versi - portal rasmi jabatan perkhidmatan awam malaysia - public

Versi:

2.2

Muka Surat:

i dari v

DASAR KESELAMATAN ICT JPA

Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini

05 Februari 2013

KANDUNGAN

BIL. PERKARA M/S

1. SEJARAH DOKUMEN KESELAMATAN ICT 1

2. PENGENALAN 2

3. OBJEKTIF DKICT JPA 2

4. PENYATAAN DKICT JPA 3

5. SKOP DKICT JPA 5

6.

7.

PRINSIP-PRINSIP DKICT JPA

PENILAIAN RISIKO KESELAMATAN ICT

7

9

8. KAWALAN-KAWALAN

KAWALAN 01 – DASAR KESELAMATAN ICT

Objektif 10

K01/01 Pelaksanaan Dasar 10

K01/02 Penyebaran Dasar 10

K01/03 Penyelenggaraan Dasar 10

K01/04 Pematuhan Dasar 11

KAWALAN 02 - ORGANISASI KESELAMATAN

Objektif 12

K02/01 Infrastruktur Organisasi Dalaman 12

K02/01/01 Ketua Pengarah Perkhidmatan Awam (KPPA) 12

K02/01/02 Ketua Pegawai Maklumat (CIO) 12

K02/01/03 Pegawai Keselamatan ICT (ICTSO) 13

K02/01/04 Pengurus ICT 15

K02/01/05 Pentadbir Sistem 16

Pentadbir Rangkaian Dan Keselamatan 17

Pentadbir Pangkalan Data 18

Pentadbir Laman Web 19

Pentadbir Pusat Data 20

Pentadbir Sistem Aplikasi 21

Pentadbir E-mel 22

K02/01/06 Pengguna 25

K02/01/07 Jawatankuasa Pemandu ICT (JPICT) JPA 27

K02/01/08 Jawatankuasa Keselamatan ICT (JKICT) JPA 29

K02/01/09 Pasukan Tindak Balas Insiden Keselamatan

ICT (JPACERT)

30

K02/01/10 Jawatankuasa Pensijilan MS ISO/IEC

27001:2007 Pengurusan Sistem

32

Versi:

2.2

Muka Surat:

ii dari v



05 Februari 2013

Keselamatan Maklumat (ISMS) JPA

K02/01/11 Jawatankuasa Pelan Pemulihan Bencana

(JKDRP) JPA

33

K02/02 Pihak Luaran 34

K02/02/01 Keperluan Keselamatan Dalam Kontrak ICT 34

KAWALAN 03 - PENGURUSAN ASET

Objektif 36

K03/01 Akauntabiliti Aset ICT 36

K03/02 Pengelasan Maklumat 37

K03/03 Pengendalian Maklumat 37

KAWALAN 04 – KESELAMATAN SUMBER MANUSIA

Objektif 39

K04/01 Sebelum Perkhidmatan 39

K04/02 Semasa Perkhidmatan 40

K04/02/01 Program Kesedaran Keselamatan ICT 41

K04/03 Bertukar Atau Tamat Perkhidmatan 41

KAWALAN 05 - KESELAMATAN FIZIKAL DAN PERSEKITARAN

Objektif 42

K05/01 Keselamatan Kawasan 42

K05/01/01 Kawasan Larangan Lokasi ICT 42

K05/01/02 Kawalan Masuk Fizikal 43

K05/01/03 Kawasan Larangan 44

K05/02 Keselamatan Peralatan 45

K05/02/01 Peralatan ICT 45

K05/02/02 Media Storan 47

K05/02/03 Media Tandatangan Digital 48

K05/02/04 Media Perisian dan Aplikasi 48

K05/02/05 Perkakasan Tanpa Penyeliaan (Unattended

Equipment)

49

K05/02/06 Peralatan di Luar Premis 49

K05/02/07 Pelupusan 50

K05/02/08 Penyelenggaraan 51

K05/03 Kawalan Persekitaran 52

K05/03/01 Kawalan Persekitaran 52

K05/03/02 Kabel Rangkaian 53

K05/03/03 Bekalan Kuasa 53

K05/03/04 Prosedur Kecemasan 54

Versi:

2.2

Muka Surat:

iii dari v



05 Februari 2013

K05/04 Keselamatan Sistem Dokumentasi

54

KAWALAN 06 - PENGURUSAN OPERASI DAN KOMUNIKASI

Objektif 56

K06/01 Prosedur Operasi 56

K06/01/01 Pengendalian Dokumen Prosedur Operasi 56

K06/01/02 Pengurusan Perubahan 56

K06/01/03 Pengasingan Tugas dan Tanggungjawab 57

K06/01/04 Prosedur Pengurusan Insiden 58

K06/02 Perancangan dan Penerimaan Sistem 59

K06/02/01 Perancangan Kapasiti 59

K06/02/02 Penerimaan Sistem 59

K06/03 Perlindungan dari Perisian Berbahaya 59

K06/03/01 Perlindungan dari Perisian Berbahaya 59

K06/03/02 Perlindungan dari Mobile Code 60

K06/04 Housekeeping 60

K06/04/01 Backup 60

K06/05 Pengurusan Rangkaian 61

K06/06 Pengurusan Media 62

K06/06/01 Media Mudah Alih 62

K06/06/02 Prosedur Pengendalian Media 62

K06/07 Pengurusan Penghantaran dan Penerimaan

Maklumat

63

K06/08 Pengurusan Mel Elektronik (E-mel) 64

K06/09 Perkhidmatan E-Dagang 65

K06/10 Paparan Maklumat Umum 66

K06/11 Pengurusan Penyampaian Perkhidmatan

Pembekal, Pakar Runding dan Pihak-Pihak Lain

Yang Terlibat

66

K06/12 Pemantauan 67

K06/12/01 Pemantauan 67

K06/12/02 Pengauditan dan Forensik ICT 68

K06/12/03 Jejak Audit 70

K06/12/04 Sistem Log 71

KAWALAN 07 - KAWALAN CAPAIAN

Objektif 72

K07/01 Kawalan Capaian 72

K07/02 Pengurusan Capaian Pengguna 72

K07/02/01 Pendaftaran Pengguna 72

K07/02/02 Hak Capaian (Privilege) 73

K07/02/03 Pengurusan Kata Laluan 73

Versi:

2.2

Muka Surat:

iv dari v



05 Februari 2013

K07/02/04 Clear Desk dan Clear Screen 75

K07/03 Capaian Sistem Pengoperasian 75

K07/03/01 Capaian Sistem Pengoperasian 75

K07/03/02 Kad Pintar 77

K07/04 Capaian Aplikasi dan Maklumat 78

K07/05 Capaian Jarak Jauh 79

K07/06 Kawalan Capaian Rangkaian 80

K07/06/01 Capaian Rangkaian 80

K07/06/02 Capaian Internet 80

K07/07 Peralatan Mudah Alih 81

KAWALAN 08 – PEROLEHAN, PEMBANGUNAN DAN

PENYELENGGARAAN SISTEM

Objektif 83

K08/01 Kawalan Prosesan Aplikasi 83

K08/01/01 Pengesahan Data Input 83

K08/01/02 Kawalan Prosesan 83

K08/01/03 Pengesahan Data Output 84

K08/02 Kawalan Kriptografi 84

K08/03 Keselamatan Fail Sistem 85

K08/04 Keselamatan Dalam Proses Pembangunan Dan

Sokongan

85

K08/04/01 Prosedur Perubahan 85

K08/04/02 Pembangunan Secara Outsource 86

K08/04/03 Pembocoran Maklumat 86

K08/05 Kawalan Terhadap Keterdedahan Teknikal 86

KAWALAN 09 - PENGURUSAN PENGENDALIAN INSIDEN

KESELAMATAN

Objektif 87

K09/01 Mekanisme Pelaporan Insiden Keselamatan ICT 87

K09/02 Prosedur Pengendalian Insiden Keselamatan ICT 89

KAWALAN 10 - PENGURUSAN KESINAMBUNGAN

PERKHIDMATAN

Objektif 90

K10/01 Pelan Kesinambungan Perkhidmatan 90

K10/02 Pengurusan Kesinambungan Perkhidmatan 91

Versi:

2.2

Muka Surat:

v dari v



05 Februari 2013

KAWALAN 11 – PEMATUHAN

Objektif 93

K11/01 Pematuhan Dasar 93

K11/02 Pematuhan dengan Dasar, Piawaian dan

Keperluan Teknikal

93

K11/03 Pematuhan Keperluan Audit 93

K11/04 Keperluan Perundangan dan Peraturan 94

K11/05 Pelanggaran Perundangan 96

8.

9.

GLOSARI

SENARAI LAMPIRAN

Lampiran 1 Surat Akuan Pematuhan

Dasar Keselamatan ICT JPA

Lampiran 2 Ringkasan Proses Kerja Pelaporan Insiden

Keselamatan ICT JPA

Lampiran 3 Permohonan Kebenaran Untuk Menggunakan Modem

Peribadi Bagi Tujuan Sambungan Ke Internet

Lampiran 4 Borang KPKK 11

Lampiran 5 Official Secrets Act (OSA)

97

106

107

109

111

113

Versi:

2.2

Muka Surat:

1 dari 114



05 Februari 2013

SEJARAH DOKUMEN KESELAMATAN ICT

TARIKH EDISI KELULUSAN TARIKH KUATKUASA

OGOS 2006 1.0 JPICT 15 OGOS 2006

JUN 2008 2.0 JPICT 05 JUN 2008

DIS 2010 2.1 JPICT 02 DISEMBER 2010

FEB 2013 2.2 JPICT 05 FEBRUARI 2013

Versi:

2.2

Muka Surat:

2 dari 114



05 Februari 2013

PENGENALAN

Jabatan Perkhidmatan Awam (JPA) Malaysia berperanan untuk menyediakan perkhidmatan

bagi perancangan, pembangunan dan pengurusan sumber manusia sektor awam yang

cemerlang berteraskan profesionalisme, integriti dan teknologi. Dokumen ini diguna pakai oleh

semua kakitangan, pengguna dan pembekal yang menyediakan perkhidmatan, mencapai dan

menggunakan aset dan sistem aplikasi Information and Communication Technology (ICT) di

JPA. Dasar Keselamatan ICT (DKICT) JPA disediakan berpandu kepada piawaian antarabangsa

iaitu ISO/IEC 27001:2005 dan juga merujuk kepada MS ISO/IEC 27001:2007.

OBJEKTIF DKICT JPA

Objektif utama Dasar Keselamatan ICT JPA (DKICT) adalah seperti berikut:

1. Memastikan kelancaran operasi jabatan yang berlandaskan ICT dengan mencegah serta

meminimumkan kerosakan atau kemusnahan aset ICT jabatan;

2. melindungi kepentingan pihak-pihak yang bergantung kepada sistem maklumat

daripada kesan kegagalan atau kelemahan dari segi kerahsiaan, integriti, tidak boleh

disangkal, kebolehsediaan dan kesahihan (CIA3);

3. meminimumkan kos penyelenggaraan ICT akibat ancaman dan penyalahgunaan;

4. meningkatkan tahap kesedaran keselamatan ICT kepada para kakitangan, pengguna

dan pembekal;

5. memperkemaskan pengurusan risiko;

6. mencegah penyalahgunaan atau kecurian aset ICT jabatan; dan

7. melindungi aset ICT daripada penyelewengan oleh kakitangan, pengguna dan

pembekal.

Versi:

2.2

Muka Surat:

3 dari 114



05 Februari 2013

PENYATAAN DASAR KESELAMATAN ICT JPA

Keselamatan ditakrifkan sebagai keadaan yang bebas daripada ancaman dan risiko yang tidak

boleh diterima. Keselamatan adalah suatu proses yang berterusan. Ia melibatkan aktiviti

berkala yang mesti dilakukan dari semasa ke semasa untuk menjamin keselamatan kerana

ancaman dan kelemahan sentiasa berubah.

Keselamatan ICT adalah bermaksud keadaan bagi segala urusan menyedia dan membekalkan

perkhidmatan yang berasaskan kepada sistem ICT berjalan secara berterusan. Terdapat empat

(4) komponen asas keselamatan IT, iaitu:

1. Melindungi maklumat rahsia rasmi dan maklumat rasmi JPA dari capaian tanpa kuasa

yang sah;

2. menjamin setiap maklumat adalah tepat dan sempurna;

3. memastikan ketersediaan maklumat apabila diperlukan oleh pengguna; dan

4. memastikan akses hanya kepada pengguna-pengguna yang sah atau penerimaan

maklumat dari sumber-sumber yang sah.

Versi:

2.2

Muka Surat:

4 dari 114



05 Februari 2013

DKICT JPA merangkumi perlindungan ke atas semua bentuk maklumat elektronik dan bukan

elektronik bertujuan untuk menjamin keselamatan maklumat tersebut dan kebolehsediaan

kepada semua pengguna yang dibenarkan. Ciri-ciri utama keselamatan maklumat adalah

seperti berikut:

1. Kerahsiaan – maklumat tidak boleh didedahkan sewenang-wenangnya atau dibiarkan

akses tanpa kebenaran.

2. Integriti – Data dan maklumat hendaklah tepat, lengkap dan kemas kini. Ia hanya

boleh diubah dengan cara yang dibenarkan.

3. Tidak boleh disangkal – Punca data dan maklumat hendaklah dari punca yang sah

dan tidak boleh disangkal.

4. Kesahihan – Data dan maklumat hendaklah dijamin kesahihannya.

5. Kebolehsediaan – Data dan maklumat hendaklah boleh diakses pada bila-bila masa.

Selain itu, langkah-langkah ke arah keselamatan ICT hendaklah bersandarkan kepada penilaian

yang bersesuaian dengan perubahan semasa terhadap kelemahan semula jadi aset ICT,

ancaman yang wujud akibat daripada kelemahan tersebut, risiko yang mungkin timbul dan

langkah-langkah pencegahan sesuai yang boleh diambil untuk menangani risiko berkenaan.

Versi:

2.2

Muka Surat:

5 dari 114



05 Februari 2013

SKOP DKICT JPA

Sistem ICT JPA terdiri daripada organisasi, manusia, perisian, perkakasan, telekomunikasi,

kemudahan ICT, data dan maklumat. JPA telah menetapkan keperluan-keperluan asas

keselamatan seperti berikut:

1. Data dan maklumat termasuk hardcopy dan softcopy hendaklah boleh diakses secara

berterusan dengan cepat, tepat, mudah dan dengan cara yang boleh dipercayai. Ini

adalah amat perlu bagi membolehkan keputusan dan penyampaian perkhidmatan

dilakukan dengan berkesan serta berkualiti.

2. Semua data dan maklumat hendaklah dijaga kerahsiaannya dan dikendalikan sebaik

mungkin pada setiap masa bagi memastikan kesempurnaan dan melindungi

kepentingan JPA.

Bagi menentukan sistem ICT ini terjamin keselamatannya sepanjang masa, DKICT JPA ini

merangkumi perlindungan ke atas semua bentuk maklumat ICT kerajaan yang dimasuk,

diwujud, dimusnah, disimpan, dijana, dicetak, diakses, diedar dan yang dibuat salinan. Ini

akan dilakukan melalui penubuhan dan penguatkuasaan sistem kawalan dan prosedur dalam

pengendalian semua perkara-perkara berikut:

1. Data dan maklumat

Semua data dan maklumat yang disimpan atau digunakan di pelbagai media atau

peralatan ICT.

2. Peralatan ICT

Semua peralatan komputer dan peripheral seperti server, firewall, komputer

peribadi, stesen kerja, kerangka utama, pencetak, peralatan multimedia dan alat-alat

prasarana seperti Uninterruptible Power Supply (UPS), punca kuasa dan lain-lain.

Versi:

2.2

Muka Surat:

6 dari 114



05 Februari 2013

3. Media storan

Semua media storan dan peralatan yang berkaitan seperti disket, storan mudah alih,

kartrij, CD-ROM, pita, cakera, pemacu cakera, pemacu pita dan lain-lain.

4. Media komunikasi

Semua peralatan berkaitan komunikasi seperti pelayan rangkaian, gateway, bridge,

router, peralatan PABX, wireless LAN, talian ISDN, peralatan video conferencing,

modem, PCMCIA, kabel rangkaian, NIC, switches, hub dan lain-lain.

5. Perisian

Semua jenis perisian yang digunakan untuk mengendali, memproses, menyimpan

dan menghantar data atau maklumat. Ini termasuklah sistem aplikasi seperti eSILA,

POWER, HRMIS, EPSA dan sistem pengoperasian seperti Windows, LINUX dan

perisian utiliti, perisian komunikasi, sistem pengurusan pangkalan data, fail program,

fail data dan lain-lain.

6. Dokumentasi

Semua dokumen termasuk prosedur dan manual pengguna yang berkaitan dengan

aset ICT, dokumen pemasangan dan pengoperasian peralatan dan perisian.

7. Premis Komputer dan Komunikasi

Semua kemudahan serta premis yang diguna untuk menempatkan perkara 1 hingga

6 di atas.

8. Manusia

Semua pengguna infrastruktur ICT JPA yang dibenarkan, termasuk warga JPA,

pengguna dan pembekal.

Versi:

2.2

Muka Surat:

7 dari 114



05 Februari 2013

PRINSIP-PRINSIP DKICT JPA

Prinsip-prinsip yang menjadi asas kepada DKICT JPA adalah seperti berikut:

1. Akses Atas Dasar Perlu Mengetahui

Akses terhadap penggunaan aset ICT hanya diberikan untuk tujuan spesifik dan

dihadkan kepada pengguna tertentu atas dasar perlu mengetahui sahaja. Ini

bermakna akses hanya akan diberikan sekiranya peranan atau fungsi pengguna

memerlukan maklumat tersebut.

2. Hak Akses Minimum

Hak akses kepada pengguna hanya diberi pada tahap yang paling minimum iaitu

untuk membaca dan/atau melihat sahaja. Kelulusan khas diperlukan untuk

membolehkan pengguna mewujud, menyimpan, mengemas kini, mengubah dan

menghapuskan sesuatu data atau maklumat.

3. Kebertanggungjawaban / Akauntabiliti

Semua pengguna adalah dipertanggungjawabkan ke atas semua tindakannya

terhadap aset ICT. Tanggungjawab ini perlu dinyatakan dengan jelas sesuai dengan

tahap sensitiviti sesuatu sumber ICT. Bagi menentukan tanggungjawab ini dipatuhi,

sistem ICT hendaklah mampu menyokong kemudahan mengesan atau mengesahkan

bahawa pengguna sistem maklumat boleh dipertanggungjawabkan atas tindakan

mereka.

4. Pengasingan

Tugas mewujud, menghapus, mengemas kini, mengubah dan mengesahkan data

perlu diasingkan bagi mengelakkan daripada capaian yang tidak dibenarkan

(unauthorized access) serta melindungi aset ICT daripada kesilapan, kebocoran

maklumat terperingkat atau dimanipulasikan. Pengasingan juga merangkumi data,

operasi, pangkalan data dan rangkaian.

Versi:

2.2

Muka Surat:

8 dari 114



05 Februari 2013

5. Pengauditan

Tujuan aktiviti ini ialah untuk mengenal pasti insiden keselamatan aset ICT atau

keadaan yang mengancam keselamatan aset ICT. Dengan itu, semua log yang

berkaitan dengan aset ICT perlu disimpan bagi tujuan jejak audit.

6. Pematuhan

DKICT JPA hendaklah dipatuhi bagi mengelakkan sebarang bentuk pelanggaran ke

atasnya yang boleh membawa ancaman kepada keselamatan ICT.

7. Pemulihan

Pemulihan sistem amat perlu untuk memastikan kebolehsediaan dan kebolehcapaian

bagi meminimumkan sebarang gangguan atau kerugian akibat daripada

ketidaksediaan dan ketidakbolehcapaian. Pemulihan boleh dilakukan melalui proses

penduaan (backup) dan mewujudkan pelan pemulihan bencana / kesinambungan

perkhidmatan (BRP).

8. Saling Bergantung

Setiap prinsip adalah saling lengkap-melengkapi dan bergantung antara satu sama

lain. Dengan itu tindakan mempelbagaikan pendekatan dalam menyusun dan

mencorak sebanyak mungkin mekanisme keselamatan, dapat menjamin keselamatan

yang maksimum.

Versi:

2.2

Muka Surat:

9 dari 114



05 Februari 2013

PENILAIAN RISIKO KESELAMATAN ICT

JPA hendaklah mengambil kira kewujudan risiko ke atas aset ICT akibat dari ancaman dan

vulnerability yang semakin meningkat. Justeru itu JPA perlu mengambil langkah-langkah proaktif

dan bersesuaian untuk menilai tahap risiko aset ICT supaya pendekatan dan keputusan yang

paling berkesan dikenal pasti bagi menyediakan perlindungan dan kawalan ke atas aset ICT.

JPA hendaklah melaksanakan penilaian risiko keselamatan ICT secara berkala dan berterusan

bergantung kepada perubahan teknologi dan keperluan keselamatan ICT. Seterusnya mengambil

tindakan susulan dan/atau langkah-langkah bersesuaian untuk mengurangkan atau mengawal

risiko keselamatan ICT berdasarkan penemuan penilaian risiko.

Penilaian risiko keselamatan ICT hendaklah dilaksanakan ke atas sistem maklumat JPA

termasuklah aplikasi, perisian, perkakasan, pelayan, rangkaian, pangkalan data, sumber manusia,

proses, dan prosedur. Penilaian risiko ini hendaklah juga dilaksanakan di premis yang

menempatkan sumber-sumber teknologi maklumat termasuklah pusat data, bilik media storan,

kemudahan utiliti dan sistem-sistem sokongan lain.

JPA bertanggungjawab melaksanakan dan menguruskan risiko keselamatan ICT selaras dengan

keperluan Surat Pekeliling Am Bilangan 6 Tahun 2005: Garis Panduan Penilaian Risiko

Keselamatan Maklumat Sektor Awam.

JPA perlu mengenal pasti tindakan yang sewajarnya bagi menghadapi kemungkinan risiko berlaku

dengan memilih tindakan berikut:

1. Mengurangkan risiko dengan melaksanakan kawalan yang bersesuaian;

2. menerima dan/atau bersedia berhadapan dengan risiko yang akan terjadi selagi ia

memenuhi kriteria yang telah ditetapkan oleh pengurusan atasan;

3. mengelak dan/atau mencegah risiko dari terjadi dengan mengambil tindakan

yang dapat mengelak dan/atau mencegah berlakunya risiko; dan

4. memindahkan risiko ke pihak lain seperti pembekal, pakar runding dan pihak-pihak lain

yang berkepentingan.

Versi:

2.2

Muka Surat:

10 dari 114



05 Februari 2013

Kawalan 01: Dasar Keselamatan ICT

Objektif

DKICT JPA ini diwujudkan untuk melindungi aset ICT bagi memastikan kelancaran operasi

jabatan secara berterusan, meminimumkan kerosakan atau kemusnahan aset-aset ICT melalui

usaha pencegahan atau mengurangkan kesan kejadian yang tidak diingini berdasarkan kepada

ciri-ciri keselamatan iaitu kerahsiaan, integriti, tidak boleh disangkal, kebolehsediaan dan

kesahihan.

K01/01 Pelaksanaan Dasar

Pelaksanaan dasar ini akan dijalankan oleh Ketua

Pengarah Perkhidmatan Awam (KPPA) dibantu oleh

Jawatankuasa Pemandu ICT JPA (JPICT) yang terdiri

daripada Ketua Pegawai Maklumat (CIO), Pegawai

Keselamatan ICT (ICTSO) dan semua Pengarah

Bahagian.

KPPA

K01/02 Penyebaran Dasar

Dasar ini perlu disebarkan kepada semua yang terlibat

dengan infrastruktur ICT JPA meliputi warga JPA,


ICTSO

K01/03 Penyelenggaraan Dasar

DKICT JPA adalah tertakluk kepada semakan dan

pindaan dari semasa ke semasa selaras dengan

perubahan teknologi, aplikasi, prosedur, perundangan

dan kepentingan sosial. Berikut adalah prosedur yang

berhubung dengan penyelenggaraan DKICT JPA:

a. Mengenal pasti dan menentukan perubahan yang

diperlukan;

ICTSO, JKICT

Versi:

2.2

Muka Surat:

11 dari 114



05 Februari 2013

b. mengemukakan cadangan pindaan secara bertulis

kepada ICTSO untuk tindakan dan pertimbangan

Jawatankuasa Keselamatan ICT (JKICT);

c. memaklumkan cadangan pindaan yang telah

dipersetujui oleh JKICT kepada JPICT bagi tujuan

pengesahan;

d. memaklumkan pindaan yang telah disahkan oleh

JPICT kepada semua pihak iaitu warga JPA,

pengguna dan pembekal; dan

e. menyemak semula dokumen sekurang-kurangnya

setahun sekali atau mengikut keperluan bagi

memastikan dokumen sentiasa relevan.

K01/04 Pematuhan Dasar

DKICT JPA mestilah dipatuhi oleh semua warga JPA,


Warga JPA,

Pengguna,

Pembekal


05 Februari 2013

Versi:

2.2

Muka Surat:

12 dari 114


Kawalan 02: Organisasi Keselamatan

Objektif

Menerangkan peranan dan tanggungjawab semua pihak yang terlibat dengan lebih jelas dan

teratur dalam mencapai objektif DKICT JPA.

K02/01 Infrastruktur Organisasi Dalaman

K02/01/01 Ketua Pengarah Perkhidmatan Awam (KPPA)

Peranan dan tanggungjawab KPPA adalah seperti berikut:

a. Memastikan semua pengguna memahami

peruntukan-peruntukan di bawah DKICT JPA;

b. memastikan semua pengguna mematuhi DKICT JPA;

c. memastikan semua keperluan jabatan seperti

sumber kewangan, sumber kakitangan dan

perlindungan keselamatan adalah mencukupi; dan

d. program keselamatan ICT dilaksanakan seperti yang

ditetapkan di dalam DKICT JPA.

KPPA

K02/01/02 Ketua Pegawai Maklumat (CIO)

Jawatan Ketua Pegawai Maklumat (CIO) adalah

disandang oleh Timbalan Ketua Pengarah Perkhidmatan

Awam (Operasi).

Peranan dan tanggungjawab CIO adalah seperti berikut:

a. Bertanggungjawab ke atas perkara-perkara yang

berkaitan dengan keselamatan ICT JPA;

CIO


05 Februari 2013

Versi:

2.2

Muka Surat:

13 dari 114


b. bertanggungjawab menyelaras dan mengurus pelan

tindakan dan program keselamatan seperti

penyediaan DKICT JPA, pelan latihan dan kesedaran

pengguna, pengurusan risiko dan pengauditan; dan

c. menentukan keperluan keselamatan ICT.

K02/01/03 Pegawai Keselamatan ICT (ICTSO)

Jawatan Pegawai Keselamatan ICT (ICTSO) adalah

disandang oleh Timbalan Pengarah Bahagian Pengurusan

Maklumat.

Peranan dan tanggungjawab ICTSO adalah seperti

berikut:

a. Mempengerusikan Jawatankuasa Keselamatan ICT

(JKICT);

b. mengurus keseluruhan program keselamatan ICT

JPA;

c. menguatkuasakan pelaksanaan DKICT JPA di semua

bahagian di JPA;

d. menjalankan pengurusan risiko dan audit

keselamatan ICT berpandukan dokumen Malaysian

Public Sector Management of Information and

Communications (MyMIS) untuk mengenal pasti

ketidakpatuhan kepada DKICT JPA;

ICTSO


05 Februari 2013

Versi:

2.2

Muka Surat:

14 dari 114


e. mencadangkan langkah-langkah pengukuhan bagi

mematuhi dasar-dasar berkaitan keselamatan ICT

JPA;

f. melaporkan insiden keselamatan ICT kepada

Pasukan Tindak Balas Insiden Keselamatan ICT

Kerajaan (GCERT MAMPU) dan seterusnya membantu

dalam penyiasatan atau pemulihan;

g. menjalankan program-program kesedaran mengenai

keselamatan ICT;

h. menyedia dan menyebarkan amaran-amaran yang

sesuai terhadap kemungkinan berlaku ancaman ke

atas keselamatan ICT dan menyediakan khidmat

nasihat serta langkah pemulihan yang bersesuaian;

i. melaporkan insiden keselamatan ICT kepada CIO

bagi insiden yang memerlukan Pelan Kesinambungan

Perkhidmatan (BCP);

j. memastikan pematuhan DKICT JPA oleh pihak luaran

seperti perunding, kontraktor dan pembekal yang

mencapai dan menggunakan aset ICT JPA untuk

tujuan penyelenggaraan, pemasangan, naik taraf dan

sebagainya;

k. menyemak, mengkaji dan menyediakan laporan

berkaitan dengan isu-isu keselamatan ICT;

l. memastikan DKICT JPA dikemas kini sesuai dengan

perubahan teknologi, arahan jabatan dan ancaman-

ancaman dari semasa ke semasa; dan


05 Februari 2013

Versi:

2.2

Muka Surat:

15 dari 114


m. memastikan Pelan Strategik ICT JPA mengandungi

aspek keselamatan ICT.

K02/01/04 Pengurus ICT

Jawatan Pengurus ICT disandang oleh tiga (3) pegawai

iaitu Pengarah Bahagian Pengurusan Maklumat (PBM),

Timbalan Pengarah Bahagian Pasca Perkhidmatan

(TPB(P)ICT) dan Timbalan Pengarah Kanan INTAN (ICT).

Peranan dan tanggungjawab Pengurus ICT adalah seperti

berikut:

a. Memastikan DKICT JPA dilaksanakan di bahagian;

b. memastikan semua kakitangan, perunding,

kontraktor dan pembekal yang terlibat dengan

bahagian mematuhi dasar, piawaian dan garis

panduan keselamatan ICT dan seterusnya

melaporkan sebarang insiden berkaitan keselamatan

ICT;

c. mengkaji semula aspek-aspek keselamatan fizikal

seperti kemudahan backup dan persekitaran pejabat

yang perlu, dengan persetujuan ICTSO;

d. melaksanakan keperluan DKICT dalam operasi

semasa seperti berikut:

i. Pelaksanaan sistem atau aplikasi baru sama

ada dibangunkan secara dalaman atau luaran

yang melibatkan teknologi baru;

Pengurus ICT


05 Februari 2013

Versi:

2.2

Muka Surat:

16 dari 114


ii. pembelian atau peningkatan perisian dan

sistem komputer;

iii. perolehan teknologi dan perkhidmatan

komunikasi baru;

iv. pelantikan pembekal, perunding atau rakan

usahasama; dan

v. menentukan pembekal, perunding atau rakan

usahasama menjalani tapisan keselamatan

selaras dengan keperluan tahap

perkhidmatan.

e. menyimpan rekod atau laporan terkini tentang

ancaman keselamatan. Sebarang perkara atau

penemuan ancaman terhadap keselamatan ICT

hendaklah dilaporkan kepada ICTSO;

f. membangunkan garis panduan, prosedur dan

tatacara untuk aplikasi-aplikasi khusus dalam

jabatan yang mematuhi keperluan DKICT JPA;

g. membangun, mengkaji semula dan mengemas kini

pelan kontingensi keselamatan ICT di bahagian; dan

h. melaksanakan sistem kawalan capaian pengguna ke

atas aset-aset ICT JPA.

K02/01/05 Pentadbir Sistem

Pentadbir Sistem terdiri daripada seperti berikut:

a. Pentadbir Rangkaian Dan Keselamatan;

b. Pentadbir Pangkalan Data;


05 Februari 2013

Versi:

2.2

Muka Surat:

17 dari 114


c. Pentadbir Laman Web (Web Master);

d. Pentadbir Pusat Data;

e. Pentadbir Sistem Aplikasi; dan

f. Pentadbir E-mel;

Pentadbir Rangkaian Dan Keselamatan

Peranan dan tanggungjawab Pentadbir Rangkaian dan

Keselamatan adalah seperti berikut:

a. Memastikan rangkaian setempat (LAN) dan

rangkaian luas (WAN) di JPA beroperasi sepanjang

masa;

b. memastikan semua peralatan dan perisian rangkaian

diselenggarakan dengan sempurna;

c. merancang peningkatan infrastruktur, ciri-ciri

keselamatan dan prestasi rangkaian sedia ada;

d. mengesan dan mengambil tindakan pembaikan

segera ke atas rangkaian yang tidak stabil;

e. memantau penggunaan rangkaian dan melaporkan

kepada ICTSO sekiranya berlaku penyalahgunaan

sumber rangkaian;

f. memastikan laluan trafik keluar dan masuk

diuruskan secara berpusat dan tidak membenarkan

sambungan ke rangkaian JPA secara tidak sah

seperti melalui peralatan modem dan dial-up;

g. menyediakan zon khas rangkaian untuk tujuan

pengujian peralatan dan perisian rangkaian; dan

Pentadbir Rangkaian

Dan Keselamatan


05 Februari 2013

Versi:

2.2

Muka Surat:

18 dari 114


h. melaksanakan penilaian tahap keselamatan sistem

rangkaian dan sistem ICT (Security Posture

Assessment, SPA) serta penilaian risiko keselamatan

maklumat.

Pentadbir Pangkalan Data

Peranan dan tanggungjawab Pentadbir Pangkalan Data

adalah seperti berikut:

a. Melaksanakan instalasi dan penambahbaikan

pangkalan data serta perisian lain yang berkaitan

dengan pangkalan data;

b. memastikan pangkalan data boleh digunakan pada

setiap masa;

c. melaksanakan pemantauan dan penyelenggaraan

yang berterusan ke atas pangkalan data;

d. melaksanakan proses backup dan restoration ke atas

pangkalan data;

e. memastikan aktiviti pentadbiran pangkalan data

seperti prestasi capaian, penyelesaian masalah

pangkalan data dan proses pengemaskinian data

dilaksanakan dengan teratur;

f. melaksanakan polisi pengguna pangkalan data

berdasarkan kepada prinsip-prinsip DKICT;

g. melaksanakan proses pembersihan data

(housekeeping) di dalam pangkalan data; dan

Pentadbir Pangkalan

Data


05 Februari 2013

Versi:

2.2

Muka Surat:

19 dari 114


h. melaporkan sebarang insiden pelanggaran dasar

keselamatan pangkalan data kepada ICTSO.

Pentadbir Laman Web (Web Master)

Peranan dan tanggungjawab Pentadbir Laman Web


a. Menerima kandungan laman web yang telah

disahkan kesahihan dan terkini daripada sumber

yang sah;

b. memantau prestasi capaian dan menjalankan

penalaan prestasi untuk memastikan akses yang

lancar;

c. memantau dan menganalisis log untuk mengesan

sebarang capaian yang tidak sah atau cubaan

menggodam, menceroboh dan mengubahsuai muka

laman;

d. menghadkan capaian Pentadbir Laman Web bahagian

ke web server;

e. mengasingkan kandungan dan aplikasi atas talian

untuk capaian secara Intranet dan Internet ke portal

JPA;

f. memastikan data-data SULIT tidak boleh disalin atau

dicetak oleh orang yang tidak berhak;

g. memastikan reka bentuk web dibangunkan dengan

ciri-ciri keselamatan supaya tidak dicerobohi;

Pentadbir Laman Web

(Web Master)


05 Februari 2013

Versi:

2.2

Muka Surat:

20 dari 114


h. melaksanakan housekeeping keselamatan terhadap

sistem pengoperasian dan perisian-perisian lain di

web server;

i. melaksanakan proses backup dan restoration secara

berkala; dan

j. melaporkan sebarang pelanggaran keselamatan

laman portal kepada ICTSO.

Pentadbir Pusat Data

Peranan dan tanggungjawab Pentadbir Pusat Data adalah

seperti berikut:

a. Memastikan persekitaran fizikal dan keselamatan

pusat data berada dalam keadaan baik dan

selamat;

b. memastikan keselamatan data dan sistem aplikasi

yang berada dalam Pusat Data;

c. menjadualkan proses salinan (backup and

restore) ke atas data dan sistem secara berkala;

d. menyediakan perancangan pemulihan bencana

mengikut prinsip Pengurusan Kesinambungan

Perkhidmatan dalam DKICT;

e. melaksanakan prinsip-prinsip DKICT; dan

f. memastikan Pusat Data sentiasa beroperasi

mengikut polisi yang telah ditetapkan.

Pentadbir

Pusat Data


05 Februari 2013

Versi:

2.2

Muka Surat:

21 dari 114


Pentadbir Sistem Aplikasi

Peranan dan tanggungjawab Pentadbir Sistem Aplikasi


a. Mengkaji cadangan pembangunan/penyelarasan

sistem/modul di JPA;

b. membuat kajian semula serta memperbaiki sistem /

modul sedia ada di JPA;

c. membuat pertimbangan dan mengusulkan

cadangan pelaksanaan sistem / modul di JPA;

d. membuat pemantauan dan penyelenggaraan

terhadap sistem / modul dari masa ke semasa;

e. bertanggungjawab dalam aspek-aspek pelaksanaan

keseluruhan sistem / modul;

f. menyediakan dokumentasi sistem / modul dan

manual pengguna;

g. memastikan kelancaran operasi sistem aplikasi

supaya perkhidmatan yang disediakan tidak

terjejas;

h. memastikan kod-kod program sistem aplikasi

adalah selamat daripada penggodam sebelum

sistem tersebut diaktifkan penggunaanya;

i. memastikan virus pattern, hotfix dan patch yang

berkaitan dengan sistem aplikasi dikemas kini

Pentadbir Sistem

Aplikasi


05 Februari 2013

Versi:

2.2

Muka Surat:

22 dari 114


supaya terhindar daripada ancaman virus dan

penggodam;

j. mematuhi dan melaksanakan prinsip-prinsip DKICT

dalam pewujudkan akaun pengguna ke atas setiap

sistem aplikasi;

k. memastikan sandaran (backup) sistem aplikasi dan

data yang berkaitan dengannya dibuat secara

berjadual;

l. menghadkan capaian Dokumentasi Sistem Aplikasi

bagi mengelakkan daripada penyalahgunaannya;

m. melaporkan kepada ICTSO jika berlakunya insiden

keselamatan ke atas sistem aplikasi di bawah

pentadbirannya; dan

n. menjadi ahli Jawatankuasa Keselamatan ICT JPA

(JKICT).

Pentadbir E-mel

Peranan dan tanggungjawab Pentadbir E-mel adalah

seperti berikut:

a. Menentukan setiap akaun yang diwujudkan atau

dibatalkan telah mendapat kelulusan. Pembatalan

akaun (pengguna yang berhenti, bertukar dan

melanggar dasar dan tatacara jabatan) perlulah

dilakukan dengan segera atas tujuan keselamatan

maklumat;

b. pentadbir e-mel boleh membekukan akaun

pengguna jika perlu semasa pengguna bercuti

Pentadbir E-mel


05 Februari 2013

Versi:

2.2

Muka Surat:

23 dari 114


panjang, berkursus atau menghadapi tindakan

tatatertib;

c. menyimpan jejak audit selama sekurang-kurangnya

enam (6) bulan di dalam pelayan e-mel tertakluk

kepada kemampuan ruang storan;

d. melaksanakan jadual backup dan pengarkiban e-

mel. Penyimpanan media storan sama ada di luar

atau di dalam kawasan mestilah mempunyai ciri-ciri

keselamatan fizikal yang terjamin bagi mengelak

daripada sebarang risiko seperti kehilangan

maklumat;

e. memastikan akaun e-mel pengguna sentiasa di

dalam keadaan baik dan berfungsi;

f. melaksanakan aktiviti housekeeping terhadap

akaun e-mel pengguna secara berkala;

g. memastikan keselamatan akaun e-mel pengguna

dari ancaman luar dan dalam;

h. memaklumkan kepada ICTSO sekiranya mengalami

insiden keselamatan seperti serangan virus,

serangan e-mail spamming, phishing,

pencerobohan e-mel dan penyalahgunaan e-mel.

Pentadbir e-mel hendaklah mengurus dan

menangani insiden yang berlaku dengan segera dan

sistematik sehingga keadaan kembali pulih;

i. melaksanakan penyelenggaraan ke atas sistem e-


05 Februari 2013

Versi:

2.2

Muka Surat:

24 dari 114


mel dengan baik dan menentukan segala patches

terkini yang disediakan oleh pihak pembekal

dipasang dan berfungsi dengan sempurna;

j. memantau status storan e-mel Pengurusan Atasan

JPA dua (2) kali sehari dan memastikan e-mel

Pengurusan Atasan JPA sentiasa tersedia untuk

transaksi e-mel;

k. memastikan semua peralatan sistem e-mel JPA

sentiasa aktif;

l. menyediakan ruang mailbox yang mencukupi

sekurang-kurangnya 100MB untuk setiap akaun e-

mel dan jumlah ini adalah bergantung kepada

keperluan pemilik akaun e-mel;

m. menggunakan kaedah inovatif dalam penghantaran

fail bersaiz besar seperti menggunakan kaedah

muat-turun fail dengan memaklumkan lokasi

universal resource location (URL) atau kaedah

pemampatan untuk mengurangkan saiz fail dengan

memastikan ciri-ciri keselamatan dilaksanakan;

n. memastikan perjanjian penyelenggaraan sistem e-

mel pada tahap premium (premium service) dengan

pembekal-pembekal yang berkelayakan;

o. memastikan agar keupayaan mail relay hanya boleh

digunakan untuk server atau aplikasi dalaman JPA

sahaja bagi tujuan keselamatan;


05 Februari 2013

Versi:

2.2

Muka Surat:

25 dari 114


p. memastikan kemudahan membuat capaian e-mel

melalui pelbagai media seperti telefon mudah alih;

dan

q. memastikan pengguna e-mel JPA berkemahiran

menggunakan e-mel melalui penyediaan dokumen

tatacara penggunaan e-mel JPA dan Internet JPA

serta pelaksanaan Kursus Pembudayaan ICT

(Penggunaan E-mel dan Internet) secara

berterusan.

K02/01/06 Pengguna

Peranan dan tanggungjawab pengguna adalah seperti

berikut:

a. Pengguna warga JPA dan pihak luaran perlu

membaca, memahami dan mematuhi DKICT JPA;

b. mengetahui dan memahami implikasi keselamatan

ICT kesan dari tindakannya;

c. menjalani tapisan keselamatan sekiranya

dikehendaki berurusan dengan maklumat rasmi

terperingkat;

d. melaksanakan prinsip-prinsip DKICT dan menjaga

kerahsiaan maklumat JPA;

e. melaksanakan langkah-langkah perlindungan seperti

berikut:

i. menghalang pendedahan maklumat kepada

pihak yang tidak dibenarkan;

Pengguna


05 Februari 2013

Versi:

2.2

Muka Surat:

26 dari 114


ii. memeriksa maklumat dan menentukan ia

tepat dan lengkap dari semasa ke semasa;

iii. menentukan maklumat sedia untuk

digunakan;

iv. menjaga kerahsiaan kata laluan;

v. mematuhi standard, prosedur, langkah dan

garis panduan keselamatan ICT yang

ditetapkan;

vi. melaksanakan peraturan berkaitan maklumat

terperingkat terutama semasa pewujudan,

pemprosesan, penyimpanan, penghantaran,

penyampaian, pertukaran dan pemusnahan;

dan

vii. menjaga kerahsiaan langkah-langkah

keselamatan ICT dari diketahui umum.

f. melaporkan sebarang aktiviti yang mengancam

keselamatan ICT kepada ICTSO dengan segera;

g. menghadiri program-program kesedaran mengenai

keselamatan ICT; dan

h. menandatangani surat akuan pematuhan DKICT JPA

seperti di Lampiran 1.


05 Februari 2013

Versi:

2.2

Muka Surat:

27 dari 114


K02/01/07 Jawatankuasa Pemandu ICT (JPICT) JPA

Keanggotaan JPICT adalah seperti berikut:

Pengerusi:

CIO

Ahli:

Pengarah Bahagian Perkhidmatan

Pengarah Bahagian Pembangunan Organisasi

Pengarah INTAN

Pengarah Bahagian Pembangunan Modal Insan

Pengarah Bahagian Khidmat Pengurusan

Pangarah Bahagian Saraan

Pengarah Bahagian Pasca Perkhidmatan

Pengarah Bahagian Perancangan, Penyelidikan

dan Korporat

Pengarah Bahagian Pengurusan Psikologi

Pengarah Bahagian Pengurusan Maklumat

Timbalan Pengarah ICT Bahagian Pasca

Perkhidmatan (BP), BPM dan INTAN

Penasihat Undang-undang (PUU)

Ketua Unit Audit Dalam

ICTSO

Ahli-ahli Jemputan (bila perlu):

MAMPU

Perbendaharaan

Urusetia:

BPM

CIO


05 Februari 2013

Versi:

2.2

Muka Surat:

28 dari 114


Bidangkuasa:

a. Menetapkan arah tuju dan strategi ICT untuk

pelaksanaan ICT JPA;

b. merancang, menyelaras dan memantau

pelaksanaan program/projek ICT JPA;

c. menyelaras dan menyeragamkan pelaksanaan ICT

agar selari dengan Pelan Strategik Teknologi

Maklumat (PSTM) JPA dan PSTM Sektor Awam;

d. meluluskan projek-projek ICT;

e. mengikuti dan memantau perkembangan program

ICT serta memahami keperluan, masalah dan isu-

isu yang dihadapi dalam pelaksanaan ICT;

f. merancang dan menentukan langkah-langkah

keselamatan ICT;

g. mengemukakan perolehan ICT yang telah

diluluskan di peringkat JPICT JPA kepada

Jawatankuasa Teknikal ICT (JTICT) MAMPU untuk

kelulusan;

h. mengemukakan laporan kemajuan projek ICT yang

diluluskan kepada JTICT MAMPU; dan

i. menetapkan dasar dan prosedur pengurusan laman

web / portal JPA.


05 Februari 2013

Versi:

2.2

Muka Surat:

29 dari 114


K02/01/08 Jawatankuasa Keselamatan ICT (JKICT) JPA

Keanggotaan JKICT adalah seperti berikut:

Pengerusi:

ICTSO

Ahli:

Ketua JPACERT


– BPM, BP, dan INTAN.

Pentadbir Sistem (System Administrator)

– BPM, BP dan INTAN.

Pentadbir Sistem Aplikasi


Pentadbir Rangkaian Dan Keselamatan (Network And

Security Administrator)


Pentadbir Laman Web (Web Master)


Pentadbir Pangkalan Data (Database Administrator)


Pegawai Meja Bantuan (Helpdesk Officer)


Pegawai Latihan INTAN

Wakil Pegawai Keselamatan Jabatan JPA.

Urusetia:

BPM

ICTSO


05 Februari 2013

Versi:

2.2

Muka Surat:

30 dari 114


Bidang kuasa:

a. Menyelenggara dokumen DKICT JPA;

b. memantau tahap pematuhan DKICT JPA;

c. menilai aspek teknikal keselamatan projek-projek

ICT;

d. membangunkan garis panduan, prosedur dan

tatacara untuk aplikasi-aplikasi khusus dalam

jabatan yang mematuhi keperluan DKICT JPA;

e. menyemak semula sistem ICT supaya sentiasa

mematuhi keperluan keselamatan dari semasa ke

semasa;

f. menilai teknologi yang bersesuaian dan

mencadangkan penyelesaian terhadap keperluan

keselamatan ICT;

g. memastikan DKICT JPA selaras dengan dasar-dasar

ICT kerajaan semasa;

h. bekerjasama dengan JPACERT untuk mendapatkan

maklum balas dan insiden untuk tindakan

pengemaskinian DKICT JPA; dan

i. membincang tindakan yang melibatkan pelanggaran

DKICT JPA.

K02/01/09 Pasukan Tindak Balas Insiden Keselamatan ICT (JPACERT)

Keanggotaan JPACERT adalah seperti berikut:

Pengerusi:

KPP(M)TP


05 Februari 2013

Versi:

2.2

Muka Surat:

31 dari 114


KPP(M)TP

Ahli :

Pegawai Teknologi Maklumat


Penolong Pegawai Teknologi Maklumat


Urusetia:

BPM

Bidang kuasa:

a. Menerima dan mengesan aduan keselamatan ICT

dan menilai tahap dan jenis insiden;

b. merekod dan menjalankan siasatan awal insiden

yang diterima;

c. menangani tindak balas (response) insiden

keselamatan ICT dan mengambil tindakan baik pulih

minimum;

d. menghubungi dan melaporkan insiden yang berlaku

kepada ICTSO dan GCERT MAMPU sama ada sebagai

input atau untuk tindakan seterusnya;

e. merujuk agensi-agensi di bawah kawalannya untuk

mengambil tindakan pemulihan dan pengukuhan;

dan

f. melaporkan sebarang maklum balas dan insiden

keselamatan ICT kepada JKICT.


05 Februari 2013

Versi:

2.2

Muka Surat:

32 dari 114


K02/01/10 Jawatankuasa Pensijilan MS ISO/IEC 27001:2007 Pengurusan Sistem

Keselamatan Maklumat (ISMS) JPA

Keanggotaan jawatankuasa adalah seperti berikut:

Pengerusi:

Timbalan Pengarah Kanan INTAN (ICT).

Ahli:

Pasukan Pelaksana ISMS, BPM

Pasukan Pelaksana ISMS, BP

Pasukan Pelaksana ISMS, INTAN .

Urusetia:

INTAN Bukit Kiara

Bidang kuasa:

a. Merancang dan menyelaras pensijilan ISMS seperti:

i. rancang struktur organisasi ISMS;

ii. rancang kursus kesedaran ISMS;

iii. rancang skop ISMS;

iv. melaksanakan analisis jurang;

v. merancang jadual perbatuan ISMS;

vi. membantu Pelaksana ISMS menyediakan

penyataan dasar ISMS, Statement of

Applicability (SoA), penilaian risiko, risk

treatment plan, kaedah pengukuran kawalan

dan prosedur-prosedur ISMS; dan

vii. permohonan pensijilan.

b. mengemukakan isu dan masalah ISMS, jika ada; dan

Timbalan Pengarah

Kanan INTAN (ICT)


05 Februari 2013

Versi:

2.2

Muka Surat:

33 dari 114


c. membantu mengukur keberkesanan kawalan dan

pelaksanaan ISMS.

K02/01/11 Jawatankuasa Pelan Pemulihan Bencana (JKDRP) JPA

Keanggotaan JKDRP adalah seperti berikut:

Pengerusi:

TPB(P)ICT, BP.

Ahli:

Pasukan Pengurusan Bencana

BPM, BP dan INTAN.

Pasukan Operasi

BPM, BP dan INTAN.

Pasukan Teknikal dan Rangkaian

BKP, BPM, BP dan INTAN

Pasukan Komunikasi dan Fasiliti

BKP, BPM, BP dan INTAN

Urusetia:

BP

Bidang kuasa:

a. Membangunkan Dokumen Pelan Pemulihan Bencana

(DRP);

b. menyediakan kemudahan pemulihan bencana atau

Pusat Pemulihan Bencana (Disaster Recovery Centre,

DRC);

c. membuat penilaian ke atas masalah dan jangkaan

akibat bencana;

d. memaklumkan kepada Pengurusan Atasan

berkenaan bencana, kemajuan pemulihan bencana

TPB(P)ICT, BP


05 Februari 2013

Versi:

2.2

Muka Surat:

34 dari 114


dan masalah;

e. mengaktifkan prosedur pemulihan bencana;

f. mengkoordinasi operasi pemulihan;

g. memantau operasi pemulihan dan memastikan

jadual pemulihan dipatuhi;

h. mendokumentasikan operasi pemulihan; dan

i. mengkoordinasi simulasi pemulihan bencana.

K02/02 Pihak Luaran

K02/02/01 Keperluan Keselamatan Dalam Kontrak ICT

Perkara yang perlu dipatuhi:

a. Mengenal pasti risiko ke atas keselamatan maklumat

dan memastikan pelaksanaan kawalan yang sesuai

ke atas maklumat tersebut;

b. memastikan semua syarat keselamatan dinyatakan

dengan jelas dalam perjanjian dengan pihak ketiga;

c. akses kepada aset ICT JPA perlu berlandaskan

perjanjian kontrak. Perjanjian yang dimeterai perlu

mematuhi perkara-perkara berikut:

i. DKICT JPA;

ii. Tapisan Keselamatan;

iii. Arahan Teknologi Maklumat 2007

(IT Instructions);

iv. Perakuan Akta Rahsia Rasmi 1972; dan

v. Hak Harta Intelek.

d. menandatangani Surat Akuan Pematuhan DKICT JPA


Pengurus ICT,

Pentadbir Sistem


05 Februari 2013

Versi:

2.2

Muka Surat:

35 dari 114


e. Pihak luaran (pembekal, kontraktor, perunding dan

sebagainya) juga perlu menandatangani Borang KPKK

11 dan Declaration To Be Signed By Contractors,

Official Secrets Act (OSA) 1972 bagi perakuan untuk

tidak membocorkan sebarang maklumat rasmi yang

diperolehi sepanjang berkhidmat dengan JPA seperti

di Lampiran 4 dan 5.

Versi:

2.2

Muka Surat:

36 dari 114



05 Februari 2013

Kawalan 03: Pengurusan Aset

Objektif

Memberikan perlindungan keselamatan yang bersesuaian ke atas semua aset ICT JPA.

K03/01 Akauntabiliti Aset ICT

Memberi dan menyokong perlindungan yang bersesuaian ke atas semua aset ICT JPA.

Tanggungjawab yang perlu dipatuhi untuk memastikan semua aset ICT

dikawal dan dilindungi:

a. Memastikan semua aset ICT dikenal pasti, dikelas, didokumen,

diselenggara dan dilupuskan. Maklumat aset direkod dan dikemas kini

dalam Sistem Pengurusan Aset (SPA), Kad Daftar Harta Modal dan

Inventori sebagaimana mengikut Pekeliling Perbendaharaan Bil.5

Tahun 2007: Tatacara Pengurusan Aset Alih Kerajaan (TPA);

b. memastikan semua aset ICT mempunyai pemilik dan dikendalikan

oleh pengguna yang dibenarkan sahaja;

c. memastikan semua pengguna mengesahkan penempatan aset ICT

yang ditempatkan di JPA;

d. memastikan semua peraturan pengendalian aset dikenalpasti,

didokumen dan dilaksanakan; dan

e. setiap pengguna adalah bertanggungjawab ke atas semua aset ICT di

bawah kawalannya.

Pegawai Aset,

Pengguna

Versi:

2.2

Muka Surat:

37 dari 114



05 Februari 2013

K03/02 Pengelasan Maklumat

Maklumat hendaklah dikelaskan berasaskan nilai, keperluan

perundangan, tahap sensitiviti dan tahap kritikal kepada

JPA. Setiap maklumat yang dikelaskan mestilah mempunyai

peringkat keselamatan sebagaimana yang telah ditetapkan

di dalam dokumen Arahan Keselamatan seperti berikut:

a. Rahsia Besar;

b. Rahsia;

c. Sulit; atau

d. Terhad.

Pegawai Pengelas

K03/03 Pengendalian Maklumat

Aktiviti pengendalian maklumat seperti mengumpul,

memproses, menyimpan, menghantar, menyampai,

menukar dan memusnahkan hendaklah mengambil kira

langkah-langkah keselamatan berikut:

a. Menghalang pendedahan maklumat kepada pihak yang

tidak dibenarkan;

b. memeriksa maklumat dan menentukan ia tepat dan

lengkap dari semasa ke semasa;

c. menentukan maklumat sedia untuk digunakan;

d. menjaga kerahsiaan kata laluan;

e. mematuhi standard, prosedur, langkah dan garis

panduan keselamatan ICT yang ditetapkan;

Semua

Versi:

2.2

Muka Surat:

38 dari 114



05 Februari 2013

f. melaksanakan peraturan maklumat terperingkat

terutama semasa pewujudan, pemprosesan,

penyimpanan, penghantaran, penyampaian, pertukaran

dan pemusnahan; dan

g. menjaga kerahsiaan langkah-langkah keselamatan ICT

daripada diketahui umum.

Versi:

2.2

Muka Surat:

39 dari 114



05 Februari 2013

Kawalan 04: Keselamatan Sumber Manusia

Objektif

Memastikan semua sumber manusia yang terlibat termasuk warga JPA, pembekal, pakar

runding dan pihak-pihak yang berkepentingan memahami tanggungjawab dan peranan serta

meningkatkan pengetahuan dalam keselamatan aset ICT. Semua warga JPA hendaklah

mematuhi terma dan syarat perkhidmatan dan peraturan semasa yang berkuat kuasa.

K04/01 Sebelum Perkhidmatan

Memastikan warga JPA, pembekal, pakar runding dan

pihak-pihak lain yang berkepentingan memahami

tanggungjawab masing-masing ke atas keselamatan

aset ICT bagi meminimumkan risiko seperti kesilapan,

kecuaian, penipuan dan penyalahgunaan aset ICT.

Perkara yang mesti dipatuhi termasuk yang berikut:

a. Menyatakan dengan lengkap dan jelas peranan dan

tanggungjawab warga JPA, pembekal, pakar

runding dan pihak-pihak lain yang berkepentingan

ke atas keselamatan ICT sebelum, semasa dan

selepas perkhidmatan;

b. tapisan keselamatan untuk warga JPA,

c. menentukan keperluan bagi menandatangani

tapisan keselamatan oleh pembekal, pakar runding

dan pihak-pihak lain yang berkepentingan selaras

dengan keperluan tahap dan skop perkhidmatan;

dan

d. mematuhi terma dan syarat perkhidmatan yang

Pengurus ICT

Versi:

2.2

Muka Surat:

40 dari 114



05 Februari 2013

ditawarkan dan peraturan semasa yang berkuat

kuasa berdasarkan perjanjian yang telah

ditetapkan.

K04/02 Semasa Perkhidmatan

Memastikan warga JPA, pembekal, pakar runding dan

pihak-pihak lain yang berkepentingan sedar akan

ancaman keselamatan maklumat, peranan dan

tanggungjawab masing-masing untuk menyokong

DKICT JPA dan meminimumkan risiko kesilapan,

kecuaian, kecurian, penipuan dan penyalahgunaan aset

ICT.

Perkara yang perlu dipatuhi termasuk yang berikut:

a. Memastikan warga JPA, pembekal, pakar runding

dan pihak-pihak lain yang berkepentingan mengurus

keselamatan aset ICT berdasarkan perundangan dan

peraturan ditetapkan JPA;

b. memastikan latihan kesedaran dan yang berkaitan

mengenai pengurusan keselamatan aset ICT diberi

kepada warga JPA, dan sekiranya perlu diberi

kepada pembekal, pakar runding dan pihak-pihak

lain yang berkepentingan dari semasa ke semasa;

c. memastikan adanya proses tindakan disiplin

dan/atau undang-undang ke atas warga JPA,

pembekal, pakar runding dan pihak-pihak lain yang

berkepentingan sekiranya berlaku pelanggaran

dengan perundangan dan peraturan yang ditetapkan

JPA; dan

Pengurus ICT

Versi:

2.2

Muka Surat:

41 dari 114



05 Februari 2013

d. memantapkan pengetahuan berkaitan dengan

penggunaan aset ICT bagi memastikan setiap

kemudahan ICT digunakan dengan cara dan kaedah

yang betul demi menjamin kepentingan keselamatan

ICT.

K04/02/01 Program Kesedaran Keselamatan ICT

Setiap warga JPA, pembekal, pakar runding dan pihak-

pihak lain yang berkepentingan perlu diberikan program

kesedaran mengenai keselamatan ICT yang mencukupi

secara berterusan dalam melaksanakan tugas-tugas dan

tanggungjawab mereka.

Pengurus ICT

K04/03 Bertukar Atau Tamat Perkhidmatan

Memastikan pertukaran atau tamat perkhidmatan warga

JPA, pembekal, pakar runding dan pihak-pihak lain yang

berkepentingan diuruskan dengan teratur.

Perkara yang perlu dipatuhi termasuk:

a. Memastikan semua aset ICT dikembalikan kepada

jabatan mengikut peraturan dan/atau terma

perkhidmatan yang ditetapkan; dan

b. membatalkan atau meminda semua kebenaran

capaian ke atas maklumat dan kemudahan proses

maklumat mengikut peraturan yang ditetapkan JPA

dan/atau terma perkhidmatan.

Pengurus ICT

Versi:

2.2

Muka Surat:

42 dari 114



05 Februari 2013

Kawalan 05: Keselamatan Fizikal dan Persekitaran

Objektif

Melindungi premis dan maklumat daripada sebarang bentuk pencerobohan dan ancaman.

K05/01 Keselamatan Kawasan

K05/01/01 Kawasan Larangan Lokasi ICT

Kawasan larangan lokasi ICT bagi JPA ditakrifkan

sebagai kawasan yang dihadkan kemasukan bagi warga

JPA yang tertentu sahaja. Ini dilakukan untuk

melindungi aset ICT yang terdapat dalam premis

tersebut. Kawasan larangan lokasi ICT JPA adalah pusat

data BPM, BP dan INTAN.

Kawasan ini mestilah dilindungi daripada sebarang

ancaman, kelemahan dan risiko seperti pencerobohan,

kebakaran dan bencana alam. Kawalan keselamatan ke

atas premis tersebut adalah seperti berikut:

a. Sumber data atau server, peralatan komunikasi dan

storan perlu ditempatkan di pusat data, bilik server

atau bilik khas yang mempunyai ciri-ciri

keselamatan yang tinggi termasuk sistem pencegah

kebakaran;

b. akses adalah terhad kepada warga JPA yang telah

diberi kuasa sahaja dan dipantau pada setiap masa;

c. pemantauan dibuat menggunakan Closed-Circuit

Television (CCTV) kamera atau lain-lain peralatan

yang sesuai;

d. peralatan keselamatan (CCTV, log akses) perlu


Versi:

2.2

Muka Surat:

43 dari 114



05 Februari 2013

diperiksa secara berjadual;

e. butiran pelawat yang keluar masuk ke kawasan

larangan perlu direkodkan;

f. pelawat yang dibawa masuk mesti diawasi oleh

pegawai yang bertanggungjawab di sepanjang

tempoh di lokasi berkaitan;

g. lokasi premis ICT hendaklah tidak berhampiran

dengan kawasan pemunggahan dan laluan awam;

h. memperkukuhkan tingkap dan pintu serta dikunci

untuk mengawal kemasukan;

i. memperkukuhkan dinding dan siling;

j. menghadkan jalan keluar masuk;

k. mengadakan kaunter kawalan; dan

l. menyediakan tempat atau bilik khas untuk pelawat.

K05/01/02 Kawalan Masuk Fizikal

Perkara-perkara yang perlu dipatuhi termasuk yang

berikut:

a. Warga JPA

i. Semua warga hendaklah memakai atau

mengenakan pas keselamatan sepanjang waktu

bertugas; dan

ii. semua pas keselamatan hendaklah diserahkan

kembali kepada JPA apabila pengguna berhenti

atau bersara.

Versi:

2.2

Muka Surat:

44 dari 114



05 Februari 2013

b. Pelawat

i. Setiap pelawat hendaklah mendapatkan Pas

Keselamatan Pelawat di pintu masuk utama

premis-premis JPA. Pas ini hendaklah

dikembalikan semula selepas tamat lawatan.

c. Kehilangan pas mestilah dilaporkan dengan segera.

K05/01/03 Kawasan Larangan

Kawasan larangan ditakrifkan sebagai kawasan yang

dihadkan kemasukan kepada warga JPA yang tertentu

sahaja. Ini dilaksanakan untuk melindungi aset ICT

yang terdapat di dalam kawasan tersebut. Kawasan

larangan di JPA adalah Pusat-pusat Data (Data

Centres).

a. Akses kepada kawasan larangan hanyalah kepada

warga JPA yang dibenarkan sahaja; dan

b. pihak ketiga adalah dilarang sama sekali untuk

memasuki kawasan larangan kecuali, bagi kes-

kes tertentu seperti memberi perkhidmatan

sokongan atau bantuan teknikal, dan mereka

hendaklah diiringi sepanjang masa sehingga tugas

di kawasan berkenaan selesai.

Versi:

2.2

Muka Surat:

45 dari 114



05 Februari 2013

K05/02 Keselamatan Peralatan

K05/02/01 Peralatan ICT

a. Penggunaan kata laluan untuk akses ke sistem

komputer adalah diwajibkan;

b. pengguna bertanggungjawab sepenuhnya ke atas

komputer masing-masing dan tidak dibenarkan

membuat sebarang pertukaran perkakasan dan

konfigurasi yang telah ditetapkan;

c. pengguna dilarang membuat instalasi sebarang

perisian tambahan tanpa kebenaran Pentadbir

Sistem;

d. pengguna mesti memastikan perisian antivirus bagi

semua peralatan ICT yang dibekalkan oleh Jabatan

seperti komputer peribadi, notebook, server

termasuk alat komunikasi mudah alih (Personal

Digital Assistant, Blackberry, smartphone dan

sebagainya) yang berada di bawah tanggungjawab

mereka sentiasa aktif (activated) dan dikemas kini

di samping turut melakukan imbasan ke atas media

storan yang digunakan;

e. semua peralatan sokongan ICT hendaklah dilindungi

daripada sebarang kecurian, dirosakkan, diubahsuai

tanpa kebenaran dan salahguna;

f. aset ICT hendaklah disimpan di tempat yang

selamat dan sentiasa di bawah kawalan pegawai

yang bertanggungjawab. Arahan Keselamatan

Kerajaan hendaklah sentiasa dipatuhi bagi mengelak

berlakunya kerosakan atau kehilangan aset;

Pengguna, Pentadbir

Sistem, Pegawai

Aset,

Penyelaras ICT

Bahagian

Versi:

2.2

Muka Surat:

46 dari 114



05 Februari 2013

g. jika peralatan ICT tidak digunakan, peralatan

tersebut hendaklah disimpan di dalam almari /

kabinet / peti besi / stor atau bilik khas yang

berkunci untuk penyimpanan peralatan ICT;

h. peralatan-peralatan kritikal perlu disokong oleh UPS;

i. UPS yang berkuasa tinggi perlu diletakkan di bilik

yang berasingan bersuhu rendah yang dilengkapi

dengan pengudaraan yang sesuai;

j. semua perkakasan hendaklah disimpan atau

diletakkan di tempat yang teratur, bersih dan

mempunyai ciri-ciri keselamatan. Peralatan

rangkaian seperti switches, hub, router dan lain-lain

perlu diletakkan di dalam bilik atau rak berkunci;

k. semua peralatan yang digunakan secara berterusan

mestilah diletakkan di kawasan yang berhawa dingin

dan mempunyai pengudaraan (air ventilation) yang

sesuai;

l. peralatan ICT yang hendak dibawa keluar dari

premis JPA, perlulah mendapat kelulusan Pegawai

Aset atau Penyelaras ICT Bahagian bagi tujuan

pemantauan; dan

m. aset ICT yang hilang hendaklah dikendalikan

mengikut prosedur pelaporan insiden.

Versi:

2.2

Muka Surat:

47 dari 114



05 Februari 2013

K05/02/02 Media Storan

Media storan merupakan peralatan elektronik yang

digunakan untuk menyimpan data dan maklumat

seperti disket, cakera padat, pita magnetik dan media-

media storan lain.

Media-media storan perlu dipastikan berada dalam

keadaan yang baik, selamat, terjamin kerahsiaan,

integriti dan kebolehsediaan untuk digunakan.

Bagi menjamin keselamatan, langkah-langkah berikut

perlu diambil:

a. Semua media storan perlu dikawal bagi mencegah

dari capaian yang tidak dibenarkan, kecurian dan

kemusnahan;

b. bagi media yang hendak dilupuskan, semua

maklumat dalam media tersebut perlu dihapuskan

terlebih dahulu;

c. semua media storan data yang hendak dilupuskan

mesti dihapuskan dengan teratur dan selamat;

d. semua media storan yang mengandungi data kritikal

hendaklah disimpan di dalam peti (data safe) yang

mempunyai ciri-ciri keselamatan termasuk tahan

dari dipecahkan, api, air dan medan magnet;

e. storan dan peralatan backup hendaklah disimpan di

lokasi yang berasingan yang lebih privasi dan tidak

terbuka kepada umum. Akses untuk memasuki

kawasan penyimpanan media hendaklah terhad

Pentadbir Sistem,

Pegawai Aset

Versi:

2.2

Muka Surat:

48 dari 114



05 Februari 2013

kepada pengguna yang dibenarkan sahaja;

f. akses dan pergerakan kepada media storan perlu

direkodkan;

g. perkakasan backup (CD/DVD duplicator) hendaklah

diletakkan di tempat yang lebih privasi dan terhad

kepada pengguna yang dibenarkan sahaja; dan

h. sebarang kehilangan media storan yang berlaku

hendaklah dilaporkan mengikut Prosedur Pelaporan

Insiden.

K05/02/03 Media Tandatangan Digital

Sebarang media yang digunakan untuk tandatangan

digital hendaklah mematuhi langkah–langkah berikut:

a. Pengguna hendaklah bertanggungjawab sepenuhnya

bagi perlindungan daripada kecurian, kehilangan,

kerosakan, penyalahgunaan dan pengklonan;

b. tidak boleh dipindahmilik atau dipinjamkan; dan

c. sebarang kehilangan yang berlaku hendaklah

dilaporkan mengikut Prosedur Pelaporan Insiden.

Pentadbir Sistem,

Pengguna

K05/02/04 Media Perisian Dan Aplikasi

Sebarang media yang digunakan sebagai media perisian

dan aplikasi hendaklah mematuhi langkah–langkah

berikut:

a. Hanya perisian yang rasmi sahaja dibenarkan bagi

kegunaan jabatan;

Pengurus ICT,

Pegawai Aset,

Pentadbir Sistem

Versi:

2.2

Muka Surat:

49 dari 114



05 Februari 2013

b. sistem aplikasi dalaman tidak dibenarkan diagih / di

demontrasikan kepada pihak lain kecuali dengan

kebenaran Pengurus ICT;

c. lesen perisian (registration code, serials, CD-keys)

perlu disimpan berasingan daripada CD-ROM, disk

atau media berkaitan bagi mengelakkan dari

berlakunya kecurian atau cetak rompak; dan

d. source code sesuatu sistem hendaklah disimpan

dengan teratur dan sebarang pindaan mestilah

mengikut prosedur yang ditetapkan.

K05/02/05 Perkakasan Tanpa Penyeliaan (Unattended Equipment)

Pengguna perlu memastikan mana-mana perkakasan

yang ditinggalkan tanpa penyeliaan mematuhi ciri-ciri

keselamatan seperti mempunyai kata laluan dan

sebagainya.

Perkakasan hendaklah diselenggarakan dengan betul

bagi memastikan kebolehsediaan, kerahsiaan dan

integriti.

Pengguna

K05/02/06 Peralatan di Luar Premis

Perkakasan yang dibawa keluar dari premis JPA adalah

terdedah kepada pelbagai risiko.

Perkakasan yang dibawa keluar premis JPA

merangkumi:

Pentadbir Sistem

Versi:

2.2

Muka Surat:

50 dari 114



05 Februari 2013

a. Penggunaan perkakasan secara sementara bagi

keperluan mesyuarat, latihan dan sebagainya;

dan

b. penempatan perkakasan secara kekal di sesebuah

agensi lain.

Perkara-perkara yang perlu dipatuhi adalah seperti

berikut:

a. Peralatan perlu dilindungi dan dikawal sepanjang

masa; dan

b. penyimpanan atau penempatan peralatan

mestilah mengambil kira ciri-ciri keselamatan

yang bersesuaian.

K05/02/07 Pelupusan

Aset ICT yang hendak dilupuskan perlu mematuhi

tatacara pelupusan semasa. Langkah-langkah berikut

perlu diambil dalam memastikan peralatan ICT JPA

dilupuskan dengan teratur iaitu:

a. Pegawai Aset akan mengenal pasti sama ada

peralatan tertentu boleh dilupuskan atau

sebaliknya;

b. peralatan yang hendak dilupuskan hendaklah

disimpan di tempat yang telah dikhaskan;

c. data dan maklumat dalam aset ICT yang akan

dipindah milik atau dilupuskan hendaklah

dihapuskan secara kekal;

Pegawai Aset,

Pengguna

Versi:

2.2

Muka Surat:

51 dari 114



05 Februari 2013

d. pelupusan peralatan ICT boleh dilakukan secara

berpusat / tidak berpusat mengikut tatacara

pelupusan semasa yang berkuat kuasa;

e. sekiranya maklumat perlu disimpan, maka

pengguna boleh membuat salinan;

f. maklumat lanjut berhubung pelupusan bolehlah

merujuk kepada Pekeliling Perbendaharaan 5

Tahun 2007: Tatacara Pengurusan Aset Alih

Kerajaan (TPA); dan

g. pelupusan dokumen-dokumen hendaklah mengikut

prosedur keselamatan seperti mana Arahan

Keselamatan dan tatacara Jabatan Arkib Negara.

K05/02/08 Penyelenggaraan

Peralatan hendaklah diselenggarakan dengan betul bagi

memastikan kebolehsediaan, kerahsiaan dan integriti.

Langkah-langkah keselamatan yang perlu diambil

termasuklah seperti berikut:

a. Mematuhi spesifikasi yang ditetapkan oleh pengeluar

bagi semua perkakasan yang diselenggara;

b. memastikan perkakasan hanya diselenggara oleh

kakitangan atau pihak yang dibenarkan sahaja;

c. menyemak dan menguji semua perkakasan sebelum

dan selepas proses penyelenggaraan; dan

d. memaklumkan pihak pengguna sebelum

Pentadbir Sistem,

Pegawai Aset

Versi:

2.2

Muka Surat:

52 dari 114



05 Februari 2013

melaksanakan penyelenggaraan mengikut jadual

yang ditetapkan atau atas keperluan.

K05/03 Kawalan Persekitaran

K05/03/01 Kawalan Persekitaran

Bagi menghindarkan kerosakan dan gangguan terhadap

premis dan aset ICT, semua cadangan berkaitan premis

sama ada untuk perolehan, menyewa, mengubahsuai,

pembelian hendaklah dirujuk terlebih dahulu kepada

Pejabat Ketua Pegawai Keselamatan Kerajaan (KPKK).

Bagi menjamin keselamatan persekitaran, langkah-

langkah berikut hendaklah diambil:

a. Merancang dan menyediakan pelan keseluruhan

susun atur pusat data (bilik percetakan, peralatan

komputer dan ruang atur pejabat dan sebagainya)

dengan teliti;

b. semua ruang pejabat khususnya yang mempunyai

kemudahan ICT hendaklah dilengkapi dengan

perlindungan keselamatan yang mencukupi dan

dibenarkan seperti alat pencegah kebakaran dan

pintu kecemasan;

c. peralatan perlindungan hendaklah dipasang di

tempat yang bersesuaian, mudah dikenali dan

dikendalikan;

d. bahan mudah terbakar hendaklah disimpan di luar

kawasan kemudahan penyimpanan aset ICT;

Pengurus ICT

Versi:

2.2

Muka Surat:

53 dari 114



05 Februari 2013

e. semua bahan cecair hendaklah diletakkan di tempat

yang bersesuaian dan berjauhan dari aset ICT;

f. pengguna adalah dilarang merokok atau

menggunakan peralatan memasak seperti cerek

elektrik berhampiran peralatan komputer; dan

g. semua peralatan perlindungan keselamatan dan

kebakaran hendaklah diselenggara bagi memastikan

ianya dapat berfungsi dengan baik.

K05/03/02 Kabel Rangkaian

a. Semua kabel perlu dilabelkan dengan jelas dan

mestilah melalui trunking bagi memastikan

keselamatan kabel daripada kerosakan dan pintasan

maklumat;

b. menggunakan kabel mengikut spesifikasi yang telah

ditetapkan; dan

c. melindungi laluan pemasangan kabel sepenuhnya

bagi mengelakkan ancaman kerosakan dan wire

tapping.

Pentadbir Rangkaian

K05/03/03 Bekalan Kuasa

Langkah-langkah seperti berikut perlu diambil dalam

memastikan keselamatan bekalan kuasa:

a. Semua peralatan ICT hendaklah dilindungi dari

kegagalan bekalan elektrik dan bekalan yang sesuai

hendaklah disalurkan kepada peralatan ICT;

b. peralatan sokongan seperti UPS dan penjana

Pengurus ICT

Versi:

2.2

Muka Surat:

54 dari 114



05 Februari 2013

(generator) boleh digunakan bagi perkhidmatan

kritikal seperti di bilik server supaya mendapat

bekalan kuasa berterusan; dan

c. semua peralatan sokongan bekalan kuasa hendaklah

disemak dan diuji secara berjadual.

K05/03/04 Prosedur Kecemasan


berikut:

a. Setiap pengguna hendaklah membaca, memahami

dan mematuhi prosedur kecemasan dengan

merujuk kepada Garis Panduan Pelan Tindakan dan

Kecemasan JPA; dan

b. kecemasan persekitaran seperti kebakaran

hendaklah dilaporkan kepada Pegawai

Keselamatan Kebakaran yang dilantik mengikut

aras.

Pengguna,

Pegawai

Keselamatan

Kebakaran

K05/04 Keselamatan Sistem Dokumentasi

Langkah-langkah seperti berikut perlu diambil dalam

memastikan keselamatan sistem dokumentasi:

a. Memastikan sistem penyimpanan dokumentasi

mempunyai ciri-ciri keselamatan;

b. mengawal dan merekodkan semua aktiviti capaian

dokumentasi sedia ada;

c. setiap dokumen hendaklah difail dan dilabelkan

mengikut klasifikasi keselamatan seperti Terbuka,

Pentadbir Sistem,

Pentadbir Fail

Versi:

2.2

Muka Surat:

55 dari 114



05 Februari 2013

Terhad, Sulit, Rahsia atau Rahsia Besar;

d. pergerakan fail dan dokumen hendaklah direkodkan

dan perlulah mengikut prosedur keselamatan;

e. kehilangan dan kerosakan ke atas semua jenis

dokumen perlu dimaklumkan mengikut prosedur

Arahan Keselamatan; dan

f. menggunakan enkripsi (encryption) ke atas

dokumen rahsia rasmi yang disediakan, disimpan

dan dihantar secara elektronik.

Versi:

2.2

Muka Surat:

56 dari 114



05 Februari 2013

Kawalan 06: Pengurusan Operasi dan Komunikasi

Objektif

Memastikan pengurusan operasi dan kemudahan pemprosesan maklumat berfungsi dengan

betul dan selamat daripada sebarang ancaman dan gangguan.

K06/01 Prosedur Operasi

K06/01/01 Pengendalian Dokumen Prosedur Operasi

a. Semua prosedur operasi ICT yang diwujud, dikenal

pasti dan masih diguna pakai hendaklah

didokumenkan, disimpan dan dikawal;

b. setiap prosedur mestilah mengandungi arahan-arahan

yang jelas, teratur dan lengkap; dan

c. semua prosedur hendaklah dikemas kini dari masa ke

semasa atau mengikut keperluan.

Pentadbir Sistem

K06/01/02 Pengurusan Perubahan

a. Pengubahsuaian melibatkan perkakasan, sistem

pemprosesan maklumat, perisian dan prosedur

mestilah mendapat kebenaran Pengurus ICT, pegawai

atasan atau pemilik aset ICT terlebih dahulu;

b. aktiviti-aktiviti seperti memasang, menyelenggara,

menghapus dan mengemaskini mana-mana komponen

sistem ICT hendaklah dikendalikan oleh pihak atau

pegawai yang diberi kuasa dan mempunyai

pengetahuan atau terlibat secara langsung dengan

aset ICT berkenaan;

c. semua aktiviti pengubahsuaian komponen sistem ICT

Pentadbir Sistem

Versi:

2.2

Muka Surat:

57 dari 114



05 Februari 2013

hendaklah mematuhi spesifikasi perubahan yang telah

ditetapkan; dan

d. semua aktiviti perubahan atau pengubahsuaian

hendaklah direkod dan dikawal bagi mengelakkan

berlakunya ralat sama ada secara sengaja atau

sebaliknya.

K06/01/03 Pengasingan Tugas dan Tanggungjawab


berikut:

a. Skop tugas dan tanggungjawab perlu diasingkan bagi

mengurangkan peluang berlaku penyalahgunaan atau

pengubahsuaian yang tidak dibenarkan ke atas aset

ICT;

b. tugas mewujud, memadam, mengemas kini,

mengubah dan mengesahkan data hendaklah

dilakukan oleh pegawai yang berlainan bagi

mengelakkan daripada capaian yang tidak dibenarkan

serta melindungi aset ICT daripada kesilapan,

kebocoran maklumat terperingkat atau dimanipulasi;

dan

c. perkakasan dan rangkaian yang digunakan bagi tugas

membangun, mengemaskini, dan menguji aplikasi

hendaklah diasingkan dari perkakasan dan rangkaian

yang digunakan di dalam persekitaran production.

Pengurus ICT,

Pentadbir Sistem

Versi:

2.2

Muka Surat:

58 dari 114



05 Februari 2013

K06/01/04 Prosedur Pengurusan Insiden

JPACERT menerima aduan atau laporan daripada

pengguna, laporan yang dikesan dari PRISMA atau

laporan dari sumber luar. Seterusnya, maklumat tentang

insiden akan didaftarkan. Siasatan awal atau kajian perlu

dijalankan bagi mengenal pasti jenis insiden tersebut.

Laporan insiden kemudiannya dimaklumkan kepada

GCERT MAMPU. Sekiranya insiden tersebut memerlukan

tindakan undang-undang susulan, laporan dipanjangkan

kepada agensi penguatkuasa undang-undang.

JPACERT yang diketuai oleh ICTSO akan menjalankan

tindakan pengendalian secara capaian jauh (remote) atau

on-site. Sekiranya laporan tersebut memerlukan bantuan

GCERT MAMPU, permohonan akan dihantar bagi

mendapatkan maklum balas GCERT MAMPU.

Bagi laporan yang memerlukan bantuan daripada CERT

agensi yang lain, permohonan akan dihantar melalui

GCERT MAMPU dan khidmat nasihat akan disalurkan.

JPACERT seterusnya akan menyediakan laporan dan

ICTSO mengesahkan sekiranya Pelan Kesinambungan

Perkhidmatan (PKP) perlu diaktifkan atau sebaliknya.

Pengesahan akan dihantar kepada CIO bagi mengaktifkan

PKP.

Laporan insiden yang tidak memerlukan BCP akan

diteruskan dengan melaksanakan tindakan bagi tujuan

pemulihan.

Carta lengkap mengenai perjalanan laporan insiden


Semua

Versi:

2.2

Muka Surat:

59 dari 114



05 Februari 2013

K06/02 Perancangan dan Penerimaan Sistem

K06/02/01 Perancangan Kapasiti

a. Kapasiti sesuatu komponen atau sistem ICT hendaklah

dirancang, diurus dan dikawal dengan teliti oleh

pegawai yang berkenaan bagi memastikan

keperluannya adalah mencukupi dan bersesuaian

untuk pembangunan dan kegunaan sistem ICT pada

masa akan datang; dan

b. keperluan kapasiti ini juga perlu mengambil kira ciri-

ciri keselamatan ICT bagi meminimumkan risiko

seperti gangguan pada perkhidmatan dan kerugian

akibat pengubahsuaian yang tidak dirancang.

Pentadbir Sistem

K06/02/02 Penerimaan Sistem

Semua sistem baru (termasuklah sistem yang dikemas

kini atau diubahsuai) hendaklah memenuhi kriteria yang

ditetapkan sebelum diterima atau dipersetujui.

Pentadbir Sistem

K06/03 Perlindungan dari Perisian Berbahaya

K06/03/01 Perlindungan dari Perisian Berbahaya

Perkara-perkara yang perlu dilaksanakan bagi

memastikan perlindungan aset ICT dari perisian

berbahaya:

a. Memasang sistem keselamatan untuk mengesan

perisian atau program berbahaya seperti antivirus,

Intrusion Detection System (IDS) dan Intrusion

Prevention System (IPS) mengikut prosedur

penggunaan yang betul dan selamat;

b. memasang dan menggunakan hanya perisian yang

Pentadbir Sistem,

Pengguna

Versi:

2.2

Muka Surat:

60 dari 114



05 Februari 2013

tulen;

c. mengimbas semua perisian, sistem, media storan dan

kepilan fail dengan antivirus yang telah disediakan

oleh Jabatan sebelum menggunakannya;

d. memastikan paten antivirus pada peralatan ICT

dikemaskini dengan versi terkini;

e. menyemak kandungan sistem atau maklumat secara

berkala bagi mengesan aktiviti yang tidak diingini

seperti kehilangan dan kerosakan maklumat;

f. menghadiri program kesedaran mengenai ancaman

perisian berbahaya dan cara mengendalikannya;

g. memasukkan klausa tanggungan di dalam mana-

mana kontrak yang telah ditawarkan kepada

pembekal perisian. Klausa ini bertujuan untuk

tuntutan baik pulih sekiranya perisian tersebut

mengandungi program berbahaya; dan

h. mengadakan program dan prosedur jaminan kualiti ke

atas semua perisian yang dibangunkan.

K06/03/02 Perlindungan dari Mobile Code

Penggunaan mobile code yang boleh mendatangkan

ancaman keselamatan ICT adalah tidak dibenarkan.

Semua

K06/04 Housekeeping

K06/04/01 Backup

Bagi memastikan sistem dapat dibangunkan semula

setelah berlakunya bencana, backup seperti yang

dibutirkan hendaklah dilakukan setiap kali konfigurasi

Pentadbir Sistem

Versi:

2.2

Muka Surat:

61 dari 114



05 Februari 2013

berubah. Backup hendaklah direkodkan dan disimpan di

off site, di samping melaksanakan perkara-perkara

berikut:

a. Membuat salinan keselamatan ke atas semua sistem

perisian dan aplikasi sekurang-kurangnya sekali atau

setelah mendapat versi terbaru;

b. membuat backup ke atas semua data dan maklumat

mengikut keperluan operasi;

c. menguji sistem backup sedia ada dan bagi

memastikan ianya dapat berfungsi dengan sempurna,

boleh dipercayai dan berkesan apabila digunakan

khususnya pada waktu kecemasan; dan

d. backup dilaksanakan secara harian, mingguan,

bulanan dan tahunan. Kekerapan backup bergantung

pada tahap kritikal maklumat dan hendaklah disimpan

sekurang-kurangnya tiga (3) generasi.

K06/05 Pengurusan Rangkaian

Infrastruktur rangkaian perlu dikawal dan diuruskan

sebaik mungkin demi melindungi ancaman kepada sistem

dan aplikasi di dalam rangkaian.

Langkah-langkah bagi menangani ancaman ke atas

rangkaian adalah seperti berikut:

a. Semua tanggungjawab atau kerja-kerja operasi

rangkaian dan komputer hendaklah diasingkan untuk

mengurangkan capaian dan pengubahsuaian yang

tidak dibenarkan;

Pentadbir Rangkaian

Versi:

2.2

Muka Surat:

62 dari 114



05 Februari 2013

b. capaian kepada peralatan rangkaian hendaklah

dikawal dan terhad kepada pengguna yang dibenarkan

sahaja;

c. semua capaian kepada Internet dan sistem aplikasi

mestilah melalui firewall;

d. memasang perisian IPS bagi mengesan dan

menghalang sebarang cubaan menceroboh dan

aktiviti-aktiviti lain yang boleh mengancam sistem dan

maklumat JPA;

e. memasang Web Content Filter pada Internet Gateway

untuk menyekat aktiviti yang dilarang;

f. sebarang penyambungan rangkaian yang bukan di

bawah kawalan JPA adalah tidak dibenarkan; dan

g. kemudahan bagi wireless LAN perlu dipastikan

kawalan keselamatan.

K06/06 Pengurusan Media

K06/06/01 Media Mudah Alih

Penghantaran atau pemindahan media ke luar pejabat

hendaklah mendapat kebenaran daripada Pengurus ICT

terlebih dahulu.

Pengguna

K06/06/02 Prosedur Pengendalian Media

Di antara prosedur-prosedur pengendalian media

termasuk:

a. Melabelkan semua media mengikut tahap sensitiviti

sesuatu maklumat;

Pentadbir Sistem,

Pengguna

Versi:

2.2

Muka Surat:

63 dari 114



05 Februari 2013

b. menghadkan dan menentukan capaian media kepada

pengguna yang dibenarkan sahaja;

c. menghadkan pengedaran data atau media untuk

tujuan yang dibenarkan sahaja;

d. mengawal dan merekodkan aktiviti penyelenggaraan

media bagi mengelak dari sebarang kerosakan dan

pendedahan yang tidak dibenarkan; dan

e. media yang mengandungi maklumat terperingkat

hendaklah dihapus atau dimusnahkan mengikut

peraturan dan prosedur yang betul dan selamat.

K06/07 Pengurusan Penghantaran dan Penerimaan Maklumat

Ianya bertujuan untuk memastikan keselamatan

penghantaran dan penerimaan maklumat dan perisian

dalam agensi dan mana-mana entiti luar terjamin.

a. Polisi, prosedur dan kawalan penghantaran dan

penerimaan maklumat yang formal perlu diwujudkan

untuk melindungi maklumat melalui penggunaan

pelbagai jenis kemudahan komunikasi;

b. perjanjian perlu diwujudkan untuk penghantaran dan

penerimaan maklumat dan perisian di antara JPA

dengan pihak luar;

c. media yang mengandungi maklumat perlu dilindungi

daripada capaian yang tidak dibenarkan,

penyalahgunaan atau kerosakan semasa pemindahan

dan penerimaan;

Pentadbir Sistem

Versi:

2.2

Muka Surat:

64 dari 114



05 Februari 2013

d. maklumat yang terdapat dalam mel elektronik perlu

dilindungi sebaik-baiknya; dan

e. polisi dan prosedur perlu dibangunkan dan

dilaksanakan bagi melindungi maklumat yang

berhubung kait dengan sistem maklumat JPA.

K06/08 Pengurusan Mel Elektronik (E-mel)

Penggunaan e-mel di JPA hendaklah dipantau secara

berterusan oleh Pentadbir E-mel untuk memenuhi

keperluan etika penggunaan e-mel dan Internet. Di

antara prosedur-prosedur pengurusan e-mel termasuk:

a. Menghadkan jenis dan saiz fail lampiran bagi tujuan

mengelakkan jangkitan virus dan serangan e-mel

bombing;

b. penghantaran dokumen rasmi hendaklah

menggunakan e-mel rasmi jabatan sahaja;

c. penggunaan e-mel JPA bagi tujuan peribadi adalah

tidak dibenarkan;

d. pentadbir e-mel perlu menetapkan had minimum

kuota mailbox;

e. pembersihan e-mel hendaklah dibuat sekiranya

mailbox didapati tidak aktif selama satu (1) bulan;

f. penghantaran lampiran dalam format / extension

“ *.exe, *.bat ” dan “ *.com” tidak dibenarkan;

g. hanya warga JPA sahaja boleh dipertimbangkan untuk

mendapat kemudahan e-mel rasmi jabatan;

Pentadbir E-mel,

Penyelaras ICT

Bahagian

Versi:

2.2

Muka Surat:

65 dari 114



05 Februari 2013

h. penyelaras ICT Bahagian perlu memaklumkan

sebarang status pengguna (bertukar jabatan,

bersara, diberhentikan, tidak dapat dikesan, bertukar

keluar atau masuk ke JPA) di bahagian masing-

masing bagi tujuan pengemaskinian e-mel yang

terlibat;

i. menggunakan kaedah inovatif dalam penghantaran

fail bersaiz besar seperti menggunakan kaedah muat

turun fail dengan memaklumkan lokasi Universal

Resource Location (URL) atau kaedah pemampatan

untuk mengurangkan saiz fail dengan memastikan

ciri-ciri keselamatan dilaksanakan;

j. e-mel rasmi yang dihantar atau diterima hendaklah

disimpan mengikut tatacara pengurusan sistem fail

elektronik yang bersesuaian;dan

k. menggunakan enkripsi bagi dokumen terperingkat

yang dihantar secara elektronik.

K06/09 Perkhidmatan E-Dagang

Bertujuan untuk memastikan keselamatan perkhidmatan

e-dagang dan penggunaannya.

a. Maklumat yang terlibat dalam e-dagang perlu

dilindungi daripada aktiviti penipuan, pertikaian

kontrak dan pendedahan serta pengubahsuaian yang

tidak dibenarkan;

b. maklumat yang terlibat dalam transaksi dalam talian

(on-line) perlu dilindungi bagi mengelak penghantaran

yang tidak lengkap, salah destinasi, pengubahsuaian,

Pentadbir Sistem,

Pengguna

Versi:

2.2

Muka Surat:

66 dari 114



05 Februari 2013

pendedahan, duplikasi atau pengulangan mesej yang

tidak dibenarkan; dan

c. integriti maklumat yang disediakan untuk sistem yang

boleh dicapai oleh orang awam atau pihak lain yang

berkepentingan hendaklah dilindungi untuk mencegah

sebarang pindaan yang tidak diperakukan.

K06/10 Paparan Maklumat Umum

Perkara-perkara yang perlu dipatuhi dalam memastikan

keselamatan maklumat umum adalah seperti berikut:

a. Memastikan sistem yang boleh diakses oleh orang

awam diuji terlebih dahulu;

b. memastikan segala maklumat yang hendak

dipaparkan telah disah dan diluluskan sebelum

dimuat naik ke laman web; dan

c. memastikan perisian, data dan maklumat dilindungi

dengan mekanisme yang bersesuaian.

Semua

K06/11 Pengurusan Penyampaian Perkhidmatan Pembekal, Pakar Runding dan

Pihak-Pihak Lain Yang Terlibat

Memastikan pelaksanaan dan penyelenggaraan tahap

keselamatan maklumat dan penyampaian perkhidmatan

yang sesuai selaras dengan perjanjian perkhidmatan

dengan pembekal, pakar runding dan pihak-pihak lain

yang terlibat.

Perkara-perkara yang mesti dipatuhi adalah seperti

berikut:

Pengurus ICT,

Pentadbir Sistem

Versi:

2.2

Muka Surat:

67 dari 114



05 Februari 2013

a. Memasukkan kawalan keselamatan, definisi

perkhidmatan dan tahap penyampaian yang

terkandung dalam perjanjian dipatuhi, dilaksanakan

dan disenggarakan oleh pembekal, pakar runding dan

pihak-pihak lain yang terlibat;

b. perkhidmatan, laporan dan rekod yang dikemukakan

oleh pembekal, pakar runding dan pihak-pihak lain

yang terlibat perlu sentiasa dipantau, disemak semula

dan diaudit dari masa ke semasa; dan

c. pengurusan ke atas perubahan penyediaan

perkhidmatan termasuk menyelenggara dan

menambah baik polisi keselamatan, prosedur dan

kawalan maklumat sedia ada, perlu mengambil kira

tahap kritikal sistem dan proses yang terlibat serta

penilaian semula risiko.

K06/12 Pemantauan

K06/12/01 Pemantauan

Ianya bertujuan untuk memastikan pengesanan aktiviti

pemprosesan maklumat yang tidak dibenarkan, di

antaranya seperti berikut:

a. Log Audit yang merekodkan semua aktiviti perlu

dihasilkan dan disimpan untuk tempoh masa yang

dipersetujui bagi membantu siasatan dan memantau

kawalan capaian;

b. prosedur untuk memantau penggunaan kemudahan

memproses maklumat perlu diwujud dan hasilnya

Pentadbir Sistem

Versi:

2.2

Muka Surat:

68 dari 114



05 Februari 2013

perlu dipantau secara berkala;

c. kemudahan merekod dan maklumat log perlu

dilindungi daripada diubahsuai dan sebarang capaian

yang tidak dibenarkan.

d. aktiviti pentadbiran dan operator sistem perlu

direkodkan;

e. kesalahan, kesilapan dan / atau penyalahgunaan perlu

dilog, dianalisis dan diambil tindakan sewajarnya; dan

f. masa yang berkaitan dengan sistem pemprosesan

maklumat dalam JPA perlu diselaraskan dengan satu

sumber masa yang dipersetujui.

K06/12/02 Pengauditan dan Forensik ICT

JPACERT mestilah bertanggungjawab merekod dan

menganalisis:

a. Sebarang percubaan pencerobohan kepada sistem ICT

JPA;

b. serangan kod perosak (malicious code), halangan

pemberian perkhidmatan (denial of service), spam,

pemalsuan (forgery), pencerobohan (intrusion)

ancaman (threats) dan kehilangan fizikal (physical

loss);

c. pengubahsuaian ciri-ciri perkakasan, perisian atau

mana-mana komponen sesebuah sistem tanpa

pengetahuan, arahan atau persetujuan mana-mana

pihak;

JPACERT, ICTSO,

Pentadbir Sistem,

Versi:

2.2

Muka Surat:

69 dari 114



05 Februari 2013

d. aktiviti melayari, menyimpan atau mengedar bahan-

bahan lucah, berunsur fitnah dan propaganda anti

kerajaan;

e. aktiviti pewujudan perkhidmatan-perkhidmatan yang

tidak dibenarkan;

f. aktiviti instalasi dan penggunaan perisian yang

membebankan bandwidth rangkaian;

g. aktiviti penyalahgunaan akaun e-mel; dan

h. aktiviti penukaran IP address selain daripada yang

telah diperuntukkan tanpa kebenaran Pentadbir

Rangkaian.

Langkah-langkah yang perlu diambil adalah seperti

berikut:

a. JPACERT akan menentukan prosedur pengumpulan

bahan bukti (hard disk/media storan) yang berkenaan

bagi memastikan kesahihan ke atas sesuatu laporan

yang akan disediakan;

b. proses forensik dan pengauditan aset ICT mestilah

dilakukan di tempat yang selamat; dan

c. sekiranya hasil siasatan mensabitkan kesalahan

kepada tertuduh, format laporan khas perlu

disediakan.

Semua proses dan hasil siasatan adalah SULIT.

Versi:

2.2

Muka Surat:

70 dari 114



05 Februari 2013

K06/12/03 Jejak Audit

Setiap sistem mestilah mempunyai jejak audit. Jejak

audit merekod aktiviti-aktiviti yang berlaku dalam sistem

secara kronologi bagi membenarkan pemeriksaan dan

pembinaan semula dilakukan berdasarkan susunan dan

perubahan dalam sesuatu acara.

Jejak audit hendaklah mengandungi ciri-ciri berikut:

a. Rekod setiap aktiviti transaksi;

b. maklumat jejak audit mengandungi identiti pengguna,

sumber yang digunakan, perubahan maklumat, tarikh

dan masa aktiviti, rangkaian dan aplikasi yang

digunakan;

c. aktiviti capaian pengguna ke atas sistem ICT sama

ada secara sah atau sebaliknya; dan

d. maklumat aktiviti sistem yang tidak normal atau

aktiviti yang tidak mempunyai ciri-ciri keselamatan.

Jejak audit hendaklah disimpan untuk tempoh masa

seperti yang disarankan oleh Akta Arkib Negara.

Pentadbir Sistem hendaklah menyemak catatan jejak

audit dari masa ke semasa dan menyediakan laporan jika

perlu. Ini akan dapat membantu mengesan aktiviti yang

tidak normal dengan lebih awal. Jejak audit juga perlu

dilindungi dari kerosakan, kehilangan, penghapusan,

pemalsuan dan pengubahsuaian yang tidak dibenarkan.

Pentadbir Sistem

Versi:

2.2

Muka Surat:

71 dari 114



05 Februari 2013

K06/12/04 Sistem Log

Fail log hendaklah disimpan untuk tempoh sekurang-

kurangnya enam (6) bulan. Jenis fail log bagi server dan

aplikasi yang perlu diaktifkan adalah seperti berikut:

i. Fail log sistem pengoperasian;

ii. Fail log servis (contoh: web, e-mel);

iii. Fail log aplikasi (audit trail); dan

iv. Fail log rangkaian (contoh: switch, firewall, IPS)

Pentadbir Sistem ICT hendaklah melaksanakan perkara-

perkara berikut:

a. Mewujudkan sistem log bagi merekodkan semua

aktiviti harian pengguna;

b. menyemak sistem log secara berkala bagi mengesan

ralat yang menyebabkan gangguan kepada sistem dan

mengambil tindakan membaik pulih dengan segera;

dan

c. sekiranya wujud aktiviti-aktiviti tidak sah lain seperti

kecurian maklumat dan pencerobohan, hendaklah

dilaporkan kepada ICTSO.

Pentadbir Sistem

Versi:

2.2

Muka Surat:

72 dari 114



05 Februari 2013

Kawalan 07: Kawalan Capaian

Objektif

Memahami dan mematuhi keperluan keselamatan dalam mencapai dan menggunakan aset ICT.

K07/01 Kawalan Capaian

Capaian kepada proses dan maklumat hendaklah dikawal

mengikut keperluan keselamatan dan fungsi kerja

pengguna yang berbeza. Ia perlu direkodkan, dikemas

kini dan menyokong dasar kawalan capaian pengguna

sedia ada.

Pentadbir Sistem

K07/02 Pengurusan Capaian Pengguna

K07/02/01 Pendaftaran Pengguna

Pengguna adalah bertanggungjawab ke atas sistem ICT

yang digunakan. Bagi mengenal pasti pengguna dan

aktiviti yang dilakukan, Pentadbir Sistem perlu mengambil

langkah-langkah berikut:

a. Akaun yang diperuntukkan oleh jabatan sahaja boleh

digunakan;

b. akaun user id hendaklah mencerminkan identiti

pengguna;

c. pemilikan akaun pengguna bukanlah hak mutlak

seseorang dan ia tertakluk kepada peraturan jabatan.

Akaun boleh ditarik balik jika kaedah penggunaannya

melanggar peraturan;

d. penggunaan akaun milik orang lain atau akaun yang

dikongsi bersama adalah dilarang; dan

Pentadbir Sistem,

Pengguna

Versi:

2.2

Muka Surat:

73 dari 114



05 Februari 2013

e. Pentadbir Sistem boleh membeku dan menamatkan

akaun pengguna atas sebab-sebab berikut:

i. Pengguna bercuti panjang atau menghadiri kursus di

luar pejabat dalam tempoh waktu melebihi sebulan;

ii. bertukar bidang tugas kerja;

iii. bertukar ke agensi lain;

iv. bersara; atau

v. ditamatkan perkhidmatan.

K07/02/02 Hak Capaian (Privilege)

Penetapan dan penggunaan ke atas hak capaian perlu

diberi kawalan dan penyeliaan yang ketat.

Keperluan capaian hendaklah sentiasa dipantau dan

dikemas kini bagi memastikan hak capaian ini diberikan

kepada pegawai dan kakitangan yang dibenarkan sahaja.

Pentadbir Sistem

K07/02/03 Pengurusan Kata Laluan

Pemilihan, penggunaan dan pengurusan kata laluan

sebagai laluan utama bagi mencapai maklumat dan data

dalam sistem mestilah mematuhi amalan terbaik serta

prosedur yang ditetapkan oleh JPA seperti berikut:

a. Dalam apa jua keadaan dan sebab, kata laluan

hendaklah dilindungi dan tidak boleh dikongsi dengan

sesiapa pun;

b. pengguna hendaklah menukar kata laluan apabila

disyaki berlakunya kebocoran kata laluan atau

dikompromi;

Pentadbir Sistem

Pengguna

Versi:

2.2

Muka Surat:

74 dari 114



05 Februari 2013

c. panjang kata laluan mestilah sekurang-kurangnya

lapan (8) aksara dengan gabungan antara huruf dan

nombor (alphanumerik) serta aksara khusus;

d. kata laluan hendaklah diingat dan tidak boleh dicatat,

disimpan atau didedahkan dengan apa cara sekalipun;

e. kata laluan windows hendaklah diaktifkan

terutamanya pada komputer yang terletak di ruang

gunasama;

f. kata laluan hendaklah tidak dipaparkan semasa input,

dalam laporan atau media lain dan tidak boleh

dikodkan di dalam program;

g. kuatkuasakan pertukaran kata laluan semasa login

kali pertama atau selepas login kali pertama atau

selepas kata laluan diset semula;

h. kata laluan hendaklah berlainan daripada pengenalan

identiti pengguna;

i. had kemasukan katalaluan bagi capaian kepada

sistem aplikasi adalah maksimum tiga (3) kali sahaja.

Setelah mencapai tahap maksimum, capaian kepada

sistem akan disekat sehingga id capaian diaktifkan

semula;

j. penggunaan kata laluan lama semasa proses

penukaran kata laluan tidak dibenarkan;

k. kata laluan hendaklah disimpan dalam bentuk yang

telah dienkripkan; dan

l. sistem yang dibangunkan mestilah mempunyai

Versi:

2.2

Muka Surat:

75 dari 114



05 Februari 2013

kemudahan menukar kata laluan oleh pengguna.

K07/02/04 Clear Desk dan Clear Screen

Prosedur Clear Desk dan Clear Screen perlu dipatuhi

supaya maklumat dalam apa jua bentuk media disimpan

dengan teratur dan selamat bagi mengelakkan kerosakan,

kecurian atau kehilangan.

Perkara-perkara yang mesti dipatuhi termasuk yang

berikut:

a. Menggunakan kemudahan password screen saver atau

log out apabila meninggalkan komputer;

b. menyimpan bahan-bahan sensitif di dalam laci atau

kabinet fail yang berkunci; dan

c. memastikan semua dokumen diambil segera dari

pencetak, pengimbas, mesin faksimili dan mesin

fotostat.

Pengguna

K07/03 Capaian Sistem Pengoperasian

K07/03/01 Capaian Sistem Pengoperasian

Kawalan capaian sistem pengoperasian perlu bagi

mengelakkan sebarang capaian komputer yang tidak

dibenarkan.

Kemudahan keselamatan dalam sistem operasi perlu

digunakan untuk menghalang capaian ke sumber sistem

komputer. Kemudahan ini juga perlu bagi:

a. Mengenal pasti identiti, terminal atau lokasi bagi

setiap pengguna yang dibenarkan;

Pentadbir

Sistem

Versi:

2.2

Muka Surat:

76 dari 114



05 Februari 2013

b. merekodkan capaian yang berjaya dan gagal;

c. membekalkan kemudahan untuk pengesahan (bagi

sistem kata laluan kunci digunakan, kualiti kata kunci

perlu mendapat pengesahan); dan

d. menghadkan masa penggunaan rangkaian bagi

pengguna.

Kaedah-kaedah yang digunakan hendaklah mampu

menyokong perkara-perkara berikut:

a. Mengesahkan pengguna yang dibenarkan selaras

dengan peraturan jabatan;

b. mewujudkan jejak audit ke atas semua capaian sistem

pengoperasian terutama pengguna bertaraf super

user;

c. menjana amaran (alert) sekiranya berlaku

perlanggaran ke atas peraturan keselamatan sistem;

dan

d. menyediakan tempoh penggunaan mengikut

kesesuaian.

Perkara-perkara yang perlu dipatuhi termasuk berikut:

a. Mengawal capaian ke atas sistem operasi

menggunakan prosedur log on yang terjamin;

b. mewujudkan satu pengenalan diri (ID) yang unik

Versi:

2.2

Muka Surat:

77 dari 114



05 Februari 2013

untuk setiap pengguna dan hanya digunakan oleh

pengguna berkenaan sahaja dan satu teknik

pengesahan yang bersesuaian hendaklah diwujudkan

bagi mengesahkan pengenalan diri pengguna;

c. mewujudkan sistem pengurusan kata laluan secara

interaktif dan memastikan kata laluan adalah

berkualiti;

d. menghadkan dan mengawal penggunaan program

utiliti yang berkemampuan bagi satu tempoh yang

ditetapkan; dan

e. menghadkan tempoh sambungan ke sesebuah aplikasi

berisiko tinggi.

K07/03/02 Kad Pintar


berikut:

a. Penggunaan kad pintar Kerajaan Elektronik (Kad EG)

hendaklah digunakan bagi capaian sistem Kerajaan

Elektronik yang dikhususkan;

b. kad pintar hendaklah disimpan di tempat selamat

bagi mengelakkan sebarang kecurian atau digunakan

oleh pihak lain;

c. perkongsian penggunaan kad pintar adalah tidak

dibenarkan sama sekali. Kad pintar yang salah kata

laluan sebanyak tiga (3) kali cubaan akan disekat;

dan

d. sebarang kehilangan, kerosakan dan kata laluan

Pengguna

Versi:

2.2

Muka Surat:

78 dari 114



05 Februari 2013

disekat perlu dimaklumkan kepada pengeluar kad.

K07/04 Capaian Aplikasi dan Maklumat

Bertujuan melindungi sistem maklumat dan aplikasi sedia

ada dari sebarang bentuk capaian yang tidak dibenarkan

yang boleh menyebabkan kerosakan.

Capaian sistem dan aplikasi di JPA adalah terhad kepada

pengguna dan tujuan yang dibenarkan. Bagi memastikan

kawalan capaian sistem dan aplikasi adalah kukuh,

langkah-langkah berikut perlu dipatuhi:

a. Pengguna hanya boleh menggunakan sistem

maklumat dan aplikasi yang dibenarkan mengikut

tahap capaian dan sensitiviti maklumat yang telah

ditentukan;

b. setiap aktiviti capaian sistem maklumat dan aplikasi

pengguna hendaklah direkodkan bagi mengesan

aktiviti-aktiviti yang tidak diingini;

c. memaparkan notis amaran pada skrin komputer

pengguna sebelum memulakan capaian bagi

melindungi maklumat dari sebarang bentuk

penyalahgunaan;

d. memastikan kawalan sistem rangkaian adalah kukuh

dan lengkap dengan ciri-ciri keselamatan bagi

mengelakkan aktiviti atau capaian yang tidak sah;

e. capaian sistem maklumat dan aplikasi melalui jarak

jauh adalah digalakkan. Walau bagaimanapun,

penggunaannya terhad kepada perkhidmatan yang

Pentadbir

Sistem

Versi:

2.2

Muka Surat:

79 dari 114



05 Februari 2013

dibenarkan sahaja;

f. maklumat tarikh login terakhir hendaklah dipamerkan;

dan

g. session timeout hendaklah dilaksanakan.

K07/05 Capaian Jarak Jauh

a. Capaian jarak jauh yang dimaksudkan merangkumi:

i. Capaian daripada sistem rangkaian dalaman;

dan

ii. capaian daripada sistem rangkaian luaran bagi

lokasi luar pejabat untuk tujuan

telecommuting.

b. penghantaran maklumat yang menggunakan capaian

jarak jauh mestilah menggunakan kaedah enkripsi

(encryption);

c. lokasi bagi akses ke sistem ICT JPA hendaklah

dipastikan selamat; dan

d. penggunaan perkhidmatan ini hendaklah mendapat

kebenaran daripada Pengurus ICT. Pengguna yang

diberi hak adalah dipertanggungjawabkan penuh ke

atas penggunaan kemudahan ini.

Pentadbir Sistem,

Pengguna

Versi:

2.2

Muka Surat:

80 dari 114



05 Februari 2013

K07/06 Kawalan Capaian Rangkaian

K07/06/01 Capaian Rangkaian

Kawalan capaian perkhidmatan rangkaian hendaklah

dijamin selamat dengan:

a. Mewujudkan segmen rangkaian yang bersesuaian

bagi membezakan di antara rangkaian JPA dan

rangkaian awam;

b. mewujudkan dan menguatkuasakan mekanisme

untuk pengesahan pengguna dengan peralatan yang

menepati kesesuaian penggunaannya;

c. memantau dan menguatkuasakan kawalan capaian

pengguna terhadap perkhidmatan rangkaian ICT;

d. capaian pengguna jarak jauh (remote user) perlulah

dikawal;

e. capaian fizikal dan logikal ke atas perkakasan

rangkaian bagi tujuan mengubah konfigurasi perlulah

dikawal; dan

f. semua rangkaian yang dikongsi (shared networks),

terutama sekali yang keluar daripada rangkaian JPA,

polisi perlu diwujudkan untuk mengawal capaian oleh

pengguna.

Pentadbir Rangkaian

K07/06/02 Capaian Internet

a. Penggunaan Internet di JPA hendaklah dipantau

secara berterusan oleh Pentadbir Rangkaian bagi

Pentadbir Rangkaian

Versi:

2.2

Muka Surat:

81 dari 114



05 Februari 2013

memastikan penggunaannya untuk tujuan capaian

yang dibenarkan sahaja. Kewaspadaan ini akan dapat

melindungi daripada kemasukan malicious code, virus

dan bahan-bahan yang tidak sepatutnya ke dalam

rangkaian JPA;

b. penggunaan Internet hanyalah untuk kegunaan rasmi

sahaja. Pengurus ICT berhak menentukan pengguna

yang dibenarkan menggunakan Internet atau

sebaliknya;

c. kaedah Content Filtering mestilah digunakan bagi

mengawal akses Internet mengikut fungsi kerja dan

pemantauan tahap pematuhan;

d. penggunaan proksi yang telah ditetapkan oleh JPA

bagi mengawal akses Internet mengikut fungsi kerja

dan mematuhi pekeliling semasa yang dikeluarkan;

e. penggunaan teknologi (packet shaper) untuk

mengawal aktiviti (video streaming, chat,

downloading) adalah perlu bagi menguruskan

penggunaan bandwidth yang maksimum dan lebih

berkesan; dan

f. penggunaan modem peribadi untuk tujuan

sambungan ke Internet tidak dibenarkan sama sekali

di pejabat kecuali dengan kebenaran seperti di

Lampiran 3.

Pengurus ICT

Pentadbir Rangkaian

K07/07 Peralatan Mudah Alih

Perkara yang perlu dipatuhi adalah seperti berikut:

a. Merekodkan aktiviti keluar masuk penggunaan

peralatan mudah alih bagi mengesan pergerakan

Pegawai Aset,

Pengguna

Versi:

2.2

Muka Surat:

82 dari 114



05 Februari 2013

perkakasan tersebut daripada kehilangan atau

kerosakan;

b. peralatan mudah alih hendaklah disimpan atau

dikunci di tempat yang selamat apabila tidak

digunakan; dan

c. memastikan peralatan mudah alih yang dibawa

keluar dari pejabat perlu disimpan dan dijaga

dengan baik bagi mengelakkan daripada kecurian.

Versi:

2.2

Muka Surat:

83 dari 114



05 Februari 2013

Kawalan 08: Perolehan, Pembangunan dan Penyelenggaraan Sistem

Objektif

Memastikan sistem yang dibangunkan sendiri atau pihak ketiga mempunyai ciri-ciri

keselamatan ICT yang bersesuaian.

K08/01 Kawalan Prosesan Aplikasi

a. Perolehan, pembangunan, penambahbaikan dan

penyelenggaraan sistem hendaklah mengambil kira

kawalan keselamatan bagi memastikan tidak

wujudnya sebarang ralat yang boleh mengganggu

sistem pemprosesan dan ketepatan maklumat;

b. ujian keselamatan hendaklah dijalankan ke atas

sistem aplikasi untuk menyemak pengesahan dan

integriti data; dan

c. sistem yang dibangunkan atau digunakan hendaklah

diuji terlebih dahulu bagi memastikan sistem

berkenaan memenuhi keperluan keselamatan

sebelum digunakan.

Pentadbir Sistem,

ICTSO

K08/01/01 Pengesahan Data Input

Data input bagi aplikasi perlu disahkan bagi memastikan

data yang dimasukkan betul dan bersesuaian.

Pentadbir Sistem

K08/01/02 Kawalan Prosesan

Kawalan proses perlu ada dalam aplikasi bagi tujuan

mengesan sebarang pengubahsuaian ke atas maklumat

yang berkemungkinan terhasil daripada masalah semasa

prosesan.

Pentadbir Sistem

Versi:

2.2

Muka Surat:

84 dari 114



05 Februari 2013

K08/01/03 Pengesahan Data Output

Data output daripada aplikasi perlu disahkan bagi

memastikan maklumat yang dihasilkan adalah tepat.

Pentadbir Sistem

Aplikasi

K08/02 Kawalan Kriptografi

Melindungi kerahsiaan, integriti dan kesahihan maklumat

yang merangkumi data di dalam sistem rangkaian, sistem

aplikasi dan pangkalan data. Kunci enkripsi mestilah

dilindungi dengan menggunakan cara kawalan yang

terbaik dan hendaklah dirahsiakan. Semua kunci mestilah

dilindungi daripada pengubahsuaian, pemusnahan dan

sebaran tanpa kebenaran sepanjang kitaran hayat kunci

tersebut.

Kriptografi turut merangkumi kaedah-kaedah seperti

berikut:

a. Enkripsi

Sistem aplikasi yang melibatkan maklumat

terperingkat hendaklah dibuat enkripsi (encryption).

b. Tandatangan Digital

Maklumat terperingkat yang perlu diproses dan

dihantar secara elektronik hendaklah menggunakan

tandatangan digital mengikut keperluan pelaksanaan.

c. Pengurusan Infrastruktur Kunci Awam/Public Key

Infrastructure (PKI)

Pengurusan ke atas PKI hendaklah dilakukan dengan

berkesan dan selamat bagi melindungi kunci

berkenaan dari diubah, dimusnah dan didedahkan

sepanjang tempoh sah kunci tersebut.

Pentadbir Sistem,

Pengguna

Versi:

2.2

Muka Surat:

85 dari 114



05 Februari 2013

K08/03 Keselamatan Fail Sistem

Fail sistem perlu dikawal dan dikendalikan dengan baik

dan selamat.

a. Proses pengemaskinian fail sistem hanya boleh

dilakukan oleh Pentadbir Sistem atau/dan pegawai

yang berkenaan dan mengikut prosedur yang telah

ditetapkan;

b. kod atau aturcara sistem yang telah dikemaskini

hanya boleh dilaksanakan atau digunakan selepas

diuji;

c. mengawal capaian ke atas kod atau aturcara program

bagi mengelakkan kerosakan, pengubahsuaian tanpa

kebenaran, penghapusan dan kecurian;

d. mengaktifkan log audit bagi merekodkan semua

aktiviti pengemaskinian untuk tujuan statistik,

pemulihan dan keselamatan; dan

e. data ujian hendaklah dipilih dan penggunaannya

dikawal serta dilindungi.

Pentadbir Sistem

K08/04 Keselamatan Dalam Proses Pembangunan dan Sokongan

K08/04/01 Prosedur Perubahan

Perubahan atau pengubahsuaian ke atas sistem maklumat,

sistem pengoperasian dan aplikasi hendaklah dikawal,

diuji, direkod dan disahkan sebelum diguna pakai.

Pentadbir Sistem dan

Pemilik Proses/Sistem

Versi:

2.2

Muka Surat:

86 dari 114



05 Februari 2013

K08/04/02 Pembangunan Secara Outsource

Pembangunan perisian aplikasi secara outsource perlu

dipantau oleh Pengurus ICT. Source code adalah menjadi

hak milik JPA.

Pengurus ICT

K08/04/03 Pembocoran Maklumat

Sebarang peluang untuk membocorkan maklumat melalui

apa cara sekalipun mestilah dihalang.

ICTSO

K08/05 Kawalan Terhadap Keterdedahan Teknikal

Kawalan terhadap keterdedahan teknikal perlu

dilaksanakan ke atas sistem pengoperasian dan sistem

aplikasi yang digunakan. Perkara yang perlu dipatuhi


a. Memperoleh maklumat keterdedahan teknikal

sistem maklumat yang digunakan;

b. menilai tahap pendedahan bagi mengenal pasti

tahap risiko yang bakal dihadapi; dan

c. mengambil langkah-langkah kawalan untuk

mengatasi risiko berkaitan.

Pentadbir Sistem,

ICTSO

Versi:

2.2

Muka Surat:

87 dari 114



05 Februari 2013

Kawalan 09: Pengurusan Pengendalian Insiden Keselamatan

Objektif

Untuk memastikan semua insiden dikendalikan dengan cepat, tepat dan berkesan bagi

memastikan sistem ICT JPA dapat segera beroperasi semula dengan baik supaya tidak

menjejaskan imej JPA dan sistem penyampaian perkhidmatan.

K09/01 Mekanisme Pelaporan Insiden Keselamatan ICT

a. Pelaporan

Semua insiden keselamatan ICT yang berlaku mesti

dilaporkan kepada ICTSO dan JPACERT untuk

pengendalian dan pengumpulan statistik insiden

keselamatan ICT Kerajaan. Semua maklumat adalah

SULIT, dan hanya boleh didedahkan kepada pihak-

pihak yang dibenarkan.

b. JPACERT

Pasukan JPACERT akan bertindak dan menghubungi

GCERT sebagai makluman atau bagi mendapatkan

bantuan.

c. Tanggungjawab Pengguna

Semua kakitangan, pembekal, pakar runding dan

pihak-pihak lain yang terlibat diingatkan supaya tidak

melaksanakan sebarang tindakan secara sendiri, tapi

sebaliknya perlu terus melaporkan dengan segera

sebarang kejadian insiden keselamatan ICT bagi

mengelakkan kerosakan bahan bukti.

ICTSO, Pengguna,

JPACERT

Versi:

2.2

Muka Surat:

88 dari 114



05 Februari 2013

d. Tindakan Dalam Keadaan Berisiko Tinggi

Dalam keadaan atau persekitaran berisiko tinggi,

pengurusan atasan hendaklah dimaklumkan dengan

serta-merta supaya satu keputusan segera dapat

diambil. Tindakan ini perlu bagi mengelakkan kesan

atau impak kerosakan yang lebih teruk dan

mengelakkan kejadian insiden merebak.

e. Sekiranya berlaku sesuatu keadaan yang

mencurigakan seperti di bawah, insiden keselamatan

ICT hendaklah dilaporkan kepada ICTSO dan

JPACERT dengan kadar segera:

i. Maklumat didapati hilang, didedahkan kepada

pihak-pihak yang tidak diberi kuasa atau,

disyaki hilang atau didedahkan kepada pihak-

pihak yang tidak diberi kuasa;

ii. Sistem maklumat digunakan tanpa kebenaran

atau yang disyaki sedemikian;

iii. Kata laluan atau mekanisme kawalan akses

yang hilang, dicuri, didedahkan atau yang

disyaki sedemikian;

iv. Berlaku kejadian sistem yang luar biasa seperti

kehilangan fail, sistem kerap kali gagal

berfungsi atau dicapai, dan komunikasi

tersalah hantar; dan

v. Berlaku percubaan menceroboh,

penyelewengan dan insiden-insiden yang tidak

dijangka yang boleh menjejaskan keselamatan

ICT.

f. ICTSO melaporkan kepada Pasukan Tindak Balas

Insiden Keselamatan ICT (GCERT) MAMPU apabila

berlaku sebarang insiden keselamatan ICT

Versi:

2.2

Muka Surat:

89 dari 114



05 Februari 2013

sekiranya perlu.

K09/02 Prosedur Pengendalian Insiden Keselamatan ICT

Pasukan JPACERT perlu melaksanakan pengurusan

pengendalian insiden keselamatan ICT berpandukan

prosedur pengurusan pelaporan dan pengendalian insiden

keselamatan ICT JPA.

Pengendalian insiden keselamatan ICT perlu diuruskan

dengan cepat, teratur dan berkesan, mengikut prosedur

dengan mengambil kira kawalan-kawalan berikut:

i. Mengenal pasti semua jenis insiden keselamatan

ICT;

ii. mematuhi Pelan Pemulihan Bencana (DRP) seperti

yang telah digariskan dalam Pelan Kesinambungan

Perkhidmatan (PKP);

iii. menyimpan jejak audit dan memelihara bahan

bukti dan rekod;

iv. menyediakan tindakan pencegahan supaya insiden

serupa tidak berulang; dan

v. memaklumkan atau mendapatkan nasihat pihak

berkuasa perundangan sekiranya perlu.

ICTSO, JPACERT

Versi:

2.2

Muka Surat:

90 dari 114



05 Februari 2013

Kawalan 10: Pengurusan Kesinambungan Perkhidmatan

Objektif

Menjamin operasi perkhidmatan agar tidak tergendala dan penyampaian perkhidmatan yang

berterusan kepada pelanggan.

K10/01 Pelan Kesinambungan Perkhidmatan

Pelan Kesinambungan Perkhidmatan hendaklah

dibangunkan untuk menentukan pendekatan yang

menyeluruh diambil bagi mengekalkan kesinambungan

perkhidmatan. Ini bertujuan memastikan tiada gangguan

kepada proses-proses dalam penyediaan perkhidmatan

organisasi. Pelan ini mestilah diluluskan oleh JPICT dan

perkara-perkara berikut perlu diberi perhatian:

a. Mengenal pasti semua tanggungjawab dan prosedur

kecemasan dan pemulihan;

b. melaksanakan prosedur-prosedur kecemasan bagi

membolehkan pemulihan dapat dilakukan secepat

mungkin atau dalam jangka masa yang telah

ditetapkan;

c. mendokumentasikan proses dan prosedur yang telah

dipersetujui;

d. mengenalpasti peristiwa yang boleh mengakibatkan

gangguan terhadap proses bisnes bersama dengan

kemungkinan dan impak gangguan tersebut serta

akibat terhadap keselamatan ICT;

e. mengadakan program latihan kepada pengguna

ICTSO

Versi:

2.2

Muka Surat:

91 dari 114



05 Februari 2013

mengenai prosedur kecemasan;

f. membuat backup; dan

g. menguji dan mengemas kini pelan sekurang-

kurangnya setahun sekali.

K10/02 Pengurusan Kesinambungan Perkhidmatan

Pengurusan Kesinambungan Perkhidmatan (Business

Continuity Planning) adalah mekanisme bagi

mengurus dan memastikan kepentingan stakeholder

sistem penyampaian perkhidmatan dilindungi dan imej

JPA terpelihara. Ini dilakukan dengan mengenal pasti

kesan atau impak yang berpotensi menjejaskan sistem

penyampaian perkhidmatan JPA di samping

menyediakan pelan tindakan bagi mewujudkan

ketahanan dan keupayaan bertindak yang berkesan.

Ketua Jabatan adalah bertanggungjawab untuk

memastikan operasi sistem penyampaian perkhidmatan

di bawah kawalannya disediakan secara berterusan

tanpa gangguan di samping menyediakan perlindungan

keselamatan kepada aset ICT JPA.

Pelan BCM perlu dibangunkan dan hendaklah

mengandungi perkara-perkara berikut:

a. Senarai aktiviti teras yang dianggap kritikal mengikut

susunan keutamaan;

b. senarai pegawai JPA dan vendor berserta nombor

yang boleh dihubungi (faksimili, telefon dan e-mel).

Senarai kedua juga hendaklah disediakan sebagai

ICTSO

Versi:

2.2

Muka Surat:

92 dari 114



05 Februari 2013

menggantikan pegawai yang tidak dapat hadir untuk

menangani insiden;

c. senarai lengkap maklumat yang memerlukan backup

dan lokasi sebenar penyimpanannya serta arahan

pemulihan maklumat dan kemudahan yang

berkaitan;

d. alternatif sumber pemprosesan dan lokasi untuk

menggantikan sumber yang telah lumpuh; dan

e. perjanjian dengan pembekal perkhidmatan untuk

mendapatkan keutamaan penyambungan semula

perkhidmatan.

Salinan pelan BCM perlu disimpan di lokasi berasingan

untuk mengelakkan kerosakan akibat bencana di lokasi

utama. Pelan BCM hendaklah diuji sekurang-kurangnya

sekali setahun atau apabila terdapat perubahan dalam

persekitaran atau fungsi bisnes untuk memastikan ia

sentiasa kekal berkesan. Penilaian secara berkala

hendaklah dilaksanakan untuk memastikan pelan

tersebut bersesuaian dan memenuhi tujuan

dibangunkan.

Ujian pelan BCM hendaklah dijadualkan untuk

memastikan semua ahli dalam pemulihan dan pegawai

yang terlibat mengetahui mengenai pelan tersebut,

tanggungjawab dan peranan mereka apabila pelan

dilaksanakan.

JPA hendaklah memastikan salinan pelan BCM sentiasa

dikemas kini dan dilindungi seperti di lokasi utama.


05 Februari 2013

Versi:

2.2

Muka Surat:

93 dari 114


Kawalan 11: Pematuhan

Objektif

Meningkatkan tahap keselamatan ICT bagi mengelak daripada pelanggaran kepada DKICT JPA.

K11/01 Pematuhan Dasar

Setiap pengguna di JPA hendaklah membaca, memahami

dan mematuhi DKICT JPA dan undang-undang atau

peraturan-peraturan lain yang berkaitan.

Semua aset ICT di JPA termasuk maklumat yang

disimpan di dalamnya adalah hak milik Kerajaan. Ketua

Jabatan berhak untuk memantau aktiviti pengguna untuk

mengesan penggunaan selain dari tujuan yang telah

ditetapkan.

Semua

K11/02 Pematuhan dengan Dasar, Piawaian dan Keperluan Teknikal

ICTSO perlu memastikan semua prosedur keselamatan

dalam bidang tugas masing-masing mematuhi dasar,

piawaian dan keperluan teknikal.

Sistem maklumat perlu melalui pemeriksaan secara

berkala bagi mematuhi standard pelaksanaan

keselamatan.

Sebarang penilaian pematuhan teknikal seperti aktiviti

Security Posture Assessment (SPA) mestilah dijalankan

oleh individu yang kompeten dan dibenarkan.

ICTSO

K11/03 Pematuhan Keperluan Audit

Pematuhan kepada keperluan audit perlu bagi

meminimumkan ancaman dan memaksimumkan

keberkesanan dalam proses audit sistem maklumat.

ICTSO


05 Februari 2013

Versi:

2.2

Muka Surat:

94 dari 114


Keperluan audit dan sebarang aktiviti pemeriksaan ke

atas sistem operasi perlu dirancang dan dipersetujui bagi

mengurangkan kebarangkalian berlaku gangguan dalam

penyediaan perkhidmatan.

Capaian ke atas peralatan audit sistem maklumat perlu

dijaga dan diselia bagi mengelakkan berlaku

penyalahgunaan.

K11/04 Keperluan Perundangan dan Peraturan

Berikut adalah keperluan perundangan atau peraturan-

peraturan lain berkaitan yang perlu dipatuhi oleh semua

pengguna di JPA:

i. Arahan Keselamatan;

ii. Pekeliling Am Bilangan 3 Tahun 2000 bertajuk

“Rangka Dasar Keselamatan Teknologi Maklumat

dan Komunikasi Kerajaan”;

iii. Malaysian Public Sector Management of Information

and Communications Technology Security

Handbook (MyMIS);

iv. Pekeliling Am Bilangan 1 Tahun 2001 bertajuk

“Mekanisme Pelaporan Insiden Keselamatan

Teknologi Maklumat dan Komunikasi (ICT)";

v. Pekeliling Kemajuan Pentadbiran Awam Bilangan 1

Tahun 2003 bertajuk “Garis Panduan Mengenai

Tatacara Penggunaan Internet dan Mel Elektronik di

Agensi-Agensi Kerajaan”;

vi. Surat Pekeliling Am Bilangan 6 Tahun 2005

bertajuk "Garis Panduan Penilaian Risiko

Keselamatan Maklumat Sektor Awam";

vii. Akta Tandatangan Digital 1997;

viii. SPA Bil. 4 Tahun 2006;

Pengguna


05 Februari 2013

Versi:

2.2

Muka Surat:

95 dari 114


ix. Akta Rahsia Rasmi 1972;

x. Akta Jenayah Komputer 1997;

xi. Akta Hakcipta (Pindaan) Tahun 1997;

xii. Akta Komunikasi dan Multimedia 1998;

xiii. Surat Pekeliling Perbendaharaan Bil.2/1995

(Tambahan pertama) bertajuk “Tatacara

Penyediaan, Penilaian dan Penerimaan Tender”;

xiv. Surat Pekeliling Perbendaharaan Bil. 3/1995

bertajuk “Peraturan Perolehan Perkhidmatan

Perundingan”;

xv. Surat Pekeliling Am Bil. 4 Tahun 2006 bertajuk

“Pengurusan Pengendalian Insiden Keselamatan

Teknologi Maklumat dan Komunikasi (ICT) Sektor

Awam”;

xvi. Etika Penggunaan E-mel dan Internet JPA;

xvii. Perintah-Perintah Am;

xviii. Arahan Perbendaharaan;

xix. Arahan Teknologi Maklumat 2007;

xx. Surat Akujanji;

xxi. MPK;

xxii. Fail Meja Kakitangan;

xxiii. Pelan Kesinambungan Perkhidmatan;

xxiv. Surat Arahan MAMPU.702-1/1/7 Jld. 3 (48)

bertarikh 23 Mac 2009 bertajuk ”Pengaktifan Fail

Log Server Bagi Tujuan Pengurusan Pengendalian

Insiden Keselamatan ICT di Agensi-agensi

Kerajaan”;

xxv. Surat Arahan MAMPU.BDPICT(S) 700-6/1/3(21)

bertarikh 19 November 2009 bertajuk ”Penggunaan

Media Jaringan Sosial di Sektor Awam”;

xxvi. Pekeliling Perbendaharaan 5 Tahun 2007 bertajuk

"Tatacara Pengurusan Aset Alih Kerajaan (TPA)";

xxvii. Panduan Keperluan Dan Persediaan Pelaksanaan


05 Februari 2013

Versi:

2.2

Muka Surat:

96 dari 114


Pensijilan MS ISO/IEC 27001:2007 Dalam Sektor

Awam bertarikh 24 November 2010;

xxviii. Pekeliling Perkhidmatan Bil 5 2007 bertajuk

"Panduan Pengurusan Pejabat bertarikh 30 April

2007"; dan

xxix. Prosedur Pengurusan Pelaporan Dan Pengendalian

Insiden Keselamatan ICT JPA.

K11/05 Pelanggaran Perundangan

Pelanggaran dasar ini boleh diambil tindakan undang-

undang dan tatatertib di bawah Akta Rahsia Rasmi 1972

dan Perintah-Perintah Am Bab “D” - Peraturan-Peraturan

Pegawai Awam (Kelakuan Dan Tatatertib).

Pengguna

Glosari

Antivirus

Aset Alih

Aset ICT

Backup

Bandwidth

BCP

CCTV

CERT Agensi

CIA3

Perisian yang mengimbas virus pada media storan, seperti

cakera keras (hard disk) dan disket (diskette) untuk sebarang

kemungkinan adanya virus.

Aset alih bermaksud aset yang boleh dipindahkan dari satu tempat ke

satu tempat yang lain termasuk aset yang dibekalkan atau dipasang

bersekali dengan bangunan.

Peralatan ICT termasuk komputer, media storan, server, router,

firewall, rangkaian dan lain-lain.

Proses penduaan sesuatu dokumen atau maklumat.

Jalur lebar

Ukuran atau jumlah data yang boleh dipindahkan melalui kawalan

komunikasi (e.g, di antara cakera keras dan PC utama) dalam jangka

masa yang ditetapkan.

Business Continuity Planning

Pelan Kesinambungan Perkhidmatan

Closed-circuit television system

Sistem TV yang digunakan secara komersil di mana satu sistem TV

kamera video dipasang di dalam premis pejabat bagi tujuan membantu

pemantauan fizikal.

Computer Emergency Response Team

Organisasi yang ditubuhkan untuk membantu agensi mengurus

pengendalian insiden keselamatan ICT di agensi masing-masing dan

agensi di bawah kawalannya.

confidentiality, integrity, authenticity, accessibility, accountability

CIO

Clear Desk dan Clear

Screen

Denial of service

Downloading

Encryption

Firewall

Forgery

GCERT

Hard disk

Hub

Chief Information Officer

Ketua Pegawai Maklumat yang bertanggungjawabkan terhadap ICT dan

sistem maklumat bagi menyokong arahtuju sesebuah organisasi.

Tidak meninggalkan dokumen data dan maklumat dalam keadaan

terdedah di atas meja atau di paparan skrin komputer apabila

pengguna tidak berada di tempatnya.

Halangan pemberian perkhidmatan.

Aktiviti muat turun sesuatu perisian.

Enkripsi atau penyulitan. Proses enkripsi data oleh pengirim supaya

tidak difahami oleh orang lain kecuali penerima yang sah.

Sistem yang direkabentuk untuk menghalang capaian pengguna yang

tidak berkenaan kepada atau daripada rangkaian dalaman. Terdapat

dalam bentuk perkakasan atau perisian atau kombinasi kedua-duanya.

Pemalsuan dan penyamaran identiti yang banyak dilakukan dalam

penghantaran mesej melalui e-mel termasuk penyalahgunaan dan

pencurian identiti, pencurian maklumat (information theft / espionage),

penipuan(hoaxes).

Government Computer Emergency Response Team

Pasukan Tindak Balas Insiden Keselamatan ICT Kerajaan.

Cakera keras. Digunakan untuk menyimpan data dan boleh di akses

lebih pantas.

Hab merupakan peranti yang menghubungkan dua atau lebih stesen

kerja menjadi suatu topologi bas berbentuk bintang dan menyiarkan

(broadcast) data yang diterima daripada sesuatu port kepada semua

port yang lain.

ICT

ICTSO

Insiden Keselamatan

INTAN

Internet

Internet Gateway

Intranet

ISDN

Intrusion Detection

System (IDS)

Intrusion Prevention

System (IPS)

Information and Communication Technology.

ICT Security Officer

Pegawai yang bertanggungjawab terhadap keselamatan sistem

komputer.

Musibah (adverse event) yang berlaku ke atas sistem maklumat dan

komunikasi atau ancaman kemungkinan berlaku kejadian tersebut.

Institut Tadbiran Awam Negara

Sistem rangkaian seluruh dunia, di mana pengguna pada mana-mana

komputer boleh membuat capaian maklumat daripada

pelayan (server) atau komputer lain.

Merupakan suatu titik yang berperanan sebagai pintu masuk ke

rangkain yang lain. Menjadi pemandu arah trafik dengan betul dari satu

trafik ke satu trafik yang lain di samping mengekalkan trafik-trafik

dalam rangkaian-rangkaian tersebut agar sentiasa berasingan.

Rangkaian dalaman yang dimiliki oleh sesebuah organisasi atau jabatan

dan hanya boleh dicapai oleh kakitangan dan mereka yang diberi

kebenaran sahaja.

Integrated Services Digital Networks

Menggunakan isyarat digital pada talian telefon analog yang sedia ada.

Sistem Pengesan Pencerobohan

Perisian atau perkakasan yang mengesan aktiviti tidak berkaitan,

kesilapan atau yang berbahaya kepada sistem. Sifat IDS berpandukan

jenis data yang dipantau, iaitu sama ada lebih bersifat host atau

rangkaian.

Sistem Pencegah Pencerobohan

Perkakasan keselamatan komputer yang memantau rangkaian

ISMS

JPA

Keadaan Berisiko

Tinggi

Kriptografi

KPKK

LAN

Lock

Log out

dan/atau aktiviti yang berlaku dalam sistem bagi mengesan perisian

berbahaya. Boleh bertindakbalas menyekat atau menghalang aktiviti

serangan atau malicious code. E.g. Network-based IPS yang akan

memantau semua trafik rangkaian bagi sebarang kemungkinan

serangan.

Information Security Management System

JPA merangkumi bahagian-bahagian seperti berikut:

1. Bahagian Perancangan, Penyelidikan dan Korporat (BPP);

2. Bahagian Pembangunan Organisasi (BPO);

3. Bahagian Perkhidmatan (BK);

4. Bahagian Saraan (BS);

5. Bahagian Pembangunan Modal Insan (BMI);

6. Bahagian Khidmat Pengurusan (BKP);

7. Bahagian Pasca Perkhidmatan (BP);

8. Bahagian Pengurusan Maklumat (BPM);

9. Bahagian Pengurusan Psikologi (BPPs); dan

10. Institut Tadbiran Awam Negara (INTAN).

Dalam situasi yang mudah mendapat ancaman dari pihak luar atau

apa-apa kemungkinan yang boleh menjejaskan kelancaran sistem.

Kaedah untuk menukar data dan maklumat biasa (standard format)

kepada format yang tidak boleh difahami bagi melindungi

penghantaran data dan maklumat

Ketua Pegawai Keselamatan Kerajaan

Local Area Network

Rangkaian Kawasan Setempat yang menghubungkan komputer.

Mengunci komputer.

Log-out komputer

Keluar daripada sesuatu sistem atau aplikasi komputer.

Malicious Code

Mobile Code

MODEM

Outsource

Penyelaras ICT

Bahagian

Pegawai Aset ICT

Perkakasan atau perisian yang dimasukkan ke dalam sistem tanpa

kebenaran bagi tujuan pencerobohan. Ia melibatkan serangan virus,

trojan horse, worm, spyware dan sebagainya.

Mobile code merupakan suatu perisian yang boleh dipindahkan di

antara sistem komputer dan rangkaian serta dilaksanakan tanpa perlu

melalui sebarang proses pemasangan sebagai contoh Java Applet,

ActiveX dan sebagainya pada pelayar internet.

MOdulator DEModulator

Peranti yang boleh menukar strim bit digital ke isyarat analog

dan sebaliknya. Ia biasanya disambung ke talian telefon bagi

membolehkan capaian Internet dibuat dari komputer.

Maklumat yang diproses dan diperolehi di luar daripada sesuatu

organisasi atau struktur kerja.

Pegawai Penyelaras ICT merupakan pegawai yang mahir dan

berkelayakan mengenai bidang perkomputeran dan dilantik oleh

Pengarah Bahagian

Peranan dan tanggungjawab:-

Perolehan Aset

Penerimaan Aset

Pendaftaran Aset

Penggunaan, Penyimpanan dan Pemeriksaan

Penyelenggaraan

Pelupusan

Penyelenggaraan Sistem Aplikasi Teras.

Peranan dan tanggungjawab:-

Menguruskan semua aset ICT di Kementerian/Jabatan di bawah

kawalannya

Pegawai Keselamatan

Pegawai Pengelas

Peripheral

Perisian Aplikasi

PKI

Pusat Data

Rahsia

Rahsia Besar

Memberi input/maklum balas berkaitan aset ICT kepada

Mesyuarat Jawatankuasa Pengurusan Aset Kerajaan (JKPAK)

Kementerian/Jabatan

Menguruskan pelupusan aset ICT

Menyelaras penyediaan laporan

Memastikan keselamatan perlindungan di jabatan terjamin sepanjang

masa.

Bertanggungjawab menguruskan dokumen rahsia rasmi Kerajaan dari

segi pendaftaran, pengelasan, pengelasan semula dan pelupusan serta

mematuhi peraturan yang sedang berkuatkuasa.

Aset yang digunakan untuk menyokong pemprosesan maklumat.

Ia merujuk pada perisian atau pakej yang selalu digunakan seperti

spreadsheet dan word processing ataupun sistem aplikasi yang

dibangunkan oleh sesebuah organisasi atau jabatan.

Public-Key Infrastructure

Infrastruktur Kunci Awam.

Pusat Data JPA merangkumi tiga (3) pengurusan pusat data utama

iaitu Bahagian Pasca Perkhidmatan, Bahagian Pengurusan Maklumat

dan INTAN.

Dokumen rasmi, maklumat rasmi dan bahan rasmi yang jika

didedahkan tanpa kebenaran akan membahayakan keselamatan

negara, menyebabkan kerosakan besar kepada kepentingan dan

martabat Malaysia atau memberi keuntungan besar kepada sesebuah

kuasa asing.

Dokumen, maklumat dan bahan rasmi yang jika didedahkan tanpa

kebenaran akan menyebabkan kerosakan yang amat besar kepada

Malaysia.

Restoration

Router

Screen saver

Server

Sulit

Switches

Terhad

Threat

Uninterruptible Power

Supply (UPS)

Video conference

Pemulihan ke atas data.

Penghala yang digunakan untuk menghantar data antara dua

rangkaian yang mempunyai kedudukan rangkaian yang berlainan.

Imej yang akan diaktifkan pada komputer setelah ianya tidak

digunakan dalam jangka masa tertentu.

Pelayan

Dokumen, maklumat dan bahan rasmi yang jika didedahkan tanpa

kebenaran walaupun tidak membahayakan keselamatan negara tetapi

memudaratkan kepentingan atau martabat Malaysia atau kegiatan

Kerajaan atau orang perseorangan atau akan menyebabkan keadaan

memalukan atau kesusahan kepada pentadbiran atau akan

menguntungkan sesebuah kuasa asing.

Alat yang boleh menapis dan memajukan isyarat paket data di antara

segmen rangkaian LAN.

Dokumen rasmi, maklumat rasmi dan bahan rasmi selain daripada

yang diperingkatkan Rahsia Besar, Rahsia atau Sulit tetapi

berkehendakkan juga diberi satu tahap perlindungan keselamatan.

Gangguan dan ancaman melalui pelbagai cara iaitu e-mel dan surat

yang bermotif personal dan atas sebab tertentu.

Satu peralatan yang digunakan bagi membekalkan bekalan kuasa yang

berterusan dari sumber berlainan ketika ketiadaan bekalan kuasa ke

peralatan yang bersambung.

Media yang menerima dan memaparkan maklumat multimedia kepada

pengguna dalam masa yang sama ia diterima oleh penghantar.

Video streaming

Virus

WAN

Wireless LAN

Worm

Teknologi komunikasi yang interaktif yang membenarkan dua atau

lebih lokasi untuk berinteraksi melalui paparan video dua hala dan

audio secara serentak.

Aturcara yang bertujuan merosakkan data atau sistem aplikasi.

Wide Area Network

Rangkaian yang merangkumi kawasan yang luas.

Rangkaian komputer tanpa wayar.

Sejenis virus yang boleh mereplikasi dan membiak dengan sendiri. Ia

biasanya menjangkiti sistem operasi yang lemah atau tidak dikemas

kini.

Rujukan :

Sila layari DKICT JPA di http://www.jpa.gov.my/docs/intranet/dkict13.pdf

http://www.jpa.gov.my/docs/intranet/dkict13.pdf

Versi:

2.2

Muka Surat:

106 dari 114



05 Februari 2013

Lampiran 1

SURAT AKUAN PEMATUHAN

DASAR KESELAMATAN ICT (DKICT) JPA

Nama (Huruf Besar) : ………………………………………………………

No. Kad Pengenalan : ………………………………………………………

Jawatan : ………………………………………………………

Bahagian (JPA) : ………………………………………………………

Organisasi (selain warga JPA): ……………………………………………………

No. Kontrak (jika berkaitan) : ………………………………………………………

Adalah dengan sesungguhnya dan sebenarnya mengaku bahawa :

1. Saya telah membaca, memahami dan akur akan peruntukan-peruntukan yang

terkandung di dalam Dasar Keselamatan ICT JPA; dan

2. Jika saya ingkar kepada peruntukan-peruntukan yang ditetapkan, maka tindakan

sewajarnya boleh diambil ke atas diri saya.

Tandatangan : ..................................................

Tarikh : ..................................................

Rujukan :

http://www.jpa.gov.my/docs/intranet/lampiran1.pdf


Versi:

2.2

Muka Surat:

107 dari 114



05 Februari 2013

Lampiran 2

Rajah 1: Ringkasan Proses Kerja Pelaporan Insiden Keselamatan ICT JPA

Versi:

2.2

Muka Surat:

108 dari 114



05 Februari 2013

Rajah 2: Ringkasan Proses Kerja Pelaporan Insiden Keselamatan ICT JPA

Rujukan :



Versi:

2.2

Muka Surat:

109 dari 114



05 Februari 2013

Lampiran 3

PERMOHONAN KEBENARAN UNTUK MENGGUNAKAN MODEM PERIBADI

BAGI TUJUAN SAMBUNGAN KE INTERNET

Nama (Huruf Besar) : ………………………………………………………

No. Kad Pengenalan : ………………………………………………………

Jawatan : ………………………………………………………

Bahagian (JPA) : ………………………………………………………

Organisasi (selain warga JPA): ……………………………………………………

No. Kontrak (jika berkaitan) : ………………………………………………………

Saya dengan ini memohon kebenaran daripada Pengurus ICT JPA untuk menggunakan modem

peribadi bagi tujuan seperti berikut :

__________________________________________________________________________

__________________________________________________________________________

Saya juga sedar bahawa saya terikat dengan peraturan-peraturan seperti yang telah

ditetapkan di dalam dokumen Dasar Keselamatan ICT (DKICT) JPA. Dan jika saya ingkar

kepada peruntukan-peruntukan tersebut, maka tindakan sewajarnya boleh diambil ke atas diri

saya. Kebenaran ini juga tertakluk kepada tiga (3) syarat berikut;

i. Memastikan perisian antivirus sentiasa aktif (activated) dan dikemaskini

disamping turut melakukan imbasan ke atas media storan yang digunakan

ii. Memasang dan menggunakan hanya perisian yang tulen

iii. Tidak menyambungkan notebook kepada rangkaian dalaman Jabatan

(wired/wireless) dan modem peribadi secara serentak

Tandatangan : ..................................................

Tarikh : ..................................................

Versi:

2.2

Muka Surat:

110 dari 114



05 Februari 2013

Pengesahan Penyelia ICT Kelulusan Pengurus ICT

......................................... .........................................

(Nama Penyelia ICT) (Nama Pengurus ICT)

b.p. Ketua Pengarah Perkhidmatan Awam b.p. Ketua Pengarah Perkhidmatan Awam

Tarikh: ......................... Tarikh: .........................

Rujukan : http://www.jpa.gov.my/docs/intranet/lampiran3.pdf


Versi:

2.2

Muka Surat:

111 dari 114



05 Februari 2013

LAMPIRAN 4

(BORANG KPKK 11)

Pejabat Ketua Pegawai Keselamatan Kerajaan Malaysia

Jabatan Perdana Menteri

BORANG SOALAN KESELAMATAN

KETERANGAN DIRI PEMOHON

(Isi data DUA (2) salinan serta guna HURUF BESAR dan DAKWAT (HITAM)

1. Jawatan sekarang :………………………………………………………………………………. 2. Kementerian / Jabatan :…………………………………………………………………………. 3. Nama penuh :……………………………………………………….No. Tel :………………… 4. Nama dalam tulisan Cina (jika berkenaan) : …………………………………………………. 5. No. Kad Pengenalan Baru :……………………. Lama: …………………………………….. 6. Jantina :…………………………….Tarikh dan Tempat Lahir : …………………………….. 7. Kerakyatan :……………………………….. No sijil Kerakyatan :……………………………. 8. Alamat tempat tinggal kini :……………………………………………………………………. 9. Alamat tempat tinggal yang lain sebelum ini (jika berkenaan) : Alamat Dari Hingga 10. Nama Suami / Isteri (Jika Berkenaan) :……………………………………………………..

Gambar

Ukuran

Pasport

Versi:

2.2

Muka Surat:

112 dari 114



05 Februari 2013

11. No. Kad Pengenalan Suami / Isteri :………………………………………………………. 12. Alamat Suami / Isteri :……………………………………………………………………….

…………………………………………………………………………………………………. 13. Adakah anda sebelum ini pernah ditangkap atau didakwa di mahkamah kerana

melakukan sebarang jenayah di Malaysia / luar Negara ? 9jika ya, sila nyatakan :……………………………………………………………………………............................. …………………………………………………………………………………………………. ………………………………………………………………………………………………….

14. Saya mengaku semua maklumat yang diberikan dalam dokumen adalah betul dan

benar mengikut pengetahuan dan kepercayaan saya. Saya faham bahawa sebarang kenyataan yang palsu atau keterangan yang ditinggalkan dengan sengaja boleh menyebabkan saya tidak layak untuk dilantik ataupun tindakan tatatertib boleh diambil terhadap saya kelak termasuklah pembuangan kerja.

Tarikh :…………………….. …………………………………….. (Tandatangan Pemohon)

15. Perakuan Ketua Jabatan :

Saya akui bahawa penama diatas adalah pegawai / kakitangan Jabatan ini Tarikh :……………………………… Nama :……………………………… Jawatan :…………………………… ………………………………………… (Tandatangan & Cop Ketua Jabatan)



Versi:

2.2

Muka Surat:

113 dari 114



05 Februari 2013

LAMPIRAN 5

DECLARATION TO BE SIGNED BY CONTRACTORS ENGAGED ON GOVERNMENT PROJECTS IN RESPECTS OF THE OFFICIAL SECRETS ACT 1972

I hereby acknowledge that my attention has been drawn to the provisions of the Official

Secrets Act 1972 (Act 88), as amended, and that fully understand the implications

contained thereof. In particular I understand that to communicate to unauthorised person,

to use or having in possession without authorisation any classified materials, and

failure to take reasonable care of classified materials, I shall be guilty of an offence

under this Act and punishable with imprisonment for life.

I understand that all official information acquired by me in the service of His Majesty the

Yang di-Pertuan Agong or any Government in the Federation, is the property of the

Government and is not to be divulged, published, or communicated, whether orally or in

writing, to any other person in any form, except in the course of my official duties,

whether during or after my service with His Majesty the Yang di-Pertuan Agong or

Government in the Federation without the previous sanction in writing of the relevant

authority. I undertake to sign a further declaration to this effect on completion of the

Government Project.

Signature :……………………………………………………………………..

Name In Capital Letter :………………………………………………………

Identification Card No :………………………………………………………

Position :………………………………………………………………………

Department :………………………………………………………………….

Date :………………………………………………………………..

PERAKUAN UNTUK DITANDATANGANI OLEH KONTRAKTOR

Versi:

2.2

Muka Surat:

114 dari 114



05 Februari 2013

YANG TERLIBAT DENGAN PROJEK KERAJAAN MENURUT AKTA RAHSIA RASMI 1972.

Adalah saya dengan ini mengaku bahawa perhatian saya telah ditarik kepada

peruntukan-peruntukan Akta Rahsia Rasmi 1972 dan bahawa saya faham dengan

sepenuhnya akan segala yang dimaksudkan dalam Akta itu.Khususnya saya faham

bahawa menyampaikan, menggunakan atau menyimpan dengan salah, sesuatu benda

rahsia, tidak menjaga dengan cara yang berpatutan sesuatu rahsia atau apa- apa

tingkahlaku yang membahayakan keselamatan atau rahsia sesuatu benda rahsia adalah

menjadi suatu kesalahan di bawah Akta tersebut, yang boleh dihukum maksimum penjara

seumur hidup.

Saya faham bahawa segala maklumat rasmi yang saya perolehi dalam perkhidmatan Seri

Paduka Baginda Yang di-Pertuan Agong atau perkhidmatan mana-mana Kerajaan dalam

Malaysia, adalah milik Kerajaan dan tidak akan membocorkan, menyiarkan, atau

menyampaikan, sama ada secara lisan atau dengan bertulis, kepada sesiapa jua dalam

apa-apa bentuk, kecuali pada masa menjalankan kewajipan-kewajipan rasmi saya, sama

ada dalam masa atau selepas perkhidmatan saya dengan Seri Paduka Baginda Yang di-

Pertuan Agong atau dengan mana-mana Kerajaan dalam Malaysia dengan tidak terlebih

dahulu mendapat kebenaran bertulis pihak berkuasa yang berkenaan. Saya berjanji dan

mengaku akan menandatangani suatu akuan selanjutnya bagi maksud ini apabila tamat

projek Kerajaan.

Tandatangan :………………………………………………………………….

Nama dengan Huruf Besar :…………………………………………………..

No Kad Pengenalan :………………………………………………………….

Jawatan :……………………………………………………………………...

Jabatan :……………………………………………………………………….

Tarikh :………………………………………………………………………..



versi - portal rasmi jabatan perkhidmatan awam malaysia - public

Documents