Dasar Keselamatan Ict-V2.1 - Opt

Dasar Keselamatan ICT
Jabatan Audit Negara
2014
Versi 2.1
Dasar Keselamatan ICT Jabatan Audit Negara
JAN-4-POL-Dasar Keselamatan ICT-v2.1 Muka Surat 1 dari 98
Approval Date:
SEJARAH DOKUMEN
DISEDIAKAN
TARIKH VERSI KETERANGAN PERUBAHAN
OLEH
20 Febuari 2012 1.0 BTM Dokumen asal
Perubahan terhadap Bahagian

18 Jun 2013 2.0 BTM
1.0 sehingga 10.0 dokumen asal
20 Ogos 2014 2.1 BTM Perubahan :

1. Menggugurkan perkara
2.10(d).
2. Menggantikan lampiran 2
kepada lampiran 3 pada
2.10(f).
3. Membuat pembetulan
6.7.1(b) Suhu persekitaran
dari 20-25 darjah Celsius
kepada 20-27 darjah
Celsius. Manakala
kelembapan dari paras
50.7% kepada dalam
lingkungan 40%-60%.
TERHAD
PENYEMAKAN DOKUMEN
Dokumen ini telah disemak oleh yang berikut:
Disemak oleh: Tarikh :
Zaleha@Siti Zaleha Binti Yusof
Timbalan Pengarah
Bahagian Teknologi Maklumat
Disahkan oleh: Tarikh :
Datuk Haji Anwari Bin Suri
Ketua Pegawai Maklumat(CIO)

TERHAD
ISI KANDUNGAN
PENGENALAN 10
OBJEKTIF 10
PRINSIP-PRINSIP 15
1.0 PEMBANGUNAN DAN PENYENGGARAAN DASAR 19
1.1 Objektif 19
1.2 Pelaksanaan Dasar 19
1.3 Penyebaran Dasar 19
1.4 Penyenggaraan Dasar 20
1.5 Pemakaian Dasar 20
2.0 INFRASTRUKTUR ORGANISASI KESELAMATAN 21
2.1 Objektif 21
2.2 Ketua Audit Negara 21
2.3 Ketua Pegawai Maklumat (CIO) 22
2.4 Pegawai Keselamatan ICT (ICT Security Officer) 22
2.5 Pengurus Komputer 24
2.6 Pentadbir Sistem ICT 24
2.7 Pengguna 25
2.8 Jawatan Kuasa Keselamatan ICT JAN 26
2.9 Pasukan Tindak Balas Insiden Keselamatan ICT (JANCERT) 28
2.10 Pihak Ketiga/luar 29
TERHAD
3.0 KAWALAN DAN PENGELASAN ASET 29
3.1 Objektif 29
3.2 Akauntabiliti Aset 30
3.2.1 Hak milik 30
3.2.2 Inventori Aset 30
3.3 Pengelasan dan Pengendalian Maklumat 30
3.3.1 Pengelasan Maklumat 30
3.3.2. Pengendalian Maklumat 31
4.0 KESELAMATAN SUMBER MANUSIA 32
4.1 Objektif 32
4.2 Sebelum Perkhidmatan 33
4.2.1 Tanggungjawab Keselamatan 33
4.2.2 Terma Dan Syarat Perkhidmatan 33
4.2.3 Perakuan Akta Rahsia Rasmi 33
4.3 Dalam Perkhidmatan 33
4.3.1 Tanggungjawab Pihak Pengurusan 34
4.3.2 Pendidikan/Program Kesedaran Keselamatan ICT 34
4.3.3 Tindakan Tatatertib 34
4.4 Bertukar atau Tamat Perkhidmatan 35
4.4.1 Pemulangan Aset dan Pembatalan Kebenaran Capaian 35
5.0 KESELAMATAN FIZIKAL DAN PERSEKITARAN 36
5.1 Objektif 36
TERHAD
5.2 Keselamatan Kawasan 36
5.2.1 Kawalan Kawasan Fizikal 36
5.2.2 Kawalan Keluar Masuk 38
5.2.3 Kawasan Larangan 38
5.3 Keselamatan Perkakasan 39
5.3.1 Perkakasan ICT 39
5.3.2 Perisian 40
5.3.3 Media Storan 41
5.3.4 Bekalan Kuasa 42
5.3.5 Kabel 42
5.3.6 Penyenggaraan Peralatan 43
5.3.7 Peralatan Di Luar Premis 43
5.3.8 Pengendalian Peralatan Luar Yang Dibawa Masuk 44
5.3.9 Pelupusan Peralatan 44
5.4 Keselamatan Dokumen 45
5.5 Keselamatan Persekitaran 46
6.0 PENGURUSAN OPERASI DAN KOMUNIKASI 46
6.1 Objektif 46
6.2 Pengurusan Prosedur Operasi 46
6.2.1 Pengendalian Prosedur Operasi 46
6.2.2 Kawalan Perubahan 47
6.2.3 Pengasingan Tugas Dan Tanggungjawab 47
6.3 Pengurusan Penyampaian Perkhidmatan Pihak Ketiga 48
TERHAD
6.4 Perancangan dan Penerimaan Sistem 49
6.5 Perlindungan Dari Malicious Code 49
6.6 Backup 50
6.7 Pengurusan Rangkaian 51
6.7.1 Keselamatan Pusat Data 51
6.7.2 Pengurusan Komunikasi 52
6.7.3 Keselamatan Peralatan Komunikasi 52
6.7.4 Keselamatan Rangkaian 53
6.7.5 Keselamatan Internet 54
6.7.6 Keselamatan Laman Web dan Intranet JAN 55
6.8 Pengurusan Media 56
6.8.1 Pengendalian Media Boleh Ubah 56
6.8.2 Keselamatan Sistem Dokumentasi 57
6.9 Pengurusan Pertukaran Maklumat 58
6.9.1 Keselamatan Mel Elektronik 58
6.10 Pemantauan 60
7.0 KAWALAN CAPAIAN 62
7.1 Objektif 62
7.2 Dasar Kawalan Capaian 62
7.3 Pengurusan Capaian Pengguna 62
7.3.1 Akaun Pengguna 62
7.3.2 Clear Screen and Clear Desk Policy 63
7.4 Kawalan Capaian Rangkaian 64
TERHAD
7.5 Kawalan Capaian Sistem Operasi 65
7.6 Kawalan Capaian Sistem Dan Aplikasi 66
7.7 Peralatan Mudah Alih 67
8.0 PEROLEHAN, PEMBANGUNAN DAN PENYENGGARAAN

SISTEM 68
8.1 Objektif 68
8.2 Keperluan Keselamatan Sistem Maklumat 68
8.3 Encryption 69
8.4 Kawalan Fail Sistem 69
8.5 Prosedur Kawalan Perubahan 70
8.6 Pihak Ketiga Dan Kontrak Perjanjian 71
8.6.1 Dasar Pelaksanaan 71
8.7 Kawalan dari Ancaman Teknikal 72
9.0 PENGURUSAN PENGENDALIAN INSIDEN KESELAMATAN 73
9.1 Objektif 73
9.2 Laporan Insiden Keselamatan 73
9.2.1 Melaporkan Peristiwa Keselamatan 73
9.2.2 Melaporkan Kelemahan Keselamatan Maklumat 74
9.3 Pengendalian Insiden Keselamatan 74
9.3.1 Analisis dan Pengesahan Insiden 74
9.3.2 Keutamaan Insiden dan Penilaian Impak 75
9.3.3 Keutamaan Insiden Keselamatan 76
9.3.4 Pemberitahuan Insiden 76
TERHAD
9.3.5 Strategi Pengawalan Insiden 77
9.3.6 Pengumpulan Bahan Bukti 78
9.3.7 Penjagaan Bahan Bukti 78
9.4 Pengajaran Daripada Insiden Maklumat Keselamatan 79
10.0 PENGURUSAN KESINAMBUNGAN PERKHIDMATAN 80
10.1 Objektif 80
10.2 Pelan Kesinambungan Perkhidmatan 80
11.0 PEMATUHAN 82
11.1 Objektif 82
11.2 Pematuhan Dasar 82
11.3 Pematuhan Dengan Dasar, Piawaian dan Keperluan Teknikal 83
11.4 Pematuhan Keperluan Audit 84
11.5 Keperluan Perundangan 84
11.6 Pelanggaran Dasar 86
LAMPIRAN 1 93
LAMPIRAN 2 934
LAMPIRAN 3 95
LAMPIRAN 4 97
TERHAD
GLOSARI
Lampiran 1 – Surat Akuan Pematuhan DKICT
Lampiran 2 – Ringkasan Proses Kerja Pelaporan Insiden
Keselamatan ICT JAN
Lampiran 3 - Borang Tapisan Keselamatan Kasar - KPKK 11
Lampiran 4 – Official Secrets Act (OSA)
TERHAD
PENGENALAN
Dasar Keselamatan ICT mengandungi peraturan-peraturan yang mesti dibaca dan

dipatuhi dalam menggunakan aset Teknologi Maklumat Dan Komunikasi (ICT) Jabatan
Audit Negara (JAN). Dasar ini juga menerangkan kepada semua pengguna JAN
mengenai tanggungjawab dan peranan mereka dalam melindungi aset ICT JAN.
OBJEKTIF
Dasar Keselamatan ICT JAN diwujudkan untuk memastikan tahap keselamatan ICT JAN
terurus dan dilindungi bagi menjamin kesinambungan urusan JAN dengan
meminimumkan kesan insiden keselamatan ICT.
PERNYATAAN DASAR
Keselamatan ditakrifkan sebagai keadaan yang bebas daripada ancaman dan risiko
yang tidak boleh diterima. Penjagaan keselamatan adalah suatu proses yang
berterusan. Ia melibatkan aktiviti berkala yang mesti dilakukan dari semasa ke semasa
untuk menjamin keselamatan kerana ancaman dan kelemahan sentiasa berubah.
Keselamatan ICT adalah bermaksud keadaan bagi segala urusan menyedia dan
membekalkan perkhidmatan yang berasaskan kepada sistem ICT berjalan secara
berterusan. Terdapat empat (4) komponen asas keselamatan ICT iaitu:
(a) Melindungi maklumat rahsia dan maklumat rasmi kerajaan dari capaian
tanpa kuasa yang sah;
TERHAD
(b) Menjamin setiap maklumat adalah tepat dan sempurna;
(c) Memastikan ketersediaan maklumat apabila diperlukan oleh pengguna;

dan
(d) Memastikan akses hanya kepada pengguna-pengguna yang sah atau

penerimaan maklumat dari sumber-sumber yang sah.
Dasar Keselamatan ICT JAN merangkumi perlindungan ke atas semua bentuk maklumat
elektronik bertujuan untuk menjamin keselamatan maklumat tersebut dan
kebolehsediaan kepada semua pengguna yang dibenarkan. Ciri-ciri utama keselamatan
maklumat adalah seperti berikut:
(a) Kerahsiaan – Maklumat tidak boleh didedahkan sewenang-wenangnya

atau dibiarkan diakses tanpa kebenaran;
(b) Integriti – Data dan maklumat hendaklah tepat, lengkap dan kemas kini.
Ia hanya boleh diubah dengan cara yang dibenarkan.
(c) Tidak Boleh Disangkal – Punca data dan maklumat hendaklah dari punca
yang sah dan tidak boleh disangkal;
(d) Kesahihan – Data dan maklumat hendaklah dijamin kesahihannya; dan
(e) Ketersediaan – Data dan maklumat hendaklah boleh diakses pada bila-
bila masa.
TERHAD
Selain itu, langkah-langkah ke arah keselamatan ICT hendaklah bersandarkan kepada

penilaian yang bersesuaian dengan perubahan semasa terhadap kelemahan semula jadi
aset ICT, ancaman yang wujud akibat daripada kelemahan tersebut, risiko yang mungkin
timbul dan langkah-langkah pencegahan yang sesuai yang boleh diambil untuk
menangani risiko berkenaan.
SKOP
Aset ICT JAN terdiri daripada perkakasan, perisian, perkhidmatan, data atau maklumat
dan manusia. Dasar Keselamatan ICT JAN menetapkan keperluan-keperluan asas
keselamatan seperti berikut:
(a) Data dan maklumat termasuk hardcopy dan softcopy hendaklah diakses
secara berterusan dengan cepat, tepat, mudah dan dengan cara yang boleh
dipercayai. Ini adalah amat perlu bagi membolehkan keputusan dan
penyampaian perkhidmatan dilakukan dengan berkesan serta berkualiti.
(b) Semua data dan maklumat hendaklah dijaga kerahsiaannya dan dikendalikan
sebaik mungkin pada setiap masa bagi memastikan kesempurnaan dan
melindungi kepentingan JAN.
Bagi menentukan aset ICT ini terjamin keselamatannya sepanjang masa, Dasar
Keselamatan ICT JAN disediakan merangkumi perlindungan semua bentuk
maklumat kerajaan yang dimasukkan, diwujud, dimusnah, disimpan, dijana, dicetak,
diakses, diedar dalam penghantaran dan yang dibuat salinan keselamatan. Ini akan
TERHAD
dilakukan melalui pewujudan dan penguatkuasaan sistem kawalan dan prosedur

dalam pengendalian semua perkara-perkara berikut:
a. Perkakasan
Semua aset yang digunakan untuk menyokong pemprosesan maklumat

dan kemudahan storan JAN. Contohnya komputer, server, peralatan
komunikasi dan sebagainya;
b. Perisian
Perisian aplikasi merangkumi semua program-program yang dipasang di

setiap komputer dan server bagi tujuan pemprosesan data daripada
pengguna. Contoh perisian aplikasi atau perisian sistem adalah sistem
pengoperasian, sistem pangkalan data, perisian sistem rangkaian, atau
aplikasi pejabat yang menyediakan kemudahan pemprosesan maklumat
kepada JAN;
c. Perkhidmatan
Perkhidmatan atau sistem yang menyokong aset lain untuk melaksanakan

fungsi-fungsinya. Contoh:
i. Perkhidmatan rangkaian seperti LAN, WAN dan lain-lain;
ii. Sistem halangan akses seperti sistem kad akses; dan

iii. Perkhidmatan sokongan seperti kemudahan elektrik, penghawa
dingin, sistem pencegah kebakaran dan lain-lain.
d. Data atau Maklumat
Koleksi fakta-fakta dalam bentuk kertas atau mesej elektronik, yang

mengandungi maklumat-maklumat untuk digunakan bagi mencapai misi
TERHAD
dan objektif JAN. Contohnya sistem dokumentasi, prosedur operasi, rekod-

rekod JAN, profil-profil pelanggan, pangkalan data dan fail-fail data,
maklumat-maklumat arkib dan lain-lain;
e. Manusia
Individu yang mempunyai pengetahuan dan kemahiran untuk

melaksanakan skop kerja harian JAN bagi mencapai misi dan objektif
agensi. Individu berkenaan merupakan aset berdasarkan kepada tugas-
tugas dan fungsi yang dilaksanakan; dan
f. Premis Komputer Dan Komunikasi
Semua kemudahan serta premis yang digunakan untuk menempatkan

perkara (a) - (e) di atas.
Dasar ini adalah terpakai oleh semua pengguna di JAN termasuk pegawai,
pembekal dan pakar runding yang mengurus, menyenggara, memproses,
mencapai, memuat turun, menyedia, memuat naik, berkongsi, menyimpan dan
menggunakan aset ICT JAN.
TERHAD
PRINSIP-PRINSIP
Prinsip-prinsip yang menjadi asas kepada Dasar Keselamatan ICT JAN dan perlu
dipatuhi adalah seperti berikut :
a. Akses Atas Dasar Perlu Mengetahui
Akses terhadap penggunaan aset ICT hanya diberikan untuk tujuan

spesifik dan dihadkan kepada pengguna tertentu atas dasar ”perlu
mengetahui” sahaja. Ini bermakna akses hanya akan diberikan sekiranya
peranan atau fungsi pengguna memerlukan maklumat tersebut.
Pertimbangan untuk akses adalah berdasarkan kategori maklumat seperti
yang dinyatakan di dalam dokumen Arahan Keselamatan perenggan 53,
muka surat 15;
b. Hak Akses Minimum
Hak akses pengguna hanya diberi pada tahap yang paling minimum iaitu
untuk membaca dan/atau melihat sahaja. Kelulusan adalah perlu untuk
membolehkan pengguna mewujud, menyimpan, mengemas kini,
mengubah atau membatalkan sesuatu maklumat. Hak akses adalah dikaji
dari masa ke semasa berdasarkan kepada peranan dan tanggungjawab
pengguna/bidang tugas;
c. Akauntabiliti
Semua pengguna adalah bertanggungjawab ke atas semua tindakannya

terhadap aset ICT JAN;
TERHAD
d. Pengasingan
Tugas mewujud, memadam, mengemaskini, mengubah dan mengesahkan

data perlu diasingkan bagi mengelakkan daripada capaian yang tidak
dibenarkan serta melindungi aset ICT daripada kesilapan, kebocoran
maklumat terperingkat atau dimanipulasi. Pengasingan juga merangkumi
tindakan memisahkan antara kumpulan operasi dan rangkaian;
e. Pengauditan
Pengauditan adalah tindakan untuk mengenal pasti insiden berkaitan

keselamatan atau mengenal pasti keadaan yang mengancam
keselamatan. Ia membabitkan pemeliharaan semua rekod yang berkaitan
tindakan keselamatan. Dengan itu, aset ICT seperti komputer, pelayan
(server), router, firewall, IPS, Antivirus dan rangkaian hendaklah ditentukan
dapat menjana dan menyimpan log tindakan keselamatan atau jejak audit
(audit trail);
f. Pematuhan
Dasar Keselamatan ICT JAN hendaklah dibaca, difahami dan dipatuhi bagi
mengelakkan sebarang bentuk pelanggaran ke atasnya yang boleh
membawa ancaman kepada keselamatan ICT;
g. Pemulihan
Pemulihan sistem amat perlu untuk memastikan ketersediaan dan

kebolehcapaian. Objektif utama adalah untuk meminumkan sebarang
gangguan atau kerugian akibat daripada ketidaksediaan. Pemulihan boleh
dilakukan melalui aktiviti penduaan (backup) dan pewujudan pelan
pemulihan bencana/kesinambungan perkhidmatan; dan
TERHAD
h. Saling Bergantungan
Setiap prinsip di atas adalah saling lengkap melengkapi dan bergantungan

antara satu sama lain. Dengan itu, tindakan mempelbagaikan pendekatan
dalam menyusun dan mencorakkan sebanyak mungkin mekanisme
keselamatan adalah perlu bagi menjamin keselamatan yang maksimum.
PENILAIAN RISIKO KESELAMATAN ICT
JAN hendaklah mengambil kira kewujudan risiko ke atas aset ICT akibat dari ancaman
dan vulnerability yang semakin meningkat. Justeru itu, JAN perlu mengambil langkah-
langkah proaktif dan bersesuaian untuk menilai tahap risiko aset ICT supaya pendekatan
dan keputusan yang paling berkesan dikenal pasti bagi menyediakan perlindungan dan
kawalan ke atas aset ICT.
JAN hendaklah melaksanakan penilaian risiko keselamatan ICT secara berkala dan
berterusan bergantung kepada perubahan teknologi dan keperluan keselamatan ICT.
Seterusnya mengambil tindakan susulan dan/atau langkah-langkah bersesuaian untuk
mengurangkan atau mengawal risiko keselamatan ICT berdasarkan penemuan penilaian
risiko.
Penilaian risiko keselamatan ICT hendaklah dilaksanakan ke atas sistem maklumat JAN
termasuklah aplikasi, perisian, pelayan, rangkaian dan/atau proses serta prosedur.
Penilaian risiko ini hendaklah juga dilaksanakan di premis-premis yang menempatkan
sumber-sumber teknologi maklumat termasuklah pusat data, bilik media storan,
kemudahan utiliti dan sistem-sistem sokongan lain.
TERHAD
JAN bertanggungjawab melaksanakan dan menguruskan risiko keselamatan ICT selaras

dengan keperluan Surat Pekeliling Am Bil. 6 Tahun 2005: Garis Panduan Penilaian
Risiko Keselamatan Maklumat Sektor Awam.
JAN perlu mengenal pasti tindakan yang sewajarnya bagi menghadapi kemungkinan
risiko berlaku dengan memilih tindakan berikut:
(a) Mengurangkan risiko dengan melaksanakan kawalan yang bersesuaian;
(b) Menerima dan/atau bersedia berhadapan dengan risiko yang akan terjadi
selagi ia memenuhi kriteria yang telah ditetapkan pengurusan atasan;
(c) Mengelak dan/atau mencegah risiko dari terjadi dengan mengambil tindakan
yang dapat mengelak dan/atau mencegah berlakunya risiko; dan
(d) Memindahkan risiko ke pihak lain seperti pembekal, pakar runding dan pihak-
pihak lain yang berkepentingan.
TERHAD
1.0 PEMBANGUNAN DAN PENYENGGARAAN DASAR
1.1 Objektif
Dasar ini bertujuan memastikan hala tuju pengurusan keselamatan JAN
untuk melindungi aset ICT selaras dengan keperluan perundangan.
1.2 Pelaksanaan Dasar

Ketua Audit Negara adalah bertanggungjawab ke atas pelaksanaan arahan
dengan dibantu oleh Jawatankuasa Keselamatan ICT yang dipengerusikan
oleh Ketua Pegawai Maklumat (CIO) dan dianggotai oleh Pengurus
Komputer, Pegawai Keselamatan ICT (ICTSO) dan lain-lain pegawai yang
dilantik.
1.3 Penyebaran Dasar

Dasar ini perlu disebarkan kepada semua pengguna JAN (termasuk
pegawai, pembekal, pakar runding dan lain-lain yang berurusan dengan
JAN).
Penyebaran dasar kepada pengguna akan dibuat melalui medium seperti

Intranet, Mesyuarat Pengurusan JAN, E-mel, Surat Makluman dan lain-lain
kaedah yang bersesuaian mengikut keperluan semasa.
TERHAD
1.4 Penyenggaraan Dasar

Dasar Keselamatan ICT JAN adalah tertakluk kepada semakan dan
pindaan dari masa ke semasa selaras dengan perubahan teknologi,
aplikasi, prosedur, perundangan dan kepentingan organisasi.
Prosedur yang berhubung dengan penyenggaraan Dasar Keselamatan ICT

JAN adalah seperti berikut:
a. Mengkaji semula dasar ini sekurang-kurangnya sekali

setahun bagi mengenal pasti dan menentukan perubahan
yang diperlukan;
b. Mengemukakan cadangan pindaan secara bertulis kepada

ICTSO untuk pembentangan dan persetujuan Jawatankuasa
Keselamatan ICT (JKICT) JAN;
c. Memaklumkan perubahan yang sudah dipersetujui oleh

JKICT kepada semua pengguna.
1.5 Pemakaian Dasar

Dasar Keselamatan ICT JAN adalah terpakai kepada semua pengguna ICT
JAN dan tiada pengecualian diberikan melainkan mendapat persetujuan
Ketua Audit Negara.
TERHAD
2.0 INFRASTRUKTUR ORGANISASI KESELAMATAN
2.1 Objektif
Menerangkan peranan dan tanggungjawab individu yang terlibat dengan

lebih jelas dan teratur dalam mencapai objektif organisasi.
2.2 Ketua Audit Negara

Peranan dan tanggungjawab Ketua Audit Negara adalah seperti berikut:
a. Mewujudkan dan mengetuai Jawatankuasa Pemandu ICT

JAN;
b. Memastikan semua pengguna ICT JAN memahami

peruntukan-peruntukan di bawah Dasar Keselamatan ICT
JAN;
c. Memastikan semua pengguna mematuhi Dasar Keselamatan

ICT JAN;
d. Memastikan semua keperluan organisasi seperti sumber

kewangan, sumber manusia dan perlindungan keselamatan
adalah mencukupi; dan
e. Memastikan penilaian risiko dan program keselamatan ICT

dilaksanakan seperti yang ditetapkan dalam Dasar
Keselamatan ICT JAN.
TERHAD
2.3 Ketua Pegawai Maklumat (CIO)

Timbalan Ketua Audit Negara(Persekutuan) adalah merupakan Ketua
Pegawai Maklumat (CIO). Peranan dan tanggungjawab beliau adalah
seperti berikut:
a. Mewujudkan dan mengetuai Jawatankuasa Keselamatan ICT

JAN;
b. Membantu dan menasihati Ketua Audit Negara dalam

melaksanakan tugas-tugas yang melibatkan keselamatan
ICT;
c. Menentukan keperluan keselamatan ICT;
d. Menyelaraskan pembangunan dan pelaksanaan pelan

latihan dan program kesedaran mengenai keselamatan ICT;
dan
e. Menguatkuasakan Dasar Keselamatan ICT JAN bagi

memastikan semua pengguna memahami peruntukan di
bawah Dasar Keselamatan ICT JAN.
2.4 Pegawai Keselamatan ICT (ICT Security Officer)

Timbalan Pengarah Bahagian Teknologi Maklumat adalah merupakan
Pegawai Keselamatan ICT (ICTSO). Peranan dan tanggungjawab Pegawai
Keselamatan ICT (ICTSO) ialah seperti berikut:
a. Mengurus keseluruhan program-program keselamatan ICT

JAN;
b. Memberi penerangan kepada pengguna berkenaan Dasar

Keselamatan ICT JAN;
TERHAD
c. Mewujudkan garis panduan, prosedur dan tatacara selaras

dengan keperluan Dasar Keselamatan ICT JAN;
d. Bertindak sebagai pengurus Computer Emergency Response

Team ICT (CERT) JAN;
e. Menjalankan pengauditan, mengkaji semula, merumus tindak

balas berdasarkan hasil penemuan dan menyediakan
laporan;
f. Memberi amaran terhadap kemungkinan berlakunya

ancaman keselamatan ICT dan memberi khidmat nasihat
serta menyediakan langkah-langkah perlindungan yang
sesuai;
g. Memaklumkan insiden keselamatan ICT kepada CIO dan

melaporkannya kepada Pasukan Tindak Balas Insiden
Keselamatan ICT Kerajaan (GCERT MAMPU) dan
seterusnya membantu dalam penyiasatan atau pemulihan;
h. Bekerjasama dengan pihak-pihak yang berkaitan dalam

mengenal pasti punca insiden dan memperakukan langkah-
langkah baik pulih dengan segera; dan
i. Menyedia dan melaksanakan program-program kesedaran

mengenai keselamatan ICT.
TERHAD
2.5 Pengurus Komputer

Timbalan Pengarah Bahagian Teknologi Maklumat (BTM), Ketua Penolong
Pengarah Seksyen Operasi dan Rangkaian dan Ketua Penolong Pengarah
Seksyen Aplikasi adalah merupakan Pengurus Komputer, JAN. Peranan
dan tanggungjawab Pengurus Komputer ialah:
a. Memahami dan mematuhi Dasar Keselamatan ICT JAN;
b. Mengkaji semula dan melaksanakan kawalan keselamatan

ICT selaras dengan keperluan JAN;
c. Menentukan kawalan akses semua pengguna terhadap aset

ICT JAN;
d. Melaporkan sebarang perkara atau penemuan mengenai

keselamatan ICT kepada ICTSO; dan
e. Menyimpan rekod, bahan bukti dan laporan mengenai

ancaman keselamatan ICT JAN.
2.6 Pentadbir Sistem ICT

Pentadbir Sistem ICT JAN adalah Penolong Pengarah Bahagian Teknologi
Maklumat. Peranan dan tanggungjawab Pentadbir Sistem ICT adalah
seperti berikut:
a. Mengambil tindakan segera apabila dimaklumkan mengenai

pegawai yang berhenti, bertukar atau berlaku perubahan
dalam bidang tugas. Jika perlu, membeku akaun pengguna
yang bercuti/berkursus panjang atau menghadapi tindakan
tatatertib;
TERHAD
b. Memantau aktiviti capaian harian pengguna;
c. Mengenal pasti aktiviti-aktiviti tidak normal seperti

pencerobohan dan pengubahsuaian data tanpa kebenaran;
d. Menyimpan dan menganalisis rekod jejak audit;
e. Melaksanakan penyenggaraan dan patches terkini; dan
f. Menyedia laporan mengenai aktiviti capaian kepada pihak

pengurusan dan pihak yang berkaitan dari masa ke semasa.
2.7 Pengguna
Pengguna adalah termasuk pegawai JAN, pembekal, pakar perunding dan
lain-lain. Peranan dan tanggungjawab pengguna ialah:
a. Membaca, memahami dan mematuhi Dasar Keselamatan

ICT JAN;
b. Mengetahui dan memahami implikasi keselamatan ICT kesan

dari tindakannya;
c. Melaksanakan prinsip-prinsip Dasar Keselamatan ICT JAN

dan menjaga kerahsiaan maklumat;
d. Melaksanakan langkah-langkah perlindungan seperti berikut:
i. Menghalang pendedahan maklumat kepada pihak yang

tidak dibenarkan;
ii. Memeriksa maklumat dan menentukan ia tepat dan

lengkap dari masa ke semasa;
iii. Menentukan maklumat sedia untuk digunakan;
iv. Menjaga kerahsiaan kata laluan;
TERHAD
v. Mematuhi standard, prosedur, langkah dan garis panduan

yang ditetapkan;
vi. Memberi perhatian kepada maklumat terperingkat

terutama semasa pewujudan, pemprosesan,
penyimpanan, penghantaran, penyampaian, pertukaran
dan pemusnahan; dan
vii. Menjaga kerahsiaan langkah-langkah keselamatan ICT

dari diketahui umum.
e. Menghadiri program-program kesedaran mengenai

keselamatan ICT;
f. Melaporkan sebarang aktiviti yang mengancam keselamatan

ICT kepada ICTSO dengan kadar segera; dan
g. Menandatangani Surat Akuan Pematuhan DKICT JAN seperti

di Lampiran 1.
2.8 Jawatan Kuasa Keselamatan ICT JAN

Jawatan Kuasa Keselamatan ICT (JKICT) adalah jawatankuasa yang
bertanggungjawab dalam keselamatan ICT dan berperanan sebagai
penasihat dan pemangkin dalam merumuskan rancangan dan strategi
keselamatan ICT JAN.
Keanggotaan JKICT adalah seperti berikut:
Pengerusi : Timbalan Ketua Audit Negara (Persekutuan)
Ahli : (1) ICTSO
(2) Semua Pengarah Sektor
(3) Pengarah Akademi Audit Negara
TERHAD
(4) Timbalan Pengarah (Bahagian Sumber
Manusia)
(5) Timbalan Pengarah (Bahagian
Pengauditan ICT)
(6) Timbalan Pengarah (Bahagian Pentadbiran
& Kewangan)
Urus Setia : Bahagian Teknologi Maklumat (BTM)
Bidang kuasa:
a. Memperaku/meluluskan dokumen DKICT JAN;
b. Memantau tahap pematuhan keselamatan ICT dan DKICT JAN;
c. Memperakukan garis panduan, prosedur dan tatacara untuk

aplikasi-aplikasi khusus dalam JAN yang mematuhi keperluan
DKICT JAN;
d. Menilai teknologi yang bersesuaian dan mencadangkan

penyelesaian terhadap keperluan keselamatan ICT JAN;
e. Memastikan DKICT JAN selaras dengan dasar-dasar ICT kerajaan

semasa;
f. Membincang tindakan yang melibatkan pelanggaran DKICT JAN;

dan
g. Membuat keputusan mengenai tindakan yang perlu diambil

mengenai sebarang insiden.
TERHAD
2.9 Pasukan Tindak Balas Insiden Keselamatan ICT (JANCERT)

JAN mengguna pakai Model 3 – Struktur Model CERT seperti mana dalam
Garis Panduan Pengurusan Pengendalian Insiden Keselamatan ICT
Sektor Awam. SPA Bil. 4/2006 adalah dirujuk. Struktur organisasi
JANCERT adalah seperti berikut:
Pengerusi: ICTSO
Ahli: (1) Pegawai Teknologi Maklumat (BTM)
(2) Penolong Pegawai Teknologi Maklumat
(BTM)
Urus Setia: Bahagian Teknologi Maklumat (BTM)
Tanggungjawab JANCERT:
a. Menghubungi dan melaporkan insiden yang berlaku kepada ICTSO

dan GCERT MAMPU;
b. Melaporkan sebarang maklum balas dan insiden keselamatan ICT

kepada JKICT.
Tanggungjawab CERTMAMPU:
a. Menerima dan mengesan aduan keselamatan ICT dan menilai tahap

dan jenis insiden; dan
b. Menangani tindak balas (response) insiden keselamatan ICT dan

mengemukakan cadangan tindakan baikpulih minima.
TERHAD
2.10 Pihak Ketiga/luar

Pihak JAN hendaklah memastikan keselamatan penggunaan maklumat
dan kemudahan proses maklumat oleh kontraktor/pihak ketiga dikawal.
Perkara yang perlu dipatuhi adalah seperti berikut:
a. Mengenal pasti risiko keselamatan maklumat dan

kemudahan pemprosesan maklumat serta melaksanakan
kawalan yang sesuai sebelum memberi kebenaran capaian;
b. Mengenal pasti keperluan keselamatan sebelum memberi

kebenaran capaian atau penggunaan kepada pengguna
luar/asing. Capaian kepada aset ICT JAN perlu berlandaskan
kepada perjanjian kontrak;
c. Memastikan semua syarat keselamatan dinyatakan dengan

jelas dalam perjanjian dengan pihak ketiga;
d. Menandatangani Surat Akuan Pematuhan Dasar

Keselamatan ICT JAN seperti di Lampiran 1; dan
e. Pihak ketiga (pembekal, kontraktor, perunding dan

sebagainya) juga perlu menandatangani Borang KPKK 11
bagi perakuan untuk tidak membocorkan sebarang maklumat
rasmi yang diperolehi sepanjang berkhidmat dengan JAN
seperti di Lampiran 3.
3.0 KAWALAN DAN PENGELASAN ASET
3.1 Objektif
Memberi dan menyokong perlindungan yang optimum ke atas semua aset
ICT JAN.
TERHAD
3.2 Akauntabiliti Aset
3.2.1. Hak milik

Semua aset ICT termasuk maklumat yang terkandung di dalamnya
adalah Hak Milik Kerajaan. Pengguna yang dipertanggungjawabkan
untuk menjaga aset-aset ini perlu mematuhi perkara-perkara berikut:
a. Memastikan semua aset dikendalikan oleh pengguna yang

dibenarkan sahaja;
b. Setiap pengguna adalah bertanggungjawab ke atas semua

aset ICT di bawah kawalannya;
c. Peraturan bagi pengendalian aset hendaklah dikenalpasti,

didokumenkan dan dilaksanakan.
3.2.2. Inventori Aset

Semua aset ICT JAN hendaklah direkodkan. Ini termasuklah
mengenal pasti aset, mengelas aset mengikut tahap sensitiviti aset
berkenaan dan merekod maklumat seperti pemilikan, penempatan
dan sebagainya. Maklumat lanjut boleh dirujuk di dalam “Pekeliling
Perbendaharaan Bil. 5 Tahun 2007 Tatacara Pengurusan Aset Alih
Kerajaan”.
3.3 Pengelasan Dan Pengendalian Maklumat

Memastikan setiap maklumat atau aset ICT diberikan tahap perlindungan
yang bersesuaian.
3.3.1. Pengelasan Maklumat

Memastikan setiap maklumat diberi perlindungan yang bersesuaian
berdasarkan kepada tahap sensitiviti masing-masing.
TERHAD
Maklumat hendaklah dikelaskan dan dilabelkan sewajarnya

berasaskan nilai, keperluan perundangan, tahap sensitiviti dan tahap
kritikal kepada kerajaan. Setiap maklumat yang dikelaskan sebagai
Rahsia Besar, Rahsia, Sulit dan Terhad mestilah diuruskan
mengikut peringkat keselamatan seperti dinyatakan dalam dokumen
Arahan Keselamatan.
3.3.2. Pengendalian Maklumat

Pengendalian maklumat seperti pewujudan, pengumpulan,
pemprosesan, penyimpanan, penyalinan, penghantaran,
penyampaian, penukaran dan pemusnahan hendaklah mengambil
kira langkah-langkah keselamatan berikut :
a. Pelabelan Maklumat:
Pelabelan maklumat perlu dilakukan bagi maklumat dalam

bentuk elektronik dan hardcopy. Bagi file elektronik, setiap
muka surat harus dilabelkan mengikut klasifikasi dokumen
yang berkenaan. Manakala, bagi dokumen dalam bentuk
hardcopy, pelabelan mesti mengikut arahan yang telah
dikeluarkan dalam Arahan Keselamatan, di Bab Keselamatan
Dokumen, seksyen III:Tanda Keselamatan.
b. Penyimpanan Maklumat:
Penyimpanan dokumen yang telah diklasifikasikan mesti

mengikut Arahan Keselamatan, di Bab Keselamatan
Dokumen, Seksyen IV: Penyimpanan Perkara-perkara
Terperingkat.
TERHAD
c. Penghantaran Maklumat:
Penghantaran dokumen yang telah diklasifikasikan mesti

Dokumen:
 Seksyen V: Penghantaran Dokumen Terperingkat
 Seksyen VI: Membawa Dokumen Terperingkat Keluar
Pejabat
 Seksyen VII: Pelepasan Perkara Terperingkat
d. Pelupusan Maklumat:
Pelupusan dokumen yang telah diklasifikasikan mesti

Dokumen, Seksyen VIII: Pemusnahan Dokumen
Terperingkat.
4.0 KESELAMATAN SUMBER MANUSIA
4.1 Objektif
Memahami tanggungjawab dan peranan semua sumber manusia
dalam keselamatan aset ICT JAN. Sumber manusia yang terlibat termasuk
warga JAN, pembekal, pakar perunding dan pihak-pihak yang
berkepentingan.
TERHAD
4.2 Sebelum Perkhidmatan
4.2.1 Tanggungjawab Keselamatan

Peranan dan tanggungjawab pengguna terhadap keselamatan ICT
mestilah lengkap, jelas, direkodkan, dipatuhi dan dilaksanakan serta
dinyatakan dalam Surat Akuan Pematuhan Dasar Keselamatan ICT
JAN.
Keselamatan ICT merangkumi tanggungjawab pengguna dalam

menyediakan dan memastikan perlindungan ke atas semua aset
atau sumber ICT di bawah kawalannya yang digunakan dalam
melaksanakan tugas harian.
4.2.2 Terma Dan Syarat Perkhidmatan

Semua warga JAN yang dilantik hendaklah mematuhi terma dan
syarat perkhidmatan yang ditawarkan dan peraturan semasa yang
berkuat kuasa.
4.2.3 Perakuan Akta Rahsia Rasmi

Warga JAN yang menguruskan maklumat terperingkat hendaklah
mematuhi semua peruntukan Akta Rahsia Rasmi 1972.
4.3 Dalam Perkhidmatan

Pegawai JAN yang bertanggungjawab menguruskan perkara-perkara
terperingkat pada peringkat Sulit, Rahsia dan Rahsia Besar harus
menjalani Tapisan Keselamatan bagi memeriksa latarbelakang pegawai
yang berkenaan seperti yang tertera di Arahan Keselamatan, bab
Keselamatan Peribadi, Seksyen II:Tapisan.
TERHAD
4.3.1 Tanggungjawab Pihak Pengurusan

Memastikan staf JAN serta pihak ketiga yang berkepentingan
mengurus keselamatan aset ICT berdasarkan perundangan dan
peraturan yang ditetapkan oleh JAN. Ketua Jabatan perlu
memastikan setiap staf menandatangani Surat Akuan Pematuhan
Dasar Keselamatan ICT JAN.
4.3.2 Pendidikan/Program Kesedaran Keselamatan ICT

Setiap warga JAN perlu diberikan program kesedaran, latihan atau
kursus mengenai keselamatan ICT secara berterusan dalam
melaksanakan tugas dan tanggungjawabnya. Program latihan akan
melibatkan semua pegawai JAN dan dilaksanakan secara
berterusan. Selain itu, laman Intranet akan dijadikan sebagai
medium penyebaran maklumat berkaitan keselamatan ICT bagi
meningkatkan tahap kesedaran pegawai JAN berkaitan kepentingan
keselamatan ICT.
Pegawai teknikal yang dipertanggungjawabkan menjaga

keselamatan sumber ICT di mana ianya menyediakan perkhidmatan
berpusat kepada pengguna (seperti server, storan, firewall, router,
antivirus berpusat dan lain-lain) akan dipastikan menjalani latihan
yang spesifik berkaitan bidang tugas mengikut spesifikasi produk
yang digunakan.
4.3.3 Tindakan Tatatertib

Pelanggaran Dasar Keselamatan ICT JAN akan dikenakan tindakan
tatatertib atau digantung dari mendapat akses kepada kemudahan
ICT JAN.
TERHAD
4.4 Bertukar Atau Tamat Perkhidmatan

Peraturan yang berkaitan dengan pertukaran perkhidmatan atau tamat
perkhidmatan perlu ditakrifkan dengan jelas.
4.4.1 Pemulangan Aset Dan Pembatalan Kebenaran Capaian

Perkara-perkara yang perlu dipatuhi termasuk yang berikut:
a. Memastikan semua aset ICT dikembalikan kepada JAN

mengikut peraturan dan/atau terma perkhidmatan yang
ditetapkan; dan
b. Membatalkan atau menarik balik semua kebenaran

capaian ke atas maklumat dan kemudahan proses
maklumat mengikut peraturan yang ditetapkan oleh
JAN dan/atau terma perkhidmatan.
Boleh rujuk Surat Pekeliling Perkhidmatan Bilangan 4 Tahun 2010

Pelaksanaan Modul Penamatan Perkhidmatan Urusan Persaraan
Kerana Mencapai Umur 55/56/58/60 Tahun, Urusan Persaraan
Pilihan dan Fungsi Kematian Dalam Perkhidmatan bagi maklumat
lanjut.
TERHAD
5.0 KESELAMATAN FIZIKAL DAN PERSEKITARAN
5.1 Objektif
Melindungi dan mencegah akses fizikal yang tidak dibenarkan yang boleh
mengakibatkan kecurian, kerosakan dan gangguan kepada persekitaran
premis, peralatan dan maklumat.
5.2 Keselamatan Kawasan

Memastikan langkah-langkah keselamatan yang diadakan adalah sejajar
dengan Arahan Keselamatan, di Bab Keselamatan Fizikal, Seksyen I:
Kawasan Terperingkat; Seksyen II: Keselamatan Bangunan; Seksyen III:
Perkhidmatan Pengawalan Keselamatan; Seksyen IV: Pas Keselamatan,
Kad Pengenalan Jabatan, Kad Kuasa dan Kad Perlantikan; dan Seksyen
VI: Kawalan Kunci Keselamatan.
5.2.1 Kawalan Kawasan Fizikal

Bertujuan untuk mencegah akses fizikal yang tidak dibenarkan,
kerosakan dan gangguan kepada premis dan maklumat. Langkah
keselamatan yang perlu diikuti adalah seperti:
a. Mengenal pasti kawasan keselamatan fizikal. Lokasi

dan keteguhan keselamatan fizikal hendaklah
bergantung kepada keperluan untuk melindungi aset;
b. Menggunakan keselamatan perimeter (halangan

seperti dinding, pagar kawalan, pengawal
keselamatan) untuk melindungi kawasan yang
mengandungi maklumat dan kemudahan pemprosesan
maklumat;
TERHAD
c. Menyediakan tempat atau bilik khas untuk pelawat-

pelawat;
d. Melindungi kawasan terhad melalui kawalan pintu

masuk yang bersesuaian bagi memastikan pegawai
yang diberi kebenaran sahaja boleh melalui pintu
masuk ini;
e. Mengadakan kaunter kawalan;
f. Memasang alat penggera, kamera litar tertutup (CCTV)

dan seumpamanya;
g. Mewujudkan perkhidmatan kawalan keselamatan;
h. Mereka bentuk dan melaksanakan keselamatan fizikal

di dalam pejabat, bilik dan kemudahan;
i. Mereka bentuk dan melaksanakan perlindungan fizikal

dari kebakaran, banjir, letupan, kacau-bilau dan
bencana;
j. Memastikan kawasan-kawasan penghantaran dan

pemunggahan dan juga tempat-tempat lain dikawal
dari pihak yang tidak diberi kebenaran memasukinya;
dan
k. Merekabentuk dan melaksanakan perlindungan fizikal

dan panduan untuk pegawai yang bertugas di kawasan
terhad.
TERHAD
5.2.2 Kawalan Keluar Masuk

a. Setiap warga JAN hendaklah memakai pas
keselamatan sepanjang waktu bertugas;
b. Semua pas keselamatan hendaklah diserah balik

kepada jabatan apabila pengguna berhenti, bertukar
atau bersara;
c. Setiap pelawat hendaklah mendapatkan pas pelawat

dan hendaklah dipulangkan selepas tamat lawatan;
d. Kehilangan pas mestilah dilaporkan dengan segera

kepada Pegawai Keselamatan JAN; dan
e. Maklumat pelawat seperti tarikh, masa dan tempat

dituju hendaklah direkod dan dikawal.
5.2.3 Kawasan Larangan

Kawasan larangan ialah kawasan yang dihadkan kemasukan untuk
pegawai-pegawai tertentu sahaja. Kawasan larangan di JAN ialah
seperti bilik Ketua Audit Negara, Timbalan Ketua Audit
Negara(Persekutuan), Timbalan Ketua Audit Negara(Negeri), pusat
data, bilik fail dan bilik sulit yang menempatkan peralatan rangkaian
dan telekomunikasi.
Pihak ketiga dilarang memasuki kawasan larangan kecuali bagi kes-

kes tertentu seperti memberi perkhidmatan sokongan atau bantuan
teknikal. Mereka hendaklah diiringi sepanjang masa sehingga tugas
di kawasan berkenaan selesai.
TERHAD
5.3 Keselamatan Perkakasan
5.3.1 Perkakasan ICT

Perkakasan ICT meliputi pelbagai peralatan ICT dan komponennya
seperti komputer mikro , komputer bimbit, PDA, workstation, server,
pencetak, modem, UPS dan sebagainya. Perkakasan yang
digunakan perlu dijaga, dilindungi dan dikawal di mana:
a. Pengguna bertanggungjawab sepenuhnya menjaga

dan melindungi segala perkakasan, komponen atau
peralatan ICT di bawah kawalannya agar sentiasa
berkeadaan baik dan lengkap sepanjang masa;
b. Setiap pengguna hendaklah memastikan semua

perkakasan ICT di bawah kawalannya disimpan di
tempat yang bersih dan selamat;
c. Pengguna dilarang memindah, menambah,

membuang, atau menukar sebarang komponen atau
perkakasan ICT tanpa kebenaran BTM;
d. Peminjaman dan pemulangan peralatan hendaklah

direkodkan oleh pegawai yang telah
dipertanggungjawabkan;
e. Setiap pengguna adalah bertanggungjawab di atas

kerosakan dan kehilangan perkakasan ICT di bawah
kawalannya;
f. Setiap pengguna hendaklah melaporkan sebarang

bentuk penyelewengan atau salah guna perkakasan
ICT kepada ICTSO;
TERHAD
g. Penyenggaraan peralatan ICT hanya boleh dilakukan

oleh pegawai atau pihak yang dibenarkan sahaja; dan
h. Pelupusan peralatan ICT perlu dilakukan secara

terkawal dan lengkap dan mengikut prosedur
pelupusan aset yang dikuatkuasakan. Maklumat atau
kandungan dokumen hendaklah dihapuskan terlebih
dahulu sebelum pelupusan dilakukan. Sekiranya
maklumat perlu disimpan, penduaan bolehlah
dilakukan.
5.3.2 Perisian
Perisian merujuk kepada atur cara/program yang dilaksanakan oleh
sistem komputer. Perisian yang digunakan perlu dilindungi supaya
kebocoran maklumat dan gangguan perkhidmatan dapat dihindari
melalui kaedah seperti berikut:
a. Pengguna dilarang memasukkan perisian yang tidak

sah ke dalam komputer masing-masing. Sebarang
pemasangan perisian yang tidak sah serta
mengakibatkan kerosakan atau kehilangan data akan
dipertanggungjawabkan sepenuhnya kepada
pengguna terbabit.
b. Gunakan antivirus untuk mengimbas perisian sebelum

menggunakannya bagi memastikan perisian bebas dari
virus, worm, Trojan dan sebagainya.
c. Sebarang keperluan bagi memasukkan perisian yang

baru hendaklah dirujuk terlebih dahulu kepada BTM.
TERHAD
5.3.3 Media Storan

Media storan merupakan tempat penyimpanan maklumat seperti
USB drive, disket, CD, DVD, pita, external hard disk dan
sebagainya. Langkah keselamatan adalah bagi mengelak maklumat
atau data menjadi rosak (corrupted) atau tidak boleh dibaca.
Langkah keselamatan yang perlu diambil ialah seperti berikut:
a. Dilarang meninggalkan, memberi atau menyerahkan

media storan yang mengandungi maklumat penting
kepada orang lain bagi mengelakkan berlakunya
pembocoran rahsia;
b. Penghapusan kandungan media storan mestilah

mendapat kebenaran pemilik maklumat terlebih dahulu;
c. Menyediakan ruang penyimpanan yang baik dan

mempunyai ciri-ciri keselamatan seperti kabinet
berkunci;
d. Elakkan media dari debu atau habuk, sinaran matahari,

suhu panas dan cecair bendalir;
e. Akses untuk memasuki kawasan penyimpanan media

hendaklah dihadkan kepada pegawai yang
bertanggungjawab atau pengguna yang dibenarkan
sahaja;
f. Tidak dibenarkan menyimpan data-data yang tiada

kena mengena dengan bidang tugas kerja atau pun
yang dilarang oleh pihak JAN; dan
g. Media storan yang digunakan hendaklah bebas

daripada serangan virus yang boleh mengganggu
TERHAD
ketidakstabilan sistem komputer dan rangkaian.

Gunakan perisian antivirus untuk mengimbas media
storan sebelum menggunakannya.
5.3.4 Bekalan Kuasa

Bekalan kuasa merupakan punca kuasa elektrik yang dibekalkan
kepada peralatan ICT. Perkara yang perlu dipatuhi bagi menjamin
keselamatan bekalan kuasa adalah seperti berikut:
a. Melindungi semua peralatan ICT dari kegagalan

bekalan elektrik dan menyalurkan bekalan yang sesuai
kepada peralatan ICT;
b. Menggunakan peralatan sokongan seperti

Uninterruptable Power Supply (UPS) dan penjana
(generator) bagi perkhidmatan kritikal seperti di bilik
server supaya mendapat bekalan kuasa berterusan;
dan
c. Menyemak dan menguji semua peralatan sokongan

bekalan kuasa secara berjadual.
5.3.5 Kabel
Kabel termasuk kabel elektrik dan telekomunikasi yang
menyalurkan data dan menyokong perkhidmatan penyampaian
maklumat hendaklah dilindungi. Langkah berikut hendaklah diambil:
a. Menggunakan kabel mengikut standard dan spesifikasi

yang ditetapkan; dan
TERHAD
b. Kabel dan laluan pemasangan kabel sentiasa

dilindungi.
5.3.6 Penyenggaraan Peralatan

Perkakasan hendaklah disenggarakan dengan betul bagi
memastikan kebolehsediaan, kerahsiaan dan integriti. Langkah-
langkah keselamatan yang perlu diambil termasuklah seperti berikut:
a. Mematuhi spesifikasi yang ditetapkan oleh

pengeluar bagi semua perkakasan yang disenggara;
b. Memastikan perkakasan hanya disenggara oleh staf

atau pihak yang dibenarkan sahaja;
c. Menyemak dan menguji semua perkakasan sebelum

dan selepas proses penyenggaraan;
d. Memaklumkan pihak pengguna sebelum

melaksanakan penyenggaraan mengikut jadual yang
ditetapkan atau atas keperluan;
e. Bertanggungjawab terhadap setiap perkakasan bagi

penyenggaraan perkakasan sama ada dalam tempoh
jaminan atau telah habis tempoh jaminan;
f. Semua penyenggaraan mestilah mendapat kebenaran

daripada Pengurus ICT/Pentadbir Sistem.
5.3.7 Peralatan Di Luar Premis

Peralatan dan maklumat yang dibawa keluar dari pejabat hendaklah
mendapat kelulusan pegawai berkaitan dan tertakluk kepada tujuan
yang dibenarkan sahaja. Peralatan dan maklumat perlu dilindungi
TERHAD
dan dikawal sepanjang masa. Memastikan aktiviti peminjaman dan

pemulangan peralatan ICT direkodkan dan menyemak peralatan
yang dipulangkan supaya berada dalam keadaan baik dan lengkap.
5.3.8 Pengendalian Peralatan Luar Yang Dibawa Masuk

Bagi peralatan yang dibawa masuk ke premis kerajaan, perkara
yang perlu dipatuhi adalah seperti berikut:
a. Memastikan peralatan yang dibawa masuk tidak

mengancam keselamatan ICT JAN;
b. Mendapatkan kelulusan mengikut peraturan yang telah

ditetapkan oleh JAN bagi membawa masuk/keluar
peralatan; dan
c. Memeriksa dan memastikan peralatan ICT yang

dibawa keluar tidak mengandungi maklumat kerajaan.
Ia perlu disalin dan dihapuskan.
5.3.9 Pelupusan Peralatan

Pelupusan melibatkan semua peralatan ICT yang telah rosak,
usang dan tidak boleh dibaiki sama ada harta modal atau inventori
yang dibekalkan oleh JAN dan ditempatkan di JAN. Peralatan ICT
yang hendak dilupuskan perlu melalui prosedur pelupusan semasa.
Pelupusan perlu dilakukan secara terkawal dan lengkap supaya
maklumat tidak terlepas dari kawalan JAN. Perkara-perkara yang
perlu dipatuhi adalah seperti berikut:
a. Semua kandungan peralatan khususnya maklumat

rahsia rasmi hendaklah dihapuskan terlebih dahulu
TERHAD
sebelum pelupusan sama ada melalui shredding,

grinding, degauzing atau pembakaran. Sekiranya
maklumat perlu disimpan, maka pengguna bolehlah
membuat penduaan; dan
b. Peralatan ICT yang akan dilupuskan sebelum dipindah-

milik hendaklah dipastikan data-data dalam storan
telah dihapuskan dengan cara yang selamat.
5.4 Keselamatan Dokumen

Keselamatan dokumen adalah bagi memastikan integriti maklumat.
Langkah-langkah berikut hendaklah dipatuhi:
a. Memastikan sistem dokumentasi dan penyimpanan maklumat

adalah selamat dan terjamin. Dokumen tidak boleh
ditinggalkan terdedah, ditinggalkan di tempat yang mudah
dicapai atau ditinggalkan tanpa kawalan;
b. Menggunakan tanda atau label keselamatan seperti Rahsia

Besar, Rahsia, Sulit, Terhad dan Terbuka pada dokumen;
c. Penyimpanan dilakukan di dalam laci atau kabinet yang

berkunci bagi maklumat yang terperingkat;
d. Memastikan dokumen yang mengandungi maklumat sensitif

diambil segera dari pencetak;
e. Menggunakan kata laluan atau encryption dalam penyediaan

dan penghantaran dokumen sensitif;
f. Menggunakan kemudahan log keluar atau kata laluan screen

saver apabila meninggalkan komputer; dan
TERHAD
g. Salinan cetakan yang mengandungi maklumat penting atau

rahsia hendaklah dihapuskan dengan menggunakan kaedah
yang sesuai seperti menggunakan shredder.
5.5 Keselamatan Persekitaran

Kawasan yang mempunyai kemudahan ICT hendaklah dilengkapi dengan
perlindungan keselamatan yang mencukupi dan dibenarkan seperti alat
pencegah kebakaran dan pintu kecemasan.
Peralatan perlindungan hendaklah dipasang di tempat yang sesuai, mudah

dikenali dan dikendalikan. Peralatan hendaklah disenggarakan dengan
baik sekurang-kurangnya 1 kali setahun.
Kecemasan persekitaran seperti kebakaran dan kebocoran air hendaklah

dilaporkan segera kepada pihak yang bertanggungjawab.
6.0 PENGURUSAN OPERASI DAN KOMUNIKASI
6.1 Objektif
Memastikan pengurusan operasi dan komunikasi dapat berfungsi dengan
baik dan selamat dari sebarang ancaman atau gangguan.
6.2 Pengurusan Prosedur Operasi
6.2.1 Pengendalian Prosedur Operasi

Pengendalian Prosedur Operasi bertujuan memastikan
perkhidmatan dan pemprosesan maklumat dapat berfungsi dengan
betul dan selamat.
TERHAD
Semua prosedur keselamatan ICT yang diwujudkan, dikenal pasti

dan masih diguna pakai hendaklah didokumenkan, disimpan dan
dikawal.
Setiap prosedur hendaklah mengandungi arahan-arahan yang jelas,

teratur dan lengkap. Semua prosedur hendaklah dikemas kini dari
masa ke semasa mengikut keperluan.
6.2.2 Kawalan Perubahan

Pengubahsuaian mestilah mendapat kebenaran pihak pengurusan
atau pemilik aset ICT terlebih dahulu.
Aktiviti-aktiviti seperti pemasangan, penyenggaraan, mengemas kini

komponen aset dan sistem ICT hendaklah dikendalikan oleh pihak
atau pegawai yang diberi kuasa dan mempunyai pengetahuan dan
kemahiran atau terlibat secara langsung dengan aset ICT
berkenaan.
Aktiviti perubahan atau pengubahsuaian hendaklah mematuhi

spesifikasi atau kriteria yang ditetapkan dan hendaklah direkodkan
serta dikawal bagi mengelakkan berlakunya ralat.
6.2.3 Pengasingan Tugas Dan Tanggungjawab

Perkara-perkara yang perlu dipatuhi adalah seperti berikut:
a. Skop tugas dan tanggungjawab perlu diasingkan bagi

mengurangkan peluang berlaku penyalahgunaan atau
pengubahsuaian yang tidak dibenarkan ke atas aset
ICT;
TERHAD
b. Tugas mewujud, memadam, mengemas kini,

mengubah dan mengesahkan data hendaklah
diasingkan bagi mengelakkan daripada capaian yang
tidak dibenarkan serta melindungi aset ICT daripada
kesilapan, kebocoran maklumat terperingkat atau
dimanipulasi; dan
c. Sistem yang digunakan bagi tugas membangun,

mengemas kini, menyenggara dan menguji aplikasi
hendaklah diasingkan dari sistem yang digunakan
sebagai production.
6.3 Pengurusan Penyampaian Perkhidmatan Pihak Ketiga

Perkara-perkara yang mesti dipatuhi adalah seperti berikut:
a. Memastikan kawalan keselamatan, definisi

perkhidmatan dan tahap penyampaian yang
terkandung dalam perjanjian dipatuhi, dilaksanakan
dan disenggarakan oleh pihak ketiga;
b. Perkhidmatan, laporan dan rekod yang dikemukakan

oleh pihak ketiga perlu sentiasa dipantau, disemak
semula dan diaudit dari semasa ke semasa; dan
c. Pengurusan perubahan dasar perlu mengambil kira

tahap kritikal sistem dan proses yang terlibat serta
penilaian semula risiko.
TERHAD
6.4 Perancangan Dan Penerimaan Sistem

Meminimumkan risiko yang menyebabkan gangguan atau kegagalan
sistem. Perkara-perkara yang mesti dipatuhi termasuk yang berikut:
a. Kapasiti sesuatu komponen atau sistem ICT hendaklah

dirancang, diurus dan dikawal dengan teliti oleh pegawai
yang berkenaan bagi memastikan keperluannya adalah
mencukupi dan bersesuaian untuk pembangunan dan
kegunaan sistem ICT pada masa akan datang;
b. Penggunaan peralatan dan sistem mestilah dipantau dan

perancangan perlu dibuat bagi memenuhi keperluan kapasiti
di masa akan datang untuk memastikan prestasi sistem
berada di tahap optimum;
c. Kriteria penerimaan untuk peralatan dan sistem baru,

peningkatan dan versi baru perlu ditetapkan dan ujian yang
sesuai ke atasnya perlu dibuat semasa pembangunan dan
sebelum penerimaan sistem; dan
d. Semua sistem baru (termasuklah sistem yang dikemas

kini atau diubahsuai) hendaklah memenuhi kriteria yang
ditetapkan sebelum diterima atau dipersetujui.
6.5 Perlindungan Dari Malicious Code

Perlindungan bertujuan melindungi integriti perisian dan maklumat dari
pendedahan atau kerosakan yang disebabkan oleh kod jahat atau program
merbahaya seperti virus dan Trojan. Langkah keselamatan adalah seperti:
a. Memasang perisian antivirus dan Intrusion Prevention System

(IPS) bagi mengesan dan menghalang kemasukannya;
TERHAD
b. Mengemas kini pattern perisian antivirus;
c. Menghadiri program kesedaran mengenai ancaman kod

jahat atau program merbahaya;
d. Memberi amaran mengenai ancaman keselamatan ICT

seperti serangan virus;
e. Memasukkan klausa tanggungan di dalam kontrak dengan

pembekal perisian. Klausa bertujuan untuk tuntutan baik pulih
sekiranya perisian mengandungi program merbahaya; dan
6.6 Backup
Penduaan dari server atau komputer ke media storan lain perlu dilakukan
dari masa ke semasa untuk mengelak kehilangan data sekiranya berlaku
kerosakan hard disk.
Kekerapan penduaan data bergantung kepada keperluan operasi dan

kepentingan data tersebut sama ada secara harian, mingguan atau pun
bulanan.
Penduaan sistem aplikasi dan sistem pengoperasian perlu diadakan

sekurang-kurangnya sekali bagi setiap versi. Penduaan yang melibatkan
saiz data yang besar hendaklah dibuat di sebelah malam untuk
mengelakkan kesesakan rangkaian serta mengganggu prestasi server.
Penduaan data yang penting dan kritikal dicadangkan dibuat satu (1)
salinan dan disimpan di lokasi offsite yang berasingan bagi mengelakkan
kemusnahan atau kerosakan fizikal disebabkan oleh bencana seperti
kebakaran, banjir atau sebagainya. Lokasi offsite bagi eSPP ialah
di Akademi Audit Negara, Bandar Enstek, Nilai, Negeri Sembilan.
TERHAD
Sistem penduaan sedia ada hendaklah diuji bagi memastikan ianya dapat
berfungsi, boleh dipercayai dan berkesan apabila digunakan (restoration)
khususnya pada waktu kecemasan.
Faktor ketahanan dan jangka hayat media storan perlu diambil kira dalam
melakukan penduaan serta merancang penyalinan semula kepada media
storan yang baru.
6.7 Pengurusan Rangkaian
6.7.1 Keselamatan Pusat Data

Untuk memastikan server sentiasa selamat dari pencerobohan atau
gangguan beberapa langkah boleh diambil seperti:
a. Semua server hendaklah diletakkan di pusat data atau bilik

khas yang mempunyai sistem keselamatan yang baik. Pintu
bilik hendaklah sentiasa tertutup dan berkunci;
b. Sistem penghawa dingin hendaklah dihidupkan 24 jam

sehari. Suhu persekitaran hendaklah berada di dalam
lingkungan 20 – 27 darjah Celsius dan kelembapan di paras
40%-60%;
c. Kesemua peralatan komputer di bilik server hendaklah

dilengkapi dengan kemudahan UPS atau Generator;
d. Alat pemadam api hendaklah diletakkan di tempat yang

mudah dilihat, tidak terhalang oleh sesuatu, mudah dicapai,
tidak melepasi tarikh luput serta disenggarakan dengan baik;
e. Hanya pegawai atau pegawai yang dibenarkan sahaja yang

boleh memasuki pusat data;
TERHAD
f. Kontraktor/vendor dibenarkan memasuki pusat data dengan

diiringi oleh seorang pegawai/pegawai BTM dan hendaklah
mendaftar di buku log yang disediakan; dan
g. Setiap server hendaklah dilabelkan bagi memudahkan

pentadbir sistem ICT menjalankan tugas.
6.7.2 Pengurusan Komunikasi

Komunikasi adalah merujuk kepada penghantaran dan penerimaan
maklumat dari satu media ke satu media yang lain yang
dirangkaikan secara fizikal (berwayar) atau wireless (tanpa wayar).
Contoh rangkaian komunikasi ialah Intranet dan Internet.
Pergerakan maklumat dalam rangkaian adalah menggunakan
kemudahan aplikasi seperti mel elektronik, File Transfer Protocol
(ftp) dan pelayar (browser).
Kawalan ke atas infrastruktur rangkaian dan peralatan rangkaian

seperti switch, router, bridge, peralatan PABX dan sebagainya
adalah amat penting bagi menjaga kerahsiaan dan integriti
maklumat yang dihantar dan diterima.
6.7.3 Keselamatan Peralatan Komunikasi

Pengguna dilarang menggunakan telefon, telefon bimbit termasuk
yang berkamera atau lain-lain peralatan alat komunikasi ICT tanpa
kebenaran untuk menyalin, merakam, menyimpan, menyiar,
menyebar atau menyampaikan maklumat terperingkat atau
maklumat rahsia rasmi.
TERHAD
6.7.4 Keselamatan Rangkaian

Infrastruktur rangkaian mesti dikawal dan diurus dengan baik bagi
melindungi aset ICT dan aplikasi ICT di dalam rangkaian. Langkah-
langkah keselamatan rangkaian adalah seperti berikut:
a. Hanya warga JAN yang dibenarkan menggunakan rangkaian

JAN. Pengguna luar yang hendak menggunakan kemudahan
rangkaian JAN hendaklah dengan kebenaran BTM;
b. Tanggungjawab atau kerja-kerja operasi rangkaian JAN

adalah diasingkan untuk mengurangkan capaian dan
pengubahsuaian yang tidak dibenarkan;
c. Peralatan rangkaian hendaklah ditempatkan di lokasi yang

mempunyai ciri-ciri fizikal yang kukuh, selamat dan bebas
dari risiko seperti banjir, kilat, gegaran, habuk dan
sebagainya;
d. Peralatan rangkaian hendaklah dikawal dan hanya boleh

dicapai oleh pegawai yang dibenarkan sahaja;
e. Konfigurasi peralatan rangkaian hendaklah mengaktifkan

perkhidmatan atau nombor port yang diperlukan sahaja,
mematikan penyiaran trafik (network broadcast),
menggunakan kata laluan yang selamat, dan dilaksanakan
oleh pegawai yang terlatih dan dibenarkan sahaja;
f. Semua trafik rangkaian daripada dalam dan ke luar JAN dan

sebaliknya mestilah melalui firewall dan hanya trafik yang
disahkan sahaja dibenarkan untuk melepasinya;
g. Semua permohonan baru untuk mendapat sambungan

rangkaian mestilah melalui pentadbir rangkaian;
TERHAD
h. Pengguna adalah dilarang untuk menukar atau meletakkan

alamat IP di dalam komputer masing-masing tanpa
kebenaran;
i. Kemudahan dial-up hanya dibenarkan untuk tujuan rasmi dan

permohonan dibuat melalui pentadbir rangkaian. Pengguna
yang menggunakan kemudahan dial-up hendaklah
mengimbas keseluruhan komputer dahulu sebelum membuat
penyambungan semula ke rangkaian JAN;
j. Perkakasan keselamatan hendaklah dipasang bagi

menghalang pencerobohan dan aktiviti-aktiviti lain yang boleh
mengancam sistem dan rangkaian JAN; dan
k. Perisian penganalisis rangkaian (network analyzer) atau

pengintip (sniffer) adalah dilarang dipasang pada komputer
pengguna kecuali mendapat kebenaran ICTSO.
Ciri-ciri keselamatan dan keperluan pengurusan bagi semua servis

rangkaian perlu dikenalpasti dan dinyatakan dalam perjanjian yang
melibatkan servis rangkaian.
6.7.5 Keselamatan Internet

Pengguna hendaklah menggunakan kemudahan Internet dengan
cara yang bertanggungjawab. Langkah-langkah keselamatan
Internet adalah seperti berikut:
a. Bahan yang diperoleh dari Internet hendaklah ditentukan

ketepatan dan kesahihannya; Laman web yang dilayari
hendaklah hanya yang berkaitan dengan bidang kerja dan
terhad untuk tujuan yang dibenarkan;
TERHAD
b. Sebarang bahan yang dimuat turun dari Internet hendaklah

digunakan untuk tujuan yang dibenarkan oleh JAN;
c. Pengguna dilarang menyedia, memuat naik, memuat

turun, menyimpan, mengguna dan menyebar maklumat
atau bahan yang mempunyai unsur-unsur perjudian,
keganasan, pornografi, fitnah, hasutan, perkara yang
bercorak penentangan yang boleh membawa keadaan
huru-hara serta maklumat yang menyalahi undang-
undang;
d. Capaian laman yang berbentuk hiburan, hobi atau leisure

seperti radio online, tv online, video streaming, aktiviti
chatting yang membebankan rangkaian tidak dibenarkan
kerana akan mengganggu prestasi rangkaian;
e. Sebarang aktiviti memuat turun fail yang mempunyai virus,

spyware, worm, dan sebagainya yang boleh mengancam
keselamatan komputer dan rangkaian adalah dilarang sama
sekali; dan
f. Pentadbir sistem berhak menapis, menghalang dan

mencegah penggunaan mana-mana laman web yang
dianggap tidak sesuai.
6.7.6 Keselamatan Laman Web dan Intranet JAN

Semua maklumat rasmi yang hendak dimuatkan di laman web JAN
hendaklah mendapat kelulusan pihak pengurusan.
Pautan ke laman web JAN atau sebaliknya oleh syarikat atau agensi
luar hendaklah dengan kebenaran ICTSO dan CIO. Pencerobohan
TERHAD
atau cubaan untuk menggodam laman web JAN atau mana-mana

laman web adalah dilarang.
6.8 Pengurusan Media
Melindungi aset ICT dari sebarang pendedahan, pengubahsuaian,

pemindahan atau pemusnahan serta gangguan ke atas aktiviti
perkhidmatan. Penghantaran atau pemindahan media ke luar pejabat
hendaklah mendapat kebenaran daripada pemilik terlebih dahulu.
6.8.1 Pengendalian Media Boleh Ubah

Prosedur bagi pengurusan pengendalian media boleh ubah perlu
diwujudkan. Perkara-perkara yang perlu dipatuhi adalah seperti
berikut:
a. Melabelkan semua media mengikut tahap sensitiviti sesuatu

maklumat;
b. Menghadkan dan menentukan capaian media kepada

pengguna yang dibenarkan sahaja;
c. Menghadkan pengedaran data atau media untuk tujuan yang

dibenarkan sahaja;
d. Mengawal dan merekodkan aktiviti penyenggaraan media

bagi mengelak dari sebarang kerosakan dan pendedahan
yang tidak dibenarkan;
e. Menyimpan semua media di tempat yang selamat; dan
TERHAD
f. Media yang mengandungi maklumat terperingkat yang

hendak dihapuskan, dimusnahkan atau dilupuskan mesti
mengikut prosedur yang betul dan selamat; dan
g. Prosedur pengendalian dan penyimpanan maklumat perlu

diwujudkan untuk melindungi maklumat daripada terdedah
dan disalahgunakan.
6.8.2 Keselamatan Sistem Dokumentasi

Dokumentasi sistem perlu dilindungi dari capaian yang dibenarkan.
Langkah- langkah pengurusan dokumentasi yang baik dan selamat
perlu dilaksanakan bagi memastikan integriti maklumat.
a. Memastikan sistem dokumentasi atau penyimpanan

maklumat adalah selamat dan terjamin;
b. Menggunakan tanda atau label keselamatan seperti rahsia

besar, rahsia, sulit atau terhad pada dokumen;
c. Mewujudkan sistem pengurusan dokumen terperingkat bagi

menerima, memproses, menyimpan dan menghantar
dokumen-dokumen tersebut supaya ianya diuruskan
berasingan daripada dokumen-dokumen tidak terperingkat;
d. Menggunakan enkripsi (encryption) ke atas dokumen

terperingkat yang disediakan dan dihantar secara elektronik;
dan
TERHAD
e. Mengawal dan merekodkan semua aktiviti capaian sistem

dokumentasi sedia ada.
6.9 Pengurusan Pertukaran Maklumat

a. Prosedur dan kawalan pertukaran maklumat yang formal

perlu diwujudkan untuk melindungi pertukaran maklumat;
b. Perjanjian perlu diwujudkan untuk pertukaran maklumat dan

perisian di antara JAN dengan agensi luar;
c. Media yang mengandungi maklumat perlu dilindungi daripada

capaian yang tidak dibenarkan, penyalahgunaan atau
kerosakan semasa pemindahan keluar dari JAN,
d. Maklumat yang terdapat dalam mel elektronik perlu dilindungi

sebaik-baiknya; dan
e. Maklumat yang berkaitan dengan sistem informasi

perniagaan juga perlu dilindungi.
6.9.1 Keselamatan Mel Elektronik

Akaun e-mel bukanlah hak mutlak seseorang. Ia merupakan
kemudahan yang tertakluk kepada peraturan JAN dan boleh ditarik
balik jika penggunaannya melanggar peraturan. Kandungan dan
penyenggaraan mailbox pada komputer peribadi adalah menjadi
tanggungjawab pengguna. Langkah-langkah keselamatan bagi
penggunaan e-mel adalah seperti berikut:
a. Penghantaran e-mel rasmi hendaklah menggunakan akaun

e-mel rasmi yang diperuntukkan oleh JAN. E-mel
TERHAD
persendirian (seperti yahoo, gmail, hotmail dan sebagainya)

tidak boleh digunakan untuk tujuan rasmi;
b. Alamat e-mel penerima hendaklah dipastikan betul;
c. Pengguna hendaklah mengenal pasti dan mengesahkan

identiti pengguna yang berkomunikasi dengannya sebelum
meneruskan transaksi maklumat melalui e-mel;
d. Pengguna hendaklah memastikan tarikh dan masa sistem

komputer adalah tepat;
e. Penyimpanan salinan e-mel pada sumber storan kedua

adalah digalakkan bagi tujuan keselamatan;
f. Pengguna hendaklah mengelak dari membuka e-mel dari

penghantar yang tidak dikenali atau diragui;
g. Pengguna adalah dilarang melakukan pencerobohan ke atas

akaun pengguna lain, menggunakan akaun orang lain,
berkongsi akaun atau memberi akaun kepada orang lain;
h. Aktiviti spamming, mail-bombing, penyebaran virus, bahan-

bahan negatif, bahan yang menyalahi undang-undang, tidak
beretika, surat berantai, maklumat berbau politik, hasutan
atau perkauman atau apa-apa maklumat yang menjejaskan
reputasi jabatan dan perkhidmatan awam adalah dilarang;
i. Penggunaan kemudahan e-mel group hendaklah dengan

cara yang beretika dan benar-benar perlu sahaja bagi
mengelakkan bebanan ke atas sistem e-mel JAN.
Penghantaran e-mel yang berulang-ulang juga adalah
dilarang;
TERHAD
j. Pentadbir sistem berhak memasang sebarang jenis perisian

antivirus atau perkakasan penapisan e-mel yang difikirkan
sesuai bagi mencegah, menapis atau menyekat mana-mana
e-mel diterima atau dikirim yang mengandungi virus atau
berunsur spamming;
k. Pentadbir sistem boleh memeriksa, memantau dan melihat isi

kandungan e-mel dan ruang storan pengguna e-mel serta e-
sms jika perlu (seperti atas keperluan audit dan keselamatan)
tanpa mendapat kebenaran pengguna;
l. Pentadbir sistem boleh memberi peringatan atau amaran

kepada pengguna sekiranya didapati terdapat aktiviti yang
mengancam sistem e-mel JAN; dan
m. Semua lampiran menggunakan format .exe, .com dan .bat

tidak dibenarkan kerana format ini berisiko membawa dan
menyebarkan virus. Pentadbir e-mel berhak menapis
sebarang penghantaran serta penerimaan kandungan e-
mel yang berisiko dari masa ke semasa.
6.10 Pemantauan
Memastikan pengesahan aktiviti pemprosesan maklumat yang tidak
dibenarkan. Perkara yang perlu dipatuhi adalah seperti berikut:
a. Mewujudkan sistem log bagi merekodkan semua aktiviti

harian pengguna dan disimpan untuk tempoh masa yang
dipersetujui bagi membantu siasatan dan memantau kawalan
capaian;
TERHAD
b. Menyemak sistem log secara berkala bagi mengesan ralat

yang menyebabkan gangguan kepada sistem dan mengambil
tindakan membaik pulih dengan segera;
c. Maklumat log dan kemudahan log perlu dilindungi daripada

sebarang pencerobohan dan pindaan;
d. Aktiviti yang dijalankan oleh pegawai yang menguruskan

sistem perlu dilogkan;
e. Sekiranya wujud aktiviti-aktiviti tidak sah seperti kecurian

maklumat dan pencerobohan hendaklah dilaporkan kepada
ICTSO; dan
f. Waktu yang berkaitan dengan sistem pemprosesan

maklumat dalam JAN atau domain keselamatan perlu
diselaraskan dengan satu sumber waktu yang dipersetujui.
TERHAD
7.0 KAWALAN CAPAIAN
7.1 Objektif
Kawalan capaian pengguna bertujuan mengawal capaian pengguna ke
atas aset ICT JAN dan melindunginya dari sebarang bentuk capaian yang
tidak dibenarkan yang boleh menyebabkan kerosakan.
7.2 Dasar Kawalan Capaian

Mengawal capaian ke atas maklumat, kemudahan proses maklumat dan
proses urus niaga berdasarkan keperluan urus niaga dan keperluan
keselamatan. Peraturan kawalan capaian hendaklah mengambil kira faktor
identification, authentication dan authorization.
7.3 Pengurusan Capaian Pengguna
7.3.1 Akaun Pengguna

Memastikan sistem maklumat dicapai oleh pengguna yang sah dan
menghalang capaian yang tidak sah.
Prosedur pendaftaran dan pembatalan kebenaran capaian

pengguna perlu diwujudkan dan didokumenkan.
Pemilikan akaun pengguna bukanlah hak mutlak seseorang. Ia

merupakan kemudahan yang tertakluk kepada peraturan JAN dan
boleh ditarik balik jika penggunaannya melanggar peraturan.
Langkah-langkah berikut hendaklah dipatuhi:
TERHAD
a. Pengguna hendaklah merahsiakan kata laluan dari

pengetahuan orang lain;
b. Pengguna diminta menukar kata laluan setiap 6 bulan sekali

bagi mengelak akaun mudah dicerobohi;
c. Pengguna hendaklah menggunakan kata laluan yang sukar

diteka, sekurang-kurangnya enam (6) aksara dengan
gabungan alphanumeric dan simbol khas;
d. Pengguna adalah dilarang melakukan pencerobohan ke atas

akaun pengguna lain. Perkongsian akaun juga adalah
dilarang; dan
e. Pentadbir sistem/e-mel boleh membeku atau menamatkan

akaun pengguna yang telah tamat perkhidmatan, bertukar
atau bercuti/berkursus panjang.
Penggunaan akaun khas mesti dihadkan untuk pengguna khas

sahaja berdasarkan kepada keperluan penggunaan dan perlu
mendapat kelulusan dari ICTSO. Rekod bagi setiap akaun khas
yang diwujudkan mesti disimpan, dikaji dan diselenggara.
Pemberian kata laluan perlu dikawal melalui satu proses

pengurusan yang formal.
Semakan kepada kebenaran capaian pengguna mesti dikaji setiap

tahun.
7.3.2 Clear Screen and Clear Desk Policy

Prosedur Clear Desk dan Clear Screen perlu dipatuhi supaya
maklumat dalam apa jua bentuk media hendaklah disimpan dengan
TERHAD
teratur dan selamat bagi mengelakkan kerosakan, kecurian atau

kehilangan.
Memastikan peralatan pengguna yang tidak digunakan mempunyai

perlindungan keselamatan yang secukupnya.
a. Mengaktifkan lock screen apabila meninggalkan komputer;
b. Menyimpan bahan-bahan sensitif di dalam laci atau kabinet

fail yang berkunci; dan
c. Memastikan semua dokumen diambil segera dari pencetak,

pengimbas, mesin faksimili dan mesin fotostat.
7.4 Kawalan Capaian Rangkaian

Menghalang capaian tidak sah dan tanpa kebenaran ke atas rangkaian
JAN. Kawalan capaian perkhidmatan rangkaian hendaklah dijamin selamat
dengan:
a. Mewujudkan dan menguatkuasakan mekanisme untuk

pengesahan pengguna dan peralatan yang menepati
kesesuaian penggunaannya.
a. Memastikan pengguna boleh mencapai perkhidmatan yang

dibenarkan sahaja;
TERHAD
b. Memastikan proses pengesahan pengguna remote digunakan

untuk mengawal capaian logikal;
c. Pengenalan peralatan secara automatik perlu

dipertimbangkan sekiranya perlu sebagai satu kaedah untuk
pengesahan capaian daripada lokasi dan peralatan tertentu;
d. Mengawal capaian fizikal dan logikal ke atas kemudahan port

diagnostik dan konfigurasi jarak jauh;
e. Mengasingkan capaian mengikut kumpulan perkhidmatan,

maklumat pengguna dan sistem maklumat dalam rangkaian;
f. Mengawal sambungan ke rangkaian, khususnya bagi

kemudahan yang dikongsi dan menjangkau sempadan JAN;
dan
g. Mewujud dan melaksana kawalan pengalihan laluan (routing

control) untuk memastikan pematuhan ke atas peraturan JAN.
7.5 Kawalan Capaian Sistem Operasi

Memastikan bahawa capaian ke atas sistem operasi dikawal dan dihadkan
kepada pengguna yang dibenarkan sahaja. Kaedah yang digunakan
hendaklah menyokong perkara-perkara berikut:
a. Mengesahkan pengguna yang dibenarkan selaras dengan

peraturan JAN;
b. Mewujudkan audit trail ke atas semua capaian sistem operasi

terutama pengguna bertaraf khas (super user);
c. Menjana amaran (alert) sekiranya berlaku pelanggaran ke

atas peraturan keselamatan sistem;
TERHAD
d. Menyedia kaedah sesuai untuk pengesahan capaian

(authentication); dan
e. Menghadkan tempoh penggunaan mengikut kesesuaian.
a. Mengawal capaian ke atas sistem pengoperasian

menggunakan prosedur log on yang terjamin;
b. Mewujudkan satu pengenalan diri (ID) yang unik untuk

setiap pengguna dan hanya digunakan oleh pengguna
berkenaan sahaja;
c. Sistem pengurusan kata laluan perlu interaktif dan mampu

mengekalkan kualiti kata laluan;
d. Menghadkan dan mengawal penggunaan program;
e. Session time out perlu diaktifkan bagi satu tempoh yang

ditetapkan; dan
f. Mengehadkan tempoh sambungan ke sesebuah aplikasi

berisiko tinggi.
7.6 Kawalan Capaian Sistem Dan Aplikasi

Capaian terhadap sistem/aplikasi adalah terhad kepada pengguna dan
tujuan yang dibenarkan. Bagi memastikan kawalan capaian sistem
maklumat dan aplikasi adalah kukuh, langkah-langkah berikut hendaklah
dipatuhi:
TERHAD
a. Pengguna hanya boleh menggunakan sistem maklumat dan

aplikasi mengikut tahap capaian yang dibenarkan dan
sensitiviti maklumat yang telah ditentukan;
b. Memaparkan notis amaran pada skrin pengguna sebelum

pengguna memulakan capaian bagi melindungi maklumat
dari sebarang bentuk penyalahgunaan;
c. Memastikan kawalan sistem rangkaian adalah kukuh dan

lengkap dengan ciri-ciri keselamatan bagi mengelak aktiviti
dan capaian yang tidak sah; dan
d. Sistem yang sensitif perlu diasingkan.
7.7 Peralatan Mudah Alih

Memastikan keselamatan maklumat semasa menggunakan peralatan
mudah alih. Perkara yang perlu dipatuhi adalah seperti berikut:
a. Merekodkan aktiviti keluar masuk penggunaan peralatan

mudah alih bagi mengesan pergerakan perkakasan tersebut
daripada kehilangan atau kerosakan;
b. Peralatan mudah alih hendaklah disimpan atau dikunci

di tempat yang selamat apabila tidak digunakan; dan
c. memastikan peralatan mudah alih yang dibawa keluar dari

pejabat perlu disimpan dan dijaga dengan baik bagi
mengelakkan daripada kecurian.
TERHAD
8.0 PEROLEHAN, PEMBANGUNAN DAN PENYENGGARAAN SISTEM
8.1 Objektif
Memastikan aspek keselamatan dikenal pasti dan diambil kira dalam
semua sistem maklumat termasuk sistem pengoperasian, infrastruktur,
sistem aplikasi dan perisian. Aspek keselamatan ini mesti dikenal pasti,
dijustifikasi, dipersetujui dan didokumentasikan sebelum sesuatu sistem
maklumat direkabentuk dan dilaksanakan.
8.2 Keperluan Keselamatan Sistem Maklumat

a. Perolehan, pembangunan, penambahbaikan dan
penyenggaraan sistem hendaklah mengambil kira kawalan
keselamatan bagi memastikan tidak wujudnya sebarang
ralat yang boleh mengganggu pemprosesan dan ketepatan
maklumat;
b. Ujian keselamatan hendaklah dijalankan ke atas sistem

input untuk menyemak pengesahan dan integriti data yang
dimasukkan, sistem pemprosesan untuk menentukan sama
ada program berjalan dengan betul dan sempurna dan;
sistem output untuk memastikan data yang telah diproses
adalah tepat;
c. Aplikasi perlu mengandungi semakan pengesahan

(validation) untuk mengelakkan sebarang kerosakan
maklumat akibat kesilapan pemprosesan atau perlakuan
yang disengajakan; dan
TERHAD
d. Semua sistem yang dibangunkan sama ada secara dalaman

atau sebaliknya hendaklah diuji terlebih dahulu bagi
memastikan sistem berkenaan memenuhi keperluan
keselamatan yang telah ditetapkan sebelum ianya
digunakan.
8.3 Encryption
Pengguna hendaklah membuat encryption ke atas maklumat sensitif atau
terperingkat. Penggunaan teknologi encryption bergantung kepada
kelulusan ICTSO dan CIO serta tertakluk kepada kesediaan peruntukan.
Langkah-langkah berikut perlu dipatuhi:
a. Pengguna yang terlibat dalam menguruskan transaksi

maklumat penting secara elektronik hendaklah
menggunakan tandatangan digital yang dikeluarkan oleh
Pihak Berkuasa Persijilan (Certification Authority) yang
ditauliahkan oleh Kerajaan Malaysia.
b. Pengurusan ke atas PKI hendaklah dilakukan dengan

berkesan dan selamat bagi melindungi kunci berkenaan
dari diubah, dimusnah dan didedahkan sepanjang tempoh
sah kunci tersebut.
8.4 Kawalan Fail Sistem

a. Proses pengemaskinian fail sistem hanya boleh dilakukan

oleh Pentadbir Sistem ICT atau pegawai yang
berkenaan;
TERHAD
b. Kod atau atur cara sistem yang telah dikemas kini hanya
boleh dilaksanakan atau digunakan selepas diuji;
c. Mengawal capaian ke atas kod atau atur cara program

bagi mengelakkan kerosakan, pengubahsuaian tanpa
kebenaran, penghapusan dan kecurian;
d. Data ujian perlu dipilih dengan berhati-hati, dilindungi dan

dikawal; dan
e. Mengaktifkan audit log bagi merekodkan semua aktiviti

pengemaskinian untuk tujuan statistik, pemulihan,
pemantauan dan keselamatan.
8.5 Prosedur Kawalan Perubahan

a. Mewujudkan peraturan dan garis panduan keselamatan

yang bersesuaian untuk mengawal pelaksanaan perubahan;
b. Perubahan atau pengubahsuaian ke atas sistem maklumat

dan aplikasi hendaklah dikawal, diuji, direkodkan dan
disahkan sebelum diguna pakai;
c. Aplikasi kritikal perlu dikaji semula dan diuji apabila

terdapat perubahan kepada sistem pengoperasian untuk
memastikan tiada kesan yang buruk terhadap operasi
dan keselamatan agensi, Individu atau suatu kumpulan
tertentu perlu bertanggungjawab memantau
penambahbaikan dan pembetulan yang dilakukan oleh
vendor;
TERHAD
d. Mengawal perubahan dan/atau pindaan ke atas pakej

perisian dan memastikan sebarang perubahan adalah
terhad mengikut keperluan sahaja; dan
e. Menghalang sebarang peluang untuk membocorkan

maklumat.
8.6 Pihak Ketiga Dan Kontrak Perjanjian

Pembangunan perisian secara outsource perlu diselia dan dipantau
oleh pemilik sistem. Bagi sistem aplikasi yang dibangunkan oleh pembekal,
klausa mengenai pemindahan Teknologi (Transfer Of Technology), tempoh
jaminan, kod sumber (source code) sebagai Hak Milik Kerajaan Malaysia
hendaklah dinyatakan dengan jelas dalam dokumen kontrak perjanjian.
8.6.1 Dasar Pelaksanaan

a. Semua kontraktor yang melaksanakan kerja outsourcing
dimestikan lulus dan melepasi tapisan keselamatan.
Maklumat berperingkat hendaklah dimaklumkan secara need
to know basis.
b. Antara butir-butir yang perlu dinyatakan di dalam kontrak

outsourcing adalah:
i. Kesahihan dan kerahsiaan logikal organisasi

mesti dipelihara;
ii. Pegawai kerajaan mesti membuat pengauditan
terhadap sistem yang di outsource; dan
iii. Mesti menyatakan faktor keselamatan secara
terperinci pada Schedule Of Compliance (SOC).
TERHAD
Pemindahan teknologi atau Transfer Of Technology (TOT)

mesti dilaksanakan oleh kontraktor kepada pengguna.
Capaian secara fizikal dan logikal mesti dipantau oleh staf JAN
yang dilantik bagi menguruskannya.
8.7 Kawalan dari Ancaman Teknikal

Kawalan teknikal keterdedahan ini perlu dilaksanakan ke atas sistem
pengoperasian dan sistem aplikasi yang digunakan. Perkara yang perlu
dipatuhi adalah seperti berikut:
a. Memperoleh maklumat teknikal keterdedahan yang tepat

pada masanya ke atas sistem maklumat yang digunakan;
b. Menilai tahap pendedahan bagi mengenal pasti tahap risiko

yang bakal dihadapi; dan
c. Mengambil langkah-langkah kawalan untuk mengatasi

risiko berkaitan.
TERHAD
9.0 PENGURUSAN PENGENDALIAN INSIDEN KESELAMATAN
9.1 Objektif
Memastikan tindakan menangani insiden keselamatan ICT diambil dengan
cepat, tepat dan berkesan serta meminimumkan kesan insiden
keselamatan ICT.
Mohon rujuk kepada Surat Pekeliling Am Bil. 4 Tahun 2006: Pengurusan

Pengendalian Insiden Keselamatan Teknologi Maklumat dan Komunikasi
(ICT) Sektor Awam untuk butiran lanjut pengurusan insiden keselamatan.
9.2 Laporan Insiden Keselamatan
9.2.1 Melaporkan Peristiwa Keselamatan

Peristiwa keselamatan mesti dilaporkan kepada ICTSO dengan
kadar segera. Insiden keselamatan ICT seperti berikut hendaklah
dilaporkan dengan kadar segera:
a. Maklumat didapati hilang, didedahkan kepada pihak-pihak

yang tidak diberi kuasa atau, disyaki hilang atau didedahkan
kepada pihak-pihak yang tidak diberi kuasa;
b. Sistem maklumat digunakan tanpa kebenaran atau disyaki

sedemikian;
c. Kata laluan atau mekanisme kawalan akses hilang, dicuri

atau didedahkan, atau disyaki hilang, dicuri atau didedahkan;
d. Berlaku kejadian sistem yang luar biasa seperti kehilangan

fail, sistem kerap kali gagal dan komunikasi tersalah hantar;
TERHAD
e. Berlaku percubaan menceroboh, penyelewengan dan

insiden-insiden yang tidak diingini.
Pekeliling Am Bilangan 1 Tahun 2001 bertajuk ”Mekanisme

Pelaporan Insiden Keselamatan ICT” mengenainya bolehlah dirujuk.
Semua pengguna, kontraktor dan pihak ketiga mesti dimaklumkan

akan tanggungjawab untuk melaporkan sebarang insiden
keselamatan dengan kadar segera. Mereka juga mesti dimaklumkan
mengenai prosedur dan pusat hubungan untuk melaporkan insiden
keselamatan maklumat.
Pelapor insiden mesti mencatit semua butiran yang penting dengan

segera.
9.2.2 Melaporkan Kelemahan Keselamatan Maklumat

Kelemahan keselamatan mesti dilaporkan kepada ICTSO dengan
kadar segera bagi mengelakkan insiden keselamatan maklumat
melalui Borang Laporan Insiden.
Pengguna, kontraktor dan pihak ketiga adalah dilarang daripada

membuktikan sebarang kelemahan keselamatan. Ujian untuk
membuktikan kelemahan boleh ditafsirkan sebagai penyalahgunaan
sistem dan boleh menyebabkan kerosakan kepada sistem maklumat
atau servis. Ini boleh mengakibatkan tanggungjawab undang-
undang bagi individu yang menjalankan ujian tersebut.
9.3 Pengendalian Insiden Keselamatan
9.3.1 Analisis dan Pengesahan Insiden

Pasukan tindak balas insiden terdiri daripada pasukan CERT dan
pemilik proses yang berkenaan. Pasukan ini bertanggungjawab
TERHAD
untuk menganalisis; mengesahkan setiap insiden; dan juga

mendokumenkan setiap langkah yang diambil.
Bagi setiap insiden yang dikenal pasti, pasukan tersebut harus

melaksanakan analisis awal bagi menentukan skop insiden seperti:
a. Rangkaian, sistem atau perkhidmatan yang terlibat;
b. Siapa atau apa yang menyebabkan insiden; dan
c. Bagaimana insiden berlaku.
Analisis awal tersebut mesti merangkumi maklumat yang cukup

untuk membolehkan pasukan tindak balas insiden menyusun aktiviti-
aktiviti seterusnya seperti pembendungan insiden dan analisis
mendalam bagi kesan daripada insiden tersebut.
Pasukan tindak balas insiden ini mesti berhati-hati untuk melindungi

data yang berkaitan dengan sesuatu insiden seperti maklumat
sistem yang dicerobohi atau pengguna yang telah terbabit dalam
tindakan yang menyalahi peraturan.
9.3.2 Keutamaan Insiden dan Penilaian Impak

Semua insiden keselamatan maklumat yang dikenal pasti mesti
disusun mengikut keutamaan dan berdasarkan kepada impak
negatif yang berpotensi terhadap maklumat dan/atau sistem
maklumat.
TERHAD
9.3.3 Keutamaan Insiden Keselamatan

Menyusun keutamaan dalam mengendalikan insiden merupakan
satu keputusan yang kritikal dalam proses pengendalian insiden.
Pengendalian sesuatu insiden tidak boleh berdasarkan kepada
konsep yang dahulu diutamakan (first-come, first-served basis)
sekiranya sumber-sumber yang sedia ada adalah terhad.
Sebaliknya, keutamaan pengendalian insiden adalah berdasarkan
kepada dua (2) faktor iaitu:
a. Kesan semasa dan kesan yang berpotensi bagi sesuatu

insiden
Pasukan tindak balas insiden mesti mempertimbangkan

bukan sahaja kesan negatif semasa daripada sesuatu
insiden, malah kesan akan datang daripada sesuatu insiden
sekiranya tidak dibendungi juga harus diambil kira.
b. Tahap kritikal daripada sumber yang terlibat
Sumber-sumber yang terlibat daripada sesuatu insiden

(seperti firewall, peralatan utama sistem rangkaian, sistem
sokongan, perkhidmatan, stesen kerja pengguna dan aplikasi)
mempunyai kepentingan yang berbeza kepada sesebuah
organisasi. Tahap kritikal bagi sesuatu sumber itu adalah
berdasarkan kepada data atau perkhidmatan, pengguna,
hubungan yang dipercayai dan kebergantungan sumber
tersebut dengan sumber yang lain
9.3.4 Pemberitahuan Insiden

Semasa pengendalian insiden, pasukan tidakbalas insiden mesti
memaklumkan status semasa insiden tersebut kepada pihak
TERHAD
pengurusan yang berkenaan. Kaedah komunikasi boleh dilakukan

melalui salah satu daripada berikut:
a. E-mail;
b. Panggilan telefon; atau
c. Secara terus;
9.3.5 Strategi Pengawalan Insiden

Apabila insiden telah dikenal pasti dan dianalisis, pasukan tindak
balas insiden harus mengawal insiden tersebut sebelum merebak
dan mengakibatkan kerosakan yang lebih serius. Proses
pembendungan ini harus dipertimbangkan sebagai sebahagian
daripada proses pengendalian insiden pada peringkat awal dan
mesti melibatkan pihak pengurusan dalam memberi keputusan
seperti penutupan sesuatu sistem atau perkhidmatan.
Ciri-ciri penentuan strategi yang sesuai termasuk:
a. Kerosakan yang berpotensi kepada sumber-sumber sedia

ada;
b. Keperluan untuk pemeliharaan bahan bukti;
c. Ketersediaan perkhidmatan;
d. Masa dan sumber-sumber yang diperlukan untuk

melaksanakan strategi;
e. Keberkesanan strategi; dan
f. Tempoh bagi suatu penyelesaian.
TERHAD
9.3.6 Pengumpulan Bahan Bukti

Pasukan tindak balas insiden mesti mendokumenkan dengan jelas
bagaimana bahan-bahan bukti termasuk sistem yang telah
dikompromi akan dipelihara. Semua bahan bukti harus dikumpul
mengikut prosedur yang menepati undang-undang dan peraturan
supaya boleh diterima pakai di mahkamah.
Log yang terperinci mesti disimpan bagi setiap bahan bukti. Semua
log mesti disenggara, disemak dan diawasi.
9.3.7 Penjagaan Bahan Bukti

Secara umum, bukti yang jelas mesti diwujudkan berdasarkan
perkara-perkara berikut:
a. Bagi dokumen kertas (hardcopy): Salinan asal mesti disimpan

dengan selamat dengan merekod butiran lanjut seperti
individu yang menemui dokumen tersebut; lokasi dokumen
ditemui, tarikh dan masa ditemui; dan saksi bagi penemuan
bahan bukti. Penyiasatan yang dilakukan mesti memastikan
bahan bukti tidak dicemari.
b. Bagi maklumat di dalam media komputer: imej cermin (mirror

image) atau salinan daripada media boleh ubah, maklumat di
dalam cakera keras atau di dalam memori mesti diambil untuk
memastikan ketersediaan; log bagi semua tindakan semasa
proses salinan mesti disimpan dan proses mesti dilakukan di
hadapan saksi; media asal dan log-log mesti disimpan
dengan selamat.
TERHAD
9.4 Pengajaran Daripada Insiden Maklumat Keselamatan

Pasukan tindak balas insiden mesti mempunyai pengetahuan seiring
dengan ancaman dan teknologi yang terkini.
Mesyuarat harus diadakan dengan semua pihak yang terbabit selepas

berlaku sesuatu insiden yang besar dan secara berkala bagi insiden-
insiden yang kecil bagi tujuan:
a. Analisis insiden;
b. Analisis punca insiden; dan
c. Tindakan pembetulan yang telah diambil dan keberkesanan

tindakan tersebut ; dan
d. Tindakan pencegahan yang mungkin untuk diambil bagi

mengurangkan kebarangkalian pengulangan insiden.
TERHAD
10.0 PENGURUSAN KESINAMBUNGAN PERKHIDMATAN
10.1 Objektif
Menjamin operasi perkhidmatan agar tidak tergendala dan memastikan
penyampaian perkhidmatan yang berterusan kepada pengguna.
10.2 Pelan Kesinambungan Perkhidmatan

Pelan Kesinambungan Perkhidmatan hendaklah dibangunkan dengan
mengambil kira faktor-faktor keselamatan maklumat bagi menentukan
pendekatan yang menyeluruh diambil bagi mengekalkan kesinambungan
perkhidmatan. Ini adalah untuk memastikan tiada gangguan kepada
proses-proses dalam penyediaan perkhidmatan organisasi kepada
pelanggan.
Perkara-perkara berikut perlu diberi perhatian:
a. Mengenal pasti semua tanggungjawab dan prosedur

kecemasan atau pemulihan;
b. Mengenal pasti peristiwa yang boleh mengakibatkan

gangguan terhadap proses bisnes bersama dengan
kemungkinan dan impak gangguan tersebut serta akibat
terhadap keselamatan ICT;
c. Melaksanakan prosedur-prosedur kecemasan bagi

membolehkan pemulihan dapat dilakukan secepat mungkin
atau dalam jangka masa yang telah ditetapkan;
d. Mendokumentasikan proses dan prosedur yang telah

dipersetujui;
TERHAD
e. Mengadakan program latihan kepada pengguna mengenai

prosedur kecemasan;
f. Membuat backup; dan
g. Menguji dan mengemas kini pelan sekurang-kurangnya

setahun sekali.
Pelan Kesinambungan Perkhidmatan perlu dibangunkan dan hendaklah

mengandungi perkara-perkara berikut:
a. Senarai aktiviti teras yang dianggap kritikal mengikut

susunan keutamaan;
b. Senarai pegawai JAN dan vendor berserta nombor yang

boleh dihubungi (faksimile, telefon dan e-mel). Senarai
kedua juga hendaklah disediakan sebagai menggantikan
pegawai tidak dapat hadir untuk menangani insiden;
c. Senarai lengkap maklumat yang memerlukan backup dan

lokasi sebenar penyimpanannya serta arahan pemulihan
maklumat dan kemudahan yang berkaitan;
d. Alternatif sumber pemprosesan dan lokasi untuk

menggantikan sumber yang telah lumpuh; dan
e. Perjanjian dengan pembekal perkhidmatan untuk

mendapatkan keutamaan penyambungan semula
perkhidmatan yang berkaitan.
TERHAD
11.0 PEMATUHAN
11.1 Objektif
Meningkatkan tahap keselamatan ICT bagi mengelakkan dari
pelanggaran kepada Dasar Keselamatan ICT JAN, undang-undang
jenayah dan sivil, peraturan atau ikatan kontrak dan sebarang keperluan
keselamatan yang lain.
11.2 Pematuhan Dasar

Semua pengguna ICT di JAN perlu membaca, memahami dan mematuhi
Dasar Keselamatan ICT JAN dan undang-undang atau peraturan-peraturan
lain yang berkaitan yang berkuat kuasa dari masa ke semasa.
Semua aset ICT di JAN termasuk maklumat yang disimpan di dalamnya

adalah hak milik Kerajaan. Ketua Jabatan berhak untuk memantau aktiviti
pengguna untuk mengesan penggunaan selain dari tujuan yang telah
ditetapkan.
Perkara-perkara berikut perlu dipatuhi:
a. Prosedur berikut perlu diambil kira bagi mematuhi dalam

penggunaan material yang mempunyai hak cipta dan perisian
proprieteri perlu dipatuhi:
 Akta Hakcipta 1997 hendaklah sentiasa dipatuhi bagi

menghalang aktiviti meniru hak cipta orang lain;
 Penggunaan perisian yang sah;
 Pembelian dari sumber yang sahih;
TERHAD
 Sentiasa mengadakan program kesedaran terhadap

dasar perlindungan harta intelek;
 Mengekalkan daftar aset dan mengenalpasti semua

keperluan perlindungan terhadap asset;
 Menyimpan lesen perisian;
 Memastikan bilangan had lesen tidak melebihi had

ditetapkan; dan
 Menjalankan pemeriksaan perisian yang sah dan produk

berlesen digunakan.
b. Rekod yang penting perlu dilindungi daripada kecurian,

kemusnahan dan pemalsuan seperti yang tertakluk dalam
Aktan Keselamatan;
c. Perlindungan data peribadi perlu diwujudkan selaras dengan

undang-undang sekiranya berkaitan;
d. Pengguna adalah dilarang daripada menyalahgunakan

kemudahan pemprosesan maklumat untuk tujuan yang tidak
dibenarkan;
e. Kawalan kriptografi perlu tertakluk kepada undang-undang

yang berkaitan.
11.3 Pematuhan Dengan Dasar, Piawaian Dan Keperluan Teknikal

ICTSO perlu memastikan semua prosedur keselamatan dalam bidang
tugas masing-masing mematuhi dasar, piawaian dan keperluan teknikal.
Sistem maklumat perlu diperiksa secara berkala bagi mematuhi
standard pelaksanaan keselamatan ICT.
TERHAD
11.4 Pematuhan Keperluan Audit

Pematuhan kepada keperluan audit perlu bagi meminimumkan ancaman
dan memaksimumkan keberkesanan dalam proses audit sistem
maklumat.
Keperluan audit dan sebarang aktiviti pemeriksaan ke atas sistem operasi

perlu dirancang dan dipersetujui bagi mengurangkan kebarangkalian
berlaku gangguan dalam penyediaan perkhidmatan. Capaian ke atas
peralatan audit sistem maklumat perlu dijaga dan diselia bagi
mengelakkan berlaku penyalahgunaan.
11.5 Keperluan Perundangan

Berikut adalah keperluan perundangan atau peraturan-peraturan lain yang
berkaitan yang perlu dipatuhi oleh semua pengguna ICT JAN dari masa ke
semasa iaitu seperti:
i. Arahan Keselamatan;
ii. Pekeliling Am Bilangan 3 Tahun 2000 – Rangka Dasar
Keselamatan Teknologi Maklumat dan Komunikasi Kerajaan;
iii. Malaysian Public Sector Management of Information and
Communications Technology Security Handbook (MyMIS) 2002;
iv. Pekeliling Am Bilangan 1 Tahun 2001 – Mekanisme Pelaporan
Insiden Keselamatan Teknologi Maklumat dan Komunikasi (ICT);
v. Pekeliling Kemajuan Pentadbiran Awam Bilangan 1 Tahun 2003 –
Garis Panduan Mengenai Tatacara Penggunaan Internet dan Mel
Elektronik di Agensi-agensi Kerajaan;
vi. Surat Pekeliling Am Bilangan 6 Tahun 2005 – Garis Panduan
Penilaian Risiko Keselamatan Maklumat Sektor Awam;
TERHAD
vii. Surat Pekeliling Am Bilangan 3 Tahun 2009 – Garis Panduan

Penilaian Tahap Keselamatan Rangkaian dan Sistem ICT Sektor
Awam yang bertarikh 17 November 2009;
viii. Surat Pekeliling Am Bilangan 4 Tahun 2006 – Pengurusan
Pengendalian Insiden Keselamatan Teknologi Maklumat dan
Komunikasi (ICT) Sektor Awam;
ix. Surat Arahan Ketua Pengarah MAMPU – Langkah-langkah
Mengenai Penggunaan Mel Elektronik di Agensi-agensi Kerajaan
yang bertarikh 1 Jun 2007;
x. Surat Arahan Ketua Pengarah MAMPU – Langkah-langkah
Pemantapan Pelaksanaan Sistem Mel Elektronik D agensi-agensi
Kerajaan yang bertarikh 23 November 2007;
xi. Surat Arahan KSN – 2006 Langkah-langkah Untuk Mengukuhkan
Keselamatan Wireless LAN di Agensi-agensi Kerajaan;
xii. Surat Arahan KSN – 2007 Langkah-langkah Keselamatan
Perlindungan Untuk Larangan Penggunaan Telefon Bimbit atau
Lain-lain Peralatan Komunikasi;
xiii. Pekeliling Perbendaharaan Bilangan 5 Tahun 2007 – Tatacara
Pengurusan Aset Alih Kerajaan (TPA);
xiv. Surat Arahan MAMPU.BDPICT(S) 700-6/1/3(21) bertarikh 19
November 2009 – Penggunaan Media Jaringan Sosial Di Sektor
Awam;
xv. Surat Pekeliling Perbendaharaan 5 Tahun 2007 – Tatacara
Pengurusan Perolehan Kerajaan Secara Tender;
xvi. Surat Pekeliling Perbendaharaan Bilangan 5 Tahun 2009 –
Perubahan Had Nilai dan Tatacara Pengurusan Perolehan Secara
Sebut Harga;
xvii. Surat Arahan Ketua Pengarah MAMPU – Pengurusan
Kesinambungan Perkhidmatan Agensi Sektor Awam yang bertarikh
22 Januari 2010;
TERHAD
xviii. Akta Rahsia Rasmi 1972;

xix. Akta Tandatangan Digital 1997;
xx. Akta Jenayah Komputer 1997;
xxi. Akta Hak Cipta (pindaan) tahun 1997;
xxii. Akta Komunikasi dan Multimedia 1998;
xxiii. Perintah-Perintah Am;
xxiv. Arahan Teknologi Maklumat 2007;
xxv. Akta Aktiviti Kerajaan Elektronik 2007 (Akta 680);
xxvi. Peraturan-peraturan Pegawai Awam (Kelakuan dan Tatatertib)
1993;
xxvii. Polisi ICT JAN; dan
xxviii. Arahan Perbendaharaan.
11.6 Pelanggaran Dasar

Pelanggaran Dasar Keselamatan ICT JAN boleh dikenakan tindakan
tatatertib.
TERHAD
GLOSARI
Antivirus Perisian yang mengimbas virus pada media storan seperti disket, cakera
padat, pita magnetik, optical disk, flash disk, CDROM, thumb drive untuk
sebarang kemungkinan adanya virus.
Aset Alih Aset alih bermaksud aset yang boleh dipindahkan dari satu tempat ke
satu tempat yang lain termasuk aset yang dibekalkan atau dipasang
bersekali dengan bangunan.
Aset ICT Peralatan ICT termasuk komputer, media storan, server, router,
firewall, rangkaian dan lain-lain.
Backup Proses penduaan sesuatu dokumen atau maklumat.
Bandwidth Jalur lebar
Ukuran atau jumlah data yang boleh dipindahkan melalui kawalan

komunikasi (contoh: di antara cakera keras dan komputer) dalam jangka
masa yang ditetapkan.
BCP /PKP Business Continuity Planning
Pelan Kesinambungan Perkhidmatan
CCTV Closed-Circuit Television System
Sistem TV yang digunakan secara komersil di mana satu sistem TV

kamera video dipasang di dalam premis pejabat bagi tujuan membantu
pemantauan fizikal.
CERT Agensi Computer Emergency Response Team
Organisasi yang ditubuhkan untuk membantu agensi mengurus

pengendalian insiden keselamatan ICT di agensi masing-masing dan
agensi di bawah kawalannya.
CIA3 confidentiality, integrity, authenticity, accessibility, accountability
TERHAD
Chief Information Officer

CIO
Ketua Pegawai Maklumat yang bertanggungjawabkan terhadap ICT dan
sistem maklumat bagi menyokong arah tuju sesebuah organisasi.
Clear Desk dan Clear Tidak meninggalkan dokumen data dan maklumat dalam keadaan
Screen terdedah di atas meja atau di paparan skrin komputer apabila
pengguna tidak berada di tempatnya.
Denial of service Halangan pemberian perkhidmatan.
Downloading Aktiviti muat turun sesuatu perisian.
Encryption Enkripsi atau penyulitan. Proses enkripsi data oleh pengirim supaya
tidak difahami oleh orang lain kecuali penerima yang sah.
Firewall Sistem yang direkabentuk untuk menghalang capaian pengguna yang

tidak berkenaan kepada atau daripada rangkaian dalaman. Terdapat
dalam bentuk perkakasan atau perisian atau kombinasi kedua-duanya.
Forgery Pemalsuan dan penyamaran identiti yang banyak dilakukan dalam

penghantaran mesej melalui e-mel termasuk penyalahgunaan dan
pencurian identiti, pencurian maklumat (information theft / espionage) dan
penipuan(hoaxes).
GCERT Government Computer Emergency Response Team
Pasukan Tindak Balas Insiden Keselamatan ICT Kerajaan.
Organisasi yang ditubuhkan untuk membantu agensi mengurus

pengendalian insiden keselamatan ICT di agensi masing-masing dan agensi
di bawah kawalannya.
Hard disk Cakera keras. Digunakan untuk menyimpan data dan boleh diakses
lebih pantas.
Hab (hub) merupakan peranti yang menghubungkan dua atau lebih

Hub stesen kerja menjadi suatu topologi bas berbentuk bintang dan
menyiarkan (broadcast) data yang diterima daripada sesuatu port kepada
semua port yang lain.
ICT Information and Communication Technology
TERHAD
ICTSO ICT Security Officer

Pegawai yang bertanggungjawab terhadap keselamatan sistem
komputer.
Insiden Keselamatan Musibah (adverse event) yang berlaku ke atas sistem maklumat dan
komunikasi atau ancaman kemungkinan berlaku kejadian tersebut.
Internet Sistem rangkaian seluruh dunia, di mana pengguna pada mana-mana

komputer boleh membuat capaian maklumat daripada pelayan (server)
atau komputer lain.
Intranet Rangkaian dalaman yang dimiliki oleh sesebuah organisasi atau jabatan
dan hanya boleh dicapai oleh kakitangan dan mereka yang diberi
kebenaran sahaja.
Merupakan suatu titik yang berperanan sebagai pintu masuk ke

Internet Gateway rangkaian yang lain. Menjadi pemandu arah trafik dengan betul dari satu
trafik ke satu trafik yang lain di samping mengekalkan trafik-trafik dalam
rangkaian-rangkaian tersebut agar sentiasa berasingan.
Intrusion Detection Sistem Pengesan Pencerobohan

System (IDS)
Perisian atau perkakasan yang mengesan aktiviti tidak berkaitan,
kesilapan atau yang berbahaya kepada sistem. Sifat IDS berpandukan
jenis data yang dipantau, iaitu sama ada lebih bersifat host atau
rangkaian.
Intrusion Prevention Sistem Pencegah Pencerobohan

System (IPS)
Perkakasan keselamatan komputer yang memantau rangkaian dan/atau
aktiviti yang berlaku dalam sistem bagi mengesan perisian berbahaya.
Boleh bertindak balas menyekat atau menghalang aktiviti serangan atau
malicious code.
Contohnya: Network-based IPS yang akan memantau semua trafik

rangkaian bagi sebarang kemungkinan serangan.
LAN Local Area Network
Rangkaian Kawasan Setempat yang menghubungkan komputer.
TERHAD
Logout
Log-out computer
Keluar daripada sesuatu sistem atau aplikasi komputer.
Malicious Code Perkakasan atau perisian yang dimasukkan ke dalam sistem tanpa
kebenaran bagi tujuan pencerobohan. Ia melibatkan serangan virus,
Trojan horse, worm, spyware dan sebagainya.
MODEM MOdulator DEModulator
Peranti yang boleh menukar strim bit digital ke isyarat analog dan
sebaliknya. Ia biasanya disambung ke talian telefon bagi membolehkan
capaian Internet dibuat dari komputer.
Outsource Bermaksud menggunakan perkhidmatan luar untuk melaksanakan fungsi-

fungsi tertentu ICT bagi suatu tempoh berdasarkan kepada dokumen
perjanjian dengan bayaran yang dipersetujui.
Perisian Aplikasi Ia merujuk pada perisian atau pakej yang selalu digunakan seperti
spreadsheet dan word processing ataupun sistem aplikasi yang
dibangunkan oleh sesebuah organisasi atau jabatan.
Public-Key Infrastruktur Kunci Awam merupakan satu kombinasi perisian, teknologi

Infrastructure (PKI) enkripsi dan perkhidmatan yang membolehkan organisasi melindungi
keselamatan berkomunikasi dan transaksi melalui Internet.
Rahsia Dokumen rasmi, maklumat rasmi dan bahan rasmi yang jika
didedahkan tanpa kebenaran akan membahayakan keselamatan
negara, menyebabkan kerosakan besar kepada kepentingan dan
martabat Malaysia atau memberi keuntungan besar kepada sesebuah
kuasa asing.
Rahsia Besar Dokumen, maklumat dan bahan rasmi yang jika didedahkan tanpa
kebenaran akan menyebabkan kerosakan yang amat besar kepada
Malaysia.
Restoration Pemulihan ke atas data.
Router Penghala yang digunakan untuk menghantar data antara dua rangkaian
yang mempunyai kedudukan rangkaian yang berlainan. Contohnya,
pencapaian Internet.
Screen Saver
Imej yang akan diaktifkan pada komputer setelah ianya tidak digunakan
dalam jangka masa tertentu.
TERHAD
Server Komputer pelayan
Sulit Dokumen, maklumat dan bahan rasmi yang jika didedahkan tanpa
kebenaran walaupun tidak membahayakan keselamatan negara tetapi
memudaratkan kepentingan atau martabat Malaysia atau kegiatan
Kerajaan atau orang perseorangan atau akan menyebabkan keadaan
memalukan atau kesusahan kepada pentadbiran atau akan
menguntungkan sesebuah kuasa asing.
Switches Suis merupakan gabungan hab dan titi yang menapis bingkai supaya
mensegmenkan rangkaian. Kegunaan suis dapat memperbaiki prestasi
rangkaian Carrier Sense Multiple Access/Collision Detection (CSMA/CD)
yang merupakan satu protokol penghantaran dengan mengurangkan
perlanggaran yang berlaku.
Terhad Dokumen rasmi, maklumat rasmi dan bahan rasmi selain daripada
yang diperingkatkan Rahsia Besar, Rahsia atau Sulit tetapi
berkehendakkan juga diberi satu tahap perlindungan keselamatan.
Threat Gangguan dan ancaman melalui pelbagai cara iaitu e-mel dan surat
yang bermotif personal dan atas sebab tertentu.
Uninterruptible Power Satu peralatan yang digunakan bagi membekalkan bekalan kuasa yang
Supply (UPS) berterusan dari sumber berlainan ketika ketiadaan bekalan kuasa ke
peralatan yang bersambung.
Video Conference Media yang menerima dan memaparkan maklumat multimedia kepada
pengguna dalam masa yang sama ia diterima oleh penghantar.
Video Streaming Teknologi komunikasi yang interaktif yang membenarkan dua atau lebih
lokasi untuk berinteraksi melalui paparan video dua hala dan audio
secara serentak.
Virus Aturcara yang bertujuan merosakkan data atau sistem aplikasi.
WAN Wide Area Network
Rangkaian yang merangkumi kawasan yang luas.
Wireless LAN Rangkaian komputer tanpa wayar.
TERHAD
Worm
Sejenis virus yang boleh mereplikasi dan membiak dengan sendiri. Ia
biasanya menjangkiti sistem operasi yang lemah atau tidak dikemas
kini.
TERHAD
Lampiran 1
SURAT AKUAN PEMATUHAN

DASAR KESELAMATAN ICT
JABATAN AUDIT NEGARA
Nama (Huruf Besar) : ………………………………………………………
No. Kad Pengenalan : ………………………………………………………
Jawatan : ………………………………………………………
Bahagian : ………………………………………………………
Adalah dengan sesungguhnya dan sebenarnya mengaku bahawa :-
1. Saya telah membaca, memahami dan akur akan peruntukan-peruntukan yang

terkandung di dalam Dasar Keselamatan ICT JAN; dan
2. Jika saya ingkar kepada peruntukan-peruntukan yang ditetapkan, maka tindakan

sewajarnya boleh diambil ke atas diri saya.
Tanda tangan : ..................................................
Tarikh : ..................................................
Pengesahan Pegawai Keselamatan ICT
.........................................
(Nama Pegawai Keselamatan ICT)
b.p. Ketua Audit Negara
Tarikh: .........................
TERHAD
Lampiran 2
TERHAD
Lampiran 3
TERHAD
TERHAD
Lampiran 4
DECLARATION TO BE SIGNED BY CONTRACTORS ENGAGED ON

GOVERNMENT PROJECTS IN RESPECTS OF THE OFFICIAL
SECRETS ACT 1972
I hereby acknowledge that my attention has been drawn to the provisions of the Official Secret Act 1972
(Act 88), as amended, and that fully understand the implications contained thereof. In particular I
understand that to communicate to unauthorised person, to use or having in possession without
authorisation any classified materials, and failure to take reasonable care of classified materials, I shall
be guilty of an offence under this Act and punishable with imprisonment for life.
I understand that all official information acquired by me in the service of His Majesty the Yang di-Pertuan
Agong or any Government in the Federation, is the property of the Government and is not to be divulged,
published, or communicated , whether orally or in writing, to any other person in any form, except in the
course of my official duties, whether during or after my service with His Majesty the Yang di-Pertuan
Agong or Government in the Federation without the previous sanction in writing of the relevant authority. I
undertake to sign a futher declaration to this effect on completion of the Government Project.
Signature :……………………………………………………………………………………………………………………………………………..
Name In Capital Letter :…………………………………………………………………………………………………………………………
Identification Card No :………………………………………………………………………………………………………………………….
Position :……………………………………………………………………………………………………………………………………………….
Department :………………………………………………………………………………………………………………………………………...
Date :…………………………………………………………………………………………………………………………………………………….
TERHAD
YANG TERLIBAT DENGAN PROJEK KERAJAAN MENURUT

AKTA RAHSIA RASMI 1972.
Adalah saya dengan ini mengaku bahawa perhatian saya telah ditarik kepada peruntukan-peruntukan Akta
Rahsia Rasmi 1972 dan bahawa saya faham dengan sepenuhnya akan segala yang dimaksudkan dalam
Akta itu. Khususnya saya faham bahawa menyampaikan, menggunakan atau menyimpan dengan salah,
sesuatu benda rahsia, tidak menjaga dengan cara yang berpatutan sesuatu rahsia atau apa-apa tingkahlaku
yang membahayakan keselamatan atau rahsia sesuatu benda rahsia adalah menjadi suatu kesalahan di
bawah Akta tersebut, yang boleh dihukum maksimum penjara seumur hidup.
Saya faham bahawa segala maklumat rasmi yang saya perolehi dalam perkhidmatan Seri Paduka Baginda
Yang di-Pertuan Agong atau perkhidmatan mana-mana Kerajaan dalam Malaysia, adalah milik Kerajaan
dan tidak akan membocorkan, menyiarkan, atau menyampaikan, sama ada secara lisan atau dengan
bertulis, kepada sesiapa jua dalam apa-apa bentuk, kecuali pada masa menjalankan kewajipan-kewajipan
rasmi saya, sama ada dalam masa atau selepas perkhidmatan saya dengan Seri Paduka Baginda Yang di-
Pertuan Agong atau mana-mana Kerajaan dalam Malaysia dengan tidak terlebih dahulu mendapat
kebenaran bertulis pihak berkuasa yang berkenaan. Saya berjanji dan mengaku akan menandatangani
suatu akuan selanjutnya bagi maksud ini apabila tamat projek Kerajaan.
Tandatangan :…………………………………………………………………………………………………………………………………………
Nama dengan Huruf Besar :…………………………………………………………………………………………………………………..
No. Kad Pengenalan :…………………………………………………………………………………………………………………………….
Jawatan :……………………………………………………………………………………………………………………………………………….
Jabatan :……………………………………………………………………………………………………………………………………………….
Tarikh :………………………………………………………………………………………………………………………………………………….
TERHAD

Dasar Keselamatan Ict-V2.1 - Opt

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Dasar Keselamatan Ict-V2.1 - Opt

Uploaded by

Copyright:

Available Formats

Dasar Keselamatan ICT

Jabatan Audit Negara

JAN-4-POL-Dasar Keselamatan ICT-v2.1 Muka Surat 1 dari 98

20 Febuari 2012 1.0 BTM Dokumen asal

Perubahan terhadap Bahagian

20 Ogos 2014 2.1 BTM Perubahan :

JAN-4-POL-Dasar Keselamatan ICT-v2.1 Muka Surat 2 dari 98

Dokumen ini telah disemak oleh yang berikut:

Disemak oleh: Tarikh :

Zaleha@Siti Zaleha Binti Yusof

Disahkan oleh: Tarikh :

Datuk Haji Anwari Bin Suri

Ketua Pegawai Maklumat(CIO)

JAN-4-POL-Dasar Keselamatan ICT-v2.1 Muka Surat 3 dari 98

1.0 PEMBANGUNAN DAN PENYENGGARAAN DASAR 19

1.2 Pelaksanaan Dasar 19

1.3 Penyebaran Dasar 19

1.4 Penyenggaraan Dasar 20

1.5 Pemakaian Dasar 20

2.0 INFRASTRUKTUR ORGANISASI KESELAMATAN 21

2.2 Ketua Audit Negara 21

2.3 Ketua Pegawai Maklumat (CIO) 22

2.4 Pegawai Keselamatan ICT (ICT Security Officer) 22

2.5 Pengurus Komputer 24

2.6 Pentadbir Sistem ICT 24

2.8 Jawatan Kuasa Keselamatan ICT JAN 26

2.9 Pasukan Tindak Balas Insiden Keselamatan ICT (JANCERT) 28

2.10 Pihak Ketiga/luar 29

JAN-4-POL-Dasar Keselamatan ICT-v2.1 Muka Surat 4 dari 98

3.0 KAWALAN DAN PENGELASAN ASET 29

3.2 Akauntabiliti Aset 30

3.2.1 Hak milik 30

3.2.2 Inventori Aset 30

3.3 Pengelasan dan Pengendalian Maklumat 30

3.3.1 Pengelasan Maklumat 30

3.3.2. Pengendalian Maklumat 31

4.0 KESELAMATAN SUMBER MANUSIA 32

4.2 Sebelum Perkhidmatan 33

4.2.1 Tanggungjawab Keselamatan 33

4.2.2 Terma Dan Syarat Perkhidmatan 33

4.2.3 Perakuan Akta Rahsia Rasmi 33

4.3 Dalam Perkhidmatan 33

4.3.1 Tanggungjawab Pihak Pengurusan 34

4.3.2 Pendidikan/Program Kesedaran Keselamatan ICT 34

4.3.3 Tindakan Tatatertib 34

4.4 Bertukar atau Tamat Perkhidmatan 35

4.4.1 Pemulangan Aset dan Pembatalan Kebenaran Capaian 35

5.0 KESELAMATAN FIZIKAL DAN PERSEKITARAN 36

JAN-4-POL-Dasar Keselamatan ICT-v2.1 Muka Surat 5 dari 98

5.2 Keselamatan Kawasan 36

5.2.1 Kawalan Kawasan Fizikal 36

5.2.2 Kawalan Keluar Masuk 38

5.2.3 Kawasan Larangan 38

5.3 Keselamatan Perkakasan 39

5.3.1 Perkakasan ICT 39

5.3.3 Media Storan 41

5.3.4 Bekalan Kuasa 42

5.3.6 Penyenggaraan Peralatan 43

5.3.7 Peralatan Di Luar Premis 43

5.3.8 Pengendalian Peralatan Luar Yang Dibawa Masuk 44

5.3.9 Pelupusan Peralatan 44

5.4 Keselamatan Dokumen 45

5.5 Keselamatan Persekitaran 46