BIDANG A.6 KESELAMATAN ORGANISASI

 

A.6.1 STRUKTUR ORGANISASI KESELAMATAN PPUM

Objektif :

Menerangkan peranan dan tanggungjawab individu yang terlibat dengan lebih jelas dan teratur dalam mencapai objektif Polisi Keselamatan Siber PPUM.

a) Pengarah PPUM

Peranan dan tanggungjawab Pengarah adalah seperti berikut :

  • Membaca, memahami dan mematuhi Polisi Keselamatan Siber PPUM;
  • Memastikan semua pengguna memahami peruntukan-peruntukan di bawah Polisi Keselamatan Siber PPUM;
  • Memastikan semua pengguna mematuhi Polisi Keselamatan Siber PPUM;
  • Memastikan semua keperluan organisasi seperti sumber kewangan, sumber staf dan perlindungan keselamatan adalah mencukupi; dan
  • Memastikan penilaian risiko dan program keselamatan ICT dilaksanakan seperti yang ditetapkan di dalam Polisi Keselamatan Siber PPUM.

b) Ketua Pegawai Maklumat PPUM

Jawatan Ketua Pegawai Maklumat PPUM adalah disandang oleh Timbalan Pengarah Pengurusan. Peranan dan tanggungjawab Ketua Pegawai Maklumat PPUM adalah seperti berikut:

  • Membaca, memahami dan mematuhi Polisi Keselamatan Siber PPUM;
  • Bertanggungjawab ke atas perkara-perkara yang berkaitan dengan keselamatan ICT PPUM;
  • Memastikan kawalan keselamatan maklumat dalam organisasi diseragam dan diselaraskan dengan sebaiknya;
  • Menentukan keperluan keselamatan ICT;
  • Mempengerusikan Jawatankuasa Pemandu ICT (JPICT); dan
  • vi. Memastikan program-program kesedaran mengenai Keselamatan ICT terlaksana;

c) Ketua Pegawai Keselamatan PPUM

Peranan dan tanggungjawab ICTSO yang dilantik adalah seperti berikut:

  • Membaca, memahami dan mematuhi Polisi Keselamatan Siber PPUM;
  • Mengurus keseluruhan program keselamatan ICT PPUM;
  • Menguatkuasakan pelaksanaan Polisi Keselamatan Siber di PPUM;
  • Mewujudkan garis panduan, prosedur dan tatacara selaras dengan keperluan Polisi Keselamatan Siber PPUM;
  • Menjalankan pengurusan risiko dan audit keselamatan ICT berpandukan Malaysian Public Sector Management of Information and Communication (MyMIS) untuk mengenalpasti ketidakpatuhan kepada Polisi Keselamatan Siber PPUM;
  • Menyedia dan menyebarkan amaran-amaran yang sesuai terhadap kemungkinan berlaku ancaman keselamatan ICT dan memberikan khidmat nasihat serta menyediakan langkah-langkah perlindungan yang bersesuaian;
  • Melaporkan insiden keselamatan ICT kepada Pasukan Tindak balas Insiden Keselamatan ICT Kerajaan (GCERT MAMPU) dan seterusnya membantu dalam penyiasatan atau pemulihan;
  • Melaporkan insiden keselamatan ICT kepada Ketua Pegawai Maklumat PPUM bagi insiden yang memerlukan Pelan Kesinambungan Perkhidmatan (PKP);
  • Bekerjasama dengan semua pihak yang berkaitan dalam mengenal pasti punca ancaman atau insiden keselamatan ICT dan memperakukan langkah-langkah baik pulih dengan segera;
  • Memastikan pematuhan Polisi Keselamatan Siber PPUM oleh pihak luar seperti pembekal dan kontraktor yang mencapai dan menggunakan aset ICT PPUM untuk tujuan penyelenggaraan dan sebagainya;
  • Menyemak, mengkaji dan menyediakan laporan berkaitan dengan isu-isu keselamatan; dan
  • Memastikan Pelan Strategik ICT PPUM mengandungi aspek keselamatan;

d) Pentadbir Sistem ICT

Peranan dan tanggungjawab Pentadbir Sistem ICT adalah seperti berikut:

  • Mengambil tindakan yang bersesuaian dengan segera apabila dimaklumkan mengenai staf yang berhenti, bertukar, bercuti, berkursus panjang atau berlaku perubahan dalam bidang tugas;
  • Menentukan ketepatan dan kesempurnaan sesuatu tahap capaian berdasarkan arahan pemilik sumber maklumat sebagaimana yang telah ditetapkan di dalam Polisi Keselamatan Siber PPUM;
  • Memantau aktiviti capaian harian sistem aplikasi pengguna;
  • Mengenal pasti aktiviti-aktiviti tidak normal seperti pencerobohan dan pengubahsuaian data tanpa kebenaran dan membatalkan atau memberhentikannya dengan serta merta;
  • Menganalisis dan menyimpan rekod jejak audit;
  • Menyediakan laporan mengenai aktiviti capaian secara berkala; dan
  • Bertanggungjawab memantau setiap perkakasan ICT yang diagihkan kepada pengguna seperti komputer peribadi, komputer riba, pencetak, pengimbas dan sebagainya di dalam keadaan yang baik.

e) Jawatankuasa Pemandu ICT PPUM (JPICT)

Jawatankuasa Pemandu ICT (JPICT) adalah jawatankuasa yang bertanggungjawab dalam keselamatan ICT dan berperanan sebagai penasihat dan pemangkin dalam merumuskan rancangan dan strategi keselamatan ICT PPUM.
Di PPUM, Keanggotaan Jawatankuasa Pemandu ICT (JPICT) adalah seperti berikut:

  • Pengerusi : Pengarah PPUM
    Ahli :-
    • Timbalan Pengarah
    • Ketua Pegawai Maklumat PPUM
    • Ketua Jabatan Kewangan
    • Ketua Juruaudit
    • Ketua Pegawai Keselamatan ICT PPUM
    • Pegawai Teknologi Maklumat

Bidang kuasa:

  1. Memperakukan / meluluskan dokumen Polisi Keselamatan Siber PPUM;
  2. Memantau tahap pematuhan keselamatan ICT;
  3. Memperaku garis panduan, prosedur dan tatacara untuk aplikasi khusus dalam PPUM yang mematuhi keperluan Polisi Keselamatan Siber PPUM;
  4. Menilai teknologi yang bersesuaian dan mencadangkan penyelesaian terhadap keperluan keselamatan ICT;
  5. Memastikan Polisi Keselamatan Siber PPUM selaras dengan dasar-dasar ICT kerajaan semasa;
  6. Menerima laporan dan membincangkan hal-hal keselamatan ICT semasa;
  7. Membincang tindakan yang melibatkan pelanggaran Polisi Keselamatan Siber PPUM; dan
  8. Membuat keputusan mengenai tindakan yang perlu diambil mengenai sebarang insiden.

 

f)Pasukan Tindak Balas Insiden Keselamatan ICT PPUM

Keanggotaan Pasukan Tindak Balas Insiden Keselamatan ICT adalah seperti berikut:

Pengurus:
Ketua, Jabatan Teknologi Maklumat, PPUM
Ahli :
Ketua Unit Seksyen Infrastruktur dan Seksyen Aplikasi , dan;
Pegawai Teknologi Maklumat di Seksyen Infrastruktur dan Seksyen Aplikasi
Peranan dan tanggungjawab Pasukan Tindak Balas Insiden Keselamatan ICT adalah seperti berikut:

i. Menerima dan mengesan aduan keselamatan ICT serta menilai tahap dan jenis insiden;
ii. Merekod dan menjalankan siasatan awal insiden yang diterima;
iii. Menangani tindak balas insiden keselamatan ICT dan mengambil tindakan baik pulih minimum;
iv. Menasihati PPUM mengambil tindakan pemulihan dan pengukuhan; dan
v. Menyebarkan makluman berkaitan pengukuhan keselamatan ICT kepada PPUM.

g) Pengguna


Peranan dan tanggungjawab pengguna adalah seperti berikut:

 

i. Membaca, memahami dan mematuhi Polisi Keselamatan Siber PPUM;
ii. Mengetahui dan memahami implikasi keselamatan ICT kesan dari tindakannya;
iii. Menjalani tapisan keselamatan sekiranya dikehendaki berurusan dengan maklumat rasmi terperingkat;
iv. Mematuhi prinsip-prinsip Polisi Keselamatan Siber PPUM dan menjaga kerahsiaan maklumat PPUM;
v. Melaksanakan langkah-langkah perlindungan seperti berikut :

• Menghalang pendedahan maklumat kepada pihak yang tidak dibenarkan;
• Memeriksa maklumat dan menentukan ia tepat dan lengkap dari semasa ke semasa;
• Menentukan maklumat sedia untuk digunakan;
• Menjaga kerahsiaan kata laluan;
• Mematuhi standard, prosedur, langkah dan garis panduan keselamatan yang ditetapkan;
• Melaksanakan peraturan berkaitan maklumat terperingkat terutama semasa pewujudan, pemprosesan, penyimpanan, penghantaran, penyampaian, pertukaran dan pemusnahan; dan Menjaga kerahsiaan langkah-langkah keselamatan ICT dari diketahui umum. .

vi. Melaporkan sebarang aktiviti yang mengancam keselamatan ICT kepada ICTSO dengan segera;
vii. Menghadiri program-program kesedaran mengenai keselamatan ICT; dan
viii. Menandatangani “Surat Akuan Pematuhan” (LAMPIRAN 1) bagi mematuhi Polisi Keselamatan Siber PPUM.

 

A.6.2 TELEWORKING DAN PERALATAN MUDAH ALIH

Objektif:

Memastikan keselamatan teleworking dan penggunaan peralatan mudah alih.

A.6.2.1 Bring Your Own Device (BYOD)

Penggunaan telefon pintar, iPad, tablet dan notebook milik peribadi oleh staf PPUM untuk mencapai maklumat jabatan dan sistem perawatan pesakit perlu selaras dengan prinsip Confidentiality, Integrity dan Availability (CIA). Pengguna bertanggung jawab untuk memastikan langkah-langkah keselamatan perlindungan berkaitan penggunaan BYOD dilaksanakan dan diberi perhatian sewajarnya.

Tujuan garis panduan BYOD adalah seperti berikut :

  1. Mengelak risiko kebocoran maklumat rasmi;
  2. Mengelakkan ancaman risiko keselamatan ke atas infrastruktur ICT;
  3. Memastikan produktiviti staf PPUM tidak terjejas dalam menjalankan urusan rasmi jabatan; dan
  4. Meningkatkan integriti data.

Risiko keselamatan melibatkan peralatan mudah alih persendirian boleh dibahagikan kepada dua kategori iaitu :

a) Risiko Alat

Berpunca daripada peralatan mudah alih peribadi berkeupayaan tinggi seperti penyimpanan data samada dalaman atau di cloud, penghantaran maklumat keluar daripada organisasi dan kehilangan peralatan. Organisasi biasanya tidak mempunyai kawalan atau mempunyai kawalan yang sangat terhad terhadap peralatan mudah alih ini berbanding PC desktop atau komputer riba yang dibekalkan.

b) Risiko Aplikasi

Timbul akibat daripada pekerja memasang aplikasi mudah alih pihak ketiga yang berinteraksi dengan data rasmi organisasi yang disimpan di dalam peralatan.

Strategi pengurusan sebagai langkah mengurangkan risiko keselamatan adalah seperti berikut:

Langkah 1 : Kurangkan Risiko dengan Pengurusan Peralatan Mudah Alih (Mobile Device Management)

 

a) Pertukaran dan penggantian peralatan mudah alih peribadi adalah hak pengguna PPUM. Walau bagaimanapun data yang disimpan di dalam peralatan mudah alih dan dihantar keluar dari organisasi melibatkan data rasmi organisasi.
b) Mengakses kepada aplikasi, internet dan wifi PPUM melalui ID SSO.

 

c) Maklumat rasmi perlu dibuat pengkelasan dan peralatan mudah alih yang dibenarkan untuk mencapai maklumat dan aplikasi mengikut pengkelasan berkaitan perlu ditentukan. Penggunaan tool Pengurusan Peralatan Mudah Alih boleh membantu memudahkan pengurusan berikut:
i. Konfigurasi telefon pintar dan tablet
ii. Agihan dan capaian perisian / aplikasi
iii. Enkripsi dan pengurusan kata laluan
iv. Remote wipe and lock

Langkah 2 : Kurangkan Risiko Muat Turun Aplikasi Melalui Polisi dan Latihan

 

a) Kebanyakan aplikasi yang dimuat turun daripada sumber yang tidak diketahui berkemungkinan mengandungi malicious code. Aplikasi yang dimuat turun oleh pengguna melalui Internet ke dalam telefon pintar dan tablet boleh mendatangkan ancaman serta mempunyai impak yang besar terhadap keselamatan apabila peranti yang sama digunakan untuk mencapai maklumat dan aplikasi rasmi PPUM.

 

b) Sesetengah aplikasi yang dimuat turun mempunyai keupayaan untuk memuat naik maklumat dan gambar yang disimpan dalam peranti pintar peribadi secara sulit dan tidak diketahui oleh pemiliknya. Pembekal peranti pintar seperti Apple IOS atau Android belum mempunyai kaedah khusus untuk menyekat ancaman ini daripada berlaku.

 

c) Muat turun aplikasi yang dibuat oleh pengguna perlu dibuat melalui sumber yang dipercayai contohnya AppStore.

Langkah 3 : Membangunkan Aplikasi Secara Dalaman

 

a) Banyak organisasi telah mula membangunkan aplikasi peralatan mudah alih secara dalaman. Pembangunan aplikasi secara dalaman ini merupakan alternatif yang memudahkan PPUM mematuhi metodologi pembangunan sistem secara selamat.

 

b) Aplikasi yang dibangunkan ini mesti mempunyai kaedah authentication sebelum capaian kepada data organisasi dibenarkan.

 

c) Aplikasi yang dibangunkan tidak menyimpan data atau rekod pesakit di dalam peralatan mudah alih tersebut.


Langkah 4 : Melaksanakan Audit Keselamatan Terhadap Peralatan, Infrastruktur dan Aplikasi Mudah Alih

 

a) Tidak ada sebarang strategi keselamatan peralatan mudah alih yang komprehensif melainkan setelah audit keselamatan terhadap peralatan, infrastruktur dan aplikasi dilaksanakan.

 

b) Pelaksanaan audit keselamatan perlu meliputi aspek berikut:

i. Membuat penilaian terhadap infrastruktur ICT mudah alih;
ii. Melaksanakan ujian penembusan (penetration test) terhadap peralatan mudah alih dan pelayan yang terlibat;
iii. Membuat penilaian terhadap keselamatan aplikasi bagi menentukan jika terdapat kemungkinan berlaku kebocoran maklumat; dan
iv. Menilai jurang antara polisi dan prosedur yang dikuatkuasakan dengan amalan terbaik (best practices).

 

A.6.2.2 e-Service

Memastikan keselamatan dan sensitiviti aplikasi serta maklumat di dalam perkhidmatan e-Service dan penggunaannya. Perkara yang perlu dipatuhi adalah seperti berikut:

a) Maklumat yang terlibat dalam e-Service perlu dilindungi daripada aktiviti penipuan, pertikaian kontrak dan pendedahan serta pengubahsuaian yang tidak dibenarkan;

b) Maklumat yang terlibat dengan transaksi dalam talian perlu dilindungi bagi mengelak penghantaran yang tidak lengkap, salah destinasi, pengubahsuaian, pendedahan, duplikasi atau pengulangan mesej yang tidak dibenarkan;

c) Integriti maklumat yang disediakan dalam sistem untuk kegunaan awam perlu dilindungi untuk mengelakkan daripada pengubahsuaian yang tidak dibenarkan.

d) Memastikan sistem yang boleh diakses oleh orang awam diuji terlebih dahulu; dan

e) Memastikan segala maklumat yang hendak dipaparkan telah disah dan diluluskan sebelum dimuat naik ke laman web.