Skala Pemarkahan

b) Sejauh manakah
ICTSO tidak
peranan Pegawai
melaksanakan
Keselamatan ICT ICTSO telah
semua peranan
(ICTSO) dalam melaksanakan
A-A1-OB 0.764705882 dalam
memastikan semua peranan I dan
memastikan
keselamatan ICT II
keselamatan ICT
dilindung?
agensi dilindungi
 c) Adakah aset ICT, Aset ICT, utiliti 0% < x>50%
utiliti soongan, kabel Aset ICT, utiliti
sokongan, kabel
elektrik dan elektrik dan sokongan, kabel
A-A1-OB telekomunikasi bagi 0.764705882 elektrik dan
kemudahan ICT yang komunikasi tidak komunikasi tidak
dilindungi
kritikal dilindungi? dilindungi

d) Sejauh manakah
Tidak
agensi melaksanakan
melaksanakan melaksanakan
proses pengendalian
sebarang peringkat I atau II
A-A1-OB insiden keselamatan 0.764705882 peringkat proses proses pengendalian
ICT bagi semua
pengendalian insiden keselamatan
 d) Sejauh manakah
Tidak
agensi melaksanakan
melaksanakan melaksanakan
proses pengendalian
sebarang peringkat I atau II
insiden keselamatan
A-A1-OB 0.764705882 peringkat proses proses pengendalian
ICT bagi semua
pengendalian insiden keselamatan
insiden yang berlaku
insiden di ICT
di agensi
keselamatan di ICT
 f) Sejauh manakah
agensi telah
melaksanakan
langkah-langkah
Melaksanakan
Penilaian Security Melaksanakan
penilaian SPA dan
Posture Assesment penilaian SPA
A-A1-OB
( SPA) dan tindakan 0.764705882
sebahagian tindakan
sahaja
pengukuhan
pengukuhan bagi
semua fungsi kritikal
yang dipersetujui oleh
pengurusan agensi
 ICTSO telah
melaksanakan ICTSO telah ICTSO telah
semua peranan I, melaksanakan semua melaksan semua
II dan salah satu peranan I, II,IV dan VI peranan
peranan lain
 ≥ 90 %
50% < x>75% 75% < x>90% Aset ICT, utiliti
Aset ICT, utiliti
Aset ICT, utiliti sokongan, kabel
sokongan, kabel sokongan, kabel elektrik dan
elektrik dan
komunikasi elektrik dan komunikasi
komunikasi dilindungi dilindungi
dilindungi
sepenuhnya

melaksanakan
peringkat I hingga melaksanakan melaksanakan
III proses peringkat I hingga IV semua proses
pengendalian proses pengendalian pengendalian
insiden insiden keselamatan insiden
 melaksanakan
peringkat I hingga melaksanakan melaksanakan
III proses peringkat I hingga IV semua proses
pengendalian proses pengendalian pengendalian
insiden insiden keselamatan insiden
keselamatan di di ICT keselamatan ICT
ICT
 Melaksanakan Melaksanakan
Melaksanakan penilaian SPA dan penilaian SPA dan
penilaian SPA dan tindakan pengukuhan tindakan
sebahagian dilaksanakan pengukuhan
tindakan sepenuhnya tetapi dilaksanakan
pengukuhan hanya sebahagian sepenuhnya serta
dilaksanakan daripada tindakan tindakan
sepenuhnya pemantauan pemantauan
dilaksanakan dilaksanakan
 Rujukan:
i) Surat Pekeliling Am Bil. Tahun 2009: Garis Panduan
Penilaian Tahap Keselamatan Rangkaian dan Sistem
ICT Sektor Awam
ii) Surat Pekeliling Am Bil. 4 Tahun 2006: Pengurusan
Pengendalian Insiden Keselamatan Teknologi
Maklumat dan Komunikasi (ICT) Sektor Awam
iii) Pekeliling Am Bil. 1 Tahun 2001: Mekanisme
Pelaporan Insiden Keselamatan Teknologi Maklumat
dan Komunikasi (ICT)
iv) Pekeliling Am Bil.3/2000- Rangka Dasar
Keselamatan ICT Kerajaan bertarikh 1 Okt 2000
v) Surat Arahan ketua Pengarah MAMPU: Pengurusan
kesinambungan Perkhidmatan Agensi Sektor Awam
bertarikh 22 Januari 2010
vi) Surat Pekeliling Am Bilangan 4 Tahun 2006:
Pengurusan Pengendalian Insiden Keselamatan
Teknologi Maklumat Dan Komunikasi (ICT) Sektor
Awam

Ketua Jabatan adalah dikehendaki melantik seorang

Pegawai Keselamatan ICT ( ICTSO) dalam kalangan
pegawai kanan untuk bertanggungjawab
melaksanakan tindakan-tindakan berkaitan
keselamatan ICT di agensi masing-masing.

Peranan ICTSO adalah seperti berikut:

i) Memastikan DKICT agensi telah disediakan,
diluluskan dan dikaji semula setiap tahun.
ii) Memastikan warga agensi telah diberi pendedahan
dan menandatangani Surat Akuan Pematuhan DKICT
iii) Melaksanakan program kesedaran/pendedahan
berhubung dengan keselamatan ICT
iv) Memastikan penilaian dam pengolahan risiko ( risk
treatment ) aset ICT
v) Memastikan pemantauan keselamatan ke atas
 Contoh kemudahan ICT yang kritikal merangkumi
pusat data, bilik server, bilik storan

Dilindungi secaa fizikal seperti:

i) Dilindungi daripada kawalan akses tanpa izin,
kerosakan dan gangguan
ii) Mempunyai perimeter keselamtan yang ditetapkan
dengan halangan keselamatan dan kawalan pintu
yang masuk yang sesuai
iii) dilindungi dari gangguan bekalan elektrik,
gangguan-gangguan pintasan dan kerosakan

Peralatan telekomunikasi terdiri daripada talian

telefon, gentian optik, satelit dan gelombang mikro

Dokumen yang disediakan:

i) Senarai personel/kontraktor yang diberikan akses
fizikal
ii)Salinan dokumen urusan keluar masuk

Rujukan:
i) Pekeliling Am: Bil 1/2000- Mekanisme Pelaporan
Insiden Keselamatan Teknologi Maklumat dan
Komunikasi bertarikh 4 April 2001
ii) Surat Pekeliling Am Bil.4/2006- Pengurusan
Pengendalian Insiden Keselamatan ICT Sektor Awam
bertarikh 9 Nov 2006

Semua insiden keselamatn ICT yang berlaku di mana-

mana agensi perlu dilaporkan kepada ICTSO agensi,
Government Computer Emergency Response Team
( GCERT ) atau CERT agensi dan dikendalikan bagi
mengelakkan insiden keselamatan ICT berulang

Contoh insiden Keselamatan ICT adalah seperti

berikut:
i_Percubaan ( samaada gagal atau berjaya) untuk
mencapai sistem atau data tanpa kebenaran (probing)
ii) Serangan kod jahat ( mallicious code) seperti virus,
trojan, horse, worms dan sebagainya
iii) Gangguan yang disengajakan ( unwanted
disruption) atau halangan pemberian pekhidmatan
( denial of service)
iv) Menggunakan sistem untuk pemprosesan data
tanpa kebenaran (unauthorised access )
iv) Pengubahsuaian ciri-ciri perkakasan,perisian atau
mana-mana komponen sesebuah sistem tanpa
pengetahuan, arahan atau persetujuan mana-mana
pihak tidak berkenaan sekiranya tiada insiden
keselamatan ICT berlaku pada tahun penilaian.
Secara umumnya proses pengendalian insiden
 ii) Serangan kod jahat ( mallicious code) seperti virus,
trojan, horse, worms dan sebagainya
iii) Gangguan yang disengajakan ( unwanted
disruption) atau halangan pemberian pekhidmatan
( denial of service)
iv) Menggunakan sistem untuk pemprosesan data
tanpa kebenaran (unauthorised access )
iv) Pengubahsuaian ciri-ciri perkakasan,perisian atau
mana-mana komponen sesebuah sistem tanpa
pengetahuan, arahan atau persetujuan mana-mana
pihak tidak berkenaan sekiranya tiada insiden
keselamatan ICT berlaku pada tahun penilaian.
Secara umumnya proses pengendalian insiden
keslematan ICT melibatkan peringkat-peringkat
berikut:
i) Melapor/merekodkan kejadian insiden keselamatan
ICT
ii) Melaksanakan siasatan awal
iii)Melaksanakan tindakan pembetulan
iv) Melaksanakan tindakan pencegahan
v) Memastikan tindakan penentusahan dilakukan

Dokumen yang disediakan:

i) SOP pengendalian insiden keselamatan ICT
ii) Semua rekod kes insiden keselmatan ICT (sebelum
lawatan auditan, dapatan maklumat kes insiden
keselamatan ICT daripda GCERT atau CERT agensi) -
apa-apa bentuk perekodan atau borang IRH1.0
( Maklumat Pengendalian Insiden Keselamatan ICT )
atau email berkaitan.
iii) Borang IRH1.1 ( Borang maklum balas tindakan
susulan dari pengendalian insiden keselamatan ICT)
iv) Catatan maklumat berhubung siasatan awal,
tindakan pembetulan, tindakan pencegahan dan
tindakan penentusahan ( pentest atau pengesahan
dariada GCERT atau CERT agensi)
v) Senarai semak tindakan proses pengendalian
keselamatan ICT ( jika ada )

Perkara yang disemak:

i) SOP pengendalian insiden keselamatan ICT
ii) Laporan Pengendalian Insiden

Rujukan:
Surat Arahan KP MAMPU-Pelaksanaan pensijilan MS
ISO/IEC 27001:2007 dalam Sektor Awam 24
November 2010

Agensi Sektor Awam merupakan sebahagian daripada

Prasarana Maklumat Kritikal Negara ( Critical National
Information Infrastructure CNII) perlu mendapatkan
pensijilan MS ISO/IEC 27001:2007 Pengurusan Sistem
Keselamatan Maklumat

Agensi Sektor Awam yang di luar golongan Prasarana

Maklumat Kritikal Negara adalah juga digalkkan
 iii)Minit mesyuarat persetujuan pengurusan agensi
berhubung senarai fungsi kritikal yang perlu
melaksanakan pensijilan ISMS
iv)Bukti pelaksanaan Fasa 1 Perancangan-dokumen
skop ISMS,penilaian risiko dan pengolahan risiko yang
diluluskan
v)Bukti pelaksanaan Fasa 2 Pelaksanaan- SOP
berkaitan dan bukti pelaksanaan seperti diperlukan
dalam SOP
vi)Bukti pelaksanaan Fasa 3 pemantauan-minit
mesyuarat pemantauan dan kajian pelaksanaan
vii)Bukti pelaksanaan Fasa 4 Pensijilan-Audit dalam
audit luaran dilaksanakan
penilaian tahap keselamatan rangkaian dan sektor ICT
sektor awam bertarikh 17 Nov 2010

Semua Ketua-ketua Jabatan adalah diminta

mengambil tindakan-tindakan berikut:

i) Menjalankan penilaian tahap keselamatan

ii) mengesan kelemahan sistem ICT
iii Melaksanakan tindakan pengukuhan
iv) Memantau keberkesana tindakan pengukuhan

pelaksanaan SPA merangkumi

tujuh langkah seperti berikut:
i) menubuhkan pasukan penilaina tahap keselamatan
ii)semak dasar keselamatan ICT
iii) Menilai amalan keselamatan fizikal
iv) melaksana ujian penembusan
v) menilai keselamatan rangkaianndan hos
viMelaksanakan analisis
vii)menyediakan laporan pengukuhan

Dokumen yang perlu disediakan/perkara yang

disemak:
i)Senarai fungsi kritikal agensi yang dipersetujui oleh
pengurusan agensi untuk dilaksanakan SPA/ petikan
minit mesyuarat berkaitan/bukti langkah ke IV/ Ujian
penembusan dilaksanakan untuk semua fungsi kritikal
tersebut
iii) Bukti langkah IV/ujian penembusan dilaksanakan
untuk semua fungsi tersebut/ujain pengukuhan
dilaksanakan untuk semua fungsi tersebut.
iv) Bukti langkah IV-ujian penembusan dan tindakan
pengukuhan serta tindakan pemantauan terhadap
tindakan pengukuhan bagi semua kritikal tersebut
v)bukti semua langkah penilaian SPA dilaksanakan
tindakan pengukuhan bagi semua kelemahan diambil
dan tindakan pemantauan terhadap tindakan

rujukan ICT akta pekerja peraturan garis panduan

bahan keselamatan i-city yang sedang berkuatkuasa
dasar keselamatan i-city agensi kah kerja keselamatan
siber sektor awam (RAKKSSA) Defiinisi Kategori Aset
ICT berdasarkan SPA HilRA /MyRAM

i)perkakasan

ii)perisian

iii)MAnusia

iv) Pekhidmatan

-sokongan

-capaian