PKS JLM FINAL

PPISMS-UTMKE-01 TARIKH KUATKUASA : 17 OGOS 2022 Bidang Tanggungjawab A.9.1.2 Akses Kepada Rangkaian dan Perkhidmatan Rangkaian (Access to Networks and Network Services) Pengguna hanya boleh dibekalkan dengan capaian kepada rangkaian dan perkhidmatan rangkaian setelah mendapat kebenaran daripada JLM. Kawalan capaian perkhidmatan rangkaian hendaklah dijamin selamat dengan: Pentadbir Rangkaian dan Keselamatan ICT 49 a) Menempatkan atau memasang perkakasan ICT yang bersesuaian di antara rangkaian JLM, rangkaian agensi lain dan rangkaian awam; b) Mewujud dan menguatkuasakan mekanisme untuk pengesahan pengguna dan perkakasan ICT yang dihubungkan ke rangkaian; dan c) Memantau dan menguatkuasakan kawalan capaian pengguna terhadap perkhidmatan rangkaian ICT. Kawalan Akses A (Access control) .9

PPISMS-UTMKE-01 TARIKH KUATKUASA : 17 OGOS 2022 A.9.2 Pengurusan Akses Pengguna (User Access Management) Objektif: Akses kepada proses dan maklumat hendaklah dikawal mengikut keperluan keselamatan dan fungsi kerja pengguna yang berbeza. la perlu direkodkan, dikemas kini dan menyokong polisi kawalan capaian pengguna sedia ada. Bidang Tanggungjawab A.9.2.1 Pendaftaran dan Pembatalan Pengguna (User Registration and De-Registration) Proses pendaftaran dan pembatalan pengguna hendaklah dilaksanakan bagi membolehkan pemberian dan pembatalan hak capaian. Perkara–perkara berikut hendaklah dipatuhi: Pengarah Bahagian/Wilayah /Ketua Pejabat /Pentadbir Sistem ICT / Pengguna A.9.2.2 Peruntukan Akses Pengguna (User Access Provisioning) Proses formal peruntukan akses pengguna hendaklah dilaksanakan dalam pemberian atau pembatalan hak capaian kepada semua jenis pengguna untuk semua sistem dan perkhidmatan. Pengarah Bahagian/Wilayah / Ketua Pejabat /Pentadbir Sistem ICT 50 a) Akaun yang diperuntukkan oleh JLM sahaja boleh digunakan; b) Akaun pengguna mestilah unik; c) Sebarang perubahan tahap capaian hendaklah mendapat kelulusan daripada JLM terlebih dahulu; d) Penggunaan akaun milik orang lain atau akaun yang dikongsi bersama adalah dilarang; dan e) Menentukan setiap akaun yang diwujudkan atau dibatalkan telah mendapat kelulusan dari pihak yang bertanggungjawab. Kawalan Akses A (Access control) .9

PPISMS-UTMKE-01 TARIKH KUATKUASA : 17 OGOS 2022 Bidang Tanggungjawab A.9.2.3 Pengurusan Hak Akses Istimewa (Management of Privileged Access Rights) Peruntukan dan penggunaan hak akses istimewa hendaklah dihadkan dan dikawal. Penetapan dan penggunaan ke atas hak akses istimewa perlu diberikan kawalan dan penyeliaan yang ketat berdasarkan keperluan skop tugas. Pengarah Bahagian/Wilayah /Ketua Pejabat /Pentadbir Sistem ICT A.9.2.4 Pengurusan Maklumat Pengesahan Rahsia Pengguna (Management of Secret Authentication Information of Users) Peruntukan maklumat pengesahan rahsia hendaklah dikawal melalui proses pengurusan rasmi. Peruntukan maklumat pengesahan rahsia bagi pengguna perlu diberi kawalan dan penyeliaan yang ketat berdasarkan keperluan Pentadbir Sistem ICT /Pengguna A.9.2.5 Kajian Semula Hak Akses Pengguna (Review of User Access Rights) Pemilik Sistem hendaklah menyemak hak akses pengguna pada sela masa yang ditetapkan dan memaklumkan kepada Pentadbir sistem ICT bagi tindakan penetapan semula hak akses pengguna sekiranya terdapat sebarang perubahan. Pemilik Sistem /Pentadbir Sistem ICT 51 Kawalan Akses A (Access control) .9

PPISMS-UTMKE-01 TARIKH KUATKUASA : 17 OGOS 2022 Bidang Tanggungjawab A.9.2.6 Pembatalan atau Pelarasan Hak Akses (Removal or Adjustment of Access Rights) Hak akses pengguna kemudahan pemprosesan maklumat hendaklah dibatalkan selepas penamatan pekerjaan, kontrak atau diselaraskan apabila berlaku perubahan dalam JLM. Pembekuan atau penamatan akaun pengguna akan dibuat selepas makluman rasmi diterima atas sebab-sebab berikut: Pentadbir Sistem ICT 52 a) Pengguna yang bercuti panjang dalam tempoh waktu melebihi dua (2) minggu tanpa sebab-sebab tertentu; b) Bertukar bidang tugas kerja; c) Bertukar ke agensi lain; d) Digantung kerja; e) Bersara; atau f) Ditamatkan perkhidmatan. Kawalan Akses A (Access control) .9

PPISMS-UTMKE-01 TARIKH KUATKUASA : 17 OGOS 2022 A.9.3 Tanggungjawab Pengguna (User Responsibilities) Objektif: Memastikan pengguna bertanggungjawab melindungi maklumat pengesahan mereka. Bidang Tanggungjawab A.9.3.1 Penggunaan Maklumat Pengesahan Rahsia (Use of Secret Authentication Information) Peranan dan tanggungjawab pengguna adalah seperti berikut: Pengguna 53 a) Membaca, memahami dan mematuhi PKS JLM; b) Mengetahui dan memahami implikasi keselamatan ICT kesan dari tindakannya; c) Melaksanakan prinsip-prinsip dan menjaga kerahsiaan maklumat JLM; dan d) Melaksanakan langkah-langkah perlindungan seperti yang berikut: i. Menghalang pendedahan maklumat kepada pihak yang tidak dibenarkan; ii. Memeriksa maklumat dan menentukan ia tepat dan lengkap dari semasa ke semasa; iii. Menentukan maklumat sedia untuk digunakan; iv. Menjaga kerahsiaan kata laluan; v. Mematuhi standard, prosedur, langkah dan garis panduan keselamatan yang ditetapkan; vi. Memberikan perhatian kepada maklumat terperingkat terutama semasa pewujudan, pemprosesan, penyimpanan, penghantaran, penyampaian, pertukaran dan pemusnahan; vii. Menjaga kerahsiaan langkah-langkah keselamatan siber daripada diketahui umum; dan viii. Mengikut amalan keselamatan yang baik di dalam pemilihan, penggunaan dan pengurusan katalaluan sebagai melindungi maklumat yang digunakan untuk pengesahan identiti. Kawalan Akses A (Access control) .9

PPISMS-UTMKE-01 TARIKH KUATKUASA : 17 OGOS 2022 A.9.4 Kawalan Akses Sistem dan Aplikasi (System and Application Access Control) Objektif: Menghalang capaian tidak sah dan tanpa kebenaran ke atas maklumat yang terdapat di dalam sistem dan aplikasi. Bidang Tanggungjawab A.9.4.1 Sekatan Akses Maklumat (Information Access Restriction) Akses kepada fungsi maklumat dan sistem aplikasi hendaklah dihadkan mengikut peraturan/konfigurasi kawalan capaian. Pengurus ICT/ Pentadbir Sistem ICT A.9.4.2 Prosedur Log Masuk Yang Selamat (Secure Log-On Procedure) Kawalan terhadap capaian aplikasi sistem perlu mempunyai kaedah pengesahan log masuk yang selamat dan bersesuaian bagi mengelakkan sebarang capaian yang tidak dibenarkan. Langkah dan kaedah kawalan yang digunakan adalah seperti berikut: Pentadbir Rangkaian dan Keselamatan ICT 54 a) Mengesahkan pengguna yang dibenarkan selaras dengan peraturan JLM; b) Pendedahan maklumat ketika log masuk mestilah berdasarkan kepada prinsip ‘Atas dasar perlu mengetahui’; c) Mengawal capaian ke atas aplikasi sistem menggunakan prosedur log masuk yang terjamin; d) Menjana amaran (alert) sekiranya berlaku perlanggaran semasa proses log masuk terhadap aplikasi sistem; e) Mewujudkan satu teknik pengesahan yang bersesuaian bagi mengesahkan pengenalan diri pengguna; f) Mewujudkan sistem pengurusan kata laluan secara interaktif dan memastikan kata laluan adalah berkualiti; dan g) Mewujudkan jejak audit ke atas semua capaian aplikasi sistem. Kawalan Akses A (Access control) .9

PPISMS-UTMKE-01 TARIKH KUATKUASA : 17 OGOS 2022 Bidang Tanggungjawab A.9.4.3 Sistem Pengurusan Kata Laluan (Password Management System) Sistem pengurusan kata laluan hendaklah interaktif dan mengambil kira kualiti kata laluan yang dicipta. Pengurusan kata laluan mestilah mematuhi amalan terbaik serta prosedur yang ditetapkan oleh JLM seperti berikut: Pengguna 55 a) Dalam apa jua keadaan dan sebab, kata laluan hendaklah dilindungi dan tidak boleh dikongsi dengan sesiapa pun; b) Pengguna hendaklah menukar kata laluan apabila disyaki berlakunya kebocoran kata laluan atau dikompromi; c) Panjang kata laluan mestilah sekurang kurangnya LAPAN (8) AKSARA dengan gabungan antara huruf, aksara khas dan nombor (alphanumeric) KECUALI bagi perkakasan dan perisian yang mempunyai pengurusan kata laluan yang terhad (legacy system); d) Kata laluan hendaklah diingat dan TIDAK BOLEH dicatat, disimpan atau didedahkan dengan apa cara sekali pun; e) Kata laluan paparan kunci (lock screen) hendaklah diaktifkan terutamanya pada komputer yang terletak di ruang guna sama; f) Kata laluan hendaklah tidak dipaparkan semasa input, dalam laporan atau media lain dan tidak boleh dikodkan di dalam atur cara; g) Kuat kuasakan pertukaran kata laluan semasa atau selepas login kali pertama atau selepas reset kata laluan; dan h) Sistem yang dibangunkan mestilah mempunyai kemudahan menukar kata laluan oleh pengguna. Kawalan Akses A (Access control) .9

PPISMS-UTMKE-01 TARIKH KUATKUASA : 17 OGOS 2022 Bidang Tanggungjawab A.9.4.4 Penggunaan Program Utiliti Yang Mempunyai Hak Istimewa (Use of Privileged Utility Programs) Penggunaan program utiliti yang mungkin mampu melepasi kawalan sistem dan aplikasi hendaklah disekat dan dikawal dengan ketat. Pentadbir Rangkaian dan Keselamatan ICT A.9.4.5 Kawalan Akses Kepada Kod Sumber Program (Access Control to Program Source Code) Capaian kepada kod sumber program hendaklah dihadkan. Perkara-perkara yang perlu dipertimbangkan seperti berikut: Pengurus ICT /Pentadbir sistem ICT /Pemilik Sistem 56 a) Log audit perlu dikekalkan kepada semua akses kepada kod sumber; b) Penyelenggaraan dan penyalinan kod sumber hendaklah tertakluk kepada kawalan perubahan; dan c) Kod sumber bagi semua aplikasi dan perisian hendaklah menjadi hak milik JLM. Kawalan Akses A (Access control) .9

B I D A N G A.1 0: Kriptografi (Cr yp t o g rap h y) A.1 0.1 K a w ala n K rip t o g r a fi (Cryptography Contro ls) A.1 0.1.1 P olisi P e n g g u n a a n K a w ala n K rip t o g r a fi (Policy On The Use of Cryptographic Co n t ro l) A.1 0.1.2 P e n g u r u s a n K u n ci (Key Management) 5 7

PPISMS-UTMKE-01 TARIKH KUATKUASA : 17 OGOS 2022 A.10.1 Kawalan Kriptografi (Cryptography Controls) Objektif: Memastikan penggunaan kriptografi yang betul dan berkesan bagi melindungi kerahsiaan, kesahihan, dan/atau integriti maklumat. Bidang Tanggungjawab A.10.1.1 Polisi Penggunaan Kawalan Kriptografi (Policy On The Use of Cryptographic Control) Polisi penggunaan kawalan kriptografi bagi melindungi maklumat hendaklah dibangunkan dan dilaksanakan. Kriptografi merangkumi kaedah-kaedah seperti berikut: Pengarah Bahagian /Pentadbir sistem ICT Kriptografi A (Cryptography) .10 58 a) Enkripsi - Pengguna hendaklah membuat enkripsi (encryption) ke atas maklumat SULIT dan RAHSIA rasmi pada setiap masa. b) Tandatangan digital - Maklumat terperingkat yang perlu diproses dan dihantar secara elektronik hendaklah menggunakan tandatangan digital (jika ada) mengikut keperluan pelaksanaan.

PPISMS-UTMKE-01 TARIKH KUATKUASA : 17 OGOS 2022 Bidang Tanggungjawab A.10.1.2 Pengurusan Kunci (Key Management) Pengurusan ke atas Pengurusan Infrastruktur Kunci Awam/ Government Public Key Infrastructure (GPKI) hendaklah dilakukan dengan berkesan dan selamat bagi melindungi kunci berkenaan diubah, dimusnah dan didedahkan sepanjang tempoh sah kunci tersebut. Warga JLM Pengurusan ke atas token Kerajaan Elektronik (Token EG)/ Sijil digital hendaklah mematuhi perkara-perkara berikut: UPKAA /Warga JLM 59 a) Penggunaan Token EG atau sijil digital hendaklah digunakan bagi capaian sistem Kerajaan Elektronik yang dikhususkan; b) Token EG hendaklah disimpan di tempat selamat bagi mengelakkan sebarang kecurian atau digunakan oleh pihak lain; c) Perkongsian penggunaan token EG adalah tidak dibenarkan sama sekali; dan d) Sebarang kehilangan, kerosakan dan kata laluan disekat perlu dimaklumkan kepada pengeluar token. Kriptografi A (Cryptography) .10

BIDANG A.11: Keselamatan Fizikal dan Persekitaran (Physical and Environmental Security) A.11.2.1 Penempatan dan Perlindungan Peralatan (Equipment Siting and Protection) A.11.2.2 Utiliti Sokongan (Supporting Utilities) A.11.2.3 Keselamatan Kabel (Cabling Security) A.11.2.4 Penyelenggaraan Peralatan (Equipment Maintenance) A.11.2.5 Pengalihan Aset (Removal of Assets) A.11.2.6 Keselamatan Peralatan dan Aset Di Luar Premis (Security of Equipment Off-Premises) A.11.2.7 Pelupusan Yang Selamat Atau Penggunaan Semula Peralatan (Secure Disposal Or Re-Use Of Equipment) A.11.2.8 Peralatan Pengguna Tanpa Jagaan (Unattended User Equipment) A.11.2.9 Polisi Meja Bersih Dan Skrin Kosong (Clear Desk And Clear Screen Policy) A.11.1 Kawasan Selamat (Secure Areas) A.11.1.1 Perimeter Keselamatan Fizikal (Physical Security Parameter) A.11.1.2 Kawalan Kemasukan Fizikal (Physical Entry Controls) A.11.1.3 Keselamatan Pejabat, Bilik dan Kemudahan (Securing Offices, Rooms and Facilities) A.11.1.4 Perlindungan Daripada Ancaman Luar dan Persekitaran (Protecting Against External and Environmental Threats) A.11.1.5 Bekerja Di Kawasan Selamat (Working In Secure Area) A.11.1.6 Kawasan Penyerahan dan Pemunggahan (Delivery and Loading Areas) 60 A.11.2 Peralatan (Equipment)

PPISMS-UTMKE-01 TARIKH KUATKUASA : 17 OGOS 2022 A.11.1 Kawasan Selamat (Secure Areas) Objektif: Melindungi premis dan maklumat daripada sebarang bentuk pencerobohan, ancaman, kerosakan serta akses yang tidak dibenarkan. Bidang Tanggungjawab A.11.1.1 Perimeter Keselamatan Fizikal (Physical Security Parameter) Keselamatan fizikal adalah bertujuan untuk menghalang,mengesan dan mencegah cubaan untuk menceroboh. Perkara yang perlu dipatuhi adalah seperti berikut: UPA/ UPSM /UP/ WPP /Penolong Pegawai Keselamatan Jabatan (PPKJ) 61 b) Melindungi kawasan terhad melalui kawalan pintu masuk yang bersesuaian bagi memastikan kakitangan yang diberi kebenaran sahaja boleh melalui pintu masuk ini; c) Mereka bentuk dan melaksanakan perlindungan fizikal dari kebakaran, banjir, letupan, kacau-bilau manusia dan sebarang bencana alam atau perbuatan manusia; d) Melaksana perlindungan fizikal dan menyediakan garis panduan untuk pegawai yang bekerja di dalam kawasan terhad; e) Memastikan kawasan-kawasan penghantaran dan pemunggahan dan juga tempat-tempat lain dikawal dari pihak yang tidak diberi kebenaran memasukinya; f) Memasang alat penggera atau kamera keselamatan; g) Mengadakan kaunter kawalan keselamatan; h) Menyediakan tempat atau bilik khas untuk pelawat- pelawat; dan i) Mewujudkan perkhidmatan kawalan keselamatan. a) Menggunakan keselamatan perimeter (halangan seperti dinding, pagar, kawalan, pengawal keselamatan) untuk melindungi kawasan yang mengandungi maklumat dan kemudahan pemprosesan maklumat; Keselamatan Fizikal dan Persekitaran A (Physical and Environmental Security) .11

PPISMS-UTMKE-01 TARIKH KUATKUASA : 17 OGOS 2022 Bidang Tanggungjawab A.11.1.2 Kawalan Kemasukan Fizikal (Physical Entry Controls) Kawasan selamat hendaklah dilindungi oleh kawalan kemasukan yang sesuai bagi memastikan pengguna yang diberi kebenaran sahaja dibenarkan masuk. Perkara-perkara yang perlu dipatuhi adalah seperti berikut: UPSM /Pengguna A.11.1.3 Keselamatan Pejabat, Bilik dan Kemudahan (Securing Offices, Rooms and Facilities) Keselamatan fizikal untuk pejabat, bilik dan kemudahanhendaklah direka bentuk dan dilaksanakan. Perkara-perkara yang perlu dipatuhi adalah seperti berikut: UPSM /Pengguna 62 a) Setiap warga JLM hendaklah mempamerkan pas keselamatan sepanjang waktu bertugas. Semua pas keselamatan hendaklah dikembalikan kepada UPSM apabila bertukar, tamat perkhidmatan atau bersara; b) Setiap pelawat hendaklah mendaftar dan mendapatkan pas keselamatan pelawat di kaunter keselamatan dan hendaklah dikembalikan selepas tamat lawatan; c) Hanya pengguna yang diberi kebenaran sahaja boleh menggunakan aset ICT JLM; dan d) Kehilangan pas hendaklah dilaporkan segera kepada Unit Pengurusan Sumber Manusia. a) Kawasan tempat bekerja, bilik mesyuarat, bilik krisis, bilik perbincangan, bilik fail, bilik cetakan, bilik kawalan CCTV dan pusat data perlu dihadkan daripada diakses tanpa kebenaran; Keselamatan Fizikal dan Persekitaran A (Physical and Environmental Security) .11

PPISMS-UTMKE-01 TARIKH KUATKUASA : 17 OGOS 2022 Bidang Tanggungjawab UPSM /Pengguna A.11.1.4 Perlindungan Daripada Ancaman Luar dan Persekitaran (Protecting Against External and Environmental Threats) Perlindungan fizikal terhadap bencana alam, serangan berniat jahat atau kemalangan hendaklah direka bentuk dan dilaksanakan. JLM perlu mereka bentuk dan melaksanakan perlindungan fizikal daripada kebakaran, banjir, letupan, kacau bilau dan bencana. Pentadbir Pusat Data / Jawatankuasa Keselamatan Jabatan A.11.1.5 Bekerja Di Kawasan Selamat (Working In Secure Area) Prosedur bekerja di kawasan selamat hendaklah dirangka dan dilaksanakan. Kawasan larangan ditakrifkan sebagai kawasan yang dihadkan kemasukan kepada pegawai-pegawai yang tertentu sahaja. Ini dilaksanakan untuk melindungi semua aset termasuk aset ICT yang terdapat di dalam kawasan tersebut dan termasuklah Pusat Data. Kawalan keselamatan ke atas kawasan tersebut adalah seperti berikut: Pentadbir Pusat Data / UPA 63 b) Kawasan tempat berkerja, bilik dan tempat operasi ICT perlu dihadkan daripada diakses oleh orang luar; dan c) Petunjuk lokasi bilik operasi dan tempat larangan haruslah mematuhi arahan keselamatan. a) Petunjuk lokasi bilik operasi dan tempat larangan haruslah mematuhi arahan keselamatan. b) Akses adalah terhad kepada warga JLM yang telah diberi kuasa sahaja dan dipantau pada setiap masa; Keselamatan Fizikal dan Persekitaran A (Physical and Environmental Security) .11

PPISMS-UTMKE-01 TARIKH KUATKUASA : 17 OGOS 2022 Bidang Tanggungjawab Pentadbir Pusat Data / UPA A.11.1.6 Kawasan Penyerahan dan Pemunggahan (Delivery and Loading Areas) Akses keluar masuk seperti kawasan penyerahan dan pemunggahan serta tempat lain yang membolehkan mereka yang tidak dibenarkan memasuki premis hendaklah dikawal, dan jika boleh, diasingkan daripada kemudahan pemprosesan maklumat bagi mengelakkan akses tanpa kebenaran. Warga JLM /Pengurus Aset /UPA/ Pihak Ketiga 64 c) Pemantauan dibuat menggunakan Closed-Circuit Television (CCTV) kamera atau Iain-lain peralatan yang sesuai; d) Peralatan keselamatan (CCTV, log akses) perlu diperiksa secara berjadual; e) Butiran pelawat yang keluar masuk ke kawasan larangan perlu direkodkan; f) Pelawat yang dibawa masuk mesti diawasi oleh pegawai yang bertanggungjawab di sepanjang tempoh di lokasi berkaitan; g) Lokasi premis ICT hendaklah tidak berhampiran dengan kawasan pemunggahan, saliran air dan laluan awam; h) Memperkukuh tingkap dan pintu serta dikunci untuk mengawal kemasukan; i) Memperkukuh dinding dan siling; dan j) Mengehadkan jalan keluar masuk. Keselamatan Fizikal dan Persekitaran A (Physical and Environmental Security) .11

PPISMS-UTMKE-01 TARIKH KUATKUASA : 17 OGOS 2022 A.11.2 Peralatan (Equipment) Objektif: Melindungi peralatan ICT JLM daripada kehilangan, kerosakan, kecurian dan salah guna. Bidang Tanggungjawab A.11.2.1 Penempatan dan Perlindungan Peralatan (Equipment Siting and Protection) Peralatan ICT hendaklah ditentukan tempatnya dan dilindungi bagi mengurangkan risiko ancaman dan bahaya persekitaran dan peluang kemasukan yang tidak dibenarkan. Langkah-langkah keselamatan yang perlu diambil adalah seperti berikut: Warga JLM /Unit Pembangunan /Seksyen Pengurusan Teknologi /Pegawai Aset /Pembantu Pegawai Aset 65 a) Penggunaan kata laluan untuk akses ke sistem komputer adalah diwajibkan; b) Bertanggungjawab sepenuhnya ke atas komputer masing-masing dan tidak dibenarkan membuat sebarang pertukaran perkakasan dan konfigurasi yang telah ditetapkan; c) Dilarang sama sekali menambah, menanggal atau mengganti sebarang perkakasan ICT yang telah ditetapkan; d) Dilarang membuat instalasi sebarang perisian tambahan tanpa kebenaran Pentadbir Sistem ICT; e) Memastikan perisian antivirus di komputer peribadi mereka sentiasa aktif (activated) dan dikemas kini di samping melakukan imbasan ke atas media storan yang digunakan; f) Peralatan ICT yang hendak dibawa ke luar premis JLM, perlulah mendapat kelulusan Pegawai Aset/Pembantu Pegawai Aset dan direkodkan bagi tujuan pemantauan; g) Peralatan ICT yang hilang hendaklah dikendalikan mengikut prosedur pelaporan insiden; Keselamatan Fizikal dan Persekitaran A (Physical and Environmental Security) .11

PPISMS-UTMKE-01 TARIKH KUATKUASA : 17 OGOS 2022 Bidang Tanggungjawab 66 h) Pengendalian Peralatan ICT hendaklah mematuhi dan merujuk kepada peraturan semasa yang berkuat kuasa; i) Tidak dibenarkan mengubah kedudukan komputer dari tempat asal komputer tersebut ditempatkan tanpa kebenaran Pegawai Aset/Pembantu Pegawai Aset; j) Sebarang kerosakan perkakasan ICT hendaklah dilaporkan kepada Seksyen Pengurusan Teknologi untuk dibaik pulih; k) Sebarang pelekat selain bagi tujuan rasmi, hiasan atau contengan yang meninggalkan kesan yang lama pada perkakasan ICT tidak dibenarkan. Ini bagi menjamin peralatan tersebut sentiasa berkeadaan baik; l) Konfigurasi alamat IP juga tidak dibenarkan diubah daripada alamat IP yang asal; m) Pengguna dilarang sama sekali mengubah password administrator yang ditetapkan oleh pihak ICT; n) Bertanggungjawab terhadap perkakasan, perisian dan maklumat di bawah jagaannya yang digunakan sepenuhnya bagi urusan rasmi dan JLM sahaja o) Peralatan-peralatan kritikal perlu disokong oleh Uninterruptable Power Supply (UPS) dan Generator Set (Gen-Set); p) Semua perkakasan hendaklah disimpan atau diletakkan di tempat yang teratur, bersih dan mempunyai ciri-ciri keselamatan; q) Peralatan rangkaian seperti suis, hab dan peralatanperalatan lain perlu diletakkan di dalam rak khas dan berkunci; r) Semua peralatan yang digunakan secara berterusan mestilah diletakkan di kawasan yang berhawa dingin dan mempunyai pengudaraan (air ventilation) yang sesuai; dan s) Semua peralatan sokongan ICT hendaklah dilindungi daripada sebarang kecurian, dirosakkan, diubah suai tanpa kebenaran dan salah guna. Keselamatan Fizikal dan Persekitaran A (Physical and Environmental Security) .11

PPISMS-UTMKE-01 TARIKH KUATKUASA : 17 OGOS 2022 Bidang Tanggungjawab A.11.2.2 Utiliti Sokongan (Supporting Utilities) Peralatan ICT hendaklah dilindungi daripada kegagalan bekalan kuasa dan gangguan lain yang disebabkan oleh kegagalan utiliti sokongan. Semua alat sokongan perlu diselenggarakan dari semasa ke semasa (sekurang-kurangnya setahun sekali). UPA /Pentadbir Pusat Data A.11.2.3 Keselamatan Kabel (Cabling Security) Kabel bekalan kuasa dan telekomunikasi yang membawa data atau menyokong perkhidmatan maklumat hendaklah dilindungi daripada pintasan, gangguan atau kerosakan. Kabel termasuk kabel elektrik dan telekomunikasi yang menyalurkan data dan menyokong perkhidmatan penyampaian maklumat hendaklah dilindungi. Langkah-langkah keselamatan yang perlu diambil adalah seperti berikut: UPA /Pentadbir Rangkaian ICT 67 a) Menggunakan kabel yang mengikut spesifikasi yang telah ditetapkan; b) Melindungi kabel daripada kerosakan yang disengajakan atau tidak disengajakan; c) Melindungi laluan pemasangan kabel sepenuhnya bagi mengelakkan ancaman kerosakan dan wire tapping; dan d) Semua kabel perlu dilabelkan dengan jelas dan mestilah melalui trunking bagi memastikan keselamatan kabel daripada kerosakan bencana dan pintasan maklumat. Keselamatan Fizikal dan Persekitaran A (Physical and Environmental Security) .11

PPISMS-UTMKE-01 TARIKH KUATKUASA : 17 OGOS 2022 Bidang Tanggungjawab A.11.2.4 Penyelenggaraan Peralatan (Equipment Maintenance) Peralatan ICT hendaklah diselenggara dengan betul bagi memastikan ketersediaan dan keutuhannya yang berterusan. Langkah-langkah keselamatan yang perlu diambil termasuklah seperti yang berikut: Seksyen Teknologi / UTMKE A.11.2.5 Pengalihan Aset (Removal of Assets) Peralatan, maklumat atau perisian tidak boleh dibawa keluar dari tempatnya tanpa mendapat kebenaran terlebih dahulu. Langkah-langkah keselamatan yang perlu diambil termasuklah seperti berikut: Warga JLM /Pegawai Aset /Seksyen Teknologi /Unit IT 68 a) Memastikan setiap perkakasan ICT diselenggara sama ada dalam tempoh jaminan atau telah habis tempoh jaminan; b) Mematuhi spesifikasi yang ditetapkan oleh pengeluar bagi semua perkakasan yang diselenggara; c) Memastikan perkakasan hanya diselenggara oleh PYB atau pihak yang dibenarkan sahaja; d) Menyemak dan menguji perkakasan sebelum dan selepas proses penyelenggaraan; dan e) Memaklumkan pihak pengguna sebelum melaksanakan penyelenggaraan mengikut jadual yang ditetapkan atau atas keperluan. a) Peralatan ICT yang hendak dibawa keluar dari premis JLM untuk tujuan rasmi, perlulah mendapat kelulusan Ketua Jabatan dan direkodkan bagi tujuan pemantauan serta tertakluk kepada tujuan yang dibenarkan; dan b) Aktiviti peminjaman dan pemulangan perkakasan ICT hendaklah direkodkan oleh Pegawai Aset/Seksyen Teknologi/Unit IT Keselamatan Fizikal dan Persekitaran A (Physical and Environmental Security) .11

PPISMS-UTMKE-01 TARIKH KUATKUASA : 17 OGOS 2022 Bidang Tanggungjawab A.11.2.6 Keselamatan Peralatan dan Aset Di Luar Premis (Security of Equipment Off-Premises) Keselamatan aset di luar premis hendaklah dipastikan dengan mengambil kira pelbagai risiko bekerja di luar premis JLM. Perkara yang perlu dipatuhi adalah seperti yang berikut: Warga JLM A.11.2.7 Pelupusan Yang Selamat Atau Penggunaan Semula Peralatan (Secure Disposal Or Re-Use Of Equipment) Semua peralatan yang mengandungi media penyimpanan hendaklah dipastikan bahawa data yang sensitif dan perisian berlesen telah dikeluarkan atau berjaya ditulis ganti (overwrite) sebelum dilupuskan atau diguna semula. Pelupusan melibatkan semua peralatan ICT yang telah rosak, usang dan tidak boleh dibaiki sama ada harta modal atau inventori yang dibekalkan oleh JLM dan ditempatkan di JLM. Peralatan ICT yang hendak dilupuskan perlu mematuhi prosedur pelupusan yang berkuat kuasa. Pelupusan perlu dilakukan secara terkawal dan lengkap supaya maklumat tidak terlepas daripada kawalan JLM. Langkah-langkah seperti yang berikut hendaklah diambil: Pegawai Aset / Pegawai Teknologi Maklumat/ Pembekal 69 a) Peralatan perlu dilindungi dan dikawal sepanjang masa; b) Penyimpanan atau penempatan peralatan mestilah mengambil kira ciri-ciri keselamatan yang bersesuaian; dan c) Keselamatan peralatan yang dibawa keluar adalah di bawah tanggungjawab pegawai yang berkenaan. a) Bagi peralatan ICT yang akan dilupuskan sebelum dipindah-milik, data-data dalam storan hendaklah dipastikan telah dihapuskan dengan cara yang selamat; b) Pegawai Aset hendaklah mengenal pasti sama ada peralatan tertentu boleh dilupuskan atau sebaliknya; Keselamatan Fizikal dan Persekitaran A (Physical and Environmental Security) .11

PPISMS-UTMKE-01 TARIKH KUATKUASA : 17 OGOS 2022 Bidang Tanggungjawab 70 c) Peralatan yang hendak dilupus hendaklah disimpan ditempat yang telah dikhaskan yang mempunyai ciri-ciri keselamatan bagi menjamin keselamatan peralatan tersebut; d) Pelupusan peralatan ICT hendaklah dilakukan secara berpusat dan mengikut tatacara pelupusan semasa yang berkuat kuasa; e) Pengguna ICT adalah DILARANG SAMA SEKALI daripada melakukan perkara-perkara seperti yang berikut: i. Menyimpan mana-mana peralatan ICT yang hendak dilupuskan untuk milik peribadi; ii. Mencabut, menanggal dan menyimpan perkakasan tambahan dalaman CPU seperti RAM, Harddisk, Motherboard dan sebagainya; iii. Menyimpan dan memindahkan perkakasan luaran komputer seperti speaker dan mana-mana peralatan yang berkaitan ke mana-mana bahagian di JLM; iv. Memindah keluar dari pejabat bagi mana-mana peralatan ICT yang hendak dilupuskan; dan v. Melupuskan sendiri peralatan ICT kerana kerja-kerja pelupusan di bawah tanggungjawab JLM. f) Pengguna bertanggungjawab memastikan segala maklumat sulit dan rahsia di dalam komputer disalin pada media storan kedua seperti thumbdrive atau external harddisk sebelum menghapuskan maklumat tersebut daripada peralatan komputer yang hendak dilupuskan; g) Data dan maklumat dalam aset ICT yang akan dipindah milik atau dilupuskan hendaklah dihapuskan secara kekal; h) Maklumat lanjut berhubung pelupusan bolehlah dirujuk pada pekeliling berkaitan Tatacara Pengurusan Aset Alih Kerajaan (TPA) yang berkuat kuasa; i) Pelupusan dokumen-dokumen hendaklah mengikut prosedur keselamatan seperti mana Arahan Keselamatan dan tatacara Jabatan Arkib Negara; dan j) Pegawai aset hendaklah merekod butir-butir pelupusan dan mengemas kini rekod pelupusan peralatan ICT ke dalam sistem pengurusan aset. Keselamatan Fizikal dan Persekitaran A (Physical and Environmental Security) .11

PPISMS-UTMKE-01 TARIKH KUATKUASA : 17 OGOS 2022 Bidang Tanggungjawab A.11.2.8 Peralatan Pengguna Tanpa Jagaan (Unattended User Equipment) Pengguna hendaklah memastikan peralatan yang dibiarkan tanpa jagaan mempunyai perlindungan sewajarnya. Pengguna perlu memastikan bahawa peralatan dijaga dan mempunyai perlindungan yang sewajarnya iaitu dengan mematuhi perkara berikut: Warga JLM A.11.2.9 Polisi Meja Bersih Dan Skrin Kosong (Clear Desk And Clear Screen Policy) Dasar meja kosong untuk kertas dan media penyimpanan boleh alih serta dasar skrin kosong untuk kemudahan pemprosesan maklumat hendaklah digunakan. Semua maklumat dalam apa jua bentuk media hendaklah disimpan dengan teratur dan selamat bagi mengelakkan kerosakan, kecurian atau kehilangan. Clear Desk bermaksud tidak meninggalkan dan mendedahkan bahan-bahan yang sensitif sama ada di atas meja pengguna atau di paparan skrin apabila pengguna tidak berada di tempatnya. Langkah-langkah yang perlu diambil termasuklah seperti yang berikut: Warga JLM 71 a) Tamatkan sesi aktif apabila selesai tugas; b) Log-off komputer apabila sesi bertugas selesai atau tidak lagi digunakan; dan c) Memastikan komputer selamat daripada pengguna yang tidak dibenarkan. a) Menggunakan kemudahan katalaluan screensaver atau logout apabila meninggalkan komputer; b) Menyimpan bahan-bahan sensitif di dalam laci atau kabinet fail yang berkunci; dan c) Menggunakan kemudahan katalaluan screensaver atau logout apabila meninggalkan komputer. Keselamatan Fizikal dan Persekitaran A (Physical and Environmental Security) .11

BIDANG A.12: Keselamatan Operasi (Operations Security) A.12.2.1 Kawalan Daripada Perisian Hasad (Controls Against Malware) A.12.1 Prosedur dan Tanggungjawab Operasi (Operational Procedures and Responsibilities) A.12.1.1 Prosedur Operasi Yang Didokumenkan (Documented Operating Procedures) A.12.1.2 Pengurusan Perubahan (Change Management) A.12.1.3 Pengurusan Kapasiti (Capacity Management) A.12.1.4 Pengasingan Persekitaran Pembangunan, Pengujian dan Operasi (Separation Of Development, Testing and Operational Environments) 72 A.12.2 Perlindungan Daripada Perisian Hasad (Protection From Malware) A.12.3.1 Sandaran Maklumat (Information of Backup) A.12.3 Sandaran (Backup) A.12.4.1 Pengelogan kejadian (Event logging) A.12.4.2 Perlindungan Maklumat Log (Protection of Log Information) A.12.4.3 Log Pentadbir dan Pengendali (Administrator and Operator Logs) A.12.4.4 Penyeragaman Jam (Clock Synchronisation) A.12.4 Pengelogan dan Pemantauan (Logging and Monitoring) A.12.5.1 Pemasangan Perisian Pada Sistem Yang Beroperasi (Installation of Software on Operational Systems) A.12.5 Kawalan Perisian Yang Beroperasi (Control of Operational Software) A.12.6.1 Pengurusan Kerentanan Teknikal (Management of Technical Vulnerabilities) A.12.6.2 Sekatan Ke Atas Pemasangan Perisian (Restrictions on Software Installation) A.12.6 Pengurusan Kerentanan Teknikal (Technical Vulnerability Management) A.12.7.1 Kawalan Audit Sistem Maklumat (Information Systems Audit Controls) A.12.7 Pertimbangan Tentang Audit Sistem Maklumat (Information Systems Audit Considerations)

PPISMS-UTMKE-01 TARIKH KUATKUASA : 17 OGOS 2022 A.12.1 Prosedur dan Tanggungjawab Operasi (Operational Procedures and Responsibilities) Objektif: Memastikan operasi kemudahan pemprosesan maklumat yang betul dan selamat. Bidang Tanggungjawab A.12.1.1 Prosedur Operasi Yang Didokumenkan (Documented Operating Procedures) Penyedia dokumen perlu memastikan prosedur operasi yang didokumenkan mematuhi perkara-perkara berikut: Pengarah Bahagian/Wilayah Keselamatan Operasi A (Operations Security) .12 73 a) Semua prosedur keselamatan ICT yang di wujud, dikenal pasti dan masih diguna pakai hendaklah didokumenkan, disimpan dan dikawal; b) Setiap prosedur mestilah mengandungi arahan-arahan yang jelas, teratur dan lengkap seperti keperluan kapasiti, pengendalian dan pemprosesan maklumat, pengendalian dan penghantaran ralat, pengendalian output, bantuan teknikal dan pemulihan sekiranya pemprosesan tergendala atau terhenti; dan c) Semua prosedur hendaklah disemak dan dikemaskini dari semasa ke semasa atau mengikut keperluan.

PPISMS-UTMKE-01 TARIKH KUATKUASA : 17 OGOS 2022 Bidang Tanggungjawab A.12.1.2 Pengurusan Perubahan (Change Management) Perubahan dalam organisasi, proses perkhidmatan, kemudahan pemprosesan maklumat dan sistem yang menjejaskan keselamatan maklumat hendaklah dikawal. Penyedia dokumen perlu memastikan prosedur operasi yang didokumenkan mematuhi perkara-perkara berikut: Warga JLM/ Pengurus ICT/ ICTSO / Pentadbir Sistem ICT/ Pengarah Bahagian/Wilayah /Unit IT 74 a) Pengubahsuaian yang melibatkan perkakasan, sistem untuk pemprosesan maklumat, perisian dan prosedur ICT mestilah mendapat kebenaran daripada pegawai atasan atau pemilik aset ICT terlebih dahulu; b) Aktiviti-aktiviti seperti memasang, menyelenggara, menghapus dan mengemas kini mana-mana komponen sistem ICT hendaklah dikendalikan oleh pihak atau pegawai yang diberi kuasa dan mempunyai pengetahuan atau terlibat secara langsung dengan aset ICT berkenaan; c) Semua aktiviti pengubahsuaian komponen sistem ICT hendaklah mematuhi spesifikasi perubahan yang telah ditetapkan; dan d) Semua aktiviti perubahan atau pengubahsuaian hendaklah direkod dan dikawal bagi mengelakkan berlakunya ralat sama ada secara sengaja atau pun tidak sengaja. Keselamatan Operasi A (Operations Security) .12

PPISMS-UTMKE-01 TARIKH KUATKUASA : 17 OGOS 2022 Bidang Tanggungjawab A.12.1.3 Pengurusan Kapasiti (Capacity Management) Penggunaan sumber hendaklah dipantau, disesuaikan dan unjuran hendaklah disediakan untuk keperluan kapasiti masa hadapan bagi memastikan prestasi sistem yang dikehendaki dicapai. Perkara-perkara yang perlu dipatuhi adalah seperti berikut: Pengurus ICT/ ICTSO / Pentadbir Sistem ICT/ Pengarah Bahagian/Wilayah /Unit IT A.12.1.4 Pengasingan Persekitaran Pembangunan, Pengujian dan Operasi (Separation of Development, Testing and Operational Environments) Persekitaran pembangunan, pengujian dan operasi hendaklah diasingkan bagi mengurangkan risiko capaian yang tidak dibenarkan atau perubahan kepada persekitaran operasi. Perkara-perkara yang perlu dipatuhi adalah seperti berikut: Seksyen Pengurusan Teknologi/ Pentadbir Sistem ICT 75 a) Kapasiti sesuatu komponen atau sistem ICT hendaklah dirancang, diurus dan dikawal dengan teliti oleh pegawai yang berkenaan bagi memastikan keperluannya adalah mencukupi dan bersesuaian untuk pembangunan dan kegunaan sistem ICT pada masa akan datang; dan b) Keperluan kapasiti ini juga perlu mengambil kira ciri-ciri keselamatan siber bagi meminimumkan risiko seperti gangguan pada perkhidmatan dan kerugian akibat pengubahsuaian yang tidak dirancang. a) Persekitaraan (environment) yang digunakan bagi tugas membangun, mengemaskini, menyelenggara dan menguji sistem perlu diasingkan dari perkakasan yang digunakan sebagai pengeluaran (production); dan b) Data yang mengandungi maklumat rahsia rasmi tidak boleh digunakan di dalam persekitaran pembangunan melainkan telah mengambil kira kawalan keselamatan maklumat. Keselamatan Operasi A (Operations Security) .12

PPISMS-UTMKE-01 TARIKH KUATKUASA : 17 OGOS 2022 A.12.2 Perlindungan Daripada Perisian Hasad (Protection From Malware) Objektif: Memastikan maklumat dan kemudahan pemprosesan maklumat dilindungi daripada perisian hasad. Bidang Tanggungjawab A.12.2.1 Kawalan Daripada Perisian Hasad (Controls Against Malware) Kawalan pengesanan, pencegahan dan pemulihan untuk memberikan perlindungan dari serangan malware hendaklah dilaksanakan dan digabungkan dengan kesedaran pengguna terhadap serangan tersebut. Perkara-perkara yang perlu dilaksanakan bagi memastikan perlindungan aset ICT dari perisian berbahaya adalah seperti beriku Seksyen Pengurusan Teknologi/ Pentadbir Sistem ICT 76 a) Memasang sistem keselamatan untuk mengesan perisian atau program malware seperti antivirus, Intrusion Detection System (IDS) dan Intrusion Prevention System (IPS) serta mengikut prosedur penggunaan yang betul dan selamat; b) Memasang dan menggunakan hanya perisian yang tulen, berdaftar dan dilindungi di bawah mana-mana undangundang bertulis yang berkuat kuasa; c) Mengimbas semua perisian atau sistem dengan antivirus sebelum menggunakannya; d) Mengemas kini antivirus dengan signature/pattern antivirus yang terkini; e) Menyemak kandungan sistem atau maklumat secara berkala bagi mengesan aktiviti yang tidak diingini seperti kehilangan dan kerosakan maklumat; Keselamatan Operasi A (Operations Security) .12

PPISMS-UTMKE-01 TARIKH KUATKUASA : 17 OGOS 2022 Bidang Tanggungjawab A.12.3 Sandaran (Backup) Objektif: Memastikan segala data diselenggara agar penyimpanan data diuruskan dengan sempurna. Bidang Tanggungjawab A.12.3.1 Sandaran Maklumat (Information of Backup) Salinan sandaran maklumat, perisian dan imej sistem hendaklah diambil dan diuji secara tetap menurut prosedur sandaran yang dipersetujui. Bagi memastikan sistem dapat dibangunkan semula setelah berlakunya bencana, sandaran hendaklah dilakukan setiap kali konfigurasi berubah. Sandaran hendaklah direkodkan dan disimpan di offsite. Perkara-perkara yang perlu dipatuhi adalah seperti berikut: Pentadbir Sistem ICT 77 f) Menghadiri program kesedaran mengenai ancaman perisian berbahaya dan cara mengendalikannya; g) Memasukkan klausa tanggungan di dalam mana-mana kontrak yang telah ditawarkan kepada pembekal perisian; Klausa ini bertujuan untuk tuntutan baik pulih sekiranya perisian tersebut mengandungi program berbahaya; dan h) Mengadakan program dan prosedur jaminan kualiti ke atas semua perisian yang dibangunkan. a) Membuat sandaran keselamatan ke atas semua sistem perisian dan aplikasi; b) Membangunkan Prosedur Backup and Restoration bagi sistem spesifik (jika perlu); Keselamatan Operasi A (Operations Security) .12

PPISMS-UTMKE-01 TARIKH KUATKUASA : 17 OGOS 2022 Bidang Tanggungjawab A.12.4 Pengelogan dan Pemantauan (Logging and Monitoring) Objektif: Merekodkan peristiwa dan menghasilkan bukti. Bidang Tanggungjawab A.12.4.1 Pengelogan Kejadian (Event Logging) Pentadbir Sistem ICT 78 c) Menguji sistem sandaran sedia ada bagi memastikan ianya dapat berfungsi dengan sempurna, boleh dipercayai dan berkesan apabila digunakan khususnya pada waktu bencana; dan d) Sandaran hendaklah direkodkan dan disimpan di off-site (lokasi yang berlainan) dan selamat. a) Log kejadian yang merekodkan aktiviti pengguna, pengecualian, ralat dan kejadian keselamatan maklumat hendaklah dihasilkan, disimpan dan dikaji semula secara tetap; b) Log sistem ICT adalah bukti yang didokumenkan dan merupakan turutan kejadian bagi setiap aktiviti yang berlaku pada sistem. Log ini hendaklah mengandungi maklumat seperti pengenalpastian terhadap capaian yang tidak dibenarkan, aktiviti-aktiviti yang tidak normal serta aktiviti-aktiviti yang tidak dapat dijelaskan; c) Log hendaklah disimpan dan direkodkan selaras dengan arahan/pekeliling terkini yang dikeluarkan oleh Kerajaan. Log hendaklah dikawal bagi mengekalkan integriti data; dan Keselamatan Operasi A (Operations Security) .12

PPISMS-UTMKE-01 TARIKH KUATKUASA : 17 OGOS 2022 Bidang Tanggungjawab A.12.4.2 Perlindungan Maklumat Log (Protection of Log Information) Kemudahan pengelogan dan maklumat log hendaklah dilindungi daripada perubahan dan akses tanpa izin. Pentadbir Sistem ICT A.12.4.3 Log Pentadbir dan Pengendali (Administrator and Operator Logs) Aktiviti pentadbir sistem dan pengendali sistem hendaklah direkodkan dan log aktiviti tersebut hendaklah dilindungi dan dikaji semula secara tetap. Pengurus ICT/ ICTSO/ Pentadbir Sistem ICT / CERT JLM 79 d) Pentadbir Sistem ICT hendaklah melaksanakan perkara-perkara berikut: i. Mewujudkan sistem log bagi merekodkan semua aktiviti harian pengguna; ii. Menyemak sistem log secara berkala bagi mengesan ralat yang menyebabkan gangguan kepada sistem dan mengambil tindakan membaik pulih dengan segera; dan iii. Sekiranya wujud aktiviti-aktiviti lain yang tidak sah seperti kecurian maklumat dan pencerobohan, Pentadbir Sistem hendaklah melaporkan kepada pasukan CERT JLM. a) Membuat semakan audit log secara kerap; b) Memantau penggunaan kemudahan memproses maklumat secara berkala; c) Kesalahan, kesilapan dan/atau penyalahgunaan perlu direkodkan log, dianalisis dan diambil tindakan sewajarnya; dan d) Log Audit yang merekodkan semua aktiviti perlu dihasilkan dan disimpan untuk tempoh masa yang dipersetujui bagi membantu siasatan dan memantau kawalan capaian. Keselamatan Operasi A (Operations Security) .12

PPISMS-UTMKE-01 TARIKH KUATKUASA : 17 OGOS 2022 Bidang Tanggungjawab A.12.4.4 Penyeragaman Jam (Clock Synchronisation) Jam bagi semua sistem pemprosesan maklumat yang berkaitan dalam sesebuah domain organisasi hendaklah diseragamkan mengikut sumber rujukan masa tunggal. Pentadbir Pusat Data/ Pentadbir Sistem ICT A.12.5 Kawalan Perisian Yang Beroperasi (Control of Operational Software) Objektif: Menghalang capaian tidak sah dan tanpa kebenaran ke atas sistem pengoperasian. Bidang Tanggungjawab A.12.5.1 Pemasangan Perisian Pada Sistem Yang Beroperasi (Installation of Software on Operational Systems) Prosedur hendaklah dilaksanakan untuk mengawal pemasangan perisian pada sistem yang beroperasi. Langkah-langkah yang perlu dipatuhi setelah mendapat kelulusan pegawai yang diberi kuasa melulus adalah seperti yang berikut: Pengurus ICT / Pentadbir Sistem ICT 80 a) Strategi rollback perlu dilaksanakan sebelum sebarang perubahan ke atas konfigurasi, sistem dan perisian; b) Aplikasi dan sistem operasi hanya boleh digunakan setelah ujian terperinci dilaksanakan dan diperakui berjaya; dan c) Setiap konfigurasi ke atas sistem dan perisian perlu dikawal dan didokumentasikan dengan teratur. Keselamatan Operasi A (Operations Security) .12

PPISMS-UTMKE-01 TARIKH KUATKUASA : 17 OGOS 2022 A.12.6 Pengurusan Kerentanan Teknikal (Technical Vulnerability Management) Objektif: Memastikan kawalan kerentanan teknikal adalah berkesan, sistematik dan berkala dengan mengambil langkah yang bersesuaian untuk menjamin keberkesanannya. Bidang Tanggungjawab A.12.6.1 Pengurusan Kerentanan Teknikal (Management of Technical Vulnerabilities) Maklumat tentang kerentanan teknikal sistem maklumat yang digunakan hendaklah diperoleh pada masa yang tepat, pendedahan organisasi terhadap kerentanan tersebut hendaklah dinilai dan langkah-langkah yang sesuai hendaklah diambil untuk menangani risiko yang berkaitan. Kawalan terhadap keterdedahan teknikal perlu dilaksanakan ke atas sistem aplikasi dan operasi yang digunakan. Perkara yang perlu dipatuhi adalah seperti berikut: Seksyen Pengurusan Teknologi / CERT JLM 81 a) Melaksanakan ujian penembusan untuk memperolehi maklumat kerentanan teknikal bagi sistem aplikasi dan operasi; b) Menganalisis tahap risiko kerentanan; dan c) Mengambil tindakan pembetulan dan kawalan risiko. Keselamatan Operasi A (Operations Security) .12

PPISMS-UTMKE-01 TARIKH KUATKUASA : 17 OGOS 2022 Bidang Tanggungjawab A.12.6.2 Sekatan Ke Atas Pemasangan Perisian (Restrictions on Software Installation) Peraturan yang mengawal pemasangan perisian oleh pengguna hendaklah disediakan dan dilaksanakan. Perkara yang perlu dipatuhi adalah seperti berikut: Pengurus ICT/ Pentadbir Sistem ICT / Pengguna A.12.7 Pertimbangan Tentang Audit Sistem Maklumat (Information Systems Audit Considerations) Objektif: Meminimumkan kesan aktiviti audit terhadap sistem yang beroperasi. Bidang Tanggungjawab A.12.7.1 Kawalan Audit Sistem Maklumat (Information Systems Audit Controls) Keperluan dan aktiviti audit yang melibatkan penentusahan sistem yang beroperasi hendaklah dirancang dengan teliti dan dipersetujui bagi meminimumkan gangguan ke atas proses perkhidmatan. Seksyen Pengurusan Teknologi / Pentadbir Sistem ICT 82 a) Hanya perisian yang diperakui sahaja dibenarkan bagi kegunaan seluruh warga JLM; b) Memasang dan menggunakan hanya perisian yang tulen, berdaftar dan dilindungi di bawah mana-mana undangundang bertulis yang berkuat kuasa; dan c) Mengimbas semua perisian atau sistem dengan antivirus sebelum menggunakannya. Keselamatan Operasi A (Operations Security) .12

BIDANG A.13: Keselamatan Komunikasi (Communications Security) A.13.2.1 Polisi dan Prosedur Pemindahan Data dan Makluman (Information Transfer Policies and Procedures) A.13.2.2 Perjanjian Tentang Pemindahan Maklumat (Agreements on Information Transfer) A.13.2.3 Pesanan Elektronik (Electronic Messaging) A.13.2.4 Perjanjian Kerahsiaan Atau Ketakdedahan (Confidentiality or Non-Disclosure Agreements) A.13.1 Pengurusan Keselamatan Rangkaian (Network Security Management) A.13.1.1 Kawalan Rangkaian (Network Control) A.13.1.2 Keselamatan Perkhidmatan Rangkaian (Security of Network Services) A.13.1.3 Pengasingan Dalam Rangkaian (Segregation In Networks) 83 A.13.2 Pemindahan Maklumat (Information Transfer)

PPISMS-UTMKE-01 TARIKH KUATKUASA : 17 OGOS 2022 A.13.1 Pengurusan Keselamatan Rangkaian (Network Security Management) Objektif: Memastikan perlindungan maklumat dalam rangkaian dilindungi. Bidang Tanggungjawab A.13.1.1 Kawalan Rangkaian (Network Control) Sistem dan aplikasi hendaklah dikawal dan diuruskan sebaik mungkin di dalam infrastruktur rangkaian daripada sebarang ancaman. Perkara yang perlu dipatuhi adalah seperti yang berikut: Seksyen Pengurusan Teknologi / Pembekal A.13.1.2 Keselamatan Perkhidmatan Rangkaian (Security of Network Services) Pengurusan bagi semua perkhidmatan rangkaian (inhouse atau outsource) yang merangkumi mekanisme keselamatan dan tahap perkhidmatan hendaklah dikenal pasti dan dimasukkan di dalam perjanjian perkhidmatan rangkaian. Seksyen Pengurusan Teknologi / Pembekal Keselamatan Komunikasi A (Communications Security) .13 84 a) Pegawai ICT perlu membangunkan kawalan yang bersesuaian untuk menghalang capaian tanpa kebenaran yang boleh memberi impak kepada keselamatan maklumat organisasi; b) Memastikan kerja-kerja operasi rangkaian dilindungi daripada pengubahsuaian yang tidak dibenarkan; c) Peralatan rangkaian hendaklah ditempatkan di lokasi yang mempunyai ciri-ciri fizikal yang selamat dan bebas dari risiko seperti banjir, gegaran dan habuk; dan d) Capaian kepada peralatan rangkaian hendaklah dikawal dan dihadkan kepada pengguna yang dibenarkan sahaja.

PPISMS-UTMKE-01 TARIKH KUATKUASA : 17 OGOS 2022 Bidang Tanggungjawab A.13.1.3 Pengasingan Dalam Rangkaian (Segregation In Networks) Pengasingan dalam rangkaian hendaklah dibuat untuk membezakan kumpulan pengguna dan sistem maklumat mengikut segmen rangkaian JLM. Seksyen Pengurusan Teknologi A.13.2 Pemindahan Maklumat (Information Transfer) Objektif: Memastikan keselamatan perpindahan/pertukaran maklumat dan perisian antara JLM dan pihak luar terjamin. Bidang Tanggungjawab A.13.2.1 Polisi dan Prosedur Pemindahan Data dan Maklumat (Information Transfer Policies and Procedures) Perkara-perkara yang perlu dipatuhi adalah seperti berikut: Pengguna 85 a) Mewujudkan prosedur kawalan pertukaran maklumat yang formal untuk melindungi pertukaran maklumat melalui penggunaan pelbagai jenis kemudahan komunikasi; b) Melindungi media yang mengandungi maklumat daripada capaian yang tidak dibenarkan, penyalahgunaan atau kerosakan semasa pemindahan keluar dari JLM; dan c) Melindungi sebaik-baiknya maklumat yang terdapat di dalam media. Keselamatan Komunikasi A (Communications Security) .13

PPISMS-UTMKE-01 TARIKH KUATKUASA : 17 OGOS 2022 Bidang Tanggungjawab A.13.2.2 Perjanjian Tentang Pemindahan Maklumat (Agreements on Information Transfer) JLM perlu mengambil kira keselamatan maklumat atau menandatangani perjanjian bertulis apabila berlaku pemindahan data dan maklumat organisasi antara JLM dengan pihak luar. Perkara yang perlu dipertimbangkan ialah: Ketua Pengarah Laut /Pengarah Bahagian/Wilayah Bidang Tanggungjawab A.13.2.3 Pesanan Elektronik (Electronic Messaging) Warga JLM A.13.2.4 Perjanjian Kerahsiaan Atau Ketakdedahan (Confidentiality or Non-Disclosure Agreements) Pengguna 86 a) Mewujudkan perjanjian rasmi antara JLM dengan pihak luar; dan b) JLM hendaklah mengenal pasti perlindungan data dalam penggunaan, data dalam pergerakan, data dalam simpanan dan menghalang ketirisan data. a) Maklumat yang terlibat dalam pesanan elektronik hendaklah dilindungi sewajarnya mengikut arahan dan peraturan semasa; b) Pengguna hendaklah mengawal e-mel masuk dan keluar. c) Penggunaan e-mel di JLM hendaklah dipantau secara berterusan oleh Pentadbir E-mel untuk memenuhi keperluan etika penggunaan e-mel dan Internet. a) Syarat-syarat perjanjian kerahsiaan atau non-disclosure perlu mengambil kira keperluan organisasi dan hendaklah disemak dan dokumentasikan; dan b) Pihak ketiga hendaklah bersetuju dan mematuhi semua keperluan keselamatan maklumat yang relevan. Keselamatan Komunikasi A (Communications Security) .13

A.14.2.1 Dasar Pembangunan Selamat (Secure Development Policy) A.14.2.2 Prosedur Kawalan Perubahan Sistem (System Change Control Procedures) A.14.2.3 Kajian Semula Teknikal Bagi Aplikasi Selepas Perubahan Platform Operasi (Technical Review Of Applications After Operating Platform Changes) A.14.2.4 Sekatan Ke atas Perubahan Dalam Pakej Perisian (Restrictions on Changes to Software Packages) A.14.2.5 Prinsip Kejuruteraan Sistem Yang Selamat (Secure System Engineering Principles) A.14.2.6 Persekitaran Pembangunan Selamat (Secure Development Environment) A.14.2.7 Pembangunan oleh Khidmat Luaran (Outsourced Software Development) A.14.2.8 Pengujian Keselamatan Sistem (System Security Testing) A.14.2.9 Pengujian Penerimaan Sistem (System Accepting Testing) BIDANG A.14: Pemerolehan, Pembangunan dan Penyenggaraan Sistem (System Acquisition, Development and Maintenance) A.14.1 Keperluan Keselamatan Sistem Maklumat (Security Requirements of Information Systems) A.14.1.1 Analisis dan Spesifikasi Keperluan Keselamatan Maklumat (Information Security Requirements Analysis and Spesifications) A.14.1.2 Melindungi Perkhidmatan Aplikasi dalam Rangkaian Awam (Securing Application Services on Public Networks) A.14.1.3 Melindungi Transaksi Perkhidmatan Aplikasi (Protecting Application Services Transactions)) 87 A.14.2 Keselamatan Dalam Proses Pembangunan dan Sokongan (Security in Development and Support Services) A.14.3 Data Ujian (Test Data) A.14.3.1 Perlindungan Data Ujian (Protection of Test Data)

PPISMS-UTMKE-01 TARIKH KUATKUASA : 17 OGOS 2022 A.14.1 Keperluan Keselamatan Sistem Maklumat (Security Requirements of Information Systems) Objektif: Memastikan keselamatan maklumat dijadikan bahagian penting dalam sistem maklumat sepanjang seluruh kitar hayat. Ini juga termasuk keperluan untuk sistem maklumat yang menyediakan perkhidmatan dalam rangkaian awam. Bidang Tanggungjawab A.14.1.1 Analisis dan Spesifikasi Keperluan Keselamatan Maklumat (Information Security Requirements Analysis and Spesifications) Keperluan berkaitan keselamatan maklumat hendaklah dimasukkan dalam keperluan untuk sistem maklumat baharu atau penambahbaikan pada sistem maklumat sedia ada. Keperluan keselamatan maklumat bagi pembangunan sistem baharu dan penambahbaikan sistem hendaklah mematuhi perkara-perkara berikut: Pengurus ICT/ Pentadbir Sistem ICT 88 A.14 Pemerolehan, Pembangunan dan Penyenggaraan Sistem (System Acquisition, Development and Maintenance) a) Aspek keselamatan hendaklah dimasukkan ke dalam semua fasa kitar hayat pembangunan sistem termasuk konsep perisian, kajian keperluan, reka bentuk, pelaksanaan, pengujian, penerimaan, pemasangan, penyelenggaraan dan pelupusan; b) Semua sistem yang dibangunkan sama ada secara dalaman atau sebaliknya hendaklah dikaji kesesuaiannya mengikut keperluan pengguna dan selaras dengan PKS JLM; c) Penyediaan reka bentuk, pengaturcaraan dan pengujian sistem hendaklah mematuhi kawalan keselamatan yang telah ditetapkan; dan d) Ujian keselamatan hendaklah dilakukan semasa pembangunan sistem bagi memastikan kesahihan dan integriti data.

PPISMS-UTMKE-01 TARIKH KUATKUASA : 17 OGOS 2022 Bidang Tanggungjawab A.14.1.2 Melindungi Perkhidmatan Aplikasi dalam Rangkaian Awam (Securing Application Services on Public Networks) Maklumat pada aplikasi sistem yang dihantar melalui rangkaian awam hendaklah dilindungi daripada penipuan, pertikaian kontrak dan pendedahan tanpa kebenaran. Perkara yang perlu dipertimbangkan adalah seperti berikut: Seksyen Pengurusan Teknologi/ Pentadbir Sistem ICT 89 A.14 Pemerolehan, Pembangunan dan Penyenggaraan Sistem (System Acquisition, Development and Maintenance) a) Semua perkhidmatan sumber luaran (outsource) hendaklah dikenal pasti, direkodkan dan dikaji semula secara berkala. Perkhidmatan sumber luaran adalah perkhidmatan yang disediakan oleh organisasi luar untuk menyokong operasi JLM. Contoh perkhidmatan sumber luaran ialah: i. Perisian Sebagai Satu Perkhidmatan (SaaS) ii. Platform Sebagai Satu Perkhidmatan (PaaS) iii. Infrastruktur Sebagai Satu Perkhidmatan (IaaS) iv. Storan Pengkomputeran Awan v. Pemantauan Keselamatan b) Saluran komunikasi dan aliran data kepada perkhidmatan ini hendaklah dikenal pasti, direkodkan dan dikaji semula secara berkala; c) Tahap kerahsiaan bagi mengenal pasti identiti masingmasing, misalnya melalui pengesahan (authentication); d) Proses berkaitan dengan pihak yang berhak untuk meluluskan kandungan, penerbitan atau menandatangani dokumen transaksi; e) Memastikan pihak ketiga dimaklumkan sepenuhnya mengenai kebenaran penggunaan aplikasi dan perkhidmatan ICT; dan f) Memastikan pihak ketiga memahami keperluan kerahsiaan, integriti, bukti serahan serta penerimaan dokumen dan kontrak.

PPISMS-UTMKE-01 TARIKH KUATKUASA : 17 OGOS 2022 Bidang Tanggungjawab A.14.1.3 Melindungi Transaksi Perkhidmatan Aplikasi (Protecting Application Services Transactions) Maklumat yang terlibat dalam urusan perkhidmatan aplikasi hendaklah dilindungi bagi mengelakkan penghantaran tidak sempurna, salah destinasi, pindaan mesej yang tidak dibenarkan, pendedahan yang tidak dibenarkan, penduaan atau ulang tayang mesej yang tidak dibenarkan. Perkara yang perlu dipertimbangkan adalah seperti yang berikut (jika ada): Pengurus ICT/ICTSO/ Pentadbir Sistem ICT 90 A.14 Pemerolehan, Pembangunan dan Penyenggaraan Sistem (System Acquisition, Development and Maintenance) a) Penggunaan tandatangan elektronik oleh setiap pihak yang terlibat dalam transaksi; i. maklumat pengesahan pengguna adalah sah digunakan dan telah disahkan; ii. mengekalkan kerahsiaan maklumat; iii. mengekalkan privasi pihak yang terlibat; dan iv. protokol yang digunakan untuk berkomunikasi antara semua pihak dilindungi. b) Memastikan semua aspek transaksi dipatuhi: c) Pihak yang mengeluarkan tandatangan digital ialah yang dilantik oleh Kerajaan.

PPISMS-UTMKE-01 TARIKH KUATKUASA : 17 OGOS 2022 A.14.2 Keselamatan Dalam Proses Pembangunan dan Sokongan (Security in Development and Support Services) Objektif: Memastikan sistem yang dibangunkan mempunyai ciri-ciri keselamatan siber yang bersesuaian bagi menghalang kesilapan, kehilangan, pindaan yang tidak sah dan penyalahgunaan maklumat dalam aplikasi. Bidang Tanggungjawab A.14.2.1 Dasar Pembangunan Selamat (Secure Development Policy) Peraturan bagi pembangunan perisian dan sistem hendaklah disediakan dan digunakan untuk pembangunan dalam organisasi. Perkara yang perlu dipertimbangkan adalah seperti berikut: Pengurus ICT/ICTSO/ Pentadbir Sistem ICT 91 A.14 Pemerolehan, Pembangunan dan Penyenggaraan Sistem (System Acquisition, Development and Maintenance) a) Keselamatan persekitaran pembangunan; b) Keselamatan pangkalan data; c) Keperluan keselamatan dalam fasa reka bentuk; d) Keperluan pengetahuan ke atas keselamatan aplikasi; e) Keselamatan dalam kawalan versi; dan f) Bagi pembangunan secara outsource, pembekal yang dilantik hendaklah berkebolehan untuk mengenal pasti dan menambah baik kelemahan dalam pembangunan sistem.

PPISMS-UTMKE-01 TARIKH KUATKUASA : 17 OGOS 2022 Bidang Tanggungjawab A.14.2.2 Prosedur Kawalan Perubahan Sistem (System Change Control Procedures) Perubahan pada sistem dalam kitar hayat pembangunan hendaklah dikawal dengan menggunakan prosedur kawalan perubahan yang telah ditetapkan. Perkara yang perlu dipatuhi adalah seperti yang berikut: Pengurus ICT/ Pentadbir Sistem ICT 92 A.14 Pemerolehan, Pembangunan dan Penyenggaraan Sistem (System Acquisition, Development and Maintenance) a) Perubahan atau pengubahsuaian ke atas sistem maklumat dan aplikasi hendaklah dikawal, diuji, direkodkan dan disahkan sebelum diguna pakai; b) Aplikasi kritikal perlu dikaji semula dan diuji apabila terdapat perubahan kepada sistem pengoperasian untuk memastikan tiada kesan yang buruk terhadap operasi dan keselamatan agensi. Individu atau suatu kumpulan tertentu perlu bertanggungjawab memantau penambahbaikan dan pembetulan yang dilakukan oleh pembekal; c) Mengawal perubahan dan/atau pindaan ke atas pakej perisian dan memastikan sebarang perubahan adalah mengikut keperluan yang dibenarkan sahaja; dan d) Capaian kepada sumber source code aplikasi perlu kepada pengguna yang dibenarkan sahaja.

PPISMS-UTMKE-01 TARIKH KUATKUASA : 17 OGOS 2022 Bidang Tanggungjawab A.14.2.3 Kajian Semula Teknikal Bagi Aplikasi Selepas Perubahan Platform Operasi (Technical Review Of Applications After Operating Platform Changes) Apabila platform operasi berubah, aplikasi penting perkhidmatan hendaklah dikaji semula dan diuji bagi memastikan tiada kesan buruk ke atas operasi atau keselamatan organisasi. Perkara yang perlu dipatuhi adalah seperti berikut: Pengurus ICT / Pentadbir Sistem ICT A.14.2.4 Sekatan Ke atas Perubahan Dalam Pakej Perisian (Restrictions on Changes to Software Packages) Pengubahsuaian ke atas pakej perisian adalah tidak digalakkan, ianya terhad kepada perubahan yang perlu dan semua perubahan hendaklah dikawal dengan ketat. Pengurus ICT / Pentadbir Sistem ICT A.14.2.5 Prinsip Kejuruteraan Sistem Yang Selamat (Secure System Engineering Principles) Pengurus ICT / Pentadbir Sistem ICT 93 A.14 Pemerolehan, Pembangunan dan Penyenggaraan Sistem (System Acquisition, Development and Maintenance) a) Pengujian ke atas sistem adalah perlu untuk memastikan sistem tidak terjejas apabila berlaku perubahan platform; dan b) Perubahan platform dimaklumkan kepada pihak yang terlibat bagi membolehkan ujian yang bersesuaian dilakukan sebelum pelaksanaan. a) Prinsip bagi sistem keselamatan kejuruteraan hendaklah disediakan, didokumenkan, diselenggara dan digunakan untuk apa-apa usaha pelaksanaan sistem maklumat; dan b) Prinsip dan prosedur kejuruteraan hendaklah sentiasa dikaji dari semasa ke semasa dalam semua pembangunan sistem bagi memastikan keberkesanan kepada keselamatan maklumat JLM.

PPISMS-UTMKE-01 TARIKH KUATKUASA : 17 OGOS 2022 Bidang Tanggungjawab A.14.2.3 Kajian Semula Teknikal Bagi Aplikasi Selepas Perubahan Platform Operasi (Technical Review Of Applications After Operating Platform Changes) Apabila platform operasi berubah, aplikasi penting perkhidmatan hendaklah dikaji semula dan diuji bagi memastikan tiada kesan buruk ke atas operasi atau keselamatan organisasi. Perkara yang perlu dipatuhi adalah seperti berikut: Pengurus ICT / Pentadbir Sistem ICT A.14.2.4 Sekatan Ke atas Perubahan Dalam Pakej Perisian (Restrictions on Changes to Software Packages) Pengubahsuaian ke atas pakej perisian adalah tidak digalakkan, ianya terhad kepada perubahan yang perlu dan semua perubahan hendaklah dikawal dengan ketat. Pengurus ICT / Pentadbir Sistem ICT A.14.2.5 Prinsip Kejuruteraan Sistem Yang Selamat (Secure System Engineering Principles) Pengurus ICT / Pentadbir Sistem ICT 94 A.14 Pemerolehan, Pembangunan dan Penyenggaraan Sistem (System Acquisition, Development and Maintenance) a) Pengujian ke atas sistem adalah perlu untuk memastikan sistem tidak terjejas apabila berlaku perubahan platform; dan b) Perubahan platform dimaklumkan kepada pihak yang terlibat bagi membolehkan ujian yang bersesuaian dilakukan sebelum pelaksanaan. a) Prinsip bagi sistem keselamatan kejuruteraan hendaklah disediakan, didokumenkan, diselenggara dan digunakan untuk apa-apa usaha pelaksanaan sistem maklumat; dan b) Prinsip dan prosedur kejuruteraan hendaklah sentiasa dikaji dari semasa ke semasa dalam semua pembangunan sistem bagi memastikan keberkesanan kepada keselamatan maklumat JLM.

PPISMS-UTMKE-01 TARIKH KUATKUASA : 17 OGOS 2022 Bidang Tanggungjawab A.14.2.6 Persekitaran Pembangunan Selamat (Secure Development Environment) Organisasi hendaklah mewujudkan dan melindungi sewajarnya persekitaran pembangunan selamat untuk pembangunan sistem dan usaha integrasi yang meliputi seluruh kitar hayat pembangunan sistem. JLM perlu menilai risiko yang berkaitan semasa pembangunan sistem dan membangunkan persekitaran selamat dengan mengambil kira: Pengurus ICT / Pentadbir Sistem ICT A.14.2.7 Pembangunan oleh Khidmat Luaran (Outsourced Software Development) JLM hendaklah menyelia dan memantau aktiviti pembangunan sistem yang dilaksanakan secara outsource oleh pihak luar. Kod sumber (source code) adalah menjadi HAK MILIK JLM. Pengarah Bahagian/Wilayah, Pengurus ICT / Pentadbir Sistem ICT 95 A.14 Pemerolehan, Pembangunan dan Penyenggaraan Sistem (System Acquisition, Development and Maintenance) a) Sensitiviti data yang akan diproses, disimpan dan dihantar oleh sistem; b) Terpakai kepada keperluan undang-undang dan peraturan dalaman dan luaran; c) Keperluan dalam pengasingan di antara pelbagai persekitaran pembangunan sistem; d) Kawalan pemindahan data dari atau ke persekitaran pembangunan sistem; dan e) Kawalan ke atas capaian kepada persekitaran pembangunan sistem.

PPISMS-UTMKE-01 TARIKH KUATKUASA : 17 OGOS 2022 Bidang Tanggungjawab A.14.2.8 Pengujian Keselamatan Sistem (System Security Testing) Pengujian fungsian keselamatan hendaklah dijalankan semasa pembangunan. Perkara yang perlu dipatuhi adalah seperti yang berikut: ICTSO/ Pentadbir Sistem ICT/ Pemilik Sistem A.14.2.9 Pengujian Penerimaan Sistem (System Accepting Testing) Program pengujian penerimaan dan kriteria yang berkaitan hendaklah disediakan untuk sistem maklumat yang baharu, yang ditambah baik dan versi baharu. ICTSO/ Pentadbir Sistem ICT/ Pemilik Sistem /Pengguna 96 A.14 Pemerolehan, Pembangunan dan Penyenggaraan Sistem (System Acquisition, Development and Maintenance) a) Menyemak dan mengesahkan input data sebelum dimasukkan ke dalam aplikasi bagi menjamin proses dan ketepatan maklumat; b) Membuat semakan pengesahan di dalam aplikasi untuk mengenal pasti kesilapan maklumat; dan c) Menjalankan proses semak dan pengesahan ke atas output data daripada setiap proses aplikasi untuk menjamin ketepatan.

PPISMS-UTMKE-01 TARIKH KUATKUASA : 17 OGOS 2022 Bidang Tanggungjawab A.14.2.8 Pengujian Keselamatan Sistem (System Security Testing) Pengujian fungsian keselamatan hendaklah dijalankan semasa pembangunan. Perkara yang perlu dipatuhi adalah seperti yang berikut: ICTSO/ Pentadbir Sistem ICT/ Pemilik Sistem A.14.2.9 Pengujian Penerimaan Sistem (System Accepting Testing) Program pengujian penerimaan dan kriteria yang berkaitan hendaklah disediakan untuk sistem maklumat yang baharu, yang ditambah baik dan versi baharu. ICTSO/ Pentadbir Sistem ICT/ Pemilik Sistem /Pengguna 97 A.14 Pemerolehan, Pembangunan dan Penyenggaraan Sistem (System Acquisition, Development and Maintenance) a) Menyemak dan mengesahkan input data sebelum dimasukkan ke dalam aplikasi bagi menjamin proses dan ketepatan maklumat; b) Membuat semakan pengesahan di dalam aplikasi untuk mengenal pasti kesilapan maklumat; dan c) Menjalankan proses semak dan pengesahan ke atas output data daripada setiap proses aplikasi untuk menjamin ketepatan.

PPISMS-UTMKE-01 TARIKH KUATKUASA : 17 OGOS 2022 A.14.3 Data Ujian (Test Data) Objektif: Untuk memastikan perlindungan ke atas data yang digunakan untuk pengujian. Bidang Tanggungjawab A.14.3.1 Perlindungan Data Ujian (Protection of Test Data) Data ujian hendaklah dipilih dengan teliti, dilindungi dan dikawal. Perkara yang perlu dipatuhi adalah seperti berikut: ICTSO/ Pentadbir Sistem ICT/ Pemilik Sistem 98 A.14 Pemerolehan, Pembangunan dan Penyenggaraan Sistem (System Acquisition, Development and Maintenance) a) Sebarang prosedur kawalan persekitaran sebenar hendaklah juga dilaksanakan dalam persekitaran pengujian; b) Personel yang mempunyai hak capaian persekitaran sebenar sahaja dibenarkan untuk menyalin data sebenar ke persekitaran pengujian; c) Data sebenar yang disalin ke persekitaran pengujian hendaklah dipadam sebaik sahaja pengujian selesai; dan d) Mengaktifkan log audit bagi merekodkan sebarang penyalinan dan penggunaan data sebenar.