PKS JLM FINAL

BIDANG A.15: Hubungan Pihak Ketiga (Supplier Relationship) A.15.1 Keselamatan Maklumat Dalam Hubungan Pembekal (Information Security in Supplier Relationships) A.15.1.1 Polisi Keselamatan Maklumat Untuk Hubungan Pihak Ketiga (Information Security Policy for Supplier Relationships) A.15.1.2 Menangani Keselamatan Dalam Perjanjian Pihak Ketiga (Addressing Security Within Supplier Agreements) A.15.1.3 Rantaian Bekalan Teknologi Maklumat dan Komunikasi (Information and Communication Technology Supply Chain) 99 A.15.2 Pengurusan Penyampaian Perkhidmatan Pihak Ketiga (Supplier Service Delivery Management) A.15.2.1 Memantau Dan Mengkaji Semula Perkhidmatan Pihak Ketiga (Monitoring and Review Supplier Services) A.15.2.2 Menguruskan Perubahan Kepada Perkhidmatan Pihak Ketiga (Managing Changes to Supplier Services)

PPISMS-UTMKE-01 TARIKH KUATKUASA : 17 OGOS 2022 A.15.1 Keselamatan Maklumat Dalam Hubungan Pembekal (Information Security in Supplier Relationships) Objektif: Memastikan aset ICT JLM yang boleh dicapai oleh pembekal dilindungi. Bidang Tanggungjawab A.15.1.1 Polisi Keselamatan Maklumat Untuk Hubungan Pihak Ketiga (Information Security Policy for Supplier Relationships) Keperluan keselamatan maklumat hendaklah dipersetujui dan didokumentasikan dengan pihak ketiga bagi mengurangkan risiko kepada aset JLM. Perkara yang perlu dipertimbangkan adalah seperti yang berikut: Pengarah Bahagian/Wilayah /Pengurus ICT /Pihak ketiga 100 A.15 Hubungan Pihak Ketiga (Supplier Relationship) a) Mengenal pasti dan mendokumentasi jenis pihak ketiga mengikut kategori; b) Mengawal dan memantau akses pihak ketiga; c) Keperluan minimum keselamatan maklumat bagi setiap pihak ketiga dinyatakan dalam perjanjian; d) Jenis-jenis obligasi kepada pihak ketiga; e) Pelan kontigensi (contingency plan) bagi memastikan ketersediaan kemudahan pemprosesan maklumat; f) Melaksanakan program kesedaran terhadap Polisi Keselamatan Siber JLM kepada pihak ketiga; dan g) Menandatangani Surat Akuan Pematuhan Polisi Keselamatan Siber JLM (Lampiran B).

PPISMS-UTMKE-01 TARIKH KUATKUASA : 17 OGOS 2022 Bidang Tanggungjawab A.15.1.2 Menangani Keselamatan Dalam Perjanjian Pihak Ketiga (Addressing Security Within Supplier Agreements) Pihak Ketiga A.15.1.3 Rantaian Bekalan Teknologi Maklumat dan Komunikasi (Information and Communication Technology Supply Chain) Perjanjian dengan pihak ketiga hendaklah mengandungi keperluan untuk mengendalikan risiko keselamatan maklumat yang dikaitkan dengan perkhidmatan teknologi maklumat dan komunikasi serta rantaian bekalan produk. Pengarah Bahagian /Pihak Ketiga 101 a) Semua keperluan keselamatan maklumat yang berkaitan hendaklah disediakan dan dipersetujui dengan pihak ketiga yang boleh mengakses, memproses, menyimpan, menyampaikan, atau menyediakan komponen infrastruktur ICT untuk maklumat organisasi; A.15 Hubungan Pihak Ketiga (Supplier Relationship) b) Syarikat pihak ketiga hendaklah memastikan semua personel mereka mematuhi dan mengambil semua tindakan kawalan keselamatan yang perlu pada setiap masa dalam menjalankan perkhidmatan kepada pihak JLM selaras dengan peraturan dan kawalan keselamatan yang berkuat kuasa; dan c) Sekiranya syarikat pihak ketiga gagal untuk mematuhi peraturan kawalan keselamatan tersebut, pihak Kerajaan mempunyai kuasa untuk menghalang syarikat daripada melaksanakan perkhidmatan tersebut.

PPISMS-UTMKE-01 TARIKH KUATKUASA : 17 OGOS 2022 A.15.2 Pengurusan Penyampaian Perkhidmatan Pihak Ketiga (Supplier Service Delivery Management) Objektif: Untuk mengekalkan tahap keselamatan maklumat dan penyampaian perkhidmatan yang dipersetujui selaras dengan perjanjian pihak ketiga. Bidang Tanggungjawab A.15.2.1 Memantau Dan Mengkaji Semula Perkhidmatan Pihak Ketiga (Monitoring and Review Supplier Services) JLM hendaklah sentiasa memantau, mengkaji semula dan mengaudit perkhidmatan pihak ketiga secara berkala. Perkaraperkara yang perlu diambil kira adalah seperti yang berikut: Pengarah Bahagian/Wilayah, Pengurus ICT/ Pentadbir Sistem ICT/ Pihak ketiga 102 A.15 Hubungan Pihak Ketiga (Supplier Relationship) a) Memantau tahap prestasi perkhidmatan untuk mengesahkan pihak ketiga mematuhi perjanjian perkhidmatan; b) Mengkaji semula laporan perkhidmatan yang dihasilkan oleh pihak ketiga dan mengemukakan status kemajuan; dan c) Memaklumkan mengenai insiden keselamatan kepada pihak ketiga/ pemilik projek dan mengkaji maklumat ini seperti yang dikehendaki dalam perjanjian.

PPISMS-UTMKE-01 TARIKH KUATKUASA : 17 OGOS 2022 Bidang Tanggungjawab A.15.2.2 Menguruskan Perubahan Kepada Perkhidmatan Pihak Ketiga (Managing Changes to Supplier Services) Perubahan kepada peruntukan perkhidmatan oleh pembekal, termasuk mempertahankan dan menambah baik dasar keselamatan maklumat sedia ada, prosedur dan kawalan, hendaklah diuruskan, dengan mengambil kira kepentingan maklumat, sistem dan proses perkhidmatan yang terlibat dan penilaian semula risiko. Perkara yang perlu diambil kira adalah seperti berikut; Pengarah Bahagian/Wilayah/ Pemilik Sistem/ Pengurus ICT/ Pihak ketiga 103 A.15 Hubungan Pihak Ketiga (Supplier Relationship) a) Perubahan dalam perjanjian dengan pihak ketiga; b) Perubahan yang dilakukan oleh JLM bagi meningkatkan perkhidmatan selaras dengan penambahbaikan sistem, pengubahsuaian dasar dan prosedur; dan c) Perubahan dalam perkhidmatan pihak ketiga selaras dengan perubahan rangkaian, teknologi baru, produkproduk baru, perkakasan baru, perubahan lokasi, pertukaran pembekal dan sub-kontraktor.

BIDANG A.16: Pengurusan Insiden Keselamatan Maklumat (Information Security Incident Management) A.16.1 Pengurusan Insiden Keselamatan Maklumat dan Penambahbaikan (Management of Information Security Incidents and Improvements) A.16.1.1 Tanggungjawab dan Prosedur (Responsibilities and Procedures) A.16.1.2 Pelaporan Kejadian Keselamatan Maklumat (Reporting Information Security Events) A.16.1.3 Pelaporan Kelemahan Keselamatan Maklumat (Reporting Security Weaknesses) A.16.1.4 Penilaian dan Keputusan Mengenai Kejadian Keselamatan Maklumat (Assessment of and Decision on Information Security Events) A.16.1.5 Tindak Balas Terhadap Insiden Keselamatan Maklumat (Response to Information Security Incidents) A.16.1.6 Pembelajaran Daripada Insiden Keselamatan Maklumat (Learning from Information Security Incidents) A.16.1.7 Pengumpulan Bahan Bukti (Collection of Evidence) 104

PPISMS-UTMKE-01 TARIKH KUATKUASA : 17 OGOS 2022 A.16.1 Pengurusan Insiden Keselamatan Maklumat dan Penambahbaikan (Management of Information Security Incidents and Improvements) Objektif: Memastikan pendekatan yang konsisten dan berkesan dalam pengurusan insiden keselamatan maklumat, termasuk komunikasi tentang kejadian dan kerentanan kelemahan keselamatan. Bidang Tanggungjawab A.16.1.1 Tanggungjawab dan Prosedur (Responsibilities and Procedures) Tanggungjawab dan prosedur pengurusan hendaklah diwujudkan untuk memastikan maklum balas yang cepat, berkesan dan teratur terhadap insiden keselamatan maklumat. Perkara yang perlu dipatuhi adalah seperti berikut: Pengarah Bahagian/Wilayah /Pengurus ICT /CERT JLM /Pengguna A.16.1.2 Pelaporan Kejadian Keselamatan Maklumat (Reporting Information Security Events) Pengguna / CERT JLM 105 A.16 Pengurusan Insiden Keselamatan Maklumat (Information Security Incident Management) a) Memberi kesedaran berkaitan Prosedur Pengurusan Insiden Keselamatan ICT JLM dan hebahan kepada warga JLM sekiranya ada perubahan; dan b) Memastikan personel yang menguruskan insiden mempunyai tahap kompetensi yang diperlukan. a) Insiden keselamatan maklumat hendaklah dilaporkan melalui saluran pengurusan yang betul secepat yang mungkin; dan b) Insiden keselamatan siber atau ancaman yang berlaku hendaklah dilaporkan kepada CERT JLM. CERT JLM kemudiannya perlu melaporkan kepada ICTSO dengan kadar segera.

PPISMS-UTMKE-01 TARIKH KUATKUASA : 17 OGOS 2022 Bidang Tanggungjawab A.16.1.3 Pelaporan Kelemahan Keselamatan Maklumat (Reporting Security Weaknesses) Warga JLM dan pihak ketiga yang menggunakan sistem dan perkhidmatan maklumat JLM dikehendaki mengambil maklum dan melaporkan sebarang kelemahan keselamatan maklumat ICT. Warga JLM / Pihak Ketiga A.16.1.4 Penilaian dan Keputusan Mengenai Kejadian Keselamatan Maklumat (Assessment of and Decision on Information Security Events) Insiden keselamatan maklumat hendaklah dinilai dan ditentukan jika ia perlu dikelaskan sebagai insiden keselamatan maklumat. Pengurus ICT/ CERT JLM A.16.1.5 Tindak Balas Terhadap Insiden Keselamatan Maklumat (Response to Information Security Incidents) Pengurus ICT/ CERT JLM 106 A.16 Pengurusan Insiden Keselamatan Maklumat (Information Security Incident Management) a) Insiden keselamatan maklumat hendaklah ditangani menurut prosedur yang didokumenkan; b) Tindak balas terhadap insiden keselamatan maklumat adalah berdasarkan Prosedur Pengurusan Insiden Keselamatan ICT JLM; c) Kawalan-kawalan yang perlu diambil kira dalam pengumpulan maklumat dan pengurusan pengendalian insiden adalah seperti yang berikut: i. Mengumpul bukti secepat mungkin selepas insiden keselamatan berlaku; ii. Menjalankan kajian forensik sekiranya perlu; iii. Menghubungi pihak yang berkenaan dengan secepat mungkin;

PPISMS-UTMKE-01 TARIKH KUATKUASA : 17 OGOS 2022 Bidang Tanggungjawab A.16.1.6 Pembelajaran Daripada Insiden Keselamatan Maklumat (Learning from Information Security Incidents) Pengurus ICT/ CERT JLM A.16.1.7 Pengumpulan Bahan Bukti (Collection of Evidence) JLM hendaklah menentukan prosedur untuk pengumpulan, pemerolehan dan pemeliharaan maklumat yang boleh dijadikan sebagai bahan bukti dengan merujuk kepada arahan semasa yang berkaitan. Pengurus ICT/ CERT JLM 107 A.16 Pengurusan Insiden Keselamatan Maklumat (Information Security Incident Management) a) Pengetahuan yang diperolehi daripada penganalisisan dan penyelesaian kejadian keselamatan maklumat hendaklah digunakan bagi mengurangkan kemungkinan berlakunya kejadian pada masa depan atau kesannya; dan b) Setiap insiden keselamatan maklumat perlu direkodkan dan penilaian ke atas insiden keselamatan maklumat perlu dilaksanakan untuk memastikan kawalan yang diambil adalah mencukupi atau perlu ditambah. iv. Menyimpan jejak audit, sandaran secara berkala dan melindungi integriti semua bahan bukti; v. Menyalin bahan bukti dan merekodkan semua maklumat aktiviti penyalinan; vi. Menyediakan pelan kontigensi dan mengaktifkan pelan kesinambungan perkhidmatan sekiranya perlu; vii. Menyediakan tindakan pemulihan segera; dan viii. Memaklum atau mendapatkan nasihat pihak berkuasa berkaitan sekiranya perlu.

A.17.2.1 Ketersediaan Kemudahan Pemprosesan Maklumat (Availability of Information Process Facilities) BIDANG A.17: Aspek Keselamatan Maklumat Bagi Pengurusan Kesinambungan Perkhidmatan (Information Security Aspects of Business Continuity Management) A.17.1 Kesinambungan Keselamatan Maklumat (Information Security Continuity) A.17.1.1 Perancangan Kesinambungan Keselamatan Maklumat (Planning Information Security Continuity) A.17.1.2 Pelaksanaan Kesinambungan Keselamatan Maklumat (Implementing Information Security Continuity) A.17.1.3 Menentusahkan, Mengkaji Semula dan Menilai Kesinambungan Keselamatan Maklumat (Verify, Review and Evaluate Information Security Continuity) 108 A.17.2 Memastikan Ketersediaan (Redundancy)

PPISMS-UTMKE-01 TARIKH KUATKUASA : 17 OGOS 2022 A.17.1 Kesinambungan Keselamatan Maklumat (Information Security Continuity) Objektif: Kesinambungan keselamatan maklumat hendaklah diterapkan dalam sistem pengurusan kesinambungan perkhidmatan JLM. Bidang Tanggungjawab A.17.1.1 Perancangan Kesinambungan Keselamatan Maklumat (Planning Information Security Continuity) Koordinator PKP / Pasukan Tindak balas Kecemasan / Pasukan Komunikasi Krisis / Pasukan Pemulihan Bencana ICT A.17.1.2 Pelaksanaan Kesinambungan Keselamatan Maklumat (Implementing Information Security Continuity) JLM hendaklah mewujud, mendokumentasi, melaksana dan mengekalkan proses, prosedur serta kawalan untuk memastikan tahap keselamatan maklumat bagi kesinambungan perkhidmatan dalam situasi yang terancam. Perkara yang perlu dipertimbangkan adalah seperti yang berikut: Koordinator PKP / Pasukan Tindak balas Kecemasan / Pasukan Komunikasi Krisis / Pasukan Pemulihan Bencana ICT 109 A.17 Aspek Keselamatan Maklumat Bagi Pengurusan Kesinambungan Perkhidmatan (Information Security Aspects of Business Continuity Management) a) JLM hendaklah menentukan keperluan untuk keselamatan maklumat dan kesinambungan pengurusan keselamatan maklumat dalam situasi kecemasan, contohnya, semasa krisis atau bencana; dan b) Dalam merancang kesinambungan keselamatan maklumat, JLM perlu mengambil kira isu-isu dalaman dan luaran yang berkaitan yang boleh memberikan kesan ke atas sistem penyampaian perkhidmatan dan fungsi JLM. a) Melaksanakan Pelan Kesinambungan Perkhidmatan (PKP) apabila terdapat gangguan terhadap perkhidmatan kritikal JLM yang telah dikenal pasti;

PPISMS-UTMKE-01 TARIKH KUATKUASA : 17 OGOS 2022 Bidang Tanggungjawab A.17.1.3 Menentusahkan, Mengkaji Semula dan Menilai Kesinambungan Keselamatan Maklumat (Verify, Review and Evaluate Information Security Continuity) JLM hendaklah mengesahkan kawalan kesinambungan keselamatan maklumat yang diwujudkan dan dilaksanakan pada sela masa tetap bagi memastikannya sah dan berkesan semasa situasi kecemasan. Koordinator PKP / Pasukan Tindak balas Kecemasan / Pasukan Komunikasi Krisis / Pasukan Pemulihan Bencana ICT / Warga JLM 110 A.17 Aspek Keselamatan Maklumat Bagi Pengurusan Kesinambungan Perkhidmatan (Information Security Aspects of Business Continuity Management) b) Melaksanakan post-mortem dan mengemaskini dokumen PKP; c) Mengemas kini dokumen PKP jika berlaku perubahan kepada fungsi kritikal JLM; d) Mengemas kini struktur tadbir urus PKP JLM jika berlaku pertukaran pegawai bersara dan bertukar keluar; dan e) Memastikan pasukan PKP mempunyai kompetensi yang bersesuaian dengan peranan dan tanggungjawab dalam melaksana PKP.

PPISMS-UTMKE-01 TARIKH KUATKUASA : 17 OGOS 2022 A.17.2 Memastikan Ketersediaan (Redundancy) Objektif: Untuk memastikan ketersediaan kemudahan pemprosesan maklumat Bidang Tanggungjawab A.17.2.1 Ketersediaan Kemudahan Pemprosesan Maklumat (Availability of Information Process Facilities) Kemudahan pemprosesan maklumat JLM perlu mempunyai redundancy yang mencukupi untuk memenuhi keperluan ketersediaan. Kemudahan redundancy perlu diuji (failover test) keberkesanannya dari masa ke semasa. Pentadbir Pusat Data / Pentadbir Sistem ICT/ Pihak ketiga 111 A.17 Aspek Keselamatan Maklumat Bagi Pengurusan Kesinambungan Perkhidmatan (Information Security Aspects of Business Continuity Management)

BIDANG A.18: Pematuhan (Compliance) A.18.2.1 Kajian Semula Keselamatan Maklumat Secara Berkecuali (Independent Review of Information Security) A.18.2.2 Pematuhan Polisi dan Standard Keselamatan (Compliance with Security Policies and Standards) A.18.2.3 Kajian Semula Pematuhan Teknikal (Technical Compliance Review) A.18.1 Pematuhan Terhadap Keperluan Perundangan dan Kontrak (Compliance with Legal and Contractual Requirements) A.18.1.1 Pengenalpastian Keperluan Undang-Undang dan Kontrak Yang Terpakai (Identification of Applicable Legislation and Contractual Agreement) A.18.1.2 Hak Harta Intelek (Intellectual Property Rights) A.18.1.3 Perlindungan Rekod (Protection of Records) A.18.1.4 Privasi dan Perlindungan Maklumat Peribadi (Privacy and Protection of Personally Identifiable Information) A.18.1.5 Peraturan Kawalan Kriptografi (Regulation of Cryptographic Controls) 112 A.18.2. Kajian Semula Keselamatan Maklumat (Information Security Reviews)

PPISMS-UTMKE-01 TARIKH KUATKUASA : 17 OGOS 2022 A.18.1 Pematuhan Terhadap Keperluan Perundangan dan Kontrak (Compliance with Legal and Contractual Requirements) Objektif: Meningkat dan memantapkan tahap keselamatan siber bagi mengelak dari pelanggaran mana-mana undang-undang, kewajipan berkanun, peraturan atau kontrak yang berkaitan dengan keselamatan maklumat. Bidang Tanggungjawab A.18.1.1 Pengenalpastian Keperluan Undang-Undang dan Kontrak Yang Terpakai (Identification of Applicable Legislation and Contractual Agreement) Pengguna A.18.1.2 Hak Harta Intelek (Intellectual Property Rights) Memastikan kepatuhan terhadap keperluan perundangan, peraturan dan perjanjian kontrak yang berkaitan hak harta intelektual. Melaksanakan kawalan terhadap keperluan perlesenan supaya menggunakan perisian yang mempunyai lesen yang sah dan mematuhi had pengguna yang telah ditetapkan atau dibenarkan. Pengguna 113 A.18 Pematuhan (Compliance) a) Keperluan perundangan, peraturan dan perjanjian kontrak hendaklah dikenal pasti dan dipatuhi oleh warga JLM, pembekal, pakar runding dan pihak yang mempunyai urusan dengan perkhidmatan ICT JLM; dan b) Pengguna hendaklah mematuhi semua keperluan perundangan atau peraturan-peraturan lain berkaitan seperti LAMPIRAN A.

PPISMS-UTMKE-01 TARIKH KUATKUASA : 17 OGOS 2022 Bidang Tanggungjawab A.18.1.3 Perlindungan Rekod (Protection of Records) Rekod hendaklah dilindungi daripada kehilangan, kemusnahan,pemalsuan dan capaian ke atas orang yang tidak berkenaan seperti yang terkandung di dalam keperluan perundangan, peraturan dan perjanjian kontrak. Pengguna A.18.1.4 Privasi dan Perlindungan Maklumat Peribadi (Privacy And Protection of Personally Identifiable Information) JLM hendaklah memberi jaminan dalam melindungi maklumat peribadi pengguna seperti tertakluk di dalam undang-undang dan peraturan-peraturan Kerajaan Malaysia. Pengguna A.18.1.5 Peraturan Kawalan Kriptografi (Regulation of Cryptographic Controls) Kawalan kriptografi hendaklah dilaksanakan mengikut perundangan, peraturan dan perjanjian kontrak. Pengguna 114 A.18 Pematuhan (Compliance)

PPISMS-UTMKE-01 TARIKH KUATKUASA : 17 OGOS 2022 A.18.2. Kajian Semula Keselamatan Maklumat (Information Security Reviews) Objektif: Untuk memastikan keselamatan maklumat dilaksanakan mengikut polisi dan prosedur JLM. Bidang Tanggungjawab A.18.2.1 Kajian Semula Keselamatan Maklumat Secara Berkecuali (Independent Review of Information Security) Penilaian keselamatan maklumat oleh pihak ketiga hendaklahdilaksanakan seperti yang telah dirancang atau apabila terdapat perubahan ketara terhadap sistem dan infrastruktur. Pasukan Audit Dalam/ Audit Luar A.18.2.2 Pematuhan Polisi dan Standard Keselamatan (Compliance with Security Policies and Standards) Memastikan kepatuhan terhadap keperluan perundangan, peraturan dan perjanjian kontrak yang berkaitan hak harta intelektual. Melaksanakan kawalan terhadap keperluan perlesenan supaya menggunakan perisian yang mempunyai lesen yang sah dan mematuhi had pengguna yang telah ditetapkan atau dibenarkan. Ketua Pengarah Laut/ CIO /Pengarah Bahagian/Wilayah /Pentadbir Sistem ICT A.18.2.3 Kajian Semula Pematuhan Teknikal (Technical Compliance Review) JLM hendaklah membuat kajian semula secara berkala terhadap pematuhan pemprosesan maklumat dan prosedur selaras dengan pematuhan dasar dan standard keselamatan maklumat organisasi. CIO/Pengurus ICT /Pentadbir Sistem ICT 115 A.18 Pematuhan (Compliance)

PPISMS-UTMKE-01 TARIKH KUATKUASA : 17 OGOS 2022 116 11 SURAT AKUAN PEMATUHAN POLISI KESELAMATAN SIBER JLM LAMPIRAN A

PPISMS-UTMKE-01 TARIKH KUATKUASA : 17 OGOS 2022 BIL. SENARAI PERUNDANGAN DAN PERATURAN 1. Arahan Keselamatan (Semakan dan Pindaan 2017) 2. Akta Rahsia Rasmi 1972; 3. Akta 629 – Akta Arkib Negara 2003; 4. Arahan Perbendaharaan; 5. Arahan Teknologi Maklumat 2007; 6. Akta Tandatangan Digital 1997; 7. Akta Hak Cipta (Pindaan) Tahun 1997; 8. Akta Jenayah Komputer 1997; 9. Akta Komunikasi dan Multimedia 1998; 10. Arahan Ketua Pengarah Laut Bilangan 2 Tahun 2020 - Panduan Dan Tatacara Pengurusan Dokumen Rahsia Rasmi Kerajaan Dan Kawalan Rahsia Rasmi Dalam Persekitaran Teknologi Maklumat Dan Komunikasi (ICT) Serta Kawalan Rahsia Rasmi Dalam Mesyuarat Kerajaan 11. Surat Akujanji; 12. MyPortfolio; 13. Perintah-Perintah Am; 14. Pelan Kesinambungan Perkhidmatan; 117 12 SENARAI UNDANG-UNDANG, DASAR DAN PERATURAN YANG BERKUAT KUASA LAMPIRAN B

PPISMS-UTMKE-01 TARIKH KUATKUASA : 17 OGOS 2022 BIL. SENARAI PERUNDANGAN DAN PERATURAN 15. Garis Panduan Penerapan Etika Penggunaan Media Sosial Dalam Sektor Awam (MAMPU); 16. Guideline to Determine Information Security Professionals Requirement for the CNII Agencies / Organizations; 17. Rangka Kerja Keselamatan Siber Sektor Awam (RAKKSSA) April 2016, versi 1.0; 18. Malaysian Public Sector Management of Information and Communications Technology Security Handbook (MyMIS) 2002; 19. Surat Arahan Ketua Pengarah MAMPU, Garis Panduan Pelaksanaan Pengurusan Sistem Keselamatan Maklumat yang bertarikh 24 November 2010; 20. Surat Pemakluman Kaedah Pelaksanaan Penilaian Risiko Keselamatan Maklumat Sektor Awam bertarikh 6 April 2022; 21. Pekeliling Am Bilangan 3 Tahun 2000 - Rangka Dasar Keselamatan Teknologi Maklumat dan Komunikasi Kerajaan; 22. Pekeliling Am Bilangan 1 Tahun 2001 - Mekanisme Pelaporan Insiden Keselamatan Teknologi Maklumat dan Komunikasi (ICT); 23. Pekeliling Kemajuan Pentadbiran Awam Bilangan 1 Tahun 2003 - Garis Panduan Mengenai Tatacara Penggunaan Internet dan Mel Elektronik di Agensi-Agensi Kerajaan; 24. Pekeliling Perbendaharaan 5 Tahun 2207 bertajuk “Tatacara Pengurusan Aset Alih Kerajaan (TPA)”; 25. Surat Pekeliling Am Bilangan 4 Tahun 2006 - Pengurusan Pengendalian Insiden Keselamatan Teknologi Maklumat dan Komunikasi (ICT) Sektor Awam; 118 12 SENARAI UNDANG-UNDANG, DASAR DAN PERATURAN YANG BERKUAT KUASA LAMPIRAN B

PPISMS-UTMKE-01 TARIKH KUATKUASA : 17 OGOS 2022 BIL. SENARAI PERUNDANGAN DAN PERATURAN 26. Surat Pekeliling Am Bilangan 3 Tahun 2015 bertajuk “Garis Panduan Permohonan Kelulusan Teknikal Dan Pemantauan Projek ICT Agensi Sektor Awam”; 27. Surat Arahan MAMPU.702-1/1/7 Jld. 3 (48) bertarikh 23 Mac 2009 bertajuk “Pengaktifan Fail Log Server Bagi Tujuan Pengurusan Pengendalian Insiden Keselamatan ICT di Agensi-agensi Kerajaan”; 28. Surat Arahan Ketua Setiausaha Negara - Langkah-Langkah Untuk Memperkukuhkan Keselamatan Rangkaian Setempat Tanpa Wayar (Wireless Local Area Network) di Agensi-Agensi Kerajaan yang bertarikh 20 Oktober 2006; 29. Surat Arahan Ketua Pengarah MAMPU - Langkah-Langkah Mengenai Penggunaan Mel Elektronik di Agensi-Agensi Kerajaan yang bertarikh 1 Jun 2007; 30. Surat Arahan Ketua Pengarah MAMPU - Langkah-Langkah Pemantapan Pelaksanaan Sistem Mel Elektronik Di Agensi-Agensi Kerajaan yang bertarikh 23 November 2007; 31. Surat Arahan Ketua Pengarah MAMPU – Pengurusan Kesinambungan Perkhidmatan Agensi Sektor Awam yang bertarikh 22 Januari 2010; dan 32. Surat Pekeliling Am Bil. 2 Tahun 2000 - Peranan Jawatankuasa-jawatankuasa di Bawah Jawatankuasa IT dan Internet Kerajaan (JITIK); 33. Surat Pekeliling Perbendaharaan Bil.2/1995 (Tambahan Pertama) – Tatacara Penyediaan, Penilaian dan Penerimaan Tender; 34. Surat Pekeliling Perbendaharaan Bil. 3/1995 - Peraturan Perolehan Perkhidmatan Perundingan 119 12 SENARAI UNDANG-UNDANG, DASAR DAN PERATURAN YANG BERKUAT KUASA LAMPIRAN B

PPISMS-UTMKE-01 TARIKH KUATKUASA : 17 OGOS 2022 BIL. SENARAI PERUNDANGAN DAN PERATURAN 35. Surat Pekeliling Am Bilangan 3 Tahun 2009 – Garis Panduan Penilaian Tahap Keselamatan Rangkaian dan Sistem ICT Sektor Awam yang bertarikh 17 November 2009; 36. Akta-akta/Kaedah/Pekeliling/Arahan lain yang berkaitan. 120 12 SENARAI UNDANG-UNDANG, DASAR DAN PERATURAN YANG BERKUAT KUASA LAMPIRAN B

PPISMS-UTMKE-01 TARIKH KUATKUASA : 17 OGOS 2022 121 13 BORANG PERAKUAN MENURUT AKTA RAHSIA RASMI 1972 LAMPIRAN C

Pol i s i Ke s e lama tan Sibe r Jaba tan Laut Ma la y s ia