dasar keselamatan ict jlkn - Laman Web Rasmi Jabatan Latihan ...

DASAR KESELAMATAN ICT JLKNKANDUNGANPENGENALAN …………………………………………………………………………………5OBJEKTIF ………………………………………………………………………………………5SKOP …………………………………………………………………………………………….6PRINSIP-PRINSIP ……………………………………………………………………………..8CIRI-CIRI KESELAMATAN MAKLUMAT ………………………………………………….14PENILAIAN RISIKO KESELAMATAN ICT....................................................................15PERKARA 01PEMBANGUNAN DAN PENYELENGGARAAN DASAR ……….17PERKARA 02ORGANISASI KESELAMATAN …………………………………….19PERKARA 03PENGURUSAN ASET ……………………………………………….27PERKARA 04KESELAMATAN SUMBER MANUSIA …………………………….29PERKARA 05KESELAMATAN FIZIKAL DAN PERSEKITARAN ………………32PERKARA 06PENGURUSAN OPERASI DAN KOMUNIKASI ………………….43VERSI TARIKH MUKASURATDKICT (JLKN) 2.1 19/1/2012 3 dari 86

DASAR KESELAMATAN ICT JLKNSKOPAset ICT JLKN terdiri daripada perkakasan, perisian, perkhidmatan, data ataumaklumat dan manusia, Dasar keselamatan ICT JLKN menetapkan keperluankeperluanasas seperti berikut:-a. Data dan maklumat hendaklah boleh diakses secara berterusan dengan cepat,tepat dan mudah dipercayai. Ini adalah amat perlu bagi membolehkan keputusandan penyampaian perkhidmatan dilakukan dengan berkesan dan berkualiti; danb. Semua data dan maklumat hendaklah dijaga kerahsiaannya dan dikendalikansebaik mungkin pada setiap masa bagi memastikan kesempurnaan danketepatan maklumat serta untuk melindungi kepentingan kerajaan, perkhidmatandan masyarakat.Bagi menentukan aset ICT ini terjamin keselamatannya sepanjang masa, DasarKeselamatan ICT JLKN ini merangkumi perlindungan semua bentuk maklumat kerajaanyang dimasukkan, diwujud, dimusnah, disimpan, dijana, dicetak, diakses, diedar, dalampenghantaran, dan yang dibuat salinan keselamatan. Ini akan dilakukan melaluipewujudan dan penguatkuasaan sistem kawalan dan prosedur dalam pengendaliansemua perkara-perkara berikut:-a. PerkakasanSemua aset yang digunakan untuk menyokong pemprosesan maklumat dankemudahan storan JLKN. Contoh komputer, pelayan, peralatan komunikasidalam rangkaian berwayar dan tanpa wayar serta media magnetik);b. PerisianProgram, prosedur atau peraturan yang ditulis dan dokumentasi yang berkaitandengan sistem pengoperasian komputer yang disimpan di dalam sistem ICT.Contoh perisian aplikasi atau perisian sistem pengoperasian, sistem pangkalanVERSI TARIKH MUKASURATDKICT (JLKN) 2.1 19/1/2012 6 dari 86

DASAR KESELAMATAN ICT JLKNdata, perisian sistem rangkaian, atau aplikasi pejabat yang menyediakankemudahan pemprosesan maklumat kepada JLKN;c. PerkhidmatanPerkhidmatan atau sistem yang menyokong aset lain untuk melaksanakanfungsi-fungsinya. Contoh:-i. Perkhidmatan rangkaian seperti LAN dan WAN dan lain-lain;ii. Sistem halangan akses seperti sistem kad akses; daniii. Perkhidmatan sokongan seperti kemudahan elektrik, penghawa dingin,sistem pencegah kebakaran dan lain-lain;d. Data atau MaklumatKoleksi fakta-fakta dalam bentuk kertas atau mesej elektronik, yangmengandungi maklumat-maklumat yang digunakan untuk mencapai misi danobjektif JLKN. Contohnya, sistem dokumentasi, prosedur operasi, rekod-rekodJLKN, profil-profil pelanggan, maklumat dan data pelatih, maklumat waris,pangkalan data, fail-fail data, maklumat-maklumat arkib dan lain-lain;e. ManusiaIndividu yang mempunyai pengetahuan dan kemahiran untuk melaksanakanskop kerja harian JLKN bagi mencapai misi dan objektif Jabatan, Individuberkenaan merupakan aset berdasarkan kepada tugas-tugas dan fungsi yangdilaksanakannya; danf. Premis Komputer dan KomunikasiSemua kemudahan serta premis yang digunakan untuk menempatkan perkara a– e di atas.Dasar ini terpakai kepada semua pengguna yang menggunakan aset ICT di JLKN.VERSI TARIKH MUKASURATDKICT (JLKN) 2.1 19/1/2012 7 dari 86

DASAR KESELAMATAN ICT JLKNPRINSIP-PRINSIPPrinsip-prinsip yang menjadi asas kepada Dasar Keselamatan ICT JLKN dan perludipatuhi adalah seperti berikut:a. Akses Atas Dasar Perlu MengetahuiAkses terhadap penggunaan aset ICT hanya diberikan untuk tujuan spesifik dandihadkan kepada pengguna tertentu mengikut dasar “perlu mengetahui” sahaja.Ini bermakna akses hanya akan diberikan sekiranya peranan atau fungsipengguna memerlukan maklumat tersebut. Pertimbangan untuk akses adalahberdasarkan kategori maklumat seperti yang dinyatakan di dalam dokumenArahan Keselamatan perenggan 53, mukasurat 15.Pertimbangan akses di bawah prinsip ini hendaklah berteraskan kepadaklasifikasi maklumat dan tapisan keselamatan yang dihadkan kepada penggunaseperti berikut:i. Klasifikasi MaklumatKlasifikasi Maklumat hendaklah mematuhi “Arahan KeselamatanKerajaan” dan “Malaysian Armed Forces Security Instruction (MAFSI)”.Maklumat ini dikategorikan kepada Rahsia Besar, Rahsia, Sulit danTerhad. Penggunaan encryption, tandatangan digital atau sebarangmekanisma lain yang boleh melindungi maklumat mestilah jugadipertimbangkan. Dasar klasifikasi ke atas sistem aplikasi juga hendaklahmengikut klasifikasi maklumat yang sama.ii. Tapisan Keselamatan PenggunaSemua kakitangan JLKN daripada gred 17 dan ke atas dimestikan menjalanitapisan keselamatan kasar dan halus. Tapisan keselamatan ini akanVERSI TARIKH MUKASURATDKICT (JLKN) 2.1 19/1/2012 8 dari 86

DASAR KESELAMATAN ICT JLKNdikendalikan oleh Bahagian Staf Perisikan Pertahanan (BSPP) atau KetuaPegawai Keselamatan Malaysia. Ketua Jabatan atau setaraf hendaklahmenentukan proses ini dilaksanakan.b. Hak Akses MinimumHak akses pengguna hanya diberikan pada tahap set yang paling minimum iaituuntuk membaca/melihat/mendengar sahaja. Kelulusan perlu untuk membolehkanpengguna mewujud, menyimpan, mengemas kini, mengubah atau membatalkansesuatu data atau maklumat. Hak akses adalah dikaji dari semasa ke semasaberdasarkan kepada peranan dan tanggungjawab pengguna/bidang tugas;Kelulusan khas adalah diperlukan untuk membolehkan pengguna mewujud,menyimpan, mengemaskini, mengubah dan membatalkan sesuatu data ataumaklumat elektronik.c. AkauntabilitiSemua pengguna adalah dipertanggungjawabkan ke atas semua tindakannyaterhadap aset ICT JLKN. Untuk menentukan tanggungjawab ini dipatuhi, sistemICT hendaklah mempunyai keupayaan mengesan dan mengesahkan penggunaboleh dipertanggungjawabkan atas tindakan mereka. Akauntabiliti atautanggungjawab pengguna termasuklah:i. Menghalang pendedahan maklumat kepada pihak yang tidak dibenarkan;ii. Memeriksa maklumat dan menentukan ianya tepat dan lengkap dari semasake semasa;iii. Menentukan maklumat sedia untuk digunakan;iv. Menjaga kerahsiaan kata laluan;v. Mematuhi piawaian, prosedur, langkah dan garis panduan keselamatan yangditetapkan;VERSI TARIKH MUKASURATDKICT (JLKN) 2.1 19/1/2012 9 dari 86

DASAR KESELAMATAN ICT JLKNvi. Memberi perhatian kepada maklumat berdarjah terutama semasapengwujudan, pemprosesan, penyimpanan, penyelenggaraan, penghantaran,penyampaian, pertukaran dan pemusnahan; danvii. Menjaga kerahsiaan langkah-langkah keselamatan ICT dari diketahui umum.d. PengasinganTugas mewujud, memadam, mengemaskini, mengubah dan mengesahkan dataperlu diasingkan bagi mengelakkan daripada capaian yang tidak dibenarkanserta melindungi aset ICT daripada kesilapan, kebocoran maklumat terperingkatatau dimanipulasi. Pengasingan juga merangkumi tindakan memisahkan antarakumpulan operasi dan rangkaian;Pengasingan fungsi perlu diadakan di antara pentadbir dan pengguna.Pengasingan fungsi juga hendaklah dilakukan di antara pentadbir sistem danpentadbir rangkaian.e. Pengauditan KeselamatanPengauditan adalah tindakan untuk mengenalpasti insiden berkaitankeselamatan atau mengenalpasti keadaan yang mengancam keselamatan ICT.Ia membabitkan pemeliharaan semua rekod berkaitan tindakan keselamatan.Dengan itu, aset ICT seperti komputer, pelayan, router, firewall dan rangkaianhendaklah ditentukan dapat menjana dan menyimpan log tindakan keselamatanatau audit trail;Pentadbir Sistem perlu memastikan semua log/audit trail yang dijanakan olehaset ICT berkaitan keselamatan disimpan sekurang-kurangnya selama limatahun. Rekod audit hendaklah dilindungi dan tersedia untuk penilaian apabilaVERSI TARIKH MUKASURATDKICT (JLKN) 2.1 19/1/2012 10 dari 86

DASAR KESELAMATAN ICT JLKNdiperlukan. Ketua jabatan dan setaraf perlu mempertimbangkan penggunaanperisian tambahan bagi menentukan ketepatan dan kesahihan log/audit trail.f. PematuhanDasar Keselamatan ICT JLKN hendaklah dibaca, difahami dan dipatuhi bagimengelakkan sebarang bentuk perlanggaran ke atasnya yang boleh membawaancaman kepada keselamatan aset ICT;Pematuhan Dasar Keselamatan ICT JLKN adalah berdasarkan tindakan berikut:i. Mewujudkan proses yang sistematik khususnya untuk menjaminkeselamatan ICT bagi memantau dan menilai tahap pematuhan langkahlangkahkeselamatan yang telah dikuatkuasakan.ii. Merumus pelan pematuhan untuk menangani sebarang kelemahan ataukekurangan langkah-langkah keselamatan ICT yang dikenalpasti.iii. Pelaksanaan program pengawasan dan pemantauan keselamatanmaklumat secara berterusan hendaklah dilaksanakan oleh setiapperkhidmatan di kawasan tanggungjawab masing-masing.iv. Menguatkuasakan amalan melapor sebarang peristiwa yang mengancamkeselamatan ICT dan seterusnya mengambil tindakan pembetulan.g. PemulihanPemulihan sistem amat perlu untuk memastikan kebolehsediaan dankebolehcapaian. Objektif utama adalah untuk meminimumkan sebaranggangguan atau kerugian akibat daripada ketidaksediaan. Pemulihan bolehdilakukan melalui aktiviti penduaan (backup) dan mewujudkan pelan pemulihanbencana/kesinambungan perkhidmatan;Pemulihan hendaklah dilakukan melalui tindakan berikut:VERSI TARIKH MUKASURATDKICT (JLKN) 2.1 19/1/2012 11 dari 86

DASAR KESELAMATAN ICT JLKNi. Pelan Pemulihan Bencana Sistem ICT hendaklah diuji sekurangkurangnyasekali setahun. Ketua Jabatan atau setaraf dikehendakimenentukan perkara ini dilaksanakan.ii. Pentadbir sistem dikehendaki melaksanakan sandaran (backup) setiapminggu bagi sistem ICT yang kritikal seperti Sistem Program KhidmatNegara (SPKN) dan setiap dua(2) minggu bagi sistem yang kurang kritikalseperi Web.iii. Semua pengguna dikehendaki mencegah kemasukan virus, mengamalkanlangkah-langkah pencegahan kebakaran dan amalan clear desk mengikutarahan semasa jabatan masing-masing.h. Saling bergantungLangkah-langkah keselamatan ICT yang berkesan memerlukan pematuhankepada semua prinsip-prinsip tersebut. Setiap prinsip adalah saling lengkapmelengkapiantara satu dengan yang lain. Tindakan mempersepadukan prinsipyang telah dinyatakan perlu dilaksanakan bagi menjamin tahap keselamatanyang maksimum.i. IntegritiData dan maklumat hendaklah tepat, lengkap dan sentiasa terkini.Sebarang perubahan terhadap data hendaklah dilaksanakan oleh stafyang diberi kebenaran sahaja.ii. Autentikasi dan PenyahsangkalanProses ini merupakan keupayaan bagi membuktikan bahawa sesuatumesej atau maklumat tertentu telah dihantar oleh pemilik asal yangdikenalpasti. Setiap sistem ICT berangkaian hendaklah dilengkapidengan sistem authentication yang secukupnya. Bagi sistem yangVERSI TARIKH MUKASURATDKICT (JLKN) 2.1 19/1/2012 12 dari 86

DASAR KESELAMATAN ICT JLKNmengendalikan maklumat berdarjah, ciri penyahsangkalan hendaklahdigunakan.iv.Perimeter Keselamatan FizikalPerimeter merujuk kepada keadaan persekitaran fizikal di mana aset-asetICT JLKN dilindungi. Perimeter tersebut hendaklah dijaga dengan rapibagi mengelakkan sebarang pencerobohan. Ketua Jabatan dan setarafhendaklah memastikan proses ini dilaksanakan.v. Pertahanan Berlapis(Defence in depth)Pertahanan berlapis hendaklah diwujudkan untuk melindungi keselamatanaset ICT JLKN dari pencerobohan. Ketua Jabatan dan setaraf hendaklahmenentukan sistem ICT mempunyai pertahanan berlapis yang lengkapmengikut teknologi semasa.VERSI TARIKH MUKASURATDKICT (JLKN) 2.1 19/1/2012 13 dari 86

DASAR KESELAMATAN ICT JLKNCIRI-CIRI KESELAMATAN MAKLUMATa. KerahsiaanMaklumat tidak boleh didedahkan sewenang-wenangnya atau dibiarkan diaksestanpa kebenaran;b. IntegritiData dan maklumat hendaklah tepat, lengkap dan kemaskini. Ia hanya bolehdiubah dengan cara yang dibenarkan;c. Tidak boleh disangkalPunca data dan maklumat hendaklah dari punca yang sah dan tidak bolehdisangkal;d. KesahihanData dan maklumat hendaklah dijamin kesahihannya; dane. KebolehsediaanData dan maklumat hendaklah boleh diakses pada bila-bila masa.VERSI TARIKH MUKASURATDKICT (JLKN) 2.1 19/1/2012 14 dari 86

DASAR KESELAMATAN ICT JLKNPENILAIAN RISIKO KESELAMATAN ICTJLKN hendaklah mengambil kira kewujudan risiko ke atas aset ICT akibat dariancaman dan vulnerability yang semakin meningkat hari ini. Justeru itu JLKNperlu mengambil langkah-langkah proaktif dan bersesuaian untuk menilai tahaprisiko aset ICT supaya pendekatan dan keputusan yang paling berkesan dikenalpasti bagi menyediakan perlindungan dan kawalan ke atas aset ICT.JLKN hendaklah melaksanakan penilaian risiko keselamatan ICT secara berkaladan berterusan bergantung kepada perubahan teknologi dan keperluankeselamatan ICT. Seterusnya mengambil tindakan susulan dan/atau langkahlangkahbersesuaian untuk mengurangkan atau mengawal risiko keselamatanICT berdasarkan penemuan penilaian risiko.Penilaian risiko keselamatan ICT hendaklah dilaksanakan ke atas sistemmaklumat JLKN termasuklah aplikasi, perisian, pelayan, rangkaian dan/atauproses serta prosedur. Penilaian risiko ini hendaklah juga dilaksanakan dipremis yang menempatkan sumber-sumber teknologi maklumat termasuklahpusat data, bilik media storan, kemudahan utiliti dan sistem-sistem sokonganlain.JLKN bertanggungjawab melaksanakan dan menguruskan risiko keselamatanICT selaras dengan keperluan Surat Pekeliling Am Bilangan 6 Tahun 2005: GarisPanduan Penilaian Risiko Keselamatan Maklumat Sektor Awam.JLKN perlu mengenal pasti tindakan yang sewajarnya bagi menghadapikemungkinan risiko berlaku dengan memilih tindakan berikut:(a)mengurangkan risiko dengan melaksanakan kawalan yang bersesuaian;VERSI TARIKH MUKASURATDKICT (JLKN) 2.1 19/1/2012 15 dari 86

DASAR KESELAMATAN ICT JLKN(b)(c)(d)menerima dan/atau bersedia berhadapan dengan risiko yang akan terjadiselagi ia memenuhi kriteria yang telah ditetapkan oleh pengurusan agensi;mengelak dan/atau mencegah risiko dari terjadi dengan mengambiltindakan yang dapat mengelak dan/atau mencegah berlakunya risiko; danmemindahkan risiko ke pihak lain seperti pembekal, pakar runding danpihak-pihak lain yang berkepentingan.VERSI TARIKH MUKASURATDKICT (JLKN) 2.1 19/1/2012 16 dari 86

DASAR KESELAMATAN ICT JLKNPERKARA 01 – PEMBANGUNAN DAN PENYELENGGARAAN DASARPERKARAT/JAWABDasar Keselamatan ICTDKICT JLKN ini diwujudkan untuk melindungi aset ICT bagi memastikan kelancaranoperasi jabatan secara berterusan, meminimumkan kerosakan atau kemusnahan aset-asetICT melalui usaha pencegahan atau mengurangkan kesan kejadian yang tidak diinginiberdasarkan kepada ciri-ciri keselamatan iaitu kerahsiaan, integriti, tidak boleh disangkal,kebolehsediaan dan kesahihan.1.1 Pelaksanaan DasarKetua Pengarah JLKN adalah bertanggungjawab ke atas pelaksanaan Ketuaarahan dengan dibantu oleh Jawatankuasa Pemandu ICT (JPICT) yang Pengarahterdiri daripada Ketua Pegawai Maklumat (CIO), Pegawai Keselamatan ICT JLKN(ICTSO), semua Pengarah Bahagian dan lain-lain pegawai yang dilantik.1.2 Penyebaran DasarDasar ini perlu disebarkan kepada semua pengguna JLKN (termasuk ICTSOkakitangan, pembekal dan pakar runding yang berurusan dengan JLKN)1.3 Penyelenggaraan DasarDasar Keselamatan ICT JLKN adalah tertakluk kepada semakan dan ICTSOpindaan dari semasa ke semasa selaras dengan perubahan teknologi,aplikasi, prosedur, perundangan dan kepentingan sosial.Berikut adalah prosedur yang berhubung dengan penyelenggaraan DasarKeselamatan ICT JLKN:i. Menyemak dasar ini sekurang-kurangnya sekali setahun bagimengenalpasti dan menentukan perubahan yang diperlukan;ii. Mengemukakan cadangan perubahan secara bertulis kepada CIO atauICTSO untuk pembentangan dan persetujuan Mesyuarat JawatankuasaPemandu ICT(JPICT) JLKN; daniii. Memaklumkan perubahan dasar yang telah dipersetujui oleh JPICTVERSI TARIKH MUKASURATDKICT (JLKN) 2.1 19/1/2012 17 dari 86

DASAR KESELAMATAN ICT JLKNkepada semua pengguna JLKN.1.4 Penggunaan DasarDasar Keselamatan ICT JLKN adalah terpakai kepada semua pengguna ICT. WargaJLKN1.5 Pengecualian DasarDasar Keselamatan ICT JLKN ini adalah terpakai kepada semua pengguna SemuaICT JLKN dan tiada pengecualian diberikan.VERSI TARIKH MUKASURATDKICT (JLKN) 2.1 19/1/2012 18 dari 86

DASAR KESELAMATAN ICT JLKNPERKARA 02 – ORGANISASI KESELAMATANPERKARAT/JAWABInfrastruktur Organisasi DalamanObjektif:Menerangkan peranan dan tangunggjawab individu yang terlibat dengan jelas dan teraturdalam mencapai objektif JLKN2.1 Ketua Pengarah JLKNPeranan dan tanggungjawab Ketua Pengarah JLKN adalah seperti berikut: Ketuai. Memastikan semua pengguna memahami dan mematuhi Dasar PengarahKeselamatan ICT JLKN;JLKNii. Memastikan semua keperluan JLKN (sumber kewangan, kakitangan danperlindungan keselamatan) adalah mencukupi; daniii. Memastikan penilaian risiko dan program keselamatan ICT dilaksanakanseperti yang ditetapkan di dalam Dasar Keselamatan ICTJLKN/Kerajaan.2.2 Ketua Pegawai Maklumat (CIO)Jawatan Ketua Pegawai Maklumat (CIO) adalah disandang oleh Timbalan CIOKetua Pengarah (Pengurusan) JLKN.Peranan dan tanggungjawab CIO adalah termasuk seperti berikut:i. Membantu dan menasihati Ketua Pengarah JLKN dalam melaksanakantugas-tugas yang melibatkan keselamatan ICT;ii. Menasihati Ketua Pengarah JLKN dalam melaksanakan tugas-tugasyang melibatkan keselamatan ICT;iii. Menentukan keperluan keselamatan ICT;iv. Menyelaras pembangunan dan melaksanakan pelan latihan dan programkesedaran mengenai keselamatan ICT; danv. Memastikan semua pengguna memahami peruntukan di bawah DasarKeselamatan ICT JLKN.2.3 Pengurus ICTVERSI TARIKH MUKASURATDKICT (JLKN) 2.1 19/1/2012 19 dari 86

DASAR KESELAMATAN ICT JLKNJawatan Pengurus ICT adalah disandang oleh Pengarah BahagianPengurusan Maklumat (BPM), JLKN.Peranan dan tanggungjawab adalah termasuk seperti berikut:i. Membaca, memahami dan mematuhi Dasar Keselamatan ICT JLKN;ii. Menentukan kawalan akses semua pengguna terhadap aset ICTkerajaan;iii. Menentukan tahap kawalan akses semua pengguna terhadap aset ICTkerajaan;iv. Melaporkan sebarang perkara atau penemuan/ancaman keselamatanICT kepada ICTSO; danv. Memastikan penyimpanan rekod, bahan bukti dan laporan terkinimengenai ancaman keselamatan ICT JLKN dilaksanakan.2.4 Pegawai Keselamatan ICT (ICTSO)Jawatan Pegawai Keselamatan ICT (ICTSO) adalah disandang oleh PegawaiTeknologi Maklumat (PTM), Cawangan Rangkaian dan Keselamatan (CRK),Bahagian Pengurusan Maklumat (BPM), JLKN.Peranan dan tanggungjawab adalah termasuk seperti berikut:i. Mengurus keseluruhan program-program keselamatan ICT JLKN;ii. Menguatkuasa dan memantau pematuhan Dasar Keselamatan ICTJLKN;iii. Memberi penerangan dan pendedahan berkenaan Dasar KeselamatanICT JLKN kepada pengguna;iv. Mewujudkan garis panduan dan prosedur selaras dengan DasarKeselamatan ICT JLKN;v. Menjalankan pengurusan risiko;vi. Menjalankan audit, mengkaji semula, merumus tindak balas pengurusanberdasarkan hasil penemuan dan menyediakan laporan mengenainya;vii. Memberi amaran terhadap kemungkinan berlakunya ancamanberbahaya seperti virus dan memberi khidmat nasihat serta menyediakanPengurusICTICTSOVERSI TARIKH MUKASURATDKICT (JLKN) 2.1 19/1/2012 20 dari 86

DASAR KESELAMATAN ICT JLKNlangkah-langkah perlindungan yang bersesuaian;viii. Menjadi ahli kepada Pasukan Tindak Balas Insiden Keselamatan ICTKementerian Pertahanan (MinDef*CERT);ix. Melaporkan Insiden Keselamatan ICT kepada Pasukan Tindak BalasInsiden Keselamatan ICT Kementerian Pertahanan (MinDef*CERT) danmemaklumkannya kepada CIO;x. Bekerjasama dengan semua pihak yang berkaitan dalam mengenal pastipunca ancaman atau insiden keselamatan ICT dan memperakukanlangkah-langkah baik pulih dengan segera; danxi. Memperakui proses pengambilan tindakan tatatertib ke atas penggunayang melanggar Dasar Keselamatan ICT JLKN.2.5 Pentadbir Sistem ICTPentadbir Sistem ICT adalah terdiri daripada berikut:a. Pentadbir Rangkaian;b. Pentadbir Sistem Aplikasi;c. Pentadbir Pusat Data;d. Pentadbir E-mel; dane. Pentadbir Laman Web (Web Master).Peranan dan tanggungjawab Pentadbir Sistem ICT adalah termasuk sepertiberikut:i. Membaca, memahami dan mematuhi Dasar Keselamatan ICT JLKN;ii. Memastikan perkhidmatan rangkaian, e-mel, sistem aplikasi dan lamanweb Jabatan adalah mematuhi keperluan yang ditetapkan dalam DasarKeselamatan ICT JLKN bagi menjamin keselamatan perkhidmatantersebut;iii. Memastikan kerahsiaan kata laluan pada server sistem aplikasi, lamanweb, e-mel, server-server lain dan perkakasan rangkaian;iv. Menjalankan operasi backup dan restoration yang melibatkan data,konfigurasi dan log secara berkala dan kaedah backup yang piawaiKetuaCawanganBPM,PPTM(K),PPTM danJuruteknikBPM,JLKNVERSI TARIKH MUKASURATDKICT (JLKN) 2.1 19/1/2012 21 dari 86

DASAR KESELAMATAN ICT JLKNdipatuhi;v. Menjalankan penyelenggaraan ke atas server-server dan perkakasanrangkaian serta memasang patches/updates/hotfix yang penting dansesuai pada server-server serta memastikan ia berfungsi dengansempurna;vi. Memantau status perkakasan server seperti storan, memory, CPU danlain-lain serta membuat penggantian atau penambahan jika perlu dengansegera;vii. Menghadkan capaian ke atas sistem aplikasi mengikut jenis akaunpengguna;viii. Memastikan sebarang port server yang tidak digunakan ditutup dan tidakboleh diakses dari luar Jabatan;ix. Memastikan semua server dipasang dengan perisian Antivirus danmengandungi virus pattern terkini dan menjalankan scanning secaraberkala ke atas server;x. Memastikan bekalan kuasa, penyaman udara dan sistem Card AccessBilik Server berfungsi dengan baik dan membuat laporan kepadaBahagian yang bertanggungjawab jika terdapat kerosakan;xi. Memastikan semua pelawat dan kontraktor yang menjalankan kerja diBilik Server JLKN mengisi Buku Log Pelawat Bilik Server JLKN;xii. Mengambil tindakan yang bersesuaian dengan segera apabiladimaklumkan mengenai kakitangan yang berhenti, bertukar, bercuti atauberlaku perubahan dalam bidang tugas;xiii. Mengambil tindakan yang bersesuaian dengan segera apabiladimaklumkan mengenai pengguna luar dan pihak ketiga yang berhentiatau tamat projek;xiv. Menentukan ketepatan dan kesempurnaan sesuatu tahap capaianberdasarkan arahan pemilik sumber maklumat sebagaimana yang telahditetapkan di dalam Dasar Keselamatan ICT JLKN;VERSI TARIKH MUKASURATDKICT (JLKN) 2.1 19/1/2012 22 dari 86

DASAR KESELAMATAN ICT JLKNxv. Memantau aktiviti capaian harian pengguna;xvi. Mengenal pasti aktiviti-aktiviti tidak normal seperti pencerobohan danpengubahsuaian data tanpa kebenaran dan membatalkan ataumemberhentikannya dengan serta merta;xvii. Menyimpan dan menganalisis rekod audit trail dan log secara berkala;xviii. Menyediakan laporan mengenai aktiviti capaian kepada pemilikmaklumat berkenaan secara berkala; danxix. Melaporkan sebarang insiden perlanggaran keselamatan kepada ICTSO.2.6 Jawatankuasa Keselamatan ICT (JKICT) JLKNJawatankuasa Keselamatan ICT (JKICT) JLKN adalah jawatankuasa yangbertanggungjawab dalam keselamatan ICT dan berperanan sebagaipenasihat, pemangkin dan penentu hala tuju rancangan dan strategikeselamatan ICT JLKN.JKICTJLKNDi JLKN, Jawatankuasa Pemandu ICT (JPICT) JLKN juga berperanansebagai Jawatankuasa Keselamatan ICT (JKICT) JLKN. Keanggotaan JKICTJLKN adalah seperti berikut:Pengerusi: CIO JLKNAhli: (1) Pengurus ICT JLKN(2) ICTSO JLKN(3) Pengurus Risiko JLKN (Pengarah atauwakil Bahagian Operasi JLKN yangdilantik)(4) Semua Pengarah BahagianUrus Setia bagi JKICT JLKN adalah urus setia yang mengendalikanmesyuarat Jawatankuasa Pemandu ICT (JPICT) JLKN.Bidang Kuasa:i. Memperakukan dan meluluskan dokumen Dasar KeselamatanVERSI TARIKH MUKASURATDKICT (JLKN) 2.1 19/1/2012 23 dari 86

DASAR KESELAMATAN ICT JLKNICT JLKN;ii. Memantau tahap pematuhan keselamatan ICT;iii. Memperaku garis panduan, prosedur dan tatacara berkaitan ICT(penggunaan, perolehan dan penyelenggaraan aset atau sistemaplikasi ICT) mematuhi keperluan keselamatan ICT JLKN;iv. Menilai teknologi yang bersesuaian dan mencadangkanpenyelesaian terhadap keperluan keselamatan ICT;v. Memastikan DKICT JLKN adalah selaras dengan dasar-dasarICT Kerajaan;vi. Membincangkan hal-hal berkaitan keselamatan ICT semasa;vii. Membincangkan hal-hal berkaitan perlanggaran DKICT JLKN;danviii. Membuat keputusan berkenaan tindakan yang perlu diambilmengenai sebarang inseden keselamatan ICT JLKN2.7 Pengguna ICT JLKNPeranan dan tanggungjawab adalah termasuk seperti berikut:i. Membaca, memahami dan mematuhi Dasar Keselamatan ICT JLKN;ii. Menandatangani Surat Akuan Pematuhan dasar Kelamatan ICT (DKICT)JLKN;iii. Mengetahui dan memahami implikasi keselamatan ICT kesan daritindakannya;iv. Melepasi tapisan keselamatan (jika berkaitan);v. Melaksanakan prinsip-prinsip Dasar Keselamatan ICT dan menjagakerahsiaan maklumat kerajaan;vi. Melaksanakan langkah-langkah perlindungan seperti berikut:a. Menghalang pendedahan maklumat kepada pihak yang tidakdibenarkan;b. Memeriksa maklumat dan menentukan ia tepat dan lengkap darisemasa ke semasa;WargaJLKNVERSI TARIKH MUKASURATDKICT (JLKN) 2.1 19/1/2012 24 dari 86

DASAR KESELAMATAN ICT JLKNc. Menentukan maklumat sedia untuk digunakan;d. Menjaga kerahsiaan kata laluan;e. Mematuhi standard, prosedur, langkah dan garis panduankeselamatan yang ditetapkan;f. Memberi perhatian kepada maklumat terperingkat terutama semasapewujudan, pemprosesan, penyimpanan, penghantaran,penyampaian, pertukaran dan pemusnahan; dang. Menjaga kerahsiaan langkah-langkah keselamatan ICT daridiketahui umum.vii. Melaporkan sebarang aktiviti perlanggaran keselamatan ICT kepadaICTSO dengan segera;viii. Menghadiri program-program kesedaran mengenai keselamatan ICT;danix. Memaklumkan kepada Bahagian Pengurusan Maklumat (BPM)berkenaan pekerja yang bertukar, baru dilantik dan berhenti untukpengurusan akaun email, domain dan akaun sistem di Jabatan.2.8 Pihak Luar / KetigaPihak JLKN hendaklah memastikan keselamatan penggunaan maklumat dankemudahan proses maklumat oleh pihak luar/ketiga dikawal.Perkara yang perlu dipatuhi adalah termasuk seperti berikut:i. Memastikan pihak luar/ketiga yang berurusan dengan Jabatan danmenjalankan kerja-kerja yang berkaitan dengan ICT Jabatan membaca,mematuhi dan menandatangani BOR IT/6/2009 – Borang KeselamatanBahagian Pengurusan Maklumat, Jabatan Latihan Khidmat Negara;ii. Mengenal pasti risiko keselamatan maklumat dan kemudahan prosesmaklumat dan laksana kawalan yang sesuai sebelum beri kebenarancapaian;iii. Mengenal pasti keperluan keselamatan sebelum membenarkan capaianatau penggunaan kepada pengguna luar. Capaian kepada aset ICTPegawaidankakitanganJabatanyangberurusandenganpihakluar/ketigaVERSI TARIKH MUKASURATDKICT (JLKN) 2.1 19/1/2012 25 dari 86

DASAR KESELAMATAN ICT JLKNJLKN perlu berlandaskan kepada perjanjian kontrak;iv. Memastikan semua keperluan keselamatan dinyatakan dengan jelasdalam perjanjian dengan pihak ketiga;v. Perkara-perkara berikut hendaklah dimasukkan di dalam perjanjian yangdimeterai:a. Dasar Keselamatan ICT JLKN;b. Tapisan Keselamatan;c. Perakuan Akta Rahsia Rasmi 1972; dand. Hak Harta Intelek.Nota:Surat Pekeliling Perbendaharaan Bilangan 2 Tahun 1995 bertajuk “TatacaraPenyediaan, Penilaian dan Penerimaan Tender” dan Surat PekelilingPerbendaharaan Bilangan 3 Tahun 1995 bertajuk “Peraturan PerolehanPerkhidmatan Perundingan” yang berkaitan juga boleh dirujuk.VERSI TARIKH MUKASURATDKICT (JLKN) 2.1 19/1/2012 26 dari 86

DASAR KESELAMATAN ICT JLKNPERKARA 03 – PENGURUSAN ASETPERKARAT/JAWAB3.1 Akauntibiliti AsetObjektif:Memberi dan menyokong perlindungan yang bersesuaian ke atas semua aset ICT JLKN3.1.1 Tanggungjawab ke Atas AsetMemastikan semua aset ICT Kerajaan diberi kawalan dan perlindungan Semuayang sesuai oleh pemilik atau pemegang amanah masing-masing.Perkara-perkara yang perlu dipatuhi adalah seperti berikut:PenggunaJLKNi. Memastikan semua aset dikenalpasti dan maklumat aset direkod dalamborang daftar harta modal dan inventori (KEW PA2) dan sentiasa Pengurusdikemas kini;Asetii. Memastikan semua aset mempunyai pemilik dan dikendalikan olehpengguna yang dibenarkan sahaja;iii. Setiap pengguna adalah bertanggungjawab ke atas semua aset ICT dibawah kawalannya; daniv. Peraturan bagi pengendalian aset hendaklah dikenalpasti,didokumenkan dan dilaksanakan.3.2 Pengelasan dan Pengendalian MaklumatObjektif:Memastikan setiap maklumat atau aset ICT diberikan tahap perlindungan yang bersesuaian.3.2.1 Pengelasan MaklumatMemastikan setiap maklumat diberi perlindungan yang bersesuaian Warga JLKNberdasarkan tahap kerahsiaan.Perkara-perkara yang perlu dipatuhi adalah seperti berikut:i. Maklumat hendaklah dikelaskan berasaskan nilai, keperluanperundangan, tahap sensitiviti dan tahap kritikal kepada kerajaan.Setiap maklumat yang dikelaskan mestilah mempunyai peringkatkeselamatan sebagaimana yang ditetapkan di dalam dokumen ArahanVERSI TARIKH MUKASURATDKICT (JLKN) 2.1 19/1/2012 27 dari 86

DASAR KESELAMATAN ICT JLKNKeselamatan seperti berikut:a) Rahsia Besar;b) Rahsia;c) Sulit; ataud) Terhadii. Setiap pengguna adalah bertanggungjawab mengurus maklumatbersesuaian dengan peringkat keselamatan seperti mana yang telahditetapkan di dalam dokumen Arahan Keselamatan.3.2.2 Pengendalian MaklumatAktiviti pengendalian maklumat seperti pewujudan, pengumpulan,pemprosesan, penyimpanan, penghantaran, penyampaian, penukaran danpemusnahan hendaklah mengambil kira langkah-langkah keselamatanberikut:i. Menghalang pendedahan maklumat kepada pihak yang tidakdibenarkan;ii. Memeriksa, menyemak maklumat-maklumat dan menentukan ia tepatdan lengkap dari semasa ke semasa;iii. Memastikan maklumat sedia untuk digunakan;iv. Menjaga kerahsiaan kata laluan;v. Mematuhi standard, prosedur, langkah dan garis panduan keselamatanyang dikeluarkan dari semasa ke semasa;vi. Memberi perhatian kepada pengendalian maklumat rasmi terperingkatterutama semasa pewujudan, pengumpulan, pemprosesan,penyimpanan, penghantaran, penyampaian, penukaran danpemusnahan; danvii. Menjaga kerahsiaan langkah-langkah keselamatan ICT dari diketahuiumum.Warga JLKNVERSI TARIKH MUKASURATDKICT (JLKN) 2.1 19/1/2012 28 dari 86

DASAR KESELAMATAN ICT JLKNPERKARA 04 – KESELAMATAN SUMBER MANUSIAPERKARAT/JAWABKeselamatan Sumber Manusia dalam Tugas HarianObjektif:Meminimumkan risiko seperti kesilapan, kecuaian, kecurian, penipuan dan penyalahgunaanaset ICT JLKN. Semua warga JLKN wajib memahami tanggungjawab dan peranan semuasumber manusia dalam keselamatan ICT JLKN.4.1 Terma Perkhidmatani. Awam atau TenteraAnggota tentera dan awam yang menggunakan dan mengendalikanaset ICT dan maklumat elektronik berdarjah mestilah menjalanitapisan keselamatan.ii. Pekerja Kontrak / Pekerja Sambilan Harian (PSH)Anggota yang berkhidmat secara kontrak/sambilan harian yangmenggunakan dan mengendalikan aset ICT yang berkaitan ataurelevan dengan tugas masing-masing sepanjang tempoh kontrak.Ketua Jabatan dan setaraf dikehendaki menentukan setiap pekerjakontrak/sambilan harian menandatangani surat perjanjian kontraksepanjang tempoh kontrak.4.2 Sebelum BerkhidmatMemastikan semua sumber manusia yang terlibat termasuk penjawat awam, Semuakontraktor, pihak ketiga dan pihak-pihak lain yang terlibat memahami penggunatanggungjawab masing-masing ke atas keselamatan ICT bagi JLKNmeminimumkan risiko seperti kesilapan, kecuaian, kecurian, penipuan danpenyalahgunaan aset ICT Kerajaan.Perkara-perkara yang perlu dipatuhi adalah seperti berikut:i. Menyatakan dengan lengkap dan jelas peranan dan tanggungjawabpenjawat awam, pembekal, pakar runding dan pihak-pihak lain yangterlibat dalam menjamin keselamatan aset ICT sebelum, semasa danVERSI TARIKH MUKASURATDKICT (JLKN) 2.1 19/1/2012 29 dari 86

DASAR KESELAMATAN ICT JLKNselepas perkhidmatan;ii. Menjalankan tapisan keselamatan untuk penjawat awam, pembekal,pakar runding dan pihak-pihak lain yang terlibat selaras dengankeperluan perkhidmatan; daniii. Mematuhi semua terma dan syarat perkhidmatan yang ditawarkandan peraturan semasa yang berkuatkuasa berdasarkan perjanjianyang telah ditetapkan.4.3 Dalam PerkhidmatanMemastikan semua pengguna ICT JLKN sedar akan ancaman keselamatan Semuamaklumat, peranan dan tanggungjawab masing-masing untuk menyokong penggunaDasar Keselamatan ICT JLKN dan meminimumkan risiko kesilapan, JLKNkecuaian, kecurian, penipuan dan penyalahgunaan aset ICT.Perkara-perkara yang perlu dipatuhi termasuk yang berkaitan:i. Memastikan semua pengguna ICT JLKN mengurus keselamatan asetICT berdasarkan perundangan dan peraturan yang ditetapkan olehagensi;ii. Memastikan latihan kesedaran dan yang berkaitan mengenaipengurusan keselamatan ICT diberi kepada semua pengguna JLKNdan sekiranya perlu diberi kepada pihak ketiga yang berkepentingandari semasa ke semasa;iii. Memastikan adanya proses tindakan disiplin dan/atau undangundangke atas semua pengguna ICT JLKN sekiranya berlakuperlanggaran dengan perundangan dan peraturan ditetapkan olehJLKN; daniv. Memantapkan pengetahuan yang berkaitan dengan penggunaan asetICT bagi memastikan setiap kemudahan ICT digunakan dengan caradan kaedah yang betul demi kepentingan menjamin keselamatan ICT.4.4 Tamat Perkhidmatan atau BertukarMemastikan semua pengguna JLKN diurus dengan teratur apabila tamat SemuaVERSI TARIKH MUKASURATDKICT (JLKN) 2.1 19/1/2012 30 dari 86

DASAR KESELAMATAN ICT JLKNperkhidmatan atau bertukar dari JLKN.Perkara yang perlu dipatuhi termasuk yang berikut:i. Memastikan semua aset ICT Kerajaan dikembalikan kepada JLKNmengikut peraturan yang ditetapkan JLKN dan/atau termaperkhidmatan yang ditetapkan; danii. Membatalkan atau meminda semua kebenaran capaian ke atasmaklumat dan kemudahan proses maklumat mengikut peraturan yangditetapkan JLKN dan/atau terma perkhidmatan.PenggunaJLKNVERSI TARIKH MUKASURATDKICT (JLKN) 2.1 19/1/2012 31 dari 86

DASAR KESELAMATAN ICT JLKNPERKARA 05 – KESELAMATAN FIZIKAL DAN PERSEKITARANPERKARAT/JAWAB5.1 Keselamatan ICT Dalam Tugas HarianObjektif:Mencegah akses fizikal yang tidak dibenarkan yang boleh mengakibatkan kecurian,kerosakan dan gangguan kepada persekitaran premis, peralatan dan maklumat.5.1.1 Perimeter Keselamatan FizikalKeselamatan Fizikal adalah bertujuan untuk mengesan, mencegah dan CIO danmenghalang cubaan untuk menceroboh ke kawasan yang menempatkan ICTSOperalatan, maklumat dan kemudahan proses maklumat.Perkara-perkara yang perlu dipatuhi adalah seperti berikut:i. Mengenalpasti kawasan keselamatan fizikal dengan jelas dan lokasiserta keteguhan kawasan ini hendaklah bergantung kepada keperluanuntuk melindungi aset dalam kawasan ini dan hasil penilaian risiko;ii. Mempamerkan papan tanda kawasan larangan;iii. Memperkukuhkan tingkap dan pintu serta dikunci untuk mengawalmasuk;iv. Memperkukuhkan dinding dan siling;v. Menghadkan jalan keluar masuk;vi. Mengadakan kaunter kawalan;vii. Mewujudkan sistem pas keselamatan;viii. Menyediakan tempat dan bilik khas pelawat;ix. Mewujudkan perkhidmatan kawalan keselamatan; danx. Memasang alat penggera atau kamera (CCTV) jika berkaitan.5.1.2 Kawalan Kawasan TerhadMenghalang capaian, kerosakan dan gangguan secara fizikal terhadap CIO danpremis dan maklumat JLKN.ICTSOPerkara-perkara yang mesti dipatuhi termasuk yang berikut:i. Menggunakan kawasan perimeter (halangan seperti dinding, pagarVERSI TARIKH MUKASURATDKICT (JLKN) 2.1 19/1/2012 32 dari 86

DASAR KESELAMATAN ICT JLKNkawalan, pengawal keselamatan) untuk melindungi kawasan yangmengandungi maklumat dan kemudahan pemprosesan maklumat;ii. Melindungi kawasan terhad melalui kawalan pintu masuk yangbersesuaian bagi memastikan kakitangan yang diberi kebenaransahaja boleh masuk melalui pintu ini;iii. Mereka bentuk dan melaksanakan keselamatan fizikal di dalampejabat, bilik dan kemudahan;iv. Mereka bentuk dan melaksanakan perlindungan fizikal dari kebakaran,banjir, letupan, kacau-bilau manusia dan sebarang bencanadisebabkan oleh kuasa Tuhan atau perbuatan manusia;v. Melaksanakan perlindungan fizikal dan menyediakan garis panduanuntuk kakitangan yang bekerja di dalam kawasan terhad; danvi. Memastikan kawasan-kawasan penghantaran dan pemunggahan danjuga tempat-tempat lain dikawal dari pihak yang tidak diberi kebenaranmemasukinya.5.1.3 Kawalan Masuk FizikalKawalan masuk fizikal adalah bertujuan untuk mewujudkan kawalan keluarmasuk ke premis/bangunan di Jabatan.Perkara-perkara yang perlu dipatuhi adalah seperti berikut:i. Setiap pengguna JLKN hendaklah memakai atau mengenakan paskeselamatan sepanjang waktu bertugas;ii. Mendaftarkan setiap pelawat di pintu utama Kementerian/ Jabatan/Agensi dahulu;iii. Setiap pelawat boleh mendapat pas keselamatan pelawat di pintumasuk ke kawasan atau tempat berurusan dan hendaklahdikembalikan semula selepas tamat lawatan;iv. Menyerahkan balik semua Pas Keselamatan Kakitangan kepadaJabatan apabila pengguna berhenti atau bersara;v. Melaporkan kehilangan pas dengan segera kepada pentadbiranSemuapenggunaJLKNVERSI TARIKH MUKASURATDKICT (JLKN) 2.1 19/1/2012 33 dari 86

DASAR KESELAMATAN ICT JLKNJabatan; danvi. Hanya pengguna yang diberi kebenaran sahaja boleh mencapai ataumenggunakan aset ICT JLKN.5.1.4 Kawasan LaranganKawasan larangan ditakrifkan sebagai kawasan yang dihadkan kemasukan Semuakepada pegawai-pegawai yang tertentu sahaja. Ini dilaksanakan untuk penggunamelindungi aset ICT yang terdapat di dalam kawasan tersebut.JLKNKawasan larangan di JLKN adalah Bilik Ketua Pengarah, Bilik TimbalanKetua Pengarah, Bilik Server, Bilik Stor dan Bilik Fail.i. Akses kepada kawasan larangan hanyalah kepada pegawai-pegawaiyang dibenarkan sahaja; danii. Pihak ketiga adalah dilarang sama sekali untuk memasuki kawasanlarangan kecuali, bagi kes-kes tertentu seperti memberi perkhidmatansokongan atau bantuan teknikal, dan mereka hendaklah diiringisepanjang masa sehingga tugas di kawasan berkenaan selesai.5.2 Keselamatan Aset ICTObjektif:Melindungi aset ICT JLKN daripada hilang, rosak, dicuri atau salah guna serta gangguan keatas aktiviti JLKN.5.2.1 PerkakasanPeralatan ICT hendaklah dijaga dan dikawal dengan baik supaya boleh Semuaberfungsi apabila diperlukan.Perkara-perkara yang perlu dipatuhi adalah seperti berikut:penggunaJLKNi. Pengguna bertanggungjawab sepenuhnya ke atas komputer masingmasingdan tidak dibenarkan membuat sebarang pertukaranperkakasan dan konfigurasi yang telah ditetapkan;ii. Pengguna dilarang sama sekali menambah, menanggal ataumengganti sebarang perkakasan ICT yang telah ditetapkan;iii. Pengguna mesti memastikan perisian antivirus di komputer merekaVERSI TARIKH MUKASURATDKICT (JLKN) 2.1 19/1/2012 34 dari 86

DASAR KESELAMATAN ICT JLKNsentiasa aktif (activated) dan dikemaskini disamping menjalankanimbasan ke atas media storan yang digunakan secara berkala;iv. Pengguna perlu mengisi borang BOR IT/3/2009 – BorangPermohonan Akaun E-mel dan Domain bagi mendapatkan akaunkomputer dan e-mel (bagi yang layak);v. Penggunaan kata laluan untuk akses ke dalam komputer adalahdiwajibkan;vi. Semua peralatan sokongan ICT seperti papan kekunci, tetikus,pencetak, pengimbas dan lain-lain hendaklah dilindungi daripadakecurian, kerosakan, penyalahgunaan atau pengubahsuaian tanpakebenaran;vii. Peralatan-peralatan kritikal perlu disokong oleh Uninterruptible PowerSupply (UPS);viii. Semua peralatan yang digunakan secara berterusan dan berkuasatinggi mestilah diletakkan di kawasan yang berhawa dingin danmempunyai pengudaraan (air ventilation) yang sesuai;ix. Peralatan ICT yang hendak dibawa keluar dari premis JLKN, perlumendapat kelulusan dari Pentadbir Sistem dan direkodkan di dalamborang BOR IT/7/2009 – Borang Kebenaran Membawa KeluarPeralatan ICT;x. Peralatan ICT yang hilang hendaklah segera dilaporkan kepadaPegawai Aset dengan segera;xi. Pengendalian peralatan ICT hendaklah mematuhi dan merujuk kepadaperaturan semasa yang berkuatkuasa;xii. Pengguna tidak dibenarkan mengubah kedudukan komputer daritempat asal ia ditempatkan tanpa kebenaran Pentadbir Sistem;xiii. Sebarang kerosakan peralatan ICT hendaklah dilaporkan kepadaPentadbir Sistem untuk dibaik pulih;xiv. Konfigurasi alamat IP asal komputer tidak dibenarkan diubah kepadaVERSI TARIKH MUKASURATDKICT (JLKN) 2.1 19/1/2012 35 dari 86

DASAR KESELAMATAN ICT JLKNyang lain;xv. Pengguna dilarang mengubah kata laluan bagi pentadbir(administrator password) yang telah ditetapkan;xvi. Penggunaan perkakasan, perisian dan maklumat hendaklahdigunakan sepenuhnya bagi urusan rasmi sahaja;xvii. Semua perkakasan komputer, pencetak dan pengimbas mestilahberada dalam keadaan (OFF) apabila meninggalkan pejabat; danxviii. Sebarang bentuk penyelewengan atau salah guna perkakasanhendaklah dilaporkan kepada Bahagian Pengurusan Maklumat (BPM),JLKN.5.2.2 DokumenLangkah-langkah pengurusan dokumentasi yang baik dan selamat perlu Semuadilaksanakan bagi memastikan integriti maklumat.Perkara-perkara yang perlu dipatuhi adalah seperti berikut:penggunaJLKNi. Memastikan sistem dokumentasi atau penyimpanan maklumat adalahselamat dan terjamin;ii. Menggunakan tanda atau label peringkat keselamatan seperti rahsiabesar, rahsia, sulit atau terhad pada dokumen;iii. Mewujudkan sistem pengurusan dokumen terperingkat bagimenerima, memproses, menyimpan dan menghantar dokumendokumentersebut supaya ianya diuruskan berasingan daripadadokumen-dokumen tidak terperingkat;iv. Menggunakan enkripsi ke atas dokumen terperingkat yang disediakandan dihantar secara elektronik; danv. Pelupusan dokumen hendaklah merujuk kepada tatacara danprosedur yang digariskan seperti di dalam Arahan Keselamatan dantatacara yang dikeluarkan oleh Arkib Negara.5.2.3 Media Storan (Disket, Pita Magnetik, Cakera Keras, CD-ROM, Optical Disk,Removable Disk (Thumb/Pen Drive) dan lain-lain.VERSI TARIKH MUKASURATDKICT (JLKN) 2.1 19/1/2012 36 dari 86

DASAR KESELAMATAN ICT JLKNKeselamatan media storan perlu diberi perhatian khusus kerana ia berupayamenyimpan maklumat rasmi dan rahsia Kerajaan. Langkah-langkahpencegahan hendaklah diambil untuk memastikan kerahsiaan, integriti dankebolehsediaan maklumat yang disimpan dalam media storan adalahterjamin dan selamat.Perkara-perkara yang perlu dipatuhi adalah seperti berikut:i. Pengguna adalah dilarang sama sekali menyimpan maklumatterperingkat di dalam removable disk kecuali dibenarkan oleh KetuaPengarah JLKN;ii. Menyediakan ruang penyimpanan dan bekas-bekas keselamatan yangmempunyai ciri-ciri keselamatan bersesuaian dengan kandunganmaklumat;iii. Menghadkan akses kepada pengguna yang dibenarkan sahaja;iv. Sebarang pelupusan hendaklah merujuk kepada tatacara pelupusan;danv. Mengadakan sistem pengurusan media termasuk inventori,pergerakan, pelabelan dan backup/restore.5.2.4 KabelKabel termasuk kabel elektrik dan komunikasi hendaklah dilindung keranaboleh menjadi punca maklumat menjadi terdedah.Perkara-perkara yang perlu dipatuhi adalah seperti berikut:i. Menggunakan kabel yang mengikut spesifikasi yang telahditetapkan;ii. Melindungi kabel daripada kerosakan yang disengajakan atau tidakdisengajakan;iii. Melindungi laluan pemasangan kabel sepenuhnya bagimengelakkan ancaman kerosakan dan wire tapping; daniv. Membuat penamaan kabel (pelabelan) menggunakan kod tertentudan dikemaskini di dalam pelan lantai rangkaian Jabatan.SemuapenggunaJLKNICTSO/PentadbirSistemVERSI TARIKH MUKASURATDKICT (JLKN) 2.1 19/1/2012 37 dari 86

DASAR KESELAMATAN ICT JLKN5.2.5 PenyelenggaraanPerkakasan hendaklah diselenggarakan dengan betul bagi memastikankebolehsediaan dan integriti.Perkara-perkara yang perlu dipatuhi adalah seperti berikut:i. Mematuhi spesifikasi penyelenggaraan yang ditetapkan olehpengeluar perkakasan berkenaan apabila menyelenggarakanperkakasan;ii. Menyelenggara perkakasan dengan khidmat pegawai teknikal ataupihak yang dibenarkan sahaja;iii. Menyemak dan menguji semua perkakasan sebelum dan selepasproses penyelenggaraan dilakukan;iv. Mendapatkan kebenaran daripada Pengurus ICT Jabatan untukmelakukan sebarang penyelenggaraan dan proses naiktaraf; danv. Memaklumkan kepada pihak pengguna atau Penyelaras ICT sebelummelaksanakan penyelenggaraan pencegahan (preventive),penyelenggaraan pemulihan (remedial) atau atas keperluan tertentu.5.2.6 Peminjaman Aset ICT Untuk Kegunaan Di Luar PejabatAset ICT yang dipinjam untuk kegunaan di luar pejabat adalah terdedahkepada pelbagai risiko.Langkah-langkah berikut boleh diambil untuk menjamin keselamatan asetICT:i. Mendapat kelulusan Pengurus ICT atau pegawai BPM yang dilantikuntuk membawa keluar pejabat aset ICT dan tertakluk kepada tujuanyang dibenarkan;ii. Mendapat kelulusan Pengurus ICT di Jabatan untuk memindahkanperalatan ICT di antara Bahagian/Cawangan/Unit di Ibu Pejabat JLKNdan Kem-kem PLKN;iii. Setiap bahagian perlu merekodkan aktiviti peminjaman danpemulangan aset ICT di bahagian masing-masing menggunakanSemuapenggunaJLKNSemuapenggunaJLKNVERSI TARIKH MUKASURATDKICT (JLKN) 2.1 19/1/2012 38 dari 86

DASAR KESELAMATAN ICT JLKNborang yang disediakan;iv. Menyemak aset ICT yang dipulangkan berada dalam keadaan baikdan lengkap;v. Aset ICT yang dipinjam perlu dilindungi dan dikawal sepanjang masa;danvi. Penyimpanan atau penempatan aset ICT yang dipinjam mestilahmengambil kira ciri-ciri keselamatan yang bersesuaian.5.2.7 Pengendalian Aset ICT Yang Dibawa MasukBagi aset ICT yang dibawa masuk ke premis kerajaan, perkara yang perludipatuhi adalah seperti berikut:i. Memastikan aset ICT yang dibawa masuk tidak mengancamkeselamatan ICT JLKN;ii. Mendapat kelulusan mengikut peraturan yang telah ditetapkan olehJLKN bagi membawa masuk atau keluar aset ICT; daniii. Memeriksa dan memastikan aset ICT yang dibawa keluar tidakmengandungi maklumat kerajaan. Ia perlu disalin dan dihapuskan.5.2.8 PelupusanAset ICT yang hendak dilupuskan perlu melalui proses pelupusan semasa.Pelupusan aset ICT perlu dilakukan secara terkawal dan lengkap supayamaklumat tidak terlepas dari kawalan JLKN.Perkara-perkara yang perlu dipatuhi adalah:i. Menghapuskan semua kandungan aset ICT khususnya maklumatrahsia rasmi terlebih dahulu sebelum pelupusan sama ada melaluishredding, grinding, degauzing atau pembakaran; danii. Membuat pendua sekiranya maklumat perlu disimpan oleh pengguna.Nota:Maklumat lanjut pelupusan bolehlah merujuk kepada Surat PekelilingPerbendaharaan Bilangan 5 Tahun 2007 bertajuk “Tatacara PengurusanAset Alih Kerajaan”.Pengurus ICTdiKementerian/Jabatan/AgensiPegawai AsetVERSI TARIKH MUKASURATDKICT (JLKN) 2.1 19/1/2012 39 dari 86

DASAR KESELAMATAN ICT JLKN5.2.9Clear Desk dan Clear ScreenSemua maklumat dalam apa jua bentuk media hendaklah disimpan denganteratur dan selamat bagi mengelakkan kerosakan, kecurian atau kehilangan.Clear Desk dan Clear Screen bermaksud tidak meninggalkan bahan-bahanSemuapenggunaJLKNsensitif terdedah sama ada atas meja pengguna, di paparan skrin atau dipencetak dan pengimbas apabila pengguna tidak berada di tempatnya.Perkara-perkara yang perlu dipatuhi adalah:i. Menggunakan kemudahan password screen saver atau log keluarapabila meninggalkan komputer;ii. Menyimpan bahan-bahan sensitif dalam laci atau kabinet fail yangberkunci; daniii. Memastikan kedudukan komputer yang digunakan oleh warga JLKNtidak mendedahkan rahsia.5.3 Keselamatan PersekitaranObjektif:Melindungi aset ICT JLKN dari sebarang bentuk ancaman persekitaran yang disebabkanoleh bencana alam, kesilapan, kecuaian atau kemalangan.5.3.1 Kawalan PersekitaranBagi menghindarkan kerosakan dan gangguan terhadap premis dan aset Warga JLKNICT, semua cadangan berkaitan premis sama ada untuk memperoleh,menyewa, ubahsuai, pembelian hendaklah dirujuk terlebih dahulu kepadaPejabat Ketua Pegawai Keselamatan Kerajaan (KPKK).Bagi menjamin keselamatan persekitaran, langkah-langkah berikuthendaklah diambil:i. Merancang dan menyediakan pelan keseluruhan susun atur PusatData (bilik pencetakan, peralatan komputer dan ruang atur pejabat dansebagainya) dengan teliti;ii. Memastikan semua ruang pejabat khusunya kawasan yangmempunyai kemudahan ICT dilengkapi dengan perlindunganVERSI TARIKH MUKASURATDKICT (JLKN) 2.1 19/1/2012 40 dari 86

DASAR KESELAMATAN ICT JLKNkeselamatan yang mencukupi dan dibenarkan seperti alat pencegahkebakaran dan pintu kecemasan;iii. Memasang peralatan perlindungan di tempat yang bersesuaian,mudah dikenali dan dikendalikan;iv. Menyimpan bahan mudah terbakar di luar kawasan kemudahanpenyimpanan aset ICT;v. Pengguna adalah dilarang merokok atau menggunakan peralatanmemasak seperti cerek elektrik berhampiran peralatan komputer;vi. Memastikan Pusat Pemulihan Bencana (DRC) Jabatan berfungsidengan baik dan menjalankan pengujian bencana dua (2) kali setahunbagi menguji tahap kesediaan DRC dan kesinambungan perkhidmatansistem aplikasi utama Jabatan jika bencana berlaku di Ibu PejabatJLKN;vii. Menyemak dan merujuk Pelan Pengurusan Risiko (PPR) Jabatansecara berkala dan mengemaskini PPR mengikut kesesuaian danperubahan prosedur; danviii. Menyemak dan menguji semua peralatan perlindungan sekurangkurangnyadua (2) kali dalam setahun. Aktiviti dan keputusan ujian iniperlu direkodkan bagi memudahkan rujukan dan tindakan sekiranyaperlu.5.3.2 Bekalan Kuasai. Melindungi semua peralatan ICT dari kegagalan bekalan elektrik danmenyalurkan bekalan yang sesuai kepada peralatan ICT;ii. Memastikan peralatan sokongan seperti UPS (Uninterruptable PowerSupply) dan penjana (generator) boleh digunakan bagi perkhidmatankritikal seperti di bilik server supaya mendapat bekalan kuasaberterusan;iii. Memastikan penyaman udara di Bilik Server berfungsi dengan baikdan melaporkan sebarang korosakan penyaman udara kepadaBPM/ICTSO/Pentadbir SistemVERSI TARIKH MUKASURATDKICT (JLKN) 2.1 19/1/2012 41 dari 86

DASAR KESELAMATAN ICT JLKNBahagian yang bertanggungjawab; daniv. Menyemak dan menguji semua peralatan sokongan bekalan kuasasecara berjadual.5.3.3 Prosedur KecemasanPerkara-perkara yang perlu dipatuhi adalah seperti berikut:i. Memastikan setiap pengguna membaca, memahami dan mematuhiprosedur kecemasan dengan merujuk kepada prosedur kecemasanyang telah ditetapkan;ii. Melaporkan insiden kecemasan persekitaran seperti kebakarankepada Pegawai Keselamatan JLKN;iii. Mengadakan, menguji dan mengemas kini pelan kecemasan darisemasa ke semasa; daniv. Merancang dan mengadakan latihan kebakaran bangunan (firedrill)secara berkala.PegawaiKeselamatanBahagianVERSI TARIKH MUKASURATDKICT (JLKN) 2.1 19/1/2012 42 dari 86

DASAR KESELAMATAN ICT JLKNPERKARA 06 – PENGURUSAN OPERASI DAN KOMUNIKASIPERKARAT/JAWAB6.1 Pengurusan Prosedur OperasiObkektif:Memastikan perkhidmatan dan pemprosesan maklumat dapat berfungsi dengan betul danselamat.6.1.1 Pengendalian Proseduri. Mendokumen, menyimpan dan mengawal semua prosedur Semuakeselamatan ICT yang wujud dan dikenal pasti serta masih diguna Penggunapakai;JLKNii. Memastikan setiap prosedur mengandungi arahan-arahan yang jelas,teratur dan lengkap seperti keperluan kapasiti, pengendalian danpemprosesan maklumat, pengendalian dan penghantaran ralat,pengendalian output, bantuan teknikal dan pemulihan sekiranyapemprosesan tergendala atau terhenti;iii. Mengemaskini semua prosedur dari semasa ke semasa atau mengikutkeperluan;iv. Tugas dan tanggungjawab perlu diasingkan bagi mengurangkan risikokecuaian dan penyalahgunaan aset agensi; danv. Kemudahan ICT untuk pembangunan, pengujian dan operasi mestilahdiasingkan bagi mengurangkan risiko capaian atau pengubahsuaiansecara tidak sah ke atas sistem yang sedang beroperasi.6.1.2 Kawalan Perubahani. Pengubahsuaian yang melibatkan perkakasan, sistem untuk Semuapemprosesan maklumat, perisian, dan prosedur mestilah mendapat Penggunakebenaran daripada pegawai atasan atau pemilik aset ICT terlebih JLKNdahulu;ii. Mengendalikan aktiviti-aktiviti seperti memasang, menyelenggara,menghapus dan mengemas kini mana-mana komponen sistem ICTVERSI TARIKH MUKASURATDKICT (JLKN) 2.1 19/1/2012 43 dari 86

DASAR KESELAMATAN ICT JLKNdengan khidmat pihak atau pegawai yang diberi kuasa dan mempunyaipengetahuan atau terlibat secara langsung dengan aset ICTberkenaan;iii. Mematuhi spesifikasi perubahan yang telah ditetapkan bagi semuaaktiviti pengubahsuaian komponen sistem ICT; daniv. Merekodkan dan mengawal semua aktiviti perubahan ataupengubahsuaian bagi mengelakkan berlakunya ralat sama ada secarasengaja atau pun tidak.6.1.3 Pengasingan Tugas dan TanggungjawabPerkara-perkara yang perlu dipatuhi adalah seperti berikut:Pengurusi. Skop tugas dan tanggungjawab perlu diasingkan bagi mengurangkan ICT/ICTSO/peluang berlaku penyalahgunaan atau pengubahsuaian yang tidak Pentadbirdibenarkan ke atas aset ICT;Sistemii. Tugas mewujud, memadam, mengemaskini, mengubah danmengesahkan data hendaklah diasingkan bagi mengelakkan daripadacapaian yang tidak dibenarkan serta melindungi aset ICT daripadakesilapan, kebocoran maklumat terperingkat atau dimanipulasi; daniii. Perkakasan yang digunakan bagi tugas membangun, mengemaskini,menyenggara dan menguji aplikasi hendaklah diasingkan dariperkakasan yang digunakan sebagai production. Pengasingan jugamerangkumi tindakan memisahkan antara kumpulan operasi danrangkaian.6.2 Pengurusan Penyampaian Perkhidmatan Pihak KetigaObjektif:Memastikan pelaksanaan dan penyelenggaraan tahap keselamatan maklumat danpenyampaian perkhidmatan yang sesuai selaras dengan perjanjian perkhidmatan dengankontraktor, pihak ketiga dan pihak-pihak lain yang terlibat.6.2.1 Perkhidmatan PenyampaianPerkara-perkara yang mesti dipatuhi termasuk yang berikut:SemuaVERSI TARIKH MUKASURATDKICT (JLKN) 2.1 19/1/2012 44 dari 86

DASAR KESELAMATAN ICT JLKNi. Memastikan kawalan keselamatan, definasi perkhidmatan dan tahappenyampaian yang terkandung dalam perjanjian dipatuhi, dilaksanakandan disenggarakan oleh kontraktor, pihak ketiga dan pihak-pihak lainyang terlibat;ii. Perkhidmatan, laporan dan rekod yang dikemukakan oleh kontraktor,pihak ketiga dan pihak-pihak lain yang terlibat;iii. Perkhidmatan, laporan dan rekod yang dikemukakan oleh kontraktor,pihak ketiga dan pihak-pihak lain yang terlibat perlu sentiasa dipantau,disemak semula dan diaudit dari semasa ke semasa; daniv. Pengurusan ke atas perubahan penyediaan perkhidmatan termasukmenyenggara dan menambah baik polisi keselamatan, prosedur dankawalan maklumat sedia ada, perlu mengambil kira tahap kritikal sistemdan proses yang terlibat serta penilaian semula risiko.6.3 Perancangan dan Penerimaan SistemObjektif:Mengurangkan risiko kegagalan atau gangguan sistem.6.3.1 Perancangan KapasitiPerkara-perkara yang mesti dipatuhi termasuk yang berikut:i. Kapasiti sesuatu komponen atau sistem ICT hendaklah dirancang,diurus dan dikawal dengan teliti oleh pegawai yang berkenaan bagimemastikan keperluannya adalah mencukupi dan bersesuaian untukpembangunan dan kegunaan sistem ICT pada masa akan datang;ii. Penggunaan peralatan dan sistem mestilah dipantau, ditala (tuned) danperancangan perlu dibuat bagi memenuhi keperluan kapasiti akandatang untuk memastikan prestasi sistem di tahap optimum; dan6.3.2 Penerimaan Sistemi. Kriteria penerimaan untuk peralatan dan sistem baru, peningkatan danversi baru perlu ditetapkan dan ujian yang sesuai ke atasnya perludibuat semasa pembangunan dan sebelum penerimaan sistem.PenggunaJLKNPentadbirSistemPentadbirSistemVERSI TARIKH MUKASURATDKICT (JLKN) 2.1 19/1/2012 45 dari 86

DASAR KESELAMATAN ICT JLKN6.4 Perisian BerbahayaObjektif:Melindungi integriti perisian dan maklumat dari pendedahan atau kerosakan yangdisebabkan oleh perisian berbahaya seperti virus, Trojan dan sebagainya.6.4.1 Perlindungan dari Perisian BerbahayaPerkara-perkara yang mesti dipatuhi termasuk yang berikut:Pentadbiri. Memasang sistem keselamatan untuk mengesan perisian atau program Sistem,berbahaya seperti anti virus dan InstrusionPrevention Sistem (IPS), dan Warga JLKNmengikut prosedur penggunaan yang selamat;ii. Memasang dan menggunakan hanya perisian yang berdaftar dilindungdi bawah hak cipta terpelihara;iii. Mengimbas semua perisian atau sistem dengan anti virus sebelummenggunakannya;iv. Mengemaskini paten anti virus dari semasa ke semasa;v. Menyemak kandungan sistem atau maklumat secara berkala bagimengesan aktiviti yang tidak diingini seperti kehilangan atau kerosakanmaklumat;vi. Menghadiri program kesedaran mengenai ancaman perisian berbahayadan cara mengendalikannya;vii. Memasukkan klausa tanggungan di dalam mana-mana kontrak yangditawarkan kepada pembekal perisian. Klausa ini bertujuan untuktuntutan baik pulih sekiranya perisian tersebut mengandungi programberbahaya;viii. Mengadakan program dan prosedur jaminan kualiti ke atas semuaperisian yang dibangunkan;ix. Mengedar amaran mengenai ancaman seperti serangan virus terhadapkeselamatan aset ICT JLKN;x. Kawalan pencegahan, pengesanan dan pemulihan untuk melindungidaripada malicious kod dan program kesedaran pengguna yangVERSI TARIKH MUKASURATDKICT (JLKN) 2.1 19/1/2012 46 dari 86

DASAR KESELAMATAN ICT JLKNbersesuaian mesti dilaksanakan; danxi. Dalam keadaan di mana mobile kod dibenarkan, konfigurasinyahendaklah memastikan bahawa ianya beroperasi berdasarkan kepadadasar keselamatan yang jelas dan penggunaan mobile kod yang tidakdibenarkan adalah dilarang sama sekali.6.5 HousekeepingObjektif:Melindungi integriti maklumat agar boleh diakses pada bila-bila masa.6.5.1 Pendua (backup)Melindungi integriti maklumat dan perkhidmatan komunikasi agar bolehdiakses pada bila-bila masa.Bagi memastikan sistem dapat dibangunkan semula setelah berlakunyabencana, salinan pendua seperti yang dibutirkan hendaklah dilakukan setiapkali konfigurasi berubah. Salinan penduaan hendaklah direkodkan dandisimpan di off site yang telah ditentukan iaitu di Depot SimpananPertahanan (DSP) di Sungai Buloh, Selangor secara berkala.i. Membuat salinan keselamatan ke atas semua data dan konfigurasisistem perisian dan aplikasi sekurang-kurangnya sekali atau setelahmendapat versi terbaru;ii. Membuat salinan penduaan ke atas semua data dan maklumatmengikut kesesuaian operasi;iii. Menguji sistem penduaan sedia ada bagi memastikan ianya dapatberfungsi dengan sempurna, boleh dipercayai dan berkesan apabiladigunakan khususnya pada waktu kecemasan; daniv. Salinan maklumat dan perisian perlu dibuat dan diuji secara berkalaberdasarkan kepada prosedur penduaan.6.5.2 Sistem LogPerkara-perkara yang perlu dipatuhi adalah:i. Mewujudkan sistem buku log bagi merekodkan semua gangguan atauPentadbirSistemPentadbirSistemVERSI TARIKH MUKASURATDKICT (JLKN) 2.1 19/1/2012 47 dari 86

DASAR KESELAMATAN ICT JLKNmasalah pada perkhidmatan ICT yang mempunyai warranty danmaintenance dengan pihak kontraktor;ii. Menyemak sistem log secara berkala bagi mengesan ralat yangmenyebabkan gangguan kepada sistem dan mengambil tindakanmembaik pulih dengan segera;iii. Menyimpan dan menyelenggara log-log pada server dan perkakasanrangkaian; daniv. Sekiranya wujud aktiviti-aktiviti tidak sah seperti kecurian maklumat danpencerobohan, hendaklah dilaporkan kepada ICTSO.6.6 Pengurusan RangkaianObjektif:Memastikan perlindungan keselamatan maklumat dalam rangkaian dan infrastruktursokongan terurus dan terkawal.6.6.1 Kawalan Infrastruktur RangkaianInfrastruktur rangkaian mestilah dikawal, dipantau dan diurus sebaiknya, Pentadbirdemi melindungi ancaman kepada sistem dan aplikasi di dalam rangkaian. SistemPerkara-perkara yang mesti dipatuhi termasuk yang berikut:i. Polisi dan prosedur perlu dibangunkan dan dilaksanakan bagimelindungi maklumat yang berhubung kait dengan sistem rangkaian;ii. Ciri-ciri keselamatan, tahap perkhidmatan dan keperluan pengurusanbagi semua perkhidmatan rangkaian perlu dikenal pasti dandimasukkan dalam mana-mana perjanjian perkhidmatan berkenaandisediakan secara dalaman atau melalui khidmat luar;iii. Tanggungjawab atau kerja-kerja operasi rangkaian dan komputerhendaklah diasingkan untuk mengurangkan capaian danpengubahsuaian yang tidak dibenarkan;iv. Peralatan rangkaian hendaklah diletakkan di lokasi yang mempunyaiciri-ciri fizikal yang kukuh dan bebas dari risiko seperti banjir, gegarandan habuk;VERSI TARIKH MUKASURATDKICT (JLKN) 2.1 19/1/2012 48 dari 86

DASAR KESELAMATAN ICT JLKNv. Capaian kepada peralatan rangkaian hendaklah dikawal dan terhadkepada pengguna yang dibenarkan sahaja;vi. Semua peralatan mestilah melalui proses Factory Acceptance Check(FAC) semasa pemasangan dan konfigurasi;vii. Firewall hendaklah dipasang di antara rangkaian dalaman dan sistemyang melibatkan maklumat rahsia rasmi Kerajaan serta dikonfigurasioleh Pentadbir Sistem yang dibenarkan sahaja;viii. Semua trafik keluar dan masuk hendaklah melalui firewall di bawahkawalan JLKN;ix. Semua perisian sniffer atau network analyzer adalah dilarang dipasangpada komputer pengguna kecuali mendapat kebenaran ICTSO;x. Memasang perisian Intrusion Prevention Sistem (IPS) bagi mengesansebarang cubaan menceroboh dan aktiviti-aktiviti lain yang bolehmengancam sistem dan maklumat jabatan;xi. Memasang Web Content Filter pada Internet Gateway (FirewallJabatan) untuk menyekat aktiviti yang dilarang seperti yang termaktubdi dalam Pekeliling Kemajuan Pentadbiran Awam (PKPA) 1/2003 “GarisPanduan Mengenai Tatacara Penggunaan Internet dan Mel Elektronikdi Agensi-agensi Kerajaan”.xii. Penggunaan modem Internet mudah alih atau broadband adalahdilarang sama sekali atau dengan keizinan ICTSO sahaja;xiii. Pengguna tidak boleh merangkaikan komputer atau perkakasan ICTmilik persendirian pada rangkaian Jabatan;xiv. Memastikan keperluan perlindungan ICT adalah bersesuaian danmencukupi bagi menyokong perkhidmatan yang optimum; danxv. Penggunaan komunikasi tanpa wayar (wireless) LAN di JLKNhendaklah mematuhi surat MAMPU dengan rujukan UPTM (S)159/338/8 Jilid 30 (84) bertajuk “Langkah-langkah UntukMemperkukuhkan Keselamatan Rangkaian Setempat Tanpa WayarVERSI TARIKH MUKASURATDKICT (JLKN) 2.1 19/1/2012 49 dari 86

DASAR KESELAMATAN ICT JLKN(Wireless Local Area Network)” di Agensi-agensi Kerajaan”.6.7 Pengurusan MediaObjektif:Melindungi aset ICT dari kerosakan dan gangguan aktiviti perkhidmatan yang tidak dikawalseperti pendedahan, pengubahsuaian, peralihan atau pemusnahan aset secara tidak sah.6.7.1 Penghantaran dan Pemindahan MediaPenghantaran dan pemindahan media ke luar pejabat hendaklah mendapat Semuakebenaran daripada Ketua Jabatan terlebih dahulu.PenggunaMedia yang mengandungi maklumat Kerajaan perlu dilindungi daripada JLKNcapaian yang tidak dibenarkan, penyalahgunaan atau kerosakan semasapemindahan keluar dari JLKN. Prosedur perlu disediakan untuk pengurusanmedia mudah alih.6.7.2 Penghapusan MediaMedia yang mengandungi maklumat rahsia rasmi hendaklah dihapus ataudimusnahkan mengikut prosedur yang betul dan selamat. Rujuk SuratPekeliling Perbendaharaan Bilangan 7 Tahun 1995 “Garis PanduanPelupusan Peralatan Komputer”.6.7.3 Prosedur Pengendalian MaklumatProsedur ini bertujuan untuk mengendali dan menyimpan maklumat serta Semuamelindungi maklumat daripada didedah tanpa kebenaran atau salah guna. PenggunaPerkara-perkara yang perlu dipatuhi adalah seperti berikut:JLKNi. Semua media hendaklah dilabelkan mengikut tahap sensitiviti sesuatumaklumat;ii. Menghadkan dan menentukan capaian kepada pengguna yangdibenarkan sahaja;iii. Menghadkan pengedaran data untuk tujuan rasmi dan dibenarkansahaja;iv. Penyelenggaraan media hendaklah dikawal dan direkodkan bagimengelak dari sebarang kerosakan dan pendedahan yang tidakdibenarkan; danVERSI TARIKH MUKASURATDKICT (JLKN) 2.1 19/1/2012 50 dari 86

DASAR KESELAMATAN ICT JLKNv. Semua media hendaklah disimpan ditempat yang selamat.6.7.4 Pemindahan MaklumatMemastikan keselamatan pertukaran maklumat dan perisian dalam agensidan mana-mana entiti luar terjamin.Perkara-perkara yang mesti dipatuhi termasuk yang berikut:i. Polisi, prosedur dan kawalan pertukaran maklumat yang formal perludiwujudkan untuk melindungi pertukaran maklumat melalui penggunaanpelbagai jenis kemudahan komunikasi;ii. Sebarang pertukaran maklumat di antara JLKN dan agensi kerajaanyang lain mestilah dikawal;iii. Perjanjian perlu diwujudkan untuk pertukaran maklumat dan perisian diantara agensi dengan pihak luar; daniv. Media yang mengandungi maklumat perlu dilindungi daripada capaianyang tidak dibenarkan, penyalahgunaan atau kerosakan semasapemindahan keluar dari agensi.v. Maklumat yang terdapat dalam mel elektronik perlu dilindungi sebaikbaiknya.Polisi dan prosedur perlu dibangunkan dan dilaksanakan bagimelindungi maklumat yang berhubung kait dengan sistem maklumatagensi.6.7.5 Keselamatan Sistem DokumentasiDokumentasi sistem perlu dilindungi dari capaian yang dibenarkan.Perkara-perkara yang perlu dipatuhi adalah seperti berikut;i. Memastikan sistem penyimpanan dokumentasi mempunyai ciri-cirikeselamatan;ii. Menyediakan dan memantapkan lagi keselamatan sistem dokumentasidalam rangkaian; daniii. Mengawal dan merekodkan semua aktiviti capaian sistem dokumentasisedia ada.6.7.6 Keselamatan Komunikasi RangkaianSemuaPenggunaJLKNPentadbirSistem ICT,ICTSOVERSI TARIKH MUKASURATDKICT (JLKN) 2.1 19/1/2012 51 dari 86

DASAR KESELAMATAN ICT JLKNMemastikan keselamatan pertukaran maklumat dan perisian dalam JLKN Semuadan mana-mana entiti luar terjamin.PenggunaPerkara-perkara yang perlu dipatuhi adalah seperti berikut:JLKNi. Polisi, prosedur dan kawalan pertukaran maklumat yang formal perludiwujudkan untuk melindungi pertukaran maklumat melalui penggunaanpelbagai jenis kemudahan komunikasi; danii. Perjanjian perlu diwujudkan untuk pertukaran maklumat dan perisian diantara JLKN dan pihak luar.6.8 TelecommutingObjektif:Memastikan keselamatan maklumat yang diakses atau dihantar semasa menggunakantelecommuting adalah terjamin.Perkara-perkara yang perlu dipatuhi adalah seperti berikut:i. Kemudahan ini disediakan hanya untuk sistem-sistem yang dibenarkansahaja;ii. Kebenaran untuk menggunakan perkhidmatan hendaklah diberikansecara bertulis oleh Pengurus Sistem dengan menggunakan komputerperibadi perkhidmatan sahaja;iii. Sistem yang diakses dari luar hendaklah mempunyai sistemperlindungan (encryption) yang mencukupi. Menghantar kata laluantanpa perlindungan (encryption) adalah dilarang sama sekali; daniv. Individu yang dibenarkan untuk menggunakan kemudahan ini adalahbertanggungjawab sepenuhnya ke atas peralatan dan data sepanjangmelakukan tugasnya. Sekiranya individu ini terpaksa menghantarmaklumat berdarjah atau terperingkat ia mestilah menggunakanencryption yang dibenarkan oleh JLKN.6.9 InternetObjektif:Capaian Internet perlu dikawal dan diurus bagi mengelakkan gangguan sistem rangkaianVERSI TARIKH MUKASURATDKICT (JLKN) 2.1 19/1/2012 52 dari 86

DASAR KESELAMATAN ICT JLKNJLKN.Perkara-perkara yang perlu dipatuhi adalah seperti berikut:Semuai. Semua pengguna Internet Jabatan adalah tertakluk kepada polisi dan Penggunakawalan capaian Internet Jabatan;JLKNii. Laman yang dilayari hendaklah hanya yang berkaitan dengan bidangkerja dan terhad untuk tujuan yang dibenarkan oleh Ketua Jabatan;iii. Melayari laman web yang menentang pemerintahan Kerajaan, berunsurhasutan dan mempunyai unsur-unsur lucah adalah dilarang samasekali;iv. Bahan yang diperoleh dari Internet hendaklah ditentukan ketepatan dankesahihannya. Sebagai amalan baik, rujukan sumber Internet hendaklahdinyatakan;v. Bahan rasmi hendaklah disemak dan mendapat pengesahan daripadaKetua Jabatan sebelum dimuat naik ke Internet;vi. Pengguna hanya dibenarkan memuat turun bahan yang sah sepertiperisian yang berdaftar dan di bawah hak cipta terpelihara; danvii. Sebarang bahan yang dimuat turun dari Internet hendaklah digunakanuntuk tujuan yang dibenarkan oleh JLKN.Nota:Maklumat lanjut mengenai keselamatan Internet bolehlah merujuk kepadaPekeliling Kemajuan Pentadbiran Awam Bilangan 1 Tahun 2003 bertajuk“Garis Panduan Mengenai Tatacara Penggunaan Internet dan MelElektronik di Agensi-agensi Kerajaan”.6.10 Mel Elektronik (E-Mel)Objektif:Maklumat yang terdapat dalam mel elektronik Jabatan perlu dilindungi sebaik-baiknya bagimenghindari capaian atau sebaran maklumat yang tidak dibenarkan.Akaun atau alamat e-mel adalah bukan hak mutlak pengguna dan Semuapenggunaannya tertakluk kepada peraturan yang ditetapkan. Akaun atau e- PenggunaVERSI TARIKH MUKASURATDKICT (JLKN) 2.1 19/1/2012 53 dari 86

DASAR KESELAMATAN ICT JLKNmel ini adalah hak milik Jabatan.Perkara-perkara yang perlu dipatuhi adalah seperti berikut:i. Akaun atau alamat e-mel yang diperuntukkan oleh JLKN sahaja yangboleh digunakan. Penggunaan freeweb-based mail untuk kegunaanrasmi dilarang sama sekali. Penggunaan akaun milik orang lain atauakaun yang dikongsi bersama adalah dilarang;ii. Segala akaun e-mel yang diberi adalah bukan hak persendirian.Pentadbir Sistem e-mel berhak mengakses atas sebab-sebab tertentu.Walau bagaimanapun, e-mel tidak akan diakses atau didedahkankecuali untuk tujuan keselamatan dan undang-undang.iii. Pengguna e-mel Jabatan wajib menggunakan katalaluan seperti yangdigariskan di dalam Pekelilling Kemajuan Pentadbiran Awam Bil. 1Tahun 2003 bertajuk "Garis Panduan Mengenai Tatacara PenggunaanInternet dan Mel Elektronik di Agensi-agensi Kerajaan".iv. Katalaluan e-mel perlu ditukar setiap 90 hari dengan katalaluan yangbaru;v. Setiap e-mel yang disediakan hendaklah mematuhi format yangditetapkan oleh JLKN;vi. Sebarang penggunaan yang boleh memudaratkan nama baik JLKNadalah dilarang sama sekali;vii. Memastikan subjek dan kandungan e-mel adalah berkaitan danmenyentuh perkara perbincangan yang sama sebelum penghantarandilakukan;viii. Penghantaran e-mel rasmi hendaklah menggunakan akaun e-mel rasmidan pastikan alamat e-mel penerima adalah betul;ix. Pengguna dinasihatkan menggunakan fail kepilan, sekiranya perlusemasa penghantaran. Kaedah pemampatan untuk mengurangkan saizadalah disarankan;x. Pengguna hendaklah mengelak dari membuka e-mel daripadaJLKNVERSI TARIKH MUKASURATDKICT (JLKN) 2.1 19/1/2012 54 dari 86

DASAR KESELAMATAN ICT JLKNpenghantaran yang tidak diketahui atau diragui;xi. Pengguna hendaklah mengenal pasti dan mengesahkan identitipengguna yang berkomunikasi dengannya sebelum meneruskantransaksi maklumat melalui e-mel;xii. Setiap e-mel rasmi yang dihantar atau diterima hendaklah disimpanmengikut tatacara pengurusan sistem fail elektronik yang telahditetapkan; danxiii. E-mel yang tidak penting dan tidak mempunyai nilai arkib yang telahdiambil tindakan dan tidak diperlukan lagi bolehlah dihapuskan;6.11 Perkhidmatan E-DagangObjektif:Memastikan keselamatan perkhidmatan e-Dagang dan penggunaannya.6.11.1 E-DagangPerkara-perkara yang mesti dipatuhi termasuk yang berikut:i. Maklumat yang terlibat dalam e-Dagang perlu dilindungi daripadaaktiviti penipuan, pertikaian kontrak dan pendedahan sertapengubahsuaian yang tidak dibenarkan;ii. Maklumat yang terlibat dalam transaksi dalam talian (on-line) perludilindungi bagi mengelak penghantaran yang tidak lengkap, salahdestinasi, pengubahsuaian, pendedahan, duplikasi atau pengulanganmesej yang tidak dibenarkan; daniii. Integriti maklumat yang disediakan dalam sistem untuk kegunaanawam perlu dilindungi untuk mengelakkan daripada pengubahsuaianyang tidak dibenarkan.6.11.2 Maklumat UmumPerkara-perkara yang mesti dipatuhi dalam memastikan keselamatanmaklumat dalam perkhidmatan e-Dagang adalah seperti berikut:i. Memastikan sistem aplikasi, perisian, data dan maklumatdilindungi dengan mekanisme yang bersesuaian;SemuaSemuaVERSI TARIKH MUKASURATDKICT (JLKN) 2.1 19/1/2012 55 dari 86

DASAR KESELAMATAN ICT JLKNii. Sebelum sistem digunakan oleh orang awam, pastikan ia diuji dandisahkan memenuhi piawaian keselamatan yang ditetapkan; daniii. Memastikan maklumat yang dimuatnaik ke laman web disahkanoleh pegawai yang bertanggungjawab.6.12 PemantauanObjektif:Memastikan pengesanan aktiviti pemprosesan maklumat yang tidak dibenarkan.6.12.1 Pengauditan dan Forensik ICTICTSO bertanggungjawab merekod, menilai dan menganalisis perkaraperkaraberikut:PentadbirICTSO dani. Sebarang cubaan pencerobohan kepada sistem ICT JLKN;Sistemii. Serangan malicious code, denial of service, spam, pemalsuan, aktivitiphising, pencerobohan (intrusion), ancaman (threats) dan kehilanganfizikal;iii. Pengubahsuaian perkakasan, perisian atau mana-mana komponensesebuah sistem tanpa pengetahuan, arahan atau persetujuan manamanapihak;iv. Aktiviti melayari, menyimpan atau mengedar sebarang bentuk bahanlucah, propaganda dan fitnah anti Kerajaan;v. Aktiviti penyalahgunaan jalur lebar hasil pemasangan perisian muatturun yang tidak dibenarkan; danvi. Penyalahgunaan akaun sistem aplikasi, sistem komputer dan e-mel;Langkah-langkah yang perlu diambil adalah seperti berikut:i. ICTSO perlu menentukan prosedur pengumpulan bahan bukti (mediastoran, dokumen, laporan statistik dan sebagainya) bagi memastikankesahihan ke atas sesuatu laporan yang akan disediakan;ii. Proses forensik dan pengauditan hendaklah dilakukan di tempat yangselamat;iii. Bekerjasama dengan MinDef*CERT atau pihak perunding keselamatanVERSI TARIKH MUKASURATDKICT (JLKN) 2.1 19/1/2012 56 dari 86

DASAR KESELAMATAN ICT JLKNyang dilantik bagi mendapatkan bantuan teknikal;iv. Menyediakan laporan forensik dan melaporkan insiden perlanggarankeselamatan ICT ke MinDef*CERT;v. Bekerjasama dengan Pentadbir Sistem bagi menghapuskan kelemahanpada sistem aplikasi yang telah dikompromi oleh pihak luar; danvi. Menjalankan Security Posture Assesment (SPA) sekurang-kurangnyasatu kali setahun.6.12.2 Jejak AuditPerkara-perkara yang perlu dipatuhi adalah seperti berikut:i. Menyediakan log-log seperti berikut:a. Log sistem pengoperasian;b. Log servis (web dan e-mel);c. Log aplikasi (audit trail); dand. Log rangkaian (firewall dan switch)ii. Log Audit yang merekodkan semua aktiviti perlu dihasilkan dandisimpan untuk tempoh masa yang dipersetujui bagi membantusiasatan dan memantau kawalan capaian;iii. Prosedur untuk memantau penggunaan kemudahan memprosesmaklumat perlu diwujudkan dan hasilnya perlu dipantau secara berkala;iv. Kemudahan merekodkan dan maklumat log perlu dilindungi daripadadiubahsuai dan sebarang capaian yang tidak dibenarkan;v. Aktiviti pentadbiran dan operator sistem perlu direkodkan;vi. Kesalahan yang dilakukan perlu dilog (rekod), dianalisa dan diambiltindakan sewajarnya; danvii. Masa yang berkaitan dengan sistem pemprosesan maklumat dalamJLKN atau domain keselamatan perlu diselaraskan dengan satusumber tepat yang dipersetujui.VERSI TARIKH MUKASURATDKICT (JLKN) 2.1 19/1/2012 57 dari 86

DASAR KESELAMATAN ICT JLKNPERKARA 07 – KAWALAN CAPAIANPERKARAT/JAWAB7.1 Dasar Kawalan CapaianObjektif:Mengawal capaian ke atas maklumat, kemudahan proses maklumat, dan proses urus niagadan keperluan keselamatan. Peraturan kawalan capaian hendaklah mengambil kira faktoridentification, authentication dan authorization.7.1.1 Keperluan Kawalan CapaianPeraturan kawalan capaian hendaklah diwujudkan, didokumenkan dan dikajisemula berasaskan keperluan pengurusan JLKN dan keselamatan.BPM danICTSOPerkara-perkara yang perlu dipatuhi adalah seperti berikut:i. Kawalan capaian ke atas maklumat dan proses urus niaga mengikutkeperluan keselamatan dan peranan pengguna;ii. Kawalan capaian ke atas perkhidmatan rangkaian dalaman dan luaran;iii. Kawalan capaian ke atas information process facilities seperti capaianpengguna; daniv. Keselamatan maklumat yang dicapai menggunakan kemudahan atauperalatan mudah alih.7.2 Pengurusan Capaian PenggunaObjektif:Memastikan bahawa sistem maklumat dicapai oleh pengguna yang sah dan menghalangcapaian yang tidak sah.7.2.1 Akaun PenggunaProsedur pendaftaran dan pembatalan kebenaran capaian pengguna perlu Wargadiwujudkan dan didokumenkan.JabatanBagi mengenal pasti pengguna dan aktiviti yang dilakukan, perkara-perkaraberikut perlu dipatuhi:i. Pengguna perlu mengisi borang-borang yang berkenaan bagimendapatkan akaun kepada perkhidmatan ICT seperti akaunVERSI TARIKH MUKASURATDKICT (JLKN) 2.1 19/1/2012 58 dari 86

DASAR KESELAMATAN ICT JLKNpengguna komputer, akaun e-mel, akaun sistem dan lain-lain. Borangborangyang sudah lengkap diisi dan telah diluluskan perlu disimpansebagai rekod dan diselenggara dengan sistematik;ii. Akaun pengguna adalah unik dan pengguna bertanggungjawab ke atasakaun tersebut selepas pengesahan penerimaan dibuat;iii. Akaun pengguna yang diwujudkan dan tahap capaian termasuksebarang perubahan mestilah mendapat kebenaran Ketua Jabatansecara bertulis dan direkodkan;iv. Pemilihan akaun dan capaian pengguna adalah tertakluk kepadaperaturan Jabatan dan tindakan pembatalan/pengubahsuaianhendaklah diambil atas sebab seperti berikut:a. Pengguna tidak hadir bertugas tanpa kebenaran melebihi satutempoh yang ditentukan oleh Ketua Jabatan;b. Pengguna bercuti atau bertugas di luar pejabat melebihi satutempoh yang ditentukan oleh Ketua Jabatan;c. Pengguna bertukar jawatan, tanggungjawab dan/atau bidang tugas;d. Pengguna bertukar atau berpindah agensi; dane. Pengguna bersara atau tamat perkhidmatan.v. Aktiviti capaian oleh pengguna direkod, diselenggara dengan sistematikdan dikaji dari masa ke semasa. Maklumat yang direkodkan termasukidentiti pengguna, sumber yang digunakan, perubahan maklumat,tarikh, masa, rangkaian dilalui, aplikasi diguna dan aktiviti capaiansecara sah atau sebaliknya.7.2.2 Hak CapaianPenetapan dan penggunaan ke atas hak capaian perlu diberi kawalan danpenyeliaan yang ketat berdasarkan keperluan skop tugas.7.2.3 Pengurusan Kata LaluanPemilihan, penggunaan dan pengurusan kata laluan sebagai laluan utamabagi mencapai maklumat dan data dalam sistem mestilah mematuhi amalanPentadbirSistemWargaJabatanVERSI TARIKH MUKASURATDKICT (JLKN) 2.1 19/1/2012 59 dari 86

DASAR KESELAMATAN ICT JLKNterbaik serta prosedur yang ditetapkan oleh JLKN seperti berikut:i. Kata laluan hendaklah mempunyai saiz sekurang-kurangnya lapan (8)aksara dengan gabungan alphanumerik dan simbol khas;ii. Dalam apa jua keadaan dan sebab, kata laluan hendaklah dilindungidan tidak boleh dikongsi dengan sesiapa pun;iii. Pengguna hendaklah menukar kata laluan apabila disyaki berlakunyakebocoran kata laluan atau dikompromi;iv. Kata laluan hendaklah diingat dan TIDAK BOLEH dicatat, disimpanatau didedahkan dengan apa cara sekalipun;v. Kata laluan windows dan screen saver hendaklah diaktifkanterutamanya pada komputer yang terletak di ruang guna sama;vi. Kata laluan hendaklah tidak dipaparkan semasa input, dalam laporanatau media lain dan tidak boleh dikodkan di dalam program;vii. Kuatkuasakan pertukaran kata laluan semasa login kali pertama atauselepas login pertama atau selepas kata laluan diset semula;viii. Kata laluan hendaklah berlainan daripada pengenalan identitipengguna;ix. Kata laluan hendaklah ditukar selepas 90 hari atau selepas tempohmasa yang bersesuaian; danx. Mengelakkan penggunaan semula kata laluan lama yang telahdigunakan.7.3 Kawalan Capaian RangkaianObjektif:Menghalang capaian tidak sah dan tanpa kebenaran ke atas perkhidmatan rangkaian.7.3.1 Capaian RangkaianKawalan capaian perkhidmatan rangkaian hendaklah dijamin selamatdengan:PentadbirSistem dani. Menempatkan atau memasang antara muka yang menepati kesesuaianpenggunaannya di antara rangkaian JLKN dan rangkaian lain-lainWargaJabatanVERSI TARIKH MUKASURATDKICT (JLKN) 2.1 19/1/2012 60 dari 86

DASAR KESELAMATAN ICT JLKNorganisasi; danii. Mewujudkan dan menguatkuasakan mekanisme untuk pengesahanpengguna dan peralatan yang menepati kesesuaian penggunaannya.Perkara-perkara yang perlu dipatuhi adalah seperti berikut:i. Memastikan pengguna boleh mencapai perkhidmatan yang dibenarkansahaja;ii. Mewujudkan mekanisme pengesahan yang sesuai untuk mengawalcapaian oleh pengguna jarak jauh;iii. Mengguna kaedah pengenalan automatik berdasarkan lokasi danperalatan untuk pengesahan sambungan ke dalam rangkaian;iv. Mengawal capaian fizikal dan logikal ke atas kemudahan portdiagnostik dan konfigurasi jarak jauh;v. Mengasingkan capaian mengikut kumpulan perkhidmatan, maklumatpengguna dan sistem maklumat dalam rangkaian;vi. Mengawal sambungan ke rangkaian, khususnya bagi kemudahan yangdikongsi dan menjangkau sempadan JLKN; danvii. Mewujud dan melaksana kawalan pengalihan laluan (routing control)untuk memastikan pematuhan ke atas peraturan JLKN.7.3.2 Capaian InternetPerkara-perkara yang perlu dipatuhi adalah seperti berikut:i. Penggunaan Internet di JLKN hendaklah dipantau secara berterusanoleh Pentadbir Rangkaian bagi memastikan penggunaannya untuktujuan capaian yang dibenarkan sahaja. Kewaspadaan ini akan dapatmelindungi daripada kemasukan malicious code, virus dan bahanbahanyang tidak sepatutnya ke dalam rangkaian JLKN;ii. Kaedah Web Content Filtering mestilah digunakan bagi mengawalakses Internet mengikut fungsi kerja dan pemantauan tahappematuhan;iii. Penggunaan teknologi (packet shaper) untuk mengawal aktiviti (videoPentadbirSistemVERSI TARIKH MUKASURATDKICT (JLKN) 2.1 19/1/2012 61 dari 86

DASAR KESELAMATAN ICT JLKNconferencing, video streaming, chat, downloading) adalah perlu bagimenguruskan penggunaan jalur lebar (bandwidth) yang maksimum danlebih berkesan;iv. Penggunaan Internet hanyalah untuk kegunaan rasmi sahaja.Pengarah Bahagian berhak menentukan kakitangan di bawahseliaannya yang dibenarkan menggunakan Internet atau sebaliknya;v. Laman yang dilayari hendaklah hanya yang berkaitan dengan bidangkerja dan terhad untuk tujuan yang dibenarkan oleh Ketua Pengarah/pegawai yang diberi kuasa;vi. Bahan yang diperoleh dari Internet hendaklah ditentukan ketepatan dankesahihannya. Sebagai amalan terbaik, rujukan sumber Internethendaklah dinyatakan;vii. Pengguna hanya dibenarkan memuat turun bahan yang sah sepertiperisian yang berdaftar dan di bawah hak cipta terpelihara;viii. Sebarang bahan yang dimuat turun dari Internet hendaklah digunakanuntuk tujuan yang dibenarkan oleh JLKN;ix. Penggunaan modem mudah alih atau broadband untuk tujuansambungan ke Internet tidak dibenarkan sama sekali; danx. Pengguna adalah dilarang melakukan aktiviti-aktiviti seperti berikut:a. Memuat naik, memuat turun, menyimpan dan menggunakanperisian tidak berlesen dan sebarang aplikasi seperti permainanelektronik, video, lagu yang boleh menjejaskan tahap capaianinternet; danb. Menyedia, memuat naik, memuat turun dan menyimpan material,teks ucapan atau bahan-bahan yang mengandungi unsur-unsurlucah.7.4 Kawalan Capaian Sistem OperasiObjektif:Memastikan bahawa capaian ke atas sistem operasi dikawal dan dihadkan kepada penggunaVERSI TARIKH MUKASURATDKICT (JLKN) 2.1 19/1/2012 62 dari 86

DASAR KESELAMATAN ICT JLKNyang dibenarkan sahaja.7.4.1 Capaian Sistem PengoperasianKaedah yang digunakan hendaklah mampu menyokong perkara-perkaraberikut:i. Mengesahkan pengguna yang dibenarkan selaras dengan peraturanJLKN;ii. Mewujudkan audit trail ke atas semua capaian sistem operasi terutamapengguna bertaraf khas (super user);iii. Menjana amaran (alert) sekiranya berlaku perlanggaran ke atasperaturan keselamatan sistem;iv. Menyedia kaedah sesuai untuk pengesahan capaian (authentication);danv. Menghadkan tempoh penggunaan mengikut kesesuaian.Perkara-perkara yang perlu dipatuhi adalah seperti berikut:i. Mengawal capaian ke atas sistem operasi menggunakan prosedur logonyang selamat;ii. Prosedur log-on yang selamat perlulah:a. Menggunakan kaedah pengenalan pengguna yang unik dan teknikpengesahan pengguna yang berkesan dan selamat;b. Melaksana sistem pengurusan kata laluan yang interaktif danmenjamin kualiti serta keselamatan kata laluan;c. Mengawal penggunaan utiliti yang berkeupayaan melepasi sistemdan aplikasi terhad;d. Menamatkan sesi yang tidak aktif selepas tempoh masa yangditetapkan; dane. Menghadkan tempoh masa penggunaan bagi meningkatkankeselamatan aplikasi yang berisiko tinggi.7.4.2 Kad PintarPerkara-perkara yang perlu dipatuhi adalah seperti berikut:PentadbirSistemSemuaVERSI TARIKH MUKASURATDKICT (JLKN) 2.1 19/1/2012 63 dari 86

DASAR KESELAMATAN ICT JLKNi. Penggunaan kad pintar Kerajaan Elektronik (Kad EG) hendaklahdigunakan bagi capaian sistem Kerajaan Elektronik yang dikhususkan;ii. Kad pintar hendaklah disimpan di tempat selamat bagi mengelakkansebarang kecurian atau digunakan oleh pihak lain;iii. Perkongsian kad pintar untuk sebarang capaian sistem adalah tidakdibenarkan sama sekali. Kad pintar yang salah kata laluan sebanyak tiga(3) kali cubaan akan disekat; daniv. Sebarang kehilangan, kerosakan dan kata laluan disekat perlu dilaporkankepada pihak yang menyediakan kad pintar tersebut dan dimaklumkankepada BPM.7.5 Kawalan Capaian Aplikasi dan MaklumatObjektif:Menghalang capaian tidak sah dan tanpa kebenaran ke atas maklumat yang terdapat didalamsistem aplikas7.5.1 Capaian Aplikasi dan MaklumatBertujuan melindungi sistem aplikasi dan maklumat sedia ada dari sebarang Pentadbirbentuk capaian yang tidak dibenarkan yang boleh menyebabkan kerosakan. Sistem ICTBagi memastikan kawalan capaian sistem dan aplikasi adalah kukuh,perkara-perkara berikut hendaklah dipatuhi:i. Membenarkan pengguna mencapai aplikasi dan maklumat mengikuttahap capaian yang ditentukan;ii. Setiap aktiviti capaian pengguna ke atas sistem maklumat dan aplikasihendaklah direkodkan (audit trail);iii. Menghadkan capaian ke atas sistem maklumat dan aplikasi kepada tiga(3) kali percubaan sahaja, sekiranya gagal capaian pengguna akandisekat;iv. Menyediakan mekanisme perlindungan bagi menghalang capaian tidaksah ke atas aplikasi dan maklumat daripada utiliti yang sedia ada dalamsistem operasi dan perisian malicious yang berupaya melangkauiVERSI TARIKH MUKASURATDKICT (JLKN) 2.1 19/1/2012 64 dari 86

DASAR KESELAMATAN ICT JLKNkawalan sistem; danv. Tidak berkompromi dengan sebarang sistem yang berkongsi sumber.7.6 Peralatan Mudah Alih dan Kerja Jarak JauhObjektif:Memastikan keselamatan maklumat semasa menggunakan peralatan mudah alih dankemudahan kerja jarak jauh.7.6.1 Peralatan Mudah AlihPerkara yang perlu dipatuhi adalah seperti berikut:Semuai. Peralatan mudah alih yang tidak digunakan hendaklah disimpan ditempat yang selamat dan berkunci.7.6.2 Kerja Jarak JauhPerkara-perkara yang perlu dipatuhi adalah seperti berikut:Pentadbiri. Tindakan perlindungan hendaklah diambil bagi menghalang kehilangan Sistem ICTperalatan, pendedahan maklumat dan capaian tidak sah serta salah dan Wargaguna kemudahan.Jabatanii. Mewujudkan peraturan dan garis panduan keselamatan yangbersesuaian untuk melindungi dari risiko pnggunaan peralatan mudahalih dan kemudahan komunikasi; daniii. Pengguna bertanggungjawab menentukan maklumat berdarjah dan iaperlu melalui proses encryption yang dibenarkan sebelum dihantar ataudisalurkan ke dalam sistem rangkaian yang tidak selamat (sepertiInternet, Mobil-GSM, Bluetooth, Infrared dan sebagainya.)VERSI TARIKH MUKASURATDKICT (JLKN) 2.1 19/1/2012 65 dari 86

DASAR KESELAMATAN ICT JLKNPERKARA 8 – PEROLEHAN, PEMBANGUNAN DAN PENYELENGGARAANSISTEM MAKLUMATPERKARAT/JAWAB8.1 Keselamatan Dalam Membangunkan Sistem AplikasiObjektif:Memastikan bahawa aspek keselamatan dikenal pasti, dipersetujui dan didokumenkan padasetiap peringkat perolehan, pembangunan dan penyenggaraan. Pernyataan keperluan bagisistem maklumat baru atau penambahbaikan ke atas sistem sedia ada hendaklahmenjelaskan mengenai kawalan jaminan keselamatan.8.1.1 Keperluan Keselamatan Sistem MaklumatPerkara-perkara berikut perlu dipatuhi:Pengurusi. Perolehan, pembangunan, penambahbaikan dan penyelenggaraan ICT,sistem hendaklah mengambil kira kawalan keselamatan bagi Pentadbirmemastikan tidak wujudnya sebarang ralat yang boleh mengganggu Sistempemprosesan dan ketepatan maklumat;ii. Ujian keselamatan hendaklah dijalankan ke atas sistem input untukmenyemak pengesahan dan integriti data yang dimasukkan, sistempemprosesan untuk menentukan sama ada program berjalan denganbetul dan sempurna dan; sistem output untuk memastikan data yangtelah diproses adalah tepat;iii. Aplikasi perlu mengandungi semakan pengesahan (validation) untukmengelakkan sebarang kerosakan maklumat akibat kesilapanpemprosesan atau perlakuan yang disengajakan; daniv. Semua sistem yang dibangunkan sama ada secara dalaman atausebaliknya hendaklah diuji terlebih dahulu bagi memastikan sistemberkenaan memenuhi keperluan keselamatan yang telah ditetapkansebelum digunakan.8.1.2 Proses Aplikasi Dengan TepatMemastikan kawalan keselamatan yang sesuai diolah dan diterapkan ke PentadbirVERSI TARIKH MUKASURATDKICT (JLKN) 2.1 19/1/2012 66 dari 86

DASAR KESELAMATAN ICT JLKNdalam aplikasi bagi menghalang kesilapan, kehilangan, pindaan yang tidak Sistemsah dan penyalahgunaan maklumat dalam aplikasi.Perkara-perkara yang perlu dipatuhi adalah termasuk yang berikut:i. Menyemak dan mengesahkan data sebelum dimasukkan ke dalamaplikasi bagi menjamin kesahihan dan ketepatan;ii. Menggabungkan semakan pengesahan ke dalam aplikasi untukmengenalpasti sebarang kerosakan maklumat sama ada disebabkanoleh ralat pemprosesan atau tindakan yang disengajakan;iii. Mengenalpasti dan melaksanakan kawalan untuk mengesah danmelindungi integriti mesej dalam aplikasi; daniv. Melaksanakan proses pengesahan ke atas output data bagi menjaminkesahihan dan ketepatan pemprosesan sistem aplikasi.8.2 Kawalan KriptografiObjektif:Melindungi kerahsiaan, integriti dan kesahihan maklumat melalui kawalan kriptografi8.2.1 EnkripsiPengguna hendaklah menggunakan kaedah enkripsi data ke atas maklumat Semuaelektronik yang sensitif dan maklumat terperingkat8.2.2 Tandatangan DigitalSebarang transaksi maklumat secara elektronik khususnya maklumat Semuaterperingkat mestilah menggunakan tandatangan digital dan penyahgunaantandatangan digital adalah dilarang.8.2.3 Pengurusan Infrastruktur Kunci Awam (PKI)Pengurusan PKI hendaklah dilakukan dengan berkesan dan selamat supaya Semuakunci dilindungi dari diubah, dimusnahkan dan didedahkan sepanjangtempoh aktif kunci.8.3 Keselamatan Fail-fail Sistem dan Kod Sumber ProgramObjektif:Memastikan capaian ke atas fail-fail sistem dan kod sumber program adalah terkawal danVERSI TARIKH MUKASURATDKICT (JLKN) 2.1 19/1/2012 67 dari 86

DASAR KESELAMATAN ICT JLKNaktiviti-aktiviti sokongan dilaksanakan dalam keadaan yang selamat. Kawalan perlu diambiluntuk mengelakkan pendedahan maklumat sensitif semasa proses pengujian dilaksanakan.Perkara-perkara yang perlu dipatuhi adalah termasuk yang berikut:Pentadbiri. Proses pengemaskinian fail sistem hanya boleh dilakukan oleh SistemPentadbir Sistem atau pegawai yang diberi tanggungjawab danmengikur prosedur yang ditetapkan;ii. Kod program yang telah dikemaskini hanya boleh digunakan selepasia diuji;iii. Melindungi dan mengawal kod sistem dan data-data ujian daridiubahsuai, dihapus dan dicuri; daniv. Menggunakan audit log bagi merekod semua aktiviti pengemaskinianfail sistem dan kod program.8.4 Keselamatan Dalam Proses Pembangunan Dan SokonganObjektif:Memastikan keselamatan perisian sistem aplikasi dan maklumat dikawal supaya selamatdalam semua keadaan.8.4.1 Prosedur Kawalan PerubahanPerkara-perkara yang perlu dipatuhi adalah termasuk yang berikut:Pentadbiri. Mengawal pelaksanaan perubahan menggunakan prosedur kawalan Sistem ICTperubahan yang formal;ii. Mengkaji semula dan menguji aplikasi kritikal semasa melaksanakanperubahan ke atas sistem yang sedang beroperasi;iii. Mengawal perubahan dan/atau pindaan ke atas pakej perisian danmemastikan sebarang perubahan adalah terhad mengikut keperluansahaja;iv. Menghalang sebarang peluang untuk membocorkan maklumat; danv. Mengawal selia dan memantau pembangunan perisian oleh pembekal,pakar perunding dan pihak-pihak lain yang terlibat.8.4.2 Pembangunan Perisian Secara OutsourceVERSI TARIKH MUKASURATDKICT (JLKN) 2.1 19/1/2012 68 dari 86

DASAR KESELAMATAN ICT JLKNPembangunan perisian secara outsource perlu diselia dan dipantau oleh Pentadbirpemilik sistem. Kod program perisian dan aplikasi yang dibangunkan adalah Sistemhak milik JLKN.8.5 Kawalan Teknikal Keterdedahan(Vulnerability)Objektif:Memastikan kawalan teknikal keterdedahan dilaksanakan secara berkesan, sistematik danberkala8.5.1 Kawalan Dari Ancaman TeknikalKawalan teknikal keterdedahan perlu dilaksanakan ke atas sistempengoperasian dan sistem aplikasi yang digunakan. Perkara-perkara yangperlu dipatuhi adalah seperti berikut:i. Menilai tahap keterdedahan bagi mengenal pasti risiko yang bakaldihadapi;ii. Membuat ujian penembusan terhadap risiko yang dikenal pasti;daniii. Mengambil langkah-langkah pencegahan bagi mengatasi risikoterhadap keterdedahan yang sah tanpa menjejaskan kefungsiansistem pengoperasian dan sistem aplikasi yang digunakan.PentadbirSistem ICTVERSI TARIKH MUKASURATDKICT (JLKN) 2.1 19/1/2012 69 dari 86

DASAR KESELAMATAN ICT JLKNPERKARA 9 – PENGURUSAN PENGENDALIAN KESELAMATAN ICTPERKARAT/JAWAB9.1 Insiden Keselamatan ICTInsiden keselamatan ICT bermaksud musibah (adverse event) yang Warga JLKNberlaku ke atas aset ICT atau ancaman kemungkinan berlaku kejadiantersebut. Ia mungkin suatu perbuatan yang melanggar dasar keselamatanICT sama ada yang ditetapkan secara tersurat atau tersirat.9.2 Prosedur Pengurusan InsidenObjektif:Memastikan tindakan menangani insiden keselamatan ICT diambil dengan cepat, tepat danberkesan serta meminimumkan kesan insiden keselamatan ICT.Prosedur pengurusan insiden perlu diwujudkan dan didokumenkan. ICTSO danPerkara-perkara yang perlu dipatuhi adalah seperti berikut:Warga JLKNi. Mengenalpasti semua jenis insiden keselamatan ICT seperti gangguanperkhidmatan yang disengajakan, pemalsuan identiti danpengubahsuaian perisian tanpa kebenaran;ii. Menyedia pelan kontigensi dengan merujuk PPR dan mengaktifkanperkhidmatan DRC;iii. Menyimpan audit trail dan memelihara bahan bukti; daniv. Menyediakan pelan tindakan pemulihan segera.9.3 Pelaporan InsidenObjektif:Pengurusan pelaporan insiden keselamatan ICT yang berkesan dan cekapInsiden keselamatan ICT hendaklah dilaporkan kepada ICTSO dengan ICTSO dankadar segera. Insiden keselamatan ICT adalah termasuk yang berikut: Warga JLKNi. Maklumat didapati hilang, didedahkan kepada pihak-pihak yang tidakdiberi kuasa atau, disyaki hilang atau didedahkan kepada pihak-pihakyang tidak diberi kuasa;ii. Sistem maklumat disyaki digunakan tanpa kebenaran dan kecurianVERSI TARIKH MUKASURATDKICT (JLKN) 2.1 19/1/2012 70 dari 86

DASAR KESELAMATAN ICT JLKNmaklumat/data;iii. Kata laluan atau mekanisme kawalan akses hilang, dicuri ataudidedahkan, atau disyaki hilang, dicuri atau didedahkan;iv. Kejadian sistem luar biasa seperti kehilangan fail, sistem kerap kaligagal berfungsi dan kesilapan / ralat dalam komunikasi data; danv. Berlaku percubaan menceroboh, penyelewengan dan insiden-insidenyang tidak diingini.Prosedur pelaporan insiden keselamatan ICT adalah berdasarkan kepadapekeliling berikut:i. Pekeliling Am Bilangan 1 Tahun 2001 bertajuk “Mekanisme PelaporanInsiden Keselamatan ICT”.ii. Surat Pekeliling Am Bilangan 4 Tahun 2006 – PengurusanPengendalian Insiden Keselamatan Teknologi Maklumat danKomunikasi Sektor Awam.9.4 Pengurusan Maklumat Insiden Keselamatan ICTObjektif:Memastikan pengurusan maklumat insiden keselamatan ICT diuruskan dengan baik danefektif.9.4.1 Prosedur Pengurusan Maklumat Insiden Keselamatan ICTMaklumat mengenai insiden keselamatan ICT yang dikendalikan perlu ICTSOdisimpan dan dianalisis bagi tujuan perancangan, tindakan pengukuhandan pembelajaran bagi mengawal kekerapan, kerosakan dan kos kejadianinsiden yang akan datang. Maklumat ini juga digunakan untuk mengenalpasti insiden yang kerap berlaku atau yang memberi kesan serta impakyang tinggi kepada JLKN.Bahan-bahan bukti berkaitan insiden keselamatan ICT hendaklah disimpandan disenggarakan. Kawalan-kawalan yang perlu diambil kira dalampengumpulan maklumat dan pengurusan pengendalian insiden adalahseperti berikut:VERSI TARIKH MUKASURATDKICT (JLKN) 2.1 19/1/2012 71 dari 86

DASAR KESELAMATAN ICT JLKNi. Menyimpan jejak audit, backup secara berkala dan melindungi integritisemua bahan bukti;ii. Menyalin bahan bukti dan merekodkan semua maklumat aktivitipenyalinan;iii. Menyediakan pelan kontingensi dan mengaktifkan pelankesinambungan perkhidmatan;iv. Menyediakan tindakan pemulihan segera; danv. Memaklumkan atau mendapatkan nasihat pihak berkuasaperundangan sekiranya perlu.VERSI TARIKH MUKASURATDKICT (JLKN) 2.1 19/1/2012 72 dari 86

DASAR KESELAMATAN ICT JLKNPERKARA 10 – PENGURUSAN KESINAMBUNGAN PERKHIDMATAN DANPENILAIAN RISIKO KESELAMATAN ICTPERKARAT/JAWAB10.1 Dasar Kesinambungan PerkhidmatanObjektif:Menjamin operasi perkhidmatan Jabatan tidak tergendala dan penyampaian perkhidmatanyang berterusan kepada pelanggan10.1.1 Pelan Kesinambungan Perkhidmatan (PKP)Pelan Kesinambungan Perkhidmatan (Business Continuity Management – CIO,BCM) hendaklah dibangunkan untuk memastikan pendekatan yang Pengurus ICTmenyeluruh dilaksanakan bagi mengatasi gangguan ke atas aktiviti dan ICTSOpenyediaan perkhidmatan JLKN dan melindungi aktiviti daripada kesanbencana serta pemulihan perkhidmatan dalam tempoh yang ditetapkan.Perkara-perkara yang perlu diberi perhatian adalah seperti berikut:i. Keperluan keselamatan maklumat dibangunkan untuk mengurus danmenyelenggara proses formal untuk mengawal pelaksanaan perubahan;ii. Peraturan untuk menangani gangguan ke atas penyediaanperkhidmatan dengan mengenalpasti keadaan tersebut, kebarangkalianberlaku dan kesan sekiranya berlaku;iii. Merancang dan melaksanakan peraturan kecemasan bagimembolehkan pemulihan dapat dilakukan secepat mungkin atau dalamjangka masa yang telah ditetapkan;iv. Hanya satu rangka Pelan Kesinambungan Perkhidmatan yangmenyeluruh dibangunkan, didokumentasikan, dipersetujui olehpengurusan dan diselenggarakan bagi seluruh Jabatan;v. Menguji dan mengemaskini Pelan Kesinambungan Perkhidmatan untukmemastikan berkesan; danvi. Mengadakan program latihan dan kursus-kursus kesedaran kepadaVERSI TARIKH MUKASURATDKICT (JLKN) 2.1 19/1/2012 73 dari 86

DASAR KESELAMATAN ICT JLKNpengguna.Rujuk Surat Arahan Ketua Pengarah MAMPU bertarikh 22 Januari 2010bertajuk Pengurusan Kesinambungan Perkhidmatan Agensi Sektor Awamuntuk maklumat lanjut.10.2 Penilaian Risiko Keselamatan ICTObjektif:Penilaian risiko keselamatan ICT bertujuan membolehkan JLKN mengukur, menganalisistahap risiko aset ICT dan seterusnya mengambil tindakan untuk merancang dan mengawalrisiko.10.2.1 Tanggungjawab Melaksanakan Penilaian Risiko Keselamatan ICTKetua Bahagian yang memiliki sistem ICT hendaklah:CIO,i. Bertanggungjawab memastikan penilaian risiko keselamatan ICT Pengurusdilaksanakan secara berkala dan berterusan. Keperluan melaksanakan ICT, ICTSO,penilaian risiko bergantung kepada perubahan ke atas persekitaran Pentadbiragensi;Sistemii. Mengambil tindakan susulan dan/atau langkah-langkah bersesuaianuntuk mengurangkan atau mengawal risiko keselamatan ICTberdasarkan penemuan penilaian risiko; daniii. Melaksanakan penilaian risiko mengikut peraturan atau prosedur yangditetapkan oleh Kerajaan dari masa ke semasa.Proses analisis risiko keselamatan ICT perlu dilakukan sekurang-kurangnyasekali setahun. Laporan hendaklah dimajukan kepada JPICT. ProsesPengurusan Risiko adalah seperti di Rajah 1.Keterangan sempadan perlu mengambil kira perkara-perkara berikutsebelum analisis risiko ke atas ICT dilakukan:i. Aset-aset ICT (perkakasan, perisian dan maklumat)ii. Sumber Manusia (staf, sub-kontraktor dan lain-lain personel luaran);iii. Persekitaran ICT (bangunan dan kemudahan); daniv. Aktiviti-aktiviti ICT (operasi, senggaraan dan pembangunan).VERSI TARIKH MUKASURATDKICT (JLKN) 2.1 19/1/2012 74 dari 86

DASAR KESELAMATAN ICT JLKNMengenalpastiNilai Aset danPenentuanKebergantunganDi Antara AsetPenilaianTerhadapAncamanPenilaianTerhadapKelemahanMengenalpastiPerlindunganSediaAda/YangDirancangPenilaian RisikoRajah 1 : Proses Pengurusan RisikoSila rujuk pekeliling di bawah untuk maklumat lanjut:i. Surat Pekeliling Am Bilangan 6 Tahun 2005 – Garis Panduan PenilaianRisiko Keselamatan Maklumat Sektor Awam10.2.2 Skop Penilaian Risiko Keselamatan ICTPenilaian risiko keselamatan ICT hendaklah dilaksanakan ke atas sistem Pengurusmaklumat di agensi termasuk aplikasi, perisian, pelayan, rangkaian dan/atau ICT, ICTSO,proses serta prosedur yang dikendalikan oleh agensi. Penilaian risiko ini Pentadbirhendaklah juga dilaksanakan di premis yang menempatkan sumber-sumber Sistemteknologi maklumat termasuk pusat data, bilik media storan, kemudahanutiliti dan sistem-sistem sokongan lain.10.2.3 Penentuan Tindakan Untuk Mengendalikan Risiko Keselamatan ICTSetiap agensi Kerajaan bertanggungjawab melaksanakan dan menguruskan Pengurusrisiko keselamatan ICT masing-masing. Melalui proses-proses yang ICT, ICTSO,dilaksanakan untuk menilai risiko aset ICT Kerajaan, agensi dapat mengenalpasti risiko-risiko yang wujud dan seterusnya mengenal pasti tindakan yangPentadbirSistemVERSI TARIKH MUKASURATDKICT (JLKN) 2.1 19/1/2012 75 dari 86

DASAR KESELAMATAN ICT JLKNsewajarnya untuk menghadapi kemungkinan berlakunya risiko berkenaan.Untuk mengenal pasti tindakan yang wajar diambil bagi menghadapikemungkinan risiko terjadi termasuklah seperti berikut:i. Mengurang risiko dengan melaksanakan kawalan yang bersesuaian;ii. Menerima dan/atau bersedia berhadapan dengan risiko yang akanterjadi selagi ia memenuhi kriteria yang telah ditetapkan olehpengurusan JLKN;iii. Mengelak dan/atau mencegah risiko dari terjadi dengan mengambiltindakan yang dapat mengelak dan/atau mencegah berlakunya risiko;daniv. Memindahkan risiko ke pihak lain seperti pembekal, pakar runding danpihak-pihak lain yang berkepentingan.VERSI TARIKH MUKASURATDKICT (JLKN) 2.1 19/1/2012 76 dari 86

DASAR KESELAMATAN ICT JLKNPERKARA 11 – PEMATUHANPERKARAT/JAWAB11.1 Pematuhan dan Keperluan PerundanganObjektif:Meningkatkan tahap keselamatan ICT bagi mengelakkan dari perlanggaran kepada DasarKeselamatan ICT JLKN, undang-undang jenayah dan sivil, statutory, peraturan atau ikatankontrak dan sebarang keperluan keselamatan lain.11.1 Pematuhan DasarSetiap pengguna di JLKN hendaklah membaca, memahami dan mematuhi Warga JLKNDasar Keselamatan ICT, undang-undang atau peraturan-peraturan lain yangberkaitan yang berkuatkuasa.Semua aset ICT JLKN termasuk maklumat yang disimpan di dalamnyaadalah hak milik Kerajaan. Ketua Pengarah/pegawai yang diberitanggungjawab adalah berhak untuk memantau aktiviti pengguna untukmengesan penggunaan selain dari tujuan yang ditetapkan.Penggunaan aset ICT JLKN selain dari maksud dan tujuan yang ditetapkanadalah merupakan satu penyalahgunaan sumber JLKN.11.2 Pematuhan kepada Dasar, Piawaian dan Teknikal KeselamatanICTSO hendaklah memastikan semua prosedur keselamatan dalam bidang ICTSOtugas masing-masing mematuhi dasar, piawaian dan keperluan teknikalkeselamatan.Dasar ini bertujuan memastikan keselamatan maklumat disemak secaraberkala supaya patuh dan selaras dengan dasar dan standard keselamatanJLKN.11.3 Pematuhan Kepada AuditPematuhan kepada keperluan audit perlu bagi meminimumkan ancaman Semuadan memaksimumkan keberkesanan dalam proses audit sistem maklumat.Keperluan audit dan sebarang aktiviti pemeriksaan ke atas sistem operasiperlu dirancang dan dipersetujui bagi mengurangkan kebarangkalian berlakuVERSI TARIKH MUKASURATDKICT (JLKN) 2.1 19/1/2012 77 dari 86

DASAR KESELAMATAN ICT JLKNgangguan dalam penyediaan perkhidmatan. Capaian ke atas peralatan auditsistem maklumat perlu dijaga dan diselia bagi mengelakkan berlakupenyalahgunaan.11.3 Keperluan PerundanganDasar ini bertujuan memastikan reka bentuk, operasi, pengguna danpengurusan sistem maklumat adalah selaras serta berkeupayaanmenghalang perlanggaran mana-mana keperluan perundangan, peraturan,perjanjian yang berkuatkuasa.a. Perkara-perkara yang perlu dipatuhi adalah seperti berikut:i. Semua perlembagaan, undang-undang, peraturan, perjanjian yangdimeterai dan lain-lain perkara yang relevan kepada keselamatan sistemmaklumat dan organisasi hendaklah dikenalpasti, didokumentasikan dandikemaskini;ii. Peraturan yang sesuai dilaksanakan untuk pematuhan ke atasperlembagaan, undang-undang dan keperluan kontrak mengenaipenggunaan bahan yang tertakluk kepada hak milik harta intelek;iii. Harta penting hendaklah dilindungi daripada hilang, rosak dandipalsukan selaras dengan keperluan undang-undang, peraturan dankeperluan perjanjian JLKN;iv. Perlindungan ke atas data dan hak milik peribadi hendaklah mematuhiperundangan, peraturan dan terma perjanjian jika perlu;v. Pengguna dilarang menggunakan kemudahan proses maklumat untuktujuan yang tidak dibenarkan; danvi. Penggunaan kriptografi dikawal selaras dengan perjanjian, perundangandan peraturan yang berkuatkuasa.Warga JLKNb. Berikut adalah keperluan perundangan atau peraturan-peraturan lainyang berkaitan perlu dipatuhi oleh semua pengguna di jabatan:i. Arahan Keselamatan;VERSI TARIKH MUKASURATDKICT (JLKN) 2.1 19/1/2012 78 dari 86

DASAR KESELAMATAN ICT JLKNii. Pekeliling Am Bilangan 3 Tahun 2000 bertajuk “Rangka DasarKeselamatan Teknologi Maklumat dan Komunikasi Kerajaan”;iii. Pekeliling Am Bilangan 1 Tahun 2001 bertajuk “Mekanisme PelaporanInsiden Keselamatan Teknologi Maklumat dan Komunikasi (ICT);iv. Surat Pekeliling Am Bilangan 6 Tahun 2005 – Garis Panduan PenilaianRisiko Keselamatan Maklumat Sektor Awam;v. Pekeliling Kemajuan Pentadbiran Awam Bilangan 1 Tahun 2003bertajuk “Garis Panduan Mengenai Tatacara Penggunaan Internet danMel Elektronik di Agensi-agensi Kerajaan”;vi. Akta Tanda Tangan Digital 1997;vii. Akta Jenayah Komputer 1997;viii. Akta Hak Cipta (Pindaan) Tahun 1997;ix. Akta Komunikasi dan Multimedia 1998;x. Surat Arahan Ketua Pengarah MAMPU bertarikh 22 Januari 2010bertajuk Pengurusan Kesinambungan Perkhidmatan Agensi SektorAwam;xi. Malaysian Public Sector Management of InformationandCommunications Technology Security Handbook (MyMIS); danxii. Surat MAMPU dengan rujukan UPTM (S) 159/338/8 Jilid 30 (84)bertajuk “Langkah-langkah untuk memperkukuhkan keselamatanrangkaian setempat tanpa wayar (Wireless Local Area Network) diAgensi-agensi Kerajaan.Perlanggaran Perundangan – Mengambil tindakan tatatertib ke atas sesiapayang terlibat di dalam semua perbuatan kecuaian, kelalaian danperlanggaran keselamatan yang membahayakan perkara-perkaraterperingkat di bawah Akta Rahsia Rasmi 1972.11.4 Perlanggaran DasarPerlanggaran Dasar Keselamatan ICT JLKN boleh dikenakan tindakan SemuaVERSI TARIKH MUKASURATDKICT (JLKN) 2.1 19/1/2012 79 dari 86

DASAR KESELAMATAN ICT JLKNtatatertib.VERSI TARIKH MUKASURATDKICT (JLKN) 2.1 19/1/2012 80 dari 86

DASAR KESELAMATAN ICT JLKNGLOSARIAntivirusPerisian yang mengimbas virus pada media storan sepertidisket, cakera padat, pita magnetik, optical disc, CDROM, thumbdrive, harddisk dan lain-lain untuk mengesan kemungkinanadanya virus dan seterusnya membuang virus tersebut.Aset ICT Semua peralatan ICT termasuk perkakasan, perisian,perkhidmatan, data atau maklumat dan manusia.BackupProses penduaan sesuatu maklumat, data atau dokumen.BandwidthJalur Lebar – ukuran atau jumlah data yang boleh dipindahkanmelalui kawalan komunikasi (contoh: talian rangkaian) dalamjangka masa yang ditetapkan.CIOChief Information OfficerKetua Pegawai Maklumat yang bertanggungjawab terhadap ICTdan sistem maklumat bagi menyokong arah tuju sesebuahorganisasi.Denial of Service (DoS) Halangan dari membolehkan perkhidmatan disampaikanDownloadingAktiviti muat turun dari rangkaian atau InternetEncryptionEnkripsi ialah satu proses penyulitan data oleh pengirim supayatidak difahami oleh orang lain kecuali penerima yang sah.Firewall Sistem yang direka bentuk untuk menghalang capaianpengguna yang tidak berkenaan kepada atau daripadarangkaian dalaman. Terdapat dalam bentuk perkakasan atauperisian atau kombinasi kedua-duanya.HarddiskCakera kerasICT Information and Communication Technology (TeknologiMaklumat dan Komunikasi)ICTSOICT Security OfficerPegawai yang bertanggungjawab terhadap keselamatan sistemkomputer.VERSI TARIKH MUKASURATDKICT (JLKN) 2.1 19/1/2012 81 dari 86

DASAR KESELAMATAN ICT JLKNInternetInternet GatewayIntrusion PreventionSystem atau IPSSistem rangkaian seluruh dunia, di mana pengguna bolehmendapatkan maklumat dari server atau komputer lainMerupakan suatu titik yang berperanan sebagai pintu masuk kerangkaianyang lain. Menjadi pemandu arah trafik dengan betuldari satu trafik ke satu trafik yang lain di samping mengekalkantrafik-trafik dalam rangkaian-rangkaiantersebut agar sentiasaberasingan.Sistem Pencegah PencerobohanPerkakasan keselamatan komputer yang memantau rangkaiandan/atauaktiviti yang berlaku dalam sistem bagi mengesanperisian berbahaya.Boleh bertindak balas menyekat atau menghalang aktivitiserangan atau malicious code.Contohnya: Network-based IPS yang akan memantau semuatrafikrangkaian bagi sebarang kemungkinan serangan.LANLocal Area NetworkRangkaian Kawasan Setempat yang menghubungkan komputer.Malicious codePerkakasan atau perisian yang dimasukkan ke dalam sistemtanpakebenaran bagi tujuan pencerobohan. Ia melibatkanserangan virus, trojan horse, worm, spyware dan sebagainyaMinDef*CERTPasukan Tindak Balas Insiden Keselamatan ICT KementerianPertahananPerisian AplikasiIa merujuk pada perisian atau pakej yang selalu digunakanseperti spreadsheet dan word processing ataupun sistemaplikasi yang dibangunkan oleh sesebuah organisasi ataujabatan.Outsource Bermaksud menggunakan perkhidmatan luar untukVERSI TARIKH MUKASURATDKICT (JLKN) 2.1 19/1/2012 82 dari 86

DASAR KESELAMATAN ICT JLKNPelan KesinambunagnPerkhidmatan (PKP) atauBusiness ContinuityManagement (BCM)Pelan Pengurusan Risiko(PPR)Public-Key Infrastructure(PKI)Pusat PemulihanBencana atau DisasterRecovery Center (DRC)RouterScreen SaverServerSwitchmelaksanakan fungsi-fungsi tertentu ICT bagi suatu tempohberdasarkan kepada dokumen perjanjian dengan bayaran yangdipersetujui.Merupakan pelan yang dibangunkan oleh agensi Kerajaandalam memastikan perkhidmatan yang kritikal, sistem danproses-proses utama agensi dapat dipulihkan dengan pantasdalam masa yang ditetapkan sekiranya gangguan atau bencanaberlakuMerupakan pelan menyeluruh yang dirujuk dan digunakandalam menilai sesuatu risiko dan langkah-langkah untukmengurangkan dan mengatasi risiko yang telah dijangkaInfrastruktur Kunci Awam merupakan satu kombinasi perisian,teknologienkripsi dan perkhidmatan yang membolehkanorganisasi melindungikeselamatan berkomunikasi dan transaksimelalui Internet.Pusat Pemulihan Bencana atau Disaster Recovery CenterPenghala yang digunakan untuk menghantar data antara duarangkaianyang mempunyai kedudukan rangkaian yangberlainan. Contohnya,pencapaian Internet.Imej yang akan diaktifkan pada komputer setelah ianya tidakdigunakan dalam jangka masa tertentu.Pelayan KomputerSuis merupakan gabungan hab dan titi yang menapis bingkaisupaya mensegmenkan rangkaian. Kegunaan suis dapatmemperbaiki prestasi rangkaian Carrier Sense MultipleAccess/Collision Detection (CSMA/CD) yang merupakan satuprotokol penghantaran dengan mengurangkan perlanggaranVERSI TARIKH MUKASURATDKICT (JLKN) 2.1 19/1/2012 83 dari 86

DASAR KESELAMATAN ICT JLKNThreatUninterruptible PowerSupply (UPS)Video ConferencingVideo StreamingVirusWANWireless LANyang berlaku.Gangguan dan ancaman melalui pelbagai cara iaitu e-mel dansurat yang bermotif personal dan atas sebab tertentu.Satu peralatan yang digunakan bagi membekalkan bekalankuasa yang berterusan dari sumber berlainan ketika ketiadaanbekalan kuasa keperalatan yang bersambung.Teknologi komunikasi interaktif yang membenarkan dua ataulebih berinteraksi melalui paparan video dan audia dua halasecara serentakMedia yang menerima dan memaparkan maklumat video danaudio kepada pengguna dalam masa yang sama ia diterima olehpenghantar.Atur cara yang bertujuan merosakkan data atau sistem aplikasi.Wide Area NetworkRangkaian komputer yang merangkumi kawasan yang luas.Jaringan komputer yang berhubung tanpa melalui kabelVERSI TARIKH MUKASURATDKICT (JLKN) 2.1 19/1/2012 84 dari 86

DASAR KESELAMATAN ICT JLKNSENARAI PERUNDANGAN DAN PERATURANi. Arahan Keselamatan;ii. Pekeliling Am Bilangan 3 Tahun 2000 - Rangka Dasar Keselamatan TeknologiMaklumat dan Komunikasi Kerajaan;iii. Malaysian Public Sector Management of Information and CommunicationsTechnology Security Handbook (MyMIS) 2002;iv. Pekeliling Am Bilangan 1 Tahun 2001 - Mekanisme Pelaporan InsidenKeselamatan Teknologi Maklumat dan Komunikasi (ICT);v. Pekeliling Kemajuan Pentadbiran Awam Bilangan 1 Tahun 2003 - Garis PanduanMengenai Tatacara Penggunaan Internet dan Mel Elektronik di Agensi-AgensiKerajaan;vi. Surat Pekeliling Am Bilangan 6 Tahun 2005 - Garis Panduan Penilaian RisikoKeselamatan Maklumat Sektor Awam;vii. Surat Pekeliling Am Bilangan 4 Tahun 2006 - Pengurusan Pengendalian InsidenKeselamatan Teknologi Maklumat dan Komunikasi (ICT) Sektor Awam;viii. Surat Arahan Ketua Setiausaha Negara - Langkah-Langkah UntukMemperkukuhkan Keselamatan Rangkaian Setempat Tanpa Wayar (WirelessLocal Area Network) di Agensi-Agensi Kerajaan yang bertarikh 20 Oktober 2006;ix. Surat Arahan Ketua Pengarah MAMPU - Langkah-Langkah MengenaiPenggunaan Mel Elektronik di Agensi-Agensi Kerajaan yang bertarikh 1 Jun2007;x. Surat Arahan Ketua Pengarah MAMPU - Langkah-Langkah PemantapanPelaksanaan Sistem Mel Elektronik Di Agensi-Agensi Kerajaan yang bertarikh 23November2007;xi. Surat Pekeliling Am Bil. 2 Tahun 2000 - Peranan Jawatankuasa-jawatankuasa diBawah Jawatankuasa IT dan Internet Kerajaan (JITIK);xii. Surat Pekeliling Perbendaharaan Bil.2/1995 (Tambahan Pertama) – TatacaraPenyediaan, Penilaian dan Penerimaan Tender;VERSI TARIKH MUKASURATDKICT (JLKN) 2.1 19/1/2012 85 dari 86

DASAR KESELAMATAN ICT JLKNxiii. Surat Pekeliling Perbendaharaan Bil. 3/1995 - Peraturan PerolehanPerkhidmatan Perundingan;xiv. Akta Tandatangan Digital 1997;xv. Akta Rahsia Rasmi 1972;xvi. Akta Jenayah Komputer 1997;xvii. Akta Hak Cipta (Pindaan) Tahun 1997;xviii. Akta Komunikasi dan Multimedia 1998;xix. Perintah-Perintah Am;xx. Arahan Perbendaharaan;xxi. Arahan Teknologi Maklumat 2007;xxii. Garis Panduan Keselamatan MAMPU 2004;xxiii. Surat Pekeliling Am Bilangan 3 Tahun 2009 – Garis Panduan Penilaian TahapKeselamatan Rangkaian dan Sistem ICT Sektor Awam yang bertarikh 17November 2009;xxiv. Surat Arahan Ketua Pengarah MAMPU – Pengurusan KesinambunganPerkhidmatan Agensi Sektor Awam yang bertarikh 22 Januari 2010.VERSI TARIKH MUKASURATDKICT (JLKN) 2.1 19/1/2012 86 dari 86