Upload
vancong
View
248
Download
1
Embed Size (px)
Citation preview
DASAR KESELAMATAN ICT KKR
RUJUKAN VERSI TARIKH M/SURAT
DKICT(KKR) 2.0 08/05/09 1 dari 62
KEMENTERIAN KERJA RAYA MALAYSIA
DASAR KESELAMATAN ICT
BAHAGIAN PENGURUSAN MAKLUMAT KEMENTERIAN KERJA RAYA
2009
DASAR KESELAMATAN ICT KKR
RUJUKAN VERSI TARIKH M/SURAT
DKICT(KKR) 2.0 08/05/09 2 dari 62
Cetakan Pertama 2009 Kementerian Kerja Raya Penasihat Y. Bhg. Datuk Thomas George A/L M.S.George Ketua Setiausaha Kementerian Kerja Raya Penyelaras En. Mat Naain Bin Mat Jusoh Setiausaha Bahagian Bahagian Pengurusan Maklumat Kementerian Kerja Raya E-mel : [email protected] Editor En. Azlin Shah Bin Ihsan Pn. Fazlina Hashim Pn. Jayaletchumi T. Sambantha Moorthy ISBN : 978-983-44278-0-1 Penerbitan Bahagian Pengurusan Maklumat Kementerian Kerja Raya Tingkat 4, Blok B, Kompleks Kementerian Kerja Raya Jalan Sultan Salahuddin 50580 Kuala Lumpur, Malaysia Tel : 603-2771 4513 Faks : 603-2711 4433 Laman web : www.kkr.gov.my
Versi pertama telah dicetak pada tahun 2007
DASAR KESELAMATAN ICT KKR
RUJUKAN VERSI TARIKH M/SURAT
DKICT(KKR) 2.0 08/05/09 3 dari 62
KANDUNGAN PENGENALAN 12 OBJEKTIF 12 SKOP 12 PRINSIP-PRINSIP 12 CIRI-CIRI KESELAMATAN MAKLUMAT 14 PERKARA 01 PEMBANGUNAN DAN PENYELENGGARAAN DASAR 15 Dasar Keselamatan ICT KKR 15 DK-010101 Pelaksanaan Dasar 15 DK-010102 Penyebaran Dasar 15 DK-010103 Penyelenggaraan Dasar 15 DK-010104 Pemakaian Dasar 15 PERKARA 02 ORGANISASI KESELAMATAN 16 Infrastruktur Keselamatan Organisasi 16 DK-020101 Ketua Setiausaha KKR 16 DK-020102 Ketua Pegawai Maklumat (CIO) 16 DK-020103 Pegawai Keselamatan ICT (ICTSO) 17 DK-020104 Pengurus ICT 18 DK-020105 Pentadbir Sistem ICT 18 DK-020106 Pentadbir Rangkaian 19 DK-020107 Penyelaras ICT 19 DK-020108 Pengguna 20 Pihak Ketiga 21 DK-020201 Keperluan Keselamatan Kontrak dengan Pihak Ketiga 21 PERKARA 03 KAWALAN DAN PENGELASAN ASET 22 Akauntabiliti Aset 22 DK-030101 Inventori Aset ICT 22 Pengelasan dan Pengendalian Maklumat 22 DK-030201 Pengelasan Maklumat 22 DK-030202 Pengendalian Maklumat 22
DASAR KESELAMATAN ICT KKR
RUJUKAN VERSI TARIKH M/SURAT
DKICT(KKR) 2.0 08/05/09 4 dari 62
PERKARA 04 KESELAMATAN SUMBER MANUSIA 24 Keselamatan ICT Dalam Tugas Harian 24 DK-040101 Tanggungjawab Keselamatan 24 DK-040102 Terma dan Syarat Perkhidmatan 24 DK-040103 Perakuan Akta Rahsia Rasmi 24 Menangani Insiden Keselamatan ICT 24 DK-040201 Pelaporan Insiden 24 Pendidikan 25 DK-040301 Program Kesedaran Keselamatan ICT 25 Tindakan Tatatertib 25 DK-040401 Pelanggaran Dasar 25
PERKARA 05 KESELAMATAN FIZIKAL 26 Keselamatan Kawasan 26 DK-050101 Perimeter Keselamatan Fizikal 26 DK-050102 Kawalan Masuk Fizikal 26 DK-050103 Kawasan Larangan 27 Keselamatan Aset ICT 28 DK-050201 Perkakasan 28 DK-050202 Dokumen 28 DK-050203 Media Storan 29 DK-050204 Kabel 30 DK-050205 Penyelenggaraan 30 DK-050206 Peminjaman Perkakasan Untuk Kegunaan di Luar Pejabat 31 DK-050207 Pengendalian Peralatan Luar Dibawa Masuk 32 DK-050208 Pelupusan 32 DK-050209 Clear Desk dan Clear Screen 32 Keselamatan Persekitaran 33 DK-050301 Kawalan Persekitaran 33 DK-050302 Bekalan Kuasa 34 DK-050303 Prosedur Kecemasan 34
DASAR KESELAMATAN ICT KKR
RUJUKAN VERSI TARIKH M/SURAT
DKICT(KKR) 2.0 08/05/09 5 dari 62
PERKARA 06 PENGURUSAN OPERASI DAN KOMUNIKASI 36 Pengurusan Prosedur Operasi 36 DK-060101 Pengendalian Prosedur 36 DK-060102 Kawalan Perubahan 36 Perancangan dan Penerimaan Sistem 37 DK-060201 Perancangan Kapasiti 37 DK-060202 Penerimaan Sistem 37 Perisian Berbahaya 38 DK-060301 Perlindungan dan Perisian Berbahaya 38 Housekeeping 39 DK-060401 Penduaan (backup) 39 DK-060402 Sistem Log 39 Pengurusan Rangkaian 40 DK-060501 Kawalan Infrastruktur Rangkaian 40 Pengurusan Media 42 DK-060601 Penghantaran dan Pemindahan 42 DK-060602 Prosedur Pengendalian Media 42 DK-060603 Keselamatan Dokumentasi Sistem 43 Keselamatan Komunikasi 43 DK-060701 Internet 43 DK-060702 Mel Elektronik (E-Mel) 44 Pemantauan 46 DK-060801 Merekodkan Maklumat 46 PERKARA 07 PENGURUSAN INSIDEN 47 Prosedur Pengurusan Insiden 47 DK-070101 Kawalan Pengurusan Insiden 47 DK-070102 Insiden Keselamatan ICT 47 DK-070103 Pelaporan Insiden 48 PERKARA 08 KAWALAN CAPAIAN 49 Dasar Kawalan Capaian 49 DK-080101 Keperluan Dasar 49
DASAR KESELAMATAN ICT KKR
RUJUKAN VERSI TARIKH M/SURAT
DKICT(KKR) 2.0 08/05/09 6 dari 62
Pengurusan Capaian Pengguna 49 DK-080201 Akaun Pengguna 49 DK-080202 Jejak Audit 50 Kawalan Capaian Sistem ICT 51 DK-080301 Sistem Maklumat dan Aplikasi 51 DK-080302 Rangkaian 51 DK-080303 Sistem Operasi 53 Perkakasan ICT Mudah Alih 54 DK-080401 Penggunaan Perkakasan ICT Mudah Alih dan Kerja Jarak Jauh 54 PERKARA 09 PEMBANGUNAN DAN PENYELENGGARAAN SISTEM 55
Keselamatan dalam Membangunkan Sistem dan Aplikasi 55
DK-090101 Keperluan Keselamatan 55 Kriptografi 55 DK-090201 Enkripsi (encryption) 55 DK-090202 Tandatangan Digital 55 DK-090203 Pengurusan Kunci 56 Fail Sistem 56 DK-090301 Kawalan Fail Sistem 56 Pembangunan dan Proses Sokongan 56 DK-090401 Kawalan Perubahan 56 PERKARA 10 PENGURUSAN KESINAMBUNGAN PERKHIDMATAN 58 Dasar Kesinambungan Perkhidmatan 58 DK-100101 Pelan Kesinambungan Perkhidmatan 58 PERKARA 11 PEMATUHAN 59 Pematuhan dan Keperluan Perundangan 59 DK-110101 Pematuhan Dasar 59 DK-110102 Keperluan Perundangan/Peraturan/Garis Panduan 59
DASAR KESELAMATAN ICT KKR
RUJUKAN VERSI TARIKH M/SURAT
DKICT(KKR) 2.0 08/05/09 7 dari 62
DEFINISI Aset ICT
Data, maklumat, perkakasan, perisian, aplikasi, rangkaian, dokumentasi dan kemudahan ICT yang berada di bawah tanggungjawab KKR
Audit trail
Log yang dijana dari komputer, pelayan, router, firewall dan rangkaian bagi tindakan keselamatan
Ketua Jabatan/Agensi
Termasuk Ketua Pengarah Kerja Raya,Ketua Eksekutif, Presiden, Timbalan Ketua Setiausaha,Timbalan Ketua Pengarah dan Pengarah/Setiausaha Bahagian
Mobile Code
Perisian yang diperolehi dari sistem luar atau jauh (remote), dipindahkan melalui rangkaian dan kemudiannya dilaksanakan pada sistem local tanpa instalasi nyata (explicit) atau pelaksanaan oleh penerima. Contoh mobile code ialah termasuklah scripts (JavaScript, VBScript), Java applets, ActiveX controls, Flash animations, Shockwave movies (and Xtras), and macros di dalam dokumen office
Pasukan Penyelaras Keselamatan ICT KKR
Pasukan yang menyelaraskan keselamatan aset ICT
Pegawai Aset
Pegawai yang bertanggungjawab ke atas pengurusan inventori aset ICT Agensi/Bahagian/Cawangan/ Unit.
Pegawai Keselamatan
Pegawai Keselamatan Agensi/ Bahagian/ Cawangan/ Unit yang dilantik. Pegawai yang perlu dirujuk sekiranya terdapat cadangan pengwujudan jawatan, pengambilan dan latihan penjawat-penjawat awam yang menjalani tugas perkhidmatan pengawalan keselamatan termasuk penggunaan perkhidmatan pengawal swasta di semua Jabatan Kerajaan.
DASAR KESELAMATAN ICT KKR
RUJUKAN VERSI TARIKH M/SURAT
DKICT(KKR) 2.0 08/05/09 8 dari 62
Pegawai Teknikal
Pegawai Teknologi Maklumat, Penolong Pegawai Teknologi Maklumat, Juruteknik Komputer, Operator Mesin Pemprosesan Data (OMPD) dan pegawai lain yang bertanggungjawab mengendalikan aset ICT.
Pengguna
Warga KKR, pembekal, kontraktor, pakar runding dan lain-lain yang menggunakan aset ICT .
Pengurus ICT
Ketua yang menguruskan Bahagian/ Cawangan/ Unit ICT
Pentadbir Rangkaian
Pegawai yang bertanggungjawab dalam mentadbir, membina dan menguji rangkaian
Pentadbir Sistem
Pegawai yang bertanggungjawab mentadbir sesuatu sistem
Penyelaras ICT
Penyelaras ICT Bahagian/Cawangan yang dilantik oleh Ketua Jabatan/Agensi masing-masing.
Rahsia
Dokumen terperingkat yang membahayakan Keselamatan Negara dan menyebabkan kerosakan besar kepada kepentingan dan martabat Malaysia atau memberi keuntungan besar kepada kuasa asing.
Rahsia Besar
Dokumen terperingkat dimana jika terdedah akan menyebabkan kerosakan yang amat besar kepada Malaysia
Sulit
Dokumen terperingkat dimana jika didedahkan tidak membahayakan keselamatan tetapi memudaratkan kepentingan atau martabat atau kegiatan kerajaan atau perseorangan atau memalukan atau menyusahkan kepada pentadbiran atau memberi keuntungan besar kepada negara asing.
DASAR KESELAMATAN ICT KKR
RUJUKAN VERSI TARIKH M/SURAT
DKICT(KKR) 2.0 08/05/09 9 dari 62
Terhad
Maklumat-maklumat/dokumen-dokumen/ bahan-bahan rasmi selain daripada yang diperingkatkan Rahsia Besar, Rahsia atau Sulit tetapi berkehendakkan juga diberi satu tahap perlindungan keselamatan.
Warga KKR
Kakitangan KKR termasuk kakitangan Jabatan/Agensi/Bahagian/Cawangan/Unit
SINGKATAN CERT
Computer Emergency Response Team
CIO
Chief Information Officer
DK
Dasar Keselamatan
ICTSO
ICT Security Officer (Pegawai Keselamatan ICT)
JPICT
Jawatankuasa Pemandu ICT
DASAR KESELAMATAN ICT KKR
RUJUKAN VERSI TARIKH M/SURAT
DKICT(KKR) 2.0 08/05/09 10 dari 62
KATA-KATA ALUAN KETUA SETIAUSAHA KEMENTERIAN KERJA RAYA Terlebih dahulu saya ingin mengucapkan tahniah kepada Bahagian Pengurusan
Maklumat di atas kejayaan menghasilkan satu lagi penerbitan bertajuk Dasar
Keselamatan ICT Kementerian Kerja Raya untuk dijadikan rujukan khasnya oleh
warga Kementerian ini.
Adalah menjadi hasrat kerajaan untuk meningkatkan keberkesanan sistem
penyampaian melalui penggunaan ICT. Selaras dengan hasrat ini, Kementerian
Kerja Raya telah meningkatkan penggunaan ICT dalam meningkatkan kualiti
penyampaian perkhidmatan dengan menyediakan lebih banyak saluran interaktif
seperti sms, aplikasi laman web dan teknologi komunikasi tanpa wayar untuk
digunakan.
Sejajar dengan kemajuan teknologi maklumat dan era dunia tanpa sempadan
pada hari ini, kita tidak dapat lari daripada ancaman siber seperti pencerobohan
data, fraud dan sebagainya. Sehubungan itu, adalah penting untuk kita selaku
pengguna ICT memahami dan mengetahui kaedah serta prosedur tertentu dalam
menggunakan aplikasi ICT secara berhemah yang seterusnya dapat
mengurangkan risiko daripada terdedah kepada pelbagai bentuk ancaman seperti
yang disebutkan.
Sebagai memenuhi hasrat ini, penerbitan dokumen Dasar Keselamatan ICT
diharap dapat dijadikan panduan oleh semua warga Kementerian di samping
memberi pendedahan mengenai kaedah penggunaan ICT yang selamat dan
penerangan mengenai bahaya ancaman ICT terhadap operasi Kementerian.
Justeru itu, saya menyeru kepada semua kakitangan Kementerian agar dapat
menggunakan peralatan ICT dengan bijak dan berhemah serta mematuhi arahan-
arahan keselamatan yang terkandung dalam Dasar Keselamatan ICT
Kementerian Kerja Raya.
Terima kasih.
Y. BHG. DATUK THOMAS GEORGE A/L M.S.GEORGE
DASAR KESELAMATAN ICT KKR
RUJUKAN VERSI TARIKH M/SURAT
DKICT(KKR) 2.0 08/05/09 11 dari 62
KATA-KATA ALUAN SETIAUSAHA BAHAGIAN PENGURUSAN MAKLUMAT Assalamualaikum dan salam sejahtera. Alhamdulillah segala puji bagi Allah di atas IzinNya julung kali Bahagian
Pengurusan Maklumat (BPM) berjaya mengeluarkan satu buku mengenai
keselamatan ICT yang dikenali sebagai Dasar Keselamatan ICT KKR.
Buku ini akan menjadi rujukan kepada semua warga KKR dalam pengurusan dan
pelaksanaan ICT yang berkaitan dengan isu-isu keselamatan perkakasan,
perisian dan juga maklumat. Kemajuan teknologi ICT yang begitu pesat
berkembang masa kini yang sangat memberi kesan kepada sistem penyampaian
perkhidmatan kerajaan. Soal keselamatan ICT terutama “Maklumat” perlu di ambil
perhatian yang serius. Gejala-gejala negatif yang merupakan agen dalam
pencerobohan maklumat secara siber semakin giat aktif masa kini. Amat bahaya
sekali apabila perkara ini berlaku diluar kawalan fisikal dimana ianya menerusi
jaringan rangkaian awam (internet) yang terdedah kepada umum.
Justeru itu, dengan adanya Dasar Keselamatan ini maka setiap pengguna ICT
di KKR akan lebih berhati-berhati dan sentiasa merujuk kepada langkah-langkah
keselamatan yang tertera dalam buku ini. Pematuhan kepada keselamatan seperti
yang terkandung dalam Dasar Keselamatan ini adalah wajib dipatuhi dan
sebarang penyelewengan boleh menyebabkan seseorang pegawai atau
kakitangan diambil tindakan yang sewajarnya. Oleh itu saya menyeru kepada
semua warga KKR agar mematuhi segala peraturan keselamatan ICT yang telah
digariskan agar pelaksanaan program ICT di KKR berjaya mencapai matlamat
dan selamat daripada sebarang insiden keselamatan ICT. Akhir kata, setinggi-tinggi penghargaan dan ucapan tahniah saya rakamkan
kepada semua pegawai dan kakitangan yang telah terlibat secara langsung atau
tak langsung dalam usaha penerbitan buku Dasar Keselamatan ICT KKR ini.
Terima Kasih. “Keselamatan Tanggungjawab Bersama”
MAT NAAIN BIN MAT JUSOH
DASAR KESELAMATAN ICT KKR
RUJUKAN VERSI TARIKH M/SURAT
DKICT(KKR) 2.0 08/05/09 12 dari 62
PENGENALAN
Dasar Keselamatan ICT KKR mengandungi peraturan-peraturan yang mesti
dibaca dan dipatuhi dalam menggunakan aset teknologi maklumat dan
komunikasi (ICT) Kementerian Kerja Raya (KKR) termasuk Jabatan/Agensi
dibawahnya. Dasar ini juga menerangkan kepada semua pengguna di KKR
mengenai tanggungjawab dan peranan mereka dalam melindungi aset ICT KKR.
Aset ICT termasuk data, maklumat, perkakasan, perisian, aplikasi, rangkaian,
dokumentasi dan kemudahan ICT yang berada di bawah tanggungjawab KKR.
OBJEKTIF
Dasar Keselamatan ICT KKR diwujudkan untuk menjamin kesinambungan urusan
KKR dengan meminimumkan kesan insiden keselamatan ICT.
SKOP
Dasar ini meliputi semua sumber atau aset ICT yang digunakan seperti :
a. Maklumat (contoh: fail, dokumen, data elektronik),
b. Perisian (contoh: aplikasi dan sistem perisian),
c. Fizikal (contoh: komputer, peralatan komunikasi dalam rangkaian berwayar
dan tanpa wayar serta media magnet).
Dasar ini terpakai kepada semua pengguna yang menggunakan aset ICT di KKR.
PRINSIP-PRINSIP Prinsip-prinsip yang menjadi asas kepada Dasar Keselamatan ICT KKR dan perlu
dipatuhi adalah seperti berikut:
a. Akses atas dasar perlu mengetahui
Akses terhadap penggunaan aset ICT hanya diberikan untuk tujuan
spesifik dan dihadkan kepada pengguna tertentu atas dasar “perlu
mengetahui” sahaja. Ini bermakna akses hanya akan diberikan sekiranya
peranan atau fungsi pengguna memerlukan maklumat tersebut.
Pertimbangan untuk akses adalah berdasarkan kategori maklumat seperti
DASAR KESELAMATAN ICT KKR
RUJUKAN VERSI TARIKH M/SURAT
DKICT(KKR) 2.0 08/05/09 13 dari 62
yang dinyatakan di dalam dokumen Arahan Keselamatan perenggan 53,
muka surat 17;
b. Hak akses minimum
Hak akses pengguna hanya diberi pada tahap set yang paling minimum
iaitu untuk membaca dan/atau melihat sahaja. Kelulusan perlu untuk
membolehkan pengguna mewujud, menyimpan, mengemas kini,
mengubah atau membatalkan sesuatu data atau maklumat. Hak akses
adalah dikaji dari semasa ke semasa berdasarkan kepada peranan dan
tanggungjawab pengguna/bidang tugas;
c. Akauntabiliti
Semua pengguna adalah bertanggungjawab ke atas semua tindakannya
terhadap aset ICT KKR.
d. Pengasingan
Tugas mewujud, memadam, mengemaskini, mengubah dan mengesahkan
data perlu diasingkan bagi mengelakkan daripada capaian yang tidak
dibenarkan serta melindungi aset ICT daripada kesilapan, kebocoran
maklumat terperingkat atau di manipulasi. Pengasingan juga merangkumi
tindakan memisahkan antara kumpulan operasi dan rangkaian;
e. Pengauditan
Pengauditan adalah untuk mengenal insiden berkaitan keselamatan atau
mengenal pasti keadaan yang mengancam keselamatan. Ia membabitkan
pemeliharaan semua rekod berkaitan tindakan keselamatan. Dengan itu,
aset ICT seperti komputer, pelayan, router, firewall dan rangkaian
hendaklah ditentukan dapat menjana dan menyimpan log tindakan
keselamatan atau audit trail;
f. Pematuhan
Dasar Keselamatan ICT KKR hendaklah dibaca, difahami dan dipatuhi bagi
mengelakkan sebarang bentuk pelanggaran ke atasnya yang boleh
membawa ancaman kepada keselamatan aset ICT;
DASAR KESELAMATAN ICT KKR
RUJUKAN VERSI TARIKH M/SURAT
DKICT(KKR) 2.0 08/05/09 14 dari 62
g. Pemulihan
Pemulihan sistem amat perlu untuk memastikan kebolehsediaan dan
kebolehcapaian. Objektif utama adalah untuk meminimumkan sebarang
gangguan atau kerugian akibat daripada ketidaksediaan. Pemulihan boleh
dilakukan melalui aktiviti penduaan dan mewujudkan pelan pemulihan
bencana/kesinambungan perkhidmatan; dan
h. Saling bergantungan
Setiap prinsip di atas adalah saling lengkap-melengkapi dan bergantung
antara satu sama lain. Dengan itu, tindakan mempelbagaikan pendekatan
dalam menyusun dan mencorakkan sebanyak mungkin mekanisme
keselamatan adalah perlu bagi menjamin keselamatan yang maksimum.
CIRI-CIRI KESELAMATAN MAKLUMAT
a. Kerahsiaan Maklumat tidak boleh didedahkan sewenang-wenangnya atau dibiarkan di
akses tanpa kebenaran;
b. Integriti
Data dan maklumat hendaklah tepat, lengkap dan kemaskini. Ia hanya
boleh diubah dengan cara yang dibenarkan;
c. Tidak boleh disangkal
Punca data dan maklumat hendaklah dari punca yang sah dan tidak boleh
disangkal;
d. Kesahihan
Data dan maklumat hendaklah dijamin kesahihannya; dan
e. Kebolehsediaan
Data dan maklumat hendaklah boleh diakses pada bila-bila masa.
DASAR KESELAMATAN ICT KKR
RUJUKAN VERSI TARIKH M/SURAT
DKICT(KKR) 2.0 08/05/09 15 dari 62
PERKARA 01 - PEMBANGUNAN DAN PENYELENGGARAAN DASAR
01 Dasar Keselamatan ICT
DK-010101 Pelaksanaan Dasar
Tanggungjawab melaksanakan dasar
Pelaksanaan dasar ini adalah tanggungjawab Ketua Setiausaha KKR dengan dibantu oleh Pasukan Pengurusan Keselamatan ICT yang terdiri daripada Ketua Pegawai Maklumat (CIO), Pegawai Keselamatan ICT (ICTSO) dan Ketua Jabatan/Agensi
Ketua Setiausaha KKR, Ketua
Jabatan/Agensi, Pengurus ICT
DK-010102 Penyebaran Dasar
Penyebaran Dasar ini bertujuan memastikan hala tuju pengurusan organisasi untuk melindungi aset ICT selaras dengan kehendak perundangan, Dasar ini perlu disebarkan kepada semua pengguna KKR yang berurusan dengan KKR.
ICTSO
DK-010103 Penyelenggaraan Dasar
Penyelarasan mengikut perubahan dan keperluan semasa
Dasar Keselamatan ICT KKR adalah tertakluk kepada semakan dan pindaan dari semasa ke semasa selaras dengan perubahan teknologi, aplikasi, prosedur, perundangan atau kepentingan sosial. Berikut adalah prosedur yang berhubung dengan penyelenggaraan Dasar keselamatan ICT KKR: a. Kenal pasti dan tentukan perubahan yang
diperlukan; b. Kemukakan cadangan pindaan secara
bertulis kepada ICTSO untuk pembentangan dan persetujuan JPICT; dan
c. Perubahan yang telah dipersetujui oleh JPICT dimaklumkan kepada semua pengguna;
ICTSO
DK- 010104 Pemakaian Dasar
Pemakaian tanpa pengecualian
Dasar keselamatan ICT KKR adalah terpakai kepada semua pengguna Aset ICT KKR dan tiada pengecualian diberikan.
Pengguna
DASAR KESELAMATAN ICT KKR
RUJUKAN VERSI TARIKH M/SURAT
DKICT(KKR) 2.0 08/05/09 16 dari 62
PERKARA 02 - ORGANISASI KESELAMATAN
01 Infrastruktur Organisasi Keselamatan
Objektif : Menerangkan peranan dan tanggungjawab individu yang terlibat dengan lebih jelas dan teratur dalam mencapai objektif organisasi.
DK-020101 Ketua Setiausaha KKR
Peranan dan tanggungjawab Ketua Setiausaha KKR
Peranan dan tanggungjawab Ketua Setiausaha KKR adalah seperti berikut: a. Memastikan semua pengguna memahami
dan mematuhi Dasar Keselamatan ICT KKR;
b. Memastikan semua keperluan organisasi (sumber kewangan, sumber kakitangan dan perlindungan keselamatan) adalah mencukupi; dan
c. Memastikan penilaian risiko dan program keselamatan ICT dilaksanakan seperti yang ditetapkan di dalam Dasar Keselamatan ICT KKR.
Ketua Setiausaha KKR
DK-020102 Ketua Pegawai Maklumat (CIO)
Peranan dan tanggung jawab CIO
Peranan dan tanggung jawab CIO adalah seperti berikut: a. Membantu dan menasihati Ketua
Setiausaha/ Ketua Jabatan/Agensi dalam melaksanakan tugas-tugas yang melibatkan keselamatan ICT;
b. CIO Kementerian Kerja Raya mengetuai CERT KKR;
c. Menentukan keperluan keselamatan ICT; dan
d. Membangun dan menyelaras pelaksanaan pelan latihan dan program kesedaran mengenai keselamatan ICT.
Nota: Merujuk kepada surat pelantikan rasmi CIO oleh KSU KKR atau Ketua Jabatan/Agensi.
CIO
DASAR KESELAMATAN ICT KKR
RUJUKAN VERSI TARIKH M/SURAT
DKICT(KKR) 2.0 08/05/09 17 dari 62
PERKARA 02 - ORGANISASI KESELAMATAN
DK-020103 Pegawai Keselamatan ICT (ICTSO)
Peranan dan tanggungjawab ICTSO
Peranan dan tanggungjawab ICTSO adalah seperti berikut: a. Mengurus keseluruhan program-program
keselamatan ICT KKR; b. Menguatkuasakan Dasar Keselamatan ICT
KKR; c. Memberi penerangan dan pendedahan
berkenaan Dasar Keselamatan ICT KKR kepada semua pengguna;
d. Mewujudkan garis panduan, prosedur dan tatacara selaras dengan keperluan Dasar Keselamatan ICT KKR;
e. Menjalankan pengurusan risiko; f. Menjalankan audit, mengkaji semula,
merumus tindak balas pengurusan agensi berdasarkan hasil penemuan dan menyediakan laporan mengenainya;
g. Memberi amaran terhadap kemungkinan berlakunya ancaman berbahaya seperti virus dan memberi khidmat nasihat serta menyediakan langkah - langkah perlindungan yang bersesuaian;
h. Melaporkan insiden keselamatan ICT kepada Pasukan Tindak Balas Insiden Keselamatan ICT (GCERT) MAMPU dan memaklumkannya kepada CIO dan CERT KKR;
i. Bekerjasama dengan semua pihak yang berkaitan dalam mengenal pasti punca ancaman atau insiden keselamatan ICT dan memperakukan langkah-langkah baik pulih dengan segera;
j. Memperakui proses pengambilan tindakan tatatertib ke atas pengguna yang melanggar Dasar Keselamatan ICT KKR; dan
k. Menyedia dan melaksanakan program kesedaran mengenai keselamatan ICT.
ICTSO
DASAR KESELAMATAN ICT KKR
RUJUKAN VERSI TARIKH M/SURAT
DKICT(KKR) 2.0 08/05/09 18 dari 62
PERKARA 02 - ORGANISASI KESELAMATAN
Nota: Merujuk kepada surat pelantikan rasmi ICTSO oleh KSU KKR atau Ketua Jabatan/Agensi.
DK-020104 Pengurus ICT
Peranan dan tanggungjawab Pengurus ICT
Peranan dan tanggung jawab Pengurus ICT adalah seperti berikut: a. Memahami dan mematuhi Dasar
Keselamatan ICT KKR; b. Menentukan kawalan akses semua
pengguna terhadap aset ICT kerajaan; c. Melaporkan sebarang perkara atau
penemuan mengenai keselamatan ICT kepada ICTSO; dan
d. Memastikan penyimpanan rekod, bahan bukti dan laporan terkini mengenai ancaman keselamatan ICT KKR dilaksanakan.
Pengurus ICT
DK-020105 Pentadbir Sistem ICT
Peranan dan tanggungjawab Pentadbir Sistem ICT
Peranan dan tanggungjawab Pentadbir Sistem ICT adalah seperti berikut: a. Memahami dan mematuhi Dasar
Keselamatan ICT KKR; b. Bertanggungjawab atas operasi Pusat
Data Kementerian/ Jabatan/ Agensi masing-masing;
c. Mengambil tindakan yang bersesuaian dengan segera apabila dimaklumkan mengenai pegawai atau kakitangan yang berhenti, bertukar, bercuti atau berlaku perubahan dalam bidang tugas;
d. Menentukan ketepatan dan kesempurnaan sesuatu tahap capaian berdasarkan arahan pemilik sumber maklumat sebagaimana yang telah ditetapkan di dalam Dasar Keselamatan ICT KKR;
e. Memantau aktiviti capaian harian pengguna;
Pentadbir Sistem ICT
DASAR KESELAMATAN ICT KKR
RUJUKAN VERSI TARIKH M/SURAT
DKICT(KKR) 2.0 08/05/09 19 dari 62
PERKARA 02 - ORGANISASI KESELAMATAN
f. Mengenal pasti aktiviti-aktiviti tidak normal seperti pencerobohan dan pengubahsuaian data tanpa kebenaran dan membatalkan atau memberhentikannya dengan serta-merta;
g. Menyimpan dan menganalisis rekod jejak audit; dan
h. Menyediakan laporan mengenai aktiviti capaian kepada pemilik maklumat berkenaan secara berkala.
DK-020106 Pentadbir Rangkaian
Peranan dan tanggungjawab Pentadbir Rangkaian
Peranan dan tanggungjawab Pentadbir Rangkaian adalah seperti berikut: a. Memahami dan mematuhi Dasar
Keselamatan ICT KKR; b. Memantau penggunaan rangkaian
komputer Kementerian/Jabatan/Agensi; c. Menyediakan laporan aktiviti rangkaian; d. Memastikan pengurusan keselamatan
berjalan dengan sempurna; e. Memantau aktiviti capaian harian
pengguna; f. Mengenal pasti aktiviti-aktiviti tidak normal
seperti pencerobohan dan pengubahsuaian data tanpa kebenaran dan membatalkan atau memberhentikannya dengan serta-merta;
g. Menyimpan dan menganalisis rekod jejak audit; dan
h. Menyediakan laporan mengenai aktiviti capaian kepada pemilik maklumat berkenaan secara berkala.
Pentadbir Rangkaian
DK-020107 Penyelaras ICT
Peranan dan tanggungjawab Penyelaras ICT.
Peranan dan tanggungjawab Penyelaras ICT adalah seperti berikut: a. Menyelaras aktiviti ICT di Bahagian/
Cawangan/ Unit; dan
Penyelaras ICT Bahagian/Cawangan/
Unit
DASAR KESELAMATAN ICT KKR
RUJUKAN VERSI TARIKH M/SURAT
DKICT(KKR) 2.0 08/05/09 20 dari 62
PERKARA 02 - ORGANISASI KESELAMATAN
b. Melaporkan sebarang perkara atau penemuan mengenai keselamatan ICT kepada ICTSO.
DK-020108 Pengguna
Peranan dan tanggungjawab pengguna
Peranan dan tanggungjawab pengguna adalah seperti berikut: a. Membaca, memahami dan mematuhi
Dasar Keselamatan ICT KKR; b. Mengetahui dan memahami implikasi
keselamatan ICT kesan dari tindakannya; c. Melaksana prinsip-prinsip Dasar
Keselamatan ICT dan menjaga kerahsiaan maklumat KKR;
d. Melaksana langkah-langkah perlindungan seperti berikut: i. Menghalang pendedahan maklumat
kepada pihak yang tidak dibenarkan; ii. Memeriksa maklumat dan menentukan
ia tepat dan lengkap dari semasa ke semasa;
iii. Menentukan maklumat sedia untuk digunakan;
iv. Menjaga kerahsiaan kata laluan; v. Mematuhi standard, prosedur, langkah
dan garis panduan keselamatan yang ditetapkan;
vi. Memberi perhatian kepada maklumat terperingkat terutama semasa pewujudan,pemprosesan,penyimpanan, penghantaran,penyampaian, pertukaran dan pemusnahan; dan
vii. Menjaga kerahsiaan langkah-langkah keselamatan ICT dari diketahui umum.
e. Melaporkan sebarang aktiviti yang mengancam keselamatan ICT kepada Penyelaras ICT dengan segera;
f. Menghadiri program-program kesedaran mengenai keselamatan ICT; dan
Pengguna
DASAR KESELAMATAN ICT KKR
RUJUKAN VERSI TARIKH M/SURAT
DKICT(KKR) 2.0 08/05/09 21 dari 62
PERKARA 02 - ORGANISASI KESELAMATAN
g. Menandatangani surat akuan pematuhan Dasar Keselamatan ICT KKR.
02 Pihak Ketiga
Objektif : Menjamin keselamatan semua aset ICT yang digunakan oleh pihak ketiga.
DK-020201 Keperluan keselamatan Kontrak dengan Pihak Ketiga
Akses kepada aset ICT KKR perlu berlandaskan kepada perjanjian kontrak. Perkara-perkara berikut hendaklah dimasukkan di dalam perjanjian yang dimateraikan: a. Dasar Keselamatan ICT MAMPU; b. Tapisan Keselamatan; c. Perakuan Akta Rahsia Rasmi 1972
dimana adalah menjadi kesalahan seksyen 8 Akta Rahsia Rasmi sekiranya sebarang rahsia rasmi dibocorkan;
d. Hak Harta Intelek; dan Pihak Ketiga adalah bertanggungjawab untuk mendapatkan Hak Harta Intelek untuk sebarang perkakasan dan perisian yang dibekalkan kepada KKR. KKR tidak akan bertanggungjawab ke atas sebarang isu yang berkaitan dengan Hak Harta Intelek perkakasan dan perisian yang dibekalkan.
e. Klausa Disclaimer Klausa Disclaimer hendaklah disediakan sekiranya pengguna dibenarkan mengakses maklumat yang dibekalkan oleh KKR.
Nota: Surat Pekeliling Perbendaharaan Bilangan 5 Tahun 2007 bertajuk “Tatacara Pengurusan Perolehan Kerajaan secara Tender” dan Surat Pekeliling Perbendaharaan Bilangan 3 Tahun 1995 bertajuk “Peraturan Perolehan Perkhidmatan Perundingan” yang berkaitan juga boleh dirujuk.
Ketua Setiausaha KKR
DASAR KESELAMATAN ICT KKR
RUJUKAN VERSI TARIKH M/SURAT
DKICT(KKR) 2.0 08/05/09 22 dari 62
PERKARA 03 - KAWALAN DAN PENGELASAN ASET
01 Akauntabiliti Aset
Objektif : Memberi dan menyokong perlindungan yang bersesuaian ke atas semua aset ICT KKR DK-030101 Inventori Aset ICT
Semua aset ICT KKR hendaklah direkodkan. Ini termasuklah mengenal pasti aset, mengelas aset mengikut tahap sensitiviti aset berkenaan dan merekodkan maklumat seperti pemilik dan sebagainya. Setiap pengguna adalah bertanggungjawab ke atas semua aset ICT di bawah kawalannya.
Pegawai aset/ Pentadbir Sistem/
Pentadbir Rangkaian
Pengguna
02 Pengelasan dan Pengendalian Maklumat
Objektif: Memastikan setiap maklumat atau aset ICT diberikan tahap perlindungan yang bersesuaian.
DK-030201 Pengelasan Maklumat
Maklumat mesti dikelaskan dan dilabelkan sewajarnya. Setiap maklumat yang dikelaskan mestilah mempunyai peringkat keselamatan sebagaimana yang telah ditetapkan di dalam dokumen. Arahan Keselamatan seperti berikut: a. Rahsia Besar; b. Rahsia; c. Sulit; atau d. Terhad.
Warga KKR
DK-030202 Pengendalian Maklumat
Aktiviti pengendalian maklumat seperti mengumpul, memproses, menyimpan, menghantar, menyampai, menukar dan memusnahkan hendaklah mengambil kira langkah-langkah keselamatan berikut: a. Menghalang pendedahan maklumat
kepada pihak yang tidak dibenarkan;
Warga KKR
DASAR KESELAMATAN ICT KKR
RUJUKAN VERSI TARIKH M/SURAT
DKICT(KKR) 2.0 08/05/09 23 dari 62
PERKARA 03 - KAWALAN DAN PENGELASAN ASET
b. Memeriksa, menyemak dan menentukan
maklumat ia tepat dan lengkap dari semasa ke semasa;
c. Menentukan maklumat sedia untuk digunakan;
d. Menjaga kerahsiaan kata laluan; e. Mematuhi standard, prosedur, langkah dan
garis panduan keselamatan yang ditetapkan;
f. Memberi perhatian kepada maklumat terperingkat terutama semasa pewujudan, pemprosesan, penyimpanan, penghantaran, penyampaian, pertukaran dan pemusnahan; dan
g. Menjaga kerahsiaan langkah-langkah keselamatan ICT dari diketahui umum.
DASAR KESELAMATAN ICT KKR
RUJUKAN VERSI TARIKH M/SURAT
DKICT(KKR) 2.0 08/05/09 24 dari 62
PERKARA 04 - KESELAMATAN SUMBER MANUSIA
01 Keselamatan ICT Dalam Tugas Harian
Objektif : Meminimumkan risiko seperti kesilapan, kecuaian, kecurian, penipuan dan penyalahgunaan aset ICT KKR.
DK-040101 Tanggungjawab Keselamatan
Peranan dan tanggungjawab pengguna terhadap keselamatan ICT mestilah lengkap, jelas, direkodkan, di patuhi dan dilaksanakan serta dinyatakan di dalam fail meja atau kontrak. Keselamatan ICT merangkumi tanggungjawab pengguna dalam menyediakan dan memastikan perlindungan ke atas semua aset atau sumber ICT yang digunakan di dalam melaksanakan tugas harian.
Pengguna
DK-040102 Terma dan Syarat Perkhidmatan
Warga KKR mesti mematuhi terma dan syarat perkhidmatan yang ditawarkan oleh peraturan semasa yang berkuat kuasa.
Warga KKR
DK-040103 Perakuan Akta Rahsia Rasmi
Pengguna yang menguruskan maklumat terperingkat hendaklah mematuhi semua peruntukan Akta Rahsia Rasmi 1972.
Pengguna
02 Menangani Insiden Keselamatan ICT
Objektif: Meminimumkan kesan insiden keselamatan ICT
DK-040201 Pelaporan Insiden
Insiden keselamatan ICT seperti berikut hendaklah dilaporkan kepada CERT KKR dengan kadar segera: a. Pelanggaran Dasar (Violation of Policy); b. Penghalangan Penyampaian Perkhidmatan
(Denial of Service); c. Pencerobohan (Intrusion); d. Pemalsuan (Forgery);
Pengguna
DASAR KESELAMATAN ICT KKR
RUJUKAN VERSI TARIKH M/SURAT
DKICT(KKR) 2.0 08/05/09 25 dari 62
PERKARA 04 - KESELAMATAN SUMBER MANUSIA
e. Spam; f. Malicious Code; g. Harrassment/Threats; h. Attempts/ HackThreats/ Information
Gathering; dan i. Kehilangan Fizikal (Physical Loss). Nota : Pekeliling Am Bilangan 1 Tahun 2001 bertajuk “Mekanisme Pelaporan Insiden Keselamatan ICT” dan Surat pekeliling Am Bilangan 4 Tahun 2006 bertajuk “Pengurusan Pengendalian Insiden Keselamatan Teknologi Maklumat Dan Komunikasi (ICT) Sektor Awam” mengenainya bolehlah dirujuk.
03 Pendidikan
Objektif: Meningkatkan pengetahuan dan kesedaran mengenai kepentingan keselamatan ICT.
DK-040301 Program Kesedaran Keselamatan ICT
Setiap pengguna di KKR perlu diberikan program kesedaran, latihan atau kursus mengenai keselamatan ICT yang mencukupi secara berterusan dalam melaksanakan tugas-tugas dan tanggungjawab mereka. Program menangani insiden juga dilihat penting sebagai langkah proaktif yang boleh mengurangkan ancaman keselamatan ICT KKR.
ICTSO dan
Pengurus ICT
04 Tindakan Tatatertib
Objektif: Meningkat kesedaran dan pematuhan ke atas Dasar Keselamatan ICT KKR
DK-040401 Pelanggaran Dasar
Pelanggaran Dasar Keselamatan ICT KKR akan dikenakan tindakan tatatertib.
Pengguna
DASAR KESELAMATAN ICT KKR
PERKARA 04 - KESELAMATAN SUMBER MANUSIA
01 Keselamatan Kawasan
Objektif : Mencegah akses fizikal yang tidak dibenarkan, kerosakan dan gangguan kepada premis dan maklumat.
DK-050101 Perimeter Keselamatan Fizikal
Keselamatan fizikal adalah bertujuan untuk menghalang, mengesan dan mencegah cubaan untuk menceroboh. Langkah-langkah keselamatan fizikal tidak terhad kepada langkah-langkah berikut: a. Mengenal pasti kawasan keselamatan
fizikal dengan jelas. Lokasi dan keteguhan keselamatan fizikal hendaklah bergantung kepada keperluan untuk melindungi aset dan hasil penilaian risiko;
b. Mempamerkan papan tanda kawasan larangan;
c. Memperkukuhkan tingkap dan pintu serta dikunci untuk mengawal kemasukan;
d. Memperkukuhkan dinding dan siling; e. Menghadkan jalan keluar masuk; f. Mengadakan kaunter kawalan; g. Menyediakan tempat atau bilik khas untuk
pelawat-pelawat; h. Mewujudkan perkhidmatan kawalan
keselamatan; dan i. Memasang alat penggera atau kamera
(CCTV) jika berkaitan.
Ketua Setiausaha, Timbalan Ketua
Setiausaha (Operasi), CIO,
ICTSO dan Penyelaras ICT.
DK-050102 Kawalan Masuk Fizikal
Kawalan masuk fizikal adalah bertujuan untuk mewujudkan kawalan keluar masuk ke premis/ bangunan di Kementerian/ Jabatan/ Agensi. a. Setiap pengguna KKR hendaklah memakai
atau mengenakan pas keselamatan sepanjang waktu bertugas;
b. Mendaftarkan setiap pelawat di pintu utama Kementerian/ Jabatan/ Agensi dahulu;
Pengguna
RUJUKAN VERSI TARIKH M/SURAT
PERKARA 05 – KESELAMATAN FIZIKAL
DKICT(KKR) 2.0 08/05/09 26 dari 62
DASAR KESELAMATAN ICT KKR
PERKARA 04 - KESELAMATAN SUMBER MANUSIA
c. Setiap pelawat boleh mendapat Pas
Keselamatan Pelawat di pintu masuk ke kawasan atau tempat berurusan dan hendaklah dikembalikan semula selepas tamat lawatan;
d. Menyerahkan balik semua Pas Keselamatan Kakitangan kepada Kementerian/ Jabatan/ Agensi apabila pengguna berhenti atau bersara;
e. Melaporkan kehilangan pas dengan segera kepada pentadbiran Kementerian/ Jabatan/ Agensi; dan
f. Hanya pengguna yang diberi kebenaran sahaja boleh mencapai atau menggunakan aset ICT KKR;
DK-050103 Kawasan Larangan
Kawasan larangan ditakrifkan sebagai kawasan yang dihadkan kemasukan. Hanya pegawai-pegawai dengan kebenaran atau yang berkuasa (mempunyai akses dalam bentuk kad) boleh memasuki kawasan larangan. Ini dilaksanakan untuk melindungi aset ICT yang terdapat di dalam kawasan tersebut. Kawasan larangan di KKR adalah bilik Menteri KKR, bilik Timbalan Menteri KKR, bilik Ketua Setiausaha KKR, Timbalan-Timbalan Ketua Setiausaha KKR, Pusat Data dan bilik riser. a. Secara umumnya peralatan ICT hendaklah
dijaga dan dikawal dengan baik oleh individu yang dipertanggungjawabkan dengan peralatan ICT tersebut;
b. Melarang pihak-pihak lain (selain daripada yang disebut di atas) sama sekali untuk memasuki kawasan larangan kecuali bagi kes-kes tertentu seperti memberi perkhidmatan sokongan atau bantuan teknikal, serta mereka hendaklah diiringi sepanjang masa sehingga tugas di kawasan berkenaan selesai; dan
Pengguna
PERKARA 05 – KESELAMATAN FIZIKAL
RUJUKAN VERSI TARIKH M/SURAT
DKICT(KKR) 2.0 08/05/09 27 dari 62
DASAR KESELAMATAN ICT KKR
PERKARA 04 - KESELAMATAN SUMBER MANUSIA
c. Semua penggunaan peralatan yang melibatkan penghantaran, kemas kini dan penghapusan maklumat rahsia rasmi hendaklah dikawal dan mendapat kebenaran daripada Ketua Setiausaha KKR.
02 Keselamatan Aset ICT
Objektif : Melindungi aset ICT daripada hilang, rosak, dicuri atau salah guna serta gangguan ke atas aktiviti KKR
DK-050201 Perkakasan
Secara umumnya aset ICT hendaklah dijaga dan dikawal dengan baik supaya boleh digunakan bila perlu. Perkara yang perlu dipatuhi adalah seperti berikut: a. Setiap pengguna hendaklah menyemak
dan memastikan semua perkakasan ICT di bawah kawalannya berfungsi dengan sempurna.
b. Menyimpan dan meletakkan semua perkakasan di tempat yang teratur, bersih dan mempunyai ciri-ciri keselamatan;
c. Setiap pengguna adalah bertanggungjawab di atas kerosakan atau kehilangan perkakasan ICT di bawah kawalannya; dan
d. Melaporkan kepada ICTSO mengenai sebarang bentuk penyelewengan atau salah guna perkakasan.
Pengguna
DK-050202 Dokumen
Bagi memastikan integriti maklumat, langkah-langkah pengurusan dokumentasi yang baik dan selamat perlu dilaksanakan. Perkara-perkara yang perlu dipatuhi adalah seperti berikut: a. Memastikan dokumentasi sistem atau
penyimpanan maklumat adalah selamat dan terjamin;
Pengguna
PERKARA 05 – KESELAMATAN FIZIKAL
RUJUKAN VERSI TARIKH M/SURAT
DKICT(KKR) 2.0 08/05/09 28 dari 62
DASAR KESELAMATAN ICT KKR
PERKARA 04 - KESELAMATAN SUMBER MANUSIA
b. Menggunakan tanda atau label keselamatan seperti Rahsia Besar, Rahsia, Sulit, Terhad dan Terbuka kepada dokumen;
c. Mewujudkan sistem pengurusan dokumen terperingkat bagi menerima, memproses, menyimpan dan menghantar dokumen terperingkat supaya ianya diuruskan berasingan daripada dokumen-dokumen tidak terperingkat;
d. Memastikan dokumen yang mengandungi bahan atau maklumat sensitif diambil segera dari media output; dan
e. Menghantar maklumat terperingkat melalui media elektronik hanya selepas mendapat kelulusan Ketua Jabatan/Agensi dan menggunakan enkripsi (encryption).
DK-050203 Media Storan (seperti pita magnetik, cakera keras, CD, disket, optical disk, removal disk (thumb drive/pen drive) dan sebagainya.
Keselamatan media storan perlu diberi perhatian khusus kerana ianya berupaya menyimpan maklumat yang besar. Langkah-langkah pencegahan seperti berikut hendaklah di ambil untuk memastikan kerahsiaan, integriti dan kebolehsediaan maklumat yang di simpan dalam media storan adalah terjamin dan selamat : a. Menyediakan ruang penyimpanan yang
baik dan mempunyai ciri-ciri keselamatan bersesuaian dengan kandungan maklumat;
b. Menghadkan akses untuk memasuki kawasan penyimpanan media kepada mereka atau pengguna yang dibenarkan sahaja;
c. Mendapat kelulusan pemilik maklumat terlebih dahulu sebelum menghapuskan maklumat atau kandungan;
d. Merekodkan sistem pengurusan media termasuk inventori, pergerakan, melabel dan penduaan (backup); dan
Pengguna
PERKARA 05 – KESELAMATAN FIZIKAL
RUJUKAN VERSI TARIKH M/SURAT
DKICT(KKR) 2.0 08/05/09 29 dari 62
DASAR KESELAMATAN ICT KKR
PERKARA 04 - KESELAMATAN SUMBER MANUSIA
e. Mengimbas untuk memastikan media
storan mudah alih (seperti thumb/pen drive, disket dan sebagainya) bebas dari virus dan apa-apa perisian yang boleh mengakibatkan berlakunya insiden keselamatan ICT.
DK-050204 Kabel
Kabel termasuk kabel elektrik dan komunikasi hendaklah di lindung kerana boleh menjadi punca maklumat menjadi terdedah. Perkara yang perlu dipatuhi adalah seperti berikut: a. Menggunakan kabel yang mengikut
spesifikasi yang telah ditetapkan; b. Melindungi kabel daripada kerosakan yang
disengajakan atau tidak disengajakan; c. Melindung laluan pemasangan kabel
sepenuhnya bagi mengelakkan ancaman kerosakan dan wire tapping; dan
d. Membuat penamaan kabel (pelabelan) menggunakan kod tertentu.
ICTSO/ Pentadbir Sistem ICT/ Pentadbir
Rangkaian/ Pegawai Teknikal/
Penyelaras ICT
DK-050205 Penyelenggaraan
Perkakasan hendaklah diselenggarakan dengan betul bagi memastikan kebolehsediaan dan integriti. Perkara yang perlu dipatuhi adalah seperti berikut: a. Mematuhi spesifikasi penyelenggaraan
yang ditetapkan oleh pengeluar perkakasan berkenaan apabila meyelenggarakan perkakasan;
b. Menyelenggara perkakasan dengan khidmat pegawai teknikal atau pihak yang dibenarkan sahaja;
c. Menyemak dan menguji semua perkakasan sebelum dan selepas proses penyelenggaraan dilakukan;
Pengguna
PERKARA 05 – KESELAMATAN FIZIKAL
RUJUKAN VERSI TARIKH M/SURAT
DKICT(KKR) 2.0 08/05/09 30 dari 62
DASAR KESELAMATAN ICT KKR
PERKARA 04 - KESELAMATAN SUMBER MANUSIA
d. Mendapatkan kebenaran daripada
Pengurus ICT di Kementerian/ Jabatan/ Agensi untuk melakukan sebarang penyelenggaraan dan proses naiktaraf; dan
e. Memaklumkan kepada pihak pengguna atau Penyelaras ICT sebelum melaksanakan penyelenggaraan pencegahan (preventive), penyelenggaraan pemulihan (remedial) atau atas keperluan tertentu.
DK-050206 Peminjaman Aset ICT Untuk Kegunaan Di luar Pejabat
Aset ICT yang dipinjam untuk kegunaan di luar pejabat adalah terdedah kepada pelbagai risiko. Langkah-langkah berikut boleh diambil untuk menjamin keselamatan aset ICT: a. Mendapat kelulusan Pengurus ICT di
Kementerian/ Jabatan/ Agensi untuk membawa keluar pejabat aset ICT dan tertakluk kepada tujuan yang dibenarkan;
b. Mendapat kelulusan Pengurus ICT di Kementerian/ Jabatan/ Agensi untuk memindahkan peralatan ICT di antara Bahagian/Cawangan/Unit di KKR;
c. Setiap bahagian perlu merekodkan aktiviti peminjaman dan pemulangan aset ICT di bahagian masing-masing;
d. Menyemak aset ICT yang dipulangkan berada dalam keadaan baik dan lengkap;
e. Aset ICT yang dipinjam perlu dilindungi dan dikawal sepanjang masa; dan
f. Penyimpanan atau penempatan aset ICT yang dipinjam mestilah mengambil kira ciri-ciri keselamatan yang bersesuaian.
Pengguna
PERKARA 05 – KESELAMATAN FIZIKAL
RUJUKAN VERSI TARIKH M/SURAT
DKICT(KKR) 2.0 08/05/09 31 dari 62
DASAR KESELAMATAN ICT KKR
PERKARA 04 - KESELAMATAN SUMBER MANUSIA
DK-050207 Pengendalian Aset ICT Yang Dibawa Masuk
Bagi aset ICT yang dibawa masuk ke premis kerajaan, perkara yang perlu dipatuhi adalah seperti berikut: a. Memastikan aset ICT yang dibawa masuk
tidak mengancam keselamatan ICT KKR; b. Mendapat kelulusan mengikut peraturan
yang telah ditetapkan oleh KKR bagi membawa masuk atau keluar aset ICT; dan
c. Memeriksa dan memastikan aset ICT yang dibawa keluar tidak mengandungi maklumat kerajaan. Ia perlu disalin dan dihapuskan.
Pengurus ICT
di Kementerian/ Jabatan/ Agensi
DK-050208 Pelupusan
Aset ICT yang hendak dilupuskan perlu melalui proses pelupusan semasa. Pelupusan aset ICT perlu dilakukan secara terkawal dan lengkap supaya maklumat tidak terlepas dari kawalan KKR. Perkara yang perlu dipatuhi adalah: a. Menghapuskan semua kandungan aset ICT
khususnya maklumat rahsia rasmi terlebih dahulu sebelum pelupusan sama ada melalui shredding, grinding, degauzing atau pembakaran; dan
b. Membuat penduaan sekiranya maklumat perlu disimpan oleh pengguna;
Nota: Maklumat lanjut pelupusan bolehlah merujuk kepada Surat Pekeliling Perbendaharaan Bilangan 5 Tahun 2007 bertajuk “Tatacara pengurusan Aset Alih Kerajaan”.
Pegawai Aset
DK-050209 Clear Desk dan Clear Screen
Semua maklumat dalam apa jua bentuk media hendaklah di simpan dengan teratur dan selamat bagi mengelakkan kerosakan, kecurian atau kehilangan. Clear Desk dan Clear Screen bermaksud tidak meninggalkan bahan-bahan yang sensitif terdedah sama ada
Warga KKR
PERKARA 05 – KESELAMATAN FIZIKAL
RUJUKAN VERSI TARIKH M/SURAT
DKICT(KKR) 2.0 08/05/09 32 dari 62
DASAR KESELAMATAN ICT KKR
PERKARA 04 - KESELAMATAN SUMBER MANUSIA
atas meja warga atau di paparan skrin apabila warga tidak berada di tempatnya. Perkara yang perlu dipatuhi adalah: a. Menggunakan kemudahan password
screen saver atau log keluar apabila meninggalkan komputer;
b. Menyimpan bahan-bahan sensitif dalam laci atau kabinet fail yang berkunci; dan
c. Memastikan kedudukan komputer yang digunakan oleh warga KKR tidak mendedahkan rahsia.
03 Keselamatan Persekitaran
Objektif : Melindungi aset ICT KKR dari sebarang bentuk ancaman persekitaran yang disebabkan oleh bencana alam, kesilapan, kecuaian atau kemalangan.
DK-050301 Kawalan Persekitaran
Bagi menghindarkan kerosakan dan gangguan terhadap premis dan aset ICT, semua cadangan berkaitan premis sama ada untuk memperoleh, menyewa, ubahsuai, pembelian hendaklah dirujuk terlebih dahulu kepada Pejabat Ketua Pegawai Keselamatan Kerajaan (KPKK). Bagi menjamin keselamatan persekitaran, langkah-langkah berikut hendaklah di ambil: a. Merancang dan menyediakan pelan
keseluruhan susun atur pusat data (bilik percetakan, peralatan komputer dan ruang atur pejabat dan sebagainya) dengan teliti;
b. Memastikan semua ruang pejabat khususnya kawasan yang mempunyai kemudahan ICT dilengkapi dengan perlindungan keselamatan yang mencukupi dan dibenarkan seperti alat pencegah kebakaran dan pintu kecemasan;
c. Memasang peralatan perlindungan di tempat yang bersesuaian, mudah dikenali dan dikendalikan;
Pengguna
PERKARA 05 – KESELAMATAN FIZIKAL
RUJUKAN VERSI TARIKH M/SURAT
DKICT(KKR) 2.0 08/05/09 33 dari 62
DASAR KESELAMATAN ICT KKR
PERKARA 04 - KESELAMATAN SUMBER MANUSIA
d. Menyimpan bahan mudah terbakar di luar kawasan kemudahan penyimpanan aset ICT;
e. Meletakkan semua bahan cecair di tempat yang bersesuaian dan berjauhan dari aset ICT;
f. Pengguna adalah dilarang merokok atau menggunakan peralatan memasak seperti cerek elektrik berhampiran peralatan komputer; dan
g. Menyemak dan menguji semua peralatan perlindungan sekurang-kurangnya dua (2) kali dalam setahun. ktiviti dan keputusan ujian ini perlu direkodkan bagi memudahkan rujukan dan tindakan sekiranya perlu.
DK-050302 Bekalan Kuasa
a. Melindungi semua peralatan ICT dari kegagalan bekalan elektrik dan menyalurkan bekalan yang sesuai kepada peralatan ICT;
b. Memastikan peralatan sokongan seperti UPS (Uninterruptable Power Supply) dan penjana (generator) boleh digunakan bagi perkhidmatan kritikal seperti di bilik server supaya mendapat bekalan kuasa berterusan; dan
c. Menyemak dan menguji semua peralatan sokongan bekalan kuasa secara berjadual.
Setiausaha Bahagian/ Ketua
Agensi
DK-050303 Prosedur Kecemasan
Perkara yang perlu dipatuhi adalah seperti berikut: a. Memastikan setiap pengguna membaca,
memahami dan mematuhi prosedur kecemasan dengan merujuk kepada prosedur kecemasan yang telah ditetapkan;
b. Melaporkan insiden kecemasan persekitaran seperti kebakaran kepada Pegawai Keselamatan KKR;
Pegawai Keselamatan
Bahagian
PERKARA 05 – KESELAMATAN FIZIKAL
RUJUKAN VERSI TARIKH M/SURAT
DKICT(KKR) 2.0 08/05/09 34 dari 62
DASAR KESELAMATAN ICT KKR
PERKARA 04 - KESELAMATAN SUMBER MANUSIA
PERKARA 05 – KESELAMATAN FIZIKAL
c. Mengadakan, menguji dan mengemas kini
pelan kecemasan dari semasa ke semasa;dan
d. Merancang dan mengadakan latihan kebakaran bangunan (firedrill) secara berkala.
RUJUKAN VERSI TARIKH M/SURAT
DKICT(KKR) 2.0 08/05/09 35 dari 62
DASAR KESELAMATAN ICT KKR
RUJUKAN VERSI TARIKH M/SURAT
DKICT(KKR) 2.0 08/05/09 36 dari 62
PERKARA 06 – PENGURUSAN OPERASI DAN KOMUNIKASI
01 Pengurusan Prosedur Operasi
Objektif : Memastikan perkhidmatan dan pemprosesan maklumat dapat berfungsi dengan betul dan selamat.
DK-060101 Pengendalian Prosedur
a. Mendokumen, menyimpan dan mengawal semua prosedur keselamatan ICT yang wujud dan dikenal pasti serta masih diguna pakai;
b. Memastikan setiap prosedur mengandungi arahan-arahan yang jelas, teratur dan lengkap seperti keperluan kapasiti, pengendalian dan pemprosesan maklumat, pengendalian dan penghantaran ralat, pengendalian output, bantuan teknikal dan pemulihan sekiranya pemprosesan tergendala atau terhenti; dan
c. Mengemaskini semua prosedur dari semasa ke semasa atau mengikut keperluan.
Pengguna
DK-060102 Kawalan Perubahan
a. Pengubahsuaian yang melibatkan perkakasan, sistem untuk pemprosesan maklumat, perisian, dan prosedur mestilah mendapat kebenaran daripada pegawai atasan atau pemilik aset ICT terlebih dahulu;
b. Mengendalikan aktiviti-aktiviti seperti memasang, menyelenggara, menghapus dan mengemas kini mana-mana komponen sistem ICT dengan khidmat pihak atau pegawai yang diberi kuasa dan mempunyai pengetahuan atau terlibat secara langsung dengan aset ICT berkenaan;
c. Mematuhi spesifikasi perubahan yang telah ditetapkan bagi semua aktiviti pengubahsuaian komponen sistem ICT; dan
Pengguna
DASAR KESELAMATAN ICT KKR
RUJUKAN VERSI TARIKH M/SURAT
DKICT(KKR) 2.0 08/05/09 37 dari 62
PERKARA 06 – PENGURUSAN OPERASI DAN KOMUNIKASI
d. Merekod dan mengawal semua aktiviti
perubahan atau pengubahsuaian bagi mengelakkan berlakunya ralat sama ada secara sengaja atau pun tidak.
02 Perancangan dan Penerimaan Sistem
Objektif : Meminimumkan risiko yang menyebabkan gangguan atau kegagalan sistem.
DK-060201 Perancangan Kapasiti
a. Kapasiti sesuatu komponen atau sistem ICT hendaklah dirancang, diurus dan dikawal dengan teliti oleh pegawai yang berkenaan bagi memastikan keperluannya adalah mencukupi dan bersesuaian untuk pembangunan dan kegunaan sistem ICT pada masa akan datang;
b. Keperluan kapasiti ini juga perlu mengambil kira ciri-ciri keselamatan ICT bagi meminimumkan risiko seperti gangguan pada perkhidmatan dan kerugian akibat pengubahsuaian yang tidak dirancang; dan
c. Penggunaan peralatan mestilah dipantau, ditala (tuned) dan perancangan perlu dibuat bagi memastikan prestasi sistem di tahap optimum.
Pentadbir Sistem ICT dan Pentadbir
Rangkaian
DK-060202 Penerimaan Sistem
Kriteria penerimaan untuk sistem baru, peningkatan atau versi baru perlu ditetapkan. Ujian yang sesuai ke atasnya perlu dibuat sebelum diterima atau dipersetujui.
Pentadbir Sistem ICT / Pentadbir
Rangkaian
DASAR KESELAMATAN ICT KKR
RUJUKAN VERSI TARIKH M/SURAT
DKICT(KKR) 2.0 08/05/09 38 dari 62
PERKARA 06 – PENGURUSAN OPERASI DAN KOMUNIKASI
03 Perisian Berbahaya
Objektif : Melindungi integriti perisian dan maklumat dari pendedahan atau kerosakan yang disebabkan oleh perisian berbahaya seperti virus, trojan dan sebagainya.
DK-060301 Perlindungan dari Perisian Berbahaya
Perkara yang perlu dipatuhi adalah: a. Memasang sistem keselamatan untuk
mengesan perisian atau program berbahaya seperti anti virus dan Intrusion Detection System (IDS) dan mengikut prosedur penggunaan yang betul dan selamat;
b. Memasang dan menggunakan hanya perisian yang berlesen dan dilindungi di bawah Akta Hakcipta (Pindaan) Tahun 1997;
c. Mengimbas semua perisian atau sistem dengan perisian keselamatan seperti anti virus, anti spyware, anti adware sebelum menggunakannya;
d. Mengemas kini pattern atau signature perisian keselamatan secara berkala atau auto-update;
e. Menyemak kandungan sistem atau maklumat secara berkala bagi mengesan aktiviti yang tidak diingini seperti kehilangan dan kerosakan maklumat;
f. Menghadiri program kesedaran mengenai ancaman perisian berbahaya dan cara mengendalikannya;
g. Memasukkan klausa tanggungan di dalam mana-mana kontrak yang telah ditawarkan kepada pembekal perisian. Klausa ini bertujuan untuk tuntutan baik pulih sekiranya perisian tersebut mengandungi program berbahaya;
h. Mengadakan program dan prosedur jaminan kualiti ke atas semua perisian yang dibangunkan;
Pengguna
ICTSO, Pengurus ICT
DASAR KESELAMATAN ICT KKR
RUJUKAN VERSI TARIKH M/SURAT
DKICT(KKR) 2.0 08/05/09 39 dari 62
PERKARA 06 – PENGURUSAN OPERASI DAN KOMUNIKASI
i. Mengeluarkan amaran awal atau advisory mengenai insiden keselamatan ICT seperti serangan virus kepada semua pengguna; dan
j. Memastikan mobile code beroperasi berdasarkan dasar keselamatan yang jelas dalam keadaan konfigurasi dibenarkan dan mobile code yang tidak dibenarkan perlu dielakkan daripada digunakan.
04 Housekeeping
Objektif : Melindungi integriti maklumat dan perkhidmatan komunikasi agar boleh diakses pada bila-bila masa.
DK-060401 Penduaan (backup)
Bagi memastikan sistem dapat dibangunkan semula setelah berlakunya bencana, salinan penduaan seperti yang dibutirkan hendaklah dilakukan setiap kali konfigurasi berubah. Salinan penduaan hendaklah direkodkan dan disimpan di off site. a. Membuat salinan keselamatan ke atas
semua sistem perisian dan aplikasi sekurang-kurangnya sekali atau setelah mendapat versi terbaru;
b. Membuat salinan penduaan ke atas semua data dan maklumat mengikut keperluan operasi;
c. Menguji sistem penduaan sedia ada bagi memastikan ianya dapat berfungsi dengan sempurna, boleh dipercayai dan berkesan apabila digunakan khususnya pada waktu kecemasan; dan
d. Membuat dan menguji secara berkala salinan maklumat dan perisian berdasarkan kepada prosedur penduaan.
Pengguna
DK-060402 Sistem Log
Perkara yang perlu dipatuhi adalah: a. Mewujudkan sistem log bagi merekodkan
semua aktiviti harian pengguna;
Pentadbir Sistem ICT
DASAR KESELAMATAN ICT KKR
RUJUKAN VERSI TARIKH M/SURAT
DKICT(KKR) 2.0 08/05/09 40 dari 62
PERKARA 06 – PENGURUSAN OPERASI DAN KOMUNIKASI
b. Menyemak sistem log secara berkala bagi mengesan ralat yang menyebabkan gangguan kepada sistem dan mengambil tindakan membaik pulih dengan segera; dan
c. Melaporkan kepada ICTSO sekiranya wujud aktiviti-aktiviti tidak sah lain seperti kecurian maklumat dan pencerobohan.
05 Pengurusan Rangkaian
Objektif : Melindungi maklumat dalam rangkaian dan infrastruktur sokongan.
DK-060501 Kawalan Infrastruktur Rangkaian
Infrastruktur rangkaian mestilah dikawal dan diuruskan sebaik mungkin demi melindungi ancaman kepada sistem dan aplikasi di dalam rangkaian. Berikut adalah langkah-langkah yang perlu dipertimbangkan:- a. Mengasingkan tanggungjawab atau kerja-
kerja operasi rangkaian komputer untuk mengurangkan capaian dan pengubahsuaian yang tidak dibenarkan;
b. Meletakkan peralatan rangkaian di lokasi yang mempunyai ciri-ciri fizikal yang kukuh dan bebas dari risiko seperti banjir, gegaran dan habuk;
c. Mengawal dan menghadkan capaian peralatan rangkaian kepada pengguna yang dibenarkan sahaja;
d. Memastikan semua peralatan melalui proses Factory Acceptance Check (FAC) semasa pemasangan dan konfigurasi;
e. Memasang Firewall di antara rangkaian dalaman dan sistem yang melibatkan maklumat rahsia rasmi Kerajaan serta di konfigurasi oleh pentadbir sistem ICT/pentadbir rangkaian;
f. Memastikan semua trafik keluar dan masuk melalui firewall di bawah kawalan Kementerian/Jabatan/Agensi;
Pentadbir Rangkaian
DASAR KESELAMATAN ICT KKR
RUJUKAN VERSI TARIKH M/SURAT
DKICT(KKR) 2.0 08/05/09 41 dari 62
PERKARA 06 – PENGURUSAN OPERASI DAN KOMUNIKASI
g. Melarang pemasangan semua perisian
sniffer atau network analyser pada komputer pengguna kecuali mendapat kebenaran ICTSO;
h. Pemasangan perisian Intrusion Detection System (IDS) adalah perlu bagi mengesan sebarang cubaan menceroboh dan aktiviti-aktiviti lain yang boleh mengancam sistem dan maklumat Kementerian/ Jabatan/ Agensi;
i. Pemasangan Web Content Filter pada Internet Gateway adalah perlu untuk menyekat aktiviti yang dilarang seperti yang termaktub di dalam Pekeliling Kemajuan Pentadbiran Awam Bilangan 1 Tahun 2003 bertajuk “Garis Panduan Mengenai Tatacara Penggunaan Internet dan Mel Elektronik di Agensi-Agensi Kerajaan”;
j. Mendapat kebenaran ICTSO bagi sebarang penyambungan rangkaian yang bukan di bawah kawalan Kementerian/ Jabatan/ Agensi;
k. Membenarkan semua pengguna hanya menggunakan kawalan Kementerian/ Jabatan/Agensi sahaja dan melarang penggunaan modem sama sekali;
l. Memastikan keperluan perlindungan ICT adalah bersesuaian dan mencukupi bagi menyokong perkhidmatan yang lebih optimum; dan
m. Memastikan penggunaan tanpa wayar LAN mematuhi peraturan-peraturan yang dikeluarkan dari semasa ke semasa oleh MAMPU iaitu surat UPTM (S) 159/338/8 Jilid 30 (84) bertajuk “Langkah-Langkah Untuk Memperkukuhkan Keselamatan Rangkaian Setempat Tanpa Wayar (Wireless LAN) di Agensi-agensi Kerajaan”
DASAR KESELAMATAN ICT KKR
RUJUKAN VERSI TARIKH M/SURAT
DKICT(KKR) 2.0 08/05/09 42 dari 62
PERKARA 06 – PENGURUSAN OPERASI DAN KOMUNIKASI
06 Pengurusan Media
Objektif : Melindungi Aset ICT dari kerosakan dan gangguan aktiviti perkhidmatan yang tidak dikawal.
DK-060601 Penghantaran dan Pemindahan
Penghantaran atau pemindahan media ke luar pejabat hendaklah mendapat kebenaran daripada Ketua Jabatan/Agensi terlebih dahulu. Media yang mengandungi maklumat Kerajaan perlu dilindungi daripada capaian yang tidak dibenarkan, penyalahgunaan atau kerosakan semasa pemindahan keluar dari Kementerian/ Jabatan/ Agensi. Prosedur perlu disediakan untuk pengurusan media mudah alih.
Pengguna
DK-060602 Prosedur Pengendalian Media
Prosedur ini bertujuan untuk mengendali dan menyimpan maklumat yang perlu diwujudkan untuk melindungi maklumat daripada didedahkan tanpa kebenaran atau disalah guna. a. Melabelkan semua media mengikut tahap
sensitiviti sesuatu maklumat; b. Menghadkan dan menentukan capaian
media kepada pengguna yang sah sahaja; c. Menghadkan pengedaran data atau media
untuk tujuan yang dibenarkan; d. Mengawal dan merekodkan aktiviti
penyelenggaraan media bagi mengelak dari sebarang kerosakan dan pendedahan yang tidak dibenarkan;
e. Menyimpan semua media di tempat yang selamat; dan
f. Menghapus atau memusnahkan media yang mengandungi maklumat rahsia rasmi mengikut prosedur yang betul dan selamat.
Pentadbir Sistem ICT/ Pentadbir
Rangkaian/ Pegawai aset
DASAR KESELAMATAN ICT KKR
RUJUKAN VERSI TARIKH M/SURAT
DKICT(KKR) 2.0 08/05/09 43 dari 62
PERKARA 06 – PENGURUSAN OPERASI DAN KOMUNIKASI
Nota: Maklumat lanjut mengenai pelupusan bolehlah merujuk kepada Surat Pekeliling Perbendaharaan Bilangan 5 Tahun 2007 bertajuk “Tatacara Pengurusan Aset Alih Kerajaan”.
DK-060603 Keselamatan Dokumentasi Sistem
Dokumentasi sistem perlu dilindungi daripada capaian yang tidak dibenarkan. Langkah-langkah yang perlu dipatuhi ialah: a. Memastikan sistem penyimpan
dokumentasi mempunyai ciri-ciri keselamatan;
b. Menyediakan dan memantapkan keselamatan dokumentasi sistem; dan
c. Mengawal dan merekodkan semua aktiviti capaian dokumentasi sistem sedia ada.
Pentadbir Sistem ICT, ICTSO
07 Keselamatan Komunikasi
Objektif : Melindungi aset ICT melalui sistem komunikasi yang selamat
DK-060701 Internet
Capaian Internet perlu dikawal dan diurus bagi mengelakkan gangguan sistem rangkaian Kementerian/Jabatan/Agensi. a. Melayari laman yang hanya berkaitan
dengan bidang kerja dan terhad untuk tujuan yang dibenarkan oleh Ketua Jabatan/Agensi;
b. Menentukan ketepatan dan kesahihan bahan yang diperoleh dari Internet. Sebagai amalan baik, rujukan sumber Internet hendaklah dinyatakan;
c. Menyemak dan mendapat pengesahan daripada Ketua Jabatan/Agensi sebelum memuat naik bahan rasmi ke Internet;
d. Membenarkan pengguna hanya memuat turun bahan yang sah seperti perisian yang berlesen dan di bawah hak cipta terpelihara;
Pengguna
DASAR KESELAMATAN ICT KKR
RUJUKAN VERSI TARIKH M/SURAT
DKICT(KKR) 2.0 08/05/09 44 dari 62
PERKARA 06 – PENGURUSAN OPERASI DAN KOMUNIKASI
e. Memuat turun sebarang bahan dari Internet untuk tujuan yang dibenarkan oleh Kementerian/ Jabatan/ Agensi;
f. Mendapatkan kebenaran sebelum menggunakan kemudahan perbincangan awam seperti newsgroup dan bulletin board. Walau bagaimana pun, kandungan perbincangan awam ini hendaklah mendapat kelulusan daripada Ketua Jabatan terlebih dahulu tertakluk kepada dasar dan peraturan yang telah ditetapkan; dan
g. Mendapatkan kebenaran dari Ketua Jabatan/Agensi bagi menggunakan kemudahan yang melibatkan bandwidth tinggi seperti penggunaan peer-to-peer (P2P) atau video sharing (YouTube dan sebagainya).
Nota: Maklumat lanjut mengenai keselamatan Internet boleh lah merujuk kepada Pekeliling Kemajuan Pentadbiran Awam Bilangan 1 Tahun 2003 bertajuk “Garis Panduan mengenai Tatacara Penggunaan Internet dan Mel Elektronik di Agensi-agensi Kerajaan”.
DK-060702 Mel Elektronik (E-Mel)
Maklumat yang terdapat dalam mel elektronik Kementerian/Jabatan/Agensi perlu dilindungi sebaik-baiknya bagi menghindari capaian atau sebaran maklumat yang tidak dibenarkan. Akaun atau alamat e-mel adalah bukan hak mutlak pengguna dan penggunaannya tertakluk kepada peraturan yang ditetapkan. Akaun atau alamat e-mel ini adalah hak milik Kementerian/Jabatan/Agensi. Perkara yang perlu dipatuhi adalah: a. Pengguna hanya boleh menggunakan
akaun atau alamat e-mel yang diperuntukkan oleh KKR. Penggunaan akaun milik orang lain atau akaun individu yang dikongsi bersama adalah dilarang;
Pengguna
DASAR KESELAMATAN ICT KKR
RUJUKAN VERSI TARIKH M/SURAT
DKICT(KKR) 2.0 08/05/09 45 dari 62
PERKARA 06 – PENGURUSAN OPERASI DAN KOMUNIKASI
b. Pengguna mestilah bertanggungjawab atas akaun e-mel yang diberikan kepadanya;
c. Mematuhi format yang telah ditetapkan oleh Kementerian/Jabatan/Agensi dalam setiap e-mel yang disediakan;
d. Memastikan subjek dan kandungan e-mel adalah berkaitan dan menyentuh perkara perbincangan yang sama sebelum penghantaran dilakukan;
e. Menggunakan akaun e-mel rasmi untuk menghantar e-mel rasmi dan memastikan alamat e-mel penerima adalah betul;
f. Menggalakkan pengguna menggunakan fail kepilan mengikut saiz yang ditetapkan oleh Kementerian/ Jabatan/ Agensi semasa penghantaran. Kaedah pemampatan untuk mengurangkan saiz adalah disarankan;
g. Mengelak dari membuka e-mel daripada penghantar yang tidak diketahui atau diragui;
h. Mengenalpasti dan mengesahkan identiti pengguna yang berkomunikasi dengannya sebelum meneruskan transaksi maklumat melalui e-mel;
i. Sentiasa menyenggara kotak emel dan menyimpan setiap e-mel rasmi yang dihantar atau diterima dalam media yang berasingan; dan
j. Memastikan tarikh dan masa sistem komputer pengguna adalah tepat.
Nota: Maklumat lanjut mengenai keselamatan e-mel boleh lah merujuk kepada Pekeliling Kemajuan Pentadbiran Awam Bilangan 1 Tahun 2003 bertajuk “Garis Panduan Mengenai Tatacara Penggunaan Internet dan Mel Elektronik di Agensi-agensi Kerajaan’.
DASAR KESELAMATAN ICT KKR
PERKARA 06 – PENGURUSAN OPERASI DAN KOMUNIKASI
RUJUKAN VERSI TARIKH M/SURAT
08 Pemantauan
Objektif : Memastikan pengesanan aktiviti pemprosesan maklumat yang tidak dibenarkan.
DK-060801 Merekodkan Maklumat
Perkara yang perlu dipatuhi adalah seperti berikut: a. Menghasilkan dan menyimpan log yang
merekodkan semua aktiviti untuk tempoh masa yang dipersetujui bagi membantu siasatan dan memantau kawalan capaian;
b. Mewujudkan prosedur untuk memantau penggunaan kemudahan memproses maklumat dan memantau hasilnya secara berkala;
c. Memastikan kemudahan merekod dan maklumat log tidak diubahsuai dan dilindungi dari sebarang capaian yang tidak dibenarkan; dan
d. Merekod, menganalisis dan mengambil tindakan yang sewajarnya terhadap kesalahan yang berlaku.
Pentadbir Sistem ICT
DKICT(KKR) 2.0 08/05/09 46 dari 62
DASAR KESELAMATAN ICT KKR
PERKARA 06 – PENGURUSAN OPERASI DAN KOMUNIKASI
01 Prosedur Pengurusan Insiden
Objektif : Memastikan tindakan menangani insiden keselamatan ICT diambil dengan cepat, teratur dan berkesan.
DK-070101 Kawalan Pengurusan Insiden
Kawalan-kawalan berikut perlu dititikberatkan dalam Prosedur Pengurusan Insiden : a. Mengenal pasti semua jenis insiden
keselamatan ICT seperti gangguan perkhidmatan yang disengajakan, pemalsuan identiti dan pengubahsuaian perisian tanpa kebenaran;
b. Menyediakan pelan kontingensi dan mengaktifkan pelan kesinambungan perkhidmatan;
c. Menyimpan jejak audit dan memelihara bahan bukti; dan
d. Menyediakan tindakan pemulihan segera. Nota : Pekeliling Am Bilangan 1 Tahun 2001 bertajuk “Mekanisme Pelaporan Insiden Keselamatan ICT” dan Surat Pekeliling Am Bilangan 4 Tahun 2006 bertajuk “Pengurusan Pengendalian Insiden Keselamatan Teknologi Maklumat Dan Komunikasi (ICT) Sektor Awam” mengenainya bolehlah dirujuk.
JPICT KKR, ICTSO,
CERT KKR
DK-070102 Insiden Keselamatan ICT
Insiden keselamatan ICT adalah termasuk yang berikut: a. Maklumat didapati hilang, didedahkan
kepada pihak-pihak yang tidak diberi kuasa atau, disyaki hilang, atau didedahkan kepada pihak-pihak yang tidak diberi kuasa;
b. Sistem maklumat disyaki digunakan tanpa kebenaran dan kecurian maklumat/data;
c. Kata laluan atau mekanisme kawalan akses hilang, dicuri atau didedahkan atau disyaki hilang, dicuri atau didedahkan;
Pengguna
PERKARA 07- PENGURUSAN INSIDEN
RUJUKAN VERSI TARIKH M/SURAT
DKICT(KKR) 2.0 08/05/09 47 dari 62
DASAR KESELAMATAN ICT KKR
PERKARA 06 – PENGURUSAN OPERASI DAN KOMUNIKASI
PERKARA 07- PENGURUSAN INSIDEN
d. Kejadian sistem luar biasa seperti
kehilangan fail, sistem kerap kali gagal berfungsi dan kesilapan/ralat dalam komunikasi data; dan
e. Berlaku percubaan menceroboh, penyelewengan dan insiden-insiden yang tidak diingini.
DK-070103 Pelaporan Insiden
a. Insiden Keselamatan ICT mestilah dilaporkan kepada ICTSO dengan kadar segera.
b. Pelaporan insiden keselamatan ICT mestilah merujuk kepada Pekeliling Am Bilangan 1 Tahun 2001 bertajuk “Mekanisme Pelaporan Insiden Keselamatan ICT” dan Surat pekeliling Am Bilangan 4 Tahun 2006 bertajuk “pengurusan Pengendalian Insiden Keselamatan Teknologi Maklumat Dan Komunikasi (ICT) Sektor Awam”.
Pengguna
RUJUKAN VERSI TARIKH M/SURAT
DKICT(KKR) 2.0 08/05/09 48 dari 62
DASAR KESELAMATAN ICT KKR
RUJUKAN VERSI TARIKH M/SURAT
DKICT(KKR) 2.0 08/05/09 49 dari 62
PERKARA 08 – KAWALAN CAPAIAN
01 Dasar Kawalan Capaian
Objektif : Memahami dan mematuhi keperluan keselamatan dalam mencapai dan menggunakan aset ICT KKR.
DK-080101 Keperluan Dasar
Capaian kepada proses dan maklumat hendaklah dikawal mengikut keperluan keselamatan dan fungsi kerja pengguna yang berbeza. Ia perlu direkodkan, dikemas kini dan menyokong dasar kawalan capaian pengguna sedia ada. Peraturan kawalan capaian hendaklah mengambilkira faktor identification, authentication dan authorization.
ICTSO, Pengurus ICT
02 Pengurusan Capaian Pengguna
Objektif : Mengawal capaian pengguna ke atas aset ICT KKR
DK-080201 Akaun Pengguna
Pengguna adalah bertanggungjawab ke atas sistem ICT yang digunakan. Mematuhi langkah-langkah berikut bagi mengenal pasti pengguna dan aktiviti yang dilakukan: a. Menggunakan akaun yang diperuntukkan
oleh Kementerian/Jabatan/Agensi sahaja; b. Memastikan akaun pengguna adalah unik; c. akaun pengguna yang di wujud pertama kali
akan diberi tahap capaian paling minimum iaitu untuk melihat dan membaca sahaja. Sebarang perubahan tahap capaian hendaklah mendapat kelulusan daripada Ketua Jabatan/Agensi terlebih dahulu;
d. Pemilikan akaun pengguna bukanlah hak mutlak seseorang dan ia tertakluk kepada peraturan Jabatan/Agensi. Akuan boleh ditarik balik jika penggunaannya melanggar peraturan;
Pengguna
DASAR KESELAMATAN ICT KKR
RUJUKAN VERSI TARIKH M/SURAT
DKICT(KKR) 2.0 08/05/09 50 dari 62
PERKARA 08 – KAWALAN CAPAIAN
e. Melarang penggunaan akaun milik orang lain atau akaun yang dikongsi bersama; dan
f. Pentadbir Sistem ICT boleh membeku dan menamatkan akaun pengguna atas sebab-sebab berikut: i) Pengguna bercuti panjang atau
menghadiri kursus di luar pejabat
dalam tempoh waktu melebihi 1 bulan;
ii) Bertukar bidang tugas kerja;
iii) Bertukar ke agensi lain;
iv) Bersara; atau
v) Ditamatkan perkhidmatan.
Pentadbir Sistem ICT
DK-080202 Jejak Audit
Jejak audit akan merekodkan semua aktiviti. Sistem jejak audit juga adalah penting untuk tujuan penyiasatan sekiranya berlaku kerosakan atau penyalahgunaan sistem. Aktiviti jejak audit mengandungi: a. Maklumat identiti pengguna, sumber yang
digunakan, perubahan maklumat, tarikh dan masa aktiviti, rangkaian dan program yang digunakan;
b. Aktiviti capaian pengguna ke atas sistem ICT sama ada secara sah atau sebaliknya; dan
c. Maklumat aktiviti sistem yang tidak normal atau aktiviti yang tidak mempunyai ciri-ciri keselamatan.
Pentadbir Sistem ICT dan Pentadbir Rangkaian hendaklah menyemak catatan jejak audit dari semasa ke semasa dan menyediakan laporan jika perlu. Ini akan dapat membantu mengesan aktiviti yang tidak normal dengan lebih awal. Jejak audit juga perlu dilindungi dari kerosakan, kehilangan, penghapusan, pemalsuan dan pengubahsuaian yang tidak dibenarkan.
Pentadbir Sistem ICT dan Pentadbir
Rangkaian
DASAR KESELAMATAN ICT KKR
RUJUKAN VERSI TARIKH M/SURAT
DKICT(KKR) 2.0 08/05/09 51 dari 62
PERKARA 08 – KAWALAN CAPAIAN
03 Kawalan Capaian Sistem ICT
Objektif : Melindungi sistem ICT sedia ada dari sebarang bentuk capaian yang tidak dibenarkan yang boleh menyebabkan kerosakan.
DK-080301 Sistem Maklumat dan Aplikasi
Capaian sistem maklumat dan aplikasi Kementerian/Jabatan/Agensi adalah terhad kepada pengguna dan tujuan yang dibenarkan. Bagi memastikan kawalan capaian sistem dan aplikasi adalah kukuh, langkah-langkah berikut hendaklah dipatuhi: a. Pengguna hanya boleh menggunakan
sistem maklumat dan aplikasi yang dibenarkan mengikut tahap capaian dan sensitiviti maklumat yang telah ditentukan;
b. Merekodkan (log) setiap aktiviti capaian sistem maklumat dan aplikasi bagi mengesan aktiviti-aktiviti yang tidak diingini;
c. Memaparkan notis amaran pada skrin komputer pengguna sebelum memulakan capaian bagi melindungi maklumat dari sebarang bentuk penyalahgunaan;
d. Menghadkan capaian sistem dan aplikasi kepada tiga (3) kali percubaan. Sekiranya gagal, akaun atau kata laluan pengguna akan disekat;
e. Memastikan kawalan sistem rangkaian adalah kukuh dan lengkap dengan ciri-ciri keselamatan bagi mengelakkan aktiviti atau capaian yang tidak sah; dan
f. Membenarkan capaian sistem maklumat dan aplikasi melalui jarak jauh. Walau bagaimanapun, penggunaannya terhad kepada perkhidmatan yang dibenarkan sahaja.
Pentadbir Sistem ICT dan ICTSO
DK-080302 Rangkaian
Tujuan kawalan ini adalah untuk menghalang capaian tidak sah dan tanpa kebenaran ke atas perkhidmatan rangkaian.
Pentadbir Rangkaian
DASAR KESELAMATAN ICT KKR
RUJUKAN VERSI TARIKH M/SURAT
DKICT(KKR) 2.0 08/05/09 52 dari 62
PERKARA 08 – KAWALAN CAPAIAN
Kawalan capaian perkhidmatan rangkaian hendaklah dijamin selamat dengan: a. Menempatkan atau memasang antaramuka
yang menepati kesesuaian penggunaannya diantara rangkaian Kementerian/ Jabatan/ Agensi dengan lain-lain organisasi; dan
b. Mewujud dan menguatkuasakan mekanisme untuk pengesahan pengguna dan peralatan yang menepati kesesuaian penggunaannya.
Perkara yang perlu dipatuhi seperti berikut: a. Memastikan pengguna boleh mencapai
perkhidmatan yang dibenarkan sahaja; b. Mewujudkan mekanisme pengesahan yang
sesuai untuk mengawal capaian oleh pengguna jarak jauh;
c. Mengguna kaedah pengenalan automatik berdasarkan lokasi dan peralatan untuk pengesahan sambungan ke dalam rangkaian;
d. Mengawal capaian fizikal dan logikal ke atas kemudahan port diagnostik dan konfigurasi jarak jauh;
e. Mengasingkan capaian mengikut kumpulan perkhidmatan maklumat, pengguna dan sistem maklumat dalam rangkaian;
f. Mengawal sambungan ke rangkaian, khususnya bagi kemudahan yang dikongsi dan menjangkau sempadan Kementerian/ Jabatan/Agensi; dan
g. Mewujud dan melaksana kawalan pengalihan laluan (routing control) untuk memastikan pematuhan ke atas peraturan Kementerian/Jabatan/Agensi.
DASAR KESELAMATAN ICT KKR
RUJUKAN VERSI TARIKH M/SURAT
DKICT(KKR) 2.0 08/05/09 53 dari 62
PERKARA 08 – KAWALAN CAPAIAN
DK-080303 Sistem Operasi
Memastikan bahawa kawalan ke atas sistem operasi dikawal dan dihadkan kepada pengguna yang dibenarkan sahaja. Kaedah yang digunakan hendaklah mampu menyokong perkara berikut: a. Mengesahkan pengguna yang dibenarkan
selaras dengan peraturan Kementerian/ Jabatan/ Agensi;
b. Mewujudkan jejak audit ke atas semua capaian sistem operasi terutama bertaraf super user;
c. Menjana amaran (alert) sekiranya berlaku pelanggaran kepada peraturan keselamatan sistem;
d. Menyediakan kaedah sesuai untuk pengesahan capaian (authentication); dan
e. Menghadkan tempoh penggunaan mengikut kesesuaian.
Perkara yang perlu dipatuhi adalah: a. Mengawal capaian ke atas sistem operasi
menggunakan prosedur log-on yang selamat;
b. Prosedur log-on yang selamat perlulah: i. Menggunakan kaedah pengenalan
pengguna yang unik dan teknik pengesahan pengguna yang berkesan dan selamat;
ii. Melaksana sistem pengurusan kata laluan yang interaktif dan menjamin kualiti serta keselamatan kata laluan;
iii. Mengawal penggunaan utiliti yang berkeupayaan melepasi sistem dan aplikasi terhad;
iv. Menamatkan sesi yang tidak aktif selepas tempoh masa yang ditetapkan; dan
Pentadbir Sistem
DASAR KESELAMATAN ICT KKR
RUJUKAN VERSI TARIKH M/SURAT
DKICT(KKR) 2.0 08/05/09 54 dari 62
PERKARA 08 – KAWALAN CAPAIAN
v. Menghadkan tempoh masa penggunaan
bagi meningkatkan keselamatan aplikasi yang berisiko tinggi.
04 Peralatan ICT Mudah Alih
Objektif : Memastikan keselamatan maklumat apabila menggunakan kemudahan atau peralatan ICT mudah alih.
DK-080401 Penggunaan Peralatan ICT Mudah Alih dan Kerja Jarak jauh
Keselamatan maklumat perlu dipastikan semasa menggunakan peralatan mudah alih dan kemudahan kerja jarak jauh. Perkara yang perlu dipatuhi adalah seperti berikut: a. Mewujudkan peraturan atau garis panduan
keselamatan yang bersesuaian untuk melindungi dari risiko penggunaan peralatan mudah alih dan kemudahan komunikasi;
b. Mewujudkan peraturan atau garis panduan untuk memastikan persekitaran kerja jarak jauh adalah sesuai dan selamat;
c. Merekodkan aktiviti keluar masuk penggunaan peralatan komputer mudah alih bagi mengesan kehilangan atau pun kerosakan; dan
d. Menyimpan dan mengunci komputer mudah alih di tempat yang selamat apabila tidak digunakan.
Pentadbir Sistem ICT / Pentadbir
Rangkaian
DASAR KESELAMATAN ICT KKR
RUJUKAN VERSI TARIKH M/SURAT
DKICT(KKR) 2.0 08/05/09 55 dari 62
PERKARA 09 – PEMBANGUNAN DAN PENYELENGGARAAN SISTEM
01 Keselamatan Dalam Membangunkan Sistem dan Aplikasi
Objektif : Memastikan sistem yang dibangunkan mempunyai ciri-ciri keselamatan ICT
DK-090101 Keperluan Keselamatan
a. Pembangunan sistem hendaklah mengambil kira kawalan keselamatan bagi memastikan tidak wujudnya sebarang ralat yang boleh mengganggu pemprosesan dan ketepatan maklumat;
b. Ujian keselamatan hendaklah dijalankan ke atas sistem input untuk menyemak pengesahan dan integriti data yang dimasukkan, sistem pemprosesan untuk menentukan sama ada program berjalan dengan betul dan sempurna dan; sistem output untuk memastikan data yang telah diproses adalah tepat; dan
c. Sebaiknya-baiknya, semua sistem yang dibangunkan sama ada secara dalaman atau sebaliknya hendaklah diuji terlebih dahulu bagi memastikan sistem berkenaan memenuhi keperluan keselamatan yang telah ditetapkan sebelum digunakan.
d. Kod sumber (source code) bagi sistem aplikasi hendaklah dijaga kerahsiaannya dan disimpan sebagai hakcipta terpelihara.
ICTSO, Pentadbir Sistem Aplikasi
02 Kriptografi
Objektif : Melindungi kerahsiaan, integriti dan kesahihan maklumat.
DK-090201 Enkripsi (encryption)
Pengguna hendaklah membuat enkripsi ke atas maklumat sensitif atau maklumat rahsia rasmi pada setiap masa.
Pengguna
DK-090202 Tandatangan Digital
Penggunaan tandatangan digital dimestikan kepada semua pengguna khususnya mereka yang menguruskan transaksi maklumat rahsia rasmi secara elektronik.
Pengguna
DASAR KESELAMATAN ICT KKR
RUJUKAN VERSI TARIKH M/SURAT
DKICT(KKR) 2.0 08/05/09 56 dari 62
PERKARA 09 – PEMBANGUNAN DAN PENYELENGGARAAN SISTEM
DK-090203 Pengurusan Kunci
Pengurusan kunci hendaklah dilakukan dengan berkesan dan selamat bagi melindungi kunci berkenaan dari diubah, dimusnah dan didedahkan sepanjang tempoh sah kunci tersebut.
Pengguna
03 Fail Sistem
Objektif : Memastikan supaya fail sistem dikawal dan dikendalikan dengan baik dan selamat.
DK-090301 Kawalan Fail Sistem
a. Proses pengemaskinian fail sistem hanya boleh dilakukan oleh Pentadbir Sistem ICT atau Pentadbir Sistem Aplikasi dan mengikut prosedur yang telah ditetapkan;
b. Kod atau atur cara sistem yang telah dikemas kini hanya boleh dilaksanakan atau digunakan selepas diuji;
c. Mengawal capaian ke atas kod atau atur cara program bagi mengelakkan kerosakan, pengubahsuaian tanpa kebenaran, penghapusan dan kecurian; dan
d. Mengaktifkan audit log bagi merekodkan semua aktiviti pengemaskinian untuk tujuan statistik, pemulihan dan keselamatan.
Pentadbir Sistem Aplikasi dan
Pentadbir Sistem ICT
04 Pembangunan dan Proses Sokongan
Objektif : Menjaga dan menjamin keselamatan sistem maklumat dan aplikasi.
DK-090401 Kawalan Perubahan
Perubahan atau pengubahsuaian ke atas sistem maklumat dan aplikasi hendaklah dikawal, diuji, direkodkan dan disahkan sebelum digunapakai. Perkara yang perlu dipatuhi adalah seperti berikut: a. Mengawal pelaksanaan perubahan melalui
peraturan formal ;
Pentadbir Sistem ICT
DASAR KESELAMATAN ICT KKR
RUJUKAN VERSI TARIKH M/SURAT
DKICT(KKR) 2.0 08/05/09 57 dari 62
PERKARA 09 – PEMBANGUNAN DAN PENYELENGGARAAN SISTEM
b. Membuat semakan teknikal selepas
perubahan sistem operasi dibuat bagi menjamin tiada impak negatif ke atas keselamatan operasi KKR;
c. Mengawal dan menghadkan perubahan ke atas perisian yang perlu sahaja;
d. Menghalang semua peluang untuk kebocoran maklumat; dan
e. Mengawal selia dan memantau pembangunan perisian oleh pihak luar dari semasa ke semasa.
DASAR KESELAMATAN ICT KKR
RUJUKAN VERSI TARIKH M/SURAT
DKICT(KKR) 2.0 08/05/09 58 dari 62
PERKARA 10 – PENGURUSAN KESINAMBUNGAN PERKHIDMATAN
01 Dasar Kesinambungan Perkhidmatan
Objektif : Menjamin operasi perkhidmatan agar tidak tergendala dan penyampaian perkhidmatan yang berterusan kepada pelanggan.
DK-100101 Pelan Kesinambungan Perkhidmatan
Pelan kesinambungan perkhidmatan hendaklah dibangunkan untuk menentukan pendekatan yang menyeluruh diambil bagi mengekalkan kesinambungan perkhidmatan. Ini bertujuan memastikan tiada gangguan kepada proses-proses dalam penyediaan perkhidmatan organisasi. Pelan ini mestilah diluluskan oleh JPICT KKR. Memberi perhatian kepada perkara-perkara berikut: a. Mengenal pasti semua tanggungjawab dan
prosedur kecemasan atau pemulihan; b. Melaksanakan prosedur-prosedur
kecemasan bagi membolehkan pemulihan dapat dilakukan secepat mungkin atau dalam jangka masa yang telah ditetapkan;
c. Mendokumentasikan proses dan prosedur yang telah dipersetujui;
d. Mengadakan program latihan kepada pengguna mengenai prosedur kecemasan;
e. Membuat penduaan; dan f. Menguji dan mengemas kini pelan
sekurang-kurangnya setahun sekali.
ICTSO, Pentadbir Sistem ICT,
Pentadbir Rangkaian
DASAR KESELAMATAN ICT KKR
RUJUKAN VERSI TARIKH M/SURAT
DKICT(KKR) 2.0 08/05/09 59 dari 62
PERKARA 11 – PEMATUHAN
01 Pematuhan dan Keperluan Perundangan
Objektif : Meningkatkan tahap keselamatan ICT bagi mengelakkan dari pelanggaran kepada Dasar Keselamatan ICT KKR.
DK-110101 Pematuhan Dasar
Setiap pengguna di KKR hendaklah membaca, memahami dan mematuhi Dasar Keselamatan ICT KKR dan undang-undang atau peraturan-peraturan lain yang berkaitan yang berkuat kuasa. Semua aset ICT di KKR termasuk maklumat yang di simpan di dalamnya adalah hak milik Kerajaan dan Ketua Jabatan/Agensi berhak untuk memantau aktiviti pengguna untuk mengesan penggunaan selain dari tujuan yang telah ditetapkan.
Pengguna
DK-110102 Keperluan Perundangan/Peraturan/Garis Panduan
Dasar ini bertujuan memastikan reka bentuk, operasi, penggunaan dan pengurusan sistem maklumat adalah selaras serta berkeupayaan menghalang pelanggaran mana-mana keperluan perundangan, peraturan dan perjanjian yang berkuat kuasa. Berikut adalah keperluan perundangan atau peraturan-peraturan lain berkaitan yang perlu dipatuhi oleh semua pengguna di KKR: a. Mengenalpasti semua perlembagaan,
undang-undang, peraturan, perjanjian yang dimeterai dan lain-lain perkara yang relevan kepada keselamatan sistem maklumat dan organisasi;
b. Melaksanakan peraturan yang sesuai untuk memastikan pematuhan ke atas perlembagaan, undang-undang dan keperluan kontrak mengenai penggunaan bahan yang tertakluk kepada hak milik harta intelek;
c. Melindungi rekod penting daripada hilang, rosak dan dipalsukan selaras dengan keperluan undang-undang, peraturan dan
Pengguna
DASAR KESELAMATAN ICT KKR
RUJUKAN VERSI TARIKH M/SURAT
DKICT(KKR) 2.0 08/05/09 60 dari 62
PERKARA 11 – PEMATUHAN
keperluan perjanjian KKR; d. Mematuhi perundangan, peraturan dan
terma perjanjian untuk melindungi data dan hak milik peribadi;
e. Pengguna dilarang menggunakan kemudahan proses maklumat untuk tujuan yang tidak dibenarkan; dan
f. Mengawal penggunaan kriptografi selaras dengan perjanjian, perundangan dan peraturan yang berkuat kuasa.
Mematuhi keperluan perundangan atau peraturan-peraturan lain berkaitan seperti berikut: a. Arahan Keselamatan; b. Malaysian Public Sector Management of
Information and Commmunications Tecknology Security Handbook (MyMIS);
c. Pekeliling Kemajuan Pentadbiran Awam i. Pekeliling Kemajuan Pentadbiran Awam
Bilangan 1 Tahun 2003 bertajuk ‘Garis Panduan Mengenai Tatacara Penggunaan Internet dan Mel Elektronik di Agensi-agensi Kerajaan”;
d. Pekeliling Am i. Pekeliling Am Bilangan 1 Tahun 2006
bertajuk “Pengurusan laman Web/Portal Sektor Awam”.
ii. Pekeliling Am Bilangan 1 tahun 2001 bertajuk “Mekanisme Pelaporan Insiden Keselamatan Teknologi Maklumat dan Komunikasi (ICT)”.
iii. Pekeliling Am Bilangan 3 Tahun 2000 bertajuk “Rangka Dasar Keselamatan Teknologi Maklumat dan Komunikasi Kerajaan”;
e. Surat Pekeliling Am i. Surat Pekeliling Am Bilangan 6 Tahun
2005 bertajuk “Garis Panduan Penilaian Risiko Keselamatan Maklumat Sektor Awam”;
DASAR KESELAMATAN ICT KKR
RUJUKAN VERSI TARIKH M/SURAT
DKICT(KKR) 2.0 08/05/09 61 dari 62
PERKARA 11 – PEMATUHAN
ii. Surat Pekeliling Am Bilangan 4 tahun 2006 bertajuk “Pengurusan Pengendalian Insiden Keselamatan Teknologi Maklumat dan Komunikasi (ICT) Sektor Awam;
f. Surat Arahan KSN i. Rujukan KPKK(R)200/55 Klt. 8(2)
bertarikh 31 Januari 2007 bertajuk “Langkah-langkah Keselamatan Perlindungan Untuk Larangan Penggunaan Telefon Bimbit Atau Lain-Lain peralatan komunikasi ICT tanpa kebenaran atau kuasa sah di agensi-agensi kerajaan”.
ii. Rujukan UPTM(S) 159/338/8 Jld. 30(84) bertarikh 20 Oktober 2006 bertajuk “Langkah-langkah untuk memperkukuhkan keselamatan rangkaian setempat tanpa wayar (wireless local area network) di agensi-agensi kerajaan”.
iii. Rujukan UPTM 159/267/50 Klt.4(46) bertarikh 20 Ogos 2004 bertajuk “Arahan pematuhan akta keselamatan dan kesihatan pekerjaan 1994 dan pelaksanaan arahan, peraturan, prosedur dan peruntukan undang-undang berkaitan keselamatan perlindungan di jabatan-jabatan kerajaan”.
iv. Rujukan UPTM(S) 1594/476/3 bertarikh 24 April 2004 bertajuk “Usaha-usaha meningkatkan keberkesanan sistem penyampaian perkhidmatan kerajaan”.
g. Surat Arahan KP MAMPU i. Rujukan UPTM 159/526/9 Jld.4(60)
bertarikh 23 November 2007 bertajuk “Langkah-langkah pemantapan sistem mel elektronik di agensi-agensi kerajaan”.
ii. Rujukan UPTM 159/10/648/1 bertarikh 09 Julai 2007 bertajuk “Langkah-langkah meningkatkan keberkesanan sistem penyampaian perkhidmatan kerajaan menerusi pemantapan pengurusan dan
DASAR KESELAMATAN ICT KKR
RUJUKAN VERSI TARIKH M/SURAT
DKICT(KKR) 2.0 08/05/09 62 dari 62
PERKARA 11 – PEMATUHAN
pengendalian perkhidmatan helpdesk unit khidmat pelanggan”.
iii. Rujukan UPTM 159/526/9 Jld.4 (59) bertarikh 01 Jun 2007 bertajuk “langkah-langkah mengenai penggunaan mel elektronik di agensi-agensi kerajaan”.
iv. UPTM 159/476/3 bertarikh 24 April 2004 bertajuk “Usaha-usaha meningkatkan keberkesanan sistem penyampaian perkhidmatan kerajaan”.
h. Akta Tandatangan Digital 1997; i. Akta Jenayah Komputer 1997; j. Akta Hak cipta (pindaan) Tahun 1997; dan k. Akta Komunikasi dan Multimedia 1998. l. Electronic Goverment Activities Act 2007
(Act 680) m. Pekeliling Perbendaharaan Bil. 5 tahun
2007 bertajuk “Tatacara Pengurusan Aset Alih Kerajaan”.
n. Garis Panduan MAMPU i. Garis Panduan IT Outsourcing Agensi-
Agensi Sektor Awam (MAMPU, Oktober 2006).
Bahagian Pengurusan Maklumat Kementerian Kerja Raya
2009