Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
<strong>Pindaan</strong> <strong>November</strong> <strong>2018</strong>
SEJARAH DOKUMEN<br />
Keluaran/<br />
<strong>Pindaan</strong><br />
Kuasa Melulus Tarikh Kuatkuasa Catatan<br />
01/2010 JPICT <strong>MATRADE</strong> Bil. 4/2010 4 <strong>November</strong> 2010<br />
01/2017 JPICT <strong>MATRADE</strong> Bil. 2/2017 25 Mei 2017 <strong>Pindaan</strong> seperti<br />
Lampiran 4<br />
01/<strong>2018</strong> JPICT <strong>MATRADE</strong> Bil. 4/<strong>2018</strong> 15 <strong>November</strong> <strong>2018</strong> <strong>Pindaan</strong> seperti<br />
Lampiran 4
DASAR KESELAMATAN ICT <strong>MATRADE</strong><br />
KANDUNGAN<br />
PENGENALAN ................................................................................................................ 1<br />
OBJEKTIF ............................................................................................................. 1<br />
SKOP .............................................................................................................. 1<br />
PRINSIP-PRINSIP ............................................................................................................. 2<br />
PERKARA 01 PEMBANGUNAN DAN PENYELENGGARAAN DASAR ......................... 4<br />
010101 Pelaksanaan Dasar ............................................................................... 4<br />
010102 Penyebaran Dasar ................................................................................ 4<br />
010103 Penyelenggaraan Dasar ...................................................................... 4<br />
010104 Pengecualian Dasar ............................................................................. 4<br />
PERKARA 02 ORGANISASI KESELAMATAN ............................................................... 5<br />
0201 Infrastruktur Organisasi Keselamatan ................................................. 5<br />
020101 Ketua Eksekutif ....................................................................................... 5<br />
020102 Ketua Pegawai Maklumat (CIO)......................................................... 5<br />
020103 Pengarah ICT .......................................................................................... 6<br />
020104 Pegawai Keselamatan ICT (ICTSO)..................................................... 6<br />
020105 Pentadbir Sistem ICT .............................................................................. 7<br />
020106 Pengguna ............................................................................................... 8<br />
0202 Pihak Ketiga ........................................................................................... 9<br />
020201 Keperluan Keselamatan Kontrak dengan Pihak Ketiga.................9<br />
PERKARA 03 KAWALAN DAN PENGELASAN ASET ................................................... 10<br />
0301 Akauntabiliti Aset ................................................................................. 10<br />
030101 Inventori Aset ........................................................................................ 10<br />
0302 Pengelasan dan Pengendalian Maklumat................................... 10<br />
030201 Pengelasan Maklumat..................................................................... 10<br />
030202 Pengendalian Maklumat................................................................. 10<br />
PERKARA 04 KESELAMATAN SUMBER MANUSIA ...................................................... 12<br />
0401 Keselamatan ICT Dalam Tugas Harian ............................................. 12<br />
040101 Tanggungjawab Keselamatan.......................................................... 12<br />
040102 Terma dan Syarat Perkhidmatan ...................................................... 12<br />
040103 Perakuan Akta Rahsia Rasmi ............................................................. 12<br />
0402 Menangani Insiden Keselamatan ICT .............................................. 12<br />
040201 Pelaporan Insiden ................................................................................ 12<br />
0403 Pendidikan ............................................................................................ 13<br />
040301 Program Kesedaran Keselamatan ICT ............................................. 13<br />
PERKARA 05 KESELAMATAN FIZIKAL ......................................................................... 14<br />
0501 Keselamatan Kawasan ....................................................................... 14<br />
050101 Perimeter Keselamatan Fizikal ........................................................... 14<br />
050102 Kawalan Masuk Fizikal ......................................................................... 14<br />
050103 Kawasan Larangan ............................................................................. 15<br />
ii
iii<br />
DASAR KESELAMATAN ICT <strong>MATRADE</strong><br />
050104 Kawasan Larangan Lokasi ICT......................................................... 15<br />
0502 Keselamatan Peralatan ...................................................................... 16<br />
050201 Perkakasan ........................................................................................... 16<br />
050202 Sistem Dokumentasi dan Dokumen .................................................. 17<br />
050203 Media Storan ........................................................................................ 18<br />
050204 Public Cloud Storage....................................................................... 19<br />
050205 Kabel ...................................................................................................... 19<br />
050206 Penyelenggaraan ............................................................................... 20<br />
050207 Peminjaman Perkakasan Untuk Kegunaan Di Luar Pejabat ........ 20<br />
050208 Peralatan di Luar Premis ..................................................................... 20<br />
050209 Pelupusan ............................................................................................. 20<br />
050210 Clear Desk dan Clear Screen ............................................................ 21<br />
0503 Keselamatan Persekitaran ................................................................. 21<br />
050301 Kawalan Persekitaran ......................................................................... 22<br />
050302 Bekalan Kuasa ...................................................................................... 22<br />
050303 Prosedur Kecemasan .......................................................................... 23<br />
PERKARA 06 PENGURUSAN OPERASI DAN KOMUNIKASI ....................................... 24<br />
0601 Pengurusan Prosedur Operasi ........................................................... 24<br />
060101 Pengendalian Prosedur ...................................................................... 24<br />
060102 Kawalan Perubahan ........................................................................... 24<br />
060103 Prosedur Pengurusan Insiden Keselamatan ICT .............................. 24<br />
0602 Perancangan dan Penerimaan Sistem ........................................... 25<br />
060201 Perancangan Kapasiti ........................................................................ 25<br />
060202 Penerimaan Sistem .............................................................................. 26<br />
0603 Perisian Berbahaya .............................................................................. 26<br />
060301 Perlindungan dari Perisian Berbahaya ............................................. 26<br />
0604 Pengurusan Backup dan Log ............................................................ 27<br />
060401 Backup .................................................................................................. 27<br />
060402 Sistem Log ............................................................................................. 27<br />
0605 Pengurusan Rangkaian ...................................................................... 27<br />
060501 Kawalan Infrastruktur Rangkaian ...................................................... 28<br />
060502 Wireless .................................................................................................. 28<br />
0606 Keselamatan Komunikasi ................................................................... 29<br />
060601 Internet .................................................................................................. 29<br />
060602 Mel Elektronik ........................................................................................ 30<br />
060603 Media Sosial...................................................................................... 32<br />
PERKARA 07 KAWALAN CAPAIAN ............................................................................ 34<br />
0701 Dasar Kawalan Capaian .................................................................... 34<br />
070101 Keperluan Kawalan ............................................................................. 34<br />
0702 Pengurusan Capaian Pengguna ...................................................... 34<br />
070201 Akaun Pengguna................................................................................. 34<br />
070202 Jejak Audit ............................................................................................ 36<br />
0703 Kawalan Capaian Sistem dan Aplikasi ............................................ 36<br />
070301 Sistem Maklumat dan Aplikasi ........................................................... 36<br />
0704 Bring Your Own Device (BYOD)...................................................... 37
DASAR KESELAMATAN ICT <strong>MATRADE</strong><br />
070401 Keperluan dan Kawalan Penggunaan BYOD.............................. 37<br />
PERKARA 08 PEMBANGUNAN DAN PENYELENGGARAAN SISTEM ........................ 39<br />
0801 Keselamatan Dalam Membangunkan Sistem dan Aplikasi ......... 39<br />
080101 Keperluan Keselamatan ..................................................................... 39<br />
0802 Kriptografi .............................................................................................. 39<br />
080201 Penyulitan (Encryption)....................................................................... 39<br />
080202 Tandatangan Digital ........................................................................... 39<br />
080203 Pengurusan Kunci Kriptografi ............................................................. 40<br />
0803 Fail Sistem .............................................................................................. 40<br />
080301 Kawalan Fail Sistem ............................................................................. 40<br />
0804 Pembangunan dan Proses Sokongan ............................................. 40<br />
080401 Kawalan Perubahan ........................................................................... 40<br />
080402 Pembangunan Perisian Secara Outsource................................... 41<br />
0805 Kawalan Teknikal Keterdedahan (Vulnerability)........................... 41<br />
080501 Kawalan Dari Ancaman Teknikal.................................................... 41<br />
PERKARA 09 PENGURUSAN KESINAMBUNGAN PERKHIDMATAN .......................... 42<br />
0901 Dasar Kesinambungan Perkhidmatan ............................................. 42<br />
090101 Pelan Kesinambungan Perkhidmatan (Business Continuity Plan) 42<br />
090102 Salinan Pelan Kesinambungan Perkhidmatan (Business<br />
Continuity Plan)................................................................................. 42<br />
090103 Pengujian Pelan Kesinambungan Perkhidmatan (Business<br />
Continuity Plan)................................................................................. 43<br />
PERKARA 10 PEMATUHAN .......................................................................................... 44<br />
1001 Pematuhan dan Keperluan Perundangan ..................................... 44<br />
100101 Pematuhan Dasar................................................................................ 44<br />
100102 Kelangsungan Pematuhan Dasar.................................................. 44<br />
100103 Keperluan Perundangan .................................................................... 44<br />
100104 Pelanggaran Dasar.......................................................................... 45<br />
DAFTAR ISTILAH ........................................................................................................... 46<br />
Lampiran 1…………………………………………………………………………………48<br />
Lampiran 2…………………………………………………………………………………49<br />
Lampiran 3…………………………………………………………………………………52<br />
Lampiran 4…………………………………………………………………………………54<br />
iv
DASAR KESELAMATAN ICT <strong>MATRADE</strong><br />
PENGENALAN<br />
Dasar Keselamatan ICT ini mengandungi peraturan-peraturan yang mesti dibaca<br />
dan dipatuhi dalam menggunakan aset teknologi maklumat dan komunikasi (ICT)<br />
<strong>MATRADE</strong>.<br />
Dasar ini juga menerangkan kepada semua pengguna di <strong>MATRADE</strong> mengenai<br />
tanggungjawab dan peranan mereka dalam melindungi aset ICT <strong>MATRADE</strong>.<br />
OBJEKTIF<br />
Dasar keselamatan ICT <strong>MATRADE</strong> diwujudkan untuk<br />
(a)<br />
(b)<br />
melindungi aset ICT yang terdiri daripada perkakasan, perisian, data dan<br />
maklumat daripada ancaman keselamatan seperti kecurian,<br />
penyalahgunaan, pencerobohan, pengubahan yang tidak sah dan<br />
gangguan sistem;<br />
menjamin kesinambungan urusan <strong>MATRADE</strong> dengan meminimumkan kesan<br />
insiden keselamatan ICT.<br />
SKOP<br />
Dasar ini meliputi semua sumber atau aset ICT yang digunakan seperti:<br />
(a)<br />
(b)<br />
(c)<br />
(d)<br />
maklumat (contoh: fail, dokumen, pangkalan data, maklumat pengenalan<br />
peribadi);<br />
perisian (contoh: aplikasi dan sistem perisian) dan<br />
fizikal (contoh: komputer, peralatan komunikasi dan media storan).<br />
manusia<br />
Dasar ini adalah terpakai oleh semua pengguna di <strong>MATRADE</strong> termasuk kakitangan,<br />
pembekal dan pakar runding yang mengurus, menyelenggara, memproses,<br />
mencapai, memuat turun, menyedia, memuat naik, berkongsi, menyimpan dan<br />
menggunakan aset ICT <strong>MATRADE</strong>.<br />
1
DASAR KESELAMATAN ICT <strong>MATRADE</strong><br />
PRINSIP-PRINSIP<br />
Prinsip-prinsip yang menjadi asas kepada Dasar Keselamatan ICT <strong>MATRADE</strong> dan perlu<br />
dipatuhi adalah seperti berikut:<br />
(a) Akses atas dasar perlu mengetahui<br />
Akses terhadap penggunaan aset ICT hanya diberikan untuk tujuan spesifik dan<br />
dihadkan kepada pengguna tertentu atas dasar “perlu mengetahui” sahaja.<br />
Ini bermakna akses hanya akan diberikan sekiranya peranan atau fungsi<br />
pengguna memerlukan maklumat tersebut. Pertimbangan untuk akses adalah<br />
berdasarkan kategori maklumat seperti yang dinyatakan di dalam dokumen<br />
Arahan Keselamatan;<br />
(b) Hak akses minimum<br />
Hak akses pengguna hanya diberi pada tahap set yang paling minimum iaitu<br />
untuk membaca dan/atau melihat sahaja. Kelulusan adalah perlu untuk<br />
membolehkan pengguna mewujud, menyimpan, mengemas kini, mengubah<br />
atau membatalkan sesuatu maklumat.<br />
Hak akses adalah dikaji dari semasa ke semasa berdasarkan kepada peranan<br />
dan tanggungjawab pengguna/bidang tugas;<br />
(c) Akauntabiliti<br />
Semua pengguna adalah bertanggungjawab ke atas semua tindakannya<br />
terhadap aset ICT <strong>MATRADE</strong>;<br />
(d) Pengasingan<br />
Tugas mewujud, memadam, kemaskini, mengubah dan mengesahkan data<br />
perlu diasingkan bagi mengelakkan daripada capaian yang tidak dibenarkan<br />
serta melindungi aset ICT daripada kesilapan, kebocoran maklumat<br />
terperingkat atau dimanipulasi;<br />
(e) Pengauditan<br />
Pengauditan adalah tindakan untuk mengenal pasti insiden berkaitan<br />
keselamatan atau mengenal pasti keadaan yang mengancam keselamatan.<br />
Ia membabitkan pemeliharaan semua rekod berkaitan tindakan keselamatan.<br />
Dengan itu, aset ICT seperti komputer, server, router, firewall dan rangkaian<br />
hendaklah ditentukan dapat menjana dan menyimpan log tindakan<br />
keselamatan atau audit trail;<br />
2
DASAR KESELAMATAN ICT <strong>MATRADE</strong><br />
(f)<br />
Pematuhan<br />
Dasar Keselamatan ICT <strong>MATRADE</strong> hendaklah dibaca, difahami dan dipatuhi<br />
bagi mengelakkan sebarang bentuk pelanggaran ke atasnya yang boleh<br />
membawa ancaman kepada keselamatan ICT <strong>MATRADE</strong>;<br />
(g) Pemulihan<br />
Pemulihan sistem amat perlu untuk memastikan kebolehsediaan dan<br />
kebolehcapaian. Objektif utama adalah untuk meminimumkan sebarang<br />
gangguan atau kerugian akibat daripada ketidaksediaan. Pemulihan boleh<br />
dilakukan melalui aktiviti penduaan dan mewujudkan pelan pemulihan<br />
bencana/kesinambungan perkhidmatan; dan<br />
(h) Saling Bergantungan<br />
Setiap prinsip di atas adalah saling lengkap-melengkapi dan bergantung<br />
antara satu sama lain. Dengan itu, tindakan mempelbagaikan pendekatan<br />
dalam menyusun dan mencorakkan sebanyak mungkin mekanisme<br />
keselamatan adalah perlu bagi menjamin keselamatan yang maksimum.<br />
3
DASAR KESELAMATAN ICT <strong>MATRADE</strong><br />
PERKARA 01 PEMBANGUNAN DAN PENYELENGGARAAN DASAR<br />
TANGGUNGJAWAB<br />
010101 Pelaksanaan Dasar<br />
Pelaksanaan dasar ini akan dijalankan oleh Ketua Eksekutif<br />
<strong>MATRADE</strong> dibantu oleh Pasukan Pengurusan Keselamatan ICT<br />
yang terdiri daripada pegawai-pegawai berikut:<br />
Ketua Eksekutif<br />
(a)<br />
(b)<br />
(c)<br />
(d)<br />
(e)<br />
Timbalan-timbalan Ketua Eksekutif;<br />
Semua Pengarah Kanan dan Pengarah;<br />
Ketua Pegawai Maklumat (CIO);<br />
Pegawai Keselamatan ICT (ICTSO);<br />
Ketua-ketua Seksyen/Unit ICT<br />
010102 Penyebaran Dasar<br />
Dasar ini perlu disebarkan kepada semua pengguna <strong>MATRADE</strong><br />
(termasuk kakitangan, pembekal, pakar runding dan lain-lain).<br />
ICTSO<br />
010103 Penyelenggaraan Dasar<br />
Dasar Keselamatan ICT <strong>MATRADE</strong> adalah tertakluk kepada<br />
semakan dan pindaan dari semasa ke semasa selaras dengan<br />
perubahan teknologi, aplikasi, prosedur, perundangan dan<br />
kepentingan sosial. Berikut adalah prosedur yang berhubung<br />
dengan penyelenggaraan Dasar Keselamatan ICT <strong>MATRADE</strong>:<br />
ICTSO<br />
(a) kenal pasti dan tentukan perubahan yang diperlukan;<br />
(b) kemuka cadangan pindaan secara bertulis kepada<br />
ICTSO untuk pembentangan dan persetujuan Mesyuarat<br />
Jawatankuasa Pemandu ICT (JPICT) <strong>MATRADE</strong>;<br />
(c) perubahan yang telah dipersetujui oleh JPICT<br />
dimaklumkan kepada semua pengguna; dan<br />
(d) dasar ini hendaklah dikaji semula sekurang-kurangnya<br />
setiap dua tahun atau mengikut keperluan semasa.<br />
010104 Pengecualian Dasar<br />
Dasar Keselamatan ICT <strong>MATRADE</strong> adalah terpakai kepada<br />
semua pengguna ICT <strong>MATRADE</strong> dan tiada pengecualian<br />
diberikan.<br />
Semua<br />
4
DASAR KESELAMATAN ICT <strong>MATRADE</strong><br />
PERKARA 02 ORGANISASI KESELAMATAN<br />
TANGGUNGJAWAB<br />
0201 Infrastruktur Organisasi Keselamatan<br />
Objektif : Menerangkan peranan dan tanggungjawab<br />
individu yang terlibat dengan lebih jelas dan teratur<br />
dalam mencapai objektif organisasi.<br />
020101 Ketua Eksekutif<br />
Peranan dan tanggungjawab Ketua Eksekutif adalah seperti<br />
berikut:<br />
Ketua Eksekutif<br />
(a) memastikan semua pengguna memahami peruntukanperuntukan<br />
di bawah Dasar Keselamatan ICT <strong>MATRADE</strong>;<br />
(b) memastikan semua pengguna mematuhi Dasar<br />
Keselamatan ICT <strong>MATRADE</strong>;<br />
(c) memastikan semua keperluan organisasi (sumber<br />
kewangan, sumber kakitangan dan perlindungan<br />
keselamatan) adalah mencukupi; dan<br />
(d) memastikan penilaian risiko dan program keselamatan ICT<br />
dilaksanakan seperti yang ditetapkan di dalam Dasar<br />
Keselamatan ICT <strong>MATRADE</strong>.<br />
020102 Ketua Pegawai Maklumat (CIO)<br />
Pengarah Seksyen Teknologi Maklumat <strong>MATRADE</strong> adalah<br />
merupakan Ketua Pegawai Maklumat (CIO). Peranan dan<br />
tanggung jawab CIO yang berkaitan dengan keselamatan ICT<br />
adalah seperti berikut:<br />
CIO<br />
(a)<br />
(b)<br />
(c)<br />
membantu Ketua Eksekutif dalam melaksanakan tugastugas<br />
yang melibatkan keselamatan ICT;<br />
menentukan keperluan keselamatan ICT; dan<br />
membangun dan menyelaras pelaksanaan pelan latihan<br />
dan program kesedaran mengenai keselamatan ICT.<br />
5
DASAR KESELAMATAN ICT <strong>MATRADE</strong><br />
020103 Pengarah ICT<br />
Peranan dan tanggungjawab Pengarah ICT adalah seperti<br />
berikut:<br />
Pengarah ICT<br />
(a) menentukan kawalan keselamatan ICT selaras dengan<br />
keperluan <strong>MATRADE</strong>; dan<br />
(b) memastikan semua kakitangan, perunding, kontraktor dan<br />
pembekal yang terlibat dengan aset ICT <strong>MATRADE</strong><br />
mematuhi dasar, piawaian dan garis panduan<br />
keselamatan ICT <strong>MATRADE</strong>; dan<br />
(c) menentukan kawalan akses semua pengguna terhadap<br />
aset ICT <strong>MATRADE</strong>.<br />
020104 Pegawai Keselamatan ICT (ICTSO)<br />
Ketua Unit Operasi dan Keselamatan IT adalah merupakan<br />
Pegawai Keselamatan ICT (ICTSO). Peranan dan<br />
tanggungjawab ICTSO yang dilantik adalah seperti berikut:<br />
ICTSO<br />
(a) mengurus keseluruhan program-program keselamatan ICT<br />
<strong>MATRADE</strong>;<br />
(b) menguatkuasakan Dasar Keselamatan ICT <strong>MATRADE</strong>;<br />
(c) memberi penerangan dan pendedahan berkenaan Dasar<br />
Keselamatan ICT <strong>MATRADE</strong> kepada semua pengguna;<br />
(d) mewujudkan garis panduan, prosedur dan tatacara selaras<br />
dengan keperluan Dasar Keselamatan ICT <strong>MATRADE</strong>;<br />
(e) menjalankan pengurusan risiko;<br />
(f) menjalankan audit, mengkaji semula, merumus tindak balas<br />
pengurusan agensi berdasarkan hasil penemuan dan<br />
menyediakan laporan mengenainya;<br />
(g) memberi amaran terhadap kemungkinan berlakunya<br />
ancaman berbahaya seperti virus dan memberi khidmat<br />
nasihat serta menyediakan langkah-langkah perlindungan<br />
yang bersesuaian;<br />
(h) melaporkan insiden keselamatan ICT kepada Pasukan<br />
Tindak balas Insiden Keselamatan ICT (CCERT MITI) dan<br />
memaklumkannya kepada CIO;<br />
6
DASAR KESELAMATAN ICT <strong>MATRADE</strong><br />
(i)<br />
(j)<br />
bekerjasama dengan semua pihak yang berkaitan dalam<br />
mengenal pasti punca ancaman atau insiden keselamatan<br />
ICT dan memperakukan langkah-langkah baik pulih<br />
dengan segera;<br />
memperakui proses pengambilan tindakan tatatertib ke<br />
atas pengguna yang melanggar Dasar Keselamatan ICT<br />
<strong>MATRADE</strong>;<br />
(k) menyedia dan melaksanakan program-program kesedaran<br />
mengenai keselamatan ICT;<br />
(l)<br />
menyimpan rekod, bahan bukti dan laporan terkini<br />
mengenai ancaman keselamatan ICT <strong>MATRADE</strong>.<br />
020105 Pentadbir Sistem ICT<br />
Mana-mana pegawai yang dipertanggungjawabkan untuk<br />
mentadbir sesuatu sistem ICT di <strong>MATRADE</strong> adalah merupakan<br />
Pentadbir Sistem ICT <strong>MATRADE</strong>. Peranan dan tanggungjawab<br />
adalah seperti berikut:<br />
Pentadbir Sistem<br />
ICT<br />
(a) mengambil tindakan yang bersesuaian dengan segera ke<br />
atas aset ICT apabila dimaklumkan mengenai kakitangan<br />
yang berhenti, bertukar, bercuti atau berlaku perubahan<br />
dalam bidang tugas;<br />
(b) menentukan ketepatan dan kesempurnaan sesuatu tahap<br />
capaian berdasarkan arahan pemilik sumber maklumat<br />
sebagaimana yang telah ditetapkan di dalam Dasar<br />
Keselamatan ICT <strong>MATRADE</strong>;<br />
(c) memantau aktiviti capaian harian pengguna;<br />
(d) mengenal pasti aktiviti-aktiviti tidak normal seperti<br />
pencerobohan dan pengubahsuaian data tanpa<br />
kebenaran dan membatalkan atau memberhentikannya<br />
dengan serta merta;<br />
(e) menyimpan dan menganalisis rekod jejak audit;<br />
(f) menyediakan laporan mengenai aktiviti capaian kepada<br />
pemilik maklumat berkenaan secara berkala; dan<br />
(g) memastikan setiap pengguna dikenali dengan<br />
menggunakan User ID yang unik.<br />
7
DASAR KESELAMATAN ICT <strong>MATRADE</strong><br />
020106 Pengguna<br />
Pengguna ialah semua kakitangan <strong>MATRADE</strong> yang merangkumi<br />
kakitangan tetap, kontrak, sambilan dan pelatih dan pihak<br />
kontraktor yang menjalankan kerja-kerja di <strong>MATRADE</strong>. Peranan<br />
dan tanggungjawab pengguna adalah seperti berikut:<br />
Semua<br />
(a) membaca, memahami dan mematuhi Dasar<br />
Keselamatan ICT <strong>MATRADE</strong>;<br />
(b)<br />
(c)<br />
(d)<br />
mengetahui dan memahami implikasi keselamatan ICT<br />
kesan dari tindakannya;<br />
melaksanakan prinsip-prinsip Dasar Keselamatan ICT serta<br />
menjaga kerahsiaan maklumat <strong>MATRADE</strong> dan maklumatmaklumat<br />
sensitif yang dikendalikan oleh <strong>MATRADE</strong>;<br />
melaksanakan langkah-langkah perlindungan seperti<br />
berikut :-<br />
i. menghalang pendedahan maklumat kepada<br />
pihak yang tidak dibenarkan;<br />
ii.<br />
iii.<br />
iv.<br />
menjaga kerahsiaan kata laluan;<br />
mematuhi standard, prosedur, langkah dan garis<br />
panduan keselamatan yang ditetapkan;<br />
memberi perhatian kepada maklumat terperingkat<br />
terutama semasa pewujudan, pemprosesan,<br />
penyimpanan, penghantaran, penyampaian,<br />
pertukaran dan pemusnahan; dan<br />
v. menjaga kerahsiaan langkah-langkah keselamatan<br />
ICT dari diketahui umum.<br />
(e) melaporkan sebarang aktiviti yang mengancam<br />
keselamatan ICT dengan segera;<br />
(f) menghadiri program-program kesedaran mengenai<br />
keselamatan ICT; dan<br />
(g) menandatangani Surat Akuan Pematuhan Dasar<br />
Keselamatan ICT <strong>MATRADE</strong> seperti Lampiran 1.<br />
8
DASAR KESELAMATAN ICT <strong>MATRADE</strong><br />
0202 Pihak Ketiga<br />
Objektif:<br />
Menjamin keselamatan semua aset ICT yang<br />
digunakan oleh pihak ketiga.<br />
020201 Keperluan Keselamatan Kontrak dengan Pihak<br />
Ketiga<br />
(a) Perkara yang perlu dipatuhi termasuk yang berikut:<br />
i. Membaca, memahami dan mematuhi Dasar<br />
Keselamatan ICT <strong>MATRADE</strong>;<br />
ii.<br />
iii.<br />
Menandatangani Non-Disclosure Agreement (NDA)<br />
<strong>MATRADE</strong> dan Surat Akuan Pematuhan <strong>DKICT</strong>;<br />
Menyedari implikasi keselamatan ke atas sebarang<br />
tindakan yang dilakukan;<br />
CIO, Pengarah<br />
ICT, ICTSO,<br />
Pentadbir Sistem<br />
ICT, Bahagian<br />
Khidmat<br />
Pengurusan (BKP)<br />
dan Pihak Ketiga<br />
iv. Memastikan maklumat <strong>MATRADE</strong> terpelihara<br />
kerahsiaannya;<br />
v. Akses kepada Aset ICT <strong>MATRADE</strong> perlu<br />
berlandaskan kepada perjanjian kontrak.<br />
(b) Perkara-perkara berikut hendaklah dimasukkan di dalam<br />
perjanjian yang dimeteraikan mengikut kesesuaian:<br />
i. Dasar Keselamatan ICT <strong>MATRADE</strong>;<br />
ii.<br />
Tapisan Keselamatan;<br />
iii. Perakuan Akta Rahsia Rasmi 1972;<br />
iv.<br />
Hak Harta Intelek;<br />
v. Arahan Teknologi Maklumat 2007.<br />
Nota:<br />
Pekeliling-pekeliling berkaitan perolehan yang terpakai juga<br />
boleh dirujuk.<br />
9
DASAR KESELAMATAN ICT <strong>MATRADE</strong><br />
PERKARA 03 KAWALAN DAN PENGELASAN ASET<br />
TANGGUNGJAWAB<br />
0301 Akauntabiliti Aset<br />
Objektif :<br />
Memberi dan menyokong perlindungan yang<br />
bersesuaian ke atas semua aset ICT <strong>MATRADE</strong>.<br />
030101 Inventori Aset<br />
Semua aset ICT <strong>MATRADE</strong> hendaklah direkodkan. Ini<br />
termasuklah mengenal pasti aset, mengelas aset mengikut<br />
tahap sensitiviti aset berkenaan dan merekodkan maklumat<br />
seperti pemilik dan sebagainya.<br />
Setiap pengguna adalah bertanggung jawab ke atas semua<br />
aset ICT di bawah kawalannya.<br />
Pentadbir Sistem<br />
ICT, BKP<br />
Semua<br />
0302 Pengelasan dan Pengendalian Maklumat<br />
Objektif: Memastikan setiap maklumat atau aset ICT<br />
diberikan tahap perlindungan yang bersesuaian.<br />
030201 Pengelasan Maklumat<br />
Maklumat hendaklah dikelaskan dan dilabelkan sewajarnya.<br />
Setiap maklumat yang dikelaskan mestilah mempunyai<br />
peringkat keselamatan sebagaimana yang telah ditetapkan di<br />
dalam dokumen Arahan Keselamatan seperti berikut:<br />
Semua<br />
(a) Rahsia Besar;<br />
(b) Rahsia;<br />
(c) Sulit;<br />
(d) Terhad; atau<br />
(e) Terbuka<br />
030202 Pengendalian Maklumat<br />
Aktiviti pengendalian maklumat seperti mengumpul,<br />
memproses, menyimpan, menghantar, menyampai, menukar<br />
dan memusnah hendaklah mengambil kira langkah-langkah<br />
keselamatan berikut :<br />
Semua<br />
10
(a) menghalang pendedahan maklumat kepada pihak yang<br />
tidak dibenarkan;<br />
(b) memeriksa maklumat dan menentukan ia tepat dan<br />
lengkap dari semasa ke semasa;<br />
(c) menentukan maklumat sedia untuk digunakan;<br />
(d) menjaga kerahsiaan kata laluan;<br />
(e) mematuhi standard, prosedur, langkah dan garis panduan<br />
keselamatan yang ditetapkan;<br />
(f) memberi perhatian kepada maklumat terperingkat<br />
terutama semasa pewujudan, pemprosesan,<br />
penyimpanan, penghantaran, penyampaian, pertukaran<br />
dan pemusnahan;<br />
(g) membuat salinan maklumat sekiranya perlu dan perlu<br />
dijaga kerahsiaan seperti salinan asal;<br />
(h) menjaga kerahsiaan langkah-langkah keselamatan ICT<br />
dari diketahui umum; dan<br />
DASAR KESELAMATAN ICT <strong>MATRADE</strong><br />
(i)<br />
mengendalikan maklumat pengenalan peribadi mengikut<br />
Akta Perlindungan Data Peribadi 2010.<br />
11
DASAR KESELAMATAN ICT <strong>MATRADE</strong><br />
PERKARA 04 KESELAMATAN SUMBER MANUSIA<br />
TANGGUNGJAWAB<br />
0401 Keselamatan ICT Dalam Tugas Harian<br />
Objektif:<br />
Meminimumkan risiko seperti kesilapan, kecuaian,<br />
kecurian, penipuan dan penyalahgunaan aset ICT<br />
<strong>MATRADE</strong>.<br />
040101 Tanggungjawab Keselamatan<br />
Peranan dan tanggungjawab pengguna terhadap<br />
keselamatan ICT mestilah lengkap, jelas, direkod, dipatuhi dan<br />
dilaksanakan serta dinyatakan di dalam fail meja atau kontrak.<br />
Semua<br />
Keselamatan ICT merangkumi tanggungjawab pengguna<br />
dalam menyediakan dan memastikan perlindungan ke atas<br />
semua aset atau sumber ICT yang digunakan di dalam<br />
melaksanakan tugas harian.<br />
040102 Terma dan Syarat Perkhidmatan<br />
Semua warga <strong>MATRADE</strong> yang dilantik hendaklah mematuhi<br />
terma dan syarat perkhidmatan yang ditawarkan dan<br />
peraturan semasa yang berkuat kuasa.<br />
Semua<br />
040103 Perakuan Akta Rahsia Rasmi<br />
Warga <strong>MATRADE</strong> yang menguruskan maklumat terperingkat<br />
hendaklah mematuhi semua peruntukan Akta Rahsia Rasmi<br />
1972.<br />
Semua<br />
0402 Menangani Insiden Keselamatan ICT<br />
Objektif:<br />
Meminimumkan kesan insiden keselamatan ICT.<br />
040201 Pelaporan Insiden<br />
Insiden keselamatan ICT seperti berikut hendaklah dilaporkan<br />
dengan kadar segera:<br />
Semua<br />
(a) Maklumat didapati hilang, didedahkan kepada pihak-pihak<br />
yang tidak diberi kuasa atau, disyaki hilang atau<br />
didedahkan kepada pihak-pihak yang tidak diberi kuasa.<br />
Sekiranya berlaku, pengendali maklumat hendaklah<br />
dengan segera melaporkan kepada Pegawai Keselamatan<br />
12
ICT dengan mengisi Borang Laporan Kehilangan Data<br />
Elektronik <strong>MATRADE</strong> seperti Lampiran 2;<br />
(b) Sistem maklumat digunakan tanpa kebenaran atau disyaki<br />
sedemikian;<br />
(c) Kata laluan atau mekanisme kawalan akses hilang, dicuri<br />
atau didedahkan, atau disyaki hilang;<br />
(d) Berlaku kejadian sistem yang luar biasa seperti kehilangan<br />
fail, sistem kerap kali gagal dan komunikasi tersalah hantar;<br />
(e) Berlaku percubaan menceroboh, penyelewengan dan<br />
insiden-insiden yang tidak diingini.<br />
Nota:<br />
Pekeliling Am Bilangan 1 Tahun 2001 bertajuk “Mekanisme<br />
Pelaporan Insiden Keselamatan ICT” mengenainya bolehlah<br />
dirujuk.<br />
0403 Pendidikan<br />
Objektif: Meningkatkan pengetahuan dan kesedaran<br />
mengenai kepentingan keselamatan ICT.<br />
040301 Program Kesedaran Keselamatan ICT<br />
DASAR KESELAMATAN ICT <strong>MATRADE</strong><br />
Setiap pengguna di <strong>MATRADE</strong> perlu diberikan program<br />
kesedaran, latihan atau kursus mengenai keselamatan ICT dan<br />
menangani insiden keselamatan ICT yang mencukupi secara<br />
berterusan dalam melaksanakan tugas-tugas dan<br />
tanggungjawab mereka.<br />
ICTSO<br />
13
DASAR KESELAMATAN ICT <strong>MATRADE</strong><br />
PERKARA 05 KESELAMATAN FIZIKAL<br />
TANGGUNGJAWAB<br />
0501 Keselamatan Kawasan<br />
Objektif :<br />
Mencegah akses fizikal yang tidak dibenarkan,<br />
kerosakan dan gangguan kepada premis dan<br />
maklumat.<br />
050101 Perimeter Keselamatan Fizikal<br />
Keselamatan fizikal adalah bertujuan untuk menghalang,<br />
mengesan dan mencegah cubaan untuk menceroboh.<br />
Langkah-langkah keselamatan fizikal tidak terhad kepada<br />
langkah-langkah berikut :<br />
CIO, ICTSO dan<br />
BKP<br />
(a) Kawasan keselamatan fizikal hendaklah dikenal pasti<br />
dengan jelas. Lokasi dan keteguhan keselamatan fizikal<br />
hendaklah bergantung kepada keperluan untuk melindungi<br />
aset dan hasil penilaian risiko;<br />
(b) memperkukuhkan tingkap dan pintu serta dikunci untuk<br />
mengawal kemasukan;<br />
(c) Memperkukuhkan dinding dan siling;<br />
(d) Menghadkan jalan keluar masuk;<br />
(e) Mengadakan kaunter kawalan;<br />
(f) Menyediakan tempat atau bilik khas untuk pelawatpelawat;<br />
(g) Mewujudkan perkhidmatan kawalan keselamatan; dan<br />
(h) Kawalan keluar masuk dengan menggunakan sistem<br />
imbasan biometrik.<br />
050102 Kawalan Masuk Fizikal<br />
(a) Setiap pengguna <strong>MATRADE</strong> hendaklah memakai pas<br />
pengenalan sepanjang waktu bertugas;<br />
Semua<br />
(b) Semua pas pengenalan hendaklah diserahkan balik<br />
kepada <strong>MATRADE</strong> apabila pengguna berhenti, bertukar<br />
pejabat atau bersara;<br />
(c) Kehilangan pas pengenalan mestilah dilaporkan dengan<br />
segera;<br />
14
(d) Setiap pelawat hendaklah mendaftar di dalam buku<br />
pelawat di tingkat yang dilawati terlebih dahulu;<br />
(e) Hanya pengguna yang diberi kebenaran sahaja boleh<br />
mencapai atau menggunakan aset ICT <strong>MATRADE</strong>;<br />
050103 Kawasan Larangan<br />
DASAR KESELAMATAN ICT <strong>MATRADE</strong><br />
Kawasan larangan ditakrifkan sebagai kawasan yang dihadkan<br />
kemasukan pegawai-pegawai yang tertentu sahaja. Ini<br />
dilaksanakan untuk melindungi aset ICT yang terdapat di dalam<br />
kawasan tersebut.<br />
Semua<br />
(a) Kawasan larangan di <strong>MATRADE</strong> adalah:<br />
i. Bilik Ketua Eksekutif;<br />
ii.<br />
iii.<br />
iv.<br />
Bilik Timbalan-timbalan Ketua Eksekutif;<br />
Bilik server;<br />
Bilik kebal; dan<br />
v. Bilik Unit Perolehan.<br />
(b) Akses kepada bilik-bilik tersebut hanyalah kepada<br />
pegawai- pegawai yang diberi kuasa sahaja;<br />
(c) Pihak Ketiga adalah dilarang sama sekali untuk memasuki<br />
kawasan larangan kecuali, bagi kes-kes tertentu seperti<br />
memberi perkhidmatan sokongan atau bantuan teknikal,<br />
serta mereka hendaklah diiringi sepanjang masa sehingga<br />
tugas di kawasan berkenaan selesai; dan<br />
(d) Semua penggunaan peralatan yang melibatkan<br />
penghantaran, kemas kini dan penghapusan maklumat<br />
rahsia rasmi hendaklah dikawal dan mendapat kebenaran<br />
daripada Ketua Eksekutif <strong>MATRADE</strong> atau pegawai yang<br />
diberi kuasa olehnya.<br />
050104 Kawasan Larangan Lokasi ICT<br />
Kawasan larangan lokasi ICT di <strong>MATRADE</strong> adalah Pusat<br />
Data. Kawasan ini mestilah dilindungi daripada sebarang<br />
ancaman, kelemahan dan risiko seperti pencerobohan,<br />
kebakaran dan bencana alam. Kawalan keselamatan ke<br />
atas premis tersebut adalah seperti berikut:<br />
Semua<br />
15
(a) sumber data atau server, peralatan komunikasi dan<br />
storan perlu ditempatkan di pusat data, bilik server<br />
atau bilik khas yang mempunyai ciri-ciri keselamatan<br />
yang tinggi termasuk sistem pencegah kebakaran;<br />
(b) akses adalah terhad kepada warga <strong>MATRADE</strong> yang<br />
telah diberi kuasa sahaja dan dipantau pada setiap<br />
masa. Pihak ketiga perlu mendaftar;<br />
(c) pemantauan dibuat menggunakan Closed-Circuit<br />
Television (CCTV) kamera atau lain-lain peralatan<br />
yang sesuai;<br />
(d) peralatan keselamatan (CCTV, log akses) perlu<br />
diperiksa secara berjadual;<br />
(e) butiran pelawat yang keluar masuk ke kawasan<br />
larangan perlu direkodkan;<br />
DASAR KESELAMATAN ICT <strong>MATRADE</strong><br />
(f)<br />
pelawat yang dibawa masuk mesti diawasi oleh<br />
pegawai yang bertanggungjawab di sepanjang<br />
tempoh di lokasi berkaitan;<br />
(g) lokasi premis ICT hendaklah tidak berhampiran<br />
dengan kawasan pemunggahan dan laluan awam;<br />
(h) memperkukuhkan tingkap dan pintu serta dikunci<br />
untuk mengawal kemasukan;<br />
(i)<br />
(j)<br />
memperkukuhkan dinding dan siling; dan<br />
menghadkan jalan keluar masuk;<br />
(k)<br />
penghawa dingin mestilah berfungsi dengan baik di<br />
mana suhunya adalah bersesuaian.<br />
0502 Keselamatan Peralatan<br />
Objektif :<br />
Melindung peralatan dan maklumat.<br />
050201 Perkakasan<br />
Secara umumnya peralatan ICT hendaklah dijaga dan dikawal<br />
dengan baik supaya boleh digunakan bila perlu:<br />
Semua<br />
16
DASAR KESELAMATAN ICT <strong>MATRADE</strong><br />
(a)<br />
(b)<br />
(c)<br />
(d)<br />
(e)<br />
(f)<br />
(g)<br />
(h)<br />
(i)<br />
(j)<br />
Setiap pengguna hendaklah menyemak dan memastikan<br />
semua perkakasan ICT di bawah kawalannya berfungsi<br />
dengan sempurna;<br />
Semua perkakasan hendaklah disimpan atau diletakkan di<br />
tempat yang teratur, bersih dan mempunyai ciri-ciri<br />
keselamatan;<br />
Setiap pengguna adalah bertanggungjawab di atas<br />
kerosakan atau kehilangan perkakasan ICT di bawah<br />
kawalannya;<br />
Setiap pengguna tidak dibenarkan membuat sebarang<br />
pertukaran perkakasan dan konfigurasi yang telah<br />
ditetapkan;<br />
Semua peralatan yang digunakan secara berterusan<br />
mestilah diletakkan di kawasan yang berhawa dingin dan<br />
mempunyai pengudaraan yang sesuai;<br />
Pengguna dilarang membuat instalasi sebarang perisian<br />
tambahan tanpa kebenaran Pentadbir Sistem ICT;<br />
Peralatan ICT yang hilang hendaklah dilaporkan kepada<br />
ICTSO dan Pegawai Aset dengan segera;<br />
Pengendalian peralatan ICT hendaklah mematuhi dan<br />
merujuk kepada peraturan semasa yang berkuatkuasa;<br />
Peralatan ICT yang hendak dibawa keluar dari <strong>MATRADE</strong><br />
perlulah direkodkan bagi tujuan pemantauan; dan<br />
Pengguna mesti memastikan perisian antivirus di komputer<br />
peribadi sentiasa aktif (activated) dan dikemaskini di<br />
samping melakukan imbasan ke atas media storan yang<br />
digunakan.<br />
050202 Sistem Dokumentasi dan Dokumen<br />
Bagi memastikan integriti maklumat, langkah-langkah<br />
pengurusan sistem dokumentasi dan dokumen yang baik dan<br />
selamat seperti berikut hendaklah dipatuhi:<br />
Semua<br />
(a) memastikan sistem dokumentasi atau dokumen-dokumen<br />
rasmi disimpan dengan selamat;<br />
17
(b) menggunakan tanda atau label keselamatan seperti Rahsia<br />
Besar, Rahsia, Sulit, Terhad dan Terbuka kepada dokumen<br />
terperingkat;<br />
(c) menggunakan penyulitan (encryption) ke atas dokumen<br />
terperingkat yang disediakan dan dihantar secara<br />
elektronik;<br />
(d) pergerakan fail dan dokumen terperingkat hendaklah<br />
direkodkan dan perlulah mengikut Arahan Keselamatan :<br />
Keselamatan Dokumen di Para I Pengurusan Dokumen<br />
Terperingkat;<br />
(e) kehilangan dan kerosakan ke atas semua jenis dokumen<br />
perlu dimaklumkan mengikut prosedur Arahan<br />
Keselamatan; dan<br />
(f) memastikan dokumen yang mengandungi bahan atau<br />
maklumat sensitif diambil segera dari pencetak, pengimbas,<br />
mesin faksimile dan mesin photostat.<br />
050203 Media Storan<br />
DASAR KESELAMATAN ICT <strong>MATRADE</strong><br />
Keselamatan media storan perlu diberi perhatian khusus kerana<br />
ianya berupaya menyimpan maklumat yang besar. Langkahlangkah<br />
pencegahan seperti berikut hendaklah diambil untuk<br />
memastikan kerahsiaan, integriti dan kebolehsediaan maklumat<br />
yang disimpan dalam media storan termasuk media storan<br />
mudah alih seperti komputer riba, tablet, telefon pintar, kamera<br />
digital, thumb drive, external hard disk, disket, cakera padat (CD<br />
dan DVD), memory card dan pita magnetik:<br />
Semua<br />
(a) mewujudkan kaedah atau prosedur kawalan penggunaan<br />
dan pelupusan media storan;<br />
(b) media storan yang diperolehi adalah digunakan untuk<br />
tujuan rasmi sahaja;<br />
(c) setiap media storan perlulah dilabelkan untuk memudahkan<br />
pengecaman hak milik;<br />
(d) media storan yang mengandungi maklumat terperingkat<br />
atau sensitif hendaklah disimpan di tempat yang selamat<br />
dan dilindungi pada setiap masa. Bagi fail yang<br />
diklasifikasikan sebagai Rahsia/Sulit, pengguna hendaklah<br />
membuat penyulitan (encryption) dengan cara<br />
18
mewujudkan kata laluan bagi fail-fail tersebut atau<br />
menyimpan fail-fail tersebut di dalam folder yang disulitkan<br />
(encrypted);<br />
(a) pengguna dilarang membawa keluar atau memberi media<br />
storan yang mengandungi maklumat rahsia rasmi kepada<br />
orang lain untuk mengelakkan daripada berlakunya<br />
kebocoran rahsia;<br />
(b) pengguna dikehendaki memulangkan semula media storan<br />
kepada pihak pengurusan <strong>MATRADE</strong> sekiranya bertukar<br />
atau berpindah;<br />
(c) pergerakan media storan hendaklah direkodkan;<br />
(d) sebarang kehilangan media storan yang berlaku hendaklah<br />
dilaporkan mengikut Perkara 040201 Pelaporan Insiden.<br />
050204 Public Cloud Storage<br />
(a) Hanya Maklumat Terbuka sahaja boleh disimpan di dalam<br />
public cloud storage seperti Dropbox, Amazon, Google<br />
Drive; dan<br />
(b) Aplikasi public cloud storage client hendaklah diputuskan<br />
dari talian selepas digunakan;<br />
DASAR KESELAMATAN ICT <strong>MATRADE</strong><br />
050205 Kabel<br />
Kabel komputer hendaklah dilindung kerana boleh menjadi<br />
punca kepada pendedahan maklumat. Langkah-langkah<br />
keselamatan yang perlu diambil adalah seperti berikut :<br />
ICTSO dan<br />
Pentadbir Sistem<br />
ICT<br />
(a) Menggunakan kabel yang mengikut spesifikasi yang telah<br />
ditetapkan;<br />
(b) Melindungi kabel daripada kerosakan yang disengajakan<br />
atau tidak disengajakan;<br />
(c) Melindungi laluan pemasangan kabel sepenuhnya bagi<br />
mengelakkan ancaman kerosakan dan wiretapping;<br />
(d) Semua kabel perlu dilabelkan dengan jelas dan mestilah<br />
melalui trunking bagi memastikan keselamatan kabel<br />
daripada kerosakan dan pintasan maklumat.<br />
19
DASAR KESELAMATAN ICT <strong>MATRADE</strong><br />
050206 Penyelenggaraan<br />
Perkakasan hendaklah diselenggarakan dengan betul bagi<br />
memastikan kebolehsediaan dan integriti.<br />
Semua<br />
(a) Semua perkakasan yang diselenggarakan hendaklah<br />
mematuhi spesifikasi pengeluar yang telah ditetapkan;<br />
(b) Perkakasan hanya boleh diselenggarakan oleh kakitangan<br />
atau pihak yang dibenarkan sahaja;<br />
(c) Semua perkakasan hendaklah disemak dan diuji sebelum<br />
dan selepas proses penyelenggaraan dilakukan; dan<br />
(d) Pihak pengguna yang terjejas perlu dimaklumkan sebelum<br />
melaksanakan penyelenggaraan mengikut jadual yang<br />
ditetapkan atau atas keperluan.<br />
050207 Peminjaman Perkakasan Untuk Kegunaan Di Luar<br />
Pejabat<br />
Perkakasan yang dipinjam untuk kegunaan di luar pejabat<br />
adalah terdedah kepada pelbagai risiko. Aktiviti peminjaman<br />
dan pemulangan perkakasan ICT mestilah direkodkan dan<br />
mengikut Peraturan-peraturan Perakaunan & Kewangan<br />
<strong>MATRADE</strong> untuk menjamin keselamatan perkakasan.<br />
Dokumen perlulah dipadam sepenuhnya sebelum pemulangan<br />
perkakasan dibuat.<br />
Semua<br />
Pengguna<br />
050208 Peralatan di Luar Premis<br />
Bagi perkakasan yang dibawa keluar dari premis <strong>MATRADE</strong>,<br />
langkah-langkah keselamatan hendaklah diadakan dengan<br />
mengambil kira risiko yang wujud di luar kawalan <strong>MATRADE</strong>:<br />
Semua<br />
(a) Peralatan perlu dilindungi dan dikawal sepanjang masa;<br />
dan<br />
(b) Penyimpanan atau penempatan peralatan mestilah<br />
mengambil kira ciri-ciri keselamatan yang bersesuaian.<br />
050209 Pelupusan<br />
Perkakasan dan dokumen yang hendak dilupuskan perlu<br />
melalui proses pelupusan semasa. Pelupusan perkakasan dan<br />
Semua<br />
20
dokumen ICT perlu dilakukan secara terkawal dan lengkap<br />
supaya maklumat tidak terlepas dari kawalan <strong>MATRADE</strong>:<br />
DASAR KESELAMATAN ICT <strong>MATRADE</strong><br />
(a)<br />
(b)<br />
Semua kandungan peralatan ICT termasuk maklumat<br />
rahsia rasmi hendaklah dihapuskan terlebih dahulu<br />
sebelum dilupuskan;<br />
Sekiranya maklumat perlu disimpan, maka pengguna<br />
bolehlah membuat pemindahan ke medium lain;<br />
(c) Pelupusan perkakasan (bukan aset) dan dokumen<br />
hendaklah dihapuskan dengan teratur dan selamat<br />
mengikut prosedur keselamatan seperti mana Arahan<br />
Keselamatan, Arahan Teknologi Maklumat 2007 dan<br />
tatacara Jabatan Arkib Negara samada melalui<br />
shredding, grinding, degauzing, pembakaran atau lain-lain<br />
kaedah yang bersesuaian;<br />
(d)<br />
Maklumat lanjut pelupusan bolehlah merujuk kepada<br />
Tatacara Pengurusan Aset Alih <strong>MATRADE</strong>.<br />
050210 Clear Desk dan Clear Screen<br />
Semua maklumat dalam apa jua bentuk media hendaklah<br />
disimpan dengan teratur dan selamat bagi mengelakkan<br />
kerosakan, kecurian atau kehilangan. Clear Desk bermaksud<br />
tidak meninggalkan bahan-bahan yang sensitif terdedah sama<br />
ada atas meja atau di paparan skrin:<br />
Semua<br />
(a) Gunakan kemudahan password screen saver atau log<br />
keluar apabila meninggalkan komputer termasuk<br />
komputer gunasama;<br />
(b) Bahan-bahan sensitif hendaklah disimpan dalam laci atau<br />
kabinet fail yang berkunci.<br />
0503 Keselamatan Persekitaran<br />
Objektif:<br />
Melindungi aset ICT <strong>MATRADE</strong> dari sebarang bentuk<br />
ancaman persekitaran yang disebabkan oleh<br />
bencana alam, kesilapan, kecuaian atau<br />
kemalangan.<br />
21
DASAR KESELAMATAN ICT <strong>MATRADE</strong><br />
050301 Kawalan Persekitaran<br />
Bagi menghindarkan kerosakan dan gangguan terhadap aset<br />
ICT dan menjamin keselamatan persekitaran, langkah-langkah<br />
berikut hendaklah diambil :<br />
Semua<br />
(a)<br />
Merancang dan menyediakan pelan keseluruhan susun<br />
atur pusat data, bilik percetakan, peralatan komputer dan<br />
ruang atur pejabat dan sebagainya dengan teliti;<br />
(b) Semua ruang pejabat khususnya kawasan yang<br />
mempunyai kemudahan ICT hendaklah dilengkapi<br />
dengan perlindungan keselamatan yang mencukupi dan<br />
dibenarkan, seperti alat pencegah kebakaran dan pintu<br />
kecemasan;<br />
(c)<br />
(d)<br />
(e)<br />
(f)<br />
(g)<br />
Peralatan perlindungan keselamatan hendaklah dipasang<br />
di tempat yang bersesuaian, mudah dikenali dan<br />
dikendalikan;<br />
Bahan mudah terbakar hendaklah disimpan di luar<br />
kawasan kemudahan penyimpanan aset ICT;<br />
Semua bahan cecair hendaklah diletakkan di tempat<br />
yang bersesuaian dan berjauhan dari aset ICT;<br />
Pengguna adalah dilarang merokok atau menggunakan<br />
peralatan memasak seperti cerek elektrik berhampiran<br />
peralatan komputer; dan<br />
Semua peralatan perlindungan hendaklah disemak dan<br />
diuji sekurang-kurangnya dua (2) kali dalam setahun.<br />
Aktiviti dan keputusan ujian ini perlu direkodkan bagi<br />
memudahkan rujukan dan tindakan sekiranya perlu.<br />
050302 Bekalan Kuasa<br />
(a) Semua perkakasan ICT hendaklah dilindungi dari<br />
kegagalan bekalan elektrik dan bekalan yang sesuai<br />
hendaklah disalurkan kepada perkakasan;<br />
Pengarah ICT,<br />
ICTSO, Pentadbir<br />
Sistem ICT dan BKP<br />
(b)<br />
Peralatan sokongan seperti UPS (Uninterruptable Power<br />
Supply) dan penjana (generator) boleh digunakan bagi<br />
perkhidmatan kritikal seperti di bilik server supaya<br />
mendapat bekalan kuasa berterusan; dan<br />
22
DASAR KESELAMATAN ICT <strong>MATRADE</strong><br />
(c)<br />
Semua peralatan sokongan bekalan kuasa hendaklah<br />
disemak dan diuji secara berjadual.<br />
050303 Prosedur Kecemasan<br />
Setiap pengguna hendaklah membaca, memahami dan<br />
mematuhi prosedur kecemasan yang berkuat kuasa dengan<br />
merujuk kepada Garis Panduan Keselamatan Kebakaran bagi<br />
Kerajaan dan Swasta.<br />
Semua<br />
23
DASAR KESELAMATAN ICT <strong>MATRADE</strong><br />
PERKARA 06 PENGURUSAN OPERASI DAN KOMUNIKASI<br />
TANGGUNGJAWAB<br />
0601 Pengurusan Prosedur Operasi<br />
Objektif: Memastikan perkhidmatan dan pemprosesan<br />
maklumat dapat berfungsi dengan betul dan<br />
selamat.<br />
060101 Pengendalian Prosedur<br />
(a)<br />
(b)<br />
Semua prosedur pengurusan operasi dan keselamatan ICT<br />
yang di wujud, dikenal pasti dan masih diguna pakai<br />
hendaklah didokumenkan, disimpan dan dikawal;<br />
Setiap prosedur mestilah mengandungi arahan-arahan<br />
yang jelas, teratur dan lengkap dan hendaklah dikemas<br />
kini dari semasa ke semasa atau mengikut keperluan<br />
Semua<br />
060102 Kawalan Perubahan<br />
(a) Pengubahsuaian yang melibatkan perkakasan, sistem<br />
untuk pemprosesan maklumat, perisian, dan prosedur<br />
mestilah mendapat kebenaran daripada pegawai yang<br />
bertanggungjawab terlebih dahulu;<br />
Semua<br />
(b) Aktiviti-aktiviti seperti memasang, menyelenggara,<br />
menghapus dan mengemas kini mana-mana komponen<br />
sistem ICT hendaklah dikendalikan oleh pihak atau<br />
pegawai yang diberi kuasa dan mempunyai pengetahuan<br />
atau terlibat secara langsung dengan aset ICT berkenaan;<br />
(c) Semua aktiviti pengubahsuaian komponen sistem ICT<br />
hendaklah mematuhi spesifikasi perubahan yang telah<br />
ditetapkan; dan<br />
(d) Semua aktiviti perubahan atau pengubahsuaian<br />
hendaklah direkod dan dikawal bagi mengelakkan<br />
berlakunya ralat sama ada secara sengaja atau pun tidak.<br />
060103 Prosedur Pengurusan Insiden Keselamatan ICT<br />
Bagi memastikan tindakan menangani insiden keselamatan ICT<br />
diambil dengan cepat, teratur dan berkesan, prosedur<br />
CIO, Pengarah<br />
ICT, ICTSO,<br />
24
DASAR KESELAMATAN ICT <strong>MATRADE</strong><br />
pengurusan insiden adalah berpandukan Pekeliling Am<br />
Bilangan 1 Tahun 2001 bertajuk “Mekanisme Pelaporan Insiden<br />
Keselamatan Teknologi Maklumat dan Komunikasi (ICT)”.<br />
Pentadbir Sistem<br />
ICT<br />
Insiden-insiden keselamatan ICT seperti berikut hendaklah<br />
dilaporkan kepada ICTSO, CERT <strong>MATRADE</strong> dan CERT MITI<br />
dengan kadar segera:<br />
(a) Maklumat didapati hilang, didedahkan kepada<br />
pihak-pihak yang tidak diberi kuasa atau, disyaki<br />
hilang atau didedahkan kepada pihak-pihak yang<br />
tidak diberi kuasa;<br />
(b) Sistem maklumat digunakan tanpa kebenaran atau<br />
disyaki sedemikian;<br />
(c) Kata laluan atau mekanisme kawalan akses hilang,<br />
dicuri atau didedahkan, atau disyaki hilang, dicuri<br />
atau didedahkan;<br />
(d) Berlaku kejadian sistem yang luar biasa seperti<br />
kehilangan fail, sistem kerap kali gagal dan<br />
komunikasi tersalah hantar; dan<br />
(e) Berlaku percubaan menceroboh, penyelewengan<br />
dan insiden-insiden yang tidak dijangka.<br />
0602 Perancangan dan Penerimaan Sistem<br />
Objektif: Meminimumkan risiko yang menyebabkan<br />
gangguan atau kegagalan sistem.<br />
060201 Perancangan Kapasiti<br />
(a) Kapasiti sesuatu komponen atau sistem ICT hendaklah<br />
dirancang, diurus dan dikawal dengan teliti oleh pegawai<br />
yang bertanggungjawab bagi memastikan keperluannya<br />
adalah mencukupi dan bersesuaian untuk pembangunan<br />
dan kegunaan sistem ICT pada masa akan datang; dan<br />
Pentadbir Sistem<br />
ICT<br />
(b) Keperluan kapasiti ini juga perlu mengambil kira ciri-ciri<br />
keselamatan ICT bagi meminimumkan risiko seperti<br />
25
gangguan pada perkhidmatan dan kerugian akibat<br />
pengubahsuaian yang tidak dirancang.<br />
060202 Penerimaan Sistem<br />
DASAR KESELAMATAN ICT <strong>MATRADE</strong><br />
Semua sistem baru (termasuklah sistem yang dikemas kini atau<br />
diubahsuai) hendaklah memenuhi kriteria yang ditetapkan<br />
sebelum diterima atau dipersetujui.<br />
Pentadbir Sistem<br />
ICT<br />
0603 Perisian Berbahaya<br />
Objektif: Melindungi integriti perisian dan maklumat<br />
daripada pendedahan atau kerosakan yang<br />
disebabkan oleh perisian berbahaya seperti virus<br />
dan trojan.<br />
060301 Perlindungan dari Perisian Berbahaya<br />
(a) Memasang sistem keselamatan untuk mengesan perisian<br />
atau program berbahaya seperti anti virus, Intrusion<br />
Detection System (IDS) dan Intrusion Prevention System (IPS)<br />
mengikut prosedur penggunaan yang betul dan selamat;<br />
Pentadbir Sistem<br />
ICT<br />
(b) Memasang dan menggunakan hanya perisian yang tulen,<br />
berdaftar dan dilindungi di bawah mana-mana undangundang<br />
bertulis yang berkuatkuasa;<br />
(c) Mengimbas semua perisian atau sistem dengan anti virus<br />
sebelum menggunakannya;<br />
(d) Mengemas kini anti virus dengan pattern anti virus yang<br />
terkini;<br />
(e) Menyemak kandungan sistem atau maklumat secara<br />
berkala bagi mengesan aktiviti yang tidak diingini seperti<br />
kehilangan dan kerosakan maklumat;<br />
(f) Memasukkan klausa tanggungan di dalam mana-mana<br />
kontrak yang telah ditawarkan kepada pembekal perisian.<br />
Klausa ini bertujuan untuk tuntutan baik pulih sekiranya<br />
perisian tersebut mengandungi program berbahaya; dan<br />
(g) Memberi amaran mengenai ancaman keselamatan ICT<br />
seperti serangan virus kepada pengguna.<br />
26
DASAR KESELAMATAN ICT <strong>MATRADE</strong><br />
0604 Pengurusan Backup dan Log<br />
Objektif:<br />
Melindungi integriti maklumat dan perkhidmatan<br />
komunikasi agar boleh diakses pada bila-bila masa.<br />
060401 Backup<br />
Bagi memastikan sistem dapat dibangunkan semula setelah<br />
berlakunya bencana atau insiden keselamatan, salinan backup<br />
seperti yang dibutirkan hendaklah dilakukan mengikut prosedur<br />
yang ditetapkan:<br />
Pentadbir Sistem<br />
ICT<br />
(a) Salinan backup hendaklah direkodkan dan disimpan di<br />
lokasi berlainan dan selamat;<br />
(b) Membuat salinan keselamatan ke atas semua sistem<br />
perisian dan aplikasi sekurang-kurangnya sekali atau<br />
setelah mendapat versi terbaru;<br />
(c) Membuat salinan backup ke atas semua data dan<br />
maklumat mengikut keperluan operasi. Kekerapan backup<br />
bergantung pada tahap kritikal maklumat;<br />
(d) Menguji sistem backup sedia ada bagi memastikan ianya<br />
dapat berfungsi dengan sempurna, boleh dipercayai dan<br />
berkesan apabila digunakan khususnya pada waktu<br />
kecemasan;<br />
060402 Sistem Log<br />
(a) Mewujudkan sistem log bagi merekodkan semua aktiviti<br />
harian pengguna.<br />
Pentadbir Sistem<br />
ICT<br />
(b) Menyemak sistem log secara berkala bagi mengesan ralat<br />
yang menyebabkan gangguan kepada sistem dan<br />
mengambil tindakan membaik pulih dengan segera; dan<br />
(c) Sekiranya wujud aktiviti-aktiviti tidak sah seperti kecurian<br />
maklumat, pencerobohan atau penyalahgunaan,<br />
hendaklah dilaporkan dengan segera kepada ICTSO.<br />
0605 Pengurusan Rangkaian<br />
Objektif: Melindungi maklumat dalam rangkaian dan<br />
infrastruktur sokongan.<br />
27
DASAR KESELAMATAN ICT <strong>MATRADE</strong><br />
060501 Kawalan Infrastruktur Rangkaian<br />
Infrastruktur Rangkaian mestilah dikawal dan diuruskan sebaik<br />
mungkin demi melindungi ancaman kepada sistem dan aplikasi<br />
di dalam rangkaian.<br />
(a) sebarang server yang dimasukkan ke dalam sistem<br />
rangkaian <strong>MATRADE</strong> perlu diletakkan di dalam zon yang<br />
bersesuaian seperti berikut:<br />
Pengarah ICT,<br />
ICTSO, Pentadbir<br />
Sistem ICT<br />
i) DMZ – menempatkan server yang mempunyai<br />
capaian terus daripada pengguna, seperti server web<br />
dan emel<br />
ii)<br />
Secured – menempatkan server pangkalan data.<br />
(b) capaian secara jarak jauh (remote access) kepada server<br />
di dalam zon Secured adalah tidak dibenarkan, kecuali<br />
bagi Pentadbir Sistem ICT untuk tujuan pentadbiran sistem;<br />
(c) capaian secara jarak jauh (remote access) ke dalam sistem<br />
rangkaian <strong>MATRADE</strong> oleh Pihak Ketiga, seperti pembekal<br />
adalah tidak dibenarkan kecuali dengan kebenaran ICTSO;<br />
(d) semua perisian sniffer atau network analyser atau perisian<br />
seumpama dengannya adalah dilarang dipasang pada<br />
komputer pengguna kecuali mendapat kebenaran ICTSO;<br />
(e) sebarang penyambungan rangkaian yang bukan di bawah<br />
kawalan <strong>MATRADE</strong> hendaklah mendapat kebenaran ICTSO.<br />
(f) Peralatan rangkaian hendaklah diletakkan di lokasi yang<br />
mempunyai ciri-ciri fizikal yang kukuh dan bebas dari risiko<br />
seperti banjir, gegaran dan habuk.<br />
(g) Capaian kepada peralatan rangkaian hendaklah dikawal<br />
dan terhad kepada pengguna yang dibenarkan sahaja.<br />
Semua<br />
Semua<br />
Semua<br />
Semua<br />
Pentadbir Sistem<br />
ICT<br />
Pentadbir Sistem<br />
ICT<br />
060502 Wireless<br />
Langkah-langkah minimum perlu dilaksanakan bagi<br />
memperkukuh kawalan keselamatan sistem rangkaian tanpa<br />
wayar adalah berpandukan Surat KSN bertarikh 20 Oktober<br />
2006: Langkah-Langkah Untuk Memperkukuhkan Keselamatan<br />
Rangkaian Setempat Tanpa Wayar (Wireless Local Area<br />
Network) Di Agensi-Agensi Kerajaan termasuk berikut:<br />
Semua<br />
28
(a) Menggunakan enkripsi dan network key yang kukuh<br />
dengan kombinasi pelbagai karakter ke atas wireless<br />
access point (AP);<br />
(b) Kerap menukar kata laluan atau network key;<br />
(c) Kawalan penggunaan MAC Address;<br />
(d) Pengukuhan struktur rangkaian setempat boleh<br />
dilaksanakan seperti berikut:<br />
i. merekabentuk sistem rangkaian setempat supaya<br />
akses menerusi wireless access point (AP) perlu<br />
melalui tapisan keselamatan yang sewajarnya.<br />
Borang Pendaftaran Wireless adalah seperti<br />
Lampiran 3; dan<br />
DASAR KESELAMATAN ICT <strong>MATRADE</strong><br />
ii.<br />
merekabentuk kawalan capaian menggunakan<br />
pengenalan pengguna (user authentication)<br />
melalui penggunaan Radius Server.<br />
0606 Keselamatan Komunikasi<br />
Objektif:<br />
Melindungi aset ICT melalui sistem komunikasi yang<br />
selamat.<br />
060601 Internet<br />
(a)<br />
(b)<br />
(c)<br />
Kemudahan Internet hendaklah digunakan untuk tujuan<br />
rasmi sahaja;<br />
Laman yang dilayari hendaklah hanya yang berkaitan<br />
dengan bidang kerja;<br />
Bahan yang diperoleh dari Internet hendaklah ditentukan<br />
ketepatan dan kesahihannya. Sebagai amalan baik,<br />
rujukan sumber Internet hendaklah dinyatakan;<br />
Semua<br />
(d) Bahan rasmi hendaklah disemak dan mendapat<br />
pengesahan daripada Pengarah Kanan atau Pengarah<br />
bahagian berkenaan sebelum dimuat naik ke Internet;<br />
(e)<br />
Semua pengguna adalah dilarang melakukan aktivitiaktiviti<br />
yang melanggar tatacara penggunaan Internet<br />
seperti:<br />
i. Melawat laman web yang tidak beretika seperti<br />
laman web lucah atau setaraf dengannya.<br />
29
ii. Memuat naik, memuat turun, menyimpan dan<br />
menggunakan perisian tidak berlesen.<br />
iii. Menyedia, memuat naik, memuat turun dan<br />
menyimpan maklumat Internet yang melibatkan<br />
sebarang pernyataan fitnah atau hasutan yang<br />
boleh memburuk dan menjatuhkan individu,<br />
organisasi atau Kerajaan.<br />
iv. Memuat turun, menyimpan dan menggunakan<br />
perisian berbentuk hiburan atas talian seperti<br />
permainan elektronik, video, lagu dan perjudian.<br />
v. Melakukan sebarang aktiviti yang mengganggu<br />
sistem rangkaian <strong>MATRADE</strong>.<br />
DASAR KESELAMATAN ICT <strong>MATRADE</strong><br />
(f)<br />
Maklumat lanjut mengenai keselamatan Internet bolehlah<br />
merujuk kepada Pekeliling Kemajuan Pentadbiran Awam<br />
Bilangan 1 Tahun 2003 bertajuk “Garis Panduan Mengenai<br />
Tatacara Penggunaan Internet dan Mel Elektronik di<br />
Agensi-agensi Kerajaan”.<br />
060602 Mel Elektronik<br />
(a) Akaun atau alamat mel elektronik (e-mel) yang<br />
diperuntukkan oleh <strong>MATRADE</strong> sahaja boleh digunakan<br />
untuk tujuan rasmi. Penggunaan akaun milik orang lain<br />
atau akaun yang dikongsi bersama adalah dilarang;<br />
Semua<br />
(b) Memastikan subjek dan kandungan e-mel adalah<br />
berkaitan dan menyentuh perkara perbincangan yang<br />
sama sebelum penghantaran dilakukan;<br />
(c) Penghantaran e-mel rasmi hendaklah menggunakan<br />
akaun e-mel rasmi dan pastikan alamat e-mel penerima<br />
adalah betul;<br />
(d) Pengguna hendaklah mengelak dari membuka e-mel<br />
daripada penghantar yang tidak diketahui atau diragui;<br />
(e) Pengguna hendaklah mengenal pasti dan mengesahkan<br />
identiti pengguna yang berkomunikasi dengannya<br />
sebelum meneruskan transaksi maklumat melalui e-mel;<br />
30
DASAR KESELAMATAN ICT <strong>MATRADE</strong><br />
(f)<br />
Setiap e-mel rasmi yang dihantar atau diterima hendaklah<br />
difailkan mengikut tatacara pengurusan sistem fail<br />
<strong>MATRADE</strong> dan Bahagian masing-masing;<br />
(g) E-mel yang tidak penting dan tidak mempunyai nilai arkib<br />
yang telah diambil tindakan dan tidak diperlukan lagi<br />
bolehlah dihapuskan;<br />
(h) Pengguna hendaklah menentukan tarikh dan masa sistem<br />
komputer adalah tepat;<br />
(i)<br />
(j)<br />
(k)<br />
(l)<br />
Dilarang menghantar dan menyimpan e-mel yang<br />
mempunyai unsur-unsur politik, hasutan, perkauman,<br />
ancaman, bahan-bahan lucah dan sebarang maklumat<br />
yang tiada hubungkait dengan tugas dan<br />
tanggungjawab, yang mana kesannya boleh<br />
memudaratkan nama baik <strong>MATRADE</strong>, Perkhidmatan<br />
Awam dan negara;<br />
Penghantaran maklumat terperingkat bertaraf RAHSIA<br />
BESAR atau RAHSIA melalui e-mel adalah tidak dibenarkan.<br />
Penghantaran maklumat terperingkat SULIT atau TERHAD<br />
perlu menggunakan kaedah encryption atau kepilan fail<br />
yang mempunyai katalaluan. Katalaluan hendaklah<br />
dihantar kepada penerima secara berasingan, sebaikbaiknya<br />
menggunakan medium yang berbeza;<br />
Penghantaran maklumat antara ibu pejabat dengan<br />
pejabat cawangan atau pejabat luar negara digalakkan<br />
menggunakan kaedah encryption;<br />
Dilarang melanggan kepada mana-mana mailing list atau<br />
e-group yang tiada kaitan dengan tugas dengan<br />
menggunakan akaun e-mel;<br />
(m) Penghantaran e-mel berserta kepilan (attachment) telah<br />
dihadkan kepada maksimum 10 MB sahaja;<br />
(n) Penghantaran maklumat rasmi melalui free web-based<br />
mail (seperti e-mel Hotmail atau Yahoo!) adalah dilarang<br />
melainkan atas sebab-sebab tertentu yang dibenarkan;<br />
(o) Segala akaun e-mel yang diberi bukan hak persendirian.<br />
Pegawai Keselamatan ICT (ICTSO) atau Pentadbir E-mel<br />
berhak mengakses e-mel individu dan mendedahkan<br />
31
maklumat kepada pihak-pihak yang tertentu atas sebabsebab<br />
keselamatan atau undang-undang negara;<br />
(p) Tatacara penggunaan e-mel adalah berpandukan<br />
kepada ”<strong>MATRADE</strong>’s E-mail Guideline”; dan<br />
(q) Maklumat lanjut mengenai keselamatan e-mel bolehlah<br />
merujuk kepada Pekeliling Kemajuan Pentadbiran Awam<br />
Bilangan 1 Tahun 2003 bertajuk “Garis Panduan Mengenai<br />
Tatacara Penggunaan Internet dan Mel Elektronik di<br />
Agensi-agensi Kerajaan”.<br />
060603 Media Sosial<br />
DASAR KESELAMATAN ICT <strong>MATRADE</strong><br />
Media sosial seperti blog, Facebook, Youtube, Instagram, Twitter<br />
dan WhatsApp menjadi rangkaian komunikasi yang meluas<br />
kepada segenap lapisan masyarakat pada masa kini.<br />
Semua<br />
Perkara-perkara yang perlu dipatuhi semasa penggunaan<br />
media sosial adalah:<br />
(a) Mengenal pasti objektif utama penggunaan media sosial;<br />
(b) Memastikan sebarang bentuk maklumat yang dikongsi<br />
melalui media sosial tidak menjejaskan perkhidmatan<br />
awam dan kedaulatan negara;<br />
(c) Tidak melibatkan penyebaran maklumat dan dokumen<br />
terperingkat;<br />
(d) Memastikan alamat emel dan kata laluan rasmi tidak<br />
digunakan dalam akaun peribadi media sosial;<br />
(e) Mengelakkan sama sekali daripada membenarkan<br />
individu lain menggunakan identiti dan kata laluan akaun<br />
penjawat awam;<br />
(f)<br />
Mengelakkan perkongsian maklumat peribadi daripada<br />
dimanipulasikan oleh pihak yang tidak bertanggung<br />
jawab;<br />
(g) Mengelakkan dari memuat turun aplikasi yang tidak<br />
diketahui tahap keselamatannya;<br />
(h)<br />
Pegawai awam dilarang menggunakan media sosial<br />
untuk tujuan peribadi semasa waktu pejabat samada<br />
menerusi peralatan komputer atau alat mudah alih yang<br />
dibekalkan oleh pejabat atau melalui peralatan peribadi<br />
32
kecuali di kawasan yang dibenarkan seperti Business<br />
Information Centre (BIC);<br />
DASAR KESELAMATAN ICT <strong>MATRADE</strong><br />
(i)<br />
(j)<br />
Pegawai awam boleh menggunakan media sosial secara<br />
peribadi di luar waktu pejabat tetapi perlu berhati-hati<br />
supaya tidak mendedakan sebarang maklumat rasmi;<br />
Sebarang komen mengenai isu-isu yang melibatkan agensi<br />
atau yang berbentuk serangan peribadi hendaklah<br />
dielakkan;<br />
(k) Ketepatan dan sensitiviti maklumat yang ingin<br />
disampaikan hendaklah disemak terlebih dahulu sebelum<br />
dihantar;<br />
(l)<br />
Memastikan perkongsian dan penggunaan maklumat<br />
yang berkaitan dengan hak cipta dan harta intelek telah<br />
mendapat kebenaran daripada pihak yang berkenaan;<br />
(m) Sekiranya terdapat kesilapan pada sebarang maklumat<br />
yang telah dihebahkan, akui, buat pembetulan dan<br />
mohon maaf kepada pihak yang berkaitan secara terus<br />
dalam laman sosial yang terlibat.<br />
33
DASAR KESELAMATAN ICT <strong>MATRADE</strong><br />
PERKARA 07 KAWALAN CAPAIAN<br />
TANGGUNGJAWAB<br />
0701 Dasar Kawalan Capaian<br />
Objektif :<br />
Memahami dan mematuhi keperluan keselamatan<br />
dalam mencapai dan menggunakan sistem ICT<br />
<strong>MATRADE</strong>.<br />
070101 Keperluan Kawalan<br />
Capaian kepada proses dan maklumat hendaklah dikawal<br />
mengikut keperluan keselamatan dan fungsi kerja pengguna<br />
yang berbeza. Ia perlu direkodkan, dikemas kini dan<br />
menyokong dasar kawalan capaian pengguna sedia ada.<br />
CIO, Pengarah<br />
ICT, ICTSO,<br />
Pentadbir Sistem<br />
ICT<br />
0702 Pengurusan Capaian Pengguna<br />
Objektif :<br />
Mengawal capaian pengguna ke atas aset ICT<br />
<strong>MATRADE</strong>.<br />
070201 Akaun Pengguna<br />
Pengguna adalah bertanggungjawab ke atas sistem ICT yang<br />
digunakan. Bagi mengenal pasti pengguna dan aktiviti yang<br />
dilakukan, langkah-langkah berikut hendaklah dipatuhi:<br />
Semua<br />
(a)<br />
capaian aset ICT <strong>MATRADE</strong> hanya boleh dilakukan melalui<br />
akaun yang diperuntukkan oleh Seksyen Teknologi<br />
Maklumat;<br />
(b) akaun pengguna mestilah unik dan hendaklah<br />
mencerminkan identiti pengguna;<br />
(c)<br />
akaun pengguna yang diwujud pertama kali akan diberi<br />
tahap capaian paling minimum iaitu mengikut tahap<br />
capaian yang ditentukan untuk jawatannya. Sebarang<br />
tambahan atau perubahan tahap capaian perlu melalui<br />
prosedur yang ditentukan;<br />
(d) pemilikan akaun pengguna bukanlah hak mutlak<br />
seseorang dan boleh ditarik balik jika penggunaannya<br />
melanggar peraturan;<br />
(e)<br />
penggunaan akaun milik orang lain atau akaun yang<br />
dikongsi bersama adalah dilarang kecuali dengan<br />
kebenaran pemilik akaun. Setiap pemilik akaun adalah<br />
34
ertanggungjawab ke atas akaun diperuntukkan<br />
kepadanya; dan<br />
DASAR KESELAMATAN ICT <strong>MATRADE</strong><br />
(f)<br />
Pentadbir Sistem ICT boleh membeku dan menamatkan<br />
akaun pengguna atas sebab-sebab berikut;<br />
i. Pengguna bercuti panjang atau menghadiri kursus<br />
di luar pejabat dalam tempoh waktu melebihi 3<br />
bulan;<br />
ii.<br />
iii.<br />
iv.<br />
Bertukar bidang tugas kerja;<br />
Bertukar ke agensi lain;<br />
Bersara; atau<br />
v. Ditamatkan perkhidmatan.<br />
(g)<br />
Menjaga kerahsiaan kata laluan bagi akaun yang<br />
diperuntukkan dan mengamalkan panduan berikut:<br />
i. Kata laluan perlu diingat dan tidak dimaklumkan<br />
kepada siapa sahaja. Ia tidak perlu disalin pada<br />
mana-mana media;<br />
ii.<br />
iii.<br />
iv.<br />
Memilih kata laluan yang mempunyai kombinasi<br />
nombor, huruf (kecil dan besar) serta simbol<br />
(contohnya: 03ma7Rad&);<br />
Panjang kata laluan sekurang-kurangnya lapan<br />
huruf;<br />
Menukar kata laluan setiap 6 bulan sekali (disyorkan<br />
3 bulan sekali) atau selepas tempoh masa yang<br />
bersesuaian mengikut keperluan;<br />
v. Kata laluan hendaklah tidak dipaparkan semasa<br />
input, dalam laporan atau media lain dan tidak<br />
boleh dikodkan di dalam program;<br />
vi. Kata laluan hendaklah berlainan daripada<br />
pengenalan identiti pengguna;<br />
vii.<br />
Pengguna hendaklah menukar kata laluan apabila<br />
disyaki berlakunya kebocoran kata laluan atau<br />
dikompromi;<br />
35
DASAR KESELAMATAN ICT <strong>MATRADE</strong><br />
070202 Jejak Audit<br />
Jejak audit akan merekodkan semua aktiviti sistem. Jejak audit<br />
juga adalah penting dan digunakan untuk tujuan penyiasatan<br />
sekiranya berlaku kerosakan atau penyalahgunaan sistem.<br />
Pentadbir Sistem<br />
ICT<br />
(a) Aktiviti jejak audit mengandungi:<br />
i. maklumat identiti pengguna, sumber yang digunakan,<br />
perubahan maklumat, tarikh dan masa aktiviti,<br />
rangkaian dan program yang digunakan;<br />
ii. aktiviti capaian pengguna ke atas sistem ICT sama ada<br />
secara sah atau sebaliknya;<br />
iii. maklumat aktiviti sistem yang tidak normal atau aktiviti<br />
yang tidak mempunyai ciri-ciri keselamatan;<br />
iv. merekod setiap aktiviti transaksi termasuk daftar,<br />
kemaskini dan padam data;<br />
(b) jejak audit hendaklah disimpan untuk tempoh masa seperti<br />
yang disarankan oleh Akta Arkib Negara;<br />
(c) Pentadbir Sistem ICT hendaklah menyemak catatan jejak<br />
audit dari semasa ke semasa dan menyediakan laporan jika<br />
perlu; dan<br />
(d) jejak audit juga perlu dilindungi dari kerosakan, kehilangan,<br />
penghapusan, pemalsuan dan pengubah suaian yang<br />
tidak dibenarkan.<br />
0703 Kawalan Capaian Sistem dan Aplikasi<br />
Objektif:<br />
Melindungi sistem maklumat dan aplikasi sedia ada<br />
dari sebarang bentuk capaian yang tidak<br />
dibenarkan yang boleh menyebabkan kerosakan<br />
atau penyalahgunaan.<br />
070301 Sistem Maklumat dan Aplikasi<br />
Capaian sistem dan aplikasi di <strong>MATRADE</strong> adalah terhad kepada<br />
pengguna dan tujuan yang dibenarkan. Bagi memastikan<br />
kawalan capaian sistem dan aplikasi adalah kukuh, langkahlangkah<br />
berikut hendaklah dipatuhi:<br />
Semua<br />
36
(a) pengguna hanya boleh menggunakan sistem maklumat<br />
dan aplikasi yang dibenarkan mengikut tahap capaian dan<br />
sensitiviti maklumat yang telah ditentukan;<br />
(b) aktiviti capaian sistem maklumat dan aplikasi hendaklah<br />
direkodkan (log) bagi mengesan aktiviti-aktiviti yang tidak<br />
diingini;<br />
(c) menghadkan capaian sistem dan aplikasi kepada tiga (3)<br />
kali percubaan. Sekiranya gagal, akaun atau kata laluan<br />
pengguna akan disekat dan untuk mengaktifkan akaun,<br />
pengguna perlu berhubung dengan IT Helpdesk;<br />
(d) logoff sistem aplikasi secara automatik apabila tiada aktiviti<br />
dalam tempoh tidak melebihi 30 minit atau mengikut<br />
sensitiviti data KECUALI dalam keadaan tertentu yang<br />
dibenarkan oleh ICTSO ; dan<br />
(e) capaian sistem maklumat dan aplikasi melalui jarak jauh<br />
adalah terhad kepada perkhidmatan yang dibenarkan<br />
sahaja.<br />
0704 Bring Your Own Device (BYOD)<br />
Objektif: Memastikan keselamatan maklumat semasa<br />
menggunakan peralatan BYOD di <strong>MATRADE</strong>.<br />
070401 Keperluan dan Kawalan Penggunaan BYOD<br />
DASAR KESELAMATAN ICT <strong>MATRADE</strong><br />
Penggunaan BYOD yang disambungkan kepada rangkaian<br />
<strong>MATRADE</strong> sama ada menyimpan atau mengakses maklumat<br />
rasmi Kerajaan adalah tertakluk kepada perkara-perkara yang<br />
perlu dipatuhi seperti berikut:<br />
(a) Pengguna yang menggunakan BYOD untuk mencapai<br />
maklumat rasmi hendaklah memohon kebenaran<br />
daripada Pengarah Kanan/ Pengarah Bahagian;<br />
Semua<br />
(b) BYOD adalah dilarang daripada mencapai Maklumat<br />
Rahsia Rasmi dan dilarang sama sekali di bawa masuk ke<br />
Kawasan Larangan;<br />
(c) Pengguna perlu mengetahui risiko dan kesan penggunaan<br />
BYOD terhadap keselamatan maklumat;<br />
37
(d) Pengguna bertanggungjawab sepenuhnya ke atas<br />
sebarang insiden keselamatan yang berpunca daripada<br />
penggunaan BYOD;<br />
DASAR KESELAMATAN ICT <strong>MATRADE</strong><br />
(e) Peralatan BYOD mestilah dilindungi oleh kata laluan;<br />
(f)<br />
Peralatan BYOD mestilah mengandungi anti virus;<br />
(g) Pengguna bertanggungjawab memastikan peralatan<br />
BYOD yang digunakan adalah tulen dan berlesen;<br />
(h) Maklumat rasmi perlu dihapuskan jika pegawai tidak lagi<br />
bertugas di <strong>MATRADE</strong>.<br />
38
DASAR KESELAMATAN ICT <strong>MATRADE</strong><br />
PERKARA 08 PEMBANGUNAN DAN PENYELENGGARAAN SISTEM<br />
TANGGUNGJAWAB<br />
0801 Keselamatan Dalam Membangunkan Sistem dan<br />
Aplikasi<br />
Objektif :<br />
Memastikan sistem yang dibangunkan mempunyai<br />
ciri-ciri keselamatan ICT yang bersesuaian.<br />
080101 Keperluan Keselamatan<br />
(a)<br />
(b)<br />
(c)<br />
(d)<br />
Pembangunan sistem hendaklah mengambil kira kawalan<br />
keselamatan bagi memastikan tidak wujudnya sebarang<br />
ralat yang boleh mengganggu pemprosesan dan<br />
ketepatan maklumat;<br />
Ujian keselamatan hendaklah dijalankan ke atas sistem<br />
untuk memastikan integriti dan ketepatan data serta<br />
pemprosesan yang betul dan sempurna;<br />
Semua sistem yang dibangunkan sama ada secara<br />
dalaman atau sebaliknya hendaklah diuji terlebih dahulu<br />
bagi memastikan sistem berkenaan memenuhi keperluan<br />
keselamatan yang telah ditetapkan sebelum digunakan;<br />
Mekanisma kawalan keselamatan yang bersesuaian perlu<br />
dilaksanakan ke atas sistem yang dibangunkan<br />
berdasarkan tahap sensitiviti sistem tersebut.<br />
Pemilik sistem,<br />
Pengarah ICT,<br />
ICTSO, Pentadbir<br />
Sistem ICT<br />
0802 Kriptografi<br />
Objektif:<br />
Melindungi kerahsiaan, integriti dan kesahihan<br />
maklumat melalui kawalan kriptografi.<br />
080201 Penyulitan (Encryption)<br />
Pengguna hendaklah membuat penyulitan atau menggunakan<br />
kata laluan ke atas maklumat sensitif atau maklumat rahsia rasmi<br />
pada setiap masa.<br />
Semua<br />
080202 Tandatangan Digital<br />
Penggunaan tandatangan digital adalah berpandukan<br />
kepada Akta Tanda Tangan Digital 1997.<br />
Semua<br />
39
DASAR KESELAMATAN ICT <strong>MATRADE</strong><br />
080203 Pengurusan Kunci Kriptografi<br />
Pengurusan kunci hendaklah dilakukan dengan berkesan dan<br />
selamat bagi melindungi kunci berkenaan dari diubah,<br />
dimusnah dan didedahkan sepanjang tempoh sah kunci<br />
tersebut.<br />
Semua<br />
0803 Fail Sistem<br />
Objektif: Memastikan supaya fail sistem dikawal dan<br />
dikendalikan dengan baik dan selamat.<br />
080301 Kawalan Fail Sistem<br />
(a)<br />
(b)<br />
(c)<br />
(d)<br />
(e)<br />
Proses pengemas kini fail sistem hanya boleh dilakukan<br />
oleh Pentadbir Sistem ICT atau pegawai yang berkenaan<br />
dan mengikut prosedur yang telah ditetapkan;<br />
Kod atau atur cara sistem yang telah dikemaskini hanya<br />
boleh dilaksanakan atau digunakan selepas diuji;<br />
Data ujian perlu dipilih dengan berhati-hati, dilindungi dan<br />
dikawal. Maklumat pengenalan peribadi tidak boleh<br />
digunakan sebagai data ujian;<br />
Mengawal capaian ke atas kod atau atur cara program<br />
bagi mengelakkan kerosakan, pengubah suaian tanpa<br />
kebenaran, penghapusan dan kecurian; dan<br />
Mengaktifkan audit log bagi merekodkan semua aktiviti<br />
pengemaskinian untuk tujuan statistik, pemulihan dan<br />
keselamatan.<br />
Pentadbir Sistem<br />
ICT<br />
0804 Pembangunan dan Proses Sokongan<br />
Objektif: Menjaga dan menjamin keselamatan sistem<br />
maklumat dan aplikasi.<br />
080401 Kawalan Perubahan<br />
Perkara-perkara yang perlu dipatuhi adalah seperti berikut:<br />
(a) Perubahan atau pengubahsuaian ke atas sistem<br />
maklumat dan aplikasi hendaklah dikawal, diuji,<br />
direkodkan dan disahkan sebelum diguna pakai.<br />
Pentadbir Sistem<br />
ICT<br />
40
DASAR KESELAMATAN ICT <strong>MATRADE</strong><br />
(b)<br />
(c)<br />
Aplikasi kritikal perlu dikaji semula dan diuji apabila<br />
terdapat perubahan kepada sistem pengoperasian untuk<br />
memastikan tiada kesan yang buruk terhadap operasi dan<br />
keselamatan agensi. Individu atau suatu kumpulan<br />
tertentu perlu bertanggungjawab memantau<br />
penambahbaikan dan pembetulan yang dilakukan oleh<br />
pembekal;<br />
Menghalang sebarang peluang untuk membocorkan<br />
maklumat.<br />
080402 Pembangunan Perisian Secara Outsource<br />
Pembangunan perisian secara outsource perlu diselia dan<br />
dipantau oleh pemilik sistem.<br />
Kod sumber (source code) bagi semua aplikasi dan perisian<br />
adalah menjadi hak milik <strong>MATRADE</strong>.<br />
Seksyen Teknologi<br />
Maklumat dan<br />
Pentadbir Sistem<br />
ICT<br />
0805 Kawalan Teknikal Keterdedahan (Vulnerability)<br />
Objektif: Memastikan kawalan teknikal keterdedahan adalah<br />
berkesan, sistematik dan berkala dengan mengambil langkahlangkah<br />
yang bersesuaian untuk menjamin keberkesanannya.<br />
080501 Kawalan dari Ancaman Teknikal<br />
Kawalan teknikal keterdedahan ini perlu dilaksanakan ke atas<br />
system pengoperasian dan sistem aplikasi yang digunakan.<br />
Perkara yang perlu dipatuhi adalah seperti berikut:<br />
(a) Memperoleh maklumat teknikal keterdedahan yang tepat<br />
pada masanya ke atas sistem maklumat yang digunakan;<br />
(b) Menilai tahap pendedahan bagi mengenal pasti tahap<br />
risiko yang bakal dihadapi; dan<br />
(c) Mengambil langkah-langkah kawalan untuk mengatasi risiko<br />
berkaitan.<br />
41
DASAR KESELAMATAN ICT <strong>MATRADE</strong><br />
PERKARA 09 PENGURUSAN KESINAMBUNGAN PERKHIDMATAN<br />
TANGGUNGJAWAB<br />
0901 Dasar Kesinambungan Perkhidmatan<br />
Objektif : Menjamin operasi perkhidmatan agar tidak<br />
tergendala dan penyampaian perkhidmatan yang<br />
berterusan kepada pelanggan.<br />
090101 Pelan Kesinambungan Perkhidmatan (Business<br />
Continuity Plan)<br />
(a) Pelan kesinambungan perkhidmatan hendaklah<br />
dibangunkan untuk menentukan pendekatan yang<br />
menyeluruh diambil bagi mengekalkan kesinambungan<br />
perkhidmatan <strong>MATRADE</strong>.<br />
CIO, Pengarah<br />
ICT, ICTSO<br />
(b)<br />
Senarai dokumen yang telah dibangunkan adalah seperti<br />
berikut:<br />
i. Corporate Business Continuity Plan (CBCP)<br />
ii.<br />
iii.<br />
iv.<br />
Emergency Response Plan (ERP)<br />
Crisis Communication Plan (CCP)<br />
IT Disaster Recovery Plan (ITDRP)<br />
v. Business Continuity Plan (BCP)<br />
vi.<br />
Incident Management Plan (for Regional/ TC<br />
Office)<br />
(c)<br />
Penilaian secara berkala hendaklah dilaksanakan untuk<br />
memastikan pelan tersebut bersesuaian dan memenuhi<br />
tujuan dibangunkan.<br />
090102 Salinan Pelan Kesinambungan Perkhidmatan<br />
(Business Continuity Plan)<br />
Salinan pelan BCM perlu disimpan di lokasi berasingan untuk<br />
mengelakkan kerosakan akibat bencana di lokasi utama.<br />
<strong>MATRADE</strong> hendaklah memastikan salinan pelan BCM sentiasa<br />
dikemaskini dan dilindungi seperti di lokasi utama.<br />
CIO, Pengarah ICT,<br />
ICTSO<br />
42
090103 Pengujian Pelan Kesinambungan Perkhidmatan<br />
(Business Continuity Plan)<br />
DASAR KESELAMATAN ICT <strong>MATRADE</strong><br />
(a) Ujian pelan BCM hendaklah dijadualkan untuk memastikan<br />
semua ahli dalam pemulihan dan personel yang terlibat<br />
mengetahui mengenai pelan tersebut, tanggungjawab<br />
dan peranan mereka apabila pelan dilaksanakan.<br />
(b) Pelan BCM hendaklah diuji sekurang-kurangnya sekali<br />
setahun atau apabila terdapat perubahan dalam<br />
persekitaran atau fungsi bisnes untuk memastikan ia<br />
sentiasa kekal berkesan.<br />
CIO, Pengarah ICT,<br />
ICTSO<br />
43
DASAR KESELAMATAN ICT <strong>MATRADE</strong><br />
PERKARA 10 PEMATUHAN<br />
TANGGUNGJAWAB<br />
1001 Pematuhan dan Keperluan Perundangan<br />
Objektif: Meningkatkan tahap keselamatan ICT bagi<br />
mengelak dari pelanggaran kepada Dasar<br />
Keselamatan ICT <strong>MATRADE</strong>.<br />
100101 Pematuhan Dasar<br />
Setiap pengguna di <strong>MATRADE</strong> hendaklah membaca,<br />
memahami dan mematuhi Dasar Keselamatan ICT <strong>MATRADE</strong><br />
dan undang-undang atau peraturan-peraturan lain yang<br />
berkaitan.<br />
Semua<br />
Semua aset ICT di <strong>MATRADE</strong> termasuk maklumat yang disimpan<br />
di dalamnya adalah hak milik <strong>MATRADE</strong> dan Ketua Jabatan<br />
berhak untuk memantau aktiviti pengguna untuk mengesan<br />
penggunaan selain dari tujuan yang telah ditetapkan.<br />
100102 Kelangsungan Pematuhan Dasar<br />
Tanggungjawab setiap pengguna tidak akan terjejas walaupun<br />
tamat perkhidmatan dengan <strong>MATRADE</strong>.<br />
100103 Keperluan Perundangan<br />
(a) Berikut adalah keperluan perundangan atau peraturanperaturan<br />
lain berkaitan yang perlu dipatuhi oleh semua<br />
pengguna di <strong>MATRADE</strong>:<br />
Semua<br />
(b) Arahan Keselamatan;<br />
(c) Pekeliling Am Bilangan 3 Tahun 2000 bertajuk “Rangka<br />
Dasar Keselamatan Teknologi Maklumat dan Komunikasi<br />
Kerajaan”;<br />
(d) Malaysian Public Sector Management of Information and<br />
Communications Technology Security Handbook (MyMIS);<br />
(e) Pekeliling Am Bilangan 1 Tahun 2001 bertajuk “Mekanisme<br />
Pelaporan Insiden Keselamatan Teknologi Maklumat dan<br />
Komunikasi (ICT)”;<br />
(f)<br />
Pekeliling Kemajuan Pentadbiran Awam Bilangan 1 Tahun<br />
2003 bertajuk “Garis Panduan Mengenai Tatacara<br />
44
Penggunaan Internet dan Mel Elektronik di Agensi-agensi<br />
Kerajaan”;<br />
(g) Surat Pekeliling Am Bilangan 6 Tahun 2005 – Garis Panduan<br />
Penilaian Risiko Keselamatan Maklumat Sektor Awam;<br />
(h) Surat Pekeliling Am Bilangan 4 Tahun 2006 - Pengurusan<br />
Pengendalian insiden Keselamatan Teknologi Maklumat<br />
dan Komunikasi (ICT) Sektor Awam;<br />
DASAR KESELAMATAN ICT <strong>MATRADE</strong><br />
(i)<br />
(j)<br />
Surat Arahan Ketua Setiausaha Negara – Langkah-langkah<br />
Untuk Memperkukuhkan Keselamatan Rangkaian<br />
Setempat Tanpa Wayar (Wireless Local Area Network) di<br />
Agensi-agensi Kerajaan bertarikh 20 Oktober 2006;<br />
Penerapan Etika Penggunaan Media Sosial dalam Sektor<br />
Awam;<br />
(k) Akta Tanda Tangan Digital 1997;<br />
(l) Akta Jenayah Komputer 1997;<br />
(m) Akta Hak Cipta (<strong>Pindaan</strong>) Tahun 1997;<br />
(n) Akta Komunikasi dan Multimedia 1998;<br />
(o) Arahan Teknologi Maklumat 2007;<br />
(p) Akta Perlindungan Data Peribadi 2010 (Akta 709)<br />
(q) <strong>MATRADE</strong>'s E-mail Guideline; dan<br />
(r)<br />
Pekeliling-pekeliling, prosedur-prosedur dan garis panduan<br />
yang dikeluarkan dari semasa ke semasa.<br />
100104 Pelanggaran Dasar<br />
<strong>MATRADE</strong> berhak untuk mengambil tindakan berdasarkan<br />
peraturan-peraturan atau akta-akta yang berkuatkuasa<br />
sekiranya berlaku pelanggaran <strong>DKICT</strong><br />
Semua<br />
Disediakan oleh;<br />
Seksyen Teknologi Maklumat<br />
<strong>MATRADE</strong><br />
<strong>Pindaan</strong> <strong>November</strong> <strong>2018</strong><br />
45
DASAR KESELAMATAN ICT <strong>MATRADE</strong><br />
DAFTAR ISTILAH<br />
Antivirus<br />
Aplikasi<br />
Aset ICT<br />
Backup<br />
Dasar<br />
Dokumentasi<br />
GCERT<br />
Perisian yang mengimbas virus pada media storan seperti<br />
disket, cakera padat, pita magnetik, optical disk, flash disk,<br />
CDROM, thumb drive untuk sebarang kemungkinan adanya<br />
virus.<br />
Merujuk kepada sistem berkomputer yang dibangunkan<br />
seperti <strong>MATRADE</strong> ONLINE atau diperoleh secara ready-made<br />
seperti Asset Management System (AMS) dan SAGA.<br />
Merangkumi perkakasan, perisian, perkhidmatan sokongan<br />
ICT, data atau maklumat dan sumber manusia.<br />
Proses penduaan sesuatu dokumen atau maklumat.<br />
Adalah polisi, iaitu rancangan tindakan yang telah dipersetujui<br />
secara rasmi sebagai asas untuk membuat atau<br />
melaksanakan sesuatu keputusan.<br />
Semua himpunan atau kumpulan bahan atau dokumen yang<br />
disimpan dalam bentuk media cetak, soft copy, elektronik,<br />
online, transparensi, risalah atau slaid.<br />
Government Computer Emergency Response Team atau<br />
Pasukan Tindak Balas Insiden Keselamatan ICT Kerajaan.<br />
Organisasi yang ditubuhkan untuk membantu agensi<br />
mengurus pengendalian insiden keselamatan ICT di agensi<br />
masing-masing dan agensi di bawah kawalannya.<br />
Insiden<br />
Keselamatan<br />
Musibah yang berlaku terhadap sistem maklumat dan<br />
komunikasi atau ancaman kemungkinan berlaku kejadian<br />
tersebut.<br />
Keselamatan<br />
Media Storan<br />
Pangkalan Data<br />
Keadaan yang bebas daripada ancaman dan risiko yang<br />
tidak boleh diterima.<br />
Perkakasan yang berkaitan dengan penyimpanan data dan<br />
maklumat seperti komputer riba, tablet, telefon pintar, kamera<br />
digital, thumb drive, external hard disk, disket, cakera padat<br />
(CD dan DVD), memory card dan pita magnetik.<br />
Kumpulan fail atau rekod komputer yang berkait secara logik.<br />
46
DASAR KESELAMATAN ICT <strong>MATRADE</strong><br />
Perisian<br />
Perkakasan<br />
Virus<br />
Bahagian sistem komputer yang berfungsi menjalankan sistem,<br />
dan terdiri daripada atur cara, rutin, subrutin, dan suruhan<br />
yang ditulis dalam bahasa pengaturcaraan. Penghimpun,<br />
penyusun, penjana, dan sistem pengendalian digolongkan<br />
sebagai perisian.<br />
Komponen fizikal atau peralatan yang membentuk sistem<br />
komputer serta sistem rangkaian dan komunikasi seperti<br />
monitor, papan kekunci, unit pemprosesan (CPU), server,<br />
pencetak, pengimbas (scanner), stesen kerja (workstation),<br />
media storan dan seumpamanya.<br />
Atur cara yang bertujuan merosakkan data atau sistem aplikasi<br />
47
DASAR KESELAMATAN ICT <strong>MATRADE</strong><br />
Lampiran 1<br />
SURAT AKUAN PEMATUHAN<br />
DASAR KESELAMATAN ICT <strong>MATRADE</strong><br />
Nama (Huruf Besar) : .........................................................................................<br />
No. Kad<br />
Pengenalan<br />
: .........................................................................................<br />
Jawatan : .........................................................................................<br />
Bahagian/ Unit : .........................................................................................<br />
Peranan : .........................................................................................<br />
Adalah dengan sesungguhnya dan sebenarnya mengaku bahawa:<br />
1. Saya telah membaca, memahami dan akur akan peruntukanperuntukan<br />
yang terkandung di dalam Dasar Keselamatan ICT<br />
<strong>MATRADE</strong>; dan<br />
2. Jika saya ingkar kepada peruntukan-peruntukan yang ditetapkan,<br />
maka tindakan sewajarnya boleh diambil ke atas diri saya.<br />
Tandatangan : ...............................................<br />
Tarikh : ...............................................<br />
Pengesahan Pegawai Keselamatan ICT<br />
...................................................................<br />
( )<br />
b.p. Ketua Eksekutif <strong>MATRADE</strong><br />
Tarikh : ...............................<br />
48
DASAR KESELAMATAN ICT <strong>MATRADE</strong><br />
Lampiran 2<br />
BORANG LAPORAN KEHILANGAN DATA ELEKTRONIK<br />
<strong>MATRADE</strong><br />
Borang ini perlu diisi selepas perkakasan atau maklumat elektronik dipercayai hilang,<br />
didedahkan, disebarkan atau terdapat unsur-unsur yang sedemikian. Borang ini hendaklah<br />
dikemukakan melalui Unit Operasi dan Keselamatan IT dalam tempoh 24 jam untuk penilaian<br />
awal insiden.<br />
Nama :<br />
Gred / Jawatan :<br />
Unit / Seksyen :<br />
Bahagian :<br />
B.1 TARIKH HILANG:<br />
A. MAKLUMAT PEGAWAI YANG MELAPORKAN<br />
B. MAKLUMAT KEHILANGAN / KECURIAN<br />
B.2 JENIS DATA<br />
Data Fizikal<br />
□ Hardcopy<br />
Data Elektronik<br />
□ Dalam CD / DVD / Thumbdrive<br />
/ External Storage<br />
□ Dalam Komputer / Komputer<br />
Riba<br />
□ Dalam Server<br />
Nyatakan peralatan yang terlibat:<br />
(Nama fail, nombor aset, jenis peralatan<br />
dsb)<br />
Nyatakan samada peralatan<br />
dilindungi kata laluan atau tidak?<br />
□ Ya □ Tidak<br />
Kekuatan katalaluan<br />
□ Kuat □ Sederhana □ Lemah<br />
B.3 PUNCA KEHILANGAN :<br />
□ Kehilangan (Fizikal)<br />
□ Kecurian<br />
□ Kerosakan Peralatan / Perisian<br />
□ Virus / Aktiviti Hacking<br />
□ Lain-lain : (sebutkan)<br />
Nyatakan punca secara ringkas :<br />
B.4 LAPORAN POLIS<br />
Laporan Polis telah dibuat<br />
Tarikh Laporan :<br />
□ Ya □ Tidak<br />
49
DASAR KESELAMATAN ICT <strong>MATRADE</strong><br />
C. PERINGKAT MAKLUMAT YANG TERLIBAT<br />
Jenis Maklumat<br />
Tahap<br />
Pelindungan<br />
C.1 RAHSIA BESAR<br />
i. Kertas / Dokumen Jemaah Menteri □ Ada □ Tiada □ Password<br />
ii. Surat Menyurat dengan Kerajaan Asing mengenai<br />
aspek perdagangan yang amat penting<br />
iii. Dokumen berkaitan strategi Perisikan dan<br />
□ Ada □ Tiada<br />
□ Ada □ Tiada<br />
□ Encrypt<br />
□ Password<br />
□ Encrypt<br />
□ Password<br />
Ketenteraan<br />
□ Encrypt<br />
iv. Lain-lain dokumen : □ Ada □ Tiada □ Password<br />
C.2 RAHSIA<br />
i. Arahan-arahan penting untuk perwakilan Malaysia<br />
yang membuat rundingan dengan negara asing<br />
ii. Surat-menyurat antara jabatan mengenai perkara<br />
□ Ada □ Tiada<br />
□ Ada □ Tiada<br />
□ Encrypt<br />
□ Password<br />
□ Encrypt<br />
□ Password<br />
dasar yang penting<br />
□ Encrypt<br />
iii. Lain-lain dokumen : □ Ada □ Tiada □ Password<br />
C.3 SULIT<br />
i. Dokumen berkaitan kewangan (seperti peruntukan<br />
□ Ada □ Tiada<br />
□ Encrypt<br />
□ Password<br />
dan pembayaran)<br />
□ Encrypt<br />
ii. Data-data pengeksport / pekerja □ Ada □ Tiada □ Password<br />
□ Encrypt<br />
iii. Maklumat Keselamatan Bangunan / Komputer □ Ada □ Tiada □ Password<br />
□ Encrypt<br />
iv. Minit-minit mesyuarat □ Ada □ Tiada □ Password<br />
□ Encrypt<br />
v. Lain-lain dokumen : □ Ada □ Tiada □ Password<br />
□ Encrypt<br />
C.4 TERHAD<br />
i. Arahan-arahan Jabatan □ Ada □ Tiada □ Password<br />
□ Encrypt<br />
ii. Dokumen Perolehan □ Ada □ Tiada □ Password<br />
□ Encrypt<br />
iii. Lain-lain dokumen : □ Ada □ Tiada □ Password<br />
C.4 LAIN-LAIN DOKUMEN<br />
□ Encrypt<br />
Nyatakan ; □ Ada □ Tiada □ Password<br />
□ Encrypt<br />
50
DASAR KESELAMATAN ICT <strong>MATRADE</strong><br />
C.5 LAIN-LAIN ULASAN PEGAWAI YANG MELAPORKAN<br />
PERAKUAN LAPORAN<br />
Saya, ______________________________________ No. Kad Pengenalan<br />
____________________ mengakui maklumat yang diberikan di dalam laporan<br />
ini adalah benar. Sekiranya perkara kehilangan ini telah dijumpai atau<br />
selesai, saya akan maklumkan semula kepada Unit Operasi dan Keselamatan<br />
IT dengan segera.<br />
Tandatangan<br />
_______________________<br />
Tarikh :<br />
PENERIMAAN LAPORAN KEHILANGAN DATA<br />
(UNTUK KEGUNAAN UNIT OPERASI DAN KESELAMATAN IT)<br />
Saya, ____________________________________________________<br />
penerimaan laporan ini.<br />
mengesahkan<br />
Tandatangan<br />
_______________________<br />
Tarikh :<br />
51
DASAR KESELAMATAN ICT <strong>MATRADE</strong><br />
Personal Information<br />
Name:<br />
Designation:<br />
Email Address:<br />
Unit / Division/Company (Vendor):<br />
Telephone Extension/Mobile Number:<br />
Level / Wing:<br />
REGISTRATION FORM FOR <strong>MATRADE</strong> PRIVATE NETWORK<br />
Lampiran 3<br />
Equipment Information<br />
Type of equipment:<br />
(Notebook/PC/SmartPhone)<br />
Model & Brand :<br />
MAC Address :<br />
Operating System :<br />
Browser & Version :<br />
Antivirus :<br />
Compliance: Y / N<br />
Terms & Conditions<br />
As a users of <strong>MATRADE</strong> Wireless Network (referred to as Service(s)), I agree not to use the Services to:<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
upload, post, email, transmit or otherwise make available any content that is unlawful, harmful,<br />
threatening, abusive, harassing, tortuous, defamatory, vulgar, obscene, libelous, invasive of another's<br />
privacy, hateful, or racially, ethnically or otherwise objectionable;<br />
impersonate any person or entity, including, but not limited to, a <strong>MATRADE</strong> personnel, or falsely state<br />
or otherwise misrepresent my affiliation with a person or entity;<br />
forge headers or otherwise manipulate identifiers in order to disguise the origin of any content<br />
transmitted;<br />
make available any content that infringes any patent, trademark, trade secret, copyright or other<br />
proprietary rights ("Rights") of any party;<br />
make available any material that contains software viruses or any other computer code, files or<br />
programs designed to interrupt, destroy or limit the functionality of any computer software or hardware<br />
or telecommunications equipment;<br />
interfere with or disrupt the Service or servers or networks connected to this Service, or disobey any<br />
requirements, procedures, policies or regulations of networks connected to the Service;<br />
access content or data not intended for me, or logging onto a server or account that I am not<br />
authorized to access;<br />
probe, scan or test the vulnerability of Service;<br />
interfere or attempt to interfere with service to any user, host or network, including, without limitation,<br />
by means of submitting a virus to the site or this Service, overloading, "flooding", "spamming", "mail<br />
bombing" or "crashing";<br />
forge any TCP/IP packet header or any part of the header information in any email or in any posting<br />
using the Service;<br />
comply with Dasar Keselamatan ICT <strong>MATRADE</strong> (<strong>DKICT</strong>), which can be downloaded at <strong>MATRADE</strong>’s<br />
EDMS;<br />
52
DASAR KESELAMATAN ICT <strong>MATRADE</strong><br />
Dispute of this terms and conditions shall be governed and construed in accordance with the laws of Malaysia<br />
Digital Signature Act 1997<br />
Computer Crime Act 1997<br />
Telemedicine Act 1997 Copyright (Amendment) Act 1997<br />
Communications & Multimedia Act 1998<br />
Malaysian Communications & Multimedia Commission Act 1998<br />
User’s Acknowledgement<br />
I hereby acknowledge that:<br />
Verification & Acknowledgemant By Network Unit<br />
of <strong>MATRADE</strong><br />
I have read and fully understood all the terms and<br />
conditions herein upon using the <strong>MATRADE</strong> Wireless<br />
Network;<br />
……………………………….<br />
( )<br />
Date :<br />
……………………………….<br />
( )<br />
Date :<br />
53
DASAR KESELAMATAN ICT <strong>MATRADE</strong><br />
Lampiran 4<br />
JADUAL PINDAAN DASAR KESELAMATAN ICT (<strong>DKICT</strong>)<br />
<strong>MATRADE</strong><br />
Keluaran/<br />
<strong>Pindaan</strong><br />
Kuasa<br />
Melulus<br />
01/<strong>2018</strong> JPICT<br />
<strong>MATRADE</strong><br />
Bil. 4/<strong>2018</strong><br />
Tarikh<br />
15<br />
<strong>November</strong><br />
<strong>2018</strong><br />
Huraian<br />
1. Perkara 070201 Akaun Pengguna: <strong>Pindaan</strong><br />
pada perenggan (g) iv. menukar kata<br />
laluan setiap 6 bulan sekali (disyorkan 3<br />
bulan sekali) atau selepas tempoh masa<br />
yang bersesuaian mengikut keperluan<br />
2. Perkara 070301 Sistem Maklumat dan<br />
Aplikasi: <strong>Pindaan</strong> pada perenggan (d)<br />
logoff sistem aplikasi secara automatik<br />
apabila tiada aktiviti dalam tempoh tidak<br />
melebihi 30 minit atau mengikut sensitiviti<br />
data KECUALI dalam keadaan tertentu<br />
yang dibenarkan oleh ICTSO<br />
54