Dasar ICT UMP
BAB 9:
DASAR KESELAMATAN ICT
9.1
PENDAHULUAN
i.
Pengenalan
Dasar Keselamatan ICT mengandungi peraturan-peraturan yang perlu dibaca dan dipatuhi dalam menggunakan aset Teknologi Maklumat dan Komunikasi (ICT) Universiti Malaysia Pahang (UMP). Dasar ini juga menerangkan kepada semua pengguna di UMP mengenai tanggungjawab dan peranan mereka dalam melindungi aset ICT UMP. ii.
Objektif
Dasar Keselamatan ICT UMP diwujudkan untuk memastikan tahap Keselamatan ICT UMP terurus dan dilindungi bagi menjamin ketelusan setiap urusan dengan meminimumkan kesan insiden keselamatan ICT. iii.
Skop
Dasar ini meliputi semua sumber atau aset ICT yang digunakan seperti: (a)
Maklumat (contoh: fail, dokumen, data elektronik),
(b)
Perisian (contoh: aplikasi dan sistem perisian) dan
(c)
Fizikal (contoh: komputer, peralatan komunikasi dan media magnet).
Dasar ini diguna pakai oleh semua pengguna di UMP termasuk kakitangan, pelajar, pembekal dan pakar runding yang mengurus,
Bab 9 Dasar Keselamatan ICT
halaman 58
Dasar ICT UMP Versi 1.0 (Jun 2011)
menyelenggara, memproses, mencapai, memuat turun, menyedia, memuat naik, berkongsi, menyimpan dan menggunakan aset ICT UMP. iv.
Prinsip-Prinsip
Prinsip-prinsip yang menjadi asas kepada Dasar Keselamatan ICT UMP dan perlu dipatuhi adalah seperti berikut:
(a)
Akses Atas Dasar Perlu Mengetahui Akses terhadap penggunaan aset ICT hanya diberikan untuk tujuan spesifik dan dihadkan kepada pengguna tertentu atas dasar “perlu mengetahui” sahaja. Ini bermakna akses hanya diberikan
sekiranya
peranan
atau
fungsi
pengguna
memerlukan maklumat tersebut. Pertimbangan untuk akses adalah berdasarkan kategori pengguna.
(b)
Hak Akses Minimum Hak akses pengguna hanya diberi pada tahap yang paling minimum iaitu untuk membaca dan/atau melihat sahaja. Kelulusan adalah perlu untuk membolehkan pengguna mewujud, menyimpan, mengemas kini, mengubah atau membatalkan sesuatu maklumat. Hak akses adalah dikaji dari semasa ke semasa berdasarkan kepada peranan dan tanggungjawab pengguna/bidang tugas.
(c)
Akauntabiliti Semua pengguna adalah bertanggungjawab ke atas semua tindakannya terhadap aset ICT UMP.
(d)
Pengasingan Tugas mewujud, memadam, kemas kini, mengubah dan mengesahkan data perlu diasing bagi mengelakkan daripada
Bab 9 Dasar Keselamatan ICT
halaman 59
Dasar ICT UMP Versi 1.0 (Jun 2011)
capaian yang tidak dibenarkan serta melindungi aset ICT daripada kesilapan, kebocoran maklumat terperingkat atau di manipulasi. (e)
Pengauditan Pengauditan adalah tindakan untuk mengenal pasti insiden berkaitan keselamatan atau mengenal pasti keadaan yang mengancam keselamatan. Ia membabitkan pemeliharaan semua rekod berkaitan tindakan keselamatan. Dengan itu, aset ICT seperti komputer, server, router, firewall, IPS, Antivirus dan rangkaian hendaklah ditentukan dapat menjana dan menyimpan log tindakan keselamatan atau audit trail.
(f)
Pematuhan Dasar Keselamatan ICT UMP hendaklah dibaca, difahami dan dipatuhi bagi mengelakkan sebarang bentuk pelanggaran ke
atasnya
yang
boleh
membawa
ancaman
kepada
keselamatan ICT. (g)
Pemulihan Pemulihan sistem amat perlu untuk memastikan keboleh sediaan dan keboleh capaian. Objektif utama adalah untuk meminimumkan sebarang gangguan atau kerugian akibat daripada ketidak sediaan. Pemulihan boleh dilakukan melalui aktiviti penduaan (backup) dan pewujudan pelan pemulihan bencana/kesinambungan perkhidmatan.
(h)
Saling Bergantungan Setiap prinsip di atas adalah saling melengkapi dan bergantung antara satu sama lain. Dengan itu, tindakan mempelbagaikan
pendekatan
dalam
menyusun
dan
mencorakan sebanyak mungkin mekanisme keselamatan adalah perlu bagi menjamin keselamatan yang maksimum. Bab 9 Dasar Keselamatan ICT
halaman 60
Dasar ICT UMP Versi 1.0 (Jun 2011)
9.2
Organisasi Keselamatan
9.2.1
Struktur Organisasi
Struktur ini menerangkan peranan dan tanggungjawab indidvidu yang terlibat dengan lebih jelas dan teratur bagi mencapai objektif organisasi.
9.2.1.1 Carta Organisasi Keselamatan ICT
PENAUNG Naib Canselor UMP
JAWATANKUASA PENYELARAS KESELAMATAN ICT Ketua Pegawai Maklumat (CIO) - Pengarah PTMK
Pegawai Keselamatan ICT (ICTSO) -Timbalan Pengarah PTMK
Pengurus ICT - Ketua-ketua Bahagian PTMK / Wakil-wakil Pegawai PTJ
Pentadbir ICT - Kakitangan PTMK yang bertanggungjawab
Bab 9 Dasar Keselamatan ICT
halaman 61
Dasar ICT UMP Versi 1.0 (Jun 2011)
9.2.1.2 Naib Canselor UMP
Peranan dan tanggungjawab Naib Cancelor adalah seperti berikut: i.
Memastikan
semua
pengguna
mematuhi
Dasar
Keselamatan ICT UMP. ii.
Memastikan
semua
keperluan
organisasi
kewangan,
sumber
kakitangan
dan
(sumber
perlindungan
keselamatan) adalah mencukupi. iii.
Memastikan penilaian risiko dan program keselamatan ICT dilaksanakan seperti yang ditetapkan di dalam Dasar Keselamatan ICT UMP.
9.2.1.3 Jawatankuasa Penyelaras Keselamatan ICT
9.2.1.3.1
Ketua Pegawai Maklumat (CIO)
Peranan dan tanggungjawab CIO adalah seperti berikut: i.
Mewujud dan mengetuai pasukan penyelaras keselamatan ICT UMP.
ii.
Membantu
Naib
Canselor
UMP
dalam
melaksanakan tugas-tugas yang melibatkan keselamatan ICT. iii.
Menentukan keperluan keselamatan ICT.
iv.
Menyelaras pembangunan dan pelaksanaan pelan
latihan
dan
program
kesedaran
mengenai keselamatan ICT. v.
Memastikan
semua
pengguna
memahami
peruntukan di bawah Dasar Keselamatan ICT UMP.
Bab 9 Dasar Keselamatan ICT
halaman 62
Dasar ICT UMP Versi 1.0 (Jun 2011)
9.2.1.3.2
Pegawai Keselamatan ICT (ICTSO)- Timbalan Pengarah PTMK
Peranan dan tanggungjawab ICTSO adalah seperti berikut: i.
Mengurus program-program keselamatan ICT.
ii.
Menguat kuasa dan memantau pematuhan ke atas Dasar Keselamatan ICT.
iii.
Memberi penerangan dan pendedahan berkenaan Dasar Keselamatan ICT kepada semua pengguna.
iv.
Mewujudkan garis panduan, prosedur dan tatacara selaras dengan keperluan Dasar keselamatan ICT.
v.
Menjalankan pengurusan risiko.
vi.
Menjalankan audit, mengkaji semula, merumus tindak balas pengurusan UMP berdasarkan hasil
penemuan/keperluan
semasa
dan
menyediakan laporan mengenainya. vii.
Memberi
amaran
terhadap
kemungkinan
berlakunya ancaman berbahaya seperti virus dan
memberi
khidmat
nasihat
serta
menyediakan langkah-langkah perlindungan yang bersesuaian. viii.
Melaporkan insiden Keselamatan ICT kepada Pasukan Tindakbalas Insiden Keselamatan ICT(GCERT) MAMPU dan memaklumkannya kepada CIO.
ix.
Mengenal pasti punca ancaman atau insiden Keselamatan ICT dan melaksanakan langkahlangkah baik pulih dengan segera.
Bab 9 Dasar Keselamatan ICT
halaman 63
Dasar ICT UMP Versi 1.0 (Jun 2011)
x.
Memperaku
proses
pengambilan
tindakan
tatatertib ke atas pengguna yang melanggar Dasar Keselamatan ICT UMP. xi.
Membangun, pelan
menyelaras
latihan
dan
dan
melaksana
program
kesedaran
Keselamatan ICT. 9.2.1.3.3
Pengurus ICT
Peranan dan tanggungjawab Pengurus ICT adalah seperti berikut: i.
Memahami dan mematuhi Dasar Keselamatan ICT UMP.
ii.
Melaksanakan garis panduan, prosedur dan tatacara selaras dengan keperluan Dasar Keselamatan ICT UMP.
iii.
Menyebarkan amaran terhadap kemungkinan berlakunya ancaman berbahaya seperti virus dan
memberi
khidmat
nasihat
serta
melaksanakan langkah-langkah perlindungan yang bersesuaian. iv.
Melaporkan sebarang perkara atau ancaman ke atas Keselamatan ICT kepada ICTSO.
v.
Melaporkan sebarang salah laku pengguna yang melanggar Dasar Keselamatan ICT UMP kepada ICTSO.
vi.
Menentukan kawalan akses semua pengguna terhadap aset ICT UMP.
vii.
Mengenal pasti punca ancaman atau insiden Keselamatan ICT dan melaksanakan langkahlangkah baik pulih dengan segera.
Bab 9 Dasar Keselamatan ICT
halaman 64
Dasar ICT UMP Versi 1.0 (Jun 2011)
viii.
Menyimpan rekod, bahan bukti dan laporan terkini mengenai ancaman Keselamatan ICT UMP.
ix.
Melaksanakan program-program kesedaran mengenai Keselamatan ICT.
9.2.1.3.4
Pentadbir ICT
Peranan dan tanggungjawab Pentadbir ICT adalah seperti berikut: i.
Mengambil tindakan segera yang bersesuaian apabila dimaklumkan mengenai kakitangan yang berhenti, bertukar, bercuti atau berlaku perubahan dalam bidang tugas.
ii.
Menentukan ketepatan dan kesempurnaan sesuatu tahap capaian berdasarkan arahan pemilik sumber maklumat sebagaimana yang telah ditetapkan di dalam Dasar Keselamatan Komputer UMP.
iii.
Memastikan
kerahsiaan
kata
laluan
dan
memantau aktiviti capaian harian pengguna. iv.
Mengenal pasti aktiviti-aktiviti tidak normal seperti pencerobohan dan pengubahsuaian data tanpa kebenaran dan membatalkan atau memberhentikannya dengan serta merta.
v.
Menyimpan dan menganalisis rekod jejak audit (audit trail).
vi.
Menyediakan
laporan
mengenai
aktiviti
capaian kepada pemilik maklumat berkenaan secara berkala.
Bab 9 Dasar Keselamatan ICT
halaman 65
Dasar ICT UMP Versi 1.0 (Jun 2011)
9.2.1.3.5
Pengguna ICT UMP
Pengguna adalah termasuk Staf/kakitangan dan Pelajar UMP.
9.2.1.3.6
Staf/Kakitangan
Peranan dan tanggungjawab Staf adalah seperti berikut: i.
Memahami dan mematuhi Dasar Keselamatan ICT UMP.
ii.
Mengetahui
dan
memahami
implikasi
Keselamatan ICT kesan dari tindakannya. iii.
Melepasi
tapisan
Keselamatan
ICT
(jika
berkaitan). iv.
Mematuhi prinsip-prinsip Dasar Keselamatan ICT dan menjaga kerahsiaan maklumat UMP.
v.
Mengambil
langkah-langkah
perlindungan
seperti berikut: (a) Menghalang pendedahan maklumat kepada pihak yang tidak dibenarkan. (b) Memeriksa maklumat dan menentukan ia tepat dan lengkap dari semasa ke semasa. (c) Menentukan
maklumat
sedia
untuk
digunakan. (d)Menjaga kerahsiaan kata laluan. (e) Mematuhi standard, prosedur, langkah dan garis panduan yang ditetapkan. (f) Memastikan
kemudahan
aplikasi
e-
Community digunakan sepenuhnya pada keseluruhan waktu bekerja supaya E-mel dan memo yang dialamatkan sampai tepat
Bab 9 Dasar Keselamatan ICT
halaman 66
Dasar ICT UMP Versi 1.0 (Jun 2011)
pada
masanya
dan
tindakan
dapat
disegerakan. (g) Menggunakan kemudahan password screen saver atau log keluar
apabila hendak
meninggalkan komputer. (h) Memaklumkan
kepada
pegawai
ICT
sekiranya berada di luar pejabat dalam tempoh waktu yang panjang, bercuti atau bertukar. (i) Memberi
perhatian
kepada
maklumat
terperingkat terutama semasa pewujudan, pemprosesan, penyimpanan, penghantaran, penyampaian, pertukaran dan pemusnahan. (j) Menjaga
kerahsiaan
langkah-langkah
keselamatan ICT dari diketahui umum. vi.
Melaporkan sebarang aktiviti yang mengancam keselamatan ICT kepada Penyelaras ICT dengan segera.
vii.
Menyertai program-program kesedaran mengenai keselamatan ICT.
9.2.1.3.7
Pelajar
Peranan dan tanggungjawab Pelajar adalah seperti berikut: i.
Memahami dan mematuhi Dasar Keselamatan ICT UMP.
ii.
Mengetahui
dan
memahami
implikasi
Keselamatan ICT kesan dari tindakannya. iii.
Mematuhi prinsip-prinsip Dasar Keselamatan ICT dan menjaga kerahsiaan maklumat UMP.
iv.
Mengambil
langkah-langkah
perlindungan
seperti berikut: Bab 9 Dasar Keselamatan ICT
halaman 67
Dasar ICT UMP Versi 1.0 (Jun 2011)
(a) Menghalang pendedahan maklumat kepada pihak yang tidak dibenarkan. (b) Memeriksa maklumat dan menentukan ia tepat dan lengkap dari semasa ke semasa. (c) Menentukan
maklumat
sedia
untuk
digunakan; (d)Menjaga kerahsiaan kata laluan. (e) Mematuhi standard, prosedur, langkah dan garis panduan yang ditetapkan. (f) Memastikan Community
kemudahan digunakan
aplikasi
sebaiknya,
etidak
melakukan pencerobohan terhadap sistem yang dibekalkan. (g) Menggunakan kemudahan password screen saver atau log keluar
apabila hendak
meninggalkan komputer. (h) Menjaga kerahsiaan langkah-langkah keselamatan ICT dari diketahui umum. v.
Melaporkan sebarang aktiviti yang mengancam keselamatan ICT kepada Penyelaras ICT dengan segera.
vi.
Menyertai
program-program
kesedaran
mengenai keselamatan ICT yang dianjurkan oleh universiti.
Bab 9 Dasar Keselamatan ICT
halaman 68
Dasar ICT UMP Versi 1.0 (Jun 2011)
9.2.1.3.8
Pihak Ketiga/Luar
Keselamatan kemudahan
penggunaan proses
maklumat
maklumat
oleh
dan pihak
ketiga/luar hendaklah sentiasa dikawal. Perkaraperkara berikut hendaklah dimasukkan di dalam perjanjian yang dimeterai: i.
Dasar Keselamatan ICT UMP.
ii. Tapisan Keselamatan / Surat Perjanjian. 9.3
Kawalan dan Pengkelasan Aset
9.3.1
Akauntabiliti Aset
Kawalan dan pengkelasan aset bertujuan memberi dan menyokong perlindungan yang optimum ke atas semua aset ICT UMP.
9.3.2
Inventori Aset
Pengurusan aset dan inventori memastikan semua aset ICT UMP diberikan
perlindungan
yang
bersesuaian
oleh
pemilik
atau
pemegang amanah masing-masing. Perkara yang perlu dipatuhi adalah seperti berikut: i.
Memastikan semua aset dikenal pasti dan maklumat aset direkodkan dalam daftar harta modal dan inventori dan sentiasa kemas kini.
ii.
Memastikan software yang digunakan berlesen.
iii.
Memastikan proses verifikasi aset ICT.
iv.
Memastikan semua aset mempunyai pemilik dan dikendalikan oleh pengguna yang dibenarkan sahaja.
v.
Mengenal pasti, mendokumen dan melaksanakan peraturan bagi penggunaan aset.
Bab 9 Dasar Keselamatan ICT
halaman 69
Dasar ICT UMP Versi 1.0 (Jun 2011)
9.3.3
Pengkelasan Maklumat
Pegawai yang diberi tanggungjawab perlu memastikan setiap maklumat diberi perlindungan yang bersesuaian berdasarkan kepada tahap sensitiviti masing-masing. Maklumat hendaklah dikelaskan berasaskan nilai, keperluan perundangan, tahap sensitiviti dan tahap kritikal UMP. Setiap maklumat hendaklah dikelas dan dilabelkan mengikut sebagaimana yang telah ditetapkan di dalam dokumen Arahan Keselamatan seperti berikut:
9.3.4
i.
Rahsia Besar.
ii.
Rahsia.
iii.
Sulit.
iv.
Terhad.
Pengendalian Maklumat
Pengguna ICT UMP perlu memastikan pengendalian maklumat seperti pewujudan, pengumpulan, penyalinan,
penghantaran,
pemusnahan
hendaklah
pemprosesan, penyimpanan,
penyampaian, mengambil
kira
penukaran
dan
langkah-langkah
keselamatan berikut : i.
Menghalang pendedahan maklumat kepada pihak yang tidak dibenarkan.
ii.
Memeriksa maklumat dan menentukan ia tepat dan lengkap dari semasa ke semasa.
iii.
Menentukan maklumat sedia untuk digunakan.
iv.
Menjaga kerahsiaan kata laluan.
v.
Mematuhi standard, prosedur dan garis panduan keselamatan yang ditetapkan.
vi.
Memberi perhatian kepada maklumat terperingkat terutama semasa pewujudan, pemprosesan, penyimpanan, penyalinan, penghantaran, penyampaian, pertukaran dan pemusnahan.
Bab 9 Dasar Keselamatan ICT
halaman 70
Dasar ICT UMP Versi 1.0 (Jun 2011)
vii.
Menjaga kerahsiaan langkah-langkah keselamatan ICT daripada diketahui umum.
9.4
Keselamatan Sumber Manusia
Untuk memastikan semua sumber manusia yang terlibat termasuk staf, pelajar,
pembekal,
pakar
runding
dan pihak-pihak
lain
memahami
tanggungjawab dan peranan mereka dalam keselamatan aset ICT perkaraperkar seperti di bawah perlu dilaksanakan: 9.4.1
Sebelum Berkhidmat/Belajar
Semua pengguna ICT UMP perlu memastikan kakitangan, pelajar, kontraktor, pihak ketiga, pakar runding dan pihak-pihak lain yang berkepentingan memahami tanggungjawab masing-masing ke atas keselamatan aset ICT bagi meminimumkan risiko seperti kesilapan, kecuaian, kecurian, penipuan dan penyalahgunaan aset ICT UMP.
9.4.2
Sebelum Berkhidmat – Staf
Perkara yang perlu dipatuhi oleh staf adalah seperti berikut: i.
Menjalani tapisan keselamatan untuk kakitangan UMP selaras dengan keperluan Perkhidmatan Awam.
ii.
Mematuhi
semua
terma
ditawarkan
dan
peraturan
dan
syarat
semasa
perkhidmatan yang
berkuat
berdasarkan perjanjian yang telah ditetapkan. iii.
9.4.3
Peraturan semasa yang berkuat kuasa.
Sebelum Pendaftaran Baru-Pelajar
Perkara yang perlu dipatuhi oleh pelajar adalah seperti berikut: Bab 9 Dasar Keselamatan ICT
halaman 71
yang kuasa
Dasar ICT UMP Versi 1.0 (Jun 2011)
i. Mematuhi semua terma dan syarat seorang pelajar yang ditawarkan di dalam surat tawaran. ii. 9.4.4
Peraturan semasa yang berkuatkuasa.
Sebelum Berkhidmat-Pihak Ketiga/Luar
Perkara yang perlu dipatuhi oleh pihak ketiga/luar adalah seperti berikut: i.
Menjalani tapisan keselamatan dalaman kepada pembekal, pakar runding dan pihak-pihak yang terlibat menyelia projekprojek ICT dalam kawasan UMP.
ii. 9.4.5
Peraturan semasa yang berkuat kuasa.
Dalam Perkhidmatan/Belajar
PTMK, pengguna ICT UMP dan pihak ketiga perlu sedar akan ancaman keselamatan maklumat, peranan dan tanggungjawab masing-masing untuk menyokong Dasar Keselamatan ICT UMP. Perkara-perkara yang perlu dipatuhi adalah seperti berikut: i.
Memastikan semua pengguna ICT UMP mengurus keselamatan berdasarkan perundangan dan peraturan yang ditetapkan oleh UMP
ii.
Memastikan
latihan
kesedaran
yang
berkaitan
dengan
pengurusan Keselamatan ICT diberi kepada semua pengguna UMP dan sekiranya perlu kepada pembekal, pakar runding dan pihak-pihak lain yang berkepentingan dari semasa ke semasa. iii.
Memastikan adanya proses tindakan disiplin ke atas semua pengguna ICT UMP sekiranya berlaku pelanggaran dengan perundangan dan peraturan yang ditetapkan oleh UMP.
Bab 9 Dasar Keselamatan ICT
halaman 72
Dasar ICT UMP Versi 1.0 (Jun 2011)
9.4.6
Bertukar atau Tamat Perkhidmatan/Belajar
Memastikan semua pengguna UMP yang tamat perkhidmatan / belajar atau bertukar dari UMP diurus dengan teratur. Perkara yang perlu dipatuhi oleh pengguna ICT UMP adalah seperti berikut: i. Memastikan semua aset ICT yang dipinjam dikembalikan kepada UMP mengikut peraturan dan/atau terma yang ditetapkan oleh UMP. ii. Membatalkan atau meminda semua kebenaran capaian ke atas maklumat dan kemudahan proses maklumat mengikut peraturan yang ditetapkan oleh UMP. 9.5
Keselamatan Fizikal dan Persekitaran
Keselamatan fizikal dan persekitaran adalah bagi mencegah akses fizikal yang tidak dibenarkan, yang boleh mengakibatkan kecurian, kerosakan dan gangguan kepada premis dan maklumat. 9.5.1
Perimeter Keselamatan Fizikal
Pengarah PTMK, ICTSO dan Pengurus ICT bertanggungjawab memastikan untuk menghalang, mengesan dan mencegah cubaan untuk menceroboh. Perkara yang perlu dipatuhi adalah seperti berikut: i.
Mengenal pasti kawasan keselamatan fizikal dengan jelas dan lokasi serta keteguhan kawasan hendaklah bergantung kepada keperluan untuk melindungi aset dalam kawasan tersebut dan hasil dari penilaian risiko.
ii.
Memperkukuhkan
tingkap
dan
pintu
serta
dikunci
untuk
mengawal kemasukan. iii.
Memperkukuhkan dinding dan siling;
iv.
Memasang alat penggera atau kamera litar tertutup (CCTV), door access system.
Bab 9 Dasar Keselamatan ICT
halaman 73
Dasar ICT UMP Versi 1.0 (Jun 2011)
v.
Menghadkan laluan keluar masuk;
vi.
Bekerjasama dengan Bahagian Keselamatan UMP.
vii.
Menyediakan tempat atau bilik khas untuk pelawat-pelawat (contoh: ruang menunggu).
viii.
9.5.2
Mewujudkan perkhidmatan kawalan keselamatan ICT.
Kawalan Masuk Fizikal
Kawalan masuk fizikal bertujuan untuk mewujudkan kawalan keluar masuk ke premis/ bangunan UMP. Perkara yang perlu dipatuhi adalah seperti berikut: i.
Mempamerkan pas pekerja, pelajar dan pelawat sepanjang waktu di kawasan UMP.
ii.
Mendaftar dan mendapat Pas Pelawat di kaunter keselamatan pintu masuk utama UMP dan hendaklah dikembalikan selepas tamat lawatan bagi setiap pelawat/pihak luar.
9.6
Keselamatan Aset ICT
Keselamatan ICT adalah melindungi peralatan dan maklumat daripada kehilangan, kerosakan, kecurian atau salah guna yang mendatangkan gangguan ke atas aktiviti UMP.
9.6.1
Pekakasan
Semua pengguna ICT UMP bertanggungjawab menjaga dan mengawal peralatan ICT dengan baik supaya boleh berfungsi apabila diperlukan. Perkara yang perlu dipatuhi adalah seperti berikut: i.
Memeriksa dan memastikan semua perkakasan ICT di bawah kawalan setiap pengguna berfungsi dengan sempurna.
ii.
Menyimpan atau meletakkan semua perkakasan di tempat yang teratur, bersih dan mempunyai ciri-ciri keselamatan.
Bab 9 Dasar Keselamatan ICT
halaman 74
Dasar ICT UMP Versi 1.0 (Jun 2011)
iii.
Menjadi tanggungjawab setiap pengguna di atas kerosakan atau kehilangan perkakasan ICT di bawah kawalannya.
iv.
Melaporkan sebarang bentuk penyelewengan atau salah guna perkakasan kepada ICTSO / Pengurus ICT di Jabatan-jabatan dan Fakulti-fakulti dalam UMP.
v.
Pengguna tidak dibenar membuat perubahan perkakasan tanpa kebenaran
bertulis
daripada
Pengarah
PTMK
dan
tidak
menyalahgunakan bagi kepentingan peribadi.
9.6.2
Dokumen Elektronik
Semua Pengguna ICT UMP hendaklah melaksanakan langkahlangkah pengurusan dokumen elektronik yang baik dan selamat bagi memastikan integriti maklumat terpelihara. Perkara yang perlu dipatuhi adalah seperti berikut: i.
Memastikan sistem dokumentasi atau penyimpanan maklumat adalah selamat dan terjamin.
ii.
Melaksanakan langkah keselamatan pada dokumen elektronik bertanda Rahsia Besar, Rahsia, Sulit dan Terhad dengan menggunakan enkripsi dan keselamatan kata laluan pada dokumen. Ini termasuk (tetapi tidak terhad kepada) penghantaran dokumen bertanda melalui elektronik.
iii.
Memastikan dokumen yang mengandungi bahan atau maklumat terperingkat diambil segera dari media output.
9.6.3
Media Storan
Semua Pengguna ICT UMP perlu memberi perhatian khusus terhadap keselamatan media
storan kerana
ianya
berupaya
menyimpan maklumat yang besar. Langkah-langkah pencegahan seperti berikut hendaklah diambil untuk memastikan kerahsiaan, integriti dan keboleh sediaan maklumat yang disimpan dalam media
Bab 9 Dasar Keselamatan ICT
halaman 75
Dasar ICT UMP Versi 1.0 (Jun 2011)
storan adalah terjamin dan selamat. Perkara yang perlu dipatuhi adalah seperti berikut: i.
Menyediakan ruang penyimpanan yang baik dan mempunyai ciriciri keselamatan bersesuaian dengan kandungan maklumat.
ii.
Menghadkan akses untuk memasuki kawasan penyimpanan media kepada pengguna yang dibenarkan sahaja.
iii.
Merujuk kepada tatacara pelupusan sekiranya penghapusan maklumat hendak dilakukan dan mestilah mendapat kebenaran pemilik maklumat terlebih dahulu.
iv.
Merekodkan pengurusan media termasuk inventori, pergerakan dan penduaan (backup).
9.7
Keselamatan Persekitaran
Keselamatan persekitaran adalah penting bagi melindungi aset ICT UMP dari sebarang bentuk ancaman persekitaran yang disebabkan oleh bencana alam, kesilapan, kecuaian atau kemalangan. 9.7.1
Kawalan Persekitaran Pusat Data dan Bilik Server
Pengurus ICT dan juga ICTSO adalah berperanan bagi memastikan bilik pusat data dan bilik server ini terhindar daripada kerosakan dan gangguan. Semua cadangan berkaitan premis sama ada untuk memperoleh, menyewa, ubah suai, pembelian hendaklah dirujuk terlebih dahulu kepada CIO. Perkara yang perlu dipatuhi bagi keselamatan persekitaran pusat data dan bilik server adalah adalah: i.
Merancang dan menyediakan pelan keseluruhan susun atur pusat data (bilik percetakan, peralatan komputer dan ruang atur pejabat dan sebagainya) dengan teliti.
ii.
Melengkapi semua ruang pejabat khususnya kawasan yang mempunyai kemudahan ICT dengan perlindungan keselamatan
Bab 9 Dasar Keselamatan ICT
halaman 76
Dasar ICT UMP Versi 1.0 (Jun 2011)
yang
mencukupi
dan
dibenarkan
seperti
alat
pencegah
kebakaran dan pintu kecemasan. iii.
Memasang peralatan perlindungan di tempat yang bersesuaian, mudah dikenali dan dikendalikan.
iv.
Penyimpanan bahan mudah terbakar hendaklah di luar kawasan kemudahan penyimpanan aset ICT.
v.
Meletakkan semua bahan cecair di tempat yang bersesuaian dan berjauhan dari aset ICT.
vi.
Melarang pengguna merokok atau menggunakan peralatan memasak seperti cerek elektrik berhampiran peralatan ICT.
vii.
Memeriksa dan menguji semua peralatan perlindungan sekurangkurangnya satu (1) kali setahun. Aktiviti dan keputusan ujian ini perlu direkodkan bagi memudahkan rujukan dan tindakan sekiranya perlu.
viii. ix.
Mengadakan preventive maintainance. Menggunakan
vakum
yang
memenuhi
piawai
untuk
membersihkan peralatan. 9.7.2
Bekalan Kuasa
Pengurus ICT adalah bertanggungjawab bagi memastikan bekalan kuasa adalah sentiasa dikawal selia bagi memastikan ianya tidak mengganggu operasi premis dan aset ICT. Perkara yang perlu dipatuhi adalah seperti berikut: i.
Menggunakan peralatan sokongan seperti UPS (Uninterruptable Power Supply) dan penjana (generator) bagi perkhidmatan kritikal seperti di bilik server supaya mendapat
bekalan kuasa
berterusan. ii.
Memeriksa dan menguji semua peralatan sokongan bekalan kuasa secara berjadual (1 kali setahun).
iii.
Melindungi semua peralatan ICT dari kegagalan bekalan elektrik dan menyalurkan bekalan yang sesuai.
Bab 9 Dasar Keselamatan ICT
halaman 77
Dasar ICT UMP Versi 1.0 (Jun 2011)
iv.
Suhu hendaklah terkawal dalam had suhu peralatan rangkaian berkenaan
dengan
memasang
penghawa
dingin
khusus
(precision aircond) sepanjang masa. 9.7.3
Prosedur Kecemasan
CIO, ICTSO dan Pengurus ICT adalah bertanggungjawab bagi memastikan prosedur keselamatan yang diiktiraf digunapakai bagi sebarang insiden kecemasan yang berlaku di premis dan aset ICT. Perkara yang perlu dipatuhi adalah seperti berikut: i.
Memastikan mematuhi
setiap prosedur
pengguna
membaca,
kecemasan
dengan
memahami merujuk
dan
kepada
prosedur kecemasan yang telah ditetapkan oleh Bahagian Keselamatan UMP. ii.
Melaporkan insiden kecemasan kepada Pegawai Keselamatan di Bahagian Keselamatan UMP.
iii.
Mengada, menguji dan mengemas kini pelan kecemasan dari semasa ke semasa.
iv.
Merancang dan mengadakan latihan kebakaran bangunan (fire drill) secara tahunan.
9.7.4
Keselamatan Kabel
Pengurus ICT adalah bertanggungjawab bagi memastikan setiap kabel
termasuk
kabel
elektrik
dan
telekomunikasi
yang
menyalurkan data bagi menyokong perkhidmatan penyampaian maklumat hendaklah sentiasa dilindungi. Perkara yang perlu dipatuhi adalah seperti berikut: i.
Menggunakan
kabel
mengikut
spesifikasi
yang
telah
ditetapkan. ii.
Melindungi kabel di kawasan awam dengan memasang conduit
Bab 9 Dasar Keselamatan ICT
atau
lain-lain
mekanisma
perlindungan,
halaman 78
untuk
Dasar ICT UMP Versi 1.0 (Jun 2011)
mengelak daripada kerosakan yang disengajakan atau tidak disengajakan. iii.
Melindungi laluan pemasangan kabel sepenuhnya bagi mengelakkan ancaman kerosakan dan wire tapping.
iv.
Melabelkan kabel menggunakan kod dan label standard
v.
Pusat pendawaian/Network Operating Center hendaklah sentiasa berkunci dan hanya boleh dicapai oleh kakitangan yang dibenarkan.
9.7.5
Penyelenggaraan Peralatan ICT
Pengurus
ICT
bertanggungjawab
memastikan
peralatan
diselenggara dengan betul bagi menilai keboleh sediaan, kerahsiaan dan integriti maklumat sentiasa berada dalam keadaan yang baik. Perkara yang perlu dipatuhi adalah seperti berikut: i.
Mematuhi spesifikasi yang ditetapkan oleh pengeluar bagi semua perkakasan yang diselenggara.
ii.
Memastikan perkakasan hanya diselenggara oleh kakitangan atau pihak yang dibenarkan sahaja.
iii.
Memeriksa dan menguji semua perkakasan sebelum dan selepas proses penyelenggaraan.
iv.
Memaklumkan
pihak
pengguna
sebelum
melaksanakan
penyelenggaraan mengikut jadual yang ditetapkan atau atas keperluan.
9.7.6
Pengendalian Peralatan Luar yang Dibawa Masuk
Pengurus ICT bertanggungjawab sepenuhnya bagi memastikan peralatan yang dibawa masuk ke premis UMP adalah sentiasa mengikut prosedur yang ditetapkan. Perkara yang perlu dipatuhi adalah seperti berikut: i.
Memastikan peralatan yang dibawa masuk tidak mengancam keselamatan ICT UMP.
Bab 9 Dasar Keselamatan ICT
halaman 79
Dasar ICT UMP Versi 1.0 (Jun 2011)
ii.
Mendapatkan
kelulusan
mengikut
peraturan
yang
telah
ditetapkan oleh UMP bagi membawa masuk/ keluar peralatan. iii.
Memeriksa dan memastikan peralatan ICT yang dibawa keluar tidak mengandungi maklumat sulit UMP. Jika ada maklumat itu, ia perlu disalin dan dihapuskan.
9.7.7
Peminjaman Peralatan Untuk Kegunaan Di Luar Pejabat
Pengurus
ICT
bertanggungjawab
terhadap
peralatan
yang
dipinjamkan bagi kegunaan di luar pejabat adalah terdedah kepada pelbagai risiko. Perkara yang perlu dipatuhi adalah seperti berikut: i.
Mendapatkan kelulusan mengikut peraturan Pengurusan Aset ICT atau peraturan UMP bagi membawa keluar peralatan atau maklumat tertakluk kepada tujuan yang dibenarkan.
ii.
Melindungi dan mengawal peralatan sepanjang masa.
iii.
Memastikan aktiviti peminjaman dan pemulangan peralatan ICT direkodkan.
iv.
Menyemak peralatan yang dipulangkan berada dalam keadaan baik dan lengkap.
9.7.8
Pelupusan dan Kitar Semula Peralatan
Pengurus ICT adalah bertanggungjawab terhadap peralatan ICT yang hendak dilupuskan. Ianya perlu melalui prosedur proses pelupusan UMP. Pelupusan perlu dilakukan secara terkawal dan lengkap supaya maklumat tidak terlepas dari kawalan UMP. Perkara yang perlu dipatuhi adalah seperti berikut: i.
Menghapuskan semua kandungan khususnya iaitu maklumat rahsia rasmi terlebih dahulu sama ada melalui shredding, grinding, degauzing atau pembakaran sebelum pelupusan.
ii.
Menjalankan proses pelupusan hardisk mengikut prosedur yang betul.
Bab 9 Dasar Keselamatan ICT
halaman 80
Dasar ICT UMP Versi 1.0 (Jun 2011)
9.7.9
Clear Desk dan Clear Screen
Semua Pengguna ICT UMP adalah disarankan untuk menggunakan Clear Desk dan Clear Screen supaya tidak meninggalkan bahanbahan yang sensitif terdedah sama ada di atas meja pengguna atau di paparan skrin apabila pengguna tidak berada di tempatnya. Perkara yang perlu dipatuhi adalah seperti berikut: i.
Menggunakan kemudahan password screen saver atau logout apabila meninggalkan komputer.
ii.
Menyimpan bahan-bahan sensitif di dalam laci atau kabinet fail yang berkunci.
iii.
Memastikan semua dokumen diambil segera dari pencetak, pengimbas, mesin faksimili dan mesin fotostat.
9.8
Pengurusan Prosedur Operasi dan Komunikasi
Bagi memastikan perkhidmatan dan pemprosesan maklumat dapat berfungsi dengan betul dan selamat ia perlu diurus mengikut prosedur yang telah ditetapkan. 9.8.1
Pengurusan Prosedur Operasi
Pengurusan prosedur operasi adalah perlu bagi memastikan perkhidmatan dan pemprosesan maklumat dapat berfungsi dengan betul dan selamat. Ia juga dapat mengukur keboleh sediaan setiap perkhidmatan dan juga capaian maklumat. 9.8.1.1 Pengendalian Prosedur
Pengurus ICT adalah bertanggungjawab memastikan kemudahan pemprosesan maklumat beroperasi dengan selamat seperti yang ditetapkan. Perkara yang perlu dipatuhi adalah seperti berikut: Bab 9 Dasar Keselamatan ICT
halaman 81
Dasar ICT UMP Versi 1.0 (Jun 2011)
i.
Mendokumenkan semua prosedur keselamatan ICT yang di wujud, dikenal pasti dan masih diguna pakai, disimpan dan dikawal.
ii.
Memastikan setiap prosedur mengandungi arahan-arahan yang jelas,
teratur
dan
lengkap
seperti
keperluan
kapasiti,
pengendalian dan pemprosesan maklumat, pengendalian dan penghantaran ralat, pengendalian output, bantuan teknikal dan pemulihan sekiranya pemprosesan tergendala atau terhenti. iii.
Mengemaskini semua prosedur dari semasa ke semasa atau mengikut keperluan.
9.8.1.2 Pengurusan Penyampaian Perkhidmatan Pihak Ketiga
Pengurus ICT adalah bertanggungjawab memastikan pelaksanaan dan
penyelenggaraan
tahap
keselamatan
maklumat
dan
penyampaian perkhidmatan yang sesuai selaras dengan perjanjian perkhidmatan dengan pihak ketiga. Perkara yang perlu dipatuhi adalah seperti berikut: i.
Memastikan kawalan keselamatan, definisi perkhidmatan dan tahap
penyampaian
yang
terkandung
dalam
perjanjian
dilaksana dan diselenggara oleh pihak ketiga. ii.
Memantau, menyemak dan mengaudit perkhidmatan, laporan dan rekod yang dikemukakan oleh pihak ketiga dari semasa ke semasa.
iii.
Mengurus perubahan penyediaan perkhidmatan termasuk menyelenggara dan menambah baik Dasar Keselamatan, prosedur dan kawalan maklumat sedia ada dengan mengambil kira tahap kritikal sistem dan proses yang terlibat serta penilaian semula risiko.
Bab 9 Dasar Keselamatan ICT
halaman 82
Dasar ICT UMP Versi 1.0 (Jun 2011)
9.8.1.3 Perancangan Dan Penerimaan Sistem dan Rangkaian
Pengurus ICT atau Pentadbir ICT adalah bertanggungjawab bagi meminimumkan risiko yang boleh menyebabkan gangguan atau kegagalan sistem. Perkara yang perlu dipatuhi adalah seperti berikut: i.
Merancang,
mengurus
dan
mengawal
kapasiti
sesuatu
komponen atau sistem ICT dengan teliti oleh pegawai yang berkenaan bagi memastikan keperluannya adalah mencukupi dan bersesuaian untuk pembangunan dan kegunaan sistem ICT pada masa akan datang. ii.
Memantau, menetapkan dan merancang penggunaan peralatan bagi
memenuhi
keperluan
kapasiti
akan
datang
untuk
memastikan prestasi sistem di tahap optimum. iii.
Menetapkan kriteria penerimaan untuk sistem maklumat baru, peningkatan dan versi baru dan ujian yang sesuai ke atasnya perlu dibuat semasa pembangunan dan sebelum penerimaan sistem.
iv.
Mengambil kira ciri-ciri keselamatan ICT dalam perancangan keperluan kapasiti bagi meminimumkan risiko seperti gangguan pada perkhidmatan dan kerugian akibat pengubahsuaian yang tidak dirancang.
9.8.1.4 Perlindungan Dari Kod Jahat (Malicious Code)
Pengurus ICT atau Pentadbir ICT adalah bertanggungjawab bagi melindungi integriti perisian dan maklumat daripada pendedahan atau kerosakan yang disebabkan oleh perisian berbahaya seperti virus, worm, trojan dan spyware. Perkara yang perlu dipatuhi adalah seperti berikut: i.
Memasang sistem keselamatan untuk mengesan perisian atau program berbahaya seperti anti virus dan Intrusion Detection
Bab 9 Dasar Keselamatan ICT
halaman 83
Dasar ICT UMP Versi 1.0 (Jun 2011)
System (IDS) dan mengikut prosedur penggunaan yang betul dan selamat. ii.
Memasang dan menggunakan hanya perisian yang berlesen dan dilindungi di bawah Akta Hakcipta (Pindaan) Tahun 1997.
iii.
Mengimbas semua perisian atau sistem dengan anti virus sebelum menggunakannya.
iv.
Mengemaskini pattern antivirus dari semasa ke semasa;
v.
Menyemak kandungan sistem atau maklumat secara berkala bagi mengesan aktiviti yang tidak diingini seperti kehilangan dan kerosakan maklumat.
vi.
Menghadiri program kesedaran secara berkala mengenai ancaman perisian berbahaya dan cara mengendalikannya.
vii.
Memasukkan klausa tanggungan di dalam mana-mana kontrak yang telah ditawarkan kepada pembekal perisian. Klausa ini bertujuan untuk tuntutan baik pulih sekiranya perisian tersebut mengandungi program berbahaya.
viii.
Mengadakan program dan prosedur jaminan kualiti ke atas semua perisian yang dibangunkan.
ix.
Memberi amaran mengenai ancaman keselamatan ICT dari semasa ke semasa.
9.8.2
Pengurusan Operasi Pengurusan Operasi adalah perlu bagi mengekalkan integriti, keboleh sediaan maklumat dan kemudahan pemprosesan maklumat. Sekiranya berlaku sebarang masalah yang melibatkan operasi rutin, maka maklumat yang diperlukan dapat dicapai dengan mudah.
9.8.2.1 Penduaan (Backup)
Pengurus ICT atau Pentadbir ICT adalah bertanggungjawab memastikan sistem dapat dibangunkan semula setelah berlakunya bencana, salinan penduaan hendaklah direkodkan dan disimpan di
Bab 9 Dasar Keselamatan ICT
halaman 84
Dasar ICT UMP Versi 1.0 (Jun 2011)
lokasi yang berlainan. Perkara yang perlu dipatuhi adalah seperti berikut: i.
Membuat salinan keselamatan ke atas semua sistem perisian dan aplikasi sekurang-kurangnya sekali atau setelah mendapat versi terbaru.
ii.
Membuat salinan penduaan ke atas semua data dan maklumat mengikut kesesuaian operasi.
iii.
Menguji sistem penduaan sedia ada bagi memastikan ianya dapat berfungsi dengan sempurna, boleh dipercayai dan berkesan
apabila
digunakan
khususnya
pada
waktu
kecemasan. iv.
Membuat dan menguji salinan maklumat dan perisian secara berkala berdasarkan prosedur penduaan.
v.
Memastikan media backup adalah yang terkini dan memenuhi piawaian di pasaran dan boleh dipulihkan menggunakan teknologi terkini.
vi.
Jangka hayat media backup perlu dipastikan apabila media berkenaan hendak digunakan semula (recycle).
vii.
Wujudkan prosedur bertulis yang diluluskan oleh pihak pengurusan mengenai langkah-langkah yang perlu diambil jika berlaku bencana dan kehilangan data.
viii. ix.
Prosedur backup/restore didokumenkan dan diuji. Penempatan salinan penduaan hendaklah disimpan di dalam peti simpanan khas di bangunan yang berbeza dengan sumber asal.
9.8.2.2 Sistem Log
Pengurus ICT atau Pentadbir ICT adalah bertanggungjawab memastikan sistem log dapat diakseskan jika berlaku sebarang pencerobohan terhadap data, salinan sistem log hendaklah direkodkan dan disimpan sebagai bahan rujukan atau bukti. Perkara yang perlu dipatuhi adalah seperti berikut: Bab 9 Dasar Keselamatan ICT
halaman 85
Dasar ICT UMP Versi 1.0 (Jun 2011)
i.
Mewujudkan sistem log bagi merekodkan semua aktiviti harian pengguna.
ii.
Menyemak sistem log secara berkala bagi mengesan ralat yang menyebabkan gangguan kepada sistem dan mengambil tindakan membaik pulih dengan segera.
iii.
Melaporkan kepada ICTSO sekiranya wujud aktiviti-aktiviti tidak sah lain seperti kecurian maklumat dan pencerobohan.
9.8.3
Pengurusan Rangkaian
Pengurusan rangkaian adalah penting bagi memastikan perlindungan keselamatan maklumat dalam rangkaian dan infrastruktur sokongan terurus dan terkawal.
9.8.3.1 Kawalan Infrastruktur Rangkaian
ICTSO, Pengurus ICT dan Pentadbir ICT adalah bertanggungjawab memastikan infrastruktur rangkaian dikawal dan diuruskan sebaik mungkin untuk menghalang ancaman kepada sistem dan aplikasi di dalam rangkaian. Perkara yang perlu dipatuhi adalah seperti berikut: i.
Membangun dan melaksanakan dasar dan prosedur bagi melindungi maklumat berhubung kait dengan sistem rangkaian.
ii.
Mengenalpasti
ciri-ciri
keselamatan,
tahap
perkhidmatan
rangkaian dan memasukkannya ke dalam mana-mana perjanjian sama ada perkhidmatan berkenaan disediakan secara dalaman atau melalui khidmat luar. iii.
Mengasingkan tanggungjawab atau kerja-kerja operasi rangkaian dan komputer untuk mengurangkan capaian dan pengubahsuaian yang tidak dibenarkan.
iv.
Meletakkan peralatan rangkaian di lokasi yang mempunyai ciri-ciri fizikal yang kukuh dan selamat.
Bab 9 Dasar Keselamatan ICT
halaman 86
Dasar ICT UMP Versi 1.0 (Jun 2011)
v.
Semua peralatan mestilah melalui proses User Acceptance Test (UAT) semasa pemasangan dan konfigurasi.
vi.
Mengawal capaian kepada peralatan rangkaian dan terhad kepada pengguna yang dibenarkan sahaja.
vii.
Memastikan
semua
peralatan
mengikut
klasifikasi
yang
ditetapkan semasa pemasangan dan konfigurasi. viii.
Memastikan semua trafik rangkaian melalui firewall di bawah kawalan UMP.
ix.
Melarang semua perisian sniffer atau network analyser dipasang pada komputer pengguna kecuali mendapat kebenaran.
x.
Memasang perisian Intrusion Detection System (IDS) bagi mengesan sebarang cubaan menceroboh dan aktiviti-aktiviti lain yang boleh mengancam sistem dan maklumat UMP.
xi.
Memasang Web Content Filter pada Proxy untuk menyekat aktiviti yang dilarang seperti yang termaktub di dalam Pekeliling Kemajuan Pentadbiran Awam Bilangan 1 Tahun 2003 bertajuk “Garis Panduan Mengenai Tatacara Penggunaan Internet dan Mel Elektronik di Agensi-Agensi Kerajaan”.
xii.
Mendapat kebenaran ICTSO bagi sebarang penyambungan rangkaian yang bukan di bawah kawalan UMP.
xiii.
Memastikan pemasangan serta penggunaan LAN tanpa wayar (wireless) di UMP mempunyai langkah-langkah keselamatan yang perlu mengikut kehendak semasa.
9.8.4
Pengurusan Media
Pengurusan media adalah penting bagi melindungi media ICT dari kerosakan dan penyalahgunaan. Media adalah bahan yang mudah untuk
di
bawa.
Bagi
menjaga
integriti
terhadap
media,
penggunaannya perlulah sentiasa diurus secara betul.
Bab 9 Dasar Keselamatan ICT
halaman 87
Dasar ICT UMP Versi 1.0 (Jun 2011)
9.8.4.1 Penghantaran Dan Pemindahan
ICTSO, Pengurus ICT dan Pentadbir ICT adalah bertanggungjawab memastikan penghantaran atau pemindahan media ke luar pejabat hendaklah mendapat kebenaran daripada CIO dan tertakluk kepada prosedur yang sedia ada di UMP. 9.8.4.2 Pengendalian Media
Pentadbir Sistem dan Rangkaian ICT adalah bertanggungjawab memastikan agar setiap prosedur yang bertujuan mengendali dan menyimpan maklumat tidak terdedah tanpa kebenaran atau disalah guna. Perkara yang perlu dipatuhi adalah seperti berikut: i.
Melabelkan semua media mengikut tahap sensitiviti sesuatu maklumat.
ii.
Menghadkan
dan
menentukan
capaian
media
kepada
pengguna yang dibenarkan sahaja. iii.
Menghadkan pengedaran media untuk tujuan yang dibenarkan.
iv.
Merekod dan mengawal aktiviti penyelenggaraan media bagi mengelak dari sebarang kerosakan dan pendedahan yang tidak dibenarkan.
v.
Menyimpan semua media di tempat yang selamat.
vi.
Menghapus atau memusnahkan media yang mengandungi maklumat rahsia rasmi mengikut prosedur keselamatan media yang dikeluarkan oleh kerajaan Malaysia.
9.8.5
Keselamatan Komunikasi Rangkaian Keselamatan dalam komunikasi rangkaian adalah penting bagi memastikan keselamatan pertukaran maklumat dan perisian dalam UMP dan mana-mana agensi luar terjamin.
Bab 9 Dasar Keselamatan ICT
halaman 88
Dasar ICT UMP Versi 1.0 (Jun 2011)
9.8.5.1 Internet
Semua Pengguna ICT UMP hendaklah mematuhi Tatacara Penggunaan
Internet
merujuk
kepada
Pekeliling
Kemajuan
Pentadbiran Awam Bilangan 1 Tahun 2003 bertajuk “Garis Panduan Mengenai Tatacara Penggunaan Internet dan Mel Elektronik di Agensi- agensi Kerajaan” dan pekeliling–pekeliling yang dikeluarkan oleh kerajaan dari semasa ke semasa. Pengguna ICT UMP juga hendaklah memastikan beberapa perkara seperti berikut dipatuhi: i.
Penggunaan Memo di dalam e-community adalah bagi urusan rasmi yang berkaitan dengan universiti sahaja dan setiap lampiran (attachment) hendaklah dihantar melalui E-mel atau Files Bank.
ii.
Maklumat yang diperoleh daripada pangkalan data (database) hendaklah dirahsiakan dan digunakan untuk urusan rasmi yang berkaitan dengan Universiti
sahaja (hanya terpakai kepada
pegawai ICT yang mempunyai kuasa untuk berbuat demikian). iii.
Pentadbir ICT yang telah diberi kuasa boleh menutup laman web tertentu tanpa notis dengan sebab Criminal Skill, Pornografi, Perjudian dan lain-lain yang memberi kesan negatif seperti Gambling (gm), Dating (mm), Cults (oc), Mature(mt), Nudity(nd), Sex(sx) berdasarkan senarai di dalam web caching engine.
iv.
Pentadbir ICT berhak menggantung sementara penggunaan komputer yang terlibat jika di dapati dalam satu kumpulan pengguna
komputer
terdapat
beberapa
komputer
yang
bermasalah dan boleh menyebabkan gangguan dari segi teknikal kepada individu lain seperti gangguan capaian kepada intranet dan internet, penyebaran virus dan lain-lain dalam kumpulan yang sama.
Bab 9 Dasar Keselamatan ICT
halaman 89
Dasar ICT UMP Versi 1.0 (Jun 2011)
9.8.5.2 Mel Elektonik
Penggunaan e-mel di UMP hendaklah dipantau secara berterusan oleh Pentadbir ICT yang mentadbir E-mel untuk memenuhi keperluan etika penggunaan e-mel dan Internet yang terkandung dalam Pekeliling Kemajuan Pentadbiran Awam Bilangan 1 Tahun 2003 bertajuk “Garis Panduan Mengenai Tatacara Penggunaan Internet dan Mel Elektronik di Agensi-agensi Kerajaan” dan manamana undang-undang bertulis yang berkuat kuasa.
9.9
Pengurusan Insiden Keselamatan ICT
Pengurusan Insiden Keselamatan ICT adalah penting bagi memastikan tindakan menangani insiden keselamatan ICT diambil dengan cepat, teratur dan berkesan serta meminimumkan kesan insiden keselamatan ICT.
9.9.1
Prosedur Pengurusan Insiden
ICTSO adalah bertanggungjawab memastikan Prosedur Pengurusan Insiden UMP diwujudkan dan perlu didokumenkan. Perkara yang perlu dipatuhi adalah seperti berikut: i.
Mengenal pasti semua jenis insiden keselamatan ICT seperti gangguan perkhidmatan yang disengajakan, pemalsuan identiti dan pengubahsuaian perisian tanpa kebenaran.
ii.
Menyedia
pelan
kontigensi
dan
mengaktifkan
kesinambungan perkhidmatan.
Bab 9 Dasar Keselamatan ICT
iii.
Menyimpan audit trail dan memelihara bahan bukti.
iv.
Menyediakan pelan tindakan pemulihan segera.
halaman 90
pelan
Dasar ICT UMP Versi 1.0 (Jun 2011)
9.9.2
Pelaporan Insiden
Semua Pengguna ICT UMP bertanggungjawab ke atas Insiden keselamatan ICT dan hendaklah dilaporkan kepada ICTSO atau Jawatankuasa Penyelaras Keselamatan ICT dengan kadar segera. Insiden keselamatan ICT adalah termasuk (tetapi tidak terhad) kepada yang berikut: i.
Maklumat didapati hilang, didedahkan kepada pihak-pihak yang tidak diberi kuasa atau, disyaki hilang atau didedahkan kepada pihak-pihak yang tidak diberi kuasa.
ii.
Sistem maklumat digunakan tanpa kebenaran atau disyaki sedemikian.
iii.
Kata laluan atau mekanisme kawalan akses hilang, dicuri atau didedahkan, atau disyaki hilang, dicuri atau didedahkan.
iv.
Kejadian sistem yang luar biasa seperti kehilangan fail, sistem kerap kali gagal dan komunikasi tersalah hantar.
v.
Berlaku percubaan menceroboh, penyelewengan dan insideninsiden yang tidak diingini.
Nota: Pekeliling Am Bilangan 1 Tahun 2001 bertajuk “Mekanisme Pelaporan Insiden Keselamatan ICT” mengenainya boleh dirujuk.
9.10
Kawalan Capaian
Memahami dan mematuhi keperluan keselamatan dalam membuat capaian dan menggunakan aset ICT UMP. 9.10.1 Keperluan Dasar
Pengurus ICT adalah bertanggungjawab kepada setiap capaian kepada aset ICT. Ia hendaklah dikawal mengikut keperluan keselamatan dan fungsi kerja pengguna yang berbeza. Ia perlu Bab 9 Dasar Keselamatan ICT
halaman 91
Dasar ICT UMP Versi 1.0 (Jun 2011)
direkodkan, dikemas kini dan dipantau dan menyokong dasar kawalan capaian pengguna sedia ada. 9.10.2 Pengurusan Capaian Pengguna
Pengurus atau Pentadbir ICT adalah berperanan bagi memastikan setiap pengguna adalah bertanggungjawab ke atas sistem ICT yang digunakan. Perkara yang perlu dipatuhi adalah seperti berikut: i.
Mewujudkan prosedur pendaftaran dan pembatalan kebenaran kepada pengguna untuk membuat capaian maklumat dan perkhidmatan;
ii.
Akaun pengguna adalah unik dan pengguna bertanggungjawab ke atas akaun tersebut selepas pengesahan penerimaan dibuat;
iii.
Akaun pengguna yang diwujudkan dan tahap capaian termasuk sebarang perubahan mestilah mendapat kebenaran pegawai yang bertanggungjawab secara bertulis dan direkodkan;
iv.
Pemilikan akaun dan capaian pengguna adalah tertakluk kepada peraturan Jabatan dan tindakan pengemaskinian dan/atau pembatalan hendaklah diambil atas sebab berikut: (a) Pengguna tidak hadir bertugas tanpa kebenaran melebihi satu tempoh yang ditentukan oleh Ketua Jabatan; (b) Pengguna
bertukar
status
atau
taraf
jawatan,
tanggungjawab dan/atau dikenakan tindakan tatatertib oleh Pihak Berkuasa Tatatertib;dan (c) Pengguna bertukar, berpindah agensi, bersara dan/atau tamat perkhidmatan. v.
Akaun pengguna bukan hak milik mutlak, ia diberi sepanjang tempoh perkhidmatan dan belajar sahaja;
vi.
Merekod dan menyelenggara aktiviti capaian oleh pengguna dengan sistematik dan dikaji dari semasa ke semasa. Maklumat yang
direkod
termasuk
identiti
pengguna,
sumber
yang
digunakan, perubahan maklumat, tarikh, masa, rangkaian dilalui, aplikasi diguna dan aktiviti capaian secara sah atau sebaliknya. Bab 9 Dasar Keselamatan ICT
halaman 92
Dasar ICT UMP Versi 1.0 (Jun 2011)
9.10.3 Tanggungjawab Pengguna
Setiap Pengguna ICT UMP adalah bertanggungjawab memastikan langkah
berkesan
bagi
kawalan
capaian
digunakan
untuk
menghalang penyalahgunaan, kecurian maklumat dan kemudahan proses maklumat. Perkara yang perlu dipatuhi adalah seperti berikut: i.
Mematuhi amalan terbaik pemilihan dan penggunaan kata laluan.
ii.
Memastikan kemudahan dan peralatan yang tidak digunakan mendapat perlindungan sewajarnya.
iii.
Mematuhi amalan clear desk/ clear screen policy.
9.10.4 Kawalan Capaian Rangkaian
Pengurus atau Pentadbir ICT adalah bertanggungjawab untuk menghalang capaian tidak sah dan tanpa kebenaran ke atas perkhidmatan rangkaian. Kawalan capaian perkhidmatan rangkaian hendaklah dijamin selamat serta mewujud dan menguat kuasa mekanisme untuk pengesahan pengguna dan peralatan yang menepati kesesuaian penggunaannya. Perkara yang perlu dipatuhi adalah seperti berikut: i.
Memastikan
pengguna
boleh
membuat
capaian
ke
atas
perkhidmatan yang dibenarkan sahaja. ii.
Mewujudkan
mekanisme
pengesahan
yang
sesuai
untuk
mengawal capaian oleh pengguna jarak jauh. iii.
Mengguna kaedah pengenalan automatik berdasarkan lokasi dan peralatan untuk pengesahan sambungan ke dalam rangkaian.
iv.
Mengawal capaian fizikal dan logikal keatas kemudahan port diagnostic dan konfigurasi jarak jauh.
v.
Mengasingkan
capaian
mengikut
kumpulan
perkhidmatan
maklumat, pengguna dan sistem maklumat dalam rangkaian. vi.
Mengawal sambungan ke rangkaian, khususnya bagi kemudahan yang dikongsi dan menjangkau sempadan UMP.
Bab 9 Dasar Keselamatan ICT
halaman 93
Dasar ICT UMP Versi 1.0 (Jun 2011)
vii.
Mewujud dan melaksana kawalan pengalihan laluan (routing control) untuk memastikan pematuhan ke atas peraturan UMP.
9.10.5 Kawalan Capaian Sistem Operasi
Pengurus atau Pentadbir ICT adalah bertanggungjawab bagi memastikan capaian ke atas sistem operasi dikawal dan dihadkan kepada pengguna yang dibenarkan sahaja. Kaedah yang digunakan hendaklah mampu menyokong perkara berikut: i.
Mengesahkan pengguna yang dibenarkan selaras dengan peraturan UMP.
ii.
Mewujudkan audit trail ke atas semua capaian sistem operasi terutama pengguna bertaraf khas (super user).
iii.
Menjana amaran (alert) sekiranya berlaku perlanggaran ke atas peraturan keselamatan sistem;
iv.
Menyedia
kaedah
sesuai
untuk
pengesahan
capaian
(authentication). v.
Menghadkan tempoh penggunaan mengikut kesesuaian. Perkara yang perlu dipatuhi adalah seperti berikut: (a) Mengawal capaian ke atas sistem operasi menggunakan prosedur log-on yang selamat; (b) Prosedur log-on yang selamat perlulah: 1. Menggunakan kaedah pengenalan pengguna yang unik dan teknik pengesahan pengguna yang berkesan dan selamat. 2. Melaksana sistem pengurusan kata laluan yang interaktif dan menjamin kualiti serta keselamatan kata laluan. 3. Mengawal penggunaan utiliti yang berkeupayaan melepasi sistem dan aplikasi terhad. 4. Menamatkan sesi yang tidak aktif selepas tempoh masa yang ditetapkan.
Bab 9 Dasar Keselamatan ICT
halaman 94
Dasar ICT UMP Versi 1.0 (Jun 2011)
5. Menghadkan
tempoh
masa
penggunaan
bagi
meningkatkan keselamatan aplikasi yang berisiko tinggi.
9.10.6 Kawalan Capaian Aplikasi dan Maklumat
Pengurus atau Pentadbir ICT adalah bertanggungjawab bagi memastikan capaian sistem dan aplikasi di UMP adalah terhad kepada pengguna dan tujuan yang dibenarkan sahaja. Akauan Sistem E-Community adalah diberikan kepada semua Staf dan Pelajar, manakala Sistem IMS adalah terhad kepada Staf tertentu sahaja. Bagi memastikan kawalan capaian sistem dan aplikasi adalah kukuh, langkah-langkah berikut hendaklah dipatuhi: i.
Membenarkan
pengguna
membuat
capaian
aplikasi
dan
maklumat yang dibenarkan mengikut tahap capaian dan sensitiviti maklumat yang telah ditentukan. ii.
Menyediakan mekanisme perlindungan bagi menghalang capaian tidak sah ke atas aplikasi dan maklumat daripada utiliti sedia ada dalam sistem operasi dan perisian malicious yang berupaya melangkaui kawalan sistem.
iii.
Memastikan capaian ke atas maklumat dan fungsi sistem aplikasi oleh pengguna dihadkan, selaras dengan peraturan UMP.
iv.
Mengasingkan persekitaran pengkomputeran yang khusus bagi sistem yang sensitif.
9.10.7 Penggunaan Peralatan ICT Mudah Alih
Setiap Pengguna ICT UMP adalah bertanggungjawab memastikan keselamatan maklumat apabila menggunakan kemudahan atau peralatan ICT mudah alih. Perkara yang perlu dipatuhi adalah seperti berikut:
Bab 9 Dasar Keselamatan ICT
halaman 95
Dasar ICT UMP Versi 1.0 (Jun 2011)
i.
Mewujudkan peraturan dan garis panduan keselamatan yang bersesuaian untuk melindungi dari risiko penggunaan peralatan mudah alih dan kemudahan komunikasi.
ii.
Mewujudkan peraturan dan garis panduan untuk memastikan persekitaran kerja jarak jauh adalah sesuai dan selamat.
9.11
Pembangunan dan Penyelenggaraan Sistem dan Aplikasi
Setiap sistem yang dibangunkan hendaklah mempunyai ciri-ciri keselamatan ICT yang membolehkan sistem berfungsi dengan sebaiknya agar tidak berlaku sebarang kebocoran maklumat yang disebabkan oleh kelemahan sistem. 9.11.1 Keperluan Keselamatan Pengurus dan Pentadbir ICT adalah bertanggungjawab memastikan kawalan keselamatan yang sesuai dijalinkan ke dalam aplikasi bagi menghalang kesilapan, kehilangan, pindaan yang tidak sah dan penyalahgunaan maklumat dalam aplikasi. Perkara yang perlu dipatuhi adalah seperti berikut: i.
Memasang dan menggunakan hanya perisian yang berlesen dan dilindungi di bawah Akta Hakcipta (Pindaan) Tahun 1997.
ii.
Menyemak dan mengesahkan data sebelum dimasukkan ke dalam aplikasi bagi menjamin ketepatan maklumat.
iii.
Menggabungkan semakan pengesahan di dalam aplikasi untuk mengenal pasti sebarang pencemaran maklumat sama ada kerana kesilapan atau disengajakan.
iv.
Mengenal pasti dan melaksana kawalan yang sesuai bagi pengesahan dan perlindungan integriti mesej dalam aplikasi.
v.
Menjalankan proses semak ke atas hasil data daripada setiap proses aplikasi untuk menjamin ketepatan dan kesesuaian.
Bab 9 Dasar Keselamatan ICT
halaman 96
Dasar ICT UMP Versi 1.0 (Jun 2011)
9.11.2 Kawalan Kriptografi
Pengurus atau Pentadbir ICT adalah berperanan bagi memastikan kaedah kriptografi diguna untuk melindungi kerahsiaan, kesahihan dan integriti maklumat. Perkara yang perlu dipatuhi adalah seperti berikut: i.
Membangun
dan
melaksana
peraturan
untuk
melindungi
maklumat menggunakan kaedah kriptografi yang sesuai. ii.
Memastikan
kaedah
yang
selamat
dan
berkesan
untuk
pengurusan kunci yang menyokong teknik kriptografi diguna pakai di UMP.
9.11.3 Kawalan Perisian Operasi
Pengurus atau Pentadbir ICT adalah bertanggungjawab memastikan kaedah yang sesuai dilaksanakan untuk mengawal capaian ke atas fail sistem dan kod sumber program bagi menjamin keselamatan sistem fail. Perkara yang perlu dipatuhi adalah seperti berikut: i.
Mewujudkan peraturan untuk mengawal pemasangan perisian ke dalam persekitaran operasi.
ii.
Mewujudkan peraturan untuk pemilihan, perlindungan dan kawalan data ujian.
iii.
Mengawal dan menghadkan capaian ke atas kod sumber kepada pengguna yang dibenarkan sahaja.
iv.
Mengemaskini patches dan mengatasi kelemahan sistem yang berlaku
daripada
maklumat
yang
diperolehi
dari
agensi
keselamatan berdaftar. v.
Menaik taraf sistem pengoperasian kepada versi terkini sesuai dengan spesifikasi peralatan ICT sedia ada.
Bab 9 Dasar Keselamatan ICT
halaman 97
Dasar ICT UMP Versi 1.0 (Jun 2011)
9.11.4 Keselamatan Dalam Proses Pembangunan dan Sokongan
Pengurus atau Pentadbir ICT adalah bertanggungjawab ke atas keselamatan perisian sistem aplikasi dan maklumat dikawal supaya selamat dalam semua keadaan. Perkara yang perlu dipatuhi adalah seperti berikut: i.
Mengawal pelaksanaan perubahan melalui peraturan formal.
ii.
Membuat semakan teknikal selepas perubahan sistem operasi bagi menjamin tiada impak negatif ke atas keselamatan operasi UMP.
iii.
Mengawal dan menghad perubahan ke atas perisian yang perlu sahaja.
iv.
Menghalang semua ruang untuk kebocoran maklumat.
v.
Mengawal selia dan memantau pembangunan perisian oleh pihak luar dari semasa ke semasa.
9.11.5 Keselamatan Perisian Sistem Aplikasi
Pengurus atau Pentadbir ICT adalah bertanggungjawab memastikan Kawalan keselamatan dilaksana bagi mengelak berlakunya capaian oleh pengguna yang tidak sah, pengubahsuaian, atau
penghapusan
maklumat.
PTMK
pendedahan
bertanggungjawab
menyediakan kawalan dan kemudahan seperti berikut: i.
Sistem
keselamatan
berpusat
dengan
kawalan
capaian
penggunaan satu ID dan kata laluan untuk semua aplikasi. ii.
Profil capaian yang menghadkan tahap capaian maklumat serta fungsi berdasarkan peranan pengguna.
iii.
Kawalan peringkat sistem
log
yang
sistem
aplikasi
dengan mengadakan
menentukan akauntabiliti kepada semua
pengguna. iv.
Penetapan
pemilik
maklumat
adalah
berdasarkan kepada
Jawatankuasa Pengurusan Maklumat (JPM).
Bab 9 Dasar Keselamatan ICT
halaman 98
Dasar ICT UMP Versi 1.0 (Jun 2011)
9.11.6 Keselamatan Pangkalan Data
Pengurus atau Pentadbir ICT adalah bertanggungjawab ke atas Integriti maklumat yang disimpan dalam pangkalan data kekal dan terjamin. Perkara yang perlu dipatuhi adalah seperti berikut: i.
Sistem Pengurusan Pangkalan Data memastikan integriti dalam pengemaskinian dan capaian maklumat.
ii.
Kawalan capaian kepada maklumat ditentukan oleh Pentadbir ICT.
9.11.7 Perubahan Versi
Pengurus atau Pentadbir ICT adalah bertanggungjawab mengawal versi sistem aplikasi apabila perubahan atau peningkatan dibuat dan prosedur kawalan perubahan versi perlu sentiasa dipatuhi.
9.11.8 Penyimpanan Kod Sumber (Source Code)
Pengurus atau Pentadbir ICT adalah bertanggungjawab mengurus dan melaksanakan kawalan penyimpanan kod sumber bagi sistem aplikasi yang dibangunkan secara dalaman atau luaran untuk tujuan penyelenggaraan dan peningkatan yang merangkumi: i.
Mewujudkan prosedur penyelenggaraan versi terkini.
ii.
Mendokumenkan
prosedur
back
up
kod
sumber bagi
penyelenggaraan versi terkini. iii.
Menyimpan back up kod sumber
di dua (2)
lokasi
yang
berasingan. 9.11.9 Pengujian Aplikasi
Pengurus atau Pentadbir ICT adalah bertanggungjawab menguji atucara, modul, sistem aplikasi dan integrasi bagi memastikan sistem
Bab 9 Dasar Keselamatan ICT
halaman 99
Dasar ICT UMP Versi 1.0 (Jun 2011)
berfungsi mengikut spesifikasi yang ditetapkan. Langkah berikut diambil semasa pengujian aplikasi dijalankan: i.
Menggunakan data ujian (dummy) atau data lapuk (historical).
ii.
Mengawal penggunaan data terpilih (classified).
iii.
Menghadkan capaian kepada kakitangan yang terlibat sahaja.
iv.
Mengadakan kaedah pemberitahuan (flag system) sekiranya capaian dan pengemaskinian maklumat dilakukan.
v.
Menghapuskan maklumat yang digunakan selepas selesai pengujian (terutamanya apabila menggunakan data lapuk).
vi.
Menggunakan persekitaran yang berasingan untuk pembangunan dan pengoperasian sistem aplikasi.
Bab 9 Dasar Keselamatan ICT
halaman 100
