Slaid Pembentangan DKICT NRE
Slaid Pembentangan DKICT NRE
Slaid Pembentangan DKICT NRE
- No tags were found...
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
Kementerian Sumber Asli dan Alam Sekitar<br />
DASAR KESELAMATAN TEKNOLOGI<br />
MAKLUMAT DAN KOMUNIKASI<br />
Marsineh binti Jarmin<br />
08 Februari 2013
Kandungan<br />
Dasar Keselamatan<br />
Organisasi Keselamatan Maklumat<br />
Pengurusan Aset<br />
Pengurusan Sumber Manusia<br />
Keselamatan Fizikal dan Persekitaran<br />
Pengurusan Operasi dan Komunikasi<br />
2<br />
Program Kesedaran Keselamatan ICT <strong>NRE</strong>
Kandungan<br />
Kawalan Capaian<br />
Perolehan, Pembangunan dan Penyelenggaraan Sistem Maklumat<br />
Pengurusan Pengendalian Insiden Keselamatan<br />
Pengurusan Kesinambungan Perkhidmatan<br />
Pematuhan<br />
3<br />
Program Kesedaran Keselamatan ICT <strong>NRE</strong>
Perkara 1: Dasar Keselamatan<br />
Kementerian Sumber Asli dan Alam Sekitar (<strong>NRE</strong>)<br />
bertanggungjawab memastikan keselamatan aset maklumat<br />
(perkakasan, perisian, data/ maklumat, perkhidmatan dan<br />
individu) yang dimiliki atau dikawal selia bebas daripada<br />
ancaman dan risiko yang tidak boleh diterima<br />
Prinsip utama keselamatan maklumat:<br />
i. Kerahsiaan (confidentiality)<br />
ii.<br />
iii.<br />
Integriti (integrity)<br />
Kebolehsediaan (availability)<br />
4<br />
Program Kesedaran Keselamatan ICT <strong>NRE</strong>
Perkara 1: Dasar Keselamatan – smbg.<br />
Prinsip Dasar Keselamatan ICT <strong>NRE</strong><br />
i. Capaian Atas Dasar Perlu Tahu<br />
ii. Hak Capaian Minimum<br />
iii. Akauntabiliti<br />
iv. Pengasingan<br />
v. Pengauditan<br />
vi.<br />
vii.<br />
Pematuhan<br />
Pemulihan<br />
viii. Saling bergantung<br />
5<br />
Program Kesedaran Keselamatan ICT <strong>NRE</strong>
Perkara 1: Dasar Keselamatan – smbg.<br />
Pemakaian <strong>DKICT</strong> <strong>NRE</strong><br />
Semua pengguna aset ICT termasuk pembekal dan pakar runding<br />
yang berurusan dengan <strong>NRE</strong><br />
Semakan dan Pindaan Dasar<br />
<strong>DKICT</strong> <strong>NRE</strong> tertakluk kepada semakan dan pindaan dari semasa<br />
ke semasa selaras dengan perubahan teknologi, aplikasi, prosedur,<br />
perundangan dan kepentingan sosial<br />
6<br />
Program Kesedaran Keselamatan ICT <strong>NRE</strong>
Perkara 2: Organisasi Keselamatan<br />
Maklumat<br />
Memastikan rangka kerja diwujudkan bagi menjamin<br />
pelaksanaan pengurusan keselamatan ICT yang sistematik dan<br />
berkesan<br />
i. Tanggungjawab Pengurusan Keselamatan ICT<br />
KSU, CIO, ICTSO, Pengurus ICT, Pentadbir Sistem dan<br />
pengguna<br />
ii.<br />
iii.<br />
iv.<br />
Jawatankuasa Keselamatan ICT<br />
Sistem Pengauditan<br />
Penasihat Undang-undang<br />
v. Pengurusan Sumber Manusia<br />
vi.<br />
Pengguna Luaran/ Asing<br />
7<br />
Program Kesedaran Keselamatan ICT <strong>NRE</strong>
Perkara 3: Pengurusan Aset<br />
Setiap aset hendaklah dikenal pasti, di kelas, di rekod dan di<br />
selenggara untuk memberikan perlindungan keselamatan yang<br />
bersesuaian ke atas semua aset ICT<br />
Diuruskan mengikut tatacara yang telah ditetapkan dalam<br />
Pekeliling Perbendaharaan Bil. 5 Tahun 2007 - Tatacara<br />
Pengurusan Aset Alih Kerajaan<br />
8<br />
Program Kesedaran Keselamatan ICT <strong>NRE</strong>
Perkara 3: Pengurusan Aset – smbg.<br />
Tanggungjawab Pengurusan Aset<br />
<br />
<br />
<br />
<br />
Pemilik aset ICT menentukan tahap sensitiviti (terperingkat)<br />
setiap aset maklumat<br />
Pentadbir aset ICT menentukan prosedur kawalan khas<br />
Pengguna aset ICT mematuhi keperluan kawalan yang ditetapkan<br />
oleh pemilik aset atau pentadbir aset<br />
Kehilangan/ kecurian aset ICT mestilah dilaporkan serta merta<br />
mengikut prosedur pengurusan kehilangan/ kecurian aset<br />
berpandukan Arahan Perbendaharaan yang telah ditetapkan<br />
9<br />
Program Kesedaran Keselamatan ICT <strong>NRE</strong>
Perkara 3: Pengurusan Aset – smbg.<br />
Pengelasan Maklumat<br />
Berasaskan nilai, keperluan perundangan, tahap sensitiviti dan<br />
tahap kritikal kepada Kerajaan berdasarkan kepada peraturanperaturan<br />
Pejabat Ketua Pegawai Keselamatan Kerajaan Malaysia<br />
Klasifikasi maklumat:<br />
i. Rahsia Besar<br />
ii. Rahsia<br />
iii. Sulit<br />
iv. Terhad<br />
10<br />
Program Kesedaran Keselamatan ICT <strong>NRE</strong>
Perkara 3: Pengurusan Aset – smbg.<br />
Pelabelan dan Pengendalian Maklumat<br />
<br />
Berdasarkan kepada peraturan-peraturan Pejabat Ketua Pegawai<br />
Keselamatan Kerajaan Malaysia/ Arahan Keselamatan<br />
Akauntabiliti Terhadap Aset ICT<br />
<br />
Mewujudkan senarai maklumat aset dengan mengenal pasti<br />
pemilik dan lokasi semasa aset dan disimpan oleh Ketua Jabatan/<br />
Bahagian<br />
11<br />
Program Kesedaran Keselamatan ICT <strong>NRE</strong>
Perkara 4: Pengurusan Sumber Manusia<br />
Memastikan semua pihak yang terlibat dalam pengurusan dan<br />
penggunaan ICT hendaklah bertanggungjawab dan memahami<br />
peranan masing-masing mengikut peraturan berkaitan<br />
keselamatan ICT yang berkuat kuasa<br />
Sebelum Berkhidmat<br />
Mematuhi semua terma dan syarat perkhidmatan yang ditetapkan<br />
Dalam Perkhidmatan<br />
Mengurus keselamatan aset ICT<br />
Memastikan tindakan disiplin dan atau undang-undang dilaksanakan<br />
sekiranya berlaku pelanggaran peraturan<br />
Mengikuti program kesedaran keselamatan ICT dua (2)<br />
kali setahun<br />
12<br />
Program Kesedaran Keselamatan ICT <strong>NRE</strong>
Perkara 4: Pengurusan Sumber Manusia –<br />
smbg.<br />
Latihan<br />
Diberikan kepada semua kakitangan <strong>NRE</strong> mengikut kesesuaian<br />
bidang tugas dan secara berterusan<br />
Setiap kakitangan <strong>NRE</strong> bertanggungjawab mengenal pasti<br />
latihan yang diperlukan dan Ketua Jabatan/ Bahagian mengkaji<br />
semula keperluan latihan untuk setiap kakitangan di bawahnya<br />
Keselamatan ICT Dalam Senarai Tugas<br />
Peranan dan tanggungjawab dalam keselamatan ICT harus<br />
didokumenkan di dalam senarai tugas<br />
Senarai tugas mesti mengandungi perkara berikut:<br />
i. Tanggungjawab kakitangan<br />
ii. Hubungan dengan pegawai atasan<br />
iii. Tanggungjawab kakitangan dalam keselamatan ICT<br />
13<br />
Program Kesedaran Keselamatan ICT <strong>NRE</strong>
Perkara 4: Pengurusan Sumber Manusia –<br />
smbg.<br />
Bertukar atau Tamat Perkhidmatan<br />
Memastikan semua aset ICT dikembalikan kepada <strong>NRE</strong> mengikut<br />
peraturan dan atau terma perkhidmatan yang ditetapkan<br />
Membatalkan atau menarik balik semua kebenaran capaian ke atas<br />
aset ICT mengikut peraturan yang ditetapkan<br />
14<br />
Program Kesedaran Keselamatan ICT <strong>NRE</strong>
Perkara 5: Keselamatan Fizikal dan<br />
Persekitaran<br />
Memastikan premis dan kemudahan ICT ditempatkan di<br />
kawasan yang selamat dan dilindungi daripada sebarang<br />
ancaman fizikal dan persekitaran<br />
Kawalan Kawasan Terperingkat<br />
Menggunakan parameter keselamatan (halangan seperti dinding, pagar<br />
kawalan, pengawal keselamatan) untuk melindungi kawasan yang<br />
mengandungi maklumat dan kemudahan pemprosesan maklumat<br />
Keselamatan Peralatan ICT dan Dokumen<br />
Perlindungan dari sebarang kehilangan, kerosakan, kecurian atau<br />
kompromi ke atas aset ICT dan gangguan ke atas sistem<br />
penyampaian kementerian<br />
15<br />
Program Kesedaran Keselamatan ICT <strong>NRE</strong>
Perkara 5: Keselamatan Fizikal dan<br />
Persekitaran – smbg.<br />
Prasarana Sokongan<br />
Mengambil kira aspek kawalan persekitaran, bekalan kuasa,<br />
prosedur kecemasan dan keselamatan rangkaian<br />
Penyelenggaraan Peralatan<br />
Di senggara berdasarkan peraturan-peraturan semasa bagi<br />
memastikan kebolehsediaan, kerahsiaan dan integriti<br />
Peminjaman Peralatan<br />
Hendaklah mendapat kelulusan mengikut peraturan yang telah<br />
ditetapkan oleh <strong>NRE</strong><br />
Pengendalian Peralatan Luar yang dibawa Masuk/ Keluar<br />
Mengambil langkah keselamatan seperti memastikan peralatan<br />
yang di bawa masuk tidak mengancam keselamatan ICT <strong>NRE</strong><br />
16<br />
Program Kesedaran Keselamatan ICT <strong>NRE</strong>
Perkara 5: Keselamatan Fizikal dan<br />
Persekitaran – smbg.<br />
Pelupusan Peralatan<br />
Peralatan ICT yang hendak dilupuskan perlu melalui prosedur<br />
pelupusan semasa<br />
Clear Desk dan Clear Screen<br />
Perlu dipatuhi supaya maklumat dalam apa jua bentuk media<br />
hendaklah disimpan dengan teratur dan selamat bagi mengelakkan<br />
kerosakan, kecurian atau kehilangan<br />
Melaporkan Kehilangan atau Kecurian Kad Kakitangan<br />
Kad kakitangan yang hilang atau dicuri mestilah dilaporkan serta<br />
merta oleh pemilik kad kepada pihak yang berkenaan<br />
17<br />
Program Kesedaran Keselamatan ICT <strong>NRE</strong>
Perkara 6: Pengurusan Operasi dan<br />
Komunikasi<br />
Pengendalian Prosedur<br />
Semua prosedur operasi hendaklah didokumenkan dengan jelas<br />
lagi teratur, disimpan, dikawal, dikemas kini dan sedia diguna pakai<br />
oleh pengguna mengikut keperluan<br />
Pengurusan Penyampaian Perkhidmatan<br />
Memastikan pelaksanaan dan penyelenggaraan tahap keselamatan<br />
maklumat dan penyampaian perkhidmatan yang sesuai selaras<br />
dengan perjanjian perkhidmatan dengan pembekal, pakar runding<br />
dan pihak-pihak lain<br />
Perancangan dan Penerimaan Sistem<br />
Bertujuan untuk mengurangkan risiko kegagalan sistem<br />
18<br />
Program Kesedaran Keselamatan ICT <strong>NRE</strong>
Perkara 6: Pengurusan Operasi dan<br />
Komunikasi – smbg.<br />
Pengurusan dan Kawalan Perubahan<br />
Perubahan atau pengubahsuaian yang melibatkan perkakasan,<br />
sistem untuk pemprosesan maklumat, perisian, dan prosedur<br />
mestilah mendapat kebenaran daripada pegawai atasan atau<br />
pemilik aset ICT terlebih dahulu<br />
Perlindungan Dari Malicious dan Mobile Code<br />
Melindungi integriti maklumat dan perisian dari ancaman malicious<br />
code seperti viruses, worms, trojan horses, logic bombs.<br />
Backup dan Restore<br />
Mengekalkan integriti, kesediaan maklumat dan kemudahan<br />
pemprosesan maklumat<br />
19<br />
Program Kesedaran Keselamatan ICT <strong>NRE</strong>
Perkara 6: Pengurusan Operasi dan<br />
Komunikasi – smbg.<br />
Pengurusan Keselamatan Rangkaian<br />
Memastikan perlindungan keselamatan maklumat dalam rangkaian<br />
serta infrastruktur sokongan<br />
Pengendalian Peralatan Penyimpanan Maklumat<br />
Memastikan tidak berlaku pendedahan, pengubahsuaian, peralihan<br />
atau pemusnahan aset secara tidak sah, yang boleh mengganggu<br />
aktiviti perkhidmatan<br />
Pertukaran Maklumat<br />
Memastikan keselamatan pertukaran maklumat dalam agensi dan<br />
mana-mana pihak adalah terjamin<br />
20<br />
Program Kesedaran Keselamatan ICT <strong>NRE</strong>
Perkara 6: Pengurusan Operasi dan<br />
Komunikasi – smbg.<br />
Perkhidmatan e-dagang (e-Commerce)<br />
Memastikan keselamatan perkhidmatan e-dagang dan<br />
penggunaannya<br />
Pemantauan<br />
Mengesan aktiviti pemprosesan maklumat yang tidak dibenarkan<br />
dan memastikan rekod log aktiviti tidak boleh diubahsuai dan<br />
dicapai oleh pihak yang tidak dibenarkan<br />
Pemisahan Bidang Tugas<br />
Ketua bahagian/ seksyen bertanggungjawab memastikan pemisahan<br />
bidang tugas terutama bagi bidang tugasan yang kritikal dan sensitif<br />
untuk mengelakkan konflik dan pertindihan arahan<br />
21<br />
Program Kesedaran Keselamatan ICT <strong>NRE</strong>
Perkara 6: Pengurusan Operasi dan<br />
Komunikasi – smbg.<br />
Pengasingan Infrastruktur Operasi dan Pembangunan<br />
Perisian aplikasi dalam persekitaran pembangunan mestilah<br />
dipisahkan daripada perisian aplikasi production<br />
Pelarasan Masa untuk Semua Sistem di dalam Pusat Data<br />
Semua masa bagi sistem kritikal yang ditempatkan di dalam<br />
rangkaian dalaman <strong>NRE</strong> mesti diselaraskan menggunakan titik<br />
rujukan masa dari sumber yang di tetapkan seperti menggunakan<br />
masa Domain Controller<br />
22<br />
Program Kesedaran Keselamatan ICT <strong>NRE</strong>
Perkara 7: Kawalan Capaian<br />
Keperluan<br />
Kawalan capaian ke atas aset ICT mengikut keperluan keselamatan dan<br />
peranan pengguna<br />
Kawalan Capaian Pengguna<br />
Pengemaskinian dan atau pembatalan capaian:<br />
i. Tidak hadir bertugas > tujuh hari<br />
ii.<br />
iii.<br />
iv.<br />
Bercuti atau bertugas di luar pejabat mengikut peraturan<br />
berkuat kuasa<br />
Bertukar jawatan, tanggungjawab dan atau bidang tugas<br />
Dalam prosiding/ dikenakan tindakan tatatertib<br />
v. Bertukar, berpindah, bersara/ tamat perkhidmatan<br />
(dimaklumkan BPSM)<br />
23<br />
Program Kesedaran Keselamatan ICT <strong>NRE</strong>
Perkara 7: Kawalan Capaian – smbg.<br />
Pengurusan Kata laluan<br />
Mematuhi amalan terbaik serta prosedur yang ditetapkan oleh <strong>NRE</strong><br />
(<strong>DKICT</strong> <strong>NRE</strong> Perkara 7.3)<br />
Ciri kata laluan berkualiti seperti gabungan minimum lapan aksara yang<br />
mengandungi kombinasi antara huruf, nombor dan simbol (seperti: 0-9, a-<br />
z, A-Z, ! @ # $ % ^ & * ( ) - +)<br />
Kawalan Capaian Rangkaian<br />
Memantau dan menguatkuasakan kawalan capaian pengguna terhadap<br />
perkhidmatan rangkaian ICT<br />
Kawalan Capaian Sistem Pengoperasian<br />
Memastikan bahawa capaian ke atas sistem pengoperasian dikawal<br />
dan dihadkan kepada pengguna yang dibenarkan sahaja<br />
24<br />
Program Kesedaran Keselamatan ICT <strong>NRE</strong>
Perkara 7: Kawalan Capaian – smbg.<br />
Kawalan Capaian Aplikasi dan Maklumat<br />
Bertujuan menghalang capaian tidak sah ke atas maklumat yang<br />
terdapat di dalam perisian aplikasi (application software)<br />
Peralatan Mudah Alih dan Kerja Jarak Jauh<br />
Memastikan keselamatan peralatan mudah alih dan kerja jarak jauh<br />
Penggunaan Capaian Tanpa Wayar<br />
Penggunaan capaian tanpa wayar adalah tidak dibenarkan. Sekiranya<br />
terdapat keperluan, kebenaran daripada BPM atau lain-lain pihak yang<br />
berkenaan adalah diperlukan<br />
25<br />
Program Kesedaran Keselamatan ICT <strong>NRE</strong>
Perkara 8: Perolehan, Pembangunan dan<br />
Penyelenggaraan Sistem Maklumat<br />
Memastikan sistem yang dibangunkan sendiri atau pihak ketiga<br />
mempunyai ciri-ciri keselamatan ICT yang bersesuaian<br />
Keperluan Keselamatan Sistem Maklumat<br />
Menjelaskan keperluan untuk memastikan bahawa aspek<br />
keselamatan dikenal pasti, dipersetujui dan di dokumen pada setiap<br />
peringkat perolehan, pembangunan dan penyelenggaraan<br />
Kawalan Kriptografi<br />
Bertujuan untuk melindungi kerahsiaan, kesahihan dan integriti<br />
maklumat melalui teknik tertentu seperti enkripsi, tandatangan<br />
digital dan public key infrastructure (PKI)<br />
26<br />
Program Kesedaran Keselamatan ICT <strong>NRE</strong>
Perkara 8: Perolehan, Pembangunan dan<br />
Penyelenggaraan Sistem Maklumat – smbg.<br />
Kawalan Fail Sistem<br />
Proses pengemaskinian fail sistem hanya boleh dilakukan oleh<br />
Pentadbir Sistem ICT atau pegawai yang berkenaan mengikut<br />
prosedur yang ditetapkan<br />
Keselamatan Dalam Proses Pembangunan dan Sokongan<br />
Menjaga keselamatan perisian sistem aplikasi dan maklumat<br />
Kawalan Teknikal Keterdedahan (Vulnerability)<br />
Mengurangkan risiko yang berpunca dari eksploitasi keterdedahan<br />
teknikal yang disebarluas<br />
27<br />
Program Kesedaran Keselamatan ICT <strong>NRE</strong>
Perkara 9: Pengurusan Pengendalian<br />
Insiden Keselamatan<br />
Memastikan semua insiden dikendalikan dengan cepat, tepat dan<br />
berkesan<br />
Pengurusan Pengendalian Insiden Keselamatan<br />
ICTSO dan <strong>NRE</strong>CERT bertanggungjawab mengurus dan<br />
mengendalikan insiden keselamatan ICT<br />
Insiden Keselamatan<br />
Musibah (adverse event) yang berlaku ke atas aset ICT atau<br />
ancaman kemungkinan berlaku kejadian tersebut<br />
Jenis insiden seperti pelanggaran dasar, denial of service,<br />
pencerobohan, pemalsuan, spam, malicious code, harassment/ threats,<br />
attempts/ hack threats/ information gathering dan kehilangan fizikal<br />
Melaporkan Insiden<br />
Semua insiden keselamatan ICT yang berlaku mesti dilaporkan<br />
kepada <strong>NRE</strong>CERT atau/ dan GCERT<br />
28<br />
Program Kesedaran Keselamatan ICT <strong>NRE</strong>
Perkara 9: Pengurusan Pengendalian<br />
Insiden Keselamatan – smbg.<br />
<br />
<br />
Menentukan Keutamaan Tindakan Ke Atas Insiden<br />
Keutamaan 1 - Aktiviti yang berkemungkinan mengancam nyawa atau<br />
keselamatan negara<br />
Keutamaan 2 – Lain-lain insiden<br />
Pengendalian Insiden<br />
Sekiranya berlaku insiden kritikal, iaitu insiden di bawah Keutamaan 1,<br />
agensi berikut boleh dihubungi:<br />
i. Malaysian Computer Emergency Response Team (MyCERT)<br />
Cyber999 : 1-300-88-2999 (waktu pejabat)<br />
Faks : 03 – 8945 3442 (waktu pejabat)<br />
Mobile : 019 – 266 5850 (24 x 7)<br />
Emel : cyber999@cybersecurity.my<br />
SMS : CYBER999 [aduan anda] dan hantar ke 15888<br />
Twitter : http://twitter.com/mycert<br />
29<br />
Program Kesedaran Keselamatan ICT <strong>NRE</strong>
Perkara 9: Pengurusan Pengendalian<br />
Insiden Keselamatan – smbg.<br />
Pengendalian Insiden<br />
Sekiranya berlaku insiden kritikal, iaitu insiden di bawah<br />
Keutamaan 1, agensi berikut boleh dihubungi:<br />
ii. Government Computer Emergency Response Team (GCERT)<br />
iii.<br />
Telefon : 03 – 8872 5138 (waktu pejabat)<br />
Faks : 03 – 8890 4253 (waktu pejabat)<br />
Mobile : 012 – 331 2205<br />
Emel : gcert@mampu.gov.my<br />
<strong>NRE</strong> Computer Emergency Response Team (<strong>NRE</strong>CERT)<br />
Telefon : 03 – 8886 1041<br />
Faks : 03 – 8889 4821<br />
SMS : <strong>NRE</strong> ADUAN [aduan anda] hantar ke 15888<br />
E-mel : jksec_cert@nre.gov.my<br />
30<br />
Program Kesedaran Keselamatan ICT <strong>NRE</strong>
Perkara 10: Pengurusan Kesinambungan<br />
Perkhidmatan<br />
Pelan Kesinambungan Perkhidmatan (Business Continuity Plan<br />
(BCP))<br />
Dibangunkan untuk mengekalkan kesinambungan perkhidmatan<br />
bagi memastikan tiada gangguan di dalam penyediaan<br />
perkhidmatan<br />
Program Latihan dan Kesedaran Terhadap BCP<br />
Semua kakitangan <strong>NRE</strong> perlu mempunyai kesedaran dan<br />
mengetahui peranan masing-masing terhadap BCP. Ketua Jabatan<br />
atau Ketua Bahagian bertanggung jawab dalam memastikan latihan<br />
dan program kesedaran terhadap BCP dilaksanakan setiap tahun<br />
31<br />
Program Kesedaran Keselamatan ICT <strong>NRE</strong>
Perkara 10: Pengurusan Kesinambungan<br />
Perkhidmatan – smbg.<br />
Pengujian BCP<br />
BCP perlu diuji satu (1) kali setahun atau selepas perubahan<br />
utama, atau yang mana terdahulu<br />
Komponen BCP lain seperti Pelan Pemulihan Bencana (Disaster<br />
Recovery Plan – DRP), Pelan Komunikasi Krisis (Crisis<br />
Communication Plan – CCP) dan Pelan Tindak Balas Kecemasan<br />
(Emergency Response Plan – ERP) perlu diuji satu (1) kali<br />
setahun atau selepas perubahan utama, atau yang mana<br />
terdahulu<br />
32<br />
Program Kesedaran Keselamatan ICT <strong>NRE</strong>
Perkara 11: Pematuhan<br />
Pematuhan Dasar<br />
Ketua jabatan bertanggungjawab memastikan pematuhan dan<br />
mengelak ketakakuran<br />
Keperluan Perundangan<br />
Mematuhi segala perundangan dan peraturan yang berkuat kuasa<br />
dari semasa ke semasa yang dikeluarkan Kerajaan Malaysia<br />
33<br />
Program Kesedaran Keselamatan ICT <strong>NRE</strong>
Perkara 11: Pematuhan – smbg.<br />
Perlindungan dan Privasi Data Peribadi<br />
Kakitangan <strong>NRE</strong> perlu sedar bahawa data kegunaan peribadi yang<br />
dijana dalam aset ICT adalah milik <strong>NRE</strong><br />
Pihak pengurusan tidak menjamin kerahsiaan data peribadi yang<br />
disimpan dalam aset ICT<br />
Semakan Keselamatan Maklumat<br />
Audit pematuhan ke atas dasar keselamatan maklumat, piawaian<br />
dan prosedur perlu dilakukan secara tahunan<br />
Ujian penembusan bagi sistem kritikal mestilah di laksanakan<br />
sekurang-kurangnya setahun sekali atau bila ada keperluan<br />
34<br />
Program Kesedaran Keselamatan ICT <strong>NRE</strong>
Perkara 11: Pematuhan – smbg.<br />
Pelanggaran Perundangan<br />
Tindakan tatatertib boleh diambil ke atas sesiapa yang terlibat di<br />
dalam semua perbuatan kecuaian, kelalaian dan pelanggaran<br />
keselamatan termasuk dasar keselamatan ICT yang<br />
membahayakan perkara-perkara terperingkat di bawah Akta<br />
Rahsia Rasmi 1972<br />
Surat Akuan Pematuhan Dasar Keselamatan ICT<br />
Adalah menjadi tanggungjawab ketua jabatan/ bahagian untuk<br />
memastikan setiap pegawai menandatangani Surat Akuan<br />
Pematuhan Dasar Keselamatan Teknologi Maklumat dan<br />
Komunikasi (<strong>DKICT</strong>)<br />
35<br />
Program Kesedaran Keselamatan ICT <strong>NRE</strong>
TERIMA<br />
KASIH<br />
36<br />
Program Kesedaran Keselamatan ICT <strong>NRE</strong>