TARIKH : 6 JUN 2017 (SELASA) MASA : 9.30 PAGI TEMPAT : BILIK MESYUARAT BUNGA TANJUNG MESYUARAT KAJIAN SEMULA PENGURUSAN (MKSP) ISO/IEC 27001:2013 (ISMS) SISTEM PENGURUSAN KESELAMATAN BAGI MAKLUMAT ELEKTRONIK CUKAI TAKSIRAN MAJLIS BANDARAYA PETALING JAYA LAMPIRAN A CERTIFIED TO ISO/IEC 27001:2013 CERT NO: AR 6424 Surveilance Audit ISMS
88
Embed
TARIKH : 6 JUN 2017 (SELASA) MASA : 9.30 PAGI TEMPAT ...mykms.mbpj.gov.my/attachments/article/448/LAMPIRAN A _ SLIDE …5.Laporan Penemuan Audit ISMS 1. AUDIT SIRIM (LAMPIRAN I) 2.
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
T A R I K H : 6 J U N 2 0 1 7 ( S E L A S A )
M A S A : 9 . 3 0 P A G I
T E M P A T : B I L I K M E S Y U A R A T B U N G A T A N J U N G
MESYUARAT KAJIAN SEMULA PENGURUSAN (MKSP) ISO/IEC 27001:2013 (ISMS)
SISTEM PENGURUSAN KESELAMATAN BAGI MAKLUMAT ELEKTRONIK CUKAI TAKSIRAN
MAJLIS BANDARAYA PETALING JAYA
LAMPIRAN A
CERTIFIED TO
ISO/IEC 27001:2013
CERT NO: AR 6424
Surveilance Audit ISMS
AGENDA MKSP ISO/IEC 27001:2013 (ISMS)
Agenda Mesyuarat Kajian Semula Pengurusan (MKSP) merangkumi:
1. Ucapan Pengerusi
2. Mengesahkan Minit Mesyuarat
3. Tindakan susulan daripada Kajian Semula Pengurusan yang lepas.
4. Perubahan Isu dalaman dan luaran pelaksanaan ISMS
SKOP ISMS Skop pensijilan ISMS MBPJ memfokuskan kepada keselamatan aset majlis serta
maklumat yang melibatkan hasil utama Majlis dan memberikan impak tinggi
kepada organisasi.
Skop pensijilan ISMS MBPJ adalah seperti berikut:
“Sistem Pengurusan Keselamatan Bagi Maklumat Elektronik Cukai
Taksiran Majlis Bandaraya Petaling Jaya”
Skop ini telah diluluskan oleh Jawatankuasa Kemasyarakatan,
Perkhidmatan, Korporat dan Teknologi Maklumat bertarikh 14 Nov 2014,
BIL 9/ 2014.
Skop yang terlibat adalah Pusat Data MBPJ, Sistem Cukai Taksiran,
Sistem Penilaian yang memberi maklumat kepada Sistem Cukai Taksiran
dan Sistem Kutipan yang menerima maklumat bil dan mengemaskini
bayaran ke dalam Sistem Cukai Taksiran dan Sistem Pengurusan Latihan
bagi mengenalpasti keperluan dan keberkesanan latihan.
Lampiran A
SKOP ISMS
Jabatan utama dan sokongan yang terlibat adalah seperti berikut:
Jabatan Utama o Unit Teknologi Maklumat
o Jabatan Penilaian Dan Pengurusan Harta.
o Jabatan Perbendaharaan
Jabatan Sokongan o Bahagian Sumber Manusia
o Jabatan Kejuruteraaan
o Unit Undang-Undang
o Jabatan Penguatkuasaan dan Keselamatan
o Unit Audit Dalam
Lampiran A
NO AKTIVITI TAHUN 2016 TAHUN 2017
NOV DEC JAN FEB MAC APR MEI JUN JULY OGOS SEPT OKT NOV DIS
1 Perancangan aktiviti Surveillance Audit (tahun ke-2)
2 Mesyuarat Pasukan Induk SMS 10 9 17 25
3 Bengkel Semakan Dokumen ISMS 8-10
4 Program Kesedaran Keselamatan ICT
1-15
5 Mesyuarat RTP (Risk Treatment Plan)
8-10
6 Semakan Dokumentasi MYRAM
8-10 16-18
7 Semakan Dokumen P1-P3 8-10 16-18
8 Semakan RA (Risk Assessment)
16-18
9 Semakan Dokumen sokongan ISMS
16-18
10 Semakan SOA 16-18
11 Preventive Maintainance (PM)
12 Audit Dalam ISMS
17-22
13 Mesyuarat MKSP/ Pengurusan Tertinggi
6
14 Semakan Semula Audit Dalam
25 3
15 Fire Drill
16
16 Audit SIRIM 21-22
Petunjuk : Perancangan Sebenar
Bergantung kepada Bahagian Sumber Manusia
6
Perkara
Tempoh (Hari)
Mula
Akhir
1. Mesyuarat Permulaan:
i) Pasukan Induk ISMS
ii) RTP (Risk Treatment Plan)
iii) MKSP/Pengurus Tertinggi
iv) Lawatan ke pusat data dan menara MBPJ.
147 hari 10 Jan 6 Jun
2. Program Kesedaran Keselamatan ICT i) Seminar dan latihan Untuk Pasukan ISMS
a) Bengkel Kesedaran dan Refresher - ISO 27001:2013
b) Bengkel Audit Dalaman – ISO 27001:2013
c) Bengkel Semakan Dokumentasi - – ISO 27001:2013
ii) Taklimat Kesedaran Keselamatan ICT kepada kakitangan MBPJ
iii) Pertandingan Rekabentuk
iv) Petandingan Mencipta Skrin Saver
v) Pertandingan Amazing Running
vi) Kuiz Pameran dan penyampaian hadiah
48 hari 1 Mac 18 April
3. Semakan Dokumen ISMS Untuk Memastikan Kecukupan Dokumentasi
i) Penilaian Risiko MYRAM
ii) P1-P3
iii) RA (Risk Assessment)
iv) Dokumen sokongan ISMS
v) Statement of Applicability (SOA)
vi) Audit Dalaman ISMS
vii) Preventive Maintainance
viii) Semakan Semula Audit Dalam
ix) Fire Drill
161 hari 8 Mac Ogos
7
Perkara
Tempoh (Hari)
Mula
Akhir
4 . Audit Dalam
i) Nonconfirmity Report (NCR) Klausa A.7 - Human resource security Klausa A.8.2.1 - Information Classification Klausa A.12.2.1 - Controls against malware Klausa A 6.1.1 - Information security roles and responsibilities ii) Opportunities For Improvement (OFI)
Klausa A.9 - Access Control, A.9.4.1 - System and application access control
Klausa 7.5 -Documented Information, Klausa 9.2 - Internal Audits Klausa A.8.2.3 - Handling of Assets Klausa A.8.1.3 - Asset Management Klausa A.18.1.2 - Intellectual property rights Klausa A.18.1.3 - Protection of Records Klausa A.11.1.1 - Physical Security Perimeter
Klausa A.11.1.5 - Working in Secure Areas Klausa A.11.1.2 - Physical Entry Controls Klausa A.11.1.1 - Physical security perimeter.
- 10.1 - Nonconformity and corrective action - A.12.2.1 - Controls against malware - A.12.4.4 - Clock synchronisation
ii) Opportunities For Improvement (OFI) Klausa 7.5.3 - Control of documented Information Klausa 8.3 - Information Security Risk Treatment Klausa 9.1 - Monitoring, Measurement, Analysis and Evaluation Klausa 9.2 - Internal Audit Klausa 9.3 - Management review
2 hari 21 Ogos 22 Ogos
Isu Dalaman
Kekuatan :
- Sokongan daripada pihak pengurusan
- Kakitangan yang komited dalam melaksanakan inisiatif program keselamatan
- Perkhidmatan berkaitan cukai taksiran yang efektif dan efisyen serta memenuhi keperluan standard ISO/IEC 9001
Peluang :
- Menjadi penanda aras kepada Pihak Berkuasa Tempatan (PBT) yang lain.
- Menambahkan keyakinan pelanggan dan pengawal undang-undang terhadap perkhidmatan sistem atas talian
- Sentiasa mengikuti perkembangan teknologi semasa (naik taraf sistem daripada client based kepada web based)
Kelemahan :
- Sistem legasi yang digunakan mempunyai ciri-ciri keselamatan yang kurang baik seperti userid boleh dikongsi dan digunakan serentak di lokasi yang berbeza
- Permasalahan integriti perkiraan dalam sistem seperti Sistem Cukai Taksiran
- Prestasi sistem yang tidak konsisten menyebabkan ketidaktepatan data
- Pengurusan perubahan dan pindaan aplikasi yang tidak konsisten bagi aplikasi Sistem Penilaian dan Cukai Taksiran
- Virus-attack , Ransomware
Ancaman :
- Kebarangkalian berlaku pencerobohan dan ketirisan maklumat
ii)Opportunities For Improvement (OFI) Klausa 7.5.3 - Control of documented Information
Klausa 8.3 - Information Security Risk Treatment
Klausa 9.1 - Monitoring, Measurement, Analysis
and Evaluation
Klausa 9.2 - Internal Audit
Klausa 9.3 - Management review
AUDIT DALAM 2017
i) Nonconfirmity Report (NCR) Klausa A.7 - Human resource security
Klausa A.8.2.1 - Information Classification Klausa A.12.2.1 - Controls against malware Klausa A 6.1.1 - Information security roles and responsibilities ii) Opportunities For Improvement (OFI) Klausa A.9 - Access Control, A.9.4.1 -System and application
access control Klausa 7.5 -Documented Information Klausa 9.2 - Internal Audits Klausa A.8.2.3 - Handling of Assets Klausa A.8.1.3 - Asset Management Klausa A.18.1.2 - Intellectual property rights Klausa A.18.1.3 - Protection of Records Klausa A.11.1.1 - Physical Security Perimeter Klausa A.11.1.5 - Working in Secure Areas Klausa A.11.1.2 - Physical Entry Controls Klausa A.11.1.1 - Physical security perimeter.
Jumlah NCR: 3
Jumlah OFI: 5 Jumlah NCR: 4
Jumlah OFI: 10
PENEMUAN AUDIT Lampiran A
LAPORAN PERUBAHAN (TREND) PENCAPAIAN PELAKSANAAN ISMS
PENEMUAN AUDIT
STATISTIK BAGI TEMPOH 2015-2017
NCR OFI
AUDIT DALAM 2015 5 12
AUDIT SIRIM 2015 3 5
AUDIT DALAM 2016 5 11
AUDIT SIRIM 2016 3 5
AUDIT DALAM 2017 4 10
5
12
3 5 5
11
3 5 4
10
02468
101214
10
LAPORAN PENEMUAN
AUDIT PEMANTAUAN SIRIM 2016
11
Lampiran I
MAKLUMBALAS & TINDAKAN PENEMUANAUDIT SIRIM
12
• 29-30 Ogos 2016 – Audit Pemantauan bagi peringkat 1 bermula. Terdapat tiga (3) laporan ketakakuran Nonconformity Report (NCR) dan lima (5) peluang
penambahbaikan Opportunities For Improvement (OFI) dikeluarkan.
• 7 September 2016 - Laporan Penemuan Audit SIRIM dilaporkan dalam Mesyuarat Pengurusan Tertingi yang dipengerusikan oleh Datuk Bandar.
• 23 Nov 2016 - Jawapan maklumbalas terhadap 3 ketakakuran (NCR) telah diemelkan pada kepada Audit SIRIM untuk penutupan.
• 24 Nov 2016 - Kesemua laporan ketakakuran yang dikeluarkan telah pun ditutup sepenuhnya. Pihak Audit akan membuat semakan ke atas tindakan yang dibuat
serta bukti-buktinya yang diberi semasa audit pensijilan peringkat ke-2.
Lampiran I
AUDIT LUAR ISMS
TARIKH
AUDIT SIRM
• 29-30 Ogos 2016
TARIKH
AUDIT SUSULAN
• 24 Nov 2016 (NCR TUTUP)
PENEMUAN AUDIT LUAR
2016
• KETAKAKURAN (NCR) – MINOR= 3
• OFI= 5
PENEMUAN AUDIT LUAR ISMS 2016
Nonconformity Report
Opportunities For Improvement
KESIMPULAN AUDIT:
Jumlah NCR: 3
Jumlah OFI: 5
Lampiran I
14
PENEMUAN AUDIT DAN KLAUSA TERLIBAT
i) Nonconfirmity Report (NCR)
Klausa 10.1 - Nonconformity and corrective action
Klausa A.12.2.1 - Controls against malware
Klausa A.12.4.4 - Clock synchronisation
ii) Opportunities For Improvement (OFI)
Klausa 7.5.3 - Control of documented Information
Klausa 8.3 - Information Security Risk Treatment
Klausa 9.1 - Monitoring, Measurement, Analysis and
Evaluation
Klausa 9.2 - Internal Audit
Klausa 9.3 - Management review
Lampiran I
MAKLUMBALAS TERHADAP
PENEMUAN NCR
&
STATUS TINDAKAN PEMBETULAN
DAN PENCEGAHAN
15
Lampiran I
16
PENEMUAN NCR, CADANGAN TINDAKAN PENAMBAHBAIKAN DAN STATUS
UNIT TEKNOLOGI MAKLUMAT
Nombor rujukan: QM10360001 (IS/6-213) AIS-1
Bil Penemuan Cadangan Tindakan Penambahbaikan
Tindakan /Status
1.
10.1 Nonconformity and corrective action Pengurusan tindakan pembetulan bagi ketakakuran (NCR) pelaksanaan ISMS didapati tidak berkesan. Objective evidence : 1. Tiada siasatan punca dan pengesahan tindakan pembetulan yang
dibuat ke atas laporan Pemerhatian (OFI) daripada audit dalam. Contoh: P-02/2016, P-03/2016, P-04/2016, P06/2016, dan P-07/2016. 2. Tindakan yang diambil bagi penemuan audit SIRIM yang lepas tidak berkesan. Contoh: FAZ-1, Laporan Peluang Penambahbaikan bagi
kawalan A.12.2.1 dan A.11.1.2. 3. Tindakan yang diambil bagi penemuan audit dalam (NC-04/2016) tidak berkesan.
Membuat penyelarasan semula ke atas prosedur dan mengemaskini semula borang yang kurang jelas.
Telah dilaksanakan tindakan pembetulan ke atas langkah-langkah yang
disyorkan. (Pembuktian dilampirkan)
Lampiran I
Status Selesai
• Mengemaskini proses tindakan penambahbaikan/ pembetulan/
pencegahan di dalam prosedur Tindakan Penambahbaikan.
Pembetulan dan Pencegahan
• Mengemaskini Borang Laporan Penambahbaikan, Pembetulan dan
Pencegahan (MBPJ-ISMS-P1-005-L01)
• Mengemaskini Borang Laporan Penambahbaikan, Pembetulan dan
Pencegahan (MBPJ-ISMS-P1-005-B05)
• Menjalankan taklimat melalui email blast kepada pasukan
pelaksana dan pasukan audit dalam berkenaan perubahan
17
Lampiran I
18
Lampiran I
19
Lampiran I
20
Lampiran I
21
Lampiran I
22
Lampiran I
23
UNIT TEKNOLOGI MAKLUMAT
Nombor rujukan: QM10360001 (IS/6-213) NR-1
Bil Penemuan Cadangan Tindakan
Penambah baikan
Tindakan /Status
2.
A.12.2.1 Controls against malware Kemaskini untuk virus signature bagi
sistem Antivirus Kyrol tidak dipantau. Kesemua komputer pengguna yang disemak semasa sesi audit memaparkan tarikh virus signature antara 31/3/2016 – 18/8/2016. Objective evidence :
Komputer 03-01-00-037, 03-01-00-050, 03-01-00-0360 di Jabatan Penilaian & Pengurusan Harta Komputer 02-01-00-019, 02-01-00-027 di Jabatan Perbendaharaan
Memastikan
penyeragaman versi antivirus sentiasa dikemaskini di dalam server utama.
Pihak Syarikat (Kyrol) telah melakukan tindakan restart ‘definition update’ dan kemaskini
untuk update / virus signature berjaya dibuat pada 1/9/2016, pukul 3.30 petang. Tindakan pembetulan akan dibuat dengan pemantauan pihak IT menstrukturkan semula sistem operasi anti virus dengan lebih baik pada tahun 2017 melalui kontrak
baru dengan pihak vendor bagi tempoh setiap 3 bulan bagi memastikan update dan virus signature sentiasa dikemaskini dan seragam ( senarai semak Tindakan Perlindungan kod Perosak
PENEMUAN NCR, CADANGAN TINDAKAN PENAMBAHBAIKAN DAN STATUS
Lampiran I
24
UNIT TEKNOLOGI MAKLUMAT
Nombor rujukan: QM10360001 (IS/6-213) NR-2
Bil Penemuan Cadangan Tindakan Penambahbaikan
Tindakan /Status
3.
A.12.4.4 Clock synchronisation
Jam bagi beberapa buah komputer pengguna digerakkan mengikut satu sumber rujukan masa. Walau bagaimanapun, jam pada sumber waktu yang dirujuk didapati tidak merujuk kepada masa yang tepat.
Objective evidence : Komputer 03-01-00-037, 03-01-00-050, 03-01-00-0360 di Jabatan Penilaian & Pengurusan Harta – lambat 12 minit Komputer 02-01-00-019, 02-01-00-027 di Jabatan Perbendaharaan –
lambat 12 minit Laporan Kutipan di Kaunter 3, Mesin 1 yang menjana laporan terkini (sehingga 12:11pm) tetapi dicetak sebagai 11:59am
Memastikan waktu diselaraskan mengikut sumber rujukan server atau Active Directory (AD) bagi mengelakkan berlakunya sebarang
insiden.
Tindakan menyelaras waktu di server Active Directory telah dibuat mengikut piawaian SIRIM (mst.sirim.my) pada 14 Jun 2016, pukul 11.00
pagi sehingga 12.00 tengahari. Tindakan Pembetulan akan dilaksanakan dengan menaiktaraf perisian dan server Active
Directory untuk tahun hadapan.
PENEMUAN NCR, CADANGAN TINDAKAN PENAMBAHBAIKAN DAN STATUS
Lampiran I
MAKLUMBALAS PENUTUPAN NCR
25
Lampiran I
MAKLUMBALAS TERHADAP
PENEMUAN OFI
&
STATUS TINDAKAN PEMBETULAN
DAN PENCEGAHAN.
26
Lampiran I
27
UNIT TEKNOLOGI MAKLUMAT
Nombor rujukan: QM10360001 (IS/6-213) - Nur Aisya Mohd. Zamri
Bil Penemuan Cadangan Tindakan Penambahbaikan
Tindakan /Status
1.
Monitoring, measurement, analysis
and evaluation Selaras dengan isu-isu yang dikenal pasti, objektif keselamatan serta hasil daripada penilaian risiko, organisasi telah membangunkan beberapa metrik pengukuran bagi memantau pelaksanaan kawalan-kawalan
tertentu. Walau bagaimanapun, metrik tersebut boleh disemak kembali bagi memastikan: i) Metrik tersebut selaras dengan salah satu objektif keselamatan. Sebagai contoh, Metrik 2 : Backup dan Metrik 3 : Restoration.
ii) Pencapaian sebenar direkodkan dengan jelas.
Menyemak kembali
metrik pengukuran bagi kawalan Backup dan Restoration supaya ia selaras dengan objektif keselamatan dan memastikan pengukuran pencapaian sebenar
direkodkan dengan jelas
Semakan semula telah
dilaksanakan dengan merekodkan kekerapan bilangan aktiviti backup & restore yang telah dijalankan. Satu Laporan
Pencapaian sebenar juga direkodkan oleh pasukan rangkaian dan aplikasi.
PENEMUAN OFI, CADANGAN TINDAKAN PENAMBAHBAIKAN DAN STATUS
Lampiran I
28
UNIT TEKNOLOGI MAKLUMAT
Nombor rujukan: QM10360001 (IS/6-213) - Nur Aisya Mohd. Zamri
Bil Penemuan Cadangan Tindakan Penambahbaikan
Tindakan /Status
2.
Internal Audit Audit dalam telah
dilaksanakan oleh 4 juruaudit dalam yang terlatih. Pengauditan dijalankan dengan baik. Namun, kesaksamaan audit terhadap proses audit dalam perlu dilihat kembali. Perekodan punca penemuan audit juga perlulah lebih konsisten.
Perekodan punca
penemuan audit atau ‘root cause’ akan diselaraskan semula oleh pasukan Audit Dalam agar laporan yang dikeluarkan konsisten
Perekodan punca
penemuan audit atau ‘root cause’ telah diselaraskan semula oleh pasukan Audit Dalam.
PENEMUAN OFI, CADANGAN TINDAKAN PENAMBAHBAIKAN DAN STATUS
Lampiran I
29
UNIT TEKNOLOGI MAKLUMAT
Nombor rujukan: QM10360001 (IS/6-213) - Nur Aisya Mohd. Zamri
Bil Penemuan Cadangan Tindakan Penambahbaikan
Tindakan /Status
3.
Management review Organisasi
mempunyai beberapa platform bagi menyemak pelaksanaan ISMS di MBPJ seperti mesyuarat kajian semula pengurusan (MKSP), mesyuarat jawatankuasa kerja ISMS dan mesyuarat kemasyarakatan. Diperhatikan agenda yang
dibincangkan adalah komprehensif, namun, ianya boleh ditambah baik bagi menampakkan perubahan (trend) pencapaian pelaksanaan ISMS seperti pengukuran metrik, penemuan audit dalam dan hasil penilaian risiko
Agenda dalam
mesyuarat akan dikaji semula dan menampakkan perubahan pencapaian pelaksanaan ISMS mengikut aturan.
Laporan Perubahan
(trend) pencapaian pelaksanaan ISMS seperti pengukuran metrik, penemuan audit dalam dan hasil penilaian risiko akan dibincangkan dalam
mesyuarat MKSP bilangan 1/2017
PENEMUAN OFI, CADANGAN TINDAKAN PENAMBAHBAIKAN DAN STATUS
Lampiran I
30
UNIT TEKNOLOGI MAKLUMAT
Nombor rujukan: QM10360001 (IS/6-213) Nor Aza Ramli
Bil Penemuan Cadangan Tindakan Penambahbaikan
Tindakan /Status
4.
Control of documented information
Kawalan bagi maklumat yang didokumenkan dilihat telah dilaksanakan. Walau bagaimanapun penambahbaikan boleh dibuat semasa menyemak kecukupan maklumat di dalam dokumen seperti merekodkan nama
penuh yang jelas, tarikh tandatangan diturunkan dan versi dokumen yang dirujuk. Selain daripada itu, cara dokumen disimpan perlu diperbaiki untuk memudahkan pencarian maklumat bila diperlukan.
Semakan kecukupan
maklumat perlu ditambahbaik oleh urusetia Pasukan ISMS. Cara penyimpanan dokumen berkaitan ISMS perlu diselaraskan.
Semakan terhadap
dokumen berkaitan telah dilaksanakan. Kawalan terhadap dokumen ISMS telah direkodkan dengan jelas, tarikh tandatangan
diturunkan dan versi dokumen juga dikemaskini. Cara dokumen disimpan telah dibaiki dengan melaksanakan ‘tagging’
untuk memudahkan pencarian maklumat bila diperlukan.
PENEMUAN OFI, CADANGAN TINDAKAN PENAMBAHBAIKAN DAN STATUS
Lampiran I
31
UNIT TEKNOLOGI MAKLUMAT
Nombor rujukan: QM10360001 (IS/6-213) Nor Aza Ramli
Bil Penemuan Cadangan Tindakan Penambahbaikan
Tindakan /Status
5.
Pelaksanaan risk treatment plan
telah dilihat dan didokumenkan. Walau bagaimanapun keputusan dari pelaksanaan risk treatment plan (RTP) tersebut perlu direkodkan dengan jelas dan digunakan semasa pentaksiran semula risiko yang dijalankan mengikut keperluan
organisasi.
Keputusan dari
pelaksanaan RTP akan ditambahbaik dari semasa ke semasa
Keputusan dari
pelaksanaan Risk treatment plan (RTP) telah direkodkan.
PENEMUAN OFI, CADANGAN TINDAKAN PENAMBAHBAIKAN DAN STATUS
Lampiran I
RINGKASAN PENEMUAN AUDIT SIRIM
MBPJ telah memastikan bahawa kaedah penilaian risiko dapat menangani semua keperluan yang berkaitan. Terdapat juga bukti-
bukti yang menunjukkan pelaksanaan kawalan untuk mengurangkan
risiko yang dikenal pasti .
Secara keseluruhan, MBPJ telah melaksanakan Sistem Pengurusan Keselamatan Maklumat (ISMS) dengan baik. Komitmen daripada
pihak pengurusan dan kesedaran daripada pegawai juga jelas.
Walau bagaimanapun, isu yang diketengahkan dalam laporan
ketakakuran dan peluang penambahbaikan boleh diambil kira bagi mengukuhkan lagi pelaksanaan keseluruhan ISMS di Majlis Bandaraya
Petaling Jaya.
Lampiran I
LAPORAN PENEMUAN
AUDIT DALAM 2017
33
Lampiran II
AUDIT DALAM
Audit Dalam (internal Audit) telah dilaksanakan pada 17-22 Mei
yang lalu dimana sebanyak 4 NON-CONFORMITY- minor (NCR) dan 10
Opportunities For Improvement (OFI) telah dikeluarkan dan semua
teguran audit sedang dalam tindakan pembetulan oleh pasukan ISMS.
Lampiran II
AUDIT ISMS
TARIKH
AUDIT DALAM
• 17-22 Mei 2017
TARIKH
AUDIT SUSULAN
• Ogos 2017
PENEMUAN AUDIT
PENEMUAN AUDIT DALAM ISMS MBPJ
Nonconformity Report
Opportunities For Improvement
2017
•NCR = 4
•OFI= 10
KESIMPULAN AUDIT:
Jumlah NCR: 4
Jumlah OFI: 10
Lampiran II
36
PENEMUAN AUDIT DAN KLAUSA TERLIBAT
i) Nonconfirmity Report (NCR)
Klausa A.7 - Human resource security
Klausa A.8.2.1 - Information Classification
Klausa A.12.2.1 - Controls against malware
Klausa A 6.1.1 - Information security roles and responsibilities
ii) Opportunities For Improvement (OFI)
Klausa A.9 - Access Control
Klausa 7.5 - Documented Information
Klausa A.8.2.3 - Handling of Assets
Klausa A.8.1.3 - Asset Management
Klausa A.18.1.3 - Protection of Records
Klausa A.11.1.1 - Physical Security Perimeter
Klausa A.7 - Human resource security
Klausa A.9.4.1 - System and application access control
Klausa A.11.1.2 - Physical Entry Controls
Klausa A.11.1.1 - Physical security perimeter.
4 NCR
10 OFI
Lampiran II
1. Penyediaan dokumentasi ISMS berada pada tahap BAIK namun perlu
diperkemaskan dari semasa ke semasa.
2. Pengurusan Aset perlu ditambahbaik bagi memudahkan pemantauan
Aset.
3. Pengurusan rekod ISMS perlu diperkemaskan bagi memudahkan pencarian
rekod
4. Kawalan Keselamatan komputer pengguna perlu di tekankan bagi
memastikan kelangsungan perkhidmatan terjamin
RINGKASAN PENEMUAN AUDIT
Rumusan Audit Secara keseluruhannya pelaksanaan dan pemantauan ISMS di MBPJ
adalah berada pada tahap BAIK dan masih terdapat ruang untuk
penambahbaikan dari semasa ke semasa
Lampiran II
MAKLUMBALAS TERHADAP
PENEMUAN NCR
&
STATUS TINDAKAN PEMBETULAN
DAN PENCEGAHAN
38
Lampiran II
39
UNIT TEKNOLOGI MAKLUMAT
Nombor rujukan: NCR2017-01
Bil Penemuan Cadangan Tindakan
Penambahbaikan
Tindakan /Status
1.
A.7 Human resource security
Pihak auditee didapati tidak bersedia
menerima kedatangan auditor kerana
tidak dapat maklumat daripada ketua
bahagian sedangkan satu email
pemberitahuan telah dikeluarkan pada 8
Mei 2017.
10 fail telah dipilih secara rawak daripada
buku rekod fail (5 fail 2016dan 5 fail tahun
2017). Didapati hanya 2 daripada 10 fail
tersebut lengkap mengandungi Surat
Tawaran Pelantikan, Borang Soalan
Tapisan Keselamatan (Borang KPKK 11),
Surat Akuan Pematuhan Kakitangan
Dasar Keselamatan ICT Majlis, Akta Rahsia
Rasmi 1972 (Perakuan Kakitangan).
Bahagian Sumber Manusia akan memastikan
pemakluman sampai kepada mereka setiap kali sesi auditan dijalankan. Semua teguran fail akan diselaraskan oleh semula oleh kakitangan yang
bertanggungjawab.
Pihak Auditee telah mengemaskini semula fail bagi memastikan semua
surat dan dokumen telah dikandungkan ke dalam fail kakitangan. Fail-fail yang telah dikemaskini semula adalah seperti berikut:-
Rujukan Fail
MBPJ/APPK/57
MBPJ/APPK(K)/155
MBPJ/APPK(K)/41
MBPJ/APPK(K)/39
MBPJ/PP(PB)(K)/26
MBPJ/PPTA(K)/32
MBPJ/DOC(K)/02
MBPJ/PKTB/244
PENEMUAN NCR, CADANGAN TINDAKAN PENAMBAHBAIKAN DAN STATUS
Lampiran II
40
UNIT TEKNOLOGI MAKLUMAT
Nombor rujukan: : NCR2017-02
Bil Penemuan Cadangan Tindakan
Penambahbaikan
Tindakan /Status
2.
A.8.2.1Information
Classification
• Tiada Buku Daftar 492A –
Maklumat terperingkat
disediakan oleh pihak Auditee.
• Pengkelasan Fail Jabatan
mendapati Fail ISMS dikelaskan
sebagai Fail Terbuka Terhad.
Menyediakan Buku Daftar
492A - Memastikan
maklumat terperingkat
fail di klasifikasi dengan
betul.
Fail-fail ISMS hendaklah
diklasifikasikan sebagai
Fail Terhad.
Dokumen rujukan perlu
dimuat turun dan
difailkan di dalam fail
dokumen
rujukan/sokongan.
Memindahkan semula Rekod Senarai Fail yang diuruskan oleh pembantu tadbir didalam Buku Daftar
492A . Fail-fail ISMS telah diklasifikasikan sebagai Fail Terhad.
PENEMUAN NCR, CADANGAN TINDAKAN PENAMBAHBAIKAN DAN STATUS
Lampiran II
41
UNIT TEKNOLOGI MAKLUMAT
Nombor rujukan: : NCR2017-03
Bil Penemuan Cadangan Tindakan Penambahbaikan
Tindakan /Status
3.
A.12.2.1 Controls against malware Semakan komputer secara rawak di Jabatan Penilaian dan Jabatan Perbendaharaaan mendapati : i. Anti virus SMADAV masih dipasang
pada pc.
ii. Beberapa pc tidak join domain. iii. Ada pc masih menggunakan
akaun ITSUPPORT dan bukan user biasa.
iv. Screen saver tidak mengikut standard (ada 1 minit dan ada 10 minit)
v. Ada pc dengan anti virus last patches adalah tahun 2016.
Semakan perlu dibuat
pada setiap komputer yang terlibat. Pastikan anti-virus yang sah sahaja digunakan dan menggunakan patches yang terkini dan auto update, pastikan semua
komputer joined domain, pastikan user menggunakan akses kepda komputer dengan akaun yang betul dan bukan akaun admin dan screen saver ditetapkan
mengikut standard yang ditetapkan di dalam DKICT.
i. Anti virus selain Kyrol
akan dikeluarkan dari pc pengguna.
ii. Semua PC akan disetkan sebagai domain ICT-Net.
iii. Login PC bagi pengguna biasa
akan disetkan mengikut Profile Pengguna
iv. Screen saver telah disetkan masa 2 minit
v. Semua pc telah
mempunyai antivirus yang terkini.
PENEMUAN NCR, CADANGAN TINDAKAN PENAMBAHBAIKAN DAN STATUS
Lampiran II
42
UNIT TEKNOLOGI MAKLUMAT
Nombor rujukan: : NCR2017-04
Bil Penemuan Cadangan Tindakan Penambahbaikan
Tindakan /Status
4.
Terdapat percanggahan
maklumat berkaitan CIO. Auditee menyatakan bahawa CIO baru telah dilantik iaitu Pengarah Khidmat Pengurusan, Tuan Hj. Ahmat Mohaayen Bin Hj Said namun dalam dokumen semakan
mendapati tiada surat perlantikan baru sedangkan telah dinyatakan dalam DKICT CIO mesti terdiri daripada wakil pengurusan tertinggi.
Pasukan ISMS perlu
sentiasa peka dengan sebarang perubahan serta PIC yang bertanggungjawab / pengurus fail mesti sentiasa mengemaskini dokumen untuk tujuan
rekod setiap kali perubahan berlaku sama ada carta organisasi, dokumen serta semua yang berkaitan.
Surat Pelantikan Pengarah
Khidmat Pengurusan, Tuan Hj. Ahmat Mohaayen Bin Hj Said sebagai CIO MBPJ bertarikh 5 Julai 2013 telah dikemukakan dan dirujuk. Walaubagaimanapun, melalui
Keputusan Mesyuarat MKSP bertarikh 6 Jun 2017, Pengarah Teknologi Maklumat masih dikekalkan sebagai CIO dan bertanggungjawab ke atas keselamatan data bagi SISTEM
PENGURUSAN KESELAMATAN
BAGI MAKLUMAT ELEKTRONIK CUKAI TAKSIRAN. Pengesahan CIO daripada MAMPU juga disertakan.
PENEMUAN NCR, CADANGAN TINDAKAN PENAMBAHBAIKAN DAN STATUS
Lampiran II
43
Lampiran II
MAKLUMBALAS TERHADAP
PENEMUAN OFI
&
STATUS TINDAKAN PEMBETULAN
DAN PENCEGAHAN.
44
Lampiran II
45
UNIT TEKNOLOGI MAKLUMAT
Nombor rujukan: : OFI2017-01, OFI2017-02, OFI2017-03, OFI2017-04,OFI2017-05
Bil Klausa Tindakan /Status
1. A.9.4.1 - System and
application access
control
Akuan Keselamatan Kontraktor telah dikandungkan ke dalam Fail. Dokumen prosedur yang dinyatakan telah dikeluarkan daripada dokumen P2 kerana terdapat prosedur yang berulang di dalam dokumen P3. Prosedur tersebut telah dikandungkan dalam P3 dan telah diluluskan.
2. 7.5 Document
information, 9.2 Internal
Audits
Semakan ‘Cross reference’ antara DKICT, Manual dan SOA
disemak semula bagi memastikan ianya selari. Pihak Auditee juga akan memastikan kesemua fail teratur dan direkodkan secara konsisten dan lebih bersedia untuk auditan akan datang.
3. A.8.2.3 Handling of Assets
Pembelian aset IT bagi tahun 2016/2017 telah direkodkan dan disusun dengan sempurna
4. A.18.1.2 - Intellectual property rights
Kawalan telah direkodkan. Kabinet fail dibuka dari jam 8.00pagi sehingga 5.00 petang. Kabinet akan dikunci selepas jam 5.30petang.
5. A.11.1.5
Working in Secure Areas
Pihak Auditee juga akan memastikan kesemua fail teratur dan direkodkan secara konsisten. Semua pembuktian bagi Borang
Kebenaran Kerja akan disemak dan dikemaskini dari semasa ke masa.
PENEMUAN OFI, TINDAKAN DAN STATUS Lampiran II
46
UNIT TEKNOLOGI MAKLUMAT
Nombor rujukan: : OFI2017-06, OFI2017-07, OFI2017-08, OFI2017-09,OFI2017-10
Bil Klausa Tindakan /Status
6. A.11.1.1 Physical Security Perimeter
6. Pemadam kebakaran dalam Pusat Data telah tamat tempoh pada bulan September 2016, email telah diberikan pada bulan April 2017. Emel dan tindakan susulan akan dibuat kepada pihak Jabatan
Kejuruteraan.
7. A.8.1.3
Asset Management
7. Tindakan pengemaskinian kesemua Senarai Aset KEW PA 2, 4 7,
sedang diambil tindakan . Penyediaan KEW P.A 13 juga turut dilaksanakan bagi tujuan memastikan pengawasan keseluruhan rekod komputer meja dan komputer riba Majlis
8. A.9.4.1 System and application access control
2. Pembetulan semula ke atas reference SOA bagi Handling Of Asset kepada 030202 (Prosedur Pengendalian Maklumat) telah diambil tindakan dan semua teguran kesalahan kod dan tajuk yang tidak sama telah dikemaskini.
9. A.11.1.2 Physical Entry Controls.
9. Keselamatan keluar / masuk pelawat Unit Teknologi Maklumat MBPJ akan lebih dipertingkatkan dengan mewajibkan setiap pelawat yang masuk mengisi Buku rekod keluar / masuk pelawat. Buku rekod telah disemak semula dan dibuat penambahbaikan
10. A.11.1.1 Physical security perimeter.
10. Penyediaan fail iaitu rekod bagi perkhidmatan penyelenggaraan berkala (Preventive Maintenance) dan kerosakan (corrective maintenance – adhoc basis) telah dikemaskini semula.
PENEMUAN OFI, TINDAKAN DAN STATUS Lampiran II
1. Penyediaan dokumentasi ISMS berada pada tahap BAIK namun perlu
diperkemaskan dari semasa ke semasa.
2. Pengurusan Aset perlu ditambahbaik bagi memudahkan pemantauan
Aset.
3. Pengurusan rekod ISMS perlu diperkemaskan bagi memudahkan
pencarian rekod
4. Kawalan Keselamatan komputer pengguna perlu di tekankan bagi
memastikan kelangsungan perkhidmatan terjamin
Rumusan Audit
Secara keseluruhannya pelaksanaan dan pemantauan ISMS di MBPJ
adalah berada pada tahap BAIK dan masih terdapat ruang untuk
penambahbaikan dari semasa ke semasa
RINGKASAN PENEMUAN AUDIT DALAM
Lampiran II
TINDAKAN SUSULAN DARIPADA
KAJIAN SEMULA PENGURUSAN
YANG LEPAS DAN PENCAPAIAN
48
MESYUARAT PASUKAN KERJA ISMS
• 10 Jan 2017 - Mesyuarat pertama pasukan kerja ISMS telah dilaksanakan melibatkan
semua wakil dari jabatan terlibat. Wakil yang hadir dikehendaki bersedia dengan aktiviti
dan program ISMS yang bakal dilaksanakan sepanjang tahun 2017. Antara perbincangan
ialah mengenalpasti senarai aktiviti program Kesedaran yang melibatkan penyertaan
semua kakitangan MBPJ dan pelbagai persiapan program telah dibincangkan bagi
memastikan program berjalan dengan lancar.
• 9 Mac 2017 - Mesyuarat kedua pasukan kerja ISMS telah dilaksanakan bagi semakan
keseluruhan dokumentasi ISMS ISO/IEC 27001 :2013 sebagai persediaan untuk Audit
Pemantauan dan Persijilan Semula (Recertification) oleh SIRIM QAS International Sdn. Bhd.
• Pada 17 April 2017, Mesyuarat ketiga pasukan kerja ISMS telah dilaksanakan bagi
mengemaskini dokumen Dasar Keselamatan ICT, Statement Of Applicability (SOA), Risk
Assesments dan Risk Treatement Plan (RTP) supaya ia dikemaskini semula. Satu gerak kerja
berkumpulan telah dibentuk bagi menyiapkan tugasan yang telah diberikan.
• 6 Jun 2017 - Mesyuarat Kajian Semula Pengurusan (MKSP) telah berlangsung melibatkan
wakil pihak pengurusan tertinggi. Mesyuarat yang dipengerusikan oleh Datuk Bandar
MBPJ telah meluluskan semua dokumen ISMS dan memutuskan supaya tindakan-tindakan
yang perlu diambil bagi meningkatkan keberkesanan ISMS.
BENGKEL SEMAKAN DOKUMEN ISMS
• Bengkel Pra-Audit Pemantauan ISMS telah diadakan pada 8-10 Mac 2017 di Hotel Swiss
Garden Melaka. Taklimat telah disampaikan oleh Perunding ISMS yang dilantik oleh
MBPJ. Seramai 20 orang peserta yang terdiri daripada wakil Penilaian,
Perbendaharaan,Kejuruteraan,Perundangan dan Penguatkuasaan turut hadir sama
dalam menjayakan sesi bengkel tersebut.
• Bengkel kedua iaitu Semakan dan Kemaskini Dokumen ISMS telah diadakan pada 16-18
April 2017, bertempat di Hotel BlueWave, Shah Alam. Taklimat telah disampaikan oleh
Wakil daripada Seksyen QRD. Objektif bengkel ialah :-
Menyemak isu dalaman dan isu luaran ISMS, objektif dan matlamat kewujudan ISMS
dan skop.
Menyemak dan mengemaskini dokumen DKICT, MyRam, SOA , Security Metric ,
Manual ISMS (P1) serta prosedur-prosedur berkaitan bagi memenuhi keperluan
standard ISMS.
Penyediaan bagi menghadapi Audit Dalam serta Audit Pemantauan (Tahun Ke-2).
• Seramai 15 orang peserta yang telah mengambil bahagian dalam membantu
menyiapkan dokumentasi ISMS.
• Antara dokumentasi yang disemak oleh pasukan ISMS termasuk:-
i. Manual ISMS
ii. Penilaian Risiko
iii. ‘Risk Treatment Plan’ (RTP)
iv. ‘Statement of Applicability’ (SOA)
v. Dasar Keselamatan ICT MBPJ (DKICT)
HASIL BENGKEL ISMS BIL. 1 TAHUN 2017
51
52
No. Perkara Tindakan Susulan
1. Menyemak DKICT, P1 dan P2 untuk
memastikan rujukan para lebih tepat;
Telah dilaksanakan pada 16-18
April
2. Pelaksanaan dan pengemaskinian Penilaian
Risiko dan Risk Treatment Plan (RTP) dalam
aplikasi MyRAM seperti template yang telah
disediakan;
Telah dilaksanakan pada 16-18
April
3. Menyemak SOA untuk memastikan rujukan
para lebih tepat;
Telah dilaksanakan pada 16-18
April
4. Laksana dan rekod pindaan yang dilakukan
jika terdapat perubahan pada prosedur
sedia ada
Telah dilaksanakan pada 16-18
April
5. Pelaksanaan Audit Dalam Akan dilaksanakan
pada 17-22 Mei 2017
6. Mesyuarat MKSP Jun 2017
Hasil Bengkel dan Tindakan Susulan
Dasar Keselamatan ICT versi 3.1
Kemaskini pada polisi pada 020102 Ketua Pegawai Maklumat Kemaskini Surat Akuan Pematuhan Dasar Keselamatan ICT
MBPJ-ISMS- P1-010 Statement of Applicability Kemaskini pada bukti-bukti pelaksananaan kawalan berdasarkan
implementasi terkini di MBPJ dan membuat pelarasan semula terhadap rujukan SOA dengan DKICT.
MBPJ-ISMS- P1-008 Penilaian Risiko Kemaskini pada bukti-bukti pelaksananaan kawalan berdasarkan
implementasi terkini di MBPJ
MBPJ-ISMS- P1-009 Risk Treatment Plan
Kemaskini pada bukti-bukti pelaksananaan kawalan berdasarkan implementasi terkini di MBPJ
53
PERUBAHAN DOKUMEN ISMS
54
PERUBAHAN DOKUMEN ISMS
Unit Teknologi Maklumat
2015
PROGRAM KESEDARAN ISMS
• Sepanjang bulan Mac 2017 telah diadakan Program kesedaran
keselamatan ICT kepada warga kerja MBPJ bagi memastikan kakitangan
melaksanakan pematuhan DKICT dan amalan-amalan terbaik serta
dapat melindungi keselamatan aset ICT. Antara aktiviti yang diadakan
ialah :
• Pertandingan Rekabentuk Inovasi ICT
• Treasure Hunt (“Amazing Running Hunt”) • Pertandingan Mencipta Screen Saver
• Taklimat Kesedaran Keselamatan ICT, Kuiz IT dan Pameran
• Sesi Penyampaian Hadiah
• Pada 15 Mac 2017, bengkel kesedaran keselamatan ICT 2016 telah
diadakan di Dewan Auditorium, MBPJ. Seramai 100 orang kakitangan
Majlis telah hadir dengan jayanya. Antara aktiviti yang telah diadakan
ialah Taklimat Dasar keselamatan ICT, Kuiz Online ICT, Taklimat Perisian
antivirus, Latihan Penggunaan Perisian Google Suite dan Pameran
Knowledge Management System (KMS) .
Unit Teknologi Maklumat
2017
BENGKEL ISMS
PROGRAM KESEDARAN ISMS
PERTANDINGAN REKABENTUK INOVASI ICT
PERTANDINGAN AMAZING RUN
PENGLIBATAN PIHAK PENGURUSAN DAN WARGA KERJA
PROGRAM KESEDARAN ISMS
HEBAHAN FLYERS ISMS
PENILAIAN RISIKO
(RISK ASSESMENT)
63
LAPORAN PERUBAHAN (TREND) PENCAPAIAN PELAKSANAAN ISMS
HASIL PENILAIAN RISIKO
STATISTIK BAGI TEMPOH 2016-2017
64
1
68
272
0 5 25
0 0
166
0 1
23
0 3
25
0 0 7
0
50
100
150
200
250
300
HIGH MEDIUM LOW
HARDWARE
SOFTWARE
PEOPLE
DATA
SERVICES
SUPPORT
PENILAIAN SEMULA
RISIKO ISMS – UTM MBPJ
65
Asset group Asset value Asset Count
Low Medium High
Hardware 20 28 67 115
Software 0 2 7 9
People 0 77 0 77
Information And Data
12 4 0 16
Services (supporting)
15 9 0 24
Services (accessibility)
0 6 0 6
Total 47 126 74 247
Appendix A Asset Classification and Valuation
Table 3-1 : Asset Based on Asset Group
Jumlah Aset MBPJ
66
Asset group Risk Level
Low Medium High
Hardware 272 68 1
Software 25 5 0
People 166 0 0
Information And Data 23 1 0
Services (supporting) 25 3 0
Services (accessibility) 7 0 0
Total 518 77 1
Appendix D Overall Risk Analysis Distribution
Table 3-5 : Risk level for All Assets
Tahap risiko aset UTM
PENCAPAIAN
PENGUKURAN KAWALAN
(SECURITY METRIC )
67
68
• Melaporkan Pencapaian Security Metrics
bagi pelaksanaan kawalan keselamatan
oleh Pasukan Pelaksana ISMS
TUJUAN
68
LAPORAN PERUBAHAN (TREND) PENCAPAIAN PELAKSANAAN ISMS
PENGUKURAN METRIK PENCAPAIAN OBJEKTIF KESELAMATAN
BAGI TEMPOH 2016-2017
METRIK 1 METRIK 2 METRIK 3 METRIK 4 METRIK 5
2016 100 100 100 100 53.07
2017 100 100 100 100 53.07
0
20
40
60
80
100
120
PENGUKURAN METRIK
69
SECURITY METRIC : PROGRAM KESEDARAN Menilai perlaksanaan program kesedaran dalam tempoh setahun
BIL PERKARA KETERANGAN
1. Objektif Memastikan program kesedaran keselamatan
ICT dilaksanakan sekurang-kurangnya sekali
setahun.
2. Sasaran Pengukuran 100%
3. Kekerapan Pengumpulan
Data
Sekali Setahun
4. Formula Pengukuran S = (X/Y) * 100
100 = (1/1) * 100
Dimana;
S – Peratusan pelaksanaan program dalam
tempoh setahun.
X – Jumlah pelaksanaan program setahun.
Y – Jumlah minima program yang perlu
dilaksanakan dalam tempoh setahun.
5. Pencapaian Objektif 100%
70
SECURITY METRIC : AKTIVITI BACKUP Mengukur samada aktiviti backup yang dilaksanakan adalah berjaya atau
pun tidak
BIL PERKARA KETERANGAN
1. Objektif Untuk memastikan kawalan backup
dilaksanakan dengan berkesan.
Skop backup :- Server Cukai Taksiran,
penilaian dan kutipan
2. Sasaran Pengukuran 100% aktiviti backup berjaya
3. Kekerapan Pengumpulan
Data
Setiap 3 bulan sekali
4. Formula Pengukuran S = B/(B+T) * 100
S = 1/(1+0) * 100
S = 100
Dimana:
S – Peratusan aktiviti backup yang berjaya
B – Jumlah aktiviti backup yang berjaya
T – Jumlah aktiviti backup yang tidak berjaya
5. Pencapaian Objektif 2016 : 100%
2017 : Belum
71
SECURITY METRIC : AKTIVITI RESTORE Mengukur jumlah aktiviti restore yang berjaya
BIL PERKARA KETERANGAN
1. Objektif Bertujuan bagi menguji keberkesanan proses
dan aktiviti restore data. Memastikan risiko
kehilangan data dapat diminimumkan.
2. Sasaran Pengukuran 100% aktiviti restore berjaya
3. Kekerapan Pengumpulan
Data
Sekali Setahun
4. Formula Pengukuran S = R/ (R+K) * 100
S = 1/ (1+0) * 100
S = 100
Dimana:
S – Peratus aktiviti restore berjaya
R – Jumlah aktiviti restore yang berjaya
K – Jumlah aktiviti restore yang tidak berjaya
5. Pencapaian Objektif 100%
72
SECURITY METRIC : KAWALAN CAPAIAN Menilai samada aktiviti semakan kawalan capaian dapat dilaksanakan secara
berkala
BIL PERKARA KETERANGAN
1. Objektif Untuk mengukur keberkesanan pelaksanaan
aktiviti semakan kawalan yang perlu
dilaksanakan sekurang-kurangnya dua (2) kali
setahun.
2. Sasaran Pengukuran 100% aktiviti semakan dilaksanakan
3. Kekerapan Pengumpulan Data Dua (2) kali setahun