DASAR KESELAMATAN ICT

(1)

Bab 9 halaman 58 Dasar Keselamatan ICT

BAB 9:

DASAR KESELAMATAN ICT

9.1 PENDAHULUAN

i. Pengenalan

Dasar Keselamatan ICT mengandungi peraturan-peraturan yang perlu dibaca dan dipatuhi dalam menggunakan aset Teknologi Maklumat dan Komunikasi (ICT) Universiti Malaysia Pahang (UMP). Dasar ini juga menerangkan kepada semua pengguna di UMP mengenai tanggungjawab dan peranan mereka dalam melindungi aset ICT UMP.

ii. Objektif

Dasar Keselamatan ICT UMP diwujudkan untuk memastikan tahap Keselamatan ICT UMP terurus dan dilindungi bagi menjamin ketelusan setiap urusan dengan meminimumkan kesan insiden keselamatan ICT.

iii. Skop

Dasar ini meliputi semua sumber atau aset ICT yang digunakan seperti:

(a) Maklumat (contoh: fail, dokumen, data elektronik), (b) Perisian (contoh: aplikasi dan sistem perisian) dan

(c) Fizikal (contoh: komputer, peralatan komunikasi dan media magnet).

Dasar ini diguna pakai oleh semua pengguna di UMP termasuk kakitangan, pelajar, pembekal dan pakar runding yang mengurus,

(2)

menyelenggara, memproses, mencapai, memuat turun, menyedia, memuat naik, berkongsi, menyimpan dan menggunakan aset ICT UMP.

iv. Prinsip-Prinsip

Prinsip-prinsip yang menjadi asas kepada Dasar Keselamatan ICT UMP dan perlu dipatuhi adalah seperti berikut:

(a) Akses Atas Dasar Perlu Mengetahui

Akses terhadap penggunaan aset ICT hanya diberikan untuk tujuan spesifik dan dihadkan kepada pengguna tertentu atas dasar “perlu mengetahui” sahaja. Ini bermakna akses hanya diberikan sekiranya peranan atau fungsi pengguna memerlukan maklumat tersebut. Pertimbangan untuk akses adalah berdasarkan kategori pengguna.

(b) Hak Akses Minimum

Hak akses pengguna hanya diberi pada tahap yang paling minimum iaitu untuk membaca dan/atau melihat sahaja. Kelulusan adalah perlu untuk membolehkan pengguna mewujud, menyimpan, mengemas kini, mengubah atau membatalkan sesuatu maklumat. Hak akses adalah dikaji dari semasa ke semasa berdasarkan kepada peranan dan tanggungjawab pengguna/bidang tugas.

(c) Akauntabiliti

Semua pengguna adalah bertanggungjawab ke atas semua tindakannya terhadap aset ICT UMP.

(d) Pengasingan

Tugas mewujud, memadam, kemas kini, mengubah dan mengesahkan data perlu diasing bagi mengelakkan daripada

(3)

capaian yang tidak dibenarkan serta melindungi aset ICT daripada kesilapan, kebocoran maklumat terperingkat atau di manipulasi.

(e) Pengauditan

Pengauditan adalah tindakan untuk mengenal pasti insiden berkaitan keselamatan atau mengenal pasti keadaan yang mengancam keselamatan. Ia membabitkan pemeliharaan semua rekod berkaitan tindakan keselamatan. Dengan itu, aset ICT seperti komputer, server, router, firewall, IPS,

Antivirus dan rangkaian hendaklah ditentukan dapat menjana

dan menyimpan log tindakan keselamatan atau audit trail.

(f) Pematuhan

Dasar Keselamatan ICT UMP hendaklah dibaca, difahami dan dipatuhi bagi mengelakkan sebarang bentuk pelanggaran ke atasnya yang boleh membawa ancaman kepada keselamatan ICT.

(g) Pemulihan

Pemulihan sistem amat perlu untuk memastikan keboleh sediaan dan keboleh capaian. Objektif utama adalah untuk meminimumkan sebarang gangguan atau kerugian akibat daripada ketidak sediaan. Pemulihan boleh dilakukan melalui aktiviti penduaan (backup) dan pewujudan pelan pemulihan bencana/kesinambungan perkhidmatan.

(h) Saling Bergantungan

Setiap prinsip di atas adalah saling melengkapi dan bergantung antara satu sama lain. Dengan itu, tindakan mempelbagaikan pendekatan dalam menyusun dan mencorakan sebanyak mungkin mekanisme keselamatan adalah perlu bagi menjamin keselamatan yang maksimum.

(4)

9.2 Organisasi Keselamatan

9.2.1 Struktur Organisasi

Struktur ini menerangkan peranan dan tanggungjawab indidvidu yang terlibat dengan lebih jelas dan teratur bagi mencapai objektif organisasi.

9.2.1.1 Carta Organisasi Keselamatan ICT

PENAUNG Naib Canselor UMP

JAWATANKUASA PENYELARAS KESELAMATAN ICT

Ketua Pegawai Maklumat (CIO) - Pengarah PTMK

Pegawai Keselamatan ICT (ICTSO) -Timbalan Pengarah PTMK

Pengurus ICT - Ketua-ketua Bahagian PTMK / Wakil-wakil Pegawai

PTJ

Pentadbir ICT - Kakitangan PTMK yang bertanggungjawab

(5)

9.2.1.2 Naib Canselor UMP

Peranan dan tanggungjawab Naib Cancelor adalah seperti berikut:

i. Memastikan semua pengguna mematuhi Dasar Keselamatan ICT UMP.

ii. Memastikan semua keperluan organisasi (sumber kewangan, sumber kakitangan dan perlindungan keselamatan) adalah mencukupi.

iii. Memastikan penilaian risiko dan program keselamatan ICT dilaksanakan seperti yang ditetapkan di dalam Dasar Keselamatan ICT UMP.

9.2.1.3 Jawatankuasa Penyelaras Keselamatan ICT

9.2.1.3.1 Ketua Pegawai Maklumat (CIO)

Peranan dan tanggungjawab CIO adalah seperti berikut:

i. Mewujud dan mengetuai pasukan penyelaras keselamatan ICT UMP.

ii. Membantu Naib Canselor UMP dalam melaksanakan tugas-tugas yang melibatkan keselamatan ICT.

iii. Menentukan keperluan keselamatan ICT. iv. Menyelaras pembangunan dan pelaksanaan

pelan latihan dan program kesedaran mengenai keselamatan ICT.

v. Memastikan semua pengguna memahami peruntukan di bawah Dasar Keselamatan ICT UMP.

(6)

9.2.1.3.2 Pegawai Keselamatan ICT (ICTSO)- Timbalan Pengarah PTMK

Peranan dan tanggungjawab ICTSO adalah seperti berikut:

i. Mengurus program-program keselamatan ICT. ii. Menguat kuasa dan memantau pematuhan ke

atas Dasar Keselamatan ICT.

iii. Memberi penerangan dan pendedahan berkenaan Dasar Keselamatan ICT kepada semua pengguna.

iv. Mewujudkan garis panduan, prosedur dan tatacara selaras dengan keperluan Dasar keselamatan ICT.

v. Menjalankan pengurusan risiko.

vi. Menjalankan audit, mengkaji semula, merumus tindak balas pengurusan UMP berdasarkan hasil penemuan/keperluan semasa dan menyediakan laporan mengenainya.

vii. Memberi amaran terhadap kemungkinan berlakunya ancaman berbahaya seperti virus dan memberi khidmat nasihat serta menyediakan langkah-langkah perlindungan yang bersesuaian.

viii. Melaporkan insiden Keselamatan ICT kepada Pasukan Tindakbalas Insiden Keselamatan ICT(GCERT) MAMPU dan memaklumkannya kepada CIO.

ix. Mengenal pasti punca ancaman atau insiden Keselamatan ICT dan melaksanakan langkah-langkah baik pulih dengan segera.

(7)

x. Memperaku proses pengambilan tindakan tatatertib ke atas pengguna yang melanggar Dasar Keselamatan ICT UMP.

xi. Membangun, menyelaras dan melaksana pelan latihan dan program kesedaran Keselamatan ICT.

9.2.1.3.3 Pengurus ICT

Peranan dan tanggungjawab Pengurus ICT adalah seperti berikut:

i. Memahami dan mematuhi Dasar Keselamatan ICT UMP.

ii. Melaksanakan garis panduan, prosedur dan tatacara selaras dengan keperluan Dasar Keselamatan ICT UMP.

iii. Menyebarkan amaran terhadap kemungkinan berlakunya ancaman berbahaya seperti virus dan memberi khidmat nasihat serta melaksanakan langkah-langkah perlindungan yang bersesuaian.

iv. Melaporkan sebarang perkara atau ancaman ke atas Keselamatan ICT kepada ICTSO. v. Melaporkan sebarang salah laku pengguna

yang melanggar Dasar Keselamatan ICT UMP kepada ICTSO.

vi. Menentukan kawalan akses semua pengguna terhadap aset ICT UMP.

vii. Mengenal pasti punca ancaman atau insiden Keselamatan ICT dan melaksanakan langkah-langkah baik pulih dengan segera.

(8)

viii. Menyimpan rekod, bahan bukti dan laporan terkini mengenai ancaman Keselamatan ICT UMP.

ix. Melaksanakan program-program kesedaran mengenai Keselamatan ICT.

9.2.1.3.4 Pentadbir ICT

Peranan dan tanggungjawab Pentadbir ICT adalah seperti berikut:

i. Mengambil tindakan segera yang bersesuaian apabila dimaklumkan mengenai kakitangan yang berhenti, bertukar, bercuti atau berlaku perubahan dalam bidang tugas.

ii. Menentukan ketepatan dan kesempurnaan sesuatu tahap capaian berdasarkan arahan pemilik sumber maklumat sebagaimana yang telah ditetapkan di dalam Dasar Keselamatan Komputer UMP.

iii. Memastikan kerahsiaan kata laluan dan memantau aktiviti capaian harian pengguna. iv. Mengenal pasti aktiviti-aktiviti tidak normal

seperti pencerobohan dan pengubahsuaian data tanpa kebenaran dan membatalkan atau memberhentikannya dengan serta merta. v. Menyimpan dan menganalisis rekod jejak audit

(audit trail).

vi. Menyediakan laporan mengenai aktiviti capaian kepada pemilik maklumat berkenaan secara berkala.

(9)

9.2.1.3.5 Pengguna ICT UMP

Pengguna adalah termasuk Staf/kakitangan dan Pelajar UMP.

9.2.1.3.6 Staf/Kakitangan

Peranan dan tanggungjawab Staf adalah seperti berikut:

ii. Mengetahui dan memahami implikasi Keselamatan ICT kesan dari tindakannya. iii. Melepasi tapisan Keselamatan ICT (jika

berkaitan).

iv. Mematuhi prinsip-prinsip Dasar Keselamatan ICT dan menjaga kerahsiaan maklumat UMP. v. Mengambil langkah-langkah perlindungan

seperti berikut:

(a) Menghalang pendedahan maklumat kepada pihak yang tidak dibenarkan.

(b) Memeriksa maklumat dan menentukan ia tepat dan lengkap dari semasa ke semasa. (c) Menentukan maklumat sedia untuk

digunakan.

(d) Menjaga kerahsiaan kata laluan.

(e) Mematuhi standard, prosedur, langkah dan garis panduan yang ditetapkan.

(f) Memastikan kemudahan aplikasi e-Community digunakan sepenuhnya pada

keseluruhan waktu bekerja supaya E-mel dan memo yang dialamatkan sampai tepat

(10)

pada masanya dan tindakan dapat disegerakan.

(g) Menggunakan kemudahan password screen

saver atau log keluar apabila hendak

meninggalkan komputer.

(h) Memaklumkan kepada pegawai ICT sekiranya berada di luar pejabat dalam tempoh waktu yang panjang, bercuti atau bertukar.

(i) Memberi perhatian kepada maklumat terperingkat terutama semasa pewujudan, pemprosesan, penyimpanan, penghantaran, penyampaian, pertukaran dan pemusnahan. (j) Menjaga kerahsiaan langkah-langkah

keselamatan ICT dari diketahui umum. vi. Melaporkan sebarang aktiviti yang mengancam

keselamatan ICT kepada Penyelaras ICT dengan segera.

vii. Menyertai program-program kesedaran mengenai keselamatan ICT.

9.2.1.3.7 Pelajar

Peranan dan tanggungjawab Pelajar adalah seperti berikut:

ii. Mengetahui dan memahami implikasi Keselamatan ICT kesan dari tindakannya. iii. Mematuhi prinsip-prinsip Dasar Keselamatan

ICT dan menjaga kerahsiaan maklumat UMP. iv. Mengambil langkah-langkah perlindungan

(11)

(a) Menghalang pendedahan maklumat kepada pihak yang tidak dibenarkan.

(b) Memeriksa maklumat dan menentukan ia tepat dan lengkap dari semasa ke semasa. (c) Menentukan maklumat sedia untuk

digunakan;

(d) Menjaga kerahsiaan kata laluan.

(e) Mematuhi standard, prosedur, langkah dan garis panduan yang ditetapkan.

(f) Memastikan kemudahan aplikasi e-Community digunakan sebaiknya, tidak

melakukan pencerobohan terhadap sistem yang dibekalkan.

(g) Menggunakan kemudahan password screen

saver atau log keluar apabila hendak

meninggalkan komputer.

(h) Menjaga kerahsiaan langkah-langkah keselamatan ICT dari diketahui umum. v. Melaporkan sebarang aktiviti yang mengancam

keselamatan ICT kepada Penyelaras ICT dengan segera.

vi. Menyertai program-program kesedaran mengenai keselamatan ICT yang dianjurkan oleh universiti.

(12)

9.2.1.3.8 Pihak Ketiga/Luar

Keselamatan penggunaan maklumat dan kemudahan proses maklumat oleh pihak ketiga/luar hendaklah sentiasa dikawal. Perkara-perkara berikut hendaklah dimasukkan di dalam perjanjian yang dimeterai:

i. Dasar Keselamatan ICT UMP.

ii. Tapisan Keselamatan / Surat Perjanjian.

9.3 Kawalan dan Pengkelasan Aset

9.3.1 Akauntabiliti Aset

Kawalan dan pengkelasan aset bertujuan memberi dan menyokong perlindungan yang optimum ke atas semua aset ICT UMP.

9.3.2 Inventori Aset

Pengurusan aset dan inventori memastikan semua aset ICT UMP diberikan perlindungan yang bersesuaian oleh pemilik atau pemegang amanah masing-masing.

Perkara yang perlu dipatuhi adalah seperti berikut:

i. Memastikan semua aset dikenal pasti dan maklumat aset direkodkan dalam daftar harta modal dan inventori dan sentiasa kemas kini.

ii. Memastikan software yang digunakan berlesen. iii. Memastikan proses verifikasi aset ICT.

iv. Memastikan semua aset mempunyai pemilik dan dikendalikan oleh pengguna yang dibenarkan sahaja.

v. Mengenal pasti, mendokumen dan melaksanakan peraturan bagi penggunaan aset.

(13)

9.3.3 Pengkelasan Maklumat

Pegawai yang diberi tanggungjawab perlu memastikan setiap maklumat diberi perlindungan yang bersesuaian berdasarkan kepada tahap sensitiviti masing-masing. Maklumat hendaklah dikelaskan berasaskan nilai, keperluan perundangan, tahap sensitiviti dan tahap kritikal UMP. Setiap maklumat hendaklah dikelas dan dilabelkan mengikut sebagaimana yang telah ditetapkan di dalam dokumen Arahan Keselamatan seperti berikut:

i. Rahsia Besar. ii. Rahsia.

iii. Sulit. iv. Terhad.

9.3.4 Pengendalian Maklumat

Pengguna ICT UMP perlu memastikan pengendalian maklumat seperti pewujudan, pengumpulan, pemprosesan, penyimpanan, penyalinan, penghantaran, penyampaian, penukaran dan pemusnahan hendaklah mengambil kira langkah-langkah keselamatan berikut :

i. Menghalang pendedahan maklumat kepada pihak yang tidak dibenarkan.

ii. Memeriksa maklumat dan menentukan ia tepat dan lengkap dari semasa ke semasa.

iii. Menentukan maklumat sedia untuk digunakan. iv. Menjaga kerahsiaan kata laluan.

v. Mematuhi standard, prosedur dan garis panduan keselamatan yang ditetapkan.

vi. Memberi perhatian kepada maklumat terperingkat terutama semasa pewujudan, pemprosesan, penyimpanan, penyalinan, penghantaran, penyampaian, pertukaran dan pemusnahan.

(14)

vii. Menjaga kerahsiaan langkah-langkah keselamatan ICT daripada diketahui umum.

9.4 Keselamatan Sumber Manusia

Untuk memastikan semua sumber manusia yang terlibat termasuk staf, pelajar, pembekal, pakar runding dan pihak-pihak lain memahami tanggungjawab dan peranan mereka dalam keselamatan aset ICT perkara-perkar seperti di bawah perlu dilaksanakan:

9.4.1 Sebelum Berkhidmat/Belajar

Semua pengguna ICT UMP perlu memastikan kakitangan, pelajar, kontraktor, pihak ketiga, pakar runding dan pihak-pihak lain yang berkepentingan memahami tanggungjawab masing-masing ke atas keselamatan aset ICT bagi meminimumkan risiko seperti kesilapan, kecuaian, kecurian, penipuan dan penyalahgunaan aset ICT UMP.

9.4.2 Sebelum Berkhidmat – Staf

Perkara yang perlu dipatuhi oleh staf adalah seperti berikut:

i. Menjalani tapisan keselamatan untuk kakitangan UMP selaras dengan keperluan Perkhidmatan Awam.

ii. Mematuhi semua terma dan syarat perkhidmatan yang ditawarkan dan peraturan semasa yang berkuat kuasa berdasarkan perjanjian yang telah ditetapkan.

iii. Peraturan semasa yang berkuat kuasa.

9.4.3 Sebelum Pendaftaran Baru-Pelajar

(15)

i. Mematuhi semua terma dan syarat seorang pelajar yang ditawarkan di dalam surat tawaran.

ii. Peraturan semasa yang berkuatkuasa.

9.4.4 Sebelum Berkhidmat-Pihak Ketiga/Luar

Perkara yang perlu dipatuhi oleh pihak ketiga/luar adalah seperti berikut:

i. Menjalani tapisan keselamatan dalaman kepada pembekal, pakar runding dan pihak-pihak yang terlibat menyelia projek-projek ICT dalam kawasan UMP.

ii. Peraturan semasa yang berkuat kuasa.

9.4.5 Dalam Perkhidmatan/Belajar

PTMK, pengguna ICT UMP dan pihak ketiga perlu sedar akan ancaman keselamatan maklumat, peranan dan tanggungjawab masing-masing untuk menyokong Dasar Keselamatan ICT UMP. Perkara-perkara yang perlu dipatuhi adalah seperti berikut:

i. Memastikan semua pengguna ICT UMP mengurus keselamatan berdasarkan perundangan dan peraturan yang ditetapkan oleh UMP

ii. Memastikan latihan kesedaran yang berkaitan dengan pengurusan Keselamatan ICT diberi kepada semua pengguna UMP dan sekiranya perlu kepada pembekal, pakar runding dan pihak-pihak lain yang berkepentingan dari semasa ke semasa. iii. Memastikan adanya proses tindakan disiplin ke atas semua

pengguna ICT UMP sekiranya berlaku pelanggaran dengan perundangan dan peraturan yang ditetapkan oleh UMP.

(16)

9.4.6 Bertukar atau Tamat Perkhidmatan/Belajar

Memastikan semua pengguna UMP yang tamat perkhidmatan / belajar atau bertukar dari UMP diurus dengan teratur. Perkara yang perlu dipatuhi oleh pengguna ICT UMP adalah seperti berikut:

i. Memastikan semua aset ICT yang dipinjam dikembalikan kepada UMP mengikut peraturan dan/atau terma yang ditetapkan oleh UMP.

ii. Membatalkan atau meminda semua kebenaran capaian ke atas maklumat dan kemudahan proses maklumat mengikut peraturan yang ditetapkan oleh UMP.

9.5 Keselamatan Fizikal dan Persekitaran

Keselamatan fizikal dan persekitaran adalah bagi mencegah akses fizikal yang tidak dibenarkan, yang boleh mengakibatkan kecurian, kerosakan dan gangguan kepada premis dan maklumat.

9.5.1 Perimeter Keselamatan Fizikal

Pengarah PTMK, ICTSO dan Pengurus ICT bertanggungjawab memastikan untuk menghalang, mengesan dan mencegah cubaan untuk menceroboh. Perkara yang perlu dipatuhi adalah seperti berikut:

i. Mengenal pasti kawasan keselamatan fizikal dengan jelas dan lokasi serta keteguhan kawasan hendaklah bergantung kepada keperluan untuk melindungi aset dalam kawasan tersebut dan hasil dari penilaian risiko.

ii. Memperkukuhkan tingkap dan pintu serta dikunci untuk mengawal kemasukan.

iii. Memperkukuhkan dinding dan siling;

iv. Memasang alat penggera atau kamera litar tertutup (CCTV), door

(17)

v. Menghadkan laluan keluar masuk;

vi. Bekerjasama dengan Bahagian Keselamatan UMP.

vii. Menyediakan tempat atau bilik khas untuk pelawat-pelawat (contoh: ruang menunggu).

viii. Mewujudkan perkhidmatan kawalan keselamatan ICT.

9.5.2 Kawalan Masuk Fizikal

Kawalan masuk fizikal bertujuan untuk mewujudkan kawalan keluar masuk ke premis/ bangunan UMP. Perkara yang perlu dipatuhi adalah seperti berikut:

i. Mempamerkan pas pekerja, pelajar dan pelawat sepanjang waktu di kawasan UMP.

ii. Mendaftar dan mendapat Pas Pelawat di kaunter keselamatan pintu masuk utama UMP dan hendaklah dikembalikan selepas tamat lawatan bagi setiap pelawat/pihak luar.

9.6 Keselamatan Aset ICT

Keselamatan ICT adalah melindungi peralatan dan maklumat daripada kehilangan, kerosakan, kecurian atau salah guna yang mendatangkan gangguan ke atas aktiviti UMP.

9.6.1 Pekakasan

Semua pengguna ICT UMP bertanggungjawab menjaga dan mengawal peralatan ICT dengan baik supaya boleh berfungsi apabila diperlukan. Perkara yang perlu dipatuhi adalah seperti berikut: i. Memeriksa dan memastikan semua perkakasan ICT di bawah

kawalan setiap pengguna berfungsi dengan sempurna.

ii. Menyimpan atau meletakkan semua perkakasan di tempat yang teratur, bersih dan mempunyai ciri-ciri keselamatan.

(18)

iii. Menjadi tanggungjawab setiap pengguna di atas kerosakan atau kehilangan perkakasan ICT di bawah kawalannya.

iv. Melaporkan sebarang bentuk penyelewengan atau salah guna perkakasan kepada ICTSO / Pengurus ICT di Jabatan-jabatan dan Fakulti-fakulti dalam UMP.

v. Pengguna tidak dibenar membuat perubahan perkakasan tanpa kebenaran bertulis daripada Pengarah PTMK dan tidak menyalahgunakan bagi kepentingan peribadi.

9.6.2 Dokumen Elektronik

Semua Pengguna ICT UMP hendaklah melaksanakan langkah-langkah pengurusan dokumen elektronik yang baik dan selamat bagi memastikan integriti maklumat terpelihara. Perkara yang perlu dipatuhi adalah seperti berikut:

i. Memastikan sistem dokumentasi atau penyimpanan maklumat adalah selamat dan terjamin.

ii. Melaksanakan langkah keselamatan pada dokumen elektronik bertanda Rahsia Besar, Rahsia, Sulit dan Terhad dengan menggunakan enkripsi dan keselamatan kata laluan pada dokumen. Ini termasuk (tetapi tidak terhad kepada) penghantaran dokumen bertanda melalui elektronik.

iii. Memastikan dokumen yang mengandungi bahan atau maklumat terperingkat diambil segera dari media output.

9.6.3 Media Storan

Semua Pengguna ICT UMP perlu memberi perhatian khusus terhadap keselamatan media storan kerana ianya berupaya menyimpan maklumat yang besar. Langkah-langkah pencegahan seperti berikut hendaklah diambil untuk memastikan kerahsiaan, integriti dan keboleh sediaan maklumat yang disimpan dalam media

(19)

storan adalah terjamin dan selamat. Perkara yang perlu dipatuhi adalah seperti berikut:

i. Menyediakan ruang penyimpanan yang baik dan mempunyai ciri-ciri keselamatan bersesuaian dengan kandungan maklumat. ii. Menghadkan akses untuk memasuki kawasan penyimpanan

media kepada pengguna yang dibenarkan sahaja.

iii. Merujuk kepada tatacara pelupusan sekiranya penghapusan maklumat hendak dilakukan dan mestilah mendapat kebenaran pemilik maklumat terlebih dahulu.

iv. Merekodkan pengurusan media termasuk inventori, pergerakan dan penduaan (backup).

9.7 Keselamatan Persekitaran

Keselamatan persekitaran adalah penting bagi melindungi aset ICT UMP dari sebarang bentuk ancaman persekitaran yang disebabkan oleh bencana alam, kesilapan, kecuaian atau kemalangan.

9.7.1 Kawalan Persekitaran Pusat Data dan Bilik Server

Pengurus ICT dan juga ICTSO adalah berperanan bagi memastikan bilik pusat data dan bilik server ini terhindar daripada kerosakan dan gangguan. Semua cadangan berkaitan premis sama ada untuk memperoleh, menyewa, ubah suai, pembelian hendaklah dirujuk terlebih dahulu kepada CIO. Perkara yang perlu dipatuhi bagi keselamatan persekitaran pusat data dan bilik server adalah adalah: i. Merancang dan menyediakan pelan keseluruhan susun atur

pusat data (bilik percetakan, peralatan komputer dan ruang atur pejabat dan sebagainya) dengan teliti.

ii. Melengkapi semua ruang pejabat khususnya kawasan yang mempunyai kemudahan ICT dengan perlindungan keselamatan

(20)

yang mencukupi dan dibenarkan seperti alat pencegah kebakaran dan pintu kecemasan.

iii. Memasang peralatan perlindungan di tempat yang bersesuaian, mudah dikenali dan dikendalikan.

iv. Penyimpanan bahan mudah terbakar hendaklah di luar kawasan kemudahan penyimpanan aset ICT.

v. Meletakkan semua bahan cecair di tempat yang bersesuaian dan berjauhan dari aset ICT.

vi. Melarang pengguna merokok atau menggunakan peralatan memasak seperti cerek elektrik berhampiran peralatan ICT. vii. Memeriksa dan menguji semua peralatan perlindungan

sekurang-kurangnya satu (1) kali setahun. Aktiviti dan keputusan ujian ini perlu direkodkan bagi memudahkan rujukan dan tindakan sekiranya perlu.

viii. Mengadakan preventive maintainance.

ix. Menggunakan vakum yang memenuhi piawai untuk membersihkan peralatan.

9.7.2 Bekalan Kuasa

Pengurus ICT adalah bertanggungjawab bagi memastikan bekalan kuasa adalah sentiasa dikawal selia bagi memastikan ianya tidak mengganggu operasi premis dan aset ICT. Perkara yang perlu dipatuhi adalah seperti berikut:

i. Menggunakan peralatan sokongan seperti UPS (Uninterruptable

Power Supply) dan penjana (generator) bagi perkhidmatan kritikal

seperti di bilik server supaya mendapat bekalan kuasa berterusan.

ii. Memeriksa dan menguji semua peralatan sokongan bekalan kuasa secara berjadual (1 kali setahun).

iii. Melindungi semua peralatan ICT dari kegagalan bekalan elektrik dan menyalurkan bekalan yang sesuai.

(21)

iv. Suhu hendaklah terkawal dalam had suhu peralatan rangkaian berkenaan dengan memasang penghawa dingin khusus (precision aircond) sepanjang masa.

9.7.3 Prosedur Kecemasan

CIO, ICTSO dan Pengurus ICT adalah bertanggungjawab bagi memastikan prosedur keselamatan yang diiktiraf digunapakai bagi sebarang insiden kecemasan yang berlaku di premis dan aset ICT. Perkara yang perlu dipatuhi adalah seperti berikut:

i. Memastikan setiap pengguna membaca, memahami dan mematuhi prosedur kecemasan dengan merujuk kepada prosedur kecemasan yang telah ditetapkan oleh Bahagian Keselamatan UMP.

ii. Melaporkan insiden kecemasan kepada Pegawai Keselamatan di Bahagian Keselamatan UMP.

iii. Mengada, menguji dan mengemas kini pelan kecemasan dari semasa ke semasa.

iv. Merancang dan mengadakan latihan kebakaran bangunan (fire

drill) secara tahunan.

9.7.4 Keselamatan Kabel

Pengurus ICT adalah bertanggungjawab bagi memastikan setiap kabel termasuk kabel elektrik dan telekomunikasi yang menyalurkan data bagi menyokong perkhidmatan penyampaian maklumat hendaklah sentiasa dilindungi. Perkara yang perlu dipatuhi adalah seperti berikut:

i. Menggunakan kabel mengikut spesifikasi yang telah ditetapkan.

ii. Melindungi kabel di kawasan awam dengan memasang

(22)

mengelak daripada kerosakan yang disengajakan atau tidak disengajakan.

iii. Melindungi laluan pemasangan kabel sepenuhnya bagi mengelakkan ancaman kerosakan dan wire tapping.

iv. Melabelkan kabel menggunakan kod dan label standard v. Pusat pendawaian/Network Operating Center hendaklah

sentiasa berkunci dan hanya boleh dicapai oleh kakitangan yang dibenarkan.

9.7.5 Penyelenggaraan Peralatan ICT

Pengurus ICT bertanggungjawab memastikan peralatan diselenggara dengan betul bagi menilai keboleh sediaan, kerahsiaan dan integriti maklumat sentiasa berada dalam keadaan yang baik. Perkara yang perlu dipatuhi adalah seperti berikut:

i. Mematuhi spesifikasi yang ditetapkan oleh pengeluar bagi semua perkakasan yang diselenggara.

ii. Memastikan perkakasan hanya diselenggara oleh kakitangan atau pihak yang dibenarkan sahaja.

iii. Memeriksa dan menguji semua perkakasan sebelum dan selepas proses penyelenggaraan.

iv. Memaklumkan pihak pengguna sebelum melaksanakan penyelenggaraan mengikut jadual yang ditetapkan atau atas keperluan.

9.7.6 Pengendalian Peralatan Luar yang Dibawa Masuk

Pengurus ICT bertanggungjawab sepenuhnya bagi memastikan peralatan yang dibawa masuk ke premis UMP adalah sentiasa mengikut prosedur yang ditetapkan. Perkara yang perlu dipatuhi adalah seperti berikut:

i. Memastikan peralatan yang dibawa masuk tidak mengancam keselamatan ICT UMP.

(23)

ii. Mendapatkan kelulusan mengikut peraturan yang telah ditetapkan oleh UMP bagi membawa masuk/ keluar peralatan. iii. Memeriksa dan memastikan peralatan ICT yang dibawa keluar

tidak mengandungi maklumat sulit UMP. Jika ada maklumat itu, ia perlu disalin dan dihapuskan.

9.7.7 Peminjaman Peralatan Untuk Kegunaan Di Luar Pejabat

Pengurus ICT bertanggungjawab terhadap peralatan yang dipinjamkan bagi kegunaan di luar pejabat adalah terdedah kepada pelbagai risiko. Perkara yang perlu dipatuhi adalah seperti berikut: i. Mendapatkan kelulusan mengikut peraturan Pengurusan Aset

ICT atau peraturan UMP bagi membawa keluar peralatan atau maklumat tertakluk kepada tujuan yang dibenarkan.

ii. Melindungi dan mengawal peralatan sepanjang masa.

iii. Memastikan aktiviti peminjaman dan pemulangan peralatan ICT direkodkan.

iv. Menyemak peralatan yang dipulangkan berada dalam keadaan baik dan lengkap.

9.7.8 Pelupusan dan Kitar Semula Peralatan

Pengurus ICT adalah bertanggungjawab terhadap peralatan ICT yang hendak dilupuskan. Ianya perlu melalui prosedur proses pelupusan UMP. Pelupusan perlu dilakukan secara terkawal dan lengkap supaya maklumat tidak terlepas dari kawalan UMP. Perkara yang perlu dipatuhi adalah seperti berikut:

i. Menghapuskan semua kandungan khususnya iaitu maklumat rahsia rasmi terlebih dahulu sama ada melalui shredding,

grinding, degauzing atau pembakaran sebelum pelupusan.

ii. Menjalankan proses pelupusan hardisk mengikut prosedur yang betul.

(24)

9.7.9 Clear Desk dan Clear Screen

Semua Pengguna ICT UMP adalah disarankan untuk menggunakan

Clear Desk dan Clear Screen supaya tidak meninggalkan

bahan-bahan yang sensitif terdedah sama ada di atas meja pengguna atau di paparan skrin apabila pengguna tidak berada di tempatnya. Perkara yang perlu dipatuhi adalah seperti berikut:

i. Menggunakan kemudahan password screen saver atau logout apabila meninggalkan komputer.

ii. Menyimpan bahan-bahan sensitif di dalam laci atau kabinet fail yang berkunci.

iii. Memastikan semua dokumen diambil segera dari pencetak, pengimbas, mesin faksimili dan mesin fotostat.

9.8 Pengurusan Prosedur Operasi dan Komunikasi

Bagi memastikan perkhidmatan dan pemprosesan maklumat dapat berfungsi dengan betul dan selamat ia perlu diurus mengikut prosedur yang telah ditetapkan.

9.8.1 Pengurusan Prosedur Operasi

Pengurusan prosedur operasi adalah perlu bagi memastikan perkhidmatan dan pemprosesan maklumat dapat berfungsi dengan betul dan selamat. Ia juga dapat mengukur keboleh sediaan setiap perkhidmatan dan juga capaian maklumat.

9.8.1.1 Pengendalian Prosedur

Pengurus ICT adalah bertanggungjawab memastikan kemudahan pemprosesan maklumat beroperasi dengan selamat seperti yang ditetapkan. Perkara yang perlu dipatuhi adalah seperti berikut:

(25)

i. Mendokumenkan semua prosedur keselamatan ICT yang di wujud, dikenal pasti dan masih diguna pakai, disimpan dan dikawal.

ii. Memastikan setiap prosedur mengandungi arahan-arahan yang jelas, teratur dan lengkap seperti keperluan kapasiti, pengendalian dan pemprosesan maklumat, pengendalian dan penghantaran ralat, pengendalian output, bantuan teknikal dan pemulihan sekiranya pemprosesan tergendala atau terhenti. iii. Mengemaskini semua prosedur dari semasa ke semasa atau

mengikut keperluan.

9.8.1.2 Pengurusan Penyampaian Perkhidmatan Pihak Ketiga

Pengurus ICT adalah bertanggungjawab memastikan pelaksanaan dan penyelenggaraan tahap keselamatan maklumat dan penyampaian perkhidmatan yang sesuai selaras dengan perjanjian perkhidmatan dengan pihak ketiga. Perkara yang perlu dipatuhi adalah seperti berikut:

i. Memastikan kawalan keselamatan, definisi perkhidmatan dan tahap penyampaian yang terkandung dalam perjanjian dilaksana dan diselenggara oleh pihak ketiga.

ii. Memantau, menyemak dan mengaudit perkhidmatan, laporan dan rekod yang dikemukakan oleh pihak ketiga dari semasa ke semasa.

iii. Mengurus perubahan penyediaan perkhidmatan termasuk menyelenggara dan menambah baik Dasar Keselamatan, prosedur dan kawalan maklumat sedia ada dengan mengambil kira tahap kritikal sistem dan proses yang terlibat serta penilaian semula risiko.

(26)

9.8.1.3 Perancangan Dan Penerimaan Sistem dan Rangkaian

Pengurus ICT atau Pentadbir ICT adalah bertanggungjawab bagi meminimumkan risiko yang boleh menyebabkan gangguan atau kegagalan sistem. Perkara yang perlu dipatuhi adalah seperti berikut:

i. Merancang, mengurus dan mengawal kapasiti sesuatu komponen atau sistem ICT dengan teliti oleh pegawai yang berkenaan bagi memastikan keperluannya adalah mencukupi dan bersesuaian untuk pembangunan dan kegunaan sistem ICT pada masa akan datang.

ii. Memantau, menetapkan dan merancang penggunaan peralatan bagi memenuhi keperluan kapasiti akan datang untuk memastikan prestasi sistem di tahap optimum.

iii. Menetapkan kriteria penerimaan untuk sistem maklumat baru, peningkatan dan versi baru dan ujian yang sesuai ke atasnya perlu dibuat semasa pembangunan dan sebelum penerimaan sistem.

iv. Mengambil kira ciri-ciri keselamatan ICT dalam perancangan keperluan kapasiti bagi meminimumkan risiko seperti gangguan pada perkhidmatan dan kerugian akibat pengubahsuaian yang tidak dirancang.

9.8.1.4 Perlindungan Dari Kod Jahat (Malicious Code)

Pengurus ICT atau Pentadbir ICT adalah bertanggungjawab bagi melindungi integriti perisian dan maklumat daripada pendedahan atau kerosakan yang disebabkan oleh perisian berbahaya seperti

virus, worm, trojan dan spyware. Perkara yang perlu dipatuhi

adalah seperti berikut:

i. Memasang sistem keselamatan untuk mengesan perisian atau program berbahaya seperti anti virus dan Intrusion Detection

(27)

System (IDS) dan mengikut prosedur penggunaan yang betul

dan selamat.

ii. Memasang dan menggunakan hanya perisian yang berlesen dan dilindungi di bawah Akta Hakcipta (Pindaan) Tahun 1997. iii. Mengimbas semua perisian atau sistem dengan anti virus

sebelum menggunakannya.

iv. Mengemaskini pattern antivirus dari semasa ke semasa;

v. Menyemak kandungan sistem atau maklumat secara berkala bagi mengesan aktiviti yang tidak diingini seperti kehilangan dan kerosakan maklumat.

vi. Menghadiri program kesedaran secara berkala mengenai ancaman perisian berbahaya dan cara mengendalikannya. vii. Memasukkan klausa tanggungan di dalam mana-mana kontrak

yang telah ditawarkan kepada pembekal perisian. Klausa ini bertujuan untuk tuntutan baik pulih sekiranya perisian tersebut mengandungi program berbahaya.

viii. Mengadakan program dan prosedur jaminan kualiti ke atas semua perisian yang dibangunkan.

ix. Memberi amaran mengenai ancaman keselamatan ICT dari semasa ke semasa.

9.8.2 Pengurusan Operasi

Pengurusan Operasi adalah perlu bagi mengekalkan integriti, keboleh sediaan maklumat dan kemudahan pemprosesan maklumat. Sekiranya berlaku sebarang masalah yang melibatkan operasi rutin, maka maklumat yang diperlukan dapat dicapai dengan mudah.

9.8.2.1 Penduaan (Backup)

Pengurus ICT atau Pentadbir ICT adalah bertanggungjawab memastikan sistem dapat dibangunkan semula setelah berlakunya bencana, salinan penduaan hendaklah direkodkan dan disimpan di

(28)

lokasi yang berlainan. Perkara yang perlu dipatuhi adalah seperti berikut:

i. Membuat salinan keselamatan ke atas semua sistem perisian dan aplikasi sekurang-kurangnya sekali atau setelah mendapat versi terbaru.

ii. Membuat salinan penduaan ke atas semua data dan maklumat mengikut kesesuaian operasi.

iii. Menguji sistem penduaan sedia ada bagi memastikan ianya dapat berfungsi dengan sempurna, boleh dipercayai dan berkesan apabila digunakan khususnya pada waktu kecemasan.

iv. Membuat dan menguji salinan maklumat dan perisian secara berkala berdasarkan prosedur penduaan.

v. Memastikan media backup adalah yang terkini dan memenuhi piawaian di pasaran dan boleh dipulihkan menggunakan teknologi terkini.

vi. Jangka hayat media backup perlu dipastikan apabila media berkenaan hendak digunakan semula (recycle).

vii. Wujudkan prosedur bertulis yang diluluskan oleh pihak pengurusan mengenai langkah-langkah yang perlu diambil jika berlaku bencana dan kehilangan data.

viii. Prosedur backup/restore didokumenkan dan diuji.

ix. Penempatan salinan penduaan hendaklah disimpan di dalam peti simpanan khas di bangunan yang berbeza dengan sumber asal.

9.8.2.2 Sistem Log

Pengurus ICT atau Pentadbir ICT adalah bertanggungjawab memastikan sistem log dapat diakseskan jika berlaku sebarang pencerobohan terhadap data, salinan sistem log hendaklah direkodkan dan disimpan sebagai bahan rujukan atau bukti. Perkara yang perlu dipatuhi adalah seperti berikut:

(29)

i. Mewujudkan sistem log bagi merekodkan semua aktiviti harian pengguna.

ii. Menyemak sistem log secara berkala bagi mengesan ralat yang menyebabkan gangguan kepada sistem dan mengambil tindakan membaik pulih dengan segera.

iii. Melaporkan kepada ICTSO sekiranya wujud aktiviti-aktiviti tidak sah lain seperti kecurian maklumat dan pencerobohan.

9.8.3 Pengurusan Rangkaian

Pengurusan rangkaian adalah penting bagi memastikan perlindungan keselamatan maklumat dalam rangkaian dan infrastruktur sokongan terurus dan terkawal.

9.8.3.1 Kawalan Infrastruktur Rangkaian

ICTSO, Pengurus ICT dan Pentadbir ICT adalah bertanggungjawab memastikan infrastruktur rangkaian dikawal dan diuruskan sebaik mungkin untuk menghalang ancaman kepada sistem dan aplikasi di dalam rangkaian. Perkara yang perlu dipatuhi adalah seperti berikut: i. Membangun dan melaksanakan dasar dan prosedur bagi

melindungi maklumat berhubung kait dengan sistem rangkaian. ii. Mengenalpasti ciri-ciri keselamatan, tahap perkhidmatan

rangkaian dan memasukkannya ke dalam mana-mana perjanjian sama ada perkhidmatan berkenaan disediakan secara dalaman atau melalui khidmat luar.

iii. Mengasingkan tanggungjawab atau kerja-kerja operasi rangkaian dan komputer untuk mengurangkan capaian dan pengubahsuaian yang tidak dibenarkan.

iv. Meletakkan peralatan rangkaian di lokasi yang mempunyai ciri-ciri fizikal yang kukuh dan selamat.

(30)

v. Semua peralatan mestilah melalui proses User Acceptance Test (UAT) semasa pemasangan dan konfigurasi.

vi. Mengawal capaian kepada peralatan rangkaian dan terhad kepada pengguna yang dibenarkan sahaja.

vii. Memastikan semua peralatan mengikut klasifikasi yang ditetapkan semasa pemasangan dan konfigurasi.

viii. Memastikan semua trafik rangkaian melalui firewall di bawah kawalan UMP.

ix. Melarang semua perisian sniffer atau network analyser dipasang pada komputer pengguna kecuali mendapat kebenaran.

x. Memasang perisian Intrusion Detection System (IDS) bagi mengesan sebarang cubaan menceroboh dan aktiviti-aktiviti lain yang boleh mengancam sistem dan maklumat UMP.

xi. Memasang Web Content Filter pada Proxy untuk menyekat aktiviti yang dilarang seperti yang termaktub di dalam Pekeliling Kemajuan Pentadbiran Awam Bilangan 1 Tahun 2003 bertajuk “Garis Panduan Mengenai Tatacara Penggunaan Internet dan Mel Elektronik di Agensi-Agensi Kerajaan”.

xii. Mendapat kebenaran ICTSO bagi sebarang penyambungan rangkaian yang bukan di bawah kawalan UMP.

xiii. Memastikan pemasangan serta penggunaan LAN tanpa wayar (wireless) di UMP mempunyai langkah-langkah keselamatan yang perlu mengikut kehendak semasa.

9.8.4 Pengurusan Media

Pengurusan media adalah penting bagi melindungi media ICT dari kerosakan dan penyalahgunaan. Media adalah bahan yang mudah untuk di bawa. Bagi menjaga integriti terhadap media, penggunaannya perlulah sentiasa diurus secara betul.

(31)

9.8.4.1 Penghantaran Dan Pemindahan

ICTSO, Pengurus ICT dan Pentadbir ICT adalah bertanggungjawab memastikan penghantaran atau pemindahan media ke luar pejabat hendaklah mendapat kebenaran daripada CIO dan tertakluk kepada prosedur yang sedia ada di UMP.

9.8.4.2 Pengendalian Media

Pentadbir Sistem dan Rangkaian ICT adalah bertanggungjawab memastikan agar setiap prosedur yang bertujuan mengendali dan menyimpan maklumat tidak terdedah tanpa kebenaran atau disalah guna. Perkara yang perlu dipatuhi adalah seperti berikut:

i. Melabelkan semua media mengikut tahap sensitiviti sesuatu maklumat.

ii. Menghadkan dan menentukan capaian media kepada pengguna yang dibenarkan sahaja.

iii. Menghadkan pengedaran media untuk tujuan yang dibenarkan. iv. Merekod dan mengawal aktiviti penyelenggaraan media bagi mengelak dari sebarang kerosakan dan pendedahan yang tidak dibenarkan.

v. Menyimpan semua media di tempat yang selamat.

vi. Menghapus atau memusnahkan media yang mengandungi maklumat rahsia rasmi mengikut prosedur keselamatan media yang dikeluarkan oleh kerajaan Malaysia.

9.8.5 Keselamatan Komunikasi Rangkaian

Keselamatan dalam komunikasi rangkaian adalah penting bagi memastikan keselamatan pertukaran maklumat dan perisian dalam UMP dan mana-mana agensi luar terjamin.

(32)

9.8.5.1 Internet

Semua Pengguna ICT UMP hendaklah mematuhi Tatacara Penggunaan Internet merujuk kepada Pekeliling Kemajuan Pentadbiran Awam Bilangan 1 Tahun 2003 bertajuk “Garis Panduan Mengenai Tatacara Penggunaan Internet dan Mel Elektronik di Agensi- agensi Kerajaan” dan pekeliling–pekeliling yang dikeluarkan oleh kerajaan dari semasa ke semasa. Pengguna ICT UMP juga hendaklah memastikan beberapa perkara seperti berikut dipatuhi:

i. Penggunaan Memo di dalam e-community adalah bagi urusan rasmi yang berkaitan dengan universiti sahaja dan setiap lampiran (attachment) hendaklah dihantar melalui E-mel atau

Files Bank.

ii. Maklumat yang diperoleh daripada pangkalan data (database) hendaklah dirahsiakan dan digunakan untuk urusan rasmi yang berkaitan dengan Universiti sahaja (hanya terpakai kepada pegawai ICT yang mempunyai kuasa untuk berbuat demikian). iii. Pentadbir ICT yang telah diberi kuasa boleh menutup laman

web tertentu tanpa notis dengan sebab Criminal Skill, Pornografi, Perjudian dan lain-lain yang memberi kesan negatif seperti Gambling (gm), Dating (mm), Cults (oc), Mature(mt),

Nudity(nd), Sex(sx) berdasarkan senarai di dalam web caching engine.

iv. Pentadbir ICT berhak menggantung sementara penggunaan komputer yang terlibat jika di dapati dalam satu kumpulan pengguna komputer terdapat beberapa komputer yang bermasalah dan boleh menyebabkan gangguan dari segi teknikal kepada individu lain seperti gangguan capaian kepada intranet dan internet, penyebaran virus dan lain-lain dalam kumpulan yang sama.

(33)

9.8.5.2 Mel Elektonik

Penggunaan e-mel di UMP hendaklah dipantau secara berterusan oleh Pentadbir ICT yang mentadbir E-mel untuk memenuhi keperluan etika penggunaan e-mel dan Internet yang terkandung dalam Pekeliling Kemajuan Pentadbiran Awam Bilangan 1 Tahun 2003 bertajuk “Garis Panduan Mengenai Tatacara Penggunaan Internet dan Mel Elektronik di Agensi-agensi Kerajaan” dan mana-mana undang-undang bertulis yang berkuat kuasa.

9.9 Pengurusan Insiden Keselamatan ICT

Pengurusan Insiden Keselamatan ICT adalah penting bagi memastikan tindakan menangani insiden keselamatan ICT diambil dengan cepat, teratur dan berkesan serta meminimumkan kesan insiden keselamatan ICT.

9.9.1 Prosedur Pengurusan Insiden

ICTSO adalah bertanggungjawab memastikan Prosedur Pengurusan Insiden UMP diwujudkan dan perlu didokumenkan. Perkara yang perlu dipatuhi adalah seperti berikut:

i. Mengenal pasti semua jenis insiden keselamatan ICT seperti gangguan perkhidmatan yang disengajakan, pemalsuan identiti dan pengubahsuaian perisian tanpa kebenaran.

ii. Menyedia pelan kontigensi dan mengaktifkan pelan kesinambungan perkhidmatan.

iii. Menyimpan audit trail dan memelihara bahan bukti. iv. Menyediakan pelan tindakan pemulihan segera.

(34)

9.9.2 Pelaporan Insiden

Semua Pengguna ICT UMP bertanggungjawab ke atas Insiden keselamatan ICT dan hendaklah dilaporkan kepada ICTSO atau Jawatankuasa Penyelaras Keselamatan ICT dengan kadar segera. Insiden keselamatan ICT adalah termasuk (tetapi tidak terhad) kepada yang berikut:

i. Maklumat didapati hilang, didedahkan kepada pihak-pihak yang tidak diberi kuasa atau, disyaki hilang atau didedahkan kepada pihak-pihak yang tidak diberi kuasa.

ii. Sistem maklumat digunakan tanpa kebenaran atau disyaki sedemikian.

iii. Kata laluan atau mekanisme kawalan akses hilang, dicuri atau didedahkan, atau disyaki hilang, dicuri atau didedahkan.

iv. Kejadian sistem yang luar biasa seperti kehilangan fail, sistem kerap kali gagal dan komunikasi tersalah hantar.

v. Berlaku percubaan menceroboh, penyelewengan dan insiden-insiden yang tidak diingini.

Nota:

Pekeliling Am Bilangan 1 Tahun 2001 bertajuk “Mekanisme Pelaporan Insiden Keselamatan ICT” mengenainya boleh dirujuk.

9.10 Kawalan Capaian

Memahami dan mematuhi keperluan keselamatan dalam membuat capaian dan menggunakan aset ICT UMP.

9.10.1 Keperluan Dasar

Pengurus ICT adalah bertanggungjawab kepada setiap capaian kepada aset ICT. Ia hendaklah dikawal mengikut keperluan keselamatan dan fungsi kerja pengguna yang berbeza. Ia perlu

(35)

direkodkan, dikemas kini dan dipantau dan menyokong dasar kawalan capaian pengguna sedia ada.

9.10.2 Pengurusan Capaian Pengguna

Pengurus atau Pentadbir ICT adalah berperanan bagi memastikan setiap pengguna adalah bertanggungjawab ke atas sistem ICT yang digunakan. Perkara yang perlu dipatuhi adalah seperti berikut: i. Mewujudkan prosedur pendaftaran dan pembatalan kebenaran

kepada pengguna untuk membuat capaian maklumat dan perkhidmatan;

ii. Akaun pengguna adalah unik dan pengguna bertanggungjawab ke atas akaun tersebut selepas pengesahan penerimaan dibuat; iii. Akaun pengguna yang diwujudkan dan tahap capaian termasuk

sebarang perubahan mestilah mendapat kebenaran pegawai yang bertanggungjawab secara bertulis dan direkodkan;

iv. Pemilikan akaun dan capaian pengguna adalah tertakluk kepada peraturan Jabatan dan tindakan pengemaskinian dan/atau pembatalan hendaklah diambil atas sebab berikut:

(a) Pengguna tidak hadir bertugas tanpa kebenaran melebihi satu tempoh yang ditentukan oleh Ketua Jabatan;

(b) Pengguna bertukar status atau taraf jawatan, tanggungjawab dan/atau dikenakan tindakan tatatertib oleh Pihak Berkuasa Tatatertib;dan

(c) Pengguna bertukar, berpindah agensi, bersara dan/atau tamat perkhidmatan.

v. Akaun pengguna bukan hak milik mutlak, ia diberi sepanjang tempoh perkhidmatan dan belajar sahaja;

vi. Merekod dan menyelenggara aktiviti capaian oleh pengguna dengan sistematik dan dikaji dari semasa ke semasa. Maklumat yang direkod termasuk identiti pengguna, sumber yang digunakan, perubahan maklumat, tarikh, masa, rangkaian dilalui, aplikasi diguna dan aktiviti capaian secara sah atau sebaliknya.

(36)

9.10.3 Tanggungjawab Pengguna

Setiap Pengguna ICT UMP adalah bertanggungjawab memastikan langkah berkesan bagi kawalan capaian digunakan untuk menghalang penyalahgunaan, kecurian maklumat dan kemudahan proses maklumat. Perkara yang perlu dipatuhi adalah seperti berikut: i. Mematuhi amalan terbaik pemilihan dan penggunaan kata laluan. ii. Memastikan kemudahan dan peralatan yang tidak digunakan

mendapat perlindungan sewajarnya.

iii. Mematuhi amalan clear desk/ clear screen policy.

9.10.4 Kawalan Capaian Rangkaian

Pengurus atau Pentadbir ICT adalah bertanggungjawab untuk menghalang capaian tidak sah dan tanpa kebenaran ke atas perkhidmatan rangkaian. Kawalan capaian perkhidmatan rangkaian hendaklah dijamin selamat serta mewujud dan menguat kuasa mekanisme untuk pengesahan pengguna dan peralatan yang menepati kesesuaian penggunaannya. Perkara yang perlu dipatuhi adalah seperti berikut:

i. Memastikan pengguna boleh membuat capaian ke atas perkhidmatan yang dibenarkan sahaja.

ii. Mewujudkan mekanisme pengesahan yang sesuai untuk mengawal capaian oleh pengguna jarak jauh.

iii. Mengguna kaedah pengenalan automatik berdasarkan lokasi dan peralatan untuk pengesahan sambungan ke dalam rangkaian. iv. Mengawal capaian fizikal dan logikal keatas kemudahan port

diagnostic dan konfigurasi jarak jauh.

v. Mengasingkan capaian mengikut kumpulan perkhidmatan maklumat, pengguna dan sistem maklumat dalam rangkaian. vi. Mengawal sambungan ke rangkaian, khususnya bagi kemudahan

(37)

vii. Mewujud dan melaksana kawalan pengalihan laluan (routing control) untuk memastikan pematuhan ke atas peraturan UMP.

9.10.5 Kawalan Capaian Sistem Operasi

Pengurus atau Pentadbir ICT adalah bertanggungjawab bagi memastikan capaian ke atas sistem operasi dikawal dan dihadkan kepada pengguna yang dibenarkan sahaja. Kaedah yang digunakan hendaklah mampu menyokong perkara berikut:

i. Mengesahkan pengguna yang dibenarkan selaras dengan peraturan UMP.

ii. Mewujudkan audit trail ke atas semua capaian sistem operasi terutama pengguna bertaraf khas (super user).

iii. Menjana amaran (alert) sekiranya berlaku perlanggaran ke atas peraturan keselamatan sistem;

iv. Menyedia kaedah sesuai untuk pengesahan capaian (authentication).

v. Menghadkan tempoh penggunaan mengikut kesesuaian. Perkara yang perlu dipatuhi adalah seperti berikut:

(a) Mengawal capaian ke atas sistem operasi menggunakan prosedur log-on yang selamat;

(b) Prosedur log-on yang selamat perlulah:

1. Menggunakan kaedah pengenalan pengguna yang unik dan teknik pengesahan pengguna yang berkesan dan selamat.

2. Melaksana sistem pengurusan kata laluan yang interaktif dan menjamin kualiti serta keselamatan kata laluan.

3. Mengawal penggunaan utiliti yang berkeupayaan melepasi sistem dan aplikasi terhad.

4. Menamatkan sesi yang tidak aktif selepas tempoh masa yang ditetapkan.

(38)

5. Menghadkan tempoh masa penggunaan bagi meningkatkan keselamatan aplikasi yang berisiko tinggi.

9.10.6 Kawalan Capaian Aplikasi dan Maklumat

Pengurus atau Pentadbir ICT adalah bertanggungjawab bagi memastikan capaian sistem dan aplikasi di UMP adalah terhad kepada pengguna dan tujuan yang dibenarkan sahaja. Akauan Sistem E-Community adalah diberikan kepada semua Staf dan Pelajar, manakala Sistem IMS adalah terhad kepada Staf tertentu sahaja. Bagi memastikan kawalan capaian sistem dan aplikasi adalah kukuh, langkah-langkah berikut hendaklah dipatuhi:

i. Membenarkan pengguna membuat capaian aplikasi dan maklumat yang dibenarkan mengikut tahap capaian dan sensitiviti maklumat yang telah ditentukan.

ii. Menyediakan mekanisme perlindungan bagi menghalang capaian tidak sah ke atas aplikasi dan maklumat daripada utiliti sedia ada dalam sistem operasi dan perisian malicious yang berupaya melangkaui kawalan sistem.

iii. Memastikan capaian ke atas maklumat dan fungsi sistem aplikasi oleh pengguna dihadkan, selaras dengan peraturan UMP.

iv. Mengasingkan persekitaran pengkomputeran yang khusus bagi sistem yang sensitif.

9.10.7 Penggunaan Peralatan ICT Mudah Alih

Setiap Pengguna ICT UMP adalah bertanggungjawab memastikan keselamatan maklumat apabila menggunakan kemudahan atau peralatan ICT mudah alih. Perkara yang perlu dipatuhi adalah seperti berikut:

(39)

i. Mewujudkan peraturan dan garis panduan keselamatan yang bersesuaian untuk melindungi dari risiko penggunaan peralatan mudah alih dan kemudahan komunikasi.

ii. Mewujudkan peraturan dan garis panduan untuk memastikan persekitaran kerja jarak jauh adalah sesuai dan selamat.

9.11 Pembangunan dan Penyelenggaraan Sistem dan Aplikasi

Setiap sistem yang dibangunkan hendaklah mempunyai ciri-ciri keselamatan ICT yang membolehkan sistem berfungsi dengan sebaiknya agar tidak berlaku sebarang kebocoran maklumat yang disebabkan oleh kelemahan sistem.

9.11.1 Keperluan Keselamatan

Pengurus dan Pentadbir ICT adalah bertanggungjawab memastikan kawalan keselamatan yang sesuai dijalinkan ke dalam aplikasi bagi menghalang kesilapan, kehilangan, pindaan yang tidak sah dan penyalahgunaan maklumat dalam aplikasi. Perkara yang perlu dipatuhi adalah seperti berikut:

i. Memasang dan menggunakan hanya perisian yang berlesen dan dilindungi di bawah Akta Hakcipta (Pindaan) Tahun 1997.

ii. Menyemak dan mengesahkan data sebelum dimasukkan ke dalam aplikasi bagi menjamin ketepatan maklumat.

iii. Menggabungkan semakan pengesahan di dalam aplikasi untuk mengenal pasti sebarang pencemaran maklumat sama ada kerana kesilapan atau disengajakan.

iv. Mengenal pasti dan melaksana kawalan yang sesuai bagi pengesahan dan perlindungan integriti mesej dalam aplikasi. v. Menjalankan proses semak ke atas hasil data daripada setiap

(40)

9.11.2 Kawalan Kriptografi

Pengurus atau Pentadbir ICT adalah berperanan bagi memastikan kaedah kriptografi diguna untuk melindungi kerahsiaan, kesahihan dan integriti maklumat. Perkara yang perlu dipatuhi adalah seperti berikut:

i. Membangun dan melaksana peraturan untuk melindungi maklumat menggunakan kaedah kriptografi yang sesuai.

ii. Memastikan kaedah yang selamat dan berkesan untuk pengurusan kunci yang menyokong teknik kriptografi diguna pakai di UMP.

9.11.3 Kawalan Perisian Operasi

Pengurus atau Pentadbir ICT adalah bertanggungjawab memastikan kaedah yang sesuai dilaksanakan untuk mengawal capaian ke atas fail sistem dan kod sumber program bagi menjamin keselamatan sistem fail. Perkara yang perlu dipatuhi adalah seperti berikut:

i. Mewujudkan peraturan untuk mengawal pemasangan perisian ke dalam persekitaran operasi.

ii. Mewujudkan peraturan untuk pemilihan, perlindungan dan kawalan data ujian.

iii. Mengawal dan menghadkan capaian ke atas kod sumber kepada pengguna yang dibenarkan sahaja.

iv. Mengemaskini patches dan mengatasi kelemahan sistem yang berlaku daripada maklumat yang diperolehi dari agensi keselamatan berdaftar.

v. Menaik taraf sistem pengoperasian kepada versi terkini sesuai dengan spesifikasi peralatan ICT sedia ada.

(41)

9.11.4 Keselamatan Dalam Proses Pembangunan dan Sokongan

Pengurus atau Pentadbir ICT adalah bertanggungjawab ke atas keselamatan perisian sistem aplikasi dan maklumat dikawal supaya selamat dalam semua keadaan. Perkara yang perlu dipatuhi adalah seperti berikut:

i. Mengawal pelaksanaan perubahan melalui peraturan formal. ii. Membuat semakan teknikal selepas perubahan sistem operasi

bagi menjamin tiada impak negatif ke atas keselamatan operasi UMP.

iii. Mengawal dan menghad perubahan ke atas perisian yang perlu sahaja.

iv. Menghalang semua ruang untuk kebocoran maklumat.

v. Mengawal selia dan memantau pembangunan perisian oleh pihak luar dari semasa ke semasa.

9.11.5 Keselamatan Perisian Sistem Aplikasi

Pengurus atau Pentadbir ICT adalah bertanggungjawab memastikan Kawalan keselamatan dilaksana bagi mengelak berlakunya capaian oleh pengguna yang tidak sah, pengubahsuaian, pendedahan atau penghapusan maklumat. PTMK bertanggungjawab menyediakan kawalan dan kemudahan seperti berikut:

i. Sistem keselamatan berpusat dengan kawalan capaian penggunaan satu ID dan kata laluan untuk semua aplikasi.

ii. Profil capaian yang menghadkan tahap capaian maklumat serta fungsi berdasarkan peranan pengguna.

iii. Kawalan peringkat sistem aplikasi dengan mengadakan sistem log yang menentukan akauntabiliti kepada semua pengguna.

iv. Penetapan pemilik maklumat adalah berdasarkan kepada Jawatankuasa Pengurusan Maklumat (JPM).

(42)

9.11.6 Keselamatan Pangkalan Data

Pengurus atau Pentadbir ICT adalah bertanggungjawab ke atas Integriti maklumat yang disimpan dalam pangkalan data kekal dan terjamin. Perkara yang perlu dipatuhi adalah seperti berikut: i. Sistem Pengurusan Pangkalan Data memastikan integriti dalam

pengemaskinian dan capaian maklumat.

ii. Kawalan capaian kepada maklumat ditentukan oleh Pentadbir ICT.

9.11.7 Perubahan Versi

Pengurus atau Pentadbir ICT adalah bertanggungjawab mengawal versi sistem aplikasi apabila perubahan atau peningkatan dibuat dan prosedur kawalan perubahan versi perlu sentiasa dipatuhi.

9.11.8 Penyimpanan Kod Sumber (Source Code)

Pengurus atau Pentadbir ICT adalah bertanggungjawab mengurus dan melaksanakan kawalan penyimpanan kod sumber bagi sistem aplikasi yang dibangunkan secara dalaman atau luaran untuk tujuan penyelenggaraan dan peningkatan yang merangkumi:

i. Mewujudkan prosedur penyelenggaraan versi terkini.

ii. Mendokumenkan prosedur back up kod sumber bagi penyelenggaraan versi terkini.

iii. Menyimpan back up kod sumber di dua (2) lokasi yang berasingan.

9.11.9 Pengujian Aplikasi

Pengurus atau Pentadbir ICT adalah bertanggungjawab menguji atucara, modul, sistem aplikasi dan integrasi bagi memastikan sistem

(43)

berfungsi mengikut spesifikasi yang ditetapkan. Langkah berikut diambil semasa pengujian aplikasi dijalankan:

i. Menggunakan data ujian (dummy) atau data lapuk (historical). ii. Mengawal penggunaan data terpilih (classified).

iii. Menghadkan capaian kepada kakitangan yang terlibat sahaja. iv. Mengadakan kaedah pemberitahuan (flag system) sekiranya

capaian dan pengemaskinian maklumat dilakukan.

v. Menghapuskan maklumat yang digunakan selepas selesai pengujian (terutamanya apabila menggunakan data lapuk). vi. Menggunakan persekitaran yang berasingan untuk pembangunan