PENGENDALIAN MAKLUMAT

SOKONGAN

Halaman: 1/8

PUSAT PEMBANGUNAN MAKLUMAT & KOMUNIKASI No. Semakan: 00 Kod Dokumen: UPM/ISMS/SOK/GP03/PENGENDALIAN No. Isu: 01 MAKLUMAT GARIS PANDUAN PENGENDALIAN MAKLUMAT

Tarikh: 30/11/2012

1.0

TUJUAN Garis panduan ini disediakan sebagai panduan untuk memastikan langkah‐langkah pengendalian maklumat dilakukan bagi mengelakkan berlakunya penyalahgunaan atau

W AL

kebocoran maklumat serta melindungi data dan maklumat dari sebarang pendedahan, pengubahsuaian, pemindahan atau pemusnahan tanpa izin di Pusat Pembangunan Maklumat

KA

& Komunikasi, UPM (iDEC). SKOP

R

2.0

TE

Garis Panduan ini digunapakai untuk memastikan maklumat dikendalikan mengikut langkah

SK

perlindungan yang telah ditetapkan. DOKUMEN RUJUKAN

TI

Kod Dokumen

D

3.0

EN

‐

Komunikasi (GPKTMK)

KLASIFIKASI MAKLUMAT

D

4.0

Garis Panduan Keselamatan Teknologi Maklumat &

O

Arahan Keselamatan Kerajaan Malaysia

KU

M

‐

Tajuk Dokumen

Dalam konteks keselamatan maklumat, Maklumat diklasifikasikan berdasarkan kepada

sensitiviti suatu data dan kesannya kepada universiti sama ada data tersebut perlu didedahkan, diubahsuai atau dimusnahkan tanpa kebenaran. Pengklasifikasian data dapat membantu dalam melindungi maklumat berdasarkan kepada kawalan keselamatan yang bersesuaian. Maklumat diklasifikasikan kepada lima (5) peringkat sensitiviti :

SOKONGAN

Halaman: 2/8


Tarikh: 30/11/2012

Jadual 1 : Klasifikasi Maklumat Peringkat

Sensitiviti/Klasifikasi Maklumat

W AL

Maklumat diklasifikasikan sebagai RAHSIA BESAR apabila dokumen rasmi, maklumat rasmi dan bahan rasmi yang

Rahsia Besar

jika didedahkan tanpa kebenaran akan menyebabkan

KA

kerosakan yang amat besar kepada universiti.

R

Maklumat diklasifikasikan sebagai RAHSIA apabila

TE

dokumen rasmi, maklumat rasmi dan bahan rasmi yang jika didedahkan tanpa kebenaran akan membahayakan

Rahsia

SK

keselamatan universiti menyebabkan kerosakan besar kepada kepentingan dan martabat universiti atau

TI

D

memberi keuntungan besar kepada pihak luar.

EN

Maklumat diklasifikasikan sebagai SULIT apabila dokumen

O

KU

M

Sulit

rasmi, maklumat rasmi dan bahan rasmi didedahkan,

diubahsuai atau dimusnahkan tanpa kebenaran walaupun tidak membahayakan keselamatan universiti tetapi memudaratkan kepentingan atau martabat universiti atau orang perseorangan atau menjatuhkan imej universiti

D

atau menguntungkan pihak luar. Maklumat diklasifikasikan sebagai TERHAD/DALAMAN apabila dokumen rasmi, maklumat rasmi dan bahan rasmi Terhad

didedahkan, diubahsuai atau dimusnahkan tanpa kebenaran tetapi kawalan Keselamatan atau tahap perlindungan keselamatan yang bersesuaian perlu diberikan ke atas maklumat tersebut.

SOKONGAN

Halaman: 3/8


Tarikh: 30/11/2012

Maklumat diklasifikasikan sebagai TERBUKA apabila dokumen rasmi, maklumat rasmi dan bahan rasmi didedahkan, diubahsuai atau dimusnahkan dengan

Terbuka

W AL

kebenaran untuk pengetahuan, tontonan atau kegunaan awam.

5.0

KEPERLUAN PENGENDALIAN MAKLUMAT

R

KA

TE

Keperluan pengendalian maklumat dikenalpasti bagi melindungi maklumat dan penting

SK

untuk difahami bahawa sensitiviti suatu maklumat tidak hanya bergantung kepada kerahsiaan tetapi memerlukan integriti dan kebolehsediaan suatu maklumat tersebut.

D

TI

5.1 KESELAMATAN DAN PERLINDUNGAN MAKLUMAT

EN

Jadual 2 di bawah menerangkan keperluan perlindungan bagi melindungi maklumat berdasarkan kepada klasifikasi/sensitiviti yang telah ditetapkan.

KU

M

D

O

Kategori Kawalan Keselamatan

Kawalan Akses

Jadual 2 : Keselamatan dan Perlindungan Maklumat Sensitiviti/Klasifikasi Maklumat

RAHSIA BESAR/RAHSIA/SULIT i. Paparan dan pengubahsuaian terhad kepada individu yang diberi kuasa. ii. Pemilik data atau PYB diberi kebenaran untuk mengakses bersama kelulusan dari penyelia.

TERHAD

TERBUKA

i. Paparan dan i. Tiada sekatan pengubahsuaian untuk paparan terhad kepada umum. individu yang diberi ii. Kebenaran oleh kuasa. pemilik data diperlukan untuk ii. Pemilik data atau PYB pengubahsuaian diberi kebenaran untuk mengakses

SOKONGAN

Halaman: 4/8


Tarikh: 30/11/2012

i. Tiada halangan/ sekatan

D

O

KU

M

EN

TI

D

SK

TE

R

KA

W AL

iii. Keperluan Perjanjian bersama kelulusan dari Kerahsiaan penyelia. i. Maklumat dicetak apabila i. Maklumat dicetak terdapat keperluan yang apabila terdapat keperluan yang sah sah ii. Salinan terhad kepada ii. Salinan terhad kepada individu yang diberi individu yang diberi kuasa untuk kuasa untuk mengakses mengakses data. data. iii. Maklumat tidak harus iii. Maklumat tidak harus Cetakan/Salinan dibiarkan pada dibiarkan pada (Kertas dan pencetak/faks. pencetak/faks. elektronik) iv. Maklumat dihantar iv. Salinan mesti di label menggunakan emel sebagai SULIT. universiti. v. Maklumat yang dihantar menggunakan sampul surat perlu ditandakan/dicop sebagai SULIT. i. Perlindungan i. Perlindungan menggunakan firewall menggunakan firewall yang disyorkan. yang disyorkan. ii. Menggunakan IDS dan ii. Menggunakan IDS dan IPS yang disyorkan. IPS yang disyorkan. Keselamatan iii. Server hosting tidak iii. Server hosting tidak Rangkaian terdedah ke seluruh terdedah ke seluruh rangkaian. rangkaian internet iv. Firewall diselenggara secara berkala. Keselamatan i. Pengurusan dan i. Pengurusan dan Sistem keselamatan OS keselamatan OS

i. Perlindungan menggunakan firewall yang disyorkan. ii. Menggunakan IDS dan IPS yang disyorkan.

i. Pengurusan dan keselamatan OS

SOKONGAN

Halaman: 5/8


Tarikh: 30/11/2012

mengikut amalan baik. ii. Hos berdasarkan kepada perisian firewall yang disyorkan. i. Sistem mesti dikunci atau log keluar apabila tidak digunakan.


D

O

KU

M

EN

TI

D

SK

TE

R

KA

W AL

mengikut prosedur dan mengikut prosedur garis panduan dan garis panduan ditetapkan. ditetapkan. ii. IDS berdasarkan kepada ii. IDS berdasarkan hos perisian/IPS yang kepada hos disyorkan. perisian/IPS yang disyorkan. i. Sistem mesti dikunci atau i. Sistem mesti dikunci log keluar apabila tidak atau log keluar digunakan. apabila tidak ii. Keperluan keselamatan digunakan. Keselamatan Pusat Data. ii. Keperluan Fizikal iii. Pemantauan ke atas akses Keselamatan Pusat fizikal dan terhad kepada Data individu yang dibenarkan sahaja. i. Terhad kepada rangkaian i. Terhad kepada dalaman atau VPN rangkaian dalaman universiti atau VPN universiti ii. Remote Access oleh pihak ii. Remote Access oleh ketiga tidak dibenarkan pihak ketiga terhad Remote Access tanpa penyeliaan. kepada akses sementara melalui prosedur yang telah diteapkan. i. Keperluan storan di i. Keperluan storan di dalam dalam persekitaran persekitaran Pusat Data Pusat Data yang Storan Data yang selamat. selamat. ii. Tidak boleh disimpan di ii. Tidak boleh disimpan ruang kerja individu di ruang kerja individu

i. Keperluan storan di dalam persekitaran Pusat Data yang selamat.

SOKONGAN

Halaman: 6/8


Tarikh: 30/11/2012

R

KA

W AL

(komputer/laptop persendirian)

TE

(komputer/laptop persendirian) iii. Perlu menjalankan proses enkripsi terhadap media backup. iv. Jangan meninggalkan kertas/salinan keras maklumat di tempat terbuka. v. Simpan di lokasi yang selamat. i. Keperluan backup harian. i. ii. Keperluan off‐site storan Backup/Disaster di lokasi yang selamat. ii. Recovery

i. Keperluan backup harian.

i. Menggunakan kawalan kata laluan. ii. Log keluar apabila tidak digunakan.

i. Menggunakan kawalan kata laluan yang disyorkan ii. Log keluar apabila tidak digunakan

D

SK

Keperluan backup harian. off‐site storan yang disyorkan. i. Memadam rekod

EN

TI

i. Laporan pelupusan ii. Pelupusan/pemusnahan media elektronik. i. Menggunakan kawalan Kata laluan ii. Log keluar apabila tidak digunakan. iii. Laksanakan aktiviti enkripsi maklumat.

KU

M

Cakera Keras, CD, Tape, Kertas

D

O

Mobile Device


SOKONGAN

Halaman: 7/8


Tarikh: 30/11/2012

5.2 PERLINDUNGAN MAKLUMAT ELEKTRONIK Perlindungan maklumat digital atau elektronik memerlukan kaedah pengendalian maklumat

W AL

yang berbeza seperti penggunaan enkripsi. Kaedah ini melibatkan aktiviti penukaran teks biasa (plaintext) kepada kod yang tidak dapat difahami dan kod yang tidak difahami ini akan

KA

menjadi versi teks cipher. Bagi mendapatkan semula teks biasa tersebut, proses dekripsi

R

digunakan.

Rahsia Besar

Rahsia

Sulit

SK

Pengendalian Maklumat Penyimpanan Penyimpanan dalam media tetap/media boleh tukar

TE

Jadual 3 : Pengendalian Maklumat Elektronik Terhad

Tidak diperlukan

Tidak diperlukan

D

O

KU

M

EN

TI

D

Enkripsi maklumat dilakukan jika Perlu Menggunakan diperlukan atau menggunakan kawalan kaedah lain seperti kawalan akses, pengurusan enkripsi kata laluan dan bentuk‐bentuk kawalan rangkaian lain. Menghantar / Memindahkan Menghantar Perlu Enkripsi maklumat dilakukan jika Menggunakan maklumat diperlukan atau menggunakan kawalan kaedah melalui lain seperti kawalan akses, pengurusan enkripsi rangkaian kata laluan dan bentuk‐bentuk kawalan awam rangkaian lain.

Terbuka

5.2.1

PROSES ENKRIPSI 5.2.1.1 ENKRIPSI / DEKRIPSI i.

Salah satu kaedah yang praktikal untuk memelihara data adalah dengan menukarkannya ke dalam bentuk rahsia di mana penerima yang sah sahaja dapat memahaminya.

SOKONGAN

Halaman: 8/8


Tarikh: 30/11/2012

ii.

Enkripsi (Encryption) ‐ pengirim menukarkan mesej asal ke bentuk rahsia dan menghantar kepada penerima.

iii.

Dekripsi (Decryption) ‐ menterbalikkan kembali proses enkripsi

W AL

supaya mesej ditukar ke dalam bentuk yang asal.

Pengirim menggunakan algorithma enkripsi dan kunci untuk

R

i.

KA

5.2.1.2 ENKRIPSI / DEKRIPSI

TE

menukarkan data asal (plaintext) ke dalam bentuk data yang disulitkan (cipher text).

Penerima menggunakan algorithma dekripsi dan kunci untuk

SK

ii.

menukarkan cipher text kembali ke data asal (plaintext).

D

Kaedah enkripsi dan dekripsi boleh dibahagikan kepada 2 kategori :

TI

iii.

a) Conventional (secret key / symmetric)

D

O

KU

M

EN

b) Public Key (asymmetric)

PENGENDALIAN MAKLUMAT

Recommend Documents