BAB 9: DASAR KESELAMATAN ICT - Universiti Malaysia Pahang

Dasar ICT UMP

BAB 9:

DASAR KESELAMATAN ICT

9.1

PENDAHULUAN

i.

Pengenalan

Dasar Keselamatan ICT mengandungi peraturan-peraturan yang perlu dibaca dan dipatuhi dalam menggunakan aset Teknologi Maklumat dan Komunikasi (ICT) Universiti Malaysia Pahang (UMP). Dasar ini juga menerangkan kepada semua pengguna di UMP mengenai tanggungjawab dan peranan mereka dalam melindungi aset ICT UMP. ii.

Objektif

Dasar Keselamatan ICT UMP diwujudkan untuk memastikan tahap Keselamatan ICT UMP terurus dan dilindungi bagi menjamin ketelusan setiap urusan dengan meminimumkan kesan insiden keselamatan ICT. iii.

Skop

Dasar ini meliputi semua sumber atau aset ICT yang digunakan seperti: (a)

Maklumat (contoh: fail, dokumen, data elektronik),

(b)

Perisian (contoh: aplikasi dan sistem perisian) dan

(c)

Fizikal (contoh: komputer, peralatan komunikasi dan media magnet).

Dasar ini diguna pakai oleh semua pengguna di UMP termasuk kakitangan, pelajar, pembekal dan pakar runding yang mengurus,

Bab 9 Dasar Keselamatan ICT

halaman 58

Dasar ICT UMP Versi 1.0 (Jun 2011)

menyelenggara, memproses, mencapai, memuat turun, menyedia, memuat naik, berkongsi, menyimpan dan menggunakan aset ICT UMP. iv.

Prinsip-Prinsip

Prinsip-prinsip yang menjadi asas kepada Dasar Keselamatan ICT UMP dan perlu dipatuhi adalah seperti berikut:

(a)

Akses Atas Dasar Perlu Mengetahui Akses terhadap penggunaan aset ICT hanya diberikan untuk tujuan spesifik dan dihadkan kepada pengguna tertentu atas dasar “perlu mengetahui” sahaja. Ini bermakna akses hanya diberikan

sekiranya

peranan

atau

fungsi

pengguna

memerlukan maklumat tersebut. Pertimbangan untuk akses adalah berdasarkan kategori pengguna.

(b)

Hak Akses Minimum Hak akses pengguna hanya diberi pada tahap yang paling minimum iaitu untuk membaca dan/atau melihat sahaja. Kelulusan adalah perlu untuk membolehkan pengguna mewujud, menyimpan, mengemas kini, mengubah atau membatalkan sesuatu maklumat. Hak akses adalah dikaji dari semasa ke semasa berdasarkan kepada peranan dan tanggungjawab pengguna/bidang tugas.

(c)

Akauntabiliti Semua pengguna adalah bertanggungjawab ke atas semua tindakannya terhadap aset ICT UMP.

(d)

Pengasingan Tugas mewujud, memadam, kemas kini, mengubah dan mengesahkan data perlu diasing bagi mengelakkan daripada


halaman 59


capaian yang tidak dibenarkan serta melindungi aset ICT daripada kesilapan, kebocoran maklumat terperingkat atau di manipulasi. (e)

Pengauditan Pengauditan adalah tindakan untuk mengenal pasti insiden berkaitan keselamatan atau mengenal pasti keadaan yang mengancam keselamatan. Ia membabitkan pemeliharaan semua rekod berkaitan tindakan keselamatan. Dengan itu, aset ICT seperti komputer, server, router, firewall, IPS, Antivirus dan rangkaian hendaklah ditentukan dapat menjana dan menyimpan log tindakan keselamatan atau audit trail.

(f)

Pematuhan Dasar Keselamatan ICT UMP hendaklah dibaca, difahami dan dipatuhi bagi mengelakkan sebarang bentuk pelanggaran ke

atasnya

yang

boleh

membawa

ancaman

kepada

keselamatan ICT. (g)

Pemulihan Pemulihan sistem amat perlu untuk memastikan keboleh sediaan dan keboleh capaian. Objektif utama adalah untuk meminimumkan sebarang gangguan atau kerugian akibat daripada ketidak sediaan. Pemulihan boleh dilakukan melalui aktiviti penduaan (backup) dan pewujudan pelan pemulihan bencana/kesinambungan perkhidmatan.

(h)

Saling Bergantungan Setiap prinsip di atas adalah saling melengkapi dan bergantung antara satu sama lain. Dengan itu, tindakan mempelbagaikan

pendekatan

dalam

menyusun

dan

mencorakan sebanyak mungkin mekanisme keselamatan adalah perlu bagi menjamin keselamatan yang maksimum. Bab 9 Dasar Keselamatan ICT

halaman 60


9.2

Organisasi Keselamatan

9.2.1

Struktur Organisasi

Struktur ini menerangkan peranan dan tanggungjawab indidvidu yang terlibat dengan lebih jelas dan teratur bagi mencapai objektif organisasi.

9.2.1.1 Carta Organisasi Keselamatan ICT

PENAUNG Naib Canselor UMP

JAWATANKUASA PENYELARAS KESELAMATAN ICT Ketua Pegawai Maklumat (CIO) - Pengarah PTMK

Pegawai Keselamatan ICT (ICTSO) -Timbalan Pengarah PTMK

Pengurus ICT - Ketua-ketua Bahagian PTMK / Wakil-wakil Pegawai PTJ

Pentadbir ICT - Kakitangan PTMK yang bertanggungjawab


halaman 61


9.2.1.2 Naib Canselor UMP

Peranan dan tanggungjawab Naib Cancelor adalah seperti berikut: i.

Memastikan

semua

pengguna

mematuhi

Dasar

Keselamatan ICT UMP. ii.

Memastikan

semua

keperluan

organisasi

kewangan,

sumber

kakitangan

dan

(sumber

perlindungan

keselamatan) adalah mencukupi. iii.

Memastikan penilaian risiko dan program keselamatan ICT dilaksanakan seperti yang ditetapkan di dalam Dasar Keselamatan ICT UMP.

9.2.1.3 Jawatankuasa Penyelaras Keselamatan ICT

9.2.1.3.1

Ketua Pegawai Maklumat (CIO)

Peranan dan tanggungjawab CIO adalah seperti berikut: i.

Mewujud dan mengetuai pasukan penyelaras keselamatan ICT UMP.

ii.

Membantu

Naib

Canselor

UMP

dalam

melaksanakan tugas-tugas yang melibatkan keselamatan ICT. iii.

Menentukan keperluan keselamatan ICT.

iv.

Menyelaras pembangunan dan pelaksanaan pelan

latihan

dan

program

kesedaran

mengenai keselamatan ICT. v.

Memastikan

semua

pengguna

memahami

peruntukan di bawah Dasar Keselamatan ICT UMP.


halaman 62


9.2.1.3.2

Pegawai Keselamatan ICT (ICTSO)- Timbalan Pengarah PTMK

Peranan dan tanggungjawab ICTSO adalah seperti berikut: i.

Mengurus program-program keselamatan ICT.

ii.

Menguat kuasa dan memantau pematuhan ke atas Dasar Keselamatan ICT.

iii.

Memberi penerangan dan pendedahan berkenaan Dasar Keselamatan ICT kepada semua pengguna.

iv.

Mewujudkan garis panduan, prosedur dan tatacara selaras dengan keperluan Dasar keselamatan ICT.

v.

Menjalankan pengurusan risiko.

vi.

Menjalankan audit, mengkaji semula, merumus tindak balas pengurusan UMP berdasarkan hasil

penemuan/keperluan

semasa

dan

menyediakan laporan mengenainya. vii.

Memberi

amaran

terhadap

kemungkinan

berlakunya ancaman berbahaya seperti virus dan

memberi

khidmat

nasihat

serta

menyediakan langkah-langkah perlindungan yang bersesuaian. viii.

Melaporkan insiden Keselamatan ICT kepada Pasukan Tindakbalas Insiden Keselamatan ICT(GCERT) MAMPU dan memaklumkannya kepada CIO.

ix.

Mengenal pasti punca ancaman atau insiden Keselamatan ICT dan melaksanakan langkahlangkah baik pulih dengan segera.


halaman 63


x.

Memperaku

proses

pengambilan

tindakan

tatatertib ke atas pengguna yang melanggar Dasar Keselamatan ICT UMP. xi.

Membangun, pelan

menyelaras

latihan

dan

dan

melaksana

program

kesedaran

Keselamatan ICT. 9.2.1.3.3

Pengurus ICT

Peranan dan tanggungjawab Pengurus ICT adalah seperti berikut: i.

Memahami dan mematuhi Dasar Keselamatan ICT UMP.

ii.

Melaksanakan garis panduan, prosedur dan tatacara selaras dengan keperluan Dasar Keselamatan ICT UMP.

iii.

Menyebarkan amaran terhadap kemungkinan berlakunya ancaman berbahaya seperti virus dan

memberi

khidmat

nasihat

serta

melaksanakan langkah-langkah perlindungan yang bersesuaian. iv.

Melaporkan sebarang perkara atau ancaman ke atas Keselamatan ICT kepada ICTSO.

v.

Melaporkan sebarang salah laku pengguna yang melanggar Dasar Keselamatan ICT UMP kepada ICTSO.

vi.

Menentukan kawalan akses semua pengguna terhadap aset ICT UMP.

vii.

Mengenal pasti punca ancaman atau insiden Keselamatan ICT dan melaksanakan langkahlangkah baik pulih dengan segera.


halaman 64


viii.

Menyimpan rekod, bahan bukti dan laporan terkini mengenai ancaman Keselamatan ICT UMP.

ix.

Melaksanakan program-program kesedaran mengenai Keselamatan ICT.

9.2.1.3.4

Pentadbir ICT

Peranan dan tanggungjawab Pentadbir ICT adalah seperti berikut: i.

Mengambil tindakan segera yang bersesuaian apabila dimaklumkan mengenai kakitangan yang berhenti, bertukar, bercuti atau berlaku perubahan dalam bidang tugas.

ii.

Menentukan ketepatan dan kesempurnaan sesuatu tahap capaian berdasarkan arahan pemilik sumber maklumat sebagaimana yang telah ditetapkan di dalam Dasar Keselamatan Komputer UMP.

iii.

Memastikan

kerahsiaan

kata

laluan

dan

memantau aktiviti capaian harian pengguna. iv.

Mengenal pasti aktiviti-aktiviti tidak normal seperti pencerobohan dan pengubahsuaian data tanpa kebenaran dan membatalkan atau memberhentikannya dengan serta merta.

v.

Menyimpan dan menganalisis rekod jejak audit (audit trail).

vi.

Menyediakan

laporan

mengenai

aktiviti

capaian kepada pemilik maklumat berkenaan secara berkala.


halaman 65


9.2.1.3.5

Pengguna ICT UMP

Pengguna adalah termasuk Staf/kakitangan dan Pelajar UMP.

9.2.1.3.6

Staf/Kakitangan

Peranan dan tanggungjawab Staf adalah seperti berikut: i.


ii.

Mengetahui

dan

memahami

implikasi

Keselamatan ICT kesan dari tindakannya. iii.

Melepasi

tapisan

Keselamatan

ICT

(jika

berkaitan). iv.

Mematuhi prinsip-prinsip Dasar Keselamatan ICT dan menjaga kerahsiaan maklumat UMP.

v.

Mengambil

langkah-langkah

perlindungan

seperti berikut: (a) Menghalang pendedahan maklumat kepada pihak yang tidak dibenarkan. (b) Memeriksa maklumat dan menentukan ia tepat dan lengkap dari semasa ke semasa. (c) Menentukan

maklumat

sedia

untuk

digunakan. (d)Menjaga kerahsiaan kata laluan. (e) Mematuhi standard, prosedur, langkah dan garis panduan yang ditetapkan. (f) Memastikan

kemudahan

aplikasi

e-

Community digunakan sepenuhnya pada keseluruhan waktu bekerja supaya E-mel dan memo yang dialamatkan sampai tepat


halaman 66


pada

masanya

dan

tindakan

dapat

disegerakan. (g) Menggunakan kemudahan password screen saver atau log keluar

apabila hendak

meninggalkan komputer. (h) Memaklumkan

kepada

pegawai

ICT

sekiranya berada di luar pejabat dalam tempoh waktu yang panjang, bercuti atau bertukar. (i) Memberi

perhatian

kepada

maklumat

terperingkat terutama semasa pewujudan, pemprosesan, penyimpanan, penghantaran, penyampaian, pertukaran dan pemusnahan. (j) Menjaga

kerahsiaan

langkah-langkah

keselamatan ICT dari diketahui umum. vi.

Melaporkan sebarang aktiviti yang mengancam keselamatan ICT kepada Penyelaras ICT dengan segera.

vii.

Menyertai program-program kesedaran mengenai keselamatan ICT.

9.2.1.3.7

Pelajar

Peranan dan tanggungjawab Pelajar adalah seperti berikut: i.


ii.

Mengetahui

dan

memahami

implikasi

Keselamatan ICT kesan dari tindakannya. iii.

Mematuhi prinsip-prinsip Dasar Keselamatan ICT dan menjaga kerahsiaan maklumat UMP.

iv.

Mengambil

langkah-langkah

perlindungan

seperti berikut: Bab 9 Dasar Keselamatan ICT

halaman 67


(a) Menghalang pendedahan maklumat kepada pihak yang tidak dibenarkan. (b) Memeriksa maklumat dan menentukan ia tepat dan lengkap dari semasa ke semasa. (c) Menentukan

maklumat

sedia

untuk

digunakan; (d)Menjaga kerahsiaan kata laluan. (e) Mematuhi standard, prosedur, langkah dan garis panduan yang ditetapkan. (f) Memastikan Community

kemudahan digunakan

aplikasi

sebaiknya,

etidak

melakukan pencerobohan terhadap sistem yang dibekalkan. (g) Menggunakan kemudahan password screen saver atau log keluar

apabila hendak

meninggalkan komputer. (h) Menjaga kerahsiaan langkah-langkah keselamatan ICT dari diketahui umum. v.

Melaporkan sebarang aktiviti yang mengancam keselamatan ICT kepada Penyelaras ICT dengan segera.

vi.

Menyertai

program-program

kesedaran

mengenai keselamatan ICT yang dianjurkan oleh universiti.


halaman 68


9.2.1.3.8

Pihak Ketiga/Luar

Keselamatan kemudahan

penggunaan proses

maklumat

maklumat

oleh

dan pihak

ketiga/luar hendaklah sentiasa dikawal. Perkaraperkara berikut hendaklah dimasukkan di dalam perjanjian yang dimeterai: i.

Dasar Keselamatan ICT UMP.

ii. Tapisan Keselamatan / Surat Perjanjian. 9.3

Kawalan dan Pengkelasan Aset

9.3.1

Akauntabiliti Aset

Kawalan dan pengkelasan aset bertujuan memberi dan menyokong perlindungan yang optimum ke atas semua aset ICT UMP.

9.3.2

Inventori Aset

Pengurusan aset dan inventori memastikan semua aset ICT UMP diberikan

perlindungan

yang

bersesuaian

oleh

pemilik

atau

pemegang amanah masing-masing. Perkara yang perlu dipatuhi adalah seperti berikut: i.

Memastikan semua aset dikenal pasti dan maklumat aset direkodkan dalam daftar harta modal dan inventori dan sentiasa kemas kini.

ii.

Memastikan software yang digunakan berlesen.

iii.

Memastikan proses verifikasi aset ICT.

iv.

Memastikan semua aset mempunyai pemilik dan dikendalikan oleh pengguna yang dibenarkan sahaja.

v.

Mengenal pasti, mendokumen dan melaksanakan peraturan bagi penggunaan aset.


halaman 69


9.3.3

Pengkelasan Maklumat

Pegawai yang diberi tanggungjawab perlu memastikan setiap maklumat diberi perlindungan yang bersesuaian berdasarkan kepada tahap sensitiviti masing-masing. Maklumat hendaklah dikelaskan berasaskan nilai, keperluan perundangan, tahap sensitiviti dan tahap kritikal UMP. Setiap maklumat hendaklah dikelas dan dilabelkan mengikut sebagaimana yang telah ditetapkan di dalam dokumen Arahan Keselamatan seperti berikut:

9.3.4

i.

Rahsia Besar.

ii.

Rahsia.

iii.

Sulit.

iv.

Terhad.

Pengendalian Maklumat

Pengguna ICT UMP perlu memastikan pengendalian maklumat seperti pewujudan, pengumpulan, penyalinan,

penghantaran,

pemusnahan

hendaklah

pemprosesan, penyimpanan,

penyampaian, mengambil

kira

penukaran

dan

langkah-langkah

keselamatan berikut : i.

Menghalang pendedahan maklumat kepada pihak yang tidak dibenarkan.

ii.

Memeriksa maklumat dan menentukan ia tepat dan lengkap dari semasa ke semasa.

iii.

Menentukan maklumat sedia untuk digunakan.

iv.

Menjaga kerahsiaan kata laluan.

v.

Mematuhi standard, prosedur dan garis panduan keselamatan yang ditetapkan.

vi.

Memberi perhatian kepada maklumat terperingkat terutama semasa pewujudan, pemprosesan, penyimpanan, penyalinan, penghantaran, penyampaian, pertukaran dan pemusnahan.


halaman 70


vii.

Menjaga kerahsiaan langkah-langkah keselamatan ICT daripada diketahui umum.

9.4

Keselamatan Sumber Manusia

Untuk memastikan semua sumber manusia yang terlibat termasuk staf, pelajar,

pembekal,

pakar

runding

dan pihak-pihak

lain

memahami

tanggungjawab dan peranan mereka dalam keselamatan aset ICT perkaraperkar seperti di bawah perlu dilaksanakan: 9.4.1

Sebelum Berkhidmat/Belajar

Semua pengguna ICT UMP perlu memastikan kakitangan, pelajar, kontraktor, pihak ketiga, pakar runding dan pihak-pihak lain yang berkepentingan memahami tanggungjawab masing-masing ke atas keselamatan aset ICT bagi meminimumkan risiko seperti kesilapan, kecuaian, kecurian, penipuan dan penyalahgunaan aset ICT UMP.

9.4.2

Sebelum Berkhidmat – Staf

Perkara yang perlu dipatuhi oleh staf adalah seperti berikut: i.

Menjalani tapisan keselamatan untuk kakitangan UMP selaras dengan keperluan Perkhidmatan Awam.

ii.

Mematuhi

semua

terma

ditawarkan

dan

peraturan

dan

syarat

semasa

perkhidmatan yang

berkuat

berdasarkan perjanjian yang telah ditetapkan. iii.

9.4.3

Peraturan semasa yang berkuat kuasa.

Sebelum Pendaftaran Baru-Pelajar

Perkara yang perlu dipatuhi oleh pelajar adalah seperti berikut: Bab 9 Dasar Keselamatan ICT

halaman 71

yang kuasa


i. Mematuhi semua terma dan syarat seorang pelajar yang ditawarkan di dalam surat tawaran. ii. 9.4.4

Peraturan semasa yang berkuatkuasa.

Sebelum Berkhidmat-Pihak Ketiga/Luar

Perkara yang perlu dipatuhi oleh pihak ketiga/luar adalah seperti berikut: i.

Menjalani tapisan keselamatan dalaman kepada pembekal, pakar runding dan pihak-pihak yang terlibat menyelia projekprojek ICT dalam kawasan UMP.

ii. 9.4.5

Peraturan semasa yang berkuat kuasa.

Dalam Perkhidmatan/Belajar

PTMK, pengguna ICT UMP dan pihak ketiga perlu sedar akan ancaman keselamatan maklumat, peranan dan tanggungjawab masing-masing untuk menyokong Dasar Keselamatan ICT UMP. Perkara-perkara yang perlu dipatuhi adalah seperti berikut: i.

Memastikan semua pengguna ICT UMP mengurus keselamatan berdasarkan perundangan dan peraturan yang ditetapkan oleh UMP

ii.

Memastikan

latihan

kesedaran

yang

berkaitan

dengan

pengurusan Keselamatan ICT diberi kepada semua pengguna UMP dan sekiranya perlu kepada pembekal, pakar runding dan pihak-pihak lain yang berkepentingan dari semasa ke semasa. iii.

Memastikan adanya proses tindakan disiplin ke atas semua pengguna ICT UMP sekiranya berlaku pelanggaran dengan perundangan dan peraturan yang ditetapkan oleh UMP.


halaman 72


9.4.6

Bertukar atau Tamat Perkhidmatan/Belajar

Memastikan semua pengguna UMP yang tamat perkhidmatan / belajar atau bertukar dari UMP diurus dengan teratur. Perkara yang perlu dipatuhi oleh pengguna ICT UMP adalah seperti berikut: i. Memastikan semua aset ICT yang dipinjam dikembalikan kepada UMP mengikut peraturan dan/atau terma yang ditetapkan oleh UMP. ii. Membatalkan atau meminda semua kebenaran capaian ke atas maklumat dan kemudahan proses maklumat mengikut peraturan yang ditetapkan oleh UMP. 9.5

Keselamatan Fizikal dan Persekitaran

Keselamatan fizikal dan persekitaran adalah bagi mencegah akses fizikal yang tidak dibenarkan, yang boleh mengakibatkan kecurian, kerosakan dan gangguan kepada premis dan maklumat. 9.5.1

Perimeter Keselamatan Fizikal

Pengarah PTMK, ICTSO dan Pengurus ICT bertanggungjawab memastikan untuk menghalang, mengesan dan mencegah cubaan untuk menceroboh. Perkara yang perlu dipatuhi adalah seperti berikut: i.

Mengenal pasti kawasan keselamatan fizikal dengan jelas dan lokasi serta keteguhan kawasan hendaklah bergantung kepada keperluan untuk melindungi aset dalam kawasan tersebut dan hasil dari penilaian risiko.

ii.

Memperkukuhkan

tingkap

dan

pintu

serta

dikunci

untuk

mengawal kemasukan. iii.

Memperkukuhkan dinding dan siling;

iv.

Memasang alat penggera atau kamera litar tertutup (CCTV), door access system.


halaman 73


v.

Menghadkan laluan keluar masuk;

vi.

Bekerjasama dengan Bahagian Keselamatan UMP.

vii.

Menyediakan tempat atau bilik khas untuk pelawat-pelawat (contoh: ruang menunggu).

viii.

9.5.2

Mewujudkan perkhidmatan kawalan keselamatan ICT.

Kawalan Masuk Fizikal

Kawalan masuk fizikal bertujuan untuk mewujudkan kawalan keluar masuk ke premis/ bangunan UMP. Perkara yang perlu dipatuhi adalah seperti berikut: i.

Mempamerkan pas pekerja, pelajar dan pelawat sepanjang waktu di kawasan UMP.

ii.

Mendaftar dan mendapat Pas Pelawat di kaunter keselamatan pintu masuk utama UMP dan hendaklah dikembalikan selepas tamat lawatan bagi setiap pelawat/pihak luar.

9.6

Keselamatan Aset ICT

Keselamatan ICT adalah melindungi peralatan dan maklumat daripada kehilangan, kerosakan, kecurian atau salah guna yang mendatangkan gangguan ke atas aktiviti UMP.

9.6.1

Pekakasan

Semua pengguna ICT UMP bertanggungjawab menjaga dan mengawal peralatan ICT dengan baik supaya boleh berfungsi apabila diperlukan. Perkara yang perlu dipatuhi adalah seperti berikut: i.

Memeriksa dan memastikan semua perkakasan ICT di bawah kawalan setiap pengguna berfungsi dengan sempurna.

ii.

Menyimpan atau meletakkan semua perkakasan di tempat yang teratur, bersih dan mempunyai ciri-ciri keselamatan.


halaman 74


iii.

Menjadi tanggungjawab setiap pengguna di atas kerosakan atau kehilangan perkakasan ICT di bawah kawalannya.

iv.

Melaporkan sebarang bentuk penyelewengan atau salah guna perkakasan kepada ICTSO / Pengurus ICT di Jabatan-jabatan dan Fakulti-fakulti dalam UMP.

v.

Pengguna tidak dibenar membuat perubahan perkakasan tanpa kebenaran

bertulis

daripada

Pengarah

PTMK

dan

tidak

menyalahgunakan bagi kepentingan peribadi.

9.6.2

Dokumen Elektronik

Semua Pengguna ICT UMP hendaklah melaksanakan langkahlangkah pengurusan dokumen elektronik yang baik dan selamat bagi memastikan integriti maklumat terpelihara. Perkara yang perlu dipatuhi adalah seperti berikut: i.

Memastikan sistem dokumentasi atau penyimpanan maklumat adalah selamat dan terjamin.

ii.

Melaksanakan langkah keselamatan pada dokumen elektronik bertanda Rahsia Besar, Rahsia, Sulit dan Terhad dengan menggunakan enkripsi dan keselamatan kata laluan pada dokumen. Ini termasuk (tetapi tidak terhad kepada) penghantaran dokumen bertanda melalui elektronik.

iii.

Memastikan dokumen yang mengandungi bahan atau maklumat terperingkat diambil segera dari media output.

9.6.3

Media Storan

Semua Pengguna ICT UMP perlu memberi perhatian khusus terhadap keselamatan media

storan kerana

ianya

berupaya

menyimpan maklumat yang besar. Langkah-langkah pencegahan seperti berikut hendaklah diambil untuk memastikan kerahsiaan, integriti dan keboleh sediaan maklumat yang disimpan dalam media


halaman 75


storan adalah terjamin dan selamat. Perkara yang perlu dipatuhi adalah seperti berikut: i.

Menyediakan ruang penyimpanan yang baik dan mempunyai ciriciri keselamatan bersesuaian dengan kandungan maklumat.

ii.

Menghadkan akses untuk memasuki kawasan penyimpanan media kepada pengguna yang dibenarkan sahaja.

iii.

Merujuk kepada tatacara pelupusan sekiranya penghapusan maklumat hendak dilakukan dan mestilah mendapat kebenaran pemilik maklumat terlebih dahulu.

iv.

Merekodkan pengurusan media termasuk inventori, pergerakan dan penduaan (backup).

9.7

Keselamatan Persekitaran

Keselamatan persekitaran adalah penting bagi melindungi aset ICT UMP dari sebarang bentuk ancaman persekitaran yang disebabkan oleh bencana alam, kesilapan, kecuaian atau kemalangan. 9.7.1

Kawalan Persekitaran Pusat Data dan Bilik Server

Pengurus ICT dan juga ICTSO adalah berperanan bagi memastikan bilik pusat data dan bilik server ini terhindar daripada kerosakan dan gangguan. Semua cadangan berkaitan premis sama ada untuk memperoleh, menyewa, ubah suai, pembelian hendaklah dirujuk terlebih dahulu kepada CIO. Perkara yang perlu dipatuhi bagi keselamatan persekitaran pusat data dan bilik server adalah adalah: i.

Merancang dan menyediakan pelan keseluruhan susun atur pusat data (bilik percetakan, peralatan komputer dan ruang atur pejabat dan sebagainya) dengan teliti.

ii.

Melengkapi semua ruang pejabat khususnya kawasan yang mempunyai kemudahan ICT dengan perlindungan keselamatan


halaman 76


yang

mencukupi

dan

dibenarkan

seperti

alat

pencegah

kebakaran dan pintu kecemasan. iii.

Memasang peralatan perlindungan di tempat yang bersesuaian, mudah dikenali dan dikendalikan.

iv.

Penyimpanan bahan mudah terbakar hendaklah di luar kawasan kemudahan penyimpanan aset ICT.

v.

Meletakkan semua bahan cecair di tempat yang bersesuaian dan berjauhan dari aset ICT.

vi.

Melarang pengguna merokok atau menggunakan peralatan memasak seperti cerek elektrik berhampiran peralatan ICT.

vii.

Memeriksa dan menguji semua peralatan perlindungan sekurangkurangnya satu (1) kali setahun. Aktiviti dan keputusan ujian ini perlu direkodkan bagi memudahkan rujukan dan tindakan sekiranya perlu.

viii. ix.

Mengadakan preventive maintainance. Menggunakan

vakum

yang

memenuhi

piawai

untuk

membersihkan peralatan. 9.7.2

Bekalan Kuasa

Pengurus ICT adalah bertanggungjawab bagi memastikan bekalan kuasa adalah sentiasa dikawal selia bagi memastikan ianya tidak mengganggu operasi premis dan aset ICT. Perkara yang perlu dipatuhi adalah seperti berikut: i.

Menggunakan peralatan sokongan seperti UPS (Uninterruptable Power Supply) dan penjana (generator) bagi perkhidmatan kritikal seperti di bilik server supaya mendapat

bekalan kuasa

berterusan. ii.

Memeriksa dan menguji semua peralatan sokongan bekalan kuasa secara berjadual (1 kali setahun).

iii.

Melindungi semua peralatan ICT dari kegagalan bekalan elektrik dan menyalurkan bekalan yang sesuai.


halaman 77


iv.

Suhu hendaklah terkawal dalam had suhu peralatan rangkaian berkenaan

dengan

memasang

penghawa

dingin

khusus

(precision aircond) sepanjang masa. 9.7.3

Prosedur Kecemasan

CIO, ICTSO dan Pengurus ICT adalah bertanggungjawab bagi memastikan prosedur keselamatan yang diiktiraf digunapakai bagi sebarang insiden kecemasan yang berlaku di premis dan aset ICT. Perkara yang perlu dipatuhi adalah seperti berikut: i.

Memastikan mematuhi

setiap prosedur

pengguna

membaca,

kecemasan

dengan

memahami merujuk

dan

kepada

prosedur kecemasan yang telah ditetapkan oleh Bahagian Keselamatan UMP. ii.

Melaporkan insiden kecemasan kepada Pegawai Keselamatan di Bahagian Keselamatan UMP.

iii.

Mengada, menguji dan mengemas kini pelan kecemasan dari semasa ke semasa.

iv.

Merancang dan mengadakan latihan kebakaran bangunan (fire drill) secara tahunan.

9.7.4

Keselamatan Kabel

Pengurus ICT adalah bertanggungjawab bagi memastikan setiap kabel

termasuk

kabel

elektrik

dan

telekomunikasi

yang

menyalurkan data bagi menyokong perkhidmatan penyampaian maklumat hendaklah sentiasa dilindungi. Perkara yang perlu dipatuhi adalah seperti berikut: i.

Menggunakan

kabel

mengikut

spesifikasi

yang

telah

ditetapkan. ii.

Melindungi kabel di kawasan awam dengan memasang conduit


atau

lain-lain

mekanisma

perlindungan,

halaman 78

untuk


mengelak daripada kerosakan yang disengajakan atau tidak disengajakan. iii.

Melindungi laluan pemasangan kabel sepenuhnya bagi mengelakkan ancaman kerosakan dan wire tapping.

iv.

Melabelkan kabel menggunakan kod dan label standard

v.

Pusat pendawaian/Network Operating Center hendaklah sentiasa berkunci dan hanya boleh dicapai oleh kakitangan yang dibenarkan.

9.7.5

Penyelenggaraan Peralatan ICT

Pengurus

ICT

bertanggungjawab

memastikan

peralatan

diselenggara dengan betul bagi menilai keboleh sediaan, kerahsiaan dan integriti maklumat sentiasa berada dalam keadaan yang baik. Perkara yang perlu dipatuhi adalah seperti berikut: i.

Mematuhi spesifikasi yang ditetapkan oleh pengeluar bagi semua perkakasan yang diselenggara.

ii.

Memastikan perkakasan hanya diselenggara oleh kakitangan atau pihak yang dibenarkan sahaja.

iii.

Memeriksa dan menguji semua perkakasan sebelum dan selepas proses penyelenggaraan.

iv.

Memaklumkan

pihak

pengguna

sebelum

melaksanakan

penyelenggaraan mengikut jadual yang ditetapkan atau atas keperluan.

9.7.6

Pengendalian Peralatan Luar yang Dibawa Masuk

Pengurus ICT bertanggungjawab sepenuhnya bagi memastikan peralatan yang dibawa masuk ke premis UMP adalah sentiasa mengikut prosedur yang ditetapkan. Perkara yang perlu dipatuhi adalah seperti berikut: i.

Memastikan peralatan yang dibawa masuk tidak mengancam keselamatan ICT UMP.


halaman 79


ii.

Mendapatkan

kelulusan

mengikut

peraturan

yang

telah

ditetapkan oleh UMP bagi membawa masuk/ keluar peralatan. iii.

Memeriksa dan memastikan peralatan ICT yang dibawa keluar tidak mengandungi maklumat sulit UMP. Jika ada maklumat itu, ia perlu disalin dan dihapuskan.

9.7.7

Peminjaman Peralatan Untuk Kegunaan Di Luar Pejabat

Pengurus

ICT

bertanggungjawab

terhadap

peralatan

yang

dipinjamkan bagi kegunaan di luar pejabat adalah terdedah kepada pelbagai risiko. Perkara yang perlu dipatuhi adalah seperti berikut: i.

Mendapatkan kelulusan mengikut peraturan Pengurusan Aset ICT atau peraturan UMP bagi membawa keluar peralatan atau maklumat tertakluk kepada tujuan yang dibenarkan.

ii.

Melindungi dan mengawal peralatan sepanjang masa.

iii.

Memastikan aktiviti peminjaman dan pemulangan peralatan ICT direkodkan.

iv.

Menyemak peralatan yang dipulangkan berada dalam keadaan baik dan lengkap.

9.7.8

Pelupusan dan Kitar Semula Peralatan

Pengurus ICT adalah bertanggungjawab terhadap peralatan ICT yang hendak dilupuskan. Ianya perlu melalui prosedur proses pelupusan UMP. Pelupusan perlu dilakukan secara terkawal dan lengkap supaya maklumat tidak terlepas dari kawalan UMP. Perkara yang perlu dipatuhi adalah seperti berikut: i.

Menghapuskan semua kandungan khususnya iaitu maklumat rahsia rasmi terlebih dahulu sama ada melalui shredding, grinding, degauzing atau pembakaran sebelum pelupusan.

ii.

Menjalankan proses pelupusan hardisk mengikut prosedur yang betul.


halaman 80


9.7.9

Clear Desk dan Clear Screen

Semua Pengguna ICT UMP adalah disarankan untuk menggunakan Clear Desk dan Clear Screen supaya tidak meninggalkan bahanbahan yang sensitif terdedah sama ada di atas meja pengguna atau di paparan skrin apabila pengguna tidak berada di tempatnya. Perkara yang perlu dipatuhi adalah seperti berikut: i.

Menggunakan kemudahan password screen saver atau logout apabila meninggalkan komputer.

ii.

Menyimpan bahan-bahan sensitif di dalam laci atau kabinet fail yang berkunci.

iii.

Memastikan semua dokumen diambil segera dari pencetak, pengimbas, mesin faksimili dan mesin fotostat.

9.8

Pengurusan Prosedur Operasi dan Komunikasi

Bagi memastikan perkhidmatan dan pemprosesan maklumat dapat berfungsi dengan betul dan selamat ia perlu diurus mengikut prosedur yang telah ditetapkan. 9.8.1

Pengurusan Prosedur Operasi

Pengurusan prosedur operasi adalah perlu bagi memastikan perkhidmatan dan pemprosesan maklumat dapat berfungsi dengan betul dan selamat. Ia juga dapat mengukur keboleh sediaan setiap perkhidmatan dan juga capaian maklumat. 9.8.1.1 Pengendalian Prosedur

Pengurus ICT adalah bertanggungjawab memastikan kemudahan pemprosesan maklumat beroperasi dengan selamat seperti yang ditetapkan. Perkara yang perlu dipatuhi adalah seperti berikut: Bab 9 Dasar Keselamatan ICT

halaman 81


i.

Mendokumenkan semua prosedur keselamatan ICT yang di wujud, dikenal pasti dan masih diguna pakai, disimpan dan dikawal.

ii.

Memastikan setiap prosedur mengandungi arahan-arahan yang jelas,

teratur

dan

lengkap

seperti

keperluan

kapasiti,

pengendalian dan pemprosesan maklumat, pengendalian dan penghantaran ralat, pengendalian output, bantuan teknikal dan pemulihan sekiranya pemprosesan tergendala atau terhenti. iii.

Mengemaskini semua prosedur dari semasa ke semasa atau mengikut keperluan.

9.8.1.2 Pengurusan Penyampaian Perkhidmatan Pihak Ketiga

Pengurus ICT adalah bertanggungjawab memastikan pelaksanaan dan

penyelenggaraan

tahap

keselamatan

maklumat

dan

penyampaian perkhidmatan yang sesuai selaras dengan perjanjian perkhidmatan dengan pihak ketiga. Perkara yang perlu dipatuhi adalah seperti berikut: i.

Memastikan kawalan keselamatan, definisi perkhidmatan dan tahap

penyampaian

yang

terkandung

dalam

perjanjian

dilaksana dan diselenggara oleh pihak ketiga. ii.

Memantau, menyemak dan mengaudit perkhidmatan, laporan dan rekod yang dikemukakan oleh pihak ketiga dari semasa ke semasa.

iii.

Mengurus perubahan penyediaan perkhidmatan termasuk menyelenggara dan menambah baik Dasar Keselamatan, prosedur dan kawalan maklumat sedia ada dengan mengambil kira tahap kritikal sistem dan proses yang terlibat serta penilaian semula risiko.


halaman 82


9.8.1.3 Perancangan Dan Penerimaan Sistem dan Rangkaian

Pengurus ICT atau Pentadbir ICT adalah bertanggungjawab bagi meminimumkan risiko yang boleh menyebabkan gangguan atau kegagalan sistem. Perkara yang perlu dipatuhi adalah seperti berikut: i.

Merancang,

mengurus

dan

mengawal

kapasiti

sesuatu

komponen atau sistem ICT dengan teliti oleh pegawai yang berkenaan bagi memastikan keperluannya adalah mencukupi dan bersesuaian untuk pembangunan dan kegunaan sistem ICT pada masa akan datang. ii.

Memantau, menetapkan dan merancang penggunaan peralatan bagi

memenuhi

keperluan

kapasiti

akan

datang

untuk

memastikan prestasi sistem di tahap optimum. iii.

Menetapkan kriteria penerimaan untuk sistem maklumat baru, peningkatan dan versi baru dan ujian yang sesuai ke atasnya perlu dibuat semasa pembangunan dan sebelum penerimaan sistem.

iv.

Mengambil kira ciri-ciri keselamatan ICT dalam perancangan keperluan kapasiti bagi meminimumkan risiko seperti gangguan pada perkhidmatan dan kerugian akibat pengubahsuaian yang tidak dirancang.

9.8.1.4 Perlindungan Dari Kod Jahat (Malicious Code)

Pengurus ICT atau Pentadbir ICT adalah bertanggungjawab bagi melindungi integriti perisian dan maklumat daripada pendedahan atau kerosakan yang disebabkan oleh perisian berbahaya seperti virus, worm, trojan dan spyware. Perkara yang perlu dipatuhi adalah seperti berikut: i.

Memasang sistem keselamatan untuk mengesan perisian atau program berbahaya seperti anti virus dan Intrusion Detection


halaman 83


System (IDS) dan mengikut prosedur penggunaan yang betul dan selamat. ii.

Memasang dan menggunakan hanya perisian yang berlesen dan dilindungi di bawah Akta Hakcipta (Pindaan) Tahun 1997.

iii.

Mengimbas semua perisian atau sistem dengan anti virus sebelum menggunakannya.

iv.

Mengemaskini pattern antivirus dari semasa ke semasa;

v.

Menyemak kandungan sistem atau maklumat secara berkala bagi mengesan aktiviti yang tidak diingini seperti kehilangan dan kerosakan maklumat.

vi.

Menghadiri program kesedaran secara berkala mengenai ancaman perisian berbahaya dan cara mengendalikannya.

vii.

Memasukkan klausa tanggungan di dalam mana-mana kontrak yang telah ditawarkan kepada pembekal perisian. Klausa ini bertujuan untuk tuntutan baik pulih sekiranya perisian tersebut mengandungi program berbahaya.

viii.

Mengadakan program dan prosedur jaminan kualiti ke atas semua perisian yang dibangunkan.

ix.

Memberi amaran mengenai ancaman keselamatan ICT dari semasa ke semasa.

9.8.2

Pengurusan Operasi Pengurusan Operasi adalah perlu bagi mengekalkan integriti, keboleh sediaan maklumat dan kemudahan pemprosesan maklumat. Sekiranya berlaku sebarang masalah yang melibatkan operasi rutin, maka maklumat yang diperlukan dapat dicapai dengan mudah.

9.8.2.1 Penduaan (Backup)

Pengurus ICT atau Pentadbir ICT adalah bertanggungjawab memastikan sistem dapat dibangunkan semula setelah berlakunya bencana, salinan penduaan hendaklah direkodkan dan disimpan di


halaman 84


lokasi yang berlainan. Perkara yang perlu dipatuhi adalah seperti berikut: i.

Membuat salinan keselamatan ke atas semua sistem perisian dan aplikasi sekurang-kurangnya sekali atau setelah mendapat versi terbaru.

ii.

Membuat salinan penduaan ke atas semua data dan maklumat mengikut kesesuaian operasi.

iii.

Menguji sistem penduaan sedia ada bagi memastikan ianya dapat berfungsi dengan sempurna, boleh dipercayai dan berkesan

apabila

digunakan

khususnya

pada

waktu

kecemasan. iv.

Membuat dan menguji salinan maklumat dan perisian secara berkala berdasarkan prosedur penduaan.

v.

Memastikan media backup adalah yang terkini dan memenuhi piawaian di pasaran dan boleh dipulihkan menggunakan teknologi terkini.

vi.

Jangka hayat media backup perlu dipastikan apabila media berkenaan hendak digunakan semula (recycle).

vii.

Wujudkan prosedur bertulis yang diluluskan oleh pihak pengurusan mengenai langkah-langkah yang perlu diambil jika berlaku bencana dan kehilangan data.

viii. ix.

Prosedur backup/restore didokumenkan dan diuji. Penempatan salinan penduaan hendaklah disimpan di dalam peti simpanan khas di bangunan yang berbeza dengan sumber asal.

9.8.2.2 Sistem Log

Pengurus ICT atau Pentadbir ICT adalah bertanggungjawab memastikan sistem log dapat diakseskan jika berlaku sebarang pencerobohan terhadap data, salinan sistem log hendaklah direkodkan dan disimpan sebagai bahan rujukan atau bukti. Perkara yang perlu dipatuhi adalah seperti berikut: Bab 9 Dasar Keselamatan ICT

halaman 85


i.

Mewujudkan sistem log bagi merekodkan semua aktiviti harian pengguna.

ii.

Menyemak sistem log secara berkala bagi mengesan ralat yang menyebabkan gangguan kepada sistem dan mengambil tindakan membaik pulih dengan segera.

iii.

Melaporkan kepada ICTSO sekiranya wujud aktiviti-aktiviti tidak sah lain seperti kecurian maklumat dan pencerobohan.

9.8.3

Pengurusan Rangkaian

Pengurusan rangkaian adalah penting bagi memastikan perlindungan keselamatan maklumat dalam rangkaian dan infrastruktur sokongan terurus dan terkawal.

9.8.3.1 Kawalan Infrastruktur Rangkaian

ICTSO, Pengurus ICT dan Pentadbir ICT adalah bertanggungjawab memastikan infrastruktur rangkaian dikawal dan diuruskan sebaik mungkin untuk menghalang ancaman kepada sistem dan aplikasi di dalam rangkaian. Perkara yang perlu dipatuhi adalah seperti berikut: i.

Membangun dan melaksanakan dasar dan prosedur bagi melindungi maklumat berhubung kait dengan sistem rangkaian.

ii.

Mengenalpasti

ciri-ciri

keselamatan,

tahap

perkhidmatan

rangkaian dan memasukkannya ke dalam mana-mana perjanjian sama ada perkhidmatan berkenaan disediakan secara dalaman atau melalui khidmat luar. iii.

Mengasingkan tanggungjawab atau kerja-kerja operasi rangkaian dan komputer untuk mengurangkan capaian dan pengubahsuaian yang tidak dibenarkan.

iv.

Meletakkan peralatan rangkaian di lokasi yang mempunyai ciri-ciri fizikal yang kukuh dan selamat.


halaman 86


v.

Semua peralatan mestilah melalui proses User Acceptance Test (UAT) semasa pemasangan dan konfigurasi.

vi.

Mengawal capaian kepada peralatan rangkaian dan terhad kepada pengguna yang dibenarkan sahaja.

vii.

Memastikan

semua

peralatan

mengikut

klasifikasi

yang

ditetapkan semasa pemasangan dan konfigurasi. viii.

Memastikan semua trafik rangkaian melalui firewall di bawah kawalan UMP.

ix.

Melarang semua perisian sniffer atau network analyser dipasang pada komputer pengguna kecuali mendapat kebenaran.

x.

Memasang perisian Intrusion Detection System (IDS) bagi mengesan sebarang cubaan menceroboh dan aktiviti-aktiviti lain yang boleh mengancam sistem dan maklumat UMP.

xi.

Memasang Web Content Filter pada Proxy untuk menyekat aktiviti yang dilarang seperti yang termaktub di dalam Pekeliling Kemajuan Pentadbiran Awam Bilangan 1 Tahun 2003 bertajuk “Garis Panduan Mengenai Tatacara Penggunaan Internet dan Mel Elektronik di Agensi-Agensi Kerajaan”.

xii.

Mendapat kebenaran ICTSO bagi sebarang penyambungan rangkaian yang bukan di bawah kawalan UMP.

xiii.

Memastikan pemasangan serta penggunaan LAN tanpa wayar (wireless) di UMP mempunyai langkah-langkah keselamatan yang perlu mengikut kehendak semasa.

9.8.4

Pengurusan Media

Pengurusan media adalah penting bagi melindungi media ICT dari kerosakan dan penyalahgunaan. Media adalah bahan yang mudah untuk

di

bawa.

Bagi

menjaga

integriti

terhadap

media,

penggunaannya perlulah sentiasa diurus secara betul.


halaman 87


9.8.4.1 Penghantaran Dan Pemindahan

ICTSO, Pengurus ICT dan Pentadbir ICT adalah bertanggungjawab memastikan penghantaran atau pemindahan media ke luar pejabat hendaklah mendapat kebenaran daripada CIO dan tertakluk kepada prosedur yang sedia ada di UMP. 9.8.4.2 Pengendalian Media

Pentadbir Sistem dan Rangkaian ICT adalah bertanggungjawab memastikan agar setiap prosedur yang bertujuan mengendali dan menyimpan maklumat tidak terdedah tanpa kebenaran atau disalah guna. Perkara yang perlu dipatuhi adalah seperti berikut: i.

Melabelkan semua media mengikut tahap sensitiviti sesuatu maklumat.

ii.

Menghadkan

dan

menentukan

capaian

media

kepada

pengguna yang dibenarkan sahaja. iii.

Menghadkan pengedaran media untuk tujuan yang dibenarkan.

iv.

Merekod dan mengawal aktiviti penyelenggaraan media bagi mengelak dari sebarang kerosakan dan pendedahan yang tidak dibenarkan.

v.

Menyimpan semua media di tempat yang selamat.

vi.

Menghapus atau memusnahkan media yang mengandungi maklumat rahsia rasmi mengikut prosedur keselamatan media yang dikeluarkan oleh kerajaan Malaysia.

9.8.5

Keselamatan Komunikasi Rangkaian Keselamatan dalam komunikasi rangkaian adalah penting bagi memastikan keselamatan pertukaran maklumat dan perisian dalam UMP dan mana-mana agensi luar terjamin.


halaman 88


9.8.5.1 Internet

Semua Pengguna ICT UMP hendaklah mematuhi Tatacara Penggunaan

Internet

merujuk

kepada

Pekeliling

Kemajuan

Pentadbiran Awam Bilangan 1 Tahun 2003 bertajuk “Garis Panduan Mengenai Tatacara Penggunaan Internet dan Mel Elektronik di Agensi- agensi Kerajaan” dan pekeliling–pekeliling yang dikeluarkan oleh kerajaan dari semasa ke semasa. Pengguna ICT UMP juga hendaklah memastikan beberapa perkara seperti berikut dipatuhi: i.

Penggunaan Memo di dalam e-community adalah bagi urusan rasmi yang berkaitan dengan universiti sahaja dan setiap lampiran (attachment) hendaklah dihantar melalui E-mel atau Files Bank.

ii.

Maklumat yang diperoleh daripada pangkalan data (database) hendaklah dirahsiakan dan digunakan untuk urusan rasmi yang berkaitan dengan Universiti

sahaja (hanya terpakai kepada

pegawai ICT yang mempunyai kuasa untuk berbuat demikian). iii.

Pentadbir ICT yang telah diberi kuasa boleh menutup laman web tertentu tanpa notis dengan sebab Criminal Skill, Pornografi, Perjudian dan lain-lain yang memberi kesan negatif seperti Gambling (gm), Dating (mm), Cults (oc), Mature(mt), Nudity(nd), Sex(sx) berdasarkan senarai di dalam web caching engine.

iv.

Pentadbir ICT berhak menggantung sementara penggunaan komputer yang terlibat jika di dapati dalam satu kumpulan pengguna

komputer

terdapat

beberapa

komputer

yang

bermasalah dan boleh menyebabkan gangguan dari segi teknikal kepada individu lain seperti gangguan capaian kepada intranet dan internet, penyebaran virus dan lain-lain dalam kumpulan yang sama.


halaman 89


9.8.5.2 Mel Elektonik

Penggunaan e-mel di UMP hendaklah dipantau secara berterusan oleh Pentadbir ICT yang mentadbir E-mel untuk memenuhi keperluan etika penggunaan e-mel dan Internet yang terkandung dalam Pekeliling Kemajuan Pentadbiran Awam Bilangan 1 Tahun 2003 bertajuk “Garis Panduan Mengenai Tatacara Penggunaan Internet dan Mel Elektronik di Agensi-agensi Kerajaan” dan manamana undang-undang bertulis yang berkuat kuasa.

9.9

Pengurusan Insiden Keselamatan ICT

Pengurusan Insiden Keselamatan ICT adalah penting bagi memastikan tindakan menangani insiden keselamatan ICT diambil dengan cepat, teratur dan berkesan serta meminimumkan kesan insiden keselamatan ICT.

9.9.1

Prosedur Pengurusan Insiden

ICTSO adalah bertanggungjawab memastikan Prosedur Pengurusan Insiden UMP diwujudkan dan perlu didokumenkan. Perkara yang perlu dipatuhi adalah seperti berikut: i.

Mengenal pasti semua jenis insiden keselamatan ICT seperti gangguan perkhidmatan yang disengajakan, pemalsuan identiti dan pengubahsuaian perisian tanpa kebenaran.

ii.

Menyedia

pelan

kontigensi

dan

mengaktifkan

kesinambungan perkhidmatan.


iii.

Menyimpan audit trail dan memelihara bahan bukti.

iv.

Menyediakan pelan tindakan pemulihan segera.

halaman 90

pelan


9.9.2

Pelaporan Insiden

Semua Pengguna ICT UMP bertanggungjawab ke atas Insiden keselamatan ICT dan hendaklah dilaporkan kepada ICTSO atau Jawatankuasa Penyelaras Keselamatan ICT dengan kadar segera. Insiden keselamatan ICT adalah termasuk (tetapi tidak terhad) kepada yang berikut: i.

Maklumat didapati hilang, didedahkan kepada pihak-pihak yang tidak diberi kuasa atau, disyaki hilang atau didedahkan kepada pihak-pihak yang tidak diberi kuasa.

ii.

Sistem maklumat digunakan tanpa kebenaran atau disyaki sedemikian.

iii.

Kata laluan atau mekanisme kawalan akses hilang, dicuri atau didedahkan, atau disyaki hilang, dicuri atau didedahkan.

iv.

Kejadian sistem yang luar biasa seperti kehilangan fail, sistem kerap kali gagal dan komunikasi tersalah hantar.

v.

Berlaku percubaan menceroboh, penyelewengan dan insideninsiden yang tidak diingini.

Nota: Pekeliling Am Bilangan 1 Tahun 2001 bertajuk “Mekanisme Pelaporan Insiden Keselamatan ICT” mengenainya boleh dirujuk.

9.10

Kawalan Capaian

Memahami dan mematuhi keperluan keselamatan dalam membuat capaian dan menggunakan aset ICT UMP. 9.10.1 Keperluan Dasar

Pengurus ICT adalah bertanggungjawab kepada setiap capaian kepada aset ICT. Ia hendaklah dikawal mengikut keperluan keselamatan dan fungsi kerja pengguna yang berbeza. Ia perlu Bab 9 Dasar Keselamatan ICT

halaman 91


direkodkan, dikemas kini dan dipantau dan menyokong dasar kawalan capaian pengguna sedia ada. 9.10.2 Pengurusan Capaian Pengguna

Pengurus atau Pentadbir ICT adalah berperanan bagi memastikan setiap pengguna adalah bertanggungjawab ke atas sistem ICT yang digunakan. Perkara yang perlu dipatuhi adalah seperti berikut: i.

Mewujudkan prosedur pendaftaran dan pembatalan kebenaran kepada pengguna untuk membuat capaian maklumat dan perkhidmatan;

ii.

Akaun pengguna adalah unik dan pengguna bertanggungjawab ke atas akaun tersebut selepas pengesahan penerimaan dibuat;

iii.

Akaun pengguna yang diwujudkan dan tahap capaian termasuk sebarang perubahan mestilah mendapat kebenaran pegawai yang bertanggungjawab secara bertulis dan direkodkan;

iv.

Pemilikan akaun dan capaian pengguna adalah tertakluk kepada peraturan Jabatan dan tindakan pengemaskinian dan/atau pembatalan hendaklah diambil atas sebab berikut: (a) Pengguna tidak hadir bertugas tanpa kebenaran melebihi satu tempoh yang ditentukan oleh Ketua Jabatan; (b) Pengguna

bertukar

status

atau

taraf

jawatan,

tanggungjawab dan/atau dikenakan tindakan tatatertib oleh Pihak Berkuasa Tatatertib;dan (c) Pengguna bertukar, berpindah agensi, bersara dan/atau tamat perkhidmatan. v.

Akaun pengguna bukan hak milik mutlak, ia diberi sepanjang tempoh perkhidmatan dan belajar sahaja;

vi.

Merekod dan menyelenggara aktiviti capaian oleh pengguna dengan sistematik dan dikaji dari semasa ke semasa. Maklumat yang

direkod

termasuk

identiti

pengguna,

sumber

yang

digunakan, perubahan maklumat, tarikh, masa, rangkaian dilalui, aplikasi diguna dan aktiviti capaian secara sah atau sebaliknya. Bab 9 Dasar Keselamatan ICT

halaman 92


9.10.3 Tanggungjawab Pengguna

Setiap Pengguna ICT UMP adalah bertanggungjawab memastikan langkah

berkesan

bagi

kawalan

capaian

digunakan

untuk

menghalang penyalahgunaan, kecurian maklumat dan kemudahan proses maklumat. Perkara yang perlu dipatuhi adalah seperti berikut: i.

Mematuhi amalan terbaik pemilihan dan penggunaan kata laluan.

ii.

Memastikan kemudahan dan peralatan yang tidak digunakan mendapat perlindungan sewajarnya.

iii.

Mematuhi amalan clear desk/ clear screen policy.

9.10.4 Kawalan Capaian Rangkaian

Pengurus atau Pentadbir ICT adalah bertanggungjawab untuk menghalang capaian tidak sah dan tanpa kebenaran ke atas perkhidmatan rangkaian. Kawalan capaian perkhidmatan rangkaian hendaklah dijamin selamat serta mewujud dan menguat kuasa mekanisme untuk pengesahan pengguna dan peralatan yang menepati kesesuaian penggunaannya. Perkara yang perlu dipatuhi adalah seperti berikut: i.

Memastikan

pengguna

boleh

membuat

capaian

ke

atas

perkhidmatan yang dibenarkan sahaja. ii.

Mewujudkan

mekanisme

pengesahan

yang

sesuai

untuk

mengawal capaian oleh pengguna jarak jauh. iii.

Mengguna kaedah pengenalan automatik berdasarkan lokasi dan peralatan untuk pengesahan sambungan ke dalam rangkaian.

iv.

Mengawal capaian fizikal dan logikal keatas kemudahan port diagnostic dan konfigurasi jarak jauh.

v.

Mengasingkan

capaian

mengikut

kumpulan

perkhidmatan

maklumat, pengguna dan sistem maklumat dalam rangkaian. vi.

Mengawal sambungan ke rangkaian, khususnya bagi kemudahan yang dikongsi dan menjangkau sempadan UMP.


halaman 93


vii.

Mewujud dan melaksana kawalan pengalihan laluan (routing control) untuk memastikan pematuhan ke atas peraturan UMP.

9.10.5 Kawalan Capaian Sistem Operasi

Pengurus atau Pentadbir ICT adalah bertanggungjawab bagi memastikan capaian ke atas sistem operasi dikawal dan dihadkan kepada pengguna yang dibenarkan sahaja. Kaedah yang digunakan hendaklah mampu menyokong perkara berikut: i.

Mengesahkan pengguna yang dibenarkan selaras dengan peraturan UMP.

ii.

Mewujudkan audit trail ke atas semua capaian sistem operasi terutama pengguna bertaraf khas (super user).

iii.

Menjana amaran (alert) sekiranya berlaku perlanggaran ke atas peraturan keselamatan sistem;

iv.

Menyedia

kaedah

sesuai

untuk

pengesahan

capaian

(authentication). v.

Menghadkan tempoh penggunaan mengikut kesesuaian. Perkara yang perlu dipatuhi adalah seperti berikut: (a) Mengawal capaian ke atas sistem operasi menggunakan prosedur log-on yang selamat; (b) Prosedur log-on yang selamat perlulah: 1. Menggunakan kaedah pengenalan pengguna yang unik dan teknik pengesahan pengguna yang berkesan dan selamat. 2. Melaksana sistem pengurusan kata laluan yang interaktif dan menjamin kualiti serta keselamatan kata laluan. 3. Mengawal penggunaan utiliti yang berkeupayaan melepasi sistem dan aplikasi terhad. 4. Menamatkan sesi yang tidak aktif selepas tempoh masa yang ditetapkan.


halaman 94


5. Menghadkan

tempoh

masa

penggunaan

bagi

meningkatkan keselamatan aplikasi yang berisiko tinggi.

9.10.6 Kawalan Capaian Aplikasi dan Maklumat

Pengurus atau Pentadbir ICT adalah bertanggungjawab bagi memastikan capaian sistem dan aplikasi di UMP adalah terhad kepada pengguna dan tujuan yang dibenarkan sahaja. Akauan Sistem E-Community adalah diberikan kepada semua Staf dan Pelajar, manakala Sistem IMS adalah terhad kepada Staf tertentu sahaja. Bagi memastikan kawalan capaian sistem dan aplikasi adalah kukuh, langkah-langkah berikut hendaklah dipatuhi: i.

Membenarkan

pengguna

membuat

capaian

aplikasi

dan

maklumat yang dibenarkan mengikut tahap capaian dan sensitiviti maklumat yang telah ditentukan. ii.

Menyediakan mekanisme perlindungan bagi menghalang capaian tidak sah ke atas aplikasi dan maklumat daripada utiliti sedia ada dalam sistem operasi dan perisian malicious yang berupaya melangkaui kawalan sistem.

iii.

Memastikan capaian ke atas maklumat dan fungsi sistem aplikasi oleh pengguna dihadkan, selaras dengan peraturan UMP.

iv.

Mengasingkan persekitaran pengkomputeran yang khusus bagi sistem yang sensitif.

9.10.7 Penggunaan Peralatan ICT Mudah Alih

Setiap Pengguna ICT UMP adalah bertanggungjawab memastikan keselamatan maklumat apabila menggunakan kemudahan atau peralatan ICT mudah alih. Perkara yang perlu dipatuhi adalah seperti berikut:


halaman 95


i.

Mewujudkan peraturan dan garis panduan keselamatan yang bersesuaian untuk melindungi dari risiko penggunaan peralatan mudah alih dan kemudahan komunikasi.

ii.

Mewujudkan peraturan dan garis panduan untuk memastikan persekitaran kerja jarak jauh adalah sesuai dan selamat.

9.11

Pembangunan dan Penyelenggaraan Sistem dan Aplikasi

Setiap sistem yang dibangunkan hendaklah mempunyai ciri-ciri keselamatan ICT yang membolehkan sistem berfungsi dengan sebaiknya agar tidak berlaku sebarang kebocoran maklumat yang disebabkan oleh kelemahan sistem. 9.11.1 Keperluan Keselamatan Pengurus dan Pentadbir ICT adalah bertanggungjawab memastikan kawalan keselamatan yang sesuai dijalinkan ke dalam aplikasi bagi menghalang kesilapan, kehilangan, pindaan yang tidak sah dan penyalahgunaan maklumat dalam aplikasi. Perkara yang perlu dipatuhi adalah seperti berikut: i.

Memasang dan menggunakan hanya perisian yang berlesen dan dilindungi di bawah Akta Hakcipta (Pindaan) Tahun 1997.

ii.

Menyemak dan mengesahkan data sebelum dimasukkan ke dalam aplikasi bagi menjamin ketepatan maklumat.

iii.

Menggabungkan semakan pengesahan di dalam aplikasi untuk mengenal pasti sebarang pencemaran maklumat sama ada kerana kesilapan atau disengajakan.

iv.

Mengenal pasti dan melaksana kawalan yang sesuai bagi pengesahan dan perlindungan integriti mesej dalam aplikasi.

v.

Menjalankan proses semak ke atas hasil data daripada setiap proses aplikasi untuk menjamin ketepatan dan kesesuaian.


halaman 96


9.11.2 Kawalan Kriptografi

Pengurus atau Pentadbir ICT adalah berperanan bagi memastikan kaedah kriptografi diguna untuk melindungi kerahsiaan, kesahihan dan integriti maklumat. Perkara yang perlu dipatuhi adalah seperti berikut: i.

Membangun

dan

melaksana

peraturan

untuk

melindungi

maklumat menggunakan kaedah kriptografi yang sesuai. ii.

Memastikan

kaedah

yang

selamat

dan

berkesan

untuk

pengurusan kunci yang menyokong teknik kriptografi diguna pakai di UMP.

9.11.3 Kawalan Perisian Operasi

Pengurus atau Pentadbir ICT adalah bertanggungjawab memastikan kaedah yang sesuai dilaksanakan untuk mengawal capaian ke atas fail sistem dan kod sumber program bagi menjamin keselamatan sistem fail. Perkara yang perlu dipatuhi adalah seperti berikut: i.

Mewujudkan peraturan untuk mengawal pemasangan perisian ke dalam persekitaran operasi.

ii.

Mewujudkan peraturan untuk pemilihan, perlindungan dan kawalan data ujian.

iii.

Mengawal dan menghadkan capaian ke atas kod sumber kepada pengguna yang dibenarkan sahaja.

iv.

Mengemaskini patches dan mengatasi kelemahan sistem yang berlaku

daripada

maklumat

yang

diperolehi

dari

agensi

keselamatan berdaftar. v.

Menaik taraf sistem pengoperasian kepada versi terkini sesuai dengan spesifikasi peralatan ICT sedia ada.


halaman 97


9.11.4 Keselamatan Dalam Proses Pembangunan dan Sokongan

Pengurus atau Pentadbir ICT adalah bertanggungjawab ke atas keselamatan perisian sistem aplikasi dan maklumat dikawal supaya selamat dalam semua keadaan. Perkara yang perlu dipatuhi adalah seperti berikut: i.

Mengawal pelaksanaan perubahan melalui peraturan formal.

ii.

Membuat semakan teknikal selepas perubahan sistem operasi bagi menjamin tiada impak negatif ke atas keselamatan operasi UMP.

iii.

Mengawal dan menghad perubahan ke atas perisian yang perlu sahaja.

iv.

Menghalang semua ruang untuk kebocoran maklumat.

v.

Mengawal selia dan memantau pembangunan perisian oleh pihak luar dari semasa ke semasa.

9.11.5 Keselamatan Perisian Sistem Aplikasi

Pengurus atau Pentadbir ICT adalah bertanggungjawab memastikan Kawalan keselamatan dilaksana bagi mengelak berlakunya capaian oleh pengguna yang tidak sah, pengubahsuaian, atau

penghapusan

maklumat.

PTMK

pendedahan

bertanggungjawab

menyediakan kawalan dan kemudahan seperti berikut: i.

Sistem

keselamatan

berpusat

dengan

kawalan

capaian

penggunaan satu ID dan kata laluan untuk semua aplikasi. ii.

Profil capaian yang menghadkan tahap capaian maklumat serta fungsi berdasarkan peranan pengguna.

iii.

Kawalan peringkat sistem

log

yang

sistem

aplikasi

dengan mengadakan

menentukan akauntabiliti kepada semua

pengguna. iv.

Penetapan

pemilik

maklumat

adalah

berdasarkan kepada

Jawatankuasa Pengurusan Maklumat (JPM).


halaman 98


9.11.6 Keselamatan Pangkalan Data

Pengurus atau Pentadbir ICT adalah bertanggungjawab ke atas Integriti maklumat yang disimpan dalam pangkalan data kekal dan terjamin. Perkara yang perlu dipatuhi adalah seperti berikut: i.

Sistem Pengurusan Pangkalan Data memastikan integriti dalam pengemaskinian dan capaian maklumat.

ii.

Kawalan capaian kepada maklumat ditentukan oleh Pentadbir ICT.

9.11.7 Perubahan Versi

Pengurus atau Pentadbir ICT adalah bertanggungjawab mengawal versi sistem aplikasi apabila perubahan atau peningkatan dibuat dan prosedur kawalan perubahan versi perlu sentiasa dipatuhi.

9.11.8 Penyimpanan Kod Sumber (Source Code)

Pengurus atau Pentadbir ICT adalah bertanggungjawab mengurus dan melaksanakan kawalan penyimpanan kod sumber bagi sistem aplikasi yang dibangunkan secara dalaman atau luaran untuk tujuan penyelenggaraan dan peningkatan yang merangkumi: i.

Mewujudkan prosedur penyelenggaraan versi terkini.

ii.

Mendokumenkan

prosedur

back

up

kod

sumber bagi

penyelenggaraan versi terkini. iii.

Menyimpan back up kod sumber

di dua (2)

lokasi

yang

berasingan. 9.11.9 Pengujian Aplikasi

Pengurus atau Pentadbir ICT adalah bertanggungjawab menguji atucara, modul, sistem aplikasi dan integrasi bagi memastikan sistem


halaman 99


berfungsi mengikut spesifikasi yang ditetapkan. Langkah berikut diambil semasa pengujian aplikasi dijalankan: i.

Menggunakan data ujian (dummy) atau data lapuk (historical).

ii.

Mengawal penggunaan data terpilih (classified).

iii.

Menghadkan capaian kepada kakitangan yang terlibat sahaja.

iv.

Mengadakan kaedah pemberitahuan (flag system) sekiranya capaian dan pengemaskinian maklumat dilakukan.

v.

Menghapuskan maklumat yang digunakan selepas selesai pengujian (terutamanya apabila menggunakan data lapuk).

vi.

Menggunakan persekitaran yang berasingan untuk pembangunan dan pengoperasian sistem aplikasi.


halaman 100