Professional Documents
Culture Documents
MAC 2012
KANDUNGAN TERMA DAN TAFSIRAN 1. 2. 3. 4. 5. TUJUAN SKOP PRINSIP-PRINSIP PERNYATAAN DASAR DASAR KESELAMATAN 5.1 Dasar Kese a!a"a# ICT 5.1.1 5.1.2 $. Dokumen Keselamatan ICT Kajian Semula Dasar Keselamatan
MUKASURAT 1 5 5 7 9
10 10 10
ORGANISASI KESELAMATAN MAKLUMAT $.1 Pe#%&r&sa# Kese a!a"a# Ma' &!a" 6.1.1 6.1.2 6.1.! 6.1.$ 6.1.5 6.1.6 6.1.7 6.1.* $.2 6.2.1 6.2.2 6.2.! Komitmen Pengurusan Penyelarasan Keselamatan aklumat Peranan Dan Tanggungja"a# Keselamatan aklumat Kelulusan %ntuk Kemu&a'an Pem(rosesan aklumat Kera'siaan aklumat Direktori Pi'ak )erkuasa )erkaitan Direktori Kum(ulan )erke(entingan Kajian Keselamatan engenal(asti ,isiko aklumat +le' Pi'ak Ketiga eli#atkan Pi'ak -uar 11 11 11 11 11 11 11 11 12 12 12 12 12
P()a' L&ar Ke(erluan Keselamatan )ila )erurusan Dengan Pengguna Ke(erluan Keselamatan Dalam Perjanjian Pi'ak Ketiga
RUJUKAN DKICT KP
TARIK+ 2! / 2 / 2012
-.
PENGURUSAN ASET -.1 A'a&#"a.( ("( Ase" 7.1.1 7.1.2 7.1.! -.2 7.2.1 7.2.2 In0entori 1set ICT Pemilikan 1set ICT Ke#enaran Pengkelasan enggunakan 1set ICT aklumat aklumat 1! 1! 1! 1! 1! 1! 1!
/.
KESELAMATAN SUM0ER MANUSIA /.1 Se.e &! Per')(1!a"a# *.1.1 *.1.2 *.1.! /.2 *.2.1 *.2.2 *.2.! /.3 *.!.1 *.!.2 *.!.! Peranan Dan Tanggungja"a# .eri2ikasi Terma Dan Syarat3syarat Kontrak Tanggungja"a# Pengurusan Kese&aran Keselamatan Proses Disi(lin Tanggungja"a# Pega"ai Pemulangan 1set Pem#atalan 4ak Ca(aian aklumat 1$ 1$ 1$ 1$ 1$ 15 15 15 15 15 15 15
Se!asa Per')(1!a"a#
2.
KESELAMATAN FI3IKAL DAN PERSEKITARAN 2.1 Kese a!a"a# Ka4asa# 9.1.1 9.1.2 9.1.! 9.1.$ Keselamatan Perimeter Ka"alan asuk 5i6ikal Keselamatan Peja#at7 )ilik Dan Kemu&a'an Perlin&ungan Ter'a&a( 1n8aman -uar Dan Persekitaran 16 16 16 16 16
RUJUKAN DKICT KP
TARIK+ 2! / 2 / 2012
)ekerja Di Ka"asan Keselamatan -aluan 1kses 1"am7 Peng'antaran Dan Pemungga'an Penem(atan Dan Perlin&ungan Peralatan Kemu&a'an Sokongan Keselamatan Ka#el Penyelenggaraan Peralatan Keselamatan Peralatan Di -uar Premis Pelu(usan 1tau Penggunaan Semula Peralatan 1set ICT 9ang Di#a"a Keluar
16 16 17 17 17 17 17 17 17 17
Kese a!a"a# Pera a"a# 9.2.1 9.2.2 9.2.! 9.2.$ 9.2.5 9.2.6 9.2.7
15. PENGURUSAN OPERASI DAN KOMUNIKASI 15.1 Pr6se1&r O7eras( Da# Ta#%%&#%8a4a. 10.1.1 10.1.2 10.1.! 10.1.$ 15.2 en&okumenkan Prose&ur +(erasi Pengurusan Peru#a'an Pengagi'an Tugas Pengasingan Kemu&a'an Pem#angunan7 Pengujian Dan Pengo(erasian Penyam(aian Perk'i&matan emantau Dan Ketiga enyemak Perk'i&matan Pi'ak 1* 1* 1* 1* 1* 1* 19 19 19 19 19 19 19 20
engurus Peru#a'an Ke(a&a Per'i&matan Pi'ak Ketiga Pengurusan Ka(asiti Penerimaan Sistem
15.3
15.4
Per (#1&#%a# 1ar( K61 Ja)a" ;Malicious Code< Da# K61 M&1a) A () ;Mobile Code< 10.$.1 Ka"alan Ter'a&a( Ko& :a'at
RUJUKAN DKICT KP
TARIK+ 2! / 2 / 2012
10.$.2 15.5 15.$ Backup 10.5.1 10.6.1 10.6.2 15.10.7.1 10.7.2 10.7.! 10.7.$ 15./ 10.*.1 10.*.2 10.*.! 10.*.$ 10.*.5 15.2 10.9.1 10.9.2 10.9.!
u&a' 1li'
20 20 20 20 20 20 21 21 21 21 21 21
Pe#%&r&sa# Kese a!a"a# Ra#%'a(a# Ka"alan ,angkaian Keselamatan Perk'i&matan ,angkaian Pengurusan Pelu(usan e&ia e&ia aklumat u&a' 1li'
Prose&ur Pengen&alian
Keselamatan Dokumentasi Sistem Prose&ur Dan Dasar Pertukaran Persetujuan Pertukaran e&ia Dalam Transit esej ;lektronik Pertukaran aklumat 1ntara Sistem aklumat
21 21 22 22 22 22 22 22 22 2! 2! 2! 2! 2! 2! 2!
15.15 Pe!a#"a&a# 10.10.1 -og 1u&it 10.10.2 Pemantauan Penggunaan Sistem 10.10.! Perlin&ungan aklumat -og 10.10.$ -og Penta&#ir Dan +(erator 10.10.5 -og Kesala'an Dan Kesila(an 10.10.6 Keseragaman <aktu Sistem
RUJUKAN DKICT KP
TARIK+ 2! / 2 / 2012
11. KA=ALAN CAPAIAN 11.1 11.2 Ke7er &a# Ka4a a# Ca7a(a# 11.1.1 11.2.1 11.2.2 11.2.! 11.2.$ 11.3 11.!.1 11.!.2 11.!.! 11.4 11.$.1 11.$.2 11.$.! 11.$.$ 11.$.5 11.$.6 11.$.7 11.5 11.5.1 11.5.2 11.5.! 11.5.$ 11.5.5 11.5.6 11.$ 11.6.1 Peraturan Ka"alan Ca(aian Pen&a2taran Pengguna Pengurusan 4ak Istime"a Pengurusan Kata -aluan Pengguna Semakan Semula 4ak Ca(aian Pengguna Penggunaan Kata -aluan Peralatan Tan(a Ke'a&iran Pengguna =Unattended User Equipment> Clear Desk Dan Clear Screen Peraturan Penggunaan Perk'i&matan ,angkaian Pengesa'an Pengguna -uar Pengenalan Peralatan Dalam ,angkaian Remote Diagnostic Dan Perlin&ungan Kon2igurasi Pengasingan Dalam ,angkaian Ka"alan Sam#ungan ,angkaian Ka"alan -aluan ,angkaian Prose&ur Log-On 9ang Selamat Pengenalan Dan Pengesa'an Pengguna Sistem Pengurusan Kata -aluan Penggunaan %tiliti Sistem Sesi Time-out 4a& asa Sam#ungan aklumat Pe#%&r&sa# Ca7a(a# Pe#%%&#a 2$ 2$ 2$ 2$ 2$ 2$ 2$ 25 25 25 25 25 25 25 25 25 26 26 26 26 26 26 26 26 26 27 27 27
Ta#%%&#%8a4a. Pe#%%&#a
RUJUKAN DKICT KP
TARIK+ 2! / 2 / 2012
27 27 27 27
12. PEROLE+AN> PEM0ANGUNAN DAN PENYELENGGARAAN SISTEM MAKLUMAT 12.1 12.2 Ke7er &a# Kese a!a"a# S(s"e! Ma' &!a" 12.1.1 12.2.1 12.2.2 12.2.! 12.2.$ 12.3 12.!.1 12.!.2 12.4 12.$.1 12.$.2 12.$.! 12.5 S(esi2ikasi Dan 1nalisis Ke(erluan Keselamatan Pengesa'an Data Input Ka"alan Prosesan Dalaman esej Integriti Pengesa'an Data Output Peraturan Penggunaan Kri(togra2i Pengurusan In2rastruktur Kun8i 1"am Ka"alan +(erasi Perisian Perlin&ungan Data %jian Ka"alan Ca(aian Ko& Sum#er Pe!7r6sesa# Ya#% 0e"& Da a! A7 ('as( 2* 2* 2* 2* 2* 2* 2* 29 29 29 29 29 29 29 29 29 !0 !0 !0 !0 !0 !0
Ka4a a# Kr(7"6%ra?(
Kese a!a"a# Da a! Pr6ses Pe!.a#%&#a# Da# S6'6#%a# 12.5.1 12.5.2 12.5.! 12.5.$ 12.5.5 Prose&ur Ka"alan Peru#a'an Kajian Semula 1(likasi Sele(as Peru#a'an Sistem Pengo(erasian Ka"alan Peru#a'an Pakej Perisian Ke#o8oran aklumat Pem#angunan Perisian Se8ara Outsourced Ka"alan Keter&e&a'an Teknikal
12.$
RUJUKAN DKICT KP
TARIK+ 2! / 2 / 2012
13. PENGURUSAN INSIDEN KESELAMATAN MAKLUMAT 13.1 Pe a76ra# I#s(1e# Da# Ke e!a)a# Kese a!a"a# Ma' &!a" 1!.1.1 1!.1.2 13.2 Pela(oran Insi&en Keselamatan aklumat Pela(oran Kelema'an Keselamatan !1 !1 !1 !1 !1 aklumat !1 !2
Pe#%&r&sa# I#s(1e# Da# Pe#a!.a).a('a# Kese a!a"a# Ma' &!a" 1!.2.1 1!.2.2 1!.2.! Tanggungja"a# Dan Prose&ur Pengajaran Dari Insi&en Keselamatan Pengum(ulan )a'an )ukti
14. PENGURUSAN KESINAM0UNGAN PERK+IDMATAN 14.1 As7e'-as7e' Kese a!a"a# Ma' &!a" Pe#%&r&sa# Kes(#a!.&#%a# Per')(1!a"a# 1$.1.1 1$.1.2 1$.1.! 1$.1.$ 1$.1.5 1s(ek3as(ek Keselamatan aklumat Dalam Proses Pengurusan Kesinam#ungan Perk'i&matan Kesinam#ungan Perk'i&matan Dan Penilaian ,isiko em#angun Dan elaksanakan Pelan Kesinam#ungan Termasuk Keselamatan aklumat !! !! !! !! !! !!
,angka Kerja Peran8angan Kesinam#ungan Perk'i&matan enguji7 enyelenggara Dan enilai Semula Pelan Kesinam#ungan Perk'i&matan
15. PEMATU+AN 15.1 Me!a"&)( Ke7er &a# Pera#%a# 15.1.1 15.1.2 15.1.! 15.1.$ 15.1.5 Pengenalan %n&ang3un&ang Ter(akai 4ak 4arta Intelek =IP,> Perlin&ungan ,eko& +rganisasi Perlin&ungan Data Dan Pri0asi aklumat Peri#a&i Pen8ega'an Penyala'gunaan Kemu&a'an Pem(rosesan aklumat !$ !$ !$ !$ !$ !$
RUJUKAN DKICT KP
TARIK+ 2! / 2 / 2012
15.1.6 15.2
!$ !5 !5 !5 !5 !5 aklumat !5 !6
Pe!a"&)a# Dasar Kese a!a"a# 1a# P(a4a(a#> Da# Pe!a"&)a# Te'#('a 15.2.1 15.2.2 Pematu'an Dengan Dasar Keselamatan Dan Pia"aian Pematu'an Pemeriksaan Teknikal Ka"alan 1u&it Sistem aklumat
15.3
A&1(" S(s"e! Ma' &!a" 15.!.1 15.!.2 Perlin&ungan udit Tools Sistem
LAMPIRAN A
S&ra" A'&a# Pe!a"&)a# Dasar Kese a!a"a# ICT Ke!e#"er(a# Pe a8ara# Ma a9s(a Se#ara( Pera#%a# Da# Pera"&ra#
LAMPIRAN 0
!7
RUJUKAN DKICT KP
TARIK+ 2! / 2 / 2012
TERMA DAN TAFSIRAN Antivirus Perisian yang mengimbas virus pada media storan seperti disket, cakera padat, pita magnetik, optical disk, flash disk, CDROM, thumb drive untuk sebarang kemungkinan adanya virus. Apa sahaja kejadian yang berpotensi atau tindakan yang boleh menyebabkan berlaku kemusnahan atau musibah. Data, maklumat, perkakasan, perisian, aplikasi, dokumentasi dan sumber manusia serta premis berkaitan dengan C! yang berada di ba"ah tanggungja"ab #PM. Proses penduaan data, maklumat, perisian sistem dan aplikasi. Pasukan !indak %alas nsiden #eselamatan C! #PM. &Computer Emergency Response Team #PM' (emua himpunan atau kumpulan bahan yang disimpan dalam bentuk media cetak, salinan lembut &soft copy', elektronik, dalam talian, kertas lutsinar, risalah atau slaid. Perdagangan yang dijalankan secara internet.
Ancaman
Aset C!
Backup
C$R! #PM
Dokumen
Perkakasan atau perisian atau kombinasi kedua) duanya yang direka bentuk untuk menghalang capaian pengguna yang tidak berkenaan kepada atau daripada rangkaian dalaman. Pasukan !indak %alas nsiden #eselamatan C! #erajaan. &Government Computer Emergency Response Team'
*C$R!
RUJUKAN D# C! #PM
TARIKH ,. / , / ,-0,
M/SURAT 0 dari .1
TERMA DAN TAFSIRAN nsiden #eselamatan Musibah &adverse event' yang berlaku ke atas sistem maklumat dan komunikasi atau ancaman kemungkinan berlaku kejadian tersebut. !eknologi Maklumat dan #omunikasi. &Information and Communications Technology' Pega"ai #eselamatan C!. &Information Communication Technology !ecurity "fficer' Data dan maklumat hendaklah tepat, lengkap dan kemaskini. a hanya boleh diubah dengan cara yang dibenarkan. (istem Pencegah Pencerobohan. &Intrusion #revention !ystem' Perkakasan keselamatan rangkaian yang memantau aktiviti rangkaian yang berlaku dalam sistem bagi mengesan perisian berbahaya. Mampu bertindak balas menyekat atau menghalang aktiviti serangan atau malicious code. #etersediaan Data dan maklumat yang boleh diakses pada bila)bila masa. Maklumat yang tidak boleh didedahkan se"enang) "enangnya atau dibiarkan diakses tanpa kebenaran. Pemeliharaan kerahsiaan, integriti dan ketersediaan maklumat, disamping si2at)si2at lain seperti kesahihan, akauntabiliti dan kebolehpercayaan. #ementerian Pelajaran Malaysia.
C!
C!(O
ntegriti
P(
#erahsiaan
#eselamatan Maklumat
#PM
RUJUKAN D# C! #PM
TARIKH ,. / , / ,-0,
M/SURAT , dari .1
TERMA DAN TAFSIRAN #riptogra2i Penukaran data ke dalam kod rahsia penghantaran melalui rangkaian a"am. untuk
3A4
$ocal %rea &etwork Rangkaian #a"asan (etempat yang menghubungkan komputer. (ebarang kod yang dicipta untuk merosakkan sistem atau data, atau untuk mencegah sistem daripada digunakan dengan cara yang biasa. a melibatkan skrip serangan, virus, cecacing, trojan horse, backdoors dan kandungan akti2 yang berniat jahat.
'alicious Code
Media (toran
Alat untuk menyimpan data dan maklumat seperti disket, kartrij, cakera padat, cakera mudah alih, pita, cakera keras dan pemacu pena. Metodologi Penilaian Risiko #eselamatan C! (ektor A"am Malaysia. &'alaysian #ublic !ector ICT !ecurity Risk %ssessment 'ethodology' #od perisian yang dipindahkan dari satu komputer kepada komputer lain dan melaksanakan secara automatik 2ungsi)2ungsi tertentu dengan sedikit atau tanpa interaksi dari pengguna. %ermaksud menggunakan perkhidmatan luar untuk melaksanakan 2ungsi)2ungsi tertentu C! bagi suatu tempoh berdasarkan kepada dokumen perjanjian dengan bayaran yang dipersetujui. #akitangan #PM, pembekal, pakar runding dan pihak) pihak lain yang dibenarkan.
MyRAM
'obile Code
"utsource
Pengguna
RUJUKAN D# C! #PM
TARIKH ,. / , / ,-0,
M/SURAT . dari .1
TERMA DAN TAFSIRAN Penilaian Risiko Penilaian ke atas kemungkinan berlakunya bahaya atau kerosakan atau kehilangan aset. Pihak yang membekalkan perkhidmatan kepada #PM. Pemantauan Rangkaian C! (ektor A"am Malaysia. #emungkinan yang boleh menyebabkan bahaya, kerosakan dan kerugian. (ejenis peralatan rangkaian yang digunakan untuk menghubungkan antara satu rangkaian dengan rangkaian yang lain. Pelayan #omputer. !tandard "perating #rocedure( )ide %rea &etwork Rangkaian #a"asan 3uas adalah rangkaian komputer jarak jauh dan menghubungkan ka"asan yang lebih luas.
Router
RUJUKAN D# C! #PM
TARIKH ,. / , / ,-0,
M/SURAT 6 dari .1
1.
TUJUAN Dasar ini bertujuan menerangkan peraturan)peraturan yang mesti dibaca, di2ahami dan dipatuhi dalam menggunakan aset teknologi maklumat dan komunikasi & C!' #ementerian Pelajaran Malaysia &#PM'.
2.
SKOP Dasar #eselamatan C! #PM ini merangkumi perlindungan semua bentuk maklumat kerajaan yang dimasukkan, di"ujud, dimusnah, disimpan, dijana, dicetak, diakses, diedar, dalam penghantaran, dan yang dibuat salinan keselamatan. ni akan dilakukan melalui pe"ujudan dan penguatkuasaan sistem ka"alan dan prosedur dalam pengendalian semua aset C!. a. Perkakasan (emua aset yang digunakan untuk menyokong pemprosesan maklumat dan kemudahan storan #PM. Contoh komputer, pelayan, peralatan komunikasi dan sebagainya7 b. Perisian Program, prosedur atau peraturan yang ditulis dan dokumentasi yang berkaitan dengan sistem pengoperasian komputer yang disimpan di dalam sistem C!. Contoh perisian aplikasi atau perisian sistem seperti sistem pengoperasian, sistem pangkalan data, perisian sistem rangkaian, atau aplikasi pejabat yang menyediakan kemudahan pemprosesan maklumat kepada #PM7 c. Perkhidmatan Perkhidmatan atau sistem yang menyokong aset lain untuk melaksanakan 2ungsi)2ungsinya. Contoh8
RUJUKAN D# C! #PM
TARIKH ,. / , / ,-0,
M/SURAT 9 dari .1
i. Perkhidmatan rangkaian seperti 3A4, 5A4 dan lain)lain7 ii. (istem halangan akses seperti sistem kad akses7 dan iii. Perkhidmatan sokongan seperti kemudahan elektrik, pengha"a dingin, sistem pencegah kebakaran dan lain)lain. d. Data atau Maklumat #oleksi 2akta)2akta dalam bentuk kertas atau mesej elektronik, yang mengandungi maklumat)maklumat untuk digunakan bagi mencapai misi dan objekti2 #PM. Contohnya, sistem dokumentasi, prosedur operasi, rekod)rekod, pro2il)pro2il murid/pelajar, pangkalan data dan 2ail)2ail data, maklumat) maklumat arkib dan lain)lain7 dan e. Manusia ndividu yang mempunyai pengetahuan dan kemahiran untuk melaksanakan skop kerja harian bagi mencapai misi dan objekti2 #PM. ndividu berkenaan merupakan aset berdasarkan kepada tugas)tugas dan 2ungsi yang dilaksanakan. (etiap aset C! perlu diberi perlindungan rapi. (ebarang kebocoran rahsia atau kelemahan perlindungan adalah dianggap sebagai perlanggaran langkah)langkah keselamatan.
RUJUKAN D# C! #PM
TARIKH ,. / , / ,-0,
M/SURAT : dari .1
3.
PRINSIP-PRINSIP Prinsip)prinsip asas kepada Dasar #eselamatan C! #PM dan perlu dipatuhi adalah seperti berikut8 a. Akses Atas Dasar Perlu Mengetahui Akses terhadap penggunaan aset C! hanya diberikan untuk tujuan spesi2ik dan dihadkan kepada pengguna tertentu atas dasar ;perlu mengetahui< sahaja. ni bermakna akses hanya akan diberikan sekiranya peranan atau 2ungsi pengguna memerlukan maklumat tersebut. Pertimbangan untuk akses adalah berdasarkan kategori maklumat seperti yang dinyatakan di dalam dokumen Arahan #eselamatan perenggan 9., muka surat 097 =ak Akses Minimum =ak akses kepada pengguna hanya diberi pada tahap yang paling minimum iaitu untuk membaca dan/atau melihat sahaja. #elulusan khas adalah perlu untuk membolehkan pengguna me"ujud, menyimpan, mengemaskini, mengubah atau membatalkan sesuatu maklumat. =ak akses akan dikaji dari semasa ke semasa berdasarkan kepada peranan dan tanggungja"ab pengguna/bidang tugas7 Akauntabiliti (emua pengguna adalah bertanggungja"ab ke atas semua tindakannya terhadap aset C! #PM7 Pengasingan !ugas me"ujud, memadam, mengemaskini, mengubah dan mengesahkan data perlu diasingkan bagi mengelakkan daripada capaian yang tidak dibenarkan serta melindungi aset C! daripada kesilapan, kebocoran maklumat terperingkat atau di manipulasi. Pengasingan juga merangkumi tindakan memisahkan antara kumpulan operasi dan rangkaian7
b.
c.
d.
RUJUKAN D# C! #PM
TARIKH ,. / , / ,-0,
e.
Pengauditan Pengauditan adalah tindakan untuk mengenal pasti insiden berkaitan keselamatan C! atau mengenal pasti keadaan yang mengancam keselamatan C!. a membabitkan pemeliharaan semua rekod berkaitan tindakan keselamatan. Dengan itu, aset C! seperti komputer, pelayan & server', router* firewall* I#!* %ntivirus dan rangkaian hendaklah ditentukan supaya dapat menjana dan menyimpan log tindakan keselamatan atau audit trail7 Pematuhan Dasar #eselamatan C! #PM hendaklah dibaca, di2ahami dan dipatuhi bagi mengelakkan sebarang bentuk pelanggaran ke atasnya yang boleh memba"a ancaman kepada keselamatan C!7 Pemulihan Pemulihan sistem amat perlu untuk memastikan kebolehsediaan dan kebolehcapaian. Objekti2 utama adalah untuk meminimumkan sebarang gangguan atau kerugian akibat daripada ketidaksediaan. Pemulihan boleh dilakukan melalui aktiviti penduaan & backup' dan pe"ujudan pelan pemulihan bencana/kesinambungan perkhidmatan7 dan (aling %ergantungan (etiap prinsip di atas adalah saling lengkap)melengkapi dan bergantung antara satu sama lain. Dengan itu, tindakan mempelbagaikan pendekatan dalam menyusun dan mencorakkan sebanyak mungkin mekanisme keselamatan adalah perlu bagi menjamin keselamatan C! yang maksimum.
2.
g.
h.
RUJUKAN D# C! #PM
TARIKH ,. / , / ,-0,
M/SURAT 1 dari .1
4.
PERNYATAAN DASAR #eselamatan ditakri2kan sebagai keadaan yang bebas daripada ancaman dan risiko yang tidak boleh diterima. Penjagaan keselamatan adalah suatu proses yang berterusan. a melibatkan aktiviti berkala yang mesti dilakukan dari semasa ke semasa untuk menjamin keselamatan kerana ancaman dan kelemahan sentiasa berubah. #eselamatan C! adalah bermaksud keadaan di mana segala urusan menyedia dan membekalkan perkhidmatan yang berasaskan kepada sistem C! berjalan secara berterusan tanpa gangguan yang boleh menjejaskan keselamatan. #eselamatan C! berkait rapat dengan perlindungan aset C!. Dasar #eselamatan C! #PM merangkumi perlindungan kerahsiaan, integriti dan kebolehsediaan ke atas semua bentuk maklumat. a. Maklumat hendaklah dilindungi dari pihak lain yang tidak diberi kuasa menggunakan maklumat7 b. Maklumat hendaklah sentiasa tepat, lengkap dan kemas kini semasa ianya diproses7 dan c. Maklumat hendaklah sentiasa tersedia jika diperlukan oleh pihak lain yang diberi kuasa mencapai maklumat tersebut. (elain dari itu, langkah)langkah ke arah menjamin keselamatan C! hendaklah bersandarkan kepada penilaian yang bersesuaian dengan perubahan semasa terhadap kelemahan semula jadi aset C!7 ancaman yang "ujud akibat daripada kelemahan tersebut7 risiko yang mungkin timbul7 dan langkah)langkah pencegahan sesuai yang boleh diambil untuk menangani risiko berkenaan.
RUJUKAN D# C! #PM
TARIKH ,. / , / ,-0,
M/SURAT ? dari .1
DASAR KESELAMATAN
5.
DASAR KESELAMATAN
5.1
Dasar Keselamatan ICT Menyediakan hala tuju dan sokongan pengurusan terhadap keselamatan maklumat selaras dengan keperluan KPM dan perundangan serta peraturan yang berkaitan.
Objektif
5.1.1
Mendapat kelulusan Pengurusan Tertinggi KPM, menerbit dan menyebarkan kepada warga KPM dan pihak pihak luar yang berkaitan. Mengkaji semula setiap dua %$& tahun atau bila bila masa sekiranya terdapat perubahan ketara bagi memastikan ianya bersesuaian, bertepatan dan efektif.
5.1.$
TARIKH $* + $ + $)1$
M/SURAT 1) dari *,
6.
6.1
6.1.1
Menyokong keselamatan dalam organisasi melalui hala tuju, penglibatan, tugasan, dan tanggungjawab yang jelas terhadap keselamatan maklumat. Menyelaras akti iti keselamatan maklumat oleh wakil!wakil dari "ahagian#$gensi KPM dengan peranan dan fungsi kerja yang berkaitan. Menyatakan dengan jelas peranan dan tanggungjawab semua keselamatan maklumat.
Komitmen Pengurusan
6.1.2
6.1.%
6.1.(
6.1.*
Menyemak keperluan kerahsiaan atau disclosure dari semasa ke semasa memastikan maklumat dilindungi dan didedahkan sewenang!wenangnya.
nonbagi tidak
Kerahsiaan Maklumat
6.1.6
Memastikan direktori pihak berkuasa berkaitan sentiasa dikemaskini. Memastikan direktori kumpulan berkepentingan seperti ,-.' KPM, /,-.', P.01M$ sentiasa dikemaskini.
6.1.+
TARIK" 2% # 2 # 2312
M#SURAT 11 dari %4
6.1.4
Mengkaji pengurusan keselamatan maklumat dan pelaksanaannya 5objektif kawalan, kawalan, dasar, proses, dan prosedur keselamatan maklumat6 oleh pihak ketiga pada tempoh masa yang diran7ang, atau apabila perubahan yang besar kepada pelaksanaan keselamatan berlaku.
6.$
P%&ak Luar Memastikan keselamatan maklumat dan kemudahan pemprosesan maklumat yang diakses, diproses, disampaikan kepada atau yang diuruskan oleh pihak luar.
Objektif
6.2.1
Mengenalpasti risiko dan mengambil tindakan kawalan terhadap maklumat dan kemudahan pemprosesan maklumat KPM yang melibatkan pihak luar sebelum akses dibenarkan. Melaksanakan semua keperluan keselamatan yang telah dikenalpasti sebelum memberi kebenaran akses kepada maklumat atau aset 0,' KPM. Memastikan semua keperluan keselamatan yang berkaitan dinyatakan dengan jelas dalam semua kontrak perjanjian yang melibatkan akses, pemprosesan, penghantaran maklumat, atau kemudahan pemprosesan maklumat KPM atau tambahan peralatan atau perkhidmatan oleh pihak luar.
6.2.2
6.2.%
TARIK" 2% # 2 # 2312
M#SURAT 12 dari %4
PENGURUSAN ASET
7.
PENGURUSAN ASET
7.1
Akauntabiliti Aset Memastikan perlindungan yang sesuai ke atas semua aset ICT KPM.
Objektif
7.1.1
Mengenalpasti, mendaftar dan menyelenggara invent ri semua aset ICT. Memastikan pemilikan dan pengurusan semua maklumat dan aset ICT dipertanggungja#abkan kepada pi$ak%pi$ak yang berkenaan. Memastikan semua peraturan yang membenarkan penggunaan maklumat dan aset ICT dikenalpasti, did kumen dan dilaksanakan.
7.1."
7.1.&
7.2
Pengkelasan Maklu at Memastikan semua maklumat diberi perlindungan mengikut ta$ap keselamatan.
Objektif
7.".1
Memastikan maklumat dikelaskan berasaskan nilai, keperluan perundangan, ta$ap sensitiviti dan ta$ap kritikal kepada KPM. Menyedia dan melaksanakan pr sedur yang sesuai bagi pelabelan dan pengendalian maklumat mengikut klasifikasi yang digunapakai le$ KPM.
Pengkelasan Maklumat
7."."
8.
8.1
Sebelum Perkhidmata Memastikan warga KPM, kontraktor dan pihak ketiga memahami peranan dan tanggungjawab mereka bagi mengurangkan risiko kecurian, penipuan dan penyalahgunaan aset ICT Kerajaan.
Objekti
!."."
Menyatakan dengan jelas peranan dan tanggungjawab warga KPM, kontraktor dan pihak ketiga terhadap keselamatan ICT selaras dengan #asar Keselamatan ICT. Melaksanakan pengesahan identiti ke atas warga KPM, kontraktor dan pihak ketiga selaras dengan peruntukan perundangan dan peraturan yang berkaitan keperluan perkhidmatan dan peringkat maklumat yang hendak dicapai serta risiko yang dijangkakan. Mematuhi semua terma dan syarat'syarat dalam kontrak yang ditawarkan dan peraturan semasa yang berkuatkuasa bagi kontraktor dan pihak ketiga.
!.".$
%eri ikasi
!.".&
8.!
Sema"a Perkhidmata Memastikan warga KPM, kontraktor dan pihak ketiga sedar dan mengambil berat akan ancaman keselamatan aset ICT, serta tanggungjawab dan liabiliti dalam menjalankan tugas harian dan mengurangkan risiko kesilapan manusia.
Objekti
!.$."
Memastikan warga KPM, kontraktor dan pihak ketiga melaksanakan tanggungjawab keselamatan berdasarkan perundangan dan peraturan yang ditetapkan oleh KPM. Memastikan warga KPM, kontraktor dan pihak ketiga, ,di mana berkaitan- diberi pendedahan mengenai dasar dan prosedur keselamatan yang berkaitan dengan bidang tugas dari semasa ke semasa. Memastikan adanya proses tindakan disiplin ke atas warga KPM yang melanggar peraturan keselamatan.
Tanggungjawab Pengurusan
!.$.$
!.$.&
Proses #isiplin
8.'
Bertukar atau Tamat Perkhidmata Memastikan warga KPM, kontraktor dan pihak ketiga yang bertukar atau tamat perkhidmatan diurus dengan teratur.
Objekti
!.&."
Memastikan tugas pegawai yang bertanggungjawab menguruskan pertukaran atau penamatan perkhidmatan dinyatakan dengan jelas. Memastikan warga KPM, kontraktor dan pihak ketiga yang bertukar atau tamat perkhidmatan menyerahkan aset ICT KPM. Membatalkan atau menarik balik semua kebenaran capaian ke atas maklumat dan kemudahan proses maklumat bagi warga KPM, kontraktor dan pihak ketiga yang bertukar atau tamat perkhidmatan.
Tanggungjawab Pegawai
!.&.$
Pemulangan .set
!.&.&
9.
9.1
Keselamatan Kawasan Mencegah akses fizikal yang tidak dibenarkan, kerosakan dan ancaman kepada premis dan maklumat.
Objektif
9.1.1
Melaksanakan kawalan keselamatan untuk melindungi kawasan yang menyimpan maklumat dan kemudahan pemprosesan maklumat. Melindungi kawasan larangan " kawasan keselamatan bagi memastikan kakitangan yang dibenarkan sahaja diberi akses. Merekabentuk dan melaksanakan keselamatan fizikal untuk pejabat, bilik%bilik dan kemudahan yang disediakan. Merekabentuk dan melaksanakan perlindungan fizikal dari kerosakan akibat kebakaran, banjir, gempa bumi, letupan, rusuhan awam dan lain%lain bencana alam atau bencana buatan manusia. Menyediakan garis panduan bagi mereka yang bertugas di kawasan keselamatan. Mengawal laluan akses bagi kawasan penghantaran dan pemunggahan serta lain%lain laluan akses untuk mengelakkan akses yang tidak dibenarkan.
Keselamatan erimeter
9.1.!
9.1.$
9.1.(
9.1.,
9.1.-
RUJUKAN 'K./) K M
M SURAT 1- dari $2
9.!
Keselamatan Pe"alatan Mencegah kehilangan, kerosakan, kecurian atau salah guna aset dan gangguan kepada akti3iti% akti3iti organisasi.
Objektif
9.!.1
Menempatkan atau melindungi peralatan untuk mengurangkan risiko ancaman persekitaran dan bencana alam serta peluang%peluang akses yang tidak dibenarkan. Melindungi peralatan ./) dari kegagalan bekalan kuasa dan lain%lain gangguan yang disebabkan oleh kegagalan kemudahan sokongan. Melindungi kabel elektrik dan telekomunikasi dari pemintasan dan kerosakan. Menyelenggara peralatan dengan teratur bagi memastikan integriti dan ketersediaan yang berterusan. Mengambil langkah keselamatan ke atas peralatan yang dibawa keluar dari premis organisasi. Menyemak semua peralatan yang mengandungi media storan untuk memastikan data yang sensitif dan perisian berlesen dihapuskan sebelum dilupus. Mendapatkan kebenaran terlebih dahulu sebelum peralatan, maklumat atau perisian dibawa keluar dari premis organisasi.
9.!.!
Kemudahan 4okongan
9.!.$
Keselamatan Kabel
9.!.(
enyelenggaraan eralatan
9.!.,
9.!.-
9.!.5
RUJUKAN 'K./) K M
M SURAT 15 dari $2
10.
10.1
Prosedur Operasi Dan Tanggung a!a" Memastikan kemudahan pemprosesan maklumat beroperasi dengan betul dan selamat.
Objektif
10.1.1
Mendokumen, menyelenggara prosedur operasi dan tersedia untuk semua pengguna yang memerlukan. Mengawal semua perubahan kepada sistem dan kemudahan pemprosesan maklumat. Mengagihkan tugas dan tanggungjawab se ara berasingan untuk mengurangkan peluang bagi ubahsuai tanpa kebenaran atau tidak disengajakan atau salah guna aset !PM. Mengasingkan kemudahan pembangunan, ujian dan operasi bagi mengurangkan risiko apaian yang tidak dibenarkan atau perubahan kepada sistem yang sedang beroperasi.
10.1.2
Pengurusan Perubahan
10.1.3
Pengagihan "ugas
10.1.#
10.#
Pengurusan Pen$a%paian Per&'id%a(an Pi'a& Ke(iga Melaksana dan memastikan tahap keselamatan maklumat dan penyampaian perkhidmatan yang sesuai selaras dengan kontrak perkhidmatan pihak ketiga.
Objektif
TARIK+ 23 ( 2 ( 2012
M,SURAT 1) dari 3)
10.2.1
Memastikan tahap kawalan keselamatan, jenis dan penyampaian perkhidmatan yang terkandung dalam kontrak perkhidmatan pihak ketiga dipatuhi dan dilaksanakan. Memantau perkhidmatan dan menyemak laporan dan rekod yang disediakan oleh pihak ketiga serta melaksanakan audit se ara berkala. Mengurus sebarang perubahan terhadap pembekalan perkhidmatan dengan mengambil kira tahap kritikal perkhidmatan dan proses yang terlibat serta melaksanakan penilaian semula risiko keselamatan.
Penyampaian Perkhidmatan
10.2.2
10.2.3
10.-
10.3.1
Memantau, melaksanakan penalaan dan membuat unjuran keperluan sumber bagi memenuhi tahap prestasi yang ditetapkan. Menetapkan kriteria penerimaan dan menjalankan ujian bagi sistem baru, sistem yang dipertingkatkan dan *ersi baru semasa pembangunan dan sebelum penerimaan.
Pengurusan !apasiti
10.3.2
Penerimaan +istem
10./
Per0indungan Dari Kod )a'a( 1Malicious Code2 Dan Kod Muda' A0i' 1Mobile Code2 Melindungi integriti perisian dan maklumat.
Objektif
TARIK+ 23 ( 2 ( 2012
M,SURAT 1, dari 3)
10.#.1
Melaksanakan kawalan pengesanan, pen egahan dan pemulihan untuk melindungi dari kod jahat dan melaksanakan prosedur kesedaran pengguna yang sesuai. Melaksanakan konfigurasi bagi memastikan kod mudah alih yang dibenarkan beroperasi selaras dengan dasar keselamatan yang ditetapkan.
10.#.2
10.3
Backup Mengekalkan integriti dan ketersediaan maklumat dan kemudahan pemprosesan maklumat.
Objektif
10./.1
Melaksanakan backup maklumat dan perisian serta melakukan ujian se ara berkala selaras dengan prosedur backup yang ditetapkan.
Backup Maklumat
10.4
Pengurusan Kese0a%a(an Rang&aian Memastikan maklumat dalam rangkaian infrastruktur sokongan dilindungi. dan
Objektif
10.0.1
Mengawal dan mengurus rangkaian dengan baik, untuk melindungi dari an aman dan menjamin keselamatan sistem dan aplikasi. Mengenalpasti dan memasukkan iri2 iri keselamatan, tahap perkhidmatan dan keperluan pengurusan semua perkhidmatan rangkaian ke dalam kontrak perkhidmatan rangkaian.
!awalan 1angkaian
10.0.2
TARIK+ 23 ( 2 ( 2012
M,SURAT 20 dari 3)
10.5
Pengenda0ian Media Melindungi media yang mengandungi maklumat dari sebarang pendedahan, pengubahsuaian dan penghapusan atau pemusnahan yang tidak dibenarkan.
Objektif
10.3.1
Mewujudkan prosedur bagi pengurusan media mudah alih. Melupuskan media yang tidak diperlukan se ara selamat dan terjamin mengikut prosedur yang ditetapkan. Mewujudkan prosedur pengendalian dan penyimpanan maklumat untuk melindungi maklumat dari didedahkan tanpa kebenaran atau disalah guna. Melindungi dokumentasi sistem daripada apaian yang tidak dibenarkan.
10.3.2
Pelupusan Media
10.3.3
10.3.#
10.6
Per(u&aran Ma&0u%a( Menjamin keselamatan pertukaran maklumat dan perisian dalam !PM dan dengan mana2mana agensi luar.
Objektif
10.).1
Mewujudkan dasar, prosedur dan kawalan untuk melindungi pertukaran maklumat melalui penggunaan pelbagai kemudahan komunikasi. Menyediakan persetujuan pertukaran maklumat dan perisian dalam !PM dan dengan agensi luar.
10.).2
Persetujuan Pertukaran
TARIK+ 23 ( 2 ( 2012
M,SURAT 21 dari 3)
10.).3
Melindungi media mengandungi maklumat daripada didedahkan, disalahguna atau dirosakkan kepada mereka yang tidak dibenarkan semasa pemindahan keluar dari !PM. Melindungi maklumat yang terdapat dalam mesej elektronik. Menyedia dan melaksana dasar dan prosedur bagi melindungi maklumat yang terlibat dalam pertukaran maklumat antara sistem.
10.).#
Mesej 4lektronik
10.)./
10.7
Per&'id%a(an Electronic Commerce Memastikan keselamatan perkhidmatan Electronic Commerce dan penggunaannya selamat.
Objektif
10.,.1
Melindungi maklumat yang terlibat dalam transaksi elektronik menggunakan rangkaian awam daripada akti*iti penipuan, pertikaian kontrak dan pendedahan serta pengubahsuaian yang tidak dibenarkan. Melindungi maklumat yang terlibat dengan transaksi dalam talian 5on-line6 bagi mengelak transmisi tidak lengkap, salah destinasi, dan pengubahsuaian, pendedahan, penduaan atau pengulangan mesej yang tidak dibenarkan. Melindungi integriti maklumat yang disediakan pada sistem yang boleh di apai oleh orang awam atau pihak lain yang berkepentingan dari pengubahsuaian yang tidak dibenarkan.
"ransaksi 4lektronik
10.,.2
"ransaksi On-Line
10.,.3
Maklumat .wam
TARIK+ 23 ( 2 ( 2012
M,SURAT 22 dari 3)
10.10
10.10.1 Menghasil dan menyimpan 7og .udit yang merekodkan semua akti*iti untuk tempoh masa yang ditetapkan bagi memantau kawalan apaian dan membantu siasatan pada masa hadapan. 10.10.2 Mewujudkan prosedur untuk memantau penggunaan kemudahan pemprosesan maklumat dan hasil pemantauan dikaji dari semasa ke semasa. 10.10.3 Melindungi kemudahan daripada dipinda dan dibenarkan. dan maklumat log apaian yang tidak
7og .udit
10.10.# Memastikan akti*iti pentadbir dan operator sistem direkodkan 5Logged6. 10.10./ Memastikan sebarang kesilapan dilog, dianalisis dan diambil tindakan sewajarnya. 10.10.0 Menyeragam waktu bagi semua sistem pemprosesan maklumat dalam !PM atau domain keselamatan dengan sumber waktu yang ditetapkan.
TARIK+ 23 ( 2 ( 2012
M,SURAT 23 dari 3)
KAWALAN CAPAIAN
11.
KAWALAN CAPAIAN
11.1
11.1.1
Mewujud, mendokumen dan mengkaji dasar kawalan berasaskan keperluan perkhidmatan dan keselamatan capaian.
11.2
Pengurusan Capaian Pengguna Memastikan capaian pengguna yang dibenarkan dan menghalang capaian pengguna yang tidak dibenarkan ke atas sistem maklumat.
Objektif
11. .1
Mewujudkan prosedur pendaftaran dan pembatalan pendaftaran pengguna untuk memberi kebenaran dan membatalkan capaian ke atas semua sistem maklumat dan perkhidmatan yang disediakan. Mengawal dan menghadkan pengagihan dan penggunaan hak istimewa. Mengawal pengagihan kata laluan melalui proses yang ditetapkan. Mengkaji hak capaian pengguna dari semasa ke semasa melalui saluran yang ditetapkan.
Pendaftaran Pengguna
11. .
11. .#
11. .%
ERSI )ersi .*
TARIK! # + + *1
M"SURAT % dari #,
11.#
Tanggung$awa% Pengguna Menghalang salah guna atau kecurian maklumat dan kemudahan pemprosesan maklumat serta capaian pengguna yang tidak dibenarkan.
Objektif
11.#.1
Memastikan pengguna mengikut amalan terbaik dalam pemilihan dan penggunaan kata laluan. Memastikan peralatan tanpa kehadiran pengguna mempunyai perlindungan yang sesuai.
11.#.
11.#.#
Menggunapakai dasar Clear Desk untuk kertas dan media storan mudah/alih dan dasar Clear Screen untuk kemudahan pemprosesan maklumat.
11.&
Kawalan Capaian Rang'aian Menghalang capaian yang tidak dibenarkan ke atas perkhidmatan rangkaian.
Objektif
11.%.1
ke
atas
11.%.
Menggunakan kaedah pengesahan yang sesuai untuk mengawal capaian oleh pengguna jarak jauh -remote access.. Menggunakan peralatan automatik berdasarkan lokasi dan peralatan untuk pengesahan sambungan ke dalam rangkaian. Mengawal capaian fi1ikal dan logikal ke atas kemudahan diagnostik dan konfigurasi.
ERSI )ersi .* TARIK! # + + *1
11.%.#
11.%.%
M"SURAT 2 dari #,
11.%.2
Mengasingkan capaian mengikut kumpulan perkhidmatan, pengguna dan sistem maklumat. Menghadkan keupayaan pengguna untuk kemudahan sambungan bagi rangkaian yang dikongsi khususnya yang menjangkau sempadan KPM, selaras dengan dasar kawalan capaian dan keperluan aplikasi. Melaksanakan kawalan pengalihan laluan -routing control. untuk memastikan bahawa sambungan komputer dan aliran maklumat tidak melanggar dasar kawalan capaian bagi setiap aplikasi.
11.%.3
11.%.4
11.(
Kawalan Capaian Sis)e* Peng+perasian Mengelakkan capaian tanpa kebenaran ke atas sistem pengoperasian.
Objektif
11.2.1
Mengawal capaian kepada sistem pengoperasian menggunakan prosedur log-on yang selamat. Menyediakan pengenalan diri -user ID. yang unik dan teknik pengesahan yang sesuai untuk menjamin ketulenan pengguna. Menyediakan sistem pengurusan kata laluan dan memastikan kualiti kata laluan. Menghad dan mengawal penggunaan program utiliti yang berkeupayaan melepasi kawalan sistem dan aplikasi. Menamatkan sesi yang tidak aktif selepas tempoh masa yang ditetapkan.
ERSI )ersi .* TARIK! # + + *1
11.2.
11.2.#
11.2.%
11.2.2
&esi Time-Out
M"SURAT 3 dari #,
11.2.3
11.,
Kawalan Capaian Apli'asi Dan Ma'lu*a) Menghalang capaian tanpa kebenaran ke atas maklumat yang terdapat di dalam sistem aplikasi.
Objektif
11.3.1
Menghadkan capaian ke atas maklumat dan fungsi/fungsi sistem aplikasi oleh pengguna dan personel sokongan, selaras dengan dasar kawalan capaian yang ditetapkan. Mewujudkan persekitaran pengkomputeran yang khusus -terasing. bagi sistem yang sensitif.
11.3.
11.-
Perala)an Mu.a/ Ali/ Dan Teleworking Memastikan keselamatan menggunakan peralatan kemudahan teleworking. maklumat semasa mudah alih dan
Objektif
11.4.1
Mewujudkan peraturan dan garis panduan keselamatan yang bersesuaian untuk melindungi dari risiko penggunaan peralatan mudah alih dan kemudahan komunikasi. Merangka dan melaksana dasar, peraturan dan garis panduan bagi akti8iti teleworking.
11.4.
Teleworking
ERSI )ersi .*
TARIK! # + + *1
M"SURAT 4 dari #,
12.
12.1
Keperluan Ke ela!a"an S# "e! Ma$lu!a" Memastikan keselamatan sistem maklumat. disepadukan dalam
Objektif
12.1.1
Menentukan keperluan kawalan keselamatan bagi sistem maklumat baru atau sistem maklumat sedia ada yang dipertingkatkan.
12.2
Pe!pr% e an Yan& Be"ul Dala! Apl#$a # Mencegah kesilapan kehilangan pengubahsuaian tanpa kebenaran atau salahguna maklumat dalam aplikasi.
Objektif
12.2.1
Menentusahkan data input ke aplikasi bagi memastikan data yang dimasukkan betul dan bersesuaian. Memasukkan semakan pengesahan "validation# ke dalam aplikasi untuk mengesan ker$sakan maklumat akibat kesilapan pempr$sesan atau perlakuan yang disengajakan. Mengenalpasti keperluan bagi memastikan kesahihan dan perlindungan integriti mesej dalam aplikasi dan kawalan yang sesuai dilaksanakan. Menentusahkan data output daripada aplikasi bagi memastikan pempr$sesan penyimpanan maklumat yang dihasilkan adalah betul dan sesuai.
(ERSI *ersi 2.+ TARIKH 2% , 2 , 2+12
12.2.2
12.2.%
Mesej &ntegriti
12.2.'
M)SURAT 2- dari %-
12.*
Ka+alan Kr#p"%&ra,# Melindungi kerahsiaan integriti atau kesahihan maklumat melalui kaedah kript$grafi.
Objektif
12.%.1
Menyedia dan melaksanakan peraturan mengenai penggunaan kaedah kript$grafi bagi melindungi maklumat. Mengadakan pengurusan infrastruktur kunci awam yang meny$k$ng teknik kript$grafi.
12.%.2
12.-
12.'.1
peraturan perisian ke
untuk dalam
mengawal persekitaran
12.'.2
Memilih data ujian dengan teliti dilindungi dan dikawal. Menghadkan pr$gram. capaian ke atas k$d sumber
12.'.%
12.0
Ke ela!a"an Dala! Pr% e Pe!1an&unan Dan S%$%n&an Memastikan keselamatan perisian sistem aplikasi dan maklumat.
Objektif
12.0.1
M)SURAT 21 dari %-
12.0.2
Mengkaji semula dan menguji aplikasi kritikal apabila terdapat perubahan terhadap sistem peng$perasian untuk memastikan tiada kesan buruk terhadap $perasi K!M atau keselamatan. Mengawal perubahan dan,atau pindaan ke atas pakej perisian dan sebarang perubahan adalah terhad mengikut keperluan sahaja. Menghalang sebarang keb$c$ran maklumat. kemungkinan berlaku
12.0.%
12.0.'
Keb$c$ran Maklumat
12.0.0
12.2
Pen&uru an Ke"er3e3a4an 5Vulnerability6 Te$n#$al Mengurangkan risik$ akibat daripada ekspl$itasi keterdedahan teknikal.
Objektif
12.2.1
Memper$leh maklumat yang cepat mengenai keterdedahan teknikal sistem maklumat menilai keterdedahan dan mengambil langkah.langkah yang sesuai untuk menangani risik$ yang berkaitan.
TARIKH 2% , 2 , 2+12
M)SURAT %+ dari %-
13.
13.1
Pelaporan Insiden Dan Kelemahan Keselama an Ma!l"ma Memastikan insiden dan kelemahan keselamatan maklumat yang berkaitan dengan sistem maklumat disalurkan dengan cara yang membolehkan tindakan pembetulan diambil dengan segera.
Objektif
13.1.1
Melaporkan insiden keselamatan maklumat kepada CERT !M dengan kadar segera. Memastikan semua $arga !M% kontraktor dan pihak ketiga melaporkan kepada CERT !M sebarang pemerhatian atau kelemahan keselamatan semasa menggunakan sistem maklumat dan perkhidmatan yang disediakan.
13.1.#
13.#
Pen$"r"san Insiden Dan Penam%ah%ai!an Keselama an Ma!l"ma Memastikan pendekatan yang konsisten dan efektif digunakan dalam pengurusan insiden keselamatan maklumat.
Objektif
13.#.1
Me$ujudkan CERT !M dan prosedur bagi memastikan tindakan insiden keselamatan maklumat dikendalikan dengan cepat% berkesan dan teratur. Me$ujudkan mekanisma bagi membolehkan jenis% jumlah dan kos insiden keselamatan maklumat dinilai dan dipantau.
'ERSI 'ersi #.( TARIK( #3 ) # ) #(1#
13.#.#
M)SURAT 31 dari 3*
13.#.3
Mengumpul% menyimpan% dan menyerahkan bahan+bahan bukti mengikut peraturan+peraturan yang ditetapkan di ba$ah bidang kuasa perundangan yang berkaitan% sekiranya tindakan susulan terhadap orang atau organisasi selepas sesuatu insiden keselamatan maklumat ,sama ada si-il atau jenayah..
TARIK( #3 ) # ) #(1#
M)SURAT 3# dari 3*
14.
14.1
Aspek-aspek Keselamatan Makl mat Pen! " san Kes#nam$ n!an Pe"k%#&matan Memastikan fungsi-fungsi kritikal perkhidmatan sistem dan proses-proses utama dapat segera dipulihkan dalam masa yang ditetapkan sekiranya berlaku gangguan atau bencana.
Objektif
14.1.1
Menyedia dan menyenggara proses kerja bagi kesinambungan perkhidmatan dengan mengambil kira keperluan keselamatan maklumat.
14.1.!
Mengenalpasti insiden-insiden yang boleh mengakibatkan gangguan kepada perkhidmatan bersama dengan kemungkinan dan kesan terhadap keselamatan maklumat. Membangun dan melaksana pelan kesinambungan perkhidmatan untuk mengekalkan atau memulihkan operasi dan memastikan ketersediaan maklumat di peringkat yang diperlukan dalam skala masa yang ditetapkan berikutan dari gangguan atau kegagalan$ proses-proses perkhidmatan kritikal. Menetapkan satu rangka kerja pelan kesinambungan perkhidmatan bagi memastikan semua pelan adalah konsisten dan sentiasa mengambil kira keperluan keselamatan maklumat. Memastikan elan Kesinambungan erkhidmatan diuji dan dikemaskini secara berkala supaya ia sentiasa terkini.
(ERSI *ersi !.+ TARIKH !# , ! , !+1!
14.1.#
14.1.4
14.1.&
RU'UKAN DK()% K M
M)SURAT ## dari #-
PEMATUHAN
15.
PEMATUHAN
15.1
Mematuhi Keperluan Perundan an Mengelak pelanggaran mana-mana undangundang, kewajipan berkanun, peraturan atau kontrak, dan apa-apa keperluan keselamatan.
Objektif
15.1.1
Menentu, mendokumen dan menyimpan semua keperluan perundangan dan peraturan KPM yang terkini. Melaksanakan prosedur yang bersesuaian bagi memastikan pematu"an kepada keperluan perundangan dan peraturan dalam penggunaan ba"an yang mempunyai "ak "arta intelek dan penggunaan produk-produk perisian proprietary. Melindungi rekod-rekod penting daripada ke"ilangan, kemusna"an dan pemalsuan, mengikut keperluan perundangan, peraturan dan perk"idmatan. Memastikan perlindungan data dan pri*asi maklumat peribadi mematu"i peraturan-peraturan, dan klausa-klausa perundangan yang berkaitan. Meng"alang pengguna daripada menggunakan kemuda"an pemprosesan maklumat untuk tujuan yang tidak dibenarkan. Menggunakan kawalan kriptografi berpandukan perjanjian, perundangan dan peraturan yang berkaitan.
15.1.!
15.1.(
15.1.)
15.1.5
15.1.-
TARIKH !( 1 ! 1 !01!
M#SURAT () dari (2
15.$
Pematuhan Da%ar Ke%elamatan dan Pia&aian' Dan Pematuhan Te(ni(al Memastikan pematu"an sistem dengan dasar keselamatan dan piawaian KPM.
Objektif
15.!.1
Memastikan ketua jabatan melaksanakan prosedur keselamatan yang ditetapkan dalam dasar keselamatan dan piawaian. Memeriksa sistem maklumat se,ara berkala ter"adap pematu"an keselamatan dan piawaian.
15.!.!
15.)
Audit Si%tem Ma(lumat Memaksimumkan keberkesanan dan meminimumkan gangguan kepada1daripada sistem maklumat.
Objektif
15.(.1
Meran,ang dan mempersetujui keperluan audit dan akti*iti-akti*iti yang melibatkan pemeriksaan sistem yang sedang beroperasi bagi meminimakan gangguan kepada perk"idmatan. Melindungi audit tools sistem maklumat bagi men,ega" sebarang penyala"gunaan.
15.(.!
TARIKH !( 1 ! 1 !01!
M#SURAT (5 dari (2
LAMPIRAN A
5ama %#uruf 6esar' 7 8888888888888888888888..88 5o. Kad Pengenalan 7 88888888888888.88888..888...8 9awatan 6a"agian 1 9abatan 7 88888888888888888888..8888 7 8888888888888888888888..88
3dala" dengan sesunggu"nya dan sebenarnya mengaku ba"awa 71. 4aya tela" memba,a, mema"ami dan akur akan peruntukan:peruntukan yang terkandung di dalam +asar Keselamatan $. KPM; dan !. 9ika saya ingkar kepada peruntukan-peruntukan yang ditetapkan, maka tindakan sewajarnya bole" diambil ke atas diri saya. andatangan arik" 7 888888888888888 7 888888888888888
88888888888888888888888... % b.p Ketua 4etiausa"a Kementerian Pelajaran Malaysia arik" 7 88888888888888888 '
TARIKH !( 1 ! 1 !01!
M#SURAT (- dari (2
LAMPIRAN , SENARAI PERUNDAN-AN DAN PERATURAN 1. !. (. ). 5. -. >. 2. 3ra"an Keselamatan Pekeliling 3m 6ilangan ( a"un !000 - &angka +asar Keselamatan eknologi Maklumat dan Komunikasi Kerajaan Malaysian Public Sector Management of Information and Communications Technology Security Handbook %MyM$4' !00! Pekeliling 3m 6ilangan 1 a"un !001 - Mekanisme Pelaporan $nsiden Keselamatan eknologi Maklumat dan Komunikasi %$. ' Pekeliling Kemajuan Pentadbiran 3wam 6ilangan 1 a"un !00( <aris Panduan Mengenai ata,ara Penggunaan $nternet dan Mel =lektronik di 3gensi-3gensi Kerajaan 4urat Pekeliling 3m 6ilangan - a"un !005 - <aris Panduan Penilaian &isiko Keselamatan Maklumat 4ektor 3wam 4urat Pekeliling 3m 6ilangan ) a"un !00- - Pengurusan Pengendalian $nsiden Keselamatan eknologi Maklumat dan Komunikasi %$. ' 4ektor 3wam 4urat 3ra"an Ketua 4etiausa"a 5egara - ?angka"-?angka" Untuk Memperkuku"kan Keselamatan &angkaian 4etempat anpa @ayar %@ireless ?o,al 3rea 5etwork' di 3gensi-3gensi Kerajaan yang bertarik" !0 Oktober !004urat 3ra"an Ketua Pengara" M3MPU - ?angka"-?angka" Mengenai Penggunaan Mel =lektronik di 3gensi-3gensi Kerajaan yang bertarik" 1 9un !00> 4urat 3ra"an Ketua Pengara" M3MPU - ?angka"-?angka" Pemantapan Pelaksanaan 4istem Mel =lektronik +i 3gensi3gensi Kerajaan yang bertarik" !( 5o*ember !00> 4urat Pekeliling 3m 6il. ! a"un !000 - Peranan 9awatankuasajawatankuasa di 6awa" 9awatankuasa $ dan $nternet Kerajaan %9$ $K' 4urat Pekeliling Perbenda"araan 6il.!11AA5 % amba"an Pertama' : ata,ara Penyediaan, Penilaian dan Penerimaan ender 4urat Pekeliling Perbenda"araan 6il. (11AA5 - Peraturan Perole"an Perk"idmatan Perundingan 3kta andatangan +igital 1AA> 3kta &a"sia &asmi 1A>! 3kta 9enaya" Komputer 1AA> 3kta #ak .ipta %Pindaan' a"un 1AA> 3kta Komunikasi dan Multimedia 1AA2
"ERSI /ersi !.0 TARIKH !( 1 ! 1 !01! M#SURAT (> dari (2
Perinta"-Perinta" 3m 3ra"an Perbenda"araan 3ra"an eknologi Maklumat !00> <aris Panduan Keselamatan M3MPU !00) 4tandard Operating Pro,edure %4OP' $. KPM 4urat Pekeliling 3m 6ilangan ( a"un !00A : <aris Panduan Penilaian a"ap Keselamatan &angkaian dan 4istem $. 4ektor 3wam yang bertarik" 1> 5o*ember !00A 4urat 3ra"an Ketua Pengara" M3MPU : Pengurusan Kesinambungan Perk"idmatan 3gensi 4ektor 3wam yang bertarik" !! 9anuari !010 4urat 3ra"an Ketua Pengara" M3MPU : Pelaksanaan Pensijilan M4 $4O1$=. !>0017!00> +alam 4ektor 3wam yang bertarik" !) 5o*ember !010
TARIKH !( 1 ! 1 !01!
M#SURAT (2 dari (2