DASAR KESELAMATAN ICT (DKICT) UNIMAS UNIMAS ICT SECURITY POLICY VERSI : 5.0

(1)

DASAR

KESELAMATAN

ICT

(DKICT)

UNIMAS

ICT

SECURITY

POLICY

VERSI : 5.0

(2)

DASAR KESELAMATAN ICT (DKICT)

Versi 5.0 ii

REKOD PINDAAN DOKUMEN TARIKH NO.

KELUARAN/ PINDAAN

BAB/ MUKA

SURAT KETERANGAN PINDAAN

14 November 2012 1.0 - Baharu

5 Mei 2013 2.0 - Rujuk Borang Cadangan Pindaan

Dokumen PKTMK Bil 1/Tahun 2013

10 September 2013 3.0 - Rujuk Borang Cadangan Pindaan

14 Julai 2015 4.0 - Rujuk Borang Cadangan Pindaan

Dokumen PKTMK Bil 23/2015

Dokumen PKTMK Bil 5/2015

8 Februari 2017 5.0 - Rujuk Borang Cadangan Pindaan

(3)

Versi 5.0 iii

KANDUNGAN

PENGENALAN ... 1

OBJEKTIF ... 1

PERNYATAAN DASAR ... 2

PRINSIP-PRINSIP ... 3

BIDANG 01 PEMBANGUNAN DAN PENYELENGGARAAN DASAR ... 6

0101 Dasar Keselamatan ICT (DKICT) ... 6

010101 Perlaksanaan Dasar ... 6

010102 Penyebaran Dasar ... 6

010103 Penyelenggaraan Dasar ... 7

010104 Pengecualian Dasar ... 7

BIDANG 02 ORGANISASI KESELAMATAN ... 8

0201 Infrastruktur Organisasi Dalaman ... 8

020101 Ketua Pegawai Maklumat (CIO) ... 8

020102 Ketua Pegawai Teknologi Maklumat (CTO) ... 9

020103 Pegawai Keselamatan ICT (ICTSO) ... 9

020104 Pengurus ICT ...10

020105 Pentadbir Sistem ICT ...11

020106 Pengguna ...12

020107 Pasukan Tindak Balas Insiden Keselamatan ICT UNIMAS ...13

(UNIMAS-CERT) ...13

020108 Jawatankuasa Pemandu ICT UNIMAS ...14

0202 Pihak Ketiga ...14

020201 Keperluan Keselamatan Kontrak Dengan Pihak Ketiga ...15

BIDANG 03 PENGURUSAN ASET ...16

0301 Akauntabiliti Aset ...16

030101 Aset Alih ICT ...16

0302 Pengelasan dan Pengendalian Maklumat ...17

030201 Pengelasan Maklumat ...17

030202 Pengendalian Maklumat ...18

BIDANG 04 KESELAMATAN SUMBER MANUSIA ...20

0401 Keselamatan Sumber Manusia Dalam Tugas Harian ...20

040101 Sebelum Pengesahan dalam Perkhidmatan ...20

040102 Dalam Perkhidmatan ...20

(4)

Versi 5.0 iv

BIDANG 05 KESELAMATAN FIZIKAL DAN PERSEKITARAN ...23

0501 Keselamatan Kawasan ...23

050101 Kawalan Kawasan ...23

050102 Kawalan Masuk Fizikal ...24

050103 Kawasan Larangan...25

0502 Keselamatan Peralatan ...26

050201 Aset ICT ...26

050202 Media Storan ...29

050203 Media Perisian dan Aplikasi ...30

050204 Penyelenggaraan Perkakasan ...31

050205 Peralatan di Luar Premis ...32

050206 Pelupusan Perkakasan ICT...32

0503 Keselamatan Persekitaran ...35 050301 Kawalan Persekitaran ...35 050302 Bekalan Kuasa ...36 050303 Kabel Data ...37 050304 Prosedur Kecemasan ...38 0504 Keselamatan Dokumen ...38 050401 Dokumen ...38

BIDANG 06 PENGURUSAN OPERASI DAN KOMUNIKASI ...40

0601 Pengurusan Prosedur Operasi ...40

060101 Pengendalian Prosedur ...40

060102 Kawalan Perubahan ...41

060103 Pengasingan Tugas dan Tanggungjawab ...41

0602 Pengurusan Penyampaian Perkhidmatan Pihak Ketiga ...42

060201 Perkhidmatan Penyampaian ...42

0603 Perancangan dan Penerimaan Sistem ...43

060301 Perancangan Kapasiti ...43

0604 Perisian Berbahaya ...44

060401 Perlindungan dari Perisian Berbahaya ...45

060402 Perlindungan dari Mobile Code ...46

0605 Pengurusan Backup ...46

060501 Backup & Recovery ...46

0606 Pengurusan Rangkaian ...47

060601 Kawalan ...48

(5)

Versi 5.0 v

060701 Penghantaran dan Pemindahan ...49

060702 Keselamatan Sistem Dokumentasi ...50

0608 Pengurusan Pertukaran/Perkongsian Maklumat dan Perisian ...50

060801 Pertukaran/Perkongsian Maklumat dan Perisian ...50

060802 Pengurusan Mel Elektronik (E-mel) ...51

0609 Perkhidmatan E-Dagang (Electronic Commerce Services) ...51

060901 E-Dagang ...52

060902 Maklumat Umum ...52

0610 Pemantauan ...53

061001 Pemantauan Aktiviti ICT ...53

061002 Jejak Audit ...54

061003 Log Sistem ...55

BIDANG 07 KAWALAN CAPAIAN ...57

0701 Dasar Kawalan Capaian ...57

070101 Keperluan Kawalan Capaian ...57

0702 Pengurusan Capaian Pengguna ...58

070201 Akaun Pengguna ...58

070202 Hak Capaian ...59

070203 Pengurusan Kata Laluan ...59

070204 Clear Desk dan Clear Screen ...60

0703 Kawalan Capaian Rangkaian ...61

070301 Capaian Rangkaian ...61

070302 Capaian Internet ...62

0704 Kawalan Capaian Sistem Pengoperasian ...64

070401 Capaian Sistem Pengoperasian ...64

0705 Kawalan Capaian Aplikasi dan Maklumat ...65

070501 Capaian Aplikasi dan Maklumat ...66

0706 Peralatan Mudah Alih dan Kerja di Luar Pejabat ...67

070601 Peralatan Mudah Alih ...67

070602 Prosedur Kerja di Luar Pejabat ...68

BIDANG 08 PEROLEHAN, PEMBANGUNAN DAN PENYELENGGARAAN SISTEM 70 0801 Keselamatan Dalam Membangunkan Sistem dan Aplikasi ...70

080101 Keperluan Keselamatan Sistem Maklumat ...70

080102 Pengesahan Data Input dan Output ...71

0802 Kawalan Kriptografi ...71

(6)

Versi 5.0 vi

080202 Pengurusan Infrastruktur Kunci Awam (PKI) ...72

0803 Keselamatan Sistem Fail ...72

080301 Kawalan Sistem Fail ...72

0804 Keselamatan Dalam Proses Pembangunan dan Sokongan ...73

080401 Prosedur Kawalan Perubahan ...73

080402 Pembangunan Perisian Secara Outsource ...74

0805 Kawalan Teknikal Keterdedahan (Vulnerability) ...75

080501 Kawalan dari Ancaman Teknikal ...75

BIDANG 09 PENGURUSAN PENGENDALIAN INSIDEN KESELAMATAN MAKLUMAT…….. ...76

0901 Mekanisme Pelaporan Insiden Keselamatan Maklumat ...76

090101 Mekanisme Pelaporan ...76

0902 Pengurusan Maklumat Insiden Keselamatan Maklumat ...77

090201 Prosedur Pengurusan Maklumat Insiden Keselamatan ...78

BIDANG 10 PENGURUSAN KESINAMBUNGAN PERKHIDMATAN ...79

1001 Dasar Kesinambungan Perkhidmatan ...79

100101 Pelan Kesinambungan Perkhidmatan ...79

BIDANG 11 PEMATUHAN ...82

1101 Pematuhan dan Keperluan Perundangan ...82

110101 Pematuhan Dasar ...82

110102 Pematuhan dengan Dasar, Piawaian dan Keperluan Teknikal ...83

110103 Pematuhan Keperluan Audit ...83

110104 Keperluan Perundangan ...84

110105 Pelanggaran Dasar ...85

GLOSARI ...86

Lampiran 1: Surat Akuan Pematuhan Dasar Keselamatan ICT UNIMAS ...90

Lampiran 2: Unit Keselamatan UNIMAS (S.O.P 1/18)...91

Lampiran 3: UNIMAS-PKTMK-SOP 2.4.10 Prosedur Capaian Masuk Ke Dalam Pusat Data ...92

Lampiran 4: Borang Kebenaran Membawa Keluar/Masuk Harta Benda/Peralatan Hak Milik UNIMAS ...93

Lampiran 5: KEW.PA-2 Daftar Harta Modal ...94

(7)

Versi 5.0 vii

Lampiran 7: KEW.PA-17 Permohonan/Laporan Jawatankuasa Pemeriksa Pelupusan Aset Alih ...96

(8)

Versi 5.0 1

PENGENALAN

Dasar Keselamatan ICT (DKICT) UNIMAS mengandungi peraturan-peraturan yang mesti dibaca dan dipatuhi dalam menggunakan aset Teknologi Maklumat dan Komunikasi (ICT). Dasar ini juga menerangkan kepada semua pengguna mengenai tanggungjawab dan peranan mereka dalam melindungi aset ICT UNIMAS.

OBJEKTIF

DKICT UNIMAS diwujudkan untuk menjamin kesinambungan urusan UNIMAS dengan meminimumkan kesan insiden keselamatan ICT. Dasar ini juga bertujuan untuk memudahkan perkongsian maklumat sesuai dengan keperluan operasi UNIMAS. Ini hanya boleh dicapai dengan memastikan semua aset ICT dilindungi.

Manakala, objektif utama Keselamatan ICT UNIMAS ialah seperti berikut:

(a) Memastikan kelancaran operasi UNIMAS dan meminimumkan kerosakan atau kemusnahan,

(b) Melindungi kepentingan pihak-pihak yang bergantung kepada sistem maklumat dari kesan kegagalan atau kelemahan dari segi kerahsiaan, integriti, kebolehsediaan, kesahihan maklumat dan komunikasi; dan

(9)

Versi 5.0 2

PERNYATAAN DASAR

Keselamatan ditakrifkan sebagai keadaan yang bebas daripada ancaman dan risiko yang tidak boleh diterima. Penjagaan keselamatan adalah suatu proses yang berterusan. Ia melibatkan aktiviti berkala yang mesti dilakukan dari semasa ke semasa untuk menjamin keselamatan kerana ancaman dan kelemahan sentiasa berubah.

Keselamatan ICT adalah bermaksud keadaan di mana segala urusan menyedia dan membekalkan perkhidmatan yang berasaskan kepada sistem ICT berjalan secara berterusan tanpa gangguan yang boleh menjejaskan keselamatan. Keselamatan ICT berkait rapat dengan perlindungan aset ICT.

Terdapat empat (4) komponen asas keselamatan ICT iaitu:

1. Melindungi maklumat rahsia rasmi dan maklumat rasmi kerajaan dari capaian tanpa kuasa yang sah,

2. Menjamin setiap maklumat adalah tepat dan sempurna,

3. Memastikan ketersediaan maklumat apabila diperlukan oleh pengguna; dan

4. Memastikan akses kepada hanya pengguna-pengguna yang sah atau penerimaan maklumat dari sumber yang sah.

DKICT UNIMAS merangkumi perlindungan ke atas semua bentuk maklumat elektronik bertujuan untuk menjamin keselamatan maklumat tersebut dan kebolehsediaan kepada semua pengguna yang dibenarkan.

Ciri-ciri utama keselamatan maklumat adalah seperti berikut:

1. Kerahsiaan - Maklumat tidak boleh didedahkan sewenang-wenangnya atau dibiarkan diakses tanpa kebenaran,

(10)

Versi 5.0 3

2. Integriti - Data dan maklumat hendaklah tepat, lengkap dan kemas kini. Ia hanya boleh diubah dengan cara yang dibenarkan,

3. Tidak Boleh Disangkal - Punca data dan maklumat hendaklah dari punca yang sah dan tidak boleh disangkal,

4. Kesahihan - Data dan maklumat hendaklah dijamin kesahihannya; dan

5. Ketersediaan - Data dan maklumat hendaklah boleh diakses pada bila-bila masa.

Selain dari itu, langkah-langkah ke arah menjamin keselamatan ICT hendaklah bersandarkan kepada penilaian yang bersesuaian dengan perubahan semasa terhadap kelemahan semula jadi aset ICT, ancaman yang wujud akibat daripada kelemahan tersebut, risiko yang mungkin timbul dan langkah-langkah pencegahan sesuai yang boleh diambil untuk menangani risiko berkenaan.

PRINSIP-PRINSIP

Prinsip-prinsip yang menjadi asas kepada DKICT UNIMAS dan perlu dipatuhi adalah seperti berikut:

1. Akses atas dasar perlu mengetahui

Akses terhadap penggunaan aset ICT hanya diberikan untuk tujuan spesifik dan dihadkan kepada pengguna tertentu atas dasar “perlu mengetahui” sahaja. Ini bermakna akses hanya akan diberikan sekiranya peranan atau fungsi pengguna memerlukan maklumat tersebut. Pertimbangan untuk akses adalah berdasarkan kategori maklumat seperti yang dinyatakan di dalam dokumen Arahan Keselamatan perenggan 53, muka surat 15.

(11)

Versi 5.0 4

2. Hak akses minimum

Hak akses pengguna hanya diberi pada tahap set yang paling minimum iaitu untuk membaca dan/atau melihat sahaja. Kelulusan adalah perlu untuk membolehkan pengguna mewujud, menyimpan, mengemas kini, mengubah atau membatalkan sesuatu maklumat. Hak akses perlu dikaji dari semasa ke semasa berdasarkan kepada peranan dan tanggungjawab pengguna/bidang tugas.

3. Akauntabiliti

Semua pengguna adalah dipertanggungjawabkan ke atas semua tindakannya terhadap aset ICT. Tanggungjawab ini perlu dinyatakan dengan jelas sesuai dengan tahap sensitiviti sesuatu sumber ICT. Untuk menentukan tanggungjawab ini dipatuhi, sistem ICT hendaklah mampu menyokong kemudahan mengesan atau mengesah bahawa pengguna sistem maklumat boleh dipertanggungjawabkan atas tindakan mereka.

Akauntabiliti atau tanggungjawab pengguna termasuklah:

i. Menghalang pendedahan maklumat kepada pihak yang tidak dibenarkan, ii. Memeriksa maklumat dan menentukan ianya tepat dan lengkap dari semasa

ke semasa,

iii. Menentukan maklumat sedia untuk digunakan, iv. Menjaga kerahsiaan kata laluan,

v. Mematuhi standard, prosedur, langkah dan garis panduan keselamatan yang ditetapkan,

vi. Memberi perhatian kepada maklumat terperingkat terutama semasa pewujudan, pemprosesan, penyimpanan, penghantaran, penyampaian,

(12)

Versi 5.0 5

pertukaran dan pemusnahan; dan

vii. Menjaga kerahsiaan langkah-langkah keselamatan ICT dari diketahui umum.

4. Pengasingan

Tugas mewujud, memadam, kemas kini, mengubah dan mengesahkan data perlu diasingkan bagi mengelakkan daripada capaian yang tidak dibenarkan serta melindungi aset ICT daripada kesilapan, kebocoran maklumat terperingkat atau di manipulasi. Pengasingan juga merangkumi tindakan memisahkan antara kumpulan operasi dan rangkaian;

5. Pengauditan

Pengauditan adalah tindakan untuk mengenal pasti insiden berkaitan keselamatan atau mengenal pasti keadaan yang mengancam keselamatan. Ia membabitkan pemeliharaan semua rekod berkaitan tindakan keselamatan. Dengan itu, aset ICT seperti komputer, pelayan, router, firewall dan rangkaian hendaklah ditentukan dapat menjana dan menyimpan log tindakan keselamatan atau audit trail.

6. Pematuhan

DKICT UNIMAS hendaklah dibaca, difahami dan dipatuhi bagi mengelakkan sebarang bentuk kelalaian yang boleh membawa ancaman kepada keselamatan negara.

(13)

Versi 5.0 6

BIDANG 01 PEMBANGUNAN DAN PENYELENGGARAAN DASAR

0101 Dasar Keselamatan ICT (DKICT)

Objektif:

Menerangkan hala tuju dan sokongan pengurusan terhadap keselamatan maklumat selaras dengan keperluan UNIMAS dan perundangan yang berkaitan.

010101 Perlaksanaan Dasar

Perkara Tanggungjawab

Pelaksanaan dasar ini akan dijalankan oleh Naib Canselor UNIMAS selaku Pengerusi Jawatankuasa Pemandu ICT UNIMAS. Jawatankuasa ini terdiri daripada TNC, Pengarah CITDS, Bendahari, Pendaftar, Pengarah Bahagian Keselamatan, Ketua Pustakawan, Dekan, Pengarah Bahagian Canselori, Pengarah Pejabat Pembangunan, Pengarah UNIMAS Innovation dan ICTSO.

Naib Canselor UNIMAS

010102 Penyebaran Dasar

(14)

Versi 5.0 7

(termasuk staf, pembekal, pakar runding, pelajar dan lain-lain pihak yang berurusan dengan UNIMAS).

010103 Penyelenggaraan Dasar

DKICT UNIMAS adalah tertakluk kepada semakan dan pindaan dari semasa ke semasa termasuk kawalan keselamatan, prosedur dan proses selaras dengan perubahan teknologi, aplikasi, prosedur, perundangan, dasar kerajaan dan kepentingan sosial.

Berikut adalah prosedur yang berhubung dengan penyelenggaraan DKICT UNIMAS:

(a) Kenal pasti dan tentukan perubahan yang diperlukan,

(b) Pembentangan dan persetujuan Mesyuarat Jawatankuasa Pemandu ICT UNIMAS,

(c) Maklum kepada semua pengguna perubahan yang telah dipersetujui oleh Jawatankuasa Pemandu ICT UNIMAS; dan (d) Mengkaji semula dasar sekurang-kurangnya sekali setahun

atau mengikut keperluan semasa.

ICTSO

010104 Pengecualian Dasar

DKICT UNIMAS adalah terpakai kepada semua pengguna ICT UNIMAS tanpa ada sebarang pengecualian.

(15)

Versi 5.0 8

BIDANG 02 ORGANISASI KESELAMATAN

0201 Infrastruktur Organisasi Dalaman

Objektif:

Menerangkan peranan dan tanggungjawab individu yang terlibat dengan lebih jelas dan teratur dalam mencapai objektif DKICT UNIMAS.

020101 Ketua Pegawai Maklumat (CIO)

Ketua Pegawai Maklumat (CIO) bagi UNIMAS adalah berperanan dan

bertanggungjawab dalam perkara-perkara seperti berikut:

(a) Memastikan semua pengguna memahami dan mematuhi DKICT UNIMAS,

(b) Memastikan semua keperluan organisasi (sumber kewangan, sumber manusia dan perlindungan keselamatan) adalah mencukupi; dan

(c) Memastikan penilaian risiko dan program keselamatan ICT dilaksanakan seperti yang ditetapkan di dalam DKICT UNIMAS.

(16)

Versi 5.0 9

020102 Ketua Pegawai Teknologi Maklumat (CTO)

Ketua Pegawai Teknologi Maklumat (CTO) bagi UNIMAS ialah Pengarah CITDS. Peranan dan tanggungjawab CTO adalah seperti berikut:

(a) Menyelaras keseluruhan program-program keselamatan ICT UNIMAS,

(b) Menguatkuasakan pelaksanaan DKICT UNIMAS,

(c) Mengesahkan garis panduan, prosedur dan tatacara selaras dengan keperluan DKICT UNIMAS,

(d) Melaporkan insiden keselamatan ICT kepada CIO; dan

(e) Bertanggungjawab ke atas perkara-perkara yang berkaitan dengan keselamatan ICT UNIMAS.

CTO

020103 Pegawai Keselamatan ICT (ICTSO)

Pegawai Keselamatan ICT (ICTSO) bagi UNIMAS ialah Pegawai Teknologi Maklumat (PTM) Gred 48 dan ke atas, CITDS, UNIMAS. Peranan dan tanggungjawab ICTSO yang dilantik adalah seperti berikut:

(a) Mengurus keseluruhan program-program keselamatan ICT UNIMAS,

(17)

Versi 5.0 10

(b) Memberi penerangan dan pendedahan berkenaan DKICT UNIMAS kepada semua pengguna,

(c) Mewujudkan garis panduan, prosedur dan tatacara selaras dengan keperluan DKICT UNIMAS,

(d) Menjalankan pengurusan risiko,

(e) Menjalankan audit, mengkaji semula, merumus tindak balas berdasarkan hasil penemuan keselamatan ICT dan menyediakan laporan mengenainya kepada Pengurusan UNIMAS,

(f) Memberi amaran terhadap kemungkinan berlakunya ancaman berbahaya seperti virus dan memberi khidmat nasihat serta menyediakan langkah-langkah perlindungan yang bersesuaian, (g) Melaporkan insiden keselamatan ICT kepada Pasukan Tindak

Balas Insiden Keselamatan ICT UNIMAS (UNIMAS-CERT), dan memaklumkannya kepada CTO,

(h) Bekerjasama dengan semua pihak yang berkaitan dalam mengenalpasti punca ancaman atau insiden keselamatan ICT dan memperakukan langkah-langkah baikpulih dengan segera, (i) Menyedia dan melaksanakan program-program kesedaran

mengenai keselamatan ICT; dan

(j) Menilai teknologi yang bersesuaian dan mencadangkan penyelesaian terhadap keperluan keselamatan ICT.

020104 Pengurus ICT

(18)

Versi 5.0 11

Pengurus ICT bagi UNIMAS ialah Pegawai Teknologi Maklumat (PTM) Gred 44/41 di Pusat Pembangunan & Khidmat Teknologi Maklumat , UNIMAS yang telah berkhidmat melebihi tempoh 3 tahun perkhidmatan di UNIMAS.

Peranan dan tanggungjawab Pengurus ICT adalah seperti berikut: (a) Mengkaji semula dan melaksanakan kawalan keselamatan ICT

selaras dengan keperluan UNIMAS,

(b) Menentukan kawalan akses pengguna terhadap aset ICT UNIMAS,

(c) Melaporkan sebarang perkara atau penemuan mengenai keselamatan ICT kepada ICTSO; dan

(d) Menyimpan rekod, bahan bukti dan laporan terkini mengenai ancaman keselamatan ICT UNIMAS.

Pengurus ICT

020105 Pentadbir Sistem ICT

Pentadbir Sistem ICT bagi UNIMAS ialah Pegawai Teknologi Maklumat atau Penolong Pegawai Teknologi Maklumat, Penolong Jurutera atau Juruteknik Komputer di UNIMAS.

Peranan dan tanggungjawab Pentadbir Sistem ICT adalah seperti berikut:

(a) Mengambil tindakan yang bersesuaian dengan segera apabila dimaklumkan mengenai staf yang berhenti, bertukar, bercuti

Pentadbir Sistem ICT

(19)

Versi 5.0 12

panjang, berkursus panjang atau berlaku perubahan dalam bidang tugas,

(b) Menentukan ketepatan dan kesempurnaan sesuatu tahap capaian berdasarkan arahan Pemilik Sistem maklumat sebagaimana yang telah ditetapkan di dalam DKICT UNIMAS, (c) Memantau aktiviti capaian harian sistem aplikasi pengguna, (d) Mengenalpasti aktiviti-aktiviti tidak normal seperti

pencerobohan dan pengubahsuaian data tanpa kebenaran dan membatalkan atau memberhentikannya dengan serta merta, (e) Menganalisis dan menyimpan rekod jejak audit,

(f) Menyediakan laporan mengenai aktiviti capaian secara berkala; dan

(g) Bertanggungjawab memantau setiap aset ICT yang diagihkan kepada pengguna seperti komputer peribadi, komputer riba, pencetak, pengimbas dan sebagainya di dalam keadaan yang baik.

020106 Pengguna

Pengguna bagi UNIMAS terdiri daripada semua staf UNIMAS yang merangkumi staf tetap/kontrak/sambilan/dipinjamkan/sementara dan Pelajar.

Pengguna mempunyai peranan dan tanggungjawab seperti berikut: (a) Membaca, memahami dan mematuhi DKICT UNIMAS,

(b) Mengetahui dan memahami implikasi keselamatan ICT kesan

(20)

Versi 5.0 13

dari tindakannya,

(c) Lulus tapisan keselamatan,

(d) Melaksanakan prinsip-prinsip Dasar Keselamatan ICT UNIMAS dan menjaga kerahsiaan maklumat UNIMAS,

(e) Melaporkan sebarang aktiviti yang mencurigakan atau mengancam keselamatan ICT kepada ICTSO dengan segera, (f) Menghadiri program-program kesedaran mengenai keselamatan

ICT

020107 Pasukan Tindak Balas Insiden Keselamatan ICT UNIMAS (UNIMAS-CERT)

Perkara Tanggungjawab UNIMAS-CERT dipengerusikan oleh ICTSO. Jawatankuasa ini terdiri

daripada ketua-ketua unit yang terlibat dalam pembangunan sistem aplikasi, rangkaian, Pusat Data, sokongan teknikal dan wakil skim F (Gred 29 ke atas) di PTj.

Peranan dan tanggungjawab UNIMAS-CERT adalah seperti berikut: (a) Menerima dan mengesan aduan keselamatan ICT serta menilai

tahap dan jenis insiden,

(b) Merekod dan menjalankan siasatan awal insiden yang diterima, (c) Menangani tindak balas (response) insiden keselamatan ICT

dan mengambil tindakan baik pulih,

(d) Menghubungi dan melapor insiden yang berlaku kepada KPT-CERT (jika perlu),

(e) Menasihati pihak berkaitan mengambil tindakan pemulihan dan pengukuhan,

(21)

Versi 5.0 14

(f) Menyebarkan maklumat berkaitan pengukuhan keselamatan ICT kepada Pengguna; dan

(g) Menjalankan penilaian untuk memastikan keselamatan ICT pada tahap yang baik dan mengambil tindakan pemulihan atau pengukuhan bagi meningkatkan tahap keselamatan infrastruktur ICT.

020108 Jawatankuasa Pemandu ICT UNIMAS

Perkara Tanggungjawab Jawatankuasa Pemandu ICT UNIMAS adalah jawatankuasa yang

bertanggungjawab sebagai penasihat dan pemangkin dalam merumuskan rancangan dan strategi ICT UNIMAS.

Peranan dan tanggungjawab Jawatankuasa Pemandu ICT UNIMAS adalah seperti berikut:

a) Memperakukan/meluluskan dokumen DKICT UNIMAS, b) Memperaku dasar, garis panduan dan prosedur ICT UNIMAS, c) Memastikan DKICT UNIMAS selaras dengan dasar-dasar ICT

kerajaan semasa,

Naib Canselor

(22)

Versi 5.0 15

Objektif:

Menjamin keselamatan semua aset ICT yang digunakan oleh pihak ketiga (Pembekal, Pakar Runding, Pihak Berkepentingan, Agensi Luar dan lain-lain).

020201 Keperluan Keselamatan Kontrak Dengan Pihak Ketiga

Ini bertujuan memastikan penggunaan maklumat dan kemudahan proses maklumat oleh pihak ketiga dikawal dengan rapi.

Perkara yang perlu dipatuhi termasuk yang berikut:

(a) Membaca, memahami dan mematuhi DKICT UNIMAS,

(b) Mengenal pasti risiko keselamatan maklumat dan kemudahan pemprosesan maklumat serta melaksanakan kawalan yang sesuai sebelum memberi kebenaran keatas capaian maklumat, (c) Mengenal pasti keperluan keselamatan sebelum memberi

kebenaran capaian atau penggunaan kepada pihak ketiga, (d) Akses kepada aset ICT UNIMAS perlu berlandaskan kepada

perjanjian kontrak,

(e) Memastikan semua syarat keselamatan dinyatakan dengan jelas dalam perjanjian dengan pihak ketiga. Perkara-perkara berikut hendaklah dimasukkan di dalam perjanjian yang dimeterai.

i. Dasar Keselamatan ICT (DKICT) UNIMAS,

Naib Canselor,

CIO, CTO,

ICTSO, Pengurus ICT, Pentadbir Sistem dan Pihak Ketiga

(23)

Versi 5.0 16

ii. Non-Disclosure Agreement (NDA); dan

(f) Menandatangani Surat Akuan Pematuhan Dasar Keselamatan ICT UNIMAS seperti di Lampiran 1.

BIDANG 03 PENGURUSAN ASET

0301 Akauntabiliti Aset

Objektif:

Memberi dan menyokong perlindungan yang bersesuaian ke atas semua aset ICT UNIMAS.

030101 Aset Alih ICT

Ini bertujuan memastikan semua aset alih ICT diberi kawalan dan perlindungan yang sesuai oleh pemilik atau pemegang amanah masing-masing.

Perkara yang perlu dipatuhi adalah seperti berikut:

(a) Memastikan semua aset alih ICT dikenalpasti, didaftarkan dan maklumatnya direkod dan sentiasa dikemaskini dalam KEW.PA-2 bagi borang daftar harta modal (Rujuk Lampiran 5) dan KEW.PA-3 bagi inventori (Rujuk Lampiran 6),

Pentadbir Sistem dan Pengguna (tidak termasuk Pelajar)

(24)

Versi 5.0 17

(b) Memastikan semua aset alih ICT mempunyai pemilik dan dikendalikan oleh pengguna yang dibenarkan sahaja,

(c) Memastikan Pegawai Aset PTj mengurus dan mengawal penempatan aset alih ICT yang ditempatkan di PTj masing-masing,

(d) Peraturan bagi pengendalian aset alih ICT hendaklah dikenal pasti, didokumen dan dilaksanakan,

(e) Setiap pengguna adalah bertanggung jawab ke atas semua aset alih ICT dibawah kawalannya serta mematuhi UNIMAS ICT Policy; dan

(f) Mematuhi Tatacara Pengurusan Aset Alih UNIMAS.

0302 Pengelasan dan Pengendalian Maklumat

Objektif:

Memastikan setiap maklumat atau aset alih ICT diberikan tahap perlindungan yang bersesuaian.

030201 Pengelasan Maklumat

Maklumat hendaklah dikelaskan atau dilabelkan sewajarnya oleh staf yang diberi kuasa mengikut dokumen Arahan Keselamatan Kerajaan

Semua (tidak termasuk Pelajar)

(25)

Versi 5.0 18

Malaysia.

Setiap maklumat yang dikelaskan mestilah mempunyai peringkat keselamatan sebagaimana yang telah ditetapkan di dalam dokumen Arahan Keselamatan seperti berikut:

(a) Rahsia Besar, (b) Rahsia, (c) Sulit; atau (d) Terhad.

030202 Pengendalian Maklumat

Aktiviti pengendalian maklumat seperti mengumpul, memproses, menyimpan, menghantar, menyampai, menukar dan memusnah hendaklah mengambil kira langkah-langkah keselamatan berikut: (a) Menghalang pendedahan maklumat kepada pihak yang tidak

dibenarkan,

(b) Memeriksa maklumat dan menentukan ia tepat dan lengkap dari semasa ke semasa,

(c) Menentukan maklumat sedia untuk digunakan, (d) Menjaga kerahsiaan kata laluan,

(e) Mematuhi standard, prosedur, langkah dan garis panduan keselamatan yang ditetapkan,

(f) Memberi perhatian kepada maklumat terperingkat terutama semasa pewujudan, pemprosesan, penyimpanan, penghantaran, penyampaian, pertukaran dan pemusnahan; dan

(26)

Versi 5.0 19

(g) Menjaga kerahsiaan langkah-langkah keselamatan maklumat ICT dari diketahui umum.

(27)

Versi 5.0 20

BIDANG 04 KESELAMATAN SUMBER MANUSIA

0401 Keselamatan Sumber Manusia Dalam Tugas Harian

Objektif:

Memastikan semua sumber manusia yang terlibat termasuk staf UNIMAS dan pihak ketiga memahami tanggungjawab dan peranan serta meningkatkan pengetahuan dalam keselamatan aset ICT. Semua pihak berkenaan hendaklah mematuhi terma dan syarat perkhidmatan serta peraturan semasa yang berkuatkuasa.

040101 Sebelum Pengesahan dalam Perkhidmatan

Perkara-perkara yang mesti dipatuhi termasuk yang berikut:

(a) Mematuhi semua terma dan syarat perkhidmatan yang ditawarkan dan peraturan semasa yang berkuatkuasa berdasarkan perjanjian yang telah ditetapkan.

040102 Dalam Perkhidmatan

(28)

Versi 5.0 21

Perkara-perkara yang perlu dipatuhi termasuk yang berikut:

(a) Memastikan staf UNIMAS serta pihak ketiga yang berkepentingan mengurus keselamatan aset ICT mestilah berdasarkan perundangan dan peraturan yang ditetapkan oleh UNIMAS,

(b) Memastikan latihan kesedaran dan yang berkaitan mengenai pengurusan keselamatan aset ICT diberi kepada pengguna ICT UNIMAS secara berterusan dalam melaksanakan tugas-tugas dan tanggungjawab mereka, dan sekiranya perlu diberi kepada pihak ketiga yang berkepentingan dari semasa ke semasa, (c) Memastikan adanya proses tindakan disiplin dan/atau

undang-undang ke atas staf UNIMAS serta pihak ketiga yang berkepentingan sekiranya berlaku perlanggaran dengan perundangan dan peraturan ditetapkan oleh UNIMAS; dan (d) Memantapkan pengetahuan berkaitan dengan penggunaan aset

ICT bagi memastikan setiap kemudahan ICT digunakan dengan cara dan kaedah yang betul demi menjamin kepentingan keselamatan ICT. Merujuk kepada Bahagian Pembangunan Modal Insan, UNIMAS untuk sebarang keperluan kursus dan latihan teknikal yang berkaitan.

040103 Bertukar Atau Tamat Perkhidmatan

(a) Memastikan semua aset ICT dikembalikan kepada UNIMAS mengikut peraturan dan/atau terma perkhidmatan yang

(29)

Versi 5.0 22

ditetapkan; dan

(b) Membatalkan atau menarik balik semua kebenaran capaian ke atas maklumat dan kemudahan ICT mengikut peraturan yang ditetapkan oleh UNIMAS dan/atau terma perkhidmatan.

(30)

Versi 5.0 23

BIDANG 05 KESELAMATAN FIZIKAL DAN PERSEKITARAN

0501 Keselamatan Kawasan

Objektif:

Melindungi premis dan maklumat daripada sebarang bentuk pencerobohan, ancaman, kerosakan serta akses yang tidak dibenarkan.

050101 Kawalan Kawasan

Ini bertujuan untuk menghalang akses, kerosakan dan gangguan secara fizikal terhadap premis dan maklumat agensi.

(a) Kawasan keselamatan fizikal hendaklah dikenal pasti dengan jelas. Lokasi dan keteguhan keselamatan fizikal hendaklah bergantung kepada keperluan untuk melindungi aset dan hasil penilaian risiko,

(b) Menggunakan keselamatan perimeter (halangan seperti dinding, pagar kawalan, pengawal keselamatan) untuk melindungi kawasan yang mengandungi maklumat dan kemudahan ICT,

Pengarah Bahagian Keselamatan, Ketua OSHA, CIO, CTO dan ICTSO

(31)

Versi 5.0 24

(c) Memasang alat penggera atau kamera/CCTV, (d) Menghadkan jalan keluar masuk,

(e) Mengadakan kawalan di kaunter perkhidmatan,

(f) Menyediakan tempat atau bilik khas untuk pelawat-pelawat, (g) Menyediakan staging room untuk kerja-kerja penerimaan,

pemasangan dan konfigurasi aset ICT.

(h) Mewujudkan perkhidmatan kawalan keselamatan di pintu masuk,

(i) Melindungi kawasan terhad melalui kawalan pintu masuk yang bersesuaian bagi memastikan staf yang diberi kebenaran sahaja boleh melalui pintu masuk ini,

(j) Mereka bentuk dan melaksanakan keselamatan fizikal di dalam pejabat, bilik dan kemudahan,

(k) Mereka bentuk dan melaksanakan perlindungan fizikal dari kebakaran, banjir, letupan, kacau-bilau dan bencana; dan (l) Memastikan kawasan-kawasan penghantaran dan

pemunggahan dan juga tempat-tempat lain dikawal dari pihak yang tidak diberi kebenaran memasukinya.

050102 Kawalan Masuk Fizikal

(a) Setiap staf/pelajar UNIMAS hendaklah memakai atau mengenakan kad staf/pelajar sepanjang berada di UNIMAS, (b) Semua kad staf hendaklah dikembalikan kepada UNIMAS

(32)

Versi 5.0 25

apabila pengguna tamat perkhidmatan,

(c) Pelawat hendaklah mendapatkan pas pelawat di pintu kawalan keselamatan utama UNIMAS,

(d) Pas ini hendaklah dikembalikan semula selepas tamat lawatan; dan

(e) Kehilangan pas pelawat/kad staf/kad pelajar mestilah dilaporkan dengan segera.

050103 Kawasan Larangan

Kawasan larangan ditakrifkan sebagai kawasan yang dihadkan kemasukan kepada pengguna dan pihak ketiga yang tertentu sahaja. Ini dilaksanakan untuk melindungi aset ICT yang terdapat di dalam kawasan tersebut.

Kawasan larangan di UNIMAS adalah bilik Naib Canselor, Timbalan Naib Canselor, Ketua-Ketua PTj, Bilik Fail, Bilik Kebal, Bilik Perkakasan ICT, Stor ICT dan Pusat Data (Data Centre).

(a) Akses kepada kawasan larangan hanyalah kepada staf yang dibenarkan sahaja,

(b) Pihak ketiga dan pengguna lain adalah dilarang sama sekali untuk memasuki kawasan larangan kecuali, bagi kes-kes tertentu seperti memberi perkhidmatan sokongan, bantuan teknikal atau lawatan rasmi, dan mereka hendaklah diiringi oleh staf yang dibenarkan, sepanjang masa sehingga urusan di

(33)

Versi 5.0 26

kawasan berkenaan selesai; dan

(c) Pihak ketiga/staf/pelajar yang perlu berurusan di Pusat Data UNIMAS hendaklah mematuhi UNIMAS-PKTMK-SOP 2.4.10 Prosedur Capaian Masuk Ke Dalam Pusat Data (Rujuk Lampiran 3).

0502 Keselamatan Peralatan

Objektif:

Melindungi aset ICT UNIMAS dari kehilangan, kerosakan, kecurian serta gangguan kepada aset tersebut.

050201 Aset ICT

Perkara-perkara yang perlu dipatuhi adalah seperti berikut:

(a) Pengguna hendaklah memahami dan mematuhi UNIMAS ICT Policy,

(b) Pengguna hendaklah menyemak dan memastikan semua aset ICT di bawah kawalannya berfungsi dengan sempurna,

(c) Pengguna bertanggungjawab sepenuhnya ke atas aset ICT masing-masing dan tidak dibenarkan membuat sebarang pertukaran perkakasan dan konfigurasi yang telah ditetapkan di dalam UNIMAS ICT Policy;

(d) Pengguna dilarang sama sekali menambah, menanggal atau

(34)

Versi 5.0 27

mengganti sebarang perkakasan ICT yang telah ditetapkan, (e) Pengguna dilarang membuat instalasi sebarang perisian

tambahan tanpa kebenaran Pentadbir Sistem ICT,

(f) Pengguna adalah bertanggungjawab di atas kerosakan atau kehilangan aset ICT di bawah kawalannya,

(g) Pengguna mesti memastikan perisian antivirus di komputer peribadi/riba mereka sentiasa aktif (activated) dan dikemas kini disamping melakukan imbasan ke atas media storan yang digunakan,

(h) Penggunaan kata laluan untuk akses ke sistem operasi komputer adalah diwajibkan,

(i) Semua peralatan sokongan ICT hendaklah dilindungi daripada kecurian, kerosakan, penyalahgunaan atau pengubahsuaian tanpa kebenaran,

(j) Peralatan-peralatan kritikal perlu disokong oleh Uninterruptable Power Supply (UPS),

(k) Semua aset ICT hendaklah disimpan atau diletakkan di tempat yang teratur, bersih dan mempunyai ciri-ciri keselamatan, (l) Peralatan rangkaian seperti switches, hub, router dan lain-lain

perlu diletakkan di dalam rak khas dan berkunci,

(m) Semua peralatan yang digunakan secara berterusan mestilah diletakkan di kawasan yang berhawa dingin dan mempunyai pengudaraan (air ventilation) yang sesuai,

(n) Pengguna yang ingin membawa keluar aset ICT dari premis UNIMAS, perlu mengisi Borang Kebenaran Membawa Keluar/Masuk Harta Benda/Peralatan Hak Milik UNIMAS (Rujuk Lampiran 4), mendapat kelulusan Ketua PTj dan direkodkan bagi tujuan pemantauan,

(35)

Versi 5.0 28

(o) Sebarang kehilangan aset ICT hendaklah dilaporkan kepada Pegawai Aset dan diuruskan mengikut Tatacara Pengurusan Kehilangan Aset Alih dengan segera,

(p) Pengendalian aset ICT hendaklah mematuhi dan merujuk kepada peraturan semasa yang berkuat kuasa,

(q) Pengguna tidak dibenarkan memindahkan aset ICT dari lokasi asal tanpa kebenaran Ketua PTj atau memohon melalui sistem ICT Service Desk bagi perkakasan di Pusat Data,

(r) Sebarang kerosakan aset ICT hendaklah dilaporkan kepada Pentadbir Sistem ICT untuk dibaik pulih,

(s) Sebarang pelekat selain bagi tujuan rasmi tidak dibenarkan. Ini bagi menjamin peralatan tersebut sentiasa berkeadaan baik,

(t) Pengguna dilarang sama sekali mengubah kata laluan bagi pentadbir (administrator password) untuk aset ICT guna sama yang telah ditetapkan oleh Pentadbir Sistem ICT,

(u) Pengguna bertanggungjawab terhadap perkakasan, perisian dan maklumat di bawah jagaannya dan hendaklah digunakan sepenuhnya bagi urusan rasmi sahaja,

(v) Pengguna hendaklah memastikan semua perkakasan komputer, pencetak dan pengimbas dalam keadaan “OFF” apabila meninggalkan pejabat; dan

(w) Sebarang bentuk penyelewengan atau salah guna aset ICT hendaklah dilaporkan kepada ICTSO.

(36)

Versi 5.0 29

050202 Media Storan

Media storan merupakan peralatan elektronik yang digunakan untuk menyimpan data dan maklumat seperti dan tidak terhad kepada pita magnetik, optical disk, flash drive dan media storan lain. Media-media storan perlu dipastikan berada dalam keadaan yang baik, selamat, terjamin kerahsiaan, integriti dan keboleh sediaan untuk digunakan.

Pengguna hendaklah sentiasa memantau dan memastikan data dan maklumat yang disimpan terutamanya pada media storan berpusat tidak melebihi kuota yang ditetapkan. Pengguna bertanggungjawab untuk mengarkib, menghapus atau mengambil tindakan yang bersesuaian mengikut keutamaan data dan maklumat masing-masing.

Pengguna hendaklah memahami dan mematuhi UNIMAS ICT Policy.

Media storan yang mengandungi maklumat kritikal perlu mematuhi perkara-perkara seperti berikut:

(a) Media storan hendaklah disimpan di ruang penyimpanan yang baik dan mempunyai ciri-ciri keselamatan bersesuaian dengan kandungan maklumat,

(b) Akses untuk memasuki kawasan penyimpanan media storan hendaklah terhad kepada pengguna yang dibenarkan sahaja, (c) Semua media storan perlu dikawal bagi mencegah dari capaian

yang tidak dibenarkan, kecurian dan kemusnahan,

(d) Semua media storan yang mengandungi maklumat sulit

(37)

Versi 5.0 30

hendaklah disimpan di dalam peti keselamatan yang mempunyai ciri-ciri keselamatan termasuk tahan dari dipecahkan, api dan air,

(e) Akses dan pergerakan media storan yang mengandungi maklumat sulit hendaklah direkod dan disahkan,

(f) Perkakasan backup hendaklah diletakkan di tempat yang terkawal,

(g) Mengadakan salinan atau penduaan (backup) pada media storan kedua bagi tujuan keselamatan dan bagi mengelakkan kehilangan data,

(h) Semua media storan data yang hendak dilupus mestilah dihapuskan dengan teratur dan selamat; dan

(i) Penghapusan maklumat atau kandungan media mestilah mendapat kelulusan pemilik maklumat terlebih dahulu.

050203 Media Perisian dan Aplikasi

(a) Pengguna hendaklah memahami dan mematuhi UNIMAS ICT Policy,

(b) Hanya perisian yang diperakui sahaja dibenarkan bagi kegunaan UNIMAS sepertimana dinyatakan pada UNIMAS ICT Policy,

(c) Sistem aplikasi untuk kegunaan dalaman tidak dibenarkan didemonstrasi atau diagih kepada pihak lain kecuali dengan

(38)

Versi 5.0 31

kebenaran Pengurus ICT,

(d) Lesen perisian (registration code, serials, CD-keys) perlu disimpan berasingan daripada CD-rom, disk atau media berkaitan bagi mengelakkan dari berlakunya kecurian atau cetak rompak; dan

(e) Source code sesuatu sistem hendaklah disimpan dengan teratur dan sebarang pindaan mestilah mengikut prosedur yang ditetapkan.

050204 Penyelenggaraan Perkakasan

Perkakasan hendaklah diselenggarakan dengan betul bagi memastikan kebolehsediaan, kerahsiaan dan integriti.

(a) Semua perkakasan yang diselenggara hendaklah mematuhi spesifikasi yang ditetapkan oleh pengeluar,

(b) Memastikan perkakasan hanya boleh diselenggara oleh staf atau pihak yang dibenarkan sahaja,

(c) Bertanggungjawab terhadap setiap perkakasan bagi penyelenggaraan perkakasan sama ada dalam tempoh jaminan atau telah tamat tempoh jaminan,

(d) Menyemak dan menguji semua perkakasan sebelum dan selepas proses penyelenggaraan,

(e) Memaklumkan pengguna sebelum melaksanakan

Staf Pejabat Pembangunan, Pengurus ICT, Pentadbir Sistem dan Pihak Ketiga.

(39)

Versi 5.0 32

penyelenggaraan mengikut jadual yang ditetapkan atau atas keperluan; dan

(f) Semua penyelenggaraan mestilah mendapat kebenaran daripada Pengurus ICT.

050205 Peralatan di Luar Premis

Perkakasan yang dibawa keluar dari premis UNIMAS adalah terdedah kepada pelbagai risiko.

(a) Peralatan perlu dilindungi dan dikawal sepanjang masa; dan (b) Penyimpanan atau penempatan peralatan mestilah mengambil

kira ciri-ciri keselamatan yang bersesuaian.

Semua

050206 Pelupusan Perkakasan ICT

Semua aset alih ICT sama ada harta modal atau inventori yang dibekalkan oleh UNIMAS dan ditempatkan di UNIMAS boleh dilupuskan berdasarkan justifikasi berikut:

(a) Tidak ekonomi untuk diperbaiki,

(40)

Versi 5.0 33

(b) Usang/ obsolete,

(c) Rosak dan tidak boleh digunakan, (d) Luput tempoh penggunaan,

(e) Keupayaan aset tidak lagi di peringkat optimum, (f) Tiada alat ganti,

(g) Ketiadaan pembekal,

(h) Disyor selepas pemeriksaan aset, (i) Tidak lagi diperlukan oleh UNIMAS, (j) Perubahan teknologi; atau

(k) Melebihi keperluan.

Aset ICT yang hendak dilupuskan perlu melalui prosedur pelupusan semasa. Pelupusan perlu dilakukan secara terkawal dan lengkap supaya maklumat tidak terlepas dari kawalan UNIMAS.

(a) Semua kandungan peralatan khususnya maklumat rahsia rasmi hendaklah dihapuskan terlebih dahulu sebelum pelupusan sama ada melalui shredding, grinding, degaussing atau pembakaran,

(b) Sekiranya maklumat perlu disimpan, maka pengguna bolehlah membuat penduaan,

(c) Aset ICT yang akan dilupuskan sebelum dipindah milik hendaklah dipastikan data-data dalam storan telah dihapuskan dengan cara yang selamat,

(d) Pegawai Aset hendaklah mengenal pasti sama ada peralatan tertentu boleh dilupuskan atau sebaliknya,

(41)

Versi 5.0 34

yang telah dikhaskan yang mempunyai ciri-ciri keselamatan bagi menjamin keselamatan peralatan tersebut,

(f) Pegawai Aset bertanggungjawab memohon untuk melupus serta merekodkan butir–butir pelupusan menggunakan borang KEW.PA-17 (Rujuk Lampiran 7) dan seterusnya mengemaskini rekod pelupusan,

(g) Pelupusan aset ICT hendaklah dilakukan secara berpusat dan mengikut Tatacara Pengurusan Aset Alih UNIMAS; dan

(h) Pengguna adalah dilarang sama sekali daripada melakukan perkara-perkara seperti berikut:

i. Menyimpan mana-mana aset ICT yang hendak dilupuskan untuk milik peribadi. Mencabut, menanggal dan menyimpan perkakasan tambahan dalaman CPU seperti RAM, hardisk, motherboard dan sebagainya, ii. Menyimpan dan memindahkan perkakasan luaran

komputer seperti UPS, speaker dan mana-mana peralatan yang berkaitan ke mana-mana bahagian di UNIMAS,

iii. Memindah keluar dari UNIMAS mana-mana aset ICT yang hendak dilupuskan,

iv. Melupuskan sendiri aset ICT kerana kerja-kerja pelupusan di bawah tanggungjawab UNIMAS; dan v. Pengguna bertanggungjawab memastikan segala

maklumat sulit dan rahsia di dalam komputer disalin pada media storan kedua seperti thumb drive sebelum menghapuskan maklumat tersebut daripada peralatan komputer yang hendak dilupuskan.

(42)

Versi 5.0 35

0503 Keselamatan Persekitaran

Objektif:

Melindungi aset ICT UNIMAS dari sebarang bentuk ancaman persekitaran yang disebabkan oleh bencana alam, kesilapan, kecuaian atau kemalangan.

050301 Kawalan Persekitaran

Bagi menghindarkan kerosakan dan gangguan terhadap premis dan aset ICT, semua cadangan berkaitan premis sama ada untuk memperoleh, menyewa, ubahsuai, pembelian hendaklah dirujuk terlebih dahulu kepada Pejabat Pembangunan.

Bagi menjamin keselamatan persekitaran, perkara-perkara berikut hendaklah dipatuhi:

(a) Merancang dan menyediakan pelan keseluruhan susun atur pusat data (bilik percetakan, peralatan komputer dan ruang atur pejabat dan sebagainya) dengan teliti,

(b) Semua ruang pejabat khususnya kawasan yang mempunyai kemudahan ICT hendaklah dilengkapi dengan perlindungan keselamatan yang mencukupi dan dibenarkan seperti alat pencegah kebakaran dan pintu kecemasan,

(c) Peralatan perlindungan hendaklah dipasang di tempat yang bersesuaian, mudah dikenali dan dikendalikan,

Pengguna (tidak termasuk Pelajar)

(43)

Versi 5.0 36

(d) Bahan mudah terbakar hendaklah disimpan di luar kawasan kemudahan penyimpanan aset ICT,

(e) Semua bahan cecair hendaklah diletakkan di tempat yang bersesuaian dan berjauhan dari aset ICT,

(f) Pengguna adalah dilarang merokok atau menggunakan peralatan memasak seperti cerek elektrik berhampiran aset ICT,

(g) Semua peralatan perlindungan hendaklah disemak dan diuji sekurang-kurangnya satu (1) kali dalam setahun. Aktiviti dan keputusan ujian ini perlu direkodkan bagi memudahkan rujukan dan tindakan sekiranya perlu; dan

(h) Akses kepada saluran riser hendaklah sentiasa dikunci.

050302 Bekalan Kuasa

Bekalan kuasa merupakan punca kuasa elektrik yang dibekalkan kepada aset ICT.

(a) Semua aset ICT hendaklah dilindungi dari kegagalan bekalan elektrik dan bekalan yang sesuai hendaklah disalurkan kepada aset ICT,

(b) Peralatan sokongan seperti Uninterruptable Power Supply (UPS) atau penjana (generator) boleh digunakan bagi perkhidmatan kritikal seperti di bilik server dan bilik

Staf Pejabat Pembangunan, ICTSO, Pengurus ICT dan

(44)

Versi 5.0 37

perkakasan rangkaian supaya mendapat bekalan kuasa berterusan; dan

(c) Semua bekalan kuasa peralatan sokongan bagi perkhidmatan kritikal hendaklah diperiksa dan diuji sekurang-kurangnya satu (1) kali setahun.

050303 Kabel Data

Kabel data hendaklah dilindungi kerana ia boleh menyebabkan maklumat menjadi terdedah.

Langkah-langkah keselamatan yang perlu diambil adalah seperti berikut:

(a) Menggunakan kabel yang mengikut spesifikasi yang telah ditetapkan,

(b) Melindungi kabel daripada kerosakan yang disengajakan atau tidak disengajakan,

(c) Melindungi laluan pemasangan kabel sepenuhnya bagi mengelakkan ancaman kerosakan dan wire tapping; dan

(d) Semua kabel perlu dilabelkan dengan jelas dan mestilah melalui trunking bagi memastikan keselamatan kabel daripada kerosakan.

ICTSO, Pengurus ICT dan

(45)

Versi 5.0 38

050304 Prosedur Kecemasan

(a) Setiap pengguna hendaklah membaca, memahami dan mematuhi prosedur kecemasan dengan merujuk kepada Panduan Kecemasan yang telah ditetapkan oleh BPA; dan

(b) Kecemasan persekitaran seperti kebakaran hendaklah dilaporkan kepada Pegawai Keselamatan UNIMAS.

Semua dan

Pegawai OSHA

0504 Keselamatan Dokumen

Objektif:

Melindungi maklumat UNIMAS dari sebarang bentuk ancaman persekitaran yang disebabkan oleh bencana alam, kesilapan atau kecuaian.

050401 Dokumen

(a) Setiap dokumen hendaklah difail dan dilabelkan mengikut klasifikasi keselamatan seperti Terbuka, Terhad, Sulit, Rahsia

Pengguna yang bertanggung jawab dalam

(46)

Versi 5.0 39

atau Rahsia Besar,

(b) Pergerakan fail dan dokumen hendaklah direkodkan dan perlulah mengikut Pekeliling Perkhidmatan Bil 5/2007 Panduan Pengurusan Pejabat.

(c) Kehilangan dan kerosakan ke atas semua jenis dokumen perlu dimaklumkan mengikut prosedur pada Arahan Keselamatan, (d) Pelupusan dokumen hendaklah mengikut prosedur

keselamatan semasa seperti mana Arahan Keselamatan, Arahan Amalan (Jadual Pelupusan Rekod) dan Tatacara Jabatan Arkib Negara; dan

(e) Menggunakan enkripsi (encryption) ke atas dokumen rahsia rasmi yang disediakan dan dihantar secara elektronik.

menguruskan fail dan Pentadbir Sistem.

(47)

Versi 5.0 40

BIDANG 06 PENGURUSAN OPERASI DAN KOMUNIKASI

0601 Pengurusan Prosedur Operasi

Objektif:

Memastikan pengurusan operasi berfungsi dengan betul dan selamat daripada sebarang ancaman dan gangguan.

060101 Pengendalian Prosedur

(a) Semua prosedur pengurusan operasi yang diwujud, dikenal pasti dan diguna pakai hendaklah didokumen, disimpan dan dikawal,

(b) Setiap prosedur mestilah mengandungi arahan-arahan yang jelas, teratur dan lengkap seperti keperluan kapasiti, pengendalian dan pemprosesan maklumat, pengendalian dan penghantaran ralat, pengendalian output, bantuan teknikal dan pemulihan sekiranya pemprosesan tergendala atau terhenti; dan

Semua prosedur hendaklah dikemas kini dari semasa ke semasa atau mengikut keperluan.

(48)

Versi 5.0 41

060102 Kawalan Perubahan

(a) Pengubahsuaian yang melibatkan perkakasan, sistem untuk pemprosesan maklumat, perisian, dan prosedur mestilah mendapat kebenaran daripada pegawai atasan atau Pentadbir Sistem ICT yang berkenaan terlebih dahulu,

(b) Aktiviti-aktiviti seperti memasang, menyelenggara, menghapus dan mengemaskini mana-mana komponen sistem ICT hendaklah dikendalikan oleh pihak atau pegawai yang diberi kuasa dan mempunyai pengetahuan atau terlibat secara langsung dengan aset ICT berkenaan,

(c) Semua aktiviti pengubahsuaian komponen sistem ICT hendaklah mematuhi spesifikasi perubahan yang telah ditetapkan; dan

(d) Semua aktiviti perubahan atau pengubahsuaian hendaklah direkod dan dikawal bagi mengelakkan berlakunya ralat sama ada secara sengaja atau pun tidak.

060103 Pengasingan Tugas dan Tanggungjawab

(49)

Versi 5.0 42

(a) Skop tugas dan tanggungjawab perlu diasingkan bagi mengurangkan peluang berlaku penyalahgunaan atau pengubahsuaian yang tidak dibenarkan ke atas aset ICT,

(b) Tugas mewujud, memadam, mengemas kini, mengubah dan mengesahkan data hendaklah diasingkan bagi mengelakkan daripada capaian yang tidak dibenarkan serta melindungi aset ICT daripada kesilapan, kebocoran maklumat terperingkat atau dimanipulasi; dan

(c) Perkakasan yang digunakan bagi tugas membangun, mengemas kini, menyelenggara dan menguji aplikasi hendaklah diasingkan dari perkakasan yang digunakan sebagai production.

dan ICTSO

0602 Pengurusan Penyampaian Perkhidmatan Pihak Ketiga

Objektif:

Memastikan pelaksanaan dan penyelenggaraan tahap keselamatan maklumat dan penyampaian perkhidmatan yang sesuai selaras dengan perjanjian perkhidmatan dengan pihak ketiga.

060201 Perkhidmatan Penyampaian

(50)

Versi 5.0 43

(a) Memastikan kawalan keselamatan, definisi perkhidmatan dan tahap penyampaian yang terkandung dalam perjanjian dipatuhi, dilaksanakan dan diselenggarakan oleh pihak ketiga, (b) Perkhidmatan, laporan dan rekod yang dikemukakan oleh

pihak ketiga perlu dipantau, disemak semula dan disahkan; dan

(c) Pengurusan perubahan dasar perlu mengambil kira tahap kritikal sistem dan proses yang terlibat serta penilaian semula risiko.

termasuk Pelajar)

0603 Perancangan dan Penerimaan Sistem

Objektif:

Meminimumkan risiko yang menyebabkan gangguan atau kegagalan sistem.

060301 Perancangan Kapasiti

Kapasiti sesuatu komponen atau sistem ICT hendaklah dirancang, diurus dan dikawal dengan teliti oleh staf berkenaan bagi memastikan keperluannya adalah mencukupi dan bersesuaian untuk pembangunan dan kegunaan sistem ICT pada masa akan datang.

Perancangan kapasiti adalah mengikut keselamatan berpandukan

Pengurus ICT, Pentadbir

Sistem, Pihak Ketiga dan ICTSO.

(51)

Versi 5.0 44

Arahan Teknologi Maklumat MAMPU Disember 2007 bagi meminimumkan risiko seperti gangguan pada perkhidmatan dan kerugian akibat pengubahsuaian yang tidak dirancang.

060302 Penerimaan Sistem

Semua sistem baharu (termasuklah sistem yang dikemas kini atau diubah suai) hendaklah memenuhi kriteria yang ditetapkan sebelum diterima atau dipersetujui.

Pengurus ICT, Pentadbir Sistem, Pemilik Sistem, Pihak Ketiga dan ICTSO. 0604 Perisian Berbahaya Objektif:

Melindungi integriti perisian dan maklumat dari pendedahan atau kerosakan yang disebabkan oleh perisian berbahaya seperti virus, trojan dan sebagainya.

(52)

Versi 5.0 45

060401 Perlindungan dari Perisian Berbahaya

Perkara Tanggungjawab Perkara-perkara yang perlu dipatuhi adalah seperti berikut:

(a) Memasang sistem keselamatan untuk mengesan perisian atau program berbahaya seperti antivirus dan Intrusion Prevention System (IPS) serta mengikut prosedur penggunaan yang betul dan selamat,

(b) Pengecualian untuk item (a) adalah terpakai untuk server yang menggunakan OS yang kurang berisiko dengan virus atau server yang akan mengalami impak negatif kesan daripada installasi antivirus,

(c) Memasang dan menggunakan hanya perisian yang tulen, berdaftar dan dilindungi di bawah mana-mana undang-undang bertulis yang berkuat kuasa (rujuk UNIMAS ICT Policy),

(d) Mengimbas semua perisian atau sistem dengan antivirus sebelum menggunakannya,

(e) Mengimbas kandungan sistem bagi mengesan aktiviti yang tidak diingini seperti kehilangan dan kerosakan maklumat, (f) Memastikan konfigurasi antivirus yang dipasang

membenarkan pengemaskinian pattern antivirus yang terkini, (g) Mana-mana peralatan ICT yang dijangkiti virus, spyware,

malware, Trojan dan lain-lain program berbahaya, akan dihalang daripada capaian rangkaian,

(h) Menghadiri sesi kesedaran mengenai ancaman perisian berbahaya dan cara mengendalikannya,

(53)

Versi 5.0 46

(i) Memasukkan klausa tanggungan di dalam kontrak yang telah ditawarkan kepada pembekal perisian. Klausa ini bertujuan untuk tuntutan baik pulih sekiranya perisian tersebut mengandungi program berbahaya,

(j) Mengadakan program dan prosedur jaminan kualiti ke atas semua aplikasi yang dibangunkan; dan

(k) Memberi hebahan mengenai ancaman keselamatan ICT seperti serangan virus.

060402 Perlindungan dari Mobile Code

Penggunaan mobile code yang boleh mendatangkan ancaman keselamatan ICT adalah tidak dibenarkan.

Semua

0605 Pengurusan Backup

Objektif:

Melindungi integriti maklumat agar boleh diakses pada bila-bila masa.

060501 Backup & Recovery

(54)

Versi 5.0 47

Bagi memastikan sistem dapat dibangunkan semula setelah berlakunya bencana, backup hendaklah dilakukan setiap kali konfigurasi berubah.

(a) Membuat backup keselamatan ke atas semua sistem perisian dan aplikasi sekurang-kurangnya sekali atau setelah mendapat versi terbaru,

(b) Membuat backup ke atas semua data dan maklumat mengikut keperluan operasi. Kekerapan backup bergantung pada tahap kritikal maklumat,

(c) Menguji sistem backup dan prosedur restore sedia ada bagi memastikan ianya dapat berfungsi dengan sempurna, boleh dipercayai dan berkesan apabila digunakan khususnya pada waktu kecemasan,

(d) Menyimpan backup mengikut tempoh-tempoh yang ditetapkan; dan

(e) Merekod dan menyimpan salinan backup di lokasi yang berlainan dan selamat.

Semua

0606 Pengurusan Rangkaian

Objektif:

(55)

Versi 5.0 48

060601 Kawalan

Infrastruktur rangkaian mestilah dikawal dan diuruskan sebaik mungkin demi melindungi ancaman kepada sistem dan aplikasi di dalam rangkaian.

(a) Tanggungjawab atau kerja-kerja operasi rangkaian hendaklah diasingkan dari tugasan yang lain untuk mengurangkan capaian dan pengubahsuaian yang tidak dibenarkan,

(b) Peralatan rangkaian hendaklah diletakkan di lokasi yang mempunyai ciri-ciri fizikal yang kukuh dan mengurangkan daripada risiko bencana,

(c) Capaian kepada peralatan rangkaian hendaklah dikawal dan terhad kepada pengguna yang dibenarkan sahaja,

(d) Firewall hendaklah dipasang serta dikonfigurasi dan diselia oleh Pentadbir Sistem ICT,

(e) Konfigurasi firewall sentiasa dikemas kini berdasarkan keperluan semasa dan salinan konfigurasi disimpan oleh Pentadbir Sistem Keselamatan ICT,

(f) Semua trafik keluar dan masuk hendaklah melalui firewall di bawah kawalan UNIMAS,

(g) Semua perisian sniffer, network analyser dan hacking adalah dilarang dipasang pada komputer pengguna kecuali mendapat kebenaran ICTSO,

(h) Memasang perisian Intrusion Prevention System (IPS) bagi

ICTSO, Pengurus

ICT dan

(56)

Versi 5.0 49

mengesan sebarang cubaan menceroboh dan aktiviti-aktiviti lain yang boleh mengancam sistem dan maklumat UNIMAS, (i) Memasang Web Content Filtering pada Internet Gateway untuk

menyekat laman web dan aktiviti atas talian yang dilarang, (j) Sebarang penyambungan rangkaian perlu merujuk kepada

UNIMAS ICT Policy; dan

(k) Kemudahan bagi rangkaian tanpa wayar perlu dipastikan kawalan keselamatannya.

0607 Pengurusan Media

Objektif:

Melindungi media ICT dari sebarang pendedahan, pengubahsuaian, pemindahan atau pemusnahan serta gangguan ke atas aktiviti perkhidmatan.

060701 Penghantaran dan Pemindahan

Penghantaran atau pemindahan media ke luar pejabat hendaklah mendapat kebenaran daripada pemilik media terlebih dahulu.

(57)

Versi 5.0 50

060702 Keselamatan Sistem Dokumentasi

Perkara-perkara yang perlu dipatuhi dalam memastikan keselamatan sistem dokumentasi adalah seperti berikut:

(a) Memastikan sistem penyimpanan dokumentasi mempunyai ciri-ciri keselamatan,

(b) Menyedia dan memantapkan keselamatan sistem dokumentasi; dan

(c) Mengawal dan merekodkan semua aktiviti capaian dokumentasi sulit sedia ada.

Semua

0608 Pengurusan Pertukaran/Perkongsian Maklumat dan Perisian

Objektif:

Memastikan keselamatan pertukaran/ perkongsian maklumat dan perisian terjamin di dalam UNIMAS mahupun dengan agensi luar.

060801 Pertukaran/Perkongsian Maklumat dan Perisian

(a) Dasar, prosedur dan kawalan pertukaran maklumat yang formal perlu diwujudkan untuk melindungi pertukaran

(58)

Versi 5.0 51

maklumat melalui penggunaan pelbagai jenis kemudahan komunikasi,

(b) Perjanjian perlu diwujudkan untuk pertukaran maklumat dan perisian di antara UNIMAS dengan Pihak Ketiga,

(c) Media yang mengandungi maklumat perlu dilindungi daripada capaian yang tidak dibenarkan, penyalahgunaan atau kerosakan semasa pemindahan keluar dari UNIMAS; dan (d) Maklumat yang terdapat dalam mel elektronik perlu dilindungi

sebaik-baiknya.

060802 Pengurusan Mel Elektronik (E-mel)

Penggunaan e-mel di UNIMAS hendaklah dipantau secara berterusan oleh Pentadbir Sistem untuk memenuhi keperluan etika penggunaan e-mel dan Internet yang terkandung dalam UNIMAS ICT Policy dan mana-mana undang-undang bertulis yang berkuatkuasa.

Semua

0609 Perkhidmatan E-Dagang (Electronic Commerce Services)

Objektif:

Mengawal sensitiviti aplikasi dan maklumat dalam perkhidmatan ini agar sebarang risiko seperti penyalahgunaan maklumat, kecurian maklumat serta pindaan yang tidak sah dapat dihalang.