BIDANG A.9 KAWALAN CAPAIAN

 

A.9.1 KEPERLUAN KAWALAN CAPAIAN

Objektif:
Mengehadkan akses kepada kemudahan pemprosesan data dan maklumat dengan memahami dan mematuhi keperluan keselamatan dalam mengawal capaian ke atas maklumat.

A.9.1.1 Dasar Kawalan Capaian

Capaian kepada proses dan maklumat hendaklah dikawal mengikut keperluan keselamatan dan fungsi kerja pengguna yang berbeza. Peraturan kawalan capaian hendaklah diwujudkan, didokumenkan dan disemak berdasarkan keperluan perkhidmatan dan keselamatan maklumat. Ia perlu dikemas kini setahun sekali atau mengikut keperluan dan menyokong peraturan kawalan capaian pengguna sedia ada. Perkara yang perlu dipatuhi adalah seperti berikut:

  • a) Keperluan keselamatan aplikasi PPUM;
  • b) Kebenaran untuk menyebarkan maklumat;
  • c) Hak akses dan dasar klasifikasi maklumat sistem dan rangkaian;
  • d) Undang-undang Malaysia/ Persekutuan yang berkaitan dan obligasi kontrak mengenai had akses kepada data atau perkhidmatan;
  • e) Kawalan capaian ke atas perkhidmatan rangkaian dalaman dan luaran;
  • f) Pengasingan peranan kawalan capaian;
  • g) Kebenaran rasmi permintaan akses;
  • h) Keperluan semakan hak akses berkala;
  • i) Pembatalan hak akses;
  • j) Arkib semua peristiwa penting yang berkaitan dengan penggunaan dan pengurusan identiti pengguna dan maklumat; dan
  • k) Akses privilege

 

A.9.1.2 Capaian Kepada Rangkaian Dan Perkhidmatan Rangkaian

Pengguna hanya boleh dibekalkan dengan capaian ke rangkaian dan perkhidmatan rangkaian setelah mendapat kebenaran dari PPUM.

Kawalan capaian perkhidmatan rangkaian hendaklah dijamin selamat dengan:

Kawalan capaian rangkaian bertujuan menghalang capaian tidak sah dan tanpa kebenaran ke atas perkhidmatan rangkaian. Kawalan capaian perkhidmatan rangkaian hendaklah dijamin selamat dengan:

Perkara yang perlu dipatuhi adalah seperti berikut:

Kawalan capaian internet adalah untuk memastikan bahawa capaian internet dikawal dan dihadkan kepada pengguna yang dibenarkan sahaja Perkara-perkara yang perlu dipatuhi adalah seperti berikut:

Pengguna adalah dilarang melakukan aktiviti-aktiviti seperti berikut:

A.9.2 PENGURUSAN CAPAIAN PENGGUNA

Objektif:
Capaian kepada proses dan maklumat hendaklah dikawal mengikut keperluan keselamatan dan fungsi kerja pengguna yang berbeza. Ia perlu direkodkan, dikemas kini dan menyokong dasar kawalan capaian pengguna sedia ada.

A.9.2.1 Pendaftaran Pengguna dan Pembatalan Pengguna

Proses pendaftaran dan pembatalan pengguna hendaklah dilaksanakan bagi membolehkan capaian dan pembatalan hak capaian
Perkara – perkara berikut hendaklah dipatuhi:

 

i. Pengguna bertukar jawatan, tanggungjawab dan/ atau bidang tugas;
ii. Pengguna bertukar atau berpindah agensi; dan
iii. Pengguna bersara atau tamat perkhidmatan.

 

A.9.2.2 Penyediaan Akses Pengguna

Satu proses penyediaan akses pengguna untuk kebenaran dan pembatalan capaian pengguna ke atas semua aplikasi dan perkhidmatan ICT.

A.9.2.3 Pengurusan Hak Capaian

Penetapan dan penggunaan ke atas hak capaian perlu diberi kawalan dan penyeliaan yang ketat berdasarkan keperluan skop tugas.

 

A.9.2.4 Pembatalan atau Pelarasan Hak Akses

Hak capaian staf dan pengguna pihak luar untuk kemudahan pemprosesan data atau maklumat hendaklah dikeluarkan/dibatalkan selepas penamatan pekerjaan, kontrak atau perjanjian, atau diselaraskan apabila berlaku perubahan dalam PPUM.
Pembatalan akaun (pengguna yang tamat perkhidmatan, bertukar dan melanggar dasar dan tatacara jabatan) perlulah dilakukan dengan segera atas tujuan keselamatan maklumat. Jabatan boleh membekukan akaun pengguna, jika perlu, semasa pengguna bercuti panjang, berkursus atau pun menghadapi tindakan tatatertib.

A.9.2.5 Kajian Semula Hak Akses Pengguna

Proses semakan akses penguna perlu dilaksanakan dari semasa ke semasa untuk mengkaji semula kebenaran dan pembatalan capaian penguna ke atas aplikasi dan perkhidmatan
Kawalan akses pengguna perlu disemak sekurang-kurang setahun sekali atau apabila terdapat tambahan aplikasi

 

A.9.2.6 Pelarasan Hak Akses

Penggunaan Priviledge Access Rights perlu dihadkan dan dikawal. Penetapan dan penggunaan ke atas hak capaian perlu diberi kawalan dan penyeliaan yang ketat berdasarkan keperluan skop tugas.

A.9.3 TANGGUNGJAWAB PENGGUNA

Peranan dan tanggungjawab pengguna adalah seperti berikut:

 

A.9.3.1 Penggunaan Kata Laluan

Pengguna perlu mengikut amalan keselamatan yang baik di dalam pemilihan, penggunaan dan pengurusan kata laluan sebagai melindungi maklumat yang digunakan untuk pengesahan identiti.

Setiap pengguna sistem ICT mestilah mempunyai id pengguna (user id) dan kata laluan (password) masing-masing . Pengguna perlu :-

 

A.9.4 KAWALAN CAPAIAN SISTEM DAN APLIKASI

Objektif:
Menghalang capaian tidak sah dan tanpa kebenaran ke atas maklumat yang terdapat di dalam sistem dan aplikasi.

A.9.4.1 Had Kawalan Capaian Maklumat

Akses kepada fungsi maklumat dan sistem aplikasi hendaklah dihadkan mengikut dasar kawalan capaian.

A.9.4.1 Prosedur Log-on

Kawalan terhadap capaian aplikasi sistem perlu mempunyai kaedah pengesahan log-on yang bersesuaian bagi mengelakkan sebarang capaian yang tidak dibenarkan.


Kaedah-kaedah yang digunakan adalah seperti berikut:

A.9.4.3 Sistem Pengurusan Kata Laluan

Pengurusan kata laluan mestilah mematuhi amalan terbaik serta prosedur yang ditetapkan oleh PPUM seperti berikut:

 

A.9.4.4 Penggunaan Utiliti Sistem

Penggunaan program utiliti yang mungkin boleh Over-Riding System perlu dihadkan hanya kepada Pentadbir Sistem ICT dan dikawal ketat penggunaannya.

A.9.4.5 Kawalan Akses Kepada Source Code Program

Pembangunan sistem secara outsource perlu diselia dan dipantau oleh PPUM.