TERHAD 2016 Versi 3.0 Dasar Keselamatan ICT Kementerian Perdagangan Dalam Negeri Koperasi dan Kepenggunaan
TERHAD
2016 Versi 3.0
Dasar Keselamatan ICT
Kementerian Perdagangan Dalam Negeri Koperasi dan Kepenggunaan
TERHAD
DASAR KESELAMATAN ICT KPDNKK
“Maklumat yang terkandung dalam dokumen ini tidak boleh diberitahu secara langsung atau tidak kepada akhbar atau sesiapa yang tidak dibenarkan”
Hak cipta Terpelihara
©KPDNKK, 2016
KAWALAN DOKUMEN
Dasar Keselamatan ICT KPDNKK
KPDNKK-4-POL-Dasar Keselamatan ICT KPDNKK-v3.0
Muka 1 dari 84
TERHAD
SEJARAH DOKUMEN
Tarikh Versi Disediakan oleh Keterangan Perubahan
1.0 BPM
4/1/2012 2.0 BPM i. Tambahan maklumat dokumen di header setiap
muka surat
ii. Tambahan maklumat Sejarah Dokumen dan
Penguatkuasaan Dokumen di muka surat 1
iii. Tambahan maklumat dalam Skop dasar di muka
surat 6
iv. Tambahan tajuk “Objektif” bagi setiap bab
v. Tambahan maklumat bagi bab 2.0: Infrastruktur
Organisasi Keselamatan dalam seksyen 2.8
vi. Tambahan maklumat bagi bab 3.0:Kawalan dan
Pengelasan Aset dalam seksyen 3.2.1
vii. Tambahan ayat bagi bab 3.0:Kawalan dan
Pengelasan Aset dalam seksyen 3.3.1: Maklumat
hendaklah dikelaskan dan dilabelkan sewajarnya
berasaskan nilai, keperluan perundangan, tahap
sensitiviti dan tahap kritikal kepada kerajaan.
viii. Tambahan 3 tajuk utama dalam bab
4.0:Keselamatan Sumber Manusia iaitu Sebelum
Perkhidmatan, Dalam Perkhidmatan dan Bertukar
atau Tamat Perkhidmatan. Tajuk-tajuk sedia ada
disusun semula mengikut kesesuaian tajuk yang
baru.
ix. Menyusun semula tajuk-tajuk dalam bab 5.0:
Keselamatan Fizikal dan Persekitaran di bawah
empat tajuk utama yang baru iaitu Keselamatan
Kawasan, Keselamatan Perkakasan, Keselamatan
Dokumen dan Keselamatan Persekitaran.
Beberapa maklumat tambahan juga ditambah.
x. Menyusun semula tajuk-tajuk dalam bab 6.0:
Pengurusan Operasi dan Komunikasi. Tajuk utama
yang ditambah ialah Pengurusan Prosedur
Dasar Keselamatan ICT KPDNKK
KPDNKK-4-POL-Dasar Keselamatan ICT KPDNKK-v3.0
Muka 2 dari 84
TERHAD
Operasi, Pengurusan Penyampaian Perkhidmatan
Pihak Ketiga, Perancangan dan Penerimaan
Sistem, Pengurusan Rangkaian, Pengurusan
Media, Pengurusan Pertukaran Maklumat dan
Pemantauan.
xi. Penambahan 3 tajuk utama iaitu Kawalan Capaian
Rangkaian, Kawalan Capaian Sistem Operasi dan
Peralatan Mudah Alih dalam bab 7.0: Kawalan
Capaian
xii. Penambahan maklumat dalam tajuk Pihak Ketiga
dan Kontrak Perjanjian dalam bab 8.0:
Pembangunan dan Penyelenggaraan Sistem
xiii. Isi kandungan yang baru bagi bab 9.0: Pengurusan
Insiden Keselamatan Maklumat
xiv. Penambahan maklumat bagi tajuk Pelan
Kesinambungan Perkhidmatan dalam bab 10.0:
Pengurusan Kesinambungan Perkhidmatan.
xv. Penambahan tajuk utama yang baru iaitu
Pematuhan Keperluan Audit; Pematuhan kepada
Dasar Piawaian dan Teknikal Keselamatan; dan
Perlanggaran Perundangan.
21/5/2012
2.1
BPM
i. Tambahan rujukan pekeliling di seksyen 3.2.2
ii. Tambahan rujukan pekeliling di seksyen 4.4
iii. Tambahan rujukan pekeliling di seksyen 5.3.9
iv. Tambahan rujukan pekeliling bagi seksyen 6.8.1
dan rujukan Arahan Keselamatan
v. Tambahan rujukan pekeliling bagi seksyen 9.2.1
vi. Tambahan rujukan Pelan Kesinambungan
Perkhidmatan KPDNKK 2012 di seksyen 10.2
vii. Tambahan prosedur kawalan hak cipta dan
perisian proprieteri bagi seksyen 11.2 (a)
2/1/2013
2.2
BPM
i. Lokasi offsite kedua di IDC CBJ5, Cyberjaya
dikeluarkan daripada Seksyen 6.6 Backup.
30/3/2016 3.0 BPM i. Perubahan Jawatankuasa Keselamatan kepada
Dasar Keselamatan ICT KPDNKK
KPDNKK-4-POL-Dasar Keselamatan ICT KPDNKK-v3.0
Muka 3 dari 84
TERHAD
Jawatankuasa Pemandu ICT pada seksyen 1.2
ii. Perubahan Timbalan Ketua Setiausaha
(Kepenggunaan & Pengurusan) kepada
(Pengurusan) pada seksyen 2.3
iii. Menambah bahan rujukan dalam seksyen 2.8 (e)
iv. Menambah mukasurat pada seksyen 3.3.2
v. Memotong ayat berkaitan Borang Akurjanji pada
seksyen 4.2.1
vi. Menggantikan Borang Akurjanji kepada Surat
Akuan Pematuhan Dasar Keselamatan ICT
KPDNKK pada seksyen 4.3.1.
vii. Menambah perkataan emel pada seksyen 4.3.2
viii. Menukar perkataan PDA kepada tablet PC dan
modem kepada switch pada seksyen 5.3.1
ix. Menambah seksyen 6.7.5 : Keselamatan
Rangkaian Tanpa Wayar (Wireless)
x. Menambah seksyen 6.7.6 (g)
xi. Menambah Seksyen 6.7.8 : Keselamatan Media
Sosial.
xii. Mengeluarkan seksyen 6.9.1 (f).
xiii. Menambah bahan rujukan pada seksyen 6.9.1 (b)
xiv. Menukar tempoh kata laluan dan bilangan aksara
pada seksyen 7.3.1 (b dan c)
xv. Menukar perkataan Pelan BCM kepada Pelan
Pemulihan Bencana (DRP) pada seksyen 10.2
xvi. Menambah bahan rujukan pada seksyen 10.2
xvii. Menambah rujukan peraturan dalam seksyen
11.5 (p dan q)
Dasar Keselamatan ICT KPDNKK
KPDNKK-4-POL-Dasar Keselamatan ICT KPDNKK-v3.0
Muka 4 dari 84
TERHAD
Senarai Kandungan
PENDAHULUAN 10
I. Pengenalan 10
II. Objektif 10
III. Skop 10
IV. Prinsip-prinsip 12
1.0 PEMBANGUNAN DAN PENYELENGGARAAN DASAR 15
1.1 Objektif 15
1.2 Pelaksanaan Dasar 15
1.3 Penyebaran Dasar 15
1.4 Penyelenggaraan Dasar 16
1.5 Pemakaian Dasar 16
2.0 INFRASTRUKTUR ORGANISASI KESELAMATAN 17
2.1 Objektif 17
2.2 Ketua Setiausaha KPDNKK 17
2.3 Ketua Pegawai Maklumat (CIO) 17
2.4 Pegawai Keselamatan ICT (ICT Security Officer) 18
2.5 Pengurus Komputer 19
2.6 Pentadbir Sistem ICT 20
2.7 Pengguna 21
2.8 Pihak Ketiga/luar 22
Dasar Keselamatan ICT KPDNKK
KPDNKK-4-POL-Dasar Keselamatan ICT KPDNKK-v3.0
Muka 5 dari 84
TERHAD
3.0 KAWALAN DAN PENGELASAN ASET 24
3.1 Objektif 24
3.2 Akauntabiliti Aset 24
3.2.1. Hak milik 24
3.2.2. Inventori Aset 24
3.3 Pengelasan dan Pengendalian Maklumat 25
3.3.1. Pengelasan Maklumat 25
3.3.2. Pengendalian Maklumat 25
4.0 KESELAMATAN SUMBER MANUSIA 27
4.1 Objektif 27
4.2 Sebelum Perkhidmatan 27
4.2.1 Tanggungjawab Keselamatan 27
4.2.2 Terma Dan Syarat Perkhidmatan 27
4.2.3 Perakuan Akta Rahsia Rasmi 27
4.3 Dalam Perkhidmatan 28
4.3.1 Tanggungjawab Pihak Pengurusan 28
4.3.2 Pendidikan/Program Kesedaran Keselamatan ICT 28
4.3.3 Tindakan Tatatertib 29
4.4 Bertukar atau Tamat Perkhidmatan 29
4.4.1 Pemulangan Aset dan Pembatalan Kebenaran Capaian 29
5.0 KESELAMATAN FIZIKAL DAN PERSEKITARAN 30
5.1 Objektif 30
Dasar Keselamatan ICT KPDNKK
KPDNKK-4-POL-Dasar Keselamatan ICT KPDNKK-v3.0
Muka 6 dari 84
TERHAD
5.2 Keselamatan Kawasan 30
5.2.1 Kawalan Kawasan Fizikal 30
5.2.2 Kawalan Keluar Masuk 32
5.2.3 Kawasan Larangan 32
5.3 Keselamatan Perkakasan 33
5.3.1 Perkakasan ICT 33
5.3.2 Perisian 34
5.3.3 Media Storan 35
5.3.4 Bekalan Kuasa 36
5.3.5 Kabel 37
5.3.6 Penyelenggaraan Peralatan 37
5.3.7 Peralatan Di Luar Premis 38
5.3.8 Pengendalian Peralatan Luar Yang Dibawa Masuk 38
5.3.9 Pelupusan Peralatan 39
5.4 Keselamatan Dokumen 40
5.5 Keselamatan Persekitaran 41
6.0 PENGURUSAN OPERASI DAN KOMUNIKASI 42
6.1 Objektif 42
6.2 Pengurusan Prosedur Operasi 42
6.2.1 Pengendalian Prosedur Operasi 42
6.2.2 Kawalan Perubahan 42
6.2.3 Pengasingan Tugas dan Tanggungjawab 43
Dasar Keselamatan ICT KPDNKK
KPDNKK-4-POL-Dasar Keselamatan ICT KPDNKK-v3.0
Muka 7 dari 84
TERHAD
6.3 Pengurusan Penyampaian Perkhidmatan Pihak Ketiga 43
6.4 Perancangan dan Penerimaan Sistem 44
6.5 Perlindungan Dari Malicious Code 45
6.6 Backup 46
6.7 Pengurusan Rangkaian 47
6.7.1 Keselamatan Pusat Data 47
6.7.2 Pengurusan Komunikasi 48
6.7.3 Keselamatan Peralatan Komunikasi 48
6.7.4 Keselamatan Rangkaian 49
6.7.5 Keselamatan Rangkaian Tanpa Wayar ( Wireless) 51
6.7.6 Keselamatan Internet 51
6.7.7 Keselamatan Laman Web dan Intranet Kementerian 53
6.7.8 Keselamatan Media Sosial 53
6.8 Pengurusan Media 54
6.8.1 Pengendalian Media Boleh Ubah 54
6.8.2 Keselamatan Sistem Dokumentasi 55
6.9 Pengurusan Pertukaran Maklumat 56
6.9.1 Keselamatan Mel Elektronik 56
6.10 Pemantauan 59
7.0 KAWALAN CAPAIAN 60
7.1 Objektif 60
7.2 Dasar Kawalan Capaian 60
Dasar Keselamatan ICT KPDNKK
KPDNKK-4-POL-Dasar Keselamatan ICT KPDNKK-v3.0
Muka 8 dari 84
TERHAD
7.3 Pengurusan Capaian Pengguna 60
7.3.1 Akaun Pengguna 60
7.3.2 Clear Screen and Clear Desk Policy 62
7.4 Kawalan Capaian Rangkaian 62
7.5 Kawalan Capaian Sistem Operasi 64
7.6 Kawalan Capaian Sistem Dan Aplikasi 65
7.7 Peralatan Mudah Alih 65
8.0 PEMBANGUNAN DAN PENYELENGGARAAN SISTEM 67
8.1 Objektif 67
8.2 Keperluan Keselamatan Sistem Maklumat 67
8.3 Encryption 68
8.4 Kawalan Fail Sistem 68
8.5 Prosedur Kawalan Perubahan 69
8.6 Pihak Ketiga Dan Kontrak Perjanjian 70
8.6.1 Dasar Pelaksanaan 70
8.7 Kawalan dari Ancaman Teknikal 71
9.0 PENGURUSAN INSIDEN KESELAMATAN MAKLUMAT 72
9.1 Objektif 72
9.2 Laporan Insiden Keselamatan 72
9.2.1 Melaporkan Peristiwa Keselamatan 72
9.2.2 Melaporkan Kelemahan Keselamatan Maklumat 73
9.3 Pengendalian Insiden Keselamatan 74
Dasar Keselamatan ICT KPDNKK
KPDNKK-4-POL-Dasar Keselamatan ICT KPDNKK-v3.0
Muka 9 dari 84
TERHAD
9.3.1 Analisa dan Pengesahan Insiden 74
9.3.2 Keutamaan Insiden dan Penilaian Impak 75
9.3.3 Keutamaan Insiden Keselamatan 75
9.3.4 Pemberitahuan Insiden 76
9.3.5 Strategi Pengawalan Insiden 76
9.3.6 Pengumpulan Bahan Bukti 77
9.3.7 Penjagaan Bahan Bukti 77
9.4 Pengajaran daripada Insiden Maklumat Keselamatan 78
10.0 PENGURUSAN KESINAMBUNGAN PERKHIDMATAN 79
10.1 Objektif 79
10.2 Pelan Kesinambungan Perkhidmatan 79
11.0 PEMATUHAN 81
11.1 Objektif 81
11.2 Pematuhan Dasar 81
11.3 Pematuhan dengan Dasar, Piawaian dan Keperluan Teknikal 82
11.4 Pematuhan Keperluan Audit 83
11.5 Keperluan Perundangan 83
11.6 Pelanggaran Dasar 84
Dasar Keselamatan ICT KPDNKK
KPDNKK-4-POL-Dasar Keselamatan ICT KPDNKK-v3.0
Muka 10 dari 84
TERHAD
PENDAHULUAN
I. Pengenalan
Dasar Keselamatan ICT mengandungi peraturan-peraturan yang mesti dibaca
dan dipatuhi dalam menggunakan aset teknologi maklumat dan komunikasi
(ICT) KPDNKK. Dasar ini juga menerangkan kepada semua pengguna di
KPDNKK mengenai tanggungjawab dan peranan mereka dalam melindungi
aset ICT KPDNKK.
II. Objektif
Dasar Keselamatan ICT KPDNKK diwujudkan untuk memastikan tahap
keselamatan ICT KPDNKK terurus dan dilindungi bagi menjamin
kesinambungan urusan KPDNKK dengan meminimumkan kesan
keselamatan ICT.
III. Skop
Bagi menentukan aset ICT ini terjamin keselamatannya sepanjang masa,
Dasar Keselamatan ICT KPDNKK ini merangkumi perlindungan semua
bentuk maklumat kerajaan yang dimasukkan, diwujud, dimusnah, disimpan,
dijana, dicetak, diakses, diedar dalam penghantaran dan yang dibuat salinan
keselamatan. Ini akan dilakukan melalui pewujudan dan penguatkuasaan
sistem kawalan dan prosedur dalam pengendalian semua perkara-perkara
berikut:
Dasar Keselamatan ICT KPDNKK
KPDNKK-4-POL-Dasar Keselamatan ICT KPDNKK-v3.0
Muka 11 dari 84
TERHAD
a. Perkakasan
Semua aset yang digunakan untuk menyokong pemprosesan
maklumat dan kemudahan storan KPDNKK. Contoh komputer, server,
peralatan komunikasi dan sebagainya;
b. Perisian
Perisian aplikasi merangkumi semua program-program yang dipasang
di setiap komputer bagi tujuan pemprosesan data daripada pengguna .
Contoh perisian aplikasi atau perisian sistem seperti sistem
pengoperasian, sistem pangkalan data, perisian sistem rangkaian, atau
aplikasi pejabat yang menyediakan kemudahan pemprosesan
maklumat kepada KPDNKK;
c. Perkhidmatan
Perkhidmatan atau sistem yang menyokong aset lain untuk
melaksanakan fungsi-fungsinya. Contoh:
i. Perkhidmatan rangkaian seperti LAN, WAN dan lain-
lain;
ii. Sistem halangan akses seperti sistem kad akses; dan
iii. Perkhidmatan sokongan seperti kemudahan elektrik,
penghawa dingin, sistem pencegah kebakaran dan
lain-lain.
d. Data atau Maklumat
Koleksi fakta-fakta dalam bentuk kertas atau mesej elektronik, yang
mengandungi maklumat-maklumat untuk digunakan bagi mencapai
misi dan objektif KPDNKK. Contohnya sistem dokumentasi, prosedur
Dasar Keselamatan ICT KPDNKK
KPDNKK-4-POL-Dasar Keselamatan ICT KPDNKK-v3.0
Muka 12 dari 84
TERHAD
operasi, rekod-rekod KPDNKK, profil-profil pelanggan, pangkalan data
dan fail-fail data, maklumat-maklumat arkib dan lain-lain;
e. Manusia
Individu yang mempunyai pengetahuan dan kemahiran untuk
melaksanakan skop kerja harian KPDNKK bagi mencapai misi dan
objektif agensi. Individu berkenaan merupakan aset berdasarkan
kepada tugas-tugas dan fungsi yang dilaksanakan; dan
f. Premis Komputer Dan Komunikasi
Semua kemudahan serta premis yang digunakan untuk menempatkan
perkara (a) - (e) di atas.
Dasar ini adalah terpakai oleh semua pengguna di KPDNKK termasuk
pegawai, pembekal dan pakar runding yang mengurus, menyelenggara,
memproses, mencapai, memuat turun, menyedia, memuat naik, berkongsi,
menyimpan dan menggunakan aset ICT KPDNKK.
IV. Prinsip-prinsip
Prinsip-prinsip yang menjadi asas kepada Dasar Keselamatan ICT KPDNKK
dan perlu dipatuhi adalah seperti berikut :
a. Akses Atas Dasar Perlu Mengetahui
Akses terhadap penggunaan aset ICT hanya diberikan untuk tujuan
spesifik dan dihadkan kepada pengguna tertentu atas dasar ”perlu
mengetahui” sahaja. Ini bermakna akses hanya akan diberikan
Dasar Keselamatan ICT KPDNKK
KPDNKK-4-POL-Dasar Keselamatan ICT KPDNKK-v3.0
Muka 13 dari 84
TERHAD
sekiranya peranan atau fungsi pengguna memerlukan maklumat
tersebut. Pertimbangan untuk akses adalah berdasarkan kategori
maklumat seperti yang dinyatakan di dalam dokumen Arahan
Keselamatan perenggan 53, muka surat 15;
b. Hak Akses Minimum
Hak akses pengguna hanya diberi pada tahap yang paling minimum
iaitu untuk membaca dan/atau melihat sahaja. Kelulusan adalah perlu
untuk membolehkan pengguna mewujud, menyimpan, mengemas kini,
mengubah atau membatalkan sesuatu maklumat. Hak akses adalah
dikaji dari masa ke semasa berdasarkan kepada peranan dan
tanggungjawab pengguna/bidang tugas;
c. Akauntabiliti
Semua pengguna adalah bertanggungjawab ke atas semua
tindakannya terhadap aset ICT KPDNKK;
d. Pengasingan
Tugas mewujud, memadam, kemas kini, mengubah dan mengesahkan
data perlu diasingkan bagi mengelakkan daripada capaian yang tidak
dibenarkan serta melindungi aset ICT daripada kesilapan, kebocoran
maklumat terperingkat atau di manipulasi. Pengasingan juga
merangkumi tindakan memisahkan antara kumpulan operasi dan
rangkaian;
e. Pengauditan
Dasar Keselamatan ICT KPDNKK
KPDNKK-4-POL-Dasar Keselamatan ICT KPDNKK-v3.0
Muka 14 dari 84
TERHAD
Pengauditan adalah tindakan untuk mengenal pasti insiden berkaitan
keselamatan atau mengenal pasti keadaan yang mengancam
keselamatan. Ia membabitkan pemeliharaan semua rekod yang
berkaitan tindakan keselamatan. Dengan itu, aset ICT seperti
komputer, pelayan(server), router, firewall, IPS, Antivirus dan
rangkaian hendaklah ditentukan dapat menjana dan menyimpan log
tindakan keselamatan atau jejak audit (audit trial);
f. Pematuhan
Dasar Keselamatan ICT KPDNKK hendaklah dibaca, difahami dan
dipatuhi bagi mengelakkan sebarang bentuk pelanggaran ke atasnya
yang boleh membawa ancaman kepada keselamatan ICT;
g. Pemulihan
Pemulihan sistem amat perlu untuk memastikan ketersediaan dan
kebolehcapaian. Objektif utama adalah untuk meminumkan sebarang
gangguan atau kerugian akibat daripada ketidaksediaan. Pemulihan
boleh dilakukan melalui aktiviti penduaan (backup) dan pewujudan
pelan pemulihan bencana/kesinambungan perkhidmatan;dan
h. Saling Bergantungan
Setiap prinsip di atas adalah saling lengkap melengkapi dan
bergantungan antara satu sama lain. Dengan itu, tindakan
mempelbagaikan pendekatan dalam menyusun dan mencorakkan
sebanyak mungkin mekanisme keselamatan adalah perlu bagi
menjamin keselamatan yang maksimum.
Dasar Keselamatan ICT KPDNKK
KPDNKK-4-POL-Dasar Keselamatan ICT KPDNKK-v3.0
Muka 15 dari 84
TERHAD
1.0 PEMBANGUNAN DAN PENYELENGGARAAN DASAR
1.1 Objektif
Dasar ini bertujuan memastikan hala tuju pengurusan keselamatan
kementerian untuk melindungi aset ICT selaras dengan keperluan
perundangan.
1.2 Pelaksanaan Dasar
Ketua Setiausaha KPDNKK adalah bertanggungjawab ke atas
pelaksanaan arahan dengan dibantu oleh Jawatankuasa Pemandu ICT
yang terdiri daripada Ketua Pegawai Maklumat (CIO), Pengurus
Komputer, Pegawai Keselamatan ICT (ICTSO) dan lain-lain pegawai
yang dilantik.
1.3 Penyebaran Dasar
Dasar ini perlu disebarkan kepada semua pengguna KPDNKK
(termasuk pegawai, pembekal, pakar runding dan lain-lain yang
berurusan dengan KPDNKK).
Penyebaran dasar kepada pengguna akan dibuat melalui medium
seperti Intranet, Mesyuarat Pengurusan Kementerian, E-mel, Surat
Makluman dan lain-lain kaedah yang bersesuaian mengikut keperluan
semasa.
Dasar Keselamatan ICT KPDNKK
KPDNKK-4-POL-Dasar Keselamatan ICT KPDNKK-v3.0
Muka 16 dari 84
TERHAD
1.4 Penyelenggaraan Dasar
Dasar Keselamatan ICT KPDNKK adalah tertakluk kepada semakan
dan pindaan dari masa ke semasa selaras dengan perubahan
teknologi, aplikasi, prosedur, perundangan dan kepentingan organisasi.
Prosedur yang berhubung dengan penyelenggaraan Dasar
Keselamatan ICT KPDNKK adalah seperti berikut:
a. Mengkaji semula dasar ini sekurang-kurangnya sekali
setahun bagi mengenal pasti dan menentukan perubahan
yang diperlukan;
b. Mengemukakan cadangan pindaan secara bertulis
kepada ICTSO untuk pembentangan dan persetujuan
Jawatankuasa Pemandu ICT (JPICT) KPDNKK;
c. Memaklumkan perubahan yang sudah dipersetujui oleh
JPICT kepada semua pengguna.
1.5 Pemakaian Dasar
Dasar Keselamatan ICT KPDNKK adalah terpakai kepada semua
pengguna ICT KPDNKK dan tiada pengecualian diberikan melainkan
mendapat persetujuan Ketua Setiausaha Kementerian.
Dasar Keselamatan ICT KPDNKK
KPDNKK-4-POL-Dasar Keselamatan ICT KPDNKK-v3.0
Muka 17 dari 84
TERHAD
2.0 INFRASTRUKTUR ORGANISASI KESELAMATAN
2.1 Objektif
Menerangkan peranan dan tanggungjawab individu yang terlibat
dengan lebih jelas dan teratur dalam mencapai objektif organisasi.
2.2 Ketua Setiausaha KPDNKK
Peranan dan tanggungjawab Ketua Setiausaha adalah seperti berikut :
a. Memastikan semua pengguna ICT KPDNKK memahami
peruntukan-peruntukan di bawah Dasar Keselamatan ICT
KPDNKK;
b. Memastikan semua pengguna mematuhi Dasar
Keselamatan ICT KPDNKK;
c. Memastikan semua keperluan organisasi seperti sumber
kewangan, sumber manusia dan perlindungan
keselamatan adalah mencukupi; dan
d. Memastikan penilaian risiko dan program keselamatan
ICT dilaksanakan seperti yang ditetapkan dalam Dasar
Keselamatan ICT KPDNKK.
2.3 Ketua Pegawai Maklumat (CIO)
Timbalan Ketua Setiausaha (Pengurusan) adalah merupakan Ketua
Pegawai Maklumat (CIO). Peranan dan tanggungjawab beliau adalah
seperti berikut:
Dasar Keselamatan ICT KPDNKK
KPDNKK-4-POL-Dasar Keselamatan ICT KPDNKK-v3.0
Muka 18 dari 84
TERHAD
a. Mewujudkan dan mengetuai Jawatankuasa Pemandu
ICT KPDNKK;
b. Membantu dan menasihati Ketua Setiausaha dalam
melaksanakan tugas-tugas yang melibatkan keselamatan
ICT;
c. Menentukan keperluan keselamatan ICT;
d. Menyelaraskan pembangunan dan pelaksanaan pelan
latihan dan program kesedaran mengenai keselamatan
ICT; dan
e. Menguatkuasakan Dasar Keselamatan ICT KPDNKK
bagi memastikan semua pengguna memahami
peruntukan di bawah Dasar Keselamatan ICT KPDNKK.
2.4 Pegawai Keselamatan ICT (ICT Security Officer)
Peranan dan tanggungjawab Pegawai Keselamatan ICT (ICTSO) ialah
seperti berikut:
a. Mengurus keseluruhan program-program keselamatan
ICT KPDNKK;
b. Memberi penerangan kepada pengguna berkenaan
Dasar Keselamatan ICT KPDNKK;
c. Mewujudkan garis panduan, prosedur dan tatacara
selaras dengan keperluan Dasar Keselamatan ICT
KPDNKK;
d. Bertindak sebagai pengurus Computer Emergency
Response Team ICT (CERT);
Dasar Keselamatan ICT KPDNKK
KPDNKK-4-POL-Dasar Keselamatan ICT KPDNKK-v3.0
Muka 19 dari 84
TERHAD
e. Menjalankan audit, mengkaji semula, merumus tindak
balas berdasarkan hasil penemuan dan menyediakan
laporan;
f. Memberi amaran terhadap kemungkinan berlakunya
ancaman keselamatan ICT dan memberi khidmat nasihat
serta menyediakan langkah-langkah perlindungan yang
sesuai;
g. Memaklumkan insiden keselamatan ICT kepada CIO dan
melaporkannya kepada Computer Emergency Response
Team ICT (CERT) KPDNKK ;
h. Bekerjasama dengan pihak-pihak yang berkaitan dalam
mengenal pasti punca insiden dan memperakukan
langkah-langkah baik pulih dengan segera; dan
i. Menyedia dan melaksana program-program kesedaran
mengenai keselamatan ICT.
2.5 Pengurus Komputer
Pengarah Bahagian Pengurusan Maklumat (PBPM) adalah merupakan
Pengurus Komputer, KPDNKK. Peranan dan tanggungjawab Pengurus
Komputer ialah :
a. Memahami dan mematuhi Dasar Keselamatan ICT
KPDNKK ;
b. Mengkaji semula dan melaksanakan kawalan
keselamatan ICT selaras dengan keperluan KPDNKK;
Dasar Keselamatan ICT KPDNKK
KPDNKK-4-POL-Dasar Keselamatan ICT KPDNKK-v3.0
Muka 20 dari 84
TERHAD
c. Menentukan kawalan akses semua pengguna terhadap
aset ICT KPDNKK;
d. Melaporkan sebarang perkara atau penemuan mengenai
keselamatan ICT kepada ICTSO; dan
e. Menyimpan rekod, bahan bukti dan laporan mengenai
ancaman keselamatan ICT KPDNKK.
2.6 Pentadbir Sistem ICT
Peranan dan tanggungjawab Pentadbir Sistem ICT adalah seperti
berikut:
a. Mengambil tindakan segera apabila dimaklumkan
mengenai pegawai yang berhenti, bertukar atau berlaku
perubahan dalam bidang tugas. Jika perlu, membeku
akaun pengguna yang bercuti/berkursus panjang atau
menghadapi tindakan tatatertib;
b. Memantau aktiviti capaian harian pengguna;
c. Mengenal pasti aktiviti-aktiviti tidak normal seperti
pencerobohan dan pengubahsuaian data tanpa
kebenaran;
d. Menyimpan dan menganalisis rekod jejak audit;
e. Melaksanakan penyelenggaraan dan patches terkini; dan
f. Menyedia laporan mengenai aktiviti capaian kepada
pihak pengurusan dan pihak yang berkaitan dari masa ke
semasa.
Dasar Keselamatan ICT KPDNKK
KPDNKK-4-POL-Dasar Keselamatan ICT KPDNKK-v3.0
Muka 21 dari 84
TERHAD
2.7 Pengguna
Pengguna adalah termasuk pegawai KPDNKK, pegawai Kontrak,
pegawai sambilan harian, pembekal, pakar runding dan lain-lain.
Peranan dan tanggungjawab pengguna ialah:
a. Membaca, memahami dan mematuhi Dasar Keselamatan
ICT KPDNKK;
b. Mengetahui dan memahami implikasi keselamatan ICT
kesan dari tindakannya;
c. Melaksanakan prinsip-prinsip Dasar Keselamatan ICT
KPDNKK dan menjaga kerahsiaan maklumat;
d. Melaksanakan langkah-langkah perlindungan seperti
berikut:
i. Menghalang pendedahan maklumat kepada pihak
yang tidak dibenarkan;
ii. Memeriksa maklumat dan menentukan ia tepat dan
lengkap dari masa ke semasa;
iii. Menentukan maklumat sedia untuk digunakan;
iv. Menjaga kerahsiaan kata laluan;
v. Mematuhi standard, prosedur, langkah dan garis
panduan yang ditetapkan;
vi. Memberi perhatian kepada maklumat terperingkat
terutama semasa pewujudan, pemprosesan,
penyimpanan, penghantaran, penyampaian,
pertukaran dan pemusnahan; dan
Dasar Keselamatan ICT KPDNKK
KPDNKK-4-POL-Dasar Keselamatan ICT KPDNKK-v3.0
Muka 22 dari 84
TERHAD
vii. Menjaga kerahsiaan langkah-langkah keselamatan
ICT dari diketahui umum.
e. Menghadiri program-program kesedaran mengenai
keselamatan ICT; dan
f. Melaporkan sebarang aktiviti yang mengancam
keselamatan ICT kepada ICTSO dengan kadar segera.
2.8 Pihak Ketiga/luar
Pihak KPDNKK hendaklah memastikan keselamatan penggunaan
maklumat dan kemudahan proses maklumat oleh kontraktor/pihak
ketiga dikawal. Perkara yang perlu dipatuhi adalah seperti berikut:
a. Mengenal pasti risiko keselamatan maklumat dan
kemudahan pemprosesan maklumat serta
melaksanakan kawalan yang sesuai sebelum memberi
kebenaran capaian;
b. Mengenal pasti keperluan keselamatan sebelum
memberi kebenaran capaian atau penggunaan kepada
pengguna luar/asing. Capaian kepada aset ICT KPDNKK
perlu berlandaskan kepada perjanjian kontrak;
c. Memastikan semua syarat keselamatan dinyatakan
dengan jelas dalam perjanjian dengan pihak ketiga;
d. Perkara-perkara berikut hendaklah dimasukkan di dalam
perjanjian yang dimeterai:
i. Surat Perakuan
Dasar Keselamatan ICT KPDNKK
KPDNKK-4-POL-Dasar Keselamatan ICT KPDNKK-v3.0
Muka 23 dari 84
TERHAD
ii. Perakuan Akta Rahsia Rasmi 1972; dan
iii. Hak Harta Intelek.
e. Membaca, memahami dan mematuhi peraturan-peraturan
yang dinyatakan dalam Surat Pekeliling Perbendaharaan
Bilangan 5 Tahun 2007 Tatacara Pengurusan Perolehan
Kerajaan Secara Tender; Surat Pekeliling
Perbendaharaan Bilangan 2 Tahun 2011: Peraturan
Perolehan Perkhidmatan Perunding Bagi Projek Atau
Kajian Kerajaan yang berkaitan juga boleh dirujuk; Surat
Pekeliling Perbendaharaan Bilangan 9 Tahun 2009: Had
Nilai, Kuasa Dan Tanggungjawab Lembaga Perolehan
Agensi; dan Surat Pekeliling Perbendaharaan Bil.8 Tahun
2011 Perolehan Berkaitan Information and
Communication Technology (ICT) dan Rangkaian Internet
dan Surat Pekeliling Perbendaharaan Bil 3 Tahun 2013 :
Garis panduan mengenai pengurusan perolehan ICT
Kerajaan.
Dasar Keselamatan ICT KPDNKK
KPDNKK-4-POL-Dasar Keselamatan ICT KPDNKK-v3.0
Muka 24 dari 84
TERHAD
3.0 KAWALAN DAN PENGELASAN ASET
3.1 Objektif
Memberi dan menyokong perlindungan yang optimum ke atas semua
aset ICT KPDNKK.
3.2 Akauntabiliti Aset
3.2.1. Hak milik
Semua aset ICT termasuk maklumat yang terkandung di
dalamnya adalah Hak Milik Kerajaan. Pengguna yang
dipertanggungjawabkan untuk menjaga aset-aset ini perlu
mematuhi perkara-perkara berikut:
a. Memastikan semua aset dikendalikan oleh pengguna
yang dibenarkan sahaja;
b. Setiap pengguna adalah bertanggungjawab ke atas
semua aset ICT di bawah kawalannya;
c. Peraturan bagi pengendalian aset hendaklah
dikenalpasti, didokumenkan dan dilaksanakan.
3.2.2. Inventori Aset
Semua aset ICT Kementerian hendaklah direkodkan. Ini
termasuklah mengenal pasti aset, mengelas aset mengikut
tahap sensitiviti aset berkenaan dan merekod maklumat seperti
pemilikan, penempatan dan sebagainya. Boleh merujuk kepada
pekeliling berikut untuk butiran lanjut, “Pekeliling
Dasar Keselamatan ICT KPDNKK
KPDNKK-4-POL-Dasar Keselamatan ICT KPDNKK-v3.0
Muka 25 dari 84
TERHAD
Perbendaharaan Bil. 5 Tahun 2007 Tatacara Pengurusan Aset
Alih Kerajaan”.
3.3 Pengelasan dan Pengendalian Maklumat
Memastikan setiap maklumat atau aset ICT diberikan tahap
perlindungan yang bersesuaian.
3.3.1. Pengelasan Maklumat
Memastikan setiap maklumat diberi perlindungan yang
bersesuaian berdasarkan kepada tahap sensitiviti masing-
masing.
Maklumat hendaklah dikelaskan dan dilabelkan sewajarnya
berasaskan nilai, keperluan perundangan, tahap sensitiviti dan
tahap kritikal kepada kerajaan. Setiap maklumat yang dikelaskan
sebagai Rahsia Besar, Rahsia, Sulit dan Terhad mestilah
diuruskan mengikut peringkat keselamatan seperti dinyatakan
dalam dokumen Arahan Keselamatan.
3.3.2. Pengendalian Maklumat
Pengendalian maklumat seperti pewujudan, pengumpulan,
pemprosesan, penyimpanan, penyalinan, penghantaran,
penyampaian, penukaran dan pemusnahan hendaklah
mengambil kira langkah-langkah keselamatan berikut :
a. Pelabelan Maklumat:
Pelabelan maklumat perlu dilakukan bagi maklumat
dalam bentuk elektronik dan hardcopy. Bagi file
Dasar Keselamatan ICT KPDNKK
KPDNKK-4-POL-Dasar Keselamatan ICT KPDNKK-v3.0
Muka 26 dari 84
TERHAD
elektronik, setiap muka harus dilabelkan mengikut
klasifikasi dokumen yang berkenaan. Manakala, bagi
dokumen dalam bentuk hardcopy, pelabelan mesti
mengikut arahan yang telah dikeluarkan dalam Arahan
Keselamatan, di bab Keselamatan Dokumen, mukasurat
14, seksyen III:Tanda Keselamatan.
b. Penyimpanan Maklumat:
Penyimpanan dokumen yang telah diklasifikasikan mesti
mengikut Arahan Keselamatan, di bab Keselamatan
Dokumen, mukasurat 16, seksyen IV:Penyimpanan
Perkara-perkara Terperingkat.
c. Penghantaran Maklumat:
Penghantaran dokumen yang telah diklasifikasikan mesti
mengikut Arahan Keselamatan, di bab Keselamatan
Dokumen:
Seksyen V: Penghantaran Dokumen Terperingkat
Seksyen VI: Membawa Dokumen Terperingkat
Keluar Pejabat
Seksyen VII: Pelepasan Perkara Terperingkat,
d. Pelupusan Maklumat:
Pelupusan dokumen yang telah diklasifikasikan mesti
mengikut Arahan Keselamatan, di bab Keselamatan
Dokumen, mukasurat 19 seksyen VIII: Pemusnahan
Dokumen Terperingkat.
Dasar Keselamatan ICT KPDNKK
KPDNKK-4-POL-Dasar Keselamatan ICT KPDNKK-v3.0
Muka 27 dari 84
TERHAD
4.0 KESELAMATAN SUMBER MANUSIA
4.1 Objektif
Memahami tanggungjawab dan peranan semua sumber manusia
dalam keselamatan aset ICT KPDNKK.
4.2 Sebelum Perkhidmatan
4.2.1 Tanggungjawab Keselamatan
Peranan dan tanggungjawab pengguna terhadap keselamatan
ICT mestilah lengkap, jelas, direkodkan, dipatuhi dan
dilaksanakan.
Keselamatan ICT merangkumi tanggungjawab pengguna dalam
menyediakan dan memastikan perlindungan ke atas semua aset
atau sumber ICT di bawah kawalannya yang digunakan dalam
melaksanakan tugas harian.
4.2.2 Terma Dan Syarat Perkhidmatan
Semua warga KPDNKK yang dilantik hendaklah mematuhi
terma dan syarat perkhidmatan yang ditawarkan dan peraturan
semasa yang berkuat kuasa.
4.2.3 Perakuan Akta Rahsia Rasmi
Warga KPDNKK yang menguruskan maklumat terperingkat
hendaklah mematuhi semua peruntukan Akta Rahsia Rasmi
1972.
Dasar Keselamatan ICT KPDNKK
KPDNKK-4-POL-Dasar Keselamatan ICT KPDNKK-v3.0
Muka 28 dari 84
TERHAD
4.3 Dalam Perkhidmatan
Pegawai KPDNKK yang bertanggungjawab menguruskan perkara-
perkara terperingkat pada peringkat Sulit, Rahsia dan Rahsia Besar
harus menjalani Tapisan Keselamatan bagi memeriksa latarbelakang
pegawai yang berkenaan seperti yang tertera di Arahan Keselamatan,
bab Keselamatan Peribadi, mukasurat 21, seksyen II:Tapisan.
4.3.1 Tanggungjawab Pihak Pengurusan
Memastikan staf KPDNKK serta pihak ketiga yang
berkepentingan mengurus keselamatan aset ICT berdasarkan
perundangan dan peraturan yang ditetapkan oleh KPDNKK.
Ketua Jabatan perlu memastikan setiap staf menandatangani
Surat Akuan Pematuhan Dasar Keselamatan ICT KPDNKK
4.3.2 Pendidikan/Program Kesedaran Keselamatan ICT
Setiap warga KPDNKK perlu diberikan program kesedaran,
latihan atau kursus mengenai keselamatan ICT secara
berterusan dalam melaksanakan tugas dan tanggungjawabnya.
Program latihan akan melibatkan semua pegawai KPDNKK dan
dilaksanakan secara berterusan. Selain itu, laman Intranet/emel
akan dijadikan sebagai medium penyebaran maklumat berkaitan
keselamatan ICT bagi meningkatkan tahap kesedaran pegawai
KPDNKK berkaitan kepentingan keselamatan ICT.
Pegawai teknikal yang dipertanggungjawabkan menjaga
keselamatan sumber ICT di mana ianya menyediakan
perkhidmatan berpusat kepada pengguna (seperti server,
storan, firewall, router, antivirus berpusat dan lain-lain) akan
Dasar Keselamatan ICT KPDNKK
KPDNKK-4-POL-Dasar Keselamatan ICT KPDNKK-v3.0
Muka 29 dari 84
TERHAD
dipastikan menjalani latihan yang spesifik berkaitan bidang tugas
mengikut spesifikasi produk yang digunakan.
4.3.3 Tindakan Tatatertib
Pelanggaran Dasar Keselamatan ICT KPDNKK akan dikenakan
tindakan tatatertib atau digantung dari mendapat akses kepada
kemudahan ICT KPDNKK.
4.4 Bertukar atau Tamat Perkhidmatan
Peraturan yang berkaitan dengan pertukaran perkhidmatan atau tamat
perkhidmatan perlu ditakrifkan dengan jelas.
4.4.1 Pemulangan Aset dan Pembatalan Kebenaran Capaian
Perkara-perkara yang perlu dipatuhi termasuk yang berikut:
a. Memastikan semua aset ICT dikembalikan kepada
KPDNKK mengikut peraturan dan/atau terma
perkhidmatan yang ditetapkan; dan
b. Membatalkan atau menarik balik semua kebenaran
capaian ke atas maklumat dan kemudahan proses
maklumat mengikut peraturan yang ditetapkan oleh
KPDNKK dan/atau terma perkhidmatan.
Boleh rujuk Surat Pekeliling Perkhidmatan Bilangan 4 Tahun 2010
Pelaksanaan Modul Penamatan Perkhidmatan Urusan Persaraan
Kerana Mencapai Umur 55/56/58 Tahun, Urusan Persaraan Pilihan
dan Fungsi Kematian Dalam Perkhidmatan bagi maklumat lanjut.
Dasar Keselamatan ICT KPDNKK
KPDNKK-4-POL-Dasar Keselamatan ICT KPDNKK-v3.0
Muka 30 dari 84
TERHAD
5.0 KESELAMATAN FIZIKAL DAN PERSEKITARAN
5.1 Objektif
Melindungi dan mencegah akses fizikal yang tidak dibenarkan yang
boleh mengakibatkan kecurian, kerosakan dan gangguan kepada
persekitaran premis, peralatan dan maklumat.
5.2 Keselamatan Kawasan
Memastikan langkah-langkah keselamatan yang diadakan adalah
sejajar dengan Arahan Keselamatan, di bab Keselamatan Fizikal,
mukasurat 5 – 7, seksyen I: Kawasan Terperingkat; seksyen
II:Keselamatan Bangunan; seksyen III: Perkhidmatan Pengawalan
Keselamatan; seksyen IV: Pas Keselamatan, Kad Pengenalan
Jabatan, Kad Kuasa dan Kad Perlantikan; dan seksyen VI: Kawalan
Kunci Keselamatan.
5.2.1 Kawalan Kawasan Fizikal
Bertujuan untuk mencegah akses fizikal yang tidak dibenarkan,
kerosakan dan gangguan kepada premis dan maklumat.
Langkah keselamatan yang perlu diikuti adalah seperti:
a. Mengenal pasti kawasan keselamatan fizikal.
Lokasi dan keteguhan keselamatan fizikal
hendaklah bergantung kepada keperluan untuk
melindungi aset;
b. Menggunakan keselamatan perimeter (halangan
seperti dinding, pagar kawalan, pengawal
Dasar Keselamatan ICT KPDNKK
KPDNKK-4-POL-Dasar Keselamatan ICT KPDNKK-v3.0
Muka 31 dari 84
TERHAD
keselamatan) untuk melindungi kawasan yang
mengandungi maklumat dan kemudahan
pemprosesan maklumat;
c. Menyediakan tempat atau bilik khas untuk pelawat-
pelawat;
d. Melindungi kawasan terhad melalui kawalan pintu
masuk yang bersesuaian bagi memastikan
pegawai yang diberi kebenaran sahaja boleh
melalui pintu masuk ini;
e. Mengadakan kaunter kawalan;
f. Memasang alat penggera, kamera litar tertutup
(CCTV) dan seumpamanya;
g. Mewujudkan perkhidmatan kawalan keselamatan;
h. Mereka bentuk dan melaksanakan keselamatan
fizikal di dalam pejabat, bilik dan kemudahan;
i. Mereka bentuk dan melaksanakan perlindungan
fizikal dari kebakaran, banjir, letupan, kacau-bilau
dan bencana; dan
j. Memastikan kawasan-kawasan penghantaran dan
pemunggahan dan juga tempat-tempat lain dikawal
dari pihak yang tidak diberi kebenaran
memasukinya.
k. Mereka bentuk dan melaksanakan perlindungan
fizikal dan panduan untuk pegawai yang bertugas
di kawasan terhad.
Dasar Keselamatan ICT KPDNKK
KPDNKK-4-POL-Dasar Keselamatan ICT KPDNKK-v3.0
Muka 32 dari 84
TERHAD
5.2.2 Kawalan Keluar Masuk
a. Setiap warga KPDNKK hendaklah memakai pas
keselamatan sepanjang waktu bertugas;
b. Semua pas keselamatan hendaklah diserah balik
kepada jabatan apabila pengguna berhenti,
bertukar atau bersara;
c. Setiap pelawat hendaklah mendapatkan pas
pelawat dan hendaklah dipulangkan selepas tamat
lawatan;
d. Kehilangan pas mestilah dilaporkan dengan segera
kepada Pegawai Keselamatan Kementerian; dan
e. Maklumat pelawat seperti tarikh, masa dan tempat
dituju hendaklah direkod dan dikawal.
5.2.3 Kawasan Larangan
Kawasan larangan ialah kawasan yang dihadkan kemasukan
untuk pegawai-pegawai tertentu sahaja. Kawasan larangan di
KPDNKK ialah seperti bilik Ketua Setiausaha, bilik-bilik Timbalan
Ketua Setiausaha dan Pengarah Bahagian, pusat data, bilik fail
dan bilik sulit yang menempatkan peralatan rangkaian dan
telekomunikasi.
Pihak ketiga dilarang memasuki kawasan larangan kecuali bagi
kes-kes tertentu seperti memberi perkhidmatan sokongan atau
bantuan teknikal. Mereka hendaklah diiringi sepanjang masa
sehingga tugas di kawasan berkenaan selesai.
Dasar Keselamatan ICT KPDNKK
KPDNKK-4-POL-Dasar Keselamatan ICT KPDNKK-v3.0
Muka 33 dari 84
TERHAD
5.3 Keselamatan Perkakasan
5.3.1 Perkakasan ICT
Perkakasan ICT meliputi pelbagai peralatan ICT dan
komponennya seperti komputer mikro , komputer bimbit, tablet
PC, workstation, server, pencetak, switch, UPS dan sebagainya.
Perkakasan yang digunakan perlu dijaga, dilindungi dan dikawal
di mana:
a. Pengguna bertanggungjawab sepenuhnya
menjaga dan melindungi segala perkakasan,
komponen atau peralatan ICT di bawah
kawalannya agar sentiasa berkeadaan baik dan
lengkap sepanjang masa;
b. Setiap pengguna hendaklah memastikan semua
perkakasan ICT di bawah kawalannya disimpan di
tempat yang bersih dan selamat;
c. Pengguna dilarang memindah, menambah,
membuang, atau menukar sebarang komponen
atau perkakasan ICT tanpa kebenaran BPM;
d. Peminjaman dan pemulangan peralatan hendaklah
direkodkan oleh pegawai yang telah
dipertanggungjawabkan;
e. Setiap pengguna adalah bertanggungjawab di atas
kerosakan dan kehilangan perkakasan ICT di
bawah kawalannya;
Dasar Keselamatan ICT KPDNKK
KPDNKK-4-POL-Dasar Keselamatan ICT KPDNKK-v3.0
Muka 34 dari 84
TERHAD
f. Setiap pengguna hendaklah melaporkan sebarang
bentuk penyelewengan atau salah guna
perkakasan ICT kepada ICTSO;
g. Penyelenggaraan peralatan ICT hanya boleh
dilakukan oleh pegawai atau pihak yang
dibenarkan sahaja; dan
h. Pelupusan peralatan ICT perlu dilakukan secara
terkawal dan lengkap dan mengikut prosedur
pelupusan aset yang dikuatkuasakan. Maklumat
atau kandungan dokumen hendaklah dihapuskan
terlebih dahulu sebelum pelupusan dilakukan.
Sekiranya maklumat perlu disimpan, penduaan
bolehlah dilakukan.
5.3.2 Perisian
Perisian merujuk kepada atur cara/program yang dilaksanakan
oleh sistem komputer. Perisian yang digunakan perlu dilindungi
supaya kebocoran maklumat dan gangguan perkhidmatan dapat
dihindari melalui kaedah seperti berikut:
a. Pengguna dilarang memasukkan perisian yang
tidak sah ke dalam komputer masing-masing.
Sebarang pemasangan perisian yang tidak sah
serta mengakibatkan kerosakan atau kehilangan
data akan dipertanggungjawabkan sepenuhnya
kepada pengguna terbabit.
b. Gunakan antivirus untuk mengimbas perisian
sebelum menggunakannya bagi memastikan
Dasar Keselamatan ICT KPDNKK
KPDNKK-4-POL-Dasar Keselamatan ICT KPDNKK-v3.0
Muka 35 dari 84
TERHAD
perisian bebas dari virus, worm, Trojan dan
sebagainya.
c. Sebarang keperluan bagi memasukkan perisian
yang baru hendaklah dirujuk terlebih dahulu
kepada BPM.
5.3.3 Media Storan
Media storan merupakan tempat penyimpanan maklumat seperti
USB drive, disket, CD, DVD, pita, external hard disk dan
sebagainya. Langkah keselamatan adalah bagi mengelak
maklumat atau data menjadi rosak (corrupted) atau tidak boleh
dibaca. Langkah keselamatan yang perlu diambil ialah seperti
berikut:
a. Dilarang meninggalkan, memberi atau
menyerahkan media storan yang mengandungi
maklumat penting kepada orang lain bagi
mengelakkan berlakunya pembocoran rahsia;
b. Penghapusan kandungan media storan mestilah
mendapat kebenaran pemilik maklumat terlebih
dahulu;
c. Menyediakan ruang penyimpanan yang baik dan
mempunyai ciri-ciri keselamatan seperti kabinet
berkunci;
d. Elakkan media dari debu atau habuk, sinaran
matahari, suhu panas dan cecair bendalir;
Dasar Keselamatan ICT KPDNKK
KPDNKK-4-POL-Dasar Keselamatan ICT KPDNKK-v3.0
Muka 36 dari 84
TERHAD
e. Akses untuk memasuki kawasan penyimpanan
media hendaklah dihadkan kepada pegawai yang
bertanggungjawab atau pengguna yang
dibenarkan sahaja;
f. Tidak dibenarkan menyimpan data-data yang tiada
kena mengena dengan bidang tugas kerja atau
pun yang dilarang oleh pihak Kementerian; dan
g. Media storan yang digunakan hendaklah bebas
daripada serangan virus yang boleh mengganggu
ketidakstabilan sistem komputer dan rangkaian.
Gunakan perisian antivirus untuk mengimbas
media storan sebelum menggunakannya.
5.3.4 Bekalan Kuasa
Bekalan kuasa merupakan punca kuasa elektrik yang dibekalkan
kepada peralatan ICT. Perkara yang perlu dipatuhi bagi
menjamin keselamatan bekalan kuasa adalah seperti berikut:
a. Melindungi semua peralatan ICT dari kegagalan
bekalan elektrik dan menyalurkan bekalan yang
sesuai kepada peralatan ICT;
b. Menggunakan peralatan sokongan seperti UPS
(Uninterruptable Power Supply) dan penjana
(generator) bagi perkhidmatan kritikal seperti di
bilik server supaya mendapat bekalan kuasa
berterusan; dan
c. Menyemak dan menguji semua peralatan
sokongan bekalan kuasa secara berjadual.
Dasar Keselamatan ICT KPDNKK
KPDNKK-4-POL-Dasar Keselamatan ICT KPDNKK-v3.0
Muka 37 dari 84
TERHAD
5.3.5 Kabel
Kabel termasuk kabel elektrik dan telekomunikasi yang
menyalurkan data dan menyokong perkhidmatan penyampaian
maklumat hendaklah dilindungi. Langkah berikut hendaklah
diambil:
a. Menggunakan kabel mengikut standard dan
spesifikasi yang ditetapkan;dan
b. Kabel dan laluan pemasangan kabel sentiasa
dilindungi.
5.3.6 Penyelenggaraan Peralatan
Perkakasan hendaklah disenggarakan dengan betul bagi
memastikan kebolehsediaan, kerahsiaan dan integriti. Langkah-
langkah keselamatan yang perlu diambil termasuklah seperti
berikut:
a. Mematuhi spesifikasi yang ditetapkan oleh
pengeluar bagi semua perkakasan yang
disenggara;
b. Memastikan perkakasan hanya disenggara oleh
staf atau pihak yang dibenarkan sahaja;
c. Menyemak dan menguji semua perkakasan
sebelum dan selepas proses penyenggaraan;
d. Memaklumkan pihak pengguna sebelum
melaksanakan penyenggaraan mengikut jadual
yang ditetapkan atau atas keperluan;
Dasar Keselamatan ICT KPDNKK
KPDNKK-4-POL-Dasar Keselamatan ICT KPDNKK-v3.0
Muka 38 dari 84
TERHAD
e. Bertanggungjawab terhadap setiap perkakasan
bagi penyelenggaraan perkakasan sama ada
dalam tempoh jaminan atau telah habis tempoh
jaminan;
f. Semua penyelenggaraan mestilah mendapat
kebenaran daripada Pengurus ICT/Pentadbir
Sistem.
5.3.7 Peralatan Di Luar Premis
Peralatan dan maklumat yang dibawa keluar dari pejabat
hendaklah mendapat kelulusan pegawai berkaitan dan tertakluk
kepada tujuan yang dibenarkan sahaja. Peralatan dan maklumat
perlu dilindungi dan dikawal sepanjang masa. Memastikan
aktiviti peminjaman dan pemulangan peralatan ICT direkodkan
dan menyemak peralatan yang dipulangkan berada dalam
keadaan baik dan lengkap.
5.3.8 Pengendalian Peralatan Luar Yang Dibawa Masuk
Bagi peralatan yang dibawa masuk ke premis kerajaan, perkara
yang perlu dipatuhi adalah seperti berikut:
a. Memastikan peralatan yang dibawa masuk tidak
mengancam keselamatan ICT KPDNKK;
b. Mendapatkan kelulusan mengikut peraturan yang
telah ditetapkan oleh KPDNKK bagi membawa
masuk/keluar peralatan; dan
Dasar Keselamatan ICT KPDNKK
KPDNKK-4-POL-Dasar Keselamatan ICT KPDNKK-v3.0
Muka 39 dari 84
TERHAD
c. Memeriksa dan memastikan peralatan ICT yang
dibawa keluar tidak mengandungi maklumat
kerajaan. Ia perlu disalin dan dihapuskan.
5.3.9 Pelupusan Peralatan
Pelupusan melibatkan semua peralatan ICT yang telah
rosak, usang dan tidak boleh dibaiki sama ada harta modal
atau inventori yang dibekalkan oleh KPDNKK dan ditempatkan
di KPDNKK. Peralatan ICT yang hendak dilupuskan perlu
melalui prosedur pelupusan semasa. Pelupusan perlu dilakukan
secara terkawal dan lengkap supaya maklumat tidak terlepas
dari kawalan KPDNKK. Perkara-perkara yang perlu dipatuhi
adalah seperti berikut:
a. Semua kandungan peralatan khususnya maklumat
rahsia rasmi hendaklah dihapuskan terlebih dahulu
sebelum pelupusan sama ada melalui shredding,
grinding, degauzing atau pembakaran. Sekiranya
maklumat perlu disimpan, maka pengguna
bolehlah membuat penduaan; dan
b. Peralatan ICT yang akan dilupuskan sebelum
dipindah-milik hendaklah dipastikan data-data
dalam storan telah dihapuskan dengan cara yang
selamat.
Boleh merujuk kepada pekeliling berikut untuk butiran lanjut
mengenai pelupusan aset, “Pekeliling Perbendaharaan Bil. 5
Tahun 2007 Tatacara Pengurusan Aset Alih Kerajaan”.
Dasar Keselamatan ICT KPDNKK
KPDNKK-4-POL-Dasar Keselamatan ICT KPDNKK-v3.0
Muka 40 dari 84
TERHAD
5.4 Keselamatan Dokumen
Keselamatan dokumen adalah bagi memastikan integriti maklumat.
Langkah-langkah berikut hendaklah dipatuhi:
a. Memastikan sistem dokumentasi dan penyimpanan
maklumat adalah selamat dan terjamin. Dokumen tidak
ditinggalkan terdedah, ditinggalkan di tempat yang
mudah dicapai atau ditinggalkan tanpa kawalan;
b. Menggunakan tanda atau label keselamatan seperti
Rahsia Besar, Rahsia, Sulit, Terhad dan Terbuka kepada
dokumen;
c. Penyimpanan dilakukan dalam laci atau kabinet yang
berkunci bagi maklumat yang terperingkat;
d. Memastikan dokumen yang mengandungi maklumat
sensitif diambil segera dari pencetak;
e. Menggunakan kata laluan atau encryption dalam
penyediaan dan penghantaran dokumen sensitif;
f. Menggunakan kemudahan log keluar atau kata laluan
screen saver apabila meninggalkan komputer; dan
g. Salinan cetakan yang mengandungi maklumat penting
atau rahsia hendaklah dihapuskan dengan menggunakan
kaedah yang sesuai seperti menggunakan shredder.
Dasar Keselamatan ICT KPDNKK
KPDNKK-4-POL-Dasar Keselamatan ICT KPDNKK-v3.0
Muka 41 dari 84
TERHAD
5.5 Keselamatan Persekitaran
Kawasan yang mempunyai kemudahan ICT hendaklah dilengkapi
dengan perlindungan keselamatan yang mencukupi dan dibenarkan
seperti alat pencegah kebakaran dan pintu kecemasan.
Peralatan perlindungan hendaklah dipasang di tempat yang sesuai,
mudah dikenali dan dikendalikan. Peralatan hendaklah disenggarakan
dengan baik sekurang-kurangnya 1 kali setahun.
Kecemasan persekitaran seperti kebakaran dan kebocoran air
hendaklah dilaporkan segera kepada pihak yang bertanggungjawab.
Dasar Keselamatan ICT KPDNKK
KPDNKK-4-POL-Dasar Keselamatan ICT KPDNKK-v3.0
Muka 42 dari 84
TERHAD
6.0 PENGURUSAN OPERASI DAN KOMUNIKASI
6.1 Objektif
Memastikan pengurusan operasi dan komunikasi adalah berfungsi
dengan baik dan selamat dari sebarang ancaman atau gangguan.
6.2 Pengurusan Prosedur Operasi
6.2.1 Pengendalian Prosedur Operasi
Pengendalian Prosedur Operasi bertujuan memastikan
perkhidmatan dan pemprosesan maklumat dapat berfungsi
dengan betul dan selamat.
Semua prosedur keselamatan ICT yang diwujudkan, dikenal
pasti dan masih diguna pakai hendaklah didokumenkan,
disimpan dan dikawal.
Setiap prosedur hendaklah mengandungi arahan-arahan yang
jelas, teratur dan lengkap. Semua prosedur hendaklah dikemas
kini dari masa ke semasa mengikut keperluan.
6.2.2 Kawalan Perubahan
Pengubahsuaian mestilah mendapat kebenaran pihak
pengurusan atau pemilik aset ICT terlebih dahulu.
Aktiviti-aktiviti seperti pemasangan, penyelenggaraan,
mengemas kini komponen aset dan sistem ICT hendaklah
dikendalikan oleh pihak atau pegawai yang diberi kuasa dan
Dasar Keselamatan ICT KPDNKK
KPDNKK-4-POL-Dasar Keselamatan ICT KPDNKK-v3.0
Muka 43 dari 84
TERHAD
mempunyai pengetahuan dan kemahiran atau terlibat secara
langsung dengan aset ICT berkenaan.
Aktiviti perubahan atau pengubahsuaian hendaklah mematuhi
spesifikasi atau kriteria yang ditetapkan dan hendaklah
direkodkan serta dikawal bagi mengelakkan berlakunya ralat.
6.2.3 Pengasingan Tugas dan Tanggungjawab
Perkara-perkara yang perlu dipatuhi adalah seperti berikut:
a. Skop tugas dan tanggungjawab perlu diasingkan
bagi mengurangkan peluang berlaku
penyalahgunaan atau pengubahsuaian yang tidak
dibenarkan ke atas aset ICT;
b. Tugas mewujud, memadam, mengemas kini,
mengubah dan mengesahkan data hendaklah
diasingkan bagi mengelakkan daripada capaian
yang tidak dibenarkan serta melindungi aset ICT
daripada kesilapan, kebocoran maklumat
terperingkat atau dimanipulasi; dan
c. Sistem yang digunakan bagi tugas membangun,
mengemas kini, menyenggara dan menguji aplikasi
hendaklah diasingkan dari sistem yang digunakan
sebagai production.
6.3 Pengurusan Penyampaian Perkhidmatan Pihak Ketiga
Perkara-perkara yang mesti dipatuhi adalah seperti berikut:
Dasar Keselamatan ICT KPDNKK
KPDNKK-4-POL-Dasar Keselamatan ICT KPDNKK-v3.0
Muka 44 dari 84
TERHAD
a. Memastikan kawalan keselamatan, definisi
perkhidmatan dan tahap penyampaian yang
terkandung dalam perjanjian dipatuhi, dilaksanakan
dan diselenggarakan oleh pihak ketiga;
b. Perkhidmatan, laporan dan rekod yang
dikemukakan oleh pihak ketiga perlu sentiasa
dipantau, disemak semula dan diaudit dari semasa
ke semasa; dan
c. Pengurusan perubahan dasar perlu mengambil kira
tahap kritikal sistem dan proses yang terlibat serta
penilaian semula risiko.
6.4 Perancangan dan Penerimaan Sistem
Meminimumkan risiko yang menyebabkan gangguan atau kegagalan
sistem. Perkara-perkara yang mesti dipatuhi termasuk yang berikut:
a. Kapasiti sesuatu komponen atau sistem ICT
hendaklah dirancang, diurus dan dikawal dengan teliti
oleh pegawai yang berkenaan bagi memastikan
keperluannya adalah mencukupi dan bersesuaian untuk
pembangunan dan kegunaan sistem ICT pada masa akan
datang;
b. Penggunaan peralatan dan sistem mestilah dipantau dan
perancangan perlu dibuat bagi memenuhi keperluan
kapasiti di masa akan datang untuk memastikan prestasi
sistem di tahap optimum;
Dasar Keselamatan ICT KPDNKK
KPDNKK-4-POL-Dasar Keselamatan ICT KPDNKK-v3.0
Muka 45 dari 84
TERHAD
c. Kriteria penerimaan untuk peralatan dan sistem baru,
peningkatan dan versi baru perlu ditetapkan dan ujian
yang sesuai ke atasnya perlu dibuat semasa
pembangunan dan sebelum penerimaan sistem; dan
d. Semua sistem baru (termasuklah sistem yang
dikemas kini atau diubahsuai) hendaklah memenuhi
kriteria yang ditetapkan sebelum diterima atau
dipersetujui.
6.5 Perlindungan Dari Malicious Code
Perlindungan bertujuan melindungi integriti perisian dan maklumat dari
pendedahan atau kerosakan yang disebabkan oleh kod jahat atau
program merbahaya seperti virus dan Trojan. Langkah keselamatan
adalah seperti:
a. Memasang perisian antivirus dan Intrusion Prevention
System (IPS) bagi mengesan dan menghalang
kemasukannya;
b. Mengemas kini pattern perisian antivirus;
c. Menghadiri program kesedaran mengenai ancaman kod
jahat atau program merbahaya;
d. Memberi amaran mengenai ancaman keselamatan ICT
seperti serangan virus;
e. Memasukkan klausa tanggungan di dalam kontrak
dengan pembekal perisian. Klausa bertujuan untuk
tuntutan baik pulih sekiranya perisian mengandungi
program merbahaya; dan
Dasar Keselamatan ICT KPDNKK
KPDNKK-4-POL-Dasar Keselamatan ICT KPDNKK-v3.0
Muka 46 dari 84
TERHAD
f. Dalam keadaan di mana mobile code dibenarkan,
konfigurasinya hendaklah memastikan bahawa ianya
beroperasi berdasarkan kepada dasar keselamatan yang
jelas dan penggunaan mobile code yang tidak dibenarkan
adalah dilarang sama sekali. Penggunaan mobile
code yang boleh mendatangkan ancaman keselamatan
ICT adalah tidak dibenarkan.
6.6 Backup
Penduaan dari server atau komputer ke media storan lain perlu
dilakukan dari masa ke semasa untuk mengelak kehilangan data
sekiranya berlaku kerosakan hard disk.
Kekerapan penduaan data bergantung kepada keperluan operasi dan
kepentingan data tersebut samada perlu kepada harian, mingguan atau
pun bulanan.
Penduaan sistem aplikasi dan sistem pengoperasian perlu diadakan
sekurang-kurangnya sekali bagi setiap versi. Penduaan yang
melibatkan saiz data yang besar hendaklah dibuat di sebelah malam
untuk mengelakkan kesesakan rangkaian serta mengganggu prestasi
server.
Penduaan data yang penting dan kritikal dicadangkan dibuat dua (2)
salinan dan setiap satu disimpan di lokasi offsite yang berasingan bagi
mengelakkan kemusnahan atau kerosakan fizikal disebabkan oleh
bencana seperti kebakaran, banjir atau sebagainya.
Sistem penduaan sedia ada hendaklah diuji sekurang-kurangnya
setahun sekali bagi memastikan ianya dapat berfungsi, boleh
Dasar Keselamatan ICT KPDNKK
KPDNKK-4-POL-Dasar Keselamatan ICT KPDNKK-v3.0
Muka 47 dari 84
TERHAD
dipercayai dan berkesan apabila digunakan (restoration) khususnya
pada waktu kecemasan.
Faktor ketahanan dan jangka hayat media storan perlu di ambil kira
dalam melakukan penduaan serta merancang penyalinan semula
kepada media storan yang baru.
6.7 Pengurusan Rangkaian
6.7.1 Keselamatan Pusat Data
Untuk memastikan server sentiasa selamat dari pencerobohan
atau gangguan beberapa langkah boleh diambil seperti:
a. Semua server hendaklah diletakkan di pusat data atau
bilik khas yang mempunyai sistem keselamatan yang
baik. Pintu bilik hendaklah sentiasa tertutup dan berkunci;
b. Sistem penghawa dingin hendaklah dihidupkan 24 jam
sehari. Suhu persekitaran hendaklah berada di dalam
lingkungan 20 – 25 darjah Celsius dan kelembapan di
paras 50.7%;
c. Kesemua peralatan komputer di bilik server hendaklah
dilengkapi dengan kemudahan UPS atau Generator;
d. Alat pemadam api hendaklah diletakkan di tempat yang
mudah dilihat, tidak terhalang oleh sesuatu, mudah
dicapai, tidak melepasi tarikh luput serta diselenggarakan
dengan baik;
e. Hanya pegawai atau pegawai yang dibenarkan sahaja
yang boleh memasuki pusat data;
Dasar Keselamatan ICT KPDNKK
KPDNKK-4-POL-Dasar Keselamatan ICT KPDNKK-v3.0
Muka 48 dari 84
TERHAD
f. Kontraktor/vendor dibenarkan memasuki pusat data
dengan diiringi oleh seorang pegawai/pegawai BPM dan
hendaklah mendaftar di buku log yang disediakan; dan
g. Setiap server hendaklah dilabelkan bagi memudahkan
pentadbir sistem menjalankan tugas.
6.7.2 Pengurusan Komunikasi
Komunikasi adalah merujuk kepada penghantaran dan
penerimaan maklumat dari satu media ke satu media yang lain
yang dirangkaikan secara fizikal (berwayar) atau wireless (tanpa
wayar). Contoh rangkaian komunikasi ialah Intranet dan Internet.
Pergerakan maklumat dalam rangkaian adalah menggunakan
kemudahan aplikasi seperti mel elektronik, ftp dan pelayar
(browser).
Kawalan ke atas infrastruktur rangkaian dan peralatan rangkaian
seperti switch, router, bridge, peralatan PABX dan sebagainya
adalah amat penting bagi menjaga kerahsiaan dan integriti
maklumat yang dihantar dan diterima.
6.7.3 Keselamatan Peralatan Komunikasi
Pengguna dilarang menggunakan telefon, telefon bimbit
termasuk yang berkamera atau lain-lain peralatan alat
komunikasi ICT tanpa kebenaran untuk menyalin, merakam,
menyimpan, menyiar, menyebar atau menyampaikan maklumat
terperingkat atau maklumat rahsia rasmi.
Dasar Keselamatan ICT KPDNKK
KPDNKK-4-POL-Dasar Keselamatan ICT KPDNKK-v3.0
Muka 49 dari 84
TERHAD
6.7.4 Keselamatan Rangkaian
Infrastruktur rangkaian mesti dikawal dan diurus dengan baik
bagi melindungi aset ICT dan aplikasi ICT di dalam rangkaian.
Langkah-langkah keselamatan rangkaian adalah seperti berikut:
a. Hanya warga KPDNKK sahaja yang dibenarkan
menggunakan rangkaian KPDNKK. Pengguna luar yang
hendak menggunakan kemudahan rangkaian KPDNKK
hendaklah dengan kebenaran BPM;
b. Tanggungjawab atau kerja-kerja operasi rangkaian
KPDNKK adalah diasingkan untuk mengurangkan
capaian dan pengubahsuaian yang tidak dibenarkan;
c. Peralatan rangkaian hendaklah ditempatkan di lokasi
yang mempunyai ciri-ciri fizikal yang kukuh, selamat dan
bebas dari risiko seperti banjir, kilat, gegaran, habuk dan
sebagainya;
d. Peralatan rangkaian hendaklah dikawal dan hanya boleh
dicapai oleh pegawai yang dibenarkan sahaja;
e. Konfigurasi peralatan rangkaian hendaklah mengaktifkan
perkhidmatan atau nombor port yang diperlukan sahaja,
mematikan penyiaran trafik (network broadcast),
menggunakan kata laluan yang selamat, dan
dilaksanakan oleh pegawai yang terlatih dan dibenarkan
sahaja;
f. Semua trafik rangkaian daripada dalam dan ke luar
Kementerian dan sebaliknya mestilah melalui firewall dan
hanya trafik yang disahkan sahaja dibenarkan untuk
melepasinya;
Dasar Keselamatan ICT KPDNKK
KPDNKK-4-POL-Dasar Keselamatan ICT KPDNKK-v3.0
Muka 50 dari 84
TERHAD
g. Semua permohonan baru untuk mendapat sambungan
rangkaian mestilah melalui pentadbir rangkaian.
h. Pengguna adalah dilarang untuk menukar atau
meletakkan alamat IP di dalam komputer masing-masing
tanpa kebenaran;
i. Sebarang permohonan untuk menggunakan statik IP
hendaklah melalui pentadbir rangkaian;
j. Kemudahan dial-up hanya dibenarkan untuk tujuan rasmi
dan permohonan dibuat melalui pentadbir rangkaian.
Pengguna yang menggunakan kemudahan dial-up
hendaklah mengimbas keseluruhan komputer dahulu
sebelum membuat penyambungan semula ke rangkaian
KPDNKK;
k. Perkakasan keselamatan hendaklah dipasang bagi
menghalang pencerobohan dan aktiviti-aktiviti lain yang
boleh mengancam sistem dan rangkaian KPDNKK; dan
l. Perisian penganalisis rangkaian (network analyzer) atau
pengintip (sniffer) adalah dilarang dipasang pada
komputer pengguna kecuali mendapat kebenaran
ICTSO.
Ciri-ciri keselamatan dan keperluan pengurusan bagi semua
servis rangkaian perlu dikenalpasti dan dinyatakan dalam
perjanjian yang melibatkan servis rangkaian.
Dasar Keselamatan ICT KPDNKK
KPDNKK-4-POL-Dasar Keselamatan ICT KPDNKK-v3.0
Muka 51 dari 84
TERHAD
6.7.5 Keselamatan Rangkaian Tanpa Wayar ( Wireless)
Penggunaan rangkaian tanpa wayar perlu dikawal bagi
memastikan keselamatan data dan maklumat Kerajaan sentiasa
terpelihara. Langkah-langkah keselamatan yang perlu diambil
untuk pemasangan rangkaian tanpa wayar adalah seperti
berikut :
a. Pemasangan rangkaian tanpa wayar perlu mendapat
kelulusan ICTSO;
b. Memasang peralatan keselamatan tambahan seperti
firewall dan content filtering bagi memastikan
rangkaian tidak dicerobohi; dan
c. Menggunakan enkripsi dan network key yang kukuh
dengan kombinasi pelbagai aksara, nombor dan
aksara khas.
Maklumat lanjut mengenai keselamatan rangkaian tanpa wayar
boleh dirujuk di dalam Malaysia Public Sector Management of
ICT Security Handbook (MyMIS) dan Surat Ketua Setiausaha
Negara bertarikh 20 Oktober 2006 “Langkah-langkah untuk
memperkukuhkan keselamatan rangkaian setempat tanpa wayar
(Wireless Local Area Network) di Aagensi-agensi Kerajaan”.
6.7.6 Keselamatan Internet
Pengguna hendaklah menggunakan kemudahan Internet
dengan cara yang bertanggungjawab. Langkah-langkah
keselamatan Internet adalah seperti berikut:
Dasar Keselamatan ICT KPDNKK
KPDNKK-4-POL-Dasar Keselamatan ICT KPDNKK-v3.0
Muka 52 dari 84
TERHAD
a. Bahan yang diperoleh dari Internet hendaklah ditentukan
ketepatan dan kesahihannya; Laman web yang dilayari
hendaklah hanya yang berkaitan dengan bidang kerja
dan terhad untuk tujuan yang dibenarkan;
b. Sebarang bahan yang dimuat turun dari Internet
hendaklah digunakan untuk tujuan yang dibenarkan oleh
Kementerian;
c. Pengguna dilarang menyedia, memuat naik, memuat
turun, menyimpan, mengguna dan menyebar maklumat
atau bahan yang mempunyai unsur-unsur perjudian,
keganasan, pornografi, fitnah, hasutan, perkara yang
bercorak penentangan yang boleh membawa keadaan
huru-hara serta maklumat yang menyalahi undang-
undang;
d. Capaian laman yang berbentuk hiburan, hobi atau leisure
seperti radio online, tv online, video streaming, aktiviti
chatting yang membebankan rangkaian tidak dibenarkan
kerana akan mengganggu prestasi rangkaian;
e. Sebarang aktiviti memuat turun fail yang mempunyai
virus, spyware, worm, dan sebagainya yang boleh
mengancam keselamatan komputer dan rangkaian
adalah dilarang sama sekali; dan
f. Pentadbir sistem berhak menapis, menghalang dan
mencegah penggunaan mana-mana laman web yang
dianggap tidak sesuai.
Dasar Keselamatan ICT KPDNKK
KPDNKK-4-POL-Dasar Keselamatan ICT KPDNKK-v3.0
Muka 53 dari 84
TERHAD
g. Permohonan untuk mengakses laman web yang disekat
pada waktu pejabat adalah perlu mendapat kelulusan
CIO.
Maklumat lanjut mengenai keselamatan Internet boleh dirujuk
kepada Pekeliling Kemajuan Pentadbiran Am Bil. 1 Tahun 2003
Garis Panduan Mengenai Tatacara Penggunaan Internet dan
Mel Elektronik di Agensi-agensi Kerajaan.
6.7.7 Keselamatan Laman Web dan Intranet Kementerian
Semua maklumat rasmi yang hendak dimuatkan di laman web
Kementerian hendaklah mendapat kelulusan pihak pengurusan.
Pautan ke laman web Kementerian atau sebaliknya oleh syarikat
atau agensi luar hendaklah dengan kebenaran ICTSO dan CIO.
Pencerobohan atau cubaan untuk menggodam laman web
Kementerian atau mana-mana laman web adalah dilarang.
6.7.8 Keselamatan Media Sosial
a. Pentadbir akaun media sosial Kementerian perlulah
daripada pegawai tetap Kementerian dari BPM atau UKK.
b. Kandungan media sosial mestilah tidak bercanggah
dengan Dasar Kerajaan.
c. Pengguna dilarang untuk membuat capaian kepada media social peribadi pada waktu bekerja.
Maklumat lanjut mengenai keselamatan media sosial boleh dirujuk kepada Polisi Penggunaan Media Sosial KPDNKK.
Dasar Keselamatan ICT KPDNKK
KPDNKK-4-POL-Dasar Keselamatan ICT KPDNKK-v3.0
Muka 54 dari 84
TERHAD
6.8 Pengurusan Media
Melindungi aset ICT dari sebarang pendedahan, pengubahsuaian,
pemindahan atau pemusnahan serta gangguan ke atas aktiviti
perkhidmatan. Penghantaran atau pemindahan media ke luar pejabat
hendaklah mendapat kebenaran daripada pemilik terlebih dahulu.
6.8.1 Pengendalian Media Boleh Ubah
Prosedur bagi pengurusan pengendalian media boleh ubah
perlu diwujudkan. Perkara-perkara yang perlu dipatuhi adalah
seperti berikut:
a. Melabelkan semua media mengikut tahap sensitiviti
sesuatu maklumat;
b. Menghadkan dan menentukan capaian media kepada
pengguna yang dibenarkan sahaja;
c. Menghadkan pengedaran data atau media untuk tujuan
yang dibenarkan sahaja;
d. Mengawal dan merekodkan aktiviti penyelenggaraan
media bagi mengelak dari sebarang kerosakan dan
pendedahan yang tidak dibenarkan;
e. Menyimpan semua media di tempat yang selamat; dan
f. Media yang mengandungi maklumat terperingkat yang
hendak dihapuskan, dimusnahkan atau dilupuskan mesti
mengikut prosedur yang betul dan selamat.
Dasar Keselamatan ICT KPDNKK
KPDNKK-4-POL-Dasar Keselamatan ICT KPDNKK-v3.0
Muka 55 dari 84
TERHAD
g. Prosedur pengendalian dan penyimpanan maklumat
perlu diwujudkan utuk melindungi maklumat daripada
keterdedahan dan penyalahgunaan
Boleh merujuk kepada pekeliling berikut untuk butiran lanjut
mengenai pengurusan aset, “Pekeliling Perbendaharaan Bil. 5
Tahun 2007 Tatacara Pengurusan Aset Alih Kerajaan” dan
Arahan Keselamatan, di bab Keselamatan Dokumen bagi
butiran lanjut mengenai prosedur pengendalian dan
penyimpanan maklumat.
6.8.2 Keselamatan Sistem Dokumentasi
Dokumentasi sistem perlu dilindungi dari capaian yang
dibenarkan. Langkah- langkah pengurusan dokumentasi yang
baik dan selamat perlu dilaksanakan bagi memastikan integriti
maklumat.
Perkara yang perlu dipatuhi adalah seperti berikut:
a. Memastikan sistem dokumentasi atau penyimpanan
maklumat adalah selamat dan terjamin;
b. Menggunakan tanda atau label keselamatan seperti
rahsia besar, rahsia, sulit atau terhad pada dokumen;
c. Mewujudkan sistem pengurusan dokumen terperingkat
bagi menerima, memproses, menyimpan dan
menghantar dokumen-dokumen tersebut supaya ianya
diuruskan berasingan daripada dokumen-dokumen tidak
terperingkat;
Dasar Keselamatan ICT KPDNKK
KPDNKK-4-POL-Dasar Keselamatan ICT KPDNKK-v3.0
Muka 56 dari 84
TERHAD
d. Menggunakan enkripsi (encryption) ke atas dokumen
terperingkat yang disediakan dan dihantar secara
elektronik; dan
e. Mengawal dan merekodkan semua aktiviti capaian sistem
dokumentasi sedia ada.
6.9 Pengurusan Pertukaran Maklumat
Perkara-perkara yang perlu dipatuhi adalah seperti berikut:
a. Prosedur dan kawalan pertukaran maklumat yang formal
perlu diwujudkan untuk melindungi pertukaran maklumat;
b. Perjanjian perlu diwujudkan untuk pertukaran maklumat
dan perisian di antara KPDNKK dengan agensi luar;
c. Media yang mengandungi maklumat perlu dilindungi
daripada capaian yang tidak dibenarkan, penyalahgunaan
atau kerosakan semasa pemindahan keluar dari
KPDNKK,
d. Maklumat yang terdapat dalam mel elektronik perlu
dilindungi sebaik-baiknya; dan
e. Maklumat yang berkaitan dengan sistem informasi
perniagaan juga perlu dilindungi.
6.9.1 Keselamatan Mel Elektronik
Akaun e-mel bukanlah hak mutlak seseorang. Ia merupakan
kemudahan yang tertakluk kepada peraturan kementerian dan
boleh ditarik balik jika penggunaannya melanggar peraturan.
Dasar Keselamatan ICT KPDNKK
KPDNKK-4-POL-Dasar Keselamatan ICT KPDNKK-v3.0
Muka 57 dari 84
TERHAD
Kandungan dan penyelenggaraan mailbox pada komputer
peribadi adalah menjadi tanggungjawab pengguna. Langkah-
langkah keselamatan bagi penggunaan e-mel adalah seperti
berikut:
a. Penghantaran e-mel rasmi hendaklah menggunakan
akaun e-mel rasmi yang diperuntukkan oleh kementerian.
E-mel persendirian (seperti yahoo, gmail, hotmail dan
sebagainya) tidak boleh digunakan untuk tujuan rasmi;
b. Alamat e-mel penerima hendaklah dipastikan betul;
c. Pengguna hendaklah mengenal pasti dan mengesahkan
identiti pengguna yang berkomunikasi dengannya
sebelum meneruskan transaksi maklumat melalui e-mel;
d. Pengguna hendaklah memastikan tarikh dan masa
sistem komputer adalah tepat;
e. Penyimpanan salinan e-mel pada sumber storan kedua
adalah digalakkan bagi tujuan keselamatan;
f. Pengguna hendaklah mengelak dari membuka e-mel dari
penghantar yang tidak dikenali atau diragui;
g. Pengguna adalah dilarang melakukan pencerobohan ke
atas akaun pengguna lain, menggunakan akaun orang
lain, berkongsi akaun atau memberi akaun kepada orang
lain;
h. Aktiviti spamming, mail-bombing, penyebaran virus,
bahan-bahan negatif, bahan yang menyalahi undang-
undang, tidak beretika, surat berantai, maklumat berbau
politik, hasutan atau perkauman atau apa-apa maklumat
Dasar Keselamatan ICT KPDNKK
KPDNKK-4-POL-Dasar Keselamatan ICT KPDNKK-v3.0
Muka 58 dari 84
TERHAD
yang menjejaskan reputasi jabatan dan perkhidmatan
awam adalah dilarang;
i. Penggunaan kemudahan e-mel group seperti
[email protected] dan lain-lain hendaklah dengan
cara yang beretika dan benar-benar perlu sahaja bagi
mengelakkan bebanan ke atas sistem e-mel
kementerian. Penghantaran e-mel yang berulang-ulang
juga adalah dilarang;
j. Pentadbir sistem berhak memasang sebarang jenis
perisian antivirus atau perkakasan penapisan e-mel yang
difikirkan sesuai bagi mencegah, menapis atau menyekat
mana-mana e-mel diterima atau dikirim yang
mengandungi virus atau berunsur spamming;
k. Pentadbir sistem boleh memeriksa, memantau dan
melihat isi kandungan e-mel dan ruang storan pengguna
e-mel serta e-sms jika perlu (seperti atas keperluan audit
dan keselamatan) tanpa mendapat kebenaran pengguna;
l. Pentadbir sistem boleh memberi peringatan atau amaran
kepada pengguna sekiranya didapati terdapat aktiviti
yang mengancam sistem e-mel Kementerian; dan
m. Semua lampiran menggunakan format .exe, .com dan
.bat tidak dibenarkan kerana format ini berisiko
membawa dan menyebarkan virus. Pentadbir e-mel
berhak menapis sebarang penghantaran serta
penerimaan kandungan e-mel yang berisiko dari masa ke
semasa.
Dasar Keselamatan ICT KPDNKK
KPDNKK-4-POL-Dasar Keselamatan ICT KPDNKK-v3.0
Muka 59 dari 84
TERHAD
Maklumat lanjut mengenai keselamatan e-mel boleh dirujuk kepada:
a. Pekeliling Kemajuan Pentadbiran Am Bil. 1 Tahun 2003
Garis Panduan Mengenai Tatacara Penggunaan
Internet dan Mel Elektronik di Agensi-agensi Kerajaan;
b. Surat arahan Ketua Pengarah MAMPU bertarikh 1 Jun
2007 bertajuk “Langkah-langkah Mengenai Penggunaan
Mel Elektronik di agensi-agensi Kerajaan.”
6.10 Pemantauan
Memastikan pengesahan aktiviti pemprosesan maklumat yang tidak
dibenarkan. Perkara yang perlu dipatuhi adalah seperti berikut:
a. Mewujudkan sistem log bagi merekodkan semua aktiviti
harian pengguna dan disimpan untuk tempoh masa yang
dipersetujui bagi membantu siasatan dan memantau
kawalan capaian;
b. Menyemak sistem log secara berkala bagi mengesan
ralat yang menyebabkan gangguan kepada sistem dan
mengambil tindakan membaik pulih dengan segera;
c. Maklumat log dan kemudahan log perlu dilindungi
daripada sebarang pencerobohan dan pindaan;
d. Aktiviti yang dijalankan oleh pegawai yang menguruskan
sistem perlu dilogkan;
e. Sekiranya wujud aktiviti-aktiviti tidak sah seperti kecurian
maklumat dan pencerobohan hendaklah dilaporkan
kepada ICTSO;
Dasar Keselamatan ICT KPDNKK
KPDNKK-4-POL-Dasar Keselamatan ICT KPDNKK-v3.0
Muka 60 dari 84
TERHAD
f. Waktu yang berkaitan dengan sistem pemprosesan
maklumat dalam KPDNKK atau domain keselamatan
perlu diselaraskan dengan satu sumber waktu yang
dipersetujui; dan
7.0 KAWALAN CAPAIAN
7.1 Objektif
Kawalan capaian pengguna bertujuan mengawal capaian pengguna ke
atas aset ICT KPDNKK dan melindunginya dari sebarang bentuk
capaian yang tidak dibenarkan yang boleh menyebabkan kerosakan.
7.2 Dasar Kawalan Capaian
Mengawal capaian ke atas maklumat, kemudahan proses maklumat
dan proses urus niaga berdasarkan keperluan urus niaga dan
keperluan keselamatan. Peraturan kawalan capaian hendaklah
mengambil kira faktor identification, authentication dan authorization.
7.3 Pengurusan Capaian Pengguna
7.3.1 Akaun Pengguna
Memastikan sistem maklumat dicapai oleh pengguna yang sah
dan menghalang capaian yang tidak sah.
Prosedur pendaftaran dan pembatalan kebenaran capaian
pengguna perlu diwujudkan dan didokumenkan
Dasar Keselamatan ICT KPDNKK
KPDNKK-4-POL-Dasar Keselamatan ICT KPDNKK-v3.0
Muka 61 dari 84
TERHAD
Pemilikan akaun pengguna bukanlah hak mutlak seseorang. Ia
merupakan kemudahan yang tertakluk kepada peraturan
kementerian dan boleh ditarik balik jika penggunaannya
melanggar peraturan. Langkah-langkah berikut hendaklah
dipatuhi:
a. Jangan dedahkan kata laluan. Pengguna hendaklah
merahsiakan kata laluan dari pengetahuan orang lain;
b. Pengguna diminta menukar kata laluan setiap satu tahun
sekali bagi mengelak akaun mudah dicerobohi;
c. Pengguna hendaklah menggunakan kata laluan yang
sukar diteka, sekurang-kurangnya lapan (8) aksara
dengan gabungan alphanumeric dan simbol khas;
d. Pengguna adalah dilarang melakukan pencerobohan ke
atas akaun pengguna lain. Perkongsian akaun juga
adalah dilarang; dan
e. Pentadbir sistem/e-mel boleh membeku atau
menamatkan akaun pengguna yang telah tamat
perkhidmatan, bertukar atau bercuti/berkursus panjang
selepas 1 hari bekerja.
Penggunaan akaun khas mesti dihadkan untuk pengguna khas
sahaja berdasarkan kepada keperluan penggunaan dan perlu
mendapat kelulusan dari Ketua Jabatan. Rekod bagi setiap
akaun khas yang diwujudkan mesti disimpan, dikaji dan
diselanggara.
Pemberian kata laluan perlu dikawal melalui satu proses
pengurusan yang formal.
Dasar Keselamatan ICT KPDNKK
KPDNKK-4-POL-Dasar Keselamatan ICT KPDNKK-v3.0
Muka 62 dari 84
TERHAD
Semakan kepada kebenaran capaian pengguna mesti dikaji
setiap tahun.
7.3.2 Clear Screen and Clear Desk Policy
Polisi Clear Desk dan Clear Screen perlu dipatuhi supaya
maklumat dalam apa jua bentuk media hendaklah disimpan
dengan teratur dan selamat bagi mengelakkan kerosakan,
kecurian atau kehilangan.
Memastikan peralatan pengguna yang tidak digunakan
mempunyai perlindungan keselamatan yang secukupnya.
Perkara yang perlu dipatuhi adalah seperti berikut:
a. Mengaktifkan lock screen apabila meninggalkan
komputer;
b. Menyimpan bahan-bahan sensitif di dalam laci atau
kabinet fail yang berkunci; dan
c. Memastikan semua dokumen diambil segera dari
pencetak, pengimbas, mesin faksimili dan mesin fotostat.
7.4 Kawalan Capaian Rangkaian
Menghalang capaian tidak sah dan tanpa kebenaran ke atas rangkaian
KPDNKK. Kawalan capaian perkhidmatan rangkaian hendaklah dijamin
selamat dengan:
Dasar Keselamatan ICT KPDNKK
KPDNKK-4-POL-Dasar Keselamatan ICT KPDNKK-v3.0
Muka 63 dari 84
TERHAD
a. Mewujudkan dan menguatkuasakan mekanisme untuk
pengesahan pengguna dan peralatan yang menepati
kesesuaian penggunaannya.
Perkara yang perlu dipatuhi adalah seperti berikut:
a. Memastikan pengguna boleh mencapai perkhidmatan
yang dibenarkan sahaja;
b. Memastikan proses pengesahan pengguna remote
digunakan untuk mengawal capaian logikal;
c. Pengenalan peralatan secara automatik perlu
dipertimbangkan sekira perlu sebagai satu kaedah untuk
pengesahan capaian daripada lokasi dan peralatan
tertentu;
d. Mengawal capaian fizikal dan logikal ke atas kemudahan
port diagnostik dan konfigurasi jarak jauh;
e. Mengasingkan capaian mengikut kumpulan
perkhidmatan, maklumat pengguna dan sistem maklumat
dalam rangkaian;
f. Mengawal sambungan ke rangkaian, khususnya bagi
kemudahan yang dikongsi dan menjangkau sempadan
KPDNKK; dan
g. Mewujud dan melaksana kawalan pengalihan laluan
(routing control) untuk memastikan pematuhan ke atas
peraturan KPDNKK.
Dasar Keselamatan ICT KPDNKK
KPDNKK-4-POL-Dasar Keselamatan ICT KPDNKK-v3.0
Muka 64 dari 84
TERHAD
7.5 Kawalan Capaian Sistem Operasi
Memastikan bahawa capaian ke atas sistem operasi dikawal dan
dihadkan kepada pengguna yang dibenarkan sahaja. Kaedah yang
digunakan hendaklah menyokong perkara-perkara berikut:
a. Mengesahkan pengguna yang dibenarkan selaras
dengan peraturan KPDNKK;
b. Mewujudkan audit trail ke atas semua capaian sistem
operasi terutama pengguna bertaraf khas (super user);
c. Menjana amaran (alert) sekiranya berlaku pelanggaran ke
atas peraturan keselamatan sistem;
d. Menyedia kaedah sesuai untuk pengesahan capaian
(authentication); dan
e. Menghadkan tempoh penggunaan mengikut kesesuaian.
Perkara-perkara yang perlu dipatuhi adalah seperti berikut:
a. Mengawal capaian ke atas sistem pengoperasian
menggunakan prosedur log on yang terjamin;
b. Mewujudkan satu pengenalan diri (ID) yang unik
untuk setiap pengguna dan hanya digunakan oleh
pengguna berkenaan sahaja;
c. Sistem pengurusan kata laluan perlu interaktif dan
mampu mengekalkan kualiti kata laluan;
d. Mengehadkan dan mengawal penggunaan program;
e. Session time out perlu diaktifkan bagi satu tempoh yang
ditetapkan; dan
Dasar Keselamatan ICT KPDNKK
KPDNKK-4-POL-Dasar Keselamatan ICT KPDNKK-v3.0
Muka 65 dari 84
TERHAD
f. Mengehadkan tempoh sambungan ke sesebuah
aplikasi berisiko tinggi.
7.6 Kawalan Capaian Sistem Dan Aplikasi
Capaian terhadap sistem/aplikasi adalah terhad kepada pengguna dan
tujuan yang dibenarkan. Bagi memastikan kawalan capaian sistem
maklumat dan aplikasi adalah kukuh, langkah-langkah berikut
hendaklah dipatuhi:
a. Pengguna hanya boleh menggunakan sistem maklumat
dan aplikasi mengikut tahap capaian yang dibenarkan
dan sensitiviti maklumat yang telah ditentukan;
b. Memaparkan notis amaran pada skrin pengguna sebelum
pengguna memulakan capaian bagi melindungi maklumat
dari sebarang bentuk penyalahgunaan;
c. Menghadkan capaian kepada 3 kali percubaan.
Sekiranya gagal, akaun atau kata laluan pengguna akan
disekat;
d. Memastikan kawalan sistem rangkaian adalah kukuh dan
lengkap dengan ciri-ciri keselamatan bagi mengelak
aktiviti dan capaian yang tidak sah; dan
e. Sistem yang sensitif perlu diasingkan .
7.7 Peralatan Mudah Alih
Memastikan keselamatan maklumat semasa menggunakan peralatan
mudah alih. Perkara yang perlu dipatuhi adalah seperti berikut:
Dasar Keselamatan ICT KPDNKK
KPDNKK-4-POL-Dasar Keselamatan ICT KPDNKK-v3.0
Muka 66 dari 84
TERHAD
a. Mewujudkan peraturan dan garis panduan keselamatan
yang bersesuaian untuk melindungi dari risiko
penggunaan peralatan mudah alih dan kemudahan
komunikasi;
b. Pengguna bertanggungjawab menentukan maklumat
berperingkat dan ia perlu melalui proses encryption
yang dibenarkan sebelum dihantar atau disalurkan ke
dalam sistem rangkaian yang tidak selamat (seperti
Internet, Mobil-GSM, Infrared, Bluetooth, WAP, 3G dan
sebagainya); dan
c. Mewujudkan peraturan dan garis panduan bagi aktiviti
teleworking dengan mengambil kira kawalan
keselamatan dan polisi keselamatan KPDNKK.
Dasar Keselamatan ICT KPDNKK
KPDNKK-4-POL-Dasar Keselamatan ICT KPDNKK-v3.0
Muka 67 dari 84
TERHAD
8.0 PEMBANGUNAN DAN PENYELENGGARAAN SISTEM
8.1 Objektif
Memastikan aspek keselamatan dikenalpasti dan diambil kira dalam
semua sistem maklumat termasuk sistem pengoperasian, infrastruktur,
sistem aplikasi dan perisian. Aspek keselamatan ini mesti dikenal pasti,
dijustifikasi, dipersetujui dan didokumentasikan sebelum sesuatu
sistem maklumat direkabentuk dan dilaksanakan.
8.2 Keperluan Keselamatan Sistem Maklumat
a. Perolehan, pembangunan, penambahbaikan dan
penyelenggaraan sistem hendaklah mengambil kira
kawalan keselamatan bagi memastikan tidak wujudnya
sebarang ralat yang boleh mengganggu pemprosesan
dan ketepatan maklumat;
b. Ujian keselamatan hendaklah dijalankan ke atas sistem
input untuk menyemak pengesahan dan integriti data
yang dimasukkan, sistem pemprosesan untuk
menentukan sama ada program berjalan dengan betul
dan sempurna dan; sistem output untuk memastikan
data yang telah diproses adalah tepat;
c. Aplikasi perlu mengandungi semakan pengesahan
(validation) untuk mengelakkan sebarang kerosakan
maklumat akibat kesilapan pemprosesan atau perlakuan
yang disengajakan; dan
d. Semua sistem yang dibangunkan sama ada secara
dalaman atau sebaliknya hendaklah diuji terlebih dahulu
Dasar Keselamatan ICT KPDNKK
KPDNKK-4-POL-Dasar Keselamatan ICT KPDNKK-v3.0
Muka 68 dari 84
TERHAD
bagi memastikan sistem berkenaan memenuhi
keperluan keselamatan yang telah ditetapkan sebelum
digunakan.
8.3 Encryption
Pengguna hendaklah membuat encryption ke atas maklumat sensitif
atau terperingkat. Penggunaan teknologi encryption bergantung
kepada kelulusan ICTSO dan CIO serta tertakluk kepada kesediaan
peruntukan. Langkah-langkah berikut perlu dipatuhi:
a. Pengguna yang terlibat dalam menguruskan transaksi
maklumat penting secara elektronik hendaklah
menggunakan tandatangan digital yang dikeluarkan oleh
Pihak Berkuasa Persijilan (Certification Authority) yang
ditauliahkan oleh Kerajaan Malaysia.
b. Pengurusan ke atas PKI hendaklah dilakukan dengan
berkesan dan selamat bagi melindungi kunci
berkenaan dari diubah, dimusnah dan didedahkan
sepanjang tempoh sah kunci tersebut.
8.4 Kawalan Fail Sistem
Perkara-perkara yang perlu dipatuhi adalah seperti berikut:
a. Proses pengemaskinian fail sistem hanya boleh
dilakukan oleh Pentadbir Sistem ICT atau pegawai
yang berkenaan;
b. Kod atau atur cara sistem yang telah dikemas kini
hanya boleh dilaksanakan atau digunakan selepas diuji;
Dasar Keselamatan ICT KPDNKK
KPDNKK-4-POL-Dasar Keselamatan ICT KPDNKK-v3.0
Muka 69 dari 84
TERHAD
c. Mengawal capaian ke atas kod atau atur cara
program bagi mengelakkan kerosakan,
pengubahsuaian tanpa kebenaran, penghapusan dan
kecurian;
d. Data ujian perlu dipilih dengan berhati-hati, dilindungi
dan dikawal;dan
e. Mengaktifkan audit log bagi merekodkan semua
aktiviti pengemaskinian untuk tujuan statistik,
pemulihan dan keselamatan.
8.5 Prosedur Kawalan Perubahan
Perkara-perkara yang perlu dipatuhi adalah seperti berikut:
a. Mewujudkan peraturan dan garis panduan keselamatan
yang bersesuaian untuk mengawal pelaksanaan
perubahan;
b. Perubahan atau pengubahsuaian ke atas sistem
maklumat dan aplikasi hendaklah dikawal, diuji,
direkodkan dan disahkan sebelum diguna pakai;
c. Aplikasi kritikal perlu dikaji semula dan diuji apabila
terdapat perubahan kepada sistem pengoperasian untuk
memastikan tiada kesan yang buruk terhadap operasi
dan keselamatan agensi, Individu atau suatu
kumpulan tertentu perlu bertanggungjawab memantau
penambahbaikan dan pembetulan yang dilakukan oleh
vendor;
Dasar Keselamatan ICT KPDNKK
KPDNKK-4-POL-Dasar Keselamatan ICT KPDNKK-v3.0
Muka 70 dari 84
TERHAD
d. Mengawal perubahan dan/atau pindaan ke atas pakej
perisian dan memastikan sebarang perubahan adalah
terhad mengikut keperluan sahaja; dan
e. Menghalang sebarang peluang untuk membocorkan
maklumat.
8.6 Pihak Ketiga Dan Kontrak Perjanjian
Pembangunan perisian secara outsource perlu diselia dan dipantau
oleh pemilik sistem. Bagi sistem aplikasi yang dibangunkan oleh
pembekal, klausa mengenai pemindahan Teknologi (Transfer Of
Technology), tempoh jaminan, kod sumber (source code) sebagai Hak
Milik Kerajaan Malaysia hendaklah dinyatakan dengan jelas dalam
dokumen kontrak perjanjian.
8.6.1 Dasar Pelaksanaan
a. Semua kontraktor yang melaksanakan kerja Outsourcing
dimestikan lulus dan melepasi tapisan keselamatan.
Maklumat berperingkat hendaklah dimaklumkan secara
need to know basis.
b. Kontraktor perlu menandatangani Surat Perakuan Akta
Rasmi 1972
c. Antara butir-butir yang perlu dinyatakan di dalam
kontrak outsourcing adalah:
i. Kesahihan dan kerahsiaan logikal organisasi
mesti dipelihara;
ii. Pegawai kerajaan mesti membuat pengauditan
Dasar Keselamatan ICT KPDNKK
KPDNKK-4-POL-Dasar Keselamatan ICT KPDNKK-v3.0
Muka 71 dari 84
TERHAD
terhadap sistem yang di outsource; dan
iii. Mesti menyatakan faktor keselamatan secara
terperinci pada Schedule Of Compliance (SOC).
Pemindahan teknologi atau Transfer Of Technology (TOT)
mesti dilaksanakan oleh kontraktor kepada pengguna.
Capaian secara fizikal dan logikal mesti dipantau oleh staf
KPDNKK yang dilantik bagi menguruskannya.
8.7 Kawalan dari Ancaman Teknikal
Kawalan teknikal keterdedahan ini perlu dilaksanakan ke atas
system pengoperasian dan sistem aplikasi yang digunakan. Perkara
yang perlu dipatuhi adalah seperti berikut:
a. Memperoleh maklumat teknikal keterdedahan yang
tepat pada masanya ke atas sistem maklumat yang
digunakan;
b. Menilai tahap pendedahan bagi mengenal pasti tahap
risiko yang bakal dihadapi; dan
c. Mengambil langkah-langkah kawalan untuk mengatasi
risiko berkaitan.
Dasar Keselamatan ICT KPDNKK
KPDNKK-4-POL-Dasar Keselamatan ICT KPDNKK-v3.0
Muka 72 dari 84
TERHAD
9.0 PENGURUSAN INSIDEN KESELAMATAN MAKLUMAT
9.1 Objektif
Memastikan tindakan menangani insiden keselamatan ICT diambil
dengan cepat, tepat dan berkesan serta meminumkan kesan insiden
keselamatan ICT.
Maklumat lanjut mengenai pengurusan insiden boleh dirujuk kepada
Surat Pekeliling Am Bilangan 4 Tahun 2006: Pengurusan Pengendalian
Insiden Keselamatan Teknologi Maklumat dan Komunikasi (ICT) Sektor
Awam.
9.2 Laporan Insiden Keselamatan
9.2.1 Melaporkan Peristiwa Keselamatan
Peristiwa keselamatan mesti dilaporkan kepada ICTSO dengan
kadar segera. Insiden keselamatan ICT seperti berikut
hendaklah dilaporkan dengan kadar segera:
a. Maklumat didapati hilang, didedahkan kepada pihak-
pihak yang tidak diberi kuasa atau, disyaki hilang atau
didedahkan kepada pihak-pihak yang tidak diberi kuasa;
b. Sistem maklumat digunakan tanpa kebenaran atau
disyaki sedemikian;
c. Kata laluan atau mekanisme kawalan akses hilang, dicuri
atau didedahkan, atau disyaki hilang, dicuri atau
didedahkan;
Dasar Keselamatan ICT KPDNKK
KPDNKK-4-POL-Dasar Keselamatan ICT KPDNKK-v3.0
Muka 73 dari 84
TERHAD
d. Berlaku kejadian sistem yang luar biasa seperti
kehilangan fail, sistem kerap kali gagal dan komunikasi
tersalah hantar;
e. Berlaku percubaan menceroboh, penyelewengan dan
insiden-insiden yang tidak diingini.
Pekeliling Am Bilangan 1 Tahun 2001 bertajuk ”Mekanisme
Pelaporan Insiden Keselamatan ICT” mengenainya bolehlah
dirujuk.
Semua pengguna, kontraktor dan pihak ketiga mesti
dimaklumkan akan tanggungjawab untuk melaporkan sebarang
peristiwa keselamatan dengan kadar segera. Mereka juga mesti
dimaklumkan mengenai prosedur dan pusat hubungan untuk
melaporkan insiden keselamatan maklumat.
Pelapor insiden mesti mencatit semua butiran yang penting
dengan segera.
9.2.2 Melaporkan Kelemahan Keselamatan Maklumat
Kelemahan keselamatan mesti dilaporkan kepada ICTSO
dengan kadar segera bagi mengelakkan insiden keselamatan
maklumat melalui Borang Laporan Insiden.
Pengguna, kontraktor dan pihak ketiga adalah dilarang daripada
membuktikan sebarang kelemahan keselamatan. Ujian untuk
membuktikan kelemahan boleh ditafsirkan sebagai
penyalahgunaan sistem dan boleh menyebabkan kerosakan
kepada sistem maklumat atau servis. Ini boleh mengakibatkan
tanggungjawab undang-undang bagi individu yang menjalankan
ujian tersebut.
Dasar Keselamatan ICT KPDNKK
KPDNKK-4-POL-Dasar Keselamatan ICT KPDNKK-v3.0
Muka 74 dari 84
TERHAD
9.3 Pengendalian Insiden Keselamatan
9.3.1 Analisa dan Pengesahan Insiden
Pasukan tindak balas insiden terdiri daripada pasukan CERT
KPDN dan pemilik proses yang berkenaan. Pasukan ini
bertanggungjawab untuk menganalisa; mengesahkan setiap
insiden; dan juga mendokumenkan setiap langkah yang diambil.
Bagi setiap insiden yang dikenal pasti, pasukan tersebut harus
melaksanakan analisa awal bagi menentukan skop insiden
seperti:
a. Rangkaian, sistem atau perkhidmatan yang terlibat;
b. Siapa atau apa yang menyebabkan insiden;
c. Bagaimana insiden berlaku
Analisa awal tersebut mesti merangkumi maklumat yang cukup
untuk membolehkan pasukan tindak balas menyusun aktiviti-
aktiviti seterusnya seperti pembendungan insiden dan analisa
mendalam bagi kesan daripada insiden tersebut.
Pasukan tindak balas insiden ini mesti berhati-hati untuk
melindungi data yang berkaitan dengan sesuatu insiden seperti
maklumat sistem yang dicerobohi atau pengguna yang telah
terbabit dalam tindakan yang menyalahi peraturan.
Dasar Keselamatan ICT KPDNKK
KPDNKK-4-POL-Dasar Keselamatan ICT KPDNKK-v3.0
Muka 75 dari 84
TERHAD
9.3.2 Keutamaan Insiden dan Penilaian Impak
Semua insiden keselamatan maklumat yang dikenal pasti mesti
disusun mengikut keutamaan dan berdasarkan kepada impak
negatif yang berpotensi terhadap maklumat dan/atau sistem
maklumat.
9.3.3 Keutamaan Insiden Keselamatan
Menyusun keutamaan dalam mengendalikan insiden merupakan
satu keputusan yang kritikal dalam proses pengendalian insiden.
Pengendalian sesuatu insiden tidak boleh berdasarkan kepada
konsep yang dahulu diutamakan (first-come, first-served basis)
sekiranya sumber-sumber yang sedia ada adalah terhad.
Sebaliknya, keutamaan pengendalian insiden adalah
berdasarkan kepada dua (2) faktor iaitu:
a. Kesan semasa dan kesan yang berpotensi bagi sesuatu
insiden
Pasukan tindak balas insiden mesti mempertimbangkan
bukan sahaja kesan negatif semasa daripada sesuatu
insiden, malah kesan akan datang daripada sesuatu
insiden sekiranya tidak dibendungi juga harus diambil
kira.
b. Tahap kritikal daripada sumber yang terlibat
Sumber-sumber yang terlibat daripada sesuatu insiden
(seperti firewall, peralatan utama sistem rangkaian, sistem
sokongan, perkhidmatan, stesen kerja pengguna dan
aplikasi) mempunyai kepentingan yang berbeza kepada
sesebuah organisasi. Tahap kritikal bagi sesuatu sumber
Dasar Keselamatan ICT KPDNKK
KPDNKK-4-POL-Dasar Keselamatan ICT KPDNKK-v3.0
Muka 76 dari 84
TERHAD
itu adalah berdasarkan kepada data atau perkhidmatan,
pengguna, hubungan yang dipercayai dan
kebergantungan sumber tersebut dengan sumber yang
lain
9.3.4 Pemberitahuan Insiden
Semasa pengedalian insiden, pasukan tidakbalas insiden mesti
memaklumkan status semasa insiden tersebut kepada pihak
pengurusan yang berkenaan. Kaedah komunikasi boleh
dilakukan melalui salah satu daripada berikut:
a. E-mail;
b. Panggilan telefon;
c. Secara terus;
9.3.5 Strategi Pengawalan Insiden
Apabila insiden telah dikenal pasti dan dianalisa, pasukan tindak
balas insiden harus mengawal insiden tersebut sebelum
merebak dan mengakibatkan kerosakan yang lebih serius.
Proses pembendungan ini harus dipertimbangkan sebagai
sebahagian daripada proses pengendalian insiden pada
peringkat awal dan mesti melibatkan pihak pengurusan dalam
memberi keputusan seperti penutupan sesuatu sistem atau
perkhidmatan.
Ciri-ciri penentuan strategi yang sesuai termasuk:
a. Kerosakan yang berpotensi kepada sumber-sumber sedia
ada;
Dasar Keselamatan ICT KPDNKK
KPDNKK-4-POL-Dasar Keselamatan ICT KPDNKK-v3.0
Muka 77 dari 84
TERHAD
b. Keperluan untuk pemeliharaan bahan bukti;
c. Ketersediaan perkhidmatan;
d. Masa dan sumber-sumber yang diperlukan untuk
melaksanakan strategi;
e. Keberkesanan strategi; dan
f. Tempoh bagi suatu penyelesaian.
9.3.6 Pengumpulan Bahan Bukti
Pasukan tindak balas insiden mesti mendokumenkan dengan
jelas bagaimana bahan-bahan bukti termasuk sistem yang telah
dikompromi akan dipelihara. Semua bahan bukti harus dikumpul
mengikut prosedur yang menepati undang-undang dan
peraturan supaya boleh diterima pakai di mahkamah.
Log yang terperinci mesti disimpan bagi setiap bahan bukti.
Semua log mesti disenggara, disemak dan diawasi.
9.3.7 Penjagaan Bahan Bukti
Secara umum, bukti yang jelas mesti diwujudkan berdasarkan
perkara-perkara berikut:
a. Bagi dokumen kertas(hardcopy): Salinan asal mesti
disimpan dengan selamat dengan merekod butiran lanjut
seperti individu yang menemui dokumen tersebut; lokasi
dokumen ditemui, tarikh dan masa ditemui; dan saksi bagi
penemuan bahan bukti. Penyiasatan yang dilakukan
mesti memastikan bahan bukti tidak dicemari.
Dasar Keselamatan ICT KPDNKK
KPDNKK-4-POL-Dasar Keselamatan ICT KPDNKK-v3.0
Muka 78 dari 84
TERHAD
b. Bagi maklumat di dalam media komputer: imej cermin
(mirror image) atau salinan daripada media boleh ubah,
maklumat di dalam cakera keras atau di dalam memori
mesti diambil untuk memastikan ketersediaan; log bagi
semua tindakan semasa proses salinan mesti disimpan
dan proses mesti dilakukan di hadapan saksi; media asal
dan log-log mesti disimpan dengan selamat.
9.4 Pengajaran daripada Insiden Maklumat Keselamatan
Pasukan tindak balas insiden mesti mempunyai pengetahuan seiring
dengan ancaman dan teknologi yang terkini.
Mesyuarat harus diadakan dengan semua pihak yang terbabit selepas
berlaku sesuatu insiden yang besar dan secara berkala bagi insiden-
insiden yang kecil bagi tujuan:
a. Analisa insiden;
b. Analisa punca insiden; dan
c. Tindakan pembetulan yang telah diambil dan
keberkesanan tindakan tersebut ; dan
d. Tindakan pencegahan yang mungkin untuk diambil bagi
mengurangkan kebarangkalian pengulangan insiden.
Dasar Keselamatan ICT KPDNKK
KPDNKK-4-POL-Dasar Keselamatan ICT KPDNKK-v3.0
Muka 79 dari 84
TERHAD
10.0 PENGURUSAN KESINAMBUNGAN PERKHIDMATAN
10.1 Objektif
Menjamin operasi perkhidmatan agar tidak tergendala dan
memastikan penyampaian perkhidmatan yang berterusan kepada
pengguna.
10.2 Pelan Kesinambungan Perkhidmatan
Pelan Kesinambungan Perkhidmatan hendaklah dibangunkan dengan
mengambil kira faktor-faktor keselamatan maklumat bagi menentukan
pendekatan yang menyeluruh diambil bagi mengekalkan
kesinambungan perkhidmatan. Ini adalah untuk memastikan tiada
gangguan kepada proses-proses dalam penyediaan perkhidmatan
organisasi kepada pelanggan.
Perkara-perkara berikut perlu diberi perhatian:
a. Mengenal pasti semua tanggungjawab dan prosedur
kecemasan atau pemulihan;
b. Mengenal pasti peristiwa yang boleh mengakibatkan
gangguan terhadap proses bisnes bersama dengan
kemungkinan dan impak gangguan tersebut serta akibat
terhadap keselamatan ICT;
c. Melaksanakan prosedur-prosedur kecemasan bagi
membolehkan pemulihan dapat dilakukan secepat
mungkin atau dalam jangka masa yang telah ditetapkan;
d. Mendokumentasikan proses dan prosedur yang telah
dipersetujui;
Dasar Keselamatan ICT KPDNKK
KPDNKK-4-POL-Dasar Keselamatan ICT KPDNKK-v3.0
Muka 80 dari 84
TERHAD
e. Mengadakan program latihan kepada pengguna
mengenai prosedur kecemasan;
f. Membuat backup; dan
g. Menguji dan mengemas kini pelan sekurang-kurangnya
setahun sekali.
Pelan Pemulihan Bencana (DRP) perlu dibangunkan dan hendaklah
mengandungi perkara-perkara berikut:
a. Senarai aktiviti teras yang dianggap kritikal mengikut
susunan keutamaan;
b. Senarai pegawai KPDNKK dan vendor berserta nombor
yang boleh dihubungi (faksimile, telefon dan e-mel).
Senarai kedua juga hendaklah disediakan sebagai
menggantikan pegawai tidak dapat hadir untuk
menangani insiden;
c. Senarai lengkap maklumat yang memerlukan backup
dan lokasi sebenar penyimpanannya serta arahan
pemulihan maklumat dan kemudahan yang berkaitan;
d. Alternatif sumber pemprosesan dan lokasi untuk
menggantikan sumber yang telah lumpuh; dan
e. Perjanjian dengan pembekal perkhidmatan untuk
mendapatkan keutamaan penyambungan semula
perkhidmatan yang berkaitan.
Maklumat lanjut mengenai pengurusan kesinambungan perkhidmatan
boleh rujuk kepada Pelan Kesinambungan Perkhidmatan KPDNKK
2012 dan Pelan Pemulihan Bencana KPDNKK.
Dasar Keselamatan ICT KPDNKK
KPDNKK-4-POL-Dasar Keselamatan ICT KPDNKK-v3.0
Muka 81 dari 84
TERHAD
11.0 PEMATUHAN
11.1 Objektif
Meningkatkan tahap keselamatan ICT bagi mengelakkan dari
pelanggaran kepada Dasar Keselamatan ICT KPDNKK, undang-
undang jenayah dan sivil, peraturan atau ikatan kontrak dan sebarang
keperluan keselamatan yang lain.
11.2 Pematuhan Dasar
Semua pengguna ICT di KPDNKK perlu mematuhi Dasar Keselamatan
ICT KPDNKK dan undang-undang atau peraturan-peraturan lain yang
berkaitan yang berkuat kuasa dari masa ke semasa.
Perkara-perkara berikut perlu dipatuhi:
a. Prosedur berikut perlu diambil kira bagi mematuhi dalam
penggunaan material yang mempunyai hak cipta dan
perisian proprieteri perlu dipatuhi:
Akta Hakcipta 1997 hendaklah sentiasa dipatuhi bagi
menghalang aktiviti meniru hak cipta orang lain;
Penggunaan perisian yang sah;
Pembelian dari sumber yang sahih;
Sentiasa mengadakan program kesedaran terhadap
dasar perlindungan harta intelek;
Dasar Keselamatan ICT KPDNKK
KPDNKK-4-POL-Dasar Keselamatan ICT KPDNKK-v3.0
Muka 82 dari 84
TERHAD
Mengekalkan daftar aset dan mengenalpasti semua
keperluan perlindungan terhadap asset;
Menyimpan lesen perisian;
Memastikan bilangan had lesen tidak melebihi had
ditetapkan; dan
Menjalankan pemeriksaan perisian yang sah dan
produk berlesen digunakan.
b. Rekod yang penting perlu dilindungi daripada kecurian,
kemusnahan dan pemalsuan seperti yang tertakluk dalam
Aktan Keselamatan;
c. Perlindungan data peribadi perlu diwujudkan selaras
dengan undang-undang sekiranya berkaitan;
d. Pengguna adalah dilarang daripada menyalahgunakan
kemudahan pemprosesan maklumat untuk tujuan yang
tidak dibenarkan;
e. Kawalan kriptografi perlu tertakluk kepada undang-
undang yang berkaitan.
11.3 Pematuhan dengan Dasar, Piawaian dan Keperluan Teknikal
ICTSO hendaklah memastikan semua prosedur keselamatan dalam
bidang tugas masing-masing mematuhi dasar, piawaian dan keperluan
teknikal. Sistem maklumat perlu diperiksa secara berkala bagi
mematuhi standard pelaksanaan keselamatan ICT.
Dasar Keselamatan ICT KPDNKK
KPDNKK-4-POL-Dasar Keselamatan ICT KPDNKK-v3.0
Muka 83 dari 84
TERHAD
11.4 Pematuhan Keperluan Audit
Pematuhan kepada keperluan audit perlu bagi meminimumkan
ancaman dan memaksimumkan keberkesanan dalam proses audit
sistem maklumat.
Keperluan audit dan sebarang aktiviti pemeriksaan ke atas sistem
operasi perlu dirancang dan dipersetujui bagi mengurangkan
kebarangkalian berlaku gangguan dalam penyediaan perkhidmatan.
Capaian ke atas peralatan audit sistem maklumat perlu dijaga dan
diselia bagi mengelakkan berlaku penyalahgunaan.
11.5 Keperluan Perundangan
Berikut adalah keperluan perundangan atau peraturan-peraturan lain
yang berkaitan yang perlu dipatuhi oleh semua pengguna ICT
KPDNKK dari masa ke semasa iaitu seperti:
a. Arahan Keselamatan
b. Akta Rahsia Rasmi 1972
c. Akta Tandatangan Digital 1997
d. Akta Jenayah Komputer 1997
e. Akta Hak Cipta (pindaan) tahun 1997
f. Akta Komunikasi dan Multimedia 1998
g. Pekeliling Am Bilangan 3 Tahun 2000 Rangka Dasar
Keselamatan Teknologi Maklumat & Komunikasi
Kerajaan oleh MAMPU
Dasar Keselamatan ICT KPDNKK
KPDNKK-4-POL-Dasar Keselamatan ICT KPDNKK-v3.0
Muka 84 dari 84
TERHAD
h. Pekeliling Am Bil. 1 Tahun 2001 Mekanisme Pelaporan
Insiden Keselamatan Teknologi Maklumat & Komunikasi
(ICT) oleh MAMPU
i. Malaysian Public Sector Management of Information
Communication Technology Security Handbook (MyMIS)
2002 oleh MAMPU
j. Surat Pekeliling Am Bil. 6 Tahun 2005 Garis Panduan
Penilaian Risiko Keselamatan Maklumat Sektor Awam
oleh MAMPU
k. Surat Arahan KSN – 2006 Langkah-langkah Untuk
Mengukuhkan Keselamatan Wireless LAN di Agensi-
agensi Kerajaan
l. Surat Arahan KSN – 2007 Langkah-langkah
Keselamatan Perlindungan Untuk Larangan Penggunaan
Telefon Bimbit atau Lain-lain Peralatan Komunikasi ICT
Tanpa Kebenaran Atau Kuasa Yang Sah
m. Arahan Teknologi Maklumat 2007
n. Akta Aktiviti Kerajaan Elektronik 2007 (Akta 680)
o. Peraturan-peraturan Pegawai Awam (Kelakuan dan
Tatatertib) 1993
p. Kawalan Dokumen ISO/IEC 20007:2013
q. Polisi Media Sosial KPDNKK
11.6 Pelanggaran Dasar
Pelanggaran Dasar Keselamatan ICT KPDNKK boleh dikenakan
tindakan tatatertib.