A.17.1 KESELAMATAN MALUMAT DALAM KESINAMBUNGAN PERKHIDMATAN
Objektif:
Keselamatan maklumat hendaklah diberi penekanan dalam sistem pengurusan kesinambungan organisasi
A.17.1.1 Rancangan Keselamatan Maklumat Dalam Kesinambungan Perkhidmatan
PPUM hendaklah membangunkan pelan kesinambungan perkhidmatan dan mengenal pasti aspek keselamatan maklumat. Ini bertujuan memastikan tiada gangguan kepada proses dalam penyediaan perkhidmatan organisasi dan mengenal pasti keselamatan maklumat pada lokasi kesinambungan perkhidmatan. Pelan ini mestilah diluluskan oleh CIO.
A.17.1.2 Pelaksanaan Keselamatan Maklumat Dalam Kesinambungan Perkhidmatan
Pengurusan Kesinambungan Perkhidmatan adalah mekanisme bagi mengurus dan memastikan kepentingan (stakeholder) system penyampaian perkhidmatan dilindungi dan imej PPUM terpelihara. Ini dilakukan dengan mengenal pasti kesan atau impak yang berpotensi menjejaskan sistem penyampaian perkhidmatan PPUM di samping menyediakan pelan tindakan bagi mewujudkan ketahanan dan keupayaan bertindak yang berkesan.
Pengarah PPUM adalah bertanggungjawab untuk memastikan operasi sistem penyampaian perkhidmatan di bawah kawalannya disediakan secara berterusan tanpa gangguan di samping menyediakan perlindungan keselamatan kepada aset ICT PPUM.
Pelan BCM perlu dibangunkan dan hendaklah mengandungi perkara-perkara berikut:
a) Senarai aktiviti teras yang dianggap kritikal mengikut susunan keutamaan;
b) Senarai pegawai PPUM dan vendor berserta nombor yang boleh dihubungi (faksimili, telefon dan e-mel). Senarai kedua juga hendaklah disediakan sebagai menggantikan pegawai yang tidak dapat hadir untuk menangani insiden;
c) Senarai lengkap maklumat yang memerlukan backup dan lokasi sebenar penyimpanannya serta arahan pemulihan maklumat dan kemudahan yang berkaitan;
d) Alternatif sumber pemprosesan dan lokasi untuk menggantikan sumber yang telah lumpuh; dan
e) Perjanjian dengan pembekal perkhidmatan untuk mendapatkan keutamaan penyambungan semula perkhidmatan.
Salinan pelan BCM perlu disimpan di lokasi berasingan untuk mengelakkan kerosakan akibat bencana di lokasi utama. Pelan BCM hendaklah diuji sekurang-kurangnya sekali setahun atau apabila terdapat perubahan dalam persekitaran atau fungsi bisnes untuk memastikan ia sentiasa kekal berkesan. Penilaian secara berkala hendaklah dilaksanakan untuk memastikan pelan tersebut bersesuaian dan memenuhi tujuan dibangunkan.
Ujian pelan BCM hendaklah dijadualkan untuk memastikan semua ahli dalam pemulihan dan pegawai yang terlibat mengetahui mengenai pelan tersebut, tanggungjawab dan peranan mereka apabila pelan dilaksanakan.
PPUM hendaklah memastikan salinan pelan BCM sentiasa dikemas kini dan dilindungi seperti di lokasi utama PPUM hendaklah mewujud, mendokumentasi, melaksana dan mengekalkan proses, prosedur serta kawalan untuk memastikan tahap keselamatan maklumat bagi kesinambungan perkhidmatan dalam situasi yang terancam. Perkara berikut perlu diberi perhatian:
a) Mengenalpasti aspek keselamatan dalam membangunkan pelan kesinambungan keselamatan;
b) Mengenalpasti semua aset, tanggungjawab, struktur organisasi dan menetapkan prosedur kecemasan atau pemulihan amalan terbaik;
c) Mengenalpasti peristiwa atau ancaman yang boleh mengakibatkan gangguan terhadap proses organisasi;
d) Mengenalpasti kemungkinan dan impak gangguan tersebut serta akibatnya terhadap keselamatan ICT;
e) Menjalankan analisis impak organisasi;
f) Melaksanakan prosedur-prosedur kecemasan bagi membolehkan pemulihan dapat dilakukan secepat mungkin atau dalam jangka masa yang telah ditetapkan;
g) Mendokumentasikan proses dan prosedur yang telah ditetapkan;
h) Mengadakan program latihan secara berkala kepada warga PPUM mengenai prosedur kecemasan;
i) Membuat backup mengikut prosedur yang ditetapkan; dan
j) Menguji, menyelenggara dan mengemaskini pelan keselamatan ICT sekurang-kurangnya setahun sekali.
Pelan Keselamatan Maklumat Perkhidmatan perlu dibangunkan dan hendaklah mengandungi perkara berikut:
a) Senarai keperluan keselamatan maklumat dalam membangunkan kesinambungan perkhidmatan;
b) Senarai aktiviti teras dan aset yang dianggap kritikal mengikut susunan keutamaan;
c) Senarai personel PPUM dan pembekal berserta nombor yang boleh dihubungi (faksimile, telefon dan e-mel). Senarai personel gantian juga hendaklah dikenalpasti bagi menggantikan personel yang tidak dapat hadir untuk menangani insiden;
d) Senarai lengkap maklumat yang perlu disalin pendua (backup) dan lokasi sebenar penyimpanannya;
e) Menetapkan arahan pemulihan maklumat dan kemudahan yang berkaitan;
f) Alternatif sumber pemprosesan dan lokasi untuk menggantikan sumber yang telah terancam;
g) Perjanjian dengan pembekal perkhidmatan untuk mendapatkan penyambungan semula perkhidmatan mengikut keutamaan; dan
h) Menguji tahap keselamatan kesinambungan perkhidmatan
A.17.1.3 Mengkaji, Mengesah dan Menilai Keselamatan Maklumat Dalam Kesinambungan
Perkhidmatan
PPUM hendaklah mengkaji, mengesah dan menilai tahap keselamatan maklumat yang diwujudkan dan disimpan di lokasi kesinambungan perkhidmatan keselamatan.
A.17.2 REDUNDANCY
Objektif:
Untuk memastikan ketersediaan kemudahan pemprosesan Maklumat.
A.17.2.1 Ketersediaan Kemudahan Pemprosesan Maklumat
Kemudahan pemprosesan maklumat PPUM perlu mempunyai redundancy yang mencukupi untuk memenuhi keperluan ketersediaan. Kemudahan redundancy perlu diuji (failover test) keberkesanannya dari masa ke semasa. Kemudahan pemprosesan maklumat PPUM perlu mempunyai redundancy yang mencukupi untuk memenuhi keperluan ketersediaan. Kemudahan redundancy perlu diuji (failover test) keberkesanannya dari masa ke semasa.