MP MANUAL SISTEM PENGURUSAN KESELAMATAN MAKLUMAT ISI KANDUNGAN

PENGURUSAN PUSAT PEMBANGUNAN MAKLUMAT & KOMUNIKASI Kod Dokumen : UPM/ISMS/PGR/MP MANUAL SISTEM PENGURUSAN KESELAMATAN MAKLUMAT

Halaman: 1/35 No. Semakan: 02 No. Isu: 01 Tarikh: 06/11/2015

ISI KANDUNGAN

SEKSYEN/ RUJUKAN 1.0 1.1 1.2 1.3 2.0 2.1 2.2 2.3 2.4 3.0 3.1 3.2 4.0 4.1 4.2 4.3 5.0 5.1 5.2 5.3 6.0 6.1 6.1.1 6.1.2 6.1.3 7.0 7.1 7.2 7.3 7.4 7.5 8.0 8.1 8.2 8.3 9.0 9.1

TAJUK PENGENALAN Tujuan Skop Tarikh Kuatkuasa MAKLUMAT ORGANISASI Latar Belakang Visi Misi Matlamat UPM KEPERLUAN ISMS Latar Belakang Pemetaan ISMS KONTEKS ORGANISASI Memahami Organisasi Keperluan dan Harapan Pihak Berkaitan Skop ISMS KEPEMIMPINAN Kepemimpinan dan komitmen Dasar ISMS Peranan dan Tanggungjawab PERANCANGAN Tindakan untuk Menangani Risiko dan Peluang Am Penilaian Risiko Pemulihan Risiko SOKONGAN Am Kompetensi Kesedaran Komunikasi Keperluan Dokumentasi OPERASI Perancangan dan Kawalan Operasi Pusat Data Penilaian Risiko Pemulihan Risiko PENILAIAN PRESTASI Pemantauan, Pengukuran, Analisis dan Penilaian

MUKA SURAT 3 3 3 3 4 4 4 4 4 5 5 6 7 7 11 12 16 16 16 19 22 22 22 22 23 24 24 24 24 25 26 28 28 28 29 30 30

PENGURUSAN PUSAT PEMBANGUNAN MAKLUMAT & KOMUNIKASI Kod Dokumen : UPM/ISMS/PGR/MP MANUAL SISTEM PENGURUSAN KESELAMATAN MAKLUMAT 9.2 9.3 10.0 10.1 10.2 Rajah 1 Rajah 2 Rajah 3 Rajah 4 Jadual 1 Jadual 2 Jadual 3 Jadual 4 Jadual 5 Jadual 6 Jadual 7 Jadual 8

Audit Dalaman Kajian Semula Pengurusan PENAMBAHBAIKAN Ketakakuran dan Tindakan pembetulan Penambahbaikan Berterusan Pemetaan ISMS Hubung Kait ISO 27001:2005 kepada ISO/IEC 27001:2013 Struktur Organisasi ISMS UPM Proses Penilaian Risiko Keberhasilan pelaksanaan ISSM di peringkat organisasi dan isu dalaman serta luaran Pihak berkepentingan serta keperluan mereka Pertalian dan kebergantungan aktiviti yang dilaksanakan Oleh UPM dan organisasi Justifikasi pengecualian Lokasi Skop Pelaksanaan Pensijilan ISMS UPM Peranan dan tanggungjawab organisasi ISMS UPM Kaedah Komunikasi Secara Dalaman dan Luaran Pilihan Cadangan Kawalan Keputusan Penilaian Risiko


31 32 34 34 35 6 11 18 21 8 9 10 13 15 20 26 29



PERKARA 1: PENGENALAN

1.1

TUJUAN Manual ISMS ini bertujuan menerangkan pelaksanaan Sistem Pengurusan Keselamatan Maklumat berlandaskan keperluan Piawaian ISO/IEC 27001:2013 Information Security Management Systems (ISMS) di Universiti Putra Malaysia (UPM) dalam mengurus sistem keselamatan maklumat selaras dengan semua peraturan keselamatan maklumat yang berkuatkuasa dari semasa ke semasa. Manual ini disokong dengan Kaedah-Kaedah Universiti Putra Malaysia (Teknologi Maklumat Dan Komunikasi) 2014, prosedur, garis panduan, prosedur pengoperasian piawai (SOP), borang dan dokumen sokongan yang berkaitan.

1.2

SKOP Manual ini mengandungi lapan (8) perkara berikut: a. Perkara 1: Keperluan ISMS; b. Perkara 2: Konteks Organisasi (Klausa 4); c. Perkara 3: Kepemimpinan (Klausa 5); d. Perkara 4: Perancangan (Klausa 6); e. Perkara 5: Sokongan (Klausa 7); f. Perkara 6: Operasi (Klausa 8); g. Perkara 7: Penilaian prestasi (Klausa 9); dan h. Perkara 8: Penambahbaikan (Klausa 10).

1.3

TARIKH BERKUAT KUASA Manual ini berkuat kuasa mulai tarikh 6 November 2015.



PERKARA 2: MAKLUMAT ORGANISASI 2.1

LATAR BELAKANG Universiti Putra Malaysia bermula daripada penubuhan Sekolah Pertanian pada 21 Mei 1931 yang memberi tumpuan dan penekanan kepada bidang pertanian di Tanah Melayu. Sekolah Pertanian tersebut telah dinaiktaraf menjadi Kolej Pertanian Malaya pada 3 Jun 1947. Selaras dengan kepentingan sektor pertanian kepada ekonomi negara, kolej ini telah dinaiktaraf menjadi Universiti Pertanian Malaysia dan diaktakan sebagai satu Perintah Perbadanan di bawah Akta Universiti dan Kolej Universiti 1971, dan disiarkan menerusi Warta Kerajaan P.U.(A) 387 pada 29 Oktober 1971. Sebagai sebuah universiti yang dinamik dan sensitif kepada tuntutan semasa dan keperluan pembangunan dalam pelbagai disiplin, nama Universiti Pertanian Malaysia telah ditukarkan kepada Universiti Putra Malaysia pada 3 April 1997.

2.2

VISI Menjadi sebuah universiti bereputasi antarabangsa.

2.3

MISI Memberikan sumbangan bermakna kepada pembentukan kekayaan dan pembangunan negara serta kemajuan manusia sejagat menerusi penerokaan dan penyebaran ilmu.

2.4

MATLAMAT UPM Untuk mencapai visi dan misi yang telah diwujudkan, UPM telah menggubal 5 matlamat seperti yang dinyatakan dalam Pelan Strategi UPM 2014 – 2020 iaitu: Matlamat 1 : Mempertingkatkan kualiti dan daya saing graduan Matlamat 2 : Penjanaan nilai melalui ekosistem RDCE yang mantap dan lestari Matlamat 3 : Melonjakkan perkhidmatan jaringan industri dan masyarakat Matlamat 4 : Memperkasakan UPM sebagai Pusat Kecemerlangan Pertanian Matlamat 5 : Mempertingkatkan kualiti tadbir urus



PERKARA 3: KEPERLUAN ISMS 3.1

LATAR BELAKANG ISO/IEC 27001:2013 ISMS merupakan piawaian yang menetapkan satu set keperluan Sistem Pengurusan Keselamatan Maklumat. Istilah maklumat, merangkumi koleksi fakta dalam bentuk kertas atau mesej elektronik bagi mencapai misi dan objektif organisasi. Maklumat merangkumi sistem dokumentasi, prosedur operasi, rekod agensi, profil pelanggan, pangkalan data, fail data dan maklumat, maklumat arkib dan lain-lain. Pembudayaan ISMS akan mewujudkan sistem penyampaian yang bukan sahaja memenuhi tuntutan serta kepuasan pengguna dan mematuhi peraturan semasa tetapi membolehkan sistem penyampaian beroperasi dalam keadaan baik, selamat dan terkawal. ISMS turut menyediakan tanda aras (benchmark) tahap pengurusan keselamatan maklumat Universiti berasaskan piawaian antarabangsa serta memantapkan perlindungan maklumat dalam aset ICT berteraskan prinsip kerahsiaan, integriti dan ketersediaan. ISMS dibangunkan berdasarkan kepada keperluan dalam Klausa 4: Konteks Organisasi hingga Klausa 10: Penambahbaikan dalam piawaian ISO/IEC 27001:2013 yang hendaklah dipatuhi mengikut keperluan piawaian.

PENGURUSAN PUSAT PEMBANGUNAN MAKLUMAT & KOMUNIKASI Kod Dokumen : UPM/ISMS/PGR/MP MANUAL SISTEM PENGURUSAN KESELAMATAN MAKLUMAT 3.2


Pemetaan ISMS Ringkasan keperluan bagi Klausa 4 hingga Klausa 10 seperti berikut (Rajah 1: Pemetaan ISMS):

Rajah 1: Pemetaan ISMS



PERKARA 4: KONTEKS ORGANISASI (Klausa 4) 4.1

MEMAHAMI ORGANISASI Universiti Putra Malaysia merupakan salah sebuah universiti penyelidikan yang terunggul di Malaysia. Entiti akademik yang terkenal di seantero dunia ini terletak di Serdang, iaitu bersebelahan dengan Wilayah Pentadbiran Putrajaya. Sebagai sebuah pusat pengajian dan penyelidikan, UPM telah berjaya menyatukan para pelajar dan warga kerja dari serata dunia sekali gus menjadikan UPM sebuah entiti global yang amat disegani.

4.1.1 Proses Utama Universiti melibatkan empat (4) komponen di bawah: a. Pengajaran dan Pembelajaran b. Penyelidikan c. Perundingan dan Perkhidmatan Professional d. Jaringan Luar UPM mempunyai komitmen yang tinggi untuk merealisasikan hasrat menjadi sebuah universiti bereputasi antarabangsa khususnya dalam melonjakkan pencapaian kedudukan UPM dalam senarai 200 universiti terbaik di dunia dalam penilaian QS World University Ranking. Pelan Strategik UPM 2014 – 2020 yang mempertaruhkan lima (5) matlamat dan sembilan belas (19) objektif strategik untuk memastikan UPM mempunyai daya saing yang tinggi dalam menawarkan perkhidmatan pengajian tinggi pada peringkat tempatan dan juga antarabangsa. Melalui tema strategik iaitu Putra Global 200 yang menjadi teras Pelan Strategik 2014-2020 itu, UPM telah menetapkan matlamat untuk menghasilkan graduan yang berkualiti dan

Halaman: 8/35

PENGURUSAN PUSAT PEMBANGUNAN MAKLUMAT & KOMUNIKASI

No. Semakan: 02 No. Isu: 01

Kod Dokumen : UPM/ISMS/PGR/MP MANUAL SISTEM PENGURUSAN KESELAMATAN MAKLUMAT

Tarikh: 06/11/2015

berdaya saing, membangunkan inovasi pengajaran dan pembelajaran, meluaskan pembangunan pelajar bersifat holistik, meningkatkan reputasi akademik melalui kepelbagaian

kepakaran

dan

pembangunan

program,

meningkatkan

aktiviti

kemasyarakatan dan jaringan industri, RDCE (penyelidikan, pembangunan, pengkomersilan dan keusahawanan) yang berimpak tinggi, memastikan tadbir urus dan pengurusan sumber yang cekap dan berkesan. 4.1.2 Penentuan Skop Pelaksanaan ISMS Dalam melaksanakan ISMS, penentuan skop pensijilan hendaklah mengambil kira perkaraperkara berikut: a. Menentukan isu luaran dan dalaman berkaitan dengan matlamatnya yang boleh mempengaruhi pencapaian keberhasilan ISMS; b. Menentukan pihak berkepentingan serta keperluan mereka dalam pelaksanaan ISMS; dan c. Mengenal pasti perkaitan dan kebergantungan antara aktiviti yang dilaksanakan oleh UPM dan organisasi luar.

BIL. KEBERHASILAN 1. Meningkatkan reputasi Universiti 2. Mengekalkan status Universiti Penyelidikan (RU) 3. Mengekalkan status Swa Akreditasi 4. Mencapai kedudukan 200 universiti terbaik dunia (QS World Ranking) menjelang 2020

ISU DALAMAN i. Pembudayaan pengurusan keselamatan maklumat setiap warga UPM a) Kurang kefahaman dalam kalangan staf

i. ii.

iii. iv.

ISU LUARAN Perubahan Dasar Kerajaan Perkembangan teknologi dan inovasi yang pantas Ekonomi tidak menentu Ancaman ekologi

Halaman: 9/35



Kod Dokumen : UPM/ISMS/PGR/MP MANUAL SISTEM PENGURUSAN KESELAMATAN MAKLUMAT 5. 6.

7.

8. 9. 10.

11.

Mengekalkan status autonomi tadbir urus Mencapai kedudukan 200 laman web universiti terbaik dalam Webometrics Ranking menjelang 2020 Mengekalkan kedudukan 50 universiti terbaik dalam Green Metric World Ranking Kebolehpasaran graduan (80% semasa konvokesyen) Melonjakkan jaringan industri dan masyarakat Memperkasakan UPM sebagai Pusat Kecemerlangan Pertanian Mempertingkatkan kualiti tadbir urus

b) Ketidakjelasan tanggungjawab dan proses ii. Tahap kebolehpercayaan, integriti dan ketersediaan data iii. Kekangan sumber manusia dan kewangan iv. Infrastruktur tidak menyokong proses

Tarikh: 06/11/2015

v. Ekspektasi pelanggan terlalu tinggi vi. Kriteria penarafan yang berubah vii. Gangguan media sosial viii. Masalah komunikasi

Jadual 1 : Keberhasilan pelaksanaan ISMS di peringkat organisasi dan isu dalaman serta luaran BIL. 1. 2. 3. 4. 5. 6. 7. 9.

PIHAK BERKEPENTINGAN Pelajar Ibubapa dan penjaga Warga UPM Kementerian Pengajian Tinggi Malaysia (KPTM) Penaja Pendidikan Agensi Kerajaan Pembekal

KEPERLUAN PIHAK BERKEPENTINGAN Maklumat peribadi dan akademik pelajar hendaklah dilindungi Maklumat prestasi pelajar hendaklah dilindungi Maklumat peribadi hendaklah dilindungi Maklumat profil Universiti, pelajar, penyelidikan, sumber manusia dan kewangan hendaklah dilindungi Maklumat prestasi pelajar yang tepat Maklumat yang tepat i. Maklumat kontrak yang dipatuhi ii. Maklumat kerjasama Maklumat /data yang tepat

Badan Penarafan Jadual 2 : Pihak berkepentingan serta keperluan mereka


BIL. 1. 2.

3.

AKTIVITI Pengurusan penajaan pendidikan pelajar Pemberian dan penerimaan maklumat

4.

Pemberian dan penerimaan maklumat Penyelenggaraan peralatan

5.

Penyelenggaraan sistem

ORGANISASI Penaja pendidikan Kementerian Pengajian Tinggi Malaysia (KPTM) Agensi Kerajaan dan NGO Sistem Pengurusan Aset Tetap UPM (FAMS)


PERTALIAN/HUBUNGKAIT Sistem Maklumat Pelajar – Modul Penaja Perkongsian maklumat

Perkongsian maklumat

Penyelenggaraan dilaksanakan oleh pihak vendor, penjadualan dan pengesahan perkhidmatan oleh UPM Sistem Pengurusan Penyelenggaraan dilaksanakan Aset Tetap UPM oleh pihak vendor, penjadualan (FAMS) dan pengesahan perkhidmatan oleh UPM

Jadual 3: Pertalian dan kebergantungan aktiviti yang dilaksanakan oleh UPM dan organisasi luar


KEPERLUAN DAN HARAPAN PIHAK BERKAITAN

Rajah 2: Hubung Kait ISO 27001:2005 kepada ISO/IEC 27001:2013




SKOP ISMS Dalam menentukan skop pensijilan ISMS UPM, Jawatankuasa Jaminan Kualiti ISMS telah mengenalpasti skop pensijilan ISMS seperti berikut dengan mengambil kira perkara-perkara 4.1.2 : Penentuan Skop Pelaksanaan ISMS.

Skop pensijilan ISMS UPM adalah seperti berikut: 1. Sistem Pengurusan Keselamatan Maklumat hanya melibatkan proses Pendaftaran Pelajar Baharu Prasiswazah semasa Minggu Perkasa Putra dalam Sistem Pengurusan Pelajar 2. Sistem Pengurusan Keselamatan Maklumat untuk Pengoperasian Pusat Data bagi proses Pendaftaran Pelajar Baharu Prasiswazah 3. Sistem Pengurusan Keselamatan Maklumat untuk Pengoperasian Pusat Pemulihan Bencana bagi proses Pendaftaran Pelajar Baharu Prasiswazah

4.3.1 Pengecualian Skop Pensijilan ISMS a) Pengecualian skop pensijilan ISMS proses pendaftaran pelajar baharu prasiswazah adalah kepada pendaftaran kursus, Meal Plan dan aktiviti kemasukan pendaftaran pelajar baharu prasiswazah untuk: i.

Pengajian Jarak Jauh;

ii.

Eksekutif;

iii.

Pesisir;

iv.

Luar Pesisir;

v.

Antarabangsa;

vi.

Mobiliti; dan

vii.

UPM Kampus Bintulu.



Justifikasi pengecualian adalah berdasarkan kepada berikut: BIL.

PERKARA

JUSTIFIKASI

1.

Pengajian Jarak Jauh

Kawalan UPM Holding

2.

Eksekutif

Perancangan dimasukkan dalam skop pensijilan

3.

Pesisir

2017 (tertakluk kepada keputusan pengurusan)

4.

Luar Pesisir

5.

Antarabangsa

6.

Mobiliti

7.

UPM Kampus Bintulu Jadual 4 : Justifikasi pengecualian

4.3.2 PROSES PERKHIDMATAN SKOP ISMS UPM Proses lapor diri pelajar baharu prasiswazah yang melibatkan aktiviti berikut: a. Menyemak tawaran b. Menerima salinan pendua slip bayaran yuran CIMB c. Menerima borang permohonan kad pelajar d. Mengesah status kesihatan e. Pengesahan pendaftaran f. Pendaftaran kolej

Perkhidmatan operasi Pusat Data dan Pusat Pemulihan Bencana bagi proses Pendaftaran Pelajar Baharu Prasiswazah yang terlibat dalam skop pensijilan ISMS merangkumi aktiviti berikut: a. Pelaksanaan operasi Pusat Data; b. Penyelenggaraan fasiliti Pusat Data;

Halaman: 14/35




Tarikh: 06/11/2015

c. Pemantauan operasi Pusat Data; d. Penyenggaraan perkhidmatan operasi server di Pusat Data; e. Pemantauan capaian sistem di Pusat Data; f. Kawalan keselamatan di Pusat Data; dan g. Tindakan kecemasan di Pusat Data.

Dokumen Rujukan: a. Prosedur Pengoperasian Pengurusan Pusat Data (UPM/ISMS/OPR/DC/P001) b. Disaster Recovery Plan (DRP) UPM (UPM/IDEC/100-23/1/4) c. Prosedur Persediaan Penempatan dan Pendaftaran Masuk pelajar Baharu (UPM/OPR/KOLEJ/P002) d. Prosedur

Pengambilan

Pelajar

Baharu

Program

Pengajian

Prasiswazah

(UPM/PU/PS/P003) e. Arahan Kerja Permohonan Kad Pintar (UPM/OPR/BKU/AK01/KAD PINTAR)

4.3.3 ASET DALAM SKOP PENSIJILAN ISMS Aset utama dalam skop pensijilan ISMS UPM adalah seperti di Step 3 - Identification of Assets di dalam proses penilaian risiko. Dokumen Rujukan: a. Risk Assessment (UPM/ISMS/OPR/RA)



4.3.4 LOKASI SKOP PENSIJILAN ISMS UPM Lokasi skop pelaksanaan pensijilan ISMS UPM adalah seperti butiran berikut: LOKASI Kolej Tujuh Belas (K17) Kolej Enam Belas (K16) Kolej Lima Belas (K15) Kolej Empat Belas (K14) Kolej Tiga Belas (K13) Kolej Dua Belas (K12) Kolej Sebelas (K11) Kolej Sepuluh (K10) Kolej Keenam (K6) Kolej Kelima (K5) Kolej Kedua (K2) Kolej Canselor Kolej Mohamed Rashid (KMR) Kolej Tun Dr Ismail (KTDI) Kolej Pendeta Za’ba (KPZ) Kolej Tun Perak (KTP) Kolej Sultan Aleiddin Suleiman Shah (KOSASS) Universiti Putra Malaysia, 43400 UPM Serdang, Selangor Pusat Data Utama (DC) Pusat Pembangunan Maklumat dan Komunikasi (iDEC-BETA) Universiti Putra Malaysia 43400 UPM Serdang Selangor Pusat Pemulihan Bencana (DRC) Pusat Pembangunan Maklumat dan Komunikasi (iDEC-EPSILON) Blok 2, UPM-MTDC Server Farm Complex 43400 UPM Serdang Selangor Jadual 5 : Lokasi Pelaksanaan Pensijilan ISMS UPM



PERKARA 5: KEPEMIMPINAN (Klausa 5) 5.1

KEPEMIMPINAN DAN KOMITMEN Pengurusan Universiti Putra Malaysia (UPM) memberi komitmen dengan mewujud, melaksana, memantau, menyemak, menyelenggara dan menambah baik ISMS dengan melaksanakan perkara berikut: a. Memastikan objektif keselamatan maklumat dan Dasar ISMS diwujudkan selaras dengan Pelan Strategik Universiti; b. Menerapkan keperluan ISMS dalam proses perkhidmatan UPM; c. Menyediakan keperluan sumber untuk mematuhi ISMS; d. Memberi kesedaran berhubung dengan objektif keselamatan maklumat selaras dengan peraturan semasa dan menetapkan penjagaan keselamatan adalah suatu proses yang berterusan; e. Memastikan ISMS mencapai hasil yang telah ditetapkan; f. Menambah baik keberkesanan ISMS; dan g. Memperakui peranan dan tanggungjawab dalam keselamatan maklumat.

5.2

DASAR ISMS

5.2.1 Pernyataan Dasar ISMS Universiti Putra Malaysia beriltizam mengadakan sistem pengurusan keselamatan maklumat yang berkesan melalui: a. Pelaksanaan yang selari dengan misi dan visi Universiti; b. Pematuhan kepada kehendak organisasi dan perundangan serta peraturan yang berkaitan;



c. Membangunkan objektif ISMS yang dipantau dan matlamat berdasarkan objektif keselamatan; d. Komitmen bagi memenuhi keperluan berkaitan keselamatan maklumat; dan e. Penilaian semula dan pengubahsuaian dasar, objektif dan sasaran untuk penambahbaikan berterusan.

5.2.2

Objektif Keselamatan Maklumat Pihak Pengurusan UPM telah menetapkan Objektif Keselamatan Maklumat yang bersesuaian dengan fungsi yang terlibat bagi memastikan semua data dan maklumat di UPM adalah selamat. Untuk memastikan ISMS dilaksanakan dengan berkesan, Objektif Keselamatan Maklumat yang telah dikenalpasti adalah seperti berikut: a. Memastikan semakan penilaian risiko dan pelan pemulihan risiko dilaksanakan sekurang-kurangnya sekali setahun ; b. Menjalankan ujian simulasi pelan pemulihan bencana ICT sekurang-kurangnya 1 kali setahun; c. Memastikan 95% sokongan ICT (rangkaian, sistem aplikasi dan pangkalan data) terhadap proses pendaftaran pelajar baharu bebas dari gangguan setiap semester; d. Memastikan 100% pelajar yang berdaftar adalah pelajar yang mendapat tawaran; dan e. Memastikan 100% borang permohonan kad pelajar yang diterima diisi dengan lengkap.



5.2.3 Pematuhan kepada Perundangan Pihak Pengurusan UPM telah menetapkan pemakaian Kaedah-Kaedah Universiti Putra Malaysia (Teknologi Maklumat dan Komunikasi) dan disokong oleh Garis Panduan Keselamatan Teknologi Maklumat dan Komunikasi (GPKTMK) sebagai peraturan keselamatan ICT di UPM. 5.2.4 Penambahbaikan Berterusan Terhadap Keselamatan Maklumat Pihak Pengurusan ISMS perlu membuat

penambahbaikan

berterusan terhadap

keselamatan maklumat bagi meningkatkan keberkesanan ISMS melalui: a. Penemuan audit; b. Analisis pencapaian Objektif Keselamatan Maklumat; c. Tindakan pembetulan; dan d. Kajian semula pelaksanaan ISMS.

Halaman: 19/35



Kod Dokumen : UPM/ISMS/PGR/MP MANUAL SISTEM PENGURUSAN KESELAMATAN MAKLUMAT 5.3

Tarikh: 06/11/2015

PERANAN DAN TANGGUNGJAWAB

5.3.1 Struktur Organisasi ISMS

MESYUARAT KAJIAN SEMULA PENGURUSAN

MESYUARAT JAWATANKUASA ISO UPM

JAWATANKUASA KERJA ISMS

PENASIHAT

SEKRETARIAT (Bahagian Pengurusan Kualiti)

PENERAJU PROSES PUSAT DATA

PENERAJU PROSES PENDAFTARAN PELAJAR BAHARU PRASISWAZAH

JAWATANKUASA PENILAIAN RISIKO

Rajah 3 : Struktur Organisasi ISMS UPM



5.3.2 Peranan dan Tanggungjawab Organisasi ISMS UPM PERANAN MESYUARAT KAJIAN SEMULA PENGURUSAN

TANGGUNGJAWAB 1. Melaksanakan semakan pengurusan ke atas sistem pengurusan ISO secara berkala bagi memastikan terus sesuai, mencukupi, dan berkesan; 2. Membuat penilaian ke atas peluang penambahbaikan dan keperluan perubahan kepada dasar dan objektif keselamatan ISMS 3. Meneliti laporan yang berkaitan dan membuat keputusan yang sesuai.

MESYUARAT JAWATANKUASA ISO UPM

1. Memastikan kesesuaian, kecukupan dan keberkesanan pelaksanaan Sistem Pengurusan ISO secara berkala; 2. Membuat penilaian ke atas peluang penambahbaikan dan keperluan perubahan kepada pengukuran keberkesanan ISMS 3. Meluluskan sebarang cadangan pindaan dokumen skop pengurusan; dan 4. Mengambil maklum keberkesanan pelaksanaan ISO di peringkat Peneraju Proses dan Pusat Tanggungjawab (PTJ).

WAKIL PENGURUSAN

1. Memastikan pembangunan dan pelaksanaan ISMS mematuhi keperluan piawaian; dan 2. Melaporkan pencapaian ISMS dalam Mesyuarat Kajian Semula Pengurusan (MKSP).

SEKRETARIAT BAHAGIAN PENGURUSAN KUALITI (BPQ)

1. Merancang dan mengurus audit dalaman dan audit badan pensijilan Sistem Pengurusan ISO peringkat UPM; 2. Menyelaras dan memantau pelaksanaan tindakan penemuan audit dalaman dan audit badan pensijilan; 3. Membantu dalam Mesyuarat Jawatankuasa Kerja ISMS; dan 4. Membantu dalam pembangunan dan latihan ISMS.

PENGURUSAN PUSAT PEMBANGUNAN MAKLUMAT & KOMUNIKASI Kod Dokumen : UPM/ISMS/PGR/MP MANUAL SISTEM PENGURUSAN KESELAMATAN MAKLUMAT PERANAN


TANGGUNGJAWAB

JAWATANKUASA KERJA ISMS

1. Memantau keberkesanan pelaksanaan ISMS; 2. Memantau pencapaian objektif kualiti; 3. Melaksana penambahbaikan terhadap dokumentasi, proses dan perkhidmatan; 4. Menyediakan laporan keberkesanan pelaksanaan Sistem Pengurusan Keselamatan Maklumat; 5. Memantau dan menyemak carta perbatuan ISMS; 6. Membangunkan kriteria penerimaan risiko, tahap risiko dan risk treatment plan; 7. Melaksanakan keputusan dan tindakan hasil Mesyuarat Kajian Semula Pengurusan ISMS; 8. Membangun dan menyelenggara pengurusan dokumen dan rekod pelaksanaan ISMS; dan 9. Mengambil tindakan ke atas tindakan pembetulan, pencegahan dan peluang penambahbaikan.

PENERAJU PROSES

1. Menyediakan analisis jurang, Statement of Applicability (SoA) dan prosedur berkaitan; 2. Menyediakan prosedur dan kawalan dalam ISO/IEC 27001:2013; 3. Melaksanakan penilaian risiko dan pelan pemulihan risiko; 4. Menyediakan objektif keselamatan dan kaedah pengukuran keberkesanan kawalan ISMS; 5. Mengukur keberkesanan kawalan ISMS; dan 6. Memantau dan menilai pelaksanaan ISMS.

JAWATANKUASA PENILAIAN RISIKO

1. Mengurus dan melaksanakan aktiviti penilaian berisiko; 2. Mengendalikan semakan semula ouput dan dokumen sebelum disampaikan kepada Penasihat Projek; 3. Menilai keputusan, menilai jurang dan menyediakan laporan High Level Recommendation (HLR) dan Pelan Pemulihan Risiko.

Jadual 6 : Peranan dan tanggungjawab Organisasi ISMS UPM

Halaman: 22/35




Tarikh: 06/11/2015

PERKARA 6: PERANCANGAN (Klausa 6) 6.1

TINDAKAN UNTUK MENANGANI RISIKO DAN PELUANG

6.1.1 Am Garis Panduan Penilaian Risiko disediakan untuk menilai tahap risiko supaya pendekatan dan keputusan yang paling berkesan dikenal pasti bagi menyediakan perlindungan dan kawalan ke atas aset atau proses di UPM.

6.1.2 Penilaian Risiko Penilaian risiko aset yang berkaitan dilaksanakan berasaskan Metodologi Penilaian Risiko Terperinci MyRAM (Malaysian Public Sector ICT Risk Assessment Methodology) berpandukan kepada Surat Pekeliling Am Bilangan 6 Tahun 2005: Garis Panduan Penilaian Risiko Keselamatan Maklumat Sektor Awam.

Sebelas (11) langkah utama dalam proses penilaian risiko aset adalah seperti berikut: 1. Menubuhkan Pasukan Penilaian Risiko

6.

7.

Menilai Ancaman

Menilai Kelemahan

8.

11.

Menilai Aset

Mengenal pasti Kawalan

Membuat Pengiraan Risiko

3.

4.

9.

10.

Mengenal pasti Aset

Mengenal pasti Pentadbir Proses & Sistem

Menganalisis Impak

Menganalisis Kemungkinan

2. Menetapkan Sempadan

5.

Rajah 4 : Proses Penilaian Risiko



6.1.3 Pemulihan Risiko Perkara yang perlu dikenalpasti dan dilaksanakan semasa proses pemulihan risiko adalah seperti berikut: a. Membuat

pilihan

cadangan

pemulihan

risiko

(menerima,

mengurangkan,

memindahkan, atau mengelakkan); b. Mengenal pasti kawalan yang bersesuaian terhadap cadangan pemulihan risiko yang telah dipilih; c. Melaksanakan perbandingan antara kawalan yang dipilih dengan Annex A; d. Mewujudkan Statement of Applicability (SoA) yang mengandungi kawalan bersesuaian; e. Menyediakan Pelan Pemulihan Risiko; dan f. Mendapatkan kelulusan Pentadbir Proses dan Pentadbir Sistem serta penerimaan ke atas risiko yang telah dipilih.

Statement of Applicability, SoA menjelaskan justifikasi kawalan dan dokumen rujukan dalam melindungi keselamatan aset ICT dalam skop ISMS. Pemilihan kawalan dalam SoA adalah hasil Pemulihan Risiko dan peraturan-peraturan perlindungan aset ICT dalam Kaedah-Kaedah UPM (Teknologi Maklumat dan Komunikasi) dan Garis Panduan Keselamatan Teknologi Maklumat Komunikasi (GPKTMK).

Dokumen Rujukan: a. Garis Panduan Penilaian Risiko Aset (UPM/ISMS/SOK/GP02/RISK ASSESSMENT)



PERKARA 7: SOKONGAN (Klausa 7) 7.1

AM Pihak Pengurusan UPM telah menentukan dan menyediakan sumber yang diperlukan bagi penubuhan, pelaksanaan, penyelenggaraan dan penambahbaikan berterusan bagi Sistem Pengurusan Keselamatan Maklumat.

7.2

KOMPETENSI Pihak Pengurusan UPM memastikan setiap staf yang bertanggungjawab ke atas pematuhan ISMS mempunyai kompetensi yang sewajarnya dengan melaksanakan perkara berikut: a. Menentukan tahap kompetensi setiap staf yang menjalankan tugas keselamatan maklumat; b. Memberi latihan atau mengambil langkah-langkah lain untuk memenuhi tahap kompetensi yang diperlukan; c. Menilai keberkesanan tindakan yang diambil; dan d. Menyelenggara rekod latihan yang berkaitan.

Dokumen Rujukan: a. Prosedur Latihan Staf UPM (UPM/SOK/LAT/P001)

7.3

KESEDARAN UPM menyediakan program kesedaran keselamatan maklumat bagi menjalankan tugas untuk mencapai objektif keselamatan ISMS. Dokumen Rujukan: a. Prosedur Latihan Staf UPM (UPM/SOK/LAT/P001)

Halaman: 25/35




7.4

Tarikh: 06/11/2015

KOMUNIKASI Pihak pengurusan UPM telah mewujudkan komunikasi yang berkesan secara dalaman dan luaran berhubung keselamatan maklumat untuk: a. Menunjukkan komitmen pengurusan keselamatan maklumat; b. Berbincang dengan penuh tanggungjawab mengenai aspek keselamatan maklumat dan kesan terhadap UPM; c. Meningkatkan kesedaran mengenai polisi keselamatan maklumat dan objektif keselamatan; dan d. Memaklumkan tentang pelaksanaan ISMS, pemantauan ISMS, audit dan kajian semula pengurusan kepada staf berkaitan yang bertanggungjawab dalam proses keselamatan maklumat Universiti. BIL.

PIHAK BERKAITAN

PERKARA YANG DIKOMUNIKASI

BILA KOMUNIKASI DILAKSANA

TANGGUNGAWAB UPM

MEDIUM KOMUNIKASI

Pihak berkaitan

KOMUNIKASI DALAMAN 1.

Pelajar

2.

Staf

Perkara berkaitan proses pendaftaran pelajar Perkara berkaitan proses pendaftaran pelajar

Minggu Perkasa Putra

Pegawai HEPA (Jwtn)

Pelajar

Hebahan melalui laman web HEPA, portal SMP dan USPOT

Selewatlewatnya sebulan sebelum Minggu Perkasa Putra

Pegawai HEPA

1. 2.

1.

3. 4.

Pusat Data Pusat Kesihatan Universiti Bahagian Keselamatan Pejabat Bursar

2.

3.

Program Perutusan Tahun Baru Naib Canselor Taklimat khas pelaksanaan ISMS Latihan pelaksanaan ISMS

Halaman: 26/35




BIL.

PIHAK BERKAITAN

PERKARA YANG DIKOMUNIKASI

3.

Pembekal

Perkara berkaitan proses pendaftaran pelajar

4.

Kementerian Pengajian Tinggi (KPT)

Maklumat pelajar ditawar masuk ke UPM

BILA KOMUNIKASI DILAKSANA

Tarikh: 06/11/2015

TANGGUNGAWAB UPM

KOMUNIKASI LUARAN SelewatKetua Bahagian lewatnya Operasi Aplikasi sebulan sebelum Minggu Perkasa Putra Berterusan Bahagian secara Akademik berkala

Pihak berkaitan Staf Encoral Digital Solution Sdn Bhd (Pengurus Projek : Suhaimi Jantan)

MEDIUM KOMUNIKASI

Surat

Surat

Jadual 7: Kaedah Komunikasi Secara Dalaman dan Luaran

7.5

KEPERLUAN DOKUMENTASI

7.5.1 Am UPM telah mengurus dan menyelenggara semua keperluan dokumentasi ISMS bagi memastikan semua dokumen dapat dikesan dan dicapai apabila diperlukan. 7.5.2 Mewujud dan Mengemaskini Dokumen Melibatkan beberapa perkara penting seperti berikut: a. Pengenalan dan penerangan yang melibatkan tajuk, tarikh kuatkuasa, tarikh kemaskini dan sejarah semakan dokumen; b. Format dan media yang digunakan samada secara elektronik atau cetakan bertulis; dan c. Semakan dan pengesahan ke atas setiap dokumen baru atau pindaan.



7.5.3 Kawalan Dokumen Mengurus, mengawal dan melindungi semua dokumen ISMS. Dokumen ISMS yang dinyatakan dalam Senarai Utama Dokumen Terkawal selaras dengan Prosedur Kawalan Dokumen dan Rekod.

Kawalan rekod dilaksanakan berdasarkan tindakan berikut: a. Rekod ISMS (rekod fizikal dan elektronik) dan tempoh penyimpanannya dikenal pasti dalam setiap prosedur ISMS; b. Tatacara bagi mengurus, mengawal, mengenalpasti, menyimpan, mendapatkan semula dan melupuskan rekod fizikal dan elektronik didokumenkan; dan c. Pelupusan rekod ISMS fizikal dibuat mengikut Prosedur Kawalan Dokumen dan Rekod.



PERKARA 8: OPERASI (Klausa 8) 8.1

PERANCANGAN DAN KAWALAN OPERASI Pihak Pengurusan UPM telah merancang, melaksana dan mengawal proses yang diperlukan untuk memenuhi keperluan keselamatan maklumat dan melaksanakan tindakan yang ditentukan pada Klausa 6.1: Tindakan untuk Menangani Risiko dan Peluang. UPM juga telah melaksanakan rancangan untuk mencapai objektif keselamatan maklumat seperti yang telah ditentukan pada Klausa 6.2: Objektif Keselamatan Maklumat dan Pelan Perancangan. Dokumen Rujukan: a. Prosedur Pengoperasian Pengurusan Pusat Data (UPM/ISMS/OPR/DC/P001) b. Prosedur Pemantauan Operasi Pusat Data (UPM/ISMS/OPR/DC/P002) c. Prosedur Kawalan dan Pemantauan Capaian ke Sistem di Pusat Data (UPM/ISMS/OPR/DC/P003)

8.2

PENILAIAN RISIKO Penilaian risiko dilaksanakan sekurang-kurangnya sekali dalam setahun berdasarkan ancaman, kelemahan (vulnerability) dan impak yang diakibatkan oleh perkara berikut: a. Perubahan dasar yang boleh memberi kesan kepada keputusan penguraian risiko atau penilaian aset; b. Perubahan kepada teknologi dan proses perkhidmatan; c. Pembangunan dan penaiktarafan sistem/aplikasi baru; d. Perubahan struktur organisasi (visi/misi/objektif); e. Pelaksanaan kawalan baru selaras dengan strategi perlindungan dalam Pelan Penilaian Risiko; dan f. Insiden keselamatan maklumat.



Dokumen Rujukan: a. Laporan Penilaian Risiko

8.3

PEMULIHAN RISIKO Pemulihan risiko mengandungi

pemilihan

kawalan

yang diluluskan oleh Pihak

Pengurusan UPM berdasarkan keputusan penilaian risiko. Pasukan Penilaian Risiko akan mencadangkan kepada Pihak Pengurusan UPM sama ada untuk mengurangkan, memindahkan, menerima, atau mengelakkan tahap risiko ancaman tertentu yang wujud di dalam aset tertentu. Penerangan bagi setiap pilihan keputusan adalah seperti berikut: CADANGAN

KETERANGAN

MENGURANGKAN

Keputusan ini ditentukan jika implikasi terhadap risiko adalah kritikal samada HIGH atau MEDIUM. Pengurangan risiko dapat dilaksanakan melalui penambahbaikan dari segi operasi, prosedur, fizikal, individu atau teknikal.

MEMINDAHKAN

Keputusan ini ditentukan jika implikasi terhadap risiko tersebut boleh dipindahkan dengan mewujudkan perjanjian perkhidmatan (SLA) antara kedua pihak.

MENERIMA

Keputusan ini ditentukan jika implikasi terhadap risiko adalah LOW.

MENGELAKKAN

Keputusan ini ditentukan kerana tiada kawalan yang dapat ditentukan samada untuk mengurangkan atau memindahkan risiko kepada pihak ketiga.

Jadual 8: Pilihan Cadangan Kawalan Keputusan Penilaian Risiko Dokumen Rujukan: a. Laporan Pemulihan Risiko



PERKARA 9: PENILAIAN PRESTASI (Klausa 9)

9.1

PEMANTAUAN, PENGUKURAN, ANALISIS DAN PENILAIAN Penilaian prestasi dan keberkesanan ISMS perlu dilaksana dan ditentukan dengan menitikberatkan perkara berikut: a.

Perkara yang perlu dipantau dan diukur, termasuk proses dan kawalan ke atas keselamatan maklumat melibatkan: i. Petunjuk prestasi ii. Pengukuran keberkesanan

b.

Kaedah untuk pemantauan, pengukuran, analisis dan penilaian yang berkenaan untuk memastikan hasil yang sah dan tepat;

c.

Masa pelaksanaan pemantauan dan pengukuran;

d.

Staf yang terlibat dalam pemantauan dan pengukuran;

e.

Proses analisis dan penilaian terhadap keputusan pemantauan dan pengukuran; dan

f.

Staf yang telibat dalam membuat analisis dan penilaian terhadap keputusan pemantauan dan pengukuran.

Dokumen Rujukan: a. Garis Panduan Pengukuran Keberkesanan Kawalan ISMS (UPM/ISMS/OPR/DC/GP07/SECURITY METRICS)



AUDIT DALAMAN UPM menjalankan Audit Dalaman ISMS pada jangka masa yang dirancang bagi memastikan ISMS: a. Akur kepada keperluan ISO/IEC 27001:2013 dan perundangan; b. Akur kepada keperluan keselamatan maklumat; c. Dilaksana seperti yang dirancang dan diselenggara dengan berkesan; d. Menetapkan kriteria audit dan skop pengauditan; e. Membuat pemilihan juruaudit; f. Memastikan hasil audit dilaporkan ke pihak pengurusan; dan g. Menyediakan bukti sepanjang program audit dan hasil pengauditan.

Pelan Audit Dalaman disediakan dengan mengambil kira tahap kepentingan proses dalam skop yang diaudit serta laporan audit terdahulu. Kriteria, skop, kekerapan dan kaedah audit akan ditetapkan.

Pemilihan Juruaudit Dalaman adalah berpandukan kepada pengetahuan dalam bidang teknologi maklumat, keselamatan maklumat, skop perkhidmatan dan ISO/IEC 27001:2013. Juruaudit tidak dibenarkan mengaudit kerja atau tugasan sendiri.

Tanggungjawab dan keperluan untuk merancang, melaksana, melapor keputusan audit dan mengurus rekod dengan merujuk kepada Prosedur Kawalan Dokumen dan Rekod dan Prosedur Audit Dalaman ISO.



Pihak yang diaudit perlu mengambil tindakan yang bersesuaian dengan segera untuk melaksanakan

tindakan

penambahbaikan/pembetulan/pencegahan

ke atas

ketakakuran yang dikenalpasti. Tindakan susulan perlu ditentusahkan.

Dokumen Rujukan: a. Prosedur Audit Dalaman ISO (UPM/PGR/P004)

9.3

KAJIAN SEMULA PENGURUSAN

Mesyuarat Kajian Semula Pengurusan ke atas ISMS dijalankan sekurang-kurangnya sekali setahun. untuk memastikan kesesuaian, kecukupan dan keberkesanan pelaksanaan ISMS.

Perkara yang dibincangkan dalam mesyuarat adalah seperti berikut: a. Tindakan susulan hasil kajian semula pengurusan yang terdahulu; b. Perubahan kepada isu dalaman dan luaran yang melibatkan sistem pengurusan keselamatan maklumat; c. Status ketidakpatuhan dan tindakan pembetulan; d. Pemantauan dan pengukuran keberkesanan; e. Penemuan audit; f. Pencapaian objektif keselamatan maklumat; g. Maklum balas pihak berkaitan; h. Hasil penilaian risiko dan status pelan pemulihan risiko; dan i.

Peluang penambahbaikan.



Keputusan mesyuarat direkodkan dan Jawatankuasa Kerja ISMS bertanggungjawab memastikan tindakan susulan diambil. Semua rekod yang berkaitan hendaklah diselenggara dengan sempurna.

Halaman: 34/35




Tarikh: 06/11/2015

PERKARA 10: PENAMBAHBAIKAN (Klausa 10)

10.1

KETAKAKURAN DAN TINDAKAN PEMBETULAN UPM

perlu mengambil

tindakan

yang

berkesan

untuk

membetulkan

punca

ketakakuran daripada terus berlaku. a. Mengambil tindakan ke atas ketakakuran: i. Mengenalpasti tindakan yang perlu diambil untuk mengawal dan memastikan ketakakuran tidak berulang; ii. Menangani kesan daripada ketakakuran yang berlaku; b. Menilai keperluan tindakan pembetulan untuk menghapus punca ketakakuran supaya ia tidak berulang atau berlaku di tempat lain dengan melaksanakan perkara berikut: i. Mengkaji semula ketakakuran yang berlaku; ii. Menentukan punca ketakakuran; iii. Menentukan sama ada ketakakuran yang sama wujud atau berpotensi akan berlaku; c. Melaksanakan tindakan pembetulan yang diperlukan dalam masa yang ditetapkan; d. Mengkaji keberkesanan terhadap tindakan pembetulan yang telah diambil; dan e. Melaksanakan perubahan kepada ISMS, jika diperlukan.



Tindakan pembetulan hendaklah bersesuaian dengan kesan ketakakuran yang ditemui. UPM perlu menyediakan dokumentasi berikut sebagai bukti: a. Ketakakuran dan sebarang tindakan yang diambil dan dilaksanakan. b. Keputusan terhadap sebarang hasil tindakan pembetulan. Dokumen Rujukan: a. Prosedur Kawalan Ketakakuran, Tindakan Pembetulan, Tindakan Pencegahan dan Peluang Penambahbaikan (UPM/PGR/P003)

10.2

PENAMBAHBAIKAN BERTERUSAN UPM perlu membuat penambahbaikan berterusan bagi meningkatkan keberkesanan pelaksanaan ISMS melalui: a. Pematuhan Kaedah-Kaedah Universiti Putra Malaysia (Teknologi Maklumat dan Komunikasi); b. Penemuan audit; c. Analisis insiden keselamatan maklumat; d. Tindakan pembetulan; dan e. Kajian semula ISMS.

Dokumen Rujukan: a. Prosedur Kawalan Ketakakuran, Tindakan Pembetulan, Tindakan Pencegahan dan Peluang Penambahbaikan (UPM/PGR/P003)

MP MANUAL SISTEM PENGURUSAN KESELAMATAN MAKLUMAT ISI KANDUNGAN

Recommend Documents