laporan auditan pengurusan kawalan ict 1. latar … pemerh… · pkpa bil. 8 tahun 1991 dan...

1

LAPORAN AUDITAN PENGURUSAN KAWALAN ICT

1. LATAR BELAKANG

1.1 Bahagian Teknologi Maklumat, diletakkan di bawah Sektor Pengurusan Agensi

Kelayakan Malaysia. Bahagian ini, diketuai oleh Pengarah Bahagian Gred F52

yang mengawal selia 20 orang kakitangan di bawahnya. Bahagian ini

dibahagikan kepada dua Unit, iaitu Unit Rangkaian Teknikal dan Unit

Pembangunan Sistem.

1.2 Tanggungjawab Unit Rangkaian Teknikal adalah seperti berikut:

Membangun, mengurus dan menyenggara sistem aplikasi secara on line

dan konvensional.

Menyenggara sistem aplikasi komputer sedia ada.

Mengurus / menyenggara pangkalan data.

Mengintegrasikan sistem sedia ada.

Mengadakan latihan penggunaan sistem aplikasi.

Penyediaan analisis, laporan dan statistik.

1.3 Tanggungjawab Unit Pembangunan Sistem pula adalah seperti berikut:

Merancang, mengurus dan menyenggara bilik server.

Merancang, mengurus dan menyenggara perkakasan dan perkhidmatan

rangkaian.

Membangun, mengurus dan menyenggara laman web dan portal.

Mengurus dan mentadbir pangkalan data (Database Administrator).

Melaksanakan Dasar keselamatan ICT.

Merancang dan mengurus bajet dan perolehan ICT.

Merancang dan mengurus aset dan inventori ICT.

Memberi bantuan khidmat teknikal (help desk).

Mengendali latihan kemahiran penggunaan komputer dan perisian.

2

2. OBJEKTIF PENGAUDITAN

Objektif Auditan adalah untuk menentukan sama ada pengurusan ICT dilaksanakan

dengan teratur dan mempunyai kawalan dalaman yang munasabah.

3. SKOP DAN METODOLOGI PENGAUDITAN

3.1 Semakan Audit melibatkan semakan ke atas dua aspek kawalan ICT yang terdiri

daripada Kawalan Pengurusan dan Kawalan Am.

3.2 Kawalan Pengurusan

Perkara-perkara berikut disemak:

Carta organisasi dan perjawatan

Fail Meja

Polisi Keselamatan, Prosedur dan Kawalan Maklumat

Arahan / Pekeliling / Dasar ICT yang disimpan

Jawatankuasa ICT

Latihan

Pelan strategik ICT

3.3 Kawalan Am

Perkara-perkara berikut disemak:

Kawalan Fizikal dan Persekitaran

Kawalan Operasi dan Capaian

Kawalan Capaian Logikal

Kawalan Pelan Kesinambungan Perniagaan

Kawalan End User Computing

3.4 Selain daripada itu, UAD juga mengadakan temu bual dengan pegawai yang

terlibat untuk mendapatkan maklumat serta melakukan pemeriksaan fizikal untuk

memperkukuhkan ketepatan penemuan Audit.

3

4. PENEMUAN AUDIT

Pengauditan yang dijalankan pada bulan Julai dan Ogos 2011 menunjukkan bahawa

pada keseluruhannya prestasi pengurusan ICT adalah memuaskan. Tahap prestasi

terhadap Kawalan Pengurusan dan Kawalan Am yang diaudit adalah seperti berikut:

4.1 KAWALAN PENGURUSAN

Untuk menentukan pengurusan Bahagian Teknologi Maklumat adalah berkesan,

semakan Audit telah dijalankan terhadap carta organisasi dan perjawatan, fail

meja, polisi keselamatan ICT, arahan/pekeliling ICT, jawatankuasa ICT, latihan

untuk kakitangan dan pelan strategik ICT. Secara umumnya, prestasi Kawalan

Pengurusan adalah baik. Hasil semakan Audit menemui perkara berikut:

4.1.1 Carta Organisasi dan Perjawatan

Bagi memastikan fungsi dan tanggungjawab sesebuah bahagian berjalan

dengan lancar seperti yang dirancang, struktur organisasi yang jelas dan

perjawatan yang secukupnya perlu di isi.

Semakan Audit mendapati, bahagian ini mempunyai carta organisasi

yang jelas, di mana ia dibahagiakan kepada dua unit. Iaitu Unit

Rangkaian Teknikal dan Unit Pembangunan Sistem. Bahagian ini

mempunyai 21 jawatan yang diluluskan yang diketuai oleh Pengarah

Bahagian gred F52. Walau bagaimanapun, terdapat dua jawatan yang

masih belum di isi iaitu jawatan Pengarah Bahagian Gred F52 dan

jawatan Penolong Pengarah Kanan Gred F44 di Unit Pembangunan

Sistem. Walaubagaimanapun Bahagian Teknologi Maklumat telah

berusaha memenuhi jawatan yang tidak diisi dengan membangkitkan

perkara ini dalam Mesyuarat Morning Prayer Bahagian Pengurusan MQA

pada 23 Ogos 2011 dan ia adalah dalam tindakan Bahagian Pengurusan

Sumber Manusia. Maklumat terperinci perjawatan seperti di Jadual 1.

4

Jadual 1:

Senarai Perjawatan yang telah Diluluskan dan Di Isi

Bil Perkara Diluluskan Di isi

1 Pengarah Bahagian (F52) 1 -

2 Ketua Penolong Pengarah (F48) 2 2

3 Penolong Pengarah Kanan (F44) 2 1

4 Penolong Pengarah (F41) 5 5

5 Pegawai Eksekutif (F32) 2 2

6 Pegawai Eksekutif (F29) 5 5

7 Juruteknik Komputer (F17) 2 2

8 Pembantu Tadbir (N17) 2 2

Jumlah 21 19

4.1.2 Fail Meja

PKPA Bil. 8 Tahun 1991 dan perenggan 5.4(b) dan (c) Pekeliling

Perkhidmatan Bil. 5 Tahun 2007 menetapkan keperluan untuk setiap

agensi Kerajaan menyediakan Fail Meja yang menjadi dokumen rujukan

bagi peringkat individu/ jawatan. Dokumen ini perlu lengkap, kemas kini

dan memiliki kesemua 14 ciri-ciri asas Fail Meja yang ditetapkan.

Semakan pematuhan berhubung penyediaan/ penyelenggaraan Fail Meja

adalah seperti di Jadual 2.

5

Jadual 2: Pematuhan Terhadap Kriteria Semakan Berhubung Dengan Fail Meja (FM)

Bil Kriteria Semakan Pematuhan Kepada

Kriteria Semakan

1 FM disediakan /

2 FM lengkap dengan 14 perkara yang ditetapkan X

3 FM dikemaskini jika ada perubahan /

Nota : /- Mematuhi X – Tidak Mematuhi

Pemeriksaan Audit telah dijalankan terhadap Fail Meja bagi 18 pegawai

pelbagai jawatan dan mendapati Fail Meja berkenaan ada disediakan.

Adalah didapati kesemua 18 Fail Meja telah mematuhi 14 perkara yang

ditetapkan kecuali satu Fail Meja yang tidak dilengkapkan dengan senarai

tugas harian pegawai. Maklumat lanjut seperti di Jadual 3.

6

Jadual 3:

Penyelenggaraan Fail Meja Di Bahagian Teknologi Maklumat

Bil Nama Pegawai Gred Kandungan Fail Meja

a b c d e f g h i j k l m n

1 Erizal Bin Kamal Misran F48 / / / / / / / / / / / / / /

2 Puteri Noorlili Bt Bahrun F48 / / / / / / / / / / / / / /

3 Nor Khamsatun Bin Suboh F41 / / / / / / / / / / / / / /

4 Siti Aishah Bt Abdul Mujib F41 / / / / / / / / / / / / / /

5 Nor Hasanah Bt Selamat F41 / / / / / / / / / / / / / /

6 Suhaina Fitri Bt Mokhtar F41 / / / / / / / / / / / / / /

7 Mayshara Bt Karim F41 / / / / / / / / / / / / / /

8 Norhanizan Bt Zamhuri F32 / / / / / / / / / / / / / /

9 Nor Fazilah Bt Omar F32 / / / / / / / / / / / / / /

10 Wan Fariq Ezham Bin Wan Mohamad F29 / / / / / / / / / / / / / /

11 Sumaiyah Bt Mar Ramli F29 / / / / / / / / / / / / / /

12 Zahir Bin Abdul Halim F29 / / / / / / / / / / / / / /

13 Mohd Shazwan Bin Nisha Ishak F29 / / / / / / / / / / / / / /

14 Siti Nadia Bt Zakaria F29 / / / / / / / / / / / / / /

15 Mohd Idzwan Bin Hadri Shah FT17 / / / / / / / / / / / / / /

16 Ambok Massek @ Abdul Karim Daeng Taleba FT17 / / / / / / / / / / / / / X

17 Muhammad Firdaus Khasim @ Kassim FT17 / / / / / / / / / / / / / /

18 Nor Azlina Bt Hassim FT17 / / / / / / / / / / / / / /

Nota : /- Mematuhi X – Tidak Mematuhi

Senarai Semak/ Kandungan Fail Meja :-

a) Objektif Agensi b) Objektif Bahagian c) Carta Organisasi Agensi d) Carta Organisasi Bahagian e) Senarai Tugas, Kuasa dan Hubungan f) Peraturan Pentadbiran g) Proses Kerja h) Carta Aliran Kerja i) Senarai Semakan j) Senarai Undang-undang/Peraturan k) Senarai Jawatankuasa Yang Dianggotai l) Senarai Borang-borang Yang Digunakan m) Norma Kerja n) Senarai Tugas Harian

7

4.1.3 Polisi Keselamatan ICT

Polisi Keselamatan ICT ada adalah penting kerana ia menggariskan

dasar keselamatan yang diguna pakai di sesebuah organisasi. Ia juga

akan menjadi panduan dan rujukan dalam memastikan keselamatan ICT.

Semakan Audit mendapati Dasar Keselamatan ICT (DKICT) MQA telah

diwujudkan. Kertas cadangan bagi mewujudkan Dasar Keselamatan ICT

MQA telah mendapat persetujuan Mesyuarat Pengurusan MQA Bil.

2/2010 pada 6 April 2010. DKICT MQA terbahagi kepada 10 perkara

yang menyentuh aspek berikut:

Pembangunan dan penyelenggaraan dasar keselamatan ICT

Organisasi keselamatan

Kawalan dan pengelasan aset

Keselamatan sumber manusia

Keselamatan fizikal

Pengurusan operasi dan komunikasi

Kawalan capaian

Pembangunan dan penyelenggaraan sistem

Pengurusan kesinambungan perkhidmatan

Pematuhan

4.1.4 Penyimpanan Arahan / Pekeliling / Dasar ICT

Semua Arahan / Pekeliling / Dasar ICT yang terkini dan yang berkaitan

perlu disimpan dengan kemas dan teratur bagi memudahkan rujukan

dilakukan.

Semakan Audit mendapati semua Arahan / Pekeliling dan Dasar ICT

disimpan dengan kemas dan teratur di dalam Fail Arahan / Pekeliling ICT

MQA. Setiap dokumen dilabelkan dan diasingkan. Ini memudahkan

pencarian arahan atau pekeliling yang berkaitan.

8

4.1.5 Jawatankuasa Pemandu ICT

Pekeliling Am Bilangan 1 Tahun 2009 bertarikh 30 April 2008 - Garis

Panduan Mengenai Tatacara Memohon Kelulusan Teknikal Projek ICT

Agensi Kerajaan telah menetapkan setiap agensi kerajaan mewujudkan

Jawatankuasa Pemandu ICT (JPICT).

Semakan Audit mendapati JPICT MQA telah ditubuhkan pada 13 Ogos

2009 seperti yang telah dipersetujui dalam Mesyuarat Pengurusan MQA

bertarikh 13 Ogos 2009. Jawatankuasa ini dipengerusikan oleh Timbalan

Ketua Pegawai Eksekutif (Pengurusan). Manakala ahlinya terdiri daripada

Pengarah Bahagian Akreditasi (Teknologi Maklumat dan Multimedia),

Pengarah Bahagian Teknologi Maklumat, Pengarah Bahagian Audit

Institusi, Pengarah Bahagian Kewangan, Penolong Pengarah Kanan

Teknologi Maklumat dan Pegawai Eksekutif Kanan Teknologi Maklumat.

Kekerapan mesyuarat bagi Jawatankuasa ini adalah bergantung pada

keperluan dan sejak penubuhan sehingga Jun 2011, sebanyak enam

mesyuarat JPICT telah diadakan. Senarai mesyuarat JPICT yang telah

diadakan adalah seperti di Jadual 4.

Jadual 4:

Senarai Mesyuarat JPICT yang telah Diadakan

Bil Mesyuarat 2009 2010 2011

1 Mesyuarat JPICT Bil 1 10 September 22 Januari 5 Mei

2 Mesyuarat JPICT Bil 2 - 21 April -

3 Mesyuarat JPICT Bil 3 - 23 Julai -

4 Mesyuarat JPICT Bil 4 - 10 November -

Walaubagaimanapun adalah dicadangkan wakil dari UAD dijemput menghadiri

mesyuarat JPICT sebagai pemerhati untuk membolehkan UAD memberi

cadangan dan komen mengenai ciri-ciri kawalan dalaman sistem ICT.

9

4.1.6 Latihan

Latihan berkenaan ICT untuk kakitangan adalah penting untuk

meningkatkan pengetahuan dan kemahiran dalam melaksanakan tugas

harian.

UAD mendapati semua pegawai di Bahagian Teknologi Maklumat telah

menghadiri kursus-kursus berkenaan ICT dalam tahun 2010 dan 2011.

Antara kursus-kursus berkenaan ICT yang telah dihadiri oleh pegawai-

pegawai di Bahagian Teknologi Maklumat sepanjang Tahun 2010

sehingga Jun 2011 adalah seperti di Jadual 5.

Jadual 5: Senarai Latihan Yang Telah Dihadiri Oleh Pegawai Di Bahagian Teknologi

Maklumat Dari Tahun 2010 Sehingga Jun 2011

Bil. 2010 2011 (Jun 2011)

1 Taklimat Dasar Keselamtan ICT Taklimat Dan Pembentangan Produk

ICT MAMPU (Erating Dan MyPrestasi)

2 Bengkel Keselamatan ICT 3Com 4500G Switches Training

3 Seminar Technology Update Siri

2/2010

Seminar Technology Update Siri

1/2011

4 Bengkel HRMIS Kursus CCNA Exploration 2 : Routing

Protocols and Concepts

5 Seminar Teknologi Maklumat (IT) Kursus Dekstop Productivity –

OpenOffice.org (Asas) Siri 2/2011

6 Sistem Pelaksanaan Projek ICT

Sektor Awam

Kaspersky Windows Workstation &

File Server Training

7 Kursus Programming MS SQL Server

2000 Service

Kursus Microsoft Word 2007

8 Kursus Adobe Coldfusion MX9

(Tahap 1 dan Tahap 2)

Kursus Microsoft Outlook 2007

9 Kursus CCNA Exploration 1 : Network

Fundamentals

Kursus Crystal Report 2008

10 Seminar Can Your Email Do More? -

10

4.1.7 Pelan Strategik ICT

Pelan strategik ICT menjelaskan visi, hala tuju strategik dan rangka kerja

bagi penggunaan ICT di sesebuah organisasi, objektif dan bidang

strategik bagi pembangunan ICT serta strategi pelaksanaan dan pelan

tindakan yang akan diambil untuk merealisasikan objektif pelan tersebut.

Bahagian Teknologi Maklumat mempunyai pelan strategik ICT yang

dikenali sebagai Pelan Strategik ICT (ISP) MQA 2011 – 2015. MQA telah

mengambil langkah ke arah membangunkan ISP MQA bagi menyediakan

satu pelan induk ICT yang akan memastikan perancangan dan

pelaksanaan ICT adalah selaras dengan keperluan strategi bisness MQA

dan memenuhi keperluan semasa dan jangka panjang selain menyokong

visi ICT sektor awam.

Fasa pembentukan ISP MQA melibatkan proses penganalisisan

bahagian ini secara terperinci terhadap kedua-dua faktor

persekitarannya, persekitaran dalaman (kekuatan dan kelemahan) dan

juga faktor luarannya (peluang dan ancaman). Hasil analisis yang

dijalankan akan diterjemahkan dalam bentuk tindakan yang selari dengan

hasrat seperti yang dirumuskan dalam visi, misi matlamat dan tujuan asal

kewujudan bahagian ini.

Ke arah mencapai objektif strategik berkenaan, empat strategi teras telah

dirumuskan bagi Pelan Strategi ICT (ISP) 2011 – 2015 iaitu:-

Teras Strategi 1 : Menambah baik dan memperkukuhkan sistem

aplikasi.

Teras Strategi 2 : Mempertingkatkan dan memantapkan infrastruktur

ICT.

Teras Strategi 3 : Mempertingkatkan pembudayaan ICT.

Teras Strategi 4 : Mempertingkatkan keupayaan penyampaian

perkhidmatan.

11

Empat teras yang dinyatakan di atas membantu dalam pembentukan

strategi dan pelan pelaksanaan bagi mendukung Pelan Perancangan

Strategik ICT MQA bagi tempoh 2011 hingga 2015.

Pelan Strategik ICT MQA ini merupakan satu pelan perancangan yang

memberi gambaran menyeluruh tentang perancangan MQA untuk

membangun dan mengoptimumkan penggunaan ICT bagi mencapai hala

tuju dan objektif strategik MQA. Ia dijangka akan dapat membantu

menyediakan ruang kepada MQA untuk melakukan penambahbaikan dari

segi sistem, prasarana serta rangkaian untuk tempoh 5 tahun akan

datang.

4.2 KAWALAN AM

Kawalan Am dalam persekitaran ICT dapat memberi jaminan yang munasabah

ke atas pencapaian objektif kawalan dalaman. Semakan Audit mendapati

perkara berikut:

4.2.1 Kawalan Fizikal dan Persekitaran

Kawalan Fizikal dan Persekitaran amat penting bagi memastikan aset

ICT sentiasa berkeadaan baik bagi mengelak sebarang ancaman

kebakaran dan bencana alam.

4.2.1.1 Aset dan Inventori

Pendaftaran aset termasuk inventori dan bekalan pejabat

berkaitan ICT adalah penting bertujuan untuk mewujudkan

pangkalan data yang lengkap, tepat dan kemas kini, memudahkan

pengesanan dan pemantauan, membolehkan keadaan aset

diketahui serta memudahkan penyelenggaraan, pelupusan dan

penggantian aset. Perenggan 11.1(a) dan (b) Pekeliling

Perbendaharaan Bil. 5 Tahun 2007 menyatakan semua aset

hendaklah didaftarkan oleh Pegawai Aset di

Kementerian/Jabatan/Agensi dengan menggunakan Daftar Harta

Modal (KEW.PA-2) dan Daftar Inventori (KEW.PA-3) serta satu

senarai daftar iaitu Senarai Daftar Harta Modal (KEW.PA-4) dan

12

Senarai Daftar Inventori (KEW.PA-5) perlu disediakan setiap kali

perolehan aset diterima dan dikemaskini.

Semakan Audit telah dijalankan terhadap 10 item harta modal dan

10 item inventori. Adalah didapati semua item harta modal dan

inventori telah didaftarkan menggunakan Daftar Harta Modal

(KEW.PA-2) dan Daftar Inventori (KEW.PA-3) serta disenaraikan

dalam Senarai Daftar Harta Modal (KEW.PA-4) dan Senarai

Daftar Inventori (KEW.PA-5). Bagaimanapun kesemua Daftar

Harta Modal dan Daftar Inventori tidak mempunyai tandatangan

pegawai di bahagian penempatan. Maklumat terperinci seperti di

Jadual 6 dan Jadual 7.

13

Jadual 6:

Pematuhan Terhadap Kriteria Semakan Berhubung Dengan Urusan Pendaftaran Senarai Daftar Harta Modal

Bil. No.Siri

Pendaftaran Nama Aset

Tarikh Aset Diperoleh

Semakan Audit

Kew.PA-2 Kew.PA-4

1 MQA/BTM/H/11/1

Peralatan dan kelengkapan ICT / peralatan storan tape disk and driver

28/02/2011 tiada tandatangan pegawai di bahagian penempatan

/

2 MQA/BTM/H/10/1

Peralatan dan kelengkapan ICT/ pengimbas (scanner) mesin pengimbas


/

3 MQA/BTM/H/10/3 Perlatan dan kelengkapan ICT / pelayan (server) rackmount server


/

4 MQA/BTM/H/10/22

Peralatan dan kelengkapan ICT / peralatan rangkaian network switches


/

9 MQA/BTM/H/09/4

Peralatan dan kelengkapan ICT / Komputer - komputer riba (laptop)


/

6 MQA/BTM/H/08/6 Peralatan dan kelengkapan ICT/ peralatan rangkaian router


/

7 MQA/BTM/H/08/8

Peralatan dan kelengkapan makmal / bekalan kuasa uninterrupt power supply


/

8 MQA/BTM/H/08/14 Peralatan dan kelengkapan ICT / Pelayan (server) - tower server


/

5 MQA/BTM/H/07/21

Peralatan dan kelengkapan ICT / Komputer - komputer riba (laptop)


/

10 MQA/BTM/H/06/1

Peralatan dan kelengkapan pejabat / peralatan pandang dengar - digital projector


/

14

Jadual 7:

Pematuhan Terhadap Kriteria Semakan Berhubung Dengan Urusan Pendaftaran Senarai

Daftar Inventori

Bil. No.Siri

Pendaftaran Nama Aset

Tarikh Aset Diperoleh

Semakan Audit

Kew.PA-3 Kew.PA-5

1 MQA/BTM/I/10/3 Peralatan dan kelengkapan pejabat / peralatan pandang dengar - laser pointer (stok)

08/03/2010

tiada tandatangan pegawai di bahagian penempatan

/


16/02/2010

tiada tandatangan pegawai di bahagian penempatan

/

3 MQA/BTM/I/09/17 Peralatan dan kelengkapan ICT / Peralatan rangkaian modem

15/06/2009

tiada tandatangan

pegawai di bahagian

penempatan /

4 MQA/BTM/I/09/9 Peralatan dan kelengkapan ICT/ Peralatan rangkaian modem

18/07/2008

tiada tandatangan

pegawai di bahagian

penempatan /


18/07/2008

tiada tandatangan

pegawai di bahagian

penempatan /


18/07/2008

tiada tandatangan

pegawai di bahagian

penempatan /


18/07/2008

tiada tandatangan

pegawai di bahagian

penempatan /


01/01/2007

tiada tandatangan

pegawai di bahagian

penempatan /

9 MQA/BTM/I/06/3

Peralatan dan kelengkapan pejabat / peralatan pandang dengar - Audio player and recorder

29/11/2006

tiada tandatangan

pegawai di bahagian

penempatan /

10 MQA/BTM/I/06/5

Peralatan dan kelengkapan pejabat / peralatan pandang dengar - Audio player and recorder

29/11/2006

tiada tandatangan

pegawai di bahagian

penempatan /

15

4.2.1.2 Pelabelan Aset

Urusan penyimpanan daftar aset yang ditetapkan dalam Pekeliling

Perbendaharaan Bil. 5 Tahun 2007 adalah seperti berikut:-

Aset diberi tanda pengenalan dengan cara melabel, mengecat

atau emboss bagi menunjukkan tanda Hak Kerajaan Malaysia;

Tanda pengenalan di tempat yang mudah dilihat dan sesuai

pada aset berkenaan;

Semua aset ditandakan dengan Nombor Siri Pendaftaran;

No Siri Pendaftaran disediakan mengikut susunan seperti Kod

Kementerian, Jabatan/Bahagian dan Kumpulan Aset, Tahun

Pembelian dan Nombor Siri; dan

Kod Kementerian/Jabatan/Bahagian adalah berdasarkan

sIstem fail yang dikeluarkan oleh MAMPU.

Semakan Audit mendapati daripada 20 sampel yang telah dipilih,

adalah didapati 17 sampel aset telah mematuhi kriteria berhubung

dengan pelabelan aset manakala tiga sampel tidak mematuhi

kriteria yang ditetapkan iaitu tidak diletak tanda hak kerajaan.

Maklumat terperinci seperti di Jadual 8 dan Jadual 9.

Jadual 8:

Pematuhan Terhadap Kriteria Semakan Berhubung Dengan Pelabelan Aset

Bil. Kriteria Semakan

Pematuhan

Kepada Kriteria

Semakan

1 Aset diberi tanda pengenalan dengan cara melabel, mengecat

atau emboss bagi menunjukkan tanda Hak Kerajaan Malaysia X

2 Tanda pengenalan di tempat yang mudah dilihat dan sesuai

pada aset berkenaan /

3 Aset ditandakan dengan Nombor Siri Pendaftaran /

4

No Siri Pendaftaran disediakan mengikut susunan seperti Kod

Kementerian, Jabatan/Bahagian dan Kumpulan Aset, Tahun

Pembelian dan Nombor Siri

/

5 Kod Kementerian/Jabatan/Bahagian adalah berdasarkan

sIstem fail yang dikeluarkan oleh MAMPU. /

16

Jadual 9: Senarai Aset Yang Mematuhi Kriteria Semakan Berhubung Dengan Pelabelan

Bil. No.Siri Pendaftaran Nama Aset Label


/


/

3 MQA/BTM/I/09/17 Peralatan dan kelengkapan ICT / Peralatan rangkaian modem /

4 MQA/BTM/I/09/9 Peralatan dan kelengkapan ICT/ Peralatan rangkaian modem /





/

9 MQA/BTM/I/06/3 Peralatan dan kelengkapan pejabat / peralatan pandang dengar - Audio player and recorder

/

10 MQA/BTM/I/06/5 Peralatan dan kelengkapan pejabat / peralatan pandang dengar - Audio player and recorder

/

11 MQA/BTM/H/11/1 Peralatan dan kelengkapan ICT / peralatan storan tape disk and driver

/

12 MQA/BTM/H/10/1 Peralatan dan kelengkapan ICT/ pengimbas (scanner) mesin pengimbas

/

13 MQA/BTM/H/10/3 Perlatan dan kelengkapan ICT / pelayan (server) rackmount server

/

14 MQA/BTM/H/10/22 Peralatan dan kelengkapan ICT / peralatan rangkaian network switches

/

15 MQA/BTM/H/09/4 Peralatan dan kelengkapan ICT / Komputer - komputer riba (laptop)

/

16 MQA/BTM/H/08/6 Peralatan dan kelengkapan ICT/ peralatan rangkaian router X

17 MQA/BTM/H/08/8 Peralatan dan kelengkapan makmal / bekalan kuasa uninterrupt power supply

X

18 MQA/BTM/H/08/14 Peralatan dan kelengkapan ICT / Pelayan (server) - tower server

X

19 MQA/BTM/H/07/21 Peralatan dan kelengkapan ICT / Komputer - komputer riba (laptop)

/

20 MQA/BTM/H/06/1 Peralatan dan kelengkapan pejabat / peralatan pandang dengar - digital projector

/

17

4.2.1.3 Bilik Server dan Persekitaran

UAD telah mengadakan lawatan ke Bilik Server untuk menilai

kawalan fizikal dan persekitaran di bilik tersebut.

MQA telah mengambil kira aspek kawalan fizikal dalam

pembangunan bilik server. Lantai bilik server telah ditinggikan dan

pintu masuk ke ruangan bilik yang menempatkan server

dilengkapi dengan kekunci elektronik seperti di Gambar 1 dan 2.

Gambar 1 Gambar 2

Pegawai yang diberi kuasa untuk mengakses bilik server hanya

dua orang iaitu Penolong Pengarah Teknologi Maklumat (Puan

Nor Hasanah Bt Selamat) dan seorang Pegawai Eksekutif

Teknologi Maklumat (Encik Wan Fariq Ezham Bin Wan

Mohamad). Jika ada pegawai lain atau pihak lain yang perlu

masuk ke bilik server mereka akan diiringi oleh pegawai yang

diberi kuasa. Buku log juga telah disediakan untuk merekodkan

pergerakan keluar masuk ke bilik server. Semakan Audit

mendapati rekod di buku log adalah dikemas kini dan catatan

terakhir ialah pada 11 Julai 2011.

Pihak Audit juga mendapati semua server tidak terdedah kepada

cahaya matahari dan pencahayaan dalam bilik server adalah baik.

Alat penyaman udara digunakan untuk mengawal suhu bilik

server bagi mengelakkan peralatan terdedah kepada suhu yang

tinggi seperti di Gambar 3. Selain itu, kamera litar tertutup juga

18

ada dipasang di sudut luar pintu masuk ke ruangan penempatan

server untuk melihat pergerakan keluar masuk ke ruangan

tersebut seperti di Gambar 4. Namun begitu, tiada kamera litar

tertutup di pasang di dalam bilik server untuk memantau aktiviti di

dalam bilik server.

Gambar 3 Gambar4

Sistem pencegahan kebakaran yang digunakan di bilik server

ialah gas carbon dioxide dan juga water sprinkler, sistem di dalam

bilik server seperti di Gambar 5.

Adalah dimaklumkan bahawa sistem water sprinkler tersebut telah

dimatikan kerana sistem pemadam api berasaskan air adalah

tidak sesuai dan akan menyebabkan litar pintas dan seterusnya

menyebabkan kebakaran.

Gambar 5

19

Bagaimanapun persekitaran bilik server adalah kurang

memuaskan kerana terdapat barang yang tidak sepatutnya

berada di bilik server seperti rak yang menempatkan buku manual

dan backup tape yang telah digunakan, meja kosong yang tidak

digunakan serta bateri seperti di dalam Gambar 6 dan 7. Barang

tersebut sepatutnya di simpan di dalam stor IT dan bukan di

dalam bilik server.

Gambar 6 Gambar 7

UAD mencadangkan bilik server perlu dilengkapkan dengan

kamera litar tertutup untuk memantau aktiviti di bilik server bagi

memastikan keselamatan pangkalan data terjamin. Bilik server

juga perlu dikemaskan dan tidak disimpan barang-barang yang

sepatutnya ditempatkan di stor IT.

4.2.2 Kawalan Operasi dan Capaian

Kawalan Operasi dan Capaian perlu diwujudkan bagi memastikan had

capaian pegawai terhadap sistem atau program adalah terkawal.

20

Semakan Audit mendapati MQA mempunyai polisi terhadap kawalan

capaian dan aplikasi seperti dinyatakan dalam Dasar Keselamatan ICT

MQA. Dasar tersebut antaranya meliputi perkara berikut:

Tahap capaian dan sistem aplikasi oleh pengguna ditentukan oleh

Pentadbir Sistem ICT.

Setiap aktiviti capaian sistem maklumat dan aplikasi di rekod

dalam log.

Menghadkan capaian sistem dan aplikasi kepada tiga kali

percubaan.

Paparan notis peringatan di skrin pengguna bagi melindungi

maklumat dari sebarang bentuk salah guna.

4.2.3 Kawalan Capaian Logikal

Kawalan Capaian Logikal perlu diwujudkan bagi memastikan capaian

pengguna ke atas aplikasi dan data yang sensitif adalah dihadkan. Ia

juga penting bagi mengelakkan pengubahsuaian ke atas sistem tanpa

kelulusan.

Semakan Audit mendapati Bahagian Teknologi Maklumat telah

mewujudkan ID pengguna dan kata laluan bagi sistem ICT yang

digunakan di MQA. Selain itu, MyKad digunakan sebagai ID pengguna

seperti yang diarahkan oleh MAMPU. Pengguna juga diberi peluang

untuk menukar kata laluan mereka sendiri di Gerbang MQA. Bahagian

Teknologi Maklumat juga mewujudkan had capaian bagi sistem ICT

sebagai kawalan dalaman.

Oleh itu, UAD berpendapat kawalan Capaian Logikal yang diguna pakai

pada masa ini adalah memadai.

4.2.4 Kawalan Pelan Kesinambungan Perkhidmatan

Kawalan Pelan Kesinambungan perkhidmatan adalah penting bagi

menjamin operasi perkhidmatan agar tidak tergendala dan penyampaian

perkhidmatan yang berterusan kepada pelanggan.

21

Semakan Audit mendapati, Kawalan Pelan Kesinambungan Perniagaan

ada dinyatakan di dalam Dasar Kesinambungan Perkhidmatan di dalam

DKICT MQA, di mana MQA perlu membangunkan satu pelan yang akan

memastikan kesinambungan perkhidmatan dan pelan ini mestilah

diluluskan oleh JPICT. Namun begitu, Pelan Kesinambungan

Perkhidmatan ICT MQA ini masih di dalam peringkat pembangunan.

Sehingga tarikh auditan dijalankan, Bahagian Teknologi Maklumat telah

menyediakan pelan untuk pelaksanaan data backup di server.

Bagaimanapun Pelan Kesinambungan Perkhidmatan yang komprehensif

masih belum selesai disediakan dan BTM ada perancangan untuk

mengadakan backup perisian komputer serta prosuder pemulihan

bencana.

4.2.5 Kawalan End User Computing

Kawalan End User Computing adalah untuk menilai kawalan persekitaran

pengguna. Sehubungan itu, polisi penggunaan perkakasan atau perisian,

keperluan keselamatan, program backup serta perlindungan dari virus

dan kecurian hendaklah diwujudkan.

UAD mendapati Dasar Keselamatan ICT MQA ada menggariskan

kawalan End User Computing. Dasar tersebut antaranya meliputi perkara

berikut:

Tanggungjawab pengguna sistem ICT.

Tatacara kawalan keselamatan penggunaan perkakasan dan

perisian.

Langkah keselamatan pengurusan dokumentasi atau

penyimpanan maklumat.

Peminjaman perkakasan untuk penggunaan di luar pejabat.

Keselamatan media storan luaran.

Kawalan terhadap komputer yang ditinggalkan sementara seperti

penggunaan screen saver.

Selain itu, MQA ada mengeluarkan Arahan Pentadbiran Bilangan 1/2008,

Etika Penggunaan E-mel dan Internet sebagai panduan kepada

pengguna di MQA bagi tujuan memberi makluman kepada warga MQA

berkenaan peraturan penggunaan E-mel dan Internet.

22

5. RUMUSAN DAN SYOR AUDIT DALAM

Pada keseluruhannya, pihak Audit mendapati pengurusan kawalan ICT di MQA adalah

memuaskan. Bagaimanapun beberapa kelemahan yang dibangkitkan perlu diberi

perhatian dan diambil tindakan penambahbaikan. Sehubungan itu, Audit Dalam

mengesyorkan perkara berikut diberi pertimbangan untuk mengatasi masalah yang

dibangkitkan.

Melabelkan semua aset ICT.

Melengkapkan borang KEW. PA 2 dan KEW. PA 3.

Bilik server dilengkapkan dengan kamera litar tertutup untuk pemantauan.

Memperkemaskan bilik server.

Menyediakan Pelan Kesinambungan Perkhidmatan yang komprehensif bagi

menjamin operasi perkhidmatan secara berterusan.

laporan auditan pengurusan kawalan ict 1. latar … pemerh… · pkpa bil. 8 tahun 1991 dan...

Documents