Dkictv2 0-Lengkap

DASAR KESELAMATAN ICT (DKICT) VERSI 2.
0
KEMENTERIAN PELAJARAN MALAYSIA
DASAR KESELAMATAN ICT KPM

DASAR KESELAMATAN ICT
VERSI 2.0
MAC 2012

DKICT KPM
SEJARAH DOKUMEN
TARIKH VERSI PEKELILING TARIKH KUATKUASA
23 Februari 2009 1.3 ICT BIL 1 TAHUN 2009 28 Februari 2009
23 Februari 2012 2.0 ICT BIL 1 TAHUN 2012 19 Mac 2012

KANDUNGAN MUKASURAT
TERMA DAN TAFSIRAN 1
1. TUJUAN 5
2. SKOP 5
3. PRINSIP-PRINSIP 7
4. PERNYATAAN DASAR 9
5. DASAR KESELAMATAN
5.1 Dasar Kesea!a"a# ICT 10
5.1.1 Dokumen Keselamatan ICT 10
5.1.2 Kajian Semula Dasar Keselamatan 10
$. ORGANISASI KESELAMATAN MAKLUMAT
$.1 Pe#%&r&sa# Kesea!a"a# Ma'&!a" 11
6.1.1 Komitmen Pengurusan 11
6.1.2 Penyelarasan Keselamatan aklumat 11
6.1.! Peranan Dan Tanggungja"a# Keselamatan
aklumat
11
6.1.$ Kelulusan %ntuk Kemu&a'an Pem(rosesan
aklumat
11
6.1.5 Kera'siaan aklumat 11
6.1.6 Direktori Pi'ak )erkuasa )erkaitan 11
6.1.7 Direktori Kum(ulan )erke(entingan 11
6.1.* Kajian Keselamatan aklumat +le' Pi'ak Ketiga 12
$.2 P()a' L&ar 12
6.2.1 engenal(asti ,isiko eli#atkan Pi'ak -uar 12
6.2.2 Ke(erluan Keselamatan )ila )erurusan Dengan
Pengguna
12
6.2.! Ke(erluan Keselamatan Dalam Perjanjian Pi'ak
Ketiga
12
RUJUKAN *ERSI TARIK+ M,SURAT
DKICT KP .ersi 2.0 2! / 2 / 2012 i &ari 0iii

-. PENGURUSAN ASET
-.1 A'a&#"a.(("( Ase" 1!
7.1.1 In0entori 1set ICT 1!
7.1.2 Pemilikan 1set ICT 1!
7.1.! Ke#enaran enggunakan 1set ICT 1!
-.2 Pe#%'easa# Ma'&!a" 1!
7.2.1 Pengkelasan aklumat 1!
7.2.2 Pela#elan Dan Pengen&alian aklumat 1!
/. KESELAMATAN SUM0ER MANUSIA
/.1 Se.e&! Per')(1!a"a# 1$
*.1.1 Peranan Dan Tanggungja"a# 1$
*.1.2 .eri2ikasi 1$
*.1.! Terma Dan Syarat3syarat Kontrak 1$
/.2 Se!asa Per')(1!a"a# 1$
*.2.1 Tanggungja"a# Pengurusan 15
*.2.2 Kese&aran Keselamatan aklumat 15
*.2.! Proses Disi(lin 15
/.3 0er"&'ar a"a& Ta!a" Per')(1!a"a# 15
*.!.1 Tanggungja"a# Pega"ai 15
*.!.2 Pemulangan 1set 15
*.!.! Pem#atalan 4ak Ca(aian 15
2. KESELAMATAN FI3IKAL DAN PERSEKITARAN
2.1 Kesea!a"a# Ka4asa# 16
9.1.1 Keselamatan Perimeter 16
9.1.2 Ka"alan asuk 5i6ikal 16
9.1.! Keselamatan Peja#at7 )ilik Dan Kemu&a'an 16
9.1.$ Perlin&ungan Ter'a&a( 1n8aman -uar Dan
Persekitaran
16
DKICT KP .ersi 2.0 2! / 2 / 2012 ii &ari 0iii

9.1.5 )ekerja Di Ka"asan Keselamatan 16
9.1.6 -aluan 1kses 1"am7 Peng'antaran Dan
Pemungga'an
16
2.2 Kesea!a"a# Peraa"a# 17
9.2.1 Penem(atan Dan Perlin&ungan Peralatan 17
9.2.2 Kemu&a'an Sokongan 17
9.2.! Keselamatan Ka#el 17
9.2.$ Penyelenggaraan Peralatan 17
9.2.5 Keselamatan Peralatan Di -uar Premis 17
9.2.6 Pelu(usan 1tau Penggunaan Semula Peralatan 17
9.2.7 1set ICT 9ang Di#a"a Keluar 17
15. PENGURUSAN OPERASI DAN KOMUNIKASI
15.1 Pr6se1&r O7eras( Da# Ta#%%&#%8a4a. 1*
10.1.1 en&okumenkan Prose&ur +(erasi 1*
10.1.2 Pengurusan Peru#a'an 1*
10.1.! Pengagi'an Tugas 1*
10.1.$ Pengasingan Kemu&a'an Pem#angunan7
Pengujian Dan Pengo(erasian
1*
15.2 Pe#%&r&sa# Pe#9a!7a(a# Per')(1!a"a# P()a' Ke"(%a 1*
10.2.1 Penyam(aian Perk'i&matan 19
10.2.2 emantau Dan enyemak Perk'i&matan Pi'ak
Ketiga
19
10.2.! engurus Peru#a'an Ke(a&a Per'i&matan Pi'ak
Ketiga
19
15.3 Pera#:a#%a# Da# Pe#er(!aa# S(s"e! 19
10.!.1 Pengurusan Ka(asiti 19
10.!.2 Penerimaan Sistem 19
15.4 Per(#1&#%a# 1ar( K61 Ja)a" ;Malicious Code< Da# K61
M&1a) A() ;Mobile Code<
19
10.$.1 Ka"alan Ter'a&a( Ko& :a'at 20
DKICT KP .ersi 2.0 2! / 2 / 2012 iii &ari 0iii

10.$.2 Ka"alan Ter'a&a( Ko& u&a' 1li' 20
15.5 Backup 20
10.5.1 Backup aklumat 20
15.$ Pe#%&r&sa# Kesea!a"a# Ra#%'a(a# 20
10.6.1 Ka"alan ,angkaian 20
10.6.2 Keselamatan Perk'i&matan ,angkaian 20
15.- Pe#%e#1a(a# Me1(a 21
10.7.1 Pengurusan e&ia u&a' 1li' 21
10.7.2 Pelu(usan e&ia 21
10.7.! Prose&ur Pengen&alian aklumat 21
10.7.$ Keselamatan Dokumentasi Sistem 21
15./ Per"&'ara# Ma'&!a" 21
10.*.1 Prose&ur Dan Dasar Pertukaran aklumat 21
10.*.2 Persetujuan Pertukaran 21
10.*.! e&ia Dalam Transit 22
10.*.$ esej ;lektronik 22
10.*.5 Pertukaran aklumat 1ntara Sistem 22
15.2 Per')(1!a"a# Electronic Commerce 22
10.9.1 Transaksi ;lektronik 22
10.9.2 Transaksi On-line 22
10.9.! aklumat 1"am 22
15.15 Pe!a#"a&a# 2!
10.10.1 -og 1u&it 2!
10.10.2 Pemantauan Penggunaan Sistem 2!
10.10.! Perlin&ungan aklumat -og 2!
10.10.$ -og Penta&#ir Dan +(erator 2!
10.10.5 -og Kesala'an Dan Kesila(an 2!
10.10.6 Keseragaman <aktu Sistem 2!
DKICT KP .ersi 2.0 2! / 2 / 2012 i0 &ari 0iii

11. KA=ALAN CAPAIAN
11.1 Ke7er&a# Ka4aa# Ca7a(a# 2$
11.1.1 Peraturan Ka"alan Ca(aian 2$
11.2 Pe#%&r&sa# Ca7a(a# Pe#%%&#a 2$
11.2.1 Pen&a2taran Pengguna 2$
11.2.2 Pengurusan 4ak Istime"a 2$
11.2.! Pengurusan Kata -aluan Pengguna 2$
11.2.$ Semakan Semula 4ak Ca(aian Pengguna 2$
11.3 Ta#%%&#%8a4a. Pe#%%&#a 25
11.!.1 Penggunaan Kata -aluan 25
11.!.2 Peralatan Tan(a Ke'a&iran Pengguna =Unattended
User Equipment>
25
11.!.! Clear Desk Dan Clear Screen 25
11.4 Ka4aa# Ca7a(a# Ra#%'a(a# 25
11.$.1 Peraturan Penggunaan Perk'i&matan ,angkaian 25
11.$.2 Pengesa'an Pengguna -uar 25
11.$.! Pengenalan Peralatan Dalam ,angkaian 25
11.$.$ Remote Diagnostic Dan Perlin&ungan Kon2igurasi 25
11.$.5 Pengasingan Dalam ,angkaian 26
11.$.6 Ka"alan Sam#ungan ,angkaian 26
11.$.7 Ka"alan -aluan ,angkaian 26
11.5 Ka4aa# Ca7a(a# S(s"e! Pe#%67eras(a# 26
11.5.1 Prose&ur Log-On 9ang Selamat 26
11.5.2 Pengenalan Dan Pengesa'an Pengguna 26
11.5.! Sistem Pengurusan Kata -aluan 26
11.5.$ Penggunaan %tiliti Sistem 26
11.5.5 Sesi Time-out 26
11.5.6 4a& asa Sam#ungan 27
11.$ Ka4aa# Ca7a(a# A7('as( Da# Ma'&!a" 27
11.6.1 Ka"alan Ca(aian aklumat 27
DKICT KP .ersi 2.0 2! / 2 / 2012 0 &ari 0iii

11.6.2 Pengasingan Sistem Sensiti2 27
11.- Peraa"a# M&1a) A() Da# Teleworking 27
11.7.1 Peralatan u&a' 1li' Dan Komunikasi 27
11.7.2 Teleworking 27
12. PEROLE+AN> PEM0ANGUNAN DAN PENYELENGGARAAN
SISTEM MAKLUMAT
12.1 Ke7er&a# Kesea!a"a# S(s"e! Ma'&!a" 2*
12.1.1 S(esi2ikasi Dan 1nalisis Ke(erluan Keselamatan 2*
12.2 Pe!7r6sesa# Ya#% 0e"& Daa! A7('as( 2*
12.2.1 Pengesa'an Data Input 2*
12.2.2 Ka"alan Prosesan Dalaman 2*
12.2.! esej Integriti 2*
12.2.$ Pengesa'an Data Output 2*
12.3 Ka4aa# Kr(7"6%ra?( 29
12.!.1 Peraturan Penggunaan Kri(togra2i 29
12.!.2 Pengurusan In2rastruktur Kun8i 1"am 29
12.4 Kesea!a"a# Fa(-?a( S(s"e! 29
12.$.1 Ka"alan +(erasi Perisian 29
12.$.2 Perlin&ungan Data %jian 29
12.$.! Ka"alan Ca(aian Ko& Sum#er 29
12.5 Kesea!a"a# Daa! Pr6ses Pe!.a#%&#a# Da#
S6'6#%a#
29
12.5.1 Prose&ur Ka"alan Peru#a'an 29
12.5.2 Kajian Semula 1(likasi Sele(as Peru#a'an Sistem
Pengo(erasian
!0
12.5.! Ka"alan Peru#a'an Pakej Perisian !0
12.5.$ Ke#o8oran aklumat !0
12.5.5 Pem#angunan Perisian Se8ara Outsourced !0
12.$ Pe#%&r&sa# Ke"er1e1a)a# ;Vulnerability< Te'#('a !0
12.6.1 Ka"alan Keter&e&a'an Teknikal !0
DKICT KP .ersi 2.0 2! / 2 / 2012 0i &ari 0iii

13. PENGURUSAN INSIDEN KESELAMATAN MAKLUMAT
13.1 Pea76ra# I#s(1e# Da# Kee!a)a# Kesea!a"a#
Ma'&!a"
!1
1!.1.1 Pela(oran Insi&en Keselamatan aklumat !1
1!.1.2 Pela(oran Kelema'an Keselamatan !1
13.2 Pe#%&r&sa# I#s(1e# Da# Pe#a!.a).a('a# Kesea!a"a#
Ma'&!a"
!1
1!.2.1 Tanggungja"a# Dan Prose&ur !1
1!.2.2 Pengajaran Dari Insi&en Keselamatan aklumat !1
1!.2.! Pengum(ulan )a'an )ukti !2
14. PENGURUSAN KESINAM0UNGAN PERK+IDMATAN
14.1 As7e'-as7e' Kesea!a"a# Ma'&!a" Pe#%&r&sa#
Kes(#a!.&#%a# Per')(1!a"a#
!!
1$.1.1 1s(ek3as(ek Keselamatan aklumat Dalam Proses
Pengurusan Kesinam#ungan Perk'i&matan
!!
1$.1.2 Kesinam#ungan Perk'i&matan Dan Penilaian ,isiko !!
1$.1.! em#angun Dan elaksanakan Pelan
Kesinam#ungan Termasuk Keselamatan aklumat
!!
1$.1.$ ,angka Kerja Peran8angan Kesinam#ungan
Perk'i&matan
!!
1$.1.5 enguji7 enyelenggara Dan enilai Semula Pelan
Kesinam#ungan Perk'i&matan
!!
15. PEMATU+AN
15.1 Me!a"&)( Ke7er&a# Per&#1a#%a# !$
15.1.1 Pengenalan %n&ang3un&ang Ter(akai !$
15.1.2 4ak 4arta Intelek =IP,> !$
15.1.! Perlin&ungan ,eko& +rganisasi !$
15.1.$ Perlin&ungan Data Dan Pri0asi aklumat Peri#a&i !$
15.1.5 Pen8ega'an Penyala'gunaan Kemu&a'an
Pem(rosesan aklumat
!$
DKICT KP .ersi 2.0 2! / 2 / 2012 0ii &ari 0iii

15.1.6 Peraturan Ka"alan Kri(togra2i !$
15.2 Pe!a"&)a# Dasar Kesea!a"a# 1a# P(a4a(a#> Da#
Pe!a"&)a# Te'#('a
!5
15.2.1 Pematu'an Dengan Dasar Keselamatan Dan
Pia"aian
!5
15.2.2 Pematu'an Pemeriksaan Teknikal !5
15.3 A&1(" S(s"e! Ma'&!a" !5
15.!.1 Ka"alan 1u&it Sistem aklumat !5
15.!.2 Perlin&ungan udit Tools Sistem aklumat !5
LAMPIRAN A S&ra" A'&a# Pe!a"&)a# Dasar
Kesea!a"a# ICT Ke!e#"er(a# Pea8ara#
Maa9s(a
!6
LAMPIRAN 0 Se#ara( Per&#1a#%a# Da# Pera"&ra# !7
DKICT KP .ersi 2.0 2! / 2 / 2012 0iii &ari 0iii

TERMA DAN TAFSIRAN
Antivirus Perisian yang mengimbas virus pada media storan
seperti disket, cakera padat, pita magnetik, optical
disk, flash disk, CDROM, thumb drive untuk sebarang
kemungkinan adanya virus.
Ancaman Apa sahaja kejadian yang berpotensi atau tindakan
yang boleh menyebabkan berlaku kemusnahan atau
musibah.
Aset C! Data, maklumat, perkakasan, perisian, aplikasi,
dokumentasi dan sumber manusia serta premis
berkaitan dengan C! yang berada di ba"ah
tanggungja"ab #PM.
Backup Proses penduaan data, maklumat, perisian sistem dan
aplikasi.
C$R! #PM Pasukan !indak %alas nsiden #eselamatan C! #PM.
&Computer Emergency Response Team #PM'
Dokumen (emua himpunan atau kumpulan bahan yang
disimpan dalam bentuk media cetak, salinan lembut
&soft copy', elektronik, dalam talian, kertas lutsinar,
risalah atau slaid.
Electronic
Commerce
Perdagangan yang dijalankan secara internet.
Firewall Perkakasan atau perisian atau kombinasi kedua)
duanya yang direka bentuk untuk menghalang capaian
pengguna yang tidak berkenaan kepada atau daripada
rangkaian dalaman.
*C$R! Pasukan !indak %alas nsiden #eselamatan C!
#erajaan.
&Government Computer Emergency Response Team'
RUJUKAN VERSI TARIKH M/SURAT
D#C! #PM +ersi ,.- ,. / , / ,-0, 0 dari .1

TERMA DAN TAFSIRAN
nsiden
#eselamatan
Musibah &adverse event' yang berlaku ke atas sistem
maklumat dan komunikasi atau ancaman
kemungkinan berlaku kejadian tersebut.
C! !eknologi Maklumat dan #omunikasi.
&Information and Communications Technology'
C!(O Pega"ai #eselamatan C!.
&Information Communication Technology !ecurity
"fficer'
ntegriti Data dan maklumat hendaklah tepat, lengkap dan
kemaskini. a hanya boleh diubah dengan cara yang
dibenarkan.
P( (istem Pencegah Pencerobohan.
&Intrusion #revention !ystem'
Perkakasan keselamatan rangkaian yang memantau
aktiviti rangkaian yang berlaku dalam sistem bagi
mengesan perisian berbahaya. Mampu bertindak
balas menyekat atau menghalang aktiviti serangan
atau malicious code.
#etersediaan Data dan maklumat yang boleh diakses pada bila)bila
masa.
#erahsiaan Maklumat yang tidak boleh didedahkan se"enang)
"enangnya atau dibiarkan diakses tanpa kebenaran.
#eselamatan
Maklumat
Pemeliharaan kerahsiaan, integriti dan ketersediaan
maklumat, disamping si2at)si2at lain seperti kesahihan,
akauntabiliti dan kebolehpercayaan.
#PM #ementerian Pelajaran Malaysia.
D#C! #PM +ersi ,.- ,. / , / ,-0, , dari .1

TERMA DAN TAFSIRAN
#riptogra2i Penukaran data ke dalam kod rahsia untuk
penghantaran melalui rangkaian a"am.
3A4 $ocal %rea &etwork
Rangkaian #a"asan (etempat yang menghubungkan
komputer.
'alicious Code (ebarang kod yang dicipta untuk merosakkan sistem
atau data, atau untuk mencegah sistem daripada
digunakan dengan cara yang biasa.
a melibatkan skrip serangan, virus, cecacing, trojan
horse, backdoors dan kandungan akti2 yang berniat
jahat.
Media (toran Alat untuk menyimpan data dan maklumat seperti
disket, kartrij, cakera padat, cakera mudah alih, pita,
cakera keras dan pemacu pena.
MyRAM Metodologi Penilaian Risiko #eselamatan C! (ektor
A"am Malaysia.
&'alaysian #ublic !ector ICT !ecurity Risk
%ssessment 'ethodology'
'obile Code #od perisian yang dipindahkan dari satu komputer
kepada komputer lain dan melaksanakan secara
automatik 2ungsi)2ungsi tertentu dengan sedikit atau
tanpa interaksi dari pengguna.
"utsource %ermaksud menggunakan perkhidmatan luar untuk
melaksanakan 2ungsi)2ungsi tertentu C! bagi suatu
tempoh berdasarkan kepada dokumen perjanjian
dengan bayaran yang dipersetujui.
Pengguna #akitangan #PM, pembekal, pakar runding dan pihak)
pihak lain yang dibenarkan.
D#C! #PM +ersi ,.- ,. / , / ,-0, . dari .1

TERMA DAN TAFSIRAN
Penilaian Risiko Penilaian ke atas kemungkinan berlakunya bahaya
atau kerosakan atau kehilangan aset.
Pihak #etiga Pihak yang membekalkan perkhidmatan kepada #PM.
PR(MA Pemantauan Rangkaian C! (ektor A"am Malaysia.
Risiko #emungkinan yang boleh menyebabkan bahaya,
kerosakan dan kerugian.
Router (ejenis peralatan rangkaian yang digunakan untuk
menghubungkan antara satu rangkaian dengan
rangkaian yang lain.
!erver Pelayan #omputer.
(OP !tandard "perating #rocedure(
5A4 )ide %rea &etwork
Rangkaian #a"asan 3uas adalah rangkaian komputer
jarak jauh dan menghubungkan ka"asan yang lebih
luas.
D#C! #PM +ersi ,.- ,. / , / ,-0, 6 dari .1

1. TUJUAN
Dasar ini bertujuan menerangkan peraturan)peraturan yang mesti
dibaca, di2ahami dan dipatuhi dalam menggunakan aset teknologi
maklumat dan komunikasi &C!' #ementerian Pelajaran Malaysia
&#PM'.
2. SKOP
Dasar #eselamatan C! #PM ini merangkumi perlindungan semua
bentuk maklumat kerajaan yang dimasukkan, di"ujud, dimusnah,
disimpan, dijana, dicetak, diakses, diedar, dalam penghantaran, dan
yang dibuat salinan keselamatan. ni akan dilakukan melalui pe"ujudan
dan penguatkuasaan sistem ka"alan dan prosedur dalam
pengendalian semua aset C!.
a. Perkakasan
(emua aset yang digunakan untuk menyokong pemprosesan
maklumat dan kemudahan storan #PM. Contoh komputer,
pelayan, peralatan komunikasi dan sebagainya7
b. Perisian
Program, prosedur atau peraturan yang ditulis dan dokumentasi
yang berkaitan dengan sistem pengoperasian komputer yang
disimpan di dalam sistem C!. Contoh perisian aplikasi atau
perisian sistem seperti sistem pengoperasian, sistem pangkalan
data, perisian sistem rangkaian, atau aplikasi pejabat yang
menyediakan kemudahan pemprosesan maklumat kepada
#PM7
c. Perkhidmatan
Perkhidmatan atau sistem yang menyokong aset lain untuk
melaksanakan 2ungsi)2ungsinya. Contoh8
D#C! #PM +ersi ,.- ,. / , / ,-0, 9 dari .1

i. Perkhidmatan rangkaian seperti 3A4, 5A4 dan lain)lain7
ii. (istem halangan akses seperti sistem kad akses7 dan
iii. Perkhidmatan sokongan seperti kemudahan elektrik,
pengha"a dingin, sistem pencegah kebakaran dan lain)lain.
d. Data atau Maklumat
#oleksi 2akta)2akta dalam bentuk kertas atau mesej elektronik,
yang mengandungi maklumat)maklumat untuk digunakan bagi
mencapai misi dan objekti2 #PM. Contohnya, sistem
dokumentasi, prosedur operasi, rekod)rekod, pro2il)pro2il
murid/pelajar, pangkalan data dan 2ail)2ail data, maklumat)
maklumat arkib dan lain)lain7 dan
e. Manusia
ndividu yang mempunyai pengetahuan dan kemahiran untuk
melaksanakan skop kerja harian bagi mencapai misi dan objekti2
#PM. ndividu berkenaan merupakan aset berdasarkan kepada
tugas)tugas dan 2ungsi yang dilaksanakan.
(etiap aset C! perlu diberi perlindungan rapi. (ebarang kebocoran
rahsia atau kelemahan perlindungan adalah dianggap sebagai
perlanggaran langkah)langkah keselamatan.
D#C! #PM +ersi ,.- ,. / , / ,-0, : dari .1

3. PRINSIP-PRINSIP
Prinsip)prinsip asas kepada Dasar #eselamatan C! #PM dan perlu
dipatuhi adalah seperti berikut8
a. Akses Atas Dasar Perlu Mengetahui
Akses terhadap penggunaan aset C! hanya diberikan untuk
tujuan spesi2ik dan dihadkan kepada pengguna tertentu atas
dasar ;perlu mengetahui< sahaja. ni bermakna akses hanya
akan diberikan sekiranya peranan atau 2ungsi pengguna
memerlukan maklumat tersebut. Pertimbangan untuk akses
adalah berdasarkan kategori maklumat seperti yang
dinyatakan di dalam dokumen Arahan #eselamatan perenggan
9., muka surat 097
b. =ak Akses Minimum
=ak akses kepada pengguna hanya diberi pada tahap yang
paling minimum iaitu untuk membaca dan/atau melihat sahaja.
#elulusan khas adalah perlu untuk membolehkan pengguna
me"ujud, menyimpan, mengemaskini, mengubah atau
membatalkan sesuatu maklumat. =ak akses akan dikaji dari
semasa ke semasa berdasarkan kepada peranan dan
tanggungja"ab pengguna/bidang tugas7
c. Akauntabiliti
(emua pengguna adalah bertanggungja"ab ke atas semua
tindakannya terhadap aset C! #PM7
d. Pengasingan
!ugas me"ujud, memadam, mengemaskini, mengubah dan
mengesahkan data perlu diasingkan bagi mengelakkan
daripada capaian yang tidak dibenarkan serta melindungi aset
C! daripada kesilapan, kebocoran maklumat terperingkat atau
di manipulasi. Pengasingan juga merangkumi tindakan
memisahkan antara kumpulan operasi dan rangkaian7
D#C! #PM +ersi ,.- ,. / , / ,-0, > dari .1

e. Pengauditan
Pengauditan adalah tindakan untuk mengenal pasti insiden
berkaitan keselamatan C! atau mengenal pasti keadaan yang
mengancam keselamatan C!. a membabitkan pemeliharaan
semua rekod berkaitan tindakan keselamatan. Dengan itu, aset
C! seperti komputer, pelayan &server', router* firewall* I#!*
%ntivirus dan rangkaian hendaklah ditentukan supaya dapat
menjana dan menyimpan log tindakan keselamatan atau audit
trail7
2. Pematuhan
Dasar #eselamatan C! #PM hendaklah dibaca, di2ahami dan
dipatuhi bagi mengelakkan sebarang bentuk pelanggaran ke
atasnya yang boleh memba"a ancaman kepada keselamatan
C!7
g. Pemulihan
Pemulihan sistem amat perlu untuk memastikan
kebolehsediaan dan kebolehcapaian. Objekti2 utama adalah
untuk meminimumkan sebarang gangguan atau kerugian
akibat daripada ketidaksediaan. Pemulihan boleh dilakukan
melalui aktiviti penduaan &backup' dan pe"ujudan pelan
pemulihan bencana/kesinambungan perkhidmatan7 dan
h. (aling %ergantungan
(etiap prinsip di atas adalah saling lengkap)melengkapi dan
bergantung antara satu sama lain. Dengan itu, tindakan
mempelbagaikan pendekatan dalam menyusun dan
mencorakkan sebanyak mungkin mekanisme keselamatan
adalah perlu bagi menjamin keselamatan C! yang maksimum.
D#C! #PM +ersi ,.- ,. / , / ,-0, 1 dari .1

4. PERNYATAAN DASAR
#eselamatan ditakri2kan sebagai keadaan yang bebas daripada
ancaman dan risiko yang tidak boleh diterima. Penjagaan keselamatan
adalah suatu proses yang berterusan. a melibatkan aktiviti berkala yang
mesti dilakukan dari semasa ke semasa untuk menjamin keselamatan
kerana ancaman dan kelemahan sentiasa berubah.
#eselamatan C! adalah bermaksud keadaan di mana segala urusan
menyedia dan membekalkan perkhidmatan yang berasaskan kepada
sistem C! berjalan secara berterusan tanpa gangguan yang boleh
menjejaskan keselamatan. #eselamatan C! berkait rapat dengan
perlindungan aset C!.
Dasar #eselamatan C! #PM merangkumi perlindungan kerahsiaan,
integriti dan kebolehsediaan ke atas semua bentuk maklumat.
a. Maklumat hendaklah dilindungi dari pihak lain yang tidak diberi
kuasa menggunakan maklumat7
b. Maklumat hendaklah sentiasa tepat, lengkap dan kemas kini
semasa ianya diproses7 dan
c. Maklumat hendaklah sentiasa tersedia jika diperlukan oleh pihak
lain yang diberi kuasa mencapai maklumat tersebut.
(elain dari itu, langkah)langkah ke arah menjamin keselamatan C!
hendaklah bersandarkan kepada penilaian yang bersesuaian dengan
perubahan semasa terhadap kelemahan semula jadi aset C!7 ancaman
yang "ujud akibat daripada kelemahan tersebut7 risiko yang mungkin
timbul7 dan langkah)langkah pencegahan sesuai yang boleh diambil
untuk menangani risiko berkenaan.
D#C! #PM +ersi ,.- ,. / , / ,-0, ? dari .1
DASAR KESELAMATAN ICT (DKICT) VERSI 2.0

5. DASAR KESELAMATAN
5.1 Dasar Keselamatan ICT
Menyediakan hala tuju dan sokongan pengurusan
terhadap keselamatan maklumat selaras dengan
keperluan KPM dan perundangan serta peraturan
yang berkaitan.
Objektif
5.1.1 Mendapat kelulusan Pengurusan Tertinggi KPM,
menerbit dan menyebarkan kepada warga KPM
dan pihakpihak luar yang berkaitan.
!okumen
Keselamatan "#T
5.1.$ Mengkaji semula setiap dua %$& tahun atau bilabila
masa sekiranya terdapat perubahan ketara bagi
memastikan ianya bersesuaian, bertepatan dan
efektif.
Kajian 'emula !asar
Keselamatan
!K"#T KPM (ersi $.) $* + $ + $)1$ 1) dari *,

6. ORGANISASI KESELAMATAN MAKLUMAT
6.1 Pengurusan Keselamatan Maklumat
Menguruskan keselamatan maklumat dalam
organisasi.
Objektif
6.1.1 Menyokong keselamatan dalam organisasi melalui
hala tuju, penglibatan, tugasan, dan
tanggungjawab yang jelas terhadap keselamatan
maklumat.
Komitmen
Pengurusan
6.1.2 Menyelaras aktiiti keselamatan maklumat oleh
wakil!wakil dari "ahagian#$gensi KPM dengan
peranan dan fungsi kerja yang berkaitan.
Penyelarasan
Keselamatan
Maklumat
6.1.% Menyatakan dengan jelas peranan dan
tanggungjawab semua keselamatan maklumat.
Peranan &an
'anggungjawab
Keselamatan
Maklumat
6.1.( Menentu dan melaksanakan proses kelulusan
untuk kemudahan pemprosesan maklumat.
Kelulusan )ntuk
Kemudahan
Pemprosesan
Maklumat
6.1.* Menyemak keperluan kerahsiaan atau non-
disclosure dari semasa ke semasa bagi
memastikan maklumat dilindungi dan tidak
didedahkan sewenang!wenangnya.
Kerahsiaan Maklumat
6.1.6 Memastikan direktori pihak berkuasa berkaitan
sentiasa dikemaskini.
&irektori Pihak
"erkuasa "erkaitan
6.1.+ Memastikan direktori kumpulan berkepentingan
seperti ,-.' KPM, /,-.', P.01M$ sentiasa
dikemaskini.
&irektori Kumpulan
"erkepentingan
RUUKAN !ERSI TARIK" M#SURAT
&K0,' KPM 2ersi 2.3 2% # 2 # 2312 dari %4 11

6.1.4 Mengkaji pengurusan keselamatan maklumat dan
pelaksanaannya 5objektif kawalan, kawalan, dasar,
proses, dan prosedur keselamatan maklumat6 oleh
pihak ketiga pada tempoh masa yang diran7ang,
atau apabila perubahan yang besar kepada
pelaksanaan keselamatan berlaku.
Kajian Keselamatan
Maklumat Oleh Pihak
Ketiga
6.$ P%&ak Luar
Memastikan keselamatan maklumat dan
kemudahan pemprosesan maklumat yang diakses,
diproses, disampaikan kepada atau yang
diuruskan oleh pihak luar.
Objektif
6.2.1 Mengenalpasti risiko dan mengambil tindakan
kawalan terhadap maklumat dan kemudahan
pemprosesan maklumat KPM yang melibatkan
pihak luar sebelum akses dibenarkan.
Mengenalpasti .isiko
Melibatkan Pihak 8uar
6.2.2 Melaksanakan semua keperluan keselamatan
yang telah dikenalpasti sebelum memberi
kebenaran akses kepada maklumat atau aset 0,'
KPM.
Keperluan
Keselamatan "ila
"erurusan &engan
Pengguna
6.2.% Memastikan semua keperluan keselamatan yang
berkaitan dinyatakan dengan jelas dalam semua
kontrak perjanjian yang melibatkan akses,
pemprosesan, penghantaran maklumat, atau
kemudahan pemprosesan maklumat KPM atau
tambahan peralatan atau perkhidmatan oleh pihak
luar.
Keperluan
Keselamatan &alam
Perjanjian Pihak
Ketiga
RUUKAN !ERSI TARIK" M#SURAT
&K0,' KPM 2ersi 2.3 2% # 2 # 2312 dari %4 12

7. PENGURUSAN ASET
7.1 Akauntabiliti Aset
Memastikan perlindungan yang sesuai ke atas
semua aset ICT KPM.
Objektif
7.1.1 Mengenalpasti, mendaftar dan menyelenggara
inventri semua aset ICT.
Inventri !set ICT
7.1." Memastikan pemilikan dan pengurusan semua
maklumat dan aset ICT dipertanggungja#abkan
kepada pi$ak%pi$ak yang berkenaan.
Pemilikan !set ICT
7.1.& Memastikan semua peraturan yang membenarkan
penggunaan maklumat dan aset ICT dikenalpasti,
didkumen dan dilaksanakan.
Kebenaran
Menggunakan !set
ICT
7.2 Pengkelasan Makluat
Memastikan semua maklumat diberi perlindungan
mengikut ta$ap keselamatan.
Objektif
7.".1 Memastikan maklumat dikelaskan berasaskan
nilai, keperluan perundangan, ta$ap sensitiviti dan
ta$ap kritikal kepada KPM.
Pengkelasan
Maklumat
7."." Menyedia dan melaksanakan prsedur yang
sesuai bagi pelabelan dan pengendalian maklumat
mengikut klasifikasi yang digunapakai le$ KPM.
Pelabelan 'an
Pengendalian
Maklumat
RU!UKAN "ERSI TARIK# M$SURAT
'KICT KPM (ersi ".) "& * " * ")1" dari &+ 1&

8. KESELAMATAN SUMBER MANUSIA
8.1 Sebelum Perkhidmata
Memastikan warga KPM, kontraktor dan pihak
ketiga memahami peranan dan tanggungjawab
mereka bagi mengurangkan risiko kecurian,
penipuan dan penyalahgunaan aset ICT Kerajaan.
Objekti
!."." Menyatakan dengan jelas peranan dan
tanggungjawab warga KPM, kontraktor dan pihak
ketiga terhadap keselamatan ICT selaras dengan
#asar Keselamatan ICT.
Peranan #an
Tanggungjawab
!.".$ Melaksanakan pengesahan identiti ke atas warga
KPM, kontraktor dan pihak ketiga selaras dengan
peruntukan perundangan dan peraturan yang
berkaitan keperluan perkhidmatan dan peringkat
maklumat yang hendak dicapai serta risiko yang
dijangkakan.
%eriikasi
!.".& Mematuhi semua terma dan syarat'syarat dalam
kontrak yang ditawarkan dan peraturan semasa
yang berkuatkuasa bagi kontraktor dan pihak
ketiga.
Terma #an (yarat'
(yarat Kontrak
8.! Sema"a Perkhidmata
ketiga sedar dan mengambil berat akan ancaman
keselamatan aset ICT, serta tanggungjawab dan
liabiliti dalam menjalankan tugas harian dan
mengurangkan risiko kesilapan manusia.
Objekti
RU#UKAN $ERSI TARIK% M&SURAT
#KICT KPM %ersi $.) $& * $ * $)"$ dari &! "+

!.$." Memastikan warga KPM, kontraktor dan pihak
ketiga melaksanakan tanggungjawab keselamatan
berdasarkan perundangan dan peraturan yang
ditetapkan oleh KPM.
Tanggungjawab
Pengurusan
!.$.$ Memastikan warga KPM, kontraktor dan pihak
ketiga, ,di mana berkaitan- diberi pendedahan
mengenai dasar dan prosedur keselamatan yang
berkaitan dengan bidang tugas dari semasa ke
semasa.
Kesedaran
Keselamatan
Maklumat
!.$.& Memastikan adanya proses tindakan disiplin ke
atas warga KPM yang melanggar peraturan
keselamatan.
Proses #isiplin
8.' Bertukar atau Tamat Perkhidmata
ketiga yang bertukar atau tamat perkhidmatan
diurus dengan teratur.
Objekti
!.&." Memastikan tugas pegawai yang
bertanggungjawab menguruskan pertukaran atau
penamatan perkhidmatan dinyatakan dengan
jelas.
Tanggungjawab
Pegawai
!.&.$ Memastikan warga KPM, kontraktor dan pihak
ketiga yang bertukar atau tamat perkhidmatan
menyerahkan aset ICT KPM.
Pemulangan .set
!.&.& Membatalkan atau menarik balik semua
kebenaran capaian ke atas maklumat dan
kemudahan proses maklumat bagi warga KPM,
kontraktor dan pihak ketiga yang bertukar atau
tamat perkhidmatan.
Pembatalan /ak
Capaian
RU#UKAN $ERSI TARIK% M&SURAT
#KICT KPM %ersi $.) $& * $ * $)"$ dari &! "0

9. KESELAMATAN FIZIKAL DAN PERSEKITARAN
9.1 Keselamatan Kawasan
Mencegah akses fizikal yang tidak dibenarkan,
kerosakan dan ancaman kepada premis dan
maklumat.
Objektif
9.1.1 Melaksanakan kawalan keselamatan untuk
melindungi kawasan yang menyimpan maklumat
dan kemudahan pemprosesan maklumat.
Keselamatan
erimeter
9.1.! Melindungi kawasan larangan " kawasan
keselamatan bagi memastikan kakitangan yang
dibenarkan sahaja diberi akses.
Kawalan Masuk
#izikal
9.1.$ Merekabentuk dan melaksanakan keselamatan
fizikal untuk pejabat, bilik%bilik dan kemudahan
yang disediakan.
Keselamatan ejabat,
&ilik 'an Kemudahan
9.1.( Merekabentuk dan melaksanakan perlindungan
fizikal dari kerosakan akibat kebakaran, banjir,
gempa bumi, letupan, rusuhan awam dan lain%lain
bencana alam atau bencana buatan manusia.
erlindungan
)erhadap *ncaman
+uar 'an
ersekitaran
9.1., Menyediakan garis panduan bagi mereka yang
bertugas di kawasan keselamatan.
&ekerja 'i Kawasan
Keselamatan
9.1.- Mengawal laluan akses bagi kawasan
penghantaran dan pemunggahan serta lain%lain
laluan akses untuk mengelakkan akses yang tidak
dibenarkan.
+aluan *kses *wam,
enghantaran 'an
emunggahan
RUJUKAN VERSI TARIKH MSURAT
'K./) KM 0ersi !.1 !$ " ! " !11! dari $2 1-

9.! Keselamatan Pe"alatan
Mencegah kehilangan, kerosakan, kecurian atau
salah guna aset dan gangguan kepada akti3iti%
akti3iti organisasi.
Objektif
9.!.1 Menempatkan atau melindungi peralatan untuk
mengurangkan risiko ancaman persekitaran dan
bencana alam serta peluang%peluang akses yang
tidak dibenarkan.
enempatan 'an
erlindungan
eralatan
9.!.! Melindungi peralatan ./) dari kegagalan bekalan
kuasa dan lain%lain gangguan yang disebabkan
oleh kegagalan kemudahan sokongan.
Kemudahan
4okongan
9.!.$ Melindungi kabel elektrik dan telekomunikasi dari
pemintasan dan kerosakan.
Keselamatan Kabel
9.!.( Menyelenggara peralatan dengan teratur bagi
memastikan integriti dan ketersediaan yang
berterusan.
enyelenggaraan
eralatan
9.!., Mengambil langkah keselamatan ke atas
peralatan yang dibawa keluar dari premis
organisasi.
Keselamatan
eralatan 'i +uar
remis
9.!.- Menyemak semua peralatan yang mengandungi
media storan untuk memastikan data yang sensitif
dan perisian berlesen dihapuskan sebelum
dilupus.
elupusan *tau
enggunaan 4emula
eralatan
9.!.5 Mendapatkan kebenaran terlebih dahulu sebelum
peralatan, maklumat atau perisian dibawa keluar
dari premis organisasi.
*set ./) 6ang
'ibawa Keluar
RUJUKAN VERSI TARIKH MSURAT
'K./) KM 0ersi !.1 !$ " ! " !11! dari $2 15

10. PENGURUSAN OPERASI DAN KOMUNIKASI
10.1 Prosedur Operasi Dan Tanggunga!a"
Memastikan kemudahan pemprosesan maklumat
beroperasi dengan betul dan selamat.
Objektif
10.1.1 Mendokumen, menyelenggara prosedur operasi
dan tersedia untuk semua pengguna yang
memerlukan.
Mendokumenkan
Prosedur Operasi
10.1.2 Mengawal semua perubahan kepada sistem dan
kemudahan pemprosesan maklumat.
Pengurusan
Perubahan
10.1.3 Mengagihkan tugas dan tanggungjawab seara
berasingan untuk mengurangkan peluang bagi
ubahsuai tanpa kebenaran atau tidak
disengajakan atau salah guna aset !PM.
Pengagihan "ugas
10.1.# Mengasingkan kemudahan pembangunan, ujian
dan operasi bagi mengurangkan risiko apaian
yang tidak dibenarkan atau perubahan kepada
sistem yang sedang beroperasi.
Pengasingan
!emudahan
Pembangunan,
Pengujian $an
Pengoperasian
10.# Pengurusan Pen$a%paian Per&'id%a(an Pi'a&
Ke(iga
Melaksana dan memastikan tahap keselamatan
maklumat dan penyampaian perkhidmatan yang
sesuai selaras dengan kontrak perkhidmatan
pihak ketiga.
Objektif
RU)UKAN *ERSI TARIK+ M,SURAT
$!%&" !PM 'ersi 2.0 23 ( 2 ( 2012 dari 3) 1)

10.2.1 Memastikan tahap kawalan keselamatan, jenis
dan penyampaian perkhidmatan yang terkandung
dalam kontrak perkhidmatan pihak ketiga dipatuhi
dan dilaksanakan.
Penyampaian
Perkhidmatan
10.2.2 Memantau perkhidmatan dan menyemak laporan
dan rekod yang disediakan oleh pihak ketiga serta
melaksanakan audit seara berkala.
Memantau $an
Menyemak
Perkhidmatan Pihak
!etiga
10.2.3 Mengurus sebarang perubahan terhadap
pembekalan perkhidmatan dengan mengambil kira
tahap kritikal perkhidmatan dan proses yang
terlibat serta melaksanakan penilaian semula
risiko keselamatan.
Mengurus Perubahan
!epada Perkhidmatan
Pihak !etiga
10.- Peran.angan Dan Peneri%aan Sis(e%
Meminimumkan risiko kegagalan sistem.
Objektif
10.3.1 Memantau, melaksanakan penalaan dan membuat
unjuran keperluan sumber bagi memenuhi tahap
prestasi yang ditetapkan.
Pengurusan !apasiti
10.3.2 Menetapkan kriteria penerimaan dan menjalankan
ujian bagi sistem baru, sistem yang
dipertingkatkan dan *ersi baru semasa
pembangunan dan sebelum penerimaan.
Penerimaan +istem
10./ Per0indungan Dari Kod )a'a( 1Malicious Code2
Dan Kod Muda' A0i' 1Mobile Code2
Melindungi integriti perisian dan maklumat.
Objektif
$!%&" !PM 'ersi 2.0 23 ( 2 ( 2012 dari 3) 1,

10.#.1 Melaksanakan kawalan pengesanan, penegahan
dan pemulihan untuk melindungi dari kod jahat
dan melaksanakan prosedur kesedaran pengguna
yang sesuai.
!awalan "erhadap
!od -ahat
10.#.2 Melaksanakan konfigurasi bagi memastikan kod
mudah alih yang dibenarkan beroperasi selaras
dengan dasar keselamatan yang ditetapkan.
!awalan "erhadap
!od Mudah .lih
10.3 Backup
Mengekalkan integriti dan ketersediaan maklumat
dan kemudahan pemprosesan maklumat.
Objektif
10./.1 Melaksanakan backup maklumat dan perisian
serta melakukan ujian seara berkala selaras
dengan prosedur backup yang ditetapkan.
Backup Maklumat
10.4 Pengurusan Kese0a%a(an Rang&aian
Memastikan maklumat dalam rangkaian dan
infrastruktur sokongan dilindungi.
Objektif
10.0.1 Mengawal dan mengurus rangkaian dengan baik,
untuk melindungi dari anaman dan menjamin
keselamatan sistem dan aplikasi.
!awalan 1angkaian
10.0.2 Mengenalpasti dan memasukkan iri2iri
keselamatan, tahap perkhidmatan dan keperluan
pengurusan semua perkhidmatan rangkaian ke
dalam kontrak perkhidmatan rangkaian.
!eselamatan
Perkhidmatan
1angkaian
$!%&" !PM 'ersi 2.0 23 ( 2 ( 2012 dari 3) 20

10.5 Pengenda0ian Media
Melindungi media yang mengandungi maklumat
dari sebarang pendedahan, pengubahsuaian dan
penghapusan atau pemusnahan yang tidak
dibenarkan.
Objektif
10.3.1 Mewujudkan prosedur bagi pengurusan media
mudah alih.
Pengurusan Media
Mudah .lih
10.3.2 Melupuskan media yang tidak diperlukan seara
selamat dan terjamin mengikut prosedur yang
ditetapkan.
Pelupusan Media
10.3.3 Mewujudkan prosedur pengendalian dan
penyimpanan maklumat untuk melindungi
maklumat dari didedahkan tanpa kebenaran atau
disalah guna.
Prosedur
Pengendalian
Maklumat
10.3.# Melindungi dokumentasi sistem daripada apaian
yang tidak dibenarkan.
!eselamatan
$okumentasi +istem
10.6 Per(u&aran Ma&0u%a(
Menjamin keselamatan pertukaran maklumat dan
perisian dalam !PM dan dengan mana2mana
agensi luar.
Objektif
10.).1 Mewujudkan dasar, prosedur dan kawalan untuk
melindungi pertukaran maklumat melalui
penggunaan pelbagai kemudahan komunikasi.
Prosedur $an $asar
Pertukaran Maklumat
10.).2 Menyediakan persetujuan pertukaran maklumat
dan perisian dalam !PM dan dengan agensi luar.
Persetujuan
Pertukaran
$!%&" !PM 'ersi 2.0 23 ( 2 ( 2012 dari 3) 21

10.).3 Melindungi media mengandungi maklumat
daripada didedahkan, disalahguna atau
dirosakkan kepada mereka yang tidak dibenarkan
semasa pemindahan keluar dari !PM.
Media $alam "ransit
10.).# Melindungi maklumat yang terdapat dalam mesej
elektronik.
Mesej 4lektronik
10.)./ Menyedia dan melaksana dasar dan prosedur bagi
melindungi maklumat yang terlibat dalam
pertukaran maklumat antara sistem.
Pertukaran Maklumat
.ntara +istem
10.7 Per&'id%a(an Electronic Commerce
Memastikan keselamatan perkhidmatan Electronic
Commerce dan penggunaannya selamat.
Objektif
10.,.1 Melindungi maklumat yang terlibat dalam transaksi
elektronik menggunakan rangkaian awam
daripada akti*iti penipuan, pertikaian kontrak dan
pendedahan serta pengubahsuaian yang tidak
dibenarkan.
"ransaksi 4lektronik
10.,.2 Melindungi maklumat yang terlibat dengan
transaksi dalam talian 5on-line6 bagi mengelak
transmisi tidak lengkap, salah destinasi, dan
pengubahsuaian, pendedahan, penduaan atau
pengulangan mesej yang tidak dibenarkan.
"ransaksi On-Line
10.,.3 Melindungi integriti maklumat yang disediakan
pada sistem yang boleh diapai oleh orang awam
atau pihak lain yang berkepentingan dari
pengubahsuaian yang tidak dibenarkan.
Maklumat .wam
$!%&" !PM 'ersi 2.0 23 ( 2 ( 2012 dari 3) 22

10.10 Pe%an(auan
Mengesan akti*iti pemprosesan maklumat yang
tidak dibenarkan.
Objektif
10.10.1 Menghasil dan menyimpan 7og .udit yang
merekodkan semua akti*iti untuk tempoh masa
yang ditetapkan bagi memantau kawalan apaian
dan membantu siasatan pada masa hadapan.
7og .udit
10.10.2 Mewujudkan prosedur untuk memantau
penggunaan kemudahan pemprosesan maklumat
dan hasil pemantauan dikaji dari semasa ke
semasa.
Pemantauan
Penggunaan +istem
10.10.3 Melindungi kemudahan dan maklumat log
daripada dipinda dan apaian yang tidak
dibenarkan.
Perlindungan
Maklumat 7og
10.10.# Memastikan akti*iti pentadbir dan operator sistem
direkodkan 5Logged6.
7og Pentadbir $an
Operator
10.10./ Memastikan sebarang kesilapan dilog, dianalisis
dan diambil tindakan sewajarnya.
7og !esalahan $an
!esilapan
10.10.0 Menyeragam waktu bagi semua sistem
pemprosesan maklumat dalam !PM atau domain
keselamatan dengan sumber waktu yang
ditetapkan.
!eseragaman 8aktu
+istem
$!%&" !PM 'ersi 2.0 23 ( 2 ( 2012 dari 3) 23

11. KAWALAN CAPAIAN
11.1 Keperluan Kawalan Capaian
Mengawal capaian maklumat.
Objektif
11.1.1 Mewujud, mendokumen dan mengkaji dasar
kawalan berasaskan keperluan perkhidmatan dan
keselamatan capaian.
Peraturan Kawalan
Capaian
11.2 Pengurusan Capaian Pengguna
Memastikan capaian pengguna yang dibenarkan
dan menghalang capaian pengguna yang tidak
dibenarkan ke atas sistem maklumat.
Objektif
11..1 Mewujudkan prosedur pendaftaran dan
pembatalan pendaftaran pengguna untuk memberi
kebenaran dan membatalkan capaian ke atas
semua sistem maklumat dan perkhidmatan yang
disediakan.
Pendaftaran
Pengguna
11.. Mengawal dan menghadkan pengagihan dan
penggunaan hak istimewa.
Pengurusan !ak
"stimewa
11..# Mengawal pengagihan kata laluan melalui proses
yang ditetapkan.
Pengurusan Kata
$aluan Pengguna
11..% Mengkaji hak capaian pengguna dari semasa ke
semasa melalui saluran yang ditetapkan.
&emakan &emula
!ak Capaian
Pengguna
RUJUKAN ERSI TARIK! M"SURAT
'K"C( KPM )ersi .* # + + *1 dari #, %

11.# Tanggung$awa% Pengguna
Menghalang salah guna atau kecurian maklumat
dan kemudahan pemprosesan maklumat serta
capaian pengguna yang tidak dibenarkan.
Objektif
11.#.1 Memastikan pengguna mengikut amalan terbaik
dalam pemilihan dan penggunaan kata laluan.
Penggunaan Kata
$aluan
11.#. Memastikan peralatan tanpa kehadiran pengguna
mempunyai perlindungan yang sesuai.
Peralatan (anpa
Kehadiran Pengguna
-Unattended User
Equipment.
11.#.# Menggunapakai dasar Clear Desk untuk kertas
dan media storan mudah/alih dan dasar Clear
Screen untuk kemudahan pemprosesan maklumat.
Clear Desk 'an Clear
Screen
11.& Kawalan Capaian Rang'aian
Menghalang capaian yang tidak dibenarkan ke
atas perkhidmatan rangkaian.
Objektif
11.%.1 Menyediakan kebenaran capaian ke atas
perkhidmatan yang dibenarkan sahaja.
Peraturan
Penggunaan
Perkhidmatan
0angkaian
11.%. Menggunakan kaedah pengesahan yang sesuai
untuk mengawal capaian oleh pengguna jarak jauh
-remote access..
Pengesahan
Pengguna $uar
11.%.# Menggunakan peralatan automatik berdasarkan
lokasi dan peralatan untuk pengesahan
sambungan ke dalam rangkaian.
Pengenalan Peralatan
'alam 0angkaian
11.%.% Mengawal capaian fi1ikal dan logikal ke atas
kemudahan diagnostik dan konfigurasi.
Remote Diagnostic
'an Perlindungan
Konfigurasi
'K"C( KPM )ersi .* # + + *1 dari #, 2

11.%.2 Mengasingkan capaian mengikut kumpulan
perkhidmatan, pengguna dan sistem maklumat.
Pengasingan 'alam
0angkaian
11.%.3 Menghadkan keupayaan pengguna untuk
kemudahan sambungan bagi rangkaian yang
dikongsi khususnya yang menjangkau sempadan
KPM, selaras dengan dasar kawalan capaian dan
keperluan aplikasi.
Kawalan &ambungan
0angkaian
11.%.4 Melaksanakan kawalan pengalihan laluan -routing
control. untuk memastikan bahawa sambungan
komputer dan aliran maklumat tidak melanggar
dasar kawalan capaian bagi setiap aplikasi.
Kawalan $aluan
0angkaian
11.( Kawalan Capaian Sis)e* Peng+perasian
Mengelakkan capaian tanpa kebenaran ke atas
sistem pengoperasian.
Objektif
11.2.1 Mengawal capaian kepada sistem pengoperasian
menggunakan prosedur log-on yang selamat.
Prosedur Log-On
5ang &elamat
11.2. Menyediakan pengenalan diri -user ID. yang unik
dan teknik pengesahan yang sesuai untuk
menjamin ketulenan pengguna.
Pengenalan 'an
Pengesahan
Pengguna
11.2.# Menyediakan sistem pengurusan kata laluan dan
memastikan kualiti kata laluan.
&istem Pengurusan
Kata $aluan
11.2.% Menghad dan mengawal penggunaan program
utiliti yang berkeupayaan melepasi kawalan sistem
dan aplikasi.
Penggunaan 6tiliti
&istem
11.2.2 Menamatkan sesi yang tidak aktif selepas tempoh
masa yang ditetapkan.
&esi Time-Out
'K"C( KPM )ersi .* # + + *1 dari #, 3

11.2.3 Menghadkan tempoh masa sambungan ke aplikasi
yang berisiko tinggi.
!ad Masa
&ambungan
11., Kawalan Capaian Apli'asi Dan Ma'lu*a)
Menghalang capaian tanpa kebenaran ke atas
maklumat yang terdapat di dalam sistem aplikasi.
Objektif
11.3.1 Menghadkan capaian ke atas maklumat dan
fungsi/fungsi sistem aplikasi oleh pengguna dan
personel sokongan, selaras dengan dasar kawalan
capaian yang ditetapkan.
Kawalan Capaian
Maklumat
11.3. Mewujudkan persekitaran pengkomputeran yang
khusus -terasing. bagi sistem yang sensitif.
Pengasingan &istem
&ensitif
11.- Perala)an Mu.a/ Ali/ Dan Teleworking
Memastikan keselamatan maklumat semasa
menggunakan peralatan mudah alih dan
kemudahan teleworking.
Objektif
11.4.1 Mewujudkan peraturan dan garis panduan
keselamatan yang bersesuaian untuk melindungi
dari risiko penggunaan peralatan mudah alih dan
kemudahan komunikasi.
Peralatan Mudah 7lih
'an Komunikasi
11.4. Merangka dan melaksana dasar, peraturan dan
garis panduan bagi akti8iti teleworking.
Teleworking
'K"C( KPM )ersi .* # + + *1 dari #, 4
PEROLEHAN, PEMBANGUNAN DAN
PENYELENGGARAAN SISTEM
MAKLUMAT

12. PEROLEHAN, PEMBANGUNAN DAN
PENYELENGGARAAN SISTEM MAKLUMAT
12.1 Keperluan Keela!a"an S#"e! Ma$lu!a"
Memastikan keselamatan disepadukan dalam
sistem maklumat.
Objektif
12.1.1 Menentukan keperluan kawalan keselamatan bagi
sistem maklumat baru atau sistem maklumat sedia
ada yang dipertingkatkan.
Spesifikasi Dan
Analisis Keperluan
Keselamatan
12.2 Pe!pr%ean Yan& Be"ul Dala! Apl#$a#
Mencegah kesilapan kehilangan pengubahsuaian
tanpa kebenaran atau salahguna maklumat dalam
aplikasi.
Objektif
12.2.1 Menentusahkan data input ke aplikasi bagi
memastikan data yang dimasukkan betul dan
bersesuaian.
!engesahan Data
Input
12.2.2 Memasukkan semakan pengesahan "validation# ke
dalam aplikasi untuk mengesan ker$sakan
maklumat akibat kesilapan pempr$sesan atau
perlakuan yang disengajakan.
Kawalan !r$sesan
Dalaman
12.2.% Mengenalpasti keperluan bagi memastikan
kesahihan dan perlindungan integriti mesej dalam
aplikasi dan kawalan yang sesuai dilaksanakan.
Mesej &ntegriti
12.2.' Menentusahkan data output daripada aplikasi bagi
memastikan pempr$sesan penyimpanan maklumat
yang dihasilkan adalah betul dan sesuai.
!engesahan Data
Output
RU'UKAN (ERSI TARIKH M)SURAT
DK&() K!M *ersi 2.+ 2% , 2 , 2+12 dari %- 2-

12.* Ka+alan Kr#p"%&ra,#
Melindungi kerahsiaan integriti atau kesahihan
maklumat melalui kaedah kript$grafi.
Objektif
12.%.1 Menyedia dan melaksanakan peraturan mengenai
penggunaan kaedah kript$grafi bagi melindungi
maklumat.
!eraturan
!enggunaan
Kript$grafi
12.%.2 Mengadakan pengurusan infrastruktur kunci awam
yang meny$k$ng teknik kript$grafi.
!engurusan
&nfrastruktur Kunci
Awam
12.- Keela!a"an .a#l/.a#l S#"e!
Memastikan keselamatan fail.fail sistem.
Objektif
12.'.1 Mewujudkan peraturan untuk mengawal
pemasangan perisian ke dalam persekitaran
$perasi.
Kawalan Operasi
!erisian
12.'.2 Memilih data ujian dengan teliti dilindungi dan
dikawal.
!erlindungan Data
/jian
12.'.% Menghadkan capaian ke atas k$d sumber
pr$gram.
Kawalan (apaian K$d
Sumber
12.0 Keela!a"an Dala! Pr%e Pe!1an&unan Dan
S%$%n&an
Memastikan keselamatan perisian sistem aplikasi
dan maklumat.
Objektif
12.0.1 Menggunakan pr$sedur kawalan perubahan untuk
mengawal pelaksanaan perubahan.
!r$sedur Kawalan
!erubahan
DK&() K!M *ersi 2.+ 2% , 2 , 2+12 dari %- 21

12.0.2 Mengkaji semula dan menguji aplikasi kritikal
apabila terdapat perubahan terhadap sistem
peng$perasian untuk memastikan tiada kesan
buruk terhadap $perasi K!M atau keselamatan.
Kajian Semula
Aplikasi Selepas
!erubahan Sistem
!eng$perasian
12.0.% Mengawal perubahan dan,atau pindaan ke atas
pakej perisian dan sebarang perubahan adalah
terhad mengikut keperluan sahaja.
Kawalan !erubahan
!akej !erisian
12.0.' Menghalang sebarang kemungkinan berlaku
keb$c$ran maklumat.
Keb$c$ran Maklumat
12.0.0 Menyelia dan memantau pembangunan perisian
yang dilaksanakan secara outsourced.
!embangunan
!erisian Secara
Outsourced
12.2 Pen&uruan Ke"er3e3a4an 5Vulnerability6
Te$n#$al
Mengurangkan risik$ akibat daripada ekspl$itasi
keterdedahan teknikal.
Objektif
12.2.1 Memper$leh maklumat yang cepat mengenai
keterdedahan teknikal sistem maklumat menilai
keterdedahan dan mengambil langkah.langkah
yang sesuai untuk menangani risik$ yang
berkaitan.
Kawalan
Keterdedahan
)eknikal
DK&() K!M *ersi 2.+ 2% , 2 , 2+12 dari %- %+

13. PENGURUSAN INSIDEN KESELAMATAN
MAKLUMAT
13.1 Pelaporan Insiden Dan Kelemahan
Keselamaan Ma!l"ma
Memastikan insiden dan kelemahan keselamatan
maklumat yang berkaitan dengan sistem maklumat
disalurkan dengan cara yang membolehkan
tindakan pembetulan diambil dengan segera.
Objektif
13.1.1 Melaporkan insiden keselamatan maklumat
kepada CERT !M dengan kadar segera.
!elaporan "nsiden
eselamatan
Maklumat
13.1.# Memastikan semua $arga !M% kontraktor dan
pihak ketiga melaporkan kepada CERT !M
sebarang pemerhatian atau kelemahan
keselamatan semasa menggunakan sistem
maklumat dan perkhidmatan yang disediakan.
!elaporan elemahan
eselamatan
13.# Pen$"r"san Insiden Dan Penam%ah%ai!an
Keselamaan Ma!l"ma
Memastikan pendekatan yang konsisten dan efektif
digunakan dalam pengurusan insiden keselamatan
maklumat.
Objektif
13.#.1 Me$ujudkan CERT !M dan prosedur bagi
memastikan tindakan insiden keselamatan
maklumat dikendalikan dengan cepat% berkesan
dan teratur.
Tanggungja$ab &an
!rosedur
13.#.# Me$ujudkan mekanisma bagi membolehkan jenis%
jumlah dan kos insiden keselamatan maklumat
dinilai dan dipantau.
!engajaran &ari
"nsiden eselamatan
Maklumat
RU&UKAN 'ERSI TARIK( M)SURAT
&"CT !M 'ersi #.( #3 ) # ) #(1# dari 3* 31

13.#.3 Mengumpul% menyimpan% dan menyerahkan
bahan+bahan bukti mengikut peraturan+peraturan
yang ditetapkan di ba$ah bidang kuasa
perundangan yang berkaitan% sekiranya tindakan
susulan terhadap orang atau organisasi selepas
sesuatu insiden keselamatan maklumat ,sama ada
si-il atau jenayah..
!engumpulan /ahan
/ukti
RU&UKAN 'ERSI TARIK( M)SURAT
&"CT !M 'ersi #.( #3 ) # ) #(1# dari 3* 3#

14. PENGURUSAN KESINAMBUNGAN
PERKHIDMATAN
14.1 Aspek-aspek Keselamatan Maklmat
Pen!"san Kes#nam$n!an Pe"k%#&matan
Memastikan fungsi-fungsi kritikal perkhidmatan
sistem dan proses-proses utama dapat segera
dipulihkan dalam masa yang ditetapkan sekiranya
berlaku gangguan atau bencana.
Objektif
14.1.1 Menyedia dan menyenggara proses kerja bagi
kesinambungan perkhidmatan dengan mengambil
kira keperluan keselamatan maklumat.
Aspek-aspek
Keselamatan
Maklumat Dalam
roses engurusan
Kesinambungan
erkhidmatan
14.1.! Mengenalpasti insiden-insiden yang boleh
mengakibatkan gangguan kepada perkhidmatan
bersama dengan kemungkinan dan kesan
terhadap keselamatan maklumat.
Kesinambungan
erkhidmatan Dan
enilaian "isiko
14.1.# Membangun dan melaksana pelan kesinambungan
perkhidmatan untuk mengekalkan atau
memulihkan operasi dan memastikan ketersediaan
maklumat di peringkat yang diperlukan dalam skala
masa yang ditetapkan berikutan dari gangguan
atau kegagalan$ proses-proses perkhidmatan
kritikal.
Membangun Dan
Melaksanakan elan
Kesinambungan
%ermasuk
Keselamatan
Maklumat
14.1.4 Menetapkan satu rangka kerja pelan
kesinambungan perkhidmatan bagi memastikan
semua pelan adalah konsisten dan sentiasa
mengambil kira keperluan keselamatan maklumat.
"angka Kerja
erancangan
Kesinambungan
erkhidmatan
14.1.& Memastikan elan Kesinambungan erkhidmatan
diuji dan dikemaskini secara berkala supaya ia
sentiasa terkini.
Menguji$
Menyelenggara Dan
Menilai 'emula elan
Kesinambungan
erkhidmatan
DK()% KM *ersi !.+ !# , ! , !+1! dari #- ##

15. PEMATUHAN
15.1 Mematuhi Keperluan Perundanan
Mengelak pelanggaran mana-mana undang-
undang, kewajipan berkanun, peraturan atau
kontrak, dan apa-apa keperluan keselamatan.
Objektif
15.1.1 Menentu, mendokumen dan menyimpan semua
keperluan perundangan dan peraturan KPM yang
terkini.
Pengenalan Undang-
Undang erpakai
15.1.! Melaksanakan prosedur yang bersesuaian bagi
memastikan pematu"an kepada keperluan
perundangan dan peraturan dalam penggunaan
ba"an yang mempunyai "ak "arta intelek dan
penggunaan produk-produk perisian proprietary.
#ak #arta $ntelek
%$P&'
15.1.( Melindungi rekod-rekod penting daripada
ke"ilangan, kemusna"an dan pemalsuan,
mengikut keperluan perundangan, peraturan dan
perk"idmatan.
Perlindungan &ekod
Organisasi
15.1.) Memastikan perlindungan data dan pri*asi
maklumat peribadi mematu"i peraturan-peraturan,
dan klausa-klausa perundangan yang berkaitan.
Perlindungan +ata
+an Pri*asi Maklumat
Peribadi
15.1.5 Meng"alang pengguna daripada menggunakan
kemuda"an pemprosesan maklumat untuk tujuan
yang tidak dibenarkan.
Pen,ega"an
Penyala"gunaan
Kemuda"an
Pemprosesan
Maklumat
15.1.- Menggunakan kawalan kriptografi berpandukan
perjanjian, perundangan dan peraturan yang
berkaitan.
Peraturan Kawalan
Kriptografi
RU!UKAN "ERSI TARIKH M#SURAT
+K$. KPM /ersi !.0 !( 1 ! 1 !01! dari (2 ()

15.$ Pematuhan Da%ar Ke%elamatan dan Pia&aian'
Dan Pematuhan Te(ni(al
Memastikan pematu"an sistem dengan dasar
keselamatan dan piawaian KPM.
Objektif
15.!.1 Memastikan ketua jabatan melaksanakan prosedur
keselamatan yang ditetapkan dalam dasar
keselamatan dan piawaian.
Pematu"an +engan
+asar Keselamatan
+an Piawaian
15.!.! Memeriksa sistem maklumat se,ara berkala
ter"adap pematu"an keselamatan dan piawaian.
Pematu"an
Pemeriksaan eknikal
15.) Audit Si%tem Ma(lumat
Memaksimumkan keberkesanan dan
meminimumkan gangguan kepada1daripada sistem
maklumat.
Objektif
15.(.1 Meran,ang dan mempersetujui keperluan audit
dan akti*iti-akti*iti yang melibatkan pemeriksaan
sistem yang sedang beroperasi bagi meminimakan
gangguan kepada perk"idmatan.
Kawalan 3udit 4istem
Maklumat
15.(.! Melindungi audit tools sistem maklumat bagi
men,ega" sebarang penyala"gunaan.
Perlindungan Audit
Tools 4istem
Maklumat
+K$. KPM /ersi !.0 !( 1 ! 1 !01! dari (2 (5

LAMPIRAN A
SURAT AKUAN PEMATUHAN
DASAR KESELAMATAN ICT
KEMENTERIAN PELA!ARAN MALA*SIA
5ama %#uruf 6esar' 7 8888888888888888888888..88
5o. Kad Pengenalan 7 88888888888888.88888..888...8
9awatan 7 88888888888888888888..8888
6a"agian 1 9abatan 7 8888888888888888888888..88

3dala" dengan sesunggu"nya dan sebenarnya mengaku ba"awa 7-
1. 4aya tela" memba,a, mema"ami dan akur akan peruntukan:peruntukan
yang terkandung di dalam +asar Keselamatan $. KPM; dan
!. 9ika saya ingkar kepada peruntukan-peruntukan yang ditetapkan, maka
tindakan sewajarnya bole" diambil ke atas diri saya.

andatangan 7 888888888888888
arik" 7 888888888888888

Pene%ahan Ketua !a+atan # ,ahaian

88888888888888888888888...
% '
b.p Ketua 4etiausa"a
Kementerian Pelajaran Malaysia
arik" 7 88888888888888888
+K$. KPM /ersi !.0 !( 1 ! 1 !01! dari (2 (-

LAMPIRAN ,
SENARAI PERUNDAN-AN DAN PERATURAN
1. 3ra"an Keselamatan
!. Pekeliling 3m 6ilangan ( a"un !000 - &angka +asar
Keselamatan eknologi Maklumat dan Komunikasi Kerajaan
(. Malaysian Public Sector Management of Information and
Communications Technology Security Handbook %MyM$4' !00!
). Pekeliling 3m 6ilangan 1 a"un !001 - Mekanisme Pelaporan
$nsiden Keselamatan eknologi Maklumat dan Komunikasi %$.'
5. Pekeliling Kemajuan Pentadbiran 3wam 6ilangan 1 a"un !00( -
<aris Panduan Mengenai ata,ara Penggunaan $nternet dan Mel
=lektronik di 3gensi-3gensi Kerajaan
-. 4urat Pekeliling 3m 6ilangan - a"un !005 - <aris Panduan
Penilaian &isiko Keselamatan Maklumat 4ektor 3wam
>. 4urat Pekeliling 3m 6ilangan ) a"un !00- - Pengurusan
Pengendalian $nsiden Keselamatan eknologi Maklumat dan
Komunikasi %$.' 4ektor 3wam
2. 4urat 3ra"an Ketua 4etiausa"a 5egara - ?angka"-?angka"
Untuk Memperkuku"kan Keselamatan &angkaian 4etempat
anpa @ayar %@ireless ?o,al 3rea 5etwork' di 3gensi-3gensi
Kerajaan yang bertarik" !0 Oktober !00-
A. 4urat 3ra"an Ketua Pengara" M3MPU - ?angka"-?angka"
Mengenai Penggunaan Mel =lektronik di 3gensi-3gensi Kerajaan
yang bertarik" 1 9un !00>
10. 4urat 3ra"an Ketua Pengara" M3MPU - ?angka"-?angka"
Pemantapan Pelaksanaan 4istem Mel =lektronik +i 3gensi-
3gensi Kerajaan yang bertarik" !( 5o*ember !00>
11. 4urat Pekeliling 3m 6il. ! a"un !000 - Peranan 9awatankuasa-
jawatankuasa di 6awa" 9awatankuasa $ dan $nternet Kerajaan
%9$$K'
1!. 4urat Pekeliling Perbenda"araan 6il.!11AA5 %amba"an Pertama'
: ata,ara Penyediaan, Penilaian dan Penerimaan ender
1(. 4urat Pekeliling Perbenda"araan 6il. (11AA5 - Peraturan
Perole"an Perk"idmatan Perundingan
1). 3kta andatangan +igital 1AA>
15. 3kta &a"sia &asmi 1A>!
1-. 3kta 9enaya" Komputer 1AA>
1>. 3kta #ak .ipta %Pindaan' a"un 1AA>
12. 3kta Komunikasi dan Multimedia 1AA2
+K$. KPM /ersi !.0 !( 1 ! 1 !01! dari (2 (>

1A. Perinta"-Perinta" 3m
!0. 3ra"an Perbenda"araan
!1. 3ra"an eknologi Maklumat !00>
!!. <aris Panduan Keselamatan M3MPU !00)
!(. 4tandard Operating Pro,edure %4OP' $. KPM
!). 4urat Pekeliling 3m 6ilangan ( a"un !00A : <aris Panduan
Penilaian a"ap Keselamatan &angkaian dan 4istem $. 4ektor
3wam yang bertarik" 1> 5o*ember !00A
!5. 4urat 3ra"an Ketua Pengara" M3MPU : Pengurusan
Kesinambungan Perk"idmatan 3gensi 4ektor 3wam yang
bertarik" !! 9anuari !010
!-. 4urat 3ra"an Ketua Pengara" M3MPU : Pelaksanaan Pensijilan
M4 $4O1$=. !>0017!00> +alam 4ektor 3wam yang bertarik" !)
5o*ember !010
+K$. KPM /ersi !.0 !( 1 ! 1 !01! dari (2 (2

Dkictv2 0-Lengkap

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Dkictv2 0-Lengkap

Uploaded by

Copyright:

Available Formats

DASAR KESELAMATAN ICT (DKICT) VERSI 2.

You might also like