Upload
others
View
63
Download
2
Embed Size (px)
Citation preview
TERHAD
Polisi Keselamatan Siber KPDNHEP
KPDNHEP-4-POL-Polisi Keselamatan Siber KPDNHEP-v1.0 Muka 1 dari 118
TERHAD
POLISI KESELAMATAN SIBER
KPDNHEP
“Maklumat yang terkandung dalam dokumen ini tidak boleh diberitahu
secara langsung atau tidak kepada akhbar atau sesiapa yang tidak
dibenarkan”
Hak cipta Terpelihara
©KPDNHEP, 2019
Polisi Keselamatan Siber KPDNHEP
KPDNHEP-4-POL-Polisi Keselamatan Siber KPDNHEP-v1.0 Muka 2 dari 118
TERHAD
KAWALAN DOKUMEN
Polisi Keselamatan Siber KPDNHEP
KPDNHEP-4-POL-Polisi Keselamatan Siber KPDNHEP-v1.0 Muka 3 dari 118
TERHAD
SEJARAH DOKUMEN
Tarikh Versi Disediakan oleh Keterangan Perubahan
30/10/2018 1.0 BPM Dokumen Permulaan
18/3/2019 1.0 BPM i) Pengemaskinian peraturan di Bab 2
ii) Pengemaskinian Nama KSU, TKSU( K&P)
dan Pengarah BPM
iii) Pengemaskinian keseluruhan 8 bab polisi
Polisi Keselamatan Siber KPDNHEP
KPDNHEP-4-POL-Polisi Keselamatan Siber KPDNHEP-v1.0 Muka 4 dari 118
TERHAD
Isi Kandungan
KENAL PASTI ................................................................................................ 18
1.1 Persekitaran Perkhidmatan dan Fungsi KPDNHEP .................................... 18
1.1.1 Pelan Hala Tuju Kementerian ............................................................... 18
1.1.2 Kebergantungan Maklumat Kementerian ............................................. 19
1.2 Tadbir Urus ................................................................................................. 20
1.2.1 Ketua Setiausaha KPDNHEP ............................................................... 20
1.2.2 Ketua Pegawai Maklumat (CIO) ........................................................... 20
1.2.3 Pegawai Keselamatan ICT (ICT Security Officer) ................................. 21
1.2.4 Pengurus Komputer .............................................................................. 22
1.2.5 Pentadbir Sistem ICT............................................................................ 22
1.2.6 Pengguna ............................................................................................. 23
1.2.7 Pihak Ketiga/luar .................................................................................. 24
1.2.8 Keperluan Perundangan Dan Peraturan............................................... 26
1.3 Aset ............................................................................................................. 28
1.3.1 Kategori Maklumat dan Data ................................................................ 29
1.3.2 Platform Aplikasi dan Perisian .............................................................. 30
1.3.3 Peranti Fizikal dan Sistem .................................................................... 30
1.3.4 Pengelasan dan Pengendalian Maklumat ............................................ 31
1.3.5 Sistem Luaran ...................................................................................... 33
1.3.6 Sumber Luaran ..................................................................................... 33
1.4 Risiko .......................................................................................................... 34
1.4.1 Kerentanan ........................................................................................... 34
Polisi Keselamatan Siber KPDNHEP
KPDNHEP-4-POL-Polisi Keselamatan Siber KPDNHEP-v1.0 Muka 5 dari 118
TERHAD
1.4.2 Ancaman .............................................................................................. 34
1.4.3 Impak .................................................................................................... 35
1.4.4 Tahap Risiko ......................................................................................... 36
1.4.5 Pengolahan Risiko ................................................................................ 36
1.4.6 Pengurusan Risiko ............................................................................... 37
LINDUNG ....................................................................................................... 38
2.1 Prinsip Keselamatan ................................................................................... 38
2.1.1 Prinsip “Perlu-Tahu” ............................................................................. 38
2.1.2 Hak Keistimewaan Minimum ................................................................ 39
2.1.3 Pengasingan Tugas .............................................................................. 39
2.1.4 Kawalan Capaian Berdasarkan Peranan .............................................. 40
2.1.5 Kawalan Capaian Pengguna ................................................................ 41
2.1.6 Kawalan Capaian Rangkaian ............................................................... 42
2.1.7 Kawalan Capaian Sistem Operasi ........................................................ 43
2.1.8 Pengurusan Perkakasan ...................................................................... 45
2.1.9 Pengurusan Rangkaian ........................................................................ 52
2.1.10 Kawalan Capaian Sistem Dan Aplikasi ............................................. 58
2.1.11 Pengurusan Pembangunan dan Penyelenggaraan Sistem ............... 59
2.1.12 Kawalan Peralatan Mudah Alih ......................................................... 61
2.1.13 Peminimuman Data ........................................................................... 62
2.1.14 Pengurusan Media ............................................................................ 62
2.1.15 Keselamatan Kawasan ...................................................................... 64
2.1.16 Keselamatan Persekitaran ................................................................ 66
2.2 Teknologi .................................................................................................... 67
2.2.1 Peringkat Pemprosesan Data ............................................................... 67
Polisi Keselamatan Siber KPDNHEP
KPDNHEP-4-POL-Polisi Keselamatan Siber KPDNHEP-v1.0 Muka 6 dari 118
TERHAD
2.2.2 Elemen Dalam Persekitaran Pengkomputeran ..................................... 68
2.2.3 Kawalan Capaian ................................................................................. 70
2.2.4 Kriptografi ............................................................................................. 72
2.2.5 Pengasingan ......................................................................................... 73
2.3 Proses ......................................................................................................... 73
2.3.1 Konfigurasi Asas ................................................................................... 73
2.3.2 Kawalan Perubahan Konfigurasi .......................................................... 74
2.3.3 Sandaran (Backup) ............................................................................... 75
2.3.4 Kitaran Pengurusan Aset ...................................................................... 76
2.4 Manusia ...................................................................................................... 79
2.4.1 Kompetensi Pengguna ......................................................................... 80
2.4.2 Kompetensi Pelaksana ......................................................................... 80
2.4.3 Peranan ................................................................................................ 81
2.4.4 Bertukar atau Tamat Perkhidmatan ...................................................... 82
KESAN ........................................................................................................... 84
3.1 Pemantauan Berterusan ............................................................................. 84
3.1.1 Teknologi .............................................................................................. 84
3.1.2 Perkongsian Wawasan Dan Kecerdasan ............................................. 86
3.2 Anomali dan Peristiwa ................................................................................. 86
3.2.1 Aliran Data Asas ................................................................................... 87
3.2.2 Pengagregatan Data ............................................................................ 87
3.2.3 Korelasi ................................................................................................. 87
3.2.4 Pemberitahuan ..................................................................................... 87
3.2.5 Kenal Pasti Impak ................................................................................. 88
TINDAK BALAS .............................................................................................. 88
Polisi Keselamatan Siber KPDNHEP
KPDNHEP-4-POL-Polisi Keselamatan Siber KPDNHEP-v1.0 Muka 7 dari 118
TERHAD
4.1 Pelan Tindak balas ...................................................................................... 88
4.1.1 Laporan Insiden Keselamatan .............................................................. 89
4.2 Komunikasi.................................................................................................. 90
4.3 Analisis ........................................................................................................ 90
4.3.1 Analisis dan Pengesahan Insiden ......................................................... 91
4.3.2 Penilaian Insiden dan Impak ................................................................. 92
4.3.3 Keutamaan Insiden Keselamatan ......................................................... 92
4.3.4 Pemberitahuan Insiden ......................................................................... 92
4.3.5 Strategi Pengawalan Insiden ................................................................ 92
4.3.6 Pengumpulan Bahan Bukti ................................................................... 93
4.3.7 Penjagaan Bahan Bukti ........................................................................ 93
4.4 Mitigasi ........................................................................................................ 94
4.4.1 Pelan Mitigasi ....................................................................................... 94
4.5 Penambahbaikan ........................................................................................ 94
4.5.1 Pengajaran daripada Insiden Maklumat Keselamatan ......................... 94
PULIH ............................................................................................................. 96
5.1 Pelan Pengurusan Kesinambungan Perkhidmatan ..................................... 96
5.2 Pelan Pemulihan Bencana .......................................................................... 97
5.3 Penambahbaikan ........................................................................................ 97
PEROLEH ...................................................................................................... 98
6.1 Kenal Pasti Keperluan ................................................................................. 98
6.2 Spesifikasi Perolehan .................................................................................. 98
6.2.1 Keperluan Keselamatan ....................................................................... 98
6.2.2 Pensijilan Keselamatan ........................................................................ 99
6.2.3 Kod Sumber .......................................................................................... 99
Polisi Keselamatan Siber KPDNHEP
KPDNHEP-4-POL-Polisi Keselamatan Siber KPDNHEP-v1.0 Muka 8 dari 118
TERHAD
6.2.4 Kitar Hayat Data ................................................................................. 100
6.2.5 Kepakaran dan Teknologi Tempatan .................................................. 101
6.2.6 Kompetensi Pasukan Projek ............................................................... 101
6.3 Pengurusan Syarikat Pembekal ................................................................ 101
6.3.1 Pemilihan ............................................................................................ 101
6.3.2 Kontrak ............................................................................................... 102
6.3.3 Pemantauan syarikat pembekal dan pihak ketiga .............................. 103
6.3.4 Pengurusan Penyampaian Perkhidmatan Pihak Ketiga ..................... 104
6.4 Jejak Sumber ............................................................................................ 104
6.4.1 Pengendalian Pergerakan Peralatan .................................................. 104
6.4.2 Kawalan Versi Dokumentasi ............................................................... 105
6.5 Kitar Hayat Sistem .................................................................................... 106
6.6 Proses Pentauliahan ................................................................................. 106
6.6.1 Pentadbiran Sistem ............................................................................ 106
6.6.2 Penilaian Tahap Keselamatan ............................................................ 107
6.7 Proses Penyerahan Projek/Sistem ............................................................ 107
6.7.1 Sandaran dan Ujian Pemulihan .......................................................... 107
6.7.2 Migrasi Data ....................................................................................... 107
6.7.3 Pengurusan Perubahan ...................................................................... 107
6.8 Pelupusan ................................................................................................. 107
AUDIT KESELAMATAN ............................................................................... 108
7.1 Tahap Kematangan ................................................................................... 108
7.2 Audit Dalam............................................................................................... 108
7.3 Audit Luar .................................................................................................. 109
KUAT KUASA ............................................................................................... 110
Polisi Keselamatan Siber KPDNHEP
KPDNHEP-4-POL-Polisi Keselamatan Siber KPDNHEP-v1.0 Muka 9 dari 118
TERHAD
8.1 Penguatkuasaan Dalaman ........................................................................ 111
8.2 Pihak Berkuasa dan Skop Penguatkuasaan ............................................. 111
8.2.1 Ketua Perkhidmatan ........................................................................... 111
8.2.2 Polis DiRaja Malaysia (PDRM) ........................................................... 112
8.2.3 Suruhanjaya Komunikasi dan Multimedia Malaysia (SKMM) .............. 112
8.3 Pematuhan ................................................................................................ 112
8.3.1 Objektif ............................................................................................... 112
8.3.2 Pematuhan Dasar ............................................................................... 112
8.3.3 Pematuhan dengan Dasar, Piawaian dan Keperluan Teknikal ........... 114
8.3.4 Pematuhan kepada Prosedur Pertukaran Maklumat .......................... 114
8.3.5 Pematuhan Prosedur Operasi ............................................................ 116
8.3.6 Pematuhan Keperluan Audit ............................................................... 117
Polisi Keselamatan Siber KPDNHEP
KPDNHEP-4-POL-Polisi Keselamatan Siber KPDNHEP-v1.0 Muka 10 dari 118
TERHAD
PETUNJUK/DEFINISI
KPDNHEP Kementerian Perdagangan Dalam Negeri dan Hal Ehwal
Pengguna
PKS Polisi Keselamatan Siber KPDNHEP
CIO Chief Information Officer / Ketua Pegawai Maklumat
ICTSO Information, Communication and Technology Security Officer /
Pegawai Keselamatan ICT
Jabatan KPDNHEP dan agensi-agensi/cawangan-cawangan di
bawahnya
ICT Information, Communication and Technology / Teknologi,
Maklumat dan Komunikasi
RAKKSSA Rangka Kerja Keselamatan Siber Sektor Awam
JPICT Jawatankuasa Pemandu ICT
PII Personally Identifiable Information
CERT Computer Emergency Response Team ICT
Perkhidmatan Semua perkhidmatan yang disediakan oleh syarikat tetapi tidak
terhad kepada pengurusan projek, sesi pemindahan teknologi
(Transfer of Technology), latihan penggunaan sistem,
dokumentasi dan lain-lain lagi.
Perolehan Merujuk kepada semua jenis perolehan oleh Jabatan baik
secara dalaman atau secara luaran. Kaedah perolehan
Polisi Keselamatan Siber KPDNHEP
KPDNHEP-4-POL-Polisi Keselamatan Siber KPDNHEP-v1.0 Muka 11 dari 118
TERHAD
termasuk Sebutharga/Tender, Sewaan, Pinjaman, Lain-lain
perolehan
BYOD Bring Your Own Device - Kebenaran untuk membawa peralatan
sendiri untuk pelaksanaan tugas rasmi di pejabat.
Polisi Keselamatan Siber KPDNHEP
KPDNHEP-4-POL-Polisi Keselamatan Siber KPDNHEP-v1.0 Muka 12 dari 118
TERHAD
I. PENGENALAN
Penggunaan ICT untuk meningkatkan kecekapan dalam Penyampaian
Perkhidmatan Kerajaan merupakan salah satu langkah dalam transformasi
Sektor Awam di Malaysia. Ini bermakna maklumat atau data disimpan dan
diproses dalam bentuk digital, atau dalam erti kata lain, dalam ruang siber.
Sehubungan dengan itu, suatu rangka kerja keselamatan siber KPDNHEP
yang menyeluruh diperlukan. Rangka kerja keselamatan siber ini bertujuan
memberi panduan asas serta merangkumi kesemua komponen keselamatan
yang perlu diambil kira oleh KPDNHEP untuk melindungi maklumat dalam
ruang siber mereka. Polisi Keselamatan Siber (PKS) perlu dibangunkan di
peringkat Kementerian untuk melindungi maklumat dalam ruang siber
Kementerian.
Di samping itu juga, PKS ini juga terpakai untuk aset ICT lain yang berkaitan
di ruang siber.
II. SKOP
PKS mentakrifkan ruang siber sebagai sistem-sistem teknologi maklumat
dan komunikasi, maklumat yang disimpan dalam sistem tersebut,
manusia yang berinteraksi dengan sistem-sistem ini secara fizikal atau
maya, serta persekitaran fizikal sistem-sistem tersebut disimpan.
Maklumat yang dipindahkan dari ruang siber ke ruang fizikal (melalui cetakan,
salinan tulisan tangan, rakaman foto menggunakan peralatan fotografik)
adalah di luar skop dokumen ini dan hendaklah ditangani dengan peraturan
sedia ada.
PKS KPDNHEP ini juga merangkumi perlindungan semua bentuk maklumat
kerajaan yang dimasukkan, diwujud, dimusnah, disimpan, dijana, dicetak,
diakses, diedar dan yang dibuat salinan keselamatan.
Polisi Keselamatan Siber KPDNHEP
KPDNHEP-4-POL-Polisi Keselamatan Siber KPDNHEP-v1.0 Muka 13 dari 118
TERHAD
III. RANGKA KERJA KESELAMATAN SIBER SEKTOR AWAM (RAKKSSA)
Di peringkat projek, PKS ini hendaklah dirujuk untuk merangka Pelan
Pengurusan Keselamatan Maklumat. Pelan Pengurusan Keselamatan
Maklumat hendaklah mengandungi maklumat mengikut struktur rangka kerja
yang terdapat dalam dokumen ini. Pelan Pengurusan Keselamatan Maklumat
hendaklah disemak semula secara tahunan atau lebih kerap mengikut
keperluan.
Agensi pengauditan boleh menggunakan PKS ini untuk memastikan Pelan
Pengurusan Keselamatan Maklumat bagi pelaksanaan sistem ICTadalah
lengkap dan menentukan tahap keselamatan dan kematangan sistem.
Rajah 1 menerangkan kepada agensi-agensi Sektor Awam berkenaan hirarki
dokumen yang perlu dirujuk bagi merancang perlindungan keselamatan siber.
Rajah 1 : Hirarki Rujukan Dokumen
Terdapat tiga (3) peringkat dalam pembangunan polisi keselamatan siber.
Peringkat teratas adalah halatuju polisi umum melalui Rangka Kerja
Keselamatan Siber Sektor Awam (RAKKSSA) dan Polisi Keselamatan Siber
Sektor Awam. Peringkat seterusnya adalah Polisi Keselamatan Siber Jabatan
yang memberi perhatian kepada isu-isu khusus Jabatan. Pelan Pengurusan
Polisi Keselamatan Siber KPDNHEP
KPDNHEP-4-POL-Polisi Keselamatan Siber KPDNHEP-v1.0 Muka 14 dari 118
TERHAD
Keselamatan Maklumat dengan berpandukan RAKKSSA, Polisi Keselamatan
Siber Sektor Awam, Polisi Keselamatan Siber Jabatan dan surat
pekeliling/arahan terkini, dibangunkan untuk menangani isu-isu operasi
projek.
Polisi di peringkat pusat adalah bersifat umum dan tidak berubah dalam
jangka masa pendek. Manakala polisi di peringkat Jabatan perlu disemak
dengan lebih kerap mengikut perubahan teknologi, permintaan, keperluan,
undang-undang dan fungsi Jabatan.
Pelan Pengurusan Keselamatan Maklumat bagi projek mengandungi
maklumat terperinci, menyatakan keutamaan aplikasi, kawalan capaian dan
lain-lain keperluan khusus.
Rajah 2 : Rangka Kerja RAKKSSA
Polisi Keselamatan Siber KPDNHEP
KPDNHEP-4-POL-Polisi Keselamatan Siber KPDNHEP-v1.0 Muka 15 dari 118
TERHAD
Rangka kerja ini digunakan untuk membangunkan PKS KPDNHEP. Audit
Keselamatan dan Kuat Kuasa merupakan dua komponen yang merentasi
semua komponen.
IV. KOMPONEN POLISI KESELAMATAN SIBER
Lapan (8) komponen utama RAKKSSA digunakan untuk membangunkan
PKS seperti Rajah 3 berikut:
Rajah 3 : Komponen RAKKSSA
Polisi Keselamatan Siber KPDNHEP
KPDNHEP-4-POL-Polisi Keselamatan Siber KPDNHEP-v1.0 Muka 16 dari 118
TERHAD
V. PEMBANGUNAN DAN PENYELENGGARAAN POLISI
a) Objektif
Polisi ini bertujuan memastikan hala tuju pengurusan keselamatan
kementerian untuk melindungi ruang siber dan aset ICT selaras dengan
keperluan perundangan.
b) Pelaksanaan Polisi
Ketua Setiausaha KPDNHEP adalah bertanggungjawab ke atas
pelaksanaan arahan dengan dibantu oleh Jawatankuasa Pemandu ICT
yang terdiri daripada Ketua Pegawai Maklumat (CIO), Pengurus Komputer,
Pegawai Keselamatan ICT (ICTSO) dan lain-lain pegawai yang dilantik.
c) Penyebaran Polisi
Polisi ini perlu disebarkan kepada semua pengguna KPDNHEP (termasuk
pegawai, pembekal, pakar runding dan lain-lain yang berurusan dengan
KPDNHEP).
Penyebaran Polisi kepada pengguna akan dibuat melalui medium seperti
Intranet, Mesyuarat Pengurusan Kementerian, E-mel, Surat Makluman dan
lain-lain kaedah yang bersesuaian mengikut keperluan semasa.
Polisi Keselamatan Siber KPDNHEP
KPDNHEP-4-POL-Polisi Keselamatan Siber KPDNHEP-v1.0 Muka 17 dari 118
TERHAD
d) Penyelenggaraan Polisi
PKS KPDNHEP adalah tertakluk kepada semakan dan pindaan dari masa
ke semasa selaras dengan perubahan teknologi, aplikasi, prosedur,
perundangan dan kepentingan organisasi.
Prosedur yang berhubung dengan penyelenggaraan Polisi Keselamatan
ICT KPDNHEP adalah seperti berikut:
(i) Mengkaji semula Polisi ini sekurang-kurangnya sekali setahun bagi
mengenal pasti dan menentukan perubahan yang diperlukan;
(ii) Mengemukakan cadangan pindaan secara bertulis kepada ICTSO
untuk pembentangan dan persetujuan Jawatankuasa Pemandu ICT
(JPICT) KPDNHEP; dan
(iii) Memaklumkan perubahan yang sudah dipersetujui oleh JPICT
kepada semua pengguna.
e) Pemakaian Polisi
Polisi Keselamatan Siber KPDNHEP adalah terpakai kepada semua
pengguna ICT KPDNHEP dan tiada pengecualian diberikan melainkan
mendapat persetujuan Ketua Setiausaha Kementerian.
Polisi Keselamatan Siber KPDNHEP
KPDNHEP-4-POL-Polisi Keselamatan Siber KPDNHEP-v1.0 Muka 18 dari 118
TERHAD
KENAL PASTI
Komponen pertama dalam perancangan keselamatan siber adalah mengenal pasti
persekitaran fungsi dan perkhidmatan Jabatan, struktur tadbir urus dan aset dalam
skop perlindungan. Seterusnya, kerentanan dan ancaman ke atas aset atau
persekitaran fungsi dan perkhidmatan Jabatan perlu dikenalpasti.
Kebarangkalian risiko dan impak sesuatu insiden berlaku berpunca daripada
kerentanan dan ancaman yang dikenal pasti. Peranan dan tanggungjawab pemilik
aset dan pemilik risiko dalam struktur tadbir urus telah dikenalpasti di dalam Pelan
Pengurusan Risiko KPDNHEP. Pemilik risiko hendaklah memastikan pengolahan
risiko merangkumi proses, teknologi dan manusia.
1.1 Persekitaran Perkhidmatan dan Fungsi KPDNHEP
1.1.1 Pelan Hala Tuju Kementerian
Pelan Strategik Kementerian telah disediakan sebagai panduan dan hala
tuju KPDNHEP dalam melaksanakan program dan aktiviti yang
merangkumi empat (4) sektor utama iaitu Sektor Perdagangan Dalam
Negeri dan Sektor Kepenggunaan. Terdapat 5 Teras Strategik di dalam
Pelan Strategik Kementerian tahun 2016 hingga 2020 seperti di Rajah 4.
Polisi Keselamatan Siber KPDNHEP
KPDNHEP-4-POL-Polisi Keselamatan Siber KPDNHEP-v1.0 Muka 19 dari 118
TERHAD
Rajah 4 : Hala Tuju KPDNHEP (2016-2020)
1.1.2 Kebergantungan Maklumat Kementerian
Kebergantungan sumber maklumat diperolehi daripada kerjasama dan
ketersediaan maklumat antara bahagian, agensi di bawah Kementerian
dan agensi luar.
Maklumat tersebut perlu dikelaskan mengikut tahap kerahsiaan yang
ditetapkan oleh pemegang taroh.
Polisi Keselamatan Siber KPDNHEP
KPDNHEP-4-POL-Polisi Keselamatan Siber KPDNHEP-v1.0 Muka 20 dari 118
TERHAD
1.2 Tadbir Urus
Menerangkan peranan dan tanggungjawab individu yang terlibat dengan lebih
jelas dan teratur dalam mencapai objektif organisasi.
1.2.1 Ketua Setiausaha KPDNHEP
Peranan dan tanggungjawab Ketua Setiausaha adalah seperti berikut :
a) Memastikan semua pengguna ICT KPDNHEP memahami peruntukan-
peruntukan di bawah Polisi Keselamatan Siber KPDNHEP;
b) Memastikan semua pengguna mematuhi Polisi Keselamatan Siber
KPDNHEP;
c) Memastikan semua keperluan organisasi seperti sumber kewangan,
sumber manusia dan perlindungan keselamatan adalah mencukupi; dan
d) Memastikan penilaian risiko dan program keselamatan ICT dilaksanakan
seperti yang ditetapkan dalam Polisi Keselamatan Siber KPDNHEP.
1.2.2 Ketua Pegawai Maklumat (CIO)
Timbalan Ketua Setiausaha (Kepenggunaan & Pengurusan) adalah
merupakan Ketua Pegawai Maklumat (CIO). Peranan dan tanggungjawab
beliau adalah seperti berikut:
a) Mewujudkan dan mengetuai Jawatankuasa Teknikal TMK KPDNHEP;
b) Membantu dan menasihati Ketua Setiausaha dalam melaksanakan
tugas-tugas yang melibatkan keselamatan ICT;
c) Menentukan keperluan keselamatan ICT;
Polisi Keselamatan Siber KPDNHEP
KPDNHEP-4-POL-Polisi Keselamatan Siber KPDNHEP-v1.0 Muka 21 dari 118
TERHAD
d) Menyelaraskan pembangunan dan pelaksanaan pelan latihan dan
program kesedaran mengenai keselamatan ICT; dan
e) Menguatkuasakan Polisi Keselamatan Siber KPDNHEP bagi
memastikan semua pengguna memahami peruntukan di bawah Polisi
Keselamatan Siber KPDNHEP.
1.2.3 Pegawai Keselamatan ICT (ICT Security Officer)
Peranan dan tanggungjawab Pegawai Keselamatan ICT (ICTSO) ialah
seperti berikut:
a) Mengurus keseluruhan program-program keselamatan ICT KPDNHEP;
b) Memberi penerangan kepada pengguna berkenaan Polisi Keselamatan
Siber KPDNHEP;
c) Mewujudkan garis panduan, prosedur dan tatacara selaras dengan
keperluan Polisi Keselamatan Siber KPDNHEP;
d) Bertindak sebagai pengurus Computer Emergency Response Team ICT
(CERT);
e) Menjalankan audit, mengkaji semula, merumus tindak balas
berdasarkan hasil penemuan dan menyediakan laporan;
f) Memberi amaran terhadap kemungkinan berlakunya ancaman
keselamatan ICT dan memberi khidmat nasihat serta menyediakan
langkah-langkah perlindungan yang sesuai;
g) Memaklumkan insiden keselamatan ICT kepada CIO dan
melaporkannya kepada Computer Emergency Response Team ICT
(CERT) KPDNHEP ;
Polisi Keselamatan Siber KPDNHEP
KPDNHEP-4-POL-Polisi Keselamatan Siber KPDNHEP-v1.0 Muka 22 dari 118
TERHAD
h) Bekerjasama dengan pihak-pihak yang berkaitan dalam mengenal pasti
punca insiden dan memperakukan langkah-langkah baik pulih dengan
segera; dan
i) Menyedia dan melaksana program-program kesedaran mengenai
keselamatan ICT.
1.2.4 Pengurus Komputer
Pengarah Bahagian Pengurusan Maklumat (PBPM) adalah merupakan
Pengurus Komputer, KPDNHEP. Peranan dan tanggungjawab Pengurus
Komputer ialah :
a) Memahami dan mematuhi Polisi Keselamatan Siber KPDNHEP ;
b) Mengkaji semula dan melaksanakan kawalan keselamatan ICT selaras
dengan keperluan KPDNHEP;
c) Menentukan kawalan akses semua pengguna terhadap aset ICT
KPDNHEP;
d) Melaporkan sebarang perkara atau penemuan mengenai keselamatan
ICT kepada ICTSO; dan
e) Menyimpan rekod, bahan bukti dan laporan mengenai ancaman
keselamatan ICT KPDNHEP.
1.2.5 Pentadbir Sistem ICT
Peranan dan tanggungjawab Pentadbir Sistem ICT adalah seperti berikut:
a) Mengambil tindakan segera apabila dimaklumkan mengenai pegawai
yang berhenti, bertukar atau berlaku perubahan dalam bidang tugas.
Polisi Keselamatan Siber KPDNHEP
KPDNHEP-4-POL-Polisi Keselamatan Siber KPDNHEP-v1.0 Muka 23 dari 118
TERHAD
Jika perlu, membeku akaun pengguna yang bercuti/berkursus panjang
atau menghadapi tindakan tatatertib;
b) Memantau aktiviti capaian harian pengguna;
c) Mengenal pasti aktiviti-aktiviti tidak normal seperti pencerobohan dan
pengubahsuaian data tanpa kebenaran;
d) Menyimpan dan menganalisis rekod jejak audit;
e) Melaksanakan penyelenggaraan dan patches terkini; dan
f) Menyedia laporan mengenai aktiviti capaian kepada pihak pengurusan
dan pihak yang berkaitan dari masa ke semasa.
1.2.6 Pengguna
Pengguna adalah termasuk pegawai KPDNHEP, pegawai Kontrak,
pegawai sambilan harian, pembekal, pakar runding dan lain-lain. Peranan
dan tanggungjawab pengguna ialah:
a) Membaca, memahami dan mematuhi Polisi Keselamatan Siber
KPDNHEP;
b) Mengetahui dan memahami implikasi keselamatan ICT kesan dari
tindakannya;
c) Melaksanakan prinsip-prinsip Polisi Keselamatan Siber KPDNHEP dan
menjaga kerahsiaan maklumat;
d) Melaksanakan langkah-langkah perlindungan seperti berikut:
(i) Menghalang pendedahan maklumat kepada pihak yang tidak
dibenarkan;
Polisi Keselamatan Siber KPDNHEP
KPDNHEP-4-POL-Polisi Keselamatan Siber KPDNHEP-v1.0 Muka 24 dari 118
TERHAD
(ii) Memeriksa maklumat dan menentukan ia tepat dan lengkap dari
masa ke semasa;
(iii) Menentukan maklumat sedia untuk digunakan;
(iv) Menjaga kerahsiaan kata laluan;
(v) Mematuhi standard, prosedur, langkah dan garis panduan yang
ditetapkan;
(vi) Memberi perhatian kepada maklumat terperingkat terutama
semasa pewujudan, pemprosesan, penyimpanan, penghantaran,
penyampaian, pertukaran dan pemusnahan; dan
(vii) Menjaga kerahsiaan langkah-langkah keselamatan ICT dari
diketahui umum.
e) Menghadiri program-program kesedaran mengenai keselamatan ICT;
dan
f) Melaporkan sebarang aktiviti yang mengancam keselamatan ICT
kepada ICTSO dengan kadar segera.
1.2.7 Pihak Ketiga/luar
Pihak KPDNHEP hendaklah memastikan keselamatan penggunaan
maklumat dan kemudahan proses maklumat oleh kontraktor/pihak ketiga
dikawal. Perkara yang perlu dipatuhi adalah seperti berikut:
a) Mengenal pasti risiko keselamatan maklumat dan kemudahan
pemprosesan maklumat serta melaksanakan kawalan yang sesuai
sebelum memberi kebenaran capaian;
b) Mengenal pasti keperluan keselamatan sebelum memberi kebenaran
capaian atau penggunaan kepada pengguna luar/asing. Capaian
Polisi Keselamatan Siber KPDNHEP
KPDNHEP-4-POL-Polisi Keselamatan Siber KPDNHEP-v1.0 Muka 25 dari 118
TERHAD
kepada aset ICT KPDNHEP perlu berlandaskan kepada perjanjian
kontrak;
c) Memastikan semua syarat keselamatan dinyatakan dengan jelas dalam
perjanjian dengan pihak ketiga;
d) Perkara-perkara berikut hendaklah dimasukkan di dalam perjanjian yang
dimeterai:
i. Surat Perakuan
ii. Perakuan Akta Rahsia Rasmi 1972; dan
iii. Hak Harta Intelek.
e) Membaca, memahami dan mematuhi peraturan-peraturan yang
dinyatakan dalam Surat Pekeliling Perbendaharaan Bilangan 5 Tahun
2007 Tatacara Pengurusan Perolehan Kerajaan Secara Tender; Surat
Pekeliling Perbendaharaan Bilangan 2 Tahun 2011: Peraturan
Perolehan Perkhidmatan Perunding Bagi Projek Atau Kajian Kerajaan
yang berkaitan juga boleh dirujuk; Surat Pekeliling Perbendaharaan
Bilangan 9 Tahun 2009: Had Nilai, Kuasa Dan Tanggungjawab Lembaga
Perolehan Agensi; dan Surat Pekeliling Perbendaharaan Bil.8 Tahun
2011 Perolehan Berkaitan Information and Communication Technology
(ICT) dan Rangkaian Internet dan Surat Pekeliling Perbendaharaan Bil
3 Tahun 2013 : Garis panduan mengenai pengurusan perolehan ICT
Kerajaan.
Polisi Keselamatan Siber KPDNHEP
KPDNHEP-4-POL-Polisi Keselamatan Siber KPDNHEP-v1.0 Muka 26 dari 118
TERHAD
1.2.8 Keperluan Perundangan Dan Peraturan
Berikut adalah keperluan perundangan atau peraturan-peraturan lain yang
berkaitan yang perlu dipatuhi oleh semua pengguna ICT KPDNHEP dari
masa ke semasa iaitu seperti:
a) Arahan Keselamatan
b) Akta Rahsia Rasmi 1972
c) Akta Tandatangan Digital 1997
d) Akta Jenayah Komputer 1997
e) Akta Hak Cipta (pindaan) tahun 1997
f) Akta Komunikasi dan Multimedia 1998
g) Pekeliling Am Bilangan 3 Tahun 2000 Rangka Dasar Keselamatan
Teknologi Maklumat & Komunikasi Kerajaan oleh MAMPU
h) Pekeliling Am Bil. 1 Tahun 2001 Mekanisme Pelaporan Insiden
Keselamatan Teknologi Maklumat & Komunikasi (ICT) oleh MAMPU
i) Malaysian Public Sector Management of Information Communication
Technology Security Handbook (MyMIS) 2002 oleh MAMPU
j) Surat Pekeliling Am Bil. 6 Tahun 2005 Garis Panduan Penilaian Risiko
Keselamatan Maklumat Sektor Awam oleh MAMPU
k) Surat Arahan KSN – 2006 Langkah-langkah Untuk Mengukuhkan
Keselamatan Wireless LAN di Agensiagensi Kerajaan
l) Surat Arahan KSN–2007 Langkah-langkah Keselamatan Perlindungan
Untuk Larangan Penggunaan Telefon Bimbit atau Lain-lain Peralatan
Komunikasi ICT Tanpa Kebenaran Atau Kuasa Yang Sah
m) Arahan Teknologi Maklumat 2007
n) Akta Aktiviti Kerajaan Elektronik 2007 (Akta 680)
o) Peraturan-peraturan Pegawai Awam (Kelakuan dan Tatatertib) 1993
p) Kawalan Dokumen ISO/IEC 20007:2013
q) Polisi Media Sosial KPDNHEP
r) Rangka Kerja Keselamatan Siber Sektor Awam (RAKKSSA)
Polisi Keselamatan Siber KPDNHEP
KPDNHEP-4-POL-Polisi Keselamatan Siber KPDNHEP-v1.0 Muka 27 dari 118
TERHAD
1.2.8.1 Pembangunan Dan Penyelenggaraan Polisi
Polisi Keselamatan Siber KPDNHEP adalah tertakluk kepada semakan
dan pindaan dari masa ke semasa selaras dengan perubahan teknologi,
aplikasi, prosedur, perundangan dan kepentingan organisasi. Prosedur
yang berhubung dengan penyelenggaraan Polisi Keselamatan Siber
KPDNHEP adalah seperti berikut:
a) Mengkaji semula polisi ini sekurang-kurangnya sekali setahun bagi
mengenal pasti dan menentukan perubahan yang diperlukan;
b) Mengemukakan cadangan pindaan secara bertulis kepada ICTSO
untuk pembentangan dan persetujuan Jawatankuasa Pemandu ICT
(JPICT) KPDNHEP;
c) Memaklumkan perubahan yang sudah dipersetujui oleh JPICT
kepada semua pengguna.
1.2.8.2 Pemakluman Polisi
Polisi ini dimaklumkan kepada semua pengguna KPDNHEP (termasuk
pegawai, pembekal, pakar runding dan lain-lain yang berurusan dengan
KPDNHEP). Pemakluman polisi kepada pengguna dibuat melalui
medium seperti Intranet, Mesyuarat Pengurusan Kementerian, E-mel,
Surat Makluman dan lain-lain kaedah yang bersesuaian mengikut
keperluan semasa.
1.2.8.3 Pemakaian Polisi
Polisi Keselamatan Siber KPDNHEP adalah terpakai kepada semua
pengguna ICT KPDNHEP dan tiada pengecualian diberikan melainkan
mendapat persetujuan Ketua Setiausaha Kementerian.
Polisi Keselamatan Siber KPDNHEP
KPDNHEP-4-POL-Polisi Keselamatan Siber KPDNHEP-v1.0 Muka 28 dari 118
TERHAD
1.3 Aset
Aset merangkumi perkakasan, perisian, perkhidmatan, data atau maklumat,
manusia, premis komputer dan komunikasi. Polisi ini memberi dan menyokong
perlindungan yang optimum ke atas semua aset ICT KPDNHEP.
a) Perkakasan
Semua aset yang digunakan untuk menyokong pemprosesan maklumat
dan kemudahan storan KPDNHEP. Contoh komputer, server, peralatan
komunikasi dan sebagainya;
b) Perisian
Perisian aplikasi merangkumi semua program-program yang dipasang
di setiap komputer bagi tujuan pemprosesan data daripada pengguna.
Contoh perisian aplikasi atau perisian sistem seperti sistem
pengoperasian, sistem pangkalan data, perisian sistem rangkaian, atau
aplikasi pejabat yang menyediakan kemudahan pemprosesan maklumat
kepada KPDNHEP;
c) Perkhidmatan
Perkhidmatan atau sistem yang menyokong aset lain untuk
melaksanakan fungsi-fungsinya. Contoh:
i. Perkhidmatan rangkaian seperti LAN, WAN dan lain-lain;
ii. Sistem halangan akses seperti sistem kad akses; dan iii. Perkhidmatan sokongan seperti kemudahan elektrik,
penghawa dingin, sistem pencegah kebakaran dan lain-lain.
Polisi Keselamatan Siber KPDNHEP
KPDNHEP-4-POL-Polisi Keselamatan Siber KPDNHEP-v1.0 Muka 29 dari 118
TERHAD
d) Data atau Maklumat
Koleksi fakta-fakta dalam bentuk kertas atau mesej elektronik, yang
mengandungi maklumat-maklumat untuk digunakan bagi mencapai misi
dan objektif KPDNHEP. Contohnya sistem dokumentasi, prosedur
operasi, rekod-rekod KPDNHEP, profil-profil pelanggan, pangkalan data
dan fail-fail data, maklumat-maklumat arkib dan lain-lain;
e) Manusia
Individu yang mempunyai pengetahuan dan kemahiran untuk
melaksanakan skop kerja harian KPDNHEP bagi mencapai misi dan
objektif agensi. Individu berkenaan merupakan aset berdasarkan
kepada tugas-tugas dan fungsi yang dilaksanakan; dan
f) Premis Komputer Dan Komunikasi
Semua kemudahan serta premis yang digunakan untuk menempatkan
perkara (a) - (e) di atas.
1.3.1 Kategori Maklumat dan Data
Pengenalpastian kategori maklumat merupakan satu langkah penting agar
dapat memastikan perlindungan yang mencukupi dan bersesuaian.
Semua maklumat yang dijana atau dikumpul oleh Kementerian hendaklah
diasingkan mengikut kategori Maklumat Rasmi dan Maklumat Rahsia
Rasmi. Kedua-dua kategori boleh mengandungi Maklumat Pengenalan
Peribadi (PII atau Personally Identifiable Information).
Pengurusan Maklumat hendaklah merujuk kepada Polisi Pengurusan Data
dan Maklumat KPDNHEP.
Polisi Keselamatan Siber KPDNHEP
KPDNHEP-4-POL-Polisi Keselamatan Siber KPDNHEP-v1.0 Muka 30 dari 118
TERHAD
Aliran data merujuk kepada laluan lengkap data tertentu semasa transaksi.
Aliran data dan komunikasi dalam Jabatan hendaklah dikenal pasti,
direkodkan dan dikaji semula secara berkala.
Saluran komunikasi termasuk:
Saluran komunikasi dan aliran data antara sistem dalam Jabatan.
Saluran komunikasi dan aliran data ke sistem luar
Saluran komunikasi dan aliran data ke ruang storan pengkomputeran
awan dianggap sebagai saluran komunikasi luaran.
1.3.2 Platform Aplikasi dan Perisian
Semua platform aplikasi dan perisian hendaklah dikenal pasti, direkodkan
dan dikaji semula secara berkala.
1.3.3 Peranti Fizikal dan Sistem
Semua peranti fizikal yang digunakan dalam Jabatan hendaklah dikenal
pasti, direkodkan dan dikaji semula secara berkala. Peranti fizikal
termasuk:
Pelayan
Peranti/Peralatan Rangkaian
Komputer Peribadi
Komputer Riba
Telefon /peranti pintar
Media Storan
Peranti dengan sambungan ke internet, contohnya pengimbas,
sistem kawalan akses, alat kawalan.
Polisi Keselamatan Siber KPDNHEP
KPDNHEP-4-POL-Polisi Keselamatan Siber KPDNHEP-v1.0 Muka 31 dari 118
TERHAD
Peranti pengkomputeran peribadi milik persendirian yang digunakan
untuk urusan rasmi Kerajaan
Akauntabiliti Aset
1.3.3.1 Hak milik
Semua aset ICT Kementerian termasuk maklumat yang terkandung di
dalamnya adalah Hak Milik Kerajaan. Pengguna perlu mematuhi
perkara-perkara berikut:
a) Memastikan semua aset dikendalikan oleh pengguna yang
dibenarkan sahaja;
b) Bertanggungjawab ke atas semua aset ICT di bawah kawalannya;
dan
c) Mematuhi peraturan pengendalian aset yang berkaitan.
1.3.3.2 Inventori Aset
Semua aset ICT Kementerian hendaklah direkodkan. Ini termasuklah
mengenal pasti aset, mengelas aset mengikut tahap sensitiviti aset
berkenaan dan merekod maklumat seperti pemilikan, penempatan dan
sebagainya. (Rujuk Pekeliling Perbendaharaan Bil. 5 Tahun 2007
Tatacara Pengurusan Aset Alih Kerajaan).
1.3.4 Pengelasan dan Pengendalian Maklumat
Memastikan setiap maklumat atau aset ICT diberikan tahap perlindungan
yang bersesuaian.
Polisi Keselamatan Siber KPDNHEP
KPDNHEP-4-POL-Polisi Keselamatan Siber KPDNHEP-v1.0 Muka 32 dari 118
TERHAD
1.3.4.1 Pengelasan Maklumat
Memastikan setiap maklumat diberi perlindungan yang bersesuaian
berdasarkan kepada tahap sensitiviti masing-masing.
Maklumat hendaklah dikelaskan dan dilabelkan sewajarnya berasaskan
nilai, keperluan perundangan, tahap sensitiviti dan tahap kritikal kepada
kerajaan. Setiap maklumat yang dikelaskan sebagai Rahsia Besar,
Rahsia, Sulit dan Terhad mestilah diuruskan mengikut peringkat
keselamatan seperti dinyatakan dalam dokumen Arahan Keselamatan.
1.3.4.2 Pengendalian Maklumat
Pengendalian maklumat seperti pewujudan, pengumpulan,
pemprosesan, penyimpanan, penyalinan, penghantaran, penyampaian,
penukaran dan pemusnahan hendaklah mengambil kira langkah-
langkah keselamatan berikut :
a) Pelabelan Maklumat:
Pelabelan maklumat perlu dilakukan bagi maklumat dalam bentuk
elektronik dan hardcopy. Bagi file elektronik, setiap muka harus
dilabelkan mengikut klasifikasi dokumen yang berkenaan.
Manakala, bagi dokumen dalam bentuk hardcopy, pelabelan mesti
mengikut arahan yang telah dikeluarkan dalam Arahan
Keselamatan, di bab Keselamatan Dokumen, mukasurat 14,
seksyen III:Tanda Keselamatan.
b) Penyimpanan Maklumat:
Penyimpanan dokumen yang telah diklasifikasikan mesti mengikut
Arahan Keselamatan, di bab Keselamatan Dokumen, mukasurat
Polisi Keselamatan Siber KPDNHEP
KPDNHEP-4-POL-Polisi Keselamatan Siber KPDNHEP-v1.0 Muka 33 dari 118
TERHAD
16, seksyen IV:Penyimpanan Perkara-perkara Terperingkat.
c) Penghantaran Maklumat:
Penghantaran dokumen yang telah diklasifikasikan mesti mengikut
Arahan Keselamatan, di bab Keselamatan Dokumen:
Seksyen V: Penghantaran Dokumen Terperingkat
Seksyen VI: Membawa Dokumen Terperingkat Keluar Pejabat
Seksyen VII: Pelepasan Perkara Terperingkat
d) Pelupusan Maklumat:
Pelupusan dokumen yang telah diklasifikasikan mesti mengikut
Arahan Keselamatan, di bab Keselamatan Dokumen, mukasurat
19 seksyen VIII: Pemusnahan Dokumen Terperingkat.
1.3.5 Sistem Luaran
Sistem luaran milik agensi awam atau swasta adalah sistem yang
berintegrasi dengan sistem milik Kementerian.
1.3.6 Sumber Luaran
Perkhidmatan sumber luaran adalah perkhidmatan yang disediakan oleh
organisasi luar untuk menyokong operasi Kementerian. Contoh
perkhidmatan sumber luaran ialah:
• Perisian Sebagai Satu Perkhidmatan
• Platform Sebagai Satu Perkhidmatan
• Infrastruktur Sebagai Satu Perkhidmatan
Polisi Keselamatan Siber KPDNHEP
KPDNHEP-4-POL-Polisi Keselamatan Siber KPDNHEP-v1.0 Muka 34 dari 118
TERHAD
• Storan Pengkomputeran Awan
• Pemantauan Keselamatan
1.4 Risiko
Kementerian hendaklah mengenal pasti risiko yang berkaitan dengan aset yang
telah dikenal pasti. Risiko adalah keberangkalian Kementerian tidak mencapai
objektifnya. Penilaian risiko hendaklah dilaksanakan bagi menilai risiko
terjejasnya kerahsiaan, integriti dan ketersediaan maklumat dalam aset ICT
Kementerian dan aset ICT luaran.
Penilaian risiko hendaklah dilaksanakan sekurang-kurangnya sekali setahun
atau apabila berlaku sebarang perubahan kepada persekitaran. Pengolahan
risiko hendaklah dikenal pasti dan dilaksanakan. Rujuk Pelan Pengurusan
Risiko KPDNHEP dan Pelan Pengurusan Risiko bagi Perkhidmatan ICT
KPDNHEP.
1.4.1 Kerentanan
Kerentanan adalah kelemahan atau kecacatan aset yang mungkin
dieksploitasikan dan mengakibatkan pelanggaran keselamatan.
Kerentanan setiap aset hendaklah dikenal pasti sebagai sebahagian
daripada proses pengurusan risiko. Senarai aset yang mungkin
dieksploitasikan dan mengakibatkan pelanggaran keselamatan
1.4.2 Ancaman
Kementerian hendaklah mengenal pasti kedua-dua ancaman yang
disengajakan atau tidak disengajakan yang mungkin mengeksploitasi
sebarang kelemahan yang telah dikenal pasti.
Polisi Keselamatan Siber KPDNHEP
KPDNHEP-4-POL-Polisi Keselamatan Siber KPDNHEP-v1.0 Muka 35 dari 118
TERHAD
1.4.2.1 Kawalan dari Ancaman Teknikal
Kawalan teknikal keterdedahan ini perlu dilaksanakan ke atas sistem
pengoperasian dan sistem aplikasi yang digunakan. Perkara yang perlu
dipatuhi adalah seperti berikut:
a) Memperoleh maklumat teknikal keterdedahan yang tepat pada
masanya ke atas sistem maklumat yang digunakan;
b) Menilai tahap pendedahan bagi mengenal pasti tahap risiko yang
bakal dihadapi; dan
c) Mengambil langkah-langkah kawalan untuk mengatasi risiko
berkaitan.
1.4.3 Impak
Kementerian hendaklah menganggarkan impak insiden yang mungkin
terjadi. Impak boleh dikategorikan kepada impak teknikal dan impak
berkaitan dengan fungsi Kementerian. Impak teknikal melibatkan perkara-
perkara yang menjejaskan kerahsiaan, integriti, ketersediaan dan
akauntabiliti. Impak fungsi Jabatan melibatkan perkara-perkara dari segi
kewangan, reputasi, ketidakpatuhan dan perlanggaran privasi.
1.4.3.1 Keutamaan Insiden dan Penilaian Impak
Semua insiden keselamatan maklumat yang dikenal pasti mesti disusun
mengikut keutamaan dan berdasarkan kepada impak negatif yang
berpotensi terhadap maklumat dan/atau sistem maklumat.
Polisi Keselamatan Siber KPDNHEP
KPDNHEP-4-POL-Polisi Keselamatan Siber KPDNHEP-v1.0 Muka 36 dari 118
TERHAD
1.4.4 Tahap Risiko
Tahap risiko ditentukan daripada ancaman, kebarangkalian dan impak
risiko. Kaedah penentuan hendaklah mengikut polisi penilaian atau
pengurusan risiko yang sedang berkuat kuasa.
1.4.5 Pengolahan Risiko
Pengolahan risiko yang merangkumi elemen proses, teknologi dan
manusia hendaklah dikenal pasti dan dilaksana berdasarkan hasil
penilaian risiko. Pengolahan risiko hendaklah dikenal pasti untuk
menentukan sama ada perlu dielakkan, dikurangkan, diterima atau
dipindahkan dengan mengambil kira kos/faedahnya. Baki risiko adalah
risiko yang tinggal atau berbaki selepas pengolahan risiko dilaksanakan.
Ancaman berkaitan baki risiko dan risiko yang diterima hendaklah dipantau
secara berkala.
1.4.5.1 Teknologi
Teknologi hendaklah dikenal pasti untuk mengelak atau mengurangkan
risiko. Sebagai contoh, tembok api (firewall) digunakan untuk
menghadkan capaian logikal kepada sistem tertentu.
1.4.5.2 Proses
Kementerian hendaklah membangunkan atau mengemaskini
Perekayasaan Proses, Prosedur Operasi Standard dan Polisi sekiranya
perlu untuk pengolahan risiko.
Polisi Keselamatan Siber KPDNHEP
KPDNHEP-4-POL-Polisi Keselamatan Siber KPDNHEP-v1.0 Muka 37 dari 118
TERHAD
1.4.5.3 Manusia
Kementerian hendaklah mengenal pasti sumber manusia berkelayakan
dan kompeten yang mencukupi serta memastikan pengurusan sumber
manusia dilaksanakan sebagai pengolahan risiko yang berkesan.
1.4.6 Pengurusan Risiko
Kementerian hendaklah mengenal pasti struktur tadbir urus pengurusan
risiko untuk:
a) mengenal pasti kerentanan;
b) mengenal pasti ancaman;
c) menilai risiko;
d) menentukan pengolahan risiko;
e) memantau keberkesanan pengolahan risiko; dan
f) memantau ancaman yang berkaitan dengan baki risiko dan risiko yang
diterima.
Item (e) dan (f) di atas hendaklah dijadikan agenda tetap dan dibincangkan
sekurang-kurangnya satu(1) kali setahun dalam Mesyuarat Jawatankuasa
berkaitan di Kementerian.
Polisi Keselamatan Siber KPDNHEP
KPDNHEP-4-POL-Polisi Keselamatan Siber KPDNHEP-v1.0 Muka 38 dari 118
TERHAD
LINDUNG
Mekanisme perlindungan yang diperlukan meliputi prinsip, teknologi, proses dan
manusia. Pelan Pengurusan Keselamatan Maklumat hendaklah mengandungi semua
faktor dalam seksyen ini berdasarkan Pelan Pengurusan Risiko KPDNHEP dan Pelan
Pengurusan Risiko bagi Perkhidmatan ICT KPDNHEP.
Pelan Pengurusan Keselamatan Maklumat hendaklah mengandungi maklumat yang
berikut:
2.1 Prinsip Keselamatan
Prinsip keselamatan hendaklah dipilih berdasarkan penilaian risiko dan kategori
data yang dikendalikan oleh sistem. Objektif utama keselamatan maklumat
adalah:
Kerahsiaan
Integriti
Ketersediaan
Tanpa Sangkalan
Pengesahan
Bagi mencapai objektif tersebut, prinsip keselamatan seperti berikut perlu
dilaksanakan:
2.1.1 Prinsip “Perlu-Tahu”
Akses terhadap penggunaan aset ICT hanya diberikan untuk tujuan
spesifik dan dihadkan kepada pengguna tertentu atas dasar ”perlu
mengetahui” sahaja. Ini bermakna akses hanya akan diberikan sekiranya
peranan atau fungsi pengguna memerlukan maklumat tersebut.
Pertimbangan untuk akses adalah berdasarkan kategori maklumat seperti
Polisi Keselamatan Siber KPDNHEP
KPDNHEP-4-POL-Polisi Keselamatan Siber KPDNHEP-v1.0 Muka 39 dari 118
TERHAD
yang dinyatakan di dalam dokumen Arahan Keselamatan perenggan 53,
muka surat 15.
Bagi capaian spesifik Maklumat Rahsia Rasmi, penggunaan yang
dibenarkan hendaklah dihadkan kepada masa, lokasi dan status bekerja
pengguna tersebut.
2.1.2 Hak Keistimewaan Minimum
Hak akses pengguna hanya diberi pada tahap yang paling minimum iaitu
untuk membaca dan/atau melihat sahaja. Kelulusan adalah perlu untuk
membolehkan pengguna mewujud, menyimpan, mengemas kini,
mengubah atau membatalkan sesuatu maklumat. Hak akses adalah dikaji
dari semasa ke semasa berdasarkan kepada peranan dan tanggungjawab
pengguna/bidang tugas.
2.1.3 Pengasingan Tugas
Prinsip sekat-dan-imbang serta pengasingan tugas hendaklah
dilaksanakan bagi tugas yang kritikal supaya tidak dilaksanakan oleh
seorang pengguna sahaja yang bertindak atas kuasa tunggalnya.
Pengasingan juga merangkumi tindakan memisahkan antara kumpulan
operasi dan rangkaian.
Pengasingan Tugas dan Tanggungjawab
Perkara-perkara yang perlu dipatuhi adalah seperti berikut:
Polisi Keselamatan Siber KPDNHEP
KPDNHEP-4-POL-Polisi Keselamatan Siber KPDNHEP-v1.0 Muka 40 dari 118
TERHAD
a) Skop tugas dan tanggungjawab perlu diasingkan bagi mengurangkan
peluang berlaku penyalahgunaan atau pengubahsuaian yang tidak
dibenarkan ke atas aset ICT;
b) Tugas mewujud, memadam, mengemas kini, mengubah dan
mengesahkan data hendaklah diasingkan bagi mengelakkan daripada
capaian yang tidak dibenarkan serta melindungi aset ICT daripada
kesilapan, kebocoran maklumat terperingkat atau dimanipulasi; dan
c) Sistem yang digunakan bagi tugas membangun, mengemas kini,
menyenggara dan menguji aplikasi hendaklah diasingkan dari sistem
yang digunakan sebagai production. Persekitaran pembangunan atau
staging hendaklah diwujudkan.
2.1.4 Kawalan Capaian Berdasarkan Peranan
Kawalan capaian pengguna bertujuan mengawal capaian pengguna ke
atas aset ICT KPDNHEP dan melindunginya dari sebarang bentuk capaian
yang tidak dibenarkan yang boleh menyebabkan kerosakan.
Dasar Kawalan Capaian
Peraturan kawalan capaian hendaklah mengambil kira faktor identification,
authentication dan authorization.
Capaian sistem hendaklah dihadkan kepada pengguna yang dibenarkan
mengikut peranan dalam fungsi tugas.
Polisi Keselamatan Siber KPDNHEP
KPDNHEP-4-POL-Polisi Keselamatan Siber KPDNHEP-v1.0 Muka 41 dari 118
TERHAD
2.1.5 Kawalan Capaian Pengguna
Akaun Pengguna
a) Memastikan sistem maklumat dicapai oleh pengguna yang sah dan
menghalang capaian yang tidak sah.
b) Prosedur pendaftaran dan pembatalan kebenaran capaian pengguna
perlu diwujudkan dan didokumenkan
c) Pemilikan akaun pengguna bukanlah hak mutlak seseorang. Ia
merupakan kemudahan yang tertakluk kepada peraturan
kementerian dan boleh ditarik balik jika penggunaannya melanggar
peraturan. Langkah-langkah berikut hendaklah dipatuhi:
(i) Jangan dedahkan kata laluan. Pengguna hendaklah
merahsiakan kata laluan dari pengetahuan orang lain;
(ii) Pengguna diminta menukar kata laluan setiap satu tahun sekali
bagi mengelak akaun mudah dicerobohi;
(iii) Pengguna hendaklah menggunakan kata laluan yang sukar
diteka, sekurang-kurangnya lapan (8) aksara dengan gabungan
alphanumeric dan simbol khas. Pengecualian bagi peralatan
yang hanya menggunakan nombor sahaja sebagai kata laluan;
(iv) Pengguna adalah dilarang melakukan pencerobohan ke atas
akaun pengguna lain. Perkongsian akaun juga adalah dilarang;
dan
(v) Pentadbir sistem/e-mel boleh membeku atau menamatkan
akaun pengguna yang telah tamat perkhidmatan, bertukar atau
bercuti/berkursus panjang selepas 1 hari bekerja.
Polisi Keselamatan Siber KPDNHEP
KPDNHEP-4-POL-Polisi Keselamatan Siber KPDNHEP-v1.0 Muka 42 dari 118
TERHAD
d) Penggunaan akaun khas mesti dihadkan untuk pengguna khas sahaja
berdasarkan kepada keperluan penggunaan dan perlu mendapat
kelulusan dari Ketua Jabatan. Rekod bagi setiap akaun khas yang
diwujudkan mesti disimpan, dikaji dan diselanggara.
e) Pemberian kata laluan perlu dikawal melalui satu proses pengurusan
yang formal.
f) Semakan kepada kebenaran capaian pengguna mesti dikaji setiap
tahun.
Clear Screen and Clear Desk Policy
a) Polisi Clear Desk dan Clear Screen perlu dipatuhi supaya maklumat
dalam apa jua bentuk media hendaklah disimpan dengan teratur dan
selamat bagi mengelakkan kerosakan, kecurian atau kehilangan.
b) Memastikan peralatan pengguna yang tidak digunakan mempunyai
perlindungan keselamatan yang secukupnya.
c) Perkara yang perlu dipatuhi adalah seperti berikut:
(i) Mengaktifkan lock screen apabila meninggalkan komputer;
(ii) Menyimpan bahan-bahan sensitif di dalam laci atau kabinet fail
yang berkunci; dan
(iii) Memastikan semua dokumen diambil segera dari pencetak,
pengimbas, mesin faksimili dan mesin fotostat.
2.1.6 Kawalan Capaian Rangkaian
Menghalang capaian tidak sah dan tanpa kebenaran ke atas rangkaian
KPDNHEP. Kawalan capaian perkhidmatan rangkaian hendaklah dijamin
selamat dengan:
Polisi Keselamatan Siber KPDNHEP
KPDNHEP-4-POL-Polisi Keselamatan Siber KPDNHEP-v1.0 Muka 43 dari 118
TERHAD
a) Mewujudkan dan menguatkuasakan mekanisme untuk pengesahan
pengguna dan peralatan yang menepati kesesuaian penggunaannya.
Perkara yang perlu dipatuhi adalah seperti berikut:
(i) Memastikan pengguna boleh mencapai perkhidmatan yang
dibenarkan sahaja;
(ii) Memastikan proses pengesahan pengguna remote digunakan untuk
mengawal capaian logikal;
(iii) Pengenalan peralatan secara automatik perlu dipertimbangkan
sekira perlu sebagai satu kaedah untuk pengesahan capaian
daripada lokasi dan peralatan tertentu;
(iv) Mengawal capaian fizikal dan logikal ke atas kemudahan port
diagnostik dan konfigurasi jarak jauh;
(v) Mengasingkan capaian mengikut kumpulan perkhidmatan,
maklumat pengguna dan sistem maklumat dalam rangkaian;
(vi) Mengawal sambungan ke rangkaian, khususnya bagi kemudahan
yang dikongsi dan menjangkau sempadan KPDNHEP; dan
(vii) Mewujud dan melaksana kawalan pengalihan laluan (routing control)
untuk memastikan pematuhan ke atas peraturan KPDNHEP.
2.1.7 Kawalan Capaian Sistem Operasi
Memastikan bahawa capaian ke atas sistem operasi dikawal dan dihadkan
kepada pengguna yang dibenarkan sahaja. Kaedah yang digunakan
hendaklah menyokong perkara-perkara berikut:
a) Mengesahkan pengguna yang dibenarkan selaras dengan peraturan
KPDNHEP;
Polisi Keselamatan Siber KPDNHEP
KPDNHEP-4-POL-Polisi Keselamatan Siber KPDNHEP-v1.0 Muka 44 dari 118
TERHAD
b) Mewujudkan audit trail ke atas semua capaian sistem operasi terutama
pengguna bertaraf khas (super user);
c) Menjana amaran (alert) sekiranya berlaku pelanggaran ke atas
peraturan keselamatan sistem;
d) Menyedia kaedah sesuai untuk pengesahan capaian (authentication);
dan
e) Menghadkan tempoh penggunaan mengikut kesesuaian.
Perkara-perkara yang perlu dipatuhi adalah seperti berikut:
(i) Mengawal capaian ke atas sistem pengoperasian menggunakan
prosedur log on yang terjamin;
(ii) Mewujudkan satu pengenalan diri (ID) yang unik untuk setiap
pengguna dan hanya digunakan oleh pengguna berkenaan sahaja;
(iii) Sistem pengurusan kata laluan perlu interaktif dan mampu
mengekalkan kualiti kata laluan;
(iv) Mengehadkan dan mengawal penggunaan program;
(v) Session time out perlu diaktifkan bagi satu tempoh yang ditetapkan;
dan
(vi) Mengehadkan tempoh sambungan ke sesebuah aplikasi berisiko
tinggi.
2.1.7.1 Perlindungan Dari Malicious Code
Perlindungan bertujuan melindungi integriti perisian dan maklumat dari
pendedahan atau kerosakan yang disebabkan oleh kod jahat atau
Polisi Keselamatan Siber KPDNHEP
KPDNHEP-4-POL-Polisi Keselamatan Siber KPDNHEP-v1.0 Muka 45 dari 118
TERHAD
program merbahaya seperti virus dan Trojan. Langkah keselamatan
adalah seperti:
a) Memasang perisian antivirus dan Intrusion Prevention System (IPS)
bagi mengesan dan menghalang kemasukannya;
b) Mengemas kini pattern perisian antivirus;
c) Menghadiri program kesedaran mengenai ancaman kod jahat atau
program merbahaya;
d) Memberi amaran mengenai ancaman keselamatan ICT seperti
serangan virus;
e) Memasukkan klausa tanggungan di dalam kontrak dengan pembekal
perisian. Klausa bertujuan untuk tuntutan baik pulih sekiranya perisian
mengandungi program merbahaya; dan
f) Dalam keadaan di mana mobile code dibenarkan, konfigurasinya
hendaklah memastikan bahawa ianya beroperasi berdasarkan
kepada dasar keselamatan yang jelas dan penggunaan mobile code
yang tidak dibenarkan adalah dilarang sama sekali. Penggunaan
mobile code yang boleh mendatangkan ancaman keselamatan
ICT adalah tidak dibenarkan.
2.1.8 Pengurusan Perkakasan
2.1.8.1 Perkakasan ICT
Perkakasan ICT meliputi pelbagai peralatan ICT dan
komponennya seperti komputer mikro , komputer bimbit, tablet
PC, workstation, server, pencetak, switch, UPS dan sebagainya.
Polisi Keselamatan Siber KPDNHEP
KPDNHEP-4-POL-Polisi Keselamatan Siber KPDNHEP-v1.0 Muka 46 dari 118
TERHAD
Perkakasan yang digunakan perlu dijaga, dilindungi dan dikawal
di mana:
a) Pengguna bertanggungjawab sepenuhnya menjaga dan
melindungi segala perkakasan, komponen atau peralatan ICT
di bawah kawalannya agar sentiasa berkeadaan baik dan
lengkap sepanjang masa;
b) Setiap pengguna hendaklah memastikan semua perkakasan
ICT di bawah kawalannya disimpan di tempat yang bersih dan
selamat;
c) Pengguna dilarang memindah, menambah, membuang, atau
menukar sebarang komponen atau perkakasan ICT tanpa
kebenaran BPM;
d) Peminjaman dan pemulangan peralatan hendaklah
direkodkan oleh pegawai yang telah dipertanggungjawabkan;
e) Setiap pengguna adalah bertanggungjawab di atas
kerosakan dan kehilangan perkakasan ICT di bawah
kawalannya;
f) Setiap pengguna hendaklah melaporkan sebarang bentuk
penyelewengan atau salah guna perkakasan ICT kepada
ICTSO;
g) Penyelenggaraan peralatan ICT hanya boleh dilakukan oleh
pegawai atau pihak yang dibenarkan sahaja; dan
h) Pelupusan peralatan ICT perlu dilakukan secara terkawal dan
lengkap dan mengikut prosedur pelupusan aset yang
dikuatkuasakan. Maklumat atau kandungan dokumen
hendaklah dihapuskan terlebih dahulu sebelum pelupusan
Polisi Keselamatan Siber KPDNHEP
KPDNHEP-4-POL-Polisi Keselamatan Siber KPDNHEP-v1.0 Muka 47 dari 118
TERHAD
dilakukan. Sekiranya maklumat perlu disimpan, penduaan
bolehlah dilakukan.
2.1.8.2 Perisian
Perisian merujuk kepada atur cara/program yang dilaksanakan
oleh sistem komputer. Perisian yang digunakan perlu dilindungi
supaya kebocoran maklumat dan gangguan perkhidmatan
dapat dihindari melalui kaedah seperti berikut:
a) Pengguna dilarang memasukkan perisian yang tidak sah ke
dalam komputer masing-masing. Sebarang pemasangan
perisian yang tidak sah serta mengakibatkan kerosakan
atau kehilangan data akan dipertanggungjawabkan
sepenuhnya kepada pengguna terbabit.
b) Gunakan antivirus untuk mengimbas perisian sebelum
menggunakannya bagi memastikan perisian bebas dari
virus, worm, Trojan dan sebagainya.
c) Sebarang keperluan bagi memasukkan perisian yang baru
hendaklah dirujuk terlebih dahulu kepada BPM.
2.1.8.3 Media Storan
Media storan merupakan tempat penyimpanan maklumat seperti
USB drive, disket, CD, DVD, pita, external hard disk dan
sebagainya. Langkah keselamatan adalah bagi mengelak
maklumat atau data menjadi rosak (corrupted) atau tidak boleh
dibaca. Langkah keselamatan yang perlu diambil ialah seperti
berikut:
Polisi Keselamatan Siber KPDNHEP
KPDNHEP-4-POL-Polisi Keselamatan Siber KPDNHEP-v1.0 Muka 48 dari 118
TERHAD
a) Dilarang meninggalkan, memberi atau menyerahkan media
storan yang mengandungi maklumat penting kepada orang
lain bagi mengelakkan berlakunya pembocoran rahsia;
b) Penghapusan kandungan media storan mestilah mendapat
kebenaran pemilik maklumat terlebih dahulu;
c) Menyediakan ruang penyimpanan yang baik dan mempunyai
ciri-ciri keselamatan seperti kabinet berkunci;
d) Elakkan media dari debu atau habuk, sinaran matahari, suhu
panas dan cecair bendalir;
e) Akses untuk memasuki kawasan penyimpanan media
hendaklah dihadkan kepada pegawai yang
bertanggungjawab atau pengguna yang dibenarkan sahaja;
f) Tidak dibenarkan menyimpan data-data yang tiada kena
mengena dengan bidang tugas kerja atau pun yang dilarang
oleh pihak Kementerian; dan
g) Media storan yang digunakan hendaklah bebas daripada
serangan virus yang boleh mengganggu ketidakstabilan
sistem komputer dan rangkaian. Gunakan perisian antivirus
untuk mengimbas media storan sebelum menggunakannya.
2.1.8.4 Bekalan Kuasa
Bekalan kuasa merupakan punca kuasa elektrik yang
dibekalkan kepada peralatan ICT. Perkara yang perlu dipatuhi
bagi menjamin keselamatan bekalan kuasa adalah seperti
berikut:
Polisi Keselamatan Siber KPDNHEP
KPDNHEP-4-POL-Polisi Keselamatan Siber KPDNHEP-v1.0 Muka 49 dari 118
TERHAD
a) Melindungi semua peralatan ICT dari kegagalan bekalan
elektrik dan menyalurkan bekalan yang sesuai kepada
peralatan ICT;
b) Menggunakan peralatan sokongan seperti UPS
(Uninterruptable Power Supply) dan penjana (generator) bagi
perkhidmatan kritikal seperti di bilik server supaya mendapat
bekalan kuasa berterusan; dan
c) Menyemak dan menguji semua peralatan sokongan bekalan
kuasa secara berjadual.
2.1.8.5 Kabel
Kabel termasuk kabel elektrik dan telekomunikasi yang
menyalurkan data dan menyokong perkhidmatan penyampaian
maklumat hendaklah dilindungi. Langkah berikut hendaklah
diambil:
a) Menggunakan kabel mengikut standard dan spesifikasi yang
ditetapkan;dan
b) Kabel dan laluan pemasangan kabel sentiasa dilindungi.
2.1.8.6 Penyelenggaraan Peralatan
Perkakasan hendaklah disenggarakan dengan betul bagi
memastikan kebolehsediaan, kerahsiaan dan integriti. Langkah-
langkah keselamatan yang perlu diambil termasuklah seperti
berikut:
a) Mematuhi spesifikasi yang ditetapkan oleh pengeluar bagi
semua perkakasan yang disenggara;
Polisi Keselamatan Siber KPDNHEP
KPDNHEP-4-POL-Polisi Keselamatan Siber KPDNHEP-v1.0 Muka 50 dari 118
TERHAD
b) Memastikan perkakasan hanya disenggara oleh staf atau
pihak yang dibenarkan sahaja;
c) Menyemak dan menguji semua perkakasan sebelum dan
selepas proses penyenggaraan;
d) Memaklumkan pihak pengguna sebelum melaksanakan
penyenggaraan mengikut jadual yang ditetapkan atau atas
keperluan;
e) Bertanggungjawab terhadap setiap perkakasan bagi
penyelenggaraan perkakasan sama ada dalam tempoh
jaminan atau telah habis tempoh jaminan;
f) Semua penyelenggaraan mestilah mendapat kebenaran
daripada Pengurus ICT/Pentadbir Sistem.
2.1.8.7 Peralatan Di Luar Premis
Peralatan dan maklumat yang dibawa keluar dari pejabat
hendaklah mendapat kelulusan pegawai berkaitan dan tertakluk
kepada tujuan yang dibenarkan sahaja. Peralatan dan maklumat
perlu dilindungi dan dikawal sepanjang masa. Memastikan
aktiviti peminjaman dan pemulangan peralatan ICT direkodkan
dan menyemak peralatan yang dipulangkan berada dalam
keadaan baik dan lengkap.
2.1.8.8 Pengendalian Peralatan Luar Yang Dibawa Masuk
Bagi peralatan yang dibawa masuk ke premis kerajaan, perkara
yang perlu dipatuhi adalah seperti berikut:
Polisi Keselamatan Siber KPDNHEP
KPDNHEP-4-POL-Polisi Keselamatan Siber KPDNHEP-v1.0 Muka 51 dari 118
TERHAD
a) Memastikan peralatan yang dibawa masuk tidak mengancam
keselamatan ICT KPDNHEP;
b) Mendapatkan kelulusan mengikut peraturan yang telah
ditetapkan oleh KPDNHEP bagi membawa masuk/keluar
peralatan; dan
c) Memeriksa dan memastikan peralatan ICT yang dibawa
keluar tidak mengandungi maklumat kerajaan. Ia perlu disalin
dan dihapuskan.
2.1.8.9 Pelupusan Peralatan
Pelupusan melibatkan semua peralatan ICT yang telah rosak,
usang dan tidak boleh dibaiki sama ada harta modal atau
inventori yang dibekalkan oleh KPDNHEP dan ditempatkan di
KPDNHEP. Peralatan ICT yang hendak dilupuskan perlu
melalui prosedur pelupusan semasa. Pelupusan perlu
dilakukan secara terkawal dan lengkap supaya maklumat tidak
terlepas dari kawalan KPDNHEP. Perkara-perkara yang perlu
dipatuhi adalah seperti berikut:
a) Semua kandungan peralatan khususnya maklumat rahsia
rasmi hendaklah dihapuskan terlebih dahulu sebelum
pelupusan sama ada melalui shredding, grinding, degauzing
atau pembakaran. Sekiranya maklumat perlu disimpan, maka
pengguna bolehlah membuat penduaan; dan
b) Peralatan ICT yang akan dilupuskan sebelum dipindah-milik
hendaklah dipastikan data-data dalam storan telah
dihapuskan dengan cara yang selamat.
Polisi Keselamatan Siber KPDNHEP
KPDNHEP-4-POL-Polisi Keselamatan Siber KPDNHEP-v1.0 Muka 52 dari 118
TERHAD
Maklumat lanjut mengenai pelupusan aset boleh merujuk
kepada “Pekeliling Perbendaharaan Bil. 5 Tahun 2007 Tatacara
Pengurusan Aset Alih Kerajaan”.
2.1.9 Pengurusan Rangkaian
2.1.9.1 Keselamatan Pusat Data
Untuk memastikan server sentiasa selamat dari pencerobohan
atau gangguan beberapa langkah boleh diambil seperti:
a) Semua server hendaklah diletakkan di pusat data atau bilik
khas yang mempunyai sistem keselamatan yang baik. Pintu
bilik hendaklah sentiasa tertutup dan berkunci;
b) Sistem penghawa dingin hendaklah dihidupkan 24 jam
sehari. Suhu persekitaran hendaklah berada di dalam
lingkungan 20 – 25 darjah Celsius dan kelembapan di paras
50.7%;
c) Kesemua peralatan komputer di bilik server hendaklah
dilengkapi dengan kemudahan UPS atau Generator;
d) Alat pemadam api hendaklah diletakkan di tempat yang
mudah dilihat, tidak terhalang oleh sesuatu, mudah dicapai,
tidak melepasi tarikh luput serta diselenggarakan dengan
baik;
e) Hanya pegawai atau pegawai yang dibenarkan sahaja yang
boleh memasuki pusat data;
Polisi Keselamatan Siber KPDNHEP
KPDNHEP-4-POL-Polisi Keselamatan Siber KPDNHEP-v1.0 Muka 53 dari 118
TERHAD
f) Kontraktor/vendor dibenarkan memasuki pusat data dengan
diiringi oleh seorang pegawai/pegawai BPM dan hendaklah
mendaftar di buku log yang disediakan; dan
g) Setiap server hendaklah dilabelkan bagi memudahkan
pentadbir sistem menjalankan tugas.
2.1.9.2 Pengurusan Komunikasi
Komunikasi adalah merujuk kepada penghantaran dan
penerimaan maklumat dari satu media ke satu media yang lain
yang dirangkaikan secara fizikal (berwayar) atau wireless (tanpa
wayar). Contoh rangkaian komunikasi ialah Intranet dan
Internet. Pergerakan maklumat dalam rangkaian adalah
menggunakan kemudahan aplikasi seperti mel elektronik, ftp
dan pelayar (browser).
Kawalan ke atas infrastruktur rangkaian dan peralatan rangkaian
seperti switch, router, bridge, peralatan PABX dan sebagainya
adalah amat penting bagi menjaga kerahsiaan dan integriti
maklumat yang dihantar dan diterima.
2.1.9.3 Keselamatan Peralatan Komunikasi
Pengguna dilarang menggunakan telefon, telefon bimbit
termasuk yang berkamera atau lain-lain peralatan alat
komunikasi ICT tanpa kebenaran untuk menyalin, merakam,
menyimpan, menyiar, menyebar atau menyampaikan maklumat
terperingkat atau maklumat rahsia rasmi.
Polisi Keselamatan Siber KPDNHEP
KPDNHEP-4-POL-Polisi Keselamatan Siber KPDNHEP-v1.0 Muka 54 dari 118
TERHAD
2.1.9.4 Keselamatan Rangkaian
Infrastruktur rangkaian mesti dikawal dan diurus dengan baik
bagi melindungi aset ICT dan aplikasi ICT di dalam rangkaian.
Langkah-langkah keselamatan rangkaian adalah seperti berikut:
a) Hanya warga KPDNHEP sahaja yang dibenarkan
menggunakan rangkaian KPDNHEP. Pengguna luar yang
hendak menggunakan kemudahan rangkaian KPDNHEP
hendaklah dengan kebenaran BPM;
b) Tanggungjawab atau kerja-kerja operasi rangkaian
KPDNHEP adalah diasingkan untuk mengurangkan capaian
dan pengubahsuaian yang tidak dibenarkan;
c) Peralatan rangkaian hendaklah ditempatkan di lokasi yang
mempunyai ciri-ciri fizikal yang kukuh, selamat dan bebas dari
risiko seperti banjir, kilat, gegaran, habuk dan sebagainya;
d) Peralatan rangkaian hendaklah dikawal dan hanya boleh
dicapai oleh pegawai yang dibenarkan sahaja;
e) Konfigurasi peralatan rangkaian hendaklah mengaktifkan
perkhidmatan atau nombor port yang diperlukan sahaja,
mematikan penyiaran trafik (network broadcast),
menggunakan kata laluan yang selamat, dan dilaksanakan
oleh pegawai yang terlatih dan dibenarkan sahaja;
f) Semua trafik rangkaian daripada dalam dan ke luar
Kementerian dan sebaliknya mestilah melalui firewall dan
hanya trafik yang disahkan sahaja dibenarkan untuk
melepasinya;
Polisi Keselamatan Siber KPDNHEP
KPDNHEP-4-POL-Polisi Keselamatan Siber KPDNHEP-v1.0 Muka 55 dari 118
TERHAD
g) Semua permohonan baru untuk mendapat sambungan
rangkaian mestilah melalui pentadbir rangkaian.
h) Pengguna adalah dilarang untuk menukar atau meletakkan
alamat IP di dalam komputer masing-masing tanpa
kebenaran;
i) Sebarang permohonan untuk menggunakan statik IP
hendaklah melalui pentadbir rangkaian;
j) Kemudahan dial-up hanya dibenarkan untuk tujuan rasmi dan
permohonan dibuat melalui pentadbir rangkaian. Pengguna
yang menggunakan kemudahan dial-up hendaklah
mengimbas keseluruhan komputer dahulu sebelum membuat
penyambungan semula ke rangkaian KPDNHEP;
k) Perkakasan keselamatan hendaklah dipasang bagi
menghalang pencerobohan dan aktiviti-aktiviti lain yang boleh
mengancam sistem dan rangkaian KPDNHEP; dan
l) Perisian penganalisis rangkaian (network analyzer) atau
pengintip (sniffer) adalah dilarang dipasang pada komputer
pengguna kecuali mendapat kebenaran ICTSO.
Ciri-ciri keselamatan dan keperluan pengurusan bagi semua
servis rangkaian perlu dikenalpasti dan dinyatakan dalam
perjanjian yang melibatkan servis rangkaian.
2.1.9.5 Keselamatan Rangkaian Tanpa Wayar
Penggunaan rangkaian tanpa wayar perlu dikawal bagi
memastikan keselamatan data dan maklumat Kerajaan sentiasa
terpelihara. Langkah-langkah keselamatan yang perlu diambil
Polisi Keselamatan Siber KPDNHEP
KPDNHEP-4-POL-Polisi Keselamatan Siber KPDNHEP-v1.0 Muka 56 dari 118
TERHAD
untuk pemasangan rangkaian tanpa wayar adalah seperti
berikut :
a) Pemasangan rangkaian tanpa wayar perlu mendapat
kelulusan ICTSO;
b) Memasang peralatan keselamatan tambahan seperti firewall
dan content filtering bagi memastikan rangkaian tidak
dicerobohi; dan
c) Menggunakan enkripsi dan network key yang kukuh dengan
kombinasi pelbagai aksara, nombor dan aksara khas.
Maklumat lanjut mengenai keselamatan rangkaian tanpa wayar
boleh dirujuk di dalam Malaysia Public Sector Management of
ICT Security Handbook (MyMIS) dan Surat Ketua Setiausaha
Negara bertarikh 20 Oktober 2006 “Langkah-langkah untuk
memperkukuhkan keselamatan rangkaian setempat tanpa
wayar (Wireless Local Area Network) di Agensi-agensi
Kerajaan”.
2.1.9.6 Keselamatan Internet
Pengguna hendaklah menggunakan kemudahan Internet
dengan cara yang bertanggungjawab. Langkah-langkah
keselamatan Internet adalah seperti berikut:
a) Bahan yang diperoleh dari Internet hendaklah ditentukan
ketepatan dan kesahihannya; Laman web yang dilayari
hendaklah hanya yang berkaitan dengan bidang kerja dan
terhad untuk tujuan yang dibenarkan;
Polisi Keselamatan Siber KPDNHEP
KPDNHEP-4-POL-Polisi Keselamatan Siber KPDNHEP-v1.0 Muka 57 dari 118
TERHAD
b) Sebarang bahan yang dimuat turun dari Internet hendaklah
digunakan untuk tujuan yang dibenarkan oleh Kementerian;
c) Pengguna dilarang menyedia, memuat naik, memuat turun,
menyimpan, mengguna dan menyebar maklumat atau bahan
yang mempunyai unsur-unsur perjudian, keganasan,
pornografi, fitnah, hasutan, perkara yang bercorak
penentangan yang boleh membawa keadaan huru-hara serta
maklumat yang menyalahi undang-undang;
d) Capaian laman yang berbentuk hiburan, hobi atau leisure
seperti radio online, tv online, video streaming, aktiviti chatting
yang membebankan rangkaian tidak dibenarkan kerana akan
mengganggu prestasi rangkaian;
e) Sebarang aktiviti memuat turun fail yang mempunyai virus,
spyware, worm, dan sebagainya yang boleh mengancam
keselamatan komputer dan rangkaian adalah dilarang sama
sekali; dan
f) Pentadbir sistem berhak menapis, menghalang dan
mencegah penggunaan mana-mana laman web yang
dianggap tidak sesuai.
g) Permohonan untuk mengakses laman web yang disekat pada
waktu pejabat adalah perlu mendapat kelulusan KSU.
Maklumat lanjut mengenai keselamatan Internet boleh dirujuk
kepada Pekeliling Kemajuan Pentadbiran Am Bil. 1 Tahun 2003
Garis Panduan Mengenai Tatacara Penggunaan Internet dan Mel
Elektronik di Agensi-agensi Kerajaan.
Polisi Keselamatan Siber KPDNHEP
KPDNHEP-4-POL-Polisi Keselamatan Siber KPDNHEP-v1.0 Muka 58 dari 118
TERHAD
2.1.9.7 Keselamatan Laman Web dan Intranet Kementerian
Semua maklumat rasmi yang hendak dimuatkan di laman web
Kementerian hendaklah mendapat kelulusan pihak pengurusan.
Pautan ke laman web Kementerian atau sebaliknya oleh syarikat
atau agensi luar hendaklah dengan kebenaran ICTSO dan CIO.
Pencerobohan atau cubaan untuk menggodam laman web
Kementerian atau mana-mana laman web adalah dilarang.
2.1.9.8 Keselamatan Media Sosial
a) Pentadbir akaun media sosial Kementerian perlulah daripada
pegawai tetap Kementerian dari BPM atau UKK.
b) Kandungan media sosial mestilah tidak bercanggah dengan
Dasar Kerajaan.
c) Pengguna dilarang untuk membuat capaian kepada media
sosial peribadi pada waktu bekerja.
Maklumat lanjut mengenai keselamatan media sosial boleh
dirujuk kepada Penerapan Etika Penggunaan Media Sosial
dalam Sektor Awam yang dikeluarkan oleh pihak MAMPU.
2.1.10 Kawalan Capaian Sistem Dan Aplikasi
Capaian terhadap sistem/aplikasi adalah terhad kepada
pengguna dan tujuan yang dibenarkan. Bagi memastikan
kawalan capaian sistem maklumat dan aplikasi adalah kukuh,
langkah-langkah berikut hendaklah dipatuhi:
Polisi Keselamatan Siber KPDNHEP
KPDNHEP-4-POL-Polisi Keselamatan Siber KPDNHEP-v1.0 Muka 59 dari 118
TERHAD
a) Pengguna hanya boleh menggunakan sistem maklumat dan
aplikasi mengikut tahap capaian yang dibenarkan dan
sensitiviti maklumat yang telah ditentukan;
b) Memaparkan notis amaran pada skrin pengguna sebelum
pengguna memulakan capaian bagi melindungi maklumat dari
sebarang bentuk penyalahgunaan;
c) Menghadkan capaian kepada 3 kali percubaan. Sekiranya
gagal, akaun atau kata laluan pengguna akan disekat;
d) Memastikan kawalan sistem rangkaian adalah kukuh dan
lengkap dengan ciri-ciri keselamatan bagi mengelak aktiviti
dan capaian yang tidak sah; dan
e) Sistem yang sensitif perlu diasingkan.
2.1.11 Pengurusan Pembangunan dan Penyelenggaraan Sistem
2.1.11.1 Keperluan Keselamatan Sistem Maklumat
a) Perolehan, pembangunan, penambahbaikan dan penyelenggaraan
sistem hendaklah mengambil kira kawalan keselamatan bagi
memastikan tidak wujudnya sebarang ralat yang boleh
mengganggu pemprosesan dan ketepatan maklumat;
b) Ujian keselamatan hendaklah dijalankan ke atas sistem input untuk
menyemak pengesahan dan integriti data yang dimasukkan, sistem
pemprosesan untuk menentukan sama ada program berjalan
dengan betul dan sempurna dan; sistem output untuk memastikan
data yang telah diproses adalah tepat;
c) Aplikasi perlu mengandungi semakan pengesahan (validation)
untuk mengelakkan sebarang kerosakan maklumat akibat
kesilapan pemprosesan atau perlakuan yang disengajakan; dan
Polisi Keselamatan Siber KPDNHEP
KPDNHEP-4-POL-Polisi Keselamatan Siber KPDNHEP-v1.0 Muka 60 dari 118
TERHAD
d) Semua sistem yang dibangunkan sama ada secara dalaman atau
sebaliknya hendaklah diuji terlebih dahulu bagi memastikan sistem
berkenaan memenuhi keperluan keselamatan yang telah
ditetapkan sebelum digunakan.
2.1.11.2 Kawalan Fail Sistem
Perkara-perkara yang perlu dipatuhi adalah seperti berikut:
a) Proses pengemaskinian fail sistem hanya boleh dilakukan oleh
Pentadbir Sistem ICT atau pegawai yang berkenaan;
b) Kod atau atur cara sistem yang telah dikemas kini hanya boleh
dilaksanakan atau digunakan selepas diuji;
c) Mengawal capaian ke atas kod atau atur cara program bagi
mengelakkan kerosakan, pengubahsuaian tanpa kebenaran,
penghapusan dan kecurian;
d) Data ujian perlu dipilih dengan berhati-hati, dilindungi dan dikawal;dan
e) Mengaktifkan audit log bagi merekodkan semua aktiviti
pengemaskinian untuk tujuan statistik, pemulihan dan
keselamatan.
2.1.11.3 Perancangan dan Penerimaan Sistem
Meminimumkan risiko yang menyebabkan gangguan atau kegagalan
sistem. Perkara-perkara yang mesti dipatuhi termasuk yang berikut:
a) Kapasiti sesuatu komponen atau sistem ICT hendaklah dirancang,
diurus dan dikawal dengan teliti oleh pegawai yang berkenaan bagi
memastikan keperluannya adalah mencukupi dan bersesuaian untuk
pembangunan dan kegunaan sistem ICT pada masa akan datang;
Polisi Keselamatan Siber KPDNHEP
KPDNHEP-4-POL-Polisi Keselamatan Siber KPDNHEP-v1.0 Muka 61 dari 118
TERHAD
b) Penggunaan peralatan dan sistem mestilah dipantau dan
perancangan perlu dibuat bagi memenuhi keperluan kapasiti di masa
akan datang untuk memastikan prestasi sistem di tahap optimum;
c) Kriteria penerimaan untuk peralatan dan sistem baru, peningkatan
dan versi baru perlu ditetapkan dan ujian yang sesuai ke atasnya
perlu dibuat semasa pembangunan dan sebelum penerimaan sistem;
dan
d) Semua sistem baru (termasuklah sistem yang dikemas kini atau
diubahsuai) hendaklah memenuhi kriteria yang ditetapkan sebelum
diterima atau dipersetujui.
2.1.12 Kawalan Peralatan Mudah Alih
Memastikan keselamatan maklumat semasa menggunakan peralatan
mudah alih. Perkara yang perlu dipatuhi adalah seperti berikut:
a) Mewujudkan peraturan dan garis panduan keselamatan yang
bersesuaian untuk melindungi dari risiko penggunaan peralatan mudah
alih dan kemudahan komunikasi;
b) Pengguna bertanggungjawab menentukan maklumat berperingkat dan
ia perlu melalui proses encryption yang dibenarkan sebelum dihantar
atau disalurkan ke dalam sistem rangkaian yang tidak selamat (seperti
Internet, Mobil-GSM, Infrared, Bluetooth, WAP, 3G dan sebagainya);
dan
c) Mewujudkan peraturan dan garis panduan bagi aktiviti teleworking
dengan mengambil kira kawalan keselamatan dan polisi keselamatan
KPDNHEP.
Polisi Keselamatan Siber KPDNHEP
KPDNHEP-4-POL-Polisi Keselamatan Siber KPDNHEP-v1.0 Muka 62 dari 118
TERHAD
2.1.13 Peminimuman Data
Peminimuman data perlu diamalkan bagi menghadkan penyimpanan data
peribadi kepada yang diperlukan dan disimpan dalam tempoh yang
diperlukan sahaja.
2.1.14 Pengurusan Media
Melindungi aset ICT dari sebarang pendedahan, pengubahsuaian,
pemindahan atau pemusnahan serta gangguan ke atas aktiviti
perkhidmatan. Penghantaran atau pemindahan media ke luar pejabat
hendaklah mendapat kebenaran daripada pemilik terlebih dahulu.
2.1.14.1 Pengendalian Media Boleh Ubah
Prosedur bagi pengurusan pengendalian media boleh ubah perlu
diwujudkan. Perkara-perkara yang perlu dipatuhi adalah seperti berikut:
a) Melabelkan semua media mengikut tahap sensitiviti sesuatu
maklumat;
b) Menghadkan dan menentukan capaian media kepada pengguna
yang dibenarkan sahaja;
c) Menghadkan pengedaran data atau media untuk tujuan yang
dibenarkan sahaja;
d) Mengawal dan merekodkan aktiviti penyelenggaraan media bagi
mengelak dari sebarang kerosakan dan pendedahan yang tidak
dibenarkan;
e) Menyimpan semua media di tempat yang selamat; dan
Polisi Keselamatan Siber KPDNHEP
KPDNHEP-4-POL-Polisi Keselamatan Siber KPDNHEP-v1.0 Muka 63 dari 118
TERHAD
f) Media yang mengandungi maklumat terperingkat yang hendak
dihapuskan, dimusnahkan atau dilupuskan mesti mengikut prosedur
yang betul dan selamat.
g) Prosedur pengendalian dan penyimpanan maklumat perlu
diwujudkan utuk melindungi maklumat daripada keterdedahan dan
penyalahgunaan
Butiran lanjut mengenai pengurusan aset boleh dirujuk pada “Pekeliling
Perbendaharaan Bil. 5 Tahun 2007 Tatacara Pengurusan Aset Alih
Kerajaan” dan Arahan Keselamatan, di bab Keselamatan Dokumen bagi
butiran lanjut mengenai prosedur pengendalian dan penyimpanan
maklumat.
2.1.14.2 Keselamatan Sistem Dokumentasi
Dokumentasi sistem perlu dilindungi dari capaian yang dibenarkan.
Langkah- langkah pengurusan dokumentasi yang baik dan selamat
perlu dilaksanakan bagi memastikan integriti maklumat.
Perkara yang perlu dipatuhi adalah seperti berikut:
a) Memastikan sistem dokumentasi atau penyimpanan maklumat adalah
selamat dan terjamin;
b) Menggunakan tanda atau label keselamatan seperti rahsia besar,
rahsia, sulit atau terhad pada dokumen;
c) Mewujudkan sistem pengurusan dokumen terperingkat bagi
menerima, memproses, menyimpan dan menghantar dokumen-
dokumen tersebut supaya ianya diuruskan berasingan daripada
dokumen-dokumen tidak terperingkat;
Polisi Keselamatan Siber KPDNHEP
KPDNHEP-4-POL-Polisi Keselamatan Siber KPDNHEP-v1.0 Muka 64 dari 118
TERHAD
d) Menggunakan enkripsi (encryption) ke atas dokumen terperingkat
yang disediakan dan dihantar secara elektronik; dan
e) Mengawal dan merekodkan semua aktiviti capaian sistem
dokumentasi sedia ada.
2.1.15 Keselamatan Kawasan
Memastikan langkah-langkah keselamatan yang diadakan adalah sejajar
dengan Arahan Keselamatan, di bab Keselamatan Fizikal, mukasurat 5 –
7, seksyen I: Kawasan Terperingkat; seksyen II:Keselamatan Bangunan;
seksyen III: Perkhidmatan Pengawalan Keselamatan; seksyen IV: Pas
Keselamatan, Kad Pengenalan Jabatan, Kad Kuasa dan Kad Perlantikan;
dan seksyen VI: Kawalan Kunci Keselamatan.
2.1.15.1 Kawalan Kawasan Fizikal
Bertujuan untuk mencegah akses fizikal yang tidak dibenarkan,
kerosakan dan gangguan kepada premis dan maklumat. Langkah
keselamatan yang perlu diikuti adalah seperti:
a) Mengenal pasti kawasan keselamatan fizikal. Lokasi dan
keteguhan keselamatan fizikal hendaklah bergantung kepada
keperluan untuk melindungi aset;
b) Menggunakan keselamatan perimeter (halangan seperti dinding,
pagar kawalan, pengawal keselamatan) untuk melindungi kawasan
yang mengandungi maklumat dan kemudahan pemprosesan
maklumat;
c) Menyediakan tempat atau bilik khas untuk pelawat-pelawat;
Polisi Keselamatan Siber KPDNHEP
KPDNHEP-4-POL-Polisi Keselamatan Siber KPDNHEP-v1.0 Muka 65 dari 118
TERHAD
d) Melindungi kawasan terhad melalui kawalan pintu masuk yang
bersesuaian bagi memastikan pegawai yang diberi kebenaran
sahaja boleh melalui pintu masuk ini;
e) Mengadakan kaunter kawalan;
f) Memasang alat penggera, kamera litar tertutup (CCTV) dan
seumpamanya;
g) Mewujudkan perkhidmatan kawalan keselamatan;
h) Mereka bentuk dan melaksanakan keselamatan fizikal di dalam
pejabat, bilik dan kemudahan;
i) Mereka bentuk dan melaksanakan perlindungan fizikal dari
kebakaran, banjir, letupan, kacau-bilau dan bencana; dan
j) Memastikan kawasan-kawasan penghantaran dan pemunggahan
dan juga tempat-tempat lain dikawal dari pihak yang tidak diberi
kebenaran memasukinya.
k) Mereka bentuk dan melaksanakan perlindungan fizikal dan
panduan untuk pegawai yang bertugas di kawasan terhad.
2.1.15.2 Kawalan Keluar Masuk
a) Setiap warga KPDNHEP hendaklah memakai pas keselamatan
sepanjang waktu bertugas;
b) Semua pas keselamatan hendaklah diserah balik kepada jabatan
apabila pengguna berhenti, bertukar atau bersara;
c) Setiap pelawat hendaklah mendapatkan pas pelawat dan
hendaklah dipulangkan selepas tamat lawatan;
Polisi Keselamatan Siber KPDNHEP
KPDNHEP-4-POL-Polisi Keselamatan Siber KPDNHEP-v1.0 Muka 66 dari 118
TERHAD
d) Kehilangan pas mestilah dilaporkan dengan segera kepada
Pegawai Keselamatan Kementerian; dan
e) Maklumat pelawat seperti tarikh, masa dan tempat dituju
hendaklah direkod dan dikawal.
2.1.15.3 Kawasan Larangan
Kawasan larangan ialah kawasan yang dihadkan kemasukan untuk
pegawai-pegawai tertentu sahaja. Kawasan larangan di KPDNHEP ialah
seperti bilik Ketua Setiausaha, bilik-bilik Timbalan Ketua Setiausaha dan
Pengarah Bahagian, pusat data, bilik fail dan bilik sulit yang
menempatkan peralatan rangkaian dan telekomunikasi.
Pihak ketiga dilarang memasuki kawasan larangan kecuali bagi kes-
kes tertentu seperti memberi perkhidmatan sokongan atau bantuan
teknikal. Mereka hendaklah diiringi sepanjang masa sehingga tugas di
kawasan berkenaan selesai.
2.1.16 Keselamatan Persekitaran
Kawasan yang mempunyai kemudahan ICT hendaklah dilengkapi dengan
perlindungan keselamatan yang mencukupi dan dibenarkan seperti alat
pencegah kebakaran dan pintu kecemasan.
Peralatan perlindungan hendaklah dipasang di tempat yang sesuai, mudah
dikenali dan dikendalikan. Peralatan hendaklah disenggarakan dengan
baik sekurang-kurangnya 1 kali setahun.
Kecemasan persekitaran seperti kebakaran dan kebocoran air hendaklah
dilaporkan segera kepada pihak yang bertanggungjawab.
Polisi Keselamatan Siber KPDNHEP
KPDNHEP-4-POL-Polisi Keselamatan Siber KPDNHEP-v1.0 Muka 67 dari 118
TERHAD
2.2 Teknologi
Teknologi untuk melindungi data hendaklah dikenal pasti di semua peringkat
pemprosesan data dan pada setiap elemen pengkomputeran.
2.2.1 Peringkat Pemprosesan Data
2.2.1.1 Data-dalam-simpanan
Teknologi yang bersesuaian hendaklah digunakan untuk melindungi
data-dalam-simpanan bagi menghalang capaian data yang tidak
dibenarkan dan memelihara integriti data. Teknologi dan langkah-
langkah perlindungan hendaklah dipilih berdasarkan penilaian risiko
untuk melindungi data-dalam-simpanan.
2.2.1.2 Data-dalam-pergerakan
Teknologi yang bersesuaian hendaklah digunakan untuk melindungi
data-dalam-pergerakan bagi menghalang capaian data yang tidak
dibenarkan dan memelihara integriti data. Teknologi dan langkah-
langkah perlindungan hendaklah dipilih berdasarkan penilaian risiko
untuk melindungi data-dalam-pergerakan.
2.2.1.3 Data-dalam-penggunaan
Kementerian hendaklah menggunakan teknologi yang bersesuaian
untuk melindungi data-dalam-penggunaan bagi menghalang capaian
data yang tidak dibenarkan dan memelihara integriti data. Di samping
itu, teknologi untuk menentukan kesahihan data mungkin diperlukan.
Polisi Keselamatan Siber KPDNHEP
KPDNHEP-4-POL-Polisi Keselamatan Siber KPDNHEP-v1.0 Muka 68 dari 118
TERHAD
Teknologi dan langkah-langkah perlindungan hendaklah dipilih
berdasarkan penilaian risiko untuk melindungi data-dalam-
penggunaan.
2.2.1.4 Perlindungan Ketirisan Data
Teknologi perlindungan ketirisan data bertujuan untuk menghalang
pengguna yang sah daripada menyebarkan maklumat tanpa
kebenaran. Teknologi dan langkah-langkah perlindungan hendaklah
dipilih berdasarkan penilaian risiko untuk menghalang atau mengesan
ketirisan data.
2.2.2 Elemen Dalam Persekitaran Pengkomputeran
Berdasarkan penilaian risiko dan pelan pengurusan risiko, teknologi dan
kawalan keselamatan yang digunakan mestilah dapat melindungi data di
semua peringkat saluran pemprosesan dan bagi semua elemen dalam
persekitaran pengkomputeran.
Maklumat Rahsia Rasmi hendaklah disimpan dan diproses dalam elemen
persekitaran pengkomputeran yang disahkan oleh CGSO.
Teknologi dan kawalan keselamatan yang dikenal pasti untuk melindungi
data-dalam-penggunaan, data-dalam-pergerakan, data-dalam-simpanan
dan menghalang ketirisan data hendaklah diperincikan dalam Pelan
Pengurusan Keselamatan Maklumat.
Pelan Pengurusan Keselamatan Maklumat hendaklah mengandungi
maklumat terperinci berhubung seni bina sistem, teknologi dan kawalan
keselamatan bagi setiap kategori elemen di bawah:
Polisi Keselamatan Siber KPDNHEP
KPDNHEP-4-POL-Polisi Keselamatan Siber KPDNHEP-v1.0 Muka 69 dari 118
TERHAD
Peranti pengkomputeran peribadi
Peranti Rangkaian
Aplikasi
Pelayan
Persekitaran fizikal
2.2.2.1 Peranti Pengkomputeran Peribadi
Peranti pengkomputeran peribadi merujuk kepada peranti komputer
yang digunakan oleh manusia untuk berinteraksi dengan sistem.
Contoh peranti pengkomputeran peribadi adalah komputer riba, stesen
kerja, telefon pintar, tablet, dan peranti storan.
Pengguna yang menggunakan peranti pengkomputeran peribadi milik
persendirian untuk mencapai Maklumat Rasmi hendaklah memohon
kebenaran daripada Kementerian. Walau bagaimanapun, peranti
pengkomputeran peribadi milik pensendirian hendaklah dilarang
daripada mencapai Maklumat Rahsia Rasmi dan dilarang sama sekali
dibawa masuk ke kawasan terperingkat. Teknologi yang boleh
menguruskan peranti pengkomputeran peribadi milik persendirian
hendaklah dilaksanakan sebagai sebahagian daripada pelan
pengolahan risiko.
2.2.2.2 Peranti Rangkaian
Peranti rangkaian merujuk kepada peranti yang digunakan untuk
membolehkan saling hubung antara peranti komputer dan sistem
seperti suis, penghala, tembok api, peranti VPN dan kabel.
Polisi Keselamatan Siber KPDNHEP
KPDNHEP-4-POL-Polisi Keselamatan Siber KPDNHEP-v1.0 Muka 70 dari 118
TERHAD
2.2.2.3 Aplikasi
Perisian aplikasi digunakan oleh manusia untuk memproses dan
berinteraksi dengan data. Contoh perisian aplikasi adalah pelayan web,
pelayan aplikasi, sistem operasi.
2.2.2.4 Pelayan
Pelayan merujuk kepada peranti pengkomputeran yang mengandungi
aplikasi dan storan. Pelayan hendaklah diletakkan di lokasi yang
selamat.
2.2.2.5 Persekitaran Fizikal
Persekitaran fizikal merujuk kepada lokasi fizikal yang menempatkan
sistem ICT.
Kementerian hendaklah merujuk kepada CGSO untuk mendapatkan
nasihat mengenai cadangan yang berkaitan dengan pengambilalihan,
pajakan, pengubahsuaian, pembelian bangunan milik Kerajaan dan
swasta yang menempatkan kemudahan pemprosesan maklumat.
Perlindungan fizikal yang disediakan hendaklah selaras dengan risiko
yang dikenal pasti dan berdasarkan prinsip defence-in-depth.
2.2.3 Kawalan Capaian
2.2.3.1 Fizikal
Kawalan akses ke atas Kawasan Terperingkat perlu dilaksanakan.
Pengesahan pengguna bagi kemasukan ke lokasi fizikal adalah
berdasarkan pengenalan fizikal termasuk dokumen fizikal, pembaca
biometrik, pembaca jarak dekat, pembaca PIN atau gabungan teknologi
di atas.
Polisi Keselamatan Siber KPDNHEP
KPDNHEP-4-POL-Polisi Keselamatan Siber KPDNHEP-v1.0 Muka 71 dari 118
TERHAD
2.2.3.2 Pengenalan Pengguna
Pengenalan pengguna hendaklah merujuk kepada seseorang
pengguna sahaja. Pengeluaran pengenalan pengguna kepada
kakitangan Sektor Awam hendaklah tertakluk kepada proses
pengesahan yang ketat.
2.2.3.3 Pengesahan Pengguna
Pengesahan pengguna kepada aplikasi Sektor Awam hendaklah
berdasarkan pengenalan pengguna yang diiktiraf oleh pihak berkuasa.
Bagi aplikasi yang mengandungi Maklumat Rahsia Rasmi atau PII,
pengesahan pengguna hendaklah berdasarkan lebih daripada satu
pengenalan pengguna.
Pengesahan pengguna adaptif merujuk kepada proses pengesahan
yang memerlukan pengenalan tambahan daripada pengguna dalam
keadaan tertentu.
Keadaan tersebut merangkumi kelainan dalam perlakuan pengguna
atau persekitaran pengkomputeran pengguna, yang menimbulkan syak
bahawa kecurian pengenalan atau penipuan transaksi telah berlaku.
2.2.3.4 Kebenaran Pengguna
Setelah seseorang pengguna disahkan, sistem hendaklah menentu dan
memberikan akses yang dibenarkan kepada pengguna tersebut.
Kebenaran pengguna hendaklah diberi berdasarkan peranan dan
tanggungjawab yang telah dikenal pasti. Aplikasi Sektor Awam disyor
menggunakan kawalan capaian berdasarkan peranan.
Polisi Keselamatan Siber KPDNHEP
KPDNHEP-4-POL-Polisi Keselamatan Siber KPDNHEP-v1.0 Muka 72 dari 118
TERHAD
2.2.4 Kriptografi
Kriptografi merupakan alat yang penting dan asas untuk menguruskan
keselamatan ICT. Objektif utama keselamatan maklumat yang dipenuhi
oleh alat kriptografi asas adalah:
a) Kerahsiaan melalui penyulitan;
b) Integriti data melalui fungsi hash, Kod Pengesahan Mesej (MAC) dan
tandatangan digital;
c) Jaminan pengesahan sumber data melalui MAC dan tandatangan
digital;
d) Tanpa-sangkalan melalui tandatangan digital; dan
e) Jaminan pengesahan entiti melalui protokol kriptografi.
Protokol kriptografi merupakan proses langkah demi langkah antara dua
atau lebih entiti untuk mencapai matlamat keselamatan. Alat kriptografi
asas digunakan dalam protokol kriptografi. Pengurusan kunci kriptografi
hendaklah berdasarkan penilaian risiko.
Algoritma kriptografi yang digunakan untuk melindungi maklumat dalam
pelbagai peringkat saluran pemprosesan hendaklah mematuhi peraturan
semasa yang berkuat kuasa.
Penggunaan Produk Kriptografi Terpercaya adalah mandatori bagi
pengendalian Maklumat Rahsia Rasmi. Untuk mengendalikan Maklumat
Rasmi, penggunaan Produk Kriptografi Terpercaya adalah digalakkan.
Produk kriptografi lain yang digunapakai oleh pihak industri juga boleh
digunakan untuk mengendalikan Maklumat Rasmi.
Polisi Keselamatan Siber KPDNHEP
KPDNHEP-4-POL-Polisi Keselamatan Siber KPDNHEP-v1.0 Muka 73 dari 118
TERHAD
2.2.5 Pengasingan
Kementerian hendaklah memastikan pengasingan aliran data,
persekitaran dan rangkaian bagi setiap kategori maklumat, iaitu Maklumat
Rahsia Rasmi, Maklumat Rasmi, PII dan Data Terbuka untuk
mengurangkan risiko keselamatan.
2.2.5.1 Aliran Data
Aliran data bagi Maklumat Rahsia Rasmi hendaklah diasingkan
daripada aliran Data Terbuka dan PII. Selain itu, aliran data bagi empat
kategori Maklumat Rahsia Rasmi hendaklah juga diasingkan.
2.2.5.2 Persekitaran
Pengasingan persekitaran untuk pembangunan, pengujian, peringkat
dan produksi hendaklah dilaksanakan.
2.2.5.3 Rangkaian
Pelayan yang mengehos rangkaian hendaklah mengasingkan capaian
umum dan persendirian. Pengasingan capaian persendirian mungkin
perlu berdasarkan penilaian risiko. Sebagai contoh, bagi perkhidmatan
untuk capaian dari internet, pelayan dan pangkalan datanya mungkin
perlu dihoskan dalam segmen rangkaian yang berasingan dan
membenarkan saling hubung yang terhad.
2.3 Proses
2.3.1 Konfigurasi Asas
Semua sistem hendaklah mempunyai satu konfigurasi asas yang
direkodkan dan menjadi pra-syarat pentauliahan sistem.
Polisi Keselamatan Siber KPDNHEP
KPDNHEP-4-POL-Polisi Keselamatan Siber KPDNHEP-v1.0 Muka 74 dari 118
TERHAD
Konfigurasi asas yang baharu hendaklah diwujudkan selaras dengan
prosedur kawalan perubahan.
2.3.2 Kawalan Perubahan Konfigurasi
Prosedur kawalan perubahan konfigurasi hendaklah diwujud dan
dilaksanakan bagi perubahan kepada sistem, termasuk tampalan perisian,
pakej perkhidmatan, konfigurasi rangkaian dan pengemaskinian sistem
operasi.
Perubahan Konfigurasi mestilah mendapat kebenaran pihak pengurusan
atau pemilik aset ICT terlebih dahulu.
Aktiviti-aktiviti seperti pemasangan, penyelenggaraan, mengemas kini
komponen aset dan sistem ICT hendaklah dikendalikan oleh pihak atau
pegawai yang diberi kuasa dan mempunyai pengetahuan dan kemahiran
atau terlibat secara langsung dengan aset ICT berkenaan.
Aktiviti perubahan atau pengubahsuaian hendaklah mematuhi spesifikasi
atau kriteria yang ditetapkan dan direkodkan serta dikawal bagi
mengelakkan berlakunya ralat.
Perkara-perkara yang perlu dipatuhi adalah seperti berikut:
a) Mewujudkan peraturan dan garis panduan keselamatan yang
bersesuaian untuk mengawal pelaksanaan perubahan;
b) Perubahan atau pengubahsuaian ke atas sistem maklumat dan aplikasi
hendaklah dikawal, diuji, direkodkan dan disahkan sebelum diguna
pakai;
c) Aplikasi kritikal perlu dikaji semula dan diuji apabila terdapat perubahan
kepada sistem pengoperasian untuk memastikan tiada kesan yang
Polisi Keselamatan Siber KPDNHEP
KPDNHEP-4-POL-Polisi Keselamatan Siber KPDNHEP-v1.0 Muka 75 dari 118
TERHAD
buruk terhadap operasi dan keselamatan agensi, Individu atau suatu
kumpulan tertentu perlu bertanggungjawab memantau
penambahbaikan dan pembetulan yang dilakukan;
d) Mengawal perubahan dan/atau pindaan ke atas pakej perisian dan
memastikan sebarang perubahan adalah terhad mengikut keperluan
sahaja; dan
e) Menghalang sebarang peluang untuk membocorkan maklumat.
2.3.3 Sandaran (Backup)
Sandaran hendaklah dilaksanakan secara berkala berdasarkan peraturan
semasa yang berkuat kuasa untuk memastikan bahawa sistem boleh
dipulihkan. Kekerapan sandaran data bergantung kepada keperluan
operasi dan kepentingan data tersebut iaitu secara harian, mingguan atau
pun bulanan.
Sandaran sistem aplikasi dan sistem pengoperasian perlu diadakan
sekurang-kurangnya sekali bagi setiap versi. Sandaran yang melibatkan
saiz data yang besar hendaklah dibuat di sebelah malam untuk
mengelakkan kesesakan rangkaian serta mengganggu prestasi server.
Sistem sandaran sedia ada hendaklah diuji sekurang-kurangnya setahun
sekali bagi memastikan ianya dapat berfungsi, boleh dipercayai dan
berkesan apabila digunakan (restoration) khususnya pada waktu
kecemasan.
Sandaran dari server atau komputer ke media storan lain perlu dilakukan
dari masa ke semasa untuk mengelak kehilangan data sekiranya berlaku
kerosakan hard disk.
Polisi Keselamatan Siber KPDNHEP
KPDNHEP-4-POL-Polisi Keselamatan Siber KPDNHEP-v1.0 Muka 76 dari 118
TERHAD
Penduaan data yang penting dan kritikal dicadangkan dibuat dan disimpan
di lokasi offsite yang berasingan bagi mengelakkan kemusnahan atau
kerosakan fizikal disebabkan oleh bencana seperti kebakaran, banjir atau
sebagainya.
2.3.4 Kitaran Pengurusan Aset
Setiap aset mempunyai jangka hayat tertentu dan memerlukan sumber
untuk pemilikan dan pengendalian sepanjang tempoh hayatnya.
Rajah 5 Fasa utama dalam Kitaran Hayat Aset
Terdapat empat (4) fasa utama iaitu:
a) Perancangan – kenalpasti, rancang dan sediakan
b) Pewujudan – melalui proses yang ditetapkan
c) Penggunaan – digunakan dan diselenggara
d) Pelupusan – penggunaan aset dihentikan
Polisi Keselamatan Siber KPDNHEP
KPDNHEP-4-POL-Polisi Keselamatan Siber KPDNHEP-v1.0 Muka 77 dari 118
TERHAD
Kitaran hayat data hendaklah diuruskan mengikut Akta Arkib Negara (Akta
629). Akta Arkib Negara memberi mandat bahawa rekod kewangan
hendaklah disimpan selama tujuh tahun dan rekod umum selama lima
tahun.
Langkah-langkah keselamatan berikut hendaklah diambil kira semasa
mengendalikan aset:
(i) Pelabelan :
Pelabelan aset fizikal hendaklah mengikut prosedur dan
arahan/peraturan semasa. Manakala pelabelan bagi dokumen
Softcopy dan Hardcopy hendaklah mengikut arahan yang telah
dikeluarkan dalam Arahan Keselamatan, di bab Keselamatan
Dokumen, mukasurat 14, seksyen III:Tanda Keselamatan.
(ii) Penyimpanan :
Penyimpanan aset fizikal yang telah diklasifikasikan mesti mengikut
Arahan Keselamatan Bab Keselamatan Fizikal, mukasurat 5, seksyen
I:Kawasan Terperingkat. Manakala dokumen Softcopy dan Hardcopy
hendaklah mengikut Arahan Keselamatan Bab Keselamatan
Dokumen, mukasurat 16, seksyen IV:Penyimpanan Perkara-perkara
Terperingkat.
(iii) Penghantaran :
Penghantaran aset fizikal yang telah diklasifikasikan mesti mengikut
Arahan Keselamatan Bab Keselamatan Fizikal, di seksyen V:
Kelengkapan dan Bahan-bahan Rasmi yang mempunyai Ciri-ciri
Keselamatan. Manakala dokumen Softcopy dan Hardcopy mesti
mengikut Arahan Keselamatan Bab Keselamatan Dokumen di:
Seksyen V: Penghantaran Dokumen Terperingkat
Polisi Keselamatan Siber KPDNHEP
KPDNHEP-4-POL-Polisi Keselamatan Siber KPDNHEP-v1.0 Muka 78 dari 118
TERHAD
Seksyen VI: Membawa Dokumen Terperingkat Keluar
Pejabat
Seksyen VII: Pelepasan Perkara Terperingkat
2.3.4.1 Pindah
Pemindahan hak milik aset berlaku dalam keadaan berikut:
a) Pekerja meninggalkan Kementerian disebabkan oleh persaraan,
perletakan jawatan atau penugasan semula;
b) Aset yang dikongsi untuk kegunaan sementara;
c) Pemberian aset kepada Kementerian lain; dan
d) Aset dikembalikan setelah tamat tempoh pajakan
Perkara-perkara yang perlu dipatuhi semasa pemindahan hak milik aset
adalah merangkumi yang berikut:
(i) Memastikan semua aset ICT dikembalikan kepada
Kementerian mengikut peraturan dan/atau terma
perkhidmatan yang ditetapkan; dan
(ii) Membatalkan atau menarik balik semua kebenaran capaian ke
atas maklumat dan kemudahan proses maklumat mengikut
peraturan yang ditetapkan oleh Kementerian dan/atau terma
perkhidmatan.
2.3.4.2 Pelupusan
Pelupusan aset mesti mengikut prosedur/arahan pelupusan semasa dan
dilakukan secara terkawal.
Polisi Keselamatan Siber KPDNHEP
KPDNHEP-4-POL-Polisi Keselamatan Siber KPDNHEP-v1.0 Muka 79 dari 118
TERHAD
Pelupusan dokumen yang telah diklasifikasikan mesti mengikut Arahan
Keselamatan, di bab Keselamatan Dokumen, mukasurat 19 seksyen
VIII: Pemusnahan Dokumen Terperingkat.
Pelupusan peralatan ICT (rosak, usang dan tidak boleh dibaiki) sama
ada harta modal atau inventori yang dibekalkan oleh Kementerian perlu
mematuhi perkara-perkara berikut:
a) Semua maklumat dan kandungan peralatan khususnya maklumat
rahsia rasmi hendaklah dihapuskan terlebih dahulu sama ada
melalui shredding, grinding, degauzing atau pembakaran; dan
b) Bagi peralatan ICT yang akan dilupuskan sebelum dipindah-milik
hendaklah dipastikan maklumat dan kandungan peralatan
khususnya maklumat rahsia rasmi dihapuskan terlebih dahulu
dengan cara yang selamat.
c) Sekiranya maklumat perlu disimpan, maka penduaan boleh
dilakukan.
Maklumat lanjut mengenai pelupusan aset boleh merujuk kepada
“Pekeliling Perbendaharaan Tatacara Pengurusan Aset Alih Kerajaan”.
Pelupusan boleh dalam bentuk pemusnahan fizikal dan/atau sanitasi
data iaitu mengikut garis panduan yang dikeluarkan oleh Kerajaan.
2.4 Manusia
Kakitangan Kementerian, pembekal, pakar runding dan pihak-pihak yang
berkepentingan, hendaklah memahami peranan dan tanggungjawab mereka
dalam mematuhi terma dan syarat perkhidmatan serta peraturan semasa yang
berkuat kuasa. Bagi melaksanakan sistem penyampaian perkhidmatan
kementerian, kakitangan hendaklah dilatih dalam bidang pengkhususan yang
Polisi Keselamatan Siber KPDNHEP
KPDNHEP-4-POL-Polisi Keselamatan Siber KPDNHEP-v1.0 Muka 80 dari 118
TERHAD
diperlukan. Pengendalian dokumen terperingkat hendaklah mematuhi
peruntukan yang terkandung dalam Arahan Keselamatan dan pekeliling semasa.
2.4.1 Kompetensi Pengguna
Kompetensi pengguna termasuk:
2.4.1.1 Kesedaran amalan terbaik keselamatan maklumat.
Program kesedaran keselamatan maklumat hendaklah diadakan
sekurang-kurangnya setahun sekali bagi memaklumkan kepentingan
dan memupuk amalan baik Keselamatan ICT.
2.4.1.2 Kemahiran menggunakan alat keselamatan
Program latihan hendaklah diadakan sekurang-kurangnya setahun
sekali kepada kakitangan berhubung alat-alat keselamatan berkaitan
bagi memastikan mereka mampu untuk menggunakannya.
2.4.2 Kompetensi Pelaksana
Setiap kakitangan kementerian hendaklah memenuhi keperluan
kecekapan minimum mengikut spesifikasi kerja dan memenuhi syarat-
syarat berikut:
a) Mempunyai kelayakan akademik dalam bidang berkaitan;
b) Memperolehi tapisan keselamatan daripada agensi yang diberi kuasa
Polisi Keselamatan Siber KPDNHEP
KPDNHEP-4-POL-Polisi Keselamatan Siber KPDNHEP-v1.0 Muka 81 dari 118
TERHAD
2.4.3 Peranan
Peranan pengguna diberi berdasarkan keperluan dan kompetensi
pengguna. Bagi capaian Maklumat Rahsia Rasmi, perjanjian ketakdedahan
seperti Arahan Keselamatan dan Akta Rahsia Rasmi 1972 perlu
ditandatangani. Salinan asal perjanjian yang ditandatangani hendaklah
disimpan dengan selamat dan menjadi rujukan masa depan.
Tiada hak capaian automatik diberikan kepada individu tanpa mengira
tapisan keselamatan mereka. Kakitangan yang berperanan menguruskan
aset hendaklah memastikan semua aset Kementerian dikembalikan
sekiranya berlaku perubahan peranan.
Kakitangan yang terlibat dengan perubahan peranan hendaklah
menyerahkan semua aset Kementerian yang berkaitan seperti yang
tersenarai dalam senarai aset dalam Nota Serah Tugas.
Kakitangan lain yang terlibat dengan perubahan peranan hendaklah
menyerahkan semua aset Kementerian dengan diselia oleh kakitangan
yang dipertanggungjawabkan oleh Kementerian.
Pihak Atasan perlu memastikan staf KPDNHEP serta pihak ketiga yang
berkepentingan mengurus keselamatan aset ICT berdasarkan
perundangan dan peraturan yang ditetapkan oleh KPDNHEP. Ketua
Jabatan perlu memastikan setiap staf menandatangani Surat Akuan
Pematuhan Polisi Keselamatan Siber KPDNHEP.
Setiap warga KPDNHEP perlu diberikan program kesedaran, latihan atau
kursus mengenai keselamatan ICT secara berterusan dalam
melaksanakan tugas dan tanggungjawabnya. Program latihan akan
melibatkan semua pegawai KPDNHEP dan dilaksanakan secara
berterusan. Selain itu, laman Intranet/emel akan dijadikan sebagai medium
penyebaran maklumat berkaitan keselamatan ICT bagi meningkatkan
Polisi Keselamatan Siber KPDNHEP
KPDNHEP-4-POL-Polisi Keselamatan Siber KPDNHEP-v1.0 Muka 82 dari 118
TERHAD
tahap kesedaran pegawai KPDNHEP berkaitan kepentingan keselamatan
ICT.
Pegawai teknikal yang dipertanggungjawabkan menjaga keselamatan
sumber ICT di mana ianya menyediakan perkhidmatan berpusat kepada
pengguna (seperti server, storan, firewall, router, antivirus berpusat dan
lain-lain) akan dipastikan menjalani latihan yang spesifik berkaitan bidang
tugas mengikut spesifikasi produk yang digunakan.
Pelanggaran Polisi Keselamatan Siber KPDNHEP akan dikenakan
tindakan tatatertib atau digantung dari mendapat akses kepada
kemudahan ICT KPDNHEP.
2.4.4 Bertukar atau Tamat Perkhidmatan
Peraturan yang berkaitan dengan pertukaran perkhidmatan atau tamat
perkhidmatan perlu ditakrifkan dengan jelas.
2.4.4.1 Pemulangan Aset dan Pembatalan Kebenaran Capaian
Perkara-perkara yang perlu dipatuhi termasuk yang berikut:
a) Memastikan semua aset ICT dikembalikan kepada KPDNHEP
mengikut peraturan dan/atau terma perkhidmatan yang ditetapkan;
dan
b) Membatalkan atau menarik balik semua kebenaran capaian ke atas
maklumat dan kemudahan proses maklumat mengikut peraturan
yang ditetapkan oleh KPDNHEP dan/atau terma perkhidmatan.
Surat Pekeliling Perkhidmatan Bilangan 4 Tahun 2010 Pelaksanaan
Modul Penamatan Perkhidmatan Urusan Persaraan Kerana Mencapai
Polisi Keselamatan Siber KPDNHEP
KPDNHEP-4-POL-Polisi Keselamatan Siber KPDNHEP-v1.0 Muka 83 dari 118
TERHAD
Umur 55/56/58 Tahun, Urusan Persaraan Pilihan dan Fungsi Kematian
Dalam Perkhidmatan boleh dirujuk bagi maklumat lanjut.
Polisi Keselamatan Siber KPDNHEP
KPDNHEP-4-POL-Polisi Keselamatan Siber KPDNHEP-v1.0 Muka 84 dari 118
TERHAD
KESAN
Seksyen ini menerangkan mekanisme pengesanan terhadap aktiviti yang berniat
jahat, sama ada secara fizikal atau elektronik.
3.1 Pemantauan Berterusan
Pelbagai mekanisme boleh digunakan bagi melaksanakan aktiviti pemantauan
secara berterusan terhadap sistem ICT. Pemantauan tersebut boleh
dilaksanakan pada masa sebenar atau berkala. Penggunaan teknologi serta
perkongsian wawasan dan kecerdasan digunakan untuk melaksanakan
pemantauan yang berkesan.
3.1.1 Teknologi
Penggunaan teknologi boleh dilaksanakan menerusi langkah-langkah
seperti berikut:
a) Mewujudkan sistem log bagi merekodkan semua aktiviti harian
pengguna dan disimpan untuk tempoh masa yang dipersetujui bagi
membantu siasatan dan memantau kawalan capaian;
b) Menyemak sistem log secara berkala bagi mengesan ralat yang
menyebabkan gangguan kepada sistem dan mengambil tindakan
membaikpulih dengan segera;
c) Melindungi maklumat dan kemudahan log daripada sebarang
pencerobohan dan pindaan;
d) Merekodkan aktiviti yang dijalankan oleh pegawai yang menguruskan
system;
Polisi Keselamatan Siber KPDNHEP
KPDNHEP-4-POL-Polisi Keselamatan Siber KPDNHEP-v1.0 Muka 85 dari 118
TERHAD
e) Melaporkan aktiviti-aktiviti tidak sah seperti kecurian maklumat dan
pencerobohan kepada ICTSO; dan
f) Menyelaraskan masa yang berkaitan sistem pemprosesan maklumat
dalam KPDNHEP atau domain keselamatan dengan satu sumber yang
dipercayai seperti SIRIM.
Log/jejak audit sistem ICT merupakan bukti dan turutan insiden bagi setiap
aktiviti sistem yang perlu didokumenkan selaras dengan arahan/pekeliling
sedia ada yang dikeluarkan oleh Kerajaan. Log/jejak audit ini mengandungi
maklumat seperti pengenalpastian terhadap akses yang tidak dibenarkan,
aktiviti-aktiviti yang tidak normal serta aktiviti-aktiviti yang tidak dapat
dijelaskan.
Log/Jejak audit hendaklah dikawal bagi memastikan integriti data
terpelihara. Analisis log/jejak audit dilakukan secara bulanan bagi
mengesan:-
a) Percubaan (samada gagal atau berjaya) untuk mencapai sistem atau data tanpa kebenaran (probing).
b) Serangan kod jahat (malicious code) seperti virus, trojan horse, worms
dan sebagainya; c) Gangguan yang disengajakan (unwanted distruption) atau halangan
pemberian perkhidmatan (denial of service); d) Menggunakan sistem untuk pemprosesan data atau penyimpanan data
tanpa kebenaran (unauthorised access); e) Pengubahsuaian ciri-ciri perkakasan, perisian atau mana-mana
komponen sesebuah sistem tanpa pengetahuan, arahan atau persetujuan mana-mana pihak; dan
f) Penggunaan data yang sensitif, contohnya data harga, lesen dan permit,
kuota diesel dan petrol.
Polisi Keselamatan Siber KPDNHEP
KPDNHEP-4-POL-Polisi Keselamatan Siber KPDNHEP-v1.0 Muka 86 dari 118
TERHAD
Pemantauan berterusan boleh dibuat secara automatik dengan
menggunakan perisian tertentu seperti pengimbas virus, algoritma check
sum, password cracker, semakan integriti, pengesanan penceroboh dan
analisis pemantauan prestasi sistem ICT.
3.1.2 Perkongsian Wawasan Dan Kecerdasan
Pusat Kawalan dan Koordinasi Siber Negara (NC4) menyediakan platform
bagi perkongsian maklumat berkaitan insiden siber untuk seluruh
Prasarana Maklumat Kritikal Negara (CNII).
CNII merujuk kepada aset (fizikal dan maya), sistem dan fungsi yang
penting kepada negara dan kepincangan terhadap fungsi-fungsi kritikal ini
akan memberikan impak yang besar kepada pertahanan dan keselamatan
negara, kekuatan ekonomi negara, imej negara, kemampuan Kerajaan
untuk berfungsi, kesihatan dan keselamatan orang awam.
3.2 Anomali dan Peristiwa
Anomali merupakan satu peristiwa atau kejadian yang ganjil, atau tidak normal
yang berbeza dari kebiasaan.
Pentadbir sistem di KPDNHEP perlu mengenal pasti anomali dan
penyelewengan dari amalan terbaik keselamatan, yang boleh menjadi asas
untuk tindakan pemulihan.
Semua pengguna di KPDNHEP perlu mengetahui dan sedar bahawa sumber
ICT adalah hak milik Kerajaan termasuk data serta maklumat yang tercatat atau
yang diperoleh daripadanya. Kerajaan berhak memantau aktiviti pengguna yang
mengakses sumber ICT untuk mengesan salah guna atau penggunaan sumber
ICT selain dari tujuan yang telah ditetapkan.
Polisi Keselamatan Siber KPDNHEP
KPDNHEP-4-POL-Polisi Keselamatan Siber KPDNHEP-v1.0 Muka 87 dari 118
TERHAD
Semua Sistem Maklumat ICT yang dibangunkan di KPDNHEP perlu mempunyai
keupayaan merekod dan mengesan tindakan pengguna.
3.2.1 Aliran Data Asas
Data asas merupakan data yang diperlukan untuk membangunkan sesuatu
sistem mengikut keperluan semasa. Contoh, data harga barang keperluan
pengguna, kuota subsidi, maklumat perniagaan dan harta intelek.
Pentadbir Sistem dikehendaki mengumpul data asas bagi setiap sistem di
bawah tanggungjawab masing-masing dan perlu dilakukan semasa proses
pentauliahan sistem. Data asas ini diperlukan sebagai rujukan apabila
terdapat perubahan sistem.
3.2.2 Pengagregatan Data
Pengagregatan data perlu dibuat bagi meringkas, menghasil atau
merumuskan data mentah yang dikumpul ke dalam bentuk dan susunan
yang lebih mudah dibaca serta berstruktur.
3.2.3 Korelasi
Korelasi (perhubungan/pertalian) antara aktiviti daripada pelbagai sistem
hendaklah dilakukan bagi mengenalpasti anomali/keganjilan yang dikesan.
3.2.4 Pemberitahuan
Mekanisme ketersediaan perlu dibuat dan diaktifkan apabila terdapat
serangan siber di KPDNHEP. Laporan perlu dikemukakan kepada NC4
Polisi Keselamatan Siber KPDNHEP
KPDNHEP-4-POL-Polisi Keselamatan Siber KPDNHEP-v1.0 Muka 88 dari 118
TERHAD
yang menyediakan platform bagi semua organisasi CNII untuk memberi
makluman berhubung ancaman siber. Mekanisme pelaporan insiden
keselamatan ICT KPDNHEP adalah seperti yang dinyatakan di dalam SOP
Pengurusan Insiden Keselamatan ICT.
3.2.5 Kenal Pasti Impak
Setiap impak serangan siber yang dikenalpasti perlu dianalisis dengan
terperinci untuk menentukan tindakan yang sewajarnya.
TINDAK BALAS
Apabila berlaku insiden keselamatan siber, pelan tindak balas yang telah dirancang
perlu dilaksanakan. Analisis lanjut, tindakan mitigasi dan penambahbaikan juga
dilaksanakan atas nasihat daripada agensi yang berkaitan.
4.1 Pelan Tindak balas
Pelan tindak balas keselamatan siber hendaklah disimulasi secara berkala dan
dinilai bagi memastikan ia masih releven dan pasukan pengendali insiden adalah
terlatih dan dapat mengenal pasti dan mengendalikan insiden.
Tindak balas bagi menangani insiden keselamatan siber perlu diambil dengan
cepat, tepat dan berkesan serta meminumkan kesan insiden keselamatan ICT.
Peraturan semasa berhubung tindak balas keselamatan siber hendaklah
dipatuhi. Insiden keselamatan siber hendaklah dirujuk kepada MKN manakala
insiden yang melibatkan Maklumat Rahsia Rasmi hendaklah dirujuk kepada
CGSO untuk tindakan selanjutnya.
Polisi Keselamatan Siber KPDNHEP
KPDNHEP-4-POL-Polisi Keselamatan Siber KPDNHEP-v1.0 Muka 89 dari 118
TERHAD
4.1.1 Laporan Insiden Keselamatan
4.1.1.1 Melaporkan Peristiwa Keselamatan
Peristiwa keselamatan mesti dilaporkan kepada ICTSO dengan kadar
segera. Insiden keselamatan ICT seperti berikut hendaklah dilaporkan
dengan kadar segera:
a) Maklumat didapati hilang, didedahkan kepada pihak-pihak yang tidak
diberi kuasa atau, disyaki hilang atau didedahkan kepada pihak-pihak
yang tidak diberi kuasa;
b) Sistem maklumat digunakan tanpa kebenaran atau disyaki
sedemikian;
c) Kata laluan atau mekanisme kawalan akses hilang, dicuri atau
didedahkan, atau disyaki hilang, dicuri atau didedahkan;
d) Berlaku kejadian sistem yang luar biasa seperti kehilangan fail, sistem
kerap kali gagal dan komunikasi tersalah hantar;
e) Berlaku percubaan menceroboh, penyelewengan dan insiden-insiden
yang tidak diingini.
Semua pengguna, vendor dan pihak ketiga mesti dimaklumkan akan
tanggungjawab untuk melaporkan sebarang peristiwa keselamatan
dengan kadar segera. Mereka juga mesti dimaklumkan mengenai
prosedur dan pusat hubungan untuk melaporkan insiden keselamatan
maklumat.
Pelapor insiden mesti mencatit semua butiran yang penting dengan
segera.
Polisi Keselamatan Siber KPDNHEP
KPDNHEP-4-POL-Polisi Keselamatan Siber KPDNHEP-v1.0 Muka 90 dari 118
TERHAD
4.1.1.2 Melaporkan Kelemahan Keselamatan Maklumat
Laporan Penemuan Kelemahan Keselamatan berkala mesti dilaporkan
kepada ICTSO dengan kadar segera bagi mengelakkan insiden
keselamatan maklumat daripada berlaku.
Pengguna, vendor dan pihak ketiga adalah dilarang daripada
membuktikan sebarang kelemahan keselamatan maklumat. Hanya
vendor yang dilantik sahaja dibenarkan untuk membuat ujian
pembuktian kelemahan keselamatan maklumat. Ujian untuk
membuktikan kelemahan boleh ditafsirkan sebagai penyalahgunaan
sistem dan boleh menyebabkan kerosakan kepada sistem maklumat
atau perkhidmatan. Ini boleh mengakibatkan tindakan undang-undang
dikenakan bagi individu yang menjalankan ujian tersebut.
4.2 Komunikasi
Semasa pengendalian insiden, status semasa insiden tersebut boleh dialirkan
kepada pihak pengurusan yang berkenaan. Kaedah komunikasi boleh dilakukan
melalui salah satu medium berikut:
a) Emel;
b) Panggilan telefon;
c) Portal NC4; dan
d) Secara lisan.
4.3 Analisis
Insiden Keselamatan hendaklah dianalisis dan laporan analisis tersebut
dikemukakan kepada agensi berkaitan bagi tujuan rekod atau mendapatkan
Polisi Keselamatan Siber KPDNHEP
KPDNHEP-4-POL-Polisi Keselamatan Siber KPDNHEP-v1.0 Muka 91 dari 118
TERHAD
khidmat nasihat. Sekiranya insiden tidak berjaya dikendalikan, insiden
hendaklah dirujuk kepada agensi berkaitan untuk dianalisis dan merancang
tindakan pemulihan.
4.3.1 Analisis dan Pengesahan Insiden
Setiap insiden yang dikenalpasti perlu dianalisis, disahkan, didokumenkan
dan dilaporkan kepada Pengurusan BPM serta agensi yang berkaitan.
Analisis boleh dilaksanakan oleh KPDNHEP atau vendor yang dilantik.
Agensi yang mengendalikan insiden hendaklah menyediakan nasihat
teknikal atau cadangan kawalan bagi menangani keretanan tersebut.
Pasukan tindak balas insiden terdiri daripada pasukan CERT KPDNHEP
dan pemilik proses yang berkenaan. Pasukan ini bertanggungjawab untuk
menganalisa; mengesahkan setiap insiden; dan juga mendokumenkan
setiap langkah yang diambil.
Bagi setiap insiden yang dikenal pasti, pasukan tersebut harus
melaksanakan analisa awal bagi menentukan skop insiden seperti:
a) Rangkaian, sistem atau perkhidmatan yang terlibat;
b) Siapa atau apa yang menyebabkan insiden;
c) Bagaimana insiden berlaku
Analisa awal tersebut mesti merangkumi maklumat yang cukup untuk
membolehkan pasukan tindak balas menyusun aktiviti-aktiviti seterusnya
seperti pembendungan insiden dan analisa mendalam bagi kesan daripada
insiden tersebut.
Polisi Keselamatan Siber KPDNHEP
KPDNHEP-4-POL-Polisi Keselamatan Siber KPDNHEP-v1.0 Muka 92 dari 118
TERHAD
4.3.2 Penilaian Insiden dan Impak
Semua insiden keselamatan maklumat yang dikenal pasti hendaklah dinilai
dari segi risiko dan impak negatif yang berpotensi terhadap maklumat
dan/atau sistem maklumat.
4.3.3 Keutamaan Insiden Keselamatan
Keutamaan pengendalian insiden keselamatan adalah berdasarkan
kepada dua (2) faktor iaitu:
a) Kesan semasa (jangka pendek) dan kesan yang berpotensi bagi sesuatu
insiden (jangka panjang); dan
b) Tahap kritikal dan kebergantungan dengan sumber yang lain serta
kaedah tindakan baik pulih.
4.3.4 Pemberitahuan Insiden
Semasa pengendalian insiden, pasukan tindakbalas insiden mesti
memaklumkan status semasa insiden tersebut kepada pihak pengurusan
yang berkenaan. Kaedah komunikasi boleh dilakukan melalui salah satu
daripada berikut:
a) E-mail;
b) Panggilan telefon; dan
c) Secara terus.
4.3.5 Strategi Pengawalan Insiden
Apabila insiden telah dikenal pasti dan dianalisis, insiden tersebut harus
dikawal sebelum merebak dan mengakibatkan kerosakan yang lebih
Polisi Keselamatan Siber KPDNHEP
KPDNHEP-4-POL-Polisi Keselamatan Siber KPDNHEP-v1.0 Muka 93 dari 118
TERHAD
serius. Proses pembendungan ini harus dipertimbangkan sebagai
sebahagian daripada proses pengendalian insiden pada peringkat awal
dan mesti melibatkan pihak pengurusan dalam memberi keputusan seperti
penutupan sesuatu sistem atau perkhidmatan.
Pertimbangan penentuan strategi yang sesuai untuk mengawal insiden
perlu mengambil kira perkara berikut:
a) Kerosakan yang berpotensi kepada sumber-sumber sedia ada;
b) Keperluan untuk pemeliharaan bahan bukti;
c) Ketersediaan perkhidmatan;
d) Masa dan sumber-sumber yang diperlukan untuk melaksanakan
strategi;
e) Keberkesanan strategi; dan
f) Tempoh bagi suatu penyelesaian.
4.3.6 Pengumpulan Bahan Bukti
Semua bahan bukti harus dikumpul, didokumenkan dan disimpan mengikut
prosedur yang menepati undang-undang dan peraturan supaya boleh
diterima pakai di mahkamah.
4.3.7 Penjagaan Bahan Bukti
Secara umum, bukti yang jelas mesti diwujudkan berdasarkan perkara-
perkara berikut:
Polisi Keselamatan Siber KPDNHEP
KPDNHEP-4-POL-Polisi Keselamatan Siber KPDNHEP-v1.0 Muka 94 dari 118
TERHAD
a) Bagi dokumen hardcopy: Salinan asal mesti disimpan dengan selamat
dengan merekod butiran lanjut seperti individu yang menemui dokumen
tersebut, lokasi dokumen ditemui, tarikh dan masa ditemui, dan saksi
bagi penemuan bahan bukti. Penyiasatan yang dilakukan mesti
memastikan bahan bukti tidak dicemari.
b) Bagi maklumat di dalam media komputer, mirror image atau salinan
daripada media boleh ubah, maklumat di dalam cakera keras atau di
dalam memori mesti diambil untuk memastikan ketersediaan; log bagi
semua tindakan semasa proses salinan mesti disimpan dan proses
mesti dilakukan di hadapan saksi; media asal dan log-log mesti disimpan
dengan selamat.
4.4 Mitigasi
4.4.1 Pelan Mitigasi
Pelan mitigasi dibangunkan untuk mengurangkan kerosakan dan
memastikan kesinambungan perkhidmatan.
4.5 Penambahbaikan
4.5.1 Pengajaran daripada Insiden Maklumat Keselamatan
Penambahbaikan jangka panjang hendaklah dilaksanakan bagi
mengelakkan insiden keselamatan siber berulang. Khidmat nasihat dari
agensi pusat hendaklah diambil kira dalam membangunkan
penambahbaikan jangka panjang.
Mesyuarat harus diadakan dengan semua pihak yang berkaitan secara
berkala bagi tujuan:
a) Analisa insiden;
Polisi Keselamatan Siber KPDNHEP
KPDNHEP-4-POL-Polisi Keselamatan Siber KPDNHEP-v1.0 Muka 95 dari 118
TERHAD
b) Analisa punca insiden;
c) Tindakan pembetulan yang telah diambil dan keberkesanan tindakan
tersebut ; dan
d) Tindakan pencegahan yang mungkin untuk diambil bagi mengurangkan
kebarangkalian pengulangan insiden.
Polisi Keselamatan Siber KPDNHEP
KPDNHEP-4-POL-Polisi Keselamatan Siber KPDNHEP-v1.0 Muka 96 dari 118
TERHAD
PULIH
Ketersediaan maklumat adalah penting bagi penyampaian perkhidmatan Kerajaan.
Sehubungan dengan itu, Pelan Pengurusan Kesinambungan Perkhidmatan dan Pelan
Pemulihan Bencana ICT yang efektif dan berfungsi dengan baik perlu disedia dan
dilaksanakan bagi memastikan kesinambungan perkhidmatan.
5.1 Pelan Pengurusan Kesinambungan Perkhidmatan
Pelan Kesinambungan Perkhidmatan hendaklah dibangunkan dengan
mengambil kira faktor-faktor keselamatan maklumat bagi menentukan
pendekatan yang menyeluruh diambil bagi memastikan tiada gangguan kepada
proses-proses dalam penyediaan perkhidmatan organisasi kepada pelanggan.
Perkara-perkara berikut perlu diberi perhatian dalam penyediaan Pelan
Pengurusan Kesinambungan Perkhidmatan:
a) Mengenal pasti semua tanggungjawab dan prosedur kecemasan atau
pemulihan;
b) Mengenal pasti senario yang boleh mengakibatkan gangguan terhadap
proses perkhidmatan, kemungkinan berlaku dan impak serta akibat gangguan
tersebut terhadap keselamatan ICT;
c) Melaksanakan prosedur-prosedur kecemasan dan simulasi pemulihan
bencana bagi membolehkan pemulihan dapat dilakukan secepat mungkin
atau dalam jangka masa yang telah ditetapkan;
d) Mendokumentasikan proses dan prosedur yang telah dipersetujui;
e) Mengadakan program latihan kepada pengguna mengenai prosedur
kecemasan;
f) Membuat backup; dan
Polisi Keselamatan Siber KPDNHEP
KPDNHEP-4-POL-Polisi Keselamatan Siber KPDNHEP-v1.0 Muka 97 dari 118
TERHAD
g) Menguji dan mengemas kini pelan sekurang-kurangnya setahun sekali.
5.2 Pelan Pemulihan Bencana
Pelan Pemulihan Bencana perlu dibangunkan dan hendaklah mengandungi
perkara-perkara berikut:
a) Senarai Perkhidmatan teras yang dianggap kritikal mengikut susunan
keutamaan;
b) Senarai pegawai dan vendor yang dilantik berserta nombor yang boleh
dihubungi (faksimile, telefon dan e-mel). Senarai kedua juga hendaklah
disediakan sebagai menggantikan pegawai tidak dapat hadir untuk
menangani insiden;
c) Senarai lengkap maklumat yang memerlukan backup dan lokasi sebenar
penyimpanannya serta arahan pemulihan maklumat dan kemudahan yang
berkaitan;
d) Sumber dan lokasi alternatif untuk menggantikan sumber yang telah lumpuh;
dan
e) Mendapatkan persetujuan dengan pembekal perkhidmatan untuk
mendapatkan penyambungan semula perkhidmatan yang berkaitan.
5.3 Penambahbaikan
Penambahbaikan berterusan menerusi latihan simulasi terhadap pelan perlu
diadakan sekurang-kurangnya setahun sekali atau apabila berlaku perubahan
dalam pelan.
Menguji dan mengemas kini pelan sekurang-kurangnya dua (2) tahun sekali.
Polisi Keselamatan Siber KPDNHEP
KPDNHEP-4-POL-Polisi Keselamatan Siber KPDNHEP-v1.0 Muka 98 dari 118
TERHAD
PEROLEH
Seksyen ini menerangkan mekanisme bagi perolehan dan pentauliahan sistem yang
kukuh dan berdaya tahan daripada aktiviti tidak baik serta merangkumi keseluruhan
kitaran hayat aset. Perolehan ini boleh dilaksanakan melalui tender, sebut harga dan
rundingan terus mengikut peraturan semasa yang berkuat kuasa.
6.1 Kenal Pasti Keperluan
Keperluan setiap perolehan yang ingin dilaksanakan perlu dikenalpasti sebelum
perolehan tersebut dilaksanakan sama ada perolehan daripada syarikat
pembekal atau pembangunan secara dalaman.
6.2 Spesifikasi Perolehan
Spesifikasi perolehan hendaklah mengandungi klausa tertentu berhubung
keperluan keselamatan, pensijilan keselamatan produk, ketersediaan kod
sumber, keperluan pelupusan data, keutamaan terhadap teknologi dan
kepakaran tempatan serta keperluan kompetensi pasukan pembangunan.
6.2.1 Keperluan Keselamatan
Keperluan keselamatan siber hendaklah menentukan kawalan yang
diperoleh atau dibangunkan untuk memastikan pengolahan risiko bagi
risiko yang dikenal pasti adalah selaras dengan rangka kerja keselamatan
siber ini.
a) Semua kontraktor yang melaksanakan kerja Outsourcing dimestikan
lulus dan melepasi tapisan keselamatan. Maklumat berperingkat
hendaklah dimaklumkan secara need to know basis.
b) Kontraktor perlu menandatangani Surat Perakuan Akta Rasmi 1972.
Polisi Keselamatan Siber KPDNHEP
KPDNHEP-4-POL-Polisi Keselamatan Siber KPDNHEP-v1.0 Muka 99 dari 118
TERHAD
c) Capaian secara fizikal dan logikal mesti dipantau oleh staf KPDNHEP
yang dilantik bagi menguruskannya.
d) Setiap sistem utama yang hendak dilancarkan perlu dipastikan telah
dilaksanakan Application Vulnerability Assessment, Performance
Testing, Security Posture Assesment, Penetration Test dan lain-lain.
6.2.2 Pensijilan Keselamatan
Pensijilan keselamatan bagi produk dan perkhidmatan serta tahap
pensijilan hendaklah ditetapkan dan terhad kepada pensijilan yang diiktiraf
oleh Kerajaan.
Projek pembangunan sistem hendaklah juga tertakluk kepada keperluan
pensijilan keselamatan. Pemilik sistem hendaklah memastikan pensijilan
keselamatan yang berkaitan dilaksanakan ke atas sistem yang
dibangunkan.
Pematuhan kepada standard keselamatan ICT adalah penting bagi
memastikan keteguhan keselamatan ICT dan boleh beroperasi antara satu
sama lain.
6.2.3 Kod Sumber
Semua spesifikasi perolehan yang dilaksanakan dan kontrak komersial
yang dilaksanakan oleh KPDNHEP hendaklah mengandungi keperluan
berikut :
a) KPDNHEP atau Kerajaan (CGSO) hendaklah dibenarkan untuk
melaksanakan semakan terhadap kod sumber;
Polisi Keselamatan Siber KPDNHEP
KPDNHEP-4-POL-Polisi Keselamatan Siber KPDNHEP-v1.0 Muka 100 dari 118
TERHAD
b) bagi sistem yang mengandungi Maklumat Rahsia Rasmi, pembekal
hendaklah membenarkan KPDNHEP atau Kerajaan (CGSO) hak
mencapai kod sumber dan melaksanakan pengolahan risiko; dan
c) pembekal tidak dibenarkan mengguna semula atau mengedarkan kod
sumber kepada pihak lain untuk sebarang tujuan.
6.2.4 Kitar Hayat Data
KPDNHEP diberikan hak capaian elemen-elemen sistem yang
mengandungi Maklumat Rahsia Rasmi dan Maklumat Rasmi yang
tertakluk kepada garis panduan sedia ada. Pemilik sistem hendaklah
memastikan tindakan dilaksanakan berpandukan garis panduan ini
termasuklah sanitasi data dan pelupusan media fizikal yang mengandungi
data.
Semua spesifikasi perolehan dan kontrak komersial hendaklah
mengandungi keperluan madatori seperti yang berikut:
“Pembekal hendaklah memberi hak mencapai elemen sistem yang
mengandungi Maklumat Rahsia Rasmi dan Maklumat Rasmi dan boleh
mengambil tindakan sebagaimana yang diperlukan”
Spesifikasi perolehan hendaklah menentukan pelupusan data bagi
Maklumat Rahsia Rasmi, Maklumat Rasmi. Pelupusan hendaklah
berdasarkan garis panduan semasa yang berkuatkuasa.
Polisi Keselamatan Siber KPDNHEP
KPDNHEP-4-POL-Polisi Keselamatan Siber KPDNHEP-v1.0 Muka 101 dari 118
TERHAD
6.2.5 Kepakaran dan Teknologi Tempatan
Perolehan produk tempatan atau yang dibangunkan menggunakan
teknologi tempatan hendaklah diberi keutamaan dalam pembangunan dan
keseluruhan kitar hayat sistem. Kakitangan dan sumber berkaitan sistem
hendaklah dipilih untuk mengurangkan kebergantungan kepada sumber
luaran, kepakaran dan teknologi asing.
6.2.6 Kompetensi Pasukan Projek
Penyediaan spesifikasi perolehan hendaklah memasukkan keperluan
pensijilan minimum keselamatan maklumat yang merangkumi
keselamatan data, fizikal atau persekitaran bagi pasukan projek.
6.3 Pengurusan Syarikat Pembekal
Pengurusan syarikat pembekal merangkumi pengurusan pembekalan dan
perkhidmatan bagi perkakasan, perisian, perundingan, pembangunan sistem,
penyelenggaraan serta perkhidmatan terurus sumber luaran.
6.3.1 Pemilihan
Pemilihan syarikat pembekal hendaklah mengikut peraturan semasa yang
sedang berkuat kuasa dan berdasarkan rangka kerja keselamatan siber
ini. Jabatan perlu memilih syarikat pembekal seperti kriteria berikut:
a) mempunyai pendaftaran sah dengan Kementerian Kewangan Malaysia
dalam Kod Bidang yang berkaitan;
Polisi Keselamatan Siber KPDNHEP
KPDNHEP-4-POL-Polisi Keselamatan Siber KPDNHEP-v1.0 Muka 102 dari 118
TERHAD
b) mempunyai pensijilan keselamatan yang berkaitan hendaklah diberi
keutamaan;
c) semua wakil syarikat pembekal hendaklah mempunyai kelulusan
keselamatan daripada agensi berkaitan; dan
d) produk atau perkhidmatan yang ditawarkan oleh syarikat pembekal
hendaklah melalui penilaian teknikal untuk memastikan keperluan
keselamatan dipenuhi.
6.3.2 Kontrak
Kontrak hendaklah mengandungi semua elemen yang terpakai seperti
yang terkandung dalam Rangka Kerja Keselamatan Siber termasuk:
a) Jaminan Tahap Keselamatan (Service Level Assurance (SLA));
b) tempoh kontrak serta terma yang telah ditetapkan dalam kontrak
tersebut hendaklah disemak dan disahkan oleh Penasihat Undang-
Undang;
c) jaminan terhadap pembekalan dan perkhidmatan yang disediakan oleh
syarikat pembekal bagi tempoh pelaksanaan projek yang telah
ditetapkan;
d) klausa mengenai pemindahan teknologi (Transfer Of Technology) serta
latihan;
e) kod sumber (source code) sebagai Hak Milik Kerajaan Malaysia
hendaklah dinyatakan dengan jelas dalam dokumen kontrak; dan
f) mesti menyatakan faktor keselamatan secara terperinci pada Schedule
Of Compliance (SOC).
Perkara-perkara berikut juga hendaklah dimasukkan di dalam kontrak
yang dimeterai:
Polisi Keselamatan Siber KPDNHEP
KPDNHEP-4-POL-Polisi Keselamatan Siber KPDNHEP-v1.0 Muka 103 dari 118
TERHAD
(i) Surat Perakuan;
(ii) Perakuan Akta Rahsia Rasmi 1972; dan
(iii) Hak Harta Intelek.
6.3.3 Pemantauan syarikat pembekal dan pihak ketiga
Pemantauan syarikat pembekal dan pihak ketiga hendaklah dilaksanakan
kepada semua perkhidmatan sumber luaran selaras dengan kontrak yang
dipersetujui.
Pihak KPDNHEP hendaklah memantau aspek keselamatan penggunaan
maklumat dan kemudahan proses maklumat oleh kontraktor/pihak ketiga
dikawal seperti berikut:
a) mengenal pasti risiko keselamatan maklumat dan kemudahan
pemprosesan maklumat serta melaksanakan kawalan yang sesuai
sebelum memberi kebenaran capaian;
b) mengenal pasti keperluan keselamatan sebelum memberi kebenaran
capaian atau penggunaan kepada pengguna luar/asing. Capaian
kepada aset ICT KPDNHEP perlu berlandaskan kepada kontrak;
c) memastikan semua syarat keselamatan dinyatakan dengan jelas dalam
kontrak dengan pihak ketiga;
d) memastikan pihak-pihak yang terlibat membaca, memahami dan
mematuhi peraturan-peraturan/garis panduan berkaitan yang sedia ada.
e) perkhidmatan, laporan dan rekod yang dikemukakan oleh pihak ketiga
perlu sentiasa dipantau, disemak semula dan diaudit dari semasa ke
semasa; serta
Polisi Keselamatan Siber KPDNHEP
KPDNHEP-4-POL-Polisi Keselamatan Siber KPDNHEP-v1.0 Muka 104 dari 118
TERHAD
f) memastikan kawalan keselamatan, definisi perkhidmatan dan tahap
penyampaian yang terkandung dalam kontrak dipatuhi, dilaksanakan
dan diselenggarakan oleh pihak ketiga.
6.3.4 Pengurusan Penyampaian Perkhidmatan Pihak Ketiga
Pengurusan perubahan dasar perlu mengambil kira tahap kritikal sistem
dan proses yang terlibat serta penilaian semula risiko.
6.4 Jejak Sumber
Jejak sumber merujuk kepada sejarah lengkap pergerakan aset dan kawalan
versi dokumentasi projek. Proses perolehan hendaklah memastikan rekod jejak
sumber adalah lengkap dan merangkumi keseluruhan rantaian pembekalan
perkakasan, perisian, aplikasi dan perkhidmatan.
6.4.1 Pengendalian Pergerakan Peralatan
Peralatan dan maklumat yang dibawa keluar dari pejabat hendaklah:
a) mendapat kelulusan pegawai berkaitan dan tertakluk kepada tujuan
yang dibenarkan sahaja;
b) peralatan dan maklumat perlu dilindungi dan dikawal sepanjang masa;
c) memastikan aktiviti peminjaman dan pemulangan peralatan ICT
direkodkan dan menyemak peralatan yang dipulangkan berada dalam
keadaan baik dan lengkap; dan
d) memeriksa dan memastikan peralatan ICT yang dibawa keluar tidak
mengandungi maklumat kerajaan. Ia perlu disalin dan dihapuskan.
Polisi Keselamatan Siber KPDNHEP
KPDNHEP-4-POL-Polisi Keselamatan Siber KPDNHEP-v1.0 Muka 105 dari 118
TERHAD
Bagi peralatan yang dibawa masuk ke KPDNHEP, perkara yang perlu
dipatuhi adalah seperti berikut:
a) memastikan peralatan yang dibawa masuk tidak mengancam
keselamatan ICT KPDNHEP;
b) mendapatkan kelulusan mengikut peraturan yang telah ditetapkan oleh
KPDNHEP bagi membawa masuk/keluar peralatan;
c) pengguna BYOD yang telah didaftarkan perlu memastikan peranti yang
digunakan mempunyai kawalan keselamatan seperti berikut:
(i) menetapkan mekanisme kawalan akses bagi BYOD dan akan
mengunci secara automatik apabila tidak digunakan;
(ii) melaksanakan penyulitan dan/atau perlindungan ke atas folder
yang mempunyai maklumat rasmi Kerajaan yang disimpan di
dalam peranti BYOD;
(iii) memuat turun aplikasi daripada sumber yang sah; dan
(iv) memastikan BYOD mempunyai ciri-ciri keselamatan standard
seperti Antivirus, Patching terkini, Anti Theft dan lain-lain.
6.4.2 Kawalan Versi Dokumentasi
Spesifikasi perolehan hendaklah mengandungi prosedur kawalan versi
dokumentasi seperti berikut:
a) penyediaan dan kelulusan dokumen;
b) pengurusan perubahan dokumen termasuk kelulusan semula;
c) penggunaan rujukan dokumen;
d) mengendali senarai induk dokumen dan lampiran rekod pindaan untuk
menentukan status terkini dokumen;
Polisi Keselamatan Siber KPDNHEP
KPDNHEP-4-POL-Polisi Keselamatan Siber KPDNHEP-v1.0 Muka 106 dari 118
TERHAD
e) pengedaran dokumen;
f) identifikasi dan penyimpanan dokumen usang; dan
g) Pelupusan dokumen.
6.5 Kitar Hayat Sistem
Aspek keselamatan hendaklah dimasukkan ke dalam semua fasa kitar hayat
pembangunan sistem termasuk pengumpulan keperluan, reka bentuk,
pelaksanaan, ujian, penerimaan, pemasangan, konfigurasi sistem,
penyelenggaraan dan pelupusan. Perancangan bagi Pelan Pengurusan
Keselamatan Maklumat disarankan mengikut peringkat yang diterangkan dalam
kebanyakan model Kitar Hayat Sistem ICT.
6.6 Proses Pentauliahan
6.6.1 Pentadbiran Sistem
Syarikat pembekal hendaklah menyediakan modul pentadbiran sistem
bagi tujuan mengemaskini konfigurasi sistem dan profil pengguna.
Semasa proses pentauliahan, pengguna pertama hendaklah diberikan
peranan sebagai pentadbir. Pengguna pertama boleh melantik pengguna-
pengguna lain sebagai pentadbir dengan hak yang sama.
Peranan pentadbir adalah melaksanakan penetapan dan pengemaskinian
konfigurasi sistem dan profil pengguna bagi sesuatu sistem. Sekurang-
kurangnya dua pentadbir diperlukan dalam sesuatu sistem. Peranan
pentadbir boleh diberi dan dilucutkan oleh pentadbir lain.
Polisi Keselamatan Siber KPDNHEP
KPDNHEP-4-POL-Polisi Keselamatan Siber KPDNHEP-v1.0 Muka 107 dari 118
TERHAD
6.6.2 Penilaian Tahap Keselamatan
Penilaian tahap keselamatan hendaklah dilaksanakan sebelum
pentauliahan sistem secara berkala semasa pelaksanaan dan apabila
terdapat perubahan pada persekitaran.
6.7 Proses Penyerahan Projek/Sistem
6.7.1 Sandaran dan Ujian Pemulihan
Sandaran hendaklah berjaya dilaksanakan sebelum Penyerahan
Projek/Sistem.
6.7.2 Migrasi Data
Migrasi data hendaklah berjaya dilaksanakan sebelum Penyerahan
Projek/Sistem.
6.7.3 Pengurusan Perubahan
Pengurusan perubahan hendaklah dilaksanakan untuk memaklumkan
kepada pihak berkaitan berhubung Penyerahan Projek/Sistem.
6.8 Pelupusan
Sila rujuk para 2.3.4.2 untuk maklumat berhubung pelupusan data.
Polisi Keselamatan Siber KPDNHEP
KPDNHEP-4-POL-Polisi Keselamatan Siber KPDNHEP-v1.0 Muka 108 dari 118
TERHAD
AUDIT KESELAMATAN
Audit Keselamatan adalah tindakan untuk menilai keberkesanan dan kepatuhan
terhadap Polisi Keselamatan Siber Sektor Awam, Polisi Keselamatan Siber Jabatan,
ISMS KPDNHEP, pekeliling/peraturan/garis panduan yang berkuat kuasa.
Pematuhan kepada keselamatan maklumat perlu bagi meminimumkan ancaman dan
kebarangkalian berlaku kebocoran maklumat yang menjejaskan penyampaian
perkhidmatan Kerajaan. Capaian ke atas peralatan audit sistem maklumat perlu dijaga
dan diselia bagi mengelakkan berlaku penyalahgunaan.
Peringkat pengauditan merangkumi :
a) penentuan tahap kematangan;
b) pengauditan secara dalaman; dan
c) pengauditan secara luaran.
7.1 Tahap Kematangan
Tahap kematangan boleh ditentukan berdasarkan hasil audit yang telah
dilaksanakan dan diluluskan oleh Jawatankuasa yang berkaitan. KPDNHEP
hendaklah mengekalkan tahap kematangan yang telah ditetapkan.
7.2 Audit Dalam
Semakan audit dalam adalah perlu bagi memastikan pematuhan terhadap
peraturan dan polisi yang berkuat kuasa. Pasukan audit dalam yang terlatih
hendaklah ditubuhkan bagi melaksanakan audit dalam. Audit Pematuhan ICT
yang dikendalikan oleh Pasukan Audit yang dilantik hendaklah dilaksanakan
setiap tahun. Skop pematuhan ICT hendaklah meliputi pematuhan terhadap
Polisi Keselamatan Siber Sektor Awam, Polisi Keselamatan Siber Jabatan, ISMS
KPDNHEP, pekeliling/peraturan/garis panduan yang berkuat kuasa.
Polisi Keselamatan Siber KPDNHEP
KPDNHEP-4-POL-Polisi Keselamatan Siber KPDNHEP-v1.0 Muka 109 dari 118
TERHAD
7.3 Audit Luar
Semakan audit luar adalah perlu bagi memastikan pematuhan kepada peraturan
dan polisi yang sedang berkuat kuasa dan hasil semakan semula audit dalam.
Audit luar hendaklah dilaksanakan oleh pihak yang tiada kepentingan terhadap
KPDNHEP dan sistem yang diaudit. Pensijilan audit luar hendaklah dilaksanakan
oleh badan yang diiktiraf oleh Kerajaan.
Polisi Keselamatan Siber KPDNHEP
KPDNHEP-4-POL-Polisi Keselamatan Siber KPDNHEP-v1.0 Muka 110 dari 118
TERHAD
KUAT KUASA
Kuat kuasa merupakan satu elemen yang penting bagi memastikan polisi dan
peraturan yang telah ditetapkan dapat dilaksana dan dipatuhi oleh organisasi.
Mekanisme penguatkuasaan perlu mengambilkira pekeliling serta peraturan sedia
ada yang telah dikeluarkan seperti :
a) Arahan Keselamatan
b) Akta Rahsia Rasmi 1972
c) Akta Tandatangan Digital 1997 (Akta 562)
d) Akta Jenayah Komputer 1997(Akta 563)
e) Akta Hak Cipta 1987 (pindaan 1997) tahun
f) Akta Komunikasi dan Multimedia 1998 (Akta 588)
g) Pekeliling Am Bilangan 3 Tahun 2000 Rangka Dasar Keselamatan Teknologi
Maklumat & Komunikasi Kerajaan oleh MAMPU
h) Pekeliling Am Bil. 1 Tahun 2001: Mekanisme Pelaporan Insiden Keselamatan
Teknologi Maklumat & Komunikasi (ICT) oleh MAMPU
i) Malaysian Public Sector Management of Information Communication Technology
Security Handbook (MyMIS) 2002 oleh MAMPU
j) Surat Pekeliling Am Bil. 6 Tahun 2005 Garis Panduan Penilaian Risiko
Keselamatan Maklumat Sektor Awam oleh MAMPU
k) Surat Arahan KSN – 2006 Langkah-langkah Untuk Mengukuhkan Keselamatan
Wireless LAN di Agensi-agensi Kerajaan
l) Surat Arahan KSN – 2007 Langkah-langkah Keselamatan Perlindungan Untuk
Larangan Penggunaan Telefon Bimbit atau Lain-lain Peralatan Komunikasi ICT
Tanpa Kebenaran Atau Kuasa Yang Sah
m) Arahan Teknologi Maklumat 2007
n) Akta Aktiviti Kerajaan Elektronik 2007 (Akta 680)
o) Peraturan-peraturan Pegawai Awam (Kelakuan dan Tatatertib) 1993
p) Kawalan Dokumen ISO/IEC 20007:2013
Polisi Keselamatan Siber KPDNHEP
KPDNHEP-4-POL-Polisi Keselamatan Siber KPDNHEP-v1.0 Muka 111 dari 118
TERHAD
q) Polisi Media Sosial KPDNHEP
r) Polisi Pengurusan Data dan Maklumat KPDNHEP.
s) Pekeliling Am Bil. 2 Tahun 2002: Penggunaan Dan Pemakaian Data Dictionary
Sektor Awam (Ddsa) Sebagai Standard Di Agensi-Agensi Kerajaan.
t) Pekeliling Am Bil. 1 Tahun 2015: Pelaksanaan Data Terbuka Sektor Awam.
u) Pekeliling Transformasi Pentadbiran Awam Bil. 1 Tahun 2017: Pelaksanaan
Analitis Data Raya Sektor Awam (aDRSA).
v) Surat Arahan Ketua Pengarah MAMPU 2015: Pelaksanaan Rasionalisasi Laman
Web Sektor Awam.
8.1 Penguatkuasaan Dalaman
Pasukan penguatkuasaan dalaman perlu diwujudkan. Pasukan yang dilantik
dibenarkan mengenakan tindakan dan hukuman berdasarkan mekanisme
penguatkuasaan sekiranya berlaku pelanggaran keselamatan terhadap polisi
keselamatan jabatan. Tindakan bagi pelanggaran keselamatan maklumat perlu
dikenalpasti dan dikuatkuasakan.
8.2 Pihak Berkuasa dan Skop Penguatkuasaan
Pihak berkuasa dan skop penguatkuasaan yang berbeza perlu dirujuk bagi
memastikan tindakan yang diambil adalah menyeluruh. Berikut adalah antara
senarai agensi yang dirujuk :-
8.2.1 Ketua Perkhidmatan
Pelanggaran keselamatan maklumat yang berkaitan dengan tatatertib
hendaklah dikuatkuasakan oleh Ketua Perkhidmatan mengikut Perintah
Am Bab D.
Polisi Keselamatan Siber KPDNHEP
KPDNHEP-4-POL-Polisi Keselamatan Siber KPDNHEP-v1.0 Muka 112 dari 118
TERHAD
8.2.2 Polis DiRaja Malaysia (PDRM)
Semua kesalahan jenayah hendaklah dikuatkuasakan oleh PDRM.
8.2.3 Suruhanjaya Komunikasi dan Multimedia Malaysia (SKMM)
SKMM merupakan agensi berkaitan untuk menguatkuasakan akta
Komunikasi dan Multimedia 1998 (Akta 588) termasuk Akta Tandatangan
Digital 1997 (Akta 562).
8.3 Pematuhan
8.3.1 Objektif
Meningkatkan tahap keselamatan ICT bagi mengelakkan dari pelanggaran
kepada Polisi Keselamatan Siber KPDNHEP, undang-undang jenayah
dan sivil, peraturan atau ikatan kontrak dan sebarang keperluan
keselamatan yang lain.
8.3.2 Pematuhan Dasar
Semua pengguna ICT di KPDNHEP perlu mematuhi Polisi Keselamatan
Siber KPDNHEP dan undang-undang atau peraturan-peraturan lain yang
berkaitan yang berkuat kuasa dari masa ke semasa.
Polisi Keselamatan Siber KPDNHEP
KPDNHEP-4-POL-Polisi Keselamatan Siber KPDNHEP-v1.0 Muka 113 dari 118
TERHAD
Perkara-perkara berikut perlu dipatuhi:
a) Prosedur berikut perlu diambil kira bagi mematuhi dalam penggunaan
material yang mempunyai hak cipta dan perisian proprietary perlu
dipatuhi:
(i) Akta Hakcipta 1997 hendaklah sentiasa dipatuhi bagi menghalang
aktiviti meniru hak cipta orang lain;
(ii) Penggunaan perisian yang sah;
(iii) Pembelian dari sumber yang sahih;
(iv) Sentiasa mengadakan program kesedaran terhadap dasar
perlindungan harta intelek;
(v) Mengekalkan daftar aset dan mengenalpasti semua keperluan
perlindungan terhadap asset;
(vi) Menyimpan lesen perisian;
(vii) Memastikan bilangan had lesen tidak melebihi had ditetapkan; dan
(viii) Menjalankan pemeriksaan perisian yang sah dan produk berlesen
digunakan.
b) Rekod yang penting perlu dilindungi daripada kecurian, kemusnahan
dan pemalsuan seperti yang tertakluk dalam Akta Keselamatan;
(i) Perlindungan data peribadi perlu diwujudkan selaras dengan
undang-undang sekiranya berkaitan;
(ii) Pengguna adalah dilarang daripada menyalahgunakan
kemudahan pemprosesan maklumat untuk tujuan yang tidak
dibenarkan;
(iii) Kawalan kriptografi perlu tertakluk kepada undang-undang yang
berkaitan.
Polisi Keselamatan Siber KPDNHEP
KPDNHEP-4-POL-Polisi Keselamatan Siber KPDNHEP-v1.0 Muka 114 dari 118
TERHAD
8.3.3 Pematuhan dengan Dasar, Piawaian dan Keperluan Teknikal
ICTSO hendaklah memastikan semua prosedur keselamatan dalam
bidang tugas masing-masing mematuhi dasar, piawaian dan keperluan
teknikal. Sistem maklumat perlu diperiksa secara berkala bagi mematuhi
standard pelaksanaan keselamatan ICT.
8.3.4 Pematuhan kepada Prosedur Pertukaran Maklumat
Perkara-perkara yang perlu dipatuhi adalah seperti berikut:
a) prosedur dan kawalan pertukaran maklumat yang formal perlu
diwujudkan untuk melindungi pertukaran maklumat;
b) kontrak perlu diwujudkan untuk pertukaran maklumat dan perisian di
antara KPDNHEP dengan agensi luar;
c) media yang mengandungi maklumat perlu dilindungi daripada capaian
yang tidak dibenarkan, penyalahgunaan atau kerosakan semasa
pemindahan keluar dari KPDNHEP; dan
d) maklumat yang terdapat dalam mel elektronik perlu dilindungi sebaik-
baiknya.
8.3.4.1 Keselamatan Mel Elektronik
Akaun e-mel bukanlah hak mutlak seseorang. Ia merupakan kemudahan
yang tertakluk kepada peraturan kementerian dan boleh ditarik balik jika
penggunaannya melanggar peraturan. Kandungan dan
penyelenggaraan mailbox pada komputer peribadi adalah menjadi
tanggungjawab pengguna. Langkah-langkah keselamatan bagi
penggunaan e-mel adalah seperti berikut:
Polisi Keselamatan Siber KPDNHEP
KPDNHEP-4-POL-Polisi Keselamatan Siber KPDNHEP-v1.0 Muka 115 dari 118
TERHAD
a) Penghantaran e-mel rasmi hendaklah menggunakan akaun e-mel
rasmi yang diperuntukkan oleh kementerian. E-mel persendirian
(seperti yahoo, gmail, hotmail dan sebagainya) tidak boleh
digunakan untuk tujuan rasmi;
b) Alamat e-mel penerima hendaklah dipastikan betul;
c) Pengguna hendaklah mengenal pasti dan mengesahkan identiti
pengguna yang berkomunikasi dengannya sebelum meneruskan
transaksi maklumat melalui e-mel;
d) Pengguna hendaklah memastikan tarikh dan masa sistem
komputer adalah tepat;
e) Penyimpanan salinan e-mel pada sumber storan kedua adalah
digalakkan bagi tujuan keselamatan;
f) Pengguna hendaklah mengelak dari membuka e-mel dari
penghantar yang tidak dikenali atau diragui;
g) Pengguna adalah dilarang melakukan pencerobohan ke atas
akaun pengguna lain, menggunakan akaun orang lain, berkongsi
akaun atau memberi akaun kepada orang lain;
h) Aktiviti spamming, mail-bombing, penyebaran virus, bahan-bahan
negatif, bahan yang menyalahi undang-undang, tidak beretika,
surat berantai, maklumat berbau politik, hasutan atau perkauman
atau apa-apa maklumat yang menjejaskan reputasi jabatan dan
perkhidmatan awam adalah dilarang;
i) Penggunaan kemudahan e-mel group seperti
[email protected] dan lain-lain hendaklah dengan cara
yang beretika dan benar-benar perlu sahaja bagi mengelakkan
bebanan ke atas sistem e-mel kementerian. Penghantaran e-mel
yang berulang-ulang juga adalah dilarang;
j) Pentadbir sistem berhak memasang sebarang jenis perisian
antivirus atau perkakasan penapisan e-mel yang difikirkan sesuai
bagi mencegah, menapis atau menyekat mana-mana e-mel
Polisi Keselamatan Siber KPDNHEP
KPDNHEP-4-POL-Polisi Keselamatan Siber KPDNHEP-v1.0 Muka 116 dari 118
TERHAD
diterima atau dikirim yang mengandungi virus atau berunsur
spamming;
k) Pentadbir sistem boleh memeriksa, memantau dan melihat isi
kandungan e-mel dan ruang storan pengguna e-mel serta e-sms
jika perlu (seperti atas keperluan audit dan keselamatan) tanpa
mendapat kebenaran pengguna;
l) Pentadbir sistem boleh memberi peringatan atau amaran kepada
pengguna sekiranya didapati terdapat aktiviti yang mengancam
sistem e-mel Kementerian; dan
m) Semua lampiran menggunakan format .exe, .com dan .bat tidak
dibenarkan kerana format ini berisiko membawa dan menyebarkan
virus. Pentadbir e-mel berhak menapis sebarang penghantaran
serta penerimaan kandungan e-mel yang berisiko dari masa ke
semasa.
Maklumat lanjut mengenai keselamatan e-mel boleh dirujuk kepada:
a) Pekeliling Kemajuan Pentadbiran Am Bil. 1 Tahun 2003 Garis
Panduan Mengenai Tatacara Penggunaan Internet dan Mel
Elektronik di Agensi-agensi Kerajaan;
b) Surat arahan Ketua Pengarah MAMPU bertarikh 1 Jun 2007
bertajuk “Langkah-langkah Mengenai Penggunaan Mel Elektronik
di agensi-agensi Kerajaan.”
8.3.5 Pematuhan Prosedur Operasi
a) Pengendalian Prosedur Operasi bertujuan memastikan perkhidmatan
dan pemprosesan maklumat dapat berfungsi dengan betul dan selamat.
b) Semua prosedur keselamatan ICT yang diwujudkan, dikenal pasti dan
masih diguna pakai hendaklah didokumenkan, disimpan dan dikawal.
Polisi Keselamatan Siber KPDNHEP
KPDNHEP-4-POL-Polisi Keselamatan Siber KPDNHEP-v1.0 Muka 117 dari 118
TERHAD
c) Setiap prosedur hendaklah mengandungi arahan-arahan yang jelas,
teratur dan lengkap. Semua prosedur hendaklah dikemas kini dari masa
ke semasa mengikut keperluan.
8.3.6 Pematuhan Keperluan Audit
Pematuhan kepada keperluan audit perlu bagi meminimumkan ancaman
dan memaksimumkan keberkesanan dalam proses audit sistem maklumat.
Keperluan audit dan sebarang aktiviti pemeriksaan ke atas sistem operasi
perlu dirancang dan dipersetujui bagi mengurangkan kebarangkalian
berlaku gangguan dalam penyediaan perkhidmatan. Capaian ke atas
peralatan audit sistem maklumat perlu dijaga dan diselia bagi mengelakkan
berlaku penyalahgunaan.
Polisi Keselamatan Siber KPDNHEP
KPDNHEP-4-POL-Polisi Keselamatan Siber KPDNHEP-v1.0 Muka 118 dari 118
TERHAD
Lampiran 1
PERAKUAN POLISI KESELAMATAN SIBER KPDNHEP
Nama (Huruf Besar) : ……………………………………………...............................
Nombor Kad Pengenalan: ………………………………………..............................
Jawatan :……………………………………………………………...............................
Bahagian / Cawangan / Syarikat: ………………………………………...................
Adalah dengan sesungguhnya dan sebenarnya mengaku bahawa:-
1) Saya telah membaca, memahami dan akur akan peruntukan-peruntukan yang
terkandung di dalam Polisi Keselamatan Siber KPDNHEP;
2) Saya berjanji akan menghayati Polisi Keselamatan Siber KPDNHEP
sepenuhnya pada setiap masa demi menjaga nama baik Jabatan dan Negara;
3) Saya juga akur akan sebarang pindaan Polisi Keselamatan Siber KPDNHEP;
4) Jika saya ingkar kepada peraturan-peraturan yang ditetapkan, maka tindakan
sewajarnya boleh diambil ke atas diri saya.
Tandatangan : ………………………………………
Tarikh : ………………………………………
Tandatangan tidak diperlukan jika perakuan dibuat secara atas talian.