Dasar Keselamatan ICT JPA 2010

Salam 1 Malaysia,
Era teknologi maklumat yang semakin pesat dengan perkongsian maklumat secara
global dan boleh dicapai di hujung jari merupakan senario yang tidak boleh disangkal oleh
sektor awam pada hari ini. Tambahan pula teknologi maklumat dan komunikasi (ICT) adalah
sebagai enabler kepada tadbir urus negara, organisasi, penyampaian perkhidmatan kepada
rakyat serta kegunaan dalam kehidupan harian. Jabatan Perkhidmatan Awam (JPA) selaku
peneraju perubahan perkhidmatan awam telah membangunkan sistem Pengurusan Sumber
Manusia Sektor Awam yang komprehensif, inovatif dan sistematik dengan penggunaan ICT.

Saya percaya, isu keselamatan ICT yang kritikal pada masa kini perlu ditangani secara
rasional di semua peringkat agensi dan jabatan. Tindakan perlu diambil bagi mengenal pasti,
meneliti dan menangani isu-isu ini supaya perancangan dan pelaksanaan semua program ICT
dapat digerakkan dengan licin dan berkesan. Dokumen ini disediakan bagi memastikan semua
pembangunan ICT dapat dilaksanakan dengan lancar, bersandarkan kepada arahan dan garis
panduan terkini yang telah dikeluarkan oleh agensi pusat seperti Unit Pemodenan Tadbiran dan
Perancangan Pengurusan Malaysia (MAMPU).

Penghasilan Dasar Keselamatan ICT ini bertujuan untuk memberikan garis panduan
serta pendedahan kepada penggunaan piawai (standard) keselamatan yang ditetapkan, bukan
sahaja kepada warga JPA malah kepada semua pengguna sistem aplikasi JPA terutamanya
Sistem Maklumat Pengurusan Sumber Manusia (HRMIS). Dasar ini diharap dapat menerapkan
amalan-amalan terbaik serta memperluaskan kesedaran di kalangan penjawat awam seperti
mana disarankan di dalam dokumen ini.

PRAKATA
KETUA PENGARAH PERKHIDMATAN AWAM

Oleh yang demikian, sebagai warga JPA yang bertanggungjawab perlu peka kepada isu-
isu ICT pada masa kini supaya persediaan dan perancangan yang teliti perlu dimanafaatkan
bagi mengelakkan sebarang kesan negatif yang boleh menggugat kestabilan organisasi dan
seterusnya negara.

Saya yakin dengan adanya Dasar Keselamatan ICT peringkat JPA ini dapat meyakinkan
lagi pihak pelanggan JPA dalam urusan penyampaian perkhidmatan awam yang terbaik dan
cemerlang berteraskan profesionalisme, integriti dan teknologi. Tahniah kepada warga JPA
yang menyumbang secara langsung dan sebaliknya dalam menghasilkan DKICT versi 2.1
2010 ini.

Salam hormat,

Dato Sri Abu Bakar bin Haji Abdullah
Ketua Pengarah Perkhidmatan Awam
Malaysia

Assalamualaikum dan Salam Sejahtera,

Perkembangan yang pantas dalam sistem dan rangkaian komputer telah meluaskan
lagi penggunaan ICT bagi tujuan pengumpulan, penyelenggaraan, manipulasi dan penyaluran
maklumat. Komunikasi secara elektronik yang berterusan mengakibatkan keselamatan ICT dan
maklumat yang terkandung di dalamnya tidak boleh lagi disediakan dan diuruskan mengikut
kaedah lama.

Peningkatan kejadian penggodaman, pencerobohan dan serangan virus yang semakin
kompleks telah menimbulkan kesedaran pihak JPA untuk membendungnya daripada berlaku
dan seterusnya melumpuhkan sistem komputer JPA. Keselamatan ICT adalah kritikal dalam
perkhidmatan sektor awam. Oleh sebab itu, JPA telah menyediakan Dasar Keselamatan ICT
JPA (DKICT) yang bertujuan untuk memberi kesedaran kepada warga JPA betapa pentingnya
menjaga maklumat dengan selamat.

Secara ironinya, aspek penguatkuasaan yang masih lemah dan tidak menyeluruh dalam
perundangan berkaitan ICT di Malaysia memberi ruang kepada penyalahgunaan dan insiden
keselamatan yang berbahaya dalam perkhidmatan sektor awam secara umumnya dan JPA
khususnya. Dasar-dasar yang telah digariskan dan pembentukan jawatankuasa yang
bertanggungjawab diharap dapat membantu menangani isu berorientasikan strategi dan
teknikal dengan kaedah mengenal pasti, menganalisis, mentafsir ancaman dan mencadangkan
pelan tindakan yang efektif untuk kebaikan JPA.

KATA PENGANTAR
TIMBALAN KETUA PENGARAH PERKHIDMATAN AWAM
(OPERASI)

Saya yakin DKICT ini dapat dijadikan sebagai panduan oleh semua warga JPA.
Pendedahan sebegini dapat memberi kesedaran kepada warga JPA tentang kepentingan
membudayakan sistem keselamatan ICT yang terbaik dan seterusnya menjamin keselamatan
segala maklumat dan aset ICT yang berharga dan penting bagi JPA. Tahniah kepada warga JPA
yang terlibat secara langsung atau sebaliknya dalam penghasilan DKICT JPA ini.

Salam hormat,

Dato Dr Ismail bin Alias
Timbalan Ketua Pengarah Perkhidmatan Awam (Operasi)
Malaysia

Versi:
2.1
Muka Surat:
i dari v
DASAR KESELAMATAN ICT JPA
Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
02 Disember 2010

KANDUNGAN

BIL. PERKARA MUKA SURAT
1. PENGENALAN 1
2. OBJEKTIF DKICT JPA 1
3. PENYATAAN DKICT JPA 2
4. SKOP DKICT JPA 4
5.
6.
PRINSIP-PRINSIP DKICT JPA
PENILAIAN RISIKO KESELAMATAN ICT
6
8
7. KAWALAN-KAWALAN

KAWALAN 01 DASAR KESELAMATAN ICT
Objektif 9
K01/01 Pelaksanaan Dasar 9
K01/02 Penyebaran Dasar 9
K01/03 Penyelenggaraan Dasar 9
K01/04 Pematuhan Dasar 10

KAWALAN 02 - ORGANISASI KESELAMATAN
Objektif 11
K02/01 Infrastruktur Organisasi Dalaman 11
K02/01/01 Ketua Pengarah Perkhidmatan Awam (KPPA) 11
K02/01/02 Ketua Pegawai Maklumat (CIO) 11
K02/01/03 Pegawai Keselamatan ICT (ICTSO) 12
K02/01/04 Pengurus ICT 14
K02/01/05 Pentadbir Sistem 15
Pentadbir Rangkaian 16
Pentadbir Pangkalan Data 16
Pentadbir Laman Web 17
Pentadbir Pusat Data 19
Pentadbir Sistem Aplikasi 19
Pentadbir E-mel 21
K02/01/06 Pengguna 23
K02/01/07 Jawatankuasa Pemandu ICT (JPICT) JPA 25
K02/01/08 Jawatankuasa Keselamatan ICT (JKICT) JPA 27
K02/01/09 Pasukan Tindak Balas Insiden Keselamatan
ICT (JPACERT)
29
K02/02 Pihak Luaran 30
K02/02/01 Keperluan Keselamatan Dalam Kontrak ICT 30

Versi:
2.1
Muka Surat:
ii dari v
02 Disember 2010

KAWALAN 03 - PENGURUSAN ASET ICT
Objektif 31
K03/01 Akauntabiliti Aset ICT 31
K03/01/01 Inventori Aset ICT 31
K03/02 Pengelasan Maklumat 32
K03/03 Pengendalian Maklumat 32

KAWALAN 04 KESELAMATAN SUMBER MANUSIA
Objektif 34
K04/01 Sebelum Perkhidmatan 34
K04/02 Semasa Perkhidmatan 35
K04/02/01 Program Kesedaran Keselamatan ICT 36
K04/03 Bertukar Atau Tamat Perkhidmatan 36

KAWALAN 05 - KESELAMATAN FIZIKAL DAN PERSEKITARAN
Objektif 37
K05/01 Keselamatan Kawasan 37
K05/01/01 Kawasan Larangan Lokasi ICT 37
K05/01/02 Kawalan Masuk Fizikal 38
K05/01/03 Kawasan Larangan 39
K05/02 Keselamatan Peralatan 40
K05/02/01 Peralatan ICT 40
K05/02/02 Media Storan 42
K05/02/03 Media Tandatangan Digital 43
K05/02/04 Media Perisian dan Aplikasi 43
K05/02/05 Perkakasan Tanpa Penyeliaan (Unattended
Equipment)
44
K05/02/06 Peralatan di Luar Premis 44
K05/02/07 Pelupusan 45
K05/02/08 Penyelenggaraan 46
K05/03 Kawalan Persekitaran 47
K05/03/01 Kawalan Persekitaran 47
K05/03/02 Kabel Rangkaian 48
K05/03/03 Bekalan Kuasa 48
K05/03/04 Prosedur Kecemasan 49
K05/04 Keselamatan Sistem Dokumentasi 49

Versi:
2.1
Muka Surat:
iii dari v
02 Disember 2010

KAWALAN 06 - PENGURUSAN OPERASI DAN KOMUNIKASI
Objektif 51
K06/01 Prosedur Operasi 51
K06/01/01 Pengendalian Dokumen Prosedur Operasi 51
K06/01/02 Pengurusan Perubahan 51
K06/01/03 Pengasingan Tugas dan Tanggungjawab 52
K06/01/04 Prosedur Pengurusan Insiden 53
K06/02 Perancangan dan Penerimaan Sistem 54
K06/02/01 Perancangan Kapasiti 54
K06/02/02 Penerimaan Sistem 54
K06/03 Perlindungan dari Perisian Berbahaya 54
K06/03/01 Perlindungan dari Perisian Berbahaya 54
K06/04 Housekeeping 55
K06/04/01 Backup 55
K06/05 Pengurusan Rangkaian 56
K06/06 Pengurusan Media 57
K06/06/01 Media Mudah Alih 57
K06/06/02 Prosedur Pengendalian Media 57
K06/07 Pengurusan Penghantaran dan Penerimaan
Maklumat
58
K06/08 Pengurusan Mel Elektronik (E-mel) 59
K06/09 Perkhidmatan E-Dagang 60
K06/10 Maklumat Umum 61
K06/11 Pengurusan Penyampaian Perkhidmatan
Pembekal, Pakar Runding dan Pihak-Pihak Lain
Yang Terlibat
61
K06/12 Pemantauan 62
K06/12/01 Pemantauan 62
K06/12/02 Pengauditan dan Forensik ICT 63
K06/12/03 Jejak Audit 64
K06/12/04 Sistem Log 65

KAWALAN 07 - KAWALAN CAPAIAN
Objektif 67
K07/01 Kawalan Capaian 67
K07/02 Pengurusan Capaian Pengguna 67
K07/02/01 Pendaftaran Pengguna 67
K07/02/02 Hak Capaian (Privilege) 68
K07/02/03 Pengurusan Kata Laluan 68
K07/02/04 Clear Desk dan Clear Screen 70

Versi:
2.1
Muka Surat:
iv dari v
02 Disember 2010

K07/03 Capaian Sistem Pengoperasian

70
K07/03/01 Capaian Sistem Pengoperasian 70
K07/03/02 Kad Pintar 72
K07/04 Capaian Aplikasi dan Maklumat 73
K07/05 Capaian Jarak Jauh 74
K07/06 Kawalan Capaian Rangkaian 75
K07/06/01 Capaian Internet 75

KAWALAN 08 PEROLEHAN, PEMBANGUNAN DAN
PENYELENGGARAAN SISTEM

Objektif 76
K08/01 Kawalan Prosesan Aplikasi 76
K08/01/01 Pengesahan Data Input 76
K08/01/02 Kawalan Prosesan 76
K08/01/03 Pengesahan Data Output 77
K08/02 Kawalan Kriptografi 77
K08/03 Keselamatan Fail Sistem 77
K08/04 Keselamatan Dalam Proses Pembangunan Dan
Sokongan
78
K08/04/01 Prosedur Perubahan 78
K08/04/02 Pembangunan Secara Outsource 78
K08/05 Kawalan dari Ancaman Teknikal 78

KAWALAN 09 - PENGURUSAN PENGENDALIAN INSIDEN
KESELAMATAN

Objektif 80
K09/01 Mekanisme Pelaporan Insiden Keselamatan ICT 80
K09/02 Prosedur Pengendalian Insiden Keselamatan ICT 81

KAWALAN 10 - PENGURUSAN KESINAMBUNGAN
PERKHIDMATAN

Objektif 82
K10/01 Pelan Kesinambungan Perkhidmatan 82
K10/02 Pengurusan Kesinambungan Perkhidmatan 83

Versi:
2.1
Muka Surat:
v dari v
02 Disember 2010

KAWALAN 11 PEMATUHAN
Objektif 85
K11/01 Pematuhan Dasar 85
K11/02 Pematuhan dengan Dasar, Piawaian dan
Keperluan Teknikal
85
K11/03 Pematuhan Keperluan Audit 85
K11/04 Keperluan Perundangan dan Peraturan 86
K11/05 Pelanggaran Perundangan 87

8.

9.
GLOSARI

SENARAI LAMPIRAN

Lampiran 1 Surat Akuan Pematuhan
Dasar Keselamatan ICT (DKICT) JPA

Lampiran 2 Ringkasan Proses Kerja Pelaporan Insiden
Keselamatan ICT JPA

Lampiran 3 Permohonan Kebenaran Untuk Menggunakan
Modem Peribadi Bagi Tujuan Sambungan Ke
Internet

88

95

96

98

Versi:
2.1
Muka Surat:
1 dari 98

02 Disember 2010

PENGENALAN

Jabatan Perkhidmatan Awam (JPA) Malaysia berperanan untuk menyediakan perkhidmatan bagi
perancangan, pembangunan dan pengurusan sumber manusia sektor awam yang cemerlang
berteraskan profesionalisme, integriti dan teknologi. Dokumen ini diguna pakai oleh semua
kakitangan, pengguna dan pembekal yang menyediakan perkhidmatan, mencapai dan
menggunakan aset dan sistem aplikasi Information and Communication Technology (ICT) di
JPA. Dasar Keselamatan ICT (DKICT) JPA disediakan berpandu kepada piawai antarabangsa
iaitu ISO/IEC 27001:2005.

OBJEKTIF DKICT JPA

Objektif utama Dasar Keselamatan ICT JPA (DKICT) adalah seperti berikut:

1. Memastikan kelancaran operasi jabatan yang berlandaskan ICT dengan mencegah serta
meminimumkan kerosakan atau kemusnahan aset ICT jabatan;

2. Melindungi kepentingan pihak-pihak yang bergantung kepada sistem maklumat
daripada kesan kegagalan atau kelemahan dari segi kerahsiaan, integriti, tidak boleh
disangkal, kebolehsediaan dan kesahihan (CIA
3
);

3. Meminimumkan kos penyelenggaraan ICT akibat ancaman dan penyalahgunaan;

4. Meningkatkan tahap kesedaran keselamatan ICT kepada para kakitangan, pengguna
dan pembekal;

5. Memperkemaskan pengurusan risiko;

6. Mencegah penyalahgunaan atau kecurian aset ICT jabatan; dan

7. Melindungi aset ICT daripada penyelewengan oleh kakitangan, pengguna dan pembekal.

Versi:
2.1
Muka Surat:
2 dari 98

02 Disember 2010

PENYATAAN DASAR KESELAMATAN ICT JPA

Keselamatan ditakrifkan sebagai keadaan yang bebas daripada ancaman dan risiko yang tidak
boleh diterima. Keselamatan adalah suatu proses yang berterusan. Ia melibatkan aktiviti
berkala yang mesti dilakukan dari semasa ke semasa untuk menjamin keselamatan kerana
ancaman dan kelemahan sentiasa berubah.

Keselamatan ICT adalah bermaksud keadaan bagi segala urusan menyedia dan membekalkan
perkhidmatan yang berasaskan kepada sistem ICT berjalan secara berterusan. Terdapat empat
(4) komponen asas keselamatan ICT, iaitu:

1. Melindungi maklumat rahsia rasmi dan maklumat rasmi JPA dari capaian tanpa kuasa
yang sah;

2. Menjamin setiap maklumat adalah tepat dan sempurna;

3. Memastikan ketersediaan maklumat apabila diperlukan oleh pengguna; dan

4. Memastikan akses hanya kepada pengguna-pengguna yang sah atau penerimaan
maklumat dari sumber-sumber yang sah.

Versi:
2.1
Muka Surat:
3 dari 98

02 Disember 2010

DKICT JPA merangkumi perlindungan ke atas semua bentuk maklumat elektronik bertujuan
untuk menjamin keselamatan maklumat tersebut dan kebolehsediaan kepada semua pengguna
yang dibenarkan. Ciri-ciri utama keselamatan maklumat adalah seperti berikut:

1. Kerahsiaan maklumat tidak boleh didedahkan sewenang-wenangnya atau dibiarkan
akses tanpa kebenaran.

2. Integriti Data dan maklumat hendaklah tepat, lengkap dan kemas kini. Ia hanya
boleh diubah dengan cara yang dibenarkan.

3. Tidak boleh disangkal Punca data dan maklumat hendaklah dari punca yang sah
dan tidak boleh disangkal.

4. Kesahihan Data dan maklumat hendaklah dijamin kesahihannya.

5. Kebolehsediaan Data dan maklumat hendaklah boleh diakses pada bila-bila masa.

Selain itu, langkah-langkah ke arah keselamatan ICT hendaklah bersandarkan kepada penilaian
yang bersesuaian dengan perubahan semasa terhadap kelemahan semula jadi aset ICT,
ancaman yang wujud akibat daripada kelemahan tersebut, risiko yang mungkin timbul dan
langkah-langkah pencegahan sesuai yang boleh diambil untuk menangani risiko berkenaan.

Versi:
2.1
Muka Surat:
4 dari 98

02 Disember 2010

SKOP DKICT JPA

Sistem ICT JPA terdiri daripada organisasi, manusia, perisian, perkakasan, telekomunikasi,
kemudahan ICT dan data. JPA telah menetapkan keperluan-keperluan asas keselamatan
seperti berikut:

1. Data dan maklumat hendaklah boleh diakses secara berterusan dengan cepat, tepat,
mudah dan dengan cara yang boleh dipercayai. Ini adalah amat perlu bagi
membolehkan keputusan dan penyampaian perkhidmatan dilakukan dengan
berkesan dan berkualiti.

2. Semua data dan maklumat hendaklah dijaga kerahsiaannya dan dikendalikan sebaik
mungkin pada setiap masa bagi memastikan kesempurnaan dan melindungi
kepentingan JPA.

Bagi menentukan sistem ICT ini terjamin keselamatannya sepanjang masa, DKICT JPA ini
merangkumi perlindungan ke atas semua bentuk maklumat ICT kerajaan yang dimasuk,
diwujud, dimusnah, disimpan, dijana, dicetak, diakses, diedar dan yang dibuat salinan. Ini
akan dilakukan melalui penubuhan dan penguatkuasaan sistem kawalan dan prosedur dalam
pengendalian semua perkara-perkara berikut:

1. Data dan maklumat
Semua data dan maklumat yang disimpan atau digunakan di pelbagai media atau
peralatan ICT.

2. Peralatan ICT
Semua peralatan komputer dan peripheral seperti server, firewall, komputer
peribadi, stesen kerja, kerangka utama, pencetak, peralatan multimedia dan alat-alat
prasarana seperti Uninterruptible Power Supply (UPS), punca kuasa dan lain-lain.

Versi:
2.1
Muka Surat:
5 dari 98

02 Disember 2010

3. Media storan
Semua media storan dan peralatan yang berkaitan seperti disket, storan mudah alih,
kartrij, CD-ROM, pita, cakera, pemacu cakera, pemacu pita dan lain-lain.

4. Media komunikasi
Semua peralatan berkaitan komunikasi seperti pelayan rangkaian, gateway, bridge,
router, peralatan PABX, wireless LAN, talian ISDN, peralatan video conferencing,
modem, PCMCIA, kabel rangkaian, network interface card (NIC), switches, hub dan
lain-lain.

5. Perisian
Semua jenis perisian yang digunakan untuk mengendali, memproses, menyimpan
dan menghantar data atau maklumat. Ini termasuklah sistem aplikasi seperti eSILA,
POWER, HRMIS, EPSA dan sistem pengoperasian seperti Windows, LINUX dan
perisian utiliti, perisian komunikasi, sistem pengurusan pangkalan data, fail program,
fail data dan lain-lain.

6. Dokumentasi
Semua dokumen (prosedur dan manual pengguna) yang berkaitan dengan aset ICT,
pemasangan dan pengoperasian peralatan dan perisian, sama ada dalam bentuk
elektronik atau bukan elektronik.

7. Premis Komputer dan Komunikasi
Semua kemudahan serta premis yang diguna untuk menempatkan perkara 1 hingga
6 di atas.

8. Manusia
Semua pengguna infrastruktur ICT JPA yang dibenarkan, termasuk warga JPA,
pengguna dan pembekal.

Versi:
2.1
Muka Surat:
6 dari 98

02 Disember 2010

PRINSIP-PRINSIP DKICT JPA

Prinsip-prinsip yang menjadi asas kepada DKICT JPA adalah seperti berikut:

1. Akses Atas Dasar Perlu Mengetahui
Akses terhadap penggunaan aset ICT hanya diberikan untuk tujuan spesifik dan
dihadkan kepada pengguna tertentu atas dasar perlu mengetahui sahaja. Ini
bermakna akses hanya akan diberikan sekiranya peranan atau fungsi pengguna
memerlukan maklumat tersebut.

2. Hak Akses Minimum
Hak akses kepada pengguna hanya diberi pada tahap yang paling minimum iaitu
untuk membaca dan/atau melihat sahaja. Kelulusan khas diperlukan untuk
membolehkan pengguna mewujud, menyimpan, mengemas kini, mengubah dan
menghapuskan sesuatu data atau maklumat.

3. Kebertanggungjawaban / Akauntabiliti
Semua pengguna adalah dipertanggungjawabkan ke atas semua tindakannya
terhadap aset ICT. Tanggungjawab ini perlu dinyatakan dengan jelas sesuai dengan
tahap sensitiviti sesuatu sumber ICT. Bagi menentukan tanggungjawab ini dipatuhi,
sistem ICT hendaklah mampu menyokong kemudahan mengesan atau mengesahkan
bahawa pengguna sistem maklumat boleh dipertanggungjawabkan atas tindakan
mereka.

4. Pengasingan
Tugas mewujud, menghapus, mengemas kini, mengubah dan mengesahkan data
perlu diasingkan bagi mengelakkan daripada capaian yang tidak dibenarkan
(unauthorized access) serta melindungi aset ICT daripada kesilapan, kebocoran
maklumat terperingkat atau dimanipulasikan. Pengasingan juga merangkumi data,
operasi, pangkalan data dan rangkaian.

Versi:
2.1
Muka Surat:
7 dari 98

02 Disember 2010

5. Pengauditan
Tujuan aktiviti ini ialah untuk mengenal pasti insiden keselamatan aset ICT atau
keadaan yang mengancam keselamatan aset ICT. Dengan itu, semua log yang
berkaitan dengan aset ICT perlu disimpan bagi tujuan jejak audit.

6. Pematuhan
DKICT JPA hendaklah dipatuhi bagi mengelakkan sebarang bentuk pelanggaran ke
atasnya yang boleh membawa ancaman kepada keselamatan ICT.

7. Pemulihan
Pemulihan sistem amat perlu untuk memastikan kebolehsediaan dan kebolehcapaian
bagi meminimumkan sebarang gangguan atau kerugian akibat daripada
ketidaksediaan dan ketidakbolehcapaian. Pemulihan boleh dilakukan melalui proses
penduaan (backup) dan mewujudkan Pelan Pemulihan Bencana / Pelan
Kesinambungan Perkhidmatan (Business Resumption Planning, BRP).

8. Saling Bergantung
Setiap prinsip adalah saling lengkap-melengkapi dan bergantung antara satu sama
lain. Dengan itu tindakan mempelbagaikan pendekatan dalam menyusun dan
mencorak sebanyak mungkin mekanisme keselamatan, dapat menjamin keselamatan
yang maksimum.

Versi:
2.1
Muka Surat:
8 dari 98

02 Disember 2010

PENILAIAN RISIKO KESELAMATAN ICT

JPA hendaklah mengambil kira kewujudan risiko ke atas aset ICT akibat dari ancaman dan
vulnerability yang semakin meningkat hari ini. Justeru itu JPA perlu mengambil langkah-langkah
proaktif dan bersesuaian untuk menilai tahap risiko aset ICT supaya pendekatan dan keputusan
yang paling berkesan dikenal pasti bagi menyediakan perlindungan dan kawalan ke atas aset ICT.

JPA hendaklah melaksanakan penilaian risiko keselamatan ICT secara berkala dan berterusan
bergantung kepada perubahan teknologi dan keperluan keselamatan ICT. Seterusnya mengambil
tindakan susulan dan/atau langkah-langkah bersesuaian untuk mengurangkan atau mengawal
risiko keselamatan ICT berdasarkan penemuan penilaian risiko.

Penilaian risiko keselamatan ICT hendaklah dilaksanakan ke atas sistem maklumat JPA
termasuklah aplikasi, perisian, perkakasan, pelayan, rangkaian, pangkalan data, sumber manusia,
proses dan prosedur. Penilaian risiko ini hendaklah juga dilaksanakan di premis yang
menempatkan sumber-sumber teknologi maklumat termasuklah pusat data, bilik media storan,
kemudahan utiliti dan sistem-sistem sokongan lain.

JPA bertanggungjawab melaksanakan dan menguruskan risiko keselamatan ICT selaras dengan
keperluan Surat Pekeliling Am Bilangan 6 Tahun 2005: Garis Panduan Penilaian Risiko
Keselamatan Maklumat Sektor Awam.

JPA perlu mengenal pasti tindakan yang sewajarnya bagi menghadapi kemungkinan risiko berlaku
dengan memilih tindakan berikut:
1. Mengurangkan risiko dengan melaksanakan kawalan yang bersesuaian;
2. Menerima dan/atau bersedia berhadapan dengan risiko yang akan terjadi selagi ia
memenuhi kriteria yang telah ditetapkan oleh pengurusan atasan;
3. Mengelak dan/atau mencegah risiko dari terjadi dengan mengambil tindakan yang
dapat mengelak dan/atau mencegah berlakunya risiko; dan
4. Memindahkan risiko ke pihak lain seperti pembekal, pakar runding dan pihak-pihak lain
yang berkepentingan.

Versi:
2.1
Muka Surat:
9 dari 98

02 Disember 2010

Kawalan 01: Dasar Keselamatan ICT

Objektif

DKICT JPA ini diwujudkan untuk melindungi aset ICT bagi memastikan kelancaran operasi
jabatan secara berterusan, meminimumkan kerosakan atau kemusnahan aset-aset ICT melalui
usaha pencegahan atau mengurangkan kesan kejadian yang tidak diingini berdasarkan kepada
ciri-ciri keselamatan iaitu kerahsiaan, integriti, tidak boleh disangkal, kebolehsediaan dan
kesahihan.

K01/01 Pelaksanaan Dasar
Pelaksanaan dasar ini akan dijalankan oleh Ketua
Pengarah Perkhidmatan Awam (KPPA) dibantu oleh
Jawatankuasa Pemandu ICT JPA (JPICT) yang terdiri
daripada Ketua Pegawai Maklumat (CIO), Pegawai
Keselamatan ICT (ICTSO) dan semua Pengarah
Bahagian.

KPPA
K01/02 Penyebaran Dasar
Dasar ini perlu disebarkan kepada semua yang terlibat
dengan infrastruktur ICT JPA meliputi warga JPA,

ICTSO
K01/03 Penyelenggaraan Dasar
DKICT JPA adalah tertakluk kepada semakan dan
pindaan dari semasa ke semasa selaras dengan
perubahan teknologi, aplikasi, prosedur, perundangan
dan kepentingan sosial. Berikut adalah prosedur yang
berhubung dengan penyelenggaraan DKICT JPA:

a. Mengenal pasti dan menentukan perubahan yang
diperlukan;

ICTSO, JKICT

Versi:
2.1
Muka Surat:
10 dari 98

02 Disember 2010

b. Mengemukakan cadangan pindaan secara bertulis
kepada ICTSO untuk tindakan dan pertimbangan
Jawatankuasa Keselamatan ICT (JKICT);

c. Memaklumkan perubahan yang telah dipersetujui
oleh JKICT kepada semua pihak iaitu kakitangan,
pengguna dan pembekal; dan

d. Menyemak semula dokumen sekurang-kurangnya
setahun sekali atau mengikut keperluan bagi
memastikan dokumen sentiasa relevan.

K01/04 Pematuhan Dasar

DKICT JPA mestilah dipatuhi oleh semua warga JPA,

Warga JPA,
Pengguna,
Pembekal

02 Disember 2010

Versi:
2.1
Muka Surat:
11 dari 98


Kawalan 02: Organisasi Keselamatan

Objektif

Menerangkan peranan dan tanggungjawab semua pihak yang terlibat dengan lebih jelas dan
teratur dalam mencapai objektif DKICT JPA.

K02/01 Infrastruktur Organisasi Dalaman
K02/01/01 Ketua Pengarah Perkhidmatan Awam (KPPA)
Peranan dan tanggungjawab KPPA adalah seperti berikut:

a. Memastikan semua pengguna memahami
peruntukan-peruntukan di bawah DKICT JPA;

b. Memastikan semua pengguna mematuhi DKICT JPA;

c. Memastikan semua keperluan jabatan seperti sumber
kewangan, sumber kakitangan dan perlindungan
keselamatan adalah mencukupi; dan

d. Program keselamatan ICT dilaksanakan seperti yang
ditetapkan di dalam DKICT JPA.

KPPA
K02/01/02 Ketua Pegawai Maklumat (CIO)
Jawatan Ketua Pegawai Maklumat (CIO) adalah
disandang oleh Timbalan Ketua Pengarah Perkhidmatan
Awam (Operasi).

Peranan dan tanggungjawab CIO adalah seperti berikut:

a. Bertanggungjawab ke atas perkara-perkara yang
berkaitan dengan keselamatan ICT JPA;

CIO
02 Disember 2010

Versi:
2.1
Muka Surat:
12 dari 98


b. Bertanggungjawab menyelaras dan mengurus pelan
tindakan dan program keselamatan seperti
penyediaan DKICT JPA, pelan latihan dan kesedaran
pengguna, pengurusan risiko dan pengauditan; dan

c. Menentukan keperluan keselamatan ICT.

K02/01/03 Pegawai Keselamatan ICT (ICTSO)
Jawatan Pegawai Keselamatan ICT (ICTSO) adalah
disandang oleh Timbalan Pengarah Bahagian Pengurusan
Maklumat.

Peranan dan tanggungjawab ICTSO adalah seperti
berikut:

a. Mempengerusikan Jawatankuasa Keselamatan ICT
(JKICT);

b. Mengurus keseluruhan program keselamatan ICT
JPA;

c. Menguatkuasakan pelaksanaan DKICT JPA di semua
bahagian di JPA;

d. Menjalankan pengurusan risiko dan audit
keselamatan ICT berpandukan dokumen Malaysian
Public Sector Management of Information and
Communications (MyMIS) untuk mengenal pasti
ketidakpatuhan kepada DKICT JPA;

e. Mencadangkan langkah-langkah pengukuhan bagi
mematuhi dasar-dasar berkaitan keselamatan ICT

ICTSO
02 Disember 2010

Versi:
2.1
Muka Surat:
13 dari 98


JPA;

f. Melaporkan insiden keselamatan ICT kepada Pasukan
Tindak Balas Insiden Keselamatan ICT Kerajaan
(GCERT MAMPU) dan seterusnya membantu dalam
penyiasatan atau pemulihan;

g. Menjalankan program-program kesedaran mengenai
keselamatan ICT;

h. Menyedia dan menyebarkan amaran-amaran yang
sesuai terhadap kemungkinan berlaku ancaman
kepada keselamatan ICT dan menyediakan khidmat
nasihat serta langkah pemulihan yang bersesuaian;

i. Melaporkan insiden keselamatan ICT kepada CIO
bagi insiden yang memerlukan Pelan Kesinambungan
Perkhidmatan (Business Resumption Planning, BRP);

j. Memastikan pematuhan DKICT JPA oleh pihak luaran
seperti perunding, kontraktor dan pembekal yang
mencapai dan menggunakan aset ICT JPA untuk
tujuan penyelenggaraan, pemasangan, naik taraf
dan sebagainya;

k. Menyemak, mengkaji dan menyediakan laporan
berkaitan dengan isu-isu keselamatan ICT;

l. Memastikan DKICT JPA dikemas kini sesuai dengan
perubahan teknologi, arahan jabatan dan ancaman-
ancaman dari semasa ke semasa; dan

m. Memastikan Pelan Strategik ICT JPA mengandungi
02 Disember 2010

Versi:
2.1
Muka Surat:
14 dari 98


aspek keselamatan ICT.

K02/01/04 Pengurus ICT
Jawatan Pengurus ICT disandang oleh tiga wakil iaitu
Pengarah Bahagian Pengurusan Maklumat (PBM),
Timbalan Pengarah Bahagian Pasca Perkhidmatan
(TPB(P)ICT) dan Timbalan Pengarah INTAN (ICT).

Peranan dan tanggungjawab Pengurus ICT adalah seperti
berikut:

a. Memastikan DKICT JPA dilaksanakan di bahagian;

b. Memastikan semua kakitangan, perunding,
kontraktor dan pembekal yang terlibat dengan
bahagian mematuhi dasar, piawaian dan garis
panduan keselamatan ICT dan seterusnya
melaporkan sebarang insiden berkaitan keselamatan
ICT;

c. Mengkaji semula aspek-aspek keselamatan fizikal
seperti kemudahan backup dan persekitaran pejabat
yang perlu, dengan persetujuan ICTSO;

d. Melaksanakan keperluan DKICT dalam operasi
semasa seperti berikut:

i. pelaksanaan sistem atau aplikasi baru sama
ada dibangunkan secara dalaman atau luaran
yang melibatkan teknologi baru;
ii. pembelian atau peningkatan perisian dan
sistem komputer;
iii. perolehan teknologi dan perkhidmatan

Pengurus ICT
02 Disember 2010

Versi:
2.1
Muka Surat:
15 dari 98


komunikasi baru; dan
iv. pelantikan pembekal, perunding atau rakan
usahasama.

e. Menyimpan rekod atau laporan terkini tentang
ancaman keselamatan. Sebarang perkara atau
penemuan ancaman terhadap keselamatan ICT
hendaklah dilaporkan kepada ICTSO;

f. Membangunkan garis panduan, prosedur dan
tatacara untuk aplikasi-aplikasi khusus dalam
jabatan yang mematuhi keperluan DKICT JPA;

g. Membangun, mengkaji semula dan mengemas kini
pelan kontingensi keselamatan ICT di bahagian; dan

h. Melaksanakan sistem kawalan capaian pengguna ke
atas aset-aset ICT JPA.

K02/01/05 Pentadbir Sistem
Pentadbir Sistem terdiri daripada seperti berikut:
a. Pentadbir Rangkaian;
b. Pentadbir Pangkalan Data;
c. Pentadbir Laman Web (Web Master);
d. Pentadbir Pusat Data;
e. Pentadbir Sistem Aplikasi; dan
f. Pentadbir E-mel.

02 Disember 2010

Versi:
2.1
Muka Surat:
16 dari 98


Pentadbir Rangkaian
Peranan dan tanggungjawab Pentadbir Rangkaian adalah
seperti berikut:

a. Memastikan rangkaian setempat (LAN) dan
rangkaian luas (WAN) di JPA beroperasi sepanjang
masa;

b. Memastikan semua peralatan dan perisian rangkaian
diselenggarakan dengan sempurna;

c. Merancang peningkatan infrastruktur, ciri-ciri
keselamatan dan prestasi rangkaian sedia ada;

d. Mengesan dan mengambil tindakan pembaikan
segera ke atas rangkaian yang tidak stabil;

e. Memantau penggunaan rangkaian dan melaporkan
kepada ICTSO sekiranya berlaku penyalahgunaan
sumber rangkaian;

f. Memastikan laluan trafik keluar dan masuk diuruskan
secara berpusat dan tidak membenarkan sambungan
ke rangkaian JPA secara tidak sah seperti melalui
peralatan modem dan dial-up; dan

g. Menyediakan zon khas rangkaian untuk tujuan
pengujian peralatan dan perisian rangkaian.

Pentadbir Pangkalan Data
Peranan dan tanggungjawab Pentadbir Pangkalan Data
adalah seperti berikut:

02 Disember 2010

Versi:
2.1
Muka Surat:
17 dari 98


a. Melaksanakan instalasi dan penambahbaikan
pangkalan data serta perisian lain yang berkaitan
dengan pangkalan data;

b. Memastikan pangkalan data boleh digunakan pada
setiap masa;

c. Melaksanakan pemantauan dan penyelenggaraan
yang berterusan ke atas pangkalan data;

d. Melaksanakan proses backup dan restoration ke atas
pangkalan data;

e. Memastikan aktiviti pentadbiran pangkalan data
seperti prestasi capaian, penyelesaian masalah
pangkalan data dan proses pengemaskinian data
dilaksanakan dengan teratur;

f. Melaksanakan polisi pengguna pangkalan data
berdasarkan kepada prinsip-prinsip DKICT;

g. Melaksanakan proses pembersihan data
(housekeeping) di dalam pangkalan data; dan

h. Melaporkan sebarang insiden pelanggaran dasar
keselamatan pangkalan data kepada ICTSO.

Pentadbir Laman Web (Web Master)
Peranan dan tanggungjawab Pentadbir Laman Web

a. Menerima kandungan laman web yang telah
disahkan kesahihan dan terkini daripada sumber

02 Disember 2010

Versi:
2.1
Muka Surat:
18 dari 98


yang sah;

b. Memantau prestasi capaian dan menjalankan
penalaan prestasi untuk memastikan akses yang
lancar;

c. Memantau dan menganalisis log untuk mengesan
sebarang capaian yang tidak sah atau cubaan
menggodam, menceroboh dan mengubahsuai muka
laman;

d. Menghadkan capaian Pentadbir Laman Web bahagian
ke web server;

e. Mengasingkan kandungan dan aplikasi atas talian
untuk capaian secara Intranet dan Internet ke portal
JPA;

f. Memastikan data-data SULIT tidak boleh disalin atau
dicetak oleh orang yang tidak berhak;

g. Memastikan reka bentuk web dibangunkan dengan
ciri-ciri keselamatan supaya tidak dicerobohi;

h. Melaksanakan housekeeping keselamatan terhadap
sistem pengoperasian dan perisian-perisian lain di
web server;

i. Melaksanakan proses backup dan restoration secara
berkala; dan

j. Melaporkan sebarang pelanggaran keselamatan
laman portal kepada ICTSO.
02 Disember 2010

Versi:
2.1
Muka Surat:
19 dari 98


Pentadbir Pusat Data
Peranan dan tanggungjawab Pentadbir Pusat Data adalah
seperti berikut:

a. Memastikan persekitaran fizikal dan keselamatan
pusat data berada dalam keadaan baik dan
selamat;

b. Memastikan keselamatan data dan sistem aplikasi
yang berada dalam Pusat Data;

c. Menjadualkan proses salinan (backup and
restore) ke atas data dan sistem secara berkala;

d. Menyediakan perancangan bencana mengikut
prinsip Pengurusan Kesinambungan Pekhidmatan
dalam DKICT;

e. Melaksanakan prinsip-prinsip DKICT; dan

f. Memastikan Pusat Data sentiasa beroperasi
mengikut polisi yang telah ditetapkan.

Pentadbir Sistem Aplikasi
Peranan dan tanggungjawab Pentadbir Sistem Aplikasi

a. Mengkaji cadangan pembangunan/penyelarasan
sistem/modul di JPA;

b. Membuat kajian semula serta memperbaiki sistem /
modul sedia ada di JPA;

02 Disember 2010

Versi:
2.1
Muka Surat:
20 dari 98


c. Membuat pertimbangan dan mengusulkan
cadangan pelaksanaan sistem / modul di JPA;

d. Membuat pemantauan dan penyelenggaraan
terhadap sistem / modul dari masa ke semasa;

e. Bertanggungjawab dalam aspek-aspek pelaksanaan
keseluruhan sistem / modul;

f. Menyediakan dokumentasi sistem / modul dan
manual pengguna;

g. Memastikan kelancaran operasi sistem aplikasi
supaya perkhidmatan yang disediakan tidak
terjejas;

h. Memastikan kod-kod program sistem aplikasi
adalah selamat daripada penggodam sebelum
sistem tersebut diaktifkan penggunaanya;

i. Memastikan virus pattern, hotfix dan patch yang
berkaitan dengan sistem aplikasi terkemaskini
supaya terhindar daripada ancaman virus dan
penggodam;

j. Mematuhi dan melaksanakan prinsip-prinsip DKICT
dalam pewujudkan akaun pengguna ke atas setiap
sistem aplikasi;

k. Memastikan sandaran (backup) sistem aplikasi dan
data yang berkaitan dengannya dibuat secara
berjadual;

02 Disember 2010

Versi:
2.1
Muka Surat:
21 dari 98


l. Menghadkan capaian Dokumentasi Sistem Aplikasi
bagi mengelakkan dari penyalahgunaannya;

m. Melaporkan kepada ICTSO jika berlakunya insiden
keselamatan ke atas sistem aplikasi di bawah
pentadbirannya; dan

n. Menjadi ahli Jawatankuasa Keselamatan ICT
(JKICT) JPA.

Pentadbir E-mel
Peranan dan tanggungjawab Pentadbir E-mel adalah
seperti berikut:

a. Menentukan setiap akaun yang diwujudkan atau
dibatalkan telah mendapat kelulusan Ketua
Jabatan. Pembatalan akaun (pengguna yang
berhenti, bertukar dan melanggar dasar dan
tatacara jabatan) perlulah dilakukan dengan segera
atas tujuan keselamatan maklumat;

b. Pentadbir e-mel boleh membekukan akaun
pengguna jika perlu semasa pengguna bercuti
panjang, berkursus atau menghadapi tindakan
tatatertib;

c. Menyimpan jejak audit selama sekurang-kurangnya
enam (6) bulan di dalam pelayan e-mel tertakluk
kepada kemampuan ruang storan;

d. Melaksanakan jadual penstoran dan pengarkiban e-
mel. Penyimpanan media storan sama ada di luar
atau di dalam kawasan mestilah mempunyai ciri-ciri

02 Disember 2010

Versi:
2.1
Muka Surat:
22 dari 98


keselamatan fizikal yang terjamin bagi mengelak
daripada sebarang risiko seperti kehilangan
maklumat;

e. Memastikan akaun e-mel pengguna sentiasa dalam
keadaan baik dan berfungsi;

f. Melaksanakan aktiviti housekeeping terhadap akaun
e-mel pengguna secara berkala;

g. Memastikan keselamatan akaun e-mel pengguna
dari ancaman luar dan dalam;

h. Memaklumkan kepada Ketua Jabatan sekiranya
mengalami insiden keselamatan seperti serangan
virus, serangan e-mail spamming, phishing,
pencerobohan e-mel dan penyalahgunaan e-mel.
Pentadbir e-mel hendaklah mengurus dan
menangani insiden yang berlaku dengan segera dan
sistematik sehingga keadaan kembali pulih;

i. Melaksanakan penyelenggaraan ke atas sistem e-
mel dengan baik dan menentukan segala patches
terkini yang disediakan oleh pihak pembekal
dipasang dan berfungsi dengan sempurna;

j. Memantau status storan e-mel Pengurusan Atasan
JPA dua (2) kali sehari dan memastikan e-mel
Pengurusan Atasan JPA sentiasa tersedia untuk
transaksi e-mel;

k. Memastikan semua peralatan sistem e-mel JPA
sentiasa aktif;

l. Menyediakan ruang mailbox yang mencukupi
02 Disember 2010

Versi:
2.1
Muka Surat:
23 dari 98


sekurang-kurangnya 100MB untuk setiap akaun e-
mel dan jumlah ini adalah bergantung kepada
keperluan pemilik akaun e-mel;

m. Menggunakan kaedah inovatif dalam penghantaran
fail bersaiz besar seperti menggunakan kaedah
muat-turun fail dengan memaklumkan lokasi
universal resource location (URL) atau kaedah
pemampatan untuk mengurangkan saiz fail dengan
memastikan ciri-ciri keselamatan dilaksanakan;

n. Memastikan perjanjian penyelenggaraan sistem e-
mel pada tahap premium (premium service) dengan
pembekal-pembekal yang berkelayakan;

o. Memastikan agar keupayaan mail relay hanya boleh
digunakan untuk server atau aplikasi dalaman JPA
sahaja bagi tujuan keselamatan;

p. Memastikan kemudahan membuat capaian e-mel
melalui pelbagai media seperti telefon mudah alih;
dan

q. Memastikan pengguna e-mel JPA berkemahiran
menggunakan e-mel melalui penyediaan dokumen
tatacara penggunaan e-mel JPA dan Internet JPA
serta pelaksanaan Kursus Pembudayaan ICT
(Penggunaan E-mel dan Internet) secara
berterusan.
K02/01/06 Pengguna
Peranan dan tanggungjawab pengguna adalah seperti
berikut:

a. Pengguna warga JPA dan pihak luaran perlu

Pengguna
02 Disember 2010

Versi:
2.1
Muka Surat:
24 dari 98


membaca, memahami dan mematuhi DKICT JPA;

b. Mengetahui dan memahami implikasi keselamatan
ICT kesan dari tindakannya;

c. Menjalani tapisan keselamatan sekiranya
dikehendaki berurusan dengan maklumat rasmi
terperingkat;

d. Melaksanakan prinsip-prinsip DKICT dan menjaga
kerahsiaan maklumat JPA;

e. Melaksanakan langkah-langkah perlindungan seperti
berikut:

i. menghalang pendedahan maklumat kepada
pihak yang tidak dibenarkan;
ii. memeriksa maklumat dan menentukan ia
tepat dan lengkap dari semasa ke semasa;
iii. menentukan maklumat sedia untuk
digunakan;
iv. menjaga kerahsiaan kata laluan;
v. mematuhi standard, prosedur, langkah dan
garis panduan keselamatan ICT yang
ditetapkan;
vi. melaksanakan peraturan berkaitan maklumat
terperingkat terutama semasa pewujudan,
pemprosesan, penyimpanan, penghantaran,
penyampaian, pertukaran dan pemusnahan;
dan
vii. menjaga kerahsiaan langkah-langkah
keselamatan ICT dari diketahui umum.

f. Melaporkan sebarang aktiviti yang mengancam
02 Disember 2010

Versi:
2.1
Muka Surat:
25 dari 98


keselamatan ICT kepada ICTSO dengan segera;

g. Menghadiri program-program kesedaran mengenai
keselamatan ICT; dan

h. Menandatangani surat akuan pematuhan DKICT JPA
seperti di Lampiran 1.

K02/01/07 Jawatankuasa Pemandu ICT (JPICT) JPA
Keanggotaan JPICT adalah seperti berikut:

Pengerusi:
CIO

Ahli:
Pengarah Bahagian Perkhidmatan
Pengarah Bahagian Pembangunan Organisasi
Pengarah INTAN
Pengarah Bahagian Pembangunan Modal Insan
Pengarah Bahagian Khidmat Pengurusan
Pangarah Bahagian Saraan
Pengarah Bahagian Pasca Perkhidmatan
Pengarah Bahagian Perancangan, Penyelidikan
dan Korporat
Pengarah Bahagian Pengurusan Psikologi
Pengarah Bahagian Pengurusan Maklumat
Timbalan Pengarah ICT Bahagian Pasca
Perkhidmatan (BP), BPM dan INTAN
Penasihat Undang-undang (PUU)
Ketua Unit Audit Dalam
ICTSO

CIO
02 Disember 2010

Versi:
2.1
Muka Surat:
26 dari 98


Ahli-ahli Jemputan (bila perlu):
MAMPU
Perbendaharaan

Urus Setia:
BPM

Bidang Kuasa:
a. Menetapkan arah tuju dan strategi ICT untuk
pelaksanaan ICT JPA;

b. Merancang, menyelaras dan memantau
pelaksanaan program/projek ICT JPA;

c. Menyelaras dan menyeragamkan pelaksanaan ICT
agar selari dengan Pelan Strategik Teknologi
Maklumat (PSTM) JPA dan PSTM Sektor Awam;

d. Meluluskan projek-projek ICT;

e. Mengikuti dan memantau perkembangan program
ICT serta memahami keperluan, masalah dan isu-
isu yang dihadapi dalam pelaksanaan ICT;

f. Merancang dan menentukan langkah-langkah
keselamatan ICT;

g. Mengemukakan perolehan ICT yang telah diluluskan
di peringkat JPICT JPA kepada Jawatankuasa
Teknikal ICT (JTICT) MAMPU untuk kelulusan;

h. Mengemukakan laporan kemajuan projek ICT yang
diluluskan kepada JTICT MAMPU; dan

02 Disember 2010

Versi:
2.1
Muka Surat:
27 dari 98


i. Menetapkan dasar dan prosedur pengurusan laman
web / portal JPA.

K02/01/08 Jawatankuasa Keselamatan ICT (JKICT) JPA
Keanggotaan JKICT adalah seperti berikut:

Pengerusi:
ICTSO

Ahli:
Ketua JPACERT
BPM, BP, dan INTAN
Pentadbir Sistem (System Administrator)
BPM, BP dan INTAN
Pentadbir Sistem Aplikasi
BPM, BP dan INTAN
Pentadbir Rangkaian (Network Administrator)
BPM, BP dan INTAN
Pentadbir Laman Web (Web Master)
BPM, BP dan INTAN
Pentadbir Pangkalan Data (Database Administrator)
BPM, BP dan INTAN
Pegawai Meja Bantuan (Helpdesk Officer)
BPM, BP dan INTAN
Penyelaras Program Latihan INTAN
Wakil Pegawai Keselamatan Jabatan JPA

Urus Setia:
BPM

ICTSO
02 Disember 2010

Versi:
2.1
Muka Surat:
28 dari 98


Bidang Kuasa:
a. Menyelenggara dokumen DKICT JPA;

b. Memantau tahap pematuhan DKICT JPA;

c. Menilai aspek teknikal keselamatan projek-projek
ICT;

d. Membangunkan garis panduan, prosedur dan
tatacara untuk aplikasi-aplikasi khusus dalam
jabatan yang mematuhi keperluan DKICT JPA;

e. Menyemak semula sistem ICT supaya sentiasa
mematuhi keperluan keselamatan dari semasa ke
semasa;

f. Menilai teknologi yang bersesuaian dan
mencadangkan penyelesaian terhadap keperluan
keselamatan ICT;

g. Memastikan DKICT JPA selaras dengan dasar-dasar
ICT kerajaan semasa;

h. Bekerjasama dengan JPACERT untuk mendapatkan
maklum balas dan insiden untuk tindakan
penyelenggaraan DKICT JPA; dan

i. Membincang tindakan yang melibatkan pelanggaran
DKICT JPA.

02 Disember 2010

Versi:
2.1
Muka Surat:
29 dari 98


K02/01/09 Pasukan Tindak Balas Insiden Keselamatan ICT (JPACERT)
Keanggotaan JPACERT adalah seperti berikut:

Pengerusi:
KPP(M)TP

Ahli :
Pegawai Teknologi Maklumat
BPM, BP dan INTAN
Penolong Pegawai Teknologi Maklumat
BPM, BP dan INTAN

Urus Setia:
BPM

Peranan dan tanggungjawab JPACERT adalah seperti
berikut:

a. Menerima dan mengesan aduan keselamatan ICT
dan menilai tahap dan jenis insiden;

b. Merekod dan menjalankan siasatan awal insiden
yang diterima;

c. Menangani tindak balas (response) insiden
keselamatan ICT dan mengambil tindakan baik pulih
minimum;

d. Menghubungi dan melaporkan insiden yang berlaku
kepada ICTSO dan GCERT MAMPU sama ada sebagai
input atau untuk tindakan seterusnya;

e. Merujuk agensi-agensi di bawah kawalannya untuk
mengambil tindakan pemulihan dan pengukuhan;

KPP(M)TP

02 Disember 2010

Versi:
2.1
Muka Surat:
30 dari 98


dan

f. Melaporkan sebarang maklumbalas dan insiden
keselamatan ICT kepada JKICT.

K02/02 Pihak Luaran
K02/02/01 Keperluan Keselamatan Dalam Kontrak ICT
Perkara yang perlu dipatuhi:

a. Mengenal pasti risiko ke atas keselamatan maklumat
dan memastikan pelaksanaan kawalan yang sesuai
ke atas maklumat tersebut;

b. Memastikan semua syarat keselamatan dinyatakan
dengan jelas dalam perjanjian dengan pihak ketiga;

c. Akses kepada aset ICT JPA perlu berlandaskan
perjanjian kontrak. Perjanjian yang dimeterai perlu
mematuhi perkara-perkara berikut:

i. DKICT JPA;
ii. Tapisan Keselamatan;
iii. Arahan Teknologi Maklumat 2007
(IT Instructions);
iv. Perakuan Akta Rahsia Rasmi 1972; dan
v. Hak Harta Intelek.

d. Menandatangani Surat Akuan Pematuhan DKICT JPA

Pengurus ICT,
Pentadbir Sistem

Versi:
2.1
Muka Surat:
31 dari 98

02 Disember 2010

Kawalan 03: Pengurusan Aset ICT

Objektif
Memberikan perlindungan keselamatan yang bersesuaian ke atas semua aset ICT JPA.
K03/01 Akauntabiliti Aset ICT
Memberi dan menyokong perlindungan yang bersesuaian ke atas semua aset ICT JPA.
K03/01/01 Inventori Aset ICT
Tanggungjawab yang perlu dipatuhi untuk memastikan
semua aset ICT dikawal dan dilindungi:

a. Memastikan semua aset ICT dikenal pasti, dikelas,
didokumen, diselenggara dan dilupuskan apabila tiba
masanya. Maklumat aset direkod dan dikemaskini
dalam Kad Daftar Harta Modal dan Inventori
sebagaimana mengikut Pekeliling Perbendaharaan Bil.5
Tahun 2007: Tatacara Pengurusan Aset Alih Kerajaan
(TPA);

b. Memastikan semua aset ICT mempunyai pemilik dan
dikendalikan oleh pengguna yang dibenarkan sahaja;

c. Memastikan semua pengguna mengesahkan
penempatan aset ICT yang ditempatkan di JPA;

d. Memastikan semua peraturan pengendalian aset ICT
dikenalpasti, didokumen dan dilaksanakan; dan

e. Setiap pengguna adalah bertanggungjawab ke atas
semua aset ICT di bawah kawalannya.

Pegawai Aset,
Pengguna

Versi:
2.1
Muka Surat:
32 dari 98

02 Disember 2010

K03/02 Pengelasan Maklumat
Maklumat hendaklah dikelaskan berasaskan nilai, keperluan
perundangan, tahap sensitiviti dan tahap kritikal kepada
JPA. Setiap maklumat yang dikelaskan mestilah mempunyai
peringkat keselamatan sebagaimana yang telah ditetapkan
di dalam dokumen Arahan Keselamatan seperti berikut:

a. Rahsia Besar;

b. Rahsia;

c. Sulit; atau

d. Terhad.

Pegawai Pengelas
K03/03 Pengendalian Maklumat
Aktiviti pengendalian maklumat seperti mengumpul,
memproses, menyimpan, menghantar, menyampai,
menukar dan memusnahkan hendaklah mengambil kira
langkah-langkah keselamatan berikut:

a. Menghalang pendedahan maklumat kepada pihak yang
tidak dibenarkan;

b. Memeriksa maklumat dan menentukan ia tepat dan
lengkap dari semasa ke semasa;

c. Menentukan maklumat sedia untuk digunakan;

d. Menjaga kerahsiaan kata laluan;

e. Mematuhi standard, prosedur, langkah dan garis
panduan keselamatan ICT yang ditetapkan;

Semua

Versi:
2.1
Muka Surat:
33 dari 98

02 Disember 2010

f. Melaksanakan peraturan maklumat terperingkat
terutama semasa pewujudan, pemprosesan,
penyimpanan, penghantaran, penyampaian, pertukaran
dan pemusnahan; dan

g. Menjaga kerahsiaan langkah-langkah keselamatan ICT
daripada diketahui umum.

Versi:
2.1
Muka Surat:
34 dari 98

02 Disember 2010

Kawalan 04: Keselamatan Sumber Manusia

Objektif

Memastikan semua sumber manusia yang terlibat termasuk warga JPA, pembekal, pakar
runding dan pihak-pihak yang berkepentingan memahami tanggungjawab dan peranan serta
meningkatkan pengetahuan dalam keselamatan aset ICT. Semua warga JPA hendaklah
mematuhi terma dan syarat perkhidmatan dan peraturan semasa yang berkuat kuasa.

K04/01 Sebelum Perkhidmatan
Memastikan warga JPA, pembekal, pakar runding dan
pihak-pihak lain yang berkepentingan memahami
tanggungjawab masing-masing ke atas keselamatan
aset ICT bagi meminimumkan risiko seperti kesilapan,
kecuaian, penipuan dan penyalahgunaan aset ICT.

Perkara yang mesti dipatuhi termasuk yang berikut:

a. Menyatakan dengan lengkap dan jelas peranan dan
tanggungjawab warga JPA, pembekal, pakar
runding dan pihak-pihak lain yang berkepentingan
ke atas keselamatan ICT sebelum, semasa dan
selepas perkhidmatan;

b. Menjalankan tapisan keselamatan untuk warga JPA,
pembekal, pakar runding dan pihak-pihak lain yang
berkepentingan selaras dengan keperluan
perkhidmatan; dan

c. Mematuhi terma dan syarat perkhidmatan yang
ditawarkan dan peraturan semasa yang berkuat
kuasa berdasarkan perjanjian yang telah

Pengurus ICT

Versi:
2.1
Muka Surat:
35 dari 98

02 Disember 2010

ditetapkan.

K04/02 Semasa Perkhidmatan
Memastikan warga JPA, pembekal, pakar runding dan
pihak-pihak lain yang berkepentingan sedar akan
ancaman keselamatan maklumat, peranan dan
tanggungjawab masing-masing untuk menyokong
DKICT JPA dan meminimumkan risiko kesilapan,
kecuaian, kecurian, penipuan dan penyalahgunaan aset
ICT.

Perkara yang perlu dipatuhi termasuk yang berikut:

a. Memastikan warga JPA, pembekal, pakar runding
dan pihak-pihak lain yang berkepentingan mengurus
keselamatan aset ICT berdasarkan perundangan dan
peraturan ditetapkan JPA;

b. Memastikan latihan kesedaran dan yang berkaitan
mengenai pengurusan keselamatan aset ICT diberi
kepada warga JPA, dan sekiranya perlu diberi
kepada pembekal, pakar runding dan pihak-pihak
lain yang berkepentingan dari semasa ke semasa;

c. Memastikan adanya proses tindakan disiplin
dan/atau undang-undang ke atas warga JPA,
pembekal, pakar runding dan pihak-pihak lain yang
berkepentingan sekiranya berlaku pelanggaran
dengan perundangan dan peraturan yang ditetapkan
JPA; dan

Pengurus ICT

Versi:
2.1
Muka Surat:
36 dari 98

02 Disember 2010

d. Memantapkan pengetahuan berkaitan dengan
penggunaan aset ICT bagi memastikan setiap
kemudahan ICT digunakan dengan cara dan kaedah
yang betul demi menjamin kepentingan keselamatan
ICT.

K04/02/01 Program Kesedaran Keselamatan ICT
Setiap pengguna di JPA perlu diberikan program
kesedaran, latihan atau kursus mengenai keselamatan
ICT yang mencukupi secara berterusan dalam
melaksanakan tugas-tugas dan tanggungjawab mereka.
Program menangani insiden juga adalah penting
sebagai langkah proaktif yang boleh mengurangkan
ancaman keselamatan ICT JPA.

Pengurus ICT
K04/03 Bertukar Atau Tamat Perkhidmatan
Memastikan pertukaran atau tamat perkhidmatan warga
JPA, pembekal, pakar runding dan pihak-pihak lain yang
berkepentingan diuruskan dengan teratur.

Perkara yang perlu dipatuhi termasuk:

a. Memastikan semua aset ICT dikembalikan kepada
jabatan mengikut peraturan dan/atau terma
perkhidmatan yang ditetapkan; dan

b. Membatalkan atau meminda semua kebenaran
capaian ke atas maklumat dan kemudahan proses
maklumat mengikut peraturan yang ditetapkan JPA
dan/atau terma perkhidmatan.

Pengurus ICT

Versi:
2.1
Muka Surat:
37 dari 98

02 Disember 2010

Kawalan 05: Keselamatan Fizikal dan Persekitaran

Objektif
Melindungi premis dan maklumat daripada sebarang bentuk pencerobohan dan ancaman.
K05/01 Keselamatan Kawasan
K05/01/01 Kawasan Larangan Lokasi ICT
Kawasan larangan lokasi ICT bagi JPA ditakrifkan
sebagai kawasan yang dihadkan kemasukan bagi warga
JPA yang tertentu sahaja. Ini dilakukan untuk
melindungi aset ICT yang terdapat dalam premis
tersebut. Kawasan larangan lokasi ICT JPA adalah pusat
data BPM, BP dan INTAN.

Kawasan ini mestilah dilindungi daripada sebarang
ancaman, kelemahan dan risiko seperti pencerobohan,
kebakaran dan bencana alam. Kawalan keselamatan ke
atas premis tersebut adalah seperti berikut:

a. Sumber data atau server, peralatan komunikasi dan
storan perlu ditempatkan di pusat data, bilik server
atau bilik khas yang mempunyai ciri-ciri
keselamatan yang tinggi termasuk sistem pencegah
kebakaran;

b. Akses adalah terhad kepada warga JPA yang telah
diberi kuasa sahaja dan dipantau pada setiap masa;

c. Pemantauan dibuat menggunakan Closed-Circuit
Television (CCTV) kamera atau lain-lain peralatan
yang sesuai;

d. Peralatan keselamatan (CCTV, log akses) perlu


Versi:
2.1
Muka Surat:
38 dari 98

02 Disember 2010

diperiksa secara berjadual;

e. Butiran pelawat yang keluar masuk ke kawasan
larangan perlu direkodkan;

f. Pelawat yang dibawa masuk mesti diawasi oleh
pegawai yang bertanggungjawab sepanjang tempoh
di lokasi berkaitan;

g. Lokasi premis ICT hendaklah tidak berhampiran
dengan kawasan pemunggahan dan laluan awam;

h. Memperkukuh tingkap dan pintu serta dikunci untuk
mengawal kemasukan;

i. Memperkukuh dinding dan siling;

j. Menghadkan jalan keluar masuk;

k. Mengadakan kaunter kawalan; dan

l. Menyediakan tempat atau bilik khas untuk pelawat.

K05/01/02 Kawalan Masuk Fizikal
Perkara-perkara yang perlu dipatuhi termasuk yang
berikut:

a. Warga JPA
i. semua warga hendaklah memakai atau
mengenakan pas keselamatan sepanjang waktu
bertugas; dan
ii. semua pas keselamatan hendaklah diserahkan
kembali kepada JPA apabila pengguna berhenti

Versi:
2.1
Muka Surat:
39 dari 98

02 Disember 2010

atau bersara.

b. Pelawat
i. setiap pelawat hendaklah mendapatkan Pas
Keselamatan Pelawat di pintu masuk utama
premis-premis JPA. Pas ini hendaklah
dikembalikan semula selepas tamat lawatan.

c. Kehilangan pas mestilah dilaporkan dengan segera.

K05/01/03 Kawasan Larangan
Kawasan larangan ditakrifkan sebagai kawasan yang
dihadkan kemasukan kepada warga JPA yang tertentu
sahaja. Ini dilaksanakan untuk melindungi aset ICT
yang terdapat di dalam kawasan tersebut. Kawasan
larangan di JPA adalah Pusat-pusat Data (Data
Centres).

a. Akses kepada kawasan larangan hanyalah kepada
warga JPA yang dibenarkan sahaja; dan

b. Pihak ketiga adalah dilarang sama sekali untuk
memasuki kawasan larangan kecuali, bagi kes-
kes tertentu seperti memberi perkhidmatan
sokongan atau bantuan teknikal, dan mereka
hendaklah diiringi sepanjang masa sehingga tugas
di kawasan berkenaan selesai.

Versi:
2.1
Muka Surat:
40 dari 98

02 Disember 2010

K05/02 Keselamatan Peralatan
K05/02/01 Peralatan ICT
a. Penggunaan kata laluan untuk akses ke sistem
komputer adalah diwajibkan;

b. Pengguna bertanggungjawab sepenuhnya ke atas
komputer masing-masing dan tidak dibenarkan
membuat sebarang pertukaran perkakasan dan
konfigurasi yang telah ditetapkan;

c. Pengguna dilarang membuat instalasi sebarang
perisian tambahan tanpa kebenaran Pentadbir
Sistem;

d. Pengguna mesti memastikan perisian antivirus bagi
semua peralatan ICT yang dibekalkan oleh Jabatan
seperti komputer peribadi, notebook, server
termasuk alat komunikasi mudah alih (Personal
Digital Assistant, Blackberry, smartphone dan
sebagainya) yang berada di bawah tanggungjawab
mereka sentiasa aktif (activated) dan dikemas kini
di samping turut melakukan imbasan ke atas media
storan yang digunakan;

e. Semua peralatan sokongan ICT hendaklah dilindungi
daripada sebarang kecurian, dirosakkan, diubahsuai
tanpa kebenaran dan salahguna;

f. Aset ICT hendaklah disimpan di tempat yang
selamat dan sentiasa di bawah kawalan pegawai
yang bertanggungjawab. Arahan Keselamatan
Kerajaan hendaklah sentiasa dipatuhi bagi mengelak
berlakunya kerosakan atau kehilangan aset;

Pengguna, Pentadbir
Sistem, Pegawai
Aset,
Penyelaras ICT
Bahagian

Versi:
2.1
Muka Surat:
41 dari 98

02 Disember 2010

g. Jika peralatan ICT tidak digunakan, peralatan
tersebut hendaklah disimpan di dalam almari /
kabinet / peti besi / stor atau bilik khas yang
berkunci untuk penyimpanan peralatan ICT;

h. Peralatan-peralatan kritikal perlu disokong oleh UPS;

i. UPS yang berkuasa tinggi perlu diletakkan di bilik
yang berasingan bersuhu rendah yang dilengkapi
dengan pengudaraan yang sesuai;

j. Semua perkakasan hendaklah disimpan atau
diletakkan di tempat yang teratur, bersih dan
mempunyai ciri-ciri keselamatan. Peralatan
rangkaian seperti switches, hub, router dan lain-lain
perlu diletakkan di dalam bilik atau rak berkunci;

k. Semua peralatan yang digunakan secara berterusan
mestilah diletakkan di kawasan yang berhawa dingin
dan mempunyai pengudaraan (air ventilation) yang
sesuai;

l. Peralatan ICT yang hendak dibawa keluar dari
premis JPA, perlulah mendapat kelulusan Pegawai
Aset atau Penyelaras ICT Bahagian bagi tujuan
pemantauan; dan

m. Aset ICT yang hilang semasa di luar waktu pejabat
hendaklah dikendalikan mengikut Prosedur
Pelaporan Insiden.

Versi:
2.1
Muka Surat:
42 dari 98

02 Disember 2010

K05/02/02 Media Storan
Media storan merupakan peralatan elektronik yang
digunakan untuk menyimpan data dan maklumat
seperti disket, cakera padat, pita magnetik dan media-
media storan lain.

Media-media storan perlu dipastikan berada dalam
keadaan yang baik, selamat, terjamin kerahsiaan,
integriti dan kebolehsediaan untuk digunakan.

Bagi menjamin keselamatan, langkah-langkah berikut
perlu diambil:

a. Semua media storan perlu dikawal bagi mencegah
dari capaian yang tidak dibenarkan, kecurian dan
kemusnahan;

b. Bagi media yang hendak dilupuskan, semua
maklumat dalam media tersebut perlu dihapuskan
terlebih dahulu;

c. Semua media storan data yang hendak dilupuskan
mesti dihapuskan dengan teratur dan selamat;

d. Semua media storan yang mengandungi data kritikal
hendaklah disimpan di dalam peti (data safe) yang
mempunyai ciri-ciri keselamatan termasuk tahan
dari dipecahkan, api, air dan medan magnet;

e. Storan dan peralatan backup hendaklah disimpan di
lokasi yang berasingan yang lebih privasi dan tidak
terbuka kepada umum. Akses untuk memasuki
kawasan penyimpanan media hendaklah terhad

Pentadbir Sistem,
Pegawai Aset

Versi:
2.1
Muka Surat:
43 dari 98

02 Disember 2010

kepada pengguna yang dibenarkan sahaja;

f. Akses dan pergerakan media storan perlu
direkodkan;

g. Perkakasan backup (CD/DVD duplicator) hendaklah
diletakkan di tempat yang lebih privasi dan terhad
kepada pengguna yang dibenarkan sahaja; dan

h. Sebarang kehilangan media storan yang berlaku
hendaklah dilaporkan mengikut Prosedur Pelaporan
Insiden.

K05/02/03 Media Tandatangan Digital
Sebarang media yang digunakan untuk tandatangan
digital hendaklah mematuhi langkahlangkah berikut:

a. Pengguna hendaklah bertanggungjawab sepenuhnya
bagi perlindungan daripada kecurian, kehilangan,
kerosakan, penyalahgunaan dan pengklonan;

b. Tidak boleh dipindahmilik atau dipinjamkan; dan

c. Sebarang kehilangan yang berlaku hendaklah
dilaporkan mengikut Prosedur Pelaporan Insiden.

Pentadbir Sistem,
Pengguna
K05/02/04 Media Perisian Dan Aplikasi
Sebarang media yang digunakan sebagai media perisian
dan aplikasi hendaklah mematuhi langkahlangkah
berikut:

a. Hanya perisian yang rasmi sahaja dibenarkan bagi
kegunaan jabatan;

Pengurus ICT,
Pegawai Aset,
Pentadbir Sistem

Versi:
2.1
Muka Surat:
44 dari 98

02 Disember 2010

b. Sistem aplikasi dalaman tidak dibenarkan diagih /
didemontrasikan kepada pihak lain kecuali dengan
kebenaran Pengurus ICT;

c. Lesen perisian (registration code, serials, CD-keys)
perlu disimpan berasingan daripada CD-ROM, disk
atau media berkaitan bagi mengelakkan dari
berlakunya kecurian atau cetak rompak; dan

d. Source code sesuatu sistem hendaklah disimpan
dengan teratur dan sebarang pindaan mestilah
mengikut prosedur yang ditetapkan.

K05/02/05 Perkakasan Tanpa Penyeliaan (Unattended Equipment)
Pengguna perlu memastikan mana-mana perkakasan
yang ditinggalkan tanpa penyeliaan mematuhi ciri-ciri
keselamatan seperti mempunyai kata laluan dan
sebagainya.

Perkakasan hendaklah diselenggarakan dengan betul
bagi memastikan kebolehsediaan, kerahsiaan dan
integriti.

Pengguna
K05/02/06 Peralatan di Luar Premis
Perkakasan yang dibawa keluar dari premis JPA adalah
terdedah kepada pelbagai risiko.

Perkakasan yang dibawa keluar premis JPA
merangkumi:

a. Penggunaan perkakasan secara sementara bagi

Pentadbir Sistem

Versi:
2.1
Muka Surat:
45 dari 98

02 Disember 2010

keperluan mesyuarat, latihan dan sebagainya;
dan

b. Penempatan perkakasan secara kekal di sesebuah
agensi lain.

Perkara-perkara yang perlu dipatuhi adalah seperti
berikut:
a. Peralatan perlu dilindungi dan dikawal sepanjang
masa; dan

b. Penyimpanan atau penempatan peralatan
mestilah mengambil kira ciri-ciri keselamatan
yang bersesuaian.

K05/02/07 Pelupusan
Aset ICT yang hendak dilupuskan perlu mematuhi
tatacara pelupusan semasa. Langkah-langkah berikut
perlu diambil dalam memastikan peralatan ICT JPA
dilupuskan dengan teratur iaitu:

a. Pegawai Aset akan mengenal pasti sama ada
peralatan tertentu boleh dilupuskan atau
sebaliknya;

b. Peralatan yang hendak dilupuskan hendaklah
disimpan di tempat yang telah dikhaskan;

c. Pelupusan peralatan ICT boleh dilakukan secara
berpusat / tidak berpusat mengikut tatacara
pelupusan semasa yang berkuat kuasa;

d. Semua kandungan peralatan khususnya maklumat

Pegawai Aset,
Pengguna

Versi:
2.1
Muka Surat:
46 dari 98

02 Disember 2010

rahsia rasmi di dalam storan hendaklah
dihapuskan terlebih dahulu sebelum dilupuskan
sama ada melalui shredding, grinding, degauzing
atau pembakaran;

e. Sekiranya maklumat perlu disimpan, maka
pengguna boleh membuat salinan;

f. Maklumat lanjut berhubung pelupusan bolehlah
merujuk kepada Pekeliling Perbendaharaan 5
Tahun 2007: Tatacara Pengurusan Aset Alih
Kerajaan (TPA); dan

g. Pelupusan dokumen-dokumen hendaklah mengikut
prosedur keselamatan seperti mana Arahan
Keselamatan dan tatacara Jabatan Arkib Negara.

K05/02/08 Penyelenggaraan
Peralatan hendaklah diselenggarakan dengan betul bagi
memastikan kebolehsediaan, kerahsiaan dan integriti.

Langkah-langkah keselamatan yang perlu diambil
termasuklah seperti berikut:

a. Mematuhi spesifikasi yang ditetapkan oleh pengeluar
bagi semua perkakasan yang diselenggara;

b. Memastikan perkakasan hanya diselenggara oleh
kakitangan atau pihak yang dibenarkan sahaja;

c. Menyemak dan menguji semua perkakasan sebelum
dan selepas proses penyelenggaraan; dan

Pentadbir Sistem,
Pegawai Aset

Versi:
2.1
Muka Surat:
47 dari 98

02 Disember 2010

d. Memaklumkan pihak pengguna sebelum
melaksanakan penyelenggaraan mengikut jadual
yang ditetapkan atau atas keperluan.

K05/03 Kawalan Persekitaran
K05/03/01 Kawalan Persekitaran
Bagi menghindarkan kerosakan dan gangguan terhadap
premis dan aset ICT, semua cadangan berkaitan premis
sama ada untuk perolehan, menyewa, mengubahsuai,
pembelian hendaklah dirujuk terlebih dahulu kepada
Pejabat Ketua Pegawai Keselamatan Kerajaan (KPKK).

Bagi menjamin keselamatan persekitaran, langkah-
langkah berikut hendaklah diambil:

a. Merancang dan menyediakan pelan keseluruhan
susun atur pusat data (bilik percetakan, peralatan
komputer dan ruang atur pejabat dan sebagainya)
dengan teliti;

b. Semua ruang pejabat khususnya yang mempunyai
kemudahan ICT hendaklah dilengkapi dengan
perlindungan keselamatan yang mencukupi dan
dibenarkan seperti alat pencegah kebakaran dan
pintu kecemasan;

c. Peralatan perlindungan hendaklah dipasang di
tempat yang bersesuaian, mudah dikenali dan
dikendalikan;

d. Bahan mudah terbakar hendaklah disimpan di luar
kawasan kemudahan penyimpanan aset ICT;

Pengurus ICT

Versi:
2.1
Muka Surat:
48 dari 98

02 Disember 2010

e. Semua bahan cecair hendaklah diletakkan di tempat
yang bersesuaian dan berjauhan dari aset ICT;

f. Pengguna adalah dilarang merokok atau
menggunakan peralatan memasak seperti cerek
elektrik berhampiran peralatan komputer; dan

g. Semua peralatan perlindungan hendaklah disemak
dan diuji sekurang-kurangnya dua (2) kali dalam
setahun. Aktiviti dan keputusan ujian ini perlu
direkodkan bagi memudahkan rujukan dan tindakan
sekiranya perlu.

K05/03/02 Kabel Rangkaian

a. Semua kabel perlu dilabelkan dengan jelas dan
mestilah melalui trunking bagi memastikan
keselamatan kabel daripada kerosakan dan pintasan
maklumat;

b. Menggunakan kabel mengikut spesifikasi yang telah
ditetapkan; dan

c. Melindungi laluan pemasangan kabel sepenuhnya
bagi mengelakkan ancaman kerosakan dan wire
tapping.

Pentadbir Rangkaian
K05/03/03 Bekalan Kuasa
Langkah-langkah seperti berikut perlu diambil dalam
memastikan keselamatan bekalan kuasa:

a. Semua peralatan ICT hendaklah dilindungi dari

Pengurus ICT

Versi:
2.1
Muka Surat:
49 dari 98

02 Disember 2010

kegagalan bekalan elektrik dan bekalan yang sesuai
hendaklah disalurkan kepada peralatan ICT;

b. Peralatan sokongan seperti UPS dan penjana
(generator) boleh digunakan bagi perkhidmatan
kritikal seperti di bilik server supaya mendapat
bekalan kuasa berterusan; dan

c. Semua peralatan sokongan bekalan kuasa
hendaklah disemak dan diuji secara berjadual.

K05/03/04 Prosedur Kecemasan
berikut:

a. Setiap pengguna hendaklah membaca, memahami
dan mematuhi prosedur kecemasan dengan
merujuk kepada Garis Panduan Pelan Tindakan dan
Kecemasan JPA; dan

b. Kecemasan persekitaran seperti kebakaran
hendaklah dilaporkan kepada Pegawai
Keselamatan Kebakaran yang dilantik mengikut
aras.

Pengguna,
Pegawai
Keselamatan
Kebakaran
K05/04 Keselamatan Sistem Dokumentasi
Langkah-langkah seperti berikut perlu diambil dalam
memastikan keselamatan sistem dokumentasi:

a. Memastikan sistem penyimpanan dokumentasi
mempunyai ciri-ciri keselamatan;

Pentadbir Sistem,
Pentadbir Fail

Versi:
2.1
Muka Surat:
50 dari 98

02 Disember 2010

b. Mengawal dan merekodkan semua aktiviti capaian
dokumentasi sedia ada;

c. Setiap dokumen hendaklah difail dan dilabelkan
mengikut klasifikasi keselamatan seperti Terbuka,
Terhad, Sulit, Rahsia atau Rahsia Besar;

d. Pergerakan fail dan dokumen hendaklah direkodkan
dan perlulah mengikut prosedur keselamatan;

e. Kehilangan dan kerosakan ke atas semua jenis
dokumen perlu dimaklumkan mengikut prosedur
Arahan Keselamatan; dan

f. Menggunakan enkripsi (encryption) ke atas
dokumen rahsia rasmi yang disediakan, disimpan
dan dihantar secara elektronik.

Versi:
2.1
Muka Surat:
51 dari 98

02 Disember 2010

Kawalan 06: Pengurusan Operasi dan Komunikasi

Objektif

Memastikan pengurusan operasi dan kemudahan pemprosesan maklumat berfungsi dengan
betul dan selamat daripada sebarang ancaman dan gangguan.

K06/01 Prosedur Operasi
K06/01/01 Pengendalian Dokumen Prosedur Operasi
a. Semua prosedur operasi ICT yang diwujud, dikenal
pasti dan masih diguna pakai hendaklah
didokumenkan, disimpan dan dikawal;

b. Setiap prosedur mestilah mengandungi arahan-arahan
yang jelas, teratur dan lengkap; dan

c. Semua prosedur hendaklah dikemas kini dari semasa
ke semasa atau mengikut keperluan.

Pentadbir Sistem
K06/01/02 Pengurusan Perubahan
a. Pengubahsuaian melibatkan perkakasan, sistem
pemprosesan maklumat, perisian dan prosedur
mestilah mendapat kebenaran Pengurus ICT, pegawai
atasan atau pemilik aset ICT terlebih dahulu;

b. Aktiviti-aktiviti seperti memasang, menyelenggara,
menghapus dan mengemaskini mana-mana komponen
sistem ICT hendaklah dikendalikan oleh pihak atau
pegawai yang diberi kuasa dan mempunyai
pengetahuan atau terlibat secara langsung dengan
aset ICT berkenaan;

c. Semua aktiviti pengubahsuaian komponen sistem ICT

Pentadbir Sistem

Versi:
2.1
Muka Surat:
52 dari 98

02 Disember 2010

hendaklah mematuhi spesifikasi perubahan yang telah
ditetapkan; dan

d. Semua aktiviti perubahan atau pengubahsuaian
hendaklah direkod dan dikawal bagi mengelakkan
berlakunya ralat sama ada secara sengaja atau
sebaliknya.

K06/01/03 Pengasingan Tugas dan Tanggungjawab
berikut:

a. Skop tugas dan tanggungjawab perlu diasingkan bagi
mengurangkan peluang berlaku penyalahgunaan atau
pengubahsuaian yang tidak dibenarkan ke atas aset
ICT;

b. Tugas mewujud, memadam, mengemas kini,
mengubah dan mengesahkan data hendaklah
dilakukan oleh pegawai yang berlainan bagi
mengelakkan daripada capaian yang tidak dibenarkan
serta melindungi aset ICT daripada kesilapan,
kebocoran maklumat terperingkat atau dimanipulasi;
dan

c. Perkakasan dan rangkaian yang digunakan bagi tugas
membangun, mengemaskini, dan menguji aplikasi
hendaklah diasingkan dari perkakasan dan rangkaian
yang digunakan di dalam persekitaran production.

Pengurus ICT,
Pentadbir Sistem

Versi:
2.1
Muka Surat:
53 dari 98

02 Disember 2010

K06/01/04 Prosedur Pengurusan Insiden
JPACERT menerima aduan atau laporan daripada
pengguna, laporan yang dikesan dari PRISMA atau
laporan dari sumber luar. Seterusnya, maklumat tentang
insiden akan didaftarkan. Siasatan awal atau kajian perlu
dijalankan bagi mengenal pasti jenis insiden tersebut.
Laporan insiden kemudiannya dimaklumkan kepada
GCERT MAMPU. Sekiranya insiden tersebut memerlukan
tindakan undang-undang susulan, laporan dipanjangkan
kepada agensi penguatkuasa undang-undang.

JPACERT yang diketuai oleh ICTSO akan menjalankan
tindakan pengendalian secara capaian jauh (remote) atau
on-site. Sekiranya laporan tersebut memerlukan bantuan
GCERT MAMPU, permohonan akan dihantar bagi
mendapatkan maklum balas GCERT MAMPU.

Bagi laporan yang memerlukan bantuan daripada CERT
agensi yang lain, permohonan akan dihantar melalui
GCERT MAMPU dan khidmat nasihat akan disalurkan.
JPACERT seterusnya akan menyediakan laporan dan
ICTSO mengesahkan sekiranya Pelan Kesinambungan
Perkhidmatan (Business Resumption Planning, BRP) perlu
diaktifkan atau sebaliknya. Pengesahan akan dihantar
kepada CIO bagi mengaktifkan BRP.

Laporan insiden yang tidak memerlukan BRP akan
diteruskan dengan melaksanakan tindakan bagi tujuan
pemulihan.

Carta lengkap mengenai perjalanan laporan insiden

Semua

Versi:
2.1
Muka Surat:
54 dari 98

02 Disember 2010

K06/02 Perancangan dan Penerimaan Sistem
K06/02/01 Perancangan Kapasiti
a. Kapasiti sesuatu komponen atau sistem ICT hendaklah
dirancang, diurus dan dikawal dengan teliti oleh
pegawai yang berkenaan bagi memastikan
keperluannya adalah mencukupi dan bersesuaian
untuk pembangunan dan kegunaan sistem ICT pada
masa akan datang; dan

b. Keperluan kapasiti ini juga perlu mengambil kira ciri-
ciri keselamatan ICT bagi meminimumkan risiko
seperti gangguan pada perkhidmatan dan kerugian
akibat pengubahsuaian yang tidak dirancang.

Pentadbir Sistem
K06/02/02 Penerimaan Sistem
Semua sistem baru (termasuklah sistem yang dikemas
kini atau diubahsuai) hendaklah memenuhi kriteria yang
ditetapkan sebelum diterima atau dipersetujui.

Pentadbir Sistem
K06/03 Perlindungan dari Perisian Berbahaya
K06/03/01 Perlindungan dari Perisian Berbahaya
Perkara-perkara yang perlu dilaksanakan bagi
memastikan perlindungan aset ICT dari perisian
berbahaya:

a. Memasang sistem keselamatan untuk mengesan
perisian atau program berbahaya seperti anti virus,
Intrusion Detection System (IDS) dan Intrusion
Prevention System (IPS) mengikut prosedur
penggunaan yang betul dan selamat;

b. Memasang dan menggunakan hanya perisian yang

Pentadbir Sistem,
Pengguna

Versi:
2.1
Muka Surat:
55 dari 98

02 Disember 2010

tulen;

c. Mengimbas semua perisian, sistem, media storan dan
kepilan fail dengan antivirus yang telah disediakan
oleh Jabatan sebelum menggunakannya;

d. Memastikan paten antivirus pada peralatan ICT
dikemaskini dengan versi terkini;

e. Menyemak kandungan sistem atau maklumat secara
berkala bagi mengesan aktiviti yang tidak diingini
seperti kehilangan dan kerosakan maklumat;

f. Menghadiri program kesedaran mengenai ancaman
perisian berbahaya dan cara mengendalikannya;

g. Memasukkan klausa tanggungan di dalam mana-mana
kontrak yang telah ditawarkan kepada pembekal
perisian. Klausa ini bertujuan untuk tuntutan baik
pulih sekiranya perisian tersebut mengandungi
program berbahaya; dan

h. Mengadakan program dan prosedur jaminan kualiti ke
atas semua perisian yang dibangunkan.

K06/04 Housekeeping
K06/04/01 Backup
Bagi memastikan sistem dapat dibangunkan semula
setelah berlakunya bencana, backup hendaklah dilakukan
setiap kali setelah konfigurasi berubah. Backup perlu
direkodkan dan disimpan di off site. Keperluan
melaksanakan backup adalah seperti berikut:

a. Membuat salinan keselamatan ke atas semua sistem
perisian dan aplikasi sekurang-kurangnya sekali atau

Pentadbir Sistem

Versi:
2.1
Muka Surat:
56 dari 98

02 Disember 2010

setelah mendapat versi terbaru;

b. Membuat backup ke atas semua data dan maklumat
mengikut keperluan operasi;

c. Menguji sistem backup sedia ada dan bagi
memastikan ianya dapat berfungsi dengan sempurna,
boleh dipercayai dan berkesan apabila digunakan
khususnya pada waktu kecemasan;

d. Backup hendaklah dilaksanakan secara harian,
mingguan, bulanan dan tahunan. Kekerapan backup
bergantung pada tahap kritikal maklumat; dan

e. JPA hendaklah menyimpan sekurang-kurangnya tiga
(3) generasi backup.

K06/05 Pengurusan Rangkaian
Infrastruktur Rangkaian perlu dikawal dan diuruskan
sebaik mungkin demi melindungi ancaman kepada sistem
dan aplikasi di dalam rangkaian.

Langkah-langkah bagi menangani ancaman ke atas
rangkaian adalah seperti berikut:

a. Semua tanggungjawab atau kerja-kerja operasi
rangkaian dan komputer hendaklah diasingkan untuk
mengurangkan capaian dan pengubahsuaian yang
tidak dibenarkan;

b. Capaian kepada peralatan rangkaian hendaklah
dikawal dan terhad kepada pengguna yang dibenarkan
sahaja;

Pentadbir Rangkaian

Versi:
2.1
Muka Surat:
57 dari 98

02 Disember 2010

c. Semua capaian kepada Internet dan sistem aplikasi
mestilah melalui firewall;

d. Memasang perisian IPS bagi mengesan dan
menghalang sebarang cubaan menceroboh dan
aktiviti-aktiviti lain yang boleh mengancam sistem dan
maklumat JPA;

e. Memasang Web Content Filter pada Internet Gateway
untuk menyekat aktiviti yang dilarang;

f. Sebarang penyambungan rangkaian yang bukan di
bawah kawalan JPA adalah tidak dibenarkan; dan

g. Kemudahan bagi wireless LAN perlu dipastikan
kawalan keselamatan.

K06/06 Pengurusan Media
K06/06/01 Media Mudah Alih
Penghantaran atau pemindahan media ke luar pejabat
hendaklah mendapat kebenaran daripada Pengurus ICT
terlebih dahulu.

Pengguna
K06/06/02 Prosedur Pengendalian Media
Di antara prosedur-prosedur pengendalian media
termasuk:

a. Melabelkan semua media mengikut tahap sensitiviti
sesuatu maklumat;

b. Menghadkan dan menentukan capaian media kepada
pengguna yang dibenarkan sahaja;

c. Menghadkan pengedaran data atau media untuk

Pentadbir Sistem,
Pengguna

Versi:
2.1
Muka Surat:
58 dari 98

02 Disember 2010

tujuan yang dibenarkan sahaja;

d. Mengawal dan merekodkan aktiviti penyelenggaraan
media bagi mengelak dari sebarang kerosakan dan
pendedahan yang tidak dibenarkan; dan

e. Media yang mengandungi maklumat terperingkat
hendaklah dihapus atau dimusnahkan mengikut
peraturan dan prosedur yang betul dan selamat.

K06/07 Pengurusan Penghantaran dan Penerimaan Maklumat
Ianya bertujuan untuk memastikan keselamatan
penghantaran dan penerimaan maklumat dan perisian
dalam agensi dan mana-mana entiti luar terjamin.

a. Polisi, prosedur dan kawalan penghantaran dan
penerimaan maklumat yang formal perlu diwujudkan
untuk melindungi maklumat melalui penggunaan
pelbagai jenis kemudahan komunikasi;

b. Perjanjian perlu diwujudkan untuk penghantaran dan
penerimaan maklumat dan perisian di antara JPA
dengan pihak luar;

c. Media yang mengandungi maklumat perlu dilindungi
daripada capaian yang tidak dibenarkan,
penyalahgunaan atau kerosakan semasa pemindahan
dan penerimaan;

d. Maklumat yang terdapat dalam mel elektronik perlu
dilindungi sebaik-baiknya; dan

e. Polisi dan prosedur perlu dibangunkan dan
dilaksanakan bagi melindungi maklumat yang

Pentadbir Sistem

Versi:
2.1
Muka Surat:
59 dari 98

02 Disember 2010

berhubung kait dengan sistem maklumat JPA.

K06/08 Pengurusan Mel Elektronik (E-mel)
Penggunaan e-mel di JPA hendaklah dipantau secara
berterusan oleh Pentadbir E-mel untuk memenuhi
keperluan etika penggunaan e-mel dan Internet. Di
antara prosedur-prosedur pengurusan e-mel termasuk:

a. Menghadkan jenis dan saiz fail lampiran bagi tujuan
mengelakkan jangkitan virus dan serangan e-mel
bombing;

b. Penghantaran dokumen rasmi hendaklah
menggunakan e-mel rasmi jabatan sahaja;

c. Penggunaan e-mel JPA bagi tujuan peribadi adalah
tidak dibenarkan;

d. Pentadbir e-mel perlu menetapkan had minimum
kuota mailbox;

e. Pembersihan e-mel hendaklah dibuat sekiranya
mailbox didapati tidak aktif selama dua (2) bulan atau
melebihi kuota dan had masa yang ditetapkan;

f. Penghantaran lampiran dalam format / extension
*.exe, *.bat dan *.com tidak dibenarkan;

g. Hanya warga JPA sahaja boleh dipertimbangkan untuk
mendapat kemudahan e-mel rasmi jabatan;

h. Penyelaras ICT Bahagian perlu memaklumkan
sebarang status pengguna (bertukar jabatan,

Pentadbir E-mel,
Penyelaras ICT
Bahagian

Versi:
2.1
Muka Surat:
60 dari 98

02 Disember 2010

bersara, diberhentikan, tidak dapat dikesan, bertukar
keluar atau masuk ke JPA) di bahagian masing-
masing bagi tujuan pengemaskinian e-mel yang
terlibat;

i. Menggunakan kaedah inovatif dalam penghantaran
fail bersaiz besar seperti menggunakan kaedah muat
turun fail dengan memaklumkan lokasi Universal
Resource Location (URL) atau kaedah pemampatan
untuk mengurangkan saiz fail dengan memastikan
ciri-ciri keselamatan dilaksanakan; dan

j. E-mel rasmi yang dihantar atau diterima hendaklah
disimpan mengikut tatacara pengurusan sistem fail
elektronik yang bersesuaian.

K06/09 Perkhidmatan E-Dagang
Bertujuan untuk memastikan keselamatan perkhidmatan
e-dagang dan penggunaannya.

a. Maklumat yang terlibat dalam e-dagang perlu
dilindungi daripada aktiviti penipuan, pertikaian
kontrak dan pendedahan serta pengubahsuaian yang
tidak dibenarkan;

b. Maklumat yang terlibat dalam transaksi dalam talian
(on-line) perlu dilindungi bagi mengelak penghantaran
yang tidak lengkap, salah destinasi, pengubahsuaian,
pendedahan, duplikasi atau pengulangan mesej yang
tidak dibenarkan; dan

c. Integriti maklumat yang disediakan untuk sistem yang
boleh dicapai oleh orang awam atau pihak lain yang

Pentadbir Sistem,
Pengguna

Versi:
2.1
Muka Surat:
61 dari 98

02 Disember 2010

berkepentingan hendaklah dilindungi untuk mencegah
sebarang pindaan yang tidak diperakukan.

K06/10 Maklumat Umum
Perkara-perkara yang perlu dipatuhi dalam memastikan
keselamatan maklumat adalah seperti berikut:

a. Memastikan perisian, data dan maklumat dilindungi
dengan mekanisme yang bersesuaian;

b. Memastikan sistem yang boleh diakses oleh orang
awam diuji terlebih dahulu; dan

c. Memastikan segala maklumat yang hendak
dipaparkan telah disah dan diluluskan sebelum
dimuat naik ke laman web.

Semua
K06/11 Pengurusan Penyampaian Perkhidmatan Pembekal, Pakar Runding dan
Pihak-Pihak Lain Yang Terlibat

Memastikan pelaksanaan dan penyelenggaraan tahap
keselamatan maklumat dan penyampaian perkhidmatan
yang sesuai selaras dengan perjanjian perkhidmatan
dengan pembekal, pakar runding dan pihak-pihak lain
yang terlibat.

Perkara-perkara yang mesti dipatuhi termasuk seperti
berikut:

a. Memasukkan kawalan keselamatan, definisi
perkhidmatan dan tahap penyampaian yang
terkandung dalam perjanjian dipatuhi, dilaksanakan
dan disenggarakan oleh pembekal, pakar runding dan
pihak-pihak lain yang terlibat;

Pengurus ICT,
Pentadbir Sistem

Versi:
2.1
Muka Surat:
62 dari 98

02 Disember 2010

b. Perkhidmatan, laporan dan rekod yang dikemukakan
oleh pembekal, pakar runding dan pihak-pihak lain
yang terlibat perlu sentiasa dipantau, disemak semula
dan diaudit dari semasa ke semasa; dan

c. Pengurusan ke atas perubahan penyediaan
perkhidmatan termasuk menyelenggara dan
menambah baik polisi keselamatan, prosedur dan
kawalan maklumat sedia ada, perlu mengambil kira
tahap kritikal sistem dan proses yang terlibat serta
penilaian semula risiko.

K06/12 Pemantauan
K06/12/01 Pemantauan
Ianya bertujuan untuk memastikan pengesanan aktiviti
pemprosesan maklumat yang tidak dibenarkan, di
antaranya seperti berikut:

a. Log Audit yang merekodkan semua aktiviti perlu
dihasilkan dan disimpan untuk tempoh masa yang
dipersetujui bagi membantu siasatan dan memantau
kawalan capaian;

b. Prosedur untuk memantau penggunaan kemudahan
memproses maklumat perlu diwujud dan hasilnya
perlu dipantau secara berkala;

c. Kemudahan merekod dan maklumat log perlu
dilindungi daripada diubahsuai dan sebarang capaian
yang tidak dibenarkan;

d. Aktiviti pentadbiran dan operator sistem perlu

Pentadbir Sistem

Versi:
2.1
Muka Surat:
63 dari 98

02 Disember 2010

direkodkan;

e. Kesalahan, kesilapan dan / atau penyalahgunaan
perlu dilog, dianalisis dan diambil tindakan
sewajarnya; dan

f. Masa yang berkaitan dengan sistem pemprosesan
maklumat dalam JPA atau domain keselamatan perlu
diselaraskan dengan satu sumber masa yang
dipersetujui.

K06/12/02 Pengauditan dan Forensik ICT
JPACERT mestilah bertanggungjawab merekod dan
menganalisis:

a. Sebarang percubaan pencerobohan kepada sistem ICT
JPA;

b. Serangan kod perosak (malicious code), halangan
pemberian perkhidmatan (denial of service), spam,
pemalsuan (forgery), pencerobohan (intrusion)
ancaman (threats) dan kehilangan fizikal (physical
loss);

c. Pengubahsuaian ciri-ciri perkakasan, perisian atau
mana-mana komponen sesebuah sistem tanpa
pengetahuan, arahan atau persetujuan mana-mana
pihak;

d. Aktiviti melayari, menyimpan atau mengedar bahan-
bahan lucah, berunsur fitnah dan propaganda anti
kerajaan;

JPACERT, ICTSO,
Pentadbir Sistem,

Versi:
2.1
Muka Surat:
64 dari 98

02 Disember 2010

e. Aktiviti pewujudan perkhidmatan-perkhidmatan yang
tidak dibenarkan;

f. Aktiviti instalasi dan penggunaan perisian yang
membebankan bandwidth rangkaian;

g. Aktiviti penyalahgunaan akaun e-mel; dan

h. Aktiviti penukaran IP address selain daripada yang
telah diperuntukkan tanpa kebenaran Pentadbir
Rangkaian.

Langkah-langkah yang perlu diambil adalah seperti
berikut:

a. ICTSO akan menentukan prosedur pengumpulan
bahan bukti (hard disk/media storan) yang berkenaan
bagi memastikan kesahihan ke atas sesuatu laporan
yang akan disediakan;

b. Proses forensik dan pengauditan aset ICT mestilah
dilakukan di tempat yang selamat; dan

c. Sekiranya hasil siasatan mensabitkan kesalahan
kepada tertuduh, format laporan khas perlu
disediakan.

Semua proses dan hasil siasatan adalah SULIT.

K06/12/03 Jejak Audit
Setiap sistem mestilah mempunyai jejak audit. Jejak
audit merekod aktiviti-aktiviti yang berlaku dalam sistem
secara kronologi bagi membenarkan pemeriksaan dan

Pentadbir Sistem

Versi:
2.1
Muka Surat:
65 dari 98

02 Disember 2010

pembinaan semula dilakukan bagi susunan dan
perubahan dalam sesuatu event.

Jejak audit hendaklah mengandungi ciri-ciri berikut:

a. Rekod setiap aktiviti transaksi;

b. Maklumat jejak audit mengandungi identiti pengguna,
sumber yang digunakan, perubahan maklumat, tarikh
dan masa aktiviti, rangkaian dan aplikasi yang
digunakan;

c. Aktiviti capaian pengguna ke atas sistem ICT sama
ada secara sah atau sebaliknya; dan

d. Maklumat aktiviti sistem yang tidak normal atau
aktiviti yang tidak mempunyai ciri-ciri keselamatan.

Jejak audit hendaklah disimpan untuk tempoh masa
seperti yang disarankan oleh Akta Arkib Negara.

Pentadbir Sistem hendaklah menyemak catatan jejak
audit dari semasa ke semasa dan menyediakan laporan
jika perlu. Ini akan dapat membantu mengesan aktiviti
yang tidak normal dengan lebih awal. Jejak audit juga
perlu dilindungi dari kerosakan, kehilangan,
penghapusan, pemalsuan dan pengubahsuaian yang tidak
dibenarkan.

K06/12/04 Sistem Log
Fail log hendaklah disimpan untuk tempoh sekurang-
kurangnya enam (6) bulan. Jenis fail log bagi server dan
aplikasi yang perlu diaktifkan adalah seperti berikut:

Pentadbir Sistem

Versi:
2.1
Muka Surat:
66 dari 98

02 Disember 2010

i. fail log sistem pengoperasian;
ii. fail log servis (web, e-mel);
iii. fail log aplikasi (audit trail); dan
iv. fail log rangkaian (switch, firewall, IPS)

Fungsi-fungsi sistem log adalah seperti berikut:

a. Mewujudkan sistem log bagi merekodkan semua
aktiviti harian pengguna;

b. Menyemak sistem log secara berkala bagi mengesan
ralat yang menyebabkan gangguan kepada sistem dan
mengambil tindakan membaik pulih dengan segera;
dan

c. Sekiranya wujud aktiviti-aktiviti tidak sah lain seperti
kecurian maklumat dan pencerobohan, hendaklah
dilaporkan kepada ICTSO.

Versi:
2.1
Muka Surat:
67 dari 98

02 Disember 2010

Kawalan 07: Kawalan Capaian

Objektif
Memahami dan mematuhi keperluan keselamatan dalam mencapai dan menggunakan aset ICT.
K07/01 Kawalan Capaian
Capaian kepada proses dan maklumat hendaklah dikawal
mengikut keperluan keselamatan dan fungsi kerja
pengguna yang berbeza. Ia perlu direkodkan, dikemas
kini dan menyokong dasar kawalan capaian pengguna
sedia ada.

Pentadbir Sistem

K07/02 Pengurusan Capaian Pengguna
K07/02/01 Pendaftaran Pengguna
Pengguna adalah bertanggungjawab ke atas sistem ICT
yang digunakan. Bagi mengenal pasti pengguna dan
aktiviti yang dilakukan, Pentadbir Sistem perlu mengambil
langkah-langkah berikut:

a. Akaun yang diperuntukkan oleh jabatan sahaja boleh
digunakan;

b. Akaun user id hendaklah mencerminkan identiti
pengguna;

c. Pemilikan akaun pengguna bukanlah hak mutlak
seseorang dan ia tertakluk kepada peraturan jabatan.
Akaun boleh ditarik balik jika kaedah penggunaannya
melanggar peraturan;

d. Penggunaan akaun milik orang lain atau akaun yang
dikongsi bersama adalah dilarang; dan

Pentadbir Sistem,
Pengguna

Versi:
2.1
Muka Surat:
68 dari 98

02 Disember 2010

e. Pentadbir Sistem boleh membeku dan menamatkan
akaun pengguna atas sebab-sebab berikut:

i. pengguna bercuti panjang atau menghadiri kursus
di luar pejabat dalam tempoh waktu melebihi
sebulan;
ii. bertukar bidang tugas kerja;
iii. bertukar ke agensi lain;
iv. bersara; atau
v. ditamatkan perkhidmatan.

K07/02/02 Hak Capaian (Privilege)
Penetapan dan penggunaan ke atas hak capaian perlu
diberi kawalan dan penyeliaan yang ketat.

Pentadbir Sistem
K07/02/03 Pengurusan Kata Laluan
Pemilihan, penggunaan dan pengurusan kata laluan
sebagai laluan utama bagi mencapai maklumat dan data
dalam sistem mestilah mematuhi amalan terbaik serta
prosedur yang ditetapkan oleh JPA seperti berikut:

a. Dalam apa jua keadaan dan sebab, kata laluan
hendaklah dilindungi dan tidak boleh dikongsi dengan
sesiapa pun;

b. Pengguna hendaklah menukar kata laluan apabila
disyaki berlakunya kebocoran kata laluan atau
dikompromi;

c. Panjang kata laluan mestilah sekurang-kurangnya
lapan (8) aksara dengan gabungan antara huruf dan
nombor (alphanumerik) serta aksara khusus;

Pentadbir Sistem
Pengguna

Versi:
2.1
Muka Surat:
69 dari 98

02 Disember 2010

d. Kata laluan hendaklah diingat dan tidak boleh dicatat,
disimpan atau didedahkan dengan apa cara sekalipun;

e. Kata laluan windows hendaklah diaktifkan
terutamanya pada komputer yang terletak di ruang
gunasama;

f. Kata laluan hendaklah tidak dipaparkan semasa input,
dalam laporan atau media lain dan tidak boleh
dikodkan di dalam program;

g. Kuatkuasakan pertukaran kata laluan semasa login
kali pertama atau selepas login kali pertama atau
selepas kata laluan diset semula;

h. Kata laluan hendaklah berlainan daripada pengenalan
identiti pengguna;

i. Had kemasukan katalaluan bagi capaian kepada
sistem aplikasi adalah maksimum tiga (3) kali sahaja.
Setelah mencapai tahap maksimum, capaian kepada
sistem akan dibekukan. Kemasukan kata laluan
seterusnya hanya boleh dibuat selepas bagi tempoh
masa selama 30 minit atau setelah diset semula oleh
Helpdesk JPA;

j. Mengelakkan penggunaan semula kata laluan semasa
bagi kata laluan yang baru;

k. Kata laluan hendaklah disimpan dalam bentuk yang
telah dienkripkan; dan

l. Sistem yang dibangunkan mestilah mempunyai
kemudahan menukar kata laluan oleh pengguna.

Versi:
2.1
Muka Surat:
70 dari 98

02 Disember 2010

K07/02/04 Clear Desk dan Clear Screen
Prosedur Clear Desk dan Clear Screen perlu dipatuhi
supaya maklumat dalam apa jua bentuk media disimpan
dengan teratur dan selamat bagi mengelakkan kerosakan,
kecurian atau kehilangan.

Perkara-perkara yang mesti dipatuhi termasuk yang
berikut:

a. Menggunakan kemudahan password screen saver atau
log out apabila meninggalkan komputer;

b. Menyimpan bahan-bahan sensitif di dalam laci atau
kabinet fail yang berkunci; dan

c. Memastikan semua dokumen diambil segera dari
pencetak, pengimbas, mesin faksimili dan mesin
fotostat.

Pengguna
K07/03 Capaian Sistem Pengoperasian
K07/03/01 Capaian Sistem Pengoperasian
Kawalan capaian sistem pengoperasian perlu bagi
mengelakkan sebarang capaian komputer yang tidak
dibenarkan.

Kemudahan keselamatan dalam sistem operasi perlu
digunakan untuk menghalang capaian ke sumber sistem
komputer. Kemudahan ini juga perlu bagi:

a. Mengenal pasti identiti, terminal atau lokasi bagi
setiap pengguna yang dibenarkan;

Pentadbir
Sistem

Versi:
2.1
Muka Surat:
71 dari 98

02 Disember 2010

b. Merekodkan capaian yang berjaya dan gagal;

c. Membekalkan kemudahan untuk pengesahan (bagi
sistem kata laluan kunci digunakan, kualiti kata kunci
perlu mendapat pengesahan); dan

d. Menghadkan masa penggunaan rangkaian bagi
pengguna.

Kaedah-kaedah yang digunakan hendaklah mampu
menyokong perkara-perkara berikut:

a. Mengesahkan pengguna yang dibenarkan selaras
dengan peraturan jabatan;

b. Mewujudkan jejak audit ke atas semua capaian sistem
pengoperasian terutama pengguna bertaraf super
user;

c. Menjana amaran (alert) sekiranya berlaku
pelanggaran ke atas peraturan keselamatan sistem;
dan

d. Menyediakan tempoh penggunaan mengikut
kesesuaian.

Perkara-perkara yang perlu dipatuhi termasuk berikut:

a. Mengawal capaian ke atas sistem operasi
menggunakan prosedur log on yang terjamin;

b. Mewujudkan satu pengenalan diri (ID) yang unik
untuk setiap pengguna dan hanya digunakan oleh

Versi:
2.1
Muka Surat:
72 dari 98

02 Disember 2010

pengguna berkenaan sahaja dan satu teknik
pengesahan yang bersesuaian hendaklah diwujudkan
bagi mengesahkan pengenalan diri pengguna;

c. Mewujudkan sistem pengurusan kata laluan secara
interaktif dan memastikan kata laluan adalah
berkualiti;

d. Menghadkan dan mengawal penggunaan program
utiliti yang berkemampuan bagi satu tempoh yang
ditetapkan; dan

e. Menghadkan tempoh sambungan ke sesebuah aplikasi
berisiko tinggi.

K07/03/02 Kad Pintar
berikut:

a. Penggunaan kad pintar Kerajaan Elektronik (Kad EG)
hendaklah digunakan bagi capaian sistem Kerajaan
Elektronik yang dikhususkan;

b. Kad pintar hendaklah disimpan di tempat selamat
bagi mengelakkan sebarang kecurian atau digunakan
oleh pihak lain;

c. Perkongsian penggunaan kad pintar adalah tidak
dibenarkan sama sekali. Kad pintar yang salah kata
laluan sebanyak tiga (3) kali cubaan akan disekat;
dan

d. Sebarang kehilangan, kerosakan dan kata laluan
disekat perlu dimaklumkan kepada pengeluar kad.

Versi:
2.1
Muka Surat:
73 dari 98

02 Disember 2010

K07/04 Capaian Aplikasi dan Maklumat
Bertujuan melindungi sistem maklumat dan aplikasi sedia
ada dari sebarang bentuk capaian yang tidak dibenarkan
yang boleh menyebabkan kerosakan.

Capaian sistem dan aplikasi di JPA adalah terhad kepada
pengguna dan tujuan yang dibenarkan. Bagi memastikan
kawalan capaian sistem dan aplikasi adalah kukuh,
langkah-langkah berikut perlu dipatuhi:

a. Pengguna hanya boleh menggunakan sistem
maklumat dan aplikasi yang dibenarkan mengikut
tahap capaian dan sensitiviti maklumat yang telah
ditentukan;

b. Setiap aktiviti capaian sistem maklumat dan aplikasi
pengguna hendaklah direkodkan (log) bagi mengesan
aktiviti-aktiviti yang tidak diingini;

c. Memaparkan notis amaran pada skrin komputer
pengguna sebelum memulakan capaian bagi
melindungi maklumat dari sebarang bentuk
penyalahgunaan;

d. Memastikan kawalan sistem rangkaian adalah kukuh
dan lengkap dengan ciri-ciri keselamatan bagi
mengelakkan aktiviti atau capaian yang tidak sah;

e. Capaian sistem maklumat dan aplikasi melalui jarak
jauh adalah digalakkan. Walau bagaimanapun,
penggunaannya terhad kepada perkhidmatan yang
dibenarkan sahaja;

Pentadbir
Sistem

Versi:
2.1
Muka Surat:
74 dari 98

02 Disember 2010

f. Maklumat tarikh login terakhir hendaklah dipamerkan;
dan

g. Session timeout hendaklah dilaksanakan.

K07/05 Capaian Jarak Jauh
a. Capaian jarak jauh yang dimaksudkan merangkumi:

i. capaian daripada sistem rangkaian dalaman;
dan
ii. capaian daripada sistem rangkaian luaran bagi
lokasi luar pejabat untuk tujuan
telecommuting.

b. Penghantaran maklumat yang menggunakan capaian
jarak jauh mestilah menggunakan kaedah enkripsi
(encryption);

c. Lokasi bagi akses ke sistem ICT JPA hendaklah
dipastikan selamat; dan

d. Penggunaan perkhidmatan ini hendaklah mendapat
kebenaran daripada Pengurus ICT. Pengguna yang
diberi hak adalah bertanggungjawab penuh ke atas
penggunaan kemudahan ini.

Pentadbir Sistem,
Pengguna

Versi:
2.1
Muka Surat:
75 dari 98

02 Disember 2010

K07/06 Kawalan Capaian Rangkaian
K07/06/01 Capaian Internet
a. Penggunaan Internet di JPA hendaklah dipantau
secara berterusan oleh Pentadbir Rangkaian bagi
memastikan penggunaannya untuk tujuan capaian
yang dibenarkan sahaja. Kewaspadaan ini akan dapat
melindungi daripada kemasukan malicious code, virus
dan bahan-bahan yang tidak sepatutnya ke dalam
rangkaian JPA;

b. Penggunaan Internet hanyalah untuk kegunaan rasmi
sahaja. Pengurus ICT berhak menentukan pengguna
yang dibenarkan menggunakan Internet atau
sebaliknya;

c. Kaedah Content Filtering mestilah digunakan bagi
mengawal akses Internet mengikut fungsi kerja dan
pemantauan tahap pematuhan;

d. Penggunaan proksi yang telah ditetapkan oleh JPA
bagi mengawal akses Internet mengikut fungsi kerja
dan mematuhi pekeliling semasa yang dikeluarkan;

e. Penggunaan teknologi (packet shaper) untuk
mengawal aktiviti (video streaming, chat,
downloading) adalah perlu bagi menguruskan
penggunaan bandwidth yang maksimum dan lebih
berkesan; dan

f. Penggunaan modem peribadi untuk tujuan
sambungan ke Internet tidak dibenarkan sama sekali
di pejabat kecuali dengan kebenaran seperti di
Lampiran 3.

Pentadbir Rangkaian

Pengurus ICT

Pentadbir Rangkaian

Versi:
2.1
Muka Surat:
76 dari 98

02 Disember 2010

Kawalan 08: Perolehan, Pembangunan dan Penyelenggaraan Sistem

Objektif

Memastikan sistem yang dibangunkan sendiri atau pihak ketiga mempunyai ciri-ciri
keselamatan ICT yang bersesuaian.

K08/01 Kawalan Prosesan Aplikasi
a. Perolehan, pembangunan, penambahbaikan dan
penyelenggaraan sistem hendaklah mengambil kira
kawalan keselamatan bagi memastikan tidak
wujudnya sebarang ralat yang boleh mengganggu
sistem pemprosesan dan ketepatan maklumat;

b. Ujian keselamatan hendaklah dijalankan ke atas
sistem aplikasi untuk menyemak pengesahan dan
integriti data; dan

c. Sistem yang dibangunkan atau digunakan hendaklah
diuji terlebih dahulu bagi memastikan sistem
berkenaan memenuhi keperluan keselamatan
sebelum digunakan.

Pentadbir Sistem,
ICTSO
K08/01/01 Pengesahan Data Input
Data input bagi aplikasi perlu disahkan bagi memastikan
data yang dimasukkan betul dan bersesuaian.

Pentadbir Sistem

K08/01/02 Kawalan Prosesan
Kawalan proses perlu ada dalam aplikasi bagi tujuan
mengesan sebarang pengubahsuaian ke atas maklumat
yang berkemungkinan terhasil daripada masalah semasa
prosesan.

Pentadbir Sistem

Versi:
2.1
Muka Surat:
77 dari 98

02 Disember 2010

K08/01/03 Pengesahan Data Output
Data output daripada aplikasi perlu disahkan bagi
memastikan maklumat yang dihasilkan adalah tepat.

Pentadbir Sistem

K08/02 Kawalan Kriptografi
Melindungi kerahsiaan, integriti dan kesahihan maklumat
yang merangkumi data di dalam sistem rangkaian, sistem
aplikasi dan pangkalan data.

Kriptografi turut merangkumi kaedah-kaedah seperti
berikut:

a. Enkripsi
Sistem aplikasi yang melibatkan maklumat
terperingkat hendaklah dibuat enkripsi (encryption).

b. Tandatangan Digital
Maklumat terperingkat yang perlu diproses dan
dihantar secara elektronik hendaklah menggunakan
tandatangan digital.

c. Pengurusan Infrastruktur Kunci Awam/Public Key
Infrastructure (PKI)
Pengurusan ke atas PKI hendaklah dilakukan dengan
berkesan dan selamat bagi melindungi kunci
berkenaan dari diubah, dimusnah dan didedahkan
sepanjang tempoh sah kunci tersebut.

Pentadbir Sistem,
Pengguna
K08/03 Keselamatan Fail Sistem
Fail sistem perlu dikawal dan dikendalikan dengan baik
dan selamat.

Pentadbir Sistem

Versi:
2.1
Muka Surat:
78 dari 98

02 Disember 2010

a. Proses pengemaskinian fail sistem hanya boleh
dilakukan oleh Pentadbir Sistem atau/dan pegawai
yang berkenaan dan mengikut prosedur yang telah
ditetapkan;

b. Kod atau aturcara sistem yang telah dikemaskini
hanya boleh dilaksanakan atau digunakan selepas
diuji;

c. Mengawal capaian ke atas kod atau aturcara program
bagi mengelakkan kerosakan, pengubahsuaian tanpa
kebenaran, penghapusan dan kecurian; dan

d. Mengaktifkan log audit bagi merekodkan semua
aktiviti pengemaskinian untuk tujuan statistik,
pemulihan dan keselamatan.

K08/04 Keselamatan Dalam Proses Pembangunan dan Sokongan
K08/04/01 Prosedur Perubahan
Perubahan atau pengubahsuaian ke atas sistem maklumat
dan aplikasi hendaklah dikawal, diuji, direkod dan
disahkan sebelum diguna pakai.

Pentadbir Sistem dan
Pemilik Proses/Sistem
K08/04/02 Pembangunan Secara Outsource
Pembangunan perisian aplikasi secara outsource perlu
dipantau oleh Pengurus ICT.

Source code adalah menjadi hak milik JPA.

Pengurus ICT

K08/05 Kawalan dari Ancaman Teknikal
Maklumat mengenai ancaman teknikal sistem maklumat
yang digunakan perlu diperolehi. Pendedahan organisasi
kepada ancaman keselamatan perlu dinilai dan

Pentadbir Sistem,
ICTSO

Versi:
2.1
Muka Surat:
79 dari 98

02 Disember 2010

menyediakan langkah-langkah kawalan bagi mengatasi
risiko yang bakal dihadapi.

Versi:
2.1
Muka Surat:
80 dari 98

02 Disember 2010

Kawalan 09: Pengurusan Pengendalian Insiden Keselamatan

Objektif

Untuk memastikan semua insiden dikendalikan dengan cepat, tepat dan berkesan bagi
memastikan sistem ICT JPA dapat segera beroperasi semula dengan baik supaya tidak
menjejaskan imej JPA dan sistem penyampaian perkhidmatan.

K09/01 Mekanisme Pelaporan Insiden Keselamatan ICT
a. Pelaporan
Semua insiden keselamatan ICT yang berlaku mesti
dilaporkan kepada ICTSO dan JPACERT untuk
pengendalian dan pengumpulan statistik insiden
keselamatan ICT Kerajaan. Semua maklumat adalah
SULIT, dan hanya boleh didedahkan kepada pihak-
pihak yang dibenarkan.

b. JPACERT
Pasukan JPACERT akan bertindak dan menghubungi
GCERT sebagai makluman atau bagi mendapatkan
bantuan.

c. Tanggungjawab Pengguna
Semua kakitangan, pembekal, pakar runding dan
pihak-pihak lain yang terlibat diingatkan supaya tidak
melaksanakan sebarang tindakan secara sendiri, tapi
sebaliknya perlu terus melaporkan dengan segera
sebarang kejadian insiden keselamatan ICT bagi
mengelakkan kerosakan bahan bukti.

ICTSO, Pengguna,
JPACERT

Versi:
2.1
Muka Surat:
81 dari 98

02 Disember 2010

d. Tindakan Dalam Keadaan Berisiko Tinggi
Dalam keadaan atau persekitaran berisiko tinggi,
pengurusan atasan hendaklah dimaklumkan dengan
serta-merta supaya satu keputusan segera dapat
diambil. Tindakan ini perlu bagi mengelakkan kesan
atau impak kerosakan yang lebih teruk dan
mengelakkan kejadian insiden merebak.

K09/02 Prosedur Pengendalian Insiden Keselamatan ICT
Semua pegawai pasukan pengendali insiden keselamatan
ICT atau JPACERT perlu melaksanakan pengurusan
pengendalian insiden keselamatan ICT berpandukan
prosedur operasi standard keselamatan JPACERT dan
GCERT.

ICTSO, JPACERT

Versi:
2.1
Muka Surat:
82 dari 98

02 Disember 2010

Kawalan 10: Pengurusan Kesinambungan Perkhidmatan

Objektif

Menjamin operasi perkhidmatan agar tidak tergendala dan penyampaian perkhidmatan yang
berterusan kepada pelanggan.

K10/01 Pelan Kesinambungan Perkhidmatan
Pelan Kesinambungan Perkhidmatan hendaklah
dibangunkan untuk menentukan pendekatan yang
menyeluruh diambil bagi mengekalkan kesinambungan
perkhidmatan. Ini bertujuan memastikan tiada gangguan
kepada proses-proses dalam penyediaan perkhidmatan
organisasi. Pelan ini mestilah diluluskan oleh JPICT dan
perkara-perkara berikut perlu diberi perhatian:

a. Mengenal pasti semua tanggungjawab dan prosedur
kecemasan dan pemulihan;

b. Melaksanakan prosedur-prosedur kecemasan bagi
membolehkan pemulihan dapat dilakukan secepat
mungkin atau dalam jangka masa yang telah
ditetapkan;

c. Mendokumentasikan proses dan prosedur yang telah
dipersetujui;

d. Mengenalpasti peristiwa yang boleh mengakibatkan
gangguan terhadap proses bisnes bersama dengan
kemungkinan dan impak gangguan tersebut serta
akibat terhadap keselamatan ICT;

e. Mengadakan program latihan kepada pengguna

ICTSO

Versi:
2.1
Muka Surat:
83 dari 98

02 Disember 2010

mengenai prosedur kecemasan;

f. Membuat backup; dan

g. Menguji dan mengemas kini pelan sekurang-
kurangnya setahun sekali.

K10/02 Pengurusan Kesinambungan Perkhidmatan
Pengurusan Kesinambungan Perkhidmatan adalah
mekanisme bagi mengurus dan memastikan kepentingan
stakeholder sistem penyampaian perkhidmatan
dilindungi dan imej JPA terpelihara. Ini dilakukan dengan
mengenal pasti kesan atau impak yang berpotensi
menjejaskan sistem penyampaian perkhidmatan JPA di
samping menyediakan pelan tindakan bagi mewujudkan
ketahanan dan keupayaan bertindak yang berkesan.

Ketua Jabatan adalah bertanggungjawab untuk
memastikan operasi sistem penyampaian perkhidmatan
di bawah kawalannya disediakan secara berterusan
tanpa gangguan di samping menyediakan perlindungan
keselamatan kepada aset ICT JPA.

Pelan Pengurusan Kesinambungan Perkhidmatan perlu
dibangunkan dan hendaklah mengandungi perkara-
perkara berikut:
a. Senarai aktiviti teras yang dianggap kritikal mengikut
susunan keutamaan;

b. Senarai pegawai JPA dan pembekal beserta nombor
yang boleh dihubungi (faksimili, telefon dan e-mel).
Senarai kedua juga hendaklah disediakan sebagai
menggantikan pegawai yang tidak dapat hadir untuk
menangani insiden;

ICTSO

Versi:
2.1
Muka Surat:
84 dari 98

02 Disember 2010

c. Senarai lengkap maklumat yang memerlukan backup
dan lokasi sebenar penyimpanannya serta arahan
pemulihan maklumat dan kemudahan yang
berkaitan;

d. Alternatif sumber pemprosesan dan lokasi untuk
menggantikan sumber yang telah lumpuh; dan

e. Perjanjian dengan pembekal perkhidmatan untuk
mendapatkan keutamaan penyambungan semula
perkhidmatan.

Salinan pelan Pengurusan Kesinambungan Perkhidmatan
perlu disimpan di lokasi berasingan untuk mengelakkan
kerosakan akibat bencana di lokasi utama. Pelan
Pengurusan Kesinambungan Perkhidmatan hendaklah
diuji sekurang-kurangnya sekali setahun atau apabila
terdapat perubahan dalam persekitaran atau fungsi
bisnes untuk memastikan ia sentiasa kekal berkesan.
Penilaian secara berkala hendaklah dilaksanakan untuk
memastikan pelan tersebut bersesuaian dan memenuhi
tujuan dibangunkan.

Ujian pelan Pengurusan Kesinambungan Perkhidmatan
hendaklah dijadualkan untuk memastikan semua ahli
dalam pemulihan dan pegawai yang terlibat mengetahui
mengenai pelan tersebut, tanggungjawab dan peranan
mereka apabila pelan dilaksanakan.

JPA hendaklah memastikan salinan pelan Pengurusan
Kesinambungan Perkhidmatan sentiasa dikemas kini dan
dilindungi seperti di lokasi utama.

02 Disember 2010

Versi:
2.1
Muka Surat:
85 dari 98


Kawalan 11: Pematuhan

Objektif
Meningkatkan tahap keselamatan ICT bagi mengelak daripada pelanggaran kepada DKICT JPA.
K11/01 Pematuhan Dasar
Setiap pengguna di JPA hendaklah membaca, memahami
dan mematuhi DKICT JPA dan undang-undang atau
peraturan-peraturan lain yang berkaitan.

Semua aset ICT di JPA termasuk maklumat yang
disimpan di dalamnya adalah hak milik Kerajaan. Ketua
Jabatan berhak untuk memantau aktiviti pengguna untuk
mengesan penggunaan selain dari tujuan yang telah
ditetapkan.

Semua
K11/02 Pematuhan dengan Dasar, Piawaian dan Keperluan Teknikal
ICTSO perlu memastikan semua prosedur keselamatan
dalam bidang tugas masing-masing mematuhi dasar,
piawaian dan keperluan teknikal.

Sistem maklumat perlu melalui pemeriksaan secara
berkala bagi mematuhi standard pelaksanaan
keselamatan.

ICTSO
K11/03 Pematuhan Keperluan Audit
Pematuhan kepada keperluan audit perlu bagi
meminimumkan ancaman dan memaksimumkan
keberkesanan dalam proses audit sistem maklumat.

Keperluan audit dan sebarang aktiviti pemeriksaan ke
atas sistem operasi perlu dirancang dan dipersetujui bagi
mengurangkan kebarangkalian berlaku gangguan dalam

ICTSO
02 Disember 2010

Versi:
2.1
Muka Surat:
86 dari 98


penyediaan perkhidmatan.

Capaian ke atas peralatan audit sistem maklumat perlu
dijaga dan diselia bagi mengelakkan berlaku
penyalahgunaan.

K11/04 Keperluan Perundangan dan Peraturan
Berikut adalah keperluan perundangan atau peraturan-
peraturan lain berkaitan yang perlu dipatuhi oleh semua
pengguna di JPA:
i. Arahan Keselamatan;
ii. Pekeliling Am Bilangan 3 Tahun 2000 bertajuk
Rangka Dasar Keselamatan Teknologi Maklumat
dan Komunikasi Kerajaan;
iii. Malaysian Public Sector Management of Information
and Communications Technology Security
Handbook (MyMIS);
iv. Pekeliling Am Bilangan 1 Tahun 2001 bertajuk
Mekanisme Pelaporan Insiden Keselamatan
Teknologi Maklumat dan Komunikasi (ICT);
v. Pekeliling Kemajuan Pentadbiran Awam Bilangan 1
Tahun 2003 bertajuk Garis Panduan Mengenai
Tatacara Penggunaan Internet dan Mel Elektronik di
Agensi-Agensi Kerajaan;
vi. Surat Pekeliling Am Bilangan 6 Tahun 2005 Garis
Panduan Penilaian Risiko Keselamatan Maklumat
Sektor Awam;
vii. Akta Tandatangan Digital 1997;
viii. SPA Bil. 4 Tahun 2006;
ix. Akta Rahsia Rasmi 1972;
x. Akta Jenayah Komputer 1997;
xi. Akta Hakcipta (Pindaan) Tahun 1997;
xii. Akta Komunikasi dan Multimedia 1998;

Pengguna

02 Disember 2010

Versi:
2.1
Muka Surat:
87 dari 98


xiii. Surat Pekeliling Perbendaharaan Bil.2/1995
(Tambahan pertama)- Tatacara Penyediaan,
Penilaian dan PenerimaanTender;
xiv. Surat Pekeliling Perbendaharaan Bil. 3/1995 -
Peraturan Perolehan Perkhidmatan Perundingan;
xv. Surat Pekeliling Am Bil. 4 Tahun 2006
Pengurusan Pengendalian Insiden Keselamatan
Teknologi Maklumat dan Komunikasi (ICT) Sektor
Awam;
xvi. Etika Penggunaan E-mel dan Internet JPA;
xvii. Perintah-Perintah Am;
xviii. Arahan Perbendaharaan;
xix. Arahan Teknologi Maklumat 2007;
xx. Surat Akujanji;
xxi. MPK Bahagian;
xxii. Fail Meja Kakitangan;
xxiii. Pelan Kesinambungan Perkhidmatan;
xxiv. Surat Arahan MAMPU.702-1/1/7 Jld. 3 (48)
bertarikh 23 Mac 2009 Pengaktifan Fail Log
Server Bagi Tujuan Pengurusan Pengendalian
Insiden Keselamatan ICT di Agensi-agensi
Kerajaan;
xxv. Surat Arahan MAMPU.BDPICT(S) 700-6/1/3(21)
bertarikh 19 November 2009 Penggunaan Media
Jaringan Sosial di Sektor Awam; dan
xxvi. Pekeliling Perbendaharaan 5 Tahun 2007: Tatacara
Pengurusan Aset Alih Kerajaan (TPA).

K11/05 Pelanggaran Perundangan
Pelanggaran dasar ini boleh diambil tindakan undang-
undang dan tatatertib di bawah Akta Rahsia Rasmi 1972
dan Perintah-Perintah Am Bab D - Peraturan-Peraturan
Pegawai Awam (Kelakuan Dan Tatatertib).

Pengguna

Versi:
2.1
Muka Surat:
88 dari 98

02 Disember 2010

Glosari

Antivirus

Aset Alih

Aset ICT

Backup

Bandwidth

BRP

CCTV

CIA
3

CERT Agensi

Perisian yang mengimbas virus pada media storan, seperti cakera
keras (hard disk) dan disket (diskette) untuk sebarang kemungkinan
adanya virus.

Aset alih bermaksud aset yang boleh dipindahkan dari satu tempat ke
satu tempat yang lain termasuk aset yang dibekalkan atau dipasang
bersekali dengan bangunan.

Peralatan ICT termasuk komputer, media storan, server, router,
firewall, rangkaian dan lain-lain.

Proses penduaan sesuatu dokumen atau maklumat.

Jalur lebar
Ukuran atau jumlah data yang boleh dipindahkan melalui kawalan
komunikasi (di antara cakera keras dan PC utama) dalam jangka masa
yang ditetapkan.

Business Resumption Planning
Pelan Kesinambungan Perkhidmatan

Closed-circuit television system
Sistem TV yang digunakan secara komersil di mana satu sistem TV
kamera video dipasang di dalam premis pejabat bagi tujuan membantu
pemantauan fizikal.

Confidentiality, Integrity, Authenticity, Accessibility, Accountability

Computer Emergency Response Team
Organisasi yang ditubuhkan untuk membantu agensi mengurus

Versi:
2.1
Muka Surat:
89 dari 98

02 Disember 2010

CIO

Denial of service

Downloading

Encryption

Firewall

Forgery

GCERT

Hard disk

Hub

pengendalian insiden keselamatan ICT di agensi masing-masing dan
agensi di bawah kawalannya.

Chief Information Officer
Ketua Pegawai Maklumat yang bertanggungjawab terhadap ICT dan
sistem maklumat bagi menyokong arahtuju sesebuah organisasi.

Halangan pemberian perkhidmatan.

Aktiviti muat-turun sesuatu perisian.

Enkripsi atau penyulitan. Proses enkripsi data oleh pengirim supaya
tidak difahami oleh orang lain kecuali penerima yang sah.

Sistem yang direkabentuk untuk menghalang capaian pengguna yang
tidak berkenaan kepada atau daripada rangkaian dalaman. Terdapat
dalam bentuk perkakasan atau perisian atau kombinasi kedua-duanya.

Pemalsuan dan penyamaran identiti yang banyak dilakukan dalam
penghantaran mesej melalui emel termasuk penyalahgunaan dan
pencurian identiti, pencurian maklumat (information theft / espionage),
penipuan (hoaxes).

Government Computer Emergency Response Team
Pasukan Tindak Balas Insiden Keselamatan ICT Kerajaan.

Cakera keras. Digunakan untuk menyimpan data dan boleh diakses
lebih pantas.

Hab merupakan peranti yang menghubungkan dua atau lebih stesen
kerja menjadi suatu topologi bas berbentuk bintang dan menyiarkan
(broadcast) data yang diterima daripada sesuatu port kepada semua
port yang lain.

Versi:
2.1
Muka Surat:
90 dari 98

02 Disember 2010

ICT

ICTSO

Insiden Keselamatan

INTAN

ISDN

Internet

Internet Gateway

Intranet

Intrusion Detection
System (IDS)

Information and Communication Technology.

ICT Security Officer
Pegawai yang bertanggungjawab terhadap keselamatan sistem
komputer.

Musibah (adverse event) yang berlaku ke atas sistem maklumat dan
komunikasi atau ancaman kemungkinan berlaku kejadian tersebut.

Institut Tadbiran Awam Negara

Integrated Services Digital Networks
Menggunakan isyarat digital pada talian telefon analog yang sedia ada.

Sistem rangkaian seluruh dunia, di mana pengguna pada mana-mana
komputer boleh membuat capaian maklumat daripada pelayan (server)
atau komputer lain.

Merupakan suatu titik yang berperanan sebagai pintu masuk ke
rangkain yang lain. Menjadi pemandu arah trafik dengan betul dari satu
trafik ke satu trafik yang lain di samping mengekalkan trafik-trafik
dalam rangkaian-rangkaian tersebut agar sentiasa berasingan.

Rangkaian dalaman yang dimiliki oleh sesebuah organisasi atau jabatan
dan hanya boleh dicapai oleh kakitangan dan mereka yang diberi
kebenaran sahaja.

Sistem Pengesan Pencerobohan
Perisian atau perkakasan yang mengesan aktiviti tidak berkaitan,
kesilapan atau yang berbahaya kepada sistem. Sifat IDS berpandukan
jenis data yang dipantau, iaitu sama ada lebih bersifat host atau
rangkaian.

Versi:
2.1
Muka Surat:
91 dari 98

02 Disember 2010

Intrusion Prevention
System (IPS)

JPA

Keadaan Berisiko
Tinggi

LAN

Lightning arrestor

Lock

Log out

Sistem Pencegah Pencerobohan
Perkakasan keselamatan komputer yang memantau rangkaian
dan/atau aktiviti yang berlaku dalam sistem bagi mengesan perisian
berbahaya. Boleh bertindakbalas menyekat atau menghalang aktiviti
serangan atau malicious code. Sebagai contoh, network-based IPS
yang akan memantau semua trafik rangkaian bagi sebarang
kemungkinan serangan.

JPA merangkumi bahagian-bahagian seperti berikut:
1. Bahagian Perancangan, Penyelidikan dan Korporat (BPP);
2. Bahagian Pembangunan Organisasi (BPO);
3. Bahagian Perkhidmatan (BK);
4. Bahagian Saraan (BS);
5. Bahagian Pembangunan Modal Insan (BMI);
6. Bahagian Khidmat Pengurusan (BKP);
7. Bahagian Pasca Perkhidmatan (BP);
8. Bahagian Pengurusan Maklumat (BPM);
9. Bahagian Pengurusan Psikologi (BPPs); dan
10. Institut Tadbiran Awam Negara (INTAN).

Dalam situasi yang mudah mendapat ancaman dari pihak luar atau
apa-apa kemungkinan yang boleh menjejaskan kelancaran sistem.

Local Area Network
Rangkaian Kawasan Setempat yang menghubungkan komputer.

Alat yang digunakan untuk mencegah daripada ancaman kilat.

Mengunci komputer.

Log-out komputer
Keluar daripada sesuatu sistem atau aplikasi komputer.

Versi:
2.1
Muka Surat:
92 dari 98

02 Disember 2010

Malicious Code

MODEM

Outsource

Peripheral

Perisian Aplikasi

PKI

Pusat Data

Rahsia

Perkakasan atau perisian yang dimasukkan ke dalam sistem tanpa
kebenaran bagi tujuan pencerobohan. Ia melibatkan serangan virus,
trojan horse, worm, spyware dan sebagainya.

MOdulator DEModulator
Peranti yang boleh menukar strim bit digital ke isyarat analog dan
sebaliknya. Ia biasanya disambung ke talian telefon bagi membolehkan
capaian Internet dibuat dari komputer.

Maklumat yang diproses dan diperolehi di luar daripada sesuatu
organisasi atau struktur kerja.

Aset yang digunakan untuk menyokong pemprosesan maklumat

Ia merujuk pada perisian atau pakej yang selalu digunakan seperti
spreadsheet dan word processing ataupun sistem aplikasi yang
dibangunkan oleh sesebuah organisasi atau jabatan.

Public-Key Infrastructure
Infrastruktur Kunci Awam.

Pusat Data JPA merangkumi tiga (3) pengurusan pusat data utama
iaitu Bahagian Pasca Perkhidmatan, Bahagian Pengurusan Maklumat
dan INTAN.

Dokumen rasmi, maklumat rasmi dan bahan rasmi yang jika
didedahkan tanpa kebenaran akan membahayakan keselamatan
negara, menyebabkan kerosakan besar kepada kepentingan dan
martabat Malaysia atau memberi keuntungan besar kepada sesebuah
kuasa asing.

Versi:
2.1
Muka Surat:
93 dari 98

02 Disember 2010

Rahsia Besar

Restoration

Router

Screen saver

Server

Sulit

Switches

Terhad

Threat
Dokumen, maklumat dan bahan rasmi yang jika didedahkan tanpa
kebenaran akan menyebabkan kerosakan yang amat besar kepada
Malaysia.

Pemulihan ke atas data.

Penghala yang digunakan untuk menghantar data antara dua
rangkaian yang mempunyai kedudukan rangkaian yang berlainan.
Sebagai contoh, capaian Internet.

Imej yang akan diaktifkan pada komputer setelah ianya tidak
digunakan dalam jangka masa tertentu.

Pelayan

Dokumen, maklumat dan bahan rasmi yang jika didedahkan tanpa
kebenaran walaupun tidak membahayakan keselamatan negara tetapi
memudaratkan kepentingan atau martabat Malaysia atau kegiatan
Kerajaan atau orang perseorangan atau akan menyebabkan keadaan
memalukan atau kesusahan kepada pentadbiran atau akan
menguntungkan sesebuah kuasa asing.

Suis merupakan gabungan hab dan titi yang menapis bingkai supaya
mensegmenkan rangkaian. Kegunaan suis dapat memperbaiki prestasi
rangkaian CSMA/CD secara mengurangkan pelanggaran yang berlaku.

Dokumen rasmi, maklumat rasmi dan bahan rasmi selain daripada
yang diperingkatkan RAHSIA BESAR, RAHSIA atau SULIT tetapi
berkehendakkan juga diberi satu tahap perlindungan keselamatan.

Gangguan dan ancaman melalui pelbagai cara iaitu e-mel dan surat

Versi:
2.1
Muka Surat:
94 dari 98

02 Disember 2010

Uninterruptible Power
Supply (UPS)

Video conference

Video streaming

Virus

WAN

Worm

Wireless LAN
yang bermotif personal dan atas sebab tertentu.

Satu peralatan yang digunakan bagi membekalkan bekalan kuasa yang
berterusan dari sumber berlainan ketika ketiadaan bekalan kuasa ke
peralatan yang bersambung.

Media yang menerima dan memaparkan maklumat multimedia kepada
pengguna dalam masa yang sama ia diterima oleh penghantar.

Teknologi komunikasi yang interaktif yang membenarkan dua atau
lebih lokasi untuk berinteraksi melalui paparan video dua hala dan
audio secara serentak.

Aturcara yang bertujuan merosakkan data atau sistem aplikasi.

Wide Area Network
Rangkaian yang merangkumi kawasan yang luas.

Sejenis virus yang boleh mereplikasi dan membiak dengan sendiri. Ia
biasanya menjangkiti sistem operasi yang lemah atau tidak dikemas
kini.

Jaringan komputer yang terhubung tanpa melalui kabel.

Versi:
2.1
Muka Surat:
95 dari 98

02 Disember 2010

Lampiran 1

SURAT AKUAN PEMATUHAN
DASAR KESELAMATAN ICT (DKICT) JPA

Nama (Huruf Besar) :
No. Kad Pengenalan :
Jawatan :
Organisasi :

Adalah dengan sesungguhnya dan sebenarnya mengaku bahawa:

1. Saya telah membaca, memahami dan akur akan peruntukan-peruntukan yang
terkandung di dalam Dasar Keselamatan ICT JPA; dan
2. Jika saya ingkar kepada peruntukan-peruntukan yang ditetapkan, maka tindakan
sewajarnya boleh diambil ke atas diri saya.

Tandatangan : ..................................................
Tarikh : ..................................................

Rujukan:

Sila layari DKICT JPA di
http://www.jpa.gov.my/docs/intranet/dkict08.pdf

Versi:
2.1
Muka Surat:
96 dari 98

02 Disember 2010

Lampiran 2

Rajah 1: Ringkasan Proses Kerja Pelaporan Insiden Keselamatan ICT JPA

Versi:
2.1
Muka Surat:
97 dari 98

02 Disember 2010

Rajah 2: Ringkasan Proses Kerja Pelaporan Insiden Keselamatan ICT JPA

CERT AGENSI

Versi:
2.1
Muka Surat:
98 dari 98

02 Disember 2010

Lampiran 3

PERMOHONAN KEBENARAN UNTUK MENGGUNAKAN MODEM PERIBADI
BAGI TUJUAN SAMBUNGAN KE INTERNET

Nama (Huruf Besar) :
No. Kad Pengenalan :
Jawatan :
Organisasi :

Saya dengan ini memohon kebenaran daripada Pengurus ICT JPA untuk menggunakan modem
peribadi bagi tujuan seperti berikut:
__________________________________________________________________________
__________________________________________________________________________

Saya juga sedar bahawa saya terikat dengan peraturan-peraturan seperti yang telah
ditetapkan di dalam dokumen Dasar Keselamatan ICT (DKICT) JPA. Dan jika saya ingkar
kepada peruntukan-peruntukan tersebut, maka tindakan sewajarnya boleh diambil ke atas diri
saya. Kebenaran ini juga tertakluk kepada tiga (3) syarat berikut;
i. Memastikan perisian antivirus sentiasa aktif (activated) dan dikemaskini
disamping turut melakukan imbasan ke atas media storan yang digunakan
ii. Memasang dan menggunakan hanya perisian yang tulen
iii. Tidak menyambungkan notebook kepada rangkaian dalaman Jabatan
(wired/wireless) dan modem peribadi secara serentak

Tandatangan : ..................................................
Tarikh : ..................................................

Pengesahan Pengurus ICT

.........................................
(Nama Pengurus ICT)
b.p. Ketua Pengarah Perkhidmatan Awam
Tarikh: .........................

Dasar Keselamatan ICT JPA 2010

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Dasar Keselamatan ICT JPA 2010

Uploaded by

Copyright:

Available Formats

Salam 1 Malaysia,

You might also like