Objektif
Memastikan pengurusan operasi dilaksana dengan betul dan selamat daripada sebarang ancaman dan gangguan.
a. Pengendalian Prosedur
Perkara yang perlu dipatuhi adalah seperti berikut:
i. Semua prosedur pengurusan operasi yang diwujudkan, dikenal pasti dan diguna pakai hendaklah didokumenkan, disimpan dan dikawal;
ii. Setiap prosedur mestilah mengandungi arahan yang jelas, teratur dan lengkap; dan
iii. Semua prosedur hendaklah dikemas kini dari semasa ke semasa atau mengikut keperluan.
b. Kawalan Perubahan
Perkara yang perlu dipatuhi adalah seperti berikut:
i. Pengubahsuaian yang melibatkan perkakasan, sistem untuk pemprosesan maklumat, perisian dan prosedur mestilah mendapat kebenaran daripada pegawai yang bertanggungjawab atau pemilik aset ICT terlebih dahulu; ii. Aktiviti seperti memasang, menyelenggara, menghapus
dan mengemas kini mana-mana komponen sistem ICT hendaklah dikendalikan oleh pihak atau pegawai yang diberi kuasa dan mempunyai pengetahuan atau terlibat secara langsung dengan aset ICT berkenaan;
iii. Semua aktiviti pengubahsuaian komponen sistem ICT hendaklah mematuhi spesifikasi perubahan yang telah ditetapkan; dan
iv. Semua aktiviti perubahan atau pengubahsuaian hendaklah direkod dan dikawal bagi mengelakkan berlakunya ralat.
c. Pengasingan Tugas dan Tanggungjawab
Perkara yang perlu dipatuhi adalah seperti berikut:
i. Skop tugas dan peranan setiap pegawai perlu diasingkan bagi mengurangkan peluang berlaku penyalahgunaan atau pengubahsuaian yang tidak dibenarkan ke atas aset ICT;
ii. Tugas mewujud, menghapus, mengemas kini, mengubah dan mengesahkan data hendaklah diasingkan bagi mengelakkan daripada capaian yang tidak dibenarkan serta melindungi aset ICT daripada kesilapan, kebocoran maklumat terperingkat atau dimanipulasi; dan
iii. Perkakasan yang digunakan bagi tugas membangun, mengemas kini, menyenggara dan menguji aplikasi hendaklah diasingkan daripada perkakasan yang digunakan semasa production.
7.6.2 Pengurusan Penyampaian Perkhidmatan Pihak Ketiga Objektif
Memastikan pelaksanaan dan penyelenggaraan tahap keselamatan maklumat dan penyampaian perkhidmatan yang sesuai selaras dengan perjanjian perkhidmatan dengan pihak ketiga.
Penyampaian Perkhidmatan
Perkara yang mesti dipatuhi adalah seperti berikut:
i. Memastikan kawalan keselamatan, skop perkhidmatan dan tahap penyampaian yang terkandung dalam perjanjian dipatuhi, dilaksana dan diselenggarakan oleh pihak ketiga; dan
ii. Perkhidmatan, laporan dan rekod yang dikemukakan oleh pihak ketiga perlu sentiasa dipantau, disemak semula dan diaudit dari semasa ke semasa.
7.6.3 Perancangan dan Penerimaan Sistem Objektif
Meminimumkan risiko yang boleh menyebabkan gangguan atau kegagalan sistem.
a. Perancangan Kapasiti (Keupayaan)
Kapasiti sesuatu komponen atau sistem ICT hendaklah dirancang, diurus dan dikawal dengan teliti oleh pegawai yang bertanggungjawab bagi memastikan keperluannya adalah mencukupi dan bersesuaian untuk pembangunan dan kegunaan sistem ICT.
Keperluan kapasiti ini juga perlu mengambil kira ciri-ciri keselamatan ICT bagi meminimumkan risiko seperti gangguan pada perkhidmatan dan kerugian akibat pengubahsuaian yang tidak dirancang.
b. Penerimaan Sistem
Semua sistem baharu (termasuklah sistem yang dikemas kini atau diubahsuai) hendaklah memenuhi kriteria yang ditetapkan sebelum diterima atau dipersetujui.
7.6.4 Perisian Berbahaya Objektif
Melindungi integriti perisian dan maklumat daripada pendedahan atau kerosakan yang disebabkan oleh perisian berbahaya (malicious software).
a. Perlindungan daripada Perisian Berbahaya Perkara yang perlu dipatuhi adalah seperti berikut:
i. Memasang sistem keselamatan seperti Anti Virus, Intrusion Detection System (IDS) dan Intrusion
Prevention System (IPS) untuk mengesan perisian atau fail berbahaya;
ii. Memasang dan menggunakan hanya perisian yang tulen, berdaftar dan dilindungi di bawah mana-mana undang-undang bertulis yang berkuat kuasa;
iii. Mengimbas semua peralatan ICT kecuali peralatan yang tersenarai dalam “Senarai Peralatan ICT yang dikecualikan daripada Pengimbas Antivirus”;
iv. Memastikan paten antivirus dikemaskini dengan versi terkini;
v. Menyemak kandungan sistem atau maklumat secara berkala bagi mengesan aktiviti yang tidak diingini seperti kehilangan dan kerosakan maklumat;
vi. Mempunyai kesedaran mengenai ancaman perisian berbahaya dan cara mengendalikannya;
vii. Memasukkan klausa liabiliti di dalam kontrak yang akan ditawarkan kepada pihak ketiga. Klausa ini bertujuan untuk tuntutan baik pulih sekiranya perisian tersebut mengandungi program berbahaya; dan
viii. Memberi amaran mengenai ancaman keselamatan ICT seperti serangan virus.
b. Perlindungan daripada Mobile Code
Penggunaaan mobile code yang boleh mendatangkan ancaman keselamatan ICT adalah tidak dibenarkan. 7.6.5 Penyelenggaraan Maklumat
Objektif
Melindungi integriti maklumat agar boleh diakses apabila diperlukan.
a. Backup
Backup hendaklah dilakukan bagi memastikan sistem dapat digunakan semula sekiranya berlaku bencana. Perkara yang perlu dipatuhi adalah seperti berikut:
i. Membuat backup keselamatan ke atas semua sistem perisian dan aplikasi secara berkala atau apabila terdapat perubahan versi;
ii. Membuat backup ke atas semua data dan maklumat mengikut keperluan operasi. Kekerapan backup bergantung pada tahap kritikal maklumat;
iii. Menguji sistem backup dan restore sedia ada bagi memastikan ianya dapat berfungsi dengan sempurna, boleh dipercayai dan berkesan apabila digunakan khususnya pada waktu kecemasan;
iv. Menyimpan sekurang-kurangnya satu (1) generasi backup bergantung kepada keperluan sistem; dan
v. Merekod dan menyimpan salinan backup di lokasi yang berlainan, selamat dan bergantung kepada keperluan sistem.
b. Housekeeping
Housekeeping perlu dilakukan bagi memastikan sistem dapat berfungsi dengan baik. Perkara yang perlu dipatuhi adalah seperti berikut:
i. Pengemaskinian perisian dan sistem aplikasi; dan
ii. Pengurusan fail sistem dan storan seperti pembersihan logdan fail sementara (temporary file).
7.6.6 Pengurusan Rangkaian Objektif
Melindungi maklumat dalam rangkaian dan infrastruktur sokongan.
Kawalan Infrastruktur Rangkaian
Infrastruktur rangkaian mestilah dikawal dan diuruskan sebaik mungkin bagi melindungi daripada ancaman kepada maklumat. Perkara yang perlu dipatuhi adalah seperti berikut:
i. Tanggungjawab dan kerja operasi hendaklah diasingkan untuk menghalang capaian dan pengubahsuaian yang tidak dibenarkan;
ii. Perkakasan firewall hendaklah dipasang, dikonfigurasi dan ditadbir. Semua trafik keluar dan masuk hendaklah melalui firewall;
iii. Pengguna dilarang menggunakan perisian sniffer atau network analyzer kecuali mendapat kebenaran pentadbir sistem rangkaian;
iv. Memasang Intrusion Prevention System (IPS) bagi mengesan sebarang cubaan menceroboh dan aktiviti lain yang boleh mengancam sistem dan maklumat UPM;
v. Memasang Web Content Filtering pada Internet Gateway untuk menyekat aktiviti yang dilarang;
vi. Sebarang penyambungan rangkaian tanpa kelulusan adalah tidak dibenarkan;
vii. Sistem intranet UPM hanya boleh diakses menggunakan sistem rangkaian UPM sahaja seperti menggunakan teknologi Virtual Private Network (VPN); dan
viii. Semua peralatan ICT (termasuk peralatan bukan aset UPM) yang menggunakan sistem rangkaian UPM perlu selamat dan tidak mendatangkan risiko.
7.6.7 Pengendalian Media Objektif
Melindungi peralatan media digital daripada sebarang pendedahan, pengubahsuaian, perpindahan atau pemusnahan serta gangguan ke atas aktiviti perkhidmatan.
a. Penghantaran dan Perpindahan
Penghantaran atau perpindahan media storan dan maklumat ke luar pejabat hendaklah mendapat kebenaran daripada pegawai yang bertanggungjawab.
b. Kaedah Pengendalian Media
Kaedah pengendalian media yang perlu dipatuhi adalah seperti berikut:
i. Melabelkan media jika perlu mengikut tahap klasifikasi sesuatu maklumat;
ii. Menghadkan pengedaran data atau media untuk tujuan yang dibenarkan sahaja; dan
iii. Menyimpan semua media di tempat yang selamat. c. Keselamatan Dokumentasi Sistem
Memastikan penyimpanan dokumentasi sistem adalah terkawal dan mempunyai ciri-ciri keselamatan.
7.6.8 Pengurusan Pertukaran Maklumat Objektif
Memastikan keselamatan pertukaran maklumat dan perisian antara UPM dan agensi luar terjamin.
a. Pertukaran Maklumat
Perkara yang perlu dipatuhi adalah seperti berikut:
i. Persetujuan bertulis perlu diwujudkan untuk pertukaran maklumat dan perisian di antara UPM dengan agensi luar melalui penggunaan pelbagai jenis kemudahan komunikasi;
ii. Maklumat yang terdapat dalam mesej elektronik perlu dilindungi sebaik-baiknya; dan
iii. Media yang mengandungi maklumat perlu dilindungi daripada capaian yang tidak dibenarkan, penyalahgunaan atau kerosakan semasa pemindahan keluar dari UPM.
b. Pengurusan Mel Elektronik (e-Mel)
Penggunaan e-mel di UPM hendaklah dipantau secara berterusan oleh pentadbir sistem e-mel untuk memenuhi keperluan etika penggunaan e-mel dan Internet yang terkandung dalam Pekeliling Kemajuan Pentadbiran Awam Bilangan 1 Tahun 2003 bertajuk “Garis Panduan Mengenai Tatacara Penggunaan Internet dan Mel Elektronik di Agensi-agensi Kerajaan” dan mana-mana undang-undang bertulis yang berkuat kuasa.
Perkara yang perlu dipatuhi dalam pengendalian mel elektronik adalah seperti berikut:
i. Akaun atau alamat mel elektronik (e-mel) yang diperuntukkan oleh UPM sahaja boleh digunakan. Penggunaan akaun milik orang lain atau akaun yang dikongsi bersama adalah dilarang;
ii. Setiap e-mel yang disediakan hendaklah mematuhi format yang telah ditetapkan oleh UPM;
iii. Memastikan subjek dan kandungan e-mel adalah berkaitan dan menyentuh perkara perbincangan yang sama sebelum penghantaran dilakukan;
iv. Penghantaran e-mel rasmi hendaklah menggunakan akaun e-mel rasmi dan pastikan alamat e-mel penerima adalah betul;
v. Pengguna dinasihatkan menggunakan fail kepilan, sekiranya perlu, tidak melebihi sepuluh megabait (10 Mb) semasa penghantaran. Kaedah pemampatan untuk mengurangkan saiz adalah disarankan;
vi. Pengguna hendaklah mengelak dari membuka e-mel daripada penghantar yang tidak diketahui atau diragui; vii. Pengguna hendaklah mengenal pasti dan mengesahkan
identiti pengguna yang berkomunikasi dengannya sebelum meneruskan transaksi maklumat melalui e-mel; viii. Setiap e-mel rasmi yang dihantar atau diterima
hendaklah disimpan mengikut tatacara pengurusan sistem fail elektronik yang telah ditetapkan;
ix. E-mel tidak penting dan tidak mempunyai nilai arkib yang telah diambil tindakan dan tidak diperlukan lagi bolehlah dihapuskan;
x. Pengguna hendaklah menentukan tarikh dan masa sistem komputer adalah tepat;
xi. Mengambil tindakan dan memberi maklum balas terhadap e-mel dengan cepat dan mengambil tindakan segera;
xii. Pengguna hendaklah memastikan alamat e-mel persendirian (seperti yahoo.com, gmail.com, streamyx.com.my dan sebagainya) tidak boleh digunakan untuk tujuan rasmi; dan
xiii. Pengguna hendaklah bertanggungjawab ke atas pengemaskinian dan penggunaan mailbox masing-masing.
7.6.9 Perkhidmatan Transaksi Kewangan Atas Talian Objektif
Memastikan keselamatan aplikasi dan maklumat dalam perkhidmatan transaksi kewangan atas talian.
a. Transaksi Kewangan Atas Talian
Perkara yang perlu dipatuhi adalah seperti berikut:
i. Maklumat yang terlibat perlu dilindungi daripada aktiviti penipuan, pertikaian transaksi dan pendedahan serta pengubahsuaian yang tidak dibenarkan;
ii. Maklumat yang terlibat perlu dilindungi bagi mengelak penghantaran yang tidak lengkap, salah destinasi, duplikasi atau pengulangan mesej yang tidak dibenarkan; dan
iii. Integriti maklumat yang disediakan untuk sistem yang boleh dicapai oleh orang awam atau pihak lain yang berkepentingan hendaklah dilindungi.
b. Maklumat Umum
Perkara yang perlu dipatuhi dalam memastikan keselamatan maklumat adalah seperti berikut:
i. Memastikan perisian, data dan maklumat dilindungi dengan mekanisme yang bersesuaian;
ii. Memastikan sistem yang boleh diakses oleh orang awam diuji terlebih dahulu; dan
iii. Memastikan segala maklumat yang hendak dipaparkan telah disah dan diluluskan sebelum dimuat naik ke laman web.
7.6.10 Pemantauan Objektif
Memastikan pengesanan aktiviti pemprosesan maklumat yang tidak dibenarkan.
a. Pengauditan dan Forensik ICT
UPMCERT bertanggungjawab merekod dan menganalisis perkara berikut:
i. Sebarang percubaan pencerobohan kepada sistem ICT UPM;
ii. Serangan perisian berbahaya (malicious software), denial of service, spam, pemalsuan (forgery, phishing), pencerobohan (intrusion), ancaman (threats) dan kehilangan fizikal (physical loss);
iii. Pengubahsuaian ciri-ciri perkakasan, perisian atau mana-mana komponen sesebuah sistem tanpa pengetahuan, arahan atau persetujuan mana-mana pihak;
iv. Aktiviti melayari, menyimpan atau mengedar bahan lucah, berunsur fitnah dan propaganda yang melanggar undang-undang;
v. Aktiviti pewujudan perkhidmatan yang tidak dibenarkan; vi. Aktiviti instalasi dan penggunaan perisian yang
membebankan jalur lebar (bandwidth) rangkaian; vii. Aktiviti penyalahgunaan akaun e-mel; dan
viii. Aktiviti penukaran alamat IP (IP address) selain daripada yang telah diperuntukkan tanpa kebenaran Pentadbir Sistem ICT.
b. Jejak Audit
Pentadbir Sistem ICT mestilah menyimpan jejak audit (audit trail). Jejak audit perlu mengandungi maklumat berikut:
i. Rekod setiap aktiviti transaksi;
ii. Maklumat jejak audit mengandungi identiti pengguna, sumber yang digunakan, perubahan maklumat, tarikh dan masa aktiviti, rangkaian dan aplikasi yang digunakan;
iii. Aktiviti capaian pengguna ke atas sistem ICT sama ada secara sah atau sebaliknya; dan
iv. Maklumat aktiviti sistem yang tidak normal atau aktiviti yang tidak mempunyai ciri-ciri keselamatan.
c. Sistem Log
Fail log hendaklah disimpan untuk tempoh sekurang-kurangnya enam (6) bulan. Jenis fail log bagi server dan aplikasi yang perlu diaktifkan adalah seperti Fail Log Sistem Pengoperasian, Fail Log Servis, Fail Log Aplikasi dan Fail Log Rangkaian.
Pentadbir Sistem ICT hendaklah melaksanakan perkara berikut:
i. Mewujudkan sistem log bagi merekodkan semua aktiviti harian pengguna;
ii. Menyemak sistem log secara berkala bagi mengesan ralat yang menyebabkan gangguan kepada sistem dan mengambil tindakan membaik pulih dengan segera; iii. Kemudahan merekod dan maklumat log perlu dilindungi
daripada diubahsuai dan sebarang capaian yang tidak dibenarkan; dan
iv. Masa sistem pengoperasian perlu diselaraskan dengan satu sumber yang ditetapkan.
d. Pemantauan log
Perkara yang perlu dipatuhi adalah seperti berikut:
i. Log Audit yang merekodkan semua aktiviti perlu dihasilkan dan disimpan untuk tempoh masa yang dipersetujui bagi membantu siasatan dan memantau kawalan capaian;
ii. Pemantauan penggunaan kemudahan memproses maklumat perlu dijalankan secara berkala;
iii. Kemudahan merekod dan maklumat log perlu dilindungi daripada sebarang capaian yang tidak dibenarkan atau diubahsuai;
iv. Aktiviti pentadbiran dan operator sistem perlu direkodkan; dan
v. Kesalahan, kesilapan dan/atau penyalahgunaan perlu direkodkan ke dalam log, dianalisis dan diambil tindakan sewajarnya.
7.7 KAWALAN CAPAIAN
7.7.1 Dasar Kawalan Capaian Objektif
Mengawal capaian ke atas maklumat. Keperluan Kawalan Capaian
Capaian kepada proses dan maklumat perlu dikawal, direkodkan dan dikemas kini mengikut keperluan keselamatan dan fungsi kerja pengguna yang berbeza.
7.7.2 Pengurusan Capaian Pengguna Objektif
Mengawal capaian pengguna ke atas aset ICT UPM. a. Akaun Pengguna
Melaksanakan pendaftaran dan penamatan akaun pengguna untuk memberi dan menarik balik hak capaian terhadap aset ICT UPM.
Pentadbir Sistem ICT boleh membeku atau menamatkan akaun pengguna atas sebab berikut:
i. Pengguna yang bercuti panjang dalam tempoh waktu melebihi dua (2) minggu;
ii. Bertukar bidang tugas kerja; iii. Bertukar ke agensi lain; iv. Bersara; atau
v. Ditamatkan perkhidmatan b. Hak Capaian Pengguna
Peruntukan dan penggunaan hak capaian pengguna perlu dikawal dan diselia dengan rapi.
c. Kata Laluan
Pemilihan dan penggunaan kata laluan bagi mencapai aset ICT mestilah mematuhi amalan terbaik.
d. Pengurusan Kata Laluan
Pengurusan kata laluan perlulah interaktif, mesra pengguna dan disemak secara berkala.
e. Tanggungjawab Pengguna
Semua maklumat dalam apa jua bentuk media hendaklah disimpan dengan teratur dan selamat bagi mengelakkan kerosakan, kecurian atau kehilangan.
Pengguna tidak dibenarkan meninggalkan bahan yang sensitif terdedah sama ada di atas meja (Clear Desk Policy) atau di paparan skrin (Clear Screen Policy) apabila pengguna tidak berada di tempatnya.
Perkara yang mesti dipatuhi termasuk yang berikut:
i. Menggunakan kemudahan password screen saver atau logout apabila meninggalkan komputer;
ii. Menyimpan bahan sensitif di dalam laci atau kabinet fail yang berkunci; dan
iii. Memastikan semua dokumen diambil segera dari pencetak, mesin faksimili dan mesin fotostat.
7.7.3 Kawalan Capaian Rangkaian Objektif
Menghalang capaian tidak sah dan tanpa kebenaran ke atas perkhidmatan rangkaian.
a. Perkhidmatan Rangkaian
Pengguna hanya boleh mencapai perkhidmatan rangkaian yang dibenarkan sahaja.
b. Capaian Pengguna Dari Rangkaian Luar
Kaedah capaian yang bersesuaian perlu digunakan untuk mengawal capaian dari rangkaian luar.
c. Pengenalpastian Peralatan
Pengenalpastian peralatan secara automatik perlu ada bertujuan untuk spesifikasi lokasi dan peralatan yang disahkan.
d. Capaian Internet
Perkara yang perlu dipatuhi adalah seperti berikut:
i. Penggunaan Internet di UPM hendaklah dipantau secara berterusan oleh Pentadbir Sistem Rangkaian bagi memastikan penggunaannya untuk tujuan capaian yang dibenarkan sahaja. Amalan ini akan melindungi daripada kemasukan malicious code, virus dan bahan yang tidak sepatutnya ke dalam rangkaian UPM;
ii. Kaedah Content Filtering mestilah digunakan bagi mengawal akses Internet mengikut fungsi kerja dan pemantauan tahap pematuhan;
iii. Penggunaan teknologi (packet shaper) untuk mengawal aktiviti (video conferencing, video streaming, chat,
downloading) adalah perlu bagi menguruskan
penggunaan jalur lebar (bandwidth) yang maksimum dan lebih berkesan;
iv. Penggunaan Internet hanyalah untuk kegunaan rasmi sahaja. Pentadbir Sistem ICT berhak menentukan pengguna yang dibenarkan menggunakan Internet atau sebaliknya;
v. Laman yang dilayari hendaklah hanya yang berkaitan dengan bidang kerja dan terhad untuk tujuan yang dibenarkan oleh Pentadbir Sistem ICT yang diberi kuasa;
vi. Bahan yang diperoleh dari Internet hendaklah ditentukan ketepatan dan kesahihannya. Sebagai amalan terbaik, rujukan sumber Internet hendaklah dinyatakan;
vii. Bahan rasmi hendaklah disemak dan mendapat pengesahan daripada pegawai yang bertanggungjawab sebelum dimuat naik ke Internet;
viii. Pengguna hanya dibenarkan memuat turun bahan yang sah seperti perisian yang berdaftar dan di bawah hak cipta terpelihara;
ix. Sebarang bahan yang dimuat turun dari Internet hendaklah digunakan untuk tujuan yang dibenarkan oleh UPM;
x. Penggunaan modem untuk tujuan sambungan ke Internet tidak dibenarkan sama sekali; dan
xi. Pengguna adalah dilarang melakukan aktiviti berikut: a. Memuat naik, memuat turun, menyimpan dan
menggunakan perisian tidak berlesen dan sebarang aplikasi seperti permainan elektronik, video atau lagu yang boleh menjejaskan tahap capaian internet; dan
b. Menyedia, memuat naik, memuat turun dan menyimpan teks ucapan atau bahan yang mengandungi unsur lucah.
7.7.4 Kawalan Capaian Sistem Pengoperasian Server Objektif
Menghalang capaian tidak sah dan tanpa kebenaran ke atas sistem pengoperasian server.
a. Login Yang Selamat
Login kepada sistem pengoperasian server perlu dikawal mengikut prosedur pemantauan capaian.
b. Pengenalan dan Pengesahan Pengguna
Setiap pengguna perlu ada pengenalan diri (ID) yang unik. c. Penggunaan System Tools
Penggunaan system tools yang berkeupayaan mengambil alih sistem dan mengawal aplikasi perlulah dihadkan dan dikawal.
d. Session Time-out
Sesi yang tidak aktif perlu ditutup dalam tempoh masa yang ditetapkan.
e. Had Masa Capaian
Had masa capaian perlu dilaksanakan untuk meningkatkan keselamatan bagi aplikasi yang berisiko tinggi.
7.7.5 Pengkomputeran Mudah Alih dan Teleworking Objektif
Memastikan keselamatan maklumat semasa menggunakan peralatan pengkomputeran mudah alih dan kemudahan teleworking.
a. Pengkomputeran Mudah Alih
Peralatan mudah alih hendaklah disimpan dan dikunci di tempat yang selamat apabila tidak digunakan.
b. Teleworking
Kemudahan teleworking hendaklah dilindungi bagi menghalang pendedahan maklumat dan capaian tidak sah serta salah guna kemudahan.
7.8 PEROLEHAN, PEMBANGUNAN DAN PENYELENGGARAAN
SISTEM
7.8.1 Keselamatan dalam Pembangunan Sistem dan Aplikasi Objektif
Memastikan sistem yang dibangunkan untuk kegunaan UPM mempunyai ciri-ciri keselamatan ICT yang bersesuaian.
a. Keperluan Keselamatan Sistem Maklumat Perkara yang perlu dipatuhi adalah seperti berikut:
i. Perolehan, pembangunan, penambahbaikan dan penyelenggaraan sistem hendaklah mengambil kira kawalan keselamatan;
ii. Ujian keselamatan yang dijalankan meliputi pengesahan dan uji lari ke atas input ke sistem, pemprosesan dan output bagi memastikan keselamatan dan integriti data; iii. Aplikasi perlu melalui semakan pensahihan (validation)
untuk mengelakkan sebarang kerosakan maklumat akibat kesilapan pemprosesan atau perlakuan yang disengajakan;
iv. Semua sistem yang dibangunkan sama ada secara dalaman atau luaran hendaklah diuji terlebih dahulu bagi memastikan sistem berkenaan memenuhi keperluan keselamatan yang telah ditetapkan sebelum digunakan; dan
v. Semua data yang digunakan perlu dikawal semasa dan selepas proses uji lari sistem.
b. Pensahihan Data Input dan Output
Perkara yang perlu dipatuhi adalah seperti berikut:
i. Data input bagi aplikasi perlu disemak kesahihannya bagi memastikan data yang dimasukkan betul dan bersesuaian; dan
ii. Data output daripada aplikasi perlu disemak kesahihannya bagi memastikan maklumat yang dihasilkan adalah tepat.
7.8.2 Kawalan Kriptografi Objektif
Melindungi kerahsiaan, integriti dan kesahihan maklumat melalui kawalan kriptografi.
a. Enkripsi
Maklumat sensitif atau maklumat rahsia rasmi hendaklah dikawal dengan kaedah enkripsi.
b. Tanda Tangan Digital
Transaksi maklumat sensitif atau maklumat rahsia rasmi secara elektronik hendaklah menggunakan tanda tangan digital.
c. Pengurusan Public Key Infrastructure (PKI)
Pengurusan PKI hendaklah dilakukan dengan selamat dan berkesan bagi melindungi kunci berkenaan daripada diubah, dimusnah atau didedahkan sepanjang tempoh sah kunci tersebut.
7.8.3 Keselamatan Fail Sistem Objektif
Memastikan keselamatan fail sistem terjamin. Kawalan Fail Sistem
Perkara yang perlu dipatuhi adalah seperti berikut:
i. Pengemaskinian fail sistem adalah tanggungjawab Pentadbir Sistem ICT dan perlu mematuhi prosedur yang telah ditetapkan;
ii. Kod sumber atau atur cara sistem yang telah dikemas kini hanya boleh digunakan selepas diuji; dan
iii. Capaian ke atas kod sumber atau atur cara sistem perlu dikawal.
7.8.4 Keselamatan dalam Penyelenggaraan Sistem dan Aplikasi Objektif
Menjaga dan menjamin keselamatan sistem aplikasi dan maklumat dalam sebarang keadaan.
a. Prosedur Kawalan Perubahan
Perkara yang perlu dipatuhi adalah seperti berikut:
i. Sistem dan aplikasi hendaklah dikawal, diuji, direkod dan disahkan sebelum digunapakai jika berlaku sebarang perubahan;
ii. Aplikasi kritikal perlu dikaji semula dan diuji jika berlaku sebarang perubahan kepada sistem pengoperasian; iii. Sebarang perubahan ke atas pakej perisian hendaklah
dikawal dan dihadkan mengikut keperluan sahaja;dan iv. Sebarang ruang dan peluang kebocoran maklumat
hendaklah dihalang.
b. Pembangunan Perisian oleh Pihak Ketiga
Perkara yang perlu dipatuhi adalah seperti berikut :
i. Pembangunan perisian oleh pihak ketiga perlu diselia dan dipantau;
ii. Kod sumber (source code) bagi semua aplikasi dan perisian yang dibangunkan khusus untuk UPM adalah menjadi hak milik UPM; dan
iii. Pihak ketiga perlu menandatangani Non-disclosure Agreement (NDA) sebelum pembangunan aplikasi.