5.1 - DASAR KESELAMATAN MAKLUMAT POLICIES FOR INFORMATION SECURITY |
|
Satu set polisi untuk keselamatan maklumat perlu ditakrifkan, diluluskan, diterbitkan dan dimaklumkan oleh pihak pengurusan PPUM kepada staf PPUM, pengguna dan pihak luaran.
Polisi keselamatan maklumat perlu disemak dan dipinda sekurang-kurangnya 2 tahun sekali atau tertakluk kepada semakan dan pindaan dari semasa ke semasa termasuk kawalan keselamatan, prosedur dan proses selaras dengan perubahan teknologi, aplikasi, prosedur, perundangan, dasar kerajaan dan kepentingan sosial.
Berikut adalah prosedur yang berhubung dengan kajian semula Manual Kualiti Keselamatan Siber PPUM :
- Mengenalpasti dan menentukan perubahan yang diperlukan; dan
- Mengemukakan cadangan pindaan secara bertulis kepada Ketua Pegawai Keselamatan ICT (ICT Security Officer) untuk tindakan bagi pertimbangan dan pengesahan Jawatan Kuasa Pemandu ICT (JPICT) PPUM.
|
Pengurusan, Ketua Pegawai Maklumat (CIO), Ketua Pegawai Keselamatan ICT (ICTSO), Pasukan Pelaksana ISMS, Staf PPUM, Pengguna, Pihak Luaran.
|
5.2 - PERANAN DAN TANGGUNGJAWAB KESELAMATAN MAKLUMAT INFORMATION SECURITY ROLES AND RESPONSIBILITIES |
|
-
- Pengarah PPUM berperanan dan bertanggungjawab dalam perkara yang berikut :
-
- Membaca, memahami dan mematuhi Manual Kualiti Keselamatan Siber PPUM;
- Memastikan semua pengguna memahami peruntukan-peruntukan di bawah Manual Kualiti Keselamatan Siber PPUM;
- Memastikan semua pengguna mematuhi Manual Kualiti Keselamatan Siber PPUM;
- Memastikan semua keperluan organisasi seperti sumber kewangan, sumber staf dan perlindungan keselamatan adalah mencukupi; dan
- Memastikan penilaian risiko dan program keselamatan ICT dilaksanakan seperti yang ditetapkan di dalam Manual Kualiti Keselamatan Siber PPUM.
|
Pengarah PPUM
|
-
- Ketua Pegawai Maklumat PPUM (CIO)
Jawatan Ketua Pegawai Maklumat PPUM adalah disandang oleh Timbalan Pengarah Pengurusan.
Peranan dan tanggungjawab Ketua Pegawai Maklumat PPUM adalah seperti berikut:
-
- Membaca, memahami dan mematuhi Manual Kualiti Keselamatan Siber PPUM;
- Bertanggungjawab ke atas perkara-perkara yang berkaitan dengan keselamatan ICT PPUM;
- Memastikan kawalan keselamatan maklumat dalam organisasi diseragam dan diselaraskan dengan sebaiknya;
- Menentukan keperluan keselamatan ICT; dan
- Memastikan program-program kesedaran mengenai keselamatan ICT terlaksana.
|
Ketua Pegawai Maklumat PPUM (CIO)
|
-
- Ketua Pegawai Keselamatan ICT PPUM (ICTSO)
Peranan dan tanggungjawab ICTSO yang dilantik adalah seperti berikut:
-
- Membaca, memahami dan mematuhi Manual Kualiti Keselamatan Siber PPUM;
- Mengurus keseluruhan program keselamatan ICT PPUM;
- Menguatkuasakan pelaksanaan Manual Kualiti Keselamatan Siber PPUM;
- Mewujudkan garis panduan, prosedur dan tatacara selaras dengan keperluan Manual Kualiti Keselamatan Siber PPUM;
- Menjalankan pengurusan risiko dan audit keselamatan ICT untuk mengenalpasti ketidakpatuhan kepada Manual Kualiti Keselamatan Siber PPUM;
- Menyedia dan menyebarkan amaran-amaran yang sesuai terhadap kemungkinan berlaku ancaman keselamatan ICT dan memberikan khidmat nasihat serta menyediakan langkah-langkah perlindungan yang bersesuaian;
- Melaporkan insiden keselamatan ICT kepada Agensi Keselamatan Siber Negara (NACSA) (jika perlu) dan seterusnya membantu dalam penyiasatan atau pemulihan;
- Melaporkan insiden keselamatan ICT kepada Ketua Pegawai Maklumat PPUM bagi insiden yang memerlukan Pelan Kesinambungan Perkhidmatan (PKP);
- Bekerjasama dengan semua pihak yang berkaitan dalam mengenal pasti punca ancaman atau insiden keselamatan ICT dan memperakukan langkah-langkah baik pulih dengan segera;
- Memastikan pematuhan Manual Kualiti Keselamatan Siber PPUM oleh pihak luar seperti pihak luaran dan kontraktor yang mencapai dan menggunakan aset ICT PPUM untuk tujuan penyelenggaraan dan sebagainya;
- Menyemak, mengkaji dan menyediakan laporan berkaitan dengan isu-isu keselamatan; dan Memastikan Pelan Strategik ICT PPUM mengandungi aspek keselamatan.
|
Ketua Pegawai Keselamatan ICT PPUM (ICTSO)
|
-
- Pentadbir Sistem ICT bagi PPUM terdiri daripada:
-
- Pentadbir Rangkaian;
- Pentadbir Pangkalan Data;
- Pentadbir Aplikasi;
- Pentadbir Pusat Data;
- Pentadbir Emel; dan
- Pentadbir Keselamatan ICT.
|
Pentadbir Sistem ICT
|
-
- Pentadbir Rangkaian berperanan dan bertanggungjawab seperti berikut:
-
- Memastikan ketersediaan rangkaian setempat (LAN) dan rangkaian luas (WAN) di PPUM;
- Memasikan semua peralatan dan perisian dan keselamatan diselenggara;
- Merancang peningkatan infrastruktur, ciri keselamatan dan prestasi rangkaian sedia ada;
- Mengesan dan mengambil tindakan pembaikan segera ke atas rangkaian yang tidak stabil;
- Memantau penggunaan rangkaian dan melaporkan kepada ICTSO sekiranya berlaku penyalahgunaan sumber rangkaian;
- Memastikan laluan trafik keluar masuk diuruskan secara berpusat dan tidak membenarkan sambunan ke rangkaian PPUM secara tidak sah; dan
- Menyediakan zon khas rangkaian untuk tujuan tertentu;
|
Pentadbir Rangkaian dan Keselamatan
|
-
- Pentadbir Pangkalan Data berperanan dan bertanggungjawab seperti berikut:
-
- Melaksanakan polisi penggunaan pangkalan data;
- Melaksanakan pemantauan dan penyelenggaraan pangkalan data secara berterusan;
- Memastikan aktiviti pentadbiran pangkalan data seperti kawalan capaian dan proses pengemaskinikan data dilaksanakan dengan teratur; dan
- Melaporkan sebarang insiden berkaitan keselamatan pangkalan data kepada ICTSO.
|
Pentadbir Pangkalan Data
|
-
- Pentadbir Sistem Aplikasi berperanan dan bertanggungjawab seperti berikut:
-
- Mengkaji cadangan pembangunan atau penyelenggaraan sistem;
- Membuat kajian semula serta menambah baik sistem sedia ada;
- Membuat pemantauan dan penyelenggaraan terhadap sistem;
- Menyediakan dokumentasi sistem yang berkaitan;
- Memastikan kelancaran operasi sistem aplikasi supaya perkhidmatan yang disediakan tidak terjejas;
- Memastikan kod program sistem aplikasi adalah selamat dari penggudam sebelum sistem tersebut diaktifkan penggunaannya;
- Melaksanakan pewujudan dan penutupan akaun pengguna ke atas setiap aplikasi mengikut polisi; dan
- Melaporkan kepada ICTSO jika berlakunya insiden keselamatan ke atas sistem aplikasi dibawah seliaan.
|
Pentadbir Pangkalan Data
|
-
- Pentadbir Pusat Data berperanan dan bertanggungjawab seperti berikut:
-
- Memastikan persekitaran fixikal dan keselamatan Pusat Data dalam keadaan baik dan selamat;
- Memastikan keselamatan data dan sistem aplikasi di dalam Pusat Data; dan
- Melaporkan sebarang pelanggaran keselamatan Pusat Data kepada ICTSO.
|
Pentadbir Pusat Data
|
-
- Pentadbir E-mel berperanan dan bertanggungjawab seperti berikut:
-
- Menentukan setiap akaun yang wujud atau dibatalkan mendapat kelulusan;
- Membekukan akaun pengguna (pengguna yang berhenti, bertukar, bersara) dengan segera atas tujuan keselamatan maklumat;
- Memadamkan akaun e-mel mengikut polisi yang telah ditetapkan;
- Memantau saiz akaun e-mel dan memastikan saiz akaun e-mel pengguna mengikut polisi yang telah ditetapkan; dan
- Melaporkan sebarang pelanggaraan keselamatan kepada ICTSO.
|
Pentadbir E-mel
|
-
- Pentadbir Keselamatan ICT berperanan dan bertanggungjawab seperti berikut:
-
- Melakukan pemantauan keselamatan ICT;
- Melakukan ujian penembusan secara berkala;
- Menyelaras semakan polisi perkakasan keselamatan;
- Menyelaraskan aktiviti ujian penembusan dan kajian semula infrastruktur ICT oleh pihak luaran; dan
- Melaporkan sebarang pelanggaran keselamatan ICT kepada ICTSO.
|
Pentadbir Keselamatan ICT
|
-
- Jawatankuasa Keselamatan ICT PPUM (JKICT)
Keanggotaan Jawatankuasa Keselamatan ICT PPUM (JKICT) adalah seperti berikut:
Pengerusi : Ketua Pegawai Maklumat PPUM (CIO)
Setiausaha : Ketua Pegawai Keselamatan ICT PPUM (ICTSO)
Ahli:
-
- Ketua CERT / Pentadbir Pusat Data / Pentadbir Pangkalan Data Pelayan / Pentadbir Rangkaian / Aduan ICT, Jabatan Teknologi Maklumat
- Pentadbir Sistem, Jabatan Teknologi Maklumat
- Unit Keselamatan ICT, Jabatan Teknologi Maklumat (Pegawai Teknologi Maklumat atau wakil)
- Jabatan Keselamatan (Pegawai Keselamatan atau wakil)
- Jabatan Kejururawatan (Pegawai Kejururawatan atau wakil)
- Jabatan Maklumat Pesakit (Ketua Jabatan Maklumat Pesakit atau wakil)
- Jabatan Sumber Manusia (Ketua Jabatan Sumber Manusia atau wakil)
- Jabatan Kejuruteraan (Ketua Jabatan Kejuruteraan atau wakil)
- Jabatan Kejuruteraan Bio-Medikal (Ketua Jabatan Kejuruteraan Bio-Medikal atau wakil)
Bidang kuasa Jawatankuasa Keselamatan ICT ini adalah seperti berikut :
-
- Memperakukan atau meluluskan dokumen Manual Keselamatan ICT PPUM;
- Memantau tahap pematuhan keselamatan ICT;
- Memperaku garis panduan, prosedur dan tatacata untuk aplikasi-aplikasi khusus dalam PPUM yang mematuhi keperluan Manual Kualiti Keselamatan Siber PPUM;
- Menilai teknologi yang bersesuaian dan mencadangkan penyelesaian terhadap keperluan keselamatan ICT;
- Memastikan Polisi Keselamatan Siber PPUM dan Manual Kualiti Keselamatan Siber PPUM selaras dengan dasar-dasar ICT kerajaan semasa;
- Membincang tindakan yang melibatkan pelanggaran Polisi Keselamatan Siber;
- Bekerjasama dengan Pasukan Tindak Balas Insiden Keselamatan ICT PPUM untuk mendapatkan maklum balas dan insiden untuk tindakan penyelenggaraan;
- Memantau Objektif Keselamatan ISMS;
- Memantau penilaian risiko & pelan rawatan risiko; dan
- Mengemukakan isu dan masalah ISMS (jika ada)
|
Jawatankuasa Keselamatan ICT PPUM (JKICT)
|
-
- Pasukan Tindak Balas Insiden Keselamatan ICT PPUM
Keanggotaan Pasukan Tindak Balas Insiden Keselamatan ICT adalah seperti berikut:
Pengerusi : Ketua Seksyen Infrastruktur, Jabatan Teknologi Maklumat, PPUM
Ahli:
-
- Ketua Seksyen Aplikasi, Jabatan Teknologi Maklumat, PPUM;
- Pegawai Teknologi Maklumat (Kanan), Unit Aplikasi, Jabatan Teknologi Maklumat, PPUM;
- Pegawai Teknologi Maklumat, Unit Keselamatan, PPUM;
- Pegawai Teknologi Maklumat, Unit Pusat Data, Jabatan Teknologi Maklumat, PPUM;
- Pegawai Teknologi Maklumat, Unit Operasi, Jabatan Teknologi Maklumat, PPUM; dan
- Penolong Pegawai Teknologi Maklumat, Unit Operasi, Jabatan Teknologi Maklumat,PPUM.
Peranan dan tanggungjawab Pasukan Tindak Balas Insiden Keselamatan ICT adalah seperti berikut:
-
- Menerima dan mengesan aduan keselamatan ICT serta menilai tahap dan jenis insiden;
- Merekod dan menjalankan siasatan awal insiden yang diterima;
- Menangani tindak balas insiden keselamatan ICT dan mengambil tindakan baik pulih minimum;
- Menasihati PPUM mengambil tindakan pemulihan dan pengukuhan; dan
- Menyebarkan makluman berkaitan pengukuhan keselamatan ICT kepada PPUM.
|
Pasukan Tindak Balas Insiden Keselamatan ICT PPUM
|
-
- Staff PPUM
Peranan dan tanggungjawab pengguna adalah seperti berikut:
-
- Membaca, memahami dan mematuhi Manual Kualiti Keselamatan Siber PPUM;
- Mengetahui dan memahami implikasi keselamatan ICT kesan dari tindakannya;
- Menjalani tapisan keselamatan sekiranya dikehendaki berurusan dengan maklumat rasmi terperingkat;
- Mematuhi prinsip-prinsip di dalam Manual Kualiti Keselamatan Siber PPUM dan menjaga kerahsiaan maklumat PPUM;
- Melaksanakan langkah-langkah perlindungan seperti berikut :
- Menghalang pendedahan maklumat kepada pihak yang tidak dibenarkan;
- Memeriksa maklumat dan menentukan ia tepat dan lengkap dari semasa ke semasa;
- Menentukan maklumat sedia untuk digunakan;
- Menjaga kerahsiaan kata laluan;
- Mematuhi standard, prosedur, langkah dan garis panduan keselamatan yang ditetapkan;
- Melaksanakan peraturan berkaitan maklumat terperingkat terutama semasa pewujudan, pemprosesan, penyimpanan, penghantaran, penyampaian, pertukaran dan pemusnahan; dan
- Menjaga kerahsiaan langkah-langkah keselamatan ICT dari diketahui umum.
- Melaporkan sebarang aktiviti yang mengancam keselamatan ICT kepada ICTSO dengan segera;
- Menghadiri program-program kesedaran mengenai keselamatan ICT; dan
- Mematuhi “Akuan Pematuhan Polisi Keselamatan Maklumat PPUM” bagi mematuhi Polisi Keselamatan Siber PPUM.
|
Staff PPUM
|
-
- Pihak Ketiga
Terdiri daripada kontraktor, pihak luaran dan penyedia perkhidmatan luaran yang dilantik. Peranan dan tanggungjawab pihak ketiga adalah bertujuan bagi memastikan penggunaan maklumat dan kemudahan proses maklumat oleh pihak ketiga dikawal.
Perkara yang perlu dipatuhi adalah seperti berikut:
-
- Membaca, memahami dan mematuhi Manuali Kualiti Keselamatan Siber PPUM;
- Menandatangani Non-Disclosure Agreement (NDA);
- Memahami implikasi keselamatan ke atas sebarang tindakan yang dilakukan;
- Melaporkan dengan segera sebarang aktiviti atau keadaan yang meragukan yang mungkin memberikan ancaman kepada aset ICT;
- Memastikan kerahsiaan maklumat PPUM terpelihara
- Mengenal pasti risiko keselamatan maklumat dan kemudahan pemprosesan maklumat serta melaksanakan kawalan yang sesuai sebelum memberi kebenaran capaian kepada pihak ketiga;
- Mengenal pasti keperluan keselamatan ICT sebelum memberi kebenaran capaian atau penggunaan kepada pihak ketiga; dan
- Akses kepada aset ICT PPUM perlu berlandaskan kepada perjanjian kontrak;
|
|
5.3 - PENGASINGAN TUGAS SEGRERATION OF DUTIES |
|
Perkara-perkara yang perlu dipatuhi adalah seperti berikut:
- Skop tugas dan tanggungjawab perlu diasingkan bagi mengurangkan peluang berlaku penyalahgunaan atau pengubahsuaian yang tidak dibenarkan ke atas Aset ICT;
- Skop tugas dan tanggungjawab perlu diasingkan bagi mengurangkan peluang berlaku penyalahgunaan atau pengubahsuaian yang tidak dibenarkan ke atas Aset ICT;
- Tugas mewujud, memadam, mengemaskini, mengubah dan mengesahkan data hendaklah diasingkan bagi mengelakkan daripada capaian yang tidak dibenarkan serta melindungi Aset ICT daripada kesilapan, kebocoran maklumat atau dimanipulasi; dan
- Persekitaran perkakasan yang digunakan bagi tujuan pembangunan sistem aplikasi (development atau staging) dan penggunaan sebenar (production) hendaklah diasingkan
|
Ketua Pegawai Maklumat (CIO)
|
5.4 - TANGGUNGJAWAB PENGURUSAN MANAGEMENT OF RESPONSIBILITIES |
|
Perkara-perkara yang perlu dipatuhi adalah seperti berikut:
- Memastikan staf PPUM, pihak luaran dan staf akademik mematuhi dasar keselamatan maklumat PPUM; dan
- Memastikan staf PPUM, pihak luaran dan staf akademik mengurus keselamatan aset ICT berdasarkan perundangan dan peraturan yang ditetapkan oleh PPUM.
|
Ketua Pegawai Maklumat (CIO), Jabatan Sumber Manusia
|
5.5 - HUBUNGAN DENGAN PIHAK BERKUASA CONTACT WITH AUTHORITIES |
|
Staf PPUM hendaklah memastikan senarai perhubungan dengan pelbagai pihak yang berkaitan diwujud dan dikemas kini. Ia merupakan sumber rujukan untuk mengetahui senarai perhubungan pihak berkuasa yang berdekatan.
Perkara yang perlu dipatuhi adalah seperti berikut:
- Mengenal pasti peraturan yang berkuatkuasa dalam melaksanakan peranan dan tanggungjawab jabatan atau agensi;
- Mewujud dan mengemas kini prosedur/senarai pihak berkuasa perundangan atau pihak yang dihubungi semasa kecemasan seperti pihak luaran perkhidmatan, utiliti, kecemasan, keselamatan dan kesihatan; dan
- Melaporkan sebarang insiden keselamatan dengan segera mengikut tatacara insiden keselamatan yang telah ditetapkan
|
Ketua Pegawai Maklumat (CIO), Ketua Pegawai Keselamatan ICT (ICTSO), Staf PPUM
|
5.6 - HUBUNGAN DENGAN KUMPULAN BERKEPENTINGAN KHAS CONTACT WITH SPECIAL INTEREST GROPUS |
|
Staf PPUM perlu mempunyai hubungan baik dengan pihak berkepentingan yang khusus bagi:
- Meningkatkan ilmu berkaitan amalan terbaik dan sentiasa mengikut perkembangan terkini mengenai keselamatan maklumat;
- Menerima amaran awal dan nasihat berhubung kerentanan dan ancaman keselamatan maklumat terkini;
- Berkongsi dan bertukar maklumat dengan kumpulan berkepentingan khas mengenai teknologi, produk, ancaman atau kerentanan; dan
- Berhubung dengan kumpulan pakar keselamatan maklumat apabila berurusan dengan insiden keselamatan maklumat.
|
Ketua Pegawai Maklumat (CIO), Ketua Pegawai Keselamatan ICT (ICTSO), Staf PPUM
|
5.7 - PERISIKAN ANCAMAN THREAT INTELLIGENCE |
|
Perkara yang perlu dipatuhi adalah :
- Memahami ancaman siber dengan mengumpul, menganalisi dan menghasilkan risikan ancaman berkenaan ancaman keselamatan maklumat;
- Mengenalpasti taktik, teknik dan prosedur yang digunakan penyerang untuk memasuki rangkaian atau melakukan serangan melalui :
- akses tanpa kebenaran;
- pemusnahan data sensitif; dan
- gangguan kepada perkhidmatan; dan
- Mengumpul dan menganalisa maklumat berkenaan dengan tiga (3) bidang ancaman keselamatan maklumat iaitu perisikan ancaman strategik, perisikan ancaman taktikal dan perisikan ancaman operasi.
|
Ketua Pegawai Keselamatan ICT (ICTSO)
|
5.8 - KESELAMATAN MAKLUMAT DALAM PENGURUSAN PROJEK INFORMATION SECURITY IN PROJECT MANAGEMENT |
|
Pengurusan Projek ICT merupakan satu pengurusan proses dan prosedur dalam satu tempoh masa, sumber dan tahap kualiti yang ditetapkan bagi menghasilkan satu atau lebih produk ICT. Keselamatan maklumat perlu diambil kira dalam pengurusan projek bagi melindungi maklumat.
Perkara-perkara berikut hendaklah dipatuhi iaitu:
- Memastikan objektif keselamatan maklumat dimasukkan di dalam objektif projek;
- Melaksanakan penilaian risiko keselamatan maklumat pada peringkat pelaksanaan projek;
- Memastikan keselamatan maklumat diambil kira semasa pembangunan projek termasuk penyediaan rekabentuk, pengaturcaraan dan pengujian sistem hendaklah mematuhi kawalan keselamatan;
- Memastikan pengujian keselamatan dilakukan; dan
- Memastikan implikasi keselamatan maklumat ditangani secara teratur dan berkesan.
|
Pentadbir Sistem ICT
|
5.9 - INVENTORI MAKLUMAT DAN ASET LAIN YANG BERKAITAN INVENTORY OF INFORMATION AND OTHER ASSOCIATED ASSETS |
|
Kemudahan peralatan ICT PPUM disediakan untuk tujuan pengajaran, pembelajaran, penyelidikan, perawatan pesakit dan pentadbiran PPUM.
Tanggungjawab yang perlu dipatuhi adalah termasuk perkara-perkara berikut:
- Memastikan semua aset ICT dikenalpasti, dikelas (dikategori), didokumen, diselenggara dan dilupuskan dari semasa ke semasa;
- Memastikan semua aset ICT mempunyai pemilik dan dikendalikan oleh pengguna yang dibenarkan sahaja;
- Memastikan semua pengguna mengesahkan penempatan aset ICT yang ditempatkan di PPUM;
- Memaklumkan sebarang perubahan kedudukan aset kepada Pegawai Aset dan Jabatan bertanggungjawab supaya inventori dikemaskini; dan
- Menandatangani “Surat Akujanji Penerimaan dan Penggunaan Peralatan ICT”.
|
Pegawai Aset, Staf PPUM
|
5.10 - PENGGUNAAN ASET MAKLUMAT YANG BOLEH DITERIMA ACCEPTABLE USE OF INFORMATION AND OTHER ASSOCIATED ASSETS |
|
Meliputi semua penggunaan aset maklumat dan aset lain yang berkaitan untuk sebarang tujuan pengajaran, pembelajaran, penyelidikan, perawatan pesakit dan pentadbiran PPUM. Ia terpakai kepada staf PPUM dan aset yang dimiliki atau dikendalikan oleh organisasi termasuk:
- Perkakasan;
- Aplikasi;
- Data;
- Rangkaian; dan
- Khidmat sokongan yang berkaitan contohnya:
- Perkakasan : komputer, peranti mudah alih, telefon dan mesin faks;
- Perisian : system pengoperasian, aplikasi (termasuk aplikasi berasaskan web), utility, firmware dan Bahasa pengaturcaraan;
- Data : data berstruktur dalam relational database, flat files dan data NoSQL; data tidak berstruktur seerti dokumen teks, hamparan, imej, video dan audio; rekod dalam sebarang format;
- Rangkaian : rangkaian berwayar dan tanpa wayar; system telekomunikasi; perkhidmatan suara melalui IP; dan
- Perkhidmatan : perhidmatan awan, akaun emel dan lain-lain hosted services;
Staf PPUM perlu memastikan aset maklumat digunakan dengan cara yang tidak mendatangkan risiko bahaya kepada ketersediaan, kebolehpercayaan atau integriti data, perkhidmatan atau sumber.
|
Pegawai Aset, Staf PPUM
|
5.11 - PEMULANGAN ASET RETURN OF ASSETS |
|
Semua aset ICT yang dibekalkan hendaklah:
- Dipulangkan kepada bahagian yang menguruskan aset ICT sekiranya pengguna meninggalkan jawatan yang disandang atau meninggalkan jabatan (bertukar, bersara atau tamat perkhidmatan);
- Mendapat kelulusan Pegawai Aset Jabatan bagi aset yang dipindah milik kepada pihak ketiga untuk direkodkan bagi tujuan pemantauan;
- Maklumat yang disimpan dalam aset ICT yang perlu dipulangkan atau dipindah milik kepada pihak ketiga perlu disalin keluar atau dihapuskan sebelum pemulangan; dan
- Staf PPUM yang mempunyai pengetahuan penting untuk operasi yang berterusan perlu mendokumenkan maklumat tersebut untuk dipindahkan kepada organisasi.
|
Pegawai Aset, Staf PPUM
|
5.12 - PENGELASAN MAKLUMAT CLASSIFICATION OF INFORMATION |
|
Maklumat hendaklah dikelaskan atau dilabelkan sewajarnya oleh Pegawai yang diberi kuasa mengikut dokumen Arahan Keselamatan.
Setiap maklumat yang dikelaskan mestilah mempunyai peringkat keselamatan sebagaimana yang telah ditetapkan di dalam dokumen Arahan Keselamatan seperti berikut :
- Rahsia Besar;
- Rahsia;
- Sulit; atau
- Terhad
|
Pegawai Aset, Staf PPUM
|
5.13 - PELABELAN MAKLUMAT LABELLING OF INFORMATION |
|
Perkara yang perlu dipatuhi adalah seperti berikut :
- Prosedur pelabelan maklumat dilaksanakan mengikut klasifikasi maklumat yang digunapakai oleh PPUM;
- Staf PPUM dan pihak lain yang berkepentingan harus dimaklumkan tentang prosedur pelabelan; dan
- Staf PPUM yang berkaitan harus diberikan latihan yang diperlukan untuk memastikan maklumat dilabel dan dikendalikan dengan betul.
|
Staf PPUM
|
5.14 - PEMINDAHAN MAKLUMAT INFORMATION TRANSFER |
|
Keselamatan data perlu dipastikan terjamin dalam proses perkongsian dalam PPUM atau apabila ianya dihantar kepada pihak ketiga.
Perkara yang perlu dipatuhi adalah seperti berikut:
- Dasar, prosedur dan kawalan pemindahan maklumat yang formal hendaklah diwujudkan untuk melindungi pemindahan maklumat melalui sebarang jenis kemudahan komunikasi;
- Terma pemindahan maklumat dan perisian di antara PPUM dengan pihak luar hendaklah dimasukkan di dalam perjanjian;
- Menandatangani perjanjian bertulis atau proses pemindahan direkodkan apabila berlaku pemindahan maklumat organisasi antara PPUM dengan pihak luar
- Media yang mengandungi maklumat perlu dilindungi daripada capaian yang tidak dibenarkan, penyalahgunaan atau kerosakan semasa pemindahan maklumat; dan
- Memastikan maklumat yang terdapat dalam emel elektronik hendaklah dilindungi sebaik-baiknya.
- Data pesakit adalah tidak dibenarkan untuk di simpan di cloud storage. Walau bagaimanapun, penyimpanan data PPUM selain data pesakit di cloud storage adalah dibenarkan;
- Sekiranya terdapat keperluan untuk menyimpan data PPUM di cloud, tempoh simpanan dan akses perlu dihadkan sehingga tugasan selesai; dan
- Pemindahan maklumat sulit secara lisan juga perlu dilindungi. Ia termasuk tidak mengadakan perbualan lisan berkenaan dengan maklumat pesakit di tempat awam.
Perkongsian data secara dalaman atau pihak ketiga juga melibatkan pengendalian emel PPUM. Perkara yang perlu dipatuhi dalam pengendalian e-mel adalah seperti berikut:
- Menggunakan akaun atau alamat e-mel PPUM bagi urusan rasmi. Penggunaan akaun milik orang lain atau akaun yang dikongsi bersama adalah dilarang;
- Setiap akaun e-mel yang disediakan hendaklah mematuhi format yang telah ditetapkan oleh PPUM;
- Memastikan subjek dan kandungan e-mel adalah berkaitan dan menyentuh perkara perbincangan yang sama sebelum penghantaran dilakukan;
- Penghantaran e-mel rasmi hendaklah menggunakan akaun rasmi dan pastikan alamat e-mel penerima adalah betul;
- Pengguna dinasihatkan menggunakan kaedah pemampatan atau kaedah sharing terhadap kepilan semasa penghantaran untuk mengurangkan saiz;
- Pengguna dilarang dari membuka e-mel dan lampiran daripada penghantar yang tidak diketahui atau diragui kerana berkemungkinan mengandungi virus atau program yang boleh menceroboh;
- Pengguna hendaklah mengenal pasti dan mengesahkan identiti pengguna yang berkomunikasi dengannya sebelum meneruskan transaksi maklumat melalui e-mel;
- Setiap e-mel rasmi yang dihantar atau diterima hendaklah disimpan mengikut tatacara pengurusan sistem fail elektronik yang telah ditetapkan;
- E-mel yang tidak penting dan tidak mempunyai nilai arkib yang telah diambil tindakan dan tidak diperlukan lagi bolehlah dihapuskan;
- Mengambil tindakan dan memberi maklum balas terhadap e-mel dengan cepat dan mengambil tindakan segera;
- Pengguna hendaklah memastikan alamat e-mel persendirian (seperti yahoo.com, gmail.com, streamyx.com.my dan sebagainya) tidak digunakan untuk tujuan rasmi;
- Penggunaan e-mel PPUM bagi tujuan komersil peribadi, politik, perjudian, jenayah, perniagaan, penyebaran gambar lucah atau seksual, berunsur fitnah dan sebagainya adalah tidak dibenarkan;
- Pengguna dilarang menggunakan e-mel rasmi PPUM bagi pendaftaran sistem online yang tidak berkaitan dengan tugas rasmi kerana dikhuatiri akan disebar dan disalah gunakan untuk tujuan aktiviti penyebaran virus emel spamming, emel phishing dan junk mail seperti iklan pemasaran produk;
- Pengguna hendaklah bertanggungjawab ke atas penyelenggaraan mailbox masing-masing dan memastikan saiz storan (emel & drive) mengikut kuota yang telah ditetapkan;
- Akaun emel Ketua Jabatan hanya boleh diakses oleh Setiausaha Pejabat atau staf PPUM yang dipertanggungjawabkan sahaja. Akaun perlu dilogout apabila tidak digunakan;
- Bagi pengguna yang akan tamat perkhidmatan, mereka boleh membuat notifikasi 1 bulan sebelum tarikh tamat perkhidmatan atau pencen pada akaun PPUM (sekiranya perlu) bagi membolehkan pihak luar menghubungi pengguna melalui alamat emel persendirian selepas tamat perkhidmatan kelak;
- Migrasi e-mel dari akaun rasmi PPUM ke akaun e-mel persendirian perlu dilakukan sendiri oleh pengguna 1 bulan sebelum tarikh tamat perkhidmatan;
- Tempoh bagi akses semula akaun emel yang telah digantung (suspend) adalah dihadkan untuk tempoh yang diperlukan sahaja;
- Permohonan untuk mengakses akaun e-mel dari individu yang telah tamat perkhidmatan selain daripada tujuan undang-undang perlu mendapat kebenaran dari Jabatan Sumber Manusia;
- Sebarang permohonan untuk mengakses akaun e-mel yang telah digantung (suspend) bagi tujuan undang-undang perlu mendapatkan kebenaran dari ICTSO dan dilakukan di bawah pemantauan Pentadbir e-mel;
- Akaun emel yang tidak aktif akan dipadamkan 12 bulan selepas tarikh akaun digantung (suspend). Tindakan pemulihan (restore) akaun selepas dipadamkan tidak boleh dilakukan; dan
- Semua mesej elektronik yang diwujudkan atau disimpan di dalam sistem e-mel PPUM adalah dianggap sebagai data organisasi. Pentadbir e-mel atau ICTSO berhak untuk membuat semakan kandungan emel pengguna untuk tujuan keselamatan atau diperlukan oleh undang-undang.
|
Ketua Pegawai Maklumat (CIO), Ketua Pegawai Keselamatan ICT (ICTSO), Pentadbir Sistem ICT, Staf PPUM
|
5.15 - KAWALAN CAPAIAN ACCESS CONTROL |
|
Capaian kepada proses, maklumat dan perkhidmatan rangkaian dikawal mengikut keperluan keselamatan dan fungsi kerja pengguna yang berbeza. Peraturan kawalan capaian hendaklah diwujudkan, didokumenkan dan disemak berdasarkan keperluan perkhidmatan dan keselamatan maklumat. Ia perlu disemak setahun sekali atau mengikut keperluan dan menyokong peraturan kawalan capaian pengguna sedia ada.
Perkara yang perlu dipatuhi bagi kawalan capaian adalah seperti berikut:
- Kawalan capaian ke atas peralatan ICT menepati keperluan keselamatan dan peranan pengguna;
- Kawalan capaian ke atas perkhidmatan rangkaian dalaman dan luaran;
- Keselamatan maklumat yang dicapai menggunakan kemudahan atau peralatan mudah alih;
- Kawalan ke atas kemudahan pemprosesan maklumat;
- Kawalan ke atas capaian sistem aplikasi; dan
- Kawalan kebenaran untuk menyebarkan maklumat.
Perkara yang perlu dipatuhi bagi kawalan capaian perkhidmatan rangkaian adalah seperti berikut:
- Pengguna diberikan akses kepada rangkaian dan perkhidmatan rangkaian yang dibenarkan;
- Kawalan capaian perkhidmatan rangkaian hendaklah dijamin selamat dengan:
- Menempatkan atau memasang perkakasan ICT yang bersesuaian di antara rangkaian PPUM, rangkaian agensi lain dan rangkaian awam; dan
- Mewujud dan menguatkuasakan mekanisme untuk pengesahan pengguna dan perkakasan ICT yang dihubungkan ke rangkaian.
- Kawalan capaian rangkaian bertujuan menghalang capaian tidak sah dan tanpa kebenaran ke atas perkhidmatan rangkaian. Kawalan capaian perkhidmatan rangkaian hendaklah dijamin selamat dengan:
- Menempatkan atau memasang interface gateway yang bersesuaian di antara rangkaian PPUM, rangkaian agensi lain dan rangkaia awam;
- Mewujudkan dan menguatkuasakan kaedah untuk pengesahan pengguna dan peralatan yang menepati kesesuaian penggunaannya;
- Memantau dan menguatkuasakan kawalan capaian pengguna terhadap perkhidmatan rangkaian ICT;
- Memastikan pengguna boleh mencapai perkhidmatan yang dibenarkan sahaja;
- Mewujudkan kaedah pengesahan yang sesuai untuk mengawal capaian secara remote oleh pengguna;
- Capaian secara remote hanya kepada staf PPUM yang dibenarkan atas keperluan perkhidmatan;
- Mengguna kaedah pengenalan automatik berdasarkan lokasi dan peralatan untuk pengesahan sambungan ke dalam rangkaian;
- Mengawal capaian fizikal dan logikal ke atas kemudahan port diagnostik dan konfigurasi secara remote;
- Mengasingkan capaian mengikut kumpulan perkhidmatan maklumat, pengguna dan sistem maklumat dalam rangkaian;
- Mengawal sambungan ke rangkaian, khususnya bagi kemudahan yang dikongsi dan menjangkau sempadan PPUM; dan
- Mewujud dan melaksana kawalan pengalihan laluan (routing control) untuk memastikan pematuhan ke atas peraturan PPUM.
- Kawalan capaian internet adalah untuk memastikan bahawa capaian internet dikawal dan dihadkan kepada pengguna yang dibenarkan sahaja. Perkara-perkara yang perlu dipatuhi adalah seperti berikut:
- Penggunaan internet di PPUM hendaklah dipantau secara berterusan oleh Pentadbir Rangkaian bagi memastikan penggunaannya untuk tujuan capaian yang dibenarkan sahaja. Kewaspadaan ini akan dapat melindungi daripada kemasukan malicious code, virus dan bahan-bahan yang tidak sepatutnya ke dalam rangkaian PPUM;
- Kaedah Content Filtering mestilah digunakan bagi mengawal akses internet mengikut fungsi kerja dan pemantauan tahap pematuhan;
- Penggunaan teknologi pengurusan bandwith untuk mengawal aktiviti (video conferencing, video streaming, chat, downloading) adalah perlu bagi menguruskan penggunaan bandwidth yang maksimum dan lebih berkesan;
- Penggunaan Internet hanyalah untuk kegunaan rasmi sahaja. Pegawai Keselamatan ICT (ICTSO) berhak menentukan pengguna yang dibenarkan menggunakan internet atau sebaliknya;
- Laman yang dilayari hendaklah hanya yang berkaitan dengan bidang kerja dan terhad untuk tujuan yang dibenarkan oleh pegawai yang diberi kuasa;
- Bahan yang diperoleh dari Internet hendaklah ditentukan ketepatan dan kesahihannya. Sebagai amalan terbaik, rujukan sumber Internet hendaklah dinyatakan;
- Bahan rasmi hendaklah disemak dan mendapat pengesahan daripada Jabatan Perhubungan Awam sebelum dimuat naik ke Internet;
- Pengguna hanya dibenarkan memuat turun bahan yang sah seperti perisian yang berdaftar dan di bawah hak cipta terpelihara;
- Sebarang bahan yang dimuat turun dari Internet hendaklah digunakan untuk tujuan yang dibenarkan oleh PPUM;
- Penggunaan modem peribadi untuk tujuan sambungan ke Internet tidak dibenarkan sama sekali; dan
- Pengguna adalah dilarang melakukan aktiviti-aktiviti seperti berikut:
- Memuat naik, memuat turun, menyimpan dan menggunakan perisian tidak berlesen dan sebarang aplikasi seperti permainan elektronik, video, lagu yang boleh menjejaskan tahap prestasi capaian internet;
- Memuat naik, memuat turun dan menyimpan maklumat rasmi di luar PPUM ke laman storan atas talian; dan
- Menyedia, memuat naik, memuat turun dan menyimpan material, teks ucapan atau bahan-bahan yang mengandungi unsur-unsur lucah menggunakan talian internet PPUM; dan
- Melakukan pemasangan router atau wifi individu yang tidak sah untuk kepentingan peribadi (wifi haram).
|
Ketua Pegawai Maklumat PPUM (CIO) , Ketua Pegawai Keselamatan ICT PPUM (ICTSO), Pengurus ICT dan Pentadbir Sistem ICT
|
5.16 - PENGURUSAN IDENTITI IDENTITY MANGEMENT |
|
Mengawal pendaftaran, pembatalan akaun pengguna dan memastikan kawalan capaian diberikan kepada staf PPUM yang diperakukan sahaja serta menghalang capaian yang tidak dibenarkan kepada perkhidmatan ICT.
Pengguna adalah bertanggungjawab ke atas sistem ICT yang digunakan. Bagi mengenalpasti pengguna dan aktiviti yang dilakukan, Pentadbir Sistem perlu mengambil langkah-langkah yang berikut :
- Akaun yang diperuntukkan oleh PPUM sahaja boleh digunakan;
- ID pengguna hendaklah menggunakan nama sebenar pengguna dan unik;
- Akaun pengguna luar yang diwujudkan diberi tahap capaian dan tempoh masa mengikut peranan dan tanggungjawab pengguna dengan kelulusan Pengurus ICT;
- Pemilikan akaun pengguna bukanlah hak mutlak seseorang dan ianya tertakluk kepada peraturan dan arahan semasa. Akaun boleh ditarik balik jika penggunaannya melanggar peraturan yang telah ditetapkan. Pentadbir Sistem boleh menamatkan akaun pengguna atas sebab-sebab berikut :
- Bertukar bidang tugas kerja jawatan, tanggungjawab dan / atau bidang tugas;
- Bertukar atau berpindah agensi; dan
- Bersara atau meninggal dunia; atau
- Tamat perkhidmatan
- Pentadbir Sistem ICT boleh membuat tindakan terhadap pengguna apabila mendapat arahan dari Jabatan Sumber Manusia untuk perkara seperti di bawah:
- ditamatkan perkhidmatan :
- dalam prosiding dan / atau dikenakan tindakan tatatertib bagi tujuan dibuang kerja :
- akaun pengguna yang terlibat dalam proses penyiasatan insiden keselamatan :
|
Ketua Pegawai Maklumat PPUM (CIO) , Ketua Pegawai Keselamatan ICT PPUM (ICTSO), Pentadbir Sistem ICT
|
5.17 - MAKLUMAT PENGESAHAN AUTHENTICATION INFORMATION |
|
Pemilihan, penggunaan dan pengurusan kata laluan sebagai laluan utama bagi mencapai maklumat dan data dalam sistem mestilah mematuhi amalan terbaik serta prosedur yang telah ditetapkan seperti berikut:
Pengurusan kata laluan mestilah mematuhi amalan terbaik serta prosedur yang ditetapkan oleh PPUM seperti berikut:
- Dalam apa jua keadaan dan sebab, kata laluan hendaklah dilindungi dan tidak boleh dikongsi dengan sesiapa pun;
- Pengguna mesti menukar kata laluan apabila disyaki berlaku kebocoran kata laluan atau dikompromi;
- Kata laluan mesti ditukar setiap enam (6) bulan sekali;
- Panjang kata laluan mestilah sekurang kurangnya dua belas (12) aksara dengan gabungan antara huruf, aksara khas dan nombor (alphanumerik);
- Kata laluan hendaklah diingat dan TIDAK BOLEH dicatat, disimpan atau didedahkan dengan apa cara sekalipun;
- Kata laluan Windows hendaklah diaktifkan secara automatik apabila sesi Windows idle selepas 30 minit terutamanya pada komputer yang terletak di ruang gunasama;
- Kata laluan hendaklah tidak dipaparkan semasa input, dalam laporan atau media lain dan tidak boleh dikodkan di dalam aturcara;
- Kuatkuasakan pertukaran katalaluan semasa login kali pertama atau selepas kata laluan diset semula;
- Kata laluan hendaklah berlainan daripada pengenalan identiti pengguna seperti login id dan keratan nama;
- Had kemasukan katalaluan bagi capaian kepada sistem aplikasi adalah maksimum tiga (3) kali sahaja. Setelah mencapai tahap maksimum, capaian kepada sistem akan disekat sehingga id capaian diaktifkan semula;
- Sistem yang dibangunkan mestilah mempunyai kemudahan menukar kata laluan oleh pengguna; dan
- Penggunaan Multi-Factor Authentication (MFA) untuk kemudahan remote adalah digalakkan.
|
Ketua Pegawai Keselamatan ICT (ICTSO), Pentadbir Sistem ICT, Staf PPUM
|
5.18 - HAK AKSES ACCESS RIGHTS |
|
Akses pengguna hendaklah diberi kawalan dan penyeliaan yang ketat. Peruntukan akses pengguna adalah berdasarkan kepada perkara berikut:
- memastikan hak capaian pengguna hanya kepada yang dibenarkan sahaja atau mengikut bidang tugas;
- mengemaskini hak capaian pengguna sekurang-kurangnya 1 tahun sekali atau mengikut keperluan; dan
- mengemaskini hak capaian pengguna sekiranya bertukar bidang tugas, bertukar lokasi, tamat perkhidmatan, dibuang kerja atau bersara;
- memastikan hak capaian pengguna hanya kepada yang dibenarkan sahaja atau mengikut bidang tugas;
- mengemaskini hak capaian pengguna sekurang-kurangnya 1 tahun sekali atau mengikut keperluan; dan
- mengemaskini hak capaian pengguna sekiranya bertukar bidang tugas, bertukar lokasi, tamat perkhidmatan, dibuang kerja atau bersara.
|
Ketua Pegawai Keselamatan ICT (ICTSO), Pentadbir Sistem ICT
|
5.19 - HUBUNGAN DENGAN PEMBEKAL INFORMATION SECURITY IN SUPPLIER RELATIONSHIPS |
|
Keperluan keselamatan maklumat hendaklah dipersetujui dengan pembekal bagi mengurangkan risiko kepada aset ICT PPUM yang boleh dicapai oleh pihak luaran.
Perkara yang perlu dipatuhi adalah seperti berikut:
- Memastikan perjanjian disediakan mengikut tatacara perolehan yang berkuatkuasa;
- Pihak luaran hendaklah bersetuju dan mematuhi semua keperluan keselamatan maklumat yang relevan bagi mengakses, memproses, menyimpan, berinteraksi atau menyediakan komponen infrastruktur ICT untuk keperluan PPUM;
- Pihak luaran perlu mematuhi semua peraturan keselamatan yang berkuatkuasa seperti capaian ke atas aplikasi, aset dan premis kerajaan;
- Memastikan pihak luaran diberikan taklimat keselamatan; dan
- Menandatangani Non-Disclosure Agreement (NDA) untuk pembekal yang membekalkan perkhidmatan ICT.
|
Ketua Pegawai Maklumat (CIO), Pegawai Jabatan Perolehan, Pihak Pembekal
|
5.20 - MENANGANI KESELAMATAN MAKLUMAT DALAM PERJANJIAN PEMBEKAL ADDRESSING INFORMATION SECURITY IN ICT SUPPLY CHAIN |
|
Perkara yang perlu dipatuhi adalah seperti berikut :
- Pembekal hendaklah bersetuju dan mematuhi semua keperluan keselamatan maklumat yang relevan bagi mengakses, memproses, menyimpan, berinteraksi atau menyediakan komponen infrastruktur ICT untuk keperluan PPUM; dan
- Memastikan pembekal mematuhi semua syarat dan polisi keselamatan ICT. Perkara-perkara berikut hendaklah dimasukkan di dalam perjanjian yang dimeterai:
- Manual Kualiti Keselamatan Siber PPUM;
- Tapisan Keselamatan;
- Perakuan Akta Rahsia Rasmi 1972;
- Akta Perlindungan Data Peribadi 2010; dan
- Hak Harta Intelek.
|
Ketua Pegawai Maklumat, Pegawai Jabatan Perolehan, Pihak Pembekal
|
5.21 - MENGURUS KESELAMATAN MAKLUMAT DALAM RANTAIAN BEKALAN ICT MANAGING INFORMATION SECURITY IN THE ICT SUPPLY CHAIN |
|
Perjanjian dengan pembekal hendaklah mengambilkira keperluan keselamatan maklumat rantaian pembekal (Supply Chain) bagi menangani risiko iaitu:
- Menentukan keperluan keselamatan maklumat untuk kegunaan perolehan produk dan perkhidmatan;
- Pembekal utama hendaklah memaklumkan keperluan keselamatan maklumat kepada subkontraktor atau pembekal-pembekal lain yang memberi perkhidmatan atau pembekalan produk;
- Memastikan jaminan daripada pembekal bahawa semua komponen produk dan perkhidmatan sentiasa dapat dibekalkan dan berfungsi dengan baik; dan
- Melaksanakan pemantauan terhadap perkhidmatan mengikut keperluan termasuk penilaian tahap prestasi perkhidmatan.
|
Ketua Pegawai Maklumat (CIO), Pegawai Jabatan Perolehan, Pihak Pembekal
|
5.22 - MEMANTAU, MENYEMAK DAN MENGUBAH PENGURUSAN PERKHIDMATAN PEMBEKAL MONITORING, REVIEW AND CHANGE MANAGEMENT OF SUPPLIER |
|
PPUM hendaklah sentiasa memantau, mengkaji semula dan mengaudit perkhidmatan pembekal.
Perkara-perkara yang perlu diambil kira adalah seperti berikut:
- Melaksanakan pemantauan terhadap perkhidmatan mengikut keperluan termasuk penilaian tahap prestasi perkhidmatan bagi mengesahkan pihak luaran mematuhi perjanjian; dan
- Memaklumkan mengenai insiden keselamatan kepada pembekal seperti yang dikehendaki dalam perjanjian.
Perubahan pada perkhidmatan yang disediakan oleh pembekal perlu mematuhi perkara yang berikut:
- Memastikan perubahan dalam perkhidmatan pihak luaran dipersetujui bersama dan mendapat kelulusan pengurusan;
- Memastikan perubahan dalam perjanjian dengan pihak luaran mengambil kira maklumat kritikal sistem, proses yang terlibat dan kajian risiko;
- Perubahan yang dilakukan untuk meningkatkan perkhidmatan selaras dengan penambahbaikan sistem, pengubahsuaian dasar dan prosedur; dan
- Perubahan dalam perkhidmatan pihak luaran adalah seperti peningkatan teknologi, rangkaian, produk, perkakasan atau perubahan lokasi.
|
Ketua Pegawai Maklumat, Pegawai Jabatan Perolehan, Pihak Pembekal
|
5.23 - KESELAMATAN MAKLUMAT UNTUK PENGGUNAAN PERKHIDMATAN CLOUD INFORMATION SECURITY FOR USE OF CLOUD SERVICE |
|
Perkara yang perlu dipatuhi bagi perkhidmatan pengkomputeran awan di jabatan atau agensi adalah seperti berikut:
- Perkhidmatan pengkomputeran awan yang dipilih hendaklah dipastikan selamat bagi menjamin keselamatan maklumat;
- Penggunaan pengkomputeran awan (cloud computing) seperti perkongsian maklumat, pemprosesan data dan sebagainya bagi tujuan rahsia rasmi tidak dibenarkan sama sekali kecuali pengkomputeran awan yang dibangunkan dan dibenarkan oleh Jawatankuasa Pemandu ICT PPUM (JPICT) serta tertakluk kepada arahan-arahan yang dikeluarkan oleh kerajaan dari semasa ke semasa;
- Pelaksanaan pengkomputeran awan yang menyeluruh hendaklah merujuk kepada Garis Panduan Pengurusan Keselamatan Maklumat Melalui Pengkomputeran Awan (Cloud Computing) Dalam Perkhidmatan Awam yang sedang berkuatkuasa; dan
- Pelaksanaan pengkomputeran awan yang menyeluruh hendaklah merujuk kepada Garis Panduan Pengurusan Keselamatan Maklumat Melalui Pengkomputeran Awan (Cloud Computing) Dalam Perkhidmatan Awam yang sedang berkuatkuasa.
|
Ketua Pegawai Maklumat (CIO), Ketua Pegawai Keselamatan ICT (ICTSO), Pentadbir Sistem ICT
|
5.24 - PERANCANGAN DAN PENYEDIAAN PENGURUSAN INSIDEN KESELAMATAN MAKLUMAT INFORMATION SECURITY INCIDENT MANAGEMENT PLANNING AND PREPARATION |
|
Memastikan insiden keselamatan maklumat dikendalikan dengan cepat, teratur dan berkesan bagi meminimumkan kesan insiden dan mengenal pasti kelemahan apabila berlaku insiden. Perkara yang perlu dipatuhi seperti berikut:
- Memastikan tindakan pengukuhan serta maklum balas yang cepat, efektif dan teratur bagi setiap insiden keselamatan; dan
- Pemakluman kepada pihak berkuasa atau agensi yang bertanggungjawab dalam menangani insiden keselamatan mengikut keperluan.
Insiden keselamatan ICT hendaklah dilaporkan kepada ICTSO dengan merujuk proses kerja pelaporan insiden yang sedang berkuatkuasa. Pelaporan atau aduan perlu dilakukan dengan kadar segera apabila berlakunya perkara seperti berikut:
- Maklumat didapati hilang atau disyaki hilang kepada pihak yang tidak bertanggungjawab;
- Maklumat didapati didedahkan atau disyaki didedahkan kepada pihak yang tidak diberi kuasa capaian;
- Sistem aplikasi digunakan tanpa kebenaran atau disyaki sedemikian;
- Kawalan akses hilang, dicuri, diseleweng, didedahkan atau disyaki sedemikian; dan
- Berlaku insiden pada sistem aplikasi atau sistem rangkaian yang luar daripada kebiasaan.
|
Ketua Pegawai Keselamatan ICT (ICTSO), Pasukan Tindak Balas Insiden Keselamatan ICT PPUM
|
5.25 - PENILAIAN DAN KEPUTUSAN MENGENAI PERISTIWA KESELAMATAN MAKLUMAT ASSESSMENT AND DECISION ON INFORMATION SECURITY EVENTS |
|
Aktiviti yang memberi ancaman kepada keselamatan maklumat hendaklah dinilai dan dianalisa sama ada akan diklasifikasikan sebagai insiden atau tidak.
Perkara yang perlu diambil kira adalah seperti berikut:
- Merekod dan menyimpan semua aktiviti keselamatan maklumat secara berpusat atau pada peralatan ICT; dan
- Menganalisa setiap aktiviti keselamatan maklumat secara berkala bagi memastikan pihak yang berkaitan dapat mengklasifikasikan aktiviti tersebut.
|
Ketua Pegawai Keselamatan ICT (ICTSO), Pentadbir Sistem ICT
|
5.26 - TINDAK BALAS KEPADA INSIDEN KESELAMATAN MAKLUMAT RESPONSE TO INFORMATION SECURITY INCIDENTS |
|
Menangani insiden keselamatan maklumat mengikut proses kerja pengendalian insiden yang sedang berkuatkuasa
|
Ketua Pegawai Keselamatan ICT (ICTSO), Pasukan Tindak Balas Insiden Keselamatan ICT PPUM
|
5.27 - PEMBELAJARAN DARI INSIDEN KESELAMATAN MAKLUMAT LEARNING FROM INFORMATION SECURITY INCIDENTS |
|
Pengetahuan dan pengalaman yang diperolehi daripada menganalisis dan menyelesaikan kes-kes insiden keselamatan maklumat perlu digunakan untuk mengurangkan kemungkinan dan kesan kejadian pada masa depan.
|
Ketua Pegawai Keselamatan ICT (ICTSO), Pasukan Tindak Balas Insiden Keselamatan ICT PPUM
|
5.28 - PENGUMPULAN BAHAN BUKTI COLLECTION OF EVIDANCE |
|
Perkara yang perlu dipatuhi adalah :
- Mengenalpasti, mengumpul dan merekodkan maklumat yang boleh dijadikan sebagai bahan bukti; dan
- Staf PPUM yang terlibat dalam pengumpulan bukti adalah staf PPUM yang berkelayakan dan menggunakan alatan atau tools yang diperakui bagi memelihara nilai bukti.
|
Ketua Pegawai Keselamatan ICT (ICTSO), Pasukan Tindak Balas Insiden Keselamatan ICT PPUM
|
5.29 - KESELAMATAN MAKLUMAT SEMASA GANGGUAN INFORMATION SECURITY DURING DISTRUPTION |
|
Bagi memastikan tiada gangguan kepada proses dalam penyediaan perkhidmatan PPUM perkara-perkara berikut perlu diberi perhatian:
- Mengenal pasti semua tanggungjawab dan prosedur kecemasan atau pemulihan;
- Mengenalpasti kemungkinan peristiwa, ancaman dan impak yang boleh mengakibatkan gangguan terhadap proses PPUM dan keselamatan ICT;
- Melaksanakan prosedur-prosedur kecemasan bagi membolehkan pemulihan dapat dilakukan dalam jangka masa yang ditetapkan;
- Mendokumentasikan proses dan prosedur yang telah dipersetujui;
- Mengadakan program latihan atau simulasi kepada pengguna mengenai prosedur kecemasan sekurang-kurangnya setahun sekali; dan
- Menjalankan analisis impak organisasi
Pelan Kesinambungan Perkhidmatan perlu dibangunkan dan hendaklah mengandungi perkara berikut:
- Senarai keperluan keselamatan maklumat dalam membangunkan kesinambungan perkhidmatan;
- Senarai aktiviti teras, aset, tanggungjawab, struktur PPUM yang dianggap kritikal dan prosedur kecemasan atau pemulihan amalan terbaik mengikut susunan keutamaan;
- Senarai staf PPUM dan pihak luaran berserta nombor yang boleh dihubungi (faksimili, telefon dan e-mel). Senarai staf gantian juga hendaklah dikenalpasti bagi menggantikan staf yang tidak dapat hadir untuk menangani insiden;
- Senarai lengkap maklumat yang perlu disalin pendua (backup) dan lokasi sebenar penyimpanannya;
- Menetapkan arahan pemulihan maklumat dan kemudahan yang berkaitan;
- Alternatif sumber pemprosesan dan lokasi untuk menggantikan sumber yang telah terancam;
- Perjanjian dengan pembekal perkhidmatan untuk mendapatkan penyambungan semula perkhidmatan mengikut keutamaan; dan
- Pelan pengujian kesinambungan perkhidmatan.
|
Ketua Pegawai Maklumat (CIO), Ketua Pegawai Keselamatan ICT (ICTSO), Pentadbir ICT
|
5.30 - KESEDIAAN ICT UNTUK KESINAMBUNGAN PERKHIDMATAN ICT READINESS FOR BUSINESS CONTINUITY |
|
Bagi memastikan tiada gangguan kepada proses dalam penyediaan perkhidmatan PPUM perkara-perkara berikut perlu diberi perhatian:
- Kesediaan ICT hendaklah dirancang, dilaksanakan, dikekalkan dan diuji berdasarkan objektif kesinambungan perkhidmatan dan keperluan kesinambungan ICT bagi memastikan ketersediaan maklumat organisasi dan aset lain yang berkaitan semasa gangguan; dan
- Memastikan integriti dan ketersediaan maklumat dikekalkan sebelum, semasa dan selepas tempoh gangguan perkhidmatan. Ia mengambil kira objektif masa pemulihan (RTO- Recovery Time Objective) organisasi dan keseluruhan analisis impak perniagaan (BIA- Business Impact Analysis).
|
Ketua Pegawai Maklumat (CIO), Ketua Pegawai Keselamatan ICT (ICTSO), Pentadbir Sistem ICT
|
5.31 - KEPERLUAN UNDANG-UNDANG, BERKANUN, PERATURAN DAN KONTRAK LEGAL, STATUTORY, REGULATORY AND CONTRACTUAL REQUIREMENTS |
|
Keperluan perundangan, peraturan dan perjanjian kontrak hendaklah dikenalpasti dan dipatuhi oleh staf PPUM dan pembekal. Keperluan perundangan atau peraturan-peraturan lain berkaitan yang perlu dipatuhi oleh semua pengguna di PPUM dan pembekal.
Perkara yang perlu diberi perhatian adalah seperti berikut:
- Sekatan ke atas pembekal perkakasan dan perisian komputer yang melaksanakan atau mengubahsuai fungsi kriptografi tanpa kelulusan pihak kerajaan atau berkuasa; dan
- Sekatan penggunaan enkripsi yang tidak dibenarkan.
|
Ketua Pegawai Keselamatan ICT (ICTSO), Pentadbir Sistem ICT
|
5.32 - HAK HARTA INTELEK INTELLECTUAL PROPERTY RIGHTS |
|
Perkara yang perlu dipatuhi adalah seperti berikut:
- Peraturan yang sesuai dilaksanakan untuk pematuhan keatas perlembangaan, undang-undang dan keperluan perjanjian mengenai penggunaan produk yang tertakluk kepada hak milik harta intelek; dan
- Semakan perlu dilakukan bagi memastikan pemasangan perisian dan lesen adalah terhad kepada perisian dan lesen yang dibenarkan.
|
Ketua Pegawai Maklumat (CIO)
|
5.33 - PERLINDUNGAN REKOD PROTECTION OF RECORDS |
|
Rekod sama ada digital atau bukan digital hendaklah dilindungi daripada kehilangan, kemusnahan, pemalsuan, pelepasan yang tidak dibenarkan mengikut undang-undang, peraturan, kontrak dan keperluan jabatan atau agensi.
Perkara yang perlu diberi perhatian adalah seperti berikut:
- Penyimpanan, pengendalian dan pelupusan rekod;
- Jadual penyimpanan rekod; dan
- Inventori rekod
|
Ketua Pegawai Maklumat (CIO)
|
5.34 - PRIVASI DAN PERLINDUNGAN MAKLUMAT PERIBADI PRIVACY AND PROTECTION OF PII |
|
PPUM hendaklah memberi jaminan dalam melindungi maklumat peribadi pengguna seperti tertakluk di dalam undang-undang dan peraturan-peraturan Kerajaan Malaysia.
Perkara yang boleh diberi perhatian adalah seperti berikut:
- Tidak mendedahkan maklumat peribadi pengguna pada mana-mana pihak yang tidak berkaitan;
- Memastikan kawalan penyimpan rekod maklumat peribadi pengguna di tempat yang selamat; dan
- Maklumat peribadi pengguna hanya boleh digunakan untuk tujuan rasmi dengan kebenaran.
|
Ketua Pegawai Maklumat (CIO)
|
5.35 - KAJIAN KESELAMATAN MAKLUMAT OLEH PIHAK KETIGA ATAU BADAN BEBAS INDEPENDENT REVIEW OF INFORMATION SECURITY |
|
Perkara yang perlu dipatuhi adalah seperti berikut:
- Penilaian keselamatan maklumat yang meliputi objektif kawalan, kawalan, polisi, prosedur, perubahan produk atau perkhidmatan, dikaji secara bebas oleh pihak luaran sekiranya terdapat perubahan ketara terhadap sistem dan infrastruktur;
- Pihak luaran yang melakukan kajian keselamatan maklumat perlu mempunyai kecekapan yang sesuai.
|
Ketua Pegawai Maklumat (CIO)
|
5.36 - PEMATUHAN DASAR, PERATURAN DAN STANDARD UNTUK KESELAMATAN MAKLUMAT COMPLIANCE WITH POLICIES, RULES AND STANDARDS FOR INFORMATION SECURITY |
|
Perkara yang perlu diberi perhatian adalah seperti berikut:
- Semua prosedur keselamatan perlu mematuhi dasar, piawaian dan keperluan teknikal;
- Sistem maklumat perlu diperiksa sekurang-kurangnya sekali setahun bagi mematuhi piawaian perlaksanaan keselamatan ICT;
- Kajian semula terhadap pematuhan pemprosesan maklumat dan prosedur sekurang - kurangnya 2 tahun sekali; dan
- Sebarang penilaian pematuhan teknikal seperti aktiviti Security Posture Assesment (SPA) mestilah dijalankan oleh pihak yang kompeten.
|
Ketua Pegawai Maklumat (CIO), Ketua Pegawai Keselamatan ICT (ICTSO), Pentadbir Sistem ICT
|
5.37 - PENGENDALIAN PROSEDUR YANG DIDOKUMENKAN DOCUMENTED OPERATING PROCEDURES |
|
Perkara yang perlu diberi perhatian adalah seperti berikut:
- Semua prosedur keselamatan maklumat yang diwujud, dikenalpasti dan masih digunapakai hendaklah didokumenkan, disimpan dan dikawal;
- Setiap prosedur mestilah mengandungi arahan-arahan yang jelas, teratur dan lengkap seperti keperluan kapasiti, pengendalian dan pemprosesan maklumat, pengendalian dan penghantaran ralat, pengendalian output, bantuan teknikal dan pemulihan sekiranya pemprosesan tergendala atau terhenti; dan
- Semua prosedur hendaklah dikemas kini dari semasa ke semasa atau mengikut keperluan.
|
Ketua Pegawai Keselamatan ICT (ICTSO), Pentadbir Sistem ICT
|