Info Keselamatan Siber

RUJUKAN VERSI TARIKH M/SURAT PKSB PERKESO Versi 1.1 14/12/22 44 dari 146 POLISI KESELAMATAN SIBER PERKESO iv. Penyediaan Penilaian Risiko, Risk Treatment, Statement of Applicability (SoA), Standard Operating Procedure (SOP) dan urusan lain berkaitan ISMS; dan v. Pengurusan audit ISMS. (ix) Jawatankuasa Teknikal ICT (JTICT) PERKESO Bidang rujukan Jawatankuasa Teknikal ICT adalah seperti yang berikut : a. Membincangkan dan mengesyorkan strategi dan Pelan Strategi Teknologi Maklumat selaras dengan Pelan Strategi PERKESO serta strategi dan pelan tindakan tambahan (sekiranya ada); b. Membincang dan mengesyorkan keperluan sumber seperti kepakaran, tenagah kerja dan kewangan yang diperlukan dalam pelaksanaan strategi dan pelan tindakan Pelan Strategi Teknologi Maklumat dan keperluan sumber tambahan (sekiranya ada); c. Membincang dan mengesyorkan semua kertas cadangan perolehan keperluan ICT berdasarkan spesifikasi, justifikasi keperluan, perbelanjaan yang berhemah serta mematuhi peraturan-peraturan semasa yang berkaitan untuk dibawa ke Jawatankuasa Pemandu ICT serta menetapkan perolehan keperluan ICT (kertas cadangan) yang dibincangkan di mesyuarat Jawatankuasa Teknikal ICT akan datang; d. Membincang dan menerima maklumbalas perkembangan status bagi perolehan keperluan ICT yang telah diluluskan oleh Jawatankuasa Pemandu ICT dan mengesyorkan tindakan JTICT PERKESO

RUJUKAN VERSI TARIKH M/SURAT PKSB PERKESO Versi 1.1 14/12/22 45 dari 146 POLISI KESELAMATAN SIBER PERKESO peyelesaian kepada masalah dan isu yang dihadapai/dikenalpasti; dan e. Membincang dan mengesyorkan langkah/tindakan semasa yang melibatkan keselamatan siber (x) Cyber Security Incident Response Team (CSIRT) PERKESO Peranan dan tanggungjawab CSIRT PERKESO adalah seperti berikut : a. Memaklumkan insiden keselamatan siber kepada CSIRT PERKESO (sekiranya ada); dan b. Memantau, mengesan dan mengesahkan aduan insiden keselamatan siber, seterusnya mengenal pasti jenis insiden serta menilai impak insiden keselamatan siber; c. Melaksanakan pengurusan insiden keselamatan siber; dan d. Menyebarkan makluman/amaran berkaitan insiden keselamatan siber kepada semua warga PERKESO. (xi) Pasukan Petugas Keselamatan Siber (PPKS) PERKESO Peranan dan tanggungjawab PPKS PERKESO adalah seperti berikut : a. Menerima dan mengesahkan aduan insiden keselamatan siber, seterusnya mengenal pasti jenis insiden serta menilai impak insiden keselamatan siber; b. Bertindak sebagai first level support kepada CSIRT PERKESO dalam mengendalikan insiden CSIRT PERKESO PPKS PERKESO

RUJUKAN VERSI TARIKH M/SURAT PKSB PERKESO Versi 1.1 14/12/22 46 dari 146 POLISI KESELAMATAN SIBER PERKESO keselamatan siber, mengawasi dan memberi khidmat nasihat berkaitan keselamatan siber; c. Merekod dan menjalankan siasatan awal terhadap insiden yang diterima; d. Menjalankan penilaian untuk memastikan tahap keselamatan siber dan mengambil tindakan pemulihan serta pengukuhan keselamatan siber supaya insiden baharu dapat dielakkan; dan e. Menyediakan laporan insiden keselamatan siber DP020102(A.6.1.2) Anggota PERKESO Peranan dan tanggungjawab anggota PERKESO adalah seperti berikut: a. Membaca, memahami dan mematuhi Polisi ini; b. Mengetahui dan memahami implikasi keselamatan siber kesan daripada tindakanya; c. Menjalani tapisan keselamatan sekiranya diperlukan dikehendaki berurusan dengan maklumat rasmi terperingkat; d. Mematuhi prinsip-prinsip keselamatan Polisi ini dan menjaga kerahsiaan maklumat Kerajaan; e. Melaksanakan langkah-langkah perlindungan seperti berikut : (i) Menghalang pendedahan maklumat kepada pihak yang tidak berkaitan; (ii) Memeriksa maklumat dan menentukan ia tepat dan lengkap dari semasa ke semasa; (iii) Menentukan maklumat sedia untuk digunakan; (iv) Menjaga kerahsiaan maklumat; (v) Mematuhi dasar, piawaian dan garis panduan keselamatan siber yang ditetapkan; Anggota PERKESO

RUJUKAN VERSI TARIKH M/SURAT PKSB PERKESO Versi 1.1 14/12/22 47 dari 146 POLISI KESELAMATAN SIBER PERKESO (vi) Melaksanakan peraturan berkaitan maklumat terperingkat terutama semasa pewujudan, pemprosesan, penyimpanan, penghantaran, penyampaian, pertukaran dan pemusnahan; dan (vii) Menjaga kerahsiaan kawalan keselamatan siber dari diketahui umum; f. Melaporkan sebarang aktiviti yang mengancam keselamatan siber kepada CSIRT PERKESO dengan segera; g. Mengawal aktiviti penggunaan media sosial seperti mengelakkan ketirisan maklumat, tidak mendedahkan sebarang komen yang menyentuh perkara-perkara yang boleh menjejaskan imej dan dasar kerajaan; h. Menghadiri program-program kesedaran mengenai keselamatan siber (sama ada secara langsung atau tidak langsung); dan i. Bersetuju dengan terma dan syarat yang terkandung di dalam Polisi ini. DP020103(A.6.1.3) Pembekal / Pakar Runding / Pengguna Luar Peranan dan tanggungjawab pembekal / pakar runding / pengguna luar adalah seperti berikut: a. Membaca, memahami dan mematuhi Polisi ini (Pembekal / Pakar Runding / Pengguna Luar); b. Mengetahui dan memahami implikasi keselamatan siber kesan daripada tindakanya; c. Mematuhi prinsip-prinsip keselamatan Polisi ini dan menjaga kerahsiaan maklumat Kerajaan d. Melaksanakan langkah-langkah perlindungan seperti berikut : Pembekal / Pakar Runding / Pengguna Luar

RUJUKAN VERSI TARIKH M/SURAT PKSB PERKESO Versi 1.1 14/12/22 48 dari 146 POLISI KESELAMATAN SIBER PERKESO (i) Menghalang pendedahan maklumat kepada pihak yang tidak berkaitan; (ii) Menjaga kerahsiaan kata laluan yang diberikan; (iii) Menjaga tahap kerahsiaan maklumat; (iv) Melaksanakan peraturan berkaitan maklumat terperingkat terutama semasa pewujudan, pemprosesan, penyimpanan, penghantaran, penyampaian, pertukaran dan pemusnahan; dan (v) Menjaga kerahsiaan kawalan keselamatan siber dari diketahui umum. e. Menggunakan kemudahan ICT dengan berpandukan garis panduan yang telah ditetapkan; dan f. Menandatangani Surat Akuan Pematuhan PKSB PERKESO, Borang Non Disclosure Agreement (NDA) dan Borang Soalan Keselamatan (KPKK 11). DP020104(A.6.1.4) Pengasingan Tugas (Segregation of Duties) Tugas dan bidang tanggungjawab yang bercanggah hendaklah diasingkan bagi mengurangkan peluang mengubah suai tanpa kebenaran atau dengan tidak sengaja mengubah atau menyalah guna aset. Perkara-perkara yang perlu dipatuhi adalah seperti berikut : a. Skop tugas dan tanggungjawab perlu diasingkan bagi mengurangkan peluang berlakunya penyalahgunaan atau pengubahsuaian yang tidak dibenarkan ke atas aset ICT; b. Tugas mewujud, memadam, mengemas kini, mengubah dan mengesahkan data hendaklah diasingkan bagi mengelakkan daripada capaian yang tidak dibenarkan Ketua Bahagian

RUJUKAN VERSI TARIKH M/SURAT PKSB PERKESO Versi 1.1 14/12/22 49 dari 146 POLISI KESELAMATAN SIBER PERKESO serta melindungi aset ICT daripada kesilapan, kebocoran maklumat terperingkat atau dimanipulasi. c. Perkakasan yang digunakan bagi tugas membangun, mengemas kini, menyenggara dan menguji aplikasi hendaklaklah diasingkan daripada perkakasan yang digunakan sebagai production. Pengasingan juga merangkumi tindakan memisahkan antara kumpulan operasi dan rangkaian; dan d. Pengasingan tugas bagi tugas yang kritikal tidak boleh dilaksanakan oleh seorang pengguna sahaja yang bertindak atas kuasa tunggalnya. DP020105(A.6.1.5) Hubungan Dengan Pihak Berkuasa (Contact with Authorities) Hubungan yang baik dengan pihak berkuasa berkaitan hendaklah dikekalkan. Perkara-perkara yang perlu dipatuhi adalah seperti yang berikut: a. Hendaklah mengenal pasti perundangan dan peraturan yang berkaitan dalam melaksanakan peranan dan tanggungjawab PERKESO; b. Mewujud dan mengemas kini prosedur/senarai pihak berkuasa perundangan/pihak yang dihubungi semasa kecemasan. Pihak berkuasa perundangan ialah Polis Diraja Malaysia, Bomba, Jabatan Pertahanan Awam.. c. Bekerjasama rapat dengan Jabatan Bomba dan Penyelamat bagi mendapatkan khidmat nasihat berkaitan kebombaan serta mengadakan latihan mencegah kebakaran dari semasa ke semasa; d. Pihak yang dihubungi semasa kecemasan termasuk juga pihak utiliti, pembekal perkhidmatan, perkhidmatan kecemasan, pembekal elektrik, keselamatan dan kesihatan serta bomba; dan Jawatankuasa Keselamatan dan Kesihatan, Pasukan ERT, CSIRT PERKESO

RUJUKAN VERSI TARIKH M/SURAT PKSB PERKESO Versi 1.1 14/12/22 50 dari 146 POLISI KESELAMATAN SIBER PERKESO e. Insiden keselamatan maklumat harus dimaklumkan atau dilaporkan (jika perlu) kepada Agensi Keselamatan Siber Negara (NACSA), Cyber Security Malaysia dan Suruhanjaya Komunikasi dan Multimedia Malaysia (SKMM) tepat pada masanya bagi mengurangkan impak insiden. DP020106(A.6.1.6) Hubungan Dengan Kumpulan Berkepentingan Yang Khusus (Contact with Special Interest Groups) Hubungan baik dengan kumpulan berkepentingan yang khusus atau forum pakar keselamatan dan pertubuhan profesional hendaklah dikekalkan. Menganggotai pertubuhan profesional atau pun forum bagi: a. Meningkatkan ilmu berkaitan amalan terbaik dan sentiasa mengikut perkembangan terkini mengenai keselamatan maklumat; b. Menerima amaran awal dan nasihat berhubung kerentanan dan ancaman keselamatan maklumat terkini; c. Berkongsi dan bertukar maklumat mengenai teknologi, produk, ancaman atau kerentanan; dan d. Berhubung dengan kumpulan pakar keselamatan maklumat apabila berurusan dengan insiden keselamatan maklumat. Anggota PERKESO (Mengikut Bidang Kepakaran) DP020107(A.6.1.7) Keselamatan Maklumat Dalam Pengurusan Projek (Information Security in Project Management) Keselamatan maklumat hendaklah diberi perhatian dalam semua jenis pengurusan projek. Perkara-perkara yang perlu dipatuhi adalah seperti berikut : Anggota PERKESO (Pasukan

RUJUKAN VERSI TARIKH M/SURAT PKSB PERKESO Versi 1.1 14/12/22 51 dari 146 POLISI KESELAMATAN SIBER PERKESO a. Keselamatan maklumat perlu diintegrasikan bagi setiap pengurusan projek PERKESO; b. Objektif keselamatan maklumat hendaklah diambil kira dalam pengurusan projek merangkumi semua fasa pelaksanaan metodologi projek; c. Pengurusan risiko ke atas keselamatan maklumat hendaklah dikendalikan di awal projek untuk mengenal pasti kawalan-kawalan yang diperlukan; d. Kontrak hendaklah mengandungi semua bidang yang terpakai dalam keperluan keselamatan maklumat seperti yang terkandung dalam polisi keselamatan siber PERKESO; dan e. Penyediaan spesifikasi perolehan hendaklah memasukkan keperluan pasukan projek pihak pembekal yang mempunyai pensijilan keselamatan maklumat. Projek), Pembekal 0202(A.6.2) Peranti Mudah Alih dan Telekerja (Mobile Device and Teleworking) Objektif: Memastikan keselamatan telekerja dan penggunaan peralatan mudah alih. DP020201(A.6.2.1) Polisi Peranti Mudah Alih (Mobile Device Policy) Membangun serta menyebarkan dasar dan langkahlangkah keselamatan sokongan bagi mengurangkan risiko yang timbul melalui penggunaan peranti mudah alih seperti telefon pintar, iPad, tablet, komputer micro dan notebook melibatkan capaian maklumat terperingkat di PERKESO. Meluluskan dasar, arahan, peraturan dan langkah keselamatan berkaitan penggunaan peranti mudah alih ICT kepada PERKESO. Sokongan Teknikal PERKESO JPICT

RUJUKAN VERSI TARIKH M/SURAT PKSB PERKESO Versi 1.1 14/12/22 52 dari 146 POLISI KESELAMATAN SIBER PERKESO Perkara-perkara yang perlu dipatuhi : a. Pendaftaran ke atas peralatan mudah alih; b. Keperluan ke atas perlindungan secara fizikal; c. Kawalan ke atas pemasangan perisian peralatan mudah alih; d. Kawalan ke atas versi dan patches perisian; e. Sekatan ke atas akses perkhidmatan maklumat secara dalam talian; f. Kawalan perkhidmatan maklumat secara kawalan akses dan teknik kriptografi; dan g. Peralatan mudah alih hendaklah disimpan di tempat yang selamat apabila tidak digunakan. Anggota PERKESO DP020202(A.6.2.2) Telekerja (Teleworking) Dasar dan langkah-langkah keselamatan sokongan hendaklah dilaksanakan bagi melindungi maklumat yang diakses, diproses atau disimpan di lokasi telekerja. Perkara yang perlu dipatuhi termasuk yang berikut: a. Memastikan proses pengesahan pengguna remote digunakan untuk mengawal capaian logikal ke atas kemudahan port diagnostik dan konfigurasi jarak jauh; dan b. Sebarang capaian ke dalam server dari luar PERKESO hanya dibenarkan dengan akses melalui VPN (Virtual Private Network) rasmi PERKESO dan perlu mendapat kelulusan CIO atau ICTSO. Anggota PERKESO, Pembekal

RUJUKAN VERSI TARIKH M/SURAT PKSB PERKESO Versi 1.1 14/12/22 53 dari 146 POLISI KESELAMATAN SIBER PERKESO Bidang 03(A.7) Keselamatan Sumber Manusia (Human Resource Security) 0301(A.7.1) Sebelum Perkhidmatan (Prior To Employment) Objektif: Memastikan anggota PERKESO yang mempunyai urusan dengan perkhidmatan ICT PERKESO memahami tanggungjawab dan peranan serta meningkatkan pengetahuan dalam keselamatan aset ICT . DP030101(A.7.1.1) Tapisan Keselamatan (Security Screening) Tapisan keselamatan hendaklah dijalankan terhadap anggota PERKESO yang mempunyai urusan dengan perkhidmatan ICT PERKESO yang terlibat selaras dengan keperluan perkhidmatan. Perkara-perkara yang perlu dipatuhi adalah seperti berikut : a. Menyatakan dengan lengkap dan jelas peranan dan tanggungjawab anggota PERKESO yang mempunyai urusan dengan perkhidmatan ICT PERKESO yang terlibat dalam menjamin keselamatan aset ICT sebelum, semasa dan selepas perkhidmatan; dan b. Menjalankan tapisan keselamatan untuk anggota PERKESO yang mempunyai urusan dengan perkhidmatan ICT PERKESO yang terlibat berasaskan keperluan perundangan, peraturan dan etika terpakai yang selaras dengan keperluan perkhidmatan, peringkat maklumat yang akan dicapai serta risiko yang dijangkakan. Pentadbir Sumber Manusia, Pentadbir ICT, ICTSO, Anggota PERKESO yang mempunyai urusan dengan perkhidmatan ICT PERKESO

RUJUKAN VERSI TARIKH M/SURAT PKSB PERKESO Versi 1.1 14/12/22 54 dari 146 POLISI KESELAMATAN SIBER PERKESO DP030102(A.7.1.2) Terma & Syarat Perkhidmatan (Terms and Conditions of Employment) Persetujuan perjanjian dengan anggota PERKESO yang mempunyai urusan dengan perkhidmatan ICT PERKESO hendaklah dinyatakan tanggungjawab mereka dan tanggungjawab organisasi terhadap keselamatan maklumat. Perkara-perkara yang mesti dipatuhi adalah seperti berikut : a. Menyatakan dengan lengkap dan jelas peranan serta tanggungjawab anggota PERKESO yang mempunyai urusan dengan perkhidmatan ICT PERKESO yang terlibat dalam menjamin kesealamatan aset ICT; dan b. Mematuhi semua terma dan syarat perkhidmatan yang ditawarkan dan peraturan semasa yang berkuat kuasa berdasarkan perjanjian yang telah ditetapkan. Pentadbir Sumber Manusia, Anggota PERKESO yang mempunyai urusan dengan perkhidmatan ICT PERKESO 0302(A.7.2) Dalam Tempoh Perkhidmatan (During Deployment) Objektif: Memastikan anggota PERKESO yang mempunyai urusan dengan perkhidmatan ICT PERKESO mematuhi tanggungjawab dan peranan serta meningkatkan pengetahuan dalam keselamatan aset ICT. Semua pengguna hendaklah mematuhi terma dan syarat perkhidmatan dan peraturan semasa yang berkuat kuasa.

RUJUKAN VERSI TARIKH M/SURAT PKSB PERKESO Versi 1.1 14/12/22 55 dari 146 POLISI KESELAMATAN SIBER PERKESO DP030201(A.7.2.1) Tanggungjawab Pengurusan (Manegement Responsibilities) Pengurusan hendaklah memastikan anggota PERKESO yang mempunyai urusan dengan perkhidmatan ICT PERKESO supaya mengamalkan keselamatan maklumat menurut polisi dan prosedur yang telah ditetapkan . Pentadbir Sumber Manusia, Anggota PERKESO yang mempunyai urusan dengan perkhidmatan ICT PERKESO DP030202(A.7.2.2) Kesedaran, Pendidikan dan Latihan Tentang Keselamatan Maklumat (Information Security Awareness, Education and Training) Anggota PERKESO yang mempunyai urusan dengan perkhidmatan ICT PERKESO perlu diberikan kesedaran, pendidikan dan latihan sewajarnya mengenai keselamatan aset ICT secara berterusan dalam melaksanakan tugastugas dan tanggungjawab mereka. Perkara-perkara yang perlu dipatuhi adalah seperti berikut : a. Memastikan kesedaran, pendidikan dan latihan yang berkaitan Polisi Keselamatan Siber PERKESO, Sistem Pengurusan Keselamatan Maklumat (ISMS) dan latihan teknikal yang berkaitan dengan produk/fungsi/aplikasi/sistem keselamatan secara berterusan dalam melaksanakan tugas-tugas dan tanggungjawab mereka; b. Memastikan kesedaran yang berkaitan Polisi Keselamatan Siber PERKESO perlu diberi kepada pihak Pentadbir Latihan, Anggota PERKESO yang mempunyai urusan dengan perkhidmatan ICT PERKESO

RUJUKAN VERSI TARIKH M/SURAT PKSB PERKESO Versi 1.1 14/12/22 56 dari 146 POLISI KESELAMATAN SIBER PERKESO ketiga yang berkepentingan dari semasa ke semasa (jika perlu); dan c. Memantapkan pengetahuan berkaitan keselamatan maklumat bagi memastikan setiap kemudahan ICT digunakan dengan cara dan kaedah yang betul demi menjamin kepentingan keselamatan maklumat. DP030203(A.7.2.3) Proses Tatatertib (Disciplinary Process) Proses tatatertib yang formal dan disampaikan kepada anggota PERKESO hendaklah tersedia bagi membolehkan tindakan diambil terhadap anggota PERKESO yang melakukan pelanggaran keselamatan maklumat. Perkaraperkara yang perlu dipatuhi adalah seperti berikut : a. Memastikan adanya proses tindakan disiplin dan/atau undang-undang ke atas anggota PERKESO sekiranya berlaku pelanggaran terhadap perundangan dan peraturan yang ditetapkan oleh PERKESO; dan b. Anggota PERKESO yang melanggar polisi ini akan dikenakan tindakan tatatertib atau digantung daripada mendapat capaian kepada kemudahan ICT PERKESO. Pentadbir Tatatertib 0303(A.7.3) Penamatan atau Perubahan Perkhidmatan (Termination or Change of Employment) Objektif: Memastikan pertukaran, tamat perkhidmatan dan perubahan bidang tugas anggota PERKESO diurus dengan teratur.

RUJUKAN VERSI TARIKH M/SURAT PKSB PERKESO Versi 1.1 14/12/22 57 dari 146 POLISI KESELAMATAN SIBER PERKESO DP030301(A.7.3.1) Penamatan atau Pertukaran Tanggungjawab Perkhidmatan (Termination or Change of Employment Responsibilities) Anggota PERKESO yang telah tamat perkhidmatan perlu mematuhi perkara-perkara berikut : a. Memastikan semua aset ICT dikembalikan kepada PERKESO mengikut peraturan dan/atau terma perkhidmatan yang ditetapkan; b. Membatalkan atau menarik balik semua kebenaran capaian ke atas maklumat dan kemudahan proses maklumat mengikut peraturan yang ditetapkan PERKESO dan/atau terma perkhidmatan yang ditetapkan; dan c. Maklumat rasmi PERKESO dalam peranti tidak dibenarkan dibawa keluar dari PERKESO Anggota PERKESO yang telah bertukar perkhidmatan hendaklah : a. Memastikan semua aset ICT yang berkaitan dengan tugas terdahulu dikembalikan kepada PERKESO mengikut peraturan dan/atau terma perkhidmatan yang ditetapkan; dan b. Menyedia dan menyerahkan nota serahan tugas dan myPortfolio kepada penyelia yang berkaitan. Pentadbir Sumber Manusia Anggota PERKESO

RUJUKAN VERSI TARIKH M/SURAT PKSB PERKESO Versi 1.1 14/12/22 58 dari 146 POLISI KESELAMATAN SIBER PERKESO Bidang 04(A.8) Pengurusan Aset (Asset Management) 0401(A.8.1) Tanggungjawab Terhadap Aset (Responsibility for Assets) Objektif: Untuk mengenal pasti aset bagi memberikan dan menyokong perlindungan yang bersesuaian ke atas semua aset ICT PERKESO. DP040101(A.8.1.1) Inventori Aset (Inventory of Assets) Menyokong dan memberi perlindungan yang bersesuaian ke atas semua aset ICT PERKESO. Tanggungjawab yang perlu dipatuhi adalah termasuk perkara-perkara berikut : a. PERKESO hendaklah mengenal pasti Pegawai Penerima Aset setiap Bahagian/Cawangan/Pejabat PERKESO untuk menguruskan penerimaan aset-aset ICT bagi projek-projek ICT; b. Memastikan semua aset ICT dikenal pasti, diklasifikasi, didokumen, diselenggara dan dilupuskan. Maklumat aset direkod dan dikemas kini sebagaimana arahan dan peraturan yang berkuat kuasa dari semasa ke semasa; c. Memastikan semua aset ICT mempunyai pemilik dan dikendalikan oleh pengguna yang dibenarkan sahaja; dan d. Pegawai Aset hendaklah mengesahkan penempatan aset ICT. Pentadbir Aset ICT, Pegawai Penerima Aset, Anggota PERKESO

RUJUKAN VERSI TARIKH M/SURAT PKSB PERKESO Versi 1.1 14/12/22 59 dari 146 POLISI KESELAMATAN SIBER PERKESO DP040102(A.8.1.2) Pemilikan Aset (Ownership of Assets) Aset yang menjadi hak milik PERKESO hendaklah diselenggarakan oleh PERKESO manakala aset yang bukan hak milik PERKESO hendaklah tertakluk kepada perjanjian berkaitan penyelenggaraan. Tanggungjawab yang perlu dipatuhi oleh penjaga aset adalah termasuk perkaraperkara berikut : a. Memastikan aset di bawah tanggungjawab telah dimasukkan dalam senarai aset; b. Memastikan aset telah dikelaskan dan dilindungi; c. Kenal pasti dan mengkaji semula capaian ke atas aset penting secara berkala berdasarkan kepada polisi kawalan capaian yang telah ditetapkan; d. Memastikan pengendalian aset dilaksanakan dengan baik apabila aset dihapus atau dilupuskan; dan e. Memastikan semua jenis aset dipelihara dengan baik. Pentadbir Aset ICT, Anggota PERKESO DP040103(A.8.1.3) Penggunaan Aset Yang Dibenarkan (Acceptable Use of Assets) Memastikan semua peraturan pengendalian aset dikenal pasti, didokumenkan dan dilaksanakan. Anggota PERKESO DP040104(A.8.1.4) Pemulangan Aset (Return of Assets) Anggota PERKESO hendaklah memastikan semua jenis aset ICT dikembalikan mengikut peraturan dan terma perkhidmatan yang ditetapkan selepas bersara, bertukar jabatan dan penamatan perkhidmatan atau kontrak. Anggota PERKESO

RUJUKAN VERSI TARIKH M/SURAT PKSB PERKESO Versi 1.1 14/12/22 60 dari 146 POLISI KESELAMATAN SIBER PERKESO 0402(A.8.2) Klasifikasi Maklumat (Information Classification) Objektif: Memastikan setiap maklumat atau aset ICT diberikan tahap perlindungan yang bersesuaian. DP040201(A.8.2.1) Pengelasan Maklumat (Classification of Information) Maklumat hendaklah dikelaskan oleh Pegawai Pengelas yang dilantik dan ditanda dengan peringkat keselamatan sebagaimana yang ditetapkan di dalam Arahan Keselamatan. Ketua Bahagian / Pentadbir Pengelas / Pegawai Pengelasan DP040202(A.8.2.2) Pelabelan Maklumat (Labelling of Information) Prosedur penandaan peringkat keselamatan pada maklumat hendaklah dipatuhi berdasarkan Arahan Keselamatan. Anggota PERKESO Kategori / Klasifikasi Rahsia Besar Rahsia  Sulit Terhad​ Umum Definasi Dokumen rasmi, maklumat sulit dan bahan rasmi yang jika didedahkan tanpa kebenaran akan menyebabkan kerosakan yang amat besar kepada Malaysia. Dokumen rasmi, maklumat sulit dan bahan rasmi yang jika didedahkan tanpa kebenaran akan membahayakan keselamatan Negara, menyebabkan kerosakab besar kepada kepentingan dan martabat Malaysia atau memberikan keuntungan besar kepada sesebuah kuasa asing. Dokumen rasmi, maklumat rasmi dan bahan rasmi yang jika didedahkan tanpa kebenaran​ walaupun tidak membahayakan keselamatan Negara tetapi memudaratkan kepentingan atau martabat Malaysia atau kegiatan kerajaan atau orang perseorangan atau akan menyebabkan keadaan memalukan atau kesusahan kepada pentadbiran atau akan menguntungkan sesebuah kuasa asing. Dokumen rasmi, maklumat rasmi dan bahan rasmi selain daripada yang diperingkatkan sebagai "Rahsia Besar", 'Rahsia" atau "Sulit" tetapi berkehendakkan juga diberi satu tahap perlindungan keselamatan. ​Dokumen terbuka Contoh Maklumat a) Kertas-kertas Jemaah Menteri yang sangat penting mengenai dasar utama Kerajaan berkaitan dengan perkara politik atau ekonomi; b) Maklumat yang sangat penting mengenai perancangan dan penempatan barisan peperangan Angkatan Tentera jika berlaku peperangan; c) Surat-menyurat dengan Kerajaan, negara asing mengenai aspek perdagangan dan pertahanan yang sangat penting dan; d) Maklumat lengkap berkenaan dengan pertubuhan-pertubuhan perisikan Malaysia dan kaedahkaedahnya a) Arahan-arahan penting untuk perwakilan-perwakilan Malaysia untuk membuat perundangan dengan negara asing; b) Maklumat-maklumat penting mengenai pemasangan-pemasangan tentera; c) Maklumat-maklumat penting mengenai pertubuhan-pertubuhan subversif dan kegiatan-kegiatannya; dan d) Surat-menyurat antara jabatan mengenai perkara-perkara dasar yang penting. a) Laporan-laporan perisikan biasa b) Dokumen-dokumen dan panduan- panduan teknik untuk kegunaan latihan tentera atau polis c) Maklumat mengenai perkara- perkara perdagangan yang jika terdedah kepada orang yang tidak dibenarkan atau menyebabkan keadaan memalukan atau kesusahan kepada pentadbiran dan Kerajaan; dan d) Maklumat-maklumat yang mungkin membolehkan pendapatan faedah kewangan daripadanya jika terdedah sebelum masa. a) Buku-buku bagi maksud arahan b) Perintah dan arahan-arahan biasa jabatan; dan c) Dokumen-dokumen mengenai bekalan barang-barang dan alat kelengkapan biasa untuk tentera atau polis. Pelabelan Jenis fail ​Ya (atas sebelah kiri dan bawah sebelah kanan dokumen) Fail kuning berpalang merah ​Ya (atas sebelah kiri dan bawah sebelah kanan dokumen) Fail merah jambu berpalang merah ​Ya (atas sebelah kiri dan bawah sebelah kanan dokumen) Fail hijau ​Ya (atas sebelah kiri dan bawah sebelah kanan dokumen) Fail putih ​Ya Fail putih Emel Ya, dengan syarat emel dan fail tersebut disulitkan. Ya, dengan syarat emel dan fail tersebut disulitkan. Ya, dengan syarat emel dan fail tersebut disulitkan. Ya, dengan syarat emel dan fail tersebut disulitkan. Ya​ Surat  Ya, tertakluk kepada Keselamatan Rahsia Rasmi, Arahan Keselamatan dan Akta 88 Ya, tertakluk kepada Keselamatan Rahsia Rasmi, Arahan Keselamatan dan Akta 88 Ya, tertakluk kepada Keselamatan Rahsia Rasmi, Arahan Keselamatan dan Akta 88 Ya, tertakluk kepada Keselamatan Rahsia Rasmi, Arahan Keselamatan dan Akta 88 Ya Lisan Ya, tertakluk kepada Prinsip-prinsip Keselamatan, Arahan keselamatan dan sek. 8, Akta 88 Ya, tertakluk kepada Prinsip-prinsip Keselamatan, Arahan keselamatan dan sek. 8, Akta 88 Ya, tertakluk kepada Prinsip-prinsip Keselamatan, Arahan keselamatan dan sek. 8, Akta 88 Ya, tertakluk kepada Prinsip-prinsip Keselamatan, Arahan keselamatan dan sek. 8, Akta 88 Ya Cetakan ASAL Ya, tertakluk kepada Keselamatan Rahsia Rasmi, Arahan Keselamatan dan Akta 88 Ya, tertakluk kepada Keselamatan Rahsia Rasmi, Arahan Keselamatan dan Akta 88 Ya, tertakluk kepada Keselamatan Rahsia Rasmi, Arahan Keselamatan dan Akta 88 Ya, tertakluk kepada Keselamatan Rahsia Rasmi, Arahan Keselamatan dan Akta 88 Ya Salinan​ ASAL Ya, tertakluk kepada Keselamatan Rahsia Rasmi, Arahan Keselamatan dan Akta 88 Ya, tertakluk kepada Keselamatan Rahsia Rasmi, Arahan Keselamatan dan Akta 88 Ya, tertakluk kepada Keselamatan Rahsia Rasmi, Arahan Keselamatan dan Akta 88 Ya, tertakluk kepada Keselamatan Rahsia Rasmi, Arahan Keselamatan dan Akta 88 Ya

RUJUKAN VERSI TARIKH M/SURAT PKSB PERKESO Versi 1.1 14/12/22 61 dari 146 POLISI KESELAMATAN SIBER PERKESO DP040203(A.8.2.3) Pengendalian Aset (Handling of Assets) Aktiviti pengendalian maklumat seperti mengumpul, memproses, menyimpan, membuat salinan, menghantar, menyampai, menukar dan memusnah hendaklah mengambil kira langkah-langkah keselamatan berikut : a. Menghalang pendedahan maklumat kepada pihak yang tidak dibenarkan; b. Memeriksa dan menentukan maklumat adalah tepat dan lengkap dari semasa ke semasa; c. Menentukan maklumat sedia untuk digunakan; d. Menjaga kerahsiaan kata laluan; dan e. Mematuhi standard, prosedur, langkah dan garis panduan keselamatan yang ditetapkan; f. Memberikan perhatiankepada maklumat terperingkat terutama semasa pewujudan, pemprosesan, penyimpanan, membuat salinan, penghantaran, penyampaian, pertukaran dan pemusnahan; dan g. Menjaga kerahsiaan langkah-langkah keselamatan siber daripada diketahui umum. Anggota PERKESO 0403(A.8.3) Pengendalian Media (Media Handling) Objektif: Melindungi aset ICT daripada sebarang pendedahan, pengubahsuaian, pemindahan atau pemusnahan serta gangguan ke atas aktiviti perkhidmatan. DP040301(A.8.3.1) Pengurusan Media Mudah Alih (Management of Removal Media)

RUJUKAN VERSI TARIKH M/SURAT PKSB PERKESO Versi 1.1 14/12/22 62 dari 146 POLISI KESELAMATAN SIBER PERKESO Prosedur pengurusan media mudah alih hendaklah dilaksanakan mengikut skim pengelasan yang diguna pakai oleh PERKESO. Prosedur-prosedur pengendalian media yang perlu dipatuhi adalah seperti berikut: a. Melabelkan semua media mengikut tahap sensitiviti sesuatu maklumat; b. Menghadkan dan menentukan capaian media kepada pengguna yang dibenarkan sahaja; c. Menghadkan pengedaran data atau media untuk tujuan yang dibenarkan sahaja; d. Mengawal dan merekod aktiviti penyelenggaraan media bagi mengelak dari sebarang kerosakan dan pendedahan yang tidak dibenarkan; dan e. Menyimpan semua media di tempat yang selamat. Pentadbir Sistem dan Server, Pentadbir Pusat Data, Pentadbir Pusat Pemulihan Bencana, Anggota PERKESO DP040302(A.8.3.2) Pelupusan Media (Disposal of Media) Tanggungjawab yang perlu dipatuhi adalah termasuk perkara-perkara berikut : a. Pelupusan media atau dokumen perlu mendapat kelulusan dan mengikut kaedah pelupusan aset ICT yang ditetapkan oleh Kerajaan; dan b. Media atau dokumen yang mengandungi maklumat terperingkat hendaklah disanitasikan terlebih dahulu sebelum dihapuskan atau dimusnahkan mengikut prosedur yang berkuat kuasa. Pentadbir ICT, Jawatankuasa Pelupusan Aset PERKESO (JKPAP)

RUJUKAN VERSI TARIKH M/SURAT PKSB PERKESO Versi 1.1 14/12/22 63 dari 146 POLISI KESELAMATAN SIBER PERKESO DP040303(A.8.3.3) Pemindahan Media Fizikal (Physical Media Transfer) PERKESO hendaklah memastikan media atau peranti yang mengandungi maklumat terperingkat dilindungi daripada capaian yang tidak dibenarkan, penyalahgunaan atau kerosakan semasa pengangkutan. Pentadbir Pusat Data, Pusat Pemulihan Bencana

RUJUKAN VERSI TARIKH M/SURAT PKSB PERKESO Versi 1.1 14/12/22 64 dari 146 POLISI KESELAMATAN SIBER PERKESO Bidang 05(A.9) Kawalan Akses (Access Control) 0501(A.9.1) Keperluan Kawalan Akses (Business Requirement of Access Control) Objektif : Menghadkan akses kepada kemudahan pemprosesan data dan maklumat dengan memahami dan mematuhi keperluan keselamatan dalam mengawal capaian ke atas maklumat. DP050101(A.9.1.1) Polisi Kawalan Akses (Access Control Policy) Capaian kepada proses dan maklumat hendaklah dikawal mengikut keperluan keselamatan dan fungsi kerja pengguna yang berbeza. Peraturan kawalan capaian hendaklah diwujudkan, didokumenkan dan disemak berdasarkan keperluan perkhidmatan dan keselamatan maklumat. Ia perlu dikemas kini setahun sekali atau mengikut keperluan dan menyokong peraturan kawalan capaian pengguna sedia ada. Perkara yang perlu dipatuhi adalah seperti berikut: a. Keperluan keselamatan aplikasi; b. Hak akses dan dasar klasifikasi maklumat sistem dan rangkaian; c. Undang-undang dan peraturan berkaitan yang berkuat kuasa semasa; d. Kawalan capaian ke atas perkhidmatan rangkaian dalaman dan luaran; e. Pengasingan peranan kawalan capaian; f. Kebenaran rasmi permintaan akses; Pentadbir ICT, Pemilik Perkhidmatan Digital, Pembekal, Pakar Runding, Pengguna Luar

RUJUKAN VERSI TARIKH M/SURAT PKSB PERKESO Versi 1.1 14/12/22 65 dari 146 POLISI KESELAMATAN SIBER PERKESO g. Keperluan semakan hak akses berkala; h. Pembatalan hak akses; i. Arkib semua peristiwa penting yang berkaitan dengan penggunaan dan pengurusan identiti pengguna dan maklumat; dan j. Keistimewaan capaian. DP050102(A.9.1.2) Capaian Kepada Rangkaian Dan Perkhidmatan Rangkaian (Access to Network and Network Services) Pengguna hanya boleh dibekalkan dengan capaian ke rangkaian dan perkhidmatan rangkaian setelah mendapat kebenaran dari PERKESO. Kawalan capaian perkhidmatan rangkaian hendaklah dijamin selamat dengan : a. Menempatkan atau memasang perkakasan ICT yang bersesuaian di antara rangkaian PERKESO, rangkaian agensi lain dan rangkaian awam; b. Mewujud dan menguatkuasakan mekanisme untuk pengesahan pengguna dan perkakasan ICT yang dihubungkan ke rangkaian; dan c. Memantau dan menguatkuasakan kawalan capaian pengguna terhadap perkhidmatan rangkaian ICT. Ketua Bahagian, ICTSO, Pentadbir Rangkaian dan Keselamatan ICT, Pembekal 0502(A.9.2) Pengurusan Akses Pengguna (User Access Management) Objektif: Akses kepada proses dan maklumat hendaklah dikawal mengikut keperluan keselamatan dan fungsi kerja pengguna yang berbeza. Ia perlu direkodkan, dikemas kinidan menyokong dasar kawalan capaian pengguna sedia ada.

RUJUKAN VERSI TARIKH M/SURAT PKSB PERKESO Versi 1.1 14/12/22 66 dari 146 POLISI KESELAMATAN SIBER PERKESO DP050201(A.9.2.1) Pendaftaran dan Pembatalan Pengguna (User Registration and De-Registration) Proses pendaftaran dan pembatalan pengguna hendaklah dilaksanakan bagi membolehkan akses dan pembatalan hak akses. Perkara-perkara berikut hendaklah dipatuhi: a. Akaun yang diperuntukan oleh PERKESO sahaja boleh digunakan; b. Akaun pengguna mestilah unik dan hendaklah mencerminkan identiti pengguna; c. Sebarang perubahan tahap akses hendaklah mendapat kelulusan daripada PERKESO terlebih dahulu; d. Penggunaan akaun milik orang lain atau akaun yang dikongsi bersama adalah dilarang ; dan e. Menentukan setiap akaun yang diwujudkan atau dibatalkan telah mendapat kelulusan PERKESO. Semua Anggota PERKESO DP050202(A.9.2.2) Peruntukan Akses Pengguna (User Access Provisioning) Satu proses penyediaan akses pengguna untuk kebenaran dan pembatalan akses pengguna ke atas semua aplikasi dan perkhidmatan ICT . Ketua Bahagian, Pentadbir ICT

RUJUKAN VERSI TARIKH M/SURAT PKSB PERKESO Versi 1.1 14/12/22 67 dari 146 POLISI KESELAMATAN SIBER PERKESO DP050203(A.9.2.3) Pengurusan Hak Akses Istimewa (Management of Priviledge Access Rights) Peruntukan dan penggunaan hak akses istimewa hendaklah dihadkan dan dikawal. Penetapan dan penggunaan ke atas hak akses perlu diberikan kawalan dan penyeliaan yang ketat berdasarkan keperluan skop tugas merujuk kepada Prosedur Pendaftaran dan Penamatan Pengguna. Pentadbir ICT DP050204(A.9.2.4) Pengurusan Maklumat Pengesahan Rahsia Pengguna (Management of Secret Authentication Information of Users) Peruntukan maklumat pengesahan rahsia bagi pengguna hendaklah dikawal melalui proses pengurusan formal. Peruntukan maklumat pengesahan rahsia bagi pengguna perlu diberikan kawalan dan penyeliaan yang ketat berdasarkan keperluan. ICTSO, Pentadbir ICT DP050205(A.9.2.5) Kajian Semula Hak Akses Pengguna (Review of User Access Rights) Pentadbir / Pegawai ICT perlu mewujudkan Prosedur Pendaftaran dan Penamatan Pengguna sistem masingmasing sebagai rujukan semakan ke atas hak akses pengguna pada sela masa yang ditetapkan. Pentadbir ICT, ICTSO DP050206(A.9.2.6) Pembatalan atau Pelarasan Hak Akses (Removal or Adjustment of Access Rights)

RUJUKAN VERSI TARIKH M/SURAT PKSB PERKESO Versi 1.1 14/12/22 68 dari 146 POLISI KESELAMATAN SIBER PERKESO Hak akses anggota PERKESO dan anggota pihak luar untuk kemudahan pemprosesan data atau maklumat hendaklah dikeluarkan/dibatalkan selepas penamatan pekerjaan, kontrak atau perjanjian atau diselaraskan apabila berlaku perubahan dalam PERKESO. Ketua Bahagian, Pentadbir ICT 0503(A.9.3) Tanggungjawab Pengguna (User Responsibilities) Objektif : Memastikan pengguna bertanggungjawab melindungi maklumat pengesahan mereka. DP050301(A.9.3.1) Penggunaan Maklumat Pengesahan Rahsia (Use of Secret Authentication Information) Pengguna perlu mengikut amalan keselamatan yang baik di dalam pemilihan, penggunaan dan pengurusan kata laluan sebagai melindungi maklumat yang digunakan untuk pengesahan identiti. Peranan dan tanggungjawab pengguna adalah seperti berikut: a. Membaca, memahami dan mematuhi Polisi Keselamatan Siber PERKESO; b. Mengetahui dan memahami implikasi keselamatan siber kesan daripada tindakanya; c. Melaksanakan prinsip-prinsip dan menjaga kerahsiaan maklumat PERKESO; d. Melaksanakan langkah-langkah perlindungan seperti berikut : Ketua Bahagian, Pentadbir ICT, Anggota PERKESO

RUJUKAN VERSI TARIKH M/SURAT PKSB PERKESO Versi 1.1 14/12/22 69 dari 146 POLISI KESELAMATAN SIBER PERKESO i. Menghalang pendedahan maklumat kepada pihak yang tidak dibenarkan; ii. Memeriksa maklumat dan menentukan ia tepat dan lengkap dari semasa ke semasa; iii. Menentukan maklumat sedia untuk digunakan; iv. Menjaga kerahsiaan kata laluan; v. Mematuhi standard, prosedur, langkah dan garis panduan keselamatan yang ditetapkan; vi. Memberikan perhatian kepada maklumat terperingkat terutama semasa pewujudan, pemprosesan, penyimpanan, penghantaran, penyampaian, pertukaran dan pemusnahan; dan vii. Menjaga kerahsiaan langkah-langkah keselamatan siber daripada diketahui umum. e. Melaporkan sebarang aktiviti yang mengancam kesealamatan siber kepada ICTSO dengan segera; dan f. Menghadiri program-program kesedaran mengenai keselamatan siber. Pengguna perlu mengikut amalan keselamatan yang baik di dalam pemilihan, penggunaan dan pengurusan kata laluan sebagai melindungi maklumat yang digunakan untuk pengesahan identiti. 0504(A.9.4) Kawalan Akses Sistem dan Aplikasi (System and Application Access Control) Objektif : Menghalang capaian tidak sah dan tanpa kebenaran ke atas maklumat yang terdapat di dalam sistem dan aplikasi.

RUJUKAN VERSI TARIKH M/SURAT PKSB PERKESO Versi 1.1 14/12/22 70 dari 146 POLISI KESELAMATAN SIBER PERKESO DP050401(A.9.4.1) Sekatan Akses Maklumat (Information Access Restriction) Akses kepada fungsi maklumat dan sistem aplikasi hendaklah dihadkan mengikut dasar kawalan capaian. Ketua Bahagian, ICTSO, Pentadbir ICT DP050402(A.9.4.2) Prosedur Log Masuk Yang Selamat (Secure Log-on Procedure) Kawalan terhadap capaian aplikasi sistem perlu mempunyai kaedah pengesahan log masuk yang selamat dan bersesuaian bagi mengelakkan sebarang capaian yang tidak dibenarkan. Langkah dan kaedah kawalan yang digunakan adalah seperti yang berikut : a. Menjana amaran (alert) sekiranya berlaku perlanggaran semasa proses log masuk terhadap aplikasi sistem; b. Mengawal capaian ke atas aplikasi sistem menggunakan prosedur log masuk terjamin; c. Mewujudkan satu teknik pengesahan yang bersesuaian bagi mengesahkan pengenalan diri pengguna; d. Mewujudkan sistem pengurusan kata laluan secara interaktif dan memastikan kata laluan adalah berkualiti; dan e. Mewujudkan jejak audit ke atas capaian aplikasi sistem yang ditetapkan. Ketua Bahagian, ICTSO, Pentadbir ICT

RUJUKAN VERSI TARIKH M/SURAT PKSB PERKESO Versi 1.1 14/12/22 71 dari 146 POLISI KESELAMATAN SIBER PERKESO DP050403(A.9.4.3) Sistem Pengurusan Kata Laluan (Password Management System) Sistem pengurusan kata laluan hendaklah interaktif dan mengambilkira kualiti kata laluan yang dicipta. Pengurusan kata laluan mestilah mematuhi amalan terbaik serta prosedur yang ditetapkan oleh PERKESO seperti yang berikut: a. Dalam apa jua keadaan dan sebab, kata laluan hendaklah dilindungi dan tidak boleh dikongsi dengan sesiapa pun; b. Pengguna hendaklah menukar kata laluan apabila disyaki berlakunya kebocoran kata laluan atau dikompromi; c. Panjang kata laluan digalakkan mempunyai LAPAN (8) AKSARA dengan gabungan antara huruf besar, huruf kecil dan nombor (alphanumeric) KECUALI kelulusan khas daripada CSIRT PERKESO; d. Kata laluan hendaklah diingat dan TIDAK BOLEH dicatat, disimpan atau didedahkan dengan apa cara sekali pun; e. Kata laluan paparan kunci (lock screen) hendaklah diaktifkan terutamanya pada komputer yang terletak di ruang guna sama; f. Kata laluan hendaklah tidak dipaparkan semasa input dalam laporan atau media lain dan tidak boleh dikodkan di dalam atur cara; g. Kuatkuasakan pertukaran kata laluan selepas login kali pertama atau selepas reset kata laluan; h. Kata laluan hendaklah berlainan daripada pengenalan identiti pengguna; i. Had kemasukan kata laluan bagi capaian kepada sistem aplikasi adalah maksimum TIGA (3) KALI sahaja. Setelah Ketua Bahagian, ICTSO, Pentadbir ICT, Anggota PERKESO

RUJUKAN VERSI TARIKH M/SURAT PKSB PERKESO Versi 1.1 14/12/22 72 dari 146 POLISI KESELAMATAN SIBER PERKESO mencapai tahap maksimum, capaian kepada sistem akan disekat sehingga id capaian diaktifkan semula; dan j. Sistem yang dibangunkan mestilah mempunyai kemudahan menukar kata laluan oleh pengguna. k. Bagi sistem legasi, para h, i dan j tidak terpakai dan akan mengikut tetapan sedia ada. DP050404(A.9.4.4) Penggunaan Program Utiliti Yang Mempunyai Hak Istimewa (Use of Privileged Utility Programs) Penggunaan program utiliti hendaklah dikawal bagi mengelakkan Over-Riding sistem. Ketua Bahagian, Pentadbir ICT DP050405(A.9.4.5) Kawalan Akses Kepada Kod Sumber Program (Access Control to Program Source Code) Capaian kepada kod sumber hendaklah dihadkan. Perkara-perkara yang perlu dipertimbangkan adalah seperti berikut : a. Log audit perlu dikekalkan kepada semua akses kepada kod sumber; b. Penyelenggaraan dan penyalinan kod sumber hendaklah tertakluk kepada kawalan perubahan; dan c. Kod sumber bagi semua aplikasi dan perisian hendaklah menjadi hak milik PERKESO. Pengurus Projek, Pegawai Pengurusan Projek, Pentadbir Aplikasi, Pembekal

RUJUKAN VERSI TARIKH M/SURAT PKSB PERKESO Versi 1.1 14/12/22 73 dari 146 POLISI KESELAMATAN SIBER PERKESO Bidang 06(A.10) Kriptografi (Cryptography) 0601(A.10.1) Kawalan Kriptografi (Cryptography Controls) Objektif: Memastikan penggunaan kriptografi yang betul dan berkesan bagi melindungi kerahsiaan, kesahihan, dan/atau keutuhan maklumat. DP060101(A.10.1.1) Polisi Penggunaan Kawalan Kriptografi (Policy on the use of Cryptographic Controls) Kriptografi merangkumi kaedah-kaedah seperti yang berikut : a. Enkripsi Sistem aplikasi yang melibatkan maklumat terperingkat hendaklah dibuat enkripsi (encryption). b. Tandatangan Digital Maklumat terperingkat yang perlu diproses dan dihantar secara elektronik hendaklah menggunakan tandatangan digital mengikut keperluan pelaksanaan. Pengurus Projek DP060102(A.10.1.2) Pengurusan Kunci Awam (Public Key Management) Pengurusan ke atas Pengurusan Infrastruktur Kunci Awam (Public Key Infrastructure – PKI) hendaklah dilakukan dengan berkesan dan selamat bagi melindungi kunci berkenaan diubah, dimusnah dan didedahkan sepanjang tempoh sah kunci tersebut. Ketua Bahagian, Anggota PERKESO

RUJUKAN VERSI TARIKH M/SURAT PKSB PERKESO Versi 1.1 14/12/22 74 dari 146 POLISI KESELAMATAN SIBER PERKESO Bidang 07(A.11) Keselamatan Fizikal dan Persekitaran (Physical and Environmental Security) 0701(A.11.1) Kawasan Selamat (Secure Areas) Objektif : Menghalang akses fizikal yang tidak dibenarkan yang boleh mengakibatkan kecurian, kerosakan atau gangguan kepada maklumat dan kemudahan pemprosesan maklumat PERKESO. DP070101(A.11.1.1) Perimeter Keselamatan Fizikal (Physical Security Parameter) Ini bertujuan untuk menghalang akses tanpa kebenaran, gangguan secara fizikal dan kerosakan terhadap premis dan Aset ICT PERKESO. Perkara-perkara yang perlu dipatuhi termasuk yang berikut: a. Menggunakan keselamatan parameter (halangan seperti dinding, pagar, kawalan, pengawal keselamatan) untuk melindungi kawasan yang mengandungi maklumat dan kemudahan pemprosesan maklumat; b. Melindungi kawasan terhad melalui kawalan pintu masuk yang bersesuaian bagi memastikan anggota yang diberi kebenaran sahaja boleh melalui pintu masuk ini; c. Mereka bentuk dan melaksanakan keselamatan fizikal di dalam pejabat, bilik dan kemudahan; Pentadbir Hartanah, Pentadbir Keselamatan Jabatan, Pentadbir Pengurusan Risiko, Jawatankuasa Keselamatan dan Kesihatan, Pembekal, Pembekal

RUJUKAN VERSI TARIKH M/SURAT PKSB PERKESO Versi 1.1 14/12/22 75 dari 146 POLISI KESELAMATAN SIBER PERKESO d. Mereka bentuk dan melaksanakan perlindungan fizikal dari kebakaran, banjir, letupan, kacau-bilau manusia dan sebarang bencana alam atau perbuatan manusia; e. Melaksanakan perlindungan fizikal dan menyediakan garis panduan untuk anggota yang bekerja di dalam kawasan terhad; f. Memastikan kawasan-kawasan penghantaran dan pemunggahan dan juga tempat-tempat lain dikawal dari pihak yang tidak diberi kebenaran memasukinya; dan g. Memasang alat pengera atau kamera keselamatan. DP070102(A.11.1.2) Kawalan Kemasukan Fizikal (Physical Entry Controls) Kawalan kemasukan fizikal adalah bertujuan untuk mewujudkan kawalan keluar masuk ke premis PERKESO. (A.11.1.2 Physical Entry Controls) Perkara yang perlu dipatuhi adalah seperti berikut: a. Setiap pegawai dan pengguna PERKESO hendaklah mempamerkan pas keselamatan sepanjang waktu bertugas. Semua pas keselamatan hendaklah dikembalikan kepada PERKESO apabila bertukar, tamat perkhidmatan atau bersara; b. Setiap pelawat/kontraktor/pembekal hendaklah mendaftar dan mendapatkan pas keselamatan pelawat di kaunter keselamatan dan hendaklah dikembalikan selepas tamat lawatan; c. Hanya pengguna yang diberi kebenaran sahaja boleh menggunakan aset ICT PERKESO; dan Anggota PERKESO, pembekal dan pihak yang mempunyai urusan dengan perkhidmatan ICT PERKESO

RUJUKAN VERSI TARIKH M/SURAT PKSB PERKESO Versi 1.1 14/12/22 76 dari 146 POLISI KESELAMATAN SIBER PERKESO d. Kehilangan pas hendaklah dilaporkan segera kepada Pihak Berkuasa. DP070103(A.11.1.3) Kawalan Pejabat, Bilik dan Kemudahan (Securing Offices, Rooms and Facilities) Keselamatan fizikal untuk pejabat, bilik dan kemudahan hendaklah dirangka dan dilaksanakan. Perkara yang perlu dipatuhi adalah seperti berikut: a. Kawasan tempat bekerja, bilik mesyuarat, bilik krisis, bilik perbincangan, bilik fail, bilik cetakan, bilik kawalan CCTV dan pusat data perlu dihadkan daripada diakses tanpa kebenaran; b. Kawasan tempat bekerja, bilik dan tempat operasi ICT perlu dihadkan daripada diakses oleh orang luar; dan c. Penunjuk lokasi bilik operasi dan tempat larangan haruslah mematuhi arahan keselamatan. Anggota PERKESO, pembekal dan pihak yang mempunyai urusan dengan perkhidmatan ICT PERKESO DP070104(A.11.1.4) Perlindungan Daripada Ancaman Luar dan Persekitaran (Protecting Against External and Internal Environmental Threats) Perlindungan fizikal terhadap bencana alam, serangan berniat jahat atau kemalangan hendaklah dirangka dan dilaksanakan. PERKESO perlu mereka bentuk dan melaksanakan perlindungan fizikal daripada kebakaran, banjir, letupan, kacau bilau dan bencana. Pentadbir Pusat Data, Pentadbir Pusat Pemulihan Bencana, Pentadbir Hartanah, Pembekal

RUJUKAN VERSI TARIKH M/SURAT PKSB PERKESO Versi 1.1 14/12/22 77 dari 146 POLISI KESELAMATAN SIBER PERKESO DP070105(A.11.1.5) Bekerja di Kawasan Selamat (Working In Secure Areas) Prosedur bekerja di kawasan selamat hendaklah dirangka dan dilaksanakan. Kawasan larangan ditakrifkan sebagai kawasan yang dihadkan kemasukan bagi anggota PERKESO yang tertentu sahaja. Ini dilakukan untuk melindungi aset ICT / peralatan utama bangunan yang terdapat dalam premis PERKESO termasuklah Pusat Data. Kawasan larangan di PERKESO adalah Bilik Fail, Bilik Kawalan, Bilik-Bilik M&E, Bilik Stor ICT, Bilik Komputer Utama, Bilik Komputer Pejabat PERKESO, Pusat Data (Data Centre) dan Pusat Pemulihan Bencana (Disaster Recovery Centre). Kawasan ini mestilah dilindungi daripada sebarang ancaman, kelemahan dan risiko seperti pencerobohan, kebakaran dan bencana alam. Kawalan keselamatan ke atas kawasan tersebut adalah seperti berikut: a. Sumber data atau server, peralatan komunikasi dan storan perlu ditempatkan di pusat data, bilik serveratau bilik khas yang mempunyai ciri-ciri keselamatan yang tinggi termasuk sistem pencegahan kebakaran; b. Akses adalah terhad kepada warga PERKESO yang telah diberi kuasa sahaja dan dipantau pada setiap masa; c. Pemantauan dibuat menggunakan Closed-Circuit Television (CCTV) kamera atau lain-lain peralatan yang sesuai; d. Peralatan keselamatan (CCTV, log akses)perlu diperiksa secara berjadual; e. Butiran pelawat yang keluar masuk ke kawasan larangan perlu direkodkan; Pentadbir Pusat Data, Pentadbir Pusat Pemulihan Bencana, Pentadbir Hartanah, Pembekal

RUJUKAN VERSI TARIKH M/SURAT PKSB PERKESO Versi 1.1 14/12/22 78 dari 146 POLISI KESELAMATAN SIBER PERKESO f. Pelawat yang dibawa masuk mesti diawasi oleh pegawai yang bertanggungjawab di sepanjang tempoh di lokasi berkaitan; g. Lokasi premis ICT hendaklah tidak berhampiran dengan kawasan pemunggahan, saliran air dan laluan awam; h. Memperkukuh tingkap dan pintu serta dikunci untuk mengawal kemasukan; i. Memperkukuh dinding dan siling; dan j. Menghadkan jalan keluar masuk. DP070106(A.11.1.6) Kawasan Penyerahan dan Pemunggahan (Delivery and Loading Area) Titik kemasukan access point seperti kawasan penyerahan dan pemunggahan serta kawasan larangan hendaklah dikawal dan jika boleh diasingkan daripada kemudahan pemprosesan maklumat bagi mengelakkan kemasukan yang tidak dibenarkan. PERKESO hendaklah memastikan kawasan penghantaran dan pemunggahan dan juga tempat-tempat lain dikawal daripada dimasuki oleh pihak yang tidak diberi kebenaran. Anggota PERKESO, pembekal, pakar runding dan pihak yang mempunyai urusan dengan perkhidmatan ICT PERKESO 0702(A.11.2) Peralatan ICT (ICT Equipment) Objektif : Melindungi peralatan ICT PERKESO daripada kehilangan, kerosakan, kecurian dan disalahgunakan. DP070201(A.11.2.1) Penempatan dan Perlindungan Peralatan ICT (Equipment Siting and Protection)

RUJUKAN VERSI TARIKH M/SURAT PKSB PERKESO Versi 1.1 14/12/22 79 dari 146 POLISI KESELAMATAN SIBER PERKESO Peralatan ICT hendaklah ditentukan tempatnya dan dilindungi bagi mengurangkan risiko ancaman dan bahaya persekitaran dan peluang kemasukan yang tidak dibenarkan. Langkah-langkah keselamatan yang perlu diambil adalah seperti yang berikut: a. Penggunaan kata laluan untuk akses ke sistem komputer adalah diwajibkan; b. Pengguna bertanggungjawab sepenuhnya ke atas komputer masing-masing dan tidak dibenarkan membuat sebarang pertukaran perkakasan dan konfigurasi yang telah ditetapkan; c. Pengguna dilarang sama sekali menambah, menanggal atau mengganti sebarang peralatan ICT yang telah ditetapkan; d. Pengguna dilarang membuat instalasi sebarang perisian tambahan tanpa kebenaran Pentadbir Sistem; e. Pengguna mesti memastikan perisian antivirus di komputer peribadi mereka sentiasa aktif (activated) dan dikemas kini di samping melakukan imbasan ke atas media storan yang digunakan; f. Semua peralatan sokongan ICT hendaklah dilindungi daripada kecurian, dirosakkan, diubahsuai tanpa kebenaran dan salah guna; Anggota PERKESO, pembekal, pakar runding dan pihak yang mempunyai urusan dengan perkhidmatan ICT PERKESO

RUJUKAN VERSI TARIKH M/SURAT PKSB PERKESO Versi 1.1 14/12/22 80 dari 146 POLISI KESELAMATAN SIBER PERKESO g. Setiap pengguna adalah bertanggungjawab atas kerosakan atau kehilangan perkakasan ICT di bawah kawalannya; h. Peralatan-peralatan kritikal perlu disokong oleh Uninterruptable Power Supply (UPS) dan Generator Set (Gen-Set). i. Semua perkakasan hendaklah disimpan atau diletakkan di tempat yang teratur, bersih dan mempunyai ciri-ciri keselamatan. j. Peralatan rangkaian seperti suis, penghala, hab dan peralatan-peralatan lain perlu diletakkan di dalam rak khas dan berkunci; k. Semua peralatan yang digunakan secara berterusan mestilah diletakkan di kawasan yang berhawa dingin dan mempunyai pengudaraan (air ventilation) yang sesuai; l. Peralatan ICT yang hendak dibawa ke luar premis PERKESO, perlulah mendapat kelulusan Pegawai Aset dan direkodkan bagi tujuan pemantauan; m.Peralatan ICT yang hilang semasa di luar waktu pejabat hendaklah dikendalikan mengikut prosedur pelaporan insiden; n. Pengendalian peralatan ICT hendaklah mematuhi dan merujuk kepada peraturan-peraturan semasa yang berkuat kuasa; o. Pengguna tidak dibenarkan mengubah kedudukan komputer dari tempat asal komputer tersebut ditempatkan tanpa kebenaran Pentadbir ICT.

RUJUKAN VERSI TARIKH M/SURAT PKSB PERKESO Versi 1.1 14/12/22 81 dari 146 POLISI KESELAMATAN SIBER PERKESO p. Penyelarasan tempat kerja dan konfigurasi perkakasan ICT hendaklah dibuat mengikut kesesuaian pengguna dengan mengambil kira faktor ergonomik; q. Sebarang kerosakan peralatan ICT hendaklah dilaporkan kepada Help Desk PERKESO untuk dibaik pulih; r. Sebarang pelekat selain bagi tujuan rasmi, hiasan atau contengan yang meninggalkan kesan yang lama pada perkakasan ICT tidak dibenarkan. Ini bagi menjamin peralatan tersebut sentiasa berkeadaan baik; s. Konfigurasi alamat IP tidak dibenarkan diubah daripada alamat IP yang asal; t. Pengguna dilarang sama sekali mengubah password administrator yang telah ditetapkan oleh pihak ICT; dan u. Pengguna bertanggungjawab terhadap perkakasan, perisian dan maklumat di bawah jagaannya yang digunakan sepenuhnya bagi urusan rasmi dan PERKESO sahaja. DP070202(A.11.2.2) Utiliti Sokongan (Supporting Utilities) Peralatan ICT hendaklah dilindungi daripada kegagalan kuasa dan gangguan lain yang disebabkan oleh kegagalan utiliti sokongan. Semua alat sokongan perlu diselenggara dari semasa ke semasa sekurang-kurangnya setahun sekali atau mengikut keperluan. Anggota PERKESO, pembeka dan pihak yang mempunyai urusan dengan perkhidmatan ICT PERKESO

RUJUKAN VERSI TARIKH M/SURAT PKSB PERKESO Versi 1.1 14/12/22 82 dari 146 POLISI KESELAMATAN SIBER PERKESO DP070203(A.11.2.3) Keselamatan Kabel (Cabling Security) Kabel kuasa dan telekomunikasi yang membawa data atau menyokong perkhidmatan maklumat hendaklah dilindungi daripada pintasan, gangguan atau kerosakan. Kabel termasuk kabel elektrik dan telekomunikasi yang menyalurkan data dan menyokong pekhidmatan penyampaian maklumat hendaklah dilindungi. Langkah-langkah keselamatan yang perlu diambil adalah seperti yang berikut: a. Menggunakan kabel mengikut spesifikasi yang telah ditetapkan; b. Melindungi kabel daripada kerosakan yang disengajakan atau tidak disengajakan; c. Melindungi laluan pemasangan kabel sepenuhnya bagi mengelakkan ancaman kerosakan dan wire tapping; dan d. Semua kabel perlu dilabelkan dengan jelas dan mestilah melalui trunking bagi memastikan keselamatan kabel daripada kerosakan bencana dan pintasan maklumat. Pentadbir Rangkaian dan Keselamatan ICT, Pentadbir Pusat Data, Pentadbir Pusat Pemulihan Bencana, Pentadbir Sistem dan Server, Pembekal DP070204(A.11.2.4) Penyelenggaraan Peralatan (Equipment Maintenance) Peralatan hendaklah diselenggara dengan betul bagi memastikan ketersediaan dan keutuhannya berterusan. Perkakasan hendaklah diselenggara dengan betul bagi memastikan kebolehsediaan, kerahsiaan dan integriti. Pentadbir ICT, Pentadbir Aset ICT, Pembekal

RUJUKAN VERSI TARIKH M/SURAT PKSB PERKESO Versi 1.1 14/12/22 83 dari 146 POLISI KESELAMATAN SIBER PERKESO Langkah-langkah keselamatan yang perlu diambil termasuklah seperti yang berikut: a. Bertanggungjawab terhadap setiap perkakasan ICT bagi penyelenggaraan perkakasan sama ada dalam tempoh jaminan atau telah habis tempoh jaminan; b. Mematuhi spesifikasi yang ditetapkan oleh pengeluar bagi semua perkakasan yang diselenggara; c. Memastikan perkakasan hanya diselenggara oleh anggota atau pihak yang dibenarkan sahaja; d. Menyemak dan menguji semua perkakasan sebelum dan selepas proses penyelenggaraan; dan e. Memaklumkan pihak pengguna sebelum melaksanakan penyelenggaraan mengikut jadual yang ditetapkan atau atas keperluan. DP070205(A.11.2.5) Pengalihan Aset (Removal of Assets) Kelengkapan, maklumat atau perisian tidak boleh dibawa keluar dari tempatnya tanpa mendapat kebenaran terlebih dahulu. Langkah-langkah keselamatan yang perlu diambil termasuklah seperti yang berikut: a. Peralatan ICT yang hendak dibawa keluar dari premis PERKESO untuk tujuan rasmi, perlulah mendapat kelulusan Ketua Pegawai Strategi dan Transformasi atau pegawai yang diturunkan kuasa dan direkodkan bagi Pentadbir Aset ICT, Pegawai Aset, Anggota PERKESO

RUJUKAN VERSI TARIKH M/SURAT PKSB PERKESO Versi 1.1 14/12/22 84 dari 146 POLISI KESELAMATAN SIBER PERKESO tujuan pemantauan serta tertakluk kepada tujuan yang dibenarkan; dan b. Aktiviti peminjaman dan pemulangan perkakasan ICT mestilah direkodkan oleh pegawai yang berkenaan. DP070206(A.11.2.6) Keselamatan Peralatan dan Aset di Luar Premis (Security of Equipment and Assets off-Premises) Keselamatan aset di luar premis hendaklah dipastikan dengan mengambil kira pelbagai risiko bekerja di luar premis PERKESO. Peralatan yang dibawa keluar dari premis PERKESO adalah terdedah kepada pelbagai risiko. Perkara yang perlu dipatuhi adalah seperti yang berikut: a. Peralatan perlu dilindungi dan dikawal sepanjang masa; b. Penyimpanan atau penempatan peralatan mestilah mengambil kira ciri-ciri keselamatan yang bersesuaian; dan c. Keselamatan peralatan yang dibawa keluar adalah di bawah tanggungjawab pegawai yang berkenaan. Anggota PERKESO, pembekal, pakar runding dan pihak yang mempunyai urusan dengan perkhidmatan ICT PERKESO DP070207(A.11.2.7) Pelupusan Yang Selamat atau Penggunaan Semula Peralatan (Secure Disposal or Re-Use of Equipment) Semua peralatan yang mengandungi media penyimpanan hendaklah dipastikan bahawa data yang sensitif dan perisian berlesen telah dikeluarkan atau berjaya ditulis ganti (overwrite) sebelum dilupuskkan atau diguna semula. Pelupusan melibatkan semua peralatan ICT yang telah rosak, usang dan tidak boleh dibaiki sama ada harta modal atau inventori yang dibekalkan oleh PERKESO dan ditempatkan di PERKESO. Unit Pengurusan Aset (Bahagian Khidmat Pengurusan), Jawatankuasa Pelupusan Aset,

RUJUKAN VERSI TARIKH M/SURAT PKSB PERKESO Versi 1.1 14/12/22 85 dari 146 POLISI KESELAMATAN SIBER PERKESO Peralatan ICT yang hendak dilupuskan perlu mematuhi prosedur pelupusan yang berkuat kuasa. Pelupusan perlu dilakukan secara terkawal dan lengkap supaya maklumat tidak terlepas daripada kawalan PERKESO Langkah-langkah seperti yang berikut hendaklah diambil: a. Bagi peralatan ICT yang akan dilupuskan sebelum dipindah-milik, data-data dalam storan hendaklah dipastikan telah dihapuskan dengan cara yang selamat; b. Pegawai Aset hendaklah mengenal pasti sama ada peralatan tertentu boleh dilupuskan atau sebaliknya; c. Peralatan yang hendak dilupus hendaklah disimpan di tempat yang telah dikhaskan yang mempunyai ciri-ciri keselamatan bagi menjamin keselamatan peralatan tersebut; d. Pelupusan peralatan ICT hendaklah dilakukan secara berpusat dan mengikut tatacara pelupusan semasa yang berkuat kuasa; e. Pengguna ICT adalah DILARANG SAMA SEKALI daripada melakukan perkara-perkara seperti berikut: i. Menyimpan mana-mana peralatan ICT yang hendak dilupuskan untuk milik peribadi; ii. Mencabut, menanggal dan menyimpan perkakasan tambahan dalaman CPU seperti RAM, hardisk, motherboard dan sebagainya; iii. Menyimpan dan memindahkan perkakasan luaran komputer seperti AVR, speaker dan mana-mana peralatan yang berkaitan ke mana-mana Bahagian di PERKESO; iv. Memindah keluar dari pejabat bagi mana-mana peralatan ICT yang hendak dilupuskan; dan Anggota PERKESO

RUJUKAN VERSI TARIKH M/SURAT PKSB PERKESO Versi 1.1 14/12/22 86 dari 146 POLISI KESELAMATAN SIBER PERKESO v. Melupuskan sendiri peralatan ICT kerana kerja-kerja pelupusan di bawah tanggungjawab PERKESO. f. Pengguna ICT bertanggungjawab memastikan segala maklumat sulit dan rahsia di dalam komputer disalin pada media storan kedua seperti external hard disk atau thumbdrive atau storan awan yang dibenarkan oleh pengurusan PERKESO sebelum menghapuskan maklumat tersebut daripada peralatan komputer yang hendak dilupuskan. g. Data dan maklumat dalam aset ICT yang akan dipindah milik atau dilupuskan hendaklah dihapuskan secara kekal; sekiranya maklumat perlu disimpan, maka pengguna boleh membuat salinan; h. Maklumat lanjut berhubung pelupusan bolehlah dirujuk pada pekeliling berkaitan Tatacara Pengurusan Aset Alih Kerajaan (TPA) yang berkuat kuasa; i. Pelupusan dokumen-dokumen hendaklah mengikut prosedur keselamatan seperti mana Arahan Keselamatan dan tatacara Jabatan Arkib Negara; dan j. Pegawai Aset bertanggungjawab merekodkan butirbutir pelupusan dan mengemas kini rekod pelupusan peralatan ICT ke dalam sistem inventori Sistem Pengurusan Aset. DP070208(A.11.2.8) Peralatan Pengguna Tanpa Kawalan (Unattended User Equipment) Pengguna hendaklah memastikan kelengkapan yang dibiarkan tanpa kawalan mempunyai perlindungan sewajarnya. Pengguna perlu memastikan bahawa peralatan dijaga dan mempunyai perlindungan yang sewajarnya iaitu dengan mematuhi perkara berikut: a. Tamatkan sesi aktif apabila selesai tugas; Anggota PERKESO, pembekal, pakar runding dan pihak yang mempunyai

RUJUKAN VERSI TARIKH M/SURAT PKSB PERKESO Versi 1.1 14/12/22 87 dari 146 POLISI KESELAMATAN SIBER PERKESO b. Log-off komputer meja, komputer riba dan pelayan apabila sesi bertugas selesai; dan c. Komputer meja, komputer riba atau terminal selamat daripada pengguna yang tidak dibenarkan. urusan dengan perkhidmatan ICT PERKESO DP070209(A.11.2.9) Dasar Meja Kosong dan Skrin Kosong (Clear Desk and Clear Screen Policy) Dasar meja kosong untuk kertas dan media penyimpanan boleh alih serta dasar skrin kosong untuk kemudahan pemprosesan maklumat hendaklah digunakan. Semua maklumat dalam apa jua bentuk media hendaklah disimpan dengan teratur dan selamat bagi mengelakkan kerosakan, kecurian atau kehilangan. Clear Desk dan Clear Screen bermaksud tidak meninggalkan dan mendedahkan bahan-bahan yang sensitif sama ada atas meja pengguna atau di paparan skrin apabila pengguna tidak berada di tempatnya. Langkah-langkah yang perlu diambil termasuklah seperti yang berikut: a. Menggunakan kemudahan password screensaver atau logout apabila meninggalkan komputer; b. Menyimpan bahan-bahan sensitif di dalam laci atau kabinet fail yang berkunci; c. Memastikan semua dokumen diambil segera dari pencetak, pengimbas, mesin faksimile dan mesin fotostat; d. E-mel masuk dan keluar hendaklah dikawal; dan e. Menghalang penggunaan tanpa kebenaran mesin fotokopi dan teknologi penghasilan semula seperti mesin pengimbas dan kamera digital. Anggota PERKESO, pembekal, pakar runding dan pihak yang mempunyai urusan dengan perkhidmatan ICT PERKESO

RUJUKAN VERSI TARIKH M/SURAT PKSB PERKESO Versi 1.1 14/12/22 88 dari 146 POLISI KESELAMATAN SIBER PERKESO Bidang 08(A.12) Keselamatan Operasi (Operations Security) 0801(A.12.1) Prosedur dan Tanggungjawab Operasi (Operational Procedures and Responsibilities) Objektif : Memastikan operasi kemudahan pemprosesan maklumat yang betul dan selamat. DP080101(A.12.1.1) Prosedur Operasi Yang Didokumenkan (Documented Operating Procedures) Penyedia dokumen perlu memastikan prosedur operasi yang didokumenkan mematuhi perkara-perkara berikut: a. Semua prosedur keselamatan siber yang diwujud, dikenal pasti dan diguna pakai hendaklah didokumenkan, disimpan dan dikawal; b. Setiap prosedur mestilah mengandungi arahan-arahan yang jelas, teratur dan lengkap seperti keperluan kapasiti, pengendalian dan pemprosesan maklumat, pengendalian dan penghantaran ralat, pengendalian output, bantuan teknikal dan pemulihan sekiranya pemprosesan tergendala atau terhenti; dan c. Semua prosedur hendaklah disemak dan dikemas kini dari semasa ke semasa atau mengikut keperluan. Ketua Bahagian, Pentadbir ICT

RUJUKAN VERSI TARIKH M/SURAT PKSB PERKESO Versi 1.1 14/12/22 89 dari 146 POLISI KESELAMATAN SIBER PERKESO DP080102(A.12.1.2) Pengurusan Perubahan (Change Management) Perubahan dalam organisasi, proses perkhidmatan, kemudahan pemprosesan maklumat dan sistem yang menjejaskan keselamatan maklumat hendaklah dikawal. Penyedia dokumen perlu memastikan pengurusan perubahan yang didokumenkan mematuhi perkaraperkara berikut: a. Pengubahsuaian yang melibatkan perkakasan, sistem untuk pemprosesan maklumat, perisian, dan prosedur mestilah mendapat kebenaran daripada pegawai atasan atau pemilik aset ICT terlebih dahulu; b. Aktiviti-aktiviti seperti memasang, menyelenggara, menghapus dan mengemas kini mana-mana komponen sistem ICT hendaklah dikendalikan oleh pihak atau pegawai yang diberi kuasa dan mempunyai pengetahuan atau terlibat secara langsung dengan aset ICT berkenaan; c. Semua aktiviti pengubahsuaian komponen sistem ICT hendaklah mematuhi spesifikasi perubahan yang telah ditetapkan; dan d. Semua aktiviti perubahan atau pengubahsuaian hendaklah direkod dan dikawal bagi mengelakkan berlakunya ralat sama ada secara sengaja atau pun tidak sengaja. Pentadbir ICT DP080103(A.12.1.3) Pengurusan Kapasiti (Capacity Management) Penggunaan sumber hendaklah dipantau, disesuaikan dan unjuran hendaklah disediakan untuk keperluan keupayaan masa hadapan bagi memastikan prestasi sistem yang Pentadbir ICT, Pemilik Sistem

RUJUKAN VERSI TARIKH M/SURAT PKSB PERKESO Versi 1.1 14/12/22 90 dari 146 POLISI KESELAMATAN SIBER PERKESO dikehendaki dicapai. Perkara-perkara yang perlu dipatuhi adalah seperti berikut: a. Kapasiti sesuatu komponen atau sistem ICT hendaklah dirancang, diurus dan dikawal dengan teliti oleh pegawai yang berkenaan bagi memastikan keperluannya adalah mencukupi dan bersesuaian untuk pembangunan dan kegunaan sistem ICT pada masa akan datang; dan b. Keperluan kapasiti ini juga perlu mengambil kira ciri-ciri keselamatan siber bagi meminimumkan risiko seperti gangguan pada perkhidmatan dan kerugian akibat pengubahsuaian yang tidak dirancang. DP080104(A.12.1.4) Pengasingan Persekitaran Pembangunan, Pengujian dan Operasi (Separation of Development, Testing and Operational Environments) Persekitaran pembangunan, pengujian dan operasi hendaklah diasingkan bagi mengurangkan risiko capaian yang tidak dibenarkan atau perubahan kepada persekitaran operasi. Perkara-perkara yang perlu dipatuhi adalah seperti berikut: a. Perkakasan dan perisian yang digunakan bagi tugas membangun, mengemas kini, menyelenggara dan menguji sistem perlu diasingkan dari perkakasan yang digunakan sebagai pengeluaran (production); b. Pengasingan juga merangkumi tindakan memisahkan antara kumpulan operasi dan rangkaian; dan c. Data yang mengandungi maklumat rahsia rasmi tidak boleh digunakan di dalam persekitaran pembangunan melainkan telah mengambil kira kawalan keselamatan maklumat dan persetujuan pemilik data. Pentadbir ICT

RUJUKAN VERSI TARIKH M/SURAT PKSB PERKESO Versi 1.1 14/12/22 91 dari 146 POLISI KESELAMATAN SIBER PERKESO 0802(A.12.2) Perlindungan Daripada Perisian Hasad (Protection From Malware) Objektif: Untuk memastikan bahawa kemudahan pemprosesan maklumat dan maklumat dilindungi daripada malware. DP080201(A.12.2.1) Kawalan Daripada Perisian Hasad (Controls Against Malware) Kawalan pengesanan, pencegahan dan pemulihan untuk memberikan perlindungan dari serangan malware hendaklah dilaksanakan dan digabungkan dengan kesedaran pengguna terhadap serangan tersebut. Perkara-perkara yang perlu dilaksanakan bagi memastikan perlindungan aset ICT daripada perisian berbahaya adalah seperti berikut: a. Memasang sistem keselamatan untuk mengesan perisian atau program malware seperti antivirus, antimalware Intrusion Detection System (IDS) dan Intrusion Prevention System (IPS) serta mengikut prosedur penggunaan yang betul dan selamat; b. Memasang dan menggunakan hanya perisian yang tulen, berdaftar dan dilindungi di bawah mana-mana undang-undang bertulis yang berkuat kuasa; c. Mengimbas semua perisian atau sistem dengan antivirus/antimalware sebelum menggunakannya; Pentadbir ICT, Anggota PERKESO, Pembekal

RUJUKAN VERSI TARIKH M/SURAT PKSB PERKESO Versi 1.1 14/12/22 92 dari 146 POLISI KESELAMATAN SIBER PERKESO d. Mengemas kini antivirus dengan signature/pattern antivirus yang terkini. e. Menyemak kandungan sistem atau maklumat secara berkala bagi mengesan aktiviti yang tidak diingini seperti kehilangan dan kerosakan maklumat; f. Menghadiri program kesedaran mengenai ancaman perisian berbahaya dan cara mengendalikanya; g. Memasukkan klausa tanggungan di dalam mana-mana kontrak yang telah ditawarkan kepada pembekal perisian. Klausa ini bertujuan untuk tuntutan baik pulih sekiranya perisian tersebut mengandungi program berbahaya; dan h. Mengadakan program dan prosedur jaminan kualiti ke atas semua perisian yang dibangunkan. 0803(A.12.3) Sandaran (Backup) Objektif: Memastikan segala data diselenggara agar penyimpanan data diuruskan dengan sempurna. DP080301(A.12.3.1) Sandaran Maklumat (Information Backup) Sandaran hendaklah dilakukan setiap kali konfigurasi berubah. Sandaran hendaklah direkodkan dan disimpan di off site. Perkara yang perlu dipatuhi adalah seperti berikut: Pentadbir Sistem dan Server, Pembekal

RUJUKAN VERSI TARIKH M/SURAT PKSB PERKESO Versi 1.1 14/12/22 93 dari 146 POLISI KESELAMATAN SIBER PERKESO a. Membuat sandaran keselamatan ke atas semua sistem perisian dan aplikasi sekurang-kurangnya sekali atau setelah mendapat versi terbaru; b. Membuat sandaran ke atas semua data dan maklumat mengikutkeperluan operasi; c. Menguji sistem sandaran sedia ada bagi memastikannya dapat berfungsi dengan sempurna, boleh dipercayai dan berkesan apabila digunakan khususnya pada waktu bencana; dan d. Sandaran hendaklah dilaksanakan mengikut jadual yang dirancang sama ada secara harian, mingguan, bulanan atau tahunan. Kekerapan sandaran bergantung pada tahap kritikal maklumat dan hendaklah disimpan sekurang-kurangnya TIGA (3) GENERASI. 0804(A.12.4) Pengelogan dan Pemantauan (Logging and Monitoring) Objektif: Merekodkan peristiwa dan menghasilkan bukti. DP080401(A.12.4.1) Pengelogan Kejadian (Event Logging) Log hendaklah disimpan dan direkodkan selaras dengan arahan/pekeliling terkini yang dikeluarkan oleh Kerajaan. Log hendaklah dikawal bagi mengekalkan integriti data. Jenis fail log bagi server dan aplikasi yang perlu diaktifkan adalah seperti berikut: Pentadbir Sistem dan Server