Bidang A.13

A.13.1 PENGURUSAN KESELAMATAN RANGKAIAN

Objektif

Memastikan perlindungan pemprosesan maklumat dalam rangkaian

A.13.1.1 Kawalan Infrastruktur Rangkaian

Sistem dan aplikasi hendaklah dikawal dan diuruskan sebaik mungkin di dalam infrastruktur rangkaian daripada sebarang ancaman. Perkara yang perlu dipatuhi adalah seperti berikut:

a) Bertanggungjawab dalam memastikan kerja-kerja operasi rangkaian dilindungi daripada pengubahsuaian yang tidak dibenarkan;
b) Peralatan rangkaian hendaklah ditempatkan di lokasi yang mempunyai ciri-ciri fizikal yang selamat dan bebas dari risiko seperti banjir, gegaran dan habuk;
c) Capaian kepada peralatan rangkaian hendaklah dikawal dan dihadkan kepada pengguna yang dibenarkan sahaja;
d) Semua peralatan rangkaian hendaklah melalui proses User Acceptance Test (UAT) semasa pemasangan dan konfigurasi;
e) Firewall hendaklah dipasang, dikonfigurasi dan diselia oleh Pentadbir Rangkaian;
f) Semua trafik keluar dan masuk rangkaian hendaklah melalui firewall di bawah kawalan Unit Keselamatan dan Rangkaian, PPUM;
g) Semua perisian sniffer atau network analyser adalah dilarang dipasang pada komputer pengguna kecuali mendapat kebenaran daripada Pegawai Keselamatan Teknologi Maklumat (ICTSO);
h) Memasang perisian Intrusion Prevention System (IPS) bagi mencegah sebarang cubaan pencerobohan dan aktiviti-aktiviti lain yang boleh mengancam data dan maklumat PPUM;
i) Memasang Web Content Filtering pada Internet Gateway untuk menyekat aktiviti yang dilarang. Polisi yang ditetapkan adalah seperti di Jadual Metrik Web Content Filtering (Lampiran C);
j) Sebarang penyambungan rangkaian yang bukan di bawah kawalan Unit Rangkaian dan Keselamatan, PPUM adalah tidak dibenarkan;
k) Semua pengguna hanya dibenarkan menggunakan rangkaian sedia ada di PPUM sahaja dan penggunaan modem persendirian yang bersambung dengan rangkaian PPUM adalah dilarang sama sekali;
l) Kemudahan bagi wireless LAN hendaklah dipantau dan dikawal penggunaannya;
m) Semua perjanjian perkhidmatan rangkaian hendaklah mematuhi Service Level Assurance (SLA) yang telah ditetapkan;
n) Menempatkan atau memasang antara muka (interfaces) yang bersesuaian di antara rangkaian PPUM, rangkaian agensi lain dan rangkaian awam;
o) Mewujudkan dan menguatkuasakan mekanisme untuk pengesahan pengguna dan peralatan yang menepati kesesuaian penggunaannya;
p) Memantau dan menguatkuasakan kawalan capaian pengguna terhadap perkhidmatan rangkaian ICT yang dibenarkan sahaja;
q) Mengawal capaian fizikal dan logikal ke atas kemudahan port diagnostik dan konfigurasi jarak jauh;
r) Capaian ke rangkaian komputer jabatan secara maya hanya dibenarkan kepada staf Jabatan Teknologi Maklumat. Staf selain dari Jabatan Teknologi Maklumat yang perlu menggunakan sistem-sistem dalaman bagi melaksanakan tugas hakiki daripada luar pejabat atau daripada luar rangkaian perlu mendapatkan kelulusan dari Pegawai Keselamatan Teknologi Maklumat (ICTSO). Peralatan yang digunakan untuk capaian secara maya adalah tertakluk sepenuhnya kepada keperluan dan tatacara keselamatan ICT ini.
s) Mengawal sambungan ke rangkaian khususnya bagi kemudahan yang dikongsi dan menjangkau sempadan PPUM; dan
t) Mewujud dan melaksana kawalan pengalihan laluan (routing control) bagi memastikan pematuhan terhadap polisi ICT PPUM.

A.13.1.2 Keselamatan Perkhidmatan Rangkaian

Pengurusan bagi semua perkhidmatan rangkaian (inhouse atau outsource) yang merangkumi mekanisme keselamatan dan tahap perkhidmatan hendaklah dikenalpasti dan dimasukkan di dalam perjanjian perkhidmatan rangkaian.

A.13.1.3 Pemgasingan Rangkaian

Pengasingan rangkaian hendaklah dibuat untuk membezakan kumpulan pengguna dan sistem maklumat mengikut segmen rangkaian PPUM.

A.13.2 PEMINDAHAN MAKLUMAT

Objektif:
Memastikan keselamatan perpindahan / pertukaran maklumat dan perisian antara PPUM dan pihak luar terjamin.

A.13.2.1 Dasar dan Prosedur Pemindahan Maklumat

Perkara yang perlu dipatuhi adalah seperti berikut:

a) Dasar, prosedur dan kawalan pemindahan maklumat yang formal hendaklah diwujudkan untuk melindungi pemindahan maklumat melalui sebarang jenis kemudahan komunikasi;
b) Terma pemindahan maklumat dan perisian di antara PPUM dengan pihak luar hendaklah dimasukkan di dalam Perjanjian;
c) Media yang mengandungi maklumat perlu dilindungi daripada capaian yang tidak dibenarkan, penyalahgunaan atau kerosakan semasa pemindahan maklumat; dan
d) Memastikan maklumat yang terdapat dalam emel elektronik hendaklah dilindungi sebaik-baiknya.

A.13.2.2 Perjanjian Mengenai Pemindahan Maklumat

PPUM perlu mengambil kira keselamatan maklumat organisasi atau menandatangani perjanjian bertulis apabila berlaku pemindahan maklumat organisasi antara PPUM dengan pihak luar. Perkara yang perlu dipertimbangkan adalah:

a) Tanggungjawab pengurusan bagi mengawal penghantaran dan penerimaan maklumat organisasi;
b) Prosedur bagi pengesanan maklumat organisasi semasa pemindahan maklumat.
c) Menggunapakai prinsip dan tatacara escrow, sekiranya perlu.
d) Tanggungjawab dan liabiliti sekiranya berlaku insiden keselamatan maklumat seperti kehilangan data.

A.13.2.3 Pengurusan Mel Elektronik (E-mel)

Garis Panduan Mengenai Tatacara Penggunaan Internet dan Mel Elektronik di Agensi-agensi Kerajaan Bilangan 1 Tahun 2003 dan mana-mana undang-undang bertulis yang berkuat kuasa.
Perkara yang perlu dipatuhi dalam pengendalian mel elektronik adalah seperti berikut:

a) Menggunakan akaun atau alamat mel elektronik (e-mel) PPUM bagi urusan rasmi. Penggunaan akaun milik orang lain atau akaun yang dikongsi bersama adalah dilarang;
b) Setiap akaun emel yang disediakan hendaklah mematuhi format yang telah ditetapkan oleh PPUM;
c) Memastikan subjek dan kandungan e-mel adalah berkaitan dan menyentuh perkara perbincangan yang sama sebelum penghantaran dilakukan;
d) Penghantaran e-mel rasmi hendaklah menggunakan akaun rasmi dan pastikan alamat e-mel penerima adalah betul;
e) Pengguna dinasihatkan menggunakan kaedah pemampatan atau kaedah sharing terhadap kepilan semasa penghantaran untuk mengurangkan saiz;
f) Pengguna dilarang dari membuka e-mel daripada penghantar yang tidak diketahui atau diragui;
g) Setiap e-mel rasmi yang dihantar atau diterima hendaklah disimpan mengikut tatacara pengurusan sistem fail elektronik yang telah ditetapkan;
h) E-mel yang tidak penting dan tidak mempunyai nilai arkib yang telah diambil tindakan dan tidak diperlukan lagi bolehlah dihapuskan;
i) Pengguna hendaklah menentukan tarikh dan masa sistem komputer adalah tepat;
j) Mengambil tindakan dan memberi maklum balas terhadap e-mel dengan cepat dan mengambil tindakan segera;
k) Pengguna hendaklah memastikan alamat e-mel persendirian (seperti yahoo.com, gmail.com, streamyx.com.my dan sebagainya) tidak boleh digunakan untuk tujuan rasmi;
l) Pengguna hendaklah bertanggungjawab ke atas penyelenggaraan mailbox masing-masing;
m) Bagi pengguna yang akan tamat perkhidmatan / pencen, mereka boleh membuat notifikasi awal di akaun PPUM (sekiranya perlu) bagi membolehkan pihak luar menghubungi pengguna melalui alamat emel persendirian selepas tamat perkhidmatan / pencen kelak; dan
n) Migrasi e-mel dari akaun rasmi PPUM ke akaun e-mel persendirian perlu dilakukan sendiri oleh pengguna sebelum tarikh tamat perkhidmatan.

A.13.2.4 Kerahsiaan dan Non-Disclosure Agreement

Syarat-syarat perjanjian kerahsiaan atau non-disclosure perlu mengambil kira keperluan organisasi dan hendaklah disemak dan dokumentasikan dari masa ke semasa. (Lampiran E)

ISMS isms

BIDANG A.13 PENGURUSAN KOMUNIKASI