KE ARAH IMPLEMENTASI SISTEM POLISI KESELAMATAN ICT
KAJIAN KES : PUSAT TEKNOLOGI MAKLUMAT DAN KOMUNIKASI
AZHARI BIN HJ AHMAD
Laporan projek ini dikemukakan
sebagai memenuhi sebahagian daripada syarat
penganugerahan Ijazah Sarjana Sains ( Teknologi Maklumat – Pengurusan )
Fakulti Sains Komputer dan Sistem Maklumat Universiti Teknologi Malaysia
To my beloved family
Harliza bte Haris , Nur Farhana Athirah
Hjh Khadijah, Hj Haris and Hjh Mariam
for their continuos support, motivation
PENGHARGAAN
Segala puji dan kesyukuran pada Ilahi serta salam buat rasul junjungan yang telah menurunkan ilmu kepada seluruh umat manusia untuk di manfaat hingga ke akhir zaman. Dengan berkat dan rahmat dariNya pembangunan Sistem Polisi Keselamatan ICT ini telah dapat disiapkan.
Ucapan berbanyak terima kasih kepada Profesor Zamri b. Mohamed, selaku penyelia projek ini yang telah memberikan tunjuk ajar dan nasihat kepada saya dalam usaha menyiapkan projek ini. Disamping itu tidak lupa juga jutaan terima kasih kepada Profesor Madya Wardah bte Zainal Abidin dan Profesor Madya Dr Azizah bte Zainal Abidin kerana memberi pandangan dan idea dalam pembangunan sistem ini. Terima kasih juga ditujukan kepada pengurusan CICT yang telah memberikan kerjasama didalam membangunkan projek ini terutama didalam mendapatkan maklumat serta teguran membina bagi memastikan sistem yang dihasilkan boleh digunapakai untuk meningkatkan lagi keberkesanan dalam memberikan perkhidmatan teknologi maklumat kepada pengguna .
ABSTRAK
ABSTRACT
Breach of safety incidence occurs frequently to organization that own internet connections especially if it is a public internet service facility. The problem exist to CICT-UTM as well as other goverment organization in preparing the internet
connection to users. The study is based on questionaires of respondence at CICT that concluded that the internet security problem may be reduced by implementing an ICT policy, give an awareness to users globally and fully enforced the strict policy to users. Even though that on-shelf security and policy system are existed in the market, but mostly is about and focusing on the evaluation of the risk and managing the risk. This difficulty has made the IT management of the faculty and centres in UTM making their own initiatives by making and implementing the policy that only suit their own
KANDUNGAN
BAB PERKARA MUKA SURAT
PENGAKUAN ii
DEDIKASI iii
PENGHARGAAN iv
ABSTRAK v
ABSTRACT vi
KANDUNGAN vii-xi
SENARAI JADUAL xii
SENARAI RAJAH xiii-xiv
SENARAI SINGKATAN xv
SENARAI LAMPIRAN xvi
1 PENGENALAN PROJEK
1.1 Pengenalan 1
1.2 Latar Belakang Masalah 2
1.3 Pernyataan Masalah 4
1.4 Matlamat Projek 5
1.5 Objektif Projek 5
1.6 Skop Projek 5
1.7 Faedah Projek 6
1.7.1 Faedah Untuk Pusat ICT, UTM 6 1.7.2 Faedah kepada Pusat ICT, IPTA secara umum 6
1.8 Ringkasan Bab 7
2 KAJIAN LITERASI
2.2 Isu Yang Dibangkitkan 8 2.3 Latar belakang dan Kajian Awal 10 2.4 Piawaian mengenai Polisi Keselamatan 12 2.4.1 Persediaan Perlaksanaan Polisi Keselamatan 14 2.4.2 Proses Pemadanan Polisi Keselamatan ICT 16 2.4.3 Perlaksanaan Polisi Keselamatan ICT Universiti 17
2.5 Aplikasi Berdasarkan Web 17
2.5.1 Information Technology Infrastructure Library 18 2.5.2 Active Server Pages (ASP) 19 2.5.3 Pangkalan Data Microsoft Access 20 2.5.4 Pelayan Internet Information Services 21 2.5.5 Perbincangan Pembangunan Sistem 22 2.6 Sistem Peralatan Polisi Keselamatan ICT Sedia Ada 22
2.6.1 Polisi Keselamatan ICT Berkaitan
Analisa Risiko 22
2.6.2 Polisi Keselamatan ICT SECURIS 24 2.6.3 Polisi Keselamatan ICT MAMPU 26
2.6.4 Perbincangan 27
2.7 Ringkasan Bab 31
3 METODOLOGI PROJEK
3.1 Pengenalan 32
3.2 Matlamat 32
3.3 Metodologi Pembangunan 33
3.3.1 Kajian Terhadap Organisasi CICT 34 3.3.2 Kajian Terhadap Sistem Polisi Keselamatan
ICT di UTM 35
3.3.3 Kajian Terhadap Perisian Yang Dipilih 35 3.3.4 Pemilihan Ciri-Ciri Perisian dan Penambahan
Ciri Dari Kajian Keperluan Pengguna 36
3.4 Keperluan Perisian 36
3.4.1 Pelantar Sistem Operasi 37
3.4.3 Perisian Aturcara 38
3.4.4 Perisian Pelayan Web 39
3.4.5 Penetapan Alamat URL 39
3.4.6 Perisian Pelayaran Web 39
3.5 Keperluan Perkakasan 40
3.5.1 Komputer Pengguna 40
3.5.2 Komputer Pelayan 40
3.6 Ringkasan Bab 41
4 HASIL KAJIAN
4.1 Pengenalan 42
4.2 CICT Sebagai Pusat Perkhidmatan Teknologi
Maklumat UTM 42
4.2.1 Misi dan Visi CICT 43
4.2.2 Objektif CICT 43
4.2.3 Carta Organisasi CICT 45
4.3 Latar Belakang Perlaksanaan Polisi Keselamatan
ICT 47
4.3.1 Struktur Organisasi Pusat Keselamatan ICT 47 4.3.2 Peraturan dan Tatacara Keselamatan ICT 49 4.4 Perlaksanaan Pembangunan Aplikasi Dan
Perkhidmatan Teknologi Maklumat di CICT 50 4.5 Hasil Kajian Keperluan CICT Untuk
Pembangunan Sistem Polisi Keselamatan ICT 52 4.6 Hasil Kajian Keperluan Pembangunan Sistem
Fakulti dan Bahagian 54
4.7 Perbandingan Ciri-Ciri Perisian Polisi Keselamatan
ICT 55
4.8 Pemilihan Ciri-Ciri Utama Perisian Di Pasaran 56 4.8.1 Ciri-ciri Tambahan Sistem Cadangan 57 4.7.2 Ciri-Ciri Utama Sistem Polisi Keselamatan
ICT 58
4.10. Rekabentuk Pangkalan Data 61
4.11 Rekabentuk Antaramuka 62
4.12 Penghasilan Data dan Laporan 63
4.13 Proses Penganalisaan 63
4.14 Ringkasan Bab 64
5 PEMBANGUNAN DAN IMPLEMENTASI SISTEM
5.1 Pengenalan 65
5.2 Pencapaian Pengguna Sistem 65 5.3 Modul-Modul Sistem Polisi Keselamatan ICT 66
5.3.1 Modul Umum 67
5.3.2 Modul Khusus 68
5.4 Pengujian Sistem 68
5.4.1 Pengujian Data dan Maklumat 68 5.4.2 Pengujian Validasi Data 69
5.4.3 Pengujian Keselamatan 70
5.4.4 Pengujian Aliran Proses Modul 70 5.4.5 Pengujian Masa Tindakbalas 70
5.4.6 Maklumbalas Pengguna 71
5.5 Penggunaan Sistem 71
5.5.1 Proses Login 72
5.5.1.1 Peringkat pengguna 72 5.5.2 Paparan Kawalan Polisi Keselamatan ICT
dan Kategori /Modul 73
5.5.3 Tambahan Kawalan , Sub Kawalan
dan Kategori/Modul 74
5.5.3.1 Tambah kawalan polisi baru 75 5.5.3.2 Tambahan Sub Polisi Kawalan Baru 76 5.5.3.3 Tambahan Modul/Kategori kepada Sub
Polisi Kawalan 76
5.5.4 Kemaskini,Sunting dan Hapus Kawalan,Sub
Kawalan pada Modul 77 5.5.4.1 Kemaskini Kawalan, Sub Kawalan dan
5.5.4.2 Hapuskan Kawalan , Sub Kawalan dan
Modul/Kategori 79 5.5.5 Membina Polisi Keselamatan ICT 79
5.6 Ringkasan Bab 83
6 PERBINCANGAN
6.1 Pengenalan 84
6.2 Perbincangan 84
6.2.1 Kejayaan Pembangunan Sistem Peralatan
Polisi Keselamatan ICT 84
6.2.2 Komponen Tadbir Urus ICT 85
6.2.3 Struktur Tadbir ICT 85
6.2.4 Persediaan Seminar/Bengkel Polisi
Keselamatan ICT 87
6.3 Cadangan Menjayakan Projek Ini Pada Masa
Akan Datang 87
6.3.1 Keselamatan Pangkalan Data 87 6.3.2 Pangkalan data yang lengkap dan menyeluruh 87 6.3.3 Capaian sistem melalui pelayar web 87
6.4 Ringkasan Bab 88
7 KESIMPULAN
7.1 Pengenalan 89
7.2 Pencapaian 89
7.3 Kekuatan Sistem 90
7.4 Kekangan 91
7.5 Cadangan Penambahbaikan 92
7.6 Ringkasan Bab 93
RUJUKAN 94-95
SENARAI JADUAL
JADUAL PERKARA MUKA SURAT
SENARAI RAJAH
RAJAH PERKARA MUKA SURAT
2.1 Peringkat kesedaran ISMS antara organisasi 9 2.2 Organisasi dan pemahaman keselamatan 9 2.3 Trafik Rangkaian Keluar Masuk UTM 11
2.4 Hubungan Polisi Keselamatan 14
2.5 Proses Keselamatan ICT Polisi 16
2.6 Pemantauan, Perancangan dan Pengawalan kualiti 24 2.7 Gambaran keseluruhan skema Projek SECURIS 25 3.1 Strategi Pembangunan Aplikasi Pantas 33 3.2 Konsep Pembangunan Aplikasi berasas Web 37
4.1 Struktur Organisasi CICT 45
4.2 Carta Organisasi Unit Keselamatan ICT 47 4.3 Rekabentuk Sistem Polisi Keselamatan CICT 61 5.1 Antaramuka modul proses memasuki sistem 67
5.2 Skrin Login 72
5.3 Skrin Utama Polisi Keselamatan ICT 73 5.4 Paparan Kawalan Polisi 74 5.5 Kawalan Paparan Polisi dan Kategori 74 5.6 Skrin paparan bagi tambahan kawalan polisi, sub kawalan 75
dan kategori/modul
5.7 Tambahan kawalan polisi baru 75 5.8 Tambahan sub polisi kawalan baru 76 5.9 Tambahan polisi baru kepada sub polisi kawalan 77 5.10 Menu Paparan – Penguruan Maklumat Keselamatan 78
5.12 Contoh Modul Hapus 79 5.13 Paparan Utama Membina Polisi Keselamatan ICT 80 5.14 Cetakan Polisi Keselamatan ICT 81 5.15 Bahagian kod sumber untuk membina dokumen Polisi 82
Keselamatan ICT
SENARAI SINGKATAN PERKATAAN
ISMS - Information Security Management System NISER - National ICT Security & Emergency Response
Center
MAMPU - Malaysian Administrative Modernization and Management Planning Unit
MyMIS - The Malaysian Public Sector ICT Management Security Handbook
ISO - The International Organization for Standardization IEC - The International Electrotechnical Commision FDIS - Final Draft International Standard
TR - Technical Report
GMITS - Guidelines for the Management of IT Security SECURIS - Model-driven Development and Analysis of Secure
Information Systems
HiLRA - The Malaysian Public Sector Information Security High-Level Risk Assesment
ICTSO - Information and Communication Technology Security Officer
SENARAI LAMPIRAN
LAMPIRAN TAJUK MUKA SURAT
A Kawalan Domain Berdasarkan ISO 27001 96
B Pengurus IT 97 - 98
C Soal Selidik 99 - 103
D Model Padanan 104 - 120
E Rajah Aktiviti 121
F Carta Gantt – Projek 1 122
G Carta Gantt – Projek 2 123
BAB 1
PENGENALAN
1.1 Pengenalan
Ledakan teknologi maklumat yang berkembang pesat di negara ini,
memperlihatkan betapa beruntungnya generasi masa kini berikutan terdedah kepada dunia tanpa sempadan. Ia bukan saja berfungsi sebagai agen komunikasi, malah menjadi jambatan untuk pengguna memanfaatkannya sebagai sebahagian daripada rutin dan keperluan hidup. Keselamatan ICT berkait rapat dengan pelindungan maklumat dan aset ICT. Ini kerana komponen peralatan perkakasan dan perisian yang merupakan sebahagian daripada aset ICT organisasi kerajaan adalah pelaburan besar dan perlu dilindungi. Begitu juga dengan maklumat yang tersimpan di dalam sistem ICT, ia amat berharga kerana banyak sumber yang telah digunakan untuk menghasilkannya dan sukar untuk dijana semula dalam jangkamasa yang singkat.
Tambahan pula terdapat maklumat yang diproses oleh sistem ICT adalah sensitif dan terperingkat. Pendedahan tanpa kebenaran atau pembocoran rahsia boleh memudaratkan kepentingan negara. Sebarang penggunaan aset ICT kerajaan selain daripada maksud dan tujuan yang telah ditetapkan, adalah merupakan satu
Bagi menangani risiko ini dari semasa ke semasa, Dasar Keselamatan ICT Kerajaan akan diperjelaskan lagi melalui pengeluaran Piawaian Keselamatan ICT yang mengandungi garis panduan serta langkah-langkah keselamatan ICT. Kegunaan kesemua dokumen ini secara bersepadu adalah disarankan. Ini adalah kerana
pembentukan dasar, piawaian, peraturan, garis panduan dan langkah-langkah keselamatan ini diorientasikan untuk melindungi kerahsiaan data, maklumat dan sebarang kesimpulan yang boleh dibuat daripadanya.
1.2 Latar Belakang Masalah
Memandangkan sistem ICT sangat kompleks dan terdedah kepada
kelemahan, ancaman dan risiko, adalah tidak mudah untuk memenuhi keperluan ini. Sistem ICT dan komponennya yang saling berhubungan dan bergantungan antara satu dengan lain kerapkali mewujudkan pelbagai kelemahan.
Sesetengah risiko hanya menjadi kenyataan setelah masa berlalu manakala sesetengahnya timbul apabila berlaku perubahan. Walau bagaimanapun risiko seperti ini hendaklah dikenalpasti dan ditangani sewajarnya. Bagi menentukan Sistem ICT ini terjamin keselamatannya sepanjang masa, Polisi dan Dasar Keselamatan ICT ini merangkumi perlindungan semua bentuk maklumat yang dimasuk, diwujud,
dimusnah, disimpan, dijana, dicetak, dicapai, diedar, dalam penghantaran dan yang dibuat salinan keselamatan ke dalam semua aset ICT.
Ini akan dilakukan melalui penubuhan dan penguatkuasaan sistem kawalan dan prosedur dalam pengendalian semua perkara-perkara berikut :
i) Data dan Maklumat - Semua data dan maklumat yang disimpan atau digunakan dipelbagai media atau peralatan ICT.
iii) Media Storan - Semua alat berbentuk media storan dan peralatan yang berkaitan seperti disket, kartrij, CD-ROM, pita, cakera, pemacu cakera dan pemacu pita.
iv) Komunikasi dan Peralatan Rangkaian - Semua peralatan berkaitan komunikasi seperti pelayan rangkaian, gateway, bridge, router dan peralatan PABX.
iv) Perisian - Semua perisian yang digunakan untuk mengendali, memproses, menyimpan, menjana dan mengirim maklumat. Ini meliputi semua perisian sistem, perisian utiliti, perisian rangkaian, program aplikasi, pangkalan data, fail program dan fail data. v) Dokumentasi - Semua dokumentasi yang mengandungi maklumat
berkaitan dengan penggunaan dan pemasangan peralatan dan perisian. Ia juga meliputi data dalam semua bentuk media seperti salinan kekal, salinan elektronik, transparensi, risalah dan slaid. vi) Manusia - Semua pengguna yang dibenarkan termasuk pentadbir dan
pengurus serta mereka yang bertanggungjawab terhadap keselamatan ICT.
viii) Premis Komputer dan Komunikasi - semua kemudahan serta premis yang diguna untuk menempatkan perkara (i)-(vii) di atas.
Justeru itu, satu Unit Keselamatan ICT perlu ditubuhkan di Pusat ICT, UTM
bagi memastikan perkhidmatan yang disediakan dan dilindungi dari serangan yang
disengajakan atau tidak disengajakan (seperti serangan virus dan cecacing). Unit ini
bertanggungjawab menyediakan pelayan dinding api dan proxy di laluan keluar
masuk fakulti dan bahagian dan juga dinding api di laluan utama rangkaian
universiti.
Disamping itu pemantauan terhadap keselamatan rangkaian dalaman
,sistem-sistem pelayan, komputer-komputer pengguna dengan menggunakan beberapa
perisian seperti CISCO NAC (Network Access Control), OPMANAGER, Nagios,
MRTG (Multi Router Traffic Generator) dan Host Monitoring digunakan. Dengan
bantuan unit lain seperti Unit Rangkaian dan Bahagian Akademik kempen-kempen
melihat perlaksanaan Polisi Keselamatan ICT yang telah diluluskan oleh pihak
universiti secara lebih terperinci .
Terdapat 5 pekeliling yang digariskan oleh agensi pusat (Malaysian Administrative Modernization and Management and Management Planning Unit(MAMPU) dan Jabatan Perdana Menteri) :
i) Pekeliling Am Bil. 3 Tahun 2000 : Rangka Dasar Keselamatan Teknologi Maklumat dan Komunikasi Kerajaan.
ii) Pekeliling Am Bil. 1 Tahun 2001 : Mekanisme Pelaporan Insiden Keselamatan Teknologi Maklumat dn Komunikasi(ICT).
iii) The Malaysian Public Sector ICT Management Security Handbook (MyMIS), January 2002.
iv) Pekeliling Kemajuan Pentadbiran Awam Bil. 1 Tahun 2003 – Garis Panduan Mengenai Tatacara Penggunaan Internet dan Mel Elektronik di Agensi-agensi Kerajaan.
v) Surat Pekeliling Am Bilangan 6 Tahun 2005 – Garis Panduan Melaksanakan Penilaian Risiko Keselamatan Maklumat Sektor Awam.
1.3 Pernyataan Masalah
i) Walaupun polisi keselamatan ICT telah diluluskan oleh Universiti pada tahun 2004 tetapi dokumen polisi keselamatan yang ada masih belum dikaji secara menyeluruh untuk diimplementasi di UTM.
1.4 Matlamat Projek
Matlamat projek ini adalah menyediakan sistem untuk mambantu UTM menyediakan polisi keselamatan ICT dengan berasakan piawaian ISO 27001 serta pekeliling dan garis panduan dari MAMPU.
1.5 Objektif Projek
Objektif projek ini adalah seperti berikut :
i) Untuk membuat kajian bagi membangunkan prototaip berdasarkan piawaian Keselamatan ICT yang sedia ada dari garispanduan yang dikeluarkan oleh MAMPU dan piawaian ISO 27001.
ii) Untuk mendapatkan maklumat dan cadangan polisi keselamatan ICT melalui sistem dari pegawai-pegawai terlibat dengan pengurusan ICT UTM.
iii) Menghasilkan dan mengeluarkan dokumen Polisi Keselamatan ICT untuk Pusat ICT umumnya dan UTM khususnya dengan
menggunakan sistem Polisi Keselamatan ICT yang dibangunkan.
1.6 Skop Projek
i) Analisa dan kajian terhadap piawaian keselamatan ISO 27001 dan Dasar Keselamatan Teknologi Maklumat dan Komunikasi Untuk Sektor Awam dan pekeliling yang dikeluarkan oleh MAMPU.
iii) Suatu sistem Polisi Keselamatan ICT akan dibangunkan bagi membantu Pusat ICT, UTM Skudai didalam membuat persediaan mendokumenkan Polisi Keselamatan ICT. Untuk membangunkan projek ini bahasa ASP dan Access sebagai pangkalan data akan digunakan.
iv) Pengguna-pengguna sistem yang terlibat secara langsung dalam perlaksanaan polisi keselamatan ICT adalah :
i. Pentadbir IT (Pusat Teknologi Maklumat dan Komunikasi) ii. Pengurus IT
iii. Pegawai IT UTM (HEP,Canseleri, Bendahari, Pendaftar dan Perpustakaan Sultanah Zanariah).
1.7 Faedah Projek
1.7.1 Faedah Untuk Pusat ICT, UTM
i) Pusat ICT akan menggunakan sistem Polisi Keselamatan ICT yang dibangunkan bagi melahirkan Polisi Keselamatan ICT yang
bersesuaian dengan keperluan Universiti.
ii) Penggunaan sistem peralatan Polisi Keselamatan ICT akan mengurangkan masa persediaan dan penyediaan dokumen.
1.7.2 Faedah kepada Pusat ICT, IPTA Secara Umum
i) Pembangunan peralatan Polisi Keselamatan ini secara menyeluruh boleh melahirkan Polisi Keselamatan ICT untuk IPTA yang lainnya. ii) Kawalan-kawalan yang lainnya terhadap 11 kawalan domain (Sila
lihat di Lampiran A), dalam jenis piawaian yang berbeza boleh dimasukkan ke dalam pangkalan data bagi memenuhi keperluan organisasi.
1.8 Ringkasan Bab
Pembangunan Sistem Polisi Keselamatan ICT ini mengambil kira keperluan organisasi dan juga peningkatan kompetensi mereka yang terlibat dengan pengurusan polisi. Pihak pengurusan organisasi di Pusat Teknologi Maklumat dan Komunikasi (CICT) Universiti Teknologi Malaysia, ingin memastikan semua aset dan segala yang berkaitan ICT mempunyai polisi keselamatan bagi menjamin UTM mempunyai dasar polisi keselamatan ICT kepada warganya.
BAB 2
KAJIAN LITERATUR
2.1 Pengenalan
Bab ini menumpukan kepada kajian awalan dan perbincangan mengenai kajian-kajian lepas yang berkaitan dengan sistem yang akan dibangunkan. Dalam membangunkan sistem ini, pelbagai kajian telah dijalankan untuk memperolehi maklumat, mengenalpasti dan memahami sesuatu masalah. Bab ini juga akan menumpukan kepada empat perkara yang telah dikenalpasti dapat membantu pengkaji dalam mendapatkan maklumat tentang sistem yang hendak dibangunkan. Antara tumpuan kajian dalam bab ini ialah polisi keselamatan ICT, teknologi aplikasi web dan kajian mengenai sistem yang telah dibangunkan sebelum ini ataupun yang telah ada dijual dipasaran.
2.2 Isu Yang Dibangkitkan
Semua organisasi di UTM mengetahui tentang pentingnya kesedaran
Ini dapat diterangkan pada rajah 2.12 di bawah :
Rajah 2.1 : Peringkat kesedaran ISMS antara organisasi
Kebanyakan organisasi yang ditinjau mempunyai polisi keselamatan untuk mencegah daripada permasalahan keselamatan ICT yang difikirkan perlu.
Berdasarkan rajah 2.2 di bawah 63% sudah mempunyai Polisi Keselamatan, dan melebihi 37% yang sudahpun menjalankan latihan kesedaran keselamatan.
Rajah 2.2 : Organisasi dan pemahaman keselamatan
keputusan dalam keselamatan ICT. Setiap organisasi perlu memahami unsur-unsur asas pengurusan risiko seperti ancaman aset, kerosakan dan keselamatan aset dan kesan kepada organisasi. Disiplin terhadap unsur ini adalah dikenali sebagai pengurusan risiko.
2.3 Latar belakang dan Kajian Awal
Pusat ICT UTM berperanan dalam memastikan semua organisasi di UTM mempunyai polisi keselamatan bagi mengawasi setiap aset mereka. Dalam hal ini, adalah baik sekiranya ada bahan berbentuk tulisan dan dokumen Polisi Keselamatan ICT yang dapat membantu Pusat ICT, UTM khususnya dan organisasi dalam UTM amnya dalam mengenalpasti dan mengawasi Keselamatan ICT. Polisi ini mestilah peraturan biasa yang mudah difahami dan boleh disesuaikan untuk organisasi dalam Universiti. Disamping itu setiap polisi mestilah mempunyai formula yang mampu mengawal untuk mengukur keselamatan terhadap segala aset ICT.
MAMPU adalah peringkat pengurusan tertinggi yang memulakan
Keselamatan ICT terhadap sektor awam. Pihak MAMPU berperanan memulakan serta selenggara terhadap Rangka Kerja Polisi Keselamatan dan pusat rujukan untuk isu keselamatan untuk sektor awam. Isu-isu berkaitan keselamatan ICT yang boleh mempengaruhi keberkesanan perlaksanaan dan perkhidmatan organisasi adalah merupakan perkara utama. Peringkat pengurusan ICT perlu lebih fokus untuk membangunkan setiap keperluan yang berkaitan dengan permasalahan keselamatan dan isu ICT.
Berdasarkan soalselidik dan kajian awal, beberapa maklumat telah dikumpulkan dan boleh diringkaskan seperti di bawah :
i) Kadar tingkatan penggunaan komputer di UTM (internet) begitu tinggi terutama pada waktu puncak mencapai 100 MB iaitu mencapai tahap maksimum (Sila lihat rajah 2.33 di bawah). Sekiranya berlaku masalah kepada talian rangkaian akan menyebabkan urusan seharian terhadap organisasi di UTM akan tergendala terutamanya bagi pelajar-pelajar yang membuat penyelidikan, penghantaran e-mail, carian maklumat dan sebagainya. Senario ini menunjukkan 100% kebergantungan pengguna terhadap talian internet amat tinggi (Likert Scale, 2001). Sementara itu talian rangkaian dalaman (intranet) tiada masalah disebabkan setiap organisasi dihubungkan terus ke Pusat ICT dengan menggunakan gigabit Ethernet (single-mode fibre optic). Hanya 20% sahaja penggunaannya daripada penggunaan sebenar.
Rajah 2.3 : Trafik Rangkaian Keluar Masuk UTM
iii) Pengalaman beberapa insiden keselamatan yang di hadapi oleh ICT oleh Pusat ICT adalah :
a) Virus komputer, cecacing dan serangan kod-kod program yang jahat.
b) Pencerobohan E-mail
c) Pekerja yang menyalahgunakan internet seperti memuat turun bahan larangan.
d) Kecurian komputer.
iv) Perlu ada kerahsiaan (Confidentiality),integriti (Integrity) dan kesediaan (Availability) (CIA) terhadap data sensitif atau kompromi terhadap maklumat, yang akan memberi risiko terhadap Pusat ICT dan UTM.
v) Adalah menjadi keperluan bagi pembangun dan pelaksana Polisi Keselamatan untuk menyalurkan semua isu keselamatan dan
kemungkinan yang akan berlaku secara lebih teratur dan sistematik. Ini bukan sahaja dapat menjadi panduan dalam pembangunan polisi keselamatan yang akan dibina dalam projek ini.
2.4 Piawaian mengenai Polisi Keselamatan
“ISO 13335 Bahagian 1 (1998) menerangkan mengenai Polisi Keselamatan sebagai peraturan, arahan dan latihan-latihan tentang pengawasan aset. Disamping itu termasuk keselamatan maklumat yang sensitif pengurusan dan kawalan terhadap organisasi serta pembangunan sistem-sistem IT.“
BS 7799 Part 2 (2002) :
“ Pengurusan hendaklah menyediakan arahan polisi yang jelas dan
ISO TR 13335 Part 4 (2000) :
“Pembangunan dokumen bertulis yang mana mengandungi peraturan, arahan dan bagaimana pengurusan , kawalan dan agihan aset untuk sesebuah organisasi. Ia sepatutnya menunjukkan keperluan dan menyediakan kandungan petunjuk dokumen sistem polisi keselamatan “.
Berdasarkan daripada petikan diatas adalah jelas menujukkan begitu pentingnya dan mustahaknya pembangunan polisi keselamatan dalam sesebuah organisasi khususnya Pusat ICT yang berperanan sebagai peneraju utamanya. Polisi keselamatan ini mestilah selari dengan polisi bisnes setiap organisasi.
Penitikberatan dalam ISO 1333 Part 3(2000) :
Hubungan antara polisi dalam sesebuah organisasi boleh dihuraikan dalam Rajah 2.44 di bawah :
Polisi Bisnes Korporat, Objektif dan Strategi
Polisi Keselamatan Korporat Polisi IT Korporat
Polisi IT Keselamatan Korporat Pasaran Polisi Korporat
Jabatan Keselamatan Polisi IT
….
Sistem A Polisi Keselamatan IT
Rajah 2.4 : Hubungan Polisi Keselamatan
2.4.1 Persediaan Perlaksanaan Polisi Keselamatan
Polisi Keselamatan mestilah mengandungi arahan dan pengurusan yang jelas, dalam membantu implementasi dan penyelenggaraan keselamatan maklumat. Untuk menjadikannya lebih berkesan polisi hendaklah relevan, boleh dicapai dan difahami kepada pengguna yang ingin melaksanakannya dalan organisasi mereka. Polisi memerlukan komitmen daripada pihak pengurusan, bantuan prosedur dan rangka kerja bantuan teknikal yang bertepatan untuk dilaksanakan.
ISO FDIS (Final Draft International Standard) 17799 (2005) menyatakan dokumen polisi sepatutnya menepati pernyataan di bawah :
ii) Pernyataan tentang kehendak dari pihak pengurusan dan sokongan perlindungan kepada maklumat keselamatan terhadap strategi bisnes dan objektif.
iii) Rangkakerja untuk menyediakan objektif dan kawalan, termasuk struktur pengurusan dan penaksiran terhadap risiko.
iv) Ringkasan penerangan mengenai polisi keselamatan, dasar-dasar dan butir-butir keperluan yang berguna untuk organisasi termasuklah : a) Pematuhan terhadap perundangan , peraturan dan keperluan
kontrak.
b) Keperluan keselamatan terhadap pendidikan, latihan dan kesedaran.
c) Pengurusan bisnes berterusan.
d) Pencabulan terhadap polisi keselamatan maklumat.
v) Definisi terhadap pengkhususan dan kebiasaan maklumat pengurusan keselamatan termasuk insiden laporan keselamatan.
vi) Rujukan terhadap dokumentasi yang boleh membantu seperti polisi dan prosedur mengenai pengkhususan sistem maklumat atau
Proses yang melibatkan persediaan Polisi Keselamatan ICT diterangkan seperti Rajah 2.55 di bawah :
1. Memantapkan sistem dan organisasi
6. Formula terhadap prosedur implementasi
5. Memutuskan polisi 4. Formula terhadap ukuran
piawai 3. Analisa Risiko 2. Memadankan asas
petunjuk polisi
Rajah 2.5 : Proses Keselamatan ICT Polisi
2.4.2 Proses Pemadanan Polisi Keselamatan ICT
Analisa dan pelajari mengenai maklumat dan sumber-sumber utama yang berguna daripada piawaian keselamatan ICT dan garis panduan MAMPU. Sila lihat lampiran D pemadanan polisi keselamatan ICT. Sumber-sumber yang ada adalah seperti berikut :
i) ISO/IEC FDIS 27001:2005 Teknologi Maklumat – Teknik-teknik Keselamatan – Sistem pengurusan maklumat keselamatan – Keperluan-keperluan.
iii) Dasar Keselamatan ICT Versi 4.0, MAMPU, 30 Mac 2006. iv) Dasar Keselamatan Teknologi Maklumat dan Komunikasi untuk
Sektor Awam Versi 2.0 Revisi 9, MAMPU, 2007.
2.4.3 Perlaksanaan Polisi Keselamatan ICT Universiti
Berdasarkan kajian yang telah dilakukan terhadap Dasar Keselamatan ICT oleh MAMPU dan ISO 27001, pengkaji mendapati polisi keselamatan ICT yang digariskan amat bersesuaian dengan keperluan UTM. Kesemua 11 domain ISO 27001 yang digariskan hasil dari pemadanan dengan garis panduan MAMPU menunjukkan perlaksanaan polisi keselamatan ICT boleh digunakan dan menepati objektif yang telah dikaji oleh pengkaji. Sebagai panduan bagi memenuhi kejayaan projek ini, dan persediaan Universiti dalam menyediakan satu sistem dokumen polisi keselamatan ICT kesemua 11domain dan dasar ini akan digunakan.
2.5 Aplikasi Berasaskan Web
Perkembangan internet pada masa kini adalah sangat pesat. Pembinaan laman-laman web telah bertambah secara eksponen sejak Tim Berners-Lee mengasaskan World-Wide Web di Pusat Penyelidikan Nuklear Eropah (CERN), Geneva pada tahun 1989 (Zainuddin, 2001). Laman-laman web pada masa kini telah berubah daripada sekadar memaparkan maklumat dan imej yang statik kepada yang dinamik dan interaktif. Laman-laman web pada masa kini boleh digunakan,
antaranya untuk, mengisi borang maklumat, membeli dan menjual barang, dan membuat tempahan. Menurut Fowler (2004), aplikasi web membolehkan kita
membuat sesuatu dan menyimpannya secara digital, manakala laman web pula hanya memberikan maklumat sahaja.
Untuk pemilihan pelayan web, terdapat beberapa pilihan yang boleh dicadangkan. Antaranya Internet Information Server (IIS) daripada Microsoft, Netscape Enterprise Server daripada Netscape (sekarang dikenali sebagai Sun Java Sistem Web Server), WebSphere Application Server daripada IBM, dan juga pelayan web Apache Server dari sumber perisian terbuka (open source).
Pemilihan bahasa pengaturcaraan yang akan digunakan juga tidak terhad. Terdapat beberapa bahasa pengaturcaraan yang boleh digunakan antaranya ASP, PHP, XML dan Cold Fusion (Rockwell, 2001). Disamping itu juga bahasa ini boleh digabungkan dengan penggunaan bahasa lain seperti Java dan bahawa bahasa asas bagi pengaturcaraan laman web iaitu HTML.
2.5.1 Kelebihan Aplikasi Web
Terdapat beberapa kelebihan yang ada pada aplikasi berasaskan web berbanding aplikasi desktop. Berikut adalah beberapa kelebihan bagi aplikasi web menurut Fowler (2004).
i) Tidak perlu instalasi
Aplikasi web tidak memerlukan proses instalasi untuk digunakan. Pengguna hanya menggunakan pelayar web seperti Internet Explorer atau Netscape untuk menggunakannya. Ini berbeza dengan aplikasi desktop yang memrlukan proses instalasi ke dalam setiap komputer yang hendak menggunakannya. Keadaan adalah sangat membebankan kepada organisasi yang besar dan mempunyai banyak komputer yang akan menggunakan aplikasi tersebut.
ii) Tidak bergantung kepada lokasi aplikasi web dan tidak terikat kepada suatu lokasi untuk digunakan
iii) Memudahkan kolaborasi
Penggunaan aplikasi web memudahkan kolaborasi dalam melakukan kerja secara berkumpulan.Oleh kerana Internet adalah satu rangkaian yang besar, sesiapa sahaja yang mempunyai capaian ke Internet boleh berkomunikasi dan bekerjasama untuk membuat satu tugasan yang sama.
iv) Tiada keperluan perkakasan
Penggunaan aplikasi web tidak memerlukan seseorang pengguna membeli perkakasan yang khusus. Oleh kerana ia boleh digunakan oleh pelayar web yang biasa, tidak ada keperluan untuk penambahan sebarang perkakasan dalam penggunaannya.
2.5.2 Active Server Pages (ASP)
ASP diperkembangkan sekitar tahun 1996 dan merupakan teknologi pembangunan web yang menjadi pilihan orang ramai. Halaman web yang direka bentuk adalah dinamik, interaktif serta mudah dibangunkan tanpa memerlukan kepakaran yang tinggi. Pengaturcaraan ASP dilarikan di dalam Internet Information Servies(IIS), komponen yang diberikan oleh Windows 2003. Perisian ini juga sebahagian dari Windows NT 4.0 Option Pack atau melalui installasi Personal Web Server(PWS) bagi Windows XP. Terdiri daripada tiga bahagian iaitu ASP Objects atau lebih tepat Component Model(COM), Bahasa Scripting seperti VBScript dan Jscript, ActiveX Server Component bagi capaian ke pangkalan data.
Terdapat banyak kelebihan yang menjadikan ASP bahasa pengaturcaraan yang digunakan untuk menghasilkan laman web yang dinamik dan interaktif. Antara kelebihan yang terdapat jika pengguna menggunakan ASP menurut ialah (Ridruejo (2002) :
ASP menggabungkan kod HTML dan kod ASP dalam satu bahasa pengaturcaraan yang sama. Penghasilan kod untuk laman yang dinamik boleh dilakukan dengan mudah dan ia tidak sukar untuk dipelajari terutamanya kepada pengaturcara yang tidak mempunyai asas pengaturcaraan yang kuat.
ii) Keterbukaan
Sifat keterbukaan ASP adalah kebebasan memilih bahasa skrip yang boleh digunakan kerana adanya komponen ActiveX yang digunakan pada ASP.
iii) Multiplatform
ASP boleh digunakan dalam berbagai-bagai platform pelayan web dan sistem operasi. ASP boleh digunakan dalam pelayan web seperti Apache, Microsoft IIS dan juga pelayan Netscape. ASP juga boleh digunakan dalam sistem operasi Unix, Windows, Linux, OS/2 mahupun MAC OS X.
iv) Pangkalan Data
ASP boleh menggunakan berbagai-bagai jenis pangkalan data open source seperti MySQL dan PostgreSQL dan juga pangkalan data yang dikeluarkan secara komersil seperti Microsoft SQL Server,
Access,Oracle dan DB2.
2.5.3 Pangkalan Data Microsoft Access
sebuah komputer dengan sistem operasi Microsoft Windows 3.0, RAM berkapasiti 4 sebanyak megabyte (6 megabyte lebih disarankan) dan ruangan kosong cakera keras yang diperlukan sebanyak 8 megabyte (14 megabyte lebih disarankan).
Microsoft Access dapat menggunakan data yang disimpan di dalam format Microsoft Access, Microsoft Jet Database Engine, Microsoft SQL Server, Oracle Database, atau semua data asas yang menyokong piawaian Open Database Connectivity(ODBC). Pembangun aturcara yang mahir dapat menggunakannya untuk mengembangkan aplikasi yang kompleks, sementara pengaturcara yang kurang mahir dapat menggunakannya untuk mengembangkan aplikasi yang sederhana. Access juga menyokong teknik-teknik pengaturcaraan berorientasi objek tetapi tidak dapat digolongkan ke dalam pengaturcaraan berorientasi objek.
Menurut Rockwell (2001),Access juga dapat digunakan sebagai asas data untuk aplikasi Web dasar yang disimpan di dalam server bagi menjalankan Microsoft Internet Information Services (IIS) dan menggunakan Microsoft Active Server Pages (ASP). Beberapa pengembang aplikasi profesional menggunakan Microsoft Access untuk mengembangkan aplikasi secara cepat (digunakan sebagai Rapid Application Development/RAD tool), khususnya untuk pembuatan sebuah program yang lebih besar dan aplikasi yang berdiri sendiri.
2.5.4 Pelayan Internet Information Services (IIS)
Microsoft Internet Information Services (IIS) merupakan satu set bagi perkhidmatan berasaskan Internet untuk pelayan menggunakan Microsoft Windows. Ia adalah pelayan web kedua paling popular di dunia dari segi jumlah halaman web di belakang Apache walaupun jurang antara keduanya sedang menurun mengikut Netcraft.
2.5.5 Perbincangan Pembangunan Sistem
Dalam pembangunan sistem aplikasi ini, pengkaji telah memilih pelayan IIS, pangkalan data MS Access dan bahasa pengaturcaraan ASP sebagai pilihan. Faktor utama yang menyebabkan pemilihan ketiga-tiga aplikasi ini ialah kerana semuanya adalah berasaskan sumber terbuka. Ini membolehkan aplikasi ini digunakan tanpa memerlukan perbelanjaan untuk membeli aplikasi komersil seperti Microsoft Internet Information Server (IIS), Microsoft Access atau menggunakan Microsoft VB.NET. Ketiga-tiga aplikasi ini boleh diperolehi dengan memuat turun dari sumber dari Internet seperti laman web Apache Friends (www.apachefriends.org) secara percuma. Tambahan pula ketiga-tiga aplikasi ini adalah antara yang banyak digunakan dalam pembangunan laman web pada masa ini
2.6 Sistem Peralatan Polisi Keselamatan ICT Sedia Ada
Perkembangan pesat dalam bidang teknologi maklumat dan komunikasi telah menjadi penggalak bagi pembangunanan sistem aplikasi dan tidak terkecuali dalam sistem aplikasi untuk mengendalikan Polisi Keselamatan ICT. Bahagian ini akan membincangkan tentang sistem yang telah dibangunkan sebelum ini bagi
menguruskan perjalanan Polisi Keselamatan ICT. Terdapat tiga jenis sistem yang akan dibincangkan dalam bahagian ini iaitu : pertama ialah sistem polisi
keselamatan ICT yang berkaitan analisa risiko, yang kedua sistem keselamatan yang dikenali sebagai SECURIS dibangunkan untuk tujuan perdagangan dan yang ketiga ialah HiLRA (High Level Risk Assessment) dan Malaysian Public Sector
Information Security Risk Assessment Methodology (MyRAM) oleh MAMPU .
2.6.1 Polisi Keselamatan ICT Berkaitan Analisa Risiko
Kebanyakan peralatan yang dijumpai adalah berkaitan dengan analisa risiko seperti EBIOS, CALLIO SECURA, OCTAVE, CORAS dan COBRA.
Penilaian bagi sistem-sistem ini dilakukan dengan menggunakan perisian demonstrasi yang di muaturun dari laman web http://www.callio.com/secura.php dan http://enisa.europa.eu/rmra/methods_tools/t_ebios.html . Versi demonstrasi
(CALLIO) ini adalah sama seperti versi asas sistem ini yang dipasarkan dengan harga RM 30,000 (Lesen untuk 2 pengguna) dan setiap penambahan lesen adalah sebanyak RM 9,000. Sistem ini adalah versi Windows dan keperluan minimumnya ialah Windows 98 atau ke atas dan boleh dicapai melalui pelayar Internet. Versi EBIOS boleh dimuat turun secara percuma dan boleh digunakan dalam mana-mana platform sistem pengoperasian dan tidak boleh dicapai melalui pelayar Internet.
Pembangunan projek ini diasaskan oleh ENISA (European Network and Information Security Agency) semenjak tahun 2006 sehingga sekarang.
Tumpuannya adalah kepada Pengurusan Risiko antaranya adalah : i) Promosi aktiviti pengurusan risiko untuk organisasi kerajaan dan
swasta
ii) Menyediakan “common language” pada persekitaran pengurusan risiko
iii) Menyediakan tinjauan tentang tatacara peralatan risiko dan perlaksanaan
iv) Pembangunan penyelesaian pengurusan risiko dan integrasi bersama Pengurusan Risiko dan Taksiran Risiko
Rajah 2.6 : Pemantauan, Perancangan dan Pengawalan kualiti
Peralatan ini juga adalah merupakan peralatan berasaskan web yang mempunyai ruang untuk pangkalan data bagi membantu pengguna untuk
implementasi menyediakan sijil ISMS. Disamping itu sistem ini membantu piawaian ISO 17799 dan ISO 27001 (BS 7799-2) dan mampu mengeluarkan dokumen yang diperlukan untuk tujuan pensijilan. Penyediaan fungsi pengurusan dokumen dengan membenarkan pengguna membuat pilihan berdasarkan peralatan pangkalan data juga disediakan.
2.6.2 Polisi Keselamatan ICT SECURIS
di mana ia bermula pada 1 Januari 2003 dan berakhir pada pertengan bulan 1, 2006 . Projek ini dipelopori oleh majlis penyelidikan Norway.
Terdapat 10 orang ahli yang diketuai oleh Profesor Ketil Stolen. Spesifikasi metodologi pengkomputeran SECURIS boleh dilihat seperti di Rajah 2.77 :
i) Garispanduan proses pembangunan polisi berdasarkan keperluan bisnes
ii) Spesifikasi polisi keselamatan dan andaian kebergantungannya iii) Analisa polisi keselamatan
iv) Proses panduan model implementasi polisi keselamatan v) Pemantauan dan percubaan pematuhan terhadap polisi
Rajah 2.7 Gambaran keseluruhan skema Projek SECURIS
platform. Versi ini terdapat beberapa ciri keselamatan seperti kawalan terhadap capaian penggunaan dengan menggunakan pengesahan pengguna.
2.6.3 Polisi Keselamatan ICT MAMPU
Pihak MAMPU telah membangunkan peralatan keselamatan yang dipanggil High-Level Risk Assessment(HiLRA) dan Garis Panduan Pengurusan Keselamatan ICT Sektor Awam Malaysia (MyMIS) untuk Sektor Keselamatan Awam Malaysia. MAMPU menyediakan Khidmat Perundingan Keselamatan ICT bagi memantapkan lagi perlindungan keselamatan dan pembangunan infrastruktur ICT Kerajaan. MAMPU menyediakan kemudahan khidmat perunding mengenai isu-isu
keselamatan ICT seperti berita, artikel, advisories dan tools yang terkini, penemuan dan pengendalian insiden serta penyediaan dasar dan pengurusan keselamatan ICT.
Secara umumnya Khidmat Perundingan Keselamatan ICT meliputi:
i) Menjadi pemudah cara di dalam mana-mana bengkel, kursus atau seminar mengenai keselamatan ICT
ii) Sebagai rujukan dan standard amalan bagi meningkatkan kesedaran dan pengetahuan dalam keselamatan ICT serta memperkemaskan operasi keselamatan dalaman sesebuah agensi sektor awam
iii) Menyediakan pandangan secara bertulis atau dalam talian mengenai isu keselamatan ICT
iv) Mewujudkan forum dan buletin perbincangan secara elektronik melalui laman khas Portal Keselamatan ICT Kerajaan (GSWP)
2.6.4 Perbincangan
Dari kajian yang dijalankan terhadap ketiga-tiga sistem tersebut, didapati terdapat kelebihan dan kelemahan yang terdapat dalam setiap peralatan Polisi Keselmatan ICT. Berikut adalah antara kelebihan dan kelemahan yang terdapat dalam sistem-sistem tersebut.
i. Polisi Keselamatan ICT Berkaitan Analisa Risiko
Kelebihan
a) Sistem ini mempunyai keupayaan untuk membuat analisa terhadap risiko keselamatan merangkumi taksiran aset, ancaman dan komunikasi (pengurusan dokumen dan Pusat Kesedaran pengguna)
b) Terdapat analisa risiko dan pengiraan.
c) Mempunyai pengenalpastian risiko terhadap ancaman keselamatan dan pencerobohan.
d) Kajiselidik terhadap ISO 17799 seperti soal selidik.
e) Terdapat Pengurusan Dokumen : Keperluan dokumen ISMS, Peralatan Pengeluaran Laporan : Mengeluarkan laporan secara automatik dan boleh dikonfigurasi.
f) Teknologi senibina pembangunan peralatan : • Pangkalan Data : MySQL, SQL Server • Pelayan Web : IIS, Apache
• Aplikasi Pelayan: BlueDragon JX Server • Capaian Pengguna : Internet Explorer
Kelemahan
b) Penggunaan sistem ini adalah terhad kepada penilaian risiko keselamatan dan tidak mampu untuk mengeluarkan polisi keselamatan ICT dalam menjayakan projek ini.
v) Polisi Keselamatan ICT SECURIS
Kelebihan
a) Melengkapkan gabungan terhadap cara taksiran risiko bagi setiap model yang berbeza
b) Menyediakan metodologi model bagi membantu dalam memberi keputusan terhadap dokumentasikan taksiran risiko c) Kajiselidik terperinici terhadap ISO 17799 dan ISO/IEC TR
13335 seperti soal selidik dan perundangan.
d) Garispanduan proses pembangunan polisi berdasarkan keperluan bisnes
e) Spesifikasi polisi keselamatan dan andaian kebergantungannya f) Analisa terhadap polisi keselamatan
g) Proses panduan model implementasi polisi keselamatan h) Teknologi senibina pembangunan peralatan :
• Pangkalan Data : MySQL, SQL Server • Pelayan Web : IIS, Apache
• Aplikasi Pelayan: Java
• Capaian Pengguna : Internet Explorer
Kelemahan
a) Bentuk laporan yang dikeluarkan adalah terhad yang
b) Penggunaan sistem ini adalah terhad kepada penilaian risiko keselamatan dan tidak mampu untuk mengeluarkan polisi keselamatan ICT dalam menjayakan projek ini.
c) Peralatan ini masih dalam proses kajian dan percubaan dan maklumat yang digunakan masih tidak boleh digunakan untuk dijadikan sebagai perlaksanaan dokumentasi Polisi
Keselamatan ICT.
iii. Polisi Keselamatan ICT MAMPU
Kelebihan
a) Melaksanakan imbasan ke atas sistem rangkaian dan aset ICT agensi kerajaan secara jarak jauh
b) Mengesan insiden pencerobohan keselamatan ICT
c) Meramal serta memberi amaran awal tentang serangan siber yang dijangka berlaku
d) Menerima dan mengambil tindakan ke atas insiden keselamatan yang dilaporkan
e) Menyebarkan maklumat bagi membantu pengukuhan keselamatan ICT sektor awam dari semasa ke semasa f) Menyediakan khidmat nasihat kepada agensi-agensi dalam
mengesan, mengenal pasti dan menangani sesuatu insiden keselamatan
g) Menyelaras dengan pihak-pihak yang terlibat seperti
Malaysian Computer Emergency Response Team (MyCERT), pembekal, Internet Service Provider (ISP) dan agensi-agensi penguat kuasa
h) Semua insiden keselamatan ICT perlu dilaporkan kepada GCERT.
i) Memberi bantuan teknikal dalam pengendalian insiden keselamatan ICT
k) Mengumpul statistik bagi Perancangan Strategik bagi pemantauan keselamatan ICT
l) Mewujudkan kesedaran mengenai keselamatan ICT m) Memupuk kerjasama dan hubungan baik di antara agensi
Kelemahan
a) Masih belum ada peralatan Polisi Keselamatan ICT yang disediakan untuk agensi-agensi kerajaan untuk digunakan , hanya ada dua sistem yang dibangunkan oleh MAMPU iaitu :
• The Malaysian Public Sector Information Security High-Level Risk Assessment (HiLRA) Guide bertujuan memberi panduan melaksanakan penilaian risiko maklumat untuk mendapatkan gambaran awal tahap risiko yang terdapat dalam sistem maklumat agensi.
• The Malaysian Public Sector Information Security Risk Assessment Methodology (MyRAM) yang bertujuan menyediakan kaedah bagi melaksanakan penilaian risiko terperinci secara kualitatif terhadap aset maklumat seperti ancaman, kelemahan, impak dan kemungkinan berlaku musibah bagi setiap aset dalam skop yang telah dipersetujui
2.7 Ringkasan Bab
sistem ini. Kajian yang dilakukan, termasuklah mengkaji tentang persediaan untuk menyediakan satu sistem peralatan Polisi Keselamatan ICT yang sesuai untuk dibangunkan untuk Pusat ICT, UTM. Pembangunan sistem yang berasaskan web juga mengkehendaki pengkaji mengetahui tentang pembangunan sistem berasaskan web serta perisian yang sesuai untuk digunakan. Akhir sekali kajian mengenai sistem yang telah dibangunkan diharapkan dapat membantu pengkaji mengenalpasti
BAB 3
METODOLOGI PROJEK
3.1 Pengenalan
Perancangan pembangunan Sistem Polisi Keselamatan ICT ini melibatkan beberapa peringkat bermula dari peringkat kajian keperluan sistem tersebut terhadap organisasi sehingga kepada pembangunan awal sistem. Pembangunan awal sistem pula melibatkan rekabentuk pangkalan data, rekabentuk antaramuka dan hasil yang sepatutnya dikeluarkan oleh sistem ini dengan menggunakan kaedah pembangunan aplikasi yang dicadangkan supaya bersesuaian dengan kekangan masa yang ada.
3.2 Matlamat
3.3 Metodologi Pembangunan
Pembangunan aplikasi sistem ini menggunakan kaedah strategi pembangunan aplikasi pantas (RAD) dimana kajian dilakukan keatas keperluan organisasi Pusat Teknologi Maklumat dan Komunikasi (CICT) Universiti Teknologi Malaysia (UTM) dan pengguna bagi meningkatkan mutu perkhidmatan yang diberikan. Idea asas dalam strategi ini adalah dengan melibatkan pengguna sistem dalam proses analisa, rekabentuk dan pembinaan sistem.
Kaedah ini juga adalah mudah serta memfokuskan pembangunan sistem kepada aktiviti-aktiviti tertentu berbanding penglibatan pengguna, penganalisa, perekabentuk dan pembangun sistem. Ia juga untuk mempercepatkan keperluan fasa analisa dan rekabentuk Faktor akhir yang menjadikan kaedah ini digunakan adalah bagi mengurangkan masa untuk menyiapkan sistem ini. Rajah 3.1 dibawah menunjukkan bagaimana strategi pembangunan aplikasi pantas dilaksanakan dalam pembangunan sistem ini.
3.3.1 Kajian Terhadap Organisasi CICT
Pembangunan sistem ini dibuat adalah bagi kegunaan CICT. Oleh itu CICT merupakan pemilik kepada sistem ini. Cadangan pembangunan sistem ini adalah hasil dari pemerhatian dan kajian yang telah dijalankan. Berdasarkan pemerhatian semasa melaksanakan tugas di CICT, keperluan untuk mempunyai sistem berkaitan polisi keselmatan ICT adalah tinggi, memandangkan CICT sebagai sekretariat pembangunan dan keselamatan teknologi maklumat diperingkat universiti seperti keselamatan pembangunan sistem baru, pemantauan keselamatan sistem-sistem yang dibangunkan bersama dengan syarikat-syarikat pembekal perkhidmatan teknologi maklumat, penyediaan keselamatan ICT terhadap prasarana teknologi maklumat seperti sistem rangkaian komputer, perolehan peralatan komputer, perolehan perisian dan sebagainya.
Walaubagaimanapun kajian keperluan masih perlu dilakukan ke atas organisasi CICT bagi memastikan keperluan terhadap pembangunan sistem ini adalah bersesuaian dengan mengambilkira amalan yang sedang dilakukan oleh CICT dalam melaksanakan polisi keselamatan ICT tersebut.` Selain dari itu kaedah soal selidik juga dibuat dengan mengemukakan soalan-soalan yang berkaitan dengan dasar polisi keselamatan ICT yang terdiri dari tiga kumpulan staf iaitu penolong pegawai teknologi maklumat, pegawai teknologi maklumat dan ketua pegawai teknologi maklumat.
3.3.2 Kajian Terhadap Sistem Polisi Keselamatan ICT di UTM
Bagi memenuhi keperluan pengguna, terutama diperingkat fakulti dan bahagian, satu kajian telah dibuat untuk melihat sejauh mana keperluan tersebut diperlukan. Kajian ini juga boleh menyumbangkan maklumat sejauh mana fakulti dan bahagian melibatkan penggunaan sebarang sistem polisi keselamatan ICT dalam melaksanakan terhadap keselamatan ICT.
Dari kajian ini akan diperolehi sejauh mana sistem ini akan dapat digunakan di dalam organisasi di UTM iaitu diperingkat fakulti dan bahagian dan bagaimana ia dilaksanakan. Kajian ini juga berasaskan kepada sistem-sistem semasa yang digunakan dalam pasaran dan keperluan sistem polisi keselmatan ICT jika ada dan keperluannya pada masa akan datang.
3.3.3 Kajian Terhadap Perisian Yang Dipilih
Pembangunan sistem ini juga melibatkan kajian terhadap ciri-ciri perisian keselamatan ICT yang dipilih samada yang berada di pasaran tempatan atau yang berada dalam lingkungan organisasi UTM sendiri. Pemilihan perisian dibuat berdasarkan kepada populariti perisian tersebut seperti banyak digunakan oleh pengguna, mudah diperolehi dan keberkesanannya terhadap perlaksanaan polisi keselamatan ICT.
3.3.4 Pemilihan Ciri-Ciri Perisian dan Penambahan Ciri Dari Kajian Keperluan Pengguna
Pembangunan sistem ini adalah untuk memudahkan pelaksana dan pihak pengurusan CICT memantau sesuatu polisi yang dilaksanakan. Ia juga memberi kebenaran kepada pengguna untuk mengetahui dan melihat status perlaksaan polisi yang sedang berlaku dalam organisasi mereka. Oleh itu keperluan bagi sistem ini perlu memasukkan kepentingan mereka. Bagi membina satu sistem yang memenuhi keperluan pengguna, maka beberapa perisian keselamatan ICT telah dipilih untuk dijadikan asas kepada keperluan ciri-ciri pengurusan projek sistem yang akan dibangunkan.
Perisian pengurusan projek tersebut adalah perisian SECURIS, HILRA dan MyRAM. Pemilihan perisian-perisian ini adalah kerana penggunaannya yang meluas. Ciri-ciri bagi perisian ini akan dinilai dan digabungkan bersama-sama dengan ciri-ciri dari kajian keperluan pengguna untuk dijadikan keperluan dalam pembangunan sistem yang dicadangkan.
3.4 Keperluan Perisian
Pembangunan Sistem Polisi Keselamatan ICT ini dibangunkan dengan menggunakan konsep aplikasi berasaskan web. Aplikasi berasaskan web merupakan konsep pembangunan aplikasi pada masa kini kerana ia mudah digunakan oleh pengguna, antaramuka yang menarik serta boleh dicapai dari mana-mana lokasi diseluruh dunia asalkan komputer mereka mempunyai sistem rangkaian Internet.
Rajah 3.28 dibawah menunjukkan keperluan umum bagaimana capaian aplikasi berasaskan web dilaksanakan.
Rajah 3.2 : Konsep Pembangunan Aplikasi berasas Web
3.4.1 Pelantar Sistem Operasi.
Pelantar Sistem operasi yang digunakan bagi pembangunan awal sistem ini adalah Sistem Operasi Windows XP. Sistem operasi berasaskan windows XP adalah pelantar popular yang banyak digunakan oleh pengguna di seluruh dunia. Windows XP adalah keluaran syarikat Microsoft Corporation ini adalah pelantar yang stabil pada masa ini. Pelantar ini boleh menyokong komputer sebagai pelanggan atau pelayan dengan keperluan perkakasan yang minimum.
3.4.2 Pangkalan Data
Pangkalan data merupakan tempat dimana fail-fail data secara berstuktur ditempatkan. Pemilihan pangkalan data adalah penting kerana ia akan menjadikan sesuatu sistem itu stabil terutama untuk menampung keperluan data yang sentiasa bertambah dari masa ke semasa. Pangkalan data yang baik biasanya melibatkan kos yang tinggi.
3.4.3 Perisian Aturcara
Perisian aturcara bagi pembangunan aplikasi web Sistem Polisi Keselamatan ICT ini akan menggunakan perisian Active Server Pages (ASP). Pemilihan perisian ASP ia banyak digunakan bagi membuat aturcara pembangunan aplikasi berasaskan web. Terdiri daripada tiga bahagian iaitu ASP Objects atau lebih tepat Component Model(COM), Bahasa Scripting seperti VBScript dan Jscript, ActiveX Server Component bagi capaian ke pangkalan data.
Selain dari itu penggunaan aturcara ASP juga disebabkan oleh perkara-perkara berikut :
1. Komuniti penggunanya adalah besar, oleh itu sokongan terhadapnya juga adalah mudah
2. ASP menggabungkan kod HTML dan kod ASP dalam satu bahasa pengaturcaraan yang sama.
3. Gabungannya dengan pangkalan data Access merupakan gabungan yang stabil dan banyak digunakan dalam pembangunan aplikasi web termasuk diperingkat organisasi
4. Sifat keterbukaan ASP adalah kebebasan memilih bahasa skrip yang boleh digunakan kerana adanya komponen ActiveX yang digunakan pada ASP.. 5. Ia juga mempunyai banyak fungsi-fungsi tambahan, cepat, mudah dibaca
3.4.4 Perisian Pelayan Web
Pelayan web menjadi perisian penting yang akan bertindak memproses permintaan dari pengguna dan menyalurkan hasil permintaan tersebut kepada pengguna melalui pelayar laman web. Pelayan web yang akan digunakan dalam pembangunan sistem ini adalah pelayan web sumber terbuka yang banyak digunakan pada masa kini iaitu Microsoft Internet Information Services (IIS) yang juga terdapat dalam produk Microsoft Windows 2003 Advance Server dan ke atas. Penggunaan perisian pelayan web oleh kebanyakan pembangun sistem adalah disebabkan faktor perlesenan.
3.4.5 Penetapan Alamat URL
Alamat laman web bagi sesuatu laman web atau aplikasi web yang dinamakan sebagai Universal Resource Locator ( URL ) perlu didaftarkan di dalam pelayan nama domain ( DNS ) sistem rangkaian sesebuah organisasi untuk dicapai oleh pengguna. Dalam pembangunan sistem ini, pelayan web yang digunakan bertindak di komputer pembangunan sahaja sebagai pelayan setempat. Apabila sistem telah lengkap ia akan dimasukkan ke dalam pelayan web sebenar sesebuah organisasi. Alamat yang dicadangkan untuk mencapai sistem ini adalah http://www.ictsecuritypolicy.utm.my
3.4.6 Perisian Pelayaran Web
3.5 Keperluan Perkakasan
Pembangunan sistem aplikasi berasaskan web tidak memerlukan keperluan peralatan yang tinggi dari segi bilangan dan kos. Keperluan peralatan dibahagikan kepada dua kategori iaitu komputer pengguna dan komputer pelayan. Keperluan peralatan hanya bergantung kepada kelajuan pemprosesan data dan maklumat. Keperluan peralatan yang lebih baik disyorkan jika ingin meningkatkan keupayaan capaian sistem dan keselamatan sistem tersebut.
3.5.1 Komputer Pengguna
Pengguna boleh menggunakan apa saja komputer bagi mencapai sistem yang dibangunkan. Keistimewaan aplikasi berasaskan web adalah sistem tersebut boleh dicapai di mana-mana lokasi di seluruh dunia dengan menggunakan pelayar web asalkan komputer tersebut bersambung dengan sistem rangkaian Internet. Dengan menggunakan alamat URL yang telah diberikan, paparan pertama sistem akan dipaparkan pada layar komputer pengguna dan proses boleh dilaksanakan.
3.5.2 Komputer Pelayan
3.6 Ringkasan Bab
Kaedah pembangunan sistem adalah berasaskan kepada penganalisaan sistem yang sediaada di organisasi dan penggunaan biasa sistem maklumat pengurusan projek di pasaran telah membantu mengujudkan idea bagi pembangunan sistem ini. Strategi pembangunan aplikasi pantas (RAD) juga menjadikan pembangunan sistem ini lebih menjurus kepada keperluan organisasi dan pengguna Pembangunan sistem lebih menekan aspek pengurusan berbanding peringkat lain kerana aktiviti pemantauan banyak melibatkan pihak pengurusan organisasi dan pengurus projek.
BAB 4
HASIL KAJIAN
4.1 Pengenalan
Penghasilan pembangunan Sistem Polisi Keselamatan ICT bagi peningkatan perkhidmatan CICT ini boleh dilihat melalui perkara-perkara yang telah dibuat dalam proses perancangan pembangunan sistem tersebut. Oleh kerana strategi pembangunan berdasarkan pembangunan aplikasi pantas ( Rapid Aplication Development ), proses penganalisaan keperluan pengguna memainkan peranan yang penting sebelum sesuatu sistem boleh dibangunkan. Hasil kajian projek boleh ditunjukkan dengan maklumat-maklumat yang diambil semasa kajian dijalankan.
4.2 CICT Sebagai Pusat Perkhidmat Teknologi Maklumat UTM
4.2.1 Misi dan Visi CICT
Visi CICT adalah untuk menjadi nadi penggerak perkhidmatan ICT yang berkualiti dan inovatif ke arah merealisasikan aspirasi universiti manakala misi CICT ada komited untuk memenuhi keperluan teknologi maklumat universiti melalui aktiviti pengkomputeran pentadbiran dan akademik, penyediaan infrastruktur teknologi maklumat dan latihan serta penyelidikan dan perundingan teknologi maklumat berasaskan perkhidmatan yang berkualiti.
4.2.2 Objektif CICT
Bagi memenuhi visi dan misi CICT, CICT telah menggariskan beberapa objektif yang perlu dicapai bagi memenuhi keperluan sebagai pembekal perkhidmatan teknologi maklumat universiti melalui objektif berikut
• Meningkatkan kompentensi teknologi maklumat dalam masyarakat UTM.
• Memperluaskan penggunaan teknologi maklumat di dalam semua aktiviti universiti.
• Menyediakan prasarana dan kemudahan teknologi maklumat yang terjamin.
• Menjadi pusat rujukan dalam perkhidmatan dan perlaksanaan pembangunan perisian aplikasi universiti.
• Menerokai teknologi baru dalam perkhidmatan dan perlaksanaan teknologi maklumat.
4.2.3 Carta Organisasi CICT
disokong oleh dua unit khas. Selain dari itu satu cawangannya yang memberikan perkhidmatan teknologi maklumat berada di kampus cawangan Kuala Lumpur selain dari satu unit perkhidmatan pentadbiran bagi menguruskan urusan pentadbiran. Bahagian tersebut adalah Bahagian Pengkomputeran Pentadbiran yang memberikan tumpuan menyediakan perkhidmatan kepada pengurusan pentadbiran universiti. Bahagian ini terlibat dalam membangunkan aplikasi-aplikasi utama universiti selain membuat penyelenggaraan terhadap aplikasi tersebut atau yang diperolehi dipasaran.
Bahagian Pengkomputeran Akademik pula memberikan tumpuan kepada perkhidmatan akademik terutama aplikasi yang berkaitan dengan pengajaran dan pembelajaran bagi kegunaan pelajar dan pensyarah seperti menyediakan kemudahan makmal komputer, perisian-perisian pembelajaran dan penyelidikan. Bahagian Infrastruktur dan Servis pula menumpukan kepada menyediakan kemudahan prasarana teknologi maklumat seperti penyediaan rangkaian komputer seluruh universiti, kemudahan peralatan komputer dan pelayan serta aktiviti penyelenggaraan komputer seperti baikpulih komputer, pencetak dan sebagainya.
Rajah 4.1 dibawah menunjukkan carta organisasi CICT secara keseluruhan.
Rajah 4.1 Struktur Organisasi CICT
Sumber : Laporan Perancangan Straregik CICT 2007
4.3 Latar Belakang Perlaksanaan Polisi Keselamatan ICT
Polisi Keselamatan ICT telah dikaji dan disemak semula oleh Pusat
Komputer semenjak tahun 1998 dibawah pengawasan dan pengelolaan En Md Noh
Main. Satu pertemuan pertama untuk membincangkan isu ini telah diadakan pada
tahun tersebut dan dihadiri oleh semua Pengurus IT, dan seorang pakar keselamatan
ICT dari CASE iaitu Datok Prof Dr Norbik , perunding ICT dari Pusat ICT Prof Dr
Kasiran Buang telah dipanggil bersama-sama untuk membincangkannya. Hasilnya
sebuah buku karangan John Dryden yang merupakan Ketua Jabatan Maklumat, Komputer dan Bahagian Polisi IT tahun 1993 telah dibeli bertajuk IT Policy : Documentation and Implementation .
2003 selepas Pusat Komputer di jelnamakan semula kepada Pusat ICT dan dibawah pengurusan baru iaitu pengarah baru Prof Zamri b. Mohamed dasar polisi
keselamatan telah disemak semula dan telah dilulusakan oleh jawatankuasa tertinggi Universiti pada tahun 2004. Tetapi polisi dan dasar dari buku ini tidak dikaji
sepenuhnya untuk diguna pakai terhadap organisasi UTM.
Pada tahun bulan September 2004 satu taklimat mengenai perlaksanaan polisi keselamatan ICT berdasarkan garispanduan MAMPU (Rangka Dasar Keselamatan Teknologi Maklumat dan Komunikasi Kerajaan) yang disampaikan oleh Pengarah Pusat ICT dan Pegawai Teknologi Maklumat (Unit Keselamatan ICT – Saudara Azhari Hj Ahmad). Taklimat ini dihadiri oleh semua Pengurus IT,
Pengarah OSHA, Pegawai Undang-Undang UTM dan wakil-wakil jabatan yang tiada Pengurus IT. Setelah itu, satu bengkel Pemurnian Polisi ICT telah diadakan pada 22 hingga 24 April 2008 di Bayview Hotel, Melaka bagi membincangkan kaedah perlaksanaan terbaik untuk melaksanakan Polisi ICT mengikut keperluan. Bengkel ini adalah diselia oleh PM Wardah bt Zainal Abidin dan Dr Azizah bt A Rahman selaku perunding Pusat ICT dalam Projek Pembangunan Draf dan Penggubalan Polisi ICT di Universiti Teknologi Malaysia.
Keperluan tersebut adalah merangkumi :
i) Peraturan/Dasar Penggunaan E-mel UTM ii) Cadangan Peraturan Penggunaan Internet UTM iii) Cadangan Peraturan Penggunaan Makmal Komputer iv) Cadangan Panduan Pengisian Kandungan Laman Web v) Cadangan Panduan Pelupusan Peralatan ICT
vi) Cadangan Peraturan Penggunaan dan Peminjaman Peralatan Komputer
vii) Cadangan Peraturan Pengagihan Komputer
4.3.1 Struktur Organisasi Pusat Keselamatan ICT
Pengurus IT (JATIT)
Jawatan Kuasa IT Universiti (JITU)
Pusat ICT (Sekretarat)
Rajah 4.2 : Carta Organisasi Unit Keselamatan ICT
Unit Keselamatan ICT diketuai oleh Timbalan Naib Canseler (Pembangunan dan Inovasi) Datok Prof Dr Zaini b. Ujang, dibantu oleh Pegawai Teknologi
Maklumat (masih kosong) bertindak sebagai Pegawai Teknologi Komunikasi dan Keselamatan Maklumat (ICTSO). Disamping itu terdapat Pengurus IT yang dilantik oleh TNCP yang bertindak sebagai pelaksana ICT fakulti atau organisasi di UTM. Segala aduan atau perbincangan adalah melalui JATIT (Jawatan Kuasa Teknikal IT) yang dipengerusikan oleh Pengarah Pusat ICT.
Unit ini akan bertindak dalam membantu :
i) Dasar perisian, aplikasi dan perkakasan ii) Dasar keselamatan ICT
iii) Dasar Keselamatan ICT Kerajaan (Pekeliling Am Bil. 3 Tahun 2000) iv) Akta / Undang-undang berkenaan yang digubal oleh kerajaan
Malaysia.
v) Menjalinkan hubungan dengan Government Computer Emergency Response Team (GCERT) di MAMPU iaitu sebuah badan yang bertanggungjawab menangani semua laporan insiden keselamatan ICT yang melibatkan agensi Kerajaan termasuk:
a) Menerima dan mengambil tindakan ke atas insiden keselamatan yang dilaporkan
b) Menyebarkan maklumat bagi membantu pengukuhan keselamatan ICT sektor awam dari semasa ke semasa c) Menyediakan khidmat nasihat kepada agensi-agensi dalam
mengesan, mengenal pasti dan menangani sesuatu insiden keselamatan
d) Menyelaras dengan pihak-pihak yang terlibat seperti
Malaysian Computer Emergency Response Team (MyCERT), pembekal, Internet Service Provider (ISP) dan agensi-agensi penguat kuasa.
e) Semua insiden keselamatan ICT perlu dilaporkan kepada GCERT. Laporan mengenai insiden keselamatan ICT adalah penting kepada GCERT untuk:
• Memberi bantuan teknikal dalam pengendalian insiden keselamatan ICT
• Berkongsi pengalaman dan maklumat mengenai isu-isu keselamatan ICT
4.3.2 Peraturan dan Tatacara Keselamatan ICT
Bagi menentukan Sistem ICT ini terjamin keselamatannya sepanjang masa, Unit Keselamatan ICT ini melihat perlindungan semua bentuk maklumat yang dimasuk, diwujud, dimusnah, disimpan, dijana, dicetak, diakses, diedar, dalam penghantaran, dan yang dibuat salinan keselamatan ke dalam semua aset ICT. Ini dilakukan melalui penubuhan dan penguatkuasaan sistem kawalan dan prosedur dalam pengendalian semua perkara-perkara berikut:
i. Data dan Maklumat – Semua data dan maklumat yang disimpan atau digunakan dipelbagai media atau peralatan ICT.
ii. Peralatan ICT – Semua peralatan komputer dan peralatan seperti komputer peribadi, stesen kerja, kerangka utama dan alat-alat prasarana seperti Uninterrupted Power Supply (UPS), punca kuasa dan pendingin hawa.
iii. Media Storan – Semua media storan dan peralatan yang berkaitan seperti disket, kartrij, CD-ROM, pita, cakera, pemacu cakera dan pemacu pita.
iv. Komunikasi dan Peralatan Rangkaian – Semua peralatan berkaitan komunikasi seperti pelayan rangkaian, gateway, bridge, router dan peralatan PABX.
v. Perisian – Semua perisian yang digunakan untuk mengendali, memproses, menyimpan, menjana dan mengirim maklumat. Ini meliputi semua perisian sistem, perisian utiliti, perisian rangkaian, program aplikasi, pangkalan data, fail program dan fail data. vi. Dokumentasi - Semua dokumentasi yang mengandungi maklumat
berkaitan dengan penggunaan dan pemasangan peralatan dan perisian. Ia juga meliputi data dalam semua bentuk media seperti salinan kekal, salinan elektronik, transparencies, risalah dan slides.
Di samping itu unit keselamatan ini tertumpu kepada tugas dan tanggungjawab seperti berikut:
standard, garis panduan, prosedur dan langkah keselamatan di bawah Dasar Keselamatan ICT Kerajaan.
ii. Menentukan semua pegawai dan staf jabatan mematuhi standard, garis panduan, prosedur dan langkah keselamatan di bawah Dasar
Keselamatan ICT Kerajaan. Tindakan sewajarnya hendaklah diambil apabila berlaku sebarang perlanggaran keselamatan.
iii. Menjalankan penilaian risiko dan program keselamatan berpandukan kepada standard, garis panduan, prosedur dan langkah keselamatan
ICT.
iv. Mengadakan Pelan Rancangan Pematuhan yang bertujuan untuk mengurus risiko yang timbul akibat daripada ketidakpatuhan kepada standard, garis panduan, prosedur dan langkah keselamatan ICT. v. Melaporkan kepada Pusat ICT, UTM sebarang insiden perlanggaran
keselamatan seperti kejadian-kejadian berikut:
a) Maklumat didapati hilang, didedahkan kepada pihak-pihak yang tidak diberi kuasa atau, disyaki hilang atau didedahkan kepada pihak-pihak yang tidak diberi kuasa.
b) Sistem maklumat digunakan tanpa kebenaran atau disyaki sedemikian.
c) Kata laluan atau mekanisma kawalan sistem akses hilang, dicuri atau didedahkan, atau disyaki hilang, dicuri atau didedahkan.
4.4 Perlaksanaan Pembangunan Aplikasi Dan Perkhidmatan Teknologi Maklumat di CICT
Kesemua ini dianggap sebagai projek teknologi maklumat yang perlu dijalankan samada dalam jangkamasa pendek atau untuk jangkamasa panjang. Sebagai contoh projek Rancangan Malaysia ke Sembilan RMK 9 CICT yang sedang dan akan dijalankan dari tahun 2005 hingga 2010 melibatkan pelbagai projek teknologi maklumat yang menelan belanja yang besar. Disenaraikan sebahagian projek RMK 9 CICT bagi menunjukkan kaitannya dengan keperluan sistem Polisi Keselamatan ICT yang berkesan.
Jadual 4.1 : Senarai projek yang dilaksanakan oleh CICT
Bahagian dan Unit Projek
Pengkomputeran Pentadbiran Pengurusan Akademik Pengurusan Sumber Manusia Pengurusan Kewangan Sistem Sokongan Sistem Pintar
Sistem aplikasi sokongan bagi fakulti dan bahagian
Pengkomputeran Akademik Smart Learning Center MyREN Satellite Network
High-Performance Computer Cluster Infrastruktur dan Perkhidmatan Pemasangan wireless di kolej pelajar,
kawasan teras (UTM Skudai dan CityCampus)
Pengukuhan rangkaian bagi infrastruktur rangkaian pentadbiran dan akademik ( UTM Skudai & CityCampus)
Perlaksanaan thin client bagi komputer pentadbiran dan staf sokongan
clustering dan high-availability semua pelayan universiti)
Mewujudkan sistem authentication (dan accounting) bagi semua pengguna
Menambah laluan kabel baru dan alternatif Unit Khas Latihan dan Perundingan Pengujudan makmal multimedia
Peningkatan prasarana makmal latihan
Unit Khas Kajian dan Perundingan Pembangunan Sistem Pengurusan Kandungan Menyeluruh Universiti Projek Penggunaan RFID
Berdasarkan kepada sebahagian projek-projek teknologi maklumat ini, maka satu sistem Polisi Keselamatan ICT yang bersesuaian harus digunakan bagi memastikan kesemua projek-projek tersebut dilaksanakan mengikut perancangan dari segi masa dan kos yang ditetapkan. CICT juga sedang menyediakan kemudahan dari segi kemahiran dan staf untuk menjadi sebuah organisasi pembangunan perisian. Ini bermakna ia bersedia menerima projek-projek pembangunan sistem dari pelanggan dalaman dan pengguna di luar UTM seperti agensi kerajaan dan syarikat. Berdasarkan kepada sejarah perkembangan CICT, CICT pernah membangunkan sistem-sistem teknologi maklumat dari agensi kerajaan pada tahun 1990 an.
4.5 Hasil Kajian Keperluan CICT Untuk Pembangunan Sistem Polisi Keselamatan ICT
