DASAR KESELAMATAN ICT JPA Versi:
2.5
KANDUNGAN
Muka Surat:
i dari v
BIL. PERKARA M/S
1. SEJARAH DOKUMEN DASAR KESELAMATAN ICT JPA 1
2. PENGENALAN 2
3. OBJEKTIF DASAR KESELAMATAN ICT JPA 2
4. PERNYATAAN DASAR KESELAMATAN ICT JPA 3
5. SKOP DASAR KESELAMATAN ICT JPA 5
6. PRINSIP-PRINSIP DASAR KESELAMATAN ICT JPA 8
7. PENILAIAN RISIKO KESELAMATAN ICT 10
8. KAWALAN-KAWALAN
KAWALAN 01 – DASAR KESELAMATAN ICT 11
Objektif 11
K01/01 Pelaksanaan Dasar 11
K01/02 Penyebaran Dasar 11
K01/03 Penyelenggaraan Dasar 12
K01/04 Pematuhan Dasar
KAWALAN 02 - ORGANISASI KESELAMATAN 13
Objektif 13
K02/01 Infrastruktur Organisasi Dalaman 13
K02/01/01 Ketua Pengarah Perkhidmatan Awam (KPPA) 13
K02/01/02 Ketua Pegawai Maklumat (CIO) 14
K02/01/03 Pegawai Keselamatan ICT (ICTSO) 16
K02/01/04 Pengurus ICT 17
K02/01/05 Pentadbir Sistem 18
Pentadbir Rangkaian Dan Keselamatan 19
Pentadbir Pangkalan Data 20
Pentadbir Portal 21
Pentadbir Pusat Data 22
Pentadbir Sistem Aplikasi 23
Pentadbir E-mel 24
Pentadbir Media Sosial JPA 25
K02/01/06 Pengguna 27
K02/01/07 Jawatankuasa Pemandu ICT (JPICT) JPA 29
K02/01/08 Jawatankuasa Keselamatan ICT (JKICT) JPA 31
K02/01/09 Pasukan Tindak Balas Insiden Keselamatan
ICT (JPACERT)
Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
5 Dis 2018
DASAR KESELAMATAN ICT JPA Versi:
2.5
K02/01/10 Jawatankuasa Pelan Pemulihan Bencana
(JKDRP) JPA Muka Surat:
ii dari v
K02/02 Pihak Luaran
K02/02/01 Keperluan Keselamatan Dalam 32
Perkhidmatan ICT
33
KAWALAN 03 - PENGURUSAN ASET 33
Objektif
K03/01 Akauntabiliti Aset ICT 35
K03/02 Pengelasan Maklumat 35
K03/03 Pengendalian Maklumat 36
K03/04 Pengelasan dan Pengendalian Data Terbuka 36
37
KAWALAN 04 – KESELAMATAN SUMBER MANUSIA
Objektif 38
K04/01 Sebelum Perkhidmatan 38
K04/02 Semasa Perkhidmatan 39
K04/02/01 Program Kesedaran Keselamatan ICT 40
K04/03 Bertukar Atau Tamat Perkhidmatan 40
KAWALAN 05 - KESELAMATAN FIZIKAL DAN PERSEKITARAN 41
Objektif 41
K05/01 Keselamatan Kawasan 41
K05/01/01 Kawasan Larangan Lokasi ICT 42
K05/01/02 Kawalan Masuk Fizikal 43
K05/02 Keselamatan Peralatan 43
K05/02/01 Peralatan ICT 45
K05/02/02 Media Storan 46
K05/02/03 Media Tandatangan Digital 46
K05/02/04 Media Perisian dan Aplikasi 47
K05/02/05 Perkakasan Tanpa Penyeliaan (Unattended
Equipment) 47
K05/02/06 Peralatan di Luar Premis 48
K05/02/07 Pelupusan 49
K05/02/08 Penyelenggaraan 50
K05/03 Kawalan Persekitaran 50
K05/03/01 Kawalan Persekitaran 51
K05/03/02 Kabel Rangkaian 51
K05/03/03 Bekalan Kuasa 52
K05/03/04 Prosedur Kecemasan
Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
5 Dis 2018
DASAR KESELAMATAN ICT JPA Versi:
2.5
K05/03/05 Mekanisma Pelaporan Insiden Bukan ICT
K05/03/06 Mekanisma Kawalan Peralatan Muka Surat:
iii dari v
Sewaan/Ujicuba (Proof Of Concept)
K05/04 Keselamatan Sistem Dokumentasi 52
52
KAWALAN 06 - PENGURUSAN OPERASI DAN KOMUNIKASI
Objektif 53
K06/01 Prosedur Operasi
K06/01/01 Pengendalian Dokumen Prosedur Operasi 55
K06/01/02 Pengurusan Perubahan 55
K06/01/03 Pengasingan Tugas dan Tanggungjawab 55
K06/02 Perancangan dan Penerimaan Sistem 55
K06/02/01 Perancangan Kapasiti 56
K06/02/02 Penerimaan Sistem 57
K06/03 Perlindungan dari Perisian Berbahaya 57
K06/03/01 Perlindungan dari Perisian Berbahaya 57
K06/03/02 Perlindungan dari Mobile Code 57
K06/04 Housekeeping 57
K06/04/01 Backup 58
K06/05 Pengurusan Rangkaian 59
K06/06 Pengurusan Media 59
K06/06/01 Media Mudah Alih 59
K06/06/02 Prosedur Pengendalian Media 60
K06/07 Pengurusan Penghantaran dan Penerimaan 60
Maklumat 61
K06/08 Pengurusan Mel Elektronik (E-mel) 61
K06/09 Perkhidmatan E-Dagang
K06/10 Paparan Maklumat Umum 62
K06/11 Pengurusan Penyampaian Perkhidmatan 64
Pembekal, Pakar Runding dan Pihak-Pihak Lain 64
Yang Terlibat 65
K06/12 Pemantauan
K06/12/01 Pemantauan 66
K06/12/02 Pengauditan dan Forensik ICT 66
K06/12/03 Jejak Audit 67
K06/12/04 Sistem Log 68
69
KAWALAN 07 - KAWALAN CAPAIAN
Objektif 71
K07/01 Kawalan Capaian 71
K07/02 Pengurusan Capaian Pengguna 71
Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
5 Dis 2018
DASAR KESELAMATAN ICT JPA Versi:
2.5
K07/02/01 Pendaftaran Pengguna
K07/02/02 Hak Capaian (Access Privillege) Muka Surat:
K07/02/03 Pengurusan Kata Laluan iv dari v
K07/02/04 Clear Desk dan Clear Screen
K07/03 Capaian Sistem Pengoperasian 71
K07/03/01 Capaian Sistem Pengoperasian 72
K07/03/02 Kad Pintar/ Sijil Digital 72
K07/04 Capaian Aplikasi dan Maklumat 74
K07/05 Capaian Jarak Jauh 74
K07/06 Kawalan Capaian Rangkaian 74
K07/06/01 Capaian Rangkaian 76
K07/06/02 Capaian Internet 77
K07/07 Peralatan Mudah Alih 78
K07/08 Bring Your Own Device (BYOD) 78
78
KAWALAN 08 – PEROLEHAN, PEMBANGUNAN DAN 79
PENYELENGGARAAN SISTEM 80
81
Objektif
K08/01 Kawalan Prosesan Aplikasi 83
83
K08/01/01 Pengesahan Data Input 83
K08/01/02 Kawalan Prosesan 83
K08/01/03 Pengesahan Data Output 84
K08/02 Kawalan Kriptografi 84
K08/03 Keselamatan Fail Sistem 85
K08/04 Keselamatan Dalam Proses Pembangunan Dan 85
Sokongan
K08/04/01 Prosedur Perubahan 85
K08/04/02 Pembangunan Secara Outsource 86
K08/04/03 Pembocoran Maklumat 86
K08/05 Kawalan Terhadap Keterdedahan Teknikal 87
KAWALAN 09 - PENGURUSAN PENGENDALIAN INSIDEN 88
KESELAMATAN 88
90
Objektif
K09/01 Mekanisme Pelaporan Insiden Keselamatan ICT
K09/02 Prosedur Pengurusan dan Pengendalian Insiden
Keselamatan ICT
Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
5 Dis 2018
DASAR KESELAMATAN ICT JPA Versi:
2.5
KAWALAN 10 - PENGURUSAN KESINAMBUNGAN
PERKHIDMATAN Muka Surat:
v dari v
Objektif
K10/01 Pelan Pemulihan Bencana 92
K10/02 Pengurusan Kesinambungan Perkhidmatan 92
93
KAWALAN 11 – PEMATUHAN
Objektif 96
K11/01 Pematuhan Dasar 96
K11/02 Pematuhan dengan Dasar, Piawaian dan 96
Keperluan Teknikal 96
K11/03 Pematuhan Keperluan Audit 97
K11/04 Keperluan Perundangan dan Peraturan 101
K11/05 Pelanggaran Perundangan
102
9. GLOSARI
112
10. SENARAI LAMPIRAN
113
Lampiran 1 Surat Akuan Pematuhan
Dasar Keselamatan ICT JPA 115
Lampiran 2 Ringkasan Proses Kerja Pelaporan Insiden 117
Keselamatan ICT JPA
Lampiran 3 Permohonan Kebenaran Untuk Menggunakan
Kemudahan Internet Peribadi Bagi Tujuan
Sambungan Ke Internet
Lampiran 4 Official Secrets Act (OSA)
Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
5 Dis 2018
DASAR KESELAMATAN ICT JPA Versi:
2.5
SEJARAH DOKUMEN DASAR KESELAMATAN ICT JPA
Muka Surat:
1 dari 118
3
TARIKH EDISI KELULUSAN TARIKH KUATKUASA
OGOS 2006 1.0 JPICT 15 OGOS 2006
2.0 JPICT 05 JUN 2008
JUN 2008 2.1 JPICT
DIS 2010 2.2 JPICT 02 DISEMBER 2010
FEB 2013 2.3 JPICT 05 FEBRUARI 2013
DISEMBER 2016 2.4 JPICT 15 DISEMBER 2016
FEBRUARI 2018 2.5 JPICT 27 FEBRUARI 2018
DISEMBER 2018 5 DISEMBER 2018
Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
5 Dis 2018
DASAR KESELAMATAN ICT JPA Versi:
2.5
PENGENALAN
Muka Surat:
2 dari 118
3
Jabatan Perkhidmatan Awam (JPA) Malaysia berperanan untuk menyediakan perkhidmatan
bagi perancangan, pembangunan dan pengurusan sumber manusia sektor awam yang
cemerlang berteraskan profesionalisme, integriti dan teknologi. Dokumen ini diguna pakai oleh
semua pengguna dan pihak luaran yang menyediakan perkhidmatan, mencapai dan
menggunakan aset dan sistem aplikasi Information and Communication Technology (ICT) di
JPA. Dasar Keselamatan ICT (DKICT) JPA disediakan berpandu kepada piawaian antarabangsa
iaitu ISO/IEC 27001:2013.
OBJEKTIF DASAR KESELAMATAN ICT JPA
Objektif utama DKICT adalah seperti berikut:
1. memastikan kelancaran operasi jabatan yang berlandaskan ICT dengan mencegah serta
meminimumkan kerosakan atau kemusnahan aset ICT jabatan;
2. melindungi kepentingan pihak-pihak yang bergantung kepada sistem maklumat
daripada kesan kegagalan atau kelemahan dari segi kerahsiaan, integriti, tidak boleh
disangkal, kebolehsediaan dan kesahihan (CIA3);
3. meminimumkan kos penyelenggaraan ICT akibat ancaman dan penyalahgunaan;
4. meningkatkan tahap kesedaran keselamatan ICT kepada para kakitangan, pengguna
dan pihak luaran;
5. memperkemaskan pengurusan risiko;
6. mencegah penyalahgunaan atau kecurian aset ICT jabatan; dan
7. melindungi aset ICT daripada penyelewengan oleh pengguna dan pihak luaran.
Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
5 Dis 2018
DASAR KESELAMATAN ICT JPA Versi:
2.5
PERNYATAAN DASAR KESELAMATAN ICT JPA
Muka Surat:
3 dari 118
3
Keselamatan ditakrifkan sebagai keadaan yang bebas daripada ancaman dan risiko yang tidak
boleh diterima. Keselamatan adalah suatu proses yang berterusan. Ia melibatkan aktiviti
berkala yang mesti dilakukan dari semasa ke semasa untuk menjamin keselamatan kerana
ancaman dan kelemahan sentiasa berubah.
Keselamatan ICT adalah bermaksud keadaan bagi segala urusan menyedia dan membekalkan
perkhidmatan yang berasaskan kepada sistem ICT berjalan secara berterusan. Terdapat empat
(4) komponen asas keselamatan IT, iaitu:
1. melindungi maklumat rahsia rasmi dan maklumat rasmi JPA dari capaian tanpa kuasa
yang sah;
2. menjamin setiap maklumat adalah tepat dan sempurna;
3. memastikan ketersediaan maklumat apabila diperlukan oleh pengguna; dan
4. memastikan akses hanya kepada pengguna-pengguna yang sah atau penerimaan
maklumat dari sumber-sumber yang sah.
Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
5 Dis 2018
Versi:
DASAR KESELAMATAN ICT JPA 2.5
Muka Surat:
4 dari 118
DKICT JPA merangkumi perlindungan ke atas semua bentuk maklumat elektronik dan b3ukan
elektronik bertujuan untuk menjamin keselamatan maklumat tersebut dan kebolehsediaan
kepada semua pengguna yang dibenarkan. Ciri-ciri utama keselamatan maklumat adalah
seperti berikut:
1. Kerahsiaan – maklumat tidak boleh didedahkan sewenang-wenangnya atau dibiarkan
akses tanpa kebenaran.
2. Integriti – data dan maklumat hendaklah tepat, lengkap dan kemas kini. Ia hanya
boleh diubah dengan cara yang dibenarkan.
3. Tidak boleh disangkal – punca data dan maklumat hendaklah dari punca yang sah
dan tidak boleh disangkal.
4. Kesahihan – data dan maklumat hendaklah dijamin kesahihannya.
5. Kebolehsediaan – data dan maklumat hendaklah boleh diakses pada bila-bila masa.
Selain itu, langkah-langkah ke arah keselamatan ICT hendaklah bersandarkan kepada penilaian
yang bersesuaian dengan perubahan semasa terhadap kelemahan semula jadi aset ICT,
ancaman yang wujud akibat daripada kelemahan tersebut, risiko yang mungkin timbul dan
langkah-langkah pencegahan sesuai yang boleh diambil untuk menangani risiko berkenaan.
Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
5 Dis 2018
DASAR KESELAMATAN ICT JPA Versi:
2.5
SKOP DASAR KESELAMATAN ICT JPA
Muka Surat:
5 dari 118
3
Sistem ICT JPA terdiri daripada organisasi, manusia, perisian, perkakasan, telekomunikasi,
kemudahan ICT, data dan maklumat. JPA telah menetapkan keperluan-keperluan asas
keselamatan seperti berikut:
1. data dan maklumat termasuk hardcopy dan softcopy hendaklah boleh diakses secara
berterusan dengan cepat, tepat, mudah dan dengan cara yang boleh dipercayai. Ini
adalah amat perlu bagi membolehkan keputusan dan penyampaian perkhidmatan
dilakukan dengan berkesan dan berkualiti.
2. semua data dan maklumat hendaklah dijaga kerahsiaannya dan dikendalikan sebaik
mungkin pada setiap masa bagi memastikan kesempurnaan dan melindungi
kepentingan JPA.
Bagi menentukan sistem ICT ini terjamin keselamatannya sepanjang masa, DKICT JPA ini
merangkumi perlindungan ke atas semua bentuk maklumat ICT kerajaan yang dimasuk,
diwujud, dimusnah, disimpan, dijana, dicetak, diakses, diedar dan yang dibuat salinan. Ini
akan dilakukan melalui penubuhan dan penguatkuasaan sistem kawalan dan prosedur dalam
pengendalian semua perkara-perkara berikut:
1. Data dan maklumat
Semua data dan maklumat yang disimpan atau digunakan di pelbagai media atau
peralatan ICT.
2. Peralatan ICT
Semua peralatan komputer dan peripheral seperti server, firewall, komputer
peribadi, stesen kerja, kerangka utama, pencetak, peralatan multimedia dan alat-alat
prasarana seperti Uninterruptible Power Supply (UPS), punca kuasa dan lain-lain.
Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
5 Dis 2018
Versi:
DASAR KESELAMATAN ICT JPA 2.5
Muka Surat:
6 dari 118
3. Media storan 3
Semua media storan yang digunakan untuk menyimpan data dan maklumat seperti
optical disk, flash disk, hard disk, USB flash drive, catridge tape, compact disc (CD)
dan lain-lain.
4. Media komunikasi
Semua peralatan berkaitan komunikasi seperti pelayan atau perkakasan rangkaian,
gateway, router, peralatan PABX, wireless LAN, talian ISDN, peralatan video
conferencing, modem, kabel rangkaian, NIC, switches,dan sebagainya.
5. Perisian
Semua jenis perisian yang digunakan untuk mengendali, memproses, menyimpan
dan menghantar data atau maklumat. Ini termasuklah sistem aplikasi seperti HRMIS,
eSILA, EPSA dan perisian sistem seperti Windows, LINUX dan perisian utiliti, perisian
komunikasi, sistem pengurusan pangkalan data, fail program, fail data dan lain-lain.
6. Dokumentasi
Semua dokumen termasuk prosedur dan manual pengguna yang berkaitan dengan aset
ICT, dokumen pemasangan dan pengoperasian peralatan dan perisian.
7. Premis Komputer dan Komunikasi
Semua kemudahan serta premis yang diguna untuk menempatkan perkara 1 hingga
6 di atas.
8. Manusia
Semua pengguna yang dibenarkan.
Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
5 Dis 2018
Versi:
DASAR KESELAMATAN ICT JPA 2.5
Muka Surat:
7 dari 118
9. Perkhidmatan 3
Perkhidmatan atau sistem yang menyokong aset lain untuk melaksanakan fungsinya.
Contoh:
i. perkhidmatan rangkaian seperti LAN, WAN dan lain-lain;
ii. sistem halangan akses seperti sistem kad akses; dan
iii. perkhidmatan sokongan seperti kemudahan elektrik, penghawa dingin, sistem
pencegah kebakaran dan lain-lain.
Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
5 Dis 2018
DASAR KESELAMATAN ICT JPA Versi:
2.5
PRINSIP-PRINSIP DASAR KESELAMATAN ICT JPA
Muka Surat:
8 dari 118
3
Prinsip-prinsip yang menjadi asas kepada DKICT JPA adalah seperti berikut:
1. Akses Atas Dasar Perlu Mengetahui
Akses terhadap penggunaan aset ICT hanya diberikan untuk tujuan spesifik dan
dihadkan kepada pengguna tertentu atas dasar perlu mengetahui sahaja. Ini
bermakna akses hanya akan diberikan sekiranya peranan atau fungsi pengguna
memerlukan maklumat tersebut.
2. Hak Akses Minimum
Hak akses kepada pengguna hanya diberi pada tahap yang paling minimum iaitu
untuk membaca dan/atau melihat sahaja. Kelulusan khas diperlukan untuk
membolehkan pengguna mewujud, menyimpan, mengemas kini, mengubah dan
menghapuskan sesuatu data atau maklumat.
3. Kebertanggungjawaban atau Akauntabiliti
Semua pengguna adalah dipertanggungjawabkan ke atas semua tindakannya
terhadap aset ICT. Tanggungjawab ini perlu dinyatakan dengan jelas sesuai dengan
tahap sensitiviti sesuatu sumber ICT. Bagi menentukan tanggungjawab ini dipatuhi,
sistem ICT hendaklah mampu menyokong kemudahan mengesan atau mengesahkan
bahawa pengguna sistem maklumat boleh dipertanggungjawabkan atas tindakan
mereka.
4. Pengasingan
Tugas mewujud, menghapus, mengemas kini, mengubah dan mengesahkan data
perlu diasingkan bagi mengelakkan daripada capaian yang tidak dibenarkan
(unauthorized access) serta melindungi aset ICT daripada kesilapan, kebocoran
maklumat terperingkat atau dimanipulasikan. Pengasingan juga merangkumi data,
operasi, pangkalan data dan rangkaian.
Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
5 Dis 2018
Versi:
DASAR KESELAMATAN ICT JPA 2.5
Muka Surat:
9 dari 118
5. Pengauditan 3
Tujuan aktiviti ini ialah untuk mengenal pasti insiden keselamatan aset ICT atau
keadaan yang mengancam keselamatan aset ICT. Dengan itu, semua log yang
berkaitan dengan aset ICT perlu disimpan bagi tujuan jejak audit.
6. Pematuhan
DKICT JPA hendaklah dipatuhi bagi mengelakkan sebarang bentuk pelanggaran ke
atasnya yang boleh membawa ancaman kepada keselamatan ICT.
7. Pemulihan
Pemulihan sistem amat perlu untuk memastikan kebolehsediaan dan kebolehcapaian
bagi meminimumkan sebarang gangguan atau kerugian akibat daripada
ketidaksediaan dan ketidakbolehcapaian. Pemulihan boleh dilakukan melalui proses
penduaan (backup) dan mewujudkan Pelan Pemulihan Bencana (DRP) di bawah
Pengurusan Kesinambungan Perkhidmatan (PKP.
8. Saling Bergantung
Setiap prinsip adalah saling lengkap-melengkapi dan bergantung antara satu sama
lain. Dengan itu tindakan mempelbagaikan pendekatan dalam menyusun dan
mencorak sebanyak mungkin mekanisma keselamatan, dapat menjamin keselamatan
yang maksimum.
Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
5 Dis 2018
DASAR KESELAMATAN ICT JPA Versi:
2.5
PENILAIAN RISIKO KESELAMATAN ICT
Muka Surat:
10 dari 118
3
JPA hendaklah mengambil kira kewujudan risiko ke atas aset ICT akibat dari ancaman dan
vulnerability yang semakin meningkat hari ini. Justeru itu JPA perlu mengambil langkah-langkah
proaktif dan bersesuaian untuk menilai tahap risiko aset ICT supaya pendekatan dan keputusan
yang paling berkesan dikenal pasti bagi menyediakan perlindungan dan kawalan ke atas aset ICT.
JPA hendaklah melaksanakan penilaian risiko keselamatan ICT secara berkala dan berterusan
bergantung kepada perubahan teknologi dan keperluan keselamatan ICT. Seterusnya mengambil
tindakan susulan atau langkah-langkah bersesuaian untuk mengurangkan atau mengawal risiko
keselamatan ICT berdasarkan penemuan penilaian risiko.
Penilaian risiko keselamatan ICT hendaklah dilaksanakan ke atas sistem maklumat JPA
termasuklah aplikasi, perisian, perkakasan, pelayan, rangkaian, pangkalan data, sumber manusia,
proses, dan prosedur. Penilaian risiko ini hendaklah juga dilaksanakan di premis yang
menempatkan sumber-sumber teknologi maklumat termasuklah pusat data, bilik media storan,
kemudahan utiliti dan sistem-sistem sokongan lain.
JPA bertanggungjawab melaksanakan dan menguruskan risiko keselamatan ICT selaras dengan
keperluan Surat Pekeliling Am Bilangan 6 Tahun 2005: Garis Panduan Penilaian Risiko
Keselamatan Maklumat Sektor Awam.
JPA perlu mengenal pasti tindakan yang sewajarnya bagi menghadapi kemungkinan risiko berlaku
dengan memilih tindakan berikut:
1. mengurangkan risiko dengan melaksanakan kawalan yang bersesuaian;
2. menerima atau bersedia berhadapan dengan risiko yang akan terjadi selagi ia
memenuhi kriteria yang telah ditetapkan oleh pengurusan atasan;
3. mengelak atau mencegah risiko dari terjadi dengan mengambil tindakan yang dapat
mengelak atau mencegah berlakunya risiko; dan
4. memindahkan risiko kepada pihak luaran yang berkepentingan.
Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
5 Dis 2018
DASAR KESELAMATAN ICT JPA Versi:
2.5
Kawalan 01: Dasar Keselamatan ICT
Muka Surat:
11 dari 118
3
Objektif
DKICT JPA ini diwujudkan untuk melindungi aset ICT bagi memastikan kelancaran operasi
jabatan secara berterusan, meminimumkan kerosakan atau kemusnahan aset-aset ICT melalui
usaha pencegahan atau mengurangkan kesan kejadian yang tidak diingini berdasarkan kepada
ciri-ciri keselamatan iaitu kerahsiaan, integriti, tidak boleh disangkal, kebolehsediaan dan
kesahihan.
K01/01 Pelaksanaan Dasar KPPA
Pelaksanaan dasar ini akan dijalankan oleh Ketua
Pengarah Perkhidmatan Awam (KPPA) dibantu oleh
Jawatankuasa Pemandu ICT JPA (JPICT) yang terdiri
daripada Ketua Pegawai Maklumat (CIO), Pegawai
Keselamatan ICT (ICTSO) dan semua Pengarah
Bahagian.
K01/02 Penyebaran Dasar ICTSO
Dasar ini perlu disebarkan kepada semua yang terlibat
dengan infrastruktur ICT JPA meliputi semua pengguna.
K01/03 Penyelenggaraan Dasar ICTSO, JKICT
DKICT JPA adalah tertakluk kepada semakan dan
pindaan dari semasa ke semasa selaras dengan
perubahan teknologi, aplikasi, prosedur, perundangan
dan kepentingan sosial. Berikut adalah prosedur yang
berhubung dengan penyelenggaraan DKICT JPA:
a. mengenal pasti dan menentukan perubahan yang
diperlukan;
Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
5 Dis 2018
DASAR KESELAMATAN ICT JPA Versi:
2.5
b. mengemukakan cadangan pindaan secara bertulis
kepada ICTSO untuk tindakan dan pertimbangan Muka Surat:
Jawatankuasa Keselamatan ICT (JKICT); 12 dari 118
3
c. memaklumkan cadangan pindaan yang telah
dipersetujui oleh JKICT kepada JPICT bagi tujuan
pengesahan;
d. memaklumkan pindaan yang telah disahkan oleh
JPICT kepada semua pengguna; dan
e. menyemak semula dokumen sekurang-kurangnya
setahun sekali atau mengikut keperluan bagi
memastikan dokumen sentiasa relevan.
K01/04 Pematuhan Dasar
DKICT JPA mestilah dipatuhi oleh semua pengguna. Semua Pengguna
Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
5 Dis 2018
DASAR KESELAMATAN ICT JPA Versi:
2.5
Kawalan 02: Organisasi Keselamatan
Muka Surat:
13 dari 118
Objektif
Menerangkan peranan dan tanggungjawab semua pihak yang terlibat dengan lebih jelas dan
teratur dalam mencapai objektif DKICT JPA.
K02/01 Infrastruktur Organisasi Dalaman KPPA
K02/01/01 Ketua Pengarah Perkhidmatan Awam (KPPA)
Peranan dan tanggungjawab KPPA adalah seperti berikut:
a. memastikan semua pengguna memahami
peruntukan-peruntukan di bawah DKICT JPA;
b. memastikan semua pengguna mematuhi DKICT JPA;
c. memastikan semua keperluan jabatan seperti
sumber kewangan, sumber kakitangan dan
perlindungan keselamatan adalah mencukupi; dan
d. memastikan program keselamatan ICT dilaksanakan
seperti yang ditetapkan di dalam DKICT JPA.
K02/01/02 Ketua Pegawai Maklumat (CIO) CIO
Jawatan Ketua Pegawai Maklumat (CIO) adalah
disandang oleh Timbalan Ketua Pengarah Perkhidmatan
Awam (Operasi).
Peranan dan tanggungjawab CIO adalah seperti berikut:
a. bertanggungjawab ke atas perkara-perkara yang
berkaitan dengan keselamatan ICT JPA;
Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
5 Dis 2018
DASAR KESELAMATAN ICT JPA Versi:
2.5
b. bertanggungjawab menyelaras dan mengurus pelan
tindakan dan program keselamatan seperti Muka Surat:
penyediaan DKICT JPA, pelan latihan dan kesedaran 14 dari 118
pengguna, pengurusan risiko dan pengauditan; dan
ICTSO
c. menentukan keperluan keselamatan ICT.
K02/01/03 Pegawai Keselamatan ICT (ICTSO)
Jawatan Pegawai Keselamatan ICT (ICTSO) adalah
disandang oleh Pengarah Bahagian Pembangunan dan
Pengurusan Maklumat Strategik (BPMS) JPA.
Peranan dan tanggungjawab ICTSO adalah seperti
berikut:
a. mempengerusikan Jawatankuasa Keselamatan ICT
(JKICT);
b. mengurus keseluruhan program keselamatan ICT
JPA;
c. menguatkuasakan pelaksanaan DKICT JPA di semua
bahagian di JPA;
d. memastikan pengurusan risiko dan audit
keselamatan ICT berpandukan dokumen Malaysian
Public Sector Management of Information and
Communications (MyMIS) dan Rangka Kerja
Keselamatan Siber Sektor Awam (RAKKSSA) untuk
mengenal pasti ketidakpatuhan kepada DKICT JPA;
Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
5 Dis 2018
DASAR KESELAMATAN ICT JPA Versi:
2.5
e. mencadangkan langkah-langkah pengukuhan bagi
mematuhi dasar-dasar berkaitan keselamatan ICT Muka Surat:
JPA; 15 dari 118
f. melaporkan insiden keselamatan ICT kepada pihak
National Cyber Security Agency (NACSA) dan
seterusnya membantu dalam penyiasatan atau
pemulihan;
g. memastikan program-program kesedaran mengenai
keselamatan ICT dilaksanakan;
h. menyedia dan menyebarkan amaran-amaran yang
sesuai terhadap kemungkinan berlaku ancaman
kepada keselamatan ICT dan menyediakan khidmat
nasihat serta langkah pemulihan yang bersesuaian;
i. melaporkan insiden keselamatan ICT kepada CIO
bagi insiden yang memerlukan Pengurusan
Kesinambungan Perkhidmatan;
j. memastikan pematuhan DKICT JPA oleh pihak luaran
yang memberi perkhidmatan ICT kepada JPA untuk
tujuan pembekalan, pemasangan, penyenggaraan
dan sebagainya;
k. menyemak, mengkaji dan menyediakan laporan
berkaitan dengan isu-isu keselamatan ICT;
l. memastikan DKICT JPA dikemas kini sesuai dengan
perubahan teknologi, arahan jabatan dan ancaman-
ancaman dari semasa ke semasa; dan
Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
5 Dis 2018
DASAR KESELAMATAN ICT JPA Versi:
2.5
m. memastikan Pelan Strategik ICT JPA mengandungi
aspek keselamatan ICT. Muka Surat:
16 dari 118
K02/01/04 Pengurus ICT
Jawatan Pengurus ICT disandang oleh dua (2) pegawai Pengurus ICT
iaitu Pengarah Bahagian Pembangunan dan Pengurusan
Maklumat Strategik dan Ketua Kluster Inovasi Teknologi
Pengurusan, INTAN.
Peranan dan tanggungjawab Pengurus ICT adalah seperti
berikut:
a. memastikan DKICT JPA dilaksanakan dan dipatuhi di
bahagian;
b. memastikan semua pengguna di JPA mematuhi
dasar, piawaian dan garis panduan keselamatan ICT,
dan seterusnya melaporkan sebarang insiden
berkaitan keselamatan ICT;
c. mengkaji semula aspek-aspek keselamatan fizikal
seperti kemudahan backup dan persekitaran pejabat
yang perlu, dengan persetujuan ICTSO;
d. melaksanakan keperluan DKICT dalam operasi
semasa seperti berikut:
i. pelaksanaan sistem atau aplikasi baru sama
ada dibangunkan secara dalaman atau luaran
yang melibatkan teknologi baru;
ii. pembelian atau peningkatan perisian dan
sistem komputer;
iii. perolehan teknologi dan perkhidmatan
Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
5 Dis 2018
DASAR KESELAMATAN ICT JPA Versi:
2.5
Muka Surat:
17 dari 118
komunikasi baru;
iv. pelantikan pembekal, perunding atau rakan
usahasama; dan
v. menentukan pembekal, perunding atau rakan
usahasama menjalani tapisan keselamatan
selaras dengan keperluan tahap
perkhidmatan.
e. memastikan bentuk ancaman keselamatan terkini
dikenalpasti dan penemuan ancaman dilaporkan
kepada ICTSO;
f. menyemak dan mengesahkan garis panduan,
prosedur dan tatacara bagi semua aplikasi yang
dibangunkan di bahagian-bahagian agar mematuhi
keperluan DKICT JPA;
g. membangun, mengkaji semula dan mengemas kini
pelan kontingensi dengan mengaktifkan Pelan
Pemulihan Bencana (DRP); dan
h. memastikan sistem kawalan capaian pengguna ke
atas aset-aset ICT JPA dilaksanakan.
K02/01/05 Pentadbir Sistem Pentadbir Sistem
Pentadbir Sistem terdiri daripada seperti berikut:
a. Pentadbir Rangkaian Dan Keselamatan;
b. Pentadbir Pangkalan Data;
c. Pentadbir Portal (Web Master);
d. Pentadbir Pusat Data;
e. Pentadbir Sistem Aplikasi;
f. Pentadbir E-mel; dan
g. Pentadbir Media Sosial JPA
Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
5 Dis 2018
DASAR KESELAMATAN ICT JPA Versi:
2.5
Muka Surat:
18 dari 118
Pentadbir Rangkaian Dan Keselamatan Pentadbir Rangkaian
Peranan dan tanggungjawab Pentadbir Rangkaian Dan Dan Keselamatan
Keselamatan adalah seperti berikut:
a. memastikan rangkaian setempat (LAN) dan
rangkaian luas (WAN) di JPA beroperasi sepanjang
masa;
b. memastikan semua peralatan dan perisian rangkaian
diselenggarakan dengan sempurna;
c. merancang peningkatan infrastruktur, ciri-ciri
keselamatan dan prestasi rangkaian sedia ada;
d. mengesan dan mengambil tindakan pembaikan
segera ke atas rangkaian yang tidak stabil;
e. melaksanakan penilaian tahap keselamatan sistem
rangkaian dan sistem ICT (Security Posture
Assessment, SPA) serta penilaian risiko keselamatan
maklumat;
f. memastikan laluan trafik keluar dan masuk
diuruskan secara berpusat dan tidak membenarkan
sambungan ke rangkaian JPA secara tidak sah
seperti melalui peralatan modem dan dial-up;
g. menyediakan zon khas rangkaian untuk tujuan
pengujian peralatan dan perisian rangkaian; dan
h. memantau penggunaan rangkaian dan melaporkan
kepada ICTSO sekiranya berlaku penyalahgunaan
sumber rangkaian.
Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
5 Dis 2018
DASAR KESELAMATAN ICT JPA Versi:
2.5
Muka Surat:
19 dari 118
Pentadbir Pangkalan Data Pentadbir Pangkalan
Peranan dan tanggungjawab Pentadbir Pangkalan Data Data
adalah seperti berikut:
a. melaksanakan instalasi dan penambahbaikan
pangkalan data serta perisian lain yang berkaitan
dengan pangkalan data;
b. memastikan pangkalan data boleh digunakan pada
setiap masa;
c. melaksanakan pemantauan dan penyelenggaraan
yang berterusan ke atas pangkalan data;
d. melaksanakan data masking dalam menyediakan
data latihan;
e. memastikan aktiviti pentadbiran pangkalan data
seperti prestasi capaian, penyelesaian masalah
pangkalan data dan proses pengemaskinian data
dilaksanakan dengan teratur;
f. melaksanakan polisi pengguna pangkalan data
berdasarkan kepada prinsip-prinsip DKICT;
g. melaksanakan proses perkemasan data
(housekeeping) di dalam pangkalan data; dan
h. melaporkan sebarang insiden pelanggaran dasar
keselamatan pangkalan data kepada ICTSO.
Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
5 Dis 2018
DASAR KESELAMATAN ICT JPA Versi:
2.5
Pentadbir Portal (Web Master)
Peranan dan tanggungjawab Pentadbir Portal adalah Muka Surat:
seperti berikut: 20 dari 118
Pentadbir Portal
a. menerima kandungan portal yang telah disahkan
kesahihan dan terkini daripada sumber yang sah;
b. memantau prestasi capaian dan menjalankan
penalaan prestasi untuk memastikan akses yang
lancar;
c. memantau dan menganalisis log untuk mengesan
sebarang capaian yang tidak sah atau cubaan
menggodam, menceroboh dan mengubahsuai antara
muka portal;
d. mengehadkan capaian Pentadbir Portal bahagian ke
web server;
e. mengasingkan kandungan dan aplikasi atas talian
untuk capaian secara Intranet dan Internet ke portal
JPA;
f. memastikan hanya maklumat yang bersifat terbuka
dipaparkan di portal;
g. memastikan reka bentuk portal dibangunkan dengan
ciri-ciri keselamatan supaya tidak dicerobohi;
h. melaksanakan perkemasan keselamatan terhadap
sistem pengoperasian dan perisian-perisian lain di
web server;
Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
5 Dis 2018
DASAR KESELAMATAN ICT JPA Versi:
2.5
i. melaksanakan proses backup dan restoration ke atas
kandungan dan aplikasi portal; dan Muka Surat:
21 dari 118
j. melaporkan sebarang pelanggaran keselamatan
portal kepada ICTSO.
Pentadbir Pusat Data Pentadbir Pusat Data
Peranan dan tanggungjawab Pentadbir Pusat Data adalah
seperti berikut:
a. memastikan persekitaran fizikal dan keselamatan
pusat data berada dalam keadaan baik dan selamat;
b. memastikan keselamatan data dan sistem aplikasi
yang berada dalam Pusat Data;
c. menjadual dan melaksanakan proses backup dan
restoration ke atas pangkalan data dan sistem secara
berkala;
d. menyediakan perancangan bencana mengikut prinsip
Pengurusan Kesinambungan Perkhidmatan (PKP)
dalam DKICT;
e. melaksanakan prinsip-prinsip DKICT;
f. memastikan Pusat Data sentiasa beroperasi
mengikut polisi yang telah ditetapkan; dan
g. melaporkan sebarang pelanggaran keselamatan
Pusat Data JPA kepada ICTSO.
Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
5 Dis 2018
DASAR KESELAMATAN ICT JPA Versi:
2.5
Pentadbir Sistem Aplikasi
Peranan dan tanggungjawab Pentadbir Sistem Aplikasi Muka Surat:
adalah seperti berikut: 22 dari 118
Pentadbir Sistem
Aplikasi
a. mengkaji cadangan pembangunan atau
penyelarasan sistem atau modul di JPA;
b. membuat kajian semula serta memperbaiki sistem
atau modul sedia ada di JPA;
c. membuat pertimbangan dan mengusulkan
cadangan pelaksanaan sistem atau modul di JPA;
d. membuat pemantauan dan penyelenggaraan
terhadap sistem atau modul dari semasa ke
semasa;
e. bertanggungjawab dalam aspek-aspek pelaksanaan
keseluruhan sistem atau modul;
f. menyediakan dokumentasi sistem atau modul dan
manual pengguna;
g. memastikan kelancaran operasi sistem aplikasi
supaya perkhidmatan yang disediakan tidak
terjejas;
h. memastikan kod-kod program sistem aplikasi
adalah selamat daripada penggodam sebelum
sistem tersebut diaktifkan penggunaanya;
i. memastikan virus pattern, hotfix dan patch yang
berkaitan dengan sistem aplikasi terkemas kini
Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
5 Dis 2018
DASAR KESELAMATAN ICT JPA Versi:
2.5
supaya terhindar daripada ancaman virus dan
penggodam; Muka Surat:
23 dari 118
j. mematuhi dan melaksanakan prinsip-prinsip DKICT
dalam pewujudan akaun pengguna ke atas setiap
sistem aplikasi;
k. mengehadkan capaian Dokumentasi Sistem Aplikasi
bagi mengelakkan dari penyalahgunaannya; dan
l. melaporkan kepada ICTSO jika berlakunya insiden
keselamatan ke atas sistem aplikasi di bawah
pentadbirannya.
Pentadbir E-mel Pentadbir E-mel
Peranan dan tanggungjawab Pentadbir E-mel adalah
seperti berikut:
a. menentukan setiap akaun yang diwujudkan atau
dibatalkan telah mendapat kelulusan. Pembatalan
akaun (pengguna yang berhenti, bertukar dan
melanggar dasar dan tatacara jabatan) perlulah
dilakukan dengan segera atas tujuan keselamatan
maklumat;
b. pentadbir e-mel boleh membekukan akaun
pengguna jika perlu semasa pengguna bercuti
panjang, berkursus atau menghadapi tindakan
tatatertib;
c. memastikan pengguna e-mel JPA berkemahiran
menggunakan e-mel melalui penyediaan dokumen
tatacara penggunaan e-mel JPA dan Internet JPA
Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
5 Dis 2018
DASAR KESELAMATAN ICT JPA Versi:
2.5
serta pelaksanaan Kursus Pembudayaan ICT
(Penggunaan E-mel dan Internet) secara Muka Surat:
berterusan. 24 dari 118
d. memastikan kemudahan membuat capaian e-mel Pentadbir Media
melalui pelbagai peralatan ICT dan alat komunikasi; Sosial JPA
dan
e. mengesah dan memaklumkan kepada ICTSO
sekiranya mengalami insiden keselamatan melalui
saluran rasmi.
Pentadbir Media Sosial JPA
Peranan dan tanggungjawab Pentadbir Media Sosial JPA
adalah seperti berikut:
a. maklumkan kepada semua ahli kumpulan, sebab
utama kumpulan aplikasi pesanan diwujudkan dan
memikirkan sama ada peraturan asas diperlukan;
b. prihatin terhadap peraturan atau syarat-syarat yang
digariskan oleh penyedia platform;
c. menegur posting atau komen untuk memastikan
perbincangan berada di landasan yang betul;
d. sentiasa semak posting atau komen (dengan
seorang moderator, jika boleh);
e. mempertimbangkan untuk mengeluarkan atau
menyekat mereka yang terus membuat posting atau
komen jelik; dan
Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
5 Dis 2018
DASAR KESELAMATAN ICT JPA Versi:
2.5
f. melaporkan sebarang pelanggaran polisi
penggunaan yang sedang berkuatkuasa. Muka Surat:
25 dari 118
K02/01/06 Pengguna
Pengguna adalah terdiri daripada warga JPA dan pihak Pengguna
luaran yang terlibat dalam penggunaan atau capaian
kepada aset dan perkhidmatan ICT Jabatan.
Peranan dan tanggungjawab pengguna adalah seperti
berikut:
a. Pengguna perlu membaca, memahami dan mematuhi
DKICT JPA;
b. mengetahui dan memahami implikasi keselamatan
ICT kesan dari tindakannya;
c. menjalani tapisan keselamatan sekiranya
dikehendaki berurusan dengan maklumat rasmi
terperingkat;
d. melaksanakan prinsip-prinsip DKICT dan menjaga
kerahsiaan maklumat JPA;
e. melaksanakan langkah-langkah perlindungan seperti
berikut:
i. menghalang pendedahan maklumat kepada
pihak yang tidak dibenarkan;
ii. memeriksa maklumat dan menentukan ia
tepat dan lengkap dari semasa ke semasa;
iii. menentukan maklumat sedia untuk
digunakan;
iv. menjaga kerahsiaan kata laluan;
Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
5 Dis 2018
DASAR KESELAMATAN ICT JPA Versi:
2.5
Muka Surat:
26 dari 118
v. mematuhi piawaian, prosedur, langkah dan
garis panduan keselamatan ICT yang
ditetapkan;
vi. melaksanakan peraturan berkaitan maklumat
terperingkat terutama semasa pewujudan,
pemprosesan, penyimpanan, penghantaran,
penyampaian, pertukaran dan pemusnahan;
dan
vii. menjaga kerahsiaan langkah-langkah
keselamatan ICT dari diketahui umum.
f. melaporkan sebarang aktiviti yang mengancam
keselamatan ICT kepada ICTSO dengan segera;
g. menghadiri program-program kesedaran mengenai
keselamatan ICT; dan
h. mengawal aktiviti penggunaan media sosial seperti di
bawah:
i. mengelakkan ketirisan maklumat;
ii. tidak memberi atau mendedahkan sebarang
komen atau pernyataan atau isu yang
menyentuh perkara-perkara yang boleh
menjejaskan imej dan dasar kerajaan;
iii. tidak menyebarkan maklumat yang berbentuk
fitnah, hasutan dan lucah atau cuba
memprovokasikan sesuatu isu yang
menyalahi peraturan dan undang-undang atau
perkara yang menyentuh sensitiviti individu
atau kumpulan tertentu; dan
Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
5 Dis 2018
DASAR KESELAMATAN ICT JPA Versi:
2.5
iv. tidak menggunakan saluran media sosial
hingga mengganggu fokus dalam urusan Muka Surat:
kerja. 27 dari 118
i. menandatangani surat akuan pematuhan DKICT JPA CIO
seperti di Lampiran 1.
K02/01/07 Jawatankuasa Pemandu ICT (JPICT) JPA
Keanggotaan JPICT adalah seperti berikut:
Pengerusi:
CIO
Ahli:
a. Pengarah Bahagian Perkhidmatan;
b. Pengarah Bahagian Pembangunan Organisasi;
c. Pengarah INTAN;
d. Pengarah Bahagian Pembangunan Modal Insan;
e. Pengarah Bahagian Khidmat Pengurusan;
f. Pangarah Bahagian Saraan;
g. Pengarah Bahagian Pasca Perkhidmatan;
h. Pengarah Bahagian Penyelidikan, Perancangan dan
Dasar;
i. Pengarah Bahagian Pengurusan Psikologi;
j. Pengarah Bahagian Pembangunan dan Pengurusan
Maklumat Strategik;
k. Pengarah Bahagian Transformasi Sektor Awam;
l. Timbalan Pengarah Kanan Bahagian Penyelidikan,
Perancangan dan Dasar;
m. Timbalan Pengarah Bahagian Pembangunan dan
Pengurusan Maklumat Strategik;
n. Ketua Kluster Inovasi Teknologi Pengurusan,
INTAN;
Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
5 Dis 2018
DASAR KESELAMATAN ICT JPA Versi:
2.5
o. Ketua Unit Komunikasi Korporat ;
p. Penasihat Undang-undang (PUU); Muka Surat:
q. Ketua Unit Audit Dalam; 28 dari 118
r. ICTSO; dan
s. Ketua Unit Integriti.
Urusetia:
BPMS
Bidang kuasa:
a. menetapkan arah tuju dan strategi ICT untuk
pelaksanaan ICT JPA;
b. merancang, menyelaras dan memantau
pelaksanaan program atau projek ICT JPA;
c. menyelaras dan menyeragamkan pelaksanaan ICT
agar selari dengan Pelan Strategik Teknologi
Maklumat (PSTM) JPA dan PSTM Sektor Awam;
d. meluluskan projek-projek ICT;
e. mengikuti dan memantau perkembangan program
ICT serta memahami keperluan, masalah dan isu-
isu yang dihadapi dalam pelaksanaan ICT;
f. merancang dan menentukan langkah-langkah
keselamatan ICT;
g. mengemukakan perolehan ICT yang telah
diluluskan di peringkat JPICT JPA kepada
Jawatankuasa Teknikal ICT (JTICT) MAMPU untuk
kelulusan;
h. mengemukakan laporan kemajuan projek ICT yang
Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
5 Dis 2018
DASAR KESELAMATAN ICT JPA Versi:
2.5
diluluskan kepada JTICT MAMPU; dan
Muka Surat:
i. menetapkan dasar dan prosedur pengurusan portal 29 dari 118
JPA.
ICTSO
K02/01/08 Jawatankuasa Keselamatan ICT (JKICT) JPA
Keanggotaan JKICT adalah seperti berikut:
Pengerusi:
ICTSO
Ahli:
a. Ketua JPACERT;
b. Pentadbir Pusat Data BPMS dan INTAN;
c. Pentadbir Sistem (System Administrator) BPMS dan
INTAN;
d. Pentadbir Sistem Aplikasi BPMS dan INTAN;
e. Pentadbir Rangkaian Dan Keselamatan (Network and
Security Administrator) BPMS dan INTAN ;
f. Pentadbir Portal (Web Master) BPMS dan INTAN;
g. Pentadbir Pangkalan Data (Database Administrator)
BPMS dan INTAN;
h. Pegawai Meja Bantuan (Helpdesk Officer) BPMS dan
INTAN;
i. Pegawai Latihan INTAN;
j. Wakil Pegawai Keselamatan Jabatan JPA;
k. Wakil Pasukan Pelaksana ISMS, BPMS; dan
l. Wakil Pasukan Pelaksana ISMS, INTAN.
Urusetia:
BPMS
Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
5 Dis 2018
DASAR KESELAMATAN ICT JPA Versi:
2.5
Bidang kuasa:
a. menyelenggara dokumen DKICT JPA; Muka Surat:
30 dari 118
b. memantau tahap pematuhan DKICT JPA;
c. menilai aspek teknikal keselamatan projek-projek
ICT;
d. membangunkan garis panduan, prosedur dan
tatacara untuk aplikasi-aplikasi khusus dalam
jabatan yang mematuhi keperluan DKICT JPA;
e. menyemak semula sistem ICT supaya sentiasa
mematuhi keperluan keselamatan dari semasa ke
semasa;
f. menilai teknologi yang bersesuaian dan
mencadangkan penyelesaian terhadap keperluan
keselamatan ICT;
g. memastikan DKICT JPA selaras dengan dasar-dasar
ICT kerajaan semasa;
h. bekerjasama dengan JPACERT untuk mendapatkan
maklum balas dan insiden untuk tindakan
penyelenggaraan DKICT JPA;
i. membincang tindakan yang melibatkan pelanggaran
DKICT JPA;
j. merancang dan menyelaras pensijilan ISMS seperti:
i. rancang struktur organisasi ISMS;
ii. rancang kursus kesedaran ISMS;
iii. rancang skop ISMS;
iv. melaksanakan analisis jurang;
Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
5 Dis 2018
DASAR KESELAMATAN ICT JPA Versi:
2.5
v. merancang jadual perbatuan ISMS;
vi. membantu Pelaksana ISMS menyediakan Muka Surat:
31 dari 118
penyataan dasar ISMS, Statement of
Applicability (SoA), penilaian risiko, risk
treatment plan, kaedah pengukuran kawalan
dan prosedur-prosedur ISMS; dan
vii. permohonan pensijilan.
k. mengemukakan isu dan masalah ISMS, jika ada; dan
l. membantu mengukur keberkesanan kawalan dan
pelaksanaan ISMS.
K02/01/09 Pasukan Tindak Balas Insiden Keselamatan ICT (JPACERT)
Keanggotaan JPACERT adalah seperti berikut:
TP(M)T, BPMS
Pengerusi:
TP(M)T, BPMS
Ahli :
a. Pegawai Teknologi Maklumat BPMS dan INTAN; dan
b. Penolong Pegawai Teknologi Maklumat BPMS dan
INTAN.
Urusetia:
BPMS
Peranan dan tanggungjawab JPACERT adalah seperti
berikut:
a. menerima dan mengesan aduan keselamatan ICT
dan menilai tahap dan jenis insiden;
Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
5 Dis 2018
DASAR KESELAMATAN ICT JPA Versi:
2.5
b. merekod dan menjalankan siasatan awal insiden
yang diterima; Muka Surat:
32 dari 118
c. menangani tindak balas (response) insiden
keselamatan ICT dan mengambil tindakan baik pulih
minimum;
d. menghubungi dan melaporkan insiden yang berlaku
kepada ICTSO dan pihak NACSA sama ada sebagai
input atau untuk tindakan seterusnya;
e. merujuk agensi-agensi di bawah kawalannya untuk
mengambil tindakan pemulihan dan pengukuhan;
dan
f. melaporkan sebarang maklumbalas dan insiden
keselamatan ICT kepada JKICT.
K02/01/10 Jawatankuasa Pelan Pemulihan Bencana (JKDRP) JPA TP(M)T, BPMS
Keanggotaan JKDRP BPMS dan INTAN adalah seperti
berikut:
Pengerusi:
TP(M)T, BPMS
Ahli:
a. Pasukan Pengurusan Bencana ;
b. Pasukan Sistem dan Operasi Pusat Data;
c. Pasukan Rangkaian dan Keselamatan;
d. Pasukan Aplikasi;
e. Pasukan Pangkalan Data; dan
f. Pasukan Meja Bantuan.
Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
5 Dis 2018
DASAR KESELAMATAN ICT JPA Versi:
2.5
Urusetia:
BPMS Muka Surat:
33 dari 118
Bidang kuasa:
a. membangunkan Dokumen Pelan Pemulihan Bencana
(DRP);
b. menyediakan kemudahan pemulihan bencana atau
Pusat Pemulihan Bencana (Disaster Recovery
Centre);
c. membuat penilaian ke atas masalah dan jangkaan
akibat bencana;
d. memaklumkan pengurusan atasan berkenaan
bencana, kemajuan pemulihan bencana dan
masalah;
e. mengaktifkan prosedur pemulihan bencana;
f. mengkoordinasi operasi pemulihan;
g. memantau operasi pemulihan dan memastikan
jadual pemulihan dipatuhi;
h. mendokumentasikan operasi pemulihan; dan
i. mengkoordinasi simulasi pemulihan bencana.
K02/02 Pihak Luaran Pengurus ICT,
K02/02/01 Keperluan Keselamatan Dalam Perkhidmatan ICT
Pihak luaran adalah terdiri daripada pembekal, pakar
runding dan pihak-pihak lain yang terlibat dalam
Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
5 Dis 2018
DASAR KESELAMATAN ICT JPA Versi:
2.5
penggunaan atau capaian kepada aset dan perkhidmatan
ICT Jabatan atau pelawat yang mengunjungi JPA atas Muka Surat:
urusan rasmi. 34 dari 118
Perkara yang perlu dipatuhi:
Pentadbir Sistem
a. mengenal pasti risiko ke atas keselamatan maklumat
dan memastikan pelaksanaan kawalan yang sesuai
ke atas maklumat tersebut;
b. memastikan semua syarat keselamatan dinyatakan
dengan jelas dalam perjanjian dengan pihak ketiga;
c. akses kepada aset ICT JPA perlu berlandaskan
perjanjian dan peraturan yang telah ditetapkan.
Perjanjian yang dimeterai perlu mematuhi perkara-
perkara berikut:
i. DKICT JPA;
ii. Tapisan Keselamatan;
iii. Arahan Teknologi Maklumat 2007
(IT Instructions);
iv. Perakuan Akta Rahsia Rasmi 1972; dan
v. Hak Harta Intelek.
d. lulus tapisan keselamatan dan menandatangani Surat
Akuan Pematuhan DKICT JPA (Lampiran 1) serta
Perakuan Akta Rahsia Rasmi 1972 bagi perakuan
untuk tidak membocorkan sebarang maklumat rasmi
yang diperolehi sepanjang berkhidmat dengan JPA
seperti Lampiran 4; dan
e. pihak luaran kategori pelawat sahaja dikecualikan
dari mematuhi peraturan a hingga d seperti di atas.
Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
5 Dis 2018
DASAR KESELAMATAN ICT JPA Versi:
2.5
Kawalan 03: Pengurusan Aset
Muka Surat:
35 dari 118
Objektif
Memberikan perlindungan keselamatan yang bersesuaian ke atas semua aset ICT JPA.
K03/01 Akauntabiliti Aset ICT
Memberi dan menyokong perlindungan yang bersesuaian ke atas semua aset ICT JPA.
Tanggungjawab yang perlu dipatuhi untuk memastikan semua aset ICT Pegawai Aset,
dikawal dan dilindungi: Pengguna
a. memastikan semua aset ICT dikenal pasti, dikelas, didokumen,
diselenggara dan dilupuskan. Maklumat aset direkod dan dikemas kini
dalam Sistem Pengurusan Aset (SPA), Kad Daftar Harta Modal dan
Inventori Aset Alih Bernilai Rendah sebagaimana mengikut 1Pekeliling
Perbendaharaan AM 2 Tahun 2018:Tatacara Pengurusan Aset Alih
Kerajaan atau senarai aset yang berkaitan;
b. memastikan semua aset ICT mempunyai pemilik dan dikendalikan oleh
pengguna yang dibenarkan sahaja;
c. memastikan semua pengguna mengesahkan penempatan aset ICT
yang ditempatkan di JPA;
d. memastikan semua peraturan pengendalian aset dikenalpasti,
didokumen dan dilaksanakan; dan
e. setiap pengguna adalah bertanggungjawab ke atas semua aset ICT di
bawah kawalannya.
Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
5 Dis 2018
DASAR KESELAMATAN ICT JPA Versi:
2.5
Muka Surat:
36 dari 118
K03/02 Pengelasan Maklumat
Maklumat hendaklah dikelaskan berasaskan nilai, keperluan
perundangan, tahap sensitiviti dan tahap kritikal kepada Pegawai Pengelas
JPA. Setiap maklumat yang dikelaskan mestilah mempunyai
peringkat keselamatan sebagaimana yang telah ditetapkan
di dalam dokumen Arahan Keselamatan seperti berikut:
a. Rahsia Besar;
b. Rahsia;
c. Sulit; atau
d. Terhad.
K03/03 Pengendalian Maklumat Semua
Aktiviti pengendalian maklumat seperti mengumpul,
memproses, menyimpan, menghantar, menyampai,
menukar dan memusnahkan hendaklah mengambil kira
langkah-langkah keselamatan berikut:
a. menghalang pendedahan maklumat kepada pihak yang
tidak dibenarkan;
b. memeriksa maklumat dan menentukan ia tepat dan
lengkap dari semasa ke semasa;
c. menentukan maklumat sedia untuk digunakan;
d. menjaga kerahsiaan kata laluan;
e. mematuhi piawaian, prosedur, langkah dan garis
panduan keselamatan ICT yang ditetapkan;
Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
5 Dis 2018
DASAR KESELAMATAN ICT JPA Versi:
2.5
f. melaksanakan peraturan maklumat terperingkat
terutama semasa pewujudan, pemprosesan, Muka Surat:
penyimpanan, penghantaran, penyampaian, pertukaran 37 dari 118
dan pemusnahan;
Semua
g. menjaga kerahsiaan langkah-langkah keselamatan ICT
daripada diketahui umum; dan
h. mewujudkan salinan pendua maklumat penting bagi
mengurangkan risiko kehilangan dan kemusnahan.
K03/04 Pengelasan dan Pengendalian Data Terbuka
Data Terbuka adalah data yang bebas digunakan, dikongsi
dan digunakan semula oleh orang awam, agensi Kerajaan
dan organisasi swasta untuk pelbagai tujuan.
Jabatan akan menyediakan set data terbuka berdasarkan
bidang atau sektor atau kluster. Kategori set data ini tidak
terhad dan boleh berubah mengikut fungsi teras dan
keperluan semasa Jabatan.
Data terbuka yang telah diperakukan oleh Jabatan akan
dikemukakan ke JPM untuk kelulusan dan seterusnya
diterbitkan ke Portal Data Terbuka Sektor Awam (DTSA) di
bawah pengurusan MAMPU.
Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
5 Dis 2018
DASAR KESELAMATAN ICT JPA Versi:
2.5
Kawalan 04: Keselamatan Sumber Manusia
Muka Surat:
38 dari 118
Objektif
Memastikan semua pengguna yang berkepentingan memahami tanggungjawab dan peranan
serta meningkatkan pengetahuan dalam keselamatan aset ICT. Semua pengguna hendaklah
mematuhi terma dan syarat perkhidmatan dan peraturan semasa yang berkuat kuasa.
K04/01 Sebelum Perkhidmatan Pengurus ICT
Memastikan semua pengguna yang berkepentingan
memahami tanggungjawab masing-masing ke atas
keselamatan aset ICT bagi meminimumkan risiko
seperti kesilapan, kecuaian, penipuan dan
penyalahgunaan aset ICT.
Perkara yang mesti dipatuhi termasuk yang berikut:
a. menyatakan dengan lengkap dan jelas peranan dan
tanggungjawab semua pengguna yang
berkepentingan ke atas keselamatan ICT sebelum,
semasa dan selepas perkhidmatan;
b. lulus tapisan keselamatan dan menandatangani
Surat Akuan Pematuhan DKICT JPA untuk semua
pengguna;
c. memastikan pihak luaran menandatangani Surat
Akuan Pematuhan DKICT JPA, lulus Tapisan
Keselamatan dan Perakuan Akta Rahsia Rasmi
1972; dan
d. mematuhi terma dan syarat perkhidmatan yang
Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
5 Dis 2018
DASAR KESELAMATAN ICT JPA Versi:
2.5
ditawarkan dan peraturan semasa yang berkuat
kuasa berdasarkan perjanjian yang telah Muka Surat:
ditetapkan. 39 dari 118
K04/02 Semasa Perkhidmatan Pengurus ICT
Memastikan semua pengguna yang berkepentingan
sedar akan ancaman keselamatan maklumat, peranan
dan tanggungjawab masing-masing untuk menyokong
DKICT JPA dan meminimumkan risiko kesilapan,
kecuaian, kecurian, penipuan dan penyalahgunaan aset
ICT.
Perkara yang perlu dipatuhi termasuk yang berikut:
a. memastikan semua pengguna yang berkepentingan
mengurus keselamatan aset ICT berdasarkan
perundangan dan peraturan ditetapkan JPA;
b. memastikan latihan kesedaran dan yang berkaitan
mengenai pengurusan keselamatan aset ICT diberi
kepada warga JPA, dan sekiranya perlu diberi
kepada semua pengguna yang berkepentingan dari
semasa ke semasa;
c. memastikan adanya proses tindakan disiplin
dan/atau undang-undang ke atas semua pengguna
yang berkepentingan sekiranya berlaku pelanggaran
dengan perundangan dan peraturan yang ditetapkan
JPA; dan
d. memantapkan pengetahuan berkaitan dengan
penggunaan aset ICT bagi memastikan setiap
kemudahan ICT digunakan dengan cara dan kaedah
Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
5 Dis 2018
DASAR KESELAMATAN ICT JPA Versi:
2.5
yang betul demi menjamin kepentingan keselamatan
ICT. Muka Surat:
40 dari 118
K04/02/01 Program Kesedaran Keselamatan ICT
Semua pengguna yang berkepentingan perlu diberikan Pengurus ICT
program kesedaran mengenai keselamatan ICT yang
mencukupi secara berterusan dalam melaksanakan Pengurus ICT
tugas-tugas dan tanggungjawab mereka.
K04/03 Bertukar Atau Tamat Perkhidmatan
Memastikan pertukaran atau tamat perkhidmatan
semua pengguna yang berkepentingan diuruskan
dengan teratur.
Perkara yang perlu dipatuhi termasuk:
a. memastikan semua aset ICT dikembalikan kepada
jabatan mengikut peraturan dan/atau terma
perkhidmatan yang ditetapkan; dan
b. membatalkan atau meminda semua kebenaran
capaian ke atas maklumat dan kemudahan proses
maklumat mengikut peraturan yang ditetapkan JPA
dan/atau terma perkhidmatan.
Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
5 Dis 2018
The words you are searching are inside this book. To get more targeted content, please make full-text search by clicking here.
DKICT_JPA
Discover the best professional documents and content resources in AnyFlip Document Base.
Search