BIDANG A.16 PENGURUSAN PENGENDALIAN INSIDEN KESELAMATAN
A.16.1 PENGURUSAN DAN PENAMBAHBAIKAN INSIDEN KESELAMATAN MAKLUMAT
Objektif:
Memastikan insiden keselamatan maklumat dikendalikan dengan cepat, teratur dan berkesan bagi meminimumkan kesan insiden dan mengenal pasti kelemahan apabila berlaku insiden.
A.16.1.1 Tanggungjawab dan Prosedur
Tanggungjawab dan prosedur pengurusan hendaklah diwujudkan untuk memastikan maklum balas yang cepat, berkesan dan teratur terhadap insiden keselamatan maklumat.
A.16.1.2 Mekanisme Pelaporan Insiden
Insiden keselamatan ICT atau ancaman yang mungkin berlaku ke atas aset ICT yang melanggar dasar keselamatan sama ada yang ditetapkan secara tersurat atau tersirat. Insiden keselamatan ICT atau ancaman yang berlaku hendaklah dilaporkan kepada ICTSO dan kepada PPUM CERT dengan kadar segera.
Perkara yang perlu dipertimbangkan adalah seperti berikut:
- a) Maklumat didapati hilang, didedahkan kepada pihak-pihak yang tidak diberi kuasa;
- b) Maklumat disyaki hilang dan didedahkan kepada pihak-pihak yang tidak diberi kuasa;
- c) Sistem maklumat digunakan tanpa kebenaran atau disyaki sedemikian;
- d) Kata laluan atau mekanisme kawalan akses hilang, dicuri atau didedahkan;
- e) Berlaku kejadian sistem yang luar biasa seperti kehilangan fail, sistem kerap kali gagal dan komunikasi tersalah hantar;
- f) Berlaku percubaan menceroboh, penyelewengan dan insiden-insiden yang tidak dijangka;
Prosedur pelaporan insiden keselamatan ICT berdasarkan:
- a) Pekeliling Am Bilangan 1 Tahun 2001 - Mekanisme Pelaporan Insiden Keselamatan Teknologi Maklumat dan Komunikasi; dan
- b) Surat Pekeliling Am Bilangan 4 Tahun 2006 – Pengurusan Pengendalian Insiden Keselamatan Teknologi Maklumat dan Komunikasi Sektor Awam.
A.16.1.3 Melaporkan Kelemahan Keselamatan ICT
Staf dan pembekal yang menggunakan sistem dan perkhidmatan maklumat PPUM dikehendaki mengambil maklum dan melaporkan sebarang kelemahan keselamatan maklumat ICT.
A.16.1.4 Penilaian dan Keputusan Mengenai Aktiviti Keselamatan Maklumat
Aktiviti keselamatan maklumat hendaklah dinilai dan diputuskan sama ada untuk diklasifikasikan sebagai insiden keselamatan maklumat.
A.16.1.5 Pengurusan Maklumat Insiden Keselamatan ICT
Insiden keselamatan maklumat hendaklah dikendalikan mengikut prosedur yang telah ditetapkan. Kawalan-kawalan yang perlu diambil kira dalam pengumpulan maklumat dan pengurusan pengendalian insiden adalah seperti berikut:
- a) Mengumpul bukti secepat mungkin selepas insiden keselamatan berlaku;
- b) Menjalankan kajian forensik sekiranya perlu;
- c) Menghubungi pihak yang berkenaan dengan secepat mungkin;
- d) Menyimpan jejak audit, maklumat backup secara berkala dan melindungi integriti semua bahan bukti;
- e) Menyalin bahan bukti dan merekodkan semua maklumat aktiviti penyalinan;
- f) Menyediakan pelan kontigensi dan mengaktifkan pelan kesinambungan perkhidmatan;
- g) Menyediakan tindakan pemulihan segera; dan
- h) Memaklum atau mendapatkan nasihat pihak berkuasa berkaitan sekiranya perlu.
A.16.1.6 Pengalaman Dari Insiden Keselamatan Maklumat
Pengetahuan dan pengalaman yang diperolehi daripada menganalisis dan menyelesaikan kes-kes insiden keselamatan maklumat perlu digunakan untuk mengurangkan kemungkinan dan kesan kejadian pada masa depan.
A.16.1.7 Pengumpulan Bahan Bukti
PPUM hendaklah menentukan prosedur untuk mengenalpasti koleksi, perolehan dan pemeliharaan maklumat yang boleh dijadikan sebagai bahan bukti.