POLISI KESELAMATAN
RANGKAIAN
cubaan untuk mengubahkan secara fizikal oleh bukan kakitangan BPM
akan dikenakan tindakan disiplin.
8. DOKUMEN BERKAITAN
a. Polisi Keselamatan Sistem
b. Polisi Keselamatan Operasi
c. Polisi Keselamatan Pembinaan Sistem
d. Polisi Pengkomputeran Mobil
Polisi Keselamatan Rangkaian
12
KEMENTERIAN PERTANIAN DAN
INDUSTRI ASAS TANI (MOA)
Dasar Keselamatan Sistem
Versi: 1.3
DASAR KESELAMATAN SISTEM
SEJARAH PENGUBAHAN DOKUMEN
Versi Penulis Tarikh Ubah Kelulusan Tarikh
Kuatkuasa
1.0 SCAN 30/11/2009 Mesyuarat JPICT 2/2010 21 April 2010
1.1 ICTSO 24/8/2011 Mesyuarat JPICT 1/2012 20 Januari 2012 **
1.2 ICTSO 10 Nov 2012 Mesyuarat JPICT 1/2013 18 Feb 2013 **
1.3 ICTSO 8 Nov 2013 Mesyuarat JPICT 1/2014
** Nota: Tiada Pindaan Khusus
Dasar Keselamatan Sistem
i
DASAR KESELAMATAN SISTEM
JADUAL PINDAAN DOKUMEN
TARIKH VERSI BUTIRAN PINDAAN
8 November 2013 1.3 SUB POLISI : DASAR KESELAMATAN SISTEM
Dasar Keselamatan Sistem i. Pindaan Perkara 7.4.2 (m/s:4):
Hak capaian pengguna mestilah dikaji
setiap 6 bulan sekali.
kepada
Hak capaian pengguna mestilah dikaji
setiap tahun.
ii. Pindaan Perkara 7.4.3 (m/s:4):
Hak capaian utama (Privileged) mestilah
dikaji setiap 3 bulan untuk...
kepada
Hak capaian utama (Privileged) mestilah
dikaji setiap tahun untuk memastikan ia
masih sama tanpa ada perubahan yang
tidak dijangka berlaku.
iii. Pindaan Perkara 7.5.3 (m/s:5) :
Paparan dan cetakan mestilah
di’kabur’kan (masked) supaya...
kepada
Paparan dan cetakan mestilah diletakkan
dengan ciri-ciri keselamatan yang
bersesuaian supaya mana-mana individu
yang melihat atau menjumpainya tidak
dapat mengetahui akan kata laluan
tersebut.
ii
DASAR KESELAMATAN SISTEM
iv. Pindaan Perkara 7.5.5 (m/s:5) :
Sistem pengurusan kata laluan mestilah
boleh memaksa pengguna untuk menukar
kata laluan mereka setiap 90 hari.
kepada
Pengguna disarankan untuk menukar kata
laluan sekerap mungkin, sekurang-
kurangnya setiap 90 hari dan jika boleh
lebih kerap dari itu.
v. Pindaan Perkara 7.5.6 (m/s:5):
Semua User ID yang tidak aktif mestilah
dinyahaktifkan dari sistem untuk tempoh
sekurang-kurangnya 60 hari.
kepada
Semua user ID yang tidak aktif selama 30
hari akan dinyahaktifkan dari sistem. User
ID yang didapati tidak digunakan atau
tidak aktif lebih daripada 90 hari secara
berterusan akan dihapuskan terus dari
sistem MOA.
Dasar Keselamatan Sistem
iii
DASAR KESELAMATAN SISTEM
KANDUNGAN
T A K R I F .................................................................................................................................................. V
1 . P E N G E N A L A N .........................................................................................................................1
2 . T U J U A N ........................................................................................................................................1
3 . K U M P U L A N S A S A R ...........................................................................................................1
4 . P E R L A N G G A R A N D A N H U K U M A N .......................................................................1
5 . S E M A K A N D A N P E N Y E L E N G G A R A A N D O K U M E N .................................2
6 . R U J U K A N ....................................................................................................................................2
7 . D A S A R ...........................................................................................................................................3
7.1. P R O S E D U R ..................................................................................................................3
7.2. C A P A I A N L O G I K A L ................................................................................................3
7.3. P E N D A F T A R A N P E N G G U N A .............................................................................4
7.4. K A J I A N T E R H A D A P H A K C A P A I A N P E N G G U N A .................................4
7.5. P E N G U R U S A N K A T A L A L U A N .........................................................................5
7.6. PERLINDUNGAN DARI PERISIAN ‘JAHAT’ (PROTECTION
A G A I N S T M A L I C I O U S S O F T W A R E ) .............................................................5
7.7. P E M A N T A U A N ............................................................................................................6
7.8. K A W A L A N D A T A D A N P A N G K A L A N D A T A ...............................................8
7.9. K A W A L A N K R I P T O G R A F I ...................................................................................8
8 . D O K U M E N B E R K A I T A N .................................................................................................9
Dasar Keselamatan Sistem
iv
DASAR KESELAMATAN SISTEM
TAKRIF
Aset ICT Sebarang objek ICT yang mempunyai nilai kepada organisasi.
Backup Salinan fail atau program yang dijanakan untuk memudahkan
Business Impact proses pemulihan dijalankan.
Analysis
Analisa berkaitan keperluan sistem ICT, proses dan hubungankait
Change Management antara keduanya yang digunakan untuk menyediakan sistem
kontigensi dan keutamaan yang perlu diberikan semasa bencana.
Dasar
Emel Proses yang memastikan semua perubahan ke atas infrastruktur
ICT ditaksirkan, ditentusahkan, dilaksanakan dan dikaji semula
dalam keadaan terkawal untuk memastikan gangguan tidak
berlaku.
Pernyataan peringkat tinggi mengenai prinsip, matlamat dan
objektif termasuk juga cara-cara untuk mencapainya bagi subjek
yang spesifik.
Mesej yang dihantar secara elektronik.
Impak Hasil atau lanjutan dari sesuatu kejadian.
Integriti Keadaan di mana maklumat tersimpan mengikut cara yang
Kawalan dibenarkan dan tiada perubahan dilakukan yang menjadikan
maklumat itu berlainan dari asal.
Langkah-langkah penjagaan yang mana bila ia dilakukan dengan
betul, akan mengurangkan risiko kemusnahan terhadap aset.
Dasar Keselamatan Sistem
v
DASAR KESELAMATAN SISTEM
Kerahsiaan Keadaan di mana maklumat sensitif dikawal dan diberikan kepada
Keselamatan Fizikal pengguna yang sah sahaja.
Ketersediaan
Pengasingan Tugas Prosedur kawalan yang wujud untuk menghalang penceroboh dari
Pengguna ICT memasuki sistem atau prasarana.
Pihak Ketiga
Risiko Keadaan di mana maklumat atau proses sentiasa boleh dicapai
Secure Areas dan digunakan oleh pihak yang dibenarkan.
Shred
Virus Pengasingan tugas dan tanggungjawab supaya tiada individu
Vulnerability boleh mengsabotaj sistem kritikal yang dikendalikannya.
Dasar Keselamatan Sistem Kakitangan MOA (Tetap, sementara, kontrak) atau pihak ketiga
(perunding, kontraktor, pembekal dan pembekal perkhidmatan)
yang diberikan hak capaian kepada aset ICT MOA.
Individu yang selain dari kakitangan MOA seperti perunding,
pembekal, kontraktor, pembekal perkhidmatan dan sebagainya.
Kemungkinan untuk sesuatu terjadi yang boleh memberikan impak
kepada objektifnya.
Kawasan di mana MOA menempatkan aset ICT yang sensitif dan
kritikal seperti Pusat Data atau bilik pejabat yang mengandungi
maklumat yang sulit.
Cara-cara untuk ‘membersihkan’ media, dengan cara merincih
atau menghancurkannya kepada bahagian yang kecil.
Kod yang ditulis dengan niat jahat untuk memusnah cara komputer
bekerja tanpa kebenaran pengguna.
Kelemahan dari segi prosedur, senibina, implementasi dan
kawalan dalaman yang boleh dieksploitasi hingga mengakibatkan
pelanggaran aspek keselamatan atau dasar keselamatan.
vi
DASAR KESELAMATAN SISTEM
1. PENGENALAN
Pada masa sekarang, kebergantungan kepada sistem ICT di dalam organisasi MOA
menyebabkan sebarang kegagalan sistem akan mengakibatkan masalah yang besar.
Potensi kehilangan pelbagai maklumat boleh wujud dan itu juga membawa impak yang
buruk kepada MOA. Oleh kerana itu, adalah amat penting untuk MOA memastikan
semua sistem yang berkaitan dikawal dengan baik dan diselenggarakan dengan betul.
2. TUJUAN
Tujuan Dasar ini adalah untuk menggariskan kawalan keselamatan sistem untuk
mengawal sistem komputer dan menghalang dari kemusnahan keselamatan.
3. KUMPULAN SASAR
Dasar ini tergunapakai oleh keseluruhan pengguna aset ICT di MOA. Tiada
pengecualian diberikan kepada sesiapapun. Kakitangan MOA yang tetap, sementara
dan berdasarkan kontrak adalah terikat dengan dasar ini. Dasar ini juga terikat kepada
kakitangan yang bekerja secara jauh (remote). Dokumen ini juga perlu dibaca bersama-
sama dengan direktif/pekeliling dari pihak berkuasa dari masa ke semasa.
4. PERLANGGARAN DAN HUKUMAN
Sebarang pelanggaran dasar perlulah dilaporkan pada Bahagian Teknologi Maklumat
(BPM). Insiden perlulah disiasat dan oleh BPM, dengan kerjasama penyelia individu
yang disyaki dan pihak berkuasa.
Pelanggaran dasar secara sengaja atau sebaliknya akan menyebabkan:
a. Kehilangan hak capaian ke atas sumber maklumat;
b. Penilaian prestasi kerja yang buruk;
c. Dikenakan tindakan tatatertib;
d. Digantung kerja atau ditamatkan perkhidmatan;
e. Ditamatkan kontrak;
f. Dikenakan tindakan undang-undang.
Dasar Keselamatan Sistem
1
DASAR KESELAMATAN SISTEM
5. SEMAKAN DAN PENYELENGGARAAN DOKUMEN
ICT Security Officer (ICTSO) 1 merupakan pemunya dokumen ini. Dia bertanggungjawab
untuk menyemak dan menyelenggarakan dasar ini.
6. RUJUKAN
a. Information technology – Security techniques – Information security management
systems – Requirements (ISO/IEC 27001:2005)
b. Arahan Teknologi Maklumat 2007 – MAMPU
c. Malaysian Public Sector Management Of ICT Security Handbook (MyMIS)
1 Senarai Tugas ICTSO
Dasar Keselamatan Sistem
2
DASAR KESELAMATAN SISTEM
7. DASAR
7.1. PROSEDUR
7.1.1. Prosedur bagi keselamatan sistem, fungsi pentadbiran dan sistem aplikasi
mestilah dibuat secara formal, diimplemen dan mengikuti Dasar Keselamatan
ICT MOA.
7.1.2. Prosedur mestilah disahkan dan dikemaskinikan untuk dimasukkan sebarang
perubahan yang berlaku pada sistem yang sedia ada dan dasar.
7.2. CAPAIAN LOGIKAL
7.2.1. Capaian mestilah diberi bila perlu sahaja, mengikut kehendak operasi dan
keperluan keselamatan.
7.2.2. Penggunaan program utiliti (contoh: sudo, su) yang boleh melepasi kawalan
aplikasi dan sistem hendaklah dikawal dan dihadkan.
7.2.3. Kumpulan pengguna yang dijanakan di dalam sesebuah sistem mestilah
bersesuaian dengan tugas dan tanggungjawab kerja kakitangan tersebut.
Dasar Keselamatan Sistem
3
DASAR KESELAMATAN SISTEM
7.3. PENDAFTARAN PENGGUNA
7.3.1. Satu proses pendaftaran dan nyah-daftar mestilah digunakan untuk mencapai
sesuatu sistem ICT di dalam MOA dan ia mestilah disahkan oleh pemunya
sistem.
7.3.2. Capaian kepada maklumat sulit di MOA hanyalah dibenar bila mendapatkan
kebenaran dari pemunya maklumat tersebut.
7.3.3. Sebarang kontrak dengan pihak ketiga mestilah menyatakan hak capaian
termasuklah tindakan yang akan diambil jika melanggar peraturan tersebut.
7.3.4. Setiap individu yang ingin mencapai sistem ICT MOA perlulah menggunakan
User ID dan kata laluan yang diberikan.
7.3.5. BPM perlu menyemak jika terdapat User ID yang bertindan, pernah dikeluarkan
atau sebaliknya. (contoh: kesilapan yang memberikan pengguna biasa diberikan
keutamaan sebagai pentadbir sistem)
7.4. KAJIAN TERHADAP HAK CAPAIAN PENGGUNA
7.4.1. BPM mestilah mengkaji hak capaian yang ada untuk memastikan tiada siapa
yang mendapat kepentingan capaian lebih dari sepatutnya.
7.4.2. Hak capaian pengguna mestilah dikaji setiap tahun.
7.4.3. Hak capaian utama (Privileged) mestilah dikaji setiap tahun untuk memastikan ia
masih sama tanpa ada perubahan yang tidak dijangka berlaku.
7.4.4. Hak capaian mestilah dimusnah atau diubah bila seseorang itu meninggalkan
MOA atau bertukar tugas.
Dasar Keselamatan Sistem
4
DASAR KESELAMATAN SISTEM
7.5. PENGURUSAN KATA LALUAN
7.5.1. 2 orang pegawai diperlukan untuk memegang/mengetahui kata laluan bagi super
user.
7.5.2. Jika kata laluan dijana oleh sistem komputer, ia mestilah diberikan secepat
mungkin kepada penggunanya dan tidak disimpan di dalam teks biasa di dalam
sistem tersebut.
7.5.3. Paparan dan cetakan mestilah diletakkan dengan ciri-ciri keselamatan yang
bersesuaian supaya mana-mana individu yang melihat atau menjumpainya tidak
dapat mengetahui akan kata laluan tersebut.
7.5.4. Kata laluan mestilah dienkrip bila disimpan dalam tempoh masa yang lama atau
dihantar melalui rangkaian.
7.5.5. Pengguna disarankan untuk menukar kata laluan sekerap mungkin, sekurang-
kurangnya setiap 90 hari dan jika boleh lebih kerap dari itu.
7.5.6. Semua user ID yang tidak aktif selama 30 hari akan dinyahaktifkan dari sistem.
User ID yang didapati tidak digunakan atau tidak aktif lebih daripada 90 hari
secara berterusan akan dihapuskan terus dari sistem MOA.
7.6. PERLINDUNGAN DARI PERISIAN ‘JAHAT’
(PROTECTION AGAINST MALICIOUS SOFTWARE)
7.6.1. Semua komputer yang berhubung dengan rangkaian MOA mestilah dipasangkan
dengan perisian antivirus.
7.6.2. Perisian antivirus dan fail antivirus pattern hendaklah dikemaskini sentiasa.
7.6.3. Hanya perisian yang sah dan berlesen sahaja boleh digunakan di dalam MOA.
7.6.4. Prosedur dan tanggungjawab dan latihan berkenaan serangan virus dan proses
pemulihannya mestilah dibina dan didokumenkan.
7.6.5. BPM mestilah menyediakan kesedaran mengenai serangan virus dan prosedur
mengawal virus kepada semua pengguna.
Dasar Keselamatan Sistem
5
DASAR KESELAMATAN SISTEM
7.7. PEMANTAUAN
7.7.1. Tahap pemantauan yang diperlukan untuk setiap aset ICT ditentukan dari proses
penilaian risiko.
7.7.2. Elemen yang sesuai untuk dipantau adalah::
a. Capaian yang dibenarkan:
i. User ID;
ii. Tarikh dan masa;
iii. Jenis peristiwa (event);
iv. Fail yang dicapai; dan
v. Program yang digunakan.
b. Operasi yang mendapat keutamaan (privileged):
i. Kegunaan akaun privileged (contoh: supervisor, root, and
administrator);
ii. Mula dan tamat sistem (system startup/stop); dan
iii. Alatan yang dipasang dan ditanggalkan (device attachment
and removal).
c. Percubaan capaian yang tidak dibenarkan:
i. Percubaan capaian yang gagal;
ii. Perlanggaran dasar capaian; dan
iii. Amaran dari intrusion detection system.
d. Amaran dan kegagalan sistem:
i. Amaran dan mesej dari konsol;
ii. Amaran dari pengurusan rangkaian; dan
iii. Amaran dari sistem kawalan capaian.
e. Pengubahsuaian atau percubaan untuk mengubahsuai
keselamatan sistem dan kawalannya.
Dasar Keselamatan Sistem
6
DASAR KESELAMATAN SISTEM
7.7.3. MOA mestilah mengkaji laporan keputusan pemantauan aset ICT untuk
menentukan samada ia masih mengikuti Dasar yang telah ditetapkan.
7.7.4. Penghasilan audit log bagi aktiviti pengguna dan peristiwa berkaitan
keselamatan maklumat mestilah dihasilkan. BPM mestilah memantau dan
menyelenggarakan log tersebut dari masa ke semasa.
7.7.5. Log yang mengandungi peristiwa keselamatan yang relevan mestilah disimpan
untuk tempoh yang ditetapkan yang mana ia dipastikan selamat dan tidak
berubah. Sila Rujuk Dasar Klasifikasi dan Pengendalian Maklumat.
7.7.6. Event log perlu mempunyai:
a. User ID semasa memasuki sistem;
b. Masa dan tarikh semasa masuk/keluar dari sistem;
c. Identiti di konsol (terminal);
d. Capaian sistem yang berjaya dan gagal;
e. Capaian data yang berjaya dan gagal;
f. Penggunaan mempunyai keutamaan (use of privileges);
g. Pengguna sistem utiliti dan aplikasi;
h. Fail yang dicapai dan cara pencapaiannya;
i. Alamat rangkaian dan protokol;
j. Amaran dari sistem kawalan capaian; dan/atau
k. Aktifan dan nyahaktifan sistem perlindungan (contoh: IDS)
Dasar Keselamatan Sistem
7
DASAR KESELAMATAN SISTEM
7.8. KAWALAN DATA DAN PANGKALAN DATA
7.8.1. Prosedur dan kawalan pangkalan data mestilah diwujudkan.
7.8.2. Tanggungjawab pentadbir pangkalan data mestilah diwujudkan.
7.8.3. Sebuah (data dictionary) mestilah didokumenkan, distandardkan dan dikawal
nama yang digunakan di dalamnya.
7.8.4. Kelulusan mestilah diperolehi untuk menghubungkan (link) banyak pangkalan
data.
7.8.5. Audit untuk pangkalan data mestilah dilakukan untuk memeriksa ketetapan
logikal dan fizikal sesuatu pangkalan data itu.
7.8.6. Teknik pemeriksaan integriti pangkalan data seperti message (record)
authentication coding mestilah digunakan.
7.9. KAWALAN KRIPTOGRAFI
7.9.1. Hanya algoritma yang standard, terjamin seperti Triple DES, AES, Blowfish,
RSA, RC5 dan IDEA yang boleh digunakan sebagai asas untuk teknologi
enkripsi yang boleh digunakan.
7.9.2. Pengesahan rasmi mesti didapati sebelum menggunakan sebarang proses
enkripsi. Ini untuk mengelakkan dari insiden yang mana kakitangan mungkin
terlupa atau hilang kunci enkripsi yang digunakan.
7.9.3. Bila menggunakan proses enkripsi, kunci yang dijana mestilah dihasilkan secara
sulit dan kunci tersebut mestilah sukar untuk diteka.
7.9.4. Semua kunci enkripsi mestilah ditanda jangka hayatnya dan mesti ditukar
semasa atau sebelum ia tamat tempoh.
7.9.5. Kerahsian sebarang kunci enkripsi yang digunakan untuk kegunaan rahsia
mestilah diselenggarakan sehingga maklumat yang dikawal itu tidak lagi
diklasifikasi sebagai rahsia.
7.9.6. Pengguna mestilah menguji terlebih dahulu proses enkripsi yang digunakan
boleh menjana versi teks yang boleh dibaca sebelum melupuskan sumber utama
teks tersebut. Ini untuk menghalang dari kehilangan maklumat yang berharga
jika ada masalah yang berlaku disebabkan perisian yang digunakan.
Dasar Keselamatan Sistem
8
DASAR KESELAMATAN SISTEM
8. DOKUMEN BERKAITAN
a. Dasar Kata laluan
b. Dasar Klasifikasi dan Pengendalian Maklumat
c. Dasar Keselamatan Pembangunan Sistem
d. Dasar Keselamatan Operasi
Dasar Keselamatan Sistem
9
KEMENTERIAN PERTANIAN DAN
INDUSTRI ASAS TANI (MOA)
Dasar Klasifikasi dan Pengendalian
Maklumat
Versi: 1.3
DASAR KLASIFIKASI &
PENGENDALIAN MAKLUMAT
SEJARAH PENGUBAHAN DOKUMEN
Versi Penulis Tarikh Ubah Kelulusan Tarikh
Kuatkuasa
1.0 SCAN 30/11/2009 Mesyuarat JPICT 2/2010 21 April 2010
1.1 ICTSO 24/8/2011 Mesyuarat JPICT 1/2012 20 Januari 2012 **
1.2 ICTSO 10 Nov 2012 Mesyuarat JPICT 1/2013 18 Feb 2013 **
1.3 ICTSO 8 Nov 2013 Mesyuarat JPICT 1/2014
** Nota: Tiada Pindaan Khusus
Dasar Klasifikasi dan Pengendalian Maklumat
i
DASAR KLASIFIKASI &
PENGENDALIAN MAKLUMAT
JADUAL PINDAAN DOKUMEN
8 November 2013 1.3 SUB POLISI : DASAR KLASIFIKASI &
PENGENDALIAN MAKLUMAT
i. Tambahan Perkara 7.1.2 (m/s:3): Semua
maklumat hendaklah diklasifikasikan oleh
pegawai pengklasan maklumat yang
dilantik.
Dasar Klasifikasi dan Pengendalian Maklumat
ii
DASAR KLASIFIKASI &
PENGENDALIAN MAKLUMAT
KANDUNGAN
T A K R I F ................................................................................................................................................. IV
1 . P E N G E N A L A N .........................................................................................................................1
2 . T U J U A N ........................................................................................................................................1
3 . K U M P U L A N S A S A R ...........................................................................................................1
4 . P E L A N G G A R A N D A N H U K U M A N ...........................................................................1
5 . S E M A K A N D A N P E N Y E L E N G G A R A A N D O K U M E N .................................2
6 . R U J U K A N ....................................................................................................................................2
7 . D A S A R ...........................................................................................................................................3
7.1. K L A S I F I K A S I M A K L U M A T ..................................................................................3
7.2. P E N G E N D A L I A N M A K L U M A T ...........................................................................4
7.3. S I M P A N A N R E K O D / M A K L U M A T .....................................................................7
8 . D O K U M E N B E R K A I T A N .................................................................................................7
Dasar Klasifikasi dan Pengendalian Maklumat
iii
DASAR KLASIFIKASI &
PENGENDALIAN MAKLUMAT
TAKRIF
Aset ICT Sebarang objek ICT yang mempunyai nilai kepada organisasi.
Backup
Business Impact Salinan fail atau program yang dijanakan untuk memudahkan
Analysis proses pemulihan dijalankan.
Change Management Analisa berkaitan keperluan sistem ICT, proses dan hubungankait
antara keduanya yang digunakan untuk menyediakan sistem
Dasar kontigensi dan keutamaan yang perlu diberikan semasa bencana.
Emel
Impak Proses yang memastikan semua perubahan ke atas infrastruktur
Integriti ICT ditaksirkan, ditentusahkan, dilaksanakan dan dikaji semula
Kawalan dalam keadaan terkawal untuk memastikan gangguan tidak
Kerahsiaan berlaku.
Pernyataan peringkat tinggi mengenai prinsip, matlamat dan
objektif termasuk juga cara-cara untuk mencapainya bagi subjek
yang spesifik.
Mesej yang dihantar secara elektronik.
Hasil atau lanjutan dari sesuatu kejadian.
Keadaan di mana maklumat tersimpan mengikut cara yang
dibenarkan dan tiada perubahan dilakukan yang menjadikan
maklumat itu berlainan dari asal.
Langkah-langkah penjagaan yang mana bila ia dilakukan dengan
betul, akan mengurangkan risiko kemusnahan terhadap aset.
Keadaan di mana maklumat sensitif dikawal dan diberikan kepada
pengguna yang sah sahaja.
Dasar Klasifikasi dan Pengendalian Maklumat
iv
DASAR KLASIFIKASI &
PENGENDALIAN MAKLUMAT
Keselamatan Fizikal Prosedur kawalan yang wujud untuk menghalang penceroboh dari
Ketersediaan memasuki sistem atau prasarana.
Pengasingan Tugas
Pengguna ICT Keadaan di mana maklumat atau proses sentiasa boleh dicapai
Pihak Ketiga dan digunakan oleh pihak yang dibenarkan.
Risiko
Secure Areas Pengasingan tugas dan tanggungjawab supaya tiada individu
Shred boleh mengsabotaj sistem kritikal yang dikendalikannya.
Virus
Vulnerability Kakitangan MOA (Tetap, sementara, kontrak) atau pihak ketiga
(perunding, kontraktor, pembekal dan pembekal perkhidmatan)
yang diberikan hak capaian kepada aset ICT MOA.
Individu yang selain dari kakitangan MOA seperti perunding,
pembekal, kontraktor, pembekal perkhidmatan dan sebagainya.
Kemungkinan untuk sesuatu terjadi yang boleh memberikan impak
kepada objektifnya.
Kawasan di mana MOA menempatkan aset ICT yang sensitif dan
kritikal seperti Pusat Data atau bilik pejabat yang mengandungi
maklumat yang sulit.
Cara-cara untuk ‘membersihkan’ media, dengan cara merincih
atau menghancurkannya kepada bahagian yang kecil.
Kod yang ditulis dengan niat jahat untuk memusnah cara komputer
bekerja tanpa kebenaran pengguna.
Kelemahan dari segi prosedur, senibina, implementasi dan
kawalan dalaman yang boleh dieksploitasi hingga mengakibatkan
pelanggaran aspek keselamatan atau dasar keselamatan.
Dasar Klasifikasi dan Pengendalian Maklumat
v
DASAR KLASIFIKASI &
PENGENDALIAN MAKLUMAT
1. PENGENALAN
Maklumat mestilah dikendalikan secara betul untuk memastikan kerahsiaan, integriti dan
kesediaannya. Klasifikasi dan pengendalian maklumat hendaklah dilaksanakan untuk
mengawal maklumat yang disimpan. Maklumat yang terhad mestilah disimpan
berasingan dari yang lain. Asas yang sediakan di dalam dasar ini perlulah digunakan
untuk memastikan kawalan keselamatan yang sesuai bagi setiap maklumat yang ada.
2. TUJUAN
Tujuan Dasar ini adalah untuk memberi cara-cara untuk mengendalikan maklumat
dengan cara yang betul dan selamat.
3. KUMPULAN SASAR
Dasar ini tergunapakai oleh keseluruhan pengguna asset ICT di MOA. Tiada
pengecualian diberikan kepada sesiapapun. Kakitangan MOA yang tetap, sementara
dan berdasarkan kontrak adalah terikat dengan dasar ini. Dasar ini juga terikat kepada
kakitangan yang bekerja secara jauh (remote). Dokumen ini juga perlu dibaca bersama-
sama dengan direktif/pekeliling dari pihak berkuasa dari masa ke semasa.
4. PELANGGARAN DAN HUKUMAN
Sebarang pelanggaran dasar perlulah dilaporkan pada Bahagian Teknologi Maklumat
(BPM). Insiden perlulah disiasat dan oleh BPM, dengan kerjasama penyelia individu
yang disyaki dan pihak berkuasa.
Pelanggaran dasar secara sengaja atau sebaliknya akan menyebabkan:
a. Kehilangan hak capaian ke atas sumber maklumat;
b. Penilaian prestasi kerja yang buruk;
c. Dikenakan tindakan tatatertib;
d. Digantung kerja atau ditamatkan perkhidmatan;
e. Ditamatkan kontrak;
f. Dikenakan tindakan undang-undang.
Dasar Klasifikasi dan Pengendalian Maklumat
1
DASAR KLASIFIKASI &
PENGENDALIAN MAKLUMAT
5. SEMAKAN DAN PENYELENGGARAAN
DOKUMEN
ICT Security Officer (ICTSO) 1 merupakan pemunya dokumen ini. Dia bertanggungjawab
untuk menyemak dan menyelenggarakan dasar ini.
6. RUJUKAN
a. Information technology – Security techniques – Information security management
systems – Requirements (ISO/IEC 27001:2005)
b. Arahan Keselamatan
c. Arahan Teknologi Maklumat 2007 – MAMPU
d. Electronic Records Management and Archives Management Policy : Electronic
Records and the National Archives Act 2003
e. Malaysian Public Sector Management Of ICT Security Handbook (MyMIS)
f. National Archives Act 2003
1 Senarai Tugas ICTSO
Dasar Klasifikasi dan Pengendalian Maklumat
2
DASAR KLASIFIKASI &
PENGENDALIAN MAKLUMAT
7. DASAR
7.1. KLASIFIKASI MAKLUMAT
7.1.1. Menurut Arahan Keselamatan, maklumat perlulah diklasifikasikan seperti
berikut:
a. Terhad
Dokumen/maklumat/material rasmi selain dari yang diklasifikasi
sebagai Rahsia Besar, Rahsia atau Sulit dan memerlukan tindakan
keselamatan yang berpatutan.
b. Sulit
Dokumen/maklumat/material rasmi yang mana jika disebarkan
tanpa kebenaran, ia boleh memberikan impak kepada maruah
negara, aktiviti kerajaan atau individu atau boleh menyebabkan
kesukaran Pihak Kerajaan yang berkuasa kini yang
menguntungkan pihak luaran.
c. Rahsia
Dokumen/maklumat/material rasmi yang jika disebarkan boleh
membahayakan keselamatan negara yang menyebabkan
kehilangan yang besar pada maruah negara yang memberi
keuntungan yang besar bagi pihak luaran.
d. Rahsia Besar
Dokumen/maklumat/material rasmi jika disebarkan akan
menyebabkan kemusnahan besar kepada negara.
7.1.2 Semua maklumat hendaklah diklasifikasikan oleh pegawai pengklasan
maklumat yang dilantik.
Dasar Klasifikasi dan Pengendalian Maklumat
3
DASAR KLASIFIKASI &
PENGENDALIAN MAKLUMAT
7.2. PENGENDALIAN MAKLUMAT
7.2.1. Pemilik maklumat mestilah menentukan jenis klasifikasi maklumat.
7.2.2. Kawalan keselamatan yang mencukupi bagi maklumat terhad perlu untuk
mengawal kerahsiaan, integriti dan kesediaadaan maklumat tersebut.
7.2.3. Prosedur operasi mestilah dihasilkan dalam memasukan sekali kakitangan
yang dibenarkan melihat maklumat yang terperingkat.
7.2.4. Jika penerima maklumat dalaman MOA menyedari yang label klasifikasi
data digunakan adalah salah, penerima tersebut mestilah mengawal
maklumat itu dan memberi kawalan pada tahap lebih tinggi dari label yang
digunakan. Penerima hendaklah mengesahkan dengan pemilik maklumat
tersebut bahawa label yang digunakan itu adalah benar.
7.2.5. Pegguna mestilah mempunyai pengetahuan dan kesedaran mengenai
sesiapa yang boleh membahayakan keselamatan terhadap klasifikasi
maklumat dan mestilah menuruti garis panduan dan prosedur sedia ada
untuk menghalang individu dari melihat maklumat yang terperingkat itu.
7.2.6. Pengesahan dan kawalan capaian mestilah diimplemenkan berdasarkan
pada tahap klasifikasi yang betul untuk menghalang individu yang tidak
bertanggungjawab dari melihat maklumat itu. Pemilik maklumat mestilah
memastikan hak capaian yang betul.
7.2.7. Pengguna maklumat mestilah menjalankan proses penyemakan dan
nyah-klasfikasi setahun sekali untuk memastikan klasifikasi yang
digunakan adalah relevan. Maklumat mestilah dilupuskan klasfikasinya
kecuali ia diperintahkan sebegitu atau mengikuti undang-undang sedia
ada.
7.2.8. Berikut adalah cara mengendalikan maklumat, bermula dari penciptaan
hingga ke pemusnahan.
Dasar Klasifikasi dan Pengendalian Maklumat
4
DASAR KLASIFIKASI &
PENGENDALIAN MAKLUMAT
Rahsia Rahsia Sulit Terhad
Besar
Penglabelan
Label Dilabel Dilabel Dilabel Dilabel
Elektronik sebagai sebagai sebagai ‘Sulit’. sebagai
Media ‘Rahsia ‘Rahsia’. ‘Terhad’.
Besar’.
Label Bahan 1) Dilabel sebagai ‘Rahsia Besar’ atau ‘Rahsia’ atau ‘Sulit’ atau
Cetak
‘Terhad’ pada kulit depan, belakang dan pada setiap muka
surat di dalam dokumen. Lihat Arahan Keselamatan - Klausa
48-52.
2) Dilabel dengan peringatan. Lihat Arahan Keselamatan -
Klausa 53.
Rujukan Pemilik maklumat hendaklah bekerjasama dengan pihak
pengurusan MOA untuk menentukan nombor rujukan bagi setiap
dokumen yang dihasilkan. Lihat Arahan Keselamatan - Klausa
54.
Storan
Storan Media Enkripsi diperlukan. Enkripsi adalah pilihan.
Tetap
Storan Media Enkripsi diperlukan. Enkripsi adalah pilihan.
Boleh Ubah
Storan Fizikal 1) Bilik Kebal atau Peti Besi 1) Kabinet Besi.
yang dikunci.
2) Lihat Arahan Keselamatan –
2) Sesuatu yang masih Klausa 58 – 60.
dalam pembuatan boleh
disimpan dalam kabinet
besi yang berkunci.
3) Lihat Arahan
Keselamatan –Klausa 58
– 60.
Penghantaran/Pemprosesan
Penghantaran 1) Surat penerimaan (2 salinan) hendaklah disediakan.
Dokumen
2) Pakej Mel untuk dokumen dibawa menggunakan beg
berkunci:
a) Hanya 1 sampul surat dengan penanda label, nombor
rujukan dan alamat.
Dasar Klasifikasi dan Pengendalian Maklumat
5
DASAR KLASIFIKASI &
PENGENDALIAN MAKLUMAT
b) Sampul surat mestilah tertutup.
3) Pakej Mel untuk dokumen yang dibawa tanpa beg berkunci:
a) 2 sampul surat diperlukan.
b) Sampul surat dalaman dengan penanda label, nombor
rujukan, nama dan alamat;
c) Sampul surat luaran dengan nama dan alamat dan
mestilah tertutup.
4) Lihat Arahan Keselamatan Klausa 61 – 65.
Faks/Telefon 1) Dilarang.
/Telegraf
2) Lihat Arahan Keselamatan - Klausa 66.
Membawa
dokumen 1) Pengesahan bertulis dari 1) Pengesahan bertulis dari
keluar dari Ketua Setiausaha Ketua Jabatan diperlukan.
pejabat Kementerian atau
2) Lihat Arahan Keselamatan -
Setiausaha Kerajaan Klausa 67.
Negeri.
2) Lihat Arahan
Keselamatan -Klausa 67.
Penghantaran 1) Enkripsi diperlukan.
melalui
rangkaian 1) Kebenaran dari Pemilik maklumat diperlukan.
awam ( Public 2) Penanda backup yang dibuat, diperlukan.
Network)
Melakukan
backup
3) Lihat Arahan Keselamatan - Klausa 55-57.
Pelepasan Kepada Pihak Ketiga
Pelepasan 1) Hanya boleh dilepaskan kepada negara lain selepas
Kepada Pihak mendapat kebenaran dari Kerajaan Malaysia.
Ketiga
2) Pelepasan pada pihak ketiga perlulah dihadkan berdasarkan
keperluan capaian dan kebenaran yang diberi oleh pemunya
maklumat.
3) Pelepasan pada media hanya boleh dibuat jika ia dibenarkan
oleh Pemilik Maklumat.
4) Lihat Arahan Keselamatan - Klausa 68 – 70.
Memberi Hak Capaian
Memberi Hak 1) Access rights are granted by the information owner
Capaian 2) The access control is to be implemented by the IT
Dasar Klasifikasi dan Pengendalian Maklumat
6
DASAR KLASIFIKASI &
PENGENDALIAN MAKLUMAT
Pemusnahan Coordinator.
Pemusnahan
Fizikal 1) Hanya dibenarkan selepas mendapat pengesahan pemunya
maklumat. Pemusnah menyeluruh hendaklah dilakukan.
Pemusnahan
Elektronik 2) Rekod pemusnahan mestilah disimpan.
3) Dokumen mestilah dihancurkan (shredded).
4) Lihat Arahan Keselamatan - Klausa 71 – 74.
Pelupusan selamat (Secure Delete).
Kehilangan Dokumen/Maklumat
Melaporkan 1) Kehilangan dokumen mestilah dilapurkan segera pada Ketua
kehilangan Jabatan dalam tempoh 24 jam.
2) Siasat perlu dijalankan untuk menganggarkan impak dan
kerugian yang dihadapi. Jika perlu, laporan polis perlu
dijalankan.
3) Lihat Arahan Keselamatan - Klausa 75–76.
7.3. SIMPANAN REKOD/MAKLUMAT
7.3.1. Aktiviti simpanan rekod di MOA adalah mengikuti National Archives Act
(2003), garis panduan, memo dan keperluan operasi.
7.3.2. Semua rekod umum MOA yang penting hendaklah disimpan untuk
tempoh yang ditetapkan seperti di dalam National Archives Act (2003).
7.3.3. Bila tiba masa lupus penyimpanan rekod, ia perlulah dihantar kepada
Arkib Negara atau dimusnahkan.
8. DOKUMEN BERKAITAN
a. Dasar Penggunaan Yang Dibenarkan
Dasar Klasifikasi dan Pengendalian Maklumat
7
KEMENTERIAN PERTANIAN DAN
INDUSTRI ASAS TANI (MOA)
Dasar Pemulihan Bencana
Versi: 1.3
DASAR PEMULIHAN BENCANA
SEJARAH PENGUBAHAN DOKUMEN
Versi Penulis Tarikh Ubah Kelulusan Tarikh
Kuatkuasa
1.0 SCAN 30/11/2009 Mesyuarat JPICT 2/2010
1.1 ICTSO 24/8/2011 Mesyuarat JPICT 1/2012 21 April 2010
1.2 ICTSO 10 Nov 2012 Mesyuarat JPICT 1/2013 20 Januari 2012
1.3 ICTSO 8 Nov 2013 Mesyuarat JPICT 1/2014 18 Feb 2013
** Nota: Tiada Pindaan Khusus
Dasar Pemulihan Bencana
i
DASAR PEMULIHAN BENCANA
JADUAL PINDAAN DOKUMEN
TARIKH VERSI BUTIRAN PINDAAN
8 November 2013 1.3 SUB POLISI : DASAR PEMULIHAN BENCANA
i. Pindaan Perkara 7.7.1 : DRP mestilah
diuji setiap 6 bulan...
kepada
DRP mestilah diuji setiap 12 bulan dan ia
mestilah diuji dalam bentuk “live run”,
untuk memastikan sebarang kekurangan
pada pelan yang sedia ada. Ujian tersebut
juga digunakan untuk menguji kecekapan
pasukan DRP dan kakitangan yang lain
dalam melaksanakan pelan yang sedia ada.
ii. Pindaan Perkara 7.8.3 : Surat
pemberitahuan tahunan bagi DRP mestilah
dihantar pada pihak ICTSO....
kepada
Surat pemberitahuan tahunan bagi DRP
mestilah dihantar pada SUB BPM / ICTSO
untuk mengesahkan bahawa DRP telah
disemak, dikemaskini dan diuji.
Dasar Pemulihan Bencana
ii
DASAR PEMULIHAN BENCANA
KANDUNGAN
T A K R I F ................................................................................................................................................. IV
1 . P E N G E N A L A N .........................................................................................................................1
2 . T U J U A N ........................................................................................................................................1
3 . K U M P U L A N S A S A R ...........................................................................................................1
4 . P E L A N G G A R A N D A N H U K U M A N ...........................................................................1
5 . S E M A K A N D A N P E N Y E L E N G G A R A A N D O K U M E N .................................2
6 . R U J U K A N ....................................................................................................................................2
7 . D A S A R ...........................................................................................................................................3
7.1. P E L A N P E M U L I H A N B E N C A N A ( D R P ) .....................................................3
7.2. PENILAIAN RISIKO DAN BUSINESS IMPACT ANALYSIS
( B I A ) .............................................................................................................................3
7.3. MAXIMUM TOLERABLE DOWNTIME AND RECOVERY
T I M E O B J E C T I V E S ................................................................................................4
7.4. K A W A S A N P E M U L I H A N D A N P E N D U A ( A L T E R N A T E ) .....................4
7.5. M A K L U M A T R E K O D Y A N G K R I T I K A L .........................................................5
7.6. L A T I H A N D A N K E S E D A R A N ..............................................................................5
7.7. U J I A N D R P ................................................................................................................5
7.8. P E N Y E L E N G G A R A A N D R P ................................................................................6
8 . D O K U M E N B E R K A I T A N .................................................................................................6
Dasar Pemulihan Bencana
iii
DASAR PEMULIHAN BENCANA
TAKRIF
Aset ICT Sebarang objek ICT yang mempunyai nilai kepada organisasi.
Backup Salinan fail atau program yang dijanakan untuk memudahkan
Business Impact proses pemulihan dijalankan.
Analysis
Analisa berkaitan keperluan sistem ICT, proses dan hubungankait
Change Management antara keduanya yang digunakan untuk menyediakan sistem
kontigensi dan keutamaan yang perlu diberikan semasa bencana.
Dasar
Emel Proses yang memastikan semua perubahan ke atas infrastruktur
ICT ditaksirkan, ditentusahkan, dilaksanakan dan dikaji semula
dalam keadaan terkawal untuk memastikan gangguan tidak
berlaku.
Pernyataan peringkat tinggi mengenai prinsip, matlamat dan
objektif termasuk juga cara-cara untuk mencapainya bagi subjek
yang spesifik.
Mesej yang dihantar secara elektronik.
Impak Hasil atau lanjutan dari sesuatu kejadian.
Integriti Keadaan di mana maklumat tersimpan mengikut cara yang
Kawalan dibenarkan dan tiada perubahan dilakukan yang menjadikan
Kerahsiaan maklumat itu berlainan dari asal.
Langkah-langkah penjagaan yang mana bila ia dilakukan dengan
betul, akan mengurangkan risiko kemusnahan terhadap aset.
Keadaan di mana maklumat sensitif dikawal dan diberikan kepada
pengguna yang sah sahaja.
Dasar Pemulihan Bencana
iv
DASAR PEMULIHAN BENCANA
Keselamatan Fizikal Prosedur kawalan yang wujud untuk menghalang penceroboh dari
Ketersediaan memasuki sistem atau prasarana.
Pengasingan Tugas
Pengguna ICT Keadaan di mana maklumat atau proses sentiasa boleh dicapai
Pihak Ketiga dan digunakan oleh pihak yang dibenarkan.
Risiko
Secure Areas Pengasingan tugas dan tanggungjawab supaya tiada individu
Shred boleh mengsabotaj sistem kritikal yang dikendalikannya.
Virus
Vulnerability Kakitangan MOA (Tetap, sementara, kontrak) atau pihak ketiga
(perunding, kontraktor, pembekal dan pembekal perkhidmatan)
yang diberikan hak capaian kepada aset ICT MOA.
Individu yang selain dari kakitangan MOA seperti perunding,
pembekal, kontraktor, pembekal perkhidmatan dan sebagainya.
Kemungkinan untuk sesuatu terjadi yang boleh memberikan impak
kepada objektifnya.
Kawasan di mana MOA menempatkan aset ICT yang sensitif dan
kritikal seperti Pusat Data atau bilik pejabat yang mengandungi
maklumat yang sulit.
Cara-cara untuk ‘membersihkan’ media, dengan cara merincih
atau menghancurkannya kepada bahagian yang kecil.
Kod yang ditulis dengan niat jahat untuk memusnah cara komputer
bekerja tanpa kebenaran pengguna.
Kelemahan dari segi prosedur, senibina, implementasi dan
kawalan dalaman yang boleh dieksploitasi hingga mengakibatkan
pelanggaran aspek keselamatan atau dasar keselamatan.
Dasar Pemulihan Bencana
v
DASAR PEMULIHAN BENCANA
1. PENGENALAN
ICT merupakan infrastruktur kritikal yang menyediakan banyak perkhidmatan yang
berharga kepada MOA. Sebarang kerosakan atau kehilangan sistem utama boleh
menyebabkan masalah yang besar kepada operasi. Oleh itu langkah-langkah yang
sesuai perlu diambil untuk mengembalikan sumber yang terganggu itu untuk
memastikan kelancaran perkhidmatan di MOA dari sebarang masalah dan bencana.
MOA mengetahui bahawa bencana boleh berlaku pada bila-bila masa dan untuk
mengendalikan isu ini dengan cara terbaik adalah dengan menggunakan Pelan
Pemulihan Bencana (DRP).
2. TUJUAN
Tujuan dasar ini adalah untuk memastikan sumber ICT MOA dikawal dari sebarang
gangguan, bencana besar dengan membina, melaksana dan menguji Pelan Pemulihan
Bencana (DRP).
3. KUMPULAN SASAR
Dasar ini tergunapakai oleh kakitangan MOA yang membuat pelan, membina,
mengusaha, mengimplemen dan menjaga DRP.
4. PELANGGARAN DAN HUKUMAN
Sebarang pelanggaran dasar perlulah dilaporkan pada Bahagian Teknologi Maklumat
(BPM). Insiden perlulah disiasat dan oleh BPM, dengan kerjasama penyelia individu
yang disyaki dan pihak berkuasa.
Pelanggaran dasar secara sengaja atau sebaliknya akan menyebabkan:
a. Kehilangan hak capaian ke atas sumber maklumat;
b. Penilaian prestasi kerja yang buruk;
c. Dikenakan tindakan tatatertib;
d. Digantung kerja atau ditamatkan perkhidmatan;
e. Ditamatkan kontrak;
Dasar Pemulihan Bencana
1
DASAR PEMULIHAN BENCANA
f. Dikenakan tindakan undang-undang.
5. SEMAKAN DAN PENYELENGGARAAN DOKUMEN
ICT Security Officer (ICTSO) 1 merupakan pemunya dokumen ini. Dia bertanggungjawab
untuk menyemak dan menyelenggarakan dasar ini.
6. RUJUKAN
a. Information technology – Security techniques – Information Security Management
Systems – Requirements (ISO/IEC 27001:2005)
b. Arahan Teknologi Maklumat 2007 – MAMPU
c. Malaysian Public Sector Management Of ICT Security Handbook (MyMIS)
1 Senarai Tugas ICTSO
Dasar Pemulihan Bencana
2
DASAR PEMULIHAN BENCANA
7. DASAR
7.1. PELAN PEMULIHAN BENCANA (DRP)
7.1.1. Pelan Pemulihan Bencana (DRP) mestilah dibina dan diimplemen untuk
semua sistem yang kritikal untuk meminimakan impak sebarang
kerosakan sistem dan bencana.
7.1.2. DRP mestilah mempunyai sekurang-kurangnya:
a. Prosedur untuk sebarang gangguan ke atas operasi MOA;
b. Prosedur peningkatan, pengumumam dan pemberitahuan.
Senarai nombor telefon mestilah tersedia ada;
c. Keadaan yang mana DRP akan dilaksanakan dan kakitangan
yang mempunyai kebenaran untuk mengumumkan bencana dan
diberi kebenaran untuk melaksanakan proses pemulihan;
d. Senarai sumber yang diperlukan untuk memulihkan sistem ICT
yang kritikal bila berlakunya kerosakan yang utama. Ini
termasuklah kakitangan utama, peralatan, perisian, peralatan
pejabat dan dokumentasi yang berkaitan;
e. Maklumat berkaitan mengenai ruang pemulihan dan ruang
pendua; dan
f. Prosedur untuk mengembalikan operasi sistem ICT pada keadaan
asal.
7.2. PENILAIAN RISIKO DAN BUSINESS IMPACT ANALYSIS
(BIA)
7.2.1. Penilaian Risiko dan BIA mestilah dilaksanakan untuk mengetahui
keperluan DRP.
7.2.2. Penilaian Risiko dan BIA mestilah dilaksanakan setiap tahun untuk
mengetahui profil risiko dan persekitaran operasi.
Dasar Pemulihan Bencana
3
DASAR PEMULIHAN BENCANA
7.3. MAXIMUM TOLERABLE DOWNTIME AND RECOVERY
TIME OBJECTIVES
7.3.1. Maximum tolerable downtime (MTD) dan recovery time objectives (RTO)
untuk sistem ICT yang kritikal mestilah dihasilkan berdasarkan hasil
penilaian risiko dan BIA. Objektifnya adalah untuk menghasilkan DRP ,
prosedur dan tahap sumber yang minima untuk memulihkan sistem ICT
yang kritikal pada rangkamasa pemulihan yang ditetapkan.
7.3.2. MTD dan RTO yang telah ditentukan mestilah mengambil kira
kepentingan dan tahap kritika sesuatu sistem ICT.
7.3.3. MTD dan RTO untuk sesuatu sistem ICT mestilah ditentusahkan dan
dibenarkan oleh pihak pengurusan.
7.4. KAWASAN PEMULIHAN DAN PENDUA
(ALTERNATE)
7.4.1. Peraturan mestilah dihasilkan untuk kawasan pemulihan dan pendua
yang akan digunakan untuk mengendali sebarang sistem ICT yang
kritikal yang mungkin akan terputus pada masa bencana.
7.4.2. MOA mestilah menilai kesesuaian dan kapasiti pada kawasan pemulihan
dan pendua untuk memastikan:
a. Jarak yang sesuai dari kawasan utama untuk menghalang dari
terkena bencana yang sama;
b. Menggunakan rangkaian komunikasi dan talian kuasa yang
berbeza dari yang digunakan oleh kawasan utama; dan
c. Boleh dicapai pada bila-bila masa dan tersedia ada untuk diduduki
dengan mengambil kira keperluan logistik yang berdasar
rangkamasa yang terdapat di dalam DRP.
7.4.3. Bagi keperluan teknologi, MOA mestilah memastikan kawasan pemulihan
itu:
a. Bersesuaian dengan sistem utama (kapasiti dan keupayaan)
untuk dapat menyokong fungsi-fungsi yang kritikal; dan
b. Memastikan semua peralatan mempunyai versi yang yang terkini
(konfigurasi, perisian) mengikuti perubahan yang dilakukan.
Dasar Pemulihan Bencana
4
DASAR PEMULIHAN BENCANA
7.5. MAKLUMAT REKOD YANG KRITIKAL
7.5.1. Backup bagi maklumat kritikal, perisian dan dokumentasi mestilah
dipastikan mencukup untuk digunakan semasa proses pemulihan.
7.5.2. Prosedur mestilah dibina untuk memastikan ketersediaan semua sistem
dan rekod maklumat yang kritikal semasa proses pemulihan dijalankan
selepas sebarang gangguan berlaku.
7.6. LATIHAN DAN KESEDARAN
7.6.1. Semua kakitangan yang dipertanggungjawabkan mestilah dilatih
secukupnya. Latihan mengenai DRP mestilah dibuat setiap 12 bulan.
7.6.2. Kakitangan baru yang mempunyai tangggungjawab kepada DRP
mestilah dilatihan selepas memasuki pejabat secara rasmi.
7.7. UJIAN DRP
7.7.1. DRP mestilah diuji setiap 12 bulan dan ia mestilah diuji dalam bentuk
“live run”, untuk memastikan sebarang kekurangan pada pelan yang
sedia ada. Ujian tersebut juga digunakan untuk menguji kecekapan
pasukan DRP dan kakitangan yang lain dalam melaksanakan pelan yang
sedia ada.
7.7.2. Keputusan ujian dan “lessons learned” mestilah didokumenkan dan
disemak oleh kakitangan yang terbabit.
7.7.3. Maklumat yang didapati semasa ujian dan selepas ujian yang boleh
memperbaiki DRP hendaklah dimasukkan ke dalam DRP tersebut.
7.7.4. Dokumentasi ujian dan keputusannya mestilah disimpan untuk tujuan
audit.
Dasar Pemulihan Bencana
5
DASAR PEMULIHAN BENCANA
7.8. PENYELENGGARAAN DRP
7.8.1. DRP mestilah disemak ketepatan dan keefektifan setiap 12 bulan atau
bila masa ia dirasakan perlu.
7.8.2. Pasukan yang berkaitan mestilah menyemak DRP untuk memastikan jika
ada sebarang perubahan organisasi, masalah semasa proses
implementasi, perlaksanaan dan pengujian.
7.8.3. Surat pemberitahuan tahunan bagi DRP mestilah dihantar pada SUB
BPM I CTSO untuk mengesahkan bahawa DRP telah disemak,
dikemaskini dan diuji.
8. DOKUMEN BERKAITAN
Dasar Keselamatan Operasi
Dasar Pemulihan Bencana
6
KEMENTERIAN PERTANIAN DAN
INDUSTRI ASAS TANI (MOA)
Dasar Penggunaan Yang Dibenarkan
Versi: 1.3
DASAR PENGGUNAAN YANG
DIBENARKAN
SEJARAH PENGUBAHAN DOKUMEN
Versi Penulis Tarikh Ubah Kelulusan Tarikh
Kuatkuasa
1.0 SCAN 30/11/2009 Mesyuarat JPICT 2/2010
1.1 ICTSO 24/8/2011 Mesyuarat JPICT 1/2012 21 April 2010
1.2 ICTSO 10 Nov 2012 Mesyuarat JPICT 1/2013 20 Januari 2012
1.3 ICTSO 8 Nov 2013 Mesyuarat JPICT 1/2014 18 Feb 2013 **
** Nota: Tiada Pindaan Khusus
Dasar Penggunaan Yang Dibenarkan
1
DASAR PENGGUNAAN YANG
DIBENARKAN
JADUAL PINDAAN DOKUMEN
TARIKH VERSI BUTIRAN PINDAAN
8 November 2013 1.3 SUB POLISI : DASAR PENGGUNAAN
DIBENARKAN
i. Tambahan Perkara 7.3.9 (m/s:6):
Pengguna adalah dilarang untuk
melakukan:
g.Menggunakan perkhidmatan storan
umum (Cloud Storage seperti DropBox,
GDrive dan sebagainya) untuk
menempatkan dokumen terperingkat.
ii. Pindaan Perkara 7.4.10 (m/s:7) : Pengguna
dihalang dari berikut:
a. Menghantar/menerima kepilan
(attachment) bersaiz lebih dari 20MB
Kepada
Menghantar/menerima kepilan
(attachment) bersaiz lebih dari 10MB;
Dasar Penggunaan Yang Dibenarkan
2
DASAR PENGGUNAAN YANG
DIBENARKAN
KANDUNGAN
T A K R I F ................................................................................................................................................... 4
1 . P E N G E N A L A N ........................................................................................................................ 6
2 . T U J U A N ....................................................................................................................................... 6
3 . K U M P U L A N S A S A R ........................................................................................................... 6
4 . P E L A N G G A R A N D A N H U K U M A N ........................................................................... 6
5 . S E M A K A N D A N P E N Y E L E N G G A R A A N D O K U M E N ................................ 7
6 . R U J U K A N ................................................................................................................................... 7
7 . D A S A R .......................................................................................................................................... 8
7.1. P E N G G U N A A N U M U M D A N H A K P E N G G U N A A N .................... 8
7.2. A K T I V I T I S I S T E M D A N R A N G K A I A N ............................................... 8
7.3. P E N G G U N A A N I N T E R N E T ....................................................................... 10
7.4. E M E L .......................................................................................................................... 11
8. D O K U M E N B E R K A I T A N ............................................................................................... 13
Dasar Penggunaan Yang Dibenarkan
3
DASAR PENGGUNAAN YANG
DIBENARKAN
TAKRIF
Aset ICT Sebarang objek ICT yang mempunyai nilai kepada organisasi.
Backup Salinan fail atau program yang dijanakan untuk memudahkan
Business Impact proses pemulihan dijalankan.
Analysis
Analisa berkaitan keperluan sistem ICT, proses dan hubungankait
Change Management antara keduanya yang digunakan untuk menyediakan sistem
kontigensi dan keutamaan yang perlu diberikan semasa bencana.
Dasar
Emel Proses yang memastikan semua perubahan ke atas infrastruktur
ICT ditaksirkan, ditentusahkan, dilaksanakan dan dikaji semula
dalam keadaan terkawal untuk memastikan gangguan tidak
berlaku.
Pernyataan peringkat tinggi mengenai prinsip, matlamat dan
objektif termasuk juga cara-cara untuk mencapainya bagi subjek
yang spesifik.
Mesej yang dihantar secara elektronik.
Impak Hasil atau lanjutan dari sesuatu kejadian.
Integriti Keadaan di mana maklumat tersimpan mengikut cara yang
Kawalan dibenarkan dan tiada perubahan dilakukan yang menjadikan
Kerahsiaan maklumat itu berlainan dari asal.
Langkah-langkah penjagaan yang mana bila ia dilakukan dengan
betul, akan mengurangkan risiko kemusnahan terhadap aset.
Keadaan di mana maklumat sensitif dikawal dan diberikan kepada
pengguna yang sah sahaja.
Dasar Penggunaan Yang Dibenarkan
4
DASAR PENGGUNAAN YANG
DIBENARKAN
Keselamatan Fizikal Prosedur kawalan yang wujud untuk menghalang penceroboh dari
Ketersediaan memasuki sistem atau prasarana.
Pengasingan Tugas
Pengguna ICT Keadaan di mana maklumat atau proses sentiasa boleh dicapai
Pihak Ketiga dan digunakan oleh pihak yang dibenarkan.
Risiko
Secure Areas Pengasingan tugas dan tanggungjawab supaya tiada individu
Shred boleh mengsabotaj sistem kritikal yang dikendalikannya.
Virus
Vulnerability Kakitangan MOA (Tetap, sementara, kontrak) atau pihak ketiga
(perunding, kontraktor, pembekal dan pembekal perkhidmatan)
yang diberikan hak capaian kepada aset ICT MOA.
Individu yang selain dari kakitangan MOA seperti perunding,
pembekal, kontraktor, pembekal perkhidmatan dan sebagainya.
Kemungkinan untuk sesuatu terjadi yang boleh memberikan impak
kepada objektifnya.
Kawasan di mana MOA menempatkan aset ICT yang sensitif dan
kritikal seperti Pusat Data atau bilik pejabat yang mengandungi
maklumat yang sulit.
Cara-cara untuk ‘membersihkan’ media, dengan cara merincih
atau menghancurkannya kepada bahagian yang kecil.
Kod yang ditulis dengan niat jahat untuk memusnah cara komputer
bekerja tanpa kebenaran pengguna.
Kelemahan dari segi prosedur, senibina, implementasi dan
kawalan dalaman yang boleh dieksploitasi hingga mengakibatkan
pelanggaran aspek keselamatan atau dasar keselamatan.
Dasar Penggunaan Yang Dibenarkan
5
DASAR PENGGUNAAN YANG
DIBENARKAN
1. PENGENALAN
Teknologi ICT terkini membenarkan maklumat dihantar, diterima, diproses dan disimpan
secara pantas dan berkesan. Fenomena ini memutikkan lebih banyak kemudahan
berasaskan Internet/Intranet/Extranet untuk wujud. Penggunaan yang tidak terkawal
boleh menyebabkan sesuatu sistem berhadapan ancaman keselamatan. Oleh sebab itu,
kawalan keselamatan perlu untuk memastikan maklumat disimpan secara sepatutnya.
2. TUJUAN
Tujuan Dasar ini adalah untuk menggariskan penggunaan yang dibenarkan di dalam
MOA. Syarat-syarat ini ditetapkan untuk mengawal aset ICT MOA. Penyalahgunaan
aset ICT boleh menyebabkan MOA diancam risiko seperti serangan virus, serangan ke
atas rangkaian dan sistem termasuk juga masalah undang-undang.
3. KUMPULAN SASAR
Dasar ini tergunapakai oleh keseluruhan pengguna aset ICT di MOA. Tiada
pengecualian diberikan kepada sesiapapun. Kakitangan MOA yang tetap, sementara
dan berdasarkan kontrak adalah terikat dengan dasar ini. Dasar ini juga terikat kepada
kakitangan yang bekerja secara jauh (remote). Dokumen ini juga perlu dibaca bersama-
sama dengan direktif/pekeliling dari pihak berkuasa dari masa ke semasa.
4. PELANGGARAN DAN HUKUMAN
Sebarang pelanggaran dasar perlulah dilaporkan pada Bahagian Teknologi Maklumat
(BTM). Insiden perlulah disiasat dan oleh BTM, dengan kerjasama penyelia individu
yang disyaki dan pihak berkuasa.
Pelanggaran dasar secara sengaja atau sebaliknya akan menyebabkan:
a. Kehilangan hak capaian ke atas sumber maklumat;
b. Penilaian prestasi kerja yang buruk;
c. Dikenakan tindakan tatatertib;
d. Digantung kerja atau ditamatkan perkhidmatan;
e. Ditamatkan kontrak;
f. Dikenakan tindakan undang-undang.
Dasar Penggunaan Yang Dibenarkan
6
DASAR PENGGUNAAN YANG
DIBENARKAN
5. SEMAKAN DAN PENYELENGGARAAN
DOKUMEN
ICT Security Officer (ICTSO) 1 merupakan pemunya dokumen ini. Dia bertanggungjawab
untuk menyemak dan menyelenggarakan dasar ini.
6. RUJUKAN
a. Information Security – Security techniques – Code of practice for information
security management (ISO/IEC 17799 : 2005)
b. Information technology – Security techniques – Information security management
systems – Requirements (ISO/IEC 27001:2005)
c. Akta Arkib Negara 2003
d. Arahan Keselamatan
e. Arahan Teknologi Maklumat 2007 – MAMPU
f. Guidelines for Media Sanitisation : The NIST Handbook (Special Publication 800-
88)”, United States : National Institute of Standards and Technology, 2006
g. Malaysian Public Sector Management Of ICT Security Handbook (MyMIS)
h. Surat Pekeliling Am Bilangan 1 Tahun 2001 - Mekanisme Pelaporan Insiden
Keselamatan Teknologi Maklumat dan Komunikasi
i. Surat Pekeliling Am Bil. 4 Tahun 2006 : Pengurusan Pengendalian Insiden
Keselamatan Teknologi Maklumat Dan Komunikasi (ICT) Sektor Awam
1 Senarai Tugas ICTSO
Dasar Penggunaan Yang Dibenarkan
7
The words you are searching are inside this book. To get more targeted content, please make full-text search by clicking here.
Dasar Keselamatan ICT MOA (DKICT)_V3
Discover the best professional documents and content resources in AnyFlip Document Base.
Search