Polisi Keselamatan Siber KPDNHEP KESELAMATAN SIBER... · lengkap dan menentukan tahap keselamatan dan kematangan sistem. Rajah 1 menerangkan kepada agensi-agensi Sektor Awam berkenaan

TERHAD

Polisi Keselamatan Siber KPDNHEP

KPDNHEP-4-POL-Polisi Keselamatan Siber KPDNHEP-v1.0 Muka 1 dari 118

TERHAD

POLISI KESELAMATAN SIBER

KPDNHEP

“Maklumat yang terkandung dalam dokumen ini tidak boleh diberitahu

secara langsung atau tidak kepada akhbar atau sesiapa yang tidak

dibenarkan”

Hak cipta Terpelihara

©KPDNHEP, 2019



TERHAD

KAWALAN DOKUMEN



TERHAD

SEJARAH DOKUMEN

Tarikh Versi Disediakan oleh Keterangan Perubahan

30/10/2018 1.0 BPM Dokumen Permulaan

18/3/2019 1.0 BPM i) Pengemaskinian peraturan di Bab 2

ii) Pengemaskinian Nama KSU, TKSU( K&P)

dan Pengarah BPM

iii) Pengemaskinian keseluruhan 8 bab polisi



TERHAD

Isi Kandungan

KENAL PASTI ................................................................................................ 18

1.1 Persekitaran Perkhidmatan dan Fungsi KPDNHEP .................................... 18

1.1.1 Pelan Hala Tuju Kementerian ............................................................... 18

1.1.2 Kebergantungan Maklumat Kementerian ............................................. 19

1.2 Tadbir Urus ................................................................................................. 20

1.2.1 Ketua Setiausaha KPDNHEP ............................................................... 20

1.2.2 Ketua Pegawai Maklumat (CIO) ........................................................... 20

1.2.3 Pegawai Keselamatan ICT (ICT Security Officer) ................................. 21

1.2.4 Pengurus Komputer .............................................................................. 22

1.2.5 Pentadbir Sistem ICT............................................................................ 22

1.2.6 Pengguna ............................................................................................. 23

1.2.7 Pihak Ketiga/luar .................................................................................. 24

1.2.8 Keperluan Perundangan Dan Peraturan............................................... 26

1.3 Aset ............................................................................................................. 28

1.3.1 Kategori Maklumat dan Data ................................................................ 29

1.3.2 Platform Aplikasi dan Perisian .............................................................. 30

1.3.3 Peranti Fizikal dan Sistem .................................................................... 30

1.3.4 Pengelasan dan Pengendalian Maklumat ............................................ 31

1.3.5 Sistem Luaran ...................................................................................... 33

1.3.6 Sumber Luaran ..................................................................................... 33

1.4 Risiko .......................................................................................................... 34

1.4.1 Kerentanan ........................................................................................... 34



TERHAD

1.4.2 Ancaman .............................................................................................. 34

1.4.3 Impak .................................................................................................... 35

1.4.4 Tahap Risiko ......................................................................................... 36

1.4.5 Pengolahan Risiko ................................................................................ 36

1.4.6 Pengurusan Risiko ............................................................................... 37

LINDUNG ....................................................................................................... 38

2.1 Prinsip Keselamatan ................................................................................... 38

2.1.1 Prinsip “Perlu-Tahu” ............................................................................. 38

2.1.2 Hak Keistimewaan Minimum ................................................................ 39

2.1.3 Pengasingan Tugas .............................................................................. 39

2.1.4 Kawalan Capaian Berdasarkan Peranan .............................................. 40

2.1.5 Kawalan Capaian Pengguna ................................................................ 41

2.1.6 Kawalan Capaian Rangkaian ............................................................... 42

2.1.7 Kawalan Capaian Sistem Operasi ........................................................ 43

2.1.8 Pengurusan Perkakasan ...................................................................... 45

2.1.9 Pengurusan Rangkaian ........................................................................ 52

2.1.10 Kawalan Capaian Sistem Dan Aplikasi ............................................. 58

2.1.11 Pengurusan Pembangunan dan Penyelenggaraan Sistem ............... 59

2.1.12 Kawalan Peralatan Mudah Alih ......................................................... 61

2.1.13 Peminimuman Data ........................................................................... 62

2.1.14 Pengurusan Media ............................................................................ 62

2.1.15 Keselamatan Kawasan ...................................................................... 64

2.1.16 Keselamatan Persekitaran ................................................................ 66

2.2 Teknologi .................................................................................................... 67

2.2.1 Peringkat Pemprosesan Data ............................................................... 67



TERHAD

2.2.2 Elemen Dalam Persekitaran Pengkomputeran ..................................... 68

2.2.3 Kawalan Capaian ................................................................................. 70

2.2.4 Kriptografi ............................................................................................. 72

2.2.5 Pengasingan ......................................................................................... 73

2.3 Proses ......................................................................................................... 73

2.3.1 Konfigurasi Asas ................................................................................... 73

2.3.2 Kawalan Perubahan Konfigurasi .......................................................... 74

2.3.3 Sandaran (Backup) ............................................................................... 75

2.3.4 Kitaran Pengurusan Aset ...................................................................... 76

2.4 Manusia ...................................................................................................... 79

2.4.1 Kompetensi Pengguna ......................................................................... 80

2.4.2 Kompetensi Pelaksana ......................................................................... 80

2.4.3 Peranan ................................................................................................ 81

2.4.4 Bertukar atau Tamat Perkhidmatan ...................................................... 82

KESAN ........................................................................................................... 84

3.1 Pemantauan Berterusan ............................................................................. 84

3.1.1 Teknologi .............................................................................................. 84

3.1.2 Perkongsian Wawasan Dan Kecerdasan ............................................. 86

3.2 Anomali dan Peristiwa ................................................................................. 86

3.2.1 Aliran Data Asas ................................................................................... 87

3.2.2 Pengagregatan Data ............................................................................ 87

3.2.3 Korelasi ................................................................................................. 87

3.2.4 Pemberitahuan ..................................................................................... 87

3.2.5 Kenal Pasti Impak ................................................................................. 88

TINDAK BALAS .............................................................................................. 88



TERHAD

4.1 Pelan Tindak balas ...................................................................................... 88

4.1.1 Laporan Insiden Keselamatan .............................................................. 89

4.2 Komunikasi.................................................................................................. 90

4.3 Analisis ........................................................................................................ 90

4.3.1 Analisis dan Pengesahan Insiden ......................................................... 91

4.3.2 Penilaian Insiden dan Impak ................................................................. 92

4.3.3 Keutamaan Insiden Keselamatan ......................................................... 92

4.3.4 Pemberitahuan Insiden ......................................................................... 92

4.3.5 Strategi Pengawalan Insiden ................................................................ 92

4.3.6 Pengumpulan Bahan Bukti ................................................................... 93

4.3.7 Penjagaan Bahan Bukti ........................................................................ 93

4.4 Mitigasi ........................................................................................................ 94

4.4.1 Pelan Mitigasi ....................................................................................... 94

4.5 Penambahbaikan ........................................................................................ 94

4.5.1 Pengajaran daripada Insiden Maklumat Keselamatan ......................... 94

PULIH ............................................................................................................. 96

5.1 Pelan Pengurusan Kesinambungan Perkhidmatan ..................................... 96

5.2 Pelan Pemulihan Bencana .......................................................................... 97

5.3 Penambahbaikan ........................................................................................ 97

PEROLEH ...................................................................................................... 98

6.1 Kenal Pasti Keperluan ................................................................................. 98

6.2 Spesifikasi Perolehan .................................................................................. 98

6.2.1 Keperluan Keselamatan ....................................................................... 98

6.2.2 Pensijilan Keselamatan ........................................................................ 99

6.2.3 Kod Sumber .......................................................................................... 99



TERHAD

6.2.4 Kitar Hayat Data ................................................................................. 100

6.2.5 Kepakaran dan Teknologi Tempatan .................................................. 101

6.2.6 Kompetensi Pasukan Projek ............................................................... 101

6.3 Pengurusan Syarikat Pembekal ................................................................ 101

6.3.1 Pemilihan ............................................................................................ 101

6.3.2 Kontrak ............................................................................................... 102

6.3.3 Pemantauan syarikat pembekal dan pihak ketiga .............................. 103

6.3.4 Pengurusan Penyampaian Perkhidmatan Pihak Ketiga ..................... 104

6.4 Jejak Sumber ............................................................................................ 104

6.4.1 Pengendalian Pergerakan Peralatan .................................................. 104

6.4.2 Kawalan Versi Dokumentasi ............................................................... 105

6.5 Kitar Hayat Sistem .................................................................................... 106

6.6 Proses Pentauliahan ................................................................................. 106

6.6.1 Pentadbiran Sistem ............................................................................ 106

6.6.2 Penilaian Tahap Keselamatan ............................................................ 107

6.7 Proses Penyerahan Projek/Sistem ............................................................ 107

6.7.1 Sandaran dan Ujian Pemulihan .......................................................... 107

6.7.2 Migrasi Data ....................................................................................... 107

6.7.3 Pengurusan Perubahan ...................................................................... 107

6.8 Pelupusan ................................................................................................. 107

AUDIT KESELAMATAN ............................................................................... 108

7.1 Tahap Kematangan ................................................................................... 108

7.2 Audit Dalam............................................................................................... 108

7.3 Audit Luar .................................................................................................. 109

KUAT KUASA ............................................................................................... 110



TERHAD

8.1 Penguatkuasaan Dalaman ........................................................................ 111

8.2 Pihak Berkuasa dan Skop Penguatkuasaan ............................................. 111

8.2.1 Ketua Perkhidmatan ........................................................................... 111

8.2.2 Polis DiRaja Malaysia (PDRM) ........................................................... 112

8.2.3 Suruhanjaya Komunikasi dan Multimedia Malaysia (SKMM) .............. 112

8.3 Pematuhan ................................................................................................ 112

8.3.1 Objektif ............................................................................................... 112

8.3.2 Pematuhan Dasar ............................................................................... 112

8.3.3 Pematuhan dengan Dasar, Piawaian dan Keperluan Teknikal ........... 114

8.3.4 Pematuhan kepada Prosedur Pertukaran Maklumat .......................... 114

8.3.5 Pematuhan Prosedur Operasi ............................................................ 116

8.3.6 Pematuhan Keperluan Audit ............................................................... 117



TERHAD

PETUNJUK/DEFINISI

KPDNHEP Kementerian Perdagangan Dalam Negeri dan Hal Ehwal

Pengguna

PKS Polisi Keselamatan Siber KPDNHEP

CIO Chief Information Officer / Ketua Pegawai Maklumat

ICTSO Information, Communication and Technology Security Officer /

Pegawai Keselamatan ICT

Jabatan KPDNHEP dan agensi-agensi/cawangan-cawangan di

bawahnya

ICT Information, Communication and Technology / Teknologi,

Maklumat dan Komunikasi

RAKKSSA Rangka Kerja Keselamatan Siber Sektor Awam

JPICT Jawatankuasa Pemandu ICT

PII Personally Identifiable Information

CERT Computer Emergency Response Team ICT

Perkhidmatan Semua perkhidmatan yang disediakan oleh syarikat tetapi tidak

terhad kepada pengurusan projek, sesi pemindahan teknologi

(Transfer of Technology), latihan penggunaan sistem,

dokumentasi dan lain-lain lagi.

Perolehan Merujuk kepada semua jenis perolehan oleh Jabatan baik

secara dalaman atau secara luaran. Kaedah perolehan



TERHAD

termasuk Sebutharga/Tender, Sewaan, Pinjaman, Lain-lain

perolehan

BYOD Bring Your Own Device - Kebenaran untuk membawa peralatan

sendiri untuk pelaksanaan tugas rasmi di pejabat.



TERHAD

I. PENGENALAN

Penggunaan ICT untuk meningkatkan kecekapan dalam Penyampaian

Perkhidmatan Kerajaan merupakan salah satu langkah dalam transformasi

Sektor Awam di Malaysia. Ini bermakna maklumat atau data disimpan dan

diproses dalam bentuk digital, atau dalam erti kata lain, dalam ruang siber.

Sehubungan dengan itu, suatu rangka kerja keselamatan siber KPDNHEP

yang menyeluruh diperlukan. Rangka kerja keselamatan siber ini bertujuan

memberi panduan asas serta merangkumi kesemua komponen keselamatan

yang perlu diambil kira oleh KPDNHEP untuk melindungi maklumat dalam

ruang siber mereka. Polisi Keselamatan Siber (PKS) perlu dibangunkan di

peringkat Kementerian untuk melindungi maklumat dalam ruang siber

Kementerian.

Di samping itu juga, PKS ini juga terpakai untuk aset ICT lain yang berkaitan

di ruang siber.

II. SKOP

PKS mentakrifkan ruang siber sebagai sistem-sistem teknologi maklumat

dan komunikasi, maklumat yang disimpan dalam sistem tersebut,

manusia yang berinteraksi dengan sistem-sistem ini secara fizikal atau

maya, serta persekitaran fizikal sistem-sistem tersebut disimpan.

Maklumat yang dipindahkan dari ruang siber ke ruang fizikal (melalui cetakan,

salinan tulisan tangan, rakaman foto menggunakan peralatan fotografik)

adalah di luar skop dokumen ini dan hendaklah ditangani dengan peraturan

sedia ada.

PKS KPDNHEP ini juga merangkumi perlindungan semua bentuk maklumat

kerajaan yang dimasukkan, diwujud, dimusnah, disimpan, dijana, dicetak,

diakses, diedar dan yang dibuat salinan keselamatan.



TERHAD

III. RANGKA KERJA KESELAMATAN SIBER SEKTOR AWAM (RAKKSSA)

Di peringkat projek, PKS ini hendaklah dirujuk untuk merangka Pelan

Pengurusan Keselamatan Maklumat. Pelan Pengurusan Keselamatan

Maklumat hendaklah mengandungi maklumat mengikut struktur rangka kerja

yang terdapat dalam dokumen ini. Pelan Pengurusan Keselamatan Maklumat

hendaklah disemak semula secara tahunan atau lebih kerap mengikut

keperluan.

Agensi pengauditan boleh menggunakan PKS ini untuk memastikan Pelan

Pengurusan Keselamatan Maklumat bagi pelaksanaan sistem ICTadalah

lengkap dan menentukan tahap keselamatan dan kematangan sistem.

Rajah 1 menerangkan kepada agensi-agensi Sektor Awam berkenaan hirarki

dokumen yang perlu dirujuk bagi merancang perlindungan keselamatan siber.

Rajah 1 : Hirarki Rujukan Dokumen

Terdapat tiga (3) peringkat dalam pembangunan polisi keselamatan siber.

Peringkat teratas adalah halatuju polisi umum melalui Rangka Kerja

Keselamatan Siber Sektor Awam (RAKKSSA) dan Polisi Keselamatan Siber

Sektor Awam. Peringkat seterusnya adalah Polisi Keselamatan Siber Jabatan

yang memberi perhatian kepada isu-isu khusus Jabatan. Pelan Pengurusan



TERHAD

Keselamatan Maklumat dengan berpandukan RAKKSSA, Polisi Keselamatan

Siber Sektor Awam, Polisi Keselamatan Siber Jabatan dan surat

pekeliling/arahan terkini, dibangunkan untuk menangani isu-isu operasi

projek.

Polisi di peringkat pusat adalah bersifat umum dan tidak berubah dalam

jangka masa pendek. Manakala polisi di peringkat Jabatan perlu disemak

dengan lebih kerap mengikut perubahan teknologi, permintaan, keperluan,

undang-undang dan fungsi Jabatan.

Pelan Pengurusan Keselamatan Maklumat bagi projek mengandungi

maklumat terperinci, menyatakan keutamaan aplikasi, kawalan capaian dan

lain-lain keperluan khusus.

Rajah 2 : Rangka Kerja RAKKSSA



TERHAD

Rangka kerja ini digunakan untuk membangunkan PKS KPDNHEP. Audit

Keselamatan dan Kuat Kuasa merupakan dua komponen yang merentasi

semua komponen.

IV. KOMPONEN POLISI KESELAMATAN SIBER

Lapan (8) komponen utama RAKKSSA digunakan untuk membangunkan

PKS seperti Rajah 3 berikut:

Rajah 3 : Komponen RAKKSSA



TERHAD

V. PEMBANGUNAN DAN PENYELENGGARAAN POLISI

a) Objektif

Polisi ini bertujuan memastikan hala tuju pengurusan keselamatan

kementerian untuk melindungi ruang siber dan aset ICT selaras dengan

keperluan perundangan.

b) Pelaksanaan Polisi

Ketua Setiausaha KPDNHEP adalah bertanggungjawab ke atas

pelaksanaan arahan dengan dibantu oleh Jawatankuasa Pemandu ICT

yang terdiri daripada Ketua Pegawai Maklumat (CIO), Pengurus Komputer,

Pegawai Keselamatan ICT (ICTSO) dan lain-lain pegawai yang dilantik.

c) Penyebaran Polisi

Polisi ini perlu disebarkan kepada semua pengguna KPDNHEP (termasuk

pegawai, pembekal, pakar runding dan lain-lain yang berurusan dengan

KPDNHEP).

Penyebaran Polisi kepada pengguna akan dibuat melalui medium seperti

Intranet, Mesyuarat Pengurusan Kementerian, E-mel, Surat Makluman dan

lain-lain kaedah yang bersesuaian mengikut keperluan semasa.



TERHAD

d) Penyelenggaraan Polisi

PKS KPDNHEP adalah tertakluk kepada semakan dan pindaan dari masa

ke semasa selaras dengan perubahan teknologi, aplikasi, prosedur,

perundangan dan kepentingan organisasi.

Prosedur yang berhubung dengan penyelenggaraan Polisi Keselamatan

ICT KPDNHEP adalah seperti berikut:

(i) Mengkaji semula Polisi ini sekurang-kurangnya sekali setahun bagi

mengenal pasti dan menentukan perubahan yang diperlukan;

(ii) Mengemukakan cadangan pindaan secara bertulis kepada ICTSO

untuk pembentangan dan persetujuan Jawatankuasa Pemandu ICT

(JPICT) KPDNHEP; dan

(iii) Memaklumkan perubahan yang sudah dipersetujui oleh JPICT

kepada semua pengguna.

e) Pemakaian Polisi

Polisi Keselamatan Siber KPDNHEP adalah terpakai kepada semua

pengguna ICT KPDNHEP dan tiada pengecualian diberikan melainkan

mendapat persetujuan Ketua Setiausaha Kementerian.



TERHAD

KENAL PASTI

Komponen pertama dalam perancangan keselamatan siber adalah mengenal pasti

persekitaran fungsi dan perkhidmatan Jabatan, struktur tadbir urus dan aset dalam

skop perlindungan. Seterusnya, kerentanan dan ancaman ke atas aset atau

persekitaran fungsi dan perkhidmatan Jabatan perlu dikenalpasti.

Kebarangkalian risiko dan impak sesuatu insiden berlaku berpunca daripada

kerentanan dan ancaman yang dikenal pasti. Peranan dan tanggungjawab pemilik

aset dan pemilik risiko dalam struktur tadbir urus telah dikenalpasti di dalam Pelan

Pengurusan Risiko KPDNHEP. Pemilik risiko hendaklah memastikan pengolahan

risiko merangkumi proses, teknologi dan manusia.

1.1 Persekitaran Perkhidmatan dan Fungsi KPDNHEP

1.1.1 Pelan Hala Tuju Kementerian

Pelan Strategik Kementerian telah disediakan sebagai panduan dan hala

tuju KPDNHEP dalam melaksanakan program dan aktiviti yang

merangkumi empat (4) sektor utama iaitu Sektor Perdagangan Dalam

Negeri dan Sektor Kepenggunaan. Terdapat 5 Teras Strategik di dalam

Pelan Strategik Kementerian tahun 2016 hingga 2020 seperti di Rajah 4.



TERHAD

Rajah 4 : Hala Tuju KPDNHEP (2016-2020)

1.1.2 Kebergantungan Maklumat Kementerian

Kebergantungan sumber maklumat diperolehi daripada kerjasama dan

ketersediaan maklumat antara bahagian, agensi di bawah Kementerian

dan agensi luar.

Maklumat tersebut perlu dikelaskan mengikut tahap kerahsiaan yang

ditetapkan oleh pemegang taroh.



TERHAD

1.2 Tadbir Urus

Menerangkan peranan dan tanggungjawab individu yang terlibat dengan lebih

jelas dan teratur dalam mencapai objektif organisasi.

1.2.1 Ketua Setiausaha KPDNHEP

Peranan dan tanggungjawab Ketua Setiausaha adalah seperti berikut :

a) Memastikan semua pengguna ICT KPDNHEP memahami peruntukan-

peruntukan di bawah Polisi Keselamatan Siber KPDNHEP;

b) Memastikan semua pengguna mematuhi Polisi Keselamatan Siber

KPDNHEP;

c) Memastikan semua keperluan organisasi seperti sumber kewangan,

sumber manusia dan perlindungan keselamatan adalah mencukupi; dan

d) Memastikan penilaian risiko dan program keselamatan ICT dilaksanakan

seperti yang ditetapkan dalam Polisi Keselamatan Siber KPDNHEP.

1.2.2 Ketua Pegawai Maklumat (CIO)

Timbalan Ketua Setiausaha (Kepenggunaan & Pengurusan) adalah

merupakan Ketua Pegawai Maklumat (CIO). Peranan dan tanggungjawab

beliau adalah seperti berikut:

a) Mewujudkan dan mengetuai Jawatankuasa Teknikal TMK KPDNHEP;

b) Membantu dan menasihati Ketua Setiausaha dalam melaksanakan

tugas-tugas yang melibatkan keselamatan ICT;

c) Menentukan keperluan keselamatan ICT;



TERHAD

d) Menyelaraskan pembangunan dan pelaksanaan pelan latihan dan

program kesedaran mengenai keselamatan ICT; dan

e) Menguatkuasakan Polisi Keselamatan Siber KPDNHEP bagi

memastikan semua pengguna memahami peruntukan di bawah Polisi

Keselamatan Siber KPDNHEP.

1.2.3 Pegawai Keselamatan ICT (ICT Security Officer)

Peranan dan tanggungjawab Pegawai Keselamatan ICT (ICTSO) ialah

seperti berikut:

a) Mengurus keseluruhan program-program keselamatan ICT KPDNHEP;

b) Memberi penerangan kepada pengguna berkenaan Polisi Keselamatan

Siber KPDNHEP;

c) Mewujudkan garis panduan, prosedur dan tatacara selaras dengan

keperluan Polisi Keselamatan Siber KPDNHEP;

d) Bertindak sebagai pengurus Computer Emergency Response Team ICT

(CERT);

e) Menjalankan audit, mengkaji semula, merumus tindak balas

berdasarkan hasil penemuan dan menyediakan laporan;

f) Memberi amaran terhadap kemungkinan berlakunya ancaman

keselamatan ICT dan memberi khidmat nasihat serta menyediakan

langkah-langkah perlindungan yang sesuai;

g) Memaklumkan insiden keselamatan ICT kepada CIO dan

melaporkannya kepada Computer Emergency Response Team ICT

(CERT) KPDNHEP ;



TERHAD

h) Bekerjasama dengan pihak-pihak yang berkaitan dalam mengenal pasti

punca insiden dan memperakukan langkah-langkah baik pulih dengan

segera; dan

i) Menyedia dan melaksana program-program kesedaran mengenai

keselamatan ICT.

1.2.4 Pengurus Komputer

Pengarah Bahagian Pengurusan Maklumat (PBPM) adalah merupakan

Pengurus Komputer, KPDNHEP. Peranan dan tanggungjawab Pengurus

Komputer ialah :

a) Memahami dan mematuhi Polisi Keselamatan Siber KPDNHEP ;

b) Mengkaji semula dan melaksanakan kawalan keselamatan ICT selaras

dengan keperluan KPDNHEP;

c) Menentukan kawalan akses semua pengguna terhadap aset ICT

KPDNHEP;

d) Melaporkan sebarang perkara atau penemuan mengenai keselamatan

ICT kepada ICTSO; dan

e) Menyimpan rekod, bahan bukti dan laporan mengenai ancaman

keselamatan ICT KPDNHEP.

1.2.5 Pentadbir Sistem ICT

Peranan dan tanggungjawab Pentadbir Sistem ICT adalah seperti berikut:

a) Mengambil tindakan segera apabila dimaklumkan mengenai pegawai

yang berhenti, bertukar atau berlaku perubahan dalam bidang tugas.



TERHAD

Jika perlu, membeku akaun pengguna yang bercuti/berkursus panjang

atau menghadapi tindakan tatatertib;

b) Memantau aktiviti capaian harian pengguna;

c) Mengenal pasti aktiviti-aktiviti tidak normal seperti pencerobohan dan

pengubahsuaian data tanpa kebenaran;

d) Menyimpan dan menganalisis rekod jejak audit;

e) Melaksanakan penyelenggaraan dan patches terkini; dan

f) Menyedia laporan mengenai aktiviti capaian kepada pihak pengurusan

dan pihak yang berkaitan dari masa ke semasa.

1.2.6 Pengguna

Pengguna adalah termasuk pegawai KPDNHEP, pegawai Kontrak,

pegawai sambilan harian, pembekal, pakar runding dan lain-lain. Peranan

dan tanggungjawab pengguna ialah:

a) Membaca, memahami dan mematuhi Polisi Keselamatan Siber

KPDNHEP;

b) Mengetahui dan memahami implikasi keselamatan ICT kesan dari

tindakannya;

c) Melaksanakan prinsip-prinsip Polisi Keselamatan Siber KPDNHEP dan

menjaga kerahsiaan maklumat;

d) Melaksanakan langkah-langkah perlindungan seperti berikut:

(i) Menghalang pendedahan maklumat kepada pihak yang tidak

dibenarkan;



TERHAD

(ii) Memeriksa maklumat dan menentukan ia tepat dan lengkap dari

masa ke semasa;

(iii) Menentukan maklumat sedia untuk digunakan;

(iv) Menjaga kerahsiaan kata laluan;

(v) Mematuhi standard, prosedur, langkah dan garis panduan yang

ditetapkan;

(vi) Memberi perhatian kepada maklumat terperingkat terutama

semasa pewujudan, pemprosesan, penyimpanan, penghantaran,

penyampaian, pertukaran dan pemusnahan; dan

(vii) Menjaga kerahsiaan langkah-langkah keselamatan ICT dari

diketahui umum.

e) Menghadiri program-program kesedaran mengenai keselamatan ICT;

dan

f) Melaporkan sebarang aktiviti yang mengancam keselamatan ICT

kepada ICTSO dengan kadar segera.

1.2.7 Pihak Ketiga/luar

Pihak KPDNHEP hendaklah memastikan keselamatan penggunaan

maklumat dan kemudahan proses maklumat oleh kontraktor/pihak ketiga

dikawal. Perkara yang perlu dipatuhi adalah seperti berikut:

a) Mengenal pasti risiko keselamatan maklumat dan kemudahan

pemprosesan maklumat serta melaksanakan kawalan yang sesuai

sebelum memberi kebenaran capaian;

b) Mengenal pasti keperluan keselamatan sebelum memberi kebenaran

capaian atau penggunaan kepada pengguna luar/asing. Capaian



TERHAD

kepada aset ICT KPDNHEP perlu berlandaskan kepada perjanjian

kontrak;

c) Memastikan semua syarat keselamatan dinyatakan dengan jelas dalam

perjanjian dengan pihak ketiga;

d) Perkara-perkara berikut hendaklah dimasukkan di dalam perjanjian yang

dimeterai:

i. Surat Perakuan

ii. Perakuan Akta Rahsia Rasmi 1972; dan

iii. Hak Harta Intelek.

e) Membaca, memahami dan mematuhi peraturan-peraturan yang

dinyatakan dalam Surat Pekeliling Perbendaharaan Bilangan 5 Tahun

2007 Tatacara Pengurusan Perolehan Kerajaan Secara Tender; Surat

Pekeliling Perbendaharaan Bilangan 2 Tahun 2011: Peraturan

Perolehan Perkhidmatan Perunding Bagi Projek Atau Kajian Kerajaan

yang berkaitan juga boleh dirujuk; Surat Pekeliling Perbendaharaan

Bilangan 9 Tahun 2009: Had Nilai, Kuasa Dan Tanggungjawab Lembaga

Perolehan Agensi; dan Surat Pekeliling Perbendaharaan Bil.8 Tahun

2011 Perolehan Berkaitan Information and Communication Technology

(ICT) dan Rangkaian Internet dan Surat Pekeliling Perbendaharaan Bil

3 Tahun 2013 : Garis panduan mengenai pengurusan perolehan ICT

Kerajaan.



TERHAD

1.2.8 Keperluan Perundangan Dan Peraturan

Berikut adalah keperluan perundangan atau peraturan-peraturan lain yang

berkaitan yang perlu dipatuhi oleh semua pengguna ICT KPDNHEP dari

masa ke semasa iaitu seperti:

a) Arahan Keselamatan

b) Akta Rahsia Rasmi 1972

c) Akta Tandatangan Digital 1997

d) Akta Jenayah Komputer 1997

e) Akta Hak Cipta (pindaan) tahun 1997

f) Akta Komunikasi dan Multimedia 1998

g) Pekeliling Am Bilangan 3 Tahun 2000 Rangka Dasar Keselamatan

Teknologi Maklumat & Komunikasi Kerajaan oleh MAMPU

h) Pekeliling Am Bil. 1 Tahun 2001 Mekanisme Pelaporan Insiden

Keselamatan Teknologi Maklumat & Komunikasi (ICT) oleh MAMPU

i) Malaysian Public Sector Management of Information Communication

Technology Security Handbook (MyMIS) 2002 oleh MAMPU

j) Surat Pekeliling Am Bil. 6 Tahun 2005 Garis Panduan Penilaian Risiko

Keselamatan Maklumat Sektor Awam oleh MAMPU

k) Surat Arahan KSN – 2006 Langkah-langkah Untuk Mengukuhkan

Keselamatan Wireless LAN di Agensiagensi Kerajaan

l) Surat Arahan KSN–2007 Langkah-langkah Keselamatan Perlindungan

Untuk Larangan Penggunaan Telefon Bimbit atau Lain-lain Peralatan

Komunikasi ICT Tanpa Kebenaran Atau Kuasa Yang Sah

m) Arahan Teknologi Maklumat 2007

n) Akta Aktiviti Kerajaan Elektronik 2007 (Akta 680)

o) Peraturan-peraturan Pegawai Awam (Kelakuan dan Tatatertib) 1993

p) Kawalan Dokumen ISO/IEC 20007:2013

q) Polisi Media Sosial KPDNHEP

r) Rangka Kerja Keselamatan Siber Sektor Awam (RAKKSSA)



TERHAD

1.2.8.1 Pembangunan Dan Penyelenggaraan Polisi

Polisi Keselamatan Siber KPDNHEP adalah tertakluk kepada semakan

dan pindaan dari masa ke semasa selaras dengan perubahan teknologi,

aplikasi, prosedur, perundangan dan kepentingan organisasi. Prosedur

yang berhubung dengan penyelenggaraan Polisi Keselamatan Siber

KPDNHEP adalah seperti berikut:

a) Mengkaji semula polisi ini sekurang-kurangnya sekali setahun bagi

mengenal pasti dan menentukan perubahan yang diperlukan;

b) Mengemukakan cadangan pindaan secara bertulis kepada ICTSO

untuk pembentangan dan persetujuan Jawatankuasa Pemandu ICT

(JPICT) KPDNHEP;

c) Memaklumkan perubahan yang sudah dipersetujui oleh JPICT

kepada semua pengguna.

1.2.8.2 Pemakluman Polisi

Polisi ini dimaklumkan kepada semua pengguna KPDNHEP (termasuk

pegawai, pembekal, pakar runding dan lain-lain yang berurusan dengan

KPDNHEP). Pemakluman polisi kepada pengguna dibuat melalui

medium seperti Intranet, Mesyuarat Pengurusan Kementerian, E-mel,

Surat Makluman dan lain-lain kaedah yang bersesuaian mengikut

keperluan semasa.

1.2.8.3 Pemakaian Polisi

Polisi Keselamatan Siber KPDNHEP adalah terpakai kepada semua

pengguna ICT KPDNHEP dan tiada pengecualian diberikan melainkan

mendapat persetujuan Ketua Setiausaha Kementerian.



TERHAD

1.3 Aset

Aset merangkumi perkakasan, perisian, perkhidmatan, data atau maklumat,

manusia, premis komputer dan komunikasi. Polisi ini memberi dan menyokong

perlindungan yang optimum ke atas semua aset ICT KPDNHEP.

a) Perkakasan

Semua aset yang digunakan untuk menyokong pemprosesan maklumat

dan kemudahan storan KPDNHEP. Contoh komputer, server, peralatan

komunikasi dan sebagainya;

b) Perisian

Perisian aplikasi merangkumi semua program-program yang dipasang

di setiap komputer bagi tujuan pemprosesan data daripada pengguna.

Contoh perisian aplikasi atau perisian sistem seperti sistem

pengoperasian, sistem pangkalan data, perisian sistem rangkaian, atau

aplikasi pejabat yang menyediakan kemudahan pemprosesan maklumat

kepada KPDNHEP;

c) Perkhidmatan

Perkhidmatan atau sistem yang menyokong aset lain untuk

melaksanakan fungsi-fungsinya. Contoh:

i. Perkhidmatan rangkaian seperti LAN, WAN dan lain-lain;

ii. Sistem halangan akses seperti sistem kad akses; dan iii. Perkhidmatan sokongan seperti kemudahan elektrik,

penghawa dingin, sistem pencegah kebakaran dan lain-lain.



TERHAD

d) Data atau Maklumat

Koleksi fakta-fakta dalam bentuk kertas atau mesej elektronik, yang

mengandungi maklumat-maklumat untuk digunakan bagi mencapai misi

dan objektif KPDNHEP. Contohnya sistem dokumentasi, prosedur

operasi, rekod-rekod KPDNHEP, profil-profil pelanggan, pangkalan data

dan fail-fail data, maklumat-maklumat arkib dan lain-lain;

e) Manusia

Individu yang mempunyai pengetahuan dan kemahiran untuk

melaksanakan skop kerja harian KPDNHEP bagi mencapai misi dan

objektif agensi. Individu berkenaan merupakan aset berdasarkan

kepada tugas-tugas dan fungsi yang dilaksanakan; dan

f) Premis Komputer Dan Komunikasi

Semua kemudahan serta premis yang digunakan untuk menempatkan

perkara (a) - (e) di atas.

1.3.1 Kategori Maklumat dan Data

Pengenalpastian kategori maklumat merupakan satu langkah penting agar

dapat memastikan perlindungan yang mencukupi dan bersesuaian.

Semua maklumat yang dijana atau dikumpul oleh Kementerian hendaklah

diasingkan mengikut kategori Maklumat Rasmi dan Maklumat Rahsia

Rasmi. Kedua-dua kategori boleh mengandungi Maklumat Pengenalan

Peribadi (PII atau Personally Identifiable Information).

Pengurusan Maklumat hendaklah merujuk kepada Polisi Pengurusan Data

dan Maklumat KPDNHEP.



TERHAD

Aliran data merujuk kepada laluan lengkap data tertentu semasa transaksi.

Aliran data dan komunikasi dalam Jabatan hendaklah dikenal pasti,

direkodkan dan dikaji semula secara berkala.

Saluran komunikasi termasuk:

Saluran komunikasi dan aliran data antara sistem dalam Jabatan.

Saluran komunikasi dan aliran data ke sistem luar

Saluran komunikasi dan aliran data ke ruang storan pengkomputeran

awan dianggap sebagai saluran komunikasi luaran.

1.3.2 Platform Aplikasi dan Perisian

Semua platform aplikasi dan perisian hendaklah dikenal pasti, direkodkan

dan dikaji semula secara berkala.

1.3.3 Peranti Fizikal dan Sistem

Semua peranti fizikal yang digunakan dalam Jabatan hendaklah dikenal

pasti, direkodkan dan dikaji semula secara berkala. Peranti fizikal

termasuk:

Pelayan

Peranti/Peralatan Rangkaian

Komputer Peribadi

Komputer Riba

Telefon /peranti pintar

Media Storan

Peranti dengan sambungan ke internet, contohnya pengimbas,

sistem kawalan akses, alat kawalan.



TERHAD

Peranti pengkomputeran peribadi milik persendirian yang digunakan

untuk urusan rasmi Kerajaan

Akauntabiliti Aset

1.3.3.1 Hak milik

Semua aset ICT Kementerian termasuk maklumat yang terkandung di

dalamnya adalah Hak Milik Kerajaan. Pengguna perlu mematuhi

perkara-perkara berikut:

a) Memastikan semua aset dikendalikan oleh pengguna yang

dibenarkan sahaja;

b) Bertanggungjawab ke atas semua aset ICT di bawah kawalannya;

dan

c) Mematuhi peraturan pengendalian aset yang berkaitan.

1.3.3.2 Inventori Aset

Semua aset ICT Kementerian hendaklah direkodkan. Ini termasuklah

mengenal pasti aset, mengelas aset mengikut tahap sensitiviti aset

berkenaan dan merekod maklumat seperti pemilikan, penempatan dan

sebagainya. (Rujuk Pekeliling Perbendaharaan Bil. 5 Tahun 2007

Tatacara Pengurusan Aset Alih Kerajaan).

1.3.4 Pengelasan dan Pengendalian Maklumat

Memastikan setiap maklumat atau aset ICT diberikan tahap perlindungan

yang bersesuaian.



TERHAD

1.3.4.1 Pengelasan Maklumat

Memastikan setiap maklumat diberi perlindungan yang bersesuaian

berdasarkan kepada tahap sensitiviti masing-masing.

Maklumat hendaklah dikelaskan dan dilabelkan sewajarnya berasaskan

nilai, keperluan perundangan, tahap sensitiviti dan tahap kritikal kepada

kerajaan. Setiap maklumat yang dikelaskan sebagai Rahsia Besar,

Rahsia, Sulit dan Terhad mestilah diuruskan mengikut peringkat

keselamatan seperti dinyatakan dalam dokumen Arahan Keselamatan.

1.3.4.2 Pengendalian Maklumat

Pengendalian maklumat seperti pewujudan, pengumpulan,

pemprosesan, penyimpanan, penyalinan, penghantaran, penyampaian,

penukaran dan pemusnahan hendaklah mengambil kira langkah-

langkah keselamatan berikut :

a) Pelabelan Maklumat:

Pelabelan maklumat perlu dilakukan bagi maklumat dalam bentuk

elektronik dan hardcopy. Bagi file elektronik, setiap muka harus

dilabelkan mengikut klasifikasi dokumen yang berkenaan.

Manakala, bagi dokumen dalam bentuk hardcopy, pelabelan mesti

mengikut arahan yang telah dikeluarkan dalam Arahan

Keselamatan, di bab Keselamatan Dokumen, mukasurat 14,

seksyen III:Tanda Keselamatan.

b) Penyimpanan Maklumat:

Penyimpanan dokumen yang telah diklasifikasikan mesti mengikut

Arahan Keselamatan, di bab Keselamatan Dokumen, mukasurat



TERHAD

16, seksyen IV:Penyimpanan Perkara-perkara Terperingkat.

c) Penghantaran Maklumat:

Penghantaran dokumen yang telah diklasifikasikan mesti mengikut

Arahan Keselamatan, di bab Keselamatan Dokumen:

Seksyen V: Penghantaran Dokumen Terperingkat

Seksyen VI: Membawa Dokumen Terperingkat Keluar Pejabat

Seksyen VII: Pelepasan Perkara Terperingkat

d) Pelupusan Maklumat:

Pelupusan dokumen yang telah diklasifikasikan mesti mengikut

Arahan Keselamatan, di bab Keselamatan Dokumen, mukasurat

19 seksyen VIII: Pemusnahan Dokumen Terperingkat.

1.3.5 Sistem Luaran

Sistem luaran milik agensi awam atau swasta adalah sistem yang

berintegrasi dengan sistem milik Kementerian.

1.3.6 Sumber Luaran

Perkhidmatan sumber luaran adalah perkhidmatan yang disediakan oleh

organisasi luar untuk menyokong operasi Kementerian. Contoh

perkhidmatan sumber luaran ialah:

• Perisian Sebagai Satu Perkhidmatan

• Platform Sebagai Satu Perkhidmatan

• Infrastruktur Sebagai Satu Perkhidmatan



TERHAD

• Storan Pengkomputeran Awan

• Pemantauan Keselamatan

1.4 Risiko

Kementerian hendaklah mengenal pasti risiko yang berkaitan dengan aset yang

telah dikenal pasti. Risiko adalah keberangkalian Kementerian tidak mencapai

objektifnya. Penilaian risiko hendaklah dilaksanakan bagi menilai risiko

terjejasnya kerahsiaan, integriti dan ketersediaan maklumat dalam aset ICT

Kementerian dan aset ICT luaran.

Penilaian risiko hendaklah dilaksanakan sekurang-kurangnya sekali setahun

atau apabila berlaku sebarang perubahan kepada persekitaran. Pengolahan

risiko hendaklah dikenal pasti dan dilaksanakan. Rujuk Pelan Pengurusan

Risiko KPDNHEP dan Pelan Pengurusan Risiko bagi Perkhidmatan ICT

KPDNHEP.

1.4.1 Kerentanan

Kerentanan adalah kelemahan atau kecacatan aset yang mungkin

dieksploitasikan dan mengakibatkan pelanggaran keselamatan.

Kerentanan setiap aset hendaklah dikenal pasti sebagai sebahagian

daripada proses pengurusan risiko. Senarai aset yang mungkin

dieksploitasikan dan mengakibatkan pelanggaran keselamatan

1.4.2 Ancaman

Kementerian hendaklah mengenal pasti kedua-dua ancaman yang

disengajakan atau tidak disengajakan yang mungkin mengeksploitasi

sebarang kelemahan yang telah dikenal pasti.



TERHAD

1.4.2.1 Kawalan dari Ancaman Teknikal

Kawalan teknikal keterdedahan ini perlu dilaksanakan ke atas sistem

pengoperasian dan sistem aplikasi yang digunakan. Perkara yang perlu

dipatuhi adalah seperti berikut:

a) Memperoleh maklumat teknikal keterdedahan yang tepat pada

masanya ke atas sistem maklumat yang digunakan;

b) Menilai tahap pendedahan bagi mengenal pasti tahap risiko yang

bakal dihadapi; dan

c) Mengambil langkah-langkah kawalan untuk mengatasi risiko

berkaitan.

1.4.3 Impak

Kementerian hendaklah menganggarkan impak insiden yang mungkin

terjadi. Impak boleh dikategorikan kepada impak teknikal dan impak

berkaitan dengan fungsi Kementerian. Impak teknikal melibatkan perkara-

perkara yang menjejaskan kerahsiaan, integriti, ketersediaan dan

akauntabiliti. Impak fungsi Jabatan melibatkan perkara-perkara dari segi

kewangan, reputasi, ketidakpatuhan dan perlanggaran privasi.

1.4.3.1 Keutamaan Insiden dan Penilaian Impak

Semua insiden keselamatan maklumat yang dikenal pasti mesti disusun

mengikut keutamaan dan berdasarkan kepada impak negatif yang

berpotensi terhadap maklumat dan/atau sistem maklumat.



TERHAD

1.4.4 Tahap Risiko

Tahap risiko ditentukan daripada ancaman, kebarangkalian dan impak

risiko. Kaedah penentuan hendaklah mengikut polisi penilaian atau

pengurusan risiko yang sedang berkuat kuasa.

1.4.5 Pengolahan Risiko

Pengolahan risiko yang merangkumi elemen proses, teknologi dan

manusia hendaklah dikenal pasti dan dilaksana berdasarkan hasil

penilaian risiko. Pengolahan risiko hendaklah dikenal pasti untuk

menentukan sama ada perlu dielakkan, dikurangkan, diterima atau

dipindahkan dengan mengambil kira kos/faedahnya. Baki risiko adalah

risiko yang tinggal atau berbaki selepas pengolahan risiko dilaksanakan.

Ancaman berkaitan baki risiko dan risiko yang diterima hendaklah dipantau

secara berkala.

1.4.5.1 Teknologi

Teknologi hendaklah dikenal pasti untuk mengelak atau mengurangkan

risiko. Sebagai contoh, tembok api (firewall) digunakan untuk

menghadkan capaian logikal kepada sistem tertentu.

1.4.5.2 Proses

Kementerian hendaklah membangunkan atau mengemaskini

Perekayasaan Proses, Prosedur Operasi Standard dan Polisi sekiranya

perlu untuk pengolahan risiko.



TERHAD

1.4.5.3 Manusia

Kementerian hendaklah mengenal pasti sumber manusia berkelayakan

dan kompeten yang mencukupi serta memastikan pengurusan sumber

manusia dilaksanakan sebagai pengolahan risiko yang berkesan.

1.4.6 Pengurusan Risiko

Kementerian hendaklah mengenal pasti struktur tadbir urus pengurusan

risiko untuk:

a) mengenal pasti kerentanan;

b) mengenal pasti ancaman;

c) menilai risiko;

d) menentukan pengolahan risiko;

e) memantau keberkesanan pengolahan risiko; dan

f) memantau ancaman yang berkaitan dengan baki risiko dan risiko yang

diterima.

Item (e) dan (f) di atas hendaklah dijadikan agenda tetap dan dibincangkan

sekurang-kurangnya satu(1) kali setahun dalam Mesyuarat Jawatankuasa

berkaitan di Kementerian.



TERHAD

LINDUNG

Mekanisme perlindungan yang diperlukan meliputi prinsip, teknologi, proses dan

manusia. Pelan Pengurusan Keselamatan Maklumat hendaklah mengandungi semua

faktor dalam seksyen ini berdasarkan Pelan Pengurusan Risiko KPDNHEP dan Pelan

Pengurusan Risiko bagi Perkhidmatan ICT KPDNHEP.

Pelan Pengurusan Keselamatan Maklumat hendaklah mengandungi maklumat yang

berikut:

2.1 Prinsip Keselamatan

Prinsip keselamatan hendaklah dipilih berdasarkan penilaian risiko dan kategori

data yang dikendalikan oleh sistem. Objektif utama keselamatan maklumat

adalah:

Kerahsiaan

Integriti

Ketersediaan

Tanpa Sangkalan

Pengesahan

Bagi mencapai objektif tersebut, prinsip keselamatan seperti berikut perlu

dilaksanakan:

2.1.1 Prinsip “Perlu-Tahu”

Akses terhadap penggunaan aset ICT hanya diberikan untuk tujuan

spesifik dan dihadkan kepada pengguna tertentu atas dasar ”perlu

mengetahui” sahaja. Ini bermakna akses hanya akan diberikan sekiranya

peranan atau fungsi pengguna memerlukan maklumat tersebut.

Pertimbangan untuk akses adalah berdasarkan kategori maklumat seperti



TERHAD

yang dinyatakan di dalam dokumen Arahan Keselamatan perenggan 53,

muka surat 15.

Bagi capaian spesifik Maklumat Rahsia Rasmi, penggunaan yang

dibenarkan hendaklah dihadkan kepada masa, lokasi dan status bekerja

pengguna tersebut.

2.1.2 Hak Keistimewaan Minimum

Hak akses pengguna hanya diberi pada tahap yang paling minimum iaitu

untuk membaca dan/atau melihat sahaja. Kelulusan adalah perlu untuk

membolehkan pengguna mewujud, menyimpan, mengemas kini,

mengubah atau membatalkan sesuatu maklumat. Hak akses adalah dikaji

dari semasa ke semasa berdasarkan kepada peranan dan tanggungjawab

pengguna/bidang tugas.

2.1.3 Pengasingan Tugas

Prinsip sekat-dan-imbang serta pengasingan tugas hendaklah

dilaksanakan bagi tugas yang kritikal supaya tidak dilaksanakan oleh

seorang pengguna sahaja yang bertindak atas kuasa tunggalnya.

Pengasingan juga merangkumi tindakan memisahkan antara kumpulan

operasi dan rangkaian.

Pengasingan Tugas dan Tanggungjawab

Perkara-perkara yang perlu dipatuhi adalah seperti berikut:



TERHAD

a) Skop tugas dan tanggungjawab perlu diasingkan bagi mengurangkan

peluang berlaku penyalahgunaan atau pengubahsuaian yang tidak

dibenarkan ke atas aset ICT;

b) Tugas mewujud, memadam, mengemas kini, mengubah dan

mengesahkan data hendaklah diasingkan bagi mengelakkan daripada

capaian yang tidak dibenarkan serta melindungi aset ICT daripada

kesilapan, kebocoran maklumat terperingkat atau dimanipulasi; dan

c) Sistem yang digunakan bagi tugas membangun, mengemas kini,

menyenggara dan menguji aplikasi hendaklah diasingkan dari sistem

yang digunakan sebagai production. Persekitaran pembangunan atau

staging hendaklah diwujudkan.

2.1.4 Kawalan Capaian Berdasarkan Peranan

Kawalan capaian pengguna bertujuan mengawal capaian pengguna ke

atas aset ICT KPDNHEP dan melindunginya dari sebarang bentuk capaian

yang tidak dibenarkan yang boleh menyebabkan kerosakan.

Dasar Kawalan Capaian

Peraturan kawalan capaian hendaklah mengambil kira faktor identification,

authentication dan authorization.

Capaian sistem hendaklah dihadkan kepada pengguna yang dibenarkan

mengikut peranan dalam fungsi tugas.



TERHAD

2.1.5 Kawalan Capaian Pengguna

Akaun Pengguna

a) Memastikan sistem maklumat dicapai oleh pengguna yang sah dan

menghalang capaian yang tidak sah.

b) Prosedur pendaftaran dan pembatalan kebenaran capaian pengguna

perlu diwujudkan dan didokumenkan

c) Pemilikan akaun pengguna bukanlah hak mutlak seseorang. Ia

merupakan kemudahan yang tertakluk kepada peraturan

kementerian dan boleh ditarik balik jika penggunaannya melanggar

peraturan. Langkah-langkah berikut hendaklah dipatuhi:

(i) Jangan dedahkan kata laluan. Pengguna hendaklah

merahsiakan kata laluan dari pengetahuan orang lain;

(ii) Pengguna diminta menukar kata laluan setiap satu tahun sekali

bagi mengelak akaun mudah dicerobohi;

(iii) Pengguna hendaklah menggunakan kata laluan yang sukar

diteka, sekurang-kurangnya lapan (8) aksara dengan gabungan

alphanumeric dan simbol khas. Pengecualian bagi peralatan

yang hanya menggunakan nombor sahaja sebagai kata laluan;

(iv) Pengguna adalah dilarang melakukan pencerobohan ke atas

akaun pengguna lain. Perkongsian akaun juga adalah dilarang;

dan

(v) Pentadbir sistem/e-mel boleh membeku atau menamatkan

akaun pengguna yang telah tamat perkhidmatan, bertukar atau

bercuti/berkursus panjang selepas 1 hari bekerja.



TERHAD

d) Penggunaan akaun khas mesti dihadkan untuk pengguna khas sahaja

berdasarkan kepada keperluan penggunaan dan perlu mendapat

kelulusan dari Ketua Jabatan. Rekod bagi setiap akaun khas yang

diwujudkan mesti disimpan, dikaji dan diselanggara.

e) Pemberian kata laluan perlu dikawal melalui satu proses pengurusan

yang formal.

f) Semakan kepada kebenaran capaian pengguna mesti dikaji setiap

tahun.

Clear Screen and Clear Desk Policy

a) Polisi Clear Desk dan Clear Screen perlu dipatuhi supaya maklumat

dalam apa jua bentuk media hendaklah disimpan dengan teratur dan

selamat bagi mengelakkan kerosakan, kecurian atau kehilangan.

b) Memastikan peralatan pengguna yang tidak digunakan mempunyai

perlindungan keselamatan yang secukupnya.

c) Perkara yang perlu dipatuhi adalah seperti berikut:

(i) Mengaktifkan lock screen apabila meninggalkan komputer;

(ii) Menyimpan bahan-bahan sensitif di dalam laci atau kabinet fail

yang berkunci; dan

(iii) Memastikan semua dokumen diambil segera dari pencetak,

pengimbas, mesin faksimili dan mesin fotostat.

2.1.6 Kawalan Capaian Rangkaian

Menghalang capaian tidak sah dan tanpa kebenaran ke atas rangkaian

KPDNHEP. Kawalan capaian perkhidmatan rangkaian hendaklah dijamin

selamat dengan:



TERHAD

a) Mewujudkan dan menguatkuasakan mekanisme untuk pengesahan

pengguna dan peralatan yang menepati kesesuaian penggunaannya.

Perkara yang perlu dipatuhi adalah seperti berikut:

(i) Memastikan pengguna boleh mencapai perkhidmatan yang

dibenarkan sahaja;

(ii) Memastikan proses pengesahan pengguna remote digunakan untuk

mengawal capaian logikal;

(iii) Pengenalan peralatan secara automatik perlu dipertimbangkan

sekira perlu sebagai satu kaedah untuk pengesahan capaian

daripada lokasi dan peralatan tertentu;

(iv) Mengawal capaian fizikal dan logikal ke atas kemudahan port

diagnostik dan konfigurasi jarak jauh;

(v) Mengasingkan capaian mengikut kumpulan perkhidmatan,

maklumat pengguna dan sistem maklumat dalam rangkaian;

(vi) Mengawal sambungan ke rangkaian, khususnya bagi kemudahan

yang dikongsi dan menjangkau sempadan KPDNHEP; dan

(vii) Mewujud dan melaksana kawalan pengalihan laluan (routing control)

untuk memastikan pematuhan ke atas peraturan KPDNHEP.

2.1.7 Kawalan Capaian Sistem Operasi

Memastikan bahawa capaian ke atas sistem operasi dikawal dan dihadkan

kepada pengguna yang dibenarkan sahaja. Kaedah yang digunakan

hendaklah menyokong perkara-perkara berikut:

a) Mengesahkan pengguna yang dibenarkan selaras dengan peraturan

KPDNHEP;



TERHAD

b) Mewujudkan audit trail ke atas semua capaian sistem operasi terutama

pengguna bertaraf khas (super user);

c) Menjana amaran (alert) sekiranya berlaku pelanggaran ke atas

peraturan keselamatan sistem;

d) Menyedia kaedah sesuai untuk pengesahan capaian (authentication);

dan

e) Menghadkan tempoh penggunaan mengikut kesesuaian.


(i) Mengawal capaian ke atas sistem pengoperasian menggunakan

prosedur log on yang terjamin;

(ii) Mewujudkan satu pengenalan diri (ID) yang unik untuk setiap

pengguna dan hanya digunakan oleh pengguna berkenaan sahaja;

(iii) Sistem pengurusan kata laluan perlu interaktif dan mampu

mengekalkan kualiti kata laluan;

(iv) Mengehadkan dan mengawal penggunaan program;

(v) Session time out perlu diaktifkan bagi satu tempoh yang ditetapkan;

dan

(vi) Mengehadkan tempoh sambungan ke sesebuah aplikasi berisiko

tinggi.

2.1.7.1 Perlindungan Dari Malicious Code

Perlindungan bertujuan melindungi integriti perisian dan maklumat dari

pendedahan atau kerosakan yang disebabkan oleh kod jahat atau



TERHAD

program merbahaya seperti virus dan Trojan. Langkah keselamatan

adalah seperti:

a) Memasang perisian antivirus dan Intrusion Prevention System (IPS)

bagi mengesan dan menghalang kemasukannya;

b) Mengemas kini pattern perisian antivirus;

c) Menghadiri program kesedaran mengenai ancaman kod jahat atau

program merbahaya;

d) Memberi amaran mengenai ancaman keselamatan ICT seperti

serangan virus;

e) Memasukkan klausa tanggungan di dalam kontrak dengan pembekal

perisian. Klausa bertujuan untuk tuntutan baik pulih sekiranya perisian

mengandungi program merbahaya; dan

f) Dalam keadaan di mana mobile code dibenarkan, konfigurasinya

hendaklah memastikan bahawa ianya beroperasi berdasarkan

kepada dasar keselamatan yang jelas dan penggunaan mobile code

yang tidak dibenarkan adalah dilarang sama sekali. Penggunaan

mobile code yang boleh mendatangkan ancaman keselamatan

ICT adalah tidak dibenarkan.

2.1.8 Pengurusan Perkakasan

2.1.8.1 Perkakasan ICT

Perkakasan ICT meliputi pelbagai peralatan ICT dan

komponennya seperti komputer mikro , komputer bimbit, tablet

PC, workstation, server, pencetak, switch, UPS dan sebagainya.



TERHAD

Perkakasan yang digunakan perlu dijaga, dilindungi dan dikawal

di mana:

a) Pengguna bertanggungjawab sepenuhnya menjaga dan

melindungi segala perkakasan, komponen atau peralatan ICT

di bawah kawalannya agar sentiasa berkeadaan baik dan

lengkap sepanjang masa;

b) Setiap pengguna hendaklah memastikan semua perkakasan

ICT di bawah kawalannya disimpan di tempat yang bersih dan

selamat;

c) Pengguna dilarang memindah, menambah, membuang, atau

menukar sebarang komponen atau perkakasan ICT tanpa

kebenaran BPM;

d) Peminjaman dan pemulangan peralatan hendaklah

direkodkan oleh pegawai yang telah dipertanggungjawabkan;

e) Setiap pengguna adalah bertanggungjawab di atas

kerosakan dan kehilangan perkakasan ICT di bawah

kawalannya;

f) Setiap pengguna hendaklah melaporkan sebarang bentuk

penyelewengan atau salah guna perkakasan ICT kepada

ICTSO;

g) Penyelenggaraan peralatan ICT hanya boleh dilakukan oleh

pegawai atau pihak yang dibenarkan sahaja; dan

h) Pelupusan peralatan ICT perlu dilakukan secara terkawal dan

lengkap dan mengikut prosedur pelupusan aset yang

dikuatkuasakan. Maklumat atau kandungan dokumen

hendaklah dihapuskan terlebih dahulu sebelum pelupusan



TERHAD

dilakukan. Sekiranya maklumat perlu disimpan, penduaan

bolehlah dilakukan.

2.1.8.2 Perisian

Perisian merujuk kepada atur cara/program yang dilaksanakan

oleh sistem komputer. Perisian yang digunakan perlu dilindungi

supaya kebocoran maklumat dan gangguan perkhidmatan

dapat dihindari melalui kaedah seperti berikut:

a) Pengguna dilarang memasukkan perisian yang tidak sah ke

dalam komputer masing-masing. Sebarang pemasangan

perisian yang tidak sah serta mengakibatkan kerosakan

atau kehilangan data akan dipertanggungjawabkan

sepenuhnya kepada pengguna terbabit.

b) Gunakan antivirus untuk mengimbas perisian sebelum

menggunakannya bagi memastikan perisian bebas dari

virus, worm, Trojan dan sebagainya.

c) Sebarang keperluan bagi memasukkan perisian yang baru

hendaklah dirujuk terlebih dahulu kepada BPM.

2.1.8.3 Media Storan

Media storan merupakan tempat penyimpanan maklumat seperti

USB drive, disket, CD, DVD, pita, external hard disk dan

sebagainya. Langkah keselamatan adalah bagi mengelak

maklumat atau data menjadi rosak (corrupted) atau tidak boleh

dibaca. Langkah keselamatan yang perlu diambil ialah seperti

berikut:



TERHAD

a) Dilarang meninggalkan, memberi atau menyerahkan media

storan yang mengandungi maklumat penting kepada orang

lain bagi mengelakkan berlakunya pembocoran rahsia;

b) Penghapusan kandungan media storan mestilah mendapat

kebenaran pemilik maklumat terlebih dahulu;

c) Menyediakan ruang penyimpanan yang baik dan mempunyai

ciri-ciri keselamatan seperti kabinet berkunci;

d) Elakkan media dari debu atau habuk, sinaran matahari, suhu

panas dan cecair bendalir;

e) Akses untuk memasuki kawasan penyimpanan media

hendaklah dihadkan kepada pegawai yang

bertanggungjawab atau pengguna yang dibenarkan sahaja;

f) Tidak dibenarkan menyimpan data-data yang tiada kena

mengena dengan bidang tugas kerja atau pun yang dilarang

oleh pihak Kementerian; dan

g) Media storan yang digunakan hendaklah bebas daripada

serangan virus yang boleh mengganggu ketidakstabilan

sistem komputer dan rangkaian. Gunakan perisian antivirus

untuk mengimbas media storan sebelum menggunakannya.

2.1.8.4 Bekalan Kuasa

Bekalan kuasa merupakan punca kuasa elektrik yang

dibekalkan kepada peralatan ICT. Perkara yang perlu dipatuhi

bagi menjamin keselamatan bekalan kuasa adalah seperti

berikut:



TERHAD

a) Melindungi semua peralatan ICT dari kegagalan bekalan

elektrik dan menyalurkan bekalan yang sesuai kepada

peralatan ICT;

b) Menggunakan peralatan sokongan seperti UPS

(Uninterruptable Power Supply) dan penjana (generator) bagi

perkhidmatan kritikal seperti di bilik server supaya mendapat

bekalan kuasa berterusan; dan

c) Menyemak dan menguji semua peralatan sokongan bekalan

kuasa secara berjadual.

2.1.8.5 Kabel

Kabel termasuk kabel elektrik dan telekomunikasi yang

menyalurkan data dan menyokong perkhidmatan penyampaian

maklumat hendaklah dilindungi. Langkah berikut hendaklah

diambil:

a) Menggunakan kabel mengikut standard dan spesifikasi yang

ditetapkan;dan

b) Kabel dan laluan pemasangan kabel sentiasa dilindungi.

2.1.8.6 Penyelenggaraan Peralatan

Perkakasan hendaklah disenggarakan dengan betul bagi

memastikan kebolehsediaan, kerahsiaan dan integriti. Langkah-

langkah keselamatan yang perlu diambil termasuklah seperti

berikut:

a) Mematuhi spesifikasi yang ditetapkan oleh pengeluar bagi

semua perkakasan yang disenggara;



TERHAD

b) Memastikan perkakasan hanya disenggara oleh staf atau

pihak yang dibenarkan sahaja;

c) Menyemak dan menguji semua perkakasan sebelum dan

selepas proses penyenggaraan;

d) Memaklumkan pihak pengguna sebelum melaksanakan

penyenggaraan mengikut jadual yang ditetapkan atau atas

keperluan;

e) Bertanggungjawab terhadap setiap perkakasan bagi

penyelenggaraan perkakasan sama ada dalam tempoh

jaminan atau telah habis tempoh jaminan;

f) Semua penyelenggaraan mestilah mendapat kebenaran

daripada Pengurus ICT/Pentadbir Sistem.

2.1.8.7 Peralatan Di Luar Premis

Peralatan dan maklumat yang dibawa keluar dari pejabat

hendaklah mendapat kelulusan pegawai berkaitan dan tertakluk

kepada tujuan yang dibenarkan sahaja. Peralatan dan maklumat

perlu dilindungi dan dikawal sepanjang masa. Memastikan

aktiviti peminjaman dan pemulangan peralatan ICT direkodkan

dan menyemak peralatan yang dipulangkan berada dalam

keadaan baik dan lengkap.

2.1.8.8 Pengendalian Peralatan Luar Yang Dibawa Masuk

Bagi peralatan yang dibawa masuk ke premis kerajaan, perkara

yang perlu dipatuhi adalah seperti berikut:



TERHAD

a) Memastikan peralatan yang dibawa masuk tidak mengancam

keselamatan ICT KPDNHEP;

b) Mendapatkan kelulusan mengikut peraturan yang telah

ditetapkan oleh KPDNHEP bagi membawa masuk/keluar

peralatan; dan

c) Memeriksa dan memastikan peralatan ICT yang dibawa

keluar tidak mengandungi maklumat kerajaan. Ia perlu disalin

dan dihapuskan.

2.1.8.9 Pelupusan Peralatan

Pelupusan melibatkan semua peralatan ICT yang telah rosak,

usang dan tidak boleh dibaiki sama ada harta modal atau

inventori yang dibekalkan oleh KPDNHEP dan ditempatkan di

KPDNHEP. Peralatan ICT yang hendak dilupuskan perlu

melalui prosedur pelupusan semasa. Pelupusan perlu

dilakukan secara terkawal dan lengkap supaya maklumat tidak

terlepas dari kawalan KPDNHEP. Perkara-perkara yang perlu


a) Semua kandungan peralatan khususnya maklumat rahsia

rasmi hendaklah dihapuskan terlebih dahulu sebelum

pelupusan sama ada melalui shredding, grinding, degauzing

atau pembakaran. Sekiranya maklumat perlu disimpan, maka

pengguna bolehlah membuat penduaan; dan

b) Peralatan ICT yang akan dilupuskan sebelum dipindah-milik

hendaklah dipastikan data-data dalam storan telah

dihapuskan dengan cara yang selamat.



TERHAD

Maklumat lanjut mengenai pelupusan aset boleh merujuk

kepada “Pekeliling Perbendaharaan Bil. 5 Tahun 2007 Tatacara

Pengurusan Aset Alih Kerajaan”.

2.1.9 Pengurusan Rangkaian

2.1.9.1 Keselamatan Pusat Data

Untuk memastikan server sentiasa selamat dari pencerobohan

atau gangguan beberapa langkah boleh diambil seperti:

a) Semua server hendaklah diletakkan di pusat data atau bilik

khas yang mempunyai sistem keselamatan yang baik. Pintu

bilik hendaklah sentiasa tertutup dan berkunci;

b) Sistem penghawa dingin hendaklah dihidupkan 24 jam

sehari. Suhu persekitaran hendaklah berada di dalam

lingkungan 20 – 25 darjah Celsius dan kelembapan di paras

50.7%;

c) Kesemua peralatan komputer di bilik server hendaklah

dilengkapi dengan kemudahan UPS atau Generator;

d) Alat pemadam api hendaklah diletakkan di tempat yang

mudah dilihat, tidak terhalang oleh sesuatu, mudah dicapai,

tidak melepasi tarikh luput serta diselenggarakan dengan

baik;

e) Hanya pegawai atau pegawai yang dibenarkan sahaja yang

boleh memasuki pusat data;



TERHAD

f) Kontraktor/vendor dibenarkan memasuki pusat data dengan

diiringi oleh seorang pegawai/pegawai BPM dan hendaklah

mendaftar di buku log yang disediakan; dan

g) Setiap server hendaklah dilabelkan bagi memudahkan

pentadbir sistem menjalankan tugas.

2.1.9.2 Pengurusan Komunikasi

Komunikasi adalah merujuk kepada penghantaran dan

penerimaan maklumat dari satu media ke satu media yang lain

yang dirangkaikan secara fizikal (berwayar) atau wireless (tanpa

wayar). Contoh rangkaian komunikasi ialah Intranet dan

Internet. Pergerakan maklumat dalam rangkaian adalah

menggunakan kemudahan aplikasi seperti mel elektronik, ftp

dan pelayar (browser).

Kawalan ke atas infrastruktur rangkaian dan peralatan rangkaian

seperti switch, router, bridge, peralatan PABX dan sebagainya

adalah amat penting bagi menjaga kerahsiaan dan integriti

maklumat yang dihantar dan diterima.

2.1.9.3 Keselamatan Peralatan Komunikasi

Pengguna dilarang menggunakan telefon, telefon bimbit

termasuk yang berkamera atau lain-lain peralatan alat

komunikasi ICT tanpa kebenaran untuk menyalin, merakam,

menyimpan, menyiar, menyebar atau menyampaikan maklumat

terperingkat atau maklumat rahsia rasmi.



TERHAD

2.1.9.4 Keselamatan Rangkaian

Infrastruktur rangkaian mesti dikawal dan diurus dengan baik

bagi melindungi aset ICT dan aplikasi ICT di dalam rangkaian.

Langkah-langkah keselamatan rangkaian adalah seperti berikut:

a) Hanya warga KPDNHEP sahaja yang dibenarkan

menggunakan rangkaian KPDNHEP. Pengguna luar yang

hendak menggunakan kemudahan rangkaian KPDNHEP

hendaklah dengan kebenaran BPM;

b) Tanggungjawab atau kerja-kerja operasi rangkaian

KPDNHEP adalah diasingkan untuk mengurangkan capaian

dan pengubahsuaian yang tidak dibenarkan;

c) Peralatan rangkaian hendaklah ditempatkan di lokasi yang

mempunyai ciri-ciri fizikal yang kukuh, selamat dan bebas dari

risiko seperti banjir, kilat, gegaran, habuk dan sebagainya;

d) Peralatan rangkaian hendaklah dikawal dan hanya boleh

dicapai oleh pegawai yang dibenarkan sahaja;

e) Konfigurasi peralatan rangkaian hendaklah mengaktifkan

perkhidmatan atau nombor port yang diperlukan sahaja,

mematikan penyiaran trafik (network broadcast),

menggunakan kata laluan yang selamat, dan dilaksanakan

oleh pegawai yang terlatih dan dibenarkan sahaja;

f) Semua trafik rangkaian daripada dalam dan ke luar

Kementerian dan sebaliknya mestilah melalui firewall dan

hanya trafik yang disahkan sahaja dibenarkan untuk

melepasinya;



TERHAD

g) Semua permohonan baru untuk mendapat sambungan

rangkaian mestilah melalui pentadbir rangkaian.

h) Pengguna adalah dilarang untuk menukar atau meletakkan

alamat IP di dalam komputer masing-masing tanpa

kebenaran;

i) Sebarang permohonan untuk menggunakan statik IP

hendaklah melalui pentadbir rangkaian;

j) Kemudahan dial-up hanya dibenarkan untuk tujuan rasmi dan

permohonan dibuat melalui pentadbir rangkaian. Pengguna

yang menggunakan kemudahan dial-up hendaklah

mengimbas keseluruhan komputer dahulu sebelum membuat

penyambungan semula ke rangkaian KPDNHEP;

k) Perkakasan keselamatan hendaklah dipasang bagi

menghalang pencerobohan dan aktiviti-aktiviti lain yang boleh

mengancam sistem dan rangkaian KPDNHEP; dan

l) Perisian penganalisis rangkaian (network analyzer) atau

pengintip (sniffer) adalah dilarang dipasang pada komputer

pengguna kecuali mendapat kebenaran ICTSO.

Ciri-ciri keselamatan dan keperluan pengurusan bagi semua

servis rangkaian perlu dikenalpasti dan dinyatakan dalam

perjanjian yang melibatkan servis rangkaian.

2.1.9.5 Keselamatan Rangkaian Tanpa Wayar

Penggunaan rangkaian tanpa wayar perlu dikawal bagi

memastikan keselamatan data dan maklumat Kerajaan sentiasa

terpelihara. Langkah-langkah keselamatan yang perlu diambil



TERHAD

untuk pemasangan rangkaian tanpa wayar adalah seperti

berikut :

a) Pemasangan rangkaian tanpa wayar perlu mendapat

kelulusan ICTSO;

b) Memasang peralatan keselamatan tambahan seperti firewall

dan content filtering bagi memastikan rangkaian tidak

dicerobohi; dan

c) Menggunakan enkripsi dan network key yang kukuh dengan

kombinasi pelbagai aksara, nombor dan aksara khas.

Maklumat lanjut mengenai keselamatan rangkaian tanpa wayar

boleh dirujuk di dalam Malaysia Public Sector Management of

ICT Security Handbook (MyMIS) dan Surat Ketua Setiausaha

Negara bertarikh 20 Oktober 2006 “Langkah-langkah untuk

memperkukuhkan keselamatan rangkaian setempat tanpa

wayar (Wireless Local Area Network) di Agensi-agensi

Kerajaan”.

2.1.9.6 Keselamatan Internet

Pengguna hendaklah menggunakan kemudahan Internet

dengan cara yang bertanggungjawab. Langkah-langkah

keselamatan Internet adalah seperti berikut:

a) Bahan yang diperoleh dari Internet hendaklah ditentukan

ketepatan dan kesahihannya; Laman web yang dilayari

hendaklah hanya yang berkaitan dengan bidang kerja dan

terhad untuk tujuan yang dibenarkan;



TERHAD

b) Sebarang bahan yang dimuat turun dari Internet hendaklah

digunakan untuk tujuan yang dibenarkan oleh Kementerian;

c) Pengguna dilarang menyedia, memuat naik, memuat turun,

menyimpan, mengguna dan menyebar maklumat atau bahan

yang mempunyai unsur-unsur perjudian, keganasan,

pornografi, fitnah, hasutan, perkara yang bercorak

penentangan yang boleh membawa keadaan huru-hara serta

maklumat yang menyalahi undang-undang;

d) Capaian laman yang berbentuk hiburan, hobi atau leisure

seperti radio online, tv online, video streaming, aktiviti chatting

yang membebankan rangkaian tidak dibenarkan kerana akan

mengganggu prestasi rangkaian;

e) Sebarang aktiviti memuat turun fail yang mempunyai virus,

spyware, worm, dan sebagainya yang boleh mengancam

keselamatan komputer dan rangkaian adalah dilarang sama

sekali; dan

f) Pentadbir sistem berhak menapis, menghalang dan

mencegah penggunaan mana-mana laman web yang

dianggap tidak sesuai.

g) Permohonan untuk mengakses laman web yang disekat pada

waktu pejabat adalah perlu mendapat kelulusan KSU.

Maklumat lanjut mengenai keselamatan Internet boleh dirujuk

kepada Pekeliling Kemajuan Pentadbiran Am Bil. 1 Tahun 2003

Garis Panduan Mengenai Tatacara Penggunaan Internet dan Mel

Elektronik di Agensi-agensi Kerajaan.



TERHAD

2.1.9.7 Keselamatan Laman Web dan Intranet Kementerian

Semua maklumat rasmi yang hendak dimuatkan di laman web

Kementerian hendaklah mendapat kelulusan pihak pengurusan.

Pautan ke laman web Kementerian atau sebaliknya oleh syarikat

atau agensi luar hendaklah dengan kebenaran ICTSO dan CIO.

Pencerobohan atau cubaan untuk menggodam laman web

Kementerian atau mana-mana laman web adalah dilarang.

2.1.9.8 Keselamatan Media Sosial

a) Pentadbir akaun media sosial Kementerian perlulah daripada

pegawai tetap Kementerian dari BPM atau UKK.

b) Kandungan media sosial mestilah tidak bercanggah dengan

Dasar Kerajaan.

c) Pengguna dilarang untuk membuat capaian kepada media

sosial peribadi pada waktu bekerja.

Maklumat lanjut mengenai keselamatan media sosial boleh

dirujuk kepada Penerapan Etika Penggunaan Media Sosial

dalam Sektor Awam yang dikeluarkan oleh pihak MAMPU.

2.1.10 Kawalan Capaian Sistem Dan Aplikasi

Capaian terhadap sistem/aplikasi adalah terhad kepada

pengguna dan tujuan yang dibenarkan. Bagi memastikan

kawalan capaian sistem maklumat dan aplikasi adalah kukuh,

langkah-langkah berikut hendaklah dipatuhi:



TERHAD

a) Pengguna hanya boleh menggunakan sistem maklumat dan

aplikasi mengikut tahap capaian yang dibenarkan dan

sensitiviti maklumat yang telah ditentukan;

b) Memaparkan notis amaran pada skrin pengguna sebelum

pengguna memulakan capaian bagi melindungi maklumat dari

sebarang bentuk penyalahgunaan;

c) Menghadkan capaian kepada 3 kali percubaan. Sekiranya

gagal, akaun atau kata laluan pengguna akan disekat;

d) Memastikan kawalan sistem rangkaian adalah kukuh dan

lengkap dengan ciri-ciri keselamatan bagi mengelak aktiviti

dan capaian yang tidak sah; dan

e) Sistem yang sensitif perlu diasingkan.

2.1.11 Pengurusan Pembangunan dan Penyelenggaraan Sistem

2.1.11.1 Keperluan Keselamatan Sistem Maklumat

a) Perolehan, pembangunan, penambahbaikan dan penyelenggaraan

sistem hendaklah mengambil kira kawalan keselamatan bagi

memastikan tidak wujudnya sebarang ralat yang boleh

mengganggu pemprosesan dan ketepatan maklumat;

b) Ujian keselamatan hendaklah dijalankan ke atas sistem input untuk

menyemak pengesahan dan integriti data yang dimasukkan, sistem

pemprosesan untuk menentukan sama ada program berjalan

dengan betul dan sempurna dan; sistem output untuk memastikan

data yang telah diproses adalah tepat;

c) Aplikasi perlu mengandungi semakan pengesahan (validation)

untuk mengelakkan sebarang kerosakan maklumat akibat

kesilapan pemprosesan atau perlakuan yang disengajakan; dan



TERHAD

d) Semua sistem yang dibangunkan sama ada secara dalaman atau

sebaliknya hendaklah diuji terlebih dahulu bagi memastikan sistem

berkenaan memenuhi keperluan keselamatan yang telah

ditetapkan sebelum digunakan.

2.1.11.2 Kawalan Fail Sistem


a) Proses pengemaskinian fail sistem hanya boleh dilakukan oleh

Pentadbir Sistem ICT atau pegawai yang berkenaan;

b) Kod atau atur cara sistem yang telah dikemas kini hanya boleh

dilaksanakan atau digunakan selepas diuji;

c) Mengawal capaian ke atas kod atau atur cara program bagi

mengelakkan kerosakan, pengubahsuaian tanpa kebenaran,

penghapusan dan kecurian;

d) Data ujian perlu dipilih dengan berhati-hati, dilindungi dan dikawal;dan

e) Mengaktifkan audit log bagi merekodkan semua aktiviti

pengemaskinian untuk tujuan statistik, pemulihan dan

keselamatan.

2.1.11.3 Perancangan dan Penerimaan Sistem

Meminimumkan risiko yang menyebabkan gangguan atau kegagalan

sistem. Perkara-perkara yang mesti dipatuhi termasuk yang berikut:

a) Kapasiti sesuatu komponen atau sistem ICT hendaklah dirancang,

diurus dan dikawal dengan teliti oleh pegawai yang berkenaan bagi

memastikan keperluannya adalah mencukupi dan bersesuaian untuk

pembangunan dan kegunaan sistem ICT pada masa akan datang;



TERHAD

b) Penggunaan peralatan dan sistem mestilah dipantau dan

perancangan perlu dibuat bagi memenuhi keperluan kapasiti di masa

akan datang untuk memastikan prestasi sistem di tahap optimum;

c) Kriteria penerimaan untuk peralatan dan sistem baru, peningkatan

dan versi baru perlu ditetapkan dan ujian yang sesuai ke atasnya

perlu dibuat semasa pembangunan dan sebelum penerimaan sistem;

dan

d) Semua sistem baru (termasuklah sistem yang dikemas kini atau

diubahsuai) hendaklah memenuhi kriteria yang ditetapkan sebelum

diterima atau dipersetujui.

2.1.12 Kawalan Peralatan Mudah Alih

Memastikan keselamatan maklumat semasa menggunakan peralatan

mudah alih. Perkara yang perlu dipatuhi adalah seperti berikut:

a) Mewujudkan peraturan dan garis panduan keselamatan yang

bersesuaian untuk melindungi dari risiko penggunaan peralatan mudah

alih dan kemudahan komunikasi;

b) Pengguna bertanggungjawab menentukan maklumat berperingkat dan

ia perlu melalui proses encryption yang dibenarkan sebelum dihantar

atau disalurkan ke dalam sistem rangkaian yang tidak selamat (seperti

Internet, Mobil-GSM, Infrared, Bluetooth, WAP, 3G dan sebagainya);

dan

c) Mewujudkan peraturan dan garis panduan bagi aktiviti teleworking

dengan mengambil kira kawalan keselamatan dan polisi keselamatan

KPDNHEP.



TERHAD

2.1.13 Peminimuman Data

Peminimuman data perlu diamalkan bagi menghadkan penyimpanan data

peribadi kepada yang diperlukan dan disimpan dalam tempoh yang

diperlukan sahaja.

2.1.14 Pengurusan Media

Melindungi aset ICT dari sebarang pendedahan, pengubahsuaian,

pemindahan atau pemusnahan serta gangguan ke atas aktiviti

perkhidmatan. Penghantaran atau pemindahan media ke luar pejabat

hendaklah mendapat kebenaran daripada pemilik terlebih dahulu.

2.1.14.1 Pengendalian Media Boleh Ubah

Prosedur bagi pengurusan pengendalian media boleh ubah perlu

diwujudkan. Perkara-perkara yang perlu dipatuhi adalah seperti berikut:

a) Melabelkan semua media mengikut tahap sensitiviti sesuatu

maklumat;

b) Menghadkan dan menentukan capaian media kepada pengguna

yang dibenarkan sahaja;

c) Menghadkan pengedaran data atau media untuk tujuan yang

dibenarkan sahaja;

d) Mengawal dan merekodkan aktiviti penyelenggaraan media bagi

mengelak dari sebarang kerosakan dan pendedahan yang tidak

dibenarkan;

e) Menyimpan semua media di tempat yang selamat; dan



TERHAD

f) Media yang mengandungi maklumat terperingkat yang hendak

dihapuskan, dimusnahkan atau dilupuskan mesti mengikut prosedur

yang betul dan selamat.

g) Prosedur pengendalian dan penyimpanan maklumat perlu

diwujudkan utuk melindungi maklumat daripada keterdedahan dan

penyalahgunaan

Butiran lanjut mengenai pengurusan aset boleh dirujuk pada “Pekeliling

Perbendaharaan Bil. 5 Tahun 2007 Tatacara Pengurusan Aset Alih

Kerajaan” dan Arahan Keselamatan, di bab Keselamatan Dokumen bagi

butiran lanjut mengenai prosedur pengendalian dan penyimpanan

maklumat.

2.1.14.2 Keselamatan Sistem Dokumentasi

Dokumentasi sistem perlu dilindungi dari capaian yang dibenarkan.

Langkah- langkah pengurusan dokumentasi yang baik dan selamat

perlu dilaksanakan bagi memastikan integriti maklumat.

Perkara yang perlu dipatuhi adalah seperti berikut:

a) Memastikan sistem dokumentasi atau penyimpanan maklumat adalah

selamat dan terjamin;

b) Menggunakan tanda atau label keselamatan seperti rahsia besar,

rahsia, sulit atau terhad pada dokumen;

c) Mewujudkan sistem pengurusan dokumen terperingkat bagi

menerima, memproses, menyimpan dan menghantar dokumen-

dokumen tersebut supaya ianya diuruskan berasingan daripada

dokumen-dokumen tidak terperingkat;



TERHAD

d) Menggunakan enkripsi (encryption) ke atas dokumen terperingkat

yang disediakan dan dihantar secara elektronik; dan

e) Mengawal dan merekodkan semua aktiviti capaian sistem

dokumentasi sedia ada.

2.1.15 Keselamatan Kawasan

Memastikan langkah-langkah keselamatan yang diadakan adalah sejajar

dengan Arahan Keselamatan, di bab Keselamatan Fizikal, mukasurat 5 –

7, seksyen I: Kawasan Terperingkat; seksyen II:Keselamatan Bangunan;

seksyen III: Perkhidmatan Pengawalan Keselamatan; seksyen IV: Pas

Keselamatan, Kad Pengenalan Jabatan, Kad Kuasa dan Kad Perlantikan;

dan seksyen VI: Kawalan Kunci Keselamatan.

2.1.15.1 Kawalan Kawasan Fizikal

Bertujuan untuk mencegah akses fizikal yang tidak dibenarkan,

kerosakan dan gangguan kepada premis dan maklumat. Langkah

keselamatan yang perlu diikuti adalah seperti:

a) Mengenal pasti kawasan keselamatan fizikal. Lokasi dan

keteguhan keselamatan fizikal hendaklah bergantung kepada

keperluan untuk melindungi aset;

b) Menggunakan keselamatan perimeter (halangan seperti dinding,

pagar kawalan, pengawal keselamatan) untuk melindungi kawasan

yang mengandungi maklumat dan kemudahan pemprosesan

maklumat;

c) Menyediakan tempat atau bilik khas untuk pelawat-pelawat;



TERHAD

d) Melindungi kawasan terhad melalui kawalan pintu masuk yang

bersesuaian bagi memastikan pegawai yang diberi kebenaran

sahaja boleh melalui pintu masuk ini;

e) Mengadakan kaunter kawalan;

f) Memasang alat penggera, kamera litar tertutup (CCTV) dan

seumpamanya;

g) Mewujudkan perkhidmatan kawalan keselamatan;

h) Mereka bentuk dan melaksanakan keselamatan fizikal di dalam

pejabat, bilik dan kemudahan;

i) Mereka bentuk dan melaksanakan perlindungan fizikal dari

kebakaran, banjir, letupan, kacau-bilau dan bencana; dan

j) Memastikan kawasan-kawasan penghantaran dan pemunggahan

dan juga tempat-tempat lain dikawal dari pihak yang tidak diberi

kebenaran memasukinya.

k) Mereka bentuk dan melaksanakan perlindungan fizikal dan

panduan untuk pegawai yang bertugas di kawasan terhad.

2.1.15.2 Kawalan Keluar Masuk

a) Setiap warga KPDNHEP hendaklah memakai pas keselamatan

sepanjang waktu bertugas;

b) Semua pas keselamatan hendaklah diserah balik kepada jabatan

apabila pengguna berhenti, bertukar atau bersara;

c) Setiap pelawat hendaklah mendapatkan pas pelawat dan

hendaklah dipulangkan selepas tamat lawatan;



TERHAD

d) Kehilangan pas mestilah dilaporkan dengan segera kepada

Pegawai Keselamatan Kementerian; dan

e) Maklumat pelawat seperti tarikh, masa dan tempat dituju

hendaklah direkod dan dikawal.

2.1.15.3 Kawasan Larangan

Kawasan larangan ialah kawasan yang dihadkan kemasukan untuk

pegawai-pegawai tertentu sahaja. Kawasan larangan di KPDNHEP ialah

seperti bilik Ketua Setiausaha, bilik-bilik Timbalan Ketua Setiausaha dan

Pengarah Bahagian, pusat data, bilik fail dan bilik sulit yang

menempatkan peralatan rangkaian dan telekomunikasi.

Pihak ketiga dilarang memasuki kawasan larangan kecuali bagi kes-

kes tertentu seperti memberi perkhidmatan sokongan atau bantuan

teknikal. Mereka hendaklah diiringi sepanjang masa sehingga tugas di

kawasan berkenaan selesai.

2.1.16 Keselamatan Persekitaran

Kawasan yang mempunyai kemudahan ICT hendaklah dilengkapi dengan

perlindungan keselamatan yang mencukupi dan dibenarkan seperti alat

pencegah kebakaran dan pintu kecemasan.

Peralatan perlindungan hendaklah dipasang di tempat yang sesuai, mudah

dikenali dan dikendalikan. Peralatan hendaklah disenggarakan dengan

baik sekurang-kurangnya 1 kali setahun.

Kecemasan persekitaran seperti kebakaran dan kebocoran air hendaklah

dilaporkan segera kepada pihak yang bertanggungjawab.



TERHAD

2.2 Teknologi

Teknologi untuk melindungi data hendaklah dikenal pasti di semua peringkat

pemprosesan data dan pada setiap elemen pengkomputeran.

2.2.1 Peringkat Pemprosesan Data

2.2.1.1 Data-dalam-simpanan

Teknologi yang bersesuaian hendaklah digunakan untuk melindungi

data-dalam-simpanan bagi menghalang capaian data yang tidak

dibenarkan dan memelihara integriti data. Teknologi dan langkah-

langkah perlindungan hendaklah dipilih berdasarkan penilaian risiko

untuk melindungi data-dalam-simpanan.

2.2.1.2 Data-dalam-pergerakan

Teknologi yang bersesuaian hendaklah digunakan untuk melindungi

data-dalam-pergerakan bagi menghalang capaian data yang tidak

dibenarkan dan memelihara integriti data. Teknologi dan langkah-

langkah perlindungan hendaklah dipilih berdasarkan penilaian risiko

untuk melindungi data-dalam-pergerakan.

2.2.1.3 Data-dalam-penggunaan

Kementerian hendaklah menggunakan teknologi yang bersesuaian

untuk melindungi data-dalam-penggunaan bagi menghalang capaian

data yang tidak dibenarkan dan memelihara integriti data. Di samping

itu, teknologi untuk menentukan kesahihan data mungkin diperlukan.



TERHAD

Teknologi dan langkah-langkah perlindungan hendaklah dipilih

berdasarkan penilaian risiko untuk melindungi data-dalam-

penggunaan.

2.2.1.4 Perlindungan Ketirisan Data

Teknologi perlindungan ketirisan data bertujuan untuk menghalang

pengguna yang sah daripada menyebarkan maklumat tanpa

kebenaran. Teknologi dan langkah-langkah perlindungan hendaklah

dipilih berdasarkan penilaian risiko untuk menghalang atau mengesan

ketirisan data.

2.2.2 Elemen Dalam Persekitaran Pengkomputeran

Berdasarkan penilaian risiko dan pelan pengurusan risiko, teknologi dan

kawalan keselamatan yang digunakan mestilah dapat melindungi data di

semua peringkat saluran pemprosesan dan bagi semua elemen dalam

persekitaran pengkomputeran.

Maklumat Rahsia Rasmi hendaklah disimpan dan diproses dalam elemen

persekitaran pengkomputeran yang disahkan oleh CGSO.

Teknologi dan kawalan keselamatan yang dikenal pasti untuk melindungi

data-dalam-penggunaan, data-dalam-pergerakan, data-dalam-simpanan

dan menghalang ketirisan data hendaklah diperincikan dalam Pelan

Pengurusan Keselamatan Maklumat.

Pelan Pengurusan Keselamatan Maklumat hendaklah mengandungi

maklumat terperinci berhubung seni bina sistem, teknologi dan kawalan

keselamatan bagi setiap kategori elemen di bawah:



TERHAD

Peranti pengkomputeran peribadi

Peranti Rangkaian

Aplikasi

Pelayan

Persekitaran fizikal

2.2.2.1 Peranti Pengkomputeran Peribadi

Peranti pengkomputeran peribadi merujuk kepada peranti komputer

yang digunakan oleh manusia untuk berinteraksi dengan sistem.

Contoh peranti pengkomputeran peribadi adalah komputer riba, stesen

kerja, telefon pintar, tablet, dan peranti storan.

Pengguna yang menggunakan peranti pengkomputeran peribadi milik

persendirian untuk mencapai Maklumat Rasmi hendaklah memohon

kebenaran daripada Kementerian. Walau bagaimanapun, peranti

pengkomputeran peribadi milik pensendirian hendaklah dilarang

daripada mencapai Maklumat Rahsia Rasmi dan dilarang sama sekali

dibawa masuk ke kawasan terperingkat. Teknologi yang boleh

menguruskan peranti pengkomputeran peribadi milik persendirian

hendaklah dilaksanakan sebagai sebahagian daripada pelan

pengolahan risiko.

2.2.2.2 Peranti Rangkaian

Peranti rangkaian merujuk kepada peranti yang digunakan untuk

membolehkan saling hubung antara peranti komputer dan sistem

seperti suis, penghala, tembok api, peranti VPN dan kabel.



TERHAD

2.2.2.3 Aplikasi

Perisian aplikasi digunakan oleh manusia untuk memproses dan

berinteraksi dengan data. Contoh perisian aplikasi adalah pelayan web,

pelayan aplikasi, sistem operasi.

2.2.2.4 Pelayan

Pelayan merujuk kepada peranti pengkomputeran yang mengandungi

aplikasi dan storan. Pelayan hendaklah diletakkan di lokasi yang

selamat.

2.2.2.5 Persekitaran Fizikal

Persekitaran fizikal merujuk kepada lokasi fizikal yang menempatkan

sistem ICT.

Kementerian hendaklah merujuk kepada CGSO untuk mendapatkan

nasihat mengenai cadangan yang berkaitan dengan pengambilalihan,

pajakan, pengubahsuaian, pembelian bangunan milik Kerajaan dan

swasta yang menempatkan kemudahan pemprosesan maklumat.

Perlindungan fizikal yang disediakan hendaklah selaras dengan risiko

yang dikenal pasti dan berdasarkan prinsip defence-in-depth.

2.2.3 Kawalan Capaian

2.2.3.1 Fizikal

Kawalan akses ke atas Kawasan Terperingkat perlu dilaksanakan.

Pengesahan pengguna bagi kemasukan ke lokasi fizikal adalah

berdasarkan pengenalan fizikal termasuk dokumen fizikal, pembaca

biometrik, pembaca jarak dekat, pembaca PIN atau gabungan teknologi

di atas.



TERHAD

2.2.3.2 Pengenalan Pengguna

Pengenalan pengguna hendaklah merujuk kepada seseorang

pengguna sahaja. Pengeluaran pengenalan pengguna kepada

kakitangan Sektor Awam hendaklah tertakluk kepada proses

pengesahan yang ketat.

2.2.3.3 Pengesahan Pengguna

Pengesahan pengguna kepada aplikasi Sektor Awam hendaklah

berdasarkan pengenalan pengguna yang diiktiraf oleh pihak berkuasa.

Bagi aplikasi yang mengandungi Maklumat Rahsia Rasmi atau PII,

pengesahan pengguna hendaklah berdasarkan lebih daripada satu

pengenalan pengguna.

Pengesahan pengguna adaptif merujuk kepada proses pengesahan

yang memerlukan pengenalan tambahan daripada pengguna dalam

keadaan tertentu.

Keadaan tersebut merangkumi kelainan dalam perlakuan pengguna

atau persekitaran pengkomputeran pengguna, yang menimbulkan syak

bahawa kecurian pengenalan atau penipuan transaksi telah berlaku.

2.2.3.4 Kebenaran Pengguna

Setelah seseorang pengguna disahkan, sistem hendaklah menentu dan

memberikan akses yang dibenarkan kepada pengguna tersebut.

Kebenaran pengguna hendaklah diberi berdasarkan peranan dan

tanggungjawab yang telah dikenal pasti. Aplikasi Sektor Awam disyor

menggunakan kawalan capaian berdasarkan peranan.



TERHAD

2.2.4 Kriptografi

Kriptografi merupakan alat yang penting dan asas untuk menguruskan

keselamatan ICT. Objektif utama keselamatan maklumat yang dipenuhi

oleh alat kriptografi asas adalah:

a) Kerahsiaan melalui penyulitan;

b) Integriti data melalui fungsi hash, Kod Pengesahan Mesej (MAC) dan

tandatangan digital;

c) Jaminan pengesahan sumber data melalui MAC dan tandatangan

digital;

d) Tanpa-sangkalan melalui tandatangan digital; dan

e) Jaminan pengesahan entiti melalui protokol kriptografi.

Protokol kriptografi merupakan proses langkah demi langkah antara dua

atau lebih entiti untuk mencapai matlamat keselamatan. Alat kriptografi

asas digunakan dalam protokol kriptografi. Pengurusan kunci kriptografi

hendaklah berdasarkan penilaian risiko.

Algoritma kriptografi yang digunakan untuk melindungi maklumat dalam

pelbagai peringkat saluran pemprosesan hendaklah mematuhi peraturan

semasa yang berkuat kuasa.

Penggunaan Produk Kriptografi Terpercaya adalah mandatori bagi

pengendalian Maklumat Rahsia Rasmi. Untuk mengendalikan Maklumat

Rasmi, penggunaan Produk Kriptografi Terpercaya adalah digalakkan.

Produk kriptografi lain yang digunapakai oleh pihak industri juga boleh

digunakan untuk mengendalikan Maklumat Rasmi.



TERHAD

2.2.5 Pengasingan

Kementerian hendaklah memastikan pengasingan aliran data,

persekitaran dan rangkaian bagi setiap kategori maklumat, iaitu Maklumat

Rahsia Rasmi, Maklumat Rasmi, PII dan Data Terbuka untuk

mengurangkan risiko keselamatan.

2.2.5.1 Aliran Data

Aliran data bagi Maklumat Rahsia Rasmi hendaklah diasingkan

daripada aliran Data Terbuka dan PII. Selain itu, aliran data bagi empat

kategori Maklumat Rahsia Rasmi hendaklah juga diasingkan.

2.2.5.2 Persekitaran

Pengasingan persekitaran untuk pembangunan, pengujian, peringkat

dan produksi hendaklah dilaksanakan.

2.2.5.3 Rangkaian

Pelayan yang mengehos rangkaian hendaklah mengasingkan capaian

umum dan persendirian. Pengasingan capaian persendirian mungkin

perlu berdasarkan penilaian risiko. Sebagai contoh, bagi perkhidmatan

untuk capaian dari internet, pelayan dan pangkalan datanya mungkin

perlu dihoskan dalam segmen rangkaian yang berasingan dan

membenarkan saling hubung yang terhad.

2.3 Proses

2.3.1 Konfigurasi Asas

Semua sistem hendaklah mempunyai satu konfigurasi asas yang

direkodkan dan menjadi pra-syarat pentauliahan sistem.



TERHAD

Konfigurasi asas yang baharu hendaklah diwujudkan selaras dengan

prosedur kawalan perubahan.

2.3.2 Kawalan Perubahan Konfigurasi

Prosedur kawalan perubahan konfigurasi hendaklah diwujud dan

dilaksanakan bagi perubahan kepada sistem, termasuk tampalan perisian,

pakej perkhidmatan, konfigurasi rangkaian dan pengemaskinian sistem

operasi.

Perubahan Konfigurasi mestilah mendapat kebenaran pihak pengurusan

atau pemilik aset ICT terlebih dahulu.

Aktiviti-aktiviti seperti pemasangan, penyelenggaraan, mengemas kini

komponen aset dan sistem ICT hendaklah dikendalikan oleh pihak atau

pegawai yang diberi kuasa dan mempunyai pengetahuan dan kemahiran

atau terlibat secara langsung dengan aset ICT berkenaan.

Aktiviti perubahan atau pengubahsuaian hendaklah mematuhi spesifikasi

atau kriteria yang ditetapkan dan direkodkan serta dikawal bagi

mengelakkan berlakunya ralat.


a) Mewujudkan peraturan dan garis panduan keselamatan yang

bersesuaian untuk mengawal pelaksanaan perubahan;

b) Perubahan atau pengubahsuaian ke atas sistem maklumat dan aplikasi

hendaklah dikawal, diuji, direkodkan dan disahkan sebelum diguna

pakai;

c) Aplikasi kritikal perlu dikaji semula dan diuji apabila terdapat perubahan

kepada sistem pengoperasian untuk memastikan tiada kesan yang



TERHAD

buruk terhadap operasi dan keselamatan agensi, Individu atau suatu

kumpulan tertentu perlu bertanggungjawab memantau

penambahbaikan dan pembetulan yang dilakukan;

d) Mengawal perubahan dan/atau pindaan ke atas pakej perisian dan

memastikan sebarang perubahan adalah terhad mengikut keperluan

sahaja; dan

e) Menghalang sebarang peluang untuk membocorkan maklumat.

2.3.3 Sandaran (Backup)

Sandaran hendaklah dilaksanakan secara berkala berdasarkan peraturan

semasa yang berkuat kuasa untuk memastikan bahawa sistem boleh

dipulihkan. Kekerapan sandaran data bergantung kepada keperluan

operasi dan kepentingan data tersebut iaitu secara harian, mingguan atau

pun bulanan.

Sandaran sistem aplikasi dan sistem pengoperasian perlu diadakan

sekurang-kurangnya sekali bagi setiap versi. Sandaran yang melibatkan

saiz data yang besar hendaklah dibuat di sebelah malam untuk

mengelakkan kesesakan rangkaian serta mengganggu prestasi server.

Sistem sandaran sedia ada hendaklah diuji sekurang-kurangnya setahun

sekali bagi memastikan ianya dapat berfungsi, boleh dipercayai dan

berkesan apabila digunakan (restoration) khususnya pada waktu

kecemasan.

Sandaran dari server atau komputer ke media storan lain perlu dilakukan

dari masa ke semasa untuk mengelak kehilangan data sekiranya berlaku

kerosakan hard disk.



TERHAD

Penduaan data yang penting dan kritikal dicadangkan dibuat dan disimpan

di lokasi offsite yang berasingan bagi mengelakkan kemusnahan atau

kerosakan fizikal disebabkan oleh bencana seperti kebakaran, banjir atau

sebagainya.

2.3.4 Kitaran Pengurusan Aset

Setiap aset mempunyai jangka hayat tertentu dan memerlukan sumber

untuk pemilikan dan pengendalian sepanjang tempoh hayatnya.

Rajah 5 Fasa utama dalam Kitaran Hayat Aset

Terdapat empat (4) fasa utama iaitu:

a) Perancangan – kenalpasti, rancang dan sediakan

b) Pewujudan – melalui proses yang ditetapkan

c) Penggunaan – digunakan dan diselenggara

d) Pelupusan – penggunaan aset dihentikan



TERHAD

Kitaran hayat data hendaklah diuruskan mengikut Akta Arkib Negara (Akta

629). Akta Arkib Negara memberi mandat bahawa rekod kewangan

hendaklah disimpan selama tujuh tahun dan rekod umum selama lima

tahun.

Langkah-langkah keselamatan berikut hendaklah diambil kira semasa

mengendalikan aset:

(i) Pelabelan :

Pelabelan aset fizikal hendaklah mengikut prosedur dan

arahan/peraturan semasa. Manakala pelabelan bagi dokumen

Softcopy dan Hardcopy hendaklah mengikut arahan yang telah

dikeluarkan dalam Arahan Keselamatan, di bab Keselamatan

Dokumen, mukasurat 14, seksyen III:Tanda Keselamatan.

(ii) Penyimpanan :

Penyimpanan aset fizikal yang telah diklasifikasikan mesti mengikut

Arahan Keselamatan Bab Keselamatan Fizikal, mukasurat 5, seksyen

I:Kawasan Terperingkat. Manakala dokumen Softcopy dan Hardcopy

hendaklah mengikut Arahan Keselamatan Bab Keselamatan

Dokumen, mukasurat 16, seksyen IV:Penyimpanan Perkara-perkara

Terperingkat.

(iii) Penghantaran :

Penghantaran aset fizikal yang telah diklasifikasikan mesti mengikut

Arahan Keselamatan Bab Keselamatan Fizikal, di seksyen V:

Kelengkapan dan Bahan-bahan Rasmi yang mempunyai Ciri-ciri

Keselamatan. Manakala dokumen Softcopy dan Hardcopy mesti

mengikut Arahan Keselamatan Bab Keselamatan Dokumen di:

Seksyen V: Penghantaran Dokumen Terperingkat



TERHAD

Seksyen VI: Membawa Dokumen Terperingkat Keluar

Pejabat

Seksyen VII: Pelepasan Perkara Terperingkat

2.3.4.1 Pindah

Pemindahan hak milik aset berlaku dalam keadaan berikut:

a) Pekerja meninggalkan Kementerian disebabkan oleh persaraan,

perletakan jawatan atau penugasan semula;

b) Aset yang dikongsi untuk kegunaan sementara;

c) Pemberian aset kepada Kementerian lain; dan

d) Aset dikembalikan setelah tamat tempoh pajakan

Perkara-perkara yang perlu dipatuhi semasa pemindahan hak milik aset

adalah merangkumi yang berikut:

(i) Memastikan semua aset ICT dikembalikan kepada

Kementerian mengikut peraturan dan/atau terma

perkhidmatan yang ditetapkan; dan

(ii) Membatalkan atau menarik balik semua kebenaran capaian ke

atas maklumat dan kemudahan proses maklumat mengikut

peraturan yang ditetapkan oleh Kementerian dan/atau terma

perkhidmatan.

2.3.4.2 Pelupusan

Pelupusan aset mesti mengikut prosedur/arahan pelupusan semasa dan

dilakukan secara terkawal.



TERHAD

Pelupusan dokumen yang telah diklasifikasikan mesti mengikut Arahan

Keselamatan, di bab Keselamatan Dokumen, mukasurat 19 seksyen

VIII: Pemusnahan Dokumen Terperingkat.

Pelupusan peralatan ICT (rosak, usang dan tidak boleh dibaiki) sama

ada harta modal atau inventori yang dibekalkan oleh Kementerian perlu

mematuhi perkara-perkara berikut:

a) Semua maklumat dan kandungan peralatan khususnya maklumat

rahsia rasmi hendaklah dihapuskan terlebih dahulu sama ada

melalui shredding, grinding, degauzing atau pembakaran; dan

b) Bagi peralatan ICT yang akan dilupuskan sebelum dipindah-milik

hendaklah dipastikan maklumat dan kandungan peralatan

khususnya maklumat rahsia rasmi dihapuskan terlebih dahulu

dengan cara yang selamat.

c) Sekiranya maklumat perlu disimpan, maka penduaan boleh

dilakukan.

Maklumat lanjut mengenai pelupusan aset boleh merujuk kepada

“Pekeliling Perbendaharaan Tatacara Pengurusan Aset Alih Kerajaan”.

Pelupusan boleh dalam bentuk pemusnahan fizikal dan/atau sanitasi

data iaitu mengikut garis panduan yang dikeluarkan oleh Kerajaan.

2.4 Manusia

Kakitangan Kementerian, pembekal, pakar runding dan pihak-pihak yang

berkepentingan, hendaklah memahami peranan dan tanggungjawab mereka

dalam mematuhi terma dan syarat perkhidmatan serta peraturan semasa yang

berkuat kuasa. Bagi melaksanakan sistem penyampaian perkhidmatan

kementerian, kakitangan hendaklah dilatih dalam bidang pengkhususan yang



TERHAD

diperlukan. Pengendalian dokumen terperingkat hendaklah mematuhi

peruntukan yang terkandung dalam Arahan Keselamatan dan pekeliling semasa.

2.4.1 Kompetensi Pengguna

Kompetensi pengguna termasuk:

2.4.1.1 Kesedaran amalan terbaik keselamatan maklumat.

Program kesedaran keselamatan maklumat hendaklah diadakan

sekurang-kurangnya setahun sekali bagi memaklumkan kepentingan

dan memupuk amalan baik Keselamatan ICT.

2.4.1.2 Kemahiran menggunakan alat keselamatan

Program latihan hendaklah diadakan sekurang-kurangnya setahun

sekali kepada kakitangan berhubung alat-alat keselamatan berkaitan

bagi memastikan mereka mampu untuk menggunakannya.

2.4.2 Kompetensi Pelaksana

Setiap kakitangan kementerian hendaklah memenuhi keperluan

kecekapan minimum mengikut spesifikasi kerja dan memenuhi syarat-

syarat berikut:

a) Mempunyai kelayakan akademik dalam bidang berkaitan;

b) Memperolehi tapisan keselamatan daripada agensi yang diberi kuasa



TERHAD

2.4.3 Peranan

Peranan pengguna diberi berdasarkan keperluan dan kompetensi

pengguna. Bagi capaian Maklumat Rahsia Rasmi, perjanjian ketakdedahan

seperti Arahan Keselamatan dan Akta Rahsia Rasmi 1972 perlu

ditandatangani. Salinan asal perjanjian yang ditandatangani hendaklah

disimpan dengan selamat dan menjadi rujukan masa depan.

Tiada hak capaian automatik diberikan kepada individu tanpa mengira

tapisan keselamatan mereka. Kakitangan yang berperanan menguruskan

aset hendaklah memastikan semua aset Kementerian dikembalikan

sekiranya berlaku perubahan peranan.

Kakitangan yang terlibat dengan perubahan peranan hendaklah

menyerahkan semua aset Kementerian yang berkaitan seperti yang

tersenarai dalam senarai aset dalam Nota Serah Tugas.

Kakitangan lain yang terlibat dengan perubahan peranan hendaklah

menyerahkan semua aset Kementerian dengan diselia oleh kakitangan

yang dipertanggungjawabkan oleh Kementerian.

Pihak Atasan perlu memastikan staf KPDNHEP serta pihak ketiga yang

berkepentingan mengurus keselamatan aset ICT berdasarkan

perundangan dan peraturan yang ditetapkan oleh KPDNHEP. Ketua

Jabatan perlu memastikan setiap staf menandatangani Surat Akuan

Pematuhan Polisi Keselamatan Siber KPDNHEP.

Setiap warga KPDNHEP perlu diberikan program kesedaran, latihan atau

kursus mengenai keselamatan ICT secara berterusan dalam

melaksanakan tugas dan tanggungjawabnya. Program latihan akan

melibatkan semua pegawai KPDNHEP dan dilaksanakan secara

berterusan. Selain itu, laman Intranet/emel akan dijadikan sebagai medium

penyebaran maklumat berkaitan keselamatan ICT bagi meningkatkan



TERHAD

tahap kesedaran pegawai KPDNHEP berkaitan kepentingan keselamatan

ICT.

Pegawai teknikal yang dipertanggungjawabkan menjaga keselamatan

sumber ICT di mana ianya menyediakan perkhidmatan berpusat kepada

pengguna (seperti server, storan, firewall, router, antivirus berpusat dan

lain-lain) akan dipastikan menjalani latihan yang spesifik berkaitan bidang

tugas mengikut spesifikasi produk yang digunakan.

Pelanggaran Polisi Keselamatan Siber KPDNHEP akan dikenakan

tindakan tatatertib atau digantung dari mendapat akses kepada

kemudahan ICT KPDNHEP.

2.4.4 Bertukar atau Tamat Perkhidmatan

Peraturan yang berkaitan dengan pertukaran perkhidmatan atau tamat

perkhidmatan perlu ditakrifkan dengan jelas.

2.4.4.1 Pemulangan Aset dan Pembatalan Kebenaran Capaian

Perkara-perkara yang perlu dipatuhi termasuk yang berikut:

a) Memastikan semua aset ICT dikembalikan kepada KPDNHEP

mengikut peraturan dan/atau terma perkhidmatan yang ditetapkan;

dan

b) Membatalkan atau menarik balik semua kebenaran capaian ke atas

maklumat dan kemudahan proses maklumat mengikut peraturan

yang ditetapkan oleh KPDNHEP dan/atau terma perkhidmatan.

Surat Pekeliling Perkhidmatan Bilangan 4 Tahun 2010 Pelaksanaan

Modul Penamatan Perkhidmatan Urusan Persaraan Kerana Mencapai



TERHAD

Umur 55/56/58 Tahun, Urusan Persaraan Pilihan dan Fungsi Kematian

Dalam Perkhidmatan boleh dirujuk bagi maklumat lanjut.



TERHAD

KESAN

Seksyen ini menerangkan mekanisme pengesanan terhadap aktiviti yang berniat

jahat, sama ada secara fizikal atau elektronik.

3.1 Pemantauan Berterusan

Pelbagai mekanisme boleh digunakan bagi melaksanakan aktiviti pemantauan

secara berterusan terhadap sistem ICT. Pemantauan tersebut boleh

dilaksanakan pada masa sebenar atau berkala. Penggunaan teknologi serta

perkongsian wawasan dan kecerdasan digunakan untuk melaksanakan

pemantauan yang berkesan.

3.1.1 Teknologi

Penggunaan teknologi boleh dilaksanakan menerusi langkah-langkah

seperti berikut:

a) Mewujudkan sistem log bagi merekodkan semua aktiviti harian

pengguna dan disimpan untuk tempoh masa yang dipersetujui bagi

membantu siasatan dan memantau kawalan capaian;

b) Menyemak sistem log secara berkala bagi mengesan ralat yang

menyebabkan gangguan kepada sistem dan mengambil tindakan

membaikpulih dengan segera;

c) Melindungi maklumat dan kemudahan log daripada sebarang

pencerobohan dan pindaan;

d) Merekodkan aktiviti yang dijalankan oleh pegawai yang menguruskan

system;



TERHAD

e) Melaporkan aktiviti-aktiviti tidak sah seperti kecurian maklumat dan

pencerobohan kepada ICTSO; dan

f) Menyelaraskan masa yang berkaitan sistem pemprosesan maklumat

dalam KPDNHEP atau domain keselamatan dengan satu sumber yang

dipercayai seperti SIRIM.

Log/jejak audit sistem ICT merupakan bukti dan turutan insiden bagi setiap

aktiviti sistem yang perlu didokumenkan selaras dengan arahan/pekeliling

sedia ada yang dikeluarkan oleh Kerajaan. Log/jejak audit ini mengandungi

maklumat seperti pengenalpastian terhadap akses yang tidak dibenarkan,

aktiviti-aktiviti yang tidak normal serta aktiviti-aktiviti yang tidak dapat

dijelaskan.

Log/Jejak audit hendaklah dikawal bagi memastikan integriti data

terpelihara. Analisis log/jejak audit dilakukan secara bulanan bagi

mengesan:-

a) Percubaan (samada gagal atau berjaya) untuk mencapai sistem atau data tanpa kebenaran (probing).

b) Serangan kod jahat (malicious code) seperti virus, trojan horse, worms

dan sebagainya; c) Gangguan yang disengajakan (unwanted distruption) atau halangan

pemberian perkhidmatan (denial of service); d) Menggunakan sistem untuk pemprosesan data atau penyimpanan data

tanpa kebenaran (unauthorised access); e) Pengubahsuaian ciri-ciri perkakasan, perisian atau mana-mana

komponen sesebuah sistem tanpa pengetahuan, arahan atau persetujuan mana-mana pihak; dan

f) Penggunaan data yang sensitif, contohnya data harga, lesen dan permit,

kuota diesel dan petrol.



TERHAD

Pemantauan berterusan boleh dibuat secara automatik dengan

menggunakan perisian tertentu seperti pengimbas virus, algoritma check

sum, password cracker, semakan integriti, pengesanan penceroboh dan

analisis pemantauan prestasi sistem ICT.

3.1.2 Perkongsian Wawasan Dan Kecerdasan

Pusat Kawalan dan Koordinasi Siber Negara (NC4) menyediakan platform

bagi perkongsian maklumat berkaitan insiden siber untuk seluruh

Prasarana Maklumat Kritikal Negara (CNII).

CNII merujuk kepada aset (fizikal dan maya), sistem dan fungsi yang

penting kepada negara dan kepincangan terhadap fungsi-fungsi kritikal ini

akan memberikan impak yang besar kepada pertahanan dan keselamatan

negara, kekuatan ekonomi negara, imej negara, kemampuan Kerajaan

untuk berfungsi, kesihatan dan keselamatan orang awam.

3.2 Anomali dan Peristiwa

Anomali merupakan satu peristiwa atau kejadian yang ganjil, atau tidak normal

yang berbeza dari kebiasaan.

Pentadbir sistem di KPDNHEP perlu mengenal pasti anomali dan

penyelewengan dari amalan terbaik keselamatan, yang boleh menjadi asas

untuk tindakan pemulihan.

Semua pengguna di KPDNHEP perlu mengetahui dan sedar bahawa sumber

ICT adalah hak milik Kerajaan termasuk data serta maklumat yang tercatat atau

yang diperoleh daripadanya. Kerajaan berhak memantau aktiviti pengguna yang

mengakses sumber ICT untuk mengesan salah guna atau penggunaan sumber

ICT selain dari tujuan yang telah ditetapkan.



TERHAD

Semua Sistem Maklumat ICT yang dibangunkan di KPDNHEP perlu mempunyai

keupayaan merekod dan mengesan tindakan pengguna.

3.2.1 Aliran Data Asas

Data asas merupakan data yang diperlukan untuk membangunkan sesuatu

sistem mengikut keperluan semasa. Contoh, data harga barang keperluan

pengguna, kuota subsidi, maklumat perniagaan dan harta intelek.

Pentadbir Sistem dikehendaki mengumpul data asas bagi setiap sistem di

bawah tanggungjawab masing-masing dan perlu dilakukan semasa proses

pentauliahan sistem. Data asas ini diperlukan sebagai rujukan apabila

terdapat perubahan sistem.

3.2.2 Pengagregatan Data

Pengagregatan data perlu dibuat bagi meringkas, menghasil atau

merumuskan data mentah yang dikumpul ke dalam bentuk dan susunan

yang lebih mudah dibaca serta berstruktur.

3.2.3 Korelasi

Korelasi (perhubungan/pertalian) antara aktiviti daripada pelbagai sistem

hendaklah dilakukan bagi mengenalpasti anomali/keganjilan yang dikesan.

3.2.4 Pemberitahuan

Mekanisme ketersediaan perlu dibuat dan diaktifkan apabila terdapat

serangan siber di KPDNHEP. Laporan perlu dikemukakan kepada NC4



TERHAD

yang menyediakan platform bagi semua organisasi CNII untuk memberi

makluman berhubung ancaman siber. Mekanisme pelaporan insiden

keselamatan ICT KPDNHEP adalah seperti yang dinyatakan di dalam SOP

Pengurusan Insiden Keselamatan ICT.

3.2.5 Kenal Pasti Impak

Setiap impak serangan siber yang dikenalpasti perlu dianalisis dengan

terperinci untuk menentukan tindakan yang sewajarnya.

TINDAK BALAS

Apabila berlaku insiden keselamatan siber, pelan tindak balas yang telah dirancang

perlu dilaksanakan. Analisis lanjut, tindakan mitigasi dan penambahbaikan juga

dilaksanakan atas nasihat daripada agensi yang berkaitan.

4.1 Pelan Tindak balas

Pelan tindak balas keselamatan siber hendaklah disimulasi secara berkala dan

dinilai bagi memastikan ia masih releven dan pasukan pengendali insiden adalah

terlatih dan dapat mengenal pasti dan mengendalikan insiden.

Tindak balas bagi menangani insiden keselamatan siber perlu diambil dengan

cepat, tepat dan berkesan serta meminumkan kesan insiden keselamatan ICT.

Peraturan semasa berhubung tindak balas keselamatan siber hendaklah

dipatuhi. Insiden keselamatan siber hendaklah dirujuk kepada MKN manakala

insiden yang melibatkan Maklumat Rahsia Rasmi hendaklah dirujuk kepada

CGSO untuk tindakan selanjutnya.



TERHAD

4.1.1 Laporan Insiden Keselamatan

4.1.1.1 Melaporkan Peristiwa Keselamatan

Peristiwa keselamatan mesti dilaporkan kepada ICTSO dengan kadar

segera. Insiden keselamatan ICT seperti berikut hendaklah dilaporkan

dengan kadar segera:

a) Maklumat didapati hilang, didedahkan kepada pihak-pihak yang tidak

diberi kuasa atau, disyaki hilang atau didedahkan kepada pihak-pihak

yang tidak diberi kuasa;

b) Sistem maklumat digunakan tanpa kebenaran atau disyaki

sedemikian;

c) Kata laluan atau mekanisme kawalan akses hilang, dicuri atau

didedahkan, atau disyaki hilang, dicuri atau didedahkan;

d) Berlaku kejadian sistem yang luar biasa seperti kehilangan fail, sistem

kerap kali gagal dan komunikasi tersalah hantar;

e) Berlaku percubaan menceroboh, penyelewengan dan insiden-insiden

yang tidak diingini.

Semua pengguna, vendor dan pihak ketiga mesti dimaklumkan akan

tanggungjawab untuk melaporkan sebarang peristiwa keselamatan

dengan kadar segera. Mereka juga mesti dimaklumkan mengenai

prosedur dan pusat hubungan untuk melaporkan insiden keselamatan

maklumat.

Pelapor insiden mesti mencatit semua butiran yang penting dengan

segera.



TERHAD

4.1.1.2 Melaporkan Kelemahan Keselamatan Maklumat

Laporan Penemuan Kelemahan Keselamatan berkala mesti dilaporkan

kepada ICTSO dengan kadar segera bagi mengelakkan insiden

keselamatan maklumat daripada berlaku.

Pengguna, vendor dan pihak ketiga adalah dilarang daripada

membuktikan sebarang kelemahan keselamatan maklumat. Hanya

vendor yang dilantik sahaja dibenarkan untuk membuat ujian

pembuktian kelemahan keselamatan maklumat. Ujian untuk

membuktikan kelemahan boleh ditafsirkan sebagai penyalahgunaan

sistem dan boleh menyebabkan kerosakan kepada sistem maklumat

atau perkhidmatan. Ini boleh mengakibatkan tindakan undang-undang

dikenakan bagi individu yang menjalankan ujian tersebut.

4.2 Komunikasi

Semasa pengendalian insiden, status semasa insiden tersebut boleh dialirkan

kepada pihak pengurusan yang berkenaan. Kaedah komunikasi boleh dilakukan

melalui salah satu medium berikut:

a) Emel;

b) Panggilan telefon;

c) Portal NC4; dan

d) Secara lisan.

4.3 Analisis

Insiden Keselamatan hendaklah dianalisis dan laporan analisis tersebut

dikemukakan kepada agensi berkaitan bagi tujuan rekod atau mendapatkan



TERHAD

khidmat nasihat. Sekiranya insiden tidak berjaya dikendalikan, insiden

hendaklah dirujuk kepada agensi berkaitan untuk dianalisis dan merancang

tindakan pemulihan.

4.3.1 Analisis dan Pengesahan Insiden

Setiap insiden yang dikenalpasti perlu dianalisis, disahkan, didokumenkan

dan dilaporkan kepada Pengurusan BPM serta agensi yang berkaitan.

Analisis boleh dilaksanakan oleh KPDNHEP atau vendor yang dilantik.

Agensi yang mengendalikan insiden hendaklah menyediakan nasihat

teknikal atau cadangan kawalan bagi menangani keretanan tersebut.

Pasukan tindak balas insiden terdiri daripada pasukan CERT KPDNHEP

dan pemilik proses yang berkenaan. Pasukan ini bertanggungjawab untuk

menganalisa; mengesahkan setiap insiden; dan juga mendokumenkan

setiap langkah yang diambil.

Bagi setiap insiden yang dikenal pasti, pasukan tersebut harus

melaksanakan analisa awal bagi menentukan skop insiden seperti:

a) Rangkaian, sistem atau perkhidmatan yang terlibat;

b) Siapa atau apa yang menyebabkan insiden;

c) Bagaimana insiden berlaku

Analisa awal tersebut mesti merangkumi maklumat yang cukup untuk

membolehkan pasukan tindak balas menyusun aktiviti-aktiviti seterusnya

seperti pembendungan insiden dan analisa mendalam bagi kesan daripada

insiden tersebut.



TERHAD

4.3.2 Penilaian Insiden dan Impak

Semua insiden keselamatan maklumat yang dikenal pasti hendaklah dinilai

dari segi risiko dan impak negatif yang berpotensi terhadap maklumat

dan/atau sistem maklumat.

4.3.3 Keutamaan Insiden Keselamatan

Keutamaan pengendalian insiden keselamatan adalah berdasarkan

kepada dua (2) faktor iaitu:

a) Kesan semasa (jangka pendek) dan kesan yang berpotensi bagi sesuatu

insiden (jangka panjang); dan

b) Tahap kritikal dan kebergantungan dengan sumber yang lain serta

kaedah tindakan baik pulih.

4.3.4 Pemberitahuan Insiden

Semasa pengendalian insiden, pasukan tindakbalas insiden mesti

memaklumkan status semasa insiden tersebut kepada pihak pengurusan

yang berkenaan. Kaedah komunikasi boleh dilakukan melalui salah satu

daripada berikut:

a) E-mail;

b) Panggilan telefon; dan

c) Secara terus.

4.3.5 Strategi Pengawalan Insiden

Apabila insiden telah dikenal pasti dan dianalisis, insiden tersebut harus

dikawal sebelum merebak dan mengakibatkan kerosakan yang lebih



TERHAD

serius. Proses pembendungan ini harus dipertimbangkan sebagai

sebahagian daripada proses pengendalian insiden pada peringkat awal

dan mesti melibatkan pihak pengurusan dalam memberi keputusan seperti

penutupan sesuatu sistem atau perkhidmatan.

Pertimbangan penentuan strategi yang sesuai untuk mengawal insiden

perlu mengambil kira perkara berikut:

a) Kerosakan yang berpotensi kepada sumber-sumber sedia ada;

b) Keperluan untuk pemeliharaan bahan bukti;

c) Ketersediaan perkhidmatan;

d) Masa dan sumber-sumber yang diperlukan untuk melaksanakan

strategi;

e) Keberkesanan strategi; dan

f) Tempoh bagi suatu penyelesaian.

4.3.6 Pengumpulan Bahan Bukti

Semua bahan bukti harus dikumpul, didokumenkan dan disimpan mengikut

prosedur yang menepati undang-undang dan peraturan supaya boleh

diterima pakai di mahkamah.

4.3.7 Penjagaan Bahan Bukti

Secara umum, bukti yang jelas mesti diwujudkan berdasarkan perkara-

perkara berikut:



TERHAD

a) Bagi dokumen hardcopy: Salinan asal mesti disimpan dengan selamat

dengan merekod butiran lanjut seperti individu yang menemui dokumen

tersebut, lokasi dokumen ditemui, tarikh dan masa ditemui, dan saksi

bagi penemuan bahan bukti. Penyiasatan yang dilakukan mesti

memastikan bahan bukti tidak dicemari.

b) Bagi maklumat di dalam media komputer, mirror image atau salinan

daripada media boleh ubah, maklumat di dalam cakera keras atau di

dalam memori mesti diambil untuk memastikan ketersediaan; log bagi

semua tindakan semasa proses salinan mesti disimpan dan proses

mesti dilakukan di hadapan saksi; media asal dan log-log mesti disimpan

dengan selamat.

4.4 Mitigasi

4.4.1 Pelan Mitigasi

Pelan mitigasi dibangunkan untuk mengurangkan kerosakan dan

memastikan kesinambungan perkhidmatan.

4.5 Penambahbaikan

4.5.1 Pengajaran daripada Insiden Maklumat Keselamatan

Penambahbaikan jangka panjang hendaklah dilaksanakan bagi

mengelakkan insiden keselamatan siber berulang. Khidmat nasihat dari

agensi pusat hendaklah diambil kira dalam membangunkan

penambahbaikan jangka panjang.

Mesyuarat harus diadakan dengan semua pihak yang berkaitan secara

berkala bagi tujuan:

a) Analisa insiden;



TERHAD

b) Analisa punca insiden;

c) Tindakan pembetulan yang telah diambil dan keberkesanan tindakan

tersebut ; dan

d) Tindakan pencegahan yang mungkin untuk diambil bagi mengurangkan

kebarangkalian pengulangan insiden.



TERHAD

PULIH

Ketersediaan maklumat adalah penting bagi penyampaian perkhidmatan Kerajaan.

Sehubungan dengan itu, Pelan Pengurusan Kesinambungan Perkhidmatan dan Pelan

Pemulihan Bencana ICT yang efektif dan berfungsi dengan baik perlu disedia dan

dilaksanakan bagi memastikan kesinambungan perkhidmatan.

5.1 Pelan Pengurusan Kesinambungan Perkhidmatan

Pelan Kesinambungan Perkhidmatan hendaklah dibangunkan dengan

mengambil kira faktor-faktor keselamatan maklumat bagi menentukan

pendekatan yang menyeluruh diambil bagi memastikan tiada gangguan kepada

proses-proses dalam penyediaan perkhidmatan organisasi kepada pelanggan.

Perkara-perkara berikut perlu diberi perhatian dalam penyediaan Pelan

Pengurusan Kesinambungan Perkhidmatan:

a) Mengenal pasti semua tanggungjawab dan prosedur kecemasan atau

pemulihan;

b) Mengenal pasti senario yang boleh mengakibatkan gangguan terhadap

proses perkhidmatan, kemungkinan berlaku dan impak serta akibat gangguan

tersebut terhadap keselamatan ICT;

c) Melaksanakan prosedur-prosedur kecemasan dan simulasi pemulihan

bencana bagi membolehkan pemulihan dapat dilakukan secepat mungkin

atau dalam jangka masa yang telah ditetapkan;

d) Mendokumentasikan proses dan prosedur yang telah dipersetujui;

e) Mengadakan program latihan kepada pengguna mengenai prosedur

kecemasan;

f) Membuat backup; dan



TERHAD

g) Menguji dan mengemas kini pelan sekurang-kurangnya setahun sekali.

5.2 Pelan Pemulihan Bencana

Pelan Pemulihan Bencana perlu dibangunkan dan hendaklah mengandungi

perkara-perkara berikut:

a) Senarai Perkhidmatan teras yang dianggap kritikal mengikut susunan

keutamaan;

b) Senarai pegawai dan vendor yang dilantik berserta nombor yang boleh

dihubungi (faksimile, telefon dan e-mel). Senarai kedua juga hendaklah

disediakan sebagai menggantikan pegawai tidak dapat hadir untuk

menangani insiden;

c) Senarai lengkap maklumat yang memerlukan backup dan lokasi sebenar

penyimpanannya serta arahan pemulihan maklumat dan kemudahan yang

berkaitan;

d) Sumber dan lokasi alternatif untuk menggantikan sumber yang telah lumpuh;

dan

e) Mendapatkan persetujuan dengan pembekal perkhidmatan untuk

mendapatkan penyambungan semula perkhidmatan yang berkaitan.

5.3 Penambahbaikan

Penambahbaikan berterusan menerusi latihan simulasi terhadap pelan perlu

diadakan sekurang-kurangnya setahun sekali atau apabila berlaku perubahan

dalam pelan.

Menguji dan mengemas kini pelan sekurang-kurangnya dua (2) tahun sekali.



TERHAD

PEROLEH

Seksyen ini menerangkan mekanisme bagi perolehan dan pentauliahan sistem yang

kukuh dan berdaya tahan daripada aktiviti tidak baik serta merangkumi keseluruhan

kitaran hayat aset. Perolehan ini boleh dilaksanakan melalui tender, sebut harga dan

rundingan terus mengikut peraturan semasa yang berkuat kuasa.

6.1 Kenal Pasti Keperluan

Keperluan setiap perolehan yang ingin dilaksanakan perlu dikenalpasti sebelum

perolehan tersebut dilaksanakan sama ada perolehan daripada syarikat

pembekal atau pembangunan secara dalaman.

6.2 Spesifikasi Perolehan

Spesifikasi perolehan hendaklah mengandungi klausa tertentu berhubung

keperluan keselamatan, pensijilan keselamatan produk, ketersediaan kod

sumber, keperluan pelupusan data, keutamaan terhadap teknologi dan

kepakaran tempatan serta keperluan kompetensi pasukan pembangunan.

6.2.1 Keperluan Keselamatan

Keperluan keselamatan siber hendaklah menentukan kawalan yang

diperoleh atau dibangunkan untuk memastikan pengolahan risiko bagi

risiko yang dikenal pasti adalah selaras dengan rangka kerja keselamatan

siber ini.

a) Semua kontraktor yang melaksanakan kerja Outsourcing dimestikan

lulus dan melepasi tapisan keselamatan. Maklumat berperingkat

hendaklah dimaklumkan secara need to know basis.

b) Kontraktor perlu menandatangani Surat Perakuan Akta Rasmi 1972.



TERHAD

c) Capaian secara fizikal dan logikal mesti dipantau oleh staf KPDNHEP

yang dilantik bagi menguruskannya.

d) Setiap sistem utama yang hendak dilancarkan perlu dipastikan telah

dilaksanakan Application Vulnerability Assessment, Performance

Testing, Security Posture Assesment, Penetration Test dan lain-lain.

6.2.2 Pensijilan Keselamatan

Pensijilan keselamatan bagi produk dan perkhidmatan serta tahap

pensijilan hendaklah ditetapkan dan terhad kepada pensijilan yang diiktiraf

oleh Kerajaan.

Projek pembangunan sistem hendaklah juga tertakluk kepada keperluan

pensijilan keselamatan. Pemilik sistem hendaklah memastikan pensijilan

keselamatan yang berkaitan dilaksanakan ke atas sistem yang

dibangunkan.

Pematuhan kepada standard keselamatan ICT adalah penting bagi

memastikan keteguhan keselamatan ICT dan boleh beroperasi antara satu

sama lain.

6.2.3 Kod Sumber

Semua spesifikasi perolehan yang dilaksanakan dan kontrak komersial

yang dilaksanakan oleh KPDNHEP hendaklah mengandungi keperluan

berikut :

a) KPDNHEP atau Kerajaan (CGSO) hendaklah dibenarkan untuk

melaksanakan semakan terhadap kod sumber;



TERHAD

b) bagi sistem yang mengandungi Maklumat Rahsia Rasmi, pembekal

hendaklah membenarkan KPDNHEP atau Kerajaan (CGSO) hak

mencapai kod sumber dan melaksanakan pengolahan risiko; dan

c) pembekal tidak dibenarkan mengguna semula atau mengedarkan kod

sumber kepada pihak lain untuk sebarang tujuan.

6.2.4 Kitar Hayat Data

KPDNHEP diberikan hak capaian elemen-elemen sistem yang

mengandungi Maklumat Rahsia Rasmi dan Maklumat Rasmi yang

tertakluk kepada garis panduan sedia ada. Pemilik sistem hendaklah

memastikan tindakan dilaksanakan berpandukan garis panduan ini

termasuklah sanitasi data dan pelupusan media fizikal yang mengandungi

data.

Semua spesifikasi perolehan dan kontrak komersial hendaklah

mengandungi keperluan madatori seperti yang berikut:

“Pembekal hendaklah memberi hak mencapai elemen sistem yang

mengandungi Maklumat Rahsia Rasmi dan Maklumat Rasmi dan boleh

mengambil tindakan sebagaimana yang diperlukan”

Spesifikasi perolehan hendaklah menentukan pelupusan data bagi

Maklumat Rahsia Rasmi, Maklumat Rasmi. Pelupusan hendaklah

berdasarkan garis panduan semasa yang berkuatkuasa.



TERHAD

6.2.5 Kepakaran dan Teknologi Tempatan

Perolehan produk tempatan atau yang dibangunkan menggunakan

teknologi tempatan hendaklah diberi keutamaan dalam pembangunan dan

keseluruhan kitar hayat sistem. Kakitangan dan sumber berkaitan sistem

hendaklah dipilih untuk mengurangkan kebergantungan kepada sumber

luaran, kepakaran dan teknologi asing.

6.2.6 Kompetensi Pasukan Projek

Penyediaan spesifikasi perolehan hendaklah memasukkan keperluan

pensijilan minimum keselamatan maklumat yang merangkumi

keselamatan data, fizikal atau persekitaran bagi pasukan projek.

6.3 Pengurusan Syarikat Pembekal

Pengurusan syarikat pembekal merangkumi pengurusan pembekalan dan

perkhidmatan bagi perkakasan, perisian, perundingan, pembangunan sistem,

penyelenggaraan serta perkhidmatan terurus sumber luaran.

6.3.1 Pemilihan

Pemilihan syarikat pembekal hendaklah mengikut peraturan semasa yang

sedang berkuat kuasa dan berdasarkan rangka kerja keselamatan siber

ini. Jabatan perlu memilih syarikat pembekal seperti kriteria berikut:

a) mempunyai pendaftaran sah dengan Kementerian Kewangan Malaysia

dalam Kod Bidang yang berkaitan;



TERHAD

b) mempunyai pensijilan keselamatan yang berkaitan hendaklah diberi

keutamaan;

c) semua wakil syarikat pembekal hendaklah mempunyai kelulusan

keselamatan daripada agensi berkaitan; dan

d) produk atau perkhidmatan yang ditawarkan oleh syarikat pembekal

hendaklah melalui penilaian teknikal untuk memastikan keperluan

keselamatan dipenuhi.

6.3.2 Kontrak

Kontrak hendaklah mengandungi semua elemen yang terpakai seperti

yang terkandung dalam Rangka Kerja Keselamatan Siber termasuk:

a) Jaminan Tahap Keselamatan (Service Level Assurance (SLA));

b) tempoh kontrak serta terma yang telah ditetapkan dalam kontrak

tersebut hendaklah disemak dan disahkan oleh Penasihat Undang-

Undang;

c) jaminan terhadap pembekalan dan perkhidmatan yang disediakan oleh

syarikat pembekal bagi tempoh pelaksanaan projek yang telah

ditetapkan;

d) klausa mengenai pemindahan teknologi (Transfer Of Technology) serta

latihan;

e) kod sumber (source code) sebagai Hak Milik Kerajaan Malaysia

hendaklah dinyatakan dengan jelas dalam dokumen kontrak; dan

f) mesti menyatakan faktor keselamatan secara terperinci pada Schedule

Of Compliance (SOC).

Perkara-perkara berikut juga hendaklah dimasukkan di dalam kontrak

yang dimeterai:



TERHAD

(i) Surat Perakuan;

(ii) Perakuan Akta Rahsia Rasmi 1972; dan

(iii) Hak Harta Intelek.

6.3.3 Pemantauan syarikat pembekal dan pihak ketiga

Pemantauan syarikat pembekal dan pihak ketiga hendaklah dilaksanakan

kepada semua perkhidmatan sumber luaran selaras dengan kontrak yang

dipersetujui.

Pihak KPDNHEP hendaklah memantau aspek keselamatan penggunaan

maklumat dan kemudahan proses maklumat oleh kontraktor/pihak ketiga

dikawal seperti berikut:

a) mengenal pasti risiko keselamatan maklumat dan kemudahan

pemprosesan maklumat serta melaksanakan kawalan yang sesuai

sebelum memberi kebenaran capaian;

b) mengenal pasti keperluan keselamatan sebelum memberi kebenaran

capaian atau penggunaan kepada pengguna luar/asing. Capaian

kepada aset ICT KPDNHEP perlu berlandaskan kepada kontrak;

c) memastikan semua syarat keselamatan dinyatakan dengan jelas dalam

kontrak dengan pihak ketiga;

d) memastikan pihak-pihak yang terlibat membaca, memahami dan

mematuhi peraturan-peraturan/garis panduan berkaitan yang sedia ada.

e) perkhidmatan, laporan dan rekod yang dikemukakan oleh pihak ketiga

perlu sentiasa dipantau, disemak semula dan diaudit dari semasa ke

semasa; serta



TERHAD

f) memastikan kawalan keselamatan, definisi perkhidmatan dan tahap

penyampaian yang terkandung dalam kontrak dipatuhi, dilaksanakan

dan diselenggarakan oleh pihak ketiga.

6.3.4 Pengurusan Penyampaian Perkhidmatan Pihak Ketiga

Pengurusan perubahan dasar perlu mengambil kira tahap kritikal sistem

dan proses yang terlibat serta penilaian semula risiko.

6.4 Jejak Sumber

Jejak sumber merujuk kepada sejarah lengkap pergerakan aset dan kawalan

versi dokumentasi projek. Proses perolehan hendaklah memastikan rekod jejak

sumber adalah lengkap dan merangkumi keseluruhan rantaian pembekalan

perkakasan, perisian, aplikasi dan perkhidmatan.

6.4.1 Pengendalian Pergerakan Peralatan

Peralatan dan maklumat yang dibawa keluar dari pejabat hendaklah:

a) mendapat kelulusan pegawai berkaitan dan tertakluk kepada tujuan

yang dibenarkan sahaja;

b) peralatan dan maklumat perlu dilindungi dan dikawal sepanjang masa;

c) memastikan aktiviti peminjaman dan pemulangan peralatan ICT

direkodkan dan menyemak peralatan yang dipulangkan berada dalam

keadaan baik dan lengkap; dan

d) memeriksa dan memastikan peralatan ICT yang dibawa keluar tidak

mengandungi maklumat kerajaan. Ia perlu disalin dan dihapuskan.



TERHAD

Bagi peralatan yang dibawa masuk ke KPDNHEP, perkara yang perlu


a) memastikan peralatan yang dibawa masuk tidak mengancam

keselamatan ICT KPDNHEP;

b) mendapatkan kelulusan mengikut peraturan yang telah ditetapkan oleh

KPDNHEP bagi membawa masuk/keluar peralatan;

c) pengguna BYOD yang telah didaftarkan perlu memastikan peranti yang

digunakan mempunyai kawalan keselamatan seperti berikut:

(i) menetapkan mekanisme kawalan akses bagi BYOD dan akan

mengunci secara automatik apabila tidak digunakan;

(ii) melaksanakan penyulitan dan/atau perlindungan ke atas folder

yang mempunyai maklumat rasmi Kerajaan yang disimpan di

dalam peranti BYOD;

(iii) memuat turun aplikasi daripada sumber yang sah; dan

(iv) memastikan BYOD mempunyai ciri-ciri keselamatan standard

seperti Antivirus, Patching terkini, Anti Theft dan lain-lain.

6.4.2 Kawalan Versi Dokumentasi

Spesifikasi perolehan hendaklah mengandungi prosedur kawalan versi

dokumentasi seperti berikut:

a) penyediaan dan kelulusan dokumen;

b) pengurusan perubahan dokumen termasuk kelulusan semula;

c) penggunaan rujukan dokumen;

d) mengendali senarai induk dokumen dan lampiran rekod pindaan untuk

menentukan status terkini dokumen;



TERHAD

e) pengedaran dokumen;

f) identifikasi dan penyimpanan dokumen usang; dan

g) Pelupusan dokumen.

6.5 Kitar Hayat Sistem

Aspek keselamatan hendaklah dimasukkan ke dalam semua fasa kitar hayat

pembangunan sistem termasuk pengumpulan keperluan, reka bentuk,

pelaksanaan, ujian, penerimaan, pemasangan, konfigurasi sistem,

penyelenggaraan dan pelupusan. Perancangan bagi Pelan Pengurusan

Keselamatan Maklumat disarankan mengikut peringkat yang diterangkan dalam

kebanyakan model Kitar Hayat Sistem ICT.

6.6 Proses Pentauliahan

6.6.1 Pentadbiran Sistem

Syarikat pembekal hendaklah menyediakan modul pentadbiran sistem

bagi tujuan mengemaskini konfigurasi sistem dan profil pengguna.

Semasa proses pentauliahan, pengguna pertama hendaklah diberikan

peranan sebagai pentadbir. Pengguna pertama boleh melantik pengguna-

pengguna lain sebagai pentadbir dengan hak yang sama.

Peranan pentadbir adalah melaksanakan penetapan dan pengemaskinian

konfigurasi sistem dan profil pengguna bagi sesuatu sistem. Sekurang-

kurangnya dua pentadbir diperlukan dalam sesuatu sistem. Peranan

pentadbir boleh diberi dan dilucutkan oleh pentadbir lain.



TERHAD

6.6.2 Penilaian Tahap Keselamatan

Penilaian tahap keselamatan hendaklah dilaksanakan sebelum

pentauliahan sistem secara berkala semasa pelaksanaan dan apabila

terdapat perubahan pada persekitaran.

6.7 Proses Penyerahan Projek/Sistem

6.7.1 Sandaran dan Ujian Pemulihan

Sandaran hendaklah berjaya dilaksanakan sebelum Penyerahan

Projek/Sistem.

6.7.2 Migrasi Data

Migrasi data hendaklah berjaya dilaksanakan sebelum Penyerahan

Projek/Sistem.

6.7.3 Pengurusan Perubahan

Pengurusan perubahan hendaklah dilaksanakan untuk memaklumkan

kepada pihak berkaitan berhubung Penyerahan Projek/Sistem.

6.8 Pelupusan

Sila rujuk para 2.3.4.2 untuk maklumat berhubung pelupusan data.



TERHAD

AUDIT KESELAMATAN

Audit Keselamatan adalah tindakan untuk menilai keberkesanan dan kepatuhan

terhadap Polisi Keselamatan Siber Sektor Awam, Polisi Keselamatan Siber Jabatan,

ISMS KPDNHEP, pekeliling/peraturan/garis panduan yang berkuat kuasa.

Pematuhan kepada keselamatan maklumat perlu bagi meminimumkan ancaman dan

kebarangkalian berlaku kebocoran maklumat yang menjejaskan penyampaian

perkhidmatan Kerajaan. Capaian ke atas peralatan audit sistem maklumat perlu dijaga

dan diselia bagi mengelakkan berlaku penyalahgunaan.

Peringkat pengauditan merangkumi :

a) penentuan tahap kematangan;

b) pengauditan secara dalaman; dan

c) pengauditan secara luaran.

7.1 Tahap Kematangan

Tahap kematangan boleh ditentukan berdasarkan hasil audit yang telah

dilaksanakan dan diluluskan oleh Jawatankuasa yang berkaitan. KPDNHEP

hendaklah mengekalkan tahap kematangan yang telah ditetapkan.

7.2 Audit Dalam

Semakan audit dalam adalah perlu bagi memastikan pematuhan terhadap

peraturan dan polisi yang berkuat kuasa. Pasukan audit dalam yang terlatih

hendaklah ditubuhkan bagi melaksanakan audit dalam. Audit Pematuhan ICT

yang dikendalikan oleh Pasukan Audit yang dilantik hendaklah dilaksanakan

setiap tahun. Skop pematuhan ICT hendaklah meliputi pematuhan terhadap

Polisi Keselamatan Siber Sektor Awam, Polisi Keselamatan Siber Jabatan, ISMS

KPDNHEP, pekeliling/peraturan/garis panduan yang berkuat kuasa.



TERHAD

7.3 Audit Luar

Semakan audit luar adalah perlu bagi memastikan pematuhan kepada peraturan

dan polisi yang sedang berkuat kuasa dan hasil semakan semula audit dalam.

Audit luar hendaklah dilaksanakan oleh pihak yang tiada kepentingan terhadap

KPDNHEP dan sistem yang diaudit. Pensijilan audit luar hendaklah dilaksanakan

oleh badan yang diiktiraf oleh Kerajaan.



TERHAD

KUAT KUASA

Kuat kuasa merupakan satu elemen yang penting bagi memastikan polisi dan

peraturan yang telah ditetapkan dapat dilaksana dan dipatuhi oleh organisasi.

Mekanisme penguatkuasaan perlu mengambilkira pekeliling serta peraturan sedia

ada yang telah dikeluarkan seperti :

a) Arahan Keselamatan

b) Akta Rahsia Rasmi 1972

c) Akta Tandatangan Digital 1997 (Akta 562)

d) Akta Jenayah Komputer 1997(Akta 563)

e) Akta Hak Cipta 1987 (pindaan 1997) tahun

f) Akta Komunikasi dan Multimedia 1998 (Akta 588)

g) Pekeliling Am Bilangan 3 Tahun 2000 Rangka Dasar Keselamatan Teknologi

Maklumat & Komunikasi Kerajaan oleh MAMPU

h) Pekeliling Am Bil. 1 Tahun 2001: Mekanisme Pelaporan Insiden Keselamatan

Teknologi Maklumat & Komunikasi (ICT) oleh MAMPU

i) Malaysian Public Sector Management of Information Communication Technology

Security Handbook (MyMIS) 2002 oleh MAMPU

j) Surat Pekeliling Am Bil. 6 Tahun 2005 Garis Panduan Penilaian Risiko

Keselamatan Maklumat Sektor Awam oleh MAMPU

k) Surat Arahan KSN – 2006 Langkah-langkah Untuk Mengukuhkan Keselamatan

Wireless LAN di Agensi-agensi Kerajaan

l) Surat Arahan KSN – 2007 Langkah-langkah Keselamatan Perlindungan Untuk

Larangan Penggunaan Telefon Bimbit atau Lain-lain Peralatan Komunikasi ICT

Tanpa Kebenaran Atau Kuasa Yang Sah

m) Arahan Teknologi Maklumat 2007

n) Akta Aktiviti Kerajaan Elektronik 2007 (Akta 680)

o) Peraturan-peraturan Pegawai Awam (Kelakuan dan Tatatertib) 1993

p) Kawalan Dokumen ISO/IEC 20007:2013



TERHAD

q) Polisi Media Sosial KPDNHEP

r) Polisi Pengurusan Data dan Maklumat KPDNHEP.

s) Pekeliling Am Bil. 2 Tahun 2002: Penggunaan Dan Pemakaian Data Dictionary

Sektor Awam (Ddsa) Sebagai Standard Di Agensi-Agensi Kerajaan.

t) Pekeliling Am Bil. 1 Tahun 2015: Pelaksanaan Data Terbuka Sektor Awam.

u) Pekeliling Transformasi Pentadbiran Awam Bil. 1 Tahun 2017: Pelaksanaan

Analitis Data Raya Sektor Awam (aDRSA).

v) Surat Arahan Ketua Pengarah MAMPU 2015: Pelaksanaan Rasionalisasi Laman

Web Sektor Awam.

8.1 Penguatkuasaan Dalaman

Pasukan penguatkuasaan dalaman perlu diwujudkan. Pasukan yang dilantik

dibenarkan mengenakan tindakan dan hukuman berdasarkan mekanisme

penguatkuasaan sekiranya berlaku pelanggaran keselamatan terhadap polisi

keselamatan jabatan. Tindakan bagi pelanggaran keselamatan maklumat perlu

dikenalpasti dan dikuatkuasakan.

8.2 Pihak Berkuasa dan Skop Penguatkuasaan

Pihak berkuasa dan skop penguatkuasaan yang berbeza perlu dirujuk bagi

memastikan tindakan yang diambil adalah menyeluruh. Berikut adalah antara

senarai agensi yang dirujuk :-

8.2.1 Ketua Perkhidmatan

Pelanggaran keselamatan maklumat yang berkaitan dengan tatatertib

hendaklah dikuatkuasakan oleh Ketua Perkhidmatan mengikut Perintah

Am Bab D.



TERHAD

8.2.2 Polis DiRaja Malaysia (PDRM)

Semua kesalahan jenayah hendaklah dikuatkuasakan oleh PDRM.

8.2.3 Suruhanjaya Komunikasi dan Multimedia Malaysia (SKMM)

SKMM merupakan agensi berkaitan untuk menguatkuasakan akta

Komunikasi dan Multimedia 1998 (Akta 588) termasuk Akta Tandatangan

Digital 1997 (Akta 562).

8.3 Pematuhan

8.3.1 Objektif

Meningkatkan tahap keselamatan ICT bagi mengelakkan dari pelanggaran

kepada Polisi Keselamatan Siber KPDNHEP, undang-undang jenayah

dan sivil, peraturan atau ikatan kontrak dan sebarang keperluan

keselamatan yang lain.

8.3.2 Pematuhan Dasar

Semua pengguna ICT di KPDNHEP perlu mematuhi Polisi Keselamatan

Siber KPDNHEP dan undang-undang atau peraturan-peraturan lain yang

berkaitan yang berkuat kuasa dari masa ke semasa.



TERHAD

Perkara-perkara berikut perlu dipatuhi:

a) Prosedur berikut perlu diambil kira bagi mematuhi dalam penggunaan

material yang mempunyai hak cipta dan perisian proprietary perlu

dipatuhi:

(i) Akta Hakcipta 1997 hendaklah sentiasa dipatuhi bagi menghalang

aktiviti meniru hak cipta orang lain;

(ii) Penggunaan perisian yang sah;

(iii) Pembelian dari sumber yang sahih;

(iv) Sentiasa mengadakan program kesedaran terhadap dasar

perlindungan harta intelek;

(v) Mengekalkan daftar aset dan mengenalpasti semua keperluan

perlindungan terhadap asset;

(vi) Menyimpan lesen perisian;

(vii) Memastikan bilangan had lesen tidak melebihi had ditetapkan; dan

(viii) Menjalankan pemeriksaan perisian yang sah dan produk berlesen

digunakan.

b) Rekod yang penting perlu dilindungi daripada kecurian, kemusnahan

dan pemalsuan seperti yang tertakluk dalam Akta Keselamatan;

(i) Perlindungan data peribadi perlu diwujudkan selaras dengan

undang-undang sekiranya berkaitan;

(ii) Pengguna adalah dilarang daripada menyalahgunakan

kemudahan pemprosesan maklumat untuk tujuan yang tidak

dibenarkan;

(iii) Kawalan kriptografi perlu tertakluk kepada undang-undang yang

berkaitan.



TERHAD

8.3.3 Pematuhan dengan Dasar, Piawaian dan Keperluan Teknikal

ICTSO hendaklah memastikan semua prosedur keselamatan dalam

bidang tugas masing-masing mematuhi dasar, piawaian dan keperluan

teknikal. Sistem maklumat perlu diperiksa secara berkala bagi mematuhi

standard pelaksanaan keselamatan ICT.

8.3.4 Pematuhan kepada Prosedur Pertukaran Maklumat


a) prosedur dan kawalan pertukaran maklumat yang formal perlu

diwujudkan untuk melindungi pertukaran maklumat;

b) kontrak perlu diwujudkan untuk pertukaran maklumat dan perisian di

antara KPDNHEP dengan agensi luar;

c) media yang mengandungi maklumat perlu dilindungi daripada capaian

yang tidak dibenarkan, penyalahgunaan atau kerosakan semasa

pemindahan keluar dari KPDNHEP; dan

d) maklumat yang terdapat dalam mel elektronik perlu dilindungi sebaik-

baiknya.

8.3.4.1 Keselamatan Mel Elektronik

Akaun e-mel bukanlah hak mutlak seseorang. Ia merupakan kemudahan

yang tertakluk kepada peraturan kementerian dan boleh ditarik balik jika

penggunaannya melanggar peraturan. Kandungan dan

penyelenggaraan mailbox pada komputer peribadi adalah menjadi

tanggungjawab pengguna. Langkah-langkah keselamatan bagi

penggunaan e-mel adalah seperti berikut:



TERHAD

a) Penghantaran e-mel rasmi hendaklah menggunakan akaun e-mel

rasmi yang diperuntukkan oleh kementerian. E-mel persendirian

(seperti yahoo, gmail, hotmail dan sebagainya) tidak boleh

digunakan untuk tujuan rasmi;

b) Alamat e-mel penerima hendaklah dipastikan betul;

c) Pengguna hendaklah mengenal pasti dan mengesahkan identiti

pengguna yang berkomunikasi dengannya sebelum meneruskan

transaksi maklumat melalui e-mel;

d) Pengguna hendaklah memastikan tarikh dan masa sistem

komputer adalah tepat;

e) Penyimpanan salinan e-mel pada sumber storan kedua adalah

digalakkan bagi tujuan keselamatan;

f) Pengguna hendaklah mengelak dari membuka e-mel dari

penghantar yang tidak dikenali atau diragui;

g) Pengguna adalah dilarang melakukan pencerobohan ke atas

akaun pengguna lain, menggunakan akaun orang lain, berkongsi

akaun atau memberi akaun kepada orang lain;

h) Aktiviti spamming, mail-bombing, penyebaran virus, bahan-bahan

negatif, bahan yang menyalahi undang-undang, tidak beretika,

surat berantai, maklumat berbau politik, hasutan atau perkauman

atau apa-apa maklumat yang menjejaskan reputasi jabatan dan

perkhidmatan awam adalah dilarang;

i) Penggunaan kemudahan e-mel group seperti

[email protected] dan lain-lain hendaklah dengan cara

yang beretika dan benar-benar perlu sahaja bagi mengelakkan

bebanan ke atas sistem e-mel kementerian. Penghantaran e-mel

yang berulang-ulang juga adalah dilarang;

j) Pentadbir sistem berhak memasang sebarang jenis perisian

antivirus atau perkakasan penapisan e-mel yang difikirkan sesuai

bagi mencegah, menapis atau menyekat mana-mana e-mel



TERHAD

diterima atau dikirim yang mengandungi virus atau berunsur

spamming;

k) Pentadbir sistem boleh memeriksa, memantau dan melihat isi

kandungan e-mel dan ruang storan pengguna e-mel serta e-sms

jika perlu (seperti atas keperluan audit dan keselamatan) tanpa

mendapat kebenaran pengguna;

l) Pentadbir sistem boleh memberi peringatan atau amaran kepada

pengguna sekiranya didapati terdapat aktiviti yang mengancam

sistem e-mel Kementerian; dan

m) Semua lampiran menggunakan format .exe, .com dan .bat tidak

dibenarkan kerana format ini berisiko membawa dan menyebarkan

virus. Pentadbir e-mel berhak menapis sebarang penghantaran

serta penerimaan kandungan e-mel yang berisiko dari masa ke

semasa.

Maklumat lanjut mengenai keselamatan e-mel boleh dirujuk kepada:

a) Pekeliling Kemajuan Pentadbiran Am Bil. 1 Tahun 2003 Garis

Panduan Mengenai Tatacara Penggunaan Internet dan Mel

Elektronik di Agensi-agensi Kerajaan;

b) Surat arahan Ketua Pengarah MAMPU bertarikh 1 Jun 2007

bertajuk “Langkah-langkah Mengenai Penggunaan Mel Elektronik

di agensi-agensi Kerajaan.”

8.3.5 Pematuhan Prosedur Operasi

a) Pengendalian Prosedur Operasi bertujuan memastikan perkhidmatan

dan pemprosesan maklumat dapat berfungsi dengan betul dan selamat.

b) Semua prosedur keselamatan ICT yang diwujudkan, dikenal pasti dan

masih diguna pakai hendaklah didokumenkan, disimpan dan dikawal.



TERHAD

c) Setiap prosedur hendaklah mengandungi arahan-arahan yang jelas,

teratur dan lengkap. Semua prosedur hendaklah dikemas kini dari masa

ke semasa mengikut keperluan.

8.3.6 Pematuhan Keperluan Audit

Pematuhan kepada keperluan audit perlu bagi meminimumkan ancaman

dan memaksimumkan keberkesanan dalam proses audit sistem maklumat.

Keperluan audit dan sebarang aktiviti pemeriksaan ke atas sistem operasi

perlu dirancang dan dipersetujui bagi mengurangkan kebarangkalian

berlaku gangguan dalam penyediaan perkhidmatan. Capaian ke atas

peralatan audit sistem maklumat perlu dijaga dan diselia bagi mengelakkan

berlaku penyalahgunaan.



TERHAD

Lampiran 1

PERAKUAN POLISI KESELAMATAN SIBER KPDNHEP

Nama (Huruf Besar) : ……………………………………………...............................

Nombor Kad Pengenalan: ………………………………………..............................

Jawatan :……………………………………………………………...............................

Bahagian / Cawangan / Syarikat: ………………………………………...................

Adalah dengan sesungguhnya dan sebenarnya mengaku bahawa:-

1) Saya telah membaca, memahami dan akur akan peruntukan-peruntukan yang

terkandung di dalam Polisi Keselamatan Siber KPDNHEP;

2) Saya berjanji akan menghayati Polisi Keselamatan Siber KPDNHEP

sepenuhnya pada setiap masa demi menjaga nama baik Jabatan dan Negara;

3) Saya juga akur akan sebarang pindaan Polisi Keselamatan Siber KPDNHEP;

4) Jika saya ingkar kepada peraturan-peraturan yang ditetapkan, maka tindakan

sewajarnya boleh diambil ke atas diri saya.

Tandatangan : ………………………………………

Tarikh : ………………………………………

Tandatangan tidak diperlukan jika perakuan dibuat secara atas talian.

Documents

Polisi Keselamatan Siber KPDNHEP KESELAMATAN SIBER... · lengkap dan menentukan tahap keselamatan dan kematangan sistem. Rajah 1 menerangkan kepada agensi-agensi Sektor Awam berkenaan