Info Keselamatan Siber

RUJUKAN VERSI TARIKH M/SURAT PKSB PERKESO Versi 1.1 14/12/22 94 dari 146 POLISI KESELAMATAN SIBER PERKESO a. Fail log sistem pengoperasian; b. Fail log servis (contoh: web, e-mel); c. Fail log aplikasi (audit trail); dan d. Fail log rangkaian (contoh: switch, firewall, IPS) Pentadbir Sistem dan Server hendaklah melaksanakan perkara-perkara berikut: a. Mewujudkan sistem log bagi merekodkan semua aktiviti harian pengguna; b. Menyemak sistem log secara berkala bagi mengesan ralat yang menyebabkan gangguan kepada sistem dan mengambil tindakan membaik pulih dengan segera; dan c. Sekiranya wujud aktiviti-aktiviti lain yang tidak sah seperti kecurian maklumat dan pencerobohan, Pentadbir Sistem hendaklah melaporkan kepada pasukan CSIRT PERKESO. DP080402(A.12.4.2) Perlindungan Maklumat Log (Protection of Log Information) Kemudahan pengelogan dan maklumat log hendaklah dilindungi daripada ubahan dan capaian tanpa izin. Pentadbir ICT DP080403(A.12.4.3) Log Pentadbir dan Pengendali (Administrator and Operator Logs) Aktiviti pentadbir sistem dan pengendali sistem hendaklah direkodkan dan log aktiviti tersebut hendaklah dilindungi dan dikaji semula secara tetap. Pentadbir Sistem dan Server, CSIRT PERKESO

RUJUKAN VERSI TARIKH M/SURAT PKSB PERKESO Versi 1.1 14/12/22 95 dari 146 POLISI KESELAMATAN SIBER PERKESO a. Memantau penggunaan kemudahan memproses maklumat secara berkala; b. Aktiviti pentadbir dan pengendali sistem perlu direkodkan. Aktiviti log hendaklah dilindungi dan catatan jejak audit disemak dari semasa ke semasa dan menyediakan laporan jika perlu. c. Kesalahan, kesilapan dan/atau penyalahgunaan perlu direkodkan log, dianalisis dan diambil tindakan sewajarnya; d. Log Audit yang merekodkan semua aktiviti perlu dihasilkan dan disimpan untuk tempoh masa yang dipersetujui bagi membantu siasatan dan memantau kawalan capaian; dan e. Sekiranya wujud aktiviti-aktiviti lain yang tidak sah seperti kecurian maklumat dan pencerobohan, Pentadbir Sistem ICT hendaklah melaporkan kepada pasukan CSIRT PERKESO. DP080404(A.12.4.4) Penyeragaman Jam (Clock Synchronisation) Jam bagi semua sistem pemprosesan maklumat yang berkaitan dalam sesebuah domain organisasi atau domain keselamatan hendaklah diseragamkan mengikut sumber rujukan masa tunggal. Waktu yang berkaitan dengan sistem pemprosesan maklumat dalam PERKESO atau domain keselamatan perlu diseragamkan dengan satu sumber waktu yang ditetapkan oleh National Metrology Institute of Malaysia (NMIM). Pentadbir Sistem dan Server

RUJUKAN VERSI TARIKH M/SURAT PKSB PERKESO Versi 1.1 14/12/22 96 dari 146 POLISI KESELAMATAN SIBER PERKESO 0805(A.12.5) Kawalan Perisian Yang Beroperasi (Control of Operational Software) Objektif: Menghalang capaian tidak sah dan tanpa kebenaran ke atas sistem pengoperasian. DP080501(A.12.5.1) Pemasangan Perisian Pada Sistem Yang Beroperasi (Installation of Software on Operational Systems) Prosedur hendaklah dilaksanakan untuk mengawal pemasangan perisian pada sistem operasi. Langkah-langkah yang perlu dipatuhi setelah mendapat kelulusan pegawai yang diberi kuasa melulus adalah seperti berikut: a. Strategi rollback perlu dilaksanakan sebelum sebarang perubahan ke atas konfigurasi, sistem dan perisian; b. Aplikasi dan sistem operasi hanya boleh digunakan setelah ujian terperinci dilaksanakan dan diperaku berjaya; dan c. Setiap konfigurasi ke atas sistem dan perisian perlu dikawal dan didokumentasikan dengan teratur. Ketua Bahagian, Pentadbir ICT, Pembekal 0806(A.12.6) Pengurusan Kerentanan Teknikal (Technical Vulnerability Management) Objektif: Memastikan kawalan kerentanan teknikal adalah berkesan, sistematik dan berkala dengan mengambil langkah yang bersesuaian untuk menjamin keberkesanannya.

RUJUKAN VERSI TARIKH M/SURAT PKSB PERKESO Versi 1.1 14/12/22 97 dari 146 POLISI KESELAMATAN SIBER PERKESO DP080601(A.12.6.1) Pengurusan Kerentanan Teknikal (Management of Technical Vulnerabilities) Maklumat tentang kerentanan teknikal sistem maklumat yang digunakan hendaklah diperoleh pada masa yang tepat, pendedahan organisasi terhadap kerentanan tersebut hendaklah dinilai dan langkah-langkah yang sesuai hendaklah diambil untuk menangani risiko yang berkaitan. Kawalan terhadap keterdedahan teknikal perlu dilaksanakan ke atas sistem aplikasi dan operasi yang digunakan. Perkara yang perlu dipatuhi adalah seperti yang berikut: a. Melaksanakan ujian penembusan untuk memperoleh maklumat kerentanan teknikal bagi sistem aplikasi dan operasi; b. Menganalisis tahap risiko kerentanan; dan c. Mengambil tindakan pengolahan dan kawalan risiko. Pentadbir ICT, CSIRT PERKESO, Pembekal DP080602(A.12.6.2) Sekatan ke atas Pemasangan Perisian (Restrictions on Software Installation) Peraturan yang mengawal pemasangan perisian oleh pengguna hendaklah disediakan dan dilaksanakan. Perkara yang perlu dipatuhi adalah seperti berikut: a. Hanya perisian yang diperakui sahaja dibenarkan bagi kegunaan anggota PERKESO yang mempunyai urusan dengan perkhidmatan ICT PERKESO; Pentadbir ICT, Anggota PERKESO yang mempunyai urusan dengan perkhidmatan ICT PERKESO

RUJUKAN VERSI TARIKH M/SURAT PKSB PERKESO Versi 1.1 14/12/22 98 dari 146 POLISI KESELAMATAN SIBER PERKESO b. Memasang dan menggunakan hanya perisian yang tulen, berdaftar dan dilindungi di bawah mana-mana undang-undang bertulis yang berkuat kuasa; dan c. Mengimbas semua perisian atau sistem dengan antivirus sebelum menggunakannya. 0807(A.12.7) Pertimbangan Tentang Audit Sistem Maklumat (Information Systems Audit Considerations) Objektif: Meminimumkan kesan aktiviti audit terhadap sistem yang beroperasi. DP080701(A.12.7.1) Kawalan Audit Sistem Maklumat (Information Systems Audit Controls) Keperluan dan aktiviti audit yang melibatkan penentusahan sistem yang beroperasi hendaklah dirancang dengan teliti dan dipersetujui bagi meminimumkan gangguan ke atas proses perniagaan. ICTSO, Pentadbir ICT

RUJUKAN VERSI TARIKH M/SURAT PKSB PERKESO Versi 1.1 14/12/22 99 dari 146 POLISI KESELAMATAN SIBER PERKESO Bidang 09(A.13) Keselamatan Komunikasi (Communications Security) 0901(A.13.1) Pengurusan Keselamatan Rangkaian (Network Security Management) Objektif: Memastikan maklumat dan kemudahan dalam rangkaian dilindungi. DP090101(A.13.1.1) Kawalan Rangkaian (Network Controls) Sistem dan aplikasi hendaklah dikawal dan diuruskan sebaik mungkin di dalam infrustruktur rangkaian daripada sebarang ancaman. Perkara yang perlu dipatuhi adalah seperti yang berikut: a. Bertanggungjawab dalam memastikan kerja-kerja operasi rangkaian dilindungi daripada pengubahsuaian yang tidak dibenarkan; b. Peralatan rangkaian hendaklah ditempatkan di lokasi yang mempunyai ciri-ciri fizikal yang selamat dan bebas dari risiko seperti banjir, gegaran dan habuk; c. Capaian kepada peralatan rangkaian hendaklah dikawal dan dihadkan kepada pengguna yang dibenarkan sahaja; d. Semua peralatan rangkaian hendaklah melalui proses Factory Acceptance Check (FAC) semasa pemasangan dan konfigurasi; e. Firewall hendaklah dipasang, dikonfigurasi dan diselia oleh Pentadbir Keselamatan dan Rangkaian ICT; f. Semua trafik keluar dan masuk rangkaian hendaklah melalui firewall di bawah kawalan PERKESO; Ketua Bahagian, Pentadbir Rangkaian dan Keselamatan ICT, Pentadbir Pusat Data, Pentadbir Pusat Pemulihan Bencana

RUJUKAN VERSI TARIKH M/SURAT PKSB PERKESO Versi 1.1 14/12/22 100 dari 146 POLISI KESELAMATAN SIBER PERKESO g. Semua perisian sniffer atau network analyser adalah dilarang dipasang pada komputer pengguna KECUALI mendapat kebenaran daripada Pegawai Keselamatan ICT (ICTSO); h. Memasang perisian Intrusion Prevention System (IPS) bagi mencegah sebarang cubaan penceroboh dan aktivitiaktiviti lain yang boleh mengancam data dan maklumat PERKESO; i. Memasang Web Content Filtering pada Internet Gateway untuk menyekat aktiviti yang dilarang; j. Sebarang penyambungan rangkaian yang bukan di bawah kawalan BST, PERKESO adalah tidak dibenarkan; k. Semua pengguna hanya dibenarkan menggunakan rangkaian sedia ada di PERKESO sahaja dan penggunaan modem atau peranti rangkaian dari luar adalah dilarang sama sekali; l. Kemudahan bagi wireless LAN hendaklah dipantau dan dikawal penggunaannya; m. Semua perjanjian perkhidmatan rangkaian hendaklah mematuhi Service Level Assurance (SLA) yang telah ditetapkan; n. Menempatkan atau memasang antara muka (interfaces) yang bersesuaian di antara rangkaian PERKESO, rangkaian agensi lain dan rangkaian awam; o. Mewujudkan dan menguatkuasakan mekanisme untuk pengesahanpengguna dan peralatan yang menepati kesesuaian penggunaannya; p. Memantau dan menguatkuasakan kawalan capaian pengguna terhadap perkhidmatan rangkaian ICT yang dibenarkan sahaja; q. Mengawal capaian fizikal dan logikal ke atas kemudahan port diagnostik dan konfigurasi jarak jauh; r. Mengawal sambungan ke rangkaian khususnya bagi kemudahan yang dikongsi dan menjangkau sempadan

RUJUKAN VERSI TARIKH M/SURAT PKSB PERKESO Versi 1.1 14/12/22 101 dari 146 POLISI KESELAMATAN SIBER PERKESO PERKESO; dan s. Mewujud dan melaksana kawalan pengalihan laluan (routing control) bagi memastikan pematuhan terhadap peraturan-peraturan PERKESO. DP090102(A.13.1.2) Keselamatan Perkhidmatan Rangkaian (Security of Network Services) Pengurusan bagi semua perkhidmatan rangkaian (inhouse atau outsource) yang merangkumi mekanisme keselamatan dan tahap perkhidmatan hendaklah dikenal pasti dan dimasukkan di dalam perjanjian perkhidmatan rangkaian. Ketua Bahagian, ICTSO, Pentadbir Rangkaian dan Keselamatan ICT, Pembekal DP090103(A.13.1.3) Pengasingan Dalam Rangkaian (Segregation in Networks) Pengasingan rangkaian hendaklah dibuat untuk membezakan anggota PERKESO, pembekal yang dilantik oleh PERKESO, pengguna luar dan sistem maklumat mengikut segmen rangkaian PERKESO. Ketua Bahagian, ICTSO, Pentadbir Rangkaian dan Keselamatan ICT

RUJUKAN VERSI TARIKH M/SURAT PKSB PERKESO Versi 1.1 14/12/22 102 dari 146 POLISI KESELAMATAN SIBER PERKESO 0902(A.13.2) Pemindahan Data dan Maklumat (Information Transfer) Objektif: Memastikan keselamatan perpindahan / pertukaran data maklumat dan perisian antara PERKESO dan pihak luar terjamin. DP090201(A.13.2.1) Polisi dan Prosedur Pemindahan Data dan Maklumat (Information Transfer Policies and Procedures) Perkara yang perlu dipatuhi adalah seperti yang berikut: a. Polisi, prosedur dan kawalan pemindahan data dan maklumat yang formal hendaklah diwujudkan untuk melindungi pemindahan data dan maklumat melalui sebarang jenis kemudahan komunikasi; b. Terma pemindahan data, maklumat dan perisian antara PERKESO dengan pihak luar hendaklah dimasukkan di dalam Perjanjian; c. Media yang mengandungi maklumat perlu dilindungi; dan d. Memastikan maklumat yang terdapat dalam e-mel elektronik hendaklah dilindungi sebaik-baiknya. Anggota PERKESO, pembekal, pakar runding dan pihak yang mempunyai urusan dengan perkhidmatan ICT PERKESO DP090202(A.13.2.2) Perjanjian Mengenai Pemindahan Data dan Maklumat (Agreements on Information Transfer) PERKESO perlu mengambil kira keselamatan maklumat organisasi dengan menandatangani perjanjian bertulis CIO dan Ketua Bahagian,

RUJUKAN VERSI TARIKH M/SURAT PKSB PERKESO Versi 1.1 14/12/22 103 dari 146 POLISI KESELAMATAN SIBER PERKESO apabila berlaku pemindahan data dan maklumat organisasi antara PERKESO dengan pihak luar. Perkara yang perlu dipatuhi ialah: a . Ketua Bahagian hendaklah mengawal penghantaran dan penerimaan maklumat PERKESO; b . Prosedur bagi memastikan keupayaan mengesan dan tanpa sangkalan semasa pemindahan data dan maklumat PERKESO; c . Mengenal pasti pihak yang bertangungjawab terhadap risiko pemindahan data dan maklumat sekiranya berlaku insiden keselamatan maklumat; dan d . PERKESO hendaklah mengenal pasti perlindungan data dalam penggunaan, data dalam pergerakan, data dalam simpanan dan menghalang ketirisan data. Pentadbir ICT, Pembekal DP090203(A.13.2.3) Pesanan Elektronik (Electronic Messaging) Maklumat yang terlibat dalam pesanan elektronik hendaklah dilindungi sewajarnya mengikut arahan dan peraturan semasa. Perkara yang perlu dipatuhi dalam pengendalian mel elektronik dan undang-undang bertulis lain yang berkuat kuasa adalah seperti LAMPIRAN 1: a. Garis panduan mengenai Tatacara Penggunaan Internet dan Mel Elektronik di Agensi-agensi Kerajaan Bilangan 1 Tahun 2003; b. Surat Arahan Ketua Pengarah MAMPU bertarikh 1 Jun 2007 – Langkah-langkah mengenai penggunaan mel Elektronik Agensi-agensi Kerajaan; Semua Pengguna

RUJUKAN VERSI TARIKH M/SURAT PKSB PERKESO Versi 1.1 14/12/22 104 dari 146 POLISI KESELAMATAN SIBER PERKESO c. Arahan Setiausaha Majlis Keselamatan Negara Bil. 1 Tahun 2013 – Pematuhan Tatacara Penggunaan E-mel dan Internet; dan d. Arahan Pentadbiran Bil 8 Tahun 2019 – Garis Panduan Penggunaan Mel Elektronik PERKESO DP090204(A.13.2.4) Perjanjian Kerahsiaan atau Ketakdedahan (Confidentiality or Non-Disclosure Agreements) Syarat-syarat perjanjian kerahsiaan atau non-disclosure perlu mengambil kira keperluan organisasi dan hendaklah disemak dan didokumentasikan. Pembekal, pakar runding dan pengguna luar hendaklah bersetuju dan mematuhi semua keperluan keselamatan maklumat yang ditetapkan oleh PERKESO. Ketua Bahagian, ICTSO, Pentadbir Perolehan, Pentadbir ICT, Pembekal, Pakar Runding, Pengguna Luar

RUJUKAN VERSI TARIKH M/SURAT PKSB PERKESO Versi 1.1 14/12/22 105 dari 146 POLISI KESELAMATAN SIBER PERKESO Bidang 10(A.14) Pemerolehan, Pembangunan Dan Penyelenggaraan Sistem (System Acquisition, Development and Maintenance) 1001(A.14.1) Keperluan Keselamatan Sistem Maklumat (Security Requirements of Information Systems) Objektif: Memastikan keselamatan maklumat dijadikan bahagian penting dalam sistem maklumat sepanjang seluruh kitar hayat. Ini juga termasuk keperluan untuk sistem maklumat yang menyediakan perkhidmatan dalam rangkaian awam. DP100101(A.14.1.1) Analisa dan Spesifikasi Keperluan Keselamatan Maklumat (Information Security Requirements Analysis and Spesification) Keperluan keselamatan maklumat hendaklah dimasukkan dalam keperluan untuk sistem maklumat baharu atau penambahbaikan pada sistem maklumat sedia ada. Keperluan keselamatan maklumat bagi pembangunan sistem baharu dan penambahbaikan sistem hendaklah mematuhi perkara-perkara berikut: a. Aspek keselamatan hendaklah dimasukkan ke dalam semua fasa kitar hayat pembangunan sistem termasuk pengkonsepan perisian, kajian keperluan, reka bentuk, pelaksanaan, pengujian, penerimaan, pemasangan, penyelenggaraan dan pelupusan; b. Semua sistem yang dibangunkan sama ada secara dalaman atau sebaliknya hendaklah dikaji Pentadbir ICT

RUJUKAN VERSI TARIKH M/SURAT PKSB PERKESO Versi 1.1 14/12/22 106 dari 146 POLISI KESELAMATAN SIBER PERKESO kesesuaiannya mengikut keperluan pengguna dan selaras dengan Polisi Keselamatan Siber PERKESO; c. Penyediaan reka bentuk, pengaturcaraan dan pengujian sistem hendaklah mematuhi kawalan keselamatan yang telah ditetapkan; dan d. Ujian keselamatan hendaklah dilakukan semasa pembangunan sistem bagi memastikan kesahihan dan integriti data. DP100102(A.14.1.2) Melindungi Perkhidmatan Aplikasi dalam Rangkaian Awam (Securing Application Services on Public Networks) Maklumat aplikasi yang melalui rangkaian umum (public networks) hendaklah dilindungi daripada aktiviti penipuan dan pendedahan maklumat yang tidak dibenarkan. Perkara yang perlu dipertimbangkan adalah seperti berikut: a. Semua perkhidmatan sumber luaran hendaklah dikenal pasti, direkodkan dan dikaji semula secara berkala. Perkhidmatan sumber luaran adalah perkhidmatan yang disediakan oleh organisasi luar untuk menyokong operasi PERKESO. Contoh perkhidmatan sumber luaran ialah: i. Perisian Sebagai Satu Perkhidmatan; ii. Paltform Sebagai Satu Perkhidmatan; iii. Infrastruktur Sebagai Satu Perkhidmatan; iv. Storan Pengkomputeran Awan; dan v. Pemantauan Keselamatan. Pentadbir ICT

RUJUKAN VERSI TARIKH M/SURAT PKSB PERKESO Versi 1.1 14/12/22 107 dari 146 POLISI KESELAMATAN SIBER PERKESO b. Saluran komunikasi dan aliran data kepada perkhidmatan ini hendaklah dikenal pasti, direkodkan dan dikaji semula secara berkala; c. Tahap kerahsiaan bagi mengenal pasti identiti masingmasing, misalnya melalui pengesahan (authentication); d. Proses berkaitan dengan pihak yang berhak untuk meluluskan kandungan, penerbitan atau menandatangani dokumen transaksi; e. Memastikan pihak ketiga dimaklumkan sepenuhnya mengenai kebenaran penggunaan aplikasi dan perkhidmatan ICT; dan f. Memastikan pihak ketiga memahami keperluan kerahsiaan, integriti, bukti penghantaran serta penerimaan dokumen dan kontrak. DP100103(A.14.1.3) Melindungi Transaksi Perkhidmatan Aplikasi (Protecting Application Services Transactions) Maklumat yang terlibat dalam urusan perkhidmatan aplikasi hendaklah dilindungi bagi mengelakkan penghantaran tidak sempurna, salah destinasi, pindaan mesej yang tidak dibenarkan, pendedahan yang tidak dibenarkan, penduaan atau ulang tayang mesej yang tidak dibenarkan. Perkara yang perlu dipertimbangkanadalah seperti y a n g berikut: a. Penggunaan tandatangan elektronik oleh setiap pihak yang terlibat dalam transaksi; b. Memastikan semua aspek transaksi dipatuhi: i. maklumat pengesahan pengguna adalah sah digunakan dan telah disahkan; ii. mengekalkan kerahsiaan maklumat; Ketua Bahagian, ICTSO, Pentadbir ICT, Pembekal

RUJUKAN VERSI TARIKH M/SURAT PKSB PERKESO Versi 1.1 14/12/22 108 dari 146 POLISI KESELAMATAN SIBER PERKESO iii. mengekalkan privasi pihak yang terlibat; iv. komunikasi antara semua pihak yang terlibat dirahsiakan; dan v. protokol yang digunakan untuk berkomunikasi antara semua pihak dilindungi. c. Pihak yang mengeluarkan tandatangan digital ialah yang dilantik oleh Kerajaan. 1002(A.14.2) Keselamatan Dalam Proses Pembangunan dan Sokongan (Security in Development and Support Processes) Objektif: Memastikan sistem yang dibangunkan mempunyai ciri-ciri keselamatan siber yang bersesuaian bagi menghalang kesilapan, kehilangan, pindaan yang tidak sah dan penyalahgunaan maklumat dalam aplikasi. DP100201(A.14.2.1) Dasar Pembangunan Selamat (Secure Development Policy) Peraturan bagi pembangunan perisian dan sistem hendaklah disediakan dan digunakan untuk pembangunan dalam organisasi. Perkara yang perlu adalah seperti berikut: a. Keselamatan persekitaran pembangunan; b. Keselamatan pangkalan data; c. Keperluan keselamatan dalam fasa reka bentuk; d. Keperluan check point keselamatan dalam carta perbatuan projek; e. Keperluan pengetahuan ke atas keselamatan aplikasi; Ketua Bahagian, ICTSO, Pentadbir ICT, Pembekal

RUJUKAN VERSI TARIKH M/SURAT PKSB PERKESO Versi 1.1 14/12/22 109 dari 146 POLISI KESELAMATAN SIBER PERKESO f. Keselamatan dalam kawalan versi; dan g. Bagi pembangunan secara penyumberluaran (outsource), pembekal yang dilantik berkebolehan untuk mengenal pasti dan menambah baik kelemahan dalam pembangunan sistem. DP100202(A.14.2.2) Prosedur Kawalan Perubahan Sistem (System Change Control Procedures) Perubahan pada sistem dalam kitar hayat pembangunan hendaklah dikawal dengan menggunakan prosedur kawalan perubahan yang telah ditetapkan. Perubahan ke atas sistem hendaklah dikawal. Perkara yang perlu dipatuhi adalah seperti yang berikut: a. Perubahan atau pengubahsuaian ke atas sistem maklumat dan aplikasi hendaklah dikawal, diuji, direkodkan dan disahkan sebelum diguna pakai; b. Aplikasi kritikal perlu dikaji semula dan diuji apabila terdapat perubahan kepada sistem pengoperasian untuk memastikan tiada kesan yang buruk terhadap operasi dan keselamatan agensi. Individu atau suatu kumpulan tertentu perlu bertangungjawab memantau penambahbaikan dan pembetulan yang dilakukan oleh vendor; c. Mengawal perubahan dan/atau pindaan ke atas pakej perisian dan memastikan sebarang perubahan adalah terhad mengikut keperluan yang dibenarkan sahaja; dan d. Capaian kepada kod sumber (source code) aplikasi perlu dihadkan kepada pengguna yang dibenarkan sahaja. Ketua Bahagian, Pentadbir ICT, Pembekal

RUJUKAN VERSI TARIKH M/SURAT PKSB PERKESO Versi 1.1 14/12/22 110 dari 146 POLISI KESELAMATAN SIBER PERKESO DP100203(A.14.2.3) Kajian Semula Teknikal Bagi Aplikasi Selepas Perubahan Platform Operasi (Technical Review of Applications after Operating Platform Changes) Apabila platform operasi berubah, aplikasi penting perniagaan hendaklah dikaji semula dan diuji bagi memastikan tiada kesan buruk ke atas operasi atau keselamatan organisasi. Perkara yang perlu dipatuhi adalah seperti y a n g berikut: a. Pengujian ke atas sistem adalah perlu untuk memastikan sistem tidak terjejas apabila berlaku perubahan platform; b. Perubahan platform dimaklumkan kepada pihak yang terlibat bagi membolehkan ujian yang bersesuaian dilakukan sebelum pelaksanaan; dan c. Memastikan perubahan yang sesuai dibuat kepada Pelan Pengurusan Kesinambungan Perkhidmatan PERKESO dan Pelan Pemulihan Bencana ICT PERKESO. Pentadbir ICT, Pelan Kesinambungan Perniagaan (PKP), Pembekal DP100204(A.14.2.4) Sekatan Ke Atas Perubahan Dalam Pakej Perisian (Restrictions on Changes to Software Packages) Pengubahsuaian ke atas pakej perisian adalah tidak digalakkan, ia terhad kepada perubahan yang perlu dan semua perubahan hendaklah dikawal dengan ketat. Ketua Bahagian, Pentadbir ICT, Pembekal

RUJUKAN VERSI TARIKH M/SURAT PKSB PERKESO Versi 1.1 14/12/22 111 dari 146 POLISI KESELAMATAN SIBER PERKESO DP100205(A.14.2.5) Prinsip Kejuruteraan Sistem Yang Selamat (Secure System Engineering Principles) Prinsip bagi sistem keselamatan kejuruteraan hendaklah disediakan, didokumentasikan, diselenggara dan digunakan untuk apa-apa usaha pelaksanaan sistem maklumat. Prinsip dan prosedur kejuruteraan hendaklah sentiasa dikaji dari semasa ke semasa dalam semua peringkat pembangunan sistem bagi memastikan keberkesanan kepada keselamatan maklumat. Ketua Bahagian, Pentadbir ICT DP100206(A.14.2.6) Persekitaran Pembangunan Selamat (Secure Development Environment) Organisasi hendaklah mewujudkan dan melindungi sewajarnya persekitaran pembangunan selamat untuk pembangunan sistem dan usaha integrasi yang meliputi seluruh kitar hayat pembangunan sistem. PERKESO perlu menilai risiko yang berkaitan semasa pembangunan sistem dan membangunkan persekitaran yang selamat dengan mengambil kira: a. Sensitiviti data yang diproses, disimpan dan dihantar oleh sistem; b. Terpakai kepada keperluan undang-undang dan peraturan dalaman dan luaran; c. Keperluan dalam pengasingan di antara pelbagai persekitaran pembangunan sistem; d. Kawalan pemindahan data dari atau ke persekitaran pembangunan sistem; Ketua Bahagian, Pentadbir ICT

RUJUKAN VERSI TARIKH M/SURAT PKSB PERKESO Versi 1.1 14/12/22 112 dari 146 POLISI KESELAMATAN SIBER PERKESO e. Pegawai yang bekerja di dalam persekitaran pembangunan sistem ialah yang boleh dipercayai; dan f. Kawalan ke atas capaian kepada persekitaran pembangunan sistem. DP100207(A.14.2.7) Pembangunan Oleh Khidmat Luaran (Outsourced Development) PERKESO hendaklah menyelia dan memantau aktiviti pembangunan sistem yang dilaksanakan secara outsource oleh pihak luar. Kod sumber (source code) adalah menjadi HAK MILIK PERKESO. Perkara yang perlu dipatuhi adalah seperti yang berikut: a. Perkiraan perlesenan, kod sumber ialah HAK MILIK PERKESO dan harta intelek sistem yang berkaitan dengan pembangunan perisian aplikasi secara outsource; b. Bagi semua perkhidmatan sumber luaran, perisian sebagai satu perkhidmatan yang mengendalikan Maklumat Rahsia Rasmi, spesifikasi perolehan dan kontrak komersial hendaklah memasukkan keperluan mandatori “PERKESO berhak mencapai kod sumber dan melaksanakan pengolahan risiko”; c. Keperluan kontrak untuk rekabentuk selamat, pengekodan dan pengujian pembangunan sistem yang dijalankan oleh pihak luar mengikut amalan terbaik; d. Penerimaan pengujian berdasarkan kepada kualiti dan ketepatan serahan sistem; dan e. Mematuhi keberkesanan kawalan dan undang-undang dalam melaksanakan pengesahan pengujian. Ketua Bahagian, ICTSO, Pentadbir ICT, Pembekal, Pakar Runding, Pengguna Luar

RUJUKAN VERSI TARIKH M/SURAT PKSB PERKESO Versi 1.1 14/12/22 113 dari 146 POLISI KESELAMATAN SIBER PERKESO DP100208(A.14.2.8) Pengujian Keselamatan Sistem (System Security Testing) Pengujian fungsian keselamatan hendaklah dijalankan setiap kali terdapat pembangunan sistem. Perkara yang perlu dipatuhi adalah seperti y a n g berikut: a. Pengujian keselamatan sistem hendaklah dijalankan semasa pembangunan; b. Semua sistem baharu dan penambahbaikan sistem yang berskala besar yang telah diputuskan dalam jawatankuasa projek hendaklah menjalani ujian Security Posture Assessment (SPA); c. Menyemak dan mengesahkan input data sebelum dimasukkan ke dalam aplikasi bagi menjamin proses dan ketepatan maklumat; d. Mengenalpasti dan melaksanakan kawalan yang sesuai bagi pengesahan dan perlindungan integriti data dalam aplikasi; e. Membuat semakan pengesahan di dalam aplikasi untuk mengenalpasti sebarang kecacatan maklumat sama ada kerana kesilapan atau disengajakan; dan f. Menjalankan proses semak ke atas output data daripada setiap proses aplikasi untuk menjamin ketepatan dan kesesuaian. ICTSO, Pentadbir ICT, Pembekal DP100209(A.14.2.9) Pengujian Penerimaan Sistem (System Acceptance Testing) Program pengujian penerimaan dan kriteria yang berkaitan hendaklah disediakan untuk sistem maklumat yang baharu yang ditambah baik dan versi baharu. Perkara yang perlu dipatuhi adalah seperti yang berikut: ICTSO, Pentadbir ICT, Anggota PERKESO, Pembekal

RUJUKAN VERSI TARIKH M/SURAT PKSB PERKESO Versi 1.1 14/12/22 114 dari 146 POLISI KESELAMATAN SIBER PERKESO a. Pengujian penerimaan sistem hendaklah merangkumi Keperluan Keselamatan Maklumat (rujuk A.14.1.1 dan A.14.1.2) dan kepatuhan kepada Polisi Pembangunan Selamat (rujuk A.14.2.1); b. Penerimaan pengujian semua sistem baharu dan penambahbaikan sistem hendaklah memenuhi kriteria yang ditetapkan sebelum sistem digunapakai; dan c. Pengujian semua sistem baharu boleh menggunakan perisian imbasan automatik yang digunakan untuk ujian imbasan kerentanan (vulnerability scanner). 1003(A.14.3) Data Ujian (Test Data) Objektif: Untuk memastikan perlindungan ke atas data yang digunakan untuk pengujian. DP100301(A.14.3.1) Perlindungan Data Ujian (Protection of Test Data) Data ujian hendaklah dipilih dengan teliti, dilindungi dan dikawal. Perkara yang perlu dipatuhi adalah seperti y a n g berikut: a. Sebarang prosedur kawalan persekitaran sebenar hendaklah juga dilaksanakan dalam persekitaran pengujian; dan b. Anggota PERKESO dan pembekal yang mempunyai hak capaian persekitaran sebenar sahaja dibenarkan untuk menyalin data sebenar ke persekitaran pengujian. ICTSO, Pentadbir ICT, Anggota PERKESO, Pembekal

RUJUKAN VERSI TARIKH M/SURAT PKSB PERKESO Versi 1.1 14/12/22 115 dari 146 POLISI KESELAMATAN SIBER PERKESO Bidang 11(A.15) Hubungan Pembekal (Supplier Relationship) 1101(A.15.1) Keselamatan Maklumat Dalam Hubungan Pembekal (Information Security in Supplier Relationship) Objektif: Memastikan aset ICT PERKESO yang boleh dicapai oleh pembekal dilindungi. DP110101(A.15.1.1) Polisi Keselamatan Maklumat Untuk Hubungan Pembekal (Information Security Policy for Supplier Relationships) Keperluan keselamatan maklumat hendaklah dipersetujui dan didokumentasikan dengan pembekal bagi mengurangkan r i s i k o k e p a d a aset PERKESO. Perkara yang perlu dipertimbangkan adalah seperti yang berikut: a. Mengenal pasti dan mendokumentasi jenis pembekal mengikut kategori; b. Proses kitaran hayat (lifecycle) yang seragam untuk menguruskan pembekal; c. Mengawal dan memantau akses pembekal; d. Keperluan minimum keselamatan maklumat bagi setiap pembekal dinyatakan dalam perjanjian; e. Jenis-jenis obligasi kepada pembekal; f. Pelan kontingensi (contingency plan) bagi memastikan ketersediaan kemudahan pemprosesan maklumat; dan g. Menandatangani Surat Akuan Pematuhan Polisi Keselamatan Siber PERKESO, Borang Non Disclosure Agreement (NDA) dan Borang Soalan Keselamatan (KPKK 11); dan Ketua Bahagian, Pemilik Projek, Pembekal

RUJUKAN VERSI TARIKH M/SURAT PKSB PERKESO Versi 1.1 14/12/22 116 dari 146 POLISI KESELAMATAN SIBER PERKESO h. Pembekal perlu mematuhi arahan keselamatan yang berkuat kuasa. DP110102(A.15.1.2) Menangani Keselamatan Dalam Perjanjian Pembekal (Addressing Security within Supplier Agreements) Semua keperluan keselamatan maklumat yang berkaitan hendaklah disediakan dan dipersetujui dengan setiap pembekal yang boleh mengakses, m e m p r o s e s , menyimpankan atau menyediakan komponen infrastruktur ICT untuk maklumat organisasi. Syarikat pembekal hendaklah memastikan semua kakitangan mereka mematuhi dan mengambil semua tindakan kawalan keselamatan yang perlu pada setiap masa dalam memberikan perkhidmatan kepada pihak PERKESO selaras dengan peraturan dan kawalan keselamatan yang berkuat kuasa. Sekiranya syarikat pembekal gagal untuk mematuhi peraturan kawalan keselamatan tersebut, pihak Kerajaan mempunyai kuasa untuk menghalang syarikat pembekal daripada melaksanakan perkhidmatan tersebut. Perkara yang perlu dipatuhi adalah seperti yang berikut: a. PERKESO hendaklah memilih syarikat pembekal yang mempunyai pendaftaran sah dengan Kementerian Malaysia dalam Kod Bidang yang berkaitan; b. Syarikat pembekal yang mempunyai pensijilan keselamatan yang berkaitan hendaklah diberi keutamaan; c. Semua wakil syarikat pembekal hendaklah mempunyai kelulusan keselamatan daripada agensi berkaitan; d. Produk atau perkhidmatan yang ditawarkan oleh Syarikat Pembekal

RUJUKAN VERSI TARIKH M/SURAT PKSB PERKESO Versi 1.1 14/12/22 117 dari 146 POLISI KESELAMATAN SIBER PERKESO syarikat pembekal hendaklah melalui penilaian teknikal untuk memastikan keperluan keselamatan dipenuhi; e. Jawatankuasa Penilaian Teknikal boleh melaksanakan penilaian teknikal atau bertindak ke atas penilaian pihak ketiga melalui laporan yang dikemukakan oleh syarikat pembekal; f. Laporan penilaian pihak ketiga yang dikemukakan oleh syarikat pembekal hendaklah disemak berdasarkan faktor-faktor seperti beikut: i. Badan penilai pihak ketiga adalah bebas dan berintegriti; ii. Badan penilai pihak ketiga adalam kompeten; iii. Kriteria penilaian; iv. Parameter pengujian; dan v. Andalan yang dibuat berkaitan dengan skop penilaian. g. Pembekal hendaklah bersetuju dan mematuhi semua keperluan keselamatan maklumat yang relevan bagi mengakses, memproses, menyimpan, berinteraksi atau menyediakan komponen infrastruktur ICT untuk keperluan PERKESO; h. Pembekal hendaklah mematuhi pengklasifikasian maklumat yang telah ditetapkan oleh PERKESO; dan i. Pembekal hendaklah mempunyai Pelan Kesinambungan Perkhidmatan (BCP) yang diuji secara berkala dan PERKESO mempunyai hak untuk memeriksa pematuhan penyediaan tersebut sekiranya diperlukan pada bila-bila masa.

RUJUKAN VERSI TARIKH M/SURAT PKSB PERKESO Versi 1.1 14/12/22 118 dari 146 POLISI KESELAMATAN SIBER PERKESO DP110103(A.15.1.3) Rantaian Bekalan Teknologi Maklumat dan Komunikasi (Information and Communication Technology Supply Chain) Perjanjian dengan pembekal hendaklah mengandungi keperluan un tuk men gend alikan r is iko keselamatan maklumat yang dikaitkan dengan perkhidmatan teknologi maklumat dan komunikasi serta rantaian bekalan produk. Perkara-perkara yang perludiambil kira adalah seperti yang berikut: a. Menentukan keperluan keselamatan maklumat untuk kegunaan perolehan produk dan perkhidmatan; b. Pembekal utama hendaklah memaklumkan keperluan keselamatan maklumat kepada subkontraktor atau pembekal-pembekal lain yang memberikan perkhidmatan atau pembekalan produk; c. Memastikan jaminan daripada pembekal bahawa semua komponen produk dan perkhidmatan sentiasa dapat dibekalkan dan berfungsi dengan baik. d. Melaksanakan satu proses/kaedah pemantauan yang boleh mengesahkan pembekalan produk dan perkhidmatan mematuhi keperluan keselamatan maklumat PERKESO; e. PERKESO hendaklah mengenal pasti komponen produk, perkhidmatan kritikal dan komponen tambahan; f. Memastikan jaminan dari pembekal bahawa semua komponen produk dan perkhidmatan sentiasa dapat dibekalkan dan berfungsi dengan baik; dan g. Menentukan kaedah-kaedah bagi perkongsian maklumat mengenai rantaian bekalan (supply chain) antara organisasi dan pembekal. Ketua Bahagian, Pemilik Projek, Pembekal

RUJUKAN VERSI TARIKH M/SURAT PKSB PERKESO Versi 1.1 14/12/22 119 dari 146 POLISI KESELAMATAN SIBER PERKESO 1102(A.15.2) Pengurusan Penyampaian Perkhidmatan Pembekal (Supplier Service Delivery Management) Objektif: Untuk mengekalkan tahap keselamatan maklumat dan penyampaian perkhidmatan yang dipersetujui selaras dengan perjanjian pembekal. DP110201(A.15.2.1) Memantau dan Mengkaji Semula Perkhidmatan Pembekal (Monitoring and Review of Supplier Services) PERKESO hendaklah sentiasa memantau, mengkaji semula dan mengaudit perkhidmatan pembekal secara berkala. Perkara-perkara yang perlu diambilkira adalah seperti yang berikut: a. Memantau tahap prestasi perkhidmatan untuk mengesahkan pembekal mematuhi perjanjian perkhidmatan; b. Mengkaji semula laporan perkhidmatan yang dihasilkan oleh pembekal dan mengemukakan status kemajuan; dan c. Memaklumkan mengenai insiden keselamatan kepada pembekal/pemilik projek dan mengkaji maklumat ini seperti yang dikehendaki dalam perjanjian. Ketua Bahagian, Pemilik Projek, Pembekal DP110202(A.15.2.2) Menguruskan Perubahan Kepada Perkhidmatan Pembekal (Managing Changes to Supplier Services) Perubahan kepada peruntukan perkhidmatan oleh pembekal termasuk mempertahan dan menambah baik dasar kesealamatan maklumat sedia ada, prosedur dan Ketua Bahagian,

RUJUKAN VERSI TARIKH M/SURAT PKSB PERKESO Versi 1.1 14/12/22 120 dari 146 POLISI KESELAMATAN SIBER PERKESO kawalan, hendaklah diuruskan dengan mengambil kira kepentingan maklumat, sistem dan proses perniagaan yang terlibat dan penilaian semula risiko. Perkara yang perlu diambilkira adalah seperti yang berikut: a. Perubahan dalam perjanjian dengan pembekal; b. Perubahan yang dilakukan oleh PERKESO bagi m eningkatkan perkhidmatan selaras dengan penambahbaikan sistem, pengubahsuaian dasar dan prosedur; dan c. Perubahan dalam perkhidmatan pembekal selaras dengan perubahan rangkaian, teknologi baru, produkproduk baru, perkakasan baru, perubahan lokasi, pertukaran pembekal dan sub-kontraktor. Pemilik Projek, Pembekal

RUJUKAN VERSI TARIKH M/SURAT PKSB PERKESO Versi 1.1 14/12/22 121 dari 146 POLISI KESELAMATAN SIBER PERKESO Bidang 12(A.16) Pengurusan Insiden Keselamatan Maklumat (Information Security Incident Management) 1201(A.16.1) Pengurusan Insiden Keselamatan Maklumat dan Penambahbaikan (Management of Information Security Incidents and Improvements) Objektif: Memastikan pendekatan yang konsisten dan berkesan bagi pengurusan insiden keselamatan maklumat termasuk komunikasi tentang kejadian dan kerentanan kelemahan keselamatan. DP120101(A.16.1.1) Tanggungjawab dan Prosedur (Responsibilities and Procedures) Tanggungjawab dan prosedur pengurusan hendaklah diwujudkan untuk memastikan maklum balas yang cepat, berkesan dan teratur terhadap insiden keselamatan maklumat. Pengurusan insiden PERKESO adalah berdasarkan kepada Prosedur Operasi Standard: Pengurusan Pengendalian Insiden Keselamatan ICT CSIRT PERKESO yang sedang berkuat kuasa. Perkara yang perlu dipatuhi adalah seperti yang berikut: a. Memberikan kesedaran berkaitan Prosedur Operasi Standard: Pengurusan Pengendalian Insiden Keselamatan ICT CSIRT PERKESO dan hebahan kepada warga PERKESO sekiranya ada perubahan; dan b. Memastikan pesonel yang menguruskan insiden mempunyai tahap kompetensi yang diperlukan. Ketua Bahagian ICTSO, CSIRT PERKESO, Pemilik Projek / Sistem Aplikasi

RUJUKAN VERSI TARIKH M/SURAT PKSB PERKESO Versi 1.1 14/12/22 122 dari 146 POLISI KESELAMATAN SIBER PERKESO DP120102(A.16.1.2) Pelaporan Kejadian Keselamatan Maklumat (Reporting Information Security Events) Insiden keselamatan m a k l u m a t hendaklah dilaporkan melalui saluran pengurusan yang betul secepat yang mungkin. Insiden keselamatan siber atau ancaman yang berlaku hendaklah dilaporkan kepada CSIRT PERKESO. CSIRT PERKESO kemudiannya perlu melaporkan kepada ICTSO dengan kadar segera. Perkara yang perlu dipertimbangkan adalah seperti yang berikut: a. Maklumat didapati hilang, didedahkan kepada pihakpihak yang tidak diberi kuasa; b. Maklumat disyaki hilang dan didedahkan kepada pihak-pihak yang tidak diberi kuasa; c. Sistem maklumat digunakan tanpa kebenaran atau disyaki sedemikian; d. Kata laluan atau mekanisme kawalan akses hilang, dicuri atau didedahkan; e. Kata laluan atau mekanisme kawalan akses disyaki hilang, dicuri atau didedahkan; f. Berlaku kejadian sistem yang luar biasa seperti kehilangan fail, sistem kerap kali gagal dan komunikasi tersalah hantar; dan g. Berlaku percubaan menceroboh, penyelewengan dan insiden yang tidak dijangka. Prosedur pelaporan insiden keselamatan siber berdasarkan: a. Arahan Pentadbiran Bilangan 14 Tahun 2022 – Pengurusan dan Pengendalian Insiden Keselamatan Siber PERKESO; dan Ketua Bahagian, ICTSO, CSIRT PERKESO

RUJUKAN VERSI TARIKH M/SURAT PKSB PERKESO Versi 1.1 14/12/22 123 dari 146 POLISI KESELAMATAN SIBER PERKESO b. Prosedur Operasi Standard: Pengurusan Insiden Keselamatan Siber PERKESO DP120103(A.16.1.3) Pelaporan Kelemahan Keselamatan Maklumat (Reporting Security Weaknesses) Anggota PERKESO yang menggunakan sistem dan perkhidmatan maklumat PERKESO dikehendaki mengambil maklum dan melaporkan sebarang kelemahan keselamatan maklumat ICT. Anggota PERKESO, pembekal, pakar runding dan pihak yang mempunyai urusan dengan perkhidmatan ICT PERKESO DP120104(A.16.1.4) Penilaian dan Keputusan Mengenai Kejadian Keselamatan Maklumat (Assessment of and Decision Information Security Events) Insiden keselamatan maklumat hendaklah dinilai dan ditentukan jika ia perlu dikelaskan sebagai insiden keselamatan maklumat. ICTSO, Pentadbir ICT DP120105(A.16.1.5) Tindak Balas Terhadap Insiden Keselamatan Maklumat (Response to Information Security Incidents) Insiden keselamatan maklumat hendaklah ditangani mengikut prosedur yang didokumenkan. Tindak balas terhadap insiden keselamatan maklumat adalah ICTSO, Pentadbir ICT, CSIRT PERKESO

RUJUKAN VERSI TARIKH M/SURAT PKSB PERKESO Versi 1.1 14/12/22 124 dari 146 POLISI KESELAMATAN SIBER PERKESO berdasarkan Prosedur Operasi Standard: Pengurusan Pengendalian Insiden Keselamatan Siber - CSIRT PERKESO. Kawalan-kawalan yang perlu diambil kira dalam pengumpulan maklumat dan pengurusan pengendalian insiden adalah seperti yang berikut: a. Menghentikan sementara akses ke dalam perkhidmatan sistem, aplikasi dan portal yang terkesan; b. Mengumpul bukti secepat mungkin selepas insiden keselamatan berlaku; c. Menjalankan kajian forensik sekiranya perlu; d. Menghubungi pihak yang berkenaan dengan secepat mungkin; e. Menyimpan jejak audit, sandaran secara berkala dan melindungi integriti semua bahan bukti; f. Menyalin bahan bukti dan merekodkan semua maklumat aktiviti penyalinan; g. Menyediakan pelan kontingensi dan mengaktifkan pelan kesinambungan perkhidmatan; h. Menyediakan tindakan pemulihan segera; dan i. Memaklumkan atau mendapatkan nasihat pihak berkuasa berkaitan sekiranya perlu. DP120106(A.16.1.6) Pembelajaran Daripada Insiden Keselamatan Maklumat (Learning from Information Security Incidents) Pengetahuan yang diperoleh daripada penganalisisan dan penyelesaian kejadian keselamatan maklumat hendaklah digunakan bagi mengurangkan kemungkinan berlakunya kejadian pada masa depan atau kesannya. ICTSO, CSIRT PERKESO

RUJUKAN VERSI TARIKH M/SURAT PKSB PERKESO Versi 1.1 14/12/22 125 dari 146 POLISI KESELAMATAN SIBER PERKESO Setiap insiden keselamatan maklumat perlu direkodkan dan penilaian ke atas insiden keselamatan maklumat perlu dilaksanakan untuk memastikan kawalan yang diambil adalah mencukupi atau perlu ditambah. DP120107(A.16.1.7) Pengumpulan Bahan Bukti (Collection of Evidence) PERKESO hendaklah menentukan prosedur untuk mengenal pasti koleksi, pemerolehan dan pemeliharaan maklumat yang boleh dijadikan sebagai bahan bukti dengan merujuk kepada arahan semasa yang berkaitan. ICTSO, Pentadbir ICT

RUJUKAN VERSI TARIKH M/SURAT PKSB PERKESO Versi 1.1 14/12/22 126 dari 146 POLISI KESELAMATAN SIBER PERKESO Bidang 13(A.17) Aspek Keselamatan Maklumat Bagi Pengurusan Kesinambungan Perkhidmatan (Information Security Aspects of Business Continuity Management) 1301(A.17.1) Kesinambungan Keselamatan Maklumat (Information Security Continuity) Objektif: Kesinambungan keselamatan maklumat hendaklah diterapkan dalam sistem pengurusan kesinambungan perniagaan PERKESO. DP130101(A.17.1.1) Perancangan Kesinambungan Keselamatan Maklumat (Planning Information Security Continuity) PERKESO hendaklah menentukan keperluan untuk keselamatan maklumat dan kesinambungan pengurusan keselamatan maklumat dalam situasi kecemasan. Contohnya semasa krisis atau bencana. Dalam merancang kesinambungan keselamatan maklumat, PERKESO perlu mengambil kira isu-isu dalaman dan luaran yang berkaitan yang boleh memberikan kesan ke atas sistem penyampaian perkhidmatan dan fungsi PERKESO. PERKESO juga perlu mengambil kira keperluan dan ekspektasi pihak-pihak berkepentingan serta keperluan undang-undang dan peraturan yang terpakai. Perkara yang perlu dipertimbangkan adalah seperti yang berikut: a. Melantik pasukan tadbir urus Pengurusan Kesinambungan Perkhidmatan (PKP) PERKESO; Koordinator Pengurusan Kesinambungan Perkhidmatan, Pelan Komunikasi Krisis, Pelan Pengurusan Krisis, Pasukan Pemulihan Bencana ICT, Pembekal

RUJUKAN VERSI TARIKH M/SURAT PKSB PERKESO Versi 1.1 14/12/22 127 dari 146 POLISI KESELAMATAN SIBER PERKESO b. Menetapkan polisi PKP; c. Mengenal pasti perkhidmatan kritikal; d. Melaksanakan Kajian Impak Perkhidmatan (Business Impact Analysis – BIA) dan Penilaian Risiko terhadap perkhidmatan kritikal; e. Membangunakan Pelan Pengurusan Kesinambungan Perkhidmatan (BCP) PERKESO, Pelan Komunikasi Krisis (CCP), Pelan Pengurusan Krisis (CMP) dan Pelan Pemulihan Bencana IT (ITDRP); f. Melaksanakan program kesedaran dan latihan pasukan PKP dan anggota PERKESO; g. Melaksanakan simulasi ke atas dokumen di para (e); dan h. Melaksanakan penyelenggaraan ke atas pelan di para (e). DP130102(A.17.1.2) Pelaksanaan Kesinambungan Keselamatan Maklumat (Implementing Information Security Continuity) PERKESO hendaklah menyediakan, mendokumenkan, melaksanakan dan menyelenggara proses, prosedur dan kawalan bagi memastikan keperluan tahap kesinambungan keselamatan maklumat ketika berada dalam keadaan yang menjejaskan. Perkara berikut perlu dipertimbangkan adalah seperti yang berikut: a. Melaksanakan PKP apabila terdapat gangguan terhadap perkhidmatan kritikal PERKESO yang telah dikenal pasti berdasarkan kepada Pelan Induk Pengurusan Kesinambungan Perkhidmatan, Pelan Komunikasi Krisis, Pelan Tindak Balas Kecemasan dan Pelan Pemulihan Bencana ICT; b. Melaksanakan post-mortem dan mengemas kini pelanpelan PKP; Koordinator PKP, Pasukan Tindak Balas Kecemasan (ERT), Pasukan Komunikasi Krisis (CCT), Pasukan Pemulihan Bencana IT (ITDRT), Pembekal

RUJUKAN VERSI TARIKH M/SURAT PKSB PERKESO Versi 1.1 14/12/22 128 dari 146 POLISI KESELAMATAN SIBER PERKESO c. Mengemas kini pelan-pelan PKP jika berlaku perubahan kepada fungsi kritikal PERKESO; d. Mengemas kini struktur tadbir urus PKP PERKESO jika berlaku pertukaran pegawai bersara dan bertukar keluar; dan e. Memastikan pasukan PKP mempunyai kompetesi yang bersesuaian dengan peranan dan tanggungjawab dalam melaksana PKP. DP130103(A.17.1.3) Menentusahkan, Mengkaji Semula dan Menilai Kesinambungan Keselamatan Maklumat (Verify, Review and Evaluate Information Security Continuity) PERKESO hendaklah mengesahkan kawalan kesinambungan keselamatan maklumat yang diwujudkan dan dilaksanakan pada sela masa tetap bagi memastikannya sah dan berkesan semasa situasi kecemasan. Pengurusan Atasan PERKESO, Koordinator PKP, Pasukan Tindak Balas Kecemasan (ERT), Pasukan Komunikasi Krisis (CCT), Pasukan Pemulihan Bencana IT (ITDRT), Pemilik Perkhidmatan Kritikal PERKESO dalam PKP, Pembekal

RUJUKAN VERSI TARIKH M/SURAT PKSB PERKESO Versi 1.1 14/12/22 129 dari 146 POLISI KESELAMATAN SIBER PERKESO 1302(A.17.2) Lewahan (Redundancy) Objektif: Untuk memastikan ketersediaan kemudahan pemprosesan maklumat dengan mewujudkan lewahan. DP130201(A.17.2.1) Ketersediaan Kemudahan Pemprosesan Maklumat (Availability of Information Prosecess Facilities) Kemudahan pemprosesan maklumat PERKESO perlu mempunyai lewahan yang mencukupi untuk memenuhi keperluan ketersediaan. Kemudahan lewahan perlu diuji (failover test) keberkesanannya dari sesama ke semasa atau mengikut keperluan. Pentadbir ICT, Pemilik Perkhidmatan, Anggota PERKESO, Pembekal

RUJUKAN VERSI TARIKH M/SURAT PKSB PERKESO Versi 1.1 14/12/22 130 dari 146 POLISI KESELAMATAN SIBER PERKESO Bidang 14(A.18) Pematuhan (Compliance) 1401(A.18.1) Pematuhan Terhadap Keperluan Perundangan dan Kontrak (Compliance with Legal and Contractual Requirements) Objektif: Meningkat dan memantapkan tahap keselamatan siber bagi mengelak dari pelanggaran mana-mana undang-undang, kewajipan berkanun, peraturan atau kontrak yang berkaitan dengan keselamatan maklumat. DP140101(A.18.1.1) Pengenalpastian Keperluan Undang-Undang dan Kontrak Yang Terpakai (Identification of Applicable Legislation and Contractual Agreement) Keperluan perundangan, peraturan dan perjanjian kontrak hendaklah dikenal pasti dan dipatuhi oleh Anggota PERKESO yang mempunyai urusan dengan perkhidmatan ICT PERKESO. Berikut adalah keperluan perundangan atau peraturan-peraturan lain berkaitan yang perlu dipatuhi oleh semua pengguna di PERKESO dan pembekal seperti LAMPIRAN 1 Anggota PERKESO dan pihak yang mempunyai urusan dengan perkhidmatan ICT PERKESO DP140102(A.18.1.2) Hak Harta Intelek (Intellectual Property Rights) Memastikan kepatuhan terhadap keperluan perundangan, peraturan dan perjanjian kontrak yang berkaitan hak harta intelektual. Melaksanakan kawalan terhadap keperluan perlesenan supaya menggunakan Anggota PERKESO, pembekal, pakar runding dan pihak

RUJUKAN VERSI TARIKH M/SURAT PKSB PERKESO Versi 1.1 14/12/22 131 dari 146 POLISI KESELAMATAN SIBER PERKESO perisian yang mempunyai lesen yang sah dan mematuhi had pengguna yang telah ditetapkan atau dibenarkan. yang mempunyai urusan dengan perkhidmatan ICT PERKESO DP140103(A.18.1.3) Perlindungan Rekod (Protection of Records) Rekod hendaklah dilindungi daripada kehilangan, kemusnahan, pemalsuan dan capaian ke atas orang yang tidak berkenaan seperti yang terkandung di dalam keperluan perundangan, peraturan dan perjanjian kontrak. Anggota PERKESO, pembekal, pakar runding dan pihak yang mempunyai urusan dengan perkhidmatan ICT PERKESO DP140104(A.18.1.4) Privasi dan Perlindungan Maklumat Peribadi (Privacy and Protection of Personally Identifiable Information) PERKESO hendaklah memberikan jaminan dalam melindungi maklumat peribadi pengguna seperti yang tertakluk di dalam undang-undang dan peraturanperaturan Kerajaan Malaysia. Anggota PERKESO, pembekal, pakar runding dan pihak yang mempunyai urusan dengan

RUJUKAN VERSI TARIKH M/SURAT PKSB PERKESO Versi 1.1 14/12/22 132 dari 146 POLISI KESELAMATAN SIBER PERKESO perkhidmatan ICT PERKESO DP140105(A.18.1.5) Peraturan Kawalan Kriptografi (Regulation of Cryptographic Controls) Kawalan kriptografi hendaklah digunakan dengan mematuhi semua perjanjian, undang-undang dan peraturan-peraturan. Perkara yang perlu dipatuhi adalah seperti berikut: a. Sekatan ke atas pengimport/pengeksport perkakasan dan perisian komputer yang melaksanakan fungsifungsi kriptografi b. Sekatan ke atas pengimport/pengeksport perkakasan dan perisianyang ditambah direka untuk mempunyai fungsi kriptografi c. Sekatan ke atas penggunaan enkripsi d. Kaedah akses oleh pihak berkuasa Malaysia bagi maklumat enkripsi perkakasan dan perisian. Anggota PERKESO, pembekal, pakar runding dan pihak yang mempunyai urusan dengan perkhidmatan ICT PERKESO 1402(A.18.2) Kajian Semula Keselamatan Maklumat (Information Security Reviews) Objektif: Untuk memastikan keselamatan maklumat dilaksanakan mengikut polisi dan prosedur PERKESO.

RUJUKAN VERSI TARIKH M/SURAT PKSB PERKESO Versi 1.1 14/12/22 133 dari 146 POLISI KESELAMATAN SIBER PERKESO DP140201(A.18.2.1) Kajian Semula Keselamatan Maklumat Secara Berkecuali (Independent Review of Information Security) Penilaian keselamatan maklumat oleh pihak ketiga hendaklah dilaksanakan seperti yang telah dirancang atau apabila terdapat perubahan ketara terhadap sistem dan infrastruktur. Ketua Bahagian, Pemilik Perkhidmatan DP140202(A.18.2.2) Pematuhan Polisi dan Standard Keselamatan (Compliance with Security Policies and Standards) PERKESO hendaklah membuat kajian semula secara berkala atau sekiranya perlu terhadap pematuhan dasar dan standard keselamatan pemprosesan maklumat dan prosedur di kawasan yang dipertangungjawabkan dengan polisi, piawaian dan keperluan teknikal yang bersesuaian. Ketua Bahagian, Pemilik Perkhidmatan DP140203(A.18.2.3) Kajian Semula Pematuhan Teknikal (Technical Compliance Review) PERKESO hendaklah membuat kajian semua secara berkala atau mengikut kesesuaian terhadap pematuhan pemprosesan maklumat dan prosedur seperti yang terkandung di dalam polisi, piawaian dan keperluan komputer. Ketua Bahagian, Pemilik Perkhidmatan

RUJUKAN VERSI TARIKH M/SURAT PKSB PERKESO Versi 1.1 14/12/22 134 dari 146 POLISI KESELAMATAN SIBER PERKESO GLOSARI Anggota PERKESO Kakitangan kerajaan yang berkhidmat di PERKESO samada berjawatan tetap, sambilan dan kontrak tidak terkecuali pengguna sementara dan pelatih industri yang menggunakan perkhidmatan ICT PERKESO. Pembekal Terdiri daripada pembekal yang dilantik oleh PERKESO Pakar Runding Terdiri daripada pakar runding yang dilantik oleh PERKESO Pengguna Luar Terdiri daripada pelanggan dan pihak-pihak yang berkepentingan. Antivirus Perisian yang mengimbas virus pada media storan seperti disket, cakera padat, pita magnetik, optical disk, flash disk, CDROM, thumb drive untuk sebarang kemungkinan adanya virus. Aset ICT Peralatan ICT termasuk perkakasan, perisian, perkhidmatan, data atau maklumat dan manusia. Aset Alih Aset alih bermaksud aset yang boleh dipindahkan dari satu tempay ke satu tempat yang lain termasuk aset yang dibekalkan atau dipasang bersekali dengan bangunan Backup (Sandaran) Proses penduaan sesuatu dokumen atau maklumat. Baki Risiko Risiko yang tinggal atau berbaki selepas pengolahan risiko dilaksanakan Bandwidth Jalur Lebar Ukuran atau jumlah data yang boleh dipindahkan melalui kawalan komunikasi (contoh di antara cakera keras dan komputer) dalam jangka masa yang ditetapkan. BCP/PKP Business Continuity Planning Pelan Kesinambungan Perkhidmatan CCTV Closed-Circuit Television System Sistem TV yang digunakan secara komersial di mana satu sistem TV kamera video dipasang di dalam premis pejabat bagi tujuan membantu pemantauan fizikal. CIA Confidentiality, Integrity, Availability CIO Chief Information Officer Ketua Pegawai Maklumat yang bertanggungjawab terhadap ICT dan maklumat bagi menyokong arah tuju sesebuah organisasi.

RUJUKAN VERSI TARIKH M/SURAT PKSB PERKESO Versi 1.1 14/12/22 135 dari 146 POLISI KESELAMATAN SIBER PERKESO Clear Desk dan Clear Screen Tidak meninggalkan dokumen data dan maklumat dalam keadaan terdedah di atas meja atau di paparan skrin komputer apabila pengguna tidak berada di tempatnya. Data-at-rest (datadalam-simpanan) Refers to data that is being stored in stable destination systems. Data at rest is frequently defined as data that is not in use or is not travelling to system endpoints, such as mobile devices or workstations. Data-in-motion (data-dalampergerakan) Refers to a stream of data moving through any kind of network. It represents data which is being transferred or move. Data-in-use (datadalam-penggunaan) Refers to data that is not simply being passively stored in a stable destination, such as a central data warehouse, but is working its way through other parts of an IT architecture. Denial of service Halangan pemberian perkhidmatan. Defence-in-depth Merupakan satu pendekatan dalam keselamatan siber di mana merupakan satu mekanisme lapisan pertahanan untuk melindungi data dan maklumat. Downloading Aktiviti muat turun sesuatu perisian. Encryption Enkripsi atau penyulitan ialah satu proses penyulitan data oleh pengirim supaya tidak difahami oleh orang lain kecuali penerima yang sah. Escrow (eskrow) Sebarang sistem yang membuat salinan kunci penyulitan supaya boleh dicapai oleh individu yang dibenarkan pada bila-bila masa. Firewall Sistem yang direka bentuk untuk menghalang capaian pengguna yang tidak berkenaan kepada atau daripada rangkaian dalaman. Terdapat dalam bentuk perkakasan atau perisian atau kombinasi kedua-duanya. Forgery Pemalsuan dan penyamaran identiti yang banyak dilakukan dalam penghantaran mesej melalui e-mel termasuk penyalahgunaan dan pencurian identiti, pencurian maklumat (information theft/espionage), penipuan (hoaxes). CSIRT PERKESO Cyber Security Incident Response Team atau Pasukan Tindak Balas Insiden Keselamatan Siber PERKESO. Hard disk Cakera keras. Digunakan untuk menyimpan data dan boleh di akses lebih pantas.

RUJUKAN VERSI TARIKH M/SURAT PKSB PERKESO Versi 1.1 14/12/22 136 dari 146 POLISI KESELAMATAN SIBER PERKESO Hub Hab merupakan peranti yang menghubungkan dua atau lebih stesen kerja menjadi suatu topologi bas berbentuk bintang dan menyiarkan (broadcast) data yang diterima daripada sesuatu port kepada semua port yang lain. ICT Information and Communication Technology Teknologi Maklumat dan Komunikasi ICTSO ICT Security Officer Pegawai yang bertanggungjawab terhadap keselamatan sistem komputer. Impak teknikal Melibatkan perkara-perkara yang menjejaskan kerahsiaan, integriti, ketersediaan dan akauntabiliti. Impak fungsi jabatan Melibatkan perkara-perkara dari segi kewangan, reputasi, ketidakpatuhan dan perlanggaran privasi. Insiden Keselamatan Musibah (adverse event) yang berlaku ke atas sistem maklumat dan komunikasi atau ancaman kemungkinan berlaku kejadian tersebut. Internet Sistem rangkaian seluruh dunia, di mana pengguna boleh membuat capaian maklumat daripada pelayan (server) atau komputer lain. Internet Gateway Merupakan suatu titik yang berperanan sebagai pintu masuk ke rangkaian yang lain. Menjadi pemandu arah trafik dengan betul dari satu trafik ke satu trafik yang lain di samping mengekalkan trafik-trafik dalam rangkaian-rangkaian tersebut agar sentiasa berasingan. Intranet Rangkaian dalaman yang dimiliki oleh sesebuah organisasi atau jabatan dan hanya boleh dicapai oleh kakitangan dan mereka yang diberi kebenaran sahaja. ISDN Integrated Services Digital Network Menggunakan isyarat digital pada talian telefon analog yang sedia ada. Intrusion Detection System (IDS) Sistem Pengesan Pencerobohan Perisian atau perkakasan yang mengesan aktiviti tidak berkaitan, kesilapan atau yang berbahaya kepada sistem. Sifat IDS berpandukan jenis data yang dipantau, iaitu sama ada lebih bersifat host atau rangkaian.

RUJUKAN VERSI TARIKH M/SURAT PKSB PERKESO Versi 1.1 14/12/22 137 dari 146 POLISI KESELAMATAN SIBER PERKESO Intrusion Prevention System (IPS) Sistem Pencegah Pencerobohan Perkakasan keselamatan komputer yang memantau rangkaian dan/atau aktiviti yang berlaku dalam sistem bagi mengesan perisian berbahaya. Boleh bertindak balas menyekat atau menghalang aktiviti serangan atau malicious code. Contohnya: Network-based IPS yang akan memantau semua trafik rangkaian bagi sebarang kemungkinan serangan. ISMS Information Security Management System Sistem Pengurusan Keselamatan Maklumat PERKESO Pertubuhan Keselamatan Sosial Keadaan Berisiko Tinggi Dalam situasi yang mudah mendapat ancaman dari pihak luar atau apa-apa kemungkinan yang boleh menjejaskan kelancaran sistem. Kerentanan Kelemahan atau kecacatan sistem yang mungkin dieksploitasikan dan mengakibatkan pelanggaran keselamatan Kriptografi Keadaan untuk menukar data dan maklumat biasa (standard format) kepada format yang tidak boleh difahami bagi melindungi penghantaran data dan maklumat LAN Local Area Network Rangkaian Kawasan Setempat yang menghubungkan komputer. Lock Mengunci komputer. Logout Log-out komputer Keluar daripada sesuatu sistem atau aplikasi komputer. Malicious Code Perkakasan atau perisian yang dimasukkan ke dalam sistem tanpa kebenaran bagi tujuan pencerobohan. Ia melibatkan serangan virus, trojan horse, worm, spyware dan sebagainya. Mobile Code Mobile Code merupakan suatu perisian yang boleh dipindahkan di antara sistem komputer dan rangkaian serta dilaksanakan tanpa perlu melalui sebarang proses pemasangan sebagai contoh Java Applet, ActiveX dan sebagainya pada pelayar internet. MODEM MOdulator DEModulator Peranti yang boleh menukar strim bit digital ke isyarat analog dan sebaliknya. Ia biasanya disambung ke talian telefon bagi membolehkan capaian Internet dibuat dari komputer. Outsource Bermaksud menggunakan perkhidmatan luar untuk melaksanakan fungsi-fungsi tertentu ICT bagi suatu tempoh berdasarkan kepada dokumen perjanjian dengan bayaran yang dipersetujui.

RUJUKAN VERSI TARIKH M/SURAT PKSB PERKESO Versi 1.1 14/12/22 138 dari 146 POLISI KESELAMATAN SIBER PERKESO Pasukan ERT Pasukan Tindakan Kecemasan / Emergency Response Team (ERT) Pegawai Pengelas Bertanggungjawab menguruskan dokumen rahsia rasmi Kerajaan daripada segi pendaftaran, pengelasan, pengelasan semula dan pelupusan serta mematuhi peraturan yang sedang berkuatkuasa Pengolahan risiko Merangkumi elemen proses, teknologi dan manusia hendaklah dikenal pasti dan dilaksana berdasarkan hasil penilaian risiko. Perisian Aplikasi Ia merujuk pada perisian atau pakej yang selalu digunakan seperti spreadsheet dan word processing ataupun sistem aplikasi yang dibangunkan oleh sesebuah organisasi atau jabatan. Public-Key Infrastructure (PKI) Infrastruktur Kunci Awam merupakan satu kombinasi perisian, teknologi enkripsi dan perkhidmatan yang membolehkan organisasi melindungi keselamatan berkomunikasi dan transaksi melaluiInternet. Rollback (undur) Pengembalian pangkalan data atau program kepada keadaan stabil sebelum sesuatu ralat berlaku. Router Penghala yang digunakan untuk menghantar data antara dua rangkaian yang mempunyai kedudukan rangkaian yang berlainan. Contohnya, pencapaian Internet. Ruang siber Sistem-sistem teknologi maklumat dan komunikasi, maklumat yang disimpan dalam sistem-sistem tersebut, manusia yang berinteraksi dengan sistem-sistem tersebut secara fizikal atau maya serta persekitaran fizikal sistem-sistem tersebut dan semua aset yang berkaitan dengan ICT. Screen Saver Imej yang akan diaktifkan pada komputer setelah ianya tidak digunakan dalam jangka masa tertentu. Server Pelayan komputer Source Code Kod Sumber atau kod program (biasanya hanya dipanggil sumber atau kod) merujuk kepada sebarang siri pernyataan yang tertulis dalam bahasa pengaturcaraan komputer yang difahami manusia. Switches Suis merupakan gabungan hab dan titi yang menapis bingkai supaya mensegmenkan rangkaian. Kegunaan suis dapat memperbaiki prestasi rangkaian Carrier Sense Multiple Access/Collision Detection (CSMA/CD) yang merupakan satu protokol penghantaran dengan mengurangkan pelanggaran yang berlaku.

RUJUKAN VERSI TARIKH M/SURAT PKSB PERKESO Versi 1.1 14/12/22 139 dari 146 POLISI KESELAMATAN SIBER PERKESO Threat Gangguan dan ancaman melalui pelbagai cara iaitu e-mel dan surat yang bermotif personal dan atas sebab tertentu. Uninterruptible Power Supply (UPS) Satu peralatan yang digunakan bagi membekalkan bekalan kuasa yang berterusan dari sumber berlainan ketika ketiadaan bekalan kuasa ke peralatan yang bersambung. Video Conference Media yang menerima dan memaparkan maklumat multimedia kepada pengguna dalam masa yang sama ia diterima oleh penghantar. Video Streaming Teknologi komunikasi yang interaktif yang membenarkan dua atau lebih lokasi untuk berinteraksi melalui paparan video dua hala dan audio secara serentak. Virus Atur cara yang bertujuan merosakkan data atau sistem aplikasi. WAN Wide Area Network Rangkaian yang merangkumi kawasan yang luas. Wireless LAN Jaringan komputer yang terhubung tanpa melalui kabel. Worm Sejenis virus yang boleh mereplikasi dan membiak dengan sendiri, yang biasanya menjangkiti sistem operasi yang lemah atau tidak dikemas kini.

RUJUKAN VERSI TARIKH M/SURAT PKSB PERKESO Versi 1.1 14/12/22 140 dari 146 POLISI KESELAMATAN SIBER PERKESO LAMPIRAN 1 UNDANG-UNDANG DAN KONTRAK YANG TERPAKAI Polisi Keselamatan Siber PERKESO ini hendaklah dibaca bersama dengan akta-akta, warta, pekeliling-pekeliling, surat pekeliling dan arahan pentadbiran/peraturan dalaman yang berkaitan dan sedang berkuatkuasa antaranya seperti berikut: 1. Arahan Keselamatan; 2. Pekeliling Am Bilangan 3 Tahun 2000 - Rangka Dasar Keselamatan Teknologi; Maklumat dan Komunikasi Kerajaan; 3. Malaysian Public Sector Management of Information and Communications Technology Security Handbook (MyMIS) 2002; 4. Pekeliling Am Bilangan 1 Tahun 2001 - Mekanisme Pelaporan Insiden Keselamatan Teknologi Maklumat dan Komunikasi (ICT); 5. Pekeliling Kemajuan Pentadbiran Awam Bilangan 1 Tahun 2003 - Garis Panduan Mengenai Tatacara Penggunaan Internet dan Mel Elektronik di Agensi-Agensi Kerajaan; 6. Surat Pekeliling Am Bilangan 6 Tahun 2005 - Garis Panduan Penilaian Risiko Keselamatan Maklumat Sektor Awam; 7. Surat Pekeliling Am Bilangan 4 Tahun 2006 - Pengurusan Pengendalian Insiden Keselamatan Teknologi Maklumat dan Komunikasi (ICT) Sektor Awam; 8. Surat Pekeliling Perbendaharaan Bil.2/1995 (Tambahan Pertama) – Tatacara Penyediaan, Penilaian dan Penerimaan Tender; 9. Surat Pekeliling Perbendaharaan Bil. 3/1995 - Peraturan Perolehan Perkhidmatan Perundingan; 10. Akta Tandatangan Digital 1997 (Akta 562); 11. Akta Rahsia Rasmi 1972 (Akta 88); 12. Akta Jenayah Komputer 1997 (Akta 563); 13. Akta Hak Cipta Tahun 1987 (Akta 331); 14. Akta Komunikasi dan Multimedia 1998 (Akta 588); 15. Akta Perlindungan Data Peribadi 2010 (Akta 709); 16. Perintah-Perintah Am;

RUJUKAN VERSI TARIKH M/SURAT PKSB PERKESO Versi 1.1 14/12/22 141 dari 146 POLISI KESELAMATAN SIBER PERKESO 17. Arahan Perbendaharaan; 18. Arahan Teknologi Maklumat 2007; 19. Surat Arahan Ketua Setiausaha Negara - Langkah-Langkah Untuk Memperkukuhkan Keselamatan Rangkaian Setempat Tanpa Wayar (Wireless Local Area Network) di Agensi-Agensi Kerajaan yang bertarikh 20 Oktober 2006; 20. Pekeliling Perbendaharaan 5 Tahun 2007 bertajuk “Tatacara Pengurusan Aset Alih Kerajaan (TPA)”; 21. Surat Arahan Ketua Pengarah MAMPU - Langkah-Langkah Mengenai Penggunaan Mel Elektronik di Agensi-Agensi Kerajaan yang bertarikh 1 Jun 2007; 22. Surat Arahan Ketua Pengarah MAMPU - Langkah-Langkah Pemantapan Pelaksanaan Sistem Mel Elektronik Di Agensi-Agensi Kerajaan yang bertarikh 23 November 2007; 23. Surat Pekeliling Am Bil. 2 Tahun 2000 - Peranan Jawatankuasa-jawatankuasa di Bawah Jawatankuasa IT dan Internet Kerajaan (JITIK); 24. Surat Pekeliling Am Bilangan 3 Tahun 2009 – Garis Panduan Penilaian Tahap Keselamatan Rangkaian dan Sistem ICT Sektor Awam yang bertarikh 17 November 2009; 25. Surat Arahan Ketua Setiausaha Tahun 2010 Mengenai Tatacara Penggunaan Internet dan Mel Elektronik di KSM; 26. Surat Arahan Ketua Pengarah MAMPU – Pengurusan Kesinambungan Perkhidmatan Agensi Sektor Awam yang bertarikh 22 Januari 2010; 27. Dasar Kriptografi Negara 12 Julai 2013; 28. Pelan Strategik ICT Sektor Awam 2016-2020 - Rangka Kerja Keselamatan Siber Sektor Awam (RAKKSSA) versi 1.0, April 2016; 29. Dasar Perlindungan Ketirisan Maklumat Elektronik (DLP) melalui Mesyuarat Jawatankuasa e-Kedaulatan Bilangan 1 Tahun 2013 bertarikh 14 Januari 2013; 30. Arahan Pentadbiran Ketua Pengarah MAMPU Bilangan 4 Tahun 2020 – Polisi Keselamatan Siber MAMPU bertarikh 24 September 2020; 31. Pekeliling Kemajuan Pentadbiran Awam Bilangan 1 Tahun 2021 Dasar Perkhidmatan Pengkomputeraan Awan Sektor Awam bertarikh 10 Jun 2021; 32. Surat Pekeliling Am Bilangan 2 Tahun 2021 – Garis Panduan Pengurusan Keselamatan Maklumat Melalui Pengkomputeran Awan (Cloud Computing)

RUJUKAN VERSI TARIKH M/SURAT PKSB PERKESO Versi 1.1 14/12/22 142 dari 146 POLISI KESELAMATAN SIBER PERKESO Dalam Perkhidmatan Awam bertarikh 9 Ogos 2021; 33. Panduan Keperluan dan Persediaan Pelaksanaan Pensijilan MS ISO/IEC 27001:2013 Dalam Sektor Awam; 34. Prosedur Pengurusan Pelaporan dan Pengendalian Insiden Keselamatan Siber PERKESO; 35. Arahan Pentadbiran ICT PERKESO; 36. Standard Operating Procedure (SOP) ICT PERKESO; 37. Etika Penggunaan E-mel dan Internet PERKESO; 38. Surat Akujanji; dan 39. Myportfolio

RUJUKAN VERSI TARIKH M/SURAT PKSB PERKESO Versi 1.1 14/12/22 143 dari 146 POLISI KESELAMATAN SIBER PERKESO Disediakan dan disemak oleh Koordinator dan Pentadbir Pasukan Keselamatan Siber PERKESO: Bahagian / Cawangan Bahagian Strategi dan Transformasi Bahagian Audit dan Risiko Bahagian Perundangan Bahagian Sumber Manusia Bahagian Komunikasi Strategik Bahagian Pencegahan, Perubatan & Pemulihan Bahagian Perolehan Bahagian Khidmat Pengurusan Cawangan Pengurusan Hartanah