tarikh : 6 jun 2017 (selasa) masa : 9.30 pagi tempat...

T A R I K H : 6 J U N 2 0 1 7 ( S E L A S A )

M A S A : 9 . 3 0 P A G I

T E M P A T : B I L I K M E S Y U A R A T B U N G A T A N J U N G

MESYUARAT KAJIAN SEMULA PENGURUSAN (MKSP) ISO/IEC 27001:2013 (ISMS)

SISTEM PENGURUSAN KESELAMATAN BAGI MAKLUMAT ELEKTRONIK CUKAI TAKSIRAN

MAJLIS BANDARAYA PETALING JAYA

LAMPIRAN A

CERTIFIED TO

ISO/IEC 27001:2013

CERT NO: AR 6424

Surveilance Audit ISMS

AGENDA MKSP ISO/IEC 27001:2013 (ISMS)

Agenda Mesyuarat Kajian Semula Pengurusan (MKSP) merangkumi:

1. Ucapan Pengerusi

2. Mengesahkan Minit Mesyuarat

3. Tindakan susulan daripada Kajian Semula Pengurusan yang lepas.

4. Perubahan Isu dalaman dan luaran pelaksanaan ISMS

5. Laporan Penemuan Audit ISMS 1. AUDIT SIRIM (LAMPIRAN I)

2. AUDIT DALAM (LAMPIRAN II)

6. Maklumbalas terhadap penemuan.

7. Status tindakan pembetulan dan pencegahan.

8. Perubahan-perubahan yang boleh memberi kesan terhadap Sistem

Majlis

9. Cadangan penambahbaikan

10.Hal-hal lain

11.Penutup

2

Lampiran A

TERKINI/3. LAPORAN MAKLUMBALAS minit MKSP bil 1_2016.pdf

SKOP ISMS Skop pensijilan ISMS MBPJ memfokuskan kepada keselamatan aset majlis serta

maklumat yang melibatkan hasil utama Majlis dan memberikan impak tinggi

kepada organisasi.

Skop pensijilan ISMS MBPJ adalah seperti berikut:

“Sistem Pengurusan Keselamatan Bagi Maklumat Elektronik Cukai

Taksiran Majlis Bandaraya Petaling Jaya”

Skop ini telah diluluskan oleh Jawatankuasa Kemasyarakatan,

Perkhidmatan, Korporat dan Teknologi Maklumat bertarikh 14 Nov 2014,

BIL 9/ 2014.

Skop yang terlibat adalah Pusat Data MBPJ, Sistem Cukai Taksiran,

Sistem Penilaian yang memberi maklumat kepada Sistem Cukai Taksiran

dan Sistem Kutipan yang menerima maklumat bil dan mengemaskini

bayaran ke dalam Sistem Cukai Taksiran dan Sistem Pengurusan Latihan

bagi mengenalpasti keperluan dan keberkesanan latihan.

Lampiran A

SKOP ISMS

Jabatan utama dan sokongan yang terlibat adalah seperti berikut:

Jabatan Utama o Unit Teknologi Maklumat

o Jabatan Penilaian Dan Pengurusan Harta.

o Jabatan Perbendaharaan

Jabatan Sokongan o Bahagian Sumber Manusia

o Jabatan Kejuruteraaan

o Unit Undang-Undang

o Jabatan Penguatkuasaan dan Keselamatan

o Unit Audit Dalam

Lampiran A

NO AKTIVITI TAHUN 2016 TAHUN 2017

NOV DEC JAN FEB MAC APR MEI JUN JULY OGOS SEPT OKT NOV DIS

1 Perancangan aktiviti Surveillance Audit (tahun ke-2)

2 Mesyuarat Pasukan Induk SMS 10 9 17 25

3 Bengkel Semakan Dokumen ISMS 8-10

4 Program Kesedaran Keselamatan ICT

1-15

5 Mesyuarat RTP (Risk Treatment Plan)

8-10

6 Semakan Dokumentasi MYRAM

8-10 16-18

7 Semakan Dokumen P1-P3 8-10 16-18

8 Semakan RA (Risk Assessment)

16-18

9 Semakan Dokumen sokongan ISMS

16-18

10 Semakan SOA 16-18

11 Preventive Maintainance (PM)

12 Audit Dalam ISMS

17-22

13 Mesyuarat MKSP/ Pengurusan Tertinggi

6

14 Semakan Semula Audit Dalam

25 3

15 Fire Drill

16

16 Audit SIRIM 21-22

Petunjuk : Perancangan Sebenar

Bergantung kepada Bahagian Sumber Manusia

6

Perkara

Tempoh (Hari)

Mula

Akhir

1. Mesyuarat Permulaan:

i) Pasukan Induk ISMS

ii) RTP (Risk Treatment Plan)

iii) MKSP/Pengurus Tertinggi

iv) Lawatan ke pusat data dan menara MBPJ.

147 hari 10 Jan 6 Jun

2. Program Kesedaran Keselamatan ICT i) Seminar dan latihan Untuk Pasukan ISMS

a) Bengkel Kesedaran dan Refresher - ISO 27001:2013

b) Bengkel Audit Dalaman – ISO 27001:2013

c) Bengkel Semakan Dokumentasi - – ISO 27001:2013

ii) Taklimat Kesedaran Keselamatan ICT kepada kakitangan MBPJ

iii) Pertandingan Rekabentuk

iv) Petandingan Mencipta Skrin Saver

v) Pertandingan Amazing Running

vi) Kuiz Pameran dan penyampaian hadiah

48 hari 1 Mac 18 April

3. Semakan Dokumen ISMS Untuk Memastikan Kecukupan Dokumentasi

i) Penilaian Risiko MYRAM

ii) P1-P3

iii) RA (Risk Assessment)

iv) Dokumen sokongan ISMS

v) Statement of Applicability (SOA)

vi) Audit Dalaman ISMS

vii) Preventive Maintainance

viii) Semakan Semula Audit Dalam

ix) Fire Drill

161 hari 8 Mac Ogos

7

Perkara

Tempoh (Hari)

Mula

Akhir

4 . Audit Dalam

i) Nonconfirmity Report (NCR) Klausa A.7 - Human resource security Klausa A.8.2.1 - Information Classification Klausa A.12.2.1 - Controls against malware Klausa A 6.1.1 - Information security roles and responsibilities ii) Opportunities For Improvement (OFI)

Klausa A.9 - Access Control, A.9.4.1 - System and application access control

Klausa 7.5 -Documented Information, Klausa 9.2 - Internal Audits Klausa A.8.2.3 - Handling of Assets Klausa A.8.1.3 - Asset Management Klausa A.18.1.2 - Intellectual property rights Klausa A.18.1.3 - Protection of Records Klausa A.11.1.1 - Physical Security Perimeter

Klausa A.11.1.5 - Working in Secure Areas Klausa A.11.1.2 - Physical Entry Controls Klausa A.11.1.1 - Physical security perimeter.

83 hari 17 Mei 8 Ogos

5 . Audit Luar SIRIM (folow up) i) Nonconfirmity Report (NCR)

- 10.1 - Nonconformity and corrective action - A.12.2.1 - Controls against malware - A.12.4.4 - Clock synchronisation

ii) Opportunities For Improvement (OFI) Klausa 7.5.3 - Control of documented Information Klausa 8.3 - Information Security Risk Treatment Klausa 9.1 - Monitoring, Measurement, Analysis and Evaluation Klausa 9.2 - Internal Audit Klausa 9.3 - Management review

2 hari 21 Ogos 22 Ogos

Isu Dalaman

Kekuatan :

- Sokongan daripada pihak pengurusan

- Kakitangan yang komited dalam melaksanakan inisiatif program keselamatan

- Perkhidmatan berkaitan cukai taksiran yang efektif dan efisyen serta memenuhi keperluan standard ISO/IEC 9001

Peluang :

- Menjadi penanda aras kepada Pihak Berkuasa Tempatan (PBT) yang lain.

- Menambahkan keyakinan pelanggan dan pengawal undang-undang terhadap perkhidmatan sistem atas talian

- Sentiasa mengikuti perkembangan teknologi semasa (naik taraf sistem daripada client based kepada web based)

Kelemahan :

- Sistem legasi yang digunakan mempunyai ciri-ciri keselamatan yang kurang baik seperti userid boleh dikongsi dan digunakan serentak di lokasi yang berbeza

- Permasalahan integriti perkiraan dalam sistem seperti Sistem Cukai Taksiran

- Prestasi sistem yang tidak konsisten menyebabkan ketidaktepatan data

- Pengurusan perubahan dan pindaan aplikasi yang tidak konsisten bagi aplikasi Sistem Penilaian dan Cukai Taksiran

- Virus-attack , Ransomware

Ancaman :

- Kebarangkalian berlaku pencerobohan dan ketirisan maklumat

- Kebarangkalian berlaku serangan siber

ANALISIS SWOT

Isu Luaran

PERUBAHAN ISU DALAMAN DAN LUARAN PELAKSANAAN ISMS

AUDIT SIRIM 2016

i) Nonconfirmity Report (NCR) - 10.1 - Nonconformity and corrective action

- A.12.2.1 - Controls against malware

- A.12.4.4 - Clock synchronisation

ii)Opportunities For Improvement (OFI) Klausa 7.5.3 - Control of documented Information

Klausa 8.3 - Information Security Risk Treatment

Klausa 9.1 - Monitoring, Measurement, Analysis

and Evaluation

Klausa 9.2 - Internal Audit

Klausa 9.3 - Management review

AUDIT DALAM 2017

i) Nonconfirmity Report (NCR) Klausa A.7 - Human resource security

Klausa A.8.2.1 - Information Classification Klausa A.12.2.1 - Controls against malware Klausa A 6.1.1 - Information security roles and responsibilities ii) Opportunities For Improvement (OFI) Klausa A.9 - Access Control, A.9.4.1 -System and application

access control Klausa 7.5 -Documented Information Klausa 9.2 - Internal Audits Klausa A.8.2.3 - Handling of Assets Klausa A.8.1.3 - Asset Management Klausa A.18.1.2 - Intellectual property rights Klausa A.18.1.3 - Protection of Records Klausa A.11.1.1 - Physical Security Perimeter Klausa A.11.1.5 - Working in Secure Areas Klausa A.11.1.2 - Physical Entry Controls Klausa A.11.1.1 - Physical security perimeter.

Jumlah NCR: 3

Jumlah OFI: 5 Jumlah NCR: 4

Jumlah OFI: 10

PENEMUAN AUDIT Lampiran A

LAPORAN PERUBAHAN (TREND) PENCAPAIAN PELAKSANAAN ISMS

PENEMUAN AUDIT

STATISTIK BAGI TEMPOH 2015-2017

NCR OFI

AUDIT DALAM 2015 5 12

AUDIT SIRIM 2015 3 5


AUDIT SIRIM 2016 3 5


5

12

3 5 5

11

3 5 4

10

02468

101214

10

LAPORAN PENEMUAN

AUDIT PEMANTAUAN SIRIM 2016

11

Lampiran I

MAKLUMBALAS & TINDAKAN PENEMUANAUDIT SIRIM

12

• 29-30 Ogos 2016 – Audit Pemantauan bagi peringkat 1 bermula. Terdapat tiga (3) laporan ketakakuran Nonconformity Report (NCR) dan lima (5) peluang

penambahbaikan Opportunities For Improvement (OFI) dikeluarkan.

• 7 September 2016 - Laporan Penemuan Audit SIRIM dilaporkan dalam Mesyuarat Pengurusan Tertingi yang dipengerusikan oleh Datuk Bandar.

• 23 Nov 2016 - Jawapan maklumbalas terhadap 3 ketakakuran (NCR) telah diemelkan pada kepada Audit SIRIM untuk penutupan.

• 24 Nov 2016 - Kesemua laporan ketakakuran yang dikeluarkan telah pun ditutup sepenuhnya. Pihak Audit akan membuat semakan ke atas tindakan yang dibuat

serta bukti-buktinya yang diberi semasa audit pensijilan peringkat ke-2.

Lampiran I

AUDIT LUAR ISMS

TARIKH

AUDIT SIRM

• 29-30 Ogos 2016

TARIKH

AUDIT SUSULAN

• 24 Nov 2016 (NCR TUTUP)

PENEMUAN AUDIT LUAR

2016

• KETAKAKURAN (NCR) – MINOR= 3

• OFI= 5

PENEMUAN AUDIT LUAR ISMS 2016

Nonconformity Report

Opportunities For Improvement

KESIMPULAN AUDIT:

Jumlah NCR: 3

Jumlah OFI: 5

Lampiran I

14

PENEMUAN AUDIT DAN KLAUSA TERLIBAT

i) Nonconfirmity Report (NCR)

Klausa 10.1 - Nonconformity and corrective action

Klausa A.12.2.1 - Controls against malware

Klausa A.12.4.4 - Clock synchronisation

ii) Opportunities For Improvement (OFI)

Klausa 7.5.3 - Control of documented Information

Klausa 8.3 - Information Security Risk Treatment

Klausa 9.1 - Monitoring, Measurement, Analysis and

Evaluation

Klausa 9.2 - Internal Audit

Klausa 9.3 - Management review

Lampiran I

MAKLUMBALAS TERHADAP

PENEMUAN NCR

&

STATUS TINDAKAN PEMBETULAN

DAN PENCEGAHAN

15

Lampiran I

16

PENEMUAN NCR, CADANGAN TINDAKAN PENAMBAHBAIKAN DAN STATUS

UNIT TEKNOLOGI MAKLUMAT

Nombor rujukan: QM10360001 (IS/6-213) AIS-1

Bil Penemuan Cadangan Tindakan Penambahbaikan

Tindakan /Status

1.

10.1 Nonconformity and corrective action Pengurusan tindakan pembetulan bagi ketakakuran (NCR) pelaksanaan ISMS didapati tidak berkesan. Objective evidence : 1. Tiada siasatan punca dan pengesahan tindakan pembetulan yang

dibuat ke atas laporan Pemerhatian (OFI) daripada audit dalam. Contoh: P-02/2016, P-03/2016, P-04/2016, P06/2016, dan P-07/2016. 2. Tindakan yang diambil bagi penemuan audit SIRIM yang lepas tidak berkesan. Contoh: FAZ-1, Laporan Peluang Penambahbaikan bagi

kawalan A.12.2.1 dan A.11.1.2. 3. Tindakan yang diambil bagi penemuan audit dalam (NC-04/2016) tidak berkesan.

Membuat penyelarasan semula ke atas prosedur dan mengemaskini semula borang yang kurang jelas.

Telah dilaksanakan tindakan pembetulan ke atas langkah-langkah yang

disyorkan. (Pembuktian dilampirkan)

Lampiran I

Status Selesai

• Mengemaskini proses tindakan penambahbaikan/ pembetulan/

pencegahan di dalam prosedur Tindakan Penambahbaikan.

Pembetulan dan Pencegahan

• Mengemaskini Borang Laporan Penambahbaikan, Pembetulan dan

Pencegahan (MBPJ-ISMS-P1-005-L01)

• Mengemaskini Borang Laporan Penambahbaikan, Pembetulan dan

Pencegahan (MBPJ-ISMS-P1-005-B05)

• Menjalankan taklimat melalui email blast kepada pasukan

pelaksana dan pasukan audit dalam berkenaan perubahan

17

Lampiran I

18

Lampiran I

19

Lampiran I

20

Lampiran I

21

Lampiran I

22

Lampiran I

23


Nombor rujukan: QM10360001 (IS/6-213) NR-1

Bil Penemuan Cadangan Tindakan

Penambah baikan

Tindakan /Status

2.

A.12.2.1 Controls against malware Kemaskini untuk virus signature bagi

sistem Antivirus Kyrol tidak dipantau. Kesemua komputer pengguna yang disemak semasa sesi audit memaparkan tarikh virus signature antara 31/3/2016 – 18/8/2016. Objective evidence :

Komputer 03-01-00-037, 03-01-00-050, 03-01-00-0360 di Jabatan Penilaian & Pengurusan Harta Komputer 02-01-00-019, 02-01-00-027 di Jabatan Perbendaharaan

Memastikan

penyeragaman versi antivirus sentiasa dikemaskini di dalam server utama.

Pihak Syarikat (Kyrol) telah melakukan tindakan restart ‘definition update’ dan kemaskini

untuk update / virus signature berjaya dibuat pada 1/9/2016, pukul 3.30 petang. Tindakan pembetulan akan dibuat dengan pemantauan pihak IT menstrukturkan semula sistem operasi anti virus dengan lebih baik pada tahun 2017 melalui kontrak

baru dengan pihak vendor bagi tempoh setiap 3 bulan bagi memastikan update dan virus signature sentiasa dikemaskini dan seragam ( senarai semak Tindakan Perlindungan kod Perosak


Lampiran I

24


Nombor rujukan: QM10360001 (IS/6-213) NR-2


Tindakan /Status

3.

A.12.4.4 Clock synchronisation

Jam bagi beberapa buah komputer pengguna digerakkan mengikut satu sumber rujukan masa. Walau bagaimanapun, jam pada sumber waktu yang dirujuk didapati tidak merujuk kepada masa yang tepat.

Objective evidence : Komputer 03-01-00-037, 03-01-00-050, 03-01-00-0360 di Jabatan Penilaian & Pengurusan Harta – lambat 12 minit Komputer 02-01-00-019, 02-01-00-027 di Jabatan Perbendaharaan –

lambat 12 minit Laporan Kutipan di Kaunter 3, Mesin 1 yang menjana laporan terkini (sehingga 12:11pm) tetapi dicetak sebagai 11:59am

Memastikan waktu diselaraskan mengikut sumber rujukan server atau Active Directory (AD) bagi mengelakkan berlakunya sebarang

insiden.

Tindakan menyelaras waktu di server Active Directory telah dibuat mengikut piawaian SIRIM (mst.sirim.my) pada 14 Jun 2016, pukul 11.00

pagi sehingga 12.00 tengahari. Tindakan Pembetulan akan dilaksanakan dengan menaiktaraf perisian dan server Active

Directory untuk tahun hadapan.


Lampiran I

MAKLUMBALAS PENUTUPAN NCR

25

Lampiran I


PENEMUAN OFI

&


DAN PENCEGAHAN.

26

Lampiran I

27


Nombor rujukan: QM10360001 (IS/6-213) - Nur Aisya Mohd. Zamri


Tindakan /Status

1.

Monitoring, measurement, analysis

and evaluation Selaras dengan isu-isu yang dikenal pasti, objektif keselamatan serta hasil daripada penilaian risiko, organisasi telah membangunkan beberapa metrik pengukuran bagi memantau pelaksanaan kawalan-kawalan

tertentu. Walau bagaimanapun, metrik tersebut boleh disemak kembali bagi memastikan: i) Metrik tersebut selaras dengan salah satu objektif keselamatan. Sebagai contoh, Metrik 2 : Backup dan Metrik 3 : Restoration.

ii) Pencapaian sebenar direkodkan dengan jelas.

Menyemak kembali

metrik pengukuran bagi kawalan Backup dan Restoration supaya ia selaras dengan objektif keselamatan dan memastikan pengukuran pencapaian sebenar

direkodkan dengan jelas

Semakan semula telah

dilaksanakan dengan merekodkan kekerapan bilangan aktiviti backup & restore yang telah dijalankan. Satu Laporan

Pencapaian sebenar juga direkodkan oleh pasukan rangkaian dan aplikasi.

PENEMUAN OFI, CADANGAN TINDAKAN PENAMBAHBAIKAN DAN STATUS

Lampiran I

28




Tindakan /Status

2.

Internal Audit Audit dalam telah

dilaksanakan oleh 4 juruaudit dalam yang terlatih. Pengauditan dijalankan dengan baik. Namun, kesaksamaan audit terhadap proses audit dalam perlu dilihat kembali. Perekodan punca penemuan audit juga perlulah lebih konsisten.

Perekodan punca

penemuan audit atau ‘root cause’ akan diselaraskan semula oleh pasukan Audit Dalam agar laporan yang dikeluarkan konsisten

Perekodan punca

penemuan audit atau ‘root cause’ telah diselaraskan semula oleh pasukan Audit Dalam.


Lampiran I

29




Tindakan /Status

3.

Management review Organisasi

mempunyai beberapa platform bagi menyemak pelaksanaan ISMS di MBPJ seperti mesyuarat kajian semula pengurusan (MKSP), mesyuarat jawatankuasa kerja ISMS dan mesyuarat kemasyarakatan. Diperhatikan agenda yang

dibincangkan adalah komprehensif, namun, ianya boleh ditambah baik bagi menampakkan perubahan (trend) pencapaian pelaksanaan ISMS seperti pengukuran metrik, penemuan audit dalam dan hasil penilaian risiko

Agenda dalam

mesyuarat akan dikaji semula dan menampakkan perubahan pencapaian pelaksanaan ISMS mengikut aturan.

Laporan Perubahan

(trend) pencapaian pelaksanaan ISMS seperti pengukuran metrik, penemuan audit dalam dan hasil penilaian risiko akan dibincangkan dalam

mesyuarat MKSP bilangan 1/2017


Lampiran I

30


Nombor rujukan: QM10360001 (IS/6-213) Nor Aza Ramli


Tindakan /Status

4.

Control of documented information

Kawalan bagi maklumat yang didokumenkan dilihat telah dilaksanakan. Walau bagaimanapun penambahbaikan boleh dibuat semasa menyemak kecukupan maklumat di dalam dokumen seperti merekodkan nama

penuh yang jelas, tarikh tandatangan diturunkan dan versi dokumen yang dirujuk. Selain daripada itu, cara dokumen disimpan perlu diperbaiki untuk memudahkan pencarian maklumat bila diperlukan.

Semakan kecukupan

maklumat perlu ditambahbaik oleh urusetia Pasukan ISMS. Cara penyimpanan dokumen berkaitan ISMS perlu diselaraskan.

Semakan terhadap

dokumen berkaitan telah dilaksanakan. Kawalan terhadap dokumen ISMS telah direkodkan dengan jelas, tarikh tandatangan

diturunkan dan versi dokumen juga dikemaskini. Cara dokumen disimpan telah dibaiki dengan melaksanakan ‘tagging’

untuk memudahkan pencarian maklumat bila diperlukan.


Lampiran I

31


Nombor rujukan: QM10360001 (IS/6-213) Nor Aza Ramli


Tindakan /Status

5.

Pelaksanaan risk treatment plan

telah dilihat dan didokumenkan. Walau bagaimanapun keputusan dari pelaksanaan risk treatment plan (RTP) tersebut perlu direkodkan dengan jelas dan digunakan semasa pentaksiran semula risiko yang dijalankan mengikut keperluan

organisasi.

Keputusan dari

pelaksanaan RTP akan ditambahbaik dari semasa ke semasa

Keputusan dari

pelaksanaan Risk treatment plan (RTP) telah direkodkan.


Lampiran I

RINGKASAN PENEMUAN AUDIT SIRIM

MBPJ telah memastikan bahawa kaedah penilaian risiko dapat menangani semua keperluan yang berkaitan. Terdapat juga bukti-

bukti yang menunjukkan pelaksanaan kawalan untuk mengurangkan

risiko yang dikenal pasti .

Secara keseluruhan, MBPJ telah melaksanakan Sistem Pengurusan Keselamatan Maklumat (ISMS) dengan baik. Komitmen daripada

pihak pengurusan dan kesedaran daripada pegawai juga jelas.

Walau bagaimanapun, isu yang diketengahkan dalam laporan

ketakakuran dan peluang penambahbaikan boleh diambil kira bagi mengukuhkan lagi pelaksanaan keseluruhan ISMS di Majlis Bandaraya

Petaling Jaya.

Lampiran I

LAPORAN PENEMUAN

AUDIT DALAM 2017

33

Lampiran II

AUDIT DALAM

Audit Dalam (internal Audit) telah dilaksanakan pada 17-22 Mei

yang lalu dimana sebanyak 4 NON-CONFORMITY- minor (NCR) dan 10

Opportunities For Improvement (OFI) telah dikeluarkan dan semua

teguran audit sedang dalam tindakan pembetulan oleh pasukan ISMS.

Lampiran II

AUDIT ISMS

TARIKH

AUDIT DALAM

• 17-22 Mei 2017

TARIKH

AUDIT SUSULAN

• Ogos 2017

PENEMUAN AUDIT

PENEMUAN AUDIT DALAM ISMS MBPJ

Nonconformity Report

Opportunities For Improvement

2017

•NCR = 4

•OFI= 10

KESIMPULAN AUDIT:

Jumlah NCR: 4

Jumlah OFI: 10

Lampiran II

36

PENEMUAN AUDIT DAN KLAUSA TERLIBAT

i) Nonconfirmity Report (NCR)

Klausa A.7 - Human resource security

Klausa A.8.2.1 - Information Classification

Klausa A.12.2.1 - Controls against malware

Klausa A 6.1.1 - Information security roles and responsibilities

ii) Opportunities For Improvement (OFI)

Klausa A.9 - Access Control

Klausa 7.5 - Documented Information

Klausa A.8.2.3 - Handling of Assets

Klausa A.8.1.3 - Asset Management

Klausa A.18.1.3 - Protection of Records

Klausa A.11.1.1 - Physical Security Perimeter

Klausa A.7 - Human resource security

Klausa A.9.4.1 - System and application access control

Klausa A.11.1.2 - Physical Entry Controls

Klausa A.11.1.1 - Physical security perimeter.

4 NCR

10 OFI

Lampiran II

1. Penyediaan dokumentasi ISMS berada pada tahap BAIK namun perlu

diperkemaskan dari semasa ke semasa.

2. Pengurusan Aset perlu ditambahbaik bagi memudahkan pemantauan

Aset.

3. Pengurusan rekod ISMS perlu diperkemaskan bagi memudahkan pencarian

rekod

4. Kawalan Keselamatan komputer pengguna perlu di tekankan bagi

memastikan kelangsungan perkhidmatan terjamin

RINGKASAN PENEMUAN AUDIT

Rumusan Audit Secara keseluruhannya pelaksanaan dan pemantauan ISMS di MBPJ

adalah berada pada tahap BAIK dan masih terdapat ruang untuk

penambahbaikan dari semasa ke semasa

Lampiran II


PENEMUAN NCR

&


DAN PENCEGAHAN

38

Lampiran II

39


Nombor rujukan: NCR2017-01


Penambahbaikan

Tindakan /Status

1.

A.7 Human resource security

Pihak auditee didapati tidak bersedia

menerima kedatangan auditor kerana

tidak dapat maklumat daripada ketua

bahagian sedangkan satu email

pemberitahuan telah dikeluarkan pada 8

Mei 2017.

10 fail telah dipilih secara rawak daripada

buku rekod fail (5 fail 2016dan 5 fail tahun

2017). Didapati hanya 2 daripada 10 fail

tersebut lengkap mengandungi Surat

Tawaran Pelantikan, Borang Soalan

Tapisan Keselamatan (Borang KPKK 11),

Surat Akuan Pematuhan Kakitangan

Dasar Keselamatan ICT Majlis, Akta Rahsia

Rasmi 1972 (Perakuan Kakitangan).

Bahagian Sumber Manusia akan memastikan

pemakluman sampai kepada mereka setiap kali sesi auditan dijalankan. Semua teguran fail akan diselaraskan oleh semula oleh kakitangan yang

bertanggungjawab.

Pihak Auditee telah mengemaskini semula fail bagi memastikan semua

surat dan dokumen telah dikandungkan ke dalam fail kakitangan. Fail-fail yang telah dikemaskini semula adalah seperti berikut:-

Rujukan Fail

MBPJ/APPK/57

MBPJ/APPK(K)/155

MBPJ/APPK(K)/41

MBPJ/APPK(K)/39

MBPJ/PP(PB)(K)/26

MBPJ/PPTA(K)/32

MBPJ/DOC(K)/02

MBPJ/PKTB/244


Lampiran II

40


Nombor rujukan: : NCR2017-02


Penambahbaikan

Tindakan /Status

2.

A.8.2.1Information

Classification

• Tiada Buku Daftar 492A –

Maklumat terperingkat

disediakan oleh pihak Auditee.

• Pengkelasan Fail Jabatan

mendapati Fail ISMS dikelaskan

sebagai Fail Terbuka Terhad.

Menyediakan Buku Daftar

492A - Memastikan

maklumat terperingkat

fail di klasifikasi dengan

betul.

Fail-fail ISMS hendaklah

diklasifikasikan sebagai

Fail Terhad.

Dokumen rujukan perlu

dimuat turun dan

difailkan di dalam fail

dokumen

rujukan/sokongan.

Memindahkan semula Rekod Senarai Fail yang diuruskan oleh pembantu tadbir didalam Buku Daftar

492A . Fail-fail ISMS telah diklasifikasikan sebagai Fail Terhad.


Lampiran II

41




Tindakan /Status

3.

A.12.2.1 Controls against malware Semakan komputer secara rawak di Jabatan Penilaian dan Jabatan Perbendaharaaan mendapati : i. Anti virus SMADAV masih dipasang

pada pc.

ii. Beberapa pc tidak join domain. iii. Ada pc masih menggunakan

akaun ITSUPPORT dan bukan user biasa.

iv. Screen saver tidak mengikut standard (ada 1 minit dan ada 10 minit)

v. Ada pc dengan anti virus last patches adalah tahun 2016.

Semakan perlu dibuat

pada setiap komputer yang terlibat. Pastikan anti-virus yang sah sahaja digunakan dan menggunakan patches yang terkini dan auto update, pastikan semua

komputer joined domain, pastikan user menggunakan akses kepda komputer dengan akaun yang betul dan bukan akaun admin dan screen saver ditetapkan

mengikut standard yang ditetapkan di dalam DKICT.

i. Anti virus selain Kyrol

akan dikeluarkan dari pc pengguna.

ii. Semua PC akan disetkan sebagai domain ICT-Net.

iii. Login PC bagi pengguna biasa

akan disetkan mengikut Profile Pengguna

iv. Screen saver telah disetkan masa 2 minit

v. Semua pc telah

mempunyai antivirus yang terkini.


Lampiran II

42




Tindakan /Status

4.

Terdapat percanggahan

maklumat berkaitan CIO. Auditee menyatakan bahawa CIO baru telah dilantik iaitu Pengarah Khidmat Pengurusan, Tuan Hj. Ahmat Mohaayen Bin Hj Said namun dalam dokumen semakan

mendapati tiada surat perlantikan baru sedangkan telah dinyatakan dalam DKICT CIO mesti terdiri daripada wakil pengurusan tertinggi.

Pasukan ISMS perlu

sentiasa peka dengan sebarang perubahan serta PIC yang bertanggungjawab / pengurus fail mesti sentiasa mengemaskini dokumen untuk tujuan

rekod setiap kali perubahan berlaku sama ada carta organisasi, dokumen serta semua yang berkaitan.

Surat Pelantikan Pengarah

Khidmat Pengurusan, Tuan Hj. Ahmat Mohaayen Bin Hj Said sebagai CIO MBPJ bertarikh 5 Julai 2013 telah dikemukakan dan dirujuk. Walaubagaimanapun, melalui

Keputusan Mesyuarat MKSP bertarikh 6 Jun 2017, Pengarah Teknologi Maklumat masih dikekalkan sebagai CIO dan bertanggungjawab ke atas keselamatan data bagi SISTEM

PENGURUSAN KESELAMATAN

BAGI MAKLUMAT ELEKTRONIK CUKAI TAKSIRAN. Pengesahan CIO daripada MAMPU juga disertakan.


Lampiran II

43

Lampiran II


PENEMUAN OFI

&


DAN PENCEGAHAN.

44

Lampiran II

45


Nombor rujukan: : OFI2017-01, OFI2017-02, OFI2017-03, OFI2017-04,OFI2017-05

Bil Klausa Tindakan /Status

1. A.9.4.1 - System and

application access

control

Akuan Keselamatan Kontraktor telah dikandungkan ke dalam Fail. Dokumen prosedur yang dinyatakan telah dikeluarkan daripada dokumen P2 kerana terdapat prosedur yang berulang di dalam dokumen P3. Prosedur tersebut telah dikandungkan dalam P3 dan telah diluluskan.

2. 7.5 Document

information, 9.2 Internal

Audits

Semakan ‘Cross reference’ antara DKICT, Manual dan SOA

disemak semula bagi memastikan ianya selari. Pihak Auditee juga akan memastikan kesemua fail teratur dan direkodkan secara konsisten dan lebih bersedia untuk auditan akan datang.

3. A.8.2.3 Handling of Assets

Pembelian aset IT bagi tahun 2016/2017 telah direkodkan dan disusun dengan sempurna

4. A.18.1.2 - Intellectual property rights

Kawalan telah direkodkan. Kabinet fail dibuka dari jam 8.00pagi sehingga 5.00 petang. Kabinet akan dikunci selepas jam 5.30petang.

5. A.11.1.5

Working in Secure Areas

Pihak Auditee juga akan memastikan kesemua fail teratur dan direkodkan secara konsisten. Semua pembuktian bagi Borang

Kebenaran Kerja akan disemak dan dikemaskini dari semasa ke masa.

PENEMUAN OFI, TINDAKAN DAN STATUS Lampiran II

46


Nombor rujukan: : OFI2017-06, OFI2017-07, OFI2017-08, OFI2017-09,OFI2017-10

Bil Klausa Tindakan /Status

6. A.11.1.1 Physical Security Perimeter

6. Pemadam kebakaran dalam Pusat Data telah tamat tempoh pada bulan September 2016, email telah diberikan pada bulan April 2017. Emel dan tindakan susulan akan dibuat kepada pihak Jabatan

Kejuruteraan.

7. A.8.1.3

Asset Management

7. Tindakan pengemaskinian kesemua Senarai Aset KEW PA 2, 4 7,

sedang diambil tindakan . Penyediaan KEW P.A 13 juga turut dilaksanakan bagi tujuan memastikan pengawasan keseluruhan rekod komputer meja dan komputer riba Majlis

8. A.9.4.1 System and application access control

2. Pembetulan semula ke atas reference SOA bagi Handling Of Asset kepada 030202 (Prosedur Pengendalian Maklumat) telah diambil tindakan dan semua teguran kesalahan kod dan tajuk yang tidak sama telah dikemaskini.

9. A.11.1.2 Physical Entry Controls.

9. Keselamatan keluar / masuk pelawat Unit Teknologi Maklumat MBPJ akan lebih dipertingkatkan dengan mewajibkan setiap pelawat yang masuk mengisi Buku rekod keluar / masuk pelawat. Buku rekod telah disemak semula dan dibuat penambahbaikan

10. A.11.1.1 Physical security perimeter.

10. Penyediaan fail iaitu rekod bagi perkhidmatan penyelenggaraan berkala (Preventive Maintenance) dan kerosakan (corrective maintenance – adhoc basis) telah dikemaskini semula.

PENEMUAN OFI, TINDAKAN DAN STATUS Lampiran II

1. Penyediaan dokumentasi ISMS berada pada tahap BAIK namun perlu

diperkemaskan dari semasa ke semasa.

2. Pengurusan Aset perlu ditambahbaik bagi memudahkan pemantauan

Aset.

3. Pengurusan rekod ISMS perlu diperkemaskan bagi memudahkan

pencarian rekod

4. Kawalan Keselamatan komputer pengguna perlu di tekankan bagi

memastikan kelangsungan perkhidmatan terjamin

Rumusan Audit

Secara keseluruhannya pelaksanaan dan pemantauan ISMS di MBPJ

adalah berada pada tahap BAIK dan masih terdapat ruang untuk

penambahbaikan dari semasa ke semasa

RINGKASAN PENEMUAN AUDIT DALAM

Lampiran II

TINDAKAN SUSULAN DARIPADA

KAJIAN SEMULA PENGURUSAN

YANG LEPAS DAN PENCAPAIAN

48

MESYUARAT PASUKAN KERJA ISMS

• 10 Jan 2017 - Mesyuarat pertama pasukan kerja ISMS telah dilaksanakan melibatkan

semua wakil dari jabatan terlibat. Wakil yang hadir dikehendaki bersedia dengan aktiviti

dan program ISMS yang bakal dilaksanakan sepanjang tahun 2017. Antara perbincangan

ialah mengenalpasti senarai aktiviti program Kesedaran yang melibatkan penyertaan

semua kakitangan MBPJ dan pelbagai persiapan program telah dibincangkan bagi

memastikan program berjalan dengan lancar.

• 9 Mac 2017 - Mesyuarat kedua pasukan kerja ISMS telah dilaksanakan bagi semakan

keseluruhan dokumentasi ISMS ISO/IEC 27001 :2013 sebagai persediaan untuk Audit

Pemantauan dan Persijilan Semula (Recertification) oleh SIRIM QAS International Sdn. Bhd.

• Pada 17 April 2017, Mesyuarat ketiga pasukan kerja ISMS telah dilaksanakan bagi

mengemaskini dokumen Dasar Keselamatan ICT, Statement Of Applicability (SOA), Risk

Assesments dan Risk Treatement Plan (RTP) supaya ia dikemaskini semula. Satu gerak kerja

berkumpulan telah dibentuk bagi menyiapkan tugasan yang telah diberikan.

• 6 Jun 2017 - Mesyuarat Kajian Semula Pengurusan (MKSP) telah berlangsung melibatkan

wakil pihak pengurusan tertinggi. Mesyuarat yang dipengerusikan oleh Datuk Bandar

MBPJ telah meluluskan semua dokumen ISMS dan memutuskan supaya tindakan-tindakan

yang perlu diambil bagi meningkatkan keberkesanan ISMS.

BENGKEL SEMAKAN DOKUMEN ISMS

• Bengkel Pra-Audit Pemantauan ISMS telah diadakan pada 8-10 Mac 2017 di Hotel Swiss

Garden Melaka. Taklimat telah disampaikan oleh Perunding ISMS yang dilantik oleh

MBPJ. Seramai 20 orang peserta yang terdiri daripada wakil Penilaian,

Perbendaharaan,Kejuruteraan,Perundangan dan Penguatkuasaan turut hadir sama

dalam menjayakan sesi bengkel tersebut.

• Bengkel kedua iaitu Semakan dan Kemaskini Dokumen ISMS telah diadakan pada 16-18

April 2017, bertempat di Hotel BlueWave, Shah Alam. Taklimat telah disampaikan oleh

Wakil daripada Seksyen QRD. Objektif bengkel ialah :-

Menyemak isu dalaman dan isu luaran ISMS, objektif dan matlamat kewujudan ISMS

dan skop.

Menyemak dan mengemaskini dokumen DKICT, MyRam, SOA , Security Metric ,

Manual ISMS (P1) serta prosedur-prosedur berkaitan bagi memenuhi keperluan

standard ISMS.

Penyediaan bagi menghadapi Audit Dalam serta Audit Pemantauan (Tahun Ke-2).

• Seramai 15 orang peserta yang telah mengambil bahagian dalam membantu

menyiapkan dokumentasi ISMS.

• Antara dokumentasi yang disemak oleh pasukan ISMS termasuk:-

i. Manual ISMS

ii. Penilaian Risiko

iii. ‘Risk Treatment Plan’ (RTP)

iv. ‘Statement of Applicability’ (SOA)

v. Dasar Keselamatan ICT MBPJ (DKICT)

HASIL BENGKEL ISMS BIL. 1 TAHUN 2017

51

52

No. Perkara Tindakan Susulan

1. Menyemak DKICT, P1 dan P2 untuk

memastikan rujukan para lebih tepat;

Telah dilaksanakan pada 16-18

April

2. Pelaksanaan dan pengemaskinian Penilaian

Risiko dan Risk Treatment Plan (RTP) dalam

aplikasi MyRAM seperti template yang telah

disediakan;


April

3. Menyemak SOA untuk memastikan rujukan

para lebih tepat;


April

4. Laksana dan rekod pindaan yang dilakukan

jika terdapat perubahan pada prosedur

sedia ada


April

5. Pelaksanaan Audit Dalam Akan dilaksanakan

pada 17-22 Mei 2017

6. Mesyuarat MKSP Jun 2017

Hasil Bengkel dan Tindakan Susulan

Dasar Keselamatan ICT versi 3.1

Kemaskini pada polisi pada 020102 Ketua Pegawai Maklumat Kemaskini Surat Akuan Pematuhan Dasar Keselamatan ICT

MBPJ-ISMS- P1-010 Statement of Applicability Kemaskini pada bukti-bukti pelaksananaan kawalan berdasarkan

implementasi terkini di MBPJ dan membuat pelarasan semula terhadap rujukan SOA dengan DKICT.

MBPJ-ISMS- P1-008 Penilaian Risiko Kemaskini pada bukti-bukti pelaksananaan kawalan berdasarkan

implementasi terkini di MBPJ

MBPJ-ISMS- P1-009 Risk Treatment Plan

Kemaskini pada bukti-bukti pelaksananaan kawalan berdasarkan implementasi terkini di MBPJ

53

PERUBAHAN DOKUMEN ISMS

54

PERUBAHAN DOKUMEN ISMS

Unit Teknologi Maklumat

2015

PROGRAM KESEDARAN ISMS

• Sepanjang bulan Mac 2017 telah diadakan Program kesedaran

keselamatan ICT kepada warga kerja MBPJ bagi memastikan kakitangan

melaksanakan pematuhan DKICT dan amalan-amalan terbaik serta

dapat melindungi keselamatan aset ICT. Antara aktiviti yang diadakan

ialah :

• Pertandingan Rekabentuk Inovasi ICT

• Treasure Hunt (“Amazing Running Hunt”) • Pertandingan Mencipta Screen Saver

• Taklimat Kesedaran Keselamatan ICT, Kuiz IT dan Pameran

• Sesi Penyampaian Hadiah

• Pada 15 Mac 2017, bengkel kesedaran keselamatan ICT 2016 telah

diadakan di Dewan Auditorium, MBPJ. Seramai 100 orang kakitangan

Majlis telah hadir dengan jayanya. Antara aktiviti yang telah diadakan

ialah Taklimat Dasar keselamatan ICT, Kuiz Online ICT, Taklimat Perisian

antivirus, Latihan Penggunaan Perisian Google Suite dan Pameran

Knowledge Management System (KMS) .

Unit Teknologi Maklumat

2017

BENGKEL ISMS

PERTANDINGAN REKABENTUK INOVASI ICT

PERTANDINGAN AMAZING RUN

PENGLIBATAN PIHAK PENGURUSAN DAN WARGA KERJA

HEBAHAN FLYERS ISMS

PENILAIAN RISIKO

(RISK ASSESMENT)

63


HASIL PENILAIAN RISIKO

STATISTIK BAGI TEMPOH 2016-2017

64

1

68

272

0 5 25

0 0

166

0 1

23

0 3

25

0 0 7

0

50

100

150

200

250

300

HIGH MEDIUM LOW

HARDWARE

SOFTWARE

PEOPLE

DATA

SERVICES

SUPPORT

PENILAIAN SEMULA

RISIKO ISMS – UTM MBPJ

65

Asset group Asset value Asset Count

Low Medium High

Hardware 20 28 67 115

Software 0 2 7 9

People 0 77 0 77

Information And Data

12 4 0 16

Services (supporting)

15 9 0 24

Services (accessibility)

0 6 0 6

Total 47 126 74 247

Appendix A Asset Classification and Valuation

Table 3-1 : Asset Based on Asset Group

Jumlah Aset MBPJ

66

Asset group Risk Level

Low Medium High

Hardware 272 68 1

Software 25 5 0

People 166 0 0

Information And Data 23 1 0

Services (supporting) 25 3 0

Services (accessibility) 7 0 0

Total 518 77 1

Appendix D Overall Risk Analysis Distribution

Table 3-5 : Risk level for All Assets

Tahap risiko aset UTM

PENCAPAIAN

PENGUKURAN KAWALAN

(SECURITY METRIC )

67

68

• Melaporkan Pencapaian Security Metrics

bagi pelaksanaan kawalan keselamatan

oleh Pasukan Pelaksana ISMS

TUJUAN

68


PENGUKURAN METRIK PENCAPAIAN OBJEKTIF KESELAMATAN

BAGI TEMPOH 2016-2017

METRIK 1 METRIK 2 METRIK 3 METRIK 4 METRIK 5

2016 100 100 100 100 53.07

2017 100 100 100 100 53.07

0

20

40

60

80

100

120

PENGUKURAN METRIK

69

SECURITY METRIC : PROGRAM KESEDARAN Menilai perlaksanaan program kesedaran dalam tempoh setahun

BIL PERKARA KETERANGAN

1. Objektif Memastikan program kesedaran keselamatan

ICT dilaksanakan sekurang-kurangnya sekali

setahun.

2. Sasaran Pengukuran 100%

3. Kekerapan Pengumpulan

Data

Sekali Setahun

4. Formula Pengukuran S = (X/Y) * 100

100 = (1/1) * 100

Dimana;

S – Peratusan pelaksanaan program dalam

tempoh setahun.

X – Jumlah pelaksanaan program setahun.

Y – Jumlah minima program yang perlu

dilaksanakan dalam tempoh setahun.

5. Pencapaian Objektif 100%

70

SECURITY METRIC : AKTIVITI BACKUP Mengukur samada aktiviti backup yang dilaksanakan adalah berjaya atau

pun tidak


1. Objektif Untuk memastikan kawalan backup

dilaksanakan dengan berkesan.

Skop backup :- Server Cukai Taksiran,

penilaian dan kutipan

2. Sasaran Pengukuran 100% aktiviti backup berjaya


Data

Setiap 3 bulan sekali

4. Formula Pengukuran S = B/(B+T) * 100

S = 1/(1+0) * 100

S = 100

Dimana:

S – Peratusan aktiviti backup yang berjaya

B – Jumlah aktiviti backup yang berjaya

T – Jumlah aktiviti backup yang tidak berjaya

5. Pencapaian Objektif 2016 : 100%

2017 : Belum

71

SECURITY METRIC : AKTIVITI RESTORE Mengukur jumlah aktiviti restore yang berjaya


1. Objektif Bertujuan bagi menguji keberkesanan proses

dan aktiviti restore data. Memastikan risiko

kehilangan data dapat diminimumkan.

2. Sasaran Pengukuran 100% aktiviti restore berjaya


Data

Sekali Setahun

4. Formula Pengukuran S = R/ (R+K) * 100

S = 1/ (1+0) * 100

S = 100

Dimana:

S – Peratus aktiviti restore berjaya

R – Jumlah aktiviti restore yang berjaya

K – Jumlah aktiviti restore yang tidak berjaya


72

SECURITY METRIC : KAWALAN CAPAIAN Menilai samada aktiviti semakan kawalan capaian dapat dilaksanakan secara

berkala


1. Objektif Untuk mengukur keberkesanan pelaksanaan

aktiviti semakan kawalan yang perlu

dilaksanakan sekurang-kurangnya dua (2) kali

setahun.

2. Sasaran Pengukuran 100% aktiviti semakan dilaksanakan

3. Kekerapan Pengumpulan Data Dua (2) kali setahun

4. Formula Pengukuran S = (A/W) *100

S = (1/1)*100

S = 100%

Dimana:

S – Peratus aktiviti semakan kawalan capaian

A – Jumlah aktiviti semakan kawalan dilaksanakan

W –Jumlah minimum aktiviti semakan kawalan

yang perlu dilaksanakan


73

SECURITY METRIC : CAPACITY MANAGEMENT Menilai samada peratusan penggunaan kapasiti/threshold (CPU,RAM)

mencapai peratusan maksimum yang dibenarkan. BIL PERKARA KETERANGAN

1. Objektif Pengukuran ini bagi membuat pengunjuran

kapasiti bagi memenuhi keperluan dan

memastikan pencapaian penggunaan sistem

adalah terjamin

2. Sasaran Pengukuran Maksimum threshold adalah 80%.


Data

Dua (2) kali setahun

4. Formula Pengukuran S = A /B *100

S = 16.8/31.66*100

S = 53.07%

Dimana:

S – Peratusan kapasiti storan

A – Jumlah penggunaan kapasiti storan

B – Jumlah keseluruhan kapasiti storan

5. Pencapaian Objektif 53.07%

74

Berdasarkan Penyataan Dasar ISMS yang telah dinyatakan

pada Bab 3.3, empat (4) objektif keselamatan maklumat

telah dikenalpasti dan perlu dicapai iaitu:

Memastikan program kesedaran keselamatan ICT

dilaksanakan sekurang-kurangnya sekali setahun.

Memastikan aktiviti backup dilaksanakan dengan berjaya

pada setiap bulan dan aktiviti restore dilaksanakan

dengan berjaya sebanyak dua (2) kali setahun bagi

menjamin keselamatan dan ketersediaan

data/maklumat di Sistem Cukai Taksiran.

Melaksanakan semakan kawalan capaian sebanyak dua

(2) kali setahun bagi memastikan keselamatan

data/maklumat di Sistem Cukai Taksiran terjamin.

Memastikan pelan pengunjuran kapasiti dilaksanakan

sekurang-kurangnya sekali setahun.

OBJEKTIF UTAMA KESELAMATAN

76

Kawalan Status Pengukuran

1. Information security

awareness, education

and training

Telah dilaksanakan pada 1-15 Mac 2017

1-10 Mac : Pertandingan Rekabentuk Inovasi ICT

1-10 Mac : Pertandingan Mencipta Screen Saver

11 Mac : Pertandingan Amazing Running Hunt

15 Mac : Program Kesedaran Keselamatan ICT, Kuiz IT, Pameran dan Sesi

Penyampaian Hadiah

7 Mac : Taklimat Suaikenal Lantikan Baru

2. Information backup Ogos 2016: Telah dilaksanakan pada 05/08/2016

Oktober 2016 : Telah dilaksanakan pada bulan Oktober

Tahun 2017 : Akan dilaksanakan setelah pelantikan syarikat dibuat

oleh Majlis di bawah tajuk Tender Membekal Perkhidmatan Pusat DRC

untuk Majlis Bandaraya Petaling Jaya bagi tempoh 3 + 2 tahun

3. Restore

Mac : Telah dilaksanakan pada 28/03/2017 melibatkan table transaksi

sistem cukai taksiran

September: Akan dilaksanakan pada minggu 4, bagi Sistem Cukai

Taksiran

4. Review of user access

rights

Akan dilaksanakan pada Audit Pensijilan Peringkat 2

5. Capacity

management

Ogos 2016 : Telah dilaksanakan pada 10/08/2016 April 2017 : Telah dilaksanakan pada 18/04/2017

SECURITY METRIK

77

AKTIVITI RESTORE

78


1. Semakan terhadap metrik pengukuran telah ditambahbaik bagi kawalan

Backup dan Restoration supaya ia selaras dengan objektif keselamatan

dan memastikan pengukuran pencapaian sebenar direkodkan dengan

jelas.

2. Kesaksamaan audit terhadap proses audit telah diperbetulkan supaya

perekodan punca penemuan audit lebih konsisten.

3. Agenda dalam mesyuarat MKSP telah diperincikan dengan lebih jelas

dengan menampakkan perubahan pencapaian pelaksanaan ISMS

mengikut aturan.

4. Kecukupan maklumat di dalam dokumen seperti merekodkan nama

penuh yang jelas, tarikh tandatangan diturunkan dan versi dokumen

yang dirujuk telah disemak serta cara dokumen disimpan telah diperbaiki

untuk memudahkan pencarian maklumat bila diperlukan.

5. Keputusan dari pelaksanaan risk treatment plan (RTP) tersebut telah

direkodkan dengan jelas dan digunakan semasa pentaksiran semula

risiko yang dijalankan mengikut keperluan organisasi.

MAKLUMBALAS PENEMUAN 5 OFI YANG TELAH DITAMBAHBAIK

PERUBAHAN-PERUBAHAN

YANG BOLEH MEMBERI KESAN

TERHADAP SISTEM MAJLIS

79

PELAN PENILAIAN RISIKO

Risk Treatment Plan (RTP)

80

Category Asset Threat Mitigation Plan Time length

Status Start End

Hardware HP Core

Switch

Failure of

LAN and

WAN

Kerja-kerja pengkabelan untuk

pelaksanaan switch

redundancy

Jun-17 Dec-17 Restructure

Cabling,

grouping

(Fiber) - on

paper work

stage, target

appointment -

completion Dec

2017

Hardware SUN M3000

Server

Database

Power failure > Menaiktaraf UPS

(redundancy) - IT - PTM &

PPTM

> Tindakan Jabatan

Kejuruteraan - naiktaraf struktur

electrical bangunan

Jun-16 Dec-17 1. UPS –

completed on

April 2017

2. Building

electrical

structure –

Dalam Kajian

sedang

dilaksanakan

oleh appointed

consultant



Status Start End

Software Oracle 9.2.0 Loss of

personal

• Melantik pembantu DBA

• Melantik pembantu DBA

dikalangan kakitangan sedia

ada

Jun-16 Dec-16 Telah dilantik

pada tahun

2016 -

completed

People Staf UTM Personnel is

not

competent

Permohonan latihan PLSQL

telah diminta untuk bajet 2016-

2017

Jun-16 Dec-17 Penyediaan

paperwork,

target

completion

training

attended

Software Oracle 9.2.0 End of

Support

Loss of Data

Kajian Teknologi baru - 2017

Fine tuning healthcheck 6 mth

Oracle support from Array

Technology - preventive

maintenance every 3 mths

(space, i/o, table space

availability, user scema status,

object error checking, lock

checking, share pool clear,

temporary table space

maintenance)

Apr-17 Jul-17 Projek naiktaraf

server

pangkalan data

dan oracle 9i

kepada oracle

12c bermula

pada 14 Feb

dan berakhir

pada Julai

2017



Status Start End

Data and

Information

Database

MPPJDB1

Data loss due

to exhausting

storage

medium

Decision: To avoid.

No plan treatment is taken

Jun-17 Dec-18 Review the

treatment plan to

- upgrade to Dell

storage in Dec 16

(datastore 01 -04

(1TB

each))dedicated

for 3 system in

the scope

Currently

utilization under

20%

Services

(Supporting)

Penghawa

dingin utama

Hardware

malfunctions

Pelaksanaan penyelenggaraan pusat

data

Jan-16 Dec-17 Contract ended

Dec 2015.

Proposed

maintenace

support from

Kejuruteraan for

2016.

Currently, not

support yet by

Kejuruteraan but

supported by on-

call basis

corrective

maintenance



Status Start End

Tawaran semula

untuk kerja-kerja

penyelenggaraan

Pusat Data


CADANGAN PENAMBAHBAIKAN

PERLAKSANAAN ISMS

Keperluan Data Recovery Center

Meningkatkan kemahiran Sumber

Manusia yang lebih kompenten

Latihan kemahiran ISMS secara

berterusan

Pengurusan Rekod dan fail yang

lebih tersusun

Sumber Manusia

Bilangan pegawai

mencukupi

Berkelayakan dan Kompeten

Latihan Berterusan

Infra & Kewangan

Peruntukan yang

mencukupi

Kemudahan peralatan yang

mencukupi

Dokumentasi

Dokumentasi yang lengkap

Perlaksanaan Berterusan

KEPERLUAN SUMBER

TINDAKAN SETERUSNYA

87

Audit SIRIM

21-22 Ogos

Aktiviti Fire Drill Julai-Ogos

Semakan Semula

Audit Dalam Julai-Ogos

Mesyuarat Pasukan

CERTIFIED TO

ISO/IEC 27001:2013

CERT NO: AR 6424

tarikh : 6 jun 2017 (selasa) masa : 9.30 pagi tempat...

Documents