BIDANG A.11 KESELAMATAN FIZIKAL DAN PERSEKITARAN

A.11.1 KESELAMATAN KAWASAN

Objektif:
Mencegah akses fizikal yang tidak dibenarkan yang boleh mengakibatkan kecurian, kerosakan atau gangguan kepada maklumat dan kemudahan pemprosesan maklumat PPUM.

A.11.1.1 Kawalan Kawasan

Kawalan kawasan bertujuan untuk menghalang capaian, kerosakan dan gangguan secara fizikal terhadap premis dan maklumat agensi. Perkara-perkara yang perlu dipatuhi termasuk yang berikut:
  1. Menggunakan keselamatan perimeter halangan seperti dinding, pagar, kawalan, pengawal keselamatan untuk melindungi kawasan yang mengandungi maklumat dan kemudahan pemprosesan maklumat;
  2. Melindungi kawasan terhad melalui kawalan pintu masuk yang bersesuaian bagi memastikan staf yang diberi kebenaran sahaja boleh melalui pintu masuk ini;
  3. Mereka bentuk dan melaksanakan keselamatan fizikal di dalam pejabat, bilik dan kemudahan;
  4. Mereka bentuk dan melaksanakan perlindungan fizikal dari kebakaran, banjir, letupan, kacau-bilau manusia dan sebarang bencana;
  5. Melaksana perlindungan fizikal dan menyediakan garis panduan untuk staf yang bekerja di dalam kawasan terhad;
  6. Memastikan kawasan-kawasan penghantaran dan pemunggahan dan juga tempat-tempat lain dikawal dari pihak yang tidak diberi kebenaran memasukinya; dan
  7. Memasang alat penggera atau kamera litar tertutup.

A.11.1.2 Kawalan Kemasukan Fizikal

Kawalan kemasukan fizikal adalah bertujuan untuk mewujudkan kawalan keluar masuk ke premis PPUM. Perkara yang perlu dipatuhi adalah seperti berikut:
  1. Staf PPUM hendaklah mempamerkan Pas Keselamatan sepanjang waktu bertugas. Semua pas keselamatan hendaklah dikembalikan kepada PPUM apabila bertukar, tamat perkhidmatan atau bersara;
  2. Pembekal atau pihak ketiga yang dilantik oleh PPUM bagi menjalankan aktiviti penyelenggaraan / sokongan di premis PPUM perlu mendapatkan pas dari Unit Keselamatan PPUM. Pas hendaklah dikembalikan selepas tamat aktiviti; dan
  3. Kehilangan pas hendaklah dilaporkan segera.

A.11.1.3 Kawalan Pejabat, Bilik dan Tempat Operasi

Perkara yang perlu dipatuhi adalah seperti berikut:
  1. Kawasan tempat berkerja, bilik dan tempat operasi ICT perlu dihadkan daripada akses oleh orang luar; dan
  2. Penunjuk ke lokasi bilik operasi dan tempat larangan tidak harus menonjol dan hanya memberi petunjuk minimum.

A.11.1.4 Perlindungan Terhadap Ancaman Luaran dan Dalaman

PPUM perlu merekabentuk dan melaksanakan perlindungan fizikal dari kebakaran, banjir, letupan, kacau bilau dan bencana.

A.11.1.5 Kawalan Tempat Larangan

Tempat larangan PPUM adalah kawasan yang dihadkan kemasukan untuk staf tertentu sahaja termasuk kawasan perawatan pesakit, kawasan penyimpanan data organisasi dan kawasan utiliti.
Kawasan ini mestilah dilindungi daripada sebarang ancaman, kelemahan dan risiko seperti pencerobohan, kebakaran dan bencana alam. Kawalan keselamatan ke atas premis tersebut adalah seperti berikut:
  1. Sumber data atau server, peralatan komunikasi dan storan perlu ditempatkan di pusat data, bilik server atau bilik khas yang mempunyai ciri-ciri keselamatan yang tinggi termasuk sistem pencegah kebakaran;
  2. Pintu dikunci untuk mengawal kemasukan dan akses adalah terhad kepada staf yang telah diberi kuasa sahaja;
  3. Pemantauan dibuat menggunakan Closed-Circuit Television (CCTV) kamera atau lain-lain peralatan yang sesuai;
  4. Butiran pembekal yang keluar masuk ke kawasan larangan perlu direkodkan; dan
  5. Pembekal yang dibawa masuk mesti diiringi dan diawasi oleh pegawai yang bertanggungjawab.

A.11.1.6 Kawasan Penghantaran dan Pemunggahan

PPUM hendaklah memastikan kawasan-kawasan penghantaran dan pemunggahan dikawal dari pihak yang tidak diberi kebenaran memasukinya.

A.11.2 KESELAMATAN PERALATAN ICT

Objektif:
Melindungi peralatan ICT PPUM dari kehilangan, kerosakan, kecurian dan disalahgunakan.

A.11.2.1 Keselamatan Peralatan/ Peralatan ICT

Langkah-langkah keselamatan yang perlu diambil adalah seperti berikut:
  1. Penggunaan kata laluan untuk akses ke sistem komputer adalah diwajibkan;
  2. Pengguna bertanggungjawab sepenuhnya ke atas komputer masing-masing dan tidak dibenarkan membuat sebarang pertukaran perkakasan dan konfigurasi yang telah ditetapkan;
  3. Pengguna dilarang sama sekali menambah, menanggal atau mengganti sebarang perkakasan ICT yang telah ditetapkan;
  4. Pengguna dilarang membuat instalasi sebarang perisian tambahan tanpa kebenaran;
  5. Pengguna mesti memastikan perisian antivirus di komputer peribadi mereka sentiasa aktif (activated) dan dikemas kini di samping melakukan imbasan ke atas media storan yang digunakan;
  6. Semua peralatan sokongan ICT hendaklah dilindungi daripada sebarang kecurian, dirosakkan, diubahsuai tanpa kebenaran dan salah guna;
  7. Setiap pengguna adalah bertanggungjawab di atas kerosakan atau kehilangan perkakasan ICT di bawah kawalannya;
  8. Peralatan-peralatan kritikal perlu disokong oleh Uninterruptable Power Supply (UPS) dan Generator Set (Gen-Set);
  9. Semua perkakasan hendaklah disimpan atau diletakkan di tempat yang teratur, bersih dan mempunyai ciri-ciri keselamatan. Peralatan rangkaian seperti switches, hub, router dan lain-lain perlu diletakkan di dalam rak khas dan berkunci;
  10. Semua peralatan yang digunakan secara berterusan mestilah diletakkan di kawasan yang berhawa dingin dan mempunyai pengudaraan (air ventilation) yang sesuai;
  11. Peralatan ICT yang hendak dibawa ke luar dari premis PPUM, perlulah mendapat kelulusan Pegawai Aset dan direkodkan bagi tujuan pemantauan;
  12. Peralatan ICT yang hilang semasa di luar waktu pejabat hendaklah dikendalikan mengikut prosedur pelaporan insiden;
  13. Pengendalian Peralatan ICT hendaklah mematuhi dan merujuk kepada peraturan semasa yang berkuatkuasa;
  14. Sebarang bentuk penyelewengan atau salah guna peralatan ICT hendaklah dilaporkan kepada ICTSO;
  15. Pengguna tidak dibenarkan mengubah kedudukan komputer dari tempat asal ianya ditempatkan tanpa kebenaran Pentadbir Sistem ICT. Pengguna perlu memaklumkan kepada JTM sekiranya perubahan lokasi perlu dilakukan ;
  16. Sebarang kerosakan perkakasan ICT hendaklah dilaporkan kepada Sistem Aduan ICT untuk dibaikpulih;
  17. Sebarang pelekat selain bagi tujuan rasmi, hiasan atau contengan yang meninggalkan kesan yang lama pada perkakasan ICT tidak dibenarkan. Ini bagi menjamin peralatan tersebut sentiasa berkeadaan baik;
  18. Konfigurasi alamat IP juga tidak dibenarkan diubah daripada alamat IP yang asal;
  19. Pengguna dilarang sama sekali mengubah password administrator yang telah ditetapkan oleh pihak ICT;dan
  20. Pengguna bertanggungjawab terhadap perkakasan, perisian dan maklumat dibawah jagaannya dan digunakan sepenuhnya bagi urusan rasmi dan Jabatan sahaja.

A.11.2.2 Alat Sokongan

Semua peralatan hendaklah dilindungi daripada kegagalan bekalan kuasa dan gangguan lain yang disebabkan oleh kegagalan utiliti sokongan.

A.11.2.3 Keselamatan Kabel

Kabel termasuk kabel elektrik dan telekomunikasi yang menyalurkan data dan menyokong perkhidmatan penyampaian maklumat hendaklah dilindungi. Langkah-langkah keselamatan yang perlu diambil adalah seperti berikut:
  1. Menggunakan kabel yang mengikut spesifikasi yang telah ditetapkan;
  2. Melindungi kabel daripada pintasan, gangguan atau kerosakan;
  3. Melindungi laluan pemasangan kabel sepenuhnya bagi mengelakkan ancaman kerosakan dan wire tapping; dan
  4. Semua kabel perlu dilabelkan dengan jelas dan mestilah melalui trunking bagi memastikan keselamatan kabel daripada kerosakan dan pintasan maklumat.

A.11.2.4 Penyelenggaraan Peralatan

Perkakasan hendaklah diselenggarakan dengan betul bagi memastikan kebolehsediaan, kerahsiaan dan integriti. Langkah-langkah keselamatan yang perlu diambil termasuklah seperti berikut:
  1. Bertanggungjawab terhadap setiap perkakasan ICT bagi penyelenggaraan perkakasan sama ada dalam tempoh jaminan atau telah habis tempoh jaminan;
  2. Mematuhi spesifikasi yang ditetapkan oleh pengeluar bagi semua perkakasan yang diselenggara;
  3. Memastikan perkakasan hanya diselenggara oleh staf atau pihak yang dibenarkan sahaja;
  4. Menyemak dan menguji semua perkakasan sebelum dan selepas proses penyelenggaraan;
  5. Memaklumkan pihak pengguna sebelum melaksanakan penyelenggaraan mengikut jadual yang ditetapkan atau atas keperluan; dan
  6. Memastikan peralatan yang tidak digunakan selepas waktu bekerja dimatikan (off) bagi mengelakkan kerosakan perkakasan jika berlaku kejadian seperti petir, kilat dan sebagainya.

A.11.2.5 Peralatan Dibawa Keluar Premis

  1. Peralatan, maklumat dan perisian yang hendak dibawa keluar dari premis PPUM untuk tujuan rasmi, perlulah mendapat kelulusan Pengarah PPUM atau pegawai yang diturunkan kuasa dan direkodkan bagi tujuan pemantauan serta tertakluk kepada tujuan yang dibenarkan;
  2. Pihak yang terlibat perlu bertanggungjawab memastikan keselamatan peralatan yang dibawa keluar dari premis terjamin; dan
  3. Aktiviti peminjaman dan pemulangan perkakasan ICT mestilah direkodkan oleh pegawai yang berkenaan.

A.11.2.6 Keselamatan Peralatan di Luar Premis

Peralatan yang dibawa keluar dari premis PPUM adalah terdedah kepada pelbagai risiko. Perkara yang perlu dipatuhi adalah seperti berikut:
  1. Pengguna bertanggungjawab sepenuhnya terhadap keselamatan peralatan yang dibawa keluar dari premis;
  2. Peralatan perlu dilindungi dan dikawal sepanjang masa;
  3. Penyimpanan atau penempatan peralatan mestilah mengambil kira ciri-ciri keselamatan yang bersesuaian; dan
  4. Kerosakan atau kehilangan perlu dilaporkan.

A.11.2.7 Pelupusan Peralatan dan Kitar Semula

Pelupusan melibatkan semua peralatan ICT yang telah rosak, usang dan tidak boleh dibaiki sama ada harta modal atau inventori yang dibekalkan oleh PPUM dan ditempatkan di PPUM. Peralatan ICT yang hendak dilupuskan perlu melalui prosedur pelupusan terkini. Pelupusan perlu dilakukan secara terkawal dan lengkap supaya maklumat tidak terlepas dari kawalan PPUM.

Langkah-langkah seperti berikut hendaklah diambil:
  1. Peralatan ICT yang akan dilupuskan sebelum dipindah-milik hendaklah dipastikan data-data dalam storan telah dihapuskan dengan cara yang selamat;
  2. Pegawai Aset hendaklah mengenal pasti sama ada peralatan tertentu boleh dilupuskan atau sebaliknya;
  3. Peralatan yang hendak dilupus hendaklah disimpan di tempat yang telah dikhaskan yang mempunyai ciri-ciri keselamatan bagi menjamin keselamatan peralatan tersebut;
  4. Pelupusan peralatan ICT hendaklah dilakukan secara berpusat dan mengikut tatacara pelupusan semasa yang berkuat kuasa;
  5. Pengguna ICT adalah DILARANG SAMA SEKALI daripada melakukan perkara-perkara seperti berikut :
    1. Menyimpan mana-mana peralatan ICT yang hendak dilupuskan untuk milik peribadi. Mencabut, menanggal dan menyimpan perkakasan tambahan dalaman CPU seperti RAM, Hardisk, Motherboard dan sebagainya.;
    2. Menyimpan dan memindahkan aksesori luaran komputer seperti AVR, speaker dan mana-mana peralatan yang berkaitan ke mana-mana bahagian di jabatan.;
    3. Memindah keluar dari pejabat bagi mana-mana peralatan ICT yang hendak dilupuskan.;
    4. Melupuskan sendiri peralatan ICT.; dan
    5. Pengguna ICT bertanggungjawab memastikan segala maklumat sulit dan rahsia di dalam komputer disalin pada media storan kedua sebelum menghapuskan maklumat tersebut daripada peralatan komputer yang hendak dilupuskan.
  6. Semua peralatan yang mengandungi sebarang data dokumen terperingkat perlu dimusnahkan sebelum dilupuskan.;
  7. Peralatan yang tidak mengandungi data dokumen terperingkat dan hendak digunakan semula perlu diformat.;
  8. Sekiranya maklumat perlu disimpan, maka pengguna boleh membuat salinan.;
  9. Pelupusan dokumen-dokumen hendaklah mengikut prosedur keselamatan seperti mana Arahan Keselamatan dan tatacara Jabatan Arkib Negara;dan
  10. Pegawai aset bertanggungjawab merekod butir-butir pelupusan dan mengemaskini rekod pelupusan peralatan ICT ke dalam sistem pengurusan aset PPUM.

A.11.2.8 Perkakasan Tanpa Penyeliaan

Pengguna perlu memastikan bahawa peralatan dijaga dan mempunyai perlindungan yang sewajarnya iaitu dengan mematuhi perkara berikut:
  1. Tamatkan sesi aktif apabila selesai tugas;
  2. Log-off komputer meja dan komputer riba apabila sesi bertugas selesai;
  3. Desktop, komputer riba atau terminal selamat daripada pengguna yang tidak dibenarkan.
  4. Sistem menamatkan sesi yang tidak aktif (idle) secara automatik selepas 30 minit; dan
  5. Memastikan peralatan yang tidak digunakan selepas waktu bekerja dimatikan (off) bagi mengelakkan kerosakan perkakasan jika berlaku kejadian seperti petir, kilat dan sebagainya.

A.11.2.9 Polisi Clear Desk dan Clear Screen

Semua maklumat dalam apa jua bentuk media hendaklah disimpan dengan teratur dan selamat bagi mengelakkan kerosakan, kecurian atau kehilangan. Pengguna tidak dibenarkan untuk meninggalkan dan menyimpan bahan-bahan yang sensitif terdedah sama ada atas meja pengguna atau di paparan skrin apabila pengguna tidak berada di tempatnya.

Langkah-langkah perlu diambil termasuklah seperti berikut:
  1. Menggunakan kemudahan screen saver atau logout apabila meninggalkan komputer;
  2. Tidak mempamerkan skrin yang mengandungi maklumat pesakit di luar kawasan perawatan pesakit (bagi peralatan BYOD);
  3. Menyimpan bahan-bahan sensitif di dalam laci atau kabinet fail yang berkunci;
  4. Memastikan semua dokumen diambil segera dari pencetak, pengimbas, mesin faksimile dan mesin fotostat; dan
  5. Menghalang penggunaan tanpa kebenaran mesin fotokopi dan teknologi penghasilan semula seperti mesin pengimbas dan kamera digital.