POLISI KESELAMATAN JABATAN PERDANA MENTERI UNIT PENYELARASAN PELAKSANAAN (ICU JPM) VERSI 2.0
NOMBOR RUJUKAN VERSI MUKASURAT ICU/PKS/001 2.0 HAKCIPTA © Unit Penyelarasan Pelaksanaan, ICU JPM, Putrajaya, 2023 All rights reserved. Tiada bahagian di dalam penerbitan ini boleh dicetak semula, diterbitkan semula, disimpan dalam sistem capaian semula atau dipindahkan dalam sebarang bentuk atau dengan apa-apa cara sekalipun tanpa terlebih dahulu mendapat kebenaran secara bertulis daripada pemilik. Mula diterbitkan dan diedarkan pada bulan Januari, 2007 Edisi ini diterbitkan dan diedarkan pada bulan Oktober, 2023 1
NOMBOR RUJUKAN VERSI MUKASURAT ICU/PKS/001 2.0 PENGESAHAN DOKUMEN Disahkan oleh : ……………………….. Nama : Norashiken binti Ishak Jawatan : Timbalan Ketua Pengarah (Pembangunan Strategik) Tarikh : Disediakan oleh : ……………………….. Nama : Wahadi bin Mohamed Jawatan : Timbalan Pengarah (NADI) / ICTSO Tarikh : Disemak oleh : ……………………….. Nama : Zakaria bin Deraman Jawatan : Pengarah (NADI) Tarikh : 2
NOMBOR RUJUKAN VERSI MUKASURAT ICU/PKS/001 2.0 REKOD PINDAAN TARIKH VERSI KETERANGAN DISEDIAKAN OLEH 3
NOMBOR RUJUKAN VERSI MUKASURAT ICU/PKS/001 2.0 KANDUNGAN SINGKATAN 8 1 PENGENALAN 9 1.1 OBJEKTIF 11 1.2 SKOP 11 1.3 PERANAN DAN TANGGUNGJAWAB 12 1.4 PEMAKAIAN 12 1.5 PENGUATKUASAAN DAN SEMAKAN 12 1.6 RUJUKAN 13 1.7 PERTANYAAN 13 1.8 DEFINISI 14 2 PRINSIP-PRINSIP KESELAMATAN MAKLUMAT 19 3 STRUKTUR PENYATAAN POLISI 22 4 PENGURUSAN RISIKO KESELAMATAN MAKLUMAT 24 5 KAWALAN KESELAMATAN ORGANISASI 26 5.1 POLISI KESELAMATAN SIBER 27 5.2 PERANAN DAN TANGGUNGJAWAB KESELAMATAN MAKLUMAT 29 5.3 PENGASINGAN TUGAS 43 5.4 PENGURUSAN KAWALAN KESELAMATAN 43 5.5 HUBUNGAN DENGAN PIHAK BERKUASA 44 5.6 HUBUNGAN DENGAN KUMPULAN BERKEPENTINGAN YANG KHUSUS 45 5.7 KECERDASAN ANCAMAN (THREAT INTELLIGENCE) 46 5.8 KESELAMATAN MAKLUMAT DALAM PENGURUSAN PROJEK 47 5.9 INVENTORI MAKLUMAT DAN ASET LAIN YANG BERKAITAN 48 5.10 PENERIMAAN PENGGUNAAN MAKLUMAT DAN ASET (ACCEPTABLE USE) 49 5.11 PEMULANGAN ASET 51 5.12 KLASIFIKASI MAKLUMAT 52 5.13 PELABELAN MAKLUMAT 54 5.14 PEMINDAHAN MAKLUMAT 55 5.15 KAWALAN AKSES 56 5.16 PENGURUSAN IDENTITI 59 5.17 PENGESAHAN ENTITI 61 5.18 HAK AKSES 63 5.19 KESELAMATAN MAKLUMAT DALAM PENGURUSAN PEMBEKAL 64 5.20 MENANGANI KESELAMATAN MAKLUMAT DI DALAM PERJANJIAN 66 PEMBEKAL ISI 4
NOMBOR RUJUKAN VERSI MUKASURAT ICU/PKS/001 2.0 5.21 MENGURUSKAN KESELAMATAN MAKLUMAT DALAM RANTAIAN 67 BEKALAN ICT 5.22 MEMANTAU, MENGKAJI DAN PENGURUSAN PERUBAHAN 68 PERKHIDMATAN PEMBEKAL 5.23 KESELAMATAN MAKLUMAT UNTUK PENGGUNAAN PERKHIDMATAN AWAN 69 5.24 PELAN DAN PENYEDIAAN PENGURUSAN INSIDEN KESELAMATAN 70 MAKLUMAT 5.25 PENILAIAN DAN KEPUTUSAN INSIDEN KESELAMATAN MAKLUMAT 73 5.26 TINDAK BALAS TERHADAP INSIDEN KESELAMATAN MAKLUMAT 74 5.27 PENGAJARAN DARI INSIDEN KESELAMATAN MAKLUMAT 75 5.28 PENGUMPULAN BUKTI 76 5.29 KESELAMATAN MAKLUMAT SEMASA GANGGUAN 76 5.30 KESEDIAAN ICT UNTUK KESINAMBUNGAN PERKHIDMATAN 77 5.31 KEPERLUAN UNDANG-UNDANG, KANUN, PERATURAN DAN KONTRAK 78 5.32 HAK HARTA INTELEK 80 5.33 PERLINDUNGAN REKOD 81 5.34 PRIVASI DAN PERLINDUNGAN MAKLUMAT PENGENALAN PERIBADI (PII) 82 5.35 KAJIAN BEBAS KESELAMATAN MAKLUMAT 83 5.36 PEMATUHAN DENGAN POLISI, PERATURAN DAN PIAWAIAN UNTUK 83 KESELAMATAN MAKLUMAT 5.37 PROSEDUR OPERASI YANG DIDOKUMENKAN 84 6 KAWALAN KESELAMATAN MANUSIA 85 6.1 SARINGAN 86 6.2 TERMA DAN SYARAT PERKHIDMATAN 87 6.3 KESEDARAN, PENDIDIKAN DAN LATIHAN KESELAMATAN MAKLUMAT 88 6.4 PROSES TATATERTIB 89 6.5 PENAMATAN ATAU PERTUKARAN PENJAWATAN 90 6.6 PERJANJIAN KERAHSIAAN ATAU KETAKDEDAHAN 91 6.7 TELEKERJA (REMOTE WORKING) 91 6.8 PELAPORAN INSIDEN KESELAMATAN MAKLUMAT 92 7 KAWALAN KESELAMATAN FIZIKAL 93 7.1 PERIMETER KESELAMATAN FIZIKAL 94 7.2 KEMASUKAN FIZIKAL 96 7.3 KESELAMATAN PEJABAT, BILIK DAN KEMUDAHAN (FASILITI) 98 7.4 PEMANTAUAN KESELAMATAN FIZIKAL 99 7.5 PERLINDUNGAN DARIPADA ANCAMAN LUAR DAN PERSEKITARAN 100 7.6 BEKERJA DI KAWASAN SELAMAT 101 7.7 MEJA BERSIH DAN SKRIN KOSONG (CLEAR DESK AND CLEAR SCREEN) 102 7.8 PERLINDUNGAN PERALATAN 103 5
NOMBOR RUJUKAN VERSI MUKASURAT ICU/PKS/001 2.0 7.9 KESELAMATAN ASET DI LUAR PREMIS 105 7.10 MEDIA STORAN 107 7.11 UTILITI SOKONGAN 112 7.12 KESELAMATAN KABEL 113 7.13 PENYELENGGARAAN PERALATAN 114 7.14 PELUPUSAN SELAMAT ATAU PENGGUNAAN SEMULA PERALATAN 115 8 KAWALAN KESELAMATAN TEKNOLOGI 116 8.1 PERANTI PENGGUNA (USER ENDPOINT DEVICES) 117 8.2 HAK AKSES ISTIMEWA 119 8.3 SEKATAN AKSES MAKLUMAT 120 8.4 AKSES KEPADA KOD SUMBER 121 8.5 PENGESAHAN SELAMAT 122 8.6 PENGURUSAN KAPASITI 123 8.7 KAWALAN DARIPADA PERISIAN HASAD (MALWARE) 124 8.8 PENGURUSAN KERENTANAN TEKNIKAL 125 8.9 PENGURUSAN KONFIGURASI 125 8.10 PEMADAMAN MAKLUMAT 126 8.11 PENYEMBUNYIAN DATA (DATA MASKING) 126 8.12 PENCEGAHAN KEBOCORAN DATA (DATA LEAK PREVENTION) 127 8.13 SANDARAN MAKLUMAT (BACKUP) 128 8.14 REDUNDANSI KEMUDAHAN PEMPROSESAN MAKLUMAT 129 8.15 LOG SISTEM ICT 130 8.16 PEMANTAUAN AKTIVITI ICT 133 8.17 PENYERAGAMAN WAKTU 134 8.18 PENGGUNAAN PROGRAM UTILITI 134 8.19 PEMASANGAN PERISIAN PADA SISTEM OPERASI 135 8.20 KESELAMATAN RANGKAIAN 136 8.21 KESELAMATAN PERKHIDMATAN RANGKAIAN 137 8.22 PENGASINGAN RANGKAIAN 138 8.23 PENAPISAN LAMAN (WEB) 139 8.24 PENGGUNAAN KRIPTOGRAFI 140 8.25 KITARAN HAYAT PEMBANGUNAN SISTEM/APLIKASI YANG SELAMAT 141 8.26 KEPERLUAN KESELAMATAN APLIKASI 142 8.27 SENIBINA SISTEM SELAMAT DAN PRINSIP KEJURUTERAAN 143 8.28 PENGEKODAN SELAMAT 144 8.29 UJIAN KESELAMATAN DALAM PEMBANGUNAN DAN PENERIMAAN 145 8.30 PEMBANGUNAN OLEH SUMBER LUAR (OUTSOURCE) 146 6
NOMBOR RUJUKAN VERSI MUKASURAT ICU/PKS/001 2.0 8.31 PENGASINGAN PERSEKITARAN PEMBANGUNAN, PENGUJIAN DAN 147 PENGELUARAN (PRODUCTION) 8.32 PENGURUSAN PERUBAHAN 147 8.33 MAKLUMAT UJIAN 148 8.34 PERLINDUNGAN SISTEM MAKLUMAT ICT SEMASA 149 PENGUJIAN/PENGAUDITAN A) LAMPIRAN 1 – SURAT AKUAN PEMATUHAN PKS ICU JPM 150 B) LAMPIRAN 2 – SENARAI PERUNDANGAN DAN PERATURAN 152 7
NOMBOR RUJUKAN VERSI MUKASURAT ICU/PKS/001 2.0 CDO Ketua Pegawai Digital/ Chief Digital Officer PKS Polisi Keselamatan Siber GCERT Government Computer Emergency Response Team ICERT ICU JPM Computer Emergency Response Team ICT Information and Communication Technology ICTSO ICT Security Officer ICU JPM Implementation & Coordination Unit, Jabatan Perdana Menteri IDS Intrusion Detection System IPS Intrusion Prevention System JPKS Jawatankuasa PKS ICU JPM JPICT Jawatankuasa Pemandu ICT LAN Local Area Network NADI Pusat Bank Data Negara & Inovasi PKI Public-Key Infrastructure UPS Uninterruptible Power Supply BYOD Bring Your Own Device (Peranti Peribadi) HTTPS Hyper Text Transfer Protocol Secure SSL Secure Sockets Layer WAN Wide Area Network PII Personally Identifiable Information (Maklumat Pengenalan Peribadi) SINGKATAN 8
PENGENALAN 1
NOMBOR RUJUKAN VERSI MUKASURAT ICU/PKS/001 2.0 Polisi Keselamatan Siber (PKS) ICU JPM mengandungi peraturan-peraturan yang MESTI DIBACA dan DIPATUHI semasa menggunakan aset dan pengoperasian di dalam penyampaian perkhidmatan ICU JPM. Polisi ini juga menerangkan kepada semua pengguna (termasuk warga ICU JPM, pembekal, dan pihak ketiga yang mempunyai urusan dengan perkhidmatan ICU JPM) mengenai tanggungjawab dan peranan mereka dalam melindungi maklumat aset ICU JPM. Maklumat ialah aset perkhidmatan penting (sama ada dalam bentuk fizikal atau elektronik) yang mempunyai nilai penting kepada ICU JPM. Keselamatan maklumat adalah melindungi kerahsiaan, integriti dan ketersediaan maklumat aset perkhidmatan ICU JPM. Ia juga bagi melindungi daripada risiko (ancaman dan kelemahan) yang boleh mengganggu kesinambungan perkhidmatan. Keselamatan maklumat dilaksanakan melalui perancangan, pembangunan, pengujian dan penyelenggaraan bagi mengekalkan keberkesanan dalam menyokong mencapai objektif perkhidmatan, mengekalkan imej dan meningkatkan pematuhan kepada undang-undang. Pada era ini, pengurusan maklumat sangat bergantung kepada aset Teknologi Maklumat dan Komunikasi (ICT). Oleh itu, polisi ini juga menitikberatkan keselamatan ICT/siber dalam pengurusan maklumat ICU JPM. PKS ICU JPM ini juga dibangunkan selaras dengan keperluan di dalam standard ISO / IEC 27001:2022 Information Security Management System (ISMS). 10
NOMBOR RUJUKAN VERSI MUKASURAT ICU/PKS/001 2.0 Objektif dokumen PKS ICU JPM ini adalah: a. Untuk menyediakan peranan dan tanggungjawab semua pengguna, termasuk warga ICU JPM, pembekal dan pihak ketiga yang berurusan dengan perkhidmatan ICU JPM; b. Untuk memastikan jaminan keselamatan penyampaian perkhidmatan ICU JPM, meningkatkan tahap keyakinan pihak berkepentingan termasuk pihak ketiga (pembekal perkhidmatan), orang awam/pelanggan, industri dan kerajaan; c. Untuk memastikan kelancaran operasi ICU JPM dan meminimumkan kerosakan atau kemusnahan daripada sebarang insiden keselamatan, termasuk serangan siber, penyalahgunaan hak, dan kehilangan data termasuk data peribadi dan sensitif; d. Untuk melindungi kepentingan pihak yang bergantung kepada sistem maklumat daripada kesan kegagalan atau kelemahan aset ICT; dan e. Untuk menyediakan penambahbaikan dalam pengurusan kawalan keselamatan berterusan kepada ICU JPM. 1.1 OBJEKTIF Dokumen PKS ICU JPM ini adalah selaras dengan standard ISO/IEC 27002:2022 Keselamatan Maklumat, Keselamatan Siber dan Perlindungan Privasi - Kawalan Keselamatan Maklumat yang meliputi bidang keselamatan berikut: a. Pengurusan Risiko Keselamatan Maklumat b. Kawalan Keselamatan Organisasi c. Kawalan Keselamatan Manusia d. Kawalan Keselamatan Fizikal e. Kawalan Keselamatan Teknologi 1.2 SKOP 11
NOMBOR RUJUKAN VERSI MUKASURAT ICU/PKS/001 2.0 Ketua Pengarah ICU JPM hendaklah bertanggungjawab sepenuhnya dalam melaksanakan kesemua bidang kawalan yang digariskan di dalam PKS ICU JPM dan memastikan polisi ini dipatuhi oleh semua warga ICU JPM, dan pihak ketiga yang mempunyai urusan dengan perkhidmatan ICU JPM. Peranan dan tanggungjawab setiap pengguna yang terlibat dalam mencapai objektif PKS ICU JPM diterangkan dengan lebih jelas di dalam kawalan 5.2 Peranan dan Tanggungjawab Keselamatan Maklumat. 1.3 PERANAN DAN TANGGUNG JAWAB Polisi ini berkuat kuasa mulai tarikh diluluskan dan disemak dua (2) tahun sekali atau jika terdapat arahan terkini atau apabila terdapat perubahan teknologi, aplikasi, prosedur, perundangan, dan polisi Kerajaan bagi memastikan dokumen sentiasa relevan. Pelanggaran terhadap PKS ICU JPM ini boleh mengakibatkan tindakan tatatertib, amaran atau teguran. Perbuatan seperti tidak tahu, berniat tidak baik atau menggunakan pertimbangan yang buruk tidak boleh digunakan sebagai alasan untuk ketidakpatuhan. 1.5 PENGUAT KUASAAN DAN SEMAKAN Polisi ini terpakai kepada semua warga ICU JPM, pembekal dan pihak ketiga yang mempunyai urusan perkhidmatan dengan ICU JPM. 1.4 PEMAKAIAN 12
NOMBOR RUJUKAN VERSI MUKASURAT ICU/PKS/001 2.0 Nama Dokumen Nombor Terbitan Information Technology Security Techniques - Information Security Management Systems Requirements (3rd Revision) ISO/IEC 27001:202 2 International Standard Information Technology Security Techniques-Code of Practices for Information Security Controls (3rd Revision) ISO/IEC 27002:202 2 International Standard Buku Arahan Keselamatan (Semakan dan Pindaan 2017) - 2017 1.6 RUJUKAN Sebarang pertanyaan mengenai PKS ICU JPM ini boleh dikemukakan kepada: • Urus Setia ISMS • No. Telefon : 03-88726587 • E-mel : [email protected] 1.7 PERTANYAAN 13
NOMBOR RUJUKAN VERSI MUKASURAT ICU/PKS/001 2.0 1.8 DEFINISI DEFINISI KETERANGAN Antivirus Perisian yang mengimbas virus pada media storan, seperti disket, cakera padat, pita magnetik, optical disk, flash disk akan sebarang kemungkinan adanya virus. Aset ICT Peralatan ICT termasuk perkakasan, perisian, perkhidmatan, data atau maklumat dan manusia. Backup Proses penduaan/sandaran sesuatu dokumen atau maklumat. CCTV Closed-Circuit Television System Sistem TV yang digunakan secara komersil di mana satu sistem TV kamera video dipasang di dalam premis pejabat bagi tujuan membantu pemantauan fizikal. Clear Desk dan Clear Screen Tidak meninggalkan dokumen data dan maklumat dalam keadaan terdedah di atas meja atau di paparan skrin komputer apabila pengguna tidak berada di tempatnya. Data atau Maklumat Koleksi fakta-fakta dalam bentuk kertas atau mesej elektronik, yang mengandungi maklumat-maklumat untuk digunakan bagi mencapai misi dan objektif ICU JPM. Contohnya, sistem dokumentasi, prosedur operasi, rekodrekod ICU JPM, profil-profil pelanggan, pangkalan data dan fail-fail data, maklumat-maklumat arkib dan lain-lain. Data kritikal Data kritikal merangkumi data di dalam sistem- sistem kritikal ICU JPM iaitu Sistem SPP II, eKasih dan eKhas. Data Terbuka Merangkumi data yang bebas digunakan, dikongsi dan digunakan semula oleh orang awam, agensi Kerajaan dan organisasi swasta untuk pelbagai tujuan. Firewall Sistem yang direka bentuk untuk menghalang capaian pengguna yang tidak berkenaan kepada atau daripada rangkaian dalaman. Terdapat dalam bentuk perkakasan atau perisian atau kombinasi kedua-duanya. 14
NOMBOR RUJUKAN VERSI MUKASURAT ICU/PKS/001 2.0 DEFINISI KETERANGAN Hab (Hub) Hab merupakan peranti yang menghubungkan dua atau lebih stesen kerja menjadi suatu topologi bas berbentuk bintang dan menyiarkan (broadcast) data yang diterima daripada sesuatu port kepada semua port yang lain. ICT Information and Communication Technology/ Teknologi Maklumat dan Komunikasi ICTSO ICT Security Officer Pegawai yang bertanggungjawab terhadap keselamatan sistem komputer. ICERT (ICU JPM) Pengarah ICT,Pengurus ICT dan Pegawai Teknologi Maklumat dan Penolong Pegawai Teknologi Maklumat NADI yang dilantik. Insiden Keselamatan Musibah (adverse event) yang berlaku ke atas sistem maklumat dan komunikasi atau ancaman kemungkinan berlaku kejadian tersebut. Internet Sistem rangkaian seluruh dunia, di mana pengguna boleh membuat capaian maklumat daripada pelayan (server) atau komputer lain. Internet Gateway Merupakan suatu titik yang berperanan sebagai pintu masuk ke rangkaian yang lain. Menjadi pemandu arah trafik dengan betul dari satu trafik ke satu trafik yang lain di samping mengekalkan trafik- trafik dalam rangkaian-rangkaian tersebut agar sentiasa berasingan. Intranet Rangkaian dalaman yang dimiliki oleh sesebuah organisasi atau jabatan dan hanya boleh dicapai oleh kakitangan dan mereka yang diberi kebenaran sahaja. Intrusion Detection System (IDS) Sistem Pengesan Pencerobohan Perisian atau perkakasan yang mengesan aktiviti tidak berkaitan, kesilapan atau yang berbahaya kepada sistem. Sifat IDS berpandukan jenis data yang dipantau, iaitu sama ada lebih bersifat host atau rangkaian. Intrusion Prevention System (IPS) Sistem Pencegah Pencerobohan Perkakasan keselamatan komputer yang memantau rangkaian dan/atau aktiviti yang berlaku dalam sistem bagi mengesan perisian berbahaya. Boleh bertindak balas menyekat atau menghalang a ktiviti serangan atau malicious code. Contohnya: Networkbased IPS 15
NOMBOR RUJUKAN VERSI MUKASURAT ICU/PKS/001 2.0 DEFINISI KETERANGAN ISMS Information Security Management System Sistem Pengurusan Keselamatan Maklumat Kerentanan Kelemahan atau kecacatan sistem yang mungkin dieksploitasikan dan mengakibatkan pelanggaran keselamatan Ketua Pengarah ICU JPM Ketua Pengarah ICU JPM yang memastikan semua keperluan organisasi (sumber kewangan, sumber manusia dan perlindungan keselamatan) adalah mencukupi. Ketua Pegawai Digital (CDO) Chief Digital Officer Ketua Pegawai Digital yang menentukan strategi dan melaksanakan inisiatif ICT bagi mencapai visi dan objektif pembangunan dan penggunaan ICT. Kriptografi Kaedah untuk menukar data dan maklumat biasa (standard format) kepada format yang tidak boleh difahami bagi melindungi penghantaran data dan maklumat. LAN Local Area Network Rangkaian Kawasan Setempat yang menghubungkan komputer. Malicious Code Perkakasan atau perisian yang dimasukkan ke dalam sistem tanpa kebenaran bagi tujuan pencerobohan. Ia melibatkan serangan virus, trojan horse, worm, spyware dan sebagainya. Outsource Bermaksud menggunakan perkhidmatan luar untuk melaksanakan fungsifungsi tertentu ICT bagi suatu tempoh berdasarkan kepada dokumen perjanjian dengan bayaran yang dipersetujui. Pelan Pemulihan Bencana ICT Pelan Pemulihan Bencana (DRP) memberi tumpuan kepada pemulihan infrastruktur sistem IT untuk menyokong pemulihan perkhidmatan. DRP adalah sebahagain daripada BCP dan perlu pulih sepenuhnya setelah bencana. Ini adalah prosedur pemulihan berasingan yang ditentukan oleh pasukan IT untuk pemulihan teknikal sistem atau komponen IT untuk menyokong operasi/perkhidmatan. Pegawai Keselamatan ICT (ICTSO) Timbalan Pengarah NADI (Seksyen Operasi & Infrastruktur ICT) Pengarah Bahagian Pengarah Bahagian adalah Pengarah Bahagian-Bahagian di Ibu Pejabat/PPN/BPPBPP ICU JPM 16
NOMBOR RUJUKAN VERSI MUKASURAT ICU/PKS/001 2.0 DEFINISI KETERANGAN Pengarah ICT Pengarah ICT adalah Pengarah NADI ICU JPM Pengurus ICT Timbalan Pengarah Seksyen Sistem Pemantauan Projek, Timbalan Pengarah Seksyen Aplikasi & Analisis Data, Timbalan Pengarah Seksyen Operasi & Infrastruktur ICT, Timbalan Pengarah Seksyen Perancangan & Pengurusan ICT dan Pegawai ICT Bahagian/PPN/BPPBPP Pentadbir ICT Pentadbir ICT termasuk Pentadbir Perkakasan dan Perisian, Pentadbir Aplikasi, Pentadbir Rangkaian dan Keselamatan ICT, Pentadbir Pusat Data, Pentadbir Pangkalan Data, Pentadbir E-mel. Pemilik Sistem Ketua Jabatan atau Ketua Unit / Bahagian / PPN / BPPBPP yang terlibat dengan sistem yang dibangunkan. Pembangun Aplikasi Seksyen Aplikasi & Analisis Data dan Seksyen Sistem Pemantauan Projek Pentadbir Sistem ICT Seksyen Aplikasi & Analisis Data, Seksyen Sistem Pemantauan Projek dan Seksyen Perancangan dan Pengurusan ICT Pentadbir Pusat Data Seksyen Operasi & Infrastruktur ICT Pentadbir Rangkaian Seksyen Operasi & Infrastruktur ICT Pentadbir Portal (Web Master) Seksyen Perancangan dan Pengurusan ICT Pentadbir Pangkalan Data Seksyen Operasi & Infrastruktur ICT Pentadbir E-mel Seksyen Operasi & Infrastruktur ICT Pentaksiran risiko Keseluruhan proses pengenalpastian risiko, analisis risiko dan penilaian risiko. Penguraian risiko Proses untuk mengubahsuai risiko. Perkakasan Semua aset yang digunakan untuk menyokong pemprosesan maklumat dan kemudahan storan ICU JPM. Contoh: komputer, pelayan, peralatan komunikasi dan sebagainya. Perisian Program, prosedur atau peraturan yang ditulis dan dokumentasi yang berkaitan dengan sistem pengoperasian komputer yang disimpan di dalam sistem ICT. Contoh perisian aplikasi atau perisian sistem seperti sistem pengoperasian, sistem pangkalan data, perisian sistem rangkaian, atau aplikasi pejabat yang menyediakan kemudahan pemprosesan maklumat kepada ICU JPM. 17
NOMBOR RUJUKAN VERSI MUKASURAT ICU/PKS/001 2.0 DEFINISI KETERANGAN Perkhidmatan Perkhidmatan atau sistem yang menyokong aset lain untuk melaksanakan fungsi-fungsinya. Contoh: i. Perkhidmatan rangkaian seperti LAN, WAN dan lain-lain; ii. Sistem halangan akses seperti sistem kad akses; dan iii. Perkhidmatan sokongan seperti kemudahan elektrik, penghawa dingin, sistem pencegah kebakaran dan lain-lain. Personel Individu yang mempunyai pengetahuan dan kemahiran untuk melaksanakan skop kerja harian ICU JPM bagi mencapai misi dan objektif agensi. Individu berkenaan merupakan aset berdasarkan kepada tugas-tugas dan fungsi yang dilaksanakan. Pengguna Merangkumi kesemua pengguna aset ICT ICU JPM PII Personally Identifiable Information (PII) Apa-apa maklumat yang (a) boleh digunakan untuk mewujudkan hubungan antara maklumat dengan orang sebenar dengan siapa maklumat tersebut berkaitan, atau (b) adalah atau boleh dikaitkan secara langsung atau tidak langsung dengan orang sebenar. Pihak ketiga Merangkumi pembekal, pakar runding, kontraktor, pengguna agensi kerajaan atau swasta dan pihak yang berurusan dengan ICU JPM. Premis Komputer dan Komunikasi Semua kemudahan serta premis yang digunakan untuk menempatkan Perkakasan, Perisian, Perkhidmatan, Data atau Maklumat serta Personel. PKP Pelan Kesinambungan Perkhidmatan (PKP) adalah dokumen yang mengandungi maklumat kritikal yang diperlukan oleh organisasi untuk terus beroperasi semasa bencana/krisis. PKP menyatakan fungsi penting perkhidmatan, mengenalpasti sistem dan proses yang mesti dikekalkan, dan memperincikan cara mengekalkannya. Source Code Kod Sumber atau kod program (biasanya hanya dipanggil sumber atau kod) merujuk kepada sebarang siri pernyataan yang ditulis dalam bahasa pengaturcaraan komputer yang difahami manusia. Threat Intelligence Proses mengumpul, menganalisis dan mengkontekstualisasikan maklumat tentang serangan siber semasa dan masa hadapan, memberikan organisasi pemahaman yang lebih mendalam tentang ancaman. Uninterruptible Power Supply (UPS) Satu peralatan yang digunakan bagi membekalkan bekalan kuasa yang berterusan dari sumber berlainan ketika ketiadaan bekalan kuasa ke peralatan yang bersambung. 18
2 PRINSIP-PRINSIP KESELAMATAN MAKLUMAT
NOMBOR RUJUKAN VERSI MUKASURAT ICU/PKS/001 2.0 Prinsip-prinsip keselamatan maklumat berikut menyediakan tadbir urus menyeluruh untuk keselamatan dan pengurusan maklumat di ICU JPM. ▪ Keselamatan ditakrifkan sebagai keadaan yang bebas daripada ancaman dan risiko yang tidak boleh diterima. Keselamatan adalah suatu proses yang berterusan. Ia melibatkan aktiviti berkala yang mesti dilakukan dari semasa ke semasa untuk menjamin keselamatan kerana ancaman dan kelemahan sentiasa berubah. ▪ Keselamatan Maklumat adalah melindungi semua bentuk maklumat elektronik (ICT) dan bukan elektronik yang dimasukkan, dicipta, dimusnahkan, disimpan, dijana, dicetak, diakses, diedarkan, dalam penghantaran dan disalin untuk memastikan keselamatan dan ketersediaan maklumat kepada semua pengguna yang dibenarkan. ▪ Keselamatan Siber adalah perlindungan kepada semua peranti ICT (perkakasan/perisian) dan data di dalam ruang siber/internet. ▪ Keselamatan ICT bermaksud keadaan di mana segala urusan menyedia dan membekalkan perkhidmatan yang berasaskan kepada sistem ICT berjalan secara berterusan tanpa gangguan yang boleh menjejaskan keselamatan. a. Ciri-ciri utama keselamatan maklumat adalah seperti berikut: ▪ Kerahsiaan: Maklumat tidak boleh didedahkan sewenang-wenangnya atau dibiarkan di akses tanpa kebenaran; Melindungi maklumat rahsia rasmi dan maklumat rasmi kerajaan dari capaian tanpa kuasa yang sah; ▪ Integriti: Maklumat hendaklah tepat, lengkap dan terkini. Ia hanya boleh diubah dengan cara yang dibenarkan; dan ▪ Ketersediaan: Maklumat hendaklah boleh di akses pada bila-bila masa. 20
NOMBOR RUJUKAN VERSI MUKASURAT ICU/PKS/001 2.0 b. Kategori Maklumat termasuk: i. Maklumat Rahsia Rasmi mempunyai erti yang diberikan kepadanya di bawah Akta Rahsia Rasmi 1972 (Akta 88). Apa-apa suratan yang dinyatakan dalam Jadual kepada Akta Rahsia Rasmi 1972 (Akta 88) dan apa-apa maklumat dan bahan berhubungan dengannya dan termasuklah apa-apa dokumen rasmi, maklumat dan bahan lain sebagaimana yang boleh dikelaskan sebagai “Rahsia Besar”, “Rahsia”, “Sulit” atau “Terhad” mengikut mana yang berkenaan oleh seorang Menteri, Menteri Besar atau Ketua Menteri sesuatu negeri atau manamana pegawai awam yang dilantik di bawah seksyen 2B Akta Rahsia Rasmi 1972. ii. Maklumat Rasmi ialah maklumat yang diwujudkan, digunakan, diterima atau dikeluarkan secara rasmi oleh ICU JPM semasa menjalankan urusan rasmi. Maklumat Rasmi ini juga merupakan rekod awam yang tertakluk di bawah peraturan-peraturan Arkib Negara. Maklumat rasmi mesti dibuat, digunakan, diterima, atau dikeluarkan secara rasmi oleh ICU JPM semasa urusan operasi dan perkhidmatan. iii. Maklumat Pengenalan Peribadi (PII) ialah maklumat yang boleh digunakan secara tersendiri atau digunakan bersama maklumat lain untuk mengenal pasti individu tertentu. Maklumat PII mengandungi data peribadi dan data sensitif individu. Maklumat PII boleh juga terkandung dalam Maklumat Rahsia Rasmi. iv. Data Terbuka merujuk kepada data kerajaan yang boleh digunakan secara bebas, boleh dikongsikan dan digunakan semula oleh rakyat, agensi sektor awam atau swasta untuk sebarang tujuan. PII dikecualikan daripada Data Terbuka. c. Semua pengguna bertanggungjawab: i. Untuk memastikan klasifikasi maklumat itu diwujudkan mengikut tiga (3) klasifikasi maklumat iaitu Sulit, Terhad dan Terbuka; ii. Untuk mengendalikan maklumat tersebut mengikut tahap klasifikasi/pengelasannya; iii. Untuk mematuhi polisi, prosedur, dan sebarang keperluan kontrak/perjanjian ICU JPM; dan iv. Untuk melindungi maklumat PII yang terdiri daripada data peribadi dan data sensitif individu. d. Maklumat mesti dilindungi daripada akses dan pemprosesan yang tidak dibenarkan. e. Kawalan keselamatan maklumat dan polisi/konfigurasi yang dipasang hendaklah disemak secara berkala, termasuk audit dalaman/luaran tahunan dan ujian penembusan. Di samping itu, langkah ke arah memastikan kawalan keselamatan maklumat hendaklah berdasarkan penilaian risiko yang sesuai terhadap perubahan ancaman/kelemahan kepada aset maklumat tersebut. 21
3 STRUKTUR PENYATAAN POLISI
NOMBOR RUJUKAN VERSI MUKASURAT ICU/PKS/001 2.0 Struktur penyataan Polisi Keselamatan Siber ICU JPM hendaklah dibaca, difahami dan diamalkan seperti berikut: ▪ Bab 4: Pengurusan Risiko Keselamatan Maklumat – pengurusan risiko keselamatan maklumat hendaklah dilaksanakan bagi mengenalpasti kawalan keselamatan yang efektif terhadap aset kritikal organisasi; ▪ Bab 5: Kawalan Keselamatan Organisasi – kawalan keselamatan organisasi merangkumi peraturan dan langkah yang menentukan sikap komprehensif organisasi terhadap perlindungan data dalam pelbagai perkara. Kawalan ini termasuk polisi, peraturan, proses, prosedur, struktur organisasi dan sebagainya. ▪ Bab 6: Kawalan Keselamatan Manusia - Kawalan keselamatan manusia membolehkan organisasi mengawal komponen manusia dalam program keselamatan maklumat, dengan mentakrifkan cara pengguna perlu berinteraksi dengan data dan satu sama lain. Kawalan ini meliputi pengurusan sumber manusia yang selamat, keselamatan pengguna, kesedaran dan latihan yang berkaitan. ▪ Bab 7: Kawalan Keselamatan Fizikal – Kawalan keselamatan fizikal adalah perlindungan fizikal untuk memastikan keselamatan aset ketara. Ini termasuk sistem kemasukan, proses akses pengguna, proses pelupusan aset, proses medium storan dan polisi meja bersih dan skrin kosong. ▪ Bab 8: Kawalan Keselamatan Teknologi – kawalan keselamatan teknologi termasuk menentukan tetapan/konfigurasi dalam peraturan dan proses digital, mengenalpasti kelemahan secara berkala dan menambahbaik keselamatan bagi menghalang ancaman terhadap aplikasi, pangkalan data, sistem, infrastruktur rangkaian dan peralatan keselamatan ICT. 23
4 PENGURUSAN RISIKO KESELAMATAN MAKLUMAT
NOMBOR RUJUKAN VERSI MUKASURAT ICU/PKS/001 2.0 ICU JPM hendaklah mengambil kira kewujudan risiko ke atas aset ICT akibat dari ancaman dan vulnerability yang semakin meningkat hari ini. Justeru ICU JPM perlu mengambil langkah-langkah proaktif dan bersesuaian untuk menilai tahap risiko aset ICT supaya pendekatan dan keputusan yang paling berkesan dikenal pasti bagi menyediakan perlindungan dan kawalan ke atas aset ICT. ICU JPM hendaklah melaksanakan penilaian risiko keselamatan ICT secara berkala iaitu sekurang-kurangnya sekali setahun dan berterusan bergantung kepada perubahan teknologi dan keperluan keselamatan ICT. Seterusnya mengambil tindakan susulan dan/atau langkah-langkah bersesuaian untuk mengurangkan atau mengawal risiko keselamatan ICT berdasarkan penemuan penilaian risiko. Penilaian risiko keselamatan ICT hendaklah dilaksanakan ke atas sistem maklumat ICU JPM termasuklah aplikasi, perisian, pelayan, rangkaian dan/atau proses serta prosedur. Penilaian risiko ini hendaklah juga dilaksanakan di premis yang menempatkan sumbersumber teknologi maklumat termasuklah pusat data, bilik media storan, kemudahan utiliti dan sistem-sistem sokongan lain. ICU JPM bertanggungjawab melaksanakan dan menguruskan risiko keselamatan ICT selaras dengan keperluan Surat Pekeliling Am Bilangan 6 Tahun 2005: Garis Panduan Penilaian Risiko Keselamatan Maklumat Sektor Awam. ICU JPM perlu mengenal pasti tindakan yang sewajarnya bagi menghadapi kemungkinan risiko berlaku dengan memilih tindakan berikut: a) Mengurangkan risiko dengan melaksanakan kawalan yang bersesuaian; b) Menerima dan/atau bersedia berhadapan dengan risiko yang akan terjadi selagi ia memenuhi kriteria yang telah ditetapkan oleh pengurusan agensi; c) Mengelak dan/atau mencegah risiko dari terjadi dengan mengambil tindakan yang dapat mengelak dan/atau mencegah berlakunya risiko; dan d) Memindahkan risiko ke pihak lain seperti pembekal, pakar runding dan pihak- pihak lain yang berkepentingan. 25
5 KAWALAN KESELAMATAN ORGANISASI
NOMBOR RUJUKAN VERSI MUKASURAT ICU/PKS/001 2.0 5.1 POLISI KESELAMATAN SIBER Polisi Tanggungjawab Objektif: Untuk memastikan kesesuaian, kecukupan dan keberkesanan berterusan hala tuju pengurusan dan sokongan untuk keselamatan maklumat selaras dengan keperluan perkhidmatan, undang-undang, berkanun, peraturan dan kontrak. 5.1.1 Pelaksanaan Polisi Pelaksanaan polisi ini akan dijalankan oleh Ketua Pengarah ICU JPM dibantu oleh Ahli Jawatan Kuasa Pemandu ICT (JPICT) yang dipengerusikan oleh Ketua Pegawai Digital (CDO), serta Pegawai Keselamatan ICT (ICTSO), dan lain-lain pegawai yang dilantik. Ketua Pengarah JPICT CDO ICTSO 5.1.2 Penyebaran Polisi Polisi ini perlu disebarkan kepada semua pengguna ICU JPM (termasuk warga ICU JPM, pembekal dan pihak yang mempunyai urusan dengan ICU JPM). Penyebaran polisi dibuat secara hebahan menerusi: a) media elektronik seperti emel, papan elektronik, private cloud sharing, laman web ICU JPM dan sebagainya; b) media cetak seperti poster, buletin, laporan dan sebagainya; dan c) taklimat dan pengucapan awam. ICTSO 27
NOMBOR RUJUKAN VERSI MUKASURAT ICU/PKS/001 2.0 Polisi Tanggungjawab 5.1.3 Penyelenggaraan Polisi a) Polisi ini hendaklah dikaji semula sekurang-kurangnya dua (2) tahun sekali atau mengikut keperluan semasa bagi memastikan dokumen sentiasa relevan; b) PKS ICU JPM adalah tertakluk kepada semakan dan pindaan dari semasa ke semasa termasuk kawalan keselamatan, prosedur dan proses selaras dengan perubahan teknologi, aplikasi, prosedur, perundangan, dasar kerajaan dan kepentingan social; kemuka cadangan pindaan secara bertulis kepada ICTSO untuk pembentangan dan persetujuan mesyuarat JPICT, ICU JPM; dan c) Memaklumkan pindaan yang telah disahkan kepada warga ICU JPM, pembekal dan pihak yang mempunyai urusan dengan ICU JPM. JPKS 5.1.4 Penguatkuasaan Polisi a) PKS ICU JPM adalah terpakai kepada semua pengguna ICT ICU JPM dan tiada pengecualian diberikan; b) Sebarang pelanggaran polisi ini sama ada yang disengajakan atau tidak disengajakan tertakluk kepada tindakan pembetulan atau tatatertib yang sewajarnya. Pengguna 28
NOMBOR RUJUKAN VERSI MUKASURAT ICU/PKS/001 2.0 5.2 PERANAN DAN TANGGUNGJAWAB KESELAMATAN MAKLUMAT Polisi Tanggungjawab Objektif: Untuk mewujudkan struktur yang ditakrifkan, diluluskan dan difahami untuk pelaksanaan, operasi dan pengurusan keselamatan maklumat dalam organisasi. 5.2.1 Ketua Pengarah ICU JPM Tanggungjawab hendaklah dilaksanakan seperti berikut: a) Memastikan semua pengguna memahami peruntukanperuntukan di bawah PKS ICU JPM; b) Memastikan semua pengguna mematuhi PKS ICU JPM; c) Memastikan semua keperluan organisasi (sumber kewangan, sumber manusia dan perlindungan keselamatan) adalah mencukupi; dan d) Memastikan penilaian risiko dan program keselamatan ICT dilaksanakan seperti yang ditetapkan. Ketua Pengarah ICU JPM 5.2.2 Ketua Pegawai Digital (CDO) Ketua Pegawai Digital (CDO) bagi ICU JPM ialah Timbalan Ketua Pengarah (Pembangunan Strategik) ICU JPM. Tanggungjawab hendaklah dilaksanakan seperti berikut: a) Membantu Ketua Pengarah dalam melaksanakan tugastugas yang melibatkan keselamatan ICT; b) Menentukan keperluan keselamatan ICT; c) Menyelaras dan mengurus pelan latihan dan program kesedaran keselamatan ICT seperti penyediaan PKS ICU JPM serta pengurusan risiko dan pengauditan; dan d) Mempengerusikan Mesyuarat JPICT. CDO 29
NOMBOR RUJUKAN VERSI MUKASURAT ICU/PKS/001 2.0 Polisi Tanggungjawab 5.2.3 Pengarah ICT Pengarah ICT bagi ICU JPM ialah Pengarah NADI ICU JPM. Tanggungjawab hendaklah dilaksanakan seperti berikut: a) Memperakui pengurusan keseluruhan program‐program PKS JPM; b) Memastikan penguatkuasaan PKS ICU JPM; c) Memaklumkan insiden keselamatan ICT kepada CDO; dan d) Memastikan penyediaan dan pelaksanaan program‐program kesedaran mengenai keselamatan ICT. Pengarah ICT 5.2.4 Pegawai Keselamatan ICT (ICTSO) Pegawai Keselamatan ICT (ICTSO) bagi ICU JPM ialah Timbalan Pengarah NADI (Seksyen Infrastruktur ICT). Tanggungjawab hendaklah dilaksanakan seperti berikut: a) Mengurus keseluruhan program‐program PKS ICU JPM; b) Menguatkuasakan PKS ICU JPM; c) Memastikan pelaksanaan program penerangan dan pendedahan berkenaan PKS ICU JPM diberikan kepada semua pengguna; d) Mewujudkan garis panduan dan Prosedur selaras dengan keperluan PKS ICU JPM; e) Memastikan pelaksanaan pengurusan risiko keselamatan ICT; f) Memastikan pelaksanaan pengauditan dilakukan secara berkala; ICTSO 30
NOMBOR RUJUKAN VERSI MUKASURAT ICU/PKS/001 2.0 Polisi Tanggungjawab g) Menguruskan dan menyelia pelaksanaan prosedur amaran terhadap kemungkinan berlakunya ancaman berbahaya seperti virus dan memberi khidmat nasihat serta menyediakan langkah‐langkah perlindungan yang bersesuaian; h) Melaporkan insiden keselamatan ICT kepada GCERT; i) Bekerjasama dengan semua pihak yang berkaitan dalam mengenal pasti punca ancaman atau insiden keselamatan ICT dan memperakukan langkah‐langkah baik pulih dengan segera; j) Memperakui proses pengambilan tindakan tatatertib ke atas pengguna yang melanggar PKS ICU JPM; k) Menguruskan dan memastikan pelaksanaan program‐program kesedaran mengenai keselamatan ICT; l) Melakukan pengesahan pada surat akuan pematuhan PKS ICU JPM; m) Menguruskan penilaian keselamatan ICT untuk memastikan tahap keselamatan ICT dan mengambil tindakan pemulihan atau pengukuhan; n) Menguruskan operasi keselamatan di Pusat Data (Data Centre) dan Pusat Pemulihan Bencana (Disaster Recovery Centre); o) Mengurus aduan keselamatan ICT serta menilai tahap dan jenis insiden; dan p) Mengurus siasatan awal insiden yang diterima dan tindak balas (response) insiden keselamatan ICT serta mengambil tindakan baik pulih. ICTSO 31
NOMBOR RUJUKAN VERSI MUKASURAT ICU/PKS/001 2.0 Polisi Tanggungjawab 5.2.5 Pengurus ICT Pengurus ICT bagi ICU JPM ialah Timbalan Pengarah Seksyen Sistem Pemantauan Projek, Timbalan Pengarah Seksyen Aplikasi dan Analisis Data, Timbalan Pengarah Seksyen Operasi dan Infrastruktur ICT, Timbalan Pengarah Seksyen Perancangan dan Pengurusan ICT dan Pegawai ICT di PPN/BPPBPP/Bahagian. Tanggungjawab hendaklah dilaksanakan seperti berikut: a) Mengkaji semula dan melaksanakan kawalan keselamatan ICT selaras dengan keperluan jabatan; b) Menentukan kawalan akses semua pengguna terhadap aset ICT kerajaan; c) Melaporkan sebarang perkara atau penemuan mengenai keselamatan ICT; d) Menyimpan rekod, bahan bukti dan laporan terkini mengenai ancaman keselamatan ICT ICU JPM; e) Melaksanakan dan mengemaskini penilaian dan pengolahan risiko bagi semua aset kritikal ICT di bawah pengurusannya; f) Menentukan klasifikasi maklumat di dalam sistem; dan g) Mengkaji semula dan melaksanakan kawalan keselamatan ICT selaras dengan keperluan ICU. Pengurus ICT 32
NOMBOR RUJUKAN VERSI MUKASURAT ICU/PKS/001 2.0 Polisi Tanggungjawab 5.2.6 Pentadbir Sistem ICT Pentadbir Sistem ICT bagi ICU JPM ialah Ketua Penolong Pengarah / Penolong Pengarah di NADI dan setiap PTM / PPTM di PPN/BPPBPP. Tanggungjawab hendaklah dilaksanakan seperti berikut: a) Mengambil tindakan yang bersesuaian dengan segera apabila dimaklumkan mengenai personel yang berhenti, bertukar, bercuti atau berlaku perubahan dalam bidang tugas; b) Menentukan ketepatan dan kesempurnaan sesuatu tahap capaian berdasarkan arahan pemilik sumber maklumat sebagaimana yang telah ditetapkan di dalam PKS ICU JPM; c) Memantau aktiviti capaian harian pengguna; d) Mengenal pasti aktiviti-aktiviti tidak normal seperti pencerobohan dan pengubahsuaian data tanpa kebenaran dan membatalkan atau memberhentikannya dengan serta merta; e) Menyimpan dan menganalisis rekod jejak audit; f) Menyediakan laporan mengenai aktiviti capaian kepada pemilik maklumat berkenaan secara berkala; dan g) Bertanggung jawab memantau setiap peralatan ICT yang diagihkan kepada pengguna di dalam keadaan baik. Pentadbir Sistem ICT 33
NOMBOR RUJUKAN VERSI MUKASURAT ICU/PKS/001 2.0 Polisi Tanggungjawab 5.2.7 Pengguna Tanggungjawab hendaklah dilaksanakan seperti berikut: a) Membaca, memahami dan mematuhi PKS; b) Mengetahui dan memahami implikasi keselamatan ICT akibat dari tindakannya; c) Menjalani tapisan keselamatan sekiranya dikehendaki berurusan dengan maklumat rasmi terperingkat; d) Melaksanakan prinsip-prinsip PKS ICU JPM dan melindungi kerahsiaan maklumat ICU JPM; e) Melaporkan sebarang aktiviti yang mengancam keselamatan ICT kepada ICTSO dengan segera; f) Menghadiri program-program kesedaran mengenai keselamatan ICT; dan g) Menandatangani Surat Akuan Pematuhan PKS ICU JPM sebagaimana Lampiran 1. Pengguna 34
NOMBOR RUJUKAN VERSI MUKASURAT ICU/PKS/001 2.0 Polisi Tanggungjawab 5.2.8 Pasukan Tindak Balas Insiden Keselamatan ICU JPM ICERT (ICU JPM) Keanggotaan ICERT adalah seperti berikut: Pengurus : Pengarah ICT (Pengarah NADI) Ahli : Pegawai Teknologi Maklumat di NADI, ICU JPM yang telah dilantik Tanggungjawab hendaklah dilaksanakan seperti berikut: a) Menerima dan mengesan aduan keselamatan ICT serta menilai tahap dan jenis insiden; b) Merekod dan menjalankan siasatan awal insiden yang diterima; c) Menangani tindak balas (response) insiden keselamatan ICT dan mengambil tindakan baik pulih minimum; d) Menasihati ICU JPM mengambil tindakan pemulihan dan pengukuhan; e) Menyebarkan makluman berkaitan pengukuhan keselamatan ICT kepada ICU JPM. Pasukan ICERT 35
NOMBOR RUJUKAN VERSI MUKASURAT ICU/PKS/001 2.0 Polisi Tanggungjawab 5.2.9 Jawatankuasa PKS ICU JPM (JPKS) Keanggotaan JPKS adalah seperti berikut: Pengerusi : ICTSO Ahli : Pegawai Teknologi Maklumat berstatus jawatan tetap di ICU JPM yang telah dilantik. Tanggungjawab hendaklah dilaksanakan seperti berikut: a) Menjalankan kajian semula dan semakan ke atas PKS ICU JPM sedia ada supaya selaras dengan perkembangan ICT semasa. b) Menjalankan pemantauan dan naziran pelaksanaan PKS ICU JPM. JPKS 5.2.10 Pemilik Sistem Sesuatu Sistem hendaklah dimiliki oleh sesuatu Unit / Bahagian di Jabatan yang mempunyai kepentingan terhadap sistem yang dibangunkan. Pemilik Sistem adalah terdiri daripada Ketua Jabatan atau Ketua Unit / Bahagian yang terlibat dengan sistem yang dibangunkan. Tanggungjawab hendaklah dilaksanakan seperti berikut: a) Menentukan klasifikasi maklumat di dalam sistem; b) Melaksanakan dan mengemaskini penilaian dan pengolahan risiko; c) Melaksanakan kawalan keselamatan yang bersesuaian; dan d) Melaksanakan prinsip-prinsip PKS ICU JPM dan melindungi kerahsiaan maklumat ICU JPM. Pemilik Sistem 36
NOMBOR RUJUKAN VERSI MUKASURAT ICU/PKS/001 2.0 Polisi Tanggungjawab 5.2.11 Pentadbir Pusat Data Tanggungjawab hendaklah dilaksanakan seperti berikut: a) Menyelaras, memantau, menyelenggara, mengkonfigurasi dan memberi sokongan teknikal untuk semua aktiviti dan infrastruktur yang melibatkan pengurusan pusat data dan DRC ICU JPM; b) Melaksanakan dan mengemaskini penilaian dan pengolahan risiko; c) Melaksanakan kawalan keselamatan yang bersesuaian; dan d) Melaksanakan prinsip-prinsip PKS ICU JPM dan melindungi kerahsiaan maklumat ICU JPM. Pentadbir Pusat Data 5.2.12 Pentadbir Rangkaian Tanggungjawab hendaklah dilaksanakan seperti berikut: a) Menyelaras, memantau, menyelenggara, mengkonfigurasi dan memberi sokongan teknikal bagi infrastruktur rangkaian LAN, Wireless dan WAN ICU JPM; b) Menyelaras, memantau, menyelenggara dan memberi sokongan teknikal bagi sistem keselamatan rangkaian; c) Melaksanakan dan mengemaskini penilaian dan pengolahan risiko; d) Melaksanakan kawalan keselamatan yang bersesuaian; dan e) Melaksanakan prinsip-prinsip PKS ICU JPM dan melindungi kerahsiaan maklumat ICU JPM. Pentadbir Rangkaian 37
NOMBOR RUJUKAN VERSI MUKASURAT ICU/PKS/001 2.0 Polisi Tanggungjawab 5.2.13 Pentadbir Pangkalan Data Tanggungjawab hendaklah dilaksanakan seperti berikut: a) Melaksanakan pemasangan dan penambahbaikan pangkalan data serta perisian lain yang berkaitan dengan pangkalan data; b) Memastikan pangkalan data boleh digunakan pada setiap masa; c) Melaksanakan pemantauan dan penyelenggaraan berterusan ke atas pangkalan data; d) Melaksanakan aktiviti pentadbiran pangkalan data seperti prestasi capaian, penyelesaian masalah pangkalan data dan proses pengemaskinian data dilaksanakan dengan teratur; e) Melaksanakan kawalan keselamatan yang bersesuaian; dan f) Melaksanakan prinsip-prinsip PKS ICU JPM dan melindungi kerahsiaan maklumat ICU JPM. Pentadbir Pangkalan Data 38
NOMBOR RUJUKAN VERSI MUKASURAT ICU/PKS/001 2.0 Polisi Tanggungjawab 5.2.14 Pentadbir Portal (Web Master) Tanggungjawab hendaklah dilaksanakan seperti berikut: a) Menerima kandungan portal yang telah disahkan kesahihan dan terkini daripada sumber yang sah; b) Memantau prestasi capaian dan menjalankan penalaan prestasi untuk memastikan akses yang lancar; c) Memantau dan menganalisis log untuk mengesan sebarang capaian yang tidak sah atau cubaan menggodam, menceroboh dan mengubah suai antara muka portal; d) Melaksanakan perkemasan keselamatan terhadap sistem pengoperasian dan perisian-perisian lain di pelayan web; e) Memantau proses backup dan restoration ke atas kandungan dan aplikasi portal; f) Melaksanakan kawalan keselamatan yang bersesuaian; g) Melaporkan sebarang perlanggaran keselamatan portal kepada ICTSO; dan h) Melaksanakan prinsip-prinsip PKS ICU JPM dan melindungi kerahsiaan maklumat ICU JPM. Pentadbir Portal 39
NOMBOR RUJUKAN VERSI MUKASURAT ICU/PKS/001 2.0 Polisi Tanggungjawab 5.2.15 Pentadbir E-mel Tanggungjawab hendaklah dilaksanakan seperti berikut: a) Menentukan setiap akaun yang diwujudkan atau dibatalkan telah mendapat kelulusan. Pembatalan akaun (pengguna yang berhenti, bertukar dan melanggar dasar dan tatacara jabatan) perlulah dilakukan dengan segera atas tujuan keselamatan maklumat; b) Melaksanakan pembekuan akaun pengguna jika perlu semasa pengguna bercuti panjang, berkursus atau menghadapi tindakan tatatertib; c) Memastikan pengguna e-mel berkemahiran menggunakan emel melalui penyediaan latihan, kursus dan tatacara penggunaan e-mel secara berterusan; d) Memastikan kemudahan membuat capaian e-mel melalui pelbagai peralatan ICT dan alat komunikasi; e) Mengesah dan memaklumkan kepada ICTSO sekiranya mengalami insiden keselamatan melalui saluran rasmi; dan f) Memastikan maklumat perhubungan perlu dikemas kini dari semasa ke semasa. Pentadbir E-mel 40
NOMBOR RUJUKAN VERSI MUKASURAT ICU/PKS/001 2.0 Polisi Tanggungjawab 5.2.16 Jawatankuasa Pelan Pemulihan Bencana (JKDRP) ICU JPM Keanggotaan JKDRP adalah seperti berikut: Pengerusi : ICTSO Ahli : a) Seksyen Operasi dan Infrastruktur ICT; b) Seksyen Aplikasi dan Analisis Data; c) Seksyen Sistem Pemantauan Projek; d) Seksyen Perancangan dan Pengurusan ICT; e) Pasukan Pusat Pemulihan Bencana. Tanggungjawab hendaklah dilaksanakan seperti berikut: a) Membangunkan Dokumen Pelan Pemulihan Bencana (DRP); b) Menyediakan kemudahan pemulihan bencana atau Pusat Pemulihan Bencana (Disaster Recovery Centre); c) Membuat penilaian ke atas masalah dan jangkaan akibat bencana; d) Memaklumkan pengurusan atasan berkenaan bencana, kemajuan pemulihan bencana dan masalah; e) Mengaktifkan prosedur pemulihan bencana; f) Mengkoordinasi operasi pemulihan; g) Memantau operasi pemulihan dan memastikan jadual pemulihan dipatuhi; h) Mendokumentasikan operasi pemulihan; dan i) Mengkoordinasi simulasi pemulihan bencana. JKDRP 41
NOMBOR RUJUKAN VERSI MUKASURAT ICU/PKS/001 2.0 Polisi Tanggungjawab 5.2.17 Pihak Ketiga Pihak ketiga adalah terdiri dari pembekal, pakar runding, kontraktor, pengguna agensi kerajaan atau swasta dan pihak yang berurusan dengan ICU JPM. Tanggungjawab hendaklah dilaksanakan seperti berikut: a) Membaca, memahami dan mematuhi PKS ICU JPM tertakluk kepada polisi-polisi berikut: ▪ Bab 6 – Kawalan Keselamatan Manusia ▪ Bab 7 – Kawalan Keselamatan Fizikal b) Mengetahui dan memahami implikasi keselamatan ICT kesan dari tindakannya; c) Menjalani tapisan keselamatan sekiranya dikehendaki berurusan dengan maklumat rasmi terperingkat dengan mengisi Borang Keselamatan (KPKK 11) melalui Sistem eVetting dan Perakuan Akta Rahsia Rasmi 1972; d) Melaksanakan prinsip-prinsip PKS ICU JPM dan menjaga kerahsiaan maklumat ICU JPM; e) Menghadiri program-program kesedaran mengenai keselamatan ICT yang dianjurkan oleh ICU JPM sekiranya perlu; dan f) Menandatangani Surat Akuan Pematuhan PKS ICU JPM sebagaimana Lampiran 1. Pihak Ketiga 42
NOMBOR RUJUKAN VERSI MUKASURAT ICU/PKS/001 2.0 5.3 PENGASINGAN TUGAS Polisi Tanggungjawab Objektif: Untuk mengurangkan risiko penipuan, kesilapan dan memintas kawalan keselamatan maklumat. Menyemak, memahami dan mematuhi tanggungjawab keselamatan yang diluluskan oleh pihak pengurusan. Sekiranya tidak jelas, mereka hendaklah mendapatkan penjelasan daripada pengurus/penyelia. Warga ICU JPM 5.4 PENGURUSAN KAWALAN KESELAMATAN Polisi Tanggungjawab Objektif: Untuk memastikan pengurusan memahami peranan mereka dalam keselamatan maklumat dan privasi serta melaksanakan tindakan yang sebaiknya. Tanggungjawab hendaklah dilaksanakan seperti berikut: a) Memastikan semua pengguna mematuhi PKS ICU JPM melaksanakan kawalan keselamatan mengikut peranan dan tanggungjawab masing-masing. b) Memastikan pemantauan dan penyelarasan dengan semua jabatan dalam melaksanakan kawalan keselamatan maklumat di ICU JPM. Pengarah Bahagian 43
NOMBOR RUJUKAN VERSI MUKASURAT ICU/PKS/001 2.0 Polisi Tanggungjawab Objektif: Untuk memastikan aliran maklumat yang sesuai berlaku berkenaan dengan keselamatan maklumat antara organisasi dan pihak berkuasa undang-undang, kawal selia dan penyeliaan yang berkaitan. Tanggungjawab hendaklah dilaksanakan seperti berikut: a) Mengadakan hubungan professional yang sesuai dengan pihak berkuasa seperti agensi penguatkuasaan undangundang, bomba, badan pengawalseliaan, penyedia perkhidmatan teknologi komunikasi maklumat, dan penyedia telekomunikasi mesti dikekalkan. b) Menentukan bila dan siapa pihak penguatkuasaan undangundang, badan pengawalseliaan yang berkenaan yang hendaklah dihubungi dan bagaimana insiden keselamatan maklumat yang dikenal pasti hendaklah dilaporkan tepat pada masanya. Pasukan ICERT 5.5 HUBUNGAN DENGAN PIHAK BERKUASA 44
NOMBOR RUJUKAN VERSI MUKASURAT ICU/PKS/001 2.0 Polisi Tanggungjawab Objektif: Untuk memastikan aliran maklumat yang sesuai berlaku berkenaan dengan keselamatan maklumat. Tanggungjawab hendaklah dilaksanakan seperti berikut: a) Mengadakan dan menyelaraskan hubungan baik dengan kumpulan berkepentingan yang khusus atau forum pakar keselamatan dan pertubuhan profesional; dan b) Menjadi ahli (membership) atau forum dengan kumpulan berkepentingan khas mestilah diambilkira sebagai satu cara untuk meningkatkan pengetahuan tentang amalan terbaik dan mengikuti perkembangan maklumat keselamatan yang berkaitan; seperti menerima amaran awal, nasihat dan tampalan (patches) yang berkaitan dengan serangan dan kelemahan. ICTSO, Pengarah ICT 5.6 HUBUNGAN DENGAN KUMPULAN BERKEPENTINGAN YANG KHUSUS 45
NOMBOR RUJUKAN VERSI MUKASURAT ICU/PKS/001 2.0 Polisi Tanggungjawab Objektif: Memberi kesedaran tentang persekitaran ancaman organisasi supaya tindakan mitigasi yang sewajarnya dapat diambil. Menyediakan maklumat tentang ancaman yang sedia ada atau yang berkemungkinan dikumpul dan dianalisis untuk memudahkan tindakan yang lebih berkesan. Kecerdasan ancaman hendaklah menimbangkan perkara-perkara berikut: a) kecerdasan ancaman strategik: pertukaran maklumat peringkat tinggi mengenai perubahan landskap ancaman (contoh: jenis penyerang atau jenis serangan); b) kecerdasan ancaman taktikal: maklumat mengenai metodologi, alat dan teknologi penyerang terlibat; dan c) kecerdasan ancaman operasi: perincian mengenai serangan tertentu, termasuk petunjuk teknikal. Seksyen Operasi dan Infrastruktur ICT 5.7 KECERDASAN ANCAMAN (THREAT INTELLIGENCE) 46
NOMBOR RUJUKAN VERSI MUKASURAT ICU/PKS/001 2.0 Polisi Tanggungjawab Objektif: Untuk memastikan risiko keselamatan maklumat yang berkaitan dengan projek dan penghantaran ditangani dengan berkesan dalam pengurusan projek sepanjang kitaran hayat projek. Keselamatan maklumat hendaklah disepadukan ke dalam pengurusan projek untuk memastikan risiko keselamatan maklumat ditangani sebagai sebahagian dari pengurusan projek. Ini dapat diterapkan pada semua jenis projek tanpa mengira kerumitan, ukuran, jangka masa, disiplin atau bidang aplikasi (contoh: projek untuk proses perniagaan teras, ICT, pengurusan fasiliti atau proses sokongan lain). Pengurusan projek hendaklah dilaksanakan seperti berikut: a) Risiko keselamatan maklumat ditaksirkan dan diuraikan (RA/RTP) pada peringkat awal dan secara berkala sebagai sebahagian daripada risiko projek sepanjang kitaran hidup projek; b) Keperluan keselamatan maklumat [contoh: keperluan keselamatan aplikasi (8.26), syarat untuk mematuhi hak harta intelek (5.32), dll.] ditangani pada peringkat awal projek; c) Risiko keselamatan maklumat yang berkaitan dengan pelaksanaan projek, seperti keselamatan aspek komunikasi dalaman dan luaran dipertimbangkan dan diuraikan sepanjang kitaran hidup projek; dan d) Kemajuan dalam penguraian risiko keselamatan maklumat dikaji dan keberkesanannya dinilai dan diuji. Warga ICU JPM (Pasukan Projek) 5.8 KESELAMATAN MAKLUMAT DALAM PENGURUSAN PROJEK 47
NOMBOR RUJUKAN VERSI MUKASURAT ICU/PKS/001 2.0 Polisi Tanggungjawab Objektif: Untuk mengenal pasti maklumat organisasi dan aset yang berkaitan dapat dilindungi dan menetapkan pemilikan yang sesuai. Inventori maklumat dan aset hendaklah dilaksanakan seperti berikut: a) Memastikan semua aset maklumat dan ICT ICU JPM direkodkan dan dikemaskini dari semasa ke semasa; b) Memastikan semua aset maklumat dan ICT ICU JPM yang direkodkan mempunyai pemilik. c) Memastikan pengurusan aset adalah mematuhi Pekeliling Pengurusan Aset Kerajaan. d) Memastikan semua peraturan pengendalian aset dikenal pasti, didokumenkan dan dilaksanakan; e) Semua perisian aplikasi dan perisian sumber ICT mesti mempunyai lesen yang sah; f) Semua perolehan hendaklah mematuhi proses Perolehan ICU JPM; g) Memastikan semua jenis aset maklumat dan ICT dikembalikan mengikut peraturan dan terma perkhidmatan yang ditetapkan selepas bersara, bertukar jabatan dan penamatan perkhidmatan atau kontrak. Pentadbir Sistem ICT/ Pegawai Aset 5.9 INVENTORI MAKLUMAT DAN ASET LAIN YANG BERKAITAN 48
NOMBOR RUJUKAN VERSI MUKASURAT ICU/PKS/001 2.0 Polisi Tanggungjawab Penerimaan penggunaan maklumat dan aset hendaklah dilaksanakan seperti berikut: a) Peraturan untuk penggunaan maklumat yang boleh diterima dan aset yang dikaitkan dengan kemudahan pemprosesan maklumat dan maklumat mesti dikenal pasti, didokumenkan dan dilaksanakan; b) Prosedur pengendalian aset hendaklah dibangunkan dan dilaksanakan mengikut klasifikasi keselamatan seperti Terbuka, Terhad, Sulit, Rahsia atau Rahsia Besar. Pengarah Bahagian/ Ketua Unit c) Maklumat hendaklah dikelaskan berdasarkan keperluan undang-undang, nilai dan sensitiviti maklumat tersebut serta dilabel mengikut peringkat keselamatan maklumat. Perkara-perkara berikut hendaklah dipertimbangkan (tetapi tidak terhad kepada): i. Sekatan akses yang menyokong keperluan perlindungan untuk setiap tahap klasifikasi; ii. Penyelenggaraan rekod pengguna yang dibenarkan bagi asset maklumat dan aset lain yang berkatan; iii. Perlindungan salinan maklumat sementara atau kekal ke tahap yang selaras dengan perlindungan maklumat asal; Warga ICU JPM 5.10 PENERIMAAN PENGGUNAAN MAKLUMAT DAN ASET (ACCEPTABLE USE) 49