SIDANG EDITOR
Penerbit : Bahagian Inovasi & Teknologi Kreatif MARA
PENAUNG Sidang Editor MARA 3600 e-Khidmat Pengurusan
Rohayah binti Mohd Zain berhak meminda mengubah dan menggarap
Timbalan Ketua Pengarah (Khidmat Pengurusan) manuskrip yang dihantar agar bersesuaian dengan
MARA garis panduan yang ditetapkan dan tidak mengubah
isi asalnya. Semua manuskrip yang diterima sama
PENERBIT EKSEKUTIF ada disiarkan ataupun tidak disiarkan tidak akan
Nor Zaini binti Abu Kassim dikembalikan. Manuskrip ini juga boleh digunapakai
Pengarah oleh pihak yang diberi kebenaran untuk masa-
Bahagian Inovasi & Teknologi Kreatif MARA masa akan datang. Kami mengalu-alukan sebarang
cadangan atau komentar, surat menyurat, rencana
PENERBIT dan ulasan ke meja Sidang Redaksi atau email ke
Jamizan bin Baki [email protected]
Timbalan Pengarah II
Sebarang pertanyaan hendaklah dialamatkan kepada:
EKSEKUTIF EDITOR
Zuliana Haslinda binti Anhar Zubir Pengarah
Timbalan Pengarah I Bahagian Inovasi & Teknologi Kreatif MARA
Tingkat 4, Ibu Pejabat MARA
EDITOR 21, Jalan MARA
Rusmawati binti Adam 50609 Kuala Lumpur.
Ketua Penolong Pengarah Tel: 03 2613 2401
Faks: 03 2691 0075
KREATIF Email: [email protected]
Haliza binti Abdul Hamid Copyright@MARA 2021. All rights reserved
Penolong Pengarah
JURUFOTO
Produksi Kreatif
TEKNIKAL & HEBAHAN
Iswardy Adha bin Mohamad
Penolong Pegawai Teknologi Maklumat (Kanan)
KEMERDEKAAN yang kita kecapi ini tidak mungkin tercapai dan
kekal sehingga kini tanpa usaha sama di antara kita.
Dengan kepesatan era digital masa kini, erti kemerdekaan dapat
dihayati dan dinikmati dalam suasana penuh harmoni serta
sejahtera. Marilah kita sama-sama menjadi warga digital yang
beretika dan berintegriti dengan mengamalkan sikap kawal kendiri
yang tinggi.
Teguh bersama kita melawan COVID-19
Demimu
Malaysia Tercinta
Julai 2021 MARA 3600 | e - Khidmat Pengurusan 3
SELEKSI
Majalah MARA360° e-Khidmat Pengurusan
4 MARA 3600 | e - Khidmat Pengurusan Julai 2021
BICARA EKSKLUSIF
Ancaman siber berlaku secara berterusan selagi teknologi dan internet digunakan. Malah, keadaannya
menjadi lebih mencabar dan merumitkan kepada keselamatan siber terutamanya dalam situasi pandemik
Covid-19, iaitu segala urusan kerja, belajar dan komunikasi dilaksanakan secara maya.
Penggunaan internet dalam kalangan rakyat Malaysia meningkat kepada 89.6 % pada tahun 2020
berbanding 84.2% tahun 2019. Penambahan penggunaan internet sudah pasti meningkat pada tahun
2021 apabila konsep Bekerja Dari Rumah (BDR) dan pembelajaran secara online terutama dalam tempoh
arahan Perintah Kawalan Pergerakan (PKP) yang semakin ketat, menuntut penggunaan peralatan digital dan
perkhidmatan Internet yang luas.
Makanya Majlis Amanah Rakyat (MARA), telah merencanakan strategi yang
utuh, cekap dan berkesan dengan menyediakan beberapa inisiatif antaranya Pelan
Keselamatan Siber MARA. Pelan ini merangkumi kesedaran keselamatan siber
seperti penggunaan kata laluan dan pengesahan diri yang selamat, kesedaran
akan pelbagai jenis penipuan siber, kesedaran akan keselamatan penggunaan
data, kesiagaan maklum balas kemalangan siber dan pengenkripan maklumat
rahsia berupaya mengurangkan risiko ancaman keselamatan siber. Ianya
juga bertujuan membudayakan peranan dan tanggungjawab warga kerja
MARA dalam melindungi aset ICT dan data adalah tanggungjawab
bersama.
Justeru, saya menyeru semua warga kerja MARA agar menjadi
warga digital yang lebih bertanggungjawab dengan melaksanakan
kawalan kendiri semasa melakukan aktiviti dalam talian khususnya
sewaktu musim PKP ini. Sentiasa bijak, ambil peduli ancaman
siber yang berlaku kerana kita mampu membanteras serta
menghalangnya.
Mohmad Nor bin Yahya
Pengarah
Bahagian Teknologi Maklumat
Julai 2021 MARA 3600 | e - Khidmat Pengurusan 5
PERSEKITARAN
PERKHIDMATAN ICT:
PRODUKTIF, KOLABORATIF
DAN SELAMAT
Ketika dunia dilanda pandemik Covid-19, Cabaran utama dalam menangani risiko ini
perkhidmatan ICT dilihat sebagai platform utama adalah untuk mengenalpasti kategori e-mel yang
dalam memastikan kesinambungan operasi bisnes diterima oleh pengguna daripada penghantar
semasa tidak terjejas. Bahagian Teknologi Maklumat yang dikenali atau tidak dikenali. E-mel spam ialah
(BTM) MARA berperanan sebagai pemacu dan e-mel sampah (junk mail) yang dihantar oleh pihak
penggerak utama ICT dalam menyediakan platform tidak bertanggungjawab kepada penerima yang
infrastruktur teknologi, kolaborasi dan komunikasi terdiri dari agensi-agensi kerajaan dan sebagainya.
ICT terkini yang produktif serta selamat bagi E-mel spam juga berkemungkinan adalah e-mel
memantapkan sistem penyampaian perkhidmatan phishing dan spoofing yang bertujuan untuk mencuri
MARA. maklumat credential (Login ID dan Kata Laluan)
atau maklumat lain bagi tujuan jenayah siber.
Aplikasi produktiviti Microsoft (MS) Office 365 Selain itu e-mel tersebut juga dijadikan saluran
iaitu MS Word, MS Excel dan MS PowerPoint penyebaran malware, worms, trojan dan virus serta
digunakan sebagai perisian automasi pejabat dalam mampu menduplikasikan secara automatik dan
melaksanakan tugasan harian. Selain itu, aplikasi menyebarkannya pula kepada senarai alamat e-mel
MS Outlook (Exchange Online), MS OneDrive dan MS yang ada di dalam address book pemilik akaun e-mel
Teams digunakan sebagai platform komunikasi dan yang dijangkiti.
kolaborasi rasmi MARA.
Berikut adalah panduan yang boleh dirujuk untuk
MS Outlook (Exchange Online) mengenalpasti e-mel phishing dan spoofing.
Aplikasi MS Outlook
(Exchange Online)
adalah aplikasi PANDUAN MENGENALPASTI
pengurusan maklumat E-MEL PHISHING DAN SPOOFING
komunikasi
yang
berfungsi menguruskan • Penghantar e-mel adalah individu/pihak yang tidak
perkhidmatan e-mel, dikenali atau dicurigai identitinya
kalendar, contact • Tajuk e-mel menggunakan ayat yang tidak jelas,
mencurigakan atau tidak berkaitan dengan tugas rasmi.
dan tugasan. Namun
begitu penggunaan • Penggunaan ayat dalam e-mel tidak bersesuaian,
tunggang-langgang dan mencurigakan.
aplikasi ini terdedah
• Meminta untuk klik pada pautan yang mencurigakan.
kepada risiko ancaman
keselamatan siber dalam • Menyertakan lampiran e-mel yang mungkin
berkaitan dengan tugasan anda.
perkhidmatan e-mel
iaitu penerimaan e-mel
spam, phishing dan
spoofing. Hal ini boleh
berlaku disebabkan masih ramai pengguna yang
menggunakan e-mel rasmi bagi tujuan tidak rasmi.
6 MARA 3600 | e - Khidmat Pengurusan Julai 2021
Kawalan berkaitan pengurusan e-mel adalah seperti Selain itu, adalah amat penting untuk warga kerja
di dalam Pelan Keselamatan Siber MARA versi 2.0, MARA melaksanakan kawalan dalam mengendalikan
Bidang 06: Pengurusan Operasi dan Komunikasi, maklumat terperingkat yang dikelaskan sama ada
PKSMARA – 060802 Pengurusan Mel Elektronik. Rahsia Besar, Rahsia, Sulit atau Terhad sewaktu
Langkah-langkah berikut boleh dilakukan oleh penghantaran maklumat melalui e-mel. Bagi tujuan
pengguna sekiranya menerima e-mel spam, phishing ini, penghantar e-mel perlulah menggunakan fungsi
dan spoofing: encryption yang terdapat pada aplikasi MS Outlook
dan enkripsi ke atas dokumen yang dilampirkan.
APA YANG PERLU ANDA LAKUKAN
SEKIRANYA ANDA MENENERIMA
E-MEL SPAM, PHISHING DAN SPOOFING?
• JANGAN balas atau majukan e-mel tersebut.
• JANGAN beri sebarang maklumat peribadi anda kepada
penghantar e-mel tersebut.
• JANGAN buka lampiran e-mel yang tidak dikenali dan
mencurigakan.
• JANGAN klik mana-mana pautan pada e-mel spam.
SILA HAPUSKAN E-MEL SPAM TANPA MEMBUKANYA.
SILA KEMASKINI PERISIAN ANTIVIRUS ANDA.
SILA LINDUNGI KATA LALUAN E-MEL ANDA.
SILA HUBUNGI HELPDESK MARA/PENTADBIR E-MEL
SEKIRANYA TERDAPAT SEBARANG KEKELIRUAN
Pengurusan Kata Laluan versi 2.0, Bidang 07: Kawalan Capaian, PKSMARA
070203- Pengurusan Kata Laluan. Diantara perkara
yang sangat penting dalam pengurusan kata laluan
adalah seperti berikut:
Pengurusan kata laluan amat penting sebagai
kawalan dalam penggunaan Microsoft Office
365 dan sistem aplikasi MARA seperti yang telah
digariskan dalam Pelan Keselamatan Siber MARA
KAWALAN PERLINDUNGAN
KATA LALUAN
• Kata Laluan tidak boleh dikongsi dengan pengguna lain.
• Kata Laluan hendaklah ditukar serta merta apabila
disyaki berlakunya kebocoran kata laluan/telah
dikompromi atau selepas 90 hari/selepas tempoh masa
yang bersesuaian.
• Panjang kata laluan sekurang-kurangnya lapan aksara
dengan gabungan aksara, angka dan aksara khusus.
• Kata Laluan tidak boleh dicatat, disimpan atau
didedahkan dengan apa cara sekali pun.
Julai 2021 MARA 3600 | e - Khidmat Pengurusan 7
MS OneDrive penyimpanan dalam talian yang membolehkan
pengguna menyimpan maklumat di pelayan maya
Penggunaan storan awan (cloud) menjadi pilihan (virtual server) yang disediakan oleh pihak Microsoft
utama dalam menyimpan dokumen-dokumen untuk kegunaan MARA.
berkaitan tugasan seharian yang boleh dicapai tanpa
had. Risiko keselamatan siber dalam penggunaan Bagi penggunaan storan awan, kawalan yang
storan awan termasuklah perlanggaran pematuhan dirujuk adalah seperti yang digariskan dalam Pelan
kepada polisi keselamatan, kecurian identiti, Keselamatan Siber MARA versi 2.0, Bidang 05:
penyebaran malware dan kebocoran maklumat Keselamatan Fizikal dan Persekitaran, PKSMARA
yang boleh mendatangkan kerugian, kerosakan dan 050203 - Storan Awan (Cloud Storage). Diantara
menjejaskan reputasi MARA. kandungan pentingnya termasuklah
Aplikasi MS OneDrive adalah aplikasi yang
menyokong fungsi storan awan melalui media
KAWALAN KESELAMATAN BAGI
PENYIMPANAN DI STORAN AWAN
(CLOUD STORAGE)
• Tidak menggunakan storan awan awam percuma bagi
menyimpan sebarang maklumat rahsia rasmi
• Warga kerja MARA perlu memanfaatkan storan awan yang
disediakan oleh pihak MARA dengan tidak menyimpan
perkara berkaitan hiburan dan tidak produktif dan
bermanfaat.
• Memastikan kandungan storan awan yang disediakan
oleh MARA diurus dengan baik dan sentiasa membuat
kerja-kerja pengemaskinian data atau housekeeping dari
semasa ke semasa
• Memastikan kawalan capaian perkongsian fail dan folder
hanya diberikan kepada pengguna yang sah dalam
tempoh waktu yang ditetapkan.
Aplikasi MS Teams
Aplikasi MS Teams merupakan aplikasi kolaborasi dan komunikasi melalui
sidang video secara atas talian dalam melaksanakan mesyuarat, webinar,
pengajaran dan pembelajaran.
Namun begitu, aplikasi sidang video juga terdedah kepada risiko keselamatan
siber seperti pencerobohan dan hijacking oleh pengguna tidak sah yang
mungkin melakukan perkongsian skrin tidak berkaitan dengan program
yang sedang dijalankan. Selain itu, sebarang rakaman video juga boleh
menyebabkan berlakunya kecurian dan kebocoran maklumat kepada
pihak yang tidak berkepentingan.
Diantara perkara yang digariskan sebagai panduan dalam
penggunaan aplikasi sidang video iaitu:
8 MARA 3600 | e - Khidmat Pengurusan Julai 2021
Julai 2021 MARA 3600 | e - Khidmat Pengurusan 9
Capaian Jarak Jauh • MARA hendaklah memastikan
peralatan atau peranti ICT
Capaian jarak jauh yang dimaksudkan adalah yang berkaitan dilindungi dari
capaian kepada sistem aplikasi MARA yang berpusat kod hasad dengan memasang
di Pusat Data MARA melalui sistem rangkaian perisian Endpoint Detection And
MARA bagi lokasi luar pejabat dalam melaksanakan Response (EDR), atau sekurang-
tugas rasmi. Kaedah capaian ini hanya dibenarkan kurangnya perisian antivirus yang
mengikut keperluan dan penggunaannya terhad dapat mengesan kod hasad dan
kepada perkhidmatan dan sistem aplikasi yang ransomware secara real-time;
dibenarkan sahaja dengan mengambilkira risiko
keselamatan siber kepada pihak MARA. Penggunaan • MARA hendaklah mengeluarkan
kaedah ini adalah menggunakan teknologi tunneling
dan encryption berasaskan Secure Sockets Layer arahan pentadbiran yang
Virtual Private Network (SSLVPN) yang menjamin
keselamatan maklumat MARA. membenarkan pegawai
Dasar Bekerja Dari Rumah (BDR) sebagai alternatif membawa pulang peralatan
cara bekerja baharu dalam memastikan usaha
berterusan penambahbaikan sistem penyampaian atau peranti ICT yang diperlukan
perkhidmatan MARA, perkhidmatan SSLVPN
merupakan kaedah capaian sistem aplikasi MARA sekiranya pegawai menggunakan
secara jarak jauh. Garis Panduan Pelaksanaan
Bekerja Dari Rumah, Pekeliling Perkhidmatan peralatan atau peranti milik
Bilangan 5 Tahun 2020 yang dikeluarkan oleh
Jabatan Perkhidmatan Awam melalui Surat MARA;
Pekeliling Perkhidmatan MARA Bil.2/2021 bertarikh
8 Februari 2021 menyatakan peralatan dan peranti • MARA tidak akan membekalkan
ICT menjadi keperluan asas untuk menjalankan
tugasan dengan mengambil tindakan iaitu: perkakasan-perkakasan lain
• Pegawai hendaklah mempunyai telefon seperti mesin pencetak, mesin
bimbit dan kemudahan capaian internet yang
sewajarnya; fotostat, mesin pengimbas
• MARA boleh berdasarkan keperluan, dan mesin perincih. Sekiranya
membekalkan peralatan dan peranti ICT yang
bersesuaian kepada pegawai. Antara peralatan pegawai perlu menggunakan
dan peranti tersebut adalah komputer riba,
peranti mudah alih (contoh: tablet) atau lain- perkakasan-perkakasan ini,
lain perkakasan yang berkaitan. Peralatan
atau peranti ICT yang berkaitan perlu pegawai perlu hadir ke pejabat;
dilengkapi dengan perisian yang sesuai untuk
melancarkan pelaksanaan tugasan harian. • MARA perlu menyediakan Prosedur Operasi
Walau bagaimanapun, penggunaan peralatan Standard (SOP) bagi menjaga keselamatan
atau perkakasan persendirian boleh dibenarkan peralatan atau peranti ICT dengan merujuk
dengan syarat mematuhi kriteria keselamatan kepada Pelan Keselamatan Siber (PKS) MARA
dan disahkan oleh Pegawai Keselamatan ICT dan Rangka Kerja Keselamatam Sektor Awam
MARA; (RAKKSSA); dan
• Setiap pegawai hendaklah mengambil langkah-
langkah yang bersesuaian bagi memastikan
keselamatan peralatan atau peranti ICT yang
dibekalkan oleh Jabatan berdasarkan SOP yang
ditetapkan.
10 MARA 3600 | e - Khidmat Pengurusan Julai 2021
Perkongsian Maklumat Kesimpulan
Portal MARAnet merupakan platform Ekosistem digital yang selamat dan
perkongsian maklumat terkini berkaitan isu-isu menyokong kepada produktiviti dan kolaborasi ini
semasa dan operasi di MARA yang boleh dicapai sangat penting yang melibatkan sumber manusia,
tanpa had. Penggunaan media sosial seperti proses dan teknologi. Meski pun dalam suasana
Whatsapp, Telegram, Facebook bagi maklumat norma baru yang perlu dihadapi oleh warga kerja
umum seperti sebaran maklumat, infografik dan MARA, teknologi yang digunakan dapat membantu
perbincangan umum dibenarkan untuk dikongsi di dalam mengekalkan produktiviti. Dalam pada
platform media sosial. Namun begitu, perkongsian pasukan kerja terpisah disebabkan oleh faktor
dokumen terperingkat melalui media sosial tersebut jarak sepanjang tempoh BDR, jalinan kolaborasi
adalah tidak dibenarkan. seharusnya tidak terjejas malahan menjadikan
cabaran pandemik ini sebagai ruang untuk
meningkatkan daya kreativiti dan inovasi.
Sumber dan penulisan: Noor Afzan binti Mohd Nordin
Bahagian Teknologi Maklumat, MARA.
Julai 2021 MARA 3600 | e - Khidmat Pengurusan 11
SELEKSI EDITOR
Sumber: Cyber Security Malaysia
12 MARA 3600 | e - Khidmat Pengurusan Julai 2021
PELAN KESELAMATAN SIBER
(PKS) MARA
APA ITU PELAN Pelan Keselamatan Siber (PKS) MARA mengandungi peraturan-
KESELAMATAN SIBER peraturan yang mesti dibaca dan dipatuhi dalam menggunakan
aset Teknologi Maklumat dan Komunikasi (ICT). Pelan ini juga
MARA? menerangkan kepada semua pelanggan mengenai tanggungjawab
dan peranan mereka dalam melindungi aset ICT MARA.
BAGAIMANA DAN DI MANA Buku Pelan Keselamatan Siber MARA versi 2.0 di setiap Pusat
IANYA BOLEH DIDAPATI?
Layari dan muat turun di Menu Dokumentasi, Portal MARAnet -
https://maranet.sharepoint.com
SIAPA YANG PERLU Pentadbir Sistem ICT
MEMBACA PELAN Pengguna ICT
Pihak ketiga (Pembekal ICT, Perunding ICT, Pelajar Praktikal)
KESELAMATAN SIBER MARA
TANGGUNGJAWAB ANDA Membaca, memahami dan mematuhi Pelan Keselamatan Siber MARA
SEBAGAI PENGGUNA ICT
Melaksanakan prinsip-prinsip Pelan Keselamatan Siber MARA dan
menjaga kerahsiaan maklumat
Melaporkan sebarang aktiviti yang mengancam keselamatan ICT dengan
segera
Menghadiri program-program kesedaran mengenai keselamatan ICT
Menandatangani Surat Akuan Pematuhan Pelan Keselamatan Siber
MARA di http://mypatuh.mara.gov.my
Julai 2021 MARA 3600 | e - Khidmat Pengurusan 13
KANDUNGAN
PELAN KESELAMATAN SIBER
(PKS) MARA
Sumber: Noor Afzan binti Mohd Nordin
Bahagian Teknologi Maklumat, MARA.
14 MARA 3600 | e - Khidmat Pengurusan Julai 2021
SELEKSI EDITOR
Sumber: Cyber Security Malaysia
Julai 2021 MARA 3600 | e - Khidmat Pengurusan 15
TADBIR URUS
KESELAMATAN SIBER
DI MARA
Keselamatan siber adalah salah satu bidang ICT yang Bagi memastikan keselamatan siber dilindungi dan
semakin mendapat perhatian dan perbincangan diuruskan dengan baik, MARA telah mewujudkan
dipelbagai peringkat, tidak kira sama ada di Pelan Keselamatan Siber (PKS) MARA yang
peringkat organisasi, nasional dan antarabangsa. melibatkan semua pengguna dan pemegang taruh
Kita sering menonton dan mendengar di kaca yang berkepentingan. Pengurusan dan pemantauan
televisyen dan di medial sosial, isu-isu yang berkaitan keselamatan siber di MARA dilaksanakan melalui
dengan keselamatan siber yang semakin hangat tadbir urus yang melibatkan pengurusan atasan
diperkatakan. Penggunaan komunikasi dan teknologi dalam membuat keputusan.
maklumat secara meluas merupakan norma baru
dan semakin meningkat dikalangan pengguna. Pelaksanaan tadbir urus dan pematuhan kawalan
Dengan ledakan teknologi terkini dalam menuju keselamatan siber adalah merujuk kepada garis
era pendigitalan, keselamatan siber telah menjadi panduan yang telah ditetapkan oleh Agensi
agenda utama dalam memastikan keselamatan Keselamatan Siber Negara (NACSA) seperti Malaysia
maklumat, aplikasi, rangkaian dan internet dilindungi Cyber Security Strategy 2020-2021 dan Rangka
dengan mengambilkira kepentingan pemeliharaan Kerja Keselamatan Siber Sektor Awam (RAKKSSA).
kerahsiaan (confidentiality), integriti (integrity) dan Struktur Tadbir Urus Keselamatan Siber MARA yang
kebolehsediaan (availability). diketuai oleh Ketua Pengarah MARA adalah seperti
Rajah 1 di bawah:
Jawatan Peranan dan Tanggungjawab
Ketua Pengarah MARA
• Memastikan semua pengguna memahami
peruntukan-peruntukan di bawah Pelan
Keselamatan Siber MARA;
• Memastikan semua pengguna mematuhi Pelan
Keselamatan Siber MARA;
• Memastikan semua keperluan organisasi
(sumber kewangan, sumber manusia dan
perlindungan keselamatan) adalah mencukupi;
• Memastikan penilaian risiko dan program
kesedaran keselamatan ICT dilaksanakan seperti
yang ditetapkan di dalam Pelan Keselamatan
Siber MARA; dan
• Mempengerusikan Mesyuarat Jawatankuasa
Pemandu ICT (JPICT), MARA
16 MARA 3600 | e - Khidmat Pengurusan Julai 2021
Jawatan Peranan dan Tanggungjawab
TKP Khidmat Pengurusan sebagai • Membantu Ketua Pengarah dalam melaksanakan
Ketua Pegawai Maklumat (CIO) tugas-tugas yang melibatkan keselamatan ICT;
• Menentukan keperluan keselamatan ICT;
• Menyelaras dan mengurus pelan latihan dan
program kesedaran keselamatan ICT seperti
penyediaan Pelan Keselamatan Siber MARA
serta proses pengurusan risiko dan pengauditan;
dan
• Bertanggungjawab ke atas perkara-perkara yang
berkaitan dengan keselamatan ICT MARA.
• Menyedia, melaksana dan mengurus keseluruhan
program-program keselamatan ICT MARA;
Menguatkuasakan pelaksanaan Pelan
Keselamatan Siber MARA;
• Memberi penerangan dan pendedahan
berkenaan Pelan Keselamatan Siber MARA
kepada semua pengguna;
• Mewujudkan garis panduan, prosedur dan
tatacara selaras dengan keperluan Pelan
Keselamatan Siner MARA;
• Menjalankan pengurusan risiko;
• Menjalankan audit, mengkaji semula, merumus
tindak balas pengurusan MARA berdasarkan
hasil penemuan dan menyediakan laporan
mengenainya;
• Memberi amaran terhadap kemungkinan
Pengarah Bahagian Teknologi berlakunya ancaman berbahaya seperti virus dan
Maklumat sebagai Pegawai
Keselamatan ICT (ICTSO) memberi khidmat nasihat serta menyediakan
langkah-langkah perlindungan yang bersesuaian.
• Melaporkan insiden keselamatan ICT kepada
NACSA, memaklumkannya kepada CIO dan
mengambil tindakan pemulihan atau pengukuhan
bagi meningkatkan tahap keselamatan
infrastruktur ICT supaya insiden seumpamanya
dapat dielakkan;
• Bekerjasama dengan semua pihak yang berkaitan
dalam mengenal pasti punca ancaman atau
insiden keselamatan ICT dan memperakukan
langkah-langkah baik pulih dengan segera;
• Memberikan kebenaran hak akses yang berkaitan
keselamatan ICT kepada pengguna; dan
• Bertindak sebagai koordinator dan melaporkan
insiden keselamatan ICT kepada CIO bagi insiden
ICT berdasarkan Pelan Pemulihan Bencana
(DRP).
Julai 2021 MARA 3600 | e - Khidmat Pengurusan 17
Jawatan Peranan dan Tanggungjawab
Pengarah Bahagian Teknologi • Mengkaji semula dan melaksanakan kawalan
Maklumat sebagai Pengurus ICT keselamatan selaras dengan keperluan MARA;
• Menentukan kawalan akses pengguna terhadap
aset ICT MARA;
• Melaporkan sebarang perkara atau penemuan
mengenai keselamatan ICT kepada ICTSO:
• Menyimpan rekod, bahan bukti dan laporan
terkini mengenai ancaman keselamatan ICT
MARA;
• Membangun, mengkaji semula dan mengemas
kini Pelan Pemulihan Bencana (DRP)
keselamatan ICT;
• Memastikan Pelan Keselamatan Siber MARA
dikemas kini sesuai dengan perubahan teknologi,
perubahan dasar kerjaan dan ancaman-ancaman
terkini dari semasa ke semasa; dan
• Memastikan Pelan Strategik ICT MARA
mengandungi inisiatif di dalam aspek
keselamatan ICT.
Pentadbir Sistem ICT • Mengambil tindakan yang bersesuaian dengan
segera apabila dimaklumkan mengenai
kakitangan yang berhenti, bertukar, bercuti,
berkursus panjang atau berlaku perubahan
dalam bidang tugas;
• Menentukan ketepatan dan kesempurnaan
sesuatu tahap capaian berdasarkan arahan
pemilik sumber maklumat sebagaimana yang
ditetapkan dalam Pelan Keselamatan Siber
MARA;
• Memantau aktiviti capaian harian sistem aplikasi
pengguna;
• Mengenal pasti aktiviti-aktiviti tidak normal
seperti pencerobohan dan pengubahsuaian
data tanpa kebenaran dan membatalkan atau
memberhentikannya dengan serta merta;
• Menganalisis dan menyimpan rekod jejak audit;
• Menyediakan laporan mengenai aktiviti capaian
secara berkala;
• Memastikan setiap pengguna dikenali dengan
menggunakan User ID yang unik; dan
• Bertanggungjawab memantau setiap perkakasan
ICT yang diagihkan kepada pengguna seperti
komputer peribadi, komputer riba, pencetak,
pengimbas dan sebagainya di dalam keadaan
yang baik.
Jadual 1: Struktur Tadbir Urus Keselamatan Siber MARA
18 MARA 3600 | e - Khidmat Pengurusan Julai 2021
Dengan wujudnya gerak usaha dari sudut tadbir
urus keselamatan siber, ia membantu MARA
untuk mengenal pasti punca kuasa, dasar,
polisi dan garis panduan yang dikeluarkan oleh
Badan Bertanggungjawab bagi memastikan
pelaksanaannya di peringkat organisasi. Ia juga dapat
memastikan perundangan berkaitan ICT dapat diberi
perhatian. Gerak usaha ini juga telah memberi ruang
dan peluang kepada MARA untuk mengenalpasti
penambahbaikan bagi tujuan keselamatan ICT tidak
kira sama ada dari segi infrastuktur ICT, sistem
aplikasi, pengurusan sumber manusia mahu pun
dari segi polisi secara berterusan.
Sumber: Noor Afzan binti Mohd Nordin
Bahagian Teknologi Maklumat, MARA.
Julai 2021 MARA 3600 | e - Khidmat Pengurusan 19
SELEKSI EDITOR
Sumber: Cyber Security Malaysia
20 MARA 3600 | e - Khidmat Pengurusan Julai 2021
INISIATIF DAN PROGRAM
KESELAMATAN SIBER
MARA
Malaysia Computer Emergency Response INISIATIF 1:
Team (MyCERT), Cybersecurity Malaysia
bertanggungjawab menyediakan statistik bulanan PELAKSANAAN
insiden di Malaysia mengikut beberapa kategori INFORMATION SECURITY
utama. Menurut statistik Insiden yang dikeluarkan MANAGEMENT SYSTEM
oleh MyCERT bagi tempoh Januari sehingga Jun (ISMS)
2021, insiden tertinggi ialah Pemalsuan (Forgery)
sebanyak 4090 insiden diikuti oleh Pencerobohan Pelaksanaan Information Security Management
(Intrusion) sebanyak 877 insiden dan Malicious System (ISMS) merupakan proses Pensijilan
Codes sebanyak 320 insiden. MS ISO/IEC 27001/2013 – Pengurusan Sistem
Keselamatan Maklumat (ISMS) adalah selaras
MARA sebagai sebuah agensi kerajaan turut dengan arahan Ketua Pengarah Unit Pemodenan
terdedah kepada risiko dan ancaman berkaitan Tadbiran Dan Perancangan Pengurusan Malaysia
keselamatan siber berikutan perkembangan (MAMPU) kepada semua agensi kerajaan untuk
teknologi dan penggunaan ICT dalam sistem melaksanakan pensijilan MS ISO/IEC 27001/2013 –
penyampaian perkhidmatan semasa. Kini, MARA Pengurusan Sistem Keselamatan Maklumat (ISMS)
berhadapan dengan cabaran untuk memastikan bagi menjamin kepentingan sistem penyampaian
pematuhan kepada Majlis Keselamatan Negara perkhidmatan pelanggan. Selain itu, pelaksanan
(MKN) dalam melindungi keselamatan aset-aset ISMS merupakan saranan daripada Malaysia Cyber
ICT, melaksanakan penanda aras di kalangan agensi Security Strategy 2020-2024 yang menyatakan
kerajaan dan juga memastikan program dan kempen inisiatif berkaitan piawaian ISMS di bawah Pillar 1:
kesedaran keselamatan siber diadakan secara Effective Governance and Management dan Strategi
berterusan. 2: Improving Organisation Management and Business
Operation (Government, CNII and Business).
Sehubungan dengan itu, beberapa inisiatif dan
program telah dilaksanakan dalam peningkatan
kawalan serta jaminan keselamatan pengurusan
maklumat di MARA selaras dengan arahan dan
surat pekeliling yang telah dikeluarkan oleh
Kerajaan Malaysia. Pengurusan Tertinggi MARA
sentiasa menyokong setiap inisiatif dan program
peningkatan dan pematuhan selaras dengan
kehendak akta, arahan, peraturan dan prosedur
berkaitan keselamatan ICT semasa.
Julai 2021 MARA 3600 | e - Khidmat Pengurusan 21
ISMS merupakan piawaian keselamatan global yang Permohonan Pinjaman Pelajaran MARA
telah dikeluarkan oleh International Organization Menggunakan Sistem MyEduloan di Ibu Pejabat
for Standardization (ISO) dan International MARA bagi tempoh April 2017 sehingga Mac 2023.
Electrotechnical Commission (IEC). SIRIM Berhad Dalam tempoh tersebut, MARA perlu melaksanakan
dan Cybersecurity Malaysia merupakan badan audit recertification dan surveillance secara tahunan
pensijilan ISMS yang diiktiraf di Malaysia. Pensijilan oleh pihak SIRIM. Pengauditan ISMS yang dijalankan
ini merupakan piawaian antarabangsa dan penanda secara telus oleh pihak profesional dalam menyemak
aras keselamatan maklumat yang merupakan kawalan keselamatan yang telah dilaksanakan oleh
salah satu agenda penting nasional dalam aspek MARA dapat mengesahkan jaminan keselamatan
keselamatan siber. sistem penyampaian perkhidmatan ICT MARA dan
melayakkan MARA menerima pensijilan seperti
Pensijilan ISMS yang telah diterima oleh MARA Gambarajah 1:
adalah untuk Sistem Pengurusan Keselamatan
Maklumat bagi Penyampaian Perkhidmatan
Gambarajah 1 : Sijil ISMS yang diterima oleh MARA
Pelaksanaan ISMS merujuk kepada pematuhan dua komponen utama iaitu:
a. Sistem Pengurusan terdiri daripada Tadbir b. Domain Keselamatan yang melibatkan
Urus ISMS, Polisi Keselamatan Siber, Pengurusan kawalan bagi Sumber Manusia, Keselamatan
Risiko Siber, Dokumentasi, Audit Dalam dan Kajian Fizikal, Operasi Keselamatan, Pengurusan Insiden,
Semula Pengurusan. Pengurusan Kesinambungan, Hubungan Pembekal
dan Pematuhan.
22 MARA 3600 | e - Khidmat Pengurusan Julai 2021
Dalam pelaksanaan ISMS ini, faedah dan pematuhan Domain INISIATIF 2:
Keselamatan merupakan proses penambahbaikan dan peningkatan
kawalan dalaman dalam operasi harian. Antara faedah yang dapat PELAKSANAAN
memberi impak kawalan keselamatan adalah: SECURITY
POSTURE
a. Sumber Manusia : peningkatan kawalan pengurusan ASSESSMENT
akses ruang pejabat yang melibatkan dokumen terperingkat dan (SPA)
pengurusan pengguna sistem di Bahagian Penganjuran Pelajaran
Security Posture Assessment (SPA)
b. Hubungan Pembekal : pematuhan kepada Dasar
Keselamatan ICT/Pelan Keselamatan Siber MARA dan Akta Rahsia adalah satu program penilaian tahap
Rasmi 1972 dengan memastikan semua pembekal yang terlibat
menandatangani Non-Disclosure Agreement (NDA). keselamatan ICT yang menyediakan
c. Operasi Keselamatan : pengurusan pengasingan segmen pedekatan dan metodologi penilaian
capaian antara pelayan pembangunan sistem, pengujian (QA) dan
produksi, penyeragaman masa bagi semua pelayan dan perkakasan risiko keselamatan dan kerentanan
di Pusat Data MARA menggunakan Network Time Protocol serta
pengurusan kata laluan bagi Sistem MyEduloan. (vulnerabilities) dalam pengurusan
d. Keselamatan Fizikal : pemantauan pergerakan pelawat atau keselamatan ICT agensi. MAMPU
pembekal melalui CCTV dan buku rekod serta sistem pintu di Pusat
Data MARA. telah mengeluarkan Surat Pekeliling
Bagi memastikan pelaksanaan ISMS mengikut garis panduan yang Am Bilangan 3 Tahun 2009 bertajuk
telah ditetapkan, kompetensi yang diperlukan adalah seperti berikut :
Garis Panduan Penilaian Tahap
a. Information Security Management Systems (ISMS)
b. System Security Certified Practioner (SSCP) Keselamatan Rangkaian dan Sistem
c. Certified Governance of Enterprise IT (CGEIT)
d. Business Continuity Management (BCM) System Implementor ICT Sektor Awam yang menyatakan
e. GIAC Systems and Network Auditor (GSNA)
f. Business System Manager penilaian ini perlu dilaksanakan
g. Business Continuity Management (BCM) System Manager
h. Certified in Risk and Information Control (CRISC) sebagai langkah menjamin sistem
i. Certitification in Risk Management Assurance (CRMA)
j. ISO 22301 Business Continuity Management (BCM – Lead penyampaian perkhidmatan
Auditor) beroperasi dalam tempoh 24x7.
k. Business Continuity Management (BCM) System Expert
Penilaian tahap keselamatan ini perlu
Implementor
l. BCM System Expert Implementor diadakan sekurang-kurangnya sekali
m. Certified Information Security Manager (CISM)
n. Chief Information Security Officer (CISO) setahun bagi memastikan MARA
sentiasa memantau dan mengesan
kelemahan terhadap pengurusan
pusat data dan sistem aplikasi
yang sedang digunakan supaya
penambahbaikan keselamatan ICT
dapat dirancang dan dilaksanakan.
Penilaian ini boleh dilaksanakan
secara in-house atau mendapat
perkhidmatan pihak ketiga yang
bertauliah.
MARA telah melaksanakan proses
pematuhan menyemak Dasar
Keselamatan ICT dalam Pelan
Keselamatan Siber MARA, menilai
amalan keselamatan fizikal, pengujian
penembusan, menilai keselamatan
rangkaian dan hos, menganalisis dan
menyediakan Laporan Pengukuhan
Julai 2021 MARA 3600 | e - Khidmat Pengurusan 23
Terma dan definisi yang digunakan dalam penilaian teknikal dan kawalan keselamatan siber:
a. Aktiviti SPA g. Black-box testing
Aktiviti penilaian keselamatan bagi mengenal pasti Tiada maklumat akan diberikan kepada pasukan
dan menilai kelemahan pada komponen ICT yang penguji sebelum penilaian keselamatan dijalankan.
terlibat dalam pemprosesan maklumat MARA. Aktiviti ini adalah satu proses simulasi serangan
yang dijalankan dari persekitaran luar dengan penilai
b. Program SPA tidak mempunyai sebarang maklumat mengenai
persekitaran yang disasarkan. Namun begitu,
Program pelaksanaan SPA yang menggunakan pasukan penguji mempunyai pemahaman berkaitan
pendekatan penilaian risiko operasi dengan apa yang perlu dicapai meski pun tidak mempunyai
penglibatan pemegang taruh untuk memastikan maklumat yang lengkap.
semua aspek komponen ICT diambilkira termasuk
perkakasan dan perisian ICT, program kesedaran h. Grey-box testing
pengguna dan proses bisnes semasa.
Pasukan penguji mempunyai maklumat yang terhad
c. Projek SPA sebelum penilaian keselamatan dijalankan. Sebagai
contoh, pasukan penguji akan diberikan maklumat
Program menyeluruh atau separa yang dilaksanakan credential (log masuk dan kata laluan) untuk log
oleh pihak ketiga (outsource) dalam tempoh masuk ke sistem aplikasi atau akses pelawat ke
perlaksanaan yang dipersetujui dan hendaklah sesuatu laman web. Ini bertujuan untuk memahami
diuruskan bagi mencapai objektif yang telah tahap akses yang diperolehi oleh pengguna
dirancang. berdasarkan had capaian dan kemungkinan
kerosakan yang disebabkan oleh pengguna dalaman
d. Risiko atau serangan khusus yang boleh dlakukan apabila
mempunyai pengetahuan berkaitan persekitaran
Pengesanan jangkaan terhadap situasi dalam sasaran.
tempoh penilaian oleh pasukan penguji.
i. White-box testing
e. Ancaman (Threat)
Pasukan penguji akan diberikan maklumat lengkap
Kemungkinan punca kepada kejadian insiden yang sebelum penilaian keselamatan dijalankan. Contoh
tidak diingini yang boleh menyebabkan kerosakan maklumat tersebut ialah kod sumber sistem
atau kemusnahan pada sistem atau imej organisasi. aplikasi, diagram rangkaian dan perjumpaan
dengan pembangun sistem aplikasi. Ini bertujuan
f. Kerentanan (Vulnerability) untuk menyokong pengujian kepada sistem
aplikasi dengan lebih terperinci bagi mengenalpasti
Ciri-ciri pada sesuatu objek boleh mengakibatkan kelemahan dan vektor kepada serangan.
kerentanan terhadap sumber risiko dan seterusnya
menyebabkan akibat buruk dari sesuatu kejadian.
24 MARA 3600 | e - Khidmat Pengurusan Julai 2021
Skop penilaian tahap keselamatan ICT bagi sistem aplikasi fungsi kritikal bisnes MARA yang telah
dilaksanakan adalah seperti berikut:
a. Internal Penetration Test e. Pematuhan Dasar/Polisi/Prosedur
Keselamatan ICT
Penilaian terhadap kerentanan dan aktiviti
eksploitasi terhadap infrastruktur ICT seperti sistem Semakan semula bagi mengenal pasti analisis
rangkaian dan server dari persekitaran dalaman jurang serta ketidakpatuhan dan kelemahan dalam
MARA dengan melaksanakan simulasi dan pelbagai pelaksanaan kawalan keselamatan ICT di MARA
teknik eksploitasi bagi mengenalpasti kelemahan berdasarkan Dasar/Polisi/Prosedur Keselamatan
keselamatan disebabkan oleh pengguna dalaman ICT serta amalan terbaik keselamatan maklumat.
MARA. Ujian keselamatan dan risiko akan dianalisis
berdasarkan perspektif dalaman. f. Semakan Semula Arkitektur Sistem
Rangkaian
b. External Penetration Test
Semakan semula dijalankan bagi menilai dan
Penilaian terhadap kerentanan dan aktiviti menganalisis arkitektur sistem rangkaian dengan
eksploitasi terhadap infrastruktur ICT melalui memberi ulasan dan cadangan penambahbaikan
sistem rangkaian luaran persekitaran MARA arkitektur berdasarkan amalan terbaik keselamatan
dengan melaksanakan simulasi dan pelbagai teknik ICT.
eksploitasi bagi mengenalpasti dan mengatasi
kelemahan keselamatan yang boleh dimanipulasi g. Penilaian Perkakasan Sistem
oleh penyerang dari luar. Ujian keselamatan dan Rangkaian dan Keselamatan ICT
risiko akan dianalisis berdasarkan perspektif luaran.
Penilaian bagi mengesan dan mengenalpasti
c. Web Application Penetration Test kerentanan pada polisi dan konfigurasi keselamatan
perkakasan sistem rangkaian dan keselamatan ICT
Penilaian ini dilakukan bagi pengujian menyeluruh MARA berdasarkan skop yang dipersetujui.
terhadap sistem aplikasi bagi mengenalpasti
sekiranya terdapat kerentanan dan kelemahan yang h. Penilaian Hos (Sistem Operasi)
boleh menggugat tahap keselamatan dari aspek
ketersediaan, integriti, kerahsiaan dan kesahihan Penilaian bagi mengesan dan mengenalpasti
maklumat. kerentanan pada polisi dan konfigurasi keselamatan
server bagi pematuhan garis panduan Center
d. Penilaian Keselamatan Fizikal dan for Internet Security (CIS). Keputusan penilaian
Persekitaran menggambarkan ketahanan sistem dalam
menangani percubaan pencerobohan.
Penilaian yang dijalankan bagi mengelakkan
pencerobohan atau akses tanpa kebenaran i. Penilaian Keselamatan Pangkalan
pada persekitaran fizikal, peralatan keselamatan Data
persekitaran dan bangunan bagi mengelakkan
kerosakan atau gangguan kepada premis MARA Penilaian bagi mengesan dan mengenalpasti
termasuk persekitaran Pusat Data MARA. Penilaian kerentanan pada sistem aplikasi terhadap percubaan
kawalan yang dilaksanakan bersesuaian dengan yang tidak dibenarkan melalui pengubahsuaian
risiko yang telah dikenalpasti dan nilai aset yang fungsi dan logik pengaturcaraan.
perlu dilindungi.
Julai 2021 MARA 3600 | e - Khidmat Pengurusan 25
Melalui pelaksanaan SPA yang telah INISIATIF 3 : 3:
dijalankan, terdapat beberapa penambahbaikan PENGURUSAN INSIDEN
proses dan tindakan yang perlu dirancang dan KESELAMATAN ICT
dilaksanakan dari semasa ke semasa iaitu dengan
memastikan polisi serta konfigurasi keselamatan ICT Pengurusan insiden keselamatan adalah
dikemaskini kepada versi terkini dan ketersediaan proses mengenal pasti, mengurus, merekod
operasi Pusat Data MARA di tahap tinggi. dan menganalisis ancaman keselamatan atau
insiden. Insiden keselamatan boleh berlaku dari
Bagi memastikan pelaksanaan SPA mengikut pelbagai bentuk ancaman daripada percubaan
garis panduan yang telah ditetapkan, pasukan pencerobohan sehingga kepada pencerobohan
penguji yang dilantik perlu mempunyai kompetensi yang berjaya dan berlaku kompromi data.
seperti berikut:
Menurut Surat Pekeliling Am Bilangan 4 Tahun
a. Certified Information Systems Security 2006 yang dikeluarkan oleh Unit Pemodenan
Professional (CISSP); Tadbiran dan Perancangan Pengurusan Malaysia
(MAMPU) pada 9 November 2006 bertajuk
b. Certified in Risk and Information Systems Pengurusan Pengendalian Insiden Keselamatan
Control (CRISC); Teknologi Maklumat dan Komunikasi (ICT) Sektor
Awam, insiden keselamatan ICT ditakrifkan
c. Certified Ethical Hacker (CEH) oleh EC- sebagai musibah (adverse event) yang berlaku ke
Council; atas aset ICT atau ancaman kemungkinan berlaku
kejadian tersebut. Ia mungkin suatu perbuatan
d. Offensive Security Certified Professional yang melanggar dasar keselamatan ICT sama
(OSCP) oleh Offensive Security; ada yang ditetapkan secara tersurat atau tersirat.
Terdapat sembilan (9) jenis insiden keselamatan
e. Global Information Assurance Certification ICT iaitu:
(GIAC) Certifications (Contoh: GIAC Certified
Security Assessor (GPEN), GIAC Web
Application Security Assessor (GWAPT),
atau GIAC Exploit Researcher and Advanced
Security Assessor (GXPN)); dan/atau
f. CREST Certified Testers (CREST Certified
Tester Application (CCT-APP), CREST
Certified Tester Infrastructure (CCT-INF)).
26 MARA 3600 | e - Khidmat Pengurusan Julai 2021
a. Pelanggaran Dasar (Violation of e. Spam
Policy)
Spam adalah emel yang dihantar ke akaun emel
Penggunaan aset ICT bagi tujuan kebocoran orang lain yang tidak dikenali, menghantar dalam
maklumat dan/atau mencapai maklumat yang satu masa dan secara berulang-kali (kandungan
melanggar Dasar Keselamatan ICT. emel yang sama). Ini menyebabkan kesesakan
rangkaian dan tindak balas menjadi perlahan.
b. Penghalangan Penyampaian
Perkhidmatan (Denial of Service) f. Malicious Code
Ancaman ke atas keselamatan sistem komputer Perkakasan atau perisian yang dimasukkan ke dalam
di mana perkhidmatan pemprosesan maklumat sistem tanpa kebenaran bagi tujuan pencerobohan.
sengaja dinafikan terhadap pengguna sistem. Ia Ia melibatkan serangan virus, trojan horse, worm,
melibatkan sebarang tindakan yang menghalang spyware dan sebagainya.
sistem daripada berfungsi secara normal. Termasuk
denial of service (DoS), distributed denial of service g. Harrassment/Threats
(DDoS) dan sabotage.
Gangguan dan ancaman melalui pelbagai cara iaitu
c. Pencerobohan (Intrusion) emel dan surat yang bermotif personal dan atas
sebab tertentu.
Mengguna dan mengubahsuai ciri-ciri perkakasan,
perisian atau mana-mana komponen sesebuah h. Attempts/Hack Threats/
sistem tanpa pengetahuan, arahan atau persetujuan Information Gathering
mana-mana pihak. Ia termasuk capaian tanpa
kebenaran, pencerobohan laman web, melakukan Percubaaan (sama ada gagal atau berjaya) untuk
kerosakan kepada sistem (system tampering), mencapai sistem atau data tanpa kebenaran.
pindaan data (modification of data) dan pindaan Termasuk spoofing, phishing, probing, war driving
kepada konfigurasi sistem. dan scanning.
d. Pemalsuan (Forgery) i. Kehilangan Fizikal (Physical Loss)
Pemalsuan dan penyamaran identiti yang banyak Kehilangan capaian dan kegunaan disebabkan
dilakukan dalam penghantaran mesej melalui emel kerosakan, kecurian dan kebakaran ke atas aset ICT
termasuk penyalahgunaan dan pencurian identiti, berpunca dari ancaman pencerobohan.
pencurian maklumat (information theft/espionage)
dan penipuan (hoaxes).
Julai 2021 MARA 3600 | e - Khidmat Pengurusan 27
Dari aspek teknikal, penubuhan Pasukan Computer Bagi memastikan pengendalian insiden mengikut
Emergency Response Team (CERT) agensi yang garis panduan yang telah ditetapkan, pasukan
bertanggungjawab seperti berikut: dilantik digalakkan mempunyai kompetensi seperti
berikut:
a. Menerima dan mengesan aduan keselamatan
ICT dan menilai tahap dan jenis insiden; a. GIAC (SANS Global Information Assurance
Certification) Certified Forensics Examiner
b. Merekod dan menjalankan siasatan awal (GCFE)
insiden yang diterima;
b. GIAC Information Security Fundamentals (GISF)
c. Menangani tindak balas (response) insiden Fundamental
keselamatan ICT dan mengambil tindakan
baikpulih minima; c. Computer Forensic (FCF)
d. Menghubungi dan melapor insiden yang d. GIAC Certified Forensic Analyst (GCFA)
berlaku kepada Government Computer
Emergency Response Team (GCERT) NACSA e. GIAC Law of Data Security & Investigations
sama ada sebagai input atau untuk tindakan (GLEG)
seterusnya;
f. Certified Ethical Hacker (CEH)
e. Menasihat agensi-agensi di bawah
kawalannya mengambil tindakan pemulihan g. GIAC Reverse Engineering Malware (GREM)
dan pengukuhan;
h. Computer Hacking Forensic Investigator (CHFI)
f. Menyebarkan makluman berkaitan insiden
kepada agensi di bawah kawalannya; dan i. EC-Council Certified Incident Handling (ECIH)
g. Menjalankan penilaian untuk memastikan
tahap keselamatan ICT dan mengambil
tindakan pemulihan atau pengukuhan bagi
meningkatkan tahap keselamatan infrastruktur
ICT supaya insiden baru dapat dielakkan
Insiden ICT yang kerap berlaku di MARA ialah
e-mel spam, phising dan spoofing, Malicious
Code seperti Ransomware dan Attempts/Hack
Threats/Information Gathering di gateway penyedia
perkhidmatan internet bagi sistem aplikasi
berasaskan web. MARA telah mengambil tindakan
sewajarnya berdasarkan tatacara Pengendalian
insiden ICT seperti yang dinyatakan dalam Pelan
Keselamatan Siber MARA versi 2.0, Bidang 06:
Pengurusan Operasi dan Komunikasi pada sub
bidang PKSMARA 060104 Prosedur Pengurusan
Insiden.
28 MARA 3600 | e - Khidmat Pengurusan Julai 2021
INISIATIF 4: Procedures (SOP) semasa selaras dengan Pelan
PROGRAM KESEDARAN Keselamatan Siber. Antara faedah pelaksanaan
KESELAMATAN SIBER inisiatif dan program tersebut adalah:
MARA telah menganjurkan program a. Mengurangkan risiko yang terhasil kesan
kesedaran keselamatan siber sebagai langkah daripada akses sama ada secara sengaja atau tidak
menghadapi serangan siber seperti poster digital di sengaja kepada aset ICT.
Portal MARAnet, hebahan melalui e-mel rasmi MARA,
program perkongsian pengetahuan melalui ceramah b. Mengenalpasti kelemahan keselamatan
dan soal selidik. Melalui inisiatif ini, hebahan dan yang menimbulkan risiko kepada infrastruktur ICT
perkongsian pengetahuan berkaitan keselamatan secara proaktif.
siber dapat disampaikan secara menyeluruh kepada
semua komuniti MARA. c. Mampu membantu dalam mengenalpasti
keutamaan dalam mengatasi risiko ICT berdasarkan
KESIMPULAN risiko bisnes.
Melalui inisiatif dan program yang telah dilaksanakan, d. Menambahbaik keseluruhan tahap
MARA mendapat faedah penambahbaikan keselamatan infrastruktur ICT dengan mengikuti
secara berterusan sebagai amalan terbaik dalam syor dan saranan dalam usaha mitigasi terhadap
pengurusan keselamatan ICT bagi menyokong kelemahan yang telah dikenalpasti.
memantapkan sistem penyampaian perkhidmatan
yang sedang dilaksanakan. Selain itu, pelaksanaan e. Meningkat pematuhan terhadap dasar/
inisiatif dan program tersebut juga dapat membantu polisi/prosedur keselamatan ICT dan selaras
mewujudkan dan menambahbaik Standard Operating dengan teknologi terkini yang memerlukan penilaian
keselamatan.
Julai 2021 MARA 3600 | e - Khidmat Pengurusan 29
Dengan kawalan, jaminan dan penilaian keselamatan ICT yang dilaksanakan secara
konsisten ini mampu meningkatkan kepercayaan orang awam dan reputasi MARA dalam
menyediakan perkhidmatan ICT dengan memelihara kerahsiaan maklumat (confidentiality),
integriti (integrity) dan kebolehsediaan (availability).
Sebagai pengguna ICT, adalah menjadi tanggungjawab bersama untuk melaksanakan
prinsip-prinsip yang terkandung dalam Pelan Keselamatan Siber MARA sebagai panduan dan
langkah kawalan keselamatan ICT. Disamping
itu, pengguna juga digalakkan melibatkan diri
dalam program kesedaran keselamatan siber
sebagai usaha penambahan pengetahuan
berkaitan keselamatan siber. Sekiranya
pengguna dapat mengesan sebarang insiden
keselamatan ICT di tempat kerja, pengguna
bertanggungjawab melaporkan kepada
Pengarah Bahagian Teknologi Maklumat selaku
Pegawai Keselamatan ICT (ICTSO) MARA.
Sumber dan penulisan: Noor Afzan binti Mohd Nordin
Bahagian Teknologi Maklumat, MARA.
30 MARA 3600 | e - Khidmat Pengurusan Julai 2021
SELEKSI EDITOR
Sumber: Cyber Security Malaysia
Julai 2021 MARA 3600 | e - Khidmat Pengurusan 31
Terbitan
Bahagian Inovasi & Teknologi Kreatif MARA
Tingkat 4, Ibu Pejabat MARA
50609 Jalan MARA, Kuala Lumpur.
Tel: 03 2613 2401 • Faks: 03 2691 0075
Email: [email protected]
www.mara.gov.my
32 MARA 3600 | e - Khidmat Pengurusan Julai 2021
The words you are searching are inside this book. To get more targeted content, please make full-text search by clicking here.
buletin 360_julai_REGULAR
Discover the best professional documents and content resources in AnyFlip Document Base.
Search
buletin 360_julai_REGULAR
- 1 - 32
Pages: