SEJARAH DOKUMEN. Tarikh Versi Kelulusan Tarikh Kuatkuasa 17 September JPICT Bil. 3 Tahun September 2007

(1)

(2)

SEJARAH DOKUMEN

Tarikh Versi Kelulusan Tarikh Kuatkuasa

17 September 2007 1.0 JPICT Bil. 3 Tahun 2007 18 September 2007

23 Mac 2010 2.0 JPICT Bil. 2 Tahun 2010 24 Mac 2010

23 Mei 2014 3.0 JPICT Bil. 2 Tahun 2014 24 Mei 2014

(3)

(4)

4 | P a g e

ISI KANDUNGAN

PENGENALAN

6 PELAKSANAAN

21 KESELAMATAN PERKHIDMATAN ICT

34 APLIKASI ICT

77 INFRASTRUKTUR ICT

85 KESINAMBUNGAN PERKHIDMATAN ICT

91

(5)

(6)

6 | P a g e

BAB 1: PENGENALAN

Pelan Keselamatan Siber Kementerian Pembangunan Luar Bandar (KPLB) mengandungi peraturan-peraturan yang mesti dibaca, difahami dan dipatuhi dalam menggunakan aset Teknologi Maklumat dan Komunikasi (ICT) Kerajaan. Pelan ini juga menerangkan kepada semua pengguna mengenai tanggungjawab dan peranan mereka dalam melindungi aset ICT KPLB.

Kandungan Pelan Keselamatan Siber KPLB digambarkan seperti di Rajah 1.

(7)

7 | P a g e

OBJEKTIF

Objektif utama Pelan Keselamatan Siber KPLB ialah seperti berikut:

i. Memastikan kelancaran operasi KPLB dan meminimumkan kerosakan atau kemusnahan;

ii. Melindungi kepentingan aset ICT dan pihak yang bergantung kepada sistem ICT daripada kesan kegagalan atau kelemahan dari segi kerahsiaan, integriti, kebolehsediaan, kesahihan maklumat serta mencegah penyalahgunaan aset ICT; dan

iii. Memberi kesedaran keselamatan ICT kepada warga KPLB, pembekal dan pihak ketiga.

(8)

8 | P a g e

PERNYATAAN DASAR

Keselamatan ditakrifkan sebagai keadaan yang bebas daripada ancaman dan risiko yang tidak boleh diterima. Kawalan keselamatan adalah proses yang berterusan secara berkala yang mesti dilakukan untuk menjamin keselamatan.

Keselamatan ICT bermaksud keadaan di mana segala urusan menyedia dan membekalkan perkhidmatan yang berasaskan ICT beroperasi secara berterusan tanpa gangguan.

Empat (4) komponen asas keselamatan ICT adalah:

(a) Melindungi maklumat rasmi kerajaan dari capaian tidak sah (b) Menjamin setiap maklumat adalah asli dan sempurna (c) Memastikan ketersediaan maklumat apabila diperlukan

(d) Memastikan akses hanya diberi kepada pengguna yang sah dan penerimaan maklumat adalah daripada sumber yang sah

Pelan Keselamatan Siber KPLB merangkumi perlindungan ke atas semua bentuk maklumat elektronik bagi tujuan menjamin keselamatan dan ketersediaan maklumat. Ciri-ciri utama keselamatan maklumat adalah seperti berikut:

(a) Kerahsiaan - Maklumat tidak boleh didedahkan sewenang-wenangnya atau dibiarkan akses tanpa kebenaran;

(b) Integriti - Data dan maklumat hendaklah tepat, lengkap dan kemas kini. Ia hanya boleh diubah dengan cara yang dibenarkan

(c) Tidak Boleh Disangkal - Punca data dan maklumat hendaklah dari punca yang sah

(9)

9 | P a g e (d) Kesahihan - Data dan maklumat hendaklah dijamin kesahihannya (e) Ketersediaan – Data dan maklumat hendaklah boleh diakses pada

(10)

10 | P a g e

PRINSIP

Prinsip-prinsip yang menjadi asas kepada Pelan Keselamatan Siber KPLB adalah seperti berikut:

(a) Akses atas dasar perlu mengetahui

Akses terhadap penggunaan aset ICT hanya diberikan untuk tujuan khusus dan dihadkan kepada pengguna tertentu atas dasar “perlu mengetahui” sahaja. Ini bermakna akses hanya diberikan sekiranya peranan atau fungsi pengguna memerlukan maklumat tersebut. Pertimbangan untuk akses adalah berdasarkan kategori maklumat seperti yang dinyatakan di dalam dokumen Arahan Keselamatan;

(b) Hak akses minimum

Hak akses pengguna hanya diberi pada tahap paling minimum iaitu untuk membaca dan/atau melihat sahaja. Kelulusan adalah perlu untuk membolehkan pengguna mewujud, menyimpan, mengemas kini, mengubah atau membatalkan sesuatu maklumat. Hak akses perlu dikaji dari masa ke semasa berdasarkan kepada peranan dan tanggungjawab pengguna/bidang tugas;

(11)

11 | P a g e (c) Akauntabiliti

Semua pengguna adalah bertanggungjawab terhadap semua tindakannya ke atas aset ICT KPLB. Bagi menentukan tanggungjawab ini dipatuhi, sistem ICT hendaklah mampu menyokong keupayaan mengesan dan

mengesahkan bahawa pengguna berkenaan boleh

dipertanggungjawabkan atas tindakan mereka.

Akauntabiliti pengguna adalah merangkumi perkara berikut:

i. Menghalang pendedahan maklumat kepada pihak yang tidak dibenarkan;

ii. Memeriksa maklumat dan menentukan keaslian dan kesempurnaan dari masa ke semasa;

iii. Menentukan ketersediaan maklumat; iv. Menjaga kerahsiaan kata laluan;

v. Mematuhi standard, prosedur dan garis panduan keselamatan yang ditetapkan; dan

vi. Memberi perhatian kepada maklumat terperingkat terutama semasa pewujudan, pemprosesan, penyimpanan, penghantaran, penyampaian, pertukaran dan pemusnahan.

(12)

12 | P a g e

(d) Pengasingan Fungsi

Pengasingan fungsi perlu dilakukan di antara pentadbir dan pengguna bagi mengelak capaian yang tidak dibenarkan.

Pengasingan ini dapat mencegah berlakunya kesilapan, manipulasi serta kebocoran dan seterusnya mengekalkan integriti dan ketersediaan maklumat.

Setiap fungsi sistem perlu diasingkan dengan jelas dan diberikan akses hanya kepada pengguna yang sah. Pengasingan juga merangkumi tindakan memisahkan antara kumpulan operasi dan rangkaian.

(e) Pengauditan Keselamatan

Pengauditan keselamatan adalah tindakan untuk mengenal pasti insiden berkaitan keselamatan atau mengenal pasti keadaan yang mungkin boleh mengancam keselamatan.

Bagi tujuan tersebut, semua rekod log tindakan keselamatan dan jejak audit aset ICT seperti komputer, pelayan, firewall, rangkaian dan sistem aplikasi hendaklah dipelihara.

(13)

13 | P a g e

(f) Pematuhan

Pelan Keselamatan Siber KPLB hendaklah dibaca, difahami dan dipatuhi bagi mengelak sebarang bentuk pelanggaran yang boleh membawa ancaman kepada keselamatan ICT.

(g) Pemulihan

Pemulihan sistem ICT adalah perlu untuk memastikan ketersediaan maklumat dan seterusnya meminimumkan gangguan atau kerugian. Pemulihan boleh dilakukan melalui aktiviti penduaan dan tindakan lain seperti yang dijelaskan dalam Pelan Pemulihan Bencana ICT Kementerian Pembangunan Luar Bandar.

(h) Saling Bergantungan

Setiap prinsip di atas adalah saling melengkapi dan bergantung antara satu sama lain bagi menjamin keselamatan ICT yang maksimum.

(14)

14 | P a g e

SKOP

Skop bagi Pelan Keselamatan Siber KPLB adalah meliputi:

a) Aset ICT KPLB iaitu meliputi perkakasan, perisian dan sistem aplikasi. b) Proses dan prosedur keselamatan ICT

(15)

15 | P a g e

RUJUKAN

a) MS ISO/IEC 27001:2013 Information Security Management System b) Rangka Kerja Keselamatan Cyber Sektor Awam (RAKKSSA)

c) Pekeliling 1PP - Tatacara Pengurusan Aset Alih Kerajaan (KP 1.1/2013) d) Arahan Keselamatan

e) Surat Arahan Ketua Pengarah MAMPU – Pengurusan Kesinambungan Perkhidmatan Agensi Sektor Awam yang bertarikh 22 Januari 2010

f) Surat Arahan Ketua Pengarah MAMPU - Langkah-Langkah Mengenai Penggunaan Mel Elektronik di Agensi-Agensi Kerajaan yang bertarikh 1 Jun 2007

g) Surat Arahan Ketua Pengarah MAMPU - Langkah-Langkah Pemantapan Pelaksanaan Sistem Mel Elektronik Di Agensi-Agensi Kerajaan yang bertarikh 23 November 2007

h) Pelaksanaan Sistem Mel Elektronik Di Agensi-Agensi Kerajaan yang bertarikh 23 November 2007

i) Surat Arahan Ketua Setiausaha Negara - Langkah-Langkah Untuk Memperkukuhkan Keselamatan Rangkaian Setempat Tanpa Wayar (Wireless Local Area Network) di Agensi-Agensi Kerajaan yang bertarikh 20 Oktober 2006

j) Surat Pekeliling Am Bilangan 6 Tahun 2005 - Garis Panduan Penilaian Risiko Keselamatan Maklumat Sektor Awam

k) Pekeliling Kemajuan Pentadbiran Awam Bilangan 1 Tahun 2003

l) Pekeliling Kemajuan Pentadbiran Awam Bilangan 1 Tahun 2003 - Garis Panduan Mengenai Tatacara Penggunaan Internet dan Mel Elektronik di Agensi-Agensi Kerajaan

(16)

16 | P a g e m) Malaysian Public Sector Management of Information and Communications

Technology Security Handbook (MyMIS) 2002

n) Pekeliling Am Bilangan 1 Tahun 2001 - Mekanisme Pelaporan Insiden Keselamatan Teknologi Maklumat dan Komunikasi (ICT)

o) Pekeliling Am Bilangan 3 Tahun 2000 – Rangka Dasar Keselamatan Teknologi Maklumat dan Komunikasi Kerajaan

p) Akta Tandatangan Digital 1997 q) Akta Jenayah Komputer 1997

r) Akta Komunikasi dan Multimedia 1998 s) Perintah-Perintah Am

t) Arahan Perbendaharaan

u) Pelan Pemulihan Bencana Kementerian Pembangunan Luar Bandar

v) Standard Operating Procedure (SOP) ICT Kementerian Pembangunan Luar Bandar

(17)

17 | P a g e

GLOSARI

TERMINOLOGI MAKSUD

Arahan Keselamatan Panduan mengenai peraturan-peraturan keselamatan yang perlu dipatuhi semua kakitangan kerajaan.

Aset ICT Komponen-komponen yang terdiri daripada perkakasan, perisian, perkhidmatan, data atau manusia.

Chief Information Officer

(CIO) Pegawai yang dilantik dan bertanggungjawab ke atas pengurusan maklumat organisasi.

Pegawai Keselamatan ICT

(ICTSO) Pegawai yang bertanggungjawab untuk menjaga keselamatan ICT.

Pentadbir Sistem ICT Pegawai yang bertanggungjawab untuk menjalankan tugas-tugas pembangunan, penyelenggaraan dan pentadbiran sesuatu sistem ICT.

Pentadbir Rangkaian Pegawai yang bertanggungjawab untuk menjalankan tugas pembangunan, penyelenggaraan dan pentadbiran sesuatu rangkaian komputer.

Pegawai Aset Pegawai yang telah dilamtik oleh Ketua Setiausaha bagi menguruskan aset alih Kerajaan.

Pengguna Semua warga KPLB yang menggunakan perkhidmatan ICT yang disediakan oleh Bahagian Pengurusan Maklumat.

Pihak Ketiga Individu atau syarikat yang memberi perkhidmatan kepada Kementerian Pembangunan Luar Bandar.

Pelawat Individu atau syarikat yang berurusan dengan Kementerian Pembangunan Luar Bandar

Warga KPLB Semua pegawai dan kakitangan Kementerian Pembangunan Luar Bandar.

Clear Desk / Clear Screen Tidak meninggalkan sebarang maklumat sama ada atas

meja atau di paparan skrin apabila pengguna tidak berada di tempatnya.

Enkripsi Kaedah pertukaran format data daripada bentuk asal kepada bentuk lain menggunakan algoritma tertentu.

(18)

18 | P a g e

Kriptografi Proses penukaran format maklumat asal kepada format maklumat yang hanya boleh difahami menggunakan fungsi tertentu.

Firewall Peralatan dalam bentuk perkakasan dan perisian bagi mencegah capaian ke atas maklumat pada pelayan atau rangkaian komputer oleh pengguna yang tidak dibenarkan.

Jawatankuasa Pemandu ICT KPLB

(JPICT)

Jawatankuasa yang melulus dan memantau pelaksanaan projek-projek ICT di Kementerian Pembangunan Luar Bandar serta agensi-agensi.

Jawatankuasa Teknikal ICT KPLB

(JTI)

Jawatankuasa yang bertanggungjawab ke atas penilaian keupayaan teknikal dan keselamatan sesuatu projek ICT

Pembekal Individu atau kumpulan yang menyediakan perkhidmatan ICT kepada KPLB

Pelan Pemulihan Bencana ICT

(DRP)

Pelan tindakan pemulihan perkhidmatan ICT fungsi kritikal KPLB bagi memastikan kesinambungan perkhidmatan dapat diteruskan apabila berlaku bencana.

Pasukan Pemulihan Bencana ICT

(DRT)

Suatu pasukan yang dilantik oleh CIO untuk meyedia, mengemaskini dan menguji Pelan Pemulihan Bencana ICT.

Telecommuting Suatu proses kerja yang membolehkan pegawai melaksanakan tugasan di mana sahaja dan dalam masa yang sama berhubung terus (Online) dengan pejabat.

Uninterruptible Power Supply

(UPS)

Perkakasan yang mengandungi bateri untuk menyimpan kuasa bagi mengambil alih peranan kuasa elektrik sekiranya berlaku gangguan bekalan kuasa.

Active Directory Right Management Services

(ADRMS)

Fungsi keselamatan tambahan pada sistem e-mel 1GovUC bagi mengawal cetakan, salinan, pindaan dan penghantaran e-mel.

Big Mail Transfer

(19)

19 | P a g e Pengguna e-mel KPLB boleh log masuk menggunakan kata nama dan kata laluan e-mel bagi menggunakan kemudahan ini.

(20)

(21)

21 | P a g e Menjelaskan hala tuju keselamatan ICT dan sokongan pengurusan terhadap keselamatan maklumat selaras dengan keperluan KPLB dan perundangan yang berkaitan.

Bil Perkara Tanggungjawab

2.1 Pelan Keselamatan Siber KPLB 2.1.1 Pelaksanaan

Pelan ini dilaksanakan oleh Ketua Setiausaha KPLB dengan dibantu oleh Jawatankuasa Pemandu ICT yang terdiri daripada Ketua Pegawai Maklumat (CIO), Pegawai Keselamatan ICT (ICTSO) dan lain-lain pegawai yang dilantik.

Ketua Setiausaha

KPLB

2.1.2 Penyebaran

Pelan ini perlu disebarkan kepada semua pengguna KPLB (termasuk kakitangan, pembekal, pakar runding dan lain-lain).

ICTSO

2.1.3 Penyelenggaraan

Pelan ini adalah tertakluk kepada semakan dan pindaan dari

masa ke semasa termasuk kawalan keselamatan, prosedur

dan proses berkaitan selaras dengan perubahan teknologi, aplikasi, prosedur, perundangan, dasar Kerajaan dan kepentingan sosial.

Berikut adalah prosedur yang berhubung dengan penyelenggaraan Pelan Keselamatan Siber KPLB:

a) Kenal pasti dan tentukan perubahan yang diperlukan; b) Kemuka cadangan pindaaan secara bertulis kepada

ICTSO untuk pembentangan dan persetujuan Mesyuarat Jawatankuasa Pemandu ICT (JPICT); c) Maklum kepada semua pengguna perubahan yang

telah dipersetujui oleh JPICT; dan

Dasar ini hendaklah dikaji semula sekurang-kurangnya dalam tempoh tiga (3) tahun atau mengikut keperluan semasa.

ICTSO

(22)

22 | P a g e

2.1.4 Pengecualian

Pelan ini adalah terpakai kepada semua pengguna ICT KPLB

dan tiada pengecualian diberikan. Warga KPLB

2.1.5 Pematuhan

Semua Pegawai dan Kakitangan Kementerian Pembangunan Luar Bandar serta pihak ketiga perlu patuh dengan menandatangani Borang Akuan Pematuhan Pelan Keselamatan Siber KPLB.

Warga KPLB

2.1.6 Pelanggaran

Pengguna yang tidak patuh pada kandungan pelan ini tanpa alasan yang kukuh akan dinafikan hak penggunaan kemudahan ICT.

Warga KPLB

2.2 Peranan dan Tanggungjawab 2.2.1 Ketua Setiausaha KPLB

Ketua Setiausaha KPLB adalah berperanan dan bertanggungjawab dalam perkara-perkara berikut:

a) Memastikan semua pengguna memahami peruntukan-peruntukan di bawah Pelan Keselamatan Siber KPLB; b) Memastikan semua pengguna mematuhi Pelan

Keselamatan Siber KPLB;

c) Memastikan semua keperluan organisasi (sumber kewangan, sumber manusia dan perlindungan keselamatan) adalah mencukupi; dan

d) Memastikan penilaian risiko dan program keselamatan ICT dilaksanakan seperti yang ditetapkan di dalam Pelan Keselamatan Siber KPLB.

Ketua Setiausaha

(23)

23 | P a g e

2.2.2 Ketua Pegawai Maklumat (CIO)

Ketua Pegawai Maklumat (CIO) bagi KPLB ialah Setiausaha Bahagian Kanan (Khidmat Pengurusan) KPLB.

Peranan dan tanggungjawab CIO adalah seperti berikut: a) Membantu Ketua Setiausaha dalam melaksanakan

tugas-tugas yang melibatkan keselamatan ICT;

b) Menentukan keperluan keselamatan ICT dan bertanggungjawab keatas perkara-perkara yang berkaitan dengan keselamatan ICT;

c) Menyelaras dan mengurus pelan latihan dan program kesedaran keselamatan ICT seperti penyediaan Pelan Keselamatan Siber KPLB serta pengurusan risiko dan pengauditan; dan

d) Mempengerusikan Mesyuarat Jawatankuasa Pemandu ICT (JPICT), KPLB.

CIO

2.2.3 Pegawai Keselamatan ICT (ICTSO)

Pegawai Keselamatan ICT (ICTSO) bagi KPLB ialah Setiausaha Bahagian Pengurusan Maklumat.

Peranan dan tanggungjawab ICTSO adalah seperti berikut: a) Menguatkuasakan pelaksanaan Pelan Keselamatan

Siber KPLB;

b) Mengkaji semula dan melaksanakan kawalan keselamatan ICT selaras dengan keperluan KPLB;

(24)

24 | P a g e

c) Menguruskan keseluruhan program-program keselamatan ICT KPLB;

d) Menjadi Ketua bagi Pasukan Pemulihan Bencana ICT KPLB;

e) Melaporkan insiden keselamatan ICT kepada Pasukan Tindak Balas Insiden Keselamatan ICT Kerajaan (GCERT) dan memaklumkannya kepada CIO; dan f) Bekerjasama dengan semua pihak yang berkaitan

dalam mengenalpasti punca, ancaman atau insiden keselamatan ICT dan memperakukan langkah-langkah baik pulih dengan segera.

2.2.4 Pengurus ICT

Pengurus ICT bagi KPLB ialah Ketua Penolong Setiausaha Cawangan Infrastruktur ICT, Bahagian Pengurusan Maklumat Peranan dan tanggungjawab Pengurus ICT yang dilantik adalah seperti berikut:

a) Memberi penerangan dan pendedahan berkenaan Pelan Keselamatan Siber KPLB kepada semua pengguna;

b) Menentukan kawalan akses pengguna terhadap aset ICT KPLB;

c) Mewujudkan garis panduan, prosedur dan tatacara selaras dengan keperluan Pelan Keselamatan Siber KPLB;

(25)

25 | P a g e

d) Menjalankan pengurusan risiko keselamatan maklumat;

e) Menjalankan audit, mengkaji semula, merumus tindak balas pengurusan KPLB berdasarkan hasil penemuan dan menyediakan laporan mengenainya;

f) Memberi amaran terhadap kemungkinan berlakunya ancaman berbahaya seperti virus dan memberi khidmat nasihat serta menyediakan langkah-langkah perlindungan yang bersesuaian;

g) Menyediakan dan melaksanakan program-program kesedaran mengenai keselamatan ICT;

h) Menjalankan penilaian untuk memastikan tahap keselamatan ICT dan mengambil tindakan pemulihan atau pengukuhan bagi meningkatkan tahap

keselamatan infrastruktur ICT supaya insiden baru dapat dielakkan;

i) Melaporkan sebarang perkara atau penemuan

mengenai keselamatan ICT kepada ICTSO KPLB; dan j) Menyimpan rekod, bahan bukti dan laporan terkini

mengenai ancaman keselamatan ICT KPLB.

2.2.5 Pentadbir Sistem ICT

Pentadbir Sistem ICT bagi KPLB ialah Penolong Setiausaha (Pegawai Teknologi Maklumat) serta Penolong Pegawai Teknologi Maklumat di Bahagian Pengurusan Maklumat yang

Pentadbir Sistem ICT

(26)

26 | P a g e

terlibat dalam pentadbiran dan penyenggaraan sistem-sistem aplikasi dan sistem-sistem infrastruktur rangkaian.

Pentadbir e-mel dan laman web / portal KPLB juga merupakan Pentadbir Sistem ICT.

Peranan dan tanggungjawab Pentadbir Sistem ICT adalah seperti berikut:

a) Mengambil tindakan yang bersesuaian dengan segera apabila dimaklumkan mengenai kakitangan yang berhenti, bertukar, bercuti, berkursus panjang atau berlaku perubahan dalam bidang tugas;

b) Menentukan ketepatan dan kesempurnaan sesuatu tahap capaian berdasarkan arahan pemilik sumber maklumat sebagaimana yang telah ditetapkan di dalam Pelan Keselamatan Siber KPLB;

c) Memantau aktiviti capaian harian sistem aplikasi pengguna;

d) Mengenal pasti aktiviti-aktiviti tidak normal seperti pencerobohan dan pengubahsuaian data tanpa kebenaran dan membatalkan atau memberhentikannya dengan serta merta;

e) Menganalisis dan menyimpan rekod jejak audit;

f) Menyediakan laporan mengenai aktiviti capaian secara berkala; dan

g) Bertanggungjawab memantau setiap perkakasan ICT yang diagihkan kepada pengguna seperti komputer peribadi, komputer riba, pencetak, pengimbas dan sebagainya di dalam keadaan yang baik.

(27)

27 | P a g e

2.2.6 Pengguna

Pengguna mempunyai peranan dan tanggungjawab seperti berikut:

a) Membaca, memahami dan mematuhi Pelan Keselamatan Siber KPLB;

b) Mengetahui dan memahami implikasi keselamatan ICT kesan dari tindakannya;

c) Menjalani tapisan keselamatan sekiranya dikehendaki berurusan dengan maklumat rasmi terperingkat;

d) Melaksanakan prinsip-prinsip keselamatan ICT dan menjaga kerahsiaan maklumat KPLB;

e) Melaporkan sebarang aktiviti yang mengancam keselamatan ICT kepada ICTSO dengan segera;

f) Menghadiri program-program kesedaran mengenai keselamatan ICT; dan

g) Menandatangani Surat Akuan Pematuhan Pelan Keselamatan Siber KPLB sebagaimana Lampiran A. Pengguna berperanan penting dalam pemilihan, penggunaan dan pengurusan kata laluan (password) bagi mendapat akses kepada maklumat dan data di dalam sistem ICT dalam keadaan selamat.

Prosedur penetapan kata laluan adalah seperti berikut: a) Kata laluan TIDAK BOLEH dikongsi;

b) Kata laluan TIDAK BOLEH dicatat, disimpan atau didedah dengan apa cara sekalipun;

(28)

28 | P a g e

c) Kata laluan hendaklah ditukar setiap 3 bulan;

d) Panjang kata laluan mestilah minima dua belas (12)

aksara dengan gabungan huruf kecil, huruf besar,

angka dan simbol;

Pengguna adalah bertanggung jawab mengamalkan clear desk atau clear screen (tidak meninggalkan bahan-bahan yang sensitive terdedah sama ada atas meja pengguna atau paparan skrin apabila pengguna tidak berada ditempatnya). Perkara yang perlu dipatuhi adalah seperti berikut:

a) Menyimpan bahan/maklumat terperingkat di dalam laci atau kabinet fail berkunci;

b) Memastikan semua dokumen diambil segera dari pencetak, pengimbas, mesin faksimili serta mesin penyalin; dan

c) Memastikan password screen saver digunakan apabila meninggalkan komputer.

2.2.7 Jawatankuasa Pemandu ICT (JPICT)

Jawatankuasa Pemandu ICT (JPICT) adalah satu jawatankuasa yang bertanggungjawab dalam menyelaras dan memantau pelaksanaan projek ICT.

Salah satu agenda tetap dalam Mesyuarat JPICT adalah membincangkan perkara berkaitan keselamatan ICT.

Pengerusi: CIO KPLB

(29)

29 | P a g e

Ahli-ahli:

a) Setiausaha Bahagian

b) Ketua Agensi di bawah Kementerian / Wakil; c) Pengurus ICT Agensi;

d) ICTSO; dan

e) Ahli-ahli jemputan yang berkaitan.

2.2.8 Jawatankuasa Teknikal ICT KPLB (JTI)

Jawatankuasa yang bertanggungjawab ke atas penilaian keupayaan teknikal dan keselamatan ICT bagi sesuatu projek ICT.

Pengerusi: Setiausaha Bahagian, Bahagian Pengurusan Maklumat, KPLB

Ahli-ahli:

a) Pengurus-pengurus ICT Agensi KPLB; b) Pegawai Teknologi Maklumat di KPLB; dan c) Ahli-ahli jemputan yang berkaitan.

JTI

2.2.9 Pasukan Tindak Balas Insiden Keselamatan ICT KPLB

(CERTKPLB)

Keanggotaan CERTKPLB adalah seperti berikut: Pengerusi: Pengurus ICT KPLB

Ahli:

a) ICTSO KPLB dan Agensi;

b) Pegawai Teknologi Maklumat, Bahagian Pengurusan Maklumat, KPLB; dan

c) Penolong Pegawai Teknologi Maklumat, Bahagian Pengurusan Maklumat, KPLB.

Peranan dan tanggungjawab CERTKPLB adalah seperti berikut:

(30)

30 | P a g e

a) Menerima dan mengesan aduan keselamatan ICT daripada GCERT serta menilai tahap dan jenis insiden; b) Merekod dan menjalankan siasatan awal insiden yang

diterima daripada GCERT;

c) Menangani tindak balas (response) insiden keselamatan ICT dan mengambil tindakan baik pulih minimum; dan

d) Menyebarkan makluman berkaitan pengukuhan keselamatan ICT kepada Warga KPLB.

Carta alir pelaporan insiden keselamatan ICT adalah seperti di

Lampiran B.

2.3.0 Pasukan Audit Dalam ISO IEC 27001:2013 Information

Security Management System (ISMS)

Audit Dalam ialah satu proses verifikasi atau semakan bagi menentukan pelaksanaan ISMS diuruskan dengan baik. ISMS adalah suatu proses pengurusan keselamatan maklumat ICT berdasarkan standard ISO oleh Jabatan Standard Malaysia.

Pasukan Audit Dalam ISMS terdiri daripada:

a) Pegawai Teknologi Maklumat Agensi di bawah KPLB b) Pegawai Teknologi Maklumat Bahagian Pengurusan

Maklumat, KPLB

c) Penolong Pegawai Teknologi Maklumat Bahagian Pengurusan Maklumat, KPLB.

Pasukan Audit Dalam ISMS

(31)

31 | P a g e

2.3.1 Pengurusan Kesinambungan Perkhidmatan

Pengurusan Kesinambungan Perkhidmatan (PKP) adalah kawalan keselamatan yang mengambil kira prinsip ketersediaan dalam penyampaian perkhidmatan Kerajaan. Ia bertujuan untuk meminimumkan impak ke atas sistem penyampaian perkhidmatan organisasi akibat dari gangguan atau bencana luar jangka.

PKP melibatkan 3 pasukan pengurusan iaitu;

a) Pasukan Tindak Balas Kecemasan (ERT – Emergency Response Team)

 Menyedia dan melaksana perancangan yang sistematik bagi memastikan tindakan segera dalam mengawal kejadian kecemasan di KPLB dijalankan secara strategik lagi efektif.

 Pasukan ERT diketuai oleh Bahagian Pentadbiran dan Pengurusan Aset, KPLB. b) Pasukan Pemulihan Bencana ICT (DRT – Disaster

Recovery Team)

 Menyedia, mengurus dan melaksana proses pemulihan perkhidmatan ICT yang terganggu akibat bencana yang berlaku.

 Pasukan DRT diketuai oleh Bahagian Pengurusan Maklumat, KPLB.

c) Pasukan Komunikasi Krisis (CCT – Communication Crisis Team)

 Menyedia dan melaksana polisi dan prosedur untuk mengkoordinasi makluman kepada orang awam, ahli keluarga dan saudara mara warga

Pasukan PKP Pasukan ERT Pasukan DRT Pasukan CCT

(32)

32 | P a g e

KPLB mengenai keadaan mereka apabila berlaku bencana luar jangka.

 Pasukan CCT diketuai oleh Unit Komunikasi Korporat, KPLB.

(33)

(34)

34 | P a g e Melaksana keselamatan perkhidmatan ICT secara holistik

iaitu merangkumi peringkat rekabentuk, pembangunan dan pengoperasian.

Memastikan perkhidmatan ICT merentasi ketiga-tiga komponen keselamatan ICT iaitu keselamatan fizikal, keselamatan personel dan keselamatan organisasi.

3.1 Pengurusan Perkhidmatan

3.1.1 Pengurusan Perjanjian Aras Khidmat (Service Level Agreement Management)

Ia bertujuan memastikan penggunaan maklumat dan kemudahan proses maklumat oleh pihak ketiga dikawal sebaiknya.

Perkara yang perlu dipatuhi adalah seperti berikut:

a) Membaca, memahami dan mematuhi Pelan Keselamatan Siber KPLB;

b) Mengenal pasti keperluan keselamatan sebelum memberi kebenaran capaian;

c) Akses kepada aset ICT KPLB perlu berlandaskan kepada perjanjian kontrak perkhidmatan yang telah dipersetujui dengan pihak ketiga; dan

d) Kebenaran akses kepada sumber ICT KPLB hanya akan diberikan setelah pihak ketiga:

 Menandatangani Surat Akuan Pematuhan Pelan Keselamatan Siber KPLB sebagaimana di Lampiran A.

 Menjalani Tapisan Keselamatan melalui Sistem eVetting.

 Menandatangani Borang Non-Disclosure Act seperti di Lampiran C.

CIO; Pengurus ICT;

ICTSO; Pentadbir Sistem ICT; dan

Pihak Ketiga

(35)

35 | P a g e

3.1.2 Perancangan Perkhidmatan (Service Planning)

Kapasiti sistem ICT hendaklah dirancang, diurus dan dikawal dengan terperinci bagi memastikan keperluannya adalah mencukupi dan bersesuaian untuk pembangunan dan operasi sistem ICT.

Keperluan kapasiti perlu mengambil kira ciri-ciri keselamatan bagi meminimumkan risiko gangguan kepada perkhidmatan dan kerugian akibat pengubahsuaian yang tidak dirancang.

3.2 Pembangunan Perkhidmatan

Keselamatan maklumat bagi setiap perkhidmatan yang dibangunkan perlu dilaksana dengan teratur bagi memastikan sistem yang dibangunkan sendiri atau oleh pihak ketiga mempunyai ciri-ciri keselamatan ICT yang bersesuaian.

Kitar hayat pembangunan perkhidmatan ICT yang selamat hendaklah dilaksanakan dengan mengambil kira enam (6) fasa utama seperti di Lampiran D

Pelan Pengurusan Keselamatan Maklumat (Information

Security Management Plan - ISMP) sebagaimana di Lampiran E haruslah disediakan bagi setiap

perkhidmatan/projek ICT yang dibangunkan bagi tujuan : i. Solusi keselamatan maklumat dikenal pasti dalam

pembangunan dan pelaksanaan projek.

ii. Memastikan aspek keselamatan diambil kira mulai dari peringkat reka bentuk, pengujian, pelaksanaan dan pengoperasian projek.

iii. Mengenal pasti aset yang terlibat dalam projek termasuk data, mengklasifikasikan data dan

(36)

36 | P a g e

mengenal pasti risiko yang dihadapi di setiap peringkat prosesan data serta menentukan pengolahan risiko yang berkaitan.

3.2.1 Keselamatan Dokumentasi Sistem

Perkara-perkara yang perlu dipatuhi dalam memastikan keselamatan dokumentasi adalah seperti berikut:

a) Memastikan sistem penyimpanan dokumentasi mempunyai ciri-ciri keselamatan; dan

b) Mengawal dan merekodkan semua aktiviti capaian dokumentasi sedia ada.

3.2.2 Keselamatan Dalam Membangunkan Sistem dan Aplikasi Perkara-perkara yang perlu dipatuhi adalah seperti berikut:

a) Perolehan, pembangunan, penambahbaikan dan penyelenggaraan sistem hendaklah mengambil kira kawalan keselamatan bagi memastikan tidak wujud sebarang ralat yang boleh mengganggu pemprosesan dan ketepatan maklumat;

b) Ujian keselamatan hendaklah dijalankan ke atas sistem input untuk menyemak pengesahan dan integriti data yang dimasukkan, sistem pemprosesan bagi menentukan program berjalan dengan betul dan sempurna dan sistem output untuk memastikan data yang telah diproses adalah tepat.

c) Aplikasi perlu mengandungi semakan pengesahan (validation) untuk mengelakkan sebarang kerosakan maklumat akibat kesilapan pemprosesan atau perlakuan yang disengajakan;

Pemilik Sistem, Pentadbir Sistem ICT dan

(37)

37 | P a g e

d) Data input bagi aplikasi perlu disahkan bagi memastikan data yang dimasukkan betul dan bersesuaian;

e) Data output daripada aplikasi perlu disahkan bagi memastikan maklumat yang dihasilkan adalah tepat; dan

f) Semua sistem yang dibangunkan sama ada secara dalaman atau sebaliknya hendaklah diuji terlebih dahulu bagi memastikan sistem berkenaan memenuhi keperluan keselamatan yang telah ditetapkan sebelum digunakan.

3.2.3 Keselamatan Fail Sistem

Perkara-perkara yang perlu dipatuhi adalah seperti berikut: a) Proses pengemaskinian fail sistem hanya boleh

dilakukan oleh Pentadbir Sistem ICT atau pegawai yang dilantik sahaja dan dilaksana mengikut prosedur yang telah ditetapkan;

b) Kod atur cara sistem yang telah dikemas kini hanya boleh dilaksanakan atau digunakan selepas diuji; c) Capaian kod atur cara sistem hendaklah dikawal bagi

mengelakkan kerosakan, pengubahsuaian tanpa kebenaran, penghapusan dan kecurian;

d) Data ujian perlu dipilih dengan hati-hati, dilindungi dan dikawal; dan

Pemilik Sistem, Pentadbir Sistem ICT dan

(38)

38 | P a g e

e) Audit log diaktifkan bagi merekodkan semua aktiviti pengemaskinian untuk tujuan statistik, pemulihan, keselamatan dan kesahihan integrity maklumat.

3.2.4 Keselamatan Dalam Proses Pembangunan dan Sokongan Pengurusan perubahan adalah elemen penting dalam mengawal keselamatan ketika dalam proses pembangunan dan sokongan sistem/perkhidmatan ICT.

Perubahan melibatkan organisasi, proses, sistem atau kemudahan pemprosesan maklumat yang dapat memberi kesan kepada keselamatan maklumat terperingkat.

Perkara-perkara yang perlu dipatuhi adalah seperti berikut: a) Perubahan atau pengubahsuaian ke atas sistem

maklumat dan aplikasi hendaklah dikawal, diuji, direkodkan dan disahkan sebelum diguna pakai; b) Aplikasi kritikal perlu dikaji semula dan diuji apabila

terdapat perubahan kepada sistem pengoperasian untuk memastikan tiada kesan buruk terhadap operasi dan keselamatan;

c) Mengawal perubahan dan/atau pindaan ke atas perisian dan memastikan sebarang perubahan adalah terhad mengikut keperluan sahaja;

d) Akses kepada kod sumber (source code) aplikasi perlu dihadkan kepada pengguna yang diizinkan; dan e) Menghalang sebarang peluang untuk membocorkan

maklumat.

Pemilik Sistem, Pentadbir Sistem ICT

(39)

39 | P a g e

Semua sistem baru (termasuklah sistem yang dikemas kini atau diubahsuai) hendaklah memenuhi kriteria yang ditetapkan sebelum diterima atau dipersetujui.

Pentadbir Sistem ICT,

ICTSO 3.2.6 Pembangunan Secara Sumber Luar atau Khidmat Luar

(Outsource)

Pembangunan perisian atau perkhidmatan ICT secara outsource perlu diselia dan dipantau oleh pemilik sistem. Kod sumber (source code) bagi semua aplikasi dan perisian adalah menjadi hak milik KPLB.

Pemilik Sistem, Pentadbir Sistem ICT

3.3 Pengoperasian Perkhidmatan 3.3.1 Pengurusan Insiden

Pengurusan insiden adalah meliputi tindakan mengurus dan melaksana pengendalian insiden keselamatan ICT secara teratur bagi mencapai kesinambungan perkhidmatan dan meminimumkan impak insiden serta mengelakkan kejadian insiden berulang.

Insiden keselamatan ICT adalah termasuk perkara berikut : a) Maklumat didapati hilang/didedahkan kepada

pihak-pihak yang tidak diberi kuasa;

b) Sistem maklumat ICT digunakan tanpa kebenaran atau disyaki sedemikian;

c) Kata laluan atau mekanisme kawalan akses hilang, dicuri atau didedahkan;

d) Sistem maklumat ICT berfungsi secara luar biasa seperti kehilangan fail, kerap kali gagal digunakan atau maklumat tidak dapat dihantar; dan

e) Berlaku percubaan menceroboh, penyelewengan dan insiden- insiden yang tidak dijangka.

(40)

40 | P a g e

Bahan-bahan bukti berkaitan insiden keselamatan ICT hendaklah disimpan dan disenggarakan. Kawalan-kawalan yang perlu diambil kira dalam pengumpulan maklumat dan pengurusan pengendalian insiden adalah seperti berikut:

a) Menyimpan jejak audit, backup secara berkala dan melindungi integriti semua bahan bukti;

b) Menyalin bahan bukti dan merekodkan semua maklumat aktiviti penyalinan;

c) Menyediakan pelan kontingensi dan mengaktifkan pelan pemulihan bencana ICT (sekiranya perlu);

d) Menyediakan tindakan pemulihan segera; dan

e) Memaklumkan atau mendapatkan nasihat pihak berkuasa perundangan sekiranya perlu.

Prosedur pelaporan insiden keselamatan ICT di KPLB adalah seperti di Lampiran B.

3.3.2 Pengurusan Aset dan Konfigurasi

Pengurusan aset Kerajaan hendaklah dilaksanakan secara sistematik bagi mencapai faedah penggunaan aset yang optimum dan melindungi keselamatan aset tersebut.

Pengurusan aset juga hendaklah mengambil kira keperluan kawalan keselamatan terhadap kejuruteraan sosial (social engineering) bagi melindungi kerahsiaan dan integriti maklumat Kerajaan.

(41)

41 | P a g e

Kejuruteraan sosial merujuk kepada serangan siber yang memanipulasi kelemahan manusia melalui penggunaan teknik interaksi dan kemahiran sosial untuk memperoleh maklumat tentang sesebuah organisasi atau sistem pengkomputeran organisasi. Ia merupakan satu kaedah bukan teknikal bagi menceroboh atau menggodam sistem maklumat dengan melakukan penyamaran.

Pengurusan Konfigurasi pula meliputi aset-aset seperti rangkaian, perkakasan dan perisian bagi tujuan memastikan sistem beroperasi secara optimum serta selamat daripada ancaman keselamatan.

Pengurusan konfigurasi hendaklah dilaksanakan selaras dengan peraturan sedia ada merangkumi keperluan yang berikut:

a) Melaksana konfigurasi dengan tepat dan memenuhi keperluan;

b) Mengemaskini konfigurasi apabila berlaku perubahan;

c) Melaksana dan menyemak konfigurasi secara berkala;

d) Menyimpan rekod konfigurasi yang terkini; dan e) Memastikan rekod konfigurasi disimpan dengan

(42)

42 | P a g e

3.3.3.1 Akauntabiliti Aset ICT

Bertujuan untuk memastikan semua aset ICT diberi kawalan dan perlindungan yang sesuai oleh pemilik atau pemegang amanah yang dilantik.

a) Memastikan semua aset ICT dikenal pasti dan maklumat aset direkod dalam Sistem Pengurusan Aset Aslih (SPA) serta sentiasa dikemas kini;

b) Memastikan semua aset ICT mempunyai pemilik dan dikendalikan oleh pengguna yang dibenarkan sahaja; c) Memastikan semua pengguna mengesahkan

penempatan aset ICT yang ditempatkan di KPLB; d) Peraturan bagi pengendalian aset ICT hendaklah

dikenal pasti, di dokumen dan dilaksanakan; dan e) Setiap pengguna adalah bertanggungjawab ke atas

semua aset ICT di bawah kawalannya.

Warga KPLB

3.3.3.2 Keselamatan Maklumat/Data dan Dokumen

i. Pengelasan Maklumat/Data

Maklumat hendaklahlah dikelaskan atau dilabelkan sewajarnya oleh pegawai yang diberi kuasa mengikut dokumen Arahan Keselamatan.

Pengkelasan adalah sebagaimana yang telah ditetapkan di dalam dokumen Arahan Keselamatan seperti berikut:

a. Rahsia Besar; b. Rahsia; c. Sulit; atau

(43)

43 | P a g e

d. Terhad

ii. Pengendalian Maklumat/Data

Aktiviti pengendalian maklumat seperti mengumpul, memproses, menyimpan, menghantar, menyampai, menukar dan memusnah hendaklah mengambil kira langkah-langkah keselamatan berikut:

a. Menghalang pendedahan maklumat kepada pihak yang tidak dibenarkan;

b. Memeriksa maklumat dan menentukan ia tepat dan lengkap dari semasa ke semasa;

c. Menentukan maklumat sedia untuk digunakan; d. Menjaga kerahsiaan kata laluan;

e. Mematuhi standard, prosedur, langkah dan garis panduan keselamatan yang ditetapkan;

f. Memberi perhatian kepada maklumat terperingkat terutama semasa pewujudan, pemprosesan, penyimpanan, penghantaran, penyampaian, pertukaran dan pemusnahan; dan

g. Menjaga kerahsiaan langkah-langkah keselamatan ICT dari diketahui umum.

(44)

44 | P a g e

iii. Pengendalian Dokumen

Perkara-perkara yang perlu dipatuhi adalah seperti berikut: a. Setiap dokumen hendaklah difail dan dilabelkan

mengikut klasifikasi keselamatan seperti Terbuka, Terhad, Sulit, Rahsia atau Rahsia Besar;

b. Pergerakan fail dan dokumen hendaklah direkodkan dan perlulah mengikut prosedur keselamatan;

c. Kehilangan dan kerosakan ke atas semua jenis dokumen perlu dimaklumkan mengikut prosedur Arahan Keselamatan;

d. Pelupusan dokumen hendaklah mengikut prosedur keselamatan semasa seperti mana Arahan Keselamatan, Arahan Amalan (Jadual Pelupusan Rekod) dan tatacara Jabatan Arkib Negara; dan

e. Menggunakan enkripsi (encryption) ke atas dokumen rahsia rasmi yang disediakan dan dihantar secara elektronik.

(45)

45 | P a g e

iv. Pengendalian Ketirisan Maklumat Elektronik Terperingkat

Ketirisan maklumat terperingkat adalah kebocoran atau kehilangan sesuatu data, berita atau laporan organisasi yang melibatkan teknologi maklumat dan komunikasi (ICT) samada dengan sengaja atau tidak disengajakan.

Perisian data leak protection haruslah dipasang pada komputer dan laptop bagi membolehkan kawalan perkongsian atau penyebaran maklumat terperingkat. Perkara-perkara yang perlu dipatuhi adalah seperti berikut:

a) Gambar dokumen rasmi / rahsia rasmi TIDAK

BOLEH diambil menggunakan telefon bimbit atau

pelbagai peranti elektronik milik peribadi;

b) Public email (Contoh: yahoo mail, Gmail) TIDAK

BOLEH diguna dalam urusan rasmi Kerajaan.

c) Dokumen terperingkat TIDAK BOLEH dimuat naik dalam media sosial dan storan awan (seperti dropbox);

d) Maklumat log masuk dan kata laluan komputer / sistem ICT TIDAK BOLEH ditulis dan ditampal di skrin komputer atau mana-mana ruang kerja.

(46)

46 | P a g e

e) Penghantaran e-mel maklumat terperingkat haruslah menggunakan kaedah penyulitan ADRMS pada E-mel 1GovUC KPLB.

f) Penghantaran fail / dokumen terperingkat haruslah menggunakan BMT 1GoVUC KPLB atau Storan Awan KPLB.

3.3.3.3 Keselamatan Peralatan

Peralatan ICT KPLB haruslah dilindungi dari kehilangan, kerosakan atau kecurian.

Perkara-perkara yang perlu dipatuhi adalah seperti berikut: a) Pengguna hendaklah menyemak dan memastikan

semua peralatan ICT di bawah kawalannya berfungsi dengan sempurna;

b) Pengguna bertanggungjawab sepenuhnya ke atas komputer masing-masing dan tidak dibenarkan membuat sebarang pertukaran perkakasan dan konfigurasi yang telah ditetapkan;

c) Pengguna dilarang sama sekali menambah, menanggal atau mengganti sebarang perkakasan ICT yang telah ditetapkan;

d) Pengguna dilarang membuat pemasangan sebarang perisian tambahan tanpa kebenaran Pentadbir Sistem ICT;

e) Pengguna adalah bertanggungjawab di atas kerosakan atau kehilangan peralatan ICT di bawah kawalannya;

(47)

47 | P a g e

f) Penggunaan kata laluan untuk akses ke sistem komputer adalah diwajibkan;

g) Semua peralatan sokongan ICT hendaklah dilindungi daripada kecurian, kerosakan, penyalahgunaan atau pengubahsuaian tanpa kebenaran;

h) Peralatan-peralatan kritikal perlu disokong oleh Uninterruptable Power Supply (UPS);

i) Semua peralatan ICT hendaklah disimpan atau diletakkan di tempat yang teratur, bersih dan mempunyai ciri-ciri keselamatan. Peralatan rangkaian seperti switches, hub, router dan lain-lain perlu diletakkan di dalam rak khas dan berkunci; j) Semua peralatan yang digunakan secara berterusan

mestilah diletakkan di kawasan yang berhawa dingin dan mempunyai pengudaraan (air ventilation) yang sesuai;

k) Peralatan ICT yang hendak dibawa keluar dari premis KPLB, perlulah mendapat kelulusan Pentadbir Sistem ICT dan Pegawai Aset ICT atau Pegawai Pentadbir Bahagian yang telah dilantik dan direkodkan bagi tujuan pemantauan;

l) Peralatan ICT yang hilang hendaklah dilaporkan kepada Pegawai Aset dan ICTSO dengan segera; m) Laporan polis haruslah dilakukan sebaik sahaja

(48)

48 | P a g e

n) Pengendalian peralatan ICT hendaklah mematuhi dan merujuk kepada peraturan semasa yang berkuat kuasa;

o) Pengguna tidak dibenarkan mengubah kedudukan komputer dari tempat asal ia ditempatkan tanpa kebenaran Pentadbir Sistem ICT atau Pegawai Aset ICT yang telah dilantik;

p) Sebarang kerosakan peralatan ICT hendaklah dilaporkan kepada Meja Bantuan ICT untuk di baik pulih;

q) Konfigurasi alamat IP tidak dibenarkan diubah daripada alamat IP yang asal;

r) Pengguna dilarang sama sekali mengubah kata laluan bagi pentadbir (administrator password) yang telah ditetapkan oleh Pentadbir Sistem ICT;

s) Pengguna bertanggungjawab terhadap perkakasan, perisian dan maklumat di bawah jagaannya dan hendaklah digunakan sepenuhnya bagi urusan rasmi sahaja;

t) Pengguna hendaklah memastikan semua perkakasan komputer, pencetak dan pengimbas dalam keadaan “OFF” apabila meninggalkan pejabat; u) Sebarang bentuk penyelewengan atau salah guna peralatan ICT hendaklah dilaporkan kepada ICTSO; dan

v) Memastikan plug dicabut daripada suis utama (main switch) bagi mengelakkan kerosakan perkakasan

(49)

49 | P a g e

sebelum meninggalkan pejabat jika berlaku kejadian seperti petir, kilat dan sebagainya.

i. Pengurusan dan Pengendalian Media

Prosedur-prosedur pengendalian media yang perlu dipatuhi adalah seperti berikut:

a) Melabelkan semua media mengikut tahap sensitiviti sesuatu maklumat;

b) Mengehadkan dan menentukan capaian media kepada pengguna yang dibenarkan sahaja;

c) Mengehadkan pengedaran data atau media untuk tujuan yang dibenarkan sahaja;

d) Mengawal dan merekodkan aktiviti penyelenggaraan media bagi mengelak dari sebarang kerosakan dan pendedahan yang tidak dibenarkan;

e) Menyimpan semua media di tempat yang selamat; f) Media yang mengandungi maklumat terperingkat

yang hendak dihapuskan atau dimusnahkan mestilah dilupuskan mengikut prosedur yang betul dan selamat;

g) Penghantaran atau pemindahan media (aset KPLB) ke luar pejabat hendaklah mendapat kebenaran daripada Pegawai Pegawal Aset yang telah dilantik; h) Peminjaman media (aset KPLB) haruslah

melengkapkan Borang Pinjaman Peralatan ICT dan

(50)

50 | P a g e

dikemukakan kepada Meja Bantuan ICT, Bahagian Pengurusan Maklumat; dan

i) Pegawai yang bertukar keluar atau bersara, haruslah memulangkan media / aset hak milik KPLB pada hari akhir bertugas.

ii. Media Storan

Media storan merupakan peralatan elektronik yang digunakan untuk menyimpan data dan maklumat seperti disket, cakera padat, pita magnetik, optical disk, flash disk, CDROM, thumb drive dan media storan lain.

Media-media storan perlu dipastikan berada dalam keadaan yang baik, selamat, terjamin kerahsiaan, integriti dan kebolehsediaan untuk digunakan.

Perkara-perkara yang perlu dipatuhi adalah seperti berikut: a) Media storan hendaklah disimpan di ruang

penyimpanan yang baik dan mempunyai ciri-ciri keselamatan bersesuaian dengan kandungan maklumat;

b) Akses untuk memasuki kawasan penyimpanan media storan hendaklah terhad kepada pengguna yang dibenarkan sahaja;

c) Semua media storan perlu dikawal bagi mencegah dari capaian yang tidak dibenarkan, kecurian dan kemusnahan;

d) Semua media storan yang mengandungi data kritikal hendaklah disimpan di dalam peti keselamatan yang

(51)

51 | P a g e

mempunyai ciri-ciri keselamatan termasuk tahan dari dipecahkan, api, air dan medan magnet;

e) Akses dan pergerakan media storan hendaklah direkodkan;

f) Perkakasan backup hendaklah diletakkan di tempat yang terkawal;

g) Mengadakan salinan atau penduaan (backup) pada media storan kedua bagi tujuan keselamatan dan bagi mengelakkan kehilangan data dan seterusnya disimpan secara offsite backup disuatu lokasi yang telah dipersetujui pihak pengurusan;

h) Semua media storan data yang hendak dilupuskan mestilah dihapuskan dengan teratur dan selamat; dan

i) Penghapusan maklumat atau kandungan media mestilah mendapat kelulusan pemilik maklumat terlebih dahulu.

iii. Tandatangan Digital

Perkara-perkara yang perlu dipatuhi adalah seperti berikut: a) Pengguna adalah bertanggungjawab sepenuhnya ke

atas tandatangan digital bagi melindunginya daripada kecurian; dan

b) Sebarang insiden kecurian maklumat yang berlaku hendaklah dilaporkan dengan segera kepada ICTSO untuk tindakan seterusnya.

(52)

52 | P a g e

iv. Media Perisian dan Aplikasi

Perkara-perkara yang perlu dipatuhi adalah seperti berikut : a) Hanya perisian yang diperakui sahaja dibenarkan

bagi kegunaan dalam premis KPLB;

b) Sistem aplikasi dalaman tidak dibenarkan didemonstrasi atau diagih kepada pihak lain kecuali dengan kebenaran Pengurus ICT;

c) Lesen perisian (registration code, serials, CD-keys) perlu disimpan berasingan daripada CD-rom, disk atau media berkaitan bagi mengelakkan dari berlakunya kecurian atau cetak rompak; dan

d) Source code sesuatu sistem hendaklah disimpan dengan teratur

v. Penyelenggaraan Perkakasan

Perkakasan hendaklah diselenggarakan dengan betul bagi memastikan kebolehsediaan, kerahsiaan dan integriti dipelihara.

Perkara-perkara yang perlu dipatuhi adalah seperti berikut: a) Semua perkakasan yang diselenggara hendaklah

mematuhi spesifikasi yang ditetapkan oleh pengeluar;

b) Memastikan perkakasan hanya diselenggara oleh kakitangan atau pihak yang dibenarkan sahaja;

Warga KPLB, Pegawai Aset, Pentadbir Sistem ICT Pentadbir Sistem ICT, Pegawai Aset

(53)

53 | P a g e

c) Bertanggungjawab terhadap setiap perkakasan bagi penyelenggaraan perkakasan sama ada dalam tempoh jaminan atau telah habis tempoh jaminan; d) Menyemak dan menguji semua perkakasan sebelum

dan selepas proses penyelenggaraan; dan

e) Memaklumkan pengguna sebelum melaksanakan penyelenggaraan mengikut jadual yang ditetapkan atau atas keperluan.

vi. Peralatan Luar Premis

Peralatan yang dibawa keluar dari premis KPLB adalah terdedah kepada pelbagai risiko. Perkara-perkara yang perlu dipatuhi adalah seperti berikut:

a) Pengguna hendaklah mengemukakan permohonan ke Meja Bantuan ICT bagi membawa peralatan ICT keluar premis KPLB;

b) Peralatan perlu dilindungi dan dikawal sepanjang masa; dan

c) Penyimpanan atau penempatan peralatan mestilah mengambil kira ciri-ciri keselamatan yang bersesuaian.

vii. Pelupusan Perkakasan

Pelupusan adalah melibatkan semua peralatan ICT yang telah rosak, usang dan tidak boleh dibaiki sama ada harta modal atau inventori yang dibekalkan oleh KPLB dan ditempatkan di KPLB. Warga KPLB, Pegawai Aset, Pentadbir Sistem ICT Warga KPLB, Pegawai Aset, Pentadbir Sistem ICT

(54)

54 | P a g e

Peralatan ICT yang hendak dilupuskan perlu melalui prosedur pelupusan semasa. Pelupusan perlu dilakukan secara terkawal dan lengkap supaya maklumat tidak terlepas dari kawalan KPLB.

Perkara-perkara yang perlu dipatuhi adalah seperti berikut: a) Semua kandungan peralatan khususnya maklumat

rahsia rasmi hendaklah dihapuskan terlebih dahulu sebelum pelupusan sama ada melalui shredding, grinding, degauzing atau pembakaran;

b) Sekiranya maklumat perlu disimpan, maka pengguna bolehlah membuat penduaan;

c) Peralatan ICT yang akan dilupuskan sebelum dipindah-milik hendaklah dipastikan data-data dalam storan telah dihapuskandengan cara yang selamat; d) Pegawai Aset hendaklah mengenal pasti sama ada

peralatan tertentu boleh dilupuskan atau sebaliknya; e) Peralatan yang hendak dilupus hendaklah disimpan

di tempat yang telah dikhaskan yang mempunyai ciri-ciri keselamatan bagi menjamin keselamatan peralatan tersebut;

f) Pegawai aset bertanggungjawab merekodkan butir– butir pelupusan dan mengemas kini rekod pelupusan peralatan ICT ke dalam sistem inventori Sistem Pengurusan Aset.

g) Pelupusan peralatan ICT hendaklah dilakukan secara berpusat dan mengikut tatacara pelupusan semasa yang berkuat kuasa; dan

(55)

55 | P a g e

h) Pengguna ICT adalah DILARANG SAMA SEKALI daripada melakukan perkara-perkara seperti berikut:  Menyimpan mana-mana peralatan ICT

yang hendak dilupuskan untuk milik peribadi. Mencabut, menanggal atau menyimpan perkakasan tambahan dalaman CPU seperti RAM,hardisk, motherboard dan sebagainya;  Menyimpan dan memindahkan perkakasan

luaran komputer seperti AVR, speaker dan mana-mana peralatan yang berkaitan ke mana-mana bahagian di KPLB;

 Memindah keluar dari KPLB mana-mana peralatan ICT yang hendak dilupuskan;  Melupuskan sendiri peralatan ICT kerana

kerja-kerja pelupusan di bawah tanggungjawab KPLB; dan

 Pengguna ICT bertanggungjawab memastikan segala maklumat sulit dan rahsia di dalam komputer disalin pada media storan kedua seperti disket atau thumb drive sebelum menghapuskan maklumat tersebut daripada peralatan komputer yang hendak dilupuskan.

viii. Peralatan Mudah Alih

Peralatan mudah alih seperti telefon pintar, tablet dan laptop yang digunakan untuk tujuan rasmi sama ada yang

(56)

56 | P a g e

disediakan oleh KPLB atau milik persendirian hendaklah dipastikan patuh pada polisi dan prosedur yang ditetapkan. Perkara-perkara yang perlu dipatuhi adalah seperti berikut: a) Merekodkan pergerakan peralatan mudah alih bagi

mengesan berlakunya kehilangan atau kerosakan; b) Peralatan mudah alih hendaklah disimpan atau

dikunci ditempat yang selamat apabila tidak digunakan; dan

c) Memastikan peralatan mudah alih yang dibawa keluar dari pejabat disimpan dan dijaga dengan baik bagi mengelakkan kehilangan.

ix. Kerja Jarak Jauh

a) Kebenaran bertulis untuk capaian dan skop kerja bagi melaksanakan kerja jarak jauh hendaklah diperolehi daripada Ketua Jabatan.

b) Tindakan perlindungan hendaklah diambil bagi menghalang kehilangan peralatan, pendedahan maklumat dan capaian tidak sah serta salah guna kemudahan.

x. Pengurusan Peralatan Persendirian (Bring Your

Own Device)

Rujuk kepada Lampiran F; Bring Your Own Device

Warga KPLB

(57)

57 | P a g e

Warga KPLB 3.3.3.4 Keselamatan Perisian

i. Hak Harta Intelek (Intellectual Property Rights –

IPR)

Prosedur pengawalan hendaklah dilaksanakan bagi memastikan pematuhan kepada perundangan, peraturan dan keperluan kontrak berkaitan produk yang mempunyai IPR termasuk perisian proprietary.

ii. Perisian Berbahaya

Perisian dan maklumat perlu dilindungi dari pendedahan atau kerosakan yang disebabkan oleh perisian berbahaya seperti virus, Trojan dan sebagainya.

Perkara-perkara yang perlu dipatuhi adalah seperti berikut : a) Memasang sistem keselamatan seperti anti virus, Intrusion Detection System (IDS) dan Intrusion Prevention System (IPS) bagi mengesan perisian atau program berbahaya;

b) Memasang dan menggunakan hanya perisian yang tulen, berdaftar dan dilindungi di bawah mana-mana undang-undang bertulis yang berkuat kuasa;

Warga KPLB

(58)

58 | P a g e

iii. Perlindungan dari Perisian Berbahaya

Integriti maklumat haruslah dilindungi dari perisian berbahaya seperti virus, Trojan dan malware.

Perkara-perkara yang perlu dipatuhi adalah seperti berikut: a) Memasang sistem keselamatan untuk mengesan

perisian atau program berbahaya seperti anti virus, Intrusion Detection System (IDS) dan Intrusion Prevention System (IPS) serta mengikut prosedur penggunaan yang betul dan selamat;

b) Memasang dan menggunakan hanya perisian yang tulen, berdaftar dan dilindungi di bawah mana-mana undang-undang bertulis yang berkuat kuasa;

c) Mengimbas semua perisian atau sistem dengan anti virus sebelum menggunakannya;

d) Mengemas kini anti virus dengan pattern antivirus yang terkini;

e) Menyemak kandungan sistem atau maklumat secara berkala bagi mengesan aktiviti yang tidak diingini seperti kehilangan dan kerosakan maklumat;

f) Menghadiri sesi kesedaran mengenai ancaman perisian berbahaya dan cara mengendalikannya; g) Memasukkan klausa tanggungan di dalam kontrak

yang telah ditawarkan kepada pembekal perisian. (Klausa ini bertujuan untuk tuntutan baik pulih sekiranya perisian tersebut mengandungi program berbahaya);

(59)

59 | P a g e

h) Mengadakan program dan prosedur jaminan kualiti ke atas semua perisian yang dibangunkan; dan i) Memberi amaran mengenai ancaman keselamatan

ICT seperti serangan virus.

3.3.3.5 Keselamatan Perkhidmatan

Melindungi keselamatan rangkaian adalah elemen penting dalam memastikan pengaliran maklumat adalah lancar dan sempurna.

i. Pengurusan Rangkaian

Infrastruktur rangkaian mestilah dikawal dan diuruskan sebaik mungkin demi melindungi ancaman kepada sistem dan aplikasi di dalam rangkaian.

Perkara-perkara yang perlu dipatuhi adalah seperti berikut: a) Tanggungjawab atau kerja-kerja operasi rangkaian

dan komputer hendaklah diasingkan untuk mengurangkan capaian dan pengubahsuaian yang tidak dibenarkan;

b) Peralatan rangkaian hendaklah diletakkan di lokasi yang mempunyai ciri-ciri fizikal yang kukuh dan bebas dari risiko seperti banjir, gegaran dan habuk; c) Capaian kepada peralatan rangkaian hendaklah

dikawal dan terhad kepada pengguna yang dibenarkan sahaja;

d) Firewall hendaklah dipasang serta dikonfigurasi dan diselia oleh Pentadbir Sistem ICT;

(60)

60 | P a g e

e) Semua trafik keluar dan masuk hendaklah melalui firewall di bawah kawalan KPLB;

f) Semua perisian sniffer atau network analyzer adalah dilarang dipasang pada komputer pengguna kecuali mendapat kebenaran ICTSO;

g) Memasang Web Content Filtering pada Internet Gateway untuk menyekat aktiviti yang dilarang; h) Sebarang penyambungan rangkaian yang bukan di

bawah kawalan KPLB adalah tidak dibenarkan; i) Semua pengguna hanya dibenarkan menggunakan

rangkaian KPLB sahaja dan penggunaan modem atau wireless access point / router peribadi adalah dilarang sama sekali; dan

j) Kemudahan bagi wireless LAN perlu dipastikan kawalan keselamatan.

(61)

61 | P a g e

ii. Kawalan Capaian Rangkaian

Kawalan capaian perkhidmatan rangkaian hendaklah dijamin selamat dengan:

a) Menempatkan atau memasang antara muka yang bersesuaian di antara rangkaian KPLB, rangkaian agensi lain dan rangkaian awam;

b) Mewujudkan dan menguatkuasakan mekanisma pengesahan pengguna dan peralatan yang menepati kesesuaian penggunaannya; dan

c) Memantau serta menguatkuasakan kawalan capaian pengguna terhadap perkhidmatan rangkaian ICT.

iii. Kawalan Capaian Internet

Perkara-perkara yang perlu dipatuhi adalah seperti berikut: a) Penggunaan Internet di KPLB hendaklah dipantau

secara berterusan bagi memastikan penggunaannya untuk tujuan capaian yang dibenarkan sahaja.

b) Kaedah Content Filtering mestilah digunakan bagi mengawal akses Internet mengikut fungsi kerja dan pemantauan tahap pematuhan;

c) Penggunaan teknologi (packet shaper) untuk mengawal aktiviti (video streaming, chat, downloading) adalah perlu bagi menguruskan penggunaan jalur lebar (bandwidth) yang maksimum dan lebih berkesan;

(62)

62 | P a g e

d) Penggunaan Internet hanyalah untuk kegunaan rasmi sahaja. Pengurus ICT berhak menentukan pengguna yang dibenarkan menggunakan Internet atau sebaliknya;

e) Laman yang dilayari hendaklah hanya yang berkaitan dengan bidang kerja dan terhad untuk tujuan yang dibenarkan oleh Setiauasaha Bahagian / pegawai yang diberi kuasa;

f) Bahan yang diperoleh dari Internet hendaklah ditentukan ketepatan dan kesahihannya;

g) Bahan rasmi hendaklah disemak dan mendapat pengesahan daripada Setiausaha Bahagian sebelum dimuat naik ke Internet;

h) Pengguna hanya dibenarkan memuat turun bahan yang sah seperti perisian yang berdaftar dan di bawah hak cipta terpelihara;

i) Sebarang bahan yang dimuat turun dari Internet hendaklah digunakan untuk tujuan yang dibenarkan oleh KPLB;

j) Hanya pegawai yang mendapat kebenaran sahaja boleh menggunakan kemudahan perbincangan awam seperti newsgroup dan bulletin board. Walau bagaimanapun, kandungan perbincangan awam ini hendaklah mendapat kelulusan daripada CIO terlebih dahulu tertakluk kepada dasar dan peraturan yang telah ditetapkan;

k) Penggunaan modem untuk tujuan sambungan ke Internet tidak dibenarkan sama sekali; dan

(63)

63 | P a g e

l) Pengguna adalah dilarang melakukan aktiviti-aktiviti seperti berikut:

 Memuat naik, memuat turun, menyimpan dan menggunakan perisian tidak berlesen dan sebarang aplikasi seperti permainan elektronik, video, lagu yang boleh menjejaskan tahap capaian internet; dan  Menyedia, memuat naik, memuat turun dan

menyimpan material, teks ucapan atau bahan- bahan yang mengandungi unsur-unsur lucah.

(64)

64 | P a g e

3.3.3.6 Keselamatan Manusia Dalam Tugasan Harian

Semua sumber manusia yang terlibat termasuk pegawai dan kakitangan KPLB, pembekal, pakar runding dan pihak-pihak yang berkepentingan haruslah memahami tangungjawab dan peranan dalam melindungi keselamatan aset ICT.

i. Sebelum Perkhidmatan

Perkara-perkara yang mesti dipatuhi termasuk yang berikut: a) Menyatakan dengan lengkap dan jelas peranan dan tanggungjawabpegawai dan kakitangan KPLB serta pihak ketiga yang terlibat dalam menjamin keselamatan aset ICT;

b) Menjalankan tapisan keselamatan untuk pegawai dan kakitangan KPLB serta pihak ketiga yang terlibat berasaskan keperluan perundangan, peraturan dan etika terpakai yang selaras dengan keperluan perkhidmatan, peringkat maklumat yang akan dicapai serta risiko yang dijangkakan; dan

c) Mematuhi semua terma dan syarat perkhidmatan yang ditawarkan dan peraturan yang berkuat kuasa berdasarkan perjanjian yang telah ditetapkan.

ii. Dalam Perkhidmatan

Perkara-perkara yang perlu dipatuhi termasuk yang berikut: a) Memastikan pegawai dan kakitangan KPLB serta pihak ketiga yang berkepentingan mengurus keselamatan aset ICT berdasarkan perundangan dan peraturan yang ditetapkan oleh KPLB telah menjalani tapisan keselamatan yang bersesuaian;

Warga KPLB, Pihak Ketiga

(65)

65 | P a g e

b) Memastikan latihan kesedaran dan yang berkaitan mengenai pengurusan keselamatan aset ICT diberi kepada pengguna ICT KPLB secara berterusan dalam melaksanakan tugas-tugas dan tanggungjawab mereka, dan sekiranya perlu diberi kepada pihak ketiga yang berkepentingan dari masa ke semasa;

c) Memastikan adanya proses tindakan disiplin dan/atau undang- undang ke atas pegawai dan kakitangan KPLB serta pihak ketiga yang berkepentingan sekiranya berlaku perlanggaran perundangan/peraturan yang telah ditetapkan oleh KPLB; dan

d) Memantapkan pengetahuan berkaitan dengan penggunaan aset ICT bagi memastikan setiap kemudahan ICT digunakan dengan kaedah yang betul demi menjamin kepentingan keselamatan ICT.

iii. Bertukar atau Tamat Perkhidmatan

Perkara-perkara yang perlu dipatuhi termasuk yang berikut: a) Memastikan semua aset ICT dikembalikan kepada

Bahagian Pengurusan Maklumat, KPLB; dan

b) Kebenaran capaian ke atas maklumat dan kemudahan proses maklumat mengikut peraturan yang ditetapkan oleh KPLB dan/atau terma perkhidmatan ditarik semula. (Contoh: akses komputer, pelayan, storan dan rangkaian)

c) Kemudahan akses kepada perkhidmatan e-mel akan dihentikan dalam tempoh 7 hari bekerja bermula dari

(66)

66 | P a g e

tarikh pertukaran atau pemberhentian maklumat. Sebarang keperluan pelanjutan haruslah dibuat permohonan rasmi kepada ICTSO.

3.3.3.7 Keselamatan Fizikal dan Persekitaran

Mencegah akses fizikal yang tidak dibenarkan dan boleh menjadi ancaman kehilangan, kerosakan, kecurian atau kompromi terhadap aset dan gangguan kepada pemprosesan maklumat KPLB.

i. Keselamatan Persekitaran

a) Kawasan Larangan

Kawasan larangan ditakrifkan sebagai kawasan yang dihadkan kemasukan kepada pegawai-pegawai yang tertentu sahaja. Ini dilaksanakan bagi melindungi aset ICT yang terdapat di dalam kawasan tersebut.

Pihak ketiga adalah dilarang sama sekali untuk memasuki kawasan larangan kecuali bagi kes-kes tertentu seperti memberi khidmat sokongan atau bantuan teknikal dan mereka hendaklah diiringi sepanjang masa sehingga tugas di kawasan berkenaan selesai.

b) Kawalan Kawasan Larangan

Kawalan Kawasan Larangan adalah bertujuan untuk mengesan, mencegah dan menghalang cubaan untuk menceroboh ke kawasan yang menempatkan aset ICT KPLB.

Perkara-perkara yang perlu dipatuhi adalah termasuk:

Warga KPLB, Pelawat