2
SEJARAH DOKUMEN
TARIKH VERSI
Mei 2012 1.0
Sept 2014 2.0 diluluskan pada mesyuarat JPICT Bil 3 2015 pada 9 Okt 2015
April 2020 3.0 Perkara DA-050208 Komputer Sewaan :
Penambahbaikan kepada peralatan ICT Sewaan. Diselaraskan seperti Garis Panduan Dalaman Penggunaan Komputer Sewaan Di Perbendaharaan Malaysia yang berkuatkuasa pada 6 Feb 2020.
Garis panduan Komputer Sewaan UKAS telah diluluskan dalam Mesyuarat JPICT UKAS Bil 2 /2020 pada 17 April 2020.
3
I. PENGENALAN 6
II. TUJUAN 6
III. OBJEKTIF 6
IV. SKOP 7
V. PERNYATAAN DASAR 8
VI. PRINSIP-PRINSIP 10
BIDANG 01 : PEMBANGUNAN DAN PENYELENGGARAAN DASAR
16
DA-010101 Pelaksanaan Dasar 16
DA-010102 Penyebaran Dasar 16
DA-010103 Penyelenggaraan Dasar 16
DA-010104 Pengecualian Dasar 16
BIDANG 02 : KESELAMATAN ORGANISASI 17
DA-020101 Ketua Pengarah 17
DA-020102 Ketua Pegawai Maklmat (CIO) 17
DA-020103 Pengurus ICT 17
DA-020104 Pegawai Keselamatan ICT (ICTSO) 18
DA-020105 Pentadbir Sistem ICT 19
DA-020106 Pengguna 20
DA-020201 Keperluan Keselamatan Maklumat Dengan Pihak Ketiga
21
DA-020301 Analisa Risiko 22
BIDANG 03 : KAWALAN, PENGELASAN ASET & MAKLUMAT 23
DA-030101 Inventori Aset 23
DA-030201 Pengkelasan Maklumat 23
DA-030202 Pengendalian Maklumat 24
4
DA-030203 Jenis Ancaman 25
BIDANG 04 : KESELAMATAN SUMBER MANUSIA 26
DA-040101 Bertukar Atau Tamat Perkhidmatan 26
DA-040102 Perakuan Akta Rahsia Rasmi 26
DA-040201 Program Kesedaran Keselamatan ICT 27
BIDANG 05 : KESELAMATAN FIZIKAL ICT 27
DA-050101 Kawasan Larangan 27
DA-050201 Keselamatan Komputer 28
DA-050202 Keselamatan Komputer riba 29
DA-050203 Keselamatan Dokumen 30
DA-050204 Keselamatan Media Storan 31
DA-050205 Pemusnahan Media 32
DA-050206 Peminjaman Perkakasan Untuk Kegunaan Di Luar Pejabat
32
DA-050207 Peralatan di Luar Premis 23
DA-050208 Komputer Sewaan 23 –39
DA-050209 Pelupusan 40
DA-050210 Clear Desk dan Clear Screen
41
42 BIDANG 06: PENGURUSAN OPERASI DAN KOMUNIKASI
DA-060101 Pengendalian SOP 42
DA-060201 Penerimaan Sistem 42
DA-060301 Perlindungan Dari Perisian Berbahaya 43
DA-060401 Penduaan 44
DA-060501 Kawalan Infrastruktur Rangkaian 44
5
DA-060601 Internet 46
DA-060602 Mel Elektronik 47-48
BIDANG 07 : KAWALAN CAPAIAN 49
DA-070101 Akaun Pengguna 49
DA-070102 Pengurusan Katalaluan 50
DA-070201 Sistem Maklumat dan Aplikasi 51
DA-070301 Penggunaan Peralatan Komputer Mudah Alih
51
BIDANG 08 : PEMBANGUNAN DAN PENYELENGGARAAN SIS-TEM
52
DA-080101 Keperluan Keselamatan 52
DA-080201 Penyulitan 52
DA-080202 Tandatangan Digital 52
DA-080301 Kawalan Fail-Fail Sistem 53
DA-080401 Kawalan Perubahan 53
DA-080402 Pembangunan Sistem Secara Outsource 54
DA-080403 Dasar Penggunaan Perkhidmatan Luar (Outsourcing)
55
BIDANG 09 : Pengurusan Kesinambungan Perkhidmatan 56
DA-090101 Pelan Kesinambungan Perkhidmatan 56
DA-090102 Penduaan 56
DA-090103 Pelan Pemulihan Bencana (DRP) 57
57 BIDANG 10: PEMATUHAN
DA-100101 Pematuhan Dasar 58
DA-100102 Keperluan Peraturan 58
11. RUJUKAN 59-61
6
I. PENGENALAN
1. Sejajar dengan matlamat Kerajaan untuk memodenkan sistem penyampaian perkhid-
matan, sebahagian besar urusan harian Unit Kerjasama Awam Swasta (UKAS) telah dil-
aksanakan secara elektronik dengan menggunakan kemudahan ICT. Namun begitu,
penggunaan kemudahan ICT ini terdedah kepada penyalahgunaan yang akan menyebabkan
maklumat dibocorkan, diubah atau dirosakkan sama ada secara kebetulan atau dengan sen-
gaja. Oleh yang demikian adalah perlu bagi UKAS menyediakan dasar keselamatan ICT yang
menggariskan peraturan-peraturan bagi melindungi semua kepentingan ICT dari ancaman-
ancaman yang tidak diingini.
II. TUJUAN
2. Dasar Keselamatan ICT mengandungi peraturan-peraturan yang mesti dibaca dan
dipatuhi dalam menggunakan aset teknologi maklumat dan komunikasi (ICT) UKAS. Dasar ini
juga menerangkan kepada semua pengguna di UKAS mengenai tannggungjawab dan peran-
an mereka di dalam melindungi aset ICT UKAS. Ia merangkumi perlindungan semua bentuk
maklumat Kerajaan yang dimasuk, diwujud, dimusnah, disimpan ,dijana, dicetak, diakses,
diedar, dalam penghantaran, dan yang dibuat salinan keselamatan ke dalam semua aset ICT.
III. OBJEKTIF
3. Objektif utama Dasar keselamatan ICT UKAS adalah untuk :-
a. memastikan kelancaran operasi jabatan dan meminimumkan kerosakan atau
kemusnahan;
b. melindungi kepentingan pihak-pihak yang bergantung pada sistem maklumat da-
ripada kesan kegagalan atau kelemahan dari segi kerahsiaan, integriti, ke-
bolehsediaan, kesahihan maklumat dan komunikasi; dan
c. Mencegah salahguna atau kecurian aset ICT jabatan.
7
IV. SKOP
4. Aset ICT UKAS terdiri daripada perkakasan, perisian, perkhidmatan, data atau
maklumat dan manusia. Dasar Keselamatan ICT UKAS menetapkan keperluan-
keperluan asas berikut:
a. Data dan maklumat – Semua data dan maklumat yang disimpan atau
digunakan di pelbagai media storan atau peralatan ICT;
b. Aset ICT – Semua peralatan komputer dan perkakasan seperti komputer peri-
badi, stesen kerja, kerangka utama dan alat-alat prasarana seperti Uninter-
rupted Power Supply (UPS), punca kuasa dan penyaman udara;
c. Media Storan – Semua media storan dan peralatan yang berkaitan seperti
disket, kartrij, CD-ROM, pita, cakera, pemacu cakera, pemacu pita dan pen
drive;
d. Komunikasi dan Peralatan Rangkaian – Semua peralatan berkaitan komu-
nikasi seperti pelayan rangkaian, gateway, bridge, router dan peralatan PABX;
e. Perisian – Semua perisian yang digunakan untuk mengendali, memproses,
menyimpan, menjana dan mengirim maklumat. Ini meliputi semua perisian sis-
tem, perisian utiliti, perisian rangkaian, program aplikasi, pangkalan data, fail
program dan fail data;
f. Dokumentasi – Semua dokumentasi yang mengandungi maklumat berkaitan
dengan penggunaan dan pemasangan peralatan dan perisian. Ia juga meliputi
data dalam semua bentuk media seperti salinan kekal, salinan elektronik,
transparencies, risalah dan slides;
g. Manusia – Semua pengguna yang dibenarkan termasuk pentadbir dan pengu-
rus serta mereka yang bertanggungjawab terhadap keselamatan ICT; dan
h. Premis Komputer dan Komunikasi – Semua kemudahan serta premis yang
digunakan untuk menempatkan perkara (a) – (g) di atas.
5. Dasar ini adalah terpakai kepada semua pengguna di UKAS termasuk kakitangan,
pembekal dan pakar runding yang mencapai, mengurus, menyelenggara, memproses,
8
V. PERNYATAAN DASAR
6. Keselamatan ditakrifkan sebagai keadaan yang bebas daripada ancaman dan risiko
yang tidak boleh diterima. Penjagaan keselamatan adalah suatu proses yang berterusan. Ia
melibatkan aktiviti berkala yang mesti dilakukan dari semasa ke semasa untuk menjamin
keselamatan kerana ancaman dan kelemahan sentiasa berubah. Keselamatan ICT adalah
bermaksud keadaan di mana segala urusan menyedia dan membekalkan perkhidmatan
yang berasaskan kepada sistem ICT berjalan secara berterusan tanpa gangguan yang
boleh menjejaskan keselamatan.
7. Keselamatan ICT berkait rapat dengan perlindungan aset ICT. Terdapat empat (4)
komponen asas keselamatan ICT iaitu:
a. melindungi maklumat rahsia rasmi dan maklumat rasmi Kerajaan dari capaian
tanpa kuasa yang sah;
b. menjamin setiap maklumat adalah tepat dan sempurna;
c. memastikan ketersediaan maklumat apabila diperlukan oleh pengguna; dan
d. memastikan akses kepada hanya pengguna-pengguna yang sah atau pen-
erimaan maklumat dari sumber yang sah.
8. Dasar Keselamatan ICT UKAS merangkumi perlindungan ke atas semua bentuk
maklumat elektronik bertujuan untuk menjamin keselamatan maklumat tersebut dan ke-
bolehsediaan kepada semua pengguna yang dibenarkan. Ciri-ciri utama keselamatan
maklumat adalah seperti berikut:
a. Kerahsiaan
Maklumat tidak boleh didedahkan sewenang-wenangnya atau dibiarkan diakses
tanpa kebenaran;
b. Integriti
Data dan maklumat hendaklah tepat, lengkap dan kemas kini. Ia hanya boleh diu-
bah dengan cara yang dibenarkan;
9
c. Tidak Boleh Disangkal
Punca data dan maklumat hendaklah dari punca yang sah dan tidak boleh
disangkal;
d. Kesahihan
Data dan maklumat hendaklah dijamin kesahihannya; dan
e. Ketersediaan
Data dan maklumat hendaklah boleh diakses pada bila-bila masa.
9. Selain dari itu, langkah-langkah ke arah menjamin keselamatan ICT hendaklah ber-
sandarkan kepada penilaian yang bersesuaian dengan perubahan semasa terhadap:
a. kelemahan semula jadi aset ICT;
b. ancaman yang wujud akibat daripada kelemahan tersebut;
c. risiko yang mungkin timbul; dan
d. langkah-langkah pencegahan sesuai yang boleh diambil untuk menangani ris
berkenaan.
V. PRINSIP-PRINSIP
10. Lapan (8) prinsip yang menjadi asas kepada DKICT UKAS adalah seperti berikut:
a. Akses Atas Dasar Perlu Mengetahui
Akses terhadap penggunaan aset ICT hanya diberikan untuk tujuan spesifik dan
dihadkan kepada pengguna tertentu atas dasar “perlu mengetahui” sahaja. Ini bermak-
na akses hanya akan diberikan sekiranya peranan atau fungsi pengguna memerlukan
maklumat tersebut. Pertimbangan akses dibawah prinsip ini adalah berasaskan klas-
ifikasi maklumat dan tapisan keselamatan pengguna seperti berikut:
10
i. Klasifikasi Maklumat
Keselamatan ICT jabatan hendaklah mematuhi ”Arahan Keselamatan”
Perenggan 53, mukasurat 15, dimana maklumat ikategorikan kepada
Rahsia Besar, Rahsia, Sulit dan Terhad. Data, bahan atau maklumat
rasmi yang sensitif atau bersifat terperingkat perlu dilindungi daripada
pendedahan, dimanipulasi atau diubah semasa dalam penghantaran.
Penggunaan kod dan tandatangan digital mesti dipertimbangkan bagi
melindungi data yang dihantar secara elektronik. Dasar kawalan akses
ke atas aplikasi atau sistem juga hendaklah mengikut klasifikasi
maklumat yang sama, iaitu sama ada rahsia besar, rahsia, sulit atau ter-
had.
ii. Tapisan Keselamatan Pengguna
Dasar keselamatan ICT Jabatan adalah mematuhi prinsip bahawa
pengguna boleh diberi kebenaran mengakses kategori maklumat tertentu
setelah siasatan latarbelakang menunjukkan tiada sebab atau faktor un-
tuk menghalang pengguna daripada berbuat demikian.
b. Hak akses minimum
Hak akses pengguna hanya diberi pada tahap set yang paling minimum iaitu
untuk membaca dan/atau melihat sahaja. Kelulusan khas adalah perlu untuk
membolehkan pengguna mewujud, menyimpan, mengemaskini, mengubah
atau membatalkan sesuatu maklumat. Hak akses adalah dikaji dari semasa ke
semasa berdasarkan kepada peranan dan tanggungjawab pengguna/bidang
tugas;
c. Akauntabiliti
Semua pengguna adalah bertanggungjawab ke atas semua tindakannya ter-
hadap aset ICT UKAS; Tanggungjawab ini perlu dinyatakan dengan jelas sesuai
dengan tahap sensitiviti sesuatu sumber ICTUntuk menentukan tanggungjawab
ini dipatuhi, sistem ICT hendaklah mampu menyokong kemudahan mengesan
atau mengesah bahawa pengguna sistem maklumat boleh dipertanggungja-
wabkan atas tindakan mereka. Akauntabiliti atau tanggungjawab pengguna ter-
masuklah: .
11
i. menghalang pendedahan maklumat kepada pihak yang tidak
dibenarkan.
ii. memeriksa maklumat dan menentukan ia tepat dan lengkap dari
semasa ke semasa.
iii. menentukan maklumat sedia untuk digunakan.
iv. menjaga kerahsiaan katataluan.
v. mematuhi standard, prosedur, langkah dan garis panduan kesela-
matan yang ditetapkan.
vi. memberi perhatian kepada maklumat terperingkat terutama sema-
sa pengwujudan, pemprosesan, penyimpanan, penghantaran, per-
tukaran dan pemusnahan.
vii. menjaga kerahsiaan langkah-langkah keselamatan ICT daripada
diketahui umum.
d. Pengasingan
Tugas mewujud, memadam, kemaskini, mengubah dan mengesahkan data perlu
diasingkan bagi mengelakkan daripada capaian yang tidak dibenarkan serta
melindungi aset ICT daripada kesilapan, kebocoran maklumat terperingkat atau
dimanipulasi dan seterusnya mengekalkan integriti dan kebolehsediaan. Penga-
singan juga merangkumi tindakan memisahkan antara kumpulan operasi dan
rangkaian. Ia bertujuan untuk mengasingkan akses kepada domain kedua-dua
kumpulan tersebut seperti akses kepada fail data, fail program, kemudahan sis-
tem dan komunikasi, manakala pemisahan antara domain pula adalah untuk
mengawal dan mengurus perubahan pada konfigurasi dan keperluan sistem. Pa-
da tahap minimum, semua sistem ICT perlu mengekalkan persekitaran operasi
yang berasingan seperti berikut:
12
i. persekitaran pembangunan dimana sesuatu dalam proses pem-
bangunan;
ii. persekitaran penerimaan iaitu peringkat dimana sesuatu aplikasi diuji;
dan
iii. persekitaran sebenar dimana aplikasi sedia untuk dioperasikan.
e. Pengauditan
Pengauditan adalah tindakan untuk mengenalpasti insiden berkaitan kesela-
matan atau mengenalpasti keadaan yang mengancam keselamatan. Ia mem-
babitkan pemeliharaan semua rekod berkaitan tindakan keselamatan. Dengan
itu, aset ICT seperti komputer, pelayan, router, firewall dan rangkaian hendaklah
ditentukan dapat menjana dan menyimpan log tindakan dan audit trail. Audit
trail penting apabila wujud keperluan untuk mengenalpasti punca masalah atau
ancaman kepada keselamatan ICT. Rekod audit hendaklah dilindungi dan
tersedia untuk penilaian atau tindakan serta merta. Pengauditan juga perlu dibu-
at pada rekod-rekod manual seperti dokumen operasi, nota serah tugas, kelu-
lusan keluar pejabat, memorandum, borang kebenaran, surat kuasa, senarai
inventori dan kemudahan akses log. Ini adalah kerana dalam kes-kes tertentu,
dokumen ini diperlukan untuk menyokong audit trail sistem komputer. Sistem
pengauditan penting dalam menjamin akauntabiliti. Antara lain sistem ini dapat
dirujuk bagi menentukan perkara-perkara berikut:
i. mengesan pematuhan atau pelanggaran keselamatan.
ii. menyediakan catatan peristiwa mengikut urutan masa yang boleh
digunakan untuk mengesan punca berlakunya pelanggaran keselamatan.
iii. menyediakan bahan bukti bagi menentukan sama ada berlakunya
pelanggaran keselamatan.
13
f. Pematuhan
Dasar Keselamatan ICT UKAS hendaklah dibaca, difahami dan dipatuhi bagi
mengelakkan sebarang bentuk pelanggaran ke atasnya yang boleh membawa
ancaman kepada keselamatan ICT. Pematuhan merupakan prinsip penting dalam
menghindar dan mengesan sebarang pelanggaran polisi. Pematuhan kepada
polisi keselamatan ICT jabatan boleh dicapai melalui tindakan berikut:
i. mewujud proses yang sistematik khususnya dalam menjamin keselamatan
ICT untuk memantau dan menilai tahap pematuhan langkah-langkah
keselamatan yang telah dikuatkuasakan.
ii. merumus pelan pematuhan untuk menangani sebarang kelemahan atau
kekurangan langkah-langkah keselamatan ICT yang dikenalpasti.
iii. melaksana program pemantauan keselamatan secara beterusan untuk me-
mastikan standard, prosedur dan garis panduan keselamatan dipatuhi.
iv. menguatkuasa amalan melapor sebarang peristiwa yang mengancam
keselamatan ICT dan seterusnya mengambil tindakan pembetulan.
g. Pemulihan
Pemulihan sistem amat perlu untuk memastikan kebolehsediaan dan kebole-
hcapaian. Objektif utama adalah untuk meminimumkan sebarang gangguan atau
kerugian akibat daripada ketidaksediaan. Antara lain, pemulihan boleh dilakukan
melalui tindakan-tindakan berikut:
i. merumus dan menguji Pelan Pemulihan Bencana (Disaster Recovery
Plan). UKAS akan merancang pelan pemulihan bencana selepas pelaksa-
naan sistem pengurusan pengauditan.
ii. mengamalkan langkah-langkah salinan data dan lain-lain amalan baik da-
lam penggunaan ICT seperti menghapuskan virus, langkah-langkah
pencegahan kebakaran dan amalan clean desk.
14
h. Saling Bergantungan
Langkah-langkah keselamatan ICT yang berkesan memerlukan pematuhan kepa-
da semua prinsip-prinsip di atas. Setiap prinsip adalah saling lengkap-melengkapi
antara satu sama lain. Dengan itu, tindakan mempelbagaikan pendekatan dalam
menyusun dan mencorak sebanyak mungkin mekanisma keselamatan, dapat
menjamin keselamatan yang maksimum. Prinsip saling bergantung meliputi be-
berapa peringkat dimana ditahap minimum, mengandungi langkah-langkah beri-
kut:
i. Sambungan Kepada Internet
Semua komunikasi antara sistem ICT dengan sistem luar hendaklah me-
lalui mekanisma pusat untuk mengurus, menguatkuasa dan mengawas
sebarang bahaya keselamatan. Melalui sistem ini, semua trafik dalaman
hendaklah melalui gateway firewall yang diurus secara berpusat. Semua
trafik dari luar ke dalam hendaklah juga melalui laluan ini atau melalui kum-
pulan modem yang dikawal secara berpusat. Dengan itu penggunaan mo-
dem dalaman tidak dibenarkan;
ii. Backbone Rangkaian
Backbone rangkaian akan hanya mengendalikan trafik yang telah dikod un-
tuk meminimumkan intipan;
iii. Rangkaian Jabatan
Semua rangkaian jabatan akan dihubungkan ke backbone melalui firewall
yang akan mengkod semua trafik di antara rangkaian di peringkat yang
seterusnya atau pusat data; dan
iv. Server Jabatan
Hanya data dan maklumat yang kritikal atau sensitif sahaja yang akan
disimpan di server jabatan yang diurus secara berpusat. Ini akan memini-
mumkan pendedahan, pengubahan atau kecurian. Semua data dan
maklumat sensitif akan dikodkan.
15
10. Langkah-langkah keselamatan ICT yang digariskan dalam DKICT UKAS mematuhi
semua prinsip di atas dan meliputi bidang-bidang berikut:
a. Pembangunan dan Penyelenggaraan Dasar;
b. Keselamatan Organisasi;
c. Kawalan, Pengelasan Aset dan Maklumat;
d. Keselamatan Sumber Manusia;
e. Keselamatan Fisikal ICT;
f. Pengurusan Operasi dan Komunikasi;
g. Kawalan Capaian; dan
h. Pembangunan dan Penyelenggaraan Sistem
16
BIDANG 01 : PEMBANGUNAN DAN PENYELENGGARAAN DASAR
Dasar Keselamatan ICT
Objektif: Menerangkan hala tuju dan sokongan pengurusan terhadap keselamatan maklumat
selaras dengan keperluan UKAS.
DA-010101 Pelaksanaan Dasar
Pelaksanaan dasar ini akan dijalankan oleh Ketua Pengarah UKAS dibantu oleh Jawatankuasa Pemandu Keselamatan ICT yang terdiri daripada Ketua Pegawai Maklumat (CIO), Pegawai Keselamatan ICT (ICTSO). Pengurus ICT dan Pegawai Keselamatan Jabatan.
Tanggungjawab:
Ketua Pengarah
DA-010102 Penyebaran Dasar
Dasar ini perlu disebarkan kepada semua pengguna UKAS (termasuk kakitangan, pembekal, pakar runding dll.)
Tanggungjawab:
CIO Pengurus ICT
DA-010103 Penyelenggaraan Dasar
Dasar Keselamatan ICT Kerajaan adalah tertakluk kepada semakan dan pindaan dari semasa ke semasa selaras dengan perubahan teknologi, aplikasi, prosedur, perundangan dan kepentingan sosial. Prosedur yang berhubung dengan penyelenggaraan Dasar Kesela-matan ICT UKAS adalah seperti berikut:
a. kenalpasti dan tentukan perubahan yang diperlukan;
b. kemuka cadangan pindaan secara bertulis kepada CIO untuk pembentangan dan persetujuan Jawa-tankuasa Pemandu ICT (JPICT) UKAS; dan
c. perubahan yang telah dipersetujui oleh JPICT UKAS dimaklumkan kepada semua pengguna.
Tanggungjawab:
Pengurus ICT ICTSO
DA-010104 Pengecualian Dasar
Dasar Keselamatan ICT UKAS adalah terpakai kepada semua pengguna ICT UKAS dan tiada pengecualian diberikan.
Tanggungjawab:
Pengguna
17
BIDANG 02 : KESELAMATAN ORGANISASI
Infrastruktur Keselamatan Organisasi Objektif:
Menerangkan peranan dan tanggungjawab individu yang terlibat dengan lebih jelas dan teratur dalam mencapai DKICT UKAS.
DA-020101 Ketua Pengarah
Peranan dan tanggungjawab Ketua Pengarah adalah seperti berikut:
a. memastikan semua pengguna memahami peruntukan-peruntukan di bawah Dasar Keselamatan ICT UKAS;
b. memastikan semua pengguna mematuhi Dasar Kesela-matan ICT UKAS;
c. memastikan semua keperluan organisasi (sumber kewangan, sumber kakitangan dan perlindungan kesela-matan) adalah mencukupi; dan
d. memastikan penilaian risiko dan program keselamatan ICT dilaksanakan seperti yang ditetapkan di dalam Dasar Keselamatan ICT UKAS.
Tanggungjawab:
Ketua Pengarah
DA-020102 Ketua Pegawai Maklumat (CIO)
Timbalan Ketua Pengarah (Dasar) UKAS adalah merupakan Ketua Pegawai Maklumat (CIO). Peranan dan tanggungjawab beliau adalah seperti berikut:
a. bertanggungjawab kepada Ketua Pengarah dalam melaksanakan dasar keselamatan ICT Jabatan;
b. merangka pelan tindakan keselamatan ICT jabatan; dan
c. memastikan pelaksanaan dasar keselamatan ICT.
Tanggungjawab:
CIO
DA-020103 Pengurus ICT
Ketua Unit ICT adalah merupakan Pengurus ICT UKAS. Peranan dan tanggungjawab Pengurus ICTadalah seperti berikut:
a. membaca, memahami dan mematuhi Dasar Keselamatan ICT UKAS;
b. mengkaji semula dan melaksanakan kawalan keselamatan ICT selaras dengan keperluan UKAS;
c. menentukan kawalan akses semua pengguna terhadap aset ICT UKAS;
d. melaporkan sebarang perkara atau penemuan mengenai keselamatan ICT kepada CIO; dan
e. menyimpan rekod, bahan bukti dan laporan terkini mengenai ancaman keselamatan ICT UKAS.
Tanggungjawab:
Pengurus ICT
18
DA-020104 Pegawai Keselamatan ICT (ICTSO)
Peranan dan tanggungjawab ICTSO yang dilantik adalah seperti berikut:
a. mengurus keseluruhan program Keselamatan ICT Jabatan;
b. menguatkuasa dasar, standard dan garis panduan Kesela-matan ICT jabatan (dokumen ini hendaklah sentiasa dikemaskini selaras dengan perubahan teknologi, hala tuju organisasi dan ancaman);
c. membantu dalam membangunkan piawai atau garis pan-duan yang khusus selaras dengan keperluan dasar kesela-matan ICT untuk suatu aplikasi spesifik dalam jabatan;
d. melaksanakan audit bagi mengenalpasti pelanggaran dasar, standard atau garis panduan keselamatan ICT yang telah ditetapkan (non compliance);
e. memastikan setiap keperluan pengecualian dasar hen-daklah selaras dengan analisis penerimaan risiko;
f. mencadangkan penyelesaian bagi mengatasi sebarang pelanggaran dasar (non compliance);
g. mengkaji dan meneliti laporan-laporan audit berkaitan keselamatan ICT;
h. mengesahkan bahawa ancaman-ancaman utama kepada aset-aset maklumat telah dikenalpasti dan difahami oleh pihak pengurusan;
i. sentiasa mengemaskini maklumat tentang ancaman-ancaman terbaru, teknologi pemprosesan dan juga kawalan dan kaedah perlindungan maklumat yang terbaru;
j. menyedia dan menyebar amaran berkenaan ancaman yang serius dan ketara terhadap asset-aset maklumat, seperti se-rangan virus komputer;
k. menubuhkan sebuah pasukan bertindak keselamatan untuk menangani insiden keselamatan ICT;
l. menyelaras atau membantu dalam siasatan ancaman atau serangan ke atas aset maklumat;
m. membantu dalam aktiviti pemulihan selepas serangan;
n. membuat laporan berkenaan isu keselamatan ICT kepada Pengurus ICT dan CIO; dan
o. melaporkan insiden keselamatan ICT kepada Pasukan Tin-dak balas Insiden Keselamatan ICT (GCERT) MAMPU.
Tanggungjawab:
ICTSO
19
DA-020105 Pentadbir Sistem ICT
Pegawai Teknologi Maklumat Operasi & Rangkaian dan Aplikasi di Unit ICT atau Penolong Pegawai Teknologi Maklumat yang diper-tanggungjawabkan adalah merupakan Pentadbir Sistem ICT UKAS. Peranan dan tanggungjawab pentadbir sistem ICT adalah seperti beri-kut:
a. mengambil tindakan yang bersesuaian dengan segera apa-bila dimaklumkan mengenai kakitangan yang berhenti, ber-tukar, bercuti atau berlaku perubahan dalam bidang tugas;
b. menentukan ketepatan dan kesempurnaan sesuatu tahap capaian berdasarkan arahan pemilik sumber maklumat se-bagaimana yang telah ditetapkan di dalam Dasar Kesela-matan ICT UKAS;
c. memantau aktiviti capaian harian pengguna;
d. mengenal pasti aktiviti-aktiviti tidak normal seperti pencero-bohan dan pengubahsuaian data tanpa kebenaran dan membatal atau memberhentikannya dengan serta merta;
e. bertanggungjawab memantau setiap perkakasan ICT yang diagihkan kepada pengguna seperti komputer peribadi, komputer riba, pencetak, pengimbas dan sebagainya di da-lam keadaan yang baik; dan
f. memastikan pembangunan sistem aplikasi mengambil kira dan mematuhi ciri-ciri keselamatan yang termaktub di dalam Dasar Keselamatan ICT UKAS.
Tanggungjawab:
Pentadbir Sistem
20
DA-020106 Pengguna
Warga UKAS adalah merupakan pengguna dan peranan serta tanggungjawab pengguna adalah seperti berikut:
a. membaca, memahami dan mematuhi Dasar Keselamatan ICT UKAS supaya semua peraturan yang berkaitan dipatuhi bagi me-mastikan keselamatan ICT terjamin;
b. mengetahui dan memahami implikasi keselamatan ICT kesan dari tindakannya;
c. lulus tapisan keselamatan;
d. melaksanakan prinsip-prinsip Dasar Keselamatan ICT dan menja-ga kerahsiaan maklumat UKAS;
e. melaksanakan langkah-langkah perlindungan seperti berikut:
i. menghalang pendedahan maklumat kepada pihak yang tidak dibenarkan;
ii. memeriksa maklumat dan menentukan ia tepat dan lengkap dari semasa ke semasa;
iii. menentukan maklumat sedia untuk digunakan;
iv. menjaga kerahsiaan kata laluan;
v. mematuhi standard, prosedur, langkah dan garis panduan keselamatan yang ditetapkan;
vi. memberi perhatian kepada maklumat terperingkat terutama semasa pewujudan, pemprosesan, penyimpanan, penghantaran, penyampaian, per-tukaran dan pemusnahan; dan
vii. menjaga kerahsiaan langkah-langkah kesela-matan ICT dari diketahui umum.
f. melaporkan sebarang aktiviti yang mengancam keselamatan ICT kepada ICTSO dengan segera;
g. mematuhi semua arahan-arahan dan peraturan keselamatan per-sonel yang termakub di dalam Buku Arahan Keselamatan Kera-jaan;
h. menghadiri program-program kesedaran mengenai keselamatan ICT; dan
i. menandatangani surat akuan pematuhan Dasar Keselamatan ICT UKAS seperti LAMPIRAN 1.
Tanggungjawab:
Pengguna
21
Pihak Ketiga
Objektif: Menjamin keselamatan semua aset ICT yang digunakan oleh Pihak Ketiga.
DA-020201 Keperluan Keselamatan Maklumat Dengan Pihak Ketiga
Langkah-langkah yang perlu dilaksanakan bagi menjamin keselamatan aset ICT yang digunakan oleh Pihak Ketiga adalah seperti berikut:
a. akses kepada aset ICT UKAS perlu berlandaskan kelulusan ICTSO UKAS atau Pengurus ICT;
b. mengenal pasti risiko keselamatan maklumat dan kemudahan pemprosesan maklumat serta melaksanakan kawalan yang sesuai sebelum memberi kebenaran capaian;
c. mengenal pasti keperluan keselamatan sebelum memberi kebenaran capaian atau penggunaan; dan
d. memastikan Pihak Ketiga berkenaan menandatangani Borang Perakuan Akta Rahsia Rasmi 1972.
Tanggungjawab:
ICTSO Pengurus ICT
Pentadbir Sistem Pihak Ketiga
22
Pengurusan Risiko
Objektif: Memastikan operasi jabatan berterusan dengan meminimumkan kerosakan dan
mengelakkan insiden-insiden keselamatan.
DA-020301 Analisa Risiko
Langkah-langkah yang perlu dilaksanakan adalah seperti berikut:
a. membuat analisa risiko ancaman keselamatan ICT setahun sekali. Ini untuk memastikan operasi Jabatan berterusan dengan meminimumkan kerosakan dan mengelakkan in-siden-insiden keselamatan. Pihak pengurusan perlu mengambil langkah untuk mengurangkan risiko, menerima dan memantau baki risiko;
b. mengenalpasti risiko dan ancaman adalah langkah yang kritikal untuk melindungi aset ICT. Ini akan dapat me-nyelamatkan Jabatan dari mendapat malu disebabkan oleh pendedahan maklumat yang tidak sepatutnya;
c. langkah yang teratur perlu di ambil bagi menangani risiko dan ancaman supaya dapat mengelakkan operasi jabatan daripada terganggu;
d. langkah-langkah untuk mengenalpasti risiko dan ancaman, adalah seperti berikut:
i. menilai semula maklumat yang terkandung dalam sistem. Setelah ini dilakukan, nilai yang dikaitkan dengan aset ICT boleh mengenalpasti tahap dan jenis risiko yang boleh ditoleransi;
ii. mengenalpasti peristiwa yang akan menyebabkan gangguan operasi harian; dan
iii. menetapkan keutamaan kepada elemen risiko yang dikenalpasti.
Tanggungjawab:
CIO ICTSO
Pengurus ICT Pentadbir Sis-
tem
23
BIDANG 03 : KAWALAN, PENGELASAN ASET & MAKLUMAT
Akauntabiliti Aset
Objektif: Memberi dan menyokong perlindungan yang bersesuaian ke atas semua aset ICT
UKAS.
DA-030101 Inventori Aset
Semua aset ICT UKAS hendaklah direkodkan di dalam sistem Pengu-rusan Aset (SPA) UKAS. Ini termasuklah mengenalpasti aset, menge-las aset mengikut tahap sensitiviti aset berkenaan dan merekodkan maklumat seperti pemilik dan sebagainya. Setiap pengguna adalah bertanggungjawab sepenuhnya ke atas semua aset ICT di bawah tanggungjawabnya.
Tanggungjawab:
Pentadbir Sistem Pengguna
Pengendalian dan Pengelasan Maklumat
Objektif: Memastikan setiap maklumat atau aset ICT diberikan tahap perlindungan yang ber-
sesuaian.
DA-030201 Pengelasan Maklumat
Maklumat hendaklah dikelas dan dilabelkan sewajarnya. Setiap maklumat yang dikelaskan mestilah mempunyai peringkat keselamatan sebagaimana yang telah ditetapkan di dalam dokumen Arahan Kesela-matan seperti berikut:
a. Rahsia Besar;
b. Rahsia;
c. Sulit; atau
d. Terhad.
Kandungan maklumat yang telah diwujudkan secara digital juga mengi-kut klasifikasi yang sama. Walau bagaimanapun, perlindungan kepada maklumat digital perlu dilakukan dengan cara yang sesuai seperti enkripsi, pengkodan warna dan melabel.
Tanggungjawab:
Pengguna
24
DA-030202 Pengendalian Maklumat
Aktiviti pengendalian maklumat seperti mengumpul, memproses, menyim-pan, menghantar, menyampai, pertukaran dan pemusnahan hendaklah mengambilkira langkah-langkah keselamatan berikut:
a. menghalang pendedahan maklumat kepada pihak yang tidak dibenarkan;
b. memeriksa maklumat dan menentukan ia tepat dan lengkap dari semasa ke semasa;
c. menentukan maklumat sedia untuk digunakan;
d. menjaga kerahsiaan kata laluan;
e. mematuhi standard, prosedur, langkah dan garis panduan keselamatan yang ditetapkan dan mengikuti pekeliling yang berkuatkuasa; dan
f. memberi perhatian kepada maklumat terperingkat terutama se-masa pewujudan, pemprosesan, penyimpanan, penghantaran, penyampaian, pertukaran dan pemusnahan.
Tanggungjawab:
Pengguna
25
DA-030203 Jenis Ancaman
Diantara ancaman-ancaman yang dikenalpasti ialah:-
a. Ralat Dan Kesilapan Memasukkan Data
Kesilapan sering terjadi dalam operasi harian semasa memproses data atau maklumat oleh pengguna. Kesilapan yang sedemikian kemungkinan disebabkan salah me-masukkan data atau kesilapan pemprograman dan ini merupakan ancaman kepada intergriti data dan keseluruhan sistem. Contohnya ialah penipuan dalam kemasukan data, kebocoran data dan sebagainya.
b. Penipuan, rompakan dan penyamaran
Maklumat yang dicuri atau digunakan untuk tujuan pen-ipuan. Salahlaku jenayah ini boleh dilakukan oleh individu atau kumpulan, orang dalaman atau luar atau bekas ka-kitangan yang masih mendapat capaian ke sistem komput-er. Contohnya termasuk pencuri maklumat dan penceroboh.
C. Sabotaj oleh pekerja
Pelakuan pekerja untuk memusnahkan sistem yang sedia ada seperti:
i. memusnahkan perkakasan atau kemudahan untuk memastikan sistem ICT tidak dapat digunakan seperti kerosakan rangkaian, kehilangan peralatan perka-kasan yang mengakibatkan tidak dapat digunakan;
ii. memusnahkan program atau data untuk memutuskan perjalanan operasi sistem ICT;
iii. memasukkan data yang salah yang mengakibatkan hasil yang dikeluarkan salah;
iv. menghapuskan data untuk memastikan data tidak ada semasa pengeluaran;
v. memasang pepijat program seperti virus ke dalam sistem ICT; dan
vi. membuang akaun sistem bekas pekerja kerana ber-pindah, berhenti bekerja atau berpencen dengan ser-ta-merta.
d. Hilang sokongan fizikal dan infrastruktur
Kehilangan yang disebabkan oleh gangguan elektrik, ke-hilangan komunikasi data, kebocoran air, kebakaran, banjir, ancaman bom dan rusuhan atau mogok yang akan meng-ganggu operasi perkhidmatan.
Tanggungjawab:
Pengguna
26
BIDANG 04 : KESELAMATAN SUMBER MANUSIA
Keselamatan ICT Dalam Tugas Harian
Objektif: Meminimumkan risiko seperti kesilapan, kecuaian, kecurian, penipuan dan
penyalahgunaan aset ICT Kementerian/Jabatan
DA-040101 Bertukar Atau Tamat Perkhidmatan
Perkara-perkara yang perlu dipatuhi termasuk yang berikut:
a. memastikan semua aset ICT dikembalikan kepada UKAS mengikut peraturan dan/atau terma perkhidmatan yang ditetapkan; dan
b. membatalkan atau menarik balik semua kebenaran ca-paian ke atas maklumat dan kemudahan proses maklumat mengikut peraturan yang ditetapkan oleh UKAS dan/atau terma perkhidmatan.
Tanggungjawab:
Pentadbir Sistem
Penguna
DA-040102 Perakuan Akta Rahsia Rasmi
Warga UKAS yang menguruskan maklumat terperingkat hendaklah mematuhi semua peruntukan Akta Rahsia Rasmi 1972.
Tanggungjawab:
Pengguna
27
Pendidikan
Objektif:
Meningkatkan pengetahuan dan kesedaran mengenai kepentingan keselamatan ICT.
DA-040201 Program Kesedaran Keselamatan ICT
Setiap pengguna di UKAS perlu diberikan program kesedaran mengenai keselamatan ICT secara berterusan dalam melaksanakan tugas-tugas dan tanggungjawab mereka. Program menangani insiden juga dilihat penting sebagai langkah proaktif yang boleh mengurangkan ancaman keselamatan ICT UKAS.
Tanggungjawab:
ICTSO Pengurus ICT
BIDANG 05 : KESELAMATAN FIZIKAL ICT
Keselamatan Kawasan
Objektif:
Mencegah akses fizikal yang tidak dibenarkan, kerosakan dan gangguan kepada premis dan maklumat.
DA-050101 Kawasan Larangan
Langkah-langkah yang perlu dilaksanakan adalah seperti berikut:
a. kawasan larangan ditakrifkan sebagai kawasan yang dihad-kan kemasukan pegawai-pegawai yang tertentu sahaja. Ini dilaksanakan untuk melindungi aset ICT yang terdapat di dalam kawasan tersebut. Kawasan larangan di UKAS ada-lah bilik Ketua Pengarah, bilik Timbalan Ketua Pengarah, bilik Dokumen Tender dan bilik server di UKAS. Akses kepa-da bilik-bilik tersebut hanyalah kepada pegawai-pegawai yang diberi kuasa sahaja; dan
b. Pihak ketiga adalah dilarang sama sekali untuk memasuki kawasan larangan kecuali, bagi kes-kes tertentu seperti memberi perkhidmatan sokongan atau bantuan teknikal, mereka hendaklah diiringi sepanjang masa sehingga tugas di kawasan berkenaan selesai.
Tanggungjawab:
Pengguna
28
Keselamatan Aset ICT
Objektif: Melindungi peralatan dan maklumat.
DA-050201 Keselamatan Komputer
Langkah-langkah yang perlu dilaksanakan adalah seperti berikut:
a. setiap perkakasan komputer perlu dilabel dengan nombor inventori bagi memudahkan pengenalpastian perkakasan tersebut apabila berlaku kehilangan atau kecurian. Senarai inventori perkakasan tersebut hendaklah direkodkan dalam Sistem Sistem Pemantauan Pengurusan Aset (SPA). Ini bagi membantu proses pengauditan;
b. setiap pengguna komputer digalakkan mengguna ID dan katalaluan yang unik bagi mengelak penyalahgunaan perka-kasan tersebut;
c. setiap pengguna perlu memastikan semua perkakasan di-matikan sebelum keluar dari pejabat;
d. pengguna perlu meminta kebenaran dari Unit ICT apabila perkakasannya perlu ditingkatkan (upgrade);
e. semua perisian di UKAS dikawalselia oleh Unit ICT. Sekiranya pengguna ingin meminjam perisian tersebut perlu mengisi buku daftar perisian;
f. semua perisian cetak rompak tidak dibenarkan sama sekali dipasang pada perkakasan tersebut; dan
g. setiap peminjaman perisian mesti dipulangkan kembali kepada Unit ICT
Tanggungjawab:
Pengguna
29
DA-050202 Keselamatan Komputer Riba
Langkah-langkah yang perlu dilaksanakan adalah seperti berikut:
a. unit-unit komputer riba yang ada di UKAS digunasama oleh semua pengguna yang memerlukannya. Unit-unit ini dikawalselia oleh Unit ICT;
b. setiap perkakasan komputer perlu dilabel dengan nombor inventori bagi memudahkan pengenalpastian perkakasan tersebut apabila berlaku kehilangan atau kecurian;
c. senarai inventori perkakasan tersebut hendaklah disimpan di Unit Pentadbiran dan Unit ICT. Ini membantu proses pengauditan;
d. setiap pengguna komputer dimestikan mengguna ID dan katalaluan yang unik bagi mengelak penyalahgunaan perka-kasan tersebut;
e. setiap pengguna perlu memastikan semua perkakasan di-matikan sebelum keluar dari pejabat;
f. pengguna perlu meminta kebenaran dari Unit ICT apabila perkakasannya perlu ditingkatkan (upgrade);
g. pengguna perlu mengisi borang yang disediakan sebelum membuat pinjaman komputer riba;
h. komputer riba disimpan di tempat selamat dan berkunci bagi mengelakkan kecurian; dan
i. setiap peminjaman perkakasan dan perisian mesti dipu-langkan kembali kepada Unit ICT.
Tanggungjawab:
Pengguna
30
DA-050203 Keselamatan Dokumen
Kawalan keselamatan dokumen adalah bertujuan untuk melindungi semua bentuk maklumat elektronik dan fizikal bagi menjamin keselamatan maklumat tersebut dari pemusnahan, penyalahgunaan serta kebolehsediaan mencapai semula. Bagi memastikan integriti maklumat, langkah-langkah pengurusan dokumentasi yang baik dan selamat yang perlu dipatuhi adalah seperti berikut:
a. semua dokumen ICT hendaklah disimpan di bilik khusus iai-tu kabinet besi dan laci berkunci dibawah kawalan pegawai yang dipertanggungjawabkan;
b. memastikan sistem dokumentasi atau penyimpanan maklumat adalah selamat dan terjamin;
c. menggunakan penyulitan (encryption) ke atas dokumen ter-peringkat yang disedia dan dihantar secara elektronik;
d. pelupusan dokumen hendaklah mengikut prosedur kesela-matan semasa seperti mana Arahan Keselamatan, Arahan Amalan(Jadual Pelupusan Rekod) dan tatacara Jabatan Arkib Negara; dan
e. memastikan cetakan yang mengandungi maklumat terper-ingkat diambil segera dari pencetak.
Tanggungjawab:
Pengguna
31
DA-050204 Keselamatan Media Storan
Media penyimpanan data dibuat dalam bentuk cakera padat, pita katrij dan external harddisk. Media storan dengan jumlah kuantiti data yang besar hendaklah disimpan ditempat yang betul, di samping itu, melaksanakan langkah-langkah berikut:
a. semua media penyimpanan rekod disimpan di kabinet atau laci berkunci yang dikhaskan mengikut Sistem kawalan yang tersendiri.
b. akses untuk memasuki kawasan penyimpanan media hen-daklah terhad kepada mereka atau pengguna yang dibenarkan sahaja;
c. media storan sebagai backup hendaklah direkodkan perge-rakannya.
d. langkah-langkah kawalan keselamatan bagi memastikan media storan dipatuhi:
i. encrypt semua maklumat rahsia rasmi atau maklumat terperingkat pada setiap media storan;
ii. mengadakan kawalan keselamatan fizikal bagi me-dia storan untuk pegawai-pegawai yang diberi kuasa (authorize) dalam menguruskan penyim-panan dan capaian semula dokumen;
iii. mengadakan rekod rasmi bagi pegawai yang membuat capaian bagi setiap maklumat yang dikeluarkan;dan
iv. mengadakan kawalan capaian bagi fail backup dan lain-lain proses penyalinan semula fail.
Tanggungjawab:
Pengguna
32
DA-050205 Pemusnahan Media
Langkah-langkah yang perlu dilaksanakan adalah seperti berikut:
a. semua pemusnahan dokumen adalah tertakluk mengikut jadual pemusnahan oleh Arkib Negara;
b. semua dokumen fizikal yang tidak disimpan sebagai rekod hen daklah dimusnahkan dengan mesin perincih, atau pem-bakaran dan pastikan tidak boleh digunakan semula;
c. untuk memusnahkan media penyimpanan dalam bentuk cakera padat, cakera optim (CD), disket, pita katrij, pendrive, External Harddisk akan melalui proses memadam data dari magnetic ICT media contohnya ‘strong permanent magnets’ dan electric degausser’;
d. Menformatkan semula media magnetic untuk pemusnahan yang selamat dan penggunaan semula; dan
e. semua aktiviti pemusnahan yang tersebut di atas hendaklah direkodkan bagi menyediakan audit trail.
Tanggungjawab:
Pengguna
DA-050206 Peminjaman Perkakasan Untuk Kegunaan Di Luar Pejabat
Perkakasan yang dipinjam untuk kegunaan di luar pejabat adalah terd-edah kepada pelbagai risiko. Langkah-langkah yang perlu diambil un-tuk menjamin keselamatan perkakasan berikut:
a. peralatan, maklumat atau perisian yang dibawa keluar pe-jabat mestilah mendapat kelulusan Pengarah Seksyen/Unit ICT dan tertakluk kepada tujuan yang dibenarkan; dan
b. aktiviti peminjaman dan pemulangan peralatan mestilah direkodkan di dalam Sistem Pengurusan Pemantauan Aset ICT UKAS (SPA).
Tanggungjawab:
Pengguna
33
DA-050207 Peralatan di Luar Premis
Bagi perkakasan yang dibawa keluar dari premis UKAS, langkah-langkah keselamatan hendaklah dilaksanakan dengan mengambilkira risiko yang wujud di luar kawalan UKAS seperti berikut:
a. peralatan perlu dilindungi dan dikawal sepanjang masa;
b. penyimpanan atau penempatan peralatan mestilah mengambilkira ciri-ciri keselamatan yang bersesuaian;
c. semua peralatan di luar premis hendaklah direkodkan dan mendapat kebenaran daripada Pengarah Seksyen berke-naan.
d. peminjam perlu melindungi dan mengawal peralatan sepanjang masa; dan
e. memastikan peralatan ICT yang dipulangkan dalam keadaan baik dan lengkap.
Tanggungjawab:
Pengguna
DA-050208 Komputer Sewaan
1. AGIHAN KOMPUTER
A. Perkhidmatan sewaan komputer bagi kegunaan rasmi pengguna di UKAS terbahagi kepada dua (2) jenis iaitu komputer desktop dan komputer riba.
B. Setiap pengguna yang layak boleh dibekalkan dengan satu (1) unit komputer sewaan sahaja. Polisi agihan komputer sewaan berdasarkan kelayakan jawatan & gred pengguna di UKAS di mana:
i. Komputer desktop diagihkan kepada pengguna dari Kumpulan Sokongan I dan II, dan Pegawai gred 54 dan ke atas diberi pilihan komputer desktop atau Kom-puter riba[1];
ii. Komputer riba diagihkan kepada pengguna dari Kum-pulan Pengurusan dan Profesional (gred 41 hingga gred 52)[1];
1] Polisi ini adalah selaras dengan keputusan Mesyuarat Jawatankuasa Teknikal ICT Sektor Awam (JTISA) MAMPU Bil. 4 Tahun 2018 pada 29 Mac 2019 iaitu di mana selaras dengan hasrat Kerajaan untuk mengubah persekitaran kerja ke arah digital work-space, pegawai Kumpulan Pengurusan dan Profesion-al (P&P) hendaklah dibekalkan dengan komputer riba manakala pegawai Kumpulan Pengurusan Tertinggi diberi pilihan untuk menggunakan komputer desktop atau komputer riba.
Tanggungjawab:
Pengguna
34
iii. Agihan dan pemasangan akan dibuat oleh Syarikat Kon-traktor yang telah berjaya dalam sebutharga sewaan ICT dengan seliaan Unit ICT kepada pengguna yang telah dikenalpasti;
iv. Syarikat Kontraktor akan membuat pemasangan di komputer desktop/komputer riba sewaan merujuk kepada senarai se-mak instalasi perisian yang disediakan oleh Unit ICT; dan
v. Keutamaan agihan komputer desktop/komputer riba sewaan adalah kepada pengguna lantikan tetap. Agihan komputer sewaan kepada kakitangan kontrak, Pekerja Sambilan Hari-an (PSH), sementara, pelajar latihan industri dan sebagainya tertakluk kepada ketersediaan baki komputer sewaan.
2. PENGGUNAAN KOMPUTER
Peraturan penggunaan komputer desktop/komputer riba sewaan hendaklah mematuhi tatacara seperti berikut:
a. Digunakan oleh pengguna bagi tujuan tugas rasmi sahaja;
b. Digunakan oleh pengguna yang khusus diperuntukkan dan tidak boleh ditukar kepada pemilik lain tanpa kebenaran Unit ICT;
c. Pengguna bertanggungjawab sepenuhnya ke atas penggunaan komputer desktop/komputer riba yang dibekalkan dan perlu men-jaga keselamatan perkakasan dan maklumat kerajaan yang ter-simpan di dalamnya;
d. Komputer riba sewaan yang diagihkan kepada Pegawai Kum-pulan Pengurusan dan Profesional boleh dibawa keluar dari UKAS untuk tujuan rasmi tanpa perlu mendapat kebenaran Unit ICT UKAS. Pengguna berkenaan adalah bertanggungjawab se-penuhnya ke atas komputer riba tersebut;
e. Komputer desktop/komputer riba sewaan dan aksesori hendaklah digunakan dengan baik dan sentiasa berada dalam keadaan ber-sih, lengkap dan sempurna seperti mana semasa ianya diterima; dan
f. Bagi memelihara keselamatan maklumat terperingkat, pengguna di seksyen yang terlibat dengan maklumat tersebut hendaklah mematuhi Arahan Keselamatan Kerajaan dan Dasar Keselamatan ICT.
Tanggungjawab
Pengguna
35
3. PENJAGAAN DAN PENYIMPANAN KOMPUTER
Secara umumnya, cara penggunaan, penjagaan dan penyimpanan komput-er desktop / komputer riba sewaan adalah sama seperti tatacara penggunaan aset alih Kerajaan seperti yang termaktub dalam Pekeliling Per-bendaharaan Tatacara Pengurusan Aset Alih Kerajaan.
i) Penjagaan dan Penyimpanan Semasa di Pejabat
a. Komputer desktop/komputer riba sewaan hendaklah senti-asa berada di bawah kawalan dan pengawasan pengguna yang dipertanggungjawabkan;
b. Komputer riba yang digunakan hendaklah sentiasa dikunci menggunakan safety lock yang telah dibekalkan oleh Unit ICT;
c. Komputer riba yang tidak digunakan dalam tempoh masa yang lama tidak digalakkan diletakkan di atas meja se-baliknya hendaklah disimpan di dalam almari/kabinet besi/tempat bersesuaian yang berkunci; dan
d. Komputer desktop/komputer riba tidak boleh dibiarkan ter-letak di tempat yang terdedah kepada umum tanpa dikunci.
Ii) Penjagaan dan Penyimpanan Semasa di Rumah atau Luar Pejabat
a. Komputer riba hendaklah disimpan di dalam almari yang Berkunci;
b. Komputer riba yang setelah digunakan tidak boleh dibiarkan terletak di ruang tamu, di atas meja makan, di tepi tingkap, di tepi pintu atau mana-mana lokasi yang mudah dicapai; dan
c. Semasa meninggalkan rumah, tempat penginapan dan se-bagainya, pengguna hendaklah memastikan bilik serta premis di mana komputer riba disimpan berada dalam keadaan berkunci dan selamat.
Tanggungjawab
Pengguna
36
Iii) Penjagaan Semasa Menghadiri Kursus/ Seminar/ Bengkel/Latihan
a. Sepanjang menghadiri kursus/seminar/bengkel/latihan, komputer riba mestilah sentiasa di bawah ka-walan sepenuhnya pengguna; dan
b. Komputer riba yang ditinggalkan di dalam bilik kur-sus/seminar/bengkel/latihan dan jika berlaku ke-hilangan ianya adalah di bawah tanggungjawab pengguna berkenaan.
Iv) Penjagaan Semasa di dalam Kenderaan
a. Komputer riba sewaan tidak boleh ditinggalkan di da-lam kenderaan tanpa pengawasan;
b. Jika pengguna meninggalkan kenderaan tanpa mem-bawa bersama, komputer riba mestilah disimpan di dalam boot penyimpanan motokar yang berkunci;
c. Komputer riba yang dibawa dengan kenderaan lain seperti motosikal hendaklah diletakkan di dalam bekas khas yang sentiasa selamat dan berkunci; dan
d. Komputer riba hendaklah sentiasa dilindungi dari dari unsur-unsur kecurian, terkena air (hujan, banjir dan sebagainya) atau dari haba tinggi (panas terik ma-tahari.
Tanggungjawab:
Pengguna
37
4. PERTUKARAN PENGGUNA DAN LOKASI
a. Pengguna adalah bertanggungjawab untuk memulangkan kembali komputer desktop/komputer riba sewaan ke Unit ICT apabila berhenti / bersara / tamat kontrak perkhid-matan / bertukar keluar dari UKAS;
b. Pengguna perlu memastikan semua maklumat Kerajaan di dalam komputer sewaan tersebut telah dibuat salinan (backup) ke peranti storan lain sebelum diserah balik ke Unit ICT;
c. Sekiranya pengguna dinaikkan pangkat / bertukar ke seksy-en lain, ia perlu dimaklumkan juga ke Unit ICT jika komput-er yang diagih perlu dibawa bersama; dan
d. Pegawai Aset/ Pegawai ICT/ Pegawai Tadbir Seksyen tidak dibenarkan untuk menyimpan komputer desktop/ komputer riba yang telah tidak digunakan oleh pegawai yang berpin-dah.
5. KEROSAKAN DAN PENYELENGGARAAN
a. Pengguna hendaklah segera melaporkan aduan kerosakan komputer desktop/komputer riba sekiranya menghadapi masalah melalui emel ictservices.ukas.gov.my;
b. Sekiranya pengguna membawa keluar dari UKAS dan kemudian terlibat dengan kemalangan yang menyebabkan komputer tersebut mengalami kerosakan, adalah menjadi tanggungjawab pegawai untuk membuat tuntutan insurans terhadap kerosakan tersebut;
c. Tanggungjawab pengguna yang dibekalkan dengan peralatan komputer dan aksesori adalah untuk menjaga dan menggunakan aset tersebut dengan baik. Sebarang kerosakan akibat kecuaian adalah tanggungjawab pegawai berkenaan;
Tanggungjawab:
Pengguna
38
d. Penyelenggaraan pencegahan (Preventive Maintenance (PM)) dilaksanakan mengikut jadual penyelenggaraan yang telah ditetapkan oleh Unit ICT dan Syarikat Kontraktor sepanjang tempoh kontrak sewaan. Pengguna dikehendaki memberikan kerjasama sepanjang tempoh penyeleng-garaan pencegahan dilakukan; dan
e. Sekiranya Pengguna tidak membenarkan komputer sewaan diselenggara di atas faktor-faktor tertentu, sila maklumkan kepada wakil Syarikat Kontraktor yang hadir untuk melaksanakan penyelenggaraan dengan menyatakan justi-fikasi untuk catatan rekod Unit ICT.
39
6. KEHILANGAN DAN KECURIAN
a. Adalah menjadi tanggungjawab pengguna atau Pengarah Seksy-en / Penyelia untuk melaporkan segera sebarang kehilangan atau kecurian komputer desktop/komputer riba sewaan di Balai Polis yang berhampiran;
b. Pengarah Seksyen / Penyelia yang dipertanggungjawabkan perlu menyerahkan salinan laporan polis tersebut kepada Pengarah Seksyen Khidmat Pengurusan (SKP) dengan kadar segera;
c. Pasukan Siasatan yang dilantik akan bermesyuarat dan tindakan susulan berdasarkan laporan hasil siasatan dan cadangan tinda-kan oleh Pasukan Siasatan akan dimaklumkan kepada Ketua Jabatan sebelum pelaksanaan;
d. Sekiranya terdapat unsur kecuaian, nilai ganti rugi yang perlu dibayar oleh pengguna yang bertanggungjawab atas kehilangan atau kecurian komputer tersebut;
e. Pihak Syarikat Kontraktor akan menggantikan komputer desktop/komputer riba sewaan yang baharu kepada pengguna selepas bayaran ganti rugi dilakukan; dan
f. Sekiranya selepas siasatan dilakukan dan didapati tiada unsur kecuaian, pihak kontraktor akan menggantikan terus komputer desktop/komputer riba sewaan yang baharu kepada pengguna berkaitan..
Tanggungjawab
Pengguna
40
DA-050209 Pelupusan
Aset ICT yang hendak dilupuskan perlu melalui proses pelupusan se-masa. Pelupusan aset ICT perlu dilakukan secara terkawal dan lengkap supaya maklumat tidak terlepas dari kawalan UKAS seperti berikut:
a. semua kandungan peralatan khususnya maklumat rahsia rasmi hendaklah dihapuskan terlebih dahulu sebelum pelupusan dilaksanakan;
b. sekiranya maklumat perlu disimpan, maka pengguna bolehlah membuat salinan penduaan;
c. maklumat lanjut pelupusan bolehlah merujuk kepada Surat Pekeliling Perbendaharaan Bilangan 7 Tahun 1995 ber-tajuk “Garis Panduan Pelupusan Peralatan Komputer”;
d. Pegawai Aset hendaklah mengenal pasti sama ada peralatan tertentu boleh dilupuskan atau sebaliknya;
e. peralatan yang hendak dilupus hendaklah disimpan di tem-pat yang telah dikhaskan yang mempunyai ciri-ciri kesela-matan bagi menjamin keselamatan peralatan tersebut;
f. Pegawai Aset bertanggungjawab merekodkan butir–butir pelupusan dan mengemas kini rekod pelupusan peralatan ICT ke dalam Sistem Pengurusan Aset (SPA);
g. pelupusan peralatan ICT hendaklah dilakukan mengikut tatacara pelupusan semasa yang berkuat kuasa dan;
h. Pengguna ICT adalah DILARANG SAMA SEKALI daripada melakukan perkara-perkara seperti berikut:
i. menyimpan mana-mana peralatan ICT yang hen-dak dilupuskan untuk milik peribadi. mencabut, menanggal dan menyimpan perkakasan tamba-han dalaman CPU seperti RAM, hardisk, mother-board dan sebagainya;
ii. menyimpan dan memindahkan aksesori komput-er seperti speaker, headphone dan sebagainya ke lain-lain Seskyen di UKAS;
iii. memindah keluar dari UKAS mana-mana peralatan ICT yang hendak dilupuskan; dan
iv. kerja-kerja pelupusan Peralatan ICT adalah di bawah tanggungjawab Unit ICT dan Unit Pentad-biran. Pengguna DILARANG membuat pelupusan sendiri.
Tanggungjawab:
Pentadbir Sistem Pegawai Aset
41
DA-050210 Clear Desk dan Clear Screen
Semua maklumat dalam apa jua bentuk media hendaklah di simpan dengan teratur dan selamat bagi mengelakkan kerosakan, kecurian atau kehilangan. Clear Desk bermaksud tidak meninggalkan bahan-bahan yang sensitif terdedah sama ada atas meja bekerja atau di paparan skrin apabila warga kerja tidak berada di tempatnya dan langkah-langkah yang perlu diambil adalah seperti berikut:
a. gunakan kemudahan password screen saver atau log keluar apabila meninggalkan komputer;
b. bahan-bahan sensitif hendaklah disimpan dalam laci atau kabinet fail yang berkunci; dan
c. dokumen yang mengandungi bahan-bahan sensitif hen-daklah diambil segera dari pencetak.
Tanggungjawab:
Pengguna
42
BIDANG 06: PENGURUSAN OPERASI DAN KOMUNIKASI
Pengurusan Prosedur Operasi
Objektif: Memastikan perkhidmatan dan pemprosesan maklumat dapat berfungsi dengan bet-
ul dan selamat.
DA-060101 Pengendalian SOP
Langkah-langkah yang perlu dilaksanakan adalah seperti berikut:
a. semua prosedur keselamatan ICT yang diwujud, dikenal pasti dan masih digunapakai hendaklah didokumentasikan, disimpan dan dikawal;
b. setiap prosedur mestilah mengandungi arahan-arahan yang lengkap, teratur dan jelas seperti keperluan kapasiti, pen-gendalian dan pemprosesan maklumat, pengendalian dan penghantaran ralat, pengendalian output, bantuan teknikal dan pemulihan sekiranya pemprosesan tergendala atau ter-henti; dan
c. semua prosedur hendaklah dikemaskini dari semasa ke se-masa atau mengikut keperluan.
Tanggungjawab:
ICTSO Pentadbir Sstem
Perancangan dan Penerimaan Sistem
Objektif:
Meminimumkan risiko yang menyebabkan gangguan atau kegagalan sistem.
DA-060201 Penerimaan Sistem
Langkah-langkah yang perlu dilaksanakan adalah seperti berikut:
a. semua sistem baru (termasuklah sistem yang dikemaskini atau diubahsuai) hendaklah memenuhi kriteria yang ditetap-kan sebelum diterima atau dipersetujui.
b. memantau dan menyelaras penggunaan peralatan bagi me-menuhi keperluan kapasiti akan datang untuk memastikan prestasi sistem sentiasa ditahap optimum; Menetapkan kriteria penerimaan sistem baru dan sistem yang ditingkat-kan (versi baru). Pengujian yang sesuai ke atasnya perlu dibuat semasa pembangunan dan sebelum penerimaan sis-tem.
Tanggungjawab:
ICTSO Pengurus ICT Pentadbir Sis-
tem
43
Perisian Berbahaya
Objektif: Melindungi integriti perisian dan maklumat dari pendedahan atau kerosakan yang
disebabkan oleh perisian berbahaya seperti virus dan trojan.
DA-060301 Perlindungan dari Perisian Berbahaya
Langkah-langkah yang perlu dilaksanakan adalah seperti berikut:
a. memasang sistem keselamatan untuk mengesan perisian atau program berbahaya seperti anti virus komputer peribadi dan komputer riba dan mengikut prosedur penggunaan yang betul dan selamat;
b. memasang dan menggunakan hanya perisian yang berdaftar dan dilindungi di bawah hak cipta terpelihara;
c. mengimbas semua perisian atau sistem dengan anti virus sebelum menggunakannya;
d. mengemaskini pattern anti virus dari semasa ke semasa;
e. penggunaan anti virus selain daripada yang digunapakai oleh UKAS perlu mendapat kebenaran dari Unit ICT.
f. menghadiri program kesedaran mengenai ancaman perisian berbahaya dan cara mengendalikannya; dan
g. mengedar amaran mengenai ancaman seperti serangan virus terhadap keselamatan aset ICT UKAS
Tanggungjawab:
Pentadbir Sistem
44
Housekeeping
Objektif: Melindungi integriti maklumat dan perkhidmatan komunikasi agar boleh diakses pada
bila-bila masa.
DA-060401 Penduaan
Langkah-langkah yang perlu dilaksanakan adalah seperti berikut:
a. membuat salinan backup ke atas semua data dan maklumat mengikut kesesuaian operasi;
b. menguji sistem backup sedia ada bagi memastikan ianya dapat berfungsi dengan sempurna, boleh dipercayai dan berkesan apabila digunakan khususnya pada waktu kecemasan;
c. menyimpan sekurang-kurangnya tiga (3) generasi backup; dan
d. merekod dan menyimpan salinan backup di lokasi yang ber-lainan dan selamat.
Tanggungjawab:
Pentadbir Sistem
Pengurusan Rangkaian
Objektif: Melindungi maklumat dalam rangkaian dan infrastruktur sokongan.
DA-060501 Kawalan Infrastruktur Rangkaian
Infrastruktur rangkaian mestilah dikawal dan diuruskan sebaik mungkin demi melindungi ancaman kepada sistem dan aplikasi di dalam rangkaian. Berikut adalah langkah-langkah yang perlu dipertim-bangkan:
a. peralatan rangkaian hendaklah diletakkan di lokasi yang mempunyai ciri-ciri fizikal yang kukuh dan bebas dari risiko seperti banjir, gegaran dan habuk;
b. capaian kepada peralatan rangkaian hendaklah dikawal dan terhad kepada pengguna yang dibenarkan sahaja;
c. Firewall hendaklah dipasang di antara rangkaian dalaman dan sistem yang melibatkan maklumat rahsia rasmi Kera-jaan serta dikonfigurasi oleh pentadbir sistem yang dibenarkan sahaja;
Tanggungjawab:
Pengurus ICT
ICTSO Pentadbir Sistem
45
d. Firewall digunakan untuk menilai paket setiap paket data di Antara computer dan internet dan buat keputusan berdasar-kan arahan yang telah diberikan samada untuk haling, biar atau lepas (permit, block, ignore). Sesetengah firewall juga menyimpan log bagi membolehkan pihak pentadbir melihat dan menyelia apa yang berlaku;
e. semua trafik keluar dan masuk hendaklah melalui firewall di bawah kawalan Pentadbir Sistem UKAS;
f. Pentadbir Sistem rangkaian bertanggungjawam untuk mengawalselia firewall dan mengenalpasti setiap versi fire-wall yang terkini dan ditingkatkan jika perlu;
g. semua patch keselamatan yang disyorkan oleh pihak pembekal perlu dilaksanakan jika perlu dan dikemaskini dari masa ke semasa;
h. Pentadbir Sistem rangkaian perlu memberi nombor telefon pejabat, telefon rumah dan telefon bimbit bagi membolehkan dihubungi jika perkhidmatan mereka diperlukan;
i. sebarang penyambungan rangkaian yang bukan di bawah kawalan UKAS hendaklah mendapat kebenaran ICTSO;
j. semua pengguna hanya dibenarkan menggunakan rangkaian UKAS sahaja. Penggunaan modem adalah dil-arang sama sekali;
k. memastikan keperluan perlindungan ICT adalah ber-sesuaian dan mencukupi bagi menyokong perkhidmatan yang lebih optima; dan
l. pemeriksaan peralatan rangkaian UKAS dilakukan setiap minggu bagi memastikan ianya berfungsi dengan baik.
46
Keselamatan Komunikasi ICT
Objektif: Melindungi aset ICT melalui sistem komunikasi yang selamat.
DA-060601 Internet
Langkah-langkah yang perlu dilaksanakan adalah seperti berikut:
a. laman yang dilayari hendaklah hanya yang berkaitan dengan urusan rasmi dan terhad untuk tujuan yang dibenarkan oleh Ketua Jabatan;
b. bahan yang diperolehi dari Internet hendaklah ditentukan ketepatan dan kesahihannya. Sebagai amalan baik, rujukan sumber Internet hendaklah dinyatakan;
c. bahan rasmi hendaklah disemak dan mendapat pengesahan daripada Pengarah Seksyen sebelum dimuat naik ke Inter-net;
d. pengguna hanya dibenarkan memuat turun bahan yang sah seperti perisian yang berdaftar dan di bawah hak cipta ter-pelihara;
e. sebarang bahan yang dimuat turun dari Internet hendaklah digunakan untuk tujuan yang dibenarkan oleh UKAS;
f. Pentadbir Sistem mengawal penggunaan sistem komputer atau rangkaian bagi memastikan ia selamat dari dicerobohi. Pada masa ini semua penguna yang mempunyai tugasan rasmi yang perlu dilakukan melalui internet boleh menggunakan internet. Contohnya pegawai yang terlibat dengan aplikasi Kerajaan elektronik seperti ePerolehan/e-SPKB dan juga emel rasmi jabatan;
g. sesetengah protocol telah disekat dan jika pengguna me-merlukan sesetengah protokol yang tidak dibenarkan bagi tujuan rasmi, pengguna perlu meminta kebenaran Pengurus ICT serta kelulusan Pengarah Seksyen masing-masing.
Maklumat lanjut mengenai keselamatan Internet bolehlah merujuk kepada Pekeliling Kemajuan Pentadbiran Awam Bilangan 1 Tahun 2003 bertajuk “Garis Panduan Mengenai Tatacara Penggunaan Inter-net dan Mel Elektronik di Agensi-agensi Kerajaan” .
Tanggungjawab:
Pengguna
47
DA-060602 Mel Elektronik
Langkah-langkah yang perlu dilaksanakan adalah seperti berikut:
a. akaun atau alamat mel elektronik (e-mel) yang diperuntukkan oleh UKAS sahaja boleh digunakan. Penggunaan akaun milik orang lain atau akaun yang dikongsi bersama adalah dilarang;
b. setiap e-mel yang disediakan hendaklah mematuhi format yang telah ditetapkan oleh UKAS;
c. memastikan subjek dan kandungan e-mel adalah berkaitan dan menyentuh perkara perbincangan yang sama sebelum penghantaran dilakukan;
d. penghantaran e-mel rasmi hendaklah menggunakan akaun e-mel rasmi dan pastikan alamat e-mel penerima adalah betul;
e. pengguna dinasihatkan menggunakan fail kepilan, sekiranya perlu, tidak melebihi sepuluh (10) megabait semasa penghan-taran. Kaedah pemampatan untuk mengurangkan saiz adalah disarankan;
f. pengguna hendaklah mengelak dari membuka e-mel daripada penghantar yang tidak dikenali atau diragui;
g. pengguna hendaklah mengenalpasti dan mengesahkan identiti pengguna yang berkomunikasi dengannya sebelum menerus-kan transaksi maklumat melalui e-mel;
h. setiap e-mel rasmi yang dihantar atau diterima hendaklah disimpan mengikut tatacara pengurusan sistem fail elektronik yang telah ditetapkan;
i. e-mel yang tidak penting dan tidak mempunyai nilai arkib yang telah diambil tindakan dan tidak diperlukan lagi bolehlah diha-puskan;
j. pengguna hendaklah menentukan tarikh dan masa sistem komputer adalah tepat;
k. e-mel yang diperlukan sebagai bahan rujukan di masa akan datang hendaklah disimpan di dalam storan sekunder;
l. mengambil tindakan dan memberi maklum balas terhadap e-mel dengan cepat dan mengambil tindakan segera;
Tanggungjawab:
Pengguna
48
DA-060602 Mel Elektronik
m. pengguna hendaklah memastikan alamat e-mel persendirian (seperti yahoo.com, gmail.com, streamyx.com.my dan sebagainya) tidak boleh digunakan untuk tujuan rasmi; dan
n. pengguna hendaklah bertanggungjawab ke atas pengemaskinian dan penggunaan mailbox masing-masing;
Maklumat lanjut mengenai keselamatan e-mel bolehlah merujuk kepada Pekeliling Kemajuan Pentadbiran Awam Bilangan 1 Tahun 2003 bertajuk “Garis Panduan Mengenai Tatacara Penggunaan In-ternet dan Mel Elektronik di Agensi-agensi Kerajaan”.
49
BIDANG 07 : KAWALAN CAPAIAN
Pengurusan Capaian Pengguna
Objektif: Mengawal capaian pengguna ke atas aset ICT UKAS.
DA-070101 Akaun Pengguna
Pengguna adalah bertanggungjawab ke atas sistem ICT yang digunakan. Bagi mengenalpasti pengguna dan aktiviti yang dilakukan, langkah-langkah berikut hendaklah dipatuhi:
a. akaun yang diperuntukkan oleh jabatan sahaja boleh digunakan;
b. akaun pengguna mestilah unik;
c. pemilikan akaun pengguna bukanlah hak mutlak seseorang dan ia tertakluk kepada peraturan jabatan. Akaun boleh di-tarik balik jika penggunaannya melanggar peraturan dan Pentadbir Sistem akan memantau dengan menyemak sena-rai akaun pengguna dari masa ke semasa;
d. penggunaan akaun milik orang lain atau akaun yang dikongsi bersama adalah dilarang; dan
e. pentadbir sistem ICT boleh membeku dan menamatkan akaun pengguna selepas 14 hari meninggalkan UKAS atas sebab-sebab berikut:
i. pengguna bercuti panjang atau menghadiri kursus di luar pejabat dalam tempoh waktu melebihi tiga (3) bulan;
ii. bertukar bidang tugas kerja;
iii. bertukar ke agensi lain;
iv. bersara; atau
v. ditamatkan perkhidmatan
vi. pengguna tidak hadir bertugas tanpa kebenaran melebihi satu tempoh yang dibenarkan oleh ketua jabatan
Tanggungjawab:
Pengguna
50
DA-070102 Pengurusan katalaluan
Langkah-langkah yang perlu dilaksanakan adalah seperti berikut:
a. dalam apa jua keadaan dan sebab, katalaluan hendaklah dilindungi dan tidak boleh dikongsi dengan sesiapa pun;
b. pengguna hendaklah menukar katalaluan apabila disyaki berlakunya kebocoran katalaluan atau dikompromi;
c. panjang katalaluan mestilah sekurang-kurangnya dua belas (12) aksara dengan gabungan aksara, angka dan aksara khusus;
d. katalaluan hendaklah diingat dan TIDAK BOLEH dicatat, disimpan atau didedahkan dengan apa cara sekalipun;
e. kata laluan windows dan screen saver hendaklah diaktifkan terutamanya pada komputer yang terletak di ruang guna sa-ma;
f. katalaluan hendaklah tidak dipaparkan semasa input, dalam laporan atau media lain dan tidak boleh dikodkan di dalam program;
g. katalaluan hendaklah berlainan daripada pengenalan identiti pengguna;
Tanggungjawab:
Pengguna
51
Kawalan Capaian Sistem dan Aplikasi
Objektif: Melindungi sistem maklumat dan aplikasi sedia ada dari sebarang bentuk capaian yang
tidak dibenarkan yang boleh menyebabkan kerosakan.
DA-070201 Sistem Maklumat dan Aplikasi
Capaian sistem dan aplikasi di UKAS adalah terhad kepada pengguna dan tujuan yang dibenarkan. Bagi memastikan kawalan capaian sistem dan aplikasi adalah kukuh, langkah-langkah berikut hendaklah dipatuhi:
a. pengguna hanya boleh menggunakan sistem maklumat dan aplikasi yang dibenarkan mengikut tahap capaian dan sen-sitiviti maklumat yang telah ditentukan;
b. semua pengguna yang menggunakan Sistem aplikasi dikenali melalui ID Pengguna dan katalaluan. ID Pengguna adalah unik dan katalaluan adalah rahsia dan digunakan un-tuk mengawal pelaksanaan.
c. pengurusan penggunaan ID dikawal selia oleh Pentadbir Sistem. Ianya merupakan satu langkah keselamatan yang digunakan untuk menghadkan penggunaan server kepada pihak yang dibenarkan sahaja;
d. memastikan kawalan sistem rangkaian adalah kukuh dan lengkap dengan ciri-ciri keselamatan bagi mengelakkan ak-tiviti atau capaian yang tidak sah.
Tanggungjawab:
Pentadbir Sistem
Peralatan Komputer Mudah Alih
Objektif: Memastikan keselamatan maklumat apabila menggunakan kemudahan atau peralatan
komputer mudah alih.
DA-070301 Penggunaan Peralatan Komputer Mudah Alih
Langkah-langkah yang perlu dilaksanakan adalah seperti berikut:
a. komputer mudah alih hendaklah disimpan dan dikunci di tempat yang selamat apabila tidak digunakan; dan
b. capaian sistem dan aplikasi melalui jarak jauh adalah diga-lakkan. Walaubagaimanapun, penggunaannya terhad kepa-da perkhidmatan yang dibenarkan sahaja.
Tanggungjawab:
Pengguna
52
BIDANG 08 : PEMBANGUNAN DAN PENYELENGGARAAN SISTEM
Keselamatan Dalam Membangunkan Sistem dan Aplikasi
Objektif: Memastikan sistem yang dibangunkan mempunyai ciri-ciri keselamatan ICT yang ber-
sesuaian.
DA-080101 Keperluan Keselamatan
Langkah-langkah yang perlu dilaksanakan adalah seperti berikut:
a. Pembangunan sistem hendaklah mengambilkira kawalan keselamatan bagi memastikan tidak wujudnya sebarang ra-lat yang boleh mengganggu pemprosesan dan ketepatan maklumat;
b. ujian keselamatan hendaklah dijalankan ke atas sistem input untuk menyemak pengesahan dan integriti data yang di-masukkan. Sistem pemprosesan untuk menentukan sama ada program berjalan dengan betul dan sempurna dan sis-tem output untuk memastikan data yang telah diproses ada-lah tepat; dan
c. sebaik-baiknya, semua sistem yang dibangunkan sama ada secara dalaman atau sebaliknya hendaklah diuji dan di-perakui terlebih dahulu bagi memastikan sistem berkenaan memenuhi keperluan keselamatan yang telah ditetapkan sebelum digunakan.
Tanggungjawab:
Pentadbir Sistem
Kriptografi
Objektif: Melindungi kerahsiaan, integriti dan kesahihan maklumat.
DA-080201 Penyulitan
Setiap pengguna hendaklah membuat penyulitan ke atas semua sis-tem yang melibatkan maklumat sensitif atau kritikal bagi mengelakkan dari pendedahan dan penyelewengan maklumat berlaku.
Tanggungjawab:
Pengguna
DA-080202 Tandatangan Digital
Penggunaan tandatangan digital adalah dimestikan kepada semua pengguna khususnya mereka yang menguruskan transaksi maklumat rahsia rasmi secara elektronik.
Tanggungjawab:
Pengguna
53
Sistem Fail
Objektif: Memastikan supaya sistem fail dan aktiviti berkaitan beroperasi dengan baik dan
selamat.
DA-080301 Kawalan Fail-Fail Sistem
Langkah-langkah yang perlu dilaksanakan adalah seperti berikut:
a. menyediakan kawalan keselamatan yang kukuh semasa melaksanakan perisian atau sistem aplikasi bagi mengu-rangkan risiko kerosakan kepada sistem pengoperasian;
b. proses pengemaskinian sistem hanya boleh dilakukan oleh pentadbir sistem ICT atau pegawai yang berkenaan dan mengi-kut prosedur yang telah ditetapkan;
c. kod atau aturcara sistem yang telah dikemaskini hanya boleh dilaksanakan atau digunakan selepas diuji dan diperakui; dan
d. mengawal capaian ke atas kod atau aturcara program bagi mengelakkan kerosakan, pengubahsuaian tanpa kebenaran, penghapusan dan kecurian program komputer.
Tanggungjawab:
Pentadbir Sistem
Pembangunan dan Proses Sokongan
Objektif: Menjaga dan menjamin keselamatan sistem maklumat dan aplikasi.
DA-080401 Kawalan Perubahan
Perubahan atau pengubahsuaian ke atas sistem maklumat dan aplikasi hendaklah dikawal, diuji, direkod dan disahkan sebelum digunapakai.
Tanggungjawab::
Pentadbir Sistem
DA-080402 Pembangunan Perisian Secara Outsource
Langkah-langkah yang perlu dilaksanakan adalah seperti berikut:
a. pembangunan perisian secara outsource perlu diselia dan dipantau oleh pemilik sistem;
b. kod sumber (source code) bagi semua aplikasi dan perisian adalah menjadi hak milik UKAS; dan
c. perjanjian antara UKAS dan pihak pembekal terhadap penggunaan kod sumber supaya tidak diguna semula bagi pembangunan sistem lain.
Tanggungjawab:
Pentadbir Sistem
54
DA-080403 Dasar Penggunaan Perkhidmatan Luar (Outsourcing)
Penggunaan perkhidmatan luar adalah suatu perjanjian di antara pihak UKAS dengan pihak ketiga iaitu pembekal yang bertanggungjawab melaksanakan fungsi sistem maklumat dan memenuhi kriteria yang telah ditetapkan.
Setiap perubahan yang dibuat pada sistem komputer hendaklah dimaklumkan dan disertakan dengan dokumen bertulis kepada Ketua Pegawai Maklumat dan Pengurus ICT. Keperluan keselamatan boleh dilihat daripada beberapa aspek, antaranya :-
Sumber Manusia
Keselamatan Data
Keselamatan Peralatan dan Perisian
Kawalan kemasukan sistem
Ketepatan Masa
Polisi keselamatan berkaitan dengan perkhidmatan luar adalah seperti berikut:
a. memastikan pembekal yang dipertanggungjawabkan mempunyai kelayakan dalam bidang berkaitan dan pembekal tempatan yang berdaftar dengan Kementerian Kewangan;
b. menentukan bahagian yang boleh dimasuki / dilawati oleh pihak pembekal yang berhubungkait dengan bidang tugas yang telah dikenal pasti;
c. memastikan pihak pembekal mematuhi setiap syarat yang termaktub dalam perjanjian;
d. memberikan maklumat yang lengkap dan jelas kepada pembekal untuk pembangunan sistem;
e. pihak pembekal hendaklah memberikan senarai nama ka-kitangan mereka yang terlibat dengan projek;
f. sebarang pertukaran/penambahan terhadap senarai ka-kitangan dari pihak pembekal harus dimaklumkan dari masa ke masa;
g. pegawai yang terlibat hendaklah memastikan maklumat yang diberikan kepada pembekal tidak disalahgunakan;
Tanggungjawab:
Pengurus ICT ICTSO
Pentadbir Sistem
55
DA-080403 Dasar Penggunaan Perkhidmatan Luar (Outsourcing)
h. sebarang kecurian, kerosakan dan penyalahgunaan peralatan, perisian atau aplikasi mesti dilaporkan dengan segera kepada jabatan dan pembekal;
i. memastikan pihak pembekal mematuhi setiap syarat yang semua peralatan dan perisian perlu mempunyai sistem inventori yang sentiasa dikemaskini dan direkodkan pemiliknya;
j. mengadakan kaedah laporan terhadap isu-isu/masalah sekiranya ia timbul dari masa ke masa;
k. tugas dan tindakan yang tidak dapat diselesaikan ha-rus didokumenkan dan diberi kepada jabatan untuk tin-dakan susulan; dan
l. sebarang perisian yang digunakan mesti mempunyai lesen perisian. Dan lesen tersebut mestilah di atas na-ma Unit Kerjasama Awam Swasta.
Dasar penggunaan perkhidmatan luar perlu mempunyai kaedah yang sentiasa dikemaskini dari masa ke masa dengan persetujuan kedua-dua pihak.
Tanggungjawab:
Pengurus ICT ICTSO
Pentadbir Sistem
56
BIDANG 09 : Pengurusan Kesinambungan Perkhidmatan
Dasar Kesinambungan Perkhidmatan
Objektif: Menjamin operasi perkhidmatan agar tidak tergendala dan penyampaian perkhidmatan
yang berterusan kepada pelanggan.
DA-090101 Pelan Kesinambungan Perkhidmatan
Pelan kesinambungan perkhidmatan hendaklah dibangunkan untuk menentukan pendekatan yang menyeluruh diambil bagi mengekalkan kesinambungan perkhidmatan. Ini bertujuan memastikan tiada gangguan kepada proses-proses dalam penyediaan perkhidmatan or-ganisasi. Perkara-perkara berikut perlu diambilkira :
a. mengenalpasti semua tanggungjawab dan prosedur kecemasan atau pemulihan;
b. melaksanakan prosedur-prosedur kecemasan bagi mem-bolehkan pemulihan dapat dilakukan secepat mungkin atau dalam jangka masa yang telah ditetapkan;
c. mendokumentasikan proses dan prosedur yang telah di-persetujui;
d. mengadakan program latihan kepada pengguna mengenai prosedur kecemasan; dan
e. menguji dan mengemaskini pelan sekurang-kurangnya se-tahun sekali.
Tanggungjawab:
CIO
Pengurus ICT ICTSO
Pentadbir Sistem
DA-090102 Penduaan
Langkah-langkah yang perlu dilaksanakan adalah seperti berikut:
a. membuat penduaan ke atas sistem ICT sebagai kontigensi bagi memastikan pemulihan dapat dilaksanakan;
b. penduaan hendaklah dibuat secara berkala bagi mengu-rangkan beban pembangunan semula serta mempercepat-kan proses pemulihan sistem;
c. salinan-salinan penduaan mesti disimpan dengan selamat dan dikawal; dan
d. prosedur pemulihan mestilah disemak dan diuji secara ber-jadual bagi memastikan prosedur berkenaan sentiasa boleh dipraktikkan.
Tanggungjawab:
Pentadbir Sistem
57
DA-090103 Pelan Pemulihan Bencana (DRP)
Pelan Pemulihan bencana perlu disediakan sebagai panduan memulihkan Sistem dalam masa yang dikehendaki dan tersingkat. Pelan ini men-erangkan tindakan, bahan-bahan dan sumber-sumber yang diperlukan un-tuk memulihkan sepenuhnya sistem produksi lain operasi komputer. Bagi memastikan kesinambungan urusan UKAS, semua pihak yang terbabit per-lu mengikuti prosedur yang telah dinyatakan di dalam pelan tersebut.
Tanggungjawab:
Pengurus ICT
ICTSO Pentadbir Sis-
tem
58
BIDANG 10: PEMATUHAN Pematuhan dan Keperluan Perundangan
Objektif: Meningkatkan tahap keselamatan ICT bagi mengelak dari pelanggaran kepada Dasar
Keselamatan ICT UKAS.
DA-100101 Pematuhan Dasar
Setiap pengguna di UKAS hendaklah membaca, memahami dan mematuhi Dasar Keselamatan ICT UKAS dan undang-undang atau peraturan-peraturan lain yang berkaitan yang berkuat kuasa. Semua aset ICT di UKAS termasuk maklumat yang disimpan di dalamnya adalah hak milik Ke-rajaan dan bukannya di bawah kuasa mutlak individu.
Tanggungjawab:
Pengguna
DA-100102 Keperluan Peraturan
Senarai peraturan yang perlu dipatuhi oleh semua pengguna di UKAS ada-lah seperti LAMPIRAN 2.
Tanggungjawab:
Pengguna
59
11. RUJUKAN
a. Malaysian Public Sector Management of Information & Communications Technolo-
gy Security Handbook (MyMIS) – MAMPU
b. Pekeliling Am Bil 3/2000 : Rangka Dasar Keselamatan Teknologi Maklumat dan
Komunikasi Maklumat Kerajaan
c. Buku Arahan Keselamatan
d. MIS Training Institute Information Security Policy
60
SURAT AKUAN PEMATUHAN
DASAR KESELAMATAN ICT UNIT KERJASAMA AWAM SWASTA (UKAS)
Nama (Huruf Besar)
: ................................................................................................
No. Kad Pengenalan
: ................................................................................................
Jawatan : ................................................................................................
Bahagian : ................................................................................................
Adalah dengan sesungguhnya dan sebenarnya mengaku bahawa:-
1. Saya telah membaca, memahami dan akur akan peruntukan-peruntukan yang terkan-dung di dalam Dasar Keselamatan ICT UKAS; dan
2. jika saya ingkar kepada peruntukan-peruntukan yang ditetapkan, maka tindakan sewajarnya boleh diambil ke atas diri saya.
Tandatangan : ........................................
Tarikh : ........................................
Pengesahan Pegawai Keselamatan ICT
..............................................................
(Nama Pegawai Keselamatan ICT)
b.p. Ketua Pengarah
Unit Kerjasama Awam Swasta
Tarikh : ………………………………………
LAMPIRAN 1
61
LAMPIRAN 2
Keperluan perundangan atau peraturan-peraturan lain berkaitan yang perlu dipatuhi oleh semua pengguna di UKAS:
Arahan Keselamatan; Pekeling Am Bilangan 3 Tahun 2000 bertajuk “Rangka Dasar Keselamatan
Teknologi Maklumat dan Komunikasi Kerajaan”; Pekeliling Am Bilangan 4 Tahun 2006 bertajuk “Pengurusan Pengendalian Insiden
Keselamatan Teknologi Maklumat dan Komunikasi (ICT) Sektor Awam”; Pekeliling Kemajuan Pentadbiran Awam Bilangan 1 Tahun 2003 bertajuk “Garis
Panduan Mengenai Tatacara Penggunaan Internet dan Mel Elektronik di Agensi-agensi Kerajaan”;
Akta Tandangan Digital 1997; Akta Jenayah Komputer 1997; Akta Hakcipta (Pindaan) Tahun 1997; Akta Komunikasi dan Multimedia 1998; Malaysian Public Sector Management of Information and Communications Tech-
nology Security Handbook (MyMIS); Akta Aktiviti Kerajaan Elektronik 2008 (Akta 680); dan Arahan Teknologi Maklumat Disember 2007