BIDANG A.12 PENGURUSAN OPERASI

 

A.12.1 PENGURUSAN PROSEDUR OPERASI

Objektif:
Memastikan pengurusan operasi berfungsi dengan betul dan selamat daripada sebarang ancaman dan gangguan ke atas kemudahan pemprosesan maklumat.

A.12.1.1 Pengendalian Prosedur Yang Didokumenkan

 

  • a) Semua prosedur keselamatan ICT yang di wujud, dikenalpasti dan masih digunapakai hendaklah didokumenkan, disimpan dan dikawal;
  • b) Setiap prosedur mestilah mengandungi arahan-arahan yang jelas, teratur dan lengkap seperti keperluan kapasiti, pengendalian dan pemprosesan maklumat, pengendalian dan penghantaran ralat, pengendalian output, bantuan teknikal dan pemulihan sekiranya pemprosesan tergendala atau terhenti; dan
  • c) Semua prosedur hendaklah dikemas kini dari semasa ke semasa atau mengikut keperluan.

 

A.12.1.2 Kawalan Perubahan

 

  • a) Pengubahsuaian yang melibatkan perkakasan, sistem untuk pemprosesan maklumat, perisian, dan prosedur mestilah mendapat kebenaran daripada pegawai atasan atau pemilik aset ICT terlebih dahulu;
  • b) Aktiviti-aktiviti seperti memasang, menyelenggara, menghapus dan mengemaskini mana-mana komponen sistem ICT hendaklah dikendalikan oleh pihak atau pegawai yang diberi kuasa dan mempunyai pengetahuan atau terlibat secara langsung dengan aset ICT berkenaan;
  • c) Semua aktiviti pengubahsuaian komponen sistem ICT hendaklah mematuhi spesifikasi perubahan yang telah ditetapkan; dan
  • d) Semua aktiviti perubahan atau pengubahsuaian hendaklah direkod dan dikawal bagi mengelakkan berlakunya ralat samaada secara sengaja atau pun tidak.

A.12.1.3 Perancangan Kapasiti

 

  • a) Kapasiti sesuatu komponen atau sistem ICT hendaklah dirancang, diurus dan dikawal dengan teliti oleh pegawai yang berkenaan bagi memastikan keperluannya adalah mencukupi dan bersesuaian untuk pembangunan dan kegunaan sistem ICT pada masa akan datang; dan
  • b) Keperluan kapasiti ini juga perlu mengambil kira ciri-ciri keselamatan ICT bagi meminimumkan risiko seperti gangguan pada perkhidmatan dan kerugian akibat pengubahsuaian yang tidak dirancang.

A.12.1.4 Pengasingan Kemudahan Pembangunan, Ujian dan Operasi

 

  • a) Perkakasan yang digunakan bagi tugas membangun, mengemaskini, menyelenggara dan menguji aplikasi perlu diasingkan dari perkakasan yang digunakan sebagai pengeluaran (production);
  • b) Pengasingan juga merangkumi tindakan memisahkan antara kumpulan operasi dan rangkaian.

 

A.12.2 PERISIAN BERBAHAYA

Objektif:
Untuk memastikan bahawa kemudahan pemprosesan maklumat dan maklumat dilindungi daripada malware.

A.12.2.1 Perlindungan dari Perisian Berbahaya

Perkara-perkara yang perlu dilaksanakan bagi memastikan perlindungan aset ICT dari perisian berbahaya:

  • a) Memasang sistem keselamatan untuk mengesan perisian atau program berbahaya seperti anti virus, Intrusion Detection System (IDS) dan Intrusion Prevention System (IPS) serta mengikut prosedur penggunaan yang betul dan selamat;
  • b) Memasang dan menggunakan hanya perisian yang tulen, berdaftar dan dilindungi di bawah mana-mana undang-undang bertulis yang berkuatkuasa;
  • c) Mengimbas semua perkakasan, perisian atau sistem dengan antivirus sebelum menggunakannya;
  • d) Mengemas kini antivirus dengan pattern antivirus yang terkini ;
  • e) Menyemak kandungan sistem atau maklumat secara berkala bagi mengesan aktiviti yang tidak diingini seperti kehilangan dan kerosakan maklumat;
  • f) Menghadiri program kesedaran mengenai ancaman perisian berbahaya dan cara mengendalikannya;
  • g) Memasukkan klausa tanggungan di dalam mana-mana kontrak yang telah ditawarkan kepada pembekal perisian. Klausa ini bertujuan untuk tuntutan baik pulih sekiranya perisian tersebut mengandungi program berbahaya;dan
  • h) Mengadakan program dan prosedur jaminan kualiti ke atas semua perisian yang dibangunkan.

 

 

A12.3 PENDUAAN

Objektif:
Memastikan segala data diselenggara agar penyimpanan data diuruskan dengan sempurna.

A.12.3.1 Maklumat Backup

Bagi memastikan sistem dapat dibangunkan semula setelah berlakunya bencana, backup seperti yang dibutirkan hendaklah dilakukan setiap kali konfigurasi berubah. Backup hendaklah direkodkan dan disimpan di off site.

  • a) Membuat salinan keselamatan ke atas semua sistem perisian dan aplikasi sekurang-kurangnya sekali atau setelah mendapat versi terbaru;
  • b) Membuat backup ke atas semua data dan maklumat mengikut keperluan operasi;
  • c) Menguji sistem backup sedia ada bagi memastikan ianya dapat berfungsi dengan sempurna, boleh dipercayai dan berkesan apabila digunakan khususnya pada waktu kecemasan;
  • d) Backup hendaklah dilaksanakan secara harian, mingguan, bulanan dan tahunan. Kekerapan backup bergantung pada tahap kritikal maklumat, dan hendaklah disimpan sekurang-kurangnya satu tahun: dan
  • e) Backup juga disimpan secara off site di luar PPUM.

A.12.4 LOG DAN PEMANTAUAN

Objektif:
Memastikan pengesanan aktiviti pemprosesan maklumat yang tidak dibenarkan.

A.12.4.1 Event logging

Fail log hendaklah disimpan untuk tempoh sekurang-kurangnya satu (1) bulan. Jenis fail log bagi server dan aplikasi yang perlu diaktifkan adalah seperti berikut:

 

i. Fail log sistem pengoperasian;
ii. Fail log servis (contoh: web, e-mel);
iii. Fail log aplikasi (audit trail); dan
iv. Fail log rangkaian (contoh: switch, firewall, IPS).

Pentadbir Sistem ICT hendaklah melaksanakan perkara-perkara berikut:

 

  • a) Mewujudkan sistem log bagi merekodkan semua aktiviti harian pengguna;
  • b) Menyemak sistem log secara berkala bagi mengesan ralat yang menyebabkan gangguan kepada sistem dan mengambil tindakan membaik pulih dengan segera;
  • c) Semua perkakasan / utiliti mestilah mengaktifkan audit log. Audit log perlu disimpan untuk tempoh masa yang dipersetujui sebelum dilupuskan;
  • d) Semua laporan log / audit trail dan program atau utiliti mestilah dikawal dan hanya boleh diakses oleh Pentadbir Sistem ICT dan personel keselamatan sahaja;
  • e) Aktiviti-aktiviti Pentadbir Sistem ICT mestilah dilogkan; d. Sebarang cubaan memasuki sistem (login) yang tidak berjaya mestilah dilogkan dan perlu diberi perhatian;
  • f) Sekiranya wujud aktiviti-aktiviti lain yang tidak sah seperti kecurian maklumat dan pencerobohan, Pentadbir Sistem hendaklah melaporkan kepada ICTSO dan CIO.

A.12.4.2 Perlindungan Log

Kemudahan merekod dan maklumat log perlu dilindungi daripada diubahsuai dan sebarang capaian yang tidak dibenarkan.

A.12.4.3 Log Pentadbir dan Operator

 

  • a) Prosedur untuk memantau penggunaan kemudahan memproses maklumat perlu diwujud dan hasilnya perlu dipantau secara berkala;
  • b) Aktiviti pentadbir dan pengendali sistem perlu direkodkan. Aktiviti log hendaklah dilindungi dan catatan jejak audit disemak dari semasa kesemasa dan menyediakan laporan jika perlu;
  • c) Kesalahan, kesilapan dan/atau penyalahgunaan perlu direkodkan log, dianalisis dan diambil tindakan sewajarnya;
  • d) Log Audit yang merekodkan semua aktiviti perlu dihasilkan dan disimpan untuk tempoh masa yang dipersetujui bagi membantu siasatan dan memantau kawalan capaian; dan
  • e) Sekiranya wujud aktiviti-aktiviti lain yang tidak sah seperti kecurian maklumat dan pencerobohan, Pentadbir Sistem ICT hendaklah melaporkan kepada Pegawai Keselamatan Teknologi Maklumat (ICTSO) dan CIO.

A.12.4.4 Clock Synchronisation

Waktu yang berkaitan dengan sistem pemprosesan maklumat dalam PPUM atau domain keselamatan perlu diselaraskan dengan satu sumber waktu yang ditetapkan. Jabatan perlu menyediakan NTP Server atau menggunakan mana-mana sumber waktu setempat yang mematuhi Malaysian Standard Time.

A.12.5 KAWALAN PERISIAN OPERASI

Objektif:
Menghalang capaian tidak sah dan tanpa kebenaran ke atas sistem pengoperasian.

A.12.5.1 Pemasangan Perisian Pada Sistem Operasi

 

  • a) Pengemaskinian perisian operasi, aplikasi dan program libraries hanya boleh dilakukan oleh pentadbir terlatih setelah mendapat kelulusan pengurusan;
  • b) Sistem operasi hanya boleh memegang executable code dan tidak kod pembangunan atau penyusun;
  • c) Penggunaan aplikasi dan sistem operasi hanya boleh dilaksanakan selepas ujian yang terperinci dan diperakui berjaya;
  • d) Setiap konfigurasi ke atas sistem perlu dikawal dan didokumentasikan melalui satu sistem kawalan konfigurasi. Konfigurasi hanya boleh dilaksanakan selepas mendapat persetujuan dari pihak berkaitan;dan
  • e) Satu rollback strategi harus diadakan sebelum perubahan dilaksanakan.

A.12.6 KAWALAN TEKNIKAL KETERDEDAHAN

Objektif:
Memastikan kawalan teknikal keterdedahan adalah berkesan, sistematik dan berkala dengan mengambil langkah yang bersesuaian untuk menjamin keberkesanannya.

A.12.6.1 Kawalan dari Ancaman Teknikal

Kawalan terhadap keterdedahan teknikal perlu dilaksanakan ke atas sistem pengoperasian dan sistem aplikasi yang digunakan. Perkara yang perlu dipatuhi adalah seperti berikut:

 

  • a) Memperoleh maklumat keterdedahan teknikal sistem maklumat yang digunakan;
  • b) Menilai tahap pendedahan bagi mengenal pasti tahap risiko yang bakal dihadapi; dan
  • c) Mengambil langkah-langkah kawalan untuk mengatasi risiko berkaitan.

A.12.6.2 Kawalan Pemasangan Perisian

 

  • a) Hanya perisian yang diperakui sahaja dibenarkan bagi kegunaan pengguna di PPUM; dan
  • b) Memasang dan menggunakan hanya perisian yang tulen,berdaftar dan dilindungi di bawah mana-mana undang-undang bertulis yang berkuat kuasa.

A.12.7 PERTIMBANGAN AUDIT SISTEM MAKLUMAT

Objektif:
Memastikan pengesanan aktiviti pemprosesan maklumat yang tidak dibenarkan.

A.12.7.1 Kawalan Audit Sistem Maklumat

Pematuhan kepada keperluan audit perlu bagi meminimumkan ancaman dan memaksimumkan keberkesanan dalam proses audit sistem maklumat. Keperluan audit dan sebarang aktiviti pemeriksaan ke atas sistem operasi perlu dirancang dan dipersetujui bagi mengurangkan kebarangkalian berlaku gangguan dalam penyediaan perkhidmatan.