sejarah dokumen april 2020 · 3 i. pengenalan 6 ii. tujuan 6 iii. objektif 6 iv. 7skop v....

2

SEJARAH DOKUMEN

TARIKH VERSI

Mei 2012 1.0

Sept 2014 2.0 diluluskan pada mesyuarat JPICT Bil 3 2015 pada 9 Okt 2015

April 2020 3.0 Perkara DA-050208 Komputer Sewaan :

Penambahbaikan kepada peralatan ICT Sewaan. Diselaraskan seperti Garis Panduan Dalaman Penggunaan Komputer Sewaan Di Perbendaharaan Malaysia yang berkuatkuasa pada 6 Feb 2020.

Garis panduan Komputer Sewaan UKAS telah diluluskan dalam Mesyuarat JPICT UKAS Bil 2 /2020 pada 17 April 2020.

3

I. PENGENALAN 6

II. TUJUAN 6

III. OBJEKTIF 6

IV. SKOP 7

V. PERNYATAAN DASAR 8

VI. PRINSIP-PRINSIP 10

BIDANG 01 : PEMBANGUNAN DAN PENYELENGGARAAN DASAR

16

DA-010101 Pelaksanaan Dasar 16

DA-010102 Penyebaran Dasar 16

DA-010103 Penyelenggaraan Dasar 16

DA-010104 Pengecualian Dasar 16

BIDANG 02 : KESELAMATAN ORGANISASI 17

DA-020101 Ketua Pengarah 17

DA-020102 Ketua Pegawai Maklmat (CIO) 17

DA-020103 Pengurus ICT 17

DA-020104 Pegawai Keselamatan ICT (ICTSO) 18

DA-020105 Pentadbir Sistem ICT 19

DA-020106 Pengguna 20

DA-020201 Keperluan Keselamatan Maklumat Dengan Pihak Ketiga

21

DA-020301 Analisa Risiko 22

BIDANG 03 : KAWALAN, PENGELASAN ASET & MAKLUMAT 23

DA-030101 Inventori Aset 23

DA-030201 Pengkelasan Maklumat 23

DA-030202 Pengendalian Maklumat 24

4

DA-030203 Jenis Ancaman 25

BIDANG 04 : KESELAMATAN SUMBER MANUSIA 26

DA-040101 Bertukar Atau Tamat Perkhidmatan 26

DA-040102 Perakuan Akta Rahsia Rasmi 26

DA-040201 Program Kesedaran Keselamatan ICT 27

BIDANG 05 : KESELAMATAN FIZIKAL ICT 27

DA-050101 Kawasan Larangan 27

DA-050201 Keselamatan Komputer 28

DA-050202 Keselamatan Komputer riba 29

DA-050203 Keselamatan Dokumen 30

DA-050204 Keselamatan Media Storan 31

DA-050205 Pemusnahan Media 32

DA-050206 Peminjaman Perkakasan Untuk Kegunaan Di Luar Pejabat

32

DA-050207 Peralatan di Luar Premis 23

DA-050208 Komputer Sewaan 23 –39

DA-050209 Pelupusan 40

DA-050210 Clear Desk dan Clear Screen

41

42 BIDANG 06: PENGURUSAN OPERASI DAN KOMUNIKASI

DA-060101 Pengendalian SOP 42

DA-060201 Penerimaan Sistem 42

DA-060301 Perlindungan Dari Perisian Berbahaya 43

DA-060401 Penduaan 44

DA-060501 Kawalan Infrastruktur Rangkaian 44

5

DA-060601 Internet 46

DA-060602 Mel Elektronik 47-48

BIDANG 07 : KAWALAN CAPAIAN 49

DA-070101 Akaun Pengguna 49

DA-070102 Pengurusan Katalaluan 50

DA-070201 Sistem Maklumat dan Aplikasi 51

DA-070301 Penggunaan Peralatan Komputer Mudah Alih

51

BIDANG 08 : PEMBANGUNAN DAN PENYELENGGARAAN SIS-TEM

52

DA-080101 Keperluan Keselamatan 52

DA-080201 Penyulitan 52

DA-080202 Tandatangan Digital 52

DA-080301 Kawalan Fail-Fail Sistem 53

DA-080401 Kawalan Perubahan 53

DA-080402 Pembangunan Sistem Secara Outsource 54

DA-080403 Dasar Penggunaan Perkhidmatan Luar (Outsourcing)

55

BIDANG 09 : Pengurusan Kesinambungan Perkhidmatan 56

DA-090101 Pelan Kesinambungan Perkhidmatan 56

DA-090102 Penduaan 56

DA-090103 Pelan Pemulihan Bencana (DRP) 57

57 BIDANG 10: PEMATUHAN

DA-100101 Pematuhan Dasar 58

DA-100102 Keperluan Peraturan 58

11. RUJUKAN 59-61

6

I. PENGENALAN

1. Sejajar dengan matlamat Kerajaan untuk memodenkan sistem penyampaian perkhid-

matan, sebahagian besar urusan harian Unit Kerjasama Awam Swasta (UKAS) telah dil-

aksanakan secara elektronik dengan menggunakan kemudahan ICT. Namun begitu,

penggunaan kemudahan ICT ini terdedah kepada penyalahgunaan yang akan menyebabkan

maklumat dibocorkan, diubah atau dirosakkan sama ada secara kebetulan atau dengan sen-

gaja. Oleh yang demikian adalah perlu bagi UKAS menyediakan dasar keselamatan ICT yang

menggariskan peraturan-peraturan bagi melindungi semua kepentingan ICT dari ancaman-

ancaman yang tidak diingini.

II. TUJUAN

2. Dasar Keselamatan ICT mengandungi peraturan-peraturan yang mesti dibaca dan

dipatuhi dalam menggunakan aset teknologi maklumat dan komunikasi (ICT) UKAS. Dasar ini

juga menerangkan kepada semua pengguna di UKAS mengenai tannggungjawab dan peran-

an mereka di dalam melindungi aset ICT UKAS. Ia merangkumi perlindungan semua bentuk

maklumat Kerajaan yang dimasuk, diwujud, dimusnah, disimpan ,dijana, dicetak, diakses,

diedar, dalam penghantaran, dan yang dibuat salinan keselamatan ke dalam semua aset ICT.

III. OBJEKTIF

3. Objektif utama Dasar keselamatan ICT UKAS adalah untuk :-

a. memastikan kelancaran operasi jabatan dan meminimumkan kerosakan atau

kemusnahan;

b. melindungi kepentingan pihak-pihak yang bergantung pada sistem maklumat da-

ripada kesan kegagalan atau kelemahan dari segi kerahsiaan, integriti, ke-

bolehsediaan, kesahihan maklumat dan komunikasi; dan

c. Mencegah salahguna atau kecurian aset ICT jabatan.

7

IV. SKOP

4. Aset ICT UKAS terdiri daripada perkakasan, perisian, perkhidmatan, data atau

maklumat dan manusia. Dasar Keselamatan ICT UKAS menetapkan keperluan-

keperluan asas berikut:

a. Data dan maklumat – Semua data dan maklumat yang disimpan atau

digunakan di pelbagai media storan atau peralatan ICT;

b. Aset ICT – Semua peralatan komputer dan perkakasan seperti komputer peri-

badi, stesen kerja, kerangka utama dan alat-alat prasarana seperti Uninter-

rupted Power Supply (UPS), punca kuasa dan penyaman udara;

c. Media Storan – Semua media storan dan peralatan yang berkaitan seperti

disket, kartrij, CD-ROM, pita, cakera, pemacu cakera, pemacu pita dan pen

drive;

d. Komunikasi dan Peralatan Rangkaian – Semua peralatan berkaitan komu-

nikasi seperti pelayan rangkaian, gateway, bridge, router dan peralatan PABX;

e. Perisian – Semua perisian yang digunakan untuk mengendali, memproses,

menyimpan, menjana dan mengirim maklumat. Ini meliputi semua perisian sis-

tem, perisian utiliti, perisian rangkaian, program aplikasi, pangkalan data, fail

program dan fail data;

f. Dokumentasi – Semua dokumentasi yang mengandungi maklumat berkaitan

dengan penggunaan dan pemasangan peralatan dan perisian. Ia juga meliputi

data dalam semua bentuk media seperti salinan kekal, salinan elektronik,

transparencies, risalah dan slides;

g. Manusia – Semua pengguna yang dibenarkan termasuk pentadbir dan pengu-

rus serta mereka yang bertanggungjawab terhadap keselamatan ICT; dan

h. Premis Komputer dan Komunikasi – Semua kemudahan serta premis yang

digunakan untuk menempatkan perkara (a) – (g) di atas.

5. Dasar ini adalah terpakai kepada semua pengguna di UKAS termasuk kakitangan,

pembekal dan pakar runding yang mencapai, mengurus, menyelenggara, memproses,

8

V. PERNYATAAN DASAR

6. Keselamatan ditakrifkan sebagai keadaan yang bebas daripada ancaman dan risiko

yang tidak boleh diterima. Penjagaan keselamatan adalah suatu proses yang berterusan. Ia

melibatkan aktiviti berkala yang mesti dilakukan dari semasa ke semasa untuk menjamin

keselamatan kerana ancaman dan kelemahan sentiasa berubah. Keselamatan ICT adalah

bermaksud keadaan di mana segala urusan menyedia dan membekalkan perkhidmatan

yang berasaskan kepada sistem ICT berjalan secara berterusan tanpa gangguan yang

boleh menjejaskan keselamatan.

7. Keselamatan ICT berkait rapat dengan perlindungan aset ICT. Terdapat empat (4)

komponen asas keselamatan ICT iaitu:

a. melindungi maklumat rahsia rasmi dan maklumat rasmi Kerajaan dari capaian

tanpa kuasa yang sah;

b. menjamin setiap maklumat adalah tepat dan sempurna;

c. memastikan ketersediaan maklumat apabila diperlukan oleh pengguna; dan

d. memastikan akses kepada hanya pengguna-pengguna yang sah atau pen-

erimaan maklumat dari sumber yang sah.

8. Dasar Keselamatan ICT UKAS merangkumi perlindungan ke atas semua bentuk

maklumat elektronik bertujuan untuk menjamin keselamatan maklumat tersebut dan ke-

bolehsediaan kepada semua pengguna yang dibenarkan. Ciri-ciri utama keselamatan

maklumat adalah seperti berikut:

a. Kerahsiaan

Maklumat tidak boleh didedahkan sewenang-wenangnya atau dibiarkan diakses

tanpa kebenaran;

b. Integriti

Data dan maklumat hendaklah tepat, lengkap dan kemas kini. Ia hanya boleh diu-

bah dengan cara yang dibenarkan;

9

c. Tidak Boleh Disangkal

Punca data dan maklumat hendaklah dari punca yang sah dan tidak boleh

disangkal;

d. Kesahihan

Data dan maklumat hendaklah dijamin kesahihannya; dan

e. Ketersediaan

Data dan maklumat hendaklah boleh diakses pada bila-bila masa.

9. Selain dari itu, langkah-langkah ke arah menjamin keselamatan ICT hendaklah ber-

sandarkan kepada penilaian yang bersesuaian dengan perubahan semasa terhadap:

a. kelemahan semula jadi aset ICT;

b. ancaman yang wujud akibat daripada kelemahan tersebut;

c. risiko yang mungkin timbul; dan

d. langkah-langkah pencegahan sesuai yang boleh diambil untuk menangani ris

berkenaan.

V. PRINSIP-PRINSIP

10. Lapan (8) prinsip yang menjadi asas kepada DKICT UKAS adalah seperti berikut:

a. Akses Atas Dasar Perlu Mengetahui

Akses terhadap penggunaan aset ICT hanya diberikan untuk tujuan spesifik dan

dihadkan kepada pengguna tertentu atas dasar “perlu mengetahui” sahaja. Ini bermak-

na akses hanya akan diberikan sekiranya peranan atau fungsi pengguna memerlukan

maklumat tersebut. Pertimbangan akses dibawah prinsip ini adalah berasaskan klas-

ifikasi maklumat dan tapisan keselamatan pengguna seperti berikut:

10

i. Klasifikasi Maklumat

Keselamatan ICT jabatan hendaklah mematuhi ”Arahan Keselamatan”

Perenggan 53, mukasurat 15, dimana maklumat ikategorikan kepada

Rahsia Besar, Rahsia, Sulit dan Terhad. Data, bahan atau maklumat

rasmi yang sensitif atau bersifat terperingkat perlu dilindungi daripada

pendedahan, dimanipulasi atau diubah semasa dalam penghantaran.

Penggunaan kod dan tandatangan digital mesti dipertimbangkan bagi

melindungi data yang dihantar secara elektronik. Dasar kawalan akses

ke atas aplikasi atau sistem juga hendaklah mengikut klasifikasi

maklumat yang sama, iaitu sama ada rahsia besar, rahsia, sulit atau ter-

had.

ii. Tapisan Keselamatan Pengguna

Dasar keselamatan ICT Jabatan adalah mematuhi prinsip bahawa

pengguna boleh diberi kebenaran mengakses kategori maklumat tertentu

setelah siasatan latarbelakang menunjukkan tiada sebab atau faktor un-

tuk menghalang pengguna daripada berbuat demikian.

b. Hak akses minimum

Hak akses pengguna hanya diberi pada tahap set yang paling minimum iaitu

untuk membaca dan/atau melihat sahaja. Kelulusan khas adalah perlu untuk

membolehkan pengguna mewujud, menyimpan, mengemaskini, mengubah

atau membatalkan sesuatu maklumat. Hak akses adalah dikaji dari semasa ke

semasa berdasarkan kepada peranan dan tanggungjawab pengguna/bidang

tugas;

c. Akauntabiliti

Semua pengguna adalah bertanggungjawab ke atas semua tindakannya ter-

hadap aset ICT UKAS; Tanggungjawab ini perlu dinyatakan dengan jelas sesuai

dengan tahap sensitiviti sesuatu sumber ICTUntuk menentukan tanggungjawab

ini dipatuhi, sistem ICT hendaklah mampu menyokong kemudahan mengesan

atau mengesah bahawa pengguna sistem maklumat boleh dipertanggungja-

wabkan atas tindakan mereka. Akauntabiliti atau tanggungjawab pengguna ter-

masuklah: .

11

i. menghalang pendedahan maklumat kepada pihak yang tidak

dibenarkan.

ii. memeriksa maklumat dan menentukan ia tepat dan lengkap dari

semasa ke semasa.

iii. menentukan maklumat sedia untuk digunakan.

iv. menjaga kerahsiaan katataluan.

v. mematuhi standard, prosedur, langkah dan garis panduan kesela-

matan yang ditetapkan.

vi. memberi perhatian kepada maklumat terperingkat terutama sema-

sa pengwujudan, pemprosesan, penyimpanan, penghantaran, per-

tukaran dan pemusnahan.

vii. menjaga kerahsiaan langkah-langkah keselamatan ICT daripada

diketahui umum.

d. Pengasingan

Tugas mewujud, memadam, kemaskini, mengubah dan mengesahkan data perlu

diasingkan bagi mengelakkan daripada capaian yang tidak dibenarkan serta

melindungi aset ICT daripada kesilapan, kebocoran maklumat terperingkat atau

dimanipulasi dan seterusnya mengekalkan integriti dan kebolehsediaan. Penga-

singan juga merangkumi tindakan memisahkan antara kumpulan operasi dan

rangkaian. Ia bertujuan untuk mengasingkan akses kepada domain kedua-dua

kumpulan tersebut seperti akses kepada fail data, fail program, kemudahan sis-

tem dan komunikasi, manakala pemisahan antara domain pula adalah untuk

mengawal dan mengurus perubahan pada konfigurasi dan keperluan sistem. Pa-

da tahap minimum, semua sistem ICT perlu mengekalkan persekitaran operasi

yang berasingan seperti berikut:

12

i. persekitaran pembangunan dimana sesuatu dalam proses pem-

bangunan;

ii. persekitaran penerimaan iaitu peringkat dimana sesuatu aplikasi diuji;

dan

iii. persekitaran sebenar dimana aplikasi sedia untuk dioperasikan.

e. Pengauditan

Pengauditan adalah tindakan untuk mengenalpasti insiden berkaitan kesela-

matan atau mengenalpasti keadaan yang mengancam keselamatan. Ia mem-

babitkan pemeliharaan semua rekod berkaitan tindakan keselamatan. Dengan

itu, aset ICT seperti komputer, pelayan, router, firewall dan rangkaian hendaklah

ditentukan dapat menjana dan menyimpan log tindakan dan audit trail. Audit

trail penting apabila wujud keperluan untuk mengenalpasti punca masalah atau

ancaman kepada keselamatan ICT. Rekod audit hendaklah dilindungi dan

tersedia untuk penilaian atau tindakan serta merta. Pengauditan juga perlu dibu-

at pada rekod-rekod manual seperti dokumen operasi, nota serah tugas, kelu-

lusan keluar pejabat, memorandum, borang kebenaran, surat kuasa, senarai

inventori dan kemudahan akses log. Ini adalah kerana dalam kes-kes tertentu,

dokumen ini diperlukan untuk menyokong audit trail sistem komputer. Sistem

pengauditan penting dalam menjamin akauntabiliti. Antara lain sistem ini dapat

dirujuk bagi menentukan perkara-perkara berikut:

i. mengesan pematuhan atau pelanggaran keselamatan.

ii. menyediakan catatan peristiwa mengikut urutan masa yang boleh

digunakan untuk mengesan punca berlakunya pelanggaran keselamatan.

iii. menyediakan bahan bukti bagi menentukan sama ada berlakunya

pelanggaran keselamatan.

13

f. Pematuhan

Dasar Keselamatan ICT UKAS hendaklah dibaca, difahami dan dipatuhi bagi

mengelakkan sebarang bentuk pelanggaran ke atasnya yang boleh membawa

ancaman kepada keselamatan ICT. Pematuhan merupakan prinsip penting dalam

menghindar dan mengesan sebarang pelanggaran polisi. Pematuhan kepada

polisi keselamatan ICT jabatan boleh dicapai melalui tindakan berikut:

i. mewujud proses yang sistematik khususnya dalam menjamin keselamatan

ICT untuk memantau dan menilai tahap pematuhan langkah-langkah

keselamatan yang telah dikuatkuasakan.

ii. merumus pelan pematuhan untuk menangani sebarang kelemahan atau

kekurangan langkah-langkah keselamatan ICT yang dikenalpasti.

iii. melaksana program pemantauan keselamatan secara beterusan untuk me-

mastikan standard, prosedur dan garis panduan keselamatan dipatuhi.

iv. menguatkuasa amalan melapor sebarang peristiwa yang mengancam

keselamatan ICT dan seterusnya mengambil tindakan pembetulan.

g. Pemulihan

Pemulihan sistem amat perlu untuk memastikan kebolehsediaan dan kebole-

hcapaian. Objektif utama adalah untuk meminimumkan sebarang gangguan atau

kerugian akibat daripada ketidaksediaan. Antara lain, pemulihan boleh dilakukan

melalui tindakan-tindakan berikut:

i. merumus dan menguji Pelan Pemulihan Bencana (Disaster Recovery

Plan). UKAS akan merancang pelan pemulihan bencana selepas pelaksa-

naan sistem pengurusan pengauditan.

ii. mengamalkan langkah-langkah salinan data dan lain-lain amalan baik da-

lam penggunaan ICT seperti menghapuskan virus, langkah-langkah

pencegahan kebakaran dan amalan clean desk.

14

h. Saling Bergantungan

Langkah-langkah keselamatan ICT yang berkesan memerlukan pematuhan kepa-

da semua prinsip-prinsip di atas. Setiap prinsip adalah saling lengkap-melengkapi

antara satu sama lain. Dengan itu, tindakan mempelbagaikan pendekatan dalam

menyusun dan mencorak sebanyak mungkin mekanisma keselamatan, dapat

menjamin keselamatan yang maksimum. Prinsip saling bergantung meliputi be-

berapa peringkat dimana ditahap minimum, mengandungi langkah-langkah beri-

kut:

i. Sambungan Kepada Internet

Semua komunikasi antara sistem ICT dengan sistem luar hendaklah me-

lalui mekanisma pusat untuk mengurus, menguatkuasa dan mengawas

sebarang bahaya keselamatan. Melalui sistem ini, semua trafik dalaman

hendaklah melalui gateway firewall yang diurus secara berpusat. Semua

trafik dari luar ke dalam hendaklah juga melalui laluan ini atau melalui kum-

pulan modem yang dikawal secara berpusat. Dengan itu penggunaan mo-

dem dalaman tidak dibenarkan;

ii. Backbone Rangkaian

Backbone rangkaian akan hanya mengendalikan trafik yang telah dikod un-

tuk meminimumkan intipan;

iii. Rangkaian Jabatan

Semua rangkaian jabatan akan dihubungkan ke backbone melalui firewall

yang akan mengkod semua trafik di antara rangkaian di peringkat yang

seterusnya atau pusat data; dan

iv. Server Jabatan

Hanya data dan maklumat yang kritikal atau sensitif sahaja yang akan

disimpan di server jabatan yang diurus secara berpusat. Ini akan memini-

mumkan pendedahan, pengubahan atau kecurian. Semua data dan

maklumat sensitif akan dikodkan.

15

10. Langkah-langkah keselamatan ICT yang digariskan dalam DKICT UKAS mematuhi

semua prinsip di atas dan meliputi bidang-bidang berikut:

a. Pembangunan dan Penyelenggaraan Dasar;

b. Keselamatan Organisasi;

c. Kawalan, Pengelasan Aset dan Maklumat;

d. Keselamatan Sumber Manusia;

e. Keselamatan Fisikal ICT;

f. Pengurusan Operasi dan Komunikasi;

g. Kawalan Capaian; dan

h. Pembangunan dan Penyelenggaraan Sistem

16

BIDANG 01 : PEMBANGUNAN DAN PENYELENGGARAAN DASAR

Dasar Keselamatan ICT

Objektif: Menerangkan hala tuju dan sokongan pengurusan terhadap keselamatan maklumat

selaras dengan keperluan UKAS.

DA-010101 Pelaksanaan Dasar

Pelaksanaan dasar ini akan dijalankan oleh Ketua Pengarah UKAS dibantu oleh Jawatankuasa Pemandu Keselamatan ICT yang terdiri daripada Ketua Pegawai Maklumat (CIO), Pegawai Keselamatan ICT (ICTSO). Pengurus ICT dan Pegawai Keselamatan Jabatan.

Tanggungjawab:

Ketua Pengarah

DA-010102 Penyebaran Dasar

Dasar ini perlu disebarkan kepada semua pengguna UKAS (termasuk kakitangan, pembekal, pakar runding dll.)

Tanggungjawab:

CIO Pengurus ICT

DA-010103 Penyelenggaraan Dasar

Dasar Keselamatan ICT Kerajaan adalah tertakluk kepada semakan dan pindaan dari semasa ke semasa selaras dengan perubahan teknologi, aplikasi, prosedur, perundangan dan kepentingan sosial. Prosedur yang berhubung dengan penyelenggaraan Dasar Kesela-matan ICT UKAS adalah seperti berikut:

a. kenalpasti dan tentukan perubahan yang diperlukan;

b. kemuka cadangan pindaan secara bertulis kepada CIO untuk pembentangan dan persetujuan Jawa-tankuasa Pemandu ICT (JPICT) UKAS; dan

c. perubahan yang telah dipersetujui oleh JPICT UKAS dimaklumkan kepada semua pengguna.

Tanggungjawab:

Pengurus ICT ICTSO

DA-010104 Pengecualian Dasar

Dasar Keselamatan ICT UKAS adalah terpakai kepada semua pengguna ICT UKAS dan tiada pengecualian diberikan.

Tanggungjawab:

Pengguna

17

BIDANG 02 : KESELAMATAN ORGANISASI

Infrastruktur Keselamatan Organisasi Objektif:

Menerangkan peranan dan tanggungjawab individu yang terlibat dengan lebih jelas dan teratur dalam mencapai DKICT UKAS.

DA-020101 Ketua Pengarah

Peranan dan tanggungjawab Ketua Pengarah adalah seperti berikut:

a. memastikan semua pengguna memahami peruntukan-peruntukan di bawah Dasar Keselamatan ICT UKAS;

b. memastikan semua pengguna mematuhi Dasar Kesela-matan ICT UKAS;

c. memastikan semua keperluan organisasi (sumber kewangan, sumber kakitangan dan perlindungan kesela-matan) adalah mencukupi; dan

d. memastikan penilaian risiko dan program keselamatan ICT dilaksanakan seperti yang ditetapkan di dalam Dasar Keselamatan ICT UKAS.

Tanggungjawab:

Ketua Pengarah

DA-020102 Ketua Pegawai Maklumat (CIO)

Timbalan Ketua Pengarah (Dasar) UKAS adalah merupakan Ketua Pegawai Maklumat (CIO). Peranan dan tanggungjawab beliau adalah seperti berikut:

a. bertanggungjawab kepada Ketua Pengarah dalam melaksanakan dasar keselamatan ICT Jabatan;

b. merangka pelan tindakan keselamatan ICT jabatan; dan

c. memastikan pelaksanaan dasar keselamatan ICT.

Tanggungjawab:

CIO

DA-020103 Pengurus ICT

Ketua Unit ICT adalah merupakan Pengurus ICT UKAS. Peranan dan tanggungjawab Pengurus ICTadalah seperti berikut:

a. membaca, memahami dan mematuhi Dasar Keselamatan ICT UKAS;

b. mengkaji semula dan melaksanakan kawalan keselamatan ICT selaras dengan keperluan UKAS;

c. menentukan kawalan akses semua pengguna terhadap aset ICT UKAS;

d. melaporkan sebarang perkara atau penemuan mengenai keselamatan ICT kepada CIO; dan

e. menyimpan rekod, bahan bukti dan laporan terkini mengenai ancaman keselamatan ICT UKAS.

Tanggungjawab:

Pengurus ICT

18

DA-020104 Pegawai Keselamatan ICT (ICTSO)

Peranan dan tanggungjawab ICTSO yang dilantik adalah seperti berikut:

a. mengurus keseluruhan program Keselamatan ICT Jabatan;

b. menguatkuasa dasar, standard dan garis panduan Kesela-matan ICT jabatan (dokumen ini hendaklah sentiasa dikemaskini selaras dengan perubahan teknologi, hala tuju organisasi dan ancaman);

c. membantu dalam membangunkan piawai atau garis pan-duan yang khusus selaras dengan keperluan dasar kesela-matan ICT untuk suatu aplikasi spesifik dalam jabatan;

d. melaksanakan audit bagi mengenalpasti pelanggaran dasar, standard atau garis panduan keselamatan ICT yang telah ditetapkan (non compliance);

e. memastikan setiap keperluan pengecualian dasar hen-daklah selaras dengan analisis penerimaan risiko;

f. mencadangkan penyelesaian bagi mengatasi sebarang pelanggaran dasar (non compliance);

g. mengkaji dan meneliti laporan-laporan audit berkaitan keselamatan ICT;

h. mengesahkan bahawa ancaman-ancaman utama kepada aset-aset maklumat telah dikenalpasti dan difahami oleh pihak pengurusan;

i. sentiasa mengemaskini maklumat tentang ancaman-ancaman terbaru, teknologi pemprosesan dan juga kawalan dan kaedah perlindungan maklumat yang terbaru;

j. menyedia dan menyebar amaran berkenaan ancaman yang serius dan ketara terhadap asset-aset maklumat, seperti se-rangan virus komputer;

k. menubuhkan sebuah pasukan bertindak keselamatan untuk menangani insiden keselamatan ICT;

l. menyelaras atau membantu dalam siasatan ancaman atau serangan ke atas aset maklumat;

m. membantu dalam aktiviti pemulihan selepas serangan;

n. membuat laporan berkenaan isu keselamatan ICT kepada Pengurus ICT dan CIO; dan

o. melaporkan insiden keselamatan ICT kepada Pasukan Tin-dak balas Insiden Keselamatan ICT (GCERT) MAMPU.

Tanggungjawab:

ICTSO

19

DA-020105 Pentadbir Sistem ICT

Pegawai Teknologi Maklumat Operasi & Rangkaian dan Aplikasi di Unit ICT atau Penolong Pegawai Teknologi Maklumat yang diper-tanggungjawabkan adalah merupakan Pentadbir Sistem ICT UKAS. Peranan dan tanggungjawab pentadbir sistem ICT adalah seperti beri-kut:

a. mengambil tindakan yang bersesuaian dengan segera apa-bila dimaklumkan mengenai kakitangan yang berhenti, ber-tukar, bercuti atau berlaku perubahan dalam bidang tugas;

b. menentukan ketepatan dan kesempurnaan sesuatu tahap capaian berdasarkan arahan pemilik sumber maklumat se-bagaimana yang telah ditetapkan di dalam Dasar Kesela-matan ICT UKAS;

c. memantau aktiviti capaian harian pengguna;

d. mengenal pasti aktiviti-aktiviti tidak normal seperti pencero-bohan dan pengubahsuaian data tanpa kebenaran dan membatal atau memberhentikannya dengan serta merta;

e. bertanggungjawab memantau setiap perkakasan ICT yang diagihkan kepada pengguna seperti komputer peribadi, komputer riba, pencetak, pengimbas dan sebagainya di da-lam keadaan yang baik; dan

f. memastikan pembangunan sistem aplikasi mengambil kira dan mematuhi ciri-ciri keselamatan yang termaktub di dalam Dasar Keselamatan ICT UKAS.

Tanggungjawab:

Pentadbir Sistem

20

DA-020106 Pengguna

Warga UKAS adalah merupakan pengguna dan peranan serta tanggungjawab pengguna adalah seperti berikut:

a. membaca, memahami dan mematuhi Dasar Keselamatan ICT UKAS supaya semua peraturan yang berkaitan dipatuhi bagi me-mastikan keselamatan ICT terjamin;

b. mengetahui dan memahami implikasi keselamatan ICT kesan dari tindakannya;

c. lulus tapisan keselamatan;

d. melaksanakan prinsip-prinsip Dasar Keselamatan ICT dan menja-ga kerahsiaan maklumat UKAS;

e. melaksanakan langkah-langkah perlindungan seperti berikut:

i. menghalang pendedahan maklumat kepada pihak yang tidak dibenarkan;

ii. memeriksa maklumat dan menentukan ia tepat dan lengkap dari semasa ke semasa;

iii. menentukan maklumat sedia untuk digunakan;

iv. menjaga kerahsiaan kata laluan;

v. mematuhi standard, prosedur, langkah dan garis panduan keselamatan yang ditetapkan;

vi. memberi perhatian kepada maklumat terperingkat terutama semasa pewujudan, pemprosesan, penyimpanan, penghantaran, penyampaian, per-tukaran dan pemusnahan; dan

vii. menjaga kerahsiaan langkah-langkah kesela-matan ICT dari diketahui umum.

f. melaporkan sebarang aktiviti yang mengancam keselamatan ICT kepada ICTSO dengan segera;

g. mematuhi semua arahan-arahan dan peraturan keselamatan per-sonel yang termakub di dalam Buku Arahan Keselamatan Kera-jaan;

h. menghadiri program-program kesedaran mengenai keselamatan ICT; dan

i. menandatangani surat akuan pematuhan Dasar Keselamatan ICT UKAS seperti LAMPIRAN 1.

Tanggungjawab:

Pengguna

21

Pihak Ketiga

Objektif: Menjamin keselamatan semua aset ICT yang digunakan oleh Pihak Ketiga.

DA-020201 Keperluan Keselamatan Maklumat Dengan Pihak Ketiga

Langkah-langkah yang perlu dilaksanakan bagi menjamin keselamatan aset ICT yang digunakan oleh Pihak Ketiga adalah seperti berikut:

a. akses kepada aset ICT UKAS perlu berlandaskan kelulusan ICTSO UKAS atau Pengurus ICT;

b. mengenal pasti risiko keselamatan maklumat dan kemudahan pemprosesan maklumat serta melaksanakan kawalan yang sesuai sebelum memberi kebenaran capaian;

c. mengenal pasti keperluan keselamatan sebelum memberi kebenaran capaian atau penggunaan; dan

d. memastikan Pihak Ketiga berkenaan menandatangani Borang Perakuan Akta Rahsia Rasmi 1972.

Tanggungjawab:

ICTSO Pengurus ICT

Pentadbir Sistem Pihak Ketiga

22

Pengurusan Risiko

Objektif: Memastikan operasi jabatan berterusan dengan meminimumkan kerosakan dan

mengelakkan insiden-insiden keselamatan.

DA-020301 Analisa Risiko

Langkah-langkah yang perlu dilaksanakan adalah seperti berikut:

a. membuat analisa risiko ancaman keselamatan ICT setahun sekali. Ini untuk memastikan operasi Jabatan berterusan dengan meminimumkan kerosakan dan mengelakkan in-siden-insiden keselamatan. Pihak pengurusan perlu mengambil langkah untuk mengurangkan risiko, menerima dan memantau baki risiko;

b. mengenalpasti risiko dan ancaman adalah langkah yang kritikal untuk melindungi aset ICT. Ini akan dapat me-nyelamatkan Jabatan dari mendapat malu disebabkan oleh pendedahan maklumat yang tidak sepatutnya;

c. langkah yang teratur perlu di ambil bagi menangani risiko dan ancaman supaya dapat mengelakkan operasi jabatan daripada terganggu;

d. langkah-langkah untuk mengenalpasti risiko dan ancaman, adalah seperti berikut:

i. menilai semula maklumat yang terkandung dalam sistem. Setelah ini dilakukan, nilai yang dikaitkan dengan aset ICT boleh mengenalpasti tahap dan jenis risiko yang boleh ditoleransi;

ii. mengenalpasti peristiwa yang akan menyebabkan gangguan operasi harian; dan

iii. menetapkan keutamaan kepada elemen risiko yang dikenalpasti.

Tanggungjawab:

CIO ICTSO

Pengurus ICT Pentadbir Sis-

tem

23

BIDANG 03 : KAWALAN, PENGELASAN ASET & MAKLUMAT

Akauntabiliti Aset

Objektif: Memberi dan menyokong perlindungan yang bersesuaian ke atas semua aset ICT

UKAS.

DA-030101 Inventori Aset

Semua aset ICT UKAS hendaklah direkodkan di dalam sistem Pengu-rusan Aset (SPA) UKAS. Ini termasuklah mengenalpasti aset, menge-las aset mengikut tahap sensitiviti aset berkenaan dan merekodkan maklumat seperti pemilik dan sebagainya. Setiap pengguna adalah bertanggungjawab sepenuhnya ke atas semua aset ICT di bawah tanggungjawabnya.

Tanggungjawab:

Pentadbir Sistem Pengguna

Pengendalian dan Pengelasan Maklumat

Objektif: Memastikan setiap maklumat atau aset ICT diberikan tahap perlindungan yang ber-

sesuaian.

DA-030201 Pengelasan Maklumat

Maklumat hendaklah dikelas dan dilabelkan sewajarnya. Setiap maklumat yang dikelaskan mestilah mempunyai peringkat keselamatan sebagaimana yang telah ditetapkan di dalam dokumen Arahan Kesela-matan seperti berikut:

a. Rahsia Besar;

b. Rahsia;

c. Sulit; atau

d. Terhad.

Kandungan maklumat yang telah diwujudkan secara digital juga mengi-kut klasifikasi yang sama. Walau bagaimanapun, perlindungan kepada maklumat digital perlu dilakukan dengan cara yang sesuai seperti enkripsi, pengkodan warna dan melabel.

Tanggungjawab:

Pengguna

24

DA-030202 Pengendalian Maklumat

Aktiviti pengendalian maklumat seperti mengumpul, memproses, menyim-pan, menghantar, menyampai, pertukaran dan pemusnahan hendaklah mengambilkira langkah-langkah keselamatan berikut:

a. menghalang pendedahan maklumat kepada pihak yang tidak dibenarkan;

b. memeriksa maklumat dan menentukan ia tepat dan lengkap dari semasa ke semasa;

c. menentukan maklumat sedia untuk digunakan;

d. menjaga kerahsiaan kata laluan;

e. mematuhi standard, prosedur, langkah dan garis panduan keselamatan yang ditetapkan dan mengikuti pekeliling yang berkuatkuasa; dan

f. memberi perhatian kepada maklumat terperingkat terutama se-masa pewujudan, pemprosesan, penyimpanan, penghantaran, penyampaian, pertukaran dan pemusnahan.

Tanggungjawab:

Pengguna

25

DA-030203 Jenis Ancaman

Diantara ancaman-ancaman yang dikenalpasti ialah:-

a. Ralat Dan Kesilapan Memasukkan Data

Kesilapan sering terjadi dalam operasi harian semasa memproses data atau maklumat oleh pengguna. Kesilapan yang sedemikian kemungkinan disebabkan salah me-masukkan data atau kesilapan pemprograman dan ini merupakan ancaman kepada intergriti data dan keseluruhan sistem. Contohnya ialah penipuan dalam kemasukan data, kebocoran data dan sebagainya.

b. Penipuan, rompakan dan penyamaran

Maklumat yang dicuri atau digunakan untuk tujuan pen-ipuan. Salahlaku jenayah ini boleh dilakukan oleh individu atau kumpulan, orang dalaman atau luar atau bekas ka-kitangan yang masih mendapat capaian ke sistem komput-er. Contohnya termasuk pencuri maklumat dan penceroboh.

C. Sabotaj oleh pekerja

Pelakuan pekerja untuk memusnahkan sistem yang sedia ada seperti:

i. memusnahkan perkakasan atau kemudahan untuk memastikan sistem ICT tidak dapat digunakan seperti kerosakan rangkaian, kehilangan peralatan perka-kasan yang mengakibatkan tidak dapat digunakan;

ii. memusnahkan program atau data untuk memutuskan perjalanan operasi sistem ICT;

iii. memasukkan data yang salah yang mengakibatkan hasil yang dikeluarkan salah;

iv. menghapuskan data untuk memastikan data tidak ada semasa pengeluaran;

v. memasang pepijat program seperti virus ke dalam sistem ICT; dan

vi. membuang akaun sistem bekas pekerja kerana ber-pindah, berhenti bekerja atau berpencen dengan ser-ta-merta.

d. Hilang sokongan fizikal dan infrastruktur

Kehilangan yang disebabkan oleh gangguan elektrik, ke-hilangan komunikasi data, kebocoran air, kebakaran, banjir, ancaman bom dan rusuhan atau mogok yang akan meng-ganggu operasi perkhidmatan.

Tanggungjawab:

Pengguna

26

BIDANG 04 : KESELAMATAN SUMBER MANUSIA

Keselamatan ICT Dalam Tugas Harian

Objektif: Meminimumkan risiko seperti kesilapan, kecuaian, kecurian, penipuan dan

penyalahgunaan aset ICT Kementerian/Jabatan

DA-040101 Bertukar Atau Tamat Perkhidmatan

Perkara-perkara yang perlu dipatuhi termasuk yang berikut:

a. memastikan semua aset ICT dikembalikan kepada UKAS mengikut peraturan dan/atau terma perkhidmatan yang ditetapkan; dan

b. membatalkan atau menarik balik semua kebenaran ca-paian ke atas maklumat dan kemudahan proses maklumat mengikut peraturan yang ditetapkan oleh UKAS dan/atau terma perkhidmatan.

Tanggungjawab:

Pentadbir Sistem

Penguna

DA-040102 Perakuan Akta Rahsia Rasmi

Warga UKAS yang menguruskan maklumat terperingkat hendaklah mematuhi semua peruntukan Akta Rahsia Rasmi 1972.

Tanggungjawab:

Pengguna

27

Pendidikan

Objektif:

Meningkatkan pengetahuan dan kesedaran mengenai kepentingan keselamatan ICT.

DA-040201 Program Kesedaran Keselamatan ICT

Setiap pengguna di UKAS perlu diberikan program kesedaran mengenai keselamatan ICT secara berterusan dalam melaksanakan tugas-tugas dan tanggungjawab mereka. Program menangani insiden juga dilihat penting sebagai langkah proaktif yang boleh mengurangkan ancaman keselamatan ICT UKAS.

Tanggungjawab:

ICTSO Pengurus ICT

BIDANG 05 : KESELAMATAN FIZIKAL ICT

Keselamatan Kawasan

Objektif:

Mencegah akses fizikal yang tidak dibenarkan, kerosakan dan gangguan kepada premis dan maklumat.

DA-050101 Kawasan Larangan


a. kawasan larangan ditakrifkan sebagai kawasan yang dihad-kan kemasukan pegawai-pegawai yang tertentu sahaja. Ini dilaksanakan untuk melindungi aset ICT yang terdapat di dalam kawasan tersebut. Kawasan larangan di UKAS ada-lah bilik Ketua Pengarah, bilik Timbalan Ketua Pengarah, bilik Dokumen Tender dan bilik server di UKAS. Akses kepa-da bilik-bilik tersebut hanyalah kepada pegawai-pegawai yang diberi kuasa sahaja; dan

b. Pihak ketiga adalah dilarang sama sekali untuk memasuki kawasan larangan kecuali, bagi kes-kes tertentu seperti memberi perkhidmatan sokongan atau bantuan teknikal, mereka hendaklah diiringi sepanjang masa sehingga tugas di kawasan berkenaan selesai.

Tanggungjawab:

Pengguna

28

Keselamatan Aset ICT

Objektif: Melindungi peralatan dan maklumat.

DA-050201 Keselamatan Komputer


a. setiap perkakasan komputer perlu dilabel dengan nombor inventori bagi memudahkan pengenalpastian perkakasan tersebut apabila berlaku kehilangan atau kecurian. Senarai inventori perkakasan tersebut hendaklah direkodkan dalam Sistem Sistem Pemantauan Pengurusan Aset (SPA). Ini bagi membantu proses pengauditan;

b. setiap pengguna komputer digalakkan mengguna ID dan katalaluan yang unik bagi mengelak penyalahgunaan perka-kasan tersebut;

c. setiap pengguna perlu memastikan semua perkakasan di-matikan sebelum keluar dari pejabat;

d. pengguna perlu meminta kebenaran dari Unit ICT apabila perkakasannya perlu ditingkatkan (upgrade);

e. semua perisian di UKAS dikawalselia oleh Unit ICT. Sekiranya pengguna ingin meminjam perisian tersebut perlu mengisi buku daftar perisian;

f. semua perisian cetak rompak tidak dibenarkan sama sekali dipasang pada perkakasan tersebut; dan

g. setiap peminjaman perisian mesti dipulangkan kembali kepada Unit ICT

Tanggungjawab:

Pengguna

29

DA-050202 Keselamatan Komputer Riba


a. unit-unit komputer riba yang ada di UKAS digunasama oleh semua pengguna yang memerlukannya. Unit-unit ini dikawalselia oleh Unit ICT;

b. setiap perkakasan komputer perlu dilabel dengan nombor inventori bagi memudahkan pengenalpastian perkakasan tersebut apabila berlaku kehilangan atau kecurian;

c. senarai inventori perkakasan tersebut hendaklah disimpan di Unit Pentadbiran dan Unit ICT. Ini membantu proses pengauditan;

d. setiap pengguna komputer dimestikan mengguna ID dan katalaluan yang unik bagi mengelak penyalahgunaan perka-kasan tersebut;

e. setiap pengguna perlu memastikan semua perkakasan di-matikan sebelum keluar dari pejabat;

f. pengguna perlu meminta kebenaran dari Unit ICT apabila perkakasannya perlu ditingkatkan (upgrade);

g. pengguna perlu mengisi borang yang disediakan sebelum membuat pinjaman komputer riba;

h. komputer riba disimpan di tempat selamat dan berkunci bagi mengelakkan kecurian; dan

i. setiap peminjaman perkakasan dan perisian mesti dipu-langkan kembali kepada Unit ICT.

Tanggungjawab:

Pengguna

30

DA-050203 Keselamatan Dokumen

Kawalan keselamatan dokumen adalah bertujuan untuk melindungi semua bentuk maklumat elektronik dan fizikal bagi menjamin keselamatan maklumat tersebut dari pemusnahan, penyalahgunaan serta kebolehsediaan mencapai semula. Bagi memastikan integriti maklumat, langkah-langkah pengurusan dokumentasi yang baik dan selamat yang perlu dipatuhi adalah seperti berikut:

a. semua dokumen ICT hendaklah disimpan di bilik khusus iai-tu kabinet besi dan laci berkunci dibawah kawalan pegawai yang dipertanggungjawabkan;

b. memastikan sistem dokumentasi atau penyimpanan maklumat adalah selamat dan terjamin;

c. menggunakan penyulitan (encryption) ke atas dokumen ter-peringkat yang disedia dan dihantar secara elektronik;

d. pelupusan dokumen hendaklah mengikut prosedur kesela-matan semasa seperti mana Arahan Keselamatan, Arahan Amalan(Jadual Pelupusan Rekod) dan tatacara Jabatan Arkib Negara; dan

e. memastikan cetakan yang mengandungi maklumat terper-ingkat diambil segera dari pencetak.

Tanggungjawab:

Pengguna

31

DA-050204 Keselamatan Media Storan

Media penyimpanan data dibuat dalam bentuk cakera padat, pita katrij dan external harddisk. Media storan dengan jumlah kuantiti data yang besar hendaklah disimpan ditempat yang betul, di samping itu, melaksanakan langkah-langkah berikut:

a. semua media penyimpanan rekod disimpan di kabinet atau laci berkunci yang dikhaskan mengikut Sistem kawalan yang tersendiri.

b. akses untuk memasuki kawasan penyimpanan media hen-daklah terhad kepada mereka atau pengguna yang dibenarkan sahaja;

c. media storan sebagai backup hendaklah direkodkan perge-rakannya.

d. langkah-langkah kawalan keselamatan bagi memastikan media storan dipatuhi:

i. encrypt semua maklumat rahsia rasmi atau maklumat terperingkat pada setiap media storan;

ii. mengadakan kawalan keselamatan fizikal bagi me-dia storan untuk pegawai-pegawai yang diberi kuasa (authorize) dalam menguruskan penyim-panan dan capaian semula dokumen;

iii. mengadakan rekod rasmi bagi pegawai yang membuat capaian bagi setiap maklumat yang dikeluarkan;dan

iv. mengadakan kawalan capaian bagi fail backup dan lain-lain proses penyalinan semula fail.

Tanggungjawab:

Pengguna

32

DA-050205 Pemusnahan Media


a. semua pemusnahan dokumen adalah tertakluk mengikut jadual pemusnahan oleh Arkib Negara;

b. semua dokumen fizikal yang tidak disimpan sebagai rekod hen daklah dimusnahkan dengan mesin perincih, atau pem-bakaran dan pastikan tidak boleh digunakan semula;

c. untuk memusnahkan media penyimpanan dalam bentuk cakera padat, cakera optim (CD), disket, pita katrij, pendrive, External Harddisk akan melalui proses memadam data dari magnetic ICT media contohnya ‘strong permanent magnets’ dan electric degausser’;

d. Menformatkan semula media magnetic untuk pemusnahan yang selamat dan penggunaan semula; dan

e. semua aktiviti pemusnahan yang tersebut di atas hendaklah direkodkan bagi menyediakan audit trail.

Tanggungjawab:

Pengguna

DA-050206 Peminjaman Perkakasan Untuk Kegunaan Di Luar Pejabat

Perkakasan yang dipinjam untuk kegunaan di luar pejabat adalah terd-edah kepada pelbagai risiko. Langkah-langkah yang perlu diambil un-tuk menjamin keselamatan perkakasan berikut:

a. peralatan, maklumat atau perisian yang dibawa keluar pe-jabat mestilah mendapat kelulusan Pengarah Seksyen/Unit ICT dan tertakluk kepada tujuan yang dibenarkan; dan

b. aktiviti peminjaman dan pemulangan peralatan mestilah direkodkan di dalam Sistem Pengurusan Pemantauan Aset ICT UKAS (SPA).

Tanggungjawab:

Pengguna

33

DA-050207 Peralatan di Luar Premis

Bagi perkakasan yang dibawa keluar dari premis UKAS, langkah-langkah keselamatan hendaklah dilaksanakan dengan mengambilkira risiko yang wujud di luar kawalan UKAS seperti berikut:

a. peralatan perlu dilindungi dan dikawal sepanjang masa;

b. penyimpanan atau penempatan peralatan mestilah mengambilkira ciri-ciri keselamatan yang bersesuaian;

c. semua peralatan di luar premis hendaklah direkodkan dan mendapat kebenaran daripada Pengarah Seksyen berke-naan.

d. peminjam perlu melindungi dan mengawal peralatan sepanjang masa; dan

e. memastikan peralatan ICT yang dipulangkan dalam keadaan baik dan lengkap.

Tanggungjawab:

Pengguna

DA-050208 Komputer Sewaan

1. AGIHAN KOMPUTER

A. Perkhidmatan sewaan komputer bagi kegunaan rasmi pengguna di UKAS terbahagi kepada dua (2) jenis iaitu komputer desktop dan komputer riba.

B. Setiap pengguna yang layak boleh dibekalkan dengan satu (1) unit komputer sewaan sahaja. Polisi agihan komputer sewaan berdasarkan kelayakan jawatan & gred pengguna di UKAS di mana:

i. Komputer desktop diagihkan kepada pengguna dari Kumpulan Sokongan I dan II, dan Pegawai gred 54 dan ke atas diberi pilihan komputer desktop atau Kom-puter riba[1];

ii. Komputer riba diagihkan kepada pengguna dari Kum-pulan Pengurusan dan Profesional (gred 41 hingga gred 52)[1];

1] Polisi ini adalah selaras dengan keputusan Mesyuarat Jawatankuasa Teknikal ICT Sektor Awam (JTISA) MAMPU Bil. 4 Tahun 2018 pada 29 Mac 2019 iaitu di mana selaras dengan hasrat Kerajaan untuk mengubah persekitaran kerja ke arah digital work-space, pegawai Kumpulan Pengurusan dan Profesion-al (P&P) hendaklah dibekalkan dengan komputer riba manakala pegawai Kumpulan Pengurusan Tertinggi diberi pilihan untuk menggunakan komputer desktop atau komputer riba.

Tanggungjawab:

Pengguna

34

iii. Agihan dan pemasangan akan dibuat oleh Syarikat Kon-traktor yang telah berjaya dalam sebutharga sewaan ICT dengan seliaan Unit ICT kepada pengguna yang telah dikenalpasti;

iv. Syarikat Kontraktor akan membuat pemasangan di komputer desktop/komputer riba sewaan merujuk kepada senarai se-mak instalasi perisian yang disediakan oleh Unit ICT; dan

v. Keutamaan agihan komputer desktop/komputer riba sewaan adalah kepada pengguna lantikan tetap. Agihan komputer sewaan kepada kakitangan kontrak, Pekerja Sambilan Hari-an (PSH), sementara, pelajar latihan industri dan sebagainya tertakluk kepada ketersediaan baki komputer sewaan.

2. PENGGUNAAN KOMPUTER

Peraturan penggunaan komputer desktop/komputer riba sewaan hendaklah mematuhi tatacara seperti berikut:

a. Digunakan oleh pengguna bagi tujuan tugas rasmi sahaja;

b. Digunakan oleh pengguna yang khusus diperuntukkan dan tidak boleh ditukar kepada pemilik lain tanpa kebenaran Unit ICT;

c. Pengguna bertanggungjawab sepenuhnya ke atas penggunaan komputer desktop/komputer riba yang dibekalkan dan perlu men-jaga keselamatan perkakasan dan maklumat kerajaan yang ter-simpan di dalamnya;

d. Komputer riba sewaan yang diagihkan kepada Pegawai Kum-pulan Pengurusan dan Profesional boleh dibawa keluar dari UKAS untuk tujuan rasmi tanpa perlu mendapat kebenaran Unit ICT UKAS. Pengguna berkenaan adalah bertanggungjawab se-penuhnya ke atas komputer riba tersebut;

e. Komputer desktop/komputer riba sewaan dan aksesori hendaklah digunakan dengan baik dan sentiasa berada dalam keadaan ber-sih, lengkap dan sempurna seperti mana semasa ianya diterima; dan

f. Bagi memelihara keselamatan maklumat terperingkat, pengguna di seksyen yang terlibat dengan maklumat tersebut hendaklah mematuhi Arahan Keselamatan Kerajaan dan Dasar Keselamatan ICT.

Tanggungjawab

Pengguna

35

3. PENJAGAAN DAN PENYIMPANAN KOMPUTER

Secara umumnya, cara penggunaan, penjagaan dan penyimpanan komput-er desktop / komputer riba sewaan adalah sama seperti tatacara penggunaan aset alih Kerajaan seperti yang termaktub dalam Pekeliling Per-bendaharaan Tatacara Pengurusan Aset Alih Kerajaan.

i) Penjagaan dan Penyimpanan Semasa di Pejabat

a. Komputer desktop/komputer riba sewaan hendaklah senti-asa berada di bawah kawalan dan pengawasan pengguna yang dipertanggungjawabkan;

b. Komputer riba yang digunakan hendaklah sentiasa dikunci menggunakan safety lock yang telah dibekalkan oleh Unit ICT;

c. Komputer riba yang tidak digunakan dalam tempoh masa yang lama tidak digalakkan diletakkan di atas meja se-baliknya hendaklah disimpan di dalam almari/kabinet besi/tempat bersesuaian yang berkunci; dan

d. Komputer desktop/komputer riba tidak boleh dibiarkan ter-letak di tempat yang terdedah kepada umum tanpa dikunci.

Ii) Penjagaan dan Penyimpanan Semasa di Rumah atau Luar Pejabat

a. Komputer riba hendaklah disimpan di dalam almari yang Berkunci;

b. Komputer riba yang setelah digunakan tidak boleh dibiarkan terletak di ruang tamu, di atas meja makan, di tepi tingkap, di tepi pintu atau mana-mana lokasi yang mudah dicapai; dan

c. Semasa meninggalkan rumah, tempat penginapan dan se-bagainya, pengguna hendaklah memastikan bilik serta premis di mana komputer riba disimpan berada dalam keadaan berkunci dan selamat.

Tanggungjawab

Pengguna

36

Iii) Penjagaan Semasa Menghadiri Kursus/ Seminar/ Bengkel/Latihan

a. Sepanjang menghadiri kursus/seminar/bengkel/latihan, komputer riba mestilah sentiasa di bawah ka-walan sepenuhnya pengguna; dan

b. Komputer riba yang ditinggalkan di dalam bilik kur-sus/seminar/bengkel/latihan dan jika berlaku ke-hilangan ianya adalah di bawah tanggungjawab pengguna berkenaan.

Iv) Penjagaan Semasa di dalam Kenderaan

a. Komputer riba sewaan tidak boleh ditinggalkan di da-lam kenderaan tanpa pengawasan;

b. Jika pengguna meninggalkan kenderaan tanpa mem-bawa bersama, komputer riba mestilah disimpan di dalam boot penyimpanan motokar yang berkunci;

c. Komputer riba yang dibawa dengan kenderaan lain seperti motosikal hendaklah diletakkan di dalam bekas khas yang sentiasa selamat dan berkunci; dan

d. Komputer riba hendaklah sentiasa dilindungi dari dari unsur-unsur kecurian, terkena air (hujan, banjir dan sebagainya) atau dari haba tinggi (panas terik ma-tahari.

Tanggungjawab:

Pengguna

37

4. PERTUKARAN PENGGUNA DAN LOKASI

a. Pengguna adalah bertanggungjawab untuk memulangkan kembali komputer desktop/komputer riba sewaan ke Unit ICT apabila berhenti / bersara / tamat kontrak perkhid-matan / bertukar keluar dari UKAS;

b. Pengguna perlu memastikan semua maklumat Kerajaan di dalam komputer sewaan tersebut telah dibuat salinan (backup) ke peranti storan lain sebelum diserah balik ke Unit ICT;

c. Sekiranya pengguna dinaikkan pangkat / bertukar ke seksy-en lain, ia perlu dimaklumkan juga ke Unit ICT jika komput-er yang diagih perlu dibawa bersama; dan

d. Pegawai Aset/ Pegawai ICT/ Pegawai Tadbir Seksyen tidak dibenarkan untuk menyimpan komputer desktop/ komputer riba yang telah tidak digunakan oleh pegawai yang berpin-dah.

5. KEROSAKAN DAN PENYELENGGARAAN

a. Pengguna hendaklah segera melaporkan aduan kerosakan komputer desktop/komputer riba sekiranya menghadapi masalah melalui emel ictservices.ukas.gov.my;

b. Sekiranya pengguna membawa keluar dari UKAS dan kemudian terlibat dengan kemalangan yang menyebabkan komputer tersebut mengalami kerosakan, adalah menjadi tanggungjawab pegawai untuk membuat tuntutan insurans terhadap kerosakan tersebut;

c. Tanggungjawab pengguna yang dibekalkan dengan peralatan komputer dan aksesori adalah untuk menjaga dan menggunakan aset tersebut dengan baik. Sebarang kerosakan akibat kecuaian adalah tanggungjawab pegawai berkenaan;

Tanggungjawab:

Pengguna

38

d. Penyelenggaraan pencegahan (Preventive Maintenance (PM)) dilaksanakan mengikut jadual penyelenggaraan yang telah ditetapkan oleh Unit ICT dan Syarikat Kontraktor sepanjang tempoh kontrak sewaan. Pengguna dikehendaki memberikan kerjasama sepanjang tempoh penyeleng-garaan pencegahan dilakukan; dan

e. Sekiranya Pengguna tidak membenarkan komputer sewaan diselenggara di atas faktor-faktor tertentu, sila maklumkan kepada wakil Syarikat Kontraktor yang hadir untuk melaksanakan penyelenggaraan dengan menyatakan justi-fikasi untuk catatan rekod Unit ICT.

39

6. KEHILANGAN DAN KECURIAN

a. Adalah menjadi tanggungjawab pengguna atau Pengarah Seksy-en / Penyelia untuk melaporkan segera sebarang kehilangan atau kecurian komputer desktop/komputer riba sewaan di Balai Polis yang berhampiran;

b. Pengarah Seksyen / Penyelia yang dipertanggungjawabkan perlu menyerahkan salinan laporan polis tersebut kepada Pengarah Seksyen Khidmat Pengurusan (SKP) dengan kadar segera;

c. Pasukan Siasatan yang dilantik akan bermesyuarat dan tindakan susulan berdasarkan laporan hasil siasatan dan cadangan tinda-kan oleh Pasukan Siasatan akan dimaklumkan kepada Ketua Jabatan sebelum pelaksanaan;

d. Sekiranya terdapat unsur kecuaian, nilai ganti rugi yang perlu dibayar oleh pengguna yang bertanggungjawab atas kehilangan atau kecurian komputer tersebut;

e. Pihak Syarikat Kontraktor akan menggantikan komputer desktop/komputer riba sewaan yang baharu kepada pengguna selepas bayaran ganti rugi dilakukan; dan

f. Sekiranya selepas siasatan dilakukan dan didapati tiada unsur kecuaian, pihak kontraktor akan menggantikan terus komputer desktop/komputer riba sewaan yang baharu kepada pengguna berkaitan..

Tanggungjawab

Pengguna

40

DA-050209 Pelupusan

Aset ICT yang hendak dilupuskan perlu melalui proses pelupusan se-masa. Pelupusan aset ICT perlu dilakukan secara terkawal dan lengkap supaya maklumat tidak terlepas dari kawalan UKAS seperti berikut:

a. semua kandungan peralatan khususnya maklumat rahsia rasmi hendaklah dihapuskan terlebih dahulu sebelum pelupusan dilaksanakan;

b. sekiranya maklumat perlu disimpan, maka pengguna bolehlah membuat salinan penduaan;

c. maklumat lanjut pelupusan bolehlah merujuk kepada Surat Pekeliling Perbendaharaan Bilangan 7 Tahun 1995 ber-tajuk “Garis Panduan Pelupusan Peralatan Komputer”;

d. Pegawai Aset hendaklah mengenal pasti sama ada peralatan tertentu boleh dilupuskan atau sebaliknya;

e. peralatan yang hendak dilupus hendaklah disimpan di tem-pat yang telah dikhaskan yang mempunyai ciri-ciri kesela-matan bagi menjamin keselamatan peralatan tersebut;

f. Pegawai Aset bertanggungjawab merekodkan butir–butir pelupusan dan mengemas kini rekod pelupusan peralatan ICT ke dalam Sistem Pengurusan Aset (SPA);

g. pelupusan peralatan ICT hendaklah dilakukan mengikut tatacara pelupusan semasa yang berkuat kuasa dan;

h. Pengguna ICT adalah DILARANG SAMA SEKALI daripada melakukan perkara-perkara seperti berikut:

i. menyimpan mana-mana peralatan ICT yang hen-dak dilupuskan untuk milik peribadi. mencabut, menanggal dan menyimpan perkakasan tamba-han dalaman CPU seperti RAM, hardisk, mother-board dan sebagainya;

ii. menyimpan dan memindahkan aksesori komput-er seperti speaker, headphone dan sebagainya ke lain-lain Seskyen di UKAS;

iii. memindah keluar dari UKAS mana-mana peralatan ICT yang hendak dilupuskan; dan

iv. kerja-kerja pelupusan Peralatan ICT adalah di bawah tanggungjawab Unit ICT dan Unit Pentad-biran. Pengguna DILARANG membuat pelupusan sendiri.

Tanggungjawab:

Pentadbir Sistem Pegawai Aset

41

DA-050210 Clear Desk dan Clear Screen

Semua maklumat dalam apa jua bentuk media hendaklah di simpan dengan teratur dan selamat bagi mengelakkan kerosakan, kecurian atau kehilangan. Clear Desk bermaksud tidak meninggalkan bahan-bahan yang sensitif terdedah sama ada atas meja bekerja atau di paparan skrin apabila warga kerja tidak berada di tempatnya dan langkah-langkah yang perlu diambil adalah seperti berikut:

a. gunakan kemudahan password screen saver atau log keluar apabila meninggalkan komputer;

b. bahan-bahan sensitif hendaklah disimpan dalam laci atau kabinet fail yang berkunci; dan

c. dokumen yang mengandungi bahan-bahan sensitif hen-daklah diambil segera dari pencetak.

Tanggungjawab:

Pengguna

42

BIDANG 06: PENGURUSAN OPERASI DAN KOMUNIKASI

Pengurusan Prosedur Operasi

Objektif: Memastikan perkhidmatan dan pemprosesan maklumat dapat berfungsi dengan bet-

ul dan selamat.

DA-060101 Pengendalian SOP


a. semua prosedur keselamatan ICT yang diwujud, dikenal pasti dan masih digunapakai hendaklah didokumentasikan, disimpan dan dikawal;

b. setiap prosedur mestilah mengandungi arahan-arahan yang lengkap, teratur dan jelas seperti keperluan kapasiti, pen-gendalian dan pemprosesan maklumat, pengendalian dan penghantaran ralat, pengendalian output, bantuan teknikal dan pemulihan sekiranya pemprosesan tergendala atau ter-henti; dan

c. semua prosedur hendaklah dikemaskini dari semasa ke se-masa atau mengikut keperluan.

Tanggungjawab:

ICTSO Pentadbir Sstem

Perancangan dan Penerimaan Sistem

Objektif:

Meminimumkan risiko yang menyebabkan gangguan atau kegagalan sistem.

DA-060201 Penerimaan Sistem


a. semua sistem baru (termasuklah sistem yang dikemaskini atau diubahsuai) hendaklah memenuhi kriteria yang ditetap-kan sebelum diterima atau dipersetujui.

b. memantau dan menyelaras penggunaan peralatan bagi me-menuhi keperluan kapasiti akan datang untuk memastikan prestasi sistem sentiasa ditahap optimum; Menetapkan kriteria penerimaan sistem baru dan sistem yang ditingkat-kan (versi baru). Pengujian yang sesuai ke atasnya perlu dibuat semasa pembangunan dan sebelum penerimaan sis-tem.

Tanggungjawab:

ICTSO Pengurus ICT Pentadbir Sis-

tem

43

Perisian Berbahaya

Objektif: Melindungi integriti perisian dan maklumat dari pendedahan atau kerosakan yang

disebabkan oleh perisian berbahaya seperti virus dan trojan.

DA-060301 Perlindungan dari Perisian Berbahaya


a. memasang sistem keselamatan untuk mengesan perisian atau program berbahaya seperti anti virus komputer peribadi dan komputer riba dan mengikut prosedur penggunaan yang betul dan selamat;

b. memasang dan menggunakan hanya perisian yang berdaftar dan dilindungi di bawah hak cipta terpelihara;

c. mengimbas semua perisian atau sistem dengan anti virus sebelum menggunakannya;

d. mengemaskini pattern anti virus dari semasa ke semasa;

e. penggunaan anti virus selain daripada yang digunapakai oleh UKAS perlu mendapat kebenaran dari Unit ICT.

f. menghadiri program kesedaran mengenai ancaman perisian berbahaya dan cara mengendalikannya; dan

g. mengedar amaran mengenai ancaman seperti serangan virus terhadap keselamatan aset ICT UKAS

Tanggungjawab:

Pentadbir Sistem

44

Housekeeping

Objektif: Melindungi integriti maklumat dan perkhidmatan komunikasi agar boleh diakses pada

bila-bila masa.

DA-060401 Penduaan


a. membuat salinan backup ke atas semua data dan maklumat mengikut kesesuaian operasi;

b. menguji sistem backup sedia ada bagi memastikan ianya dapat berfungsi dengan sempurna, boleh dipercayai dan berkesan apabila digunakan khususnya pada waktu kecemasan;

c. menyimpan sekurang-kurangnya tiga (3) generasi backup; dan

d. merekod dan menyimpan salinan backup di lokasi yang ber-lainan dan selamat.

Tanggungjawab:

Pentadbir Sistem

Pengurusan Rangkaian

Objektif: Melindungi maklumat dalam rangkaian dan infrastruktur sokongan.

DA-060501 Kawalan Infrastruktur Rangkaian

Infrastruktur rangkaian mestilah dikawal dan diuruskan sebaik mungkin demi melindungi ancaman kepada sistem dan aplikasi di dalam rangkaian. Berikut adalah langkah-langkah yang perlu dipertim-bangkan:

a. peralatan rangkaian hendaklah diletakkan di lokasi yang mempunyai ciri-ciri fizikal yang kukuh dan bebas dari risiko seperti banjir, gegaran dan habuk;

b. capaian kepada peralatan rangkaian hendaklah dikawal dan terhad kepada pengguna yang dibenarkan sahaja;

c. Firewall hendaklah dipasang di antara rangkaian dalaman dan sistem yang melibatkan maklumat rahsia rasmi Kera-jaan serta dikonfigurasi oleh pentadbir sistem yang dibenarkan sahaja;

Tanggungjawab:

Pengurus ICT

ICTSO Pentadbir Sistem

45

d. Firewall digunakan untuk menilai paket setiap paket data di Antara computer dan internet dan buat keputusan berdasar-kan arahan yang telah diberikan samada untuk haling, biar atau lepas (permit, block, ignore). Sesetengah firewall juga menyimpan log bagi membolehkan pihak pentadbir melihat dan menyelia apa yang berlaku;

e. semua trafik keluar dan masuk hendaklah melalui firewall di bawah kawalan Pentadbir Sistem UKAS;

f. Pentadbir Sistem rangkaian bertanggungjawam untuk mengawalselia firewall dan mengenalpasti setiap versi fire-wall yang terkini dan ditingkatkan jika perlu;

g. semua patch keselamatan yang disyorkan oleh pihak pembekal perlu dilaksanakan jika perlu dan dikemaskini dari masa ke semasa;

h. Pentadbir Sistem rangkaian perlu memberi nombor telefon pejabat, telefon rumah dan telefon bimbit bagi membolehkan dihubungi jika perkhidmatan mereka diperlukan;

i. sebarang penyambungan rangkaian yang bukan di bawah kawalan UKAS hendaklah mendapat kebenaran ICTSO;

j. semua pengguna hanya dibenarkan menggunakan rangkaian UKAS sahaja. Penggunaan modem adalah dil-arang sama sekali;

k. memastikan keperluan perlindungan ICT adalah ber-sesuaian dan mencukupi bagi menyokong perkhidmatan yang lebih optima; dan

l. pemeriksaan peralatan rangkaian UKAS dilakukan setiap minggu bagi memastikan ianya berfungsi dengan baik.

46

Keselamatan Komunikasi ICT

Objektif: Melindungi aset ICT melalui sistem komunikasi yang selamat.

DA-060601 Internet


a. laman yang dilayari hendaklah hanya yang berkaitan dengan urusan rasmi dan terhad untuk tujuan yang dibenarkan oleh Ketua Jabatan;

b. bahan yang diperolehi dari Internet hendaklah ditentukan ketepatan dan kesahihannya. Sebagai amalan baik, rujukan sumber Internet hendaklah dinyatakan;

c. bahan rasmi hendaklah disemak dan mendapat pengesahan daripada Pengarah Seksyen sebelum dimuat naik ke Inter-net;

d. pengguna hanya dibenarkan memuat turun bahan yang sah seperti perisian yang berdaftar dan di bawah hak cipta ter-pelihara;

e. sebarang bahan yang dimuat turun dari Internet hendaklah digunakan untuk tujuan yang dibenarkan oleh UKAS;

f. Pentadbir Sistem mengawal penggunaan sistem komputer atau rangkaian bagi memastikan ia selamat dari dicerobohi. Pada masa ini semua penguna yang mempunyai tugasan rasmi yang perlu dilakukan melalui internet boleh menggunakan internet. Contohnya pegawai yang terlibat dengan aplikasi Kerajaan elektronik seperti ePerolehan/e-SPKB dan juga emel rasmi jabatan;

g. sesetengah protocol telah disekat dan jika pengguna me-merlukan sesetengah protokol yang tidak dibenarkan bagi tujuan rasmi, pengguna perlu meminta kebenaran Pengurus ICT serta kelulusan Pengarah Seksyen masing-masing.

Maklumat lanjut mengenai keselamatan Internet bolehlah merujuk kepada Pekeliling Kemajuan Pentadbiran Awam Bilangan 1 Tahun 2003 bertajuk “Garis Panduan Mengenai Tatacara Penggunaan Inter-net dan Mel Elektronik di Agensi-agensi Kerajaan” .

Tanggungjawab:

Pengguna

47

DA-060602 Mel Elektronik


a. akaun atau alamat mel elektronik (e-mel) yang diperuntukkan oleh UKAS sahaja boleh digunakan. Penggunaan akaun milik orang lain atau akaun yang dikongsi bersama adalah dilarang;

b. setiap e-mel yang disediakan hendaklah mematuhi format yang telah ditetapkan oleh UKAS;

c. memastikan subjek dan kandungan e-mel adalah berkaitan dan menyentuh perkara perbincangan yang sama sebelum penghantaran dilakukan;

d. penghantaran e-mel rasmi hendaklah menggunakan akaun e-mel rasmi dan pastikan alamat e-mel penerima adalah betul;

e. pengguna dinasihatkan menggunakan fail kepilan, sekiranya perlu, tidak melebihi sepuluh (10) megabait semasa penghan-taran. Kaedah pemampatan untuk mengurangkan saiz adalah disarankan;

f. pengguna hendaklah mengelak dari membuka e-mel daripada penghantar yang tidak dikenali atau diragui;

g. pengguna hendaklah mengenalpasti dan mengesahkan identiti pengguna yang berkomunikasi dengannya sebelum menerus-kan transaksi maklumat melalui e-mel;

h. setiap e-mel rasmi yang dihantar atau diterima hendaklah disimpan mengikut tatacara pengurusan sistem fail elektronik yang telah ditetapkan;

i. e-mel yang tidak penting dan tidak mempunyai nilai arkib yang telah diambil tindakan dan tidak diperlukan lagi bolehlah diha-puskan;

j. pengguna hendaklah menentukan tarikh dan masa sistem komputer adalah tepat;

k. e-mel yang diperlukan sebagai bahan rujukan di masa akan datang hendaklah disimpan di dalam storan sekunder;

l. mengambil tindakan dan memberi maklum balas terhadap e-mel dengan cepat dan mengambil tindakan segera;

Tanggungjawab:

Pengguna

48

DA-060602 Mel Elektronik

m. pengguna hendaklah memastikan alamat e-mel persendirian (seperti yahoo.com, gmail.com, streamyx.com.my dan sebagainya) tidak boleh digunakan untuk tujuan rasmi; dan

n. pengguna hendaklah bertanggungjawab ke atas pengemaskinian dan penggunaan mailbox masing-masing;

Maklumat lanjut mengenai keselamatan e-mel bolehlah merujuk kepada Pekeliling Kemajuan Pentadbiran Awam Bilangan 1 Tahun 2003 bertajuk “Garis Panduan Mengenai Tatacara Penggunaan In-ternet dan Mel Elektronik di Agensi-agensi Kerajaan”.

49

BIDANG 07 : KAWALAN CAPAIAN

Pengurusan Capaian Pengguna

Objektif: Mengawal capaian pengguna ke atas aset ICT UKAS.

DA-070101 Akaun Pengguna

Pengguna adalah bertanggungjawab ke atas sistem ICT yang digunakan. Bagi mengenalpasti pengguna dan aktiviti yang dilakukan, langkah-langkah berikut hendaklah dipatuhi:

a. akaun yang diperuntukkan oleh jabatan sahaja boleh digunakan;

b. akaun pengguna mestilah unik;

c. pemilikan akaun pengguna bukanlah hak mutlak seseorang dan ia tertakluk kepada peraturan jabatan. Akaun boleh di-tarik balik jika penggunaannya melanggar peraturan dan Pentadbir Sistem akan memantau dengan menyemak sena-rai akaun pengguna dari masa ke semasa;

d. penggunaan akaun milik orang lain atau akaun yang dikongsi bersama adalah dilarang; dan

e. pentadbir sistem ICT boleh membeku dan menamatkan akaun pengguna selepas 14 hari meninggalkan UKAS atas sebab-sebab berikut:

i. pengguna bercuti panjang atau menghadiri kursus di luar pejabat dalam tempoh waktu melebihi tiga (3) bulan;

ii. bertukar bidang tugas kerja;

iii. bertukar ke agensi lain;

iv. bersara; atau

v. ditamatkan perkhidmatan

vi. pengguna tidak hadir bertugas tanpa kebenaran melebihi satu tempoh yang dibenarkan oleh ketua jabatan

Tanggungjawab:

Pengguna

50

DA-070102 Pengurusan katalaluan


a. dalam apa jua keadaan dan sebab, katalaluan hendaklah dilindungi dan tidak boleh dikongsi dengan sesiapa pun;

b. pengguna hendaklah menukar katalaluan apabila disyaki berlakunya kebocoran katalaluan atau dikompromi;

c. panjang katalaluan mestilah sekurang-kurangnya dua belas (12) aksara dengan gabungan aksara, angka dan aksara khusus;

d. katalaluan hendaklah diingat dan TIDAK BOLEH dicatat, disimpan atau didedahkan dengan apa cara sekalipun;

e. kata laluan windows dan screen saver hendaklah diaktifkan terutamanya pada komputer yang terletak di ruang guna sa-ma;

f. katalaluan hendaklah tidak dipaparkan semasa input, dalam laporan atau media lain dan tidak boleh dikodkan di dalam program;

g. katalaluan hendaklah berlainan daripada pengenalan identiti pengguna;

Tanggungjawab:

Pengguna

51

Kawalan Capaian Sistem dan Aplikasi

Objektif: Melindungi sistem maklumat dan aplikasi sedia ada dari sebarang bentuk capaian yang

tidak dibenarkan yang boleh menyebabkan kerosakan.

DA-070201 Sistem Maklumat dan Aplikasi

Capaian sistem dan aplikasi di UKAS adalah terhad kepada pengguna dan tujuan yang dibenarkan. Bagi memastikan kawalan capaian sistem dan aplikasi adalah kukuh, langkah-langkah berikut hendaklah dipatuhi:

a. pengguna hanya boleh menggunakan sistem maklumat dan aplikasi yang dibenarkan mengikut tahap capaian dan sen-sitiviti maklumat yang telah ditentukan;

b. semua pengguna yang menggunakan Sistem aplikasi dikenali melalui ID Pengguna dan katalaluan. ID Pengguna adalah unik dan katalaluan adalah rahsia dan digunakan un-tuk mengawal pelaksanaan.

c. pengurusan penggunaan ID dikawal selia oleh Pentadbir Sistem. Ianya merupakan satu langkah keselamatan yang digunakan untuk menghadkan penggunaan server kepada pihak yang dibenarkan sahaja;

d. memastikan kawalan sistem rangkaian adalah kukuh dan lengkap dengan ciri-ciri keselamatan bagi mengelakkan ak-tiviti atau capaian yang tidak sah.

Tanggungjawab:

Pentadbir Sistem

Peralatan Komputer Mudah Alih

Objektif: Memastikan keselamatan maklumat apabila menggunakan kemudahan atau peralatan

komputer mudah alih.

DA-070301 Penggunaan Peralatan Komputer Mudah Alih


a. komputer mudah alih hendaklah disimpan dan dikunci di tempat yang selamat apabila tidak digunakan; dan

b. capaian sistem dan aplikasi melalui jarak jauh adalah diga-lakkan. Walaubagaimanapun, penggunaannya terhad kepa-da perkhidmatan yang dibenarkan sahaja.

Tanggungjawab:

Pengguna

52

BIDANG 08 : PEMBANGUNAN DAN PENYELENGGARAAN SISTEM

Keselamatan Dalam Membangunkan Sistem dan Aplikasi

Objektif: Memastikan sistem yang dibangunkan mempunyai ciri-ciri keselamatan ICT yang ber-

sesuaian.

DA-080101 Keperluan Keselamatan


a. Pembangunan sistem hendaklah mengambilkira kawalan keselamatan bagi memastikan tidak wujudnya sebarang ra-lat yang boleh mengganggu pemprosesan dan ketepatan maklumat;

b. ujian keselamatan hendaklah dijalankan ke atas sistem input untuk menyemak pengesahan dan integriti data yang di-masukkan. Sistem pemprosesan untuk menentukan sama ada program berjalan dengan betul dan sempurna dan sis-tem output untuk memastikan data yang telah diproses ada-lah tepat; dan

c. sebaik-baiknya, semua sistem yang dibangunkan sama ada secara dalaman atau sebaliknya hendaklah diuji dan di-perakui terlebih dahulu bagi memastikan sistem berkenaan memenuhi keperluan keselamatan yang telah ditetapkan sebelum digunakan.

Tanggungjawab:

Pentadbir Sistem

Kriptografi

Objektif: Melindungi kerahsiaan, integriti dan kesahihan maklumat.

DA-080201 Penyulitan

Setiap pengguna hendaklah membuat penyulitan ke atas semua sis-tem yang melibatkan maklumat sensitif atau kritikal bagi mengelakkan dari pendedahan dan penyelewengan maklumat berlaku.

Tanggungjawab:

Pengguna

DA-080202 Tandatangan Digital

Penggunaan tandatangan digital adalah dimestikan kepada semua pengguna khususnya mereka yang menguruskan transaksi maklumat rahsia rasmi secara elektronik.

Tanggungjawab:

Pengguna

53

Sistem Fail

Objektif: Memastikan supaya sistem fail dan aktiviti berkaitan beroperasi dengan baik dan

selamat.

DA-080301 Kawalan Fail-Fail Sistem


a. menyediakan kawalan keselamatan yang kukuh semasa melaksanakan perisian atau sistem aplikasi bagi mengu-rangkan risiko kerosakan kepada sistem pengoperasian;

b. proses pengemaskinian sistem hanya boleh dilakukan oleh pentadbir sistem ICT atau pegawai yang berkenaan dan mengi-kut prosedur yang telah ditetapkan;

c. kod atau aturcara sistem yang telah dikemaskini hanya boleh dilaksanakan atau digunakan selepas diuji dan diperakui; dan

d. mengawal capaian ke atas kod atau aturcara program bagi mengelakkan kerosakan, pengubahsuaian tanpa kebenaran, penghapusan dan kecurian program komputer.

Tanggungjawab:

Pentadbir Sistem

Pembangunan dan Proses Sokongan

Objektif: Menjaga dan menjamin keselamatan sistem maklumat dan aplikasi.

DA-080401 Kawalan Perubahan

Perubahan atau pengubahsuaian ke atas sistem maklumat dan aplikasi hendaklah dikawal, diuji, direkod dan disahkan sebelum digunapakai.

Tanggungjawab::

Pentadbir Sistem

DA-080402 Pembangunan Perisian Secara Outsource


a. pembangunan perisian secara outsource perlu diselia dan dipantau oleh pemilik sistem;

b. kod sumber (source code) bagi semua aplikasi dan perisian adalah menjadi hak milik UKAS; dan

c. perjanjian antara UKAS dan pihak pembekal terhadap penggunaan kod sumber supaya tidak diguna semula bagi pembangunan sistem lain.

Tanggungjawab:

Pentadbir Sistem

54


Penggunaan perkhidmatan luar adalah suatu perjanjian di antara pihak UKAS dengan pihak ketiga iaitu pembekal yang bertanggungjawab melaksanakan fungsi sistem maklumat dan memenuhi kriteria yang telah ditetapkan.

Setiap perubahan yang dibuat pada sistem komputer hendaklah dimaklumkan dan disertakan dengan dokumen bertulis kepada Ketua Pegawai Maklumat dan Pengurus ICT. Keperluan keselamatan boleh dilihat daripada beberapa aspek, antaranya :-

Sumber Manusia

Keselamatan Data

Keselamatan Peralatan dan Perisian

Kawalan kemasukan sistem

Ketepatan Masa

Polisi keselamatan berkaitan dengan perkhidmatan luar adalah seperti berikut:

a. memastikan pembekal yang dipertanggungjawabkan mempunyai kelayakan dalam bidang berkaitan dan pembekal tempatan yang berdaftar dengan Kementerian Kewangan;

b. menentukan bahagian yang boleh dimasuki / dilawati oleh pihak pembekal yang berhubungkait dengan bidang tugas yang telah dikenal pasti;

c. memastikan pihak pembekal mematuhi setiap syarat yang termaktub dalam perjanjian;

d. memberikan maklumat yang lengkap dan jelas kepada pembekal untuk pembangunan sistem;

e. pihak pembekal hendaklah memberikan senarai nama ka-kitangan mereka yang terlibat dengan projek;

f. sebarang pertukaran/penambahan terhadap senarai ka-kitangan dari pihak pembekal harus dimaklumkan dari masa ke masa;

g. pegawai yang terlibat hendaklah memastikan maklumat yang diberikan kepada pembekal tidak disalahgunakan;

Tanggungjawab:

Pengurus ICT ICTSO

Pentadbir Sistem

55


h. sebarang kecurian, kerosakan dan penyalahgunaan peralatan, perisian atau aplikasi mesti dilaporkan dengan segera kepada jabatan dan pembekal;

i. memastikan pihak pembekal mematuhi setiap syarat yang semua peralatan dan perisian perlu mempunyai sistem inventori yang sentiasa dikemaskini dan direkodkan pemiliknya;

j. mengadakan kaedah laporan terhadap isu-isu/masalah sekiranya ia timbul dari masa ke masa;

k. tugas dan tindakan yang tidak dapat diselesaikan ha-rus didokumenkan dan diberi kepada jabatan untuk tin-dakan susulan; dan

l. sebarang perisian yang digunakan mesti mempunyai lesen perisian. Dan lesen tersebut mestilah di atas na-ma Unit Kerjasama Awam Swasta.

Dasar penggunaan perkhidmatan luar perlu mempunyai kaedah yang sentiasa dikemaskini dari masa ke masa dengan persetujuan kedua-dua pihak.

Tanggungjawab:

Pengurus ICT ICTSO

Pentadbir Sistem

56

BIDANG 09 : Pengurusan Kesinambungan Perkhidmatan

Dasar Kesinambungan Perkhidmatan

Objektif: Menjamin operasi perkhidmatan agar tidak tergendala dan penyampaian perkhidmatan

yang berterusan kepada pelanggan.

DA-090101 Pelan Kesinambungan Perkhidmatan

Pelan kesinambungan perkhidmatan hendaklah dibangunkan untuk menentukan pendekatan yang menyeluruh diambil bagi mengekalkan kesinambungan perkhidmatan. Ini bertujuan memastikan tiada gangguan kepada proses-proses dalam penyediaan perkhidmatan or-ganisasi. Perkara-perkara berikut perlu diambilkira :

a. mengenalpasti semua tanggungjawab dan prosedur kecemasan atau pemulihan;

b. melaksanakan prosedur-prosedur kecemasan bagi mem-bolehkan pemulihan dapat dilakukan secepat mungkin atau dalam jangka masa yang telah ditetapkan;

c. mendokumentasikan proses dan prosedur yang telah di-persetujui;

d. mengadakan program latihan kepada pengguna mengenai prosedur kecemasan; dan

e. menguji dan mengemaskini pelan sekurang-kurangnya se-tahun sekali.

Tanggungjawab:

CIO

Pengurus ICT ICTSO

Pentadbir Sistem

DA-090102 Penduaan


a. membuat penduaan ke atas sistem ICT sebagai kontigensi bagi memastikan pemulihan dapat dilaksanakan;

b. penduaan hendaklah dibuat secara berkala bagi mengu-rangkan beban pembangunan semula serta mempercepat-kan proses pemulihan sistem;

c. salinan-salinan penduaan mesti disimpan dengan selamat dan dikawal; dan

d. prosedur pemulihan mestilah disemak dan diuji secara ber-jadual bagi memastikan prosedur berkenaan sentiasa boleh dipraktikkan.

Tanggungjawab:

Pentadbir Sistem

57

DA-090103 Pelan Pemulihan Bencana (DRP)

Pelan Pemulihan bencana perlu disediakan sebagai panduan memulihkan Sistem dalam masa yang dikehendaki dan tersingkat. Pelan ini men-erangkan tindakan, bahan-bahan dan sumber-sumber yang diperlukan un-tuk memulihkan sepenuhnya sistem produksi lain operasi komputer. Bagi memastikan kesinambungan urusan UKAS, semua pihak yang terbabit per-lu mengikuti prosedur yang telah dinyatakan di dalam pelan tersebut.

Tanggungjawab:

Pengurus ICT

ICTSO Pentadbir Sis-

tem

58

BIDANG 10: PEMATUHAN Pematuhan dan Keperluan Perundangan

Objektif: Meningkatkan tahap keselamatan ICT bagi mengelak dari pelanggaran kepada Dasar

Keselamatan ICT UKAS.

DA-100101 Pematuhan Dasar

Setiap pengguna di UKAS hendaklah membaca, memahami dan mematuhi Dasar Keselamatan ICT UKAS dan undang-undang atau peraturan-peraturan lain yang berkaitan yang berkuat kuasa. Semua aset ICT di UKAS termasuk maklumat yang disimpan di dalamnya adalah hak milik Ke-rajaan dan bukannya di bawah kuasa mutlak individu.

Tanggungjawab:

Pengguna

DA-100102 Keperluan Peraturan

Senarai peraturan yang perlu dipatuhi oleh semua pengguna di UKAS ada-lah seperti LAMPIRAN 2.

Tanggungjawab:

Pengguna

59

11. RUJUKAN

a. Malaysian Public Sector Management of Information & Communications Technolo-

gy Security Handbook (MyMIS) – MAMPU

b. Pekeliling Am Bil 3/2000 : Rangka Dasar Keselamatan Teknologi Maklumat dan

Komunikasi Maklumat Kerajaan

c. Buku Arahan Keselamatan

d. MIS Training Institute Information Security Policy

60

SURAT AKUAN PEMATUHAN

DASAR KESELAMATAN ICT UNIT KERJASAMA AWAM SWASTA (UKAS)

Nama (Huruf Besar)

: ................................................................................................

No. Kad Pengenalan

: ................................................................................................

Jawatan : ................................................................................................

Bahagian : ................................................................................................

Adalah dengan sesungguhnya dan sebenarnya mengaku bahawa:-

1. Saya telah membaca, memahami dan akur akan peruntukan-peruntukan yang terkan-dung di dalam Dasar Keselamatan ICT UKAS; dan

2. jika saya ingkar kepada peruntukan-peruntukan yang ditetapkan, maka tindakan sewajarnya boleh diambil ke atas diri saya.

Tandatangan : ........................................

Tarikh : ........................................

Pengesahan Pegawai Keselamatan ICT

..............................................................

(Nama Pegawai Keselamatan ICT)

b.p. Ketua Pengarah

Unit Kerjasama Awam Swasta

Tarikh : ………………………………………

LAMPIRAN 1

61

LAMPIRAN 2

Keperluan perundangan atau peraturan-peraturan lain berkaitan yang perlu dipatuhi oleh semua pengguna di UKAS:

Arahan Keselamatan; Pekeling Am Bilangan 3 Tahun 2000 bertajuk “Rangka Dasar Keselamatan

Teknologi Maklumat dan Komunikasi Kerajaan”; Pekeliling Am Bilangan 4 Tahun 2006 bertajuk “Pengurusan Pengendalian Insiden

Keselamatan Teknologi Maklumat dan Komunikasi (ICT) Sektor Awam”; Pekeliling Kemajuan Pentadbiran Awam Bilangan 1 Tahun 2003 bertajuk “Garis

Panduan Mengenai Tatacara Penggunaan Internet dan Mel Elektronik di Agensi-agensi Kerajaan”;

Akta Tandangan Digital 1997; Akta Jenayah Komputer 1997; Akta Hakcipta (Pindaan) Tahun 1997; Akta Komunikasi dan Multimedia 1998; Malaysian Public Sector Management of Information and Communications Tech-

nology Security Handbook (MyMIS); Akta Aktiviti Kerajaan Elektronik 2008 (Akta 680); dan Arahan Teknologi Maklumat Disember 2007

sejarah dokumen april 2020 · 3 i. pengenalan 6 ii. tujuan 6 iii. objektif 6 iv. 7skop v....

Documents