NOMBOR RUJUKAN VERSI MUKASURAT ICU/PKS/001 2.0 Polisi Tanggungjawab Objektif: Untuk mencegah atau mengurangkan akibat kejadian yang berpunca daripada ancaman fizikal dan alam sekitar. a) Prosedur perlindungan fizikal terhadap ancaman kebakaran, banjir, letupan dan kerosakan pergolakan awam mestilah dibangunkan. Bahagian Khidmat Pengurusan a) Prosedur perlindungan peralatan ICT daripada ancaman fizikal dan alam sekitar mestilah dilaksanakan seperti berikut (tetapi tidak terhad kepada): i. Peralatan ICT yang berada di Bilik Pelayan mesti diletakkan dengan sewajarnya dan dilindungi daripada ancaman dan bahaya alam sekitar (contoh: kebakaran, asap, banjir, habuk, gangguan bekalan elektrik) dan akses tanpa kebenaran (contoh: kecurian) untuk memastikan peralatan berterusan dalam operasi; dan ii. Semua peralatan ICT mesti diselenggara secara berkala dan spesifikasi kawalan keselamatan yang disyorkan oleh pembekal. Seksyen Operasi dan Infrastruktur ICT c) Mematuhi prosedur insiden kecemasan yang ditetapkan;dan d) Melaporkan insiden kecemasan persekitaran seperti kebakaran kepada Pegawai Keselamatan ICU JPM. Pengguna 7.5 PERLINDUNGAN DARIPADA ANCAMAN LUAR DAN PERSEKITARAN 100
NOMBOR RUJUKAN VERSI MUKASURAT ICU/PKS/001 2.0 7.6 BEKERJA DI KAWASAN SELAMAT Polisi Tanggungjawab Objektif: Untuk melindungi maklumat dan aset yang berkaitan di kawasan pejabat dan selamat daripada kerosakan dan gangguan oleh pengguna lain. Perkara-perkara berikut hendaklah dilaksanakan: a) Menyediakan pas pengenalan bagi semua pengguna yang dibenarkan; b) Menyediakan pengawasan kawalan keselamatan di kawasan selamat; c) Mengunci secara fizikal, memeriksa dan memantau secara berkala bagi kawasan selamat; d) Tidak membenarkan sebarang bentuk fotografi, video, audio atau peralatan rakaman lain dibawa masuk melainkan dibenarkan; e) Menyediakan maklumat prosedur insiden kecemasan dengan cara yang mudah diakses atau dilihat. Bahagian Pentadbiran f) Memakai pengenalan yang boleh dilihat apabila memasuki semua kawasan selamat; dan g) Mengelakkan dari bekerja di kawalan yang tiada pengawasan kawalan keselamatan. Penguna 101
NOMBOR RUJUKAN VERSI MUKASURAT ICU/PKS/001 2.0 Polisi Tanggungjawab Objektif: Untuk mengurangkan risiko akses tanpa kebenaran, kehilangan dan kerosakan maklumat pada meja, skrin dan di lokasi lain yang boleh diakses semasa dan di luar waktu kerja biasa. Perkara-perkara berikut hendaklah dilaksanakan: a) Semua maklumat dalam apa jua bentuk media hendaklah disimpan dengan teratur dan selamat bagi mengelakkan kerosakan, kecurian atau kehilangan; b) Polisi meja kosong bermaksud tidak meninggalkan maklumat yang sensitif terutamanya maklumat terperingkat (Terhad, Sulit, Rahsia dan Rahsia Besar) terdedah tanpa kawalan keselamatan; Menyimpan maklumat/bahan-bahan sensitif di dalam laci atau kabinet fail yang berkunci; Memastikan semua dokumen diambil segera dari pencetak, pengimbas, mesin faksimili dan mesin fotostat; dan c) Polisi skrin kosong bermasksud tidak membiarkan maklumat terperingkat di paparan skrin apabila pengguna tidak berada di tempatnya; Menggunakan kemudahan password screen saver atau logout apabila meninggalkan komputer; Pengguna 7.7 MEJA BERSIH DAN SKRIN KOSONG (CLEAR DESK AND CLEAR SCREEN) 102
NOMBOR RUJUKAN VERSI MUKASURAT ICU/PKS/001 2.0 Polisi Tanggungjawab Objektif: Untuk mengurangkan risiko peralatan daripada ancaman fizikal dan alam sekitar, kerosakan dan akses yang tidak dibenarkan. Perlindungan peralatan hendaklah dilaksanakan seperti berikut: a) Lokasi dan kedudukan peralatan ICT mestilah mematuhi peraturan/keperluan kesihatan dan keselamatan; b) Peralatan ICT yang kritikal perlu dibekalkan dengan bekalan kuasa sokongan seperti Uninterruptable Power Supply (UPS); c) Semua peralatan ICT hendaklah disimpan atau diletakkan di tempat yang teratur, bersih dan mempunyai ciri-ciri keselamatan. Peralatan rangkaian seperti switches, router, firewall dan lain-lain perlu diletakkan di dalam rak khas yang selamat; d) Semua peralatan yang digunakan secara berterusan mestilah diletakkan di kawasan yang berhawa dingin dan mempunyai pengudaraan (air ventilation) yang sesuai; Seksyen Operasi dan Infrastruktur ICT e) Bertanggungjawab sepenuhnya ke atas peralatan ICT masingmasing yang dibekalkan oleh Kerajaan dan hendaklah digunakan sepenuhnya bagi urusan rasmi sahaja; f) Menyemak dan memastikan semua peralatan ICT di bawah kawalannya berfungsi dengan baik; g) Tidak membuat sebarang pertukaran perkakasan dan konfigurasi yang telah ditetapkan tanpa kebenaran pentadbir sistem ICT; h) Tidak menambah, menanggal atau mengganti sebarang perkakasan ICT yang telah ditetapkan; Pengguna 7.8 PERLINDUNGAN PERALATAN 103
NOMBOR RUJUKAN VERSI MUKASURAT ICU/PKS/001 2.0 Polisi Tanggungjawab i) Tidak membuat instalasi sebarang perisian tambahan tanpa kebenaran Pentadbir Sistem ICT; j) Memastikan perisian antivirus di komputer peribadi mereka sentiasa aktif dan dikemas kini di samping melakukan imbasan ke atas media storan yang digunakan; k) Menggunakan kata laluan yang baik untuk akses ke sistem komputer; l) Semua peralatan sokongan ICT hendaklah dilindungi daripada kecurian, kerosakan, penyalahgunaan atau pengubahsuaian tanpa kebenaran; m) Pengendalian peralatan ICT hendaklah mematuhi dan merujuk kepada peraturan semasa yang berkuat kuasa; n) Pengguna tidak dibenarkan mengubah kedudukan peralatan ICT tanpa kebenaran Pentadbir Sistem ICT; o) Sebarang pelekat selain bagi tujuan rasmi tidak dibenarkan. Ini bagi menjamin peralatan tersebut sentiasa berkeadaan baik; p) Dilarang mengubah kata laluan bagi pentadbir (administrator password) yang telah ditetapkan oleh Pentadbir Sistem ICT; q) Pengguna hendaklah memastikan semua perkakasan komputer, pencetak dan pengimbas dalam keadaan “OFF” apabila meninggalkan pejabat kecuali dengan kebenaran Pentadbir Sistem ICT;dan r) Peralatan ICT yang hilang hendaklah dilaporkan kepada Pegawai Aset dengan segera; s) Sebarang kerosakan peralatan ICT hendaklah dilaporkan kepada Pentadbir Sistem ICT untuk dibaik pulih; t) Sebarang bentuk penyelewengan atau salah guna peralatan ICT hendaklah dilaporkan kepada ICTSO. Pengguna 104
NOMBOR RUJUKAN VERSI MUKASURAT ICU/PKS/001 2.0 Polisi Tanggungjawab Objektif: Untuk mengelakkan kehilangan, kerosakan, kecurian atau kompromi peranti luar tapak dan gangguan kepada operasi organisasi. 7.9.1 Peralatan ICT di luar premis hendaklah dilaksanakan seperti berikut: a) Peralatan ICT yang hendak dibawa keluar dari premis ICU JPM, perlulah mendapat kelulusan Pentadbir Sistem ICT dan direkodkan bagi tujuan pemantauan; dan b) Aktiviti peminjaman dan pemulangan perkakasan ICT mestilah direkodkan oleh pegawai yang berkenaan; c) Kawalan keselamatan mesti dikenakan ke atas aset lain dengan mengambil kira risiko yang berbeza untuk bekerja di luar premis ICU JPM. Pengguna 7.9.2 Penyewaan peralatan ICT seperti komputer (desktop), komputer riba dan sebagainya hendaklah dilaksanakan seperti berikut: a) Penerimaan Peralatan yang diterima bebas daripada virus, backdoor, worm dan perkara-perkara yang boleh memberi ancaman kepada perkhidmatan ICT jabatan. Pengguna 7.9 KESELAMATAN ASET DI LUAR PREMIS 105
NOMBOR RUJUKAN VERSI MUKASURAT ICU/PKS/001 2.0 Polisi Tanggungjawab b) Penyelenggaraan i. capaian melalui rangkaian luar ICU JPM adalah tidak dibenarkan; dan ii. aktiviti penyelenggaraan adalah di bawah pengawasan pegawai ICU JPM. c) Pemulangan i. maklumat yang tersimpan dalam storan perlu dihapuskan secara kekal (secured delete); dan ii. memastikan semua maklumat ICU JPM tidak tertinggal pada peralatan. Pengguna 106
NOMBOR RUJUKAN VERSI MUKASURAT ICU/PKS/001 2.0 Polisi Tanggungjawab Objektif: Untuk memastikan hanya pendedahan yang dibenarkan, pengubahsuaian, penyingkiran atau pemusnahan maklumat pada media storan. 7.10.1 Media Storan Media storan merupakan peralatan elektronik yang digunakan untuk menyimpan data dan maklumat seperti disket, cakera padat, pita magnetik, optical disk, flash disk, thumb drive dan media storan lain. Perkara-perkara berikut hendaklah dilaksanakan: a) Media storan hendaklah disimpan di ruang penyimpanan yang baik dan mempunyai ciri-ciri keselamatan bersesuaian dengan kandungan maklumat; b) Akses untuk memasuki kawasan penyimpanan media storan hendaklah terhad kepada pengguna yang dibenarkan sahaja; c) Media storan hendaklah dikawal bagi mencegah dari capaian yang tidak dibenarkan, kecurian dan kemusnahan; d) Maklumat yang disimpan dalam media fizikal mesti disimpan/backup (sebelum media dilupuskan) dan sebarang rekod pelupusan hendaklah disimpan dalam bentuk jejak audit; NADI 7.10 MEDIA STORAN 107
NOMBOR RUJUKAN VERSI MUKASURAT ICU/PKS/001 2.0 Polisi Tanggungjawab e) Peranti rosak yang mengandungi data sensitif mesti dinilai sebelum dimusnahkan secara fizikal; f) Media storan yang mengandungi maklumat Sulit dan Terhad hendaklah dilindungi semasa pemindahan di luar premis ICU JPM daripada akses yang tidak dibenarkan, penyalahgunaan dan kerosakan. g) Media storan perlu dipastikan berada dalam keadaan yang baik, selamat, terjamin kerahsiaan, integriti dan kebolehsediaan untuk digunakan; h) Media storan yang mengandungi data kritikal hendaklah disimpan di dalam peti keselamatan yang mempunyai ciri-ciri keselamatan termasuk tahan dari dipecahkan, api, air dan medan magnet; i) Akses dan pergerakan media storan hendaklah direkodkan; j) Sekiranya perlu, membuat salinan atau penduaan (backup) pada media storan kedua bagi tujuan keselamatan dan bagi mengelakkan kehilangan data; Perkakasan backup hendaklah diletakkan di tempat yang terkawal; k) Data di dalam media storan yang hendak dilupuskan mestilah mengikut prosedur pelupusan yang selamat; dan l) Penghapusan maklumat atau kandungan media mestilah mendapat kelulusan pemilik maklumat terlebih dahulu. Pengguna 108
NOMBOR RUJUKAN VERSI MUKASURAT ICU/PKS/001 2.0 Polisi Tanggungjawab 7.10.2 Peranti Tandatangan Digital (Digital Signature Device) Peranti Tandatangan Digital adalah peranti fizikal yang dilindungi kata laluan yang digunakan bagi melindungi identiti peribadi. Tandatangan digital dikaitkan dengan penandatangan membuat transaksi dokumen secara selamat. (Contoh: Public Key Infrastructure (PKI) dan Token USB, kad memori) Perkara-perkara berikut hendaklah dilaksanakan: a) Bertanggungjawab sepenuhnya melindungi peranti tandatangan digital dari kecurian, kehilangan, kerosakan, penyalahgunaan dan pengklonan; b) Peranti ini tidak boleh dipindah milik atau dipinjamkan; c) Penyedia perkhidmatan tandatangan digital yang dilantik hendaklah mengenakan pengesahan-2-faktor (dual-factor authentication) sebelum dokumen boleh ditandatangani oleh pengguna. Kaedah pengesahan yang digunakan juga berbezabeza; contoh: menghantar kata laluan sekali sahaja melalui SMS dan pengimbasan biometrik pada telefon mudah alih); dan d) Sebarang insiden kehilangan peranti ini hendaklah dilaporkan dengan segera kepada ICTSO untuk tindakan seterusnya. Pengguna 109
NOMBOR RUJUKAN VERSI MUKASURAT ICU/PKS/001 2.0 Polisi Tanggungjawab 7.10.3 Media Perisian dan Aplikasi Perkara-perkara berikut hendaklah dilaksanakan: a) Hanya perisian yang selamat dan tidak menyalahi hak harta intelek sahaja yang dibenarkan untuk digunakan di ICU JPM; b) Sistem aplikasi dalaman tidak dibenarkan didemonstrasi kecuali dengan kebenaran Pengarah ICU JPM atau Pengarah ICT atau diagih kepada pihak lain kecuali dengan kebenaran Ketua Pengarah ICU JPM; c) Lesen perisian (registration code, serials, CD-keys) perlu disimpan berasingan daripada CD-rom, disk atau media berkaitan bagi mengelakkan dari berlakunya kecurian atau cetak rompak; dan d) Media yang menyimpan source code sesuatu sistem hendaklah disimpan dengan selamat dan sebarang pindaan mestilah mengikut prosedur yang ditetapkan. Pengguna 110
NOMBOR RUJUKAN VERSI MUKASURAT ICU/PKS/001 2.0 Polisi Tanggungjawab 7.10.4 Pemindahan dokumen fizikal Semasa memindahkan dokumen fizikal, perkara-perkara berikut hendaklah dilaksanakan: a) Bertanggungjawab untuk mengawal dan memberitahu tentang penghantaran, dan penerimaan dokumen fizikal tersebut; b) Memastikan alamat dan bentuk penghantaran mesej yang betul; c) Pembungkusan yang melindungi kandungan dokumen dari sebarang kerosakan fizikal yang mungkin timbul semasa transit dan sesuai dengan menggunakan standard pembungkusan dan penghantaran yang baik; d) Menggunakan pembekal kurier yang diluluskan; e) Menyimpan rekod/log tentang kandungan dokumen fizikal, kawalan keselamatan yang digunakan, senarai penerima, waktu pemindahan ke penjaga transit dan destinasi penerimaan. Pengguna 111
NOMBOR RUJUKAN VERSI MUKASURAT ICU/PKS/001 2.0 Polisi Tanggungjawab Objektif: Untuk mengelakkan kehilangan, kerosakan atau kompromi maklumat dan aset lain yang berkaitan, atau gangguan kepada operasi organisasi akibat kegagalan dan gangguan utiliti sokongan. Utiliti atau peralatan sokongan hendaklah dilindungi daripada kehilangan, kerosakan atau gangguan seperti berikut: a) Peralatan mestilah dilindungi daripada kegagalan dan gangguan lain utiliti sokongan; b) Semua utiliti sokongan, seperti elektrik, bekalan air, kumbahan, pemanasan/pengudaraan, dan penghawa dingin, mestilah mencukupi untuk sistem yang disokongnya. c) Semua peralatan ICT hendaklah dilindungi dari kegagalan bekalan elektrik dan bekalan yang sesuai hendaklah disalurkan kepada peralatan ICT; d) Peralatan sokongan seperti Uninterruptable Power Supply (UPS) boleh digunakan bagi perkhidmatan kritikal seperti di bilik server supaya mendapat bekalan kuasa berterusan; dan e) Semua utiliti sokongan hendaklah diselenggara secara berjadual. Bahagian Pentadbiran, NADI 7.11 UTILITI SOKONGAN 112
NOMBOR RUJUKAN VERSI MUKASURAT ICU/PKS/001 2.0 Polisi Tanggungjawab Objektif: Untuk mengelakkan kehilangan, kerosakan, kecurian atau kompromi maklumat dan aset lain yang berkaitan dan gangguan kepada operasi organisasi yang berkaitan dengan kabel kuasa dan komunikasi. Kabel komputer hendaklah dilindungi kerana ia boleh menyebabkan maklumat terdedah kepada ancaman keselamatan. Perkara-perkara berikut hendaklah dilaksanakan: a) Menggunakan kabel yang mengikut spesifikasi yang telah ditetapkan; b) Melindungi kabel daripada kerosakan yang disengajakan atau tidak disengajakan; c) Melindungi laluan pemasangan kabel sepenuhnya bagi mengelakkan ancaman kerosakan dan wiretapping; dan d) Semua kabel perlu dilabelkan dengan jelas dan mestilah melalui trunking bagi memastikan keselamatan kabel daripada kerosakan dan pintasan maklumat. Pengurus ICT / Pentadbir Rangkaian 7.12 KESELAMATAN KABEL 113
NOMBOR RUJUKAN VERSI MUKASURAT ICU/PKS/001 2.0 Polisi Tanggungjawab Objektif: Untuk mengelakkan kehilangan, kerosakan, kecurian atau kompromi maklumat dan aset yang berkaitan yang mengakibatkan gangguan kepada operasi organisasi yang disebabkan oleh kelemahan penyelenggaraan. Peralatan hendaklah diselenggarakan dengan betul bagi memastikan kebolehsediaan, kerahsiaan dan integriti. Peralatan termasuk komponen teknikal kemudahan pemprosesan maklumat, UPS dan bateri, penjana kuasa, alternator dan penukar kuasa, sistem pengesanan pencerobohan dan penggera, pengesan asap, alat pemadam api, penyaman udara dan lif. Perkara-perkara berikut hendaklah dilaksanakan: a) Semua peralatan yang diselenggara hendaklah mematuhi spesifikasi yang ditetapkan oleh pengeluar; b) Memastikan peralatan hanya boleh diselenggara oleh personel atau pihak yang dibenarkan sahaja; c) Bertanggungjawab terhadap setiap perkakasan bagi penyelenggaraan perkakasan sama ada dalam tempoh jaminan atau telah habis tempoh jaminan; d) Menyemak dan menguji semua perkakasan sebelum dan selepas proses penyelenggaraan; Bahagian Pentadbiran, Pengarah ICT, Pengurus ICT, Pentadbir Sistem ICT, e) Memaklumkan pengguna sebelum melaksanakan penyelenggaraan mengikut jadual yang ditetapkan atau atas keperluan; dan f) Semua penyelenggaraan peralatan mestilah mendapat kebenaran daripada Pengarah ICT atau Pentadbir Sistem ICT Bahagian Pentadbiran, Pengarah ICT, Pengurus ICT, Pentadbir Sistem ICT, 7.13 PENYELENGGARAAN PERALATAN 114
NOMBOR RUJUKAN VERSI MUKASURAT ICU/PKS/001 2.0 Polisi Tanggungjawab Objektif: Untuk mengelakkan kebocoran maklumat daripada peralatan yang akan dilupuskan atau digunakan semula. Peralatan ICT yang hendak dilupuskan perlu melalui prosedur pelupusan yang berkuatkuasa. Pelupusan perlu dilakukan secara terkawal dan lengkap supaya maklumat tidak terlepas dari kawalan ICU JPM. Perkara-perkara berikut hendaklah dilaksanakan: a) Mengenalpasti sama ada peralatan tertentu boleh dilupuskan atau sebaliknya; b) Peralatan yang hendak dilupus hendaklah disimpan di tempat yang telah dikhaskan yang mempunyai ciri-ciri keselamatan bagi menjamin keselamatan peralatan tersebut; c) Merekodkan butir–butir pelupusan dan mengemas kini rekod pelupusan peralatan ICT; d) Pelupusan peralatan ICT hendaklah dilakukan secara berpusat dan mengikut tatacara pelupusan semasa yang berkuat kuasa; Pegawai Aset e) Semua kandungan peralatan khususnya maklumat rahsia rasmi hendaklah dihapuskan terlebih dahulu sebelum pelupusan sama ada melalui shredding, grinding, degauzing atau pembakaran; f) Sekiranya maklumat perlu disimpan, maka pengguna bolehlah membuat penduaan yang disediakan oleh pihak ICU JPM; dan g) Memastikan segala maklumat sulit dan rahsia di dalam komputer disalin pada media storan kedua seperti thumb drive (yang disediakan oleh pihak ICU JPM sahaja) sebelum menghapuskan maklumat tersebut daripada komputer yang hendak dilupuskan. Pengguna 7.14 PELUPUSAN SELAMAT ATAU PENGGUNAAN SEMULA PERALATAN 115
8 KAWALAN KESELAMATAN TEKNOLOGI
NOMBOR RUJUKAN VERSI MUKASURAT ICU/PKS/001 2.0 Polisi Tanggungjawab Objektif: Untuk melindungi maklumat daripada risiko kepada peranti pengguna. Peranti Pengguna termasuk peralatan mudah alih (termasuk komputer riba, tablet, desktop, storan luaran, kad memori), storan dalaman dan pelayan serta peranti elektronik lain yang penggunaannya dibenarkan di dalam ICU JPM. Peranti peribadi (BYOD) seperti telefon pintar, tablet PC, komputer riba dan media storan luaran (USB, external Hardisk). Perkara-perkara berikut hendaklah dilaksanakan: a) Memasang konfigurasi dan pengendalian peranti pengguna yang selamat; b) Menyediakan proses pendaftaran peranti pengguna; c) Menyediakan kawalan keselamatan fizikal; dan d) Memantau penggunaan peranti pengguna secara berkala. Pengurus ICT, Pentadbir Sistem ICT Peranti pengguna termasuk peranti yang disediakan oleh ICU JPM dan peranti peribadi (BYOD) hendaklah: a) Melindungi peranti secara fizikal dengan kunci berkunci atau setara jika peranti berada di dalam kawasan yang tidak selamat (contoh: di tempat awam, kenderaan, bilik hotel, persidangan, dan kawasan terbuka); Pengguna 8.1 PERANTI PENGGUNA (USER ENDPOINT DEVICES) 117
NOMBOR RUJUKAN VERSI MUKASURAT ICU/PKS/001 2.0 Polisi Tanggungjawab b) Mengaktifkan mod tidur atau menggunakan skrin kosong dengan kata laluan ke atas komputer; c) Peranti peribadi (BYOD) hendaklah didaftarkan dan diluluskan oleh NADI; d) Peranti hendaklah dipasang dengan perisian berlesen dan perisian perlindungan dan dikemaskini; e) Data/maklumat ICU JPM yang disimpan dalam peranti mesti dilindungi pada setiap masa; f) ICU JPM mempunyai hak untuk mengakses data pada peranti peribadi untuk sebarang urusan keselamatan. Menyusun, menyalin, menyebarkan, melaksanakan atau cuba memperkenalkan sebarang virus¹ atau kod komputer yang direka untuk mereplikasi sendiri, merosakkan atau sebaliknya menghalang prestasi komputer atau rangkaian ICU JPM adalah tidak dibenarkan; dan g) Mana-mana peranti pengguna yang memerlukan akses wifi ICU JPM mestilah mendapat kebenaran daripada NADI. h) Peranti (komputer riba dan desktop) jabatan akan dibekalkan mengikut kategori pegawai berikut: i. Kumpulan pegawai gred 41 dan ke atas dibekalkan komputer riba; ii. Kumpulan pegawai gred 40 dan ke bawah dibekalkan desktop; iii. Kumpulan kategori khas yang mendapat kebenaran pengurusan tertinggi dibekalkan sama ada desktop atau komputer riba. Pengguna ¹ sejenis program komputer yang, apabila dilaksanakan, mereplikasi dirinya sendiri dengan mengubah suai program komputer lain dan memasukkan kodnya sendiri ke dalam program tersebut. 118
NOMBOR RUJUKAN VERSI MUKASURAT ICU/PKS/001 2.0 Polisi Tanggungjawab Objektif: Untuk memastikan hanya pengguna yang dibenarkan, komponen perisian dan perkhidmatan disediakan dengan hak akses istimewa. Peruntukan dan penggunaan hak akses istimewa hendaklah dihadkan dan diuruskan dengan kawalan dan penyeliaan yang ketat berdasarkan keperluan skop tugas. Perkara-perkara berikut hendaklah dilaksanakan: a) Menyediakan proses peruntukan untuk menyerahkan atau membatalkan identity pengguna dan hak akses fizikal serta sistem ICT; b) Menentukan dan melaksanakan keperluan bagi tamat tempoh hak akses istimewa; c) Menetapkan peraturan khusus untuk mengelakkan penggunaan ID pengguna pentadbiran generik (seperti “root”), bergantung kepada kemampuan konfigurasi sistem’. Menguruskan dan melindungi pengesahan maklumat identiti tersebut; dan d) Keperluan dan aktiviti akses hendaklah sentiasa dipantau dan dikemaskini bagi tujuan audit; Pengurus ICT, Pentadbir Sistem ICT 8.2 HAK AKSES ISTIMEWA 119
NOMBOR RUJUKAN VERSI MUKASURAT ICU/PKS/001 2.0 Polisi Tanggungjawab Objektif: Untuk memastikan hanya akses yang dibenarkan dan untuk menghalang capaian yang tidak dibenarkan kepada maklumat dan aset lain yang berkaitan. Perkara-perkara berikut hendaklah dilaksanakan: a) Menggunakan identiti dengan hak akses istimewa untuk melaksanakan tugas pentadbiran sistem sahaja dan bukan untuk tugas umum seperti menyemak e-mel, mengakses laman sesawang, menggunakan perisian biasa dan sebagainya; b) Menyediakan mekanisme konfigurasi untuk mengawal akses kepada maklumat dalam sistem, aplikasi dan perkhidmatan; c) Mengawal identiti atau kumpulan identiti yang mempunyai akses, seperti membaca, menulis, memadam dan melaksanakan; d) Menyediakan kawalan capaian fizikal atau logikal untuk pengasingan aplikasi sensitif, data aplikasi atau sistem; e) Menggunakan penyulitan (encryption) untuk melindungi maklumat yang sensitif/kritikal; dan f) Memantau dan merekodkan sebarang perubahan kepada maklumat yang berlaku. Pentadbir Sistem ICT 8.3 SEKATAN AKSES MAKLUMAT 120
NOMBOR RUJUKAN VERSI MUKASURAT ICU/PKS/001 2.0 Polisi Tanggungjawab Objektif: Untuk mengelakkan fungsi yang tidak dibenarkan, perubahan yang tidak disengajakan atau berniat jahat bagi mengekalkan kerahsiaan harta intelek yang berharga. Perkara-perkara berikut hendaklah dipertimbangkan untuk mengawal akses kepada kod sumber (tetapi tidak terhad kepada): a) Akses baca dan tulis kepada kod sumber, alat pembangunan (development tools) dan perpustakaan perisian (software libraries) hendaklah diuruskan dengan baik; b) Akses kepada kod sumber program dan item yang berkaitan (seperti rekabentuk, spesifikasi, pelan penentusahan (verification) dan pelan pengesahsahihan (validation)) mesti dikawal untuk menghalang perubahan fungsi yang tidak dibenarkan dan yang tidak disengajakan serta mengekalkan kerahsiaan harta intelek; dan c) Kod sumber bagi semua aplikasi dan perisian hendaklah menjadi hak milik ICU JPM. Pembangun Program NADI 8.4 AKSES KEPADA KOD SUMBER 121
NOMBOR RUJUKAN VERSI MUKASURAT ICU/PKS/001 2.0 Polisi Tanggungjawab Objektif: Untuk memastikan pengguna atau entiti disahkan dengan selamat, apabila mengakses sistem ICT, aplikasi dan rangkaian perkhidmatan diberikan. Perkara-perkara berikut hendaklah dilaksanakan: a) Teknik pengesahan yang sesuai hendaklah dipilih untuk mengesahkan identiti pengguna, perisian, mesej dan entiti lain; b) Kekuatan pengesahan harus sesuai untuk klasifikasi maklumat diakses; kaedah pengesahan termasuk penggunaan kata laluan, seperti sijil digital, kad pintar, token atau biometrik; dan c) Prosedur untuk log masuk ke dalam sistem atau aplikasi hendaklah direka bentuk untuk meminimumkan risiko akses tidak dibenarkan. Pentadbir Sistem ICT 8.5 PENGESAHAN SELAMAT 122
NOMBOR RUJUKAN VERSI MUKASURAT ICU/PKS/001 2.0 Polisi Tanggungjawab Objektif: Untuk memastikan kapasiti yang diperlukan oleh fasiliti pemprosesan maklumat (ICT), sumber manusia, pejabat dan kemudahan lain. Perkara-perkara berikut hendaklah dilaksanakan: a) Keperluan kapasiti untuk kemudahan pemprosesan maklumat, sumber manusia, pejabat dan kemudahan lain hendaklah dikenalpasti dan dirancang dengan teliti dengan mempertimbangkan tahap kritikal perkhidmatan, sistem/proses dan keselamatan ICT; b) System Tuning dan pemantauan sistem hendaklah diterapkan untuk memastikan ketersediaan dan kecekapan sistem; dan c) Melakukan ujian tekanan sistem dan perkhidmatan untuk mengesahkan bahawa kapasiti sistem yang mencukupi tersedia untuk memenuhi keperluan prestasi waktu puncak. ICTSO, Pentadbir Sistem ICT 8.6 PENGURUSAN KAPASITI 123
NOMBOR RUJUKAN VERSI MUKASURAT ICU/PKS/001 2.0 Polisi Tanggungjawab Objektif: Untuk memastikan maklumat dan aset lain yang berkaitan dilindungi daripada perisian hasad. Perlindungan maklumat dari perisian hasad dilaksanakan seperti berikut: a) Kawalan pengesanan, pencegahan dan pemulihan untuk melindungi daripada perisian hasad mesti dilaksanakan, digabungkan dengan kesedaran pengguna yang sesuai; Contoh: antivirus, Intrusion Detection System (IDS), Intrusion Prevention System (IPS), Content Filtering dan Web Application Firewall (WAF) dan mengikut prosedur penggunaan yang betul dan selamat; b) Perisian pengesanan dan pembaikan antivirus yang diluluskan oleh ICU JPM mesti dipasang pada setiap pelayan, desktop dan komputer riba dengan update yang terkini; c) Pelan pemulihan sistem untuk insiden keselamatan ICT yang merangkumi data dan perisian sandaran dan pengaturan pemulihan yang diperlukan mesti diwujudkan; d) Melaksanakan peraturan dan kawalan yang menghalang atau mengesan penggunaan perisian yang tidak dibenarkan; dan e) Melaksanakan kawalan yang menghalang atau mengesan penggunaan laman web yang diketahui atau disyaki berniat jahat (contoh: blocklisting) Pengurus ICT, Pentadbir Sistem ICT f) Memuat turun atau memasang perisian daripada mana-mana sistem lain di luar ICU JPM adalah tidak dibenarkan tanpa kelulusan terlebih dahulu. Warga ICU JPM 8.7 KAWALAN DARIPADA PERISIAN HASAD (MALWARE) 124
NOMBOR RUJUKAN VERSI MUKASURAT ICU/PKS/001 2.0 Polisi Tanggungjawab Objektif: Untuk mengelakkan eksploitasi kerentanan/kelemahan teknikal kepada sistem, aplikasi, pangkalan data dan rangkaian ICT. Kawalan terhadap keterdedahan teknikal ini perlu dilaksanakan ke atas sistem pengoperasian dan sistem aplikasi yang digunakan seperti berikut: a) Memperoleh maklumat keterdedahan teknikal yang tepat pada masanya ke atas sistem maklumat yang digunakan; b) Menilai tahap kerentanan bagi mengenal pasti tahap risiko yang bakal dihadapi; dan c) Mengambil langkah-langkah kawalan untuk mengatasi risiko berkaitan. Pentadbir Sistem ICT 8.8 PENGURUSAN KERENTANAN TEKNIKAL Polisi Tanggungjawab Objektif: Untuk memastikan perkakasan, perisian dan perkhidmatan rangkaian berfungsi dengan betul dengan tetapan keselamatan yang diperlukan, dan konfigurasi tidak diubah oleh perubahan yang tidak dibenarkan atau tidak betul. Mentakrif dan melaksanakan proses dan peralatan untuk menguatkuasakan konfigurasi yang ditetapkan (termasuk konfigurasi keselamatan) ke atas perkakasan, perisian, perkhidmatan dan sistem operasi rangkaian sepanjang hayatnya. Pentadbir Sistem ICT 8.9 PENGURUSAN KONFIGURASI 125
NOMBOR RUJUKAN VERSI MUKASURAT ICU/PKS/001 2.0 Polisi Tanggungjawab Objektif: Untuk mengelakkan pendedahan maklumat sensitif dan untuk mematuhi keperluan undang-undang, berkanun, peraturan dan kontrak untuk pemadaman maklumat. Perlindungan pemadaman maklumat hendaklah dilaksanakan seperti berikut: a) Memastikan bahawa mana-mana sistem dan peranti yang menyimpan maklumat sensitif yang diiktiraf oleh ICU JPM dimusnahkan dengan selamat menggunakan aplikasi pemadaman yang diluluskan; dan b) Bagi peranti yang tidak boleh ditulis ganti (contoh: pemacu keras yang rosak, CD/DVD), hendaklah memastikan peranti dimusnahkan sebelum dilupuskan. Seksyen Operasi dan Infrastruktur ICT 8.10 PEMADAMAN MAKLUMAT Polisi Tanggungjawab Objektif: Untuk mengehadkan pendedahan data sensitif, termasuk PII, dan untuk mematuhi keperluan undang-undang, berkanun, peraturan dan kontrak. Teknik penyembunyian data hendaklah digunakan untuk sebarang kawalan akses kritikal berdasarkan keperluan perkhidmatan atau perundangan yang berkenaan (jika ada). Pentadbir ICT 8.11 PENYEMBUNYIAN DATA (DATA MASKING) 126
NOMBOR RUJUKAN VERSI MUKASURAT ICU/PKS/001 2.0 Polisi Tanggungjawab Objektif: Untuk mengesan dan mencegah pendedahan dan pengekstrakan maklumat yang tidak dibenarkan oleh individu atau sistem. Perkara-perkara berikut hendaklah dipertimbangkan (tetapi tidak terhad kepada): a) Mengenalpasti dan mengelaskan maklumat (contoh: maklumat peribadi, penyelidikan, rekabentuk produk); b) Mengesan dan memantau saluran kebocoran data (contoh: emel, peranti mudah alih dan media storan); c) Mengelakkan maklumat daripada bocor (contoh: kuarantin emel yang mengandungi maklumat sensitif); Pentadbir ICT 8.12 PENCEGAHAN KEBOCORAN DATA (DATA LEAK PREVENTION) 127
NOMBOR RUJUKAN VERSI MUKASURAT ICU/PKS/001 2.0 Polisi Tanggungjawab Objektif: Untuk membolehkan pemulihan daripada kehilangan data atau sistem ICT. Bagi memastikan sistem dapat dibangunkan semula setelah berlakunya bencana, backup hendaklah dilakukan setiap kali konfigurasi berubah. Perkara-perkara berikut hendaklah dilaksanakan: a) Membuat backup keselamatan ke atas semua sistem perisian dan aplikasi sekurang-kurangnya sekali atau setelah mendapat versi terkini; b) Membuat backup ke atas semua data dan maklumat mengikut keperluan operasi. Kekerapan backup bergantung pada tahap kritikal maklumat; c) Menguji sistem backup dan prosedur restore sedia ada bagi memastikan ianya dapat berfungsi dengan sempurna, boleh dipercayai dan berkesan apabila digunakan khususnya pada waktu kecemasan; d) Menyimpan sekurang-kurangnya tiga (3) generasi backup; dan e) Merekod dan menyimpan salinan backup di lokasi yang berlainan dan selamat. Pentadbir Sistem ICT 8.13 SANDARAN MAKLUMAT (BACKUP) 128
NOMBOR RUJUKAN VERSI MUKASURAT ICU/PKS/001 2.0 Polisi Tanggungjawab Objektif: Untuk memastikan fasilitasi kemudahan pemprosesan maklumat terus beroperasi. Redundasi/replikasi kemudahan pemprosesan maklumat hendaklah dikenalpasti keperluan untuk ketersediaan perkhidmatan dan sistem ICT. Perkara-perkara berikut hendaklah dipertimbangkan (tetapi tidak terhad kepada): a) Membangunkan kontrak dengan dua atau lebih pembekal rangkaian dan kemudahan pemprosesan maklumat kritikal seperti pembekal perkhidmatan internet; b) Menggunakan rangkaian redundansi; c) Menggunakan bekalan kuasa atau sumber redundansi secara fizikal; d) Menggunakan pelbagai komponen perisian selari, dengan pengimbangan beban (load balancing) automatik; e) Mempunyai komponen pendua dalam sistem (contoh: CPU, cakera keras, memori) atau dalam rangkaian (suis, firewall). f) Mempunyai komponen pendua dalam sistem (contoh: CPU, cakera keras, memori) atau dalam rangkaian (contoh: firewall, penghala, suis); dan g) Kemudaham pemprosesan maklumat (ICT) (termasuk infrastruktur, sistem, aplikasi, pangkalan data dan storan) hendaklah diuji untuk memastikan failover dari satu komponen ke komponen lain berfungsi dengan baik. Pengurus ICT, Pentadbir Sistem ICT 8.14 REDUNDANSI KEMUDAHAN PEMPROSESAN MAKLUMAT 129
NOMBOR RUJUKAN VERSI MUKASURAT ICU/PKS/001 2.0 Polisi Tanggungjawab Objektif: Untuk merekodkan insiden, menjana bukti, memastikan integriti maklumat log, mencegah capaian yang tidak dibenarkan, mengenal pasti insiden keselamatan maklumat yang boleh menyokong penyiasatan. 8.15.1 Sistem Log Fail log hendaklah disimpan untuk tempoh sekurang-kurangnya tiga (3) bulan. Jenis fail log bagi server dan aplikasi yang perlu diaktifkan adalah seperti berikut: a) Fail log sistem pengoperasian; b) Fail log servis (web, e-mel); c) Fail log aplikasi (jejak audit); dan d) Fail log rangkaian (switch, firewall, IPS). Perkara-perkara berikut hendaklah dilaksanakan: a) Mewujudkan sistem log bagi merekodkan semua aktiviti harian pengguna; b) Menyemak sistem log secara berkala bagi mengesan ralat yang menyebabkan gangguan kepada sistem dan mengambil tindakan membaik pulih dengan segera; dan c) Sekiranya wujud aktiviti-aktiviti lain yang tidak sah seperti kecurian maklumat dan pencerobohan, Pentadbir Sistem ICT hendaklah melaporkan kepada ICTSO dan CDO. Pengurus ICT, Pentadbir Sistem ICT 8.15 LOG SISTEM ICT 130
NOMBOR RUJUKAN VERSI MUKASURAT ICU/PKS/001 2.0 Polisi Tanggungjawab 8.15.2 Pemantauan Log Perkara-perkara berikut hendaklah dilaksanakan: a) Log Audit yang merekodkan semua aktiviti perlu dihasilkan dan disimpan untuk tempoh masa yang dipersetujui bagi membantu siasatan dan memantau kawalan capaian; b) Prosedur untuk memantau penggunaan kemudahan memproses maklumat hendaklah dibangunkan dan hasilnya perlu dipantau secara berkala; c) Kemudahan merekod dan maklumat log mestilah dilindungi daripada diubahsuai dan sebarang capaian yang tidak dibenarkan; d) Aktiviti pentadbiran dan operator/pembekal sistem hendaklah direkodkan; e) Kesalahan, kesilapan dan/atau penyalahgunaan mesti direkodkan, dianalisis dan diambil tindakan sewajarnya; dan f) Waktu yang berkaitan dengan sistem pemprosesan maklumat dalam ICU JPM atau domain keselamatan mesti diselaraskan dengan satu sumber waktu yang dipersetujui. Pengurus ICT, Pentadbir Sistem ICT 131
NOMBOR RUJUKAN VERSI MUKASURAT ICU/PKS/001 2.0 Polisi Tanggungjawab 8.15.3 Jejak Audit Setiap sistem mestilah mempunyai jejak audit (audit trail). Jejak audit merekod aktiviti-aktiviti yang berlaku dalam sistem secara kronologi bagi membenarkan pemeriksaan dan pembinaan semula dilakukan bagi susunan dan perubahan dalam sesuatu acara (event). Jejak audit hendaklah mengandungi maklumat-maklumat berikut: a) Rekod setiap aktiviti transaksi; b) Maklumat jejak audit mengandungi identiti pengguna, sumber yang digunakan, perubahan maklumat, tarikh dan masa aktiviti, rangkaian dan aplikasi yang digunakan; c) Aktiviti capaian pengguna dan pentadbir sistem ke atas sistem ICT sama ada secara sah atau sebaliknya; d) Maklumat aktiviti sistem yang tidak normal atau aktiviti yang tidak mempunyai ciri-ciri keselamatan; dan Jejak audit hendaklah disimpan untuk tempoh masa seperti yang disarankan oleh Arahan Teknologi Maklumat dan Akta Arkib Negara. Pengurus ICT, Pentadbir Sistem ICT 132
NOMBOR RUJUKAN VERSI MUKASURAT ICU/PKS/001 2.0 Polisi Tanggungjawab Objektif: Untuk merekodkan insiden, menjana bukti, memastikan integriti maklumat log, mencegah capaian yang tidak dibenarkan, mengenal pasti insiden keselamatan maklumat yang boleh menyokong penyiasatan. Skop dan tahap pemantauan hendaklah ditentukan mengikut perniagaan dan keperluan keselamatan maklumat dan mengambil kira keperluan perundangan dan peraturan yang berkaitan. Rekod pemantauan hendaklah dikekalkan untuk satu tempoh yang ditetapkan. Perkara-perkara berikut hendaklah dipertimbangkan (tetapi tidak terhad kepada): a) rangkaian keluar dan masuk, trafik sistem dan aplikasi; b) akses kepada sistem, pelayan, peralatan rangkaian, sistem pemantauan, aplikasi kritikal, dll.; c) sistem tahap kritikal atau pentadbir dan fail konfigurasi rangkaian; d) log daripada alatan keselamatan (contoh: antivirus, IDS, IPS); e) log kejadian yang berkaitan dengan sistem dan aktiviti rangkaian; f) menyemak bahawa kod yang sedang dilaksanakan dibenarkan untuk dijalankan dan tidak diusik (tampered); g) penggunaan sumber dan prestasinya (contoh: CPU, cakera keras, memori). Pentadbir ICT 8.16 PEMANTAUAN AKTIVITI ICT 133
NOMBOR RUJUKAN VERSI MUKASURAT ICU/PKS/001 2.0 Polisi Tanggungjawab Objektif: Untuk membolehkan korelasi dan analisis insiden berkaitan keselamatan dan data lain yang direkodkan bagi menyokong penyiasatan terhadap insiden keselamatan maklumat. Jam sistem (iaitu, jam masa nyata dalam komputer atau peranti komunikasi) mesti diseragamkan merentasi rangkaian dalaman ICU JPM. Perkara-perkara berikut hendaklah dilaksanakan: a) Server NTP (Network Time Protocol) ICU JPM mestilah sentiasa berfungsi; b) Penetapan masa pada Server NTP mestilah selari dengan The Malaysian Standard Time oleh SIRIM; dan c) Penetapan masa pada semua perkakasan ICT ICU JPM mestilah diselarikan dengan server NTP ICU JPM. Pentadbir Sistem ICT 8.17 PENYERAGAMAN WAKTU Polisi Tanggungjawab Objektif: Untuk memastikan penggunaan program utiliti tidak membahayakan rangkaian dan keselamatan maklumat. Program utiliti ialah sebarang perisian yang direka untuk menganalisis atau menyelenggara sistem. Penggunaan program utiliti bagi menguruskan operasi rangkaian dan keselamatan mestilah dikawal. Pentadbir Sistem ICT 8.18 PENGGUNAAN PROGRAM UTILITI 134
NOMBOR RUJUKAN VERSI MUKASURAT ICU/PKS/001 2.0 Polisi Tanggungjawab Objektif: Untuk memastikan integriti sistem operasi dan mencegah eksploitasi kelemahan teknikal. Pemasangan perisian mestilah mengikut perkara berikut: a) Keperluan untuk aplikasi atau perisian baharu mesti dikenal pasti dan didokumenkan; b) Semakan berkala terhadap penggunaan perisian pada desktop, komputer riba dan pelayan ICU JPM mestilah dijalankan untuk memastikan penggunaan perisian yang dibenarkan dan pematuhan dengan perjanjian pelesenan yang berkaitan; c) Prosedur dan kawalan keselamatan hendaklah dilaksanakan untuk mengurus pemasangan perisian sistem operasi dengan selamat; dan d) Bagi menaik taraf kepada produk perisian baharu, hendaklah mengambil kira keperluan perkhidmatan untuk perubahan dan keselamatan produk tersebut (contoh: fungsi keselamatan maklumat baharu atau kelemahan keselamatan maklumat yang menjejaskan versi semasa). Pentadbir Sistem ICT 8.19 PEMASANGAN PERISIAN PADA SISTEM OPERASI 135
NOMBOR RUJUKAN VERSI MUKASURAT ICU/PKS/001 2.0 Polisi Tanggungjawab Objektif: Untuk melindungi maklumat dalam rangkaian dan fasilitasi pemprosesan maklumat rangkaian. Perkara-perkara berikut hendaklah dilaksanakan: a) Infrastruktur rangkaian mestilah dikawal dan diuruskan sebaik mungkin demi melindungi ancaman kepada sistem dan aplikasi di dalam rangkaian; b) Akses kepada dokumentasi senibina rangkaian ICU JPM, seperti rajah senibina rangkaian, inventori infrastruktur, fail konfigurasi, dan sebagainya, mestilah dihadkan kepada pengguna yang dibenarkan sahaja; c) Peralatan rangkaian hendaklah diletakkan di lokasi yang mempunyai ciri-ciri fizikal yang kukuh dan bebas dari risiko seperti banjir, gegaran dan habuk; d) Semua peralatan mestilah melalui proses pengujian dan penerimaan semasa pemasangan dan konfigurasi; e) Sebarang penyambungan rangkaian yang bukan di bawah kawalan ICU JPM adalah tidak dibenarkan; f) Kemudahan rangkaian tanpa wayar (wifi) hendaklah dikawal dengan baik; g) Mewujudkan dan menguatkuasakan mekanisme untuk pengesahan pengguna dan peralatan yang menepati kesesuaian penggunaannya; dan h) Memantau dan menguatkuasakan kawalan capaian pengguna terhadap perkhidmatan rangkaian ICT. Pengurus ICT, Pentadbir Sistem ICT dan ICTSO 8.20 KESELAMATAN RANGKAIAN 136
NOMBOR RUJUKAN VERSI MUKASURAT ICU/PKS/001 2.0 Polisi Tanggungjawab Objektif: Untuk memastikan keselamatan dalam penggunaan perkhidmatan rangkaian. Perkhidmatan Rangkaian adalah aplikasi yang dijalankan pada lapisan aplikasi rangkaian menggunakan protokol rangkaian seperti Domain Name System, Internet Protocol, World Wide Web, e-Mail, File Server dsb. Perkara-perkara berikut hendaklah dilaksanakan: a) Mekanisme keselamatan, tahap perkhidmatan dan keperluan pengurusan semua perkhidmatan rangkaian mesti dikenalpasti dan dimasukkan dalam perjanjian perkhidmatan rangkaian sama ada perkhidmatan ini disediakan secara dalaman atau penyedia luar; (contoh: penggunaan rangkaian persendirian maya (VPN) atau rangkaian tanpa wayar) b) Risiko keselamatan yang berkaitan dengan perkhidmatan rangkaian mesti dinilai untuk mencapai keperluan keselamatan; c) Sebarang perkhidmatan rangkaian yang tidak digunakan atau tidak diperlukan mesti dikeluarkan atau dilumpuhkan; dan d) Tahap perkhidmatan untuk semua perkhidmatan rangkaian kritikal mesti dikenalpasti dan dipantau secara berkala. Pentadbir Rangkaian 8.21 KESELAMATAN PERKHIDMATAN RANGKAIAN 137
NOMBOR RUJUKAN VERSI MUKASURAT ICU/PKS/001 2.0 Polisi Tanggungjawab Objektif: Untuk memisahkan rangkaian dalaman sempadan keselamatan dan untuk mengawal lalu lintas antara mereka berdasarkan keperluan perkhidmatan. Perkara-perkara berikut hendaklah dilaksanakan: a) Perkhidmatan maklumat, pengguna dan sistem maklumat ICU JPM mesti diasingkan pada rangkaian melalui LAN Maya (VLAN) dan mesti dikawal pada perimeter menggunakan Gateway (contoh: firewall, router); b) Rangkaian tanpa-wayar yang digunakan untuk penghantaran data mesti sentiasa dikonfigurasikan dengan firewall untuk menapis komunikasi dengan peranti jauh; c) Semua sambungan rangkaian tanpa-wayar mesti disahkan sebelum memberikan akses kepada rangkaian dalaman/ intranet ICU JPM; d) Wireless Access Point (WAP) mesti ditempatkan di kawasan selamat secara fizikal di dalam premis ICU JPM dan dipantau secara berkala. Pentadbir Rangkaian 8.22 PENGASINGAN RANGKAIAN 138
NOMBOR RUJUKAN VERSI MUKASURAT ICU/PKS/001 2.0 Polisi Tanggungjawab Objektif: Untuk melindungi sistem daripada dikompromi oleh perisian hasad dan untuk menghalang akses kepada sumber web yang tidak dibenarkan. Perkara-perkara berikut hendaklah dilaksanakan: a) Menggunakan kaedah tertentu bagi mengurangkan risiko pengguna mengakses laman web yang mengandungi maklumat hasad atau diketahui mengandungi virus atau bahan pancingan data; dan b) Mengenal pasti laman web yang patut atau tidak boleh diakses oleh pengguna. Seksyen Operasi dan Infrastruktur ICT c) Pengguna tidak dibenarkan melayari laman web pornografi atau laman web berasaskan kebencian, perkauman, penggodam atau laman web yang telah ditentukan sebagai dilarang atau tidak dibenarkan. Pengguna 8.23 PENAPISAN LAMAN (WEB) 139
NOMBOR RUJUKAN VERSI MUKASURAT ICU/PKS/001 2.0 Polisi Tanggungjawab Objektif: Untuk memastikan penggunaan kriptografi yang betul dan berkesan untuk melindungi kerahsiaan dan integriti maklumat mengikut keperluan keselamatan perkhidmatan dan maklumat, dengan mengambil kira keperluan undang-undang, berkanun, peraturan dan kontrak yang berkaitan dengan kriptografi. Perkara-perkara berikut hendaklah dilaksanakan: a) Peraturan untuk penggunaan kriptografi yang berkesan termasuk pengurusan kunci kriptografi, hendaklah ditakrifkan dan dilaksanakan; b) Menyediakan kaedah HTTPS bagi pembangunan aplikasi laman yang akan digunakan oleh orang awam; c) Menyediakan Sijil SSL dipasang ke atas aplikasi yang telah ditentukan oleh ICU JPM; Pengurus ICT, Pentadbir Sistem ICT d) Pengguna hendaklah membuat enkripsi (encryption) ke atas maklumat Rahsia dan Rahsia Besar pada setiap masa; e) Menggunakan tandatangan digital/PKI bagi menguruskan transaksi maklumat rahsia rasmi secara elektronik; Pengguna 8.24 PENGGUNAAN KRIPTOGRAFI 140
NOMBOR RUJUKAN VERSI MUKASURAT ICU/PKS/001 2.0 Polisi Tanggungjawab Objektif: Untuk memastikan keselamatan maklumat direka dan dilaksanakan dalam kitaran hayat pembangunan perisian dan sistem yang selamat. Peraturan untuk pembangunan perisian dan sistem yang selamat hendaklah dilaksanakan seperti berikut: a) Pembangunan selamat ialah keperluan untuk membina perkhidmatan, senibina, perisian dan sistem yang selamat (iaitu, keselamatan dalam kitaran hayat pembangunan perisian); b) Perubahan kepada sistem dalam kitaran hayat pembangunan mesti dikawal dengan menggunakan prosedur kawalan perubahan formal; c) Apabila platform pengendalian ditukar, aplikasi kritikal perkhidmatan mesti disemak dan diuji untuk memastikan tiada kesan buruk terhadap operasi atau keselamatan organisasi; d) Pengubahsuaian pada pakej perisian dan semua perubahan mesti dikawal dengan ketat; dan e) Pembangunan aplikasi mudah alih yang melibatkan integrasi dengan sistem induk hendaklah menggunakan Application Programming Interface (API) atau lain-lain kaedah yang bersesuaian yang tidak memberi risiko ancaman keselamatan. Pembangun Aplikasi 8.25 KITARAN HAYAT PEMBANGUNAN SISTEM/ APLIKASI YANG SELAMAT 141
NOMBOR RUJUKAN VERSI MUKASURAT ICU/PKS/001 2.0 Polisi Tanggungjawab Objektif: Untuk memastikan semua keperluan keselamatan maklumat dikenalpasti dan ditangani semasa membangunkan atau memperolehi aplikasi. Keperluan keselamatan aplikasi hendaklah mengikut perkara berikut: a) Keperluan berkaitan keselamatan maklumat mesti dimasukkan dalam keperluan untuk sistem maklumat baharu atau penambahbaikan kepada sistem maklumat sedia ada; b) Maklumat yang terlibat dalam perkhidmatan aplikasi yang melalui rangkaian awam/luar mesti dilindungi daripada aktiviti penipuan, pertikaian kontrak, dan pendedahan dan pengubahsuaian tanpa kebenaran; dan c) Maklumat dalam urus niaga perkhidmatan aplikasi mesti dilindungi untuk mengelakkan penghantaran yang tidak lengkap, salah laluan, pengubahan mesej yang tidak dibenarkan, pendedahan yang tidak dibenarkan, penduaan atau main semula. Pengurus ICT, Pembangun Aplikasi 8.26 KEPERLUAN KESELAMATAN APLIKASI 142
NOMBOR RUJUKAN VERSI MUKASURAT ICU/PKS/001 2.0 Polisi Tanggungjawab Objektif: Untuk memastikan sistem maklumat direka bentuk, dilaksanakan dan dikendalikan dengan selamat dalam kitaran hayat pembangunan. Perkara-perkara berikut hendaklah dilaksanakan: a) Prinsip untuk sistem selamat kejuruteraan hendaklah diwujudkan, didokumenkan, diselenggara dan digunakan untuk sebarang aktiviti pembangunan sistem maklumat; b) Keselamatan mesti direkabentuk ke dalam semua lapisan senibina (business, data, aplikasi dan teknologi), mengimbangi keperluan untuk keselamatan maklumat dengan keperluan untuk kebolehcapaian; dan c) Persekitaran pembangunan yang selamat untuk pembangunan sistem dan usaha penyepaduan yang meliputi keseluruhan kitaran hayat pembangunan sistem mesti diwujudkan. Prinsip kejuruteraan sistem yang selamat termasuk, tetapi tidak terhad kepada: a) Menyediakan panduan mengenai kaedah pengesahan pengguna; b) Menyediakan panduan kawalan sesi selamat; c) Menyediakan panduan mengenai prosedur sanitasi dan pengesahan data; dan d) Menganalisis secara menyeluruh tentang semua langkah keselamatan yang diperlukan untuk melindungi aset dan sistem maklumat daripada ancaman yang diketahui; Pengurus ICT, Pembangun Aplikasi 8.27 SENIBINA SISTEM SELAMAT DAN PRINSIP KEJURUTERAAN 143
NOMBOR RUJUKAN VERSI MUKASURAT ICU/PKS/001 2.0 Polisi Tanggungjawab e) Menganalisis secara menyeluruh tentang keupayaan langkah keselamatan untuk mengenalpasti, menghapuskan dan bertindakbalas terhadap ancaman keselamatan. f) Menganalisis langkah keselamatan yang digunakan untuk aktiviti perkhidmatan tertentu seperti penyulitan maklumat; g) Menyediakan langkah keselamatan bagi pelaksanaan penyepaduan kawalan keselamatan khusus bagi infrastruktur teknikal; dan h) Menyediakan kawalan keselamatan yang berbeza, yang boleh berfungsi dan beroperasi sebagai set kawalan gabungan. Pengurus ICT, Pembangun Aplikasi Polisi Tanggungjawab Objektif: Untuk memastikan perisian dibangunkan dengan selamat dan mengurangkan potensi kelemahan keselamatan maklumat dalam perisian. Prinsip pengekodan selamat hendaklah digunakan untuk pembangunan perisian seperti berikut: a) Garis panduan minimum pengekodan selamat hendaklah diwujudkan dan digunakan ketika membangunkan aplikasi; b) Tadbir urus dan tanggungjawab yang jelas hendaklah disediakan bagi perisian yang dibangunkan oleh pihak ketiga dan perisian sumber terbuka (open-source software); c) Memantau ancaman dan kelemahan perisian secara berterusan. Seksyen Aplikasi dan Seksyen Sistem Pemantauan Projek 8.28 PENGEKODAN SELAMAT 144
NOMBOR RUJUKAN VERSI MUKASURAT ICU/PKS/001 2.0 Polisi Tanggungjawab Objektif: Untuk mengesahkan jika keperluan keselamatan maklumat dipenuhi apabila aplikasi atau kod digunakan ke persekitaran pengeluaran (production) Ujian dalam pembangunan dan penerimaan mestilah mengikut perkara berikut: a) Ujian kefungsian keselamatan mesti dijalankan semasa pembangunan; b) Program ujian penerimaan dan kriteria yang berkaitan mesti diwujudkan untuk sistem baharu, naik taraf dan versi baharu; c) Persekitaran ujian dan operasi mesti diasingkan untuk mengurangkan risiko capaian yang tidak dibenarkan atau perubahan kepada persekitaran Operasi; dan d) Kriteria penerimaan untuk sistem maklumat baharu, naik taraf, dan versi baharu mesti diwujudkan dan ujian yang sesuai bagi sistem hendaklah dijalankan sebelum penerimaan. Pembangun Aplikasi, Pemilik Sistem 8.29 UJIAN KESELAMATAN DALAM PEMBANGUNAN DAN PENERIMAAN 145
NOMBOR RUJUKAN VERSI MUKASURAT ICU/PKS/001 2.0 Polisi Tanggungjawab Objektif: Untuk memastikan langkah keselamatan maklumat yang diperlukan oleh organisasi dilaksanakan dalam pembangunan sistem oleh sumber luar. Aktiviti pembangunan sistem oleh sumber luar hendaklah diselia dan dipantau termasuk: a) Pengurusan lesen sistem, pemilikan kod & hak intelek; b) Jaminan kualiti; c) Pengurusan hak akses; dan d) Ujian keselamatan Pembangunan perisian aplikasi secara outsource hendaklah mematuhi perkara-perkara berikut: a) Setiap projek perlu dipantau oleh Pengarah ICT; b) Kontrak pembekalan hendaklah memasukkan klausa kod sumber menjadi hak milik ICU JPM; c) Kod sumber yang diserahkan kepada ICU JPM mesti bebas daripada sebarang ralat dan kerentanan; d) Mengutamakan kepakaran teknologi tempatan; e) Pembangunan aplikasi hendaklah dijalankan dalam persekitaran pengkomputeran ICU JPM; f) Penggunaan data masking semasa pengujian; g) Data ujian hendaklah dilupuskan secara kekal (secured delete) selepas projek disiapkan atau tamat kontrak; dan h) Aktiviti sandaran hendaklah berjaya dilakukan sebelum projek tamat. Pengurus ICT, Pembangun Aplikasi 8.30 PEMBANGUNAN OLEH SUMBER LUAR (OUTSOURCE) 146
NOMBOR RUJUKAN VERSI MUKASURAT ICU/PKS/001 2.0 Polisi Tanggungjawab Objektif: Untuk melindungi persekitaran pengeluaran dan data daripada kompromi oleh aktiviti pembangunan dan pengujian. Tahap pengasingan antara persekitaran pengeluaran, pengujian dan pembangunan yang diperlukan mesti dikenalpasti dan dilaksanakan. Pengurus ICT, Pembangun Aplikasi 8.31 PENGASINGAN PERSEKITARAN PEMBANGUNAN, PENGUJIAN DAN PENGELUARAN (PRODUCTION) Polisi Tanggungjawab Objektif: Untuk memelihara keselamatan maklumat semasa melaksanakan perubahan. Tanggungjawab dan prosedur pengurusan perubahan formal mesti ditakrifkan untuk memastikan kawalan yang memuaskan terhadap semua peralatan, perisian, atau perubahan proses. Pemilik Sistem, Pentadbir Sistem ICT, Pembangun Aplikasi 8.32 PENGURUSAN PERUBAHAN 147
NOMBOR RUJUKAN VERSI MUKASURAT ICU/PKS/001 2.0 Polisi Tanggungjawab Objektif: Untuk memastikan keperluan ujian dan perlindungan maklumat operasi yang digunakan untuk ujian. Maklumat ujian mestilah mengikut perkara berikut: a) Jenis data yang akan digunakan untuk objektif ujian mesti ditentukan dan dibenarkan oleh pemilik data yang berkaitan; b) Jika ujian memerlukan maklumat sensitif ICU JPM, maka maklumat tersebut mesti disemak dengan teliti supaya maklumat sensitif tidak didedahkan kepada pihak yang tidak dibenarkan; dan c) Data ujian mesti dikeluarkan daripada sistem ujian apabila tidak diperlukan lagi. Pemilik Sistem, Pentadbir Sistem ICT, Pembangun Aplikasi 8.33 MAKLUMAT UJIAN 148
NOMBOR RUJUKAN VERSI MUKASURAT ICU/PKS/001 2.0 Polisi Tanggungjawab Objektif: Untuk meminimumkan kesan pengauditan dan aktiviti pengujian ke atas sistem maklumat ICTdan proses perkhidmatan yang lain. Perlindungan sistem maklumat semasa pengujian/pengauditan mestilah mengikut perkara berikut: a) Jejak audit (log) hendaklah diaktifkan untuk merekodkan perubahan kepada maklumat sensitif dalam semua sistem ICT, termasuk menjejaki setiap penambahan, pengubahsuaian dan pemadaman maklumat; dan b) Jejak audit (log) peristiwa keselamatan maklumat mesti disemak secara berkala dengan pengetahuan/kemahiran yang sesuai. Kekerapan semakan mesti bergantung kepada risiko yang terlibat. ICTSO / Pengurus ICT, Pentadbir ICT, Pembangun Aplikasi 8.34 PERLINDUNGAN SISTEM MAKLUMAT ICT SEMASA PENGUJIAN/PENGAUDITAN 149