BIDANG A.8 PENGURUSAN ASET

A.8.1 AKAUTABILITI / TANGGUNGJAWAB ASET

Objektif:
Mengenal pasti aset organisasi dan mentakrifkan tanggungjawab perlindungan yang sewajarnya.

A.8.1.1 Inventori Aset

Memberi dan menyokong perlindungan yang bersesuaian ke atas semua aset ICT PPUM. Tanggungjawab yang perlu dipatuhi adalah termasuk perkara-perkara berikut:
  1. Memastikan semua aset ICT dikenalpasti, dikelas (dikategori), didokumen, diselenggara dan dilupuskan dari semasa ke semasa;
  2. Memastikan semua aset ICT mempunyai pemilik dan dikendalikan oleh pengguna yang dibenarkan sahaja;
  3. Memastikan semua pengguna mengesahkan penempatan aset ICT yang ditempatkan di PPUM; dan
  4. Memaklumkan sebarang perubahan kedudukan aset kepada Pegawai Aset dan Jabatan bertanggungjawab supaya inventori dikemaskini.

A.8.1.2 Pemilik Aset

Kemudahan peralatan ICT PPUM disediakan untuk tujuan pengajaran, pembelajaran, penyelidikan, perawatan pesakit dan pentadbiran PPUM.
Setiap staf yang menggunakan peralatan ICT mestilah bertanggungjawab dan mematuhi syarat-syarat penggunaan kemudahan ICT.
Perkara yang perlu dipatuhi adalah seperti berikut :
  1. PPUM membekalkan kemudahan peralatan ICT mengikut kelayakan yang telah ditetapkan;
  2. Memastikan aset ICT dikenalpasti dan maklumat aset direkod;
  3. Memastikan semua aset ICT mempunyai pemilik dan dikendalikan oleh penguna yang dibenarkan sahaja; dan
  4. Memastikan penggguna mengesahkan penempatan aset.

A.8.1.3 Penerimaan Penggunaan Aset

Memastikan semua peraturan pengendalian aset dikenalpasti, didokumenkan dan dilaksanakan. Menandatangani “Surat Akujanji Penerimaan dan Penggunaan Peralatan ICT” bagi mematuhi Manual Keselamatan Siber PPUM.

A.8.1.4 Pemulangan Aset

Semua aset ICT yang dibekalkan hendaklah;

  1. Dipulangkan kepada bahagian yang menguruskan aset ICT sekiranya pengguna meninggalkan jawatan yang disandang atau meninggalkan jabatan (bertukar, bersara atau tamat perkhidmatan);
  2. Mendapat kelulusan Pegawai Aset Jabatan bagi aset yang dipindahmilik kepada pihak ketiga untuk direkodkan bagi tujuan pemantauan; dan
  3. Maklumat yang disimpan dalam aset ICT yang perlu dipulangkan atau dipindahmilik kepada pihak ketiga perlu disalin keluar atau dihapuskan sebelum pemulangan.

A.8.2 KLASIFIKASI MAKLUMAT

Objektif:
Memastikan setiap maklumat atau aset ICT diberikan tahap perlindungan yang bersesuaian.

A.8.2.1 Pengelasan Maklumat

Maklumat hendaklah dikelaskan atau dilabelkan sewajarnya oleh Pegawai yang diberi kuasa mengikut dokumen Arahan Keselamatan.
Setiap maklumat yang dikelaskan mestilah mempunyai peringkat keselamatan sebagaimana yang telah ditetapkan di dalam dokumen Arahan Keselamatan seperti berikut :

  1. Rahsia Besar;
  2. Rahsia;
  3. Sulit; atau
  4. Terhad

A.8.2.2 Pelabelan Maklumat

Prosedur pelabelan maklumat hendaklah dibangunkan dan dilaksanakan mengikut skim klasifikasi maklumat yang digunapakai oleh PPUM.

A.8.2.3 Pengendalian Aset

Aktiviti pengendalian maklumat seperti mengumpul, memproses, menyimpan, menghantar, menyampai, menukar dan memusnah hendaklah mengambil kira langkah-langkah keselamatan berikut :

  1. Menghalang pendedahan maklumat kepada pihak yang tidak dibenarkan;
  2. Memeriksa maklumat dan menentukan ia tepat dan lengkap dari semasa ke semasa;
  3. Menentukan maklumat sedia untuk digunakan;
  4. Menjaga kerahsiaan kata laluan;
  5. Mematuhi standard, prosedur, langkah dan garis panduan keselamatan yang ditetapkan;
  6. Memberi perhatian kepada maklumat terperingkat terutama semasa pewujudan, pemprosesan, penyimpanan, penghantaran, penyampaian, pertukaran dan pemusnahan;
  7. Menjaga kerahsiaan langkah-langkah keselamatan ICT dari diketahui umum;
  8. Memastikan keselamatan maklumat dan data terpelihara di pelayan dan storan dengan memastikan komputer pengguna tidak mempunyai maklumat sulit pesakit; dan
  9. Maklumat persendirian yang disimpan di dalam komputer pengguna adalah di bawah tanggungjawab pengguna.

A.8.3 PENGENDALIAN MEDIA

Objektif:
Melindungi aset ICT dari sebarang pendedahan, pengubahsuaian, pemindahan atau pemusnahan serta gangguan ke atas aktiviti perkhidmatan.

A.8.3.1 Pengurusan Media Mudah Alih

Prosedur pengurusan media mudah alih hendaklah dilaksanakan mengikut skim pengelasan yang diguna pakai oleh PPUM. Prosedur-prosedur pengendalian media yang perlu dipatuhi adalah seperti berikut:

  1. Melabelkan semua media mengikut tahap sensitiviti sesuatu maklumat;
  2. Mengehadkan dan menentukan capaian media kepada pengguna yang dibenarkan sahaja;
  3. Mengehadkan pengedaran data atau media untuk tujuan yang dibenarkan sahaja;
  4. Mengawal dan merekodkan aktiviti penyelenggaraan media bagi mengelak dari sebarang kerosakan dan pendedahan yang tidak dibenarkan; dan
  5. Menyimpan semua media di tempat yang selamat.

A.8.3.2 Pelupusan Media

Media yang mengandungi maklumat terperingkat mestilah dilupuskan mengikut prosedur yang telah ditetapkan

A.8.3.3 Pemindahan Media Fizikal

Media yang mengandungi maklumat rasmi hendaklah dilindungi daripada capaian yang tidak dibenarkan, penyalahgunaan atau kerosakan semasa pengangkutan / penghantaran. Sekiranya maklumat sulit pada media tidak dapat dibuat penyulitan, perlindungan fizikal tambahan pada media wajar dipertimbangkan. Penghantaran atau pemindahan media ke luar perlu mendapatkan kebenaran PPUM.