7.1 - KAWALAN KESELAMATAN FIZIKAL PHYSICAL SECURITY PERIMETERS |
|
Kawalan yang bertujuan untuk menghalang capaian, kerosakan dan gangguan secara fizikal terhadap premis dan maklumat agensi.
Perkara-perkara yang perlu dipatuhi termasuk yang berikut:
- Kawasan keselamatan fizikal hendaklah dikenal pasti dengan jelas. Lokasi dan keteguhan keselamatan fizikal hendaklah bergantung pada keperluan untuk melindungi asset;
- Menggunakan keselamatan parameter (halangan seperti dinding, pagar kawalan, pengawal keselamatan) untuk melindungi kawasan yang mengandungi maklumat dan kemudahan pemprosesan maklumat;
- Melindungi kawasan terhad melalui kawalan pintu masuk yang bersesuaian bagi memastikan staf yang diberi kebenaran sahaja boleh melalui pintu masuk tersebut;
- Mengawal jalan keluar masuk;
- Mengadakan kaunter kawalan;
- Mewujudkan perkhidmatan kawalan keselamatan;
- Menyediakan ruang atau bilik khas untuk pelawat;
- Mereka bentuk dan melaksanakan keselamatan fizikal di dalam pejabat, bilik dan kemudahan daripada kebakaran, banjir, letupan, kacau-bilau manusia dan sebarang bencana;
- Melaksana perlindungan fizikal dan menyediakan garis panduan untuk staf yang bekerja di dalam kawasan terhad;
- Memastikan kawasan penghantaran, pemunggahan dan juga tempat-tempat lain dikawal dari pihak yang tidak diberi kebenaran memasukinya; dan
- Memasang alat penggera atau kamera litar tertutup (CCTV).
|
Ketua Pegawai Maklumat (CIO), Ketua Pegawai Keselamatan ICT (ICTSO), Ketua Pegawai Keselamatan
|
7.2 - KAWALAN MASUK FIZIKAL PHYSICAL ENTRY |
|
Kawalan kemasukan fizikal adalah bertujuan untuk mewujudkan kawalan keluar masuk ke premis PPUM.
Perkara yang perlu dipatuhi adalah seperti berikut:
- Staf PPUM hendaklah mempamerkan kad staf sepanjang waktu bertugas;
- Semua kad staf hendaklah dikembalikan kepada PPUM apabila bertukar, tamat perkhidmatan atau bersara;
- Pihak luaran yang dilantik oleh PPUM bagi menjalankan aktiviti penyelenggaraanatau sokongan di premis PPUM perlu mendapatkan pas keselamatan dari Jabatan Keselamatan PPUM. Pas tersebut hendaklah dikembalikan selepas tamat aktiviti atau tugasan;
- Permohonan pas keselamatan perlu direkodkan; dan
- Kehilangan pas hendaklah dilaporkan segera.
|
Ketua Pegawai Maklumat (CIO), Ketua Pegawai Keselamatan ICT (ICTSO), Ketua Pegawai Keselamatan, Staf PPUM, Pihak Luaran
|
7.3 - KAWALAN KESELAMATAN PEJABAT, BILIK DAN KEMUDAHAN ICT SECURING OFFICES, ROOMS AND FACILITIES |
|
Perkara yang perlu dipatuhi adalah seperti berikut:
- Kawasan tempat berkerja, bilik dan tempat operasi ICT perlu dihadkan daripada akses pihak luar;
- Penunjuk ke lokasi bilik operasi dan tempat larangan tidak harus menonjol dan hanya memberi petunjuk minimum; dan
- Tidak merekodkan kawasaan larangan di dalam direktori atau peta atas talian yang boleh diakses oleh orang yang tidak dibenarkan.
|
Ketua Pegawai Maklumat (CIO), Ketua Pegawai Keselamatan ICT (ICTSO), Ketua Pegawai Keselamatan
|
7.4 - PEMANTAUAN KESELAMATAN FIZIKAL PHYSICAL SECURITY MONITORING |
|
Memantau akses tanpa kebenaran ke atas kawasan fizikal terhad yang telah ditentukan seperti bilik pelayan dan bilik peralatan ICT. Akses tanpa kebenaran boleh mengakibatkan kehilangan kerahsiaan, ketersediaan, integriti dan keselamatan aset maklumat.
Perkara yang perlu dipatuhi adalah seperti berikut:
- Mengesan dan mencegah penceroboh dari memasuki kawasan larangan fizikal tanpa kebenaran dengan meletakkan alat pengawasan yang sesuai; dan
- Alat pengawasan perlu sentiasa memantau dan merekodkan kawasan larangan dan melindungi PPUM daripada risiko yang mungkin timbul akibat daripada akses tanpa kebenaran, termasuk (tetapi tidak terhad kepada):
- Kecurian data sensitif;
- Kehilangan aset maklumat;
- Kerosakan melibatkan kewangan;
- Kecurian aset media boleh alih untuk aktiviti berniat jahat;
- Jangkitan malware pada peralatan ICT; dan
- Serangan ransomware yang mungkin dilakukan oleh penceroboh.
- Sistem pengawasan dan sistem penggera perlu sentiasa diuji secara berkala.
|
Ketua Pegawai Maklumat (CIO)
|
7.5 - KAWALAN PERLINDUNGAN ANCAMAN LUAR DAN BENCANA ALAM PROTECTION AGAINST PHYSICAL AND ENVIRONMENTAL THREATS |
|
Keperluan menilai, mengenal pasti, mereka bentuk dan melaksanakan perlindungan fizikal bagi mengurangkan risiko kepada infrastruktur fizikal yang kritikal.
Perkara yang perlu dipatuhi adalah seperti berikut :
- Mereka bentuk, melaksana dan membuat kajian semula pelan perlindungan fizikal daripada kebakaran, banjir dan bencana alam; dan
- Memastikan pelan tindakan perlindungan bagi ancaman berbahaya seperti letupan, kacau bilau, rusuhan dan sebagainya.
|
Ketua Pegawai Maklumat (CIO), Ketua Pegawai Keselamatan ICT (ICTSO), Ketua Pegawai Keselamatan
|
7.6 - BEKERJA DI KAWASAN LARANGAN WORKING IN SECURE AREAS |
|
Kawasan selamat PPUM adalah kawasan yang dihadkan kemasukan untuk staf tertentu sahaja termasuk kawasan perawatan pesakit, kawasan penyimpanan data dan kawasan utiliti.
Kawasan ini mestilah dilindungi daripada sebarang ancaman, kelemahan dan risiko seperti pencerobohan, kebakaran dan bencana alam. Kawalan keselamatan tersebut adalah seperti berikut:
- Sumber data atau pelayan, peralatan komunikasi dan storan perlu ditempatkan di pusat data atau bilik khas yang mempunyai ciri-ciri keselamatan yang tinggi termasuk sistem pencegah kebakaran;
- Pintu dikunci untuk mengawal kemasukan dan akses adalah terhad kepada staf yang telah diberi kuasa sahaja;
- Pemantauan dibuat menggunakan kamera litar tertutup (Closed-Circuit Television - CCTV) atau lain-lain peralatan yang sesuai;
- Pihak luaran adalah dilarang untuk memasuki kawasan larangan kecuali dengan kebenaran bagi tugasan yang dibenarkan seperti memberikan perkhidmatan sokongan atau bantuan teknikal.
- Pihak luaran yang dibawa masuk mesti diiringi dan diawasi oleh pegawai yang bertanggungjawab sehingga tugasan selesai;
- Butiran masuk dan keluar ke kawasan larangan perlu direkodkan; dan
- Tidak dibenarkan untuk menggunakan peralatan fotografi, video, audio atau rakaman.
|
Ketua Pegawai Maklumat (CIO), Ketua Pegawai Keselamatan ICT (ICTSO), Ketua Pegawai Keselamatan, Pentadbir Pusat Data
|
7.7 - POLISI CLEAR DESK AND CLEAR SCREEN CLEAR DESK AND CLEAR SCREEN |
|
Semua maklumat dalam apa jua bentuk media hendaklah disimpan dengan teratur dan selamat bagi mengelakkan kerosakan, kecurian atau kehilangan. Staf PPUM tidak dibenarkan untuk meninggalkan dan menyimpan bahan-bahan yang sensitif terdedah sama ada di atas meja atau di paparan skrin apabila tidak berada di tempat bekerja.
Langkah-langkah perlu diambil termasuklah seperti berikut:
- Menggunakan kemudahan screen saver atau logout apabila meninggalkan komputer;
- Tidak mempamerkan skrin yang mengandungi maklumat pesakit di luar kawasan perawatan pesakit (termasuk peralatan BYOD);
- Menyimpan bahan-bahan sensitif di dalam laci atau kabinet fail yang berkunci;
- Memastikan semua dokumen diambil segera dari pencetak, pengimbas, mesin faksimili dan mesin fotostat;
- Menghalang penggunaan tanpa kebenaran bagi mesin fotokopi dan teknologi penghasilan semula seperti mesin pengimbas dan kamera digital; dan
- Memastikan media storan mudah alih tidak ditinggalkan di komputer atau di ruang kerja tanpa pengawasan.
|
Staf PPUM
|
7.8 - PENEMPATAN DAN PERLINDUNGAN PERALATAN EQUIPMENT SITING AND PROTECTION |
|
Langkah-langkah keselamatan yang perlu diambil adalah seperti berikut:
- Penggunaan kata laluan untuk akses ke sistem komputer adalah diwajibkan. Kerahsiaan kata laluan adalah dibawah tanggungjawab pengguna dan dilarang berkongsi;
- Staf PPUM bertanggungjawab sepenuhnya ke atas aset ICT dan tidak dibenarkan membuat sebarang pertukaran perkakasan dan konfigurasi yang telah ditetapkan;
- Staf PPUM dilarang membuat instalasi sebarang perisian tambahan tanpa kebenaran;
- Staf PPUM mesti memastikan perisian antivirus di komputer peribadi mereka sentiasa dikemas kini dan imbasan perlu dilakukan ke atas media storan yang digunakan;
- Semua peralatan sokongan ICT hendaklah dilindungi daripada sebarang kecurian, dirosakkan, salah guna dan diubahsuai tanpa kebenaran;
- Staf PPUM adalah bertanggungjawab di atas kerosakan atau kehilangan perkakasan ICT di bawah kawalannya;
- Peralatan-peralatan kritikal perlu disokong oleh Uninterruptable Power Supply (UPS) dan Generator Set (Gen-Set);
- Semua perkakasan hendaklah disimpan atau diletakkan di tempat yang teratur, bersih dan mempunyai ciri-ciri keselamatan. Peralatan rangkaian seperti switches, hub, router dan lain-lain perlu diletakkan di dalam rak khas dan berkunci;
- Semua peralatan yang digunakan secara berterusan mestilah diletakkan di kawasan yang berhawa dingin dan mempunyai pengudaraan (air ventilation) yang sesuai;
- Peralatan ICT yang hendak dibawa ke luar dari premis PPUM, perlulah mendapat kelulusan Pegawai Aset dan direkodkan bagi tujuan pemantauan;
- Peralatan ICT yang hilang hendaklah dikendalikan mengikut prosedur pelaporan insiden;
- Pengendalian peralatan ICT hendaklah mematuhi dan merujuk kepada peraturan semasa yang berkuat kuasa;
- Sebarang bentuk penyelewengan atau salah guna peralatan ICT hendaklah dilaporkan kepada ICTSO;
- Staf PPUM tidak dibenarkan mengubah kedudukan komputer dari tempat asal ianya ditempatkan perlu memaklumkan kepada JTM sekiranya perubahan lokasi perlu dilakukan;
- Sebarang kerosakan perkakasan peralatan ICT hendaklah dilaporkan kepada Sistem Aduan ICT untuk dibaikpulih;
- Sebarang pelekat selain bagi tujuan rasmi, hiasan atau contengan yang meninggalkan kesan yang lama pada perkakasan ICT tidak dibenarkan. Ini bagi menjamin peralatan tersebut sentiasa berkeadaan baik;
- Konfigurasi alamat IP juga tidak dibenarkan diubah daripada alamat IP yang asal;
- Staf PPUM dilarang sama sekali mengubah kata laluan bagi pentadbir (administrator password) yang telah ditetapkan oleh pihak Pentadbir Sistem ICT;
- Staf PPUM bertanggungjawab terhadap perkakasan, perisian dan maklumat dibawah jagaannya dan digunakan sepenuhnya bagi urusan rasmi dan Jabatan sahaja; dan
- Tidak dibenarkan untuk makan, minum dan merokok berhampiran dengan kemudahan pemprosesan maklumat sensitif.
|
Staf PPUM
|
7.9 - KESELAMATAN ASET ATAU PERALATAN DI LUAR PREMIS SECURITY OF ASSETS OFF-PREMISES |
|
Peralatan yang dibawa keluar dari premis PPUM adalah terdedah kepada pelbagai risiko.
Perkara yang perlu dipatuhi adalah seperti berikut:
- Staf PPUM bertanggungjawab sepenuhnya terhadap keselamatan peralatan yang dibawa keluar dari premis;
- Merekodkan aset atau peralatan yang dibawa keluar
- Peralatan perlu dilindungi dan dikawal sepanjang masa;
- Penyimpanan atau penempatan peralatan mestilah mengambil kira ciri-ciri keselamatan yang bersesuaian;
- Menyemak dan merekodkan peralatan yang dipulangkan berada dalam keadaan baik dan lengkap; dan
- Kerosakan atau kehilangan adalah dibawah tanggungjawab pengguna yang membawa keluar peralatan tersebut dan perlu dilaporkan.
|
Ketua Pegawai Maklumat (CIO), Ketua Pegawai Keselamatan ICT (ICTSO), Pentadbir Sistem ICT, Pegawai Aset, Staf PPUM
|
7.10 - MEDIA STORAN STORAGE MEDIA |
|
Prosedur pengurusan media storan hendaklah dilaksanakan mengikut skim pengelasan yang diguna pakai oleh PPUM. Peraturan yang perlu dipatuhi dalam penghantaran dan pemindahan media adalah berdasarkan Arahan Keselamatan.
Prosedur pengendalian media yang perlu dipatuhi adalah seperti berikut:
- Menyimpan semua media storan di tempat yang selamat dan dibenarkan;
- Melabelkan semua media storan mengikut tahap sensitiviti sesuatu maklumat;
- Menghadkan dan menentukan capaian media kepada pentadbir dan pengguna yang dibenarkan sahaja;
- Menghadkan pengedaran data atau media storan untuk tujuan yang dibenarkan sahaja;
- Menghadkan pengedaran data atau media storan untuk tujuan yang dibenarkan sahaja;
- Mengawal dan merekodkan aktiviti penyelenggaraan media storan bagi mengelak dari sebarang kerosakan dan pendedahan yang tidak dibenarkan;
- Mengadakan salinan atau pendua pada media storan bagi tujuan keselamatan dan mengelakkan kehilangan data; dan
- Hanya maklumat rasmi dibenarkan untuk disimpan dalam media storan yang dibekalkan oleh jabatan atau PPUM.
Peraturan yang perlu dipatuhi dalam pelupusan media storan adalah seperti berikut:
- Media storan yang mengandungi maklumat terperingkat mestilah dilupuskan mengikut prosedur yang telah ditetapkan;
- Media storan yang mengandungi maklumat rahsia rasmi yang hendak dihapuskan atau dimusnahkan, mesti dilupuskan mengikut prosedur dengan merujuk peraturan yang berkuat kuasa berkaitan sanitasi; dan
- Media pelupusan media storan dalam aset ICT hendaklah dilaksanakan mengikut Pekeliling Pengurusan Aset Alih Kerajaan yang berkuat kuasa.
Peraturan yang perlu dipatuhi dalam penghantaran dan pemindahan media storan adalah adalah seperti berikut:
- Peralatan, maklumat dan perisian yang hendak dibawa keluar dari premis PPUM untuk tujuan rasmi, perlulah mendapat kelulusan Pengarah PPUM atau pegawai yang diturunkan kuasa dan direkodkan bagi tujuan pemantauan serta tertakluk kepada tujuan yang dibenarkan;
- Media storan yang mengandungi maklumat rasmi hendaklah dilindungi daripada capaian yang tidak dibenarkan, penyalahgunaan atau kerosakan semasa pengangkutan atau penghantaran; dan
- Perlindungan fizikal tambahan pada media storan wajar dipertimbangkan, sekiranya penyulitan (encryption) maklumat sulit pada media storan tersebut tidak dapat dilakukan.
|
Pegawai Aset, Staf PPUM
|
7.11 - UTILITI SOKONGAN SUPPORTING UTILITIES |
|
Perkara yang perlu dipatuhi adalah seperti berikut:
- Semua peralatan sokongan ICT hendaklah dilindungi daripada kecurian, kerosakan, penyalahgunaan atau pengubahsuaian tanpa kebenaran;
- Peralatan sokongan seperti UPS atau penjana kuasa (generator) boleh digunakan bagi perkhidmatan kritikal seperti di pusat data atau bilik server supaya mendapat bekalan kuasa berterusan;
- Memastikan utiliti sokongan berada pada rangkaian yang berasingan daripada kemudahan pemprosesan maklumat jika disambungkan ke rangkaian;
- Memastikan utiliti sokongan disambungkan ke internet apabila terdapat keperluan sahaja dan mempunyai sambungan internet yang selamat; dan
- Semua peralatan sokongan ICT perlu disemak dan diselenggara dari semasa ke semasa (sekurang-kurangnya setahun sekali).
|
Ketua Pegawai Maklumat (CIO), Ketua Pegawai Keselamatan ICT (ICTSO) , Pentadbir Sistem ICT, Pentadbir Pusat Data
|
7.12 - KAWALAN KESELAMATAN KABEL CABLING SECURITY |
|
Kabel termasuk kabel elektrik atau telekomunikasi yang menyalurkan data dan menyokong perkhidmatan penyampaian maklumat hendaklah dilindungi.
Langkah keselamatan yang perlu diambil adalah seperti berikut:
- Memastikan hanya staf PPUM atau pihak luaran yang dibenarkan boleh melaksanakan pemasangan atau penyelenggaraan kabel;
- Menggunakan kabel yang mengikut spesifikasi yang telah ditetapkan;
- Melindungi kabel daripada pintasan, gangguan atau kerosakan yang disengajakan atau tidak disengajakan;
- Melindungi laluan pemasangan kabel sepenuhnya bagi mengelakkan ancaman kerosakan dan wire tapping; dan
- Semua kabel perlu dilabelkan dengan jelas dan mesti melalui trunking bagi memastikan keselamatan kabel daripada kerosakan dan pintasan maklumat.
|
Ketua Pegawai Maklumat (CIO), Ketua Pegawai Keselamatan ICT (ICTSO), Pentadbir Sistem ICT, Pentadbir Rangkaian
|
7.13 - PENYELENGGARAAN PERALATAN EQUIPMENT MAINTENANCE |
|
Peralatan hendaklah diselenggarakan dengan betul bagi memastikan kebolehsediaan, kerahsiaan dan integriti data atau maklumat terjamin.
Langkah-langkah keselamatan yang perlu diambil termasuklah seperti berikut:
- Bertanggungjawab terhadap setiap perkakasan ICT bagi penyelenggaraan perkakasan sama ada dalam tempoh jaminan atau telah habis tempoh jaminan;
- Mematuhi spesifikasi yang ditetapkan oleh pengeluar bagi semua perkakasan yang diselenggara;
- Memastikan perkakasan hanya diselenggara oleh staf atau pihak luaran yang dibenarkan sahaja;
- Menyemak dan menguji semua perkakasan sebelum dan selepas proses penyelenggaraan;
- Memaklumkan pihak pengguna sebelum melaksanakan penyelenggaraan mengikut jadual yang ditetapkan atau atas keperluan; dan
- Memastikan peralatan yang tidak digunakan selepas waktu bekerja dimatikan (off) bagi mengelakkan kerosakan perkakasan jika berlaku kejadian seperti petir, kilat dan sebagainya.
|
Pegawai Aset
|
7.14 - KESELAMATAN SEMASA PELUPUSAN ATAU PENGGUNAAN SECURE DISPOSAL OR RE-USE OF EQUIPMENT |
|
Pelupusan melibatkan semua peralatan ICT yang telah rosak, usang dan tidak boleh dibaiki sama ada harta modal atau inventori yang dibekalkan oleh PPUM dan ditempatkan di PPUM. Peralatan ICT yang hendak dilupuskan perlu dilakukan secara terkawal dan melalui prosedur pelupusan terkini.
Perkara yang perlu dipatuhi adalah seperti berikut:
- Pegawai Aset hendaklah mengenal pasti sama ada peralatan tertentu boleh dilupuskan atau sebaliknya;
- Data dalam storan peralatan ICT yang akan dilupuskan secara pindah milik hendaklah dihapuskan dengan cara yang selamat;
- Pegawai Aset hendaklah mengenal pasti sama ada peralatan tertentu boleh dilupuskan atau sebaliknya;
- Peralatan yang hendak dilupus hendaklah disimpan di tempat yang telah dikhaskan yang mempunyai ciri-ciri keselamatan bagi menjamin keselamatan peralatan tersebut;
- Pelupusan peralatan ICT hendaklah dilakukan secara berpusat dan mengikut tatacara pelupusan semasa yang berkuat kuasa;
- Pengguna ICT adalah DILARANG SAMA SEKALI daripada melakukan perkara-perkara seperti berikut:
- Menyimpan mana-mana peralatan ICT yang hendak dilupuskan untuk milik peribadi. Mencabut, menanggal dan menyimpan perkakasan tambahan dalaman CPU seperti RAM, Hardisk, Motherboard dan sebagainya;
- Menyimpan dan memindahkan aksesori luaran komputer seperti AVR, speaker dan mana-mana peralatan yang berkaitan ke mana-mana bahagian di jabatan;
- Memindah keluar dari pejabat bagi mana-mana peralatan ICT yang hendak dilupuskan;
- Melupuskan sendiri peralatan ICT; dan Pengguna ICT bertanggungjawab memastikan segala maklumat sulit dan rahsia di dalam komputer disalin pada media storan kedua sebelum menghapuskan maklumat tersebut daripada peralatan komputer yang hendak dilupuskan;
- Semua peralatan yang mengandungi sebarang data dokumen terperingkat perlu dimusnahkan sebelum dilupuskan;
- Peralatan yang tidak mengandungi data dokumen terperingkat dan hendak digunakan semula perlu diformat;
- Staf PPUM bertanggungjawab untuk membuat salinan bagi maklumat yang perlu disimpan;
- Pelupusan dokumen-dokumen hendaklah mengikut prosedur keselamatan seperti mana Arahan Keselamatan dan tatacara Jabatan Arkib Negara;dan
- Pegawai aset bertanggungjawab merekod butir-butir pelupusan dan mengemaskini rekod pelupusan peralatan ICT ke dalam Sistem Pengurusan Aset PPUM.
|
|