View
47
Download
3
Category
Preview:
Citation preview
PENGURUSAN PUSAT PEMBANGUNAN MAKLUMAT &
KOMUNIKASI
Kod Dokumen : UPM/ISMS/PGR/MP
Halaman: 1/35
No. Semakan: 03
No. Isu: 01
MANUAL SISTEM PENGURUSAN KESELAMATAN MAKLUMAT
Tarikh: 07/12/2015
ISI KANDUNGAN
SEKSYEN/ RUJUKAN
TAJUK MUKA SURAT
1.0 PENGENALAN 3
1.1 Tujuan 3
1.2 Skop 3
1.3 Tarikh Kuatkuasa 3
2.0 MAKLUMAT ORGANISASI 4
2.1 Latar Belakang 4
2.2 Visi 4
2.3 Misi 4
2.4 Matlamat UPM 4
3.0 KEPERLUAN ISMS 5
3.1 Latar Belakang 5
3.2 Pemetaan ISMS 6
4.0 KONTEKS ORGANISASI 7
4.1 Memahami Organisasi 7
4.2 Keperluan dan Harapan Pihak Berkaitan 11
4.3 Skop ISMS 12
5.0 KEPEMIMPINAN 16
5.1 Kepemimpinan dan komitmen 16
5.2 Dasar ISMS 16
5.3 Peranan dan Tanggungjawab 19
6.0 PERANCANGAN 22
6.1 Tindakan untuk Menangani Risiko dan Peluang 22
6.1.1 Am 22
6.1.2 Penilaian Risiko 22
6.1.3 Pemulihan Risiko 23
7.0 SOKONGAN 24
7.1 Am 24
7.2 Kompetensi 24
7.3 Kesedaran 24
7.4 Komunikasi 25
7.5 Keperluan Dokumentasi 26
8.0 OPERASI 28
8.1 Perancangan dan Kawalan Operasi Pusat Data 28
8.2 Penilaian Risiko 28
8.3 Pemulihan Risiko 29
9.0 PENILAIAN PRESTASI 30
9.1 Pemantauan, Pengukuran, Analisis dan Penilaian 30
PENGURUSAN PUSAT PEMBANGUNAN MAKLUMAT &
KOMUNIKASI
Kod Dokumen : UPM/ISMS/PGR/MP
Halaman: 2/35
No. Semakan: 03
No. Isu: 01
MANUAL SISTEM PENGURUSAN KESELAMATAN MAKLUMAT
Tarikh: 07/12/2015
9.2 Audit Dalaman 31
9.3 Kajian Semula Pengurusan 32
10.0 PENAMBAHBAIKAN 34
10.1 Ketakakuran dan Tindakan pembetulan 34
10.2 Penambahbaikan Berterusan 35
Rajah 1 Pemetaan ISMS 6
Rajah 2 Hubung Kait ISO 27001:2005 kepada ISO/IEC 27001:2013 11
Rajah 3 Struktur Organisasi ISMS UPM 18
Rajah 4 Proses Penilaian Risiko 21
Jadual 1 Keberhasilan pelaksanaan ISSM di peringkat organisasi dan isu dalaman serta luaran
8
Jadual 2 Pihak berkepentingan serta keperluan mereka 9
Jadual 3 Pertalian dan kebergantungan aktiviti yang dilaksanakan Oleh UPM dan organisasi
10
Jadual 4 Justifikasi pengecualian 13
Jadual 5 Lokasi Skop Pelaksanaan Pensijilan ISMS UPM 15
Jadual 6 Peranan dan tanggungjawab organisasi ISMS UPM 20
Jadual 7 Kaedah Komunikasi Secara Dalaman dan Luaran 26
Jadual 8 Pilihan Cadangan Kawalan Keputusan Penilaian Risiko 29
PENGURUSAN PUSAT PEMBANGUNAN MAKLUMAT &
KOMUNIKASI
Kod Dokumen : UPM/ISMS/PGR/MP
Halaman: 3/35
No. Semakan: 03
No. Isu: 01
MANUAL SISTEM PENGURUSAN KESELAMATAN MAKLUMAT
Tarikh: 07/12/2015
PERKARA 1: PENGENALAN
1.1 TUJUAN
Manual ISMS ini bertujuan menerangkan pelaksanaan Sistem Pengurusan Keselamatan
Maklumat berlandaskan keperluan Piawaian ISO/IEC 27001:2013 Information Security
Management Systems (ISMS) di Universiti Putra Malaysia (UPM) dalam mengurus sistem
keselamatan maklumat selaras dengan semua peraturan keselamatan maklumat yang
berkuatkuasa dari semasa ke semasa.
Manual ini disokong dengan Kaedah-Kaedah Universiti Putra Malaysia (Teknologi Maklumat
Dan Komunikasi) 2014, prosedur, garis panduan, prosedur pengoperasian piawai (SOP),
borang dan dokumen sokongan yang berkaitan.
1.2 SKOP
Manual ini mengandungi lapan (8) perkara berikut:
a. Perkara 1: Keperluan ISMS;
b. Perkara 2: Konteks Organisasi (Klausa 4);
c. Perkara 3: Kepemimpinan (Klausa 5);
d. Perkara 4: Perancangan (Klausa 6);
e. Perkara 5: Sokongan (Klausa 7);
f. Perkara 6: Operasi (Klausa 8);
g. Perkara 7: Penilaian prestasi (Klausa 9); dan
h. Perkara 8: Penambahbaikan (Klausa 10).
1.3 TARIKH BERKUAT KUASA
Manual ini berkuat kuasa mulai tarikh 7 Disember 2015.
PENGURUSAN PUSAT PEMBANGUNAN MAKLUMAT &
KOMUNIKASI
Kod Dokumen : UPM/ISMS/PGR/MP
Halaman: 4/35
No. Semakan: 03
No. Isu: 01
MANUAL SISTEM PENGURUSAN KESELAMATAN MAKLUMAT
Tarikh: 07/12/2015
PERKARA 2: MAKLUMAT ORGANISASI
2.1 LATAR BELAKANG
Universiti Putra Malaysia bermula daripada penubuhan Sekolah Pertanian pada 21 Mei
1931 yang memberi tumpuan dan penekanan kepada bidang pertanian di Tanah Melayu.
Sekolah Pertanian tersebut telah dinaiktaraf menjadi Kolej Pertanian Malaya pada 3 Jun
1947. Selaras dengan kepentingan sektor pertanian kepada ekonomi negara, kolej ini telah
dinaiktaraf menjadi Universiti Pertanian Malaysia dan diaktakan sebagai satu Perintah
Perbadanan di bawah Akta Universiti dan Kolej Universiti 1971, dan disiarkan menerusi
Warta Kerajaan P.U.(A) 387 pada 29 Oktober 1971. Sebagai sebuah universiti yang dinamik
dan sensitif kepada tuntutan semasa dan keperluan pembangunan dalam pelbagai disiplin,
nama Universiti Pertanian Malaysia telah ditukarkan kepada Universiti Putra Malaysia pada
3 April 1997.
2.2 VISI
Menjadi sebuah universiti bereputasi antarabangsa.
2.3 MISI
Memberikan sumbangan bermakna kepada pembentukan kekayaan dan pembangunan
negara serta kemajuan manusia sejagat menerusi penerokaan dan penyebaran ilmu.
2.4 MATLAMAT UPM
Untuk mencapai visi dan misi yang telah diwujudkan, UPM telah menggubal 5 matlamat
seperti yang dinyatakan dalam Pelan Strategi UPM 2014 – 2020 iaitu:
Matlamat 1 : Mempertingkatkan kualiti dan daya saing graduan
Matlamat 2 : Penjanaan nilai melalui ekosistem RDCE yang mantap dan lestari
Matlamat 3 : Melonjakkan perkhidmatan jaringan industri dan masyarakat
Matlamat 4 : Memperkasakan UPM sebagai Pusat Kecemerlangan Pertanian
Matlamat 5 : Mempertingkatkan kualiti tadbir urus
PENGURUSAN PUSAT PEMBANGUNAN MAKLUMAT &
KOMUNIKASI
Kod Dokumen : UPM/ISMS/PGR/MP
Halaman: 5/35
No. Semakan: 03
No. Isu: 01
MANUAL SISTEM PENGURUSAN KESELAMATAN MAKLUMAT
Tarikh: 07/12/2015
PERKARA 3: KEPERLUAN ISMS
3.1 LATAR BELAKANG
ISO/IEC 27001:2013 ISMS merupakan piawaian yang menetapkan satu set keperluan Sistem
Pengurusan Keselamatan Maklumat. Istilah maklumat, merangkumi koleksi fakta dalam
bentuk kertas atau mesej elektronik bagi mencapai misi dan objektif organisasi. Maklumat
merangkumi sistem dokumentasi, prosedur operasi, rekod agensi, profil pelanggan,
pangkalan data, fail data dan maklumat, maklumat arkib dan lain-lain.
Pembudayaan ISMS akan mewujudkan sistem penyampaian yang bukan sahaja memenuhi
tuntutan serta kepuasan pengguna dan mematuhi peraturan semasa tetapi membolehkan
sistem penyampaian beroperasi dalam keadaan baik, selamat dan terkawal.
ISMS turut menyediakan tanda aras (benchmark) tahap pengurusan keselamatan maklumat
Universiti berasaskan piawaian antarabangsa serta memantapkan perlindungan maklumat
dalam aset ICT berteraskan prinsip kerahsiaan, integriti dan ketersediaan.
ISMS dibangunkan berdasarkan kepada keperluan dalam Klausa 4: Konteks Organisasi
hingga Klausa 10: Penambahbaikan dalam piawaian ISO/IEC 27001:2013 yang hendaklah
dipatuhi mengikut keperluan piawaian.
PENGURUSAN PUSAT PEMBANGUNAN MAKLUMAT &
KOMUNIKASI
Kod Dokumen : UPM/ISMS/PGR/MP
Halaman: 6/35
No. Semakan: 03
No. Isu: 01
MANUAL SISTEM PENGURUSAN KESELAMATAN MAKLUMAT
Tarikh: 07/12/2015
3.2 Pemetaan ISMS
Ringkasan keperluan bagi Klausa 4 hingga Klausa 10 seperti berikut (Rajah 1: Pemetaan
ISMS):
Rajah 1: Pemetaan ISMS
PENGURUSAN PUSAT PEMBANGUNAN MAKLUMAT &
KOMUNIKASI
Kod Dokumen : UPM/ISMS/PGR/MP
Halaman: 7/35
No. Semakan: 03
No. Isu: 01
MANUAL SISTEM PENGURUSAN KESELAMATAN MAKLUMAT
Tarikh: 07/12/2015
PERKARA 4: KONTEKS ORGANISASI (Klausa 4)
4.1 MEMAHAMI ORGANISASI
Universiti Putra Malaysia merupakan salah sebuah universiti penyelidikan yang terunggul
di Malaysia. Entiti akademik yang terkenal di seantero dunia ini terletak di Serdang, iaitu
bersebelahan dengan Wilayah Pentadbiran Putrajaya. Sebagai sebuah pusat pengajian dan
penyelidikan, UPM telah berjaya menyatukan para pelajar dan warga kerja dari serata dunia
sekali gus menjadikan UPM sebuah entiti global yang amat disegani.
4.1.1 Proses Utama Universiti melibatkan empat (4) komponen di bawah:
a. Pengajaran dan Pembelajaran
b. Penyelidikan
c. Perundingan dan Perkhidmatan Professional
d. Jaringan Luar
UPM mempunyai komitmen yang tinggi untuk merealisasikan hasrat menjadi sebuah
universiti bereputasi antarabangsa khususnya dalam melonjakkan pencapaian kedudukan
UPM dalam senarai 200 universiti terbaik di dunia dalam penilaian QS World University
Ranking.
Pelan Strategik UPM 2014 – 2020 yang mempertaruhkan lima (5) matlamat dan sembilan
belas (19) objektif strategik untuk memastikan UPM mempunyai daya saing yang tinggi
dalam menawarkan perkhidmatan pengajian tinggi pada peringkat tempatan dan juga
antarabangsa.
Melalui tema strategik iaitu Putra Global 200 yang menjadi teras Pelan Strategik 2014-2020
itu, UPM telah menetapkan matlamat untuk menghasilkan graduan yang berkualiti dan
PENGURUSAN PUSAT PEMBANGUNAN MAKLUMAT &
KOMUNIKASI
Kod Dokumen : UPM/ISMS/PGR/MP
Halaman: 8/35
No. Semakan: 03
No. Isu: 01
MANUAL SISTEM PENGURUSAN KESELAMATAN MAKLUMAT
Tarikh: 07/12/2015
berdaya saing, membangunkan inovasi pengajaran dan pembelajaran, meluaskan
pembangunan pelajar bersifat holistik, meningkatkan reputasi akademik melalui
kepelbagaian kepakaran dan pembangunan program, meningkatkan aktiviti
kemasyarakatan dan jaringan industri, RDCE (penyelidikan, pembangunan, pengkomersilan
dan keusahawanan) yang berimpak tinggi, memastikan tadbir urus dan pengurusan sumber
yang cekap dan berkesan.
4.1.2 Penentuan Skop Pelaksanaan ISMS
Dalam melaksanakan ISMS, penentuan skop pensijilan hendaklah mengambil kira perkara-
perkara berikut:
a. Menentukan isu luaran dan dalaman berkaitan dengan matlamatnya yang boleh
mempengaruhi pencapaian keberhasilan ISMS;
b. Menentukan pihak berkepentingan serta keperluan mereka dalam pelaksanaan
ISMS; dan
c. Mengenal pasti perkaitan dan kebergantungan antara aktiviti yang dilaksanakan
oleh UPM dan organisasi luar.
BIL. KEBERHASILAN ISU DALAMAN ISU LUARAN
1. Meningkatkan reputasi
Universiti
i. Pembudayaan
pengurusan keselamatan
maklumat setiap warga
UPM
a) Kurang kefahaman
dalam kalangan staf
b) Ketidakjelasan
tanggungjawab dan
proses
i. Perubahan Dasar
Kerajaan
ii. Perkembangan
teknologi dan
inovasi yang pantas
iii. Ekonomi tidak
menentu
iv. Ancaman ekologi
v. Ekspektasi
pelanggan terlalu
tinggi
2. Mengekalkan status
Universiti Penyelidikan (RU)
3. Mengekalkan status Swa
Akreditasi
4. Mencapai kedudukan 200
universiti terbaik dunia (QS
World Ranking) menjelang
2020
5. Mengekalkan status
autonomi tadbir urus
PENGURUSAN PUSAT PEMBANGUNAN MAKLUMAT &
KOMUNIKASI
Kod Dokumen : UPM/ISMS/PGR/MP
Halaman: 9/35
No. Semakan: 03
No. Isu: 01
MANUAL SISTEM PENGURUSAN KESELAMATAN MAKLUMAT
Tarikh: 07/12/2015
BIL. KEBERHASILAN ISU DALAMAN ISU LUARAN
6. Mencapai kedudukan 200
laman web universiti terbaik
dalam Webometrics Ranking
menjelang 2020
ii. Tahap kebolehpercayaan,
integriti dan ketersediaan
data
iii. Kekangan sumber
manusia dan kewangan
iv. Infrastruktur tidak
menyokong proses
vi. Kriteria penarafan
yang berubah
vii. Gangguan media
sosial
viii. Masalah komunikasi
7. Mengekalkan kedudukan 50
universiti terbaik dalam
Green Metric World Ranking
8. Kebolehpasaran graduan
(80% semasa konvokesyen)
9. Melonjakkan jaringan
industri dan masyarakat
10. Memperkasakan UPM
sebagai Pusat
Kecemerlangan Pertanian
11. Mempertingkatkan kualiti
tadbir urus
Jadual 1 : Keberhasilan pelaksanaan ISMS di peringkat organisasi dan isu dalaman serta luaran
BIL. PIHAK
BERKEPENTINGAN KEPERLUAN PIHAK BERKEPENTINGAN
1. Pelajar Maklumat peribadi dan akademik pelajar hendaklah
dilindungi
2. Ibubapa dan penjaga Maklumat prestasi pelajar hendaklah dilindungi
3. Warga UPM Maklumat peribadi hendaklah dilindungi
4. Kementerian Pengajian
Tinggi Malaysia (KPTM)
Maklumat profil Universiti, pelajar, penyelidikan, sumber
manusia dan kewangan hendaklah dilindungi
5. Penaja Pendidikan Maklumat prestasi pelajar yang tepat
6. Agensi Kerajaan Maklumat yang tepat
7. Pembekal i. Maklumat kontrak yang dipatuhi
ii. Maklumat kerjasama
9. Badan Penarafan Maklumat /data yang tepat
Jadual 2 : Pihak berkepentingan serta keperluan mereka
PENGURUSAN PUSAT PEMBANGUNAN MAKLUMAT &
KOMUNIKASI
Kod Dokumen : UPM/ISMS/PGR/MP
Halaman: 10/35
No. Semakan: 03
No. Isu: 01
MANUAL SISTEM PENGURUSAN KESELAMATAN MAKLUMAT
Tarikh: 07/12/2015
BIL. AKTIVITI ORGANISASI PERTALIAN/HUBUNGKAIT
1. Pengurusan penajaan
pendidikan pelajar
Penaja pendidikan Sistem Maklumat Pelajar –
Modul Penaja
2. Pemberian dan
penerimaan maklumat
Kementerian
Pengajian Tinggi
Malaysia (KPTM)
Perkongsian maklumat
3. Pemberian dan
penerimaan maklumat
Agensi Kerajaan dan
NGO
Perkongsian maklumat
4. Penyelenggaraan peralatan Sistem Pengurusan
Aset Tetap UPM
(FAMS)
Penyelenggaraan dilaksanakan
oleh pihak vendor, penjadualan
dan pengesahan perkhidmatan
oleh UPM
5. Penyelenggaraan sistem Sistem Pengurusan
Aset Tetap UPM
(FAMS)
Penyelenggaraan dilaksanakan
oleh pihak vendor, penjadualan
dan pengesahan perkhidmatan
oleh UPM
Jadual 3: Pertalian dan kebergantungan aktiviti yang dilaksanakan oleh UPM dan organisasi luar
PENGURUSAN PUSAT PEMBANGUNAN MAKLUMAT &
KOMUNIKASI
Kod Dokumen : UPM/ISMS/PGR/MP
Halaman: 11/35
No. Semakan: 03
No. Isu: 01
MANUAL SISTEM PENGURUSAN KESELAMATAN MAKLUMAT
Tarikh: 07/12/2015
4.2 KEPERLUAN DAN HARAPAN PIHAK BERKAITAN
Rajah 2: Hubung Kait ISO 27001:2005 kepada ISO/IEC 27001:2013
PENGURUSAN PUSAT PEMBANGUNAN MAKLUMAT &
KOMUNIKASI
Kod Dokumen : UPM/ISMS/PGR/MP
Halaman: 12/35
No. Semakan: 03
No. Isu: 01
MANUAL SISTEM PENGURUSAN KESELAMATAN MAKLUMAT
Tarikh: 07/12/2015
4.3 SKOP ISMS
Dalam menentukan skop pensijilan ISMS UPM, Jawatankuasa ISO UPM telah mengenalpasti
skop pensijilan ISMS seperti berikut dengan mengambil kira perkara-perkara 4.1.2 :
Penentuan Skop Pelaksanaan ISMS.
Skop pensijilan ISMS UPM adalah seperti berikut:
1. Sistem Pengurusan Keselamatan Maklumat hanya melibatkan proses Pendaftaran
Pelajar Baharu Prasiswazah semasa Minggu Perkasa Putra.
2. Sistem Pengurusan Keselamatan Maklumat untuk Pengoperasian Pusat Data bagi
proses Pendaftaran Pelajar Baharu Prasiswazah
3. Sistem Pengurusan Keselamatan Maklumat untuk Pengoperasian Pusat Pemulihan
Bencana bagi proses Pendaftaran Pelajar Baharu Prasiswazah
4.3.1 Pengecualian Skop Pensijilan ISMS
Pengecualian skop pensijilan ISMS proses pendaftaran pelajar baharu prasiswazah adalah
kepada pendaftaran kursus, Meal Plan dan aktiviti kemasukan pendaftaran pelajar baharu
prasiswazah untuk:
i. Pengajian Jarak Jauh;
ii. Eksekutif;
iii. Pesisir;
iv. Luar Pesisir;
v. Antarabangsa;
vi. Mobiliti; dan
vii. UPM Kampus Bintulu.
PENGURUSAN PUSAT PEMBANGUNAN MAKLUMAT &
KOMUNIKASI
Kod Dokumen : UPM/ISMS/PGR/MP
Halaman: 13/35
No. Semakan: 03
No. Isu: 01
MANUAL SISTEM PENGURUSAN KESELAMATAN MAKLUMAT
Tarikh: 07/12/2015
Justifikasi pengecualian adalah berdasarkan kepada berikut:
BIL. PERKARA JUSTIFIKASI
1. Pengajian Jarak Jauh Kawalan UPM Holding
2. Program untuk Eksekutif Tidak mengikut Minggu Perkasa Putra (Pendaftaran
diurus oleh Fakulti).
3. Antarabangsa Luar dari Minggu Perkasa Putra
4. UPM Kampus Bintulu Logistik (Kedudukan UPM Kampus Bintulu di
Sarawak).
Perancangan pelaksanaan pada tahun 2017.
Jadual 4 : Justifikasi pengecualian
4.3.2 PROSES PERKHIDMATAN SKOP ISMS UPM
Proses lapor diri pelajar baharu prasiswazah yang melibatkan aktiviti berikut:
a. Menyemak tawaran
b. Menerima salinan pendua slip bayaran yuran CIMB
c. Menerima borang permohonan kad pelajar
d. Mengesah status kesihatan
e. Pengesahan pendaftaran
f. Pendaftaran kolej
Perkhidmatan operasi Pusat Data dan Pusat Pemulihan Bencana bagi proses Pendaftaran
Pelajar Baharu Prasiswazah yang terlibat dalam skop pensijilan ISMS merangkumi aktiviti
berikut:
a. Pelaksanaan operasi Pusat Data;
b. Penyelenggaraan fasiliti Pusat Data;
PENGURUSAN PUSAT PEMBANGUNAN MAKLUMAT &
KOMUNIKASI
Kod Dokumen : UPM/ISMS/PGR/MP
Halaman: 14/35
No. Semakan: 03
No. Isu: 01
MANUAL SISTEM PENGURUSAN KESELAMATAN MAKLUMAT
Tarikh: 07/12/2015
c. Pemantauan operasi Pusat Data;
d. Penyenggaraan perkhidmatan operasi server di Pusat Data;
e. Pemantauan capaian sistem di Pusat Data;
f. Kawalan keselamatan di Pusat Data; dan
g. Tindakan kecemasan di Pusat Data.
Dokumen Rujukan:
a. Prosedur Pengoperasian Pengurusan Pusat Data (UPM/ISMS/OPR/DC/P001)
b. Disaster Recovery Plan (DRP) UPM (UPM/IDEC/100-23/1/4)
c. Prosedur Persediaan Penempatan dan Pendaftaran Masuk pelajar Baharu
(UPM/OPR/KOLEJ/P002)
d. Prosedur Pengambilan Pelajar Baharu Program Pengajian Prasiswazah
(UPM/PU/PS/P003)
e. Arahan Kerja Permohonan Kad Pintar (UPM/OPR/BKU/AK01/KAD PINTAR)
4.3.3 ASET DALAM SKOP PENSIJILAN ISMS
Aset utama dalam skop pensijilan ISMS UPM adalah seperti di Step 3 - Identification of
Assets di dalam proses penilaian risiko.
Dokumen Rujukan:
a. Risk Assessment (UPM/ISMS/OPR/RA)
PENGURUSAN PUSAT PEMBANGUNAN MAKLUMAT &
KOMUNIKASI
Kod Dokumen : UPM/ISMS/PGR/MP
Halaman: 15/35
No. Semakan: 03
No. Isu: 01
MANUAL SISTEM PENGURUSAN KESELAMATAN MAKLUMAT
Tarikh: 07/12/2015
4.3.4 LOKASI SKOP PENSIJILAN ISMS UPM
Lokasi skop pelaksanaan pensijilan ISMS UPM adalah seperti butiran berikut:
LOKASI
Kolej Mohamed Rashid (KMR) Kolej Pendeta Za’ba (KPZ)
Kolej Kedua (K2) Kolej Sepuluh (K10)
Kolej Tun Dr Ismail (KTDI) Kolej Sebelas (K11)
Kolej Canselor (KC) Kolej Dua Belas (K12)
Kolej Kelima (K5) Kolej Tiga Belas (K13)
Kolej Keenam (K6) Kolej Empat Belas (K14)
Kolej Sultan Aleiddin Suleiman Shah (KOSASS)
Kolej Lima Belas (K15)
Kolej Tun Perak (KTP) Kolej Enam Belas (K16)
Kolej Tujuh Belas (K17) (Fakulti Perubatan & Sains Kesihatan) Universiti Putra Malaysia,
43400 UPM Serdang, Selangor
Pusat Data Utama (DC)
Pusat Pembangunan Maklumat dan Komunikasi (iDEC-BETA)
Universiti Putra Malaysia
43400 UPM Serdang
Selangor
Pusat Pemulihan Bencana (DRC) Pusat Pembangunan Maklumat dan Komunikasi (iDEC-EPSILON) Blok 2, UPM-MTDC Server Farm Complex 43400 UPM Serdang Selangor
Jadual 5 : Lokasi Pelaksanaan Pensijilan ISMS UPM
PENGURUSAN PUSAT PEMBANGUNAN MAKLUMAT &
KOMUNIKASI
Kod Dokumen : UPM/ISMS/PGR/MP
Halaman: 16/35
No. Semakan: 03
No. Isu: 01
MANUAL SISTEM PENGURUSAN KESELAMATAN MAKLUMAT
Tarikh: 07/12/2015
PERKARA 5: KEPEMIMPINAN (Klausa 5)
5.1 KEPEMIMPINAN DAN KOMITMEN
Pengurusan Universiti Putra Malaysia (UPM) memberi komitmen dengan mewujud,
melaksana, memantau, menyemak, menyelenggara dan menambah baik ISMS dengan
melaksanakan perkara berikut:
a. Memastikan objektif keselamatan maklumat dan Dasar ISMS diwujudkan selaras
dengan Pelan Strategik Universiti;
b. Menerapkan keperluan ISMS dalam proses perkhidmatan UPM;
c. Menyediakan keperluan sumber untuk mematuhi ISMS;
d. Memberi kesedaran berhubung dengan objektif keselamatan maklumat selaras
dengan peraturan semasa dan menetapkan penjagaan keselamatan adalah suatu
proses yang berterusan;
e. Memastikan ISMS mencapai hasil yang telah ditetapkan;
f. Menambah baik keberkesanan ISMS; dan
g. Memperakui peranan dan tanggungjawab dalam keselamatan maklumat.
5.2 DASAR ISMS
5.2.1 Pernyataan Dasar ISMS
Universiti Putra Malaysia beriltizam mengadakan sistem pengurusan keselamatan
maklumat yang berkesan melalui:
a. Pelaksanaan yang selari dengan misi dan visi Universiti;
b. Pematuhan kepada kehendak organisasi dan perundangan serta peraturan yang
berkaitan;
PENGURUSAN PUSAT PEMBANGUNAN MAKLUMAT &
KOMUNIKASI
Kod Dokumen : UPM/ISMS/PGR/MP
Halaman: 17/35
No. Semakan: 03
No. Isu: 01
MANUAL SISTEM PENGURUSAN KESELAMATAN MAKLUMAT
Tarikh: 07/12/2015
c. Membangunkan objektif ISMS yang dipantau dan matlamat berdasarkan objektif
keselamatan;
d. Komitmen bagi memenuhi keperluan berkaitan keselamatan maklumat; dan
e. Penilaian semula dan pengubahsuaian dasar, objektif dan sasaran untuk
penambahbaikan berterusan.
5.2.2 Objektif Keselamatan Maklumat
Pihak Pengurusan UPM telah menetapkan Objektif Keselamatan Maklumat yang
bersesuaian dengan fungsi yang terlibat bagi memastikan semua data dan maklumat di
UPM adalah selamat. Untuk memastikan ISMS dilaksanakan dengan berkesan, Objektif
Keselamatan Maklumat yang telah dikenalpasti adalah seperti berikut:
a. Memastikan semakan penilaian risiko dan pelan pemulihan risiko dilaksanakan
sekurang-kurangnya sekali setahun ;
b. Menjalankan ujian simulasi pelan pemulihan bencana ICT sekurang-kurangnya 1 kali
setahun;
c. Memastikan 95% sokongan ICT (rangkaian, sistem aplikasi dan pangkalan data)
terhadap proses pendaftaran pelajar baharu bebas dari gangguan setiap semester;
d. Memastikan 100% pelajar yang berdaftar adalah pelajar yang mendapat tawaran;
dan
e. Memastikan 100% borang permohonan kad pelajar yang diterima diisi dengan
lengkap.
PENGURUSAN PUSAT PEMBANGUNAN MAKLUMAT &
KOMUNIKASI
Kod Dokumen : UPM/ISMS/PGR/MP
Halaman: 18/35
No. Semakan: 03
No. Isu: 01
MANUAL SISTEM PENGURUSAN KESELAMATAN MAKLUMAT
Tarikh: 07/12/2015
5.2.3 Pematuhan kepada Perundangan
Pihak Pengurusan UPM telah menetapkan pemakaian Kaedah-Kaedah Universiti Putra
Malaysia (Teknologi Maklumat dan Komunikasi) dan disokong oleh Garis Panduan
Keselamatan Teknologi Maklumat dan Komunikasi (GPKTMK) sebagai peraturan
keselamatan ICT di UPM.
5.2.4 Penambahbaikan Berterusan Terhadap Keselamatan Maklumat
Pihak Pengurusan ISMS perlu membuat penambahbaikan berterusan terhadap
keselamatan maklumat bagi meningkatkan keberkesanan ISMS melalui:
a. Penemuan audit;
b. Analisis pencapaian Objektif Keselamatan Maklumat;
c. Tindakan pembetulan; dan
d. Kajian semula pelaksanaan ISMS.
PENGURUSAN PUSAT PEMBANGUNAN MAKLUMAT &
KOMUNIKASI
Kod Dokumen : UPM/ISMS/PGR/MP
Halaman: 19/35
No. Semakan: 03
No. Isu: 01
MANUAL SISTEM PENGURUSAN KESELAMATAN MAKLUMAT
Tarikh: 07/12/2015
5.3 PERANAN DAN TANGGUNGJAWAB
5.3.1 Struktur Organisasi ISMS
Rajah 3 : Struktur Organisasi ISMS UPM
JAWATANKUASA KERJA ISMS
PASUKAN PENDAFTARAN
PELAJAR BAHARU PRASISWAZAH
PASUKAN PUSAT DATA
PENASIHAT
PASUKAN PENILAIAN RISIKO
SEKRETARIAT (Pusat Jaminan Kualiti)
MESYUARAT KAJIAN
SEMULA PENGURUSAN
MESYUARAT
JAWATANKUASA ISO UPM
PENGURUSAN PUSAT PEMBANGUNAN MAKLUMAT &
KOMUNIKASI
Kod Dokumen : UPM/ISMS/PGR/MP
Halaman: 20/35
No. Semakan: 03
No. Isu: 01
MANUAL SISTEM PENGURUSAN KESELAMATAN MAKLUMAT
Tarikh: 07/12/2015
5.3.2 Peranan dan Tanggungjawab Organisasi ISMS UPM
PERANAN TANGGUNGJAWAB
MESYUARAT KAJIAN SEMULA PENGURUSAN
1. Melaksanakan semakan pengurusan ke atas sistem pengurusan ISO secara berkala bagi memastikan terus sesuai, mencukupi, dan berkesan;
2. Membuat penilaian ke atas peluang penambahbaikan dan keperluan perubahan kepada dasar dan objektif keselamatan ISMS
3. Meneliti laporan yang berkaitan dan membuat keputusan yang sesuai.
MESYUARAT JAWATANKUASA ISO UPM
1. Memastikan kesesuaian, kecukupan dan keberkesanan
pelaksanaan Sistem Pengurusan ISO secara berkala; 2. Membuat penilaian ke atas peluang penambahbaikan dan
keperluan perubahan kepada pengukuran keberkesanan ISMS 3. Meluluskan sebarang cadangan pindaan dokumen skop
pengurusan; dan 4. Mengambil maklum keberkesanan pelaksanaan ISO di peringkat
Peneraju Proses dan Pusat Tanggungjawab (PTJ).
WAKIL PENGURUSAN
1. Memastikan pembangunan dan pelaksanaan ISMS mematuhi keperluan piawaian; dan
2. Melaporkan pencapaian ISMS dalam Mesyuarat Kajian Semula Pengurusan (MKSP).
SEKRETARIAT PUSAT JAMINAN KUALITI
1. Merancang dan mengurus audit dalaman dan audit badan
pensijilan Sistem Pengurusan ISO peringkat UPM; 2. Menyelaras dan memantau pelaksanaan tindakan penemuan
audit dalaman dan audit badan pensijilan; 3. Membantu dalam Mesyuarat Jawatankuasa Kerja ISMS; dan 4. Membantu dalam pembangunan dan latihan ISMS.
PENGURUSAN PUSAT PEMBANGUNAN MAKLUMAT &
KOMUNIKASI
Kod Dokumen : UPM/ISMS/PGR/MP
Halaman: 21/35
No. Semakan: 03
No. Isu: 01
MANUAL SISTEM PENGURUSAN KESELAMATAN MAKLUMAT
Tarikh: 07/12/2015
PERANAN TANGGUNGJAWAB
JAWATANKUASA KERJA ISMS
1. Memantau keberkesanan pelaksanaan ISMS; 2. Memantau pencapaian objektif kualiti; 3. Melaksana penambahbaikan terhadap dokumentasi, proses dan
perkhidmatan; 4. Menyediakan laporan keberkesanan pelaksanaan Sistem
Pengurusan Keselamatan Maklumat; 5. Memantau dan menyemak carta perbatuan ISMS; 6. Membangunkan kriteria penerimaan risiko, tahap risiko dan risk
treatment plan; 7. Melaksanakan keputusan dan tindakan hasil Mesyuarat Kajian
Semula Pengurusan ISMS; 8. Membangun dan menyelenggara pengurusan dokumen dan
rekod pelaksanaan ISMS; dan 9. Mengambil tindakan ke atas tindakan pembetulan, pencegahan
dan peluang penambahbaikan.
PASUKAN PUSAT
DATA DAN
PASUKAN
PENDAFTARAN
PELAJAR BAHARU
PRASISWAZAH
1. Menyediakan analisis jurang, Statement of Applicability (SoA) dan prosedur berkaitan;
2. Menyediakan prosedur dan kawalan dalam ISO/IEC 27001:2013; 3. Melaksanakan penilaian risiko dan pelan pemulihan risiko; 4. Menyediakan objektif keselamatan dan kaedah pengukuran
keberkesanan kawalan ISMS; 5. Mengukur keberkesanan kawalan ISMS; dan 6. Memantau dan menilai pelaksanaan ISMS.
PASUKAN PENILAIAN RISIKO
1. Mengurus dan melaksanakan aktiviti penilaian berisiko; 2. Mengendalikan semakan semula ouput dan dokumen sebelum
disampaikan kepada Penasihat Projek; 3. Menilai keputusan, menilai jurang dan menyediakan laporan High
Level Recommendation (HLR) dan Pelan Pemulihan Risiko.
Jadual 6 : Peranan dan tanggungjawab Organisasi ISMS UPM
PENGURUSAN PUSAT PEMBANGUNAN MAKLUMAT &
KOMUNIKASI
Kod Dokumen : UPM/ISMS/PGR/MP
Halaman: 22/35
No. Semakan: 03
No. Isu: 01
MANUAL SISTEM PENGURUSAN KESELAMATAN MAKLUMAT
Tarikh: 07/12/2015
PERKARA 6: PERANCANGAN (Klausa 6)
6.1 TINDAKAN UNTUK MENANGANI RISIKO DAN PELUANG
6.1.1 Am
Garis Panduan Penilaian Risiko disediakan untuk menilai tahap risiko supaya pendekatan
dan keputusan yang paling berkesan dikenal pasti bagi menyediakan perlindungan dan
kawalan ke atas aset atau proses di UPM.
6.1.2 Penilaian Risiko
Penilaian risiko aset yang berkaitan dilaksanakan berasaskan Metodologi Penilaian Risiko
Terperinci MyRAM (Malaysian Public Sector ICT Risk Assessment Methodology)
berpandukan kepada Surat Pekeliling Am Bilangan 6 Tahun 2005: Garis Panduan Penilaian
Risiko Keselamatan Maklumat Sektor Awam.
Sebelas (11) langkah utama dalam proses penilaian risiko aset adalah seperti berikut:
Rajah 4 : Proses Penilaian Risiko
1. Menubuhkan Pasukan
Penilaian Risiko
2. Menetapkan Sempadan
3.
Mengenal pasti Aset
4.
Mengenal pasti Pentadbir Proses
& Sistem
5.
Menilai Aset
6.
Menilai Ancaman
7.
Menilai Kelemahan
8.
Mengenal pasti Kawalan
9.
Menganalisis Impak
10.
Menganalisis Kemungkinan
11.
Membuat Pengiraan Risiko
PENGURUSAN PUSAT PEMBANGUNAN MAKLUMAT &
KOMUNIKASI
Kod Dokumen : UPM/ISMS/PGR/MP
Halaman: 23/35
No. Semakan: 03
No. Isu: 01
MANUAL SISTEM PENGURUSAN KESELAMATAN MAKLUMAT
Tarikh: 07/12/2015
6.1.3 Pemulihan Risiko
Perkara yang perlu dikenalpasti dan dilaksanakan semasa proses pemulihan risiko adalah
seperti berikut:
a. Membuat pilihan cadangan pemulihan risiko (menerima, mengurangkan,
memindahkan, atau mengelakkan);
b. Mengenal pasti kawalan yang bersesuaian terhadap cadangan pemulihan risiko yang
telah dipilih;
c. Melaksanakan perbandingan antara kawalan yang dipilih dengan Annex A;
d. Mewujudkan Statement of Applicability (SoA) yang mengandungi kawalan bersesuaian;
e. Menyediakan Pelan Pemulihan Risiko; dan
f. Mendapatkan kelulusan Pentadbir Proses dan Pentadbir Sistem serta penerimaan ke
atas risiko yang telah dipilih.
Statement of Applicability, SoA menjelaskan justifikasi kawalan dan dokumen rujukan dalam
melindungi keselamatan aset ICT dalam skop ISMS. Pemilihan kawalan dalam SoA adalah hasil
Pemulihan Risiko dan peraturan-peraturan perlindungan aset ICT dalam Kaedah-Kaedah UPM
(Teknologi Maklumat dan Komunikasi) dan Garis Panduan Keselamatan Teknologi Maklumat
Komunikasi (GPKTMK).
Dokumen Rujukan:
a. Garis Panduan Penilaian Risiko Aset (UPM/ISMS/SOK/GP02/RISK ASSESSMENT)
PENGURUSAN PUSAT PEMBANGUNAN MAKLUMAT &
KOMUNIKASI
Kod Dokumen : UPM/ISMS/PGR/MP
Halaman: 24/35
No. Semakan: 03
No. Isu: 01
MANUAL SISTEM PENGURUSAN KESELAMATAN MAKLUMAT
Tarikh: 07/12/2015
PERKARA 7: SOKONGAN (Klausa 7)
7.1 AM
Pihak Pengurusan UPM telah menentukan dan menyediakan sumber yang diperlukan bagi
penubuhan, pelaksanaan, penyelenggaraan dan penambahbaikan berterusan bagi Sistem
Pengurusan Keselamatan Maklumat.
7.2 KOMPETENSI
Pihak Pengurusan UPM memastikan setiap staf yang bertanggungjawab ke atas pematuhan
ISMS mempunyai kompetensi yang sewajarnya dengan melaksanakan perkara berikut:
a. Menentukan tahap kompetensi setiap staf yang menjalankan tugas keselamatan
maklumat;
b. Memberi latihan atau mengambil langkah-langkah lain untuk memenuhi tahap
kompetensi yang diperlukan;
c. Menilai keberkesanan tindakan yang diambil; dan
d. Menyelenggara rekod latihan yang berkaitan.
Dokumen Rujukan:
a. Prosedur Latihan Staf UPM (UPM/SOK/LAT/P001)
7.3 KESEDARAN
UPM menyediakan program kesedaran keselamatan maklumat bagi menjalankan tugas
untuk mencapai objektif keselamatan ISMS.
Dokumen Rujukan:
a. Prosedur Latihan Staf UPM (UPM/SOK/LAT/P001)
PENGURUSAN PUSAT PEMBANGUNAN MAKLUMAT &
KOMUNIKASI
Kod Dokumen : UPM/ISMS/PGR/MP
Halaman: 25/35
No. Semakan: 03
No. Isu: 01
MANUAL SISTEM PENGURUSAN KESELAMATAN MAKLUMAT
Tarikh: 07/12/2015
7.4 KOMUNIKASI
Pihak pengurusan UPM telah mewujudkan komunikasi yang berkesan secara dalaman dan
luaran berhubung keselamatan maklumat untuk:
a. Menunjukkan komitmen pengurusan keselamatan maklumat;
b. Berbincang dengan penuh tanggungjawab mengenai aspek keselamatan maklumat
dan kesan terhadap UPM;
c. Meningkatkan kesedaran mengenai polisi keselamatan maklumat dan objektif
keselamatan; dan
d. Memaklumkan tentang pelaksanaan ISMS, pemantauan ISMS, audit dan kajian
semula pengurusan kepada staf berkaitan yang bertanggungjawab dalam proses
keselamatan maklumat Universiti.
BIL. PIHAK
BERKAITAN
PERKARA YANG
DIKOMUNIKASI
BILA KOMUNIKASI DILAKSANA
TANGGUNGAWAB MEDIUM KOMUNIKASI UPM Pihak berkaitan
KOMUNIKASI DALAMAN
1. Pelajar Perkara berkaitan proses pendaftaran pelajar
Minggu Perkasa Putra
Pegawai HEP Pelajar Hebahan melalui laman web HEPA, portal SMP dan USPOT
2. Staf Perkara berkaitan proses pendaftaran pelajar
Selewat-lewatnya sebulan sebelum Minggu Perkasa Putra
Pegawai HEP 1. Pusat Data 2. Pusat
Kesihatan Universiti
3. Bahagian Keselamatan
4. Pejabat Bursar
1. Program Perutusan Tahun Baru Naib Canselor
2. Taklimat khas pelaksanaan ISMS
3. Latihan pelaksanaan ISMS
PENGURUSAN PUSAT PEMBANGUNAN MAKLUMAT &
KOMUNIKASI
Kod Dokumen : UPM/ISMS/PGR/MP
Halaman: 26/35
No. Semakan: 03
No. Isu: 01
MANUAL SISTEM PENGURUSAN KESELAMATAN MAKLUMAT
Tarikh: 07/12/2015
BIL. PIHAK
BERKAITAN
PERKARA YANG
DIKOMUNIKASI
BILA KOMUNIKASI DILAKSANA
TANGGUNGAWAB MEDIUM KOMUNIKASI UPM Pihak berkaitan
KOMUNIKASI LUARAN
3. Pembekal Perkara berkaitan proses pendaftaran pelajar
Selewat-lewatnya sebulan sebelum Minggu Perkasa Putra
Ketua Bahagian Operasi Aplikasi
Staf Encoral Digital Solution Sdn Bhd (Pengurus Projek : Suhaimi Jantan)
Surat
4. Kementerian Pengajian Tinggi (KPT)
Maklumat pelajar ditawar masuk ke UPM
Berterusan secara berkala
Bahagian Akademik
Surat
Jadual 7: Kaedah Komunikasi Secara Dalaman dan Luaran
7.5 KEPERLUAN DOKUMENTASI
7.5.1 Am
UPM telah mengurus dan menyelenggara semua keperluan dokumentasi ISMS bagi
memastikan semua dokumen dapat dikesan dan dicapai apabila diperlukan.
7.5.2 Mewujud dan Mengemaskini Dokumen
Melibatkan beberapa perkara penting seperti berikut:
a. Pengenalan dan penerangan yang melibatkan tajuk, tarikh kuatkuasa, tarikh
kemaskini dan sejarah semakan dokumen;
b. Format dan media yang digunakan samada secara elektronik atau cetakan bertulis;
dan
c. Semakan dan pengesahan ke atas setiap dokumen baru atau pindaan.
PENGURUSAN PUSAT PEMBANGUNAN MAKLUMAT &
KOMUNIKASI
Kod Dokumen : UPM/ISMS/PGR/MP
Halaman: 27/35
No. Semakan: 03
No. Isu: 01
MANUAL SISTEM PENGURUSAN KESELAMATAN MAKLUMAT
Tarikh: 07/12/2015
7.5.3 Kawalan Dokumen
Mengurus, mengawal dan melindungi semua dokumen ISMS. Dokumen ISMS yang
dinyatakan dalam Senarai Utama Dokumen Terkawal selaras dengan Prosedur Kawalan
Dokumen dan Rekod.
Kawalan rekod dilaksanakan berdasarkan tindakan berikut:
a. Rekod ISMS (rekod fizikal dan elektronik) dan tempoh penyimpanannya dikenal pasti
dalam setiap prosedur ISMS;
b. Tatacara bagi mengurus, mengawal, mengenalpasti, menyimpan, mendapatkan
semula dan melupuskan rekod fizikal dan elektronik didokumenkan; dan
c. Pelupusan rekod ISMS fizikal dibuat mengikut Prosedur Kawalan Dokumen dan
Rekod.
PENGURUSAN PUSAT PEMBANGUNAN MAKLUMAT &
KOMUNIKASI
Kod Dokumen : UPM/ISMS/PGR/MP
Halaman: 28/35
No. Semakan: 03
No. Isu: 01
MANUAL SISTEM PENGURUSAN KESELAMATAN MAKLUMAT
Tarikh: 07/12/2015
PERKARA 8: OPERASI (Klausa 8)
8.1 PERANCANGAN DAN KAWALAN OPERASI
Pihak Pengurusan UPM telah merancang, melaksana dan mengawal proses yang
diperlukan untuk memenuhi keperluan keselamatan maklumat dan melaksanakan
tindakan yang ditentukan pada Klausa 6.1: Tindakan untuk Menangani Risiko dan Peluang.
UPM juga telah melaksanakan rancangan untuk mencapai objektif keselamatan
maklumat seperti yang telah ditentukan pada Klausa 6.2: Objektif Keselamatan Maklumat
dan Pelan Perancangan.
Dokumen Rujukan:
a. Prosedur Pengoperasian Pengurusan Pusat Data (UPM/ISMS/OPR/DC/P001)
b. Prosedur Pemantauan Operasi Pusat Data (UPM/ISMS/OPR/DC/P002)
c. Prosedur Kawalan dan Pemantauan Capaian ke Sistem di Pusat Data
(UPM/ISMS/OPR/DC/P003)
8.2 PENILAIAN RISIKO
Penilaian risiko dilaksanakan sekurang-kurangnya sekali dalam setahun berdasarkan
ancaman, kelemahan (vulnerability) dan impak yang diakibatkan oleh perkara berikut:
a. Perubahan dasar yang boleh memberi kesan kepada keputusan penguraian risiko
atau penilaian aset;
b. Perubahan kepada teknologi dan proses perkhidmatan;
c. Pembangunan dan penaiktarafan sistem/aplikasi baru;
d. Perubahan struktur organisasi (visi/misi/objektif);
e. Pelaksanaan kawalan baru selaras dengan strategi perlindungan dalam Pelan
Penilaian Risiko; dan
f. Insiden keselamatan maklumat.
PENGURUSAN PUSAT PEMBANGUNAN MAKLUMAT &
KOMUNIKASI
Kod Dokumen : UPM/ISMS/PGR/MP
Halaman: 29/35
No. Semakan: 03
No. Isu: 01
MANUAL SISTEM PENGURUSAN KESELAMATAN MAKLUMAT
Tarikh: 07/12/2015
Dokumen Rujukan:
a. Laporan Penilaian Risiko
8.3 PEMULIHAN RISIKO
Pemulihan risiko mengandungi pemilihan kawalan yang diluluskan oleh Pihak
Pengurusan UPM berdasarkan keputusan penilaian risiko.
Pasukan Penilaian Risiko akan mencadangkan kepada Pihak Pengurusan UPM sama ada
untuk mengurangkan, memindahkan, menerima, atau mengelakkan tahap risiko
ancaman tertentu yang wujud di dalam aset tertentu. Penerangan bagi setiap pilihan
keputusan adalah seperti berikut:
CADANGAN KETERANGAN
MENGURANGKAN
Keputusan ini ditentukan jika implikasi terhadap risiko adalah kritikal samada HIGH atau MEDIUM. Pengurangan risiko dapat dilaksanakan melalui penambahbaikan dari segi operasi, prosedur, fizikal, individu atau teknikal.
MEMINDAHKAN
Keputusan ini ditentukan jika implikasi terhadap risiko tersebut boleh dipindahkan dengan mewujudkan perjanjian perkhidmatan (SLA) antara kedua pihak.
MENERIMA Keputusan ini ditentukan jika implikasi terhadap risiko adalah LOW.
MENGELAKKAN
Keputusan ini ditentukan kerana tiada kawalan yang dapat ditentukan samada untuk mengurangkan atau memindahkan risiko kepada pihak ketiga.
Jadual 8: Pilihan Cadangan Kawalan Keputusan Penilaian Risiko
Dokumen Rujukan:
a. Laporan Pemulihan Risiko
PENGURUSAN PUSAT PEMBANGUNAN MAKLUMAT &
KOMUNIKASI
Kod Dokumen : UPM/ISMS/PGR/MP
Halaman: 30/35
No. Semakan: 03
No. Isu: 01
MANUAL SISTEM PENGURUSAN KESELAMATAN MAKLUMAT
Tarikh: 07/12/2015
PERKARA 9: PENILAIAN PRESTASI (Klausa 9)
9.1 PEMANTAUAN, PENGUKURAN, ANALISIS DAN PENILAIAN
Penilaian prestasi dan keberkesanan ISMS perlu dilaksana dan ditentukan dengan
menitikberatkan perkara berikut:
a. Perkara yang perlu dipantau dan diukur, termasuk proses dan kawalan ke atas
keselamatan maklumat melibatkan:
i. Petunjuk prestasi
ii. Pengukuran keberkesanan
b. Kaedah untuk pemantauan, pengukuran, analisis dan penilaian yang berkenaan
untuk memastikan hasil yang sah dan tepat;
c. Masa pelaksanaan pemantauan dan pengukuran;
d. Staf yang terlibat dalam pemantauan dan pengukuran;
e. Proses analisis dan penilaian terhadap keputusan pemantauan dan pengukuran;
dan
f. Staf yang telibat dalam membuat analisis dan penilaian terhadap keputusan
pemantauan dan pengukuran.
Dokumen Rujukan:
a. Garis Panduan Pemantauan, Pengukuran, Analisis dan Penilaian
(UPM/ISMS/OPR/DC/GP07/SECURITY METRICS)
PENGURUSAN PUSAT PEMBANGUNAN MAKLUMAT &
KOMUNIKASI
Kod Dokumen : UPM/ISMS/PGR/MP
Halaman: 31/35
No. Semakan: 03
No. Isu: 01
MANUAL SISTEM PENGURUSAN KESELAMATAN MAKLUMAT
Tarikh: 07/12/2015
9.2 AUDIT DALAMAN
UPM menjalankan Audit Dalaman ISMS pada jangka masa yang dirancang bagi
memastikan ISMS:
a. Akur kepada keperluan ISO/IEC 27001:2013 dan perundangan;
b. Akur kepada keperluan keselamatan maklumat;
c. Dilaksana seperti yang dirancang dan diselenggara dengan berkesan;
d. Menetapkan kriteria audit dan skop pengauditan;
e. Membuat pemilihan juruaudit;
f. Memastikan hasil audit dilaporkan ke pihak pengurusan; dan
g. Menyediakan bukti sepanjang program audit dan hasil pengauditan.
Pelan Audit Dalaman disediakan dengan mengambil kira tahap kepentingan proses dalam
skop yang diaudit serta laporan audit terdahulu. Kriteria, skop, kekerapan dan kaedah
audit akan ditetapkan.
Pemilihan Juruaudit Dalaman adalah berpandukan kepada pengetahuan dalam bidang
teknologi maklumat, keselamatan maklumat, skop perkhidmatan dan ISO/IEC
27001:2013. Juruaudit tidak dibenarkan mengaudit kerja atau tugasan sendiri.
Tanggungjawab dan keperluan untuk merancang, melaksana, melapor keputusan
audit dan mengurus rekod dengan merujuk kepada Prosedur Kawalan Dokumen dan
Rekod dan Prosedur Audit Dalaman ISO.
PENGURUSAN PUSAT PEMBANGUNAN MAKLUMAT &
KOMUNIKASI
Kod Dokumen : UPM/ISMS/PGR/MP
Halaman: 32/35
No. Semakan: 03
No. Isu: 01
MANUAL SISTEM PENGURUSAN KESELAMATAN MAKLUMAT
Tarikh: 07/12/2015
Pihak yang diaudit perlu mengambil tindakan yang bersesuaian dengan segera untuk
melaksanakan tindakan penambahbaikan/pembetulan/pencegahan ke atas
ketakakuran yang dikenalpasti. Tindakan susulan perlu ditentusahkan.
Dokumen Rujukan:
a. Prosedur Audit Dalaman ISO (UPM/PGR/P004)
9.3 KAJIAN SEMULA PENGURUSAN
Mesyuarat Kajian Semula Pengurusan ke atas ISMS dijalankan sekurang-kurangnya sekali
setahun. untuk memastikan kesesuaian, kecukupan dan keberkesanan pelaksanaan
ISMS.
Perkara yang dibincangkan dalam mesyuarat adalah seperti berikut:
a. Tindakan susulan hasil kajian semula pengurusan yang terdahulu;
b. Perubahan kepada isu dalaman dan luaran yang melibatkan sistem pengurusan
keselamatan maklumat;
c. Status ketidakpatuhan dan tindakan pembetulan;
d. Pemantauan dan pengukuran keberkesanan;
e. Penemuan audit;
f. Pencapaian objektif keselamatan maklumat;
g. Maklum balas pihak berkaitan;
h. Hasil penilaian risiko dan status pelan pemulihan risiko; dan
i. Peluang penambahbaikan.
PENGURUSAN PUSAT PEMBANGUNAN MAKLUMAT &
KOMUNIKASI
Kod Dokumen : UPM/ISMS/PGR/MP
Halaman: 33/35
No. Semakan: 03
No. Isu: 01
MANUAL SISTEM PENGURUSAN KESELAMATAN MAKLUMAT
Tarikh: 07/12/2015
Keputusan mesyuarat direkodkan dan Jawatankuasa Kerja ISMS bertanggungjawab
memastikan tindakan susulan diambil. Semua rekod yang berkaitan hendaklah
diselenggara dengan sempurna.
PENGURUSAN PUSAT PEMBANGUNAN MAKLUMAT &
KOMUNIKASI
Kod Dokumen : UPM/ISMS/PGR/MP
Halaman: 34/35
No. Semakan: 03
No. Isu: 01
MANUAL SISTEM PENGURUSAN KESELAMATAN MAKLUMAT
Tarikh: 07/12/2015
PERKARA 10: PENAMBAHBAIKAN (Klausa 10)
10.1 KETAKAKURAN DAN TINDAKAN PEMBETULAN
UPM perlu mengambil tindakan yang berkesan untuk membetulkan punca
ketakakuran daripada terus berlaku.
a. Mengambil tindakan ke atas ketakakuran:
i. Mengenalpasti tindakan yang perlu diambil untuk mengawal dan memastikan
ketakakuran tidak berulang;
ii. Menangani kesan daripada ketakakuran yang berlaku;
b. Menilai keperluan tindakan pembetulan untuk menghapus punca ketakakuran supaya
ia tidak berulang atau berlaku di tempat lain dengan melaksanakan perkara berikut:
i. Mengkaji semula ketakakuran yang berlaku;
ii. Menentukan punca ketakakuran;
iii. Menentukan sama ada ketakakuran yang sama wujud atau berpotensi akan
berlaku;
c. Melaksanakan tindakan pembetulan yang diperlukan dalam masa yang ditetapkan;
d. Mengkaji keberkesanan terhadap tindakan pembetulan yang telah diambil; dan
e. Melaksanakan perubahan kepada ISMS, jika diperlukan.
PENGURUSAN PUSAT PEMBANGUNAN MAKLUMAT &
KOMUNIKASI
Kod Dokumen : UPM/ISMS/PGR/MP
Halaman: 35/35
No. Semakan: 03
No. Isu: 01
MANUAL SISTEM PENGURUSAN KESELAMATAN MAKLUMAT
Tarikh: 07/12/2015
Tindakan pembetulan hendaklah bersesuaian dengan kesan ketakakuran yang ditemui.
UPM perlu menyediakan dokumentasi berikut sebagai bukti:
a. Ketakakuran dan sebarang tindakan yang diambil dan dilaksanakan.
b. Keputusan terhadap sebarang hasil tindakan pembetulan.
Dokumen Rujukan:
a. Prosedur Kawalan Ketakakuran, Tindakan Pembetulan, Tindakan Pencegahan dan
Peluang Penambahbaikan (UPM/PGR/P003)
10.2 PENAMBAHBAIKAN BERTERUSAN
UPM perlu membuat penambahbaikan berterusan bagi meningkatkan keberkesanan
pelaksanaan ISMS melalui:
a. Pematuhan Kaedah-Kaedah Universiti Putra Malaysia (Teknologi Maklumat dan
Komunikasi);
b. Penemuan audit;
c. Analisis insiden keselamatan maklumat;
d. Tindakan pembetulan; dan
e. Kajian semula ISMS.
Dokumen Rujukan:
a. Prosedur Kawalan Ketakakuran, Tindakan Pembetulan, Tindakan Pencegahan dan
Peluang Penambahbaikan (UPM/PGR/P003)
Recommended