PRAKATA           KETUA PENGARAH PERKHIDMATAN AWAMSalam 1 Malaysia,      Era teknologi maklumat yang semakin pesat dengan ...
Oleh yang demikian, sebagai warga JPA yang bertanggungjawab perlu peka kepada isu-isu ICT pada masa kini supaya persediaan...
KATA PENGANTAR   TIMBALAN KETUA PENGARAH PERKHIDMATAN AWAM                    (OPERASI)Assalamualaikum dan Salam Sejahtera...
Saya yakin DKICT ini dapat dijadikan sebagai panduan oleh semua warga JPA.Pendedahan sebegini dapat memberi kesedaran kepa...
Versi:                                                                                      2.1                          D...
Versi:                                                                                     2.1                          DA...
Versi:                                                                                  2.1                          DASAR...
Versi:                                                                              2.1                          DASAR KES...
Versi:                                                                                2.1                          DASAR K...
Versi:                                                                                               2.1                  ...
Versi:                                                                                          2.1                       ...
Versi:                                                                                           2.1                      ...
Versi:                                                                                               2.1                  ...
Versi:                                                                                               2.1                  ...
Versi:                                                                                                     2.1            ...
Versi:                                                                                                    2.1             ...
Versi:                                                                                                       2.1          ...
Versi:                                                                                                      2.1           ...
Versi:                                                                                              2.1                   ...
Versi:                                                                                            2.1                     ...
Versi:                                                                                                      2.1           ...
Versi:                                                                                              2.1                   ...
Versi:                                                                                                         2.1        ...
Versi:                                                                                                      2.1           ...
Versi:                                                                                                      2.1           ...
Versi:                                                                                                     2.1            ...
Versi:                                                                                                 2.1                ...
Versi:                                                                                                 2.1                ...
Versi:                                                                                                          2.1       ...
Versi:                                                                                                     2.1            ...
Versi:                                                                                                    2.1             ...
Versi:                                                                                                      2.1           ...
Versi:                                                                                                    2.1             ...
Versi:                                                                                     2.1                          DA...
Versi:                                                                                                2.1                 ...
Versi:                                                                                         2.1                        ...
Versi:                                                                                                   2.1              ...
Versi:                                                                                            2.1                     ...
Versi:                                                                                                 2.1                ...
Versi:                                                                                                 2.1                ...
Versi:                                                                                                       2.1          ...
Versi:                                                                                              2.1                   ...
Versi:                                                                                               2.1                  ...
Dkict08
Dkict08
Dkict08
Dkict08
Dkict08
Dkict08
Dkict08
Dkict08
Dkict08
Dkict08
Dkict08
Dkict08
Dkict08
Dkict08
Dkict08
Dkict08
Dkict08
Dkict08
Dkict08
Dkict08
Dkict08
Dkict08
Dkict08
Dkict08
Dkict08
Dkict08
Dkict08
Dkict08
Dkict08
Dkict08
Dkict08
Dkict08
Dkict08
Dkict08
Dkict08
Dkict08
Dkict08
Dkict08
Dkict08
Dkict08
Dkict08
Dkict08
Dkict08
Dkict08
Dkict08
Dkict08
Dkict08
Dkict08
Dkict08
Dkict08
Dkict08
Dkict08
Dkict08
Dkict08
Dkict08
Dkict08
Dkict08
Dkict08
Dkict08
Dkict08
Dkict08
Dkict08
Dkict08
Dkict08
Dkict08
Dkict08
Dkict08
Dkict08
Dkict08
Dkict08
Dkict08
Dkict08
Dkict08
Dkict08
Dkict08
Dkict08
Dkict08
Dkict08
Dkict08
Upcoming SlideShare
Loading in …5
×

Dkict08

1,446 views

Published on

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
1,446
On SlideShare
0
From Embeds
0
Number of Embeds
2
Actions
Shares
0
Downloads
67
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Dkict08

  1. 1. PRAKATA KETUA PENGARAH PERKHIDMATAN AWAMSalam 1 Malaysia, Era teknologi maklumat yang semakin pesat dengan perkongsian maklumat secaraglobal dan boleh dicapai di hujung jari merupakan senario yang tidak boleh disangkal olehsektor awam pada hari ini. Tambahan pula teknologi maklumat dan komunikasi (ICT) adalahsebagai enabler kepada tadbir urus negara, organisasi, penyampaian perkhidmatan kepadarakyat serta kegunaan dalam kehidupan harian. Jabatan Perkhidmatan Awam (JPA) selakupeneraju perubahan perkhidmatan awam telah membangunkan sistem Pengurusan SumberManusia Sektor Awam yang komprehensif, inovatif dan sistematik dengan penggunaan ICT. Saya percaya, isu keselamatan ICT yang kritikal pada masa kini perlu ditangani secararasional di semua peringkat agensi dan jabatan. Tindakan perlu diambil bagi mengenal pasti,meneliti dan menangani isu-isu ini supaya perancangan dan pelaksanaan semua program ICTdapat digerakkan dengan licin dan berkesan. Dokumen ini disediakan bagi memastikan semuapembangunan ICT dapat dilaksanakan dengan lancar, bersandarkan kepada arahan dan garispanduan terkini yang telah dikeluarkan oleh agensi pusat seperti Unit Pemodenan Tadbiran danPerancangan Pengurusan Malaysia (MAMPU). Penghasilan Dasar Keselamatan ICT ini bertujuan untuk memberikan garis panduanserta pendedahan kepada penggunaan piawai (standard) keselamatan yang ditetapkan, bukansahaja kepada warga JPA malah kepada semua pengguna sistem aplikasi JPA terutamanyaSistem Maklumat Pengurusan Sumber Manusia (HRMIS). Dasar ini diharap dapat menerapkanamalan-amalan terbaik serta memperluaskan kesedaran di kalangan penjawat awam sepertimana disarankan di dalam dokumen ini.
  2. 2. Oleh yang demikian, sebagai warga JPA yang bertanggungjawab perlu peka kepada isu-isu ICT pada masa kini supaya persediaan dan perancangan yang teliti perlu dimanafaatkanbagi mengelakkan sebarang kesan negatif yang boleh menggugat kestabilan organisasi danseterusnya negara. Saya yakin dengan adanya Dasar Keselamatan ICT peringkat JPA ini dapat meyakinkanlagi pihak pelanggan JPA dalam urusan penyampaian perkhidmatan awam yang terbaik dancemerlang berteraskan profesionalisme, integriti dan teknologi. Tahniah kepada warga JPAyang menyumbang secara langsung dan sebaliknya dalam menghasilkan DKICT versi 2.12010 ini.Salam hormat,Dato’ Sri Abu Bakar bin Haji AbdullahKetua Pengarah Perkhidmatan AwamMalaysia
  3. 3. KATA PENGANTAR TIMBALAN KETUA PENGARAH PERKHIDMATAN AWAM (OPERASI)Assalamualaikum dan Salam Sejahtera, Perkembangan yang pantas dalam sistem dan rangkaian komputer telah meluaskanlagi penggunaan ICT bagi tujuan pengumpulan, penyelenggaraan, manipulasi dan penyaluranmaklumat. Komunikasi secara elektronik yang berterusan mengakibatkan keselamatan ICT danmaklumat yang terkandung di dalamnya tidak boleh lagi disediakan dan diuruskan mengikutkaedah lama. Peningkatan kejadian penggodaman, pencerobohan dan serangan virus yang semakinkompleks telah menimbulkan kesedaran pihak JPA untuk membendungnya daripada berlakudan seterusnya melumpuhkan sistem komputer JPA. Keselamatan ICT adalah kritikal dalamperkhidmatan sektor awam. Oleh sebab itu, JPA telah menyediakan Dasar Keselamatan ICTJPA (DKICT) yang bertujuan untuk memberi kesedaran kepada warga JPA betapa pentingnyamenjaga maklumat dengan selamat. Secara ironinya, aspek penguatkuasaan yang masih lemah dan tidak menyeluruh dalamperundangan berkaitan ICT di Malaysia memberi ruang kepada penyalahgunaan dan insidenkeselamatan yang berbahaya dalam perkhidmatan sektor awam secara umumnya dan JPAkhususnya. Dasar-dasar yang telah digariskan dan pembentukan jawatankuasa yangbertanggungjawab diharap dapat membantu menangani isu berorientasikan strategi danteknikal dengan kaedah mengenal pasti, menganalisis, mentafsir ancaman dan mencadangkanpelan tindakan yang efektif untuk kebaikan JPA.
  4. 4. Saya yakin DKICT ini dapat dijadikan sebagai panduan oleh semua warga JPA.Pendedahan sebegini dapat memberi kesedaran kepada warga JPA tentang kepentinganmembudayakan sistem keselamatan ICT yang terbaik dan seterusnya menjamin keselamatansegala maklumat dan aset ICT yang berharga dan penting bagi JPA. Tahniah kepada warga JPAyang terlibat secara langsung atau sebaliknya dalam penghasilan DKICT JPA ini.Salam hormat,Dato’ Dr Ismail bin AliasTimbalan Ketua Pengarah Perkhidmatan Awam (Operasi)Malaysia
  5. 5. Versi: 2.1 DASAR KESELAMATAN ICT JPA Muka Surat: i dari v KANDUNGAN BIL. PERKARA MUKA SURAT 1. PENGENALAN 1 2. OBJEKTIF DKICT JPA 1 3. PENYATAAN DKICT JPA 2 4. SKOP DKICT JPA 4 5. PRINSIP-PRINSIP DKICT JPA 6 6. PENILAIAN RISIKO KESELAMATAN ICT 8 7. KAWALAN-KAWALAN KAWALAN 01 – DASAR KESELAMATAN ICT Objektif 9 K01/01 Pelaksanaan Dasar 9 K01/02 Penyebaran Dasar 9 K01/03 Penyelenggaraan Dasar 9 K01/04 Pematuhan Dasar 10 KAWALAN 02 - ORGANISASI KESELAMATAN Objektif 11 K02/01 Infrastruktur Organisasi Dalaman 11 K02/01/01 Ketua Pengarah Perkhidmatan Awam (KPPA) 11 K02/01/02 Ketua Pegawai Maklumat (CIO) 11 K02/01/03 Pegawai Keselamatan ICT (ICTSO) 12 K02/01/04 Pengurus ICT 14 K02/01/05 Pentadbir Sistem 15 Pentadbir Rangkaian 16 Pentadbir Pangkalan Data 16 Pentadbir Laman Web 17 Pentadbir Pusat Data 19 Pentadbir Sistem Aplikasi 19 Pentadbir E-mel 21 K02/01/06 Pengguna 23 K02/01/07 Jawatankuasa Pemandu ICT (JPICT) JPA 25 K02/01/08 Jawatankuasa Keselamatan ICT (JKICT) JPA 27 K02/01/09 Pasukan Tindak Balas Insiden Keselamatan 29 ICT (JPACERT) K02/02 Pihak Luaran 30 K02/02/01 Keperluan Keselamatan Dalam Kontrak ICT 30Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini 02 Disember 2010
  6. 6. Versi: 2.1 DASAR KESELAMATAN ICT JPA Muka Surat: ii dari v KAWALAN 03 - PENGURUSAN ASET ICT Objektif 31 K03/01 Akauntabiliti Aset ICT 31 K03/01/01 Inventori Aset ICT 31 K03/02 Pengelasan Maklumat 32 K03/03 Pengendalian Maklumat 32 KAWALAN 04 – KESELAMATAN SUMBER MANUSIA Objektif 34 K04/01 Sebelum Perkhidmatan 34 K04/02 Semasa Perkhidmatan 35 K04/02/01 Program Kesedaran Keselamatan ICT 36 K04/03 Bertukar Atau Tamat Perkhidmatan 36 KAWALAN 05 - KESELAMATAN FIZIKAL DAN PERSEKITARAN Objektif 37 K05/01 Keselamatan Kawasan 37 K05/01/01 Kawasan Larangan Lokasi ICT 37 K05/01/02 Kawalan Masuk Fizikal 38 K05/01/03 Kawasan Larangan 39 K05/02 Keselamatan Peralatan 40 K05/02/01 Peralatan ICT 40 K05/02/02 Media Storan 42 K05/02/03 Media Tandatangan Digital 43 K05/02/04 Media Perisian dan Aplikasi 43 K05/02/05 Perkakasan Tanpa Penyeliaan (Unattended 44 Equipment) K05/02/06 Peralatan di Luar Premis 44 K05/02/07 Pelupusan 45 K05/02/08 Penyelenggaraan 46 K05/03 Kawalan Persekitaran 47 K05/03/01 Kawalan Persekitaran 47 K05/03/02 Kabel Rangkaian 48 K05/03/03 Bekalan Kuasa 48 K05/03/04 Prosedur Kecemasan 49 K05/04 Keselamatan Sistem Dokumentasi 49Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini 02 Disember 2010
  7. 7. Versi: 2.1 DASAR KESELAMATAN ICT JPA Muka Surat: iii dari v KAWALAN 06 - PENGURUSAN OPERASI DAN KOMUNIKASI Objektif 51 K06/01 Prosedur Operasi 51 K06/01/01 Pengendalian Dokumen Prosedur Operasi 51 K06/01/02 Pengurusan Perubahan 51 K06/01/03 Pengasingan Tugas dan Tanggungjawab 52 K06/01/04 Prosedur Pengurusan Insiden 53 K06/02 Perancangan dan Penerimaan Sistem 54 K06/02/01 Perancangan Kapasiti 54 K06/02/02 Penerimaan Sistem 54 K06/03 Perlindungan dari Perisian Berbahaya 54 K06/03/01 Perlindungan dari Perisian Berbahaya 54 K06/04 Housekeeping 55 K06/04/01 Backup 55 K06/05 Pengurusan Rangkaian 56 K06/06 Pengurusan Media 57 K06/06/01 Media Mudah Alih 57 K06/06/02 Prosedur Pengendalian Media 57 K06/07 Pengurusan Penghantaran dan Penerimaan 58 Maklumat K06/08 Pengurusan Mel Elektronik (E-mel) 59 K06/09 Perkhidmatan E-Dagang 60 K06/10 Maklumat Umum 61 K06/11 Pengurusan Penyampaian Perkhidmatan 61 Pembekal, Pakar Runding dan Pihak-Pihak Lain Yang Terlibat K06/12 Pemantauan 62 K06/12/01 Pemantauan 62 K06/12/02 Pengauditan dan Forensik ICT 63 K06/12/03 Jejak Audit 64 K06/12/04 Sistem Log 65 KAWALAN 07 - KAWALAN CAPAIAN Objektif 67 K07/01 Kawalan Capaian 67 K07/02 Pengurusan Capaian Pengguna 67 K07/02/01 Pendaftaran Pengguna 67 K07/02/02 Hak Capaian (Privilege) 68 K07/02/03 Pengurusan Kata Laluan 68 K07/02/04 Clear Desk dan Clear Screen 70Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini 02 Disember 2010
  8. 8. Versi: 2.1 DASAR KESELAMATAN ICT JPA Muka Surat: iv dari v K07/03 Capaian Sistem Pengoperasian 70 K07/03/01 Capaian Sistem Pengoperasian 70 K07/03/02 Kad Pintar 72 K07/04 Capaian Aplikasi dan Maklumat 73 K07/05 Capaian Jarak Jauh 74 K07/06 Kawalan Capaian Rangkaian 75 K07/06/01 Capaian Internet 75 KAWALAN 08 – PEROLEHAN, PEMBANGUNAN DAN PENYELENGGARAAN SISTEM Objektif 76 K08/01 Kawalan Prosesan Aplikasi 76 K08/01/01 Pengesahan Data Input 76 K08/01/02 Kawalan Prosesan 76 K08/01/03 Pengesahan Data Output 77 K08/02 Kawalan Kriptografi 77 K08/03 Keselamatan Fail Sistem 77 K08/04 Keselamatan Dalam Proses Pembangunan Dan 78 Sokongan K08/04/01 Prosedur Perubahan 78 K08/04/02 Pembangunan Secara Outsource 78 K08/05 Kawalan dari Ancaman Teknikal 78 KAWALAN 09 - PENGURUSAN PENGENDALIAN INSIDEN KESELAMATAN Objektif 80 K09/01 Mekanisme Pelaporan Insiden Keselamatan ICT 80 K09/02 Prosedur Pengendalian Insiden Keselamatan ICT 81 KAWALAN 10 - PENGURUSAN KESINAMBUNGAN PERKHIDMATAN Objektif 82 K10/01 Pelan Kesinambungan Perkhidmatan 82 K10/02 Pengurusan Kesinambungan Perkhidmatan 83Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini 02 Disember 2010
  9. 9. Versi: 2.1 DASAR KESELAMATAN ICT JPA Muka Surat: v dari v KAWALAN 11 – PEMATUHAN Objektif 85 K11/01 Pematuhan Dasar 85 K11/02 Pematuhan dengan Dasar, Piawaian dan 85 Keperluan Teknikal K11/03 Pematuhan Keperluan Audit 85 K11/04 Keperluan Perundangan dan Peraturan 86 K11/05 Pelanggaran Perundangan 87 8. GLOSARI 88 9. SENARAI LAMPIRAN Lampiran 1 Surat Akuan Pematuhan 95 Dasar Keselamatan ICT (DKICT) JPA Lampiran 2 Ringkasan Proses Kerja Pelaporan Insiden 96 Keselamatan ICT JPA Lampiran 3 Permohonan Kebenaran Untuk Menggunakan Modem Peribadi Bagi Tujuan Sambungan Ke 98 InternetJabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini 02 Disember 2010
  10. 10. Versi: 2.1 DASAR KESELAMATAN ICT JPA Muka Surat: 1 dari 98 PENGENALAN Jabatan Perkhidmatan Awam (JPA) Malaysia berperanan untuk menyediakan perkhidmatan bagi perancangan, pembangunan dan pengurusan sumber manusia sektor awam yang cemerlang berteraskan profesionalisme, integriti dan teknologi. Dokumen ini diguna pakai oleh semua kakitangan, pengguna dan pembekal yang menyediakan perkhidmatan, mencapai dan menggunakan aset dan sistem aplikasi Information and Communication Technology (ICT) di JPA. Dasar Keselamatan ICT (DKICT) JPA disediakan berpandu kepada piawai antarabangsa iaitu ISO/IEC 27001:2005. OBJEKTIF DKICT JPA Objektif utama Dasar Keselamatan ICT JPA (DKICT) adalah seperti berikut: 1. Memastikan kelancaran operasi jabatan yang berlandaskan ICT dengan mencegah serta meminimumkan kerosakan atau kemusnahan aset ICT jabatan; 2. Melindungi kepentingan pihak-pihak yang bergantung kepada sistem maklumat daripada kesan kegagalan atau kelemahan dari segi kerahsiaan, integriti, tidak boleh disangkal, kebolehsediaan dan kesahihan (CIA3); 3. Meminimumkan kos penyelenggaraan ICT akibat ancaman dan penyalahgunaan; 4. Meningkatkan tahap kesedaran keselamatan ICT kepada para kakitangan, pengguna dan pembekal; 5. Memperkemaskan pengurusan risiko; 6. Mencegah penyalahgunaan atau kecurian aset ICT jabatan; dan 7. Melindungi aset ICT daripada penyelewengan oleh kakitangan, pengguna dan pembekal.Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini 02 Disember 2010
  11. 11. Versi: 2.1 DASAR KESELAMATAN ICT JPA Muka Surat: 2 dari 98 PENYATAAN DASAR KESELAMATAN ICT JPA Keselamatan ditakrifkan sebagai keadaan yang bebas daripada ancaman dan risiko yang tidak boleh diterima. Keselamatan adalah suatu proses yang berterusan. Ia melibatkan aktiviti berkala yang mesti dilakukan dari semasa ke semasa untuk menjamin keselamatan kerana ancaman dan kelemahan sentiasa berubah. Keselamatan ICT adalah bermaksud keadaan bagi segala urusan menyedia dan membekalkan perkhidmatan yang berasaskan kepada sistem ICT berjalan secara berterusan. Terdapat empat (4) komponen asas keselamatan ICT, iaitu: 1. Melindungi maklumat rahsia rasmi dan maklumat rasmi JPA dari capaian tanpa kuasa yang sah; 2. Menjamin setiap maklumat adalah tepat dan sempurna; 3. Memastikan ketersediaan maklumat apabila diperlukan oleh pengguna; dan 4. Memastikan akses hanya kepada pengguna-pengguna yang sah atau penerimaan maklumat dari sumber-sumber yang sah.Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini 02 Disember 2010
  12. 12. Versi: 2.1 DASAR KESELAMATAN ICT JPA Muka Surat: 3 dari 98 DKICT JPA merangkumi perlindungan ke atas semua bentuk maklumat elektronik bertujuan untuk menjamin keselamatan maklumat tersebut dan kebolehsediaan kepada semua pengguna yang dibenarkan. Ciri-ciri utama keselamatan maklumat adalah seperti berikut: 1. Kerahsiaan – maklumat tidak boleh didedahkan sewenang-wenangnya atau dibiarkan akses tanpa kebenaran. 2. Integriti – Data dan maklumat hendaklah tepat, lengkap dan kemas kini. Ia hanya boleh diubah dengan cara yang dibenarkan. 3. Tidak boleh disangkal – Punca data dan maklumat hendaklah dari punca yang sah dan tidak boleh disangkal. 4. Kesahihan – Data dan maklumat hendaklah dijamin kesahihannya. 5. Kebolehsediaan – Data dan maklumat hendaklah boleh diakses pada bila-bila masa. Selain itu, langkah-langkah ke arah keselamatan ICT hendaklah bersandarkan kepada penilaian yang bersesuaian dengan perubahan semasa terhadap kelemahan semula jadi aset ICT, ancaman yang wujud akibat daripada kelemahan tersebut, risiko yang mungkin timbul dan langkah-langkah pencegahan sesuai yang boleh diambil untuk menangani risiko berkenaan.Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini 02 Disember 2010
  13. 13. Versi: 2.1 DASAR KESELAMATAN ICT JPA Muka Surat: 4 dari 98 SKOP DKICT JPA Sistem ICT JPA terdiri daripada organisasi, manusia, perisian, perkakasan, telekomunikasi, kemudahan ICT dan data. JPA telah menetapkan keperluan-keperluan asas keselamatan seperti berikut: 1. Data dan maklumat hendaklah boleh diakses secara berterusan dengan cepat, tepat, mudah dan dengan cara yang boleh dipercayai. Ini adalah amat perlu bagi membolehkan keputusan dan penyampaian perkhidmatan dilakukan dengan berkesan dan berkualiti. 2. Semua data dan maklumat hendaklah dijaga kerahsiaannya dan dikendalikan sebaik mungkin pada setiap masa bagi memastikan kesempurnaan dan melindungi kepentingan JPA. Bagi menentukan sistem ICT ini terjamin keselamatannya sepanjang masa, DKICT JPA ini merangkumi perlindungan ke atas semua bentuk maklumat ICT kerajaan yang dimasuk, diwujud, dimusnah, disimpan, dijana, dicetak, diakses, diedar dan yang dibuat salinan. Ini akan dilakukan melalui penubuhan dan penguatkuasaan sistem kawalan dan prosedur dalam pengendalian semua perkara-perkara berikut: 1. Data dan maklumat Semua data dan maklumat yang disimpan atau digunakan di pelbagai media atau peralatan ICT. 2. Peralatan ICT Semua peralatan komputer dan peripheral seperti server, firewall, komputer peribadi, stesen kerja, kerangka utama, pencetak, peralatan multimedia dan alat-alat prasarana seperti Uninterruptible Power Supply (UPS), punca kuasa dan lain-lain.Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini 02 Disember 2010
  14. 14. Versi: 2.1 DASAR KESELAMATAN ICT JPA Muka Surat: 5 dari 98 3. Media storan Semua media storan dan peralatan yang berkaitan seperti disket, storan mudah alih, kartrij, CD-ROM, pita, cakera, pemacu cakera, pemacu pita dan lain-lain. 4. Media komunikasi Semua peralatan berkaitan komunikasi seperti pelayan rangkaian, gateway, bridge, router, peralatan PABX, wireless LAN, talian ISDN, peralatan video conferencing, modem, PCMCIA, kabel rangkaian, network interface card (NIC), switches, hub dan lain-lain. 5. Perisian Semua jenis perisian yang digunakan untuk mengendali, memproses, menyimpan dan menghantar data atau maklumat. Ini termasuklah sistem aplikasi seperti eSILA, POWER, HRMIS, EPSA dan sistem pengoperasian seperti Windows, LINUX dan perisian utiliti, perisian komunikasi, sistem pengurusan pangkalan data, fail program, fail data dan lain-lain. 6. Dokumentasi Semua dokumen (prosedur dan manual pengguna) yang berkaitan dengan aset ICT, pemasangan dan pengoperasian peralatan dan perisian, sama ada dalam bentuk elektronik atau bukan elektronik. 7. Premis Komputer dan Komunikasi Semua kemudahan serta premis yang diguna untuk menempatkan perkara 1 hingga 6 di atas. 8. Manusia Semua pengguna infrastruktur ICT JPA yang dibenarkan, termasuk warga JPA, pengguna dan pembekal.Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini 02 Disember 2010
  15. 15. Versi: 2.1 DASAR KESELAMATAN ICT JPA Muka Surat: 6 dari 98 PRINSIP-PRINSIP DKICT JPA Prinsip-prinsip yang menjadi asas kepada DKICT JPA adalah seperti berikut: 1. Akses Atas Dasar Perlu Mengetahui Akses terhadap penggunaan aset ICT hanya diberikan untuk tujuan spesifik dan dihadkan kepada pengguna tertentu atas dasar perlu mengetahui sahaja. Ini bermakna akses hanya akan diberikan sekiranya peranan atau fungsi pengguna memerlukan maklumat tersebut. 2. Hak Akses Minimum Hak akses kepada pengguna hanya diberi pada tahap yang paling minimum iaitu untuk membaca dan/atau melihat sahaja. Kelulusan khas diperlukan untuk membolehkan pengguna mewujud, menyimpan, mengemas kini, mengubah dan menghapuskan sesuatu data atau maklumat. 3. Kebertanggungjawaban / Akauntabiliti Semua pengguna adalah dipertanggungjawabkan ke atas semua tindakannya terhadap aset ICT. Tanggungjawab ini perlu dinyatakan dengan jelas sesuai dengan tahap sensitiviti sesuatu sumber ICT. Bagi menentukan tanggungjawab ini dipatuhi, sistem ICT hendaklah mampu menyokong kemudahan mengesan atau mengesahkan bahawa pengguna sistem maklumat boleh dipertanggungjawabkan atas tindakan mereka. 4. Pengasingan Tugas mewujud, menghapus, mengemas kini, mengubah dan mengesahkan data perlu diasingkan bagi mengelakkan daripada capaian yang tidak dibenarkan (unauthorized access) serta melindungi aset ICT daripada kesilapan, kebocoran maklumat terperingkat atau dimanipulasikan. Pengasingan juga merangkumi data, operasi, pangkalan data dan rangkaian.Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini 02 Disember 2010
  16. 16. Versi: 2.1 DASAR KESELAMATAN ICT JPA Muka Surat: 7 dari 98 5. Pengauditan Tujuan aktiviti ini ialah untuk mengenal pasti insiden keselamatan aset ICT atau keadaan yang mengancam keselamatan aset ICT. Dengan itu, semua log yang berkaitan dengan aset ICT perlu disimpan bagi tujuan jejak audit. 6. Pematuhan DKICT JPA hendaklah dipatuhi bagi mengelakkan sebarang bentuk pelanggaran ke atasnya yang boleh membawa ancaman kepada keselamatan ICT. 7. Pemulihan Pemulihan sistem amat perlu untuk memastikan kebolehsediaan dan kebolehcapaian bagi meminimumkan sebarang gangguan atau kerugian akibat daripada ketidaksediaan dan ketidakbolehcapaian. Pemulihan boleh dilakukan melalui proses penduaan (backup) dan mewujudkan Pelan Pemulihan Bencana / Pelan Kesinambungan Perkhidmatan (Business Resumption Planning, BRP). 8. Saling Bergantung Setiap prinsip adalah saling lengkap-melengkapi dan bergantung antara satu sama lain. Dengan itu tindakan mempelbagaikan pendekatan dalam menyusun dan mencorak sebanyak mungkin mekanisme keselamatan, dapat menjamin keselamatan yang maksimum.Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini 02 Disember 2010
  17. 17. Versi: 2.1 DASAR KESELAMATAN ICT JPA Muka Surat: 8 dari 98 PENILAIAN RISIKO KESELAMATAN ICT JPA hendaklah mengambil kira kewujudan risiko ke atas aset ICT akibat dari ancaman dan vulnerability yang semakin meningkat hari ini. Justeru itu JPA perlu mengambil langkah-langkah proaktif dan bersesuaian untuk menilai tahap risiko aset ICT supaya pendekatan dan keputusan yang paling berkesan dikenal pasti bagi menyediakan perlindungan dan kawalan ke atas aset ICT. JPA hendaklah melaksanakan penilaian risiko keselamatan ICT secara berkala dan berterusan bergantung kepada perubahan teknologi dan keperluan keselamatan ICT. Seterusnya mengambil tindakan susulan dan/atau langkah-langkah bersesuaian untuk mengurangkan atau mengawal risiko keselamatan ICT berdasarkan penemuan penilaian risiko. Penilaian risiko keselamatan ICT hendaklah dilaksanakan ke atas sistem maklumat JPA termasuklah aplikasi, perisian, perkakasan, pelayan, rangkaian, pangkalan data, sumber manusia, proses dan prosedur. Penilaian risiko ini hendaklah juga dilaksanakan di premis yang menempatkan sumber-sumber teknologi maklumat termasuklah pusat data, bilik media storan, kemudahan utiliti dan sistem-sistem sokongan lain. JPA bertanggungjawab melaksanakan dan menguruskan risiko keselamatan ICT selaras dengan keperluan Surat Pekeliling Am Bilangan 6 Tahun 2005: Garis Panduan Penilaian Risiko Keselamatan Maklumat Sektor Awam. JPA perlu mengenal pasti tindakan yang sewajarnya bagi menghadapi kemungkinan risiko berlaku dengan memilih tindakan berikut: 1. Mengurangkan risiko dengan melaksanakan kawalan yang bersesuaian; 2. Menerima dan/atau bersedia berhadapan dengan risiko yang akan terjadi selagi ia memenuhi kriteria yang telah ditetapkan oleh pengurusan atasan; 3. Mengelak dan/atau mencegah risiko dari terjadi dengan mengambil tindakan yang dapat mengelak dan/atau mencegah berlakunya risiko; dan 4. Memindahkan risiko ke pihak lain seperti pembekal, pakar runding dan pihak-pihak lain yang berkepentingan.Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini 02 Disember 2010
  18. 18. Versi: 2.1 DASAR KESELAMATAN ICT JPA Muka Surat: 9 dari 98 Kawalan 01: Dasar Keselamatan ICT Objektif DKICT JPA ini diwujudkan untuk melindungi aset ICT bagi memastikan kelancaran operasi jabatan secara berterusan, meminimumkan kerosakan atau kemusnahan aset-aset ICT melalui usaha pencegahan atau mengurangkan kesan kejadian yang tidak diingini berdasarkan kepada ciri-ciri keselamatan iaitu kerahsiaan, integriti, tidak boleh disangkal, kebolehsediaan dan kesahihan. K01/01 Pelaksanaan Dasar Pelaksanaan dasar ini akan dijalankan oleh Ketua Pengarah Perkhidmatan Awam (KPPA) dibantu oleh KPPA Jawatankuasa Pemandu ICT JPA (JPICT) yang terdiri daripada Ketua Pegawai Maklumat (CIO), Pegawai Keselamatan ICT (ICTSO) dan semua Pengarah Bahagian. K01/02 Penyebaran Dasar Dasar ini perlu disebarkan kepada semua yang terlibat dengan infrastruktur ICT JPA meliputi warga JPA, ICTSO pengguna dan pembekal. K01/03 Penyelenggaraan Dasar DKICT JPA adalah tertakluk kepada semakan dan pindaan dari semasa ke semasa selaras dengan ICTSO, JKICT perubahan teknologi, aplikasi, prosedur, perundangan dan kepentingan sosial. Berikut adalah prosedur yang berhubung dengan penyelenggaraan DKICT JPA: a. Mengenal pasti dan menentukan perubahan yang diperlukan;Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini 02 Disember 2010
  19. 19. Versi: 2.1 DASAR KESELAMATAN ICT JPA Muka Surat: 10 dari 98 b. Mengemukakan cadangan pindaan secara bertulis kepada ICTSO untuk tindakan dan pertimbangan Jawatankuasa Keselamatan ICT (JKICT); c. Memaklumkan perubahan yang telah dipersetujui oleh JKICT kepada semua pihak iaitu kakitangan, pengguna dan pembekal; dan d. Menyemak semula dokumen sekurang-kurangnya setahun sekali atau mengikut keperluan bagi memastikan dokumen sentiasa relevan. K01/04 Pematuhan Dasar DKICT JPA mestilah dipatuhi oleh semua warga JPA, Warga JPA, pengguna dan pembekal. Pengguna, PembekalJabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini 02 Disember 2010
  20. 20. Versi: 2.1 DASAR KESELAMATAN ICT JPA Muka Surat: 11 dari 98 Kawalan 02: Organisasi Keselamatan Objektif Menerangkan peranan dan tanggungjawab semua pihak yang terlibat dengan lebih jelas dan teratur dalam mencapai objektif DKICT JPA. K02/01 Infrastruktur Organisasi Dalaman K02/01/01 Ketua Pengarah Perkhidmatan Awam (KPPA) Peranan dan tanggungjawab KPPA adalah seperti berikut: a. Memastikan semua pengguna memahami KPPA peruntukan-peruntukan di bawah DKICT JPA; b. Memastikan semua pengguna mematuhi DKICT JPA; c. Memastikan semua keperluan jabatan seperti sumber kewangan, sumber kakitangan dan perlindungan keselamatan adalah mencukupi; dan d. Program keselamatan ICT dilaksanakan seperti yang ditetapkan di dalam DKICT JPA. K02/01/02 Ketua Pegawai Maklumat (CIO) Jawatan Ketua Pegawai Maklumat (CIO) adalah disandang oleh Timbalan Ketua Pengarah Perkhidmatan CIO Awam (Operasi). Peranan dan tanggungjawab CIO adalah seperti berikut: a. Bertanggungjawab ke atas perkara-perkara yang berkaitan dengan keselamatan ICT JPA;Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini 02 Disember 2010
  21. 21. Versi: 2.1 DASAR KESELAMATAN ICT JPA Muka Surat: 12 dari 98 b. Bertanggungjawab menyelaras dan mengurus pelan tindakan dan program keselamatan seperti penyediaan DKICT JPA, pelan latihan dan kesedaran pengguna, pengurusan risiko dan pengauditan; dan c. Menentukan keperluan keselamatan ICT. K02/01/03 Pegawai Keselamatan ICT (ICTSO) Jawatan Pegawai Keselamatan ICT (ICTSO) adalah disandang oleh Timbalan Pengarah Bahagian Pengurusan ICTSO Maklumat. Peranan dan tanggungjawab ICTSO adalah seperti berikut: a. Mempengerusikan Jawatankuasa Keselamatan ICT (JKICT); b. Mengurus keseluruhan program keselamatan ICT JPA; c. Menguatkuasakan pelaksanaan DKICT JPA di semua bahagian di JPA; d. Menjalankan pengurusan risiko dan audit keselamatan ICT berpandukan dokumen Malaysian Public Sector Management of Information and Communications (MyMIS) untuk mengenal pasti ketidakpatuhan kepada DKICT JPA; e. Mencadangkan langkah-langkah pengukuhan bagi mematuhi dasar-dasar berkaitan keselamatan ICTJabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini 02 Disember 2010
  22. 22. Versi: 2.1 DASAR KESELAMATAN ICT JPA Muka Surat: 13 dari 98 JPA; f. Melaporkan insiden keselamatan ICT kepada Pasukan Tindak Balas Insiden Keselamatan ICT Kerajaan (GCERT MAMPU) dan seterusnya membantu dalam penyiasatan atau pemulihan; g. Menjalankan program-program kesedaran mengenai keselamatan ICT; h. Menyedia dan menyebarkan amaran-amaran yang sesuai terhadap kemungkinan berlaku ancaman kepada keselamatan ICT dan menyediakan khidmat nasihat serta langkah pemulihan yang bersesuaian; i. Melaporkan insiden keselamatan ICT kepada CIO bagi insiden yang memerlukan Pelan Kesinambungan Perkhidmatan (Business Resumption Planning, BRP); j. Memastikan pematuhan DKICT JPA oleh pihak luaran seperti perunding, kontraktor dan pembekal yang mencapai dan menggunakan aset ICT JPA untuk tujuan penyelenggaraan, pemasangan, naik taraf dan sebagainya; k. Menyemak, mengkaji dan menyediakan laporan berkaitan dengan isu-isu keselamatan ICT; l. Memastikan DKICT JPA dikemas kini sesuai dengan perubahan teknologi, arahan jabatan dan ancaman- ancaman dari semasa ke semasa; dan m. Memastikan Pelan Strategik ICT JPA mengandungiJabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini 02 Disember 2010
  23. 23. Versi: 2.1 DASAR KESELAMATAN ICT JPA Muka Surat: 14 dari 98 aspek keselamatan ICT. K02/01/04 Pengurus ICT Jawatan Pengurus ICT disandang oleh tiga wakil iaitu Pengarah Bahagian Pengurusan Maklumat (PBM), Pengurus ICT Timbalan Pengarah Bahagian Pasca Perkhidmatan (TPB(P)ICT) dan Timbalan Pengarah INTAN (ICT). Peranan dan tanggungjawab Pengurus ICT adalah seperti berikut: a. Memastikan DKICT JPA dilaksanakan di bahagian; b. Memastikan semua kakitangan, perunding, kontraktor dan pembekal yang terlibat dengan bahagian mematuhi dasar, piawaian dan garis panduan keselamatan ICT dan seterusnya melaporkan sebarang insiden berkaitan keselamatan ICT; c. Mengkaji semula aspek-aspek keselamatan fizikal seperti kemudahan backup dan persekitaran pejabat yang perlu, dengan persetujuan ICTSO; d. Melaksanakan keperluan DKICT dalam operasi semasa seperti berikut: i. pelaksanaan sistem atau aplikasi baru sama ada dibangunkan secara dalaman atau luaran yang melibatkan teknologi baru; ii. pembelian atau peningkatan perisian dan sistem komputer; iii. perolehan teknologi dan perkhidmatanJabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini 02 Disember 2010
  24. 24. Versi: 2.1 DASAR KESELAMATAN ICT JPA Muka Surat: 15 dari 98 komunikasi baru; dan iv. pelantikan pembekal, perunding atau rakan usahasama. e. Menyimpan rekod atau laporan terkini tentang ancaman keselamatan. Sebarang perkara atau penemuan ancaman terhadap keselamatan ICT hendaklah dilaporkan kepada ICTSO; f. Membangunkan garis panduan, prosedur dan tatacara untuk aplikasi-aplikasi khusus dalam jabatan yang mematuhi keperluan DKICT JPA; g. Membangun, mengkaji semula dan mengemas kini pelan kontingensi keselamatan ICT di bahagian; dan h. Melaksanakan sistem kawalan capaian pengguna ke atas aset-aset ICT JPA. K02/01/05 Pentadbir Sistem Pentadbir Sistem terdiri daripada seperti berikut: a. Pentadbir Rangkaian; b. Pentadbir Pangkalan Data; c. Pentadbir Laman Web (Web Master); d. Pentadbir Pusat Data; e. Pentadbir Sistem Aplikasi; dan f. Pentadbir E-mel.Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini 02 Disember 2010
  25. 25. Versi: 2.1 DASAR KESELAMATAN ICT JPA Muka Surat: 16 dari 98 Pentadbir Rangkaian Peranan dan tanggungjawab Pentadbir Rangkaian adalah seperti berikut: a. Memastikan rangkaian setempat (LAN) dan rangkaian luas (WAN) di JPA beroperasi sepanjang masa; b. Memastikan semua peralatan dan perisian rangkaian diselenggarakan dengan sempurna; c. Merancang peningkatan infrastruktur, ciri-ciri keselamatan dan prestasi rangkaian sedia ada; d. Mengesan dan mengambil tindakan pembaikan segera ke atas rangkaian yang tidak stabil; e. Memantau penggunaan rangkaian dan melaporkan kepada ICTSO sekiranya berlaku penyalahgunaan sumber rangkaian; f. Memastikan laluan trafik keluar dan masuk diuruskan secara berpusat dan tidak membenarkan sambungan ke rangkaian JPA secara tidak sah seperti melalui peralatan modem dan dial-up; dan g. Menyediakan zon khas rangkaian untuk tujuan pengujian peralatan dan perisian rangkaian. Pentadbir Pangkalan Data Peranan dan tanggungjawab Pentadbir Pangkalan Data adalah seperti berikut:Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini 02 Disember 2010
  26. 26. Versi: 2.1 DASAR KESELAMATAN ICT JPA Muka Surat: 17 dari 98 a. Melaksanakan instalasi dan penambahbaikan pangkalan data serta perisian lain yang berkaitan dengan pangkalan data; b. Memastikan pangkalan data boleh digunakan pada setiap masa; c. Melaksanakan pemantauan dan penyelenggaraan yang berterusan ke atas pangkalan data; d. Melaksanakan proses backup dan restoration ke atas pangkalan data; e. Memastikan aktiviti pentadbiran pangkalan data seperti prestasi capaian, penyelesaian masalah pangkalan data dan proses pengemaskinian data dilaksanakan dengan teratur; f. Melaksanakan polisi pengguna pangkalan data berdasarkan kepada prinsip-prinsip DKICT; g. Melaksanakan proses pembersihan data (housekeeping) di dalam pangkalan data; dan h. Melaporkan sebarang insiden pelanggaran dasar keselamatan pangkalan data kepada ICTSO. Pentadbir Laman Web (Web Master) Peranan dan tanggungjawab Pentadbir Laman Web adalah seperti berikut: a. Menerima kandungan laman web yang telah disahkan kesahihan dan terkini daripada sumberJabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini 02 Disember 2010
  27. 27. Versi: 2.1 DASAR KESELAMATAN ICT JPA Muka Surat: 18 dari 98 yang sah; b. Memantau prestasi capaian dan menjalankan penalaan prestasi untuk memastikan akses yang lancar; c. Memantau dan menganalisis log untuk mengesan sebarang capaian yang tidak sah atau cubaan menggodam, menceroboh dan mengubahsuai muka laman; d. Menghadkan capaian Pentadbir Laman Web bahagian ke web server; e. Mengasingkan kandungan dan aplikasi atas talian untuk capaian secara Intranet dan Internet ke portal JPA; f. Memastikan data-data SULIT tidak boleh disalin atau dicetak oleh orang yang tidak berhak; g. Memastikan reka bentuk web dibangunkan dengan ciri-ciri keselamatan supaya tidak dicerobohi; h. Melaksanakan housekeeping keselamatan terhadap sistem pengoperasian dan perisian-perisian lain di web server; i. Melaksanakan proses backup dan restoration secara berkala; dan j. Melaporkan sebarang pelanggaran keselamatan laman portal kepada ICTSO.Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini 02 Disember 2010
  28. 28. Versi: 2.1 DASAR KESELAMATAN ICT JPA Muka Surat: 19 dari 98 Pentadbir Pusat Data Peranan dan tanggungjawab Pentadbir Pusat Data adalah seperti berikut: a. Memastikan persekitaran fizikal dan keselamatan pusat data berada dalam keadaan baik dan selamat; b. Memastikan keselamatan data dan sistem aplikasi yang berada dalam Pusat Data; c. Menjadualkan proses salinan (backup and restore) ke atas data dan sistem secara berkala; d. Menyediakan perancangan bencana mengikut prinsip Pengurusan Kesinambungan Pekhidmatan dalam DKICT; e. Melaksanakan prinsip-prinsip DKICT; dan f. Memastikan Pusat Data sentiasa beroperasi mengikut polisi yang telah ditetapkan. Pentadbir Sistem Aplikasi Peranan dan tanggungjawab Pentadbir Sistem Aplikasi adalah seperti berikut: a. Mengkaji cadangan pembangunan/penyelarasan sistem/modul di JPA; b. Membuat kajian semula serta memperbaiki sistem / modul sedia ada di JPA;Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini 02 Disember 2010
  29. 29. Versi: 2.1 DASAR KESELAMATAN ICT JPA Muka Surat: 20 dari 98 c. Membuat pertimbangan dan mengusulkan cadangan pelaksanaan sistem / modul di JPA; d. Membuat pemantauan dan penyelenggaraan terhadap sistem / modul dari masa ke semasa; e. Bertanggungjawab dalam aspek-aspek pelaksanaan keseluruhan sistem / modul; f. Menyediakan dokumentasi sistem / modul dan manual pengguna; g. Memastikan kelancaran operasi sistem aplikasi supaya perkhidmatan yang disediakan tidak terjejas; h. Memastikan kod-kod program sistem aplikasi adalah selamat daripada penggodam sebelum sistem tersebut diaktifkan penggunaanya; i. Memastikan virus pattern, hotfix dan patch yang berkaitan dengan sistem aplikasi terkemaskini supaya terhindar daripada ancaman virus dan penggodam; j. Mematuhi dan melaksanakan prinsip-prinsip DKICT dalam pewujudkan akaun pengguna ke atas setiap sistem aplikasi; k. Memastikan sandaran (backup) sistem aplikasi dan data yang berkaitan dengannya dibuat secara berjadual;Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini 02 Disember 2010
  30. 30. Versi: 2.1 DASAR KESELAMATAN ICT JPA Muka Surat: 21 dari 98 l. Menghadkan capaian Dokumentasi Sistem Aplikasi bagi mengelakkan dari penyalahgunaannya; m. Melaporkan kepada ICTSO jika berlakunya insiden keselamatan ke atas sistem aplikasi di bawah pentadbirannya; dan n. Menjadi ahli Jawatankuasa Keselamatan ICT (JKICT) JPA. Pentadbir E-mel Peranan dan tanggungjawab Pentadbir E-mel adalah seperti berikut: a. Menentukan setiap akaun yang diwujudkan atau dibatalkan telah mendapat kelulusan Ketua Jabatan. Pembatalan akaun (pengguna yang berhenti, bertukar dan melanggar dasar dan tatacara jabatan) perlulah dilakukan dengan segera atas tujuan keselamatan maklumat; b. Pentadbir e-mel boleh membekukan akaun pengguna jika perlu semasa pengguna bercuti panjang, berkursus atau menghadapi tindakan tatatertib; c. Menyimpan jejak audit selama sekurang-kurangnya enam (6) bulan di dalam pelayan e-mel tertakluk kepada kemampuan ruang storan; d. Melaksanakan jadual penstoran dan pengarkiban e- mel. Penyimpanan media storan sama ada di luar atau di dalam kawasan mestilah mempunyai ciri-ciriJabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini 02 Disember 2010
  31. 31. Versi: 2.1 DASAR KESELAMATAN ICT JPA Muka Surat: 22 dari 98 keselamatan fizikal yang terjamin bagi mengelak daripada sebarang risiko seperti kehilangan maklumat; e. Memastikan akaun e-mel pengguna sentiasa dalam keadaan baik dan berfungsi; f. Melaksanakan aktiviti housekeeping terhadap akaun e-mel pengguna secara berkala; g. Memastikan keselamatan akaun e-mel pengguna dari ancaman luar dan dalam; h. Memaklumkan kepada Ketua Jabatan sekiranya mengalami insiden keselamatan seperti serangan virus, serangan e-mail spamming, phishing, pencerobohan e-mel dan penyalahgunaan e-mel. Pentadbir e-mel hendaklah mengurus dan menangani insiden yang berlaku dengan segera dan sistematik sehingga keadaan kembali pulih; i. Melaksanakan penyelenggaraan ke atas sistem e- mel dengan baik dan menentukan segala patches terkini yang disediakan oleh pihak pembekal dipasang dan berfungsi dengan sempurna; j. Memantau status storan e-mel Pengurusan Atasan JPA dua (2) kali sehari dan memastikan e-mel Pengurusan Atasan JPA sentiasa tersedia untuk transaksi e-mel; k. Memastikan semua peralatan sistem e-mel JPA sentiasa aktif; l. Menyediakan ruang mailbox yang mencukupiJabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini 02 Disember 2010
  32. 32. Versi: 2.1 DASAR KESELAMATAN ICT JPA Muka Surat: 23 dari 98 sekurang-kurangnya 100MB untuk setiap akaun e- mel dan jumlah ini adalah bergantung kepada keperluan pemilik akaun e-mel; m. Menggunakan kaedah inovatif dalam penghantaran fail bersaiz besar seperti menggunakan kaedah muat-turun fail dengan memaklumkan lokasi universal resource location (URL) atau kaedah pemampatan untuk mengurangkan saiz fail dengan memastikan ciri-ciri keselamatan dilaksanakan; n. Memastikan perjanjian penyelenggaraan sistem e- mel pada tahap premium (premium service) dengan pembekal-pembekal yang berkelayakan; o. Memastikan agar keupayaan mail relay hanya boleh digunakan untuk server atau aplikasi dalaman JPA sahaja bagi tujuan keselamatan; p. Memastikan kemudahan membuat capaian e-mel melalui pelbagai media seperti telefon mudah alih; dan q. Memastikan pengguna e-mel JPA berkemahiran menggunakan e-mel melalui penyediaan dokumen tatacara penggunaan e-mel JPA dan Internet JPA serta pelaksanaan Kursus Pembudayaan ICT (Penggunaan E-mel dan Internet) secara berterusan. K02/01/06 Pengguna Peranan dan tanggungjawab pengguna adalah seperti berikut: Pengguna a. Pengguna warga JPA dan pihak luaran perluJabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini 02 Disember 2010
  33. 33. Versi: 2.1 DASAR KESELAMATAN ICT JPA Muka Surat: 24 dari 98 membaca, memahami dan mematuhi DKICT JPA; b. Mengetahui dan memahami implikasi keselamatan ICT kesan dari tindakannya; c. Menjalani tapisan keselamatan sekiranya dikehendaki berurusan dengan maklumat rasmi terperingkat; d. Melaksanakan prinsip-prinsip DKICT dan menjaga kerahsiaan maklumat JPA; e. Melaksanakan langkah-langkah perlindungan seperti berikut: i. menghalang pendedahan maklumat kepada pihak yang tidak dibenarkan; ii. memeriksa maklumat dan menentukan ia tepat dan lengkap dari semasa ke semasa; iii. menentukan maklumat sedia untuk digunakan; iv. menjaga kerahsiaan kata laluan; v. mematuhi standard, prosedur, langkah dan garis panduan keselamatan ICT yang ditetapkan; vi. melaksanakan peraturan berkaitan maklumat terperingkat terutama semasa pewujudan, pemprosesan, penyimpanan, penghantaran, penyampaian, pertukaran dan pemusnahan; dan vii. menjaga kerahsiaan langkah-langkah keselamatan ICT dari diketahui umum. f. Melaporkan sebarang aktiviti yang mengancamJabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini 02 Disember 2010
  34. 34. Versi: 2.1 DASAR KESELAMATAN ICT JPA Muka Surat: 25 dari 98 keselamatan ICT kepada ICTSO dengan segera; g. Menghadiri program-program kesedaran mengenai keselamatan ICT; dan h. Menandatangani surat akuan pematuhan DKICT JPA seperti di Lampiran 1. K02/01/07 Jawatankuasa Pemandu ICT (JPICT) JPA Keanggotaan JPICT adalah seperti berikut: CIO Pengerusi: CIO Ahli: Pengarah Bahagian Perkhidmatan Pengarah Bahagian Pembangunan Organisasi Pengarah INTAN Pengarah Bahagian Pembangunan Modal Insan Pengarah Bahagian Khidmat Pengurusan Pangarah Bahagian Saraan Pengarah Bahagian Pasca Perkhidmatan Pengarah Bahagian Perancangan, Penyelidikan dan Korporat Pengarah Bahagian Pengurusan Psikologi Pengarah Bahagian Pengurusan Maklumat Timbalan Pengarah ICT Bahagian Pasca Perkhidmatan (BP), BPM dan INTAN Penasihat Undang-undang (PUU) Ketua Unit Audit Dalam ICTSOJabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini 02 Disember 2010
  35. 35. Versi: 2.1 DASAR KESELAMATAN ICT JPA Muka Surat: 26 dari 98 Ahli-ahli Jemputan (bila perlu): MAMPU Perbendaharaan Urus Setia: BPM Bidang Kuasa: a. Menetapkan arah tuju dan strategi ICT untuk pelaksanaan ICT JPA; b. Merancang, menyelaras dan memantau pelaksanaan program/projek ICT JPA; c. Menyelaras dan menyeragamkan pelaksanaan ICT agar selari dengan Pelan Strategik Teknologi Maklumat (PSTM) JPA dan PSTM Sektor Awam; d. Meluluskan projek-projek ICT; e. Mengikuti dan memantau perkembangan program ICT serta memahami keperluan, masalah dan isu- isu yang dihadapi dalam pelaksanaan ICT; f. Merancang dan menentukan langkah-langkah keselamatan ICT; g. Mengemukakan perolehan ICT yang telah diluluskan di peringkat JPICT JPA kepada Jawatankuasa Teknikal ICT (JTICT) MAMPU untuk kelulusan; h. Mengemukakan laporan kemajuan projek ICT yang diluluskan kepada JTICT MAMPU; danJabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini 02 Disember 2010
  36. 36. Versi: 2.1 DASAR KESELAMATAN ICT JPA Muka Surat: 27 dari 98 i. Menetapkan dasar dan prosedur pengurusan laman web / portal JPA. K02/01/08 Jawatankuasa Keselamatan ICT (JKICT) JPA Keanggotaan JKICT adalah seperti berikut: ICTSO Pengerusi: ICTSO Ahli: Ketua JPACERT Pentadbir Pusat Data – BPM, BP, dan INTAN Pentadbir Sistem (System Administrator) – BPM, BP dan INTAN Pentadbir Sistem Aplikasi – BPM, BP dan INTAN Pentadbir Rangkaian (Network Administrator) – BPM, BP dan INTAN Pentadbir Laman Web (Web Master) – BPM, BP dan INTAN Pentadbir Pangkalan Data (Database Administrator) – BPM, BP dan INTAN Pegawai Meja Bantuan (Helpdesk Officer) – BPM, BP dan INTAN Penyelaras Program Latihan INTAN Wakil Pegawai Keselamatan Jabatan JPA Urus Setia: BPMJabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini 02 Disember 2010
  37. 37. Versi: 2.1 DASAR KESELAMATAN ICT JPA Muka Surat: 28 dari 98 Bidang Kuasa: a. Menyelenggara dokumen DKICT JPA; b. Memantau tahap pematuhan DKICT JPA; c. Menilai aspek teknikal keselamatan projek-projek ICT; d. Membangunkan garis panduan, prosedur dan tatacara untuk aplikasi-aplikasi khusus dalam jabatan yang mematuhi keperluan DKICT JPA; e. Menyemak semula sistem ICT supaya sentiasa mematuhi keperluan keselamatan dari semasa ke semasa; f. Menilai teknologi yang bersesuaian dan mencadangkan penyelesaian terhadap keperluan keselamatan ICT; g. Memastikan DKICT JPA selaras dengan dasar-dasar ICT kerajaan semasa; h. Bekerjasama dengan JPACERT untuk mendapatkan maklum balas dan insiden untuk tindakan penyelenggaraan DKICT JPA; dan i. Membincang tindakan yang melibatkan pelanggaran DKICT JPA.Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini 02 Disember 2010
  38. 38. Versi: 2.1 DASAR KESELAMATAN ICT JPA Muka Surat: 29 dari 98 K02/01/09 Pasukan Tindak Balas Insiden Keselamatan ICT (JPACERT) Keanggotaan JPACERT adalah seperti berikut: KPP(M)TP Pengerusi: KPP(M)TP Ahli : Pegawai Teknologi Maklumat – BPM, BP dan INTAN Penolong Pegawai Teknologi Maklumat – BPM, BP dan INTAN Urus Setia: BPM Peranan dan tanggungjawab JPACERT adalah seperti berikut: a. Menerima dan mengesan aduan keselamatan ICT dan menilai tahap dan jenis insiden; b. Merekod dan menjalankan siasatan awal insiden yang diterima; c. Menangani tindak balas (response) insiden keselamatan ICT dan mengambil tindakan baik pulih minimum; d. Menghubungi dan melaporkan insiden yang berlaku kepada ICTSO dan GCERT MAMPU sama ada sebagai input atau untuk tindakan seterusnya; e. Merujuk agensi-agensi di bawah kawalannya untuk mengambil tindakan pemulihan dan pengukuhan;Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini 02 Disember 2010
  39. 39. Versi: 2.1 DASAR KESELAMATAN ICT JPA Muka Surat: 30 dari 98 dan f. Melaporkan sebarang maklumbalas dan insiden keselamatan ICT kepada JKICT. K02/02 Pihak Luaran K02/02/01 Keperluan Keselamatan Dalam Kontrak ICT Perkara yang perlu dipatuhi: Pengurus ICT, a. Mengenal pasti risiko ke atas keselamatan maklumat Pentadbir Sistem dan memastikan pelaksanaan kawalan yang sesuai ke atas maklumat tersebut; b. Memastikan semua syarat keselamatan dinyatakan dengan jelas dalam perjanjian dengan pihak ketiga; c. Akses kepada aset ICT JPA perlu berlandaskan perjanjian kontrak. Perjanjian yang dimeterai perlu mematuhi perkara-perkara berikut: i. DKICT JPA; ii. Tapisan Keselamatan; iii. Arahan Teknologi Maklumat 2007 (IT Instructions); iv. Perakuan Akta Rahsia Rasmi 1972; dan v. Hak Harta Intelek. d. Menandatangani Surat Akuan Pematuhan DKICT JPA seperti di Lampiran 1.Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini 02 Disember 2010
  40. 40. Versi: 2.1 DASAR KESELAMATAN ICT JPA Muka Surat: 31 dari 98 Kawalan 03: Pengurusan Aset ICT Objektif Memberikan perlindungan keselamatan yang bersesuaian ke atas semua aset ICT JPA. K03/01 Akauntabiliti Aset ICT Memberi dan menyokong perlindungan yang bersesuaian ke atas semua aset ICT JPA. K03/01/01 Inventori Aset ICT Tanggungjawab yang perlu dipatuhi untuk memastikan semua aset ICT dikawal dan dilindungi: Pegawai Aset, Pengguna a. Memastikan semua aset ICT dikenal pasti, dikelas, didokumen, diselenggara dan dilupuskan apabila tiba masanya. Maklumat aset direkod dan dikemaskini dalam Kad Daftar Harta Modal dan Inventori sebagaimana mengikut Pekeliling Perbendaharaan Bil.5 Tahun 2007: Tatacara Pengurusan Aset Alih Kerajaan (TPA); b. Memastikan semua aset ICT mempunyai pemilik dan dikendalikan oleh pengguna yang dibenarkan sahaja; c. Memastikan semua pengguna mengesahkan penempatan aset ICT yang ditempatkan di JPA; d. Memastikan semua peraturan pengendalian aset ICT dikenalpasti, didokumen dan dilaksanakan; dan e. Setiap pengguna adalah bertanggungjawab ke atas semua aset ICT di bawah kawalannya.Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini 02 Disember 2010
  41. 41. Versi: 2.1 DASAR KESELAMATAN ICT JPA Muka Surat: 32 dari 98 K03/02 Pengelasan Maklumat Maklumat hendaklah dikelaskan berasaskan nilai, keperluan perundangan, tahap sensitiviti dan tahap kritikal kepada Pegawai Pengelas JPA. Setiap maklumat yang dikelaskan mestilah mempunyai peringkat keselamatan sebagaimana yang telah ditetapkan di dalam dokumen Arahan Keselamatan seperti berikut: a. Rahsia Besar; b. Rahsia; c. Sulit; atau d. Terhad. K03/03 Pengendalian Maklumat Aktiviti pengendalian maklumat seperti mengumpul, memproses, menyimpan, menghantar, menyampai, Semua menukar dan memusnahkan hendaklah mengambil kira langkah-langkah keselamatan berikut: a. Menghalang pendedahan maklumat kepada pihak yang tidak dibenarkan; b. Memeriksa maklumat dan menentukan ia tepat dan lengkap dari semasa ke semasa; c. Menentukan maklumat sedia untuk digunakan; d. Menjaga kerahsiaan kata laluan; e. Mematuhi standard, prosedur, langkah dan garis panduan keselamatan ICT yang ditetapkan;Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini 02 Disember 2010
  42. 42. Versi: 2.1 DASAR KESELAMATAN ICT JPA Muka Surat: 33 dari 98 f. Melaksanakan peraturan maklumat terperingkat terutama semasa pewujudan, pemprosesan, penyimpanan, penghantaran, penyampaian, pertukaran dan pemusnahan; dan g. Menjaga kerahsiaan langkah-langkah keselamatan ICT daripada diketahui umum.Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini 02 Disember 2010
  43. 43. Versi: 2.1 DASAR KESELAMATAN ICT JPA Muka Surat: 34 dari 98 Kawalan 04: Keselamatan Sumber Manusia Objektif Memastikan semua sumber manusia yang terlibat termasuk warga JPA, pembekal, pakar runding dan pihak-pihak yang berkepentingan memahami tanggungjawab dan peranan serta meningkatkan pengetahuan dalam keselamatan aset ICT. Semua warga JPA hendaklah mematuhi terma dan syarat perkhidmatan dan peraturan semasa yang berkuat kuasa. K04/01 Sebelum Perkhidmatan Memastikan warga JPA, pembekal, pakar runding dan pihak-pihak lain yang berkepentingan memahami Pengurus ICT tanggungjawab masing-masing ke atas keselamatan aset ICT bagi meminimumkan risiko seperti kesilapan, kecuaian, penipuan dan penyalahgunaan aset ICT. Perkara yang mesti dipatuhi termasuk yang berikut: a. Menyatakan dengan lengkap dan jelas peranan dan tanggungjawab warga JPA, pembekal, pakar runding dan pihak-pihak lain yang berkepentingan ke atas keselamatan ICT sebelum, semasa dan selepas perkhidmatan; b. Menjalankan tapisan keselamatan untuk warga JPA, pembekal, pakar runding dan pihak-pihak lain yang berkepentingan selaras dengan keperluan perkhidmatan; dan c. Mematuhi terma dan syarat perkhidmatan yang ditawarkan dan peraturan semasa yang berkuat kuasa berdasarkan perjanjian yang telahJabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini 02 Disember 2010

×