versi - portal rasmi jabatan perkhidmatan awam malaysia - public
TRANSCRIPT
Versi:
2.2
Muka Surat:
i dari v
DASAR KESELAMATAN ICT JPA
Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
05 Februari 2013
KANDUNGAN
BIL. PERKARA M/S
1. SEJARAH DOKUMEN KESELAMATAN ICT 1
2. PENGENALAN 2
3. OBJEKTIF DKICT JPA 2
4. PENYATAAN DKICT JPA 3
5. SKOP DKICT JPA 5
6.
7.
PRINSIP-PRINSIP DKICT JPA
PENILAIAN RISIKO KESELAMATAN ICT
7
9
8. KAWALAN-KAWALAN
KAWALAN 01 – DASAR KESELAMATAN ICT
Objektif 10
K01/01 Pelaksanaan Dasar 10
K01/02 Penyebaran Dasar 10
K01/03 Penyelenggaraan Dasar 10
K01/04 Pematuhan Dasar 11
KAWALAN 02 - ORGANISASI KESELAMATAN
Objektif 12
K02/01 Infrastruktur Organisasi Dalaman 12
K02/01/01 Ketua Pengarah Perkhidmatan Awam (KPPA) 12
K02/01/02 Ketua Pegawai Maklumat (CIO) 12
K02/01/03 Pegawai Keselamatan ICT (ICTSO) 13
K02/01/04 Pengurus ICT 15
K02/01/05 Pentadbir Sistem 16
Pentadbir Rangkaian Dan Keselamatan 17
Pentadbir Pangkalan Data 18
Pentadbir Laman Web 19
Pentadbir Pusat Data 20
Pentadbir Sistem Aplikasi 21
Pentadbir E-mel 22
K02/01/06 Pengguna 25
K02/01/07 Jawatankuasa Pemandu ICT (JPICT) JPA 27
K02/01/08 Jawatankuasa Keselamatan ICT (JKICT) JPA 29
K02/01/09 Pasukan Tindak Balas Insiden Keselamatan
ICT (JPACERT)
30
K02/01/10 Jawatankuasa Pensijilan MS ISO/IEC
27001:2007 Pengurusan Sistem
32
Versi:
2.2
Muka Surat:
ii dari v
DASAR KESELAMATAN ICT JPA
Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
05 Februari 2013
Keselamatan Maklumat (ISMS) JPA
K02/01/11 Jawatankuasa Pelan Pemulihan Bencana
(JKDRP) JPA
33
K02/02 Pihak Luaran 34
K02/02/01 Keperluan Keselamatan Dalam Kontrak ICT 34
KAWALAN 03 - PENGURUSAN ASET
Objektif 36
K03/01 Akauntabiliti Aset ICT 36
K03/02 Pengelasan Maklumat 37
K03/03 Pengendalian Maklumat 37
KAWALAN 04 – KESELAMATAN SUMBER MANUSIA
Objektif 39
K04/01 Sebelum Perkhidmatan 39
K04/02 Semasa Perkhidmatan 40
K04/02/01 Program Kesedaran Keselamatan ICT 41
K04/03 Bertukar Atau Tamat Perkhidmatan 41
KAWALAN 05 - KESELAMATAN FIZIKAL DAN PERSEKITARAN
Objektif 42
K05/01 Keselamatan Kawasan 42
K05/01/01 Kawasan Larangan Lokasi ICT 42
K05/01/02 Kawalan Masuk Fizikal 43
K05/01/03 Kawasan Larangan 44
K05/02 Keselamatan Peralatan 45
K05/02/01 Peralatan ICT 45
K05/02/02 Media Storan 47
K05/02/03 Media Tandatangan Digital 48
K05/02/04 Media Perisian dan Aplikasi 48
K05/02/05 Perkakasan Tanpa Penyeliaan (Unattended
Equipment)
49
K05/02/06 Peralatan di Luar Premis 49
K05/02/07 Pelupusan 50
K05/02/08 Penyelenggaraan 51
K05/03 Kawalan Persekitaran 52
K05/03/01 Kawalan Persekitaran 52
K05/03/02 Kabel Rangkaian 53
K05/03/03 Bekalan Kuasa 53
K05/03/04 Prosedur Kecemasan 54
Versi:
2.2
Muka Surat:
iii dari v
DASAR KESELAMATAN ICT JPA
Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
05 Februari 2013
K05/04 Keselamatan Sistem Dokumentasi
54
KAWALAN 06 - PENGURUSAN OPERASI DAN KOMUNIKASI
Objektif 56
K06/01 Prosedur Operasi 56
K06/01/01 Pengendalian Dokumen Prosedur Operasi 56
K06/01/02 Pengurusan Perubahan 56
K06/01/03 Pengasingan Tugas dan Tanggungjawab 57
K06/01/04 Prosedur Pengurusan Insiden 58
K06/02 Perancangan dan Penerimaan Sistem 59
K06/02/01 Perancangan Kapasiti 59
K06/02/02 Penerimaan Sistem 59
K06/03 Perlindungan dari Perisian Berbahaya 59
K06/03/01 Perlindungan dari Perisian Berbahaya 59
K06/03/02 Perlindungan dari Mobile Code 60
K06/04 Housekeeping 60
K06/04/01 Backup 60
K06/05 Pengurusan Rangkaian 61
K06/06 Pengurusan Media 62
K06/06/01 Media Mudah Alih 62
K06/06/02 Prosedur Pengendalian Media 62
K06/07 Pengurusan Penghantaran dan Penerimaan
Maklumat
63
K06/08 Pengurusan Mel Elektronik (E-mel) 64
K06/09 Perkhidmatan E-Dagang 65
K06/10 Paparan Maklumat Umum 66
K06/11 Pengurusan Penyampaian Perkhidmatan
Pembekal, Pakar Runding dan Pihak-Pihak Lain
Yang Terlibat
66
K06/12 Pemantauan 67
K06/12/01 Pemantauan 67
K06/12/02 Pengauditan dan Forensik ICT 68
K06/12/03 Jejak Audit 70
K06/12/04 Sistem Log 71
KAWALAN 07 - KAWALAN CAPAIAN
Objektif 72
K07/01 Kawalan Capaian 72
K07/02 Pengurusan Capaian Pengguna 72
K07/02/01 Pendaftaran Pengguna 72
K07/02/02 Hak Capaian (Privilege) 73
K07/02/03 Pengurusan Kata Laluan 73
Versi:
2.2
Muka Surat:
iv dari v
DASAR KESELAMATAN ICT JPA
Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
05 Februari 2013
K07/02/04 Clear Desk dan Clear Screen 75
K07/03 Capaian Sistem Pengoperasian 75
K07/03/01 Capaian Sistem Pengoperasian 75
K07/03/02 Kad Pintar 77
K07/04 Capaian Aplikasi dan Maklumat 78
K07/05 Capaian Jarak Jauh 79
K07/06 Kawalan Capaian Rangkaian 80
K07/06/01 Capaian Rangkaian 80
K07/06/02 Capaian Internet 80
K07/07 Peralatan Mudah Alih 81
KAWALAN 08 – PEROLEHAN, PEMBANGUNAN DAN
PENYELENGGARAAN SISTEM
Objektif 83
K08/01 Kawalan Prosesan Aplikasi 83
K08/01/01 Pengesahan Data Input 83
K08/01/02 Kawalan Prosesan 83
K08/01/03 Pengesahan Data Output 84
K08/02 Kawalan Kriptografi 84
K08/03 Keselamatan Fail Sistem 85
K08/04 Keselamatan Dalam Proses Pembangunan Dan
Sokongan
85
K08/04/01 Prosedur Perubahan 85
K08/04/02 Pembangunan Secara Outsource 86
K08/04/03 Pembocoran Maklumat 86
K08/05 Kawalan Terhadap Keterdedahan Teknikal 86
KAWALAN 09 - PENGURUSAN PENGENDALIAN INSIDEN
KESELAMATAN
Objektif 87
K09/01 Mekanisme Pelaporan Insiden Keselamatan ICT 87
K09/02 Prosedur Pengendalian Insiden Keselamatan ICT 89
KAWALAN 10 - PENGURUSAN KESINAMBUNGAN
PERKHIDMATAN
Objektif 90
K10/01 Pelan Kesinambungan Perkhidmatan 90
K10/02 Pengurusan Kesinambungan Perkhidmatan 91
Versi:
2.2
Muka Surat:
v dari v
DASAR KESELAMATAN ICT JPA
Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
05 Februari 2013
KAWALAN 11 – PEMATUHAN
Objektif 93
K11/01 Pematuhan Dasar 93
K11/02 Pematuhan dengan Dasar, Piawaian dan
Keperluan Teknikal
93
K11/03 Pematuhan Keperluan Audit 93
K11/04 Keperluan Perundangan dan Peraturan 94
K11/05 Pelanggaran Perundangan 96
8.
9.
GLOSARI
SENARAI LAMPIRAN
Lampiran 1 Surat Akuan Pematuhan
Dasar Keselamatan ICT JPA
Lampiran 2 Ringkasan Proses Kerja Pelaporan Insiden
Keselamatan ICT JPA
Lampiran 3 Permohonan Kebenaran Untuk Menggunakan Modem
Peribadi Bagi Tujuan Sambungan Ke Internet
Lampiran 4 Borang KPKK 11
Lampiran 5 Official Secrets Act (OSA)
97
106
107
109
111
113
Versi:
2.2
Muka Surat:
1 dari 114
DASAR KESELAMATAN ICT JPA
Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
05 Februari 2013
SEJARAH DOKUMEN KESELAMATAN ICT
TARIKH EDISI KELULUSAN TARIKH KUATKUASA
OGOS 2006 1.0 JPICT 15 OGOS 2006
JUN 2008 2.0 JPICT 05 JUN 2008
DIS 2010 2.1 JPICT 02 DISEMBER 2010
FEB 2013 2.2 JPICT 05 FEBRUARI 2013
Versi:
2.2
Muka Surat:
2 dari 114
DASAR KESELAMATAN ICT JPA
Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
05 Februari 2013
PENGENALAN
Jabatan Perkhidmatan Awam (JPA) Malaysia berperanan untuk menyediakan perkhidmatan
bagi perancangan, pembangunan dan pengurusan sumber manusia sektor awam yang
cemerlang berteraskan profesionalisme, integriti dan teknologi. Dokumen ini diguna pakai oleh
semua kakitangan, pengguna dan pembekal yang menyediakan perkhidmatan, mencapai dan
menggunakan aset dan sistem aplikasi Information and Communication Technology (ICT) di
JPA. Dasar Keselamatan ICT (DKICT) JPA disediakan berpandu kepada piawaian antarabangsa
iaitu ISO/IEC 27001:2005 dan juga merujuk kepada MS ISO/IEC 27001:2007.
OBJEKTIF DKICT JPA
Objektif utama Dasar Keselamatan ICT JPA (DKICT) adalah seperti berikut:
1. Memastikan kelancaran operasi jabatan yang berlandaskan ICT dengan mencegah serta
meminimumkan kerosakan atau kemusnahan aset ICT jabatan;
2. melindungi kepentingan pihak-pihak yang bergantung kepada sistem maklumat
daripada kesan kegagalan atau kelemahan dari segi kerahsiaan, integriti, tidak boleh
disangkal, kebolehsediaan dan kesahihan (CIA3);
3. meminimumkan kos penyelenggaraan ICT akibat ancaman dan penyalahgunaan;
4. meningkatkan tahap kesedaran keselamatan ICT kepada para kakitangan, pengguna
dan pembekal;
5. memperkemaskan pengurusan risiko;
6. mencegah penyalahgunaan atau kecurian aset ICT jabatan; dan
7. melindungi aset ICT daripada penyelewengan oleh kakitangan, pengguna dan
pembekal.
Versi:
2.2
Muka Surat:
3 dari 114
DASAR KESELAMATAN ICT JPA
Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
05 Februari 2013
PENYATAAN DASAR KESELAMATAN ICT JPA
Keselamatan ditakrifkan sebagai keadaan yang bebas daripada ancaman dan risiko yang tidak
boleh diterima. Keselamatan adalah suatu proses yang berterusan. Ia melibatkan aktiviti
berkala yang mesti dilakukan dari semasa ke semasa untuk menjamin keselamatan kerana
ancaman dan kelemahan sentiasa berubah.
Keselamatan ICT adalah bermaksud keadaan bagi segala urusan menyedia dan membekalkan
perkhidmatan yang berasaskan kepada sistem ICT berjalan secara berterusan. Terdapat empat
(4) komponen asas keselamatan IT, iaitu:
1. Melindungi maklumat rahsia rasmi dan maklumat rasmi JPA dari capaian tanpa kuasa
yang sah;
2. menjamin setiap maklumat adalah tepat dan sempurna;
3. memastikan ketersediaan maklumat apabila diperlukan oleh pengguna; dan
4. memastikan akses hanya kepada pengguna-pengguna yang sah atau penerimaan
maklumat dari sumber-sumber yang sah.
Versi:
2.2
Muka Surat:
4 dari 114
DASAR KESELAMATAN ICT JPA
Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
05 Februari 2013
DKICT JPA merangkumi perlindungan ke atas semua bentuk maklumat elektronik dan bukan
elektronik bertujuan untuk menjamin keselamatan maklumat tersebut dan kebolehsediaan
kepada semua pengguna yang dibenarkan. Ciri-ciri utama keselamatan maklumat adalah
seperti berikut:
1. Kerahsiaan – maklumat tidak boleh didedahkan sewenang-wenangnya atau dibiarkan
akses tanpa kebenaran.
2. Integriti – Data dan maklumat hendaklah tepat, lengkap dan kemas kini. Ia hanya
boleh diubah dengan cara yang dibenarkan.
3. Tidak boleh disangkal – Punca data dan maklumat hendaklah dari punca yang sah
dan tidak boleh disangkal.
4. Kesahihan – Data dan maklumat hendaklah dijamin kesahihannya.
5. Kebolehsediaan – Data dan maklumat hendaklah boleh diakses pada bila-bila masa.
Selain itu, langkah-langkah ke arah keselamatan ICT hendaklah bersandarkan kepada penilaian
yang bersesuaian dengan perubahan semasa terhadap kelemahan semula jadi aset ICT,
ancaman yang wujud akibat daripada kelemahan tersebut, risiko yang mungkin timbul dan
langkah-langkah pencegahan sesuai yang boleh diambil untuk menangani risiko berkenaan.
Versi:
2.2
Muka Surat:
5 dari 114
DASAR KESELAMATAN ICT JPA
Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
05 Februari 2013
SKOP DKICT JPA
Sistem ICT JPA terdiri daripada organisasi, manusia, perisian, perkakasan, telekomunikasi,
kemudahan ICT, data dan maklumat. JPA telah menetapkan keperluan-keperluan asas
keselamatan seperti berikut:
1. Data dan maklumat termasuk hardcopy dan softcopy hendaklah boleh diakses secara
berterusan dengan cepat, tepat, mudah dan dengan cara yang boleh dipercayai. Ini
adalah amat perlu bagi membolehkan keputusan dan penyampaian perkhidmatan
dilakukan dengan berkesan serta berkualiti.
2. Semua data dan maklumat hendaklah dijaga kerahsiaannya dan dikendalikan sebaik
mungkin pada setiap masa bagi memastikan kesempurnaan dan melindungi
kepentingan JPA.
Bagi menentukan sistem ICT ini terjamin keselamatannya sepanjang masa, DKICT JPA ini
merangkumi perlindungan ke atas semua bentuk maklumat ICT kerajaan yang dimasuk,
diwujud, dimusnah, disimpan, dijana, dicetak, diakses, diedar dan yang dibuat salinan. Ini
akan dilakukan melalui penubuhan dan penguatkuasaan sistem kawalan dan prosedur dalam
pengendalian semua perkara-perkara berikut:
1. Data dan maklumat
Semua data dan maklumat yang disimpan atau digunakan di pelbagai media atau
peralatan ICT.
2. Peralatan ICT
Semua peralatan komputer dan peripheral seperti server, firewall, komputer
peribadi, stesen kerja, kerangka utama, pencetak, peralatan multimedia dan alat-alat
prasarana seperti Uninterruptible Power Supply (UPS), punca kuasa dan lain-lain.
Versi:
2.2
Muka Surat:
6 dari 114
DASAR KESELAMATAN ICT JPA
Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
05 Februari 2013
3. Media storan
Semua media storan dan peralatan yang berkaitan seperti disket, storan mudah alih,
kartrij, CD-ROM, pita, cakera, pemacu cakera, pemacu pita dan lain-lain.
4. Media komunikasi
Semua peralatan berkaitan komunikasi seperti pelayan rangkaian, gateway, bridge,
router, peralatan PABX, wireless LAN, talian ISDN, peralatan video conferencing,
modem, PCMCIA, kabel rangkaian, NIC, switches, hub dan lain-lain.
5. Perisian
Semua jenis perisian yang digunakan untuk mengendali, memproses, menyimpan
dan menghantar data atau maklumat. Ini termasuklah sistem aplikasi seperti eSILA,
POWER, HRMIS, EPSA dan sistem pengoperasian seperti Windows, LINUX dan
perisian utiliti, perisian komunikasi, sistem pengurusan pangkalan data, fail program,
fail data dan lain-lain.
6. Dokumentasi
Semua dokumen termasuk prosedur dan manual pengguna yang berkaitan dengan
aset ICT, dokumen pemasangan dan pengoperasian peralatan dan perisian.
7. Premis Komputer dan Komunikasi
Semua kemudahan serta premis yang diguna untuk menempatkan perkara 1 hingga
6 di atas.
8. Manusia
Semua pengguna infrastruktur ICT JPA yang dibenarkan, termasuk warga JPA,
pengguna dan pembekal.
Versi:
2.2
Muka Surat:
7 dari 114
DASAR KESELAMATAN ICT JPA
Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
05 Februari 2013
PRINSIP-PRINSIP DKICT JPA
Prinsip-prinsip yang menjadi asas kepada DKICT JPA adalah seperti berikut:
1. Akses Atas Dasar Perlu Mengetahui
Akses terhadap penggunaan aset ICT hanya diberikan untuk tujuan spesifik dan
dihadkan kepada pengguna tertentu atas dasar perlu mengetahui sahaja. Ini
bermakna akses hanya akan diberikan sekiranya peranan atau fungsi pengguna
memerlukan maklumat tersebut.
2. Hak Akses Minimum
Hak akses kepada pengguna hanya diberi pada tahap yang paling minimum iaitu
untuk membaca dan/atau melihat sahaja. Kelulusan khas diperlukan untuk
membolehkan pengguna mewujud, menyimpan, mengemas kini, mengubah dan
menghapuskan sesuatu data atau maklumat.
3. Kebertanggungjawaban / Akauntabiliti
Semua pengguna adalah dipertanggungjawabkan ke atas semua tindakannya
terhadap aset ICT. Tanggungjawab ini perlu dinyatakan dengan jelas sesuai dengan
tahap sensitiviti sesuatu sumber ICT. Bagi menentukan tanggungjawab ini dipatuhi,
sistem ICT hendaklah mampu menyokong kemudahan mengesan atau mengesahkan
bahawa pengguna sistem maklumat boleh dipertanggungjawabkan atas tindakan
mereka.
4. Pengasingan
Tugas mewujud, menghapus, mengemas kini, mengubah dan mengesahkan data
perlu diasingkan bagi mengelakkan daripada capaian yang tidak dibenarkan
(unauthorized access) serta melindungi aset ICT daripada kesilapan, kebocoran
maklumat terperingkat atau dimanipulasikan. Pengasingan juga merangkumi data,
operasi, pangkalan data dan rangkaian.
Versi:
2.2
Muka Surat:
8 dari 114
DASAR KESELAMATAN ICT JPA
Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
05 Februari 2013
5. Pengauditan
Tujuan aktiviti ini ialah untuk mengenal pasti insiden keselamatan aset ICT atau
keadaan yang mengancam keselamatan aset ICT. Dengan itu, semua log yang
berkaitan dengan aset ICT perlu disimpan bagi tujuan jejak audit.
6. Pematuhan
DKICT JPA hendaklah dipatuhi bagi mengelakkan sebarang bentuk pelanggaran ke
atasnya yang boleh membawa ancaman kepada keselamatan ICT.
7. Pemulihan
Pemulihan sistem amat perlu untuk memastikan kebolehsediaan dan kebolehcapaian
bagi meminimumkan sebarang gangguan atau kerugian akibat daripada
ketidaksediaan dan ketidakbolehcapaian. Pemulihan boleh dilakukan melalui proses
penduaan (backup) dan mewujudkan pelan pemulihan bencana / kesinambungan
perkhidmatan (BRP).
8. Saling Bergantung
Setiap prinsip adalah saling lengkap-melengkapi dan bergantung antara satu sama
lain. Dengan itu tindakan mempelbagaikan pendekatan dalam menyusun dan
mencorak sebanyak mungkin mekanisme keselamatan, dapat menjamin keselamatan
yang maksimum.
Versi:
2.2
Muka Surat:
9 dari 114
DASAR KESELAMATAN ICT JPA
Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
05 Februari 2013
PENILAIAN RISIKO KESELAMATAN ICT
JPA hendaklah mengambil kira kewujudan risiko ke atas aset ICT akibat dari ancaman dan
vulnerability yang semakin meningkat. Justeru itu JPA perlu mengambil langkah-langkah proaktif
dan bersesuaian untuk menilai tahap risiko aset ICT supaya pendekatan dan keputusan yang
paling berkesan dikenal pasti bagi menyediakan perlindungan dan kawalan ke atas aset ICT.
JPA hendaklah melaksanakan penilaian risiko keselamatan ICT secara berkala dan berterusan
bergantung kepada perubahan teknologi dan keperluan keselamatan ICT. Seterusnya mengambil
tindakan susulan dan/atau langkah-langkah bersesuaian untuk mengurangkan atau mengawal
risiko keselamatan ICT berdasarkan penemuan penilaian risiko.
Penilaian risiko keselamatan ICT hendaklah dilaksanakan ke atas sistem maklumat JPA
termasuklah aplikasi, perisian, perkakasan, pelayan, rangkaian, pangkalan data, sumber manusia,
proses, dan prosedur. Penilaian risiko ini hendaklah juga dilaksanakan di premis yang
menempatkan sumber-sumber teknologi maklumat termasuklah pusat data, bilik media storan,
kemudahan utiliti dan sistem-sistem sokongan lain.
JPA bertanggungjawab melaksanakan dan menguruskan risiko keselamatan ICT selaras dengan
keperluan Surat Pekeliling Am Bilangan 6 Tahun 2005: Garis Panduan Penilaian Risiko
Keselamatan Maklumat Sektor Awam.
JPA perlu mengenal pasti tindakan yang sewajarnya bagi menghadapi kemungkinan risiko berlaku
dengan memilih tindakan berikut:
1. Mengurangkan risiko dengan melaksanakan kawalan yang bersesuaian;
2. menerima dan/atau bersedia berhadapan dengan risiko yang akan terjadi selagi ia
memenuhi kriteria yang telah ditetapkan oleh pengurusan atasan;
3. mengelak dan/atau mencegah risiko dari terjadi dengan mengambil tindakan
yang dapat mengelak dan/atau mencegah berlakunya risiko; dan
4. memindahkan risiko ke pihak lain seperti pembekal, pakar runding dan pihak-pihak lain
yang berkepentingan.
Versi:
2.2
Muka Surat:
10 dari 114
DASAR KESELAMATAN ICT JPA
Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
05 Februari 2013
Kawalan 01: Dasar Keselamatan ICT
Objektif
DKICT JPA ini diwujudkan untuk melindungi aset ICT bagi memastikan kelancaran operasi
jabatan secara berterusan, meminimumkan kerosakan atau kemusnahan aset-aset ICT melalui
usaha pencegahan atau mengurangkan kesan kejadian yang tidak diingini berdasarkan kepada
ciri-ciri keselamatan iaitu kerahsiaan, integriti, tidak boleh disangkal, kebolehsediaan dan
kesahihan.
K01/01 Pelaksanaan Dasar
Pelaksanaan dasar ini akan dijalankan oleh Ketua
Pengarah Perkhidmatan Awam (KPPA) dibantu oleh
Jawatankuasa Pemandu ICT JPA (JPICT) yang terdiri
daripada Ketua Pegawai Maklumat (CIO), Pegawai
Keselamatan ICT (ICTSO) dan semua Pengarah
Bahagian.
KPPA
K01/02 Penyebaran Dasar
Dasar ini perlu disebarkan kepada semua yang terlibat
dengan infrastruktur ICT JPA meliputi warga JPA,
pengguna dan pembekal.
ICTSO
K01/03 Penyelenggaraan Dasar
DKICT JPA adalah tertakluk kepada semakan dan
pindaan dari semasa ke semasa selaras dengan
perubahan teknologi, aplikasi, prosedur, perundangan
dan kepentingan sosial. Berikut adalah prosedur yang
berhubung dengan penyelenggaraan DKICT JPA:
a. Mengenal pasti dan menentukan perubahan yang
diperlukan;
ICTSO, JKICT
Versi:
2.2
Muka Surat:
11 dari 114
DASAR KESELAMATAN ICT JPA
Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
05 Februari 2013
b. mengemukakan cadangan pindaan secara bertulis
kepada ICTSO untuk tindakan dan pertimbangan
Jawatankuasa Keselamatan ICT (JKICT);
c. memaklumkan cadangan pindaan yang telah
dipersetujui oleh JKICT kepada JPICT bagi tujuan
pengesahan;
d. memaklumkan pindaan yang telah disahkan oleh
JPICT kepada semua pihak iaitu warga JPA,
pengguna dan pembekal; dan
e. menyemak semula dokumen sekurang-kurangnya
setahun sekali atau mengikut keperluan bagi
memastikan dokumen sentiasa relevan.
K01/04 Pematuhan Dasar
DKICT JPA mestilah dipatuhi oleh semua warga JPA,
pengguna dan pembekal.
Warga JPA,
Pengguna,
Pembekal
Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
05 Februari 2013
Versi:
2.2
Muka Surat:
12 dari 114
DASAR KESELAMATAN ICT JPA
Kawalan 02: Organisasi Keselamatan
Objektif
Menerangkan peranan dan tanggungjawab semua pihak yang terlibat dengan lebih jelas dan
teratur dalam mencapai objektif DKICT JPA.
K02/01 Infrastruktur Organisasi Dalaman
K02/01/01 Ketua Pengarah Perkhidmatan Awam (KPPA)
Peranan dan tanggungjawab KPPA adalah seperti berikut:
a. Memastikan semua pengguna memahami
peruntukan-peruntukan di bawah DKICT JPA;
b. memastikan semua pengguna mematuhi DKICT JPA;
c. memastikan semua keperluan jabatan seperti
sumber kewangan, sumber kakitangan dan
perlindungan keselamatan adalah mencukupi; dan
d. program keselamatan ICT dilaksanakan seperti yang
ditetapkan di dalam DKICT JPA.
KPPA
K02/01/02 Ketua Pegawai Maklumat (CIO)
Jawatan Ketua Pegawai Maklumat (CIO) adalah
disandang oleh Timbalan Ketua Pengarah Perkhidmatan
Awam (Operasi).
Peranan dan tanggungjawab CIO adalah seperti berikut:
a. Bertanggungjawab ke atas perkara-perkara yang
berkaitan dengan keselamatan ICT JPA;
CIO
Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
05 Februari 2013
Versi:
2.2
Muka Surat:
13 dari 114
DASAR KESELAMATAN ICT JPA
b. bertanggungjawab menyelaras dan mengurus pelan
tindakan dan program keselamatan seperti
penyediaan DKICT JPA, pelan latihan dan kesedaran
pengguna, pengurusan risiko dan pengauditan; dan
c. menentukan keperluan keselamatan ICT.
K02/01/03 Pegawai Keselamatan ICT (ICTSO)
Jawatan Pegawai Keselamatan ICT (ICTSO) adalah
disandang oleh Timbalan Pengarah Bahagian Pengurusan
Maklumat.
Peranan dan tanggungjawab ICTSO adalah seperti
berikut:
a. Mempengerusikan Jawatankuasa Keselamatan ICT
(JKICT);
b. mengurus keseluruhan program keselamatan ICT
JPA;
c. menguatkuasakan pelaksanaan DKICT JPA di semua
bahagian di JPA;
d. menjalankan pengurusan risiko dan audit
keselamatan ICT berpandukan dokumen Malaysian
Public Sector Management of Information and
Communications (MyMIS) untuk mengenal pasti
ketidakpatuhan kepada DKICT JPA;
ICTSO
Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
05 Februari 2013
Versi:
2.2
Muka Surat:
14 dari 114
DASAR KESELAMATAN ICT JPA
e. mencadangkan langkah-langkah pengukuhan bagi
mematuhi dasar-dasar berkaitan keselamatan ICT
JPA;
f. melaporkan insiden keselamatan ICT kepada
Pasukan Tindak Balas Insiden Keselamatan ICT
Kerajaan (GCERT MAMPU) dan seterusnya membantu
dalam penyiasatan atau pemulihan;
g. menjalankan program-program kesedaran mengenai
keselamatan ICT;
h. menyedia dan menyebarkan amaran-amaran yang
sesuai terhadap kemungkinan berlaku ancaman ke
atas keselamatan ICT dan menyediakan khidmat
nasihat serta langkah pemulihan yang bersesuaian;
i. melaporkan insiden keselamatan ICT kepada CIO
bagi insiden yang memerlukan Pelan Kesinambungan
Perkhidmatan (BCP);
j. memastikan pematuhan DKICT JPA oleh pihak luaran
seperti perunding, kontraktor dan pembekal yang
mencapai dan menggunakan aset ICT JPA untuk
tujuan penyelenggaraan, pemasangan, naik taraf dan
sebagainya;
k. menyemak, mengkaji dan menyediakan laporan
berkaitan dengan isu-isu keselamatan ICT;
l. memastikan DKICT JPA dikemas kini sesuai dengan
perubahan teknologi, arahan jabatan dan ancaman-
ancaman dari semasa ke semasa; dan
Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
05 Februari 2013
Versi:
2.2
Muka Surat:
15 dari 114
DASAR KESELAMATAN ICT JPA
m. memastikan Pelan Strategik ICT JPA mengandungi
aspek keselamatan ICT.
K02/01/04 Pengurus ICT
Jawatan Pengurus ICT disandang oleh tiga (3) pegawai
iaitu Pengarah Bahagian Pengurusan Maklumat (PBM),
Timbalan Pengarah Bahagian Pasca Perkhidmatan
(TPB(P)ICT) dan Timbalan Pengarah Kanan INTAN (ICT).
Peranan dan tanggungjawab Pengurus ICT adalah seperti
berikut:
a. Memastikan DKICT JPA dilaksanakan di bahagian;
b. memastikan semua kakitangan, perunding,
kontraktor dan pembekal yang terlibat dengan
bahagian mematuhi dasar, piawaian dan garis
panduan keselamatan ICT dan seterusnya
melaporkan sebarang insiden berkaitan keselamatan
ICT;
c. mengkaji semula aspek-aspek keselamatan fizikal
seperti kemudahan backup dan persekitaran pejabat
yang perlu, dengan persetujuan ICTSO;
d. melaksanakan keperluan DKICT dalam operasi
semasa seperti berikut:
i. Pelaksanaan sistem atau aplikasi baru sama
ada dibangunkan secara dalaman atau luaran
yang melibatkan teknologi baru;
Pengurus ICT
Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
05 Februari 2013
Versi:
2.2
Muka Surat:
16 dari 114
DASAR KESELAMATAN ICT JPA
ii. pembelian atau peningkatan perisian dan
sistem komputer;
iii. perolehan teknologi dan perkhidmatan
komunikasi baru;
iv. pelantikan pembekal, perunding atau rakan
usahasama; dan
v. menentukan pembekal, perunding atau rakan
usahasama menjalani tapisan keselamatan
selaras dengan keperluan tahap
perkhidmatan.
e. menyimpan rekod atau laporan terkini tentang
ancaman keselamatan. Sebarang perkara atau
penemuan ancaman terhadap keselamatan ICT
hendaklah dilaporkan kepada ICTSO;
f. membangunkan garis panduan, prosedur dan
tatacara untuk aplikasi-aplikasi khusus dalam
jabatan yang mematuhi keperluan DKICT JPA;
g. membangun, mengkaji semula dan mengemas kini
pelan kontingensi keselamatan ICT di bahagian; dan
h. melaksanakan sistem kawalan capaian pengguna ke
atas aset-aset ICT JPA.
K02/01/05 Pentadbir Sistem
Pentadbir Sistem terdiri daripada seperti berikut:
a. Pentadbir Rangkaian Dan Keselamatan;
b. Pentadbir Pangkalan Data;
Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
05 Februari 2013
Versi:
2.2
Muka Surat:
17 dari 114
DASAR KESELAMATAN ICT JPA
c. Pentadbir Laman Web (Web Master);
d. Pentadbir Pusat Data;
e. Pentadbir Sistem Aplikasi; dan
f. Pentadbir E-mel;
Pentadbir Rangkaian Dan Keselamatan
Peranan dan tanggungjawab Pentadbir Rangkaian dan
Keselamatan adalah seperti berikut:
a. Memastikan rangkaian setempat (LAN) dan
rangkaian luas (WAN) di JPA beroperasi sepanjang
masa;
b. memastikan semua peralatan dan perisian rangkaian
diselenggarakan dengan sempurna;
c. merancang peningkatan infrastruktur, ciri-ciri
keselamatan dan prestasi rangkaian sedia ada;
d. mengesan dan mengambil tindakan pembaikan
segera ke atas rangkaian yang tidak stabil;
e. memantau penggunaan rangkaian dan melaporkan
kepada ICTSO sekiranya berlaku penyalahgunaan
sumber rangkaian;
f. memastikan laluan trafik keluar dan masuk
diuruskan secara berpusat dan tidak membenarkan
sambungan ke rangkaian JPA secara tidak sah
seperti melalui peralatan modem dan dial-up;
g. menyediakan zon khas rangkaian untuk tujuan
pengujian peralatan dan perisian rangkaian; dan
Pentadbir Rangkaian
Dan Keselamatan
Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
05 Februari 2013
Versi:
2.2
Muka Surat:
18 dari 114
DASAR KESELAMATAN ICT JPA
h. melaksanakan penilaian tahap keselamatan sistem
rangkaian dan sistem ICT (Security Posture
Assessment, SPA) serta penilaian risiko keselamatan
maklumat.
Pentadbir Pangkalan Data
Peranan dan tanggungjawab Pentadbir Pangkalan Data
adalah seperti berikut:
a. Melaksanakan instalasi dan penambahbaikan
pangkalan data serta perisian lain yang berkaitan
dengan pangkalan data;
b. memastikan pangkalan data boleh digunakan pada
setiap masa;
c. melaksanakan pemantauan dan penyelenggaraan
yang berterusan ke atas pangkalan data;
d. melaksanakan proses backup dan restoration ke atas
pangkalan data;
e. memastikan aktiviti pentadbiran pangkalan data
seperti prestasi capaian, penyelesaian masalah
pangkalan data dan proses pengemaskinian data
dilaksanakan dengan teratur;
f. melaksanakan polisi pengguna pangkalan data
berdasarkan kepada prinsip-prinsip DKICT;
g. melaksanakan proses pembersihan data
(housekeeping) di dalam pangkalan data; dan
Pentadbir Pangkalan
Data
Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
05 Februari 2013
Versi:
2.2
Muka Surat:
19 dari 114
DASAR KESELAMATAN ICT JPA
h. melaporkan sebarang insiden pelanggaran dasar
keselamatan pangkalan data kepada ICTSO.
Pentadbir Laman Web (Web Master)
Peranan dan tanggungjawab Pentadbir Laman Web
adalah seperti berikut:
a. Menerima kandungan laman web yang telah
disahkan kesahihan dan terkini daripada sumber
yang sah;
b. memantau prestasi capaian dan menjalankan
penalaan prestasi untuk memastikan akses yang
lancar;
c. memantau dan menganalisis log untuk mengesan
sebarang capaian yang tidak sah atau cubaan
menggodam, menceroboh dan mengubahsuai muka
laman;
d. menghadkan capaian Pentadbir Laman Web bahagian
ke web server;
e. mengasingkan kandungan dan aplikasi atas talian
untuk capaian secara Intranet dan Internet ke portal
JPA;
f. memastikan data-data SULIT tidak boleh disalin atau
dicetak oleh orang yang tidak berhak;
g. memastikan reka bentuk web dibangunkan dengan
ciri-ciri keselamatan supaya tidak dicerobohi;
Pentadbir Laman Web
(Web Master)
Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
05 Februari 2013
Versi:
2.2
Muka Surat:
20 dari 114
DASAR KESELAMATAN ICT JPA
h. melaksanakan housekeeping keselamatan terhadap
sistem pengoperasian dan perisian-perisian lain di
web server;
i. melaksanakan proses backup dan restoration secara
berkala; dan
j. melaporkan sebarang pelanggaran keselamatan
laman portal kepada ICTSO.
Pentadbir Pusat Data
Peranan dan tanggungjawab Pentadbir Pusat Data adalah
seperti berikut:
a. Memastikan persekitaran fizikal dan keselamatan
pusat data berada dalam keadaan baik dan
selamat;
b. memastikan keselamatan data dan sistem aplikasi
yang berada dalam Pusat Data;
c. menjadualkan proses salinan (backup and
restore) ke atas data dan sistem secara berkala;
d. menyediakan perancangan pemulihan bencana
mengikut prinsip Pengurusan Kesinambungan
Perkhidmatan dalam DKICT;
e. melaksanakan prinsip-prinsip DKICT; dan
f. memastikan Pusat Data sentiasa beroperasi
mengikut polisi yang telah ditetapkan.
Pentadbir
Pusat Data
Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
05 Februari 2013
Versi:
2.2
Muka Surat:
21 dari 114
DASAR KESELAMATAN ICT JPA
Pentadbir Sistem Aplikasi
Peranan dan tanggungjawab Pentadbir Sistem Aplikasi
adalah seperti berikut:
a. Mengkaji cadangan pembangunan/penyelarasan
sistem/modul di JPA;
b. membuat kajian semula serta memperbaiki sistem /
modul sedia ada di JPA;
c. membuat pertimbangan dan mengusulkan
cadangan pelaksanaan sistem / modul di JPA;
d. membuat pemantauan dan penyelenggaraan
terhadap sistem / modul dari masa ke semasa;
e. bertanggungjawab dalam aspek-aspek pelaksanaan
keseluruhan sistem / modul;
f. menyediakan dokumentasi sistem / modul dan
manual pengguna;
g. memastikan kelancaran operasi sistem aplikasi
supaya perkhidmatan yang disediakan tidak
terjejas;
h. memastikan kod-kod program sistem aplikasi
adalah selamat daripada penggodam sebelum
sistem tersebut diaktifkan penggunaanya;
i. memastikan virus pattern, hotfix dan patch yang
berkaitan dengan sistem aplikasi dikemas kini
Pentadbir Sistem
Aplikasi
Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
05 Februari 2013
Versi:
2.2
Muka Surat:
22 dari 114
DASAR KESELAMATAN ICT JPA
supaya terhindar daripada ancaman virus dan
penggodam;
j. mematuhi dan melaksanakan prinsip-prinsip DKICT
dalam pewujudkan akaun pengguna ke atas setiap
sistem aplikasi;
k. memastikan sandaran (backup) sistem aplikasi dan
data yang berkaitan dengannya dibuat secara
berjadual;
l. menghadkan capaian Dokumentasi Sistem Aplikasi
bagi mengelakkan daripada penyalahgunaannya;
m. melaporkan kepada ICTSO jika berlakunya insiden
keselamatan ke atas sistem aplikasi di bawah
pentadbirannya; dan
n. menjadi ahli Jawatankuasa Keselamatan ICT JPA
(JKICT).
Pentadbir E-mel
Peranan dan tanggungjawab Pentadbir E-mel adalah
seperti berikut:
a. Menentukan setiap akaun yang diwujudkan atau
dibatalkan telah mendapat kelulusan. Pembatalan
akaun (pengguna yang berhenti, bertukar dan
melanggar dasar dan tatacara jabatan) perlulah
dilakukan dengan segera atas tujuan keselamatan
maklumat;
b. pentadbir e-mel boleh membekukan akaun
pengguna jika perlu semasa pengguna bercuti
Pentadbir E-mel
Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
05 Februari 2013
Versi:
2.2
Muka Surat:
23 dari 114
DASAR KESELAMATAN ICT JPA
panjang, berkursus atau menghadapi tindakan
tatatertib;
c. menyimpan jejak audit selama sekurang-kurangnya
enam (6) bulan di dalam pelayan e-mel tertakluk
kepada kemampuan ruang storan;
d. melaksanakan jadual backup dan pengarkiban e-
mel. Penyimpanan media storan sama ada di luar
atau di dalam kawasan mestilah mempunyai ciri-ciri
keselamatan fizikal yang terjamin bagi mengelak
daripada sebarang risiko seperti kehilangan
maklumat;
e. memastikan akaun e-mel pengguna sentiasa di
dalam keadaan baik dan berfungsi;
f. melaksanakan aktiviti housekeeping terhadap
akaun e-mel pengguna secara berkala;
g. memastikan keselamatan akaun e-mel pengguna
dari ancaman luar dan dalam;
h. memaklumkan kepada ICTSO sekiranya mengalami
insiden keselamatan seperti serangan virus,
serangan e-mail spamming, phishing,
pencerobohan e-mel dan penyalahgunaan e-mel.
Pentadbir e-mel hendaklah mengurus dan
menangani insiden yang berlaku dengan segera dan
sistematik sehingga keadaan kembali pulih;
i. melaksanakan penyelenggaraan ke atas sistem e-
Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
05 Februari 2013
Versi:
2.2
Muka Surat:
24 dari 114
DASAR KESELAMATAN ICT JPA
mel dengan baik dan menentukan segala patches
terkini yang disediakan oleh pihak pembekal
dipasang dan berfungsi dengan sempurna;
j. memantau status storan e-mel Pengurusan Atasan
JPA dua (2) kali sehari dan memastikan e-mel
Pengurusan Atasan JPA sentiasa tersedia untuk
transaksi e-mel;
k. memastikan semua peralatan sistem e-mel JPA
sentiasa aktif;
l. menyediakan ruang mailbox yang mencukupi
sekurang-kurangnya 100MB untuk setiap akaun e-
mel dan jumlah ini adalah bergantung kepada
keperluan pemilik akaun e-mel;
m. menggunakan kaedah inovatif dalam penghantaran
fail bersaiz besar seperti menggunakan kaedah
muat-turun fail dengan memaklumkan lokasi
universal resource location (URL) atau kaedah
pemampatan untuk mengurangkan saiz fail dengan
memastikan ciri-ciri keselamatan dilaksanakan;
n. memastikan perjanjian penyelenggaraan sistem e-
mel pada tahap premium (premium service) dengan
pembekal-pembekal yang berkelayakan;
o. memastikan agar keupayaan mail relay hanya boleh
digunakan untuk server atau aplikasi dalaman JPA
sahaja bagi tujuan keselamatan;
Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
05 Februari 2013
Versi:
2.2
Muka Surat:
25 dari 114
DASAR KESELAMATAN ICT JPA
p. memastikan kemudahan membuat capaian e-mel
melalui pelbagai media seperti telefon mudah alih;
dan
q. memastikan pengguna e-mel JPA berkemahiran
menggunakan e-mel melalui penyediaan dokumen
tatacara penggunaan e-mel JPA dan Internet JPA
serta pelaksanaan Kursus Pembudayaan ICT
(Penggunaan E-mel dan Internet) secara
berterusan.
K02/01/06 Pengguna
Peranan dan tanggungjawab pengguna adalah seperti
berikut:
a. Pengguna warga JPA dan pihak luaran perlu
membaca, memahami dan mematuhi DKICT JPA;
b. mengetahui dan memahami implikasi keselamatan
ICT kesan dari tindakannya;
c. menjalani tapisan keselamatan sekiranya
dikehendaki berurusan dengan maklumat rasmi
terperingkat;
d. melaksanakan prinsip-prinsip DKICT dan menjaga
kerahsiaan maklumat JPA;
e. melaksanakan langkah-langkah perlindungan seperti
berikut:
i. menghalang pendedahan maklumat kepada
pihak yang tidak dibenarkan;
Pengguna
Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
05 Februari 2013
Versi:
2.2
Muka Surat:
26 dari 114
DASAR KESELAMATAN ICT JPA
ii. memeriksa maklumat dan menentukan ia
tepat dan lengkap dari semasa ke semasa;
iii. menentukan maklumat sedia untuk
digunakan;
iv. menjaga kerahsiaan kata laluan;
v. mematuhi standard, prosedur, langkah dan
garis panduan keselamatan ICT yang
ditetapkan;
vi. melaksanakan peraturan berkaitan maklumat
terperingkat terutama semasa pewujudan,
pemprosesan, penyimpanan, penghantaran,
penyampaian, pertukaran dan pemusnahan;
dan
vii. menjaga kerahsiaan langkah-langkah
keselamatan ICT dari diketahui umum.
f. melaporkan sebarang aktiviti yang mengancam
keselamatan ICT kepada ICTSO dengan segera;
g. menghadiri program-program kesedaran mengenai
keselamatan ICT; dan
h. menandatangani surat akuan pematuhan DKICT JPA
seperti di Lampiran 1.
Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
05 Februari 2013
Versi:
2.2
Muka Surat:
27 dari 114
DASAR KESELAMATAN ICT JPA
K02/01/07 Jawatankuasa Pemandu ICT (JPICT) JPA
Keanggotaan JPICT adalah seperti berikut:
Pengerusi:
CIO
Ahli:
Pengarah Bahagian Perkhidmatan
Pengarah Bahagian Pembangunan Organisasi
Pengarah INTAN
Pengarah Bahagian Pembangunan Modal Insan
Pengarah Bahagian Khidmat Pengurusan
Pangarah Bahagian Saraan
Pengarah Bahagian Pasca Perkhidmatan
Pengarah Bahagian Perancangan, Penyelidikan
dan Korporat
Pengarah Bahagian Pengurusan Psikologi
Pengarah Bahagian Pengurusan Maklumat
Timbalan Pengarah ICT Bahagian Pasca
Perkhidmatan (BP), BPM dan INTAN
Penasihat Undang-undang (PUU)
Ketua Unit Audit Dalam
ICTSO
Ahli-ahli Jemputan (bila perlu):
MAMPU
Perbendaharaan
Urusetia:
BPM
CIO
Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
05 Februari 2013
Versi:
2.2
Muka Surat:
28 dari 114
DASAR KESELAMATAN ICT JPA
Bidangkuasa:
a. Menetapkan arah tuju dan strategi ICT untuk
pelaksanaan ICT JPA;
b. merancang, menyelaras dan memantau
pelaksanaan program/projek ICT JPA;
c. menyelaras dan menyeragamkan pelaksanaan ICT
agar selari dengan Pelan Strategik Teknologi
Maklumat (PSTM) JPA dan PSTM Sektor Awam;
d. meluluskan projek-projek ICT;
e. mengikuti dan memantau perkembangan program
ICT serta memahami keperluan, masalah dan isu-
isu yang dihadapi dalam pelaksanaan ICT;
f. merancang dan menentukan langkah-langkah
keselamatan ICT;
g. mengemukakan perolehan ICT yang telah
diluluskan di peringkat JPICT JPA kepada
Jawatankuasa Teknikal ICT (JTICT) MAMPU untuk
kelulusan;
h. mengemukakan laporan kemajuan projek ICT yang
diluluskan kepada JTICT MAMPU; dan
i. menetapkan dasar dan prosedur pengurusan laman
web / portal JPA.
Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
05 Februari 2013
Versi:
2.2
Muka Surat:
29 dari 114
DASAR KESELAMATAN ICT JPA
K02/01/08 Jawatankuasa Keselamatan ICT (JKICT) JPA
Keanggotaan JKICT adalah seperti berikut:
Pengerusi:
ICTSO
Ahli:
Ketua JPACERT
Pentadbir Pusat Data
– BPM, BP, dan INTAN.
Pentadbir Sistem (System Administrator)
– BPM, BP dan INTAN.
Pentadbir Sistem Aplikasi
– BPM, BP dan INTAN.
Pentadbir Rangkaian Dan Keselamatan (Network And
Security Administrator)
– BPM, BP dan INTAN.
Pentadbir Laman Web (Web Master)
– BPM, BP dan INTAN.
Pentadbir Pangkalan Data (Database Administrator)
– BPM, BP dan INTAN.
Pegawai Meja Bantuan (Helpdesk Officer)
– BPM, BP dan INTAN.
Pegawai Latihan INTAN
Wakil Pegawai Keselamatan Jabatan JPA.
Urusetia:
BPM
ICTSO
Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
05 Februari 2013
Versi:
2.2
Muka Surat:
30 dari 114
DASAR KESELAMATAN ICT JPA
Bidang kuasa:
a. Menyelenggara dokumen DKICT JPA;
b. memantau tahap pematuhan DKICT JPA;
c. menilai aspek teknikal keselamatan projek-projek
ICT;
d. membangunkan garis panduan, prosedur dan
tatacara untuk aplikasi-aplikasi khusus dalam
jabatan yang mematuhi keperluan DKICT JPA;
e. menyemak semula sistem ICT supaya sentiasa
mematuhi keperluan keselamatan dari semasa ke
semasa;
f. menilai teknologi yang bersesuaian dan
mencadangkan penyelesaian terhadap keperluan
keselamatan ICT;
g. memastikan DKICT JPA selaras dengan dasar-dasar
ICT kerajaan semasa;
h. bekerjasama dengan JPACERT untuk mendapatkan
maklum balas dan insiden untuk tindakan
pengemaskinian DKICT JPA; dan
i. membincang tindakan yang melibatkan pelanggaran
DKICT JPA.
K02/01/09 Pasukan Tindak Balas Insiden Keselamatan ICT (JPACERT)
Keanggotaan JPACERT adalah seperti berikut:
Pengerusi:
KPP(M)TP
Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
05 Februari 2013
Versi:
2.2
Muka Surat:
31 dari 114
DASAR KESELAMATAN ICT JPA
KPP(M)TP
Ahli :
Pegawai Teknologi Maklumat
– BPM, BP dan INTAN.
Penolong Pegawai Teknologi Maklumat
– BPM, BP dan INTAN.
Urusetia:
BPM
Bidang kuasa:
a. Menerima dan mengesan aduan keselamatan ICT
dan menilai tahap dan jenis insiden;
b. merekod dan menjalankan siasatan awal insiden
yang diterima;
c. menangani tindak balas (response) insiden
keselamatan ICT dan mengambil tindakan baik pulih
minimum;
d. menghubungi dan melaporkan insiden yang berlaku
kepada ICTSO dan GCERT MAMPU sama ada sebagai
input atau untuk tindakan seterusnya;
e. merujuk agensi-agensi di bawah kawalannya untuk
mengambil tindakan pemulihan dan pengukuhan;
dan
f. melaporkan sebarang maklum balas dan insiden
keselamatan ICT kepada JKICT.
Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
05 Februari 2013
Versi:
2.2
Muka Surat:
32 dari 114
DASAR KESELAMATAN ICT JPA
K02/01/10 Jawatankuasa Pensijilan MS ISO/IEC 27001:2007 Pengurusan Sistem
Keselamatan Maklumat (ISMS) JPA
Keanggotaan jawatankuasa adalah seperti berikut:
Pengerusi:
Timbalan Pengarah Kanan INTAN (ICT).
Ahli:
Pasukan Pelaksana ISMS, BPM
Pasukan Pelaksana ISMS, BP
Pasukan Pelaksana ISMS, INTAN .
Urusetia:
INTAN Bukit Kiara
Bidang kuasa:
a. Merancang dan menyelaras pensijilan ISMS seperti:
i. rancang struktur organisasi ISMS;
ii. rancang kursus kesedaran ISMS;
iii. rancang skop ISMS;
iv. melaksanakan analisis jurang;
v. merancang jadual perbatuan ISMS;
vi. membantu Pelaksana ISMS menyediakan
penyataan dasar ISMS, Statement of
Applicability (SoA), penilaian risiko, risk
treatment plan, kaedah pengukuran kawalan
dan prosedur-prosedur ISMS; dan
vii. permohonan pensijilan.
b. mengemukakan isu dan masalah ISMS, jika ada; dan
Timbalan Pengarah
Kanan INTAN (ICT)
Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
05 Februari 2013
Versi:
2.2
Muka Surat:
33 dari 114
DASAR KESELAMATAN ICT JPA
c. membantu mengukur keberkesanan kawalan dan
pelaksanaan ISMS.
K02/01/11 Jawatankuasa Pelan Pemulihan Bencana (JKDRP) JPA
Keanggotaan JKDRP adalah seperti berikut:
Pengerusi:
TPB(P)ICT, BP.
Ahli:
Pasukan Pengurusan Bencana
BPM, BP dan INTAN.
Pasukan Operasi
BPM, BP dan INTAN.
Pasukan Teknikal dan Rangkaian
BKP, BPM, BP dan INTAN
Pasukan Komunikasi dan Fasiliti
BKP, BPM, BP dan INTAN
Urusetia:
BP
Bidang kuasa:
a. Membangunkan Dokumen Pelan Pemulihan Bencana
(DRP);
b. menyediakan kemudahan pemulihan bencana atau
Pusat Pemulihan Bencana (Disaster Recovery Centre,
DRC);
c. membuat penilaian ke atas masalah dan jangkaan
akibat bencana;
d. memaklumkan kepada Pengurusan Atasan
berkenaan bencana, kemajuan pemulihan bencana
TPB(P)ICT, BP
Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
05 Februari 2013
Versi:
2.2
Muka Surat:
34 dari 114
DASAR KESELAMATAN ICT JPA
dan masalah;
e. mengaktifkan prosedur pemulihan bencana;
f. mengkoordinasi operasi pemulihan;
g. memantau operasi pemulihan dan memastikan
jadual pemulihan dipatuhi;
h. mendokumentasikan operasi pemulihan; dan
i. mengkoordinasi simulasi pemulihan bencana.
K02/02 Pihak Luaran
K02/02/01 Keperluan Keselamatan Dalam Kontrak ICT
Perkara yang perlu dipatuhi:
a. Mengenal pasti risiko ke atas keselamatan maklumat
dan memastikan pelaksanaan kawalan yang sesuai
ke atas maklumat tersebut;
b. memastikan semua syarat keselamatan dinyatakan
dengan jelas dalam perjanjian dengan pihak ketiga;
c. akses kepada aset ICT JPA perlu berlandaskan
perjanjian kontrak. Perjanjian yang dimeterai perlu
mematuhi perkara-perkara berikut:
i. DKICT JPA;
ii. Tapisan Keselamatan;
iii. Arahan Teknologi Maklumat 2007
(IT Instructions);
iv. Perakuan Akta Rahsia Rasmi 1972; dan
v. Hak Harta Intelek.
d. menandatangani Surat Akuan Pematuhan DKICT JPA
seperti di Lampiran 1.
Pengurus ICT,
Pentadbir Sistem
Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
05 Februari 2013
Versi:
2.2
Muka Surat:
35 dari 114
DASAR KESELAMATAN ICT JPA
e. Pihak luaran (pembekal, kontraktor, perunding dan
sebagainya) juga perlu menandatangani Borang KPKK
11 dan Declaration To Be Signed By Contractors,
Official Secrets Act (OSA) 1972 bagi perakuan untuk
tidak membocorkan sebarang maklumat rasmi yang
diperolehi sepanjang berkhidmat dengan JPA seperti
di Lampiran 4 dan 5.
Versi:
2.2
Muka Surat:
36 dari 114
DASAR KESELAMATAN ICT JPA
Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
05 Februari 2013
Kawalan 03: Pengurusan Aset
Objektif
Memberikan perlindungan keselamatan yang bersesuaian ke atas semua aset ICT JPA.
K03/01 Akauntabiliti Aset ICT
Memberi dan menyokong perlindungan yang bersesuaian ke atas semua aset ICT JPA.
Tanggungjawab yang perlu dipatuhi untuk memastikan semua aset ICT
dikawal dan dilindungi:
a. Memastikan semua aset ICT dikenal pasti, dikelas, didokumen,
diselenggara dan dilupuskan. Maklumat aset direkod dan dikemas kini
dalam Sistem Pengurusan Aset (SPA), Kad Daftar Harta Modal dan
Inventori sebagaimana mengikut Pekeliling Perbendaharaan Bil.5
Tahun 2007: Tatacara Pengurusan Aset Alih Kerajaan (TPA);
b. memastikan semua aset ICT mempunyai pemilik dan dikendalikan
oleh pengguna yang dibenarkan sahaja;
c. memastikan semua pengguna mengesahkan penempatan aset ICT
yang ditempatkan di JPA;
d. memastikan semua peraturan pengendalian aset dikenalpasti,
didokumen dan dilaksanakan; dan
e. setiap pengguna adalah bertanggungjawab ke atas semua aset ICT di
bawah kawalannya.
Pegawai Aset,
Pengguna
Versi:
2.2
Muka Surat:
37 dari 114
DASAR KESELAMATAN ICT JPA
Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
05 Februari 2013
K03/02 Pengelasan Maklumat
Maklumat hendaklah dikelaskan berasaskan nilai, keperluan
perundangan, tahap sensitiviti dan tahap kritikal kepada
JPA. Setiap maklumat yang dikelaskan mestilah mempunyai
peringkat keselamatan sebagaimana yang telah ditetapkan
di dalam dokumen Arahan Keselamatan seperti berikut:
a. Rahsia Besar;
b. Rahsia;
c. Sulit; atau
d. Terhad.
Pegawai Pengelas
K03/03 Pengendalian Maklumat
Aktiviti pengendalian maklumat seperti mengumpul,
memproses, menyimpan, menghantar, menyampai,
menukar dan memusnahkan hendaklah mengambil kira
langkah-langkah keselamatan berikut:
a. Menghalang pendedahan maklumat kepada pihak yang
tidak dibenarkan;
b. memeriksa maklumat dan menentukan ia tepat dan
lengkap dari semasa ke semasa;
c. menentukan maklumat sedia untuk digunakan;
d. menjaga kerahsiaan kata laluan;
e. mematuhi standard, prosedur, langkah dan garis
panduan keselamatan ICT yang ditetapkan;
Semua
Versi:
2.2
Muka Surat:
38 dari 114
DASAR KESELAMATAN ICT JPA
Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
05 Februari 2013
f. melaksanakan peraturan maklumat terperingkat
terutama semasa pewujudan, pemprosesan,
penyimpanan, penghantaran, penyampaian, pertukaran
dan pemusnahan; dan
g. menjaga kerahsiaan langkah-langkah keselamatan ICT
daripada diketahui umum.
Versi:
2.2
Muka Surat:
39 dari 114
DASAR KESELAMATAN ICT JPA
Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
05 Februari 2013
Kawalan 04: Keselamatan Sumber Manusia
Objektif
Memastikan semua sumber manusia yang terlibat termasuk warga JPA, pembekal, pakar
runding dan pihak-pihak yang berkepentingan memahami tanggungjawab dan peranan serta
meningkatkan pengetahuan dalam keselamatan aset ICT. Semua warga JPA hendaklah
mematuhi terma dan syarat perkhidmatan dan peraturan semasa yang berkuat kuasa.
K04/01 Sebelum Perkhidmatan
Memastikan warga JPA, pembekal, pakar runding dan
pihak-pihak lain yang berkepentingan memahami
tanggungjawab masing-masing ke atas keselamatan
aset ICT bagi meminimumkan risiko seperti kesilapan,
kecuaian, penipuan dan penyalahgunaan aset ICT.
Perkara yang mesti dipatuhi termasuk yang berikut:
a. Menyatakan dengan lengkap dan jelas peranan dan
tanggungjawab warga JPA, pembekal, pakar
runding dan pihak-pihak lain yang berkepentingan
ke atas keselamatan ICT sebelum, semasa dan
selepas perkhidmatan;
b. tapisan keselamatan untuk warga JPA,
c. menentukan keperluan bagi menandatangani
tapisan keselamatan oleh pembekal, pakar runding
dan pihak-pihak lain yang berkepentingan selaras
dengan keperluan tahap dan skop perkhidmatan;
dan
d. mematuhi terma dan syarat perkhidmatan yang
Pengurus ICT
Versi:
2.2
Muka Surat:
40 dari 114
DASAR KESELAMATAN ICT JPA
Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
05 Februari 2013
ditawarkan dan peraturan semasa yang berkuat
kuasa berdasarkan perjanjian yang telah
ditetapkan.
K04/02 Semasa Perkhidmatan
Memastikan warga JPA, pembekal, pakar runding dan
pihak-pihak lain yang berkepentingan sedar akan
ancaman keselamatan maklumat, peranan dan
tanggungjawab masing-masing untuk menyokong
DKICT JPA dan meminimumkan risiko kesilapan,
kecuaian, kecurian, penipuan dan penyalahgunaan aset
ICT.
Perkara yang perlu dipatuhi termasuk yang berikut:
a. Memastikan warga JPA, pembekal, pakar runding
dan pihak-pihak lain yang berkepentingan mengurus
keselamatan aset ICT berdasarkan perundangan dan
peraturan ditetapkan JPA;
b. memastikan latihan kesedaran dan yang berkaitan
mengenai pengurusan keselamatan aset ICT diberi
kepada warga JPA, dan sekiranya perlu diberi
kepada pembekal, pakar runding dan pihak-pihak
lain yang berkepentingan dari semasa ke semasa;
c. memastikan adanya proses tindakan disiplin
dan/atau undang-undang ke atas warga JPA,
pembekal, pakar runding dan pihak-pihak lain yang
berkepentingan sekiranya berlaku pelanggaran
dengan perundangan dan peraturan yang ditetapkan
JPA; dan
Pengurus ICT
Versi:
2.2
Muka Surat:
41 dari 114
DASAR KESELAMATAN ICT JPA
Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
05 Februari 2013
d. memantapkan pengetahuan berkaitan dengan
penggunaan aset ICT bagi memastikan setiap
kemudahan ICT digunakan dengan cara dan kaedah
yang betul demi menjamin kepentingan keselamatan
ICT.
K04/02/01 Program Kesedaran Keselamatan ICT
Setiap warga JPA, pembekal, pakar runding dan pihak-
pihak lain yang berkepentingan perlu diberikan program
kesedaran mengenai keselamatan ICT yang mencukupi
secara berterusan dalam melaksanakan tugas-tugas dan
tanggungjawab mereka.
Pengurus ICT
K04/03 Bertukar Atau Tamat Perkhidmatan
Memastikan pertukaran atau tamat perkhidmatan warga
JPA, pembekal, pakar runding dan pihak-pihak lain yang
berkepentingan diuruskan dengan teratur.
Perkara yang perlu dipatuhi termasuk:
a. Memastikan semua aset ICT dikembalikan kepada
jabatan mengikut peraturan dan/atau terma
perkhidmatan yang ditetapkan; dan
b. membatalkan atau meminda semua kebenaran
capaian ke atas maklumat dan kemudahan proses
maklumat mengikut peraturan yang ditetapkan JPA
dan/atau terma perkhidmatan.
Pengurus ICT
Versi:
2.2
Muka Surat:
42 dari 114
DASAR KESELAMATAN ICT JPA
Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
05 Februari 2013
Kawalan 05: Keselamatan Fizikal dan Persekitaran
Objektif
Melindungi premis dan maklumat daripada sebarang bentuk pencerobohan dan ancaman.
K05/01 Keselamatan Kawasan
K05/01/01 Kawasan Larangan Lokasi ICT
Kawasan larangan lokasi ICT bagi JPA ditakrifkan
sebagai kawasan yang dihadkan kemasukan bagi warga
JPA yang tertentu sahaja. Ini dilakukan untuk
melindungi aset ICT yang terdapat dalam premis
tersebut. Kawasan larangan lokasi ICT JPA adalah pusat
data BPM, BP dan INTAN.
Kawasan ini mestilah dilindungi daripada sebarang
ancaman, kelemahan dan risiko seperti pencerobohan,
kebakaran dan bencana alam. Kawalan keselamatan ke
atas premis tersebut adalah seperti berikut:
a. Sumber data atau server, peralatan komunikasi dan
storan perlu ditempatkan di pusat data, bilik server
atau bilik khas yang mempunyai ciri-ciri
keselamatan yang tinggi termasuk sistem pencegah
kebakaran;
b. akses adalah terhad kepada warga JPA yang telah
diberi kuasa sahaja dan dipantau pada setiap masa;
c. pemantauan dibuat menggunakan Closed-Circuit
Television (CCTV) kamera atau lain-lain peralatan
yang sesuai;
d. peralatan keselamatan (CCTV, log akses) perlu
Pentadbir Pusat Data
Versi:
2.2
Muka Surat:
43 dari 114
DASAR KESELAMATAN ICT JPA
Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
05 Februari 2013
diperiksa secara berjadual;
e. butiran pelawat yang keluar masuk ke kawasan
larangan perlu direkodkan;
f. pelawat yang dibawa masuk mesti diawasi oleh
pegawai yang bertanggungjawab di sepanjang
tempoh di lokasi berkaitan;
g. lokasi premis ICT hendaklah tidak berhampiran
dengan kawasan pemunggahan dan laluan awam;
h. memperkukuhkan tingkap dan pintu serta dikunci
untuk mengawal kemasukan;
i. memperkukuhkan dinding dan siling;
j. menghadkan jalan keluar masuk;
k. mengadakan kaunter kawalan; dan
l. menyediakan tempat atau bilik khas untuk pelawat.
K05/01/02 Kawalan Masuk Fizikal
Perkara-perkara yang perlu dipatuhi termasuk yang
berikut:
a. Warga JPA
i. Semua warga hendaklah memakai atau
mengenakan pas keselamatan sepanjang waktu
bertugas; dan
ii. semua pas keselamatan hendaklah diserahkan
kembali kepada JPA apabila pengguna berhenti
atau bersara.
Versi:
2.2
Muka Surat:
44 dari 114
DASAR KESELAMATAN ICT JPA
Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
05 Februari 2013
b. Pelawat
i. Setiap pelawat hendaklah mendapatkan Pas
Keselamatan Pelawat di pintu masuk utama
premis-premis JPA. Pas ini hendaklah
dikembalikan semula selepas tamat lawatan.
c. Kehilangan pas mestilah dilaporkan dengan segera.
K05/01/03 Kawasan Larangan
Kawasan larangan ditakrifkan sebagai kawasan yang
dihadkan kemasukan kepada warga JPA yang tertentu
sahaja. Ini dilaksanakan untuk melindungi aset ICT
yang terdapat di dalam kawasan tersebut. Kawasan
larangan di JPA adalah Pusat-pusat Data (Data
Centres).
a. Akses kepada kawasan larangan hanyalah kepada
warga JPA yang dibenarkan sahaja; dan
b. pihak ketiga adalah dilarang sama sekali untuk
memasuki kawasan larangan kecuali, bagi kes-
kes tertentu seperti memberi perkhidmatan
sokongan atau bantuan teknikal, dan mereka
hendaklah diiringi sepanjang masa sehingga tugas
di kawasan berkenaan selesai.
Versi:
2.2
Muka Surat:
45 dari 114
DASAR KESELAMATAN ICT JPA
Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
05 Februari 2013
K05/02 Keselamatan Peralatan
K05/02/01 Peralatan ICT
a. Penggunaan kata laluan untuk akses ke sistem
komputer adalah diwajibkan;
b. pengguna bertanggungjawab sepenuhnya ke atas
komputer masing-masing dan tidak dibenarkan
membuat sebarang pertukaran perkakasan dan
konfigurasi yang telah ditetapkan;
c. pengguna dilarang membuat instalasi sebarang
perisian tambahan tanpa kebenaran Pentadbir
Sistem;
d. pengguna mesti memastikan perisian antivirus bagi
semua peralatan ICT yang dibekalkan oleh Jabatan
seperti komputer peribadi, notebook, server
termasuk alat komunikasi mudah alih (Personal
Digital Assistant, Blackberry, smartphone dan
sebagainya) yang berada di bawah tanggungjawab
mereka sentiasa aktif (activated) dan dikemas kini
di samping turut melakukan imbasan ke atas media
storan yang digunakan;
e. semua peralatan sokongan ICT hendaklah dilindungi
daripada sebarang kecurian, dirosakkan, diubahsuai
tanpa kebenaran dan salahguna;
f. aset ICT hendaklah disimpan di tempat yang
selamat dan sentiasa di bawah kawalan pegawai
yang bertanggungjawab. Arahan Keselamatan
Kerajaan hendaklah sentiasa dipatuhi bagi mengelak
berlakunya kerosakan atau kehilangan aset;
Pengguna, Pentadbir
Sistem, Pegawai
Aset,
Penyelaras ICT
Bahagian
Versi:
2.2
Muka Surat:
46 dari 114
DASAR KESELAMATAN ICT JPA
Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
05 Februari 2013
g. jika peralatan ICT tidak digunakan, peralatan
tersebut hendaklah disimpan di dalam almari /
kabinet / peti besi / stor atau bilik khas yang
berkunci untuk penyimpanan peralatan ICT;
h. peralatan-peralatan kritikal perlu disokong oleh UPS;
i. UPS yang berkuasa tinggi perlu diletakkan di bilik
yang berasingan bersuhu rendah yang dilengkapi
dengan pengudaraan yang sesuai;
j. semua perkakasan hendaklah disimpan atau
diletakkan di tempat yang teratur, bersih dan
mempunyai ciri-ciri keselamatan. Peralatan
rangkaian seperti switches, hub, router dan lain-lain
perlu diletakkan di dalam bilik atau rak berkunci;
k. semua peralatan yang digunakan secara berterusan
mestilah diletakkan di kawasan yang berhawa dingin
dan mempunyai pengudaraan (air ventilation) yang
sesuai;
l. peralatan ICT yang hendak dibawa keluar dari
premis JPA, perlulah mendapat kelulusan Pegawai
Aset atau Penyelaras ICT Bahagian bagi tujuan
pemantauan; dan
m. aset ICT yang hilang hendaklah dikendalikan
mengikut prosedur pelaporan insiden.
Versi:
2.2
Muka Surat:
47 dari 114
DASAR KESELAMATAN ICT JPA
Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
05 Februari 2013
K05/02/02 Media Storan
Media storan merupakan peralatan elektronik yang
digunakan untuk menyimpan data dan maklumat
seperti disket, cakera padat, pita magnetik dan media-
media storan lain.
Media-media storan perlu dipastikan berada dalam
keadaan yang baik, selamat, terjamin kerahsiaan,
integriti dan kebolehsediaan untuk digunakan.
Bagi menjamin keselamatan, langkah-langkah berikut
perlu diambil:
a. Semua media storan perlu dikawal bagi mencegah
dari capaian yang tidak dibenarkan, kecurian dan
kemusnahan;
b. bagi media yang hendak dilupuskan, semua
maklumat dalam media tersebut perlu dihapuskan
terlebih dahulu;
c. semua media storan data yang hendak dilupuskan
mesti dihapuskan dengan teratur dan selamat;
d. semua media storan yang mengandungi data kritikal
hendaklah disimpan di dalam peti (data safe) yang
mempunyai ciri-ciri keselamatan termasuk tahan
dari dipecahkan, api, air dan medan magnet;
e. storan dan peralatan backup hendaklah disimpan di
lokasi yang berasingan yang lebih privasi dan tidak
terbuka kepada umum. Akses untuk memasuki
kawasan penyimpanan media hendaklah terhad
Pentadbir Sistem,
Pegawai Aset
Versi:
2.2
Muka Surat:
48 dari 114
DASAR KESELAMATAN ICT JPA
Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
05 Februari 2013
kepada pengguna yang dibenarkan sahaja;
f. akses dan pergerakan kepada media storan perlu
direkodkan;
g. perkakasan backup (CD/DVD duplicator) hendaklah
diletakkan di tempat yang lebih privasi dan terhad
kepada pengguna yang dibenarkan sahaja; dan
h. sebarang kehilangan media storan yang berlaku
hendaklah dilaporkan mengikut Prosedur Pelaporan
Insiden.
K05/02/03 Media Tandatangan Digital
Sebarang media yang digunakan untuk tandatangan
digital hendaklah mematuhi langkah–langkah berikut:
a. Pengguna hendaklah bertanggungjawab sepenuhnya
bagi perlindungan daripada kecurian, kehilangan,
kerosakan, penyalahgunaan dan pengklonan;
b. tidak boleh dipindahmilik atau dipinjamkan; dan
c. sebarang kehilangan yang berlaku hendaklah
dilaporkan mengikut Prosedur Pelaporan Insiden.
Pentadbir Sistem,
Pengguna
K05/02/04 Media Perisian Dan Aplikasi
Sebarang media yang digunakan sebagai media perisian
dan aplikasi hendaklah mematuhi langkah–langkah
berikut:
a. Hanya perisian yang rasmi sahaja dibenarkan bagi
kegunaan jabatan;
Pengurus ICT,
Pegawai Aset,
Pentadbir Sistem
Versi:
2.2
Muka Surat:
49 dari 114
DASAR KESELAMATAN ICT JPA
Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
05 Februari 2013
b. sistem aplikasi dalaman tidak dibenarkan diagih / di
demontrasikan kepada pihak lain kecuali dengan
kebenaran Pengurus ICT;
c. lesen perisian (registration code, serials, CD-keys)
perlu disimpan berasingan daripada CD-ROM, disk
atau media berkaitan bagi mengelakkan dari
berlakunya kecurian atau cetak rompak; dan
d. source code sesuatu sistem hendaklah disimpan
dengan teratur dan sebarang pindaan mestilah
mengikut prosedur yang ditetapkan.
K05/02/05 Perkakasan Tanpa Penyeliaan (Unattended Equipment)
Pengguna perlu memastikan mana-mana perkakasan
yang ditinggalkan tanpa penyeliaan mematuhi ciri-ciri
keselamatan seperti mempunyai kata laluan dan
sebagainya.
Perkakasan hendaklah diselenggarakan dengan betul
bagi memastikan kebolehsediaan, kerahsiaan dan
integriti.
Pengguna
K05/02/06 Peralatan di Luar Premis
Perkakasan yang dibawa keluar dari premis JPA adalah
terdedah kepada pelbagai risiko.
Perkakasan yang dibawa keluar premis JPA
merangkumi:
Pentadbir Sistem
Versi:
2.2
Muka Surat:
50 dari 114
DASAR KESELAMATAN ICT JPA
Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
05 Februari 2013
a. Penggunaan perkakasan secara sementara bagi
keperluan mesyuarat, latihan dan sebagainya;
dan
b. penempatan perkakasan secara kekal di sesebuah
agensi lain.
Perkara-perkara yang perlu dipatuhi adalah seperti
berikut:
a. Peralatan perlu dilindungi dan dikawal sepanjang
masa; dan
b. penyimpanan atau penempatan peralatan
mestilah mengambil kira ciri-ciri keselamatan
yang bersesuaian.
K05/02/07 Pelupusan
Aset ICT yang hendak dilupuskan perlu mematuhi
tatacara pelupusan semasa. Langkah-langkah berikut
perlu diambil dalam memastikan peralatan ICT JPA
dilupuskan dengan teratur iaitu:
a. Pegawai Aset akan mengenal pasti sama ada
peralatan tertentu boleh dilupuskan atau
sebaliknya;
b. peralatan yang hendak dilupuskan hendaklah
disimpan di tempat yang telah dikhaskan;
c. data dan maklumat dalam aset ICT yang akan
dipindah milik atau dilupuskan hendaklah
dihapuskan secara kekal;
Pegawai Aset,
Pengguna
Versi:
2.2
Muka Surat:
51 dari 114
DASAR KESELAMATAN ICT JPA
Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
05 Februari 2013
d. pelupusan peralatan ICT boleh dilakukan secara
berpusat / tidak berpusat mengikut tatacara
pelupusan semasa yang berkuat kuasa;
e. sekiranya maklumat perlu disimpan, maka
pengguna boleh membuat salinan;
f. maklumat lanjut berhubung pelupusan bolehlah
merujuk kepada Pekeliling Perbendaharaan 5
Tahun 2007: Tatacara Pengurusan Aset Alih
Kerajaan (TPA); dan
g. pelupusan dokumen-dokumen hendaklah mengikut
prosedur keselamatan seperti mana Arahan
Keselamatan dan tatacara Jabatan Arkib Negara.
K05/02/08 Penyelenggaraan
Peralatan hendaklah diselenggarakan dengan betul bagi
memastikan kebolehsediaan, kerahsiaan dan integriti.
Langkah-langkah keselamatan yang perlu diambil
termasuklah seperti berikut:
a. Mematuhi spesifikasi yang ditetapkan oleh pengeluar
bagi semua perkakasan yang diselenggara;
b. memastikan perkakasan hanya diselenggara oleh
kakitangan atau pihak yang dibenarkan sahaja;
c. menyemak dan menguji semua perkakasan sebelum
dan selepas proses penyelenggaraan; dan
d. memaklumkan pihak pengguna sebelum
Pentadbir Sistem,
Pegawai Aset
Versi:
2.2
Muka Surat:
52 dari 114
DASAR KESELAMATAN ICT JPA
Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
05 Februari 2013
melaksanakan penyelenggaraan mengikut jadual
yang ditetapkan atau atas keperluan.
K05/03 Kawalan Persekitaran
K05/03/01 Kawalan Persekitaran
Bagi menghindarkan kerosakan dan gangguan terhadap
premis dan aset ICT, semua cadangan berkaitan premis
sama ada untuk perolehan, menyewa, mengubahsuai,
pembelian hendaklah dirujuk terlebih dahulu kepada
Pejabat Ketua Pegawai Keselamatan Kerajaan (KPKK).
Bagi menjamin keselamatan persekitaran, langkah-
langkah berikut hendaklah diambil:
a. Merancang dan menyediakan pelan keseluruhan
susun atur pusat data (bilik percetakan, peralatan
komputer dan ruang atur pejabat dan sebagainya)
dengan teliti;
b. semua ruang pejabat khususnya yang mempunyai
kemudahan ICT hendaklah dilengkapi dengan
perlindungan keselamatan yang mencukupi dan
dibenarkan seperti alat pencegah kebakaran dan
pintu kecemasan;
c. peralatan perlindungan hendaklah dipasang di
tempat yang bersesuaian, mudah dikenali dan
dikendalikan;
d. bahan mudah terbakar hendaklah disimpan di luar
kawasan kemudahan penyimpanan aset ICT;
Pengurus ICT
Versi:
2.2
Muka Surat:
53 dari 114
DASAR KESELAMATAN ICT JPA
Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
05 Februari 2013
e. semua bahan cecair hendaklah diletakkan di tempat
yang bersesuaian dan berjauhan dari aset ICT;
f. pengguna adalah dilarang merokok atau
menggunakan peralatan memasak seperti cerek
elektrik berhampiran peralatan komputer; dan
g. semua peralatan perlindungan keselamatan dan
kebakaran hendaklah diselenggara bagi memastikan
ianya dapat berfungsi dengan baik.
K05/03/02 Kabel Rangkaian
a. Semua kabel perlu dilabelkan dengan jelas dan
mestilah melalui trunking bagi memastikan
keselamatan kabel daripada kerosakan dan pintasan
maklumat;
b. menggunakan kabel mengikut spesifikasi yang telah
ditetapkan; dan
c. melindungi laluan pemasangan kabel sepenuhnya
bagi mengelakkan ancaman kerosakan dan wire
tapping.
Pentadbir Rangkaian
K05/03/03 Bekalan Kuasa
Langkah-langkah seperti berikut perlu diambil dalam
memastikan keselamatan bekalan kuasa:
a. Semua peralatan ICT hendaklah dilindungi dari
kegagalan bekalan elektrik dan bekalan yang sesuai
hendaklah disalurkan kepada peralatan ICT;
b. peralatan sokongan seperti UPS dan penjana
Pengurus ICT
Versi:
2.2
Muka Surat:
54 dari 114
DASAR KESELAMATAN ICT JPA
Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
05 Februari 2013
(generator) boleh digunakan bagi perkhidmatan
kritikal seperti di bilik server supaya mendapat
bekalan kuasa berterusan; dan
c. semua peralatan sokongan bekalan kuasa hendaklah
disemak dan diuji secara berjadual.
K05/03/04 Prosedur Kecemasan
Perkara-perkara yang perlu dipatuhi adalah seperti
berikut:
a. Setiap pengguna hendaklah membaca, memahami
dan mematuhi prosedur kecemasan dengan
merujuk kepada Garis Panduan Pelan Tindakan dan
Kecemasan JPA; dan
b. kecemasan persekitaran seperti kebakaran
hendaklah dilaporkan kepada Pegawai
Keselamatan Kebakaran yang dilantik mengikut
aras.
Pengguna,
Pegawai
Keselamatan
Kebakaran
K05/04 Keselamatan Sistem Dokumentasi
Langkah-langkah seperti berikut perlu diambil dalam
memastikan keselamatan sistem dokumentasi:
a. Memastikan sistem penyimpanan dokumentasi
mempunyai ciri-ciri keselamatan;
b. mengawal dan merekodkan semua aktiviti capaian
dokumentasi sedia ada;
c. setiap dokumen hendaklah difail dan dilabelkan
mengikut klasifikasi keselamatan seperti Terbuka,
Pentadbir Sistem,
Pentadbir Fail
Versi:
2.2
Muka Surat:
55 dari 114
DASAR KESELAMATAN ICT JPA
Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
05 Februari 2013
Terhad, Sulit, Rahsia atau Rahsia Besar;
d. pergerakan fail dan dokumen hendaklah direkodkan
dan perlulah mengikut prosedur keselamatan;
e. kehilangan dan kerosakan ke atas semua jenis
dokumen perlu dimaklumkan mengikut prosedur
Arahan Keselamatan; dan
f. menggunakan enkripsi (encryption) ke atas
dokumen rahsia rasmi yang disediakan, disimpan
dan dihantar secara elektronik.
Versi:
2.2
Muka Surat:
56 dari 114
DASAR KESELAMATAN ICT JPA
Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
05 Februari 2013
Kawalan 06: Pengurusan Operasi dan Komunikasi
Objektif
Memastikan pengurusan operasi dan kemudahan pemprosesan maklumat berfungsi dengan
betul dan selamat daripada sebarang ancaman dan gangguan.
K06/01 Prosedur Operasi
K06/01/01 Pengendalian Dokumen Prosedur Operasi
a. Semua prosedur operasi ICT yang diwujud, dikenal
pasti dan masih diguna pakai hendaklah
didokumenkan, disimpan dan dikawal;
b. setiap prosedur mestilah mengandungi arahan-arahan
yang jelas, teratur dan lengkap; dan
c. semua prosedur hendaklah dikemas kini dari masa ke
semasa atau mengikut keperluan.
Pentadbir Sistem
K06/01/02 Pengurusan Perubahan
a. Pengubahsuaian melibatkan perkakasan, sistem
pemprosesan maklumat, perisian dan prosedur
mestilah mendapat kebenaran Pengurus ICT, pegawai
atasan atau pemilik aset ICT terlebih dahulu;
b. aktiviti-aktiviti seperti memasang, menyelenggara,
menghapus dan mengemaskini mana-mana komponen
sistem ICT hendaklah dikendalikan oleh pihak atau
pegawai yang diberi kuasa dan mempunyai
pengetahuan atau terlibat secara langsung dengan
aset ICT berkenaan;
c. semua aktiviti pengubahsuaian komponen sistem ICT
Pentadbir Sistem
Versi:
2.2
Muka Surat:
57 dari 114
DASAR KESELAMATAN ICT JPA
Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
05 Februari 2013
hendaklah mematuhi spesifikasi perubahan yang telah
ditetapkan; dan
d. semua aktiviti perubahan atau pengubahsuaian
hendaklah direkod dan dikawal bagi mengelakkan
berlakunya ralat sama ada secara sengaja atau
sebaliknya.
K06/01/03 Pengasingan Tugas dan Tanggungjawab
Perkara-perkara yang perlu dipatuhi adalah seperti
berikut:
a. Skop tugas dan tanggungjawab perlu diasingkan bagi
mengurangkan peluang berlaku penyalahgunaan atau
pengubahsuaian yang tidak dibenarkan ke atas aset
ICT;
b. tugas mewujud, memadam, mengemas kini,
mengubah dan mengesahkan data hendaklah
dilakukan oleh pegawai yang berlainan bagi
mengelakkan daripada capaian yang tidak dibenarkan
serta melindungi aset ICT daripada kesilapan,
kebocoran maklumat terperingkat atau dimanipulasi;
dan
c. perkakasan dan rangkaian yang digunakan bagi tugas
membangun, mengemaskini, dan menguji aplikasi
hendaklah diasingkan dari perkakasan dan rangkaian
yang digunakan di dalam persekitaran production.
Pengurus ICT,
Pentadbir Sistem
Versi:
2.2
Muka Surat:
58 dari 114
DASAR KESELAMATAN ICT JPA
Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
05 Februari 2013
K06/01/04 Prosedur Pengurusan Insiden
JPACERT menerima aduan atau laporan daripada
pengguna, laporan yang dikesan dari PRISMA atau
laporan dari sumber luar. Seterusnya, maklumat tentang
insiden akan didaftarkan. Siasatan awal atau kajian perlu
dijalankan bagi mengenal pasti jenis insiden tersebut.
Laporan insiden kemudiannya dimaklumkan kepada
GCERT MAMPU. Sekiranya insiden tersebut memerlukan
tindakan undang-undang susulan, laporan dipanjangkan
kepada agensi penguatkuasa undang-undang.
JPACERT yang diketuai oleh ICTSO akan menjalankan
tindakan pengendalian secara capaian jauh (remote) atau
on-site. Sekiranya laporan tersebut memerlukan bantuan
GCERT MAMPU, permohonan akan dihantar bagi
mendapatkan maklum balas GCERT MAMPU.
Bagi laporan yang memerlukan bantuan daripada CERT
agensi yang lain, permohonan akan dihantar melalui
GCERT MAMPU dan khidmat nasihat akan disalurkan.
JPACERT seterusnya akan menyediakan laporan dan
ICTSO mengesahkan sekiranya Pelan Kesinambungan
Perkhidmatan (PKP) perlu diaktifkan atau sebaliknya.
Pengesahan akan dihantar kepada CIO bagi mengaktifkan
PKP.
Laporan insiden yang tidak memerlukan BCP akan
diteruskan dengan melaksanakan tindakan bagi tujuan
pemulihan.
Carta lengkap mengenai perjalanan laporan insiden
seperti di Lampiran 2.
Semua
Versi:
2.2
Muka Surat:
59 dari 114
DASAR KESELAMATAN ICT JPA
Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
05 Februari 2013
K06/02 Perancangan dan Penerimaan Sistem
K06/02/01 Perancangan Kapasiti
a. Kapasiti sesuatu komponen atau sistem ICT hendaklah
dirancang, diurus dan dikawal dengan teliti oleh
pegawai yang berkenaan bagi memastikan
keperluannya adalah mencukupi dan bersesuaian
untuk pembangunan dan kegunaan sistem ICT pada
masa akan datang; dan
b. keperluan kapasiti ini juga perlu mengambil kira ciri-
ciri keselamatan ICT bagi meminimumkan risiko
seperti gangguan pada perkhidmatan dan kerugian
akibat pengubahsuaian yang tidak dirancang.
Pentadbir Sistem
K06/02/02 Penerimaan Sistem
Semua sistem baru (termasuklah sistem yang dikemas
kini atau diubahsuai) hendaklah memenuhi kriteria yang
ditetapkan sebelum diterima atau dipersetujui.
Pentadbir Sistem
K06/03 Perlindungan dari Perisian Berbahaya
K06/03/01 Perlindungan dari Perisian Berbahaya
Perkara-perkara yang perlu dilaksanakan bagi
memastikan perlindungan aset ICT dari perisian
berbahaya:
a. Memasang sistem keselamatan untuk mengesan
perisian atau program berbahaya seperti antivirus,
Intrusion Detection System (IDS) dan Intrusion
Prevention System (IPS) mengikut prosedur
penggunaan yang betul dan selamat;
b. memasang dan menggunakan hanya perisian yang
Pentadbir Sistem,
Pengguna
Versi:
2.2
Muka Surat:
60 dari 114
DASAR KESELAMATAN ICT JPA
Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
05 Februari 2013
tulen;
c. mengimbas semua perisian, sistem, media storan dan
kepilan fail dengan antivirus yang telah disediakan
oleh Jabatan sebelum menggunakannya;
d. memastikan paten antivirus pada peralatan ICT
dikemaskini dengan versi terkini;
e. menyemak kandungan sistem atau maklumat secara
berkala bagi mengesan aktiviti yang tidak diingini
seperti kehilangan dan kerosakan maklumat;
f. menghadiri program kesedaran mengenai ancaman
perisian berbahaya dan cara mengendalikannya;
g. memasukkan klausa tanggungan di dalam mana-
mana kontrak yang telah ditawarkan kepada
pembekal perisian. Klausa ini bertujuan untuk
tuntutan baik pulih sekiranya perisian tersebut
mengandungi program berbahaya; dan
h. mengadakan program dan prosedur jaminan kualiti ke
atas semua perisian yang dibangunkan.
K06/03/02 Perlindungan dari Mobile Code
Penggunaan mobile code yang boleh mendatangkan
ancaman keselamatan ICT adalah tidak dibenarkan.
Semua
K06/04 Housekeeping
K06/04/01 Backup
Bagi memastikan sistem dapat dibangunkan semula
setelah berlakunya bencana, backup seperti yang
dibutirkan hendaklah dilakukan setiap kali konfigurasi
Pentadbir Sistem
Versi:
2.2
Muka Surat:
61 dari 114
DASAR KESELAMATAN ICT JPA
Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
05 Februari 2013
berubah. Backup hendaklah direkodkan dan disimpan di
off site, di samping melaksanakan perkara-perkara
berikut:
a. Membuat salinan keselamatan ke atas semua sistem
perisian dan aplikasi sekurang-kurangnya sekali atau
setelah mendapat versi terbaru;
b. membuat backup ke atas semua data dan maklumat
mengikut keperluan operasi;
c. menguji sistem backup sedia ada dan bagi
memastikan ianya dapat berfungsi dengan sempurna,
boleh dipercayai dan berkesan apabila digunakan
khususnya pada waktu kecemasan; dan
d. backup dilaksanakan secara harian, mingguan,
bulanan dan tahunan. Kekerapan backup bergantung
pada tahap kritikal maklumat dan hendaklah disimpan
sekurang-kurangnya tiga (3) generasi.
K06/05 Pengurusan Rangkaian
Infrastruktur rangkaian perlu dikawal dan diuruskan
sebaik mungkin demi melindungi ancaman kepada sistem
dan aplikasi di dalam rangkaian.
Langkah-langkah bagi menangani ancaman ke atas
rangkaian adalah seperti berikut:
a. Semua tanggungjawab atau kerja-kerja operasi
rangkaian dan komputer hendaklah diasingkan untuk
mengurangkan capaian dan pengubahsuaian yang
tidak dibenarkan;
Pentadbir Rangkaian
Versi:
2.2
Muka Surat:
62 dari 114
DASAR KESELAMATAN ICT JPA
Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
05 Februari 2013
b. capaian kepada peralatan rangkaian hendaklah
dikawal dan terhad kepada pengguna yang dibenarkan
sahaja;
c. semua capaian kepada Internet dan sistem aplikasi
mestilah melalui firewall;
d. memasang perisian IPS bagi mengesan dan
menghalang sebarang cubaan menceroboh dan
aktiviti-aktiviti lain yang boleh mengancam sistem dan
maklumat JPA;
e. memasang Web Content Filter pada Internet Gateway
untuk menyekat aktiviti yang dilarang;
f. sebarang penyambungan rangkaian yang bukan di
bawah kawalan JPA adalah tidak dibenarkan; dan
g. kemudahan bagi wireless LAN perlu dipastikan
kawalan keselamatan.
K06/06 Pengurusan Media
K06/06/01 Media Mudah Alih
Penghantaran atau pemindahan media ke luar pejabat
hendaklah mendapat kebenaran daripada Pengurus ICT
terlebih dahulu.
Pengguna
K06/06/02 Prosedur Pengendalian Media
Di antara prosedur-prosedur pengendalian media
termasuk:
a. Melabelkan semua media mengikut tahap sensitiviti
sesuatu maklumat;
Pentadbir Sistem,
Pengguna
Versi:
2.2
Muka Surat:
63 dari 114
DASAR KESELAMATAN ICT JPA
Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
05 Februari 2013
b. menghadkan dan menentukan capaian media kepada
pengguna yang dibenarkan sahaja;
c. menghadkan pengedaran data atau media untuk
tujuan yang dibenarkan sahaja;
d. mengawal dan merekodkan aktiviti penyelenggaraan
media bagi mengelak dari sebarang kerosakan dan
pendedahan yang tidak dibenarkan; dan
e. media yang mengandungi maklumat terperingkat
hendaklah dihapus atau dimusnahkan mengikut
peraturan dan prosedur yang betul dan selamat.
K06/07 Pengurusan Penghantaran dan Penerimaan Maklumat
Ianya bertujuan untuk memastikan keselamatan
penghantaran dan penerimaan maklumat dan perisian
dalam agensi dan mana-mana entiti luar terjamin.
a. Polisi, prosedur dan kawalan penghantaran dan
penerimaan maklumat yang formal perlu diwujudkan
untuk melindungi maklumat melalui penggunaan
pelbagai jenis kemudahan komunikasi;
b. perjanjian perlu diwujudkan untuk penghantaran dan
penerimaan maklumat dan perisian di antara JPA
dengan pihak luar;
c. media yang mengandungi maklumat perlu dilindungi
daripada capaian yang tidak dibenarkan,
penyalahgunaan atau kerosakan semasa pemindahan
dan penerimaan;
Pentadbir Sistem
Versi:
2.2
Muka Surat:
64 dari 114
DASAR KESELAMATAN ICT JPA
Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
05 Februari 2013
d. maklumat yang terdapat dalam mel elektronik perlu
dilindungi sebaik-baiknya; dan
e. polisi dan prosedur perlu dibangunkan dan
dilaksanakan bagi melindungi maklumat yang
berhubung kait dengan sistem maklumat JPA.
K06/08 Pengurusan Mel Elektronik (E-mel)
Penggunaan e-mel di JPA hendaklah dipantau secara
berterusan oleh Pentadbir E-mel untuk memenuhi
keperluan etika penggunaan e-mel dan Internet. Di
antara prosedur-prosedur pengurusan e-mel termasuk:
a. Menghadkan jenis dan saiz fail lampiran bagi tujuan
mengelakkan jangkitan virus dan serangan e-mel
bombing;
b. penghantaran dokumen rasmi hendaklah
menggunakan e-mel rasmi jabatan sahaja;
c. penggunaan e-mel JPA bagi tujuan peribadi adalah
tidak dibenarkan;
d. pentadbir e-mel perlu menetapkan had minimum
kuota mailbox;
e. pembersihan e-mel hendaklah dibuat sekiranya
mailbox didapati tidak aktif selama satu (1) bulan;
f. penghantaran lampiran dalam format / extension
“ *.exe, *.bat ” dan “ *.com” tidak dibenarkan;
g. hanya warga JPA sahaja boleh dipertimbangkan untuk
mendapat kemudahan e-mel rasmi jabatan;
Pentadbir E-mel,
Penyelaras ICT
Bahagian
Versi:
2.2
Muka Surat:
65 dari 114
DASAR KESELAMATAN ICT JPA
Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
05 Februari 2013
h. penyelaras ICT Bahagian perlu memaklumkan
sebarang status pengguna (bertukar jabatan,
bersara, diberhentikan, tidak dapat dikesan, bertukar
keluar atau masuk ke JPA) di bahagian masing-
masing bagi tujuan pengemaskinian e-mel yang
terlibat;
i. menggunakan kaedah inovatif dalam penghantaran
fail bersaiz besar seperti menggunakan kaedah muat
turun fail dengan memaklumkan lokasi Universal
Resource Location (URL) atau kaedah pemampatan
untuk mengurangkan saiz fail dengan memastikan
ciri-ciri keselamatan dilaksanakan;
j. e-mel rasmi yang dihantar atau diterima hendaklah
disimpan mengikut tatacara pengurusan sistem fail
elektronik yang bersesuaian;dan
k. menggunakan enkripsi bagi dokumen terperingkat
yang dihantar secara elektronik.
K06/09 Perkhidmatan E-Dagang
Bertujuan untuk memastikan keselamatan perkhidmatan
e-dagang dan penggunaannya.
a. Maklumat yang terlibat dalam e-dagang perlu
dilindungi daripada aktiviti penipuan, pertikaian
kontrak dan pendedahan serta pengubahsuaian yang
tidak dibenarkan;
b. maklumat yang terlibat dalam transaksi dalam talian
(on-line) perlu dilindungi bagi mengelak penghantaran
yang tidak lengkap, salah destinasi, pengubahsuaian,
Pentadbir Sistem,
Pengguna
Versi:
2.2
Muka Surat:
66 dari 114
DASAR KESELAMATAN ICT JPA
Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
05 Februari 2013
pendedahan, duplikasi atau pengulangan mesej yang
tidak dibenarkan; dan
c. integriti maklumat yang disediakan untuk sistem yang
boleh dicapai oleh orang awam atau pihak lain yang
berkepentingan hendaklah dilindungi untuk mencegah
sebarang pindaan yang tidak diperakukan.
K06/10 Paparan Maklumat Umum
Perkara-perkara yang perlu dipatuhi dalam memastikan
keselamatan maklumat umum adalah seperti berikut:
a. Memastikan sistem yang boleh diakses oleh orang
awam diuji terlebih dahulu;
b. memastikan segala maklumat yang hendak
dipaparkan telah disah dan diluluskan sebelum
dimuat naik ke laman web; dan
c. memastikan perisian, data dan maklumat dilindungi
dengan mekanisme yang bersesuaian.
Semua
K06/11 Pengurusan Penyampaian Perkhidmatan Pembekal, Pakar Runding dan
Pihak-Pihak Lain Yang Terlibat
Memastikan pelaksanaan dan penyelenggaraan tahap
keselamatan maklumat dan penyampaian perkhidmatan
yang sesuai selaras dengan perjanjian perkhidmatan
dengan pembekal, pakar runding dan pihak-pihak lain
yang terlibat.
Perkara-perkara yang mesti dipatuhi adalah seperti
berikut:
Pengurus ICT,
Pentadbir Sistem
Versi:
2.2
Muka Surat:
67 dari 114
DASAR KESELAMATAN ICT JPA
Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
05 Februari 2013
a. Memasukkan kawalan keselamatan, definisi
perkhidmatan dan tahap penyampaian yang
terkandung dalam perjanjian dipatuhi, dilaksanakan
dan disenggarakan oleh pembekal, pakar runding dan
pihak-pihak lain yang terlibat;
b. perkhidmatan, laporan dan rekod yang dikemukakan
oleh pembekal, pakar runding dan pihak-pihak lain
yang terlibat perlu sentiasa dipantau, disemak semula
dan diaudit dari masa ke semasa; dan
c. pengurusan ke atas perubahan penyediaan
perkhidmatan termasuk menyelenggara dan
menambah baik polisi keselamatan, prosedur dan
kawalan maklumat sedia ada, perlu mengambil kira
tahap kritikal sistem dan proses yang terlibat serta
penilaian semula risiko.
K06/12 Pemantauan
K06/12/01 Pemantauan
Ianya bertujuan untuk memastikan pengesanan aktiviti
pemprosesan maklumat yang tidak dibenarkan, di
antaranya seperti berikut:
a. Log Audit yang merekodkan semua aktiviti perlu
dihasilkan dan disimpan untuk tempoh masa yang
dipersetujui bagi membantu siasatan dan memantau
kawalan capaian;
b. prosedur untuk memantau penggunaan kemudahan
memproses maklumat perlu diwujud dan hasilnya
Pentadbir Sistem
Versi:
2.2
Muka Surat:
68 dari 114
DASAR KESELAMATAN ICT JPA
Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
05 Februari 2013
perlu dipantau secara berkala;
c. kemudahan merekod dan maklumat log perlu
dilindungi daripada diubahsuai dan sebarang capaian
yang tidak dibenarkan.
d. aktiviti pentadbiran dan operator sistem perlu
direkodkan;
e. kesalahan, kesilapan dan / atau penyalahgunaan perlu
dilog, dianalisis dan diambil tindakan sewajarnya; dan
f. masa yang berkaitan dengan sistem pemprosesan
maklumat dalam JPA perlu diselaraskan dengan satu
sumber masa yang dipersetujui.
K06/12/02 Pengauditan dan Forensik ICT
JPACERT mestilah bertanggungjawab merekod dan
menganalisis:
a. Sebarang percubaan pencerobohan kepada sistem ICT
JPA;
b. serangan kod perosak (malicious code), halangan
pemberian perkhidmatan (denial of service), spam,
pemalsuan (forgery), pencerobohan (intrusion)
ancaman (threats) dan kehilangan fizikal (physical
loss);
c. pengubahsuaian ciri-ciri perkakasan, perisian atau
mana-mana komponen sesebuah sistem tanpa
pengetahuan, arahan atau persetujuan mana-mana
pihak;
JPACERT, ICTSO,
Pentadbir Sistem,
Versi:
2.2
Muka Surat:
69 dari 114
DASAR KESELAMATAN ICT JPA
Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
05 Februari 2013
d. aktiviti melayari, menyimpan atau mengedar bahan-
bahan lucah, berunsur fitnah dan propaganda anti
kerajaan;
e. aktiviti pewujudan perkhidmatan-perkhidmatan yang
tidak dibenarkan;
f. aktiviti instalasi dan penggunaan perisian yang
membebankan bandwidth rangkaian;
g. aktiviti penyalahgunaan akaun e-mel; dan
h. aktiviti penukaran IP address selain daripada yang
telah diperuntukkan tanpa kebenaran Pentadbir
Rangkaian.
Langkah-langkah yang perlu diambil adalah seperti
berikut:
a. JPACERT akan menentukan prosedur pengumpulan
bahan bukti (hard disk/media storan) yang berkenaan
bagi memastikan kesahihan ke atas sesuatu laporan
yang akan disediakan;
b. proses forensik dan pengauditan aset ICT mestilah
dilakukan di tempat yang selamat; dan
c. sekiranya hasil siasatan mensabitkan kesalahan
kepada tertuduh, format laporan khas perlu
disediakan.
Semua proses dan hasil siasatan adalah SULIT.
Versi:
2.2
Muka Surat:
70 dari 114
DASAR KESELAMATAN ICT JPA
Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
05 Februari 2013
K06/12/03 Jejak Audit
Setiap sistem mestilah mempunyai jejak audit. Jejak
audit merekod aktiviti-aktiviti yang berlaku dalam sistem
secara kronologi bagi membenarkan pemeriksaan dan
pembinaan semula dilakukan berdasarkan susunan dan
perubahan dalam sesuatu acara.
Jejak audit hendaklah mengandungi ciri-ciri berikut:
a. Rekod setiap aktiviti transaksi;
b. maklumat jejak audit mengandungi identiti pengguna,
sumber yang digunakan, perubahan maklumat, tarikh
dan masa aktiviti, rangkaian dan aplikasi yang
digunakan;
c. aktiviti capaian pengguna ke atas sistem ICT sama
ada secara sah atau sebaliknya; dan
d. maklumat aktiviti sistem yang tidak normal atau
aktiviti yang tidak mempunyai ciri-ciri keselamatan.
Jejak audit hendaklah disimpan untuk tempoh masa
seperti yang disarankan oleh Akta Arkib Negara.
Pentadbir Sistem hendaklah menyemak catatan jejak
audit dari masa ke semasa dan menyediakan laporan jika
perlu. Ini akan dapat membantu mengesan aktiviti yang
tidak normal dengan lebih awal. Jejak audit juga perlu
dilindungi dari kerosakan, kehilangan, penghapusan,
pemalsuan dan pengubahsuaian yang tidak dibenarkan.
Pentadbir Sistem
Versi:
2.2
Muka Surat:
71 dari 114
DASAR KESELAMATAN ICT JPA
Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
05 Februari 2013
K06/12/04 Sistem Log
Fail log hendaklah disimpan untuk tempoh sekurang-
kurangnya enam (6) bulan. Jenis fail log bagi server dan
aplikasi yang perlu diaktifkan adalah seperti berikut:
i. Fail log sistem pengoperasian;
ii. Fail log servis (contoh: web, e-mel);
iii. Fail log aplikasi (audit trail); dan
iv. Fail log rangkaian (contoh: switch, firewall, IPS)
Pentadbir Sistem ICT hendaklah melaksanakan perkara-
perkara berikut:
a. Mewujudkan sistem log bagi merekodkan semua
aktiviti harian pengguna;
b. menyemak sistem log secara berkala bagi mengesan
ralat yang menyebabkan gangguan kepada sistem dan
mengambil tindakan membaik pulih dengan segera;
dan
c. sekiranya wujud aktiviti-aktiviti tidak sah lain seperti
kecurian maklumat dan pencerobohan, hendaklah
dilaporkan kepada ICTSO.
Pentadbir Sistem
Versi:
2.2
Muka Surat:
72 dari 114
DASAR KESELAMATAN ICT JPA
Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
05 Februari 2013
Kawalan 07: Kawalan Capaian
Objektif
Memahami dan mematuhi keperluan keselamatan dalam mencapai dan menggunakan aset ICT.
K07/01 Kawalan Capaian
Capaian kepada proses dan maklumat hendaklah dikawal
mengikut keperluan keselamatan dan fungsi kerja
pengguna yang berbeza. Ia perlu direkodkan, dikemas
kini dan menyokong dasar kawalan capaian pengguna
sedia ada.
Pentadbir Sistem
K07/02 Pengurusan Capaian Pengguna
K07/02/01 Pendaftaran Pengguna
Pengguna adalah bertanggungjawab ke atas sistem ICT
yang digunakan. Bagi mengenal pasti pengguna dan
aktiviti yang dilakukan, Pentadbir Sistem perlu mengambil
langkah-langkah berikut:
a. Akaun yang diperuntukkan oleh jabatan sahaja boleh
digunakan;
b. akaun user id hendaklah mencerminkan identiti
pengguna;
c. pemilikan akaun pengguna bukanlah hak mutlak
seseorang dan ia tertakluk kepada peraturan jabatan.
Akaun boleh ditarik balik jika kaedah penggunaannya
melanggar peraturan;
d. penggunaan akaun milik orang lain atau akaun yang
dikongsi bersama adalah dilarang; dan
Pentadbir Sistem,
Pengguna
Versi:
2.2
Muka Surat:
73 dari 114
DASAR KESELAMATAN ICT JPA
Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
05 Februari 2013
e. Pentadbir Sistem boleh membeku dan menamatkan
akaun pengguna atas sebab-sebab berikut:
i. Pengguna bercuti panjang atau menghadiri kursus di
luar pejabat dalam tempoh waktu melebihi sebulan;
ii. bertukar bidang tugas kerja;
iii. bertukar ke agensi lain;
iv. bersara; atau
v. ditamatkan perkhidmatan.
K07/02/02 Hak Capaian (Privilege)
Penetapan dan penggunaan ke atas hak capaian perlu
diberi kawalan dan penyeliaan yang ketat.
Keperluan capaian hendaklah sentiasa dipantau dan
dikemas kini bagi memastikan hak capaian ini diberikan
kepada pegawai dan kakitangan yang dibenarkan sahaja.
Pentadbir Sistem
K07/02/03 Pengurusan Kata Laluan
Pemilihan, penggunaan dan pengurusan kata laluan
sebagai laluan utama bagi mencapai maklumat dan data
dalam sistem mestilah mematuhi amalan terbaik serta
prosedur yang ditetapkan oleh JPA seperti berikut:
a. Dalam apa jua keadaan dan sebab, kata laluan
hendaklah dilindungi dan tidak boleh dikongsi dengan
sesiapa pun;
b. pengguna hendaklah menukar kata laluan apabila
disyaki berlakunya kebocoran kata laluan atau
dikompromi;
Pentadbir Sistem
Pengguna
Versi:
2.2
Muka Surat:
74 dari 114
DASAR KESELAMATAN ICT JPA
Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
05 Februari 2013
c. panjang kata laluan mestilah sekurang-kurangnya
lapan (8) aksara dengan gabungan antara huruf dan
nombor (alphanumerik) serta aksara khusus;
d. kata laluan hendaklah diingat dan tidak boleh dicatat,
disimpan atau didedahkan dengan apa cara sekalipun;
e. kata laluan windows hendaklah diaktifkan
terutamanya pada komputer yang terletak di ruang
gunasama;
f. kata laluan hendaklah tidak dipaparkan semasa input,
dalam laporan atau media lain dan tidak boleh
dikodkan di dalam program;
g. kuatkuasakan pertukaran kata laluan semasa login
kali pertama atau selepas login kali pertama atau
selepas kata laluan diset semula;
h. kata laluan hendaklah berlainan daripada pengenalan
identiti pengguna;
i. had kemasukan katalaluan bagi capaian kepada
sistem aplikasi adalah maksimum tiga (3) kali sahaja.
Setelah mencapai tahap maksimum, capaian kepada
sistem akan disekat sehingga id capaian diaktifkan
semula;
j. penggunaan kata laluan lama semasa proses
penukaran kata laluan tidak dibenarkan;
k. kata laluan hendaklah disimpan dalam bentuk yang
telah dienkripkan; dan
l. sistem yang dibangunkan mestilah mempunyai
Versi:
2.2
Muka Surat:
75 dari 114
DASAR KESELAMATAN ICT JPA
Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
05 Februari 2013
kemudahan menukar kata laluan oleh pengguna.
K07/02/04 Clear Desk dan Clear Screen
Prosedur Clear Desk dan Clear Screen perlu dipatuhi
supaya maklumat dalam apa jua bentuk media disimpan
dengan teratur dan selamat bagi mengelakkan kerosakan,
kecurian atau kehilangan.
Perkara-perkara yang mesti dipatuhi termasuk yang
berikut:
a. Menggunakan kemudahan password screen saver atau
log out apabila meninggalkan komputer;
b. menyimpan bahan-bahan sensitif di dalam laci atau
kabinet fail yang berkunci; dan
c. memastikan semua dokumen diambil segera dari
pencetak, pengimbas, mesin faksimili dan mesin
fotostat.
Pengguna
K07/03 Capaian Sistem Pengoperasian
K07/03/01 Capaian Sistem Pengoperasian
Kawalan capaian sistem pengoperasian perlu bagi
mengelakkan sebarang capaian komputer yang tidak
dibenarkan.
Kemudahan keselamatan dalam sistem operasi perlu
digunakan untuk menghalang capaian ke sumber sistem
komputer. Kemudahan ini juga perlu bagi:
a. Mengenal pasti identiti, terminal atau lokasi bagi
setiap pengguna yang dibenarkan;
Pentadbir
Sistem
Versi:
2.2
Muka Surat:
76 dari 114
DASAR KESELAMATAN ICT JPA
Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
05 Februari 2013
b. merekodkan capaian yang berjaya dan gagal;
c. membekalkan kemudahan untuk pengesahan (bagi
sistem kata laluan kunci digunakan, kualiti kata kunci
perlu mendapat pengesahan); dan
d. menghadkan masa penggunaan rangkaian bagi
pengguna.
Kaedah-kaedah yang digunakan hendaklah mampu
menyokong perkara-perkara berikut:
a. Mengesahkan pengguna yang dibenarkan selaras
dengan peraturan jabatan;
b. mewujudkan jejak audit ke atas semua capaian sistem
pengoperasian terutama pengguna bertaraf super
user;
c. menjana amaran (alert) sekiranya berlaku
perlanggaran ke atas peraturan keselamatan sistem;
dan
d. menyediakan tempoh penggunaan mengikut
kesesuaian.
Perkara-perkara yang perlu dipatuhi termasuk berikut:
a. Mengawal capaian ke atas sistem operasi
menggunakan prosedur log on yang terjamin;
b. mewujudkan satu pengenalan diri (ID) yang unik
Versi:
2.2
Muka Surat:
77 dari 114
DASAR KESELAMATAN ICT JPA
Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
05 Februari 2013
untuk setiap pengguna dan hanya digunakan oleh
pengguna berkenaan sahaja dan satu teknik
pengesahan yang bersesuaian hendaklah diwujudkan
bagi mengesahkan pengenalan diri pengguna;
c. mewujudkan sistem pengurusan kata laluan secara
interaktif dan memastikan kata laluan adalah
berkualiti;
d. menghadkan dan mengawal penggunaan program
utiliti yang berkemampuan bagi satu tempoh yang
ditetapkan; dan
e. menghadkan tempoh sambungan ke sesebuah aplikasi
berisiko tinggi.
K07/03/02 Kad Pintar
Perkara-perkara yang perlu dipatuhi adalah seperti
berikut:
a. Penggunaan kad pintar Kerajaan Elektronik (Kad EG)
hendaklah digunakan bagi capaian sistem Kerajaan
Elektronik yang dikhususkan;
b. kad pintar hendaklah disimpan di tempat selamat
bagi mengelakkan sebarang kecurian atau digunakan
oleh pihak lain;
c. perkongsian penggunaan kad pintar adalah tidak
dibenarkan sama sekali. Kad pintar yang salah kata
laluan sebanyak tiga (3) kali cubaan akan disekat;
dan
d. sebarang kehilangan, kerosakan dan kata laluan
Pengguna
Versi:
2.2
Muka Surat:
78 dari 114
DASAR KESELAMATAN ICT JPA
Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
05 Februari 2013
disekat perlu dimaklumkan kepada pengeluar kad.
K07/04 Capaian Aplikasi dan Maklumat
Bertujuan melindungi sistem maklumat dan aplikasi sedia
ada dari sebarang bentuk capaian yang tidak dibenarkan
yang boleh menyebabkan kerosakan.
Capaian sistem dan aplikasi di JPA adalah terhad kepada
pengguna dan tujuan yang dibenarkan. Bagi memastikan
kawalan capaian sistem dan aplikasi adalah kukuh,
langkah-langkah berikut perlu dipatuhi:
a. Pengguna hanya boleh menggunakan sistem
maklumat dan aplikasi yang dibenarkan mengikut
tahap capaian dan sensitiviti maklumat yang telah
ditentukan;
b. setiap aktiviti capaian sistem maklumat dan aplikasi
pengguna hendaklah direkodkan bagi mengesan
aktiviti-aktiviti yang tidak diingini;
c. memaparkan notis amaran pada skrin komputer
pengguna sebelum memulakan capaian bagi
melindungi maklumat dari sebarang bentuk
penyalahgunaan;
d. memastikan kawalan sistem rangkaian adalah kukuh
dan lengkap dengan ciri-ciri keselamatan bagi
mengelakkan aktiviti atau capaian yang tidak sah;
e. capaian sistem maklumat dan aplikasi melalui jarak
jauh adalah digalakkan. Walau bagaimanapun,
penggunaannya terhad kepada perkhidmatan yang
Pentadbir
Sistem
Versi:
2.2
Muka Surat:
79 dari 114
DASAR KESELAMATAN ICT JPA
Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
05 Februari 2013
dibenarkan sahaja;
f. maklumat tarikh login terakhir hendaklah dipamerkan;
dan
g. session timeout hendaklah dilaksanakan.
K07/05 Capaian Jarak Jauh
a. Capaian jarak jauh yang dimaksudkan merangkumi:
i. Capaian daripada sistem rangkaian dalaman;
dan
ii. capaian daripada sistem rangkaian luaran bagi
lokasi luar pejabat untuk tujuan
telecommuting.
b. penghantaran maklumat yang menggunakan capaian
jarak jauh mestilah menggunakan kaedah enkripsi
(encryption);
c. lokasi bagi akses ke sistem ICT JPA hendaklah
dipastikan selamat; dan
d. penggunaan perkhidmatan ini hendaklah mendapat
kebenaran daripada Pengurus ICT. Pengguna yang
diberi hak adalah dipertanggungjawabkan penuh ke
atas penggunaan kemudahan ini.
Pentadbir Sistem,
Pengguna
Versi:
2.2
Muka Surat:
80 dari 114
DASAR KESELAMATAN ICT JPA
Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
05 Februari 2013
K07/06 Kawalan Capaian Rangkaian
K07/06/01 Capaian Rangkaian
Kawalan capaian perkhidmatan rangkaian hendaklah
dijamin selamat dengan:
a. Mewujudkan segmen rangkaian yang bersesuaian
bagi membezakan di antara rangkaian JPA dan
rangkaian awam;
b. mewujudkan dan menguatkuasakan mekanisme
untuk pengesahan pengguna dengan peralatan yang
menepati kesesuaian penggunaannya;
c. memantau dan menguatkuasakan kawalan capaian
pengguna terhadap perkhidmatan rangkaian ICT;
d. capaian pengguna jarak jauh (remote user) perlulah
dikawal;
e. capaian fizikal dan logikal ke atas perkakasan
rangkaian bagi tujuan mengubah konfigurasi perlulah
dikawal; dan
f. semua rangkaian yang dikongsi (shared networks),
terutama sekali yang keluar daripada rangkaian JPA,
polisi perlu diwujudkan untuk mengawal capaian oleh
pengguna.
Pentadbir Rangkaian
K07/06/02 Capaian Internet
a. Penggunaan Internet di JPA hendaklah dipantau
secara berterusan oleh Pentadbir Rangkaian bagi
Pentadbir Rangkaian
Versi:
2.2
Muka Surat:
81 dari 114
DASAR KESELAMATAN ICT JPA
Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
05 Februari 2013
memastikan penggunaannya untuk tujuan capaian
yang dibenarkan sahaja. Kewaspadaan ini akan dapat
melindungi daripada kemasukan malicious code, virus
dan bahan-bahan yang tidak sepatutnya ke dalam
rangkaian JPA;
b. penggunaan Internet hanyalah untuk kegunaan rasmi
sahaja. Pengurus ICT berhak menentukan pengguna
yang dibenarkan menggunakan Internet atau
sebaliknya;
c. kaedah Content Filtering mestilah digunakan bagi
mengawal akses Internet mengikut fungsi kerja dan
pemantauan tahap pematuhan;
d. penggunaan proksi yang telah ditetapkan oleh JPA
bagi mengawal akses Internet mengikut fungsi kerja
dan mematuhi pekeliling semasa yang dikeluarkan;
e. penggunaan teknologi (packet shaper) untuk
mengawal aktiviti (video streaming, chat,
downloading) adalah perlu bagi menguruskan
penggunaan bandwidth yang maksimum dan lebih
berkesan; dan
f. penggunaan modem peribadi untuk tujuan
sambungan ke Internet tidak dibenarkan sama sekali
di pejabat kecuali dengan kebenaran seperti di
Lampiran 3.
Pengurus ICT
Pentadbir Rangkaian
K07/07 Peralatan Mudah Alih
Perkara yang perlu dipatuhi adalah seperti berikut:
a. Merekodkan aktiviti keluar masuk penggunaan
peralatan mudah alih bagi mengesan pergerakan
Pegawai Aset,
Pengguna
Versi:
2.2
Muka Surat:
82 dari 114
DASAR KESELAMATAN ICT JPA
Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
05 Februari 2013
perkakasan tersebut daripada kehilangan atau
kerosakan;
b. peralatan mudah alih hendaklah disimpan atau
dikunci di tempat yang selamat apabila tidak
digunakan; dan
c. memastikan peralatan mudah alih yang dibawa
keluar dari pejabat perlu disimpan dan dijaga
dengan baik bagi mengelakkan daripada kecurian.
Versi:
2.2
Muka Surat:
83 dari 114
DASAR KESELAMATAN ICT JPA
Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
05 Februari 2013
Kawalan 08: Perolehan, Pembangunan dan Penyelenggaraan Sistem
Objektif
Memastikan sistem yang dibangunkan sendiri atau pihak ketiga mempunyai ciri-ciri
keselamatan ICT yang bersesuaian.
K08/01 Kawalan Prosesan Aplikasi
a. Perolehan, pembangunan, penambahbaikan dan
penyelenggaraan sistem hendaklah mengambil kira
kawalan keselamatan bagi memastikan tidak
wujudnya sebarang ralat yang boleh mengganggu
sistem pemprosesan dan ketepatan maklumat;
b. ujian keselamatan hendaklah dijalankan ke atas
sistem aplikasi untuk menyemak pengesahan dan
integriti data; dan
c. sistem yang dibangunkan atau digunakan hendaklah
diuji terlebih dahulu bagi memastikan sistem
berkenaan memenuhi keperluan keselamatan
sebelum digunakan.
Pentadbir Sistem,
ICTSO
K08/01/01 Pengesahan Data Input
Data input bagi aplikasi perlu disahkan bagi memastikan
data yang dimasukkan betul dan bersesuaian.
Pentadbir Sistem
K08/01/02 Kawalan Prosesan
Kawalan proses perlu ada dalam aplikasi bagi tujuan
mengesan sebarang pengubahsuaian ke atas maklumat
yang berkemungkinan terhasil daripada masalah semasa
prosesan.
Pentadbir Sistem
Versi:
2.2
Muka Surat:
84 dari 114
DASAR KESELAMATAN ICT JPA
Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
05 Februari 2013
K08/01/03 Pengesahan Data Output
Data output daripada aplikasi perlu disahkan bagi
memastikan maklumat yang dihasilkan adalah tepat.
Pentadbir Sistem
Aplikasi
K08/02 Kawalan Kriptografi
Melindungi kerahsiaan, integriti dan kesahihan maklumat
yang merangkumi data di dalam sistem rangkaian, sistem
aplikasi dan pangkalan data. Kunci enkripsi mestilah
dilindungi dengan menggunakan cara kawalan yang
terbaik dan hendaklah dirahsiakan. Semua kunci mestilah
dilindungi daripada pengubahsuaian, pemusnahan dan
sebaran tanpa kebenaran sepanjang kitaran hayat kunci
tersebut.
Kriptografi turut merangkumi kaedah-kaedah seperti
berikut:
a. Enkripsi
Sistem aplikasi yang melibatkan maklumat
terperingkat hendaklah dibuat enkripsi (encryption).
b. Tandatangan Digital
Maklumat terperingkat yang perlu diproses dan
dihantar secara elektronik hendaklah menggunakan
tandatangan digital mengikut keperluan pelaksanaan.
c. Pengurusan Infrastruktur Kunci Awam/Public Key
Infrastructure (PKI)
Pengurusan ke atas PKI hendaklah dilakukan dengan
berkesan dan selamat bagi melindungi kunci
berkenaan dari diubah, dimusnah dan didedahkan
sepanjang tempoh sah kunci tersebut.
Pentadbir Sistem,
Pengguna
Versi:
2.2
Muka Surat:
85 dari 114
DASAR KESELAMATAN ICT JPA
Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
05 Februari 2013
K08/03 Keselamatan Fail Sistem
Fail sistem perlu dikawal dan dikendalikan dengan baik
dan selamat.
a. Proses pengemaskinian fail sistem hanya boleh
dilakukan oleh Pentadbir Sistem atau/dan pegawai
yang berkenaan dan mengikut prosedur yang telah
ditetapkan;
b. kod atau aturcara sistem yang telah dikemaskini
hanya boleh dilaksanakan atau digunakan selepas
diuji;
c. mengawal capaian ke atas kod atau aturcara program
bagi mengelakkan kerosakan, pengubahsuaian tanpa
kebenaran, penghapusan dan kecurian;
d. mengaktifkan log audit bagi merekodkan semua
aktiviti pengemaskinian untuk tujuan statistik,
pemulihan dan keselamatan; dan
e. data ujian hendaklah dipilih dan penggunaannya
dikawal serta dilindungi.
Pentadbir Sistem
K08/04 Keselamatan Dalam Proses Pembangunan dan Sokongan
K08/04/01 Prosedur Perubahan
Perubahan atau pengubahsuaian ke atas sistem maklumat,
sistem pengoperasian dan aplikasi hendaklah dikawal,
diuji, direkod dan disahkan sebelum diguna pakai.
Pentadbir Sistem dan
Pemilik Proses/Sistem
Versi:
2.2
Muka Surat:
86 dari 114
DASAR KESELAMATAN ICT JPA
Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
05 Februari 2013
K08/04/02 Pembangunan Secara Outsource
Pembangunan perisian aplikasi secara outsource perlu
dipantau oleh Pengurus ICT. Source code adalah menjadi
hak milik JPA.
Pengurus ICT
K08/04/03 Pembocoran Maklumat
Sebarang peluang untuk membocorkan maklumat melalui
apa cara sekalipun mestilah dihalang.
ICTSO
K08/05 Kawalan Terhadap Keterdedahan Teknikal
Kawalan terhadap keterdedahan teknikal perlu
dilaksanakan ke atas sistem pengoperasian dan sistem
aplikasi yang digunakan. Perkara yang perlu dipatuhi
adalah seperti berikut:
a. Memperoleh maklumat keterdedahan teknikal
sistem maklumat yang digunakan;
b. menilai tahap pendedahan bagi mengenal pasti
tahap risiko yang bakal dihadapi; dan
c. mengambil langkah-langkah kawalan untuk
mengatasi risiko berkaitan.
Pentadbir Sistem,
ICTSO
Versi:
2.2
Muka Surat:
87 dari 114
DASAR KESELAMATAN ICT JPA
Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
05 Februari 2013
Kawalan 09: Pengurusan Pengendalian Insiden Keselamatan
Objektif
Untuk memastikan semua insiden dikendalikan dengan cepat, tepat dan berkesan bagi
memastikan sistem ICT JPA dapat segera beroperasi semula dengan baik supaya tidak
menjejaskan imej JPA dan sistem penyampaian perkhidmatan.
K09/01 Mekanisme Pelaporan Insiden Keselamatan ICT
a. Pelaporan
Semua insiden keselamatan ICT yang berlaku mesti
dilaporkan kepada ICTSO dan JPACERT untuk
pengendalian dan pengumpulan statistik insiden
keselamatan ICT Kerajaan. Semua maklumat adalah
SULIT, dan hanya boleh didedahkan kepada pihak-
pihak yang dibenarkan.
b. JPACERT
Pasukan JPACERT akan bertindak dan menghubungi
GCERT sebagai makluman atau bagi mendapatkan
bantuan.
c. Tanggungjawab Pengguna
Semua kakitangan, pembekal, pakar runding dan
pihak-pihak lain yang terlibat diingatkan supaya tidak
melaksanakan sebarang tindakan secara sendiri, tapi
sebaliknya perlu terus melaporkan dengan segera
sebarang kejadian insiden keselamatan ICT bagi
mengelakkan kerosakan bahan bukti.
ICTSO, Pengguna,
JPACERT
Versi:
2.2
Muka Surat:
88 dari 114
DASAR KESELAMATAN ICT JPA
Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
05 Februari 2013
d. Tindakan Dalam Keadaan Berisiko Tinggi
Dalam keadaan atau persekitaran berisiko tinggi,
pengurusan atasan hendaklah dimaklumkan dengan
serta-merta supaya satu keputusan segera dapat
diambil. Tindakan ini perlu bagi mengelakkan kesan
atau impak kerosakan yang lebih teruk dan
mengelakkan kejadian insiden merebak.
e. Sekiranya berlaku sesuatu keadaan yang
mencurigakan seperti di bawah, insiden keselamatan
ICT hendaklah dilaporkan kepada ICTSO dan
JPACERT dengan kadar segera:
i. Maklumat didapati hilang, didedahkan kepada
pihak-pihak yang tidak diberi kuasa atau,
disyaki hilang atau didedahkan kepada pihak-
pihak yang tidak diberi kuasa;
ii. Sistem maklumat digunakan tanpa kebenaran
atau yang disyaki sedemikian;
iii. Kata laluan atau mekanisme kawalan akses
yang hilang, dicuri, didedahkan atau yang
disyaki sedemikian;
iv. Berlaku kejadian sistem yang luar biasa seperti
kehilangan fail, sistem kerap kali gagal
berfungsi atau dicapai, dan komunikasi
tersalah hantar; dan
v. Berlaku percubaan menceroboh,
penyelewengan dan insiden-insiden yang tidak
dijangka yang boleh menjejaskan keselamatan
ICT.
f. ICTSO melaporkan kepada Pasukan Tindak Balas
Insiden Keselamatan ICT (GCERT) MAMPU apabila
berlaku sebarang insiden keselamatan ICT
Versi:
2.2
Muka Surat:
89 dari 114
DASAR KESELAMATAN ICT JPA
Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
05 Februari 2013
sekiranya perlu.
K09/02 Prosedur Pengendalian Insiden Keselamatan ICT
Pasukan JPACERT perlu melaksanakan pengurusan
pengendalian insiden keselamatan ICT berpandukan
prosedur pengurusan pelaporan dan pengendalian insiden
keselamatan ICT JPA.
Pengendalian insiden keselamatan ICT perlu diuruskan
dengan cepat, teratur dan berkesan, mengikut prosedur
dengan mengambil kira kawalan-kawalan berikut:
i. Mengenal pasti semua jenis insiden keselamatan
ICT;
ii. mematuhi Pelan Pemulihan Bencana (DRP) seperti
yang telah digariskan dalam Pelan Kesinambungan
Perkhidmatan (PKP);
iii. menyimpan jejak audit dan memelihara bahan
bukti dan rekod;
iv. menyediakan tindakan pencegahan supaya insiden
serupa tidak berulang; dan
v. memaklumkan atau mendapatkan nasihat pihak
berkuasa perundangan sekiranya perlu.
ICTSO, JPACERT
Versi:
2.2
Muka Surat:
90 dari 114
DASAR KESELAMATAN ICT JPA
Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
05 Februari 2013
Kawalan 10: Pengurusan Kesinambungan Perkhidmatan
Objektif
Menjamin operasi perkhidmatan agar tidak tergendala dan penyampaian perkhidmatan yang
berterusan kepada pelanggan.
K10/01 Pelan Kesinambungan Perkhidmatan
Pelan Kesinambungan Perkhidmatan hendaklah
dibangunkan untuk menentukan pendekatan yang
menyeluruh diambil bagi mengekalkan kesinambungan
perkhidmatan. Ini bertujuan memastikan tiada gangguan
kepada proses-proses dalam penyediaan perkhidmatan
organisasi. Pelan ini mestilah diluluskan oleh JPICT dan
perkara-perkara berikut perlu diberi perhatian:
a. Mengenal pasti semua tanggungjawab dan prosedur
kecemasan dan pemulihan;
b. melaksanakan prosedur-prosedur kecemasan bagi
membolehkan pemulihan dapat dilakukan secepat
mungkin atau dalam jangka masa yang telah
ditetapkan;
c. mendokumentasikan proses dan prosedur yang telah
dipersetujui;
d. mengenalpasti peristiwa yang boleh mengakibatkan
gangguan terhadap proses bisnes bersama dengan
kemungkinan dan impak gangguan tersebut serta
akibat terhadap keselamatan ICT;
e. mengadakan program latihan kepada pengguna
ICTSO
Versi:
2.2
Muka Surat:
91 dari 114
DASAR KESELAMATAN ICT JPA
Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
05 Februari 2013
mengenai prosedur kecemasan;
f. membuat backup; dan
g. menguji dan mengemas kini pelan sekurang-
kurangnya setahun sekali.
K10/02 Pengurusan Kesinambungan Perkhidmatan
Pengurusan Kesinambungan Perkhidmatan (Business
Continuity Planning) adalah mekanisme bagi
mengurus dan memastikan kepentingan stakeholder
sistem penyampaian perkhidmatan dilindungi dan imej
JPA terpelihara. Ini dilakukan dengan mengenal pasti
kesan atau impak yang berpotensi menjejaskan sistem
penyampaian perkhidmatan JPA di samping
menyediakan pelan tindakan bagi mewujudkan
ketahanan dan keupayaan bertindak yang berkesan.
Ketua Jabatan adalah bertanggungjawab untuk
memastikan operasi sistem penyampaian perkhidmatan
di bawah kawalannya disediakan secara berterusan
tanpa gangguan di samping menyediakan perlindungan
keselamatan kepada aset ICT JPA.
Pelan BCM perlu dibangunkan dan hendaklah
mengandungi perkara-perkara berikut:
a. Senarai aktiviti teras yang dianggap kritikal mengikut
susunan keutamaan;
b. senarai pegawai JPA dan vendor berserta nombor
yang boleh dihubungi (faksimili, telefon dan e-mel).
Senarai kedua juga hendaklah disediakan sebagai
ICTSO
Versi:
2.2
Muka Surat:
92 dari 114
DASAR KESELAMATAN ICT JPA
Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
05 Februari 2013
menggantikan pegawai yang tidak dapat hadir untuk
menangani insiden;
c. senarai lengkap maklumat yang memerlukan backup
dan lokasi sebenar penyimpanannya serta arahan
pemulihan maklumat dan kemudahan yang
berkaitan;
d. alternatif sumber pemprosesan dan lokasi untuk
menggantikan sumber yang telah lumpuh; dan
e. perjanjian dengan pembekal perkhidmatan untuk
mendapatkan keutamaan penyambungan semula
perkhidmatan.
Salinan pelan BCM perlu disimpan di lokasi berasingan
untuk mengelakkan kerosakan akibat bencana di lokasi
utama. Pelan BCM hendaklah diuji sekurang-kurangnya
sekali setahun atau apabila terdapat perubahan dalam
persekitaran atau fungsi bisnes untuk memastikan ia
sentiasa kekal berkesan. Penilaian secara berkala
hendaklah dilaksanakan untuk memastikan pelan
tersebut bersesuaian dan memenuhi tujuan
dibangunkan.
Ujian pelan BCM hendaklah dijadualkan untuk
memastikan semua ahli dalam pemulihan dan pegawai
yang terlibat mengetahui mengenai pelan tersebut,
tanggungjawab dan peranan mereka apabila pelan
dilaksanakan.
JPA hendaklah memastikan salinan pelan BCM sentiasa
dikemas kini dan dilindungi seperti di lokasi utama.
Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
05 Februari 2013
Versi:
2.2
Muka Surat:
93 dari 114
DASAR KESELAMATAN ICT JPA
Kawalan 11: Pematuhan
Objektif
Meningkatkan tahap keselamatan ICT bagi mengelak daripada pelanggaran kepada DKICT JPA.
K11/01 Pematuhan Dasar
Setiap pengguna di JPA hendaklah membaca, memahami
dan mematuhi DKICT JPA dan undang-undang atau
peraturan-peraturan lain yang berkaitan.
Semua aset ICT di JPA termasuk maklumat yang
disimpan di dalamnya adalah hak milik Kerajaan. Ketua
Jabatan berhak untuk memantau aktiviti pengguna untuk
mengesan penggunaan selain dari tujuan yang telah
ditetapkan.
Semua
K11/02 Pematuhan dengan Dasar, Piawaian dan Keperluan Teknikal
ICTSO perlu memastikan semua prosedur keselamatan
dalam bidang tugas masing-masing mematuhi dasar,
piawaian dan keperluan teknikal.
Sistem maklumat perlu melalui pemeriksaan secara
berkala bagi mematuhi standard pelaksanaan
keselamatan.
Sebarang penilaian pematuhan teknikal seperti aktiviti
Security Posture Assessment (SPA) mestilah dijalankan
oleh individu yang kompeten dan dibenarkan.
ICTSO
K11/03 Pematuhan Keperluan Audit
Pematuhan kepada keperluan audit perlu bagi
meminimumkan ancaman dan memaksimumkan
keberkesanan dalam proses audit sistem maklumat.
ICTSO
Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
05 Februari 2013
Versi:
2.2
Muka Surat:
94 dari 114
DASAR KESELAMATAN ICT JPA
Keperluan audit dan sebarang aktiviti pemeriksaan ke
atas sistem operasi perlu dirancang dan dipersetujui bagi
mengurangkan kebarangkalian berlaku gangguan dalam
penyediaan perkhidmatan.
Capaian ke atas peralatan audit sistem maklumat perlu
dijaga dan diselia bagi mengelakkan berlaku
penyalahgunaan.
K11/04 Keperluan Perundangan dan Peraturan
Berikut adalah keperluan perundangan atau peraturan-
peraturan lain berkaitan yang perlu dipatuhi oleh semua
pengguna di JPA:
i. Arahan Keselamatan;
ii. Pekeliling Am Bilangan 3 Tahun 2000 bertajuk
“Rangka Dasar Keselamatan Teknologi Maklumat
dan Komunikasi Kerajaan”;
iii. Malaysian Public Sector Management of Information
and Communications Technology Security
Handbook (MyMIS);
iv. Pekeliling Am Bilangan 1 Tahun 2001 bertajuk
“Mekanisme Pelaporan Insiden Keselamatan
Teknologi Maklumat dan Komunikasi (ICT)";
v. Pekeliling Kemajuan Pentadbiran Awam Bilangan 1
Tahun 2003 bertajuk “Garis Panduan Mengenai
Tatacara Penggunaan Internet dan Mel Elektronik di
Agensi-Agensi Kerajaan”;
vi. Surat Pekeliling Am Bilangan 6 Tahun 2005
bertajuk "Garis Panduan Penilaian Risiko
Keselamatan Maklumat Sektor Awam";
vii. Akta Tandatangan Digital 1997;
viii. SPA Bil. 4 Tahun 2006;
Pengguna
Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
05 Februari 2013
Versi:
2.2
Muka Surat:
95 dari 114
DASAR KESELAMATAN ICT JPA
ix. Akta Rahsia Rasmi 1972;
x. Akta Jenayah Komputer 1997;
xi. Akta Hakcipta (Pindaan) Tahun 1997;
xii. Akta Komunikasi dan Multimedia 1998;
xiii. Surat Pekeliling Perbendaharaan Bil.2/1995
(Tambahan pertama) bertajuk “Tatacara
Penyediaan, Penilaian dan Penerimaan Tender”;
xiv. Surat Pekeliling Perbendaharaan Bil. 3/1995
bertajuk “Peraturan Perolehan Perkhidmatan
Perundingan”;
xv. Surat Pekeliling Am Bil. 4 Tahun 2006 bertajuk
“Pengurusan Pengendalian Insiden Keselamatan
Teknologi Maklumat dan Komunikasi (ICT) Sektor
Awam”;
xvi. Etika Penggunaan E-mel dan Internet JPA;
xvii. Perintah-Perintah Am;
xviii. Arahan Perbendaharaan;
xix. Arahan Teknologi Maklumat 2007;
xx. Surat Akujanji;
xxi. MPK;
xxii. Fail Meja Kakitangan;
xxiii. Pelan Kesinambungan Perkhidmatan;
xxiv. Surat Arahan MAMPU.702-1/1/7 Jld. 3 (48)
bertarikh 23 Mac 2009 bertajuk ”Pengaktifan Fail
Log Server Bagi Tujuan Pengurusan Pengendalian
Insiden Keselamatan ICT di Agensi-agensi
Kerajaan”;
xxv. Surat Arahan MAMPU.BDPICT(S) 700-6/1/3(21)
bertarikh 19 November 2009 bertajuk ”Penggunaan
Media Jaringan Sosial di Sektor Awam”;
xxvi. Pekeliling Perbendaharaan 5 Tahun 2007 bertajuk
"Tatacara Pengurusan Aset Alih Kerajaan (TPA)";
xxvii. Panduan Keperluan Dan Persediaan Pelaksanaan
Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
05 Februari 2013
Versi:
2.2
Muka Surat:
96 dari 114
DASAR KESELAMATAN ICT JPA
Pensijilan MS ISO/IEC 27001:2007 Dalam Sektor
Awam bertarikh 24 November 2010;
xxviii. Pekeliling Perkhidmatan Bil 5 2007 bertajuk
"Panduan Pengurusan Pejabat bertarikh 30 April
2007"; dan
xxix. Prosedur Pengurusan Pelaporan Dan Pengendalian
Insiden Keselamatan ICT JPA.
K11/05 Pelanggaran Perundangan
Pelanggaran dasar ini boleh diambil tindakan undang-
undang dan tatatertib di bawah Akta Rahsia Rasmi 1972
dan Perintah-Perintah Am Bab “D” - Peraturan-Peraturan
Pegawai Awam (Kelakuan Dan Tatatertib).
Pengguna
Glosari
Antivirus
Aset Alih
Aset ICT
Backup
Bandwidth
BCP
CCTV
CERT Agensi
CIA3
Perisian yang mengimbas virus pada media storan, seperti
cakera keras (hard disk) dan disket (diskette) untuk sebarang
kemungkinan adanya virus.
Aset alih bermaksud aset yang boleh dipindahkan dari satu tempat ke
satu tempat yang lain termasuk aset yang dibekalkan atau dipasang
bersekali dengan bangunan.
Peralatan ICT termasuk komputer, media storan, server, router,
firewall, rangkaian dan lain-lain.
Proses penduaan sesuatu dokumen atau maklumat.
Jalur lebar
Ukuran atau jumlah data yang boleh dipindahkan melalui kawalan
komunikasi (e.g, di antara cakera keras dan PC utama) dalam jangka
masa yang ditetapkan.
Business Continuity Planning
Pelan Kesinambungan Perkhidmatan
Closed-circuit television system
Sistem TV yang digunakan secara komersil di mana satu sistem TV
kamera video dipasang di dalam premis pejabat bagi tujuan membantu
pemantauan fizikal.
Computer Emergency Response Team
Organisasi yang ditubuhkan untuk membantu agensi mengurus
pengendalian insiden keselamatan ICT di agensi masing-masing dan
agensi di bawah kawalannya.
confidentiality, integrity, authenticity, accessibility, accountability
CIO
Clear Desk dan Clear
Screen
Denial of service
Downloading
Encryption
Firewall
Forgery
GCERT
Hard disk
Hub
Chief Information Officer
Ketua Pegawai Maklumat yang bertanggungjawabkan terhadap ICT dan
sistem maklumat bagi menyokong arahtuju sesebuah organisasi.
Tidak meninggalkan dokumen data dan maklumat dalam keadaan
terdedah di atas meja atau di paparan skrin komputer apabila
pengguna tidak berada di tempatnya.
Halangan pemberian perkhidmatan.
Aktiviti muat turun sesuatu perisian.
Enkripsi atau penyulitan. Proses enkripsi data oleh pengirim supaya
tidak difahami oleh orang lain kecuali penerima yang sah.
Sistem yang direkabentuk untuk menghalang capaian pengguna yang
tidak berkenaan kepada atau daripada rangkaian dalaman. Terdapat
dalam bentuk perkakasan atau perisian atau kombinasi kedua-duanya.
Pemalsuan dan penyamaran identiti yang banyak dilakukan dalam
penghantaran mesej melalui e-mel termasuk penyalahgunaan dan
pencurian identiti, pencurian maklumat (information theft / espionage),
penipuan(hoaxes).
Government Computer Emergency Response Team
Pasukan Tindak Balas Insiden Keselamatan ICT Kerajaan.
Cakera keras. Digunakan untuk menyimpan data dan boleh di akses
lebih pantas.
Hab merupakan peranti yang menghubungkan dua atau lebih stesen
kerja menjadi suatu topologi bas berbentuk bintang dan menyiarkan
(broadcast) data yang diterima daripada sesuatu port kepada semua
port yang lain.
ICT
ICTSO
Insiden Keselamatan
INTAN
Internet
Internet Gateway
Intranet
ISDN
Intrusion Detection
System (IDS)
Intrusion Prevention
System (IPS)
Information and Communication Technology.
ICT Security Officer
Pegawai yang bertanggungjawab terhadap keselamatan sistem
komputer.
Musibah (adverse event) yang berlaku ke atas sistem maklumat dan
komunikasi atau ancaman kemungkinan berlaku kejadian tersebut.
Institut Tadbiran Awam Negara
Sistem rangkaian seluruh dunia, di mana pengguna pada mana-mana
komputer boleh membuat capaian maklumat daripada
pelayan (server) atau komputer lain.
Merupakan suatu titik yang berperanan sebagai pintu masuk ke
rangkain yang lain. Menjadi pemandu arah trafik dengan betul dari satu
trafik ke satu trafik yang lain di samping mengekalkan trafik-trafik
dalam rangkaian-rangkaian tersebut agar sentiasa berasingan.
Rangkaian dalaman yang dimiliki oleh sesebuah organisasi atau jabatan
dan hanya boleh dicapai oleh kakitangan dan mereka yang diberi
kebenaran sahaja.
Integrated Services Digital Networks
Menggunakan isyarat digital pada talian telefon analog yang sedia ada.
Sistem Pengesan Pencerobohan
Perisian atau perkakasan yang mengesan aktiviti tidak berkaitan,
kesilapan atau yang berbahaya kepada sistem. Sifat IDS berpandukan
jenis data yang dipantau, iaitu sama ada lebih bersifat host atau
rangkaian.
Sistem Pencegah Pencerobohan
Perkakasan keselamatan komputer yang memantau rangkaian
ISMS
JPA
Keadaan Berisiko
Tinggi
Kriptografi
KPKK
LAN
Lock
Log out
dan/atau aktiviti yang berlaku dalam sistem bagi mengesan perisian
berbahaya. Boleh bertindakbalas menyekat atau menghalang aktiviti
serangan atau malicious code. E.g. Network-based IPS yang akan
memantau semua trafik rangkaian bagi sebarang kemungkinan
serangan.
Information Security Management System
JPA merangkumi bahagian-bahagian seperti berikut:
1. Bahagian Perancangan, Penyelidikan dan Korporat (BPP);
2. Bahagian Pembangunan Organisasi (BPO);
3. Bahagian Perkhidmatan (BK);
4. Bahagian Saraan (BS);
5. Bahagian Pembangunan Modal Insan (BMI);
6. Bahagian Khidmat Pengurusan (BKP);
7. Bahagian Pasca Perkhidmatan (BP);
8. Bahagian Pengurusan Maklumat (BPM);
9. Bahagian Pengurusan Psikologi (BPPs); dan
10. Institut Tadbiran Awam Negara (INTAN).
Dalam situasi yang mudah mendapat ancaman dari pihak luar atau
apa-apa kemungkinan yang boleh menjejaskan kelancaran sistem.
Kaedah untuk menukar data dan maklumat biasa (standard format)
kepada format yang tidak boleh difahami bagi melindungi
penghantaran data dan maklumat
Ketua Pegawai Keselamatan Kerajaan
Local Area Network
Rangkaian Kawasan Setempat yang menghubungkan komputer.
Mengunci komputer.
Log-out komputer
Keluar daripada sesuatu sistem atau aplikasi komputer.
Malicious Code
Mobile Code
MODEM
Outsource
Penyelaras ICT
Bahagian
Pegawai Aset ICT
Perkakasan atau perisian yang dimasukkan ke dalam sistem tanpa
kebenaran bagi tujuan pencerobohan. Ia melibatkan serangan virus,
trojan horse, worm, spyware dan sebagainya.
Mobile code merupakan suatu perisian yang boleh dipindahkan di
antara sistem komputer dan rangkaian serta dilaksanakan tanpa perlu
melalui sebarang proses pemasangan sebagai contoh Java Applet,
ActiveX dan sebagainya pada pelayar internet.
MOdulator DEModulator
Peranti yang boleh menukar strim bit digital ke isyarat analog
dan sebaliknya. Ia biasanya disambung ke talian telefon bagi
membolehkan capaian Internet dibuat dari komputer.
Maklumat yang diproses dan diperolehi di luar daripada sesuatu
organisasi atau struktur kerja.
Pegawai Penyelaras ICT merupakan pegawai yang mahir dan
berkelayakan mengenai bidang perkomputeran dan dilantik oleh
Pengarah Bahagian
Peranan dan tanggungjawab:-
Perolehan Aset
Penerimaan Aset
Pendaftaran Aset
Penggunaan, Penyimpanan dan Pemeriksaan
Penyelenggaraan
Pelupusan
Penyelenggaraan Sistem Aplikasi Teras.
Peranan dan tanggungjawab:-
Menguruskan semua aset ICT di Kementerian/Jabatan di bawah
kawalannya
Pegawai Keselamatan
Pegawai Pengelas
Peripheral
Perisian Aplikasi
PKI
Pusat Data
Rahsia
Rahsia Besar
Memberi input/maklum balas berkaitan aset ICT kepada
Mesyuarat Jawatankuasa Pengurusan Aset Kerajaan (JKPAK)
Kementerian/Jabatan
Menguruskan pelupusan aset ICT
Menyelaras penyediaan laporan
Memastikan keselamatan perlindungan di jabatan terjamin sepanjang
masa.
Bertanggungjawab menguruskan dokumen rahsia rasmi Kerajaan dari
segi pendaftaran, pengelasan, pengelasan semula dan pelupusan serta
mematuhi peraturan yang sedang berkuatkuasa.
Aset yang digunakan untuk menyokong pemprosesan maklumat.
Ia merujuk pada perisian atau pakej yang selalu digunakan seperti
spreadsheet dan word processing ataupun sistem aplikasi yang
dibangunkan oleh sesebuah organisasi atau jabatan.
Public-Key Infrastructure
Infrastruktur Kunci Awam.
Pusat Data JPA merangkumi tiga (3) pengurusan pusat data utama
iaitu Bahagian Pasca Perkhidmatan, Bahagian Pengurusan Maklumat
dan INTAN.
Dokumen rasmi, maklumat rasmi dan bahan rasmi yang jika
didedahkan tanpa kebenaran akan membahayakan keselamatan
negara, menyebabkan kerosakan besar kepada kepentingan dan
martabat Malaysia atau memberi keuntungan besar kepada sesebuah
kuasa asing.
Dokumen, maklumat dan bahan rasmi yang jika didedahkan tanpa
kebenaran akan menyebabkan kerosakan yang amat besar kepada
Malaysia.
Restoration
Router
Screen saver
Server
Sulit
Switches
Terhad
Threat
Uninterruptible Power
Supply (UPS)
Video conference
Pemulihan ke atas data.
Penghala yang digunakan untuk menghantar data antara dua
rangkaian yang mempunyai kedudukan rangkaian yang berlainan.
Imej yang akan diaktifkan pada komputer setelah ianya tidak
digunakan dalam jangka masa tertentu.
Pelayan
Dokumen, maklumat dan bahan rasmi yang jika didedahkan tanpa
kebenaran walaupun tidak membahayakan keselamatan negara tetapi
memudaratkan kepentingan atau martabat Malaysia atau kegiatan
Kerajaan atau orang perseorangan atau akan menyebabkan keadaan
memalukan atau kesusahan kepada pentadbiran atau akan
menguntungkan sesebuah kuasa asing.
Alat yang boleh menapis dan memajukan isyarat paket data di antara
segmen rangkaian LAN.
Dokumen rasmi, maklumat rasmi dan bahan rasmi selain daripada
yang diperingkatkan Rahsia Besar, Rahsia atau Sulit tetapi
berkehendakkan juga diberi satu tahap perlindungan keselamatan.
Gangguan dan ancaman melalui pelbagai cara iaitu e-mel dan surat
yang bermotif personal dan atas sebab tertentu.
Satu peralatan yang digunakan bagi membekalkan bekalan kuasa yang
berterusan dari sumber berlainan ketika ketiadaan bekalan kuasa ke
peralatan yang bersambung.
Media yang menerima dan memaparkan maklumat multimedia kepada
pengguna dalam masa yang sama ia diterima oleh penghantar.
Video streaming
Virus
WAN
Wireless LAN
Worm
Teknologi komunikasi yang interaktif yang membenarkan dua atau
lebih lokasi untuk berinteraksi melalui paparan video dua hala dan
audio secara serentak.
Aturcara yang bertujuan merosakkan data atau sistem aplikasi.
Wide Area Network
Rangkaian yang merangkumi kawasan yang luas.
Rangkaian komputer tanpa wayar.
Sejenis virus yang boleh mereplikasi dan membiak dengan sendiri. Ia
biasanya menjangkiti sistem operasi yang lemah atau tidak dikemas
kini.
Rujukan :
Sila layari DKICT JPA di http://www.jpa.gov.my/docs/intranet/dkict13.pdf
Versi:
2.2
Muka Surat:
106 dari 114
DASAR KESELAMATAN ICT JPA
Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
05 Februari 2013
Lampiran 1
SURAT AKUAN PEMATUHAN
DASAR KESELAMATAN ICT (DKICT) JPA
Nama (Huruf Besar) : ………………………………………………………
No. Kad Pengenalan : ………………………………………………………
Jawatan : ………………………………………………………
Bahagian (JPA) : ………………………………………………………
Organisasi (selain warga JPA): ……………………………………………………
No. Kontrak (jika berkaitan) : ………………………………………………………
Adalah dengan sesungguhnya dan sebenarnya mengaku bahawa :
1. Saya telah membaca, memahami dan akur akan peruntukan-peruntukan yang
terkandung di dalam Dasar Keselamatan ICT JPA; dan
2. Jika saya ingkar kepada peruntukan-peruntukan yang ditetapkan, maka tindakan
sewajarnya boleh diambil ke atas diri saya.
Tandatangan : ..................................................
Tarikh : ..................................................
Rujukan :
http://www.jpa.gov.my/docs/intranet/lampiran1.pdf
Versi:
2.2
Muka Surat:
107 dari 114
DASAR KESELAMATAN ICT JPA
Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
05 Februari 2013
Lampiran 2
Rajah 1: Ringkasan Proses Kerja Pelaporan Insiden Keselamatan ICT JPA
Versi:
2.2
Muka Surat:
108 dari 114
DASAR KESELAMATAN ICT JPA
Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
05 Februari 2013
Rajah 2: Ringkasan Proses Kerja Pelaporan Insiden Keselamatan ICT JPA
Rujukan :
http://www.jpa.gov.my/docs/intranet/lampiran2.pdf
Versi:
2.2
Muka Surat:
109 dari 114
DASAR KESELAMATAN ICT JPA
Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
05 Februari 2013
Lampiran 3
PERMOHONAN KEBENARAN UNTUK MENGGUNAKAN MODEM PERIBADI
BAGI TUJUAN SAMBUNGAN KE INTERNET
Nama (Huruf Besar) : ………………………………………………………
No. Kad Pengenalan : ………………………………………………………
Jawatan : ………………………………………………………
Bahagian (JPA) : ………………………………………………………
Organisasi (selain warga JPA): ……………………………………………………
No. Kontrak (jika berkaitan) : ………………………………………………………
Saya dengan ini memohon kebenaran daripada Pengurus ICT JPA untuk menggunakan modem
peribadi bagi tujuan seperti berikut :
__________________________________________________________________________
__________________________________________________________________________
Saya juga sedar bahawa saya terikat dengan peraturan-peraturan seperti yang telah
ditetapkan di dalam dokumen Dasar Keselamatan ICT (DKICT) JPA. Dan jika saya ingkar
kepada peruntukan-peruntukan tersebut, maka tindakan sewajarnya boleh diambil ke atas diri
saya. Kebenaran ini juga tertakluk kepada tiga (3) syarat berikut;
i. Memastikan perisian antivirus sentiasa aktif (activated) dan dikemaskini
disamping turut melakukan imbasan ke atas media storan yang digunakan
ii. Memasang dan menggunakan hanya perisian yang tulen
iii. Tidak menyambungkan notebook kepada rangkaian dalaman Jabatan
(wired/wireless) dan modem peribadi secara serentak
Tandatangan : ..................................................
Tarikh : ..................................................
Versi:
2.2
Muka Surat:
110 dari 114
DASAR KESELAMATAN ICT JPA
Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
05 Februari 2013
Pengesahan Penyelia ICT Kelulusan Pengurus ICT
......................................... .........................................
(Nama Penyelia ICT) (Nama Pengurus ICT)
b.p. Ketua Pengarah Perkhidmatan Awam b.p. Ketua Pengarah Perkhidmatan Awam
Tarikh: ......................... Tarikh: .........................
Rujukan : http://www.jpa.gov.my/docs/intranet/lampiran3.pdf
Versi:
2.2
Muka Surat:
111 dari 114
DASAR KESELAMATAN ICT JPA
Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
05 Februari 2013
LAMPIRAN 4
(BORANG KPKK 11)
Pejabat Ketua Pegawai Keselamatan Kerajaan Malaysia
Jabatan Perdana Menteri
BORANG SOALAN KESELAMATAN
KETERANGAN DIRI PEMOHON
(Isi data DUA (2) salinan serta guna HURUF BESAR dan DAKWAT (HITAM)
1. Jawatan sekarang :………………………………………………………………………………. 2. Kementerian / Jabatan :…………………………………………………………………………. 3. Nama penuh :……………………………………………………….No. Tel :………………… 4. Nama dalam tulisan Cina (jika berkenaan) : …………………………………………………. 5. No. Kad Pengenalan Baru :……………………. Lama: …………………………………….. 6. Jantina :…………………………….Tarikh dan Tempat Lahir : …………………………….. 7. Kerakyatan :……………………………….. No sijil Kerakyatan :……………………………. 8. Alamat tempat tinggal kini :……………………………………………………………………. 9. Alamat tempat tinggal yang lain sebelum ini (jika berkenaan) : Alamat Dari Hingga 10. Nama Suami / Isteri (Jika Berkenaan) :……………………………………………………..
Gambar
Ukuran
Pasport
Versi:
2.2
Muka Surat:
112 dari 114
DASAR KESELAMATAN ICT JPA
Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
05 Februari 2013
11. No. Kad Pengenalan Suami / Isteri :………………………………………………………. 12. Alamat Suami / Isteri :……………………………………………………………………….
…………………………………………………………………………………………………. 13. Adakah anda sebelum ini pernah ditangkap atau didakwa di mahkamah kerana
melakukan sebarang jenayah di Malaysia / luar Negara ? 9jika ya, sila nyatakan :……………………………………………………………………………............................. …………………………………………………………………………………………………. ………………………………………………………………………………………………….
14. Saya mengaku semua maklumat yang diberikan dalam dokumen adalah betul dan
benar mengikut pengetahuan dan kepercayaan saya. Saya faham bahawa sebarang kenyataan yang palsu atau keterangan yang ditinggalkan dengan sengaja boleh menyebabkan saya tidak layak untuk dilantik ataupun tindakan tatatertib boleh diambil terhadap saya kelak termasuklah pembuangan kerja.
Tarikh :…………………….. …………………………………….. (Tandatangan Pemohon)
15. Perakuan Ketua Jabatan :
Saya akui bahawa penama diatas adalah pegawai / kakitangan Jabatan ini Tarikh :……………………………… Nama :……………………………… Jawatan :…………………………… ………………………………………… (Tandatangan & Cop Ketua Jabatan)
Rujukan : http://www.jpa.gov.my/docs/intranet/lampiran4.pdf
Versi:
2.2
Muka Surat:
113 dari 114
DASAR KESELAMATAN ICT JPA
Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
05 Februari 2013
LAMPIRAN 5
DECLARATION TO BE SIGNED BY CONTRACTORS ENGAGED ON GOVERNMENT PROJECTS IN RESPECTS OF THE OFFICIAL SECRETS ACT 1972
I hereby acknowledge that my attention has been drawn to the provisions of the Official
Secrets Act 1972 (Act 88), as amended, and that fully understand the implications
contained thereof. In particular I understand that to communicate to unauthorised person,
to use or having in possession without authorisation any classified materials, and
failure to take reasonable care of classified materials, I shall be guilty of an offence
under this Act and punishable with imprisonment for life.
I understand that all official information acquired by me in the service of His Majesty the
Yang di-Pertuan Agong or any Government in the Federation, is the property of the
Government and is not to be divulged, published, or communicated, whether orally or in
writing, to any other person in any form, except in the course of my official duties,
whether during or after my service with His Majesty the Yang di-Pertuan Agong or
Government in the Federation without the previous sanction in writing of the relevant
authority. I undertake to sign a further declaration to this effect on completion of the
Government Project.
Signature :……………………………………………………………………..
Name In Capital Letter :………………………………………………………
Identification Card No :………………………………………………………
Position :………………………………………………………………………
Department :………………………………………………………………….
Date :………………………………………………………………..
PERAKUAN UNTUK DITANDATANGANI OLEH KONTRAKTOR
Versi:
2.2
Muka Surat:
114 dari 114
DASAR KESELAMATAN ICT JPA
Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
05 Februari 2013
YANG TERLIBAT DENGAN PROJEK KERAJAAN MENURUT AKTA RAHSIA RASMI 1972.
Adalah saya dengan ini mengaku bahawa perhatian saya telah ditarik kepada
peruntukan-peruntukan Akta Rahsia Rasmi 1972 dan bahawa saya faham dengan
sepenuhnya akan segala yang dimaksudkan dalam Akta itu.Khususnya saya faham
bahawa menyampaikan, menggunakan atau menyimpan dengan salah, sesuatu benda
rahsia, tidak menjaga dengan cara yang berpatutan sesuatu rahsia atau apa- apa
tingkahlaku yang membahayakan keselamatan atau rahsia sesuatu benda rahsia adalah
menjadi suatu kesalahan di bawah Akta tersebut, yang boleh dihukum maksimum penjara
seumur hidup.
Saya faham bahawa segala maklumat rasmi yang saya perolehi dalam perkhidmatan Seri
Paduka Baginda Yang di-Pertuan Agong atau perkhidmatan mana-mana Kerajaan dalam
Malaysia, adalah milik Kerajaan dan tidak akan membocorkan, menyiarkan, atau
menyampaikan, sama ada secara lisan atau dengan bertulis, kepada sesiapa jua dalam
apa-apa bentuk, kecuali pada masa menjalankan kewajipan-kewajipan rasmi saya, sama
ada dalam masa atau selepas perkhidmatan saya dengan Seri Paduka Baginda Yang di-
Pertuan Agong atau dengan mana-mana Kerajaan dalam Malaysia dengan tidak terlebih
dahulu mendapat kebenaran bertulis pihak berkuasa yang berkenaan. Saya berjanji dan
mengaku akan menandatangani suatu akuan selanjutnya bagi maksud ini apabila tamat
projek Kerajaan.
Tandatangan :………………………………………………………………….
Nama dengan Huruf Besar :…………………………………………………..
No Kad Pengenalan :………………………………………………………….
Jawatan :……………………………………………………………………...
Jabatan :……………………………………………………………………….
Tarikh :………………………………………………………………………..
Rujukan : http://www.jpa.gov.my/docs/intranet/lampiran5.pdf