DKICT_JPA

DASAR KESELAMATAN ICT JPA Versi:
2.5

Muka Surat:
41 dari 118

Kawalan 05: Keselamatan Fizikal dan Persekitaran

Objektif

Melindungi premis dan maklumat daripada sebarang bentuk pencerobohan dan ancaman.

K05/01 Keselamatan Kawasan Pentadbir Pusat Data
K05/01/01 Kawasan Larangan Lokasi ICT

Kawasan larangan lokasi ICT bagi JPA ditakrifkan
sebagai kawasan yang dihadkan kemasukan bagi warga
JPA yang tertentu sahaja. Ini dilakukan untuk
melindungi aset ICT yang terdapat dalam premis
tersebut. Kawasan larangan lokasi ICT JPA adalah Pusat
Data JPA.

Kawasan ini mestilah dilindungi daripada sebarang
ancaman, kelemahan dan risiko seperti pencerobohan,
kebakaran dan bencana alam. Kawalan keselamatan ke
atas premis tersebut adalah seperti berikut:

a. sumber data atau server, peralatan komunikasi dan
storan perlu ditempatkan di pusat data yang
mempunyai ciri-ciri keselamatan yang tinggi
termasuk sistem pencegah kebakaran;

b. akses adalah terhad kepada warga JPA yang telah
diberi kuasa sahaja dan dipantau pada setiap masa;

c. pemantauan dibuat menggunakan Sistem CCTV
atau peralatan-peralatan lain yang sesuai;

d. peralatan keselamatan seperti CCTV dan pengimbas
biometrik perlu diperiksa secara berjadual;

Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
5 Dis 2018

DASAR KESELAMATAN ICT JPA Versi:
2.5
e. butiran pelawat yang keluar masuk ke kawasan
larangan perlu direkodkan; Muka Surat:
42 dari 118
f. pihak luaran yang dibawa masuk mesti diawasi atau
diiringi oleh pegawai bertanggungjawab di
sepanjang tempoh di lokasi mengikut keperluan
sewajarnya;

g. lokasi premis ICT hendaklah tidak berhampiran
dengan kawasan pemunggahan dan laluan awam;

h. memperkukuhkan tingkap dan pintu serta dikunci
untuk mengawal kemasukan;

i. memperkukuhkan dinding dan siling; dan

j. mengehadkan jalan keluar masuk.

K05/01/02 Kawalan Masuk Fizikal
Perkara-perkara yang perlu dipatuhi termasuk yang
berikut:

a. Warga JPA
i. semua warga hendaklah memakai atau
mengenakan pas keselamatan sepanjang
waktu bertugas; dan
ii. semua pas keselamatan hendaklah
diserahkan kembali kepada JPA apabila
pengguna berhenti atau bersara.

b. Pelawat
i. setiap pelawat hendaklah mendapatkan Pas
Keselamatan Pelawat di pintu masuk utama

Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
5 Dis 2018

DASAR KESELAMATAN ICT JPA Versi:
2.5
premis-premis JPA. Pas ini hendaklah
dikembalikan semula selepas tamat lawatan. Muka Surat:
43 dari 118

c. Kehilangan Pas
i. kehilangan pas mestilah dilaporkan dengan
segera.

K05/02 Keselamatan Peralatan Pengguna, Pentadbir
K05/02/01 Peralatan ICT Sistem, Pegawai

Perkara-perkara yang perlu dipatuhi termasuk yang Aset, Penyelaras ICT
berikut: Bahagian

a. penggunaan kata laluan untuk akses ke sistem
komputer adalah diwajibkan;

b. pengguna bertanggungjawab sepenuhnya ke atas
komputer masing-masing dan tidak dibenarkan
membuat sebarang pertukaran perkakasan dan
konfigurasi yang telah ditetapkan;

c. pengguna dilarang membuat instalasi sebarang
perisian tambahan tanpa kebenaran Pentadbir
Sistem;

d. pengguna mesti memastikan perisian antivirus bagi
semua peralatan ICT yang dibekalkan oleh Jabatan
seperti komputer peribadi, notebook, server dan
lain-lain yang berada di bawah tanggungjawab
mereka sentiasa aktif (activated) dan dikemas kini
di samping turut melakukan imbasan ke atas media
storan yang digunakan;

e. semua peralatan sokongan ICT hendaklah dilindungi

Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
5 Dis 2018

DASAR KESELAMATAN ICT JPA Versi:
2.5
daripada sebarang kecurian, dirosakkan, diubahsuai
tanpa kebenaran dan salahguna; Muka Surat:
44 dari 118
f. aset ICT hendaklah disimpan di tempat yang
selamat dan sentiasa di bawah kawalan pegawai
yang bertanggungjawab. Arahan Keselamatan
Kerajaan hendaklah sentiasa dipatuhi bagi mengelak
berlakunya kerosakan atau kehilangan aset;

g. sekiranya peralatan ICT tidak digunakan, peralatan
tersebut hendaklah disimpan di dalam almari atau
kabinet atau peti besi atau stor atau bilik khas yang
berkunci untuk penyimpanan peralatan ICT;

h. peralatan ICT yang kritikal perlu disokong oleh UPS;

i. UPS yang berkuasa tinggi perlu diletakkan di bilik
yang berasingan bersuhu rendah yang dilengkapi
dengan pengudaraan yang sesuai;

j. semua perkakasan hendaklah disimpan atau
diletakkan di tempat yang teratur, bersih dan
mempunyai ciri-ciri keselamatan. Peralatan
rangkaian seperti switches, router dan lain-lain perlu
diletakkan di dalam bilik atau rak berkunci;

k. semua peralatan yang digunakan secara berterusan
mestilah diletakkan di kawasan yang berhawa dingin
dan mempunyai pengudaraan (air ventilation) yang
sesuai;

l. peralatan ICT yang hendak dibawa keluar dari
premis JPA, perlulah mendapat kelulusan Pegawai
Aset atau Penyelaras ICT Bahagian bagi tujuan
pemantauan; dan

Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
5 Dis 2018

DASAR KESELAMATAN ICT JPA Versi:
2.5

Muka Surat:
45 dari 118

m. aset ICT yang hilang hendaklah dilaporkan mengikut
pekeliling perbendaharaan sedia ada.

K05/02/02 Media Storan Pentadbir Sistem,
Media storan merupakan peralatan yang digunakan Pegawai Aset
untuk menyimpan data dan maklumat seperti optical
disk, flash disk, hard disk, USB flash drive, catridge
tape, compact disc (CD).

Media-media storan perlu dipastikan berada dalam
keadaan yang baik, selamat, terjamin kerahsiaan,
integriti dan kebolehsediaan untuk digunakan.

Bagi menjamin keselamatan, langkah-langkah berikut
perlu diambil:

a. semua media storan perlu dikawal bagi mencegah
dari capaian yang tidak dibenarkan, kecurian dan
kemusnahan;

b. bagi media yang hendak dilupuskan, semua
maklumat dalam media tersebut perlu dihapuskan
terlebih dahulu;

c. semua media storan data yang hendak dilupuskan
mesti dihapuskan dengan teratur dan selamat;

d. semua media storan yang mengandungi data kritikal
hendaklah disimpan di dalam peti (data safe) yang
mempunyai ciri-ciri keselamatan termasuk tahan
dari dipecahkan, api, air dan medan magnet;

Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
5 Dis 2018

DASAR KESELAMATAN ICT JPA Versi:
2.5
e. storan dan peralatan backup hendaklah disimpan di
lokasi yang berasingan yang lebih privasi dan tidak Muka Surat:
terbuka kepada umum. Akses untuk memasuki 46 dari 118
kawasan penyimpanan media hendaklah terhad
kepada pengguna yang dibenarkan sahaja;

f. akses dan pergerakan kepada media storan perlu
direkodkan;

g. perkakasan backup hendaklah diletakkan di tempat
yang selamat dan terhad kepada pengguna yang
dibenarkan sahaja; dan

h. sebarang kehilangan media storan yang berlaku
hendaklah dilaporkan mengikut Prosedur Pelaporan
Insiden.

K05/02/03 Media Tandatangan Digital Pentadbir Sistem,
Sebarang media yang digunakan untuk tandatangan Pengguna
digital hendaklah mematuhi langkah–langkah berikut:

a. pengguna hendaklah bertanggungjawab sepenuhnya
bagi perlindungan daripada kecurian, kehilangan,
kerosakan, penyalahgunaan dan pengklonan;

b. tidak boleh dipindahmilik atau dipinjamkan; dan

c. sebarang kehilangan yang berlaku hendaklah
dilaporkan mengikut Prosedur Pelaporan Insiden.

K05/02/04 Media Perisian Dan Aplikasi Pengurus ICT,
Sebarang media yang digunakan sebagai media perisian
dan aplikasi hendaklah mematuhi langkah–langkah

Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
5 Dis 2018

DASAR KESELAMATAN ICT JPA Versi:
2.5
berikut:
a. hanya perisian yang rasmi sahaja dibenarkan bagi Muka Surat:
47 dari 118
kegunaan jabatan;
Pegawai Aset,
Pentadbir Sistem

b. sistem aplikasi dalaman tidak dibenarkan diagih atau
didemontrasikan kepada pihak lain kecuali dengan
kebenaran Pengurus ICT;

c. lesen perisian (registration code, serials, CD-keys)
perlu disimpan berasingan daripada CD-ROM, disk
atau media berkaitan bagi mengelakkan dari
berlakunya kecurian atau cetak rompak; dan

d. Kod sumber (source code) sesuatu sistem hendaklah
disimpan dengan teratur dan sebarang pindaan
mestilah mengikut prosedur yang ditetapkan.

K05/02/05 Perkakasan Tanpa Penyeliaan (Unattended Equipment) Pengguna
Pengguna perlu memastikan mana-mana perkakasan
yang ditinggalkan tanpa penyeliaan mematuhi ciri-ciri
keselamatan seperti mempunyai kata laluan dan
sebagainya.

Perkakasan hendaklah diselenggarakan dengan betul
bagi memastikan kebolehsediaan, kerahsiaan dan
integriti.

K05/02/06 Peralatan di Luar Premis Pentadbir Sistem
Perkakasan yang dibawa keluar dari premis JPA adalah
terdedah kepada pelbagai risiko.

Perkakasan yang dibawa keluar premis JPA

Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
5 Dis 2018

DASAR KESELAMATAN ICT JPA Versi:
2.5
merangkumi:
Muka Surat:
48 dari 118

a. penggunaan perkakasan secara sementara bagi
keperluan mesyuarat, latihan dan sebagainya;
dan

b. penempatan perkakasan secara kekal di sesebuah
agensi lain.

Perkara-perkara yang perlu dipatuhi adalah seperti
berikut:

a. peralatan perlu dilindungi dan dikawal sepanjang
masa; dan

b. penyimpanan atau penempatan peralatan
mestilah mengambil kira ciri-ciri keselamatan
yang bersesuaian.

K05/02/07 Pelupusan Pegawai Aset,
Aset ICT yang hendak dilupuskan perlu mematuhi Pengguna
tatacara pelupusan semasa. Langkah-langkah berikut
perlu diambil dalam memastikan peralatan ICT JPA
dilupuskan dengan teratur iaitu:

a. pegawai aset akan mengenal pasti sama ada
peralatan tertentu boleh dilupuskan atau
sebaliknya;

b. peralatan yang hendak dilupuskan hendaklah
disimpan di tempat yang telah dikhaskan;

c. data dan maklumat dalam aset ICT yang akan

Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
5 Dis 2018

DASAR KESELAMATAN ICT JPA Versi:
2.5
dipindah milik atau dilupuskan hendaklah
dihapuskan secara kekal; Muka Surat:
49 dari 118

d. pelupusan peralatan ICT boleh dilakukan secara
berpusat atau tidak berpusat mengikut tatacara
pelupusan semasa yang berkuat kuasa;

e. sekiranya maklumat perlu disimpan, maka
pengguna boleh membuat salinan;

f. maklumat lanjut berhubung pelupusan boleh
dirujuk kepada pekeliling perbendaharaan semasa
yang berkuatkuasa; dan

g. pelupusan dokumen-dokumen hendaklah mengikut
prosedur keselamatan seperti mana Arahan
Keselamatan dan tatacara Jabatan Arkib Negara.

K05/02/08 Penyelenggaraan Pentadbir Sistem,
Peralatan hendaklah diselenggarakan dengan betul bagi Pegawai Aset
memastikan kebolehsediaan, kerahsiaan dan integriti.

Langkah-langkah keselamatan yang perlu diambil
termasuklah seperti berikut:

a. mematuhi spesifikasi yang ditetapkan oleh
pengeluar bagi semua perkakasan yang
diselenggara;

b. memastikan perkakasan hanya diselenggara oleh
kakitangan atau pihak yang dibenarkan sahaja;

c. menyemak dan menguji semua perkakasan sebelum

Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
5 Dis 2018

DASAR KESELAMATAN ICT JPA Versi:
2.5
dan selepas proses penyelenggaraan; dan
Muka Surat:
d. memaklumkan pihak pengguna sebelum 50 dari 118
melaksanakan penyelenggaraan mengikut jadual
yang ditetapkan atau atas keperluan. Pengurus ICT

K05/03 Kawalan Persekitaran
K05/03/01 Kawalan Persekitaran

Bagi menghindarkan kerosakan dan gangguan terhadap
premis dan aset ICT, semua cadangan berkaitan premis
sama ada untuk perolehan, menyewa, mengubahsuai,
pembelian hendaklah dirujuk terlebih dahulu kepada
Pejabat Ketua Pegawai Keselamatan Kerajaan (KPKK).
Bagi menjamin keselamatan persekitaran, langkah-
langkah berikut hendaklah diambil:

a. merancang dan menyediakan pelan keseluruhan
susun atur pusat data (bilik percetakan, peralatan
komputer dan ruang atur pejabat dan sebagainya)
dengan teliti;

b. semua ruang pejabat khususnya yang mempunyai
kemudahan ICT hendaklah dilengkapi dengan
perlindungan keselamatan yang mencukupi dan
dibenarkan seperti alat pencegah kebakaran dan
pintu kecemasan;

c. peralatan perlindungan hendaklah dipasang di
tempat yang bersesuaian, mudah dikenali dan
dikendalikan;

d. bahan mudah terbakar hendaklah disimpan di luar
kawasan kemudahan penyimpanan aset ICT;

Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
5 Dis 2018

DASAR KESELAMATAN ICT JPA Versi:
2.5

Muka Surat:
51 dari 118

e. semua bahan cecair hendaklah diletakkan di tempat
yang bersesuaian dan berjauhan dari aset ICT;

f. pengguna adalah dilarang merokok atau
menggunakan peralatan memasak seperti cerek
elektrik berhampiran peralatan komputer; dan

g. semua peralatan perlindungan keselamatan dan
kebakaran hendaklah diselenggara bagi memastikan
ianya dapat berfungsi dengan baik.

K05/03/02 Kabel Rangkaian

a. semua kabel perlu dilabelkan dengan jelas dan Pentadbir Rangkaian
mestilah melalui trunking bagi memastikan
keselamatan kabel daripada kerosakan dan pintasan
maklumat;

b. menggunakan kabel mengikut spesifikasi yang telah Pengurus ICT
ditetapkan; dan

c. melindungi laluan pemasangan kabel sepenuhnya
bagi mengelakkan ancaman kerosakan dan wire
tapping.

K05/03/03 Bekalan Kuasa
Langkah-langkah seperti berikut perlu diambil dalam
memastikan keselamatan bekalan kuasa:

a. semua peralatan ICT hendaklah dilindungi dari
kegagalan bekalan elektrik dan bekalan yang sesuai
hendaklah disalurkan kepada peralatan ICT;

Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
5 Dis 2018

DASAR KESELAMATAN ICT JPA Versi:
2.5
b. peralatan sokongan seperti UPS dan penjana kuasa
(power generator) boleh digunakan bagi Muka Surat:
perkhidmatan kritikal seperti di bilik server supaya 52 dari 118
mendapat bekalan kuasa berterusan; dan

c. semua peralatan sokongan bekalan kuasa hendaklah
disemak dan diuji secara berjadual.

K05/03/04 Prosedur Kecemasan Pengguna,
Perkara-perkara yang perlu dipatuhi adalah seperti Pegawai
berikut:
Keselamatan
a. setiap pengguna hendaklah membaca, memahami Kebakaran
dan mematuhi prosedur kecemasan dengan
merujuk kepada Garis Panduan Pelan Tindakan dan
Kecemasan JPA; dan

b. kecemasan persekitaran seperti kebakaran

hendaklah dilaporkan kepada Pegawai

Keselamatan Kebakaran yang dilantik mengikut

aras.

K05/03/05 Mekanisma Pelaporan Insiden Bukan ICT Semua Pengguna
Semua pengguna yang terlibat haruslah melaporkan
dan merekod sebarang kejadian atau kerosakan
peralatan bukan ICT kepada pihak pentadbiran
bahagian.

K05/03/06 Mekanisma Kawalan Peralatan Sewaan/Ujicuba (Proof Of Concept)
a. Penerimaan
i. peralatan yang diterima bebas daripada virus,
backdoor, worm dan perkara-perkara yang boleh
memberi ancaman kepada perkhidmatan ICT

Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
5 Dis 2018

DASAR KESELAMATAN ICT JPA Versi:
2.5
jabatan.
Muka Surat:
53 dari 118

b. Penyelenggaraan
i. capaian melalui rangkaian luar JPA adalah
tidak dibenarkan; dan

ii. aktiviti penyelenggaraan adalah di bawah
pengawasan pegawai JPA.

c. Pemulangan
i. maklumat yang tersimpan dalam storan
perlu dihapuskan secara kekal (secured
delete); dan
ii. memastikan semua maklumat jabatan tidak
tertinggal pada peralatan.

K05/04 Keselamatan Sistem Dokumentasi Pentadbir Sistem,
Langkah-langkah seperti berikut perlu diambil dalam Pentadbir Fail
memastikan keselamatan sistem dokumentasi:

a. memastikan sistem penyimpanan dokumentasi
mempunyai ciri-ciri keselamatan;

b. mengawal dan merekodkan semua aktiviti capaian
dokumentasi sedia ada;

c. setiap dokumen hendaklah difail dan dilabelkan
mengikut klasifikasi keselamatan seperti Terbuka,
Terhad, Sulit, Rahsia atau Rahsia Besar;

d. pergerakan fail dan dokumen hendaklah direkodkan
dan perlulah mengikut prosedur keselamatan;

e. kehilangan dan kerosakan ke atas semua jenis

Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
5 Dis 2018

DASAR KESELAMATAN ICT JPA Versi:
2.5
dokumen perlu dimaklumkan mengikut prosedur
Arahan Keselamatan; dan Muka Surat:
f. menggunakan enkripsi (encryption) ke atas 54 dari 118
dokumen rahsia rasmi yang disediakan, disimpan
dan dihantar secara elektronik.

Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
5 Dis 2018



DASAR KESELAMATAN ICT JPA Versi:
2.5

Muka Surat:
55 dari 118

Kawalan 06: Pengurusan Operasi dan Komunikasi

Objektif

Memastikan pengurusan operasi dan kemudahan pemprosesan maklumat berfungsi dengan
betul dan selamat daripada sebarang ancaman dan gangguan.

K06/01 Prosedur Operasi Pentadbir Sistem
K06/01/01 Pengendalian Dokumen Prosedur Operasi

Perkara-perkara yang perlu dipatuhi termasuk yang
berikut:

a. semua prosedur operasi ICT yang diwujud, dikenal
pasti dan masih diguna pakai hendaklah
didokumenkan, disimpan dan dikawal;

b. setiap prosedur mestilah mengandungi arahan-arahan
yang jelas, teratur dan lengkap; dan

c. semua prosedur hendaklah dikemas kini dari semasa
ke semasa atau mengikut keperluan.

K06/01/02 Pengurusan Perubahan Pentadbir Sistem
Perkara-perkara yang perlu dipatuhi termasuk yang
berikut:

a. pengubahsuaian melibatkan perkakasan, sistem
pemprosesan maklumat, perisian dan prosedur
mestilah mendapat kebenaran Pengurus ICT, pegawai
atasan atau pemilik aset ICT terlebih dahulu;

b. aktiviti seperti memasang, menyelenggara,

Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
5 Dis 2018

DASAR KESELAMATAN ICT JPA Versi:
2.5
menghapus dan mengemas kini mana-mana
komponen sistem ICT hendaklah dikendalikan oleh Muka Surat:
pihak atau pegawai yang diberi kuasa dan mempunyai 56 dari 118
pengetahuan atau terlibat secara langsung dengan
aset ICT berkenaan;

c. semua aktiviti pengubahsuaian komponen sistem ICT
hendaklah mematuhi spesifikasi perubahan yang telah
ditetapkan; dan

d. semua aktiviti perubahan atau pengubahsuaian
hendaklah direkod dan dikawal bagi mengelakkan
berlakunya ralat sama ada secara sengaja atau
sebaliknya.

K06/01/03 Pengasingan Tugas dan Tanggungjawab Pengurus ICT,
Perkara-perkara yang perlu dipatuhi adalah seperti Pentadbir Sistem
berikut:

a. skop tugas dan tanggungjawab perlu diasingkan bagi
mengurangkan peluang berlaku penyalahgunaan atau
pengubahsuaian yang tidak dibenarkan ke atas aset
ICT;

b. tugas mewujud, memadam, mengemas kini,
mengubah dan mengesahkan data hendaklah
dilakukan oleh pegawai yang berlainan bagi
mengelakkan daripada capaian yang tidak dibenarkan
serta melindungi aset ICT daripada kesilapan,
kebocoran maklumat terperingkat atau dimanipulasi;
dan

c. perkakasan dan rangkaian yang digunakan bagi tugas

Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
5 Dis 2018

DASAR KESELAMATAN ICT JPA Versi:
2.5
membangun, mengemaskini, dan menguji aplikasi
hendaklah diasingkan dari perkakasan dan rangkaian Muka Surat:
yang digunakan di dalam persekitaran pembangunan 57 dari 118
dan pengujian; peringkat (staging) dan produksi.

K06/02 Perancangan dan Penerimaan Sistem Pentadbir Sistem
K06/02/01 Perancangan Kapasiti

a. kapasiti sesuatu komponen atau sistem ICT hendaklah
dirancang, diurus dan dikawal dengan teliti oleh
pegawai yang berkenaan bagi memastikan
keperluannya adalah mencukupi dan bersesuaian
untuk pembangunan dan kegunaan sistem ICT pada
masa akan datang; dan

b. keperluan kapasiti ini juga perlu mengambil kira ciri-
ciri keselamatan ICT bagi meminimumkan risiko
seperti gangguan pada perkhidmatan dan kerugian
akibat pengubahsuaian yang tidak dirancang.

K06/02/02 Penerimaan Sistem Pentadbir Sistem
Semua sistem baru (termasuklah sistem yang dikemas
kini atau diubahsuai) hendaklah memenuhi kriteria yang
ditetapkan sebelum diterima atau dipersetujui.

K06/03 Perlindungan dari Perisian Berbahaya Pentadbir Sistem,
K06/03/01 Perlindungan dari Perisian Berbahaya Pengguna

Perkara-perkara yang perlu dilaksanakan bagi
memastikan perlindungan aset ICT dari perisian
berbahaya:

a. memasang sistem keselamatan untuk mengesan
perisian atau program berbahaya seperti antivirus,
Intrusion Detection System (IDS) dan Intrusion

Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
5 Dis 2018

DASAR KESELAMATAN ICT JPA Versi:
2.5
Prevention System (IPS) mengikut prosedur
penggunaan yang betul dan selamat; Muka Surat:
58 dari 118
b. memasang dan menggunakan hanya perisian yang
tulen; Semua

c. mengimbas semua perisian, sistem, media storan dan
kepilan fail dengan antivirus yang telah disediakan
oleh Jabatan sebelum menggunakannya;

d. memastikan paten antivirus pada peralatan ICT
dikemas kini dengan versi terkini;

e. menyemak kandungan sistem atau maklumat secara
berkala bagi mengesan aktiviti yang tidak diingini
seperti kehilangan dan kerosakan maklumat;

f. menghadiri program kesedaran mengenai ancaman
perisian berbahaya dan cara mengendalikannya;

g. memasukkan klausa tanggungan di dalam mana-
mana kontrak yang telah ditawarkan kepada
pembekal perisian. Klausa ini bertujuan untuk
tuntutan baik pulih sekiranya perisian tersebut
mengandungi program berbahaya; dan

h. mengadakan program dan prosedur jaminan kualiti ke
atas semua perisian yang dibangunkan.

K06/03/02 Perlindungan dari Mobile Code
Penggunaan mobile code yang boleh mendatangkan

ancaman keselamatan ICT adalah tidak dibenarkan.

Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
5 Dis 2018

DASAR KESELAMATAN ICT JPA Versi:
2.5
K06/04 Housekeeping
K06/04/01 Backup Muka Surat:
59 dari 118
Bagi memastikan sistem dapat dibangunkan semula
setelah berlakunya bencana, backup seperti yang Pentadbir Sistem
dibutirkan hendaklah dilakukan setiap kali konfigurasi
berubah. Backup hendaklah direkodkan dan disimpan di
off site, di antaranya adalah:

a. membuat salinan keselamatan ke atas semua sistem
perisian dan aplikasi sekurang-kurangnya sekali atau
setelah mendapat versi terbaru;

b. membuat backup ke atas semua data dan maklumat
mengikut keperluan operasi;

c. menguji sistem backup sedia ada dan bagi

memastikan ianya dapat berfungsi dengan sempurna,
boleh dipercayai dan berkesan apabila digunakan
khususnya pada waktu kecemasan; dan

d. backup dilaksanakan secara harian, mingguan,
bulanan dan tahunan. Kekerapan backup bergantung
pada tahap kritikal maklumat dan hendaklah disimpan
sekurang-kurangnya tiga (3) generasi.

K06/05 Pengurusan Rangkaian
Infrastruktur Rangkaian perlu dikawal dan diuruskan
sebaik mungkin demi melindungi ancaman kepada sistem Pentadbir Rangkaian
dan aplikasi di dalam rangkaian.

Langkah-langkah bagi menangani ancaman ke atas
rangkaian adalah seperti berikut:

Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
5 Dis 2018

DASAR KESELAMATAN ICT JPA Versi:
2.5
a. semua tanggungjawab atau kerja-kerja operasi
rangkaian dan komputer hendaklah diasingkan untuk Muka Surat:
mengurangkan capaian dan pengubahsuaian yang 60 dari 118
tidak dibenarkan;
Pengguna
b. capaian kepada peralatan rangkaian hendaklah
dikawal dan terhad kepada pengguna yang dibenarkan
sahaja;

c. semua capaian kepada Internet dan sistem aplikasi
mestilah melalui firewall;

d. memasang perisian IPS bagi mengesan dan
menghalang sebarang cubaan menceroboh dan
aktiviti-aktiviti lain yang boleh mengancam sistem dan
maklumat JPA;

e. memasang Web Content Filter untuk menyekat aktiviti
yang dilarang;

f. sebarang penyambungan rangkaian yang bukan di
bawah kawalan JPA adalah tidak dibenarkan; dan

g. kemudahan bagi wireless LAN JPA dengan pelaksanan
kawalan keselamatan.

K06/06 Pengurusan Media
K06/06/01 Media Storan Mudah Alih

Penghantaran atau pemindahan media storan mudah alih
yang mengandungi maklumat terperingkat ke luar pejabat
hendaklah mendapat kebenaran daripada Pengurus ICT
terlebih dahulu.

Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
5 Dis 2018

DASAR KESELAMATAN ICT JPA Versi:
2.5
K06/06/02 Prosedur Pengendalian Media pengendalian media
Di antara prosedur-prosedur Muka Surat:
termasuk: 61 dari 118

Pentadbir Sistem,
Pengguna

a. melabelkan semua media mengikut tahap sensitiviti
sesuatu maklumat;

b. mengehadkan dan menentukan capaian media kepada
pengguna yang dibenarkan sahaja;

c. mengehadkan pengedaran data atau media untuk
tujuan yang dibenarkan sahaja;

d. mengawal dan merekodkan aktiviti penyelenggaraan
media bagi mengelak dari sebarang kerosakan dan
pendedahan yang tidak dibenarkan; dan

e. media yang mengandungi maklumat terperingkat
hendaklah dihapus atau dimusnahkan mengikut
peraturan dan prosedur yang betul dan selamat.

K06/07 Pengurusan Penghantaran dan Penerimaan Maklumat Pentadbir Sistem
Ianya bertujuan untuk memastikan keselamatan
penghantaran dan penerimaan maklumat dan perisian
dalam agensi dan mana-mana entiti luar terjamin.

a. polisi, prosedur dan kawalan penghantaran dan
penerimaan maklumat yang formal perlu diwujudkan
untuk melindungi maklumat melalui penggunaan
pelbagai jenis kemudahan komunikasi;

b. perjanjian perlu diwujudkan untuk penghantaran dan
penerimaan maklumat dan perisian di antara JPA
dengan pihak luar;

Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
5 Dis 2018

DASAR KESELAMATAN ICT JPA Versi:
2.5
c. media yang mengandungi maklumat perlu dilindungi
daripada capaian yang tidak dibenarkan, Muka Surat:
penyalahgunaan atau kerosakan semasa pemindahan 62 dari 118
dan penerimaan;

d. maklumat yang terdapat dalam mel elektronik perlu
dilindungi sebaik-baiknya; dan

e. polisi dan prosedur perlu dibangunkan dan
dilaksanakan bagi melindungi maklumat yang
berhubung kait dengan sistem maklumat JPA.

K06/08 Pengurusan Mel Elektronik (E-mel) Pentadbir E-mel,
Penggunaan e-mel di JPA hendaklah dipantau secara Penyelaras ICT
berterusan oleh Pentadbir E-mel untuk memenuhi
keperluan etika penggunaan e-mel dan Internet. Di Bahagian
antara prosedur-prosedur pengurusan e-mel termasuk:

a. mengehadkan jenis dan saiz fail lampiran bagi tujuan

mengelakkan jangkitan virus dan serangan e-mel
bombing;

b. penghantaran dokumen rasmi hendaklah

menggunakan e-mel rasmi jabatan sahaja;

c. penggunaan e-mel JPA bagi tujuan peribadi adalah
tidak dibenarkan;

d. pentadbir e-mel perlu menetapkan had minimum
kuota mailbox mengikut gred;

e. perkemasan e-mel hendaklah dibuat sekiranya
mailbox didapati tidak aktif selama satu (1) bulan

Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
5 Dis 2018

DASAR KESELAMATAN ICT JPA Versi:
2.5

Muka Surat:
63 dari 118

kecuali menerima pemakluman rasmi bagi
mengesahkan pengguna mailbox masih aktif;

f. penghantaran lampiran dalam format atau extension
“ *.exe, *.bat ” dan “ *.com” tidak dibenarkan;

g. hanya warga JPA atau pengguna yang dibenarkan
sahaja boleh dipertimbangkan untuk mendapat
kemudahan e-mel rasmi jabatan;

h. penyelaras ICT Bahagian perlu memaklumkan
sebarang status pengguna (bertukar jabatan,
bersara, diberhentikan, tidak dapat dikesan, bertukar
keluar atau masuk ke JPA) di bahagian masing-
masing bagi tujuan pengemaskinian e-mel yang
terlibat;

i. menggunakan kaedah inovatif dalam penghantaran
fail bersaiz besar seperti menggunakan kaedah muat
turun fail dengan memaklumkan lokasi Universal
Resource Location (URL) atau kaedah pemampatan
untuk mengurangkan saiz fail dengan memastikan
ciri-ciri keselamatan dilaksanakan;

j. e-mel rasmi yang dihantar atau diterima hendaklah
disimpan dan diarkibkan mengikut panduan yang
digariskan; dan

k. menggunakan enkripsi bagi dokumen terperingkat
yang dihantar secara elektronik.

Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
5 Dis 2018

DASAR KESELAMATAN ICT JPA Versi:
2.5
K06/09 Perkhidmatan E-Dagang
Bertujuan untuk memastikan keselamatan perkhidmatan Muka Surat:
e-dagang dan penggunaannya. 64 dari 118

a. maklumat yang terlibat dalam e-dagang perlu Pentadbir Sistem,
dilindungi daripada aktiviti penipuan, pertikaian Pengguna
kontrak dan pendedahan serta pengubahsuaian yang
tidak dibenarkan;

b. maklumat yang terlibat dalam transaksi dalam talian
(on-line) perlu dilindungi bagi mengelak penghantaran
yang tidak lengkap, salah destinasi, pengubahsuaian,
pendedahan, duplikasi atau pengulangan mesej yang
tidak dibenarkan; dan

c. integriti maklumat yang disediakan untuk sistem yang
boleh dicapai oleh orang awam atau pihak lain yang
berkepentingan hendaklah dilindungi untuk mencegah
sebarang pindaan yang tidak diperakukan.

K06/10 Paparan Maklumat Umum Semua
Perkara-perkara yang perlu dipatuhi dalam memastikan
keselamatan maklumat umum adalah seperti berikut:

a. memastikan sistem yang boleh diakses oleh orang
awam diuji terlebih dahulu;

b. memastikan segala maklumat yang hendak
dipaparkan telah disah dan diluluskan sebelum
dimuat naik ke portal; dan

c. memastikan perisian, data dan maklumat dilindungi
dengan mekanisme yang bersesuaian.

Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
5 Dis 2018

DASAR KESELAMATAN ICT JPA Versi:
2.5

Muka Surat:
65 dari 118

K06/11 Pengurusan Penyampaian Perkhidmatan Pembekal, Pakar Runding dan
Pihak-Pihak Lain Yang Terlibat

Memastikan pelaksanaan dan penyelenggaraan tahap Pengurus ICT,
keselamatan maklumat dan penyampaian perkhidmatan Pentadbir Sistem
yang sesuai selaras dengan perjanjian perkhidmatan
dengan pembekal, pakar runding dan pihak-pihak lain
yang terlibat.

Perkara-perkara yang mesti dipatuhi termasuk yang
berikut:

a. memasukkan kawalan keselamatan, definisi
perkhidmatan dan tahap penyampaian yang
terkandung dalam perjanjian dipatuhi, dilaksanakan
dan disenggarakan oleh pembekal, pakar runding dan
pihak-pihak lain yang terlibat;

b. perkhidmatan, laporan dan rekod yang dikemukakan
oleh pembekal, pakar runding dan pihak-pihak lain
yang terlibat perlu sentiasa dipantau, disemak semula
dan diaudit dari semasa ke semasa; dan

c. pengurusan ke atas perubahan penyediaan
perkhidmatan termasuk menyelenggara dan
menambah baik polisi keselamatan, prosedur dan
kawalan maklumat sedia ada, perlu mengambil kira
tahap kritikal sistem dan proses yang terlibat serta
penilaian semula risiko.

Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
5 Dis 2018

DASAR KESELAMATAN ICT JPA Versi:
2.5
K06/12 Pemantauan
K06/12/01 Pemantauan Muka Surat:
66 dari 118
Ianya bertujuan untuk memastikan pengesanan aktiviti
pemprosesan maklumat yang tidak dibenarkan, di Pentadbir Sistem
antaranya seperti berikut:

a. log audit yang merekodkan semua aktiviti perlu
dihasilkan dan disimpan untuk tempoh masa yang
dipersetujui bagi membantu siasatan dan memantau
kawalan capaian;

b. prosedur untuk memantau penggunaan kemudahan
memproses maklumat perlu diwujud dan hasilnya
perlu dipantau secara berkala;

c. kemudahan merekod dan maklumat log perlu
dilindungi daripada diubahsuai dan sebarang capaian
yang tidak dibenarkan;

d. aktiviti pentadbiran dan operator sistem perlu
direkodkan;

e. kesalahan, kesilapan atau penyalahgunaan perlu
dilog, dianalisis dan diambil tindakan sewajarnya; dan

f. masa yang berkaitan dengan sistem pemprosesan
maklumat dalam JPA perlu diselaraskan dengan satu
sumber masa yang dipersetujui.

Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
5 Dis 2018

DASAR KESELAMATAN ICT JPA Versi:
2.5
K06/12/02 Pengauditan dan Forensik ICT merekod dan
JPACERT mestilah bertanggungjawab Muka Surat:
menganalisis: 67 dari 118

JPACERT, ICTSO,
Pentadbir Sistem,

a. sebarang percubaan pencerobohan kepada sistem ICT
JPA;

b. serangan kod perosak (malicious code), halangan
pemberian perkhidmatan (denial of service), spam,
pemalsuan (forgery), pencerobohan (intrusion)
ancaman (threats) dan kehilangan fizikal (physical
loss);

c. pengubahsuaian ciri-ciri perkakasan, perisian atau
mana-mana komponen sesebuah sistem tanpa
pengetahuan, arahan atau persetujuan mana-mana
pihak;

d. aktiviti melayari, menyimpan atau mengedar bahan-
bahan lucah, berunsur fitnah dan propaganda anti
kerajaan;

e. aktiviti pewujudan perkhidmatan-perkhidmatan yang
tidak dibenarkan;

f. aktiviti instalasi dan penggunaan perisian yang
membebankan bandwidth rangkaian;

g. aktiviti penyalahgunaan akaun e-mel; dan

h. aktiviti penukaran IP address selain daripada yang
telah diperuntukkan tanpa kebenaran Pentadbir
Rangkaian.

Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
5 Dis 2018

DASAR KESELAMATAN ICT JPA Versi:
2.5
Langkah-langkah yang perlu diambil adalah seperti
berikut: Muka Surat:
68 dari 118

a. JPACERT akan menentukan prosedur pengumpulan
bahan bukti (hard disk atau media storan) yang
berkenaan bagi memastikan kesahihan ke atas
sesuatu laporan yang akan disediakan;

b. proses forensik dan pengauditan aset ICT mestilah
dilakukan di tempat yang selamat; dan

c. sekiranya hasil siasatan mensabitkan kesalahan
kepada tertuduh, format laporan khas perlu
disediakan.

Semua proses dan hasil siasatan adalah SULIT.

K06/12/03 Jejak Audit Pentadbir Sistem
Setiap sistem mestilah mempunyai jejak audit. Jejak
audit merekod aktiviti-aktiviti yang berlaku dalam sistem
secara kronologi bagi membenarkan pemeriksaan dan
pembinaan semula dilakukan bagi susunan dan
perubahan dalam sesuatu acara.

Jejak audit hendaklah mengandungi ciri-ciri berikut:

a. rekod setiap aktiviti transaksi;

b. maklumat jejak audit mengandungi identiti pengguna,
sumber yang digunakan, perubahan maklumat, tarikh
dan masa aktiviti, rangkaian dan aplikasi yang
digunakan;

Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
5 Dis 2018

DASAR KESELAMATAN ICT JPA Versi:
2.5
c. aktiviti capaian pengguna ke atas sistem ICT sama
ada secara sah atau sebaliknya; dan Muka Surat:
69 dari 118
d. maklumat aktiviti sistem yang tidak normal atau
aktiviti yang tidak mempunyai ciri-ciri keselamatan.

Jejak audit hendaklah disimpan untuk tempoh masa
seperti yang disarankan oleh Akta Arkib Negara.

Pentadbir Sistem hendaklah menyemak catatan jejak
audit dari semasa ke semasa dan menyediakan laporan
jika perlu. Ini akan dapat membantu mengesan aktiviti
yang tidak normal dengan lebih awal. Jejak audit juga
perlu dilindungi dari kerosakan, kehilangan,
penghapusan, pemalsuan dan pengubahsuaian yang tidak
dibenarkan.

K06/12/04 Sistem Log Pentadbir Sistem
Fail log hendaklah disimpan untuk tempoh sekurang-
kurangnya enam (6) bulan. Jenis fail log bagi server dan
aplikasi yang perlu diaktifkan adalah seperti berikut:

i. Fail log sistem pengoperasian;
ii. Fail log servis (contoh: web, e-mel);
iii. Fail log aplikasi (audit trail); dan
iv. Fail log rangkaian (contoh : switch, firewall, IPS)

Pentadbir Sistem ICT hendaklah melaksanakan perkara-
perkara berikut:

a. mewujudkan sistem log bagi merekodkan semua
aktiviti harian pengguna;

Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
5 Dis 2018

DASAR KESELAMATAN ICT JPA Versi:
2.5
b. menyemak sistem log secara berkala bagi mengesan
ralat yang menyebabkan gangguan kepada sistem dan Muka Surat:
mengambil tindakan membaik pulih dengan segera; 70 dari 118
dan

c. sekiranya wujud aktiviti-aktiviti tidak sah lain seperti
kecurian maklumat dan pencerobohan, hendaklah
dilaporkan kepada ICTSO.

Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
5 Dis 2018



DASAR KESELAMATAN ICT JPA Versi:
2.5
Kawalan 07: Kawalan Capaian
Muka Surat:
71 dari 118

Objektif

Memahami dan mematuhi keperluan keselamatan dalam mencapai dan menggunakan aset ICT.

K07/01 Kawalan Capaian Pentadbir Sistem
Capaian kepada proses dan maklumat hendaklah dikawal
mengikut keperluan keselamatan dan fungsi kerja
pengguna yang berbeza. Ia perlu direkodkan, dikemas
kini dan menyokong dasar kawalan capaian pengguna
sedia ada.

K07/02 Pengurusan Capaian Pengguna Pentadbir Sistem,
K07/02/01 Pendaftaran Pengguna Pengguna

Pengguna adalah bertanggungjawab ke atas sistem ICT
yang digunakan. Bagi mengenal pasti pengguna dan
aktiviti yang dilakukan, Pentadbir Sistem perlu mengambil
langkah-langkah berikut:

a. akaun yang diperuntukkan oleh jabatan sahaja boleh
digunakan;

b. akaun user id hendaklah mencerminkan identiti
pengguna;

c. pemilikan akaun pengguna bukanlah hak mutlak
seseorang dan ia tertakluk kepada peraturan jabatan.
Akaun boleh ditarik balik jika kaedah penggunaannya
melanggar peraturan;

d. penggunaan akaun milik orang lain atau akaun yang
dikongsi bersama adalah dilarang; dan

Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
5 Dis 2018

DASAR KESELAMATAN ICT JPA Versi:
2.5
e. Pentadbir Sistem boleh membeku dan menamatkan
akaun pengguna atas sebab-sebab berikut: Muka Surat:
72 dari 118
i. pengguna bercuti panjang atau menghadiri
kursus di luar pejabat dalam tempoh waktu
melebihi sebulan;

ii. bertukar bidang tugas kerja;
iii. bertukar ke agensi lain;
iv. bersara; atau
v. ditamatkan perkhidmatan.

K07/02/02 Hak Capaian (Access Privillege) Pentadbir Sistem
Penetapan dan penggunaan ke atas hak capaian perlu
diberi kawalan dan penyeliaan yang ketat.

Keperluan capaian hendaklah sentiasa dipantau dan
dikemas kini bagi memastikan hak capaian ini diberikan
kepada pegawai dan kakitangan yang dibenarkan sahaja.

K07/02/03 Pengurusan Kata Laluan Pentadbir Sistem
Pemilihan, penggunaan dan pengurusan kata laluan Pengguna
sebagai laluan utama bagi mencapai maklumat dan data
dalam sistem mestilah mematuhi amalan terbaik serta
prosedur yang ditetapkan oleh JPA seperti berikut:

a. dalam apa jua keadaan dan sebab, kata laluan
hendaklah dilindungi dan tidak boleh dikongsi dengan
sesiapa pun;

b. panjang kata laluan mestilah sekurang-kurangnya dua
belas (12) aksara dengan gabungan antara huruf dan
nombor (alphanumerik) dan aksara khas;

Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
5 Dis 2018

DASAR KESELAMATAN ICT JPA Versi:
2.5
c. kekerapan penukaran dan penggunaan kata laluan
adalah mengikut ketetapan polisi pengurusan kata Muka Surat:
laluan yang berkuatkuasa; 73 dari 118

d. kata laluan windows atau Active Directory (AD)
hendaklah diaktifkan terutamanya pada komputer
yang terletak di ruang gunasama;

e. kata laluan hendaklah diingat dan tidak boleh dicatat,
disimpan atau didedahkan dengan apa cara sekalipun;

f. kata laluan hendaklah tidak dipaparkan semasa input,
dalam laporan atau media lain dan tidak boleh
dikodkan di dalam program;

g. kuatkuasakan pertukaran kata laluan semasa login
kali pertama atau selepas login kali pertama atau
selepas kata laluan diset semula;

h. kata laluan hendaklah berlainan daripada pengenalan
identiti pengguna;

i. had kemasukan katalaluan bagi capaian kepada
sistem aplikasi adalah maksimum tiga (3) kali sahaja.
Setelah mencapai tahap maksimum, capaian kepada
sistem akan disekat sehingga id capaian diaktifkan
semula;

j. kata laluan hendaklah disimpan dalam bentuk yang
telah dienkripkan; dan

k. sistem yang dibangunkan mestilah mempunyai
kemudahan menukar kata laluan oleh pengguna.

Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
5 Dis 2018

DASAR KESELAMATAN ICT JPA Versi:
2.5
K07/02/04 Clear Desk dan Clear Screen
Prosedur Clear Desk dan Clear Screen perlu dipatuhi Muka Surat:
supaya maklumat dalam apa jua bentuk media disimpan 74 dari 118
dengan teratur dan selamat bagi mengelakkan kerosakan,
kecurian atau kehilangan. Pengguna
Perkara-perkara yang mesti dipatuhi termasuk yang
berikut: Pentadbir
Sistem
a. menggunakan kemudahan password screen saver
atau log out apabila meninggalkan komputer;

b. menyimpan bahan-bahan sensitif di dalam laci atau
kabinet fail yang berkunci; dan

c. memastikan semua dokumen diambil segera dari
pencetak, pengimbas, mesin faksimili dan mesin
fotostat.

K07/03 Capaian Sistem Pengoperasian
K07/03/01 Capaian Sistem Pengoperasian

Kawalan capaian sistem pengoperasian perlu bagi
mengelakkan sebarang capaian komputer yang tidak
dibenarkan.

Kemudahan keselamatan dalam sistem operasi perlu
digunakan untuk menghalang capaian ke sumber sistem
komputer. Kemudahan ini juga perlu bagi:

a. mengenal pasti identiti, terminal atau lokasi bagi
setiap pengguna yang dibenarkan;

b. merekodkan capaian yang berjaya dan gagal;

Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
5 Dis 2018

DASAR KESELAMATAN ICT JPA Versi:
2.5

Muka Surat:
75 dari 118

c. membekalkan kemudahan untuk pengesahan (bagi
sistem kata laluan kunci digunakan, kualiti kata kunci
perlu mendapat pengesahan); dan

d. mengehadkan masa penggunaan rangkaian bagi
pengguna.

Kaedah-kaedah yang digunakan hendaklah mampu
menyokong perkara-perkara berikut:

a. mengesahkan pengguna yang dibenarkan selaras
dengan peraturan jabatan;

b. mewujudkan jejak audit ke atas semua capaian sistem
pengoperasian terutama pengguna bertaraf super
user;

c. menjana amaran (alert) sekiranya berlaku
perlanggaran ke atas peraturan keselamatan sistem;
dan

d. menyediakan tempoh penggunaan mengikut
kesesuaian.

Perkara-perkara yang perlu dipatuhi termasuk berikut:

a. mengawal capaian ke atas sistem operasi
menggunakan prosedur log on yang terjamin;

b. mewujudkan satu pengenalan diri (ID) yang unik
untuk setiap pengguna dan hanya digunakan oleh
pengguna berkenaan sahaja dan satu teknik
pengesahan yang bersesuaian hendaklah diwujudkan

Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
5 Dis 2018

DASAR KESELAMATAN ICT JPA Versi:
2.5
bagi mengesahkan pengenalan diri pengguna;
Muka Surat:
c. mewujudkan fungsi pengurusan kata laluan secara 76 dari 118
interaktif dan memastikan kata laluan adalah kukuh
mengikut polisi kata laluan yang berkuatkuasa; Pengguna

d. mengehadkan dan mengawal penggunaan program
utiliti yang berkemampuan bagi satu tempoh yang
ditetapkan; dan

e. mengehadkan tempoh sambungan ke sesebuah
aplikasi berisiko tinggi.

K07/03/02 Kad Pintar/Sijil Digital
Perkara-perkara yang perlu dipatuhi adalah seperti
berikut:

a. penggunaan kad pintar Kerajaan Elektronik (Kad EG)
atau sijil digital hendaklah digunakan bagi capaian
sistem Kerajaan Elektronik yang dikhususkan;

b. kad pintar hendaklah disimpan di tempat selamat bagi
mengelakkan sebarang kecurian atau digunakan oleh
pihak lain;

c. perkongsian penggunaan kad pintar adalah tidak
dibenarkan sama sekali. Kad pintar yang salah kata
laluan sebanyak tiga (3) kali cubaan akan disekat; dan

d. sebarang kehilangan, kerosakan dan kata laluan
disekat perlu dimaklumkan kepada pengeluar kad.

Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
5 Dis 2018

DASAR KESELAMATAN ICT JPA Versi:
2.5
K07/04 Capaian Aplikasi dan Maklumat
Bertujuan melindungi sistem maklumat dan aplikasi sedia Muka Surat:
ada dari sebarang bentuk capaian yang tidak dibenarkan 77 dari 118
yang boleh menyebabkan kerosakan.
Pentadbir
Capaian sistem dan aplikasi di JPA adalah terhad kepada Sistem
pengguna dan tujuan yang dibenarkan. Bagi memastikan
kawalan capaian sistem dan aplikasi adalah kukuh,
langkah-langkah berikut perlu dipatuhi:

a. pengguna hanya boleh menggunakan sistem
maklumat dan aplikasi yang dibenarkan mengikut
tahap capaian dan sensitiviti maklumat yang telah
ditentukan;

b. setiap aktiviti capaian sistem maklumat dan aplikasi
pengguna hendaklah direkodkan (log) bagi mengesan
aktiviti-aktiviti yang tidak diingini;

c. memaparkan notis amaran pada skrin komputer
pengguna sebelum memulakan capaian bagi
melindungi maklumat dari sebarang bentuk
penyalahgunaan;

d. memastikan kawalan sistem rangkaian adalah kukuh
dan lengkap dengan ciri-ciri keselamatan bagi
mengelakkan aktiviti atau capaian yang tidak sah;

e. capaian sistem maklumat dan aplikasi melalui jarak
jauh adalah digalakkan. Walau bagaimanapun,
penggunaannya terhad kepada perkhidmatan yang
dibenarkan sahaja;

Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
5 Dis 2018

DASAR KESELAMATAN ICT JPA Versi:
2.5
f. maklumat tarikh login terakhir hendaklah dipamerkan;
dan Muka Surat:
78 dari 118
g. session timeout hendaklah dilaksanakan.

K07/05 Capaian Jarak Jauh Pentadbir Sistem,
a. capaian jarak jauh yang dimaksudkan merangkumi: Pengguna
i. capaian daripada sistem rangkaian dalaman;
dan
ii. capaian daripada sistem rangkaian luaran bagi
lokasi luar pejabat untuk tujuan
telecommuting.

b. penghantaran maklumat yang menggunakan capaian
jarak jauh mestilah menggunakan kaedah enkripsi
(encryption);

c. lokasi bagi akses ke sistem ICT JPA hendaklah
dipastikan selamat; dan

d. penggunaan perkhidmatan ini hendaklah mendapat
kebenaran daripada Pengurus ICT. Pengguna yang
diberi hak adalah dipertanggungjawabkan penuh ke
atas penggunaan kemudahan ini.

K07/06 Kawalan Capaian Rangkaian Pentadbir Rangkaian
K07/06/01 Capaian Rangkaian dan Keselamatan

Kawalan capaian perkhidmatan rangkaian hendaklah
dijamin selamat dengan:

a. mewujudkan segmen rangkaian yang bersesuaian
bagi membezakan di antara rangkaian JPA dan

Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
5 Dis 2018

DASAR KESELAMATAN ICT JPA Versi:
2.5
rangkaian awam;
Muka Surat:
79 dari 118

b. mewujudkan dan menguatkuasakan mekanisme
untuk pengesahan pengguna dengan peralatan yang
menepati kesesuaian penggunaannya;

c. memantau dan menguatkuasakan kawalan capaian
pengguna terhadap perkhidmatan rangkaian ICT;

d. capaian pengguna jarak jauh (remote user) perlulah
dikawal dan dipantau;

e. capaian fizikal dan logikal ke atas perkakasan
rangkaian bagi tujuan mengubah konfigurasi perlulah
dikawal; dan

f. semua rangkaian yang dikongsi (shared networks),
terutama sekali yang keluar daripada rangkaian JPA,
polisi perlu diwujudkan untuk mengawal capaian oleh
pengguna.

K07/06/02 Capaian Internet Pentadbir Rangkaian
a. penggunaan Internet di JPA hendaklah dipantau dan Keselamatan
secara berterusan oleh Pentadbir Rangkaian dan
Rangkaian bagi memastikan penggunaannya untuk
tujuan capaian yang dibenarkan sahaja.
Kewaspadaan ini akan dapat melindungi daripada
kemasukan malicious code, virus dan bahan-bahan
yang tidak sepatutnya ke dalam rangkaian JPA;

b. penggunaan Internet hanyalah untuk kegunaan rasmi Pengurus ICT
sahaja. Pengurus ICT berhak menentukan pengguna
yang dibenarkan menggunakan Internet atau

Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
5 Dis 2018

DASAR KESELAMATAN ICT JPA Versi:
2.5
sebaliknya;
Muka Surat:
80 dari 118

c. polisi Content Filtering mestilah digunakan dan Pentadbir Rangkaian
dipantau bagi mengawal akses Internet. Pengguna dan Keselamatan
boleh memohon pengecualian mengikut fungsi kerja
untuk pertimbangan;

d. penggunaan proksi yang telah ditetapkan oleh JPA
bagi mengawal akses Internet mengikut fungsi kerja
dan mematuhi pekeliling semasa yang dikeluarkan;

e. penggunaan teknologi (packet shaper) untuk
mengawal aktiviti (video streaming, chat,
downloading) adalah perlu bagi menguruskan
penggunaan bandwidth yang maksimum dan lebih
berkesan; dan

f. penggunaan kemudahan Internet peribadi di pejabat
seperti modem, hotspot dan sebagainya untuk tujuan
sambungan ke Internet adalah tidak dibenarkan
kecuali mendapat kelulusan Ketua Jabatan melalui
borang permohonan seperti di Lampiran 3.

K07/07 Peralatan Mudah Alih
Perkara yang perlu dipatuhi adalah seperti berikut:
Pegawai Aset,
Pengguna

a. merekodkan aktiviti keluar masuk penggunaan
peralatan mudah alih bagi mengesan pergerakan
perkakasan tersebut daripada kehilangan atau
kerosakan;

b. peralatan mudah alih hendaklah disimpan atau
dikunci di tempat yang selamat apabila tidak
digunakan; dan

Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
5 Dis 2018

DASAR KESELAMATAN ICT JPA Versi:
2.5
c. memastikan peralatan mudah alih yang dibawa
keluar dari pejabat perlu disimpan dan dijaga dengan Muka Surat:
baik bagi mengelakkan daripada kecurian. 81 dari 118

K07/08 Bring Your Own Device (BYOD) Pengguna
BYOD adalah peralatan mudah alih persendirian seperti
telefon pintar, tablet dan laptop yang digunakan oleh
pengguna yang melaksanakan tugas rasmi melalui
sambungan rangkaian Jabatan. Pengguna yang
menggunakan kemudahan wifi jabatan untuk akses
kepada Internet dikawal melalui polisi wifi jabatan.

Sebagai garis panduan, pengguna bertanggungjawab
memastikan langkah-langkah keselamatan perlindungan
berkaitan penggunaan BYOD seperti berikut :

a. mengelak risiko kebocoran maklumat rasmi;

b. mengelakkan ancaman risiko keselamatan ICT;

c. memastikan produktiviti pengguna tidak terjejas
dalam menjalankan urusan rasmi jabatan; dan

d. meningkatkan integriti data.

Bagi mengawal dan memantau pelaksanaan BYOD,
mekanisme kawalan diwujudkan seperti berikut:

a. mendaftarkan penggunaan peralatan mudah alih
yang digunakan melalui AD;

b. mengaktifkan fungsi keselamatan kata laluan bagi
mengelakkan akses yang tidak dibenarkan; dan

Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
5 Dis 2018

DASAR KESELAMATAN ICT JPA Versi:
2.5
c. melaporkan kehilangan peralatan mudah alih kepada
ICTSO. Muka Surat:
82 dari 118

Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
5 Dis 2018



DASAR KESELAMATAN ICT JPA Versi:
2.5

Muka Surat:
83 dari 118

Kawalan 08: Perolehan, Pembangunan dan Penyelenggaraan Sistem

Objektif

Memastikan sistem yang dibangunkan sendiri atau pihak ketiga mempunyai ciri-ciri
keselamatan ICT yang bersesuaian.

K08/01 Kawalan Prosesan Aplikasi Pentadbir Sistem,
a. perolehan dan pembangunan, penambahbaikan serta ICTSO
penyelenggaraan sistem secara dalaman atau luaran
hendaklah mengambil kira kawalan keselamatan bagi
memastikan tidak wujudnya sebarang ralat yang
boleh mengganggu sistem pemprosesan dan
ketepatan maklumat;

b. ujian keselamatan hendaklah dijalankan ke atas
sistem aplikasi untuk menyemak pengesahan dan
integriti data; dan

c. sistem yang dibangunkan atau digunakan hendaklah
diuji terlebih dahulu bagi memastikan sistem
berkenaan memenuhi keperluan keselamatan
sebelum digunakan.

K08/01/01 Pengesahan Data Input Pentadbir Sistem
Data input bagi aplikasi perlu disahkan bagi memastikan
data yang dimasukkan betul dan bersesuaian.

K08/01/02 Kawalan Prosesan Pentadbir Sistem
Kawalan proses perlu ada dalam aplikasi bagi tujuan
mengesan sebarang pengubahsuaian ke atas maklumat
yang berkemungkinan terhasil daripada masalah semasa
prosesan.

Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
5 Dis 2018

DASAR KESELAMATAN ICT JPA Versi:
2.5
K08/01/03 Pengesahan Data Output
Data output daripada aplikasi perlu disahkan bagi Muka Surat:
memastikan maklumat yang dihasilkan adalah tepat. 84 dari 118

Pentadbir Sistem
Aplikasi

K08/02 Kawalan Kriptografi Pentadbir Sistem,
Melindungi kerahsiaan, integriti dan kesahihan maklumat Pengguna
yang merangkumi data di dalam sistem rangkaian, sistem
aplikasi dan pangkalan data. Kunci enkripsi mestilah
dilindungi dengan menggunakan cara kawalan yang
terbaik dan hendaklah dirahsiakan. Semua kunci mestilah
dilindungi daripada pengubahsuaian, pemusnahan dan
sebaran tanpa kebenaran sepanjang kitaran hayat kunci
tersebut.

Kriptografi turut merangkumi kaedah-kaedah seperti
berikut:

a. Enkripsi
Sistem aplikasi yang melibatkan maklumat
terperingkat hendaklah dibuat enkripsi (encryption).

b. Tandatangan Digital
Maklumat terperingkat yang perlu diproses dan
dihantar secara elektronik hendaklah menggunakan
tandatangan digital mengikut keperluan pelaksanaan.

c. Pengurusan Infrastruktur Kunci Awam atau Public Key
Infrastructure (PKI)
Pengurusan ke atas PKI hendaklah dilakukan dengan
berkesan dan selamat bagi melindungi kunci
berkenaan dari diubah, dimusnah dan didedahkan
sepanjang tempoh sah kunci tersebut.

Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
5 Dis 2018

DASAR KESELAMATAN ICT JPA Versi:
2.5
K08/03 Keselamatan Fail Sistem
Fail sistem perlu dikawal dan dikendalikan dengan baik Muka Surat:
dan selamat. 85 dari 118

Pentadbir Sistem

a. proses pengemaskinian fail sistem hanya boleh
dilakukan oleh Pentadbir Sistem atau pegawai yang
berkenaan dan mengikut prosedur yang telah
ditetapkan;

b. kod atau aturcara sistem yang telah dikemas kini
hanya boleh dilaksanakan atau digunakan selepas
diuji;

c. mengawal capaian ke atas kod atau aturcara program
bagi mengelakkan kerosakan, pengubahsuaian tanpa
kebenaran, penghapusan dan kecurian;

d. mengaktifkan log audit bagi merekodkan semua
aktiviti pengemaskinian untuk tujuan statistik,
pemulihan dan keselamatan; dan

e. data ujian hendaklah dipilih dan penggunaannya
dikawal serta dilindungi.

K08/04 Keselamatan Dalam Proses Pembangunan dan Sokongan

K08/04/01 Prosedur Perubahan

Perubahan atau pengubahsuaian ke atas sistem maklumat,

sistem pengoperasian dan aplikasi hendaklah dikawal, Pentadbir Sistem dan

diuji, direkod dan disahkan sebelum diguna pakai. Pemilik Proses atau

Sistem

Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
5 Dis 2018

DASAR KESELAMATAN ICT JPA Versi:
2.5
K08/04/02 Pembangunan Secara Outsource outsource
Pembangunan perisian aplikasi secara Muka Surat:
hendaklah mematuhi perkara-perkara berikut: 86 dari 118

a. setiap projek perlu dipantau oleh Pengurus ICT; Pengurus ICT

b. kontrak perbekalan hendaklah memasukkan klausa kod ICTSO
sumber menjadi hak milik JPA;

c. kod sumber yang diserahkan kepada JPA mesti bebas
daripada sebarang ralat dan kerentanan;

d. mengutamakan kepakaran teknologi tempatan;

e. pembangunan aplikasi hendaklah dijalankan dalam
persekitaran pengkomputeran JPA;

f. penggunaan data masking semasa pengujian;

g. data ujian hendaklah dilupuskan secara kekal (secured
delete) selepas projek disiapkan/tamat kontrak; dan

h. aktiviti sandaran hendaklah berjaya dilakukan sebelum
projek tamat.

K08/04/03 Pembocoran Maklumat
Sebarang peluang untuk membocorkan maklumat melalui
apa cara sekalipun mestilah dihalang.

Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
5 Dis 2018