PKS JLM FINAL

P O LISI KESEL AMA T A N SIBER PPISMS-UTMKE-01 J A B A T A N L A UT MA L A YSI A

KANDUNGAN 1. TUJUAN 2. LATAR BELAKANG 3. OBJEKTIF 4. GLOSARI 5. SEJARAH DOKUMEN 6. PERNYATAAN POLISI KESELAMATAN SIBER JLM 7. ASET ICT JLM 8. RISIKO 9. PRINSIP KESELAMATAN 10. BIDANG KESELAMATAN BIDANG A.5 Polisi Keselamatan Maklumat (Information Security Policy) BIDANG A.6 Organisasi bagi Keselamatan Maklumat (Organization of Information Security) BIDANG A.7 Keselamatan Sumber Manusia (Human Resource Security) BIDANG A.8 Pengurusan Aset (Asset Management) BIDANG A.9 Kawalan Akses (Access Control) BIDANG A.10 Kriptografi (Cryptography) BIDANG A.11 Keselamatan Fizikal dan Persekitaran (Physical and Environmental Security) BIDANG A.12 Keselamatan Operasi (Operations Security) BIDANG A.13 Keselamatan komunikasi (Communications security) BIDANG A.14 Pemerolehan, Pembangunan dan Penyenggaraan Sistem (System Acquisition, Development and Maintenance) BIDANG A.15 Hubungan Pihak Ketiga (Supplier Relationship) BIDANG A.16 Pengurusan Insiden Keselamatan Maklumat (Information Security Incident Management) BIDANG A.17 Aspek Keselamatan Maklumat Bagi Pengurusan Kesinambungan Perkhidmatan (Information Security Aspects of Business Continuity Management) BIDANG A.18 Pematuhan (Compliance) 11. LAMPIRAN A – SURAT AKUAN PEMATUHAN POLISI KESELAMATAN SIBER JLM 12. LAMPIRAN B – SENARAI UNDANG-UNDANG, DASAR DAN PERATURAN YANG BERKUAT KUASA 13. LAMPIRAN C – BORANG PERAKUAN MENURUT AKTA RAHSIA RASMI 1972 1 1 1 2 3 4 5 7 7 9 10 13 35 40 47 57 60 72 83 87 99 104 108 112 116 117 121 PPISMS-UTMKE-01 TARIKH KUATKUASA : 17 OGOS 2022

Objektif utama PKS ini dibangunkan adalah seperti berikut: 1 2 3 TUJUAN OBJEKTIF LATAR BELAKANG Polisi Keselamatan Siber (PKS) Jabatan Laut Malaysia (JLM) ini mengandungi peraturan-peraturan yang mesti dibaca dan dipatuhi oleh semua warga JLM, pembekal, pakar runding dan pihak yang mempunyai urusan dengan perkhidmatan ICT JLM. Polisi ini juga menerangkan peranan semua pengguna di JLM mengenai tanggungjawab dan peranan mereka dalam melindungi maklumat di ruang siber. PKS ini dibangunkan selaras dengan keperluan ISO/IEC 27001:2013 Information Security Management System (ISMS) yang merupakan amalan terbaik ISO/IEC 27000 dan piawaian antarabangsa dalam menetapkan keperluan secara berterusan sistem pengurusan keselamatan maklumat mengikut konteks organisasi. 01 PPISMS-UTMKE-01 TARIKH KUATKUASA : 17 OGOS 2022 a) Menerangkan kepada semua pengguna merangkumi warga JLM, pembekal/perunding dan pihak yang mempunyai urusan dengan perkhidmatan JLM mengenai tanggungjawab dan peranan mereka dalam melindungi maklumat di ruang siber; b) Memastikan keselamatan penyampaian perkhidmatan JLM di tahap tertinggi sekali gus meningkatkan tahap keyakinan pihak berkepentingan seperti agensi Kerajaan, industri dan orang awam; c) Memastikan kelancaran operasi JLM dengan meminimumkan kerosakan atau kemusnahan disebabkan oleh insiden yang berlaku; d) Melindungi kepentingan pihak-pihak yang bergantung kepada sistem maklumat daripada kesan kegagalan atau kelemahan yang berlaku dari segi kerahsiaan, integriti, kebolehsediaan, kesahihan maklumat dan komunikasi; dan e) Menyediakan ruang bagi penambahbaikan yang berterusan kepada pengurusan keselamatan dan pentadbiran ICT JLM.

4 SINGKATAN / PERKATAAN DAN DEFINISI GLOSARI [1] Pekeliling Perbendaharaan Malaysia – Tatacara Pengurusan Aset Tak Ketara 02 MATRAIN Institut Latihan Pengangkutan Laut Pegawai Aset Bertanggungjawab mengurus aset mengikut peraturan yang telah ditetapkan dan menyediakan laporan pengurusan aset. Pegawai Pengelas Bertanggungjawab menguruskan dokumen rahsia rasmi Kerajaan dari segi pendaftaran, pengelasan, pengelasan semula dan pelupusan serta mematuhi peraturan yang sedang berkuatkuasa. Pemilik Sistem Bahagian/Unit di JLM yang mempunyai kepentingan terhadap sistem yang dibangunkan. Pengguna Warga JLM dan Pihak Ketiga. Pentadbir Pusat data Bertanggungjawab memastikan persekitaran fizikal dan keselamatan pusat data berada dalam keadaan baik dan selamat. CIO Ketua Pegawai Maklumat (Chief Information Officer) ICT Information and Communication Technology ICTSO Pegawai Keselamatan ICT (ICT Security Officer) ISMS Sistem Pengurusan Keselamatan Maklumat (Information Security Management Systems) Klasifikasi Pembahagian kepada beberapa kategori / pengkelasan berdasarkan kepada Prosedur Kawalan Dokumen dan Rekod atau garis panduan yang ditetapkan. Aset Tak Ketara Aset tak ketara ialah aset bukan kewangan yang dapat dikenal pasti tanpa kewujudan secara fizikal. Aset Tak Ketara meliputi pelbagai kategori seperti paten, cap dagangan, petunjuk geografi, rekabentuk perindustrian, hak cipta, rekabentuk susun atur litar bersepadu, perlindungan varieti baru tumbuhan, pengetahuan tradisional dan penzahiran kebudayaan, pangkalan data, perjanjian perlesenan, perjanjian hak eksklusif/ hak lokasi mengguna Aset Tak Ketara.[1] Pihak Ketiga Pembekal/perunding dan pihak yang berurusan dengan pihak JLM serta dan pengguna luar yang lain. Pentadbir Sistem ICT Pentadbir Aplikasi, Pentadbir Rangkaian dan Keselamatan, Pentadbir Pangkalan Data, Pentadbir E-mel, Pentadbir Pusat Data. Peranti Pengkomputeran Peribadi Peranti komputer yang digunakan oleh manusia untuk berinteraksi dengan sistem. Contoh: komputer riba, stesen kerja, telefon pintar, tablet, dan peranti storan. Peranti Rangkaian Peranti yang digunakan untuk membolehkan saling hubung antara peranti komputer dan sistem seperti switch, router, firewall, peranti VPN dan kabel. PKP Pelan Kesinambungan Perkhidmatan PKS Polisi Keselamatan Siber PYB Pegawai Yang Bertanggungjawab Trunking Sistem pendawaian elektrik yang menggunakan sesalur sebagai tempat menyokong dan menyimpan kabel. UK Unit Kewangan UI Unit Integriti UP Unit Perolehan UPA Unit Pengurusan Aset UPKAA Unit Pengurusan Kewangan dan Akaun Amanah UPS Uninterruptible Power Supply UPSM Unit Pengurusan Sumber Manusia UTMKE Unit Teknologi Maklumat dan Kerajaan Elektronik VPN Virtual Private Network Wire Tapping Pengawasan atau perakaman aliran data yang melalui dawai penghantaran suatu sistem perhubungan data PPISMS-UTMKE-01 TARIKH KUATKUASA : 17 OGOS 2022 PICT Pengurus ICT

JPICT JLM BIL 3/2022 17 OGOS 2022 SURAT ARAHAN PEMATUHAN PKS 1.0 KELULUSAN TARIKH KUATKUASA PEMAKLUMAN VERSI 5 SEJARAH DOKUMEN 03 PPISMS-UTMKE-01 TARIKH KUATKUASA : 17 OGOS 2022

Keselamatan ditakrifkan sebagai keadaan yang bebas daripada ancaman dan risiko yang tidak boleh diterima. Ia melibatkan aktiviti berkala yang mesti dilakukan dari semasa ke semasa untuk menjamin keselamatan kerana ancaman dan kelemahan siber sentiasa berubah. Pernyataan ini merangkumi perlindungan semua bentuk maklumat elektronik dan bukan elektronik yang dimasukkan, diwujud, dimusnah, disimpan, dijana, dicetak, diakses, diedar, dalam penghantaran dan yang dibuat salinan bagi memelihara keselamatan dan ketersediaan maklumat tersebut kepada semua pengguna yang dibenarkan. Ciri-ciri utama keselamatan maklumat adalah seperti berikut: Selain itu, langkah-langkah ke arah menjamin keselamatan maklumat hendaklah bersandarkan kepada penilaian yang bersesuaian dengan perubahan semasa terhadap kelemahan dalam perkhidmatan JLM, ancaman yang wujud akibat daripada kelemahan tersebut, risiko yang mungkin timbul dan langkah-langkah pencegahan sesuai yang boleh diambil untuk menangani risiko berkenaan. PERNYATAAN POLISI KESELAMATAN SIBER JLM 6 04 PPISMS-UTMKE-01 TARIKH KUATKUASA : 17 OGOS 2022 a) KERAHSIAAN/ Confidentiality (C) - Maklumat tidak boleh didedahkan sewenang-wenangnya atau dibiarkan diakses tanpa kebenaran. b) INTEGRITI/ Integrity (I) - Data dan maklumat hendaklah tepat, lengkap dan kemas kini. Ia hanya boleh diubah dengan cara yang dibenarkan. c) KETERSEDIAAN/ Availability (A) - Data dan maklumat hendaklah boleh diakses pada bila-bila masa.

ASET ICT JLM 7 05 PPISMS-UTMKE-01 TARIKH KUATKUASA : 17 OGOS 2022 Aset ICT JLM merangkumi Maklumat, Aliran Data, Platform Aplikasi dan Perisian, Peranti Fizikal dan Sistem, Sistem Luaran, Sumber Luaran, Manusia dan Aset Tak Ketara seperti berikut: a) Maklumat: Pangkalan data dan fail data, kontrak dan perjanjian, sistem dokumentasi, maklumat penyelidikan, manual pengguna, bahan latihan, prosedur operasi dan sokongan, pelan kesinambungan perkhidmatan, fallback arrangements, jejak audit (audit trails) dan maklumat arkib. Semua penyedia perkhidmatan dalam JLM hendaklah mengenal pasti maklumat yang dijana dan hendaklah mengasingkannya mengikut kategori: i. Maklumat Rahsia Rasmi Di bawah Akta Rahsia Rasmi 1972 (Akta 88), maksud Maklumat Rahsia Rasmi ialah apa-apa suratan yang dinyatakan dalam Jadual kepada Akta Rahsia Rasmi 1972 (Akta 88) dan apa-apa maklumat dan bahan berhubungan dengannya dan termasuklah apa-apa dokumen rasmi, maklumat dan bahan lain sebagaimana yang boleh dikelaskan sebagai “Rahsia Besar”, “Rahsia”, “Sulit” atau “Terhad” mengikut mana yang berkenaan oleh seorang Menteri, Menteri Besar atau Ketua Menteri sesuatu negeri atau mana-mana pegawai awam yang dilantik di bawah seksyen 2B Akta Rahsia Rasmi 1972. ii. Maklumat Rasmi Maklumat rasmi ialah maklumat yang diwujudkan, digunakan, diterima atau dikeluarkan secara rasmi oleh JLM semasa menjalankan urusan rasmi. Maklumat rasmi ini juga merupakan rekod awam yang tertakluk di bawah peraturan-peraturan Arkib Negara. iii. Maklumat Pengenalan Peribadi Maklumat Pengenalan Peribadi (Pll atau Personally Identifiable Information) ialah maklumat yang boleh digunakan secara tersendiri atau digunakan bersama maklumat lain untuk mengenal pasti individu tertentu. Data Pll mengandungi data peribadi dan data sensitif individu. Pll boleh juga terkandung dalam Maklumat Rahsia Rasmi. iv. Data Terbuka Data terbuka merujuk kepada data kerajaan yang boleh digunakan secara bebas, boleh dikongsikan dan digunakan semula oleh rakyat, agensi sektor awam atau swasta untuk sebarang tujuan. Pll dikecualikan daripada data terbuka.

ASET ICT JLM 7 06 PPISMS-UTMKE-01 TARIKH KUATKUASA : 17 OGOS 2022 Setiap perkara di atas perlu diberi perlindungan rapi. Sebarang kebocoran maklumat atau kelemahan perlindungan adalah dianggap sebagai perlanggaran langkah-langkah keselamatan. b) Aliran Data: Merujuk kepada laluan lengkap data tertentu semasa transaksi. Aliran data dan komunikasi dalam JLM hendaklah dikenal pasti dan direkodkan. Saluran komunikasi termasuk: i. Saluran komunikasi dan aliran data antara sistem dalam JLM; ii. Saluran komunikasi dan aliran data ke sistem luar; dan iii. Saluran komunikasi dan aliran data ke ruang storan pengkomputeran awan dianggap sebagai saluran komunikasi luaran. c) Platform Aplikasi dan Perisian: Perisian aplikasi, perisian sistem, alat pembangunan (development tools) dan utiliti (utilities). d) Peranti Fizikal dan Sistem: Semua peranti fizikal yang digunakan dalam JLM hendaklah dikenal pasti dan direkodkan. Peranti fizikal termasuk: i. Pelayan; ii. Peranti/Peralatan Rangkaian; iii. Komputer Riba; iv. Telefon /peranti pintar; v. Media Storan; vi. Peranti dengan sambungan ke rangkaian, contohnya pengimbas, mesin pencetak, sistem kawalan akses, alat kawalan dan sistem kamera litar tertutup (CCTV); vii. Peranti pengkomputeran peribadi milik persendirian yang digunakan untuk urusan rasmi Kerajaan; dan vii. Peranti pengesahan (authentication devices), contohnya token keselamatan, dongle dan alat pengimbas biometrik. e) Sistem Luaran: Sistem bukan milik JLM yang dihubungkan dengan sistem JLM. Semua sistem luaran hendaklah dikenal pasti, direkodkan dan dinilai tahap keselamatannya secara berkala. f) Sumber Luaran: Perkhidmatan yang disediakan oleh organisasi luar untuk menyokong operasi JLM seperti perkhidmatan pengkomputeran dan komunikasi, utiliti umum seperti pencahayaan, elektrik dan pendingin hawa. g) Manusia: Kelayakan, kemahiran dan pengalaman. h) Aset Tak ketara (Intangibles): Seperti reputasi dan imej organisasi.

JLM hendaklah melaksanakan pengurusan risiko yang efektif ke atas semua aset ICT yang dikenalpasti. Penilaian risiko hendaklah dilaksanakan bagi menilai risiko terjejasnya kerahsiaan, integriti dan ketersediaan maklumat dalam kapasiti pengoperasian JLM. Penilaian risiko hendaklah dilaksanakan sekurang-kurangnya sekali setahun atau apabila berlaku sebarang perubahan yang signfikan kepada persekitaran siber JLM. RISIKO 8 07 9 PRINSIP KESELAMATAN PPISMS-UTMKE-01 TARIKH KUATKUASA : 17 OGOS 2022 Prinsip yang menjadi asas kepada PKS JLM adalah seperti berikut: a) Prinsip “Perlu-Tahu” JLM hendaklah melaksanakan mekanisme bagi memberi kebenaran kepada capaian maklumat. Maklumat yang dicapai oleh pengguna yang dibenarkan hendaklah berdasarkan prinsip “Perlu-Tahu” yang memberikan capaian maklumat yang diperlukan untuk melaksanakan tugasnya sahaja. Bagi capaian spesifik Maklumat Rahsia Rasmi, penggunaan yang dibenarkan hendaklah dihadkan kepada masa, lokasi dan status bekerja pengguna tersebut. b) Hak Akses Minimum Hak akses kepada pengguna hanya diberi pada tahap yang paling minimum Kelulusan khas diperlukan untuk membolehkan pengguna mewujud, menyimpan, mengemas kini, mengubah dan menghapuskan sesuatu data atau maklumat. c) Kebertanggungjawaban atau Akauntabiliti Semua pengguna adalah dipertanggungjawabkan ke atas semua tindakannya terhadap aset ICT. Tanggungjawab ini perlu dinyatakan dengan jelas sesuai dengan tahap sensitiviti sesuatu sumber ICT. Bagi menentukan tanggungjawab ini dipatuhi, sistem ICT hendaklah mampu menyokong kemudahan mengesan atau mengesahkan bahawa pengguna sistem maklumat boleh dipertanggungjawabkan atas tindakan mereka.

08 9 PRINSIP KESELAMATAN PPISMS-UTMKE-01 TARIKH KUATKUASA : 17 OGOS 2022 d) Pengasingan Tugas Tugas mewujud, menghapus, mengemas kini, mengubah dan mengesahkan data perlu diasingkan bagi mengelakkan daripada capaian yang tidak dibenarkan (unauthorized access) serta melindungi aset ICT daripada kesilapan, kebocoran maklumat terperingkat atau dimanipulasikan. Pengasingan juga merangkumi data, operasi, pangkalan data dan rangkaian. e) Pengauditan Tujuan aktiviti ini ialah untuk mengenal pasti insiden keselamatan aset ICT atau keadaan yang mengancam keselamatan aset ICT. Dengan itu, semua log yang berkaitan dengan aset ICT perlu disimpan bagi tujuan jejak audit. f) Pematuhan PKS JLM hendaklah dipatuhi bagi mengelakkan sebarang bentuk pelanggaran ke atasnya yang boleh membawa ancaman kepada keselamatan maklumat. g) Pemulihan Pemulihan sistem amat perlu untuk memastikan kebolehsediaan dan kebolehcapaian bagi meminimumkan sebarang gangguan atau kerugian akibat daripada ketidaksediaan. Pemulihan boleh dilakukan melalui proses penduaan (backup) dan mewujudkan Pelan Pemulihan Bencana (DRP) di bawah Pelan Kesinambungan Perkhidmatan (PKP). h) Saling Bergantung Setiap prinsip adalah saling lengkap-melengkapi dan bergantung antara satu sama lain. Dengan itu tindakan mempelbagaikan pendekatan dalam menyusun dan mencorakkan sebanyak mungkin mekanisme keselamatan, dapat menjamin keselamatan yang maksimum.

BIDANG A.5 BIDANG A.6 BIDANG A.7 BIDANG A.8 BIDANG A.9 BIDANG A.10 BIDANG A.11 BIDANG A.12 BIDANG A.13 BIDANG A.14 BIDANG A.15 BIDANG A.16 BIDANG A.17 BIDANG A.18 09 PPISMS-UTMKE-01 TARIKH KUATKUASA : 17 OGOS 2022 10 BIDANG KESELAMATAN 14 bidang keselamatan yang terlibat di dalam Polisi Keselamatan Siber JLM diterangkan dengan lebih jelas seperti berikut: POLISI KESELAMATAN MAKLUMAT (Information Security Policy) ORGANISASI BAGI KESELAMATAN MAKLUMAT (Internal Organization) KESELAMATAN SUMBER MANUSIA (Human Resource Security) PENGURUSAN ASET (Asset Management) KAWALAN AKSES (Access Control) KRIPTOGRAFI (Cryptography) KESELAMATAN FIZIKAL DAN PERSEKITARAN (Physical And Environmental Security) KESELAMATAN OPERASI (Operations Security) KESELAMATAN KOMUNIKASI (Communication Security) PEMEROLEHAN, PEMBANGUNAN DAN PENYENGGARAAN SISTEM (System Acquisition, Development and Maintenance) HUBUNGAN DENGAN PIHAK KETIGA (Supplier Relationship) PENGURUSAN INSIDEN KESELAMATAN MAKLUMAY (nformation Security Incident Management) ASPEK KESELAMATAN MAKLUMAT BAGI PENGURUSAN KESINAMBUNGAN PERKHIDMATAN (Information Security Aspects of Business Continuity Management) PEMATUHAN (Compliance)

BIDANG A.5 : Polisi Keselamatan Maklumat (Information Security Policy) A.5.1 Hala Tuju Pengurusan Untuk Keselamatan Maklumat (Management Directions for Information Security) A.5.1.1 Polisi Keselamatan Maklumat (Policies for Information Security) A.5.1.2 Kajian Semula Polisi Untuk Keselamatan Maklumat (Review of Policies for Information Security) 10

PPISMS-UTMKE-01 TARIKH KUATKUASA : 17 OGOS 2022 A.5.1 Hala Tuju Pengurusan Untuk Keselamatan Maklumat (Management Directions for Information Security) Objektif: Menerangkan hala tuju dan sokongan pengurusan terhadap keselamatan maklumat selaras dengan keperluan JLM dan perundangan yang berkaitan. Bidang Tanggungjawab A.5.1.1 Polisi Keselamatan Maklumat (Policies for Information Security) Pelaksanaan polisi ini akan dijalankan oleh Ketua Pengarah JLM (KP), dan dibantu oleh Jawatankuasa Pemandu ICT (JPICT) yang terdiri daripada Ketua Pegawai Maklumat (CIO), semua Pengarah Bahagian/Wilayah dan Pengurus ICT, Pegawai Keselamatan ICT (ICTSO) serta disokong oleh Mesyuarat Kajian Semula Pengurusan (MKSP) dan Jawatankuasa Kerja ISMS (JKISMS). PKS ini terpakai kepada semua warga JLM dan juga pihak ketiga yang berurusan dengan JLM. Satu set polisi untuk keselamatan maklumat hendaklah ditakrifkan, diluluskan oleh pengurusan diterbitkan dan disampaikan kepada kakitangan dan pihak luaran yang berkaitan. KP, CIO, Pengarah Bahagian/Wilayah, Pengurus ICT, ICTSO, MKSP, JPICT, JKISMS Polisi Keselamatan Maklumat (Information Security Policy) 11 Polisi Keselamatan Maklumat A (Information Security Policy) .5

PPISMS-UTMKE-01 TARIKH KUATKUASA : 17 OGOS 2022 Bidang Tanggungjawab A.5.1.2 Kajian Semula Polisi Untuk Keselamatan Maklumat (Review of Policies for Information Security) Polisi untuk keselamatan maklumat hendaklah dikaji semula pada sela masa yang dirancang atau jika berlaku perubahan yang ketara bagi memastikan kesesuaian, kecukupan dan keberkesanannya berterusan. Polisi ini perlu disemak dan dipinda pada jangka masa yang dirancang atau apabila terdapat perubahan teknologi, aplikasi, prosedur, perundangan, dan polisi Kerajaan. Piawaian yang berhubung dengan kajian semula PKS seperti berikut: MKSP 12 a) Mengenal pasti dan menentukan perubahan yang diperlukan; b) Mengemukakan cadangan kepada Pengurus ICT untuk tindakan dan pertimbangan kepada MKSP bagi tujuan pengesahan; c) Memaklumkan pindaan yang telah disahkan oleh MKSP kepada semua pengguna; dan d) Polisi ini hendaklah dikaji semula sekurang-kurangnya lima (5) tahun sekali atau mengikut keperluan semasa bagi memastikan dokumen sentiasa relevan. Polisi Keselamatan Maklumat A (Information Security Policy) .5

BIDANG A.6: Organisasi Bagi Keselamatan Maklumat (Organization of Information Security) A.6.1 Organisasi Dalaman (Internal Organization) A.6.1.1 Peranan dan Tanggungjawab Keselamatan Maklumat (Information Security Roles and Responsibilities) A.6.1.2 Pengasingan Tugas (Segregation of Duties) A.6.1.3 Hubungan Dengan Pihak Berkuasa (Contact With Authorities) A.6.1.4 Hubungan Dengan Kumpulan Berkepentingan Yang Khusus (Contact With Special Interest Groups) A.6.1.5 Keselamatan Maklumat Dalam Pengurusan Projek (Information Security in Project Management) 13 A.6.2 Peranti Mudah Alih dan Telekerja (Mobile Devices and Teleworking) A.6.2.1 Polisi Peranti Mudah Alih (Mobile Device Policy) A.6.2.2 Telekerja (Teleworking)

PPISMS-UTMKE-01 TARIKH KUATKUASA : 17 OGOS 2022 A.6.1 Organisasi Dalaman (Internal Organization) Objektif: Menerangkan peranan dan tanggungjawab individu yang terlibat dengan lebih jelas dan teratur dalam mencapai objektif Polisi Keselamatan Siber JLM (PKS). Bidang Tanggungjawab A.6.1.1 Peranan dan Tanggungjawab Keselamatan Maklumat (Information Security Roles and Responsibilities) Peranan dan tanggungjawab Ketua Pengarah Laut adalah seperti berikut: Ketua Pengarah Laut (KPL) 14 a) Memastikan penguatkuasaan pelaksanaan polisi ini; b) Memastikan warga JLM, pembekal/perunding dan pihak yang mempunyai urusan dengan perkhidmatan JLM memahami dan mematuhi peruntukan-peruntukan di bawah polisi ini; c) Memastikan semua keperluan JLM seperti sumber kewangan, warga JLM dan perlindungan keselamatan adalah mencukupi; d) Memastikan pengurusan risiko dan program keselamatan ICT dilaksanakan seperti yang ditetapkan di dalam polisi ini; e) Memastikan pengurusan Pelan Kesinambungan Perkhidmatan (PKP) dilaksanakan; dan f) Melantik CIO dan ICTSO. Organisasi Bagi Keselamatan Maklumat A (Organization of Information Security) .6

PPISMS-UTMKE-01 TARIKH KUATKUASA : 17 OGOS 2022 Bidang Tanggungjawab Ketua Pegawai Maklumat (CIO) adalah jawatan yang disandang oleh Timbalan Ketua Pengarah (Perancangan). Peranan dan tanggungjawab Ketua Pegawai Maklumat (CIO) adalah seperti berikut: Ketua Pegawai Maklumat (CIO) Pengurus ICT (PICT) adalah jawatan yang disandang oleh Ketua Penolong Pengarah, UTMKE. Peranan dan tanggungjawab Pengurus ICT (PICT) adalah seperti berikut: Pengurus ICT (PICT) 15 a) Membantu Ketua Pengarah dalam melaksanakan tugastugas yang melibatkan keselamatan siber seperti yang ditetapkan di dalam polisi ini; b) Memastikan kawalan keselamatan maklumat JLM diseragam dan diselaraskan dengan sebaiknya; dan c) Menyelaras pelan latihan dan program kesedaran keselamatan ICT. a) Memastikan PKS JLM dilaksanakan dan dipatuhi di bahagian/wilayah; b) Memastikan semua pengguna di JLM mematuhi dasar,piawaian dan garis panduan keselamatan ICT, dan seterusnya melaporkan sebarang insiden berkaitan keselamatan ICT; c) Menyelaras pelan latihan dan program kesedaran keselamatan ICT. Organisasi Bagi Keselamatan Maklumat A (Organization of Information Security) .6

PPISMS-UTMKE-01 TARIKH KUATKUASA : 17 OGOS 2022 Bidang Tanggungjawab 16 d) Melaksanakan keperluan PKS dalam operasi semasa seperti berikut: i. pelaksanaan sistem atau aplikasi baharu sama ada dibangunkan secara dalaman atau luaran yang melibatkan teknologi baharu; ii. pembelian atau peningkatan perisian dan sistem komputer; iii. perolehan teknologi dan perkhidmatan komunikasi baharu; iv. pelantikan pembekal/perunding atau rakan usaha sama; dan v. menentukan pembekal/perunding atau rakan usaha sama menjalani tapisan keselamatan selaras dengan keperluan tahap perkhidmatan. e) Memastikan bentuk ancaman keselamatan terkini dikenal pasti dan penemuan ancaman dilaporkan kepada CIO; f) Menyemak dan mengesahkan garis panduan, prosedur dan tatacara bagi semua aplikasi yang dibangunkan di bahagian-bahagian agar mematuhi keperluan PKS JLM; g) Membangun, mengkaji semula dan mengemas kini pelan kontingensi dengan mengaktifkan Pelan Pemulihan Bencana (DRP); h) Memastikan sistem kawalan capaian pengguna ke atas aset-aset ICT JLM dilaksanakan; dan i) Memastikan aspek keselamatan maklumat dilaksanakan alam setiap pengurusan projek. Organisasi Bagi Keselamatan Maklumat A (Organization of Information Security) .6

PPISMS-UTMKE-01 TARIKH KUATKUASA : 17 OGOS 2022 Bidang Tanggungjawab Pegawai Keselamatan ICT (ICTSO) adalah jawatan yang disandang oleh Penolong Pengarah Kanan Seksyen Pengurusan Teknologi, UTMKE. Peranan dan tanggungjawab Pegawai Keselamatan ICT (ICTSO) adalah seperti berikut: Pegawai Keselamatan ICT (ICTSO) 17 a) Mewujudkan garis panduan, prosedur dan tatacara selaras dengan keperluan polisi ini; b) Merangka pengurusan risiko dan audit keselamatan siber berpandukan rangka kerja, polisi, pekeliling/garis panduan, dan pelan pengurusan keselamatan maklumat yang berkuat kuasa; c) Menyedia dan menyebarkan amaran-amaran yang sesuai terhadap kemungkinan berlakunya ancaman keselamatan siber dan memberikan khidmat nasihat serta menyediakan langkah-langkah perlindungan yang bersesuaian; d) Melaporkan insiden keselamatan siber kepada CERT JLM dan seterusnya membantu dalam penyiasatan atau pemulihan; e) Melaporkan insiden keselamatan siber kepada Pengurus ICT bagi insiden yang memerlukan Pengurusan Kesinambungan Perkhidmatan (PKP); f) Bekerjasama dengan semua pihak yang berkaitan dalam mengenal pasti punca ancaman atau insiden keselamatan siber dan memperakukan langkah-langkah baik pulih dengan segera; g) Melaksanakan pematuhan polisi ini oleh warga JLM, pembekal, pakar runding dan pihak yang mempunyai urusan dengan perkhidmatan ICT JLM; Organisasi Bagi Keselamatan Maklumat A (Organization of Information Security) .6

PPISMS-UTMKE-01 TARIKH KUATKUASA : 17 OGOS 2022 Bidang Tanggungjawab Peranan dan tanggungjawab Pengarah Bahagian/Wilayah ialah melaksanakan polisi ini dalam operasi semasa seperti berikut: Pengarah Bahagian/Wilayah Peranan dan tanggungjawab Mesyuarat Kajian Semula Pengurusan (MKSP) adalah menentukan halatuju keseluruhan pelaksanaan pensijilan ISMS JLM yang merangkumi perancangan, pemantauan dan pengesahan terhadap: Mesyuarat Kajian Semula Pengurusan (MKSP) 18 a) Memastikan pihak ketiga dan rakan strategik menjalani tapisan keselamatan; dan b) Memastikan pematuhan kepada pelaksanaan rangka kerja, polisi dan pekeliling/garis panduan Kerajaan yang berkuat kuasa. a) Pelaksanaan pensijilan ISMS ke atas perkhidmatan JLM yang dikenal pasti; b) Kelulusan ke atas dasar, objektif dan skop pelaksanaan ISMS; c) Penetapan kriteria penerimaan risiko, tahap risiko dan risk treatment plan; d) Keputusan dan tindakan Mesyuarat Jawatankuasa Kerja ISMS; e) Kajian semula pelaksanaan pensijilan ISMS ke atas perkhidmatan-perkhidmatan JLM yang dikenal pasti; f) Dasar dan objektif ISMS diwujudkan selaras dengan hala tuju strategik JLM; g) Keperluan ISMS diterapkan dalam budaya kerja pegawai JLM; Organisasi Bagi Keselamatan Maklumat A (Organization of Information Security) .6

PPISMS-UTMKE-01 TARIKH KUATKUASA : 17 OGOS 2022 Bidang Tanggungjawab MKSP juga bertanggungjawab untuk meluluskan: Peranan dan tanggungjawab Pentadbir Sistem ICT adalah seperti berikut: Pentadbir Sistem ICT 19 h) Sumber yang diperlukan oleh pasukan pelaksana ISMS; i) Kepentingan pengurusan ISMS yang berkesan dan pematuhan terhadap keperluannya; j) Pencapaian sasaran ISMS seperti yang dirancang; k) Arahan dan sokongan kepada Pasukan ISMS JLM bagi memastikan ISMS dapat dilaksanakan dengan berkesan; dan l) Pelaksanaan program penambahbaikan dan peningkatan ISMS yang berterusan. a) Struktur organisasi ISMS JLM; b) Keperluan sumber ISMS JLM; dan c) Pelantikan Pasukan Audit Dalam ISMS JLM. a) Mengambil tindakan yang bersesuaian dengan segera apabila dimaklumkan mengenai personel yang berhenti, bertukar, bercuti, berkursus panjang atau berlaku perubahan dalam bidang tugas; b) Melaksanakan ketetapan sesuatu tahap capaian berdasarkan arahan pemilik sistem/ maklumat; c) Memantau aktiviti capaian sistem aplikasi; Organisasi Bagi Keselamatan Maklumat A (Organization of Information Security) .6

PPISMS-UTMKE-01 TARIKH KUATKUASA : 17 OGOS 2022 Bidang Tanggungjawab Peranan dan tanggungjawab Pentadbir Rangkaian dan Keselamatan ICT adalah seperti berikut: Pentadbir Rangkaian dan Keselamatan ICT 20 d) Mengenal pasti aktiviti-aktiviti tidak normal seperti pencerobohan dan pengubahsuaian data tanpa kebenaran dan membatalkan atau memberhentikannya dengan serta-merta; e) Menganalisis dan menyimpan rekod jejak audit; f) Menyediakan laporan mengenai aktiviti capaian secara berkala; dan g) Menjadual dan melaksanakan proses backup dan restoration ke atas pangkalan data dan sistem secara berkala; a) Memastikan rangkaian setempat (LAN), rangkaian luas (WAN) dan Wireless beroperasi sepanjang masa; b) Merancang peningkatan infrastruktur, ciri-ciri keselamatan dan prestasi rangkaian sedia ada; c) Mewartakan polisi dan garis panduan penggunaan rangkaian Jabatan kepada pengguna; d) Melaksanakan penilaian tahap keselamatan sistem rangkaian dan sistem ICT (Security Posture Assessment, SPA) serta penilaian risiko keselamatan maklumat; dan e) Memantau penggunaan rangkaian dan melaporkan kepada ICTSO sekiranya berlaku penyalahgunaan rangkaian. Organisasi Bagi Keselamatan Maklumat A (Organization of Information Security) .6

PPISMS-UTMKE-01 TARIKH KUATKUASA : 17 OGOS 2022 Bidang Tanggungjawab Peranan dan tanggungjawab Pentadbir Aplikasi/ Pangkalan Data adalah seperti berikut: Pentadbir Aplikasi/ Pangkalan Data 21 Organisasi bagi Keselamatan Maklumat (Organization of Information Security) a) Menguruskan pendaftaran akaun pentadbir/pengguna bagi aplikasi/pangkalan data yang berkaitan; b) Menentukan aplikasi/pangkalan data mematuhi ciri-ciri keselamatan mengikut garis panduan Kerajaan dan piawaian antarabangsa seperti ISO 27002, Code of Practice for Information Security, dan juga garis panduan dan piawaian yang khusus untuk teknologi yang digunakan; c) Memastikan polisi/konfigurasi yang selamat dilaksanakan; d) Merancang dan membuat security update mengikut risiko semasa; e) Membuat pengukuhan (hardening) keselamatan bagi menangani kerentanan sistem aplikasi/pangkalan data yang dikenalpasti; f) Membuat pemantauan dan penyenggaraan ke atas prestasi dan keselamatan aplikasi/pangkalan data secara berkala; dan g) Melaporkan sebarang insiden pelanggaran keselamatan aplikasi/pangkalan data kepada ICTSO. Organisasi Bagi Keselamatan Maklumat A (Organization of Information Security) .6

PPISMS-UTMKE-01 TARIKH KUATKUASA : 17 OGOS 2022 Bidang Tanggungjawab Peranan dan tanggungjawab Pentadbir E-mel adalah seperti berikut: Pentadbir E-mel Peranan dan tanggungjawab Pentadbir Portal (Web Master) adalah seperti berikut: Pentadbir Portal (Web Master) 22 a) Menguruskan pendaftaran akaun pengguna e-mel bagi warga JLM; b) Memastikan polisi/konfigurasi e-mel yang selamat dilaksanakan; c) Membuat pemantauan ke atas prestasi dan keselamatan sistem e-mel; dan d) Melaporkan kepada ICTSO atau pihak MAMPU sekiranya berlaku insiden yang berkaitan. a) Menerima kandungan portal yang telah disahkan kesahihan dan terkini daripada sumber yang sah; b) Memantau prestasi capaian dan menjalankan penalaan prestasi untuk memastikan akses yang lancar; c) Memantau dan menganalisis log untuk mengesan sebarang capaian yang tidak sah atau cubaan menggodam, menceroboh dan mengubahsuai antara muka portal; d) Mengasingkan kandungan dan aplikasi dalam talian untuk capaian secara Intranet dan Internet ke portal JLM; e) Memastikan hanya maklumat yang bersifat terbuka dipaparkan di portal; f) Memastikan reka bentuk portal dibangunkan dengan ciri-ciri keselamatan supaya tidak dicerobohi; Organisasi Bagi Keselamatan Maklumat A (Organization of Information Security) .6

PPISMS-UTMKE-01 TARIKH KUATKUASA : 17 OGOS 2022 Bidang Tanggungjawab Peranan dan tanggungjawab Pentadbir Pusat Data adalah seperti berikut: Pentadbir Pusat Data Peranan dan tanggungjawab Pemilik Sistem adalah seperti berikut: Pemilik Sistem 23 g) Melaksanakan perkemasan keselamatan terhadap sistem pengoperasian dan perisian-perisian lain di web server; h) Memantau proses backup dan restoration ke atas kandungan dan aplikasi portal; dan i) Melaporkan sebarang pelanggaran keselamatan portal kepada ICTSO. a) Memastikan persekitaran fizikal, data dan sistem aplikasi berada dalam keadaan baik dan selamat; b) Menyediakan Pelan Pemulihan Bencana (DRP) bagi memastikan kesinambungan perkhidmatan; dan c) Memastikan pusat data sentiasa beroperasi mengikut prosedur yang telah ditetapkan; dan d) Melaporkan sebarang insiden pelanggaran keselamatan pusat data kepada Pengurus ICT. a) Memastikan aplikasi mematuhi Pelan Stategik ICT (ISP) serta mengikut pekeliling semasa yang berkuat kuasa; b) Memastikan kesesuaian teknologi dan ciri-ciri keselamatan yang perlu ada bagi aplikasi; dan c) Memastikan kelancaran operasi sistem dengan meminimumkan risiko keselamatan berkaitan dengan aplikasi. Organisasi Bagi Keselamatan Maklumat A (Organization of Information Security) .6

PPISMS-UTMKE-01 TARIKH KUATKUASA : 17 OGOS 2022 Bidang Tanggungjawab Peranan dan tanggungjawab Juruaudit Luaran / Dalaman adalah seperti berikut: Juruaudit Luaran / Dalaman Pengguna adalah terdiri dari warga JLM, pembekal/ perunding dan pihak yang mempunyai urusan dengan perkhidmatan JLM. Peranan dan tanggungjawab pengguna adalah seperti berikut: Pengguna 24 a) Menjalankan audit keselamatan bergantung pada skop kerja / penilaian; b) Menjalankan audit ISMS. c) Menyediakan dan membentangkan laporan penemuan audit kepada MKSP. d) Menjalankan audit dalaman dan luaran sekurangkurangnya satu (1) kali setahun. a) Pengguna perlu membaca, memahami dan mematuhi PKS JLM; b) Mengetahui dan memahami implikasi keselamatan maklumat serta kesan dari tindakannya; c) Menjalani tapisan keselamatan sekiranya dikehendaki berurusan dengan maklumat rasmi terperingkat; d) Melaksanakan prinsip-prinsip PKS dan menjaga kerahsiaan maklumat JLM; e) Melaksanakan langkah-langkah perlindungan seperti berikut: i. menghalang pendedahan maklumat kepada pihak yang tidak dibenarkan; ii. memeriksa maklumat dan menentukan ia tepat dan lengkap dari semasa ke semasa; Organisasi Bagi Keselamatan Maklumat A (Organization of Information Security) .6

PPISMS-UTMKE-01 TARIKH KUATKUASA : 17 OGOS 2022 Bidang Tanggungjawab 25 iii. menentukan maklumat sedia untuk digunakan; iv. menjaga kerahsiaan kata laluan; v. mematuhi piawaian, prosedur, langkah dan garis panduan keselamatan ICT yang ditetapkan; vi. melaksanakan peraturan berkaitan maklumat terperingkat terutama semasa pewujudan, pemprosesan, penyimpanan, penghantaran, penyampaian, pertukaran dan pemusnahan; dan vii. menjaga kerahsiaan langkah-langkah keselamatan ICT dari diketahui umum. f) Melaporkan sebarang aktiviti yang mengancam keselamatan maklumat kepada ICTSO dengan segera; g) Menghadiri program-program kesedaran mengenai keselamatan maklumat; dan h) Mengawal aktiviti penggunaan media sosial seperti di bawah: i. mengelakkan ketirisan maklumat; ii. tidak memberi atau mendedahkan sebarang komen atau pernyataan atau isu yang menyentuh perkara-perkara yang boleh menjejaskan imej dan dasar kerajaan; iii. tidak menyebarkan maklumat yang berbentuk fitnah, hasutan dan lucah atau cuba memprovokasi sesuatu isu yang menyalahiperaturan dan undang-undang atau perkara yang menyentuh sensitiviti individu atau kumpulan tertentu; dan iv. tidak menggunakan saluran media sosial hingga mengganggu fokus dalam urusan kerja. i) Menandatangani Surat Akuan Pematuhan Polisi Keselamatan Siber JLM seperti di Lampiran B. Organisasi Bagi Keselamatan Maklumat A (Organization of Information Security) .6

PPISMS-UTMKE-01 TARIKH KUATKUASA : 17 OGOS 2022 Bidang Tanggungjawab Keanggotaan JKISMS adalah seperti berikut: Pengerusi: Pengarah Bahagian Khidmat Pengurusan Ahli: Urus setia: UTMKE Bidang kuasa: Jawatankuasa Kerja ISMS (JKISMS) 26 b) ICTSO; c) Ketua Seksyen Pengurusan Aplikasi (UTMKE); d) Wakil Bahagian Perdaftaran Kapal, di Ibu pejabat dan 5 Jabatan Laut Wilayah Tengah, Utara, Persekutuan Labuan, Sabah dan Sarawak; a) Pengurus ICT; e) Wakil Institut Latihan Pengangkutan Laut (MATRAIN); dan f) Unit Perolehan, Unit Pengurusan Aset dan Unit Pengurusan Sumber Manusia. a) Merancang dan menyelaras pensijilan ISMS seperti: i. rancang struktur organisasi ISMS; ii. rancang kursus kesedaran ISMS; iii. rancang skop ISMS; iv. melaksanakan analisis jurang; v. merancang jadual perbatuan ISMS; vi. membantu Pelaksana ISMS menyediakan penyataan dasar ISMS, Statement of Applicability (SoA), penilaian risiko,risk treatment plan, kaedah pengukuran kawalan dan prosedur-prosedur ISMS; dan vii. permohonan pensijilan. b) Mengemukakan isu dan masalah ISMS, jika ada; dan c) Membantu mengukur keberkesanan kawalan dan pelaksanaan ISMS. Organisasi Bagi Keselamatan Maklumat A (Organization of Information Security) .6

PPISMS-UTMKE-01 TARIKH KUATKUASA : 17 OGOS 2022 Bidang Tanggungjawab Keanggotaan JPICT adalah seperti berikut: Pengerusi: CIO Ahli: Urus setia: UTMKE Bidang kuasa: Jawatankuasa Pemandu ICT JLM (JPICT) 27 a) Pengarah-Pengarah Bahagian; b) Pengarah-Pengarah Wilayah; c) Ketua Unit Pembangunan; d) Ketua Unit Pengurusan Kewangan dan Akaun Amanah; e) Ketua Unit Perolehan; dan f) Ketua Unit Pengurusan Aset; a) Menetapkan arah tuju dan strategi ICT untuk pelaksanaan ICT JLM; b) Merancang, menyelaras dan memantau pelaksanaan program atau projek ICT JLM; c) Menyelaras dan menyeragamkan pelaksanaan ICT agar selari dengan Pelan Strategik Pendigitalan (PSP) JLM dan PSP Sektor Awam; d) Meluluskan projek-projek ICT; e) Mengikuti dan memantau perkembangan program ICT serta memahami keperluan, masalah dan isu-isu yang dihadapi dalam pelaksanaan ICT; f) Merancang dan menentukan langkah-langkah keselamatan ICT; g) Mengemukakan perolehan ICT yang telah diluluskan di peringkat JPICT JLM kepada Jawatankuasa Teknikal ICT (JTICT) MAMPU untuk kelulusan; h) Mengemukakan laporan kemajuan projek ICT yang diluluskan kepada JTICT MAMPU; dan i) Menetapkan dasar dan prosedur pengurusan portal JLM. Organisasi Bagi Keselamatan Maklumat (Organization of Information Security) Organisasi Bagi Keselamatan Maklumat A (Organization of Information Security) .6

PPISMS-UTMKE-01 TARIKH KUATKUASA : 17 OGOS 2022 Bidang Tanggungjawab Keanggotaan CERT JLM adalah seperti berikut: Pengurus: Penolong Pengarah Kanan, UTMKE (Seksyen Pengurusan Teknologi) – ICTSO; Ahli : Peranan dan tanggungjawab CERT JLM adalah seperti berikut: Pasukan Tindak Balas Insiden Keselamatan ICT JLM (CERT JLM) 28 a) Penolong Pengarah Kanan, UTMKE (Seksyen Pengurusan Sistem Aplikasi); b) Penolong Pengarah, Unit IT, MATRAIN c) Penolong Pengarah, Unit IT, Wilayah Sarawak d) Penolong Pegawai Teknologi Maklumat, Unit IT, Wilayah Sabah e) Penolong Pegawai Teknologi Maklumat, UTMKE (Seksyen Pengurusan Teknologi); f) Penolong Pegawai Teknologi Maklumat, UTMKE (Seksyen Pengurusan Sistem Aplikasi); a) Menerima dan mengesan aduan keselamatan ICT dan menilai tahap dan jenis insiden; b) Merekod dan menjalankan siasatan awal insiden yang diterima; c) Menangani tindak balas (response) insiden keselamatan ICT dan mengambil tindakan baik pulih minimum; d) Menghubungi dan melaporkan insiden yang berlaku kepada Pengurus ICT dan pihak NACSA sama ada sebagai input atau untuk tindakan seterusnya; e) Merujuk Bahagian/ Wilayah di bawah kawalannya untuk mengambil tindakan pemulihan dan pengukuhan; dan f) Melaporkan sebarang maklum balas dan insiden keselamatan ICT kepada JPICT. Organisasi Bagi Keselamatan Maklumat A (Organization of Information Security) .6

PPISMS-UTMKE-01 TARIKH KUATKUASA : 17 OGOS 2022 Bidang Tanggungjawab Keanggotaan JKDRP JLM adalah seperti berikut: Pengerusi: Timbalan Ketua Pengarah (Perancangan) - CIO Ahli : Peranan dan tanggungjawab JKDRP JLM adalah seperti berikut: Jawatankuasa Pelan Pemulihan Bencana (JKDRP) JLM 29 a) Penolong Pengarah Kanan, UTMKE (Seksyen Pengurusan Teknologi) ICTSO b) Penolong Pengarah Kanan, UTMKE (Seksyen Pengurusan Sistem Aplikasi); c) Penolong Pengarah Kanan, UTMKE (Seksyen Pengurusan Teknologi) d) Penolong Pegawai Teknologi Maklumat, UTMKE (Seksyen Pengurusan Teknologi); e) Penolong Pegawai Teknologi Maklumat, UTMKE (Seksyen Pengurusan Sistem Aplikasi); a) Membangunkan Dokumen Pelan Pemulihan Bencana (DRP); b) Menyediakan kemudahan pemulihan bencana atau Pusat Pemulihan Bencana (Disaster Recovery Centre); c) Membuat penilaian ke atas masalah dan jangkaan akibat bencana; d) Memaklumkan pengurusan atasan berkenaan bencana, kemajuan pemulihan bencana dan masalah; e) Mengaktifkan prosedur pemulihan bencana; f) Mengkoordinasi operasi pemulihan; g) Memantau operasi pemulihan dan memastikan jadual pemulihan dipatuhi; h) Mendokumentasikan operasi pemulihan; dan i) Mengkoordinasi simulasi pemulihan bencana. Organisasi Bagi Keselamatan Maklumat A (Organization of Information Security) .6

PPISMS-UTMKE-01 TARIKH KUATKUASA : 17 OGOS 2022 Bidang Tanggungjawab A.6.1.2 Pengasingan Tugas (Segregation of Duties) Tugas dan bidang tanggungjawab yang bercanggah hendaklah diasingkan bagi mengurangkan peluang mengubahsuai tanpa kebenaran atau dengan tidak sengaja mengubah atau menyalahguna aset JLM. Perkara-perkara yang perlu dipatuhi adalah seperti berikut: Pengarah Bahagian/Wilayah 30 a) Skop tugas dan tanggungjawab perlu diasingkan bagi mengurangkan peluang berlaku penyalahgunaan atau pengubahsuaian yang tidak dibenarkan ke atas aset JLM; b) Tugas mewujud, memadam, mengemas kini, mengubah dan mengesahkan data hendaklah diasingkan bagi mengelakkan daripada capaian yang tidak dibenarkan serta melindungi aset JLM daripada kesilapan, kebocoran maklumat terperingkat atau dimanipulasi; c) Perkakasan yang digunakan bagi tugas membangun, mengemas kini, menyenggara dan menguji aplikasi hendaklah diasingkan dari perkakasan yang digunakan sebagai production. Pengasingan juga merangkumi tindakan memisahkan antara kumpulan operasi dan rangkaian; dan d) Pengasingan tugas bagi tugas yang kritikal tidak boleh dilaksanakan oleh seorang pengguna sahaja yang bertindak atas kuasa tunggalnya. Organisasi Bagi Keselamatan Maklumat A (Organization of Information Security) .6

PPISMS-UTMKE-01 TARIKH KUATKUASA : 17 OGOS 2022 Bidang Tanggungjawab A.6.1.3 Hubungan Dengan Pihak Berkuasa (Contact With Authorities) Hubungan yang baik dengan pihak berkuasa berkaitan hendaklah dikekalkan. Perkara-perkara yang perlu dipatuhi adalah seperti berikut: CIO / Pengurus ICT/ CERT JLM A.6.1.4 Hubungan Dengan Kumpulan Berkepentingan Yang Khusus (Contact With Special Interest Groups) Hubungan baik dengan kumpulan berkepentingan yang khusus atau forum pakar keselamatan dan pertubuhan profesional hendaklah dikekalkan. Menganggotai pertubuhan profesional ataupun forum bagi: Warga JLM (Mengikut Bidang Kepakaran) 31 a) Hendaklah mengenal pasti perundangan dan peraturan yang berkaitan dalam melaksanakan peranan dan tanggungjawab JLM; b) Mewujud dan mengemaskini prosedur / senarai pihak berkuasa. perundangan / pihak yang dihubungi semasa kecemasan. Pihak berkuasa perundangan adalah Polis Diraja Malaysia dan Suruhanjaya Komunikasi Dan Multimedia. Pihak yang dihubungi semasa kecemasan adalah termasuk juga pihak utiliti, pembekal perkhidmatan,perkhidmatan kecemasan, pembekal elektrik, keselamatan dan kesihatan dan bomba; dan c) Insiden keselamatan maklumat harus dilaporkan tepat pada masanya bagi mengurangkan impak insiden. a) Meningkatkan ilmu berkaitan amalan terbaik dan sentiasa mengikuti perkembangan terkini mengenai keselamatan maklumat; Organisasi Bagi Keselamatan Maklumat A (Organization of Information Security) .6

PPISMS-UTMKE-01 TARIKH KUATKUASA : 17 OGOS 2022 Bidang Tanggungjawab A.6.1.5 Keselamatan Maklumat Dalam Pengurusan Projek (Information Security in Project Management) Keselamatan maklumat hendaklah ditangani dalam pengurusan projek, tanpa mengambil kira jenis projek. Perkara-perkara yang perlu dipatuhi adalah seperti berikut: Warga JLM (Pengurus Projek) 32 b) Menerima amaran awal dan nasihat berhubung kerentanan dan ancaman keselamatan maklumat terkini; c) Berkongsi dan bertukar maklumat mengenai teknologi, produk, ancaman atau kerentanan; dan d) Berhubung dengan kumpulan pakar keselamatan maklumat apabila berurusan dengan insiden keselamatan maklumat. a) Keselamatan maklumat perlu diintegrasikan bagi setiap pengurusan projek JLM; b) Objektif keselamatan maklumat hendaklah diambil kira dalam pengurusan projek merangkumi semua fasa pelaksanaan metodologi projek; c) Pengurusan risiko ke atas keselamatan maklumat hendaklah dikendalikan di awal projek untuk mengenal pasti kawalan-kawalan yang diperlukan; dan d) Kontrak hendaklah mengandungi semua bidang yang terpakai dalam keperluan keselamatan maklumat seperti yang terkandung dalam PKS JLM. Organisasi Bagi Keselamatan Maklumat A (Organization of Information Security) .6

PPISMS-UTMKE-01 TARIKH KUATKUASA : 17 OGOS 2022 A.6.2 Peranti Mudah Alih dan Telekerja (Mobile Devices and Teleworking) Objektif: Memastikan keselamatan telekerja dan penggunaan peralatan mudah alih. Bidang Tanggungjawab A.6.2.1 Polisi Peranti Mudah Alih (Mobile Device Policy) Peranti mudah alih adalah seperti komputer riba, tablets, Personal Digital Assistances (PDA), telefon bimbit, telefon pintar, kamera digital, cakera padat serta pemacu Universal Serial Bus (USB) atau lain-lain peralatan yang boleh mengumpul, merakam, menyiar dan menyampaikan maklumat dalam apa jua bentuk rekod elektronik. Perkara yang perlu dipatuhi bagi memastikan keselamatan peranti mudah alih terjamin adalah seperti berikut: Pengguna 33 a) Memastikan bahawa kawalan keselamatan yang bersesuaian diambil kira untuk melindungi peranti daripada ancaman keselamatan siber; b) Peralatan mudah alih hendaklah disimpan dan dikunci di tempat yang selamat apabila tidak digunakan; c) Tindakan perlindungan hendaklah diambil bagi menghalang kehilangan peralatan, pendedahan maklumat dan capaian tidak sah serta salah guna kemudahan; dan d) Peranti mudah alih milik persendirian hendaklah dikawal daripada mencapai maklumat Rahsia Rasmi dan hendaklah mematuhi polisi serta prosedur yang ditetapkan untuk dibawa masuk ke kawasan terperingkat. Organisasi Bagi Keselamatan Maklumat A (Organization of Information Security) .6

PPISMS-UTMKE-01 TARIKH KUATKUASA : 17 OGOS 2022 Bidang Tanggungjawab A.6.2.2 Telekerja (Teleworking) Dasar dan langkah-langkah keselamatan sokongan hendaklah dilaksanakan bagi melindungi maklumat yang diakses diproses atau disimpan di lokasi telekerja. Perkara yang perlu dipatuhi bagi memastikan telekerja terjamin adalah seperti berikut: Pentadbir Rangkaian dan Keselamatan ICT/ Pengguna 34 a) Capaian jarak-jauh (working remotely)/ lokasi luar pejabat kepada sistem rangkaian dalaman JLM hendaklah mendapatkan kebenaran terlebih dahulu; dan b) Penghantaran maklumat (SULIT/RAHSIA) yang menggunakan capaian jarak jauh mestilah menggunakan kaedah enkripsi (encryption). i. Lokasi bagi akses ke sistem ICT JLM hendaklah dipastikan selamat; dan ii. Penggunaan perkhidmatan ini hendaklah mendapat kebenaran daripada Pentadbir Rangkaian dan Keselamatan ICT. Organisasi Bagi Keselamatan Maklumat A (Organization of Information Security) .6

BIDANG A.7: Keselamatan Sumber Manusia (Human Resource Security) A.7.2.1 Tanggungjawab Pengurusan (Management Responsibilities) A.7.2.2 Kesedaran, Pendidikan dan Latihan Tentang Kesedaran Maklumat (Information Security Awareness, Education and Training) A.7.2.3 Proses Tatatertib (Disciplinary Process) A.7.1 Sebelum Perkhidmatan (Prior to Employment) A.7.1.1 Saringan (Screening) A.7.1.2 Terma dan Syarat Perkhidmatan (Terms and Conditions of Employment) 35 A.7.2 Dalam Tempoh Perkhidmatan (During Employment) A.7.3.1 Penamatan dan Pertukaran Tanggungjawab Penjawatan (Termination or Change of Employment Responsibilities) A.7.3 Penamatan dan Pertukaran Penjawatan (Termination and Changef of Employment)

PPISMS-UTMKE-01 TARIKH KUATKUASA : 17 OGOS 2022 A.7.1 Sebelum Perkhidmatan (Prior to Employment) Objektif: Memastikan warga JLM, pembekal/perunding dan pihak yang mempunyai urusan dengan perkhidmatan JLM memahami tanggungjawab dan peranan serta meningkatkan pengetahuan dalam keselamatan maklumat. Bidang Tanggungjawab A.7.1.1 Saringan (Screening) Perkara-perkara yang perlu dipatuhi adalah seperti berikut: UPSM/ Pengguna/ Pembekal/ Perunding A.7.1.2 Terma dan Syarat Perkhidmatan (Terms and Conditions of Employment) UPSM/ Warga JLM/ Pembekal/ Perunding 36 a) Menyatakan dengan lengkap dan jelas peranan dan tanggungjawab semua warga JLM dalam menjamin keselamatan maklumat sebelum, semasa dan selepas perkhidmatan; b) Mematuhi terma dan syarat perkhidmatan yang ditawarkan dan peraturan semasa yang berkuat kuasa berdasarkan surat lantikan yang telah ditetapkan; c) Mendapatkan kelulusan tapisan keselamatan selaras dengan keperluan perkhidmatan; dan d) Memastikan pengguna menandatangani Surat Akuan Pematuhan PKS JLM, lulus Tapisan Keselamatan dan Perakuan Akta Rahsia Rasmi 1972. a) Warga JLM hendaklah mematuhi semua terma dan syarat perkhidmatan yang ditawarkan dan peraturan semasa yang berkuatkuasa berdasarkan surat lantikan yang telah ditetapkan. b) Bagi lantikan kontrak hendaklah menandatangani persetujuan semua terma dan syarat perkhidmatan yang ditawarkan dan peraturan semasa yang berkuatkuasa berdasarkan surat lantikan yang telah ditetapkan. Keselamatan Sumber Manusia A (Human Resource Security) .7

PPISMS-UTMKE-01 TARIKH KUATKUASA : 17 OGOS 2022 A.7.2 Dalam Tempoh Perkhidmatan (During Employment) Objektif: Memastikan warga JLM mengetahui dan memenuhi tanggungjawab keselamatan maklumat mereka. Bidang Tanggungjawab A.7.2.1 Tanggungjawab Pengurusan (Management Responsibilities) Ketua Pengarah Laut/Pengarah Bahagian/Wilayah/ UPSM/ UP A.7.2.2 Kesedaran, Pendidikan dan Latihan Tentang Kesedaran Maklumat (Information Security Awareness, Education and Training) Warga JLM, pembekal/perunding dan pihak yang mempunyai urusan dengan perkhidmatan JLM perlu diberikan kesedaran, pendidikan dan latihan sewajarnya mengenai keselamatan maklumat secara berterusan dalam melaksanakan tugas-tugas dan tanggungjawab mereka. Perkara-perkara yang perlu dipatuhi adalah seperti berikut: Pengguna / MATRAIN / Pengurus ICT 37 a) Pengurusan atasan JLM hendaklah memastikan semua warga JLM mengamalkan keselamatan maklumat menurut polisi dan prosedur yang telah ditetapkan serta mewajibkan pihak terlibat dengan Maklumat Rahsia Rasmi, hendaklah menandatangani perjanjian ketakdedahan (non-disclosure) seperti Arahan Keselamatan; dan b) Salinan asal perjanjian/kontrak perkhidmatan dan pembekalan yang ditandatangani hendaklah disimpan dengan selamat dan menjadi rujukan masa depan. a) Memastikan kesedaran, pendidikan dan latihan yang berkaitan PKS JLM, Sistem Pengurusan Keselamatan Maklumat (ISMS) dan latihan teknikal yang berkaitan dengan produk / fungsi / aplikasi / sistem keselamatan secara berterusan dalam melaksanakan tugas-tugas dan tanggungjawab mereka; Keselamatan Sumber Manusia A (Human Resource Security) .7

PPISMS-UTMKE-01 TARIKH KUATKUASA : 17 OGOS 2022 Bidang Tanggungjawab A.7.2.3 Proses Tatatertib (Disciplinary Process) Proses tatatertib yang formal hendaklah diwujudkan dan disampaikan kepada pengguna bagi membolehkan tindakan diambil terhadap mereka yang melakukan pelanggaran keselamatan maklumat. Perkara-perkara yang perlu dipatuhi adalah seperti berikut: UI/ UPSM /Pengguna 38 b) Memastikan kesedaran yang berkaitan PKS JLM perlu diberi kepada pihak ketiga yang berkepentingan dari semasa ke semasa; dan c) Memantapkan pengetahuan berkaitan dengan keselamatan maklumat bagi memastikan setiap kemudahan ICT digunakan dengan cara dan kaedah yang betul demi menjamin kepentingan keselamatan maklumat. a) Memastikan adanya proses tindakan disiplin dan /atau undang-undang ke atas pengguna sekiranya berlaku perlanggaran terhadap perundangan dan peraturan yang ditetapkan oleh JLM; dan b) Pengguna yang melanggar polisi ini akan dikenakan tindakan tatatertib atau digantung daripada mendapat capaian kepada kemudahan ICT JLM. Keselamatan Sumber Manusia A (Human Resource Security) .7

PPISMS-UTMKE-01 TARIKH KUATKUASA : 17 OGOS 2022 A.7.3 Penamatan dan Pertukaran Penjawatan (Termination and Changef of Employment) Objektif: Memastikan pertukaran, tamat perkhidmatan dan perubahan bidang tugas warga JLM, pembekal/perunding dan pihak yang mempunyai urusan dengan perkhidmatan JLM diurus dengan teratur. Bidang Tanggungjawab A.7.3.1 Penamatan dan Pertukaran Tanggungjawab Penjawatan (Termination or Change of Employment Responsibilities) Warga JLM, pembekal/perunding dan pihak yang mempunyai urusan dengan perkhidmatan JLM yang telah tamat perkhidmatan perlu mematuhi perkara-perkara berikut: Warga JLM yang telah bertukar perkhidmatan hendaklah: UPSM/ Pengguna/ Pembekal/ Perunding Pengarah Bahagian/Wilayah/ UPSM/ Pengguna 39 a) Memastikan semua aset ICT milik JLM dikembalikan kepada JLM mengikut peraturan dan/atau terma perkhidmatan yang ditetapkan; b) Membatalkan atau menarik balik semua kebenaran hak capaian ke atas maklumat dan kemudahan proses maklumat mengikut peraturan yang ditetapkan JLM dan/ atau terma perkhidmatan yang ditetapkan mulai tarikh tamat perkhidmatan; dan c) Maklumat rasmi JLM dalam peranti tidak dibenarkan dibawa keluar dari JLM. a) Memastikan semua aset ICT yang berkaitan dengan tugas terdahulu dikembalikan kepada JLM mengikut peraturan dan/atau terma perkhidmatan yang ditetapkan; dan b) Menyedia dan menyerahkan nota serah tugas dan Myportfolio kepada penyelia yang berkaitan. Keselamatan Sumber Manusia A (Human Resource Security) .7

BIDANG A.8: Pengurusan Aset (Asset Management) A.8.2.1 Pengelasan Maklumat (Classification of Information) A.8.2.2 Pelabelan Maklumat (Labelling of Information) A.8.2.3 Pengendalian Aset (Handling of Assets) A.8.1 Tanggungjawab Terhadap Aset (Responsibility for Assets) A.8.1.1 Inventori Aset (Inventory of Assets) A.8.1.2 Pemilikan Aset (Ownership of Assets) A.6.1.3 Hubungan Dengan Pihak Berkuasa (Contact With Authorities) A.8.1.3 Penggunaan Aset Yang Dibenarkan (Acceptable Use of Assets) A.8.1.4 Pemulangan Aset (Return of Assets) 40 A.8.2 Pengelasan Maklumat (Information Classification) A.8.3.1 Pengurusan Media Boleh Alih (Management of Removable Media) A.8.2.2 Pelupusan Media (Disposal of Media) A.8.3.3 Pemindahan Media Fizikal (Physical Media Transfer) A.8.3 Pengendalian Media (Media Handling)

PPISMS-UTMKE-01 TARIKH KUATKUASA : 17 OGOS 2022 A.8.1 Tanggungjawab Terhadap Aset (Responsibility for Assets) Objektif: Mengenal pasti aset organisasi dan mentakrifkan tanggungjawab perlindungan yang sewajarnya.Objektif: Mengenal pasti aset organisasi dan mentakrifkan tanggungjawab perlindungan yang sewajarnya. Bidang Tanggungjawab A.8.1.1 Inventori Aset (Inventory of Assets) Tanggungjawab yang perlu dipatuhi adalah termasuk perkaraperkara berikut: Pegawai Aset/ Pemilik Aset / Pengguna Aset 41 a) Memastikan semua aset ICT JLM diberi kawalan dan perlindungan yang sesuai kepada setiap pemilik aset ICT; b) Memastikan semua aset ICT dikenalpasti, dikelaskan, didokumenkan, diselenggarakan dan dilupuskan; c) Maklumat aset direkodkan dan dikemas kini dalam Sistem Pengurusan Aset (SPA), Kad Daftar Harta Modal dan Aset Alih Bernilai Rendah sebagaimana mengikut Pekeliling Perbendaharaan AM 2 Tahun 2018:Tatacara Pengurusan Aset Alih Kerajaan atau senarai aset yang berkaitan; d) Setiap aset mesti mempunyai pemilik dan dikendalikan oleh pengguna yang dibenarkan sahaja; dan e) Senarai aset perlu diselenggara mengikut jadual atau apabila diperlukan (iaitu apabila aset baharu diperolehi atau perubahan besar dalam inventori aset). Pengurusan Aset A (Asset Management) .8

PPISMS-UTMKE-01 TARIKH KUATKUASA : 17 OGOS 2022 Bidang Tanggungjawab A.8.1.2 Pemilikan Aset (Ownership of Assets) JLM perlu memastikan semua aset mempunyai pemilik dan dikendalikan oleh pengguna yang dibenarkan sahaja. Tanggungjawab yang mesti dipatuhi oleh pemilik adalah seperti berikut: Pemilik Aset / Pengguna Aset A.8.1.3 Penggunaan Aset Yang Dibenarkan (Acceptable Use of Assets) Peraturan penggunaan yang dibenarkan bagi maklumat dan aset yang dikaitkan dengan maklumat dan kemudahan pemprosesan maklumat hendaklah dikenal pasti, didokumenkan dan dilaksanakan. Warga JLM A.8.1.4 Pemulangan Aset (Return of Assets) Semua warga JLM hendaklah memastikan semua jenis aset ICT dikembalikan mengikut peraturan dan terma perkhidmatan yang ditetapkan selepas bersara, bertukar jabatan dan penamatan perkhidmatan atau kontrak. Warga JLM/ Seksyen Pengurusan Teknologi/ Unit IT 42 a) Memastikan aset di bawah tanggungjawabnya telah dimasukkan dalam senarai aset; b) Memastikan aset telah dikelaskan dan dilindungi; c) Memastikan pengendalian aset dilaksanakan dengan baik apabila aset dihapus atau dilupuskan; dan d) Memastikan semua jenis aset dipelihara dengan baik. Pengurusan Aset A (Asset Management) .8

PPISMS-UTMKE-01 TARIKH KUATKUASA : 17 OGOS 2022 A.8.2 Pengelasan Maklumat (Information Classification) Objektif: Memastikan setiap maklumat atau aset ICT diberikan tahap perlindungan yang bersesuaian. Bidang Tanggungjawab A.8.2.1 Pengelasan Maklumat (Classification of Information) Maklumat hendaklah dikelaskan sewajarnya oleh pegawai yang diberi kuasa berdasarkan keperluan undang-undang, nilai, tahap kritikal dan sensitiviti terhadap pendedahan atau pengubahsuaian yang tidak dibenarkan sebagaimana yang ditetapkan di dalam Arahan Keselamatan. Timbalan Ketua Pengarah Perancangan (TKPP) /Pengarah BKP /Pegawai Pengelas /Warga JLM A.8.2.2 Pelabelan Maklumat (Labelling of Information) Prosedur pelabelan peringkat keselamatan pada maklumat hendaklah dipatuhi berdasarkan Arahan Keselamatan. Timbalan Ketua Pengarah Perancangan (TKPP) /Pengarah BKP /Pegawai Pengelas /Warga JLM 43 Pengurusan Aset (Asset Management) Pengurusan Aset A (Asset Management) .8

PPISMS-UTMKE-01 TARIKH KUATKUASA : 17 OGOS 2022 Bidang Tanggungjawab A.8.2.3 Pengendalian Aset (Handling of Assets) Aktiviti pengendalian maklumat seperti mengumpul, memproses, menyimpan, membuat salinan, menghantar, menyampai, menukar dan memusnah hendaklah mengambil kira langkah-langkahkeselamatan berikut: Warga JLM 44 a) Menghalang pendedahan maklumat kepada pihak yang tidak dibenarkan; b) Memeriksa dan menentukan maklumat adalah tepat dan lengkap dari semasa ke semasa; c) Menentukan maklumat sedia untuk digunakan; d) Menjaga kerahsiaan kata laluan; e) Mematuhi standard, prosedur, langkah dan garis panduan keselamatan yang ditetapkan; f) Memberi perhatian kepada maklumat terperingkat terutama semasa pewujudan, pemprosesan, penyimpanan, membuat salinan, penghantaran, penyampaian, pertukaran dan pemusnahan; dan g) Menjaga kerahsiaan langkah-langkah keselamatan maklumat dari diketahui umum. Pengurusan Aset A (Asset Management) .8

PPISMS-UTMKE-01 TARIKH KUATKUASA : 17 OGOS 2022 A.8.3 Pengendalian Media (Media Handling) Objektif: Mencegah pendedahan, pengubahsuaian, penyingkiran atau pemusnahan tanpa kebenaran terhadap maklumat yang disimpan dalam media. Bidang Tanggungjawab A.8.3.1 Pengurusan Media Boleh Alih (Management of Removable Media) Prosedur pengurusan media boleh alih hendaklah dilaksanakan mengikut skim pengelasan maklumat yang diterima pakai oleh JLM. Prosedur pengendalian media yang perlu dipatuhi adalah seperti berikut: Pemilik Aset / Pengguna 45 a) Memastikan media disimpan dalam persekitaran yang selamat dan terjamin; b) Melabelkan semua media mengikut tahap sensitiviti sesuatu maklumat; c) Mengehadkan dan menentukan capaian media kepada pengguna yang dibenarkan sahaja; d) Mengehadkan pengedaran data atau media untuk tujuan yang dibenarkan sahaja; e) Mengawal dan merekod aktiviti penyelenggaraan media bagi mengelak dari sebarang kerosakan dan pendedahan yang tidak dibenarkan. Pengurusan Aset A (Asset Management) .8

PPISMS-UTMKE-01 TARIKH KUATKUASA : 17 OGOS 2022 Bidang Tanggungjawab A.8.3.2 Pelupusan Media (Disposal of Media) Media hendaklah dilupuskan dengan selamat melalui prosedur formal apabila tidak diperlukan lagi. Prosedur pelupusan media adalah seperti berikut: Pegawai yang dilantik A.8.3.3 Pemindahan Media Fizikal (Physical Media Transfer) Media yang mengandungi maklumat hendaklah dilindungi daripada akses tanpa kebenaran, penyalahgunaan atau kerosakan semasa proses pemindahan. Pengguna 46 a) Pelupusan media perlu mendapat kelulusan dan mengikut kaedah pelupusan aset ICT yang ditetapkan oleh Kerajaan; b) Media yang mengandungi maklumat terperingkat hendaklah disanitasikan terlebih dahulu sebelum dihapuskan atau dimusnahkan mengikut prosedur yang berkuat kuasa. Pengurusan Aset A (Asset Management) .8

BIDANG A.9: Kawalan Akses (Access Control) A.9.2.1 Pendaftaran dan Pembatalan Pengguna (User Registration and De-Registration) A.9.2.2 Peruntukan Akses Pengguna (User Access Provisioning) A.9.2.3 Pengurusan Hak Akses Istimewa (Management of Privileged Access Rights) A.9.2.4 Pengurusan Maklumat Pengesahan Rahsia Pengguna (Management of Secret Authentication Information of Users) A.9.2.5 Kajian Semula Hak Akses Pengguna (Review of User Access Rights) A.9.2.6 Pembatalan atau Pelarasan Hak Akses (Removal or Adjustment of Access Rights) A.9.1 Kawalan Akses Bagi Keperluan Organisasi (Bussiness Requirements of Access Control) A.9.1.1 Polisi Kawalan Akses (Access Control Policy) A.9.1.2 Akses Kepada Rangkaian dan Perkhidmatan Rangkaian (Access to Networks and Network Services) 47 A.9.2 Pengurusan Akses Pengguna (User Access Management) A.9.3.1 Penggunaan Maklumat Pengesahan Rahsia (Use of Secret Authentication Information) A.9.3 Tanggungjawab Pengguna (User Responsibilities) A.9.4.1 Sekatan Akses Maklumat (Information Access Restriction) A.9.4.2 Prosedur Log Masuk yang Selamat (Secure Log-On Procedure) A.9.4.3 Sistem Pengurusan Kata Laluan (Password Management System) A.9.4.4 Penggunaan Program Utiliti Yang Mempunyai Hak Istimewa (Use of Privileged Utility Programs) A.9.4.5 Kawalan Akses Kepada Kod Sumber Program (Access Control to Program Source Code) A.9.4 Kawalan Akses Sistem dan Aplikasi (System and Application Access Control)

PPISMS-UTMKE-01 TARIKH KUATKUASA : 17 OGOS 2022 A.9.1 Kawalan Akses Bagi Keperluan Organisasi (Bussiness Requirements of Access Control) Objektif: Mengehadkan akses kepada maklumat dan kemudahan pemprosesan maklumat. Bidang Tanggungjawab A.9.1.1 Polisi Kawalan Akses (Access Control Policy) Capaian kepada proses dan maklumat hendaklah dikawal mengikut keperluan keselamatan dan fungsi kerja pengguna yang berbeza. Ia perlu direkodkan, dikemas kini dan menyokong dasar kawalan capaian pengguna sedia ada. Perkara yang mesti dipatuhi termasuk yang berikut: Pentadbir Sistem ICT 48 a) Kawalan capaian ke atas aset ICT mengikut keperluan keselamatan dan peranan pengguna; b) Hak akses dan dasar klasifikasi maklumat sistem dan rangkaian; c) Undang-undang dan peraturan berkaitan yang berkuat kuasa; d) Pengasingan peranan kawalan capaian; e) Kebenaran rasmi permohonan capaian; f) Keperluan semakan hak capaian secara berkala; g) Pembatalan hak capaian; dan h) Capaian privilege. Kawalan Akses A (Access control) .9