Aplikasi garis panduan dan etika penggunaan internet
Dasar ict miti versi 2.0
1. DASAR KESELAMATAN ICT MITI - VERSI 2.0
DASAR KESELAMATAN ICT
KEMENTERIAN PERDAGANGAN
ANTARABANGSA DAN INDUSTRI
VERSI 2.0
19 FEBRUARI 2010
1
2. DASAR KESELAMATAN ICT MITI - VERSI 2.0
KANDUNGAN
PENGENALAN ……………………………………………………………………. 5
OBJEKTIF ...................................................................................................... 5
PERNYATAAN DASAR
…………………………………………………………….5
SKOP ………………………………………………………………………………...6
PRINSIP-PRINSIP …………………………………………………………………8
1.0 PEMBANGUNAN DAN PENYELENGGARAAN DASAR
1.1 Pelaksanaan Dasar ………………………………………………… ..11
1.2 Penyebaran Dasar ..…………………………………………………. 11
1.3 Penyelenggaraan Dasar ……………………………………………..11
1.4 Pengecualian Dasar ..…………………………………………………12
2.0 INFRASTRUKTUR KESELAMATAN ORGANISASI
2.1 Infrastruktur Keselamatan Organisasi ..…………………………..12
2.1.1 Ketua Setiausaha (KSU) …....………………………………..12
2.1.2 Ketua Pegawai Maklumat (CIO) …………………………….12
2.1.3 Pegawai Keselamatan ICT (ICTSO) ………………………..13
2.1.4 Pengurus Komputer ….………………………………………14
2.1.5 Pentadbir Sistem ICT ……………………………………….. 14
2.1.6 Pengguna ..……………………………………………………. 15
2.1.7 Pihak Ketiga ……………….…………………………………. 16
3.0 KAWALAN DAN PENGELASAN ASET
3.1 Akauntabiliti Aset …………………………………………………. ...17
3.1.1 Inventori Aset ………………………………………………… 17
3.1.2 Pengelasan Maklumat ...……………………………………. 17
3.1.3 Pengendalian Maklumat ……………………………………. 18
4.0 KESELAMATAN SUMBER MANUSIA
4.1 Keselamatan Sumber Manusia Dalam Tugasan Harian ……… 18
4.1.1 Sebelum Perkhidmatan ……..……………………………...18
4.1.2 Dalam Perkhidmatan ………….…………………………….19
4.1.3 Bertukar atau Perkhidmatan …………….……………...…20
5.0 KESELAMATAN FIZIKAL DAN PERSEKITARAN
5.1 Keselamatan Kawasan ……………………………………………... 20
2
3. DASAR KESELAMATAN ICT MITI - VERSI 2.0
5.1.1 Kawalan Masuk Fizikal..…………………………………… 20
5.1.2 Kawalan Larangan..………………………………………... 21
5.1.3 Keselamatan Bilik Server…………………………………. 21
5.2 Keselamatan Peralatan .……………………………………………. 22
5.2.1 Peralatan ICT ………………………………………………... 22
5.2.2 Komputer Riba ……………………………………………… 24
5.2.3 Media Storan ………………………………………………… 25
5.2.4 Media Tandatangan Digital .…..…………………………... 26
5.2.5 Media Perisian dan Aplikasi ……..……………………….. 27
5.2.6 Penyelenggaraan …..………………………………………..27
5.2.7 Peminjaman Peralatan….…..……………………………... 28
5.2.8 Pelupusan….…..…………………………………………….. 28
5.3 Keselamatan Persekitaran…………………………………………. 30
5.3.1 Bekalan Kuasa….…………………………………………… 30
5.3.2 Kabel………………………………………………………….. 31
5.3.3 Clear Desk and Clear Screen ……………………………...31
5.4 Keselamatan Dokumen……………………………………………... 32
5.4.1 Dokumen….………………………………………………….. 32
6.0 PENGURUSAN OPERASI DAN KOMUNIKASI
6.1 Pengurusan Operasi .............………………………………………….32
6.1.1 Pengendalian Prosedur.…..………………………………..32
6.1.2 Kawalan Perubahan …..…………………………………… 33
6.1.3 Perlindungan dari Perisian Berbahaya ….………………33
6.1.4 Backup ……………………………………………………..….34
6.1.5 Sistem Log ….……………………………………………….. 34
6.2 Pengurusan Rangkaian …………...……………………………………. 35
6.2.1 Kawalan Infrastruktur Rangkaian ……………………….. 35
6.3 Keselamatan Komunikasi .………..……………………………………. 36
6.3.1 Internet ….……………………………………………………. 36
6.3.2 Mel Elektronik ……………………………………………....... 38
6.3.3 Katalaluan ……….……………………………………………40
7.0 KAWALAN CAPAIAN
7.1 Pengurusan Capaian Pengguna ..………………………………….. 41
7.1.1 Akaun Pengguna …………………………………………….. 41
8.0 KESELAMATAN DALAM PEMBANGUNAN DAN
PENYELENGGARAAN SISTEM
8.1 Kriftografi ……………………………………………………………… 42
3
4. DASAR KESELAMATAN ICT MITI - VERSI 2.0
8.1.1 Penyulitan ……………………………………………………. 42
8.1.2 Tandatangan Digital ………………………………………… 42
9.0 PENGURUSAN PENGENDALIAN INSIDEN KESELAMATAN
9.1 Mekanisme Pelaporan Insiden Keselamatan ICT………………. 43
9.1.1 Mekanisme Pelaporan…………………. …………………. 43
9.2 Pengurusan Maklumat Insiden Keselamatan ICT..…………….. 44
9.2.1 Prosedur Pengurusan Maklumat Insiden Keselamatan
ICT……………………………………………………………………. 44
10.0 PENGURUSAN KESINAMBUNGAN PERKHIDMATAN
10.1 Dasar Kesinambungan Perkhidmatan ………………………... 45
10.1.1 Pelan Kesinambungan Perkhidmatan ……………….. 45
11.0 PEMATUHAN
11.1 Pematuhan dan Keperluan Perundangan ……………………. 46
11.1.1 Pematuhan Dasar ..………………………………………. 46
11.1.2 Keperluan Perundangan .……………………………….. 46
11.1.3 Pelanggaran Dasar .………………………………………. 47
4
5. DASAR KESELAMATAN ICT MITI - VERSI 2.0
PENGENALAN
Dasar Keselamatan ICT MITI mengandungi peraturan-peraturan yang mesti
dibaca dan dipatuhi dalam menggunakan aset teknologi maklumat dan
komunikasi (ICT) MITI. Dasar ini juga menerangkan kepada semua pengguna
di MITI mengenai tanggungjawab dan peranan mereka dalam melindungi aset
ICT MITI.
OBJEKTIF
Dasar Keselamatan ICT MITI diwujudkan untuk :
a) Memastikan kesinambungan perkhidmatan sekiranya berlaku sebarang
insiden keselamatan yang tidak diingini;
b) Menghalang dan meminimumkan sebarang insiden keselamatan yang
berlaku;
c) Memastikan kerahsiaan dokumen dan maklumat elektronik sentiasa
terpelihara;
d) Memastikan integriti dokumen dan maklumat elektronik supaya sentiasa
tepat, lengkap, sahih dan kemas kini. Ia hanya boleh diubah dengan
kaedah yang dibenarkan;
e) Memastikan punca dokumen dan maklumat adalah daripada sumber yang
sah dan tanpa keraguan;
f) Memastikan akses hanya kepada pengguna-pengguna yang sah; dan
g) Mencegah salah guna atau kecurian asset ICT Kerajaan.
PERNYATAAN DASAR
Keselamatan ditakrifkan sebagai keadaan yang bebas daripada ancaman dan
risiko yang tidak boleh diterima. Penjagaan keselamatan adalah suatu proses
yang berterusan. Ia melibatkan aktiviti berkala yang mesti dilakukan dari
semasa ke semasa untuk menjamin keselamatan kerana ancaman dan
kelemahan sentiasa berubah.
Keselamatan ICT adalah bermaksud keadaan di mana segala urusan
menyedia dan membekalkan perkhidmatan yang berasaskan kepada sistem
ICT berjalan secara berterusan tanpa gangguan yang boleh menjejaskan
keselamatan. Keselamatan ICT berkait rapat dengan perlindungan aset ICT.
Terdapat empat (4) komponen asas keselamatan ICT iaitu:
a) Melindungi maklumat rahsia rasmi dan maklumat rasmi kerajaan dari
capaian tanpa kuasa yang sah;
5
6. DASAR KESELAMATAN ICT MITI - VERSI 2.0
b) Menjamin setiap maklumat adalah tepat dan sempurna;
c) Memastikan ketersediaan maklumat apabila diperlukan oleh pengguna;
dan
d) Memastikan akses kepada hanya pengguna-pengguna yang sah atau
penerimaan maklumat dari sumber yang sah.
Dasar Keselamatan ICT MITI merangkumi perlindungan ke atas semua
bentuk
maklumat elektronik bertujuan untuk menjamin keselamatan maklumat
tersebut dan kebolehsediaan kepada semua pengguna yang dibenarkan.
Ciri-ciri utama keselamatan maklumat adalah seperti berikut:
a) Kerahsiaan - Maklumat tidak boleh didedahkan sewenang-wenangnya
atau dibiarkan diakses tanpa kebenaran;
b) Integriti - Data dan maklumat hendaklah tepat, lengkap dan kemas kini.
Ia hanya boleh diubah dengan cara yang dibenarkan;
c) Tidak Boleh Disangkal - Punca data dan maklumat hendaklah dari
punca yang sah dan tidak boleh disangkal;
d) Kesahihan - Data dan maklumat hendaklah dijamin kesahihannya; dan
e) Ketersediaan - Data dan maklumat hendaklah boleh diakses pada bila-
bila masa.
Selain dari itu, langkah-langkah ke arah menjamin keselamatan ICT
hendaklah bersandarkan kepada penilaian yang bersesuaian dengan
perubahan semasa terhadap kelemahan semula jadi aset ICT; ancaman yang
wujud akibat daripada kelemahan tersebut; risiko yang mungkin timbul; dan
langkah-langkah pencegahan sesuai yang boleh diambil untuk menangani
risiko berkenaan.
SKOP
Aset ICT MITI terdiri daripada perkakasan, perisian, perkhidmatan, data atau
maklumat dan manusia. Dasar Keselamatan ICT MITI menetapkan
keperluan-keperluan asas berikut:
(a) Data dan maklumat hendaklah boleh diakses secara berterusan dengan
cepat, tepat, mudah dan boleh dipercayai. Ini adalah amat perlu bagi
membolehkan keputusan dan penyampaian perkhidmatan dilakukan dengan
berkesan dan berkualiti; dan
(b) Semua data dan maklumat hendaklah dijaga kerahsiaannya dan
dikendalikan sebaik mungkin pada setiap masa bagi memastikan
kesempurnaan dan ketepatan maklumat serta untuk melindungi kepentingan
kerajaan, perkhidmatan dan masyarakat.
6
7. DASAR KESELAMATAN ICT MITI - VERSI 2.0
Bagi menentukan Aset ICT ini terjamin keselamatannya sepanjang masa,
Dasar Keselamatan ICT MITI ini merangkumi perlindungan semua bentuk
maklumat kerajaan yang dimasukkan, diwujud, dimusnah, disimpan, dijana,
dicetak, diakses, diedar, dalam penghantaran, dan yang dibuat salinan
keselamatan. Ini akan dilakukan melalui pewujudan dan penguatkuasaan
sistem kawalan dan prosedur dalam pengendalian semua perkara-perkara
berikut:
(a) Perkakasan
Semua aset yang digunakan untuk menyokong pemprosesan maklumat
dan kemudahan storan MITI. Contoh komputer, pelayan, peralatan
komunikasi dan sebagainya;
(b) Perisian
Program, prosedur atau peraturan yang ditulis dan dokumentasi yang
berkaitan dengan sistem pengoperasian komputer yang disimpan di dalam
sistem ICT. Contoh perisian aplikasi atau perisian sistem seperti sistem
pengoperasian, sistem pangkalan data, perisian sistem rangkaian, atau
aplikasi pejabat yang menyediakan kemudahan pemprosesan maklumat
kepada MITI;
(c) Perkhidmatan
Perkhidmatan atau sistem yang menyokong aset lain untuk melaksanakan
fungsi-fungsinya. Contoh:
i. Perkhidmatan rangkaian seperti LAN, WAN dan lain-lain;
ii. Sistem halangan akses seperti sistem kad akses; dan
iii. Perkhidmatan sokongan seperti kemudahan elektrik, penghawa dingin,
sistem pencegah kebakaran dan lain-lain.
(d) Data atau Maklumat
Koleksi fakta-fakta dalam bentuk kertas atau mesej elektronik, yang
mengandungi maklumat-maklumat untuk digunakan bagi mencapai misi
dan objektif MITI. Contohnya, sistem dokumentasi, prosedur operasi,
rekod-rekod MITI, profil-profil pelanggan, pangkalan data dan fail-fail data,
maklumat-maklumat arkib dan lain-lain;
(e) Manusia
Individu yang mempunyai pengetahuan dan kemahiran untuk
melaksanakan skop kerja harian MITI bagi mencapai misi dan objektif
7
8. DASAR KESELAMATAN ICT MITI - VERSI 2.0
agensi. Individu berkenaan merupakan aset berdasarkan kepada tugas-
tugas dan fungsi yang dilaksanakan; dan
(f) Premis Komputer Dan Komunikasi
Semua kemudahan serta premis yang digunakan untuk menempatkan
perkara (a) - (e) di atas.
Setiap perkara di atas perlu diberi perlindungan rapi. Sebarang kebocoran
rahsia atau kelemahan perlindungan adalah dianggap sebagai perlanggaran
langkah-langkah keselamatan.
PRINSIP-PRINSIP
Prinsip-prinsip yang menjadi asas kepada Dasar Keselamatan ICT MITI dan
perlu dipatuhi adalah seperti berikut :
a. Akses Atas Dasar Perlu Mengetahui
Akses terhadap penggunaan aset ICT hanya diberikan untuk tujuan
spesifik dan dihadkan kepada pengguna tertentu atas dasar "perlu
mengetahui" Sahaja. Ini bermakna akses hanya akan diberikan sekiranya
peranan atau fungsi pengguna memerlukan maklumat tersebut.
Pertimbangan akses di bawah prinsip ini adalah berasaskan kepada
klasifikasi maklumat dan tapisan keselamatan pengguna seperti berikut :
i.Klasifikasi maklumat seperti yang tercatat di dalam Arahan
Keselamatan, di mana maklumat dikategorikan kepada Rahsia Besar,
Rahsia, Sulit dan Terhad.
ii.Tapisan keselamatan pengguna yang mematuhi prinsip bahawa
pengguna boleh diberi kebenaran mengakses kategori maklumat tertentu
setelah siasatan latarbelakang menunjukkan tiada sebab atau faktor
untuk menghalang pengguna daripada berbuat demikian.
b. Hak Akses Minimum
Hak akses kepada pengguna hanya diberi pada tahap yang paling
minimum iaitu untuk membaca dan/atau melihat sahaja. Kelulusan
diperlukan untuk membolehkan pegawai mewujud, menyimpan,
mengemaskini, mengubah dan membatalkan sesuatu data atau
8
9. DASAR KESELAMATAN ICT MITI - VERSI 2.0
maklumat.
c. Akauntabiliti
Semua pengguna adalah dipertanggungjawabkan ke atas semua
tindakannya terhadap aset ICT MITI. Tanggungjawab ini perlu dinyatakan
dengan jelas sesuai dengan tahap sensitiviti sesuatu sumber ICT. Untuk
menentukan tanggungjawab ini dipatuhi, sistem ICT hendaklah mampu
menyokong kemudahan mengesan atau mengesah bahawa pengguna
sistem maklumat boleh dipertanggungjawabkan atas tindakan mereka.
Akauntabiliti atau tanggungjawab pengguna termasuklah:
i. Menghalang pendedahan maklumat kepada pihak yang tidak
dibenarkan;
ii. Memeriksa maklumat dan menentukan ianya tepat dan lengkap
dari
semasa ke semasa;
iii. Menentukan maklumat sedia untuk digunakan;
iv. Menjaga kerahsiaan kata laluan;
v. Mematuhi standard, prosedur, langkah dan garis panduan
keselamatan yang ditetapkan;
vi. Memberi perhatian kepada maklumat terperingkat terutama
semasa
pewujudan, pemprosesan, penyimpanan, penghantaran,
penyampaian, pertukaran dan pemusnahan; dan
vii. Menjaga kerahsiaan langkah-langkah keselamatan ICT dari
diketahui
umum.
d. Pengasingan
Tugas mewujud, memadam, kemas kini, mengubah dan mengesahkan
data perlu diasingkan bagi mengelakkan daripada capaian yang tidak
dibenarkan serta melindungi aset ICT daripada kesilapan, kebocoran
maklumat terperingkat atau dimanipulasi. Pengasingan juga merangkumi
tindakan memisahkan antara kumpulan operasi dan rangkaian.
Secara minimum, semua sistem ICT memerlukan persekitaran operasi
yang berasingan seperti berikut :
i. Persekitaran pembangunan bagi aplikasi dalam proses
pembangunan.
ii. Persekitaran penerimaan bagi pengujian aplikasi.
9
10. DASAR KESELAMATAN ICT MITI - VERSI 2.0
iii. Persekitaran sebenar bagi pengoperasian aplikasi.
e. Pengauditan
Pengauditan adalah tindakan untuk mengenal pasti insiden berkaitan
keselamatan atau mengenalpasti keadaan yang mengancam
keselamatan. Ia membabitkan pemeliharaan semua rekod berkaitan
tindakan keselamatan. Dengan itu, aset ICT seperti komputer, pelayan,
router, firewall dan rangkaian hendaklah ditentukan dapat menjana dan
meyimpan log tindakan keselamatan atau audit trail.
f. Pematuhan
Dasar Keselamatan ICT MITI hendaklah dibaca, difahami dan dipatuhi
bagi mengelakkan sebarang bentuk pelanggaran ke atasnya yang boleh
membawa ancaman kepada keselamatan ICT.
g. Pemulihan
Pemulihan sistem amat perlu untuk memastikan kebolehsediaan dan
kebolehcapaian. Objektif utama adalah untuk meminimumkan sebarang
gangguan atau kerugian akibat daripada ketidaksediaan. Pemulihan
boleh
dilakukan melalui aktiviti penduaan dan mewujudkan pelan pemulihan
bencana/kesinambungan perkhidmatan;
h. Saling bergantung
Setiap prinsip di atas adalah saling lengkap-melengkapi dan bergantung
antara satu sama lain. Dengan itu, tindakan mempelbagaikan pendekatan
dalam menyusun dan mencorakkan sebanyak mungkin mekanisme
keselamatan adalah perlu bagi menjamin keselamatan yang maksimum.
10
11. DASAR KESELAMATAN ICT MITI - VERSI 2.0
1.0 Pembangunan dan Penyelenggaraan Dasar
Dasar Keselamatan ICT
1.1 Pelaksanaan Dasar
Pelaksanaan dasar ini akan dijalankan oleh Ketua KSU
Setiausaha (KSU) MITI, dibantu oleh Pasukan
Pengurusan Keselamatan ICT yang terdiri daripada
Ketua Pegawai Maklumat (CIO), Pegawai
Keselamatan ICT (ICTSO) dan semua Pengarah
Bahagian.
1.2 Penyebaran Dasar
Dasar ini perlu disebarkan kepada semua pengguna ICTSO
MITI (termasuk kakitangan, pembekal, pakar runding
dll.)
1.3 Penyelenggaraan Dasar
Dasar Keselamatan ICT MITI adalah tertakluk ICTSO
kepada semakan dan pindaan dari semasa ke
semasa selaras dengan perubahan teknologi,
aplikasi, prosedur, perundangan dan kepentingan
sosial. Berikut adalah prosedur yang berhubung
dengan penyelenggaraan Dasar Keselamatan ICT
MITI:
a. kenal pasti dan tentukan perubahan yang
diperlukan;
b. kemuka cadangan pindaan secara bertulis
kepada ICTSO untuk pembentangan dan
persetujuan Mesyuarat Jawatan Kuasa
Pemandu ICT (JPICT);
c. perubahan yang telah dipersetujui oleh JPICT
dimaklumkan kepada semua pengguna; dan
d. dasar ini hendaklah dikaji semula sekurang-
kurangnya sekali setahun.
11
12. DASAR KESELAMATAN ICT MITI - VERSI 2.0
1.4 Pengecualian Dasar
Dasar Keselamatan ICT MITI adalah terpakai Semua
kepada semua pengguna ICT MITI dan tiada Pengguna
pengecualian diberikan.
2.0 Keselamatan Organisasi
2.1 Infrastruktur Organisasi Keselamatan
Objektif : Menerangkan peranan dan tanggungjawab individu yang terlibat
dengan lebih jelas dan teratur dalam mencapai objektif organisasi.
2.1.1 KSU
Peranan dan tanggungjawab KSU adalah seperti KSU
berikut :
a. memastikan semua pengguna memahami
peruntukan-peruntukan di bawah Dasar
Keselamatan ICT MITI;
b. memastikan semua pengguna mematuhi Dasar
Keselamatan ICT MITI;
c. memastikan semua keperluan organisasi
(sumber kewangan, sumber kakitangan dan
perlindungan keselamatan) adalah mencukupi ;
dan
d. memastikan penilaian risiko dan program
keselamatan ICT dilaksanakan berpandukan
kepada garis panduan, prosedur dan langkah
keselamatan ICT.
2.1.2 Ketua Pegawai Maklumat (CIO)
Timbalan Ketua Setiausaha (Perdagangan) adalah TKSU(P)
12
13. DASAR KESELAMATAN ICT MITI - VERSI 2.0
Ketua Pegawai Maklumat (CIO). Peranan dan
tanggung jawab beliau adalah seperti berikut :
a. membantu KSU dalam melaksanakan tanggung
jawab menjaga keselamatan aset ICT
berdasarkan Dasar Keselamatan ICT MITI;
b. menentukan keperluan keselamatan ICT; dan
c. membangun dan menyelaras pelaksanaan pelan
latihan dan program kesedaran mengenai
keselamatan ICT.
2.1.3 Pegawai Keselamatan ICT (ICTSO)
Peranan dan tanggungjawab ICTSO yang dilantik ICTSO
adalah seperti berikut :
a. menyedia dan melaksanakan program-program
kesedaran mengenai keselamatan ICT MITI;
b. menguatkuasakan Dasar Keselamatan ICT MITI;
c. memberi penerangan dan pendedahan
berkenaan Dasar Keselamatan ICT MITI kepada
semua pengguna;
d. mewujudkan garis panduan, prosedur dan
tatacara selaras dengan keperluan Dasar
Keselamatan ICT MITI;
e. menjalankan pengurusan risiko;
f. menjalankan audit, mengkaji semula, merumus
tindakbalas pengurusan agensi berdasarkan
hasil penemuan dan menyediakan laporan
mengenainya;
g. memberi amaran terhadap kemungkinan
berlakunya ancaman merbahaya seperti virus
dan memberi khidmat nasihat serta
menyediakan langkah-langkah perlindungan
13
14. DASAR KESELAMATAN ICT MITI - VERSI 2.0
yang bersesuaian;
h. membangunkan satu pasukan yang
menguruskan insiden keselamatan;
i. menyelaras atau membantu siasatan berkenaan
dengan ancaman atau sebarang serangan lain
ke atas aset ICT;
j. bekerjasama dengan semua pihak yang
berkaitan dalam mengenal pasti punca ancaman
atau insiden keselamatan ICT dan
memperakukan langkah-langkah baik pulih
dengan segera; dan
k. memperakui proses pengambilan tindakan
tatatertib ke atas pengguna yang melanggar
Dasar Keselamatan ICT MITI.
2.1.4 Pengurus Komputer
Pengarah Bahagian Pengurusan Maklumat (BPM) Pengarah
merupakan Pengurus Komputer MITI. Peranan dan BPM
tanggungjawab beliau adalah seperti berikut :
a. memastikan semua pengguna memahami dan
mematuhi Dasar Keselamatan ICT MITI,
tatacara dan garis panduan yang dikeluarkan;
b. mengkaji semula dan melaksanakan kawalan
keselamatan ICT selaras dengan keperluan
MITI;
c. menentukan kawalan akses semua pengguna
terhadap aset ICT MITI dan membuat semakan
berkala berkenaan hak akses;
d. merangka dan menyemak pelan kontigensi MITI;
e. melaporkan sebarang masalah berkaitan
dengan keselamatan ICT kepada CIO; dan
14
15. DASAR KESELAMATAN ICT MITI - VERSI 2.0
f. menyimpan rekod, bahan bukti dan laporan
terkini mengenai ancaman keselamatan ICT
MITI.
2.1.5 Pentadbir Sistem ICT
Peranan dan tanggungjawab pentadbir sistem ICT BPM
adalah seperti berikut :
a. mengambil tindakan yang bersesuaian dengan
segera apabila dimaklumkan mengenai
kakitangan yang berhenti, bertukar atau berlaku
perubahan dalam bidang tugas;
b. menentukan ketepatan dan kesempurnaan
sesuatu tahap capaian berdasarkan arahan
pemilik sumber maklumat sebagaimana yang
telah ditetapkan di dalam Dasar Keselamatan
ICT MITI;
c. memantau aktiviti capaian harian pengguna;
d. mengenal pasti aktiviti-aktiviti yang tidak normal
seperti pencerobohan dan pengubahsuaian data
tanpa kebenaran dan membatalkan atau
memberhentikannya dengan serta merta;
e. menyimpan dan menganalisis rekod jejak audit;
f. menyediakan laporan aktiviti capaian kepada
pemilik maklumat berkenaan secara berkala;
dan
g. memastikan setiap pengguna dikenali dengan
menggunakan User ID yang unik.
2.1.6 Pengguna
Peranan dan tanggungjawab pengguna adalah Semua
seperti berikut : Pengguna
a. membaca, memahami dan mematuhi Dasar
15
16. DASAR KESELAMATAN ICT MITI - VERSI 2.0
Keselamatan ICT MITI;
b. mengetahui dan memahami implikasi
keselamatan ICT, kesan dari tindakannya;
c. lulus tapisan keselamatan;
d. melaksanakan prinsip-prinsip Dasar
Keselamatan ICT dan menjaga kerahsiaan
maklumat MITI;
e. melaksanakan langkah-langkah perlindungan
seperti berikut :
i. menghalang pendedahan maklumat kepada
pihak yang tidak dibenarkan;
ii. memeriksa maklumat dan menentukan ianya
tepat dan lengkap dari masa ke semasa;
iii. menentukan maklumat sedia untuk
digunakan;
iv. menjaga kerahsiaan kata laluan;
v. mematuhi standard, prosedur, langkah garis
panduan keselamatan yang ditetapkan;
vi. memberi perhatian kepada maklumat
terperingkat terutama semasa pewujudan,
pemprosesan, penyimpanan, penghantaran,
penyampaian, pertukaran dan pemusnahan;
dan
vii. menjaga kerahsiaan langkah-langkah
keselamatan ICT dari diketahui umum.
f. melaporkan sebarang aktiviti yang mengancam
keselamatan ICT kepada ICTSO dengan segera;
g. menghadiri program-program kesedaran
keselamatan ICT; dan
h. menandatangani surat akuan pematuhan Dasar
Keselamatan ICT MITI.
2.1.7 Pihak Ketiga
16
17. DASAR KESELAMATAN ICT MITI - VERSI 2.0
Pihak ketiga terdiri daripada Kontraktor, Pembekal CIO, ICTSO,
dan Penyedia Perkhidmatan Luaran. Peranan dan Pengurus
tanggungjawab Pihak Ketiga adalah seperti berikut : Komputer,
Pentadbir
a. memahami, menyokong dan mematuhi Dasar Sistem ICT
Keselamatan ICT MITI, standard dan garis dan Pihak
panduan yang dikeluarkan; Ketiga.
b. menyedari implikasi keselamatan ke atas
sebarang tindakan yang dilakukan;
c. melaporkan dengan segera sebarang aktiviti
atau keadaan yang meragukan yang mungkin
memberikan ancaman kepada aset maklumat;
dan
d. memastikan maklumat MITI terpelihara
kerahsiaannya.
3.0 Kawalan dan Pengelasan Aset
3.1 Akauntabiliti Aset
Objektif : Memberi dan menyokong perlindungan yang bersesuaian ke atas
semua aset ICT MITI.
3.1.1 Inventori Aset
Ini bertujuan memastikan semua aset ICT diberi kawalan Semua
dan perlindungan yang sesuai oleh pemilik atau Pengguna
pemegang amanah masing-masing. Perkara yang perlu
dipatuhi adalah seperti berikut:
(a) Memastikan semua aset ICT dikenal pasti dan
maklumat aset direkod dalam borang daftar harta
modal dan inventori dan sentiasa dikemaskini;
(b) Memastikan semua aset ICT mempunyai pemilik dan
dikendalikan oleh pengguna yang dibenarkan sahaja;
(c) Memastikan semua pengguna mengesahkan
17
18. DASAR KESELAMATAN ICT MITI - VERSI 2.0
penempatan aset ICT yang ditempatkan di MITI;
(d) Peraturan bagi pengendalian aset ICT hendaklah
dikenalpasti, di dokumen dan dilaksanakan;
(e) Setiap pengguna adalah bertanggungjawab ke atas
semua aset ICT dibawah kawalannya.
3.1.2 Pengelasan Maklumat
Semua
Maklumat hendaklah dikelaskan dan dilabelkan Pengguna
sebagaimana yang telah ditetapkan di dalam
dokumen Arahan Keselamatan seperti berikut :
(a) Rahsia Besar;
(b) Rahsia;
(c) Sulit; atau
(d) Terhad.
3.1.3 Pengendalian Maklumat
Semua
Aktiviti pengendalian maklumat seperti mengumpul, Pengguna
memproses, menyimpan, menghantar, menyampai,
menukar dan memusnah hendaklah mengambil kira
langkah-langkah keselamatan berikut:
(a) Menghalang pendedahan maklumat kepada
pihak yang tidak dibenarkan;
(b) Memeriksa maklumat dan menentukan ia tepat
dan lengkap dari semasa ke semasa;
(c) Menentukan maklumat sedia untuk digunakan;
(d) Menjaga kerahsiaan kata laluan;
(e) Mematuhi standard, prosedur, langkah dan garis
panduan keselamatan yang ditetapkan;
(f) Memberi perhatian kepada maklumat
terperingkat terutama semasa pewujudan,
pemprosesan, penyimpanan, penghantaran,
penyampaian, pertukaran dan pemusnahan; dan
(g) Menjaga kerahsiaan langkah-langkah
keselamatan ICT dari diketahui umum.
4.0 Keselamatan Sumber Manusia
4.1 Keselamatan Sumber Manusia Dalam Tugas Harian
18
19. DASAR KESELAMATAN ICT MITI - VERSI 2.0
Objektif : Memastikan semua sumber manusia yang terlibat termasuk
pegawai
Dan kakitangan MITI, pembekal, pakar runding dan pihak-pihak yang
berkepentingan memahami tanggungjawab dan peranan serta meningkatkan
pengetahuan dalam keselamatan aset ICT. Semua warga MITI hendaklah
mematuhi terma dan syarat perkhidmatan serta peraturan semasa yang
berkuat kuasa.
4.1.1 Sebelum Perkhidmatan
Perkara-perkara yang mesti dipatuhi termasuk yang Semua
berikut: Pengguna
(a) Menyatakan dengan lengkap dan jelas peranan
dan tanggungjawab pegawai dan kakitangan
MAMPU serta pihak ketiga yang terlibat dalam
menjamin keselamatan aset ICT sebelum,
semasa dan selepas perkhidmatan;
(b) Menjalankan tapisan keselamatan untuk pegawai
dan kakitangan MAMPU serta pihak ketiga yang
terlibat berasaskan keperluan perundangan,
peraturan dan etika terpakai yang selaras
dengan keperluan perkhidmatan, peringkat
maklumat yang akan dicapai serta risiko yang
dijangkakan;
(c) Mematuhi semua terma dan syarat perkhidmatan
yang ditawarkan dan peraturan semasa yang
berkuat kuasa berdasarkan perjanjian yang telah
ditetapkan.
4.1.2 Dalam Perkhidmatan
Perkara-perkara yang perlu dipatuhi termasuk yang Semua
berikut: Pengguna
(a) Memastikan pegawai dan kakitangan MITI serta
pihak ketiga yang berkepentingan mengurus
keselamatan aset ICT berdasarkan perundangan
dan peraturan yang ditetapkan oleh MITI;
(b) Memastikan latihan kesedaran dan yang
berkaitan mengenai pengurusan keselamatan
aset ICT diberi kepada pengguna ICT MITI
secara berterusan dalam melaksanakan tugas-
19
20. DASAR KESELAMATAN ICT MITI - VERSI 2.0
tugas dan tanggungjawab mereka, dan sekiranya
perlu diberi kepada pihak ketiga yang
berkepentingan dari semasa ke semasa;
(c) Memastikan adanya proses tindakan disiplin dan/
atau undangundang ke atas pegawai dan
kakitangan MITI serta pihak ketiga yang
berkepentingan sekiranya berlaku perlanggaran
dengan perundangan dan peraturan ditetapkan
oleh MITI;
(d) Memantapkan pengetahuan berkaitan dengan
penggunaan asset ICT bagi memastikan setiap
kemudahan ICT digunakan dengan cara dan
kaedah yang betul demi menjamin kepentingan
keselamatan ICT. Sebarang kursus dan latihan
teknikal yang diperlukan, pengguna boleh
merujuk kepada Unit Latihan, Bahagian
Pengurusan Sumber Manusia, MITI.
4.1.3 Bertukar Atau Tamat Perkhidmatan
Perkara-perkara yang perlu dipatuhi termasuk yang Semua
berikut: Pengguna
(a) Memastikan semua aset ICT dikembalikan
kepada MITI mengikut peraturan dan/atau terma
perkhidmatan yang ditetapkan;
(b) Membatalkan atau menarik balik semua
kebenaran capaian ke atas maklumat dan
kemudahan proses maklumat mengikut
peraturan yang ditetapkan oleh MITI dan/atau
terma perkhidmatan.
5.0 Keselamatan Fizikal dan Persekitaran
5.1 Keselamatan Kawasan
Objektif : Melindungi premis dan maklumat daripada sebarang bentuk
20
21. DASAR KESELAMATAN ICT MITI - VERSI 2.0
pencerobohan, ancaman, kerosakan serta akses yang tidak dibenarkan.
5.1.1 Kawalan Masuk Fizikal
Perkara-perkara yang perlu dipatuhi termasuk yang Semua
berikut: Pengguna
a. Setiap pengguna MITI hendaklah memakai atau
mengenakan pas keselamatan sepanjang waktu
bertugas;
b. Semua pas keselamatan hendaklah diserahkan
balik kepada MITI apabila pengguna berhenti
atau bersara;
c. Setiap pelawat hendaklah mendapatkan Pas
Keselamatan Pelawat di Kaunter Pelawat di pintu
masuk Bangunan MITI. Amalan ini juga perlu
dipatuhi di setiap cawangan MITI negeri. Pas ini
hendaklah dikembalikan semula selepas tamat
lawatan; dan
d. Kehilangan pas mestilah dilaporkan dengan
segera.
5.1.2 Kawasan Larangan
Kawasan larangan ditakrifkan sebagai kawasan yang Semua
dihadkan kemasukan kepada pegawai-pegawai yang Pengguna
tertentu sahaja. Ini dilaksanakan untuk melindungi
aset ICT yang terdapat di dalam kawasan tersebut.
Kawasan larangan di MITI adalah bilik Ketua
Pengarah, bilik Timbalan
Ketua Pengarah, Bilik Server dan Stor Penyimpanan
Barangan ICT.
a. Akses kepada kawasan larangan hanyalah
kepada pegawai-pegawai yang dibenarkan
sahaja; dan
b. Pihak ketiga adalah dilarang sama sekali untuk
memasuki kawasan larangan kecuali, bagi kes-
kes tertentu seperti memberi perkhidmatan
21
22. DASAR KESELAMATAN ICT MITI - VERSI 2.0
sokongan atau bantuan teknikal, dan mereka
hendaklah diiringi sepanjang masa sehingga
tugas di kawasan berkenaan selesai.
5.1.3 Keselamatan Bilik Server
Untuk memastikan server penting sentiasa selamat BPM
daripada pencerobohan atau sebarang ancaman dan
membolehkan ia dicapai sepanjang masa, semua
server hendaklah diletakkan di dalam bilik server
yang mempunyai kemudahan keselamatan,
penyaman udara khas dan kemudahan perlindungan
suhu dan kebakaran. Bilik server juga seharusnya
dilengkapkan dengan ciri-ciri keselamatan lain
seperti firewall dan UPS. Berikut beberapa langkah
untuk melindungi server tersebut :
a. Pemantauan dan pengawalan keluar masuk
pengguna ke bilik server melalui sistem Security
Access Door;
b. Hanya pengguna yang mempunyai kad access
door sahaja yang dibenarkan memasuki bilik
server;
c. Setiap server mestilah dilabelkan
penggunaannya bagi memudahkan setiap
pentadbir menjalankan tugas masing-masing;
d. Memastikan bilik server sentiasa bersih dan
komputer tidak terdedah kepada habuk;
e. Penghawa dingin mestilah berfungsi dengan baik
di mana suhunya di dalam lingkungan 19.5oC
dan kelembapan di paras 50.7%;
f. Semua peralatan keselamatan, UPS dan
penghawa dingin mestilah diselenggarakan
sekerap yang mungkin; dan
g. Kertas-kertas cetakan yang tidak digunakan
perlulah diricih (shred).
22
23. DASAR KESELAMATAN ICT MITI - VERSI 2.0
5.2 Keselamatan Peralatan
Objektif : Melindungi peralatan ICT MITI dari kehilangan, kerosakan, kecurian
serta gangguan kepada peralatan tersebut.
5.2.1 Peralatan ICT
Perkara-perkara yang perlu dipatuhi adalah seperti Semua
berikut: Pengguna
a. Pengguna hendaklah menyemak dan
memastikan semua peralatan ICT di bawah
kawalannya berfungsi dengan sempurna;
b. Pengguna bertanggungjawab sepenuhnya ke
atas komputer masing-masing dan tidak
dibenarkan membuat sebarang pertukaran
perkakasan dan konfigurasi yang telah
ditetapkan;
c. Pengguna dilarang sama sekali menambah,
menanggal atau mengganti sebarang perkakasan
ICT yang telah ditetapkan;
d. Pengguna dilarang membuat instalasi sebarang
perisian tambahan tanpa kebenaran Pihak BPM;
e. Pengguna adalah bertanggungjawab di atas
kerosakan atau kehilangan peralatan ICT di
bawah kawalannya;
f. Pengguna mesti memastikan perisian antivirus di
computer peribadi mereka sentiasa aktif
(activated) dan dikemas kini di samping
melakukan imbasan ke atas media storan yang
digunakan;
g. Semua peralatan sokongan ICT hendaklah
dilindungi daripada kecurian, kerosakan,
penyalahgunaan atau pengubahsuaian tanpa
kebenaran;
23
24. DASAR KESELAMATAN ICT MITI - VERSI 2.0
h. Peralatan-peralatan kritikal perlu disokong oleh
Uninterruptable Power Supply (UPS);
i. Semua peralatan ICT hendaklah disimpan atau
diletakkan di tempat yang teratur, bersih dan
mempunyai ciri-ciri keselamatan. Peralatan
rangkaian seperti switches, hub, router dan lain-
lain perlu diletakkan di dalam rak khas dan
berkunci;
j. Semua peralatan yang digunakan secara
berterusan mestilah diletakkan di kawasan yang
berhawa dingin dan mempunyai pengudaraan
(air ventilation) yang sesuai;
k. Peralatan ICT yang hendak dibawa keluar dari
premis MITI, perlulah mendapat kelulusan Pihak
BPM dan direkodkan bagi tujuan pemantauan;
l. Peralatan ICT yang hilang hendaklah dilaporkan
kepada ICTSO dan Pegawai Aset dengan
segera;
m. Pengendalian peralatan ICT hendaklah mematuhi
dan merujuk kepada peraturan semasa yang
berkuat kuasa;
n. Pengguna tidak dibenarkan mengubah
kedudukan komputer dari tempat asal ia
ditempatkan tanpa kebenaran Pihak BPM;
o. Sebarang kerosakan peralatan ICT hendaklah
dilaporkan kepada Pihak BPM untuk di baik pulih;
p. Sebarang pelekat selain bagi tujuan rasmi tidak
dibenarkan. Ini bagi menjamin peralatan tersebut
sentiasa berkeadaan baik;
q. Konfigurasi alamat IP tidak dibenarkan diubah
daripada alamat IPyang asal;
24
25. DASAR KESELAMATAN ICT MITI - VERSI 2.0
r. Pengguna dilarang sama sekali mengubah kata
laluan bagi pentadbir (administrator password)
yang telah ditetapkan oleh Pihak BPM;
s. Pengguna bertanggungjawab terhadap
perkakasan, perisian dan maklumat di bawah
jagaannya dan hendaklah digunakan sepenuhnya
bagi urusan rasmi sahaja;
t. Pengguna hendaklah memastikan semua
perkakasan komputer, pencetak dan pengimbas
dalam keadaan “OFF” apabila meninggalkan
pejabat;
u. Sebarang bentuk penyelewengan atau salah
guna peralatan ICT hendaklah dilaporkan kepada
ICTSO; dan
v. Memastikan plag dicabut daripada suis utama
(main switch) bagi mengelakkan kerosakan
perkakasan sebelum meninggalkan pejabat jika
berlaku kejadian seperti petir, kilat dan
sebagainya.
5.2.2 Komputer Riba
a. Elakkan menggunakan beg komputer riba yang Semua
diberikan sekiranya komputer tersebut ingin Pengguna
dibawa keluar negara. Ini untuk mengelakkan
daripada ianya menjadi sasaran penjenayah;
b. Pastikan komputer riba sentiasa berada
disamping anda dalam apa jua keadaan;
c. Pastikan pengguna membuat satu salinan
segala maklumat yang berada di dalam
komputer riba di dalam media storan yang lain
contoh seperti pen drive sebelum dibawa keluar
daripada pejabat/hotel atau keluar negara;
d. Elakkan daripada menyimpan terlalu banyak
maklumat penting di dalam komputer riba,
25
26. DASAR KESELAMATAN ICT MITI - VERSI 2.0
sebaliknya simpan maklumat tersebut di dalam
media storan yang lain;
e. Komputer riba yang baru dibawa pulang atau
dipulangkan ke MITI mestilah dikuarantin
sehingga proses penyahpepijat dilakukan;
f. Pegawai yang meminjam/menggunakan
komputer riba MITI bertanggungjawab untuk
menjaga keselamatan komputer riba tersebut
daripada sebarang kemalangan atau kecurian;
g. Berhati-hati dengan penggunaan rangkaian
tanpa wayar. Matikan Bluetooth atau Infra Red
sekiranya ianya tidak diperlukan; dan
h. Laporkan dengan segera jika berlaku sebarang
insiden yang tidak diingini kepada Bahagian
Pengurusan Maklumat MITI.
5.2.3 Media Storan
Disket, cakera padat, backup tape dan pen drive Pentadbir
merupakan antara media storan elektronik yang Sistem ICT
digunakan untuk menyimpan data atau kandungan dan Semua
fail. Langkah-langkah pencegahan berikut hendaklah Pengguna.
diambil untuk memastikan kerahsiaan, integriti dan
kebolehsediaan maklumat yang disimpan adalah
terjamin dan selamat :
a. Penyediaan ruang penyimpanan yang baik dan
mempunyai ciri-ciri keselamatan bersesuaian
dengan kandungan maklumat;
b. Akses untuk memasuki kawasan penyimpanan
media hendaklah terhad kepada pengguna yang
dibenarkan sahaja; dan
c. Semua media storan perlu dikawal bagi
mencegah dari capaian yang tidak dibenarkan,
kecurian dan kemusnahan;
26
27. DASAR KESELAMATAN ICT MITI - VERSI 2.0
d. Semua media storan yang mengandungi data
kritikal hendaklah disimpan di dalam peti
keselamatan yang mempunyai ciri-ciri
keselamatan termasuk tahan dari dipecahkan,
api, air dan medan magnet;
e. Akses dan pergerakan media storan hendaklah
direkodkan;
f. Perkakasan backup hendaklah diletakkan di
tempat yang terkawal;
g. Mengadakan salinan atau penduaan (backup)
pada media storan kedua bagi tujuan
keselamatan dan bagi mengelakkan kehilangan
data;
h. Semua media storan data yang hendak
dilupuskan mestilah dihapuskan dengan teratur
dan selamat; dan
i. Penghapusan maklumat atau kandungan media
mestilah mendapat kelulusan pemilik maklumat
terlebih dahulu.
5.2.4 Media Tandatangan Digital
Perkara-perkara yang perlu dipatuhi adalah seperti Semua
berikut: Pengguna.
a. Pengguna hendaklah bertanggungjawab
sepenuhnya ke atas media tandatangan digital
bagi melindungi daripada kecurian, kehilangan,
kerosakan, penyalahgunaan dan pengklonan;
b. Media ini tidak boleh dipindah milik atau
dipinjamkan; dan
c. Sebarang insiden kehilangan yang berlaku
hendaklah dilaporkan dengan segera kepada
ICTSO untuk tindakan seterusnya.
5.2.5 Media Perisian dan Aplikasi
27
28. DASAR KESELAMATAN ICT MITI - VERSI 2.0
Perkara-perkara yang perlu dipatuhi adalah seperti BPM
berikut:
a. Hanya perisian yang diperakui sahaja dibenarkan
bagi kegunaan MITI;
b. Sistem aplikasi dalaman tidak dibenarkan
didemonstrasi atau diagih kepada pihak lain
kecuali dengan kebenaran Pengurus ICT;
c. Source code sesuatu sistem hendaklah disimpan
dengan teratur dan sebarang pindaan mestilah
mengikut prosedur yang ditetapkan.
5.2.6 Penyelenggaraan
Perkakasan hendaklah diselenggarakan dengan BPM
betul bagi memastikan kebolehsediaan dan integriti.
a. Semua perkakasan yang diselenggara hendaklah
mematuhi spesifikasi yang ditetapkan oleh
pengeluar;
b. Memastikan perkakasan hanya boleh
diselenggara oleh kakitangan atau pihak yang
dibenarkan sahaja;
c. Bertanggungjawab terhadap setiap perkakasan
bagi penyelenggaraan perkakasan sama ada
dalam tempoh jaminan atau telah habis tempoh
jaminan;
d. Menyemak dan menguji semua perkakasan
sebelum dan selepas proses penyelenggaraan;
e. Memaklumkan pengguna sebelum melaksanakan
penyelenggaraan mengikut jadual yang
ditetapkan atau atas keperluan; dan
f. Semua penyelenggaraan mestilah mendapat
kebenaran daripada Pengurus ICT.
5.2.7 Peminjaman Peralatan
28
29. DASAR KESELAMATAN ICT MITI - VERSI 2.0
Segala peralatan komputer termasuklah projektor, Semua
komputer riba, PC, pencetak, dan aksesori yang Pengguna.
berkaitan seperti kabel komputer dan sebagainya,
adalah di bawah tanggungan Bahagian Pengurusan
Maklumat (MITI). Oleh itu setiap peralatan yang
dipinjam atau dibawa keluar atau masuk perlulah
mengikut prosedur berikut:
a. Hubungi pihak Unit Sokongan Teknikal untuk
membuat peminjaman peralatan yang
dikehendaki;
b. Pengguna dikehendaki mengisi borang
Peminjaman Peralatan (dalaman) dan borang
Senarai Peralatan Yang Dibawa Masuk/Keluar
(luaran) yang disediakan oleh pihak MITI;
c. Peralatan yang dipinjam dan borang tersebut
perlulah dikembalikan setelah selesai
menggunakannya untuk semakan dan simpanan
pihak MITI;
d. Peminjam adalah bertanggungjawab untuk
memastikan kesemua peralatan dikembalikan
dengan sempurna, lengkap dan selamat; dan
e. Sebarang kerosakan dan kegagalan peralatan
berfungsi dengan baik hendaklah dilaporkan
kepada Unit Sokongan Teknikal dengan segera.
5.2.8 Pelupusan
Aset ICT yang hendak dilupuskan perlu melalui BPM
proses pelupusan semasa. Pelupusan aset ICT perlu
dilakukan secara terkawal dan lengkap supaya
maklumat tidak terlepas dari kawalan MITI :
a. Semua kandungan peralatan khususnya
maklumat rahsia rasmi hendaklah dihapuskan
terlebih dahulu sebelum pelupusan sama ada
melalui shredding, grinding, degauzing atau
29
30. DASAR KESELAMATAN ICT MITI - VERSI 2.0
pembakaran;
b. Sekiranya maklumat perlu disimpan, maka
pengguna bolehlah membuat penduaan;
c. Peralatan ICT yang akan dilupuskan sebelum
dipindah-milik hendaklah dipastikan data-data
dalam storan telah dihapuskan dengan cara yang
selamat;
d. Pegawai Aset hendaklah mengenal pasti sama
ada peralatan tertentu boleh dilupuskan atau
sebaliknya;
e. Peralatan yang hendak dilupus hendaklah
disimpan di tempat yang telah dikhaskan yang
mempunyai ciri-ciri keselamatan bagi menjamin
keselamatan peralatan tersebut;
f. Pegawai aset bertanggungjawab merekodkan
butir–butir pelupusan dan mengemas kini rekod
pelupusan peralatan ICT ke dalam sistem
inventori;
g. Pelupusan peralatan ICT hendaklah dilakukan
secara berpusat dan mengikut tatacara
pelupusan semasa yang berkuat kuasa;
h. Pengguna ICT adalah DILARANG SAMA
SEKALI daripada melakukan perkara-perkara
seperti berikut:
I. Menyimpan mana-mana peralatan ICT
yang hendak dilupuskan untuk milik
peribadi. Mencabut, menanggal dan
menyimpan perkakasan tambahan
dalaman CPU seperti RAM, hardisk,
motherboard dan sebagainya;
II. Menyimpan dan memindahkan
perkakasan luaran computer seperti
AVR, speaker dan mana-mana
30
31. DASAR KESELAMATAN ICT MITI - VERSI 2.0
peralatan yang berkaitan ke mana-
mana bahagian di MITI;
III. Memindah keluar dari MITI mana-
mana peralatan ICT yang hendak
dilupuskan;
IV. Melupuskan sendiri peralatan ICT
kerana kerja-kerja pelupusan di bawah
tanggungjawab MITI; dan
V. Pengguna ICT bertanggungjawab
memastikan segala maklumat sulit dan
rahsia di dalam komputer disalin pada
media storan kedua seperti disket atau
thumb drive sebelum menghapuskan
maklumat tersebut daripada peralatan
komputer yang hendak dilupuskan.
i. Maklumat lanjut pelupusan bolehlah merujuk
kepada Surat Pekeliling Perbendaharaan
Bilangan 7 Tahun 1995 bertajuk "Garis Panduan
Pelupusan Peralatan Komputer".
5.3 Keselamatan Persekitaran
5.3.1 Bekalan Kuasa
Bekalan kuasa merupakan punca kuasa elektrik BPM
yang dibekalkan kepada peralatan ICT.
Perkara-perkara yang perlu dipatuhi adalah seperti
berikut:
a. Semua peralatan ICT hendaklah dilindungi dari
kegagalan bekalan elektrik dan bekalan yang
sesuai hendaklah disalurkan kepada peralatan
ICT;
b. Peralatan sokongan seperti Uninterruptable
Power Supply (UPS) dan penjana (generator)
boleh digunakan bagi perkhidmatan kritikal
seperti di bilik server supaya mendapat bekalan
31
32. DASAR KESELAMATAN ICT MITI - VERSI 2.0
kuasa berterusan; dan
c. Semua peralatan sokongan bekalan kuasa
hendaklah disemak dan diuji secara berjadual.
5.3.2 Kabel
Kabel komputer hendaklah dilindungi kerana ia boleh BPM
menyebabkan maklumat menjadi terdedah.
Langkah-langkah keselamatan yang perlu diambil
adalah seperti berikut:
a. Menggunakan kabel yang mengikut spesifikasi
yang telah ditetapkan;
b. Melindungi kabel daripada kerosakan yang
disengajakan atau tidak disengajakan;
c. Melindungi laluan pemasangan kabel
sepenuhnya bagi mengelakkan ancaman
kerosakan dan wire tapping; dan
d. Semua kabel perlu dilabelkan dengan jelas dan
mestilah melalui trunking bagi memastikan
keselamatan kabel daripada kerosakan dan
pintasan maklumat.
5.3.3 Clear Desk dan Clear Screen
Clear Desk dan Clear Screen bermaksud tidak Semua
meninggalkan bahan-bahan yang sensitif terdedah Pengguna
sama ada atas meja atau dipaparan screen apabila
pengguna tidak berada di tempatnya.
a. Gunakan kemudahan password screen saver
atau log keluar apabila meninggalkan komputer;
dan
b. Bahan-bahan sensitif hendaklah disimpan dalam
laci atau kabinet fail yang berkunci.
32
33. DASAR KESELAMATAN ICT MITI - VERSI 2.0
5.4 Keselamatan Dokumen
Objektif: Melindungi maklumat MAMPU dari sebarang bentuk ancaman
persekitaran yang disebabkan oleh bencana alam, kesilapan atau kecuaian.
5.4.1 Dokumen
Perkara-perkara yang perlu dipatuhi adalah seperti Semua
berikut: Pengguna
a. Setiap dokumen hendaklah difail dan dilabelkan
mengikut klasifikasi keselamatan seperti Terbuka,
Terhad, Sulit, Rahsia atau Rahsia Besar;
b. Pergerakan fail dan dokumen hendaklah
direkodkan dan perlulah mengikut prosedur
keselamatan;
c. Kehilangan dan kerosakan ke atas semua jenis
dokumen perlu dimaklumkan mengikut prosedur
Arahan Keselamatan;
d. Pelupusan dokumen hendaklah mengikut
prosedur keselamatan semasa seperti mana
Arahan Keselamatan, Arahan Amalan (Jadual
Pelupusan Rekod) dan tatacara Jabatan Arkib
Negara; dan
e. Menggunakan enkripsi (encryption) ke atas
dokumen rahsia rasmi yang disediakan dan
dihantar secara elektronik.
6.0 Pengurusan Operasi dan Komunikasi
.
6.1 Pengurusan Operasi
Objektif : Memastikan perkhidmatan dan pemprosesan maklumat dapat
berfungsi dengan betul dan selamat dan melindungi integriti maklumat.
33
34. DASAR KESELAMATAN ICT MITI - VERSI 2.0
6.1.1 Pengendalian Prosedur
a. Semua prosedur keselamatan ICT yang diwujud, Semua
dikenal pasti dan masih diguna pakai hendaklah Pengguna
didokumenkan, disimpan dan dikawal;
b. Setiap prosedur mestilah mengandungi arahan-
arahan yang jelas, teratur dan lengkap seperti
keperluan kapasiti, pengendalian dan
pemprosesan maklumat, pengendalian dan
penghantaran ralat, pengendalian output,
bantuan teknikal dan pemulihan sekiranya
pemprosesan tergendala atau terhenti; dan
c. Semua prosedur hendaklah dikemaskini dari
masa ke semasa atau mengikut keperluan.
6.1.2 Kawalan Perubahan
a. Pengubahsuaian yang melibatkan perkakasan, Semua
sistem untuk pemprosesan maklumat, perisian, Pengguna
dan prosedur mestilah mendapat kebenaran
daripada pegawai atasan atau pemilik aset ICT
terlebih dahulu;
b. Aktiviti-aktiviti seperti memasang,
menyelenggara, menghapus dan mengemaskini
mana-mana komponen sistem ICT hendaklah
dikendalikan oleh pihak atau pegawai yang diberi
kuasa dan mempunyai pengetahuan dengan aset
ICT berkenaan;
c. Semua aktiviti pengubahsuaian komponen sistem
ICT hendaklah mematuhi spesifikasi perubahan
yang telah ditetapkan; dan
d. Semua aktiviti perubahan atau pengubahsuaian
hendaklah direkod dan dikawal bagi
mengelakkan berlakunya ralat sama ada secara
sengaja atau pun tidak..
34
35. DASAR KESELAMATAN ICT MITI - VERSI 2.0
6.1.3 Perlindungan dari Perisian Berbahaya
a. Memasang sistem keselamatan untuk mengesan BPM
perisian atau program berbahaya seperti anti-
virus, Inter Messaging Security Appliance dan
Intrusion Detection System (IDS);
b. Memasang dan menggunakan hanya perisian Semua
yang berdaftar dan dilindungi di bawah Akta Pengguna
Hakcipta (Pindaan) Tahun 1997;
c. Mengimbas semua perisian atau sistem dengan
anti-virus sebelum menggunakannya; dan
d. Mengemaskini pattern anti virus setiap hari Pentadbir
melalui Desktop Management System. Sistem ICT
6.1.4 Backup
Bagi memastikan sistem dapat dibangunkan semula BPM
setelah berlakunya bencana. Backup hendaklah
dilakukan setiap kali konfigurasi berubah. Salinan
backup hendaklah direkodkan dan disimpan di off
site.
a. Membuat backup ke atas semua sistem perisian
dan aplikasi sekurang-kurangnya sekali atau
setelah mendapat versi terbaru;
b. Membuat salinan backup ke atas semua data
dan maklumat mengikut keperluan operasi; dan
c. Menguji sistem backup bagi memastikan ianya
dapat berfungsi dengan sempurna, boleh
dipercayai dan berkesan apabila digunakan
khususnya pada waktu kecemasan.
6.1.5 Sistem Log
a. Mewujudkan sistem log bagi merekodkan semua BPM
35
36. DASAR KESELAMATAN ICT MITI - VERSI 2.0
aktiviti harian pengguna;
b. Menyemak sistem log secara berkala bagi
mengesan ralat yang menyebabkan gangguan
kepada sistem dan mengambil tindakan
membaik pulih dengan segera; dan
c. Sekiranya wujud aktiviti-aktiviti tidak sah lain
seperti kecurian maklumat dan pencerobohan,
hendaklah dilaporkan kepada ICTSO.
6.2 Pengurusan Rangkaian
Objektif : Melindungi aset ICT dalam rangkaian dari dicerobohi.
6.2.1 Kawalan Infrastruktur Rangkaian
Infrastruktur Rangkaian mestilah dikawal dan BPM
diuruskan sebaik mungkin demi melindungi ancaman
kepada sistem dan aplikasi di dalam rangkaian.
a. Pemantauan rangkaian dan server MITI bagi
memastikan keselamatan dari pencerobohan
dan kelancaran pengoperasian;
b. Capaian kepada infrastruktur rangkaian
hendaklah dikawal dan terhad kepada pengguna
yang dibenarkan sahaja;
c. Pemasangan firewall untuk mengawal capaian
ke atas sistem yang telah dibangunkan dan
memastikan keselamatan aset ICT dalam
rangkaian dari pencerobohan;
d. Penggunaan kaedah MPLS (Multi Protocol Label
Switching) di dalam sistem WAN (Wide Area
Network) yang menghubungkan cawangan dan
ibu pejabat MITI bagi memastikan penghantaran
dan penerimaan maklumat selamat dan terjamin;
36
37. DASAR KESELAMATAN ICT MITI - VERSI 2.0
e. Pemasangan proxy, viruswall server dan Web
Content Filter untuk menyekat aktiviti yang
dilarang seperti yang termaktub di dalam
Pekeliling Kemajuan Pentadbiran Awam
Bilangan 1 Tahun 2003 bertajuk "Garis Panduan
Mengenai Tatacara Penggunaan Internet dan
Mel Elektronik di Agensi-agensi Kerajaan";
f. Penapisan e-mel MITI untuk menghalang
kemasukan SPAM yang tinggi;
g. Memasang perisian Intrusion Detection System
(IDS) bagi mengesan sebarang cubaan
menceroboh dan aktiviti-aktiviti lain yang boleh
mengancam sistem dan maklumat MITI;
h. Penyediaan setup Wireless hendaklah
diasingkan daripada rangkaian setempat (LAN)
sedia ada;
i. Penyediaan perkhidmatan tanpa wayar Semua
(wireless) bagi tujuan majlis-majlis tertentu di Pengguna
MITI. Permohonan secara bertulis untuk
mendapatkan perkhidmatan tersebut hendaklah
dibuat kepada pihak BPM;
j. Semua pengguna hanya dibenarkan
menggunakan rangkaian MITI sahaja.
Penggunaan modem adalah dilarang sama
sekali;
k. Sebarang penyambungan rangkaian yang bukan
di bawah kawalan MITI hendaklah mendapat
kebenaran ICTSO;
l. Larangan memuat turun perisian seperti
screensaver dan games bagi mengelakkan
prestasi rangkaian terganggu dan mengelakkan
penyebaran virus; dan
m. Penggunaan SSL VPN (Secure Socket Layer
Virtual Private Network) bagi transaksi data dan
37
38. DASAR KESELAMATAN ICT MITI - VERSI 2.0
maklumat (seperti penggunaan e-mel) antara Ibu
Pejabat MITI dengan Pejabat MITI Luar Negara.
6.3 Keselamatan Komunikasi
Objektif : melindungi aset ICT melalui komunikasi yang selamat.
6.3.1 Internet
a. Penggunaan Internet dihadkan untuk Semua
penggunaan rasmi sahaja. Sebarang cubaan Pengguna
menyebarkan virus atau cubaan merosakkan
aset ICT adalah dilarang sama sekali dan akan
diambil tindakan tatatertib;
b. Kakitangan MITI yang menggunakan akaun MITI
(miti.gov.my) merupakan wakil MITI. Oleh itu,
setiap kakitangan diingatkan supaya tidak
menggunakan akaun tersebut untuk tujuan
komersial, politik, perjudian , jenayah dan
sebagainya;
c. Fail yang dimuat turun dari Internet mestilah
diimbas dengan menggunakan perisian antivirus
sebelum ia diinstal atau digunapakai. Semua
langkah keselamatan perlu dilaksanakan untuk
mengesan sebarang virus dan mengelakkannya
daripada tersebar;
d. Segala maklumat yang diperolehi daripada
Internet dan e-mel mestilah dikira tidak sahih
selagi kesahihannya belum lagi dibuktikan;
e. Kakitangan MITI dilarang daripada memuat naik
sebarang dokumen, perisian berlesen, e-mel dan
sebagainya ke server atau ruang storan yang
dipunyai oleh pihak luar tanpa sebarang
kebenaran daripada pihak Pengurusan;
f. Pengguna dilarang daripada memasuki ke
38
39. DASAR KESELAMATAN ICT MITI - VERSI 2.0
sebarang laman web yang tidak beretika dan
membuang masa seperti laman web pornografi,
online games, social networking dan sebagainya;
g. Pengguna dilarang menggunakan talian capaian
Internet alternatif yang lain seperti Celcom
Wireless Broadband dan Maxis Wireless
Broadband untuk mengakses Internet sewaktu
menggunakan aset ICT kerajaan tanpa sebarang
kebenaran dan tanpa sebarang perlindungan
seperti firewall;
h. Pengguna dilarang daripada memuat turun
dan/atau mengubah sebarang perisian yang
dimuat turun daripada Internet untuk
mengelakkan berlakunya pelanggaran hak cipta
terpelihara;
i. Internet tidak menjamin kerahsiaan maklumat.
Maklumat sensitif yang dihantar melalui Internet
terdedah kepada risiko dihidu oleh pihak ketiga.
Semua pekerja diminta untuk berhati-hati dan
berwaspada apabila menghantar sebarang
maklumat melalui Internet;
j. Setiap kakitangan MITI bertanggungjawab ke
atas sebarang salah perlakuan dan tindakan
yang diambil sewaktu menggunakan kemudahan
Internet yang diberikan; dan
k. BPM juga berhak untuk memeriksa setiap
komputer yang digunakan oleh kakitangan MITI
untuk memastikan setiap arahan di dalam dasar
ini dipatuhi oleh semua kakitangan.
6.3.2 Mel Eletronik
a. Kakitangan MITI hendaklah mengisi Borang Semua
Permohonan Akaun E-mel yang boleh diperolehi Pengguna
dari Bahagian Pengurusan Sumber Manusia
atau Bahagian Pengurusan Maklumat;
39
40. DASAR KESELAMATAN ICT MITI - VERSI 2.0
b. Penggunaan e-mel rasmi MITI ( @miti.gov.my)
adalah untuk kegunaan urusan rasmi sahaja.
Sebarang penggunaan peribadi akaun e-mel
rasmi adalah dilarang sama sekali;
c. Pengguna dilarang daripada
memberikan/berkongsi akaun emel dan kata
laluannya kepada orang lain untuk digunakan;
d. Penghantaran e-mel rasmi hendaklah
menggunakan akaun e-mel rasmi dan pastikan
alamat e-mel penerima adalah betul;
e. Pengguna dilarang daripada menggunakan
akaun emel persendirian (seperti
@yahoo.com.my, @gmail.com) untuk
menghantar sebarang emel untuk tujuan urusan
rasmi;
f. Pengguna dilarang daripada menggunakan e-
mel MITI untuk pendaftaran ke laman-laman web
yang tidak berkaitan dengan urusan kerja harian;
g. Pengguna dilarang membuka e-mel dari
penghantar yang tidak dikenali yang
berkemungkinan mengandungi virus atau
program yang ditanam;
h. Pengguna dilarang daripada menghantar
sebarang e-mel atau fail kepilan yang melebihi
daripada 10MB kerana ia akan mengganggu
operasi rangkaian dan server e-mel;
i. Pengguna dilarang membuka e-mel yang
mengandungi fail kepilan (attachment file) seperti
*.scr, *.com, *.exe, *.dll, *.pif, *.vbs, *.bat, *.asd,
*.chm, *.ocx, *.hlp, *.hta, *.js, *.shb, *.shs, *.vb,
*.vbe, *.wsf, *.wsh, *.reg, *.ini, *.diz, *.cpp, *.cpl,
*.vxd, *.sys dan *.cmd. Ia berkemungkinan akan
menyebarkan virus apabila dibuka;
40
41. DASAR KESELAMATAN ICT MITI - VERSI 2.0
j. Pengguna dikehendaki membuat
penyelenggaraan ke atas akaun e-mel mereka
dari masa ke semasa untuk mengelakkan
sebarang gangguan ke atas penggunaan e-mel;
k. Pengguna digalakkan untuk mencetak dan
mendokumenkan semua e-mel yang penting
untuk mengelakkan kehilangan maklumat
penting apabila berlaku kerosakan kepada
cakera keras komputer;
l. Pengguna hendaklah membuat salinan dan
menyimpan fail kepilan ke dalam satu folder
berasingan dari setiap e-mel yang penting bagi
tujuan backup jika berlaku sebarang masalah
kepada cakera keras komputer;
m. Nama pegawai dan kakitangan MITI yang
bertukar atau berhenti hendaklah dimaklumkan
dengan segera kepada Bahagian Pengurusan
Maklumat agar akaun e-mel dapat
dikemaskinikan dengan segera;
n. Pengguna mesti memaklumkan kepada
pentadbir sistem ICT dengan segera sekiranya
mengesyaki akaun telah disalahgunakan; dan
o. Semua mesej-mesej elektronik yang diwujudkan
atau disimpan di dalam sistem adalah dianggap
tidak peribadi. Di dalam keadaan tertentu,
pentadbir sistem atau Pegawai Keselamatan ICT
(ICTSO) MITI mempunyai hak untuk mengakses
mel-mel elektronik pengguna jika terpaksa. Isi
kandungan emel tersebut tidak akan diakses
atau didedahkan selain daripada untuk tujuan
keselamatan atau diperlukan oleh undang-
undang.
p. Pengguna hendaklah bertanggungjawab ke atas
pengemaskinian dan penggunaan mailbox
41
42. DASAR KESELAMATAN ICT MITI - VERSI 2.0
masing-masing.
q. Pentadbir e-mel boleh menamatkan akaun e-mel
pengguna atas sebab-sebab berikut :
I. Bertukar ke agensi lain
II. Bersara
III. Ditamatkan perkhidmatan
Akaun akan ditamatkan selepas 2 minggu dari
tarikh akhir pengguna berkhidmat di MITI
6.3.3 Katalaluan
Kata nama pengguna atau UserID merupakan satu Semua
pengenalan identiti yang unik bagi setiap pengguna Pengguna
yang menggunakan sesuatu sistem komputer.
Setiap UserID yang dibekalkan akan mempunyai
kata laluan yang unik untuk membenarkan pengguna
mendapat akses ke sistem-sistem tertentu.
Untuk menjamin keselamatan UserID dan kata
laluan, langkah-langkah berikut mesti dipatuhi oleh
setiap pengguna sistem dan rangkaian MITI:
a. Rahsiakan kata laluan. Pendedahan kepada
yang tidak berhak adalah satu kesalahan di
bawah Akta Jenayah Komputer 1997;
b. Kata laluan hendaklah dihafal dan tidak disalin
atau disimpan di dalam mana-mana media
seperti buku catatan, disket, CD dan sebagainya;
c. Pilih kata laluan yang kukuh dengan
menggunakan gabungan nombor, huruf dan
simbol yang mempunyai sekurang-kurangnya
lapan aksara (contoh: p6T*&Wo8 atau
RkfOmH09O8) dan mudah ditaip;
d. Pengguna dilarang daripada menggunakan ID
pengguna atau nama sebagai kata laluan;
42
43. DASAR KESELAMATAN ICT MITI - VERSI 2.0
e. Pengguna dilarang menggunakan perkataan
yang boleh diperolehi daripada mana-mana
kamus dalam sebarang bahasa;
f. Pengguna dilarang menggunakan sebarang
maklumat peribadi seperti tarikh lahir dan
sebagainya sebagai kata laluan;
g. Tukar kata laluan sekurang-kurangnya dua kali
setahun; dan
h. Laporkan segera kepada ICTSO MITI sekiranya
kata laluan disyaki telah dicerobohi, dan kata
laluan sedia ada akan diubah serta-merta.
7.0 Kawalan Capaian
7.1 Pengurusan Capaian Pengguna
Objektif : Mengawal capaian pengguna ke atas aset ICT MITI.
7.1.2 Akaun Pengguna
Pengguna adalah bertanggungjawab ke atas sistem Semua
ICT yang digunakan. Bagi mengenal pasti pengguna Pengguna
dan aktiviti yang dilakukan, langkah-langkah berikut
hendaklah dipatuhi :
a. Akaun yang diperuntukkan oleh jabatan sahaja
boleh digunakan;
b. Pemilikan akaun pengguna bukanlah hak mutlak
seseorang dan ia tertakluk kepada peraturan
MITI. Akaun boleh ditarik balik jika
penggunaannya melanggar peraturan; dan
c. Penggunaan akaun milik orang lain adalah
dilarang.
43
44. DASAR KESELAMATAN ICT MITI - VERSI 2.0
Bagi pengguna Korporat yang ingin menggunakan
sistem dalaman MITI seperti sistem TFIS (Trade
Facilitation Information System) dan IIS (Industry
Information System) untuk membuat permohonan
secara online, langkah-langkah berikut perlu
dipatuhi:
a. Membuat permohonan mendapatkan userID dan
kata laluan dengan mengisi borang yang boleh
diperolehi di Bahagian Amalan Perdagangan dan
Kawalan Impot dan Eksport;
b. Setiap permohonan mestilah dilengkapi dengan
salinan Kad Pengenalan dan salinan sijil
pendaftaran syarikat; dan
c. UserID dan katalaluan hanya akan diberikan
kepada permohonan yang telah diluluskan.
8.0 Keselamatan Dalam Pembangunan dan Penyelenggaraan Sistem
8.1 Kriptografi
Objektif : Melindungi kerahsiaan, integriti dan kesahihan maklumat.
8.1.1 Penyulitan/Enkripsi
Pengguna hendaklah membuat penyulitan ke atas Semua
maklumat sensitif atau maklumat rahsia rasmi pada Pengguna
setiap masa seperti penggunaan encryption dan
katalaluan pada maklumat berkenaan.
8.1.2 Tandatangan Digital
Penggunaan tandatangan digital adalah dimestikan Semua
bagi pengurusan transaksi maklumat rahsia rasmi Pengguna
secara elektronik.
44
45. DASAR KESELAMATAN ICT MITI - VERSI 2.0
9.0 Pengurusan Pengendalian Insiden Keselamatan
9.1 Mekanisme Pelaporan Insiden Keselamatan ICT
Objektif : Memastikan insiden dikendalikan dengan cepat dan berkesan bagi
meminimumkan kesan insiden keselamatan ICT.
9.1.1 Mekanisme Pelaporan
Insiden keselamatan ICT bermaksud musibah Semua
(adverse event) yang berlaku ke atas aset ICT atau Pengguna
ancaman kemungkinan berlaku kejadian tersebut. Ia
mungkin suatu perbuatan yang melanggar dasar
keselamatan ICT sama ada yang ditetapkan secara
tersurat atau tersirat.
Insiden keselamatan ICT seperti berikut hendaklah
dilaporkan kepada ICTSO dan kumpulan CERT MITI
dengan kadar segera:
a. Maklumat didapati hilang, didedahkan kepada
pihak-pihak yang tidak diberi kuasa atau, disyaki
hilang atau didedahkan kepada pihak-pihak yang
tidak diberi kuasa;
b. Sistem maklumat digunakan tanpa kebenaran
atau disyaki sedemikian;
c. Kata laluan atau mekanisme kawalan akses
hilang, dicuri atau didedahkan, atau disyaki
hilang, dicuri atau didedahkan;
d. Berlaku kejadian sistem yang luar biasa seperti
kehilangan fail, sistem kerap kali gagal dan
komunikasi tersalah hantar; dan
e. Berlaku percubaan menceroboh, penyelewengan
dan insiden-insiden yang tidak dijangka.
Prosedur pelaporan insiden keselamatan ICT
berdasarkan:
45
46. DASAR KESELAMATAN ICT MITI - VERSI 2.0
a. Pekeliling Am Bilangan 1 Tahun 2001 -
Mekanisme Pelaporan Insiden Keselamatan
Teknologi Maklumat dan Komunikasi; dan
b. Surat Pekeliling Am Bilangan 4 Tahun 2006 –
Pengurusan Pengendalian Insiden Keselamatan
Teknologi Maklumat dan Komunikasi Sektor
Awam.
9.2 Pengurusan Maklumat Insiden Keselamatan ICT
Objektif: Memastikan pendekatan yang konsisten dan efektif digunakan dalam
pengurusan maklumat insiden keselamatan ICT.
9.2.1 Prosedur Pengurusan Maklumat Insiden
Keselamatan ICT
Maklumat mengenai insiden keselamatan ICT yang ICTSO
dikendalikan perlu disimpan dan dianalisis bagi
tujuan perancangan, tindakan pengukuhan dan
pembelajaran bagi mengawal kekerapan, kerosakan
dan kos kejadian insiden yang akan datang.
Maklumat ini juga digunakan untuk mengenal pasti
insiden yang kerap berlaku atau yang memberi
kesan serta impak yang tinggi kepada MITI.
Bahan-bahan bukti berkaitan insiden keselamatan
ICT hendaklah disimpan dan disenggarakan.
Kawalan-kawalan yang perlu diambil kira dalam
pengumpulan maklumat dan pengurusan
pengendalian insiden adalah seperti berikut:
a. Menyimpan jejak audit, backup secara berkala
dan melindungi integriti semua bahan bukti;
b. Menyalin bahan bukti dan merekodkan semua
maklumat aktiviti penyalinan;
c. Menyediakan pelan kontingensi dan
mengaktifkan pelan kesinambungan
perkhidmatan;
46
47. DASAR KESELAMATAN ICT MITI - VERSI 2.0
d. Menyediakan tindakan pemulihan segera; dan
e. Memaklumkan atau mendapatkan nasihat pihak
berkuasa perundangan sekiranya perlu.
10.0Pengurusan Kesinambungan Perkhidmatan
10.1 Dasar Kesinambungan Perkhidmatan
Objektif : Menjamin operasi perkhidmatan agar tidak tergendala dan
penyampaian perkhidmatan yang berterusan kepada pelanggan.
10.1.1 Pelan Kesinambungan Perkhidmatan
Pelan Kesinambungan Perkhidmatan hendaklah ICTSO dan
dibangunkan untuk menentukan pendekatan yang BPM
menyeluruh diambil bagi mengekalkan
kesinambungan perkhidmatan. Ini memastikan tiada
gangguan kepada proses-proses dalam penyediaan
perkhidmatan organisasi. Pelan ini mestilah
diluluskan oleh JPICT MITI dan perkara-perkara
berikut perlu diberi perhatian :
a. Mengenal pasti semua tanggungjawab dan
prosedur kecemasan atau pemulihan;
b. Melaksanakan prosedur-prosedur kecemasan
bagi membolehkan pemulihan dapat dilakukan
dalam jangka masa yang ditetapkan;
c. Mendokumentasikan proses dan prosedur yang
telah dipersetujui;
d. Mengadakan program latihan kepada pengguna
mengenai prosedur kecemasan;
e. Membuat penduaan; dan
47
48. DASAR KESELAMATAN ICT MITI - VERSI 2.0
f. Menguji dan mengemaskini pelan sekurang-
kurangnya setahun sekali.
11.0Pematuhan
11.1 Pematuhan dan Keperluan Perundangan
Objektif : Meningkatkan tahap keselamatan ICT bagi mengelak dari
pelanggaran kepada Dasar Keselamatan ICT MITI.
11.1.1 Pematuhan Dasar
Setiap pengguna di MITI hendaklah membaca, Semua
memahami dan mematuhi Dasar Keselamatan ICT Pengguna
MITI dan undang-undang atau peraturan-peraturan
lain yang berkaitan yang berkuatkuasa. Sebarang
pelanggaran terhadap Dasar Keselamatan ICT MITI
akan dikenakan tindakan tatatertib.
11.1.2 Keperluan Perundangan
Semua pengguna kemudahan aset ICT MITI adalah Semua
tertakluk di bawah peraturan, undang-undang dan pengguna
akta-akta berikut :
a. Arahan Keselamatan;
b. Akta Rahsia Rasmi 1972;
c. Akta Kawasan Larangan dan Tempat Larangan
1959;
d. Pekeliling Am Bilangan 3 Tahun 2000 bertajuk
"Rangka Dasar Keselamatan Teknologi
48
49. DASAR KESELAMATAN ICT MITI - VERSI 2.0
Maklumat dan Komunikasi Kerajaan";
e. Malaysian Public Sector Management of
Information and Communications Technology
Security Handbook (MyMIS);
f. Pekeliling Am Bilangan 3 Tahun 2001 bertajk
"Mekanisme Pelaporan Insiden Keselamatan
Teknologi Maklumat dan Komunikasi (ICT)";
g. Pekeliling Kemajuan Pentadbiran Awam
Bilangan 1 Tahun 2003 bertajuk "Garis Panduan
Mengenai Tatacara Penggunaan Internet dan
Mel Elektronik di Agensi-agensi Kerajaan";
h. Surat Pekeliling Am Bilangan 6 Tahun 2005 -
Garis Panduan Penilaian Risiko Keselamatan
Maklumat Sektor Awam;
i. Akta Tandatangan Digital 1997;
j. Akta Jenayah Komputer;
k. Akta Hak cipta Terpelihara 1997; dan
l. Akta Komunikasi dan Multimedia 1998.
11.1.3 Pelanggaran Dasar
Pelanggaran Dasar Keselamatan ICT MAMPU boleh Semua
dikenakan tindakan tatatertib. pengguna
49