BIDANG A.6 KESELAMATAN ORGANISASI

A.6.1 STRUKTUR ORGANISASI KESELAMATAN PPUM

Objektif :
Menerangkan peranan dan tanggungjawab individu yang terlibat dengan lebih jelas dan teratur.

a) Pengarah PPUM

Peranan dan tanggungjawab Pengarah adalah seperti berikut :
  • Membaca, memahami dan mematuhi Manual Kualiti Keselamatan Siber PPUM;
  • Memastikan semua pengguna memahami peruntukan-peruntukan di bawah Manual Kualiti Keselamatan Siber PPUM;
  • Memastikan semua pengguna mematuhi Manual Kualiti Keselamatan Siber PPUM;
  • Memastikan semua keperluan organisasi seperti sumber kewangan, sumber staf dan perlindungan keselamatan adalah mencukupi; dan
  • Memastikan penilaian risiko dan program keselamatan ICT dilaksanakan seperti yang ditetapkan di dalam Manual Kualiti Keselamatan Siber PPUM.

b) Ketua Pegawai Maklumat PPUM

Jawatan Ketua Pegawai Maklumat PPUM adalah disandang oleh Timbalan Pengarah Pengurusan. Peranan dan tanggungjawab Ketua Pegawai Maklumat PPUM adalah seperti berikut:
  • Membaca, memahami dan mematuhi Manual Kualiti Keselamatan Siber PPUM;
  • Bertanggungjawab ke atas perkara-perkara yang berkaitan dengan keselamatan ICT PPUM;
  • Memastikan kawalan keselamatan maklumat dalam organisasi diseragam dan diselaraskan dengan sebaiknya;
  • Menentukan keperluan keselamatan ICT; dan
  • Memastikan program-program kesedaran mengenai keselamatan ICT terlaksanaa;

c) Ketua Pegawai Keselamatan PPUM

Peranan dan tanggungjawab ICTSO yang dilantik adalah seperti berikut:
  • Membaca, memahami dan mematuhi Manual Kualiti Keselamatan Siber PPUM;
  • Mengurus keseluruhan program keselamatan ICT PPUM;
  • Menguatkuasakan pelaksanaan Manual Kualiti Keselamatan Siber PPUM;
  • Mewujudkan garis panduan, prosedur dan tatacara selaras dengan keperluan Manual Kualiti Keselamatan Siber PPUM;
  • Menjalankan pengurusan risiko dan audit keselamatan ICT untuk mengenalpasti ketidakpatuhan kepada Manual Kualiti Keselamatan Siber PPUM;
  • Menyedia dan menyebarkan amaran-amaran yang sesuai terhadap kemungkinan berlaku ancaman keselamatan ICT dan memberikan khidmat nasihat serta menyediakan langkah-langkah perlindungan yang bersesuaian;
  • Melaporkan insiden keselamatan ICT kepada Agensi Keselamatan Siber Negara (NACSA) (jika perlu) dan seterusnya membantu dalam penyiasatan atau pemulihan;
  • Melaporkan insiden keselamatan ICT kepada Ketua Pegawai Maklumat PPUM bagi insiden yang memerlukan Pelan Kesinambungan Perkhidmatan (PKP);
  • Bekerjasama dengan semua pihak yang berkaitan dalam mengenal pasti punca ancaman atau insiden keselamatan ICT dan memperakukan langkah-langkah baik pulih dengan segera;
  • Memastikan pematuhan Polisi Keselamatan Siber PPUM oleh pihak luar seperti pembekal dan kontraktor yang mencapai dan menggunakan aset ICT PPUM untuk tujuan penyelenggaraan dan sebagainya;
  • Menyemak, mengkaji dan menyediakan laporan berkaitan dengan isu-isu keselamatan; dan
  • Memastikan Pelan Strategik ICT PPUM mengandungi aspek keselamatan.

d) Pentadbir Sistem ICT

Peranan dan tanggungjawab Pentadbir Sistem ICT adalah seperti berikut:
  • Mengambil tindakan yang bersesuaian dengan segera apabila dimaklumkan mengenai staf yang berhenti, bertukar, bercuti, berkursus panjang atau berlaku perubahan dalam bidang tugas;
  • Menentukan ketepatan dan kesempurnaan sesuatu tahap capaian berdasarkan arahan pemilik sumber maklumat sebagaimana yang telah ditetapkan di dalam Manual Kualiti Keselamatan Siber PPUM;
  • Memantau aktiviti capaian harian sistem aplikasi pengguna;
  • Mengenal pasti aktiviti-aktiviti tidak normal seperti pencerobohan dan pengubahsuaian data tanpa kebenaran dan membatalkan atau memberhentikannya dengan serta merta;
  • Menganalisis dan menyimpan rekod jejak audit;
  • Menyediakan laporan mengenai aktiviti capaian secara berkala; dan
  • Bertanggungjawab memantau setiap perkakasan ICT yang diagihkan kepada pengguna seperti komputer peribadi, komputer riba, pencetak, pengimbas dan sebagainya di dalam keadaan yang baik.

e) Jawatankuasa Pemandu ICT PPUM (JPICT)

Keanggotaan Jawatankuasa Pemandu ICT PPUM (JPICT) adalah seperti berikut:
  • Pengerusi : Pengarah PPUM
    Ahli :-
    • Timbalan Pengarah
    • Ketua Pegawai Maklumat PPUM
    • Ketua Jabatan Kewangan
    • Ketua Pegawai Keselamatan ICT PPUM
    • Pegawai Teknologi Maklumat
Bidang kuasa:
  1. Menetapkan arah tuju dan strategi ICT;
  2. Merancang, menyelaras dan memantau pelaksanaan program / projek ICT;
  3. Memperakukan / meluluskan dokumen Manual Kualiti Keselamatan Siber PPUM;
  4. Memantau tahap pematuhan keselamatan ICT;
  5. Memperaku garis panduan, prosedur dan tatacara untuk aplikasi khusus dalam PPUM yang mematuhi keperluan Manual Kualiti Keselamatan Siber PPUM;
  6. Menilai teknologi yang bersesuaian dan mencadangkan penyelesaian terhadap keperluan keselamatan ICT;
  7. Memastikan Manual Kualiti Keselamatan Siber PPUM selaras dengan dasar-dasar ICT kerajaan semasa;
  8. Menerima laporan dan membincangkan hal-hal keselamatan ICT semasa;
  9. Membincang tindakan yang melibatkan pelanggaran Manual Kualiti Keselamatan Siber PPUM; dan
  10. Membuat keputusan mengenai tindakan yang perlu diambil mengenai sebarang insiden.

f)Pasukan Tindak Balas Insiden Keselamatan ICT PPUM

Keanggotaan Pasukan Tindak Balas Insiden Keselamatan ICT adalah seperti berikut:
Pengerusi:
Ketua Seksyen Infrastruktur, Jabatan Teknologi Maklumat, PPUM
Ahli :
  1. Ketua Seksyen Aplikasi, Jabatan Teknologi Maklumat, PPUM;
  2. Pegawai Teknologi Maklumat (Kanan) di Unit Aplikasi, Jabatan Teknologi Maklumat, PPUM;
  3. Pegawai Teknologi Maklumat di Unit Keselamatan, PPUM;
  4. Pegawai Teknologi Maklumat di Unit Pusat Data, Jabatan Teknologi Maklumat, PPUM;
  5. Pegawai Teknologi Maklumat di Unit Operasi, Jabatan Teknologi Maklumat, PPUM; dan
  6. Penolong Pegawai Teknologi Maklumat di Unit Operasi, Jabatan Teknologi Maklumat,PPUM.
Peranan dan tanggungjawab Pasukan Tindak Balas Insiden Keselamatan ICT adalah seperti berikut:
  1. Menerima dan mengesan aduan keselamatan ICT serta menilai tahap dan jenis insiden;
  2. Merekod dan menjalankan siasatan awal insiden yang diterima;
  3. Menangani tindak balas insiden keselamatan ICT dan mengambil tindakan baik pulih minimum;
  4. Menasihati PPUM mengambil tindakan pemulihan dan pengukuhan; dan
  5. Menyebarkan makluman berkaitan pengukuhan keselamatan ICT kepada PPUM.

g) Pengguna

Peranan dan tanggungjawab pengguna adalah seperti berikut:
  1. Membaca, memahami dan mematuhi Manual Kualiti Keselamatan Siber PPUM;
  2. Mengetahui dan memahami implikasi keselamatan ICT kesan dari tindakannya;
  3. Menjalani tapisan keselamatan sekiranya dikehendaki berurusan dengan maklumat rasmi terperingkat;
  4. Mematuhi prinsip-prinsip di dalam Manual Kualiti Keselamatan Siber PPUM dan menjaga kerahsiaan maklumat PPUM;
  5. Melaksanakan langkah-langkah perlindungan seperti berikut :
    • Menghalang pendedahan maklumat kepada pihak yang tidak dibenarkan;
    • Memeriksa maklumat dan menentukan ia tepat dan lengkap dari semasa ke semasa;
    • Menentukan maklumat sedia untuk digunakan;
    • Menjaga kerahsiaan kata laluan;
    • Mematuhi standard, prosedur, langkah dan garis panduan keselamatan yang ditetapkan;
    • Melaksanakan peraturan berkaitan maklumat terperingkat terutama semasa pewujudan, pemprosesan, penyimpanan, penghantaran, penyampaian, pertukaran dan pemusnahan; dan
    • Menjaga kerahsiaan langkah-langkah keselamatan ICT dari diketahui umum.
  6. Melaporkan sebarang aktiviti yang mengancam keselamatan ICT kepada ICTSO dengan segera;
  7. Menghadiri program-program kesedaran mengenai keselamatan ICT; dan
  8. Menandatangani “Surat Akuan Pematuhan” (Lampiran 1) bagi mematuhi Polisi Keselamatan Siber PPUM.

g) Pihak Ketiga

Pihak ketiga terdiri daripada kontraktor, pembekal dan penyedia perkhidmatan luaran yang dilantik. Peranan dan tanggungjawab pihak ketiga adalah bertujuan bagi memastikan penggunaan maklumat dan kemudahan proses maklumat oleh pihak ketiga dikawal.
Perkara yang perlu dipatuhi adalah seperti berikut:
  1. membaca, memahami dan mematuhi Manuali Kualiti Keselamatan Siber PPUM;
  2. perlu menandatangani Non-Disclosure Agreement (NDA);
  3. memahami implikasi keselamatan ke atas sebarang tindakan yang dilakukan;
  4. melaporkan dengan segera sebarang aktiviti atau keadaan yang meragukan yang mungkin memberikan ancaman kepada aset ICT;
  5. memastikan kerahsiaan maklumat PPUM terpelihara;
  6. mengenal pasti risiko keselamatan maklumat dan kemudahan pemprosesan maklumat serta melaksanakan kawalan yang sesuai sebelum memberi kebenaran capaian kepada pihak ketiga;
  7. mengenal pasti keperluan keselamatan ICT sebelum memberi kebenaran capaian atau penggunaan kepada pihak ketiga; dan
  8. akses kepada aset ICT PPUM perlu berlandaskan kepada perjanjian kontrak.

A.6.2 TELEWORKING DAN PERALATAN MUDAH ALIH

Objektif:
Memastikan keselamatan teleworking dan penggunaan peralatan mudah alih.

A.6.2.1 Bring Your Own Device (BYOD)

Penggunaan telefon pintar, iPad, tablet dan notebook milik peribadi oleh staf PPUM untuk mencapai maklumat jabatan dan sistem perawatan pesakit perlu selaras dengan prinsip Confidentiality, Integrity dan Availability (CIA).
Pengguna bertanggung jawab untuk memastikan langkah-langkah keselamatan perlindungan berkaitan penggunaan BYOD dilaksanakan dan diberi perhatian sewajarnya.

Tujuan garis panduan BYOD adalah seperti berikut :
  1. Mengelak risiko kebocoran maklumat rasmi;
  2. Mengelakkan ancaman risiko keselamatan ke atas infrastruktur ICT;
  3. Memastikan produktiviti staf PPUM tidak terjejas dalam menjalankan urusan rasmi jabatan; dan
  4. Meningkatkan integriti data.
Risiko keselamatan melibatkan peralatan mudah alih persendirian boleh dibahagikan kepada dua kategori iaitu :
a) Risiko Alat
Berpunca daripada peralatan mudah alih peribadi berkeupayaan tinggi seperti penyimpanan data samada dalaman atau di cloud, penghantaran maklumat keluar daripada organisasi dan kehilangan peralatan. Organisasi biasanya tidak mempunyai kawalan atau mempunyai kawalan yang sangat terhad terhadap peralatan mudah alih ini berbanding PC desktop atau komputer riba yang dibekalkan.
b) Risiko Aplikasi
Timbul akibat daripada pekerja memasang aplikasi mudah alih pihak ketiga yang berinteraksi dengan data rasmi organisasi yang disimpan di dalam peralatan.

Strategi pengurusan sebagai langkah mengurangkan risiko keselamatan adalah seperti berikut:

Langkah 1 : Kurangkan Risiko dengan Pengurusan Peralatan Mudah Alih (Mobile Device Management)

  1. Pertukaran dan penggantian peralatan mudah alih peribadi adalah hak pengguna PPUM. Walau bagaimanapun data yang disimpan di dalam peralatan mudah alih peribadi adalah merupakan data rasmi organisasi;
  2. Mengakses kepada aplikasi, internet dan wifi PPUM melalui ID SSO;
  3. Peralatan mudah alih yang dibenarkan untuk mencapai maklumat dan aplikasi perlu didaftarkan di dalam Sistem Pengurusan Peralatan Mudah Alih; dan
  4. Mewujudkan dan menguatkuasakan mekanisma untuk pengesahan pengguna dan peralatan.
Langkah 2 : Kurangkan Risiko Muat Turun Aplikasi melalui Polisi dan Latihan
  1. Kebanyakan aplikasi yang dimuat turun daripada sumber yang tidak diketahui berkemungkinan mengandungi malicious code. Aplikasi yang dimuat turun oleh pengguna melalui Internet ke dalam telefon pintar dan tablet boleh mendatangkan ancaman serta mempunyai impak yang besar terhadap keselamatan apabila peranti yang sama digunakan untuk mencapai maklumat dan aplikasi rasmi PPUM.;
  2. Sesetengah aplikasi yang dimuat turun mempunyai keupayaan untuk memuat naik maklumat dan gambar yang disimpan dalam peranti pintar peribadi secara sulit dan tidak diketahui oleh pemiliknya. Pembekal peranti pintar seperti Apple IOS atau Android belum mempunyai kaedah khusus untuk menyekat ancaman ini daripada berlaku.;
  3. Muat turun aplikasi yang dibuat oleh pengguna perlu dibuat melalui sumber yang dipercayai contohnya AppStore.
Langkah 3 : Membangunkan Aplikasi Secara Dalaman
  1. Banyak organisasi telah mula membangunkan aplikasi peralatan mudah alih secara dalaman. Pembangunan aplikasi secara dalaman ini merupakan alternatif yang memudahkan PPUM mematuhi metodologi pembangunan sistem secara selamat.;
  2. Aplikasi yang dibangunkan ini mesti mempunyai kaedah authentication sebelum capaian kepada data organisasi dibenarkan. dan
  3. Aplikasi yang dibangunkan tidak menyimpan data atau rekod pesakit di dalam peralatan mudah alih tersebut.
Langkah 4 : Melaksanakan Audit Keselamatan terhadap Peralatan, Infrastruktur dan Aplikasi Mudah Alih
  1. Melaksanakan audit keselamatan terhadap peralatan, infrastruktur dan aplikasi mudah alih yang dibekalkan; dan
  2. Pelaksanaan audit keselamatan perlu meliputi aspek berikut:
    1. Membuat penilaian terhadap infrastruktur ICT dan aplikasi mudah alih;
    2. Melaksanakan ujian penembusan (penetration test) terhadap aplikasi mudah alih dan pelayan yang terlibat;
    3. Membuat penilaian terhadap keselamatan aplikasi bagi menentukan jika terdapat kemungkinan berlaku kebocoran maklumat; dan
    4. Menilai jurang antara polisi dan prosedur yang dikuatkuasakan dengan amalan terbaik (best practices).

A.6.2.2 Teleworking

Memastikan keselamatan dan sensitiviti aplikasi serta maklumat di dalam perkhidmatan teleworking dan penggunaannya. Perkara yang perlu dipatuhi adalah seperti berikut:

  1. Maklumat yang terlibat dalam teleworking perlu dilindungi daripada aktiviti penipuan, pertikaian kontrak dan pendedahan serta pengubahsuaian yang tidak dibenarkan;
  2. Maklumat yang terlibat dengan transaksi dalam talian perlu dilindungi bagi mengelak penghantaran yang tidak lengkap, salah destinasi, pengubahsuaian, pendedahan, duplikasi atau pengulangan mesej yang tidak dibenarkan;
  3. Integriti maklumat yang disediakan dalam sistem perlu dilindungi untuk mengelakkan daripada pengubahsuaian yang tidak dibenarkan;
  4. Memastikan segala maklumat yang hendak dipaparkan telah disah dan diluluskan sebelum dimuat naik ke laman web;
  5. Memastikan akses dari luar PPUM dikawal menggunakan ID dan kata laluan. Akses secara remote menggunakan VPN dihadkan mengikut keperluan;
  6. Capaian remote dibenarkan kepada staf teknikal Jabatan Teknologi Maklumat untuk melaksanakan tugasan sokongan ICT;
  7. Staf selain daripada Jabatan Teknologi Maklumat yang perlu capaian remote bagi melaksanakan tugas hakiki daripada luar pejabat atau daripada luar rangkaian perlu memohon melalui Ketua Jabatan. Ketua Jabatan tersebut perlu mengemukakan permohonan beserta justifikasi kepada Ketua Jabatan Teknologi Maklumat / Ketua Pegawai Keselamatan (ICTSO).; dan
  8. Peralatan yang digunakan untuk capaian secara maya adalah tertakluk sepenuhnya kepada keperluan dan tatacara keselamatan ICT ini;