• Tidak ada hasil yang ditemukan

DASAR KESELAMATAN ICT MITI

N/A
N/A
Info
Unduh - Bebas
Nguyễn Gia Hào

Academic year: 2023

Membagikan "DASAR KESELAMATAN ICT MITI"

Copied!
100
0
0

Memuat.... (Lihat teks lengkap sekarang)

Unduh sekarang ( 100 Halaman )

Teks penuh

Dasar Keselamatan ICT MITI meliputi perlindungan semua bentuk maklumat elektronik untuk memastikan keselamatan maklumat dan ketersediaannya kepada semua pengguna yang dibenarkan. Prinsip-prinsip yang menjadi asas kepada dasar keselamatan ICT MITI dan mesti dipatuhi adalah seperti berikut:.

JADUAL PINDAAN DASAR KESELAMATAN ICT MITI
JADUAL PINDAAN DASAR KESELAMATAN ICT MITI

Dasar Keselamatan ICT MITI terpakai kepada semua pengguna ICT MITI dan tiada pengecualian diberikan.

Peranan dan tanggungjawab ICTSO yang ditetapkan adalah seperti berikut: a) menyedia dan melaksanakan program kesedaran keselamatan ICT MITI;. Peranan dan tanggungjawab pengguna adalah seperti berikut: a) membaca, memahami dan mematuhi Dasar Keselamatan ICT MITI;.

Semua maklumat yang dijana atau dikumpul oleh Jabatan hendaklah diasingkan mengikut kategori Maklumat Rasmi dan Maklumat Rahsia Rasmi. Sebarang surat-menyurat yang dinyatakan dalam Jadual kepada Akta Rahsia Rasmi 1972 [Akta 88] dan apa-apa maklumat dan bahan yang berkaitan dengannya dan termasuk dokumen rasmi, maklumat dan bahan lain yang boleh diklasifikasikan sebagai "Rahsia Besar", "Rahsia" "Sukar".

Memastikan kesedaran dan program berkaitan pengurusan keselamatan ICT diberikan kepada pengguna ICT MITI secara berterusan dalam melaksanakan tugas dan tanggungjawab mereka, dan jika perlu diberikan kepada pihak ketiga yang berminat dari semasa ke semasa. Sebarang kursus dan latihan teknikal yang diperlukan, pengguna boleh merujuk kepada Bahagian Pengurusan Sumber Manusia, MITI; dan. e) Pekerja sementara juga tertakluk kepada syarat 040102 (a) – (d) dan sebarang syarat lain yang ditetapkan oleh Bahagian Sumber Manusia.

Pas ini mesti diserahkan pada akhir lawatan; Dan. d) Kehilangan pas hendaklah dilaporkan segera. Peralatan rangkaian seperti suis, hab, penghala dan lain-lain mesti diletakkan di dalam rak khas dan dikunci; j) Semua peralatan yang digunakan secara berterusan mesti diletakkan di dalam bilik berhawa dingin dengan pengudaraan udara yang sesuai;. k) Peralatan ICT yang dipinjam dari stor BPM dan untuk dibawa ke luar premis MITI hendaklah mendapat kelulusan pengarah atau pengurus BPM yang berkenaan dan didaftarkan untuk tujuan pemantauan;. l) Peralatan ICT yang hilang hendaklah dilaporkan segera kepada ICTSO dan Pegawai Aset; m) Pengendalian peralatan ICT hendaklah mematuhi dan merujuk kepada peraturan yang diguna pakai;. n) Warga MITI, termasuk pekerja sementara, tidak boleh menukar lokasi komputer dari lokasi asalnya tanpa kebenaran daripada BPM;. o) Sebarang kerosakan peralatan ICT hendaklah dilaporkan kepada Pihak BPM untuk dibaiki; p) Pelekat selain untuk tujuan rasmi adalah tidak dibenarkan. Media storan ialah peralatan elektronik yang digunakan untuk menyimpan data dan maklumat seperti pita kartrij, cakera optik, cakera kilat, cakera keras luaran, pemacu USB dan media storan lain.

- Medium penyimpanan mesti dipastikan dalam keadaan baik, selamat, terjamin kerahsiaan, integriti dan ketersediaan untuk digunakan. Perkakasan mesti diselenggara dengan betul untuk memastikan ketersediaan, kerahsiaan dan integriti. a) Semua perkakasan yang diselenggara mestilah mengikut spesifikasi yang ditetapkan oleh pengilang;. Pelupusan termasuk semua peralatan ICT yang rosak, usang dan tidak boleh dibaiki serta harta modal atau aset yang bernilai rendah disediakan oleh MITI dan terletak di MITI.

Pemadaman mesti dilakukan secara terkawal dan lengkap supaya maklumat tidak terlepas daripada kawalan MITI. a) Semua kandungan peralatan, terutamanya maklumat terperingkat rasmi, mesti dikeluarkan terlebih dahulu sebelum dilupuskan dengan mencarik, mengisar, nyahgau atau membakar; Pengguna ICT bertanggungjawab untuk memastikan semua maklumat sulit dan sulit di dalam komputer disalin ke medium storan kedua seperti USB stick atau pemacu keras luaran sebelum maklumat dikeluarkan daripada peralatan komputer untuk dikeluarkan. i) Untuk maklumat lanjut mengenai pemadaman, rujuk Tatacara Kerajaan Pengurusan Aset Alih AM2.6 (1PP) berkuat kuasa 3 Julai 2014. a) Pastikan pengguna membuat salinan semua maklumat pada komputer riba ke medium storan lain , seperti memandu USB sebelum meninggalkan pejabat/hotel atau ke luar negara;.

Penggodam biasanya menggunakan *.doc, *.docx, *.xls, *.xlsx &. pdf untuk menipu penerima e-mel;. j) Pengguna dilarang menghantar dan membuka lampiran e-mel (lampiran) yang diformatkan sebagai *.scr,. Dikhuatiri akan merebak virus secara automatik apabila dibuka;. k) Pengguna dilarang mengedarkan fail yang mengandungi kod berbahaya seperti virus, worm, Trojan horse dan pintu belakang yang boleh merosakkan sistem komputer dan maklumat pengguna lain. l) Pengguna mesti melaksanakan penyulitan atau meletakkan kata laluan pada maklumat sulit, terutamanya yang dihantar melalui rangkaian. Pengguna juga dilarang menghantar kata laluan yang ditetapkan melalui e-mel dengan fail, tetapi ia mesti dihantar melalui penggunaan SMS atau saluran lain seperti mesej segera (IM) atau seumpamanya;. m) Pengguna dilarang menghantar dokumen besar melebihi 10 MB bagi memastikan sistem e-mel tidak terganggu dan berfungsi dengan baik. n) Penghantaran e-mel dengan imej (grafik) untuk jemputan/pengumuman mesyuarat atau seminar hendaklah menggunakan saiz yang kecil tidak melebihi 150 KB untuk menyemak storan/kuota dan prestasi pelayan e-mel. o) Pengguna dikehendaki melakukan penyelenggaraan pada akaun e-mel mereka dari semasa ke semasa untuk mengelakkan sebarang gangguan terhadap penggunaan e-mel;. p) Pengguna digalakkan untuk mencetak dan mendokumentasikan semua e-mel penting bagi mengelak kehilangan maklumat penting sekiranya berlaku kerosakan pada cakera keras komputer;.

Kandungan e-mel tidak akan diakses atau didedahkan kepada orang lain. daripada untuk tujuan keselamatan atau dikehendaki oleh undang-undang;. u) Pengguna mesti bertanggungjawab dan menyelenggara peti mel masing-masing pada setiap masa. E-mel yang tidak mempunyai nilai arkib yang telah dijalankan dan tidak diperlukan lagi boleh dipadamkan;. v) Pentadbir e-mel boleh menamatkan akaun e-mel pengguna atas sebab-sebab berikut. Kawal sensitiviti aplikasi dan maklumat dalam perkhidmatan ini untuk mengelakkan sebarang risiko seperti penyalahgunaan maklumat, kecurian maklumat dan perubahan yang tidak dibenarkan.

Jejak audit juga mesti dilindungi daripada kerosakan, kehilangan, pemadaman, pemalsuan dan pengubahsuaian tanpa kebenaran. Kemudahan merekod dan maklumat log mesti dilindungi daripada perubahan dan sebarang capaian yang tidak dibenarkan;.

Dasar keselamatan ICT MITI mengandungi peraturan yang mesti dibaca dan dipatuhi dalam penggunaan aset teknologi maklumat dan komunikasi (ICT) MITI. Polisi Keselamatan ICT MITI mesti dibaca, difahami dan dipatuhi agar sebarang bentuk pelanggaran yang boleh mengakibatkan Penilaian Risiko Keselamatan ICT dijalankan ke atas sistem maklumat MITI termasuk aplikasi, perisian, pelayan, rangkaian dan/atau proses dan prosedur .

Laporkan insiden keselamatan ICT kepada Pasukan Tindak Balas Insiden Keselamatan ICT Kerajaan (GCERT), MAMPU dan maklumkan kepada CIO. i) menyelaraskan atau membantu siasatan berkaitan ancaman atau serangan lain ke atas aset IT. j) Menjalankan penilaian untuk memastikan tahap keselamatan IT dan mengambil langkah pembaikan atau pengukuhan untuk meningkatkan tahap keselamatan dalam infrastruktur IT supaya insiden baru dapat dielakkan. k) bekerjasama dengan semua pihak berkaitan untuk mengenal pasti punca ancaman atau insiden keselamatan IT dan segera mengesahkan langkah-langkah pemulihan; dan. l) memperakui proses mengambil tindakan tatatertib terhadap pengguna yang melanggar dasar keselamatan ICT MITI. m) Memberi hak akses berkaitan keselamatan ICT kepada Warga MITI. Peranan dan tanggungjawab beliau adalah seperti berikut: a) memastikan semua pengguna memahami dan mematuhi Dasar Keselamatan ICT MITI, prosedur dan garis panduan yang dikeluarkan;. Ini dilaksanakan untuk melindungi aset IT yang wujud di kawasan tersebut. a) Akses ke kawasan larangan adalah terhad kepada pegawai yang diberi kuasa sahaja; dan. b) Pelawat/pihak ketiga dilarang sama sekali memasuki kawasan larangan, kecuali dalam kes-kes tertentu, seperti memberi khidmat sokongan atau bantuan teknikal, dan mesti ditemani oleh pegawai MITI pada setiap masa sehingga tugas di kawasan tersebut selesai.

Sistem aplikasi dalaman tidak dibenarkan ditunjukkan atau diedarkan kepada pihak lain, kecuali dengan kebenaran Pengarah BPM; dan. c) Kod sumber sesuatu sistem hendaklah diselenggara dengan teratur dan sebarang perubahan hendaklah mengikut prosedur yang ditetapkan. Matikan Bluetooth atau Infra Merah jika tidak diperlukan; dan. f) Melaporkan segera kepada BPM MITI jika berlaku kejadian yang tidak diingini. Klausa ini bertujuan untuk tuntutan pembaikan jika perisian mengandungi program berbahaya;. h) Mengadakan program dan prosedur jaminan kualiti. dalam semua perisian yang dibangunkan; dan. i) Memberi amaran tentang ancaman keselamatan ICT seperti serangan virus.

PENGURUSAN PENGENDALIAN INSIDEN KESELAMATAN

Gambaran keseluruhan semua proses kerja yang terlibat dalam melaporkan insiden keselamatan ICT kepada MITI seperti di Lampiran 2. Prosedur pelaporan insiden keselamatan ICT berdasarkan:. 090201 Prosedur pengurusan maklumat untuk insiden keselamatan ICT Maklumat mengenai insiden keselamatan ICT terurus hendaklah disimpan dan dianalisis untuk tujuan perancangan, pengukuhan tindakan dan pembelajaran untuk mengawal kekerapan, kerosakan dan kos kejadian masa hadapan. Maklumat ini juga digunakan untuk mengenal pasti insiden yang kerap berlaku atau memberi impak dan impak yang tinggi kepada MITI.

-kawalan yang perlu dipertimbangkan semasa mengumpul maklumat dan menguruskan pengendalian insiden adalah seperti berikut:.

Salinan BCP dan DRP hendaklah disimpan di lokasi yang berasingan untuk mengelakkan kerosakan akibat bencana di lokasi utama. BCP dan DRP perlu diuji sekurang-kurangnya sekali setahun atau apabila terdapat perubahan dalam persekitaran atau fungsi perniagaan untuk memastikan ia sentiasa berkesan. Ujian BCP dan DRP perlu dijadualkan untuk memastikan bahawa semua anggota dalam pemulihan dan kakitangan yang terlibat sedar tentang rancangan, tanggungjawab dan peranan mereka semasa melaksanakan rancangan itu.

MITI memastikan salinan BCP dan DRP dikemas kini dan dilindungi seperti di lokasi utama.

Pematuhan terhadap keperluan audit adalah perlu untuk meminimumkan ancaman dan memaksimumkan keberkesanan dalam proses audit sistem maklumat. Semakan audit dalaman adalah perlu untuk memastikan pematuhan kepada peraturan dan dasar yang terpakai. Semakan audit luaran adalah perlu untuk memastikan pematuhan dengan peraturan dan dasar semasa.

Pengauditan luaran hendaklah dijalankan oleh pihak yang tidak mempunyai kepentingan dalam jabatan dan sistem yang diaudit. Pensijilan audit luar khas seperti ISMS, Pengurusan Kesinambungan Perkhidmatan dan Kriteria Biasa mesti dilaksanakan oleh badan yang diiktiraf oleh kerajaan. Saya telah membaca, memahami dan menerima peraturan dasar keselamatan ICT MITI; dan.

2 Tahun 2000 - Peranan Jawatankuasa dalam Jawatankuasa Kerajaan bagi IT dan Internet (JITIK); l) Pekeliling Perbendaharaan bil. 2/1995 (Lampiran Pertama) – Tatacara Penyediaan, Penilaian dan Penerimaan Tender; w) Prosedur Operasi Standard (SOP) ICT MAMPU; Sistem akan menjana e-mel kepada pentadbir untuk membuat kata laluan baharu. Sistem menerima permohonan dan.

Gambar

JADUAL PINDAAN DASAR KESELAMATAN ICT MITI

Referensi

Unduh sekarang ( PDF - 100 Halaman - 1.81 MB )

Dokumen terkait

kenyataan tender (miti: 4/2019)

KENYATAAN TENDER MITI: 4/2019 Tawaran adalah dipelawa kepada syarikat-syarikat yang berdaftar dengan Kementerian Kewangan di bawah kod bidang baharu 020601 serta ePerolehan eP enable