BIDANG A.12 PENGURUSAN OPERASI

A.12.1 PENGURUSAN PROSEDUR OPERASI

Objektif:
Memastikan pengurusan operasi berfungsi dengan betul dan selamat daripada sebarang ancaman dan gangguan ke atas kemudahan pemprosesan maklumat.

A.12.1.1 Pengendalian Prosedur Yang Didokumenkan

  1. Semua prosedur keselamatan ICT yang di wujud, dikenalpasti dan masih digunapakai hendaklah didokumenkan, disimpan dan dikawal;
  2. Setiap prosedur mestilah mengandungi arahan-arahan yang jelas, teratur dan lengkap seperti keperluan kapasiti, pengendalian dan pemprosesan maklumat, pengendalian dan penghantaran ralat, pengendalian output, bantuan teknikal dan pemulihan sekiranya pemprosesan tergendala atau terhenti; dan
  3. Semua prosedur hendaklah dikemas kini dari semasa ke semasa atau mengikut keperluan.

A.12.1.2 Kawalan Perubahan

  1. Perubahan kepada organisasi, proses perawatan, kemudahan pemprosesan maklumat dan system yang menjejaskan keselamatan maklumat harus dikawal.;
  2. Pelaksanaan perubahan atau pelaksanaan teknologi baru perlu dirancang, diuji terlebih dahulu dan perlu membuat penilaian impak termasuk impak kepada keselamatan maklumat. Ia bertujuan untuk meminimakan kesan ralat kepada organisasi; dan
  3. Pelaksanaan perubahan perlu mendapat kebenaran dari pemilik aset. Perubahan perlu disampaikan kepada pengguna yang terlibat.

A.12.1.3 Perancangan Kapasiti

  1. Penggunaan sumber hendaklah dirancang, diuruskan dan unjuran dibuat bagi memastikan keperluan adalah mencukupi dan bersesuain untuk pembangunan dan kegunaan system pada masa akan datang.
  2. Keperluan kapasiti ini juga perlu mengambil kira ciri-ciri keselamatan ICT bagi meminimumkan risiko seperti gangguan pada perkhidmatan dan kerugian akibat pengubahsuaian yang tidak dirancang.

A.12.1.4 Pengasingan Kemudahan Pembangunan, Ujian dan Operasi

  1. Perkakasan yang digunakan bagi tugas membangun, mengemaskini, menyelenggara dan menguji aplikasi perlu diasingkan dari perkakasan yang digunakan sebagai pengeluaran (production);
  2. Aktiviti mewujud, memadam, mengemas kini, mengubah dan mengesahkan data hendaklah diasingkan bagi mengelakkan daripada capaian yang tidak dibenarkan serta melindungi aset ICT daripada kesilapan, kebocoran maklumat terperingkat atau dimanipulasi; dan
  3. Pengasingan juga merangkumi tindakan memisahkan antara kumpulan operasi dan rangkaian.

A.12.2 PERISIAN BERBAHAYA

Objektif:
Untuk memastikan bahawa kemudahan pemprosesan maklumat dan maklumat dilindungi daripada malware.

A.12.2.1 Perlindungan dari Perisian Berbahaya

Perkara-perkara yang perlu dilaksanakan bagi memastikan perlindungan aset ICT dari perisian berbahaya:

  1. Memasang sistem keselamatan untuk mengesan perisian atau program berbahaya seperti anti virus, Intrusion Detection System (IDS) dan Intrusion Prevention System (IPS) serta mengikut prosedur penggunaan yang betul dan selamat;
  2. Memasang dan menggunakan hanya perisian yang tulen, berdaftar dan dilindungi di bawah mana-mana undang-undang bertulis yang berkuatkuasa;
  3. Mengimbas semua perkakasan, perisian atau sistem dengan antivirus sebelum menggunakannya;
  4. Mengemas kini antivirus dengan pattern antivirus yang terkini ;
  5. Menyemak kandungan sistem atau maklumat secara berkala bagi mengesan aktiviti yang tidak diingini seperti kehilangan dan kerosakan maklumat;
  6. Menghadiri program kesedaran mengenai ancaman perisian berbahaya dan cara mengendalikannya;
  7. Memasukkan klausa tanggungan di dalam mana-mana kontrak yang telah ditawarkan kepada pembekal perisian. Klausa ini bertujuan untuk tuntutan baik pulih sekiranya perisian tersebut mengandungi program berbahaya;dan
  8. Mengadakan program dan prosedur jaminan kualiti ke atas semua perisian yang dibangunkan.

A12.3 PENDUAAN

Objektif:
Memastikan segala data diselenggara agar penyimpanan data diuruskan dengan sempurna.

A.12.3.1 Maklumat Backup

Bagi memastikan sistem dapat dibangunkan semula setelah berlakunya bencana, backup seperti yang dibutirkan hendaklah dilakukan setiap kali konfigurasi berubah. Backup hendaklah direkodkan dan disimpan di off site.
  1. Membuat salinan keselamatan ke atas semua sistem perisian dan aplikasi sekurang-kurangnya sekali atau setelah mendapat versi terbaru;
  2. Membuat backup ke atas semua data dan maklumat mengikut keperluan operasi;
  3. Menguji sistem backup sedia ada bagi memastikan ianya dapat berfungsi dengan sempurna, boleh dipercayai dan berkesan apabila digunakan khususnya pada waktu kecemasan;
  4. Backup hendaklah dilaksanakan secara harian, mingguan, bulanan dan tahunan. Kekerapan backup bergantung pada tahap kritikal maklumat, dan hendaklah disimpan sekurang-kurangnya satu tahun: dan
  5. Backup juga disimpan secara off site di luar PPUM.

A.12.4 LOG DAN PEMANTAUAN

Objektif:
Memastikan pengesanan aktiviti pemprosesan maklumat yang tidak dibenarkan.

A.12.4.1 Event logging

Pentadbir Sistem ICT hendaklah melaksanakan perkara-perkara berikut:
  1. Mewujudkan sistem log bagi merekodkan semua aktiviti harian pengguna;
  2. Menyemak sistem log secara berkala bagi mengesan ralat yang menyebabkan gangguan kepada sistem dan mengambil tindakan membaik pulih dengan segera;
  3. Semua perkakasan / utiliti mestilah mengaktifkan audit log. Audit log perlu disimpan untuk tempoh masa yang dipersetujui sebelum dilupuskan;
  4. Aktiviti Pentadbir Sistem ICT mestilah dilogkan dan sekiranya wujud aktiviti-aktiviti lain yang tidak sah seperti kecurian maklumat dan pencerobohan, ianya hendaklah dilaporkan kepada ICTSO dan CIO.

A.12.4.2 Perlindungan Log

Logging facilities dan maklumat log hendaklah dilindungi daripada gangguan dan capaian yang tidak dibenarkan

A.12.4.3 Log Pentadbir dan Operator

  1. Prosedur untuk memantau penggunaan kemudahan memproses maklumat perlu diwujud dan hasilnya perlu dipantau secara berkala;
  2. Aktiviti pentadbir dan pengendali sistem perlu direkodkan. Aktiviti log hendaklah dilindungi dan catatan jejak audit disemak dari semasa kesemasa dan menyediakan laporan jika perlu;
  3. Kesalahan, kesilapan dan/atau penyalahgunaan perlu direkodkan log, dianalisis dan diambil tindakan sewajarnya;
  4. Log Audit yang merekodkan semua aktiviti perlu dihasilkan dan disimpan untuk tempoh masa yang dipersetujui bagi membantu siasatan dan memantau kawalan capaian; dan
  5. Sekiranya wujud aktiviti-aktiviti lain yang tidak sah seperti kecurian maklumat dan pencerobohan, Pentadbir Sistem ICT hendaklah melaporkan kepada Pegawai Keselamatan Teknologi Maklumat (ICTSO) dan CIO.

A.12.4.4 Clock Synchronisation

Waktu bagi semua peralatan pemprosessan maklumat di PPUM atau di domain keselamatan perlu diselaraskan dengan sumber waktu yang ditetapkan (pelayan NTP).

A.12.5 KAWALAN PERISIAN OPERASI

Objektif:
Menghalang capaian tidak sah dan tanpa kebenaran ke atas sistem pengoperasian.

A.12.5.1 Pemasangan Perisian Pada Sistem Operasi

  1. Pengemaskinian perisian operasi, aplikasi dan program libraries hanya boleh dilakukan oleh pentadbir terlatih setelah mendapat kelulusan pengurusan;
  2. Sistem operasi hanya boleh memegang executable code dan tidak kod pembangunan atau penyusun;
  3. Penggunaan aplikasi dan sistem operasi hanya boleh dilaksanakan selepas ujian yang terperinci dan diperakui berjaya;
  4. Setiap konfigurasi ke atas sistem perlu dikawal dan didokumentasikan melalui satu sistem kawalan konfigurasi. Konfigurasi hanya boleh dilaksanakan selepas mendapat persetujuan dari pihak berkaitan;dan
  5. Satu rollback strategi harus diadakan sebelum perubahan dilaksanakan.

A.12.6 KAWALAN TEKNIKAL KETERDEDAHAN

Objektif:
Memastikan kawalan teknikal keterdedahan adalah berkesan, sistematik dan berkala dengan mengambil langkah yang bersesuaian untuk menjamin keberkesanannya.

A.12.6.1 Kawalan dari Ancaman Teknikal

Perubahan pada aturcara komputer atau data sokongannya (patch) yang direka bentuk untuk mengemaskini, membetulkan atau memperbaiki sistem pengoperasian dan sistem aplikasi perlu dikawal. Ini termasuk pembetulan kepada kepincangan atau kelemahan (vulnerability) keselamatan dan pepijat (bug).

Perkara yang perlu dipatuhi adalah seperti berikut:
  1. Memperoleh maklumat keterdedahan teknikal sistem maklumat yang digunakan;
  2. Menilai tahap pendedahan bagi mengenal pasti tahap risiko yang bakal dihadapi; dan
  3. Mengambil langkah-langkah kawalan untuk mengatasi risiko berkaitan.
  4. Pelayan, perkhidmatan atau aplikasi mesti dilengkapkan dengan tahap pengoperasian sistem (operating system), aplikasi atau patch keselamatan (security patch) terkini yang disyorkan oleh pengeluar perisian untuk melindungi maklumat PPUM daripada isu keselamatan semasa;
  5. Pegawai yang dipertanggungjawab dan pihak ketiga yang perlu melakukan aktiviti patch bagi mana-mana sistem pengoperasian pelayan dan aplikasi, mesti menilai tahap risikonya sebelum aktiviti dilakukan.

A.12.6.2 Kawalan Pemasangan Perisian

  1. Hanya perisian yang diperakui sahaja dibenarkan bagi kegunaan pengguna di PPUM; dan
  2. Memasang dan menggunakan hanya perisian yang tulen,berdaftar dan dilindungi di bawah mana-mana undang-undang bertulis yang berkuat kuasa.

A.12.7 PERTIMBANGAN AUDIT SISTEM MAKLUMAT

Objektif:
Memastikan pengesanan aktiviti pemprosesan maklumat yang tidak dibenarkan.

A.12.7.1 Kawalan Audit Sistem Maklumat

Keperluan audit dan sebarang aktiviti pemeriksaan ke atas sistem operasi perlu dirancang dan dipersetujui bagi mengurangkan kebarangkalian berlaku gangguan dalam penyediaan perkhidmatan.