Dasar Ict Mindef v4 0 3

VERSI 4.
0
DASAR
KESELAMATAN ICT TARIKH KUATKUASA 30 OGOS 2013
MINDEF
MUKA SURAT 1/90
DASAR KESELAMATAN TEKNOLOGI MAKLUMAT

DAN KOMUNIKASI (ICT) KEMENTERIAN PERTAHANAN
PENGENALAN
Kesan penggunaan ICT telah mengubah budaya kerja organisasi.

Sementara berbangga dengan kemajuan yang dicapai, semua warga Kementerian
Pertahanan (MinDef) juga perlu peka terhadap isu keselamatan ICT terutama dari
segi peranan, tanggungjawab dan kawalan penggunaan. Penekanan ke atas
kesedaran dan tahap keselamatan ICT adalah penting dan perlu diberi perhatian
yang serius disebabkan oleh dua (2) faktor.
Faktor pertama ialah peranan dan tanggungjawab MinDef selaku

kementerian yang diberi amanah dan tanggungjawab terhadap keselamatan dan
pertahanan negara. Secara umumnya, keselamatan ICT merupakan
tanggungjawab bersama warga MinDef untuk memastikan sistem ICT yang
dikendalikan adalah selamat daripada sebarang penyalahgunaan dan ancaman
pencerobohan.
Faktor kedua ialah kewujudan penggunaan pelbagai teknologi dan

platform sistem pengoperasian. Keadaan ini membuka ruang kepada ancaman
keselamatan. Adalah penting penyimpanan dan penyebaran maklumat dibatasi
supaya kawalan dapat dibuat dengan lebih berkesan. Kepentingan Dasar
Keselamatan ICT (DKICT) MinDef digambarkan seperti di Rajah 1.
Rajah 1 : Pelaksanaan Keselamatan ICT MinDef

VERSI 4.0
DASAR
MINDEF
MUKA SURAT 2/90
DKICT MinDef mengandungi peraturan-peraturan yang mesti dibaca dan dipatuhi

dalam menggunakan aset Teknologi Maklumat dan Komunikasi (ICT). Dasar ini
juga menerangkan kepada semua pengguna mengenai tanggungjawab dan
peranan mereka dalam melindungi aset ICT MinDef.
OBJEKTIF
DKICT MinDef diwujudkan untuk menjamin kesinambungan bisnes MinDef dengan
meminimumkan kesan insiden keselamatan ICT.
Dasar ini juga bertujuan untuk memudahkan perkongsian maklumat sesuai dengan
keperluan operasi MinDef. Ini hanya boleh dicapai dengan memastikan semua aset
ICT dilindungi.
Objektif utama DKICT MinDef adalah seperti berikut :
(a) Menghebahkan pendirian pihak pengurusan untuk mendukung

pelaksanaan keselamatan ICT;
(b) Menyediakan DKICT MinDef yang komprehensif, sesuai dengan
perubahan semasa dan digunapakai oleh semua peringkat
pengurusan dan pengguna;
(c) Melindungi kepentingan aset dan pihak yang bergantung kepada
sistem ICT daripada kesan kegagalan atau kelemahan dari segi
kerahsiaan, integriti, kebolehsediaan, kesahihan maklumat dan
komunikasi, pencerobohan serta mencegah aktiviti
penyalahgunaan dan kecurian;
(d) Memastikan kelancaran operasi bisnes MinDef dengan mencegah
serta meminimumkan kemusnahan dan kerosakan aset ICT; dan
(e) Memberi kesedaran keselamatan ICT kepada warga MinDef dan
pembekal.
PERNYATAAN DASAR
Keselamatan ditakrifkan sebagai keadaan yang bebas daripada ancaman dan
risiko yang tidak boleh diterima. Kawalan keselamatan adalah proses berterusan
secara berkala yang mesti dilakukan untuk menjamin keselamatan.
VERSI 4.0
DASAR
MINDEF
MUKA SURAT 3/90
Keselamatan ICT bermaksud keadaan di mana segala urusan menyedia dan

membekalkan perkhidmatan yang berasaskan ICT beroperasi tanpa
gangguan. Keselamatan ICT berkait rapat dengan perlindungan aset ICT. Terdapat
empat (4) komponen asas keselamatan ICT iaitu :
(a) Melindungi maklumat rahsia rasmi dan maklumat rasmi kerajaan

dari capaian tidak sah;
(b) Menjamin setiap maklumat adalah asli dan sempurna;
(c) Memastikan ketersediaan maklumat apabila diperlukan; dan
(d) Memastikan akses hanya kepada pengguna yang sah dan
penerimaan maklumat daripada sumber yang sah.
DKICT MinDef merangkumi perlindungan ke atas semua bentuk maklumat

elektronik bertujuan untuk menjamin keselamatan dan ketersediaan maklumat. Ciri-
ciri utama keselamatan maklumat adalah seperti berikut :
(a) Kerahsiaan - Maklumat tidak boleh didedahkan sewenang-

wenangnya atau dibiarkan diakses tanpa kebenaran;
(b) Integriti - Data dan maklumat hendaklah asli dan sempurna. Ia
hanya boleh diubah dengan cara yang dibenarkan;
(c) Ketersediaan - Data dan maklumat hendaklah boleh diakses pada
bila-bila masa;
(d) Tidak Boleh Disangkal - Punca data dan maklumat hendaklah
daripada sumber yang sah dan tidak boleh disangkal; dan
(e) Kesahihan - Data dan maklumat hendaklah dijamin kesahihannya.
SKOP
DKICT MinDef merangkumi skop berikut :
(a) Aset ICT MinDef terdiri daripada perkakasan, perisian,

perkhidmatan, data atau maklumat dan manusia;
(b) Proses dan prosedur keselamatan ICT; dan
(c) Tadbir urus keselamatan ICT.
VERSI 4.0
DASAR
MINDEF
MUKA SURAT 4/90
DKICT MinDef merangkumi perlindungan ke atas semua bentuk maklumat kerajaan

yang diwujud, dimasuk, diedar, dijana, disimpan, dicetak, diakses dan dimusnah
melalui pewujudan dan penguatkuasaan sistem kawalan dan prosedur dalam
pengendalian semua aset ICT di lokasi yang terlibat.
Sebarang kebocoran rahsia atau kelemahan perlindungan adalah dianggap
sebagai pelanggaran langkah-langkah keselamatan.
PRINSIP-PRINSIP
Prinsip-prinsip yang menjadi asas kepada DKICT MinDef perlu dipatuhi seperti
berikut :
(a) Akses atas dasar perlu mengetahui

Akses terhadap penggunaan aset ICT hanya diberikan untuk tujuan
spesifik dan dihadkan kepada pengguna tertentu atas dasar “perlu
mengetahui” sahaja. Ini bermakna akses hanya akan diberikan
sekiranya peranan atau fungsi pengguna memerlukan maklumat
tersebut. Pertimbangan untuk akses adalah berdasarkan kategori
maklumat seperti yang dinyatakan di dalam dokumen Arahan
Keselamatan perenggan 53, muka surat 15;
(b) Hak akses minimum

Hak akses pengguna hanya diberi pada tahap paling minimum iaitu
untuk membaca dan / atau melihat sahaja. Kelulusan adalah perlu
untuk membolehkan pengguna mewujud, menyimpan,
mengemaskini, mengubah, membatal atau menghapus sesuatu
maklumat. Hak akses perlu disemak dari semasa ke semasa
berdasarkan kepada peranan dan tanggungjawab pengguna /
bidang tugas;
(c) Akauntabiliti
Semua pengguna adalah dipertanggungjawabkan ke atas semua
tindakannya terhadap aset ICT MinDef. Untuk menentukan
tanggungjawab ini dipatuhi, sistem ICT hendaklah mempunyai
VERSI 4.0
DASAR
MINDEF
MUKA SURAT 5/90
keupayaan mengesan dan mengesahkan pengguna boleh

dipertanggungjawabkan atas tindakan mereka. Akauntabiliti atau
tanggungjawab pengguna merangkumi perkara berikut :
i. Menghalang pendedahan maklumat kepada pihak yang tidak
dibenarkan;
ii. Memeriksa maklumat dan menentukan keaslian dan
kesempurnaan dari semasa ke semasa;
iii. Menentukan maklumat sedia untuk digunakan;
iv. Menjaga kerahsiaan kata laluan;
v. Mematuhi standard, prosedur, langkah dan garis panduan
keselamatan yang ditetapkan; dan
vi. Memberi perhatian kepada maklumat berdarjah terutama
semasa pewujudan, pemprosesan, penyimpanan,
penyelenggaraan, penghantaran, penyampaian, pertukaran
dan pemusnahan.
(d) Pengasingan Fungsi

Pengasingan fungsi perlu diadakan di antara pentadbir dan
pengguna. Pengasingan fungsi juga hendaklah dilakukan di antara
pentadbir sistem dan pentadbir rangkaian. Tugas mewujud,
memadam, mengemaskini, mengubah dan mengesahkan data
perlu diasingkan bagi mengelakkan daripada capaian yang tidak
dibenarkan serta melindungi aset ICT daripada kesilapan,
kebocoran maklumat terperingkat atau dimanipulasi.
(e) Pengauditan Keselamatan

Pengauditan keselamatan adalah tindakan untuk mengenalpasti
insiden berkaitan keselamatan atau mengenalpasti keadaan yang
mengancam keselamatan. Ia membabitkan pemeliharaan semua
rekod berkaitan tindakan keselamatan. Dengan itu, aset ICT seperti
komputer, server, firewall dan rangkaian hendaklah dapat menjana
dan menyimpan log tindakan keselamatan atau jejak audit.
VERSI 4.0
DASAR
MINDEF
MUKA SURAT 6/90
(f) Pematuhan
DKICT MinDef hendaklah dibaca dan dipatuhi bagi mengelak
sebarang bentuk pelanggaran ke atasnya yang boleh membawa
ancaman kepada keselamatan ICT.
(g) Pemulihan
Pemulihan sistem ICT perlu untuk memastikan kebolehsediaan dan
kebolehcapaian maklumat. Objektif utama adalah untuk
meminimumkan sebarang gangguan atau kerugian akibat daripada
ketidaksediaan. Pemulihan boleh dilakukan melalui aktiviti
penduaan dan mewujudkan pelan pemulihan bencana /
kesinambungan perkhidmatan; dan
(h) Saling Bergantungan

Setiap prinsip adalah saling lengkap-melengkapi dan bergantung
antara satu sama lain bagi menjamin keselamatan ICT yang
maksimum.
VERSI 4.0
DASAR
MINDEF
MUKA SURAT 7/90
BIDANG 1 : PELAKSANAAN DASAR KESELAMATAN ICT
Objektif
Untuk memberi hala tuju dan peraturan-peraturan bagi mengguna dan melindungi
aset ICT selaras dengan keperluan undang-undang.
Bil Perkara Tanggungjawab
1.1 Pelaksanaan Dasar Keselamatan ICT
Pelaksanaan dasar ini akan dijalankan oleh Ketua KSU
Setiausaha (KSU) dengan dibantu oleh Jawatankuasa
Pemandu ICT (JPICT) MinDef yang terdiri daripada Ketua
Pegawai Maklumat (CIO), Pegawai Keselamatan ICT
(ICTSO) dan lain-lain pegawai yang dilantik.
1.2 Penyebaran Dasar
Dasar ini perlu disebarkan kepada semua warga MinDef ICTSO
dan pembekal yang berurusan dengan MinDef.
1.3 Penyelenggaraan Dasar
DKICT MinDef perlu disemak sekurang-kurangnya dua (2) ICTSO
tahun sekali atau sekiranya ada keperluan. Prosedur
penyelenggaraan DKICT MinDef adalah seperti berikut :
(a) Kenal pasti dan tentukan perubahan yang
diperlukan;
(b) Mengemukakan cadangan perubahan secara
bertulis kepada ICTSO untuk pembentangan
dan persetujuan Ketua-ketua Jabatan dan
Bahagian (KKB) / JPICT MinDef; dan
(c) Menyebarkan perubahan dasar yang telah
dipersetujui oleh KKB / JPICT MinDef kepada
semua warga MinDef.
1.4 Pemakaian Dan Pengecualian Dasar
DKICT MinDef adalah terpakai kepada semua warga Warga MinDef,
Pembekal dan
MinDef, pembekal dan pelawat yang berurusan dengan
Pelawat
MinDef dan tiada pengecualian diberikan.
VERSI 4.0
DASAR
MINDEF
MUKA SURAT 8/90
BIDANG 2 : ORGANISASI KESELAMATAN ICT
Objektif
Menerangkan peranan dan tanggungjawab semua pihak yang terlibat dengan lebih
jelas dan teratur dalam mencapai objektif DKICT MinDef.
2.1 Ketua Setiausaha
Peranan dan tanggungjawab Ketua Setiausaha (KSU) KSU
adalah seperti berikut :
(a) Memastikan pelaksanaan organisasi
keselamatan ICT MinDef berfungsi dengan
berkesan;
(b) Memastikan semua pengguna mematuhi DKICT
MinDef;
(c) Memastikan semua keperluan keselamatan ICT
(sumber kewangan, kakitangan dan
perlindungan keselamatan) adalah mencukupi;
dan
(d) Memastikan penilaian risiko dan program
keselamatan ICT dilaksanakan seperti yang
ditetapkan di dalam DKICT MinDef.
2.2 Ketua Pegawai Maklumat
Ketua Pegawai Maklumat (CIO) MinDef ialah Timbalan CIO
Ketua Setiausaha (Pengurusan). Peranan dan
tanggungjawab CIO adalah seperti berikut :
(a) Membantu KSU dalam melaksanakan tugas-
tugas yang melibatkan keselamatan ICT;
(b) Menentukan keperluan keselamatan ICT;
(c) Menyelaras pembangunan dan pelaksanaan
pelan tindakan dan program kesedaran
mengenai keselamatan ICT;
(d) Bertanggungjawab ke atas perkara-perkara
VERSI 4.0
DASAR
MINDEF
MUKA SURAT 9/90
yang berkaitan dengan keselamatan ICT; dan

(e) Mempengerusikan Mesyuarat JPICT MinDef.
2.3 Pegawai Keselamatan ICT
Pegawai Keselamatan ICT (ICTSO) bagi MinDef adalah ICTSO
Setiausaha Bahagian (SUB), Bahagian Pengurusan
Maklumat (BPM). Peranan dan tanggungjawab ICTSO
(a) Menguatkuasa dan memantau pematuhan
DKICT MinDef;
(b) Mengurus keseluruhan program-program
keselamatan ICT MinDef;
(c) Memberi penerangan dan pendedahan
berkenaan DKICT MinDef kepada semua
pengguna;
(d) Mewujudkan garis panduan, prosedur dan
tatacara selaras dengan keperluan DKICT
MinDef;
(e) Menjalankan tugas pengurusan risiko;
(f) Menjalankan audit, mengkaji, merumus
tindakbalas pengurusan berdasarkan hasil
penemuan dan menyediakan laporan
mengenainya;
(g) Memberi amaran terhadap kemungkinan
berlakunya ancaman berbahaya seperti
malware dan memberikan khidmat nasihat serta
menyediakan langkah-langkah perlindungan
yang bersesuaian;
(h) Melaporkan insiden keselamatan ICT kepada
Pasukan Tindakbalas Insiden Keselamatan ICT
Kerajaan (GCERT), Unit Pemodenan Tadbiran
Dan Perancangan Pengurusan Malaysia
VERSI 4.0
DASAR
MINDEF
MUKA SURAT 10/90
(MAMPU) dan memaklumkannya kepada CIO;

(i) Bekerjasama dengan semua pihak yang
berkaitan dalam mengenalpasti punca ancaman
atau insiden keselamatan ICT dan
memperakukan langkah-langkah baik pulih
dengan segera; dan
(j) Menyedia dan melaksanakan program
kesedaran mengenai keselamatan ICT.
2.4 Pengurus ICT
Pengurus ICT bagi MinDef ialah pegawai ICT yang Pengurus ICT
dilantik di Jabatan / Bahagian. Peranan dan
tanggungjawab Pengurus ICT adalah seperti berikut :
(a) Mengkaji semula dan melaksanakan kawalan
keselamatan ICT selaras dengan keperluan
MinDef;
(b) Menentukan kawalan akses semua pengguna
terhadap aset ICT MinDef di bawah kawalan;
(c) Melaporkan sebarang insiden atau penemuan /
ancaman keselamatan ICT kepada
MinDefCERT; dan
(d) Memastikan penyimpanan rekod, bahan bukti
dan laporan terkini mengenai ancaman
keselamatan ICT MinDef.
2.5 Pentadbir Sistem ICT (Aplikasi, Rangkaian Dan Keselamatan)
Peranan dan tanggungjawab Pentadbir Sistem ICT Pentadbir
adalah seperti berikut : Sistem
(a) Memastikan kerahsiaan kata laluan aset ICT;

(b) Mengambil tindakan mengikut proses dan
prosedur yang ditetapkan dengan segera
apabila dimaklumkan mengenai pengguna yang
berhenti, bersara, bertukar, bercuti panjang atau
VERSI 4.0
DASAR
MINDEF
MUKA SURAT 11/90
berlaku perubahan dalam bidang tugas;

(c) Mengambil tindakan mengikut proses dan
prosedur yang ditetapkan dengan segera
apabila dimaklumkan mengenai pembekal yang
berhenti atau tamat projek;
(d) Memastikan ketepatan dan kesempurnaan
capaian seperti yang telah ditetapkan;
(e) Menentukan maklumat sedia untuk digunakan;
(f) Memantau aktiviti capaian harian pengguna;
(g) Mengenal pasti aktiviti-aktiviti tidak normal
seperti pencerobohan dan pengubahsuaian
data tanpa kebenaran dengan membatalkan
atau memberhentikan dengan serta merta
capaian terhadap sistem dan memaklumkan
kepada Pengurus ICT untuk tindakan
selanjutnya;
(h) Menganalisis dan menyimpan rekod jejak audit;
(i) Menyediakan laporan mengenai aktiviti capaian
kepada pemilik maklumat berkenaan secara
berkala; dan
(j) Bertanggungjawab memantau setiap
perkakasan ICT yang diagihkan kepada
pengguna seperti komputer peribadi, komputer
riba, pencetak, pengimbas dan sebagainya di
dalam keadaan yang baik.
2.6 Pengguna Akhir (Enduser)
Peranan dan tanggungjawab pengguna adalah seperti Pengguna Akhir
berikut :
(a) Mematuhi DKICT MinDef;
(b) Mengetahui dan memahami implikasi
keselamatan ICT akibat dari tindakannya;
VERSI 4.0
DASAR
MINDEF
MUKA SURAT 12/90
(c) Menjalani proses tapisan keselamatan seperti

yang diarahkan;
(d) Mematuhi prinsip-prinsip DKICT MinDef dan
menjaga kerahsiaan maklumat MinDef;
(e) Melaksanakan langkah-langkah perlindungan
berikut :
i. Tidak mendedahkan maklumat
kepada pihak yang tidak dibenarkan;
ii. Memeriksa maklumat dan
menentukan ia asli, tepat dan lengkap;
iii. Menjaga kerahsiaan kata laluan;
iv. Mematuhi standard, prosedur, langkah
dan garis panduan keselamatan yang
ditetapkan; dan
v. Mengendalikan maklumat terperingkat
mengikut proses dan prosedur yang
ditetapkan.
(f) Melaporkan sebarang aktiviti yang mengancam
keselamatan ICT kepada MinDefCERT dengan
segera;
(g) Menghadiri program kesedaran mengenai
keselamatan ICT; dan
(h) Menandatangani ”Surat Akuan Pematuhan
DKICT MinDef “(KEMBARAN A).
2.7 Pembekal
Perkara yang perlu dipatuhi dalam berurusan dengan CIO, ICTSO,
pembekal adalah seperti berikut : Pengurus ICT,
Pentadbir
(a) Mengenal pasti risiko keselamatan aset ICT Sistem dan
Pembekal
serta melaksanakan kawalan yang sesuai
sebelum memberi kebenaran capaian; dan
VERSI 4.0
DASAR
MINDEF
MUKA SURAT 13/90
(b) Capaian kepada aset ICT MinDef perlu

dinyatakan secara jelas dalam perjanjian
kontrak.
Perkara-perkara berikut hendaklah dimasukkan di dalam

perjanjian yang dimeterai :
(a) DKICT MinDef;
(b) Tapisan Keselamatan;
(c) Perakuan Akta Rahsia Rasmi (Pindaan) 1986;
(d) Hak Harta Intelek.
2.8 Jawatankuasa Pemandu ICT MinDef (JPICT)
Jawatankuasa Pemandu ICT MinDef (JPICT) adalah JPICT MinDef
jawatankuasa yang bertanggungjawab ke atas
keselamatan ICT dan berperanan sebagai penasihat
dalam merumuskan rancangan dan strategi keselamatan
ICT MinDef.
SENARAI AHLI JPICT

VERSI 4.0
DASAR
MINDEF
MUKA SURAT 14/90
SENARAI AHLI JPICT

VERSI 4.0
DASAR
MINDEF
MUKA SURAT 15/90
SENARAI AHLI JPICT
Bidang kuasa :
(a) Memperaku, melulus dan menguatkuasa

dasar, halatuju, garis panduan dan
standard keselamatan ICT;
(b) Memantau tahap pematuhan
keselamatan ICT;
(c) Memastikan DKICT MinDef selaras
dengan dasar-dasar ICT semasa
kerajaan;
(d) Menerima dan membincangkan laporan
mengenai insiden-insiden keselamatan
ICT semasa;
(e) Membincang tindakan yang melibatkan
pelanggaran DKICT MinDef;
(f) Meneliti dan meluluskan semua program
VERSI 4.0
DASAR
MINDEF
MUKA SURAT 16/90
dan aktiviti yang berkaitan dengan

keselamatan ICT;
(g) Memastikan pengauditan keselamatan
ICT MinDef dilaksanakan sekurang-
kurangnya sekali setahun; dan
(h) Memastikan peruntukan kewangan yang
mencukupi disediakan untuk pelaksanaan
program dan aktiviti keselamatan.
2.9 Jawatankuasa Teknikal ICT MinDef (JTICT)
JTICT MinDef
SENARAI AHLI JTICT

VERSI 4.0
DASAR
MINDEF
MUKA SURAT 17/90
SENARAI AHLI JTICT
Bidang kuasa :
(a) Menilai aspek-aspek teknikal berhubung

inisiatif dan projek keselamatan ICT;
(b) Memberi nasihat teknikal kepada JPICT
MinDef;
(c) Menyediakan pelan tindakan untuk
pembangunan dan peningkatan
keselamatan sistem ICT;
(d) Menilai pilihan teknologi dan cadangan
penyelesaian terhadap keperluan
keselamatan sistem ICT; dan
(e) Mengkaji semula DKICT dari semasa ke
semasa untuk dibentangkan kepada JPICT
MinDef.
Organisasi Ministry of Defense Computer Emergency Response Team
2.10
(MinDefCERT)
Keanggotaan MinDefCERT adalah seperti berikut : MinDefCERT
Pengarah MinDefCERT : Timbalan Ketua Setiausaha

(Pengurusan) (CIO)
Pengurus MinDefCERT : SUB BPM (ICTSO)
Ahli :
(1) TSUB Cawangan Operasi, BPM

(2) TSUB Cawangan Aplikasi, BPM
(3) KPSU Cawangan Perancangan Dan
Pentadbiran, BPM
VERSI 4.0
DASAR
MINDEF
MUKA SURAT 18/90
(4) KPSU Unit Aplikasi, BPM

(5) KPSU Unit Rangkaian dan Keselamatan,
BPM
(6) KPSU Unit Teknikal, BPM
(7) KPSU Unit Pembangunan, BPM
(8) Ketua Cawangan Pengurusan Maklumat,
STRIDE
(9) Pengarah BPM, JLKN
(10) Pengarah BPM, JHEV
(11) Pegawai Teknologi Maklumat BPM
(12) Pegawai Teknologi Maklumat JLKN
(13) Pegawai Teknologi Maklumat JHEV
(14) Pegawai Teknologi Maklumat STRIDE
Urus Setia bagi MinDefCERT ialah BPM.
Bidang kuasa :
Tugas dan tanggungjawab MinDefCERT meliputi

pengurusan pengendalian insiden keselamatan ICT
seperti berikut :
(a) Menerima dan mengesan aduan

keselamatan ICT dan menilai tahap dan
jenis insiden;
(b) Merekod dan menjalankan siasatan awal
insiden yang diterima;
(c) Menangani tindak balas (response) insiden
keselamatan ICT dan mengambil tindakan
baikpulih minima;
(d) Menghubungi dan melapor insiden yang
berlaku kepada GCERT MAMPU;
VERSI 4.0
DASAR
MINDEF
MUKA SURAT 19/90
(e) Menasihat Jabatan / Bahagian supaya

mengambil tindakan pemulihan dan
pengukuhan;
(f) Memaklumkan sebarang ancaman dan
insiden keselamatan ICT kepada Jabatan /
Bahagian; dan
(g) Menjalankan penilaian untuk memastikan
tahap keselamatan ICT dan mengambil
tindakan pemulihan atau pengukuhan bagi
meningkatkan tahap keselamatan
infrastruktur ICT supaya insiden baru dapat
dielakkan.
GCERT MAMPU
MinDefCERT
(Kementerian)
 JLKN
 STRIDE
 JHEV
 MATM, TLDM, TUDM, TD,
MAB
Bahagian-bahagian Awam
(Pengurus ICT)
Rajah 2 : Carta Pelaporan Insiden Keselamatan ICT MinDef
BIDANG 3 : PENGURUSAN ASET
Objektif
Menetap dan melaksanakan tindakan bersesuaian bagi melindungi semua aset ICT
MinDef.
VERSI 4.0
DASAR
MINDEF
MUKA SURAT 20/90

3.1 Tanggungjawab Ke Atas Aset ICT
3.1.1 Memastikan semua aset ICT kerajaan diberi kawalan Pentadbir
dan perlindungan yang sewajarnya oleh pemilik Sistem dan
Pengguna
berdaftar dan pengurus aset.
3.1.2 Tanggungjawab yang perlu dipatuhi adalah termasuk Pentadbir

perkara-perkara berikut : Sistem dan
Pengguna
(a) Memastikan semua aset ICT dikenal pasti dan
maklumat aset direkod dan dikemaskini dalam
Borang Daftar Harta Modal;
(b) Memastikan semua aset ICT mempunyai
pemilik dan dikendalikan oleh pengguna yang
dibenarkan sahaja;
(c) Setiap pengguna adalah bertanggungjawab ke
atas semua aset ICT di bawah kawalannya; dan
(d) Peraturan bagi pengendalian aset hendaklah
dikenal pasti, didokumen dan dilaksanakan.
3.2 Pengelasan Maklumat
3.2.1 Memastikan setiap maklumat diberi perlindungan yang Pengguna
bersesuaian berdasarkan tahap kerahsiaan.
3.2.2 Maklumat hendaklah dikelas berasaskan nilai, keperluan Pengguna

perundangan, tahap sensitiviti dan tahap kritikal kepada
kerajaan. Setiap maklumat yang dikelaskan mestilah
mempunyai peringkat keselamatan sebagaimana yang
ditetapkan di dalam dokumen Arahan Keselamatan
seperti berikut :
i. Rahsia Besar;
ii. Rahsia;
iii. Sulit; dan
iv. Terhad
3.3 Pelabelan Dan Pengendalian Maklumat
VERSI 4.0
DASAR
MINDEF
MUKA SURAT 21/90
3.3.1 Pelabelan dan pengendalian maklumat seperti Pengguna

pewujudan, pengumpulan, pemprosesan, penyimpanan,
penghantaran, penyampaian, penukaran dan
pemusnahan hendaklah mengikut standard, prosedur,
langkah dan garis panduan keselamatan yang
ditetapkan. Prosedur pengurusan maklumat adalah
mengikut jenis-jenis pemprosesan berikut :
(a) Penyalinan (copying);
(b) Storan;
(c) Penghantaran melalui pos, faks dan e-mel;
(d) Penghantaran melalui percakapan termasuk
melalui telefon bimbit, mel suara dan mesin
menjawab telefon;
(e) Penghapusan; dan
(f) Multimedia.
3.3.2 Langkah-langkah keselamatan yang perlu diambil Pengguna

(a) Tidak mendedahkan maklumat kepada pihak

yang tidak dibenarkan;
(b) Memeriksa, menyemak maklumat dan
menentukan ia tepat dan lengkap dari semasa
ke semasa;
(c) Memastikan maklumat sedia untuk digunakan;
(d) Menjaga kerahsiaan kata laluan;
(e) Mematuhi standard, prosedur, langkah dan garis
panduan keselamatan yang dikeluarkan dari
semasa ke semasa;
(f) Memberi perhatian kepada pengendalian
maklumat rasmi terperingkat terutama semasa
VERSI 4.0
DASAR
MINDEF
MUKA SURAT 22/90
pewujudan, pengumpulan, pemprosesan,

penyimpanan, penghantaran, penyampaian,
penukaran dan pemusnahan; dan
(g) Menjaga kerahsiaan langkah-langkah
pengurusan pengendalian maklumat rasmi
keselamatan ICT dari diketahui umum.
JENIS-JENIS RAHSIA
RAHSIA SULIT TERHAD TERBUKA
PEMPROSESAN BESAR
i. Penyalinan AK AK AK BIASA BIASA

ii. Storan AK AK AK BIASA BIASA
iii. TX-Persuratan AK AK AK BIASA BIASA
iv. TX-Percakapan AK AK AK BIASA BIASA
v. Pemusnahan AK AK AK BIASA BIASA
vi. Multimedia AK AK AK BIASA BIASA
Rajah 3 : Skim Penandaan Maklumat
Nota :-
a) AK – Arahan Khas
b) BIASA - Terbuka iaitu boleh dilakukan
c) TX – Transmisi
BIDANG 4 : KESELAMATAN SUMBER MANUSIA
Objektif
Memastikan semua sumber manusia yang menjadi pengguna aset ICT memahami
tanggungjawab dan peranan, meningkatkan pengetahuan dalam keselamatan aset
ICT serta mematuhi terma dan syarat perkhidmatan termasuk peraturan semasa
yang berkuatkuasa.
VERSI 4.0
DASAR
MINDEF
MUKA SURAT 23/90

4.1 Sebelum Perkhidmatan
Perkara-perkara yang mesti dipatuhi adalah seperti Ketua Jabatan
berikut : dan Pengguna
(a) Menyatakan dengan lengkap dan jelas peranan

dan tanggungjawab pengguna serta pembekal
yang terlibat dalam menjamin keselamatan aset
ICT sebelum, semasa dan selepas
perkhidmatan;
(b) Menjalankan tapisan keselamatan untuk
pengguna serta pembekal yang terlibat
berasaskan keperluan perundangan, peraturan
dan etika terpakai yang selaras dengan
keperluan perkhidmatan, peringkat maklumat
yang akan dicapai serta risiko yang
dijangkakan;
(c) Mematuhi semua terma dan syarat
perkhidmatan yang ditawarkan dan peraturan
semasa yang berkuatkuasa berdasarkan
perjanjian yang telah ditetapkan; dan
(d) Ketua Jabatan / Bahagian perlu memastikan
setiap kakitangan di bawah seliaannya
menandatangani ”Surat Akuan Pematuhan
DKICT MinDef” (KEMBARAN A).
4.2 Dalam Perkhidmatan

Perkara-perkara yang mesti dipatuhi adalah seperti Ketua Jabatan
berikut :
(a) Memastikan pengguna serta pembekal yang
berkepentingan mengurus keselamatan aset
ICT berdasarkan perundangan dan peraturan
VERSI 4.0
DASAR
MINDEF
MUKA SURAT 24/90
yang ditetapkan oleh MinDef;

(b) Memastikan latihan kesedaran dan yang
berkaitan mengenai pengurusan keselamatan
aset ICT diberi kepada pengguna secara
berterusan dalam melaksanakan tugas-tugas
dan tanggungjawab mereka dan sekiranya perlu
diberi kepada pembekal yang berkepentingan
dari semasa ke semasa;
(c) Memastikan adanya proses tindakan disiplin
dan / atau undang-undang ke atas pengguna
serta pembekal yang berkepentingan sekiranya
berlaku perlanggaran dengan perundangan dan
peraturan ditetapkan oleh MinDef; dan
(d) Memantapkan pengetahuan berkaitan dengan
penggunaan aset ICT bagi memastikan setiap
kemudahan ICT digunakan dengan cara dan
kaedah yang betul demi menjamin kepentingan
keselamatan ICT.
4.3 Bertukar Atau Tamat Perkhidmatan
Perkara-perkara yang mesti dipatuhi adalah seperti Ketua Jabatan,
berikut : Pentadbir
Sistem dan
(a) Memastikan semua aset ICT dikembalikan
Pengguna
kepada MinDef mengikut peraturan dan / atau
terma perkhidmatan yang ditetapkan; dan
(b) Membatalkan atau menarik balik semua
kebenaran capaian ke atas maklumat dan
kemudahan proses maklumat mengikut
peraturan yang ditetapkan oleh MinDef dan /
atau terma perkhidmatan.
VERSI 4.0
DASAR
MINDEF
MUKA SURAT 25/90
BIDANG 5 : KESELAMATAN FIZIKAL DAN PERSEKITARAN
Objektif
Melindungi premis yang menempatkan aset ICT daripada sebarang bentuk
pencerobohan, ancaman, kerosakan serta akses yang tidak dibenarkan.
Bil. Perkara Tanggungjawab
5.1 Kawalan Kawasan
VERSI 4.0
DASAR
MINDEF
MUKA SURAT 26/90
5.1.1 Kawalan kawasan adalah bertujuan untuk mengesan,

mencegah dan menghalang cubaan untuk
menceroboh ke kawasan yang menempatkan aset ICT
MinDef.
5.1.2 Perkara yang perlu dipatuhi adalah seperti berikut : CIO, ICTSO dan
Pentadbir Pusat
(a) Mengenalpasti kawasan keselamatan fizikal Data
dengan jelas. Lokasi serta keteguhan
kawasan ini hendaklah bergantung kepada
keperluan untuk melindungi aset dalam
kawasan ini dan hasil penilaian risiko;
(b) Menggunakan keselamatan perimeter
(halangan seperti dinding, pagar kawalan,
pengawal keselamatan) untuk melindungi
kawasan yang mengandungi maklumat dan
kemudahan pemprosesan maklumat;
(c) Memasang alat penggera atau kamera
(CCTV);
(d) Mempamerkan papan tanda kawasan
larangan;
(e) Menghadkan jalan keluar dan masuk;
(f) Mengadakan kaunter kawalan;
(g) Mewujudkan sistem pas keselamatan;
(h) Mewujudkan perkhidmatan kawalan
keselamatan; dan
(i) Memastikan kawasan-kawasan penghantaran
dan pemunggahan dan juga tempat-tempat
lain dikawal dari pihak yang tidak diberi
kebenaran memasukinya.
5.2 Kawalan Masuk Dan Keluar Fizikal
VERSI 4.0
DASAR
MINDEF
MUKA SURAT 27/90
5.2.1 Kawalan masuk dan keluar fizikal adalah ditakrifkan

sebagai kawalan ke atas warga MinDef dan pelawat
yang masuk dan keluar premis.
5.2.2 Perkara-perkara yang perlu dipatuhi adalah seperti Warga MinDef

berikut : dan Pelawat
(a) Setiap warga MinDef hendaklah memakai

atau mengenakan pas keselamatan
sepanjang waktu bertugas;
(b) Semua pas keselamatan hendaklah
diserahkan balik kepada MinDef apabila
pegawai / kakitangan berhenti atau bersara;
(c) Setiap pelawat hendaklah mendapatkan Pas
Keselamatan Pelawat di pintu kawalan utama
MinDef;
(d) Pas ini hendaklah dikembalikan semula
selepas tamat lawatan; dan
(e) Kehilangan pas mestilah dilaporkan dengan
segera mengikut tatacara yang sedang
berkuatkuasa di MinDef.
5.3 Kawalan Kawasan Terhad
5.3.1 Kawasan terhad ditakrifkan sebagai kawasan yang
dihadkan kemasukan kepada warga MinDef yang
tertentu sahaja. Ini dilaksanakan untuk melindungi aset
ICT yang terdapat di dalam kawasan tersebut.
Kawasan terhad MinDef adalah merujuk kepada Pusat
Data dan Bilik Kawalan Keselamatan.
5.3.2 Perkara-perkara yang mesti dipatuhi adalah seperti Pentadbir Pusat

berikut : Data
(a) Menggunakan kawasan perimeter (halangan

VERSI 4.0
DASAR
MINDEF
MUKA SURAT 28/90
seperti dinding, pagar kawalan, pengawal

keselamatan) untuk melindungi kawasan yang
mengandungi aset ICT;
(b) Melindungi kawasan terhad melalui kawalan
pintu masuk yang bersesuaian bagi
memastikan warga MinDef yang diberi
kebenaran sahaja boleh masuk melalui pintu
ini;
(c) Merekabentuk dan melaksanakan
keselamatan fizikal di dalam pejabat, bilik dan
Pusat Data;
(d) Merekabentuk dan melaksanakan
perlindungan fizikal dari kebakaran, banjir,
letupan, kacau-bilau manusia dan sebarang
bencana disebabkan oleh kuasa Tuhan atau
perbuatan manusia; dan
(e) Melaksanakan perlindungan fizikal dan
menyediakan garis panduan untuk warga
MinDef yang bekerja di dalam kawasan
terhad.
5.4 Keselamatan Peralatan ICT
5.4.1 Peralatan ICT hendaklah dijaga dan dikawal dengan Pegawai Aset,
baik bagi mengelakkan dari sebarang kehilangan, Pentadbir
Sistem dan
kerosakan, kecurian atau kompromi ke atas aset ICT Pengguna
dan gangguan ke atas sistem penyampaian agensi.
5.4.2 Perkara-perkara yang mesti dipatuhi adalah seperti Pegawai Aset,

berikut : Pentadbir
(a) Pengguna hendaklah menyemak dan Sistem dan
Pengguna
memastikan semua peralatan ICT di bawah
kawalannya berfungsi dengan baik;
VERSI 4.0
DASAR
MINDEF
MUKA SURAT 29/90
(b) Pengguna bertanggungjawab sepenuhnya ke

atas peralatan ICT masing-masing dan tidak
dibenarkan membuat sebarang pertukaran
perkakasan dan konfigurasi yang telah
ditetapkan;
(c) Pengguna dilarang sama sekali menambah,
menanggal atau mengganti sebarang
peralatan ICT yang telah ditetapkan atau
memindah kedudukan peralatan ICT yang
dipasang;
(d) Semua peralatan ICT hendaklah ditempatkan
dengan teratur di tempat yang dilengkapi
dengan ciri-ciri keselamatan;
(e) Pengguna adalah bertanggungjawab atas
kerosakan dan kehilangan peralatan ICT di
bawah kawalan;
(f) Pengguna mesti memastikan peralatan ICT
dilengkapi dengan perisian antivirus dan
dikemaskini serta melakukan imbasan ke atas
media storan yang digunakan;
(g) Penggunaan kata laluan untuk akses ke
sistem komputer adalah diwajibkan;
(h) Semua peralatan sokongan ICT hendaklah
dilindungi daripada kecurian, kerosakan,
penyalahgunaan atau pengubahsuaian tanpa
kebenaran;
(i) Sebarang kerosakan peralatan ICT hendaklah
dilaporkan kepada Pentadbir Sistem ICT untuk
dibaik pulih;
(j) Peralatan ICT yang hilang hendaklah
dilaporkan kepada ICTSO seperti yang
VERSI 4.0
DASAR
MINDEF
MUKA SURAT 30/90
ditetapkan mengikut proses dan prosedur

yang berkuatkuasa;
(k) Sebarang bentuk penyelewengan atau salah
guna peralatan ICT hendaklah dilaporkan
kepada ICTSO;
(l) Peralatan ICT yang hendak dibawa keluar dari
premis MinDef, perlulah mendapat kelulusan
dan direkodkan bagi tujuan pemantauan
seperti yang ditetapkan mengikut proses dan
prosedur yang berkuatkuasa;
(m) Peralatan ICT kritikal seperti server, peralatan
keselamatan dan rangkaian perlu disokong
oleh Uninterruptible Power Supply (UPS);
(n) Semua peralatan ICT yang digunakan secara
berterusan mestilah diletakkan di kawasan
yang berhawa dingin dan mempunyai
pengudaraan (air ventilation) yang sesuai;
(o) Konfigurasi alamat IP tidak dibenarkan diubah
daripada alamat IP yang asal;
(p) Penggunaan peralatan ICT hendaklah bagi
urusan rasmi sahaja;
(q) Pengguna hendaklah memastikan semua
peralatan ICT dimatikan suisnya apabila
meninggalkan pejabat;
(r) Memastikan plug dicabut daripada suis utama
(main switch) bagi mengelakkan kerosakan
peralatan ICT sebelum meninggalkan pejabat
jika berlaku kejadian seperti petir, kilat dan
sebagainya; dan
(s) Pengendalian peralatan ICT hendaklah
mematuhi dan merujuk kepada peraturan
VERSI 4.0
DASAR
MINDEF
MUKA SURAT 31/90
semasa yang berkuatkuasa.

5.4.3 Media Storan
5.4.3.1 Media storan merupakan peralatan elektronik yang
digunakan untuk menyimpan data dan maklumat
seperti disket, kad multimedia, pemain MP3, CD, DVD,
pita magnetik, cakera keras, CD-ROM, optical disk,
removable disk (external hard disk / thumb drive / pen
drive) dan lain-lain.
5.4.3.2 Keselamatan media storan yang menyimpan maklumat Ketua Jabatan

rasmi dan rahsia rasmi Kerajaan perlu diberi perhatian
khusus. Langkah-langkah pencegahan hendaklah
diambil untuk memastikan kerahsiaan, integriti dan
ketersediaan maklumat yang disimpan dalam media
storan adalah terjamin dan selamat.
5.4.3.3 Pengguna dilarang menyimpan maklumat terperingkat Pentadbir

Sistem dan
(RAHSIA BESAR, RAHSIA, SULIT, TERHAD) di
Pengguna
dalam removable disk kecuali dibenarkan oleh Ketua
Jabatan.
5.4.3.4 Perkara yang perlu dipatuhi adalah seperti berikut : Pentadbir

Sistem dan
(a) Media storan hendaklah disimpan di ruang
Pengguna
penyimpanan yang mempunyai ciri-ciri
keselamatan bersesuaian dengan kandungan
maklumat;
(b) Akses untuk memasuki kawasan
penyimpanan media storan hendaklah terhad
kepada pengguna yang dibenarkan sahaja;
(c) Semua media storan perlu dikawal bagi
mencegah dari capaian yang tidak
dibenarkan, kecurian dan kemusnahan;
(d) Semua media storan yang mengandungi
VERSI 4.0
DASAR
MINDEF
MUKA SURAT 32/90
maklumat terperingkat hendaklah disimpan di

dalam peti keselamatan yang mempunyai ciri-
ciri keselamatan termasuk tahan dari
dipecahkan, api, air dan medan magnet;
(e) Mewujudkan sistem pengurusan media
termasuk inventori, pergerakan, pelabelan dan
backup / restore;
(f) Peralatan ICT bagi tujuan backup hendaklah
diletakkan di tempat yang selamat;
(g) Mengadakan salinan atau penduaan (backup)
bagi tujuan keselamatan dan bagi
mengelakkan kehilangan data; dan
(h) Sebarang pelupusan hendaklah merujuk
kepada proses dan prosedur yang ditetapkan.
5.4.4 Media Perisian Dan Aplikasi
5.4.4.1 Keselamatan media perisian dan aplikasi yang Ketua Jabatan
digunakan untuk dipasang di peralatan ICT perlu diberi
perhatian khusus.
5.4.4.2 Perkara-perkara yang perlu dipatuhi adalah seperti Pentadbir

berikut : Sistem
(a) Hanya perisian yang diperakui sahaja

dibenarkan bagi kegunaan MinDef;
(b) Sistem aplikasi dalaman tidak dibenarkan
didemonstrasi atau diagih kepada pihak lain
kecuali dengan kebenaran Pengurus ICT;
(c) Lesen perisian (registration code, serials, CD-
keys) perlu disimpan berasingan daripada CD-
ROM, disk atau media berkaitan bagi
mengelakkan dari berlakunya kecurian atau
cetak rompak; dan
VERSI 4.0
DASAR
MINDEF
MUKA SURAT 33/90
(d) Source code sesuatu sistem hendaklah

disimpan mengikut proses dan prosedur yang
ditetapkan.
5.4.5 Penyelenggaraan Peralatan ICT
5.4.5.1 Peralatan ICT hendaklah diselenggara mengikut Pengurus ICT
proses dan prosedur yang ditetapkan bagi memastikan
kerahsiaan, integriti dan ketersediaan.
5.4.5.2 Langkah-langkah keselamatan yang perlu diambil Pentadbir

adalah seperti berikut : Sistem dan
Pengguna
(a) Melaksanakan selenggaraan berdasarkan
spesifikasi pengeluar;
(b) Memastikan peralatan ICT hanya
diselenggara oleh pihak yang dibenarkan
sahaja;
(c) Menyemak dan menguji semua peralatan ICT
sebelum dan selepas proses
penyelenggaraan mengikut prosedur yang
ditetapkan; dan
(d) Memaklumkan pihak pengguna sebelum
melaksanakan penyelenggaraan.
5.4.6 Peminjaman Peralatan ICT Bagi Kegunaan Di Luar Pejabat
5.4.6.1 Peminjaman peralatan ICT bagi kegunaan di luar Pengurus ICT
pejabat hendaklah mengikut proses dan prosedur yang
telah ditetapkan bagi memastikan kerahsiaan, integriti
dan ketersediaan.
5.4.6.2 Langkah-langkah yang perlu diambil adalah seperti Pentadbir

berikut : Sistem dan
Pengguna
(a) Mendapatkan kelulusan mengikut peraturan
yang telah ditetapkan oleh MinDef bagi
membawa keluar peralatan ICT, tertakluk
VERSI 4.0
DASAR
MINDEF
MUKA SURAT 34/90
kepada tujuan yang dibenarkan;

(b) Melindungi dan mengawal peralatan ICT
sepanjang masa;
(c) Merekod aktiviti peminjaman dan pemulangan
peralatan ICT; dan
(d) Menyemak peralatan yang dipulangkan
berada dalam keadaan baik.
5.4.7 Pengendalian Peralatan ICT Luar Yang Dibawa Masuk Dan Keluar
5.4.7.1 Peralatan ICT yang dibawa masuk dari luar bagi Pengurus ICT
tujuan tertentu dan dibawa keluar selepas proses
berkenaan selesai hendaklah dipantau bagi
memastikan tidak berlaku sebarang kebocoran
maklumat.
5.4.7.2 Langkah keselamatan yang perlu diambil adalah Pentadbir

seperti berikut : Sistem dan
Pengguna
(a) Mendapatkan kelulusan mengikut peraturan
yang telah ditetapkan; dan
(b) Memeriksa peralatan yang dibawa keluar bagi
mengelak sebarang ketirisan maklumat.
5.4.8 Pelupusan Peralatan ICT
5.4.8.1 Semua peralatan ICT yang telah rosak, usang dan Pengurus ICT
tidak ekonomi untuk dibaiki hendaklah dilupuskan dan Pegawai
Aset
mengikut prosedur pelupusan yang ditetapkan.
5.4.8.2 Perkara-perkara yang perlu dipatuhi adalah seperti Pegawai Aset,

berikut: Pentadbir
(a) Semua kandungan peralatan ICT hendaklah Sistem dan
dihapuskan terlebih dahulu sebelum proses Pengguna
pelupusan dilaksanakan;
(b) Peralatan ICT yang hendak dilupus hendaklah
disimpan di tempat yang telah dikhaskan yang
VERSI 4.0
DASAR
MINDEF
MUKA SURAT 35/90
mempunyai ciri-ciri keselamatan;

(c) Pelupusan peralatan ICT hendaklah dilakukan
mengikut tatacara pelupusan semasa yang
berkuatkuasa di MinDef; dan
(d) Pengguna adalah DILARANG SAMA SEKALI
daripada melakukan perkara-perkara seperti
berikut :
i. Mengambil mana-mana peralatan ICT
seperti CPU atau komponen peralatan
ICT seperti RAM dan cakera keras
yang hendak dilupuskan untuk milik
peribadi; dan
ii. Melupuskan sendiri peralatan ICT
kerana kerja-kerja pelupusan di bawah
tanggungjawab MinDef.
5.5 Keselamatan Persekitaran
Keselamatan persekitaran bertujuan untuk melindungi
aset ICT MinDef dari sebarang bentuk ancaman
persekitaran yang disebabkan oleh bencana alam,
kesilapan, kecuaian atau kemalangan.
5.6 Kawalan Persekitaran
5.6.1 Kawalan persekitaran bertujuan untuk menghindarkan Ketua Jabatan
kerosakan dan gangguan terhadap premis dan aset
ICT. Semua cadangan perolehan dan pengubahsuaian
hendaklah dirujuk terlebih dahulu kepada Pejabat
Ketua Pegawai Keselamatan Kerajaan (CGSO).
5.6.2 Perkara yang perlu dipatuhi adalah seperti berikut : Pentadbir Pusat
Data dan
(a) Merancang dan menyediakan pelan
Pengguna
keseluruhan Pusat Data (ruang percetakan,
peralatan komputer dan ruang atur pejabat);
VERSI 4.0
DASAR
MINDEF
MUKA SURAT 36/90
(b) Melengkapi semua ruang pejabat khususnya

kawasan yang mempunyai kemudahan ICT
dengan perlindungan keselamatan yang
mencukupi dan dibenarkan seperti alat
pencegah kebakaran dan pintu kecemasan;
(c) Memasang peralatan perlindungan di tempat
yang bersesuaian, mudah dikenali dan
dikendalikan;
(d) Menyimpan bahan mudah terbakar di luar
kawasan penyimpanan aset ICT;
(e) Meletakkan semua bahan cecair di tempat
yang bersesuaian dan berjauhan dari aset
ICT;
(f) Pengguna adalah dilarang merokok atau
menggunakan peralatan memasak seperti
cerek elektrik berhampiran peralatan
komputer;
(g) Menyemak dan menguji semua peralatan
perlindungan mengikut tatacara dan jadual
yang ditetapkan. Aktiviti dan keputusan ujian
ini perlu direkodkan bagi memudahkan
rujukan dan tindakan sekiranya perlu; dan
(h) Memastikan suhu premis mengikut spesifikasi
yang ditetapkan.
5.7 Bekalan Kuasa

5.7.1 Bekalan kuasa merupakan punca kuasa elektrik yang
dibekalkan kepada peralatan ICT.
VERSI 4.0
DASAR
MINDEF
MUKA SURAT 37/90
5.7.2 Perkara yang perlu dipatuhi bagi menjamin Pengurus ICT

keselamatan bekalan kuasa adalah seperti berikut :
(a) Melindungi semua peralatan ICT dari
kegagalan bekalan elektrik dengan
menyalurkan bekalan yang sesuai kepada
peralatan ICT;
(b) Menggunakan peralatan sokongan seperti
Uninterruptible Power Supply (UPS) dan
janakuasa (power generator) bagi
perkhidmatan kritikal seperti di Pusat Data
supaya mendapat bekalan kuasa berterusan;
dan
(c) Menyemak dan menguji semua peralatan
sokongan bekalan kuasa secara berjadual.
5.8 Keselamatan Kabel
5.8.1 Kabel elektrik dan kabel rangkaian hendaklah
dilindungi daripada gangguan dan kerosakan.
5.8.2 Langkah-langkah keselamatan yang perlu diambil Pengurus ICT

(a) Menggunakan kabel yang mengikut spesifikasi
yang telah ditetapkan;
(b) Melindungi kabel daripada kerosakan yang
disengajakan atau tidak disengajakan;
(c) Melindungi laluan pemasangan kabel
sepenuhnya seperti menggunakan conduit
atau trunking mengikut spesifikasi yang
ditetapkan bagi mengelakkan ancaman
kerosakan dan wire tapping; dan
(d) Membuat pelabelan kabel mengikut spesifikasi
dan prosedur yang ditetapkan.
VERSI 4.0
DASAR
MINDEF
MUKA SURAT 38/90
5.9 Prosedur Kecemasan

5.9.1 Prosedur kecemasan merupakan langkah proaktif Pegawai
dalam usaha persediaan menghadapi fenomena- Keselamatan
Jabatan /
fenomena seperti kebakaran, kemalangan,
Bahagian
kecederaan dan bencana alam untuk melindungi
warga MinDef dan pelawat dengan serta-merta.
5.9.2 Perkara yang perlu dipatuhi adalah seperti berikut : Pegawai

(a) Pengguna hendaklah mematuhi prosedur Keselamatan
Jabatan /
kecemasan yang ditetapkan oleh Pegawai
Bahagian dan
Keselamatan MinDef; Warga MinDef
(b) Melaporkan insiden kecemasan persekitaran
seperti kebakaran kepada Pegawai
Keselamatan MinDef;
(c) Mengadakan, menguji dan mengemaskini
pelan kecemasan dari semasa ke semasa;
dan
(d) Mengadakan latihan fire drill mengikut jadual.
5.10 Keselamatan Dokumen
Pengurusan dokumen yang melibatkan pewujudan, Warga MinDef
penyimpanan, pergerakan dan pelupusan hendaklah
mengikut Arahan Keselamatan 1972, Arahan Amalan
(Jadual Pelupusan Rekod) dan tatacara Jabatan Arkib
Negara serta proses dan prosedur yang berkuatkuasa.
BIDANG 6 : PENGURUSAN OPERASI DAN KOMUNIKASI
Objektif
Memastikan operasi dan komunikasi berfungsi dengan baik dan selamat daripada
VERSI 4.0
DASAR
MINDEF
MUKA SURAT 39/90
sebarang ancaman atau gangguan.
Bil. Perkara Tanggungjawab

6.1 Pengendalian Prosedur Operasi
6.1.1 Pengendalian prosedur operasi perlu disediakan bagi ICTSO
memastikan pengurusan operasi sistem dan
komunikasi dapat berfungsi dengan cekap dan
selamat.
6.1.2 Perkara-perkara yang perlu dipatuhi adalah seperti Pentadbir

berikut : Sistem
(a) Semua prosedur operasi hendaklah

didokumenkan dengan jelas, teratur,
dikemaskini dan sedia diguna pakai oleh
pengguna;
(b) Setiap perubahan kepada prosedur operasi
mestilah dikawal;
(c) Tugas dan tanggungjawab fungsi perlu
diasingkan bagi mengurangkan risiko
kecuaian dan penyalahgunaan aset ICT
MinDef;
(d) Kemudahan ICT untuk pembangunan,
pengujian dan operasi perlu diasingkan bagi
mengurangkan risiko capaian atau
pengubahsuaian secara tidak sah ke atas
sistem yang sedang beroperasi.
6.2 Pengurusan Penyampaian Perkhidmatan Pembekal
6.2.1 Memastikan pembekal melaksanakan perkhidmatan Pengurus ICT
mengikut perjanjian perkhidmatan serta mematuhi
sepenuhnya proses dan prosedur keselamatan yang
berkuatkuasa.
VERSI 4.0
DASAR
MINDEF
MUKA SURAT 40/90
6.2.2 Perkara-perkara yang perlu dilaksanakan adalah Pentadbir

seperti berikut : Sistem
(a) Perkhidmatan, laporan dan rekod yang

dikemukakan oleh pembekal perlu dipantau,
disemak semula dan diaudit dari semasa ke
semasa; dan
(b) Pengurusan ke atas perubahan penyediaan
perkhidmatan perlu mengambil kira tahap
kritikal sistem dan proses yang terlibat serta
penilaian semula risiko.
6.3 Perancangan Dan Penerimaan Sistem
6.3.1 Perancangan Kapasiti
6.3.1.1 Kapasiti sesuatu komponen atau sistem ICT Pentadbir
hendaklah dirancang, diurus dan dikawal dengan teliti Sistem
oleh pegawai yang berkenaan bagi memastikan

keperluannya adalah mencukupi dan bersesuaian
untuk pembangunan dan kegunaan sistem ICT pada
masa akan datang.
6.3.1.2 Keperluan kapasiti ini juga perlu mengambil kira ciri-ciri Pentadbir
keselamatan ICT bagi meminimumkan risiko seperti Sistem
gangguan pada perkhidmatan dan kerugian akibat

pengubahsuaian yang tidak dirancang.
6.3.2 Penerimaan Sistem
Semua sistem baru (termasuklah sistem yang Pentadbir
dikemaskini atau diubahsuai) hendaklah memenuhi Sistem
kriteria yang ditetapkan sebelum diterima atau

dipersetujui.
6.4 Perlindungan Dari Malicious Dan Mobile Code

6.4.1 Aset ICT perlu diindungi supaya tidak terdedah kepada Pengurus ICT
VERSI 4.0
DASAR
MINDEF
MUKA SURAT 41/90
kerosakan yang disebabkan oleh perisian berbahaya

seperti virus, worm, trojan dan lain-lain.
6.4.2 Perkara-perkara yang mesti dipatuhi adalah : Pentadbir Sistem

(a) Memasang sistem keselamatan untuk dan Pengguna
mengesan perisian berbahaya seperti
antivirus, Intrusion Detection System (IDS)
dan Intrusion Prevention System (IPS);
(b) Memasang dan menggunakan hanya perisian
yang tulen;
(c) Mengimbas semua perisian dengan antivirus
sebelum menggunakannya;
(d) Mengemaskini paten antivirus dari semasa ke
semasa;
(e) Menyemak kandungan sistem ICT secara
berkala bagi mengesan aktiviti yang tidak
normal seperti kehilangan atau kerosakan
maklumat;
(f) Menghadiri program kesedaran mengenai
ancaman perisian berbahaya dan cara
mengendalikannya dari semasa ke semasa;
(g) Memasukkan klausa tanggungan ke dalam
kontrak yang ditawarkan kepada pembekal
perisian. Klausa ini bertujuan untuk tuntutan
baik pulih sekiranya perisian tersebut
mengandungi program berbahaya;
(h) Mewujud dan melaksanakan prosedur jaminan
kualiti ke atas semua perisian yang
dibangunkan;
(i) Memberi amaran mengenai ancaman seperti
serangan virus terhadap keselamatan aset
ICT MinDef;
VERSI 4.0
DASAR
MINDEF
MUKA SURAT 42/90
(j) Kawalan pencegahan, pengesanan dan

pemulihan untuk melindungi sistem ICT
daripada gangguan malicious code;
(k) Melaksanakan program kesedaran pengguna
yang bersesuaian; dan
(l) Penggunaan mobile code yang boleh
mendatangkan ancaman keselamatan ICT
adalah tidak dibenarkan.
6.5 Backup (Salinan Penduaan)
6.5.1 Salinan penduaan adalah penting bagi memastikan
sistem ICT dan data dapat dipulihkan semula sekira
berlakunya bencana.
6.5.2 Perkara yang mesti dipatuhi adalah sepeti berikut : Pentadbir

Sistem
(a) Membuat salinan penduaan ke atas semua
sistem perisian dan aplikasi mengikut jadual
yang ditetapkan atau apabila berlaku
perubahan versi;
(b) Membuat salinan penduaan ke atas data
mengikut kesesuaian operasi; dan
(c) Menguji sistem penduaan bagi memastikan
ianya dapat dimasukkan semula (restore) dan
beroperasi dengan normal.
6.6 Pengurusan Keselamatan Rangkaian
6.6.1 Keselamatan rangkaian adalah elemen penting dalam Pengurus ICT
memastikan pengaliran maklumat lancar dan
sempurna. Infrastruktur rangkaian mestilah dikawal,
dipantau dan diurus sebaiknya daripada ancaman
kepada sistem ICT.
6.6.2 Kawalan Infrastruktur Rangkaian
Perkara-perkara yang mesti dipatuhi adalah : Pentadbir
Sistem
VERSI 4.0
DASAR
MINDEF
MUKA SURAT 43/90
(a) Polisi dan prosedur perlu dibangunkan dan

dilaksanakan bagi melindungi maklumat yang
berhubung kait dengan sistem rangkaian;
(b) Ciri-ciri keselamatan, tahap perkhidmatan dan
keperluan pengurusan bagi semua
perkhidmatan rangkaian perlu dikenal pasti
dan dimasukkan dalam perjanjian
perkhidmatan rangkaian sama ada
perkhidmatan berkenaan disediakan secara
dalaman atau melalui pembekal;
(c) Tanggungjawab dan fungsi operasi rangkaian
hendaklah diasingkan untuk meminimumkan
risiko capaian dan pengubahsuaian yang tidak
dibenarkan;
(d) Peralatan rangkaian hendaklah diletakkan di
lokasi yang bebas dari risiko seperti banjir,
gegaran dan habuk;
(e) Capaian kepada peralatan rangkaian
hendaklah dikawal dan terhad kepada
pengguna yang dibenarkan sahaja;
(f) Peralatan keselamatan seperti firewall
hendaklah dipasang bagi memastikan hak
capaian ke atas sistem ICT dapat
dilaksanakan seperti ditetapkan;
(g) Semua trafik keluar dan masuk hendaklah
ditapis oleh peralatan keselamatan di bawah
kawalan MinDef;
(h) Semua perisian sniffer atau network analyzer
adalah dilarang dipasang pada komputer
pengguna kecuali mendapat kebenaran
ICTSO;
VERSI 4.0
DASAR
MINDEF
MUKA SURAT 44/90
(i) Sebarang cubaan menceroboh dan aktiviti-

aktiviti lain yang boleh mengancam sistem dan
maklumat MinDef perlu dipantau dan dikesan
melalui pemasangan peralatan keselamatan
seperti Intrusion Detection System (IDS) dan
Intrusion Prevention System (IPS);
(j) Sebarang aktiviti yang dilarang seperti yang
termaktub di dalam PKPA Bil. 1/2003 perlu
disekat melalui pemasangan Web Content
Filtering pada Internet Gateway;
(k) Sebarang keperluan penyambungan
rangkaian hendaklah melalui proses dan
prosedur yang ditetapkan oleh MinDef; dan
(l) Penggunaan rangkaian tanpa wayar (wireless)
LAN di MinDef hendaklah mematuhi surat
MAMPU dengan rujukan UPTM (S) 159/338/8
Jilid 30 (84) bertajuk “Langkah-langkah Untuk
Memperkukuhkan Keselamatan Rangkaian
Setempat Tanpa Wayar (Wireless Local Area
Network) di Agensi-agensi Kerajaan”.
6.7 Prosedur Pengendalian Maklumat
6.7.1 Prosedur ini bertujuan untuk mengendali, menyimpan, Pengurus ICT
memindah serta melindungi maklumat daripada
didedah tanpa kebenaran atau salah guna serta
memastikan keselamatan pertukaran maklumat
dengan entiti luar terjamin.
6.7.2 Perkara yang perlu dipatuhi adalah seperti berikut : Pentadbir

Sistem
(a) Menghad dan menentukan capaian kepada
pengguna yang dibenarkan sahaja;
(b) Menghadkan pengedaran data untuk tujuan
VERSI 4.0
DASAR
MINDEF
MUKA SURAT 45/90
rasmi dan yang dibenarkan sahaja;

(c) Polisi, prosedur dan kawalan pertukaran
maklumat yang formal perlu diwujudkan untuk
melindungi pertukaran maklumat melalui
penggunaan pelbagai jenis kemudahan
komunikasi;
(d) Sebarang pertukaran maklumat di antara
MinDef dan agensi kerajaan yang lain
mestilah dikawal; dan
(e) Perjanjian perlu diwujudkan untuk pertukaran
maklumat dan perisian di antara agensi
dengan pihak luar.
6.8 Keselamatan Sistem Dokumentasi
6.8.1 Dokumentasi sistem perlu dilindungi dari capaian yang Pengurus ICT
tidak dibenarkan. Langkah-langkah pengurusan
dokumentasi yang baik dan selamat perlu
dilaksanakan bagi memastikan integriti maklumat.
6.8.2 Perkara yang perlu dipatuhi adalah seperti berikut : Pentadbir

Sistem
(a) Memastikan sistem dokumentasi atau
penyimpanan maklumat adalah selamat dan
terjamin;
(b) Menggunakan tanda atau label keselamatan
seperti rahsia besar, rahsia, sulit atau terhad
pada dokumen;
(c) Mewujudkan sistem pengurusan dokumen
terperingkat bagi menerima, memproses,
menyimpan dan menghantar dokumen-
dokumen tersebut supaya ianya diuruskan
berasingan daripada dokumen-dokumen tidak
terperingkat;
VERSI 4.0
DASAR
MINDEF
MUKA SURAT 46/90
(d) Penyediaan dan penghantaran dokumen

terperingkat secara elektronik hendaklah
mengikut prosedur dan peraturan yang telah
ditetapkan; dan
(e) Mengawal dan merekodkan semua aktiviti
capaian sistem dokumentasi sedia ada.
6.9 Pertukaran Maklumat
6.9.1 Pertukaran maklumat dan perisian antara MinDef dan Pengurus ICT
agensi luar hendaklah sentiasa dipastikan terjamin
selamat.
6.9.2 Polisi Dan Prosedur Pertukaran Maklumat
Perkara-perkara yang perlu dipatuhi adalah seperti Pentadbir
Sistem
berikut :
(a) Dasar, prosedur dan kawalan pertukaran
maklumat yang formal perlu diwujudkan untuk
melindungi pertukaran maklumat melalui
penggunaan pelbagai jenis kemudahan
komunikasi;
(b) Media yang mengandungi maklumat perlu
dilindungi daripada capaian yang tidak
dibenarkan, penyalahgunaan atau kerosakan
semasa pemindahan keluar dari MinDef; dan
(c) Maklumat yang terdapat dalam mel elektronik
perlu dilindungi sebaik-baiknya.
6.9.3 Perjanjian Pertukaran Maklumat
Perjanjian perlu diwujudkan untuk pertukaran Pengurus ICT
maklumat dan perisian di antara MinDef dengan
agensi luar.
6.10 Mel Elektronik (e-mel)
VERSI 4.0
DASAR
MINDEF
MUKA SURAT 47/90
6.10.1 Maklumat yang dihantar, diterima dan disimpan Ketua Jabatan

melalui mel elektronik MinDef perlu dilindungi bagi
menghindari capaian atau sebaran maklumat yang
tidak dibenarkan. Pengguna layak menerima
kemudahan perkhidmatan e-mel dengan kelulusan
dari Ketua Jabatan.
6.10.2 Perkara yang perlu dipatuhi adalah seperti termaktub Pentadbir

Sistem dan
dalam “Etika Penggunaan Internet Dan E-mel
Pengguna
MinDef”. Sila rujuk KEMBARAN B.
6.11 Telecommuting
6.11.1 Maklumat yang diakses atau dihantar semasa Pengurus ICT
menggunakan kemudahan telecommuting hendaklah
dijamin selamat.
6.11.2 Perkara yang perlu dipatuhi adalah : Pentadbir

Sistem
(a) Kemudahan hanya disediakan untuk sistem
aplikasi ICT yang dibenarkan sahaja;
(b) Kebenaran secara bertulis untuk
menggunakan kemudahan hendaklah
diperolehi daripada Pentadbir Sistem;
(c) Sebarang akses daripada luar mengguna
kemudahan ini hendaklah diberi perlindungan
keselamatan yang mencukupi.
6.12 Bring Your Own Device (BYOD)
6.12.1 BYOD adalah peralatan mudah alih persendirian
seperti telefon pintar, tablet dan laptop yang
digunakan untuk tujuan rasmi.
6.12.2 Maklumat lanjut mengenai BYOD boleh merujuk Pengguna

kepada Polisi Berkaitan Bring Your Own Device
(BYOD) seperti di KEMBARAN C.
VERSI 4.0
DASAR
MINDEF
MUKA SURAT 48/90
6.13 Pengauditan Dan Forensik ICT

6.13.1 ICTSO hendaklah memastikan semua proses ICTSO
pengauditan dan forensik ICT dijalankan bagi
menjamin keselamatan ICT sentiasa terpelihara.
6.13.2 Pentadbir Sistem hendaklah merekod dan Pentadbir

Sistem
menganalisis perkara-perkara berikut :
(a) Sebarang percubaan pencerobohan kepada
sistem ICT MinDef;
(b) Serangan kod perosak (malicious code),
halangan pemberian perkhidmatan (denial of
service), spam, pemalsuan (forgery, phising),
pencerobohan (intrusion), ancaman (threats)
dan kehilangan fizikal (physical loss);
(c) Pengubahsuaian ciri-ciri perkakasan, perisian
atau mana-mana komponen sesebuah sistem
tanpa pengetahuan, arahan atau persetujuan
mana-mana pihak;
(d) Aktiviti melayari, menyimpan atau mengedar
bahan-bahan lucah, berunsur fitnah dan
propaganda anti kerajaan;
(e) Aktiviti pewujudan perkhidmatan-perkhidmatan
yang tidak dibenarkan;
(f) Aktiviti instalasi dan penggunaan perisian yang
membebankan jalur lebar (bandwidth)
rangkaian;
(g) Aktiviti penyalahgunaan akaun e-mel; da
(h) Aktiviti penukaran alamat IP (IP address)
selain daripada yang telah diperuntukkan
tanpa kebenaran Pentadbir Sistem ICT.
6.14 Jejak Audit
VERSI 4.0
DASAR
MINDEF
MUKA SURAT 49/90
6.14.1 Setiap sistem mestilah mempunyai jejak audit. Jejak Pengurus ICT
audit merekod aktiviti-aktiviti yang berlaku dalam
sistem secara kronologi bagi membenarkan
pemeriksaan dan pembinaan semula dilakukan bagi
susunan dan perubahan dalam sesuatu acara.
6.14.2 Jejak audit hendaklah mengandungi maklumat- Pentadbir

Sistem
maklumat berikut :
(a) Rekod setiap aktiviti transaksi;
(b) Maklumat jejak audit mengandungi identiti
pengguna, sumber yang digunakan,
perubahan maklumat, tarikh dan masa aktiviti,
rangkaian dan aplikasi yang digunakan;
(c) Aktiviti capaian pengguna ke atas sistem ICT
sama ada secara sah atau sebaliknya;
(d) Maklumat aktiviti sistem yang tidak normal
atau aktiviti yang tidak mempunyai ciri-ciri
keselamatan.
(e) Jejak audit hendaklah disimpan untuk tempoh
masa seperti yang disarankan oleh Arahan
Teknologi Maklumat dan Akta Arkib Negara;
(f) Pentadbir Sistem ICT hendaklah menyemak
catatan jejak audit dari semasa ke semasa
dan menyediakan laporan jika perlu. Ini akan
dapat membantu mengesan aktiviti yang tidak
normal dengan lebih awal; dan
(g) Jejak audit juga perlu dilindungi dari
kerosakan, kehilangan, penghapusan,
pemalsuan dan pengubahsuaian yang tidak
dibenarkan.
6.15 Sistem Log
VERSI 4.0
DASAR
MINDEF
MUKA SURAT 50/90
6.15.1 Setiap sistem mestilah mempunyai sistem log. Sistem Pentadbir

log merekod aktiviti-aktiviti yang berlaku dalam sistem Sistem
secara kronologi bagi membenarkan pemeriksaan dan

pembinaan semula dilakukan bagi susunan dan
perubahan dalam sesuatu acara.
6.15.2 Pentadbir Sistem ICT hendaklah melaksanakan Pentadbir

perkara-perkara berikut : Sistem
(a) Mewujudkan sistem log bagi merekodkan

semua aktiviti harian pengguna;
(b) Menyemak sistem log secara berkala bagi
mengesan ralat yang menyebabkan gangguan
kepada sistem dan mengambil tindakan
membaik pulih dengan segera; dan
(c) Sekiranya wujud aktiviti-aktiviti lain yang tidak
sah seperti kecurian maklumat dan
pencerobohan, Pentadbir Sistem ICT
hendaklah melaporkan kepada MinDefCERT.
6.15.3 Pemantauan Log
Perkara-perkara yang perlu dipatuhi adalah seperti Pentadbir
Sistem
berikut :
(a) Log Audit yang merekodkan semua aktiviti
perlu dihasilkan dan disimpan untuk tempoh
masa yang dipersetujui bagi membantu
siasatan dan memantau kawalan capaian;
(b) Prosedur untuk memantau penggunaan
kemudahan memproses maklumat perlu
diwujud dan hasilnya perlu dipantau secara
berkala;
(c) Maklumat log perlu dilindungi daripada
diubahsuai dan sebarang capaian yang tidak
VERSI 4.0
DASAR
MINDEF
MUKA SURAT 51/90
dibenarkan;
(d) Aktiviti pentadbiran dan operator sistem perlu
direkodkan;
(e) Kesalahan, kesilapan dan / atau
penyalahgunaan perlu direkodkan log,
dianalisis dan diambil tindakan sewajarnya;
(f) Waktu yang berkaitan dengan sistem
pemprosesan maklumat MinDef atau domain
keselamatan perlu diselaraskan dengan satu
sumber waktu yang dipersetujui;
(g) Menyemak sistem log secara berkala bagi
mengesan ralat yang menyebabkan gangguan
kepada sistem dan mengambil tindakan
membaik pulih dengan segera; dan
(h) Sekiranya wujud aktiviti-aktiviti tidak sah
seperti kecurian maklumat dan pencerobohan
hendaklah dilaporkan kepada MinDefCERT.
BIDANG 7 : KAWALAN CAPAIAN
Objektif
Melindungi maklumat dari sebarang bentuk capaian yang tidak dibenarkan.
7.1 Kawalan Capaian
7.1.1 Peraturan bagi mengawal capaian hendaklah Pengurus ICT
VERSI 4.0
DASAR
MINDEF
MUKA SURAT 52/90
diwujud, didokumen dan dikaji semula berasaskan

keperluan perkhidmatan dan keselamatan. Peraturan
kawalan capaian hendaklah mengambilkira faktor
identification, authentication dan authorization.

berikut : Sistem
(a) Kawalan capaian ke atas aset ICT

mengikut keperluan keselamatan dan
peranan pengguna;
(b) Kawalan capaian ke atas perkhidmatan
rangkaian dalaman dan luaran;
(c) Keselamatan maklumat yang dicapai
menggunakan kemudahan atau peralatan
mudah alih; dan
(d) Kawalan ke atas kemudahan pemprosesan
maklumat.
7.1.3 Capaian kepada proses dan maklumat hendaklah Pentadbir

dikawal mengikut keperluan keselamatan dan fungsi Sistem
kerja pengguna. Setiap capaian perlu direkod,

dikemaskini dan hendaklah mematuhi dasar kawalan
capaian pengguna yang berkuatkuasa.
7.2 Pengurusan Capaian
Pengurusan capaian adalah merujuk kepada
kawalan capaian pengguna ke atas sistem
pengoperasian, aplikasi dan maklumat melalui
Pengurus ICT
rangkaian MinDef bagi memastikan bahawa sistem
maklumat MinDef dicapai oleh pengguna yang sah
dan menghalang capaian yang tidak sah.
7.2.1 Kawalan Capaian Pengguna
Perkara yang perlu dipatuhi adalah seperti berikut : Pentadbir
VERSI 4.0
DASAR
MINDEF
MUKA SURAT 53/90
(a) Memastikan bahawa sistem maklumat Sistem

dicapai oleh pengguna yang sah dan
menghalang capaian yang tidak sah;
(b) Prosedur yang melibatkan proses
pendaftaran dan pembatalan kebenaran
capaian pengguna perlu diwujudkan dan
didokumenkan; dan
(c) Aktiviti capaian pengguna direkod dan
dikaji secara berkala. Maklumat yang
direkod termasuk identiti pengguna,
sumber yang digunakan, perubahan
maklumat, tarikh, masa, rangkaian dilalui,
aplikasi diguna dan aktiviti capaian secara
sah atau sebaliknya.
7.2.1.1 Pendaftaran Dan Pembatalan Akaun
Perkara yang perlu dipatuhi adalah seperti berikut : Ketua Jabatan,
(a) Akaun pengguna adalah unik dan Pengurus ICT,
Pentadbir
pengguna bertanggungjawab ke atas
Sistem dan
akaun tersebut selepas pengesahan Pengguna
penerimaan dibuat;
(b) Akaun pengguna yang diwujudkan, tahap
capaian dan sebarang perubahan ke atas
akaun dan capaian mestilah mendapat
kebenaran pihak pengurusan secara
bertulis dan direkodkan;
(c) Pemilihan akaun dan capaian pengguna
adalah tertakluk kepada peraturan jabatan
dan tindakan pembatalan /
pengubahsuaian hendaklah diambil atas
sebab seperti berikut :
i. Pengguna tidak hadir bertugas tanpa
VERSI 4.0
DASAR
MINDEF
MUKA SURAT 54/90
kebenaran melebihi satu tempoh

yang ditentukan oleh Ketua Jabatan;
ii. Pengguna bercuti atau bertugas di
luar pejabat;
iii. Melebihi satu tempoh yang
ditentukan oleh Ketua Jabatan;
iv. Pengguna bertukar jawatan,
tanggungjawab dan / atau bidang
tugas;
v. Pengguna bertukar atau berpindah
Jabatan; dan
vi. Pengguna bersara atau tamat
perkhidmatan.
7.2.1.2 Hak Capaian (privilege)
Penetapan dan penggunaan ke atas hak capaian Pengurus ICT
memerlukan kawalan dan seliaan yang ketat. Hak dan Pentadbir
Sistem
capaian hendaklah sentiasa dipantau dan
dikemaskini mengikut keperluan semasa. Prosedur
yang melibatkan proses kawalan capaian perlu
diwujud dan didokumenkan.
7.2.1.3 Pengurusan Kata Laluan
Pemilihan, penggunaan dan pengurusan kata laluan Pentadbir
sebagai laluan utama bagi mencapai maklumat dan Sistem dan
Pengguna
data dalam sistem mestilah mematuhi amalan
terbaik serta prosedur yang ditetapkan oleh MinDef
seperti berikut :
(a) Dalam apa jua keadaan dan sebab, kata
laluan hendaklah dilindungi dan tidak boleh
dikongsi dengan sesiapa pun;
(b) Pengguna hendaklah menukar kata laluan
apabila disyaki berlakunya kebocoran kata
VERSI 4.0
DASAR
MINDEF
MUKA SURAT 55/90
laluan atau dikompromi;

(c) Panjang kata laluan mestilah sekurang-
kurangnya lapan (8) aksara dengan
gabungan antara huruf dan nombor atau
aksara khusus;
(d) Kata laluan hendaklah diingat dan TIDAK
BOLEH dicatat, disimpan atau didedahkan
dengan apa cara sekalipun;
(e) Kata laluan sistem pengoperasian dan
screen saver hendaklah diaktifkan
terutamanya pada komputer yang terletak
di ruang guna sama;
(f) Kata laluan hendaklah tidak dipaparkan
semasa input, dalam laporan atau media
lain dan tidak boleh dikodkan di dalam
program;
(g) Kuatkuasakan pertukaran kata laluan
semasa login kali pertama atau selepas
login kali pertama atau selepas kata laluan
diset semula;
(h) Kata laluan hendaklah berlainan daripada
pengenalan identiti pengguna;
(i) Kata laluan hendaklah ditukar selepas 90
hari atau selepas tempoh masa yang
bersesuaian; dan
(j) Mengelakkan penggunaan semula kata
laluan yang baru digunakan.
7.2.1.4 Polisi Clear Desk And Clear Screen
VERSI 4.0
DASAR
MINDEF
MUKA SURAT 56/90
7.2.1.4.1 Clear Desk and Clear Screen bermaksud tidak Pengguna

meninggalkan bahan-bahan yang sensitif terdedah
sama ada atas meja pengguna atau di paparan skrin
apabila pengguna tidak berada di tempatnya.
7.2.1.4.2 Semua maklumat dalam apa jua bentuk media Pengguna

hendaklah disimpan dengan teratur dan selamat bagi
mengelakkan kerosakan, kecurian atau kehilangan.
7.2.1.4.3 Perkara-perkara yang perlu dipatuhi adalah seperti Pengguna

berikut :
(a) Menyimpan bahan-bahan sensitif di dalam
laci atau kabinet fail yang berkunci;
(b) Menggunakan kemudahan password
screen saver atau logout / lock apabila
meninggalkan komputer; dan
(c) Memastikan semua dokumen diambil
segera dari pencetak, pengimbas, mesin
faksimili dan mesin fotostat.
7.2.2 Kawalan Capaian Rangkaian
7.2.2.1 Menghalang capaian tidak sah dan tanpa kebenaran Pentadbir
ke atas rangkaian MinDef. Kawalan capaian Sistem
perkhidmatan rangkaian hendaklah dijamin selamat

dengan :
(a) Mewujudkan segmen rangkaian yang
bersesuaian bagi membezakan had
capaian pengguna dan keperluan sistem;
(b) Mewujudkan dan menguatkuasakan
mekanisme untuk pengesahan pengguna
dengan peralatan yang menepati
kesesuaian penggunaannya;
(c) Memantau dan menguatkuasakan kawalan
VERSI 4.0
DASAR
MINDEF
MUKA SURAT 57/90
capaian pengguna terhadap perkhidmatan

rangkaian ICT.
(d) Mewujudkan mekanisme pengesahan yang
sesuai untuk mengawal capaian oleh
pengguna jarak jauh;
(e) Capaian fizikal dan logikal ke atas
perkakasan rangkaian bagi tujuan
mengubah konfigurasi perlulah dikawal.
7.2.2.2 Capaian Perkhidmatan Internet
(a) Capaian Internet perlu dikawal dan diurus Pentadbir
bagi mengelakkan gangguan sistem Sistem
rangkaian MinDef;
(b) Penggunaan Internet di MinDef hendaklah
dipantau secara berterusan oleh
Pentadbir Rangkaian bagi memastikan
penggunaannya untuk tujuan capaian yang
dibenarkan sahaja.
(c) Kaedah Content Filtering mestilah
digunakan bagi mengawal akses Internet
mengikut fungsi kerja dan pemantauan
tahap pematuhan;
(d) Pengurusan bandwidth hendaklah
digunakan untuk mengawal aktiviti
seperti video conferencing; video
streaming, chat, downloading bagi
mengawal penggunaan bandwidth
mengikut keperluan.
(e) Maklumat lanjut mengenai keselamatan
Internet bolehlah merujuk kepada “Etika
Penggunaan Internet dan Emel
Kementerian Pertahanan“ seperti di
VERSI 4.0
DASAR
MINDEF
MUKA SURAT 58/90
KEMBARAN B dan Pekeliling Kemajuan

Pentadbiran Awam Bilangan 1 Tahun 2003
bertajuk “Garis Panduan Mengenai
Tatacara Penggunaan Internet dan Mel
Elektronik di Agensi-agensi Kerajaan”.
7.2.3 Capaian Sistem Pengoperasian
7.2.3.1 Memastikan bahawa capaian ke atas sistem Pentadbir
Sistem
pengoperasian dikawal dan dihadkan kepada
pengguna yang dibenarkan sahaja.
7.2.3.2 Kaedah yang digunakan hendaklah menyokong Pentadbir

perkara-perkara berikut : Sistem
(a) Mengesahkan pengguna yang dibenarkan.

(b) Mewujudkan jejak audit ke atas semua
capaian sistem operasi terutama
pengguna bertaraf khas (super user);
(c) Menjana amaran (alert) sekiranya berlaku
pelanggaran ke atas peraturan
keselamatan sistem.
7.2.3.3 Perkara yang perlu dipatuhi adalah seperti berikut : Pentadbir

(a) Mewujudkan satu pengenalan diri yang Sistem
unik untuk setiap penguna dan hanya

digunakan oleh pengguna yang berkenaan
sahaja;
(b) Melaksana sistem pengurusan kata laluan
teguh (strong password) yang mempunyai
gabungan antara huruf dan nombor atau
aksara khusus;
(c) Mengawal penggunaan utiliti yang
berkeupayaan melepasi sistem
pengoperasi;
VERSI 4.0
DASAR
MINDEF
MUKA SURAT 59/90
(d) Menamatkan sesi yang tidak aktif selepas

tempoh masa yang ditetapkan; dan
(e) Hadkan tempoh masa penggunaan bagi
meningkatkan keselamatan aplikasi yang
berisiko tinggi.
7.2.4 Capaian Aplikasi Dan Maklumat
7.2.4.1 Melindungi aplikasi dan maklumat dari sebarang
bentuk capaian yang tidak dibenarkan.
7.2.4.2 Perkara-perkara yang perlu dipatuhi adalah : Pentadbir

Sistem
(a) Pengguna hanya boleh menggunakan
aplikasi dan sistem maklumat yang
dibenarkan mengikut tahap capaian dan
keselamatan maklumat yang ditentukan;
(b) Setiap aktiviti capaian pengguna ke atas
aplikasi dan maklumat hendaklah direkod
(sistem log); dan
(c) Capaian aplikasi dan maklumat melalui
jarak jauh adalah digalakkan. Walau
bagaimanapun penggunaannya terhad
kepada perkhidmatan yang dibenarkan
sahaja.
7.3 Capaian Jarak Jauh
7.3.1 Capaian jarak jauh adalah merujuk kepada capaian Pengurus ICT
daripada sistem rangkaian dalaman dan capaian
daripada sistem rangkaian luaran bagi lokasi luar
pejabat untuk tujuan telecommuting yang perlu
dikawal bagi memastikan keselamatan maklumat.
7.3.2 Perkara-perkara yang perlu dipatuhi adalah : Pentadbir

(a) Penghantaran maklumat yang Sistem dan
Pengguna
menggunakan capaian jarak jauh mestilah
VERSI 4.0
DASAR
MINDEF
MUKA SURAT 60/90
menggunakan kaedah enkripsi;

(b) Lokasi bagi akses ke sistem ICT MinDef
hendaklah dipastikan selamat;
(c) Penggunaan perkhidmatan jarak jauh
hendaklah mendapat kebenaran daripada
Pengurus ICT; dan
(d) Pengguna yang diberi hak adalah
bertanggungjawab sepenuhnya ke atas
penggunaan kemudahan yang diberikan.
7.4 Peralatan Mudah Alih
7.4.1 Peralatan mudah alih merujuk kepada telefon pintar, Pengurus ICT
tablet dan laptop yang digunakan untuk tujuan rasmi
sama ada yang disediakan oleh jabatan atau milik
persendirian. Pengguna peralatan ini hendaklah
dipastikan mematuhi polisi dan prosedur yang telah
ditetapkan.
7.4.2 Peralatan Yang Dibekalkan Oleh Jabatan
Perkara yang perlu dipatuhi adalah seperti berikut : Pentadbir
Sistem dan
(a) Merekodkan aktiviti keluar masuk
Pengguna
penggunaan peralatan mudah alih bagi
mengesan pergerakan perkakasan
tersebut daripada kehilangan atau
kerosakan;
(b) Peralatan mudah alih hendaklah disimpan
atau dikunci di tempat yang selamat
apabila tidak digunakan; dan
(c) Memastikan peralatan mudah alih yang
dibawa keluar dari pejabat perlu disimpan
dan dijaga dengan baik bagi mengelakkan
daripada kecurian.
7.4.3 Peralatan Diperolehi Sendiri (BYOD)
VERSI 4.0
DASAR
MINDEF
MUKA SURAT 61/90
Maklumat lanjut mengenai BYOD boleh merujuk Pentadbir

Sistem
kepada Polisi Berkaitan Bring Your Own Device
(BYOD) seperti di KEMBARAN C.
BIDANG 8 : PEROLEHAN, PEMBANGUNAN DAN PENYELENGGARAAN

SISTEM
Objektif
Memastikan sistem yang dibangunkan sendiri atau pembekal mempunyai ciri-ciri
keselamatan ICT yang bersesuaian.
8.1 Kawalan Prosesan Aplikasi
VERSI 4.0
DASAR
MINDEF
MUKA SURAT 62/90
8.1.1 Kawalan prosesan aplikasi adalah merujuk kepada Pengurus ICT

kawalan keselamatan terhadap perolehan,
pembangunan, penambahbaikan dan
penyelengaaraan sistem mengikut mematuhi polisi
dan prosedur yang telah ditetapkan.

berikut : Sistem
(a) Perolehan, pembangunan,

penambahbaikan dan penyelenggaraan
sistem hendaklah mengambil kira kawalan
keselamatan bagi memastikan tidak
berlaku kesilapan dalam pemprosesan
maklumat; dan
(b) Semua sistem hendaklah diuji terlebih
dahulu bagi memastikan sistem berkenaan
memenuhi keperluan keselamatan yang
telah ditetapkan sebelum digunakan.
8.2 Pengesahan Data Input
Data input bagi aplikasi perlu disahkan bagi
Pentadbir
memastikan data yang dimasukkan betul. Sistem
8.3 Kawalan Proses
Kawalan proses yang melibatkan perubahan versi
perlu direkodkan bagi tujuan mengesan sebarang
Pentadbir
pengubahsuaian dan penambahbaikan ke atas Sistem
aturcara.
8.4 Pengesahan Data Output
Data output daripada aplikasi perlu disahkan bagi Pentadbir
Sistem
memastikan maklumat yang dihasilkan adalah tepat.
8.5 Kawalan Kriptografi
8.5.1 Melindungi kerahsiaan, integriti dan kesahihan Pengurus ICT
VERSI 4.0
DASAR
MINDEF
MUKA SURAT 63/90
maklumat yang merangkumi data di dalam sistem

rangkaian, sistem aplikasi dan pangkalan data. Kunci
enkripsi mestilah dilindungi dengan menggunakan
cara kawalan yang terbaik dan hendaklah
dirahsiakan. Semua kunci mestilah dilindungi
daripada pengubahsuaian, pemusnahan dan
sebaran tanpa kebenaran sepanjang kitaran hayat
kunci tersebut.
8.5.2 Kriptografi turut merangkumi kaedah-kaedah seperti Pentadbir

Sistem
berikut :
(a) Enkripsi
Sistem aplikasi yang melibatkan maklumat
terperingkat hendaklah dibuat enkripsi
(encryption).
(b) Tandatangan Digital
Maklumat terperingkat yang perlu diproses
dan dihantar secara elektronik hendaklah
menggunakan tandatangan digital
mengikut keperluan pelaksanaan.
(c) Pengurusan Infrastruktur Kunci Awam /
Public Key Infrastructure (PKI)
Pengurusan ke atas PKI hendaklah
dilakukan dengan berkesan dan
selamat bagi melindungi kunci berkenaan
dari diubah, dimusnah dan didedahkan
sepanjang tempoh sah kunci tersebut.
8.6 Keselamatan Fail Sistem Dan Kod Sumber Program
8.6.1 Fail sistem dan kod sumber program perlu dikawal Pengurus ICT
dan dikendalikan dengan baik dan selamat.

Sistem
VERSI 4.0
DASAR
MINDEF
MUKA SURAT 64/90
berikut :
(a) Mewujudkan prosedur kawalan bagi
pemasangan perisian sistem yang sedang
beroperasi;
(b) Melindungi dan mengawal data-data ujian;
dan
(c) Menghadkan capaian ke atas kod sumber
program.
8.7 Keselamatan Dalam Proses Pembangunan Dan Sokongan
8.7.1 Proses pembangunan dan sokongan perlu dikawal Pengurus ICT
bagi menjamin keselamatan sistem maklumat dan
aplikasi.

Sistem
berikut :
(a) Mengawal pelaksanaan perubahan
menggunakan prosedur kawalan
perubahan yang telah ditetapkan;
(b) Mengkaji semula dan menguji aplikasi
kritikal semasa melaksanakan perubahan
ke atas sistem yang sedang beroperasi;
(c) Mengawal perubahan dan / atau pindaan
ke atas pakej perisian dan memastikan
sebarang perubahan adalah terhad
mengikut keperluan sahaja;
(d) Menghalang sebarang ruang untuk
membocorkan maklumat; dan
(e) Mengawal selia dan memantau
pembangunan perisian oleh pembekal,
pakar perunding dan pihak-pihak lain yang
terlibat.
8.8 Pembangunan Perisian Secara Outsource
VERSI 4.0
DASAR
MINDEF
MUKA SURAT 65/90
8.8.1 Pembangunan perisian secara outsource perlu Pengurus ICT

diselia dan dipantau oleh Pengurus ICT. Kod sumber
program bagi semua aplikasi dan perisian adalah
menjadi hak milik MinDef.
8.9 Pengurusan Keterdedahan Teknikal
8.9.1 Kawalan terhadap keterdedahan teknikal perlu Pengurus ICT
dilaksanakan ke atas sistem pengoperasian dan
sistem aplikasi yang digunakan.
8.9.2 Perkara-perkara yang perlu dipatuhi adalah :- Pentadbir

Sistem
(a) Memperoleh maklumat teknikal
keterdedahan sistem maklumat yang
digunakan;
(b) Menilai tahap keterdedahan bagi
mengenalpasti tahap risiko yang bakal
dihadapi; dan
(c) Mengambil langkah-langkah kawalan untuk
mengatasi risiko berkaitan.
BIDANG 9 : PENGURUSAN PENGENDALIAN INSIDEN KESELAMATAN ICT
Objektif
Memastikan tindakan menangani insiden keselamatan ICT diambil dengan cepat,
tepat dan berkesan bagi memastikan perkhidmatan ICT MinDef dapat beroperasi
semula seperti sediakala.
9.1 Prosedur Pengurusan Insiden Keselamatan ICT
9.1.1 Prosedur bagi mengurus insiden keselamatan ICT MinDefCERT
VERSI 4.0
DASAR
MINDEF
MUKA SURAT 66/90
perlu diwujud dan didokumenkan. MinDefCERT perlu

melaksanakan pengurusan pengendalian insiden
keselamatan ICT berpandukan prosedur operasi
standard (SOP) keselamatan ICT MinDef.
9.1.2 Perkara yang perlu dipatuhi adalah seperti berikut : MinDefCERT

(a) Mengenalpasti semua jenis insiden
keselamatan ICT seperti gangguan
perkhidmatan yang disengajakan,
pemalsuan identiti dan pengubahsuaian
perisian tanpa kebenaran;
(b) Mematuhi Pelan Pemulihan Bencana ICT
MinDef seperti yang telah digariskan dalam
Pelan Kesinambungan Perkhidmatan
MinDef;
(c) Menyimpan jejak audit dan memelihara
bahan bukti; dan
(d) Menyediakan pelan tindakan pemulihan.
9.1.3 Insiden keselamatan ICT adalah termasuk yang MinDefCERT

berikut :
(a) Maklumat didapati atau disyaki hilang
(serangan virus, kecurian dan lain-lain);
(b) Maklumat didedahkan kepada pihak-pihak
yang tidak diberi kuasa;
(c) Sistem maklumat disyaki digunakan tanpa
kebenaran;
(d) Kecurian maklumat / data;
(e) Kata laluan dan mekanisme kawalan akses
dikompromi;
(f) Sistem beroperasi secara tidak normal
seperti kehilangan maklumat kegagalan
VERSI 4.0
DASAR
MINDEF
MUKA SURAT 67/90
fungsi sistem atau kesilapan / ralat dalam

komunikasi data; dan
(g) Berlaku pencerobohan atau cubaan
menceroboh dan penyelewengan data.
9.1.4 Pelaporan insiden keselamatan ICT berdasarkan : MinDefCERT

(a) Pekeliling Am Bilangan 1 Tahun 2001
bertajuk ”Mekanisme Pelaporan Insiden
Keselamatan ICT”.
(b) Surat Pekeliling Am Bilangan 4 Tahun
2006 – Pengurusan Pengendalian Insiden
Keselamatan Teknologi Maklumat dan
Komunikasi Sektor Awam.
9.2 Mekanisme Pelaporan Insiden Keselamatan ICT
9.2.1 Pelaporan
Semua insiden keselamatan ICT yang berlaku mesti Warga MinDef
dilaporkan kepada MinDefCERT dengan segera
supaya siasatan dan tindakan pemulihan dapat
dilakukan. Semua maklumat adalah sulit dan hanya
boleh didedahkan kepada pihak-pihak yang
dibenarkan sahaja.
9.2.2 Pelantikan Pegawai Bertanggungjawab
Pegawai Keselamatan ICT (ICTSO) dan anggota CIO dan
MinDefCERT mesti dilantik secara rasmi oleh Ketua Jabatan
kementerian dan dimaklumkan kepada semua warga
MinDef.
9.2.3 Tanggungjawab Pengguna
Semua insiden keselamatan ICT mesti dilaporkan Pengguna
kepada MinDefCERT.
9.3 Pengurusan Maklumat Insiden Keselamatan ICT
9.3.1 Maklumat mengenai insiden keselamatan ICT perlu MinDefCERT
dikumpul, dianalisa dan disimpan bagi tujuan
VERSI 4.0
DASAR
MINDEF
MUKA SURAT 68/90
perancangan dan tindakan untuk melaksanakan

peningkatan dan kawalan tambahan.
9.3.2 MinDefCERT hendaklah memastikan bahan-bahan MinDefCERT

bukti berkaitan insiden keselamatan ICT dapat
disediakan, disimpan, disenggarakan dan
mempunyai perlindungan keselamatan. Penyediaan
bahan-bahan bukti seperti jejak audit, backup berkala
dan off-site backup hendaklah mengikut tatacara
yang sedang berkuatkuasa di MinDef. Agensi
hendaklah memastikan semua bahan bukti adalah
selaras dengan peraturan pengumpulan maklumat
dari segi kualiti, kelengkapan dan kebolehpercayaan
bahan bukti yang termaktub dalam bidang kuasa
perundangan berkenaan.
9.3.3 Perkara-perkara yang mesti dipatuhi termasuk yang MinDefCERT

berikut :
(a) Melindungi integriti bahan bukti;
(b) Mengumpul dan menyimpan bahan bukti
bagi tujuan analisis;
(c) Merekod semua maklumat insiden
termasuk maklumat pegawai yang terlibat,
perisian, perkakasan dan peralatan yang
digunakan;
(d) Memaklumkan kepada pihak berkuasa
perundangan, seperti pegawai undang
undang dan polis (jika perlu);
(e) Mendapatkan nasihat dari pihak berkuasa
perundangan ke atas bahan bukti yang
diperlukan (jika perlu); dan
(f) Menyediakan laporan insiden kepada CIO.
VERSI 4.0
DASAR
MINDEF
MUKA SURAT 69/90
9.4 Pengurusan Insiden Keselamatan Aset Bukan ICT

Insiden keselamatan aset bukan ICT penting untuk MinDefCERT
dipantau kerana insiden ini boleh menjadi permulaan
kepada insiden keselamatan aset ICT.
Rujuk Arahan Pekeliling Keselamatan dan Lalulintas

Kompleks Kementerian Pertahanan yang
berkuatkuasa.
VERSI 4.0
DASAR
MINDEF
MUKA SURAT 70/90
BIDANG 10 : PENGURUSAN KESINAMBUNGAN PERKHIDMATAN
Objektif
Menjamin operasi perkhidmatan agar tidak tergendala dan memastikan penyampaian
perkhidmatan yang berterusan kepada pengguna.
10.1 Pelan Kesinambungan Perkhidmatan
10.1.1 Pelan Kesinambungan Perkhidmatan hendaklah KSU
dibangunkan untuk menentukan pendekatan yang
menyeluruh diambil bagi mengekalkan kesinambungan
perkhidmatan. Pelan ini mestilah diluluskan oleh
Pengurusan MinDef.
10.1.2 Perkara yang perlu dipatuhi adalah seperti berikut : CIO

(a) Mengenalpasti semua tanggungjawab dan
prosedur kecemasan dan pemulihan;
(b) Melaksanakan prosedur kecemasan bagi
membolehkan pemulihan dapat dilakukan
secepat mungkin atau dalam jangka masa
yang telah ditetapkan;
(c) Mendokumenkan proses dan prosedur yang
telah dipersetujui;
(d) Mengenalpasti peristiwa yang boleh
mengakibatkan gangguan terhadap proses
bisnes MinDef serta impak ke atas
keselamatan ICT;
(e) Mengadakan program latihan kepada
pengguna mengenai prosedur kecemasan;
(f) Membuat backup; dan
(g) Menguji dan mengemaskini pelan sekurang-
kurangnya setahun sekali.
VERSI 4.0
DASAR
MINDEF
MUKA SURAT 71/90
10.2 Pengurusan Penilaian Risiko Keselamatan ICT

10.2.1 Penilaian risiko keselamatan ICT bertujuan Pengurus ICT
membolehkan MinDef mengukur serta menganalisis
tahap risiko aset ICT dan seterusnya mengambil
tindakan untuk mengawal dan mengurangkan risiko.
10.2.2 Ketua Bahagian ICT hendaklah : Ketua Bahagian

ICT
(a) Bertanggungjawab memastikan penilaian
risiko keselamatan ICT dilaksanakan secara
berkala atau sekiranya terdapat perubahan
ke atas persekitaran agensi;
(b) Mengambil tindakan bersesuaian untuk
mengurangkan atau mengawal risiko
keselamatan ICT berdasarkan penemuan
penilaian risiko; dan
(c) Melaksanakan penilaian risiko mengikut
peraturan atau prosedur yang ditetapkan
oleh kerajaan dari semasa ke semasa.
10.2.3 Proses analisis risiko keselamatan ICT perlu dilakukan Pengurus ICT
secara berkala atau sekiranya terdapat perubahan ke
atas persekitaran agensi. Laporan hendaklah
dibentangkan kepada pengurusan atasan MinDef atau
JPICT MinDef. Proses pengurusan risiko adalah
seperti di Rajah 4.
10.2.4 Perkara-perkara berikut perlu diambil kira sebelum Pentadbir

Sistem
analisis risiko ke atas ICT dilakukan :
(a) Aset-aset ICT;
(b) Sumber Manusia (Warga MinDef dan
kontraktor);
(c) Persekitaran ICT (bangunan dan
kemudahan); dan
VERSI 4.0
DASAR
MINDEF
MUKA SURAT 72/90
(d) Aktiviti-aktiviti ICT (operasi, senggaraan dan

pembangunan).
10.2.5 Penilaian risiko keselamatan ICT hendaklah Pentadbir

Sistem
dilaksanakan ke atas aset-aset ICT berdasarkan
prosedur yang telah ditetapkan oleh MinDef.
10.2.6 (a) Setiap Jabatan / Bahagian adalah Pentadbir

Sistem
bertanggungjawab melaksana dan mengurus
risiko keselamatan ICT masing-masing.
(b) Tindakan yang perlu diambil bagi

menghadapi kemungkinan risiko adalah
seperti berikut :
i. Mengurang risiko dengan
melaksanakan kawalan yang
bersesuaian;
ii. Menerima dan bersedia berhadapan
dengan risiko yang mungkin terjadi;
iii. Mengelak dan mencegah risiko dari
terjadi dengan mengambil tindakan
secara proaktif; dan
iv. Memindahkan risiko kepada pihak lain
seperti pembekal, pakar runding dan
pihak lain.
VERSI 4.0
DASAR
MINDEF
MUKA SURAT 73/90
Mengenal pasti Aset
Nilai Aset dan Penilaian Penilaian Mengenal pasti

Penentuan Terhadap Terhadap Perlindungan Sedia
Kebergantungan Ancaman Kelemahan Ada / Yang Dirancang
Di Antara Aset
Penilaian Risiko
Rajah 4: Proses Pengurusan Risiko

VERSI 4.0
DASAR
MINDEF
MUKA SURAT 74/90
BIDANG 11 : PEMATUHAN
Objektif
Meningkatkan tahap kesedaran dan keselamatan ICT bagi mencegah pelanggaran
Dasar Keselamatan ICT MinDef (DKICT).
11.1 Pematuhan Dasar
11.1.1 Setiap Warga MinDef hendaklah membaca, Warga MinDef
memahami dan mematuhi DKICT, undang-undang
dan peraturan-peraturan lain yang berkuatkuasa.
11.1.2 ICTSO MinDef bertanggungjawab dan berhak ICTSO

memantau aktiviti pengguna untuk mengesan
penggunaan aset ICT MinDef bagi tujuan selain dari
yang telah ditetapkan.
11.2 Pematuhan Keperluan Audit
Pematuhan kepada keperluan audit perlu bagi Pentadbir
Sistem
meminimumkan ancaman dan memaksimumkan
keberkesanan proses audit sistem maklumat.
Keperluan audit perlu dirancang dan dipersetujui
terlebih dahulu bagi melancarkan proses audit.
11.3 Keperluan Perundangan
11.3.1 Keperluan perundangan perlu dipatuhi berdasarkan Warga MinDef
kepada kepada peraturan-peraturan yang telah
ditetapkan.
11.3.2 Berikut adalah keperluan perundangan atau Warga MinDef

peraturan-peraturan lain yang perlu dipatuhi oleh
semua pengguna :
(a) Arahan Keselamatan;
(b) Pekeliling Am Bilangan 3 Tahun 2000
bertajuk “Rangka Dasar Keselamatan
Teknologi Maklumat dan Komunikasi
VERSI 4.0
DASAR
MINDEF
MUKA SURAT 75/90
Kerajaan”;
(c) Pekeliling Am Bilangan 1 Tahun 2001
bertajuk “Mekanisme Pelaporan Insiden
Keselamatan Teknologi Maklumat dan
Komunikasi (ICT)”;
(d) Pekeliling Kemajuan Pentadbiran Awam
Bilangan 1 Tahun 2003 bertajuk “Garis
Panduan Mengenai Tatacara Penggunaan
Internet dan Mel Elektronik di Agensi-
agensi Kerajaan”;
(e) Surat Pekeliling Am Bilangan 6 Tahun
2005 – Garis Panduan Penilaian Risiko
Keselamatan Maklumat Sektor Awam;
(f) Akta Tanda Tangan Digital 1997;
(g) Akta Jenayah Komputer 1997;
(h) Akta Hak cipta (Pindaan) Tahun 1997;
(i) Akta Komunikasi dan Multimedia 1998;
(j) Malaysian Public Sector Management of
Information and Communications
Technology Security Handbook (MyMIS);
dan
(k) Surat MAMPU dengan rujukan UPTM (S)
159/338/8 Jilid 30 (84) bertajuk “Langkah-
langkah untuk memperkukuhkan
keselamatan rangkaian setempat tanpa
wayar (Wireless Local Area Network) di
Agensi-agensi Kerajaan”.
11.4 Pelanggaran Perundangan
Pelanggaran dasar ini boleh dikenakan tindakan Warga MinDef
undang-undang dan tatatertib di bawah Akta Rahsia
Rasmi 1972 dan Perintah-Perintah Am Bab “D” –
VERSI 4.0
DASAR
MINDEF
MUKA SURAT 76/90
Peraturan-peraturan Pegawai Awam (Kelakuan Dan

Tatatertib).
11.5 Pematuhan Kepada Dasar, Standard Dan Teknikal Keselamatan
11.5.1 Dasar ini bertujuan memastikan keselamatan ICTSO
maklumat disemak secara berkala supaya patuh dan
selaras dengan dasar dan standard keselamatan
MinDef.
11.5.2 Perkara yang perlu dipatuhi adalah seperti berikut :

ICTSO dan
(a) Pegawai penyelia hendaklah memastikan
Pengurus ICT
bahawa semua peraturan keselamatan
dikawal selia masing-masing dipatuhi
selaras dengan perundangan, peraturan
dan lain-lain keperluan keselamatan;
(b) Sistem maklumat hendaklah disemak dan
diuji secara berkala untuk pastikan
mematuhi pelaksanaan standard
keselamatan yang ditetapkan;
(c) ICTSO perlu memastikan semua prosedur
keselamatan dalam bidang tugas masing-
masing mematuhi dasar, standard dan
keperluan teknikal;
(d) Sistem maklumat perlu melalui
pemeriksaan secara berkala bagi
mematuhi standard pelaksanaan
keselamatan; dan
(e) Sebarang penilaian pematuhan teknikal
seperti aktiviti Security Posture
Assessment (SPA) mestilah dijalankan
oleh individu yang kompeten dan
dibenarkan.
VERSI 4.0
DASAR
MINDEF
MUKA SURAT 77/90
GLOSARI
TERMINOLOGI MAKSUD
Arahan Keselamatan Panduan mengenai peraturan-peraturan

keselamatan yang perlu dipatuhi oleh semua
kakitangan kerajaan.
Aset ICT Komponen-komponen yang terdiri daripada

perkakasan, perisian, perkhidmatan, data atau
maklumat dan manusia.
Bahagian Staf Perisikan Bahagian yang mengendalikan tugas-tugas perisikan

Pertahanan (BSPP)
Angkatan Tentera Malaysia, bertanggungjawab terus
kepada Panglima Angkatan Tentera.
Central Processing Unit Perkakasan yang terdiri daripada processor, hard

(CPU)
disk, memory dan motherboard.
Chief Information Individu yang dilantik dan bertanggungjawab ke atas

Officer (CIO)
pengurusan maklumat organisasi.
Clear Desk and Clear Konsep tidak meninggalkan sebarang maklumat

Screen
sama ada atas meja atau dipaparan skrin apabila
pengguna tidak berada di tempatnya.
Enkripsi Kaedah pertukaran format data daripada bentuk asal

kepada bentuk lain menggunakan algoritma tertentu.
Firewall Peralatan dalam bentuk perkakasan dan perisian

untuk mencegah capaian ke atas maklumat pada
server atau rangkaian oleh pengguna yang tidak
dibenarkan.
Intrusion Detection Satu peralatan yang digunakan untuk memantau

VERSI 4.0
DASAR
MINDEF
MUKA SURAT 78/90
TERMINOLOGI MAKSUD
Sistem (IDS) atau merekod cubaan pencerobohan.
Jawatankuasa Jawatankuasa tertinggi di peringkat Kementerian

Pemandu ICT MinDef
Pertahanan yang diketuai oleh CIO dan dianggotai
oleh ICTSO, Ketua Pengarah STRIDE, Ketua
Pengarah JLKN, Ketua Pengarah JHEV, SUB
BADSA, SUB Bahagian Perolehan, SUB Bahagian
Kewangan, SUB Bahagian Pembangunan dan SUB
Bahagian Pengurusan Sumber Manusia.
Jawatankuasa ini berperanan memperakui, melulus

dan menguatkuasa dasar, halatuju, garis panduan
dan standard keselamatan ICT.
Jawatankuasa Teknikal Jawatankuasa yang dibentuk bagi membuat

ICT MinDef
penilaian dari aspek keupayaan teknikal dan
keselamatan bagi sesuatu projek ICT.
Jejak Audit (Audit Trail) Satu proses untuk mengenalpasti semua aktiviti yang
dilakukan oleh komputer dalam memproses
kemasukan data, penjanaan output dan segala
aktiviti yang terlibat di antaranya.
Kata laluan Satu gabungan antara huruf dan nombor atau aksara
khusus untuk mengesahkan pengenalan diri bagi
capaian kepada sesuatu sistem.
Ketua Jabatan Pegawai tentera atau awam yang mengetuai

sesebuah Jabatan / Bahagian / Unit.
Kriptografi Proses penukaran format maklumat asal kepada

VERSI 4.0
DASAR
MINDEF
MUKA SURAT 79/90
TERMINOLOGI MAKSUD
format maklumat yang hanya boleh difahami

menggunakan fungsi tertentu.
Media Storan Peralatan untuk menyimpan maklumat digital.
Mel Elektronik Mel yang dihantar secara elektronik.
MinDefCERT Pasukan yang bertanggungjawab dan bertindak

apabila berlaku insiden keselamatan ICT di MinDef.
Outsource Menggunakan khidmat nasihat dari konsultan luar

bagi melaksanakan projek-projek ICT disebabkan
kekurangan kemahiran dan sumber manusia.
Pembekal Individu atau kumpulan yang menyediakan

perkhidmatan ICT MinDef.
Pegawai Keselamatan Pegawai yang bertanggungjawab untuk menjaga

ICT (ICTSO)
keselamatan maklumat ICT.
Pegawai Keselamatan Merujuk kepada semua Ketua Jabatan / Bahagian.

Jabatan / Bahagian
Pegawai Keselamatan Merujuk kepada Ketua Setiausaha MinDef.

MinDef
Pelan Kesinambungan Pelan tindakan untuk mengekalkan kesinambungan

Perkhidmatan
perkhidmatan.
Pengenalpastian Satu kaedah untuk mengenalpasti identiti pengguna,

(Authentication)
peralatan, atau entiti dalam sistem komputer
sebelum kebenaran diberikan untuk mengakses
kepada sesuatu sistem.
VERSI 4.0
DASAR
MINDEF
MUKA SURAT 80/90
TERMINOLOGI MAKSUD
Pengguna Tentera dan penjawat awam yang bekerja dan

menggunakan rangkaian dan aset ICT di mana-mana
organisasi di bawah Kementerian Pertahanan.
Pengurus ICT Ketua-ketua ICT di Jabatan, Bahagian dan

Perkhidmatan ATM.
Pentadbir Sistem Pegawai yang bertanggungjawab untuk menjalankan

tugas-tugas pentadbiran sesuatu sistem ICT.
Perkakasan Semua aset yang digunakan untuk menyokong

pemprosesan maklumat dan kemudahan storan
MinDef. Contoh komputer, server, peralatan
komunikasi dan sebagainya.
Perkhidmatan Perkhidmatan atau sistem yang menyokong aset lain

untuk melaksanakan fungsi-fungsinya. Contoh :
i. Perkhidmatan rangkaian seperti LAN, WAN

dan lain-lain;
ii. Sistem halangan akses seperti sistem kad
akses; dan
iii. Perkhidmatan sokongan seperti kemudahan
elektrik, penghawa dingin, sistem pencegah
kebakaran dan lain-lain.
VERSI 4.0
DASAR
MINDEF
MUKA SURAT 81/90
TERMINOLOGI MAKSUD
Perisian Program, prosedur atau peraturan yang ditulis dan

dokumentasi yang berkaitan dengan sistem
pengoperasian komputer yang disimpan di dalam
sistem ICT. Contoh perisian aplikasi atau perisian
sistem seperti sistem pengoperasian, sistem
pangkalan data, perisian sistem rangkaian, atau
aplikasi pejabat yang menyediakan kemudahan
pemprosesan maklumat kepada MinDef.
Rangkaian Dalaman Rangkaian komputer persendirian yang digunakan

(Private Network)
bagi sesuatu projek atau perkhidmatan.
Rangkaian MinDef Semua rangkaian yang wujud di bawah Kementerian

Pertahanan.
Telecommuting Merupakan satu cara yang membolehkan pegawai

untuk melaksanakan tugas di mana sahaja dan
dalam masa yang sama berhubung secara terus
(Online) dengan pejabat.
Uninterruptible Power Peranti yang mengandungi bateri yang menyimpan

Supply (UPS)
kuasa yang bertujuan untuk mengambil alih peranan
kuasa elektrik sekiranya berlaku gangguan bekalan
kuasa.
Warga MinDef Semua pegawai dan kakitangan Kementerian

Pertahanan termasuk awam dan tentera.
VERSI 4.0
DASAR
MINDEF
MUKA SURAT 82/90
KEMBARAN A
SURAT AKUAN PEMATUHAN
DASAR KESELAMATAN ICT MINDEF
Nama : ..................................................................................................................
No. KP / Tentera : ...................................................................................................
Pangkat / Jawatan : .................................................................................................
Kementerian / Jabatan / Bahagian / Syarikat
: ...................................................................................................................
Adalah dengan sesungguhnya dan sebenarnya mengaku bahawa :
1. Saya telah mengikuti Taklimat Dasar Keselamatan ICT MinDef.

2. Saya juga telah membaca, memahami dan akur akan peruntukan-
peruntukan yang terkandung di dalam Dasar Keselamatan ICT
MinDef.
3. Sekiranya saya ingkar kepada peruntukan-peruntukan yang
ditetapkan, maka tindakan undang-undang boleh diambil ke atas diri
saya.
..................................................
( Tandatangan)
Tarikh : ....................................
Pengesahan Pegawai Keselamatan ICT (ICTSO) Cop Jabatan
.........................................................
( Nama / Pangkat)
b.p. Ketua Setiausaha
Tarikh : ....................................
VERSI 4.0
DASAR
MINDEF
MUKA SURAT 83/90
KEMBARAN B
ETIKA PENGGUNAAN INTERNET

DAN
E-MEL KEMENTERIAN PERTAHANAN
A. Etika Penggunaan Internet
1. Capaian Internet hendaklah menggunakan terminal yang

dikhaskan untuk Internet sahaja dan dilengkapi dengan ciri-ciri
sistem keselamatan.
2. Laman yang dilayari hendaklah hanya yang berkaitan dengan

bidang kerja dan terhad untuk tujuan yang dibenarkan oleh
Ketua Jabatan.
3. Melayari laman web yang menentang pemerintahan kerajaan,

berunsur hasutan dan mempunyai unsur-unsur lucah adalah
dilarang sama sekali.
4. Pengguna hendaklah memastikan ketepatan dan kesahihan

bahan yang diperolehi dari Internet.
5. Rujukan yang didapati daripada sumber Internet hendaklah

dinyatakan dengan jelas.
6. Bahan rasmi yang hendak dimuat naik ke internet hendaklah

disemak dan mendapat pengesahan daripada Ketua Jabatan
sebelum dimuat naik.
7. Tindakan memuat turun hanya dibenarkan ke atas bahan yang

sah seperti perisian yang berdaftar di bawah hak cipta
terpelihara.
VERSI 4.0
DASAR
MINDEF
MUKA SURAT 84/90
8. Pengguna hendaklah memastikan sebarang bahan yang dimuat

turun dari internet mestilah bebas daripada kod perosak (virus,
worm, trojan horse dan trap door).
9. Bahan yang dimuat turun hendaklah digunakan untuk tujuan

yang dibenarkan oleh jabatan sahaja.
10. Kandungan perbincangan awam seperti newsgroup dan bulletin

board mestilah mendapat pengesahan daripada Ketua Jabatan
tertakluk kepada dasar dan tatacara yang telah ditetapkan.
11. Pengguna yang memasuki perbincangan awam adalah

bertanggunjawab untuk mengekalkan konsistensi dan keutuhan
maklumat yang dikongsi.
12. Pengguna adalah DILARANG daripada memuat naik, memuat

turun dan menyimpan gambar atau teks yang bercorak
penentangan yang boleh membawa keadaan huru-hara dan
menakutkan pengguna internet yang lain.
13. Pengguna adalah DILARANG daripada memuat turun,

menyimpan dan menggunakan perisian berbentuk hiburan atas
talian seperti permainan elektronik, video dan lagu.
14. Pengguna adalah DILARANG untuk menggunakan kemudahan

chatting melalui internet.
15. Pengguna adalah DILARANG daripada menyedia dan

menghantar maklumat berulang-ulang yang berupa gangguan.
Rujukan
1. Pekeliling Kemajuan Pentadbiran Awam Bilangan 1 Tahun 2003

VERSI 4.0
DASAR
MINDEF
MUKA SURAT 85/90
B. Etika Penggunaan E-mel Rasmi (@mod.gov.my)
1. Semua warga Mindef boleh memohon kemudahan e-mel

mengikut keperluan tugas dan mendapat kelulusan dari Ketua
Jabatan.
2. Akaun e-mel yang diberi adalah bukan hak persendirian.
3. Pentadbir Sistem E-mel berhak memantau dan mengakses

akaun e-mel atas sebab-sebab kepentingan kementerian.
4. Alamat e-mel hendaklah berdasarkan naming convention yang

telah ditetapkan iaitu berdasarkan nama pemohon dan jika ada
persamaan nama, nama bapa akan ditambah pada nama dan
dipisahkan oleh titik (dot).
5. Penggunaan akaun e-mel hanya untuk urusan rasmi sahaja.
6. Penggunaan akaun e-mel rasmi sebagai akaun e-mel peribadi

adalah tidak digalakkan.
7. Maklumat terperingkat adalah tidak dibenarkan sama sekali

dihantar melalui e-mel.
8. Saiz e-mel termasuk e-mel yang mengandungi fail kepilan yang

dihantar atau diterima hanya dibenarkan sehingga 10 megabait.
Kaedah pemampatan untuk mengurangkan saiz fail adalah
disarankan.
9. Penyimpanan salinan e-mel pada sumber storan kedua seperti

disket dan pen drive adalah digalakkan bagi tujuan keselamatan.
10. Semua e-mel lama hendaklah diarkibkan untuk simpanan dan

rujukan pada masa hadapan.
VERSI 4.0
DASAR
MINDEF
MUKA SURAT 86/90
11. Semua e-mel yang telah selesai diambil tindakan hendaklah

dihapuskan selepas disimpan dalam storan kedua dan
diarkibkan.
12. Pengguna hendaklah memastikan e-mel yang diterima bebas

daripada kod perosak (virus, worm, trojan horse dan trap door).
13. E-mel yang diragui atau tidak dikenali hendaklah dihapuskan

dengan segera.
14. Pengguna adalah bertanggungjawab untuk melaporkan kepada

Pentadbir Sistem E-mel di BPM apabila menerima e-mel yang
meragukan atau tidak dikenali.
15. Pengguna adalah DILARANG untuk menggunakan akaun e-mel

milik orang lain.
16. Pengguna adalah DILARANG untuk menyamar sebagai

penghantar maklumat yang sah.
17. Pengguna adalah DILARANG daripada menyebarkan kod

perosak (virus, worm, trojan horse dan trap door) yang boleh
merosakkan sistem komputer dan maklumat pengguna lain.
18. Pengguna adalah DILARANG daripada membenarkan pihak lain

untuk menjawab e-mel kepada penghantar asal bagi pihaknya
Rujukan
1. Pekeliling Kemajuan Pentadbiran Awam Bilangan 1 Tahun 2003

VERSI 4.0
DASAR
MINDEF
MUKA SURAT 87/90
KEMBARAN C
POLISI BERKAITAN BRING YOUR OWN DEVICE (BYOD)
BYOD adalah peralatan mudah alih persendirian seperti telefon pintar, tablet
dan laptop yang digunakan untuk tujuan rasmi. Walaupun fenomena ini berupaya
meningkatkan produktiviti, penggunaan peralatan mudah alih di tempat kerja
boleh menimbulkan risiko besar kepada keselamatan maklumat jika tidak
mempunyai strategi untuk menangani vektor ancaman baru ini.
Bagi kebanyakan organisasi, menyekat penggunaan peralatan mudah alih

peribadi adalah pilihan yang tidak realistik. Realiti bisnes masa kini terus
menekan dan memaksa pengurusan organisasi untuk membenarkan
penggunaan peralatan mudah alih peribadi bagi mencapai aplikasi dan data
rasmi organisasi, walaupun risiko yang bakal dihadapi adalah tinggi, tetapi risiko
ini perlu diuruskan dengan sebaiknya.
Risiko keselamatan melibatkan peralatan mudah alih peribadi boleh dibahagikan

kepada dua kategori iaitu risiko alat dan risiko aplikasi.
(a) Risiko Alat berpunca daripada peralatan mudah alih peribadi

berkeupayaan tinggi seperti penyimpanan data samada dalaman atau
di cloud, penghantaran maklumat keluar daripada organisasi dan
kehilangan peralatan. Organisasi biasanya tidak mempunyai kawalan
atau mempunyai kawalan yang sangat terhad terhadap peralatan
mudah alih ini berbanding PC desktop atau komputer riba yang
dibekalkan.
(b) Risiko Aplikasi timbul akibat daripada pekerja memasang aplikasi

mudah alih pihak ketiga yang berinteraksi dengan data rasmi
organisasi yang disimpan di dalam peralatan.
VERSI 4.0
DASAR
MINDEF
MUKA SURAT 88/90
Empat Langkah Memastikan Keselamatan Penggunaan Peralatan

Mudah Alih Peribadi
Langkah 1 : Kurangkan Risiko dengan Pengurusan Peralatan Mudah Alih

(Mobile Device Management)
(a) Contoh yang paling mudah lagi jelas mengenai risiko berkaitan peralatan
adalah pertukaran atau penggantian peralatan oleh warga MinDef seperti
penggantian iPhone 4 kepada iPhone 5.
(b) Organisasi tidak mempunyai kawalan terhadap telefon pintar dan tablet
peribadi. Pertukaran dan penggantian peralatan mudah alih peribadi
adalah hak warga MinDef, walau bagaimanapun data yang disimpan dan
dihantar keluar dari organisasi melibatkan data rasmi organisasi.
Terdapat potensi ancaman yang besar seperti kehilangan data apabila
berlaku insiden seperti kehilangan telefon pintar atau tablet. Langkah
yang perlu diambil adalah dengan mengenal pasti dan mendaftar
peralatan mudah alih yang dibenarkan untuk mencapai data rasmi
organisasi.
(c) Maklumat rasmi perlu dibuat pengkelasan dan peralatan mudah alih
yang dibenarkan untuk mencapai maklumat dan aplikasi mengikut
pengkelasan berkaitan perlu ditentukan.
(d) Penggunaan tool Pengurusan Peralatan Mudah Alih boleh membantu
memudahkan pengurusan berikut:
 Konfigurasi telefon pintar dan tablet
 Agihan dan capaian perisian / aplikasi
 Enkripsi dan pengurusan kata laluan
 Remote wipe and lock
VERSI 4.0
DASAR
MINDEF
MUKA SURAT 89/90
Langkah 2 : Kurangkan Risiko Muat Turun Aplikasi Melalui Polisi dan

Latihan
(a) Aplikasi yang dimuat turun oleh warga MinDef melalui Internet ke dalam
telefon pintar dan tablet boleh mendatangkan ancaman dan risiko serta
impak yang besar terhadap keselamatan apabila peranti yang sama
digunakan untuk mencapai maklumat dan aplikasi rasmi MinDef. Sukar
untuk mewujudkan kawalan terhadap aplikasi yang dimuat turun dan
kebanyakan aplikasi yang dimuat turun daripada sumber yang tidak
diketahui berkemungkinan mengandungi malicious code.
(b) Sesetengah aplikasi yang dimuat turun mempunyai keupayaan untuk
memuat naik maklumat dan gambar yang disimpan dalam peranti pintar
peribadi secara sulit dan tidak diketahui oleh pemiliknya. Pembekal
peranti pintar seperti Apple IOS atau Android belum mempunyai kaedah
khusus untuk menyekat ancaman ini daripada berlaku.
(c) Bagi warga MinDef yang diberi kebenaran menggunakan telefon pintar
dan tablet peribadi untuk mencapai maklumat rasmi MinDef, muat turun
aplikasi perlu dibuat melalui sumber yang dipercayai (trusted AppStore).
Langkah 3 : Membangunkan Aplikasi Secara Dalaman
(a) Banyak organisasi telah mula membangunkan aplikasi peralatan mudah

alih secara dalaman sebagai salah satu saluran komunikasi dan
melaksanakan bisnes dengan pelanggan dan pengguna.
(b) Aplikasi yang dibangunkan ini menyediakan kaedah autentikasi sebelum
capaian kepada data organisasi dibenarkan.
(c) Pembangunan aplikasi secara dalaman ini merupakan salah satu
langkah pilihan daripada membenarkan warga MinDef memuat turun
aplikasi daripada sumber yang tidak dipercayai.
(d) Walau bagaimanapun aplikasi yang dibangunkan perlu mematuhi
metodologi pembangunan sistem secara selamat.
VERSI 4.0
DASAR
MINDEF
MUKA SURAT 90/90
Langkah 4 : Melaksanakan Audit Keselamatan Terhadap Peralatan,

Infrastruktur dan Aplikasi Mudah Alih
(a) Tidak ada sebarang strategi keselamatan peralatan mudah alih yang
komprehensif melainkan setelah audit keselamatan terhadap peralatan,
infrastruktur dan aplikasi dilaksanakan.
(b) Pelaksanaan audit keselamatan perlu meliputi aspek berikut:
 Membuat penilaian terhadap infrastruktur ICT mudah alih;
 Melaksanakan ujian penembusan (penetration test) terhadap
peralatan mudah alih dan server yang terlibat;
 Membuat penilaian terhadap keselamatan aplikasi bagi
menentukan jika terdapat kemungkinan berlaku kebocoran
maklumat; dan
 Menilai jurang antara polisi dan prosedur yang dikuatkuasakan
dengan amalan terbaik (best practices).

Dasar Ict Mindef v4 0 3

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Dasar Ict Mindef v4 0 3

Uploaded by

Copyright:

Available Formats

VERSI 4.

DASAR KESELAMATAN TEKNOLOGI MAKLUMAT

Kesan penggunaan ICT telah mengubah budaya kerja organisasi.

Faktor pertama ialah peranan dan tanggungjawab MinDef selaku

Faktor kedua ialah kewujudan penggunaan pelbagai teknologi dan

Rajah 1 : Pelaksanaan Keselamatan ICT MinDef

DKICT MinDef mengandungi peraturan-peraturan yang mesti dibaca dan dipatuhi

Objektif utama DKICT MinDef adalah seperti berikut :

(a) Menghebahkan pendirian pihak pengurusan untuk mendukung

Keselamatan ICT bermaksud keadaan di mana segala urusan menyedia dan

(a) Melindungi maklumat rahsia rasmi dan maklumat rasmi kerajaan

DKICT MinDef merangkumi perlindungan ke atas semua bentuk maklumat

(a) Kerahsiaan - Maklumat tidak boleh didedahkan sewenang-

(a) Aset ICT MinDef terdiri daripada perkakasan, perisian,

DKICT MinDef merangkumi perlindungan ke atas semua bentuk maklumat kerajaan

(a) Akses atas dasar perlu mengetahui

(b) Hak akses minimum

keupayaan mengesan dan mengesahkan pengguna boleh

(d) Pengasingan Fungsi

(e) Pengauditan Keselamatan

(h) Saling Bergantungan

BIDANG 1 : PELAKSANAAN DASAR KESELAMATAN ICT

BIDANG 2 : ORGANISASI KESELAMATAN ICT

yang berkaitan dengan keselamatan ICT; dan

(MAMPU) dan memaklumkannya kepada CIO;

(a) Memastikan kerahsiaan kata laluan aset ICT;

berlaku perubahan dalam bidang tugas;

(c) Menjalani proses tapisan keselamatan seperti

(b) Capaian kepada aset ICT MinDef perlu

Perkara-perkara berikut hendaklah dimasukkan di dalam

SENARAI AHLI JPICT

SENARAI AHLI JPICT

SENARAI AHLI JPICT

(a) Memperaku, melulus dan menguatkuasa

dan aktiviti yang berkaitan dengan

SENARAI AHLI JTICT

SENARAI AHLI JTICT

(a) Menilai aspek-aspek teknikal berhubung

Pengarah MinDefCERT : Timbalan Ketua Setiausaha

Pengurus MinDefCERT : SUB BPM (ICTSO)

(1) TSUB Cawangan Operasi, BPM

(4) KPSU Unit Aplikasi, BPM

Urus Setia bagi MinDefCERT ialah BPM.

Tugas dan tanggungjawab MinDefCERT meliputi

(a) Menerima dan mengesan aduan

(e) Menasihat Jabatan / Bahagian supaya

Rajah 2 : Carta Pelaporan Insiden Keselamatan ICT MinDef

BIDANG 3 : PENGURUSAN ASET

Bil Perkara Tanggungjawab

3.1.2 Tanggungjawab yang perlu dipatuhi adalah termasuk Pentadbir

3.2.2 Maklumat hendaklah dikelas berasaskan nilai, keperluan Pengguna

3.3.1 Pelabelan dan pengendalian maklumat seperti Pengguna

3.3.2 Langkah-langkah keselamatan yang perlu diambil Pengguna

(a) Tidak mendedahkan maklumat kepada pihak

pewujudan, pengumpulan, pemprosesan,

i. Penyalinan AK AK AK BIASA BIASA

Rajah 3 : Skim Penandaan Maklumat

BIDANG 4 : KESELAMATAN SUMBER MANUSIA

Bil Perkara Tanggungjawab

(a) Menyatakan dengan lengkap dan jelas peranan

4.2 Dalam Perkhidmatan

yang ditetapkan oleh MinDef;

BIDANG 5 : KESELAMATAN FIZIKAL DAN PERSEKITARAN

5.1.1 Kawalan kawasan adalah bertujuan untuk mengesan,