselamatan Peralatan Komunikasi

Pengguna dilarang menggunakan telefon, telefon bimbit

termasuk yang berkamera atau lain-lain peralatan alat

komunikasi ICT tanpa kebenaran untuk menyalin, merakam,

menyimpan, menyiar, menyebar atau menyampaikan maklumat

terperingkat atau maklumat rahsia rasmi.



Muka 49 dari 84

TERHAD

6.7.4 Keselamatan Rangkaian

Infrastruktur rangkaian mesti dikawal dan diurus dengan baik

bagi melindungi aset ICT dan aplikasi ICT di dalam rangkaian.

Langkah-langkah keselamatan rangkaian adalah seperti berikut:

a. Hanya warga KPDNKK sahaja yang dibenarkan

menggunakan rangkaian KPDNKK. Pengguna luar yang

hendak menggunakan kemudahan rangkaian KPDNKK

hendaklah dengan kebenaran BPM;

b. Tanggungjawab atau kerja-kerja operasi rangkaian

KPDNKK adalah diasingkan untuk mengurangkan

capaian dan pengubahsuaian yang tidak dibenarkan;

c. Peralatan rangkaian hendaklah ditempatkan di lokasi

yang mempunyai ciri-ciri fizikal yang kukuh, selamat dan

bebas dari risiko seperti banjir, kilat, gegaran, habuk dan

sebagainya;

d. Peralatan rangkaian hendaklah dikawal dan hanya boleh

dicapai oleh pegawai yang dibenarkan sahaja;

e. Konfigurasi peralatan rangkaian hendaklah mengaktifkan

perkhidmatan atau nombor port yang diperlukan sahaja,

mematikan penyiaran trafik (network broadcast),

menggunakan kata laluan yang selamat, dan

dilaksanakan oleh pegawai yang terlatih dan dibenarkan

sahaja;

f. Semua trafik rangkaian daripada dalam dan ke luar

Kementerian dan sebaliknya mestilah melalui firewall dan

hanya trafik yang disahkan sahaja dibenarkan untuk

melepasinya;



Muka 50 dari 84

TERHAD

g. Semua permohonan baru untuk mendapat sambungan

rangkaian mestilah melalui pentadbir rangkaian.

h. Pengguna adalah dilarang untuk menukar atau

meletakkan alamat IP di dalam komputer masing-masing

tanpa kebenaran;

i. Sebarang permohonan untuk menggunakan statik IP

hendaklah melalui pentadbir rangkaian;

j. Kemudahan dial-up hanya dibenarkan untuk tujuan rasmi

dan permohonan dibuat melalui pentadbir rangkaian.

Pengguna yang menggunakan kemudahan dial-up

hendaklah mengimbas keseluruhan komputer dahulu

sebelum membuat penyambungan semula ke rangkaian

KPDNKK;

k. Perkakasan keselamatan hendaklah dipasang bagi

menghalang pencerobohan dan aktiviti-aktiviti lain yang

boleh mengancam sistem dan rangkaian KPDNKK; dan

l. Perisian penganalisis rangkaian (network analyzer) atau

pengintip (sniffer) adalah dilarang dipasang pada

komputer pengguna kecuali mendapat kebenaran

ICTSO.

Ciri-ciri keselamatan dan keperluan pengurusan bagi semua

servis rangkaian perlu dikenalpasti dan dinyatakan dalam

perjanjian yang melibatkan servis rangkaian.



Muka 51 dari 84

TERHAD

6.7.5 Keselamatan Rangkaian Tanpa Wayar ( Wireless)

Penggunaan rangkaian tanpa wayar perlu dikawal bagi

memastikan keselamatan data dan maklumat Kerajaan sentiasa

terpelihara. Langkah-langkah keselamatan yang perlu diambil

untuk pemasangan rangkaian tanpa wayar adalah seperti

berikut :

a. Pemasangan rangkaian tanpa wayar perlu mendapat

kelulusan ICTSO;

b. Memasang peralatan keselamatan tambahan seperti

firewall dan content filtering bagi memastikan

rangkaian tidak dicerobohi; dan

c. Menggunakan enkripsi dan network key yang kukuh

dengan kombinasi pelbagai aksara, nombor dan

aksara khas.

Maklumat lanjut mengenai keselamatan rangkaian tanpa wayar

boleh dirujuk di dalam Malaysia Public Sector Management of

ICT Security Handbook (MyMIS) dan Surat Ketua Setiausaha

Negara bertarikh 20 Oktober 2006 “Langkah-langkah untuk

memperkukuhkan keselamatan rangkaian setempat tanpa wayar

(Wireless Local Area Network) di Aagensi-agensi Kerajaan”.

6.7.6 Keselamatan Internet

Pengguna hendaklah menggunakan kemudahan Internet

dengan cara yang bertanggungjawab. Langkah-langkah

keselamatan Internet adalah seperti berikut:



Muka 52 dari 84

TERHAD

a. Bahan yang diperoleh dari Internet hendaklah ditentukan

ketepatan dan kesahihannya; Laman web yang dilayari

hendaklah hanya yang berkaitan dengan bidang kerja

dan terhad untuk tujuan yang dibenarkan;

b. Sebarang bahan yang dimuat turun dari Internet

hendaklah digunakan untuk tujuan yang dibenarkan oleh

Kementerian;

c. Pengguna dilarang menyedia, memuat naik, memuat

turun, menyimpan, mengguna dan menyebar maklumat

atau bahan yang mempunyai unsur-unsur perjudian,

keganasan, pornografi, fitnah, hasutan, perkara yang

bercorak penentangan yang boleh membawa keadaan

huru-hara serta maklumat yang menyalahi undang-

undang;

d. Capaian laman yang berbentuk hiburan, hobi atau leisure

seperti radio online, tv online, video streaming, aktiviti

chatting yang membebankan rangkaian tidak dibenarkan

kerana akan mengganggu prestasi rangkaian;

e. Sebarang aktiviti memuat turun fail yang mempunyai

virus, spyware, worm, dan sebagainya yang boleh

mengancam keselamatan komputer dan rangkaian

adalah dilarang sama sekali; dan

f. Pentadbir sistem berhak menapis, menghalang dan

mencegah penggunaan mana-mana laman web yang

dianggap tidak sesuai.



Muka 53 dari 84

TERHAD

g. Permohonan untuk mengakses laman web yang disekat

pada waktu pejabat adalah perlu mendapat kelulusan

CIO.

Maklumat lanjut mengenai keselamatan Internet boleh dirujuk

kepada Pekeliling Kemajuan Pentadbiran Am Bil. 1 Tahun 2003

Garis Panduan Mengenai Tatacara Penggunaan Internet dan

Mel Elektronik di Agensi-agensi Kerajaan.

6.7.7 Keselamatan Laman Web dan Intranet Kementerian

Semua maklumat rasmi yang hendak dimuatkan di laman web

Kementerian hendaklah mendapat kelulusan pihak pengurusan.

Pautan ke laman web Kementerian atau sebaliknya oleh syarikat

atau agensi luar hendaklah dengan kebenaran ICTSO dan CIO.

Pencerobohan atau cubaan untuk menggodam laman web

Kementerian atau mana-mana laman web adalah dilarang.

6.7.8 Keselamatan Media Sosial

a. Pentadbir akaun media sosial Kementerian perlulah

daripada pegawai tetap Kementerian dari BPM atau UKK.

b. Kandungan media sosial mestilah tidak bercanggah

dengan Dasar Kerajaan.

c. Pengguna dilarang untuk membuat capaian kepada media social peribadi pada waktu bekerja.

Maklumat lanjut mengenai keselamatan media sosial boleh dirujuk kepada Polisi Penggunaan Media Sosial KPDNKK.



Muka 54 dari 84

TERHAD

6.8 Pengurusan Media

Melindungi aset ICT dari sebarang pendedahan, pengubahsuaian,

pemindahan atau pemusnahan serta gangguan ke atas aktiviti

perkhidmatan. Penghantaran atau pemindahan media ke luar pejabat

hendaklah mendapat kebenaran daripada pemilik terlebih dahulu.

6.8.1 Pengendalian Media Boleh Ubah

Prosedur bagi pengurusan pengendalian media boleh ubah

perlu diwujudkan. Perkara-perkara yang perlu dipatuhi adalah

seperti berikut:

a. Melabelkan semua media mengikut tahap sensitiviti

sesuatu maklumat;

b. Menghadkan dan menentukan capaian media kepada

pengguna yang dibenarkan sahaja;

c. Menghadkan pengedaran data atau media untuk tujuan


d. Mengawal dan merekodkan aktiviti penyelenggaraan

media bagi mengelak dari sebarang kerosakan dan

pendedahan yang tidak dibenarkan;

e. Menyimpan semua media di tempat yang selamat; dan

f. Media yang mengandungi maklumat terperingkat yang

hendak dihapuskan, dimusnahkan atau dilupuskan mesti

mengikut prosedur yang betul dan selamat.



Muka 55 dari 84

TERHAD

g. Prosedur pengendalian dan penyimpanan maklumat

perlu diwujudkan utuk melindungi maklumat daripada

keterdedahan dan penyalahgunaan

Boleh merujuk kepada pekeliling berikut untuk butiran lanjut

mengenai pengurusan aset, “Pekeliling Perbendaharaan Bil. 5

Tahun 2007 Tatacara Pengurusan Aset Alih Kerajaan” dan

Arahan Keselamatan, di bab Keselamatan Dokumen bagi

butiran lanjut mengenai prosedur pengendalian dan

penyimpanan maklumat.

6.8.2 Keselamatan Sistem Dokumentasi

Dokumentasi sistem perlu dilindungi dari capaian yang

dibenarkan. Langkah- langkah pengurusan dokumentasi yang

baik dan selamat perlu dilaksanakan bagi memastikan integriti

maklumat.

Perkara yang perlu dipatuhi adalah seperti berikut:

a. Memastikan sistem dokumentasi atau penyimpanan

maklumat adalah selamat dan terjamin;

b. Menggunakan tanda atau label keselamatan seperti

rahsia besar, rahsia, sulit atau terhad pada dokumen;

c. Mewujudkan sistem pengurusan dokumen terperingkat

bagi menerima, memproses, menyimpan dan

menghantar dokumen-dokumen tersebut supaya ianya

diuruskan berasingan daripada dokumen-dokumen tidak

terperingkat;



Muka 56 dari 84

TERHAD

d. Menggunakan enkripsi (encryption) ke atas dokumen

terperingkat yang disediakan dan dihantar secara

elektronik; dan

e. Mengawal dan merekodkan semua aktiviti capaian sistem

dokumentasi sedia ada.

6.9 Pengurusan Pertukaran Maklumat


a. Prosedur dan kawalan pertukaran maklumat yang formal

perlu diwujudkan untuk melindungi pertukaran maklumat;

b. Perjanjian perlu diwujudkan untuk pertukaran maklumat

dan perisian di antara KPDNKK dengan agensi luar;

c. Media yang mengandungi maklumat perlu dilindungi

daripada capaian yang tidak dibenarkan, penyalahgunaan

atau kerosakan semasa pemindahan keluar dari

KPDNKK,

d. Maklumat yang terdapat dalam mel elektronik perlu

dilindungi sebaik-baiknya; dan

e. Maklumat yang berkaitan dengan sistem informasi

perniagaan juga perlu dilindungi.

6.9.1 Keselamatan Mel Elektronik

Akaun e-mel bukanlah hak mutlak seseorang. Ia merupakan

kemudahan yang tertakluk kepada peraturan kementerian dan

boleh ditarik balik jika penggunaannya melanggar peraturan.



Muka 57 dari 84

TERHAD

Kandungan dan penyelenggaraan mailbox pada komputer

peribadi adalah menjadi tanggungjawab pengguna. Langkah-

langkah keselamatan bagi penggunaan e-mel adalah seperti

berikut:

a. Penghantaran e-mel rasmi hendaklah menggunakan

akaun e-mel rasmi yang diperuntukkan oleh kementerian.

E-mel persendirian (seperti yahoo, gmail, hotmail dan

sebagainya) tidak boleh digunakan untuk tujuan rasmi;

b. Alamat e-mel penerima hendaklah dipastikan betul;

c. Pengguna hendaklah mengenal pasti dan mengesahkan

identiti pengguna yang berkomunikasi dengannya

sebelum meneruskan transaksi maklumat melalui e-mel;

d. Pengguna hendaklah memastikan tarikh dan masa

sistem komputer adalah tepat;

e. Penyimpanan salinan e-mel pada sumber storan kedua

adalah digalakkan bagi tujuan keselamatan;

f. Pengguna hendaklah mengelak dari membuka e-mel dari

penghantar yang tidak dikenali atau diragui;

g. Pengguna adalah dilarang melakukan pencerobohan ke

atas akaun pengguna lain, menggunakan akaun orang

lain, berkongsi akaun atau memberi akaun kepada orang

lain;

h. Aktiviti spamming, mail-bombing, penyebaran virus,

bahan-bahan negatif, bahan yang menyalahi undang-

undang, tidak beretika, surat berantai, maklumat berbau

politik, hasutan atau perkauman atau apa-apa maklumat



Muka 58 dari 84

TERHAD

yang menjejaskan reputasi jabatan dan perkhidmatan

awam adalah dilarang;

i. Penggunaan kemudahan e-mel group seperti

[email protected] dan lain-lain hendaklah dengan

cara yang beretika dan benar-benar perlu sahaja bagi

mengelakkan bebanan ke atas sistem e-mel

kementerian. Penghantaran e-mel yang berulang-ulang

juga adalah dilarang;

j. Pentadbir sistem berhak memasang sebarang jenis

perisian antivirus atau perkakasan penapisan e-mel yang

difikirkan sesuai bagi mencegah, menapis atau menyekat

mana-mana e-mel diterima atau dikirim yang

mengandungi virus atau berunsur spamming;

k. Pentadbir sistem boleh memeriksa, memantau dan

melihat isi kandungan e-mel dan ruang storan pengguna

e-mel serta e-sms jika perlu (seperti atas keperluan audit

dan keselamatan) tanpa mendapat kebenaran pengguna;

l. Pentadbir sistem boleh memberi peringatan atau amaran

kepada pengguna sekiranya didapati terdapat aktiviti

yang mengancam sistem e-mel Kementerian; dan

m. Semua lampiran menggunakan format .exe, .com dan

.bat tidak dibenarkan kerana format ini berisiko

membawa dan menyebarkan virus. Pentadbir e-mel

berhak menapis sebarang penghantaran serta

penerimaan kandungan e-mel yang berisiko dari masa ke

semasa.



Muka 59 dari 84

TERHAD

Maklumat lanjut mengenai keselamatan e-mel boleh dirujuk kepada:

a. Pekeliling Kemajuan Pentadbiran Am Bil. 1 Tahun 2003

Garis Panduan Mengenai Tatacara Penggunaan

Internet dan Mel Elektronik di Agensi-agensi Kerajaan;

b. Surat arahan Ketua Pengarah MAMPU bertarikh 1 Jun

2007 bertajuk “Langkah-langkah Mengenai Penggunaan

Mel Elektronik di agensi-agensi Kerajaan.”

6.10 Pemantauan

Memastikan pengesahan aktiviti pemprosesan maklumat yang tidak

dibenarkan. Perkara yang perlu dipatuhi adalah seperti berikut:

a. Mewujudkan sistem log bagi merekodkan semua aktiviti

harian pengguna dan disimpan untuk tempoh masa yang

dipersetujui bagi membantu siasatan dan memantau

kawalan capaian;

b. Menyemak sistem log secara berkala bagi mengesan

ralat yang menyebabkan gangguan kepada sistem dan

mengambil tindakan membaik pulih dengan segera;

c. Maklumat log dan kemudahan log perlu dilindungi

daripada sebarang pencerobohan dan pindaan;

d. Aktiviti yang dijalankan oleh pegawai yang menguruskan

sistem perlu dilogkan;

e. Sekiranya wujud aktiviti-aktiviti tidak sah seperti kecurian

maklumat dan pencerobohan hendaklah dilaporkan

kepada ICTSO;



Muka 60 dari 84

TERHAD

f. Waktu yang berkaitan dengan sistem pemprosesan

maklumat dalam KPDNKK atau domain keselamatan

perlu diselaraskan dengan satu sumber waktu yang

dipersetujui; dan

7.0 KAWALAN CAPAIAN

7.1 Objektif

Kawalan capaian pengguna bertujuan mengawal capaian pengguna ke

atas aset ICT KPDNKK dan melindunginya dari sebarang bentuk

capaian yang tidak dibenarkan yang boleh menyebabkan kerosakan.

7.2 Dasar Kawalan Capaian

Mengawal capaian ke atas maklumat, kemudahan proses maklumat

dan proses urus niaga berdasarkan keperluan urus niaga dan

keperluan keselamatan. Peraturan kawalan capaian hendaklah

mengambil kira faktor identification, authentication dan authorization.

7.3 Pengurusan Capaian Pengguna

7.3.1 Akaun Pengguna

Memastikan sistem maklumat dicapai oleh pengguna yang sah

dan menghalang capaian yang tidak sah.

Prosedur pendaftaran dan pembatalan kebenaran capaian

pengguna perlu diwujudkan dan didokumenkan



Muka 61 dari 84

TERHAD

Pemilikan akaun pengguna bukanlah hak mutlak seseorang. Ia

merupakan kemudahan yang tertakluk kepada peraturan

kementerian dan boleh ditarik balik jika penggunaannya

melanggar peraturan. Langkah-langkah berikut hendaklah

dipatuhi:

a. Jangan dedahkan kata laluan. Pengguna hendaklah

merahsiakan kata laluan dari pengetahuan orang lain;

b. Pengguna diminta menukar kata laluan setiap satu tahun

sekali bagi mengelak akaun mudah dicerobohi;

c. Pengguna hendaklah menggunakan kata laluan yang

sukar diteka, sekurang-kurangnya lapan (8) aksara

dengan gabungan alphanumeric dan simbol khas;

d. Pengguna adalah dilarang melakukan pencerobohan ke

atas akaun pengguna lain. Perkongsian akaun juga

adalah dilarang; dan

e. Pentadbir sistem/e-mel boleh membeku atau

menamatkan akaun pengguna yang telah tamat

perkhidmatan, bertukar atau bercuti/berkursus panjang

selepas 1 hari bekerja.

Penggunaan akaun khas mesti dihadkan untuk pengguna khas

sahaja berdasarkan kepada keperluan penggunaan dan perlu

mendapat kelulusan dari Ketua Jabatan. Rekod bagi setiap

akaun khas yang diwujudkan mesti disimpan, dikaji dan

diselanggara.

Pemberian kata laluan perlu dikawal melalui satu proses

pengurusan yang formal.



Muka 62 dari 84

TERHAD

Semakan kepada kebenaran capaian pengguna mesti dikaji

setiap tahun.

7.3.2 Clear Screen and Clear Desk Policy

Polisi Clear Desk dan Clear Screen perlu dipatuhi supaya

maklumat dalam apa jua bentuk media hendaklah disimpan

dengan teratur dan selamat bagi mengelakkan kerosakan,

kecurian atau kehilangan.

Memastikan peralatan pengguna yang tidak digunakan

mempunyai perlindungan keselamatan yang secukupnya.


a. Mengaktifkan lock screen apabila meninggalkan

komputer;

b. Menyimpan bahan-bahan sensitif di dalam laci atau

kabinet fail yang berkunci; dan

c. Memastikan semua dokumen diambil segera dari

pencetak, pengimbas, mesin faksimili dan mesin fotostat.

7.4 Kawalan Capaian Rangkaian

Menghalang capaian tidak sah dan tanpa kebenaran ke atas rangkaian

KPDNKK. Kawalan capaian perkhidmatan rangkaian hendaklah dijamin

selamat dengan:



Muka 63 dari 84

TERHAD

a. Mewujudkan dan menguatkuasakan mekanisme untuk

pengesahan pengguna dan peralatan yang menepati

kesesuaian penggunaannya.


a. Memastikan pengguna boleh mencapai perkhidmatan


b. Memastikan proses pengesahan pengguna remote

digunakan untuk mengawal capaian logikal;

c. Pengenalan peralatan secara automatik perlu

dipertimbangkan sekira perlu sebagai satu kaedah untuk

pengesahan capaian daripada lokasi dan peralatan

tertentu;

d. Mengawal capaian fizikal dan logikal ke atas kemudahan

port diagnostik dan konfigurasi jarak jauh;

e. Mengasingkan capaian mengikut kumpulan

perkhidmatan, maklumat pengguna dan sistem maklumat

dalam rangkaian;

f. Mengawal sambungan ke rangkaian, khususnya bagi

kemudahan yang dikongsi dan menjangkau sempadan

KPDNKK; dan

g. Mewujud dan melaksana kawalan pengalihan laluan

(routing control) untuk memastikan pematuhan ke atas

peraturan KPDNKK.



Muka 64 dari 84

TERHAD

7.5 Kawalan Capaian Sistem Operasi

Memastikan bahawa capaian ke atas sistem operasi dikawal dan

dihadkan kepada pengguna yang dibenarkan sahaja. Kaedah yang

digunakan hendaklah menyokong perkara-perkara berikut:

a. Mengesahkan pengguna yang dibenarkan selaras

dengan peraturan KPDNKK;

b. Mewujudkan audit trail ke atas semua capaian sistem

operasi terutama pengguna bertaraf khas (super user);

c. Menjana amaran (alert) sekiranya berlaku pelanggaran ke

atas peraturan keselamatan sistem;

d. Menyedia kaedah sesuai untuk pengesahan capaian

(authentication); dan

e. Menghadkan tempoh penggunaan mengikut kesesuaian.


a. Mengawal capaian ke atas sistem pengoperasian

menggunakan prosedur log on yang terjamin;

b. Mewujudkan satu pengenalan diri (ID) yang unik

untuk setiap pengguna dan hanya digunakan oleh

pengguna berkenaan sahaja;

c. Sistem pengurusan kata laluan perlu interaktif dan

mampu mengekalkan kualiti kata laluan;

d. Mengehadkan dan mengawal penggunaan program;

e. Session time out perlu diaktifkan bagi satu tempoh yang

ditetapkan; dan



Muka 65 dari 84

TERHAD

f. Mengehadkan tempoh sambungan ke sesebuah

aplikasi berisiko tinggi.

7.6 Kawalan Capaian Sistem Dan Aplikasi

Capaian terhadap sistem/aplikasi adalah terhad kepada pengguna dan

tujuan yang dibenarkan. Bagi memastikan kawalan capaian sistem

maklumat dan aplikasi adalah kukuh, langkah-langkah berikut

hendaklah dipatuhi:

a. Pengguna hanya boleh menggunakan sistem maklumat

dan aplikasi mengikut tahap capaian yang dibenarkan

dan sensitiviti maklumat yang telah ditentukan;

b. Memaparkan notis amaran pada skrin pengguna sebelum

pengguna memulakan capaian bagi melindungi maklumat

dari sebarang bentuk penyalahgunaan;

c. Menghadkan capaian kepada 3 kali percubaan.

Sekiranya gagal, akaun atau kata laluan pengguna akan

disekat;

d. Memastikan kawalan sistem rangkaian adalah kukuh dan

lengkap dengan ciri-ciri keselamatan bagi mengelak

aktiviti dan capaian yang tidak sah; dan

e. Sistem yang sensitif perlu diasingkan .

7.7 Peralatan Mudah Alih

Memastikan keselamatan maklumat semasa menggunakan peralatan

mudah alih. Perkara yang perlu dipatuhi adalah seperti berikut:



Muka 66 dari 84

TERHAD

a. Mewujudkan peraturan dan garis panduan keselamatan

yang bersesuaian untuk melindungi dari risiko

penggunaan peralatan mudah alih dan kemudahan

komunikasi;

b. Pengguna bertanggungjawab menentukan maklumat

berperingkat dan ia perlu melalui proses encryption

yang dibenarkan sebelum dihantar atau disalurkan ke

dalam sistem rangkaian yang tidak selamat (seperti

Internet, Mobil-GSM, Infrared, Bluetooth, WAP, 3G dan

sebagainya); dan

c. Mewujudkan peraturan dan garis panduan bagi aktiviti

teleworking dengan mengambil kira kawalan

keselamatan dan polisi keselamatan KPDNKK.



Muka 67 dari 84

TERHAD

8.0 PEMBANGUNAN DAN PENYELENGGARAAN SISTEM

8.1 Objektif

Memastikan aspek keselamatan dikenalpasti dan diambil kira dalam

semua sistem maklumat termasuk sistem pengoperasian, infrastruktur,

sistem aplikasi dan perisian. Aspek keselamatan ini mesti dikenal pasti,

dijustifikasi, dipersetujui dan didokumentasikan sebelum sesuatu

sistem maklumat direkabentuk dan dilaksanakan.

8.2 Keperluan Keselamatan Sistem Maklumat

a. Perolehan, pembangunan, penambahbaikan dan

penyelenggaraan sistem hendaklah mengambil kira

kawalan keselamatan bagi memastikan tidak wujudnya

sebarang ralat yang boleh mengganggu pemprosesan

dan ketepatan maklumat;

b. Ujian keselamatan hendaklah dijalankan ke atas sistem

input untuk menyemak pengesahan dan integriti data

yang dimasukkan, sistem pemprosesan untuk

menentukan sama ada program berjalan dengan betul

dan sempurna dan; sistem output untuk memastikan

data yang telah diproses adalah tepat;

c. Aplikasi perlu mengandungi semakan pengesahan

(validation) untuk mengelakkan sebarang kerosakan

maklumat akibat kesilapan pemprosesan atau perlakuan

yang disengajakan; dan

d. Semua sistem yang dibangunkan sama ada secara

dalaman atau sebaliknya hendaklah diuji terlebih dahulu



Muka 68 dari 84

TERHAD

bagi memastikan sistem berkenaan memenuhi

keperluan keselamatan yang telah ditetapkan sebelum

digunakan.

8.3 Encryption

Pengguna hendaklah membuat encryption ke atas maklumat sensitif

atau terperingkat. Penggunaan teknologi encryption bergantung

kepada kelulusan ICTSO dan CIO serta tertakluk kepada kesediaan

peruntukan. Langkah-langkah berikut perlu dipatuhi:

a. Pengguna yang terlibat dalam menguruskan transaksi

maklumat penting secara elektronik hendaklah

menggunakan tandatangan digital yang dikeluarkan oleh

Pihak Berkuasa Persijilan (Certification Authority) yang

ditauliahkan oleh Kerajaan Malaysia.

b. Pengurusan ke atas PKI hendaklah dilakukan dengan

berkesan dan selamat bagi melindungi kunci

berkenaan dari diubah, dimusnah dan didedahkan

sepanjang tempoh sah kunci tersebut.

8.4 Kawalan Fail Sistem


a. Proses pengemaskinian fail sistem hanya boleh

dilakukan oleh Pentadbir Sistem ICT atau pegawai

yang berkenaan;

b. Kod atau atur cara sistem yang telah dikemas kini

hanya boleh dilaksanakan atau digunakan selepas diuji;



Muka 69 dari 84

TERHAD

c. Mengawal capaian ke atas kod atau atur cara

program bagi mengelakkan kerosakan,

pengubahsuaian tanpa kebenaran, penghapusan dan

kecurian;

d. Data ujian perlu dipilih dengan berhati-hati, dilindungi

dan dikawal;dan

e. Mengaktifkan audit log bagi merekodkan semua

aktiviti pengemaskinian untuk tujuan statistik,

pemulihan dan keselamatan.

8.5 Prosedur Kawalan Perubahan


a. Mewujudkan peraturan dan garis panduan keselamatan

yang bersesuaian untuk mengawal pelaksanaan

perubahan;

b. Perubahan atau pengubahsuaian ke atas sistem

maklumat dan aplikasi hendaklah dikawal, diuji,

direkodkan dan disahkan sebelum diguna pakai;

c. Aplikasi kritikal perlu dikaji semula dan diuji apabila

terdapat perubahan kepada sistem pengoperasian untuk

memastikan tiada kesan yang buruk terhadap operasi

dan keselamatan agensi, Individu atau suatu

kumpulan tertentu perlu bertanggungjawab memantau

penambahbaikan dan pembetulan yang dilakukan oleh

vendor;



Muka 70 dari 84

TERHAD

d. Mengawal perubahan dan/atau pindaan ke atas pakej

perisian dan memastikan sebarang perubahan adalah

terhad mengikut keperluan sahaja; dan

e. Menghalang sebarang peluang untuk membocorkan

maklumat.

8.6 Pihak Ketiga Dan Kontrak Perjanjian

Pembangunan perisian secara outsource perlu diselia dan dipantau

oleh pemilik sistem. Bagi sistem aplikasi yang dibangunkan oleh

pembekal, klausa mengenai pemindahan Teknologi (Transfer Of

Technology), tempoh jaminan, kod sumber (source code) sebagai Hak

Milik Kerajaan Malaysia hendaklah dinyatakan dengan jelas dalam

dokumen kontrak perjanjian.

8.6.1 Dasar Pelaksanaan

a. Semua kontraktor yang melaksanakan kerja Outsourcing

dimestikan lulus dan melepasi tapisan keselamatan.

Maklumat berperingkat hendaklah dimaklumkan secara

need to know basis.

b. Kontraktor perlu menandatangani Surat Perakuan Akta

Rasmi 1972

c. Antara butir-butir yang perlu dinyatakan di dalam

kontrak outsourcing adalah:

i. Kesahihan dan kerahsiaan logikal organisasi

mesti dipelihara;

ii. Pegawai kerajaan mesti membuat pengauditan



Muka 71 dari 84

TERHAD

terhadap sistem yang di outsource; dan

iii. Mesti menyatakan faktor keselamatan secara

terperinci pada Schedule Of Compliance (SOC).

Pemindahan teknologi atau Transfer Of Technology (TOT)

mesti dilaksanakan oleh kontraktor kepada pengguna.

Capaian secara fizikal dan logikal mesti dipantau oleh staf

KPDNKK yang dilantik bagi menguruskannya.

8.7 Kawalan dari Ancaman Teknikal

Kawalan teknikal keterdedahan ini perlu dilaksanakan ke atas

system pengoperasian dan sistem aplikasi yang digunakan. Perkara

yang perlu dipatuhi adalah seperti berikut:

a. Memperoleh maklumat teknikal keterdedahan yang

tepat pada masanya ke atas sistem maklumat yang

digunakan;

b. Menilai tahap pendedahan bagi mengenal pasti tahap

risiko yang bakal dihadapi; dan

c. Mengambil langkah-langkah kawalan untuk mengatasi

risiko berkaitan.



Muka 72 dari 84

TERHAD

9.0 PENGURUSAN INSIDEN KESELAMATAN MAKLUMAT

9.1 Objektif

Memastikan tindakan menangani insiden keselamatan ICT diambil

dengan cepat, tepat dan berkesan serta meminumkan kesan insiden

keselamatan ICT.

Maklumat lanjut mengenai pengurusan insiden boleh dirujuk kepada

Surat Pekeliling Am Bilangan 4 Tahun 2006: Pengurusan Pengendalian

Insiden Keselamatan Teknologi Maklumat dan Komunikasi (ICT) Sektor

Awam.

9.2 Laporan Insiden Keselamatan

9.2.1 Melaporkan Peristiwa Keselamatan

Peristiwa keselamatan mesti dilaporkan kepada ICTSO dengan

kadar segera. Insiden keselamatan ICT seperti berikut

hendaklah dilaporkan dengan kadar segera:

a. Maklumat didapati hilang, didedahkan kepada pihak-

pihak yang tidak diberi kuasa atau, disyaki hilang atau

didedahkan kepada pihak-pihak yang tidak diberi kuasa;

b. Sistem maklumat digunakan tanpa kebenaran atau

disyaki sedemikian;

c. Kata laluan atau mekanisme kawalan akses hilang, dicuri

atau didedahkan, atau disyaki hilang, dicuri atau

didedahkan;



Muka 73 dari 84

TERHAD

d. Berlaku kejadian sistem yang luar biasa seperti

kehilangan fail, sistem kerap kali gagal dan komunikasi

tersalah hantar;

e. Berlaku percubaan menceroboh, penyelewengan dan

insiden-insiden yang tidak diingini.

Pekeliling Am Bilangan 1 Tahun 2001 bertajuk ”Mekanisme

Pelaporan Insiden Keselamatan ICT” mengenainya bolehlah

dirujuk.

Semua pengguna, kontraktor dan pihak ketiga mesti

dimaklumkan akan tanggungjawab untuk melaporkan sebarang

peristiwa keselamatan dengan kadar segera. Mereka juga mesti

dimaklumkan mengenai prosedur dan pusat hubungan untuk

melaporkan insiden keselamatan maklumat.

Pelapor insiden mesti mencatit semua butiran yang penting

dengan segera.

9.2.2 Melaporkan Kelemahan Keselamatan Maklumat

Kelemahan keselamatan mesti dilaporkan kepada ICTSO

dengan kadar segera bagi mengelakkan insiden keselamatan

maklumat melalui Borang Laporan Insiden.

Pengguna, kontraktor dan pihak ketiga adalah dilarang daripada

membuktikan sebarang kelemahan keselamatan. Ujian untuk

membuktikan kelemahan boleh ditafsirkan sebagai

penyalahgunaan sistem dan boleh menyebabkan kerosakan

kepada sistem maklumat atau servis. Ini boleh mengakibatkan

tanggungjawab undang-undang bagi individu yang menjalankan

ujian tersebut.



Muka 74 dari 84

TERHAD

9.3 Pengendalian Insiden Keselamatan

9.3.1 Analisa dan Pengesahan Insiden

Pasukan tindak balas insiden terdiri daripada pasukan CERT

KPDN dan pemilik proses yang berkenaan. Pasukan ini

bertanggungjawab untuk menganalisa; mengesahkan setiap

insiden; dan juga mendokumenkan setiap langkah yang diambil.

Bagi setiap insiden yang dikenal pasti, pasukan tersebut harus

melaksanakan analisa awal bagi menentukan skop insiden

seperti:

a. Rangkaian, sistem atau perkhidmatan yang terlibat;

b. Siapa atau apa yang menyebabkan insiden;

c. Bagaimana insiden berlaku

Analisa awal tersebut mesti merangkumi maklumat yang cukup

untuk membolehkan pasukan tindak balas menyusun aktiviti-

aktiviti seterusnya seperti pembendungan insiden dan analisa

mendalam bagi kesan daripada insiden tersebut.

Pasukan tindak balas insiden ini mesti berhati-hati untuk

melindungi data yang berkaitan dengan sesuatu insiden seperti

maklumat sistem yang dicerobohi atau pengguna yang telah

terbabit dalam tindakan yang menyalahi peraturan.



Muka 75 dari 84

TERHAD

9.3.2 Keutamaan Insiden dan Penilaian Impak

Semua insiden keselamatan maklumat yang dikenal pasti mesti

disusun mengikut keutamaan dan berdasarkan kepada impak

negatif yang berpotensi terhadap maklumat dan/atau sistem

maklumat.

9.3.3 Keutamaan Insiden Keselamatan

Menyusun keutamaan dalam mengendalikan insiden merupakan

satu keputusan yang kritikal dalam proses pengendalian insiden.

Pengendalian sesuatu insiden tidak boleh berdasarkan kepada

konsep yang dahulu diutamakan (first-come, first-served basis)

sekiranya sumber-sumber yang sedia ada adalah terhad.

Sebaliknya, keutamaan pengendalian insiden adalah

berdasarkan kepada dua (2) faktor iaitu:

a. Kesan semasa dan kesan yang berpotensi bagi sesuatu

insiden

Pasukan tindak balas insiden mesti mempertimbangkan

bukan sahaja kesan negatif semasa daripada sesuatu

insiden, malah kesan akan datang daripada sesuatu

insiden sekiranya tidak dibendungi juga harus diambil

kira.

b. Tahap kritikal daripada sumber yang terlibat

Sumber-sumber yang terlibat daripada sesuatu insiden

(seperti firewall, peralatan utama sistem rangkaian, sistem

sokongan, perkhidmatan, stesen kerja pengguna dan

aplikasi) mempunyai kepentingan yang berbeza kepada

sesebuah organisasi. Tahap kritikal bagi sesuatu sumber



Muka 76 dari 84

TERHAD

itu adalah berdasarkan kepada data atau perkhidmatan,

pengguna, hubungan yang dipercayai dan

kebergantungan sumber tersebut dengan sumber yang

lain

9.3.4 Pemberitahuan Insiden

Semasa pengedalian insiden, pasukan tidakbalas insiden mesti

memaklumkan status semasa insiden tersebut kepada pihak

pengurusan yang berkenaan. Kaedah komunikasi boleh

dilakukan melalui salah satu daripada berikut:

a. E-mail;

b. Panggilan telefon;

c. Secara terus;

9.3.5 Strategi Pengawalan Insiden

Apabila insiden telah dikenal pasti dan dianalisa, pasukan tindak

balas insiden harus mengawal insiden tersebut sebelum

merebak dan mengakibatkan kerosakan yang lebih serius.

Proses pembendungan ini harus dipertimbangkan sebagai

sebahagian daripada proses pengendalian insiden pada

peringkat awal dan mesti melibatkan pihak pengurusan dalam

memberi keputusan seperti penutupan sesuatu sistem atau

perkhidmatan.

Ciri-ciri penentuan strategi yang sesuai termasuk:

a. Kerosakan yang berpotensi kepada sumber-sumber sedia

ada;



Muka 77 dari 84

TERHAD

b. Keperluan untuk pemeliharaan bahan bukti;

c. Ketersediaan perkhidmatan;

d. Masa dan sumber-sumber yang diperlukan untuk

melaksanakan strategi;

e. Keberkesanan strategi; dan

f. Tempoh bagi suatu penyelesaian.

9.3.6 Pengumpulan Bahan Bukti

Pasukan tindak balas insiden mesti mendokumenkan dengan

jelas bagaimana bahan-bahan bukti termasuk sistem yang telah

dikompromi akan dipelihara. Semua bahan bukti harus dikumpul

mengikut prosedur yang menepati undang-undang dan

peraturan supaya boleh diterima pakai di mahkamah.

Log yang terperinci mesti disimpan bagi setiap bahan bukti.

Semua log mesti disenggara, disemak dan diawasi.

9.3.7 Penjagaan Bahan Bukti

Secara umum, bukti yang jelas mesti diwujudkan berdasarkan

perkara-perkara berikut:

a. Bagi dokumen kertas(hardcopy): Salinan asal mesti

disimpan dengan selamat dengan merekod butiran lanjut

seperti individu yang menemui dokumen tersebut; lokasi

dokumen ditemui, tarikh dan masa ditemui; dan saksi bagi

penemuan bahan bukti. Penyiasatan yang dilakukan

mesti memastikan bahan bukti tidak dicemari.



Muka 78 dari 84

TERHAD

b. Bagi maklumat di dalam media komputer: imej cermin

(mirror image) atau salinan daripada media boleh ubah,

maklumat di dalam cakera keras atau di dalam memori

mesti diambil untuk memastikan ketersediaan; log bagi

semua tindakan semasa proses salinan mesti disimpan

dan proses mesti dilakukan di hadapan saksi; media asal

dan log-log mesti disimpan dengan selamat.

9.4 Pengajaran daripada Insiden Maklumat Keselamatan

Pasukan tindak balas insiden mesti mempunyai pengetahuan seiring

dengan ancaman dan teknologi yang terkini.

Mesyuarat harus diadakan dengan semua pihak yang terbabit selepas

berlaku sesuatu insiden yang besar dan secara berkala bagi insiden-

insiden yang kecil bagi tujuan:

a. Analisa insiden;

b. Analisa punca insiden; dan

c. Tindakan pembetulan yang telah diambil dan

keberkesanan tindakan tersebut ; dan

d. Tindakan pencegahan yang mungkin untuk diambil bagi

mengurangkan kebarangkalian pengulangan insiden.



Muka 79 dari 84

TERHAD

10.0 PENGURUSAN KESINAMBUNGAN PERKHIDMATAN

10.1 Objektif

Menjamin operasi perkhidmatan agar tidak tergendala dan

memastikan penyampaian perkhidmatan yang berterusan kepada

pengguna.

10.2 Pelan Kesinambungan Perkhidmatan

Pelan Kesinambungan Perkhidmatan hendaklah dibangunkan dengan

mengambil kira faktor-faktor keselamatan maklumat bagi menentukan

pendekatan yang menyeluruh diambil bagi mengekalkan

kesinambungan perkhidmatan. Ini adalah untuk memastikan tiada

gangguan kepada proses-proses dalam penyediaan perkhidmatan

organisasi kepada pelanggan.

Perkara-perkara berikut perlu diberi perhatian:

a. Mengenal pasti semua tanggungjawab dan prosedur

kecemasan atau pemulihan;

b. Mengenal pasti peristiwa yang boleh mengakibatkan

gangguan terhadap proses bisnes bersama dengan

kemungkinan dan impak gangguan tersebut serta akibat

terhadap keselamatan ICT;

c. Melaksanakan prosedur-prosedur kecemasan bagi

membolehkan pemulihan dapat dilakukan secepat

mungkin atau dalam jangka masa yang telah ditetapkan;

d. Mendokumentasikan proses dan prosedur yang telah

dipersetujui;



Muka 80 dari 84

TERHAD

e. Mengadakan program latihan kepada pengguna

mengenai prosedur kecemasan;

f. Membuat backup; dan

g. Menguji dan mengemas kini pelan sekurang-kurangnya

setahun sekali.

Pelan Pemulihan Bencana (DRP) perlu dibangunkan dan hendaklah

mengandungi perkara-perkara berikut:

a. Senarai aktiviti teras yang dianggap kritikal mengikut

susunan keutamaan;

b. Senarai pegawai KPDNKK dan vendor berserta nombor

yang boleh dihubungi (faksimile, telefon dan e-mel).

Senarai kedua juga hendaklah disediakan sebagai

menggantikan pegawai tidak dapat hadir untuk

menangani insiden;

c. Senarai lengkap maklumat yang memerlukan backup

dan lokasi sebenar penyimpanannya serta arahan

pemulihan maklumat dan kemudahan yang berkaitan;

d. Alternatif sumber pemprosesan dan lokasi untuk

menggantikan sumber yang telah lumpuh; dan

e. Perjanjian dengan pembekal perkhidmatan untuk

mendapatkan keutamaan penyambungan semula

perkhidmatan yang berkaitan.

Maklumat lanjut mengenai pengurusan kesinambungan perkhidmatan

boleh rujuk kepada Pelan Kesinambungan Perkhidmatan KPDNKK

2012 dan Pelan Pemulihan Bencana KPDNKK.



Muka 81 dari 84

TERHAD

11.0 PEMATUHAN

11.1 Objektif

Meningkatkan tahap keselamatan ICT bagi mengelakkan dari

pelanggaran kepada Dasar Keselamatan ICT KPDNKK, undang-

undang jenayah dan sivil, peraturan atau ikatan kontrak dan sebarang

keperluan keselamatan yang lain.

11.2 Pematuhan Dasar

Semua pengguna ICT di KPDNKK perlu mematuhi Dasar Keselamatan

ICT KPDNKK dan undang-undang atau peraturan-peraturan lain yang

berkaitan yang berkuat kuasa dari masa ke semasa.

Perkara-perkara berikut perlu dipatuhi:

a. Prosedur berikut perlu diambil kira bagi mematuhi dalam

penggunaan material yang mempunyai hak cipta dan

perisian proprieteri perlu dipatuhi:

Akta Hakcipta 1997 hendaklah sentiasa dipatuhi bagi

menghalang aktiviti meniru hak cipta orang lain;

Penggunaan perisian yang sah;

Pembelian dari sumber yang sahih;

Sentiasa mengadakan program kesedaran terhadap

dasar perlindungan harta intelek;



Muka 82 dari 84

TERHAD

Mengekalkan daftar aset dan mengenalpasti semua

keperluan perlindungan terhadap asset;

Menyimpan lesen perisian;

Memastikan bilangan had lesen tidak melebihi had

ditetapkan; dan

Menjalankan pemeriksaan perisian yang sah dan

produk berlesen digunakan.

b. Rekod yang penting perlu dilindungi daripada kecurian,

kemusnahan dan pemalsuan seperti yang tertakluk dalam

Aktan Keselamatan;

c. Perlindungan data peribadi perlu diwujudkan selaras

dengan undang-undang sekiranya berkaitan;

d. Pengguna adalah dilarang daripada menyalahgunakan

kemudahan pemprosesan maklumat untuk tujuan yang

tidak dibenarkan;

e. Kawalan kriptografi perlu tertakluk kepada undang-

undang yang berkaitan.

11.3 Pematuhan dengan Dasar, Piawaian dan Keperluan Teknikal

ICTSO hendaklah memastikan semua prosedur keselamatan dalam

bidang tugas masing-masing mematuhi dasar, piawaian dan keperluan

teknikal. Sistem maklumat perlu diperiksa secara berkala bagi

mematuhi standard pelaksanaan keselamatan ICT.



Muka 83 dari 84

TERHAD

11.4 Pematuhan Keperluan Audit

Pematuhan kepada keperluan audit perlu bagi meminimumkan

ancaman dan memaksimumkan keberkesanan dalam proses audit

sistem maklumat.

Keperluan audit dan sebarang aktiviti pemeriksaan ke atas sistem

operasi perlu dirancang dan dipersetujui bagi mengurangkan

kebarangkalian berlaku gangguan dalam penyediaan perkhidmatan.

Capaian ke atas peralatan audit sistem maklumat perlu dijaga dan

diselia bagi mengelakkan berlaku penyalahgunaan.

11.5 Keperluan Perundangan

Berikut adalah keperluan perundangan atau peraturan-peraturan lain

yang berkaitan yang perlu dipatuhi oleh semua pengguna ICT

KPDNKK dari masa ke semasa iaitu seperti:

a. Arahan Keselamatan

b. Akta Rahsia Rasmi 1972

c. Akta Tandatangan Digital 1997

d. Akta Jenayah Komputer 1997

e. Akta Hak Cipta (pindaan) tahun 1997

f. Akta Komunikasi dan Multimedia 1998

g. Pekeliling Am Bilangan 3 Tahun 2000 Rangka Dasar

Keselamatan Teknologi Maklumat & Komunikasi

Kerajaan oleh MAMPU



Muka 84 dari 84

TERHAD

h. Pekeliling Am Bil. 1 Tahun 2001 Mekanisme Pelaporan

Insiden Keselamatan Teknologi Maklumat & Komunikasi

(ICT) oleh MAMPU

i. Malaysian Public Sector Management of Information

Communication Technology Security Handbook (MyMIS)

2002 oleh MAMPU

j. Surat Pekeliling Am Bil. 6 Tahun 2005 Garis Panduan

Penilaian Risiko Keselamatan Maklumat Sektor Awam

oleh MAMPU

k. Surat Arahan KSN – 2006 Langkah-langkah Untuk

Mengukuhkan Keselamatan Wireless LAN di Agensi-

agensi Kerajaan

l. Surat Arahan KSN – 2007 Langkah-langkah

Keselamatan Perlindungan Untuk Larangan Penggunaan

Telefon Bimbit atau Lain-lain Peralatan Komunikasi ICT

Tanpa Kebenaran Atau Kuasa Yang Sah

m. Arahan Teknologi Maklumat 2007

n. Akta Aktiviti Kerajaan Elektronik 2007 (Akta 680)

o. Peraturan-peraturan Pegawai Awam (Kelakuan dan

Tatatertib) 1993

p. Kawalan Dokumen ISO/IEC 20007:2013

q. Polisi Media Sosial KPDNKK

11.6 Pelanggaran Dasar

Pelanggaran Dasar Keselamatan ICT KPDNKK boleh dikenakan

tindakan tatatertib.

kementerian perdagangan dalam negeri koperasi dan ... keselamatan... · tambahan maklumat bagi bab...

Documents