dasar keselamatan ict jlkn - Laman Web Rasmi Jabatan Latihan ...

DASAR KESELAMATAN ICT JLKNJABATAN LATIHAN KHIDMAT NEGARAKEMENTERIAN PERTAHANAN MALAYSIADASAR KESELAMATAN ICTBAHAGIAN PENGURUSAN MAKLUMATJABATAN LATIHAN KHIDMAT NEGARAKEMENTERIAN PERTAHANAN MALAYSIAVERSI 2.26 Jun 2013

DASAR KESELAMATAN ICT JLKNJABATAN LATIHAN KHIDMAT NEGARADASAR KESELAMATAN ICTBAHAGIAN PENGURUSAN MAKLUMATJABATAN LATIHAN KHIDMAT NEGARA2013VERSI TARIKH MUKASURATDKICT (JLKN) 2.2 06/6/2013 2 dari 8 6

DASAR KESELAMATAN ICT JLKNKANDUNGANPENGENALAN …………………………………………………………………………………5OBJEKTIF ………………………………………………………………………………………5SKOP …………………………………………………………………………………………….6PRINSIP-PRINSIP ……………………………………………………………………………..8CIRI-CIRI KESELAMATAN MAKLUMAT ………………………………………………….13PENILAIAN RISIKO KESELAMATAN ICT....................................................................14PERKARA 01PEMBANGUNAN DAN PENYELENGGARAAN DASAR ……….16PERKARA 02ORGANISASI KESELAMATAN …………………………………….18PERKARA 03PENGURUSAN ASET ……………………………………………….26PERKARA 04KESELAMATAN SUMBER MANUSIA …………………………….28PERKARA 05KESELAMATAN FIZIKAL DAN PERSEKITARAN ………………31PERKARA 06PENGURUSAN OPERASI DAN KOMUNIKASI ………………….42VERSI TARIKH MUKASURATDKICT (JLKN) 2.2 06/6/2013 3 dari 8 6

DASAR KESELAMATAN ICT JLKNPERKARA 07KAWALAN CAPAIAN ………………………………………………..58PERKARA 08PEROLEHAN, PEMBANGUNAN DAN PENYELENGGARAANSISTEM MAKLUMAT ………………………………………………..66PERKARA 09 PENGURUSAN PENGENDALIAN INSIDEN KESELAMATANICT..................................................................................................70PERKARA 10 PENGURUSAN KESINAMBUNGAN PERKHIDMATAN DANPENILAIAN RISIKO KESELAMATAN ICT .....................………..73PERKARA 11PEMATUHAN …………………………………………………………77GLOSARI ………………………………………………………………………………………81SENARAI PERUNDANGAN DAN PERATURAN ........................................................85VERSI TARIKH MUKASURATDKICT (JLKN) 2.2 06/6/2013 4 dari 8 6

DASAR KESELAMATAN ICT JLKNPENGENALANDasar Keselamatan ICT JLKN mengandungi peraturan-peraturan yang mesti dibacadan dipatuhi dalam menggunakan aset Teknologi Maklumat dan Komunikasi (ICT).Dasar ini juga menerangkan kepada semua pengguna di JLKN mengenaitanggungjawab dan peranan mereka dalam melindungi aset ICT JLKN. Aset ICTtermasuk data, maklumat, perkakasan, perisian, aplikasi, rangkaian, dokumentasi dankemudahan ICT yang berada di bawah tanggungjawab JLKN.OBJEKTIFDasar Keselamatan ICT JLKN diwujudkan untuk menjamin kesinambungan urusanJLKN dengan meminimumkan kesan insiden keselamatan ICT.Dasar ini juga bertujuan untuk memastikan tahap keselamatan ICT JLKN terurus sertamenjamin sistem ICT JLKN yang selamat, berkesan, stabil dan boleh dipercayai(reliable). Ini hanya boleh dicapai dengan memastikan semua aset ICT dilindungi.Manakala objektif utama Keselamatan ICT JLKN adalah seperti berikut:-a. Menghebahkan pendirian pihak pengurusan untuk mendukung pelaksanaankeselamatan ICT;b. Memastikan kelancaran operasi JLKN dan meminimumkan kerosakan dankemusnahan;c. Melindungi kepentingan aset-aset yang bergantung kepada sistem ICT daripadakesan kegagalan atau kelemahan dari segi kerahsiaan, integriti, kebolehsediaan,kesahihan maklumat dan komunikasi; dand. Mencegah salah guna atau kecurian aset Kerajaan.VERSI TARIKH MUKASURATDKICT (JLKN) 2.2 06/6/2013 5 dari 8 6

DASAR KESELAMATAN ICT JLKNdata, perisian sistem rangkaian atau aplikasi pejabat yang menyediakankemudahan pemprosesan maklumat kepada JLKN.c. PerkhidmatanPerkhidmatan atau sistem yang menyokong aset lain untuk melaksanakanfungsi-fungsinya. Contoh:-i. Perkhidmatan rangkaian seperti LAN dan WAN dan lain-lain;ii. Sistem halangan akses seperti sistem kad akses; daniii. Perkhidmatan sokongan seperti kemudahan elektrik, penghawa dingin,sistem pencegah kebakaran dan lain-lain.d. Data atau MaklumatKoleksi fakta-fakta dalam bentuk kertas atau mesej elektronik, yangmengandungi maklumat-maklumat yang digunakan untuk mencapai misi danobjektif JLKN. Contohnya sistem dokumentasi, prosedur operasi, rekod-rekodJLKN, profil-profil pelanggan, maklumat dan data pelatih, maklumat waris,pangkalan data, fail-fail data, maklumat-maklumat arkib dan lain-lain.e. ManusiaIndividu yang mempunyai pengetahuan dan kemahiran untuk melaksanakanskop kerja harian JLKN bagi mencapai misi dan objektif Jabatan, Individuberkenaan merupakan aset berdasarkan kepada tugas-tugas dan fungsi yangdilaksanakannya.f. Premis Komputer dan KomunikasiSemua kemudahan serta premis yang digunakan untuk menempatkan perkara a– e di atas.Dasar ini terpakai kepada semua pengguna yang menggunakan aset ICT di JLKN.VERSI TARIKH MUKASURATDKICT (JLKN) 2.2 06/6/2013 7 dari 8 6

DASAR KESELAMATAN ICT JLKNPRINSIP-PRINSIPPrinsip-prinsip yang menjadi asas kepada Dasar Keselamatan ICT JLKN dan perludipatuhi adalah seperti berikut:-a. Akses Atas Dasar Perlu MengetahuiAkses terhadap penggunaan aset ICT hanya diberikan untuk tujuan spesifik dandihadkan kepada pengguna tertentu mengikut dasar “perlu mengetahui” sahaja.Ini bermakna akses hanya akan diberikan sekiranya peranan atau fungsipengguna memerlukan maklumat tersebut. Pertimbangan untuk akses adalahberdasarkan kategori maklumat seperti yang dinyatakan di dalam dokumenArahan Keselamatan perenggan 53, mukasurat 15.Pertimbangan akses di bawah prinsip ini hendaklah berteraskan kepadaklasifikasi maklumat dan tapisan keselamatan yang dihadkan kepada penggunaseperti berikut:-i. Klasifikasi MaklumatKlasifikasi Maklumat hendaklah mematuhi “Arahan KeselamatanKerajaan” dan “Malaysian Armed Forces Security Instruction (MAFSI)”.Maklumat ini dikategorikan kepada Rahsia Besar, Rahsia, Sulit danTerhad. Penggunaan encryption, tandatangan digital atau sebarangmekanisme lain yang boleh melindungi maklumat mestilah jugadipertimbangkan. Dasar klasifikasi ke atas sistem aplikasi juga hendaklahmengikut klasifikasi maklumat yang sama.ii. Tapisan Keselamatan PenggunaSemua kakitangan JLKN daripada Gred 17 dan ke atas dimestikan menjalanitapisan keselamatan kasar dan halus. Tapisan keselamatan ini akandikendalikan oleh Bahagian Staf Perisikan Pertahanan (BSPP) atau KetuaVERSI TARIKH MUKASURATDKICT (JLKN) 2.2 06/6/2013 8 dari 8 6

DASAR KESELAMATAN ICT JLKNPegawai Keselamatan Malaysia. Ketua Jabatan atau setaraf hendaklahmenentukan proses ini dilaksanakan.b. Hak Akses MinimumHak akses pengguna hanya diberikan pada tahap set yang paling minimum iaituuntuk membaca/melihat/mendengar sahaja. Kelulusan perlu untuk membolehkanpengguna mewujud, menyimpan, mengemas kini, mengubah atau membatalkansesuatu data atau maklumat. Hak akses adalah dikaji dari semasa ke semasaberdasarkan kepada peranan dan tanggungjawab pengguna/bidang tugas.Kelulusan khas adalah diperlukan untuk membolehkan pengguna mewujud,menyimpan, mengemaskini, mengubah dan membatalkan sesuatu data ataumaklumat elektronik.c. AkauntabilitiSemua pengguna adalah dipertanggungjawabkan ke atas semua tindakannyaterhadap aset ICT JLKN. Untuk menentukan tanggungjawab ini dipatuhi, sistemICT hendaklah mempunyai keupayaan mengesan dan mengesahkan penggunaboleh dipertanggungjawabkan atas tindakan mereka. Akauntabiliti atautanggungjawab pengguna termasuklah:-i. Menghalang pendedahan maklumat kepada pihak yang tidak dibenarkan;ii. Memeriksa maklumat dan menentukan ianya tepat dan lengkap dari semasake semasa;iii. Menentukan maklumat sedia untuk digunakan;iv. Menjaga kerahsiaan kata laluan;v. Mematuhi piawaian, prosedur, langkah dan garis panduan keselamatan yangditetapkan;VERSI TARIKH MUKASURATDKICT (JLKN) 2.2 06/6/2013 9 dari 8 6

DASAR KESELAMATAN ICT JLKNvi. Memberi perhatian kepada maklumat berdarjah terutama semasapengwujudan, pemprosesan, penyimpanan, penyelenggaraan, penghantaran,penyampaian, pertukaran dan pemusnahan; danvii. Menjaga kerahsiaan langkah-langkah keselamatan ICT dari diketahui umum.d. PengasinganTugas mewujud, memadam, mengemaskini, mengubah dan mengesahkan dataperlu diasingkan bagi mengelakkan daripada capaian yang tidak dibenarkanserta melindungi aset ICT daripada kesilapan, kebocoran maklumat terperingkatatau dimanipulasi. Pengasingan juga merangkumi tindakan memisahkan antarakumpulan operasi dan rangkaian.Pengasingan fungsi perlu diadakan di antara pentadbir dan pengguna.Pengasingan fungsi juga hendaklah dilakukan di antara pentadbir sistem danpentadbir rangkaian.e. Pengauditan KeselamatanPengauditan adalah tindakan untuk mengenalpasti insiden berkaitankeselamatan atau mengenalpasti keadaan yang mengancam keselamatan ICT.Ia membabitkan pemeliharaan semua rekod berkaitan tindakan keselamatan.Dengan itu, aset ICT seperti komputer, pelayan, router, firewall dan rangkaianhendaklah ditentukan dapat menjana dan menyimpan log tindakan keselamatanatau audit trail.Pentadbir Sistem perlu memastikan semua log/audit trail yang dijanakan olehaset ICT berkaitan keselamatan disimpan sekurang-kurangnya selama lima (5)tahun. Rekod audit hendaklah dilindungi dan tersedia untuk penilaian apabiladiperlukan. Ketua Jabatan dan setaraf perlu mempertimbangkan penggunaanperisian tambahan bagi menentukan ketepatan dan kesahihan log/audit trail.VERSI TARIKH MUKASURATDKICT (JLKN) 2.2 06/6/2013 10 dari 8 6

DASAR KESELAMATAN ICT JLKNf. PematuhanDasar Keselamatan ICT JLKN hendaklah dibaca, difahami dan dipatuhi bagimengelakkan sebarang bentuk perlanggaran ke atasnya yang boleh membawaancaman kepada keselamatan aset ICT.Pematuhan Dasar Keselamatan ICT JLKN adalah berdasarkan tindakan berikut:-i. Mewujudkan proses yang sistematik khususnya untuk menjaminkeselamatan ICT bagi memantau dan menilai tahap pematuhan langkahlangkahkeselamatan yang telah dikuatkuasakan;ii. Merumus pelan pematuhan untuk menangani sebarang kelemahan ataukekurangan langkah-langkah keselamatan ICT yang dikenalpasti;iii. Pelaksanaan program pengawasan dan pemantauan keselamatanmaklumat secara berterusan hendaklah dilaksanakan oleh setiapperkhidmatan di kawasan tanggungjawab masing-masing; daniv. Menguatkuasakan amalan melapor sebarang peristiwa yang mengancamkeselamatan ICT dan seterusnya mengambil tindakan pembetulan.g. PemulihanPemulihan sistem amat perlu untuk memastikan kebolehsediaan dankebolehcapaian. Objektif utama adalah untuk meminimumkan sebaranggangguan atau kerugian akibat daripada ketidaksediaan. Pemulihan bolehdilakukan melalui aktiviti penduaan (backup) dan mewujudkan pelan pemulihanbencana/kesinambungan perkhidmatan.Pemulihan hendaklah dilakukan melalui tindakan berikut:-i. Pelan Pemulihan Bencana Sistem ICT hendaklah diuji sekurangkurangnyasekali setahun. Ketua Jabatan atau setaraf dikehendakimenentukan perkara ini dilaksanakan;ii. Pentadbir sistem dikehendaki melaksanakan sandaran (backup) setiapminggu bagi sistem ICT yang kritikal seperti Sistem Program KhidmatVERSI TARIKH MUKASURATDKICT (JLKN) 2.2 06/6/2013 11 dari 8 6

DASAR KESELAMATAN ICT JLKNiii.Negara (SPKN) dan setiap dua (2) minggu bagi sistem yang kurangkritikal seperti Web; danSemua pengguna dikehendaki mencegah kemasukan virus, mengamalkanlangkah-langkah pencegahan kebakaran dan amalan clear desk mengikutarahan semasa Jabatan masing-masing.h. Saling bergantunganLangkah-langkah keselamatan ICT yang berkesan memerlukan pematuhankepada semua prinsip-prinsip tersebut. Setiap prinsip adalah saling lengkapmelengkapiantara satu dengan yang lain. Tindakan mempersepadukan prinsipyang telah dinyatakan perlu dilaksanakan bagi menjamin tahap keselamatanyang maksimum.VERSI TARIKH MUKASURATDKICT (JLKN) 2.2 06/6/2013 12 dari 8 6

DASAR KESELAMATAN ICT JLKNCIRI-CIRI KESELAMATAN MAKLUMATa. KerahsiaanMaklumat tidak boleh didedahkan sewenang-wenangnya atau dibiarkan diaksestanpa kebenaran.b. IntegritiData dan maklumat hendaklah tepat, lengkap dan kemaskini. Ia hanya bolehdiubah dengan cara yang dibenarkan.c. Tidak boleh disangkalPunca data dan maklumat hendaklah dari punca yang sah dan tidak bolehdisangkal.d. KesahihanData dan maklumat hendaklah dijamin kesahihannya.e. KebolehsediaanData dan maklumat hendaklah boleh diakses pada bila-bila masa.VERSI TARIKH MUKASURATDKICT (JLKN) 2.2 06/6/2013 13 dari 8 6

DASAR KESELAMATAN ICT JLKNPENILAIAN RISIKO KESELAMATAN ICTJLKN hendaklah mengambil kira kewujudan risiko ke atas aset ICT akibat dariancaman dan vulnerability yang semakin meningkat hari ini. Justeru itu JLKNperlu mengambil langkah-langkah proaktif dan bersesuaian untuk menilai tahaprisiko aset ICT supaya pendekatan dan keputusan yang paling berkesan dikenalpasti bagi menyediakan perlindungan dan kawalan ke atas aset ICT.JLKN hendaklah melaksanakan penilaian risiko keselamatan ICT secara berkaladan berterusan bergantung kepada perubahan teknologi dan keperluankeselamatan ICT. Seterusnya mengambil tindakan susulan dan/atau langkahlangkahbersesuaian untuk mengurangkan atau mengawal risiko keselamatanICT berdasarkan penemuan penilaian risiko.Penilaian risiko keselamatan ICT hendaklah dilaksanakan ke atas sistemmaklumat JLKN termasuklah aplikasi, perisian, pelayan, rangkaian dan/atauproses serta prosedur. Penilaian risiko ini hendaklah juga dilaksanakan dipremis yang menempatkan sumber-sumber teknologi maklumat termasuklahBilik Server, Bilik Media Storan, kemudahan utiliti dan sistem-sistem sokonganlain.JLKN bertanggungjawab melaksanakan dan menguruskan risiko keselamatanICT selaras dengan keperluan Surat Pekeliling Am Bilangan 6 Tahun 2005:-Garis Panduan Penilaian Risiko Keselamatan Maklumat Sektor Awam.JLKN perlu mengenal pasti tindakan yang sewajarnya bagi menghadapikemungkinan risiko berlaku dengan memilih tindakan berikut:-a. Mengurangkan risiko dengan melaksanakan kawalan yang bersesuaian;b. Menerima dan/atau bersedia berhadapan dengan risiko yang akan terjadiselagi ia memenuhi kriteria yang telah ditetapkan oleh pengurusan agensi;VERSI TARIKH MUKASURATDKICT (JLKN) 2.2 06/6/2013 14 dari 8 6

DASAR KESELAMATAN ICT JLKNc. Mengelak dan/atau mencegah risiko dari terjadi dengan mengambiltindakan yang dapat mengelak dan/atau mencegah berlakunya risiko; dand. Memindahkan risiko ke pihak lain seperti pembekal, pakar runding danpihak-pihak lain yang berkepentingan.VERSI TARIKH MUKASURATDKICT (JLKN) 2.2 06/6/2013 15 dari 8 6

DASAR KESELAMATAN ICT JLKNPERKARA 01 – PEMBANGUNAN DAN PENYELENGGARAAN DASARPERKARAT/JAWABDasar Keselamatan ICTDKICT JLKN ini diwujudkan untuk melindungi aset ICT bagi memastikan kelancaranoperasi Jabatan secara berterusan, meminimumkan kerosakan atau kemusnahan asetasetICT melalui usaha pencegahan atau mengurangkan kesan kejadian yang tidak diinginiberdasarkan kepada ciri-ciri keselamatan iaitu kerahsiaan, integriti, tidak boleh disangkal,kebolehsediaan dan kesahihan.1.1 Pelaksanaan DasarKetua Pengarah JLKN adalah bertanggungjawab ke atas pelaksanaan Ketuaarahan dengan dibantu oleh Jawatankuasa Pemandu ICT (JPICT) yang Pengarahterdiri daripada Ketua Pegawai Maklumat (CIO), Pegawai Keselamatan ICT JLKN(ICTSO), semua Pengarah Bahagian dan lain-lain pegawai yang dilantik.1.2 Penyebaran DasarDasar ini perlu disebarkan kepada semua pengguna JLKN (termasuk ICTSOkakitangan, pembekal dan pakar runding yang berurusan dengan JLKN)1.3 Penyelenggaraan DasarDasar Keselamatan ICT JLKN adalah tertakluk kepada semakan dan ICTSOpindaan dari semasa ke semasa selaras dengan perubahan teknologi,aplikasi, prosedur, perundangan dan kepentingan sosial.Berikut adalah prosedur yang berhubung dengan penyelenggaraan DasarKeselamatan ICT JLKN:-i. Menyemak dasar ini sekurang-kurangnya sekali setahun bagimengenalpasti dan menentukan perubahan yang diperlukan;ii. Mengemukakan cadangan perubahan secara bertulis kepada CIO atauICTSO untuk pembentangan dan persetujuan Mesyuarat JawatankuasaPemandu ICT(JPICT) JLKN; daniii. Memaklumkan perubahan dasar yang telah dipersetujui oleh JPICTVERSI TARIKH MUKASURATDKICT (JLKN) 2.2 06/6/2013 16 dari 8 6

DASAR KESELAMATAN ICT JLKNkepada semua kakitangan JLKN.1.4 Penggunaan DasarDasar Keselamatan ICT JLKN adalah terpakai kepada semua pengguna ICTJLKN.1.5 Pengecualian DasarDasar Keselamatan ICT JLKN ini adalah terpakai kepada semua penggunaICT JLKN dan tiada pengecualian diberikan.WargaJabatanSemuaVERSI TARIKH MUKASURATDKICT (JLKN) 2.2 06/6/2013 17 dari 8 6

DASAR KESELAMATAN ICT JLKNPERKARA 02 – ORGANISASI KESELAMATANPERKARAT/JAWABInfrastruktur Organisasi DalamanObjektif:-Menerangkan peranan dan tangunggjawab individu yang terlibat dengan jelas dan teraturdalam mencapai objektif JLKN.2.1 Ketua Pengarah JLKNPeranan dan tanggungjawab Ketua Pengarah JLKN adalah seperti berikut:-i. Memastikan semua pengguna memahami dan mematuhi DasarKeselamatan ICT JLKN;ii. Memastikan semua keperluan JLKN (sumber kewangan, kakitangan danperlindungan keselamatan) adalah mencukupi; daniii. Memastikan penilaian risiko dan program keselamatan ICT dilaksanakanseperti yang ditetapkan di dalam Dasar Keselamatan ICTJLKN/Kerajaan.2.2 Ketua Pegawai Maklumat (CIO)Jawatan Ketua Pegawai Maklumat (CIO) adalah disandang oleh TimbalanKetua Pengarah (Pengurusan) JLKN.KetuaPengarahJLKNCIOPeranan dan tanggungjawab CIO adalah termasuk seperti berikut:-i. Membantu dan menasihati Ketua Pengarah JLKN dalam melaksanakantugas-tugas yang melibatkan keselamatan ICT;ii. Menasihati Ketua Pengarah JLKN dalam melaksanakan tugas-tugasyang melibatkan keselamatan ICT;iii. Menentukan keperluan keselamatan ICT;iv. Menyelaras pembangunan dan melaksanakan pelan latihan dan programkesedaran mengenai keselamatan ICT; danv. Memastikan semua pengguna memahami peruntukan di bawah DasarKeselamatan ICT JLKN.VERSI TARIKH MUKASURATDKICT (JLKN) 2.2 06/6/2013 18 dari 8 6

DASAR KESELAMATAN ICT JLKN2.3 Pengurus ICTJawatan Pengurus ICT adalah disandang oleh Pengarah BahagianPengurusan Maklumat (BPM), JLKN.PengurusICTPeranan dan tanggungjawab adalah termasuk seperti berikut:-i. Membaca, memahami dan mematuhi Dasar Keselamatan ICT JLKN;ii. Menentukan kawalan akses semua pengguna terhadap aset ICTKerajaan;iii. Menentukan tahap kawalan akses semua pengguna terhadap aset ICTkerajaan;iv. Melaporkan sebarang perkara atau penemuan/ancaman keselamatanICT kepada ICTSO; danv. Memastikan penyimpanan rekod, bahan bukti dan laporan terkinimengenai ancaman keselamatan ICT JLKN dilaksanakan.2.4 Pegawai Keselamatan ICT (ICTSO)Jawatan Pegawai Keselamatan ICT (ICTSO) adalah disandang oleh PegawaiTeknologi Maklumat (PTM), Cawangan Rangkaian dan Keselamatan (CRK),Bahagian Pengurusan Maklumat (BPM), JLKN.ICTSOPeranan dan tanggungjawab adalah termasuk seperti berikut:-i. Mengurus keseluruhan program-program keselamatan ICT JLKN;ii. Menguatkuasa dan memantau pematuhan Dasar Keselamatan ICTJLKN;iii. Memberi penerangan dan pendedahan berkenaan Dasar KeselamatanICT JLKN kepada pengguna;iv. Mewujudkan garis panduan dan prosedur selaras dengan DasarKeselamatan ICT JLKN;v. Menjalankan pengurusan risiko;vi. Menjalankan audit, mengkaji semula, merumus tindak balas pengurusanVERSI TARIKH MUKASURATDKICT (JLKN) 2.2 06/6/2013 19 dari 8 6

DASAR KESELAMATAN ICT JLKNberdasarkan hasil penemuan dan menyediakan laporan mengenainya;vii. Memberi amaran terhadap kemungkinan berlakunya ancamanberbahaya seperti virus dan memberi khidmat nasihat serta menyediakanlangkah-langkah perlindungan yang bersesuaian;viii. Menjadi ahli kepada Pasukan Tindak Balas Insiden Keselamatan ICTKementerian Pertahanan (MinDef*CERT);ix. Melaporkan insiden keselamatan ICT kepada Pasukan Tindak BalasInsiden Keselamatan ICT Kementerian Pertahanan (MinDef*CERT) danmemaklumkannya kepada CIO;x. Bekerjasama dengan semua pihak yang berkaitan dalam mengenal pastipunca ancaman atau insiden keselamatan ICT dan memperakukanlangkah-langkah baik pulih dengan segera; danxi. Memperakukan proses pengambilan tindakan tatatertib ke ataspengguna yang melanggar Dasar Keselamatan ICT JLKN.2.5 Pentadbir Sistem ICTPentadbir Sistem ICT adalah terdiri daripada berikut:-i. Pentadbir Rangkaian;ii. Pentadbir Sistem Aplikasi;iii. Pentadbir Bilik Server;iv. Pentadbir E-mel; danv. Pentadbir Laman Web (Web Master).Peranan dan tanggungjawab Pentadbir Sistem ICT adalah termasuk sepertiberikut:-i. Membaca, memahami dan mematuhi Dasar Keselamatan ICT JLKN;ii. Memastikan perkhidmatan rangkaian, e-mel, sistem aplikasi dan lamanweb Jabatan adalah mematuhi keperluan yang ditetapkan dalam DasarKeselamatan ICT JLKN bagi menjamin keselamatan perkhidmatantersebut;SemuaKetuaCawangandi BPM,PPTM(K),PPTM danJuruteknikBPM,JLKNVERSI TARIKH MUKASURATDKICT (JLKN) 2.2 06/6/2013 20 dari 8 6

DASAR KESELAMATAN ICT JLKNiii. Memastikan kerahsiaan kata laluan pada server sistem aplikasi, lamanweb, e-mel, server-server lain dan perkakasan rangkaian;iv. Menjalankan operasi backup dan restoration yang melibatkan data,konfigurasi dan log secara berkala dan kaedah backup yang piawaidipatuhi;v. Menjalankan penyelenggaraan ke atas server-server dan perkakasanrangkaian serta memasang patches/updates/hotfix yang penting dansesuai pada server-server serta memastikan ia berfungsi dengansempurna;vi. Memantau status perkakasan server seperti storan, memory, CPU danlain-lain serta membuat penggantian atau penambahan jika perlu dengansegera;vii. Menghadkan capaian ke atas sistem aplikasi mengikut jenis akaunpengguna;viii. Memastikan sebarang port server yang tidak digunakan ditutup dan tidakboleh diakses dari luar Jabatan;ix. Memastikan semua server dipasang dengan perisian Antivirus danmengandungi virus pattern terkini dan menjalankan scanning secaraberkala ke atas server;x. Memastikan bekalan kuasa, penyaman udara dan sistem Card AccessBilik Server berfungsi dengan baik dan membuat laporan kepadaBahagian yang bertanggungjawab jika terdapat kerosakan;xi. Memastikan semua pelawat dan kontraktor yang menjalankan kerja diBilik Server JLKN mengisi Buku Log Pelawat Bilik Server JLKN;xii. Mengambil tindakan yang bersesuaian dengan segera apabiladimaklumkan mengenai kakitangan yang berhenti, bertukar, bercuti atauberlaku perubahan dalam bidang tugas;xiii. Mengambil tindakan yang bersesuaian dengan segera apabiladimaklumkan mengenai pengguna luar dan pihak ketiga yang berhentiVERSI TARIKH MUKASURATDKICT (JLKN) 2.2 06/6/2013 21 dari 8 6

DASAR KESELAMATAN ICT JLKNatau tamat projek;xiv. Menentukan ketepatan dan kesempurnaan sesuatu tahap capaianberdasarkan arahan pemilik sumber maklumat sebagaimana yang telahditetapkan di dalam Dasar Keselamatan ICT JLKN;xv. Memantau aktiviti capaian harian pengguna;xvi. Mengenal pasti aktiviti-aktiviti tidak normal seperti pencerobohan danpengubahsuaian data tanpa kebenaran dan membatalkan ataumemberhentikannya dengan serta-merta;xvii. Menyimpan dan menganalisis rekod audit trail dan log secara berkala;xviii. Menyediakan laporan mengenai aktiviti capaian kepada pemilikmaklumat berkenaan secara berkala; danxix. Melaporkan sebarang insiden perlanggaran keselamatan kepada ICTSO.2.6 Jawatankuasa Keselamatan ICT (JKICT) JLKNJawatankuasa Keselamatan ICT (JKICT) JLKN adalah jawatankuasa yangbertanggungjawab dalam keselamatan ICT dan berperanan sebagaipenasihat, pemangkin dan penentu hala tuju rancangan dan strategikeselamatan ICT JLKN.JKICTJLKNDi JLKN, Jawatankuasa Pemandu ICT (JPICT) JLKN juga berperanansebagai Jawatankuasa Keselamatan ICT (JKICT) JLKN. Keanggotaan JKICTJLKN adalah seperti berikut:-Pengerusi:- CIO JLKNAhli:- i. Pengurus ICT JLKN;ii. ICTSO JLKN;iii. Pengurus Risiko JLKN (Pengarah atauwakil Bahagian Operasi JLKN yangdilantik); daniv. Semua Pengarah Bahagian.VERSI TARIKH MUKASURATDKICT (JLKN) 2.2 06/6/2013 22 dari 8 6

DASAR KESELAMATAN ICT JLKNUrusetia bagi JKICT JLKN adalah urusetia yang mengendalikan MesyuaratJawatankuasa Pemandu ICT (JPICT) JLKN.Bidang Kuasa:-i. Memperakukan dan meluluskan dokumen Dasar KeselamatanICT JLKN;ii. Memantau tahap pematuhan keselamatan ICT;iii. Memperakukan garis panduan, prosedur dan tatacara berkaitanICT (penggunaan, perolehan dan penyelenggaraan aset atausistem aplikasi ICT) mematuhi keperluan keselamatan ICTJLKN;iv. Menilai teknologi yang bersesuaian dan mencadangkanpenyelesaian terhadap keperluan keselamatan ICT;v. Memastikan DKICT JLKN adalah selaras dengan dasar-dasarICT Kerajaan;vi. Membincangkan hal-hal berkaitan keselamatan ICT semasa;vii. Membincangkan hal-hal berkaitan perlanggaran DKICT JLKN;danviii. Membuat keputusan berkenaan tindakan yang perlu diambilmengenai sebarang inseden keselamatan ICT JLKN.2.7 Pengguna ICT JLKNPeranan dan tanggungjawab adalah termasuk seperti berikut:-i. Membaca, memahami dan mematuhi Dasar Keselamatan ICT JLKN;ii. Menandatangani Surat Akuan Pematuhan Dasar Keselamatan ICT(DKICT) JLKN;iii. Mengetahui dan memahami implikasi keselamatan ICT kesan daritindakannya;iv. Melepasi tapisan keselamatan (jika berkaitan);v. Melaksanakan prinsip-prinsip Dasar Keselamatan ICT dan menjagaWargaJabatanVERSI TARIKH MUKASURATDKICT (JLKN) 2.2 06/6/2013 23 dari 8 6

DASAR KESELAMATAN ICT JLKNkerahsiaan maklumat kerajaan;vi. Melaksanakan langkah-langkah perlindungan seperti berikut:-a. Menghalang pendedahan maklumat kepada pihak yang tidakdibenarkan;b. Memeriksa maklumat dan menentukan ia tepat dan lengkap darisemasa ke semasa;c. Menentukan maklumat sedia untuk digunakan;d. Menjaga kerahsiaan kata laluan;e. Mematuhi standard, prosedur, langkah dan garis panduankeselamatan yang ditetapkan;f. Memberi perhatian kepada maklumat terperingkat terutama semasapewujudan, pemprosesan, penyimpanan, penghantaran,penyampaian, pertukaran dan pemusnahan; dang. Menjaga kerahsiaan langkah-langkah keselamatan ICT daridiketahui umum.vii. Melaporkan sebarang aktiviti yang melibatkan perlanggaran keselamatanICT kepada ICTSO dengan segera;viii. Menghadiri program-program kesedaran mengenai keselamatan ICT;danix. Memaklumkan kepada Bahagian Pengurusan Maklumat (BPM)berkenaan kakitangan yang bertukar, baru dilantik dan berhenti untukpengurusan akaun email, domain dan akaun sistem di Jabatan.2.8 Pihak Luar / KetigaPihak JLKN hendaklah memastikan keselamatan penggunaan maklumat dankemudahan proses maklumat oleh pihak luar/ketiga dikawal.Perkara yang perlu dipatuhi adalah termasuk seperti berikut:-i. Memastikan pihak luar/ketiga yang berurusan dengan Jabatan danmenjalankan kerja-kerja yang berkaitan dengan ICT Jabatan membaca,PegawaidankakitanganJabatanyangberurusanVERSI TARIKH MUKASURATDKICT (JLKN) 2.2 06/6/2013 24 dari 8 6

DASAR KESELAMATAN ICT JLKNmematuhi dan menandatangani BOR IT/6/2009 – Borang KeselamatanBahagian Pengurusan Maklumat, Jabatan Latihan Khidmat Negara;ii. Mengenalpasti risiko keselamatan maklumat dan kemudahan prosesmaklumat dan laksana kawalan yang sesuai sebelum beri kebenarancapaian;iii. Mengenalpasti keperluan keselamatan sebelum membenarkan capaianatau penggunaan kepada pengguna luar. Capaian kepada aset ICTJLKN perlu berlandaskan kepada perjanjian kontrak;iv. Memastikan semua keperluan keselamatan dinyatakan dengan jelasdalam perjanjian dengan pihak ketiga; danv. Perkara-perkara berikut hendaklah dimasukkan didalam perjanjian yangdimeterai:-a. Dasar Keselamatan ICT JLKN;b. Tapisan Keselamatan;c. Perakuan Akta Rahsia Rasmi 1972; dand. Hak Harta Intelek.denganpihakluar/ketigaNota:-Surat Pekeliling Perbendaharaan Bilangan 2 Tahun 1995 bertajuk “TatacaraPenyediaan, Penilaian dan Penerimaan Tender” dan Surat PekelilingPerbendaharaan Bilangan 3 Tahun 1995 bertajuk “Peraturan PerolehanPerkhidmatan Perundingan” yang berkaitan juga boleh dirujuk.VERSI TARIKH MUKASURATDKICT (JLKN) 2.2 06/6/2013 25 dari 8 6

DASAR KESELAMATAN ICT JLKNPERKARA 03 – PENGURUSAN ASETPERKARAT/JAWAB3.1 Akauntibiliti AsetObjektif:-Memberi dan menyokong perlindungan yang bersesuaian ke atas semua aset ICT JLKN.3.1.1 Tanggungjawab ke Atas AsetMemastikan semua aset ICT Kerajaan diberi kawalan dan perlindungan Semuayang sesuai oleh pemilik atau pemegang amanah masing-masing.PenggunaJLKNPerkara-perkara yang perlu dipatuhi adalah seperti berikut:-i. Memastikan semua aset dikenalpasti dan maklumat aset direkod dalam Pengurusborang daftar harta modal dan inventori (KEW PA2) dan sentiasa Asetdikemas kini;ii. Memastikan semua aset mempunyai pemilik dan dikendalikan olehpengguna yang dibenarkan sahaja;iii. Setiap pengguna adalah bertanggungjawab ke atas semua aset ICT dibawah kawalannya; daniv. Peraturan bagi pengendalian aset hendaklah dikenalpasti,didokumenkan dan dilaksanakan.3.2 Pengelasan dan Pengendalian MaklumatObjektif:-Memastikan setiap maklumat atau aset ICT diberikan tahap perlindungan yang bersesuaian.3.2.1 Pengelasan MaklumatMemastikan setiap maklumat diberi perlindungan yang bersesuaian Wargaberdasarkan tahap kerahsiaan.JabatanPerkara-perkara yang perlu dipatuhi adalah seperti berikut:-i. Maklumat hendaklah dikelaskan berasaskan nilai, keperluanperundangan, tahap sensitiviti dan tahap kritikal kepada kerajaan.VERSI TARIKH MUKASURATDKICT (JLKN) 2.2 06/6/2013 26 dari 8 6

DASAR KESELAMATAN ICT JLKNSetiap maklumat yang dikelaskan mestilah mempunyai peringkatkeselamatan sebagaimana yang ditetapkan di dalam dokumen ArahanKeselamatan seperti berikut:-a. Rahsia Besar;b. Rahsia;c. Sulit; ataud. Terhadii. Setiap pengguna adalah bertanggungjawab mengurus maklumatbersesuaian dengan peringkat keselamatan seperti mana yang telahditetapkan di dalam dokumen Arahan Keselamatan.3.2.2 Pengendalian MaklumatAktiviti pengendalian maklumat seperti pewujudan, pengumpulan,pemprosesan, penyimpanan, penghantaran, penyampaian, penukaran danpemusnahan hendaklah mengambil kira langkah-langkah keselamatanberikut:-i. Menghalang pendedahan maklumat kepada pihak yang tidakdibenarkan;ii. Memeriksa, menyemak maklumat-maklumat dan menentukan ia tepatdan lengkap dari semasa ke semasa;iii. Memastikan maklumat sedia untuk digunakan;iv. Menjaga kerahsiaan kata laluan;v. Mematuhi standard, prosedur, langkah dan garis panduan keselamatanyang dikeluarkan dari semasa ke semasa;vi. Memberi perhatian kepada pengendalian maklumat rasmi terperingkatterutama semasa pewujudan, pengumpulan, pemprosesan,penyimpanan, penghantaran, penyampaian, penukaran danpemusnahan; danvii. Menjaga kerahsiaan langkah-langkah keselamatan ICT dari diketahuiumum.WargaJabatanVERSI TARIKH MUKASURATDKICT (JLKN) 2.2 06/6/2013 27 dari 8 6

DASAR KESELAMATAN ICT JLKNPERKARA 04 – KESELAMATAN SUMBER MANUSIAPERKARAT/JAWABKeselamatan Sumber Manusia dalam Tugas HarianObjektif:-Meminimumkan risiko seperti kesilapan, kecuaian, kecurian, penipuan dan penyalahgunaanaset ICT JLKN. Semua warga Jabatan wajib memahami tanggungjawab dan peranan semuasumber manusia dalam keselamatan aset ICT JLKN.4.1 Terma Perkhidmatani. Awam atau TenteraSemuaAnggota tentera dan awam yang menggunakan dan mengendalikan penggunaaset ICT dan maklumat elektronik berdarjah mestilah menjalani JLKNtapisan keselamatan.ii. Pekerja Kontrak / Pekerja Sambilan Harian (PSH)Anggota yang berkhidmat secara kontrak/sambilan harian yangmenggunakan dan mengendalikan aset ICT yang berkaitan ataurelevan dengan tugas masing-masing sepanjang tempoh kontrak.Ketua Jabatan dan setaraf dikehendaki menentukan setiap pekerjakontrak/sambilan harian menandatangani surat perjanjian kontraksepanjang tempoh kontrak.4.2 Sebelum BerkhidmatMemastikan semua sumber manusia yang terlibat termasuk penjawat awam,kontraktor, pihak ketiga dan pihak-pihak lain yang terlibat memahamitanggungjawab masing-masing ke atas keselamatan ICT bagimeminimumkan risiko seperti kesilapan, kecuaian, kecurian, penipuan danpenyalahgunaan aset ICT Kerajaan.SemuapenggunaJLKNPerkara-perkara yang perlu dipatuhi adalah seperti berikut:-i. Menyatakan dengan lengkap dan jelas peranan dan tanggungjawabVERSI TARIKH MUKASURATDKICT (JLKN) 2.2 06/6/2013 28 dari 8 6

DASAR KESELAMATAN ICT JLKNpenjawat awam, pembekal, pakar runding dan pihak-pihak lain yangterlibat dalam menjamin keselamatan aset ICT sebelum, semasa danselepas perkhidmatan;ii. Menjalankan tapisan keselamatan untuk penjawat awam, pembekal,pakar runding dan pihak-pihak lain yang terlibat selaras dengankeperluan perkhidmatan; daniii. Mematuhi semua terma dan syarat perkhidmatan yang ditawarkandan peraturan semasa yang berkuatkuasa berdasarkan perjanjianyang telah ditetapkan.4.3 Dalam PerkhidmatanMemastikan semua pengguna ICT JLKN sedar akan ancaman keselamatanmaklumat, peranan dan tanggungjawab masing-masing untuk menyokongDasar Keselamatan ICT JLKN dan meminimumkan risiko kesilapan,kecuaian, kecurian, penipuan dan penyalahgunaan aset ICT.SemuapenggunaJLKNPerkara-perkara yang perlu dipatuhi termasuk yang berkaitan:-i. Memastikan semua pengguna ICT JLKN mengurus keselamatan asetICT berdasarkan perundangan dan peraturan yang ditetapkan olehagensi;ii. Memastikan latihan kesedaran dan yang berkaitan mengenaipengurusan keselamatan ICT diberi kepada semua pengguna JLKNdan sekiranya perlu diberi kepada pihak ketiga yang berkepentingandari semasa ke semasa;iii. Memastikan adanya proses tindakan disiplin dan/atau undangundangke atas semua pengguna ICT JLKN sekiranya berlakuperlanggaran dengan perundangan dan peraturan ditetapkan olehJLKN; daniv. Memantapkan pengetahuan yang berkaitan dengan penggunaan asetICT bagi memastikan setiap kemudahan ICT digunakan dengan caraVERSI TARIKH MUKASURATDKICT (JLKN) 2.2 06/6/2013 29 dari 8 6

DASAR KESELAMATAN ICT JLKNdan kaedah yang betul demi kepentingan menjamin keselamatan ICT.4.4 Tamat Perkhidmatan atau BertukarMemastikan semua pengguna JLKN diurus dengan teratur apabila tamatperkhidmatan atau bertukar dari JLKN.Perkara yang perlu dipatuhi termasuk yang berikut:-i. Memastikan semua aset ICT Kerajaan dikembalikan kepada JLKNmengikut peraturan yang ditetapkan JLKN dan/atau termaperkhidmatan yang ditetapkan; danii. Membatalkan atau meminda semua kebenaran capaian ke atasmaklumat dan kemudahan proses maklumat mengikut peraturan yangditetapkan JLKN dan/atau terma perkhidmatan.SemuaPenggunaJLKNVERSI TARIKH MUKASURATDKICT (JLKN) 2.2 06/6/2013 30 dari 8 6

DASAR KESELAMATAN ICT JLKNPERKARA 05 – KESELAMATAN FIZIKAL DAN PERSEKITARANPERKARAT/JAWAB5.1 Keselamatan ICT Dalam Tugas HarianObjektif:-Mencegah akses fizikal yang tidak dibenarkan yang boleh mengakibatkan kecurian,kerosakan dan gangguan kepada persekitaran premis, peralatan dan maklumat.5.1.1 Perimeter Keselamatan FizikalKeselamatan Fizikal adalah bertujuan untuk mengesan, mencegah dan CIO danmenghalang cubaan untuk menceroboh ke kawasan yang menempatkan ICTSOperalatan, maklumat dan kemudahan proses maklumat.Perkara-perkara yang perlu dipatuhi adalah seperti berikut:-i. Mengenalpasti kawasan keselamatan fizikal dengan jelas dan lokasiserta keteguhan kawasan ini hendaklah bergantung kepada keperluanuntuk melindungi aset dalam kawasan ini dan hasil penilaian risiko;ii. Mempamerkan papan tanda kawasan larangan;iii. Memperkukuhkan tingkap dan pintu serta dikunci untuk mengawallaluan keluar masuk;iv. Memperkukuhkan dinding dan siling;v. Menghadkan jalan keluar masuk;vi. Mengadakan kaunter kawalan;vii. Mewujudkan sistem pas keselamatan;viii. Menyediakan tempat dan bilik khas pelawat;ix. Mewujudkan perkhidmatan kawalan keselamatan; danx. Memasang alat penggera atau kamera (CCTV) jika berkaitan.5.1.2 Kawalan Kawasan TerhadMenghalang capaian, kerosakan dan gangguan secara fizikal terhadappremis dan maklumat JLKN.CIOICTSOdanVERSI TARIKH MUKASURATDKICT (JLKN) 2.2 06/6/2013 31 dari 8 6

DASAR KESELAMATAN ICT JLKNPerkara-perkara yang mesti dipatuhi termasuk yang berikut:-i. Menggunakan kawasan perimeter (halangan seperti dinding, pagarkawalan, pengawal keselamatan) untuk melindungi kawasan yangmengandungi maklumat dan kemudahan pemprosesan maklumat;ii. Melindungi kawasan terhad melalui kawalan pintu masuk yangbersesuaian bagi memastikan kakitangan yang diberi kebenaransahaja boleh masuk melalui pintu ini;iii. Merekabentuk dan melaksanakan keselamatan fizikal di dalampejabat, bilik dan kemudahan;iv. Merekabentuk dan melaksanakan perlindungan fizikal dari kebakaran,banjir, letupan, kacau-bilau manusia dan sebarang bencanadisebabkan oleh kuasa Tuhan atau perbuatan manusia;v. Melaksanakan perlindungan fizikal dan menyediakan garis panduanuntuk kakitangan yang bekerja di dalam kawasan terhad; danvi. Memastikan kawasan-kawasan penghantaran dan pemunggahan danjuga tempat-tempat lain dikawal dari pihak yang tidak diberi kebenaranmemasukinya.5.1.3 Kawalan Masuk FizikalKawalan masuk fizikal adalah bertujuan untuk mewujudkan kawalan keluarmasuk ke premis/bangunan di Jabatan.Perkara-perkara yang perlu dipatuhi adalah seperti berikut:-i. Setiap pengguna JLKN hendaklah memakai atau mengenakan paskeselamatan sepanjang waktu bertugas;ii. Mendaftarkan setiap pelawat di pintu utama Kementerian/ Jabatan/Agensi dahulu;iii. Setiap pelawat boleh mendapat pas keselamatan pelawat di pintumasuk ke kawasan atau tempat berurusan dan hendaklahdikembalikan semula selepas tamat lawatan;SemuapenggunaJLKNVERSI TARIKH MUKASURATDKICT (JLKN) 2.2 06/6/2013 32 dari 8 6

DASAR KESELAMATAN ICT JLKNiv. Menyerahkan balik semua Pas Keselamatan Kakitangan kepadaJabatan apabila pengguna berhenti atau bersara;v. Melaporkan kehilangan pas dengan segera kepada pentadbiranJabatan; danvi. Hanya pengguna yang diberi kebenaran sahaja boleh mencapai ataumenggunakan aset ICT JLKN.5.1.4 Kawasan LaranganKawasan larangan ditakrifkan sebagai kawasan yang dihadkan kemasukankepada pegawai-pegawai yang tertentu sahaja. Ini dilaksanakan untukmelindungi aset ICT yang terdapat di dalam kawasan tersebut.SemuapenggunaJLKNKawasan larangan di JLKN adalah Bilik Ketua Pengarah, Bilik TimbalanKetua Pengarah, Bilik Server, Bilik Stor dan Bilik Fail.i. Akses kepada kawasan larangan hanyalah kepada pegawai-pegawaiyang dibenarkan sahaja; danii. Pihak ketiga adalah dilarang sama sekali untuk memasuki kawasanlarangan kecuali, bagi kes-kes tertentu seperti memberi perkhidmatansokongan atau bantuan teknikal, dan mereka hendaklah diiringisepanjang masa sehingga tugas di kawasan berkenaan selesai.5.2 Keselamatan Aset ICTObjektif:-Melindungi aset ICT JLKN daripada hilang, rosak, dicuri atau salah guna serta gangguan keatas aktiviti JLKN.5.2.1 PerkakasanPeralatan ICT hendaklah dijaga dan dikawal dengan baik supaya boleh Semuaberfungsi apabila diperlukan.penggunaPerkara-perkara yang perlu dipatuhi adalah seperti berikut:-JLKNi. Pengguna bertanggungjawab sepenuhnya ke atas komputer masingmasingdan tidak dibenarkan membuat sebarang pertukaranVERSI TARIKH MUKASURATDKICT (JLKN) 2.2 06/6/2013 33 dari 8 6

DASAR KESELAMATAN ICT JLKNperkakasan dan konfigurasi yang telah ditetapkan;ii. Pengguna dilarang sama sekali menambah, menanggal ataumengganti sebarang perkakasan ICT yang telah ditetapkan;iii. Pengguna mesti memastikan perisian antivirus di komputer merekasentiasa aktif (activated) dan dikemaskini disamping menjalankanimbasan ke atas media storan yang digunakan secara berkala;iv. Pengguna perlu mengisi borang BOR IT/3/2009 – BorangPermohonan Akaun E-mel dan Domain bagi mendapatkan akaunkomputer dan e-mel (bagi yang layak);v. Penggunaan kata laluan untuk akses ke dalam komputer adalahdiwajibkan;vi. Semua peralatan sokongan ICT seperti papan kekunci, tetikus,pencetak, pengimbas dan lain-lain hendaklah dilindungi daripadakecurian, kerosakan, penyalahgunaan atau pengubahsuaian tanpakebenaran;vii. Peralatan-peralatan kritikal perlu disokong oleh Uninterruptible PowerSupply (UPS);viii. Semua peralatan yang digunakan secara berterusan dan berkuasatinggi mestilah diletakkan di kawasan yang berhawa dingin danmempunyai pengudaraan (air ventilation) yang sesuai;ix. Peralatan ICT yang hendak dibawa keluar dari premis JLKN, perlumendapat kelulusan dari Pentadbir Sistem dan direkodkan di dalamborang BOR IT/7/2009 – Borang Kebenaran Membawa KeluarPeralatan ICT;x. Peralatan ICT yang hilang hendaklah segera dilaporkan kepadaPegawai Aset dengan segera;xi. Pengendalian peralatan ICT hendaklah mematuhi dan merujuk kepadaperaturan semasa yang berkuatkuasa;xii. Pengguna tidak dibenarkan mengubah kedudukan komputer dariVERSI TARIKH MUKASURATDKICT (JLKN) 2.2 06/6/2013 34 dari 8 6

DASAR KESELAMATAN ICT JLKNtempat asal ia ditempatkan tanpa kebenaran Pentadbir Sistem;xiii. Sebarang kerosakan peralatan ICT hendaklah dilaporkan kepadaPentadbir Sistem untuk dibaik pulih;xiv. Konfigurasi alamat Internet Protocol (IP) asal komputer tidakdibenarkan diubah kepada yang lain;xv. Pengguna dilarang mengubah kata laluan bagi pentadbir(administrator password) yang telah ditetapkan;xvi. Penggunaan perkakasan, perisian dan maklumat hendaklahdigunakan sepenuhnya bagi urusan rasmi sahaja;xvii. Semua perkakasan komputer, pencetak dan pengimbas mestilahberada dalam keadaan (OFF) apabila meninggalkan pejabat; danxviii. Sebarang bentuk penyelewengan atau salah guna perkakasanhendaklah dilaporkan kepada Bahagian Pengurusan Maklumat (BPM),JLKN.5.2.2 DokumenLangkah-langkah pengurusan dokumentasi yang baik dan selamat perludilaksanakan bagi memastikan integriti maklumat.Perkara-perkara yang perlu dipatuhi adalah seperti berikut:-i. Memastikan sistem dokumentasi atau penyimpanan maklumat adalahselamat dan terjamin;ii. Menggunakan tanda atau label peringkat keselamatan seperti rahsiabesar, rahsia, sulit atau terhad pada dokumen;iii. Mewujudkan sistem pengurusan dokumen terperingkat bagimenerima, memproses, menyimpan dan menghantar dokumendokumentersebut supaya ianya diuruskan berasingan daripadadokumen-dokumen tidak terperingkat;iv. Menggunakan enkripsi ke atas dokumen terperingkat yang disediakandan dihantar secara elektronik; danSemuapenggunaJLKNVERSI TARIKH MUKASURATDKICT (JLKN) 2.2 06/6/2013 35 dari 8 6

DASAR KESELAMATAN ICT JLKNv. Pelupusan dokumen hendaklah merujuk kepada tatacara danprosedur yang digariskan seperti di dalam Arahan Keselamatan dantatacara yang dikeluarkan oleh Arkib Negara.5.2.3 Media Storan (Disket, Pita Magnetik, Cakera Keras, CD-ROM, Optical Disk,Removable Disk (Thumb/Pen Drive) dan lain-lain.Keselamatan media storan perlu diberi perhatian khusus kerana ia berupaya Semuamenyimpan maklumat rasmi dan rahsia Kerajaan. Langkah-langkah penggunapencegahan hendaklah diambil untuk memastikan kerahsiaan, integriti dan JLKNkebolehsediaan maklumat yang disimpan dalam media storan adalahterjamin dan selamat.Perkara-perkara yang perlu dipatuhi adalah seperti berikut:-i. Pengguna adalah dilarang sama sekali menyimpan maklumatterperingkat di dalam removable disk kecuali dibenarkan oleh KetuaPengarah JLKN;ii. Menyediakan ruang penyimpanan dan bekas-bekas keselamatan yangmempunyai ciri-ciri keselamatan bersesuaian dengan kandunganmaklumat;iii. Menghadkan akses kepada pengguna yang dibenarkan sahaja;iv. Sebarang pelupusan hendaklah merujuk kepada tatacara pelupusan;danv. Mengadakan sistem pengurusan media termasuk inventori,pergerakan, pelabelan dan backup/restore.5.2.4 KabelKabel termasuk kabel elektrik dan komunikasi hendaklah dilindung keranaboleh menjadi punca maklumat menjadi terdedah.Perkara-perkara yang perlu dipatuhi adalah seperti berikut:-i. Menggunakan kabel yang mengikut spesifikasi yang telahditetapkan;ICTSO/PentadbirSistemVERSI TARIKH MUKASURATDKICT (JLKN) 2.2 06/6/2013 36 dari 8 6

DASAR KESELAMATAN ICT JLKNii. Melindungi kabel daripada kerosakan yang disengajakan atau tidakdisengajakan;iii. Melindungi laluan pemasangan kabel sepenuhnya bagimengelakkan ancaman kerosakan dan wire tapping; daniv. Membuat penamaan kabel (pelabelan) menggunakan kod tertentudan dikemaskini di dalam pelan lantai rangkaian Jabatan.5.2.5 PenyelenggaraanPerkakasan hendaklah diselenggarakan dengan betul bagi memastikankebolehsediaan dan integriti.Perkara-perkara yang perlu dipatuhi adalah seperti berikut:-i. Mematuhi spesifikasi penyelenggaraan yang ditetapkan olehpengeluar perkakasan berkenaan apabila menyelenggarakanperkakasan;ii. Menyelenggara perkakasan dengan khidmat pegawai teknikal ataupihak yang dibenarkan sahaja;iii. Menyemak dan menguji semua perkakasan sebelum dan selepasproses penyelenggaraan dilakukan;iv. Mendapatkan kebenaran daripada Pengurus ICT Jabatan untukmelakukan sebarang penyelenggaraan dan proses naiktaraf; danv. Memaklumkan kepada pihak pengguna atau Penyelaras ICT sebelummelaksanakan penyelenggaraan pencegahan (preventive),penyelenggaraan pemulihan (remedial) atau atas keperluan tertentu.5.2.6 Peminjaman Aset ICT Untuk Kegunaan Di Luar PejabatAset ICT yang dipinjam untuk kegunaan di luar pejabat adalah terdedahkepada pelbagai risiko.Langkah-langkah berikut boleh diambil untuk menjamin keselamatan asetICT:-i. Mendapat kelulusan Pengurus ICT atau pegawai BPM yang dilantikSemuapenggunaJLKNSemuapenggunaJLKNVERSI TARIKH MUKASURATDKICT (JLKN) 2.2 06/6/2013 37 dari 8 6

DASAR KESELAMATAN ICT JLKNuntuk membawa keluar pejabat aset ICT dan tertakluk kepada tujuanyang dibenarkan;ii. Mendapat kelulusan Pengurus ICT di Jabatan untuk memindahkanperalatan ICT di antara Bahagian/Cawangan/Unit di Ibu Pejabat JLKNdan Kem-kem PLKN;iii. Setiap bahagian perlu merekodkan aktiviti peminjaman danpemulangan aset ICT di bahagian masing-masing menggunakanborang yang disediakan;iv. Menyemak aset ICT yang dipulangkan berada dalam keadaan baikdan lengkap;v. Aset ICT yang dipinjam perlu dilindungi dan dikawal sepanjang masa;danvi. Penyimpanan atau penempatan aset ICT yang dipinjam mestilahmengambil kira ciri-ciri keselamatan yang bersesuaian.5.2.7 Pengendalian Aset ICT Yang Dibawa MasukBagi aset ICT yang dibawa masuk ke premis kerajaan, perkara yang perludipatuhi adalah seperti berikut:-i. Memastikan aset ICT yang dibawa masuk tidak mengancamkeselamatan ICT JLKN;ii. Mendapat kelulusan mengikut peraturan yang telah ditetapkan olehJLKN bagi membawa masuk atau keluar aset ICT; daniii. Memeriksa dan memastikan aset ICT yang dibawa keluar tidakmengandungi maklumat kerajaan. Ia perlu disalin dan dihapuskan.5.2.8 PelupusanAset ICT yang hendak dilupuskan perlu melalui proses pelupusan semasa.Pelupusan aset ICT perlu dilakukan secara terkawal dan lengkap supayamaklumat tidak terlepas dari kawalan JLKN.Pengurus ICTdiKementerian/Jabatan/AgensiPegawai AsetPerkara-perkara yang perlu dipatuhi adalah:-VERSI TARIKH MUKASURATDKICT (JLKN) 2.2 06/6/2013 38 dari 8 6

DASAR KESELAMATAN ICT JLKNi. Menghapuskan semua kandungan aset ICT khususnya maklumatrahsia rasmi terlebih dahulu sebelum pelupusan sama ada melaluishredding, grinding, degauzing atau pembakaran; danii. Membuat pendua sekiranya maklumat perlu disimpan oleh pengguna.Nota:-Maklumat lanjut pelupusan bolehlah merujuk kepada Surat PekelilingPerbendaharaan Bilangan 5 Tahun 2007 bertajuk “Tatacara PengurusanAset Alih Kerajaan”.5.2.9 Clear Desk dan Clear ScreenSemua maklumat dalam apa jua bentuk media hendaklah disimpan denganteratur dan selamat bagi mengelakkan kerosakan, kecurian atau kehilangan.Clear Desk dan Clear Screen bermaksud tidak meninggalkan bahan-bahansensitif terdedah sama ada atas meja pengguna, di paparan skrin atau dipencetak dan pengimbas apabila pengguna tidak berada di tempatnya.SemuapenggunaJLKNPerkara-perkara yang perlu dipatuhi adalah:-i. Menggunakan kemudahan password screen saver atau log keluarapabila meninggalkan komputer;ii. Menyimpan bahan-bahan sensitif dalam laci atau kabinet fail yangberkunci; daniii. Memastikan kedudukan komputer yang digunakan oleh warga Jabatantidak mendedahkan rahsia.5.3 Keselamatan PersekitaranObjektif:-Melindungi aset ICT JLKN dari sebarang bentuk ancaman persekitaran yang disebabkanoleh bencana alam, kesilapan, kecuaian atau kemalangan.5.3.1 Kawalan PersekitaranBagi menghindarkan kerosakan dan gangguan terhadap premis dan aset WargaVERSI TARIKH MUKASURATDKICT (JLKN) 2.2 06/6/2013 39 dari 8 6

DASAR KESELAMATAN ICT JLKNICT, semua cadangan berkaitan premis sama ada untuk memperoleh,menyewa, ubahsuai, pembelian hendaklah dirujuk terlebih dahulu kepadaPejabat Ketua Pegawai Keselamatan Kerajaan (KPKK).JabatanBagi menjamin keselamatan persekitaran, langkah-langkah berikuthendaklah diambil:-i. Merancang dan menyediakan pelan keseluruhan susun atur BilikServer (bilik pencetakan, peralatan komputer dan ruang atur pejabatdan sebagainya) dengan teliti;ii. Memastikan semua ruang pejabat khususnya kawasan yangmempunyai kemudahan ICT dilengkapi dengan perlindungankeselamatan yang mencukupi dan dibenarkan seperti alat pencegahkebakaran dan pintu kecemasan;iii. Memasang peralatan perlindungan di tempat yang bersesuaian,mudah dikenali dan dikendalikan;iv. Menyimpan bahan mudah terbakar di luar kawasan kemudahanpenyimpanan aset ICT;v. Pengguna adalah dilarang merokok atau menggunakan peralatanmemasak seperti cerek elektrik berhampiran peralatan komputer;vi. Memastikan Pusat Pemulihan Bencana (DRC) Jabatan berfungsidengan baik dan menjalankan pengujian bencana dua (2) kali setahunbagi menguji tahap kesediaan DRC dan kesinambungan perkhidmatansistem aplikasi utama Jabatan jika bencana berlaku di Ibu PejabatJLKN;vii. Menyemak dan merujuk Pelan Pengurusan Risiko (PPR) Jabatansecara berkala dan mengemaskini PPR mengikut kesesuaian danperubahan prosedur; danviii. Menyemak dan menguji semua peralatan perlindungan sekurangkurangnyadua (2) kali dalam setahun. Aktiviti dan keputusan ujian iniVERSI TARIKH MUKASURATDKICT (JLKN) 2.2 06/6/2013 40 dari 8 6

DASAR KESELAMATAN ICT JLKNperlu direkodkan bagi memudahkan rujukan dan tindakan sekiranyaperlu.5.3.2 Bekalan Kuasai. Melindungi semua peralatan ICT dari kegagalan bekalan elektrik danmenyalurkan bekalan yang sesuai kepada peralatan ICT;ii. Memastikan peralatan sokongan seperti UPS (Uninterruptable PowerSupply) dan penjana (generator) boleh digunakan bagi perkhidmatankritikal seperti di Bilik Server supaya mendapat bekalan kuasaberterusan;iii. Memastikan penyaman udara di Bilik Server berfungsi dengan baikdan melaporkan sebarang korosakan penyaman udara kepadaBahagian yang bertanggungjawab; daniv. Menyemak dan menguji semua peralatan sokongan bekalan kuasasecara berjadual.5.3.3 Prosedur KecemasanPerkara-perkara yang perlu dipatuhi adalah seperti berikut:-i. Memastikan setiap pengguna membaca, memahami dan mematuhiprosedur kecemasan dengan merujuk kepada prosedur kecemasanyang telah ditetapkan;ii. Melaporkan insiden kecemasan persekitaran seperti kebakarankepada Pegawai Keselamatan JLKN;iii. Mengadakan, menguji dan mengemaskini pelan kecemasan darisemasa ke semasa; daniv. Merancang dan mengadakan latihan kebakaran bangunan (firedrill)secara berkala.BPM /ICTSO/PentadbirSistemPegawaiKeselamatanBahagianVERSI TARIKH MUKASURATDKICT (JLKN) 2.2 06/6/2013 41 dari 8 6

DASAR KESELAMATAN ICT JLKNPERKARA 06 – PENGURUSAN OPERASI DAN KOMUNIKASIPERKARAT/JAWAB6.1 Pengurusan Prosedur OperasiObkektif:-Memastikan perkhidmatan dan pemprosesan maklumat dapat berfungsi dengan betul danselamat.6.1.1 Pengendalian Proseduri. Mendokumen, menyimpan dan mengawal semua prosedur Semuakeselamatan ICT yang wujud dan dikenal pasti serta masih diguna Penggunapakai;JLKNii. Memastikan setiap prosedur mengandungi arahan-arahan yang jelas,teratur dan lengkap seperti keperluan kapasiti, pengendalian danpemprosesan maklumat, pengendalian dan penghantaran ralat,pengendalian output, bantuan teknikal dan pemulihan sekiranyapemprosesan tergendala atau terhenti;iii. Mengemaskini semua prosedur dari semasa ke semasa atau mengikutkeperluan;iv. Tugas dan tanggungjawab perlu diasingkan bagi mengurangkan risikokecuaian dan penyalahgunaan aset agensi; danv. Kemudahan ICT untuk pembangunan, pengujian dan operasi mestilahdiasingkan bagi mengurangkan risiko capaian atau pengubahsuaiansecara tidak sah ke atas sistem yang sedang beroperasi.6.1.2 Kawalan Perubahani. Pengubahsuaian yang melibatkan perkakasan, sistem untuk Semuapemprosesan maklumat, perisian, dan prosedur mestilah mendapat Penggunakebenaran daripada pegawai atasan atau pemilik aset ICT terlebih JLKNdahulu;ii. Mengendalikan aktiviti-aktiviti seperti memasang, menyelenggara,menghapus dan mengemas kini mana-mana komponen sistem ICTVERSI TARIKH MUKASURATDKICT (JLKN) 2.2 06/6/2013 42 dari 8 6

DASAR KESELAMATAN ICT JLKNdengan khidmat pihak atau pegawai yang diberi kuasa dan mempunyaipengetahuan atau terlibat secara langsung dengan aset ICTberkenaan;iii. Mematuhi spesifikasi perubahan yang telah ditetapkan bagi semuaaktiviti pengubahsuaian komponen sistem ICT; daniv. Merekodkan dan mengawal semua aktiviti perubahan ataupengubahsuaian bagi mengelakkan berlakunya ralat sama ada secarasengaja atau pun tidak.6.1.3 Pengasingan Tugas dan TanggungjawabPerkara-perkara yang perlu dipatuhi adalah seperti berikut:-Pengurusi. Skop tugas dan tanggungjawab perlu diasingkan bagi mengurangkan ICT/ICTSO/peluang berlaku penyalahgunaan atau pengubahsuaian yang tidak Pentadbirdibenarkan ke atas aset ICT;Sistemii. Tugas mewujud, memadam, mengemaskini, mengubah danmengesahkan data hendaklah diasingkan bagi mengelakkan daripadacapaian yang tidak dibenarkan serta melindungi aset ICT daripadakesilapan, kebocoran maklumat terperingkat atau dimanipulasi; daniii. Perkakasan yang digunakan bagi tugas membangun, mengemaskini,menyenggara dan menguji aplikasi hendaklah diasingkan dariperkakasan yang digunakan sebagai production. Pengasingan jugamerangkumi tindakan memisahkan antara kumpulan operasi danrangkaian.6.2 Pengurusan Penyampaian Perkhidmatan Pihak KetigaObjektif:-Memastikan pelaksanaan dan penyelenggaraan tahap keselamatan maklumat danpenyampaian perkhidmatan yang sesuai selaras dengan perjanjian perkhidmatan dengankontraktor, pihak ketiga dan pihak-pihak lain yang terlibat.6.2.1 Perkhidmatan PenyampaianPerkara-perkara yang mesti dipatuhi termasuk yang berikut:-SemuaVERSI TARIKH MUKASURATDKICT (JLKN) 2.2 06/6/2013 43 dari 8 6

DASAR KESELAMATAN ICT JLKNi. Memastikan kawalan keselamatan, definasi perkhidmatan dan tahappenyampaian yang terkandung dalam perjanjian dipatuhi, dilaksanakandan disenggarakan oleh kontraktor, pihak ketiga dan pihak-pihak lainyang terlibat;ii. Perkhidmatan, laporan dan rekod yang dikemukakan oleh kontraktor,pihak ketiga dan pihak-pihak lain yang terlibat;iii. Perkhidmatan, laporan dan rekod yang dikemukakan oleh kontraktor,pihak ketiga dan pihak-pihak lain yang terlibat perlu sentiasa dipantau,disemak semula dan diaudit dari semasa ke semasa; daniv. Pengurusan ke atas perubahan penyediaan perkhidmatan termasukmenyenggara dan menambah baik polisi keselamatan, prosedur dankawalan maklumat sedia ada, perlu mengambil kira tahap kritikal sistemdan proses yang terlibat serta penilaian semula risiko.6.3 Perancangan dan Penerimaan SistemObjektif:-Mengurangkan risiko kegagalan atau gangguan sistem.6.3.1 Perancangan KapasitiPerkara-perkara yang mesti dipatuhi termasuk yang berikut:-i. Kapasiti sesuatu komponen atau sistem ICT hendaklah dirancang,diurus dan dikawal dengan teliti oleh pegawai yang berkenaan bagimemastikan keperluannya adalah mencukupi dan bersesuaian untukpembangunan dan kegunaan sistem ICT pada masa akan datang; danii. Penggunaan peralatan dan sistem mestilah dipantau, ditala (tuned) danperancangan perlu dibuat bagi memenuhi keperluan kapasiti akandatang untuk memastikan prestasi sistem di tahap optimum.6.3.2 Penerimaan Sistemi. Kriteria penerimaan untuk peralatan dan sistem baru, peningkatan danversi baru perlu ditetapkan dan ujian yang sesuai ke atasnya perludibuat semasa pembangunan dan sebelum penerimaan sistem.PenggunaJLKNPentadbirSistemPentadbirSistemVERSI TARIKH MUKASURATDKICT (JLKN) 2.2 06/6/2013 44 dari 8 6

DASAR KESELAMATAN ICT JLKN6.4 Perisian BerbahayaObjektif:-Melindungi integriti perisian dan maklumat dari pendedahan atau kerosakan yangdisebabkan oleh perisian berbahaya seperti virus, Trojan dan sebagainya.6.4.1 Perlindungan dari Perisian BerbahayaPerkara-perkara yang mesti dipatuhi termasuk yang berikut:-Pentadbiri. Memasang sistem keselamatan untuk mengesan perisian atau program Sistem,berbahaya seperti anti virus dan Instrusion Prevention Sistem (IPS), Wargadan mengikut prosedur penggunaan yang selamat;Jabatanii. Memasang dan menggunakan hanya perisian yang berdaftar dilindungdi bawah hak cipta terpelihara;iii. Mengimbas semua perisian atau sistem dengan anti virus sebelummenggunakannya;iv. Mengemaskini paten anti virus dari semasa ke semasa;v. Menyemak kandungan sistem atau maklumat secara berkala bagimengesan aktiviti yang tidak diingini seperti kehilangan atau kerosakanmaklumat;vi. Menghadiri program kesedaran mengenai ancaman perisian berbahayadan cara mengendalikannya;vii. Memasukkan klausa tanggungan di dalam mana-mana kontrak yangditawarkan kepada pembekal perisian. Klausa ini bertujuan untuktuntutan baik pulih sekiranya perisian tersebut mengandungi programberbahaya;viii. Mengadakan program dan prosedur jaminan kualiti ke atas semuaperisian yang dibangunkan;ix. Mengedar amaran mengenai ancaman seperti serangan virus terhadapkeselamatan aset ICT JLKN;x. Kawalan pencegahan, pengesanan dan pemulihan untuk melindungidaripada malicious kod dan program kesedaran pengguna yangVERSI TARIKH MUKASURATDKICT (JLKN) 2.2 06/6/2013 45 dari 8 6

DASAR KESELAMATAN ICT JLKNbersesuaian mesti dilaksanakan; danxi. Dalam keadaan di mana mobile kod dibenarkan, konfigurasinyahendaklah memastikan bahawa ianya beroperasi berdasarkan kepadadasar keselamatan yang jelas dan penggunaan mobile kod yang tidakdibenarkan adalah dilarang sama sekali.6.5 HousekeepingObjektif:-Melindungi integriti maklumat agar boleh diakses pada bila-bila masa.6.5.1 Pendua (backup)Melindungi integriti maklumat dan perkhidmatan komunikasi agar bolehdiakses pada bila-bila masa.PentadbirSistemBagi memastikan sistem dapat dibangunkan semula setelah berlakunyabencana, salinan pendua seperti yang dibutirkan hendaklah dilakukan setiapkali konfigurasi berubah. Salinan penduaan hendaklah direkodkan dandisimpan di off site yang telah ditentukan iaitu di Depoh SimpananPertahanan (DSP) di Sungai Buloh, Selangor secara berkala.i. Membuat salinan keselamatan ke atas semua data dan konfigurasisistem perisian dan aplikasi sekurang-kurangnya sekali atau setelahmendapat versi terbaru;ii. Membuat salinan penduaan ke atas semua data dan maklumatmengikut kesesuaian operasi;iii. Menguji sistem penduaan sedia ada bagi memastikan ianya dapatberfungsi dengan sempurna, boleh dipercayai dan berkesan apabiladigunakan khususnya pada waktu kecemasan; daniv. Salinan maklumat dan perisian perlu dibuat dan diuji secara berkalaberdasarkan kepada prosedur penduaan.6.5.2 Sistem LogPerkara-perkara yang perlu dipatuhi adalah:-PentadbirVERSI TARIKH MUKASURATDKICT (JLKN) 2.2 06/6/2013 46 dari 8 6

DASAR KESELAMATAN ICT JLKNi. Mewujudkan sistem buku log bagi merekodkan semua gangguan atau Sistemmasalah pada perkhidmatan ICT yang mempunyai warranty danmaintenance dengan pihak kontraktor;ii. Menyemak sistem log secara berkala bagi mengesan ralat yangmenyebabkan gangguan kepada sistem dan mengambil tindakanmembaik pulih dengan segera;iii. Menyimpan dan menyelenggara log-log pada server dan perkakasanrangkaian; daniv. Sekiranya wujud aktiviti-aktiviti tidak sah seperti kecurian maklumat danpencerobohan, hendaklah dilaporkan kepada ICTSO.6.6 Pengurusan RangkaianObjektif:-Memastikan perlindungan keselamatan maklumat dalam rangkaian dan infrastruktursokongan terurus dan terkawal.6.6.1 Kawalan Infrastruktur RangkaianInfrastruktur rangkaian mestilah dikawal, dipantau dan diurus sebaiknya, Pentadbirdemi melindungi ancaman kepada sistem dan aplikasi di dalam rangkaian. SistemPerkara-perkara yang mesti dipatuhi termasuk yang berikut:-i. Polisi dan prosedur perlu dibangunkan dan dilaksanakan bagimelindungi maklumat yang berhubung kait dengan sistem rangkaian;ii. Ciri-ciri keselamatan, tahap perkhidmatan dan keperluan pengurusanbagi semua perkhidmatan rangkaian perlu dikenal pasti dandimasukkan dalam mana-mana perjanjian perkhidmatan berkenaandisediakan secara dalaman atau melalui khidmat luar;iii. Tanggungjawab atau kerja-kerja operasi rangkaian dan komputerhendaklah diasingkan untuk mengurangkan capaian danpengubahsuaian yang tidak dibenarkan;iv. Peralatan rangkaian hendaklah diletakkan di lokasi yang mempunyaiVERSI TARIKH MUKASURATDKICT (JLKN) 2.2 06/6/2013 47 dari 8 6

DASAR KESELAMATAN ICT JLKNciri-ciri fizikal yang kukuh dan bebas dari risiko seperti banjir, gegarandan habuk;v. Capaian kepada peralatan rangkaian hendaklah dikawal dan terhadkepada pengguna yang dibenarkan sahaja;vi. Semua peralatan mestilah melalui proses Factory Acceptance Check(FAC) semasa pemasangan dan konfigurasi;vii. Firewall hendaklah dipasang di antara rangkaian dalaman dan sistemyang melibatkan maklumat rahsia rasmi Kerajaan serta dikonfigurasioleh Pentadbir Sistem yang dibenarkan sahaja;viii. Semua trafik keluar dan masuk hendaklah melalui firewall di bawahkawalan JLKN;ix. Semua perisian sniffer atau network analyzer adalah dilarang dipasangpada komputer pengguna kecuali mendapat kebenaran ICTSO;x. Memasang perisian Intrusion Prevention Sistem (IPS) bagi mengesansebarang cubaan menceroboh dan aktiviti-aktiviti lain yang bolehmengancam sistem dan maklumat jabatan;xi. Memasang Web Content Filter pada Internet Gateway (FirewallJabatan) untuk menyekat aktiviti yang dilarang seperti yang termaktubdi dalam Pekeliling Kemajuan Pentadbiran Awam (PKPA) 1/2003 “GarisPanduan Mengenai Tatacara Penggunaan Internet dan Mel Elektronikdi Agensi-agensi Kerajaan”;xii. Penggunaan modem Internet mudah alih atau broadband adalahdilarang sama sekali atau dengan keizinan ICTSO sahaja;xiii. Pengguna tidak boleh merangkaikan komputer atau perkakasan ICTmilik persendirian pada rangkaian Jabatan;xiv. Memastikan keperluan perlindungan ICT adalah bersesuaian danmencukupi bagi menyokong perkhidmatan yang optimum; danxv. Penggunaan komunikasi tanpa wayar (wireless) LAN di JLKNhendaklah mematuhi surat MAMPU dengan rujukan UPTM (S)VERSI TARIKH MUKASURATDKICT (JLKN) 2.2 06/6/2013 48 dari 8 6

DASAR KESELAMATAN ICT JLKN159/338/8 Jilid 30 (84) bertajuk “Langkah-langkah UntukMemperkukuhkan Keselamatan Rangkaian Setempat Tanpa Wayar(Wireless Local Area Network)” di Agensi-agensi Kerajaan”.6.7 Pengurusan MediaObjektif:-Melindungi aset ICT dari kerosakan dan gangguan aktiviti perkhidmatan yang tidak dikawalseperti pendedahan, pengubahsuaian, peralihan atau pemusnahan aset secara tidak sah.6.7.1 Penghantaran dan Pemindahan MediaPenghantaran dan pemindahan media ke luar pejabat hendaklah mendapat Semuakebenaran daripada Ketua Jabatan terlebih dahulu.PenggunaJLKNMedia yang mengandungi maklumat Kerajaan perlu dilindungi daripadacapaian yang tidak dibenarkan, penyalahgunaan atau kerosakan semasapemindahan keluar dari JLKN. Prosedur perlu disediakan untuk pengurusanmedia mudah alih.6.7.2 Penghapusan MediaMedia yang mengandungi maklumat rahsia rasmi hendaklah dihapus atau Semuadimusnahkan mengikut prosedur yang betul dan selamat. Rujuk Surat PenggunaPekeliling Perbendaharaan Bilangan 7 Tahun 1995 “Garis Panduan JLKNPelupusan Peralatan Komputer”.6.7.3 Prosedur Pengendalian MaklumatProsedur ini bertujuan untuk mengendali dan menyimpan maklumat serta Semuamelindungi maklumat daripada didedah tanpa kebenaran atau salah guna. PenggunaJLKNPerkara-perkara yang perlu dipatuhi adalah seperti berikut:-i. Semua media hendaklah dilabelkan mengikut tahap sensitiviti sesuatumaklumat;ii. Menghadkan dan menentukan capaian kepada pengguna yangdibenarkan sahaja;iii. Menghadkan pengedaran data untuk tujuan rasmi dan dibenarkanVERSI TARIKH MUKASURATDKICT (JLKN) 2.2 06/6/2013 49 dari 8 6

DASAR KESELAMATAN ICT JLKNsahaja;iv. Penyelenggaraan media hendaklah dikawal dan direkodkan bagimengelak dari sebarang kerosakan dan pendedahan yang tidakdibenarkan; danv. Semua media hendaklah disimpan ditempat yang selamat.6.7.4 Pemindahan MaklumatMemastikan keselamatan pertukaran maklumat dan perisian dalam agensidan mana-mana entiti luar terjamin.Perkara-perkara yang mesti dipatuhi termasuk yang berikut:-i. Polisi, prosedur dan kawalan pertukaran maklumat yang formal perludiwujudkan untuk melindungi pertukaran maklumat melalui penggunaanpelbagai jenis kemudahan komunikasi;ii. Sebarang pertukaran maklumat di antara JLKN dan agensi kerajaanyang lain mestilah dikawal;iii. Perjanjian perlu diwujudkan untuk pertukaran maklumat dan perisian diantara agensi dengan pihak luar;iv. Media yang mengandungi maklumat perlu dilindungi daripada capaianyang tidak dibenarkan, penyalahgunaan atau kerosakan semasapemindahan keluar dari agensi; danv. Maklumat yang terdapat dalam mel elektronik perlu dilindungi sebaikbaiknya.Polisi dan prosedur perlu dibangunkan dan dilaksanakan bagimelindungi maklumat yang berhubung kait dengan sistem maklumatagensi.6.7.5 Keselamatan Sistem DokumentasiDokumentasi sistem perlu dilindungi dari capaian yang dibenarkan.Perkara-perkara yang perlu dipatuhi adalah seperti berikut:-i. Memastikan sistem penyimpanan dokumentasi mempunyai ciri-ciriSemuaPenggunaJLKNPentadbirSistem ICT,ICTSOVERSI TARIKH MUKASURATDKICT (JLKN) 2.2 06/6/2013 50 dari 8 6

DASAR KESELAMATAN ICT JLKNkeselamatan;ii. Menyediakan dan memantapkan lagi keselamatan sistem dokumentasidalam rangkaian; daniii. Mengawal dan merekodkan semua aktiviti capaian sistem dokumentasisedia ada.6.7.6 Keselamatan Komunikasi RangkaianMemastikan keselamatan pertukaran maklumat dan perisian dalam JLKN Semuadan mana-mana entiti luar terjamin.PenggunaJLKNPerkara-perkara yang perlu dipatuhi adalah seperti berikut:-i. Polisi, prosedur dan kawalan pertukaran maklumat yang formal perludiwujudkan untuk melindungi pertukaran maklumat melalui penggunaanpelbagai jenis kemudahan komunikasi; danii. Perjanjian perlu diwujudkan untuk pertukaran maklumat dan perisian diantara JLKN dan pihak luar.6.8 TelecommutingObjektif:-Memastikan keselamatan maklumat yang diakses atau dihantar semasa menggunakantelecommuting adalah terjamin.Perkara-perkara yang perlu dipatuhi adalah seperti berikut:-Pentadbiri. Kemudahan ini disediakan hanya untuk sistem-sistem yang dibenarkansahaja;ii. Kebenaran untuk menggunakan perkhidmatan hendaklah diberikansecara bertulis oleh Pengurus Sistem dengan menggunakan komputerperibadi perkhidmatan sahaja;SistemICTSOICT,iii. Sistem yang diakses dari luar hendaklah mempunyai sistemperlindungan (encryption) yang mencukupi. Menghantar kata laluantanpa perlindungan (encryption) adalah dilarang sama sekali; daniv. Individu yang dibenarkan untuk menggunakan kemudahan ini adalahVERSI TARIKH MUKASURATDKICT (JLKN) 2.2 06/6/2013 51 dari 8 6

DASAR KESELAMATAN ICT JLKNbertanggungjawab sepenuhnya ke atas peralatan dan data sepanjangmelakukan tugasnya. Sekiranya individu ini terpaksa menghantarmaklumat berdarjah atau terperingkat, ia mestilah menggunakanencryption yang dibenarkan oleh JLKN.6.9 InternetObjektif:-Capaian Internet perlu dikawal dan diurus bagi mengelakkan gangguan sistem rangkaianJLKN.Perkara-perkara yang perlu dipatuhi adalah seperti berikut:-Semuai. Semua pengguna Internet Jabatan adalah tertakluk kepada polisi dan Penggunakawalan capaian Internet Jabatan;JLKNii. Laman yang dilayari hendaklah hanya yang berkaitan dengan bidangkerja dan terhad untuk tujuan yang dibenarkan oleh Ketua Jabatan;iii. Melayari laman web yang menentang pemerintahan Kerajaan, berunsurhasutan dan mempunyai unsur-unsur lucah adalah dilarang samasekali;iv. Bahan yang diperoleh daripada Internet hendaklah ditentukan ketepatandan kesahihannya. Sebagai amalan baik, rujukan sumber Internethendaklah dinyatakan;v. Bahan rasmi hendaklah disemak dan mendapat pengesahan daripadaKetua Jabatan sebelum dimuat naik ke Internet;vi. Pengguna hanya dibenarkan memuat turun bahan yang sah sepertiperisian yang berdaftar dan di bawah hak cipta terpelihara; danvii. Sebarang bahan yang dimuat turun dari Internet hendaklah digunakanuntuk tujuan yang dibenarkan oleh JLKN.Nota:-Maklumat lanjut mengenai keselamatan Internet bolehlah merujuk kepadaPekeliling Kemajuan Pentadbiran Awam Bilangan 1 Tahun 2003 bertajuk“Garis Panduan Mengenai Tatacara Penggunaan Internet dan MelVERSI TARIKH MUKASURATDKICT (JLKN) 2.2 06/6/2013 52 dari 8 6

DASAR KESELAMATAN ICT JLKNElektronik di Agensi-agensi Kerajaan”.6.10 Mel Elektronik (E-Mel)Objektif:-Maklumat yang terdapat dalam mel elektronik Jabatan perlu dilindungi sebaik-baiknya bagimenghindari capaian atau sebaran maklumat yang tidak dibenarkan.Akaun atau alamat e-mel adalah bukan hak mutlak pengguna dan Semuapenggunaannya tertakluk kepada peraturan yang ditetapkan. Akaun atau e- Penggunamel ini adalah hak milik Jabatan.JLKNPerkara-perkara yang perlu dipatuhi adalah seperti berikut:-i. Akaun atau alamat e-mel yang diperuntukkan oleh JLKN sahaja yangboleh digunakan. Penggunaan free web-based mail untuk kegunaanrasmi dilarang sama sekali. Penggunaan akaun milik orang lain atauakaun yang dikongsi bersama adalah dilarang;ii. Segala akaun e-mel yang diberi adalah bukan hak persendirian.Pentadbir Sistem e-mel berhak mengakses atas sebab-sebab tertentu.Walau bagaimanapun, e-mel tidak akan diakses atau didedahkankecuali untuk tujuan keselamatan dan undang-undang;iii. Pengguna e-mel Jabatan wajib menggunakan katalaluan seperti yangdigariskan di dalam Pekelilling Kemajuan Pentadbiran Awam Bil. 1Tahun 2003 bertajuk "Garis Panduan Mengenai Tatacara PenggunaanInternet dan Mel Elektronik di Agensi-agensi Kerajaan";iv. Katalaluan e-mel perlu ditukar setiap 90 hari dengan katalaluan yangbaru;v. Setiap e-mel yang disediakan hendaklah mematuhi format yangditetapkan oleh JLKN;vi. Sebarang penggunaan yang boleh memudaratkan nama baik JLKNadalah dilarang sama sekali;vii. Memastikan subjek dan kandungan e-mel adalah berkaitan danVERSI TARIKH MUKASURATDKICT (JLKN) 2.2 06/6/2013 53 dari 8 6

DASAR KESELAMATAN ICT JLKNmenyentuh perkara perbincangan yang sama sebelum penghantarandilakukan;viii. Penghantaran e-mel rasmi hendaklah menggunakan akaun e-mel rasmidan pastikan alamat e-mel penerima adalah betul;ix. Pengguna dinasihatkan menggunakan fail kepilan, sekiranya perlusemasa penghantaran. Kaedah pemampatan untuk mengurangkan saizadalah disarankan;x. Pengguna hendaklah mengelak dari membuka e-mel daripadapenghantaran yang tidak diketahui atau diragui;xi. Pengguna hendaklah mengenal pasti dan mengesahkan identitipengguna yang berkomunikasi dengannya sebelum meneruskantransaksi maklumat melalui e-mel;xii. Setiap e-mel rasmi yang dihantar atau diterima hendaklah disimpanmengikut tatacara pengurusan sistem fail elektronik yang telahditetapkan; danxiii. E-mel yang tidak penting dan tidak mempunyai nilai arkib yang telahdiambil tindakan dan tidak diperlukan lagi bolehlah dihapuskan.6.11 Perkhidmatan E-DagangObjektif:-Memastikan keselamatan perkhidmatan e-Dagang dan penggunaannya.6.11.1 E-DagangPerkara-perkara yang mesti dipatuhi termasuk yang berikut:-i. Maklumat yang terlibat dalam e-Dagang perlu dilindungi daripadaaktiviti penipuan, pertikaian kontrak dan pendedahan sertapengubahsuaian yang tidak dibenarkan;ii. Maklumat yang terlibat dalam transaksi dalam talian (online) perludilindungi bagi mengelak penghantaran yang tidak lengkap, salahdestinasi, pengubahsuaian, pendedahan, duplikasi atau pengulanganmesej yang tidak dibenarkan; danSemuaVERSI TARIKH MUKASURATDKICT (JLKN) 2.2 06/6/2013 54 dari 8 6

DASAR KESELAMATAN ICT JLKNiii. Integriti maklumat yang disediakan dalam sistem untuk kegunaanawam perlu dilindungi untuk mengelakkan daripada pengubahsuaianyang tidak dibenarkan.6.11.2 Maklumat UmumPerkara-perkara yang mesti dipatuhi dalam memastikan keselamatan Semuamaklumat dalam perkhidmatan e-Dagang adalah seperti berikut:-i. Memastikan sistem aplikasi, perisian, data dan maklumat dilindungidengan mekanisme yang bersesuaian;ii. Sebelum sistem digunakan oleh orang awam, pastikan ia diuji dandisahkan memenuhi piawaian keselamatan yang ditetapkan; daniii. Memastikan maklumat yang dimuatnaik ke laman web disahkan olehpegawai yang bertanggungjawab.6.12 PemantauanObjektif:-Memastikan pengesanan aktiviti pemprosesan maklumat yang tidak dibenarkan.6.12.1 Pengauditan dan Forensik ICTICTSO bertanggungjawab merekod, menilai dan menganalisis perkaraperkaraberikut:-PentadbirICTSO dani. Sebarang cubaan pencerobohan kepada sistem ICT JLKN;Sistemii. Serangan malicious code, denial of service, spam, pemalsuan, aktivitiphishing, pencerobohan (intrusion), ancaman (threats) dan kehilanganfizikal;iii. Pengubahsuaian perkakasan, perisian atau mana-mana komponensesebuah sistem tanpa pengetahuan, arahan atau persetujuan manamanapihak;iv. Aktiviti melayari, menyimpan atau mengedar sebarang bentuk bahanlucah, propaganda dan fitnah anti Kerajaan;v. Aktiviti penyalahgunaan jalur lebar hasil pemasangan perisian muatturun yang tidak dibenarkan; danVERSI TARIKH MUKASURATDKICT (JLKN) 2.2 06/6/2013 55 dari 8 6

DASAR KESELAMATAN ICT JLKNvi. Penyalahgunaan akaun sistem aplikasi, sistem komputer dan e-mel.Langkah-langkah yang perlu diambil adalah seperti berikut:-i. ICTSO perlu menentukan prosedur pengumpulan bahan bukti (mediastoran, dokumen, laporan statistik dan sebagainya) bagi memastikankesahihan ke atas sesuatu laporan yang akan disediakan;ii. Proses forensik dan pengauditan hendaklah dilakukan di tempat yangselamat;iii. Bekerjasama dengan MinDef*CERT atau pihak perunding keselamatanyang dilantik bagi mendapatkan bantuan teknikal;iv. Menyediakan laporan forensik dan melaporkan insiden perlanggarankeselamatan ICT ke MinDef*CERT;v. Bekerjasama dengan Pentadbir Sistem bagi menghapuskan kelemahanpada sistem aplikasi yang telah dikompromi oleh pihak luar; danvi. Menjalankan Security Posture Assesment (SPA) sekurang-kurangnyasatu kali setahun.6.12.2 Jejak AuditPerkara-perkara yang perlu dipatuhi adalah seperti berikut:-i. Menyediakan log-log seperti berikut:-a. Log sistem pengoperasian;b. Log servis (web dan e-mel);c. Log aplikasi (audit trail); dand. Log rangkaian (firewall dan switch).ii. Log Audit yang merekodkan semua aktiviti perlu dihasilkan dandisimpan untuk tempoh masa yang dipersetujui bagi membantusiasatan dan memantau kawalan capaian;iii. Prosedur untuk memantau penggunaan kemudahan memprosesmaklumat perlu diwujudkan dan hasilnya perlu dipantau secara berkala;iv. Kemudahan merekodkan dan maklumat log perlu dilindungi daripadaICTSO danPentadbirSistemVERSI TARIKH MUKASURATDKICT (JLKN) 2.2 06/6/2013 56 dari 8 6

DASAR KESELAMATAN ICT JLKNdiubahsuai dan sebarang capaian yang tidak dibenarkan;v. Aktiviti pentadbiran dan operator sistem perlu direkodkan;vi. Kesalahan yang dilakukan perlu dilog (rekod), dianalisa dan diambiltindakan sewajarnya; danvii. Masa yang berkaitan dengan sistem pemprosesan maklumat dalamJLKN atau domain keselamatan perlu diselaraskan dengan satusumber tepat yang dipersetujui.VERSI TARIKH MUKASURATDKICT (JLKN) 2.2 06/6/2013 57 dari 8 6

DASAR KESELAMATAN ICT JLKNPERKARA 07 – KAWALAN CAPAIANPERKARAT/JAWAB7.1 Dasar Kawalan CapaianObjektif:-Mengawal capaian ke atas maklumat, kemudahan proses maklumat, dan proses urus niagadan keperluan keselamatan. Peraturan kawalan capaian hendaklah mengambil kira faktoridentification, authentication dan authorization.7.1.1 Keperluan Kawalan CapaianPeraturan kawalan capaian hendaklah diwujudkan, didokumenkan dan dikaji BPM dansemula berasaskan keperluan pengurusan JLKN dan keselamatan.ICTSOPerkara-perkara yang perlu dipatuhi adalah seperti berikut:-i. Kawalan capaian ke atas maklumat dan proses urus niaga mengikutkeperluan keselamatan dan peranan pengguna;ii. Kawalan capaian ke atas perkhidmatan rangkaian dalaman dan luaran;iii. Kawalan capaian ke atas information process facilities seperti capaianpengguna; daniv. Keselamatan maklumat yang dicapai menggunakan kemudahan atauperalatan mudah alih.7.2 Pengurusan Capaian PenggunaObjektif:-Memastikan bahawa sistem maklumat dicapai oleh pengguna yang sah dan menghalangcapaian yang tidak sah.7.2.1 Akaun PenggunaProsedur pendaftaran dan pembatalan kebenaran capaian pengguna perlu Wargadiwujudkan dan didokumenkan.JabatanBagi mengenal pasti pengguna dan aktiviti yang dilakukan, perkara-perkaraberikut perlu dipatuhi:-VERSI TARIKH MUKASURATDKICT (JLKN) 2.2 06/6/2013 58 dari 8 6

DASAR KESELAMATAN ICT JLKNi. Pengguna perlu mengisi borang-borang yang berkenaan bagimendapatkan akaun kepada perkhidmatan ICT seperti akaunpengguna komputer, akaun e-mel, akaun sistem dan lain-lain. Borangborangyang sudah lengkap diisi dan telah diluluskan perlu disimpansebagai rekod dan diselenggara dengan sistematik;ii. Akaun pengguna adalah unik dan pengguna bertanggungjawab ke atasakaun tersebut selepas pengesahan penerimaan dibuat;iii. Akaun pengguna yang diwujudkan dan tahap capaian termasuksebarang perubahan mestilah mendapat kebenaran Ketua Jabatansecara bertulis dan direkodkan;iv. Pemilihan akaun dan capaian pengguna adalah tertakluk kepadaperaturan Jabatan dan tindakan pembatalan/pengubahsuaianhendaklah diambil atas sebab seperti berikut:-a. Pengguna tidak hadir bertugas tanpa kebenaran melebihi satutempoh yang ditentukan oleh Ketua Jabatan;b. Pengguna bercuti atau bertugas di luar pejabat melebihi satutempoh yang ditentukan oleh Ketua Jabatan;c. Pengguna bertukar jawatan, tanggungjawab dan/atau bidang tugas;d. Pengguna bertukar atau berpindah agensi; dane. Pengguna bersara atau tamat perkhidmatan.v. Aktiviti capaian oleh pengguna direkod, diselenggara dengan sistematikdan dikaji dari semasa ke semasa. Maklumat yang direkodkantermasuk identiti pengguna, sumber yang digunakan, perubahanmaklumat, tarikh, masa, rangkaian dilalui, aplikasi diguna dan aktiviticapaian secara sah atau sebaliknya.7.2.2 Hak CapaianPenetapan dan penggunaan ke atas hak capaian perlu diberi kawalan danpenyeliaan yang ketat berdasarkan keperluan skop tugas.7.2.3 Pengurusan Kata LaluanPentadbirSistemVERSI TARIKH MUKASURATDKICT (JLKN) 2.2 06/6/2013 59 dari 8 6

DASAR KESELAMATAN ICT JLKNPemilihan, penggunaan dan pengurusan kata laluan sebagai laluan utama Wargabagi mencapai maklumat dan data dalam sistem mestilah mematuhi amalan Jabatanterbaik serta prosedur yang ditetapkan oleh JLKN seperti berikut:-i. Kata laluan hendaklah mempunyai saiz sekurang-kurangnya lapan (8)aksara dengan gabungan alphanumerik dan simbol khas;ii. Dalam apa jua keadaan dan sebab, kata laluan hendaklah dilindungidan tidak boleh dikongsi dengan sesiapa pun;iii. Pengguna hendaklah menukar kata laluan apabila disyaki berlakunyakebocoran kata laluan atau dikompromi;iv. Kata laluan hendaklah diingat dan TIDAK BOLEH dicatat, disimpanatau didedahkan dengan apa cara sekalipun;v. Kata laluan windows dan screen saver hendaklah diaktifkanterutamanya pada komputer yang terletak di ruang guna sama;vi. Kata laluan hendaklah tidak dipaparkan semasa input, dalam laporanatau media lain dan tidak boleh dikodkan di dalam program;vii. Kuatkuasakan pertukaran kata laluan semasa login kali pertama atauselepas login pertama atau selepas kata laluan diset semula;viii. Kata laluan hendaklah berlainan daripada pengenalan identitipengguna;ix. Kata laluan hendaklah ditukar selepas 90 hari atau selepas tempohmasa yang bersesuaian; danx. Mengelakkan penggunaan semula kata laluan lama yang telahdigunakan.7.3 Kawalan Capaian RangkaianObjektif:-Menghalang capaian tidak sah dan tanpa kebenaran ke atas perkhidmatan rangkaian.7.3.1 Capaian RangkaianKawalan capaian perkhidmatan rangkaian hendaklah dijamin selamatdengan:-PentadbirSistem danVERSI TARIKH MUKASURATDKICT (JLKN) 2.2 06/6/2013 60 dari 8 6

DASAR KESELAMATAN ICT JLKNi. Menempatkan atau memasang antara muka yang menepati kesesuaianpenggunaannya di antara rangkaian JLKN dan rangkaian lain-lainorganisasi; danii. Mewujudkan dan menguatkuasakan mekanisme untuk pengesahanpengguna dan peralatan yang menepati kesesuaian penggunaannya.WargaJabatanPerkara-perkara yang perlu dipatuhi adalah seperti berikut:-i. Memastikan pengguna boleh mencapai perkhidmatan yang dibenarkansahaja;ii. Mewujudkan mekanisme pengesahan yang sesuai untuk mengawalcapaian oleh pengguna jarak jauh;iii. Mengguna kaedah pengenalan automatik berdasarkan lokasi danperalatan untuk pengesahan sambungan ke dalam rangkaian;iv. Mengawal capaian fizikal dan logikal ke atas kemudahan portdiagnostik dan konfigurasi jarak jauh;v. Mengasingkan capaian mengikut kumpulan perkhidmatan, maklumatpengguna dan sistem maklumat dalam rangkaian;vi. Mengawal sambungan ke rangkaian, khususnya bagi kemudahan yangdikongsi dan menjangkau sempadan JLKN; danvii. Mewujud dan melaksana kawalan pengalihan laluan (routing control)untuk memastikan pematuhan ke atas peraturan JLKN.7.3.2 Capaian InternetPerkara-perkara yang perlu dipatuhi adalah seperti berikut:-i. Penggunaan Internet di JLKN hendaklah dipantau secara berterusanoleh Pentadbir Rangkaian bagi memastikan penggunaannya untuktujuan capaian yang dibenarkan sahaja. Kewaspadaan ini akan dapatmelindungi daripada kemasukan malicious code, virus dan bahanbahanyang tidak sepatutnya ke dalam rangkaian JLKN;ii. Kaedah Web Content Filtering mestilah digunakan bagi mengawalPentadbirSistemVERSI TARIKH MUKASURATDKICT (JLKN) 2.2 06/6/2013 61 dari 8 6

DASAR KESELAMATAN ICT JLKNakses Internet mengikut fungsi kerja dan pemantauan tahappematuhan;iii. Penggunaan teknologi (packet shaper) untuk mengawal aktiviti (videoconferencing, video streaming, chat, downloading) adalah perlu bagimenguruskan penggunaan jalur lebar (bandwidth) yang maksimum danlebih berkesan;iv. Penggunaan Internet hanyalah untuk kegunaan rasmi sahaja.Pengarah Bahagian berhak menentukan kakitangan di bawahseliaannya yang dibenarkan menggunakan Internet atau sebaliknya;v. Laman yang dilayari hendaklah hanya yang berkaitan dengan bidangkerja dan terhad untuk tujuan yang dibenarkan oleh Ketua Pengarah/pegawai yang diberi kuasa;vi. Bahan yang diperoleh dari Internet hendaklah ditentukan ketepatan dankesahihannya. Sebagai amalan terbaik, rujukan sumber Internethendaklah dinyatakan;vii. Pengguna hanya dibenarkan memuat turun bahan yang sah sepertiperisian yang berdaftar dan di bawah hak cipta terpelihara;viii. Sebarang bahan yang dimuat turun dari Internet hendaklah digunakanuntuk tujuan yang dibenarkan oleh JLKN;ix. Penggunaan modem mudah alih atau broadband untuk tujuansambungan ke Internet tidak dibenarkan sama sekali; danx. Pengguna adalah dilarang melakukan aktiviti-aktiviti seperti berikut:-a. Memuat naik, memuat turun, menyimpan dan menggunakanperisian tidak berlesen dan sebarang aplikasi seperti permainanelektronik, video, lagu yang boleh menjejaskan tahap capaianinternet; danb. Menyedia, memuat naik, memuat turun dan menyimpan material,teks ucapan atau bahan-bahan yang mengandungi unsur-unsurlucah.VERSI TARIKH MUKASURATDKICT (JLKN) 2.2 06/6/2013 62 dari 8 6

DASAR KESELAMATAN ICT JLKN7.4 Kawalan Capaian Sistem OperasiObjektif:-Memastikan bahawa capaian ke atas sistem operasi dikawal dan dihadkan kepada penggunayang dibenarkan sahaja.7.4.1 Capaian Sistem PengoperasianKaedah yang digunakan hendaklah mampu menyokong perkara-perkara Pentadbirberikut:-Sistemi. Mengesahkan pengguna yang dibenarkan selaras dengan peraturanJLKN;ii. Mewujudkan audit trail ke atas semua capaian sistem operasi terutamapengguna bertaraf khas (super user);iii. Menjana amaran (alert) sekiranya berlaku perlanggaran ke atasperaturan keselamatan sistem;iv. Menyedia kaedah sesuai untuk pengesahan capaian (authentication);danv. Menghadkan tempoh penggunaan mengikut kesesuaian.Perkara-perkara yang perlu dipatuhi adalah seperti berikut:-i. Mengawal capaian ke atas sistem operasi menggunakan prosedur logonyang selamat; danii. Prosedur log-on yang selamat perlulah:-a. Menggunakan kaedah pengenalan pengguna yang unik dan teknikpengesahan pengguna yang berkesan dan selamat;b. Melaksana sistem pengurusan kata laluan yang interaktif danmenjamin kualiti serta keselamatan kata laluan;c. Mengawal penggunaan utiliti yang berkeupayaan melepasi sistemdan aplikasi terhad;d. Menamatkan sesi yang tidak aktif selepas tempoh masa yangditetapkan; danVERSI TARIKH MUKASURATDKICT (JLKN) 2.2 06/6/2013 63 dari 8 6

DASAR KESELAMATAN ICT JLKNe. Menghadkan tempoh masa penggunaan bagi meningkatkankeselamatan aplikasi yang berisiko tinggi.7.4.2 Kad PintarPerkara-perkara yang perlu dipatuhi adalah seperti berikut:-Semuai. Penggunaan kad pintar Kerajaan Elektronik (Kad EG) hendaklahdigunakan bagi capaian sistem Kerajaan Elektronik yang dikhususkan;ii. Kad pintar hendaklah disimpan di tempat selamat bagi mengelakkansebarang kecurian atau digunakan oleh pihak lain;iii. Perkongsian kad pintar untuk sebarang capaian sistem adalah tidakdibenarkan sama sekali. Kad pintar yang salah kata laluan sebanyak tiga(3) kali cubaan akan disekat; daniv. Sebarang kehilangan, kerosakan dan kata laluan disekat perlu dilaporkankepada pihak yang menyediakan kad pintar tersebut dan dimaklumkankepada BPM.7.5 Kawalan Capaian Aplikasi dan MaklumatObjektif:-Menghalang capaian tidak sah dan tanpa kebenaran ke atas maklumat yang terdapat didalam sistem aplikasi.7.5.1 Capaian Aplikasi dan MaklumatBertujuan melindungi sistem aplikasi dan maklumat sedia ada dari sebarang Pentadbirbentuk capaian yang tidak dibenarkan yang boleh menyebabkan kerosakan. Sistem ICTBagi memastikan kawalan capaian sistem dan aplikasi adalah kukuh,perkara-perkara berikut hendaklah dipatuhi:-i. Membenarkan pengguna mencapai aplikasi dan maklumat mengikuttahap capaian yang ditentukan;ii. Setiap aktiviti capaian pengguna ke atas sistem maklumat dan aplikasihendaklah direkodkan (audit trail);VERSI TARIKH MUKASURATDKICT (JLKN) 2.2 06/6/2013 64 dari 8 6

DASAR KESELAMATAN ICT JLKNiii. Menghadkan capaian ke atas sistem maklumat dan aplikasi kepada tiga(3) kali percubaan sahaja, sekiranya gagal capaian pengguna akandisekat;iv. Menyediakan mekanisme perlindungan bagi menghalang capaian tidaksah ke atas aplikasi dan maklumat daripada utiliti yang sedia ada dalamsistem operasi dan perisian malicious yang berupaya melangkauikawalan sistem; danv. Tidak berkompromi dengan sebarang sistem yang berkongsi sumber.7.6 Peralatan Mudah Alih dan Kerja Jarak JauhObjektif:-Memastikan keselamatan maklumat semasa menggunakan peralatan mudah alih dankemudahan kerja jarak jauh.7.6.1 Peralatan Mudah AlihPerkara yang perlu dipatuhi adalah seperti berikut:-Semuai. Peralatan mudah alih yang tidak digunakan hendaklah disimpan ditempat yang selamat dan berkunci.7.6.2 Kerja Jarak JauhPerkara-perkara yang perlu dipatuhi adalah seperti berikut:-Pentadbiri. Tindakan perlindungan hendaklah diambil bagi menghalang kehilangan Sistem ICTperalatan, pendedahan maklumat dan capaian tidak sah serta salah dan Wargaguna kemudahan;Jabatanii. Mewujudkan peraturan dan garis panduan keselamatan yangbersesuaian untuk melindungi dari risiko pnggunaan peralatan mudahalih dan kemudahan komunikasi; daniii. Pengguna bertanggungjawab menentukan maklumat berdarjah dan iaperlu melalui proses encryption yang dibenarkan sebelum dihantar ataudisalurkan ke dalam sistem rangkaian yang tidak selamat (sepertiInternet, Mobil-GSM, Bluetooth, Infrared dan sebagainya).VERSI TARIKH MUKASURATDKICT (JLKN) 2.2 06/6/2013 65 dari 8 6

DASAR KESELAMATAN ICT JLKNPERKARA 08 – PEROLEHAN, PEMBANGUNAN DAN PENYELENGGARAANSISTEM MAKLUMATPERKARAT/JAWAB8.1 Keselamatan Dalam Membangunkan Sistem AplikasiObjektif:-Memastikan bahawa aspek keselamatan dikenal pasti, dipersetujui dan didokumenkan padasetiap peringkat perolehan, pembangunan dan penyenggaraan. Pernyataan keperluan bagisistem maklumat baru atau penambahbaikan ke atas sistem sedia ada hendaklahmenjelaskan mengenai kawalan jaminan keselamatan.8.1.1 Keperluan Keselamatan Sistem MaklumatPerkara-perkara berikut perlu dipatuhi:-Pengurusi. Perolehan, pembangunan, penambahbaikan dan penyelenggaraan ICT,sistem hendaklah mengambil kira kawalan keselamatan bagi Pentadbirmemastikan tidak wujudnya sebarang ralat yang boleh mengganggu Sistempemprosesan dan ketepatan maklumat;ii. Ujian keselamatan hendaklah dijalankan ke atas sistem input untukmenyemak pengesahan dan integriti data yang dimasukkan, sistempemprosesan untuk menentukan sama ada program berjalan denganbetul dan sempurna dan; sistem output untuk memastikan data yangtelah diproses adalah tepat;iii. Aplikasi perlu mengandungi semakan pengesahan (validation) untukmengelakkan sebarang kerosakan maklumat akibat kesilapanpemprosesan atau perlakuan yang disengajakan; daniv. Semua sistem yang dibangunkan sama ada secara dalaman atausebaliknya hendaklah diuji terlebih dahulu bagi memastikan sistemberkenaan memenuhi keperluan keselamatan yang telah ditetapkansebelum digunakan.8.1.2 Proses Aplikasi Dengan TepatMemastikan kawalan keselamatan yang sesuai diolah dan diterapkan ke PentadbirVERSI TARIKH MUKASURATDKICT (JLKN) 2.2 06/6/2013 66 dari 8 6

DASAR KESELAMATAN ICT JLKNdalam aplikasi bagi menghalang kesilapan, kehilangan, pindaan yang tidaksah dan penyalahgunaan maklumat dalam aplikasi.SistemPerkara-perkara yang perlu dipatuhi adalah termasuk yang berikut:-i. Menyemak dan mengesahkan data sebelum dimasukkan ke dalamaplikasi bagi menjamin kesahihan dan ketepatan;ii. Menggabungkan semakan pengesahan ke dalam aplikasi untukmengenalpasti sebarang kerosakan maklumat sama ada disebabkanoleh ralat pemprosesan atau tindakan yang disengajakan;iii. Mengenalpasti dan melaksanakan kawalan untuk mengesah danmelindungi integriti mesej dalam aplikasi; daniv. Melaksanakan proses pengesahan ke atas output data bagi menjaminkesahihan dan ketepatan pemprosesan sistem aplikasi.8.2 Kawalan KriptografiObjektif:-Melindungi kerahsiaan, integriti dan kesahihan maklumat melalui kawalan kriptografi8.2.1 EnkripsiPengguna hendaklah menggunakan kaedah enkripsi data ke atas maklumat Semuaelektronik yang sensitif dan maklumat terperingkat.8.2.2 Tandatangan DigitalSebarang transaksi maklumat secara elektronik khususnya maklumat Semuaterperingkat mestilah menggunakan tandatangan digital dan penyahgunaantandatangan digital adalah dilarang.8.2.3 Pengurusan Infrastruktur Kunci Awam (PKI)Pengurusan PKI hendaklah dilakukan dengan berkesan dan selamat supaya Semuakunci dilindungi dari diubah, dimusnahkan dan didedahkan sepanjangtempoh aktif kunci.8.3 Keselamatan Fail-fail Sistem dan Kod Sumber ProgramObjektif:-VERSI TARIKH MUKASURATDKICT (JLKN) 2.2 06/6/2013 67 dari 8 6

DASAR KESELAMATAN ICT JLKNMemastikan capaian ke atas fail-fail sistem dan kod sumber program adalah terkawal danaktiviti-aktiviti sokongan dilaksanakan dalam keadaan yang selamat. Kawalan perlu diambiluntuk mengelakkan pendedahan maklumat sensitif semasa proses pengujian dilaksanakan.Perkara-perkara yang perlu dipatuhi adalah termasuk yang berikut:- Pentadbiri. Proses pengemaskinian fail sistem hanya boleh dilakukan oleh SistemPentadbir Sistem atau pegawai yang diberi tanggungjawab danmengikut prosedur yang ditetapkan;ii. Kod program yang telah dikemaskini hanya boleh digunakan selepasianya diuji;iii. Melindungi dan mengawal kod sistem dan data-data ujian daridiubahsuai, dihapus dan dicuri; daniv. Menggunakan audit log bagi merekod semua aktiviti pengemaskinianfail sistem dan kod program.8.4 Keselamatan Dalam Proses Pembangunan Dan SokonganObjektif:-Memastikan keselamatan perisian sistem aplikasi dan maklumat dikawal supaya selamatdalam semua keadaan.8.4.1 Prosedur Kawalan PerubahanPerkara-perkara yang perlu dipatuhi adalah termasuk yang berikut:- Pentadbiri. Mengawal pelaksanaan perubahan menggunakan prosedur kawalan Sistem ICTperubahan yang formal;ii. Mengkaji semula dan menguji aplikasi kritikal semasa melaksanakanperubahan ke atas sistem yang sedang beroperasi;iii. Mengawal perubahan dan/atau pindaan ke atas pakej perisian danmemastikan sebarang perubahan adalah terhad mengikut keperluansahaja;iv. Menghalang sebarang peluang untuk membocorkan maklumat; danv. Mengawal selia dan memantau pembangunan perisian oleh pembekal,pakar perunding dan pihak-pihak lain yang terlibat.VERSI TARIKH MUKASURATDKICT (JLKN) 2.2 06/6/2013 68 dari 8 6

DASAR KESELAMATAN ICT JLKN8.4.2 Pembangunan Perisian Secara OutsourcePembangunan perisian secara outsource perlu diselia dan dipantau oleh Pentadbirpemilik sistem. Kod program perisian dan aplikasi yang dibangunkan adalah Sistemhak milik JLKN.8.5 Kawalan Teknikal Keterdedahan (Vulnerability)Objektif:-Memastikan kawalan teknikal keterdedahan dilaksanakan secara berkesan, sistematik danberkala8.5.1 Kawalan Dari Ancaman TeknikalKawalan teknikal keterdedahan perlu dilaksanakan ke atas sistem Pentadbirpengoperasian dan sistem aplikasi yang digunakan.Sistem ICTPerkara-perkara yang perlu dipatuhi adalah seperti berikut:-i. Menilai tahap keterdedahan bagi mengenal pasti risiko yang bakaldihadapi;ii. Membuat ujian penembusan (penetration test) terhadap risikoyang dikenal pasti; daniii. Mengambil langkah-langkah pencegahan bagi mengatasi risikoterhadap keterdedahan yang sah tanpa menjejaskan kefungsiansistem pengoperasian dan sistem aplikasi yang digunakan.VERSI TARIKH MUKASURATDKICT (JLKN) 2.2 06/6/2013 69 dari 8 6

DASAR KESELAMATAN ICT JLKNPERKARA 09 – PENGURUSAN PENGENDALIAN INSIDEN KESELAMATAN ICTPERKARAT/JAWAB9.1 Insiden Keselamatan ICTInsiden keselamatan ICT bermaksud musibah (adverse event) yang Wargaberlaku ke atas aset ICT atau ancaman kemungkinan berlaku kejadian Jabatantersebut. Ia mungkin suatu perbuatan yang melanggar Dasar KeselamatanICT sama ada yang ditetapkan secara tersurat atau tersirat.9.2 Prosedur Pengurusan InsidenObjektif:-Memastikan tindakan menangani insiden keselamatan ICT diambil dengan cepat, tepat danberkesan serta meminimumkan kesan insiden keselamatan ICT.Prosedur pengurusan insiden perlu diwujudkan dan didokumenkan. ICTSO danWargaPerkara-perkara yang perlu dipatuhi adalah seperti berikut:-Jabatani. Mengenalpasti semua jenis insiden keselamatan ICT seperti gangguanperkhidmatan yang disengajakan, pemalsuan identiti danpengubahsuaian perisian tanpa kebenaran;ii. Menyedia pelan kontigensi dengan merujuk PPR dan mengaktifkanperkhidmatan DRC;iii. Menyimpan audit trail dan memelihara bahan bukti; daniv. Menyediakan pelan tindakan pemulihan segera.9.3 Pelaporan InsidenObjektif:-Pengurusan pelaporan insiden keselamatan ICT yang berkesan dan cekap.Insiden keselamatan ICT hendaklah dilaporkan kepada ICTSO dengan ICTSO dankadar segera. Insiden keselamatan ICT adalah termasuk yang berikut:- Wargai. Maklumat didapati hilang, didedahkan kepada pihak-pihak yang tidak Jabatandiberi kuasa atau, disyaki hilang atau didedahkan kepada pihak-pihakyang tidak diberi kuasa;VERSI TARIKH MUKASURATDKICT (JLKN) 2.2 06/6/2013 70 dari 8 6

DASAR KESELAMATAN ICT JLKNii. Sistem maklumat disyaki digunakan tanpa kebenaran dan kecurianmaklumat/data;iii. Kata laluan atau mekanisme kawalan akses hilang, dicuri ataudidedahkan, atau disyaki hilang, dicuri atau didedahkan;iv. Kejadian sistem luar biasa seperti kehilangan fail, sistem kerap kaligagal berfungsi dan kesilapan / ralat dalam komunikasi data; danv. Berlaku percubaan menceroboh, penyelewengan dan insiden-insidenyang tidak diingini.Prosedur pelaporan insiden keselamatan ICT adalah berdasarkan kepadapekeliling berikut:-i. Pekeliling Am Bilangan 1 Tahun 2001 bertajuk “Mekanisme PelaporanInsiden Keselamatan ICT”; danii. Surat Pekeliling Am Bilangan 4 Tahun 2006 – PengurusanPengendalian Insiden Keselamatan Teknologi Maklumat danKomunikasi Sektor Awam.9.4 Pengurusan Maklumat Insiden Keselamatan ICTObjektif:-Memastikan pengurusan maklumat insiden keselamatan ICT diuruskan dengan baik danefektif.9.4.1 Prosedur Pengurusan Maklumat Insiden Keselamatan ICTMaklumat mengenai insiden keselamatan ICT yang dikendalikan perlu ICTSOdisimpan dan dianalisis bagi tujuan perancangan, tindakan pengukuhandan pembelajaran bagi mengawal kekerapan, kerosakan dan kos kejadianinsiden yang akan datang. Maklumat ini juga digunakan untuk mengenalpasti insiden yang kerap berlaku atau yang memberi kesan serta impakyang tinggi kepada JLKN.Bahan-bahan bukti berkaitan insiden keselamatan ICT hendaklah disimpanVERSI TARIKH MUKASURATDKICT (JLKN) 2.2 06/6/2013 71 dari 8 6

DASAR KESELAMATAN ICT JLKNdan disenggarakan. Kawalan-kawalan yang perlu diambil kira dalampengumpulan maklumat dan pengurusan pengendalian insiden adalahseperti berikut:-i. Menyimpan jejak audit, backup secara berkala dan melindungi integritisemua bahan bukti;ii. Menyalin bahan bukti dan merekodkan semua maklumat aktivitipenyalinan;iii. Menyediakan pelan kontingensi dan mengaktifkan pelankesinambungan perkhidmatan;iv. Menyediakan tindakan pemulihan segera; danv. Memaklumkan atau mendapatkan nasihat pihak berkuasaperundangan sekiranya perlu.VERSI TARIKH MUKASURATDKICT (JLKN) 2.2 06/6/2013 72 dari 8 6

DASAR KESELAMATAN ICT JLKNPERKARA 10 – PENGURUSAN KESINAMBUNGAN PERKHIDMATAN DANPENILAIAN RISIKO KESELAMATAN ICTPERKARAT/JAWAB10.1 Dasar Kesinambungan PerkhidmatanObjektif:-Menjamin operasi perkhidmatan Jabatan tidak tergendala dan penyampaian perkhidmatanyang berterusan kepada pelanggan.10.1.1 Pelan Kesinambungan Perkhidmatan (PKP)Pelan Kesinambungan Perkhidmatan (Business Continuity Management – CIO,BCM) hendaklah dibangunkan untuk memastikan pendekatan yang Pengurus ICTmenyeluruh dilaksanakan bagi mengatasi gangguan ke atas aktiviti dan ICTSOpenyediaan perkhidmatan JLKN dan melindungi aktiviti daripada kesanbencana serta pemulihan perkhidmatan dalam tempoh yang ditetapkan.Perkara-perkara yang perlu diberi perhatian adalah seperti berikut:-i. Keperluan keselamatan maklumat dibangunkan untuk mengurus danmenyelenggara proses formal untuk mengawal pelaksanaan perubahan;ii. Peraturan untuk menangani gangguan ke atas penyediaanperkhidmatan dengan mengenalpasti keadaan tersebut, kebarangkalianberlaku dan kesan sekiranya berlaku;iii. Merancang dan melaksanakan peraturan kecemasan bagimembolehkan pemulihan dapat dilakukan secepat mungkin atau dalamjangka masa yang telah ditetapkan;iv. Hanya satu rangka Pelan Kesinambungan Perkhidmatan (PKP) yangmenyeluruh dibangunkan, didokumentasikan, dipersetujui olehpengurusan dan diselenggarakan bagi seluruh Jabatan;v. Menguji dan mengemaskini Pelan Kesinambungan Perkhidmatan (PKP)untuk memastikan berkesan; danvi. Mengadakan program latihan dan kursus-kursus kesedaran kepadaVERSI TARIKH MUKASURATDKICT (JLKN) 2.2 06/6/2013 73 dari 8 6

DASAR KESELAMATAN ICT JLKNpengguna.Nota:- Rujuk Surat Arahan Ketua Pengarah MAMPU bertarikh 22 Januari2010 bertajuk Pengurusan Kesinambungan Perkhidmatan Agensi SektorAwam untuk maklumat lanjut.10.2 Penilaian Risiko Keselamatan ICTObjektif:-Penilaian risiko keselamatan ICT bertujuan membolehkan JLKN mengukur, menganalisistahap risiko aset ICT dan seterusnya mengambil tindakan untuk merancang dan mengawalrisiko.10.2.1 Tanggungjawab Melaksanakan Penilaian Risiko Keselamatan ICTKetua Bahagian yang memiliki sistem ICT hendaklah:-CIO,i. Bertanggungjawab memastikan penilaian risiko keselamatan ICT Pengurusdilaksanakan secara berkala dan berterusan. Keperluan melaksanakan ICT, ICTSO,penilaian risiko bergantung kepada perubahan ke atas persekitaran Pentadbiragensi;Sistemii. Mengambil tindakan susulan dan/atau langkah-langkah bersesuaianuntuk mengurangkan atau mengawal risiko keselamatan ICTberdasarkan penemuan penilaian risiko; daniii. Melaksanakan penilaian risiko mengikut peraturan atau prosedur yangditetapkan oleh Kerajaan dari semasa ke semasa.Proses analisis risiko keselamatan ICT perlu dilakukan sekurang-kurangnyasekali setahun. Laporan hendaklah dimajukan kepada JPICT, JLKN. ProsesPengurusan Risiko adalah seperti di Rajah 1.Keterangan sempadan perlu mengambil kira perkara-perkara berikutsebelum analisis risiko ke atas ICT dilakukan:-i. Aset-aset ICT (perkakasan, perisian dan maklumat);ii. Sumber Manusia (kakitangan, sub-kontraktor dan lain-lain personelVERSI TARIKH MUKASURATDKICT (JLKN) 2.2 06/6/2013 74 dari 8 6

DASAR KESELAMATAN ICT JLKNluaran);iii. Persekitaran ICT (bangunan dan kemudahan); daniv. Aktiviti-aktiviti ICT (operasi, senggaraan dan pembangunan).MengenalpastiNilai Aset danPenentuanKebergantunganDi Antara AsetPenilaianTerhadapAncamanPenilaianTerhadapKelemahanMengenalpastiPerlindunganSediaAda/YangDirancangPenilaian RisikoRajah 1 :- Proses Pengurusan RisikoSila rujuk pekeliling di bawah untuk maklumat lanjut:-i. Surat Pekeliling Am Bilangan 6 Tahun 2005 – Garis Panduan PenilaianRisiko Keselamatan Maklumat Sektor Awam.10.2.2 Skop Penilaian Risiko Keselamatan ICTPenilaian risiko keselamatan ICT hendaklah dilaksanakan ke atas sistem Pengurusmaklumat di agensi termasuk aplikasi, perisian, pelayan, rangkaian dan/atau ICT, ICTSO,proses serta prosedur yang dikendalikan oleh agensi. Penilaian risiko ini Pentadbirhendaklah juga dilaksanakan di premis yang menempatkan sumber-sumber Sistemteknologi maklumat termasuk Bilik Server, Bilik Media Storan, kemudahanutiliti dan sistem-sistem sokongan lain.10.2.3 Penentuan Tindakan Untuk Mengendalikan Risiko Keselamatan ICTSetiap agensi Kerajaan bertanggungjawab melaksanakan dan menguruskan PengurusVERSI TARIKH MUKASURATDKICT (JLKN) 2.2 06/6/2013 75 dari 8 6

DASAR KESELAMATAN ICT JLKNrisiko keselamatan ICT masing-masing. Melalui proses-proses yangdilaksanakan untuk menilai risiko aset ICT Kerajaan, agensi dapat mengenalpasti risiko-risiko yang wujud dan seterusnya mengenal pasti tindakan yangsewajarnya untuk menghadapi kemungkinan berlakunya risiko berkenaan.ICT, ICTSO,PentadbirSistemUntuk mengenal pasti tindakan yang wajar diambil bagi menghadapikemungkinan risiko terjadi termasuklah seperti berikut:-i. Mengurang risiko dengan melaksanakan kawalan yang bersesuaian;ii. Menerima dan/atau bersedia berhadapan dengan risiko yang akanterjadi selagi ia memenuhi kriteria yang telah ditetapkan olehpengurusan JLKN;iii. Mengelak dan/atau mencegah risiko dari terjadi dengan mengambiltindakan yang dapat mengelak dan/atau mencegah berlakunya risiko;daniv. Memindahkan risiko ke pihak lain seperti pembekal, pakar runding danpihak-pihak lain yang berkepentingan.VERSI TARIKH MUKASURATDKICT (JLKN) 2.2 06/6/2013 76 dari 8 6

DASAR KESELAMATAN ICT JLKNPERKARA 11 – PEMATUHANPERKARAT/JAWAB11.1 Pematuhan dan Keperluan PerundanganObjektif:-Meningkatkan tahap keselamatan ICT bagi mengelakkan dari perlanggaran kepada DasarKeselamatan ICT JLKN, undang-undang jenayah dan sivil, statutory, peraturan atau ikatankontrak dan sebarang keperluan keselamatan lain.11.1 Pematuhan DasarSetiap pengguna di JLKN hendaklah membaca, memahami dan mematuhi WargaDasar Keselamatan ICT, undang-undang atau peraturan-peraturan lain yang Jabatanberkaitan yang berkuatkuasa.Semua aset ICT JLKN termasuk maklumat yang disimpan di dalamnyaadalah hak milik Kerajaan. Ketua Pengarah/pegawai yang diberitanggungjawab adalah berhak untuk memantau aktiviti pengguna untukmengesan penggunaan selain dari tujuan yang ditetapkan.Penggunaan aset ICT JLKN selain dari maksud dan tujuan yang ditetapkanadalah merupakan satu penyalahgunaan sumber JLKN.11.2 Pematuhan kepada Dasar, Piawaian dan Teknikal KeselamatanICTSO hendaklah memastikan semua prosedur keselamatan dalam bidangtugas masing-masing mematuhi dasar, piawaian dan keperluan teknikalkeselamatan.ICTSODasar ini bertujuan memastikan keselamatan maklumat disemak secaraberkala supaya patuh dan selaras dengan dasar dan standard keselamatanJLKN.11.3 Pematuhan Kepada AuditPematuhan kepada keperluan audit perlu bagi meminimumkan ancaman SemuaVERSI TARIKH MUKASURATDKICT (JLKN) 2.2 06/6/2013 77 dari 8 6

DASAR KESELAMATAN ICT JLKNdan memaksimumkan keberkesanan dalam proses audit sistem maklumat.Keperluan audit dan sebarang aktiviti pemeriksaan ke atas sistem operasiperlu dirancang dan dipersetujui bagi mengurangkan kebarangkalian berlakugangguan dalam penyediaan perkhidmatan. Capaian ke atas peralatan auditsistem maklumat perlu dijaga dan diselia bagi mengelakkan berlakupenyalahgunaan.11.3 Keperluan PerundanganDasar ini bertujuan memastikan reka bentuk, operasi, pengguna danpengurusan sistem maklumat adalah selaras serta berkeupayaanmenghalang perlanggaran mana-mana keperluan perundangan, peraturan,perjanjian yang berkuatkuasa.a. Perkara-perkara yang perlu dipatuhi adalah seperti berikut:-i. Semua perlembagaan, undang-undang, peraturan, perjanjian yangdimeterai dan lain-lain perkara yang relevan kepada keselamatansistem maklumat dan organisasi hendaklah dikenalpasti,didokumentasikan dan dikemaskini;ii. Peraturan yang sesuai dilaksanakan untuk pematuhan ke atasperlembagaan, undang-undang dan keperluan kontrak mengenaipenggunaan bahan yang tertakluk kepada hak milik harta intelek;iii. Harta penting hendaklah dilindungi daripada hilang, rosak dandipalsukan selaras dengan keperluan undang-undang, peraturan dankeperluan perjanjian JLKN;iv. Perlindungan ke atas data dan hak milik peribadi hendaklahmematuhi perundangan, peraturan dan terma perjanjian jika perlu;v. Pengguna dilarang menggunakan kemudahan proses maklumatuntuk tujuan yang tidak dibenarkan; danvi. Penggunaan kriptografi dikawal selaras dengan perjanjian,perundangan dan peraturan yang berkuatkuasa.WargaJabatanVERSI TARIKH MUKASURATDKICT (JLKN) 2.2 06/6/2013 78 dari 8 6

DASAR KESELAMATAN ICT JLKNb. Berikut adalah keperluan perundangan atau peraturan-peraturan lainyang berkaitan perlu dipatuhi oleh semua pengguna di Jabatan:-i. Arahan Keselamatan;ii. Pekeliling Am Bilangan 3 Tahun 2000 bertajuk “Rangka DasarKeselamatan Teknologi Maklumat dan Komunikasi Kerajaan”;iii. Pekeliling Am Bilangan 1 Tahun 2001 bertajuk “MekanismePelaporan Insiden Keselamatan Teknologi Maklumat danKomunikasi (ICT);iv. Surat Pekeliling Am Bilangan 6 Tahun 2005 – Garis PanduanPenilaian Risiko Keselamatan Maklumat Sektor Awam;v. Pekeliling Kemajuan Pentadbiran Awam Bilangan 1 Tahun 2003bertajuk “Garis Panduan Mengenai Tatacara Penggunaan Internetdan Mel Elektronik di Agensi-agensi Kerajaan”;vi. Akta Tanda Tangan Digital 1997;vii. Akta Jenayah Komputer 1997;viii. Akta Hak Cipta (Pindaan) Tahun 1997;ix. Akta Komunikasi dan Multimedia 1998;x. Surat Arahan Ketua Pengarah MAMPU bertarikh 22 Januari 2010bertajuk Pengurusan Kesinambungan Perkhidmatan Agensi SektorAwam;xi. Malaysian Public Sector Management of InformationandCommunications Technology Security Handbook (MyMIS); danxii. Surat MAMPU dengan rujukan UPTM (S) 159/338/8 Jilid 30 (84)bertajuk “Langkah-langkah untuk memperkukuhkan keselamatanrangkaian setempat tanpa wayar (Wireless Local Area Network) diAgensi-agensi Kerajaan.Perlanggaran Perundangan – Mengambil tindakan tatatertib ke atas sesiapayang terlibat di dalam semua perbuatan kecuaian, kelalaian danVERSI TARIKH MUKASURATDKICT (JLKN) 2.2 06/6/2013 79 dari 8 6

DASAR KESELAMATAN ICT JLKNperlanggaran keselamatan yang membahayakan perkara-perkaraterperingkat di bawah Akta Rahsia Rasmi 1972.11.4 Perlanggaran DasarPerlanggaran Dasar Keselamatan ICT JLKN boleh dikenakan tindakantatatertib.SemuaVERSI TARIKH MUKASURATDKICT (JLKN) 2.2 06/6/2013 80 dari 8 6

DASAR KESELAMATAN ICT JLKNGLOSARIAntivirusPerisian yang mengimbas virus pada media storan sepertidisket, cakera padat, pita magnetik, optical disc, CDROM, thumbdrive, harddisk dan lain-lain untuk mengesan kemungkinanadanya virus dan seterusnya membuang virus tersebut.Aset ICT Semua peralatan ICT termasuk perkakasan, perisian,perkhidmatan, data atau maklumat dan manusia.BackupProses penduaan sesuatu maklumat, data atau dokumen.BandwidthJalur Lebar – ukuran atau jumlah data yang boleh dipindahkanmelalui kawalan komunikasi (contoh:- talian rangkaian) dalamjangka masa yang ditetapkan.CIOChief Information OfficerKetua Pegawai Maklumat yang bertanggungjawab terhadap ICTdan sistem maklumat bagi menyokong arah tuju sesebuahorganisasi.Denial of Service (DoS) Halangan dari membolehkan perkhidmatan disampaikan.DownloadingAktiviti muat turun dari rangkaian atau Internet.EncryptionEnkripsi ialah satu proses penyulitan data oleh pengirim supayatidak difahami oleh orang lain kecuali penerima yang sah.Firewall Sistem yang direka bentuk untuk menghalang capaianpengguna yang tidak berkenaan kepada atau daripadarangkaian dalaman. Terdapat dalam bentuk perkakasan atauperisian atau kombinasi kedua-duanya.HarddiskCakera keras.ICT Information and Communication Technology (TeknologiMaklumat dan Komunikasi).ICTSOICT Security OfficerPegawai yang bertanggungjawab terhadap keselamatan sistemkomputer.VERSI TARIKH MUKASURATDKICT (JLKN) 2.2 06/6/2013 81 dari 8 6

DASAR KESELAMATAN ICT JLKNInternetInternet GatewayIntrusion PreventionSystem atau IPSSistem rangkaian seluruh dunia, di mana pengguna bolehmendapatkan maklumat dari server atau komputer lain.Merupakan suatu titik yang berperanan sebagai pintu masuk kerangkaianyang lain. Menjadi pemandu arah trafik dengan betuldari satu trafik ke satu trafik yang lain di samping mengekalkantrafik-trafik dalam rangkaian-rangkaiantersebut agar sentiasaberasingan.Sistem Pencegah PencerobohanPerkakasan keselamatan komputer yang memantau rangkaiandan/atauaktiviti yang berlaku dalam sistem bagi mengesanperisian berbahaya.Boleh bertindak balas menyekat atau menghalang aktivitiserangan atau malicious code.Contohnya:- Network-based IPS yang akan memantau semuatrafikrangkaian bagi sebarang kemungkinan serangan.LANLocal Area NetworkRangkaian Kawasan Setempat yang menghubungkan komputer.Malicious codePerkakasan atau perisian yang dimasukkan ke dalam sistemtanpakebenaran bagi tujuan pencerobohan. Ia melibatkanserangan virus, trojan horse, worm, spyware dan sebagainya.MinDef*CERTPasukan Tindak Balas Insiden Keselamatan ICT KementerianPertahanan.Perisian AplikasiIa merujuk pada perisian atau pakej yang selalu digunakanseperti spreadsheet dan word processing ataupun sistemaplikasi yang dibangunkan oleh sesebuah organisasi ataujabatan.Outsource Bermaksud menggunakan perkhidmatan luar untukmelaksanakan fungsi-fungsi tertentu ICT bagi suatu tempohVERSI TARIKH MUKASURATDKICT (JLKN) 2.2 06/6/2013 82 dari 8 6

DASAR KESELAMATAN ICT JLKNPelan KesinambunganPerkhidmatan (PKP) atauBusiness ContinuityManagement (BCM)Pelan Pengurusan Risiko(PPR)Public-Key Infrastructure(PKI)Pusat PemulihanBencana atau DisasterRecovery Center (DRC)RouterScreen SaverServerSwitchberdasarkan kepada dokumen perjanjian dengan bayaran yangdipersetujui.Merupakan pelan yang dibangunkan oleh agensi Kerajaandalam memastikan perkhidmatan yang kritikal, sistem danproses-proses utama agensi dapat dipulihkan dengan pantasdalam masa yang ditetapkan sekiranya gangguan atau bencanaberlaku.Merupakan pelan menyeluruh yang dirujuk dan digunakandalam menilai sesuatu risiko dan langkah-langkah untukmengurangkan dan mengatasi risiko yang telah dijangka.Infrastruktur Kunci Awam merupakan satu kombinasi perisian,teknologi enkripsi dan perkhidmatan yang membolehkanorganisasi melindungi keselamatan berkomunikasi dan transaksimelalui Internet.Pusat Pemulihan Bencana atau Disaster Recovery Center.Penghala yang digunakan untuk menghantar data antara duarangkaian yang mempunyai kedudukan rangkaian yangberlainan. Contohnya pencapaian Internet.Imej yang akan diaktifkan pada komputer setelah ianya tidakdigunakan dalam jangka masa tertentu.Pelayan Komputer.Suis merupakan gabungan hab dan titi yang menapis bingkaisupaya mensegmenkan rangkaian. Kegunaan suis dapatmemperbaiki prestasi rangkaian Carrier Sense MultipleAccess/Collision Detection (CSMA/CD) yang merupakan satuprotokol penghantaran dengan mengurangkan perlanggaranyang berlaku.VERSI TARIKH MUKASURATDKICT (JLKN) 2.2 06/6/2013 83 dari 8 6

DASAR KESELAMATAN ICT JLKNThreatUninterruptible PowerSupply (UPS)Video ConferencingVideo StreamingVirusWANWireless LANGangguan dan ancaman melalui pelbagai cara iaitu e-mel dansurat yang bermotif personal dan atas sebab tertentu.Satu peralatan yang digunakan bagi membekalkan bekalankuasa yang berterusan dari sumber berlainan ketika ketiadaanbekalan kuasa keperalatan yang bersambung.Teknologi komunikasi interaktif yang membenarkan dua ataulebih berinteraksi melalui paparan video dan audio dua halasecara serentak.Media yang menerima dan memaparkan maklumat video danaudio kepada pengguna dalam masa yang sama ia diterima olehpenghantar.Atur cara yang bertujuan merosakkan data atau sistem aplikasi.Wide Area NetworkRangkaian komputer yang merangkumi kawasan yang luas.Jaringan komputer yang berhubung tanpa melalui kabel.VERSI TARIKH MUKASURATDKICT (JLKN) 2.2 06/6/2013 84 dari 8 6

DASAR KESELAMATAN ICT JLKNSENARAI PERUNDANGAN DAN PERATURANi. Arahan Keselamatan;ii. Pekeliling Am Bilangan 3 Tahun 2000 - Rangka Dasar Keselamatan TeknologiMaklumat dan Komunikasi Kerajaan;iii. Malaysian Public Sector Management of Information and CommunicationsTechnology Security Handbook (MyMIS) 2002;iv. Pekeliling Am Bilangan 1 Tahun 2001 - Mekanisme Pelaporan InsidenKeselamatan Teknologi Maklumat dan Komunikasi (ICT);v. Pekeliling Kemajuan Pentadbiran Awam Bilangan 1 Tahun 2003 - Garis PanduanMengenai Tatacara Penggunaan Internet dan Mel Elektronik di Agensi-AgensiKerajaan;vi. Surat Pekeliling Am Bilangan 6 Tahun 2005 - Garis Panduan Penilaian RisikoKeselamatan Maklumat Sektor Awam;vii. Surat Pekeliling Am Bilangan 4 Tahun 2006 - Pengurusan Pengendalian InsidenKeselamatan Teknologi Maklumat dan Komunikasi (ICT) Sektor Awam;viii. Surat Arahan Ketua Setiausaha Negara - Langkah-Langkah UntukMemperkukuhkan Keselamatan Rangkaian Setempat Tanpa Wayar (WirelessLocal Area Network) di Agensi-Agensi Kerajaan yang bertarikh 20 Oktober 2006;ix. Surat Arahan Ketua Pengarah MAMPU - Langkah-Langkah MengenaiPenggunaan Mel Elektronik di Agensi-Agensi Kerajaan yang bertarikh 1 Jun2007;x. Surat Arahan Ketua Pengarah MAMPU - Langkah-Langkah PemantapanPelaksanaan Sistem Mel Elektronik Di Agensi-Agensi Kerajaan yang bertarikh 23November 2007;xi. Surat Pekeliling Am Bil. 2 Tahun 2000 - Peranan Jawatankuasa-jawatankuasa diBawah Jawatankuasa IT dan Internet Kerajaan (JITIK);xii. Surat Pekeliling Perbendaharaan Bil.2/1995 (Tambahan Pertama) – TatacaraPenyediaan, Penilaian dan Penerimaan Tender;VERSI TARIKH MUKASURATDKICT (JLKN) 2.2 06/6/2013 85 dari 8 6

DASAR KESELAMATAN ICT JLKNxiii. Surat Pekeliling Perbendaharaan Bil. 3/1995 - Peraturan PerolehanPerkhidmatan Perundingan;xiv. Akta Tandatangan Digital 1997;xv. Akta Rahsia Rasmi 1972;xvi. Akta Jenayah Komputer 1997;xvii. Akta Hak Cipta (Pindaan) Tahun 1997;xviii. Akta Komunikasi dan Multimedia 1998;xix. Perintah-Perintah Am;xx. Arahan Perbendaharaan;xxi. Arahan Teknologi Maklumat 2007;xxii. Garis Panduan Keselamatan MAMPU 2004;xxiii. Surat Pekeliling Am Bilangan 3 Tahun 2009 – Garis Panduan Penilaian TahapKeselamatan Rangkaian dan Sistem ICT Sektor Awam yang bertarikh 17November 2009;danxxiv. Surat Arahan Ketua Pengarah MAMPU – Pengurusan KesinambunganPerkhidmatan Agensi Sektor Awam yang bertarikh 22 Januari 2010.VERSI TARIKH MUKASURATDKICT (JLKN) 2.2 06/6/2013 86 dari 8 6