POLISI KESELAMATAN SIBER JABATAN PENYIARAN MALAYSIA
POLISI KESELAMATAN SIBER JABATAN PENYIARAN MALAYSIA
TUJUAN
1. Dokumen ini bertujuan untuk menjelaskan Polisi Keselamatan Siber (PKS), Jabatan Penyiaran Malaysia (RTM) serta perkara-perkara yang berkaitan yang perlu difahami dan dipatuhi oleh warga RTM, pembekal, dan pihak yang mempunyai urusan dengan perkhidmatan ICT RTM.
LATAR BELAKANG
2. Berpandukan dokumen Rangka Kerja Keselamatan Siber Sektor Awam (RAKKSSA) yang berkuat kuasa pada 1 April 2016, RTM perlu memberi perhatian terhadap keselamatan siber yang merangkumi aset ICT bagi meminimumkan kesan gangguan ke atas sistem penyampaian perkhidmatan Kementerian khususnya dan Kerajaan secara umum.
3. PKS ini dibangunkan selaras dengan keperluan dalam ISO / IEC 27001:2013 Information Security Management System (ISMS) dan RTM telah dipersijilkan ISMS sejak tahun 2016. PKS RTM ini juga dibangunkan bagi menggantikan Dasar Keselamatan ICT (DKICT) KKMM versi 1.0 bertarikh 10 Jun 2022.
BIDANG KAWALAN
4. Terdapat 14 Bidang Keselamatan yang merujuk kepada Annex A dalam piawaian ISO/IEC 27001:2013 “Information Security Management Systems”. Setiap bidang keselamatan ini akan diterangkan secara lebih terperinci di dalam Lampiran 1.
BIDANG | TAJUK |
A.5 | Polisi Keselamatan Maklumat |
A.6 | Perancangan Bagi Keselamatan Maklumat |
A.7 | Keselamatan Sumber Manusia |
A.8 | Pengurusan Aset |
A.9 | Kawalan Akses |
A.10 | Kriptografi |
A.11 | Keselamatan Fizikal Xxx Xxxxxxxxxxxx |
A.12 | Keselamatan Operasi |
A.13 | Pengurusan Komunikasi |
A.14 | Perolehan, Pembangunan Dan Penyelenggaraan Sistem |
A.15 | Hubungan Dengan Pembekal |
A.16 | Pengurusan Insiden Keselamatan Maklumat |
A.17 | Aspek Keselamatan Maklumat Dalam Pengurusan Kesinambungan Perkhidmatan |
A.18 | Pematuhan |
TANGGUNGJAWAB DAN PERANAN
5. JPICT / CIO / Pengarah Bahagian/ Negeri / ICTSO hendaklah bertanggungjawab sepenuhnya dalam melaksanakan kesemua bidang kawalan yang digariskan di dalam Polisi Keselamatan Siber RTM dan memastikan polisi ini dipatuhi oleh semua warga
RTM, pembekal, dan pihak yang mempunyai urusan dengan perkhidmatan ICT RTM.
6. Polisi ini perlu disemak dan dipinda pada jangka masa yang dirancang atau apabila terdapat perubahan teknologi, aplikasi, prosedur, perundangan, dan polisi Kerajaan bagi memastikan dokumen sentiasa relevan.
7. Peranan dan tanggungjawab setiap individu yang terlibat dalam mencapai objektif Polisi Keselamatan Siber RTM diterangkan dengan lebih jelas dan teratur dalam Bidang kawalan A.6.1.1 Peranan dan Tanggungjawab Keselamatan Maklumat pada Lampiran 1.
PEMAKAIAN
8. Polisi ini terpakai kepada semua warga RTM, pembekal dan pihak yang mempunyai urusan dengan perkhidmatan ICT RTM.
TARIKH BERKUAT KUASA
9. Polisi ini berkuat kuasa mulai tarikh dikeluarkan dan terpakai bagi tempoh lima tahun melainkan jika terdapat arahan terkini atau perkembangan baharu yang memerlukannya dikaji semula dan dikemas kini lebih awal sebelum tempoh tersebut berakhir.
PERTANYAAN
10. Sebarang pertanyaan mengenai polisi ini boleh dikemukakan kepada:
Seksyen Aplikasi ICT (SAICT) Aras 1, Bangunan IBC, Angkasapuri Kota Media, Kuala Lumpur
iv
POLISI KESELAMATAN SIBER RTM
KANDUNGAN
PERKARA | MUKA SURAT |
K. PERNYATAAN POLISI KESELAMATAN SIBER RTM 18
L. PELAN PENGURUSAN KESELAMATAN MAKLUMAT 19
POLISI KESELAMATAN SIBER RTM
1. Polisi Keselamatan Siber (PKS), Jabatan Penyiaran Malaysia (RTM) ini bertujuan untuk menerangkan mengenai tanggungjawab dan peraturan-peraturan yang perlu difahami dan dipatuhi oleh warga RTM, pembekal dan pihak yang mempunyai urusan dengan perkhidmatan ICT RTM dalam melindungi maklumat di ruang siber.
2. Ruang siber ditakrifkan sebagai sistem-sistem teknologi maklumat dan komunikasi, maklumat yang disimpan dalam sistem-sistem tersebut, manusia yang berinteraksi dengan sistem-sistem tersebut secara fizikal atau maya serta persekitaran fizikal sistem-sistem tersebut dan semua aset yang berkaitan dengan ICT.
3. Polisi ini dibangunkan untuk menjamin kesinambungan urusan RTM dengan meminimumkan kesan insiden keselamatan siber. Polisi ini akan memudahkan perkongsian maklumat sesuai dengan keperluan operasi RTM bagi memastikan semua maklumat dilindungi.
4. Polisi ini mengandungi peraturan – peraturan yang mesti dibaca dan dipatuhi sebelum, semasa dan selepas menggunakan aset Teknologi Maklumat dan Komunikasi (ICT) Jabatan Penyiaran Malaysia (RTM).
5. Polisi ini juga menerangkan kepada semua pengguna di RTM mengenai tanggungjawab dan peranan dalam melindungi aset ICT RTM.
6. Objektif utama Polisi Keselamatan Siber ini dibangunkan adalah seperti yang berikut:
(i) Menerangkan kepada semua pengguna merangkumi warga RTM, pembekal, dan pihak yang mempunyai urusan dengan perkhidmatan ICT RTM mengenai tanggungjawab dan peranan mereka dalam melindungi maklumat di ruang siber.
(ii) Memastikan keselamatan penyampaian perkhidmatan RTM di tahap tertinggi sekali gus meningkatkan tahap keyakinan pihak berkepentingan seperti agensi Kerajaan, industri dan orang awam;
(iii) Memastikan kelancaran operasi RTM dengan meminimumkan kerosakan atau kemusnahan disebabkan oleh insiden yang berlaku;
(iv) Melindungi kepentingan pihak-pihak yang bergantung kepada sistem maklumat dari kesan kegagalan atau kelemahan yang berlaku dari segi kerahsiaan, integriti, kebolehsediaan, kesahihan maklumat dan komunikasi; dan
(v) Menyediakan ruang bagi penambahbaikan yang berterusan kepada pengurusan keselamatan dan pentadbiran ICT.
Jawatankuasa ISMS RTM
CERT RTM
7. Bagi memastikan keberkesanan dan kejayaan pelaksanaan Polisi Keselamatan Siber RTM, satu (1) struktur tadbir urus telah diwujudkan seperti berikut:
Bahagian & Negeri di RTM (Ahli JPICT RTM)
JPICT
Pengerusi : Ketua Pengarah Penyiaran RTM
Pengurus Keselamatan Siber KPP MTA
CIO
Timbalan Ketua Pengarah (Operasi Penyiaran)
Pegawai Keselamatan ICT (ICTSO) RTM
8. RTM melaksanakan peranan utama iaitu :
“Menyampaikan maklumat terkini dan dasar Kerajaan kepada masyarakat dengan sahih, tepat, cepat, jelas dan berkesan menerusi media elektronik, cetak dan komunikasi bersemuka”;
“Menyediakan prasarana dan perkhidmatan komunikasi jalur lebar, Internet dan selular yang bermutu bagi memenuhi kehendak pelanggan”;
berdasarkan Kerangka Strategik KKMM 2019 – 2023
9. Aset ICT RTM merangkumi Kategori Maklumat, Aliran Data, Platform Aplikasi dan Perisian, Peranti Fizikal dan Sistem, Sistem Luaran serta Sumber Luaran seperti berikut:
(a) Kategori Maklumat
Semua penyedia perkhidmatan ICT dalam RTM hendaklah mengenal pasti kategori maklumat yang dijana dan hendaklah mengasingkannya mengikut kategori:
(b) Maklumat Rahsia Rasmi
Maklumat Xxxxxx Xxxxx mempunyai erti yang diberikan kepadanya di bawah Akta Xxxxxx Xxxxx 1972 (Akta 88). Apa-apa suratan yang dinyatakan dalam Jadual kepada Akta Xxxxxx Xxxxx 1972 (Akta 88) dan apa-apa maklumat dan bahan berhubungan dengannya dan termasuklah apa-apa dokumen rasmi, maklumat dan bahan lain sebagaimana yang boleh dikelaskan sebagai “Rahsia Besar”, “Rahsia”, “Sulit” atau “Terhad” mengikut mana yang berkenaan oleh seorang Menteri, Menteri Besar atau Ketua Menteri sesuatu negeri atau mana-mana pegawai awam yang dilantik di bawah seksyen 2B Akta Xxxxxx Xxxxx 1972.
(a) Maklumat Rasmi
Maklumat Rasmi ialah maklumat yang diwujudkan, digunakan, diterima atau dikeluarkan secara rasmi oleh RTM semasa menjalankan urusan rasmi. Maklumat Rasmi ini juga merupakan rekod awam yang tertakluk di bawah peraturan-peraturan Arkib Negara.
(b) Maklumat Pengenalan Peribadi
Maklumat Pengenalan Peribadi (PII atau Personally Identifiable Information) ialah maklumat yang boleh digunakan secara tersendiri atau digunakan bersama maklumat lain untuk mengenal pasti individu tertentu. Data PII mengandungi data peribadi dan data sensitif individu. PII boleh juga terkandung dalam Maklumat Rahsia Rasmi.
(c) Data Terbuka
Data Terbuka merujuk kepada data kerajaan yang boleh digunakan secara bebas, boleh dikongsikan dan digunakan semula oleh rakyat, agensi sektor awam atau swasta untuk sebarang tujuan. PII dikecualikan daripada Data Terbuka.
(c) Aliran Data
Aliran data merujuk kepada laluan lengkap data tertentu semasa transaksi. Aliran data dan komunikasi dalam RTM hendaklah dikenal pasti, direkodkan dan dikaji semula secara berkala. Saluran komunikasi termasuk:
(a) Saluran komunikasi dan aliran data antara sistem di RTM;
(b) Saluran komunikasi dan aliran data ke sistem luar; dan
(c) Saluran komunikasi dan aliran data ke ruang storan pengkomputeran awan dianggap sebagai saluran komunikasi luaran.
(d) Platform Aplikasi dan Perisian
Semua platform aplikasi dan perisian hendaklah dikenal pasti, direkodkan dan dikaji semula secara berkala atau mengikut kesesuaian.
(e) Peranti Fizikal dan Sistem
Semua peranti fizikal dan sistem hendaklah dikenal pasti, direkodkan dan dikaji semula secara berkala atau mengikut kesesuaian. Senarai peranti fizikal adalah termasuk, namun tidak terhad kepada:
(a) Pelayan
(b) Peranti/Peralatan Rangkaian
(c) Komputer Peribadi/Komputer Riba
(d) Telefon/peranti pintar
(e) Media Storan
(f) Peranti dengan sambungan ke rangkaian, contohnya pengimbas, mesin pencetak, sistem kawalan akses, alat kawalan dan sistem kamera litar tertutup (CCTV)
(g) Peranti pengkomputeran peribadi milik persendirian yang digunakan untuk urusan rasmi Kerajaan.
(h) Peranti pengesahan (authentication devices), contohnya token keselamatan, dongle dan alat pengimbas biometrik.
(f) Sistem Luaran
Semua sistem luaran hendaklah dikenal pasti, direkodkan dan dinilai tahap keselamatannya secara berkala atau mengikut kesesuaian. Sistem luaran ialah sistem bukan milik RTM yang dihubungkan dengan sistem RTM.
(g) Sumber Luaran
Semua perkhidmatan sumber luaran hendaklah dikenal pasti, direkod dan dinilai tahap keselamatannya secara berkala atau mengikut kesesuaian. Perkhidmatan sumber luaran ialah perkhidmatan yang disediakan oleh organisasi luar untuk menyokong operasi RTM. Contoh perkhidmatan sumber luaran ialah:
(a) Perisian Sebagai Satu Perkhidmatan
(b) Platform Sebagai Satu Perkhidmatan
(c) Infrastruktur Sebagai Satu Perkhidmatan
(d) Storan Pengkomputeran Awan
(e) Pemantauan Keselamatan
Saluran komunikasi dan aliran data kepada perkhidmatan ini hendaklah dikenal pasti, direkodkan, dikaji semula dan dipastikan keselamatannya secara berkala atau mengikut kesesuaian.
10. RTM hendaklah mengenal pasti risiko yang berkaitan dengan maklumat yang terlibat. Risiko ialah kebarangkalian RTM tidak dapat melaksanakan fungsi jabatan dengan baik. Penilaian risiko hendaklah dilaksanakan bagi menilai risiko terjejasnya kerahsiaan, integriti dan ketersediaan maklumat dalam ruang siber RTM.
11. Penilaian risiko hendaklah dilaksanakan secara berkala atau apabila berlaku sebarang perubahan kepada persekitaran siber RTM.
12. Penilaian risiko hendaklah dikenal pasti dan dilaksanakan dengan tindakan berikut:
(i) Kerentanan
Kerentanan adalah kelemahan atau kecacatan aset yang mungkin dieksploitasi dan mengakibatkan pelanggaran keselamatan.
Kerentanan setiap aset hendaklah dikenal pasti sebagai sebahagian daripada proses pengurusan risiko.
(ii) Ancaman
RTM hendaklah mengenal pasti ancaman yang disengajakan atau tidak disengajakan yang mungkin mengeksploitasi sebarang kelemahan yang telah dikenal pasti.
(iii) Impak
RTM hendaklah menganggarkan impak insiden yang mungkin terjadi. Impak boleh dikategorikan kepada impak teknikal dan impak berkaitan dengan fungsi RTM.
(iv) Tahap Risiko
Tahap risiko ditentukan daripada ancaman, kebarangkalian dan impak risiko. Kaedah penentuan hendaklah mengikut polisi penilaian atau pengurusan risiko yang sedang berkuat kuasa.
(v) Pengolahan Risiko
(a) Pengolahan risiko hendaklah dikenal pasti untuk menentukan sama ada risiko perlu dielakkan, dikurangkan, diterima atau dipindahkan dengan mengambil kira kos/faedahnya.
(b) Ancaman berkaitan baki risiko dan risiko yang diterima hendaklah dipantau secara berkala dengan mengambil kira perkara berikut:
(1) Teknologi
Teknologi hendaklah dikenal pasti untuk mengurangkan risiko. Sebagai contoh, firewall digunakan untuk mengehadkan capaian logikal kepada sistem tertentu.
(2) Proses
Perekayasaan Proses, Prosedur Operasi Standard dan Manual Kerja hendaklah dikenal pasti untuk mengurangkan risiko.
(3) Manusia
Mengenal pasti sumber manusia berkelayakan dan kompeten yang mencukupi serta memastikan pengurusan sumber manusia dilaksanakan sebagai pengolahan risiko yang berkesan.
(vi) Pengurusan Risiko
(a) Penyedia perkhidmatan ICT di RTM hendaklah memastikan tadbir urus pengurusan risiko diwujudkan dengan mengambil kira perkara berikut:
(1) mengenal pasti kerentanan;
(2) mengenal pasti ancaman;
(3) menilai risiko;
(4) menentukan pengolahan risiko;
(5) memantau keberkesanan pengolahan risiko; dan
(6) memantau ancaman yang berkaitan dengan baki risiko dan risiko yang diterima.
(b) Item iv (tahap risiko) dan vi (pengurusan risiko) di atas hendaklah dijadikan agenda tetap dan dibincangkan sekurang-kurangnya sekali setahun dan dimaklumkan kepada Mesyuarat Jawatankuasa ISMS atau Jawatankuasa Pemandu ICT (JPICT) RTM.
13. Prinsip keselamatan hendaklah dipilih berdasarkan penilaian risiko dan kategori maklumat yang dikendalikan oleh sistem. Bagi mencapai objektif keselamatan maklumat, RTM hendaklah melaksanakan prinsip keselamatan seperti yang berikut:
(i) Prinsip “Perlu-Tahu”
RTM hendaklah melaksanakan mekanisme bagi memberikan kebenaran kepada capaian maklumat. Maklumat yang dicapai oleh pengguna yang dibenarkan hendaklah berdasarkan prinsip “Perlu-Tahu” yang membenarkan capaian maklumat yang diperlukan untuk melaksanakan tugasnya sahaja.
Bagi capaian spesifik Maklumat Rahsia Rasmi, penggunaan yang dibenarkan hendaklah dihadkan kepada masa, lokasi, peranan dan fungsi pengguna tersebut.
(ii) Hak Keistimewaan Minimum
Pengguna hendaklah diberikan hak keistimewaan minimum iaitu terhad kepada keperluan untuk menjalankan tugasnya. Hak akses pengguna hanya diberi pada tahap set yang paling minimum iaitu untuk membaca dan/atau melihat sahaja. Kelulusan adalah perlu untuk membolehkan pengguna mewujud, menyimpan, mengemas kini, mengubah atau membatalkan sesuatu maklumat. Prinsip ini digunakan untuk menyekat hak akses kepada aplikasi, sistem, proses dan peranti kepada pengguna yang dibenarkan untuk melaksanakan aktiviti. Hak akses perlu dikaji dari semasa ke semasa berdasarkan kepada peranan dan tanggungjawab pengguna/bidang tugas;
(iii) Pengasingan Tugas
Bagi mengekalkan prinsip sekat-dan-imbang (check and balance), RTM hendaklah melaksanakan pengasingan tugas bagi tugas yang kritikal supaya tidak dilaksanakan oleh seorang pengguna sahaja yang bertindak atas kuasa tunggalnya.
(iv) Kawalan Capaian Berdasarkan Peranan
Capaian sistem hendaklah dihadkan kepada pengguna yang dibenarkan mengikut peranan dalam fungsi tugas mereka dan kebenaran untuk melaksanakan operasi tertentu adalah berdasarkan peranan tersebut.
(v) Peminimuman Data
RTM hendaklah mengamalkan prinsip peminimuman data yang mengehadkan penyimpanan data peribadi kepada yang diperlukan dan disimpan dalam tempoh yang diperlukan sahaja.
(vi) Akauntabiliti
Setiap pengguna adalah bertanggungjawab ke atas semua tindakan terhadap kemudahan ICT yang disediakan. Akauntabiliti atau tanggungjawab pengguna termasuk perkara berikut:
(a) Menghalang pendedahan maklumat kepada pihak yang tidak dibenarkan;
(b) Memeriksa maklumat dan menentukan ianya sentiasa tepat dan lengkap;
(c) Menentukan maklumat sedia untuk digunakan;
(d) Menjaga kerahsiaan maklumat; dan
(e) Mematuhi langkah dan garis panduan keselamatan yang ditetapkan.
14. Teknologi untuk melindungi data hendaklah dikenal pasti di semua peringkat pemprosesan data dan pada setiap elemen pengkomputeran seperti berikut:
(i) Peringkat Pemprosesan Data
(a) Data-Dalam-Simpanan
(1) RTM hendaklah menggunakan teknologi yang bersesuaian untuk melindungi data-dalam-simpanan bagi menghalang capaian data yang tidak dibenarkan dan memelihara integriti data. Teknologi dan langkah-langkah perlindungan hendaklah dipilih berdasarkan penilaian risiko untuk melindungi data-dalam-simpanan.
(2) Maklumat Rahsia Rasmi, Maklumat Rasmi dan PII perlu dilindungi daripada segi kerahsiaan dan integriti data. Data terbuka perlu dilindungi daripada segi integriti data.
(b) Data-Dalam-Pergerakan
RTM hendaklah menggunakan teknologi yang bersesuaian untuk melindungi data-dalam-pergerakan bagi menghalang capaian data yang tidak dibenarkan dan memelihara integriti data. Teknologi dan langkah- langkah perlindungan hendaklah dipilih berdasarkan penilaian risiko untuk melindungi data-dalam-pergerakan.
(c) Data-Dalam-Penggunaan
(1) RTM hendaklah menggunakan teknologi yang bersesuaian untuk melindungi data-dalam-penggunaan bagi menghalang capaian data yang tidak dibenarkan dan memelihara integriti data. Di samping itu, teknologi untuk menentukan asal data dan tanpa sangkalan mungkin diperlukan. Teknologi dan langkah-langkah perlindungan hendaklah dipilih berdasarkan penilaian risiko untuk melindungi data dalam penggunaan.
(2) Teknologi yang bersesuaian boleh digunakan oleh RTM untuk memastikan asal data dan data/transaksi tanpa-sangkal.
(d) Perlindungan Ketirisan Data
(1) Teknologi perlindungan ketirisan data bertujuan untuk menghalang pengguna yang sah daripada menyebarkan maklumat tanpa kebenaran.
(2) Teknologi dan langkah-langkah perlindungan hendaklah dipilih berdasarkan penilaian risiko untuk menghalang atau mengesan ketirisan data.
(ii) Elemen Dalam Persekitaran Pengkomputeran
Berdasarkan penilaian risiko dan pelan pengurusan risiko, RTM hendaklah menggunakan kaedah teknologi dan kawalan keselamatan (countermeasure
dan control measure) yang dapat melindungi data di semua peringkat saluran pemprosesan bagi semua elemen dalam persekitaran pengkomputeran.
Maklumat Rahsia Rasmi hendaklah disimpan dan diproses dalam persekitaran pengkomputeran mengikut Arahan Keselamatan yang dikeluarkan oleh Ketua Pegawai Keselamatan Kerajaan Malaysia (CGSO) atau mendapat pengesahan dari CGSO.
Setiap projek ICT yang dibangunkan di RTM hendaklah mempunyai Pelan Pengurusan Keselamatan Maklumat tersendiri yang mengandungi maklumat terperinci berhubung seni bina sistem, teknologi dan kawalan keselamatan bagi setiap kategori elemen di bawah:
(a) Peranti pengkomputeran peribadi
(1) Peranti pengkomputeran peribadi merujuk kepada peranti komputer yang digunakan oleh manusia untuk berinteraksi dengan sistem. Contoh peranti pengkomputeran peribadi ialah komputer riba, stesen kerja, telefon pintar, tablet, dan peranti storan.
(2) Pengguna yang menggunakan peranti pengkomputeran peribadi milik persendirian untuk mencapai Maklumat Rasmi hendaklah memohon kebenaran daripada RTM . Walau bagaimanapun, peranti pengkomputeran peribadi milik persendirian hendaklah dilarang daripada mencapai Maklumat Rahsia Rasmi dan dilarang sama sekali dibawa masuk ke kawasan terperingkat. Teknologi yang boleh menguruskan peranti pengkomputeran peribadi milik persendirian hendaklah dilaksanakan sebagai sebahagian daripada pelan pengolahan risiko.
(b) Peranti rangkaian
(1) Peranti rangkaian merujuk kepada peranti yang digunakan untuk membolehkan saling hubung antara peranti komputer dan sistem seperti suis, penghala, firewall, peranti VPN dan kabel.
(2) Teknologi dan kawalan keselamatan yang dikenal pasti untuk melindungi data-dalam-pergerakan dan menghalang ketirisan data hendaklah diperincikan dalam Pelan Pengurusan Keselamatan Maklumat.
(c) Aplikasi
(1) Perisian aplikasi digunakan oleh manusia untuk memproses dan berinteraksi dengan data. Contoh perisian aplikasi ialah pelayan web, pelayan aplikasi, sistem operasi.
(2) Teknologi dan kawalan keselamatan yang dikenal pasti untuk melindungi data-dalam-penggunaan, data-dalam-pergerakan, data- dalam-simpanan dan menghalang ketirisan data hendaklah diperincikan dalam Pelan Pengurusan Keselamatan Maklumat.
(d) Xxxxxxx
(1) Pelayan merujuk kepada peranti pengkomputeran yang mengandungi aplikasi dan storan. Pelayan hendaklah diletakkan di lokasi yang selamat.
(2) Teknologi dan kawalan keselamatan yang dikenal pasti untuk melindungi data-dalam-penggunaan, data-dalam-pergerakan, data- dalam-simpanan dan menghalang ketirisan data hendaklah diperincikan dalam Pelan Pengurusan Keselamatan Maklumat.
(e) Persekitaran fizikal
(1) Persekitaran fizikal merujuk kepada lokasi fizikal yang menempatkan sistem ICT.
(2) RTM hendaklah merujuk kepada Pejabat Ketua Pegawai Keselamatan Kerajaan Malaysia untuk mendapatkan nasihat mengenai cadangan yang berkaitan dengan pengambilalihan, pajakan, pengubahsuaian, pembelian bangunan milik Kerajaan dan swasta yang menempatkan kemudahan pemprosesan maklumat.
(3) Perlindungan fizikal yang disediakan hendaklah selaras dengan risiko yang dikenal pasti dan berdasarkan prinsip defence-in-depth.
(4) Teknologi dan kawalan keselamatan yang dikenal pasti untuk melindungi data-dalam-penggunaan, data-dalam-pergerakan, data- dalam-simpanan dan menghalang ketirisan data hendaklah diperincikan dalam Pelan Pengurusan Keselamatan Maklumat.
15. Warga RTM hendaklah melindungi keselamatan siber dengan melaksanakan perkara-perkara berikut:
(i) Konfigurasi Asas
(a) Semua sistem hendaklah mempunyai satu konfigurasi asas yang direkodkan dan menjadi prasyarat pentauliahan sistem.
(b) Konfigurasi asas yang baharu hendaklah diwujudkan selaras dengan prosedur kawalan perubahan.
(ii) Kawalan Perubahan Konfigurasi
(a) Prosedur kawalan perubahan konfigurasi hendaklah diwujud dan dilaksana bagi perubahan kepada sistem, termasuk tampalan perisian, pakej perkhidmatan, konfigurasi rangkaian dan pengemaskinian sistem operasi.
(b) Sebarang perubahan yang tidak termasuk dalam konfigurasi asas hendaklah diluluskan oleh jawatankuasa yang dilantik atau diberi kuasa berdasarkan prosedur kawalan perubahan konfigurasi bagi menghasilkan konfigurasi asas terkini.
(c) Jawatankuasa yang dilantik atau diberi kuasa hendaklah menentukan keperluan untuk melaksanakan Penilaian Tahap Keselamatan berdasarkan jangkaan impak perubahan.
(iii) Sandaran
(a) Sandaran hendaklah dilaksanakan secara berkala berdasarkan peraturan semasa yang sedang berkuat kuasa untuk memastikan bahawa sistem boleh dipulihkan.
(b) Media sandaran hendaklah disimpan dalam persekitaran yang selamat dan di peranti atau lokasi yang berasingan.
(iv) Kitaran Pengurusan Aset
(a) Pindah
(1) Pemindahan hak milik aset berlaku dalam keadaan berikut:
(i) Warga RTM meninggalkan agensi disebabkan oleh persaraan, perletakan jawatan atau penugasan semula;
(ii) Aset yang dikongsi untuk kegunaan sementara;
(iii) Pemberian aset kepada agensi lain; dan
(iv) Aset dikembalikan setelah tamat tempoh sewaan.
(2) Data dalam peranti tersebut hendaklah diuruskan mengikut tatacara pelupusan di perkara (b).
(b) Pelupusan
(1) Pelupusan media storan hendaklah dirujuk kepada CGSO sebagai langkah pertama di mana CGSO akan membuat keputusan sama ada sistem itu mengandungi maklumat terperingkat atau sebaliknya.
(2) Berdasarkan keputusan CGSO, pelupusan perlu dirujuk kepada Arkib Negara Malaysia bagi semakan sama ada sistem itu mengandungi maklumat yang termaktub di bawah tindakan Akta Arkib Negara 2003 (Akta 629) dan Warta Kerajaan P.U.(A)377. Peraturan-Peraturan Arkib Negara (Penetapan Borang-Borang bagi Pelupusan Rekod Awam) 2008.
(3) Pelupusan boleh dalam bentuk pemusnahan fizikal dan/atau sanitasi data.
(4) Sanitasi data hendaklah mengikut Garis Panduan Sanitasi Media Elektronik Sektor Awam yang sedang berkuat kuasa.
(c) Xxxxxxx Xxxxx
(1) Kitaran hayat data hendaklah diuruskan mengikut Akta 629.
(2) Akta 629 memberikan mandat bahawa rekod kewangan hendaklah disimpan selama tujuh tahun dan rekod umum selama lima tahun.
16. Warga RTM , pembekal dan pihak-pihak yang berkepentingan hendaklah memahami peranan dan tanggungjawab mereka. Mereka hendaklah mematuhi terma dan syarat perkhidmatan serta peraturan semasa yang berkuatkuasa.
17. Sistem penyampaian perkhidmatan Kerajaan hendaklah dikendalikan oleh individu yang kompeten dan berpengetahuan. Kakitangan hendaklah dilatih dalam bidang pengkhususan yang diperlukan. Asas kecekapan pengguna hendaklah dibangunkan bagi semua warga RTM .
(i) Kompetensi Pengguna
(a) Kompetensi pengguna termasuk:
(1) Kesedaran amalan terbaik keselamatan maklumat dengan memupuk amalan baik keselamatan siber dengan mewujudkan komunikasi ICT dan program kesedaran keselamatan siber.
(2) Kemahiran menggunakan alat keselamatan dengan menyediakan latihan yang mencukupi kepada warga RTM berhubung alat-alat keselamatan berkaitan untuk memastikan warga RTM untuk melaksanakan tugas harian mereka.
(b) Kompetensi pengguna hendaklah tertakluk kepada penilaian berkala melalui ujian mendalam.
(c) Setiap orang yang diberi kuasa untuk mengendalikan dokumen terperingkat, kompetensi tambahan pengguna selaras dengan arahan/pekeliling semasa adalah diharapkan.
(ii) Kompetensi Pelaksana
(a) Warga RTM yang menguruskan aset ICT hendaklah memenuhi keperluan kecekapan minimum mengikut spesifikasi kerja mereka.
(b) Pegawai Keselamatan ICT hendaklah memenuhi syarat-syarat berikut:
(1) Mempunyai kelayakan akademik dalam bidang berkaitan atau sijil profesional keselamatan siber.
(2) Memenuhi keperluan pembelajaran berterusan.
(3) Menimba pengalaman yang mencukupi dalam bidang keselamatan siber.
(4) Memperolehi tapisan keselamatan daripada agensi yang diberi kuasa.
(c) Pegawai Keselamatan ICT yang dilantik oleh RTM hendaklah memenuhi keperluan kompetensi di atas. Pegawai Keselamatan ICT bertanggungjawab untuk merancang, mengurus dan melaksanakan program keselamatan di RTM .
(iii) Peranan
(a) Peranan pengguna hendaklah diberi berdasarkan keperluan dan kompetensi pengguna.
(b) Setiap orang yang terlibat dengan Maklumat Xxxxxx Xxxxx, hendaklah menandatangani perjanjian ketakdedahan seperti Arahan Keselamatan. Salinan asal perjanjian yang ditandatangani hendaklah disimpan dengan selamat dan menjadi rujukan masa depan.
(c) Tiada hak capaian automatik diberikan kepada individu tanpa mengira tapisan keselamatan mereka.
(d) Warga RTM yang berperanan menguruskan aset ICT hendaklah memastikan semua aset ICT Jabatan dikembalikan sekiranya berlaku perubahan peranan.
(e) Warga RTM yang terlibat dengan perubahan peranan hendaklah menyerahkan semua aset Jabatan yang berkaitan seperti tersenarai dalam senarai aset dalam Nota Serah Tugas.
(f) Warga RTM lain yang terlibat dengan perubahan peranan hendaklah menyerahkan semua aset Jabatan dengan diselia oleh kakitangan yang dipertanggungjawabkan oleh Jabatan.
K. PERNYATAAN POLISI KESELAMATAN SIBER RTM
18. Keselamatan ditakrifkan sebagai keadaan yang bebas daripada ancaman dan risiko yang tidak boleh diterima. Penjagaan keselamatan adalah suatu proses yang berterusan dan melibatkan aktiviti berkala yang mesti dilakukan dari semasa ke semasa untuk menjamin keselamatan kerana ancaman dan kelemahan siber sentiasa berubah.
19. Pernyataan ini merangkumi perlindungan semua bentuk maklumat elektronik dan bukan elektronik yang dimasukkan, diwujud, dimusnah, disimpan, dijana, dicetak, diakses, diedar, dalam penghantaran dan yang dibuat salinan bagi memelihara keselamatan ruang siber dan ketersediaan maklumat kepada semua pengguna yang dibenarkan. Ciri-ciri utama keselamatan maklumat adalah seperti berikut:
(i) Kerahsiaan
Maklumat tidak boleh didedahkan sewenang-wenangnya atau dibiarkan diakses tanpa kebenaran.
(ii) Integriti
Data dan maklumat hendaklah tepat, lengkap dan kemas kini dan hanya boleh diubah dengan cara yang dibenarkan.
(iii) Tidak Boleh Disangkal
Punca data dan maklumat hendaklah daripada punca yang sah dan tidak boleh disangkal.
(iv) Kesahihan
Data dan maklumat hendaklah dipastikan kesahihannya.
(v) Ketersediaan
Data dan maklumat hendaklah boleh diakses pada bila-bila masa.
20. Selain itu, langkah-langkah ke arah memelihara keselamatan siber hendaklah bersandarkan kepada penilaian yang bersesuaian dengan perubahan semasa terhadap kelemahan ICT RTM , ancaman yang wujud akibat daripada kelemahan tersebut, risiko yang mungkin timbul dan langkah-langkah pencegahan yang perlu diambil untuk menangani risiko berkenaan.
L. PELAN PENGURUSAN KESELAMATAN MAKLUMAT
21. Setiap projek terutamanya projek siber (ICT) di RTM hendaklah menyediakan Pelan Pengurusan Keselamatan Maklumat. Pelan ini mengandungi maklumat terperinci yang menyatakan keutamaan aplikasi, kawalan capaian dan keperluan- keperluan khusus yang lain.
22. Pelan ini hendaklah dibangunkan dengan berpandukan Rangka Kerja Keselamatan Siber Sektor Awam (RAKKSSA), Polisi Keselamatan Siber RTM dan surat pekeliling/arahan terkini untuk menangani isu-isu operasi projek.
23. Pelan ini hendaklah mengenal pasti perlindungan data-dalam-penggunaan, data-dalam-pergerakan, data-dalam-simpanan dan menghalang ketirisan data.
24. Pelan Pengurusan Keselamatan Maklumat hendaklah mengandungi maklumat terperinci berhubung seni bina sistem, teknologi dan kawalan keselamatan bagi setiap kategori elemen di bawah:
(i) Peranti Pengkomputeran Peribadi
(a) Peranti pengkomputeran peribadi merujuk kepada peranti komputer yang digunakan oleh manusia untuk berinteraksi dengan sistem. Contoh peranti pengkomputeran peribadi ialah komputer riba, stesen kerja, telefon pintar, tablet, dan peranti storan.
(b) Pengguna yang menggunakan peranti pengkomputeran peribadi milik persendirian untuk mencapai Maklumat Rasmi hendaklah memohon kebenaran daripada RTM. Walau bagaimanapun, peranti pengkomputeran peribadi milik pensendirian hendaklah dilarang daripada mencapai Maklumat Rahsia Rasmi dan dilarang sama sekali dibawa masuk ke kawasan terperingkat. Teknologi yang boleh menguruskan peranti pengkomputeran peribadi milik persendirian hendaklah dilaksanakan sebagai sebahagian daripada pelan pengolahan risiko.
(ii) Xxxxxxx Xxxxxxxxx
(a) Peranti rangkaian merujuk kepada peranti yang digunakan untuk membolehkan saling hubung antara peranti komputer dan sistem seperti suis, penghala, firewall, peranti VPN dan kabel.
(b) Teknologi dan kawalan keselamatan yang dikenal pasti untuk melindungi data-dalam-pergerakan dan menghalang ketirisan data hendaklah diperincikan dalam Pelan Pengurusan Keselamatan Maklumat.
(iii) Aplikasi
(a) Perisian aplikasi digunakan oleh manusia untuk memproses dan berinteraksi dengan data. Contoh perisian aplikasi ialah pelayan web, pelayan aplikasi, sistem operasi.
(b) Teknologi dan kawalan keselamatan yang dikenal pasti untuk melindungi data-dalam-penggunaan, data-dalam-pergerakan, data-dalam-simpanan dan menghalang ketirisan data hendaklah diperincikan dalam Pelan Pengurusan Keselamatan Maklumat.
(iv) Pelayan
(a) Pelayan merujuk kepada peranti pengkomputeran yang mengandungi aplikasi dan storan. Pelayan hendaklah diletakkan di lokasi yang selamat.
(b) Teknologi dan kawalan keselamatan yang dikenal pasti untuk melindungi data-dalam-penggunaan, data-dalam-pergerakan, data-dalam-simpanan dan menghalang ketirisan data hendaklah diperincikan dalam Pelan Pengurusan Keselamatan Maklumat.
(v) Persekitaran Fizikal
(a) Persekitaran fizikal merujuk kepada lokasi fizikal yang menempatkan sistem ICT.
(b) RTM hendaklah merujuk kepada Pejabat Ketua Pegawai Keselamatan Kerajaan Malaysia untuk mendapatkan nasihat mengenai cadangan yang berkaitan dengan pengambilalihan, pajakan, pengubahsuaian, pembelian bangunan milik Kerajaan dan swasta yang menempatkan kemudahan pemprosesan maklumat.
(c) Perlindungan fizikal yang disediakan hendaklah selaras dengan risiko yang dikenal pasti dan berdasarkan prinsip defence-in-depth.
(d) Teknologi dan kawalan keselamatan yang dikenal pasti untuk melindungi data-dalam-penggunaan, data-dalam-pergerakan, data-dalam-simpanan dan menghalang ketirisan data hendaklah diperincikan dalam Pelan Pengurusan Keselamatan Maklumat.
25. Polisi ini diyakini dapat menjamin kesinambungan urusan RTM dengan meminimumkan kesan insiden keselamatan siber dan menjadi panduan kepada warga RTM dalam melindungi aset ICT dan maklumat di ruang siber.
SENARAI LAMPIRAN
LAMPIRAN | TAJUK |
1 | Bidang A.5 Polisi Keselamatan Maklumat |
2 | Bidang A.6 Perancangan Bagi Keselamatan Maklumat |
3 | Bidang A.7 Keselamatan Sumber Manusia |
4 | Bidang A.8 Pengurusan Aset |
5 | Bidang A.9 Kawalan Akses |
6 | Bidang A.10 Kriptografi |
7 | Bidang A.11 Keselamatan Fizikal Xxx Xxxxxxxxxxxx |
8 | Bidang A.12 Keselamatan Operasi |
9 | Bidang A.13 Pengurusan Komunikasi |
10 | Bidang A.14 Perolehan, Pembangunan Dan Penyelenggaraan Sistem |
11 | Bidang A.15 Hubungan Dengan Pembekal |
12 | Bidang A.16 Pengurusan Insiden Keselamatan Maklumat |
13 | Bidang A.17 Aspek Keselamatan Maklumat Dalam Pengurusan Kesinambungan Perkhidmatan |
14 | Bidang A.18 Pematuhan |
15 | Undang-Undang Dan Kontrak Yang Terpakai |
16 | Surat Akuan Pematuhan Polisi Keselamatan Siber RTM |
Nota: ISO/IEC 27002:2013 merupakan dokumen panduan implementasi dalam melaksanakan setiap kawalan keselamatan maklumat. Klausa 0 hingga klausa 4 merupakan klausa pengenalan standard manakala bidang kawalan A.5 hingga A.18 yang disenaraikan dalam Lampiran 1 hingga 14 diselaraskan dengan merujuk Annex A:Klausa 5 hingga 18 dokumen ISO/IEC 27002:2013 dan hendaklah digunakan mengikut konteks Klausa 6.1.3 dokumen ISO/IEC 27001:2013.
TAKRIFAN
Bagi maksud pemakaian Polisi Keselamatan Siber RTM ini:
(1) | Antivirus | Perisian yang mengimbas virus pada media storan, seperti disket, cakera padat, pita magnetik, optical disk, flash disk akan sebarang kemungkinan adanya virus. |
(2) | Aset ICT | Peralatan ICT termasuk perkakasan, perisian, perkhidmatan, data atau maklumat dan manusia. |
(3) | Aset Alih | Aset alih bermaksud aset yang boleh dipindahkan dari satu tempat ke satu tempat yang lain termasuk aset yang dibekalkan atau dipasang bersekali dengan bangunan. |
(4) | Backup | Proses penduaan sesuatu dokumen atau maklumat. |
(5) | Baki risiko | Risiko yang tinggal atau berbaki selepas pengolahan risiko dilaksanakan. |
(6) | Bandwidth | Lebar Jalur Ukuran atau jumlah data yang boleh dipindahkan melalui kawalan komunikasi (contoh di antara cakera keras dan komputer) dalam jangka masa yang ditetapkan. |
(7) | BCP/PKP | Business Continuity Plan Pelan Kesinambungan Perkhidmatan |
(8) | CCTV | Closed-Circuit Television System Sistem TV yang digunakan secara komersil di mana satu sistem TV kamera video dipasang di dalam premis pejabat bagi tujuan membantu pemantauan fizikal. |
(9) | CIA | Confidentiality, Integrity, Authenticity, Accessibility, Accountability |
(10) | CIO | Chief Information Officer Ketua Pegawai Maklumat yang bertanggungjawab terhadap ICT dan maklumat bagi menyokong arah tuju sesebuah organisasi. |
(11) | Clear Desk dan Clear Screen | Tidak meninggalkan dokumen data dan maklumat dalam keadaan terdedah di atas meja atau di paparan skrin komputer apabila pengguna tidak berada di tempatnya. |
(12) | Data-at-rest (data-dalam-simpanan) | Refers to data that is being stored in stable destination systems. Data at rest is frequently defined as data that is not in use or is not traveling to system endpoints, such as mobile devices or workstations. |
(13) | Data-in-motion (data-dalam-pergerakan) | Refers to a stream of data moving through any kind of network. It represents data which is being transferred or moved. |
(14) | Data-in-use (data-dalam- penggunaan) | Refers to data that is not simply being passively stored in a stable destination, such as a central data warehouse, but is working its way through other parts of an IT architecture. |
(15) | Denial of service | Halangan pemberian perkhidmatan. |
(16) | Defence-in-depth | Merupakan satu pendekatan dalam keselamatan siber di mana merupakan satu mekanisme lapisan pertahanan untuk melindungi data dan maklumat. |
(17) | Downloading | Aktiviti muat turun sesuatu perisian. |
(18) | Encryption | Enkripsi atau penyulitan ialah satu proses penyulitan data oleh pengirim supaya tidak difahami oleh orang lain kecuali penerima yang sah. |
(19) | Escrow (eskrow) | Sebarang sistem yang membuat salinan kunci penyulitan supaya boleh dicapai oleh individu yang dibenarkan pada bila-bila masa. |
(20) | Firewall | Sistem yang direka bentuk untuk menghalang capaian pengguna yang tidak berkenaan kepada atau daripada rangkaian dalaman. Terdapat dalam bentuk perkakasan atau perisian atau kombinasi kedua-duanya |
(21) | Forgery | Pemalsuan dan penyamaran identiti yang banyak dilakukan dalam penghantaran mesej melalui emel termasuk penyalahgunaan dan pencurian identiti, pencurian maklumat (information theft/espionage), penipuan (hoaxes). |
(22) | CERT RTM | Computer Emergency Response Team atau Pasukan Tindak Balas Insiden Keselamatan ICT RTM |
(23) | Hard disk | Cakera keras. Digunakan untuk menyimpan data dan boleh diakses lebih pantas. |
(24) | Hub | Hab merupakan peranti yang menghubungkan dua atau lebih stesen kerja menjadi suatu topologi bas berbentuk bintang dan menyiarkan (broadcast) data yang diterima daripada sesuatu port kepada semua port yang lain. |
(25) | ICT | Information and Communication Technology Teknologi Maklumat dan Komunikasi |
(26) | ICTSO | ICT Security Officer Pegawai yang bertanggungjawab terhadap keselamatan sistem komputer. |
(27) | Impak teknikal | Melibatkan perkara-perkara yang menjejaskan kerahsiaan, integriti, ketersediaan dan akauntabiliti. |
(28) | Impak fungsi jabatan | Melibatkan perkara-perkara dari segi kewangan, reputasi, ketidakpatuhan dan perlanggaran privasi. |
(29) | Insiden Keselamatan | Musibah (adverse event) yang berlaku ke atas sistem maklumat dan komunikasi atau ancaman kemungkinan berlaku kejadian tersebut. |
(30) | Internet | Sistem rangkaian seluruh dunia, di mana pengguna boleh membuat capaian maklumat daripada pelayan (server) atau komputer lain. |
(31) | Internet Gateway | Merupakan suatu titik yang berperanan sebagai pintu masuk ke rangkaian yang lain. Menjadi pemandu arah trafik dengan betul dari satu trafik ke satu trafik yang lain di samping mengekalkan trafik- trafik dalam rangkaian-rangkaian tersebut agar sentiasa berasingan. |
(32) | Intranet | Rangkaian dalaman yang dimiliki oleh sesebuah organisasi atau jabatan dan hanya boleh dicapai oleh kakitangan dan mereka yang diberi kebenaran sahaja. |
(33) | ISDN | Integrated Services Digital Network Menggunakan isyarat digital pada talian telefon analog yang sedia ada. |
(34) | Intrusion Detection System (IDS) | Sistem Pengesan Pencerobohan Perisian atau perkakasan yang mengesan aktiviti tidak berkaitan, kesilapan atau yang berbahaya kepada sistem. Sifat IDS berpandukan jenis data yang dipantau, iaitu sama ada lebih bersifat host atau rangkaian. |
(35) | Intrusion Prevention System (IPS) | Sistem Pencegah Pencerobohan Perkakasan keselamatan komputer yang memantau rangkaian dan/atau aktiviti yang berlaku dalam sistem bagi mengesan perisian berbahaya. Boleh bertindak balas menyekat atau menghalang aktiviti serangan atau malicious code. Contohnya: Network-based IPS |
yang akan memantau semua trafik rangkaian bagi sebarang kemungkinan serangan. | ||
(36) | ISMS | Information Security Management System Sistem Pengurusan Keselamatan Maklumat |
(37) | RTM | Jabatan Penyiaran Malaysia |
(38) | Keadaan Berisiko Tinggi | Dalam situasi yang mudah mendapat ancaman dari pihak luar atau apa-apa kemungkinan yang boleh menjejaskan kelancaran sistem. |
(39) | Kerentanan | Kelemahan atau kecacatan sistem yang mungkin dieksploitasikan dan mengakibatkan pelanggaran keselamatan |
(40) | Kriptografi | Kaedah untuk menukar data dan maklumat biasa (standard format) kepada format yang tidak boleh difahami bagi melindungi penghantaran data dan maklumat. |
(41) | LAN | Local Area Network Rangkaian Kawasan Setempat yang menghubungkan komputer. |
(42) | Lock | Mengunci komputer. |
(43) | Logout | Log-out komputer Keluar daripada sesuatu sistem atau aplikasi komputer. |
(44) | Malicious Code | Perkakasan atau perisian yang dimasukkan ke dalam sistem tanpa kebenaran bagi tujuan pencerobohan. Ia melibatkan serangan virus, trojan horse, worm, spyware dan sebagainya. |
(45) | Mobile Code | Mobile code merupakan suatu perisian yang boleh dipindahkan di antara sistem komputer dan rangkaian serta dilaksanakan tanpa perlu melalui sebarang |
proses pemasangan sebagai contoh Java Applet, ActiveX dan sebagainya pada pelayar internet. | ||
(46) | MODEM | MOdulator DEModulator Peranti yang boleh menukar strim bit digital ke isyarat analog dan sebaliknya. Ia biasanya disambung ke talian telefon bagi membolehkan capaian Internet dibuat dari komputer. |
(47) | Outsource | Bermaksud menggunakan perkhidmatan luar untuk melaksanakan fungsi-fungsi tertentu ICT bagi suatu tempoh berdasarkan kepada dokumen perjanjian dengan bayaran yang dipersetujui. |
(48) | Pasukan ERT | Pasukan Tindakan Kecemasan/Emergency Response Team (ERT) |
(49) | Pegawai Pengelas | Bertanggungjawab menguruskan dokumen rahsia rasmi Kerajaan dari segi pendaftaran, pengelasan, pengelasan semula dan pelupusan serta mematuhi peraturan yang sedang berkuat kuasa. |
(50) | Pengolahan risiko | Merangkumi elemen proses, teknologi dan manusia hendaklah dikenal pasti dan dilaksana berdasarkan hasil penilaian risiko. |
(51) | Perisian Aplikasi | Merujuk kepada perisian atau pakej yang selalu digunakan seperti spreadsheet dan word processing atau pun sistem aplikasi yang dibangunkan oleh sesebuah organisasi atau jabatan |
(52) | Public-Key Infrastructure (PKI) | Infrastruktur Kunci Awam merupakan satu kombinasi perisian, teknologi penyulitan dan perrkhidmatan yang membolehkan organisasi melindungi keselamatan berkomunikasi dan transaksi melalui Internet. |
(53) | Rollback (undur) | Pengembalian pangkalan data atau program kepada keadaan stabil sebelum sesuatu ralat berlaku. |
(54) | Router | Penghala yang digunakan untuk menghantar data antara dua rangkaian yang mempunyai kedudukan rangkaian yang berlainan. Contohnya, pencapaian Internet. |
(55) | Screen saver | Imej yang akan diaktifkan pada sistem/komputer setelah ianya tidak digunakan dalam jangka masa tertentu. |
(56) | Server | Pelayan komputer |
(57) | Source Code | pengaturcaraan komputer yang difahami manusia. |
(58) | Switches | Suis merupakan gabungan hab dan titi yang menapis bingkai supaya mensegmenkan rangkaian. Kegunaan suis dapat memperbaiki prestasi rangkaian Carrier Sense Multiple Access/Collision Detection (CSMA/CD) yang merupakan satu sistem penghantaran dengan mengurangkan perlanggaran yang berlaku. |
(59) | Threat | Gangguan dan ancaman melalui pelbagai cara iaitu e-mel dan surat yang bermotif personal dan atas sebab tertentu. |
(60) | Uninterruptible Power Supply (UPS) | Satu peralatan yang digunakan bagi membekalkan bekalan kuasa yang berterusan dari sumber berlainan ketika ketiadaan bekalan kuasa ke peralatan yang bersambung. |
(61) | Video Conference | Media yang menerima dan memaparkan maklumat multimedia kepada pengguna pada masa yang sama ia diterima oleh penghantar. |
(62) | Video Streaming | Teknologi komunikasi yang interaktif yang membenarkan dua atau lebih lokasi untuk berinteraksi melalui paparan video dua hala dan audio secara serentak. |
(63) | Virus | Atur cara yang bertujuan merosakkan data atau sistem aplikasi. |
(64) | WAN | Wide Area Network Rangkaian yang merangkumi kawasan yang luas. |
(65) | Warga RTM | Kakitangan kerajaan yang berkhidmat di RTM samada berjawatan tetap, sambilan dan kontrak yang menggunakan perkhidmatan ICT RTM |
(66) | Wireless LAN | Jaringan komputer yang terhubung tanpa melalui kabel. |
(67) | Worm | Sejenis virus yang boleh mereplikasi dan membiak dengan sendiri, yang biasanya menjangkiti sistem operasi yang lemah atau tidak dikemas kini. |
BIDANG A.5
POLISI KESELAMATAN MAKLUMAT (INFORMATION SECURITY POLICY)
A.5.1 Hala Tuju Pengurusan Untuk Keselamatan Maklumat (Management Directions for Information Security)
Objektif: Menerangkan hala tuju dan sokongan pengurusan terhadap keselamatan maklumat selaras dengan keperluan RTM dan perundangan yang berkaitan.
A.5.1.1 Polisi Keselamatan Maklumat (Policies for Information Security) Peranan: JPICT/CIO/ Pengarah Bahagian / Negeri / ICTSO
Pelaksanaan polisi ini akan dijalankan oleh Ketua Pengarah Penyiaran ( KPP) dengan disokong oleh Jawatankuasa Pemandu ICT & JK Pengurusan ISMS yang terdiri daripada Ketua Pegawai Maklumat, Pegawai Keselamatan ICT, Pengarah Bahagian/Negeri dan ahli-ahli yang dilantik oleh KPP.
Polisi Keselamatan Siber RTM mestilah dipatuhi oleh semua warga RTM , pembekal dan pihak yang mempunyai urusan dengan perkhidmatan ICT RTM .
Satu set polisi untuk keselamatan maklumat perlu ditakrifkan, diluluskan, diterbitkan dan dimaklumkan oleh pihak pengurusan RTM kepada warga RTM , pembekal dan pihak yang mempunyai urusan dengan perkhidmatan ICT RTM .
A.5.1.2 Kajian Semula Polisi untuk Keselamatan Maklumat (Review of Policies for Information Security)
Peranan: JPICT/CIO/Pengurus Keselamatan Siber(ICTSM)/ICTSO
Polisi ini perlu disemak dan dipinda pada jangka masa yang dirancang atau apabila terdapat perubahan teknologi, aplikasi, prosedur, perundangan, dan polisi Kerajaan. Berikut ialah prosedur yang berkaitan dengan kajian semula Polisi Keselamatan Siber RTM :
(i) Mengenal pasti dan menentukan perubahan yang diperlukan;
(ii) Mengemukakan cadangan pindaan secara bertulis kepada ICTSM / ICTSO untuk tindakan dan pertimbangan kepada JPICT bagi tujuan pengesahan;
(iii) Memaklumkan pindaan yang telah disahkan oleh JPICT kepada warga RTM , pembekal dan pihak yang mempunyai urusan dengan perkhidmatan ICT RTM ; dan
(iv) Polisi ini hendaklah dikaji semula sekurang-kurangnya DUA (2) TAHUN SEKALI atau mengikut keperluan semasa bagi memastikan dokumen sentiasa relevan.
LAMPIRAN 2
BIDANG A.6
PERANCANGAN BAGI KESELAMATAN ORGANISASI (ORGANIZATION OF INFORMATION SECURITY)
A.6.1 Perancangan Dalaman (Internal Organization)
Objektif: Menerangkan peranan dan tanggungjawab individu yang terlibat dengan lebih jelas dan teratur dalam mencapai objektif Polisi Keselamatan Siber RTM .
A.6.1.1 Peranan dan Tanggungjawab Keselamatan Maklumat (The Role and Responsibility of Information Security)
(i) Ketua Pengarah Penyiaran Peranan : Ketua Pengarah Penyiaran
Peranan dan tanggungjawab adalah seperti yang berikut:
(a) Memastikan penguatkuasaan pelaksanaan Polisi ini;
(b) Memastikan warga RTM , pembekal dan pihak yang mempunyai urusan dengan perkhidmatan ICT RTM memahami dan mematuhi peruntukan- peruntukan di bawah Polisi ini;
(c) Memastikan semua keperluan RTM seperti sumber kewangan, personel dan perlindungan keselamatan adalah mencukupi;
(d) Memastikan pengurusan risiko dan program keselamatan siber dilaksanakan seperti yang ditetapkan di dalam Polisi ini; dan
(e) Melantik CIO.
(ii) Ketua Pegawai Maklumat (CIO) Peranan: CIO RTM
Peranan dan tanggungjawab CIO adalah seperti yang berikut:
(a) Membantu Ketua Pengarah Penyiaran dalam melaksanakan tugas-tugas yang melibatkan keselamatan siber seperti yang ditetapkan di dalam Polisi ini;
(b) Memastikan kawalan keselamatan maklumat dalam RTM diseragam dan diselaraskan dengan sebaiknya;
(c) Memastikan Pelan Strategik ICT RTM mengandungi aspek keselamatan siber; dan
(d) Menyelaras pelan latihan dan program kesedaran keselamatan siber.
(e) Melantik ICTSO.
(iii) Pengurus Keselamatan ICT (ICTSM) Peranan: ICTSM
Peranan dan tanggungjawab ICTSM yang dilantik adalah seperti yang berikut:
(a) Pengarah Bahagian, Pusat Siaran dan Kawalan Rangkaian Multichannel (PSKRM);
(b) Mewujudkan garis panduan, prosedur dan tatacara selaras dengan keperluan Polisi ini;
(c) Merangka pengurusan risiko dan audit keselamatan siber berpandukan rangka kerja, polisi, pekeliling/garis panduan, dan pelan pengurusan keselamatan maklumat yang berkuat kuasa;
(d) Berperanan sebagai Pengarah CERT RTM ;
(e) Melaporkan insiden keselamatan siber kepada CIO bagi insiden yang memerlukan Pengurusan Kesinambungan Perkhidmatan (PKP);
(f) Bekerjasama dengan semua pihak yang berkaitan dalam mengenal pasti punca ancaman atau insiden keselamatan siber dan memperakukan langkah-langkah baik pulih dengan segera;
(g) Menyemak, mengkaji dan menyediakan laporan berkaitan dengan isu-isu keselamatan siber; dan
(iv) Pegawai Keselamatan ICT (ICTSO) Peranan: ICTSO
Peranan dan tanggungjawab ICTSO yang dilantik adalah seperti yang berikut:
(h) Mengurus keseluruhan program – program Keselamatan Siber RTM ;
(i) Melaksanakan pengurusan risiko dan audit keselamatan siber berpandukan rangka kerja, polisi, pekeliling/garis panduan, dan pelan pengurusan keselamatan maklumat yang berkuat kuasa;
(j) Menyedia dan menyebarkan amaran-amaran yang sesuai terhadap kemungkinan berlakunya ancaman keselamatan siber dan memberikan khidmat nasihat serta menyediakan langkah-langkah perlindungan yang bersesuaian;
(k) Melaporkan insiden keselamatan siber kepada CERT RTM dan seterusnya membantu dalam penyiasatan atau pemulihan;
(l) Melaporkan insiden keselamatan siber kepada CIO bagi insiden yang memerlukan Pengurusan Kesinambungan Perkhidmatan (PKP);
(m) Bekerjasama dengan semua pihak yang berkaitan dalam mengenal pasti punca ancaman atau insiden keselamatan siber dan memperakukan langkah-langkah baik pulih dengan segera;
(n) Melaksanakan pematuhan Polisi ini oleh warga RTM , pembekal dan pihak yang mempunyai urusan dengan perkhidmatan ICT RTM ;
(o) Mengkaji dan menyediakan laporan berkaitan dengan isu-isu keselamatan siber;
(p) Menyedia dan merangka latihan dan program kesedaran keselamatan siber; dan
(q) Menguatkuasakan pelaksanaan Polisi Keselamatan Siber RTM
(r) Memaklumkan sebarang perkara atau penemuan mengenai keselamatan siber kepada CIO;
(v) Timbalan Pengarah SAICT Xxxxxxx: Timbalan Pengarah SAICT
Peranan dan tanggungjawab Timbalan Pengarah ialah melaksanakan keperluan Polisi ini dalam operasi semasa seperti yang berikut:
(a) Pelaksanaan sistem atau aplikasi baharu ICT sama ada dibangunkan secara dalaman atau luaran yang melibatkan teknologi baharu;
(b) Pembelian atau peningkatan perisian dan sistem komputer;
(c) Perolehan teknologi dan perkhidmatan komunikasi ICT baharu;
(d) Menentukan pembekal dan rakan usaha sama menjalani tapisan keselamatan; dan
(e) Memastikan pematuhan kepada pelaksanaan rangka kerja, polisi, pekeliling/garis panduan, dan pelan pengurusan keselamatan maklumat kerajaan yang berkuat kuasa.
(f) Menentukan kawalan akses semua pengguna terhadap aset ICT RTM ; dan
(vi) Pentadbir Sistem ICT Peranan: Pentadbir Sistem ICT
Peranan dan tanggungjawab Pentadbir Sistem ICT adalah seperti yang berikut:
(a) Mengambil tindakan yang bersesuaian dengan segera apabila dimaklumkan mengenai personel yang berhenti, bertukar, bercuti, berkursus panjang atau berlaku perubahan dalam bidang tugas;
(b) Menentukan ketepatan dan kesahihan sesuatu tahap capaian berdasarkan arahan pemilik sumber maklumat sebagaimana yang telah ditetapkan di dalam Polisi ini;
(c) Memantau aktiviti capaian sistem aplikasi;
(d) Mengenal pasti aktiviti-aktiviti tidak normal seperti pencerobohan dan pengubahsuaian data tanpa kebenaran dan membatalkan atau memberhentikannya dengan serta-merta;
(e) Menganalisis dan menyimpan rekod jejak audit;
(f) Menyediakan laporan mengenai aktiviti capaian secara berkala; dan
(g) Bertanggungjawab memantau setiap perkakasan ICT yang diagihkan kepada personel di dalam keadaan yang baik.
(vii) Jawatankuasa Pemandu ICT (JPICT) Peranan: Jawatankuasa Pemandu ICT
Peranan dan tanggungjawab JPICT seperti yang terkandung dalam Surat Pekeliling Am Bil 3 Tahun 2015 ialah merancang dan menentukan langkah- langkah keselamatan siber.
(viii) Jawatankuasa Pengurusan ISMS Peranan:
Jawatankuasa Pengurusan ISMS
Bidang rujukan Jawatankuasa Pengurusan ISMS adalah seperti yang berikut:
(a) Menentukan hala tuju keseluruhan pelaksanaan pensijilan ISMS RTM yang merangkumi perancangan, pemantauan dan pengesahan terhadap:
(b) Pelaksanaan pensijilan ISMS ke atas perkhidmatan RTM yang dikenal pasti;
(c) Kelulusan ke atas dasar, objektif dan skop pelaksanaan ISMS;
(d) Penetapan kriteria penerimaan risiko, tahap risiko dan risk treatment plan;
(e) Keputusan dan tindakan Mesyuarat Jawatankuasa ISMS RTM ;
(f) Kajian semula pelaksanaan pensijilan ISMS ke atas perkhidmatan- perkhidmatan RTM yang dikenal pasti;
(g) Dasar dan objektif ISMS diwujudkan selaras dengan hala tuju strategik RTM ;
(h) Keperluan ISMS diterapkan dalam budaya kerja pegawai RTM ;
(i) Sumber yang diperlukan oleh pasukan pelaksana ISMS;
(j) Kepentingan pengurusan ISMS yang berkesan dan pematuhan terhadap keperluannya;
(k) Pencapaian sasaran ISMS seperti yang dirancang;
(l) Arahan dan sokongan kepada Pasukan ISMS RTM bagi memastikan ISMS dapat dilaksanakan dengan berkesan; dan
(m) Pelaksanaan program penambahbaikan dan peningkatan ISMS yang berterusan.
Meluluskan:
(a) Struktur organisasi ISMS RTM ;
(b) Keperluan sumber; dan
(c) Pelantikan Pasukan Audit dalam ISMS RTM .
(ix) Computer Emergency Response Team (CERT) RTM Peranan: CERT RTM
Keanggotaan CERT RTM adalah berdasarkan lantikan oleh CIO RTM .
Peranan dan tanggungjawab CERT RTM adalah seperti yang berikut:
(a) Menerima dan mengesan aduan keselamatan siber serta menilai tahap dan jenis insiden;
(b) Merekod dan menjalankan siasatan awal insiden yang diterima;
(c) Menangani tindak balas insiden keselamatan siber dan mengambil tindakan baik pulih minimum;
(d) Menasihati Pentadbir Sistem/Pelayan untuk mengambil tindakan pemulihan dan pengukuhan;
(e) Menyebarkan makluman berkaitan pengukuhan keselamatan siber kepada Pentadbir Sistem ICT; dan
(f) Melaksanakan pengurusan insiden berdasarkan Pekeliling / Garis Panduan / Prosedur Operasi Piawai yang berkuat kuasa.
(x) Pihak Ketiga
Peranan: Pihak Ketiga
Peranan dan tanggungjawab Pihak Ketiga adalah seperti yang berikut:
(a) Membaca, memahami dan mematuhi Polisi ini;
(b) Mengenal pasti risiko keselamatan maklumat dan kemudahan pemprosesan maklumat serta melaksanakan kawalan yang sesuai sebelum memberi kebenaran capaian;
(c) Menjalani tapisan keselamatan sekiranya diperlukan dikehendaki berurusan dengan maklumat rasmi terperingkat;
(d) Mematuhi prinsip-prinsip keselamatan Polisi ini dan menjaga kerahsiaan maklumat Kerajaan;
(e) Melaksanakan langkah-langkah perlindungan seperti yang berikut:
(1) Menghalang pendedahan maklumat kepada pihak yang tidak dibenarkan;
(2) Memeriksa maklumat dan menentukan ia tepat dan lengkap dari semasa ke semasa;
(3) Menentukan maklumat sedia untuk digunakan;
(4) Menjaga kerahsiaan maklumat;
(5) Mematuhi dasar, piawaian dan garis panduan keselamatan siber yang ditetapkan;
(6) Melaksanakan peraturan berkaitan maklumat terperingkat terutama semasa pewujudan, pemprosesan, penyimpanan, penghantaran, penyampaian, pertukaran dan pemusnahan; dan
(7) Menjaga kerahsiaan kawalan keselamatan siber dari diketahui umum.
(f) Mematuhi semua syarat keselamatan siber dalam perjanjian dan akses kepada aset ICT RTM perlu berlandaskan kepada perjanjian kontrak.
(g) Menghadiri program-program kesedaran mengenai keselamatan siber; dan
(h) Bersetuju dengan terma dan syarat yang terkandung di dalam Polisi ini.
(xi) Pengguna
Peranan: Pengguna
Peranan dan tanggungjawab pengguna adalah seperti yang berikut:
(i) Membaca, memahami dan mematuhi Polisi ini;
(j) Mengetahui dan memahami implikasi keselamatan siber kesan daripada tindakannya;
(k) Menjalani tapisan keselamatan sekiranya diperlukan dikehendaki berurusan dengan maklumat rasmi terperingkat;
(l) Mematuhi prinsip-prinsip keselamatan Polisi ini dan menjaga kerahsiaan maklumat Kerajaan;
(m) Melaksanakan langkah-langkah perlindungan seperti yang berikut:
(8) Menghalang pendedahan maklumat kepada pihak yang tidak dibenarkan;
(9) Memeriksa maklumat dan menentukan ia tepat dan lengkap dari semasa ke semasa;
(10) Menentukan maklumat sedia untuk digunakan;
(11) Menjaga kerahsiaan maklumat;
(12) Mematuhi dasar, piawaian dan garis panduan keselamatan siber yang ditetapkan;
(13) Melaksanakan peraturan berkaitan maklumat terperingkat terutama semasa pewujudan, pemprosesan, penyimpanan, penghantaran, penyampaian, pertukaran dan pemusnahan; dan
(14) Menjaga kerahsiaan kawalan keselamatan siber dari diketahui umum.
(n) Melaporkan sebarang aktiviti yang mengancam keselamatan siber kepada CERT RTM dengan segera;
(o) Menghadiri program-program kesedaran mengenai keselamatan siber; dan
(p) Bersetuju dengan terma dan syarat yang terkandung di dalam Polisi ini.
A.6.1.2 Pengasingan Tugas (Segregation of Duties) Peranan: Timbalan Pengarah SAICT
Tugas dan bidang tanggungjawab yang bercanggah hendaklah diasingkan bagi mengurangkan peluang mengubah suai, tanpa kebenaran atau dengan tidak sengaja mengubah atau menyalah guna aset.
Perkara-perkara yang perlu dipatuhi adalah seperti yang berikut:
(i) skop tugas dan tanggungjawab perlu diasingkan bagi mengurangkan peluang berlakunya penyalahgunaan atau pengubahsuaian yang tidak dibenarkan ke atas aset ICT;
(ii) tugas mewujud, memadam, mengemas kini, mengubah dan mengesahkan data hendaklah diasingkan bagi mengelakkan daripada capaian yang tidak dibenarkan serta melindungi aset ICT daripada kesilapan, kebocoran maklumat terperingkat atau dimanipulasi;
(iii) perkakasan yang digunakan bagi tugas membangun, mengemas kini, menyenggara dan menguji aplikasi hendaklah diasingkan daripada perkakasan yang digunakan sebagai production. Pengasingan juga merangkumi tindakan memisahkan antara kumpulan operasi dan rangkaian; dan
(iv) pengasingan tugas bagi tugas yang kritikal tidak boleh dilaksanakan oleh seorang pengguna sahaja yang bertindak atas kuasa tunggalnya.
A.6.1.3 Hubungan Dengan Pihak Berkuasa (Contact with Authorities) Peranan: BKP, Pasukan ERT, CERT RTM
Hubungan yang baik dengan pihak berkuasa berkaitan hendaklah dikekalkan. Perkara-perkara yang perlu dipatuhi adalah seperti yang berikut:
(i) hendaklah mengenal pasti perundangan dan peraturan yang berkaitan dalam melaksanakan peranan dan tanggungjawab RTM ;
(ii) mewujud dan mengemas kini prosedur/senarai pihak berkuasa perundangan/pihak yang dihubungi semasa kecemasan. Pihak berkuasa perundangan ialah Polis Diraja Malaysia dan Suruhanjaya Komunikasi Dan Multimedia. Pihak yang dihubungi semasa kecemasan termasuk juga pihak
utiliti, pembekal perkhidmatan, perkhidmatan kecemasan, pembekal elektrik, keselamatan dan kesihatan serta bomba; dan
(iii) insiden keselamatan maklumat harus dilaporkan tepat pada masanya bagi mengurangkan impak insiden.
A.6.1.4 Hubungan Dengan Kumpulan Berkepentingan Yang Khusus (Contact with Special Interest Groups)
Peranan: Warga RTM (Mengikut Bidang Kepakaran)
Hubungan baik dengan kumpulan berkepentingan yang khusus atau forum pakar keselamatan dan pertubuhan profesional hendaklah dikekalkan. Menganggotai pertubuhan profesional atau pun forum bagi:
(i) meningkatkan ilmu berkaitan amalan terbaik dan sentiasa mengikuti perkembangan terkini mengenai keselamatan maklumat;
(ii) menerima amaran awal dan nasihat berhubung kerentanan dan ancaman keselamatan maklumat terkini;
(iii) berkongsi dan bertukar maklumat mengenai teknologi, produk, ancaman atau kerentanan; dan
(iv) berhubung dengan kumpulan pakar keselamatan maklumat apabila berurusan dengan insiden keselamatan maklumat.
A.6.1.5 Keselamatan Maklumat dalam Pengurusan Projek (Information Security in Project Management)
Peranan: Warga RTM (Pasukan Projek)
Keselamatan maklumat hendaklah diberi perhatian dalam semua jenis pengurusan projek. Perkara-perkara yang perlu dipatuhi adalah seperti yang berikut:
(a) keselamatan maklumat perlu diintegrasikan bagi setiap pengurusan projek RTM ;
(b) objektif keselamatan maklumat hendaklah diambil kira dalam pengurusan projek merangkumi semua fasa pelaksanaan metodologi projek;
(c) pengurusan risiko ke atas keselamatan maklumat hendaklah dikendalikan di awal projek untuk mengenal pasti kawalan-kawalan yang diperlukan;
(d) kontrak hendaklah mengandungi semua bidang yang terpakai dalam keperluan keselamatan maklumat seperti yang terkandung dalam polisi keselamatan siber RTM ; dan
(e) penyediaan spesifikasi perolehan hendaklah memasukkan keperluan pasukan projek pihak pembekal yang mempunyai pensijilan keselamatan maklumat.
A.6.2 Peranti mudah alih dan telekerja (Mobile Devices and Teleworking) Objektif: Memastikan keselamatan telekerja dan penggunaan peralatan mudah alih.
A.6.2.1 Polisi Peranti Mudah Alih (Mobile Device Policy)
(i) Peranan: MTA
Membangun serta menyebarkan dasar dan langkah-langkah keselamatan sokongan bagi mengurus risiko yang timbul melalui penggunaan peranti mudah alih.
(ii) Peranan: JPICT
Meluluskan dasar, arahan, peraturan dan langkah keselamatan berkaitan penggunaan peranti mudah alih ICT kepada warga RTM .
(iii) Peranan: Warga RTM
Perkara-perkara yang perlu dipatuhi:
(a) pendaftaran ke atas peralatan mudah alih;
(b) keperluan ke atas perlindungan secara fizikal;
(c) kawalan ke atas pemasangan perisian peralatan mudah alih;
(d) kawalan ke atas versi dan patches perisian;
(e) sekatan ke atas akses perkhidmatan maklumat secara dalam talian;
(f) kawalan perkhidmatan maklumat secara kawalan akses dan teknik kriptografi; dan
(g) peralatan mudah alih hendaklah disimpan di tempat yang selamat apabila tidak digunakan.
A.6.2.2 Telekerja (Teleworking) Peranan: Warga RTM
Telekerja meliputi semua bentuk pelaksanaan melaksanakan tugasan pejabat bukan dari Lokasi Pejabat. Dasar dan langkah-langkah keselamatan sokongan hendaklah dilaksanakan bagi melindungi maklumat yang diakses, diproses atau disimpan di lokasi telekerja.
LAMPIRAN 3
BIDANG A.7
KESELAMATAN SUMBER MANUSIA (HUMAN RESOURCE SECURITY)
A.7.1 Sebelum Perkhidmatan (Prior To Employment)
Objektif: Memastikan warga RTM , pembekal dan pihak yang mempunyai urusan dengan perkhidmatan ICT RTM memahami tanggungjawab dan peranan serta meningkatkan pengetahuan dalam keselamatan aset ICT.
A.7.1.1 Tapisan Keselamatan (Security Screening)
Peranan: Warga RTM , pembekal dan pihak yang mempunyai urusan dengan perkhidmatan ICT RTM
Tapisan keselamatan hendaklah dijalankan terhadap warga RTM , pembekal dan pihak yang mempunyai urusan dengan perkhidmatan ICT RTM yang terlibat selaras dengan keperluan perkhidmatan. Perkara-perkara yang perlu dipatuhi adalah seperti yang berikut:
(i) menyatakan dengan lengkap dan jelas peranan dan tanggungjawab warga RTM , pembekal dan pihak yang mempunyai urusan dengan perkhidmatan ICT RTM yang terlibat dalam menjamin keselamatan aset ICT sebelum, semasa dan selepas perkhidmatan; dan
(ii) menjalankan tapisan keselamatan untuk warga RTM , pembekal dan pihak yang mempunyai urusan dengan perkhidmatan ICT RTM yang terlibat berasaskan keperluan perundangan, peraturan dan etika terpakai yang selaras dengan keperluan perkhidmatan, peringkat maklumat yang akan dicapai serta risiko yang dijangkakan.
A.7.1.2 Terma dan Syarat Perkhidmatan (Terms and Conditions of Employment)
Peranan: Warga RTM dan Pihak Ketiga
Persetujuan berkontrak dengan warga RTM , pembekal dan pihak yang mempunyai urusan dengan perkhidmatan ICT RTM hendaklah dinyatakan tanggungjawab mereka dan tanggungjawab organisasi terhadap keselamatan maklumat. Perkara- perkara yang mesti dipatuhi adalah seperti yang berikut:
(i) menyatakan dengan lengkap dan jelas peranan serta tanggungjawab warga RTM , pembekal dan pihak yang mempunyai urusan dengan perkhidmatan ICT RTM yang terlibat dalam menjamin keselamatan aset ICT; dan
(ii) mematuhi semua terma dan syarat perkhidmatan yang ditawarkan dan peraturan semasa yang berkuat kuasa berdasarkan perjanjian yang telah ditetapkan.
A.7.2 Dalam Tempoh Perkhidmatan (During Deployment)
Objektif: Memastikan warga RTM , pembekal dan pihak yang mempunyai urusan dengan perkhidmatan ICT RTM mematuhi tanggungjawab dan peranan serta meningkatkan pengetahuan dalam keselamatan aset ICT. Semua penggunahendaklah mematuhi terma dan syarat perkhidmatan dan peraturan semasa yang berkuat kuasa.
A.7.2.1 Tanggungjawab Pengurusan (Management Responsibilities) Peranan: Warga RTM dan Pihak Ketiga
Pengurusan hendaklah memastikan warga RTM , pembekal dan pihak yang mempunyai urusan dengan perkhidmatan ICT RTM supaya mengamalkan keselamatan maklumat menurut polisi dan prosedur yang telah ditetapkan.
A.7.2.2 Kesedaran, Pendidikan dan Latihan Tentang Keselamatan Maklumat (Information Security Awareness, Education and Training)
Peranan: Warga RTM , pembekal dan pihak yang mempunyai urusan dengan perkhidmatan ICT RTM
Warga RTM , pembekal dan pihak yang mempunyai urusan dengan perkhidmatan ICT RTM perlu diberikan kesedaran, pendidikan dan latihan sewajarnya mengenai keselamatan aset ICT secara berterusan dalam melaksanakan tugas-tugas dan tanggungjawab mereka. Perkara-perkara yang perlu dipatuhi adalah seperti yang berikut:
(i) memastikan kesedaran, pendidikan dan latihan yang berkaitan Polisi Keselamatan Siber RTM , Sistem Pengurusan Keselamatan Maklumat (ISMS) dan latihan teknikal yang berkaitan dengan produk/fungsi/aplikasi/sistem keselamatan secara berterusan dalam melaksanakan tugas-tugas dan tanggungjawab mereka;
(ii) memastikan kesedaran yang berkaitan Polisi Keselamatan Siber RTM perlu diberi kepada pihak ketiga yang berkepentingan dari semasa ke semasa; dan
(iii) memantapkan pengetahuan berkaitan dengan keselamatan maklumat bagi memastikan setiap kemudahan ICT digunakan dengan cara dan kaedah yang betul demi menjamin kepentingan keselamatan maklumat.
A.7.2.3 Proses Tatatertib (Disciplinary Process) Peranan: CIO
Proses tatatertib yang formal dan disampaikan kepada warga RTM hendaklah tersedia bagi membolehkan tindakan diambil terhadap warga RTM yang melakukan pelanggaran keselamatan maklumat. Perkara-perkara yang perlu dipatuhi adalah seperti yang berikut:
(i) Memastikan adanya proses tindakan disiplin dan/atau undang-undang ke atas warga RTM sekiranya berlaku perlanggaran terhadap perundangan dan peraturan yang ditetapkan oleh RTM ;
(ii) Warga RTM yang melanggar polisi ini akan dikenakan tindakan tatatertib atau digantung daripada mendapat capaian kepada kemudahan ICT RTM .
A.7.3 Penamatan dan Pertukaran Perkhidmatan (Termination and Change of Employment)
Objektif: Memastikan pertukaran, tamat perkhidmatan dan perubahan bidang tugas warga RTM diurus dengan teratur.
A.7.3.1 Penamatan atau Pertukaran Tanggung Jawab Perkhidmatan (Termination or Change of Employment Responsibilities)
Peranan: Pentadbir Sistem dan warga RTM
Warga RTM yang telah tamat perkhidmatan perlu mematuhi perkara-perkara berikut:
(i) Memastikan semua aset ICT dikembalikan kepada RTM mengikut peraturan dan/atau terma perkhidmatan yang ditetapkan; dan
(ii) Membatalkan atau menarik balik semua kebenaran capaian ke atas maklumat dan kemudahan proses maklumat mengikut peraturan yang ditetapkan RTM dan/atau terma perkhidmatan yang ditetapkan.
(iii) Maklumat rasmi RTM dalam peranti tidak dibenarkan dibawa keluar dari RTM
.
Warga RTM yang telah bertukar perkhidmatan hendaklah:
(i) memastikan semua aset ICT yang berkaitan dengan tugas terdahulu dikembalikan kepada RTM mengikut peraturan dan/atau terma perkhidmatan yang ditetapkan; dan
(ii) menyedia dan menyerahkan nota serah tugas dan myPortfolio kepada penyelia yang berkaitan.
LAMPIRAN 4
BIDANG A.8
PENGURUSAN ASET (ASET MANAGEMENT)
A.8.1 Tanggungjawab Terhadap Aset (Responsibility for Assets)
Objektif: Untuk mengenal pasti aset bagi memberikan dan menyokong perlindungan yang bersesuaian ke atas semua aset ICT RTM .
A.8.1.1 Inventori Aset (Inventory of Assets)
Peranan: Pegawai Penerima Aset, Pegawai Aset dan warga RTM
Xxxxxxxxx dan memberi perlindungan yang bersesuaian ke atas semua aset ICT RTM . Tanggungjawab yang perlu dipatuhi adalah termasuk perkara-perkara berikut:
(i) RTM hendaklah mengenal pasti Pegawai Penerima Aset setiap Bahagian untuk menguruskan penerimaan aset-aset ICT bagi projek-projek ICT
(ii) Memastikan semua aset ICT dikenal pasti, diklasifikasi, didokumen, diselenggara dan dilupuskan. Maklumat aset direkod dan dikemas kini sebagaimana arahan dan peraturan yang berkuat kuasa dari semasa ke semasa.
(iii) Memastikan semua aset ICT mempunyai pemilik dan dikendalikan oleh pengguna yang dibenarkan sahaja;
(iv) Pegawai Aset hendaklah mengesahkan penempatan aset ICT.
A.8.1.2 Pemilikan Aset (Ownership of Assets) Peranan: Pegawai Aset dan warga RTM
Aset yang diselanggara hendaklah hak milik RTM . Tanggungjawab yang perlu dipatuhi oleh pemilik aset adalah termasuk perkara-perkara berikut:
(i) memastikan aset di bawah tanggungjawabnya telah dimasukkan dalam senarai aset;
(ii) memastikan aset telah dikelaskan dan dilindungi;
(iii) kenal pasti dan mengkaji semula capaian ke atas aset penting secara berkala berdasarkan kepada polisi kawalan capaian yang telah ditetapkan;
(iv) memastikan pengendalian aset dilaksanakan dengan baik apabila aset dihapus atau dilupuskan; dan
(v) memastikan semua jenis aset dipelihara dengan baik.
A.8.1.3 Penggunaan Aset yang Dibenarkan (Acceptable Use of Assets) Peranan: Warga RTM
Memastikan semua peraturan pengendalian aset dikenal pasti, didokumenkan dan dilaksanakan.
A.8.1.4 Pemulangan Aset (Return of Assets) Peranan: Warga RTM
Warga RTM hendaklah memastikan semua jenis aset ICT dikembalikan mengikut peraturan dan terma perkhidmatan yang ditetapkan selepas bersara, bertukar jabatan dan penamatan perkhidmatan atau kontrak.
A.8.2 Pengelasan Maklumat (Information Classification)
Objektif: Memastikan setiap maklumat atau aset ICT diberikan tahap perlindungan yang bersesuaian.
A.8.2.1 Pengelasan Maklumat (Classification of Information) Peranan: Pegawai Pengelasan
Maklumat hendaklah dikelaskan oleh Pegawai Pengelas yang dilantik dan ditanda dengan peringkat keselamatan sebagaimana yang ditetapkan di dalam Arahan Keselamatan.
A.8.2.2 Xxxxxxxxx Xxxxxxxx (Labelling of Information) Peranan: Warga RTM
Prosedur penandaan peringkat keselamatan pada maklumat hendaklah dipatuhi berdasarkan Arahan Keselamatan.
A.8.2.3 Pengendalian Aset (Handling of Assets) Peranan: Warga RTM
Aktiviti pengendalian maklumat seperti mengumpul, memproses, menyimpan, membuat salinan, menghantar, menyampai, menukar dan memusnah hendaklah mengambil kira langkah-langkah keselamatan berikut:
i. Menghalang pendedahan maklumat kepada pihak yang tidak dibenarkan;
ii. Memeriksa dan menentukan maklumat adalah tepat dan lengkap dari semasa ke semasa;
iii. Menentukan maklumat sedia untuk digunakan;
iv. Menjaga kerahsiaan kata laluan;
v. Mematuhi standard, prosedur, langkah dan garis panduan keselamatan yang ditetapkan;
vi. Memberikan perhatian kepada maklumat terperingkat terutama semasa pewujudan, pemprosesan, penyimpanan, membuat salinan, penghantaran, penyampaian, pertukaran dan pemusnahan; dan
vii. Menjaga kerahsiaan langkah-langkah keselamatan siber daripada diketahui umum.
A.8.3 Pengendalian Media (Media Handling)
Objektif: Melindungi aset ICT daripada sebarang pendedahan, pengubahsuaian, pemindahan atau pemusnahan serta gangguan ke atas aktiviti perkhidmatan.
A.8.3.1 Pengurusan Media Boleh Alih (Management of Removal Media) Peranan: Pentadbir Sistem ICT dan Pengguna
Prosedur pengurusan media boleh alih hendaklah dilaksanakan mengikut skim pengkelasan yang diguna pakai oleh RTM . Prosedur-prosedur pengendalian media yang perlu dipatuhi adalah seperti yang berikut:
(i) Melabelkan semua media mengikut tahap sensitiviti sesuatu maklumat;
(ii) Mengehadkan dan menentukan capaian media kepada pengguna yang dibenarkan sahaja;
(iii) Mengehadkan pengedaran data atau media untuk tujuan yang dibenarkan sahaja;
(iv) Mengawal dan merekod aktiviti penyelenggaraan media bagi mengelak daripada sebarang kerosakan dan pendedahan yang tidak dibenarkan; dan
(v) Menyimpan semua jenis media di tempat yang selamat.
A.8.3.2 Pelupusan Media (Disposal of Media)
Peranan: Pentadbir Sistem ICT dan Jawatankuasa yang dilantik untuk pelupusan aset.
(i) Pelupusan media perlu mendapat kelulusan dan mengikut kaedah pelupusan aset ICT yang ditetapkan oleh Kerajaan.
(ii) Media yang mengandungi maklumat terperingkat hendaklah disanitasikan terlebih dahulu sebelum dihapuskan atau dimusnahkan mengikut prosedur yang berkuat kuasa.
A.8.3.3 Pemindahan Media Fizikal (Physical Media Transfer)
Peranan: Pentadbir Sistem ICT dan Jawatankuasa yang dilantik untuk pelupusan aset.
(i) Pelupusan media perlu mendapat kelulusan dan mengikut kaedah pelupusan aset ICT yang ditetapkan oleh Kerajaan.
(ii) Media yang mengandungi maklumat terperingkat hendaklah disanitasikan terlebih dahulu sebelum dihapuskan atau dimusnahkan mengikut prosedur yang berkuat kuasa.
LAMPIRAN 5
BIDANG A.9
KAWALAN AKSES (ACCESS CONTROL)
A.9.1 Xxxxxxx Xxxxx (Business Requirements of Access Control)
Objektif: Mengehadkan akses kepada kemudahan pemprosesan data dan maklumat dengan memahami dan mematuhi keperluan keselamatan dalam mengawal capaian ke atas maklumat.
A.9.1.1 Polisi Kawalan Akses (Access Control Policy) Peranan: Pemilik perkhidmatan digital dan Pentadbir Sistem ICT.
Capaian kepada proses dan maklumat hendaklah dikawal mengikut keperluan keselamatan dan fungsi kerja pengguna yang berbeza.
Peraturan kawalan capaian hendaklah diwujudkan, didokumenkan dan disemak berdasarkan keperluan perkhidmatan dan keselamatan maklumat. Ia perlu dikemas kini setahun sekali atau mengikut keperluan dan menyokong peraturan kawalan capaian pengguna sedia ada. Perkara yang perlu dipatuhi adalah seperti yang berikut:
(i) Keperluan keselamatan aplikasi;
(ii) Hak akses ( privilege access ) dan dasar klasifikasi maklumat sistem dan rangkaian;
(iii) Undang-undang dan peraturan berkaitan yang berkuat kuasa semasa;
(iv) Kawalan capaian ke atas perkhidmatan rangkaian dalaman dan luaran;
(v) Pengasingan peranan kawalan capaian;
(vi) Kebenaran rasmi permintaan akses;
(vii) Keperluan semakan hak akses berkala;
(viii) Pembatalan hak akses; dan
(ix) Arkib semua peristiwa penting yang berkaitan dengan penggunaan dan pengurusan identiti pengguna dan maklumat.
A.9.1.2 Capaian kepada Rangkaian dan Perkhidmatan Rangkaian (Access to Networks and Network Services)
Peranan: ICTSO, Ketua Penolong Pengarah MTA dan Pentadbir Rangkaian
Pengguna hanya boleh dibekalkan dengan capaian ke rangkaian dan perkhidmatan rangkaian setelah mendapat kebenaran dari RTM . Kawalan capaian perkhidmatan rangkaian hendaklah dijamin selamat dengan:
(i) Menempatkan atau memasang perkakasan ICT yang bersesuaian di antara rangkaian RTM , rangkaian agensi lain dan rangkaian awam;
(ii) Mewujud dan menguatkuasakan mekanisme untuk pengesahan pengguna dan perkakasan ICT yang dihubungkan ke rangkaian; dan
(iii) Memantau dan menguatkuasakan kawalan capaian pengguna terhadap perkhidmatan rangkaian ICT.
A.9.2 Pengurusan Akses Pengguna (User Access Management)
Objektif: Akses kepada proses dan maklumat hendaklah dikawal mengikut keperluan keselamatan dan fungsi kerja pengguna yang berbeza. Ia perlu direkodkan, dikemas kini dan menyokong dasar kawalan capaian pengguna sedia ada.
A.9.2.1 Pendaftaran dan Pembatalan Pengguna (User Registration and De- Registration)
Peranan: Semua Pengguna dan warga RTM
Proses pendaftaran dan pembatalan pengguna hendaklah dilaksanakan bagi membolehkan akses dan pembatalan hak akses. Perkara–perkara berikut hendaklah dipatuhi:
(i) Akaun yang diperuntukkan oleh RTM sahaja boleh digunakan;
(ii) Akaun pengguna mestilah unik;
(iii) Sebarang perubahan tahap akses hendaklah mendapat kelulusan daripada RTM terlebih dahulu;
(iv) Penggunaan akaun milik orang lain atau akaun yang dikongsi bersama adalah dilarang; dan
(v) Menentukan setiap akaun yang diwujudkan atau dibatalkan telah mendapat kelulusan RTM .
A.9.2.2 Peruntukan Akses Pengguna (User Access Provisioning) Peranan: Pentadbir Sistem Rangkaian ICT
Satu proses penyediaan akses pengguna untuk kebenaran dan pembatalan akses pengguna ke atas semua aplikasi dan perkhidmatan ICT.
A.9.2.3 Pengurusan Hak Akses Istimewa (Management of Privileged Access Rights)
Peranan: Pentadbir Sistem Rangkaian ICT
Peruntukan dan penggunaan hak akses istimewa hendaklah dihadkan dan dikawal.
Penetapan dan penggunaan ke atas hak akses perlu diberikan kawalan dan penyeliaan yang ketat berdasarkan keperluan skop tugas merujuk kepada Prosedur Pendaftaran dan Penamatan Pengguna.
A.9.2.4 Pengurusan Maklumat Pengesahan Rahsia Pengguna (Management of Secret Authentication Information of Users)
Peranan: ICTSO dan Pentadbir Sistem Rangkaian ICT
Peruntukan maklumat pengesahan rahsia bagi pengguna hendaklah dikawal melalui proses pengurusan formal. Peruntukan maklumat pengesahan rahsia bagi pengguna perlu diberikan kawalan dan penyeliaan yang ketat berdasarkan keperluan.
A.9.2.5 Kajian Semula Hak Akses Pengguna (Review of User Access Rights) Peranan: ICTSO dan Pentadbir Sistem Rangkaian ICT
Pemilik aset hendaklah menyemak hak akses pengguna pada sela masa yang ditetapkan.
Pentadbir Sistem Rangkaian ICT perlu mewujudkan Prosedur Pendaftaran dan Penamatan Pengguna sistem masing-masing sebagai rujukan semakan ke atas hak akses pengguna pada sela masa yang ditetapkan.
A.9.2.6 Pembatalan atau Pelarasan Hak Akses (Removal or Adjustment of Access Rights)
Peranan: Pentadbir Sistem Rangkaian ICT
Hak akses kakitangan dan pengguna pihak luar untuk kemudahan pemprosesan data atau maklumat hendaklah dikeluarkan/dibatalkan selepas penamatan pekerjaan, kontrak atau perjanjian atau diselaraskan apabila berlaku perubahan dalam RTM .
A.9.3 Tanggungjawab Pengguna (User Responsibilities)
Objektif: Memastikan pengguna bertanggungjawab melindungi maklumat pengesahan mereka.
A.9.3.1 Penggunaan Maklumat Pengesahan Rahsia (Use of Secret Authentication Information)
Peranan: Pengguna, Pentadbir Sistem Rangkaian ICT
Peranan dan tanggungjawab pengguna adalah seperti yang berikut:
(i) Membaca, memahami dan mematuhi Polisi Keselamatan Siber RTM ;
(ii) Mengetahui dan memahami implikasi keselamatan siber kesan dari tindakannya;
(iii) Melaksanakan prinsip-prinsip dan menjaga kerahsiaan maklumat RTM ;
(iv) Melaksanakan langkah-langkah perlindungan seperti yang berikut:
(a) Menghalang pendedahan maklumat kepada pihak yang tidak dibenarkan;
(b) Memeriksa maklumat dan menentukan ia tepat dan lengkap dari semasa ke semasa;
(c) Menentukan maklumat sedia untuk digunakan;
(d) Menjaga kerahsiaan kata laluan;
(e) Mematuhi standard, prosedur, langkah dan garis panduan keselamatan yang ditetapkan;
(f) Memberikan perhatian kepada maklumat terperingkat terutama semasa pewujudan, pemprosesan, penyimpanan, penghantaran, penyampaian, pertukaran dan pemusnahan; dan
(g) Menjaga kerahsiaan langkah-langkah keselamatan siber daripada diketahui umum.
(v) Melaporkan sebarang aktiviti yang mengancam keselamatan siber kepada ICTSO dengan segera; dan
(vi) Menghadiri program-program kesedaran mengenai keselamatan siber.
Pengguna perlu mengikut amalan keselamatan yang baik di dalam pemilihan, penggunaan dan pengurusan kata laluan sebagai melindungi maklumat yang digunakan untuk pengesahan identiti.
A.9.4 Kawalan Akses Sistem dan Aplikasi (System and Application Access Control)
Objektif: Menghalang capaian tidak sah dan tanpa kebenaran ke atas maklumat yang terdapat di dalam sistem dan aplikasi.
A.9.4.1 Sekatan Akses Maklumat (Information Access Restriction) Peranan: Pengguna, Pentadbir Sistem, ICTSO, Timbalan Pengarah SAICT
Akses kepada fungsi maklumat dan sistem aplikasi hendaklah dihadkan mengikut dasar kawalan capaian.
A.9.4.2 Prosedur Log Masuk yang Selamat (Secure Log-On Procedure) Peranan: Pentadbir Sistem, ICTSO, Timbalan Pengarah SAICT
Kawalan terhadap capaian aplikasi sistem perlu mempunyai kaedah pengesahan log masuk yang selamat dan bersesuaian bagi mengelakkan sebarang capaian yang tidak dibenarkan. Langkah dan kaedah kawalan yang digunakan adalah seperti yang berikut:
(i) Mengesahkan pengguna yang dibenarkan selaras dengan peraturan RTM ;
(ii) Menjana amaran (alert) sekiranya berlaku perlanggaran semasa proses log masuk terhadap aplikasi sistem;
(iii) Mengawal capaian ke atas aplikasi sistem menggunakan prosedur log masuk yang terjamin;
(iv) Mewujudkan satu teknik pengesahan yang bersesuaian bagi mengesahkan pengenalan diri pengguna;
(v) Mewujudkan sistem pengurusan kata laluan secara interaktif dan memastikan kata laluan adalah berkualiti;
(vi) Mewujudkan jejak audit ke atas semua capaian aplikasi sistem.
A.9.4.3 Sistem Pengurusan Kata Laluan (Password Management System) Peranan: Pengguna, Pentadbir Sistem, ICTSO, Timbalan Pengarah SAICT
Sistem pengurusan kata laluan hendaklah interaktif dan mengambilkira kualiti kata laluan yang dicipta. Pengurusan kata laluan mestilah mematuhi amalan terbaik serta prosedur yang ditetapkan oleh RTM seperti yang berikut:
(i) Dalam apa jua keadaan dan sebab, kata laluan hendaklah dilindungi dan tidak boleh dikongsi dengan sesiapa pun;
(ii) Pengguna hendaklah menukar kata laluan apabila disyaki berlakunya kebocoran kata laluan atau dikompromi;
(iii) Panjang kata laluan mestilah sekurang kurangnya DUA BELAS (12) AKSARA dengan gabungan antara huruf, aksara khas dan nombor (alphanumeric) KECUALI bagi perkakasan dan perisian yang mempunyai pengurusan kata laluan yang terhad.
(iv) Kata laluan hendaklah diingat dan TIDAK BOLEH dicatat, disimpan atau didedahkan dengan apa cara sekali pun;
(v) Kata laluan paparan kunci (lock screen) hendaklah diaktifkan terutamanya pada komputer yang terletak di ruang guna sama;
(vi) Kata laluan hendaklah tidak dipaparkan semasa input, dalam laporan atau media lain dan tidak boleh dikodkan di dalam atur cara;
(vii) Kuat kuasakan pertukaran kata laluan semasa atau selepas login kali pertama atau selepas reset kata laluan;
(viii) Kata laluan hendaklah berlainan daripada pengenalan identiti pengguna;
(ix) Had kemasukan kata laluan bagi capaian kepada sistem aplikasi adalah maksimum TIGA (3) KALI sahaja. Setelah mencapai tahap maksimum, capaian kepada sistem akan disekat sehingga id capaian diaktifkan semula; dan
(x) Sistem yang dibangunkan mestilah mempunyai kemudahan menukar kata laluan oleh pengguna.
A.9.4.4 Penggunaan Program Utiliti Yang Mempunyai Hak Istimewa (Use of Privileged Utility Programs)
Peranan: Pentadbir Sistem ICT, Timbalan Pengarah SAICT
Penggunaan program utiliti hendaklah dikawal bagi mengelakkan Over-Riding sistem.
A.9.4.5 Kawalan Akses Kepada Kod Sumber Program (Access Control to Program Source Code)
Peranan: Pengarah Projek, Pengurus Projek dan Pentadbir Sistem ICT
Capaian kepada kod sumber hendaklah dihadkan. Perkara-perkara yang perlu dipertimbangkan adalah seperti yang berikut:
(i) Log audit perlu dikekalkan kepada semua akses kepada kod sumber;
(ii) Penyelenggaraan dan penyalinan kod sumber hendaklah tertakluk kepada kawalan perubahan; dan
(iii) Kod sumber bagi semua aplikasi dan perisian hendaklah menjadi hak milik RTM
.
LAMPIRAN 6
BIDANG A.10 KRIPTOGRAFI (CRYPTOGRAPHY)
A.10.1 Kawalan Kriptografi (Cryptography Controls)
Objektif: Memastikan penggunaan kriptografi yang betul dan berkesan bagi melindungi kerahsiaan, kesahihan, dan/atau keutuhan maklumat.
A.10.1.1 Polisi Pengunaan Kawalan Kriptografi (Policy on The Use of Cryptographic Control)
Peranan: Pengarah Projek
Kriptografi merangkumi kaedah-kaedah seperti yang berikut:
(i) Enkripsi
Sistem aplikasi yang melibatkan maklumat terperingkat hendaklah dibuat enkripsi (encryption).
(ii) Tandatangan Digital
Maklumat terperingkat yang perlu diproses dan dihantar secara elektronik hendaklah menggunakan tandatangan digital mengikut keperluan pelaksanaan.
A.10.1.2 Pengurusan Kunci Awam (Public Key Management) Peranan: Warga RTM dan Timbalan Pengarah SAICT
Pengurusan ke atas Pengurusan Infrastruktur Kunci Awam/Public Key Infrastructure (PKI) hendaklah dilakukan dengan berkesan dan selamat bagi melindungi kunci berkenaan diubah, dimusnah dan didedahkan sepanjang tempoh sah kunci tersebut.
LAMPIRAN 7
BIDANG A.11
KESELAMATAN FIZIKAL DAN PERSEKITARAN (PHYSICAL AND ENVIRONMENTAL SECURITY)
A.11.1 Kawasan Selamat (Secure Areas)
Objektif: Menghalang akses fizikal yang tidak dibenarkan yang boleh mengakibatkan kecurian, kerosakan atau gangguan kepada maklumat dan kemudahan pemprosesan maklumat RTM .
A.11.1.1 Perimeter Keselamatan Fizikal (Physical Security Parameter) Peranan: Pejabat Keselamatan, BKP
Ini bertujuan untuk menghalang akses tanpa kebenaran, gangguan secara fizikal dan kerosakan terhadap premis dan Aset ICT RTM . Perkara-perkara yang perlu dipatuhi termasuk yang berikut:
(i) Menggunakan keselamatan perimeter (halangan seperti dinding, pagar, kawalan, pengawal keselamatan) untuk melindungi kawasan yang mengandungi maklumat dan kemudahan pemprosesan maklumat;
(ii) Melindungi kawasan terhad melalui kawalan pintu masuk yang bersesuaian bagi memastikan kakitangan yang diberi kebenaran sahaja boleh melalui pintu masuk ini;
(iii) Mereka bentuk dan melaksanakan keselamatan fizikal di dalam pejabat, bilik dan kemudahan;
(iv) Mereka bentuk dan melaksanakan perlindungan fizikal daripada kebakaran, banjir, letupan, kacau-bilau manusia dan sebarang bencana alam atau perbuatan manusia;
(v) Melaksanakan perlindungan fizikal dan menyediakan garis panduan untuk kakitangan yang bekerja di dalam kawasan terhad;
(vi) Memastikan kawasan-kawasan penghantaran dan pemunggahan dan juga tempat-tempat lain dikawal dari pihak yang tidak diberi kebenaran memasukinya; dan
(vii) Memasang alat penggera atau kamera keselamatan;
A.11.1.2 Kawalan Kemasukan Fizikal (Physical Entry Controls)
Peranan: Warga RTM , pembekal dan pihak yang mempunyai urusan dengan perkhidmatan ICT RTM
Kawalan kemasukan fizikal adalah bertujuan untuk mewujudkan kawalan keluar masuk ke premis RTM . Perkara yang perlu dipatuhi adalah seperti yang berikut:
(i) Setiap pegawai dan kakitangan RTM hendaklah mempamerkan pas keselamatan sepanjang waktu bertugas. Semua pas keselamatan hendaklah dikembalikan kepada RTM apabila bertukar, tamat perkhidmatan atau bersara;
(ii) Setiap pelawat hendaklah mendaftar dan mendapatkan pas keselamatan pelawat di kaunter keselamatan dan hendaklah dikembalikan selepas tamat lawatan; dan
(iii) Hanya pengguna yang diberi kebenaran sahaja boleh menggunakan Aset ICT RTM ; dan
(iv) Kehilangan pas hendaklah dilaporkan segera kepada Pihak Berkuasa.
A.11.1.3 Keselamatan Pejabat, Bilik dan Kemudahan (Securing Offices, Rooms and Facilities)
Peranan: Warga RTM , pembekal dan pihak yang mempunyai urusan dengan perkhidmatan ICT RTM
Keselamatan fizikal untuk pejabat, bilik dan kemudahan hendaklah dirangka dan dilaksanakan. Perkara yang perlu dipatuhi adalah seperti yang berikut:
(i) Kawasan tempat bekerja, bilik mesyuarat, bilik krisis, bilik perbincangan, bilik fail, bilik cetakan, bilik kawalan CCTV dan pusat data perlu dihadkan daripada diakses tanpa kebenaran;
(ii) Kawasan tempat berkerja, bilik dan tempat operasi ICT perlu dihadkan daripada diakses oleh orang luar; dan
(iii) Petunjuk lokasi bilik operasi dan tempat larangan haruslah mematuhi arahan keselamatan.
A.11.1.4 Perlindungan Daripada Ancaman Luar Xxx Xxxxxxxxxxxx (Protecting Against External and Environmental Threats)
Peranan: BKP
Perlindungan fizikal terhadap bencana alam, serangan berniat jahat atau kemalangan hendaklah dirangka dan dilaksanakan. RTM perlu mereka bentuk dan melaksanakan perlindungan fizikal daripada kebakaran, banjir, letupan, kacau bilau dan bencana.
A.11.1.5 Bekerja di Kawasan Selamat (Working in Secure Area) Peranan: Pentadbir Pusat Data dan BKP
Prosedur bekerja di kawasan selamat hendaklah dirangka dan dilaksanakan. Kawasan larangan ditakrifkan sebagai kawasan yang dihadkan kemasukan bagi warga RTM yang tertentu sahaja. Ini dilakukan untuk melindungi aset ICT yang terdapat dalam premis RTM termasuklah Pusat Data.
Kawasan ini mestilah dilindungi daripada sebarang ancaman, kelemahan dan risiko seperti pencerobohan, kebakaran dan bencana alam. Kawalan keselamatan ke atas kawasan tersebut adalah seperti yang berikut:
(i) Sumber data atau server, peralatan komunikasi dan storan perlu ditempatkan di pusat data, bilik server atau bilik khas yang mempunyai ciri-ciri keselamatan yang tinggi termasuk sistem pencegahan kebakaran;
(ii) Akses adalah terhad kepada warga RTM yang telah diberi kuasa sahaja dan dipantau pada setiap masa;
(iii) Pemantauan dibuat menggunakan Closed-Circuit Television (CCTV) kamera atau lain-lain peralatan yang sesuai;
(iv) Peralatan keselamatan (CCTV, log akses) perlu diperiksa secara berjadual;
(v) Butiran pelawat yang keluar masuk ke kawasan larangan perlu direkodkan;
(vi) Pelawat yang dibawa masuk mesti diawasi oleh pegawai yang bertanggungjawab di sepanjang tempoh di lokasi berkaitan;
(vii) Lokasi premis ICT hendaklah tidak berhampiran dengan kawasan pemunggahan, saliran air dan laluan awam;
(viii) Memperkukuh tingkap dan pintu serta dikunci untuk mengawal kemasukan;
(ix) Memperkukuh dinding dan siling; dan
(x) Mengehadkan jalan keluar masuk.
A.11.1.6 Kawasan Penyerahan dan Pemunggahan (Delivery and Loading Areas)
Peranan: Warga RTM , pembekal dan pihak yang mempunyai urusan dengan perkhidmatan ICT RTM
Titik kemasukan access point seperti kawasan penyerahan dan pemunggahan serta kawasan larangan hendaklah dikawal dan jika boleh diasingkan daripada kemudahan pemprosesan maklumat bagi mengelakkan kemasukan yang tidak dibenarkan.
RTM hendaklah memastikan kawasan penghantaran dan pemunggahan dan juga tempat-tempat lain dikawal daripada dimasuki oleh pihak yang tidak diberi kebenaran.
A.11.2 Peralatan ICT (ICT Equipment)
Objektif: Melindungi peralatan ICT RTM daripada kehilangan, kerosakan, kecurian dan disalahgunakan.
A.11.2.1 Penempatan dan Perlindungan Peralatan ICT (Equipment Sitting and Protection)
Peranan: Warga RTM , pembekal dan pihak yang mempunyai urusan dengan perkhidmatan ICT RTM
Peralatan ICT hendaklah ditentukan tempatnya dan dilindungi bagi mengurangkan risiko ancaman dan bahaya persekitaran dan peluang kemasukan yang tidak dibenarkan. Langkah-langkah keselamatan yang perlu diambil adalah seperti yang berikut:
(i) Penggunaan kata laluan untuk akses ke sistem komputer adalah diwajibkan;
(ii) Pengguna bertanggungjawab sepenuhnya ke atas komputer masing-masing dan tidak dibenarkan membuat sebarang pertukaran perkakasan dan konfigurasi yang telah ditetapkan;
(iii) Pengguna dilarang sama sekali menambah, menanggal atau mengganti sebarang perkakasan ICT yang telah ditetapkan;
(iv) Pengguna dilarang membuat instalasi sebarang perisian tambahan tanpa kebenaran Pentadbir Sistem;
(v) Pengguna mesti memastikan perisian antivirus di komputer peribadi mereka sentiasa aktif (activated) dan dikemas kini di samping melakukan imbasan ke atas media storan yang digunakan;
(vi) Semua peralatan sokongan ICT hendaklah dilindungi daripada sebarang kecurian, dirosakkan, diubah suai tanpa kebenaran dan salah guna;
(vii) Setiap pengguna adalah bertanggungjawab atas kerosakan atau kehilangan perkakasan ICT di bawah kawalannya;
(viii) Peralatan-peralatan kritikal perlu disokong oleh Uninterruptable Power Supply
(UPS) dan Generator Set (Gen-Set);
(ix) Semua perkakasan hendaklah disimpan atau diletakkan di tempat yang teratur, bersih dan mempunyai ciri-ciri keselamatan.
(x) Peralatan rangkaian seperti switches, hub, router dan peralatan-peralatan lain perlu diletakkan di dalam rak khas dan berkunci;
(xi) Semua peralatan yang digunakan secara berterusan mestilah diletakkan di kawasan yang berhawa dingin dan mempunyai pengudaraan (air ventilation) yang sesuai;
(xii) Peralatan ICT yang hendak dibawa ke luar premis RTM , perlulah mendapat kelulusan Pegawai Aset dan direkodkan bagi tujuan pemantauan;
(xiii) Peralatan ICT yang hilang semasa di luar waktu pejabat hendaklah dikendalikan mengikut prosedur pelaporan insiden;
(xiv) Pengendalian Peralatan ICT hendaklah mematuhi dan merujuk kepada peraturan semasa yang berkuat kuasa;
(xv) Pengguna tidak dibenarkan mengubah kedudukan komputer dari tempat asal komputer tersebut ditempatkan tanpa kebenaran Pentadbir Sistem ICT;
(xvi) Sebarang kerosakan perkakasan ICT hendaklah dilaporkan kepada Pentadbir Sistem ICT untuk dibaik pulih;
(xvii) Sebarang pelekat selain bagi tujuan rasmi, hiasan atau contengan yang meninggalkan kesan yang lama pada perkakasan ICT tidak dibenarkan. Ini bagi menjamin peralatan tersebut sentiasa berkeadaan baik;
(xviii) Konfigurasi alamat IP juga tidak dibenarkan diubah daripada alamat IP yang asal;
(xix) Pengguna dilarang sama sekali mengubah password administrator yang telah ditetapkan oleh pihak ICT; dan
(xx) Pengguna bertanggungjawab terhadap perkakasan, perisian dan maklumat di bawah jagaannya yang digunakan sepenuhnya bagi urusan rasmi dan RTM sahaja.
A.11.2.2 Utiliti Sokongan (Supporting Utilities)
Peranan: Warga RTM , pembekal dan pihak yang mempunyai urusan dengan perkhidmatan ICT RTM
Peralatan ICT hendaklah dilindungi daripada kegagalan kuasa dan gangguan lain yang disebabkan oleh kegagalan utiliti sokongan. Semua alat sokongan perlu diselenggara dari semasa ke semasa (sekurang-kurangnya setahun sekali).
A.11.2.3 Keselamatan Kabel (Cabling Security) Peranan: Pentadbir Sistem ICT
Kabel kuasa dan telekomunikasi yang membawa data atau menyokong perkhidmatan maklumat hendaklah dilindungi daripada pintasan, gangguan atau kerosakan.
(i) Kabel termasuk kabel elektrik dan telekomunikasi yang menyalurkan data dan menyokong perkhidmatan penyampaian maklumat hendaklah dilindungi. Langkah-langkah keselamatan yang perlu diambil adalah seperti yang berikut:
(ii) Menggunakan kabel yang mengikut spesifikasi yang telah ditetapkan;
(iii) Melindungi kabel daripada kerosakan yang disengajakan atau tidak disengajakan;
(iv) Melindungi laluan pemasangan kabel sepenuhnya bagi mengelakkan ancaman kerosakan dan wire tapping; dan
(v) Semua kabel perlu dilabelkan dengan jelas dan mestilah melalui trunking bagi memastikan keselamatan kabel daripada kerosakan bencana dan pintasan maklumat.
A.11.2.4 Penyenggaraan Peralatan (Equipment Maintenance) Peranan: Pegawai Aset, Pentadbir Sistem ICT
Peralatan ICT hendaklah diselenggara dengan betul bagi memastikan ketersediaan dan keutuhannya berterusan. Perkakasan hendaklah diselenggara dengan betul bagi memastikan kebolehsediaan, kerahsiaan dan integriti. Langkah-langkah keselamatan yang perlu diambil termasuklah seperti yang berikut:
(i) Bertanggungjawab terhadap setiap perkakasan ICT bagi penyelenggaraan perkakasan sama ada dalam tempoh jaminan atau telah habis tempoh jaminan;
(ii) Mematuhi spesifikasi yang ditetapkan oleh pengeluar bagi semua perkakasan yang diselenggara;
(iii) Memastikan perkakasan hanya diselenggara oleh kakitangan atau pihak yang dibenarkan sahaja;
(iv) Menyemak dan menguji semua perkakasan sebelum dan selepas proses penyelenggaraan; dan
(v) Memaklumkan pihak pengguna sebelum melaksanakan penyelenggaraan mengikut jadual yang ditetapkan atau atas keperluan.
A.11.2.5 Pengalihan Aset (Removal of Assets) Peranan: Pengguna, Pegawai Aset
Kelengkapan, maklumat atau perisian tidak boleh dibawa keluar dari tempatnya tanpa mendapat kebenaran terlebih dahulu. Langkah-langkah keselamatan yang perlu diambil termasuklah seperti yang berikut:
(i) Peralatan ICT yang hendak dibawa keluar dari premis RTM untuk tujuan rasmi, perlulah mendapat kelulusan Ketua Pengarah RTM atau pegawai yang diturunkan kuasa dan direkodkan bagi tujuan pemantauan serta tertakluk kepada tujuan yang dibenarkan; dan
(ii) Aktiviti peminjaman dan pemulangan perkakasan ICT mestilah direkodkan oleh pegawai yang berkenaan.
A.11.2.6 Keselamatan Peralatan dan Aset di Luar Premis (Security of Equipment Off-Premises)
Peranan: Warga RTM , pembekal dan pihak yang mempunyai urusan dengan perkhidmatan ICT RTM
Keselamatan aset di luar premis hendaklah dipastikan dengan mengambil kira pelbagai risiko bekerja di luar premis RTM . Peralatan yang dibawa keluar dari premis RTM adalah terdedah kepada pelbagai risiko. Perkara yang perlu dipatuhi adalah seperti yang berikut:
(i) Peralatan perlu dilindungi dan dikawal sepanjang masa;
(ii) Penyimpanan atau penempatan peralatan mestilah mengambil kira ciri-ciri keselamatan yang bersesuaian; dan
(iii) Keselamatan peralatan yang dibawa keluar adalah di bawah tanggungjawab pegawai yang berkenaan.
A.11.2.7 Pelupusan yang Selamat atau Penggunaan Semula Peralatan (Secure Disposal or Re-Use of Equipment)
Peranan: Pegawai Aset, Pentadbir Sistem ICT dan warga RTM
Semua peralatan yang mengandungi media penyimpanan hendaklah dipastikan bahawa data yang sensitif dan perisian berlesen telah dikeluarkan atau berjaya ditulis ganti (overwrite) sebelum dilupuskan atau diguna semula. Pelupusan melibatkan semua peralatan ICT yang telah rosak, usang dan tidak boleh dibaiki sama ada harta modal atau inventori yang dibekalkan oleh RTM dan ditempatkan di RTM . Ia juga termasuk peralatan ICT yang telah tamat tempoh penyewaannya oleh RTM .
Peralatan ICT yang hendak dilupuskan perlu mematuhi prosedur pelupusan yang berkuat kuasa. Pelupusan perlu dilakukan secara terkawal dan lengkap supaya maklumat tidak terlepas daripada kawalan RTM . Langkah-langkah seperti yang berikut hendaklah diambil:
(i) Bagi peralatan ICT yang akan dilupuskan sebelum dipindah-milik, data-data dalam storan hendaklah dipastikan telah dihapuskan dengan cara yang selamat;
(ii) Pegawai Aset hendaklah mengenal pasti sama ada peralatan tertentu boleh dilupuskan atau sebaliknya;
(iii) Peralatan yang hendak dilupus hendaklah disimpan di tempat yang telah dikhaskan yang mempunyai ciri-ciri keselamatan bagi menjamin keselamatan peralatan tersebut;
(iv) Pelupusan peralatan ICT hendaklah dilakukan secara berpusat dan mengikut tatacara pelupusan semasa yang berkuat kuasa;
(v) Pengguna ICT adalah DILARANG SAMA SEKALI daripada melakukan perkara-perkara seperti yang berikut:
(a) Menyimpan mana-mana peralatan ICT yang hendak dilupuskan untuk milik peribadi.
(b) Mencabut, menanggal dan menyimpan perkakasan tambahan dalaman
CPU seperti RAM, Hardisk, Motherboard dan sebagainya.
(c) Menyimpan dan memindahkan perkakasan luaran komputer seperti AVR, speaker dan mana-mana peralatan yang berkaitan ke mana-mana bahagian di RTM .
(d) Memindah keluar dari pejabat bagi mana-mana peralatan ICT yang hendak dilupuskan; dan
(e) Melupuskan sendiri peralatan ICT kerana kerja-kerja pelupusan di bawah tanggungjawab RTM .
(vi) Pengguna ICT bertanggungjawab memastikan segala maklumat sulit dan rahsia di dalam komputer disalin pada media storan kedua sebelum menghapuskan maklumat tersebut daripada peralatan komputer yang hendak dilupuskan.
(vii) Data dan maklumat dalam aset ICT yang akan dipindah milik atau dilupuskan hendaklah dihapuskan secara kekal; Sekiranya maklumat perlu disimpan, maka pengguna boleh membuat salinan;
(viii) Maklumat lanjut berhubung pelupusan bolehlah dirujuk pada pekeliling berkaitan Tatacara Pengurusan Aset Alih Kerajaan (TPA) yang berkuat kuasa;
(ix) Pelupusan dokumen-dokumen hendaklah mengikut prosedur keselamatan seperti mana Arahan Keselamatan dan tatacara Jabatan Arkib Negara; dan
(x) Pegawai asset bertanggungjawab merekod butir-butir pelupusan dan mengemas kini rekod pelupusan peralatan ICT ke dalam sistem inventori Sistem Pengurusan Aset (SPA).
A.11.2.8 Peralatan Pengguna Tanpa Kawalan (Unattended User Equipment)
Peranan: Warga RTM , pembekal dan pihak yang mempunyai urusan dengan perkhidmatan ICT RTM
Pengguna hendaklah memastikan kelengkapan yang dibiarkan tanpa kawalan mempunyai perlindungan sewajarnya. Pengguna perlu memastikan bahawa peralatan dijaga dan mempunyai perlindungan yang sewajarnya iaitu dengan mematuhi perkara berikut:
(i) Tamatkan sesi aktif apabila selesai tugas;
(ii) Log-off komputer meja, komputer riba dan pelayan apabila sesi bertugas selesai; dan
(iii) Komputer meja, komputer riba atau terminal selamat daripada pengguna yang tidak dibenarkan.
A.11.2.9 Dasar Xxxx Xxxxxx dan Xxxxx Xxxxxx (Policy Clear Desk dan Clear Screen)
Peranan: Warga RTM , pembekal dan pihak yang mempunyai urusan dengan perkhidmatan ICT RTM
Dasar meja kosong untuk kertas dan media penyimpanan boleh alih serta dasar skrin kosong untuk kemudahan pemprosesan maklumat hendaklah digunakan. Semua maklumat dalam apa jua bentuk media hendaklah disimpan dengan teratur dan selamat bagi mengelakkan kerosakan, kecurian atau kehilangan.
Clear Desk bermaksud tidak meninggalkan dan mendedahkan bahan-bahan yang sensitif sama ada atas meja pengguna atau di paparan skrin apabila pengguna tidak berada di tempatnya. Langkah-langkah yang perlu diambil termasuklah seperti yang berikut:
(i) Menggunakan kemudahan password screensaver atau logout apabila meninggalkan komputer;
(ii) Menyimpan bahan-bahan sensitif di dalam laci atau kabinet fail yang berkunci;
(iii) Memastikan semua dokumen diambil segera dari pencetak, pengimbas, mesin faksimile dan mesin fotostat.
(iv) Menghalang penggunaan tanpa kebenaran mesin fotokopi dan teknologi penghasilan semula seperti mesin pengimbas dan kamera digital.
LAMPIRAN 8
BIDANG A.12
KESELAMATAN OPERASI (OPERATIONS SECURITY)
A.12.1 Prosedur dan Tanggungjawab Operasi (Operational Procedures and Responsibilities)
Objektif: Memastikan operasi kemudahan pemprosesan maklumat yang betul dan selamat.
A.12.1.1 Prosedur Operasi yang Didokumenkan (Documented Operating Procedures)
Peranan: Timbalan Pengarah SAICT dan Pentadbir Sistem ICT
Penyedia dokumen perlu memastikan prosedur operasi yang didokumenkan mematuhi perkara-perkara berikut:
(i) semua prosedur keselamatan siber yang diwujud, dikenal pasti dan masih diguna pakai hendaklah didokumenkan, disimpan dan dikawal serta boleh diakses/rujuk oleh kakitangan RTM pada bila-bila masa melalui medium yang sesuai;
(ii) setiap prosedur mestilah mengandungi arahan-arahan yang jelas, teratur dan lengkap seperti keperluan kapasiti, pengendalian dan pemprosesan maklumat, pengendalian dan penghantaran ralat, pengendalian output, bantuan teknikal dan pemulihan sekiranya pemprosesan tergendala atau terhenti;
(iii) semua prosedur hendaklah disemak dan dikemas kini dari semasa ke semasa atau mengikut keperluan; dan
(iv) Semua kakitangan RTM hendaklah mematuhi prosedur yang telah ditetapkan (dikawal selia menggunakan mekanisme kawal selia yang sesuai).
A.12.1.2 Pengurusan Perubahan (Change Management) Peranan: Pentadbir Sistem ICT
Perubahan dalam organisasi, proses bisnes, kemudahan pemprosesan maklumat dan sistem yang menjejaskan keselamatan maklumat hendaklah dikawal. Penyedia dokumen perlu memastikan pengurusan perubahan yang didokumenkan mematuhi perkara-perkara berikut:
(i) Pengubahsuaian yang melibatkan perkakasan, sistem untuk pemprosesan maklumat, perisian dan prosedur mestilah mendapat kebenaran daripada pegawai atasan atau pemilik aset ICT terlebih dahulu;
(ii) Aktiviti-aktiviti seperti memasang, menyelenggara, menghapus dan mengemas kini mana-mana komponen sistem ICT hendaklah dikendalikan oleh pihak atau pegawai yang diberi kuasa dan mempunyai pengetahuan atau terlibat secara langsung dengan aset ICT berkenaan;
(iii) Semua aktiviti pengubahsuaian komponen sistem ICT hendaklah mematuhi spesifikasi perubahan yang telah ditetapkan serta perlu dipantau ketika pelaksanaan perubahan dijalankan; dan
(iv) Semua aktiviti perubahan atau pengubahsuaian hendaklah direkod dan dikawal bagi mengelakkan berlakunya ralat sama ada secara sengaja atau pun tidak sengaja.
A.12.1.3 Pengurusan Kapasiti (Capacity Management) Peranan: Pemilik Sistem, Pentadbir Sistem
Penggunaan sumber hendaklah dipantau, disesuaikan dan unjuran hendaklah disediakan untuk keperluan keupayaan masa hadapan bagi memastikan prestasi sistem yang dikehendaki dicapai. Perkara-perkara yang perlu dipatuhi adalah seperti yang berikut:
(i) Kapasiti sesuatu komponen atau sistem ICT hendaklah dirancang, diurus dan dikawal dengan teliti oleh pegawai yang berkenaan bagi memastikan keperluannya adalah mencukupi dan bersesuaian untuk pembangunan dan kegunaan sistem ICT pada masa akan datang; dan
(ii) Keperluan kapasiti ini juga perlu mengambil kira ciri-ciri keselamatan siber bagi meminimumkan risiko seperti gangguan pada perkhidmatan dan kerugian akibat pengubahsuaian yang tidak dirancang.
A.12.1.4 Pengasingan Persekitaran Pembangunan, Pengujian dan Operasi (Separation of Development, Test and Operational Facilities)
Peranan: Pentadbir Sistem ICT
Persekitaran pembangunan, pengujian dan operasi hendaklah diasingkan bagi mengurangkan risiko capaian yang tidak dibenarkan atau perubahan kepada persekitaran operasi. Perkara-perkara yang perlu dipatuhi adalah seperti yang berikut:
(i) Perkakasan dan perisian yang digunakan bagi tugas membangun, mengemas kini, menyelenggara dan menguji sistem perlu diasingkan dari perkakasan yang digunakan sebagai pengeluaran (production).
(ii) Pengasingan juga merangkumi tindakan memisahkan antara kumpulan operasi dan rangkaian;
(iii) Merekodkan semua penggunaan sumber yang digunakan dalam setiap persekitaran. Bagi memudahkan rujukan pada masa akan datang; dan
(iv) Data asli tidak boleh digunakan di dalam persekitaran pembangunan. Hanya dummy data yang boleh digunakan di dalam persekitaran pembangunan.
A.12.2 Perlindungan Daripada Perisian Hasad (Protection from Malware)
Objektif: Untuk memastikan bahawa kemudahan pemprosesan maklumat dan maklumat dilindungi daripada malware.
A.12.2.1 Kawalan Daripada Perisian Berbahaya/Jahat (malicious software) Peranan: Pentadbir Sistem ICT, Pengguna
Kawalan pengesanan, pencegahan dan pemulihan untuk memberikan perlindungan dari serangan perisian berbahaya/jahat seperti virus, trojan, malware dan hendaklah dilaksanakan dan digabungkan dengan kesedaran pengguna terhadap serangan tersebut.
Muat turun dan penggunaan mobile code daripada sumber yang tidak ditentusahkan serta boleh mendatangkan ancaman keselamatan ICT adalah tidak dibenarkan.
Perkara-perkara yang perlu dilaksanakan bagi memastikan perlindungan aset ICT daripada perisian berbahaya adalah seperti berikut:
(a) Memasang sistem keselamatan untuk mengesan perisian atau program malware seperti antivirus, Intrusion Detection System (IDS) dan Intrusion Prevention System (IPS) serta mengikut prosedur penggunaan yang betul dan selamat;
(b) Memasang dan menggunakan hanya perisian yang tulen, berdaftar dan dilindungi di bawah mana-mana undang-undang bertulis yang berkuat kuasa;
(c) Mengimbas semua perisian atau sistem dengan antivirus sebelum menggunakannya;
(d) Mengemas kini antivirus dengan signature/pattern antivirus yang terkini;
(e) Menyemak kandungan sistem atau maklumat secara berkala bagi mengesan aktiviti yang tidak diingini seperti kehilangan dan kerosakan maklumat;
(f) Menghadiri program kesedaran mengenai ancaman perisian berbahaya dan cara mengendalikannya;
(g) Memasukkan klausa tanggungan di dalam mana-mana kontrak yang telah ditawarkan kepada pembekal perisian. Klausa ini bertujuan untuk tuntutan baik pulih sekiranya perisian tersebut mengandungi program berbahaya; dan
(h) Mengadakan program dan prosedur jaminan kualiti ke atas semua perisian yang dibangunkan.
A.12.3 Sandaran (Backup)
Objektif: Memastikan segala data diselenggara agar penyimpanan data diuruskan dengan sempurna.
A.12.3.1 Sandaran Maklumat (Information Backup) Peranan: Pentadbir Sistem ICT
Salinan sandaran maklumat, perisian dan imej sistem hendaklah diambil dan diuji secara tetap menurut prosedur sandaran yang dipersetujui. Bagi memastikan sistem dapat dibangunkan semula setelah berlakunya bencana, sandaran hendaklah dilakukan setiap kali konfigurasi berubah. Sandaran hendaklah direkodkan dan disimpan di off site. Perkara-perkara yang perlu dipatuhi adalah seperti yang berikut:
(i) Membuat sandaran keselamatan ke atas semua sistem perisian dan aplikasi sekurang-kurangnya sekali atau setelah mendapat versi terbaru;
(ii) Membuat sandaran ke atas semua data dan maklumat mengikut keperluan operasi;
(iii) Menguji sistem sandaran sedia ada sekurang-kurangnya 1 atau 2 kali setahun bagi memastikannya dapat berfungsi dengan sempurna, boleh dipercayai dan berkesan apabila digunakan khususnya pada waktu bencana; dan
(iv) Sandaran hendaklah dilaksanakan mengikut jadual yang dirancang sama ada secara harian, mingguan, bulanan atau tahunan. Kekerapan sandaran bergantung pada tahap kritikal maklumat, dan hendaklah disimpan sekurang- kurangnya TIGA (3) BULAN TERKINI bergantung kepada ketersediaan storan.
A.12.4 Pengelogan dan Pemantauan (Logging and Monitoring) Objektif: Merekodkan peristiwa dan menghasilkan bukti.
A.12.4.1 Pengelogan Kejadian (Event Logging) Peranan: Pentadbir Sistem ICT
Log peristiwa yang merekodkan aktiviti pengguna, pengecualian, ralat dan peristiwa keselamatan maklumat hendaklah disediakan, disimpan dan dikaji semula secara tetap. Log sistem ICT ialah bukti yang didokumenkan dan merupakan turutan kejadian bagi setiap aktiviti yang berlaku pada sistem. Log ini hendaklah mengandungi maklumat seperti pengenalpastian terhadap capaian yang tidak dibenarkan, aktiviti- aktiviti yang tidak normal serta aktiviti-aktiviti yang tidak dapat dijelaskan.
Log hendaklah disimpan dan direkodkan selaras dengan arahan/pekeliling terkini yang dikeluarkan oleh Kerajaan. Log hendaklah dikawal bagi mengekalkan integriti data. Jenis fail log bagi server dan aplikasi yang perlu diaktifkan adalah seperti yang berikut:
(i) Fail log sistem pengoperasian;
(ii) Fail log servis (contoh: web, e-mel);
(iii) Fail log aplikasi (audit trail); dan
(iv) Fail log rangkaian (contoh: switch, firewall, IPS).
Pentadbir Sistem ICT hendaklah melaksanakan perkara-perkara berikut:
(i) Mewujudkan sistem log bagi merekodkan semua aktiviti harian pengguna;
(ii) Menyemak sistem log secara berkala bagi mengesan ralat yang menyebabkan gangguan kepada sistem dan mengambil tindakan membaik pulih dengan segera; dan
(iii) Sekiranya wujud aktiviti-aktiviti lain yang tidak sah seperti kecurian maklumat dan pencerobohan, Pentadbir Sistem hendaklah melaporkan kepada pasukan CERT RTM .
A.12.4.2 Perlindungan Maklumat Log (Protection of Log Information) Peranan: Pentadbir Sistem ICT
Kemudahan pengelogan dan maklumat log hendaklah dilindungi daripada ubahan dan capaian tanpa izin.
A.12.4.3 Log pentadbir dan Pengendali (Administrator and Operator Logs) Peranan: Pentadbir Sistem ICT dan CERT RTM
Aktiviti pentadbir sistem dan pengendali sistem hendaklah direkodkan dan log aktiviti tersebut hendaklah dilindungi dan dikaji semula secara tetap.
(i) Memantau penggunaan kemudahan memproses maklumat secara berkala;
(ii) Aktiviti pentadbir dan pengendali sistem perlu direkodkan. Aktiviti log hendaklah dilindungi dan catatan jejak audit disemak dari semasa ke semasa dan menyediakan laporan jika perlu;
(iii) Kesalahan, kesilapan dan/atau penyalahgunaan perlu direkodkan log, dianalisis dan diambil tindakan sewajarnya;
(iv) Log Audit yang merekodkan semua aktiviti perlu dihasilkan dan disimpan untuk tempoh masa yang dipersetujui bagi membantu siasatan dan memantau kawalan capaian; dan
(v) Sekiranya wujud aktiviti-aktiviti lain yang tidak sah seperti kecurian maklumat dan pencerobohan, Pentadbir Sistem ICT hendaklah melaporkan kepada pasukan CERT RTM .
A.12.4.4 Penyeragaman Jam (Clock Synchronisation) Peranan: Pentadbir Pusat Data
Jam bagi semua sistem pemprosesan maklumat yang berkaitan dalam sesebuah domain organisasi atau domain keselamatan hendaklah diseragamkan mengikut sumber rujukan masa tunggal.
Waktu yang berkaitan dengan sistem pemprosesan maklumat dalam RTM atau domain keselamatan perlu diseragamkan dengan satu sumber waktu yang ditetapkan oleh National Metrology Institute of Malaysia (NMIM) i.e. The Malaysian Standard Time.
A.12.5 Kawalan Perisian yang Beroperasi (Control of Operational Software)
Objektif: Menghalang capaian tidak sah dan tanpa kebenaran ke atas sistem pengoperasian.
A.12.5.1 Pemasangan Perisian Pada Sistem yang Beroperasi (Installation of Software on Operational Systems)
Peranan: Timbalan Pengarah SAICT dan Pentadbir Sistem ICT
Prosedur hendaklah dilaksanakan untuk mengawal pemasangan perisian pada sistem operasi. Langkah-langkah yang perlu dipatuhi setelah mendapat kelulusan pegawai yang diberi kuasa melulus adalah seperti yang berikut:
(i) Strategi rollback perlu dilaksanakan sebelum sebarang perubahan ke atas konfigurasi, sistem dan perisian;
(ii) Aplikasi dan sistem operasi hanya boleh digunakan setelah ujian terperinci dilaksanakan dan diperaku berjaya; dan
(iii) Setiap konfigurasi ke atas sistem dan perisian perlu dikawal dan didokumentasikan dengan teratur.
A.12.6 Pengurusan Kerentanan Teknikal (Technical Vulnerability Management)
Objektif: Memastikan kawalan kerentanan teknikal adalah berkesan, sistematik dan berkala dengan mengambil langkah yang bersesuaian untuk menjamin keberkesanannya.
A.12.6.1 Pengurusan Kerentanan Teknikal (Management of Technical Vulnerabilities)
Peranan: Pentadbir Sistem ICT dan CERT RTM
Maklumat tentang kerentanan teknikal sistem maklumat yang digunakan hendaklah diperoleh pada masa yang tepat, pendedahan organisasi terhadap kerentanan tersebut hendaklah dinilai dan langkah-langkah yang sesuai hendaklah diambil untuk menangani risiko yang berkaitan. Kawalan terhadap keterdedahan teknikal perlu dilaksanakan ke atas sistem aplikasi dan operasi yang digunakan. Perkara yang perlu dipatuhi adalah seperti yang berikut:
(i) Melaksanakan ujian penembusan untuk memperoleh maklumat kerentanan teknikal bagi sistem aplikasi dan operasi;
(ii) Menganalisis tahap risiko kerentanan; dan
(iii) Mengambil tindakan pengolahan dan kawalan risiko.
A.12.6.2 Sekatan ke atas Pemasangan Perisian (Restriction on Software Installation)
Peranan: Pentadbir Sistem ICT, warga RTM , pembekal dan pihak yang mempunyai urusan dengan perkhidmatan ICT RTM
Peraturan yang mengawal pemasangan perisian oleh pengguna hendaklah disediakan dan dilaksanakan. Perkara yang perlu dipatuhi adalah seperti yang berikut:
(i) Hanya perisian yang diperaku sahaja dibenarkan bagi kegunaan warga RTM
, pembekal dan pihak yang mempunyai urusan dengan perkhidmatan ICT RTM .
(ii) Memasang dan menggunakan hanya perisian yang tulen, berdaftar dan dilindungi di bawah mana-mana undang- undang bertulis yang berkuat kuasa; dan
(iii) Mengimbas semua perisian atau sistem dengan antivirus sebelum menggunakannya.
A.12.7 Pertimbangan Tentang Audit Sistem Maklumat (Information Systems Audit Considerations)
Objektif: Meminimumkan kesan aktiviti audit terhadap sistem yang beroperasi.
A.12.7.1 Kawalan Audit Sistem Maklumat (Information Systems Audit Controls) Peranan: ICTSO dan Pentadbir Sistem ICT
Keperluan dan aktiviti audit yang melibatkan penentusahan sistem yang beroperasi hendaklah dirancang dengan teliti dan dipersetujui bagi meminimumkan gangguan ke atas proses perniagaan.
LAMPIRAN 9
BIDANG A.13
KESELAMATAN KOMUNIKASI (COMMUNICATIONS SECURITY)
A.13.1 Pengurusan Keselamatan Rangkaian (Network Security Management) Objektif: Memastikan maklumat dan kemudahan dalam rangkaian dilindungi.
A.13.1.1 Kawalan Rangkaian (Network Control)
Peranan: Pengurus Keselamatan Siber dan Pentadbir Sistem Rangkaian ICT
Sistem dan aplikasi hendaklah dikawal dan diuruskan sebaik mungkin di dalam infrastruktur rangkaian daripada sebarang ancaman. Perkara yang perlu dipatuhi adalah seperti yang berikut:
(i) Bertanggungjawab dalam memastikan kerja-kerja operasi rangkaian dilindungi daripada pengubahsuaian yang tidak dibenarkan;
(ii) Peralatan rangkaian hendaklah ditempatkan di lokasi yang mempunyai ciri-ciri fizikal yang selamat dan bebas dari risiko seperti banjir, gegaran dan habuk;
(iii) Capaian kepada peralatan rangkaian hendaklah dikawal dan dihadkan kepada pengguna yang dibenarkan sahaja;
(iv) Semua peralatan rangkaian hendaklah melalui proses Factory Acceptance Check (FAC) semasa pemasangan dan konfigurasi;
(v) Firewall hendaklah dipasang, dikonfigurasi dan diselia oleh Xxxxxxxxx Xxxxxxxxx;
(vi) Semua trafik keluar dan masuk rangkaian hendaklah melalui firewall di bawah kawalan RTM ;
(vii) Semua perisian sniffer atau network analyser adalah dilarang dipasang pada komputer pengguna KECUALI mendapat kebenaran daripada Pegawai Keselamatan Teknologi Maklumat (ICTSO);
(viii) Memasang perisian Intrusion Prevention System (IPS) bagi mencegah sebarang cubaan pencerobohan dan aktiviti-aktiviti lain yang boleh mengancam data dan maklumat RTM ;
(ix) Memasang Web Content Filtering pada Internet Gateway untuk menyekat aktiviti yang dilarang;
(x) Sebarang penyambungan rangkaian yang bukan di bawah kawalan BPM RTM adalah tidak dibenarkan;
(xi) Semua pengguna hanya dibenarkan menggunakan rangkaian sedia ada di RTM sahaja dan penggunaan modem adalah dilarang sama sekali;
(xii) Kemudahan bagi wireless LAN hendaklah dipantau dan dikawal penggunaannya;
(xiii) Semua perjanjian perkhidmatan rangkaian hendaklah mematuhi Service Level Assurance (SLA) yang telah ditetapkan;
(xiv) Menempatkan atau memasang antara muka (interfaces) yang bersesuaian di antara rangkaian RTM , rangkaian agensi lain dan rangkaian awam;
(xv) Mewujudkan dan menguatkuasakan mekanisme untuk pengesahan pengguna dan peralatan yang menepati kesesuaian penggunaannya;
(xvi) Memantau dan menguatkuasakan kawalan capaian pengguna terhadap perkhidmatan rangkaian ICT yang dibenarkan sahaja;
(xvii) Mengawal capaian fizikal dan logikal ke atas kemudahan port diagnostik dan konfigurasi jarak jauh;
(xviii) Mengawal sambungan ke rangkaian khususnya bagi kemudahan yang dikongsi dan menjangkau sempadan RTM ; dan
(xix) Mewujud dan melaksana kawalan pengalihan laluan (routing control) bagi memastikan pematuhan terhadap peraturan RTM .
A.13.1.2 Keselamatan Perkhidmatan Rangkaian (Security of Network Services)
Peranan: Pengurus Keselamatan Siber,ICTSO, Pentadbir Sistem Rangkaian ICT dan Pembekal
Pengurusan bagi semua perkhidmatan rangkaian (inhouse atau outsource) yang merangkumi mekanisme keselamatan dan tahap perkhidmatan hendaklah dikenal pasti dan dimasukkan di dalam perjanjian perkhidmatan rangkaian.
A.13.1.3 Pengasingan Dalam Rangkaian (Segregation in Networks) Peranan: Pengurus Keselamatan Siber, ICTSO dan Pentadbir Sistem Rangkaian ICT
Pengasingan dalam rangkaian hendaklah dibuat untuk membezakan kumpulan pengguna dan sistem maklumat mengikut segmen rangkaian RTM .
A.13.2 Pemindahan Data dan Maklumat (Information Transfer)
Objektif: Memastikan keselamatan perpindahan/pertukaran data maklumat dan perisian antara RTM dan pihak luar terjamin.
A.13.2.1 Polisi dan Prosedur Pemindahan Data dan Maklumat (Information Transfer Policies and Procedures)
Peranan: Pengguna, warga RTM dan pembekal
Perkara yang perlu dipatuhi adalah seperti yang berikut:
(i) Polisi, prosedur dan kawalan pemindahan data dan maklumat yang formal hendaklah diwujudkan untuk melindungi pemindahan data dan maklumat melalui sebarang jenis kemudahan komunikasi;
(ii) Terma pemindahan data, maklumat dan perisian antara RTM dengan pihak
luar hendaklah dimasukkan di dalam Perjanjian;
(iii) Media yang mengandungi maklumat perlu dilindungi; dan
(iv) Memastikan maklumat yang terdapat dalam e-mel elektronik hendaklah dilindungi sebaik-baiknya.
A.13.2.2 Perjanjian Mengenai Pemindahan Data dan Maklumat (Agreements on Information Transfer)
Peranan: CIO dan Timbalan Pengarah SAICT
RTM perlu mengambil kira keselamatan maklumat atau menandatangani perjanjian bertulis apabila berlaku pemindahan data dan maklumat organisasi antara RTM dengan pihak luar. Perkara yang perlu dipertimbangkan ialah:
(i) Timbalan Pengarah hendaklah mengawal penghantaran dan penerimaan maklumat RTM ;
(ii) Prosedur bagi memastikan keupayaan mengesan dan tanpa sangkalan semasa pemindahan data dan maklumat RTM ;
(iii) Mengenal pasti pihak yang bertanggungjawab terhadap risiko pemindahan data dan maklumat sekiranya berlaku insiden keselamatan maklumat; dan
(iv) RTM hendaklah mengenal pasti perlindungan data dalam penggunaan, data dalam pergerakan, data dalam simpanan dan menghalang ketirisan data.
A.13.2.3 Pesanan Elektronik (Electronic Messaging) Peranan: Warga RTM
Maklumat yang terlibat dalam pesanan elektronik hendaklah dilindungi sewajarnya mengikut arahan dan peraturan semasa. Perkara yang perlu dipatuhi dalam pengendalian mel elektronik dan undang-undang bertulis lain yang berkuat kuasa adalah seperti LAMPIRAN 15:
(i) Garis Panduan Mengenai Tatacara Penggunaan Internet dan Mel Elektronik di Agensi-agensi Kerajaan Bilangan 1 Tahun 2003;
(ii) Arahan Setiausaha Majlis Keselamatan Negara Bil. 1 Tahun 2013 – Pematuhan Tatacara Penggunaan E-mel dan Internet;
(iii) Surat Arahan Ketua Pengarah RTM bertarikh 1 Jun 2007 - Langkah- langkah mengenai penggunaan Mel Elektronik Agensi-agensi Kerajaan
(iv) Pengurusan Perkhidmatan Komunikasi Bersepadu Kerajaan Government Unified Communication (MyGovUC) dan mana-mana undang-undang bertulis yang berkuat kuasa; dan
(v) Sebarang e-mel rasmi hendaklah direkod ke dalam DDMS 2.0 untuk tujuan rekod.
A.13.2.4 Perjanjian Kerahsiaan atau Ketakdedahan (Confidentiality Or Non- Disclosure Agreements)
Peranan: ICTSO, Timbalan Pengarah SAICT, Pentadbir Sistem ICT, Pengguna dan Pembekal
Syarat-syarat perjanjian kerahsiaan atau non-disclosure perlu mengambil kira keperluan organisasi dan hendaklah disemak dan dokumentasikan.
Pembekal hendaklah bersetuju dan mematuhi semua keperluan keselamatan maklumat yang relevan.