2. PRAKATA
KETUA PENGARAH PERKHIDMATAN AWAM
Salam 1 Malaysia,
Era teknologi maklumat yang semakin pesat dengan perkongsian maklumat secara
global dan boleh dicapai di hujung jari merupakan senario yang tidak boleh disangkal oleh
sektor awam pada hari ini. Tambahan pula teknologi maklumat dan komunikasi (ICT) adalah
sebagai enabler kepada tadbir urus negara, organisasi, penyampaian perkhidmatan kepada
rakyat serta kegunaan dalam kehidupan harian. Jabatan Perkhidmatan Awam (JPA) selaku
peneraju perubahan perkhidmatan awam telah membangunkan sistem Pengurusan Sumber
Manusia Sektor Awam yang komprehensif, inovatif dan sistematik dengan penggunaan ICT.
Saya percaya, isu keselamatan ICT yang kritikal pada masa kini perlu ditangani secara
rasional di semua peringkat agensi dan jabatan. Tindakan perlu diambil bagi mengenal pasti,
meneliti dan menangani isu-isu ini supaya perancangan dan pelaksanaan semua program ICT
dapat digerakkan dengan licin dan berkesan. Dokumen ini disediakan bagi memastikan semua
pembangunan ICT dapat dilaksanakan dengan lancar, bersandarkan kepada arahan dan garis
panduan terkini yang telah dikeluarkan oleh agensi pusat seperti Unit Pemodenan Tadbiran dan
Perancangan Pengurusan Malaysia (MAMPU).
Penghasilan Dasar Keselamatan ICT ini bertujuan untuk memberikan garis panduan
serta pendedahan kepada penggunaan piawai (standard) keselamatan yang ditetapkan, bukan
sahaja kepada warga JPA malah kepada semua pengguna sistem aplikasi JPA terutamanya
Sistem Maklumat Pengurusan Sumber Manusia (HRMIS). Dasar ini diharap dapat menerapkan
amalan-amalan terbaik serta memperluaskan kesedaran di kalangan penjawat awam seperti
mana disarankan di dalam dokumen ini.
3. Oleh yang demikian, sebagai warga JPA yang bertanggungjawab perlu peka kepada isu-
isu ICT pada masa kini supaya persediaan dan perancangan yang teliti perlu dimanafaatkan
bagi mengelakkan sebarang kesan negatif yang boleh menggugat kestabilan organisasi dan
seterusnya negara.
Saya yakin dengan adanya Dasar Keselamatan ICT peringkat JPA ini dapat meyakinkan
lagi pihak pelanggan JPA dalam urusan penyampaian perkhidmatan awam yang terbaik dan
cemerlang berteraskan profesionalisme, integriti dan teknologi. Tahniah kepada warga JPA
yang menyumbang secara langsung dan sebaliknya dalam menghasilkan DKICT versi 2.1
2010 ini.
Salam hormat,
Dato’ Sri Abu Bakar bin Haji Abdullah
Ketua Pengarah Perkhidmatan Awam
Malaysia
4. KATA PENGANTAR
TIMBALAN KETUA PENGARAH PERKHIDMATAN AWAM
(OPERASI)
Assalamualaikum dan Salam Sejahtera,
Perkembangan yang pantas dalam sistem dan rangkaian komputer telah meluaskan
lagi penggunaan ICT bagi tujuan pengumpulan, penyelenggaraan, manipulasi dan penyaluran
maklumat. Komunikasi secara elektronik yang berterusan mengakibatkan keselamatan ICT dan
maklumat yang terkandung di dalamnya tidak boleh lagi disediakan dan diuruskan mengikut
kaedah lama.
Peningkatan kejadian penggodaman, pencerobohan dan serangan virus yang semakin
kompleks telah menimbulkan kesedaran pihak JPA untuk membendungnya daripada berlaku
dan seterusnya melumpuhkan sistem komputer JPA. Keselamatan ICT adalah kritikal dalam
perkhidmatan sektor awam. Oleh sebab itu, JPA telah menyediakan Dasar Keselamatan ICT
JPA (DKICT) yang bertujuan untuk memberi kesedaran kepada warga JPA betapa pentingnya
menjaga maklumat dengan selamat.
Secara ironinya, aspek penguatkuasaan yang masih lemah dan tidak menyeluruh dalam
perundangan berkaitan ICT di Malaysia memberi ruang kepada penyalahgunaan dan insiden
keselamatan yang berbahaya dalam perkhidmatan sektor awam secara umumnya dan JPA
khususnya. Dasar-dasar yang telah digariskan dan pembentukan jawatankuasa yang
bertanggungjawab diharap dapat membantu menangani isu berorientasikan strategi dan
teknikal dengan kaedah mengenal pasti, menganalisis, mentafsir ancaman dan mencadangkan
pelan tindakan yang efektif untuk kebaikan JPA.
5. Saya yakin DKICT ini dapat dijadikan sebagai panduan oleh semua warga JPA.
Pendedahan sebegini dapat memberi kesedaran kepada warga JPA tentang kepentingan
membudayakan sistem keselamatan ICT yang terbaik dan seterusnya menjamin keselamatan
segala maklumat dan aset ICT yang berharga dan penting bagi JPA. Tahniah kepada warga JPA
yang terlibat secara langsung atau sebaliknya dalam penghasilan DKICT JPA ini.
Salam hormat,
Dato’ Dr Ismail bin Alias
Timbalan Ketua Pengarah Perkhidmatan Awam (Operasi)
Malaysia
6. Versi:
2.1
DASAR KESELAMATAN ICT JPA
Muka Surat:
i dari v
KANDUNGAN
BIL. PERKARA MUKA SURAT
1. PENGENALAN 1
2. OBJEKTIF DKICT JPA 1
3. PENYATAAN DKICT JPA 2
4. SKOP DKICT JPA 4
5. PRINSIP-PRINSIP DKICT JPA 6
6. PENILAIAN RISIKO KESELAMATAN ICT 8
7. KAWALAN-KAWALAN
KAWALAN 01 – DASAR KESELAMATAN ICT
Objektif 9
K01/01 Pelaksanaan Dasar 9
K01/02 Penyebaran Dasar 9
K01/03 Penyelenggaraan Dasar 9
K01/04 Pematuhan Dasar 10
KAWALAN 02 - ORGANISASI KESELAMATAN
Objektif 11
K02/01 Infrastruktur Organisasi Dalaman 11
K02/01/01 Ketua Pengarah Perkhidmatan Awam (KPPA) 11
K02/01/02 Ketua Pegawai Maklumat (CIO) 11
K02/01/03 Pegawai Keselamatan ICT (ICTSO) 12
K02/01/04 Pengurus ICT 14
K02/01/05 Pentadbir Sistem 15
Pentadbir Rangkaian 16
Pentadbir Pangkalan Data 16
Pentadbir Laman Web 17
Pentadbir Pusat Data 19
Pentadbir Sistem Aplikasi 19
Pentadbir E-mel 21
K02/01/06 Pengguna 23
K02/01/07 Jawatankuasa Pemandu ICT (JPICT) JPA 25
K02/01/08 Jawatankuasa Keselamatan ICT (JKICT) JPA 27
K02/01/09 Pasukan Tindak Balas Insiden Keselamatan 29
ICT (JPACERT)
K02/02 Pihak Luaran 30
K02/02/01 Keperluan Keselamatan Dalam Kontrak ICT 30
Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
02 Disember 2010
7. Versi:
2.1
DASAR KESELAMATAN ICT JPA
Muka Surat:
ii dari v
KAWALAN 03 - PENGURUSAN ASET ICT
Objektif 31
K03/01 Akauntabiliti Aset ICT 31
K03/01/01 Inventori Aset ICT 31
K03/02 Pengelasan Maklumat 32
K03/03 Pengendalian Maklumat 32
KAWALAN 04 – KESELAMATAN SUMBER MANUSIA
Objektif 34
K04/01 Sebelum Perkhidmatan 34
K04/02 Semasa Perkhidmatan 35
K04/02/01 Program Kesedaran Keselamatan ICT 36
K04/03 Bertukar Atau Tamat Perkhidmatan 36
KAWALAN 05 - KESELAMATAN FIZIKAL DAN PERSEKITARAN
Objektif 37
K05/01 Keselamatan Kawasan 37
K05/01/01 Kawasan Larangan Lokasi ICT 37
K05/01/02 Kawalan Masuk Fizikal 38
K05/01/03 Kawasan Larangan 39
K05/02 Keselamatan Peralatan 40
K05/02/01 Peralatan ICT 40
K05/02/02 Media Storan 42
K05/02/03 Media Tandatangan Digital 43
K05/02/04 Media Perisian dan Aplikasi 43
K05/02/05 Perkakasan Tanpa Penyeliaan (Unattended 44
Equipment)
K05/02/06 Peralatan di Luar Premis 44
K05/02/07 Pelupusan 45
K05/02/08 Penyelenggaraan 46
K05/03 Kawalan Persekitaran 47
K05/03/01 Kawalan Persekitaran 47
K05/03/02 Kabel Rangkaian 48
K05/03/03 Bekalan Kuasa 48
K05/03/04 Prosedur Kecemasan 49
K05/04 Keselamatan Sistem Dokumentasi 49
Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
02 Disember 2010
8. Versi:
2.1
DASAR KESELAMATAN ICT JPA
Muka Surat:
iii dari v
KAWALAN 06 - PENGURUSAN OPERASI DAN KOMUNIKASI
Objektif 51
K06/01 Prosedur Operasi 51
K06/01/01 Pengendalian Dokumen Prosedur Operasi 51
K06/01/02 Pengurusan Perubahan 51
K06/01/03 Pengasingan Tugas dan Tanggungjawab 52
K06/01/04 Prosedur Pengurusan Insiden 53
K06/02 Perancangan dan Penerimaan Sistem 54
K06/02/01 Perancangan Kapasiti 54
K06/02/02 Penerimaan Sistem 54
K06/03 Perlindungan dari Perisian Berbahaya 54
K06/03/01 Perlindungan dari Perisian Berbahaya 54
K06/04 Housekeeping 55
K06/04/01 Backup 55
K06/05 Pengurusan Rangkaian 56
K06/06 Pengurusan Media 57
K06/06/01 Media Mudah Alih 57
K06/06/02 Prosedur Pengendalian Media 57
K06/07 Pengurusan Penghantaran dan Penerimaan 58
Maklumat
K06/08 Pengurusan Mel Elektronik (E-mel) 59
K06/09 Perkhidmatan E-Dagang 60
K06/10 Maklumat Umum 61
K06/11 Pengurusan Penyampaian Perkhidmatan 61
Pembekal, Pakar Runding dan Pihak-Pihak Lain
Yang Terlibat
K06/12 Pemantauan 62
K06/12/01 Pemantauan 62
K06/12/02 Pengauditan dan Forensik ICT 63
K06/12/03 Jejak Audit 64
K06/12/04 Sistem Log 65
KAWALAN 07 - KAWALAN CAPAIAN
Objektif 67
K07/01 Kawalan Capaian 67
K07/02 Pengurusan Capaian Pengguna 67
K07/02/01 Pendaftaran Pengguna 67
K07/02/02 Hak Capaian (Privilege) 68
K07/02/03 Pengurusan Kata Laluan 68
K07/02/04 Clear Desk dan Clear Screen 70
Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
02 Disember 2010
9. Versi:
2.1
DASAR KESELAMATAN ICT JPA
Muka Surat:
iv dari v
K07/03 Capaian Sistem Pengoperasian 70
K07/03/01 Capaian Sistem Pengoperasian 70
K07/03/02 Kad Pintar 72
K07/04 Capaian Aplikasi dan Maklumat 73
K07/05 Capaian Jarak Jauh 74
K07/06 Kawalan Capaian Rangkaian 75
K07/06/01 Capaian Internet 75
KAWALAN 08 – PEROLEHAN, PEMBANGUNAN DAN
PENYELENGGARAAN SISTEM
Objektif 76
K08/01 Kawalan Prosesan Aplikasi 76
K08/01/01 Pengesahan Data Input 76
K08/01/02 Kawalan Prosesan 76
K08/01/03 Pengesahan Data Output 77
K08/02 Kawalan Kriptografi 77
K08/03 Keselamatan Fail Sistem 77
K08/04 Keselamatan Dalam Proses Pembangunan Dan 78
Sokongan
K08/04/01 Prosedur Perubahan 78
K08/04/02 Pembangunan Secara Outsource 78
K08/05 Kawalan dari Ancaman Teknikal 78
KAWALAN 09 - PENGURUSAN PENGENDALIAN INSIDEN
KESELAMATAN
Objektif 80
K09/01 Mekanisme Pelaporan Insiden Keselamatan ICT 80
K09/02 Prosedur Pengendalian Insiden Keselamatan ICT 81
KAWALAN 10 - PENGURUSAN KESINAMBUNGAN
PERKHIDMATAN
Objektif 82
K10/01 Pelan Kesinambungan Perkhidmatan 82
K10/02 Pengurusan Kesinambungan Perkhidmatan 83
Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
02 Disember 2010
10. Versi:
2.1
DASAR KESELAMATAN ICT JPA
Muka Surat:
v dari v
KAWALAN 11 – PEMATUHAN
Objektif 85
K11/01 Pematuhan Dasar 85
K11/02 Pematuhan dengan Dasar, Piawaian dan 85
Keperluan Teknikal
K11/03 Pematuhan Keperluan Audit 85
K11/04 Keperluan Perundangan dan Peraturan 86
K11/05 Pelanggaran Perundangan 87
8. GLOSARI 88
9. SENARAI LAMPIRAN
Lampiran 1 Surat Akuan Pematuhan 95
Dasar Keselamatan ICT (DKICT) JPA
Lampiran 2 Ringkasan Proses Kerja Pelaporan Insiden 96
Keselamatan ICT JPA
Lampiran 3 Permohonan Kebenaran Untuk Menggunakan
Modem Peribadi Bagi Tujuan Sambungan Ke 98
Internet
Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
02 Disember 2010
11. Versi:
2.1
DASAR KESELAMATAN ICT JPA
Muka Surat:
1 dari 98
PENGENALAN
Jabatan Perkhidmatan Awam (JPA) Malaysia berperanan untuk menyediakan perkhidmatan bagi
perancangan, pembangunan dan pengurusan sumber manusia sektor awam yang cemerlang
berteraskan profesionalisme, integriti dan teknologi. Dokumen ini diguna pakai oleh semua
kakitangan, pengguna dan pembekal yang menyediakan perkhidmatan, mencapai dan
menggunakan aset dan sistem aplikasi Information and Communication Technology (ICT) di
JPA. Dasar Keselamatan ICT (DKICT) JPA disediakan berpandu kepada piawai antarabangsa
iaitu ISO/IEC 27001:2005.
OBJEKTIF DKICT JPA
Objektif utama Dasar Keselamatan ICT JPA (DKICT) adalah seperti berikut:
1. Memastikan kelancaran operasi jabatan yang berlandaskan ICT dengan mencegah serta
meminimumkan kerosakan atau kemusnahan aset ICT jabatan;
2. Melindungi kepentingan pihak-pihak yang bergantung kepada sistem maklumat
daripada kesan kegagalan atau kelemahan dari segi kerahsiaan, integriti, tidak boleh
disangkal, kebolehsediaan dan kesahihan (CIA3);
3. Meminimumkan kos penyelenggaraan ICT akibat ancaman dan penyalahgunaan;
4. Meningkatkan tahap kesedaran keselamatan ICT kepada para kakitangan, pengguna
dan pembekal;
5. Memperkemaskan pengurusan risiko;
6. Mencegah penyalahgunaan atau kecurian aset ICT jabatan; dan
7. Melindungi aset ICT daripada penyelewengan oleh kakitangan, pengguna dan pembekal.
Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
02 Disember 2010
12. Versi:
2.1
DASAR KESELAMATAN ICT JPA
Muka Surat:
2 dari 98
PENYATAAN DASAR KESELAMATAN ICT JPA
Keselamatan ditakrifkan sebagai keadaan yang bebas daripada ancaman dan risiko yang tidak
boleh diterima. Keselamatan adalah suatu proses yang berterusan. Ia melibatkan aktiviti
berkala yang mesti dilakukan dari semasa ke semasa untuk menjamin keselamatan kerana
ancaman dan kelemahan sentiasa berubah.
Keselamatan ICT adalah bermaksud keadaan bagi segala urusan menyedia dan membekalkan
perkhidmatan yang berasaskan kepada sistem ICT berjalan secara berterusan. Terdapat empat
(4) komponen asas keselamatan ICT, iaitu:
1. Melindungi maklumat rahsia rasmi dan maklumat rasmi JPA dari capaian tanpa kuasa
yang sah;
2. Menjamin setiap maklumat adalah tepat dan sempurna;
3. Memastikan ketersediaan maklumat apabila diperlukan oleh pengguna; dan
4. Memastikan akses hanya kepada pengguna-pengguna yang sah atau penerimaan
maklumat dari sumber-sumber yang sah.
Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
02 Disember 2010
13. Versi:
2.1
DASAR KESELAMATAN ICT JPA
Muka Surat:
3 dari 98
DKICT JPA merangkumi perlindungan ke atas semua bentuk maklumat elektronik bertujuan
untuk menjamin keselamatan maklumat tersebut dan kebolehsediaan kepada semua pengguna
yang dibenarkan. Ciri-ciri utama keselamatan maklumat adalah seperti berikut:
1. Kerahsiaan – maklumat tidak boleh didedahkan sewenang-wenangnya atau dibiarkan
akses tanpa kebenaran.
2. Integriti – Data dan maklumat hendaklah tepat, lengkap dan kemas kini. Ia hanya
boleh diubah dengan cara yang dibenarkan.
3. Tidak boleh disangkal – Punca data dan maklumat hendaklah dari punca yang sah
dan tidak boleh disangkal.
4. Kesahihan – Data dan maklumat hendaklah dijamin kesahihannya.
5. Kebolehsediaan – Data dan maklumat hendaklah boleh diakses pada bila-bila masa.
Selain itu, langkah-langkah ke arah keselamatan ICT hendaklah bersandarkan kepada penilaian
yang bersesuaian dengan perubahan semasa terhadap kelemahan semula jadi aset ICT,
ancaman yang wujud akibat daripada kelemahan tersebut, risiko yang mungkin timbul dan
langkah-langkah pencegahan sesuai yang boleh diambil untuk menangani risiko berkenaan.
Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
02 Disember 2010
14. Versi:
2.1
DASAR KESELAMATAN ICT JPA
Muka Surat:
4 dari 98
SKOP DKICT JPA
Sistem ICT JPA terdiri daripada organisasi, manusia, perisian, perkakasan, telekomunikasi,
kemudahan ICT dan data. JPA telah menetapkan keperluan-keperluan asas keselamatan
seperti berikut:
1. Data dan maklumat hendaklah boleh diakses secara berterusan dengan cepat, tepat,
mudah dan dengan cara yang boleh dipercayai. Ini adalah amat perlu bagi
membolehkan keputusan dan penyampaian perkhidmatan dilakukan dengan
berkesan dan berkualiti.
2. Semua data dan maklumat hendaklah dijaga kerahsiaannya dan dikendalikan sebaik
mungkin pada setiap masa bagi memastikan kesempurnaan dan melindungi
kepentingan JPA.
Bagi menentukan sistem ICT ini terjamin keselamatannya sepanjang masa, DKICT JPA ini
merangkumi perlindungan ke atas semua bentuk maklumat ICT kerajaan yang dimasuk,
diwujud, dimusnah, disimpan, dijana, dicetak, diakses, diedar dan yang dibuat salinan. Ini
akan dilakukan melalui penubuhan dan penguatkuasaan sistem kawalan dan prosedur dalam
pengendalian semua perkara-perkara berikut:
1. Data dan maklumat
Semua data dan maklumat yang disimpan atau digunakan di pelbagai media atau
peralatan ICT.
2. Peralatan ICT
Semua peralatan komputer dan peripheral seperti server, firewall, komputer
peribadi, stesen kerja, kerangka utama, pencetak, peralatan multimedia dan alat-alat
prasarana seperti Uninterruptible Power Supply (UPS), punca kuasa dan lain-lain.
Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
02 Disember 2010
15. Versi:
2.1
DASAR KESELAMATAN ICT JPA
Muka Surat:
5 dari 98
3. Media storan
Semua media storan dan peralatan yang berkaitan seperti disket, storan mudah alih,
kartrij, CD-ROM, pita, cakera, pemacu cakera, pemacu pita dan lain-lain.
4. Media komunikasi
Semua peralatan berkaitan komunikasi seperti pelayan rangkaian, gateway, bridge,
router, peralatan PABX, wireless LAN, talian ISDN, peralatan video conferencing,
modem, PCMCIA, kabel rangkaian, network interface card (NIC), switches, hub dan
lain-lain.
5. Perisian
Semua jenis perisian yang digunakan untuk mengendali, memproses, menyimpan
dan menghantar data atau maklumat. Ini termasuklah sistem aplikasi seperti eSILA,
POWER, HRMIS, EPSA dan sistem pengoperasian seperti Windows, LINUX dan
perisian utiliti, perisian komunikasi, sistem pengurusan pangkalan data, fail program,
fail data dan lain-lain.
6. Dokumentasi
Semua dokumen (prosedur dan manual pengguna) yang berkaitan dengan aset ICT,
pemasangan dan pengoperasian peralatan dan perisian, sama ada dalam bentuk
elektronik atau bukan elektronik.
7. Premis Komputer dan Komunikasi
Semua kemudahan serta premis yang diguna untuk menempatkan perkara 1 hingga
6 di atas.
8. Manusia
Semua pengguna infrastruktur ICT JPA yang dibenarkan, termasuk warga JPA,
pengguna dan pembekal.
Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
02 Disember 2010
16. Versi:
2.1
DASAR KESELAMATAN ICT JPA
Muka Surat:
6 dari 98
PRINSIP-PRINSIP DKICT JPA
Prinsip-prinsip yang menjadi asas kepada DKICT JPA adalah seperti berikut:
1. Akses Atas Dasar Perlu Mengetahui
Akses terhadap penggunaan aset ICT hanya diberikan untuk tujuan spesifik dan
dihadkan kepada pengguna tertentu atas dasar perlu mengetahui sahaja. Ini
bermakna akses hanya akan diberikan sekiranya peranan atau fungsi pengguna
memerlukan maklumat tersebut.
2. Hak Akses Minimum
Hak akses kepada pengguna hanya diberi pada tahap yang paling minimum iaitu
untuk membaca dan/atau melihat sahaja. Kelulusan khas diperlukan untuk
membolehkan pengguna mewujud, menyimpan, mengemas kini, mengubah dan
menghapuskan sesuatu data atau maklumat.
3. Kebertanggungjawaban / Akauntabiliti
Semua pengguna adalah dipertanggungjawabkan ke atas semua tindakannya
terhadap aset ICT. Tanggungjawab ini perlu dinyatakan dengan jelas sesuai dengan
tahap sensitiviti sesuatu sumber ICT. Bagi menentukan tanggungjawab ini dipatuhi,
sistem ICT hendaklah mampu menyokong kemudahan mengesan atau mengesahkan
bahawa pengguna sistem maklumat boleh dipertanggungjawabkan atas tindakan
mereka.
4. Pengasingan
Tugas mewujud, menghapus, mengemas kini, mengubah dan mengesahkan data
perlu diasingkan bagi mengelakkan daripada capaian yang tidak dibenarkan
(unauthorized access) serta melindungi aset ICT daripada kesilapan, kebocoran
maklumat terperingkat atau dimanipulasikan. Pengasingan juga merangkumi data,
operasi, pangkalan data dan rangkaian.
Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
02 Disember 2010
17. Versi:
2.1
DASAR KESELAMATAN ICT JPA
Muka Surat:
7 dari 98
5. Pengauditan
Tujuan aktiviti ini ialah untuk mengenal pasti insiden keselamatan aset ICT atau
keadaan yang mengancam keselamatan aset ICT. Dengan itu, semua log yang
berkaitan dengan aset ICT perlu disimpan bagi tujuan jejak audit.
6. Pematuhan
DKICT JPA hendaklah dipatuhi bagi mengelakkan sebarang bentuk pelanggaran ke
atasnya yang boleh membawa ancaman kepada keselamatan ICT.
7. Pemulihan
Pemulihan sistem amat perlu untuk memastikan kebolehsediaan dan kebolehcapaian
bagi meminimumkan sebarang gangguan atau kerugian akibat daripada
ketidaksediaan dan ketidakbolehcapaian. Pemulihan boleh dilakukan melalui proses
penduaan (backup) dan mewujudkan Pelan Pemulihan Bencana / Pelan
Kesinambungan Perkhidmatan (Business Resumption Planning, BRP).
8. Saling Bergantung
Setiap prinsip adalah saling lengkap-melengkapi dan bergantung antara satu sama
lain. Dengan itu tindakan mempelbagaikan pendekatan dalam menyusun dan
mencorak sebanyak mungkin mekanisme keselamatan, dapat menjamin keselamatan
yang maksimum.
Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
02 Disember 2010
18. Versi:
2.1
DASAR KESELAMATAN ICT JPA
Muka Surat:
8 dari 98
PENILAIAN RISIKO KESELAMATAN ICT
JPA hendaklah mengambil kira kewujudan risiko ke atas aset ICT akibat dari ancaman dan
vulnerability yang semakin meningkat hari ini. Justeru itu JPA perlu mengambil langkah-langkah
proaktif dan bersesuaian untuk menilai tahap risiko aset ICT supaya pendekatan dan keputusan
yang paling berkesan dikenal pasti bagi menyediakan perlindungan dan kawalan ke atas aset ICT.
JPA hendaklah melaksanakan penilaian risiko keselamatan ICT secara berkala dan berterusan
bergantung kepada perubahan teknologi dan keperluan keselamatan ICT. Seterusnya mengambil
tindakan susulan dan/atau langkah-langkah bersesuaian untuk mengurangkan atau mengawal
risiko keselamatan ICT berdasarkan penemuan penilaian risiko.
Penilaian risiko keselamatan ICT hendaklah dilaksanakan ke atas sistem maklumat JPA
termasuklah aplikasi, perisian, perkakasan, pelayan, rangkaian, pangkalan data, sumber manusia,
proses dan prosedur. Penilaian risiko ini hendaklah juga dilaksanakan di premis yang
menempatkan sumber-sumber teknologi maklumat termasuklah pusat data, bilik media storan,
kemudahan utiliti dan sistem-sistem sokongan lain.
JPA bertanggungjawab melaksanakan dan menguruskan risiko keselamatan ICT selaras dengan
keperluan Surat Pekeliling Am Bilangan 6 Tahun 2005: Garis Panduan Penilaian Risiko
Keselamatan Maklumat Sektor Awam.
JPA perlu mengenal pasti tindakan yang sewajarnya bagi menghadapi kemungkinan risiko berlaku
dengan memilih tindakan berikut:
1. Mengurangkan risiko dengan melaksanakan kawalan yang bersesuaian;
2. Menerima dan/atau bersedia berhadapan dengan risiko yang akan terjadi selagi ia
memenuhi kriteria yang telah ditetapkan oleh pengurusan atasan;
3. Mengelak dan/atau mencegah risiko dari terjadi dengan mengambil tindakan yang
dapat mengelak dan/atau mencegah berlakunya risiko; dan
4. Memindahkan risiko ke pihak lain seperti pembekal, pakar runding dan pihak-pihak lain
yang berkepentingan.
Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
02 Disember 2010
19.
20. Versi:
2.1
DASAR KESELAMATAN ICT JPA
Muka Surat:
9 dari 98
Kawalan 01: Dasar Keselamatan ICT
Objektif
DKICT JPA ini diwujudkan untuk melindungi aset ICT bagi memastikan kelancaran operasi
jabatan secara berterusan, meminimumkan kerosakan atau kemusnahan aset-aset ICT melalui
usaha pencegahan atau mengurangkan kesan kejadian yang tidak diingini berdasarkan kepada
ciri-ciri keselamatan iaitu kerahsiaan, integriti, tidak boleh disangkal, kebolehsediaan dan
kesahihan.
K01/01 Pelaksanaan Dasar
Pelaksanaan dasar ini akan dijalankan oleh Ketua
Pengarah Perkhidmatan Awam (KPPA) dibantu oleh KPPA
Jawatankuasa Pemandu ICT JPA (JPICT) yang terdiri
daripada Ketua Pegawai Maklumat (CIO), Pegawai
Keselamatan ICT (ICTSO) dan semua Pengarah
Bahagian.
K01/02 Penyebaran Dasar
Dasar ini perlu disebarkan kepada semua yang terlibat
dengan infrastruktur ICT JPA meliputi warga JPA, ICTSO
pengguna dan pembekal.
K01/03 Penyelenggaraan Dasar
DKICT JPA adalah tertakluk kepada semakan dan
pindaan dari semasa ke semasa selaras dengan ICTSO, JKICT
perubahan teknologi, aplikasi, prosedur, perundangan
dan kepentingan sosial. Berikut adalah prosedur yang
berhubung dengan penyelenggaraan DKICT JPA:
a. Mengenal pasti dan menentukan perubahan yang
diperlukan;
Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
02 Disember 2010
21. Versi:
2.1
DASAR KESELAMATAN ICT JPA
Muka Surat:
10 dari 98
b. Mengemukakan cadangan pindaan secara bertulis
kepada ICTSO untuk tindakan dan pertimbangan
Jawatankuasa Keselamatan ICT (JKICT);
c. Memaklumkan perubahan yang telah dipersetujui
oleh JKICT kepada semua pihak iaitu kakitangan,
pengguna dan pembekal; dan
d. Menyemak semula dokumen sekurang-kurangnya
setahun sekali atau mengikut keperluan bagi
memastikan dokumen sentiasa relevan.
K01/04 Pematuhan Dasar
DKICT JPA mestilah dipatuhi oleh semua warga JPA, Warga JPA,
pengguna dan pembekal. Pengguna,
Pembekal
Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
02 Disember 2010
22.
23. Versi:
2.1
DASAR KESELAMATAN ICT JPA
Muka Surat:
11 dari 98
Kawalan 02: Organisasi Keselamatan
Objektif
Menerangkan peranan dan tanggungjawab semua pihak yang terlibat dengan lebih jelas dan
teratur dalam mencapai objektif DKICT JPA.
K02/01 Infrastruktur Organisasi Dalaman
K02/01/01 Ketua Pengarah Perkhidmatan Awam (KPPA)
Peranan dan tanggungjawab KPPA adalah seperti berikut:
a. Memastikan semua pengguna memahami KPPA
peruntukan-peruntukan di bawah DKICT JPA;
b. Memastikan semua pengguna mematuhi DKICT JPA;
c. Memastikan semua keperluan jabatan seperti sumber
kewangan, sumber kakitangan dan perlindungan
keselamatan adalah mencukupi; dan
d. Program keselamatan ICT dilaksanakan seperti yang
ditetapkan di dalam DKICT JPA.
K02/01/02 Ketua Pegawai Maklumat (CIO)
Jawatan Ketua Pegawai Maklumat (CIO) adalah
disandang oleh Timbalan Ketua Pengarah Perkhidmatan CIO
Awam (Operasi).
Peranan dan tanggungjawab CIO adalah seperti berikut:
a. Bertanggungjawab ke atas perkara-perkara yang
berkaitan dengan keselamatan ICT JPA;
Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
02 Disember 2010
24. Versi:
2.1
DASAR KESELAMATAN ICT JPA
Muka Surat:
12 dari 98
b. Bertanggungjawab menyelaras dan mengurus pelan
tindakan dan program keselamatan seperti
penyediaan DKICT JPA, pelan latihan dan kesedaran
pengguna, pengurusan risiko dan pengauditan; dan
c. Menentukan keperluan keselamatan ICT.
K02/01/03 Pegawai Keselamatan ICT (ICTSO)
Jawatan Pegawai Keselamatan ICT (ICTSO) adalah
disandang oleh Timbalan Pengarah Bahagian Pengurusan ICTSO
Maklumat.
Peranan dan tanggungjawab ICTSO adalah seperti
berikut:
a. Mempengerusikan Jawatankuasa Keselamatan ICT
(JKICT);
b. Mengurus keseluruhan program keselamatan ICT
JPA;
c. Menguatkuasakan pelaksanaan DKICT JPA di semua
bahagian di JPA;
d. Menjalankan pengurusan risiko dan audit
keselamatan ICT berpandukan dokumen Malaysian
Public Sector Management of Information and
Communications (MyMIS) untuk mengenal pasti
ketidakpatuhan kepada DKICT JPA;
e. Mencadangkan langkah-langkah pengukuhan bagi
mematuhi dasar-dasar berkaitan keselamatan ICT
Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
02 Disember 2010
25. Versi:
2.1
DASAR KESELAMATAN ICT JPA
Muka Surat:
13 dari 98
JPA;
f. Melaporkan insiden keselamatan ICT kepada Pasukan
Tindak Balas Insiden Keselamatan ICT Kerajaan
(GCERT MAMPU) dan seterusnya membantu dalam
penyiasatan atau pemulihan;
g. Menjalankan program-program kesedaran mengenai
keselamatan ICT;
h. Menyedia dan menyebarkan amaran-amaran yang
sesuai terhadap kemungkinan berlaku ancaman
kepada keselamatan ICT dan menyediakan khidmat
nasihat serta langkah pemulihan yang bersesuaian;
i. Melaporkan insiden keselamatan ICT kepada CIO
bagi insiden yang memerlukan Pelan Kesinambungan
Perkhidmatan (Business Resumption Planning, BRP);
j. Memastikan pematuhan DKICT JPA oleh pihak luaran
seperti perunding, kontraktor dan pembekal yang
mencapai dan menggunakan aset ICT JPA untuk
tujuan penyelenggaraan, pemasangan, naik taraf
dan sebagainya;
k. Menyemak, mengkaji dan menyediakan laporan
berkaitan dengan isu-isu keselamatan ICT;
l. Memastikan DKICT JPA dikemas kini sesuai dengan
perubahan teknologi, arahan jabatan dan ancaman-
ancaman dari semasa ke semasa; dan
m. Memastikan Pelan Strategik ICT JPA mengandungi
Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
02 Disember 2010
26. Versi:
2.1
DASAR KESELAMATAN ICT JPA
Muka Surat:
14 dari 98
aspek keselamatan ICT.
K02/01/04 Pengurus ICT
Jawatan Pengurus ICT disandang oleh tiga wakil iaitu
Pengarah Bahagian Pengurusan Maklumat (PBM), Pengurus ICT
Timbalan Pengarah Bahagian Pasca Perkhidmatan
(TPB(P)ICT) dan Timbalan Pengarah INTAN (ICT).
Peranan dan tanggungjawab Pengurus ICT adalah seperti
berikut:
a. Memastikan DKICT JPA dilaksanakan di bahagian;
b. Memastikan semua kakitangan, perunding,
kontraktor dan pembekal yang terlibat dengan
bahagian mematuhi dasar, piawaian dan garis
panduan keselamatan ICT dan seterusnya
melaporkan sebarang insiden berkaitan keselamatan
ICT;
c. Mengkaji semula aspek-aspek keselamatan fizikal
seperti kemudahan backup dan persekitaran pejabat
yang perlu, dengan persetujuan ICTSO;
d. Melaksanakan keperluan DKICT dalam operasi
semasa seperti berikut:
i. pelaksanaan sistem atau aplikasi baru sama
ada dibangunkan secara dalaman atau luaran
yang melibatkan teknologi baru;
ii. pembelian atau peningkatan perisian dan
sistem komputer;
iii. perolehan teknologi dan perkhidmatan
Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
02 Disember 2010
27. Versi:
2.1
DASAR KESELAMATAN ICT JPA
Muka Surat:
15 dari 98
komunikasi baru; dan
iv. pelantikan pembekal, perunding atau rakan
usahasama.
e. Menyimpan rekod atau laporan terkini tentang
ancaman keselamatan. Sebarang perkara atau
penemuan ancaman terhadap keselamatan ICT
hendaklah dilaporkan kepada ICTSO;
f. Membangunkan garis panduan, prosedur dan
tatacara untuk aplikasi-aplikasi khusus dalam
jabatan yang mematuhi keperluan DKICT JPA;
g. Membangun, mengkaji semula dan mengemas kini
pelan kontingensi keselamatan ICT di bahagian; dan
h. Melaksanakan sistem kawalan capaian pengguna ke
atas aset-aset ICT JPA.
K02/01/05 Pentadbir Sistem
Pentadbir Sistem terdiri daripada seperti berikut:
a. Pentadbir Rangkaian;
b. Pentadbir Pangkalan Data;
c. Pentadbir Laman Web (Web Master);
d. Pentadbir Pusat Data;
e. Pentadbir Sistem Aplikasi; dan
f. Pentadbir E-mel.
Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
02 Disember 2010
28. Versi:
2.1
DASAR KESELAMATAN ICT JPA
Muka Surat:
16 dari 98
Pentadbir Rangkaian
Peranan dan tanggungjawab Pentadbir Rangkaian adalah
seperti berikut:
a. Memastikan rangkaian setempat (LAN) dan
rangkaian luas (WAN) di JPA beroperasi sepanjang
masa;
b. Memastikan semua peralatan dan perisian rangkaian
diselenggarakan dengan sempurna;
c. Merancang peningkatan infrastruktur, ciri-ciri
keselamatan dan prestasi rangkaian sedia ada;
d. Mengesan dan mengambil tindakan pembaikan
segera ke atas rangkaian yang tidak stabil;
e. Memantau penggunaan rangkaian dan melaporkan
kepada ICTSO sekiranya berlaku penyalahgunaan
sumber rangkaian;
f. Memastikan laluan trafik keluar dan masuk diuruskan
secara berpusat dan tidak membenarkan sambungan
ke rangkaian JPA secara tidak sah seperti melalui
peralatan modem dan dial-up; dan
g. Menyediakan zon khas rangkaian untuk tujuan
pengujian peralatan dan perisian rangkaian.
Pentadbir Pangkalan Data
Peranan dan tanggungjawab Pentadbir Pangkalan Data
adalah seperti berikut:
Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
02 Disember 2010
29. Versi:
2.1
DASAR KESELAMATAN ICT JPA
Muka Surat:
17 dari 98
a. Melaksanakan instalasi dan penambahbaikan
pangkalan data serta perisian lain yang berkaitan
dengan pangkalan data;
b. Memastikan pangkalan data boleh digunakan pada
setiap masa;
c. Melaksanakan pemantauan dan penyelenggaraan
yang berterusan ke atas pangkalan data;
d. Melaksanakan proses backup dan restoration ke atas
pangkalan data;
e. Memastikan aktiviti pentadbiran pangkalan data
seperti prestasi capaian, penyelesaian masalah
pangkalan data dan proses pengemaskinian data
dilaksanakan dengan teratur;
f. Melaksanakan polisi pengguna pangkalan data
berdasarkan kepada prinsip-prinsip DKICT;
g. Melaksanakan proses pembersihan data
(housekeeping) di dalam pangkalan data; dan
h. Melaporkan sebarang insiden pelanggaran dasar
keselamatan pangkalan data kepada ICTSO.
Pentadbir Laman Web (Web Master)
Peranan dan tanggungjawab Pentadbir Laman Web
adalah seperti berikut:
a. Menerima kandungan laman web yang telah
disahkan kesahihan dan terkini daripada sumber
Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
02 Disember 2010
30. Versi:
2.1
DASAR KESELAMATAN ICT JPA
Muka Surat:
18 dari 98
yang sah;
b. Memantau prestasi capaian dan menjalankan
penalaan prestasi untuk memastikan akses yang
lancar;
c. Memantau dan menganalisis log untuk mengesan
sebarang capaian yang tidak sah atau cubaan
menggodam, menceroboh dan mengubahsuai muka
laman;
d. Menghadkan capaian Pentadbir Laman Web bahagian
ke web server;
e. Mengasingkan kandungan dan aplikasi atas talian
untuk capaian secara Intranet dan Internet ke portal
JPA;
f. Memastikan data-data SULIT tidak boleh disalin atau
dicetak oleh orang yang tidak berhak;
g. Memastikan reka bentuk web dibangunkan dengan
ciri-ciri keselamatan supaya tidak dicerobohi;
h. Melaksanakan housekeeping keselamatan terhadap
sistem pengoperasian dan perisian-perisian lain di
web server;
i. Melaksanakan proses backup dan restoration secara
berkala; dan
j. Melaporkan sebarang pelanggaran keselamatan
laman portal kepada ICTSO.
Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
02 Disember 2010
31. Versi:
2.1
DASAR KESELAMATAN ICT JPA
Muka Surat:
19 dari 98
Pentadbir Pusat Data
Peranan dan tanggungjawab Pentadbir Pusat Data adalah
seperti berikut:
a. Memastikan persekitaran fizikal dan keselamatan
pusat data berada dalam keadaan baik dan
selamat;
b. Memastikan keselamatan data dan sistem aplikasi
yang berada dalam Pusat Data;
c. Menjadualkan proses salinan (backup and
restore) ke atas data dan sistem secara berkala;
d. Menyediakan perancangan bencana mengikut
prinsip Pengurusan Kesinambungan Pekhidmatan
dalam DKICT;
e. Melaksanakan prinsip-prinsip DKICT; dan
f. Memastikan Pusat Data sentiasa beroperasi
mengikut polisi yang telah ditetapkan.
Pentadbir Sistem Aplikasi
Peranan dan tanggungjawab Pentadbir Sistem Aplikasi
adalah seperti berikut:
a. Mengkaji cadangan pembangunan/penyelarasan
sistem/modul di JPA;
b. Membuat kajian semula serta memperbaiki sistem /
modul sedia ada di JPA;
Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
02 Disember 2010
32. Versi:
2.1
DASAR KESELAMATAN ICT JPA
Muka Surat:
20 dari 98
c. Membuat pertimbangan dan mengusulkan
cadangan pelaksanaan sistem / modul di JPA;
d. Membuat pemantauan dan penyelenggaraan
terhadap sistem / modul dari masa ke semasa;
e. Bertanggungjawab dalam aspek-aspek pelaksanaan
keseluruhan sistem / modul;
f. Menyediakan dokumentasi sistem / modul dan
manual pengguna;
g. Memastikan kelancaran operasi sistem aplikasi
supaya perkhidmatan yang disediakan tidak
terjejas;
h. Memastikan kod-kod program sistem aplikasi
adalah selamat daripada penggodam sebelum
sistem tersebut diaktifkan penggunaanya;
i. Memastikan virus pattern, hotfix dan patch yang
berkaitan dengan sistem aplikasi terkemaskini
supaya terhindar daripada ancaman virus dan
penggodam;
j. Mematuhi dan melaksanakan prinsip-prinsip DKICT
dalam pewujudkan akaun pengguna ke atas setiap
sistem aplikasi;
k. Memastikan sandaran (backup) sistem aplikasi dan
data yang berkaitan dengannya dibuat secara
berjadual;
Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
02 Disember 2010
33. Versi:
2.1
DASAR KESELAMATAN ICT JPA
Muka Surat:
21 dari 98
l. Menghadkan capaian Dokumentasi Sistem Aplikasi
bagi mengelakkan dari penyalahgunaannya;
m. Melaporkan kepada ICTSO jika berlakunya insiden
keselamatan ke atas sistem aplikasi di bawah
pentadbirannya; dan
n. Menjadi ahli Jawatankuasa Keselamatan ICT
(JKICT) JPA.
Pentadbir E-mel
Peranan dan tanggungjawab Pentadbir E-mel adalah
seperti berikut:
a. Menentukan setiap akaun yang diwujudkan atau
dibatalkan telah mendapat kelulusan Ketua
Jabatan. Pembatalan akaun (pengguna yang
berhenti, bertukar dan melanggar dasar dan
tatacara jabatan) perlulah dilakukan dengan segera
atas tujuan keselamatan maklumat;
b. Pentadbir e-mel boleh membekukan akaun
pengguna jika perlu semasa pengguna bercuti
panjang, berkursus atau menghadapi tindakan
tatatertib;
c. Menyimpan jejak audit selama sekurang-kurangnya
enam (6) bulan di dalam pelayan e-mel tertakluk
kepada kemampuan ruang storan;
d. Melaksanakan jadual penstoran dan pengarkiban e-
mel. Penyimpanan media storan sama ada di luar
atau di dalam kawasan mestilah mempunyai ciri-ciri
Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
02 Disember 2010
34. Versi:
2.1
DASAR KESELAMATAN ICT JPA
Muka Surat:
22 dari 98
keselamatan fizikal yang terjamin bagi mengelak
daripada sebarang risiko seperti kehilangan
maklumat;
e. Memastikan akaun e-mel pengguna sentiasa dalam
keadaan baik dan berfungsi;
f. Melaksanakan aktiviti housekeeping terhadap akaun
e-mel pengguna secara berkala;
g. Memastikan keselamatan akaun e-mel pengguna
dari ancaman luar dan dalam;
h. Memaklumkan kepada Ketua Jabatan sekiranya
mengalami insiden keselamatan seperti serangan
virus, serangan e-mail spamming, phishing,
pencerobohan e-mel dan penyalahgunaan e-mel.
Pentadbir e-mel hendaklah mengurus dan
menangani insiden yang berlaku dengan segera dan
sistematik sehingga keadaan kembali pulih;
i. Melaksanakan penyelenggaraan ke atas sistem e-
mel dengan baik dan menentukan segala patches
terkini yang disediakan oleh pihak pembekal
dipasang dan berfungsi dengan sempurna;
j. Memantau status storan e-mel Pengurusan Atasan
JPA dua (2) kali sehari dan memastikan e-mel
Pengurusan Atasan JPA sentiasa tersedia untuk
transaksi e-mel;
k. Memastikan semua peralatan sistem e-mel JPA
sentiasa aktif;
l. Menyediakan ruang mailbox yang mencukupi
Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
02 Disember 2010
35. Versi:
2.1
DASAR KESELAMATAN ICT JPA
Muka Surat:
23 dari 98
sekurang-kurangnya 100MB untuk setiap akaun e-
mel dan jumlah ini adalah bergantung kepada
keperluan pemilik akaun e-mel;
m. Menggunakan kaedah inovatif dalam penghantaran
fail bersaiz besar seperti menggunakan kaedah
muat-turun fail dengan memaklumkan lokasi
universal resource location (URL) atau kaedah
pemampatan untuk mengurangkan saiz fail dengan
memastikan ciri-ciri keselamatan dilaksanakan;
n. Memastikan perjanjian penyelenggaraan sistem e-
mel pada tahap premium (premium service) dengan
pembekal-pembekal yang berkelayakan;
o. Memastikan agar keupayaan mail relay hanya boleh
digunakan untuk server atau aplikasi dalaman JPA
sahaja bagi tujuan keselamatan;
p. Memastikan kemudahan membuat capaian e-mel
melalui pelbagai media seperti telefon mudah alih;
dan
q. Memastikan pengguna e-mel JPA berkemahiran
menggunakan e-mel melalui penyediaan dokumen
tatacara penggunaan e-mel JPA dan Internet JPA
serta pelaksanaan Kursus Pembudayaan ICT
(Penggunaan E-mel dan Internet) secara
berterusan.
K02/01/06 Pengguna
Peranan dan tanggungjawab pengguna adalah seperti
berikut: Pengguna
a. Pengguna warga JPA dan pihak luaran perlu
Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
02 Disember 2010
36. Versi:
2.1
DASAR KESELAMATAN ICT JPA
Muka Surat:
24 dari 98
membaca, memahami dan mematuhi DKICT JPA;
b. Mengetahui dan memahami implikasi keselamatan
ICT kesan dari tindakannya;
c. Menjalani tapisan keselamatan sekiranya
dikehendaki berurusan dengan maklumat rasmi
terperingkat;
d. Melaksanakan prinsip-prinsip DKICT dan menjaga
kerahsiaan maklumat JPA;
e. Melaksanakan langkah-langkah perlindungan seperti
berikut:
i. menghalang pendedahan maklumat kepada
pihak yang tidak dibenarkan;
ii. memeriksa maklumat dan menentukan ia
tepat dan lengkap dari semasa ke semasa;
iii. menentukan maklumat sedia untuk
digunakan;
iv. menjaga kerahsiaan kata laluan;
v. mematuhi standard, prosedur, langkah dan
garis panduan keselamatan ICT yang
ditetapkan;
vi. melaksanakan peraturan berkaitan maklumat
terperingkat terutama semasa pewujudan,
pemprosesan, penyimpanan, penghantaran,
penyampaian, pertukaran dan pemusnahan;
dan
vii. menjaga kerahsiaan langkah-langkah
keselamatan ICT dari diketahui umum.
f. Melaporkan sebarang aktiviti yang mengancam
Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
02 Disember 2010
37. Versi:
2.1
DASAR KESELAMATAN ICT JPA
Muka Surat:
25 dari 98
keselamatan ICT kepada ICTSO dengan segera;
g. Menghadiri program-program kesedaran mengenai
keselamatan ICT; dan
h. Menandatangani surat akuan pematuhan DKICT JPA
seperti di Lampiran 1.
K02/01/07 Jawatankuasa Pemandu ICT (JPICT) JPA
Keanggotaan JPICT adalah seperti berikut:
CIO
Pengerusi:
CIO
Ahli:
Pengarah Bahagian Perkhidmatan
Pengarah Bahagian Pembangunan Organisasi
Pengarah INTAN
Pengarah Bahagian Pembangunan Modal Insan
Pengarah Bahagian Khidmat Pengurusan
Pangarah Bahagian Saraan
Pengarah Bahagian Pasca Perkhidmatan
Pengarah Bahagian Perancangan, Penyelidikan
dan Korporat
Pengarah Bahagian Pengurusan Psikologi
Pengarah Bahagian Pengurusan Maklumat
Timbalan Pengarah ICT Bahagian Pasca
Perkhidmatan (BP), BPM dan INTAN
Penasihat Undang-undang (PUU)
Ketua Unit Audit Dalam
ICTSO
Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
02 Disember 2010
38. Versi:
2.1
DASAR KESELAMATAN ICT JPA
Muka Surat:
26 dari 98
Ahli-ahli Jemputan (bila perlu):
MAMPU
Perbendaharaan
Urus Setia:
BPM
Bidang Kuasa:
a. Menetapkan arah tuju dan strategi ICT untuk
pelaksanaan ICT JPA;
b. Merancang, menyelaras dan memantau
pelaksanaan program/projek ICT JPA;
c. Menyelaras dan menyeragamkan pelaksanaan ICT
agar selari dengan Pelan Strategik Teknologi
Maklumat (PSTM) JPA dan PSTM Sektor Awam;
d. Meluluskan projek-projek ICT;
e. Mengikuti dan memantau perkembangan program
ICT serta memahami keperluan, masalah dan isu-
isu yang dihadapi dalam pelaksanaan ICT;
f. Merancang dan menentukan langkah-langkah
keselamatan ICT;
g. Mengemukakan perolehan ICT yang telah diluluskan
di peringkat JPICT JPA kepada Jawatankuasa
Teknikal ICT (JTICT) MAMPU untuk kelulusan;
h. Mengemukakan laporan kemajuan projek ICT yang
diluluskan kepada JTICT MAMPU; dan
Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
02 Disember 2010
39. Versi:
2.1
DASAR KESELAMATAN ICT JPA
Muka Surat:
27 dari 98
i. Menetapkan dasar dan prosedur pengurusan laman
web / portal JPA.
K02/01/08 Jawatankuasa Keselamatan ICT (JKICT) JPA
Keanggotaan JKICT adalah seperti berikut:
ICTSO
Pengerusi:
ICTSO
Ahli:
Ketua JPACERT
Pentadbir Pusat Data
– BPM, BP, dan INTAN
Pentadbir Sistem (System Administrator)
– BPM, BP dan INTAN
Pentadbir Sistem Aplikasi
– BPM, BP dan INTAN
Pentadbir Rangkaian (Network Administrator)
– BPM, BP dan INTAN
Pentadbir Laman Web (Web Master)
– BPM, BP dan INTAN
Pentadbir Pangkalan Data (Database Administrator)
– BPM, BP dan INTAN
Pegawai Meja Bantuan (Helpdesk Officer)
– BPM, BP dan INTAN
Penyelaras Program Latihan INTAN
Wakil Pegawai Keselamatan Jabatan JPA
Urus Setia:
BPM
Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
02 Disember 2010
40. Versi:
2.1
DASAR KESELAMATAN ICT JPA
Muka Surat:
28 dari 98
Bidang Kuasa:
a. Menyelenggara dokumen DKICT JPA;
b. Memantau tahap pematuhan DKICT JPA;
c. Menilai aspek teknikal keselamatan projek-projek
ICT;
d. Membangunkan garis panduan, prosedur dan
tatacara untuk aplikasi-aplikasi khusus dalam
jabatan yang mematuhi keperluan DKICT JPA;
e. Menyemak semula sistem ICT supaya sentiasa
mematuhi keperluan keselamatan dari semasa ke
semasa;
f. Menilai teknologi yang bersesuaian dan
mencadangkan penyelesaian terhadap keperluan
keselamatan ICT;
g. Memastikan DKICT JPA selaras dengan dasar-dasar
ICT kerajaan semasa;
h. Bekerjasama dengan JPACERT untuk mendapatkan
maklum balas dan insiden untuk tindakan
penyelenggaraan DKICT JPA; dan
i. Membincang tindakan yang melibatkan pelanggaran
DKICT JPA.
Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
02 Disember 2010
41. Versi:
2.1
DASAR KESELAMATAN ICT JPA
Muka Surat:
29 dari 98
K02/01/09 Pasukan Tindak Balas Insiden Keselamatan ICT (JPACERT)
Keanggotaan JPACERT adalah seperti berikut:
KPP(M)TP
Pengerusi:
KPP(M)TP
Ahli :
Pegawai Teknologi Maklumat
– BPM, BP dan INTAN
Penolong Pegawai Teknologi Maklumat
– BPM, BP dan INTAN
Urus Setia:
BPM
Peranan dan tanggungjawab JPACERT adalah seperti
berikut:
a. Menerima dan mengesan aduan keselamatan ICT
dan menilai tahap dan jenis insiden;
b. Merekod dan menjalankan siasatan awal insiden
yang diterima;
c. Menangani tindak balas (response) insiden
keselamatan ICT dan mengambil tindakan baik pulih
minimum;
d. Menghubungi dan melaporkan insiden yang berlaku
kepada ICTSO dan GCERT MAMPU sama ada sebagai
input atau untuk tindakan seterusnya;
e. Merujuk agensi-agensi di bawah kawalannya untuk
mengambil tindakan pemulihan dan pengukuhan;
Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
02 Disember 2010
42. Versi:
2.1
DASAR KESELAMATAN ICT JPA
Muka Surat:
30 dari 98
dan
f. Melaporkan sebarang maklumbalas dan insiden
keselamatan ICT kepada JKICT.
K02/02 Pihak Luaran
K02/02/01 Keperluan Keselamatan Dalam Kontrak ICT
Perkara yang perlu dipatuhi:
Pengurus ICT,
a. Mengenal pasti risiko ke atas keselamatan maklumat Pentadbir Sistem
dan memastikan pelaksanaan kawalan yang sesuai
ke atas maklumat tersebut;
b. Memastikan semua syarat keselamatan dinyatakan
dengan jelas dalam perjanjian dengan pihak ketiga;
c. Akses kepada aset ICT JPA perlu berlandaskan
perjanjian kontrak. Perjanjian yang dimeterai perlu
mematuhi perkara-perkara berikut:
i. DKICT JPA;
ii. Tapisan Keselamatan;
iii. Arahan Teknologi Maklumat 2007
(IT Instructions);
iv. Perakuan Akta Rahsia Rasmi 1972; dan
v. Hak Harta Intelek.
d. Menandatangani Surat Akuan Pematuhan DKICT JPA
seperti di Lampiran 1.
Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
02 Disember 2010
43.
44. Versi:
2.1
DASAR KESELAMATAN ICT JPA
Muka Surat:
31 dari 98
Kawalan 03: Pengurusan Aset ICT
Objektif
Memberikan perlindungan keselamatan yang bersesuaian ke atas semua aset ICT JPA.
K03/01 Akauntabiliti Aset ICT
Memberi dan menyokong perlindungan yang bersesuaian ke atas semua aset ICT JPA.
K03/01/01 Inventori Aset ICT
Tanggungjawab yang perlu dipatuhi untuk memastikan
semua aset ICT dikawal dan dilindungi: Pegawai Aset,
Pengguna
a. Memastikan semua aset ICT dikenal pasti, dikelas,
didokumen, diselenggara dan dilupuskan apabila tiba
masanya. Maklumat aset direkod dan dikemaskini
dalam Kad Daftar Harta Modal dan Inventori
sebagaimana mengikut Pekeliling Perbendaharaan Bil.5
Tahun 2007: Tatacara Pengurusan Aset Alih Kerajaan
(TPA);
b. Memastikan semua aset ICT mempunyai pemilik dan
dikendalikan oleh pengguna yang dibenarkan sahaja;
c. Memastikan semua pengguna mengesahkan
penempatan aset ICT yang ditempatkan di JPA;
d. Memastikan semua peraturan pengendalian aset ICT
dikenalpasti, didokumen dan dilaksanakan; dan
e. Setiap pengguna adalah bertanggungjawab ke atas
semua aset ICT di bawah kawalannya.
Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
02 Disember 2010
45. Versi:
2.1
DASAR KESELAMATAN ICT JPA
Muka Surat:
32 dari 98
K03/02 Pengelasan Maklumat
Maklumat hendaklah dikelaskan berasaskan nilai, keperluan
perundangan, tahap sensitiviti dan tahap kritikal kepada Pegawai Pengelas
JPA. Setiap maklumat yang dikelaskan mestilah mempunyai
peringkat keselamatan sebagaimana yang telah ditetapkan
di dalam dokumen Arahan Keselamatan seperti berikut:
a. Rahsia Besar;
b. Rahsia;
c. Sulit; atau
d. Terhad.
K03/03 Pengendalian Maklumat
Aktiviti pengendalian maklumat seperti mengumpul,
memproses, menyimpan, menghantar, menyampai, Semua
menukar dan memusnahkan hendaklah mengambil kira
langkah-langkah keselamatan berikut:
a. Menghalang pendedahan maklumat kepada pihak yang
tidak dibenarkan;
b. Memeriksa maklumat dan menentukan ia tepat dan
lengkap dari semasa ke semasa;
c. Menentukan maklumat sedia untuk digunakan;
d. Menjaga kerahsiaan kata laluan;
e. Mematuhi standard, prosedur, langkah dan garis
panduan keselamatan ICT yang ditetapkan;
Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
02 Disember 2010
46. Versi:
2.1
DASAR KESELAMATAN ICT JPA
Muka Surat:
33 dari 98
f. Melaksanakan peraturan maklumat terperingkat
terutama semasa pewujudan, pemprosesan,
penyimpanan, penghantaran, penyampaian, pertukaran
dan pemusnahan; dan
g. Menjaga kerahsiaan langkah-langkah keselamatan ICT
daripada diketahui umum.
Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
02 Disember 2010
47.
48. Versi:
2.1
DASAR KESELAMATAN ICT JPA
Muka Surat:
34 dari 98
Kawalan 04: Keselamatan Sumber Manusia
Objektif
Memastikan semua sumber manusia yang terlibat termasuk warga JPA, pembekal, pakar
runding dan pihak-pihak yang berkepentingan memahami tanggungjawab dan peranan serta
meningkatkan pengetahuan dalam keselamatan aset ICT. Semua warga JPA hendaklah
mematuhi terma dan syarat perkhidmatan dan peraturan semasa yang berkuat kuasa.
K04/01 Sebelum Perkhidmatan
Memastikan warga JPA, pembekal, pakar runding dan
pihak-pihak lain yang berkepentingan memahami Pengurus ICT
tanggungjawab masing-masing ke atas keselamatan
aset ICT bagi meminimumkan risiko seperti kesilapan,
kecuaian, penipuan dan penyalahgunaan aset ICT.
Perkara yang mesti dipatuhi termasuk yang berikut:
a. Menyatakan dengan lengkap dan jelas peranan dan
tanggungjawab warga JPA, pembekal, pakar
runding dan pihak-pihak lain yang berkepentingan
ke atas keselamatan ICT sebelum, semasa dan
selepas perkhidmatan;
b. Menjalankan tapisan keselamatan untuk warga JPA,
pembekal, pakar runding dan pihak-pihak lain yang
berkepentingan selaras dengan keperluan
perkhidmatan; dan
c. Mematuhi terma dan syarat perkhidmatan yang
ditawarkan dan peraturan semasa yang berkuat
kuasa berdasarkan perjanjian yang telah
Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
02 Disember 2010
49. Versi:
2.1
DASAR KESELAMATAN ICT JPA
Muka Surat:
35 dari 98
ditetapkan.
K04/02 Semasa Perkhidmatan
Memastikan warga JPA, pembekal, pakar runding dan
pihak-pihak lain yang berkepentingan sedar akan Pengurus ICT
ancaman keselamatan maklumat, peranan dan
tanggungjawab masing-masing untuk menyokong
DKICT JPA dan meminimumkan risiko kesilapan,
kecuaian, kecurian, penipuan dan penyalahgunaan aset
ICT.
Perkara yang perlu dipatuhi termasuk yang berikut:
a. Memastikan warga JPA, pembekal, pakar runding
dan pihak-pihak lain yang berkepentingan mengurus
keselamatan aset ICT berdasarkan perundangan dan
peraturan ditetapkan JPA;
b. Memastikan latihan kesedaran dan yang berkaitan
mengenai pengurusan keselamatan aset ICT diberi
kepada warga JPA, dan sekiranya perlu diberi
kepada pembekal, pakar runding dan pihak-pihak
lain yang berkepentingan dari semasa ke semasa;
c. Memastikan adanya proses tindakan disiplin
dan/atau undang-undang ke atas warga JPA,
pembekal, pakar runding dan pihak-pihak lain yang
berkepentingan sekiranya berlaku pelanggaran
dengan perundangan dan peraturan yang ditetapkan
JPA; dan
Jabatan Perkhidmatan Awam (JPA) Malaysia Tarikh Akhir Kemaskini
02 Disember 2010