laporan auditan pengurusan kawalan ict 1. latar … pemerh… · pkpa bil. 8 tahun 1991 dan...
TRANSCRIPT
1
LAPORAN AUDITAN PENGURUSAN KAWALAN ICT
1. LATAR BELAKANG
1.1 Bahagian Teknologi Maklumat, diletakkan di bawah Sektor Pengurusan Agensi
Kelayakan Malaysia. Bahagian ini, diketuai oleh Pengarah Bahagian Gred F52
yang mengawal selia 20 orang kakitangan di bawahnya. Bahagian ini
dibahagikan kepada dua Unit, iaitu Unit Rangkaian Teknikal dan Unit
Pembangunan Sistem.
1.2 Tanggungjawab Unit Rangkaian Teknikal adalah seperti berikut:
Membangun, mengurus dan menyenggara sistem aplikasi secara on line
dan konvensional.
Menyenggara sistem aplikasi komputer sedia ada.
Mengurus / menyenggara pangkalan data.
Mengintegrasikan sistem sedia ada.
Mengadakan latihan penggunaan sistem aplikasi.
Penyediaan analisis, laporan dan statistik.
1.3 Tanggungjawab Unit Pembangunan Sistem pula adalah seperti berikut:
Merancang, mengurus dan menyenggara bilik server.
Merancang, mengurus dan menyenggara perkakasan dan perkhidmatan
rangkaian.
Membangun, mengurus dan menyenggara laman web dan portal.
Mengurus dan mentadbir pangkalan data (Database Administrator).
Melaksanakan Dasar keselamatan ICT.
Merancang dan mengurus bajet dan perolehan ICT.
Merancang dan mengurus aset dan inventori ICT.
Memberi bantuan khidmat teknikal (help desk).
Mengendali latihan kemahiran penggunaan komputer dan perisian.
2
2. OBJEKTIF PENGAUDITAN
Objektif Auditan adalah untuk menentukan sama ada pengurusan ICT dilaksanakan
dengan teratur dan mempunyai kawalan dalaman yang munasabah.
3. SKOP DAN METODOLOGI PENGAUDITAN
3.1 Semakan Audit melibatkan semakan ke atas dua aspek kawalan ICT yang terdiri
daripada Kawalan Pengurusan dan Kawalan Am.
3.2 Kawalan Pengurusan
Perkara-perkara berikut disemak:
Carta organisasi dan perjawatan
Fail Meja
Polisi Keselamatan, Prosedur dan Kawalan Maklumat
Arahan / Pekeliling / Dasar ICT yang disimpan
Jawatankuasa ICT
Latihan
Pelan strategik ICT
3.3 Kawalan Am
Perkara-perkara berikut disemak:
Kawalan Fizikal dan Persekitaran
Kawalan Operasi dan Capaian
Kawalan Capaian Logikal
Kawalan Pelan Kesinambungan Perniagaan
Kawalan End User Computing
3.4 Selain daripada itu, UAD juga mengadakan temu bual dengan pegawai yang
terlibat untuk mendapatkan maklumat serta melakukan pemeriksaan fizikal untuk
memperkukuhkan ketepatan penemuan Audit.
3
4. PENEMUAN AUDIT
Pengauditan yang dijalankan pada bulan Julai dan Ogos 2011 menunjukkan bahawa
pada keseluruhannya prestasi pengurusan ICT adalah memuaskan. Tahap prestasi
terhadap Kawalan Pengurusan dan Kawalan Am yang diaudit adalah seperti berikut:
4.1 KAWALAN PENGURUSAN
Untuk menentukan pengurusan Bahagian Teknologi Maklumat adalah berkesan,
semakan Audit telah dijalankan terhadap carta organisasi dan perjawatan, fail
meja, polisi keselamatan ICT, arahan/pekeliling ICT, jawatankuasa ICT, latihan
untuk kakitangan dan pelan strategik ICT. Secara umumnya, prestasi Kawalan
Pengurusan adalah baik. Hasil semakan Audit menemui perkara berikut:
4.1.1 Carta Organisasi dan Perjawatan
Bagi memastikan fungsi dan tanggungjawab sesebuah bahagian berjalan
dengan lancar seperti yang dirancang, struktur organisasi yang jelas dan
perjawatan yang secukupnya perlu di isi.
Semakan Audit mendapati, bahagian ini mempunyai carta organisasi
yang jelas, di mana ia dibahagiakan kepada dua unit. Iaitu Unit
Rangkaian Teknikal dan Unit Pembangunan Sistem. Bahagian ini
mempunyai 21 jawatan yang diluluskan yang diketuai oleh Pengarah
Bahagian gred F52. Walau bagaimanapun, terdapat dua jawatan yang
masih belum di isi iaitu jawatan Pengarah Bahagian Gred F52 dan
jawatan Penolong Pengarah Kanan Gred F44 di Unit Pembangunan
Sistem. Walaubagaimanapun Bahagian Teknologi Maklumat telah
berusaha memenuhi jawatan yang tidak diisi dengan membangkitkan
perkara ini dalam Mesyuarat Morning Prayer Bahagian Pengurusan MQA
pada 23 Ogos 2011 dan ia adalah dalam tindakan Bahagian Pengurusan
Sumber Manusia. Maklumat terperinci perjawatan seperti di Jadual 1.
4
Jadual 1:
Senarai Perjawatan yang telah Diluluskan dan Di Isi
Bil Perkara Diluluskan Di isi
1 Pengarah Bahagian (F52) 1 -
2 Ketua Penolong Pengarah (F48) 2 2
3 Penolong Pengarah Kanan (F44) 2 1
4 Penolong Pengarah (F41) 5 5
5 Pegawai Eksekutif (F32) 2 2
6 Pegawai Eksekutif (F29) 5 5
7 Juruteknik Komputer (F17) 2 2
8 Pembantu Tadbir (N17) 2 2
Jumlah 21 19
4.1.2 Fail Meja
PKPA Bil. 8 Tahun 1991 dan perenggan 5.4(b) dan (c) Pekeliling
Perkhidmatan Bil. 5 Tahun 2007 menetapkan keperluan untuk setiap
agensi Kerajaan menyediakan Fail Meja yang menjadi dokumen rujukan
bagi peringkat individu/ jawatan. Dokumen ini perlu lengkap, kemas kini
dan memiliki kesemua 14 ciri-ciri asas Fail Meja yang ditetapkan.
Semakan pematuhan berhubung penyediaan/ penyelenggaraan Fail Meja
adalah seperti di Jadual 2.
5
Jadual 2: Pematuhan Terhadap Kriteria Semakan Berhubung Dengan Fail Meja (FM)
Bil Kriteria Semakan Pematuhan Kepada
Kriteria Semakan
1 FM disediakan /
2 FM lengkap dengan 14 perkara yang ditetapkan X
3 FM dikemaskini jika ada perubahan /
Nota : /- Mematuhi X – Tidak Mematuhi
Pemeriksaan Audit telah dijalankan terhadap Fail Meja bagi 18 pegawai
pelbagai jawatan dan mendapati Fail Meja berkenaan ada disediakan.
Adalah didapati kesemua 18 Fail Meja telah mematuhi 14 perkara yang
ditetapkan kecuali satu Fail Meja yang tidak dilengkapkan dengan senarai
tugas harian pegawai. Maklumat lanjut seperti di Jadual 3.
6
Jadual 3:
Penyelenggaraan Fail Meja Di Bahagian Teknologi Maklumat
Bil Nama Pegawai Gred Kandungan Fail Meja
a b c d e f g h i j k l m n
1 Erizal Bin Kamal Misran F48 / / / / / / / / / / / / / /
2 Puteri Noorlili Bt Bahrun F48 / / / / / / / / / / / / / /
3 Nor Khamsatun Bin Suboh F41 / / / / / / / / / / / / / /
4 Siti Aishah Bt Abdul Mujib F41 / / / / / / / / / / / / / /
5 Nor Hasanah Bt Selamat F41 / / / / / / / / / / / / / /
6 Suhaina Fitri Bt Mokhtar F41 / / / / / / / / / / / / / /
7 Mayshara Bt Karim F41 / / / / / / / / / / / / / /
8 Norhanizan Bt Zamhuri F32 / / / / / / / / / / / / / /
9 Nor Fazilah Bt Omar F32 / / / / / / / / / / / / / /
10 Wan Fariq Ezham Bin Wan Mohamad F29 / / / / / / / / / / / / / /
11 Sumaiyah Bt Mar Ramli F29 / / / / / / / / / / / / / /
12 Zahir Bin Abdul Halim F29 / / / / / / / / / / / / / /
13 Mohd Shazwan Bin Nisha Ishak F29 / / / / / / / / / / / / / /
14 Siti Nadia Bt Zakaria F29 / / / / / / / / / / / / / /
15 Mohd Idzwan Bin Hadri Shah FT17 / / / / / / / / / / / / / /
16 Ambok Massek @ Abdul Karim Daeng Taleba FT17 / / / / / / / / / / / / / X
17 Muhammad Firdaus Khasim @ Kassim FT17 / / / / / / / / / / / / / /
18 Nor Azlina Bt Hassim FT17 / / / / / / / / / / / / / /
Nota : /- Mematuhi X – Tidak Mematuhi
Senarai Semak/ Kandungan Fail Meja :-
a) Objektif Agensi b) Objektif Bahagian c) Carta Organisasi Agensi d) Carta Organisasi Bahagian e) Senarai Tugas, Kuasa dan Hubungan f) Peraturan Pentadbiran g) Proses Kerja h) Carta Aliran Kerja i) Senarai Semakan j) Senarai Undang-undang/Peraturan k) Senarai Jawatankuasa Yang Dianggotai l) Senarai Borang-borang Yang Digunakan m) Norma Kerja n) Senarai Tugas Harian
7
4.1.3 Polisi Keselamatan ICT
Polisi Keselamatan ICT ada adalah penting kerana ia menggariskan
dasar keselamatan yang diguna pakai di sesebuah organisasi. Ia juga
akan menjadi panduan dan rujukan dalam memastikan keselamatan ICT.
Semakan Audit mendapati Dasar Keselamatan ICT (DKICT) MQA telah
diwujudkan. Kertas cadangan bagi mewujudkan Dasar Keselamatan ICT
MQA telah mendapat persetujuan Mesyuarat Pengurusan MQA Bil.
2/2010 pada 6 April 2010. DKICT MQA terbahagi kepada 10 perkara
yang menyentuh aspek berikut:
Pembangunan dan penyelenggaraan dasar keselamatan ICT
Organisasi keselamatan
Kawalan dan pengelasan aset
Keselamatan sumber manusia
Keselamatan fizikal
Pengurusan operasi dan komunikasi
Kawalan capaian
Pembangunan dan penyelenggaraan sistem
Pengurusan kesinambungan perkhidmatan
Pematuhan
4.1.4 Penyimpanan Arahan / Pekeliling / Dasar ICT
Semua Arahan / Pekeliling / Dasar ICT yang terkini dan yang berkaitan
perlu disimpan dengan kemas dan teratur bagi memudahkan rujukan
dilakukan.
Semakan Audit mendapati semua Arahan / Pekeliling dan Dasar ICT
disimpan dengan kemas dan teratur di dalam Fail Arahan / Pekeliling ICT
MQA. Setiap dokumen dilabelkan dan diasingkan. Ini memudahkan
pencarian arahan atau pekeliling yang berkaitan.
8
4.1.5 Jawatankuasa Pemandu ICT
Pekeliling Am Bilangan 1 Tahun 2009 bertarikh 30 April 2008 - Garis
Panduan Mengenai Tatacara Memohon Kelulusan Teknikal Projek ICT
Agensi Kerajaan telah menetapkan setiap agensi kerajaan mewujudkan
Jawatankuasa Pemandu ICT (JPICT).
Semakan Audit mendapati JPICT MQA telah ditubuhkan pada 13 Ogos
2009 seperti yang telah dipersetujui dalam Mesyuarat Pengurusan MQA
bertarikh 13 Ogos 2009. Jawatankuasa ini dipengerusikan oleh Timbalan
Ketua Pegawai Eksekutif (Pengurusan). Manakala ahlinya terdiri daripada
Pengarah Bahagian Akreditasi (Teknologi Maklumat dan Multimedia),
Pengarah Bahagian Teknologi Maklumat, Pengarah Bahagian Audit
Institusi, Pengarah Bahagian Kewangan, Penolong Pengarah Kanan
Teknologi Maklumat dan Pegawai Eksekutif Kanan Teknologi Maklumat.
Kekerapan mesyuarat bagi Jawatankuasa ini adalah bergantung pada
keperluan dan sejak penubuhan sehingga Jun 2011, sebanyak enam
mesyuarat JPICT telah diadakan. Senarai mesyuarat JPICT yang telah
diadakan adalah seperti di Jadual 4.
Jadual 4:
Senarai Mesyuarat JPICT yang telah Diadakan
Bil Mesyuarat 2009 2010 2011
1 Mesyuarat JPICT Bil 1 10 September 22 Januari 5 Mei
2 Mesyuarat JPICT Bil 2 - 21 April -
3 Mesyuarat JPICT Bil 3 - 23 Julai -
4 Mesyuarat JPICT Bil 4 - 10 November -
Walaubagaimanapun adalah dicadangkan wakil dari UAD dijemput menghadiri
mesyuarat JPICT sebagai pemerhati untuk membolehkan UAD memberi
cadangan dan komen mengenai ciri-ciri kawalan dalaman sistem ICT.
9
4.1.6 Latihan
Latihan berkenaan ICT untuk kakitangan adalah penting untuk
meningkatkan pengetahuan dan kemahiran dalam melaksanakan tugas
harian.
UAD mendapati semua pegawai di Bahagian Teknologi Maklumat telah
menghadiri kursus-kursus berkenaan ICT dalam tahun 2010 dan 2011.
Antara kursus-kursus berkenaan ICT yang telah dihadiri oleh pegawai-
pegawai di Bahagian Teknologi Maklumat sepanjang Tahun 2010
sehingga Jun 2011 adalah seperti di Jadual 5.
Jadual 5: Senarai Latihan Yang Telah Dihadiri Oleh Pegawai Di Bahagian Teknologi
Maklumat Dari Tahun 2010 Sehingga Jun 2011
Bil. 2010 2011 (Jun 2011)
1 Taklimat Dasar Keselamtan ICT Taklimat Dan Pembentangan Produk
ICT MAMPU (Erating Dan MyPrestasi)
2 Bengkel Keselamatan ICT 3Com 4500G Switches Training
3 Seminar Technology Update Siri
2/2010
Seminar Technology Update Siri
1/2011
4 Bengkel HRMIS Kursus CCNA Exploration 2 : Routing
Protocols and Concepts
5 Seminar Teknologi Maklumat (IT) Kursus Dekstop Productivity –
OpenOffice.org (Asas) Siri 2/2011
6 Sistem Pelaksanaan Projek ICT
Sektor Awam
Kaspersky Windows Workstation &
File Server Training
7 Kursus Programming MS SQL Server
2000 Service
Kursus Microsoft Word 2007
8 Kursus Adobe Coldfusion MX9
(Tahap 1 dan Tahap 2)
Kursus Microsoft Outlook 2007
9 Kursus CCNA Exploration 1 : Network
Fundamentals
Kursus Crystal Report 2008
10 Seminar Can Your Email Do More? -
10
4.1.7 Pelan Strategik ICT
Pelan strategik ICT menjelaskan visi, hala tuju strategik dan rangka kerja
bagi penggunaan ICT di sesebuah organisasi, objektif dan bidang
strategik bagi pembangunan ICT serta strategi pelaksanaan dan pelan
tindakan yang akan diambil untuk merealisasikan objektif pelan tersebut.
Bahagian Teknologi Maklumat mempunyai pelan strategik ICT yang
dikenali sebagai Pelan Strategik ICT (ISP) MQA 2011 – 2015. MQA telah
mengambil langkah ke arah membangunkan ISP MQA bagi menyediakan
satu pelan induk ICT yang akan memastikan perancangan dan
pelaksanaan ICT adalah selaras dengan keperluan strategi bisness MQA
dan memenuhi keperluan semasa dan jangka panjang selain menyokong
visi ICT sektor awam.
Fasa pembentukan ISP MQA melibatkan proses penganalisisan
bahagian ini secara terperinci terhadap kedua-dua faktor
persekitarannya, persekitaran dalaman (kekuatan dan kelemahan) dan
juga faktor luarannya (peluang dan ancaman). Hasil analisis yang
dijalankan akan diterjemahkan dalam bentuk tindakan yang selari dengan
hasrat seperti yang dirumuskan dalam visi, misi matlamat dan tujuan asal
kewujudan bahagian ini.
Ke arah mencapai objektif strategik berkenaan, empat strategi teras telah
dirumuskan bagi Pelan Strategi ICT (ISP) 2011 – 2015 iaitu:-
Teras Strategi 1 : Menambah baik dan memperkukuhkan sistem
aplikasi.
Teras Strategi 2 : Mempertingkatkan dan memantapkan infrastruktur
ICT.
Teras Strategi 3 : Mempertingkatkan pembudayaan ICT.
Teras Strategi 4 : Mempertingkatkan keupayaan penyampaian
perkhidmatan.
11
Empat teras yang dinyatakan di atas membantu dalam pembentukan
strategi dan pelan pelaksanaan bagi mendukung Pelan Perancangan
Strategik ICT MQA bagi tempoh 2011 hingga 2015.
Pelan Strategik ICT MQA ini merupakan satu pelan perancangan yang
memberi gambaran menyeluruh tentang perancangan MQA untuk
membangun dan mengoptimumkan penggunaan ICT bagi mencapai hala
tuju dan objektif strategik MQA. Ia dijangka akan dapat membantu
menyediakan ruang kepada MQA untuk melakukan penambahbaikan dari
segi sistem, prasarana serta rangkaian untuk tempoh 5 tahun akan
datang.
4.2 KAWALAN AM
Kawalan Am dalam persekitaran ICT dapat memberi jaminan yang munasabah
ke atas pencapaian objektif kawalan dalaman. Semakan Audit mendapati
perkara berikut:
4.2.1 Kawalan Fizikal dan Persekitaran
Kawalan Fizikal dan Persekitaran amat penting bagi memastikan aset
ICT sentiasa berkeadaan baik bagi mengelak sebarang ancaman
kebakaran dan bencana alam.
4.2.1.1 Aset dan Inventori
Pendaftaran aset termasuk inventori dan bekalan pejabat
berkaitan ICT adalah penting bertujuan untuk mewujudkan
pangkalan data yang lengkap, tepat dan kemas kini, memudahkan
pengesanan dan pemantauan, membolehkan keadaan aset
diketahui serta memudahkan penyelenggaraan, pelupusan dan
penggantian aset. Perenggan 11.1(a) dan (b) Pekeliling
Perbendaharaan Bil. 5 Tahun 2007 menyatakan semua aset
hendaklah didaftarkan oleh Pegawai Aset di
Kementerian/Jabatan/Agensi dengan menggunakan Daftar Harta
Modal (KEW.PA-2) dan Daftar Inventori (KEW.PA-3) serta satu
senarai daftar iaitu Senarai Daftar Harta Modal (KEW.PA-4) dan
12
Senarai Daftar Inventori (KEW.PA-5) perlu disediakan setiap kali
perolehan aset diterima dan dikemaskini.
Semakan Audit telah dijalankan terhadap 10 item harta modal dan
10 item inventori. Adalah didapati semua item harta modal dan
inventori telah didaftarkan menggunakan Daftar Harta Modal
(KEW.PA-2) dan Daftar Inventori (KEW.PA-3) serta disenaraikan
dalam Senarai Daftar Harta Modal (KEW.PA-4) dan Senarai
Daftar Inventori (KEW.PA-5). Bagaimanapun kesemua Daftar
Harta Modal dan Daftar Inventori tidak mempunyai tandatangan
pegawai di bahagian penempatan. Maklumat terperinci seperti di
Jadual 6 dan Jadual 7.
13
Jadual 6:
Pematuhan Terhadap Kriteria Semakan Berhubung Dengan Urusan Pendaftaran Senarai Daftar Harta Modal
Bil. No.Siri
Pendaftaran Nama Aset
Tarikh Aset Diperoleh
Semakan Audit
Kew.PA-2 Kew.PA-4
1 MQA/BTM/H/11/1
Peralatan dan kelengkapan ICT / peralatan storan tape disk and driver
28/02/2011 tiada tandatangan pegawai di bahagian penempatan
/
2 MQA/BTM/H/10/1
Peralatan dan kelengkapan ICT/ pengimbas (scanner) mesin pengimbas
10/03/2010 tiada tandatangan pegawai di bahagian penempatan
/
3 MQA/BTM/H/10/3 Perlatan dan kelengkapan ICT / pelayan (server) rackmount server
16/04/2010 tiada tandatangan pegawai di bahagian penempatan
/
4 MQA/BTM/H/10/22
Peralatan dan kelengkapan ICT / peralatan rangkaian network switches
22/07/2010 tiada tandatangan pegawai di bahagian penempatan
/
9 MQA/BTM/H/09/4
Peralatan dan kelengkapan ICT / Komputer - komputer riba (laptop)
06/05/2007 tiada tandatangan pegawai di bahagian penempatan
/
6 MQA/BTM/H/08/6 Peralatan dan kelengkapan ICT/ peralatan rangkaian router
18/03/2008 tiada tandatangan pegawai di bahagian penempatan
/
7 MQA/BTM/H/08/8
Peralatan dan kelengkapan makmal / bekalan kuasa uninterrupt power supply
25/02/2008 tiada tandatangan pegawai di bahagian penempatan
/
8 MQA/BTM/H/08/14 Peralatan dan kelengkapan ICT / Pelayan (server) - tower server
23/04/2008 tiada tandatangan pegawai di bahagian penempatan
/
5 MQA/BTM/H/07/21
Peralatan dan kelengkapan ICT / Komputer - komputer riba (laptop)
05/07/2009 tiada tandatangan pegawai di bahagian penempatan
/
10 MQA/BTM/H/06/1
Peralatan dan kelengkapan pejabat / peralatan pandang dengar - digital projector
30/08/2006 tiada tandatangan pegawai di bahagian penempatan
/
14
Jadual 7:
Pematuhan Terhadap Kriteria Semakan Berhubung Dengan Urusan Pendaftaran Senarai
Daftar Inventori
Bil. No.Siri
Pendaftaran Nama Aset
Tarikh Aset Diperoleh
Semakan Audit
Kew.PA-3 Kew.PA-5
1 MQA/BTM/I/10/3 Peralatan dan kelengkapan pejabat / peralatan pandang dengar - laser pointer (stok)
08/03/2010
tiada tandatangan pegawai di bahagian penempatan
/
2 MQA/BTM/I/10/1 Peralatan dan kelengkapan pejabat / peralatan pandang dengar - laser pointer (stok)
16/02/2010
tiada tandatangan pegawai di bahagian penempatan
/
3 MQA/BTM/I/09/17 Peralatan dan kelengkapan ICT / Peralatan rangkaian modem
15/06/2009
tiada tandatangan
pegawai di bahagian
penempatan /
4 MQA/BTM/I/09/9 Peralatan dan kelengkapan ICT/ Peralatan rangkaian modem
18/07/2008
tiada tandatangan
pegawai di bahagian
penempatan /
6 MQA/BTM/I/08/3 Peralatan dan kelengkapan ICT/ Peralatan rangkaian modem
18/07/2008
tiada tandatangan
pegawai di bahagian
penempatan /
7 MQA/BTM/I/08/4 Peralatan dan kelengkapan ICT/ Peralatan rangkaian modem
18/07/2008
tiada tandatangan
pegawai di bahagian
penempatan /
8 MQA/BTM/I/08/5 Peralatan dan kelengkapan ICT/ Peralatan rangkaian modem
18/07/2008
tiada tandatangan
pegawai di bahagian
penempatan /
9 MQA/BTM/I/07/3 Peralatan dan kelengkapan pejabat / peralatan pandang dengar - laser pointer (stok)
01/01/2007
tiada tandatangan
pegawai di bahagian
penempatan /
9 MQA/BTM/I/06/3
Peralatan dan kelengkapan pejabat / peralatan pandang dengar - Audio player and recorder
29/11/2006
tiada tandatangan
pegawai di bahagian
penempatan /
10 MQA/BTM/I/06/5
Peralatan dan kelengkapan pejabat / peralatan pandang dengar - Audio player and recorder
29/11/2006
tiada tandatangan
pegawai di bahagian
penempatan /
15
4.2.1.2 Pelabelan Aset
Urusan penyimpanan daftar aset yang ditetapkan dalam Pekeliling
Perbendaharaan Bil. 5 Tahun 2007 adalah seperti berikut:-
Aset diberi tanda pengenalan dengan cara melabel, mengecat
atau emboss bagi menunjukkan tanda Hak Kerajaan Malaysia;
Tanda pengenalan di tempat yang mudah dilihat dan sesuai
pada aset berkenaan;
Semua aset ditandakan dengan Nombor Siri Pendaftaran;
No Siri Pendaftaran disediakan mengikut susunan seperti Kod
Kementerian, Jabatan/Bahagian dan Kumpulan Aset, Tahun
Pembelian dan Nombor Siri; dan
Kod Kementerian/Jabatan/Bahagian adalah berdasarkan
sIstem fail yang dikeluarkan oleh MAMPU.
Semakan Audit mendapati daripada 20 sampel yang telah dipilih,
adalah didapati 17 sampel aset telah mematuhi kriteria berhubung
dengan pelabelan aset manakala tiga sampel tidak mematuhi
kriteria yang ditetapkan iaitu tidak diletak tanda hak kerajaan.
Maklumat terperinci seperti di Jadual 8 dan Jadual 9.
Jadual 8:
Pematuhan Terhadap Kriteria Semakan Berhubung Dengan Pelabelan Aset
Bil. Kriteria Semakan
Pematuhan
Kepada Kriteria
Semakan
1 Aset diberi tanda pengenalan dengan cara melabel, mengecat
atau emboss bagi menunjukkan tanda Hak Kerajaan Malaysia X
2 Tanda pengenalan di tempat yang mudah dilihat dan sesuai
pada aset berkenaan /
3 Aset ditandakan dengan Nombor Siri Pendaftaran /
4
No Siri Pendaftaran disediakan mengikut susunan seperti Kod
Kementerian, Jabatan/Bahagian dan Kumpulan Aset, Tahun
Pembelian dan Nombor Siri
/
5 Kod Kementerian/Jabatan/Bahagian adalah berdasarkan
sIstem fail yang dikeluarkan oleh MAMPU. /
16
Jadual 9: Senarai Aset Yang Mematuhi Kriteria Semakan Berhubung Dengan Pelabelan
Bil. No.Siri Pendaftaran Nama Aset Label
1 MQA/BTM/I/10/3 Peralatan dan kelengkapan pejabat / peralatan pandang dengar - laser pointer (stok)
/
2 MQA/BTM/I/10/1 Peralatan dan kelengkapan pejabat / peralatan pandang dengar - laser pointer (stok)
/
3 MQA/BTM/I/09/17 Peralatan dan kelengkapan ICT / Peralatan rangkaian modem /
4 MQA/BTM/I/09/9 Peralatan dan kelengkapan ICT/ Peralatan rangkaian modem /
6 MQA/BTM/I/08/3 Peralatan dan kelengkapan ICT/ Peralatan rangkaian modem /
7 MQA/BTM/I/08/4 Peralatan dan kelengkapan ICT/ Peralatan rangkaian modem /
8 MQA/BTM/I/08/5 Peralatan dan kelengkapan ICT/ Peralatan rangkaian modem /
9 MQA/BTM/I/07/3 Peralatan dan kelengkapan pejabat / peralatan pandang dengar - laser pointer (stok)
/
9 MQA/BTM/I/06/3 Peralatan dan kelengkapan pejabat / peralatan pandang dengar - Audio player and recorder
/
10 MQA/BTM/I/06/5 Peralatan dan kelengkapan pejabat / peralatan pandang dengar - Audio player and recorder
/
11 MQA/BTM/H/11/1 Peralatan dan kelengkapan ICT / peralatan storan tape disk and driver
/
12 MQA/BTM/H/10/1 Peralatan dan kelengkapan ICT/ pengimbas (scanner) mesin pengimbas
/
13 MQA/BTM/H/10/3 Perlatan dan kelengkapan ICT / pelayan (server) rackmount server
/
14 MQA/BTM/H/10/22 Peralatan dan kelengkapan ICT / peralatan rangkaian network switches
/
15 MQA/BTM/H/09/4 Peralatan dan kelengkapan ICT / Komputer - komputer riba (laptop)
/
16 MQA/BTM/H/08/6 Peralatan dan kelengkapan ICT/ peralatan rangkaian router X
17 MQA/BTM/H/08/8 Peralatan dan kelengkapan makmal / bekalan kuasa uninterrupt power supply
X
18 MQA/BTM/H/08/14 Peralatan dan kelengkapan ICT / Pelayan (server) - tower server
X
19 MQA/BTM/H/07/21 Peralatan dan kelengkapan ICT / Komputer - komputer riba (laptop)
/
20 MQA/BTM/H/06/1 Peralatan dan kelengkapan pejabat / peralatan pandang dengar - digital projector
/
17
4.2.1.3 Bilik Server dan Persekitaran
UAD telah mengadakan lawatan ke Bilik Server untuk menilai
kawalan fizikal dan persekitaran di bilik tersebut.
MQA telah mengambil kira aspek kawalan fizikal dalam
pembangunan bilik server. Lantai bilik server telah ditinggikan dan
pintu masuk ke ruangan bilik yang menempatkan server
dilengkapi dengan kekunci elektronik seperti di Gambar 1 dan 2.
Gambar 1 Gambar 2
Pegawai yang diberi kuasa untuk mengakses bilik server hanya
dua orang iaitu Penolong Pengarah Teknologi Maklumat (Puan
Nor Hasanah Bt Selamat) dan seorang Pegawai Eksekutif
Teknologi Maklumat (Encik Wan Fariq Ezham Bin Wan
Mohamad). Jika ada pegawai lain atau pihak lain yang perlu
masuk ke bilik server mereka akan diiringi oleh pegawai yang
diberi kuasa. Buku log juga telah disediakan untuk merekodkan
pergerakan keluar masuk ke bilik server. Semakan Audit
mendapati rekod di buku log adalah dikemas kini dan catatan
terakhir ialah pada 11 Julai 2011.
Pihak Audit juga mendapati semua server tidak terdedah kepada
cahaya matahari dan pencahayaan dalam bilik server adalah baik.
Alat penyaman udara digunakan untuk mengawal suhu bilik
server bagi mengelakkan peralatan terdedah kepada suhu yang
tinggi seperti di Gambar 3. Selain itu, kamera litar tertutup juga
18
ada dipasang di sudut luar pintu masuk ke ruangan penempatan
server untuk melihat pergerakan keluar masuk ke ruangan
tersebut seperti di Gambar 4. Namun begitu, tiada kamera litar
tertutup di pasang di dalam bilik server untuk memantau aktiviti di
dalam bilik server.
Gambar 3 Gambar4
Sistem pencegahan kebakaran yang digunakan di bilik server
ialah gas carbon dioxide dan juga water sprinkler, sistem di dalam
bilik server seperti di Gambar 5.
Adalah dimaklumkan bahawa sistem water sprinkler tersebut telah
dimatikan kerana sistem pemadam api berasaskan air adalah
tidak sesuai dan akan menyebabkan litar pintas dan seterusnya
menyebabkan kebakaran.
Gambar 5
19
Bagaimanapun persekitaran bilik server adalah kurang
memuaskan kerana terdapat barang yang tidak sepatutnya
berada di bilik server seperti rak yang menempatkan buku manual
dan backup tape yang telah digunakan, meja kosong yang tidak
digunakan serta bateri seperti di dalam Gambar 6 dan 7. Barang
tersebut sepatutnya di simpan di dalam stor IT dan bukan di
dalam bilik server.
Gambar 6 Gambar 7
UAD mencadangkan bilik server perlu dilengkapkan dengan
kamera litar tertutup untuk memantau aktiviti di bilik server bagi
memastikan keselamatan pangkalan data terjamin. Bilik server
juga perlu dikemaskan dan tidak disimpan barang-barang yang
sepatutnya ditempatkan di stor IT.
4.2.2 Kawalan Operasi dan Capaian
Kawalan Operasi dan Capaian perlu diwujudkan bagi memastikan had
capaian pegawai terhadap sistem atau program adalah terkawal.
20
Semakan Audit mendapati MQA mempunyai polisi terhadap kawalan
capaian dan aplikasi seperti dinyatakan dalam Dasar Keselamatan ICT
MQA. Dasar tersebut antaranya meliputi perkara berikut:
Tahap capaian dan sistem aplikasi oleh pengguna ditentukan oleh
Pentadbir Sistem ICT.
Setiap aktiviti capaian sistem maklumat dan aplikasi di rekod
dalam log.
Menghadkan capaian sistem dan aplikasi kepada tiga kali
percubaan.
Paparan notis peringatan di skrin pengguna bagi melindungi
maklumat dari sebarang bentuk salah guna.
4.2.3 Kawalan Capaian Logikal
Kawalan Capaian Logikal perlu diwujudkan bagi memastikan capaian
pengguna ke atas aplikasi dan data yang sensitif adalah dihadkan. Ia
juga penting bagi mengelakkan pengubahsuaian ke atas sistem tanpa
kelulusan.
Semakan Audit mendapati Bahagian Teknologi Maklumat telah
mewujudkan ID pengguna dan kata laluan bagi sistem ICT yang
digunakan di MQA. Selain itu, MyKad digunakan sebagai ID pengguna
seperti yang diarahkan oleh MAMPU. Pengguna juga diberi peluang
untuk menukar kata laluan mereka sendiri di Gerbang MQA. Bahagian
Teknologi Maklumat juga mewujudkan had capaian bagi sistem ICT
sebagai kawalan dalaman.
Oleh itu, UAD berpendapat kawalan Capaian Logikal yang diguna pakai
pada masa ini adalah memadai.
4.2.4 Kawalan Pelan Kesinambungan Perkhidmatan
Kawalan Pelan Kesinambungan perkhidmatan adalah penting bagi
menjamin operasi perkhidmatan agar tidak tergendala dan penyampaian
perkhidmatan yang berterusan kepada pelanggan.
21
Semakan Audit mendapati, Kawalan Pelan Kesinambungan Perniagaan
ada dinyatakan di dalam Dasar Kesinambungan Perkhidmatan di dalam
DKICT MQA, di mana MQA perlu membangunkan satu pelan yang akan
memastikan kesinambungan perkhidmatan dan pelan ini mestilah
diluluskan oleh JPICT. Namun begitu, Pelan Kesinambungan
Perkhidmatan ICT MQA ini masih di dalam peringkat pembangunan.
Sehingga tarikh auditan dijalankan, Bahagian Teknologi Maklumat telah
menyediakan pelan untuk pelaksanaan data backup di server.
Bagaimanapun Pelan Kesinambungan Perkhidmatan yang komprehensif
masih belum selesai disediakan dan BTM ada perancangan untuk
mengadakan backup perisian komputer serta prosuder pemulihan
bencana.
4.2.5 Kawalan End User Computing
Kawalan End User Computing adalah untuk menilai kawalan persekitaran
pengguna. Sehubungan itu, polisi penggunaan perkakasan atau perisian,
keperluan keselamatan, program backup serta perlindungan dari virus
dan kecurian hendaklah diwujudkan.
UAD mendapati Dasar Keselamatan ICT MQA ada menggariskan
kawalan End User Computing. Dasar tersebut antaranya meliputi perkara
berikut:
Tanggungjawab pengguna sistem ICT.
Tatacara kawalan keselamatan penggunaan perkakasan dan
perisian.
Langkah keselamatan pengurusan dokumentasi atau
penyimpanan maklumat.
Peminjaman perkakasan untuk penggunaan di luar pejabat.
Keselamatan media storan luaran.
Kawalan terhadap komputer yang ditinggalkan sementara seperti
penggunaan screen saver.
Selain itu, MQA ada mengeluarkan Arahan Pentadbiran Bilangan 1/2008,
Etika Penggunaan E-mel dan Internet sebagai panduan kepada
pengguna di MQA bagi tujuan memberi makluman kepada warga MQA
berkenaan peraturan penggunaan E-mel dan Internet.
22
5. RUMUSAN DAN SYOR AUDIT DALAM
Pada keseluruhannya, pihak Audit mendapati pengurusan kawalan ICT di MQA adalah
memuaskan. Bagaimanapun beberapa kelemahan yang dibangkitkan perlu diberi
perhatian dan diambil tindakan penambahbaikan. Sehubungan itu, Audit Dalam
mengesyorkan perkara berikut diberi pertimbangan untuk mengatasi masalah yang
dibangkitkan.
Melabelkan semua aset ICT.
Melengkapkan borang KEW. PA 2 dan KEW. PA 3.
Bilik server dilengkapkan dengan kamera litar tertutup untuk pemantauan.
Memperkemaskan bilik server.
Menyediakan Pelan Kesinambungan Perkhidmatan yang komprehensif bagi
menjamin operasi perkhidmatan secara berterusan.