Slaid Pembentangan DKICT NRE

Kementerian Sumber Asli dan Alam Sekitar 

DASAR KESELAMATAN TEKNOLOGI 

MAKLUMAT DAN KOMUNIKASI 

Marsineh binti Jarmin 

08 Februari 2013

Kandungan 

Dasar Keselamatan 

Organisasi Keselamatan Maklumat 

Pengurusan Aset 

Pengurusan Sumber Manusia 

Keselamatan Fizikal dan Persekitaran 

Pengurusan Operasi dan Komunikasi 

2 

Program Kesedaran Keselamatan ICT NRE

Kandungan 

Kawalan Capaian 

Perolehan, Pembangunan dan Penyelenggaraan Sistem Maklumat 

Pengurusan Pengendalian Insiden Keselamatan 

Pengurusan Kesinambungan Perkhidmatan 

Pematuhan 

3 


Perkara 1: Dasar Keselamatan 

Kementerian Sumber Asli dan Alam Sekitar (NRE) 

bertanggungjawab memastikan keselamatan aset maklumat 

(perkakasan, perisian, data/ maklumat, perkhidmatan dan 

individu) yang dimiliki atau dikawal selia bebas daripada 

ancaman dan risiko yang tidak boleh diterima 

Prinsip utama keselamatan maklumat: 

i. Kerahsiaan (confidentiality) 

ii. 

iii. 

Integriti (integrity) 

Kebolehsediaan (availability) 

4 


Perkara 1: Dasar Keselamatan – smbg. 

Prinsip Dasar Keselamatan ICT NRE 

i. Capaian Atas Dasar Perlu Tahu 

ii. Hak Capaian Minimum 

iii. Akauntabiliti 

iv. Pengasingan 

v. Pengauditan 

vi. 

vii. 

Pematuhan 

Pemulihan 

viii. Saling bergantung 

5 


Perkara 1: Dasar Keselamatan – smbg. 

Pemakaian DKICT NRE 

Semua pengguna aset ICT termasuk pembekal dan pakar runding 

yang berurusan dengan NRE 

Semakan dan Pindaan Dasar 

DKICT NRE tertakluk kepada semakan dan pindaan dari semasa 

ke semasa selaras dengan perubahan teknologi, aplikasi, prosedur, 

perundangan dan kepentingan sosial 

6 


Perkara 2: Organisasi Keselamatan 

Maklumat 

Memastikan rangka kerja diwujudkan bagi menjamin 

pelaksanaan pengurusan keselamatan ICT yang sistematik dan 

berkesan 

i. Tanggungjawab Pengurusan Keselamatan ICT 

KSU, CIO, ICTSO, Pengurus ICT, Pentadbir Sistem dan 

pengguna 

ii. 

iii. 

iv. 

Jawatankuasa Keselamatan ICT 

Sistem Pengauditan 

Penasihat Undang-undang 

v. Pengurusan Sumber Manusia 

vi. 

Pengguna Luaran/ Asing 

7 


Perkara 3: Pengurusan Aset 

Setiap aset hendaklah dikenal pasti, di kelas, di rekod dan di 

selenggara untuk memberikan perlindungan keselamatan yang 

bersesuaian ke atas semua aset ICT 

Diuruskan mengikut tatacara yang telah ditetapkan dalam 

Pekeliling Perbendaharaan Bil. 5 Tahun 2007 - Tatacara 

Pengurusan Aset Alih Kerajaan 

8 


Perkara 3: Pengurusan Aset – smbg. 

Tanggungjawab Pengurusan Aset 

 

 

 

 

Pemilik aset ICT menentukan tahap sensitiviti (terperingkat) 

setiap aset maklumat 

Pentadbir aset ICT menentukan prosedur kawalan khas 

Pengguna aset ICT mematuhi keperluan kawalan yang ditetapkan 

oleh pemilik aset atau pentadbir aset 

Kehilangan/ kecurian aset ICT mestilah dilaporkan serta merta 

mengikut prosedur pengurusan kehilangan/ kecurian aset 

berpandukan Arahan Perbendaharaan yang telah ditetapkan 

9 



Pengelasan Maklumat 

Berasaskan nilai, keperluan perundangan, tahap sensitiviti dan 

tahap kritikal kepada Kerajaan berdasarkan kepada peraturanperaturan 

Pejabat Ketua Pegawai Keselamatan Kerajaan Malaysia 

Klasifikasi maklumat: 

i. Rahsia Besar 

ii. Rahsia 

iii. Sulit 

iv. Terhad 

10 



Pelabelan dan Pengendalian Maklumat 

 

Berdasarkan kepada peraturan-peraturan Pejabat Ketua Pegawai 

Keselamatan Kerajaan Malaysia/ Arahan Keselamatan 

Akauntabiliti Terhadap Aset ICT 

 

Mewujudkan senarai maklumat aset dengan mengenal pasti 

pemilik dan lokasi semasa aset dan disimpan oleh Ketua Jabatan/ 

Bahagian 

11 


Perkara 4: Pengurusan Sumber Manusia 

Memastikan semua pihak yang terlibat dalam pengurusan dan 

penggunaan ICT hendaklah bertanggungjawab dan memahami 

peranan masing-masing mengikut peraturan berkaitan 

keselamatan ICT yang berkuat kuasa 

Sebelum Berkhidmat 

Mematuhi semua terma dan syarat perkhidmatan yang ditetapkan 

Dalam Perkhidmatan 

Mengurus keselamatan aset ICT 

Memastikan tindakan disiplin dan atau undang-undang dilaksanakan 

sekiranya berlaku pelanggaran peraturan 

Mengikuti program kesedaran keselamatan ICT dua (2) 

kali setahun 

12 


Perkara 4: Pengurusan Sumber Manusia – 

smbg. 

Latihan 

Diberikan kepada semua kakitangan NRE mengikut kesesuaian 

bidang tugas dan secara berterusan 

Setiap kakitangan NRE bertanggungjawab mengenal pasti 

latihan yang diperlukan dan Ketua Jabatan/ Bahagian mengkaji 

semula keperluan latihan untuk setiap kakitangan di bawahnya 

Keselamatan ICT Dalam Senarai Tugas 

Peranan dan tanggungjawab dalam keselamatan ICT harus 

didokumenkan di dalam senarai tugas 

Senarai tugas mesti mengandungi perkara berikut: 

i. Tanggungjawab kakitangan 

ii. Hubungan dengan pegawai atasan 

iii. Tanggungjawab kakitangan dalam keselamatan ICT 

13 


Perkara 4: Pengurusan Sumber Manusia – 

smbg. 

Bertukar atau Tamat Perkhidmatan 

Memastikan semua aset ICT dikembalikan kepada NRE mengikut 

peraturan dan atau terma perkhidmatan yang ditetapkan 

Membatalkan atau menarik balik semua kebenaran capaian ke atas 

aset ICT mengikut peraturan yang ditetapkan 

14 


Perkara 5: Keselamatan Fizikal dan 

Persekitaran 

Memastikan premis dan kemudahan ICT ditempatkan di 

kawasan yang selamat dan dilindungi daripada sebarang 

ancaman fizikal dan persekitaran 

Kawalan Kawasan Terperingkat 

Menggunakan parameter keselamatan (halangan seperti dinding, pagar 

kawalan, pengawal keselamatan) untuk melindungi kawasan yang 

mengandungi maklumat dan kemudahan pemprosesan maklumat 

Keselamatan Peralatan ICT dan Dokumen 

Perlindungan dari sebarang kehilangan, kerosakan, kecurian atau 

kompromi ke atas aset ICT dan gangguan ke atas sistem 

penyampaian kementerian 

15 



Persekitaran – smbg. 

Prasarana Sokongan 

Mengambil kira aspek kawalan persekitaran, bekalan kuasa, 

prosedur kecemasan dan keselamatan rangkaian 

Penyelenggaraan Peralatan 

Di senggara berdasarkan peraturan-peraturan semasa bagi 

memastikan kebolehsediaan, kerahsiaan dan integriti 

Peminjaman Peralatan 

Hendaklah mendapat kelulusan mengikut peraturan yang telah 

ditetapkan oleh NRE 

Pengendalian Peralatan Luar yang dibawa Masuk/ Keluar 

Mengambil langkah keselamatan seperti memastikan peralatan 

yang di bawa masuk tidak mengancam keselamatan ICT NRE 

16 



Persekitaran – smbg. 

Pelupusan Peralatan 

Peralatan ICT yang hendak dilupuskan perlu melalui prosedur 

pelupusan semasa 

Clear Desk dan Clear Screen 

Perlu dipatuhi supaya maklumat dalam apa jua bentuk media 

hendaklah disimpan dengan teratur dan selamat bagi mengelakkan 

kerosakan, kecurian atau kehilangan 

Melaporkan Kehilangan atau Kecurian Kad Kakitangan 

Kad kakitangan yang hilang atau dicuri mestilah dilaporkan serta 

merta oleh pemilik kad kepada pihak yang berkenaan 

17 


Perkara 6: Pengurusan Operasi dan 

Komunikasi 

Pengendalian Prosedur 

Semua prosedur operasi hendaklah didokumenkan dengan jelas 

lagi teratur, disimpan, dikawal, dikemas kini dan sedia diguna pakai 

oleh pengguna mengikut keperluan 

Pengurusan Penyampaian Perkhidmatan 

Memastikan pelaksanaan dan penyelenggaraan tahap keselamatan 

maklumat dan penyampaian perkhidmatan yang sesuai selaras 

dengan perjanjian perkhidmatan dengan pembekal, pakar runding 

dan pihak-pihak lain 

Perancangan dan Penerimaan Sistem 

Bertujuan untuk mengurangkan risiko kegagalan sistem 

18 



Komunikasi – smbg. 

Pengurusan dan Kawalan Perubahan 

Perubahan atau pengubahsuaian yang melibatkan perkakasan, 

sistem untuk pemprosesan maklumat, perisian, dan prosedur 

mestilah mendapat kebenaran daripada pegawai atasan atau 

pemilik aset ICT terlebih dahulu 

Perlindungan Dari Malicious dan Mobile Code 

Melindungi integriti maklumat dan perisian dari ancaman malicious 

code seperti viruses, worms, trojan horses, logic bombs. 

Backup dan Restore 

Mengekalkan integriti, kesediaan maklumat dan kemudahan 

pemprosesan maklumat 

19 




Pengurusan Keselamatan Rangkaian 

Memastikan perlindungan keselamatan maklumat dalam rangkaian 

serta infrastruktur sokongan 

Pengendalian Peralatan Penyimpanan Maklumat 

Memastikan tidak berlaku pendedahan, pengubahsuaian, peralihan 

atau pemusnahan aset secara tidak sah, yang boleh mengganggu 

aktiviti perkhidmatan 

Pertukaran Maklumat 

Memastikan keselamatan pertukaran maklumat dalam agensi dan 

mana-mana pihak adalah terjamin 

20 




Perkhidmatan e-dagang (e-Commerce) 

Memastikan keselamatan perkhidmatan e-dagang dan 

penggunaannya 

Pemantauan 

Mengesan aktiviti pemprosesan maklumat yang tidak dibenarkan 

dan memastikan rekod log aktiviti tidak boleh diubahsuai dan 

dicapai oleh pihak yang tidak dibenarkan 

Pemisahan Bidang Tugas 

Ketua bahagian/ seksyen bertanggungjawab memastikan pemisahan 

bidang tugas terutama bagi bidang tugasan yang kritikal dan sensitif 

untuk mengelakkan konflik dan pertindihan arahan 

21 




Pengasingan Infrastruktur Operasi dan Pembangunan 

Perisian aplikasi dalam persekitaran pembangunan mestilah 

dipisahkan daripada perisian aplikasi production 

Pelarasan Masa untuk Semua Sistem di dalam Pusat Data 

Semua masa bagi sistem kritikal yang ditempatkan di dalam 

rangkaian dalaman NRE mesti diselaraskan menggunakan titik 

rujukan masa dari sumber yang di tetapkan seperti menggunakan 

masa Domain Controller 

22 


Perkara 7: Kawalan Capaian 

Keperluan 

Kawalan capaian ke atas aset ICT mengikut keperluan keselamatan dan 

peranan pengguna 

Kawalan Capaian Pengguna 

Pengemaskinian dan atau pembatalan capaian: 

i. Tidak hadir bertugas > tujuh hari 

ii. 

iii. 

iv. 

Bercuti atau bertugas di luar pejabat mengikut peraturan 

berkuat kuasa 

Bertukar jawatan, tanggungjawab dan atau bidang tugas 

Dalam prosiding/ dikenakan tindakan tatatertib 

v. Bertukar, berpindah, bersara/ tamat perkhidmatan 

(dimaklumkan BPSM) 

23 


Perkara 7: Kawalan Capaian – smbg. 

Pengurusan Kata laluan 

Mematuhi amalan terbaik serta prosedur yang ditetapkan oleh NRE 

(DKICT NRE Perkara 7.3) 

Ciri kata laluan berkualiti seperti gabungan minimum lapan aksara yang 

mengandungi kombinasi antara huruf, nombor dan simbol (seperti: 0-9, a- 

z, A-Z, ! @ # $ % ^ & * ( ) - +) 

Kawalan Capaian Rangkaian 

Memantau dan menguatkuasakan kawalan capaian pengguna terhadap 

perkhidmatan rangkaian ICT 

Kawalan Capaian Sistem Pengoperasian 

Memastikan bahawa capaian ke atas sistem pengoperasian dikawal 

dan dihadkan kepada pengguna yang dibenarkan sahaja 

24 


Perkara 7: Kawalan Capaian – smbg. 

Kawalan Capaian Aplikasi dan Maklumat 

Bertujuan menghalang capaian tidak sah ke atas maklumat yang 

terdapat di dalam perisian aplikasi (application software) 

Peralatan Mudah Alih dan Kerja Jarak Jauh 

Memastikan keselamatan peralatan mudah alih dan kerja jarak jauh 

Penggunaan Capaian Tanpa Wayar 

Penggunaan capaian tanpa wayar adalah tidak dibenarkan. Sekiranya 

terdapat keperluan, kebenaran daripada BPM atau lain-lain pihak yang 

berkenaan adalah diperlukan 

25 


Perkara 8: Perolehan, Pembangunan dan 

Penyelenggaraan Sistem Maklumat 

Memastikan sistem yang dibangunkan sendiri atau pihak ketiga 

mempunyai ciri-ciri keselamatan ICT yang bersesuaian 

Keperluan Keselamatan Sistem Maklumat 

Menjelaskan keperluan untuk memastikan bahawa aspek 

keselamatan dikenal pasti, dipersetujui dan di dokumen pada setiap 

peringkat perolehan, pembangunan dan penyelenggaraan 

Kawalan Kriptografi 

Bertujuan untuk melindungi kerahsiaan, kesahihan dan integriti 

maklumat melalui teknik tertentu seperti enkripsi, tandatangan 

digital dan public key infrastructure (PKI) 

26 


Perkara 8: Perolehan, Pembangunan dan 

Penyelenggaraan Sistem Maklumat – smbg. 

Kawalan Fail Sistem 

Proses pengemaskinian fail sistem hanya boleh dilakukan oleh 

Pentadbir Sistem ICT atau pegawai yang berkenaan mengikut 

prosedur yang ditetapkan 

Keselamatan Dalam Proses Pembangunan dan Sokongan 

Menjaga keselamatan perisian sistem aplikasi dan maklumat 

Kawalan Teknikal Keterdedahan (Vulnerability) 

Mengurangkan risiko yang berpunca dari eksploitasi keterdedahan 

teknikal yang disebarluas 

27 


Perkara 9: Pengurusan Pengendalian 

Insiden Keselamatan 

Memastikan semua insiden dikendalikan dengan cepat, tepat dan 

berkesan 

Pengurusan Pengendalian Insiden Keselamatan 

ICTSO dan NRECERT bertanggungjawab mengurus dan 

mengendalikan insiden keselamatan ICT 

Insiden Keselamatan 

Musibah (adverse event) yang berlaku ke atas aset ICT atau 

ancaman kemungkinan berlaku kejadian tersebut 

Jenis insiden seperti pelanggaran dasar, denial of service, 

pencerobohan, pemalsuan, spam, malicious code, harassment/ threats, 

attempts/ hack threats/ information gathering dan kehilangan fizikal 

Melaporkan Insiden 

Semua insiden keselamatan ICT yang berlaku mesti dilaporkan 

kepada NRECERT atau/ dan GCERT 

28 



Insiden Keselamatan – smbg. 

 

 

Menentukan Keutamaan Tindakan Ke Atas Insiden 

Keutamaan 1 - Aktiviti yang berkemungkinan mengancam nyawa atau 

keselamatan negara 

Keutamaan 2 – Lain-lain insiden 

Pengendalian Insiden 

Sekiranya berlaku insiden kritikal, iaitu insiden di bawah Keutamaan 1, 

agensi berikut boleh dihubungi: 

i. Malaysian Computer Emergency Response Team (MyCERT) 

Cyber999 : 1-300-88-2999 (waktu pejabat) 

Faks : 03 – 8945 3442 (waktu pejabat) 

Mobile : 019 – 266 5850 (24 x 7) 

Emel : cyber999@cybersecurity.my 

SMS : CYBER999 [aduan anda] dan hantar ke 15888 

Twitter : http://twitter.com/mycert 

29 



Insiden Keselamatan – smbg. 

Pengendalian Insiden 

Sekiranya berlaku insiden kritikal, iaitu insiden di bawah 

Keutamaan 1, agensi berikut boleh dihubungi: 

ii. Government Computer Emergency Response Team (GCERT) 

iii. 

Telefon : 03 – 8872 5138 (waktu pejabat) 

Faks : 03 – 8890 4253 (waktu pejabat) 

Mobile : 012 – 331 2205 

Emel : gcert@mampu.gov.my 

NRE Computer Emergency Response Team (NRECERT) 

Telefon : 03 – 8886 1041 

Faks : 03 – 8889 4821 

SMS : NRE ADUAN [aduan anda] hantar ke 15888 

E-mel : jksec_cert@nre.gov.my 

30 


Perkara 10: Pengurusan Kesinambungan 

Perkhidmatan 

Pelan Kesinambungan Perkhidmatan (Business Continuity Plan 

(BCP)) 

Dibangunkan untuk mengekalkan kesinambungan perkhidmatan 

bagi memastikan tiada gangguan di dalam penyediaan 

perkhidmatan 

Program Latihan dan Kesedaran Terhadap BCP 

Semua kakitangan NRE perlu mempunyai kesedaran dan 

mengetahui peranan masing-masing terhadap BCP. Ketua Jabatan 

atau Ketua Bahagian bertanggung jawab dalam memastikan latihan 

dan program kesedaran terhadap BCP dilaksanakan setiap tahun 

31 


Perkara 10: Pengurusan Kesinambungan 

Perkhidmatan – smbg. 

Pengujian BCP 

BCP perlu diuji satu (1) kali setahun atau selepas perubahan 

utama, atau yang mana terdahulu 

Komponen BCP lain seperti Pelan Pemulihan Bencana (Disaster 

Recovery Plan – DRP), Pelan Komunikasi Krisis (Crisis 

Communication Plan – CCP) dan Pelan Tindak Balas Kecemasan 

(Emergency Response Plan – ERP) perlu diuji satu (1) kali 

setahun atau selepas perubahan utama, atau yang mana 

terdahulu 

32 


Perkara 11: Pematuhan 

Pematuhan Dasar 

Ketua jabatan bertanggungjawab memastikan pematuhan dan 

mengelak ketakakuran 

Keperluan Perundangan 

Mematuhi segala perundangan dan peraturan yang berkuat kuasa 

dari semasa ke semasa yang dikeluarkan Kerajaan Malaysia 

33 


Perkara 11: Pematuhan – smbg. 

Perlindungan dan Privasi Data Peribadi 

Kakitangan NRE perlu sedar bahawa data kegunaan peribadi yang 

dijana dalam aset ICT adalah milik NRE 

Pihak pengurusan tidak menjamin kerahsiaan data peribadi yang 

disimpan dalam aset ICT 

Semakan Keselamatan Maklumat 

Audit pematuhan ke atas dasar keselamatan maklumat, piawaian 

dan prosedur perlu dilakukan secara tahunan 

Ujian penembusan bagi sistem kritikal mestilah di laksanakan 

sekurang-kurangnya setahun sekali atau bila ada keperluan 

34 


Perkara 11: Pematuhan – smbg. 

Pelanggaran Perundangan 

Tindakan tatatertib boleh diambil ke atas sesiapa yang terlibat di 

dalam semua perbuatan kecuaian, kelalaian dan pelanggaran 

keselamatan termasuk dasar keselamatan ICT yang 

membahayakan perkara-perkara terperingkat di bawah Akta 

Rahsia Rasmi 1972 

Surat Akuan Pematuhan Dasar Keselamatan ICT 

Adalah menjadi tanggungjawab ketua jabatan/ bahagian untuk 

memastikan setiap pegawai menandatangani Surat Akuan 

Pematuhan Dasar Keselamatan Teknologi Maklumat dan 

Komunikasi (DKICT) 

35 


TERIMA 

KASIH 

36

Slaid Pembentangan DKICT NRE

Create successful ePaper yourself

Delete template?

Save as template?