dkict mbpj - Majlis Bandaraya Petaling Jaya Aduan Online
12.07.2015 Views
Share Embed Flag

dkict mbpj - Majlis Bandaraya Petaling Jaya Aduan Online

dkict mbpj - Majlis Bandaraya Petaling Jaya Aduan Online

dkict mbpj - Majlis Bandaraya Petaling Jaya Aduan Online

SHOW MORE
SHOW LESS
ePAPER READ
DOWNLOAD ePAPER
eps.mbpj.gov.my

Create successful ePaper yourself

Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.

START NOW

DASAR KESELAMATAN ICT MBPJKANDUNGANPENDAHULUANOBJEKTIFSKOPPRINSIP-PRINSIPPERKARA 01 : PEMBANGUNAN DAN PENYELENGGARAAN DASARDasar Keselamatan ICT010101 Perlaksanaan Dasar010102 Penyebaran Dasar010103 Penyelenggaraan Dasar010104 Pengecualian DasarPERKARA 02 : KESELAMATAN ORGANISASIInfrastruktur Keselamatan Organisasi020101 Datuk Bandar020102 Ketua Bahagian Teknologi Maklumat (CIO)020103 Pegawai Keselamatan ICT (ICTSO)020104 Pengurus Teknikal020105 Pentadbir Sistem020106 PenggunaPihak Ketiga020201 Keperluan Keselamatan Kontrak dengan Pihak KetigaPERKARA 03 : KAWALAN DAN PENGELASAN ASETAkauntabiliti Aset030101 Inventori AsetPengendalian dan Pengelasan Maklumat030201 Pengelasan Maklumat030202 Pengendalian Maklumat111244445556778999Rujukan Versi Tahun MukasuratDKICT MBPJ 1.1 2012 2

DASAR KESELAMATAN ICT MBPJPERKARA 04 : KESELAMATAN SUMBER MANUSIAKeselamatan ICT Dalam Tugas Seharian040101 Tanggungjawab Keselamatan Semasa Dalam perkhidmatan040102 Terma & Syarat Perkhidmatan040103 Perakuan Akta Rahsia RasmiMenangani Insiden Keselamatan ICT040201 Pelaporan InsidenPendidikan040301 Program Kesedaran Keselamatan ICTTindakan Tatatertib040401 Pelanggaran DasarPERKARA 05 : KESELAMATAN FIZIKALKeselamatan kawasan050101 Perimeter Keselamatan Fizikal050102 Kawalan Masuk Fizikal050103 Kawasan LaranganKeselamatan Peralatan050201 Perkakasan050202 Dokumen050203 Media Storan050204 Kabel050205 Penyelenggaraan050206 Peminjaman Perkakasan Untuk Kegunaan di Luar Pejabat050207 Peralatan Di Luar Premis050208 Pelupusan050209 Clear Desk dan Clear Screen050219 Penggunaan Thumb/PendriveKeselamatan Persekitaran050301 Kawasan Persekitaran050302 Bekalan Kuasa111111111212131314151515161616171717171819Rujukan Versi Tahun MukasuratDKICT MBPJ 1.1 2012 3

DASAR KESELAMATAN ICT MBPJPERKARA 06 : PENGURUSAN OPERASI & KOMUNIKASIPengurusan Prosedur Operasi060101 Pengendalian Prosedur060102 Kawalan Perubahan060103 Prosedur Pengurusan InsidenPerancangan dan Penerimaan Sistem060201 Perancangan Kapasiti060202 Penerimaan SistemPerisian Berbahaya060301 Perlindungan dari Perisian BerbahayaHousekeeping060401 Penduaan060402 Sistem LogPengurusan Rangkaian060501 Kawalan Infrastruktur RangkaianPengurusan Media060601 Penghantaran dan Pemindahan060602 Prosedur Pengendalian Media060603 Keselamatan Sistem DokumentasiKeselamatan Komunikasi060701 Internet060702 Mel ElektronikPERKARA 07 : KAWALAN CAPAIANDasar Kawalan Capaian070101 Keperluan DasarPengurusan Capaian Pengguna070201 Akaun Pengguna070202 Jejak Audit070301 Sistem Maklumat dan AplikasiPeralatan Komputer Mudah Alih070401 Penggunaan Peralatan Komputer Mudah Alih20202021212122222324242424252727282829Rujukan Versi Tahun MukasuratDKICT MBPJ 1.1 2012 4

DASAR KESELAMATAN ICT MBPJPERKARA 08 : PEMBANGUNAN DAN PENYELENGGARAAN SISTEMKeselamatan Dalam Membangunkan Sistem Aplikasi080101 Keperluan Keselamatan Kriptografi080201 Penyulitan080202 Pengurusan KunciFail Sistem080301 Kawalan Fail SistemPembangunan & Proses Sokongan080401 Kawalan PerubahanPERKARA 09 : PENGURUSAN KESINAMBUNANGAN PERKHIDMATANDasar Kesinambungan Perkhidmatan090101 Pelan Kesinambungan PerkhidmatanPERKARA 10 : PEMATUHANPematuhan dan Keperluan Perundangan100101 Pematuhan Dasar100102 Keperluan Perundangan3030303031323333Rujukan Versi Tahun MukasuratDKICT MBPJ 1.1 2012 5

DASAR KESELAMATAN ICT MBPJTUJUANTujuan dasar ini adalah untuk memaklumkan peraturan-peraturan yang perlu dipatuhi oleh semuawarga <strong>Majlis</strong> <strong>Bandaraya</strong> <strong>Petaling</strong> <strong>Jaya</strong> (MBPJ) untuk menjaga keselamatan dan aset teknologimaklumat dan komunikasi (ICT). Dengan adanya peraturan ini adalah diharapkan semua pengguna diMBPJ sedar tentang tanggungjawab dan peranan mereka dalam melindungi aset ICT MBPJ. Oleh itutahap keselamatan ICT dan langkah-langkah mengurangkan risiko ancaman dari dalam dan luar keatas sistem dan infrastruktur ICT MBPJ dapat dipertingkatkan.OBJEKTIFObjektif Dasar Keselamatan ICT adalah seperti berikut :a. Memastikan pengawalan dan pengurusan keselamatan ke atas perkakasan , perisian, aplikasidan operasi komputer.b. Dasar Keselamatan ICT MBPJ diwujudkan untuk menjamin kesinambungan urusan MBPJdengan meminimumkan kesan insiden keselamatan ICT.c. Mengelakkan berlakunya percanggahan data dan maklumat di MBPJ.d. Memastikan aset ICT terlindung daripada ancaman pencerobohan/penggodaman, kecurian data,serangan virus dan penafian perkhidmatan.e. Mencegah kes-kes penyalahgunaan serta kehilangan aset ICT MBPJSKOPDasar ini meliputi semua sumber atau aset ICT yang digunakan seperti :a) Perkakasan - Semua aset yang digunakan untuk menyokong pemprosesan maklumat dankemudahan storan agensi. Contoh komputer, pelayan, peralatan komunikasi dan sebagainya;b) Perisian - Program, prosedur atau peraturan yang ditulis dan dokumentasi yang berkaitan dengansistem pengoperasian komputer yang disimpan di dalam sistem ICT. Contoh perisian aplikasiatau perisian sistem seperti sistem pengoperasian, sistem pangkalan data, perisian sistemrangkaian, atau aplikasi pejabat yang menyediakan kemudahan pemprosesan maklumat kepadaagensi;c) Perkhidmatan – Perkhidmatan atau sistem yang menyokong aset lain untuk melaksanakan fungsifungsinya.Contoh :Perkhidmatan rangkaian seperti LAN, WAN dan lain-lain.Rujukan Versi Tahun MukasuratDKICT MBPJ 1.1 2012 6

DASAR KESELAMATAN ICT MBPJSistem halangan akses seperti sistem kad akses.Perkhidmatan sokongan seperti kemudahan elektrik, penghawa dingin, sistem pencegahkebakaran dan lain-lain.e) Data atau Maklumat – Koleksi fakta-fakta dalam bentuk kertas atau mesej elektronik, yangmengandungi maklumat-maklumat untuk digunakan bagi mencapai misi dan objektif agensi.Contoh : Sistem dokumentasi, prosedur operasi, rekod-rekod agensi, profil-profil pelanggan,pangkalan data dan fail-fail data, maklumat-maklumat arkib dan lain-lainf) Manusia – Individu yang mempunyai pengetahuan dan kemahiran untuk melaksanakan skopkerja harian agensi bagi mencapai misi dan objektif agensi. Individu berkenaan merupakan asetberdasarkan kepada tugas-tugas dan fungsi yang dilaksanakan.Dasar ini adalah terpakai oleh semua pengguna di MBPJ termasuk kakitangan, pembekal dan pakarrunding yang mengurus, menyelenggara, memproses, mencapai, memuat turun, menyedia, memuatnaik, berkongsi, menyimpan dan menggunakan aset ICT MBPJ.PRINSIP-PRINSIPPrinsip-prinsip yang menjadi asas kepada Dasar Keselamatan ICT MBPJ dan perlu dipatuhi adalahseperti berikut :a. Akses atas dasar perlu mengetahuiAkses terhadap penggunaan aset ICT hanya diberikan untuk tujuan spesifik dan dihadkankepada pengguna tertentu atas dasar perlu mengetahui sahaja. Ini bermakna akses hanya akandiberikan sekiranya peranan atau fungsi pengguna memerlukan maklumat tersebut.b. Hak akses minimumHak akses pengguna hanya diberi pada tahap set yang paling minimum iaitu untuk membacadan/atau melibat sahaja. Kelulusan adalah perlu untuk membolehkan pengguna mewujud,menyimpan, mengemas kini, mengubah atau membatalkan sesuatu maklumat. Hak aksesadalah dikaji dari semasa ke semasa berdasarkan kepada peranan dan tanggungjawabpengguna/bidang tugas.c. AkauntabilitiSemua pengguna adalah bertanggungjawab ke atas semua tindakannya terhadap aset ICTMBPJ.Rujukan Versi Tahun MukasuratDKICT MBPJ 1.1 2012 7

DASAR KESELAMATAN ICT MBPJd. PengasinganTugas mewujud, memadam, kemas kini, mengubah dan mengesahkan data perlu diasingkanbagi mengelakkan daripada capaian yang tidak dibenarkan serta melindungi aset ICT daripadakesilapan, kebocoran maklumat terperingkat atau di manipulasi. Pengasingan juga merangkumitindakan memisahkan antara kumpulan operasi dan rangkaian.e. PengauditanPengauditan adalah tindakan untuk mengenal pasti insiden berkaitan keselamatan ataumengenal pasti keadaan yang mengancam keselamatan. Ia membabitkan pemeliharaan semuarekod berkaitan tindakan keselamatan. Dengan itu, aset ICT seperti komputer, pelayan, router,firewall dan rangkaian hendaklah ditentukan dapat menjana dan menyimpan log tindakankeselamatan atau audit trail.f. PematuhanDasar keselamatan ICT MBPJ hendaklah dibaca, difahami dan dipatuhi bagi mengelakkansebarang bentuk pelanggaran ke atasnya yang boleh membawa ancaman kepada keselamatanICT.g. PemulihanPemulihan sistem amat perlu untuk memastikan kebolehsediaan dan kebolehcapaian. Objektifutama adalah untuk meminimumkan sebarang gangguan atau kerugian akibat daripadaketidaksediaan. Pemulihan boleh dilakukan melalui aktiviti penduaan dan mewujudkan pelanpemulihan bencana/kesinambungan perkhidmatan.h. Saling BergantunganSetiap prinsip di atas adalah saling lengkap-melengkapi dan bergantung antara satu sama lain.Dengan itu, tindakan mempelbagaikan pendekatan dalam menyusun dan mencorakkan sebanyakmungkin mekanisme keselamatan adalah perlu bagi menjamin keselamatan yang maksimum.Rujukan Versi Tahun MukasuratDKICT MBPJ 1.1 2012 8

DASAR KESELAMATAN ICT MBPJPerkara 01 : PEMBANGUNAN DAN PENYELENGGARAAN DASAR010101 Perlaksanaan DasarPelaksanaan dasar ini akan dijalankan oleh Datuk Bandar MBPJdibantu oleh Pasukan Pengurusan Keselamatan ICT yang terdiridaripada Ketua Pegawai Maklumat (CIO), Pegawai Keselamatan ICT(ICTSO), Pegawai Keselamatan MBPJ , Pengurus Teknikal danPentadbir Sistem dan semua Penolong Pegawai Teknologi Maklumat(PPTM).010102 Penyebaran DasarDasar ini perlu disebarkan kepada semua pengguna MBPJ (termasukkakitangan, pembekal, pakar runding dan lain-lain.)010103 Penyelenggaraan DasarDasar keselamatan ICT Kerajaan adalah tertakluk kepada semakan danpindaan dari semasa ke semasa selaras dengan perubahan teknologi,aplikasi, prosedur, perundangan dan kepentingan sosial. Berikut adalahprosedur yang berhubung dengan penyelenggaraan DasarKeselamatan ICT MBPJ:a) kenal pasti dan tentukan perubahan yang diperlukan;b) kemuka cadangan pindaan secara bertulis kepada ICTSO untukpembentangan dan persetujuan Mesyuarat Jawatankuasa Kecil(JKICT) MBPJ;c) perubahan yang telah dipersetujui oleh JKICT dimaklumkan kepadasemua pengguna; dand) dasar ini hendaklah dikaji semula sekurang-kurangnya oleh ICTSOsekali setahun.TanggungjawabDatuk BandarITCSOITCSO010104 Pengecualian DasarDasar keselamatan ICT MBPJ adalah terpakai kepada semuapengguna ICT MBPJ dan tiada pengecualian diberikan.SemuaRujukan Versi Tarikh MukasuratDKICT MBPJ 1.0 Jun 2009 4

DASAR KESELAMATAN ICT MBPJPerkara 02 : ORGANISASI KESELAMATANInfrastruktur Organisasi KeselamatanObjektif: Menerangkan peranan dan tanggungjawab individu yang terlibat dengan lebih jelas dan teraturdalam mencapai objektif organisasi.020101 Datuk BandarTanggungjawabDatuk Bandar MBPJ adalah merupakan Ketua Pegawai Maklumat CIO(CIO). Peranan dan tanggungjawab Datuk Bandar adalah sepertiberikut:a. Memastikan semua pengguna memahami peruntukanperuntukandi bawah Dasar Keselamatan ICT MBPJ.b. Memastikan semua pengguna mematuhi DasarKeselamatan ICT MBPJ.c. Memastikan semua keperluan organisasi (sumberkewangan, sumber kakitangan dan perlindungankeselamatan) adalah mencukupi.d. Memastikan penilainan risiko dan program keselamatanICT dilaksanakan seperti yang ditetapkan di dalam DasarKeselamatan ICT MBPJ.020102 Ketua Bahagian Teknologi Maklumat (CIO)Timbalan Pengarah (Teknologi Maklumat) MBPJ juga merupakanKetua Bahagian Teknologi Maklumat (CIO). Peranan dantanggungjawab beliau adalah seperti berikut:a. Membantu Datuk Bandar dalam melaksanakan tugas-tugasyang melibatkan keselamatan ICT.b. Menentukan keperluan keselamatan ICT.c. Membangun dan menyelaras pelaksanaan pelan latihan danprogram kesedaran mengenai keselamatan ICT.020103 Pegawai Keselamatan ICT (ICTSO)Timbalan Pengarah(Teknologi Maklumat) juga merupakan PegawaiKeselamatan ICT (ICTSO). Peranan dan tanggungjawab ICTSO yangdilantik adalah seperti berikut:a. Mengurus keseluruhan program-program keselamatan ICTMBPJ.b. Menguatkuasakan Dasar Keselamatan ICT MBPJ.c. Memberi penerangan dan pendedahan berkenaan DasarRujukan Versi Tarikh MukasuratDKICT MBPJ 1.0 Jun 2009 5

DASAR KESELAMATAN ICT MBPJKeselamatan ICT MBPJ kepada semua pengguna.d. Mewujudkan garis panduan, prosedur dan tatacara selarasdengan keperluan Dasar Keperluan ICT MBPJ.e. Menjalankan pengurusan risiko.f. Menjalankan audit, mengkaji semula, merumus tindak balaspengurusan agensi berdasarkan hasil penemuan danmenyediakan laporan mengenainyag. Memberi amaran terhadap kemungkinan berlakunya ancamanberbahaya seperti virus dan memberi khidmat nasihat sertamenyediakan langkah-langkah perlindungan yang bersesuaian.h. Melaporkan insiden keselamatan ICT kepada Pasukan Tindakbalas insiden Keselamatan ICT (GCERT) MAMPU danmemaklumkannya kepada CIO.i. Bekerjasama dengan semua pihak yang berkaitan dalammengenal pasti punca ancaman atau insiden keselamatan ICTdan memperlakukan langkah-langkah baik pulih dengan segera.j. Memperakui proses pengambilan tindakan tatatertib ke ataspengguna yang melanggar Dasar Keselamatan ICT MBPJ.k. Menyedia dan melaksanakan program-program kesedaranmengenai keselamatan ICT.Tanggungjawab020104 Pengurus TeknikalPegawai Teknologi Maklumat dan Penolong Pegawai TeknologiMaklumat (PPTM) yang dilantik oleh ICTSO adalah merupakanPengurus Komputer MBPJ. Peranan dan tanggungjawab PengurusTeknikal adalah seperti berikut:a. Membaca, memahami dan mematuhi Dasar Keselamatan ICTMBPJ.b. Mengkaji semula dan melaksanakan kawalan keselamatan ICTselaras dengan keperluan MBPJ.c. Menentukan kawalan akses semua pengguna terhadap aset ICTMBPJ.d. Melaporkan sebarang perkara atau penemuan mengenaikeselamatan ICT kepada ICTSO.e. Menyimpan rekod, bahan bukti dan laporan terkini mengenaiancaman keselamatan ICT MBPJ.Rujukan Versi Tahun MukasuratDKICT MBPJ 1.0 2009 6

DASAR KESELAMATAN ICT MBPJ020105 Pentadbir SistemPegawai Teknologi Maklumat dan Penolong Pegawai TeknologiMaklumat (PPTM) yang dilantik oleh ICTSO adalah merupakanPentadbir Sistem ICT MBPJTanggungjawabPeranan dan tanggungjawab pentadbir sistem ICT adalah sepertiberikut:a. Mengambil tindakan yang bersesuaian denagn segera apabiladimaklumkan mengenai kakitangan yang berhenti, bertukar,bercuti atau berlaku perubahan dalam bidang tugas.b. Menentukan ketepatan dan kesempurnaan sesuatu tahapcapaian berdasarkan arahan pemilik sumber maklumatsebagaimana yang telah ditetapkan di dalam DasarKeselamatan ICT MBPJ.c. Memantau aktiviti capaian harian pengguna.d. Mengenalpasti aktiviti-aktiviti tidak normal seperti pencerobohandan pengubahsuaian data tanpa kebenaran dan membatalkanatau memberhentikannya dengan serta merta.e. Menyimpan dan menganalisis rekod jejak audit.f. Menyediakan laporan mengenai aktiviti capaian kepada pemilikmaklumat berkenaan secara berkala.020106 PenggunaPeranan dan tanggungjawab pengguna adalah seperti berikut:a. Membaca, memahami dan mematuhi Dasar Keselamatan ICTMBPJ.b. Mengetahui dan memahami implikasi keselamatan ICT kesandari tindakannya.c. Lulus tapisan keselamatan.d. Melaksanakan prinsip-prinsip Dasar Keselamatan ICT danmenjaga kerahsiaan maklumat MBPJ.e. Melaksanakan langkah-langkah perlindungan seperti berikut:i. menghalang pendedahan maklumat kepada pihak yangtidak dibenarkan.ii. memeriksa maklumat dan menentukan ia tepat danlengkap dari semasa ke semasa.iii. menentukan maklumat sedia untuk digunakan.iv. menjaga kerahsiaan kata laluan.Rujukan Versi Tahun MukasuratDKICT MBPJ 1.0 2009 7

DASAR KESELAMATAN ICT MBPJv. mematuhi standard, prosedur, langkah dan garis panduankeselamatan yang ditetapkan.vi. memberi perhatian kepada maklumat terperingkat terutamasemasa pewujudan, pemprosesan, penyimpanan,penghantaran, penyampaian, pertukaran dan pemusnahan.vii. menjaga kerahsiaan langkah-langkah keselamatan ICTdari diketahui umum.f. melaporkan sebarang aktiviti yang mengancam keselamatan ICTkepada ICTSO dengan segera.g. menghadiri program-program kesedaran mengenai keselamatanICT.h. Menandatangani surat akuan pematuhan Dasar KeselamatanICT MBPJ.TanggungjawabPihak KetigaObjektif: Menjamin keselamatan semua aset ICT yang digunakan oleh pihak ketiga020201 Keperluan Keselamatan Kontrak dengan Pihak KetigaAkses kepada aset ICT MBPJ perlu berlandaskan kepada perjanjiankontrak.Perkara-perkara berikut hendaklah dimasukkan di dalam perjanjianyang dimeteraikan.a. Dasar Keselamatan ICT MBPJ.b. Tapisan keselamatanc. Perakuan Akta Rahsia Rasmi 1972.d. Hak Harta Intelek.Rujukan:Surat Pekeliling Perbendaharaan Bilangan 2 Tahun 1995 bertajuk“Tatacara Penyediaan, Penilaian dan Penerimaan Tender” dan SuratPekeliling Perbendaharaan Bilangan 3 Tahun 1995 bertajuk “PeraturanPerolehan Perkhidmatan Perundingan” yang berkaitan juga bolehdirujuk.Rujukan Versi Tahun MukasuratDKICT MBPJ 1.0 2009 8

DASAR KESELAMATAN ICT MBPJPerkara 03 : KAWALAN DAN PENGELASAN ASETAkauntabiliti AsetObjektif: Memberi dan menyokong perlindungan yang bersesuaian ke atas semua aset ICT MBPJ.030101 Inventori AsetTanggungjawabSemua aset ICT MBPJ hendaklah direkodkan. Ini termasuklahmengenai pasti aset, mengelas aset mengikut tahap sensitiviti asetberkenaan dan merekodkan maklumat seperti pemilik dan sebagainya.Setiap pengguna adalah bertanggungjawab ke atas semua aset ICT dibawah kawalannya.Pengurus TeknikalICTPengelasan dan Pengendalian MaklumatObjektif : memastikan setiap maklumat atau aset ICT diberikan tahapperlindungan yang bersesuaian.030102 Pengelasan MaklumatMaklumat hendaklah dikelaskan dan dilabelkan sewajarnya. Setiapmaklumat yang dikelaskan mestilah mempunyai peringkat keselamatansebagaimana yang telah ditetapkan di dalam dokumen ArahanKeselamatan seperti berikut:a. Rahsia Besarb. Rahsiac. Sulitd. Terhad030103 Pengendalian MaklumatAktiviti pengendalian maklumat seperti mengumpul, memproses,menyimpan, menghantar, menyampai, menukar dan memusnahhendaklah mengambil kira langkah-langkah keselamatan berikut:a. Menghalang pendedahan maklumat kepada pihak yang tidakdibenarkanb. Memeriksa maklumat dan menentukan ia tepat dan lengkap darisemasa ke semasa.c. Menentukan maklumat sedia untuk digunakan.d. Menjaga kerahsiaan kata laluan.e. Mematuhi standard, prosedur, langkah dan garis panduanPegawaiPengkelasanDokumenSemuaRujukan Versi Tahun MukasuratDKICT MBPJ 1.0 2009 9

Dasar Keselamatan ICTkeselamatan yang ditetapkan.f. Memberi perhatian kepada maklumat terperingkat penyimpanan,penghantaran, penyampaian, pertukaran dan pemusnahan.g. Menjaga kerahsiaan langkah-langkah keselamatan ICT daridiketahui umum.Rujukan Versi Tahun MukasuratDKICT MBPJ 1.0 2009 10

DASAR KESELAMATAN ICT MBPJPerkara 04 : KESELAMATAN SUMBER MANUSIAKeselamatan Sumber ManusiaObjektif: Meminimumkan risiko seperti kesilapan, kecuaian, kecurian, penipuan dan penyalahgunaan asetICT MBPJ.040101 Tanggungjawab KeselamatanTanggungjawabPeranan dan tanggungjawab pengguna terhadap keselamatan ICT Semuamestilah lengkap, jelas, di rekod, dipatuhi dan dilaksanakan sertadinyatakan di dalam fail meja atau kontrak.Keselamatan ICT merangkumi tanggungjawab pengguna dalammenyediakan dan memastikan perlindungan ke atas semua aset atausumber ICT yang digunakan di dalam melaksanakan tugas harian.040102 Terma dan Syarat PerkhidmatanSemua warga MBPJ yang dilantik hendaklah mematuhi terma dan Semuasyarat perkhidmatan yang ditawarkan dan peraturan semasa yangberkuat kuasa.040103 Perakuan Akta Rahsia RasmiWarga MBPJ yang menguruskan maklumat terperingkat hendaklah Semuamematuhi semua peruntukan Akta Rahsia Rasmi 1972.Menangani Insiden Keselamatan ICTObjektif : Meminimumkan kesan insiden keselamatan ICT.040201 Pelaporan InsidenInsiden keselamatan ICT seperti berikut hendaklah dilaporkan kepada SemuaICTSO dengan kadar segera iaitu:a. Maklumat didapati hilang, didedahkan kepada pihak-pihak yangtidak diberi kuasa atau, disyaki hilang atau didedahkan kepadapihak-pihak yang tidak diberi kuasa.b. Sistem maklumat digunakan tanpa kebenaran atau disyakisedemikian.c. Kata laluan atau mekanisme kawalan akses hilang, dicuri ataudidedahkan, atau disyaki hilang, dicuri atau didedahkan.d. Berlaku kejadian sistem yang luar biasa seperti kehilangan fail,sistem kerap kali gagal dan komunikasi tersalah hantar.e. Berlaku percubaan menceroboh, penyelewengan dan insideninsidenyang tidak diingini.Rujukan Versi Tahun MukasuratDKICT MBPJ 1.0 2009 11

DASAR KESELAMATAN ICT MBPJTanggungjawabRujukan:Pekeliling Am Bilangan 1 Tahun 2001 bertajuk “MekanismePelaporan Insiden Keselamatan ICT”PendidikanObjektif: Meningkatkan pengetahuan dan kesedaran mengenai kepentingan keselamatan ICT.040301 Program Kesedaran Keselamatan ICTSetiap pengguna di MBPJ perlu diberikan program kesedaran, latihan ICTSOatau kursus mengenai keselamatan ICT yang mencukupi secaraberterusan dalam melaksanakan tugas-tugas dan tanggungjawabmereka.Program menangani insiden juga dilihat penting sebagai langkahproaktif yang boleh mengurangkan ancaman keselamatan ICT MBPJ.Tindakan TatatertibObjektif : Meningkat kesedaran dan pematuhan ke atas Dasar Keselamatan ICT MBPJ.040401 Pelanggaran DasarPelanggaran Dasar Keselamatan ICT MBPJ akan dikenakan tindakan SemuatatatertibRujukan Versi Tahun MukasuratDKICT MBPJ 1.0 2009 12

DASAR KESELAMATAN ICT MBPJPerkara 05 : KESELAMATAN FIZIKALKeselamatan KawasanObjektif : Mencegah akses fizikal yang tidak dibenarkan, kerosakan dan gangguan kepada premis danmaklumat.050101 Perimeter Keselamatan FizikalTanggungjawabKeselamatan fizikal adalah bertujuan untuk menghalang, mengesan CIO dan Pegawaidan mencegah cubaan untuk menceroboh. Langkah-langkah Keselamatankeselamatan fizikal tidak terhad kepada langkah-langkah berikut:a. Kawasan keselamatan fizikal hendaklah dikenal pasti denganjelas. Lokasi dan keteguhan keselamatan fizikal hendaklahbergantung kepada keperluan untuk melindungi aset dan hasilpenilaian risiko.b. Memperkukuhkan tingkap dan pintu serta dikunci untukmengawal kemasukan.c. Memperkukuhkan dinding dan siling.d. Memasang alat penggera atau kamera CCTVe. Menghadkan jalan keluar masuk.f. Mengadakan kaunter kawalan.g. Menyediakan tempat atau bilik khas untuk pelawat-pelawat.h. Mewujudkan perkhidmatan kawalan keselamatan.050102 Kawalan Masuk Fizikala. Setiap pengguna MBPJ hendaklah memakai atau mengenakan Semuapas keselamatan sepanjang waktu bertugas.b. Setiap pelawat boleh mendapat Pas Keselamatan Pelawat dipintu masuk ke kawasan atau tempat berurusan dan hendaklahdikembalikan semula selepas tamat lawatan.c. Semua pas keselamatan hendaklah diserahkan balik kepadajabatan apabila pengguna berhenti atau bersara.d. Kehilangan pas mestilah dilaporkan dengan segera.e. Hanya pengguna yang diberi kebenaran sahaja boleh mencapaiatau menggunakan aset ICT MBPJ.Rujukan Versi Tahun MukasuratDKICT MBPJ 1.0 2009 13

DASAR KESELAMATAN ICT MBPJ050103 Kawasan Larangana. Kawasan larangan ditakrifkan sebagai kawasan yang dihadkankemasukan pegawai-pegawai yang tertentu sahaja. Inidilaksanakan untuk melindungi aset ICT yang terdapat di dalamkawasan tersebut. Kawasan larangan di MBPJ adalah bilik DatukBandar, Timbalan Datuk Bandar, Timbalan Setiausaha<strong>Bandaraya</strong>, bilik fail, bilik handheld dan bilik server ICT. Akseskepada bilik-bilik tersebut hanyalah kepada pegawai-pegawaiyang diberi kuasa sahaja. Secara umumnya peralatan ICThendaklah dijaga dan dikawal dengan baik, supaya bolehdigunakan bila perlu.Tanggungjawabb. Pihak ketiga adalah dilarang sama sekali untuk memasukkawasan larangan kecuali, bagi kes-kes tertentu seperti memberiperkhidmatan sokongan atau bantuan teknikal, serta merekahendaklah diiringi sepanjang masa sehingga tugas di kawasanberkenaan selesai.c. Semua penggunaan peralatan yang melibatkan penghantaran,kemas kini dan penghapusan maklumat rahsia rasmi hendaklahdikawal dan mendapat kebenaran daripada Ketua Jabatan.Rujukan Versi Tahun MukasuratDKICT MBPJ 1.0 2009 14

DASAR KESELAMATAN ICT MBPJKeselamatan PeralatanObjektif : Melindung peralatan dan maklumat.050201 PerkakasanSecara umumnya peralatan ICT hendaklah dijaga dan dikawal denganbaik supaya boleh digunakan bila perlu :a. Setiap pengguna hendaklah menyemak dan memastikan semuaperkakasan ICT di bawah kawalannya berfungsi dengansempurna.b. Semua perkakasan hendaklah disimpan atau diletakkan di tempatyang teratur, bersih dan mempunyai ciri-ciri keselamatan.c. Setiap pengguna adalah bertanggungjawab di atas kerosakanatau kehilangan perkakasan ICT di bawah kawalannya.d. Sebarang bentuk penyelewengan atau salah guna perkakasanhendaklah dilaporkan kepada Pengurus Teknikal.050202 DokumenBagi memastikan integriti maklumat, langkah-langkah pengurusandokumentasi yang baik dan selamat seperti berikut hendaklah dipatuhi :a. Memastikan sistem dokumentasi atau penyimpanan maklumatadalah selamat dan terjamin.b. Menggunakan tanda atau label keselamatan seperti RahsiaBesar, Rahsia, Sulit, Terhad dan Terbuka kepada dokumen.c. Menggunakan penyulitan (encryption) ke atas dokumen rahsiarasmi yang disediakan dan dihantar secara elektronik.d. Memastikan dokumen yang mengandungi bahan atau maklumatsensitif diambil segera dari pencetak.050203 Media StoranKeselamatan media storan perlu diberi perhatian khusus kerana ianyaberupaya menyimpan maklumat yang besar. Langkah-langhkahpencegahan seperti berikut hendaklah diambil untuk memastikankerahsiaan, integriti dan kebolehsediaan maklumat yang di simpan dalammedia storan adalah terjamin dan selamat :a. Penyediaan ruang penyimpanan yang baik dan mempunyai ciricirikeselamatan bersesuaian dengan kandungan maklumat.b. Akses untuk memasuki kawasan penyimpanan mediaTanggungjawabSemuaSemuaSemuaRujukan Versi Tahun MukasuratDKICT MBPJ 1.0 2009 15

DASAR KESELAMATAN ICT MBPJhendaklah terhad kepada mereka atau pengguna yangdibenarkan sahaja.c. Penghapusan maklumat atau kandungan media mestilahmendapat kelulusan pemilik maklumat terlebih dahulu.d. Pergerakan media storan hendaklah direkodkan.050204 KabelKabel komputer hendaklah dilindungi kerana boleh menjadi puncamaklumat menjadi terdedah. Langkah-langkah keselamatan yang perludiambil adalah seperti berikut :a. Menggunakan kabel yang mengikut spesifikasi yang telahditetapkan.b. Melindungi kabel daripada kerosakan yang disengajakan atautidak disengajakan.c. Melindungi laluan pemasangan kabel sepenuhnya.050205 PenyelenggaraanPerkakasan hendaklah diselenggarakan dengan betul bagi memastikankebolehsediaan dan integriti.a. Semua perkakasan yang diselenggarakan hendaklah mematuhispesifikasi pengeluar yang telah ditetapkan.b. Perkakasan hanya boleh diselenggarakan oleh kakitangan ataupihak yang dibenarkan sahaja.c. Semua perkakasan hendaklah disemak dan diuji sebelum danselepas proses penyelenggaraan dilakukan.d. Semua penyelenggaraan mestilah mendapat kebenaran daripadaICTSO.050206 Peminjaman Perkakasan Untuk Kegunaan Di Luar PejabatPerkakasan yang dipinjam untuk kegunaan di luar pejabat adalahterdedah kepada pelbagai risiko. Langkah-langkah berikut boleh diambiluntuk menjamin keselamatan perkakasan:a. Peralatan, maklumat atau perisian yang dibawa keluar pejabatmestilah mendapat kelulusan pegawai atasan dan tertaklukkepada tujuan yang dibenarkan.b. Aktiviti peminjaman dan pemulangan peralatan mestilahdirekodkan dan mengikut polisi yang ditetapkan oleh BTMTanggungjawabICTSOPengurusTeknikalICTSOPengurusTeknikalSemuadandanRujukan Versi Tahun MukasuratDKICT MBPJ 1.0 2009 16

DASAR KESELAMATAN ICT MBPJRujukan:Polisi penggunaan sistem dan perkakasan komputer untuk <strong>Majlis</strong><strong>Bandaraya</strong> <strong>Petaling</strong> <strong>Jaya</strong>050207 Peralatan di luar PremisBagi perkakasan yang dibawa keluar dari premis MBPJ, langkah-langkahkeselamatan hendaklah diadakan dengan mengambilkira risiko yangwujud di luar kawasan MBPJ:a. Peralatan perlu dilindungi dan dikawal sepanjang masa.b. Penyimpanan atau penempatan peralatan mestilah mengambilkira ciri-ciri keselamatan yang bersesuaian.050208 PelupusanAset ICT yang hendak dilupuskan perlu melalui proses pelupusansemasa. Pelupusan aset ICT perlu dilakukan secara terkawal danlengkap supaya maklumat tidak terlepas dari kawalan MBPJ:050209 Clear Desk dan Clear ScreenSemua maklumat dalam apa jua bentuk media hendaklah di simpandengan teratur dan selamat bagi mengelakkan kerosakkan, kecurianatau kehilangan. Clear Desk bermaksud tidak meninggalkan bahanbahanyang sensitive terdedah sama ada atas meja warga atau dipaparan skrin apabila warga tidak berada di tempatnya:a. Gunakan kemudahan password screen saver atau log keluarapabila meninggalkan komputer.b. Bahan-bahan sensitif hendaklah disimpan dalam laci atau kabinetfail yang berkunci.050210 Penggunaan Thumb/Pen drivePenggunaan thumb/pen drive adalah keperluan kepada pengguna untukmenyimpan data/maklumat secara sementara/kekal. Terdapat beberapaperkara yang perlu diberi perhatian mengenai penggunaan thumb/pendrive:a. Pemohon perlu mendapat kebenaran daripada Ketua Jabatanterlebih dahulu.b. Spesifikasi kerja perlu dinyatakan supaya penggunaan thumb/pendrive tidak disalahgunakan.c. Pemohon dan Ketua Jabatan bertanggungjawab sepenuhnyaTanggungjawabSemuaSemua danJawatankuasaPelupusanSemuaSemuaRujukan Versi Tahun MukasuratDKICT MBPJ 1.0 2009 17

DASAR KESELAMATAN ICT MBPJTanggungjawabberkenaan penggunaan thumb/pen drive tersebut.d. Semua maklumat yang ada didalam thumb/pen drive berikutyang berkaitan dengan segala maklumat Jabatan jika hilangadalah tanggungjawab sepenuhnya oleh pemohon.e. Penggantian bagi kehilangan thumb/pen drive akibat kecuaianTIDAK akan dilayan.Keselamatan PersekitaranObjektif : Melindungi aset ICT MBPJ dari sebarang bentuk ancaman persekitaran yang disebabkan olehbencana alam, kesilapan, kecuaian atau kemalangan0500301 Kawalan PersekitaranBagi menghindarkan kerosakan dan gangguan terhadap premis dan Semuaaset ICT, semua cadangan berkaitan premis sama ada untukmemperoleh, menyewa, ubahsuai, pembelian hendaklah dirujukterlebih dahulu kepada Timbalan Pengarah (Teknologi Maklumat).Bagi menjamin keselamatan persekitaran, langkah-langkah berikuthendaklah diambil:a. Merancang dan menyediakan pelan keseluruhan susun aturpusat data (bilik percetakan, peralatan komputer dan ruang aturpejabat dan sebagainya) dengan teliti.b. Semua ruang pejabat khususnya kawasan yang mempunyaikemudahan ICT hendaklah dilengkapi dengan perlindungankeselamatan yang mencukupi dan dibenarkan seperti alatpencegah kebakaran dan pintu kecemasan.c. Peralatan perlindungan hendaklah dipasang di tempat yangbersesuaian, mudah dikenali dan dikendalikan.d. Bahan mudah terbakar hendaklah disimpan di luar kawasankemudahan penyimpanan aset ICT.e. Semua bahan cecair hendaklah diletakkan di tempat yangbersesuaian dan berjauhan dari aset ICT.f. Pengguna adalah dilarang merokok atau menggunakanperalatan memasak seperti cerek elektrik berhampiranperalatan komputer.g. Semua peralatan perlindungan hendaklah disemak dan diujisekurang-kurangnya dua (2) kali dalam setahun. Aktiviti dankeputusan ujian ini perlu direkodkan bagi memudahkan rujukandan tindakan sekiranya perlu.Rujukan Versi Tahun MukasuratDKICT MBPJ 1.0 2009 18

DASAR KESELAMATAN ICT MBPJ050302 Bekalan Kuasaa. Semua peralatan ICT hendaklah dilindungi dari kegagalan bekalanelektrik dan bekalan yang sesuai hendaklah disalurkan kepadaperalatan ICT.b. Peralatan sokongan seperti UPS (Uninterruptable Power System)dan penjana (generator) boleh digunakan bagi perkhidmatan kritikalseperti di bilik server supaya mendapat bekalan kuasa berterusan.c. Semua peralatan sokongan bekalan kuasa hendaklah disemak dandiuji secara berjadual.TanggungjawabPengurusTeknikal danJabatanKejuruteraanMBPJRujukan Versi Tahun MukasuratDKICT MBPJ 1.0 2009 19

DASAR KESELAMATAN ICT MBPJPerkara 06 : PENGURUSAN OPERASI DAN KOMUNIKASIPengurusan Prosedur OperasiObjektif : Memastikan perkhidmatan dan pemprosesan maklumat dapat berfungsi dengan betul danselamat060101 Pengendalian ProsedurTanggungjawaba. Semua prosedur keselamatan ICT yang diwujud, dikenal pasti ICTSOdan masih diguna pakai hendaklah didokumenkan, disimpan dandikawal.b. Setiap prosedur mestilah mengandungi arahan-arahan yangjelas, teratur dan lengkap seperti keperluan kapasiti,pengendalian dan pemprosesan maklumat, pengendalian danpenghantaran ralat, pengendalian output, bantuan teknikal danpemulihan sekiranya pemprosesan tergendala atau terhenti.c. Semua prosedur hendaklah dikemas kini dari semasa ke semasaatau mengikut keperluan.060102 Kawalan Perubahana. Pengubahsuaian yang melibatkan perkakasan, sistem untuk Semuapemprosesan maklumat, perisian dan prosedur mestilahmendapat kebenaran daripada Timbalan Pengarah (TeknologiMaklumat).b. Aktiviti-aktiviti seperti memasang, menyelenggara, menghapusdan mengemas kini mana-mana komponen sistem ICT hendaklahdikendalikan oleh pihak atau pegawai yang diberi kuasa danmempunyai pengetahuan atau terlibat secara langsung denganaset ICT berkenaan.c. Semua aktiviti pengubahsuaian komponen sistem ICT hendaklahmematuhi spesifikasi perubahan yang telah ditetapkan.d. Semua aktiviti perubahan atau pengubahsuaian hendaklahdirekod dan dikawal bagi mengelakkan berlakunya ralat samaada secara sengaja ataupun tidak.060103 Prosedur Pengurusan InsidenBagi memastikan tindakan menangani insiden keselamatan ICT diambildengan cepat, teratur dan berkesan; prosedur pengurusan insidenmestilah mengambil kira kawalan-kawalan berikut:ICTSO/PengurusTeknikalRujukan Versi Tahun MukasuratDKICT MBPJ 1.0 2009 20

DASAR KESELAMATAN ICT MBPJa. Mengenal pasti semua jenis insiden keselamatan ICT sepertigangguan perkhidmatan yang disengajakan, pemalsuan identiti danpengubahsuaian perisian tanpa kebenaran.b. Menyedia pelan kontigensi dan mengaktifkan pelan kesinambunganperkhidmatan.c. Menyimpan jejak audit dan memelihara bahan bukti.d. Menyediakan tindakan pemulihan segeraTanggungjawab060201 Perancangan Kapasitia. Kapasiti sesuatu komponen atau sistem ICT hendaklah dirancang,diurus dan dikawal dengan teliti oleh pegawai yang berkenaan bagimemastikan keperluannya adalah mencukupi dan bersesuaian untukpembangunan dan kegunaan sistem ICT pada masa akan datang.b. Keperluan kapasiti ini juga perlu mengambil kira ciri-ciri keselamatanICT bagi meminimumkan risiko seperti gangguan pada perkhidmatandan kerugian akibat pengubahsuaian yang tidak dirancang.060202 Penerimaan SistemSemua sistem baru (termasuklah sistem yang dikemaskini ataudiubahsuai) hendaklah memenuhi kriteria yang ditetapkan sebelumditerima atau dipersetujuiICTSO /PentadbirSistemICTSO /PentadbirSistemPerisian BerbahayaObjektif : Melindungi integriti perisian dan maklumat dari pendedahan atau kerosakan yang disebabkanoleh perisian berbahaya seperti virus dan trojan060301 Perlindungan dari Perisian Berbahayaa. Memasang sistem keselamatan untuk mengesan perisian atauprogram berbahaya seperti anti virus dan Intrusion Detection System(IDS) dan mengikut prosedur penggunaan yang betul dan selamat.b. Mengimbas semua perisian atau sistem dengan anti virus sebelummenggunakannya.c. Mengemas kini pattern anti virus setiap minggu.d. Menyemak kandungan sistem atau maklumat secara berkala bagimengesan aktiviti yang tidak diingini seperti kehilangan dankerosakan maklumat.ICTSO /PengurusTeknikalRujukan Versi Tahun MukasuratDKICT MBPJ 1.0 2009 21

DASAR KESELAMATAN ICT MBPJTanggungjawabe. Menghadiri program kesedaran mengenai ancaman perisianberbahaya dan cara mengendalikannyaf. Memasukkan klausa tanggungan di dalam mana-mana kontrak yangtelah ditawarkan kepada pembekal perisian. Klausa ini bertujuanuntuk tuntutan baik pulih sekiranya perisian tersebut mengandungiprogram berbahaya.g. Mengadakan program dan prosedur jaminan kualiti ke atas semuaperisian yang dibangunkanh. Memberi amaran mengenai ancaman keselamatan ICT sepertiserangan virusHousekeepingObjektif : Melindungi integriti maklumat dan perkhidmatan komunikasi agar boleh diakses pada bila-bilamasa060401 PenduaanBagi memastikan sistem dapat dibangunkan semula setelah berlakunyabencana, salinan penduaan seperti yang dibutirkan hendaklah dilakukansetiap kali konfigurasi berubah. Salinan penduaan hendaklah direkodkandan disimpan di off site.a. Membuat salinan keselamatan ke atas semua sistem perisian danaplikasi sekurang-kurangnya sekali atau setelah mendapat versiterbaru.b. Membuat salinan penduaan ke atas semua data dan maklumatmengikut keperluan operasi.c. Menguji sistem penduaan sedia ada bagi memastikan ianya dapatberfungsi dengan sempurna, boleh dipercayai dan berkesan apabiladigunakan khususnya pada waktu kecemasan060402 Sistem Loga. Mewujudkan sistem log bagi merekodkan semua aktiviti harianpengguna.b. Mewujudkan satu sistem log secara berpusat dan perlu dibuatpenduac. Menyemak sistem log secara berkala bagi mengesan ralat yangmenyebabkan gangguan kepada sistem dan mengambil tindakanmembaik pulih dengan segera.d. Sekiranya wujud aktiviti-aktiviti tidak sah lain seperti kecurianmaklumat dan pencerobohan, hendaklah dilaporkan kepada ICTSOPentadbirSistemPentadbirSistem danPengurusTeknikalRujukan Versi Tahun MukasuratDKICT MBPJ 1.0 2009 22

DASAR KESELAMATAN ICT MBPJPengurusan RangkaianObjektif : Melindungi maklumat dalam rangkaian dan infrastruktursokongan060501 Kawalan Infrastruktur RangkaianInfrastruktur Rangkaian mestilah dikawal dan diuruskan sebaik mungkindemi melindungi ancaman kepada sistem dan aplikasi di dalamrangkaian. Berikut adalah langkah-langkah yang perlu dipertimbangkan:a. Tanggungjawab atau kerja-kerja operasi rangkaian dan komputerhendaklah diasingkan untuk mengurangkan capaian danpengubahsuaian yang tidak dibenarkan.b. Peralatan rangkaian hendaklah diletakkan di lokasi yangmempunyai ciri-ciri fizikal yang kukuh dan bebas dari risiko sepertibanjir, gegaran dan habuk.c. Capaian kepada peralatan rangkaian hendaklah dikawal danterhad kepada pengguna yang dibenarkan sahaja.d. Semua peralatan mestilah melalui proses Factory AcceptanceCheck (FAC) semasa pemasangan dan konfigurasi.e. Firewall hendaklah dipasang di antara rangkaian dalaman dansistem yang melibatkan maklumat rahsia rasmi Kerajaan sertadikonfigurasi oleh pentadbir sistem.f. Semua trafik keluar dan masuk hendaklah melalui firewall dibawah kawalan MBPJ.g. Semua perisian sniffer atau network analyzer adalah dilarangdipasang pada komputer pengguna kecuali mendapat kebenaranICTSO.h. Memasang perisian Intrusion Detection System (IDS) atauIntrusion Preventive System (IPS) bagi mengesan/menghalangsebarang cubaan menceroboh dan aktiviti-aktiviti lain yang bolehmengancam sistem dan maklumat MBPJ.i. Sebarang penyambungan rangkaian yang bukan dibawahkawalan MBPJ hendaklah mendapat kebenaran ICTSO.j. Semua pengguna hanya dibenarkan menggunakan rangkaianMBPJ sahaja.k. Penggunaan modem atau teknologi lain seperti 3G Broadbandperlu mendapatkan kebenaran ICTSOl. Memastikan keperluan perlindungan ICT adalah bersesuaia danmencukupi bagi menyokong perkhidmatan yang lebih optimumTanggungjawabICTSO /PengurusTeknikalRujukan Versi Tahun MukasuratDKICT MBPJ 1.0 2009 23

DASAR KESELAMATAN ICT MBPJTanggungjawabPengurusan MediaObjektif : Melindungi aset ICT dari kerosakan dan gangguan aktiviti perkhidmatan yang tidak dikawal.Media bermaksud sebarang bahan termasuk pita, CD, DVD, filem, sidket, thumb drive, laptop, hard disk,surat, dokumen dan manual060601 Penghantaran dan PemindahanPenghantaran atau pemindahan media ke luar pejabat hendaklah Semuamendapat kebenaran daripada Ketua Jabatan terlebih dahulu060602 Prosedur Pengendalian Mediaa. Melabelkan semua media mengikut tahap sensitivity sesuatu Semuamaklumat.b. Menghadkan dan menentukan capaian media kepada penggunayang sah sahaja.c. Menghadkan pengedaran data atau media untuk tujuan yangdibenarkan.d. Mengawal dan merekodkan aktiviti penyelenggaraan media bagimengelak dari sebarang kerosakan dan pendedahan yang tidakdibenarkan.e. Menyimpan semua media di tempat yang selamat.f. Media yang mengandungi maklumat rahsia rasmi hendaklahdihapus atau dimusnahkan mengikut prosedur yang betul danselamat060603 Keselamatan Sistem Dokumentasia. Memastikan sistem penyampaian dokumentasi mempunyai ciricirikeselamatanb. Menyediakan dan memantapkan keselamatan sistemdokumentasic. Mengawal dan merekodkan semua aktiviti capaian sistemdokumentasi sedia adaSemuaKeselamatan KomunikasiObjektif : Melindungi aset ICT melalui sistem komunikasi yang selamat060701 Interneta. Laman yang dilayari hendaklah hanya yang berkaitan denganbidang kerja dan terhad untuk tujuan yang dibenarkan oleh KetuaJabatan.SemuaRujukan Versi Tahun MukasuratDKICT MBPJ 1.0 2009 24

DASAR KESELAMATAN ICT MBPJb. Bahan yang diperoleh dari Internet hendaklah ditentukanketepatan dan kesahihannya. Sebagai amalan baik, rujukansumber Internet hendaklah dinyatakan.c. Bahan rasmi hendaklah disemak dan mendapat pengesahandaripada Ketua Jabatan sebelum dimuat naik ke Internet.d. Pengguna hanya dibenarkan memuat turun bahan yang sahseperti perisian yang berdaftar dan di bawah hak terpelihara.e. Sebarang bahan yang dimuat turun dari Internet hendaklahdigunakan untuk tujuan yang dibenarkan oleh MBPJ.f. Hanya pegawai yang mendapat kebenaran sahaja bolehmenggunakan kemudahan perbincangan awam sepertinewsgroup dan bulletin board. Walau bagaimanapun, kandunganperbincangan awam ini hendaklah mendapat kelulusan daripadaKetua Jabatan terlebih dahulu tertakluk kepada dasar danperaturan yang telah ditetapkanTanggungjawabRujukanPekeliling Kemajuan Pentadbiran Awam Bilangan 1 Tahun 2003 bertajuk“Garis Panduan Mengenai Tatcara Penggunaan Internet dan MelElektronik di Agensi Kerajaan”060702 Mel Elektronika. Akaun atau alamat mel elektronik (e-mel) yang diperuntukkanoleh MBPJ sahaja boleh digunakan. Penggunaan akaun milikorang lain atau akaun yang dikongsi bersama adalah dilarang.b. Setiap e-mel yang disediakan hendaklah mematuhi format yangtelah ditetapkan oleh MBPJ.c. Memastikan subjek dan kandungan e-mel adalah berkaitan danmenyentuh perkara perbincangan yang sama sebelumpenghantaran dilakukan.d. Penghantaran e-mel rasmi hendaklah menggunakan akaun e-melrasmi dan pastikan alamat e-mel penerima adalah betul.e. Pengguna dinasihatkan menggunakan fail kepilan, sekiranyaperlu, tidak melebihi dua (2) megabait semasa penghantaran.Kaedah pemampatan untuk mengurangkan saiz adalahdisarankan.f. Pengguna hendaklah mengelak dari membuka e-mel daripadaRujukan Versi Tahun MukasuratDKICT MBPJ 1.0 2009 25

DASAR KESELAMATAN ICT MBPJpenghantar yang tidak diketahui atau diragui.g. Pengguna hendaklah mengenal pasti dan mengesahkan identitipengguna yang berkomunikasi dengannya sebelum meneruskantransaksi maklumat melalui e-mel.h. Setiap e-mel rasmi yang dihantar atau diterima hendaklahdisimpan mengikut tatacara pengurusan sistem fail elektronikyang telah ditetapkan.i. E-mel yang tidak penting dan tidak mempunyai nilai arkib yangtelah diambil tindakan dan tidak diperlukan lagi bolehlahdihapuskan.j. Pengguna hendaklah menentukan tarikh dan masa sistemkomputer adalah tepatRujukanPekeliling Kemajuan Pentadbiran Awam Bilangan 1 Tahun 2003 bertajuk“Garis Panduan Mengenai Tatcara Penggunaan Internet dan MelElektronik di Agensi Kerajaan”Rujukan Versi Tahun MukasuratDKICT MBPJ 1.0 2009 26

DASAR KESELAMATAN ICT MBPJPerkara 07 : KAWALAN CAPAIANDasar Kawalan CapaianObjektif : Memahami dan mematuhi keperluan keselamatan dalam mencapai dan menggunakan asetICT MBPJTanggungjawab070101 Keperluan DasarCapaian kepada proses dan maklumat hendaklah dikawal mengikutkeperluan keselamatan dan fungsi kerja pengguna yang berbeza. Iaperlu direkodkan, dikemaskini dan menyokong dasar kawalan capaianpengguna sedia adaPengurusan Capaian PenggunaObjektif : Mengawal capaian pengguna ke atas aset ICT MBPJ070102 Akaun PenggunaPengguna adalah bertanggungjawab ke atas sistem ICT yangdigunakan. Bagi mengenal pasti pengguna dan aktiviti yang dilakukan,langkah-langkah berikut hendaklah dipatuhi :a. Permohonan penggunaan sistem mestilah diisi melalui borangseperti yang dikuatkuasakan oleh BTMb. Akaun yang diperuntukkan oleh jabatan sahaja boleh digunakan.c. Akaun pengguna mestilah unikd. Akaun pengguna yang diwujud pertama kali akan diberi tahapcapaian paling minimum iaitu untuk melihat dan membacasahaja. Sebarang perubahan tahap capaian hendaklahmendapat kelulusan daripada pemilik sistem ICT terlebih dahulu.e. Pemilikan akaun pengguna bukanlah hak mutlak seseorang dania tertakluk kepada peraturan jabatan. Akaun boleh ditarik balikjika penggunaannya melanggar peraturan.f. Penggunaan akaun milik orang lain atau akaun yang dikongsibersama adalah dilarang.g. Pentadbir sistem ICT boleh membeku dan menamatkan akaunpengguna atas sebab-sebab berikut :i. Pengguna bercuti panjang atau menghadiri kursusdi luar pejabat dalam tempoh waktu melebihi dua(2) minggu.ii. Bertukar bidang tugas kerja.ICTSO /PentadbirSistemRujukan Versi Tahun MukasuratDKICT MBPJ 1.0 2009 27

DASAR KESELAMATAN ICT MBPJTanggungjawabiii. Bertukar ke agensi lain.iv. Bersara.v. Ditamatkan perkhidmatan070201 Jejak AuditJejak audit akan merekodkan semua aktiviti sistem. Jejak audit jugaadalah penting dan digunakan untuk tujuan penyiasatan sekiranyaPentadbirSistemberlaku kerosakan atau penyalahgunaan sistem. Aktiviti jejak auditmengandungi :a. Maklumat identiti pengguna, sumber yang digunakan, perubahanmaklumat, tarikh dan masa aktiviti, rangkaian dan program yangdigunakan.b. Aktiviti capaian pengguna ke atas sistem ICT sama ada secarasah atau sebaliknya.c. Maklumat aktiviti sistem yang tidak normal atau aktiviti yang tidakmempunyai ciri-ciri keselamatan. Pentadbir sistem ICThendaklah menyemak catatan jejak audit dari semasa kesemasa dan menyediakan laporan jika perlu. Ini akan dapatmembantu mengesan aktiviti yang tidak normal dengan lebihawal. Jejak audit juga perlu dilindungi dari kerosakan,kehilangan, penghapusan , pemalsuan dan pengubah suaianyang tidak dibenarkan.Kawalan Capaian Sistem dan AplikasiObjektif : Melindungi sistem maklumat dan aplikasi sedia ada sebarang bentuk capaian yang tidakdibenarkan yang boleh menyebabkan kerosakan070301 Sistem Maklumat dan AplikasiCapaian sistem dan aplikasi di MBPJ adalah terhad kepada penggunadan tujuan yang dibenarkan. Bagi memastikan kawalan capaian sistemdan aplikasi adalah kukuh, langkah-langkah berikut hendaklah dipatuhi :ICTSO /PentadbirSistema. Pengguna hanya boleh menggunakan sistem maklumat danaplikasi yang dibenarkan mengikut tahap capaian dan sensitivitimaklumat yang telah ditentukan.b. Setiap aktiviti capaian sistem maklumat dan aplikasi penggunahendaklah direkodkan (log) bagi mengesan aktiviti-aktiviti yangtidak diingini.c. Memaparkan notis amaran pada skrin komputer penggunasebelum memulakan capaian bagi melindungi maklumat darisebarang bentuk penyalahgunaan.Rujukan Versi Tahun MukasuratDKICT MBPJ 1.0 2009 28

DASAR KESELAMATAN ICT MBPJTanggungjawabd. Memastikan kawalan sistem rangkaian adalah kukuh danlengkap dengan ciri-ciri keselamatan bagi mengelakkan aktivitiatau capaian yang tidak sahe. Capaian sistem maklumat dan aplikasi melalui jarak jauh adalahdigalakkan. Walau bagaimanapun, penggunaannya terhadkepada perkhidmatan yang dibenarkan sahaja.Peralatan Komputer Mudah AlihObjektif : Memastikan keselamatan maklumat apabila menggunakan kemudahan atau peralatankomputer mudah alih070401 Penggunaan Peralatan Komputer Mudah Aliha. Merekodkan aktiviti keluar masuk penggunaan peralatankomputer mudah alih bagi mengesan kehilangan atau punkerosakanb. Komputer mudah alih hendaklah disimpan dan dikunci di tempatyang selamat apabila tidak digunakanc. Komputer mudah alih yang dibawa keluar daripada premis<strong>Majlis</strong> untuk urusan pejabat perlu mendapatkan kelulusan KetuaJabatan terlebih dahulu.d. Kehilangan peralatan tersebut adalah tanggungjawab individukerana insurans hanya meliputi kawasan pejabat dan urusanrasmi seperti bengkel, seminar dan aktiviti lain.Rujukan“Polisi penggunaan sistem dan perolehan perkakasan dan perisianuntuk <strong>Majlis</strong> <strong>Bandaraya</strong> <strong>Petaling</strong> <strong>Jaya</strong>”Rujukan Versi Tahun MukasuratDKICT MBPJ 1.0 2009 29

DASAR KESELAMATAN ICT MBPJPerkara 08 : PEMBANGUNAN DAN PENYELENGGARAAN SISTEMKeselamatan Dalam Membangunkan Sistem dan AplikasiObjektif : Memastikan sistem yang dibangunkan mempunyai ciri-ciri keselamatan ICT yang bersesuaian.080101 Keperluan KeselamatanTanggungjawaba. Pembangunan sistem hendaklah mengambil kira kawalankeselamatan bagi memastikan tidak wujudnya sebarang ralat yangboleh mengganggu pemprosesan dan ketepatan maklumat.b. Ujian keselamatan hendaklah dijalankan ke atas sistem inputuntuk menyemak pengesahan dan integriti data yang dimasukkan,sistem pemprosesan untuk menentukan sama ada programberjalan dengan betul dan sempurna dan sistem output untukmemastikan data yang telah diproses adalah tepat.c. Sebaik-baiknya, semua sistem yang dibangunkan sama adasecara dalaman atau sebaliknya hendaklah diuji terlebih dahulubagi memastikan sistem berkenaan memenuhi keperluankeselamatan yang telah ditetapkan sebelum digunakan.KriptografiObjektif : Melindungi kerahsiaan, integriti dan kesahihan maklumat.080201 PenyulitanPengguna hendaklah membuat penyulitan ke atas maklumat sensitiveatau maklumat rahsia pada setiap masa.080202 Pengurusan KunciPengurusan kunci hendaklah dilakukan dengan berkesan dan selamatbagi melindungi kunci berkenaan dari diubah, dimusnah dan didedahkansepanjang tempoh sah kunci tersebut.Rujukan Versi Tahun MukasuratDKICT MBPJ 1.0 2009 30PentadbirSistemSemuaSemuaFail SistemObjektif : memastikan supaya fail sistem dikawal dan dikendalikan dengan baik dan selamat.080301 Kawalan Fail Sistema. Proses pengemas kini fail sistem hanya boleh dilakukan olehpentadbir sistem ICT atau pegawai yang berkenaan dan mengikutprosedur yang telah ditetapkan.b. Kod atau aturcara sistem yang telah dikemas kini hanya bolehdilaksanakan atau digunakan selepas diuji.c. Mengawal capaian ke atas kod atau atur cara program bagiPentadbirSistem

DASAR KESELAMATAN ICT MBPJTanggungjawabmengelakkan kerosakan, pengubahsuaian tanpa kebenaran,penghapusan dan kecurian.d. Mengaktifkan audit log bagi merekodkan semua aktiviti pengemaskinian untuk tujuan statistik, pemulihan dan keselamatan.Pembangunan dan Proses SokonganObjektif : Menjaga dan menjamin keselamatan sistem maklumat dan aplikasi080301 Kawalan perubahanPerubahan atau pengubahsuaian ke atas sistem maklumat dan aplikasi Pentadbirhendaklah dikawal, diuji, direkodkan dan disahkan sebelum diguna pakai. SistemRujukan Versi Tahun MukasuratDKICT MBPJ 1.0 2009 31

DASAR KESELAMATAN ICT MBPJPerkara 09 : PENGURUSAN KESINAMBUNGAN PERKHIDMATANDasar Kesinambungan PerkhidmatanObjektif : Menjamin operasi perkhidmatan agar tidak tergendala dan penyampaian perkhidmatan yangberterusan kepada pelanggan.Tanggungjawab090101 Pelan Kesinambungan PerkhidmatanPelan kesinambungan perkhidmatan hendaklah dibangunkan untukmenentukan pendekatan yang menyeluruh diambil bagi mengekalkankesinambungan perkhidmatan. Ini bertujuan memastikan tiadagangguan kepada proses-proses dalam penyediaan perkhidmatanorganisasi. Pelan ini mestilah diluluskan oleh Jawatan Kuasa Kecil ICT(JKKICT) dan perkara-perkara berikut perlu diberi perhatian :a. Mengenal pasti semua tanggungjawab dan prosedur kecemasanatau pemulihan.b. Melaksanakan prosedur-prosedur kecemasan bagi membolehkanpemulihan dapat dilakukan secepat mungkin atau dalam jangkamasa yang telah ditetapkan.c. Mendokumentasikan proses dan prosedur yang telah dipersetujui.d. Mengadakan program latihan kepada pengguna mengenaiprosedur kecemasan.e. Membuat penduaan.f. Menguji dan mengemas kini pelan sekurang-kurangnya setahunsekali.ICTSO/PengurusTeknikal /PentadbirSistemRujukan Versi Tahun MukasuratDKICT MBPJ 1.0 2009 32

DASAR KESELAMATAN ICT MBPJPerkara 10 : PEMATUHANPematuhan dan Keperluan PerundanganObjektif : Meningkatkan tahap keselamatan ICT bagi mengelak dari pelanggaran kepada DasarKeselamatan ICT MBPJ.100101 Pematuhan DasarTanggungjawabSetiap pengguna di MBPJ hendaklah membaca, memahami danmematuhi Dasar Keselamatan ICT MBPJ dan undang-undang atauperaturan-peraturan lain yang berkaitan yang berkuat kuasa.Semua aset ICT di MBPJ termasuk maklumat yang disimpan di dalamnyaadalah hak milik Kerajaan dan Ketua Jabatan berhak untuk memantauaktiviti pengguna untuk mengesan penggunaan selain dari tujuan yangtelah ditetapkan.100102 Keperluan PerundanganBerikut adalah keperluan perundangan atau peraturan-peraturan lainberkaitan yang perlu dipatuhi oleh semua pengguna di MBPJ:a. Arahan Keselamatan;b. Pekeliling Am Bilangan 3 Tahun 2000 bertajuk “Rangka DasarKeselamatan Teknologi Maklumat dan Komunikasi Kerajaan”;c. Malaysian Public Sector Management of Information andCommunications Technology Security Handbook (MyMIS);d. Pekeliling Am Bilangan 1 Tahun 2001 bertajuk “MekanismePelaporan Insiden Keselamatan Teknologi Maklumat danKomunikasi (ICT);e. Pekeliling Kemajuan Pentadbiran Awam Bilangan 1 Tahun 2003bertajuk “Garis Panduan Mengenai Tatacara Penggunaan Internetdan Mel Elektronik di Agensi-agensi Kerajaan”;f. Surat Pekeliling Am Bilangan 6 Tahun 2005 – Garis PanduanPenilaian Risiko Keselamatan Maklumat Sektor Awam;g. Akta Tanda Tangan Digital 1997;h. Akta Jenayah Komputer 1997;i. Akta Hak cipta (Pindaan) Tahun 1997; danj. Akta Komunikasi dan Multimedia 1998.k. Pekeliling-pekeliling dan Prosedur-prosedur yang dikeluarkan darimasa ke semasa.l. Polisi penggunaan sistem dan perolahan perkakasan dan perisianuntuk <strong>Majlis</strong> <strong>Bandaraya</strong> <strong>Petaling</strong> <strong>Jaya</strong>Rujukan Versi Tahun MukasuratDKICT MBPJ 1.0 2009 33

SURAT AKUAN PEMATUHAN DASAR KESELAMATAN ICT MAJLIS BANDARAYAPETALING JAYATuan /Puan,Dengan hormatnya saya menarik perhatian tuan/puan terhadap perkara di atas.2.Untuk makluman tuan/puan, Pengurusan MBPJ telah memutuskan supaya SuratAkuan Pematuhan Dasar Keselamatan ICT perlu ditandatangani oleh semuakakitangan <strong>Majlis</strong> dengan merujuk Pekeliling Perkhidmatan Dasar Keselamatan ICTPejabat Setiausaha Kerajaan Negeri Selangor versi 1.0 (Pekeliling SetiausahaKerajaan Negeri Selangor Bilangan 4 Tahun 2010) . Sehubungan itu, sukacitasekiranya tuan/puan dapat memberikan kerjasama untuk menandatangani surat akuanpematuhan ini dan kembalikan semula ke Bahagian Sumber Manusia. Surat AkuanPematuhan DKCIT hendaklah diedar kepada semua kakitangan tetap dan kontrak diMBPJ.3.Tuan/puan diminta membaca, memahami dan akur akan peruntukan yangterkandung di dalam Dasar Keselamatan ICT <strong>Majlis</strong> <strong>Bandaraya</strong> <strong>Petaling</strong> <strong>Jaya</strong>.Sebarang pertanyaan lanjut boleh diajukan kepada :1. En. Samsul Bahari NonchiNo. Telefon : 03-79563544 samb. 232Emel : samsul@<strong>mbpj</strong>.gov.my2. En Ahmad Firdaus Abllah ZariNo. Telefon : 03-79563544 samb. 239Emel : firdaus@<strong>mbpj</strong>.gov.my3. En Khairul Nizam b Ab JabarNo. Telefon : 03-79563544 samb. 238Emel : khairulnizam@<strong>mbpj</strong>.gov.mySekian, terima kasih.Bahagian Sumber ManusiaJabatan Khidmat Pengurusan,<strong>Majlis</strong> <strong>Bandaraya</strong> <strong>Petaling</strong> <strong>Jaya</strong>Rujukan Versi Tahun MukasuratDKICT MBPJ 1.0 2009 34

SURAT AKUAN PEMATUHAN DASAR KESELAMATAN ICT MAJLIS BANDARAYAPETALING JAYATuan /Puan,Dengan hormatnya saya menarik perhatian tuan/puan terhadap perkara di atas.2.Untuk makluman tuan/puan, Pengurusan MBPJ telah memutuskan supaya SuratAkuan Pematuhan Dasar Keselamatan ICT perlu ditandatangani oleh semua pembekalBahagian Teknologi Maklumat dengan merujuk Pekeliling Perkhidmatan DasarKeselamatan ICT Pejabat Setiausaha Kerajaan Negeri Selangor versi 1.0 (PekelilingSetiausaha Kerajaan Negeri Selangor Bilangan 4 Tahun 2010) . Sehubungan itu,sukacita sekiranya tuan/puan dapat memberikan kerjasama untuk menandatanganisurat akuan pematuhan ini dan kembalikan semula ke Bahagian Teknologi Maklumat.Surat Akuan Pematuhan DKCIT hendaklah diedar kepada semua pasukan kerja yangterlibat dengan projek di MBPJ.3.Tuan/puan diminta membaca, memahami dan akur akan peruntukan yangterkandung di dalam Dasar Keselamatan ICT <strong>Majlis</strong> <strong>Bandaraya</strong> <strong>Petaling</strong> <strong>Jaya</strong>.Sebarang pertanyaan lanjut boleh diajukan kepada :1. En. Samsul Bahari NonchiNo. Telefon : 03-79563544 samb. 232Emel : samsul@<strong>mbpj</strong>.gov.my2. En Ahmad Firdaus Abllah ZariNo. Telefon : 03-79563544 samb. 239Emel : firdaus@<strong>mbpj</strong>.gov.my3. En Khairul Nizam b Ab JabarNo. Telefon : 03-79563544 samb. 238Emel : khairulnizam@<strong>mbpj</strong>.gov.mySekian, terima kasih.Bahagian Teknologi MaklumatJabatan Khidmat Pengurusan,<strong>Majlis</strong> <strong>Bandaraya</strong> <strong>Petaling</strong> <strong>Jaya</strong>Rujukan Versi Tahun MukasuratDKICT MBPJ 1.0 2009 35

Lampiran 1SURAT AKUAN PEMATUHAN KAKITANGANDASAR KESELAMATAN ICT MAJLIS BANDARAYA PETALING JAYANama (Huruf Besar)No. Kad PengenalanJawatanBahagian: _______________________________________________________: _______________________________________________________: _______________________________________________________: _______________________________________________________Adalah dengan sesungguhnya dan sebenarnya mengaku bahawa :-1. Saya telah membaca, memahami dan akur akan peruntukan-peruntukan yang terkandung di dalamDasar Keselamatan ICT <strong>Majlis</strong> <strong>Bandaraya</strong> <strong>Petaling</strong> <strong>Jaya</strong>2. Jika saya ingkar kepada peruntukan-peruntukan yang telah ditetapkan, maka tindakan sewajarnyaboleh diambil ke atas diri saya.Tandatangan : …………………………………………………….Tarikh : …………………………………………………..Pengesahan Ketua Bahagian, Bahagian Teknologi Maklumat…………………………………………………………………(Samsul Bahari Bin Nonchi)b.p. Datuk Bandar <strong>Majlis</strong> <strong>Bandaraya</strong> <strong>Petaling</strong> <strong>Jaya</strong>Tarikh : ……………………………………………………Rujukan Versi Tahun MukasuratDKICT MBPJ 1.0 2009 36

SURAT AKUAN PEMATUHAN KONTRAKTORDASAR KESELAMATAN ICT MAJLIS BANDARAYA PETALING JAYANama (Huruf Besar)No. Kad PengenalanJawatanBahagian: _______________________________________________________: _______________________________________________________: _______________________________________________________: _______________________________________________________Adalah dengan sesungguhnya dan sebenarnya mengaku bahawa :-1. Saya telah membaca, memahami dan akur akan peruntukan-peruntukan yang terkandung di dalamDasar Keselamatan ICT <strong>Majlis</strong> <strong>Bandaraya</strong> <strong>Petaling</strong> <strong>Jaya</strong>2. Jika saya ingkar kepada peruntukan-peruntukan yang telah ditetapkan, maka tindakan sewajarnyaboleh diambil ke atas diri saya.Tandatangan : …………………………………………………….Tarikh : …………………………………………………..Pengesahan Ketua Bahagian, Bahagian Teknologi Maklumat…………………………………………………………………(Samsul Bahari Bin Nonchi)b.p. Datuk Bandar <strong>Majlis</strong> <strong>Bandaraya</strong> <strong>Petaling</strong> <strong>Jaya</strong>Tarikh : ……………………………………………………Rujukan Versi Tahun MukasuratDKICT MBPJ 1.0 2009 37

logo

products

Resources

Company

Terms of service
Privacy policy
Cookie policy
Cookie settings
Imprint
Change language
Made with love in Switzerland
© 2024 Yumpu.com all rights reserved

Hooray! Your file is uploaded and ready to be published.

Saved successfully!

Ooh no, something went wrong!