• Tidak ada hasil yang ditemukan

DASAR KESELAMATAN ICT MOSTI

N/A
N/A
Info
Unduh - Bebas
Nguyễn Gia Hào

Academic year: 2023

Membagikan "DASAR KESELAMATAN ICT MOSTI"

Copied!
76
0
0

Memuat.... (Lihat teks lengkap sekarang)

Unduh sekarang ( 76 Halaman )

Teks penuh

Kawasan terhad kepada pegawai yang ditetapkan sahaja, atau kawasan premis atau bahagian premis di mana barang terperingkat disimpan atau dikendalikan atau di mana kerja sulit dijalankan. Rahsia ketat Dokumen rasmi, maklumat rasmi dan bahan rasmi yang, jika didedahkan tanpa kebenaran, akan menyebabkan kemudaratan besar kepada Malaysia mesti ditandakan sebagai sulit. Dokumen rasmi sulit, maklumat rasmi dan bahan rasmi yang, jika didedahkan tanpa kebenaran, walaupun ia tidak mengancam keselamatan negara, tetapi membahayakan kepentingan atau maruah Malaysia atau aktiviti kerajaan.

Terhad Dokumen rasmi, maklumat rasmi dan bahan rasmi, selain daripada yang diklasifikasikan sebagai Rahsia Besar, Rahsia atau Sulit, tetapi memerlukan tahap keselamatan, mesti diklasifikasikan sebagai Terhad. Pegawai yang menjalankan tugas menyediakan dan memastikan kakitangan dan keselamatan fizikal di ibu pejabat MOSTI.

JADUAL PINDAAN DASAR KESELAMATAN ICT
JADUAL PINDAAN DASAR KESELAMATAN ICT

PENGENALAN

OBJEKTIF

SKOP

PRINSIP

Pengauditan ialah mengenal pasti insiden atau situasi berkaitan keselamatan yang mengancam keselamatan. Di samping itu, sumber ICT seperti PC, pelayan, rangkaian/peralatan keselamatan, dan lain-lain mesti dijamin untuk menjana dan menyimpan log untuk tujuan jejak audit. DKICT MOSTI mesti dibaca, difahami dan dipatuhi untuk mengelakkan sebarang ketidakpatuhan yang boleh mendatangkan ancaman kepada keselamatan ICT.

Di sini, tindakan mempelbagaikan pendekatan dalam mengatur dan mereka bentuk sebanyak mungkin mekanisme keselamatan ICT adalah perlu untuk memastikan keselamatan ICT yang maksimum.

P ELAKSANAAN D ASAR K ESELAMATAN ICT

P ENYEBARAN D ASAR K ESELAMATAN ICT

P ENYELENGGARAAN D ASAR K ESELAMATAN ICT

P ENGECUALIAN D ASAR K ESELAMATAN ICT

  • K ETUA S ETIAUSAHA
  • K ETUA P EGAWAI M AKLUMAT (CIO)
  • P EGAWAI K ESELAMATAN ICT (ICTSO)
  • P ENGURUS ICT
  • P ENTADBIR S ISTEM ICT
  • P ENGGUNA
  • J AWATANKUASA P EMANDU ICT (JPICT) MOSTI
  • P ASUKAN T INDAK B ALAS I NSIDEN K ESELAMATAN ICT MOSTI (CERT MOSTI)
  • J AWATANKUASA K ESELAMATAN ICT (JKICT) MOSTI
  • MERANCANG, MELAKSANA, MENYELARAS DAN MEMANTAU PENGURUSAN
  • MENGKAJI DAN MENILAI TEKNOLOGI YANG BERSESUAIAN TERHADAP KEPERLUAN
  • MENJALANKAN PENILAIAN KE ATAS TAHAP KESELAMATAN ICT MOSTI DAN
    • K EPERLUAN K ESELAMATAN K ONTRAK DENGAN P IHAK K ETIGA

Rancang penilaian risiko dan program keselamatan ICT dalam DKICT MOSTI mengikut peraturan yang berkenaan. Melaporkan insiden keselamatan ICT kepada CIO untuk insiden yang memerlukan pelaksanaan Pelan Kesinambungan Perkhidmatan (SCP); dan. JPICT ialah jawatankuasa yang bertanggungjawab terhadap keselamatan ICT dan bertindak sebagai penasihat dan pemangkin dalam MOSTI.

Menjalankan penilaian dalaman untuk menjamin tahap keselamatan ICT dan mengambil tindakan pembetulan atau pengukuhan untuk meningkatkan tahap keselamatan infrastruktur ICT bagi mengelakkan insiden baru. Menjalankan penilaian tahap keselamatan ICT MOSTI dan menjalankan tindakan pemulihan atau MOSTI dan menjalankan tindakan pemulihan atau pemulihan; dan.

K ATEGORI M AKLUMAT

P ENGENDALIAN M AKLUMAT

P ERLINDUNGAN K ETIRISAN D ATA

  • T ANGGUNGJAWAB K ESELAMATAN S EBELUM D ALAM P ERKHIDMATAN
  • T ANGGUNGJAWAB K ESELAMATAN S EMASA D ALAM P ERKHIDMATAN
  • B ERTUKAR /T AMAT P ERKHIDMATAN /C UTI B ELAJAR
  • P ROGRAM K ESEDARAN K ESELAMATAN ICT

Memastikan pengguna dan pihak ketiga mematuhi keselamatan sumber ICT berdasarkan dasar dan peraturan MOSTI;. Memastikan bahawa pengguna, dalam melaksanakan tugas dan tanggungjawab mereka, menerima latihan kesedaran berterusan dan perubahan yang berkaitan dengan dasar dan peraturan untuk keselamatan aset ICT; Pertimbangkan tindakan tatatertib dan/atau undang-undang terhadap pengguna dan pihak ketiga sekiranya berlaku pelanggaran dasar dan peraturan yang ditetapkan; Dan.

Memastikan pengguna mendapat latihan yang berkaitan supaya setiap kemudahan ICT hendaklah digunakan mengikut cara dan kaedah yang telah ditetapkan. Mengembalikan semua aset ICT kerajaan yang diterima semasa pemulangan perkhidmatan mengikut peraturan yang dikenakan; Dan. Membatalkan atau menggantung semua hak akses kepada maklumat dan kemudahan pemprosesan maklumat mengikut peraturan yang ditetapkan.

Setiap pengguna di MOSTI mesti mempunyai program maklumat, latihan atau kursus tentang keselamatan ICT yang mencukupi secara berterusan untuk menjalankan tugas dan tanggungjawab mereka. Program kesedaran insiden juga dilihat penting sebagai langkah proaktif yang boleh mengurangkan ancaman keselamatan ICT.

  • K ESELAMATAN F IZIKAL
  • K AWALAN M ASUK F IZIKAL
  • K AWASAN L ARANGAN
  • P ERALATAN ICT
  • M EDIA S TORAN
  • M EDIA T ANDATANGAN D IGITAL
  • M EDIA P ERISIAN DAN A PLIKASI
  • P ENYELENGGARAAN P ERKAKASAN
  • P INJAMAN P ERALATAN ICT
  • P ERALATAN ICT DI L UAR P REMIS MOSTI
  • P ELUPUSAN P ERALATAN A SET ICT
  • K AWALAN P ERSEKITARAN
  • B EKALAN K UASA
  • K ABEL P ERALATAN ICT
  • P ROSEDUR K ECEMASAN
  • D OKUMEN

Objektif: Untuk melindungi peralatan dan maklumat ICT daripada kehilangan, kerosakan, kecurian dan gangguan peralatan. Setiap pengguna hendaklah menyemak dan memastikan semua peralatan ICT di bawah kawalannya berfungsi dengan sempurna dan melaporkan sebarang kerosakan kepada Pegawai Aset ICT MOSTI. Semua peralatan ICT hendaklah disimpan atau diletakkan di tempat yang teratur, bersih dengan kemudahan keselamatan.

Pengguna bertanggungjawab sepenuhnya ke atas peralatan ICT dan tidak dibenarkan membuat sebarang set perubahan perkakasan dan konfigurasi;. Peralatan ICT yang hendak diambil dari premis MOSTI untuk tujuan rasmi hendaklah mendapat kelulusan pegawai yang diberi kuasa dan direkodkan untuk tujuan pemantauan;. Media storan mesti dipastikan berada dalam keadaan baik, selamat, terjamin kerahsiaan, integriti dan ketersediaan untuk digunakan.

Dapatkan kelulusan daripada pemilik maklumat sebelum memadam maklumat atau kandungan media storan dengan teratur dan selamat. Untuk membuat salinan atau pendua (backup) pada medium storan lain atas sebab keselamatan dan untuk mengelakkan kehilangan data; dan. Pelupusan peralatan ICT hendaklah dilakukan secara terkawal dan lengkap supaya maklumat tidak terlepas daripada kawalan MOSTI.

Semua kandungan peralatan ICT, terutamanya data sulit, hendaklah dipadamkan terlebih dahulu sebelum penyingkiran dijalankan; dan. Peralatan ICT yang akan dikeluarkan sebelum pemindahan mesti memastikan bahawa data dalam ingatan telah dipadamkan dengan cara yang selamat;. Semua peralatan ICT mesti dilindungi daripada kegagalan kuasa dan mesti dikuasakan mengikut voltan yang sesuai;.

  • P ENGENDALIAN P ROSEDUR
  • K AWALAN P ERUBAHAN
  • P ENGASINGAN T UGAS DAN T ANGGUNGJAWAB
  • P ERKHIDMATAN P ENYAMPAIAN
  • P ERANCANGAN K APASITI
  • P ENERIMAAN S ISTEM
  • P ERLINDUNGAN DARI P ERISIAN B ERBAHAYA
  • P ERLINDUNGAN DARI M OBILE C ODE
  • B ACKUP
  • K AWALAN K ESELAMATAN I NFRASTRUKTUR R ANGKAIAN
  • P ENGHANTARAN DAN P EMINDAHAN
  • P ROSEDUR P ENGENDALIAN M EDIA S TORAN
  • K ESELAMATAN S ISTEM D OKUMENTASI
  • P ERTUKARAN M AKLUMAT
  • P ENGAUDITAN DAN F ORENSIK ICT
  • J EJAK A UDIT
  • S ISTEM L OG
  • P EMANTAUAN L OG

Skop tugas dan tanggungjawab harus diasingkan untuk mengurangkan kemungkinan penyalahgunaan atau pengubahsuaian tanpa kebenaran aset ICT; dan b. Kapasiti sesuatu komponen atau sistem ICT hendaklah dirancang, diurus dan dikawal dengan teliti oleh pegawai berkaitan bagi memastikan keperluan tersebut mencukupi dan sesuai untuk pembangunan dan penggunaan sistem ICT pada masa hadapan; dan. Perancangan kapasiti setiap projek ICT perlu mengambil kira unjuran peningkatan kapasiti sesuatu komponen, sistem ICT dan teknologi ICT untuk tempoh 5 tahun; dan.

Keperluan kapasiti ini juga harus mengambil kira ciri keselamatan ICT untuk meminimumkan risiko seperti gangguan perkhidmatan dan kerugian akibat perubahan yang tidak dirancang. Memantau pengurusan dan peruntukan kapasiti sesuatu komponen atau sistem ICT bagi memastikan keperluan tersebut mencukupi dan sesuai untuk pembangunan dan penggunaan sistem ICT pada masa hadapan. Pantau kandungan sistem (tidak terhad kepada fail log, cap masa, fail yang dimuat naik dan kod sumber) atau tambah maklumat secara berkala untuk mengesan aktiviti yang tidak diingini seperti kehilangan dan kerosakan maklumat;

Kerja operasi yang melibatkan rangkaian mesti diasingkan daripada tugas dan tanggungjawab lain untuk mengurangkan akses, konfigurasi dan perubahan infrastruktur yang tidak dibenarkan. Kawal dan rekod aktiviti penyelenggaraan media storan untuk mengelakkan sebarang kerosakan dan pendedahan yang tidak dibenarkan. Media yang mengandungi maklumat mesti dilindungi daripada akses yang tidak dibenarkan, penyalahgunaan atau kerosakan semasa pemindahan daripada MOSTI; dan d.

Pentadbir sistem ICT hendaklah menyemak rekod jejak audit secara berkala dan menyediakan laporan sekiranya perlu. Jejak audit juga mesti dilindungi daripada kerosakan, kehilangan, pemadaman, pemalsuan dan pengubahsuaian tanpa kebenaran. Objek rakaman dan data log mesti dilindungi daripada pengubahsuaian dan capaian yang tidak dibenarkan;

  • K EPERLUAN K AWALAN A KSES
  • ID P ENGGUNA S ISTEM A PLIKASI
  • H AK C APAIAN
  • P ENGURUSAN K ATA LALUAN
  • C LEAR D ESK DAN C LEAR S CREEN
  • A KSES R ANGKAIAN
  • A KSES I NTERNET
  • C APAIAN S ISTEM P ENGOPERASIAN
  • K AD P INTAR
  • C APAIAN A PLIKASI DAN M AKLUMAT
  • P ERALATAN M UDAH A LIH
  • K EMUDAHAN K ERJA J ARAK J AUH
  • B RING Y OUR O WN D EVICE (BYOD)

Penubuhan dan penggunaan hak akses mesti dikawal dan diselia dengan ketat berdasarkan keperluan skop kerja. Panjang kata laluan mestilah sekurang-kurangnya lapan (8) aksara dengan gabungan huruf, nombor dan aksara khas;. Kata laluan mesti diingat dan TIDAK MESTI direkodkan, disimpan atau didedahkan dalam apa jua cara;.

Kata laluan Windows mesti didayakan pada setiap komputer pengguna, terutamanya pada komputer yang terletak di dalam bilik kongsi. Kata laluan tidak boleh muncul semasa input, dalam laporan atau media lain dan tidak boleh dikodkan dalam program;. Gunakan pertukaran kata laluan semasa log masuk pertama atau selepas log masuk pertama atau selepas tetapan semula kata laluan;.

Penggunaan internet di MOSTI mesti dipantau secara berterusan oleh pentadbir rangkaian untuk memastikan ia hanya digunakan untuk tujuan capaian yang dibenarkan. Untuk mendapatkan akses kepada sistem Kerajaan Elektronik yang dimaksudkan untuk tujuan ini, kad cip Kerajaan Elektronik (kad EC) mesti digunakan. Objektif: Untuk mengelakkan capaian yang tidak sah dan tidak dibenarkan kepada maklumat dalam sistem aplikasi.

Pengguna hanya boleh menggunakan sistem maklumat dan aplikasi yang dibenarkan mengikut tahap capaian dan keselamatan maklumat yang telah ditentukan;. Memastikan peralatan mudah alih yang dibawa oleh kenderaan mesti disimpan dan diselenggara dengan baik untuk mengelakkan kecurian; dan. Semua maklumat yang terdapat pada peranti mudah alih seperti telefon pintar harus dipadamkan apabila dilaporkan hilang.

  • K EPERLUAN K ESELAMATAN
  • E NCRYPTION
  • K AWALAN F AIL -F AIL S ISTEM
  • K AWALAN P ERUBAHAN
  • P EMBANGUNAN S ISTEM S ECARA O UTSOURCE
  • K AWALAN DARI A NCAMAN T EKNIKAL

Infrastruktur Kunci Awam (PKI) mesti dilaksanakan dengan cekap dan selamat untuk melindungi PKI daripada perubahan, pemusnahan dan pendedahan sepanjang hayat PKI. Proses pengemaskinian fail sistem hanya boleh dilakukan oleh pentadbir sistem ICT atau pegawai yang diberi kuasa; Mengawal akses kepada kod sistem atau program untuk mengelakkan kerosakan, pengubahsuaian tanpa kebenaran, pemadaman dan kecurian;.

Perubahan atau pengubahsuaian kepada sistem aplikasi mesti dikawal, diuji, dilog dan disahkan sebelum ia diterima; Sistem aplikasi hendaklah disemak dan diuji apabila perubahan sistem pengendalian dibuat untuk memastikan tiada kesan buruk terhadap prestasi dan keselamatan. Pembangunan perisian luaran mesti dikawal dan dipantau oleh pemilik sistem dan pentadbir sistem ICT.

Perjanjian antara MOSTI dan pembekal mengenai penggunaan kod sumber, supaya ia tidak digunakan semula untuk pembangunan sistem lain, melainkan ia adalah untuk faedah sektor awam; dan. Objektif: Memastikan kawalan teknikal pendedahan adalah berkesan, sistematik dan berkala dengan mengambil langkah yang sesuai untuk menjamin keberkesanannya. Kawalan teknikal terhadap kelemahan ini mesti dilaksanakan pada sistem pengendalian dan sistem aplikasi yang digunakan.

Sebarang aktiviti tampalan untuk sistem pengendalian hendaklah diuji terlebih dahulu untuk memastikan ketersediaan sistem aplikasi.

M EKANISME P ELAPORAN

P ROSEDUR P ENGURUSAN I NSIDEN K ESELAMATAN ICT

PKP

  • P EMATUHAN D OKUMEN K ESELAMATAN ICT
  • P EMATUHAN DENGAN D ASAR , P IAWAIAN DAN K EPERLUAN T EKNIKAL
  • P EMATUHAN K EPERLUAN A UDIT
  • K EPERLUAN P ERUNDANGAN
  • P ELANGGARAN D ASAR K ESELAMATAN ICT
  • A RAHAN K ESELAMATAN
  • D OKUMEN K ESELAMATAN ICT MOSTI V 1
  • D ASAR K ESELAMATAN ICT MAMPU V 5.3
  • N ATIONAL C YBER S ECURITY P OLICY
  • T HE M ALAYSIAN P UBLIC S ECTOR ICT M ANAGEMENT S ECURITY H ANDBOOK (M Y MIS)
  • P EKELILING A M B ILANGAN 1 T AHUN 2001
  • P EKELILING K EMAJUAN P ENTADBIRAN A WAM B ILANGAN 1 T AHUN 2003
  • T OOLKIT P ENGGUBALAN D ASAR K ESELAMATAN ICT S EKTOR A WAM V 1.0
  • MS ISO 27001:2013– I NFORMATION S ECURITY M ANAGEMENT S YSTEM (ISMS)
  • R ANGKA K ERJA K ESELAMATAN C YBER S EKTOR A WAM (RAKKSSA) V 1.0

Senarai undang-undang dan peraturan yang mesti dipatuhi oleh semua pengguna di MOSTI adalah seperti di Lampiran 2. Pelanggaran DKICT MOSTI mungkin tertakluk kepada tindakan tatatertib dan/atau mengikut peraturan yang sedang berkuat kuasa. BAHAGIAN PENGURUSAN TEKNOLOGI MAKLUMAT KEMENTERIAN SAINS, TEKNOLOGI DAN INOVASI (MOSTI). a) Akan memastikan perlindungan kerahsiaan yang mencukupi untuk semua maklumat dalam dokumen terbuka dan terperingkat MOSTI selaras dengan peruntukan Akta Rahsia Rasmi 1972; dan.

Arahan tetap bagi sasaran penting yang dikeluarkan kepada pihak yang terlibat dalam pengurusan sasaran penting dan sasaran swasta milik kerajaan yang diluluskan oleh Majlis Menteri pada 13 Oktober 1993;. 8 Tahun 1990 - Arahan keselamatan untuk kawalan, penyelenggaraan, ukur dan maklumat geografi, termasuk peta rasmi dan penderiaan jauh;. Peraturan-Peraturan Pengurusan Rahsia Rasmi Selaras Dengan Peruntukan Akta Rahsia Rasmi (Pindaan) 1986 Dan Pekeliling Am Bil.

Kawalan keselamatan rahsia rasmi dan dokumen rasmi kerajaan yang diliputi oleh surat KPKK(R)200/55 Klt.7(21) Bertarikh 21 Ogos 1999; dan. Pekeliling Am Bilangan 4 Tahun 1982 - Permohonan untuk premis pejabat sama ada di bangunan komunal atau disewa di bangunan persendirian; dan. Surat Pekeliling Am Sulit Bilangan 1/1966 - Isu keselamatan berhubung persidangan/mesyuarat/lawatan sambil belajar antarabangsa;.

Pekeliling Am Sulit Bilangan 1/1967 - Ceramah Keselamatan Penjawat Awam dan mereka yang bukan Penjawat Awam yang masuk bersama.

Gambar

JADUAL PINDAAN DASAR KESELAMATAN ICT

Referensi

Unduh sekarang ( PDF - 76 Halaman - 1.01 MB )

Garis besar

A KSES I NTERNET

Dokumen terkait

How STEAM is a Chemistry textbook for class XI of a public high school in Surakarta

Results of Analysis of Technology Aspect Indicators in Books A, B, and C Based on Figure 3, the content of technological aspects in book A is dominated by information