NOMBOR RUJUKAN VERSI MUKASURAT ICU/PKS/001 2.0 Polisi Tanggungjawab iv. Penyimpanan aset yang berkaitan dengan maklumat sesuai dengan spesifikasi pengeluar (lihat 7.8); v. Penandaan yang jelas bagi semua salinan media penyimpanan (elektronik atau fizikal) untuk perhatian penerima yang diberi kuasa (lihat 7.10); dan vi. Kebenaran pelupusan maklumat dan aset lain yang berkaitan, mengikut tatacara pelupusan semasa yang berkuat kuasa. Warga ICU JPM 50
NOMBOR RUJUKAN VERSI MUKASURAT ICU/PKS/001 2.0 Polisi Tanggungjawab Objektif: Untuk melindungi aset organisasi ketika proses penukaran atau penamatan pekerjaan, kontrak atau perjanjian. Pemulangan aset hendaklah dilaksanakan seperti berikut: a) Semua aset organisasi mesti dikembalikan dalam simpanan mereka selepas penamatan pekerjaan, kontrak atau perjanjian mereka; b) Dalam tempoh notis tamat perkhidmatan dan selepas itu, organisasi hendaklah mencegah penyalinan maklumat yang tidak sah (contoh: harta intelek) oleh warga di bawah notis penamatan; dan c) ICU JPM hendaklah mengenal pasti dan mendokumentasikan dengan jelas semua maklumat dan aset lain yang berkaitan yang akan dikembalikan, yang boleh merangkumi, tetapi tidak terhad kepada: ▪ peranti pengguna (user endpoint devices); ▪ peranti simpanan mudah alih (portable storage devices); ▪ peralatan pakar (specialist equipment); ▪ perkakasan pengesahan (authentication hardware) (contoh: kunci mekanikal, token fizikal dan kad pintar) untuk sistem maklumat, laman web dan arkib fizikal; d) Salinan maklumat fizikal. Pengguna 5.11 PEMULANGAN ASET 51
NOMBOR RUJUKAN VERSI MUKASURAT ICU/PKS/001 2.0 Polisi Tanggungjawab Objektif: Untuk mengenalpasti kefahaman tentang keperluan perlindungan maklumat selaras dengan kepentingannya kepada organisasi. Klasifikasi maklumat hendaklah dilaksanakan seperti berikut: a) Maklumat mesti diklasifikasikan atau dilabelkan mengikut keperluan undang-undang, nilai, kritikal, dan impak terhadap pendedahan atau pengubahsuaian yang tidak dibenarkan oleh pemilik dokumen yang diberi kuasa mengikut dokumen Arahan Keselamatan. b) Setiap maklumat yang dikelaskan mestilah mempunyai peringkat keselamatan sebagaimana yang telah ditetapkan di dalam dokumen Arahan Keselamatan seperti berikut: ▪ Rahsia Besar; ▪ Rahsia; ▪ Sulit; atau ▪ Terhad. NOTA: Maklumat yang tidak dikelaskan seperti peringkat di atas adalah dikelaskan sebagai maklumat “Terbuka.” Pengguna 5.12 KLASIFIKASI MAKLUMAT 52
NOMBOR RUJUKAN VERSI MUKASURAT ICU/PKS/001 2.0 Polisi Tanggungjawab c) Aktiviti pengendalian maklumat seperti mengumpul, memproses, menyimpan, menghantar, menyampai, menukar dan memusnah hendaklah mengambil kira langkah-langkah keselamatan berikut: i. Menghalang pendedahan maklumat kepada pihak yang tidak dibenarkan; ii. Memeriksa maklumat dan menentukan ia tepat dan lengkap dari semasa ke semasa; iii. Menentukan maklumat sedia untuk digunakan; iv. Melindungi kerahsiaan kata laluan; v. Mematuhi standard, prosedur, langkah dan garis panduan keselamatan yang ditetapkan; vi. Memberi perhatian kepada maklumat terperingkat terutama semasa pewujudan, pemprosesan, penyimpanan, penghantaran, penyampaian, pertukaran dan pemusnahan; dan vii. Melindungi kerahsiaan langkah-langkah keselamatan ICT dari diketahui umum. d) Bagi set data terbuka yang disediakan adalah berdasarkan bidang atau sektor atau kluster. Kategori set data ini tidak terhad dan boleh berubah mengikut fungsi teras dan keperluan semasa ICU JPM; dan e) Data terbuka yang telah diperakukan oleh ICU JPM akan dikemukakan ke JPM untuk kelulusan dan seterusnya diterbitkan ke Portal Data Terbuka Sektor Awam (DTSA) di bawah pengurusan MAMPU. Pengguna 53
NOMBOR RUJUKAN VERSI MUKASURAT ICU/PKS/001 2.0 Polisi Tanggungjawab Objektif: Untuk memudahkan komunikasi klasifikasi maklumat dan menyokong automasi pemprosesan dan pengurusan maklumat. Pelabelan maklumat hendaklah dilaksanakan seperti berikut: a) Proses yang sesuai untuk pelabelan maklumat mestilah dibangunkan dan dilaksanakan mengikut skema klasifikasi maklumat yang diterima pakai oleh ICU JPM; Pegawai Aset/ Pengarah Bahagian b) Semua dokumen dan rekod ICU JPM hendaklah dilabelkan mengikut klasifikasi maklumat yang ditetapkan; dan c) Memberi garis panduan tentang klasifikasi maklumat sekiranya dokumen dan rekod ICU JPM disediakan oleh pihak ketiga. Warga ICU JPM 5.13 PELABELAN MAKLUMAT 54
NOMBOR RUJUKAN VERSI MUKASURAT ICU/PKS/001 2.0 Polisi Tanggungjawab Objektif: Untuk mengekalkan keselamatan maklumat yang dipindahkan dalam organisasi dan dengan mana-mana pihak luar yang berkepentingan. Pemindahan maklumat boleh berlaku melalui pemindahan elektronik, penyimpanan fizikal media dan pemindahan lisan. Ia hendaklah dilaksanakan seperti berikut: a) Polisi, prosedur dan kawalan pertukaran maklumat yang formal hendaklah diwujudkan untuk melindungi pertukaran maklumat melalui penggunaan pelbagai jenis kemudahan komunikasi; b) Perjanjian hendaklah diwujudkan untuk pertukaran maklumat dan perisian di antara ICU JPM dengan agensi luar; c) Pemindahan maklumat melalui kemudahan komunikasi elektronik (termasuk mel elektronik, audio, faksimili dan video) mesti dilindungi daripada pemintasan, penyalinan dan pengubahsuaian yang tidak dibenarkan; d) Pemindahan maklumat media storan fizikal (termasuk kertas dokumen/rekod) mesti dilindungi melalui sebarang jenis kemudahan termasuk perkhidmatan kurier, pengangkutan dan sebagainya; dan e) Pemindahan maklumat secara lisan juga mesti dilindungi termasuk tidak membuat perbualan lisan sulit di tempat awam atau menggunakan saluran komunikasi yang tidak selamat yang boleh didengari oleh orang yang tidak dibenarkan Pengguna 5.14 PEMINDAHAN MAKLUMAT 55
NOMBOR RUJUKAN VERSI MUKASURAT ICU/PKS/001 2.0 Polisi Tanggungjawab Objektif: Untuk memastikan akses yang dibenarkan dan untuk menghalang capaian yang tidak dibenarkan kepada maklumat dan aset lain yang berkaitan. 5.15.1 Akses kepada aset ICT ICU JPM Perkara-perkara berikut hendaklah dilaksanakan: a) Menentukan peraturan kawalan akses yang sesuai, hak akses dan sekatan untuk peranan pengguna tertentu terhadap aset mereka; b) Keperluan capaian hendaklah sentiasa dipantau dan dikemas kini bagi memastikan hak capaian ini diberikan kepada pegawai/pengguna yang dibenarkan sahaja; c) Sistem pengurusan kata laluan hendaklah interaktif dan mengambilkira kualiti kata laluan yang dicipta; d) Kawalan capaian ke atas aset ICT mengikut keperluan keselamatan dan peranan pengguna; e) Kawalan capaian ke atas perkhidmatan rangkaian dalaman dan luaran; f) Keselamatan maklumat yang dicapai menggunakan kemudahan atau peralatan mudah alih; g) Kawalan ke atas kemudahan pemprosesan maklumat; dan h) Garis panduan pengurusan kata laluan hendaklah dibangunkan. Pengarah ICT, Pengurus ICT, Pentadbir Sistem ICT 5.15 KAWALAN AKSES 56
NOMBOR RUJUKAN VERSI MUKASURAT ICU/PKS/001 2.0 Polisi Tanggungjawab 5.15.2 Akses kepada internet Perkara-perkara berikut hendaklah dilaksanakan: a) Pemantauan kepada penggunaan Internet di ICU JPM secara berterusan bagi memastikan penggunaannya untuk tujuan capaian yang dibenarkan sahaja. Pemantauan ini akan dapat melindungi daripada kemasukan malicious code, virus dan bahan-bahan yang tidak sepatutnya ke dalam rangkaian ICU JPM; b) Kaedah Content Filtering mestilah digunakan bagi mengawal akses Internet mengikut fungsi kerja dan pemantauan tahap pematuhan; c) Penggunaan teknologi (packet shaper) untuk mengawal aktiviti (video conferencing, video streaming, chat, downloading) bagi menguruskan penggunaan jalur lebar (bandwidth) yang maksimum dan lebih berkesan; Pentadbir Rangkaian d) Penggunaan Internet hanyalah untuk kegunaan rasmi sahaja namun Pengarah ICT berhak menentukan pengguna yang dibenarkan menggunakan Internet atau sebaliknya; e) Laman yang dilayari hendaklah hanya yang berkaitan dengan semua bidang kerja dan berdasarkan kepada Pekeliling Kemajuan Pentadbiran Awam Bilangan 1 Tahun 2003 – Garis Panduan Mengenai Tatacara Penggunaan Internet dan Mel Elektronik di Agensi-Agensi Kerajaan; f) Bahan rasmi hendaklah disemak dan mendapat pengesahan daripada Pengarah ICU JPM sebelum dimuat naik ke Internet; Pengguna 57
NOMBOR RUJUKAN VERSI MUKASURAT ICU/PKS/001 2.0 Polisi Tanggungjawab g) Pengguna hanya dibenarkan memuat turun bahan yang sah seperti perisian yang berdaftar dan di bawah hak cipta terpelihara; h) Sebarang bahan yang dimuat turun dari Internet hendaklah digunakan untuk tujuan yang dibenarkan oleh ICU JPM; i) Hanya pegawai yang mendapat kebenaran sahaja boleh menggunakan kemudahan perbincangan awam. Walau bagaimanapun, kandungan perbincangan awam ini hendaklah mendapat kelulusan daripada Pengarah ICT terlebih dahulu tertakluk kepada dasar dan peraturan yang telah ditetapkan; dan j) Pengguna adalah dilarang melakukan aktiviti seperti berikut: i. Memuat naik, memuat turun, menyimpan dan menggunakan perisian tidak berlesen dan sebarang aplikasi seperti permainan elektronik, video, lagu yang boleh menjejaskan tahap capaian internet; dan ii. Menyedia, memuat naik, memuat turun dan menyimpan material, teks ucapan atau bahan-bahan yang mengandungi unsur-unsur lucah. Pengguna 58
NOMBOR RUJUKAN VERSI MUKASURAT ICU/PKS/001 2.0 Polisi Tanggungjawab 5.15.3 Penggunaan Token USB Perkara-perkara berikut hendaklah dilaksanakan: a) Penggunaan token USB Kerajaan Elektronik hendaklah digunakan bagi capaian sistem Kerajaan Elektronik yang dikhususkan; b) Token USB hendaklah disimpan di tempat selamat bagi mengelakkan sebarang kecurian atau digunakan oleh pihak lain; c) Perkongsian token USB untuk sebarang capaian sistem adalah tidak dibenarkan sama sekali. Token USB yang salah kata laluan sebanyak tiga (3) kali cubaan akan disekat; dan d) Sebarang kehilangan, kerosakan dan kata laluan disekat perlu dimaklumkan kepada pihak MAMPU. Pengguna Polisi Tanggungjawab Objektif: Untuk membenarkan pengenalan unik individu bagi mengakses sistem maklumat organisasi dan aset lain yang berkaitan serta membolehkan penyerahan hak akses yang sesuai. Prosedur untuk pendaftaran pengguna dan penyahdaftaran mesti ditakrifkan, didokumenkan dan dilaksanakan untuk memberikan akses kepada semua sistem maklumat/ICT. Pengurus ICT, Pentadbir Sistem ICT 5.16 PENGURUSAN IDENTITI 59
NOMBOR RUJUKAN VERSI MUKASURAT ICU/PKS/001 2.0 Polisi Tanggungjawab 5.16.1 Pengurusan identiti pengguna Perkara-perkara berikut hendaklah dilaksanakan: a) Akaun pengguna mestilah unik dan hendaklah mencerminkan identiti pengguna; b) Akaun pengguna yang diwujudkan adalah mengikut peranan yang telah diluluskan. Sebarang perubahan tahap capaian hendaklah mendapat kelulusan daripada pemilik sistem ICT terlebih dahulu; dan c) Melaksanakan pemantauan akaun pengguna secara berkala. Pengurus ICT, Pentadbir Sistem ICT 5.16.2 Akaun Pengguna Perkara-perkara berikut hendaklah dilaksanakan: a) Akaun yang diperuntukkan oleh ICU JPM sahaja boleh digunakan; b) Pemilikan akaun pengguna bukanlah hak mutlak seseorang dan ia tertakluk kepada peraturan ICU JPM. Akaun boleh ditarik balik jika penggunaannya melanggar peraturan; c) Penggunaan akaun milik orang lain adalah dilarang; d) Penggunaan akaun yang dikongsi bersama bagi aktiviti penambahan, pengemaskinian, dan penghapusan data (create, edit and delete) adalah dilarang. Pengguna 60
NOMBOR RUJUKAN VERSI MUKASURAT ICU/PKS/001 2.0 Polisi Tanggungjawab Objektif: Untuk memastikan pengesahan entiti yang betul dan mencegah kegagalan proses pengesahan. Pengesahan entiti hendaklah dilaksanakan seperti berikut: a) Menentukan dan mengekalkan senarai kawalan akses untuk aplikasi dan data. Pemilik sistem b) Pemilihan, penggunaan dan pengurusan kata laluan sebagai laluan utama bagi mencapai maklumat dan data dalam sistem mestilah mematuhi amalan terbaik serta prosedur yang ditetapkan oleh ICU JPM seperti berikut: i. Kata laluan hendaklah tidak dipaparkan semasa input, dalam laporan atau media lain dan tidak boleh dikodkan di dalam program; ii. Kuatkuasakan pertukaran kata laluan semasa login kali pertama atau selepas login kali pertama atau selepas kata laluan diset semula; iii. Had kemasukan kata laluan bagi capaian kepada sistem aplikasi adalah maksimum tiga (3) kali sahaja. Setelah mencapai tahap maksimum, capaian kepada sistem akan disekat sehingga id capaian diaktifkan semula; Pentadbir Sistem ICT 5.17 PENGESAHAN ENTITI 61
NOMBOR RUJUKAN VERSI MUKASURAT ICU/PKS/001 2.0 Polisi Tanggungjawab c) Dalam apa jua keadaan dan sebab, kata laluan hendaklah dilindungi dan tidak boleh dikongsi dengan sesiapa pun; d) Pengguna hendaklah menukar kata laluan apabila disyaki berlakunya kebocoran kata laluan atau dikompromi; e) Panjang kata laluan mestilah sekurang-kurangnya lapan (8) aksara dengan gabungan aksara, angka dan aksara khusus; f) Kata laluan hendaklah diingat dan TIDAK BOLEH dicatat, disimpan atau didedahkan dengan apa cara sekalipun; g) Kata laluan sistem pengoperasian (OS) atau screen saver hendaklah diaktifkan terutamanya pada komputer yang terletak di ruang guna sama; h) Kata laluan hendaklah berlainan daripada pengenalan identiti pengguna; dan i) Kata laluan hendaklah ditukar selepas 90 hari atau selepas tempoh masa yang bersesuaian. Pengguna 62
NOMBOR RUJUKAN VERSI MUKASURAT ICU/PKS/001 2.0 Polisi Tanggungjawab Objektif: Untuk memastikan akses kepada maklumat dan aset lain yang berkaitan ditakrifkan dan dibenarkan mengikut keperluan perkhidmatan. Proses peruntukan untuk menyerahkan atau membatalkan hak akses fizikal dan sistem ICT yang diberikan kepada identiti pengguna hendaklah dilaksanakan seperti berikut: a) Hak akses pengguna mesti disemak dengan kerap, dan kekerapan semakan mesti bergantung pada risiko yang terlibat. Contoh: kebenaran untuk hak akses istimewa mesti disemak lebih kerap daripada hak akses pengguna biasa; b) Hak capaian semua pengguna kepada kemudahan pemprosesan maklumat dan maklumat mesti dihapuskan selepas penamatan pekerjaan, kontrak, atau perjanjian mereka atau diselaraskan apabila bertukar; dan c) Hak akses pengguna kepada aplikasi dan data mesti diwujudkan dan dikekalkan setelah menerima permintaan bertulis yang diluluskan. Pentadbir Sistem ICT, Pemilik sistem 5.18 HAK AKSES 63
NOMBOR RUJUKAN VERSI MUKASURAT ICU/PKS/001 2.0 Polisi Tanggungjawab Objektif: Untuk mengekalkan tahap keselamatan maklumat yang dipersetujui dalam pengurusan pembekal. Pengurusan keperluan keselamatan maklumat hendaklah dilaksanakan seperti berikut: a) Keperluan keselamatan maklumat untuk mengurangkan risiko yang berkaitan dengan kepada aset dan maklumat ICU JPM hendaklah didokumenkan di dalam kontrak perjanjian dan dipersetujui oleh pembekal; b) Menggunapakai prinsip dan perjanjian escrow bagi melindungi perisian, perkakasan dan infrastruktur atau perkhidmatan awan yang kritikal (jika perlu); c) Semua keperluan keselamatan maklumat yang berkaitan mesti diwujudkan dan dipersetujui dengan setiap pembekal ICU JPM termasuk mengakses, memproses, menyimpan, berkomunikasi, atau menyediakan sistem, aplikasi dan komponen infrastruktur ICT; d) Menerangkan fungsi keselamatan yang dilaksanakan di dalam produk dan perkhidmatan pembekal dan konfigurasi yang diperlukan untuk operasi selamat digunakan; Pengarah Bahagian, Pengurus Projek, Pembekal 5.19 KESELAMATAN MAKLUMAT DALAM PENGURUSAN PEMBEKAL 64
NOMBOR RUJUKAN VERSI MUKASURAT ICU/PKS/001 2.0 Polisi Tanggungjawab e) Proses pemantauan berkala dan kaedah yang boleh diterima (contoh: laporan penyelenggaraan, borang perkhidmatan) untuk mengesahkan bahawa produk dan perkhidmatan yang diberikan mematuhi keperluan perkhidmatan dan keselamatan yang dinyatakan di dalam kontrak; dan f) Perubahan kepada perkhidmatan oleh pembekal, termasuk mengekalkan dan menambahbaik polisi, prosedur dan kawalan keselamatan maklumat sedia ada, mesti diurus, dengan mengambil kira maklumat perkhidmatan, sistem dan proses yang terlibat; penilaian semula risiko hendaklah dilakukan; dan g) Memastikan klausa yang berkaitan dengan pematuhan PKS ICU JPM dinyatakan dengan jelas dalam perjanjian. Perkaraperkara berikut hendaklah dimasukkan di dalam perjanjian yang dimeterai. i. PKS ICU JPM; ii. Tapisan Keselamatan; dan iii. Perakuan Akta Rahsia Rasmi 1972. Pengarah Bahagian, Pengurus Projek, Pembekal 65
NOMBOR RUJUKAN VERSI MUKASURAT ICU/PKS/001 2.0 Polisi Tanggungjawab Objektif: Untuk mengekalkan tahap keselamatan maklumat yang dipersetujui dalam pengurusan pembekal. Keperluan keselamatan maklumat hendaklah dipertimbangkan untuk dimasukkan ke dalam perjanjian (tetapi tidak terhad kepada): a) Penerangan maklumat yang akan diberikan atau diakses dan kaedah penyediaan atau akses maklumat; b) Klasifikasi maklumat mengikut skema klasifikasi organisasi (lihat 5.10, 5.12, 5.13); c) Pemetaan antara skema klasifikasi organisasi sendiri dan skema klasifikasi pembekal; d) Keperluan undang-undang, peraturan dan kontrak, termasuk perlindungan data, pengendalian maklumat yang dapat dikenal pasti secara peribadi (PII), hak harta intelek dan hak cipta dan penerangan bagaimana ia akan dipastikan bahawa ia dipenuhi; dan e) Kewajiban setiap pihak kontrak untuk melaksanakan sekumpulan kontrol yang disepakati, termasuk pengendalian akses, tinjauan prestasi, pemantauan, pelaporan dan pengauditan, dan tanggungjawab pembekal untuk mematuhi keperluan keselamatan maklumat organisasi. Pengarah Bahagian, Pengurus Projek, Pembekal 5.20 MENANGANI KESELAMATAN MAKLUMAT DI DALAM PERJANJIAN PEMBEKAL 66
NOMBOR RUJUKAN VERSI MUKASURAT ICU/PKS/001 2.0 Polisi Tanggungjawab Objektif: Untuk mengekalkan tahap keselamatan maklumat yang dipersetujui dalam hubungan pembekal. Perkara-perkara berikut hendaklah dipertimbangkan untuk menangani keselamatan maklumat dalam keselamatan rantaian bekalan ICT di samping keperluan keselamatan maklumat umum untuk hubungan pembekal (tetapi tidak terhad kepada): a) Menentukan keperluan keselamatan maklumat untuk digunakan pada pemerolehan produk atau perkhidmatan ICT; b) Menghendaki pembekal perkhidmatan ICT memaklumkan keperluan keselamatan organisasi ke seluruh rantaian bekalan jika mereka melakukan subkontrak untuk bahagian perkhidmatan ICT yang diberikan kepada organisasi; c) Menghendaki pembekal produk ICT menyebarkan amalan keselamatan yang sesuai di seluruh rantaian bekalan jika produk ini merangkumi komponen yang dibeli atau diperoleh dari pembekal lain atau entiti lain (contoh: pembangun perisian sub-kontrak dan penyedia komponen perkakasan); d) Mendapat maklumat yang menerangkan komponen perisian yang digunakan dalam produk dari pembekal produk ICT; e) Mendapat maklumat yang menerangkan fungsi keselamatan produk yang akan dilaksanakan dan konfigurasi yang diperlukan untuk operasi yang selamat dari pembekal produk ICT; dan f) Melaksanakan proses pemantauan dan kaedah yang boleh diterima untuk mengesahkan bahawa produk dan perkhidmatan ICT yang dihantar mematuhi keperluan keselamatan yang dinyatakan. Sebagai contoh, merangkumi ujian penembusan dan bukti atau pengesahan pihak ketiga untuk operasi keselamatan maklumat pembekal. Pengarah Bahagian, Pengurus Projek 5.21 MENGURUSKAN KESELAMATAN MAKLUMAT DALAM RANTAIAN BEKALAN ICT 67
NOMBOR RUJUKAN VERSI MUKASURAT ICU/PKS/001 2.0 Polisi Tanggungjawab Objektif: Untuk mengekalkan tahap keselamatan maklumat dan penyampaian perkhidmatan yang dipersetujui selaras dengan perjanjian pembekal. Perkara-perkara berikut hendaklah dipertimbangkan (tetapi tidak terhad kepada): a) Memantau tahap prestasi perkhidmatan untuk mengesahkan pematuhan terhadap perjanjian; b) Memantau perubahan yang dibuat oleh pembekal termasuk: i. peningkatan perkhidmatan semasa yang ditawarkan; ii. pembangunan aplikasi dan sistem baru; iii. pengubahsuaian atau kemas kini dasar dan prosedur pembekal; iv. kawalan baharu atau yang diubah untuk menyelesaikan insiden keselamatan maklumat dan untuk meningkatkan keselamatan maklumat; c) Memantau perubahan dalam perkhidmatan pembekal termasuk: i. perubahan dan peningkatan pada rangkaian; ii. penggunaan teknologi baru; iii. penggunaan produk baru atau versi atau keluaran yang lebih baru; iv. alat dan persekitaran pembangunan baru; v. perubahan lokasi fizikal kemudahan perkhidmatan; vi. pertukaran sub-pembekal; vii. subkontrak kepada pembekal lain d) Menyemak laporan perkhidmatan yang dihasilkan oleh pembekal dan mengatur pertemuan kemajuan berkala seperti yang dikehendaki oleh perjanjian. Pengarah Bahagian, Pengurus Projek 5.22 MEMANTAU, MENGKAJI DAN PENGURUSAN PERKHIDMATAN PEMBEKAL 68
NOMBOR RUJUKAN VERSI MUKASURAT ICU/PKS/001 2.0 Polisi Tanggungjawab Objektif: Untuk memastikan pengurusan keselamatan maklumat yang berkesan bagi penggunaan perkhidmatan awan. Pengurusan keselamatan maklumat bagi perkhidmatan awan hendaklah dilaksanakan seperti berikut: a) Proses yang sesuai untuk keperluan perkhidmatan keselamatan awan mesti ditentukan untuk memastikan keselamatan maklumat; b) Menyemak inventori dan perjanjian peringkat perkhidmatan awan (Service Level Agreement), dan menganalisis audit keselamatan penyedia awan secara berkala; dan c) Melaksanakan pemantauan perkhidmatan awan secara berkala bagi menganalisis prestasi penyedia awan tersebut. Rujukan: PKPA Bil1/2021 Dasar Perkhidmatan Pengkomputeran Awan Sektor Awam Pengarah ICT ICTSO 5.23 KESELAMATAN MAKLUMAT UNTUK PENGGUNAAN PERKHIDMATAN AWAN 69
NOMBOR RUJUKAN VERSI MUKASURAT ICU/PKS/001 2.0 Polisi Tanggungjawab Objektif: Untuk memastikan tindak balas yang cepat, berkesan, konsisten dan teratur terhadap insiden keselamatan maklumat, termasuk komunikasi mengenai insiden keselamatan maklumat. 5.24.1 Pengurusan Insiden Keselamatan Maklumat Insiden keselamatan maklumat bermaksud musibah (adverse event) yang berlaku ke atas aset maklumat ICU JPM termasuk ICT (perkakasan/peralatan dan perisian), dokumen/rekod (hardcopy dan softcopy) atau ancaman kemungkinan berlaku kejadian tersebut. Ia mungkin suatu perbuatan yang melanggar PKS ICU JPM sama ada yang ditetapkan secara tersurat atau tersirat. a) Tanggungjawab dan prosedur pengurusan mesti diwujudkan untuk memastikan tindak balas yang cepat, berkesan dan teratur terhadap insiden keselamatan maklumat. b) Maklumat mengenai insiden keselamatan yang dikendalikan hendaklah disimpan dan dianalisis bagi tujuan perancangan, tindakan pengukuhan dan pembelajaran bagi mengawal kekerapan, kerosakan dan kos kejadian insiden yang akan datang. Maklumat ini juga digunakan untuk mengenalpasti insiden yang kerap berlaku atau yang memberi kesan serta impak yang tinggi kepada ICU JPM; Bahagian Sumber Manusia/ NADI/ ICTSO 5.24 PELAN DAN PENYEDIAAN PENGURUSAN INSIDEN KESELAMATAN MAKLUMAT 70
NOMBOR RUJUKAN VERSI MUKASURAT ICU/PKS/001 2.0 Polisi Tanggungjawab c) Bahan-bahan bukti berkaitan insiden keselamatan hendaklah disimpan dan disenggarakan. Kawalan keselamatan hendaklah mengambilkira perkara berikut: i. Menyimpan jejak audit, backup secara berkala dan melindungi integriti semua bahan bukti; ii. Menyalin bahan bukti dan merekodkan semua maklumat aktiviti penyalinan; iii. Menyediakan pelan kontingensi dan mengaktifkan pelan kesinambungan perkhidmatan; iv. Menyediakan tindakan pemulihan segera; dan v. Memaklumkan atau mendapatkan nasihat pihak berkuasa perundangan sekiranya perlu. Bahagian Sumber Manusia/ NADI/ ICTSO 71
NOMBOR RUJUKAN VERSI MUKASURAT ICU/PKS/001 2.0 Polisi Tanggungjawab 5.24.2 Mekanisme Pelaporan Insiden keselamatan maklumat seperti berikut hendaklah dilaporkan kepada ICTSO dengan kadar segera: a) Maklumat didapati hilang, didedahkan kepada pihak-pihak yang tidak diberi kuasa atau disyaki hilang atau didedahkan kepada pihak-pihak yang tidak dibenarkan; b) Sistem maklumat (ICT) digunakan tanpa kebenaran atau disyaki sedemikian; c) Kata laluan atau mekanisme kawalan akses hilang, dicuri atau didedahkan, atau disyaki hilang, dicuri atau didedahkan; d) Berlaku kejadian sistem yang luar biasa seperti kehilangan fail, sistem kerap kali gagal dan komunikasi tersalah hantar; dan e) Berlaku percubaan menceroboh, penyelewengan dan insideninsiden yang tidak dijangka. Rujuk Prosedur pelaporan insiden keselamatan ICT berdasarkan: • Pekeliling Am Bilangan 1 Tahun 2001 - Mekanisme Pelaporan Insiden Keselamatan Teknologi Maklumat dan Komunikasi; dan • b) Surat Pekeliling Am Bilangan 4 Tahun 2022, Pengurusan dan Pengendalian Insiden Keselamatan Siber Sektor Awam. Pengguna 72
NOMBOR RUJUKAN VERSI MUKASURAT ICU/PKS/001 2.0 Polisi Tanggungjawab Objektif: Untuk memastikan pengkategorian dan keutamaan insiden keselamatan maklumat yang berkesan. Penilaian dan keputusan mengenai insiden keselamatan maklumat hendaklah dilaksanakan seperti berikut: a) Insiden keselamatan maklumat mestilah dinilai dan diputuskan jika ia akan diklasifikasikan sebagai insiden sebenar keselamatan maklumat; b) Keputusan penilaian dan keputusan hendaklah direkodkan secara terperinci untuk tujuan rujukan dan pengesahan masa hadapan; dan c) Membangunkan prosedur untuk proses mengenalpasti, mengumpul, memperoleh dan memelihara maklumat yang boleh menjadi bukti. Bahagian Sumber Manusia/ NADI/ ICTSO 5.25 PENILAIAN DAN KEPUTUSAN INSIDEN KESELAMATAN MAKLUMAT 73
NOMBOR RUJUKAN VERSI MUKASURAT ICU/PKS/001 2.0 5.26 TINDAK BALAS TERHADAP INSIDEN KESELAMATAN MAKLUMAT Polisi Tanggungjawab Objektif: Untuk memastikan tindak balas yang cekap dan berkesan terhadap insiden keselamatan maklumat. Tindakbalas insiden keselamatan maklumat hendaklah dilaksanakan seperti berikut: a) Prosedur tindakbalas insiden keselamatan maklumat hendaklah didokumenkan; b) Menyelaras dengan pihak dalaman dan luaran seperti pihak berkuasa, kumpulan kepentingan luaran dan forum, pembekal dan pelanggan untuk meningkatkan keberkesanan tindak balas dan membantu meminimumkan akibat bagi organisasi lain; c) Melakukan analisis pasca kejadian untuk mengenal pasti punca. Pastikan ia didokumentasikan dan dikomunikasikan mengikut prosedur yang ditentukan; dan d) Menyemak dan menambahbaik prosedur tindakbalas insiden keselamatan maklumat secara berkala. Bahagian Sumber Manusia/ NADI/ ICTSO 74
NOMBOR RUJUKAN VERSI MUKASURAT ICU/PKS/001 2.0 Polisi Tanggungjawab Objektif: Untuk mengurangkan kemungkinan atau akibat insiden masa hadapan. ICU JPM hendaklah menetapkan prosedur untuk mengukur dan memantau jenis, jumlah dan kos insiden keselamatan maklumat. Maklumat yang diperoleh dari penilaian insiden keselamatan maklumat hendaklah digunakan untuk: a) Meningkatkan pelan pengurusan insiden keselamatan maklumat termasuk senario dan prosedur kejadian (rujuk 5.24); b) Mengenalpasti kejadian berulang atau serius dan penyebabnya untuk mengemaskini pentaksiran risiko keselamatan maklumat organisasi dan menentukan dan melaksanakan kawalan tambahan yang diperlukan untuk mengurangkan kemungkinan atau akibat kejadian serupa di masa depan. Mekanisme untuk membolehkannya merangkumi pengumpulan, pengukuran dan pemantauan maklumat mengenai jenis, jumlah dan kos kejadian; c) Meningkatkan kesedaran dan latihan kepada pengguna (rujuk 6.3) dengan memberikan contoh apa yang boleh berlaku, bagaimana bertindak balas terhadap insiden tersebut dan bagaimana menghindarinya di masa hadapan. Bahagian Sumber Manusia/ NADI/ ICTSO 5.27 PENGAJARAN DARI INSIDEN KESELAMATAN MAKLUMAT 75
NOMBOR RUJUKAN VERSI MUKASURAT ICU/PKS/001 2.0 Polisi Tanggungjawab Objektif: Untuk memastikan pengurusan bukti yang konsisten dan berkesan berkaitan insiden keselamatan maklumat bagi mengambil tindakan tatatertib dan undang-undang. Perkara-perkara berikut hendaklah dilaksanakan: a) Membangunkan dan melaksanakan prosedur untuk mengenal pasti, mengumpul, memperoleh dan memelihara bukti yang berkaitan dengan insiden keselamatan maklumat; dan b) Bukti hendaklah dikumpulkan dengan cara yang boleh diterima di mahkamah atau mana-mana forum disiplin keselamatan maklumat. Bahagian Sumber Manusia/ NADI/ ICTSO 5.28 PENGUMPULAN BUKTI Polisi Tanggungjawab Objektif: Untuk melindungi maklumat dan aset lain yang berkaitan semasa gangguan. Perkara-perkara berikut hendaklah dilaksanakan: a) ICU JPM hendaklah menentukan keperluannya untuk menyesuaikan kawalan keselamatan maklumat semasa gangguan. Keperluan keselamatan maklumat hendaklah dimasukkan ke dalam pelan dan prosedur pengurusan kesinambungan perkhidmatan ICU JPM; b) Pelan hendaklah dibangunkan, dilaksanakan, diuji, dikaji dan dinilai untuk mengekalkan atau memulihkan keselamatan maklumat bagi proses perkhidmatan yang kritikal berikutan gangguan atau kegagalan; dan c) Keselamatan maklumat hendaklah dipulihkan pada tahap yang diperlukan dan dalam jangka masa yang diperlukan. CDO 5.29 KESELAMATAN MAKLUMAT SEMASA GANGGUAN 76
NOMBOR RUJUKAN VERSI MUKASURAT ICU/PKS/001 2.0 Polisi Tanggungjawab Objektif: Untuk memastikan ketersediaan maklumat organisasi dan aset lain yang berkaitan semasa gangguan. Perkara-perkara berikut hendaklah dilaksanakan: a) Pelan Pemulihan Bencana (DRP) mesti dibangunkan dan diselenggara untuk menyokong pelan kesinambungan perkhidmatan (PKP) ICU JPM; b) Pelan ini mestilah diluluskan oleh JPICT ICU JPM; c) Membangunkan struktur pemulihan bencana, tanggungjawab dan prosedur tindakbalas dan pemulihan perkhidmatan ICT; dan d) Membuat pengujian/latihan secara berkala yang diluluskan oleh pengurusan ICU JPM. Pengarah ICT ICTSO 5.30 KESEDIAAN ICT UNTUK KESINAMBUNGAN PERKHIDMATAN 77
NOMBOR RUJUKAN VERSI MUKASURAT ICU/PKS/001 2.0 Polisi Tanggungjawab Objektif: Untuk memastikan pematuhan kepada keperluan undang-undang, berkanun, peraturan dan kontrak yang berkaitan dengan keselamatan maklumat. Keperluan luaran termasuk keperluan undang-undang, kanun, peraturan atau kontrak hendaklah dipertimbangkan (tetapi tidak terhad kepada) semasa: a) Membangun/menyemak polisi dan prosedur keselamatan maklumat; b) Merancang, melaksanakan atau mengubah kawalan keselamatan maklumat; c) Mengklasifikasikan maklumat dan aset lain yang berkaitan sebagai sebahagian daripada proses untuk menetapkan keperluan keselamatan maklumat untuk keperluan dalaman atau untuk perjanjian pembekal; d) Melakukan penilaian risiko keselamatan maklumat dan menentukan aktiviti rawatan risiko keselamatan maklumat; e) Menentukan proses bersama dengan peranan dan tanggungjawab yang berkaitan dengan keselamatan maklumat; dan f) Menentukan keperluan kontrak pembekal yang berkaitan dengan organisasi dan skop pembekalan produk dan perkhidmatan. Pengguna 5.31 KEPERLUAN UNDANG-UNDANG, KANUN, PERATURAN DAN KONTRAK 78
NOMBOR RUJUKAN VERSI MUKASURAT ICU/PKS/001 2.0 Polisi Tanggungjawab 5.31.1 Pematuhan Polisi Kerajaan a) Mematuhi PKS dan undang-undang atau peraturanperaturan lain berkaitan yang sedang berkuat kuasa di dalam Malaysia; b) Semua aset ICT di ICU JPM termasuk maklumat yang disimpan di dalamnya adalah hak milik Kerajaan. Ketua Pengarah/pegawai yang diberi kuasa berhak untuk memantau aktiviti pengguna untuk mengesan penggunaan selain dari tujuan yang telah ditetapkan; c) Sebarang penggunaan aset ICT ICU JPM selain daripada maksud dan tujuan yang telah ditetapkan, adalah merupakan satu penyalahgunaan sumber ICU JPM; d) Memastikan pematuhan perundangan yang berkaitan dan peraturan, terutamanya apabila maklumat yang disulitkan atau alat kriptografi dialihkan ke sempadan bidang kuasa (luar negara); dan e) Keperluan kontrak yang berkaitan dengan keselamatan maklumat hendaklah dinyatakan di dalam: a) kontrak dengan pelanggan; b) kontrak dengan pembekal (lihat 5.20); c) kontrak insurans. Pengguna 79
NOMBOR RUJUKAN VERSI MUKASURAT ICU/PKS/001 2.0 Polisi Tanggungjawab Objektif: Untuk memastikan pematuhan terhadap keperluan undang-undang, berkanun, peraturan dan kontrak yang berkaitan dengan hak harta intelek dan penggunaan produk proprietari. Perkara-perkara berikut hendaklah dilaksanakan: a) Memastikan pematuhan terhadap keperluan perundangan, peraturan dan perjanjian kontrak yang berkaitan hak harta intelektual; b) Hak harta intelek bagi program perisian, dokumentasi dan maklumat lain yang dijana oleh atau disediakan oleh pengguna dan pembekal ICU JPM mestilah menjadi hak milik ICU JPM/ Kerajaan; dan c) Melaksanakan kawalan terhadap keperluan perlesenan supaya menggunakan perisian yang mempunyai lesen yang sah dan mematuhi had pengguna yang telah ditetapkan atau dibenarkan. Pengguna 5.32 HAK HARTA INTELEK 80
NOMBOR RUJUKAN VERSI MUKASURAT ICU/PKS/001 2.0 Polisi Tanggungjawab Objektif: Untuk memastikan pematuhan kepada keperluan undang-undang, berkanun, peraturan dan kontrak, serta kepentingan komuniti atau masyarakat yang berkaitan dengan perlindungan dan ketersediaan rekod. Perkara-perkara berikut hendaklah dilaksanakan: a) Proses yang sesuai untuk penyimpanan, pengendalian, penyimpanan dan pelupusan rekod dan maklumat mesti mematuhi keperluan keselamatan ICU JPM atau kewajipan kontrak yang berkenaan; dan b) Rekod hendaklah dilindungi daripada kehilangan, kemusnahan, pemalsuan dan capaian ke atas orang yang tidak berkenaan seperti yang terkandung di dalam keperluan perundangan, peraturan dan perjanjian kontrak. Pengguna 5.33 PERLINDUNGAN REKOD 81
NOMBOR RUJUKAN VERSI MUKASURAT ICU/PKS/001 2.0 Polisi Tanggungjawab Objektif: Untuk memastikan pematuhan kepada keperluan undang-undang, berkanun, peraturan dan kontrak yang berkaitan dengan aspek keselamatan maklumat perlindungan PII. Perkara-perkara berikut hendaklah dipertimbangkan (tetapi tidak terhad kepada): a) Menetapkan dan menyampaikan polisi topik-khusus mengenai privasi dan perlindungan PII kepada semua pihak yang berkepentingan; b) Membangunkan dan melaksanakan prosedur untuk menjaga privasi dan perlindungan PII. Prosedur ini hendaklah disampaikan kepada semua pihak yang berkepentingan yang terlibat dalam pemprosesan maklumat peribadi; c) Menentukan peranan, tanggungjawab dan pengendalian perlindungan PII dan pemprosesan maklumat peribadi/sensitif yang sesuai; dan d) Melantik pegawai privasi atau yang setara dengannya, bagi memberi panduan kepada warga, penyedia perkhidmatan dan pihak lain yang berkepentingan mengenai tanggungjawab masing-masing dan prosedur khusus yang hendaklah diikuti. CDO Pengarah ICT Pengarah Bahagian Pengarah Pejabat Pembangunan Negeri 5.34 PRIVASI DAN PERLINDUNGAN MAKLUMAT PENGENALAN PERIBADI (PII) 82
NOMBOR RUJUKAN VERSI MUKASURAT ICU/PKS/001 2.0 Polisi Tanggungjawab Objektif: Untuk memastikan kesesuaian, kecukupan dan keberkesanan berterusan pendekatan organisasi untuk mengurus risiko keselamatan maklumat. Perkara-perkara berikut hendaklah dipertimbangkan (tetapi tidak terhad kepada): a) Undang-undang dan peraturan yang mempengaruhi perubahan organisasi; b) Insiden ketara berlaku; dan c) Terdapat perubahan di dalam perkhidmatan, arahan, prosedur keselamatan maklumat atau yang setara dengannya. Pengarah Bahagian 5.35 KAJIAN BEBAS KESELAMATAN MAKLUMAT Polisi Tanggungjawab Objektif: Untuk memastikan keselamatan maklumat dilaksanakan dan dikendalikan mengikut Polisi Keselamatan Siber organisasi, prosedur, peraturan dan standard yang ditetapkan. Perkara-perkara berikut hendaklah dilaksanakan: a) Pematuhan terhadap prosedur operasi dan keselamatan maklumat hendaklah dikaji semula mengikut Polisi Keselamatan Siber, standard dan pekeliling/peraturan keselamatan lain. Pengarah Bahagian b) Prosedur sistem maklumat ICT yang dilaksanakan mestilah sentiasa disemak untuk mematuhi Polisi Keselamatan Siber organisasi dan standard yang bersesuaian. Pengarah ICT 5.36 PEMATUHAN DENGAN POLISI, PERATURAN DAN PIAWAIAN UNTUK KESELAMATAN MAKLUMAT 83
NOMBOR RUJUKAN VERSI MUKASURAT ICU/PKS/001 2.0 Polisi Tanggungjawab Objektif: Untuk memastikan operasi yang betul dan selamat bagi sistem dan fasiliti pemprosesan maklumat ICT serta pemprosesan maklumat perkhidmatan organisasi. Prosedur operasi hendaklah dilaksanakan seperti berikut: a) Prosedur operasi untuk semua pemprosesan maklumat dan kemudahan mesti didokumenkan secara terperinci dan diberikan kepada pengguna yang dibenarkan; b) Semua prosedur hendaklah dikemaskini dari semasa ke semasa atau mengikut keperluan. Pengarah Bahagian c) Prosedur operasi mestilah menyatakan arahan yang betul untuk pelaksanaan/pengendalian terperinci sistem maklumat ICT kritikal ICU JPM termasuk rangkaian, aplikasi, pangkalan data, keselamatan ICT, storan dan sistem ICT lain; NADI 5.37 PROSEDUR OPERASI YANG DIDOKUMENKAN 84
6 KAWALAN KESELAMATAN MANUSIA
NOMBOR RUJUKAN VERSI MUKASURAT ICU/PKS/001 2.0 Polisi Tanggungjawab Objektif: Untuk memastikan semua pengguna ICU JPM dapat melaksanakan peranan dan tanggungjawab melalui penilaian keselamatan atas kelayakan dan kesesuaian semasa bekerja. Perkara-perkara berikut hendaklah dilaksanakan: a) Membuat tapisan keselamatan terhadap semua calon warga ICU JPM (termasuk sepenuh masa, sambilan dan sementara), pembekal dan pihak ketiga yang terlibat selaras dengan keperluan perkhidmatan yang dinyatakan di dalam skim perjawatan ICU JPM atau kontrak; Bahagian Sumber Manusia b) Membuat semakan latar belakang pada penglibatan pembekal dan pihak ketiga hendaklah mengikut undang-undang, peraturan dan etika yang berkaitan, dan ia harus berdasarkan kepada keperluan perkhidmatan, klasifikasi maklumat yang akan diakses bagi mengurangkan risiko; c) Menyatakan dengan lengkap dan jelas peranan dan tanggungjawab pegawai/personel ICU JPM serta pihak ketiga yang terlibat dalam menjamin keselamatan aset ICT sebelum, semasa dan selepas perkhidmatan; Bahagian Perolehan/ Pengurus projek 6.1 SARINGAN 86
NOMBOR RUJUKAN VERSI MUKASURAT ICU/PKS/001 2.0 Polisi Tanggungjawab Objektif: Untuk memastikan semua pengguna ICU JPM memahami tanggungjawab keselamatan maklumat mereka untuk peranan yang mereka dipertimbangkan. Perjanjian kontrak kepada pengguna ICU JPM hendaklah melaksanakan perkara-perkara berikut: a) Perjanjian kontrak dengan warga ICU JPM hendaklah menyatakan tanggungjawab untuk keselamatan maklumat dan privasi; b) Mendapatkan persetujuan dengan menandatangani borang pengakuan Polisi Keselamatan Siber dan Privasi semasa pengambilan. Bahagian Sumber Manusia c) Perjanjian kontrak dengan pembekal dan pihak ketiga hendaklah menyatakan tanggungjawab keselamatan maklumat dan privasi; d) Mendapatkan persetujuan dengan menandatangani borang pengakuan Polisi Keselamatan Siber dan Privasi semasa penganugerahan; dan e) Menandatangani perjanjian kerahsiaan atau tanpa pendedahan (NDA) oleh pengguna yang diberi akses kepada maklumat sulit dan aset lain yang berkaitan (rujuk 6.6). Pengarah Bahagian/ Pengurus Projek 6.2 TERMA DAN SYARAT PERKHIDMATAN 87
NOMBOR RUJUKAN VERSI MUKASURAT ICU/PKS/001 2.0 Polisi Tanggungjawab Objektif: Untuk memastikan semua pengguna ICU JPM dan pihak berkepentingan yang berkaitan memenuhi tanggungjawab terhadap keselamatan maklumat dan privasi di organisasi. Perkara-perkara berikut hendaklah dilaksanakan: a) Semua pengguna yang berkaitan hendaklah diberikan program kesedaran, pendidikan dan latihan sewajarnya mengenai keselamatan maklumat dan privasi bagi meningkatkan kompetensi secara berterusan dalam melaksanakan tugastugas dan tanggungjawab mereka; dan b) Program kesedaran, pendidikan dan latihan keselamatan maklumat hendaklah dibuat selaras dengan Polisi Keselamatan Siber organisasi, dasar khusus topik dan prosedur yang relevan mengenai keselamatan maklumat, dengan mempertimbangkan maklumat organisasi yang akan dilindungi dan kawalan keselamatan maklumat yang telah dilaksanakan untuk melindungi maklumat tersebut. ICTSO 6.3 KESEDARAN, PENDIDIKAN DAN LATIHAN KESELAMATAN MAKLUMAT 88
NOMBOR RUJUKAN VERSI MUKASURAT ICU/PKS/001 2.0 Polisi Tanggungjawab Objektif: Untuk memastikan warga ICU JPM dan pihak berkepentingan lain agar memahami akibat pelanggaran Polisi Keselamatan Siber dan privasi, untuk menghalang dan berurusan dengan sewajarnya dengan warga ICU JPM dan pihak berkepentingan lain yang melakukan pelanggaran tersebut. Proses tatatertib hendaklah diformalkan dan disampaikan bagi mengambil tindakan terhadap pengguna dan pihak berkepentingan lain yang berkaitan yang telah melakukan pelanggaran dasar keselamatan maklumat. Bahagian Sumber Manusia 6.4 PROSES TATATERTIB 89
NOMBOR RUJUKAN VERSI MUKASURAT ICU/PKS/001 2.0 Polisi Tanggungjawab Objektif: Memastikan pertukaran, tamat perkhidmatan dan perubahan bidang tugas warga ICU JPM diurus dengan teratur. Perkara-perkara berikut hendaklah dilaksanakan: a) Tanggungjawab dan tugas keselamatan maklumat dan privasi adalah kekal sah selepas pemberhentian atau pertukaran pekerjaan hendaklah ditakrifkan, dikuatkuasakan dan disampaikan kepada pengguna yang berkaitan. Ini boleh merangkumi kerahsiaan maklumat, harta intelek dan pengetahuan lain yang diperolehi, serta tanggungjawab yang terkandung dalam terma dan syarat pekerjaan, kontrak atau perjanjian. Bahagian Sumber Manusia b) Proses penamatan atau pertukaran pekerjaan juga hendaklah diterapkan kepada pihak ketiga apabila penamatan personel berlaku, kontrak atau pekerjaan dengan organisasi, atau apabila terdapat perubahan pekerjaan dalam organisasi. Pengarah Bahagian/ Pengurus Projek c) Memastikan semua aset ICT dikembalikan kepada ICU JPM mengikut peraturan dan/atau terma perkhidmatan yang ditetapkan; dan d) Membatalkan atau menarik balik semua kebenaran capaian ke atas maklumat dan kemudahan proses maklumat mengikut peraturan yang ditetapkan oleh ICU JPM dan/atau terma perkhidmatan. NADI 6.5 PENAMATAN ATAU PERTUKARAN PENJAWATAN 90
NOMBOR RUJUKAN VERSI MUKASURAT ICU/PKS/001 2.0 Polisi Tanggungjawab Objektif: Untuk mengekalkan kerahsiaan maklumat yang boleh diakses oleh warga ICU JPM atau pihak ketiga. Keperluan untuk perjanjian kerahsiaan untuk melindungi maklumat ICU JPM mesti disemak, didokumenkan dan dikuatkuasakan mengikut keperluan keselamatan maklumat atau kontrak yang berkenaan. Pengarah Bahagian/ Pengurus Projek 6.6 PERJANJIAN KERAHSIAAN ATAU KETAKDEDAHAN Polisi Tanggungjawab Objektif: Untuk memastikan keselamatan maklumat apabila pengguna bekerja dari jauh. Perkara-perkara berikut hendaklah dilaksanakan: a) Tindakan perlindungan hendaklah diambil bagi menghalang kehilangan peralatan, pendedahan maklumat dan capaian tidak sah serta salah guna kemudahan; b) Semua capaian jarak jauh (remote access) tidak dibenarkan melainkan menggunakan sistem pengesahan dan ciri-ciri keselamatan yang dibenarkan oleh ICTSO; c) Capaian ke aplikasi dalaman ICU JPM perlu melalui SSL VPN; dan d) Penggunaan perkhidmatan ini hendaklah mendapatkan kebenaran ICTSO. Pengguna yang diberi hak adalah bertanggung jawab penuh ke atas penggunaan kemudahan ini. Pengguna 6.7 TELEKERJA (REMOTE WORKING) 91
NOMBOR RUJUKAN VERSI MUKASURAT ICU/PKS/001 2.0 Polisi Tanggungjawab Objektif: Untuk menyokong pelaporan tepat pada masanya, konsisten dan berkesan tentang insiden keselamatan maklumat yang boleh dikenal pasti oleh pengguna. Perkara-perkara berikut hendaklah dilaksanakan: a) Prosedur Insiden keselamatan maklumat hendaklah dibangunkan melalui saluran pengurusan pelaporan yang sesuai mengikut kategori insiden tersebut; Bahagian Sumber Manusia, NADI b) Insiden keselamatan ICT seperti berikut hendaklah dilaporkan kepada ICTSO dengan kadar segera termasuk (tetapi tidak terhad): i. Maklumat didapati hilang, didedahkan kepada pihak-pihak yang tidak diberi kuasa atau disyaki hilang atau didedahkan kepada pihak-pihak yang tidak diberi kuasa; ii. Sistem maklumat digunakan tanpa kebenaran atau disyaki sedemikian; iii. Kata laluan atau mekanisme kawalan akses hilang, dicuri atau didedahkan, atau disyaki hilang, dicuri atau didedahkan; iv. Berlaku kejadian sistem yang luar biasa seperti kehilangan fail, sistem kerap kali gagal dan komunikasi tersalah hantar; dan v. Berlaku percubaan menceroboh, penyelewengan dan insideninsiden yang tidak dijangka. Prosedur pelaporan insiden keselamatan ICT berdasarkan: • Pekeliling Am Bilangan 1 Tahun 2001 - Mekanisme Pelaporan Insiden Keselamatan Teknologi Maklumat dan Komunikasi; dan • Surat Pekeliling Am Bilangan 4 Tahun 2006 – Pengurusan Pengendalian Insiden Keselamatan Teknologi Maklumat dan Komunikasi Sektor Awam. Pengguna 6.8 PELAPORAN INSIDEN KESELAMATAN MAKLUMAT 92
7 KAWALAN KESELAMATAN FIZIKAL
NOMBOR RUJUKAN VERSI MUKASURAT ICU/PKS/001 2.0 7.1 PERIMETER KESELAMATAN FIZIKAL Polisi Tanggungjawab Objektif: Untuk mengelakkan capaian fizikal yang tidak dibenarkan, kerosakan dan gangguan terhadap maklumat organisasi dan aset lain yang berkaitan. Pengurusan keselamatan fizikal hendaklah dilaksanakan seperti berikut: a) Sempadan keselamatan fizikal mesti ditakrifkan dengan jelas untuk melindungi kawasan yang mengandungi maklumat sensitif dan fasiliti pemprosesan maklumat; b) Kawasan penghantaran dan pemunggahan hendaklah direkabentuk/diletakkan supaya bekalan boleh dipunggah dan dimuatkan tanpa mendapat akses ke bilik komputer dan komunikasi premis ICU JPM. Bahagian Pentadbiran Perkara-perkara berikut hendaklah dipertimbangkan (tetapi tidak terhad kepada): a) Menggunakan keselamatan perimeter (halangan seperti dinding, pagar kawalan, pengawal keselamatan) untuk melindungi kawasan yang mengandungi maklumat dan kemudahan pemprosesan maklumat; Lokasi dan keteguhan keselamatan fizikal hendaklah bergantung kepada keperluan untuk melindungi aset dan hasil penilaian risiko; ICTSO, Pentadbir Pusat Data 94
NOMBOR RUJUKAN VERSI MUKASURAT ICU/PKS/001 2.0 Polisi Tanggungjawab b) Memasang alat penggera atau kamera; c) Mengehadkan jalan keluar masuk; d) Mengadakan kaunter kawalan; e) Menyediakan tempat atau bilik khas untuk pelawat-pelawat; f) Mewujudkan perkhidmatan kawalan keselamatan; g) Melindungi kawasan terhad melalui kawalan pintu masuk yang bersesuaian bagi memastikan personel yang diberi kebenaran sahaja boleh melalui pintu masuk ini; h) Merekabentuk dan melaksanakan keselamatan fizikal di dalam pejabat, bilik dan kemudahan; i) Merekabentuk dan melaksanakan perlindungan fizikal dari kebakaran, banjir, letupan, kacau-bilau dan bencana; j) Menyediakan garis panduan untuk personel yang bekerja di dalam kawasan terhad; dan k) Memastikan kawasan-kawasan penghantaran dan pemunggahan dan juga tempat-tempat lain dikawal dari pihak yang tidak diberi kebenaran memasukinya. ICTSO, Pentadbir Pusat Data 95
NOMBOR RUJUKAN VERSI MUKASURAT ICU/PKS/001 2.0 Polisi Tanggungjawab Objektif: Untuk memastikan hanya akses fizikal yang dibenarkan kepada maklumat organisasi dan aset lain yang berkaitan. Perkara-perkara berikut hendaklah dilaksanakan: a) Kemasukan ke kawasan selamat ICU JPM mesti dikawal untuk memastikan hanya pengguna dibenarkan. b) Pelawat dan pengguna tidak dibenarkan akses tanpa pengawasan ke kawasan selamat; dan c) Log akses fizikal (contoh: tarikh, masa masuk dan keluar, dan objektif lawatan) untuk pelawat dan pengguna mestilah direkodkan dalam buku log atau setara. Bahagian Pentadbiran Perkara-perkara berikut hendaklah dilaksanakan: a) Setiap warga ICU JPM hendaklah memakai atau mengenakan pas keselamatan sepanjang waktu bertugas; b) Semua pas keselamatan hendaklah diserahkan balik kepada ICU JPM apabila warga ICU JPM berhenti, bertukar keluar atau bersara; Pengguna 7.2 KEMASUKAN FIZIKAL 96
NOMBOR RUJUKAN VERSI MUKASURAT ICU/PKS/001 2.0 Polisi Tanggungjawab c) Pelawat hendaklah mendapatkan Pas Keselamatan Pelawat untuk berurusan di ICU JPM yang menyediakan kawalan keselamatan melalui pas keselamatan. Pas ini hendaklah dikembalikan semula selepas tamat lawatan; dan d) Kehilangan pas keselamatan mestilah dilaporkan dengan segera kepada pihak yang berkenaan; e) Kawasan larangan di ICU JPM ialah Pusat Data (Data Centre). Akses kepada kawasan larangan hanyalah kepada pegawai- pegawai yang dibenarkan sahaja; f) Pihak ketiga adalah dilarang sama sekali untuk memasuki kawasan larangan kecuali diberikan kebenaran bagi kes-kes tertentu seperti memberi perkhidmatan sokongan atau bantuan teknikal dan mereka hendaklah diiringi masuk oleh pegawai-pegawai yang dibenarkan ke dalam kawasan berkenaan; dan g) Buku log hendaklah disediakan bagi merekodkan maklumat pihak ketiga yang memasuki kawasan larangan. Pengguna 97
NOMBOR RUJUKAN VERSI MUKASURAT ICU/PKS/001 2.0 Polisi Tanggungjawab Objektif: Untuk mengelakkan akses fizikal yang tidak dibenarkan, kerosakan dan gangguan kepada maklumat organisasi dan aset lain yang berkaitan di pejabat, bilik dan kemudahan. Perkara-perkara berikut hendaklah dilaksanakan: a) Satu proses untuk bekerja di kawasan selamat mesti dibangunkan dan dilaksanakan; Bahagian Pentadbiran b) Sebarang dokumentasi mengenai kemudahan pemprosesan maklumat sensitif atau direktori telefon dalaman mesti disimpan dengan selamat; dan Pengarah Bahagian c) Semua peralatan elektronik (contoh: pelayan, storan, desktop, komputer riba) dan peralatan komunikasi (contoh: suis, hab, penghala (router), tembok api (firewall), dsb.) mesti disimpan di lokasi yang selamat. NADI d) Memastikan keselamatan pejabat adalah selamat dari dicerobohi. Warga ICU JPM 7.3 KESELAMATAN PEJABAT, BILIK DAN KEMUDAHAN (FASILITI) 98
NOMBOR RUJUKAN VERSI MUKASURAT ICU/PKS/001 2.0 Polisi Tanggungjawab Objektif: Untuk mengesan dan menghalang akses fizikal yang tidak dibenarkan. Akses kepada bangunan yang menempatkan sistem kritikal hendaklah dipantau secara berterusan oleh sistem pengawasan bagi mengesan akses yang tidak dibenarkan atau tingkah laku yang mencurigakan. Contoh sistem pengawasan: pengawal, penggera penceroboh, sistem pemantauan video seperti televisyen litar tertutup (CCTV) dan perisian pengurusan maklumat keselamatan fizikal yang diuruskan secara dalaman atau oleh penyedia perkhidmatan pemantauan. Bahagian Khidmat Pengurusan Seksyen Operasi dan Infrastruktur ICT 7.4 PEMANTAUAN KESELAMATAN FIZIKAL 99