POLISI KESELAMATAN SIBER

KEMENTERIAN PENDIDIKAN MALAYSIA

UNIT PENGURUSAN RISIKO DAN PEMATUHAN

SEKSYEN KESELAMATAN, RISIKO DAN PEMATUHAN ICT
BAHAGIAN PENGURUSAN MAKLUMAT, KPM
 BAHAGIAN PENGURUSAN MAKLUMAT
SETIAUSAHA BAHAGIAN
Ts. AZLINA AZMAN
UTAMA B (KUP)

SEKSYEN KESELAMATAN,
SEKSYEN ARKITEKTUR SEKSYEN PENGURUSAN SEKSYEN APLIKASI DAN SEKSYEN PUSAT DATA SEKSYEN OPERASI DAN
RISIKO DAN PEMATUHAN
DAN INOVASI DIGITAL PELAKSANAAN ICT INTEGRASI SISTEM DAN RANGKAIAN PENGURUSAN TEKNIKAL
ICT
NORSHAIDA BINTI KHALID SURAYANI BINTI OMAR HASSAN BIN MASROM Ts. MAHERAN AB. RAHMAN NORHAYATI MASAH
NORAIDAH BINTI SUPANGAT
F54 F54 F54 F54 F54
F54

UNIT KESELAMATAN INFRASTRUKTUR

UNIT KESELAMATAN DATA DAN

APLIKASI

KHAIRUNNISA BINTI YAHYA UNIT PENGURUSAN ID DAN KAWALAN

CAPAIAN

2
UNIT PENGURUSAN RISIKO DAN
PEMATUHAN
AGENDA

Pengenalan

Latar Belakang

Prinsip Asas Keselamatan ICT

Bidang Polisi Keselamatan Siber

Tanggungjawab Pengguna

Tanggungjawab Bahagian/ Jabatan/ Agensi

Pematuhan

Capaian
3
Borang Akuan
 TUJUAN
Polisi Keselamatan Siber KPM versi 1.0 :
https://www.moe.gov.my/index.php/pekeliling/ict-
1/2282-polisi-keselamatan-siber-kementerian-
pendidikan-malaysia/file

Mendedahkan kepada warga KPM mengenai

peraturan, tanggungjawab dan peranan yang
perlu dipatuhi dalam menggunakan aset ICT.

Pekeliling ICT KPM Bil 1 Tahun 2019

https://www.moe.gov.my/index.php/pekeliling/ict-1/2281- 5
pekeliling-ict-kpm-bil-1-tahun-2019/file
OBJEKTIF
Objektif utama Keselamatan ICT KPM ialah seperti berikut:

i. Memastikan kelancaran operasi KPM dan meminimumkan

kerosakan atau kemusnahan;
ii. Melindungi kepentingan pihak-pihak yang bergantung
kepada sistem maklumat dari kesan kegagalan atau
kelemahan dari segi kerahsiaan, integriti, kebolehsediaan,
kesahihan maklumat dan komunikasi;
iii. Mencegah salah guna atau kecurian aset ICT Kerajaan;
iv. Meminimumkan kos penyelenggaraan ICT akibat ancaman
dan penyalahgunaan; dan 6

v. Memperkemaskan pengurusan keselamatan ICT KPM.

 PENGENALAN

PENGENALAN
 Perkembangan Teknologi ICT mengubah budaya kerja organisasi
 Kesan
• Memudahkan tugas harian tetapi !!! Perlu diingatkan…
• Ancaman kepada keselamatan ICT melibatkan aset berikut:

Perkakasan Perisian

Data Manusia
 IMPLIKASI
PENGENALAN: Terhadap Keselamatan ICT

PENGENALAN
 Melindungi aset ICT dan pihak yang bergantung kepada sistem ICT dari ancaman
dan kegagalan Perkhidmatan
 Memantapkan perlindungan ke atas maklumat dan aset ICT kepada prinsip-prinsip:

CIA
KERAHSIAAN
INTEGRITI (Integrity)
(Confidentiality)
Data dan maklumat hendaklah
tepat, lengkap dan kemaskini.
Maklumat tidak boleh didedahkan
Ia hanya boleh diubah dengan
sewenang-wenangnya atau dibiarkan
cara yang dibenarkan
diakses tanpa kebenaran

KEBOLEHSEDIAAN (Availability)
Data dan maklumat hendaklah boleh
8
diakses pada bila-bila masa diperlukan
 LATAR BELAKANG
2009 2012 2019
1 2 3
DKICT 1.3 DKICT 2.0 PKS 1.0
• 23 Februari 2012 • 16 April 2019
• 23 Februari 2009
• Pekeliling ICT • Pekeliling ICT
• Pekeliling ICT
1/2012 1/2019
1/2009
• 15 bidang • 14 bidang
• 131 kawalan • 103 kawalan
9

9
 POLISI KESELAMATAN SIBER
KEMENTERIAN PENDIDIKAN MALAYSIA
VERSI 1.0
Menggantikan Dasar Keselamatan ICT KPM sedia ada

Peraturan-peraturan yang mesti Untuk menjamin KESINAMBUNGAN

1 DIBACA, DIFAHAMI dan DIPATUHI
oleh semua WARGA KPM
dan MEMINIMUMKAN kesan insiden
keselamatan 2

Menguruskan RISIKO ASET ICT KPM: perkakasan,

3 KESELAMATAN ICT ke atas aset

ICT KPM
perisian, perkhidmatan, data atau
maklumat dan manusia
4

5 Mengandungi 8 PRINSIP ASAS

kepada Polisi Keselamatan ICT
Mengandungi
dan 103 KAWALAN
BIDANG
6
 PRINSIP ASAS KESELAMATAN ICT
1 3
2 4
Akses atas dasar
perlu mengetahui Akauntabiliti
Hak akses
Pengasingan
mininum
5 7

Pengauditan Pemulihan 8
6

Saling
11
Pematuhan bergantungan
 Polisi Bidang
BIDANG KESELAMATAN
Keselamatan
Maklumat 1

Bidang
2
Organisasi
Keselamatan
Maklumat
BIDANG
Keselamatan Bidang Kawalan Bidang Hubungan Bidang
Sumber Capaian Pembekal
Manusia 3 5 11

Risiko dan
Bidang Pengurusan Bidang Kawalan Bidang Pengurusan
Pengendalian
Aset Kriptografi 12
4 6 Insiden
Keselamatan
ICT
Keselamatan
Keselamatan
Fizikal dan
Bidang Keselamatan Bidang Maklumat bagi
Pengurusan
Bidang
Komunikasi 13
Persekitaran 7 9 Kesinambungan
Keselamatan

Perolehan,
Bidang Keselamatan Bidang Pembangunan
dan
Bidang Pematuhan
Operasi 14
8 10 Penyelenggaraan
Sistem
 BIDANG KESELAMATAN
14 BIDANG DAN 103 KAWALAN
BIDANG JUMLAH
KAWALAN
BIDANG 01: POLISI KESELAMATAN MAKLUMAT 4
Menerangkan hala tuju dan sokongan pengurusan terhadap keselamatan maklumat
BIDANG 02: ORGANISASI KESELAMATAN MAKLUMAT 10
Menerangkan peranan dan tanggungjawab individu termasuk pihak ketiga (Pembekal,
Pakar Runding dan lain-lain) dalam mencapai objektif Polisi Keselamatan Siber KPM
BIDANG 03: KESELAMATAN SUMBER MANUSIA 3
Memastikan sumber manusia yang terlibat memahami tanggungjawab dan peranan serta
meningkatkan pengetahuan dalam keselamatan aset ICT
BIDANG 04: PENGURUSAN ASET 3
13
Memastikan setiap aset ICT termasuk maklumat diberikan tahap perlindungan yang
bersesuaian
 BIDANG KESELAMATAN
14 BIDANG DAN 103 KAWALAN

BIDANG JUMLAH
KAWALAN
BIDANG 05: KAWALAN CAPAIAN 11
Mengawal capaian ke atas maklumat, rangkaian, sistem pengoperasian dan aplikasi
BIDANG 06: KAWALAN KRIPTOGRAFI 3
Melindungi kerahsiaan, integriti dan kesahihan maklumat melalui kawalan kriptografi
BIDANG 07: KESELAMATAN FIZIKAL DAN PERSEKITARAN 16
Memastikan keselamatan kawasan, persekitaran, peralatan dan dokumen
BIDANG 08: KESELAMATAN OPERASI 16
Memastikan pengoperasian dan pemprosesan maklumat dapat berfungsi dengan betul
dan selamat 14
 BIDANG KESELAMATAN
14 BIDANG DAN 103 KAWALAN

BIDANG JUMLAH
KAWALAN
BIDANG 09: KESELAMATAN KOMUNIKASI 7
Memastikan keselamatan maklumat melalui pengurusan rangkaian, perkhidmatan dalam
talian dan media sosial
BIDANG 10: PEROLEHAN, PEMBANGUNAN DAN PENYELENGGARAAN SISTEM 10
Melindungi sistem dan aplikasi bermula dari fasa perolehan, pembangunan dan
penyelenggaraan
BIDANG 11: HUBUNGAN PEMBEKAL 7
Memastikan penyampaian perkhidmatan oleh pembekal mematuhi keselamatan maklumat
BIDANG 12: RISIKO DAN PENGURUSAN PENGENDALIAN INSIDEN KESELAMATAN 2 15
Memastikan insiden dikendalikan dengan cepat dan berkesan bagi meminimumkan kesan
insiden keselamatan ICT
 BIDANG KESELAMATAN
14 BIDANG DAN 103 KAWALAN

BIDANG JUMLAH KAWALAN

BIDANG 13: KESELAMATAN MAKLUMAT BAGI PENGURUSAN 2

KESINAMBUNGAN PERKHIDMATAN
Menjamin operasi perkhidmatan agar tidak tergendala dan penyampaian
perkhidmatan yang berterusan kepada pelanggan
BIDANG 14: PEMATUHAN 9
Meningkatkan tahap keselamatan ICT bagi mengelak dari pelanggaran kepada
Polisi Keselamatan Siber KPM.

16
 BIDANG KESELAMATAN & TANGGUNGJAWAB PENGGUNA

BIDANG 01: POLISI KESELAMATAN MAKLUMAT BIDANG 02: ORGANISASI KESELAMATAN

MAKLUMAT

• Mematuhi PKS
• Terpakai kepada semua • Lapor SEGERA kpd ICTSO
• Tiada pengecualian • Surat Akuan Pematuhan
PKS KPM

17
 BIDANG KESELAMATAN & TANGGUNGJAWAB PENGGUNA
BIDANG 03: KESELAMATAN SUMBER MANUSIA

• Urus keselamatan aset ICT

berdasarkan peraturan
• Hadiri latihan kesedaran
• Proses tindakan disiplin
• Pemulangan aset ICT

18
 BIDANG KESELAMATAN & TANGGUNGJAWAB PENGGUNA

 Perlu memastikan pegawai/ staf/ pihak ketiga KPM :-

Menjalankan tapisan keselamatan
Mengurus keselamatan ICT berdasarkan perundangan
dan peraturan
Mengikuti latihan kesedaran (awareness program)
Semua aset ICT dikembalikan kepada KPM
Membatalkan dan menarik balik semua kebenaran
capaian ke atas maklumat 19
 BIDANG KESELAMATAN & TANGGUNGJAWAB PENGGUNA
BIDANG 04: PENGURUSAN ASET

20
Kebocoran data peribadi 46.2 juta pengguna telefon

21
BIDANG KESELAMATAN & TANGGUNGJAWAB PENGGUNA

22
 BIDANG KESELAMATAN & TANGGUNGJAWAB PENGGUNA
BIDANG 05: KAWALAN CAPAIAN

• Guna Akaun Rasmi
• Mencerminkan identiti
pengguna
• Jangan berkongsi
• Jangan berkongsi
• Jangan didedahkan
• Panjang kata laluan sekurang-
kurangnya 8 aksara (gabungan aksara
dan angka)
• Tidak mencerminkan identiti pengguna

23
 BIDANG KESELAMATAN & TANGGUNGJAWAB PENGGUNA
BIDANG 05: KAWALAN CAPAIAN

• Amalkan Clear Desk & Clear

Screen • Melayari internet dengan beretika
• Tujuan rasmi sahaja
• TIDAK memuat turun perisian tidak
berlesen
• TIDAK melayari laman web terlarang

24
 BIDANG KESELAMATAN & TANGGUNGJAWAB PENGGUNA
BIDANG 07: KESELAMATAN FIZIKAL DAN
PERSEKITARAN

• Pinjaman dan penggunaan peralatan ICT

• Bertanggungjawab atas kerosakan dan
kehilangan
• Guna dengan BERHEMAH

27
 BIDANG KESELAMATAN & TANGGUNGJAWAB PENGGUNA
BIDANG 08: KESELAMATAN OPERASI

• Pastikan Anti virus dikemaskini dan

terkini
• Pastikan tiada penggunaan/muat turun
perisian yang tidak dibenarkan yang
boleh menyebabkan ancaman dan
gangguan ke atas sistem rangkaian
• Sentiasa backup (Salinan pendua) file
atau folder yang penting

28
30
 BIDANG KESELAMATAN &
BIDANG 09: KESELAMATAN KOMUNIKASI TANGGUNGJAWAB PENGGUNA

31
KLASIFIKASI – PELANGGARAN DASAR

PENGGUNAAN EMEL RASMI

• Tidak menggunakan emel rasmi untuk

berkomunikasi atas bukan urusan
rasmi kerajaan
• Maklumat rasmi terdedah dan boleh
disalahguna oleh pengguna tidak sah
• Boleh mengakibatkan kebocoran
maklumat

090202 Pengurusan Mel Elektronik 32

Surat Peringatan: Arahan Penguatkuasaan Pengunaan Emel MyGovUC Sebagai
Emel Rasmi bagi Semua Kakitangan KPM, KPM.100-11/1/8 Jld3 (67), 28 Mac 2019
PELANGGARAAN POLISI KESELAMATAN
SIBER

Sebarang penggunaan aset ICT selain daripada

maksud dan tujuan yang telah ditetapkan di
dalam Polisi Keselamatan Siber seperti
pencerobohan dan kecurian maklumat, adalah
merupakan satu perlanggaran Dasar dan akan
dikenakan tindakan undang-undang dan tatatertib.

33
KLASIFIKASI – PELANGGARAN DASAR

KEBOCORAN MAKLUMAT

• Kebocoran maklumat password

pengguna di Portal
• UiTM: Kebocoran maklumat pelajar,
Alumni
• Kebocoran maklumat kad pengenalan
pelajar dan pegawai di portal.
• Kebocoran maklumat No.kad
Pengenalan, Nama pelajar dan
0804 Perisian Berbahaya Maklumat Pendidikan di Sistem KPM
080401 Perlindungan Dari Perisian 34
Berbahaya
KLASIFIKASI – PELANGGARAN DASAR

MENGGUNAKAN PERISIAN TIDAK SAH

Penggunaan perisian yang tidak sah

(illegal software) iaitu perisian ‘deep
freeze’ telah dikenalpasti dan telah
menyebabkan penyebaran spyware yang
tinggi pada segmen yang berkenaan

0804 Perisian Berbahaya 35

080401 Perlindungan Dari Perisian Berbahaya
KLASIFIKASI – PELANGGARAN DASAR

ONLINE GAMING

Capaian kepada unifrorm resource

locator (url) kategori gaming iaitu
playstation-network dan war_gaming.net
yang menyebabkan penggunaan
bandwidth yang tinggi.

0503 Kawalan Capaian Rangkaian

050302 Capaian Internet 36
KLASIFIKASI – INTRUSION

WEB DEFACEMENT

• Web Defacement di Server Portal

• Telah melibatkan 14 kes di KPM
• Penceroboh mengambil peluang
ke atas kelemahan pada
pembangunan perisian lalu
mengubahsuai web page agensi

1001 Keselamatan Dalam Membangunkan Sistem dan Aplikasi

100101 Keperluan Keselamatan Sistem Maklumat 37
100401 Prosedur Pembangunan Sistem Aplikasi
100501 Kawalan dari Ancaman Teknikal
 INSIDEN PENCEROBOHAN LAMAN WEB

~ Penceroboh mengambil peluang ke atas kelemahan pada pembangunan perisian lalu mengubahsuai
web page agensi
 KLASIFIKASI – MALICIOUS CODE

RANSOMWARE

Tiga (3) kes serangan Ransomware melibatkan KPM

PUNCA
• Tiada antivirus
• Antivirus tidak dikemaskini
• Windows tidak dikemaskini (patch)
KESAN
Mengakibatkan kehilangan data (encrypted)
0702 Keselamatan Peralatan
070201 Peralatan ICT 39
0804 Perisian Berbahaya
080401 Perlindungan Dari Perisian Berbahaya
 TANGGUNGJAWAB BAHAGIAN/
JABATAN/ AGENSI
 Semua Bahagian/ Jabatan/ Agensi di bawah KPM adalah
dikehendaki mematuhi Pekeliling ICT Bil. 1 Tahun 2019
Polisi Keselamatan Siber KPM dan melaksanakan
tanggungjawab yang ditetapkan di dalamnya serta
memanjangkan perlaksanaan dan pematuhan ke atas
pekeliling ini kepada semua pegawai dan kakitangan
masing-masing

 Semua warga KPM hendaklah membaca, memahami dan

akur akan peraturan-peraturan yang terkandung di dalam 40

Polisi Keselamatan Siber KPM

 PEMATUHAN
• Pematuhan terhadap polisi ini juga adalah tidak terkecuali
kepada mana-mana individu termasuk pihak ketiga dan
pembekal yang berurusan dengan mana-mana Bahagian/
Jabatan/ Agensi/ di bawah KPM.

• Borang Akuan Pematuhan dalam Polisi Keselamatan Siber

seperti di Lampiran A atau A-1 hendaklah ditandatangani
oleh semua pegawai, kakitangan dan pihak ketiga yang
berkaitan.
41
Borang Akuan Pematuhan

42
Q&A

44
TERIMA KASIH

45