PENGURUSAN PUSAT PEMBANGUNAN MAKLUMAT & KOMUNIKASI Kod Dokumen : UPM/ISMS/PGR/MP Halaman: 1/38 No. Semakan: 01 No. Isu: 01 MANUAL SISTEM PENGURUSAN KESELAMATAN MAKLUMAT Tarikh: 10/11/2014 ISI KANDUNGAN SEKSYEN/ RUJUKAN TAJUK MUKA SURAT 1.0 PENGENALAN 3 1.1 Tujuan 3 1.2 Skop 3 1.3 Tarikh Kuatkuasa 3 2.0 MAKLUMAT ORGANISASI 4 2.1 Latar Belakang 4 2.2 Visi 4 2.3 Misi 4 2.4 Matlamat UPM 4 3.0 KEPERLUAN ISMS 5 3.1 Latar Belakang 5 3.2 Pemetaan ISMS 6 4.0 KONTEKS ORGANISASI 7 4.1 Memahami Organisasi 7 4.2 Memahami Keperluan dan Harapan Pihak Berkaitan 9 4.3 Skop ISMS 13 5.0 KEPEMIMPINAN 17 5.1 Kepimpinan dan komitmen 17 5.2 Polisi ISMS 17 5.3 Peranan dan Tanggungjawab 20 6.0 PERANCANGAN 23 6.1 Tindakan untuk Menangani Risiko dan Peluang 23 6.1.1 Am 23 6.1.2 Penilaian Risiko 23 6.1.3 Pemulihan Risiko 23 6.2 Pelan Perancangan Pencapaian Objektif Keselamatan Maklumat 25 7.0 SOKONGAN 26 7.1 Am 26 7.2 Kompetensi 26 7.3 Kesedaran 26 7.4 Komunikasi 27 7.5 Keperluan Dokumentasi 28 8.0 OPERASI 30 8.1 Perancangan dan Kawalan Operasi Pusat Data 30 8.2 Penilaian Risiko 30 8.3 Pemulihan Risiko 31 9.0 PENILAIAN PRESTASI 32 9.1 Pemantauan, Pengukuran, Analisis dan Penilaian 32 9.2 Audit Dalaman 32
38
Embed
MANUAL SISTEM PENGURUSAN KESELAMATAN Tarikh: …reg.upm.edu.my/eISO/isms/20150102101446.UPM_ISMS_PGR_MP.pdf · tuntutan semasa dan keperluan pembangunan dalam pelbagai disiplin, nama
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
PENGURUSAN PUSAT PEMBANGUNAN MAKLUMAT &
KOMUNIKASI
Kod Dokumen : UPM/ISMS/PGR/MP
Halaman: 1/38
No. Semakan: 01
No. Isu: 01
MANUAL SISTEM PENGURUSAN KESELAMATAN MAKLUMAT
Tarikh: 10/11/2014
ISI KANDUNGAN
SEKSYEN/ RUJUKAN
TAJUK MUKA SURAT
1.0 PENGENALAN 3
1.1 Tujuan 3
1.2 Skop 3
1.3 Tarikh Kuatkuasa 3
2.0 MAKLUMAT ORGANISASI 4
2.1 Latar Belakang 4
2.2 Visi 4
2.3 Misi 4
2.4 Matlamat UPM 4
3.0 KEPERLUAN ISMS 5
3.1 Latar Belakang 5
3.2 Pemetaan ISMS 6
4.0 KONTEKS ORGANISASI 7
4.1 Memahami Organisasi 7
4.2 Memahami Keperluan dan Harapan Pihak Berkaitan 9
4.3 Skop ISMS 13
5.0 KEPEMIMPINAN 17
5.1 Kepimpinan dan komitmen 17
5.2 Polisi ISMS 17
5.3 Peranan dan Tanggungjawab 20
6.0 PERANCANGAN 23
6.1 Tindakan untuk Menangani Risiko dan Peluang 23
6.1.1 Am 23
6.1.2 Penilaian Risiko 23
6.1.3 Pemulihan Risiko 23
6.2 Pelan Perancangan Pencapaian Objektif Keselamatan Maklumat 25
7.0 SOKONGAN 26
7.1 Am 26
7.2 Kompetensi 26
7.3 Kesedaran 26
7.4 Komunikasi 27
7.5 Keperluan Dokumentasi 28
8.0 OPERASI 30
8.1 Perancangan dan Kawalan Operasi Pusat Data 30
8.2 Penilaian Risiko 30
8.3 Pemulihan Risiko 31
9.0 PENILAIAN PRESTASI 32
9.1 Pemantauan, Pengukuran, Analisis dan Penilaian 32
9.2 Audit Dalaman 32
PENGURUSAN PUSAT PEMBANGUNAN MAKLUMAT &
KOMUNIKASI
Kod Dokumen : UPM/ISMS/PGR/MP
Halaman: 2/38
No. Semakan: 01
No. Isu: 01
MANUAL SISTEM PENGURUSAN KESELAMATAN MAKLUMAT
Tarikh: 10/11/2014
9.3 Kajian Semula Pengurusan 34
10.0 PENAMBAHBAIKAN 35
10.1 Ketakakuran dan Tindakan pembetulan 35
10.2 Penambahbaikan Berterusan 36
Rajah 1 Pemetaan ISMS 6
Rajah 2 Hubung Kait ISO 27001:2005 kepada ISO/IEC 27001:2013 13
Rajah 3 Lokasi Pelaksanaan Pensijilan ISMS UPM 16
Rajah 4 Struktur Organisasi ISMS UPM 20
Jadual 1 Memahami Keperluan dan Harapan Pihak Berkaitan 9
Jadual 2 Peranan dan Tanggungjawab Organisasi UPM 20
Jadual 3 Pelan Perancangan Pencapaian Objektif Keselamatan Maklumat 25
Jadual 4 Kaedah Komunikasi Secara Dalaman dan Luaran 28
Jadual 5 Pilihan Cadangan Kawalan Keputusan Penilaian Risiko 31
Lampiran A Pelan Lantai Bangunan Pusat Data Utama (DC) 37
Lampiran B Pelan Lantai Bangunan Pusat Data Kedua (DRC) 38
PENGURUSAN PUSAT PEMBANGUNAN MAKLUMAT &
KOMUNIKASI
Kod Dokumen : UPM/ISMS/PGR/MP
Halaman: 3/38
No. Semakan: 01
No. Isu: 01
MANUAL SISTEM PENGURUSAN KESELAMATAN MAKLUMAT
Tarikh: 10/11/2014
PERKARA 1: PENGENALAN
1.1 TUJUAN
Manual ISMS ini bertujuan menerangkan pelaksanaan Sistem Pengurusan Keselamatan
Maklumat berlandaskan keperluan Piawaian ISO/IEC 27001:2013 Information Security
Management Systems (ISMS) di Universiti Putra Malaysia (UPM) dalam mengurus sistem
keselamatan maklumat selaras dengan semua peraturan keselamatan maklumat yang
berkuatkuasa dari semasa ke semasa.
Manual ini disokong dengan Kaedah-Kaedah Universiti Putra Malaysia (Teknologi Maklumat
Dan Komunikasi) 2014, prosedur, garis panduan, piawaian pengoperasian (SOP), borang dan
dokumen sokongan yang berkaitan.
1.2 SKOP
Manual ini mengandungi lapan (8) perkara berikut:
a. Perkara 1: Keperluan ISMS;
b. Perkara 2: Konteks Organisasi (Klausa 4);
c. Perkara 3: Kepemimpinan (Klausa 5);
d. Perkara 4: Perancangan (Klausa 6);
e. Perkara 5: Sokongan (Klausa 7);
f. Perkara 6: Operasi (Klausa 8);
g. Perkara 7: Penilaian prestasi (Klausa 9); dan
h. Perkara 8: Penambahbaikan (Klausa 10).
1.3 TARIKH BERKUAT KUASA
Manual ini berkuat kuasa mulai tarikh 10 November 2014.
PENGURUSAN PUSAT PEMBANGUNAN MAKLUMAT &
KOMUNIKASI
Kod Dokumen : UPM/ISMS/PGR/MP
Halaman: 4/38
No. Semakan: 01
No. Isu: 01
MANUAL SISTEM PENGURUSAN KESELAMATAN MAKLUMAT
Tarikh: 10/11/2014
PERKARA 2: MAKLUMAT ORGANISASI
2.1 LATAR BELAKANG
Universiti Putra Malaysia bermula daripada penubuhan Sekolah Pertanian pada 21 Mei 1931
yang memberi tumpuan dan penekanan kepada bidang pertanian di Tanah Melayu. Sekolah
Pertanian tersebut telah dinaiktaraf menjadi Kolej Pertanian Malaya pada 3 Jun 1947. Selaras
dengan kepentingan sektor pertanian kepada ekonomi negara, kolej ini telah dinaiktaraf
menjadi Universiti Pertanian Malaysia dan diaktakan sebagai satu Perintah Perbadanan di
bawah Akta Universiti dan Kolej Universiti 1971, dan disiarkan menerusi Warta Kerajaan P.U.(A)
387 pada 29 Oktober 1971. Sebagai sebuah universiti yang dinamik dan sensitif kepada
tuntutan semasa dan keperluan pembangunan dalam pelbagai disiplin, nama Universiti
Pertanian Malaysia telah ditukarkan kepada Universiti Putra Malaysia pada 3 April 1997.
2.2 VISI
Menjadi Sebuah Universiti Bereputasi Antarabangsa.
2.3 MISI
Memberikan sumbangan bermakna kepada pembentukan kekayaan dan pembangunan negara
serta kemajuan manusia sejagat menerusi penerokaan dan penyebaran ilmu.
2.4 MATLAMAT UPM
Untuk mencapai visi dan misi yang telah diwujudkan, UPM telah menggubal 5 matlamat
seperti yang dinyatakan dalam Pelan Strategi UPM 2014 – 2020 iaitu:
Matlamat 1 : Mempertingkatkan Kualiti dan Daya Saing Graduan
Matlamat 2 : Penjanaan Nilai melalui Ekosistem RDCE yang Mantap dan Lestari
Matlamat 3 : Melonjakkan Perkhidmatan Jaringan Industri dan Masyarakat
Matlamat 4 : Memperkasakan UPM sebagai Pusat Kecemerlangan Pertanian
Matlamat 5 : Mempertingkatkan Kualiti Tadbir Urus
PENGURUSAN PUSAT PEMBANGUNAN MAKLUMAT &
KOMUNIKASI
Kod Dokumen : UPM/ISMS/PGR/MP
Halaman: 5/38
No. Semakan: 01
No. Isu: 01
MANUAL SISTEM PENGURUSAN KESELAMATAN MAKLUMAT
Tarikh: 10/11/2014
PERKARA 3: KEPERLUAN ISMS
3.1 LATAR BELAKANG
ISO/IEC 27001:2013 ISMS merupakan piawaian yang menetapkan satu set keperluan Sistem
Pengurusan Keselamatan Maklumat. Istilah maklumat, merangkumi koleksi fakta dalam
bentuk kertas atau mesej elektronik bagi mencapai misi dan objektif organisasi. Maklumat
merangkumi sistem dokumentasi, prosedur operasi, rekod agensi, profil pelanggan, pangkalan
data dan fail data, maklumat arkib dan lain-lain.
Pembudayaan ISMS akan mewujudkan sistem penyampaian yang bukan sahaja memenuhi
tuntutan serta kepuasan pengguna dan mematuhi peraturan semasa tetapi membolehkan
sistem penyampaian beroperasi dalam keadaan baik, selamat dan terkawal.
ISMS turut menyedia tanda aras (benchmark) tahap pengurusan keselamatan maklumat
Universiti berasaskan piawaian antarabangsa serta memantapkan perlindungan maklumat
dalam aset ICT berteraskan prinsip-prinsip kerahsiaan, integriti dan kebolehsediaan.
ISMS dibangunkan berdasarkan kepada keperluan dalam Klausa 4: Konteks Organisasi hingga
Klausa 10: Penambahbaikan dalam piawaian ISO/IEC 27001:2013 yang hendaklah dipatuhi
mengikut keperluan piawaian standard.
PENGURUSAN PUSAT PEMBANGUNAN MAKLUMAT &
KOMUNIKASI
Kod Dokumen : UPM/ISMS/PGR/MP
Halaman: 6/38
No. Semakan: 01
No. Isu: 01
MANUAL SISTEM PENGURUSAN KESELAMATAN MAKLUMAT
Tarikh: 10/11/2014
3.2 Pemetaan ISMS
Ringkasan keperluan bagi Klausa 4 hingga Klausa 10 seperti berikut (Rajah 1: Pemetaan ISMS):
Rajah 1: Pemetaan ISMS
PENGURUSAN PUSAT PEMBANGUNAN MAKLUMAT &
KOMUNIKASI
Kod Dokumen : UPM/ISMS/PGR/MP
Halaman: 7/38
No. Semakan: 01
No. Isu: 01
MANUAL SISTEM PENGURUSAN KESELAMATAN MAKLUMAT
Tarikh: 10/11/2014
PERKARA 4: KONTEKS ORGANISASI (Klausa 4)
4.1 MEMAHAMI ORGANISASI
Universiti Putra Malaysia merupakan salah sebuah Universiti penyelidikan yang terunggul di
Malaysia. Entiti akademik yang terkenal di seantero dunia ini terletak di Serdang, iaitu
bersebelahan dengan Wilayah Pentadbiran Putrajaya. Sebagai sebuah Pusat Pengajian dan
Penyelidikan yang mempunyai reputasi bertaraf antarabangsa, UPM telah berjaya
menyatukan para pelajar dan warga kerja dari serata dunia sekali gus menjadikan UPM sebuah
entiti global yang amat disegani.
4.1.1 Proses Utama Universiti melibatkan empat (4) komponen di bawah:
a. Pengajaran dan Pembelajaran
b. Penyelidikan
c. Perundingan dan Perkhidmatan Professional
d. Jaringan Luar
UPM mempunyai komitmen yang tinggi untuk merealisasikan hasrat menjadi sebuah universiti
bereputasi antarabangsa khususnya dalam melonjakkan pencapaian kedudukan UPM dalam
senarai 200 universiti terbaik di dunia dalam penilaian QS World University Ranking.
4.1.2 Isu-isu yang Mempengaruhi Sistem Pengurusan Keselamatan Maklumat
a. Kebergantungan penggunaan ICT dalam mentadbir dan mengurus operasi Universiti untuk
merealisasikan visi dan misi;
b. Persekitaran Pusat Data yang kurang kondusif, pengendalian dan tadbir urus pemusatan
data dan pangkalan data elektronik Universiti kurang mantap;
c. Kawalan dan seliaan data digital tidak berpusat;
PENGURUSAN PUSAT PEMBANGUNAN MAKLUMAT &
KOMUNIKASI
Kod Dokumen : UPM/ISMS/PGR/MP
Halaman: 8/38
No. Semakan: 01
No. Isu: 01
MANUAL SISTEM PENGURUSAN KESELAMATAN MAKLUMAT
Tarikh: 10/11/2014
d. Risiko ancaman siber seperti terdedah kepada ketirisan, kecurian dan salah guna
maklumat;
e. Tadbir urus keselamatan maklumat yang kurang mantap; dan
f. Penyalahgunaan maklumat kakitangan dan pelajar.
4.1.3 Hasil Sistem Pengurusan Keselamatan Maklumat
a. Pemusatan pangkalan data dan saluran akses yang terkawal dan dibenarkan;
b. Jaminan kerahsiaan, integriti dan ketersediaan maklumat dari Pusat Data;
c. Operasi Sistem Utama Universiti yang selamat dan boleh dipercayai; dan
d. Memantapkan tadbir urus keselamatan maklumat di Pusat Data.
PENGURUSAN PUSAT PEMBANGUNAN MAKLUMAT & KOMUNIKASI
Kod Dokumen : UPM/ISMS/PGR/MP
Halaman: 9/38
No. Semakan: 01
No. Isu: 01
MANUAL SISTEM PENGURUSAN KESELAMATAN MAKLUMAT Tarikh: 24/10/2014
4.2 MEMAHAMI KEPERLUAN DAN HARAPAN PIHAK BERKAITAN
Pihak Pengurusan UPM telah menetapkan pihak berkepentingan yang terlibat dengan skop pensijilan (Jadual 1).
BIL PEMEGANG
TARUH PLATFORM MAKLUMAT
KEPERLUAN DAN HARAPAN KESELAMATAN MAKLUMAT
SALURAN MAKLUMAT
PIHAK BERTANGGUNG JAWAB
PIHAK DALAMAN C I A
1 Pelajar 1. Sistem Maklumat Pelajar Prasiswazah (SMP)
Maklumat Pelajar H H H
1. u-Respon 2. Emel Rasmi 3. Laman
Web PTJ
Ketua Pusat Tanggungjawab Bahagian Akademik
2. Sistem Maklumat Pelajar Pasca Siswazah (iGIMS)
H H H Ketua Pusat Tanggungjawab Sekolah Pengajian Siswazah
3. Sistem Kewangan (KEW)
Maklumat Kewangan Pelajar H H H
Ketua Pusat Tanggungjawab Pejabat Bursar
4. Laman Web Utama Universiti (WEB)
Maklumat Profil Universiti
L H H
Ketua Pusat Tanggungjawab Pejabat Perancangan Strategik dan Korporat (PPSK)
2 Staf 1. SMP Maklumat Pelajar H H H
1. Emel Rasmi 2. Mesyuarat 3. Surat 4. Buletin
Ketua Pusat Tanggungjawab Bahagian Akademik
2. iGIMS
H H H Ketua Pusat Tanggungjawab Sekolah Pengajian Siswazah
3. KEW Maklumat Kewangan Pelajar
H
H
H Ketua Pusat Tanggungjawab Pejabat Bursar
PENGURUSAN PUSAT PEMBANGUNAN MAKLUMAT & KOMUNIKASI
Kod Dokumen : UPM/ISMS/PGR/MP
Halaman: 10/38
No. Semakan: 01
No. Isu: 01
MANUAL SISTEM PENGURUSAN KESELAMATAN MAKLUMAT Tarikh: 24/10/2014
BIL PEMEGANG
TARUH PLATFORM MAKLUMAT
KEPERLUAN DAN HARAPAN KESELAMATAN MAKLUMAT
SALURAN MAKLUMAT
PIHAK BERTANGGUNG JAWAB
4. Sistem Sumber Manusia (HRM)
Maklumat Staf
H H H Ketua Pusat Tanggungjawab Pejabat Pendaftar
5. WEB 1. Maklumat Profil Universiti
2. Maklumat Penyelidikan
L H H
Ketua Pusat Tanggungjawab Pejabat Perancangan Strategik dan Korporat (PPSK)
PIHAK LUARAN
3 Kementerian Pendidikan Malaysia (KPM)
1. SMP Maklumat Pelajar H H H
1. Surat 2. Emel Rasmi 3. Mesyuarat
Ketua Pusat Tanggungjawab Bahagian Akademik
2. iGIMS
H H H Ketua Pusat Tanggungjawab Sekolah Pengajian Siswazah
3. KEW Maklumat Kewangan Pelajar H H H
Ketua Pusat Tanggungjawab Pejabat Bursar
4. HRM Maklumat Staf H H H
Ketua Pusat Tanggungjawab Pejabat Pendaftar
5. WEB Maklumat Profil Universiti
L H H
Ketua Pusat Tanggungjawab Pejabat Perancangan Strategik dan Korporat (PPSK)
PENGURUSAN PUSAT PEMBANGUNAN MAKLUMAT & KOMUNIKASI
Kod Dokumen : UPM/ISMS/PGR/MP
Halaman: 11/38
No. Semakan: 01
No. Isu: 01
MANUAL SISTEM PENGURUSAN KESELAMATAN MAKLUMAT Tarikh: 24/10/2014
BIL PEMEGANG
TARUH PLATFORM MAKLUMAT
KEPERLUAN DAN HARAPAN KESELAMATAN MAKLUMAT
SALURAN MAKLUMAT
PIHAK BERTANGGUNG JAWAB
4 Jabatan Perkhidmatan Awam
1. KEW 1. Maklumat Kewangan Pelajar
2. Maklumat Staf H H H
1. Surat 2. Emel Rasmi 3. Mesyuarat
Ketua Pusat Tanggungjawab Pejabat Bursar
2. HRM H H H
Ketua Pusat Tanggungjawab Pejabat Pendaftar
3. WEB Maklumat Profil Universiti
L H H
Ketua Pusat Tanggungjawab Pejabat Perancangan Strategik dan Korporat (PPSK)
5 Pembekal 1. SMP Maklumat Pelajar H H H
1. u-Respon 2. Web 3. Papan
Kenyataan 4. Job sheet
Ketua Pusat Tanggungjawab Bahagian Akademik
2. iGIMS H H H
Ketua Pusat Tanggungjawab Sekolah Pengajian Siswazah
3. KEW Maklumat Kewangan Pelajar
H H H
Ketua Pusat Tanggungjawab Pejabat Bursar
4. HRM Maklumat Staf
H H H Ketua Pusat Tanggungjawab Pejabat Pendaftar
5. WEB Maklumat Profil Universiti
L H H
Ketua Pusat Tanggungjawab Pejabat Perancangan Strategik dan Korporat (PPSK)
PENGURUSAN PUSAT PEMBANGUNAN MAKLUMAT & KOMUNIKASI
Kod Dokumen : UPM/ISMS/PGR/MP
Halaman: 12/38
No. Semakan: 01
No. Isu: 01
MANUAL SISTEM PENGURUSAN KESELAMATAN MAKLUMAT Tarikh: 24/10/2014
BIL PEMEGANG
TARUH PLATFORM MAKLUMAT
KEPERLUAN DAN HARAPAN KESELAMATAN MAKLUMAT
SALURAN MAKLUMAT
PIHAK BERTANGGUNG JAWAB
6 Ibubapa 1. SMP Maklumat Pelajar
H H H Surat
Ketua Pusat Tanggungjawab Bahagian Akademik
2. iGIMS H H H
Ketua Pusat Tanggungjawab Sekolah Pengajian Siswazah
3. WEB Maklumat Profil Universiti
L H H
Ketua Pusat Tanggungjawab Pejabat Perancangan Strategik dan Korporat (PPSK)
7 Awam WEB Maklumat Profil Universiti
L
H
H Laman Web Ketua Pusat
Tanggungjawab Pejabat Perancangan Strategik dan Korporat (PPSK)
Jadual 1: Memahami Keperluan dan Harapan Pihak Berkaitan
PENGURUSAN PUSAT PEMBANGUNAN MAKLUMAT & KOMUNIKASI
Kod Dokumen : UPM/ISMS/PGR/MP
Halaman: 13/38
No. Semakan: 01
No. Isu: 01
MANUAL SISTEM PENGURUSAN KESELAMATAN MAKLUMAT
Tarikh: 10/11/2014
4.3 SKOP ISMS
Dalam menentukan skop pensijilan ISMS UPM, Jawatankuasa Jaminan Kualiti ISMS telah
mengenalpasti skop pensijilan ISMS seperti berikut berdasarkan kepada perkhidmatan ICT
yang memberikan impak tinggi kepada keseluruhan proses utama Universiti. Rujuk Rajah 2.
Rajah 2 : Hubung Kait ISO/IEC 27001:2013 kepada ISO/IEC 27001:2013
PENGURUSAN PUSAT PEMBANGUNAN MAKLUMAT & KOMUNIKASI
Kod Dokumen : UPM/ISMS/PGR/MP
Halaman: 14/38
No. Semakan: 01
No. Isu: 01
MANUAL SISTEM PENGURUSAN KESELAMATAN MAKLUMAT
Tarikh: 10/11/2014
Skop pensijilan ISMS UPM adalah seperti berikut:
Pengurusan Sistem Keselamatan Maklumat (ISMS) adalah bagi operasi Pusat Data UPM
merangkumi perkakasan (server dan storan) dan data/maklumat untuk aplikasi kritikal
berikut:
a. Laman Web Utama Universiti;
b. Sistem Pengurusan Kewangan;
c. Sistem Pengurusan Sumber Manusia;
d. Sistem Maklumat Pelajar Prasiswazah (SMP); dan
e. Sistem Maklumat Pelajar Pasca Siswazah (iGIMS).
4.3.1 Pengecualian Skop Pensijilan ISMS
Pengecualian kepada skop pensijilan ISMS adalah sistem aplikasi yang tidak disenaraikan
dalam skop, proses pembangunan sistem aplikasi, perkakasan (server dan storan) yang berada
di luar Pusat Data UPM dan laman web PTJ.
Justifikasi pengecualian adalah berdasarkan kepada perkara berikut:
a. Ianya bukan proses sistem utama universiti;
b. Proses pembangunan aplikasi dilaksanakan di luar operasi Pusat Data;
c. Kawalan hanya kepada perkakasan (server dan storan) yang berada di parameter Pusat
Data;
d. Sumber maklumat rasmi Universiti diperolehi dari laman web utama Universiti sahaja; dan
e. Tidak melibatkan data yang kritikal dan tidak menjejaskan sebahagian besar operasi
utama UPM serta ianya merupakan aplikasi sokongan sahaja.
PENGURUSAN PUSAT PEMBANGUNAN MAKLUMAT & KOMUNIKASI
Kod Dokumen : UPM/ISMS/PGR/MP
Halaman: 15/38
No. Semakan: 01
No. Isu: 01
MANUAL SISTEM PENGURUSAN KESELAMATAN MAKLUMAT
Tarikh: 10/11/2014
4.3.2 PROSES PERKHIDMATAN SKOP ISMS UPM
Perkhidmatan operasi Pusat Data yang terlibat dalam skop pensijilan ISMS merangkumi
proses berikut:
a. Pelaksanaan operasi Pusat Data;
b. Penyelenggaraan fasiliti Pusat Data;
c. Pemantauan operasi Pusat Data;
d. Penyenggaraan perkhidmatan operasi server di Pusat Data;
e. Pemantauan capaian sistem di Pusat Data;
f. Kawalan keselamatan di Pusat Data; dan
g. Tindakan kecemasan di Pusat Data.
Dokumen Rujukan:
Prosedur Pengoperasian Pengurusan Pusat Data (UPM/ISMS/OPR/DC/P001)
4.3.3 ASET ICT DALAM SKOP PENSIJILAN ISMS
Aset utama dalam skop pensijilan ISMS UPM adalah seperti di Step 3 - Identification of Assets
di dalam proses penilaian risiko.
Dokumen Rujukan:
Risk Assessment Data Center (UPM/ISMS/OPR/DC/RA)
PENGURUSAN PUSAT PEMBANGUNAN MAKLUMAT & KOMUNIKASI
Kod Dokumen : UPM/ISMS/PGR/MP
Halaman: 16/38
No. Semakan: 01
No. Isu: 01
MANUAL SISTEM PENGURUSAN KESELAMATAN MAKLUMAT
Tarikh: 10/11/2014
4.3.4 LOKASI SKOP PENSIJILAN ISMS UPM
Lokasi skop pelaksanaan pensijilan ISMS UPM adalah seperti butiran berikut:
LOKASI UTAMA
Universiti Putra Malaysia Pejabat Naib Canselor Universiti Putra Malaysia
43400 UPM Serdang, Selangor
LOKASI PERTAMA
Pusat Data Utama (DC)
Pusat Pembangunan Maklumat dan Komunikasi (iDEC-BETA)
Universiti Putra Malaysia
43400 UPM Serdang, Selangor
Tel : 03-8947 1236 Fax : 03-8946 7035
Tanggungjawab Ketua Unit Pusat Data
Pelan Aras Rujuk plan lantai bangunan di Lampiran A
LOKASI KEDUA
Pusat Data Kedua (DRC) Pusat Pembangunan Maklumat dan Komunikasi (iDEC-EPSILON) Blok 2, UPM-MTDC Server Farm Complex 43400 UPM Serdang, Selangor
Tel : 03-8947 1236 Fax : 03-8946 7035
Tanggungjawab Ketua Unit Pusat Data
Pelan Aras Rujuk plan lantai bangunan di Lampiran B
Rajah 3: Lokasi Pelaksanaan Pensijilan ISMS UPM
PENGURUSAN PUSAT PEMBANGUNAN MAKLUMAT & KOMUNIKASI
Kod Dokumen : UPM/ISMS/PGR/MP
Halaman: 17/38
No. Semakan: 01
No. Isu: 01
MANUAL SISTEM PENGURUSAN KESELAMATAN MAKLUMAT
Tarikh: 10/11/2014
PERKARA 5: KEPEMIMPINAN (Klausa 5)
5.1 KEPIMPINAN DAN KOMITMEN
Pengurusan Universiti Putra Malaysia (UPM) memberi komitmen dengan mewujud,
melaksana, memantau, menyemak, menyelenggara dan menambah baik ISMS dengan
melaksanakan perkara berikut:
a. Memastikan objektif keselamatan maklumat dan Dasar ISMS diwujudkan selaras
dengan Pelan Strategik Universiti;
b. Menerapkan keperluan ISMS dalam proses perkhidmatan UPM;
c. Menyediakan keperluan sumber untuk mematuhi ISMS;
d. Memberi kesedaran berhubung dengan objektif keselamatan maklumat selaras
dengan peraturan semasa dan menetapkan penjagaan keselamatan adalah suatu
proses yang berterusan;
e. Memastikan ISMS mencapai hasil yang telah ditetapkan;
f. Menambah baik keberkesanan ISMS; dan
g. Memperakui peranan dan tanggungjawab dalam keselamatan maklumat.
5.2 DASAR ISMS
5.2.1 Pernyataan Dasar ISMS
Universiti Putra Malaysia beriltizam mengadakan sistem pengurusan keselamatan maklumat
yang berkesan melalui:
a. Pematuhan kepada kehendak organisasi dan perundangan serta peraturan yang
berkaitan;
b. Pembangunan objektif dan matlamat berdasarkan objektif keselamatan;
c. Komitmen bagi memenuhi keperluan berkaitan keselamatan maklumat; dan
PENGURUSAN PUSAT PEMBANGUNAN MAKLUMAT & KOMUNIKASI
Kod Dokumen : UPM/ISMS/PGR/MP
Halaman: 18/38
No. Semakan: 01
No. Isu: 01
MANUAL SISTEM PENGURUSAN KESELAMATAN MAKLUMAT
Tarikh: 10/11/2014
d. Penilaian semula dan pengubahsuaian dasar, objektif dan sasaran untuk
penambahbaikan berterusan.
5.2.2 Objektif Keselamatan Maklumat
Pihak Pengurusan UPM telah menetapkan Objektif Keselamatan Maklumat yang bersesuaian
dengan fungsi yang terlibat bagi memastikan semua data dan maklumat di UPM adalah
selamat. Untuk memastikan ISMS dilaksanakan dengan berkesan, Objektif Keselamatan
Maklumat yang telah dikenalpasti adalah seperti berikut:
a. Memastikan penilaian risiko dan pelan pemulihan risiko dilaksanakan apabila berlaku
perubahan kepada dasar ISMS atau inventori yang termaktub dalam skop;
b. Menjalankan ujian kesinambungan perkhidmatan ICT sekurang-kurangnya 1 kali
setahun;
c. Memastikan 80% staf telah diberi taklimat kesedaran mengenai ISMS dalam tempoh 5
tahun;
d. Memastikan insiden ICT tidak melebihi 10 kali pada setiap tahun;
e. Memastikan gangguan kepada ketersediaan rangkaian (internet dan intranet) tidak
melebihi 10% setiap tahun;
f. Memastikan gangguan bekalan kuasa di Pusat Data dipulihkan dalam tempoh 24 jam;
dan
g. Memastikan 100% data dipulihkan dalam tempoh 48 jam selepas insiden.
PENGURUSAN PUSAT PEMBANGUNAN MAKLUMAT & KOMUNIKASI
Kod Dokumen : UPM/ISMS/PGR/MP
Halaman: 19/38
No. Semakan: 01
No. Isu: 01
MANUAL SISTEM PENGURUSAN KESELAMATAN MAKLUMAT
Tarikh: 10/11/2014
5.2.3 Pematuhan kepada Perundangan
Pihak Pengurusan UPM telah menetapkan pemakaian Kaedah-Kaedah Universiti Putra
Malaysia (Teknologi Maklumat dan Komunikasi) dan disokong oleh Garis Panduan
Keselamatan Teknologi Maklumat dan Komunikasi (GPKTMK) sebagai peraturan keselamatan
ICT di UPM.
5.2.4 Penambahbaikan Berterusan Terhadap Keselamatan Maklumat
Pihak Pengurusan ISMS perlu membuat penambahbaikan berterusan terhadap keselamatan
maklumat bagi meningkatkan keberkesanan ISMS melalui:
a. Penemuan audit;
b. Analisis pencapaian Objektif Keselamatan Maklumat;
c. Tindakan pembetulan; dan
d. Kajian semula pelaksanaan ISMS.
PENGURUSAN PUSAT PEMBANGUNAN MAKLUMAT & KOMUNIKASI
Kod Dokumen : UPM/ISMS/PGR/MP
Halaman: 20/38
No. Semakan: 01
No. Isu: 01
MANUAL SISTEM PENGURUSAN KESELAMATAN MAKLUMAT
Tarikh: 10/11/2014
5.3 PERANAN DAN TANGGUNGJAWAB
5.3.1 Struktur Organisasi ISMS
Rajah 4: Struktur Organisasi ISMS UPM
5.3.2 Peranan dan Tanggungjawab Organisasi ISMS UPM
PERANAN TANGGUNGJAWAB
MESYUARAT KAJIAN SEMULA PENGURUSAN (MKSP)
1. Melaksanakan semakan pengurusan ke atas sistem pengurusan ISMS secara berkala bagi memastikan terus sesuai, mencukupi, dan berkesan;
2. Membuat penilaian ke atas peluang penambahbaikan dan keperluan perubahan kepada ISMS termasuk objektif keselamatan dan polisi keselamatan maklumat; dan
3. Meneliti laporan yang berkaitan dan membuat keputusan yang sesuai.
JAWATANKUASA JAMINAN KUALITI ISMS UPM
JAWATANKUASA KERJA PELAKSANA
ISMS
JAWATANKUSA KERJA PENYELARAS ISMS
JAWATANKUASA ISMS SEKTOR
PERKHIDMATAN KERAJAAN
PASUKAN RISK ASSESSMENT ISMS
PASUKAN AUDIT
DALAMAN ISMS
BAHAGIAN PENGURUSAN
KUALITI
JAWATANKUASA PENGURUSAN ISMS
PENGURUSAN PUSAT PEMBANGUNAN MAKLUMAT & KOMUNIKASI
Kod Dokumen : UPM/ISMS/PGR/MP
Halaman: 21/38
No. Semakan: 01
No. Isu: 01
MANUAL SISTEM PENGURUSAN KESELAMATAN MAKLUMAT
Tarikh: 10/11/2014
PERANAN TANGGUNGJAWAB
JAWATANKUASA JAMINAN KUALITI ISMS UPM
1. Memastikan kesesuaian, kecukupan dan keberkesanan pelaksanaan
ISMS secara berkala; 2. Membuat penilaian ke atas peluang penambahbaikan dan keperluan
perubahan kepada pengukuran keberkesanan; 3. Meluluskan sebarang cadangan pindaan dokumen skop pengurusan;
dan 4. Mengambil maklum keberkesanan pelaksanaan ISMS di peringkat
pentadbir proses.
BAHAGIAN PENGURUSAN KUALITI (BPQ)
1. Menyelaras Hubungan Badan Pensijilan SIRIM
JAWATANKUASA PENGURUSAN ISMS UPM
1. Memantau pelaksanaan ISMS; 2. Memantau pencapaian objektif keselamatan; 3. Melaksana penambahbaikan terhadap dokumentasi, proses dan
perkhidmatan skop Sokongan dan operasi ISMS; 4. Menyediakan laporan keberkesanan pelaksanaan ISMS; 5. Membangunkan kriteria penerimaan risiko, tahap risiko dan pelan
pemulihan risiko; dan 6. Melaksanakan keputusan dan tindakan hasil Mesyuarat Kajian Semula
Pengurusan ISMS.
JAWATANKUASA KERJA PELAKSANA ISMS
1. Menyediakan analisis jurang, Statement of Applicability (SoA), penilaian
risiko, pelan pemulihan risiko dan prosedur-prosedur; 2. Melaksanakan pelan pemulihan risiko; dan 3. Membangun dan mengukur keberkesanan kawalan ISMS.
PENGURUSAN PUSAT PEMBANGUNAN MAKLUMAT & KOMUNIKASI
Kod Dokumen : UPM/ISMS/PGR/MP
Halaman: 22/38
No. Semakan: 01
No. Isu: 01
MANUAL SISTEM PENGURUSAN KESELAMATAN MAKLUMAT
Tarikh: 10/11/2014
PERANAN TANGGUNGJAWAB
JAWATANKUASA KERJA PENYELARAS ISMS (URUS SETIA)
1. Merancang latihan berkaitan ISMS; 2. Urus setia kepada pelaksanaan Jawatankuasa ISMS; dan 3. Memantau tindakan susulan ke atas tindakan pembetulan dan peluang
penambahbaikan ISMS serta menyelenggara rekod berkaitan.
PASUKAN AUDIT DALAMAN ISMS
1. Melaksana Audit Dalaman ISMS berdasarkan keperluan standard. 2. Menyediakan Laporan Audit Dalaman ISMS; 3. Melaporkan penemuan Audit Dalaman ISMS ke Jawatankuasa Jaminan
Kualiti (JKJK) ISMS dan Jawatankuasa MKSP ISMS; dan 4. Menjalankan audit susulan bagi mengesahkan tindakan pembetulan
yang dilaksanakan.
PASUKAN PENILAIAN RISIKO
1. Mengurus dan melaksanakan aktiviti penilaian berisiko; 2. Mengendalikan semakan semula ouput dan dokumen sebelum
disampaikan kepada Penasihat Projek; 3. Menilai keputusan, menilai jurang dan menyediakan laporan High Level
Recommendation (HLR) dan Pelan Pemulihan Risiko.
Jadual 2: Peranan dan tanggungjawab Organisasi ISMS UPM
PENGURUSAN PUSAT PEMBANGUNAN MAKLUMAT & KOMUNIKASI
Kod Dokumen : UPM/ISMS/PGR/MP
Halaman: 23/38
No. Semakan: 01
No. Isu: 01
MANUAL SISTEM PENGURUSAN KESELAMATAN MAKLUMAT
Tarikh: 10/11/2014
PERKARA 6: PERANCANGAN (Klausa 6)
6.1 TINDAKAN UNTUK MENANGANI RISIKO DAN PELUANG
6.1.1 Am
Garis Panduan Penilaian Risiko Aset disediakan untuk menilai tahap risiko aset ICT supaya
pendekatan dan keputusan yang paling berkesan dikenal pasti bagi menyediakan
perlindungan dan kawalan ke atas aset ICT UPM.
6.1.2 Penilaian Risiko
Penilaian risiko aset ICT dilaksanakan berasaskan Metodologi Penilaian Risiko Terperinci
MyRAM (Malaysian Public Sector ICT Risk Assessment Methodology) berpandukan kepada
Surat Pekeliling Am Bilangan 6 Tahun 2005: Garis Panduan Penilaian Risiko Keselamatan
Maklumat Sektor Awam.
6.1.3 Pemulihan Risiko
Perkara yang perlu dikenalpasti dan dilaksanakan semasa proses pemulihan risiko adalah
seperti berikut:
a. Membuat pilihan cadangan pemulihan risiko (menerima, mengurangkan, memindahkan,
atau mengelakkan);
b. Mengenal pasti kawalan yang bersesuaian terhadap cadangan pemulihan risiko yang telah
dipilih;
c. Melaksanakan perbandingan antara kawalan yang dipilih dengan Annex A;
d. Mewujudkan Statement of Applicability (SoA) yang mengandungi kawalan bersesuaian;
e. Menyediakan Pelan Pemulihan Risiko; dan
PENGURUSAN PUSAT PEMBANGUNAN MAKLUMAT & KOMUNIKASI
Kod Dokumen : UPM/ISMS/PGR/MP
Halaman: 24/38
No. Semakan: 01
No. Isu: 01
MANUAL SISTEM PENGURUSAN KESELAMATAN MAKLUMAT
Tarikh: 10/11/2014
f. Mendapatkan kelulusan Pentadbir Proses dan Pentadbir Sistem serta penerimaan ke atas
risiko yang telah dipilih.
Statement of Applicability, SoA menjelaskan justifikasi kawalan dan dokumen rujukan dalam
melindungi keselamatan aset ICT dalam skop ISMS. Pemilihan kawalan dalam SoA adalah hasil
Pemulihan Risiko dan peraturan-peraturan perlindungan aset ICT dalam Kaedah-Kaedah UPM
(Teknologi Maklumat dan Komunikasi) dan Garis Panduan Keselamatan Teknologi Maklumat
Komunikasi (GPKTMK).
Dokumen Rujukan:
Garis Panduan Penilaian Risiko Aset (UPM/ISMS/SOK/GP02/RISK ASSESSMENT)
PENGURUSAN PUSAT PEMBANGUNAN MAKLUMAT & KOMUNIKASI
Kod Dokumen : UPM/ISMS/PGR/MP
Halaman: 25/38
No. Semakan: 01
No. Isu: 01
MANUAL SISTEM PENGURUSAN KESELAMATAN MAKLUMAT
Tarikh: 10/11/2014
6.2 PELAN PERANCANGAN PENCAPAIAN OBJEKTIF KESELAMATAN MAKLUMAT
Pihak pengurusan telah membangunkan Objektif Keselamatan Maklumat yang bersesuaian
dengan fungsi yang terlibat. Objektif Keselamatan Maklumat yang telah diwujudkan adalah
bersandarkan kepada Petunjuk Prestasi ICT atau ICT Key Performance Indicators (KPI) yang
telah ditetapkan adalah seperti berikut:
BIL. OBJEKTIF KESELAMATAN SUMBER TANGGUNG
JAWAB RUJUKAN
1. Memastikan penilaian risiko dan pelan pemulihan risiko dilaksanakan apabila berlaku perubahan kepada polisi ISMS atau inventori yang termaktub dalam skop
Laporan Penilaian Risiko dan Pelan Pemulihan Risiko
JK ISMS Carta perbatuan pelaksanaan ISMS
2. Menjalankan ujian kesinambungan perkhidmatan ICT sekurang-kurangnya 1 kali setahun
Laporan ujian kesinambungan perkhidmatan
Pengarah IDEC
Pelan Pemulihan Bencana ICT (DRP ICT)
3. Memastikan 80% staf telah diberi taklimat kesedaran mengenai ISMS dalam tempoh 5 tahun
Senarai kehadiran taklimat
JK Kerja Penyelaras ISMS
Carta perbatuan pelaksanaan ISMS
4. Memastikan insiden ICT tidak melebihi 10 kali pada setiap tahun
KPI ICT Pengarah IDEC
Log Imbasan dan insiden UKICT
5. Memastikan gangguan kepada ketersediaan rangkaian (internet dan intranet) tidak melebihi 10% setiap tahun
KPI ICT Pengarah IDEC
Pelan perancangan pemantauan rangkaian
6. Memastikan gangguan sumber bekalan kuasa utama di Pusat Data dipulihkan dalam tempoh 24 jam
KPI PPPA Pengarah PPPA
Pelan Tindakan Peringkat Fungsian dan Aras UPM
7. Memastikan 100% data dipulihkan dalam tempoh 48 jam selepas insiden
KPI ICT Pengarah IDEC
Pelan Pemulihan Bencana ICT (DRP ICT)
Jadual 3: Pelan Perancangan Pencapaian Objektif Keselamatan Maklumat
PENGURUSAN PUSAT PEMBANGUNAN MAKLUMAT & KOMUNIKASI
Kod Dokumen : UPM/ISMS/PGR/MP
Halaman: 26/38
No. Semakan: 01
No. Isu: 01
MANUAL SISTEM PENGURUSAN KESELAMATAN MAKLUMAT
Tarikh: 10/11/2014
PERKARA 7: SOKONGAN (Klausa 7)
7.1 AM
Pihak Pengurusan UPM telah menentukan dan menyediakan sumber yang diperlukan bagi
penubuhan, pelaksanaan, penyelenggaraan dan penambahbaikan berterusan bagi Sistem
Pengurusan Keselamatan Maklumat.
7.2 KOMPETENSI
Pihak Pengurusan UPM memastikan setiap staf yang bertanggungjawab ke atas pematuhan ISMS
mempunyai kompetensi yang sewajarnya dengan melaksanakan perkara berikut:
a. Menentukan tahap kompetensi setiap staf yang menjalankan tugas keselamatan
maklumat;
b. Memberi latihan atau mengambil langkah-langkah lain untuk memenuhi tahap
kompetensi yang diperlukan;
c. Menilai keberkesanan tindakan yang diambil; dan
d. Menyelenggara rekod latihan yang berkaitan.
7.3 KESEDARAN
UPM menyediakan program kesedaran keselamatan maklumat bagi menjalankan tugas untuk
mencapai objektif ISMS.
Dokumen Rujukan:
Prosedur Latihan Staf UPM (UPM/SOK/LAT/P001)
PENGURUSAN PUSAT PEMBANGUNAN MAKLUMAT & KOMUNIKASI
Kod Dokumen : UPM/ISMS/PGR/MP
Halaman: 27/38
No. Semakan: 01
No. Isu: 01
MANUAL SISTEM PENGURUSAN KESELAMATAN MAKLUMAT
Tarikh: 10/11/2014
7.4 KOMUNIKASI
Pihak pengurusan UPM telah mewujudkan komunikasi yang berkesan secara dalaman dan
luaran berhubung keselamatan maklumat untuk:
a. Menunjukkan komitmen pengurusan keselamatan maklumat;
b. Berbincang dengan penuh tanggungjawab mengenai aspek keselamatan maklumat dan
kesan terhadap UPM;
c. Meningkatkan kesedaran mengenai polisi keselamatan maklumat dan objektif
keselamatan; dan
d. Memaklumkan tentang pelaksanaan ISMS, pemantauan ISMS, audit dan kajian semula
pengurusan kepada staf berkaitan yang bertanggungjawab dalam proses keselamatan
maklumat Universiti.
BIL. PIHAK
BERKAITAN MEDIUM
KOMUNIKASI BILA
DIPERLUKAN TANGGUNGAWAB PROSES TERLIBAT
1. Pelajar 1. u-respon 2. email
rasmi 3. laman
web PTJ
Sesi pendaftaran pelajar
1. Ketua Pusat Tanggungjawab Bahagian Akademik dan Antarabangsa (BA)
2. Ketua Pusat Tanggungjawab Sekolah Pengajian Siswazah (SPS)
3. Ketua Pusat Tanggungjawab Pejabat Bursar (PB)
4. Ketua Pusat Tanggungjawab Pejabat Perancangan Strategik dan Korporat (PPSK)
1. Maklumat Pelajar 2. Maklumat Kewangan
Pelajar 3. Maklumat profil
Universiti
2. Staf 1. Email rasmi
2. Mesyuarat 3. Surat 4. buletin
Berterusan secara berkala melalui taklimat
1. Ketua Pusat Tanggungjawab BA
2. Ketua Pusat Tanggungjawab PB
1. Maklumat Pelajar 2. Maklumat Kewangan
Staf 3. Maklumat profil
Universiti
PENGURUSAN PUSAT PEMBANGUNAN MAKLUMAT & KOMUNIKASI
Kod Dokumen : UPM/ISMS/PGR/MP
Halaman: 28/38
No. Semakan: 01
No. Isu: 01
MANUAL SISTEM PENGURUSAN KESELAMATAN MAKLUMAT
Tarikh: 10/11/2014
BIL. PIHAK
BERKAITAN MEDIUM
KOMUNIKASI BILA
DIPERLUKAN TANGGUNGAWAB PROSES TERLIBAT
3. Ketua Pusat Tanggungjawab PPSK
4. Maklumat penyelidikan
3. Kementerian Pendidikan Malaysia (KPM)
1. Surat 2. Emel
rasmi 3. Mesyuarat
Mesyuarat penyelarasan ISMS bagi IPTA
1. Ketua Pusat Tanggungjawab BA
2. Ketua Pusat Tanggungjawab PB
3. Ketua Pusat Tanggungjawab PPSK
1. Maklumat Pelajar 2. Maklumat Kewangan
Staf 3. Maklumat profil
Universiti
4. Jabatan Perkhidmatan Awam
1. Surat 2. Emel
rasmi 3. Mesyuarat
1. Ketua Pusat Tanggungjawab BA
2. Ketua Pusat Tanggungjawab PB
3. Ketua Pusat Tanggungjawab PPSK
1. Maklumat Staf 2. Maklumat Kewangan
Staf 3. Maklumat profil
Universiti
5. Pembekal 1. Urespon 2. Web 3. Papan
kenyataan 4. Job sheet
Taklimat 1. Ketua Pusat Tanggungjawab BA
2. Ketua Pusat Tanggungjawab PB
3. Ketua Pusat Tanggungjawab PPSK
1. Maklumat Staf/Pelajar
2. Maklumat Kewangan Staf
3. Maklumat profil Universiti
6. Ibu bapa 1. Surat
Surat tawaran
1. Ketua Pusat Tanggungjawab BA
2. Ketua Pusat Tanggungjawab PPSK
1. Maklumat Pelajar 2. Maklumat profil
Universiti
7. Awam 1. Laman web
Sepanjang masa
1. Ketua Pusat Tanggungjawab PPSK
Maklumat profil Universiti
Jadual 4: Kaedah Komunikasi Secara Dalaman dan Luaran
7.5 KEPERLUAN DOKUMENTASI
7.5.1 Am
UPM telah mengurus dan menyelenggara semua keperluan dokumentasi ISMS bagi
memastikan semua dokumen dapat dikesan dan dicapai apabila diperlukan.
PENGURUSAN PUSAT PEMBANGUNAN MAKLUMAT & KOMUNIKASI
Kod Dokumen : UPM/ISMS/PGR/MP
Halaman: 29/38
No. Semakan: 01
No. Isu: 01
MANUAL SISTEM PENGURUSAN KESELAMATAN MAKLUMAT
Tarikh: 10/11/2014
7.5.2 Mewujud dan Mengemaskini Dokumen
Melibatkan beberapa perkara penting seperti berikut:
a. Pengenalan dan penerangan yang melibatkan tajuk, tarikh kuatkuasa, tarikh kemaskini
dan sejarah semakan dokumen;
b. Format dan media yang digunakan samada secara elektronik atau cetakan bertulis; dan
c. Semakan dan pengesahan ke atas setiap dokumen baru atau pindaan.
7.5.3 Kawalan Dokumen
Mengurus, mengawal dan melindungi semua dokumen ISMS. Dokumen ISMS yang dinyatakan
dalam Senarai Utama Dokumen Terkawal selaras dengan Prosedur Kawalan Dokumen ISMS.
Kawalan rekod dilaksanakan berdasarkan tindakan berikut:
a. Rekod ISMS (rekod fizikal dan elektronik) dan tempoh penyimpanannya dikenal pasti
dalam setiap prosedur ISMS;
b. Tatacara bagi mengurus, mengawal, mengenalpasti, menyimpan, mendapatkan semula
dan melupuskan rekod fizikal dan elektronik didokumenkan; dan
c. Pelupusan rekod ISMS fizikal dibuat mengikut Prosedur Kawalan Rekod ISMS.
Dokumen Rujukan:
Prosedur Kawalan Dokumen (UPM/ISMS/PGR/P001)
Prosedur Kawalan Rekod (UPM/ISMS/PGR/P002)
PENGURUSAN PUSAT PEMBANGUNAN MAKLUMAT & KOMUNIKASI
Kod Dokumen : UPM/ISMS/PGR/MP
Halaman: 30/38
No. Semakan: 01
No. Isu: 01
MANUAL SISTEM PENGURUSAN KESELAMATAN MAKLUMAT
Tarikh: 10/11/2014
PERKARA 8: OPERASI (Klausa 8)
8.1 PERANCANGAN DAN KAWALAN OPERASI PUSAT DATA
Pihak Pengurusan UPM telah merancang, melaksana dan mengawal proses yang diperlukan
untuk memenuhi keperluan keselamatan maklumat dan melaksanakan tindakan yang
ditentukan pada Klausa 6.1: Tindakan untuk Menangani Risiko dan Peluang. UPM juga telah
melaksanakan rancangan untuk mencapai objektif keselamatan maklumat seperti yang telah
ditentukan pada Klausa 6.2: Objektif Keselamatan Maklumat dan Pelan Perancangan.
Dokumen Rujukan:
Prosedur Pengoperasian Pengurusan Pusat Data (UPM/ISMS/OPR/DC/P001)
Prosedur Pemantauan Operasi Pusat Data (UPM/ISMS/OPR/DC/P002)
Prosedur Kawalan dan Pemantauan Capaian ke Sistem di Pusat Data
(UPM/ISMS/OPR/DC/P003)
8.2 PENILAIAN RISIKO
Penilaian risiko dilaksanakan sekurang-kurangnya sekali dalam setahun berdasarkan
ancaman, kelemahan (vulnerability) dan impak yang diakibatkan oleh perkara berikut:
a. Perubahan dasar yang boleh memberi kesan kepada keputusan penguraian risiko atau
penilaian aset;
b. Perubahan kepada teknologi dan proses perkhidmatan;
c. Pembangunan dan penaiktarafan sistem/aplikasi baru;
d. Perubahan struktur organisasi (visi/misi/objektif);
e. Pelaksanaan kawalan baru selaras dengan strategi perlindungan dalam Pelan Penilaian
Risiko; dan
f. Insiden keselamatan maklumat.
PENGURUSAN PUSAT PEMBANGUNAN MAKLUMAT & KOMUNIKASI
Kod Dokumen : UPM/ISMS/PGR/MP
Halaman: 31/38
No. Semakan: 01
No. Isu: 01
MANUAL SISTEM PENGURUSAN KESELAMATAN MAKLUMAT
Tarikh: 10/11/2014
Dokumen Rujukan:
Garis Panduan Penilaian Risiko Aset (UPM/ISMS/SOK/GP02/RISK ASSESSMENT)
8.3 PEMULIHAN RISIKO
Pemulihan risiko mengandungi pemilihan kawalan yang diluluskan oleh Pihak Pengurusan
UPM berdasarkan keputusan penilaian risiko.
Pasukan Penilaian Risiko akan mencadangkan kepada Pihak Pengurusan UPM sama ada untuk
mengurangkan, memindahkan, menerima, atau mengelakkan tahap risiko ancaman tertentu
yang wujud di dalam aset tertentu. Penerangan bagi setiap pilihan keputusan adalah seperti
berikut:
CADANGAN KETERANGAN
MENGURANGKAN
Keputusan ini ditentukan jika implikasi terhadap risiko adalah kritikal samada HIGH atau MEDIUM. Pengurangan risiko dapat dilaksanakan melalui penambahbaikan dari segi operasi, prosedur, fizikal, individu atau teknikal.
MEMINDAHKAN
Keputusan ini ditentukan jika implikasi terhadap risiko tersebut boleh dipindahkan dengan mewujudkan perjanjian perkhidmatan (SLA) antara kedua pihak.
MENERIMA Keputusan ini ditentukan jika implikasi terhadap risiko adalah LOW.
MENGELAKKAN
Keputusan ini ditentukan kerana tiada kawalan yang dapat ditentukan samada untuk mengurangkan atau memindahkan risiko kepada pihak ketiga.
Jadual 5: Pilihan Cadangan Kawalan Keputusan Penilaian Risiko
Dokumen Rujukan:
Garis Panduan Penilaian Risiko Aset (UPM/ISMS/SOK/GP02/RISK ASSESSMENT)
PENGURUSAN PUSAT PEMBANGUNAN MAKLUMAT & KOMUNIKASI
Kod Dokumen : UPM/ISMS/PGR/MP
Halaman: 32/38
No. Semakan: 01
No. Isu: 01
MANUAL SISTEM PENGURUSAN KESELAMATAN MAKLUMAT
Tarikh: 10/11/2014
PERKARA 9: PENILAIAN PRESTASI (Klausa 9)
9.1 PEMANTAUAN, PENGUKURAN, ANALISIS DAN PENILAIAN
Penilaian prestasi dan keberkesanan ISMS perlu dilaksana dan ditentukan dengan
menitikberatkan perkara berikut:
a. Perkara yang perlu dipantau dan diukur, termasuk proses dan kawalan ke atas
keselamatan maklumat melibatkan:
i. Petunjuk prestasi
ii. Pengukuran keberkesanan
b. Kaedah untuk pemantauan, pengukuran, analisis dan penilaian yang berkenaan untuk
memastikan hasil yang sah dan tepat;
c. Masa pelaksanaan pemantauan dan pengukuran;
d. Staf yang terlibat dalam pemantauan dan pengukuran;
e. Proses analisis dan penilaian terhadap keputusan pemantauan dan pengukuran; dan
f. Staf yang telibat dalam membuat analisis dan penilaian terhadap keputusan
pemantauan dan pengukuran.
Dokumen Rujukan:
Garis Panduan Pengukuran Keberkesanan Kawalan ISMS
(UPM/ISMS/OPR/DC/GP07/SECURITY METRICS)
9.2 AUDIT DALAMAN
UPM menjalankan Audit Dalaman ISMS pada jangka masa yang dirancang bagi memastikan
ISMS:
PENGURUSAN PUSAT PEMBANGUNAN MAKLUMAT & KOMUNIKASI
Kod Dokumen : UPM/ISMS/PGR/MP
Halaman: 33/38
No. Semakan: 01
No. Isu: 01
MANUAL SISTEM PENGURUSAN KESELAMATAN MAKLUMAT
Tarikh: 10/11/2014
a. Akur kepada keperluan ISO/IEC 27001:2013 dan perundangan;
b. Akur kepada keperluan keselamatan maklumat;
c. Dilaksana seperti yang dirancang dan diselenggara dengan berkesan;
d. Menetapkan kriteria audit dan skop pengauditan;
e. Membuat pemilihan juruaudit;
f. Memastikan hasil audit dilaporkan ke pihak pengurusan; dan
g. Menyediakan bukti sepanjang program audit dan hasil pengauditan.
Pelan Audit Dalaman disediakan dengan mengambil kira tahap kepentingan proses dalam skop
yang diaudit serta laporan audit terdahulu. Kriteria, skop, kekerapan dan kaedah audit
akan ditetapkan.
Pemilihan Juruaudit Dalaman adalah berpandukan kepada pengetahuan dalam bidang
teknologi maklumat, keselamatan maklumat, skop perkhidmatan dan ISO/IEC 27001:2013.
Juruaudit tidak dibenarkan mengaudit kerja atau tugasan sendiri.
Tanggungjawab dan keperluan untuk merancang, melaksana, melapor keputusan audit
dan mengurus rekod dengan merujuk kepada Prosedur Kawalan Rekod ISMS dan Prosedur
Audit Dalaman ISMS.
Pihak yang diaudit perlu mengambil tindakan yang bersesuaian dengan segera untuk
melaksanakan tindakan penambahbaikan/pembetulan/pencegahan ke atas ketakakuran
yang dikenalpasti. Tindakan susulan perlu ditentusahkan.
PENGURUSAN PUSAT PEMBANGUNAN MAKLUMAT & KOMUNIKASI
Kod Dokumen : UPM/ISMS/PGR/MP
Halaman: 34/38
No. Semakan: 01
No. Isu: 01
MANUAL SISTEM PENGURUSAN KESELAMATAN MAKLUMAT
Tarikh: 10/11/2014
Dokumen Rujukan:
Prosedur Audit Dalaman ISMS (UPM/ISMS/PGR/P003)
9.3 KAJIAN SEMULA PENGURUSAN
Mesyuarat Kajian Semula Pengurusan ke atas ISMS dijalankan sekurang-kurangnya sekali
setahun. untuk memastikan kesesuaian, kecukupan dan keberkesanan pelaksanaan ISMS.
Perkara yang dibincangkan dalam mesyuarat adalah seperti berikut:
a. Tindakan susulan hasil kajian semula pengurusan yang terdahulu;
b. Perubahan kepada isu dalaman dan luaran yang melibatkan sistem pengurusan
keselamatan maklumat;
c. Status ketidakpatuhan dan tindakan pembetulan;
d. Pemantauan dan pengukuran keberkesanan;
e. Penemuan audit;
f. Pencapaian objektif keselamatan maklumat;
g. Maklum balas pihak berkaitan;
h. Hasil penilaian risiko dan status pelan pemulihan risiko; dan
i. Peluang penambahbaikan.
Keputusan mesyuarat direkodkan dan Jawatankuasa Pengurusan ISMS bertanggungjawab
memastikan tindakan susulan diambil. Semua rekod yang berkaitan hendaklah
diselenggara dengan sempurna.
PENGURUSAN PUSAT PEMBANGUNAN MAKLUMAT & KOMUNIKASI
Kod Dokumen : UPM/ISMS/PGR/MP
Halaman: 35/38
No. Semakan: 01
No. Isu: 01
MANUAL SISTEM PENGURUSAN KESELAMATAN MAKLUMAT
Tarikh: 10/11/2014
PERKARA 10: PENAMBAHBAIKAN (Klausa 10)
10.1 KETAKAKURAN DAN TINDAKAN PEMBETULAN
UPM perlu mengambil tindakan yang berkesan untuk membetulkan punca ketakakuran
daripada terus berlaku.
a. Mengambil tindakan ke atas ketakakuran:
i. Mengenalpasti tindakan yang perlu diambil untuk mengawal dan memastikan
ketakakuran tidak berulang;
ii. Menangani kesan daripada ketakakuran yang berlaku;
b. Menilai keperluan tindakan pembetulan untuk menghapus punca ketakakuran supaya ia
tidak berulang atau berlaku di tempat lain dengan melaksanakan perkara berikut:
i. Mengkaji semula ketakakuran yang berlaku;
ii. Menentukan punca ketakakuran;
iii. Menentukan sama ada ketakakuran yang sama wujud atau berpotensi akan berlaku;
c. Melaksanakan tindakan pembetulan yang diperlukan dalam masa yang ditetapkan;
d. Mengkaji keberkesanan terhadap tindakan pembetulan yang telah diambil; dan
e. Melaksanakan perubahan kepada ISMS, jika diperlukan.
Tindakan pembetulan hendaklah bersesuaian dengan kesan ketakakuran yang ditemui. UPM
perlu menyediakan dokumentasi berikut sebagai bukti:
a. Ketakakuran dan sebarang tindakan yang diambil dan dilaksanakan.
b. Keputusan terhadap sebarang hasil tindakan pembetulan.
PENGURUSAN PUSAT PEMBANGUNAN MAKLUMAT & KOMUNIKASI
Kod Dokumen : UPM/ISMS/PGR/MP
Halaman: 36/38
No. Semakan: 01
No. Isu: 01
MANUAL SISTEM PENGURUSAN KESELAMATAN MAKLUMAT
Tarikh: 10/11/2014
Dokumen Rujukan:
Prosedur Tindakan Pembetulan (UPM/ISMS/PGR/P004)
10.2 PENAMBAHBAIKAN BERTERUSAN
UPM perlu membuat penambahbaikan berterusan bagi meningkatkan keberkesanan
pelaksanaan ISMS melalui:
a. Pematuhan Kaedah-Kaedah Universiti Putra Malaysia (Teknologi Maklumat dan