Dasar ict miti versi 2.0
Upcoming SlideShare
Loading in...5
×
 

Dasar ict miti versi 2.0

on

  • 591 views

 

Statistics

Views

Total Views
591
Views on SlideShare
591
Embed Views
0

Actions

Likes
0
Downloads
7
Comments
0

0 Embeds 0

No embeds

Accessibility

Categories

Upload Details

Uploaded via as Microsoft Word

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

Dasar ict miti versi 2.0 Dasar ict miti versi 2.0 Document Transcript

  • DASAR KESELAMATAN ICT MITI - VERSI 2.0 DASAR KESELAMATAN ICT KEMENTERIAN PERDAGANGAN ANTARABANGSA DAN INDUSTRI VERSI 2.0 19 FEBRUARI 2010 1
  • DASAR KESELAMATAN ICT MITI - VERSI 2.0 KANDUNGANPENGENALAN ……………………………………………………………………. 5OBJEKTIF ...................................................................................................... 5PERNYATAAN DASAR…………………………………………………………….5SKOP ………………………………………………………………………………...6PRINSIP-PRINSIP …………………………………………………………………81.0 PEMBANGUNAN DAN PENYELENGGARAAN DASAR 1.1 Pelaksanaan Dasar ………………………………………………… ..11 1.2 Penyebaran Dasar ..…………………………………………………. 11 1.3 Penyelenggaraan Dasar ……………………………………………..11 1.4 Pengecualian Dasar ..…………………………………………………122.0 INFRASTRUKTUR KESELAMATAN ORGANISASI 2.1 Infrastruktur Keselamatan Organisasi ..…………………………..12 2.1.1 Ketua Setiausaha (KSU) …....………………………………..12 2.1.2 Ketua Pegawai Maklumat (CIO) …………………………….12 2.1.3 Pegawai Keselamatan ICT (ICTSO) ………………………..13 2.1.4 Pengurus Komputer ….………………………………………14 2.1.5 Pentadbir Sistem ICT ……………………………………….. 14 2.1.6 Pengguna ..……………………………………………………. 15 2.1.7 Pihak Ketiga ……………….…………………………………. 163.0 KAWALAN DAN PENGELASAN ASET 3.1 Akauntabiliti Aset …………………………………………………. ...17 3.1.1 Inventori Aset ………………………………………………… 17 3.1.2 Pengelasan Maklumat ...……………………………………. 17 3.1.3 Pengendalian Maklumat ……………………………………. 184.0 KESELAMATAN SUMBER MANUSIA 4.1 Keselamatan Sumber Manusia Dalam Tugasan Harian ……… 18 4.1.1 Sebelum Perkhidmatan ……..……………………………...18 4.1.2 Dalam Perkhidmatan ………….…………………………….19 4.1.3 Bertukar atau Perkhidmatan …………….……………...…205.0 KESELAMATAN FIZIKAL DAN PERSEKITARAN 5.1 Keselamatan Kawasan ……………………………………………... 20 2
  • DASAR KESELAMATAN ICT MITI - VERSI 2.0 5.1.1 Kawalan Masuk Fizikal..…………………………………… 20 5.1.2 Kawalan Larangan..………………………………………... 21 5.1.3 Keselamatan Bilik Server…………………………………. 21 5.2 Keselamatan Peralatan .……………………………………………. 22 5.2.1 Peralatan ICT ………………………………………………... 22 5.2.2 Komputer Riba ……………………………………………… 24 5.2.3 Media Storan ………………………………………………… 25 5.2.4 Media Tandatangan Digital .…..…………………………... 26 5.2.5 Media Perisian dan Aplikasi ……..……………………….. 27 5.2.6 Penyelenggaraan …..………………………………………..27 5.2.7 Peminjaman Peralatan….…..……………………………... 28 5.2.8 Pelupusan….…..…………………………………………….. 28 5.3 Keselamatan Persekitaran…………………………………………. 30 5.3.1 Bekalan Kuasa….…………………………………………… 30 5.3.2 Kabel………………………………………………………….. 31 5.3.3 Clear Desk and Clear Screen ……………………………...31 5.4 Keselamatan Dokumen……………………………………………... 32 5.4.1 Dokumen….………………………………………………….. 326.0 PENGURUSAN OPERASI DAN KOMUNIKASI 6.1 Pengurusan Operasi .............………………………………………….32 6.1.1 Pengendalian Prosedur.…..………………………………..32 6.1.2 Kawalan Perubahan …..…………………………………… 33 6.1.3 Perlindungan dari Perisian Berbahaya ….………………33 6.1.4 Backup ……………………………………………………..….34 6.1.5 Sistem Log ….……………………………………………….. 34 6.2 Pengurusan Rangkaian …………...……………………………………. 35 6.2.1 Kawalan Infrastruktur Rangkaian ……………………….. 35 6.3 Keselamatan Komunikasi .………..……………………………………. 36 6.3.1 Internet ….……………………………………………………. 36 6.3.2 Mel Elektronik ……………………………………………....... 38 6.3.3 Katalaluan ……….……………………………………………407.0 KAWALAN CAPAIAN 7.1 Pengurusan Capaian Pengguna ..………………………………….. 41 7.1.1 Akaun Pengguna …………………………………………….. 418.0 KESELAMATAN DALAM PEMBANGUNAN DAN PENYELENGGARAAN SISTEM 8.1 Kriftografi ……………………………………………………………… 42 3
  • DASAR KESELAMATAN ICT MITI - VERSI 2.0 8.1.1 Penyulitan ……………………………………………………. 42 8.1.2 Tandatangan Digital ………………………………………… 429.0 PENGURUSAN PENGENDALIAN INSIDEN KESELAMATAN 9.1 Mekanisme Pelaporan Insiden Keselamatan ICT………………. 43 9.1.1 Mekanisme Pelaporan…………………. …………………. 43 9.2 Pengurusan Maklumat Insiden Keselamatan ICT..…………….. 44 9.2.1 Prosedur Pengurusan Maklumat Insiden Keselamatan ICT……………………………………………………………………. 4410.0 PENGURUSAN KESINAMBUNGAN PERKHIDMATAN 10.1 Dasar Kesinambungan Perkhidmatan ………………………... 45 10.1.1 Pelan Kesinambungan Perkhidmatan ……………….. 4511.0 PEMATUHAN 11.1 Pematuhan dan Keperluan Perundangan ……………………. 46 11.1.1 Pematuhan Dasar ..………………………………………. 46 11.1.2 Keperluan Perundangan .……………………………….. 46 11.1.3 Pelanggaran Dasar .………………………………………. 47 4
  • DASAR KESELAMATAN ICT MITI - VERSI 2.0 PENGENALANDasar Keselamatan ICT MITI mengandungi peraturan-peraturan yang mestidibaca dan dipatuhi dalam menggunakan aset teknologi maklumat dankomunikasi (ICT) MITI. Dasar ini juga menerangkan kepada semua penggunadi MITI mengenai tanggungjawab dan peranan mereka dalam melindungi asetICT MITI. OBJEKTIFDasar Keselamatan ICT MITI diwujudkan untuk :a) Memastikan kesinambungan perkhidmatan sekiranya berlaku sebarang insiden keselamatan yang tidak diingini;b) Menghalang dan meminimumkan sebarang insiden keselamatan yang berlaku;c) Memastikan kerahsiaan dokumen dan maklumat elektronik sentiasa terpelihara;d) Memastikan integriti dokumen dan maklumat elektronik supaya sentiasa tepat, lengkap, sahih dan kemas kini. Ia hanya boleh diubah dengan kaedah yang dibenarkan;e) Memastikan punca dokumen dan maklumat adalah daripada sumber yang sah dan tanpa keraguan;f) Memastikan akses hanya kepada pengguna-pengguna yang sah; dang) Mencegah salah guna atau kecurian asset ICT Kerajaan. PERNYATAAN DASARKeselamatan ditakrifkan sebagai keadaan yang bebas daripada ancaman danrisiko yang tidak boleh diterima. Penjagaan keselamatan adalah suatu prosesyang berterusan. Ia melibatkan aktiviti berkala yang mesti dilakukan darisemasa ke semasa untuk menjamin keselamatan kerana ancaman dankelemahan sentiasa berubah.Keselamatan ICT adalah bermaksud keadaan di mana segala urusanmenyedia dan membekalkan perkhidmatan yang berasaskan kepada sistemICT berjalan secara berterusan tanpa gangguan yang boleh menjejaskankeselamatan. Keselamatan ICT berkait rapat dengan perlindungan aset ICT.Terdapat empat (4) komponen asas keselamatan ICT iaitu: a) Melindungi maklumat rahsia rasmi dan maklumat rasmi kerajaan dari capaian tanpa kuasa yang sah; 5
  • DASAR KESELAMATAN ICT MITI - VERSI 2.0 b) Menjamin setiap maklumat adalah tepat dan sempurna; c) Memastikan ketersediaan maklumat apabila diperlukan oleh pengguna; dan d) Memastikan akses kepada hanya pengguna-pengguna yang sah atau penerimaan maklumat dari sumber yang sah.Dasar Keselamatan ICT MITI merangkumi perlindungan ke atas semuabentukmaklumat elektronik bertujuan untuk menjamin keselamatan maklumattersebut dan kebolehsediaan kepada semua pengguna yang dibenarkan.Ciri-ciri utama keselamatan maklumat adalah seperti berikut: a) Kerahsiaan - Maklumat tidak boleh didedahkan sewenang-wenangnya atau dibiarkan diakses tanpa kebenaran; b) Integriti - Data dan maklumat hendaklah tepat, lengkap dan kemas kini. Ia hanya boleh diubah dengan cara yang dibenarkan; c) Tidak Boleh Disangkal - Punca data dan maklumat hendaklah dari punca yang sah dan tidak boleh disangkal; d) Kesahihan - Data dan maklumat hendaklah dijamin kesahihannya; dan e) Ketersediaan - Data dan maklumat hendaklah boleh diakses pada bila- bila masa.Selain dari itu, langkah-langkah ke arah menjamin keselamatan ICThendaklah bersandarkan kepada penilaian yang bersesuaian denganperubahan semasa terhadap kelemahan semula jadi aset ICT; ancaman yangwujud akibat daripada kelemahan tersebut; risiko yang mungkin timbul; danlangkah-langkah pencegahan sesuai yang boleh diambil untuk menanganirisiko berkenaan. SKOPAset ICT MITI terdiri daripada perkakasan, perisian, perkhidmatan, data ataumaklumat dan manusia. Dasar Keselamatan ICT MITI menetapkankeperluan-keperluan asas berikut:(a) Data dan maklumat hendaklah boleh diakses secara berterusan dengancepat, tepat, mudah dan boleh dipercayai. Ini adalah amat perlu bagimembolehkan keputusan dan penyampaian perkhidmatan dilakukan denganberkesan dan berkualiti; dan(b) Semua data dan maklumat hendaklah dijaga kerahsiaannya dandikendalikan sebaik mungkin pada setiap masa bagi memastikankesempurnaan dan ketepatan maklumat serta untuk melindungi kepentingankerajaan, perkhidmatan dan masyarakat. 6
  • DASAR KESELAMATAN ICT MITI - VERSI 2.0Bagi menentukan Aset ICT ini terjamin keselamatannya sepanjang masa,Dasar Keselamatan ICT MITI ini merangkumi perlindungan semua bentukmaklumat kerajaan yang dimasukkan, diwujud, dimusnah, disimpan, dijana,dicetak, diakses, diedar, dalam penghantaran, dan yang dibuat salinankeselamatan. Ini akan dilakukan melalui pewujudan dan penguatkuasaansistem kawalan dan prosedur dalam pengendalian semua perkara-perkaraberikut: (a) Perkakasan Semua aset yang digunakan untuk menyokong pemprosesan maklumat dan kemudahan storan MITI. Contoh komputer, pelayan, peralatan komunikasi dan sebagainya; (b) Perisian Program, prosedur atau peraturan yang ditulis dan dokumentasi yang berkaitan dengan sistem pengoperasian komputer yang disimpan di dalam sistem ICT. Contoh perisian aplikasi atau perisian sistem seperti sistem pengoperasian, sistem pangkalan data, perisian sistem rangkaian, atau aplikasi pejabat yang menyediakan kemudahan pemprosesan maklumat kepada MITI; (c) Perkhidmatan Perkhidmatan atau sistem yang menyokong aset lain untuk melaksanakan fungsi-fungsinya. Contoh: i. Perkhidmatan rangkaian seperti LAN, WAN dan lain-lain; ii. Sistem halangan akses seperti sistem kad akses; dan iii. Perkhidmatan sokongan seperti kemudahan elektrik, penghawa dingin, sistem pencegah kebakaran dan lain-lain. (d) Data atau Maklumat Koleksi fakta-fakta dalam bentuk kertas atau mesej elektronik, yang mengandungi maklumat-maklumat untuk digunakan bagi mencapai misi dan objektif MITI. Contohnya, sistem dokumentasi, prosedur operasi, rekod-rekod MITI, profil-profil pelanggan, pangkalan data dan fail-fail data, maklumat-maklumat arkib dan lain-lain; (e) Manusia Individu yang mempunyai pengetahuan dan kemahiran untuk melaksanakan skop kerja harian MITI bagi mencapai misi dan objektif 7
  • DASAR KESELAMATAN ICT MITI - VERSI 2.0 agensi. Individu berkenaan merupakan aset berdasarkan kepada tugas- tugas dan fungsi yang dilaksanakan; dan (f) Premis Komputer Dan Komunikasi Semua kemudahan serta premis yang digunakan untuk menempatkan perkara (a) - (e) di atas.Setiap perkara di atas perlu diberi perlindungan rapi. Sebarang kebocoranrahsia atau kelemahan perlindungan adalah dianggap sebagai perlanggaranlangkah-langkah keselamatan. PRINSIP-PRINSIPPrinsip-prinsip yang menjadi asas kepada Dasar Keselamatan ICT MITI danperlu dipatuhi adalah seperti berikut :a. Akses Atas Dasar Perlu Mengetahui Akses terhadap penggunaan aset ICT hanya diberikan untuk tujuan spesifik dan dihadkan kepada pengguna tertentu atas dasar "perlu mengetahui" Sahaja. Ini bermakna akses hanya akan diberikan sekiranya peranan atau fungsi pengguna memerlukan maklumat tersebut. Pertimbangan akses di bawah prinsip ini adalah berasaskan kepada klasifikasi maklumat dan tapisan keselamatan pengguna seperti berikut : i.Klasifikasi maklumat seperti yang tercatat di dalam Arahan Keselamatan, di mana maklumat dikategorikan kepada Rahsia Besar, Rahsia, Sulit dan Terhad. ii.Tapisan keselamatan pengguna yang mematuhi prinsip bahawa pengguna boleh diberi kebenaran mengakses kategori maklumat tertentu setelah siasatan latarbelakang menunjukkan tiada sebab atau faktor untuk menghalang pengguna daripada berbuat demikian.b. Hak Akses Minimum Hak akses kepada pengguna hanya diberi pada tahap yang paling minimum iaitu untuk membaca dan/atau melihat sahaja. Kelulusan diperlukan untuk membolehkan pegawai mewujud, menyimpan, mengemaskini, mengubah dan membatalkan sesuatu data atau 8
  • DASAR KESELAMATAN ICT MITI - VERSI 2.0 maklumat.c. Akauntabiliti Semua pengguna adalah dipertanggungjawabkan ke atas semua tindakannya terhadap aset ICT MITI. Tanggungjawab ini perlu dinyatakan dengan jelas sesuai dengan tahap sensitiviti sesuatu sumber ICT. Untuk menentukan tanggungjawab ini dipatuhi, sistem ICT hendaklah mampu menyokong kemudahan mengesan atau mengesah bahawa pengguna sistem maklumat boleh dipertanggungjawabkan atas tindakan mereka. Akauntabiliti atau tanggungjawab pengguna termasuklah: i. Menghalang pendedahan maklumat kepada pihak yang tidak dibenarkan; ii. Memeriksa maklumat dan menentukan ianya tepat dan lengkap dari semasa ke semasa; iii. Menentukan maklumat sedia untuk digunakan; iv. Menjaga kerahsiaan kata laluan; v. Mematuhi standard, prosedur, langkah dan garis panduan keselamatan yang ditetapkan; vi. Memberi perhatian kepada maklumat terperingkat terutama semasa pewujudan, pemprosesan, penyimpanan, penghantaran, penyampaian, pertukaran dan pemusnahan; dan vii. Menjaga kerahsiaan langkah-langkah keselamatan ICT dari diketahui umum.d. Pengasingan Tugas mewujud, memadam, kemas kini, mengubah dan mengesahkan data perlu diasingkan bagi mengelakkan daripada capaian yang tidak dibenarkan serta melindungi aset ICT daripada kesilapan, kebocoran maklumat terperingkat atau dimanipulasi. Pengasingan juga merangkumi tindakan memisahkan antara kumpulan operasi dan rangkaian. Secara minimum, semua sistem ICT memerlukan persekitaran operasi yang berasingan seperti berikut : i. Persekitaran pembangunan bagi aplikasi dalam proses pembangunan. ii. Persekitaran penerimaan bagi pengujian aplikasi. 9
  • DASAR KESELAMATAN ICT MITI - VERSI 2.0 iii. Persekitaran sebenar bagi pengoperasian aplikasi.e. Pengauditan Pengauditan adalah tindakan untuk mengenal pasti insiden berkaitan keselamatan atau mengenalpasti keadaan yang mengancam keselamatan. Ia membabitkan pemeliharaan semua rekod berkaitan tindakan keselamatan. Dengan itu, aset ICT seperti komputer, pelayan, router, firewall dan rangkaian hendaklah ditentukan dapat menjana dan meyimpan log tindakan keselamatan atau audit trail.f. Pematuhan Dasar Keselamatan ICT MITI hendaklah dibaca, difahami dan dipatuhi bagi mengelakkan sebarang bentuk pelanggaran ke atasnya yang boleh membawa ancaman kepada keselamatan ICT.g. Pemulihan Pemulihan sistem amat perlu untuk memastikan kebolehsediaan dan kebolehcapaian. Objektif utama adalah untuk meminimumkan sebarang gangguan atau kerugian akibat daripada ketidaksediaan. Pemulihan boleh dilakukan melalui aktiviti penduaan dan mewujudkan pelan pemulihan bencana/kesinambungan perkhidmatan;h. Saling bergantung Setiap prinsip di atas adalah saling lengkap-melengkapi dan bergantung antara satu sama lain. Dengan itu, tindakan mempelbagaikan pendekatan dalam menyusun dan mencorakkan sebanyak mungkin mekanisme keselamatan adalah perlu bagi menjamin keselamatan yang maksimum. 10
  • DASAR KESELAMATAN ICT MITI - VERSI 2.01.0 Pembangunan dan Penyelenggaraan DasarDasar Keselamatan ICT1.1 Pelaksanaan Dasar Pelaksanaan dasar ini akan dijalankan oleh Ketua KSU Setiausaha (KSU) MITI, dibantu oleh Pasukan Pengurusan Keselamatan ICT yang terdiri daripada Ketua Pegawai Maklumat (CIO), Pegawai Keselamatan ICT (ICTSO) dan semua Pengarah Bahagian.1.2 Penyebaran Dasar Dasar ini perlu disebarkan kepada semua pengguna ICTSO MITI (termasuk kakitangan, pembekal, pakar runding dll.)1.3 Penyelenggaraan Dasar Dasar Keselamatan ICT MITI adalah tertakluk ICTSO kepada semakan dan pindaan dari semasa ke semasa selaras dengan perubahan teknologi, aplikasi, prosedur, perundangan dan kepentingan sosial. Berikut adalah prosedur yang berhubung dengan penyelenggaraan Dasar Keselamatan ICT MITI: a. kenal pasti dan tentukan perubahan yang diperlukan; b. kemuka cadangan pindaan secara bertulis kepada ICTSO untuk pembentangan dan persetujuan Mesyuarat Jawatan Kuasa Pemandu ICT (JPICT); c. perubahan yang telah dipersetujui oleh JPICT dimaklumkan kepada semua pengguna; dan d. dasar ini hendaklah dikaji semula sekurang- kurangnya sekali setahun. 11
  • DASAR KESELAMATAN ICT MITI - VERSI 2.01.4 Pengecualian Dasar Dasar Keselamatan ICT MITI adalah terpakai Semua kepada semua pengguna ICT MITI dan tiada Pengguna pengecualian diberikan.2.0 Keselamatan Organisasi2.1 Infrastruktur Organisasi KeselamatanObjektif : Menerangkan peranan dan tanggungjawab individu yang terlibatdengan lebih jelas dan teratur dalam mencapai objektif organisasi.2.1.1 KSU Peranan dan tanggungjawab KSU adalah seperti KSU berikut : a. memastikan semua pengguna memahami peruntukan-peruntukan di bawah Dasar Keselamatan ICT MITI; b. memastikan semua pengguna mematuhi Dasar Keselamatan ICT MITI; c. memastikan semua keperluan organisasi (sumber kewangan, sumber kakitangan dan perlindungan keselamatan) adalah mencukupi ; dan d. memastikan penilaian risiko dan program keselamatan ICT dilaksanakan berpandukan kepada garis panduan, prosedur dan langkah keselamatan ICT.2.1.2 Ketua Pegawai Maklumat (CIO) Timbalan Ketua Setiausaha (Perdagangan) adalah TKSU(P) 12
  • DASAR KESELAMATAN ICT MITI - VERSI 2.0 Ketua Pegawai Maklumat (CIO). Peranan dan tanggung jawab beliau adalah seperti berikut : a. membantu KSU dalam melaksanakan tanggung jawab menjaga keselamatan aset ICT berdasarkan Dasar Keselamatan ICT MITI; b. menentukan keperluan keselamatan ICT; dan c. membangun dan menyelaras pelaksanaan pelan latihan dan program kesedaran mengenai keselamatan ICT.2.1.3 Pegawai Keselamatan ICT (ICTSO) Peranan dan tanggungjawab ICTSO yang dilantik ICTSO adalah seperti berikut : a. menyedia dan melaksanakan program-program kesedaran mengenai keselamatan ICT MITI; b. menguatkuasakan Dasar Keselamatan ICT MITI; c. memberi penerangan dan pendedahan berkenaan Dasar Keselamatan ICT MITI kepada semua pengguna; d. mewujudkan garis panduan, prosedur dan tatacara selaras dengan keperluan Dasar Keselamatan ICT MITI; e. menjalankan pengurusan risiko; f. menjalankan audit, mengkaji semula, merumus tindakbalas pengurusan agensi berdasarkan hasil penemuan dan menyediakan laporan mengenainya; g. memberi amaran terhadap kemungkinan berlakunya ancaman merbahaya seperti virus dan memberi khidmat nasihat serta menyediakan langkah-langkah perlindungan 13
  • DASAR KESELAMATAN ICT MITI - VERSI 2.0 yang bersesuaian; h. membangunkan satu pasukan yang menguruskan insiden keselamatan; i. menyelaras atau membantu siasatan berkenaan dengan ancaman atau sebarang serangan lain ke atas aset ICT; j. bekerjasama dengan semua pihak yang berkaitan dalam mengenal pasti punca ancaman atau insiden keselamatan ICT dan memperakukan langkah-langkah baik pulih dengan segera; dan k. memperakui proses pengambilan tindakan tatatertib ke atas pengguna yang melanggar Dasar Keselamatan ICT MITI.2.1.4 Pengurus Komputer Pengarah Bahagian Pengurusan Maklumat (BPM) Pengarah merupakan Pengurus Komputer MITI. Peranan dan BPM tanggungjawab beliau adalah seperti berikut : a. memastikan semua pengguna memahami dan mematuhi Dasar Keselamatan ICT MITI, tatacara dan garis panduan yang dikeluarkan; b. mengkaji semula dan melaksanakan kawalan keselamatan ICT selaras dengan keperluan MITI; c. menentukan kawalan akses semua pengguna terhadap aset ICT MITI dan membuat semakan berkala berkenaan hak akses; d. merangka dan menyemak pelan kontigensi MITI; e. melaporkan sebarang masalah berkaitan dengan keselamatan ICT kepada CIO; dan 14
  • DASAR KESELAMATAN ICT MITI - VERSI 2.0 f. menyimpan rekod, bahan bukti dan laporan terkini mengenai ancaman keselamatan ICT MITI.2.1.5 Pentadbir Sistem ICT Peranan dan tanggungjawab pentadbir sistem ICT BPM adalah seperti berikut : a. mengambil tindakan yang bersesuaian dengan segera apabila dimaklumkan mengenai kakitangan yang berhenti, bertukar atau berlaku perubahan dalam bidang tugas; b. menentukan ketepatan dan kesempurnaan sesuatu tahap capaian berdasarkan arahan pemilik sumber maklumat sebagaimana yang telah ditetapkan di dalam Dasar Keselamatan ICT MITI; c. memantau aktiviti capaian harian pengguna; d. mengenal pasti aktiviti-aktiviti yang tidak normal seperti pencerobohan dan pengubahsuaian data tanpa kebenaran dan membatalkan atau memberhentikannya dengan serta merta; e. menyimpan dan menganalisis rekod jejak audit; f. menyediakan laporan aktiviti capaian kepada pemilik maklumat berkenaan secara berkala; dan g. memastikan setiap pengguna dikenali dengan menggunakan User ID yang unik.2.1.6 Pengguna Peranan dan tanggungjawab pengguna adalah Semua seperti berikut : Pengguna a. membaca, memahami dan mematuhi Dasar 15
  • DASAR KESELAMATAN ICT MITI - VERSI 2.0 Keselamatan ICT MITI; b. mengetahui dan memahami implikasi keselamatan ICT, kesan dari tindakannya; c. lulus tapisan keselamatan; d. melaksanakan prinsip-prinsip Dasar Keselamatan ICT dan menjaga kerahsiaan maklumat MITI; e. melaksanakan langkah-langkah perlindungan seperti berikut : i. menghalang pendedahan maklumat kepada pihak yang tidak dibenarkan; ii. memeriksa maklumat dan menentukan ianya tepat dan lengkap dari masa ke semasa; iii. menentukan maklumat sedia untuk digunakan; iv. menjaga kerahsiaan kata laluan; v. mematuhi standard, prosedur, langkah garis panduan keselamatan yang ditetapkan; vi. memberi perhatian kepada maklumat terperingkat terutama semasa pewujudan, pemprosesan, penyimpanan, penghantaran, penyampaian, pertukaran dan pemusnahan; dan vii. menjaga kerahsiaan langkah-langkah keselamatan ICT dari diketahui umum. f. melaporkan sebarang aktiviti yang mengancam keselamatan ICT kepada ICTSO dengan segera; g. menghadiri program-program kesedaran keselamatan ICT; dan h. menandatangani surat akuan pematuhan Dasar Keselamatan ICT MITI.2.1.7 Pihak Ketiga 16
  • DASAR KESELAMATAN ICT MITI - VERSI 2.0 Pihak ketiga terdiri daripada Kontraktor, Pembekal CIO, ICTSO, dan Penyedia Perkhidmatan Luaran. Peranan dan Pengurus tanggungjawab Pihak Ketiga adalah seperti berikut : Komputer, Pentadbir a. memahami, menyokong dan mematuhi Dasar Sistem ICT Keselamatan ICT MITI, standard dan garis dan Pihak panduan yang dikeluarkan; Ketiga. b. menyedari implikasi keselamatan ke atas sebarang tindakan yang dilakukan; c. melaporkan dengan segera sebarang aktiviti atau keadaan yang meragukan yang mungkin memberikan ancaman kepada aset maklumat; dan d. memastikan maklumat MITI terpelihara kerahsiaannya.3.0 Kawalan dan Pengelasan Aset3.1 Akauntabiliti AsetObjektif : Memberi dan menyokong perlindungan yang bersesuaian ke atassemua aset ICT MITI.3.1.1 Inventori Aset Ini bertujuan memastikan semua aset ICT diberi kawalan Semua dan perlindungan yang sesuai oleh pemilik atau Pengguna pemegang amanah masing-masing. Perkara yang perlu dipatuhi adalah seperti berikut: (a) Memastikan semua aset ICT dikenal pasti dan maklumat aset direkod dalam borang daftar harta modal dan inventori dan sentiasa dikemaskini; (b) Memastikan semua aset ICT mempunyai pemilik dan dikendalikan oleh pengguna yang dibenarkan sahaja; (c) Memastikan semua pengguna mengesahkan 17
  • DASAR KESELAMATAN ICT MITI - VERSI 2.0 penempatan aset ICT yang ditempatkan di MITI; (d) Peraturan bagi pengendalian aset ICT hendaklah dikenalpasti, di dokumen dan dilaksanakan; (e) Setiap pengguna adalah bertanggungjawab ke atas semua aset ICT dibawah kawalannya.3.1.2 Pengelasan Maklumat Semua Maklumat hendaklah dikelaskan dan dilabelkan Pengguna sebagaimana yang telah ditetapkan di dalam dokumen Arahan Keselamatan seperti berikut : (a) Rahsia Besar; (b) Rahsia; (c) Sulit; atau (d) Terhad.3.1.3 Pengendalian Maklumat Semua Aktiviti pengendalian maklumat seperti mengumpul, Pengguna memproses, menyimpan, menghantar, menyampai, menukar dan memusnah hendaklah mengambil kira langkah-langkah keselamatan berikut: (a) Menghalang pendedahan maklumat kepada pihak yang tidak dibenarkan; (b) Memeriksa maklumat dan menentukan ia tepat dan lengkap dari semasa ke semasa; (c) Menentukan maklumat sedia untuk digunakan; (d) Menjaga kerahsiaan kata laluan; (e) Mematuhi standard, prosedur, langkah dan garis panduan keselamatan yang ditetapkan; (f) Memberi perhatian kepada maklumat terperingkat terutama semasa pewujudan, pemprosesan, penyimpanan, penghantaran, penyampaian, pertukaran dan pemusnahan; dan (g) Menjaga kerahsiaan langkah-langkah keselamatan ICT dari diketahui umum.4.0 Keselamatan Sumber Manusia4.1 Keselamatan Sumber Manusia Dalam Tugas Harian 18
  • DASAR KESELAMATAN ICT MITI - VERSI 2.0Objektif : Memastikan semua sumber manusia yang terlibat termasuk pegawaiDan kakitangan MITI, pembekal, pakar runding dan pihak-pihak yangberkepentingan memahami tanggungjawab dan peranan serta meningkatkanpengetahuan dalam keselamatan aset ICT. Semua warga MITI hendaklahmematuhi terma dan syarat perkhidmatan serta peraturan semasa yangberkuat kuasa.4.1.1 Sebelum Perkhidmatan Perkara-perkara yang mesti dipatuhi termasuk yang Semua berikut: Pengguna (a) Menyatakan dengan lengkap dan jelas peranan dan tanggungjawab pegawai dan kakitangan MAMPU serta pihak ketiga yang terlibat dalam menjamin keselamatan aset ICT sebelum, semasa dan selepas perkhidmatan; (b) Menjalankan tapisan keselamatan untuk pegawai dan kakitangan MAMPU serta pihak ketiga yang terlibat berasaskan keperluan perundangan, peraturan dan etika terpakai yang selaras dengan keperluan perkhidmatan, peringkat maklumat yang akan dicapai serta risiko yang dijangkakan; (c) Mematuhi semua terma dan syarat perkhidmatan yang ditawarkan dan peraturan semasa yang berkuat kuasa berdasarkan perjanjian yang telah ditetapkan.4.1.2 Dalam Perkhidmatan Perkara-perkara yang perlu dipatuhi termasuk yang Semua berikut: Pengguna (a) Memastikan pegawai dan kakitangan MITI serta pihak ketiga yang berkepentingan mengurus keselamatan aset ICT berdasarkan perundangan dan peraturan yang ditetapkan oleh MITI; (b) Memastikan latihan kesedaran dan yang berkaitan mengenai pengurusan keselamatan aset ICT diberi kepada pengguna ICT MITI secara berterusan dalam melaksanakan tugas- 19
  • DASAR KESELAMATAN ICT MITI - VERSI 2.0 tugas dan tanggungjawab mereka, dan sekiranya perlu diberi kepada pihak ketiga yang berkepentingan dari semasa ke semasa; (c) Memastikan adanya proses tindakan disiplin dan/ atau undangundang ke atas pegawai dan kakitangan MITI serta pihak ketiga yang berkepentingan sekiranya berlaku perlanggaran dengan perundangan dan peraturan ditetapkan oleh MITI; (d) Memantapkan pengetahuan berkaitan dengan penggunaan asset ICT bagi memastikan setiap kemudahan ICT digunakan dengan cara dan kaedah yang betul demi menjamin kepentingan keselamatan ICT. Sebarang kursus dan latihan teknikal yang diperlukan, pengguna boleh merujuk kepada Unit Latihan, Bahagian Pengurusan Sumber Manusia, MITI.4.1.3 Bertukar Atau Tamat Perkhidmatan Perkara-perkara yang perlu dipatuhi termasuk yang Semua berikut: Pengguna (a) Memastikan semua aset ICT dikembalikan kepada MITI mengikut peraturan dan/atau terma perkhidmatan yang ditetapkan; (b) Membatalkan atau menarik balik semua kebenaran capaian ke atas maklumat dan kemudahan proses maklumat mengikut peraturan yang ditetapkan oleh MITI dan/atau terma perkhidmatan.5.0 Keselamatan Fizikal dan Persekitaran5.1 Keselamatan KawasanObjektif : Melindungi premis dan maklumat daripada sebarang bentuk 20
  • DASAR KESELAMATAN ICT MITI - VERSI 2.0pencerobohan, ancaman, kerosakan serta akses yang tidak dibenarkan.5.1.1 Kawalan Masuk Fizikal Perkara-perkara yang perlu dipatuhi termasuk yang Semua berikut: Pengguna a. Setiap pengguna MITI hendaklah memakai atau mengenakan pas keselamatan sepanjang waktu bertugas; b. Semua pas keselamatan hendaklah diserahkan balik kepada MITI apabila pengguna berhenti atau bersara; c. Setiap pelawat hendaklah mendapatkan Pas Keselamatan Pelawat di Kaunter Pelawat di pintu masuk Bangunan MITI. Amalan ini juga perlu dipatuhi di setiap cawangan MITI negeri. Pas ini hendaklah dikembalikan semula selepas tamat lawatan; dan d. Kehilangan pas mestilah dilaporkan dengan segera.5.1.2 Kawasan Larangan Kawasan larangan ditakrifkan sebagai kawasan yang Semua dihadkan kemasukan kepada pegawai-pegawai yang Pengguna tertentu sahaja. Ini dilaksanakan untuk melindungi aset ICT yang terdapat di dalam kawasan tersebut. Kawasan larangan di MITI adalah bilik Ketua Pengarah, bilik Timbalan Ketua Pengarah, Bilik Server dan Stor Penyimpanan Barangan ICT. a. Akses kepada kawasan larangan hanyalah kepada pegawai-pegawai yang dibenarkan sahaja; dan b. Pihak ketiga adalah dilarang sama sekali untuk memasuki kawasan larangan kecuali, bagi kes- kes tertentu seperti memberi perkhidmatan 21
  • DASAR KESELAMATAN ICT MITI - VERSI 2.0 sokongan atau bantuan teknikal, dan mereka hendaklah diiringi sepanjang masa sehingga tugas di kawasan berkenaan selesai.5.1.3 Keselamatan Bilik Server Untuk memastikan server penting sentiasa selamat BPM daripada pencerobohan atau sebarang ancaman dan membolehkan ia dicapai sepanjang masa, semua server hendaklah diletakkan di dalam bilik server yang mempunyai kemudahan keselamatan, penyaman udara khas dan kemudahan perlindungan suhu dan kebakaran. Bilik server juga seharusnya dilengkapkan dengan ciri-ciri keselamatan lain seperti firewall dan UPS. Berikut beberapa langkah untuk melindungi server tersebut : a. Pemantauan dan pengawalan keluar masuk pengguna ke bilik server melalui sistem Security Access Door; b. Hanya pengguna yang mempunyai kad access door sahaja yang dibenarkan memasuki bilik server; c. Setiap server mestilah dilabelkan penggunaannya bagi memudahkan setiap pentadbir menjalankan tugas masing-masing; d. Memastikan bilik server sentiasa bersih dan komputer tidak terdedah kepada habuk; e. Penghawa dingin mestilah berfungsi dengan baik di mana suhunya di dalam lingkungan 19.5oC dan kelembapan di paras 50.7%; f. Semua peralatan keselamatan, UPS dan penghawa dingin mestilah diselenggarakan sekerap yang mungkin; dan g. Kertas-kertas cetakan yang tidak digunakan perlulah diricih (shred). 22
  • DASAR KESELAMATAN ICT MITI - VERSI 2.05.2 Keselamatan PeralatanObjektif : Melindungi peralatan ICT MITI dari kehilangan, kerosakan, kecurianserta gangguan kepada peralatan tersebut.5.2.1 Peralatan ICT Perkara-perkara yang perlu dipatuhi adalah seperti Semua berikut: Pengguna a. Pengguna hendaklah menyemak dan memastikan semua peralatan ICT di bawah kawalannya berfungsi dengan sempurna; b. Pengguna bertanggungjawab sepenuhnya ke atas komputer masing-masing dan tidak dibenarkan membuat sebarang pertukaran perkakasan dan konfigurasi yang telah ditetapkan; c. Pengguna dilarang sama sekali menambah, menanggal atau mengganti sebarang perkakasan ICT yang telah ditetapkan; d. Pengguna dilarang membuat instalasi sebarang perisian tambahan tanpa kebenaran Pihak BPM; e. Pengguna adalah bertanggungjawab di atas kerosakan atau kehilangan peralatan ICT di bawah kawalannya; f. Pengguna mesti memastikan perisian antivirus di computer peribadi mereka sentiasa aktif (activated) dan dikemas kini di samping melakukan imbasan ke atas media storan yang digunakan; g. Semua peralatan sokongan ICT hendaklah dilindungi daripada kecurian, kerosakan, penyalahgunaan atau pengubahsuaian tanpa kebenaran; 23
  • DASAR KESELAMATAN ICT MITI - VERSI 2.0 h. Peralatan-peralatan kritikal perlu disokong oleh Uninterruptable Power Supply (UPS); i. Semua peralatan ICT hendaklah disimpan atau diletakkan di tempat yang teratur, bersih dan mempunyai ciri-ciri keselamatan. Peralatan rangkaian seperti switches, hub, router dan lain- lain perlu diletakkan di dalam rak khas dan berkunci; j. Semua peralatan yang digunakan secara berterusan mestilah diletakkan di kawasan yang berhawa dingin dan mempunyai pengudaraan (air ventilation) yang sesuai; k. Peralatan ICT yang hendak dibawa keluar dari premis MITI, perlulah mendapat kelulusan Pihak BPM dan direkodkan bagi tujuan pemantauan; l. Peralatan ICT yang hilang hendaklah dilaporkan kepada ICTSO dan Pegawai Aset dengan segera; m. Pengendalian peralatan ICT hendaklah mematuhi dan merujuk kepada peraturan semasa yang berkuat kuasa; n. Pengguna tidak dibenarkan mengubah kedudukan komputer dari tempat asal ia ditempatkan tanpa kebenaran Pihak BPM; o. Sebarang kerosakan peralatan ICT hendaklah dilaporkan kepada Pihak BPM untuk di baik pulih; p. Sebarang pelekat selain bagi tujuan rasmi tidak dibenarkan. Ini bagi menjamin peralatan tersebut sentiasa berkeadaan baik; q. Konfigurasi alamat IP tidak dibenarkan diubah daripada alamat IPyang asal; 24
  • DASAR KESELAMATAN ICT MITI - VERSI 2.0 r. Pengguna dilarang sama sekali mengubah kata laluan bagi pentadbir (administrator password) yang telah ditetapkan oleh Pihak BPM; s. Pengguna bertanggungjawab terhadap perkakasan, perisian dan maklumat di bawah jagaannya dan hendaklah digunakan sepenuhnya bagi urusan rasmi sahaja; t. Pengguna hendaklah memastikan semua perkakasan komputer, pencetak dan pengimbas dalam keadaan “OFF” apabila meninggalkan pejabat; u. Sebarang bentuk penyelewengan atau salah guna peralatan ICT hendaklah dilaporkan kepada ICTSO; dan v. Memastikan plag dicabut daripada suis utama (main switch) bagi mengelakkan kerosakan perkakasan sebelum meninggalkan pejabat jika berlaku kejadian seperti petir, kilat dan sebagainya.5.2.2 Komputer Riba a. Elakkan menggunakan beg komputer riba yang Semua diberikan sekiranya komputer tersebut ingin Pengguna dibawa keluar negara. Ini untuk mengelakkan daripada ianya menjadi sasaran penjenayah; b. Pastikan komputer riba sentiasa berada disamping anda dalam apa jua keadaan; c. Pastikan pengguna membuat satu salinan segala maklumat yang berada di dalam komputer riba di dalam media storan yang lain contoh seperti pen drive sebelum dibawa keluar daripada pejabat/hotel atau keluar negara; d. Elakkan daripada menyimpan terlalu banyak maklumat penting di dalam komputer riba, 25
  • DASAR KESELAMATAN ICT MITI - VERSI 2.0 sebaliknya simpan maklumat tersebut di dalam media storan yang lain; e. Komputer riba yang baru dibawa pulang atau dipulangkan ke MITI mestilah dikuarantin sehingga proses penyahpepijat dilakukan; f. Pegawai yang meminjam/menggunakan komputer riba MITI bertanggungjawab untuk menjaga keselamatan komputer riba tersebut daripada sebarang kemalangan atau kecurian; g. Berhati-hati dengan penggunaan rangkaian tanpa wayar. Matikan Bluetooth atau Infra Red sekiranya ianya tidak diperlukan; dan h. Laporkan dengan segera jika berlaku sebarang insiden yang tidak diingini kepada Bahagian Pengurusan Maklumat MITI.5.2.3 Media Storan Disket, cakera padat, backup tape dan pen drive Pentadbir merupakan antara media storan elektronik yang Sistem ICT digunakan untuk menyimpan data atau kandungan dan Semua fail. Langkah-langkah pencegahan berikut hendaklah Pengguna. diambil untuk memastikan kerahsiaan, integriti dan kebolehsediaan maklumat yang disimpan adalah terjamin dan selamat : a. Penyediaan ruang penyimpanan yang baik dan mempunyai ciri-ciri keselamatan bersesuaian dengan kandungan maklumat; b. Akses untuk memasuki kawasan penyimpanan media hendaklah terhad kepada pengguna yang dibenarkan sahaja; dan c. Semua media storan perlu dikawal bagi mencegah dari capaian yang tidak dibenarkan, kecurian dan kemusnahan; 26
  • DASAR KESELAMATAN ICT MITI - VERSI 2.0 d. Semua media storan yang mengandungi data kritikal hendaklah disimpan di dalam peti keselamatan yang mempunyai ciri-ciri keselamatan termasuk tahan dari dipecahkan, api, air dan medan magnet; e. Akses dan pergerakan media storan hendaklah direkodkan; f. Perkakasan backup hendaklah diletakkan di tempat yang terkawal; g. Mengadakan salinan atau penduaan (backup) pada media storan kedua bagi tujuan keselamatan dan bagi mengelakkan kehilangan data; h. Semua media storan data yang hendak dilupuskan mestilah dihapuskan dengan teratur dan selamat; dan i. Penghapusan maklumat atau kandungan media mestilah mendapat kelulusan pemilik maklumat terlebih dahulu.5.2.4 Media Tandatangan Digital Perkara-perkara yang perlu dipatuhi adalah seperti Semua berikut: Pengguna. a. Pengguna hendaklah bertanggungjawab sepenuhnya ke atas media tandatangan digital bagi melindungi daripada kecurian, kehilangan, kerosakan, penyalahgunaan dan pengklonan; b. Media ini tidak boleh dipindah milik atau dipinjamkan; dan c. Sebarang insiden kehilangan yang berlaku hendaklah dilaporkan dengan segera kepada ICTSO untuk tindakan seterusnya.5.2.5 Media Perisian dan Aplikasi 27
  • DASAR KESELAMATAN ICT MITI - VERSI 2.0 Perkara-perkara yang perlu dipatuhi adalah seperti BPM berikut: a. Hanya perisian yang diperakui sahaja dibenarkan bagi kegunaan MITI; b. Sistem aplikasi dalaman tidak dibenarkan didemonstrasi atau diagih kepada pihak lain kecuali dengan kebenaran Pengurus ICT; c. Source code sesuatu sistem hendaklah disimpan dengan teratur dan sebarang pindaan mestilah mengikut prosedur yang ditetapkan.5.2.6 Penyelenggaraan Perkakasan hendaklah diselenggarakan dengan BPM betul bagi memastikan kebolehsediaan dan integriti. a. Semua perkakasan yang diselenggara hendaklah mematuhi spesifikasi yang ditetapkan oleh pengeluar; b. Memastikan perkakasan hanya boleh diselenggara oleh kakitangan atau pihak yang dibenarkan sahaja; c. Bertanggungjawab terhadap setiap perkakasan bagi penyelenggaraan perkakasan sama ada dalam tempoh jaminan atau telah habis tempoh jaminan; d. Menyemak dan menguji semua perkakasan sebelum dan selepas proses penyelenggaraan; e. Memaklumkan pengguna sebelum melaksanakan penyelenggaraan mengikut jadual yang ditetapkan atau atas keperluan; dan f. Semua penyelenggaraan mestilah mendapat kebenaran daripada Pengurus ICT.5.2.7 Peminjaman Peralatan 28
  • DASAR KESELAMATAN ICT MITI - VERSI 2.0 Segala peralatan komputer termasuklah projektor, Semua komputer riba, PC, pencetak, dan aksesori yang Pengguna. berkaitan seperti kabel komputer dan sebagainya, adalah di bawah tanggungan Bahagian Pengurusan Maklumat (MITI). Oleh itu setiap peralatan yang dipinjam atau dibawa keluar atau masuk perlulah mengikut prosedur berikut: a. Hubungi pihak Unit Sokongan Teknikal untuk membuat peminjaman peralatan yang dikehendaki; b. Pengguna dikehendaki mengisi borang Peminjaman Peralatan (dalaman) dan borang Senarai Peralatan Yang Dibawa Masuk/Keluar (luaran) yang disediakan oleh pihak MITI; c. Peralatan yang dipinjam dan borang tersebut perlulah dikembalikan setelah selesai menggunakannya untuk semakan dan simpanan pihak MITI; d. Peminjam adalah bertanggungjawab untuk memastikan kesemua peralatan dikembalikan dengan sempurna, lengkap dan selamat; dan e. Sebarang kerosakan dan kegagalan peralatan berfungsi dengan baik hendaklah dilaporkan kepada Unit Sokongan Teknikal dengan segera.5.2.8 Pelupusan Aset ICT yang hendak dilupuskan perlu melalui BPM proses pelupusan semasa. Pelupusan aset ICT perlu dilakukan secara terkawal dan lengkap supaya maklumat tidak terlepas dari kawalan MITI : a. Semua kandungan peralatan khususnya maklumat rahsia rasmi hendaklah dihapuskan terlebih dahulu sebelum pelupusan sama ada melalui shredding, grinding, degauzing atau 29
  • DASAR KESELAMATAN ICT MITI - VERSI 2.0 pembakaran; b. Sekiranya maklumat perlu disimpan, maka pengguna bolehlah membuat penduaan; c. Peralatan ICT yang akan dilupuskan sebelum dipindah-milik hendaklah dipastikan data-data dalam storan telah dihapuskan dengan cara yang selamat; d. Pegawai Aset hendaklah mengenal pasti sama ada peralatan tertentu boleh dilupuskan atau sebaliknya; e. Peralatan yang hendak dilupus hendaklah disimpan di tempat yang telah dikhaskan yang mempunyai ciri-ciri keselamatan bagi menjamin keselamatan peralatan tersebut; f. Pegawai aset bertanggungjawab merekodkan butir–butir pelupusan dan mengemas kini rekod pelupusan peralatan ICT ke dalam sistem inventori; g. Pelupusan peralatan ICT hendaklah dilakukan secara berpusat dan mengikut tatacara pelupusan semasa yang berkuat kuasa; h. Pengguna ICT adalah DILARANG SAMA SEKALI daripada melakukan perkara-perkara seperti berikut: I. Menyimpan mana-mana peralatan ICT yang hendak dilupuskan untuk milik peribadi. Mencabut, menanggal dan menyimpan perkakasan tambahan dalaman CPU seperti RAM, hardisk, motherboard dan sebagainya; II. Menyimpan dan memindahkan perkakasan luaran computer seperti AVR, speaker dan mana-mana 30
  • DASAR KESELAMATAN ICT MITI - VERSI 2.0 peralatan yang berkaitan ke mana- mana bahagian di MITI; III. Memindah keluar dari MITI mana- mana peralatan ICT yang hendak dilupuskan; IV. Melupuskan sendiri peralatan ICT kerana kerja-kerja pelupusan di bawah tanggungjawab MITI; dan V. Pengguna ICT bertanggungjawab memastikan segala maklumat sulit dan rahsia di dalam komputer disalin pada media storan kedua seperti disket atau thumb drive sebelum menghapuskan maklumat tersebut daripada peralatan komputer yang hendak dilupuskan. i. Maklumat lanjut pelupusan bolehlah merujuk kepada Surat Pekeliling Perbendaharaan Bilangan 7 Tahun 1995 bertajuk "Garis Panduan Pelupusan Peralatan Komputer".5.3 Keselamatan Persekitaran5.3.1 Bekalan Kuasa Bekalan kuasa merupakan punca kuasa elektrik BPM yang dibekalkan kepada peralatan ICT. Perkara-perkara yang perlu dipatuhi adalah seperti berikut: a. Semua peralatan ICT hendaklah dilindungi dari kegagalan bekalan elektrik dan bekalan yang sesuai hendaklah disalurkan kepada peralatan ICT; b. Peralatan sokongan seperti Uninterruptable Power Supply (UPS) dan penjana (generator) boleh digunakan bagi perkhidmatan kritikal seperti di bilik server supaya mendapat bekalan 31
  • DASAR KESELAMATAN ICT MITI - VERSI 2.0 kuasa berterusan; dan c. Semua peralatan sokongan bekalan kuasa hendaklah disemak dan diuji secara berjadual.5.3.2 Kabel Kabel komputer hendaklah dilindungi kerana ia boleh BPM menyebabkan maklumat menjadi terdedah. Langkah-langkah keselamatan yang perlu diambil adalah seperti berikut: a. Menggunakan kabel yang mengikut spesifikasi yang telah ditetapkan; b. Melindungi kabel daripada kerosakan yang disengajakan atau tidak disengajakan; c. Melindungi laluan pemasangan kabel sepenuhnya bagi mengelakkan ancaman kerosakan dan wire tapping; dan d. Semua kabel perlu dilabelkan dengan jelas dan mestilah melalui trunking bagi memastikan keselamatan kabel daripada kerosakan dan pintasan maklumat.5.3.3 Clear Desk dan Clear Screen Clear Desk dan Clear Screen bermaksud tidak Semua meninggalkan bahan-bahan yang sensitif terdedah Pengguna sama ada atas meja atau dipaparan screen apabila pengguna tidak berada di tempatnya. a. Gunakan kemudahan password screen saver atau log keluar apabila meninggalkan komputer; dan b. Bahan-bahan sensitif hendaklah disimpan dalam laci atau kabinet fail yang berkunci. 32
  • DASAR KESELAMATAN ICT MITI - VERSI 2.05.4 Keselamatan DokumenObjektif: Melindungi maklumat MAMPU dari sebarang bentuk ancamanpersekitaran yang disebabkan oleh bencana alam, kesilapan atau kecuaian.5.4.1 Dokumen Perkara-perkara yang perlu dipatuhi adalah seperti Semua berikut: Pengguna a. Setiap dokumen hendaklah difail dan dilabelkan mengikut klasifikasi keselamatan seperti Terbuka, Terhad, Sulit, Rahsia atau Rahsia Besar; b. Pergerakan fail dan dokumen hendaklah direkodkan dan perlulah mengikut prosedur keselamatan; c. Kehilangan dan kerosakan ke atas semua jenis dokumen perlu dimaklumkan mengikut prosedur Arahan Keselamatan; d. Pelupusan dokumen hendaklah mengikut prosedur keselamatan semasa seperti mana Arahan Keselamatan, Arahan Amalan (Jadual Pelupusan Rekod) dan tatacara Jabatan Arkib Negara; dan e. Menggunakan enkripsi (encryption) ke atas dokumen rahsia rasmi yang disediakan dan dihantar secara elektronik.6.0 Pengurusan Operasi dan Komunikasi.6.1 Pengurusan OperasiObjektif : Memastikan perkhidmatan dan pemprosesan maklumat dapatberfungsi dengan betul dan selamat dan melindungi integriti maklumat. 33
  • DASAR KESELAMATAN ICT MITI - VERSI 2.06.1.1 Pengendalian Prosedur a. Semua prosedur keselamatan ICT yang diwujud, Semua dikenal pasti dan masih diguna pakai hendaklah Pengguna didokumenkan, disimpan dan dikawal; b. Setiap prosedur mestilah mengandungi arahan- arahan yang jelas, teratur dan lengkap seperti keperluan kapasiti, pengendalian dan pemprosesan maklumat, pengendalian dan penghantaran ralat, pengendalian output, bantuan teknikal dan pemulihan sekiranya pemprosesan tergendala atau terhenti; dan c. Semua prosedur hendaklah dikemaskini dari masa ke semasa atau mengikut keperluan.6.1.2 Kawalan Perubahan a. Pengubahsuaian yang melibatkan perkakasan, Semua sistem untuk pemprosesan maklumat, perisian, Pengguna dan prosedur mestilah mendapat kebenaran daripada pegawai atasan atau pemilik aset ICT terlebih dahulu; b. Aktiviti-aktiviti seperti memasang, menyelenggara, menghapus dan mengemaskini mana-mana komponen sistem ICT hendaklah dikendalikan oleh pihak atau pegawai yang diberi kuasa dan mempunyai pengetahuan dengan aset ICT berkenaan; c. Semua aktiviti pengubahsuaian komponen sistem ICT hendaklah mematuhi spesifikasi perubahan yang telah ditetapkan; dan d. Semua aktiviti perubahan atau pengubahsuaian hendaklah direkod dan dikawal bagi mengelakkan berlakunya ralat sama ada secara sengaja atau pun tidak.. 34
  • DASAR KESELAMATAN ICT MITI - VERSI 2.06.1.3 Perlindungan dari Perisian Berbahaya a. Memasang sistem keselamatan untuk mengesan BPM perisian atau program berbahaya seperti anti- virus, Inter Messaging Security Appliance dan Intrusion Detection System (IDS); b. Memasang dan menggunakan hanya perisian Semua yang berdaftar dan dilindungi di bawah Akta Pengguna Hakcipta (Pindaan) Tahun 1997; c. Mengimbas semua perisian atau sistem dengan anti-virus sebelum menggunakannya; dan d. Mengemaskini pattern anti virus setiap hari Pentadbir melalui Desktop Management System. Sistem ICT6.1.4 Backup Bagi memastikan sistem dapat dibangunkan semula BPM setelah berlakunya bencana. Backup hendaklah dilakukan setiap kali konfigurasi berubah. Salinan backup hendaklah direkodkan dan disimpan di off site. a. Membuat backup ke atas semua sistem perisian dan aplikasi sekurang-kurangnya sekali atau setelah mendapat versi terbaru; b. Membuat salinan backup ke atas semua data dan maklumat mengikut keperluan operasi; dan c. Menguji sistem backup bagi memastikan ianya dapat berfungsi dengan sempurna, boleh dipercayai dan berkesan apabila digunakan khususnya pada waktu kecemasan.6.1.5 Sistem Log a. Mewujudkan sistem log bagi merekodkan semua BPM 35
  • DASAR KESELAMATAN ICT MITI - VERSI 2.0 aktiviti harian pengguna; b. Menyemak sistem log secara berkala bagi mengesan ralat yang menyebabkan gangguan kepada sistem dan mengambil tindakan membaik pulih dengan segera; dan c. Sekiranya wujud aktiviti-aktiviti tidak sah lain seperti kecurian maklumat dan pencerobohan, hendaklah dilaporkan kepada ICTSO.6.2 Pengurusan RangkaianObjektif : Melindungi aset ICT dalam rangkaian dari dicerobohi.6.2.1 Kawalan Infrastruktur Rangkaian Infrastruktur Rangkaian mestilah dikawal dan BPM diuruskan sebaik mungkin demi melindungi ancaman kepada sistem dan aplikasi di dalam rangkaian. a. Pemantauan rangkaian dan server MITI bagi memastikan keselamatan dari pencerobohan dan kelancaran pengoperasian; b. Capaian kepada infrastruktur rangkaian hendaklah dikawal dan terhad kepada pengguna yang dibenarkan sahaja; c. Pemasangan firewall untuk mengawal capaian ke atas sistem yang telah dibangunkan dan memastikan keselamatan aset ICT dalam rangkaian dari pencerobohan; d. Penggunaan kaedah MPLS (Multi Protocol Label Switching) di dalam sistem WAN (Wide Area Network) yang menghubungkan cawangan dan ibu pejabat MITI bagi memastikan penghantaran dan penerimaan maklumat selamat dan terjamin; 36
  • DASAR KESELAMATAN ICT MITI - VERSI 2.0 e. Pemasangan proxy, viruswall server dan Web Content Filter untuk menyekat aktiviti yang dilarang seperti yang termaktub di dalam Pekeliling Kemajuan Pentadbiran Awam Bilangan 1 Tahun 2003 bertajuk "Garis Panduan Mengenai Tatacara Penggunaan Internet dan Mel Elektronik di Agensi-agensi Kerajaan"; f. Penapisan e-mel MITI untuk menghalang kemasukan SPAM yang tinggi; g. Memasang perisian Intrusion Detection System (IDS) bagi mengesan sebarang cubaan menceroboh dan aktiviti-aktiviti lain yang boleh mengancam sistem dan maklumat MITI; h. Penyediaan setup Wireless hendaklah diasingkan daripada rangkaian setempat (LAN) sedia ada; i. Penyediaan perkhidmatan tanpa wayar Semua (wireless) bagi tujuan majlis-majlis tertentu di Pengguna MITI. Permohonan secara bertulis untuk mendapatkan perkhidmatan tersebut hendaklah dibuat kepada pihak BPM; j. Semua pengguna hanya dibenarkan menggunakan rangkaian MITI sahaja. Penggunaan modem adalah dilarang sama sekali; k. Sebarang penyambungan rangkaian yang bukan di bawah kawalan MITI hendaklah mendapat kebenaran ICTSO; l. Larangan memuat turun perisian seperti screensaver dan games bagi mengelakkan prestasi rangkaian terganggu dan mengelakkan penyebaran virus; dan m. Penggunaan SSL VPN (Secure Socket Layer Virtual Private Network) bagi transaksi data dan 37
  • DASAR KESELAMATAN ICT MITI - VERSI 2.0 maklumat (seperti penggunaan e-mel) antara Ibu Pejabat MITI dengan Pejabat MITI Luar Negara.6.3 Keselamatan KomunikasiObjektif : melindungi aset ICT melalui komunikasi yang selamat.6.3.1 Internet a. Penggunaan Internet dihadkan untuk Semua penggunaan rasmi sahaja. Sebarang cubaan Pengguna menyebarkan virus atau cubaan merosakkan aset ICT adalah dilarang sama sekali dan akan diambil tindakan tatatertib; b. Kakitangan MITI yang menggunakan akaun MITI (miti.gov.my) merupakan wakil MITI. Oleh itu, setiap kakitangan diingatkan supaya tidak menggunakan akaun tersebut untuk tujuan komersial, politik, perjudian , jenayah dan sebagainya; c. Fail yang dimuat turun dari Internet mestilah diimbas dengan menggunakan perisian antivirus sebelum ia diinstal atau digunapakai. Semua langkah keselamatan perlu dilaksanakan untuk mengesan sebarang virus dan mengelakkannya daripada tersebar; d. Segala maklumat yang diperolehi daripada Internet dan e-mel mestilah dikira tidak sahih selagi kesahihannya belum lagi dibuktikan; e. Kakitangan MITI dilarang daripada memuat naik sebarang dokumen, perisian berlesen, e-mel dan sebagainya ke server atau ruang storan yang dipunyai oleh pihak luar tanpa sebarang kebenaran daripada pihak Pengurusan; f. Pengguna dilarang daripada memasuki ke 38
  • DASAR KESELAMATAN ICT MITI - VERSI 2.0 sebarang laman web yang tidak beretika dan membuang masa seperti laman web pornografi, online games, social networking dan sebagainya; g. Pengguna dilarang menggunakan talian capaian Internet alternatif yang lain seperti Celcom Wireless Broadband dan Maxis Wireless Broadband untuk mengakses Internet sewaktu menggunakan aset ICT kerajaan tanpa sebarang kebenaran dan tanpa sebarang perlindungan seperti firewall; h. Pengguna dilarang daripada memuat turun dan/atau mengubah sebarang perisian yang dimuat turun daripada Internet untuk mengelakkan berlakunya pelanggaran hak cipta terpelihara; i. Internet tidak menjamin kerahsiaan maklumat. Maklumat sensitif yang dihantar melalui Internet terdedah kepada risiko dihidu oleh pihak ketiga. Semua pekerja diminta untuk berhati-hati dan berwaspada apabila menghantar sebarang maklumat melalui Internet; j. Setiap kakitangan MITI bertanggungjawab ke atas sebarang salah perlakuan dan tindakan yang diambil sewaktu menggunakan kemudahan Internet yang diberikan; dan k. BPM juga berhak untuk memeriksa setiap komputer yang digunakan oleh kakitangan MITI untuk memastikan setiap arahan di dalam dasar ini dipatuhi oleh semua kakitangan.6.3.2 Mel Eletronik a. Kakitangan MITI hendaklah mengisi Borang Semua Permohonan Akaun E-mel yang boleh diperolehi Pengguna dari Bahagian Pengurusan Sumber Manusia atau Bahagian Pengurusan Maklumat; 39
  • DASAR KESELAMATAN ICT MITI - VERSI 2.0 b. Penggunaan e-mel rasmi MITI ( @miti.gov.my) adalah untuk kegunaan urusan rasmi sahaja. Sebarang penggunaan peribadi akaun e-mel rasmi adalah dilarang sama sekali; c. Pengguna dilarang daripada memberikan/berkongsi akaun emel dan kata laluannya kepada orang lain untuk digunakan; d. Penghantaran e-mel rasmi hendaklah menggunakan akaun e-mel rasmi dan pastikan alamat e-mel penerima adalah betul; e. Pengguna dilarang daripada menggunakan akaun emel persendirian (seperti @yahoo.com.my, @gmail.com) untuk menghantar sebarang emel untuk tujuan urusan rasmi; f. Pengguna dilarang daripada menggunakan e- mel MITI untuk pendaftaran ke laman-laman web yang tidak berkaitan dengan urusan kerja harian; g. Pengguna dilarang membuka e-mel dari penghantar yang tidak dikenali yang berkemungkinan mengandungi virus atau program yang ditanam; h. Pengguna dilarang daripada menghantar sebarang e-mel atau fail kepilan yang melebihi daripada 10MB kerana ia akan mengganggu operasi rangkaian dan server e-mel; i. Pengguna dilarang membuka e-mel yang mengandungi fail kepilan (attachment file) seperti *.scr, *.com, *.exe, *.dll, *.pif, *.vbs, *.bat, *.asd, *.chm, *.ocx, *.hlp, *.hta, *.js, *.shb, *.shs, *.vb, *.vbe, *.wsf, *.wsh, *.reg, *.ini, *.diz, *.cpp, *.cpl, *.vxd, *.sys dan *.cmd. Ia berkemungkinan akan menyebarkan virus apabila dibuka; 40
  • DASAR KESELAMATAN ICT MITI - VERSI 2.0 j. Pengguna dikehendaki membuat penyelenggaraan ke atas akaun e-mel mereka dari masa ke semasa untuk mengelakkan sebarang gangguan ke atas penggunaan e-mel; k. Pengguna digalakkan untuk mencetak dan mendokumenkan semua e-mel yang penting untuk mengelakkan kehilangan maklumat penting apabila berlaku kerosakan kepada cakera keras komputer; l. Pengguna hendaklah membuat salinan dan menyimpan fail kepilan ke dalam satu folder berasingan dari setiap e-mel yang penting bagi tujuan backup jika berlaku sebarang masalah kepada cakera keras komputer; m. Nama pegawai dan kakitangan MITI yang bertukar atau berhenti hendaklah dimaklumkan dengan segera kepada Bahagian Pengurusan Maklumat agar akaun e-mel dapat dikemaskinikan dengan segera; n. Pengguna mesti memaklumkan kepada pentadbir sistem ICT dengan segera sekiranya mengesyaki akaun telah disalahgunakan; dan o. Semua mesej-mesej elektronik yang diwujudkan atau disimpan di dalam sistem adalah dianggap tidak peribadi. Di dalam keadaan tertentu, pentadbir sistem atau Pegawai Keselamatan ICT (ICTSO) MITI mempunyai hak untuk mengakses mel-mel elektronik pengguna jika terpaksa. Isi kandungan emel tersebut tidak akan diakses atau didedahkan selain daripada untuk tujuan keselamatan atau diperlukan oleh undang- undang. p. Pengguna hendaklah bertanggungjawab ke atas pengemaskinian dan penggunaan mailbox 41
  • DASAR KESELAMATAN ICT MITI - VERSI 2.0 masing-masing. q. Pentadbir e-mel boleh menamatkan akaun e-mel pengguna atas sebab-sebab berikut : I. Bertukar ke agensi lain II. Bersara III. Ditamatkan perkhidmatan Akaun akan ditamatkan selepas 2 minggu dari tarikh akhir pengguna berkhidmat di MITI6.3.3 Katalaluan Kata nama pengguna atau UserID merupakan satu Semua pengenalan identiti yang unik bagi setiap pengguna Pengguna yang menggunakan sesuatu sistem komputer. Setiap UserID yang dibekalkan akan mempunyai kata laluan yang unik untuk membenarkan pengguna mendapat akses ke sistem-sistem tertentu. Untuk menjamin keselamatan UserID dan kata laluan, langkah-langkah berikut mesti dipatuhi oleh setiap pengguna sistem dan rangkaian MITI: a. Rahsiakan kata laluan. Pendedahan kepada yang tidak berhak adalah satu kesalahan di bawah Akta Jenayah Komputer 1997; b. Kata laluan hendaklah dihafal dan tidak disalin atau disimpan di dalam mana-mana media seperti buku catatan, disket, CD dan sebagainya; c. Pilih kata laluan yang kukuh dengan menggunakan gabungan nombor, huruf dan simbol yang mempunyai sekurang-kurangnya lapan aksara (contoh: p6T*&Wo8 atau RkfOmH09O8) dan mudah ditaip; d. Pengguna dilarang daripada menggunakan ID pengguna atau nama sebagai kata laluan; 42
  • DASAR KESELAMATAN ICT MITI - VERSI 2.0 e. Pengguna dilarang menggunakan perkataan yang boleh diperolehi daripada mana-mana kamus dalam sebarang bahasa; f. Pengguna dilarang menggunakan sebarang maklumat peribadi seperti tarikh lahir dan sebagainya sebagai kata laluan; g. Tukar kata laluan sekurang-kurangnya dua kali setahun; dan h. Laporkan segera kepada ICTSO MITI sekiranya kata laluan disyaki telah dicerobohi, dan kata laluan sedia ada akan diubah serta-merta.7.0 Kawalan Capaian7.1 Pengurusan Capaian PenggunaObjektif : Mengawal capaian pengguna ke atas aset ICT MITI.7.1.2 Akaun Pengguna Pengguna adalah bertanggungjawab ke atas sistem Semua ICT yang digunakan. Bagi mengenal pasti pengguna Pengguna dan aktiviti yang dilakukan, langkah-langkah berikut hendaklah dipatuhi : a. Akaun yang diperuntukkan oleh jabatan sahaja boleh digunakan; b. Pemilikan akaun pengguna bukanlah hak mutlak seseorang dan ia tertakluk kepada peraturan MITI. Akaun boleh ditarik balik jika penggunaannya melanggar peraturan; dan c. Penggunaan akaun milik orang lain adalah dilarang. 43
  • DASAR KESELAMATAN ICT MITI - VERSI 2.0 Bagi pengguna Korporat yang ingin menggunakan sistem dalaman MITI seperti sistem TFIS (Trade Facilitation Information System) dan IIS (Industry Information System) untuk membuat permohonan secara online, langkah-langkah berikut perlu dipatuhi: a. Membuat permohonan mendapatkan userID dan kata laluan dengan mengisi borang yang boleh diperolehi di Bahagian Amalan Perdagangan dan Kawalan Impot dan Eksport; b. Setiap permohonan mestilah dilengkapi dengan salinan Kad Pengenalan dan salinan sijil pendaftaran syarikat; dan c. UserID dan katalaluan hanya akan diberikan kepada permohonan yang telah diluluskan.8.0 Keselamatan Dalam Pembangunan dan Penyelenggaraan Sistem8.1 KriptografiObjektif : Melindungi kerahsiaan, integriti dan kesahihan maklumat.8.1.1 Penyulitan/Enkripsi Pengguna hendaklah membuat penyulitan ke atas Semua maklumat sensitif atau maklumat rahsia rasmi pada Pengguna setiap masa seperti penggunaan encryption dan katalaluan pada maklumat berkenaan.8.1.2 Tandatangan Digital Penggunaan tandatangan digital adalah dimestikan Semua bagi pengurusan transaksi maklumat rahsia rasmi Pengguna secara elektronik. 44
  • DASAR KESELAMATAN ICT MITI - VERSI 2.09.0 Pengurusan Pengendalian Insiden Keselamatan9.1 Mekanisme Pelaporan Insiden Keselamatan ICTObjektif : Memastikan insiden dikendalikan dengan cepat dan berkesan bagimeminimumkan kesan insiden keselamatan ICT.9.1.1 Mekanisme Pelaporan Insiden keselamatan ICT bermaksud musibah Semua (adverse event) yang berlaku ke atas aset ICT atau Pengguna ancaman kemungkinan berlaku kejadian tersebut. Ia mungkin suatu perbuatan yang melanggar dasar keselamatan ICT sama ada yang ditetapkan secara tersurat atau tersirat. Insiden keselamatan ICT seperti berikut hendaklah dilaporkan kepada ICTSO dan kumpulan CERT MITI dengan kadar segera: a. Maklumat didapati hilang, didedahkan kepada pihak-pihak yang tidak diberi kuasa atau, disyaki hilang atau didedahkan kepada pihak-pihak yang tidak diberi kuasa; b. Sistem maklumat digunakan tanpa kebenaran atau disyaki sedemikian; c. Kata laluan atau mekanisme kawalan akses hilang, dicuri atau didedahkan, atau disyaki hilang, dicuri atau didedahkan; d. Berlaku kejadian sistem yang luar biasa seperti kehilangan fail, sistem kerap kali gagal dan komunikasi tersalah hantar; dan e. Berlaku percubaan menceroboh, penyelewengan dan insiden-insiden yang tidak dijangka. Prosedur pelaporan insiden keselamatan ICT berdasarkan: 45
  • DASAR KESELAMATAN ICT MITI - VERSI 2.0 a. Pekeliling Am Bilangan 1 Tahun 2001 - Mekanisme Pelaporan Insiden Keselamatan Teknologi Maklumat dan Komunikasi; dan b. Surat Pekeliling Am Bilangan 4 Tahun 2006 – Pengurusan Pengendalian Insiden Keselamatan Teknologi Maklumat dan Komunikasi Sektor Awam.9.2 Pengurusan Maklumat Insiden Keselamatan ICTObjektif: Memastikan pendekatan yang konsisten dan efektif digunakan dalampengurusan maklumat insiden keselamatan ICT.9.2.1 Prosedur Pengurusan Maklumat Insiden Keselamatan ICT Maklumat mengenai insiden keselamatan ICT yang ICTSO dikendalikan perlu disimpan dan dianalisis bagi tujuan perancangan, tindakan pengukuhan dan pembelajaran bagi mengawal kekerapan, kerosakan dan kos kejadian insiden yang akan datang. Maklumat ini juga digunakan untuk mengenal pasti insiden yang kerap berlaku atau yang memberi kesan serta impak yang tinggi kepada MITI. Bahan-bahan bukti berkaitan insiden keselamatan ICT hendaklah disimpan dan disenggarakan. Kawalan-kawalan yang perlu diambil kira dalam pengumpulan maklumat dan pengurusan pengendalian insiden adalah seperti berikut: a. Menyimpan jejak audit, backup secara berkala dan melindungi integriti semua bahan bukti; b. Menyalin bahan bukti dan merekodkan semua maklumat aktiviti penyalinan; c. Menyediakan pelan kontingensi dan mengaktifkan pelan kesinambungan perkhidmatan; 46
  • DASAR KESELAMATAN ICT MITI - VERSI 2.0 d. Menyediakan tindakan pemulihan segera; dan e. Memaklumkan atau mendapatkan nasihat pihak berkuasa perundangan sekiranya perlu.10.0Pengurusan Kesinambungan Perkhidmatan10.1 Dasar Kesinambungan PerkhidmatanObjektif : Menjamin operasi perkhidmatan agar tidak tergendala danpenyampaian perkhidmatan yang berterusan kepada pelanggan.10.1.1 Pelan Kesinambungan Perkhidmatan Pelan Kesinambungan Perkhidmatan hendaklah ICTSO dan dibangunkan untuk menentukan pendekatan yang BPM menyeluruh diambil bagi mengekalkan kesinambungan perkhidmatan. Ini memastikan tiada gangguan kepada proses-proses dalam penyediaan perkhidmatan organisasi. Pelan ini mestilah diluluskan oleh JPICT MITI dan perkara-perkara berikut perlu diberi perhatian : a. Mengenal pasti semua tanggungjawab dan prosedur kecemasan atau pemulihan; b. Melaksanakan prosedur-prosedur kecemasan bagi membolehkan pemulihan dapat dilakukan dalam jangka masa yang ditetapkan; c. Mendokumentasikan proses dan prosedur yang telah dipersetujui; d. Mengadakan program latihan kepada pengguna mengenai prosedur kecemasan; e. Membuat penduaan; dan 47
  • DASAR KESELAMATAN ICT MITI - VERSI 2.0 f. Menguji dan mengemaskini pelan sekurang- kurangnya setahun sekali.11.0Pematuhan11.1 Pematuhan dan Keperluan PerundanganObjektif : Meningkatkan tahap keselamatan ICT bagi mengelak daripelanggaran kepada Dasar Keselamatan ICT MITI.11.1.1 Pematuhan Dasar Setiap pengguna di MITI hendaklah membaca, Semua memahami dan mematuhi Dasar Keselamatan ICT Pengguna MITI dan undang-undang atau peraturan-peraturan lain yang berkaitan yang berkuatkuasa. Sebarang pelanggaran terhadap Dasar Keselamatan ICT MITI akan dikenakan tindakan tatatertib.11.1.2 Keperluan Perundangan Semua pengguna kemudahan aset ICT MITI adalah Semua tertakluk di bawah peraturan, undang-undang dan pengguna akta-akta berikut : a. Arahan Keselamatan; b. Akta Rahsia Rasmi 1972; c. Akta Kawasan Larangan dan Tempat Larangan 1959; d. Pekeliling Am Bilangan 3 Tahun 2000 bertajuk "Rangka Dasar Keselamatan Teknologi 48
  • DASAR KESELAMATAN ICT MITI - VERSI 2.0 Maklumat dan Komunikasi Kerajaan"; e. Malaysian Public Sector Management of Information and Communications Technology Security Handbook (MyMIS); f. Pekeliling Am Bilangan 3 Tahun 2001 bertajk "Mekanisme Pelaporan Insiden Keselamatan Teknologi Maklumat dan Komunikasi (ICT)"; g. Pekeliling Kemajuan Pentadbiran Awam Bilangan 1 Tahun 2003 bertajuk "Garis Panduan Mengenai Tatacara Penggunaan Internet dan Mel Elektronik di Agensi-agensi Kerajaan"; h. Surat Pekeliling Am Bilangan 6 Tahun 2005 - Garis Panduan Penilaian Risiko Keselamatan Maklumat Sektor Awam; i. Akta Tandatangan Digital 1997; j. Akta Jenayah Komputer; k. Akta Hak cipta Terpelihara 1997; dan l. Akta Komunikasi dan Multimedia 1998.11.1.3 Pelanggaran Dasar Pelanggaran Dasar Keselamatan ICT MAMPU boleh Semua dikenakan tindakan tatatertib. pengguna 49