Dasar Keselamatan ICT (DKICT) MAMPU Versi 5.3

Dasar Keselamatan ICTUnit Pemodenan Tadbiran Dan PerancanganPengurusan Malaysia (MAMPU)Jabatan Perdana Menteri13 Mei 2010Versi 5.3

DASAR KESELAMATAN ICT MAMPUSEJARAH DOKUMENTARIKH VERSI KELULUSAN TARIKH KUATKUASA02 April 2009 5.2 MPKM BIL 5 TAHUN 2009 25/08/0913 Mei 2010 5.3 MPKM BIL 13 TAHUN 2010 24/05/10RUJUKAN VERSI TARIKH M/SURATDKICT MAMPU Versi 5.3 13/05/10 2 dari 91MAMPU, 2010

DASAR KESELAMATAN ICT MAMPUJADUAL PINDAAN DASAR KESELAMATAN ICT MAMPUTARIKH VERSI BUTIRAN PINDAAN13 Mei 2010 5.3 i. Tajuk baru: Penilaian RisikoKeselamatan ICT , muka surat 18ii.Perkara 020103 PegawaiKeselamatan ICT (ICTSO), mukasurat: 23 perenggan baru iaituperenggan (k) menjalankan penilaianuntuk memastikan tahap keselamatanICT dan mengambil tindakanpemulihan atau pengukuhan bagimeningkatkan tahap keselamataninfrastruktur ICT supaya insiden barudapat dielakkaniii. Perkara 020103 PegawaiKeselamatan ICT (ICTSO), mukasurat 23, perenggan baru iaituperenggan (l) KoordinatorPengurusan KesinambunganPerkhidmatan (Koordinator PKP)MAMPUiv. Perkara 020104 Pengurus ICT, mukasurat 23, tambahan maklumatPengurus ICTv. Perkara 020105 Pentadbir SistemICT, muka surat 24, tambahanmaklumat Pentadbir Sistem ICTvi. Perkara 020106 Penggunaperenggan (c), muka surat 25,menjalani tapisan keselamatanRUJUKAN VERSI TARIKH M/SURATDKICT MAMPU Versi 5.3 13/05/10 3 dari 91MAMPU, 2010

DASAR KESELAMATAN ICT MAMPUsekiranya dikehendaki berurusandengan maklumat rasmi terperingkatvii. Perkara 100101 PelanKesinambungan Perkhidmatan,muka surat 77, Pengurus ICT dipindakepada Koordinator PKPviii. Perkara 110104 KeperluanPerundangan muka surat 80,pindaan: Senarai perundangan danperaturan yang perlu dipatuhi olehsemua pengguna di MAMPU adalahseperti di Lampiran 3RUJUKAN VERSI TARIKH M/SURATDKICT MAMPU Versi 5.3 13/05/10 4 dari 91MAMPU, 2010

DASAR KESELAMATAN ICT MAMPUISI KANDUNGANPENGENALAN....................................................................................................................10OBJEKTIF............................................................................................................................10PERNYATAAN DASAR........................................................................................................11SKOP ..................................................................................................................................13PRINSIP-PRINSIP................................................................................................................15PENILAIAN RISIKO KESELAMATAN ICT..........................................................................18BIDANG 01 PEMBANGUNAN DAN PENYELENGGARAAN DASAR...............................190101 Dasar Keselamatan ICT.........................................................................................19010101 Pelaksanaan Dasar ......................................................................................19010102 Penyebaran Dasar..........................................................................................19010103 Penyelenggaraan Dasar.................................................................................19010104 Pengecualian Dasar.......................................................................................20BIDANG 02 ORGANISASI KESELAMATAN.......................................................................210201 Infrastruktur Organisasi Dalaman...........................................................................21020101 Ketua Pengarah MAMPU...............................................................................21020102 Ketua Pegawai Maklumat (CIO) ....................................................................21020103 Pegawai Keselamatan ICT (ICTSO)...............................................................22020104 Pengurus ICT.................................................................................................23020105 Pentadbir Sistem ICT.....................................................................................24020106 Pengguna.......................................................................................................25020107 Jawatan Kuasa Keselamatan ICT MAMPU ....................................................25020108 Pasukan Tindak Balas Insiden Keselamatan ICT Kerajaan (GCERT).............270202 Pihak Ketiga...........................................................................................................28020201 Keperluan Keselamatan Kontrak dengan Pihak Ketiga..................................28BIDANG 03 PENGURUSAN ASET......................................................................................300301 Akauntabiliti Aset....................................................................................................30030101 Inventori Aset ICT...........................................................................................300302 Pengelasan dan Pengendalian Maklumat..............................................................31RUJUKAN VERSI TARIKH M/SURATDKICT MAMPU Versi 5.3 13/05/10 5 dari 91MAMPU, 2010

DASAR KESELAMATAN ICT MAMPU030201 Pengelasan Maklumat....................................................................................31030202 Pengendalian Maklumat.................................................................................31BIDANG 04 KESELAMATAN SUMBER MANUSIA.............................................................330401 Keselamatan Sumber Manusia Dalam Tugas Harian.............................................33040101 Sebelum Perkhidmatan..................................................................................33040102 Dalam Perkhidmatan......................................................................................33040103 Bertukar Atau Tamat Perkhidmatan................................................................34BIDANG 05 KESELAMATAN FIZIKAL DAN PERSEKITARAN...........................................350501 Keselamatan Kawasan..........................................................................................35050101 Kawalan Kawasan .........................................................................................35050102 Kawalan Masuk Fizikal...................................................................................36050103 Kawasan Larangan.........................................................................................360502 Keselamatan Peralatan..........................................................................................37050201 Peralatan ICT.................................................................................................37050202 Media Storan..................................................................................................39050203 Media Tandatangan Digital.............................................................................40050204 Media Perisian dan Aplikasi............................................................................40050205 Penyelenggaraan Perkakasan........................................................................41050206 Peralatan di Luar Premis................................................................................41050207 Pelupusan Perkakasan...................................................................................420503 Keselamatan Persekitaran.....................................................................................43050301 Kawalan Persekitaran.....................................................................................43050302 Bekalan Kuasa...............................................................................................44050303 Kabel..............................................................................................................45050304 Prosedur Kecemasan.....................................................................................450504 Keselamatan Dokumen .........................................................................................46050401 Dokumen........................................................................................................46BIDANG 06 PENGURUSAN OPERASI DAN KOMUNIKASI...............................................470601 Pengurusan Prosedur Operasi...............................................................................47060101 Pengendalian Prosedur..................................................................................47060102 Kawalan Perubahan.......................................................................................47060103 Pengasingan Tugas dan Tanggungjawab.......................................................480602 Pengurusan Penyampaian Perkhidmatan Pihak Ketiga ........................................49060201 Perkhidmatan Penyampaian...........................................................................490603 Perancangan dan Penerimaan Sistem...................................................................49060301 Perancangan Kapasiti.....................................................................................49RUJUKAN VERSI TARIKH M/SURATDKICT MAMPU Versi 5.3 13/05/10 6 dari 91MAMPU, 2010

SKELLEFTEÅ KOMMUN PROTOKOLL 7Bygg- och miljönämnden 2012-03-05Omröstningsresultat6-ja röster;), Börje Lindström (S), Agneta Burman-Ljungblad (S), Evelina Fahlesson(S), Lorents Burman (S), Raija Melender (S), Jan Håkansson (S) och 4-nej röster; StigAxelsson (C), Anders Östlund (FP), David Lindgren (M) och Kjell Bergmark (C).Vice ordförande Jan-Erik Engman (MP) avstår från att rösta.Skriftlig reservation, se nedan.Justering (sign)Utdragsbestyrkande

DASAR KESELAMATAN ICT MAMPUPENGENALANDasar Keselamatan ICT (DKICT) MAMPU mengandungi peraturan-peraturan yang mestidibaca dan dipatuhi dalam menggunakan aset Teknologi Maklumat dan Komunikasi (ICT).Dasar ini juga menerangkan kepada semua pengguna mengenai tanggungjawab danperanan mereka dalam melindungi aset ICT MAMPU.OBJEKTIFDasar Keselamatan ICT MAMPU diwujudkan untuk menjamin kesinambungan urusanMAMPU dengan meminimumkan kesan insiden keselamatan ICT.Dasar ini juga bertujuan untuk memudahkan perkongsian maklumat sesuai dengankeperluan operasi MAMPU. Ini hanya boleh dicapai dengan memastikan semua aset ICTdilindungi.Manakala, objektif utama Keselamatan ICT MAMPU ialah seperti berikut:(a)(b)(c)Memastikan kelancaran operasi MAMPU dan meminimumkan kerosakan ataukemusnahan;Melindungi kepentingan pihak-pihak yang bergantung kepada sistem maklumatdari kesan kegagalan atau kelemahan dari segi kerahsiaan, integriti,kebolehsediaan, kesahihan maklumat dan komunikasi; danMencegah salah guna atau kecurian aset ICT Kerajaan.RUJUKAN VERSI TARIKH M/SURATDKICT MAMPU Versi 5.3 13/05/10 10 dari 91MAMPU, 2010

DASAR KESELAMATAN ICT MAMPUPERNYATAAN DASARKeselamatan ditakrifkan sebagai keadaan yang bebas daripada ancaman dan risiko yangtidak boleh diterima. Penjagaan keselamatan adalah suatu proses yang berterusan. Iamelibatkan aktiviti berkala yang mesti dilakukan dari semasa ke semasa untuk menjaminkeselamatan kerana ancaman dan kelemahan sentiasa berubah.Keselamatan ICT adalah bermaksud keadaan di mana segala urusan menyedia danmembekalkan perkhidmatan yang berasaskan kepada sistem ICT berjalan secaraberterusan tanpa gangguan yang boleh menjejaskan keselamatan. Keselamatan ICT berkaitrapat dengan perlindungan aset ICT. Terdapat empat (4) komponen asas keselamatan ICTiaitu:(a)(b)(c)(d)Melindungi maklumat rahsia rasmi dan maklumat rasmi kerajaan dari capaiantanpa kuasa yang sah;Menjamin setiap maklumat adalah tepat dan sempurna;Memastikan ketersediaan maklumat apabila diperlukan oleh pengguna; danMemastikan akses kepada hanya pengguna-pengguna yang sah ataupenerimaan maklumat dari sumber yang sah.Dasar Keselamatan ICT MAMPU merangkumi perlindungan ke atas semua bentukmaklumat elektronik bertujuan untuk menjamin keselamatan maklumat tersebut dankebolehsediaan kepada semua pengguna yang dibenarkan. Ciri-ciri utama keselamatanmaklumat adalah seperti berikut:(a)(b)Kerahsiaan - Maklumat tidak boleh didedahkan sewenang-wenangnya ataudibiarkan diakses tanpa kebenaran;Integriti - Data dan maklumat hendaklah tepat, lengkap dan kemas kini. Iahanya boleh diubah dengan cara yang dibenarkan;RUJUKAN VERSI TARIKH M/SURATDKICT MAMPU Versi 5.3 13/05/10 11 dari 91MAMPU, 2010

DASAR KESELAMATAN ICT MAMPU(c)(d)(e)Tidak Boleh Disangkal - Punca data dan maklumat hendaklah dari puncayang sah dan tidak boleh disangkal;Kesahihan - Data dan maklumat hendaklah dijamin kesahihannya; danKetersediaan - Data dan maklumat hendaklah boleh diakses pada bila-bilamasa.Selain dari itu, langkah-langkah ke arah menjamin keselamatan ICT hendaklahbersandarkan kepada penilaian yang bersesuaian dengan perubahan semasa terhadapkelemahan semula jadi aset ICT; ancaman yang wujud akibat daripada kelemahan tersebut;risiko yang mungkin timbul; dan langkah-langkah pencegahan sesuai yang boleh diambiluntuk menangani risiko berkenaan.RUJUKAN VERSI TARIKH M/SURATDKICT MAMPU Versi 5.3 13/05/10 12 dari 91MAMPU, 2010

DASAR KESELAMATAN ICT MAMPUSKOPAset ICT MAMPU terdiri daripada perkakasan, perisian, perkhidmatan, data atau maklumatdan manusia. Dasar Keselamatan ICT MAMPU menetapkan keperluan-keperluan asasberikut:(a)(b)Data dan maklumat hendaklah boleh diakses secara berterusan dengan cepat,tepat, mudah dan boleh dipercayai. Ini adalah amat perlu bagi membolehkankeputusan dan penyampaian perkhidmatan dilakukan dengan berkesan danberkualiti; danSemua data dan maklumat hendaklah dijaga kerahsiaannya dan dikendalikansebaik mungkin pada setiap masa bagi memastikan kesempurnaan danketepatan maklumat serta untuk melindungi kepentingan kerajaan,perkhidmatan dan masyarakat.Bagi menentukan Aset ICT ini terjamin keselamatannya sepanjang masa, DasarKeselamatan ICT MAMPU ini merangkumi perlindungan semua bentuk maklumat kerajaanyang dimasukkan, diwujud, dimusnah, disimpan, dijana, dicetak, diakses, diedar, dalampenghantaran, dan yang dibuat salinan keselamatan. Ini akan dilakukan melalui pewujudandan penguatkuasaan sistem kawalan dan prosedur dalam pengendalian semua perkaraperkaraberikut:(a)PerkakasanSemua aset yang digunakan untuk menyokong pemprosesan maklumat dankemudahan storan MAMPU. Contoh komputer, pelayan, peralatankomunikasi dan sebagainya;(b)PerisianProgram, prosedur atau peraturan yang ditulis dan dokumentasi yangberkaitan dengan sistem pengoperasian komputer yang disimpan di dalamRUJUKAN VERSI TARIKH M/SURATDKICT MAMPU Versi 5.3 13/05/10 13 dari 91MAMPU, 2010

DASAR KESELAMATAN ICT MAMPUsistem ICT. Contoh perisian aplikasi atau perisian sistem seperti sistempengoperasian, sistem pangkalan data, perisian sistem rangkaian, atauaplikasi pejabat yang menyediakan kemudahan pemprosesan maklumatkepada MAMPU;(c)PerkhidmatanPerkhidmatan atau sistem yang menyokong aset lain untuk melaksanakanfungsi-fungsinya. Contoh:i. Perkhidmatan rangkaian seperti LAN, WAN dan lain-lain;ii.iii.Sistem halangan akses seperti sistem kad akses; danPerkhidmatan sokongan seperti kemudahan elektrik, penghawadingin, sistem pencegah kebakaran dan lain-lain.(d)Data atau MaklumatKoleksi fakta-fakta dalam bentuk kertas atau mesej elektronik, yangmengandungi maklumat-maklumat untuk digunakan bagi mencapai misi danobjektif MAMPU. Contohnya, sistem dokumentasi, prosedur operasi, rekodrekodMAMPU, profil-profil pelanggan, pangkalan data dan fail-fail data,maklumat-maklumat arkib dan lain-lain;(e)ManusiaIndividu yang mempunyai pengetahuan dan kemahiran untuk melaksanakanskop kerja harian MAMPU bagi mencapai misi dan objektif agensi. Individuberkenaan merupakan aset berdasarkan kepada tugas-tugas dan fungsi yangdilaksanakan; dan(f)Premis Komputer Dan KomunikasiSemua kemudahan serta premis yang digunakan untuk menempatkanperkara (a) - (e) di atas.Setiap perkara di atas perlu diberi perlindungan rapi. Sebarang kebocoran rahsia ataukelemahan perlindungan adalah dianggap sebagai perlanggaran langkah-langkahkeselamatan.RUJUKAN VERSI TARIKH M/SURATDKICT MAMPU Versi 5.3 13/05/10 14 dari 91MAMPU, 2010

DASAR KESELAMATAN ICT MAMPUPRINSIP-PRINSIPPrinsip-prinsip yang menjadi asas kepada Dasar Keselamatan ICT MAMPU dan perludipatuhi adalah seperti berikut:(a)Akses atas dasar perlu mengetahuiAkses terhadap penggunaan aset ICT hanya diberikan untuk tujuan spesifik dandihadkan kepada pengguna tertentu atas dasar “perlu mengetahui” sahaja. Inibermakna akses hanya akan diberikan sekiranya peranan atau fungsi penggunamemerlukan maklumat tersebut. Pertimbangan untuk akses adalah berdasarkankategori maklumat seperti yang dinyatakan di dalam dokumen ArahanKeselamatan perenggan 53, muka surat 15;(b)Hak akses minimumHak akses pengguna hanya diberi pada tahap set yang paling minimum iaituuntuk membaca dan/atau melihat sahaja. Kelulusan adalah perlu untukmembolehkan pengguna mewujud, menyimpan, mengemas kini, mengubahatau membatalkan sesuatu maklumat. Hak akses perlu dikaji dari semasa kesemasa berdasarkan kepada peranan dan tanggungjawab pengguna/bidangtugas;(c)AkauntabilitiSemua pengguna adalah dipertanggungjawabkan ke atas semua tindakannyaterhadap aset ICT. Tanggungjawab ini perlu dinyatakan dengan jelas sesuaidengan tahap sensitiviti sesuatu sumber ICT. Untuk menentukantanggungjawab ini dipatuhi, sistem ICT hendaklah mampu menyokongkemudahan mengesan atau mengesah bahawa pengguna sistem maklumatboleh dipertanggungjawabkan atas tindakan mereka.Akauntabiliti atau tanggungjawab pengguna termasuklah:i. Menghalang pendedahan maklumat kepada pihak yang tidak dibenarkan;RUJUKAN VERSI TARIKH M/SURATDKICT MAMPU Versi 5.3 13/05/10 15 dari 91MAMPU, 2010

DASAR KESELAMATAN ICT MAMPUii.iii.iv.Memeriksa maklumat dan menentukan ianya tepat dan lengkap darisemasa ke semasa;Menentukan maklumat sedia untuk digunakan;Menjaga kerahsiaan kata laluan;v. Mematuhi standard, prosedur, langkah dan garis panduan keselamatanyang ditetapkan;vi.vii.Memberi perhatian kepada maklumat terperingkat terutama semasapewujudan, pemprosesan, penyimpanan, penghantaran, penyampaian,pertukaran dan pemusnahan; danMenjaga kerahsiaan langkah-langkah keselamatan ICT dari diketahuiumum.(d)PengasinganTugas mewujud, memadam, kemas kini, mengubah dan mengesahkan dataperlu diasingkan bagi mengelakkan daripada capaian yang tidak dibenarkanserta melindungi aset ICT daripada kesilapan, kebocoran maklumatterperingkat atau di manipulasi. Pengasingan juga merangkumi tindakanmemisahkan antara kumpulan operasi dan rangkaian;(e)PengauditanPengauditan adalah tindakan untuk mengenal pasti insiden berkaitankeselamatan atau mengenal pasti keadaan yang mengancam keselamatan. Iamembabitkan pemeliharaan semua rekod berkaitan tindakan keselamatan.Dengan itu, aset ICT seperti komputer, pelayan, router, firewall dan rangkaianhendaklah ditentukan dapat menjana dan menyimpan log tindakankeselamatan atau audit trail;(f)PematuhanDasar Keselamatan ICT MAMPU hendaklah dibaca, difahami dan dipatuhi bagimengelakkan sebarang bentuk pelanggaran ke atasnya yang boleh membawaancaman kepada keselamatan ICT;RUJUKAN VERSI TARIKH M/SURATDKICT MAMPU Versi 5.3 13/05/10 16 dari 91MAMPU, 2010

DASAR KESELAMATAN ICT MAMPU(g)PemulihanPemulihan sistem amat perlu untuk memastikan kebolehsediaan dankebolehcapaian. Objektif utama adalah untuk meminimumkan sebaranggangguan atau kerugian akibat daripada ketidaksediaan. Pemulihan bolehdilakukan melalui aktiviti penduaan dan mewujudkan pelan pemulihanbencana/kesinambungan perkhidmatan; dan(h)Saling BergantunganSetiap prinsip di atas adalah saling lengkap-melengkapi dan bergantung antarasatu sama lain. Dengan itu, tindakan mempelbagaikan pendekatan dalammenyusun dan mencorakkan sebanyak mungkin mekanisme keselamatanadalah perlu bagi menjamin keselamatan yang maksimum.RUJUKAN VERSI TARIKH M/SURATDKICT MAMPU Versi 5.3 13/05/10 17 dari 91MAMPU, 2010

DASAR KESELAMATAN ICT MAMPUPENILAIAN RISIKO KESELAMATAN ICTMAMPU hendaklah mengambil kira kewujudan risiko ke atas aset ICT akibat dariancaman dan vulnerability yang semakin meningkat hari ini. Justeru itu MAMPUperlu mengambil langkah-langkah proaktif dan bersesuaian untuk menilai tahap risikoaset ICT supaya pendekatan dan keputusan yang paling berkesan dikenal pasti bagimenyediakan perlindungan dan kawalan ke atas aset ICT.MAMPU hendaklah melaksanakan penilaian risiko keselamatan ICT secara berkaladan berterusan bergantung kepada perubahan teknologi dan keperluan keselamatanICT. Seterusnya mengambil tindakan susulan dan/atau langkah-langkah bersesuaianuntuk mengurangkan atau mengawal risiko keselamatan ICT berdasarkan penemuanpenilaian risiko.Penilaian risiko keselamatan ICT hendaklah dilaksanakan ke atas sistem maklumatMAMPU termasuklah aplikasi, perisian, pelayan, rangkaian dan/atau proses sertaprosedur. Penilaian risiko ini hendaklah juga dilaksanakan di premis yangmenempatkan sumber-sumber teknologi maklumat termasuklah pusat data, bilikmedia storan, kemudahan utiliti dan sistem-sistem sokongan lain.MAMPU bertanggungjawab melaksanakan dan menguruskan risiko keselamatan ICTselaras dengan keperluan Surat Pekeliling Am Bilangan 6 Tahun 2005: GarisPanduan Penilaian Risiko Keselamatan Maklumat Sektor Awam.MAMPU perlu mengenal pasti tindakan yang sewajarnya bagi menghadapikemungkinan risiko berlaku dengan memilih tindakan berikut:(a)(b)(c)(d)mengurangkan risiko dengan melaksanakan kawalan yang bersesuaian;menerima dan/atau bersedia berhadapan dengan risiko yang akan terjadiselagi ia memenuhi kriteria yang telah ditetapkan oleh pengurusan agensi;mengelak dan/atau mencegah risiko dari terjadi dengan mengambil tindakanyang dapat mengelak dan/atau mencegah berlakunya risiko; danmemindahkan risiko ke pihak lain seperti pembekal, pakar runding dan pihakpihaklain yang berkepentingan.RUJUKAN VERSI TARIKH M/SURATDKICT MAMPU Versi 5.3 13/05/10 18 dari 91MAMPU, 2010

DASAR KESELAMATAN ICT MAMPUBIDANG 01PEMBANGUNAN DAN PENYELENGGARAAN DASAR0101 Dasar Keselamatan ICTObjektif:Menerangkan hala tuju dan sokongan pengurusan terhadap keselamatan maklumat selarasdengan keperluan MAMPU dan perundangan yang berkaitan.010101 Pelaksanaan DasarPelaksanaan dasar ini akan dijalankan oleh Ketua Pengarah MAMPU selakuPengerusi Jawatankuasa Keselamatan ICT (JKICT) MAMPU. JKICT ini terdiridaripada Ketua Pegawai Maklumat (CIO), Timbalan Ketua Pengarah(Pembangunan Pengurusan dan Transformasi), Pegawai Keselamatan ICT(ICTSO), dan semua Pengarah Bahagian.KetuaPengarahMAMPU010102 Penyebaran DasarDasar ini perlu disebarkan kepada semua pengguna MAMPU (termasukkakitangan, pembekal, pakar runding dan lain-lain).ICTSO010103 Penyelenggaraan DasarDasar Keselamatan ICT MAMPU adalah tertakluk kepada semakan danpindaan dari semasa ke semasa termasuk kawalan keselamatan, prosedur danproses selaras dengan perubahan teknologi, aplikasi, prosedur, perundangan,dasar Kerajaan dan kepentingan sosial.ICTSOBerikut adalah prosedur yang berhubung dengan penyelenggaraan DasarKeselamatan ICT MAMPU:(a)(b)Kenal pasti dan tentukan perubahan yang diperlukan;Kemuka cadangan pindaan secara bertulis kepada ICTSO untukpembentangan dan persetujuan Mesyuarat JawatankuasaRUJUKAN VERSI TARIKH M/SURATDKICT MAMPU Versi 5.3 13/05/10 19 dari 91MAMPU, 2010

DASAR KESELAMATAN ICT MAMPUKeselamatan ICT (JKICT), MAMPU;(c)(d)Maklum kepada semua pengguna perubahan yang telah dipersetujuioleh JKICT; danDasar ini hendaklah dikaji semula sekurang-kurangnya sekalisetahun atau mengikut keperluan semasa.010104 Pengecualian DasarDasar Keselamatan ICT MAMPU adalah terpakai kepada semua penggunaICT MAMPU dan tiada pengecualian diberikan.SemuaRUJUKAN VERSI TARIKH M/SURATDKICT MAMPU Versi 5.3 13/05/10 20 dari 91MAMPU, 2010

DASAR KESELAMATAN ICT MAMPUBIDANG 02ORGANISASI KESELAMATAN0201 Infrastruktur Organisasi DalamanObjektif:Menerangkan peranan dan tanggungjawab individu yang terlibat dengan lebih jelas dan teraturdalam mencapai objektif Dasar Keselamatan ICT MAMPU.020101 Ketua Pengarah MAMPUKetua Pengarah MAMPU adalah berperanan dan bertanggungjawab dalamperkara-perkara seperti berikut:Ketua PengarahMAMPU(a)(b)(c)(d)(e)Memastikan semua pengguna memahami peruntukan-peruntukan dibawah Dasar Keselamatan ICT MAMPU;Memastikan semua pengguna mematuhi Dasar Keselamatan ICTMAMPU;Memastikan semua keperluan organisasi (sumber kewangan,sumber manusia dan perlindungan keselamatan) adalahmencukupi;Memastikan penilaian risiko dan program keselamatan ICTdilaksanakan seperti yang ditetapkan di dalam Dasar KeselamatanICT MAMPU; danMempengerusikan Mesyuarat Jawatankuasa Keselamatan ICT(JKICT), MAMPU.020102 Ketua Pegawai Maklumat (CIO)Ketua Pegawai Maklumat (CIO) bagi MAMPU ialah Timbalan Ketua Pengarah(ICT) MAMPU.CIOPeranan dan tanggungjawab CIO adalah seperti berikut:RUJUKAN VERSI TARIKH M/SURATDKICT MAMPU Versi 5.3 13/05/10 21 dari 91MAMPU, 2010

DASAR KESELAMATAN ICT MAMPU(a)(b)(c)(d)Membantu Ketua Pengarah dalam melaksanakan tugas-tugas yangmelibatkan keselamatan ICT;Menentukan keperluan keselamatan ICT;Menyelaras dan mengurus pelan latihan dan program kesedarankeselamatan ICT seperti penyediaan DKICT MAMPU sertapengurusan risiko dan pengauditan; danBertanggungjawab ke atas perkara-perkara yang berkaitan dengankeselamatan ICT MAMPU.020103 Pegawai Keselamatan ICT (ICTSO)Pegawai Keselamatan ICT (ICTSO) bagi MAMPU ialah Pengarah BahagianPematuhan ICT (BPICT), MAMPU.ICTSOPeranan dan tanggungjawab ICTSO yang dilantik adalah seperti berikut:(a)(b)(c)(d)(e)(f)(g)(h)Mengurus keseluruhan program-program keselamatan ICTMAMPU;Menguatkuasakan pelaksanaan Dasar Keselamatan ICT MAMPU;Memberi penerangan dan pendedahan berkenaan DasarKeselamatan ICT MAMPU kepada semua pengguna;Mewujudkan garis panduan, prosedur dan tatacara selaras dengankeperluan Dasar Keselamatan ICT MAMPU;Menjalankan pengurusan risiko;Menjalankan audit, mengkaji semula, merumus tindak balaspengurusan MAMPU berdasarkan hasil penemuan danmenyediakan laporan mengenainya;Memberi amaran terhadap kemungkinan berlakunya ancamanberbahaya seperti virus dan memberi khidmat nasihat sertamenyediakan langkah-langkah perlindungan yang bersesuaian;Melaporkan insiden keselamatan ICT kepada Pasukan Tindakbalas Insiden Keselamatan ICT Kerajaan (GCERT), MAMPU danRUJUKAN VERSI TARIKH M/SURATDKICT MAMPU Versi 5.3 13/05/10 22 dari 91MAMPU, 2010

DASAR KESELAMATAN ICT MAMPUmemaklumkannya kepada CIO;(i)(j)(k)Bekerjasama dengan semua pihak yang berkaitan dalammengenal pasti punca ancaman atau insiden keselamatan ICT danmemperakukan langkah-langkah baik pulih dengan segera; danMenyedia dan melaksanakan program-program kesedaranmengenai keselamatan ICT.Menjalankan penilaian untuk memastikan tahap keselamatan ICTdan mengambil tindakan pemulihan atau pengukuhan bagimeningkatkan tahap keselamatan infrastruktur ICT supaya insidenbaru dapat dielakkan.(l) Koordinator Pengurusan Kesinambungan Perkhidmatan(Koordinator PKP) MAMPU.020104 Pengurus ICTPengurus-pengurus ICT bagi MAMPU ialah Timbalan Pengarah SeksyenTeknologi Maklumat, Bahagian Khidmat Pengurusan dan Sumber Manusia,Ketua Penolong Pengarah (ICT) MAMPU Cawangan Sarawak, Ketua PenolongPengarah (ICT) MAMPU Cawangan Sabah, Pengurus Perkhidmatan EG*NetDan PKI, Pengurus Perkhidmatan Pusat Data MAMPU dan PengurusPerkhidmatan Portal eKL.Pengurus ICTPeranan dan tanggungjawab Pengurus ICT adalah seperti berikut:(a)(b)(c)(d)Mengkaji semula dan melaksanakan kawalan keselamatan ICTselaras dengan keperluan MAMPU;Menentukan kawalan akses pengguna terhadap aset ICT MAMPU;Melaporkan sebarang perkara atau penemuan mengenaikeselamatan ICT kepada ICTSO; danMenyimpan rekod, bahan bukti dan laporan terkini mengenaiancaman keselamatan ICT MAMPU.RUJUKAN VERSI TARIKH M/SURATDKICT MAMPU Versi 5.3 13/05/10 23 dari 91MAMPU, 2010

DASAR KESELAMATAN ICT MAMPU020105 Pentadbir Sistem ICTPentadbir Sistem ICT bagi MAMPU ialah Penolong Pengarah SeksyenTeknologi Maklumat, Bahagian Khidmat Pengurusan dan Sumber Manusia,Penolong Pengarah (ICT) MAMPU Cawangan Sabah, Penolong Pengarah(ICT) MAMPU Cawangan Sabah, Pentadbir Sistem ICT bagi PerkhidmatanEG*Net Dan PKI, Pentabdir Sistem ICT bagi Perkhidmatan Pusat DataMAMPU dan Pentadbir Sistem ICT bagi Perkhidmatan Portal eKL,PentadbirSistem ICTPeranan dan tanggungjawab Pentadbir Sistem ICT adalah seperti berikut:(a)(b)(c)(d)(e)(f)(g)Mengambil tindakan yang bersesuaian dengan segera apabiladimaklumkan mengenai kakitangan yang berhenti, bertukar,bercuti, berkursus panjang atau berlaku perubahan dalam bidangtugas;Menentukan ketepatan dan kesempurnaan sesuatu tahap capaianberdasarkan arahan pemilik sumber maklumat sebagaimana yangtelah ditetapkan di dalam Dasar Keselamatan ICT MAMPU;Memantau aktiviti capaian harian sistem aplikasi pengguna;Mengenal pasti aktiviti-aktiviti tidak normal seperti pencerobohandan pengubahsuaian data tanpa kebenaran dan membatalkanatau memberhentikannya dengan serta merta;Menganalisis dan menyimpan rekod jejak audit;Menyediakan laporan mengenai aktiviti capaian secara berkala;danBertanggungjawab memantau setiap perkakasan ICT yangdiagihkan kepada pengguna seperti komputer peribadi, komputerriba, pencetak, pengimbas dan sebagainya di dalam keadaanyang baik.020106 PenggunaRUJUKAN VERSI TARIKH M/SURATDKICT MAMPU Versi 5.3 13/05/10 24 dari 91MAMPU, 2010

DASAR KESELAMATAN ICT MAMPUPengguna mempunyai peranan dan tanggungjawab seperti berikut:Pengguna(a)(b)(c)(d)(e)(f)(g)Membaca, memahami dan mematuhi Dasar Keselamatan ICTMAMPU;Mengetahui dan memahami implikasi keselamatan ICT kesan daritindakannya;Menjalani tapisan keselamatan sekiranya dikehendaki berurusandengan maklumat rasmi terperingkat;Melaksanakan prinsip-prinsip Dasar Keselamatan ICT MAMPUdan menjaga kerahsiaan maklumat MAMPU;Melaporkan sebarang aktiviti yang mengancam keselamatan ICTkepada ICTSO dengan segera;Menghadiri program-program kesedaran mengenai keselamatanICT; danMenandatangani Surat Akuan Pematuhan Dasar Keselamatan ICTMAMPU sebagaimana Lampiran 1.020107 Jawatan Kuasa Keselamatan ICT MAMPURUJUKAN VERSI TARIKH M/SURATDKICT MAMPU Versi 5.3 13/05/10 25 dari 91MAMPU, 2010

DASAR KESELAMATAN ICT MAMPUJawatankuasa Keselamatan ICT (JKICT) adalah jawatankuasa yangbertanggungjawab dalam keselamatan ICT dan berperanan sebagai penasihatdan pemangkin dalam merumuskan rancangan dan strategi keselamatan ICTMAMPU.JKICT MAMPUDi MAMPU, Mesyuarat Pengurusan Kanan MAMPU (MPKM) juga berperanansebagai JKICT MAMPU. Keanggotaan JKICT MAMPU adalah seperti berikut:Pengerusi : Ketua Pengarah MAMPUAhli : (1) CIO MAMPU(2) Timbalan Ketua Pengarah (PT)(3) Semua Pengarah Bahagian(4) ICTSO MAMPUUrus Setia bagi JKICT MAMPU ialah urus setia yang mengendalikan MPKM.Bidang kuasa:(a)(b)(c)(d)(e)(f)(g)Memperakukan/meluluskan dokumen DKICT MAMPU;Memantau tahap pematuhan keselamatan ICT;Memperaku garis panduan, prosedur dan tatacara untuk aplikasiaplikasikhusus dalam MAMPU yang mematuhi keperluan DKICTMAMPU;Menilai teknologi yang bersesuaian dan mencadangkanpenyelesaian terhadap keperluan keselamatan ICT;Memastikan DKICT MAMPU selaras dengan dasar-dasar ICTkerajaan semasa;Menerima laporan dan membincangkan hal-hal keselamatan ICTsemasa;Membincang tindakan yang melibatkan pelanggaran DKICTRUJUKAN VERSI TARIKH M/SURATDKICT MAMPU Versi 5.3 13/05/10 26 dari 91MAMPU, 2010

DASAR KESELAMATAN ICT MAMPUMAMPU; dan(h)Membuat keputusan mengenai tindakan yang perlu diambilmengenai sebarang insiden.020108 Pasukan Tindak Balas Insiden Keselamatan ICT Kerajaan (GCERT)Keanggotaan GCERT adalah seperti berikut:GCERTRUJUKAN VERSI TARIKH M/SURATDKICT MAMPU Versi 5.3 13/05/10 27 dari 91MAMPU, 2010

DASAR KESELAMATAN ICT MAMPUPengurus : Timbalan Pengarah, Seksyen PengurusanSerangan Siber, Bahagian Pematuhan ICT,MAMPUAhli : (1) Pegawai Teknologi Maklumat di SeksyenPengurusan Serangan Siber, BahagianPematuhan ICT, MAMPU; dan(2) Penolong Pegawai Teknologi Maklumat diSeksyen Pengurusan Serangan Siber,Bahagian Pematuhan ICT, MAMPU.Peranan dan tanggungjawab GCERT adalah seperti berikut:(a)(b)(c)(d)(e)Menerima dan mengesan aduan keselamatan ICT serta menilaitahap dan jenis insiden;Merekod dan menjalankan siasatan awal insiden yang diterima;Menangani tindak balas (response) insiden keselamatan ICT danmengambil tindakan baik pulih minimum;Menasihati MAMPU mengambil tindakan pemulihan danpengukuhan;Menyebarkan makluman berkaitan pengukuhan keselamatan ICTkepada MAMPU.0202 Pihak KetigaObjektif:Menjamin keselamatan semua aset ICT yang digunakan oleh pihak ketiga (Pembekal, PakarRunding dan lain-lain).020201 Keperluan Keselamatan Kontrak dengan Pihak KetigaRUJUKAN VERSI TARIKH M/SURATDKICT MAMPU Versi 5.3 13/05/10 28 dari 91MAMPU, 2010

DASAR KESELAMATAN ICT MAMPUIni bertujuan memastikan penggunaan maklumat dan kemudahan prosesmaklumat oleh pihak ketiga dikawal.Perkara yang perlu dipatuhi termasuk yang berikut:(a) Membaca, memahami dan mematuhi Dasar Keselamatan ICTMAMPU;CIO, ICTSO,Pengurus ICT,PentadbirSistem ICT danPihak Ketiga(b)(c)(d)(e)Mengenal pasti risiko keselamatan maklumat dan kemudahanpemprosesan maklumat serta melaksanakan kawalan yang sesuaisebelum memberi kebenaran capaian;Mengenal pasti keperluan keselamatan sebelum memberikebenaran capaian atau penggunaan kepada pihak ketiga;Akses kepada aset ICT MAMPU perlu berlandaskan kepadaperjanjian kontrak;Memastikan semua syarat keselamatan dinyatakan dengan jelasdalam perjanjian dengan pihak ketiga. Perkara-perkara berikuthendaklah dimasukkan di dalam perjanjian yang dimeterai.i. Dasar Keselamatan ICT MAMPU;ii. Tapisan Keselamataniii. Perakuan Akta Rahsia Rasmi 1972; daniv. Hak Harta Intelek.(f)Menandatangani Surat Akuan Pematuhan Dasar Keselamatan ICTMAMPU sebagaimana Lampiran 1.RUJUKAN VERSI TARIKH M/SURATDKICT MAMPU Versi 5.3 13/05/10 29 dari 91MAMPU, 2010

DASAR KESELAMATAN ICT MAMPUBIDANG 03PENGURUSAN ASET0301 Akauntabiliti AsetObjektif:Memberi dan menyokong perlindungan yang bersesuaian ke atas semua aset ICT MAMPU.030101 Inventori Aset ICTIni bertujuan memastikan semua aset ICT diberi kawalan dan perlindungan yangsesuai oleh pemilik atau pemegang amanah masing-masing.Perkara yang perlu dipatuhi adalah seperti berikut:PentadbirSistem danSemua(a)(b)(c)Memastikan semua aset ICT dikenal pasti dan maklumat aset direkoddalam borang daftar harta modal dan inventori dan sentiasa dikemaskini;Memastikan semua aset ICT mempunyai pemilik dan dikendalikanoleh pengguna yang dibenarkan sahaja;Memastikan semua pengguna mengesahkan penempatan aset ICTyang ditempatkan di MAMPU;(d) Peraturan bagi pengendalian aset ICT hendaklah dikenalpasti, di dokumen dan dilaksanakan; dan(e)Setiap pengguna adalah bertanggungjawab ke atas semua aset ICT dibawah kawalannya.RUJUKAN VERSI TARIKH M/SURATDKICT MAMPU Versi 5.3 13/05/10 30 dari 91MAMPU, 2010

DASAR KESELAMATAN ICT MAMPU0302 Pengelasan dan Pengendalian MaklumatObjektif:Memastikan setiap maklumat atau aset ICT diberikan tahap perlindungan yang bersesuaian.030201 Pengelasan MaklumatMaklumat hendaklah dikelaskan atau dilabelkan sewajarnya oleh pegawai yangdiberi kuasa mengikut dokumen Arahan Keselamatan.SemuaSetiap maklumat yang dikelaskan mestilah mempunyai peringkat keselamatansebagaimana yang telah ditetapkan di dalam dokumen Arahan Keselamatanseperti berikut:(a)(b)(c)(d)Rahsia Besar;Rahsia;Sulit; atauTerhad.030202 Pengendalian MaklumatAktiviti pengendalian maklumat seperti mengumpul, memproses, menyimpan,menghantar, menyampai, menukar dan memusnah hendaklah mengambil kiralangkah-langkah keselamatan berikut:Semua(a)(b)(c)(d)(e)(f)Menghalang pendedahan maklumat kepada pihak yang tidakdibenarkan;Memeriksa maklumat dan menentukan ia tepat dan lengkap darisemasa ke semasa;Menentukan maklumat sedia untuk digunakan;Menjaga kerahsiaan kata laluan;Mematuhi standard, prosedur, langkah dan garis panduankeselamatan yang ditetapkan;Memberi perhatian kepada maklumat terperingkat terutama semasaRUJUKAN VERSI TARIKH M/SURATDKICT MAMPU Versi 5.3 13/05/10 31 dari 91MAMPU, 2010

DASAR KESELAMATAN ICT MAMPUpewujudan, pemprosesan, penyimpanan, penghantaran,penyampaian, pertukaran dan pemusnahan; dan(g)Menjaga kerahsiaan langkah-langkah keselamatan ICT dari diketahuiumum.RUJUKAN VERSI TARIKH M/SURATDKICT MAMPU Versi 5.3 13/05/10 32 dari 91MAMPU, 2010

DASAR KESELAMATAN ICT MAMPUBIDANG 04KESELAMATAN SUMBER MANUSIA0401 Keselamatan Sumber Manusia Dalam Tugas HarianObjektif:Memastikan semua sumber manusia yang terlibat termasuk pegawai dan kakitangan MAMPU,pembekal, pakar runding dan pihak-pihak yang berkepentingan memahami tanggungjawab danperanan serta meningkatkan pengetahuan dalam keselamatan aset ICT. Semua warga MAMPUhendaklah mematuhi terma dan syarat perkhidmatan serta peraturan semasa yang berkuat kuasa.040101 Sebelum PerkhidmatanPerkara-perkara yang mesti dipatuhi termasuk yang berikut:Semua(a)(b)(c)Menyatakan dengan lengkap dan jelas peranan dantanggungjawab pegawai dan kakitangan MAMPU serta pihak ketigayang terlibat dalam menjamin keselamatan aset ICT sebelum,semasa dan selepas perkhidmatan;Menjalankan tapisan keselamatan untuk pegawai dan kakitanganMAMPU serta pihak ketiga yang terlibat berasaskan keperluanperundangan, peraturan dan etika terpakai yang selaras dengankeperluan perkhidmatan, peringkat maklumat yang akan dicapaiserta risiko yang dijangkakan; danMematuhi semua terma dan syarat perkhidmatan yang ditawarkandan peraturan semasa yang berkuat kuasa berdasarkan perjanjianyang telah ditetapkan.040102 Dalam PerkhidmatanPerkara-perkara yang perlu dipatuhi termasuk yang berikut:Semua(a)(b)Memastikan pegawai dan kakitangan MAMPU serta pihak ketigayang berkepentingan mengurus keselamatan aset ICT berdasarkanperundangan dan peraturan yang ditetapkan oleh MAMPU;Memastikan latihan kesedaran dan yang berkaitan mengenaipengurusan keselamatan aset ICT diberi kepada pengguna ICTRUJUKAN VERSI TARIKH M/SURATDKICT MAMPU Versi 5.3 13/05/10 33 dari 91MAMPU, 2010

DASAR KESELAMATAN ICT MAMPUMAMPU secara berterusan dalam melaksanakan tugas-tugas dantanggungjawab mereka, dan sekiranya perlu diberi kepada pihakketiga yang berkepentingan dari semasa ke semasa;(c)(d)Memastikan adanya proses tindakan disiplin dan/atau undangundangke atas pegawai dan kakitangan MAMPU serta pihak ketigayang berkepentingan sekiranya berlaku perlanggaran denganperundangan dan peraturan ditetapkan oleh MAMPU; danMemantapkan pengetahuan berkaitan dengan penggunaan asetICT bagi memastikan setiap kemudahan ICT digunakan dengancara dan kaedah yang betul demi menjamin kepentingankeselamatan ICT. Sebarang kursus dan latihan teknikal yangdiperlukan, pengguna boleh merujuk kepada Bahagian KhidmatPengurusan dan Sumber Manusia, MAMPU.040103 Bertukar Atau Tamat PerkhidmatanPerkara-perkara yang perlu dipatuhi termasuk yang berikut:Semua(a)(b)Memastikan semua aset ICT dikembalikan kepada MAMPUmengikut peraturan dan/atau terma perkhidmatan yang ditetapkan;danMembatalkan atau menarik balik semua kebenaran capaian ke atasmaklumat dan kemudahan proses maklumat mengikut peraturanyang ditetapkan oleh MAMPU dan/atau terma perkhidmatan.RUJUKAN VERSI TARIKH M/SURATDKICT MAMPU Versi 5.3 13/05/10 34 dari 91MAMPU, 2010

DASAR KESELAMATAN ICT MAMPUBIDANG 05KESELAMATAN FIZIKAL DAN PERSEKITARAN0501 Keselamatan KawasanObjektif:Melindungi premis dan maklumat daripada sebarang bentuk pencerobohan, ancaman, kerosakanserta akses yang tidak dibenarkan.050101 Kawalan KawasanIni bertujuan untuk menghalang akses, kerosakan dan gangguan secara fizikalterhadap premis dan maklumat agensi.Perkara-perkara yang perlu dipatuhi termasuk yang berikut:(a) Kawasan keselamatan fizikal hendaklah dikenal pasti dengan jelas.Lokasi dan keteguhan keselamatan fizikal hendaklah bergantungkepada keperluan untuk melindungi aset dan hasil penilaian risiko;Pejabat KetuaPegawaiKeselamatanKerajaan(KPKK), CIOdan ICTSO(b)(c)(d)(e)(f)(g)(h)(i)Menggunakan keselamatan perimeter (halangan seperti dinding,pagar kawalan, pengawal keselamatan) untuk melindungi kawasanyang mengandungi maklumat dan kemudahan pemprosesanmaklumat;Memasang alat penggera atau kamera;Mengehadkan jalan keluar masuk;Mengadakan kaunter kawalan;Menyediakan tempat atau bilik khas untuk pelawat-pelawat;Mewujudkan perkhidmatan kawalan keselamatan;Melindungi kawasan terhad melalui kawalan pintu masuk yangbersesuaian bagi memastikan kakitangan yang diberi kebenaransahaja boleh melalui pintu masuk ini;Mereka bentuk dan melaksanakan keselamatan fizikal di dalamRUJUKAN VERSI TARIKH M/SURATDKICT MAMPU Versi 5.3 13/05/10 35 dari 91MAMPU, 2010

DASAR KESELAMATAN ICT MAMPUpejabat, bilik dan kemudahan;(j)(k)(l)Mereka bentuk dan melaksanakan perlindungan fizikal darikebakaran, banjir, letupan, kacau-bilau dan bencana;Menyediakan garis panduan untuk kakitangan yang bekerja didalam kawasan terhad; danMemastikan kawasan-kawasan penghantaran dan pemunggahandan juga tempat-tempat lain dikawal dari pihak yang tidak diberikebenaran memasukinya.050102 Kawalan Masuk FizikalPerkara-perkara yang perlu dipatuhi termasuk yang berikut:Semua(a)(b)(c)(d)Setiap pengguna MAMPU hendaklah memakai atau mengenakanpas keselamatan sepanjang waktu bertugas;Semua pas keselamatan hendaklah diserahkan balik kepadaMAMPU apabila pengguna berhenti atau bersara;Setiap pelawat hendaklah mendapatkan Pas Keselamatan Pelawatdi pintu kawalan utama Kompleks Jabatan Perdana Menteri.Amalan ini juga perlu dipatuhi di kompleks pejabat utama MAMPUSabah dan Sarawak. Pas ini hendaklah dikembalikan semulaselepas tamat lawatan; danKehilangan pas mestilah dilaporkan dengan segera.050103 Kawasan LaranganKawasan larangan ditakrifkan sebagai kawasan yang dihadkan kemasukankepada pegawai-pegawai yang tertentu sahaja. Ini dilaksanakan untukmelindungi aset ICT yang terdapat di dalam kawasan tersebut.PentadbirSistemKawasan larangan di MAMPU adalah bilik Ketua Pengarah, bilik TimbalanKetua Pengarah, pejabat Seksyen Pemantauan Siber (PRISMA), bilik server,bilik Operasi GOE-EGDMS dan Pusat Data (Data Centre).(a)Akses kepada kawasan larangan hanyalah kepada pegawaipegawaiyang dibenarkan sahaja; danRUJUKAN VERSI TARIKH M/SURATDKICT MAMPU Versi 5.3 13/05/10 36 dari 91MAMPU, 2010

DASAR KESELAMATAN ICT MAMPU(b)Pihak ketiga adalah dilarang sama sekali untuk memasuki kawasanlarangan kecuali, bagi kes-kes tertentu seperti memberiperkhidmatan sokongan atau bantuan teknikal, dan merekahendaklah diiringi sepanjang masa sehingga tugas di kawasanberkenaan selesai.0502 Keselamatan PeralatanObjektif:Melindungi peralatan ICT MAMPU dari kehilangan, kerosakan, kecurian serta gangguan kepadaperalatan tersebut.050201 Peralatan ICTPerkara-perkara yang perlu dipatuhi adalah seperti berikut:Semua(a)(b)(c)(d)(e)(f)(g)(h)Pengguna hendaklah menyemak dan memastikan semua peralatanICT di bawah kawalannya berfungsi dengan sempurna;Pengguna bertanggungjawab sepenuhnya ke atas komputermasing-masing dan tidak dibenarkan membuat sebarangpertukaran perkakasan dan konfigurasi yang telah ditetapkan;Pengguna dilarang sama sekali menambah, menanggal ataumengganti sebarang perkakasan ICT yang telah ditetapkan;Pengguna dilarang membuat instalasi sebarang perisian tambahantanpa kebenaran Pentadbir Sistem ICT;Pengguna adalah bertanggungjawab di atas kerosakan ataukehilangan peralatan ICT di bawah kawalannya;Pengguna mesti memastikan perisian antivirus di komputerperibadi mereka sentiasa aktif (activated) dan dikemas kini disamping melakukan imbasan ke atas media storan yangdigunakan;Penggunaan kata laluan untuk akses ke sistem komputer adalahdiwajibkan;Semua peralatan sokongan ICT hendaklah dilindungi daripadaRUJUKAN VERSI TARIKH M/SURATDKICT MAMPU Versi 5.3 13/05/10 37 dari 91MAMPU, 2010

DASAR KESELAMATAN ICT MAMPUkecurian, kerosakan, penyalahgunaan atau pengubahsuaian tanpakebenaran;(i)(j)(k)(l)(m)(n)(o)(p)(q)(r)(s)(t)Peralatan-peralatan kritikal perlu disokong oleh UninterruptablePower Supply (UPS);Semua peralatan ICT hendaklah disimpan atau diletakkan ditempat yang teratur, bersih dan mempunyai ciri-ciri keselamatan.Peralatan rangkaian seperti switches, hub, router dan lain-lain perludiletakkan di dalam rak khas dan berkunci;Semua peralatan yang digunakan secara berterusan mestilahdiletakkan di kawasan yang berhawa dingin dan mempunyaipengudaraan (air ventilation) yang sesuai;Peralatan ICT yang hendak dibawa keluar dari premis MAMPU,perlulah mendapat kelulusan Pentadbir Sistem ICT dan direkodkanbagi tujuan pemantauan;Peralatan ICT yang hilang hendaklah dilaporkan kepada ICTSOdan Pegawai Aset dengan segera;Pengendalian peralatan ICT hendaklah mematuhi dan merujukkepada peraturan semasa yang berkuat kuasa;Pengguna tidak dibenarkan mengubah kedudukan komputer daritempat asal ia ditempatkan tanpa kebenaran Pentadbir Sistem ICT;Sebarang kerosakan peralatan ICT hendaklah dilaporkan kepadaPentadbir Sistem ICT untuk di baik pulih;Sebarang pelekat selain bagi tujuan rasmi tidak dibenarkan. Inibagi menjamin peralatan tersebut sentiasa berkeadaan baik;Konfigurasi alamat IP tidak dibenarkan diubah daripada alamat IPyang asal;Pengguna dilarang sama sekali mengubah kata laluan bagipentadbir (administrator password) yang telah ditetapkan olehPentadbir Sistem ICT;Pengguna bertanggungjawab terhadap perkakasan, perisian danmaklumat di bawah jagaannya dan hendaklah digunakanRUJUKAN VERSI TARIKH M/SURATDKICT MAMPU Versi 5.3 13/05/10 38 dari 91MAMPU, 2010

DASAR KESELAMATAN ICT MAMPUsepenuhnya bagi urusan rasmi sahaja;(u)(v)(w)Pengguna hendaklah memastikan semua perkakasan komputer,pencetak dan pengimbas dalam keadaan “OFF” apabilameninggalkan pejabat;Sebarang bentuk penyelewengan atau salah guna peralatan ICThendaklah dilaporkan kepada ICTSO; danMemastikan plag dicabut daripada suis utama (main switch) bagimengelakkan kerosakan perkakasan sebelum meninggalkanpejabat jika berlaku kejadian seperti petir, kilat dan sebagainya.050202 Media StoranMedia storan merupakan peralatan elektronik yang digunakan untukmenyimpan data dan maklumat seperti disket, cakera padat, pita magnetik,optical disk, flash disk, CDROM, thumb drive dan media storan lain.SemuaMedia-media storan perlu dipastikan berada dalam keadaan yang baik,selamat, terjamin kerahsiaan, integriti dan kebolehsediaan untuk digunakan.Perkara-perkara yang perlu dipatuhi adalah seperti berikut:(a)(b)(c)(d)(e)Media storan hendaklah disimpan di ruang penyimpanan yang baikdan mempunyai ciri-ciri keselamatan bersesuaian dengankandungan maklumat;Akses untuk memasuki kawasan penyimpanan media storanhendaklah terhad kepada pengguna yang dibenarkan sahaja;Semua media storan perlu dikawal bagi mencegah dari capaianyang tidak dibenarkan, kecurian dan kemusnahan;Semua media storan yang mengandungi data kritikal hendaklahdisimpan di dalam peti keselamatan yang mempunyai ciri-cirikeselamatan termasuk tahan dari dipecahkan, api, air dan medanmagnet;Akses dan pergerakan media storan hendaklah direkodkan;RUJUKAN VERSI TARIKH M/SURATDKICT MAMPU Versi 5.3 13/05/10 39 dari 91MAMPU, 2010

DASAR KESELAMATAN ICT MAMPU(f)(g)(h)(i)Perkakasan backup hendaklah diletakkan di tempat yang terkawal;Mengadakan salinan atau penduaan (backup) pada media storankedua bagi tujuan keselamatan dan bagi mengelakkan kehilangandata;Semua media storan data yang hendak dilupuskan mestilahdihapuskan dengan teratur dan selamat; danPenghapusan maklumat atau kandungan media mestilah mendapatkelulusan pemilik maklumat terlebih dahulu.050203 Media Tandatangan DigitalPerkara-perkara yang perlu dipatuhi adalah seperti berikut:Semua(a)(b)(c)Pengguna hendaklah bertanggungjawab sepenuhnya ke atasmedia tandatangan digital bagi melindungi daripada kecurian,kehilangan, kerosakan, penyalahgunaan dan pengklonan;Media ini tidak boleh dipindah milik atau dipinjamkan; danSebarang insiden kehilangan yang berlaku hendaklah dilaporkandengan segera kepada ICTSO untuk tindakan seterusnya.050204 Media Perisian dan AplikasiPerkara-perkara yang perlu dipatuhi adalah seperti berikut:Semua(a)(b)(c)(d)Hanya perisian yang diperakui sahaja dibenarkan bagi kegunaanMAMPU;Sistem aplikasi dalaman tidak dibenarkan didemonstrasi ataudiagih kepada pihak lain kecuali dengan kebenaran Pengurus ICT;Lesen perisian (registration code, serials, CD-keys) perlu disimpanberasingan daripada CD-rom, disk atau media berkaitan bagimengelakkan dari berlakunya kecurian atau cetak rompak; danSource code sesuatu sistem hendaklah disimpan dengan teraturdan sebarang pindaan mestilah mengikut prosedur yangRUJUKAN VERSI TARIKH M/SURATDKICT MAMPU Versi 5.3 13/05/10 40 dari 91MAMPU, 2010

DASAR KESELAMATAN ICT MAMPUditetapkan.050205 Penyelenggaraan PerkakasanPerkakasan hendaklah diselenggarakan dengan betul bagi memastikankebolehsediaan, kerahsiaan dan integriti.Perkara-perkara yang perlu dipatuhi adalah seperti berikut:(a) Semua perkakasan yang diselenggara hendaklah mematuhispesifikasi yang ditetapkan oleh pengeluar;Pegawai Asetdan SeksyenTeknologiMaklumat,MAMPU(b)Memastikan perkakasan hanya boleh diselenggara olehkakitangan atau pihak yang dibenarkan sahaja;(c) Bertanggungjawab terhadap setiap perkakasan bagipenyelenggaraan perkakasan sama ada dalam tempoh jaminanatau telah habis tempoh jaminan;(d)Menyemak dan menguji semua perkakasan sebelum dan selepasproses penyelenggaraan;(e) Memaklumkan pengguna sebelum melaksanakanpenyelenggaraan mengikut jadual yang ditetapkan atau ataskeperluan; dan(f)Semua penyelenggaraan mestilah mendapat kebenaran daripadaPengurus ICT.050206 Peralatan di Luar PremisPerkakasan yang dibawa keluar dari premis MAMPU adalah terdedah kepadapelbagai risiko.SemuaPerkara-perkara yang perlu dipatuhi adalah seperti berikut:(a)(b)Peralatan perlu dilindungi dan dikawal sepanjang masa; danPenyimpanan atau penempatan peralatan mestilah mengambil kiraciri-ciri keselamatan yang bersesuaian.RUJUKAN VERSI TARIKH M/SURATDKICT MAMPU Versi 5.3 13/05/10 41 dari 91MAMPU, 2010

DASAR KESELAMATAN ICT MAMPU050207 Pelupusan PerkakasanPelupusan melibatkan semua peralatan ICT yang telah rosak, usang dan tidakboleh dibaiki sama ada harta modal atau inventori yang dibekalkan olehMAMPU dan ditempatkan di MAMPU.Peralatan ICT yang hendak dilupuskan perlu melalui prosedur pelupusansemasa. Pelupusan perlu dilakukan secara terkawal dan lengkap supayamaklumat tidak terlepas dari kawalan MAMPU.Semua,Pegawai Asetdan SeksyenTeknologiMaklumat,MAMPUPerkara-perkara yang perlu dipatuhi adalah seperti berikut:(a)(b)(c)(d)(e)(f)(g)(h)Semua kandungan peralatan khususnya maklumat rahsia rasmihendaklah dihapuskan terlebih dahulu sebelum pelupusan samaada melalui shredding, grinding, degauzing atau pembakaran;Sekiranya maklumat perlu disimpan, maka pengguna bolehlahmembuat penduaan;Peralatan ICT yang akan dilupuskan sebelum dipindah-milikhendaklah dipastikan data-data dalam storan telah dihapuskandengan cara yang selamat;Pegawai Aset hendaklah mengenal pasti sama ada peralatantertentu boleh dilupuskan atau sebaliknya;Peralatan yang hendak dilupus hendaklah disimpan di tempat yangtelah dikhaskan yang mempunyai ciri-ciri keselamatan bagimenjamin keselamatan peralatan tersebut;Pegawai aset bertanggungjawab merekodkan butir–butir pelupusandan mengemas kini rekod pelupusan peralatan ICT ke dalamsistem inventori MyAsset;Pelupusan peralatan ICT hendaklah dilakukan secara berpusat danmengikut tatacara pelupusan semasa yang berkuat kuasa; danPengguna ICT adalah DILARANG SAMA SEKALI daripadamelakukan perkara-perkara seperti berikut:i. Menyimpan mana-mana peralatan ICT yang hendakRUJUKAN VERSI TARIKH M/SURATDKICT MAMPU Versi 5.3 13/05/10 42 dari 91MAMPU, 2010

DASAR KESELAMATAN ICT MAMPUdilupuskan untuk milik peribadi. Mencabut, menanggal danmenyimpan perkakasan tambahan dalaman CPU sepertiRAM, hardisk, motherboard dan sebagainya;ii.iii.iv.Menyimpan dan memindahkan perkakasan luaran komputerseperti AVR, speaker dan mana-mana peralatan yangberkaitan ke mana-mana bahagian di MAMPU;Memindah keluar dari MAMPU mana-mana peralatan ICTyang hendak dilupuskan;Melupuskan sendiri peralatan ICT kerana kerja-kerjapelupusan di bawah tanggungjawab MAMPU; danv. Pengguna ICT bertanggungjawab memastikan segalamaklumat sulit dan rahsia di dalam komputer disalin padamedia storan kedua seperti disket atau thumb drive sebelummenghapuskan maklumat tersebut daripada peralatankomputer yang hendak dilupuskan.0503 Keselamatan PersekitaranObjektif:Melindungi aset ICT MAMPU dari sebarang bentuk ancaman persekitaran yang disebabkan olehbencana alam, kesilapan, kecuaian atau kemalangan.050301 Kawalan PersekitaranBagi menghindarkan kerosakan dan gangguan terhadap premis dan aset ICT,semua cadangan berkaitan premis sama ada untuk memperoleh, menyewa,ubahsuai, pembelian hendaklah dirujuk terlebih dahulu kepada Pejabat KetuaPegawai Keselamatan Kerajaan (KPKK).SemuaBagi menjamin keselamatan persekitaran, perkara-perkara berikut hendaklahdipatuhi:(a)Merancang dan menyediakan pelan keseluruhan susun atur pusatdata (bilik percetakan, peralatan komputer dan ruang atur pejabatRUJUKAN VERSI TARIKH M/SURATDKICT MAMPU Versi 5.3 13/05/10 43 dari 91MAMPU, 2010

DASAR KESELAMATAN ICT MAMPUdan sebagainya) dengan teliti;(b)(c)(d)(e)(f)(g)(h)Semua ruang pejabat khususnya kawasan yang mempunyaikemudahan ICT hendaklah dilengkapi dengan perlindungankeselamatan yang mencukupi dan dibenarkan seperti alatpencegah kebakaran dan pintu kecemasan;Peralatan perlindungan hendaklah dipasang di tempat yangbersesuaian, mudah dikenali dan dikendalikan;Bahan mudah terbakar hendaklah disimpan di luar kawasankemudahan penyimpanan aset ICT;Semua bahan cecair hendaklah diletakkan di tempat yangbersesuaian dan berjauhan dari aset ICT;Pengguna adalah dilarang merokok atau menggunakan peralatanmemasak seperti cerek elektrik berhampiran peralatan komputer;Semua peralatan perlindungan hendaklah disemak dan diujisekurang-kurangnya dua (2) kali dalam setahun. Aktiviti dankeputusan ujian ini perlu direkodkan bagi memudahkan rujukan dantindakan sekiranya perlu; danAkses kepada saluran riser hendaklah sentiasa dikunci.050302 Bekalan KuasaBekalan kuasa merupakan punca kuasa elektrik yang dibekalkan kepadaperalatan ICT.Perkara-perkara yang perlu dipatuhi adalah seperti berikut:(a) Semua peralatan ICT hendaklah dilindungi dari kegagalan bekalanelektrik dan bekalan yang sesuai hendaklah disalurkan kepadaperalatan ICT;SeksyenTeknologiMaklumat,MAMPU danICTSO(b)Peralatan sokongan seperti Uninterruptable Power Supply (UPS)dan penjana (generator) boleh digunakan bagi perkhidmatankritikal seperti di bilik server supaya mendapat bekalan kuasaRUJUKAN VERSI TARIKH M/SURATDKICT MAMPU Versi 5.3 13/05/10 44 dari 91MAMPU, 2010

DASAR KESELAMATAN ICT MAMPUberterusan; dan(c)Semua peralatan sokongan bekalan kuasa hendaklah disemakdan diuji secara berjadual.050303 KabelKabel komputer hendaklah dilindungi kerana ia boleh menyebabkan maklumatmenjadi terdedah.Langkah-langkah keselamatan yang perlu diambil adalah seperti berikut:(a) Menggunakan kabel yang mengikut spesifikasi yang telahditetapkan;SeksyenTeknologiMaklumat,MAMPU danICTSO(b)(c)(d)Melindungi kabel daripada kerosakan yang disengajakan atautidak disengajakan;Melindungi laluan pemasangan kabel sepenuhnya bagimengelakkan ancaman kerosakan dan wire tapping; danSemua kabel perlu dilabelkan dengan jelas dan mestilah melaluitrunking bagi memastikan keselamatan kabel daripada kerosakandan pintasan maklumat.050304 Prosedur KecemasanPerkara-perkara yang perlu dipatuhi adalah seperti berikut:(a) Setiap pengguna hendaklah membaca, memahami dan mematuhiprosedur kecemasan dengan merujuk kepada Garis PanduanKeselamatan MAMPU 2004; danSemua danPegawaiKeselamatanJabatan(b)Kecemasan persekitaran seperti kebakaran hendaklah dilaporkankepada Pegawai Keselamatan Jabatan (PKJ) yang dilantikmengikut aras.RUJUKAN VERSI TARIKH M/SURATDKICT MAMPU Versi 5.3 13/05/10 45 dari 91MAMPU, 2010

DASAR KESELAMATAN ICT MAMPU0504 Keselamatan DokumenObjektif:Melindungi maklumat MAMPU dari sebarang bentuk ancaman persekitaran yang disebabkan olehbencana alam, kesilapan atau kecuaian.050401 DokumenPerkara-perkara yang perlu dipatuhi adalah seperti berikut:Semua(a)(b)(c)(d)(e)Setiap dokumen hendaklah difail dan dilabelkan mengikutklasifikasi keselamatan seperti Terbuka, Terhad, Sulit, Rahsia atauRahsia Besar;Pergerakan fail dan dokumen hendaklah direkodkan dan perlulahmengikut prosedur keselamatan;Kehilangan dan kerosakan ke atas semua jenis dokumen perludimaklumkan mengikut prosedur Arahan Keselamatan;Pelupusan dokumen hendaklah mengikut prosedur keselamatansemasa seperti mana Arahan Keselamatan, Arahan Amalan(Jadual Pelupusan Rekod) dan tatacara Jabatan Arkib Negara;danMenggunakan enkripsi (encryption) ke atas dokumen rahsia rasmiyang disediakan dan dihantar secara elektronik.RUJUKAN VERSI TARIKH M/SURATDKICT MAMPU Versi 5.3 13/05/10 46 dari 91MAMPU, 2010

DASAR KESELAMATAN ICT MAMPUBIDANG 06PENGURUSAN OPERASI DAN KOMUNIKASI0601 Pengurusan Prosedur OperasiObjektif:Memastikan pengurusan operasi berfungsi dengan betul dan selamat daripada sebarang ancamandan gangguan.060101 Pengendalian ProsedurPerkara-perkara yang perlu dipatuhi adalah seperti berikut:Semua(a)(b)(c)Semua prosedur pengurusan operasi yang diwujud, dikenal pastidan diguna pakai hendaklah didokumen, disimpan dan dikawal;Setiap prosedur mestilah mengandungi arahan-arahan yang jelas,teratur dan lengkap seperti keperluan kapasiti, pengendalian danpemprosesan maklumat, pengendalian dan penghantaran ralat,pengendalian output, bantuan teknikal dan pemulihan sekiranyapemprosesan tergendala atau terhenti; danSemua prosedur hendaklah dikemas kini dari semasa ke semasaatau mengikut keperluan.060102 Kawalan PerubahanPerkara-perkara yang perlu dipatuhi adalah seperti berikut:Semua(a)(b)Pengubahsuaian yang melibatkan perkakasan, sistem untukpemprosesan maklumat, perisian, dan prosedur mestilahmendapat kebenaran daripada pegawai atasan atau pemilik asetICT terlebih dahulu;Aktiviti-aktiviti seperti memasang, menyelenggara, menghapus danmengemas kini mana-mana komponen sistem ICT hendaklahdikendalikan oleh pihak atau pegawai yang diberi kuasa danRUJUKAN VERSI TARIKH M/SURATDKICT MAMPU Versi 5.3 13/05/10 47 dari 91MAMPU, 2010

DASAR KESELAMATAN ICT MAMPUmempunyai pengetahuan atau terlibat secara langsung denganaset ICT berkenaan;(c)(d)Semua aktiviti pengubahsuaian komponen sistem ICT hendaklahmematuhi spesifikasi perubahan yang telah ditetapkan; danSemua aktiviti perubahan atau pengubahsuaian hendaklah direkod dan dikawal bagi mengelakkan berlakunya ralat sama adasecara sengaja atau pun tidak.060103 Pengasingan Tugas dan TanggungjawabPerkara-perkara yang perlu dipatuhi adalah seperti berikut:(a) Skop tugas dan tanggungjawab perlu diasingkan bagimengurangkan peluang berlaku penyalahgunaan ataupengubahsuaian yang tidak dibenarkan ke atas aset ICT;Pengurus ICTdan ICTSO(b)(c)Tugas mewujud, memadam, mengemas kini, mengubah danmengesahkan data hendaklah diasingkan bagi mengelakkandaripada capaian yang tidak dibenarkan serta melindungi aset ICTdaripada kesilapan, kebocoran maklumat terperingkat atau dimanipulasi; danPerkakasan yang digunakan bagi tugas membangun, mengemaskini, menyenggara dan menguji aplikasi hendaklah diasingkan dariperkakasan yang digunakan sebagai production. Pengasingan jugamerangkumi tindakan memisahkan antara kumpulan operasi danrangkaian.RUJUKAN VERSI TARIKH M/SURATDKICT MAMPU Versi 5.3 13/05/10 48 dari 91MAMPU, 2010

DASAR KESELAMATAN ICT MAMPU0602 Pengurusan Penyampaian Perkhidmatan Pihak KetigaObjektif:Memastikan pelaksanaan dan penyelenggaraan tahap keselamatan maklumat dan penyampaianperkhidmatan yang sesuai selaras dengan perjanjian perkhidmatan dengan pihak ketiga.060201 Perkhidmatan PenyampaianPerkara-perkara yang mesti dipatuhi adalah seperti berikut:Semua(a)(b)(c)Memastikan kawalan keselamatan, definisi perkhidmatan dantahap penyampaian yang terkandung dalam perjanjian dipatuhi,dilaksanakan dan diselenggarakan oleh pihak ketiga;Perkhidmatan, laporan dan rekod yang dikemukakan oleh pihakketiga perlu sentiasa dipantau, disemak semula dan diaudit darisemasa ke semasa; danPengurusan perubahan dasar perlu mengambil kira tahap kritikalsistem dan proses yang terlibat serta penilaian semula risiko.0603 Perancangan dan Penerimaan SistemObjektif:Meminimumkan risiko yang menyebabkan gangguan atau kegagalan sistem.060301 Perancangan KapasitiKapasiti sesuatu komponen atau sistem ICT hendaklah dirancang, diurus dandikawal dengan teliti oleh pegawai yang berkenaan bagi memastikankeperluannya adalah mencukupi dan bersesuaian untuk pembangunan dankegunaan sistem ICT pada masa akan datang.PentadbirSistem ICT danICTSOKeperluan kapasiti ini juga perlu mengambil kira ciri-ciri keselamatan ICT bagimeminimumkan risiko seperti gangguan pada perkhidmatan dan kerugianakibat pengubahsuaian yang tidak dirancang.RUJUKAN VERSI TARIKH M/SURATDKICT MAMPU Versi 5.3 13/05/10 49 dari 91MAMPU, 2010

DASAR KESELAMATAN ICT MAMPU060302 Penerimaan SistemSemua sistem baru (termasuklah sistem yang dikemas kini atau diubahsuai)hendaklah memenuhi kriteria yang ditetapkan sebelum diterima ataudipersetujui.PentadbirSistem ICT danICTSO0604 Perisian BerbahayaObjektif:Melindungi integriti perisian dan maklumat dari pendedahan atau kerosakan yang disebabkan olehperisian berbahaya seperti virus, trojan dan sebagainya.060401 Perlindungan dari Perisian BerbahayaPerkara-perkara yang perlu dipatuhi adalah seperti berikut:Semua(a)(b)(c)(d)(e)(f)(g)Memasang sistem keselamatan untuk mengesan perisian atauprogram berbahaya seperti anti virus, Intrusion Detection System(IDS) dan Intrusion Prevention System (IPS) serta mengikutprosedur penggunaan yang betul dan selamat;Memasang dan menggunakan hanya perisian yang tulen, berdaftardan dilindungi di bawah mana-mana undang-undang bertulis yangberkuat kuasa;Mengimbas semua perisian atau sistem dengan anti virus sebelummenggunakannya;Mengemas kini anti virus dengan pattern antivirus yang terkini;Menyemak kandungan sistem atau maklumat secara berkala bagimengesan aktiviti yang tidak diingini seperti kehilangan dankerosakan maklumat;Menghadiri sesi kesedaran mengenai ancaman perisian berbahayadan cara mengendalikannya;Memasukkan klausa tanggungan di dalam kontrak yang telahditawarkan kepada pembekal perisian. Klausa ini bertujuan untuktuntutan baik pulih sekiranya perisian tersebut mengandungiRUJUKAN VERSI TARIKH M/SURATDKICT MAMPU Versi 5.3 13/05/10 50 dari 91MAMPU, 2010

DASAR KESELAMATAN ICT MAMPUprogram berbahaya;(h)(i)Mengadakan program dan prosedur jaminan kualiti ke atas semuaperisian yang dibangunkan; danMemberi amaran mengenai ancaman keselamatan ICT sepertiserangan virus.060402 Perlindungan dari Mobile CodePenggunaan mobile code yang boleh mendatangkan ancaman keselamatanICT adalah tidak dibenarkan.Semua0605 HousekeepingObjektif:Melindungi integriti maklumat agar boleh diakses pada bila-bila masa.060501 BackupBagi memastikan sistem dapat dibangunkan semula setelah berlakunyabencana, backup hendaklah dilakukan setiap kali konfigurasi berubah.SemuaPerkara-perkara yang perlu dipatuhi adalah seperti berikut:(a)(b)(c)(d)Membuat backup keselamatan ke atas semua sistem perisian danaplikasi sekurang-kurangnya sekali atau setelah mendapat versiterbaru;Membuat backup ke atas semua data dan maklumat mengikutkeperluan operasi. Kekerapan backup bergantung pada tahapkritikal maklumat;Menguji sistem backup dan prosedur restore sedia ada bagimemastikan ianya dapat berfungsi dengan sempurna, bolehdipercayai dan berkesan apabila digunakan khususnya pada waktukecemasan;Menyimpan sekurang-kurangnya tiga (3) generasi backup; danRUJUKAN VERSI TARIKH M/SURATDKICT MAMPU Versi 5.3 13/05/10 51 dari 91MAMPU, 2010

DASAR KESELAMATAN ICT MAMPU(e)Merekod dan menyimpan salinan backup di lokasi yang berlainandan selamat.0606 Pengurusan RangkaianObjektif:Melindungi maklumat dalam rangkaian dan infrastruktur sokongan.060601 Kawalan Infrastruktur RangkaianInfrastruktur Rangkaian mestilah dikawal dan diuruskan sebaik mungkin demimelindungi ancaman kepada sistem dan aplikasi di dalam rangkaian.Perkara-perkara yang perlu dipatuhi adalah seperti berikut:(a) Tanggungjawab atau kerja-kerja operasi rangkaian dan komputerhendaklah diasingkan untuk mengurangkan capaian danpengubahsuaian yang tidak dibenarkan;SeksyenTeknologiMaklumat,MAMPU(b)(c)(d)(e)(f)(g)(h)Peralatan rangkaian hendaklah diletakkan di lokasi yangmempunyai ciri-ciri fizikal yang kukuh dan bebas dari risiko sepertibanjir, gegaran dan habuk;Capaian kepada peralatan rangkaian hendaklah dikawal danterhad kepada pengguna yang dibenarkan sahaja;Semua peralatan mestilah melalui proses Factory AcceptanceCheck (FAC) semasa pemasangan dan konfigurasi;Firewall hendaklah dipasang serta dikonfigurasi dan diselia olehPentadbir Sistem ICT;Semua trafik keluar dan masuk hendaklah melalui firewall di bawahkawalan MAMPU;Semua perisian sniffer atau network analyser adalah dilarangdipasang pada komputer pengguna kecuali mendapat kebenaranICTSO;Memasang perisian Intrusion Prevention System (IPS) bagiRUJUKAN VERSI TARIKH M/SURATDKICT MAMPU Versi 5.3 13/05/10 52 dari 91MAMPU, 2010

DASAR KESELAMATAN ICT MAMPUmengesan sebarang cubaan menceroboh dan aktiviti-aktiviti lainyang boleh mengancam sistem dan maklumat MAMPU;(i)(j)(k)Memasang Web Content Filtering pada Internet Gateway untukmenyekat aktiviti yang dilarang;Sebarang penyambungan rangkaian yang bukan di bawah kawalanMAMPU adalah tidak dibenarkan;Semua pengguna hanya dibenarkan menggunakan rangkaianMAMPU sahaja dan penggunaan modem adalah dilarang samasekali; dan(l) Kemudahan bagi wireless LAN perlu dipastikan kawalankeselamatan.0607 Pengurusan MediaObjektif:Melindungi aset ICT dari sebarang pendedahan, pengubahsuaian, pemindahan atau pemusnahanserta gangguan ke atas aktiviti perkhidmatan.060701 Penghantaran dan PemindahanPenghantaran atau pemindahan media ke luar pejabat hendaklah mendapatkebenaran daripada pemilik terlebih dahulu.Semua060702 Prosedur Pengendalian MediaProsedur-prosedur pengendalian media yang perlu dipatuhi adalah sepertiberikut:Semua(a)(b)(c)Melabelkan semua media mengikut tahap sensitiviti sesuatumaklumat;Mengehadkan dan menentukan capaian media kepada penggunayang dibenarkan sahaja;Mengehadkan pengedaran data atau media untuk tujuan yangRUJUKAN VERSI TARIKH M/SURATDKICT MAMPU Versi 5.3 13/05/10 53 dari 91MAMPU, 2010

DASAR KESELAMATAN ICT MAMPUdibenarkan sahaja;(d)(e)(f)Mengawal dan merekodkan aktiviti penyelenggaraan media bagimengelak dari sebarang kerosakan dan pendedahan yang tidakdibenarkan;Menyimpan semua media di tempat yang selamat; danMedia yang mengandungi maklumat terperingkat yang hendakdihapuskan atau dimusnahkan mestilah dilupuskan mengikutprosedur yang betul dan selamat.060703 Keselamatan Sistem DokumentasiPerkara-perkara yang perlu dipatuhi dalam memastikan keselamatan sistemdokumentasi adalah seperti berikut:Semua(a)(b)(c)Memastikan sistem penyimpanan dokumentasi mempunyai ciri-cirikeselamatan;Menyedia dan memantapkan keselamatan sistem dokumentasi;danMengawal dan merekodkan semua aktiviti capaian dokumentasisedia ada.0608 Pengurusan Pertukaran MaklumatObjektif:Memastikan keselamatan pertukaran maklumat dan perisian antara MAMPU dan agensi luarterjamin.060801 Pertukaran MaklumatPerkara-perkara yang perlu dipatuhi adalah seperti berikut:Semua(a)Dasar, prosedur dan kawalan pertukaran maklumat yang formalperlu diwujudkan untuk melindungi pertukaran maklumat melaluipenggunaan pelbagai jenis kemudahan komunikasi;RUJUKAN VERSI TARIKH M/SURATDKICT MAMPU Versi 5.3 13/05/10 54 dari 91MAMPU, 2010

DASAR KESELAMATAN ICT MAMPU(b)(c)(d)Perjanjian perlu diwujudkan untuk pertukaran maklumat danperisian di antara MAMPU dengan agensi luar;Media yang mengandungi maklumat perlu dilindungi daripadacapaian yang tidak dibenarkan, penyalahgunaan atau kerosakansemasa pemindahan keluar dari MAMPU; danMaklumat yang terdapat dalam mel elektronik perlu dilindungisebaik-baiknya.060802 Pengurusan Mel Elektronik (E-mel)Penggunaan e-mel di MAMPU hendaklah dipantau secara berterusan olehPentadbir E-mel untuk memenuhi keperluan etika penggunaan e-mel danInternet yang terkandung dalam Pekeliling Kemajuan Pentadbiran AwamBilangan 1 Tahun 2003 bertajuk “Garis Panduan Mengenai TatacaraPenggunaan Internet dan Mel Elektronik di Agensi-agensi Kerajaan” dan manamanaundang-undang bertulis yang berkuat kuasa.SemuaPerkara-perkara yang perlu dipatuhi dalam pengendalian mel elektronik adalahseperti berikut:(a)(b)(c)(d)(e)(f)Akaun atau alamat mel elektronik (e-mel) yang diperuntukkan olehMAMPU sahaja boleh digunakan. Penggunaan akaun milik oranglain atau akaun yang dikongsi bersama adalah dilarang;Setiap e-mel yang disediakan hendaklah mematuhi format yangtelah ditetapkan oleh MAMPU;Memastikan subjek dan kandungan e-mel adalah berkaitan danmenyentuh perkara perbincangan yang sama sebelumpenghantaran dilakukan;Penghantaran e-mel rasmi hendaklah menggunakan akaun e-melrasmi dan pastikan alamat e-mel penerima adalah betul;Pengguna dinasihatkan menggunakan fail kepilan, sekiranyaperlu, tidak melebihi sepuluh megabait (10Mb) semasapenghantaran. Kaedah pemampatan untuk mengurangkan saizadalah disarankan;Pengguna hendaklah mengelak dari membuka e-mel daripadaRUJUKAN VERSI TARIKH M/SURATDKICT MAMPU Versi 5.3 13/05/10 55 dari 91MAMPU, 2010

DASAR KESELAMATAN ICT MAMPUpenghantar yang tidak diketahui atau diragui;(g)(h)(i)(j)(k)(l)(m)Pengguna hendaklah mengenal pasti dan mengesahkan identitipengguna yang berkomunikasi dengannya sebelum meneruskantransaksi maklumat melalui e-mel;Setiap e-mel rasmi yang dihantar atau diterima hendaklahdisimpan mengikut tatacara pengurusan sistem fail elektronikyang telah ditetapkan;E-mel yang tidak penting dan tidak mempunyai nilai arkib yangtelah diambil tindakan dan tidak diperlukan lagi bolehlahdihapuskan;Pengguna hendaklah menentukan tarikh dan masa sistemkomputer adalah tepat;Mengambil tindakan dan memberi maklum balas terhadap e-meldengan cepat dan mengambil tindakan segera;Pengguna hendaklah memastikan alamat e-mel persendirian(seperti yahoo.com, gmail.com, streamyx.com.my dansebagainya) tidak boleh digunakan untuk tujuan rasmi; danPengguna hendaklah bertanggungjawab ke atas pengemaskiniandan penggunaan mailbox masing-masing.0609 Perkhidmatan E-Dagang (Electronic Commerce Services)Objektif:Mengawal sensitiviti aplikasi dan maklumat dalam perkhidmatan ini agar sebarang risiko sepertipenyalahgunaan maklumat, kecurian maklumat serta pindaan yang tidak sah dapat dihalang.060901 E-DagangBagi menggalakkan pertumbuhan e-dagang serta sebagai menyokong hasratkerajaan mempopularkan penyampaian perkhidmatan melalui elektronik,pengguna boleh menggunakan kemudahan Internet.SemuaPerkara-perkara yang perlu dipatuhi adalah seperti berikut:RUJUKAN VERSI TARIKH M/SURATDKICT MAMPU Versi 5.3 13/05/10 56 dari 91MAMPU, 2010

DASAR KESELAMATAN ICT MAMPU(a)(b)(c)Maklumat yang terlibat dalam e-dagang perlu dilindungi daripadaaktiviti penipuan, pertikaian kontrak dan pendedahan sertapengubahsuaian yang tidak dibenarkan;Maklumat yang terlibat dalam transaksi dalam talian (on-line) perludilindungi bagi mengelak penghantaran yang tidak lengkap, salahdestinasi, pengubahsuaian, pendedahan, duplikasi ataupengulangan mesej yang tidak dibenarkan; danIntegriti maklumat yang disediakan untuk sistem yang boleh dicapaioleh orang awam atau pihak lain yang berkepentingan hendaklahdilindungi untuk mencegah sebarang pindaan yang tidakdiperakukan.060902 Maklumat UmumPerkara-perkara yang perlu dipatuhi dalam memastikan keselamatan maklumatadalah seperti berikut:Semua(a)(b)(c)Memastikan perisian, data dan maklumat dilindungi denganmekanisme yang bersesuaian;Memastikan sistem yang boleh diakses oleh orang awam diujiterlebih dahulu; danMemastikan segala maklumat yang hendak dipaparkan telah disahdan diluluskan sebelum dimuat naik ke laman web.0610 PemantauanObjektif:Memastikan pengesanan aktiviti pemprosesan maklumat yang tidak dibenarkan.061001 Pengauditan dan Forensik ICTICTSO mestilah bertanggungjawab merekod dan menganalisis perkara-perkaraberikut:ICTSO(a)Sebarang percubaan pencerobohan kepada sistem ICT MAMPU;RUJUKAN VERSI TARIKH M/SURATDKICT MAMPU Versi 5.3 13/05/10 57 dari 91MAMPU, 2010

DASAR KESELAMATAN ICT MAMPU(b)(c)(d)(e)(f)(g)(h)Serangan kod perosak (malicious code), halangan pemberianperkhidmatan (denial of service), spam, pemalsuan (forgery,phising), pencerobohan (intrusion), ancaman (threats) dankehilangan fizikal (physical loss);Pengubahsuaian ciri-ciri perkakasan, perisian atau mana-manakomponen sesebuah sistem tanpa pengetahuan, arahan ataupersetujuan mana-mana pihak;Aktiviti melayari, menyimpan atau mengedar bahan-bahan lucah,berunsur fitnah dan propaganda anti kerajaan;Aktiviti pewujudan perkhidmatan-perkhidmatan yang tidakdibenarkan;Aktiviti instalasi dan penggunaan perisian yang membebankan jalurlebar (bandwidth) rangkaian;Aktiviti penyalahgunaan akaun e-mel; danAktiviti penukaran alamat IP (IP address) selain daripada yang telahdiperuntukkan tanpa kebenaran Pentadbir Sistem ICT.061002 Jejak AuditSetiap sistem mestilah mempunyai jejak audit (audit trail). Jejak audit merekodaktiviti-aktiviti yang berlaku dalam sistem secara kronologi bagi membenarkanpemeriksaan dan pembinaan semula dilakukan bagi susunan dan perubahandalam sesuatu acara.PentadbirSistem ICTJejak audit hendaklah mengandungi maklumat-maklumat berikut:(a)(b)(c)(d)Rekod setiap aktiviti transaksi;Maklumat jejak audit mengandungi identiti pengguna, sumber yangdigunakan, perubahan maklumat, tarikh dan masa aktiviti,rangkaian dan aplikasi yang digunakan;Aktiviti capaian pengguna ke atas sistem ICT sama ada secara sahatau sebaliknya; danMaklumat aktiviti sistem yang tidak normal atau aktiviti yang tidakRUJUKAN VERSI TARIKH M/SURATDKICT MAMPU Versi 5.3 13/05/10 58 dari 91MAMPU, 2010

DASAR KESELAMATAN ICT MAMPUmempunyai ciri-ciri keselamatan.Jejak audit hendaklah disimpan untuk tempoh masa seperti yang disarankanoleh Arahan Teknologi Maklumat dan Akta Arkib Negara.Pentadbir Sistem ICT hendaklah menyemak catatan jejak audit dari semasa kesemasa dan menyediakan laporan jika perlu. Ini akan dapat membantumengesan aktiviti yang tidak normal dengan lebih awal. Jejak audit juga perludilindungi dari kerosakan, kehilangan, penghapusan, pemalsuan danpengubahsuaian yang tidak dibenarkan.061003 Sistem LogPentadbir Sistem ICT hendaklah melaksanakan perkara-perkara berikut:(a) Mewujudkan sistem log bagi merekodkan semua aktiviti harianpengguna;PentadbirSistem ICT(b)(c)Menyemak sistem log secara berkala bagi mengesan ralat yangmenyebabkan gangguan kepada sistem dan mengambil tindakanmembaik pulih dengan segera; danSekiranya wujud aktiviti-aktiviti lain yang tidak sah seperti kecurianmaklumat dan pencerobohan, Pentadbir Sistem ICT hendaklahmelaporkan kepada ICTSO dan CIO.061004 Pemantauan LogPerkara-perkara yang perlu dipatuhi adalah seperti berikut:(a) Log Audit yang merekodkan semua aktiviti perlu dihasilkan dandisimpan untuk tempoh masa yang dipersetujui bagi membantusiasatan dan memantau kawalan capaian;(b) Prosedur untuk memantau penggunaan kemudahan memprosesmaklumat perlu diwujud dan hasilnya perlu dipantau secaraberkala;SeksyenTeknologiMaklumat,MAMPU danPentadbirSistem ICTRUJUKAN VERSI TARIKH M/SURATDKICT MAMPU Versi 5.3 13/05/10 59 dari 91MAMPU, 2010

DASAR KESELAMATAN ICT MAMPU(c)(d)(e)(f)Kemudahan merekod dan maklumat log perlu dilindungi daripadadiubahsuai dan sebarang capaian yang tidak dibenarkan;Aktiviti pentadbiran dan operator sistem perlu direkodkan;Kesalahan, kesilapan dan/atau penyalahgunaan perlu direkodkanlog, dianalisis dan diambil tindakan sewajarnya; danWaktu yang berkaitan dengan sistem pemprosesan maklumatdalam MAMPU atau domain keselamatan perlu diselaraskandengan satu sumber waktu yang dipersetujui.RUJUKAN VERSI TARIKH M/SURATDKICT MAMPU Versi 5.3 13/05/10 60 dari 91MAMPU, 2010

DASAR KESELAMATAN ICT MAMPUBIDANG 07KAWALAN CAPAIAN0701 Dasar Kawalan CapaianObjektif:Mengawal capaian ke atas maklumat.070101 Keperluan Kawalan CapaianCapaian kepada proses dan maklumat hendaklah dikawal mengikut keperluankeselamatan dan fungsi kerja pengguna yang berbeza. Ia perlu direkodkan,dikemas kini dan menyokong dasar kawalan capaian pengguna sedia ada.Peraturan kawalan capaian hendaklah diwujudkan, didokumenkan dan dikajisemula berasaskan keperluan perkhidmatan dan keselamatan.SeksyenTeknologiMaklumat,MAMPU danICTSOPerkara-perkara yang perlu dipatuhi adalah seperti berikut:(a)(b)(c)(d)Kawalan capaian ke atas aset ICT mengikut keperluan keselamatandan peranan pengguna;Kawalan capaian ke atas perkhidmatan rangkaian dalaman danluaran;Keselamatan maklumat yang dicapai menggunakan kemudahanatau peralatan mudah alih; danKawalan ke atas kemudahan pemprosesan maklumat.0702 Pengurusan Capaian PenggunaObjektif:Mengawal capaian pengguna ke atas aset ICT MAMPU.070201 Akaun PenggunaSetiap pengguna adalah bertanggungjawab ke atas sistem ICT yang digunakan.Semua danRUJUKAN VERSI TARIKH M/SURATDKICT MAMPU Versi 5.3 13/05/10 61 dari 91MAMPU, 2010

DASAR KESELAMATAN ICT MAMPUBagi mengenal pasti pengguna dan aktiviti yang dilakukan, perkara-perkaraberikut hendaklah dipatuhi:PentadbirSistem ICT(a)(b)(c)(d)(e)(f)Akaun yang diperuntukkan oleh MAMPU sahaja boleh digunakan;Akaun pengguna mestilah unik dan hendaklah mencerminkanidentiti pengguna;Akaun pengguna yang diwujudkan pertama kali akan diberi tahapcapaian paling minimum iaitu untuk melihat dan membaca sahaja.Sebarang perubahan tahap capaian hendaklah mendapat kelulusandaripada pemilik sistem ICT terlebih dahulu;Pemilikan akaun pengguna bukanlah hak mutlak seseorang dan iatertakluk kepada peraturan MAMPU. Akaun boleh ditarik balik jikapenggunaannya melanggar peraturan;Penggunaan akaun milik orang lain atau akaun yang dikongsibersama adalah dilarang; danPentadbir Sistem ICT boleh membeku dan menamatkan akaunpengguna atas sebab-sebab berikut:i. Pengguna yang bercuti panjang dalam tempoh waktu melebihidua (2) minggu;ii.iii.iv.Bertukar bidang tugas kerja;Bertukar ke agensi lain;Bersara; atauv. Ditamatkan perkhidmatan.070202 Hak CapaianPenetapan dan penggunaan ke atas hak capaian perlu diberi kawalan danpenyeliaan yang ketat berdasarkan keperluan skop tugas.PentadbirSistem ICT070203 Pengurusan Kata LaluanPemilihan, penggunaan dan pengurusan kata laluan sebagai laluan utama bagiSemua danRUJUKAN VERSI TARIKH M/SURATDKICT MAMPU Versi 5.3 13/05/10 62 dari 91MAMPU, 2010

DASAR KESELAMATAN ICT MAMPUmencapai maklumat dan data dalam sistem mestilah mematuhi amalan terbaikserta prosedur yang ditetapkan oleh MAMPU seperti berikut:PentadbirSistem ICT(a)(b)Dalam apa jua keadaan dan sebab, kata laluan hendaklahdilindungi dan tidak boleh dikongsi dengan sesiapa pun;Pengguna hendaklah menukar kata laluan apabila disyakiberlakunya kebocoran kata laluan atau dikompromi;(c) Panjang kata laluan mestilah sekurang-kurangnya dua belas (12)aksara dengan gabungan aksara, angka dan aksara khusus;(d)(e)(f)(g)(h)(i)(j)(k)Kata laluan hendaklah diingat dan TIDAK BOLEH dicatat, disimpanatau didedahkan dengan apa cara sekalipun;Kata laluan windows dan screen saver hendaklah diaktifkanterutamanya pada komputer yang terletak di ruang guna sama;Kata laluan hendaklah tidak dipaparkan semasa input, dalamlaporan atau media lain dan tidak boleh dikodkan di dalam program;Kuatkuasakan pertukaran kata laluan semasa login kali pertamaatau selepas login kali pertama atau selepas kata laluan disetsemula;Kata laluan hendaklah berlainan daripada pengenalan identitipengguna;Tentukan had masa pengesahan selama dua (2) minit (mengikutkesesuaian sistem) dan selepas had itu, sesi ditamatkan;Kata laluan hendaklah ditukar selepas 90 hari atau selepas tempohmasa yang bersesuaian; danMengelakkan penggunaan semula kata laluan yang barudigunakan.070204 Clear Desk dan Clear ScreenSemua maklumat dalam apa jua bentuk media hendaklah disimpan denganteratur dan selamat bagi mengelakkan kerosakan, kecurian atau kehilangan.SemuaClear Desk dan Clear Screen bermaksud tidak meninggalkan bahan-bahan yangRUJUKAN VERSI TARIKH M/SURATDKICT MAMPU Versi 5.3 13/05/10 63 dari 91MAMPU, 2010

DASAR KESELAMATAN ICT MAMPUsensitif terdedah sama ada atas meja pengguna atau di paparan skrin apabilapengguna tidak berada di tempatnya.Perkara-perkara yang perlu dipatuhi adalah seperti berikut:(a)(b)(c)Menggunakan kemudahan password screen saver atau logoutapabila meninggalkan komputer;Menyimpan bahan-bahan sensitif di dalam laci atau kabinet failyang berkunci; danMemastikan semua dokumen diambil segera dari pencetak,pengimbas, mesin faksimile dan mesin fotostat.0703 Kawalan Capaian RangkaianObjektif:Menghalang capaian tidak sah dan tanpa kebenaran ke atas perkhidmatan rangkaian.070301 Capaian RangkaianKawalan capaian perkhidmatan rangkaian hendaklah dijamin selamat dengan:(a) Menempatkan atau memasang antara muka yang bersesuaian diantara rangkaian MAMPU, rangkaian agensi lain dan rangkaianawam;PentadbirSistem ICT danICTSO(b)(c)Mewujudkan dan menguatkuasakan mekanisme untuk pengesahanpengguna dan peralatan yang menepati kesesuaianpenggunaannya; danMemantau dan menguatkuasakan kawalan capaian penggunaterhadap perkhidmatan rangkaian ICT.070302 Capaian InternetPerkara-perkara yang perlu dipatuhi adalah seperti berikut:(a)Penggunaan Internet di MAMPU hendaklah dipantau secaraberterusan oleh Pentadbir Rangkaian bagi memastikanpenggunaannya untuk tujuan capaian yang dibenarkan sahaja.PentadbirRangkaianRUJUKAN VERSI TARIKH M/SURATDKICT MAMPU Versi 5.3 13/05/10 64 dari 91MAMPU, 2010

DASAR KESELAMATAN ICT MAMPUKewaspadaan ini akan dapat melindungi daripada kemasukanmalicious code, virus dan bahan-bahan yang tidak sepatutnya kedalam rangkaian MAMPU;(b)(c)(d)(e)(f)(g)(h)(i)(j)(k)Kaedah Content Filtering mestilah digunakan bagi mengawal aksesInternet mengikut fungsi kerja dan pemantauan tahap pematuhan;Penggunaan teknologi (packet shaper) untuk mengawal aktiviti(video conferencing, video streaming, chat, downloading) adalahperlu bagi menguruskan penggunaan jalur lebar (bandwidth) yangmaksimum dan lebih berkesan;Penggunaan Internet hanyalah untuk kegunaan rasmi sahaja.Pengurus ICT berhak menentukan pengguna yang dibenarkanmenggunakan Internet atau sebaliknya;Laman yang dilayari hendaklah hanya yang berkaitan denganbidang kerja dan terhad untuk tujuan yang dibenarkan oleh KetuaPengarah/ pegawai yang diberi kuasa;Bahan yang diperoleh dari Internet hendaklah ditentukan ketepatandan kesahihannya. Sebagai amalan terbaik, rujukan sumberInternet hendaklah dinyatakan;Bahan rasmi hendaklah disemak dan mendapat pengesahandaripada Pengarah Bahagian sebelum dimuat naik ke Internet;Pengguna hanya dibenarkan memuat turun bahan yang sah sepertiperisian yang berdaftar dan di bawah hak cipta terpelihara;Sebarang bahan yang dimuat turun dari Internet hendaklahdigunakan untuk tujuan yang dibenarkan oleh MAMPU;Hanya pegawai yang mendapat kebenaran sahaja bolehmenggunakan kemudahan perbincangan awam seperti newsgroupdan bulletin board. Walau bagaimanapun, kandungan perbincanganawam ini hendaklah mendapat kelulusan daripada CIO terlebihdahulu tertakluk kepada dasar dan peraturan yang telah ditetapkan;Penggunaan modem untuk tujuan sambungan ke Internet tidakdibenarkan sama sekali; danPengurus ICTSemuaRUJUKAN VERSI TARIKH M/SURATDKICT MAMPU Versi 5.3 13/05/10 65 dari 91MAMPU, 2010

DASAR KESELAMATAN ICT MAMPU(l)Pengguna adalah dilarang melakukan aktiviti-aktiviti seperti berikut:i. Memuat naik, memuat turun, menyimpan dan menggunakanperisian tidak berlesen dan sebarang aplikasi sepertipermainan elektronik, video, lagu yang boleh menjejaskantahap capaian internet; danii.Menyedia, memuat naik, memuat turun dan menyimpanmaterial, teks ucapan atau bahan-bahan yang mengandungiunsur-unsur lucah.0704 Kawalan Capaian Sistem PengoperasianObjektif:Menghalang capaian tidak sah dan tanpa kebenaran ke atas sistem pengoperasian.070401 Capaian Sistem PengoperasianKawalan capaian sistem pengoperasian perlu bagi mengelakkan sebarangcapaian yang tidak dibenarkan. Kemudahan keselamatan dalam sistem operasiperlu digunakan untuk menghalang capaian ke sumber sistem komputer.Kemudahan ini juga perlu bagi:PentadbirSistem ICT danICTSO(a)(b)Mengenal pasti identiti, terminal atau lokasi bagi setiap penggunayang dibenarkan; danMerekodkan capaian yang berjaya dan gagal.Kaedah-kaedah yang digunakan hendaklah mampu menyokong perkara-perkaraberikut:(a)(b)(c)Mengesahkan pengguna yang dibenarkan;Mewujudkan jejak audit ke atas semua capaian sistempengoperasian terutama pengguna bertaraf super user; danMenjana amaran (alert) sekiranya berlaku perlanggaran ke atasperaturan keselamatan sistem.RUJUKAN VERSI TARIKH M/SURATDKICT MAMPU Versi 5.3 13/05/10 66 dari 91MAMPU, 2010

DASAR KESELAMATAN ICT MAMPUPerkara-perkara yang perlu dipatuhi adalah seperti berikut:(a)(b)(c)(d)Mengawal capaian ke atas sistem pengoperasian menggunakanprosedur log on yang terjamin;Mewujudkan satu pengenalan diri (ID) yang unik untuk setiappengguna dan hanya digunakan oleh pengguna berkenaan sahaja;Mengehadkan dan mengawal penggunaan program; danMengehadkan tempoh sambungan ke sesebuah aplikasi berisikotinggi.070402 Kad PintarPerkara-perkara yang perlu dipatuhi adalah seperti berikut:Semua(a)(b)(c)(d)Penggunaan kad pintar Kerajaan Elektronik (Kad EG) hendaklahdigunakan bagi capaian sistem Kerajaan Elektronik yangdikhususkan;Kad pintar hendaklah disimpan di tempat selamat bagi mengelakkansebarang kecurian atau digunakan oleh pihak lain;Perkongsian kad pintar untuk sebarang capaian sistem adalah tidakdibenarkan sama sekali. Kad pintar yang salah kata laluan sebanyaktiga (3) kali cubaan akan disekat; danSebarang kehilangan, kerosakan dan kata laluan disekat perludimaklumkan kepada Seksyen Teknologi Maklumat, BahagianKhidmat Pengurusan dan Sumber Manusia, MAMPU.RUJUKAN VERSI TARIKH M/SURATDKICT MAMPU Versi 5.3 13/05/10 67 dari 91MAMPU, 2010

DASAR KESELAMATAN ICT MAMPU0705 Kawalan Capaian Aplikasi dan MaklumatObjektif:Menghalang capaian tidak sah dan tanpa kebenaran ke atas maklumat yang terdapat di dalamsistem aplikasi070501 Capaian Aplikasi dan MaklumatBertujuan melindungi sistem aplikasi dan maklumat sedia ada dari sebarangbentuk capaian yang tidak dibenarkan yang boleh menyebabkan kerosakan.Bagi memastikan kawalan capaian sistem dan aplikasi adalah kukuh, perkaraperkaraberikut hendaklah dipatuhi:PentadbirSistem ICT danICTSO(a)(b)(c)(d)(e)Pengguna hanya boleh menggunakan sistem maklumat dan aplikasiyang dibenarkan mengikut tahap capaian dan keselamatanmaklumat yang telah ditentukan;Setiap aktiviti capaian sistem maklumat dan aplikasi penggunahendaklah direkodkan (sistem log);Mengehadkan capaian sistem dan aplikasi kepada tiga (3) kalipercubaan. Sekiranya gagal, akaun atau kata laluan penggunaakan disekat;Memastikan kawalan sistem rangkaian adalah kukuh dan lengkapdengan ciri-ciri keselamatan bagi mengelakkan aktiviti atau capaianyang tidak sah; danCapaian sistem maklumat dan aplikasi melalui jarak jauh adalahdigalakkan. Walau bagaimanapun, penggunaannya terhad kepadaperkhidmatan yang dibenarkan sahaja.RUJUKAN VERSI TARIKH M/SURATDKICT MAMPU Versi 5.3 13/05/10 68 dari 91MAMPU, 2010

DASAR KESELAMATAN ICT MAMPU0706 Peralatan Mudah Alih dan Kerja Jarak JauhObjektif:Memastikan keselamatan maklumat semasa menggunakan peralatan mudah alih dan kemudahankerja jarak jauh070601 Peralatan Mudah AlihPerkara yang perlu dipatuhi adalah seperti berikut:Semua(a)Peralatan mudah alih hendaklah disimpan dan dikunci di tempatyang selamat apabila tidak digunakan.070602 Kerja Jarak JauhPerkara yang perlu dipatuhi adalah seperti berikut:Semua(a)Tindakan perlindungan hendaklah diambil bagi menghalangkehilangan peralatan, pendedahan maklumat dan capaian tidak sahserta salah guna kemudahan.RUJUKAN VERSI TARIKH M/SURATDKICT MAMPU Versi 5.3 13/05/10 69 dari 91MAMPU, 2010

DASAR KESELAMATAN ICT MAMPUBIDANG 08PEROLEHAN, PEMBANGUNAN DAN PENYELENGGARAAN SISTEM0801 Keselamatan Dalam Membangunkan Sistem dan AplikasiObjektif:Memastikan sistem yang dibangunkan sendiri atau pihak ketiga mempunyai ciri-ciri keselamatanICT yang bersesuaian.080101 Keperluan Keselamatan Sistem MaklumatPerkara-perkara yang perlu dipatuhi adalah seperti berikut:(a) Perolehan, pembangunan, penambahbaikan dan penyelenggaraansistem hendaklah mengambil kira kawalan keselamatan bagimemastikan tidak wujudnya sebarang ralat yang bolehmengganggu pemprosesan dan ketepatan maklumat;Pemilik Sistem,PentadbirSistem ICT danICTSO(b)(c)(d)Ujian keselamatan hendaklah dijalankan ke atas sistem inputuntuk menyemak pengesahan dan integriti data yang dimasukkan,sistem pemprosesan untuk menentukan sama ada programberjalan dengan betul dan sempurna dan; sistem output untukmemastikan data yang telah diproses adalah tepat;Aplikasi perlu mengandungi semakan pengesahan (validation)untuk mengelakkan sebarang kerosakan maklumat akibatkesilapan pemprosesan atau perlakuan yang disengajakan; danSemua sistem yang dibangunkan sama ada secara dalaman atausebaliknya hendaklah diuji terlebih dahulu bagi memastikan sistemberkenaan memenuhi keperluan keselamatan yang telahditetapkan sebelum digunakan.080102 Pengesahan Data Input dan OutputPerkara-perkara yang perlu dipatuhi adalah seperti berikut:Pemilik Sistemdan PentadbirRUJUKAN VERSI TARIKH M/SURATDKICT MAMPU Versi 5.3 13/05/10 70 dari 91MAMPU, 2010

DASAR KESELAMATAN ICT MAMPU(a)(b)Data input bagi aplikasi perlu disahkan bagi memastikan data yangdimasukkan betul dan bersesuaian; danData output daripada aplikasi perlu disahkan bagi memastikanmaklumat yang dihasilkan adalah tepat.Sistem ICT0802 Kawalan KriptografiObjektif:Melindungi kerahsiaan, integriti dan kesahihan maklumat melalui kawalan kriptografi.080201 EnkripsiPengguna hendaklah membuat enkripsi (encryption) ke atas maklumat sensitifatau maklumat rahsia rasmi pada setiap masa.Semua080202 Tandatangan DigitalPenggunaan tandatangan digital adalah dimestikan kepada semua penggunakhususnya mereka yang menguruskan transaksi maklumat rahsia rasmi secaraelektronik.Semua080203 Pengurusan Infrastruktur Kunci Awam (PKI)Pengurusan ke atas PKI hendaklah dilakukan dengan berkesan dan selamatbagi melindungi kunci berkenaan dari diubah, dimusnah dan didedahkansepanjang tempoh sah kunci tersebut.Semua0803 Keselamatan Fail SistemObjektif:Memastikan supaya fail sistem dikawal dan dikendalikan dengan baik dan selamat.080301 Kawalan Fail SistemPerkara-perkara yang perlu dipatuhi adalah seperti berikut:(a)Proses pengemaskinian fail sistem hanya boleh dilakukan olehPemilik Sistemdan PentadbirRUJUKAN VERSI TARIKH M/SURATDKICT MAMPU Versi 5.3 13/05/10 71 dari 91MAMPU, 2010

DASAR KESELAMATAN ICT MAMPUPentadbir Sistem ICT atau pegawai yang berkenaan danmengikut prosedur yang telah ditetapkan;Sistem ICT(b)(c)(d)(e)Kod atau atur cara sistem yang telah dikemas kini hanya bolehdilaksanakan atau digunakan selepas diuji;Mengawal capaian ke atas kod atau atur cara program bagimengelakkan kerosakan, pengubahsuaian tanpa kebenaran,penghapusan dan kecurian;Data ujian perlu dipilih dengan berhati-hati, dilindungi dan dikawal;danMengaktifkan audit log bagi merekodkan semua aktivitipengemaskinian untuk tujuan statistik, pemulihan dankeselamatan.0804 Keselamatan Dalam Proses Pembangunan dan SokonganObjektif:Menjaga dan menjamin keselamatan sistem maklumat dan aplikasi.080401 Prosedur Kawalan PerubahanPerkara-perkara yang perlu dipatuhi adalah seperti berikut:(a) Perubahan atau pengubahsuaian ke atas sistem maklumat danaplikasi hendaklah dikawal, diuji, direkodkan dan disahkansebelum diguna pakai;Pemilik Sistemdan PentadbirSistem ICT(b)(c)Aplikasi kritikal perlu dikaji semula dan diuji apabila terdapatperubahan kepada sistem pengoperasian untuk memastikan tiadakesan yang buruk terhadap operasi dan keselamatan agensi.Individu atau suatu kumpulan tertentu perlu bertanggungjawabmemantau penambahbaikan dan pembetulan yang dilakukan olehvendor;Mengawal perubahan dan/atau pindaan ke atas pakej perisiandan memastikan sebarang perubahan adalah terhad mengikutRUJUKAN VERSI TARIKH M/SURATDKICT MAMPU Versi 5.3 13/05/10 72 dari 91MAMPU, 2010

DASAR KESELAMATAN ICT MAMPUkeperluan sahaja;(d)(e)Akses kepada kod sumber (source code) aplikasi perlu dihadkankepada pengguna yang diizinkan; danMenghalang sebarang peluang untuk membocorkan maklumat.080402 Pembangunan Perisian Secara OutsourcePembangunan perisian secara outsource perlu diselia dan dipantau olehpemilik sistem.Kod sumber (source code) bagi semua aplikasi dan perisian adalah menjadihak milik MAMPU.SeksyenTeknologiMaklumat danPentadbirSistem ICT0805 Kawalan Teknikal Keterdedahan (Vulnerability)Objektif:Memastikan kawalan teknikal keterdedahan adalah berkesan, sistematik dan berkala denganmengambil langkah-langkah yang bersesuaian untuk menjamin keberkesanannya.080501 Kawalan dari Ancaman TeknikalKawalan teknikal keterdedahan ini perlu dilaksanakan ke atas sistempengoperasian dan sistem aplikasi yang digunakan.PentadbirSistem ICTPerkara yang perlu dipatuhi adalah seperti berikut:(a) Memperoleh maklumat teknikal keterdedahan yang tepat padamasanya ke atas sistem maklumat yang digunakan;(b) Menilai tahap pendedahan bagi mengenal pasti tahap risiko yangbakal dihadapi; dan(c) Mengambil langkah-langkah kawalan untuk mengatasi risikoberkaitan.RUJUKAN VERSI TARIKH M/SURATDKICT MAMPU Versi 5.3 13/05/10 73 dari 91MAMPU, 2010

DASAR KESELAMATAN ICT MAMPUBIDANG 09PENGURUSAN PENGENDALIAN INSIDEN KESELAMATAN0901 Mekanisme Pelaporan Insiden Keselamatan ICTObjektif:Memastikan insiden dikendalikan dengan cepat dan berkesan bagi meminimumkan kesan insidenkeselamatan ICT.090101 Mekanisme PelaporanInsiden keselamatan ICT bermaksud musibah (adverse event) yang berlaku keatas aset ICT atau ancaman kemungkinan berlaku kejadian tersebut. Iamungkin suatu perbuatan yang melanggar dasar keselamatan ICT sama adayang ditetapkan secara tersurat atau tersirat.SemuaInsiden keselamatan ICT seperti berikut hendaklah dilaporkan kepada ICTSOdan GCERT MAMPU dengan kadar segera:(a)(b)(c)(d)(e)Maklumat didapati hilang, didedahkan kepada pihak-pihak yangtidak diberi kuasa atau, disyaki hilang atau didedahkan kepadapihak-pihak yang tidak diberi kuasa;Sistem maklumat digunakan tanpa kebenaran atau disyakisedemikian;Kata laluan atau mekanisme kawalan akses hilang, dicuri ataudidedahkan, atau disyaki hilang, dicuri atau didedahkan;Berlaku kejadian sistem yang luar biasa seperti kehilangan fail,sistem kerap kali gagal dan komunikasi tersalah hantar; danBerlaku percubaan menceroboh, penyelewengan dan insideninsidenyang tidak dijangka.Ringkasan bagi semua proses kerja yang terlibat dalam pelaporan insidenRUJUKAN VERSI TARIKH M/SURATDKICT MAMPU Versi 5.3 13/05/10 74 dari 91MAMPU, 2010

DASAR KESELAMATAN ICT MAMPUkeselamatan ICT di MAMPU sepertimana Lampiran 2.Prosedur pelaporan insiden keselamatan ICT berdasarkan:(a)(b)Pekeliling Am Bilangan 1 Tahun 2001 - Mekanisme PelaporanInsiden Keselamatan Teknologi Maklumat dan Komunikasi; danSurat Pekeliling Am Bilangan 4 Tahun 2006 – PengurusanPengendalian Insiden Keselamatan Teknologi Maklumat danKomunikasi Sektor Awam.0902 Pengurusan Maklumat Insiden Keselamatan ICTObjektif:Memastikan pendekatan yang konsisten dan efektif digunakan dalam pengurusan maklumatinsiden keselamatan ICT.090201 Prosedur Pengurusan Maklumat Insiden Keselamatan ICTMaklumat mengenai insiden keselamatan ICT yang dikendalikan perludisimpan dan dianalisis bagi tujuan perancangan, tindakan pengukuhan danpembelajaran bagi mengawal kekerapan, kerosakan dan kos kejadian insidenyang akan datang. Maklumat ini juga digunakan untuk mengenal pasti insidenyang kerap berlaku atau yang memberi kesan serta impak yang tinggi kepadaMAMPU.ICTSOBahan-bahan bukti berkaitan insiden keselamatan ICT hendaklah disimpan dandisenggarakan. Kawalan-kawalan yang perlu diambil kira dalam pengumpulanmaklumat dan pengurusan pengendalian insiden adalah seperti berikut:(a)(b)(c)Menyimpan jejak audit, backup secara berkala dan melindungiintegriti semua bahan bukti;Menyalin bahan bukti dan merekodkan semua maklumat aktivitipenyalinan;Menyediakan pelan kontingensi dan mengaktifkan pelankesinambungan perkhidmatan;RUJUKAN VERSI TARIKH M/SURATDKICT MAMPU Versi 5.3 13/05/10 75 dari 91MAMPU, 2010

DASAR KESELAMATAN ICT MAMPU(d)(e)Menyediakan tindakan pemulihan segera; danMemaklumkan atau mendapatkan nasihat pihak berkuasaperundangan sekiranya perlu.RUJUKAN VERSI TARIKH M/SURATDKICT MAMPU Versi 5.3 13/05/10 76 dari 91MAMPU, 2010

DASAR KESELAMATAN ICT MAMPUBIDANG 10PENGURUSAN KESINAMBUNGAN PERKHIDMATAN1001 Dasar Kesinambungan PerkhidmatanObjektif:Menjamin operasi perkhidmatan agar tidak tergendala dan penyampaian perkhidmatan yangberterusan kepada pelanggan.100101 Pelan Kesinambungan PerkhidmatanPelan Kesinambungan Perkhidmatan (Business Continuity Management -BCM) hendaklah dibangunkan untuk menentukan pendekatan yangmenyeluruh diambil bagi mengekalkan kesinambungan perkhidmatan.KoordinatorPKP MAMPUIni bertujuan memastikan tiada gangguan kepada proses-proses dalampenyediaan perkhidmatan organisasi. Pelan ini mestilah diluluskan oleh JKICTMAMPU. Perkara-perkara berikut perlu diberi perhatian:(a)(b)(c)(d)(e)(f)(g)Mengenal pasti semua tanggungjawab dan prosedur kecemasanatau pemulihan;Mengenal pasti peristiwa yang boleh mengakibatkan gangguanterhadap proses bisnes bersama dengan kemungkinan dan impakgangguan tersebut serta akibat terhadap keselamatan ICT;Melaksanakan prosedur-prosedur kecemasan bagi membolehkanpemulihan dapat dilakukan secepat mungkin atau dalam jangkamasa yang telah ditetapkan;Mendokumentasikan proses dan prosedur yang telah dipersetujui;Mengadakan program latihan kepada pengguna mengenaiprosedur kecemasan;Membuat backup; danMenguji dan mengemas kini pelan sekurang-kurangnya setahunsekali.RUJUKAN VERSI TARIKH M/SURATDKICT MAMPU Versi 5.3 13/05/10 77 dari 91MAMPU, 2010

DASAR KESELAMATAN ICT MAMPUPelan BCM perlu dibangunkan dan hendaklah mengandungi perkara-perkaraberikut:(a)(b)(c)(d)(e)Senarai aktiviti teras yang dianggap kritikal mengikut susunankeutamaan;Senarai personel MAMPU dan vendor berserta nombor yang bolehdihubungi (faksimile, telefon dan e-mel). Senarai kedua jugahendaklah disediakan sebagai menggantikan personel tidak dapathadir untuk menangani insiden;Senarai lengkap maklumat yang memerlukan backup dan lokasisebenar penyimpanannya serta arahan pemulihan maklumat dankemudahan yang berkaitan;Alternatif sumber pemprosesan dan lokasi untuk menggantikansumber yang telah lumpuh; danPerjanjian dengan pembekal perkhidmatan untuk mendapatkankeutamaan penyambungan semula perkhidmatan di mana boleh.Salinan pelan BCM perlu disimpan di lokasi berasingan untuk mengelakkankerosakan akibat bencana di lokasi utama. Pelan BCM hendaklah diujisekurang-kurangnya sekali setahun atau apabila terdapat perubahan dalampersekitaran atau fungsi bisnes untuk memastikan ia sentiasa kekal berkesan.Penilaian secara berkala hendaklah dilaksanakan untuk memastikan pelantersebut bersesuaian dan memenuhi tujuan dibangunkan.Ujian pelan BCM hendaklah dijadualkan untuk memastikan semua ahli dalampemulihan dan personel yang terlibat mengetahui mengenai pelan tersebut,tanggungjawab dan peranan mereka apabila pelan dilaksanakan.MAMPU hendaklah memastikan salinan pelan BCM sentiasa dikemas kini dandilindungi seperti di lokasi utama.RUJUKAN VERSI TARIKH M/SURATDKICT MAMPU Versi 5.3 13/05/10 78 dari 91MAMPU, 2010

DASAR KESELAMATAN ICT MAMPUBIDANG 11PEMATUHAN1101 Pematuhan dan Keperluan PerundanganObjektif:Meningkatkan tahap keselamatan ICT bagi mengelak dari pelanggaran kepada DasarKeselamatan ICT MAMPU.110101 Pematuhan DasarSetiap pengguna di MAMPU hendaklah membaca, memahami dan mematuhiDasar Keselamatan ICT MAMPU dan undang-undang atau peraturanperaturanlain yang berkaitan yang berkuat kuasa.SemuaSemua aset ICT di MAMPU termasuk maklumat yang disimpan di dalamnyaadalah hak milik Kerajaan. Ketua Pengarah/pegawai yang diberi kuasa berhakuntuk memantau aktiviti pengguna untuk mengesan penggunaan selain daritujuan yang telah ditetapkan.Sebarang penggunaan aset ICT MAMPU selain daripada maksud dan tujuanyang telah ditetapkan, adalah merupakan satu penyalahgunaan sumberMAMPU.110102 Pematuhan dengan Dasar, Piawaian dan Keperluan TeknikalICTSO hendaklah memastikan semua prosedur keselamatan dalam bidangtugas masing-masing mematuhi dasar, piawaian dan keperluan teknikal.ICTSOSistem maklumat perlu diperiksa secara berkala bagi mematuhi standardpelaksanaan keselamatan ICT.110103 Pematuhan Keperluan AuditPematuhan kepada keperluan audit perlu bagi meminimumkan ancaman danmemaksimumkan keberkesanan dalam proses audit sistem maklumat.Keperluan audit dan sebarang aktiviti pemeriksaan ke atas sistem operasi perluSemuaRUJUKAN VERSI TARIKH M/SURATDKICT MAMPU Versi 5.3 13/05/10 79 dari 91MAMPU, 2010

DASAR KESELAMATAN ICT MAMPUdirancang dan dipersetujui bagi mengurangkan kebarangkalian berlakugangguan dalam penyediaan perkhidmatan. Capaian ke atas peralatan auditsistem maklumat perlu dijaga dan diselia bagi mengelakkan berlakupenyalahgunaan.110104 Keperluan PerundanganSenaraiperundangan dan peraturan yang perlu dipatuhi oleh semuapengguna di MAMPU adalah seperti di Lampiran 3.Semua110105 Pelanggaran DasarPelanggaran Dasar Keselamatan ICT MAMPU boleh dikenakan tindakantatatertib.SemuaRUJUKAN VERSI TARIKH M/SURATDKICT MAMPU Versi 5.3 13/05/10 80 dari 91MAMPU, 2010

DASAR KESELAMATAN ICT MAMPUGLOSARIAntivirusAset ICTBackupBandwidthPerisian yang mengimbas virus pada media storan seperti disket, cakerapadat, pita magnetik, optical disk, flash disk, CDROM, thumb drive untuksebarang kemungkinan adanya virus.Peralatan ICT termasuk perkakasan, perisian, perkhidmatan, data ataumaklumat dan manusia.Proses penduaan sesuatu dokumen atau maklumat.Lebar JalurUkuran atau jumlah data yang boleh dipindahkan melalui kawalankomunikasi (contoh di antara cakera keras dan komputer) dalam jangkamasa yang ditetapkan.CIOChief Information OfficerKetua Pegawai Maklumat yang bertanggungjawab terhadap ICT dan sistemmaklumat bagi menyokong arah tuju sesebuah organisasi.Denial of serviceDownloadingEncryptionFirewallForgeryGCERTHalangan pemberian perkhidmatan.Aktiviti muat-turun sesuatu perisian.Enkripsi ialah satu proses penyulitan data oleh pengirim supaya tidakdifahami oleh orang lain kecuali penerima yang sah.Sistem yang direka bentuk untuk menghalang capaian pengguna yang tidakberkenaan kepada atau daripada rangkaian dalaman. Terdapat dalambentuk perkakasan atau perisian atau kombinasi kedua-duanya.Pemalsuan dan penyamaran identiti yang banyak dilakukan dalampenghantaran mesej melalui e-mel termasuk penyalahgunaan danpencurian identiti, pencurian maklumat (information theft/espionage),penipuan (hoaxes).Government Computer Emergency Response Team atau Pasukan TindakBalas Insiden Keselamatan ICT Kerajaan.Organisasi yang ditubuhkan untuk membantu agensi menguruspengendalian insiden keselamatan ICT di agensi masing-masing danRUJUKAN VERSI TARIKH M/SURATDKICT MAMPU Versi 5.3 13/05/10 81 dari 91MAMPU, 2010

DASAR KESELAMATAN ICT MAMPUGLOSARIagensi di bawah kawalannya.Hard diskHubICTICTSOCakera keras. Digunakan untuk menyimpan data dan boleh di akses lebihpantas.Hab (hub) merupakan peranti yang menghubungkan dua atau lebih stesenkerja menjadi suatu topologi bas berbentuk bintang dan menyiarkan(broadcast) data yang diterima daripada sesuatu port kepada semua portyang lain.Information and Communication Technology (Teknologi Maklumat danKomunikasi).ICT Security OfficerPegawai yang bertanggungjawab terhadap keselamatan sistem komputer.InternetSistem rangkaian seluruh dunia, di mana pengguna boleh membuatcapaian maklumat daripada pelayan (server) atau komputer lain.Internet GatewayIntrusion DetectionSystem (IDS)Intrusion PreventionSystem (IPS)Merupakan suatu titik yang berperanan sebagai pintu masuk ke rangkaianyang lain. Menjadi pemandu arah trafik dengan betul dari satu trafik ke satutrafik yang lain di samping mengekalkan trafik-trafik dalam rangkaianrangkaiantersebut agar sentiasa berasingan.Sistem Pengesan PencerobohanPerisian atau perkakasan yang mengesan aktiviti tidak berkaitan, kesilapanatau yang berbahaya kepada sistem. Sifat IDS berpandukan jenis datayang dipantau, iaitu sama ada lebih bersifat host atau rangkaian.Sistem Pencegah PencerobohanPerkakasan keselamatan komputer yang memantau rangkaian dan/atauaktiviti yang berlaku dalam sistem bagi mengesan perisian berbahaya.Boleh bertindak balas menyekat atau menghalang aktiviti serangan ataumalicious code.Contohnya: Network-based IPS yang akan memantau semua trafikrangkaian bagi sebarang kemungkinan serangan.RUJUKAN VERSI TARIKH M/SURATDKICT MAMPU Versi 5.3 13/05/10 82 dari 91MAMPU, 2010

DASAR KESELAMATAN ICT MAMPUGLOSARILANLocal Area NetworkRangkaian Kawasan Setempat yang menghubungkan komputer.LogoutLog-out komputerKeluar daripada sesuatu sistem atau aplikasi komputer.Malicious CodeMODEMPerkakasan atau perisian yang dimasukkan ke dalam sistem tanpakebenaran bagi tujuan pencerobohan. Ia melibatkan serangan virus, trojanhorse, worm, spyware dan sebagainya.MOdulator DEModulatorPeranti yang boleh menukar strim bit digital ke isyarat analog dansebaliknya. Ia biasanya disambung ke talian telefon bagi membolehkancapaian Internet dibuat dari komputer.OutsourcePerisian AplikasiPublic-KeyInfrastructure (PKI)RouterScreen SaverServerSwitchesBermaksud menggunakan perkhidmatan luar untuk melaksanakan fungsifungsitertentu ICT bagi suatu tempoh berdasarkan kepada dokumenperjanjian dengan bayaran yang dipersetujui.Ia merujuk pada perisian atau pakej yang selalu digunakan sepertispreadsheet dan word processing ataupun sistem aplikasi yangdibangunkan oleh sesebuah organisasi atau jabatan.Infrastruktur Kunci Awam merupakan satu kombinasi perisian, teknologienkripsi dan perkhidmatan yang membolehkan organisasi melindungikeselamatan berkomunikasi dan transaksi melalui Internet.Penghala yang digunakan untuk menghantar data antara dua rangkaianyang mempunyai kedudukan rangkaian yang berlainan. Contohnya,pencapaian Internet.Imej yang akan diaktifkan pada komputer setelah ianya tidak digunakandalam jangka masa tertentu.Pelayan komputerSuis merupakan gabungan hab dan titi yang menapis bingkai supayamensegmenkan rangkaian. Kegunaan suis dapat memperbaiki prestasirangkaian Carrier Sense Multiple Access/Collision Detection (CSMA/CD)RUJUKAN VERSI TARIKH M/SURATDKICT MAMPU Versi 5.3 13/05/10 83 dari 91MAMPU, 2010

DASAR KESELAMATAN ICT MAMPUGLOSARIyang merupakan satu protokol penghantaran dengan mengurangkanperlanggaran yang berlaku.ThreatUninterruptiblePower Supply (UPS)Video ConferenceVideo StreamingVirusWireless LANGangguan dan ancaman melalui pelbagai cara iaitu e-mel dan surat yangbermotif personal dan atas sebab tertentu.Satu peralatan yang digunakan bagi membekalkan bekalan kuasa yangberterusan dari sumber berlainan ketika ketiadaan bekalan kuasa keperalatan yang bersambung.Media yang menerima dan memaparkan maklumat multimedia kepadapengguna dalam masa yang sama ia diterima oleh penghantar.Teknologi komunikasi yang interaktif yang membenarkan dua atau lebihlokasi untuk berinteraksi melalui paparan video dua hala dan audio secaraserentak.Atur cara yang bertujuan merosakkan data atau sistem aplikasi.Jaringan komputer yang terhubung tanpa melalui kabel.RUJUKAN VERSI TARIKH M/SURATDKICT MAMPU Versi 5.3 13/05/10 84 dari 91MAMPU, 2010

DASAR KESELAMATAN ICT MAMPULampiran 1SURAT AKUAN PEMATUHANDASAR KESELAMATAN ICT MAMPUNama (Huruf Besar) : ………………………………………………………No. Kad Pengenalan : ………………………………………………………Jawatan : ………………………………………………………Bahagian : ………………………………………………………Adalah dengan sesungguhnya dan sebenarnya mengaku bahawa :-1. Saya telah membaca, memahami dan akur akan peruntukan-peruntukan yangterkandung di dalam Dasar Keselamatan ICT MAMPU; dan2. Jika saya ingkar kepada peruntukan-peruntukan yang ditetapkan, maka tindakansewajarnya boleh diambil ke atas diri saya.Tanda tangan : ..................................................Tarikh : ..................................................Pengesahan Pegawai Keselamatan ICT.........................................(Nama Pegawai Keselamatan ICT)b.p. Ketua Pengarah MAMPUTarikh: .........................RUJUKAN VERSI TARIKH M/SURATDKICT MAMPU Versi 5.3 13/05/10 85 dari 91MAMPU, 2010

DASAR KESELAMATAN ICT MAMPULampiran 2RUJUKAN VERSI TARIKH M/SURATDKICT MAMPU Versi 5.3 13/05/10 86 dari 91MAMPU, 2010

DASAR KESELAMATAN ICT MAMPURUJUKAN VERSI TARIKH M/SURATDKICT MAMPU Versi 5.3 13/05/10 87 dari 91MAMPU, 2010

DASAR KESELAMATAN ICT MAMPURUJUKAN VERSI TARIKH M/SURATDKICT MAMPU Versi 5.3 13/05/10 88 dari 91MAMPU, 2010

DASAR KESELAMATAN ICT MAMPUPenunjuk :SOP - Standard Operating ProcedureRUJUKAN VERSI TARIKH M/SURATDKICT MAMPU Versi 5.3 13/05/10 89 dari 91MAMPU, 2010

DASAR KESELAMATAN ICT MAMPULampiran 3SENARAI PERUNDANGAN DAN PERATURAN(a) Arahan Keselamatan;(b) Pekeliling Am Bilangan 3 Tahun 2000 - Rangka Dasar Keselamatan Teknologi Maklumatdan Komunikasi Kerajaan;(c) Malaysian Public Sector Management of Information and CommunicationsTechnology Security Handbook (MyMIS) 2002;(d) Pekeliling Am Bilangan 1 Tahun 2001 - Mekanisme Pelaporan Insiden KeselamatanTeknologi Maklumat dan Komunikasi (ICT);(e) Pekeliling Kemajuan Pentadbiran Awam Bilangan 1 Tahun 2003 - Garis PanduanMengenai Tatacara Penggunaan Internet dan Mel Elektronik di Agensi-Agensi Kerajaan;(f) Surat Pekeliling Am Bilangan 6 Tahun 2005 - Garis Panduan Penilaian RisikoKeselamatan Maklumat Sektor Awam;(g) Surat Pekeliling Am Bilangan 4 Tahun 2006 - Pengurusan Pengendalian InsidenKeselamatan Teknologi Maklumat dan Komunikasi (ICT) Sektor Awam;(h) Surat Arahan Ketua Setiausaha Negara - Langkah-Langkah Untuk MemperkukuhkanKeselamatan Rangkaian Setempat Tanpa Wayar (Wireless Local Area Network) di Agensi-Agensi Kerajaan yang bertarikh 20 Oktober 2006;(i) Surat Arahan Ketua Pengarah MAMPU - Langkah-Langkah Mengenai Penggunaan MelElektronik di Agensi-Agensi Kerajaan yang bertarikh 1 Jun 2007;(j) Surat Arahan Ketua Pengarah MAMPU - Langkah-Langkah PemantapanPelaksanaan Sistem Mel Elektronik Di Agensi-Agensi Kerajaan yang bertarikh 23 November2007;(k) Surat Pekeliling Am Bil. 2 Tahun 2000 - Peranan Jawatankuasa-jawatankuasa di BawahJawatankuasa IT dan Internet Kerajaan (JITIK);(l) Surat Pekeliling Perbendaharaan Bil.2/1995 (Tambahan Pertama) - TatacaraPenyediaan, Penilaian dan Penerimaan Tender;(m) Surat Pekeliling Perbendaharaan Bil. 3/1995 - Peraturan Perolehan PerkhidmatanPerundingan;(n) Akta Tandatangan Digital 1997;(o) Akta Rahsia Rasmi 1972;(p) Akta Jenayah Komputer 1997;(q) Akta Hak Cipta (Pindaan) Tahun 1997;(r) Akta Komunikasi dan Multimedia 1998;RUJUKAN VERSI TARIKH M/SURATDKICT MAMPU Versi 5.3 13/05/10 90 dari 91MAMPU, 2010

DASAR KESELAMATAN ICT MAMPU(s) Perintah-Perintah Am;(t) Arahan Perbendaharaan;(u) Arahan Teknologi Maklumat 2007;(v) Garis Panduan Keselamatan MAMPU 2004;(w) Standard Operating Procedure (SOP) ICT MAMPU;(x) Surat Pekeliling Am Bilangan 3 Tahun 2009 – Garis Panduan Penilaian TahapKeselamatan Rangkaian dan Sistem ICT Sektor Awam yang bertarikh 17 November 2009;(y) Surat Arahan Ketua Pengarah MAMPU – Pengurusan Kesinambungan PerkhidmatanAgensi Sektor Awam yang bertarikh 22 Januari 2010.RUJUKAN VERSI TARIKH M/SURATDKICT MAMPU Versi 5.3 13/05/10 91 dari 91MAMPU, 2010