Contract
Dokumen ini merupakan Dasar Keselamatan ICT (DKICT) Kementerian Perumahan dan Kerajaan Tempatan (KPKT) Versi 4.2 yang telah diluluskan oleh Jawatankuasa Pemandu ICT (JPICT) KPKT pada 5 November 2018 untuk makluman dan kelulusan YBhg. Dato’ Sri jua.
RUJUKAN | VERSI | TARIKH | MUKA SURAT |
DKICT KPKT | 4.2 | 5 NOVEMBER 2018 | 1 / i |
KEMENTERIAN PERUMAHAN DAN KERAJAAN TEMPATAN |
A. PERIHAL DOKUMEN
BIL. | VERSI | KELULUSAN | TARIKH KELULUSAN |
1. | 1.0 | Mesyuarat Penyelarasan Ketua Pegawai Maklumat (CIO) Bilangan 2 Tahun 2007 | 17 Ogos 2007 |
2. | 2.0 | Mesyuarat Kajian Semula ISP dan Dasar ICT KPKT Tahun 2009 | 22 Disember 2009 |
3. | 3.0 | Mesyuarat Jawatankuasa Pemandu ICT (JPICT) KPKT Bilangan 2 Tahun 2012 | 11 Jun 2012 |
4. | 3.1 | Mesyuarat Jawatankuasa Pemandu ICT (JPICT) KPKT Bilangan 3 Tahun 2013 | 28 Ogos 2013 |
5. | 4.0 | Mesyuarat Jawatankuasa Pemandu ICT (JPICT) KPKT Bilangan 4 Tahun 2015 | 5 November 2015 |
6. | 4.1 | Mesyuarat Jawatankuasa Pemandu ICT (JPICT) KPKT Bilangan 3 Tahun 2016 | 9 Ogos 2016 |
7. | 4.2 | Mesyuarat Jawatankuasa Pemandu ICT (JPICT) KPKT Bilangan 4 Tahun 2018 | 5 November 2018 |
RUJUKAN | VERSI | TARIKH | MUKA SURAT |
DKICT KPKT | 4.2 | 5 NOVEMBER 2018 | ii / x |
KEMENTERIAN PERUMAHAN DAN KERAJAAN TEMPATAN |
B. REKOD PINDAAN DOKUMEN
TARIKH | VERSI | BAB / MUKA SURAT | BUTIRAN PINDAAN |
11 Jun 2012 | 3.0 | Bab 6.0 | Pertambahan tajuk baharu iaitu 6.0 Penilaian Risiko Keselamatan ICT. |
Bidang 01, Bidang 02, Bidang 03, Bidang 04, Bidang 05, Bidang 06, Bidang 07 dan Bidang 10 | Mengemaskini pernyataan bagi sub bidang 0401 dan perkara 010102, 010103, 020102, 020104, 020106, 020107, 020108, 030101, 040102, 050101, 050102, 050103, 050104, 050105, 050107, 050201, 050203, 050205, 050207, 060103, 060401, 060501, 060601, 060801, 060902, 070501 dan 100101. | ||
Bidang 08 | Menambah perkara baharu iaitu perkara 0805, 080501, 080602, 0807, 080701, 0808 dan 080801. | ||
Lampiran 3 | Mengemaskini senarai peraturan dan perundangan yang terkini. | ||
28 Ogos 2013 | 3.1 | Keseluruhan Dokumen | Perubahan logo baharu dan pindaan nama Kementerian daripada Kementerian Perumahan dan Kerajaan Tempatan kepada Kementerian Kesejahteraan Bandar, Perumahan dan Kerajaan Tempatan di: i. Xxxx Xxxxxxx; ii. Footer; dan iii. Lampiran 1. |
Bidang 02 dan Bidang 07 | Mengemaskini perkara 020101, 020105 dan 070201. | ||
Lampiran 3 | Pertambahan senarai dalam Lampiran 3: Surat Arahan KSU KPKT Bilangan 2 Tahun 2012 – Pematuhan Dasar Keselamatan ICT bertarikh 27 Jun 2012. |
VERSI | BAB / MUKA SURAT | BUTIRAN PINDAAN | ||||
5 November 2015 | 4.0 | Muka surat i | Mewujudkan kelulusan KSU. | ruang | pengesahan | dan |
Muka surat iii | Mengemaskini Jadual Perihal Dokumen. | |||||
Muka surat 1 | Mengemaskini Bab 1.0: Pengenalan, Bab 2.0: Objektif, Bab 3.0: Pernyataan Dasar, Bab 4.0: Skop, Bab 5.0: Prinsip-prinsip dan Bab 6.0: Penilaian Risiko Keselamatan ICT. | |||||
Muka surat 8 | Mewujudkan Jadual 1: Singkatan. | |||||
Muka surat 10 Bidang 01 hingga Bidang 11 | Mengemaskini pernyataan bagi perkara dalam Bidang 01 hingga Bidang 11. | |||||
Bidang 02, Bidang 06, Bidang 07 dan Bidang 08 | Mengeluarkan perkara-perkara berikut iaitu perkara 020103, 020108, 060902, 061004, 070402 dan 080402. | |||||
Bidang 02, Bidang 03, Bidang 06, Bidang 07 dan Bidang 08 | Menambah sub bidang baharu iaitu sub bidang 0203, 0303, 0611, 0612, 0707 dan 0809. | |||||
Bidang 02, Bidang 03, Bidang 06, Bidang 07 dan Bidang 08 | Menambah perkara baharu iaitu perkara 020103, 020104, 020105, 020106, 020111, 020112, 020301, 030203, 030301, 060803, 060804, 061101, 061102, 061201, 070205, 070701 dan 080901. | |||||
Muka surat 68 | Mengemaskini Jadual 2: Glosari. | |||||
Muka surat 75 | Mewujudkan Senarai Lampiran. | |||||
Lampiran 1 – 3 | Mengemaskini Lampiran 1 hingga 3. | |||||
9 Ogos 2016 | 4.1 | Muka surat 8 | Mengemaskini Jadual 1: Singkatan. | |||
Bidang 02 Bidang 05 | dan | Menambah perkara baharu iaitu perkara 020104 dan 050208. |
VERSI | BAB / MUKA SURAT | BUTIRAN PINDAAN | |||||
Lampiran 3 | Mengemaskini Lampiran 3. | ||||||
5 November | 4.2 | Keseluruhan | Perubahan logo baharu dan pindaan nama | ||||
2018 | Dokumen | Kementerian daripada Kementerian | |||||
Kesejahteraan Bandar, Perumahan dan | |||||||
Kerajaan Tempatan kepada Kementerian | |||||||
Perumahan dan Kerajaan Tempatan. | |||||||
Muka Surat 8 - 10 | Mengemaskini Jadual 1 : Singkatan | ||||||
Bidang 01, | Mengemaskini pernyataan bagi sub bidang | ||||||
Bidang 02, | 0203, 0303, dan perkara 010103, 020102, | ||||||
Bidang 03, | 020103, 020104, 020105, 020107, 020109, | ||||||
Bidang 04, | 020111, 020113, 020116, 020201, 030101, | ||||||
Bidang 05, | 040101, 050101, 050102, 050103, 050104, | ||||||
Bidang 06, | 050105, 050201, 050204, 050205, 060801, | ||||||
Bidang 07, | 061102, 070201, 070203, 070204, 070301, | ||||||
Bidang 08, | 070302, 070501, 080101, 080102, 080201, | ||||||
Bidang 09 dan | 080501, 080601, 080801, 080901, 090201 | ||||||
Bidang 11 | dan 110105 | ||||||
Bidang 06 | Menambah sub bidang baharu 0613 | ||||||
Bidang 02,06 dan | Menambah perkara baharu | 020106, | |||||
Bidang 07 | 020108, 061301 dan 070502 | ||||||
Muka | Surat | 75 | - | Mengemaskini Jadual 2 : Glosari | |||
81 | |||||||
Lampiran 1 - 3 | Mengemaskini Lampiran 1 - 3 |
ISI KANDUNGAN
1.0 PENGENALAN ..................................................................................................... | 1 | ||
2.0 OBJEKTIF ............................................................................................................ | 1 | ||
3.0 PERNYATAAN DASAR ........................................................................................ | 1 | ||
4.0 SKOP .................................................................................................................... | 3 | ||
5.0 PRINSIP-PRINSIP ................................................................................................ | 5 | ||
6.0 PENILAIAN RISIKO KESELAMATAN ICT ........................................................... | 7 | ||
7.0 SINGKATAN ......................................................................................................... | 8 | ||
BIDANG 01: PEMBANGUNAN DAN PENYELENGGARAAN DASAR | |||
0101 | Dasar Keselamatan ICT KPKT ............................................................................. | 11 | |
010101 | Pelaksanaan Dasar ............................................................................... | 11 | |
010102 | Penyebaran Dasar ................................................................................ | 11 | |
010103 | Penyelenggaraan Dasar ....................................................................... | 11 | |
010104 | Pengecualian Dasar ............................................................................. | 12 | |
BIDANG 02: ORGANISASI KESELAMATAN | |||
0201 | Infrastruktur Organisasi Dalaman........................................................................... | 13 | |
020101 | Ketua Setiausaha (KSU) KPKT............................................................. | 13 | |
020102 | Ketua Pegawai Maklumat (CIO) KPKT/Jabatan.................................... | 13 | |
020103 | Ketua Pegawai Keselamatan (KPK) KPKT ............................................ | 14 | |
020104 | Jawatankuasa Teknikal ICT (JTI) KPKT................................................ | 15 | |
020105 | Jawatankuasa Pemandu ICT (JPICT) KPKT......................................... | 16 | |
020106 | Jawatankuasa Pemandu ICT (JPICT) Jabatan...................................... | 18 | |
020107 | Jawatankuasa Pensijilan Sistem Pengurusan Keselamatan Maklumat (ISMS) KPKT......................................................................................... | 20 | |
020108 | Jawatankuasa Pensijilan Sistem Pengurusan Keselamatan Maklumat (ISMS) Jabatan..................................................................................... | 21 | |
020109 | Koordinator Pengurusan Kesinambungan Perkhidmatan (PKP) KPKT..................................................................................................... | 22 | |
020110 | Pengurus ICT ........................................................................................ | 22 | |
020111 | Pegawai Keselamatan ICT (ICTSO) ...................................................... | 23 | |
020112 | Pasukan Tindak Balas Insiden Keselamatan ICT (CERT) KPKT ......... | 23 | |
020113 | Pentadbir Sistem ICT ............................................................................ | 24 | |
020114 | Pentadbir Pusat Data dan Rangkaian ICT ............................................ | 25 | |
020115 | Pegawai Aset ........................................................................................ | 25 | |
020116 | Pengguna .............................................................................................. | 27 | |
0202 | Pihak Ketiga .......................................................................................................... | 27 | |
020201 | Keperluan Keselamatan Kontrak dengan Pihak Ketiga ........................ | 27 | |
0203 | Keselamatan Maklumat dalam Pengurusan Projek .............................................. | 28 | |
020301 | Keselamatan Maklumat dalam Pengurusan Projek .............................. | 28 |
RUJUKAN | VERSI | TARIKH | MUKA SURAT |
DKICT KPKT | 4.2 | 5 NOVEMBER 2018 | vi / x |
KEMENTERIAN PERUMAHAN DAN KERAJAAN TEMPATAN |
Pengurusan Penyampaian Perkhidmatan Pihak Ketiga ....................................... | 46 | ||
060201 | Perkhidmatan Penyampaian ................................................................. | 46 | |
0603 | Perancangan dan Penerimaan Sistem ................................................................. | 47 | |
060301 | Perancangan Kapasiti ........................................................................... | 47 | |
060302 | Penerimaan Sistem ............................................................................... | 47 | |
0604 | Perisian Berbahaya .............................................................................................. | 47 | |
060401 | Perlindungan daripada Perisian Berbahaya ......................................... | 47 | |
060402 | Perlindungan daripada Mobile Code .................................................... | 48 | |
0605 | Housekeeping ....................................................................................................... | 48 | |
060501 | Backup dan Restore ............................................................................. | 48 | |
0606 | Pengurusan Rangkaian ........................................................................................ | 49 | |
060601 | Kawalan Infrastruktur Rangkaian.......................................................... | 49 | |
0607 | Pengurusan Media ................................................................................................ | 50 | |
060701 | Penghantaran dan Pemindahan ........................................................... | 50 | |
060702 | Prosedur Pengendalian Media ............................................................. | 50 | |
060703 | Keselamatan Sistem Dokumentasi ....................................................... | 50 | |
0608 | Pengurusan Pertukaran Maklumat ....................................................................... | 51 | |
060801 | Pertukaran Maklumat ........................................................................... | 51 | |
060802 | Pengurusan E-mel ................................................................................ | 51 | |
060803 | Pengurusan Komunikasi Bersepadu (UC) ............................................ | 52 | |
060804 | Pengurusan Cloud Computing .............................................................. | 52 | |
0609 | Perkhidmatan E-Dagang (Electronic Commerce Services) .................................. | 52 | |
060901 | E-Dagang .............................................................................................. | 52 | |
0610 | Pemantauan .......................................................................................................... | 53 | |
061001 | Pengauditan dan Forensik ICT.............................................................. | 53 | |
061002 | Jejak Audit ............................................................................................. | 53 | |
061003 | Sistem Log dan Pemantauan................................................................ | 54 | |
0611 | Media Sosial ......................................................................................................... | 54 | |
061101 | Media Sosial ......................................................................................... | 54 | |
061102 | Keselamatan Media Sosial ................................................................... | 55 | |
0612 | Data Terbuka ......................................................................................................... | 55 | |
061201 | Pengurusan Data Terbuka .................................................................... | 55 | |
0613 | Data Raya............................................................................................................... | 56 | |
061301 | Pengurusan Data Raya.......................................................................... | 56 |
RUJUKAN | VERSI | TARIKH | MUKA SURAT |
DKICT KPKT | 4.2 | 5 NOVEMBER 2018 | viii / x |
KEMENTERIAN PERUMAHAN DAN KERAJAAN TEMPATAN |
0701 | Dasar Kawalan Capaian ....................................................................................... | 57 | |
070101 | Keperluan Kawalan Capaian ................................................................ | 57 | |
0702 | Pengurusan Capaian Pengguna ........................................................................... | 57 | |
070201 | Xxxxx Xxxxxxxx................................................................................... | 57 | |
070202 | Hak Capaian.......................................................................................... | 58 | |
070203 | Pengurusan Kata Laluan ...................................................................... | 58 | |
070204 | Clear Desk dan Clear Screen ............................................................... | 58 | |
070205 | Capaian Pengguna ............................................................................... | 59 | |
0703 | Kawalan Capaian Rangkaian................................................................................ | 59 | |
070301 | Capaian Rangkaian............................................................................... | 59 | |
070302 | Capaian Internet.................................................................................... | 60 | |
0704 | Kawalan Capaian Sistem Pengoperasian ............................................................ | 60 | |
070401 | Capaian Sistem Pengoperasian ........................................................... | 60 | |
0705 | Kawalan Capaian Aplikasi dan Maklumat ............................................................ | 61 | |
070501 | Capaian Aplikasi dan Maklumat ........................................................... | 61 | |
070502 | Token (GKPI) / Sijil Digital................................................................... | 61 | |
0706 | Peralatan Xxxxx Xxxx dan Xxxxx Xxxxx Xxxx ........................................................ | 62 | |
070601 | Xxxxxxxxx Xxxxx Xxxx ........................................................................... | 62 | |
070602 | Xxxxx Xxxxx Xxxx ................................................................................... | 62 | |
0707 | Bring Your Own Device (BYOD) ........................................................................... | 62 | |
070701 | Xxxxxxxxx dan Kawalan Penggunaan BYOD ....................................... | 62 | |
BIDANG 08: PEMBANGUNAN DAN PENYELENGGARAAN SISTEM | |||
0801 | Keselamatan dalam Membangunkan Sistem dan Aplikasi .................................. | 63 | |
080101 | Keperluan Keselamatan Sistem Maklumat .......................................... | 63 | |
080102 | Pengesahan Data Input dan Output ..................................................... | 64 | |
0802 | Kawalan Kriptografi ............................................................................................... | 64 | |
080201 | Enkripsi ................................................................................................. | 64 | |
080202 | Tandatangan Digital .............................................................................. | 64 | |
080203 | Pengurusan Infrastruktur Kunci Awam (PKI) ........................................ | 64 | |
0803 | Keselamatan Fail Sistem ...................................................................................... | 65 | |
080301 | Kawalan Fail Sistem ............................................................................. | 65 | |
0804 | Keselamatan dalam Proses Pembangunan dan Sokongan ................................. | 65 | |
080401 | Prosedur Kawalan Perubahan .............................................................. | 65 |
Pembangunan Sistem Aplikasi .............................................................................. | 66 | ||
080501 | Prosedur Pembangunan Sistem Aplikasi............................................... | 66 | |
0806 | Kawalan Teknikal Keterdedahan (Vulnerability).................................................... | 67 | |
080601 | Kawalan daripada Ancaman Teknikal ................................................... | 67 | |
080602 | Kawalan Kod Sumber dan Dokumentasi Sistem Aplikasi ..................... | 67 | |
0807 | Penamatan Sistem Aplikasi .................................................................................. | 68 | |
080701 | Penamatan Penggunaan Sistem Aplikasi ............................................. | 68 | |
0808 | Pembangunan Laman Web dan Aplikasi Web ...................................................... | 68 | |
080801 | Prosedur Pembangunan Laman Web dan Aplikasi Web....................... | 68 | |
0809 | Pembangunan Aplikasi Mobile .............................................................................. | 69 | |
080901 | Prosedur Pembangunan Aplikasi Mobile .............................................. | 69 | |
BIDANG 09: PENGURUSAN PENGENDALIAN INSIDEN KESELAMATAN | |||
0901 | Mekanisme Pelaporan Insiden Keselamatan ICT ................................................ | 70 | |
090101 | Mekanisme Pelaporan Insiden ............................................................. | 70 | |
0902 | Pengurusan Maklumat Insiden Keselamatan ICT ................................................ | 70 | |
090201 | Prosedur Pengurusan Maklumat Insiden Keselamatan ICT ................ | 70 | |
BIDANG 10: PENGURUSAN KESINAMBUNGAN PERKHIDMATAN | |||
1001 | Dasar Kesinambungan Perkhidmatan .................................................................. | 71 | |
100101 | Pelan Pengurusan Kesinambungan Perkhidmatan ............................. | 71 | |
BIDANG 11: PEMATUHAN | |||
1101 | Pematuhan dan Keperluan Perundangan ............................................................ | 73 | |
110101 | Pematuhan Dasar ................................................................................ | 73 | |
110102 | Pematuhan dengan Dasar, Piawaian dan Keperluan Teknikal ............ | 73 | |
110103 | Pematuhan Keperluan Audit ................................................................ | 73 | |
110104 | Keperluan Perundangan ...................................................................... | 74 | |
110105 | Pelanggaran Dasar .............................................................................. | 74 | |
8.0 GLOSARI .............................................................................................................. | 75 | ||
9.0 LAMPIRAN ........................................................................................................... | 82 | ||
Lampiran 1: Surat Akuan Pematuhan Dasar Keselamatan ICT KPKT | |||
Lampiran 2: Proses Kerja Pelaporan Insiden Keselamatan ICT (CERT) KPKT | |||
Lampiran 3: Senarai Perundangan dan Peraturan |
1.0 PENGENALAN
Dasar Keselamatan ICT (DKICT) Kementerian Perumahan dan Kerajaan Tempatan (KPKT) mengandungi peraturan-peraturan yang mesti dibaca dan dipatuhi dalam menggunakan aset ICT. Peraturan-peraturan ini perlu difahami dan dipatuhi oleh semua pengguna di KPKT. Dasar ini juga menerangkan kepada semua pengguna mengenai tanggungjawab dan peranan mereka dalam melindungi aset ICT KPKT.
2.0 OBJEKTIF
DKICT KPKT diwujudkan untuk menjamin kesinambungan urusan KPKT dengan meminimumkan kesan insiden keselamatan ICT.
Objektif utama Keselamatan ICT KPKT ialah seperti berikut:
(a) Memastikan kelancaran operasi KPKT dan meminimumkan kerosakan atau kemusnahan;
(b) Melindungi kepentingan pihak-pihak yang bergantung kepada sistem maklumat daripada kesan kegagalan atau kelemahan daripada segi kerahsiaan, integriti, kebolehsediaan, kesahihan maklumat dan komunikasi;
(c) Mencegah salah guna atau kecurian aset ICT Kerajaan;
(d) Meminimumkan kos penyelenggaraan ICT akibat ancaman dan penyalahgunaan; dan
(e) Memperkemaskan pengurusan keselamatan ICT KPKT.
3.0 PERNYATAAN DASAR
Keselamatan ditakrifkan sebagai keadaan yang bebas daripada ancaman dan risiko yang tidak boleh diterima. Penjagaan keselamatan merupakan suatu proses yang berterusan. Ia melibatkan aktiviti berkala yang mesti dilakukan dari semasa ke semasa untuk menjamin keselamatan daripada ancaman dan kelemahan yang sentiasa berubah.
(a) Melindungi maklumat rahsia rasmi dan maklumat rasmi Kerajaan dari capaian tanpa kuasa yang sah;
(b) Menjamin setiap maklumat adalah tepat dan sempurna;
(c) Memastikan ketersediaan maklumat apabila diperlukan oleh pengguna; dan
(d) Memastikan akses hanya kepada pengguna-pengguna yang sah atau penerimaan maklumat daripada sumber yang sah.
DKICT KPKT merangkumi perlindungan ke atas semua bentuk maklumat elektronik bertujuan untuk menjamin keselamatan maklumat tersebut dan kebolehsediaan kepada semua pengguna yang dibenarkan. Ciri-ciri utama keselamatan maklumat adalah seperti berikut:
(a) Kerahsiaan – Maklumat tidak boleh didedahkan sewenang-wenangnya atau dibiarkan diakses tanpa kebenaran;
(b) Integriti – Data dan maklumat hendaklah tepat, lengkap dan kemas kini. Ia hanya boleh diubah dengan cara yang dibenarkan;
(c) Tidak Boleh Disangkal – Punca data dan maklumat hendaklah dari punca yang sah dan tidak boleh disangkal;
(d) Kesahihan – Data dan maklumat hendaklah dijamin kesahihannya; dan
(e) Ketersediaan – Data dan maklumat hendaklah boleh diakses pada bila-bila masa.
Selain itu, langkah-langkah ke arah menjamin keselamatan ICT hendaklah bersandarkan kepada penilaian yang bersesuaian dengan perubahan semasa terhadap kelemahan semula jadi aset ICT; ancaman yang wujud akibat daripada kelemahan tersebut; risiko yang mungkin timbul; dan langkah-langkah pencegahan yang sesuai diambil untuk menangani risiko berkenaan.
4.0 SKOP
Aset ICT KPKT terdiri daripada perkakasan, perisian, perkhidmatan, data dan maklumat serta manusia. DKICT KPKT menetapkan keperluan-keperluan asas berikut:
(a) Data dan maklumat hendaklah boleh diakses secara berterusan dengan cepat, tepat, mudah dan boleh dipercayai. Ini adalah amat perlu bagi membolehkan keputusan dan penyampaian perkhidmatan dilakukan dengan berkesan dan berkualiti; dan
(b) Data dan maklumat hendaklah dijaga kerahsiaannya dan dikendalikan sebaik mungkin pada setiap masa bagi memastikan integriti dan kesahihan maklumat serta untuk melindungi kepentingan Kerajaan, perkhidmatan dan masyarakat.
Bagi menentukan aset ICT ini terjamin keselamatannya sepanjang masa, DKICT KPKT ini merangkumi perlindungan semua bentuk maklumat Kerajaan yang dimasukkan, diwujud, dimusnah, disimpan, dijana, dicetak, diakses, diedar, dalam penghantaran dan yang dilaksanakan salinan keselamatan. Ini akan dilakukan melalui pewujudan dan penguatkuasaan sistem kawalan serta prosedur dalam pengendalian semua perkara-perkara berikut:
(a) Perkakasan
Semua aset yang digunakan untuk menyokong pemprosesan maklumat dan kemudahan storan KPKT. Contohnya: komputer, pelayan, peralatan komunikasi dan sebagainya;
(b) Perisian
Program, prosedur atau peraturan yang ditulis dan dokumentasi yang berkaitan dengan sistem pengoperasian komputer yang disimpan dalam sistem ICT. Contoh perisian aplikasi atau perisian sistem seperti sistem pengoperasian, sistem pangkalan data, perisian sistem rangkaian atau aplikasi pejabat yang menyediakan kemudahan pemprosesan maklumat KPKT;
(c) Perkhidmatan
Perkhidmatan atau sistem yang menyokong aset lain untuk melaksanakan fungsi-fungsinya. Contohnya:
i. Perkhidmatan rangkaian seperti LAN, WAN dan lain-lain;
ii. Sistem halangan akses seperti sistem kad akses; dan
iii. Perkhidmatan sokongan seperti kemudahan elektrik, penghawa dingin, sistem pencegah kebakaran dan lain-lain.
(d) Data dan Maklumat
Koleksi fakta dalam bentuk kertas atau mesej elektronik yang mengandungi maklumat untuk digunakan bagi mencapai misi dan objektif KPKT. Contohnya: sistem dokumentasi, prosedur operasi, rekod KPKT, profil pelanggan, pangkalan data dan fail data, maklumat arkib dan lain-lain;
(e) Manusia
Individu yang mempunyai pengetahuan dan kemahiran untuk melaksanakan skop kerja harian KPKT bagi mencapai misi dan objektif KPKT. Individu berkenaan merupakan aset berdasarkan kepada tugas dan fungsi yang dilaksanakan; dan
(f) Premis Komputer dan Komunikasi
Semua kemudahan serta premis yang digunakan untuk menempatkan perkara (a) - (e) di atas.
Setiap perkara di atas perlu diberi perlindungan rapi. Sebarang kebocoran rahsia atau kelemahan perlindungan dianggap sebagai perlanggaran langkah-langkah keselamatan.
5.0 PRINSIP-PRINSIP
Prinsip-prinsip yang menjadi asas kepada DKICT KPKT dan perlu dipatuhi adalah seperti berikut:
(a) Akses atas Dasar Perlu Mengetahui
Akses terhadap penggunaan aset ICT hanya diberikan untuk tujuan spesifik dan dihadkan kepada pengguna tertentu atas dasar “perlu mengetahui” sahaja. Ini bermakna akses hanya akan diberikan sekiranya peranan atau fungsi pengguna memerlukan dan dibenarkan akses maklumat tersebut.
Pertimbangan untuk akses adalah berdasarkan kategori maklumat seperti yang dinyatakan di dalam dokumen Arahan Keselamatan perenggan 53, muka surat 15;
(b) Hak Akses Minimum
Hak akses pengguna hanya diberi pada tahap set yang paling minimum iaitu untuk membaca dan/atau melihat sahaja. Kelulusan adalah perlu untuk membolehkan pengguna mewujud, menyimpan, mengemas kini, mengubah atau membatalkan sesuatu maklumat. Hak akses perlu dikaji dari semasa ke semasa berdasarkan kepada peranan dan tanggungjawab pengguna atau bidang tugas;
(c) Akauntabiliti
Semua pengguna adalah dipertanggungjawabkan ke atas semua tindakannya terhadap aset ICT. Tanggungjawab ini perlu dinyatakan dengan jelas sesuai dengan tahap sensitiviti sesuatu sumber ICT. Untuk membolehkan pertanggungjawaban ini dilaksanakan, sistem ICT hendaklah mampu menyokong kemudahan mengesan dan mengesahkan penggunaan sistem ICT.
Akauntabiliti atau tanggungjawab pengguna termasuklah:
i. Menghalang pendedahan maklumat kepada pihak yang tidak dibenarkan;
ii. Memeriksa data dan maklumat serta menentukan ianya tepat dan lengkap dari semasa ke semasa;
iii. Menentukan data dan maklumat sedia untuk digunakan;
iv. Menjaga kerahsiaan kata laluan;
v. Mematuhi standard, prosedur, langkah dan garis panduan keselamatan yang ditetapkan;
vi. Memberi perhatian kepada maklumat terperingkat terutama semasa pewujudan, pemprosesan, penyimpanan, penghantaran, penyampaian, pertukaran dan pemusnahan; dan
vii. Menjaga kerahsiaan langkah-langkah keselamatan ICT daripada diketahui umum.
(d) Pengasingan
Tugas mewujud, memadam, mengemas kini, mengubah dan mengesahkan data perlu diasingkan bagi mengelakkan daripada capaian yang tidak dibenarkan serta melindungi aset ICT daripada kesilapan, kebocoran maklumat terperingkat atau dimanipulasi. Pengasingan juga merangkumi tindakan memisahkan antara kumpulan sistem dan operasi;
(e) Pengauditan
Pengauditan ialah tindakan untuk mengenal pasti insiden berkaitan keselamatan atau mengenal pasti keadaan yang mengancam keselamatan. Ia membabitkan pemeliharaan semua rekod berkaitan tindakan keselamatan. Dengan itu, aset ICT seperti komputer, pelayan, router, firewall, rangkaian dan lain-lain hendaklah ditentukan dapat menjana dan menyimpan log tindakan keselamatan atau audit trail;
(f) Pematuhan
DKICT KPKT hendaklah dibaca, difahami dan dipatuhi bagi mengelakkan sebarang bentuk pelanggaran ke atasnya yang boleh membawa ancaman kepada keselamatan ICT;
(g) Pemulihan
Pemulihan sistem amat perlu untuk memastikan kebolehsediaan dan kebolehcapaian. Objektif utama adalah untuk meminimumkan sebarang gangguan atau kerugian akibat daripada ketidaksediaan. Pemulihan boleh dilakukan melalui aktiviti penduaan dan mewujudkan pelan pemulihan bencana atau pengurusan kesinambungan perkhidmatan; dan
(h) Saling Bergantungan
Setiap prinsip di atas adalah saling lengkap-melengkapi dan bergantung antara satu sama lain. Dengan itu, tindakan mempelbagaikan pendekatan dalam menyusun dan mencorakkan sebanyak mungkin mekanisme keselamatan adalah perlu bagi menjamin keselamatan yang maksimum.
6.0 PENILAIAN RISIKO KESELAMATAN ICT
KPKT hendaklah mengambil langkah-langkah proaktif dan bersesuaian untuk menilai tahap risiko aset ICT supaya pendekatan dan keputusan yang paling berkesan dikenal pasti bagi menyediakan perlindungan dan kawalan ke atas aset ICT. KPKT hendaklah melaksanakan penilaian risiko keselamatan ICT secara berkala dan berterusan bergantung kepada perubahan teknologi dan keperluan keselamatan ICT. Seterusnya mengambil tindakan susulan dan/atau langkah-langkah bersesuaian untuk mengurangkan atau mengawal risiko keselamatan ICT berdasarkan penemuan penilaian risiko.
Penilaian risiko keselamatan ICT hendaklah dilaksanakan ke atas sistem maklumat KPKT termasuklah aplikasi, perisian, pelayan, rangkaian dan/atau proses serta prosedur. Penilaian risiko ini hendaklah juga dilaksanakan di premis yang menempatkan sumber-sumber teknologi maklumat termasuklah pusat data, bilik penyelenggaraan, kemudahan utiliti dan sistem-sistem sokongan lain. KPKT bertanggungjawab melaksanakan dan menguruskan risiko keselamatan ICT selaras dengan keperluan Surat Pekeliling Am Bilangan 6 Tahun 2005: Garis Panduan Penilaian Risiko Keselamatan Maklumat Sektor Awam.
KPKT hendaklah mengenal pasti tindakan yang sewajarnya bagi menghadapi kemungkinan risiko berlaku dengan memilih tindakan berikut:
(a) mengurangkan risiko dengan melaksanakan kawalan yang bersesuaian;
(b) menerima dan/atau bersedia berhadapan dengan risiko yang akan terjadi selagi ia memenuhi kriteria yang telah ditetapkan oleh pengurusan atasan;
(c) mengelak dan/atau mencegah risiko daripada terjadi dengan mengambil tindakan yang dapat mengelak dan/atau mencegah berlakunya risiko; dan
(d) memindahkan risiko kepada pihak lain seperti pembekal, pakar runding dan pihak-pihak lain yang berkepentingan.
7.0 SINGKATAN
Berikut ialah jadual singkatan bagi perkataan yang digunakan dalam keseluruhan dokumen ini.
Jadual 1: Singkatan
BIL. | SINGKATAN | KETERANGAN |
1. | API | Application Programming Interface |
2. | AVR | Auto Voltage Regulator |
3. | BYOD | Bring Your Own Device |
4. | CERT | Computer Emergency Response Team Pasukan Tindak Balas Insiden Keselamatan ICT |
5. | CIO | Chief Information Officer Ketua Pegawai Maklumat |
6. | DDSA | Data Dictionary Sektor Awam |
7. | DKICT | Dasar Keselamatan ICT |
8. | E-mel | Elektronik mel |
9. | EMS | Environment Monitoring System Sistem Pemantauan Persekitaraan |
10. | FAT | Final Acceptance Test Ujian Penerimaan Akhir |
11. | GAMMA | Gallery of Malaysian Government Mobile Application |
12. | GENSET | Alat jana kuasa tunggu sedia ada yang digunakan untuk menyokong bekalan kuasa bagi satu tempoh yang lama |
13. | ICT | Information and Communication Technology Teknologi Maklumat dan Komunikasi |
14. | ICTSO | ICT Security Officer Pegawai Keselamatan ICT |
15. | IDS | Intrusion Detection System |
16. | IP | Internet Protocol |
17. | IPS | Intrusion Prevention System |
BIL. | SINGKATAN | KETERANGAN |
18. | ISMS | Information Security Management System Sistem Maklumat Pengurusan Keselamatan |
19. | ISP | Internet Service Provider |
20. | JTISA | Jawatankuasa Teknikal ICT Sektor Awam |
21. | JTI | Jawatankuasa Teknikal ICT |
22. | JPA | Jabatan Perkhidmatan Awam |
23. | JPICT | Jawatankuasa Pemandu ICT |
24. | JPM | Jabatan Perdana Menteri |
25. | KPDNHEP | Kementerian Perdagangan Dalam Negeri dan Hal Ehwal Pengguna |
26. | KPK | Ketua Pegawai Keselamatan |
27. | KPKT | Kementerian Perumahan dan Kerajaan Tempatan |
28. | KSU | Ketua Setiausaha |
29. | LAN | Local Area Network |
30. | MAMPU | Unit Pemodenan Tadbiran dan Perancangan Pengurusan Malaysia |
31. | NACSA | National Cyber Security Agency Agensi Keselamatan Siber Negara |
32. | PICT | Pengurus ICT |
33. | PKI | Public Key Infrastructure Infrastruktur Kunci Awam |
34. | PKP | Business Continuity Management Pengurusan Kesinambungan Perkhidmatan |
35. | PYB | Pegawai Yang Bertanggungjawab |
36. | SKMM | Suruhanjaya Komunikasi dan Multimedia Malaysia |
37. | SLA | Service Level Agreement Perjanjian Tahap Perkhidmatan |
38. | SoA | Statement of Applicability |
39. | SPPA | Sistem Pemantauan Pengurusan Aset |
SINGKATAN | KETERANGAN | |
40. | SUB(D) | Setiausaha Bahagian Dasar dan Inspektorat |
41. | SUB(TM) | Setiausaha Bahagian Teknologi Maklumat |
42. | UAT | User Acceptance Test Ujian Penerimaan Pengguna |
43. | UC | Unified Communication |
44. | UPS | Uninterruptible Power Supply Bekalan kuasa sokongan untuk tempoh masa yang singkat |
45. | WAN | Wide Area Network |
BIDANG 01: PEMBANGUNAN DAN PENYELENGGARAAN DASAR
Dasar Keselamatan ICT KPKT | ||||
Objektif: Menerangkan hala tuju dan sokongan pengurusan terhadap keselamatan maklumat selaras dengan keperluan KPKT dan perundangan yang berkaitan. | ||||
Pelaksanaan Dasar | Tanggungjawab | |||
Pelaksanaan dasar ini akan dijalankan oleh KSU selaku Pengerusi JPICT KPKT. | KSU | |||
010102 | Penyebaran Dasar | Tanggungjawab | ||
DKICT ini perlu disebarkan kepada semua pengguna dan pihak ketiga yang menggunakan aset ICT KPKT. | SUB(TM) dan Pengurus ICT. | |||
010103 | Penyelenggaraan Dasar | Tanggungjawab | ||
DKICT KPKT adalah tertakluk kepada semakan dan pindaan daripada semasa ke semasa termasuk kawalan keselamatan, prosedur dan proses selaras dengan perubahan teknologi, aplikasi, prosedur, perundangan, dasar Kerajaan dan kepentingan sosial. Berikut adalah prosedur penyelenggaraan DKICT KPKT: (a) Kenal pasti dan tentukan perubahan yang diperlukan; (b) Kemukakan cadangan pindaan bertulis kepada CIO Jabatan; (c) Cadangan pindaan yang diluluskan oleh CIO Jabatan diangkat kepada SUB(TM); (d) Kemukakan cadangan pindaan secara bertulis kepada CIO KPKT untuk pembentangan dan persetujuan Mesyuarat JPICT, KPKT; dan (e) Maklumkan kepada semua pengguna perubahan yang telah dipersetujui oleh JPICT KPKT. DKICT hendaklah dikaji semula dengan kekerapan sekurang - kurangnya sekali dalam tempoh dua (2) tahun ataupun mengikut keperluan. | CIO dan SUB(TM). | |||
RUJUKAN | VERSI | TARIKH | MUKA SURAT | |
DKICT KPKT | 4.2 | 5 NOVEMBER 2018 | 11 / 82 | |
KEMENTERIAN PERUMAHAN DAN KERAJAAN TEMPATAN |
Tanggungjawab | |
DKICT KPKT adalah terpakai kepada semua pengguna dan pihak ketiga yang menggunakan aset ICT KPKT dan tiada pengecualian diberikan. | Pengguna dan pihak ketiga. |
RUJUKAN | VERSI | TARIKH | MUKA SURAT |
DKICT KPKT | 4.2 | 5 NOVEMBER 2018 | 12 / 82 |
KEMENTERIAN PERUMAHAN DAN KERAJAAN TEMPATAN |
BIDANG 02: ORGANISASI KESELAMATAN
Objektif: Menerangkan peranan dan tanggungjawab individu yang terlibat dengan lebih jelas dan teratur dalam mencapai objektif DKICT KPKT. | |
Tanggungjawab | |
KSU KPKT adalah berperanan dan bertanggungjawab dalam pelaksanaan dan pematuhan DKICT KPKT. | KSU |
Tanggungjawab | |
Timbalan Ketua Setiausaha (Pengurusan) ialah CIO KPKT yang dilantik oleh KSU dan CIO Jabatan ialah pegawai yang dilantik oleh Ketua Jabatan. Peranan dan tanggungjawab CIO KPKT/Jabatan adalah seperti berikut: (a) Menentukan halatuju pengurusan keselamatan ICT; (b) Menyelaras pembangunan dan pelaksanaan pelan tindakan dan program kesedaran keselamatan ICT seperti pematuhan DKICT KPKT/Jabatan serta pengurusan risiko dan pengauditan; (c) Memastikan semua keperluan organisasi (contoh : sumber kewangan, sumber manusia dan sumber perlindungan keselamatan) adalah mencukupi; (d) Memastikan penilaian risiko dan program keselamatan ICT dilaksanakan seperti yang ditetapkan di dalam DKICT KPKT; (e) Memastikan pelaksanaan semakan semula DKICT KPKT/Jabatan dilaksanakan bergantung kepada perubahan polisi yang ditetapkan di KPKT dan sektor awam; dan (f) Bertanggungjawab ke atas perkara-perkara yang berkaitan dengan keselamatan ICT KPKT/Jabatan. | CIO |
Tanggungjawab | |
KPK KPKT ialah Timbalan Ketua Setiausaha (Pengurusan). Peranan dan tanggungjawab KPK KPKT adalah seperti berikut: (a) Bertanggungjawab ke atas semua aspek keselamatan dokumen dan maklumat rasmi KPKT, bangunan dan harta benda Kerajaan daripada sebarang ancaman, kecurian, kebakaran dan sebagainya dengan mengambil kira langkah-langkah melindungi selaras dengan peraturan-peraturan yang ditetapkan oleh Kerajaan; (b) Mengemukakan perakuan kepada KSU KPKT akan cadangan untuk meningkatkan keselamatan perlindungan dari semasa ke semasa mengikut kesesuaian; (c) Menubuhkan jawatankuasa keselamatan di KPKT yang dipengerusikan oleh KPK KPKT yang berperanan untuk menyelaraskan pelaksanaan kawalan Keselamatan Perlindungan serta menyelesaikan isu-isu yang berkaitan dalam melaksanakan kawalan keselamatan perlindungan di KPKT; (d) Mewakili KPKT dalam menghadiri mesyuarat mengenai keselamatan dari semasa ke semasa dan sekiranya diperlukan dan hendaklah membentangkan laporan keselamatan KPKT serta isu-isu yang tidak dapat diselesaikan di peringkat KPKT; (e) Menubuhkan jawatankuasa yang akan dipengerusikan oleh KSU KPKT yang akan bermesyuarat dengan serta merta jika berlaku sebarang kejadian kecemasan yang melibatkan keselamatan dokumen dan kebocoran maklumat serta harta benda Kerajaan termasuk ancaman keselamatan, pencerobohan, kebakaran, kecurian dan sebagainya. Selanjutnya menyediakan laporan hasil mesyuarat jawatankuasa berkenaan untuk dikemukakan kepada pihak berkuasa berkaitan; (f) Mengadakan pemeriksaan dari semasa ke semasa ke atas bangunan, sistem pendawaian elektrik, bilik komputer, bilik dokumen dan peralatan, kawasan pejabat dan semua perkara di bawah tanggungjawabnya bagi memastikan ia dalam keadaan | KPK KPKT |
yang selamat dan tidak terdedah kepada ancaman risiko; (g) Menganjurkan kursus dan taklimat kesedaran keselamatan perlindungan dengan kerjasama Pejabat Ketua Pegawai Keselamatan Kerajaan, JPM bagi memastikan setiap anggota di KPKT memahami langkah-langkah serta peraturan-peraturan keselamatan perlindungan; (h) Bekerjasama rapat dengan Pegawai Keselamatan Kerajaan untuk mendapat khidmat nasihat mengenai langkah-langkah meningkatkan sistem kawalan keselamatan perlindungan di KPKT; (i) Menyelaras langkah-langkah keselamatan (coordinate security measures) dan mengadakan hubungan dengan Pegawai Keselamatan Kerajaan, Pegawai Bomba, Pegawai Polis serta pihak-pihak lain; dan (j) Melaksanakan tugas-tugas lain yang ditetapkan dalam peraturan-peraturan keselamatan Kerajaan yang sedang berkuat kuasa dan yang akan dipinda dari semasa ke semasa. | ||||
Tanggungjawab | ||||
Keahlian JTI KPKT adalah terdiri daripada: Pengerusi: CIO KPKT atau Pegawai yang diturunkan kuasa (Setiausaha Bahagian Teknologi Maklumat) Ahli-ahli Tetap: i. Pengurus – pengurus ICT di bawah KPKT; a. Setiausaha Bahagian Teknologi Maklumat (BTM) – Pengerusi Gantian; b. Pengurus ICT Jabatan Kerajaan Tempatan (JKT); c. Pengurus ICT Jabatan Perumahan Negara (JPN); d. Pengurus ICT Jabatan Bomba dan Penyelamat Malaysia (JBPM); e. Pengurus ICT Perbadanan Pengurusan Sisa Pepejal (SWCorp); ii. Ketua – Ketua Unit di BTM, KPKT; a. Ketua Unit Pengurusan Aplikasi; | JTI KPKT | |||
RUJUKAN | VERSI | TARIKH | MUKA SURAT | |
DKICT KPKT | 4.2 | 5 NOVEMBER 2018 | 15 / 82 | |
KEMENTERIAN PERUMAHAN DAN KERAJAAN TEMPATAN |
b. Ketua Unit Dasar dan Strategik TMK; c. Ketua Unit Keselamatan TMK, Rangkaian dan Bantuan Teknikal; dan iii. Wakil Tetap Bahagian Kewangan dan Perolehan (BKew&Pero), KPKT. Ahli-ahli Jemputan: i. Pemilik Projek; ii. Pegawai dengan kepakaran khusus (Subject Matter Expert); dan iii. Perunding/Pakar ICT MAMPU. Urus setia: Unit Korporat dan Multimedia, BTM, KPKT. Peranan dan tanggungjawab JTI KPKT adalah seperti berikut: (a) Memproses dan menilai semua permohonan perolehan projek ICT KPKT dan semua agensi di bawahnya; (b) Mengesyorkan perakuan teknikal projek ICT kepada JPICT KPKT; (c) Memantau kemajuan pembangunan dan pelaksanaan projek ICT agensi yang diluluskan oleh JPICT KPKT dan Jawatankuasa Teknikal ICT Sektor Awam (JTISA) dan melapor kepada JPICT KPKT; (d) Mengenal pasti masalah dan isu semasa dalam pembangunan atau pelaksanaan projek ICT agensi di bawah KPKT serta mengesyorkan cadangan penyelesaian kepada JPICT KPKT; dan (e) Menyediakan laporan kepada JPICT KPKT mengikut keperluan. | |
Tanggungjawab | |
Keahlian JPICT KPKT adalah terdiri daripada: Pengerusi: KSU KPKT atau Pegawai yang diturunkan kuasa. | JPICT KPKT |
Ahli-ahli: i. Ketua-ketua Jabatan di bawah KPKT; ii. CIO KPKT/Jabatan; iii. Setiausaha Bahagian Dasar dan Inspektorat; iv. Setiausaha Bahagian Kewangan dan Perolehan; v. Setiausaha Bahagian Sumber Manusia; vi. Ketua Unit Komunikasi Korporat; dan vii. Lain-lain ahli yang berkaitan (mengikut keperluan). Urus setia: Bahagian Teknologi Maklumat (BTM) KPKT. Peranan dan tanggungjawab JPICT KPKT adalah seperti berikut: (a) Menetapkan arah tuju dan strategi untuk pelaksanaan ICT KPKT; (b) Merancang, mengenal pasti dan mencadangkan sumber seperti kepakaran, tenaga kerja dan kewangan yang diperlukan bagi melaksanakan arah tuju/strategi ICT KPKT dan semua agensi di bawahnya; (c) Merancang dan menyelaras pelaksanaan program/projek-projek ICT KPKT dan semua agensi di bawahnya supaya selaras dengan Pelan Strategik ICT KPKT; (d) Menyelaras dan menyeragamkan pelaksanaan ICT antara Kementerian dan semua agensi di bawahnya dengan Pelan Strategik ICT Sektor Awam; (e) Mempromosi dan menggalakkan perkongsian pintar projek ICT antara Kementerian dan semua agensi di bawahnya; (f) Merancang dan menentukan langkah-langkah keselamatan ICT; (g) Mengikuti dan memantau perkembangan program ICT KPKT dan semua agensi di bawahnya, serta memahami keperluan, masalah dan isu-isu yang dihadapi dalam pelaksanaan ICT; (h) Menilai dan meluluskan semua perolehan ICT KPKT dan semua Jabatan/Bahagian di bawahnya berdasarkan kepada keperluan sebenar dan dengan perbelanjaan yang berhemah serta mematuhi peraturan-peraturan semasa yang berkaitan; |
(i) Menyelaras dan mengemukakan kertas cadangan perolehan ICT bagi KPKT dan semua Jabatan/Bahagian di bawahnya kepada urus setia JTICT untuk kelulusan teknikal; (j) Mengemukakan laporan projek ICT yang diluluskan di peringkat JPICT KPKT untuk perolehan kepada urus setia JTICT; dan (k) Mengemukakan laporan kemajuan projek ICT bagi KPKT dan semua Jabatan/Bahagian di bawahnya yang telah diluluskan oleh JTICT kepada urus setia JTICT mengikut tempoh-tempoh yang telah ditetapkan. JPICT KPKT juga berperanan dan bertanggungjawab dalam urusan keselamatan ICT seperti berikut: (a) Meluluskan dokumen DKICT KPKT; (b) Memantau tahap pematuhan keselamatan ICT; (c) Memperakukan garis panduan, prosedur dan tatacara untuk aplikasi-aplikasi khusus dalam KPKT yang perlu dipatuhi selari dengan DKICT KPKT; (d) Menilai teknologi yang bersesuaian dan mencadangkan penyelesaian terhadap keperluan keselamatan ICT; (e) Memastikan DKICT KPKT selaras dengan dasar-dasar ICT semasa Kerajaan; (f) Menerima laporan dan membincangkan hal-hal keselamatan ICT semasa; (g) Membincang tindakan yang melibatkan pelanggaran DKICT KPKT; dan (h) Membuat keputusan mengenai tindakan yang perlu diambil mengenai sebarang insiden. | ||||
Tanggungjawab | ||||
Keahlian JPICT Jabatan adalah terdiri daripada: Pengerusi: Ketua Jabatan atau Pegawai yang diturunkan kuasa. Ahli-ahli: i. CIO Jabatan; | JPICT Jabatan | |||
RUJUKAN | VERSI | TARIKH | MUKA SURAT | |
DKICT KPKT | 4.2 | 5 NOVEMBER 2018 | 18 / 82 | |
KEMENTERIAN PERUMAHAN DAN KERAJAAN TEMPATAN |
ii. Ketua-ketua Bahagian di bawah Jabatan; dan iii. Lain-lain ahli yang berkaitan (mengikut keperluan). Urus setia: Bahagian / Sektor/ Unit ICT Jabatan Peranan dan tanggungjawab JPICT Jabatan adalah seperti berikut: (a) Menetapkan arah tuju dan strategi untuk pembangunan dan pelaksanaan ICT agensi; (b) (Merancang, mengenal pasti dan mencadangkan sumber seperti kepakaran, tenaga kerja dan kewangan yang diperlukan bagi melaksanakan arah tuju/strategi ICT agensi; (c) Merancang dan menyelaras pembangunan dan pelaksanaan program/projek ICT agensi; (d) Menyelaras dan menyeragamkan pembangunan ICT agensi agar selari dengan pelan strategik organisasi dan pelan strategik ICT agensi; (e) Meluluskan projek ICT agensi berdasarkan kepada keperluan sebenar dan dengan perbelanjaan yang berhemah serta mematuhi peraturan-peraturan semasa yang berkaitan; (f) Mengikuti dan memantau perkembangan program ICT agensi serta memahami keperluan, masalah dan isu yang dihadapi dalam pembangunan dan pelaksanaan ICT; (g) Merancang dan menentukan langkah-langkah keselamatan ICT; (h) Mengemukakan perolehan ICT yang telah diluluskan di peringkat JPICT Agensi kepada JPICT KPKT untuk kelulusan; dan (i) Mengemukakan laporan kemajuan projek ICT yang telah diluluskan oleh JTISA kepada JPICT KPKT mengikut tempoh yang telah ditetapkan. JPICT Jabatan juga berperanan dan bertanggungjawab dalam urusan keselamatan ICT seperti berikut: (a) Meluluskan dokumen DKICT Jabatan (sekiranya ada); (b) Memantau tahap pematuhan keselamatan ICT; (c) Memperakukan garis panduan, prosedur dan tatacara untuk aplikasi-aplikasi khusus dalam Jabatan yang perlu dipatuhi |
selari dengan DKICT Jabatan/Badan Berkanun (sekiranya ada); (d) Menilai teknologi yang bersesuaian dan mencadangkan penyelesaian terhadap keperluan keselamatan ICT; (e) Memastikan DKICT Jabatan (sekiranya ada) selaras dengan dasar-dasar ICT semasa Kerajaan; (f) Menerima laporan dan membincangkan hal-hal keselamatan ICT semasa; (g) Membincang tindakan yang melibatkan pelanggaran DKICT Jabatan (sekiranya ada); dan (h) Membuat keputusan mengenai tindakan yang perlu diambil mengenai sebarang insiden. | |
020107 Jawatankuasa Pensijilan Sistem Pengurusan Keselamatan Maklumat (ISMS) KPKT | Tanggungjawab |
Keahlian Jawatankuasa ISMS KPKT adalah terdiri daripada: Pengerusi: KSU KPKT atau Pegawai yang diturunkan kuasa. Ahli-ahli: i. Ketua-ketua Jabatan, Badan Berkanun dan Bahagian yang terlibat di bawah skop ISMS; dan ii. Lain-lain ahli yang berkaitan. Urus setia: Bahagian/pegawai yang dilantik. Peranan dan tanggungjawab Jawatankuasa ISMS adalah seperti berikut: (a) Merancang dan menyelaras pensijilan ISMS seperti: i. Merancang struktur organisasi ISMS; ii. Merancang kursus kesedaran ISMS; iii. Merancang skop, objektif dan strategi ISMS; iv. Melaksanakan analisis jurang; v. Merancang jadual perbatuan (milestone) ISMS; | Jawatankuasa ISMS KPKT |
vi. Membantu Pelaksana ISMS menyediakan pernyataan dasar ISMS, SoA, Penilaian Risiko, Risk Treatment Plan, kaedah pengukuran kawalan dan prosedur-prosedur ISMS; dan vii. Permohonan pensijilan. (b) Memantau pelaksanaan ISMS; (c) Mengukur keberkesanan kawalan dan pelaksanaan ISMS;dan (d) Melantik pasukan kerja ISMS. | ||||
020108 Jawatankuasa Pensijilan Sistem Pengurusan Keselamatan Maklumat (ISMS) Jabatan | Tanggungjawab | |||
Keahlian Jawatankuasa ISMS Jabatan adalah terdiri daripada: Pengerusi: Ketua Jabatan atau Pegawai yang diturunkan kuasa. Ahli-ahli: i. Ketua-ketua Bahagian yang terlibat di bawah skop ISMS; dan ii. Lain-lain ahli yang berkaitan. Urus setia: Bahagian/pegawai yang dilantik. Peranan dan tanggungjawab Jawatankuasa ISMS Jabatan adalah seperti berikut: (a) Merancang dan menyelaras pensijilan ISMS seperti: i. Merancang struktur organisasi ISMS; ii. Merancang kursus kesedaran ISMS; iii. Merancang skop, objektif dan strategi ISMS; iv. Melaksanakan analisis jurang; v. Merancang jadual perbatuan (milestone) ISMS; vi. Membantu Pelaksana ISMS menyediakan pernyataan dasar ISMS, SoA, Penilaian Risiko, Risk Treatment Plan, kaedah pengukuran kawalan dan prosedur-prosedur ISMS; dan vii. Permohonan pensijilan. (b) Memantau pelaksanaan ISMS; (c) Mengukur keberkesanan kawalan dan pelaksanaan ISMS;dan | Jawatankuasa ISMS Jabatan | |||
RUJUKAN | VERSI | TARIKH | MUKA SURAT | |
DKICT KPKT | 4.2 | 5 NOVEMBER 2018 | 21 / 82 | |
KEMENTERIAN PERUMAHAN DAN KERAJAAN TEMPATAN |
(d) Melantik pasukan kerja ISMS | |
020109 Koordinator Pengurusan Kesinambungan Perkhidmatan (PKP) KPKT | Tanggungjawab |
Koordinator PKP KPKT ialah pegawai yang dilantik oleh KSU. Manakala Koordinator PKP Jabatan ialah pegawai yang dilantik oleh Ketua Jabatan. Peranan dan tanggungjawab Koordinator PKP adalah seperti berikut: (a) Bertindak sebagai pegawai perhubungan (single point of contact) bagi aktiviti pemulihan bencana dan mengetuai pelaksanaan aktiviti pemulihan bencana; (b) Memastikan ujian simulasi pemulihan bencana dijalankan mengikut jadual atau mengikut perancangan yang telah dipersetujui; dan (c) Mengurus penyediaan laporan ujian (post-mortem) dan melaksanakan penambahbaikan dokumen PKP. | Koordinator PKP |
Tanggungjawab | |
Pengurus ICT terdiri daripada SUB(TM) dan Pegawai Teknologi Maklumat yang mengetuai Bahagian/Seksyen/Unit ICT di Jabatan. Peranan dan tanggungjawab Pengurus ICT adalah seperti berikut: (a) Mengurus keseluruhan program keselamatan ICT KPKT/Jabatan; (b) Menguatkuasakan pelaksanaan DKICT KPKT/Jabatan; (c) Memberi penerangan dan pendedahan berkenaan DKICT KPKT/Jabatan kepada semua pengguna; (d) Mewujudkan garis panduan, prosedur dan tatacara selaras dengan keperluan DKICT KPKT/Jabatan; (e) Menjalankan pengurusan risiko; (f) Menjalankan audit ke atas isu-isu keselamatan ICT, mengkaji menyediakan laporan mengenainya; dan (g) Memberi amaran terhadap kemungkinan berlakunya ancaman berbahaya seperti ancaman serangan siber dan memberi | Pengurus ICT |
khidmat nasihat serta menyediakan langkah-langkah perlindungan yang bersesuaian kepada semua pengguna. | |
Tanggungjawab | |
ICTSO bagi KPKT/Jabatan ialah Pegawai Teknologi Maklumat yang dilantik oleh KSU/Ketua Jabatan/CIO KPKT/CIO Jabatan. Peranan dan tanggungjawab ICTSO adalah seperti berikut: (a) Mengkaji dan melaksanakan kawalan keselamatan ICT selaras dengan keperluan KPKT; (b) Menentukan kawalan akses pengguna terhadap aset ICT; (c) Melaporkan sebarang insiden atau penemuan mengenai keselamatan ICT kepada Pengurus ICT; (d) Menyimpan rekod, bahan bukti dan laporan terkini mengenai ancaman keselamatan ICT; (e) Bertanggungjawab memantau setiap perkakasan ICT yang diagihkan kepada pengguna seperti komputer peribadi, komputer riba, pencetak, pengimbas dan sebagainya di dalam keadaan yang baik; dan (f) Melaporkan insiden keselamatan ICT kepada Pasukan Tindak Balas Insiden Keselamatan ICT (CERT) KPKT, CIO dan Pengurus ICT. | ICTSO |
020112 Pasukan Tindak Balas Insiden Keselamatan ICT (CERT) KPKT | Tanggungjawab |
Keahlian CERT KPKT adalah terdiri daripada: Pengarah CERT: SUB(TM) Pengurus CERT: ICTSO KPKT | CERT KPKT |
Ahli CERT: i. Pengurus ICT Jabatan; ii. Pegawai Teknologi Maklumat KPKT/Jabatan; dan iii. Penolong Pegawai Teknologi Maklumat KPKT/Jabatan. Peranan dan tanggungjawab CERT KPKT adalah seperti berikut: (a) Menerima dan mengesan aduan keselamatan ICT serta menilai tahap dan jenis insiden; (b) Merekod dan menjalankan siasatan awal insiden yang diterima; (c) Menangani tindak balas (response) insiden keselamatan ICT dan mengambil tindakan baik pulih minimum; (d) Memaklumkan insiden berserta tindakan pengukuhan keselamatan ICT kepada KPKT; dan (e) Menjalankan penilaian untuk memastikan tahap keselamatan ICT dan mengambil tindakan pemulihan atau pengukuhan bagi meningkatkan tahap keselamatan infrastruktur ICT supaya insiden baru dapat dielakkan. | |
Tanggungjawab | |
Pentadbir Sistem ICT ialah pegawai yang dipertanggungjawabkan berdasarkan skop tugasan masing-masing seperti menyelenggara sistem aplikasi, laman web dan aplikasi mobile. Peranan dan tanggungjawab Pentadbir Sistem ICT adalah seperti berikut: (a) Mengambil tindakan segera mengikut proses yang ditetapkan apabila dimaklumkan mengenai pengguna ICT yang berhenti, bertukar, bercuti dan berkursus panjang atau berlaku perubahan dalam bidang kuasa; (b) Menentukan ketepatan dan kesempurnaan sesuatu tahap capaian berdasarkan arahan pemilik sumber maklumat sebagaimana yang telah ditetapkan di dalam DKICT KPKT; (c) Memantau aktiviti capaian harian sistem aplikasi pengguna; (d) Mengenal pasti aktiviti-aktiviti tidak normal seperti pengubahsuaian data tanpa kebenaran serta membatalkan atau | Pentadbir Sistem ICT |
memberhentikannya dengan serta-merta dan melaporkannya kepada Pengurus ICT; (e) Menganalisis, menyimpan, melindungi dan membuat backup rekod jejak audit; dan (f) Xxxxxxxxxxx laporan mengenai aktiviti capaian secara berkala kepada pemilik sumber maklumat. | |
Tanggungjawab | |
Pentadbir Pusat Data dan Rangkaian ICT ialah pegawai yang dipertanggungjawabkan berdasarkan skop tugasan masing-masing seperti melaksanakan dan menyelenggara rangkaian ICT dan komunikasi serta Pusat Data. Peranan dan tanggungjawab Pentadbir Pusat Data dan Rangkaian ICT adalah seperti berikut: (a) Memastikan kerahsiaan akaun pentadbir; (b) Merangka, melaksana dan menguatkuasakan polisi keselamatan ICT seperti perlindungan dan perkongsian data; (c) Merancang dan melaksana polisi ancaman keselamatan ICT; (d) Merancang dan melaksana polisi capaian rangkaian; (e) Memastikan semua aset di Pusat Data berfungsi dan beroperasi dengan sempurna; (f) Menyelia dan membuat proses backup dan restore; dan (g) Memantau keadaan rangkaian dan mengawal penggunaan sumber. | Pentadbir Pusat Data dan Rangkaian ICT. |
Tanggungjawab | |
Pegawai Aset KPKT/Jabatan/Bahagian ialah pegawai yang dilantik oleh Pegawai Pengawal/Ketua Pengarah/Pengerusi Jawatankuasa Pengurusan Aset Kerajaan (JKPAK) peringkat Kementerian/Jabatan. Peranan dan tanggungjawab Pegawai Aset adalah seperti berikut: (a) Mengetuai Unit Pengurusan Aset KPKT/Jabatan/Bahagian bagi memastikan pengurusan aset alih Kerajaan dijalankan selaras dengan peraturan yang ditetapkan; (b) Memastikan penerimaan aset Kerajaan dilaksanakan oleh | Pegawai Aset |
pegawai yang dilantik secara bertulis oleh Ketua Jabatan/Bahagian; (c) Memastikan semua aset Kerajaan yang diterima, didaftarkan dalam tempoh dua (2) minggu dari tarikh pengesahan penerimaan aset; (d) Memastikan semua aset Kerajaan yang dipinjam, direkodkan ke dalam Rekod Pergerakan Aset. Aset tidak dibenarkan dibawa keluar dari pejabat kecuali dengan kelulusan bertulis daripada Ketua Jabatan/Bahagian. (e) Memastikan Daftar Aset dikemas kini apabila berlaku penambahan/penggantian/penaiktarafan aset termasuk selepas pemeriksaan aset, pelupusan, pindahan dan hapus kira; (f) Memastikan semua aset Kerajaan diberi tanda pengenalan dengan cara melabel/mengecat timbul (emboss) tanda Hak Kerajaan Malaysia dan nama KPKT/Jabatan/Bahagian berkenaan di tempat yang mudah dilihat dan sesuai pada aset berkenaan; (g) Memastikan semua aset Kerajaan ditandakan dengan Nombor Siri Pendaftaran mengikut susunan yang ditetapkan; (h) Memastikan senarai daftar induk aset Kerajaan disediakan; (i) Memastikan senarai aset Kerajaan disediakan mengikut lokasi dan format Senarai Aset Kerajaan dalam dua (2) salinan. Satu (1) senarai berkenaan perlu disimpan oleh Pegawai Aset dan satu (1) salinan perlu dipaparkan oleh pegawai yang bertanggungjawab di lokasi; (j) Memastikan setiap kerosakan aset Kerajaan dilaporkan; (k) Bertanggungjawab untuk menyedia, merancang, melaksana, memantau dan merekodkan penyelenggaraan aset Kerajaan; (l) Merancang, memantau dan memastikan pemeriksaan aset Kerajaan dilaksanakan ke atas keseluruhan aset alih Kerajaan sekurang-kurangnya sekali setahun; dan (m) Memastikan setiap kes kehilangan aset alih Kerajaan dilaporkan dan diuruskan dengan teratur. | ||||
RUJUKAN | VERSI | TARIKH | MUKA SURAT | |
DKICT KPKT | 4.2 | 5 NOVEMBER 2018 | 26 / 82 | |
KEMENTERIAN PERUMAHAN DAN KERAJAAN TEMPATAN |
Tanggungjawab | |
Pengguna mempunyai peranan dan tanggungjawab seperti berikut: (a) Membaca, memahami, dan mematuhi DKICT KPKT; (b) Mengetahui dan memahami implikasi keselamatan ICT akibat daripada tindakannya; (c) Menjalani tapisan keselamatan seperti yang diarahkan (sekiranya berkaitan) berdasarkan Arahan Keselamatan Kerajaan; (d) Melaksanakan dan mematuhi prinsip-prinsip DKICT KPKT serta menjaga kerahsiaan maklumat KPKT; (e) Melaporkan sebarang aktiviti yang mengancam keselamatan ICT kepada ICTSO dengan segera; (f) Menghadiri program-program kesedaran mengenai keselamatan ICT; dan (g) Menandatangani Surat Akuan Pematuhan DKICT KPKT sebagaimana Lampiran 1. | Pengguna |
Objektif: Menjamin keselamatan semua aset ICT yang digunakan oleh pihak ketiga. Contohnya: Pembekal dan Pakar Runding. | |
Tanggungjawab | |
Ini bertujuan memastikan penggunaan maklumat dan kemudahan proses maklumat oleh pihak ketiga dikawal. Perkara yang perlu dipatuhi termasuk yang berikut: (a) Membaca, memahami dan mematuhi DKICT KPKT; (b) Mengenal pasti risiko keselamatan maklumat dan kemudahan pemprosesan maklumat serta melaksanakan kawalan yang sesuai sebelum memberi kebenaran capaian; (c) Mengenal pasti keperluan keselamatan sebelum memberi kebenaran capaian atau penggunaan kepada pihak ketiga; (d) Memastikan semua syarat keselamatan dinyatakan dengan jelas dalam perjanjian dengan pihak ketiga. Perkara-perkara berikut hendaklah dilaksanakan dan dipatuhi tertakluk kepada skop/bidang tugas yang berkaitan: | CIO, Pengurus ICT, ICTSO, Pentadbir Sistem ICT, Pentadbir Pusat Data dan Rangkaian ICT dan Pihak Ketiga. |
i. DKICT KPKT; ii. Tapisan Keselamatan; dan iii. Perakuan Akta Rahsia Rasmi 1972; (e) Akses kepada aset ICT KPKT perlu berlandaskan kepada perjanjian kontrak; dan (f) Menandatangani Surat Akuan Pematuhan DKICT KPKT sebagaimana Lampiran 1 tertakluk kepada skop/bidang tugas yang berkaitan. | |
0203 Keselamatan Maklumat dalam Pengurusan Projek Objektif: Mengenal pasti risiko keselamatan maklumat bagi mengawal dan menjamin keselamatan maklumat dalam pengurusan projek. | |
Tanggungjawab | |
Perkara yang perlu dipatuhi termasuk yang berikut: (a) Objektif keselamatan maklumat hendaklah dalam objektif projek; (b) Penilaian risiko keselamatan maklumat hendaklah dikenal pasti di peringkat awal pelaksanaan projek bagi menentukan kaedah kawalan yang bersesuaian; (c) Memastikan pelaksanaan keselamatan maklumat bagi setiap fasa metodologi pembangunan; dan (d) Implikasi keselamatan maklumat bagi semua projek harus ditangani dan disemak secara teratur. | CIO, Pengurus ICT, Pentadbir Sistem ICT dan Pentadbir Pusat Data dan Rangkaian ICT. |
BIDANG 03: PENGURUSAN ASET
0301 | Akauntabiliti Aset | |||
Objektif: Memberi dan menyokong perlindungan yang bersesuaian ke atas semua aset ICT KPKT. | ||||
Aset ICT | ||||
Ini bertujuan memastikan semua aset ICT diberi kawalan dan perlindungan yang sesuai oleh pemilik atau pemegang taruh masing- masing. Perkara yang perlu dipatuhi adalah seperti berikut: (a) Memastikan semua aset ICT dikenal pasti dan maklumat aset direkodkan serta dikemaskini dalam Borang Daftar Harta Modal (KEW.PA-3), Borang Daftar Aset Alih Bernilai Rendah (KEW.PA-4), Borang Daftar Harta Intelek (KEW.ATK-3) dan Senarai Harta Bukan Intelek (KEW.ATK-4); (b) Memastikan semua aset ICT mempunyai pemilik dan dikendalikan oleh pengguna yang dibenarkan sahaja; (c) Memastikan semua pengguna mengesahkan penempatan aset ICT yang ditempatkan di KPKT; (d) Peraturan bagi pengendalian aset ICT hendaklah dipatuhi dan dilaksanakan; (e) Setiap pengguna adalah bertanggungjawab ke atas semua aset ICT di bawah kawalannya; dan (f) Memastikan semua aset ICT diagihkan kepada pengguna mengikut piawaian dan garis panduan yang ditetapkan. | Pegawai Aset KPKT/Jabatan dan pengguna. | |||
0302 | Pengelasan, Pengendalian dan Keselamatan Maklumat | |||
Objektif: Memastikan setiap maklumat atau aset ICT diberikan tahap perlindungan yang bersesuaian. | ||||
Tanggungjawab | ||||
Maklumat hendaklah dikelaskan atau dilabelkan sewajarnya oleh pegawai yang diberi kuasa mengikut dokumen Arahan Keselamatan Kerajaan. | Pengguna | |||
RUJUKAN | VERSI | TARIKH | MUKA SURAT | |
DKICT KPKT | 4.2 | 5 NOVEMBER 2018 | 29 / 82 | |
KEMENTERIAN PERUMAHAN DAN KERAJAAN TEMPATAN |
Setiap maklumat yang dikelaskan mestilah mempunyai peringkat keselamatan sebagaimana yang telah ditetapkan dalam dokumen Arahan Keselamatan Kerajaan seperti berikut: (a) Rahsia Besar; (b) Rahsia; (c) Sulit; atau (d) Terhad. | |
Tanggungjawab | |
Aktiviti pengendalian maklumat seperti pewujudan, pengumpulan, pemprosesan, penyimpanan, penghantaran, penyampaian, pertukaran dan pemusnahan hendaklah mengambil kira langkah- langkah keselamatan seperti berikut: (a) Menghalang pendedahan maklumat kepada pihak yang tidak dibenarkan; (b) Memeriksa maklumat dan menentukan ia tepat dan lengkap dari semasa ke semasa; (c) Menentukan maklumat sedia untuk digunakan; (d) Menjaga kerahsiaan kata laluan; (e) Mematuhi standard, prosedur, langkah dan garis panduan keselamatan yang ditetapkan; (f) Memberi perhatian terutama semasa aktiviti pengendalian maklumat terperingkat; dan (g) Menjaga kerahsiaan langkah-langkah keselamatan ICT daripada diketahui umum. | Pengguna |
Tanggungjawab | |
Perkara-perkara yang mesti dipatuhi termasuk yang berikut: (a) Maklumat terperingkat hanya boleh dilakukan penduaan dan penyalinan pada media storan oleh pegawai yang dibenarkan sahaja; (b) Menggunakan enkripsi dan lain-lain kaedah keselamatan yang bersesuaian ke atas maklumat terperingkat yang disediakan dan dihantar secara elektronik; dan | Pengguna |
(c) Semua maklumat terperingkat hendaklah dihapuskan mengikut prosedur pelupusan semasa. | |
0303 ICT Hijau Kerajaan (Goverment Green ICT) Objektif: Memastikan aset ICT mematuhi ciri-ciri ICT Hijau Kerajaan. | |
Tanggungjawab | |
Perkara-perkara yang perlu dipatuhi adalah seperti berikut: (a) Memastikan perolehan aset ICT mengambil kira pematuhan elemen ICT Hijau Kerajaan; (b) Memastikan kerja-kerja seharian mengguna pakai prinsip pengurangan (reduce), penggunaan semula (reuse) dan kitar semula (recycle); (c) Memastikan sistem pengurusan kuasa (power management) aset ICT diaktifkan; dan (d) Memastikan peralatan ICT dilupuskan dan penggunaan semula alat ganti mengikut tatacara yang mengambil kira pemuliharaan alam sekitar. | Pengurus ICT dan pengguna. |
BIDANG 04: KESELAMATAN SUMBER MANUSIA
0401 Keselamatan Sumber Manusia dalam Tugas Harian | |
Objektif: Memastikan pengguna dan pihak ketiga yang berkepentingan memahami tanggungjawab dan peranan serta meningkatkan pengetahuan dalam keselamatan aset ICT. Pengguna dan pihak ketiga hendaklah mematuhi terma dan syarat perkhidmatan serta peraturan semasa yang berkuat kuasa. | |
040101 Sebelum Perkhidmatan | Tanggungjawab |
Perkara-perkara yang mesti dipatuhi termasuk yang berikut: (a) Menyatakan dengan lengkap dan jelas peranan dan tanggungjawab dalam menjamin keselamatan aset ICT sebelum, semasa dan selepas perkhidmatan secara bertulis; (b) Menjalani tapisan keselamatan berasaskan keperluan perundangan, peraturan dan etika terpakai yang selaras dengan keperluan perkhidmatan, peringkat maklumat yang akan dicapai serta risiko yang dijangkakan; dan (c) Mematuhi semua terma dan syarat perkhidmatan yang ditawarkan dan peraturan semasa yang berkuat kuasa berdasarkan perjanjian yang telah ditetapkan. | Pengguna dan pihak ketiga. |
040102 Dalam Perkhidmatan | Tanggungjawab |
Perkara-perkara yang mesti dipatuhi termasuk yang berikut: (a) Memastikan keselamatan aset ICT diurus berdasarkan perundangan dan peraturan yang ditetapkan oleh KPKT; (b) Memastikan program kesedaran yang berkaitan mengenai pengurusan keselamatan aset ICT dihadiri secara berterusan; (c) Tindakan disiplin dan/atau undang-undang akan dikenakan sekiranya berlaku perlanggaran dengan perundangan dan peraturan ditetapkan oleh KPKT; dan (d) Menghadiri kursus dan latihan teknikal yang berkaitan bagi memantapkan pengetahuan serta memastikan setiap kemudahan ICT digunakan dengan cara dan kaedah yang betul demi menjamin kepentingan keselamatan ICT. | Pengguna dan pihak ketiga. |
040103 Bertukar atau Tamat Perkhidmatan | Tanggungjawab |
Perkara-perkara yang mesti dipatuhi termasuk yang berikut: (a) Memastikan semua aset ICT dikembalikan kepada KPKT mengikut peraturan dan/atau terma perkhidmatan yang ditetapkan; (b) Kebenaran capaian ke atas maklumat dan kemudahan proses maklumat akan dibatalkan atau ditarik balik dengan serta-merta mengikut peraturan yang ditetapkan oleh KPKT; dan (c) Melupuskan semua maklumat terperingkat yang tidak lagi diperlukan secara selamat. | Pengguna dan pihak ketiga. |
BIDANG 05: KESELAMATAN FIZIKAL DAN PERSEKITARAN
0501 Keselamatan Kawasan dan Persekitaran | ||||
Objektif: Melindungi premis dan aset ICT daripada sebarang bentuk pencerobohan, kerosakan, ancaman, gangguan persekitaran yang disebabkan oleh bencana alam, kesilapan, kecuaian, kecurian atau kemalangan serta akses yang tidak dibenarkan. | ||||
050101 Kawalan Kawasan | Tanggungjawab | |||
Bertujuan menghalang akses, kerosakan dan gangguan secara fizikal terhadap premis dan maklumat agensi. Perkara-perkara yang perlu dipatuhi termasuk yang berikut: (a) Kawasan keselamatan fizikal hendaklah dikenal pasti dengan jelas. Lokasi dan keteguhan keselamatan fizikal hendaklah bergantung kepada keperluan untuk melindungi aset dan hasil penilaian risiko; (b) Menggunakan keselamatan perimeter (halangan seperti dinding, pagar kawalan, pengawal keselamatan dan lain-lain) untuk melindungi kawasan yang mengandungi maklumat dan kemudahan pemprosesan maklumat; (c) Melindungi kawasan terhad melalui kawalan-kawalan tertentu seperti memasang alat penggera, kamera litar tertutup atau EMS sekiranya berkaitan; (d) Mengehadkan jalan keluar masuk; (e) Mengadakan kaunter kawalan; (f) Menyediakan ruang untuk pihak luar; (g) Mewujudkan perkhidmatan kawalan keselamatan; (h) Melindungi kawasan terhad melalui kawalan pintu masuk yang bersesuaian bagi memastikan kakitangan yang diberi kebenaran sahaja boleh melalui pintu masuk ini; (i) Mereka bentuk dan melaksanakan keselamatan fizikal di dalam pejabat, bilik dan kemudahan yang disediakan; (j) Mereka bentuk dan melaksanakan perlindungan fizikal daripada kebakaran, banjir, letupan, kacau-bilau dan bencana; (k) Menyediakan garis panduan untuk kakitangan yang bekerja di dalam kawasan terhad; dan | KPK KPKT | |||
RUJUKAN | VERSI | TARIKH | MUKA SURAT | |
DKICT KPKT | 4.2 | 5 NOVEMBER 2018 | 34 / 82 | |
KEMENTERIAN PERUMAHAN DAN KERAJAAN TEMPATAN |
(l) Memastikan kawasan-kawasan penghantaran dan pemunggahan serta tempat-tempat lain dikawal daripada pihak yang tidak diberi kebenaran memasukinya. | |
050102 Kawalan Persekitaran | Tanggungjawab |
Bagi menjamin keselamatan persekitaran, perkara-perkara berikut hendaklah dipatuhi: (a) Memastikan susun atur semua aset ICT di Pusat Data adalah teratur dan kemas; (b) Semua ruang pejabat khususnya kawasan yang mempunyai kemudahan ICT hendaklah dilengkapi dengan peralatan perlindungan keselamatan yang bersesuaian dan dibenarkan seperti alat pengesan kebakaran, alat pencegah kebakaran dan pintu kecemasan; (c) Semua bahan mudah terbakar, cecair, bahan atau peralatan lain yang boleh merosakkan peralatan ICT, hendaklah diletakkan di tempat yang bersesuaian dan berjauhan daripada aset ICT; (d) Dilarang merokok atau menggunakan peralatan memasak seperti cerek elektrik berhampiran aset ICT; (e) Memastikan akses kepada saluran riser sentiasa dikunci; (f) Memastikan peralatan rangkaian seperti switch, router dan lain- lain perlu diletakkan di dalam rak khas dan berkunci; dan (g) Memastikan pegawai yang bertanggungjawab menyimpan kunci dapat dihubungi apabila keadaan memerlukan berbuat demikian. | ICTSO, Pentadbir Pusat Data dan Rangkaian ICT dan pengguna. |
050103 Kawalan Masuk Fizikal | Tanggungjawab |
Perkara-perkara yang perlu dipatuhi termasuk yang berikut: (a) Pas keselamatan hendaklah dipakai sepanjang waktu bertugas; (b) Semua pas keselamatan hendaklah diserahkan semula kepada KPKT/Jabatan apabila pengguna berhenti, bersara atau berpindah keluar. Pihak ketiga juga hendaklah berbuat demikian apabila urusan selesai atau tamat kontrak; | Pengguna dan pihak ketiga. |
(c) Pas pelawat hendaklah diambil di kaunter masuk. Pas hendaklah dikembalikan semula selepas tamat lawatan; dan (d) Kehilangan pas mestilah dilaporkan dengan segera. | ini | |
050104 Kawasan Larangan | Tanggungjawab | |
Kawasan larangan ditakrifkan sebagai kawasan yang dihadkan kemasukannya kepada pegawai-pegawai yang tertentu sahaja. Ini dilaksanakan untuk melindungi aset ICT yang terdapat di dalam kawasan tersebut. Kawasan larangan ICT di KPKT/Jabatan adalah Pusat Data/Bilik Server/Stor ICT. | Pentadbir Pusat Data dan Rangkaian ICT dan PYB. | |
Perkara-perkara berikut hendaklah dipatuhi: (a) Akses kepada kawasan larangan hanyalah kepada pegawai- pegawai yang dibenarkan sahaja. Tanda kawasan larangan hendaklah dipamerkan; (b) Buku log keluar/masuk Pusat Data sentiasa dipantau dan diselenggara; (c) Pihak ketiga dilarang sama sekali untuk memasuki kawasan larangan kecuali bagi kes-kes tertentu seperti memberi perkhidmatan sokongan atau bantuan teknikal; (d) Pihak ketiga hendaklah diiringi dan dipantau sepanjang masa oleh pegawai yang diberi kebenaran untuk mengakses Pusat Data sehingga tugas di kawasan berkenaan selesai; dan (e) Peralatan rakaman/penyimpanan seperti kamera, video, perakam suara dan storan mudah alih adalah tidak dibenarkan dibawa masuk ke dalam pusat data kecuali dengan kebenaran Pentadbir Pusat Data dan Rangkaian ICT. | ||
050105 | Bekalan Kuasa | Tanggungjawab |
Bekalan kuasa merupakan punca kuasa elektrik yang dibekalkan kepada aset ICT. Perkara-perkara yang perlu dipatuhi adalah seperti berikut: (a) Semua peralatan ICT hendaklah dilindungi daripada kegagalan | Pegawai Keselamatan KPKT/Jabatan dan ICTSO. |
bekalan kuasa; (b) Peralatan sokongan seperti UPS dan Genset boleh digunakan bagi perkhidmatan kritikal supaya mendapat bekalan kuasa berterusan; dan (c) Semua peralatan sokongan bekalan kuasa hendaklah diperiksa, diuji dan diselenggara secara berjadual. | |
050106 Kabel | Tanggungjawab |
Kabel komputer hendaklah dilindungi kerana ia boleh menyebabkan maklumat terdedah. Langkah-langkah keselamatan yang perlu diambil adalah seperti berikut: (a) Menggunakan kabel yang mengikut spesifikasi yang telah ditetapkan; (b) Melindungi kabel daripada kerosakan yang disengajakan atau tidak disengajakan; (c) Melindungi laluan pemasangan kabel sepenuhnya bagi mengelakkan ancaman kerosakan dan wire tapping; dan (d) Semua kabel perlu dilabelkan dengan jelas dan mestilah melalui trunking bagi memastikan keselamatan kabel daripada kerosakan dan pintasan maklumat. | Pentadbir Pusat Data dan Rangkaian ICT. |
050107 Prosedur Kecemasan | Tanggungjawab |
Perkara-perkara yang perlu dipatuhi adalah seperti berikut: (a) Memastikan setiap pengguna memahami dan mematuhi prosedur kecemasan; (b) Insiden kecemasan persekitaran mesti dilaporkan; dan (c) Merancang dan menyertai latihan kecemasan bencana yang diadakan di KPKT. | Pegawai Keselamatan KPKT dan pengguna. |
Objektif: Melindungi peralatan ICT KPKT daripada kehilangan, kerosakan, kecurian serta gangguan kepada peralatan tersebut. | ||||
050201 Peralatan ICT | Tanggungjawab | |||
Perkara-perkara yang perlu dipatuhi adalah seperti berikut: (a) Memastikan semua peralatan ICT di bawah kawalannya berfungsi dengan sempurna. Sebarang kerosakan peralatan ICT hendaklah dilaporkan melalui saluran yang ditetapkan; (b) Bertanggungjawab sepenuhnya ke atas peralatan ICT masing- masing dan tidak dibenarkan membuat sebarang pertukaran dan perubahan konfigurasi yang telah ditetapkan; (c) Dilarang sama sekali menambah, mengganti atau mengeluarkan sebarang perkakasan ICT yang telah ditetapkan; (d) Dilarang membuat instalasi sebarang perisian tambahan tanpa kebenaran PYB; (e) Bertanggungjawab di atas kerosakan atau kehilangan peralatan ICT di bawah kawalannya; (f) Memastikan perisian antivirus yang dibekalkan oleh KPKT/Jabatan di komputer peribadi/komputer riba sentiasa aktif (activated) dan dikemas kini di samping melakukan imbasan ke atas media storan yang digunakan; (g) Penggunaan kata laluan untuk akses ke sistem komputer adalah diwajibkan; (h) Semua peralatan sokongan ICT hendaklah dilindungi daripada kecurian, kerosakan, penyalahgunaan atau pengubahsuaian tanpa kebenaran; (i) Peralatan-peralatan kritikal perlu disokong oleh UPS; (j) Semua peralatan ICT hendaklah disimpan atau diletakkan di tempat yang teratur, bersih dan mempunyai ciri-ciri keselamatan; (k) Semua peralatan yang digunakan secara berterusan mestilah diletakkan di kawasan yang berhawa dingin dan mempunyai pengudaraan (air ventilation) yang sesuai; (l) Peralatan ICT yang hendak dibawa keluar dari premis KPKT/Jabatan hendaklah mematuhi peraturan yang telah | Pengguna | |||
RUJUKAN | VERSI | TARIKH | MUKA SURAT | |
DKICT KPKT | 4.2 | 5 NOVEMBER 2018 | 38 / 82 | |
KEMENTERIAN PERUMAHAN DAN KERAJAAN TEMPATAN |
ditetapkan; (m) Peralatan ICT yang hilang hendaklah dilaporkan kepada Pengurus ICT dan Pegawai Aset KPKT/Jabatan dengan segera; (n) Pengendalian peralatan ICT hendaklah mematuhi dan merujuk kepada peraturan semasa yang berkuat kuasa; (o) Pengguna tidak dibenarkan mengalih kedudukan peralatan ICT dari tempat asal ia ditempatkan tanpa kebenaran Pegawai Aset KPKT/Jabatan. Perpindahan peralatan ICT hendaklah mematuhi peraturan yang telah ditetapkan; (p) Sebarang pelekat selain bagi tujuan rasmi tidak dibenarkan. Ini bagi menjamin peralatan tersebut sentiasa berkeadaan baik; (q) Konfigurasi alamat IP tidak dibenarkan diubah daripada alamat IP yang asal; (r) Bertanggungjawab terhadap peralatan ICT di bawah jagaannya dan hendaklah digunakan sepenuhnya bagi urusan rasmi sahaja; (s) Memastikan semua peralatan ICT yang tidak digunakan dalam keadaan tutup (off) apabila meninggalkan pejabat; (t) Memastikan plag dicabut daripada suis utama (main switch) bagi mengelakkan kerosakan perkakasan sebelum meninggalkan pejabat; dan (u) Sebarang bentuk penyelewengan atau salah guna peralatan ICT hendaklah dilaporkan kepada Pengurus ICT. | |
050202 Media Storan | Tanggungjawab |
Media storan perlu dipastikan berada dalam keadaan yang baik, selamat, terjamin kerahsiaan, integriti dan kebolehsediaan untuk digunakan. Perkara-perkara yang perlu dipatuhi adalah seperti berikut: (a) Media storan hendaklah disimpan di ruang penyimpanan yang baik dan mempunyai ciri-ciri keselamatan bersesuaian mengikut kategori maklumat; (b) Akses untuk memasuki kawasan penyimpanan media storan hendaklah terhad kepada pengguna yang dibenarkan sahaja; | Pengguna |
(c) Semua media storan perlu dikawal bagi mencegah daripada capaian yang tidak dibenarkan, kecurian dan kemusnahan. Langkah-langkah pencegahan hendaklah diambil untuk memastikan kerahsiaan, integriti dan kebolehsediaan maklumat yang disimpan dalam media storan adalah terjamin dan selamat; (d) Semua media storan yang mengandungi data kritikal hendaklah disimpan di tempat yang mempunyai ciri-ciri keselamatan dengan mengikut prosedur yang telah ditetapkan; (e) Mematuhi prosedur pengurusan media storan yang telah dikenal pasti termasuk akses, inventori, pergerakan, pelabelan serta backup dan restore; (f) Perkakasan backup hendaklah diletakkan di tempat yang terkawal; (g) Mengadakan salinan atau backup pada media storan kedua bagi tujuan keselamatan dan mengelakkan kehilangan data. Media storan kedua hendaklah disimpan di tempat yang selamat; (h) Semua maklumat dalam media storan yang hendak dilupuskan mestilah dihapuskan terlebih dahulu. Proses pelupusan hendaklah dilakukan dengan teratur dan selamat mengikut prosedur pelupusan; (i) Penghapusan maklumat atau kandungan media mestilah mendapat kelulusan pemilik maklumat terlebih dahulu; dan (j) Sebarang kehilangan media storan yang berlaku hendaklah dilaporkan mengikut peraturan semasa yang ditetapkan. | |
050203 Media Tandatangan Digital | Tanggungjawab |
Perkara-perkara yang perlu dipatuhi adalah seperti berikut: (a) Pengguna hendaklah bertanggungjawab sepenuhnya ke atas media tandatangan digital daripada kecurian, kehilangan, kerosakan, penyalahgunaan dan pengklonan; (b) Media ini tidak boleh dipindah milik atau dipinjamkan; dan (c) Sebarang kehilangan media tandatangan digital yang berlaku hendaklah dilaporkan mengikut peraturan semasa yang ditetapkan. | Pengguna |
Tanggungjawab | |
Perkara-perkara yang perlu dipatuhi adalah seperti berikut: (a) Hanya perisian yang diperakui sahaja dibenarkan bagi kegunaan KPKT; dan (b) Lesen perisian (registration code, serials dan CD-keys) perlu disimpan berasingan daripada CD-ROM, disk atau media berkaitan bagi mengelakkan dari berlakunya kecurian atau cetak rompak. | Pentadbir Pusat Data dan Rangkaian dan Pentadbir Sistem ICT |
050205 Penyelenggaraan Peralatan ICT | Tanggungjawab |
Peralatan ICT hendaklah diselenggara dengan betul bagi memastikan kebolehsediaan, kerahsiaan dan integriti. Perkara-perkara yang perlu dipatuhi adalah seperti berikut: (a) Semua peralatan ICT yang diselenggara hendaklah mengikut spesifikasi yang telah ditetapkan; (b) Memastikan peralatan ICT hanya boleh diselenggara oleh kakitangan atau Pihak Ketiga yang dibenarkan sahaja; (c) Bertanggungjawab terhadap setiap peralatan ICT bagi penyelenggaraan perkakasan sama ada dalam tempoh jaminan atau telah habis tempoh jaminan; (d) Menyemak dan menguji semua peralatan ICT sebelum dan selepas proses penyelenggaraan; dan (e) Memaklumkan pengguna sebelum melaksanakan penyelenggaraan mengikut jadual yang ditetapkan atau atas keperluan. | Pegawai Aset ICT |
050206 Peralatan ICT di Luar Premis | Tanggungjawab |
Peralatan ICT yang dibawa keluar dari premis KPKT adalah terdedah kepada pelbagai risiko. Perkara-perkara yang perlu dipatuhi adalah seperti berikut: (a) Peralatan ICT termasuk perisian dan maklumat perlu dilindungi dan dikawal sepanjang masa; | Pengguna |
(b) Penyimpanan atau penempatan peralatan ICT mestilah mengambil kira ciri-ciri keselamatan yang bersesuaian; dan (c) Kehilangan peralatan ICT perlu dilaporkan mengikut peraturan semasa yang ditetapkan. | |
050207 Pelupusan Peralatan ICT | Tanggungjawab |
Pelupusan melibatkan semua peralatan ICT yang telah rosak, usang dan tidak boleh dibaiki sama ada harta modal atau inventori yang dibekalkan. Peralatan ICT yang hendak dilupuskan perlu melalui prosedur pelupusan semasa. Pelupusan perlu dilakukan secara terkawal dan lengkap supaya maklumat tidak terlepas daripada kawalan. Perkara-perkara yang perlu dipatuhi adalah seperti berikut: (a) Peralatan ICT yang hendak dilupuskan perlulah disimpan di tempat yang telah dikhaskan yang mempunyai ciri-ciri keselamatan bagi menjamin keselamatan peralatan tersebut; (b) Pegawai Aset bertanggungjawab merekodkan butir-butir pelupusan dan mengemas kini rekod pelupusan peralatan ICT; (c) Pelupusan peralatan ICT hendaklah dilakukan secara berpusat dan mengikut tatacara pelupusan semasa yang berkuat kuasa; dan (d) Pengguna adalah DILARANG SAMA SEKALI daripada melakukan perkara-perkara seperti berikut: i. Menyimpan mana-mana peralatan ICT yang hendak dilupuskan untuk milik peribadi. Contohnya: CPU, RAM, hardisk, motherboard dan sebagainya; ii. Menyimpan dan memindahkan perkakasan luaran komputer seperti AVR, speaker dan mana-mana peralatan yang berkaitan; dan iii. Memindah keluar dari lokasi mana-mana peralatan ICT yang hendak dilupuskan. | Pegawai Aset dan pengguna. |
050208 Pindahan Peralatan ICT | Tanggungjawab |
Pindahan melibatkan semua peralatan ICT yang sudah tidak digunakan lagi tetapi masih berkeadaan baik sama ada harta modal atau inventori yang dibekalkan. Peralatan ICT yang hendak dipindahkan mestilah mendapat kelulusan bertulis daripada Ketua Jabatan antara Jabatan/Bahagian pemberi dan Jabatan/Bahagian penerima. Perkara-perkara yang perlu dipatuhi adalah seperti berikut: (a) Peralatan ICT yang hendak dipindahkan perlulah disimpan di tempat yang telah dikhaskan yang mempunyai ciri-ciri keselamatan bagi menjamin keselamatan peralatan tersebut; (b) Pegawai Aset bertanggungjawab merekodkan butir-butir pindahan dan mengemas kini rekod pindahan peralatan ICT; (c) Pindahan peralatan ICT hendaklah dilakukan secara berpusat dan mengikut tatacara pindahan semasa yang berkuat kuasa; dan (d) Pengguna adalah DILARANG SAMA SEKALI daripada melakukan perkara-perkara seperti berikut: i. Menyimpan mana-mana peralatan ICT yang hendak dipindahkan untuk milik peribadi. Contohnya: CPU, RAM, hardisk, motherboard dan sebagainya; ii. Menyimpan dan memindahkan perkakasan luaran komputer seperti AVR, speaker dan mana-mana peralatan yang berkaitan; dan iii. Memindah keluar dari lokasi mana-mana peralatan ICT yang hendak dipindahkan. | Pegawai Aset dan Pengguna |
0503 Keselamatan Dokumen | |
Objektif: Melindungi maklumat KPKT daripada sebarang bentuk ancaman persekitaran yang disebabkan oleh bencana alam, kesilapan, kecuaian, pencerobohan, kemalangan atau kecurian. | |
050301 Dokumen | Tanggungjawab |
Perkara-perkara yang perlu dipatuhi adalah seperti berikut: (a) Setiap dokumen hendaklah difailkan dan dilabelkan mengikut klasifikasi keselamatan seperti Terbuka, Terhad, Sulit, Rahsia atau Rahsia Besar; (b) Pergerakan fail dan dokumen hendaklah dikawal dan direkodkan serta perlu mengikut prosedur keselamatan; (c) Kehilangan dan kerosakan ke atas semua jenis dokumen perlu dimaklumkan mengikut prosedur Arahan Keselamatan Kerajaan; (d) Pelupusan dokumen hendaklah mengikut prosedur keselamatan semasa; dan (e) Penyimpanan maklumat rasmi di storan dalam talian umum (Contohnya: Amazon dan Dropbox) tidak dibenarkan sama sekali. | Pengguna |
BIDANG 06: PENGURUSAN OPERASI DAN KOMUNIKASI
0601 Pengurusan Prosedur Operasi | |
Objektif: Memastikan pengurusan operasi berfungsi dengan betul dan selamat daripada sebarang ancaman dan gangguan. | |
060101 Pengendalian Prosedur | Tanggungjawab |
Perkara-perkara yang perlu dipatuhi adalah seperti berikut: | Pengurus ICT, |
(a) Semua prosedur pengurusan operasi yang diwujud, dikenal | ICTSO, Pentadbir |
pasti dan diguna pakai hendaklah didokumenkan, disimpan dan | Sistem ICT dan |
dikawal; | Pentadbir Pusat |
(b) Setiap prosedur mestilah mengandungi arahan-arahan yang | Data dan |
jelas, teratur dan lengkap seperti keperluan kapasiti, | Rangkaian ICT. |
pengendalian dan pemprosesan maklumat, pengendalian dan | |
penghantaran ralat, pengendalian output, bantuan teknikal dan | |
pemulihan sekiranya pemprosesan tergendala atau terhenti; | |
dan | |
(c) Semua prosedur hendaklah dikemas kini dari semasa ke | |
semasa atau mengikut keperluan. | |
060102 Kawalan Perubahan | Tanggungjawab |
Perkara-perkara yang perlu dipatuhi adalah seperti berikut: | Pengurus ICT, |
(a) Pengubahsuaian yang melibatkan perkakasan, sistem untuk | ICTSO, Pentadbir |
pemprosesan maklumat, perisian dan prosedur mestilah | Sistem ICT, |
mendapat kebenaran daripada pegawai yang diberi kuasa | Pentadbir Pusat |
terlebih dahulu; | Data dan |
(b) Aktiviti-aktiviti seperti memasang, menyelenggara, menghapus | Rangkaian ICT. |
dan mengemas kini mana-mana perkakasan ICT hendaklah | |
dikendalikan oleh pegawai yang diberi kuasa dan mempunyai | |
pengetahuan atau terlibat secara langsung dengan aset ICT | |
berkenaan; | |
(c) Semua aktiviti pengubahsuaian aset ICT hendaklah mematuhi | |
spesifikasi perubahan yang telah ditetapkan; dan | |
(d) Semua aktiviti perubahan atau pengubahsuaian hendaklah | |
direkod dan dikawal bagi mengelakkan berlakunya ralat sama | |
ada secara sengaja atau pun tidak. |
060103 Pengasingan Tugas dan Tanggungjawab | Tanggungjawab |
Perkara-perkara yang perlu dipatuhi adalah seperti berikut: (a) Skop tugas dan tanggungjawab perlu diasingkan bagi mengurangkan peluang berlaku penyalahgunaan atau pengubahsuaian yang tidak dibenarkan ke atas aset ICT; (b) Tugas mewujud, memadam, mengemas kini, mengubah dan mengesahkan data hendaklah diasingkan bagi mengelakkan daripada capaian yang tidak dibenarkan serta melindungi aset ICT daripada kesilapan, kebocoran maklumat terperingkat atau dimanipulasi; dan (c) Aset ICT yang digunakan bagi tugas membangun, mengemas kini, menyelenggara dan menguji aplikasi hendaklah diasingkan daripada aset ICT yang digunakan sebagai persekitaran sebenar (production). Pengasingan juga merangkumi tindakan memisahkan antara kumpulan sistem dan operasi. | Pengurus ICT dan ICTSO. |
0602 Pengurusan Penyampaian Perkhidmatan Pihak Ketiga | |
Objektif: Memastikan pelaksanaan dan penyelenggaraan tahap keselamatan maklumat serta penyampaian perkhidmatan yang sesuai selaras dengan perjanjian perkhidmatan dengan pihak ketiga. | |
060201 Perkhidmatan Penyampaian | Tanggungjawab |
Perkara-perkara yang mesti dipatuhi adalah seperti berikut: (a) Memastikan kawalan keselamatan, definisi perkhidmatan dan tahap penyampaian yang terkandung dalam perjanjian dipatuhi, dilaksanakan dan diselenggarakan oleh pihak ketiga; (b) Memantau perkhidmatan dan menyemak laporan serta rekod yang dikemukakan oleh pihak ketiga serta melaksanakan audit secara berkala; dan (c) Mengurus sebarang perubahan terhadap pembekalan perkhidmatan dengan mengambil kira tahap kritikal perkhidmatan dan proses yang terlibat serta melaksanakan penilaian semula risiko keselamatan. | Pengurus ICT dan ICTSO. |
Perancangan dan Penerimaan Sistem | ||||
Objektif: Meminimumkan risiko yang menyebabkan gangguan atau kegagalan sistem. | ||||
060301 Perancangan Kapasiti | Tanggungjawab | |||
Kapasiti sesuatu komponen atau sistem ICT hendaklah dirancang, diurus dan dikawal dengan teliti oleh pegawai yang berkenaan bagi memastikan keperluannya adalah mencukupi dan bersesuaian untuk pembangunan, kegunaan dan operasi sistem ICT pada masa akan datang. | Pengurus ICT, ICTSO, Pentadbir Sistem ICT dan Pentadbir Pusat Data dan Rangkaian ICT. | |||
Keperluan kapasiti ini juga perlu mengambil kira ciri-ciri keselamatan ICT bagi meminimumkan risiko seperti gangguan pada perkhidmatan dan kerugian akibat pengubahsuaian yang tidak dirancang. | ||||
060302 Penerimaan Sistem | Tanggungjawab | |||
Semua sistem baharu (termasuklah sistem yang dikemas kini atau | Pengurus ICT, | |||
diubah suai) hendaklah memenuhi kriteria yang ditetapkan sebelum | Pentadbir Sistem | |||
diterima atau dipersetujui. | ICT, Pentadbir | |||
Pusat Data dan | ||||
Rangkaian ICT | ||||
dan Pemilik | ||||
Sistem. | ||||
0604 | Perisian Berbahaya | |||
Objektif: Melindungi integriti perisian dan maklumat kerosakan yang disebabkan oleh perisian berbahaya sebagainya. | daripada pendedahan seperti virus, malware | atau dan | ||
060401 Perlindungan dari Perisian Berbahaya | Tanggungjawab | |||
Perkara-perkara yang perlu dipatuhi adalah seperti berikut: (a) Memasang sistem keselamatan untuk mengesan perisian atau program berbahaya seperti antivirus, IDS dan IPS serta memastikan prosedur penggunaan yang betul dan selamat diikuti; | Pentadbir Sistem ICT, Pentadbir Pusat Data dan Rangkaian ICT dan pengguna. |
(b) Memasang dan menggunakan hanya perisian yang tulen, berdaftar dan dilindungi di bawah mana-mana undang-undang bertulis yang berkuat kuasa; (c) Mengimbas peralatan ICT dengan antivirus sebelum digunakan; (d) Mengemas kini antivirus dengan paten antivirus yang terkini; (e) Menyemak kandungan sistem atau maklumat secara berkala bagi mengesan aktiviti yang tidak diingini seperti kehilangan dan kerosakan maklumat; (f) Melaksanakan program kesedaran mengenai ancaman perisian berbahaya dan cara mengendalikannya; (g) Memasukkan klausa tanggungan dalam kontrak yang telah ditawarkan kepada pembekal perisian. Klausa ini bertujuan untuk tuntutan baik pulih sekiranya perisian tersebut mengandungi program berbahaya; dan (h) Memberi amaran mengenai ancaman keselamatan ICT seperti serangan virus. | |
060402 Perlindungan daripada Mobile Code | Tanggungjawab |
Penggunaan mobile code yang boleh mendatangkan ancaman keselamatan ICT adalah tidak dibenarkan. | Pentadbir Sistem ICT, Pentadbir Pusat Data dan Rangkaian ICT dan pengguna. |
0605 Housekeeping Objektif: Melindungi integriti maklumat agar boleh diakses pada bila-bila masa. | |
060501 Backup dan Restore | Tanggungjawab |
Perkara-perkara yang perlu dipatuhi adalah seperti berikut: (a) Melaksanakan backup keselamatan ke atas semua sistem perisian dan aplikasi sekurang-kurangnya sekali atau setelah mendapat versi terbaru; (b) Melaksanakan backup ke atas semua data dan maklumat mengikut keperluan. Kekerapan backup bergantung pada tahap kritikal maklumat; | Pentadbir Sistem ICT, Pentadbir Pusat Data dan Rangkaian ICT. |
(c) Backup hendaklah dilakukan di dalam media yang bersesuaian; (d) Menguji secara berkala backup dan restore bagi memastikan ia dapat berfungsi dengan sempurna, boleh dipercayai dan berkesan apabila perlu digunakan; (e) Melaksanakan generasi backup pada sistem dan maklumat; dan (f) Merekod dan menyimpan salinan backup di lokasi yang berlainan dan selamat. | |
0606 Pengurusan Rangkaian Objektif: Melindungi maklumat dalam rangkaian dan infrastruktur sokongan. | |
060601 Kawalan Infrastruktur Rangkaian | Tanggungjawab |
Infrastruktur rangkaian mestilah dikawal dan diuruskan sebaik mungkin demi melindungi sistem dan aplikasi dalam rangkaian daripada ancaman. Perkara-perkara yang perlu dipatuhi adalah seperti berikut: (a) Tanggungjawab atau kerja-kerja operasi rangkaian dan komputer hendaklah diasingkan untuk mengurangkan capaian dan pengubahsuaian yang tidak dibenarkan; (b) Peralatan rangkaian hendaklah diletakkan di lokasi yang mempunyai ciri-ciri fizikal yang kukuh dan bebas daripada risiko seperti banjir, gegaran dan habuk; (c) Capaian kepada peralatan rangkaian hendaklah dikawal dan terhad kepada pengguna yang dibenarkan sahaja; (d) Peralatan keselamatan seperti firewall hendaklah dipasang bagi memastikan hak capaian ke atas sistem ICT dapat dilaksanakan; (e) Semua trafik keluar dan masuk hendaklah ditapis oleh peralatan keselamatan; (f) Semua perisian sniffer atau network analyser adalah dilarang dipasang pada komputer pengguna kecuali mendapat kebenaran; (g) Memasang perisian IPS bagi mengesan sebarang cubaan pencerobohan dan aktiviti-aktiviti lain yang boleh mengancam | Pentadbir Pusat Data dan Rangkaian ICT. |
sistem dan maklumat KPKT; dan (h) Sebarang penyambungan rangkaian yang bukan di bawah kawalan KPKT adalah tidak dibenarkan; | |
0607 Pengurusan Media Objektif: Melindungi aset ICT daripada sebarang pendedahan, pengubahsuaian, pemindahan atau pemusnahan serta gangguan ke atas aktiviti perkhidmatan. | |
060701 Penghantaran dan Pemindahan | Tanggungjawab |
Penghantaran atau pemindahan media ke luar pejabat hendaklah mendapat kebenaran terlebih dahulu. | Pengguna |
060702 Prosedur Pengendalian Media | Tanggungjawab |
Prosedur-prosedur pengendalian media yang perlu dipatuhi adalah seperti berikut: (a) Melabelkan semua media mengikut tahap sensitiviti sesuatu maklumat; (b) Mengehadkan dan menentukan capaian media kepada pengguna yang dibenarkan sahaja; (c) Mengehadkan pengedaran data atau media untuk tujuan yang dibenarkan sahaja; (d) Mengawal dan merekodkan aktiviti penyelenggaraan media bagi mengelak daripada sebarang kerosakan dan pendedahan yang tidak dibenarkan; (e) Menyimpan semua media di tempat yang selamat; dan (f) Media yang mengandungi maklumat terperingkat hendaklah dilupuskan mengikut prosedur yang telah ditetapkan. | Pentadbir Pusat Data dan Rangkaian ICT. |
060703 Keselamatan Sistem Dokumentasi | Tanggungjawab |
Perkara-perkara yang perlu dipatuhi dalam memastikan keselamatan sistem dokumentasi adalah seperti berikut: (a) Memastikan sistem penyimpanan dokumentasi mempunyai ciri- ciri keselamatan; | Pengurus ICT, ICTSO, Pentadbir Sistem ICT, Pentadbir Pusat Data dan |
(b) Menyedia dan memantapkan keselamatan sistem dokumentasi; dan (c) Mengawal dan merekodkan semua aktiviti capaian dokumentasi sedia ada. | Rangkaian ICT. |
0608 Pengurusan Pertukaran Maklumat Objektif: Memastikan keselamatan pertukaran maklumat dan perisian antara KPKT dan agensi luar terjamin. | |
060801 Pertukaran Maklumat | Tanggungjawab |
Perkara-perkara yang perlu dipatuhi adalah seperti berikut: (a) Mewujudkan prosedur dan kawalan untuk melindungi pertukaran maklumat melalui penggunaan pelbagai jenis kemudahan komunikasi; (b) Menyediakan perjanjian atau kebenaran bertulis untuk pertukaran maklumat dan perisian di antara KPKT dengan agensi luar; (c) Melindungi media yang mengandungi maklumat daripada capaian yang tidak dibenarkan, didedahkan, disalah guna atau dirosakkan semasa pemindahan keluar dari KPKT; dan (d) Maklumat yang terdapat dalam e-mel perlu dilindungi sebaik- baiknya. | Pengurus ICT, ICTSO, Pentadbir Sistem ICT, Pentadbir Pusat Data dan Rangkaian ICT dan Pengguna. |
060802 Pengurusan E-mel | Tanggungjawab |
Perkara-perkara yang perlu dipatuhi dalam penggunaan e-mel adalah seperti berikut: (a) Menggunakan akaun e-mel yang diperuntukkan oleh KPKT sahaja; (b) Memastikan pengemaskinian peti e-mel (mailbox) dilaksanakan supaya kapasiti e-mel tidak melebihi kuota yang telah ditetapkan; (c) Menggunakan akaun e-mel rasmi untuk tujuan tugas rasmi sahaja; (d) Mengambil tindakan dan memberi maklum balas terhadap e-mel dengan cepat dan mengambil tindakan segera; dan | Pengguna |
(e) Memastikan e-mel rasmi yang dihantar atau diterima disimpan mengikut tatacara pengurusan sistem fail elektronik yang telah ditetapkan. | |
060803 Pengurusan Komunikasi Bersepadu (UC) | Tanggungjawab |
Perkara-perkara yang perlu dipatuhi adalah seperti berikut: (a) Memastikan setiap komunikasi yang dibuat untuk tujuan rasmi sahaja; (b) Melindungi maklumat rahsia rasmi dan maklumat rasmi Kerajaan; (c) Memastikan maklumat yang dihantar mengikut etika keselamatan yang ditetapkan; dan (d) Akaun yang diperuntukkan oleh KPKT sahaja yang boleh digunakan. | Pengguna |
060804 Pengurusan Cloud Computing | Tanggungjawab |
Perkara-perkara yang perlu dipatuhi adalah seperti berikut: (a) Memastikan penyedia perkhidmatan memenuhi keselamatan ICT, kerahsiaan dan kebolehpercayaan; (b) Menyediakan perjanjian perkhidmatan di antara KPKT dengan penyedia perkhidmatan; (c) Memastikan SLA dilaksanakan (jika berkaitan); dan (d) Memastikan tiada kebocoran dan penyalahgunaan data. | Pengurus ICT |
0609 Perkhidmatan E-Dagang (Electronic Commerce Services) | |
Objektif: Mengawal sensitiviti aplikasi dan maklumat dalam perkhidmatan ini agar sebarang risiko seperti penyalahgunaan maklumat, kecurian maklumat serta pindaan yang tidak sah dapat dihalang. | |
060901 E-Dagang | Tanggungjawab |
Perkara-perkara yang perlu dipatuhi adalah seperti berikut: (a) Maklumat yang terlibat dalam e-dagang perlu dilindungi daripada aktiviti penipuan, pertikaian kontrak dan pendedahan serta pengubahsuaian yang tidak dibenarkan; | Pentadbir Sistem ICT dan Pengguna. |
(b) Maklumat yang terlibat dalam transaksi dalam talian perlu dilindungi bagi mengelak penghantaran yang tidak lengkap, salah destinasi, pengubahsuaian, pendedahan, duplikasi atau pengulangan mesej yang tidak dibenarkan; (c) Maklumat yang melibatkan transaksi dalam talian perlu dilindungi bagi mengelakkan transmisi yang tidak lengkap, mis- routing, pendedahan, pertindihan dan perubahan yang tidak dibenarkan; dan (d) Integriti maklumat yang disediakan untuk sistem yang boleh dicapai oleh orang awam atau pihak lain yang berkepentingan hendaklah dilindungi untuk mencegah sebarang pindaan yang tidak diperakukan. | |
0610 Pemantauan Objektif: Memastikan pengesanan aktiviti pemprosesan maklumat yang tidak dibenarkan. | |
061001 Pengauditan dan Forensik ICT | Tanggungjawab |
Perkara-perkara yang perlu dipatuhi dalam memastikan pelaksanaan pengauditan dan forensik ICT ialah: (a) Memastikan jadual pelaksanaan disediakan; (b) Memastikan laporan dapatan dilaksanakan; dan (c) Memastikan tindakan pembetulan dilaksanakan. | ICTSO |
061002 Jejak Audit | Tanggungjawab |
Perkara yang perlu dipatuhi adalah seperti berikut: (a) Setiap sistem mestilah mempunyai jejak audit; (b) Merekod setiap aktiviti transaksi; (c) Memastikan maklumat jejak audit mengandungi identiti pengguna, sumber yang digunakan, perubahan maklumat, tarikh dan masa aktiviti, rangkaian dan aplikasi yang digunakan; (d) Memastikan aktiviti capaian pengguna ke atas sistem ICT sama ada secara sah atau sebaliknya; (e) Semakan catatan jejak audit hendaklah dilakukan dari semasa ke semasa bagi membantu mengesan aktiviti yang luar biasa dengan lebih awal; | Pentadbir Sistem ICT, Pentadbir Pusat Data dan Rangkaian ICT. |
(f) Menganalisa maklumat aktiviti sistem yang luar biasa atau aktiviti yang tidak mempunyai ciri-ciri keselamatan; (g) Jejak audit hendaklah disimpan untuk tempoh masa yang ditetapkan; dan (h) Jejak audit hendaklah dilindungi daripada kerosakan, kehilangan, penghapusan, pemalsuan dan pengubahsuaian yang tidak dibenarkan. | |
061003 Sistem Log dan Pemantauan | Tanggungjawab |
Perkara-perkara berikut hendaklah dilaksanakan: (a) Mewujudkan sistem log bagi merekodkan semua aktiviti harian pengguna; (b) Menyemak sistem log secara berkala bagi mengesan ralat yang menyebabkan gangguan kepada sistem dan mengambil tindakan membaik pulih dengan segera; dan (c) Sekiranya wujud aktiviti-aktiviti lain yang tidak sah seperti kecurian maklumat dan pencerobohan, aktiviti ini hendaklah dilaporkan kepada ICTSO dan Pengurus ICT. | Pentadbir Sistem ICT, Pentadbir Pusat Data dan Rangkaian ICT. |
0611 Media Sosial | |
Objektif: Memastikan keselamatan dan kawalan penyebaran maklumat melalui media sosial. | |
061101 Media Sosial | Tanggungjawab |
Perkara-perkara yang perlu dipatuhi di dalam memastikan keselamatan dan kawalan penyebaran maklumat yang dikongsi dan disebarkan melalui media sosial adalah seperti berikut: (a) Tidak menjejaskan kepentingan perkhidmatan awam dan kedaulatan negara; (b) Tidak melibatkan penyebaran maklumat dan dokumen terperingkat; (c) Tidak memaparkan kenyataan yang boleh menjejaskan imej Kerajaan; (d) Tidak menyentuh isu sensitif seperti agama, politik dan perkauman; dan | Pengguna |
(e) Tidak memaparkan kenyataan yang berunsur fitnah atau hasutan. | |
061102 Keselamatan Media Sosial | Tanggungjawab |
Pegawai yang bertanggungjawab mengendalikan laman web media sosial rasmi perlulah memastikan keselamatan media sosial dengan melaporkan masalah yang berlaku seperti spam dan pencerobohan kepada penyedia perkhidmatan media sosial (Contohnya: Facebook, Twitter, Instagram). | Pentadbir Sistem ICT |
0612 Data Terbuka | |
Objektif: Data Terbuka Sektor Awam adalah untuk meningkatkan kualiti dan ketelusan penyampaian perkhidmatan serta meningkatkan produktiviti negara melalui pemanfaatan data terbuka. | |
061201 Pengurusan Data Terbuka | Tanggungjawab |
Pelaksanaan data terbuka KPKT perlulah berasaskan tadbir urus dan aktiviti yang telah dipersetujui oleh KSU atau Ketua Jabatan. Perkara-perkara yang perlu dilaksanakan adalah seperti berikut: (a) Menubuhkan struktur tadbir urus atau tadbir urus sedia ada untuk melaksanakan tugas dan aktiviti berkaitan data terbuka KPKT; (b) Membangunkan Pelan Pelaksanaan Data Terbuka KPKT; (c) Mengenal pasti set data Jabatan/Bahagian yang boleh dimuat naik atau dipaut ke Portal Data Terbuka Sektor Awam; dan (d) Membuat semakan semula pelaksanaan data terbuka dan menilai tahap penggunaannya. | CIO dan Pengurus ICT. |
0613 Data Raya Objektif: Memaksimumkan penggunaan data agensi Kerajaan bagi meningkatkan hasil dan mengurangkan kos kerajaan | |
061301 Pengurusan Data Raya | Tanggungjawab |
Pelaksanaan data raya KPKT perlulah berasaskan tadbir urus dan aktiviti yang telah dipersetujui oleh KSU atau Ketua Jabatan. Perkara-perkara yang perlu dilaksanakan adalah seperti berikut : (a) Mewujudkan satu pasukan kerja untuk melaksanakan aktiviti pembangunan analitis data raya pada peringkat KPKT; (b) Membangunkan Pelan Pelaksanaan Data Raya KPKT; (c) Pelaksanaan Data Raya perlu kepada pematuhan keselamatan dan kerahsiaan data; (d) Penggunaan data sedia ada perlu mendapat kebenaran daripada Agensi Pemilik Data; dan (e) Membuat kajian semula pelaksanaan data raya dan menilai tahap penggunaannya. | CIO dan Pengurus ICT |
BIDANG 07: KAWALAN CAPAIAN
0701 | Dasar Kawalan Capaian | |||
Objektif: Peraturan kawalan capaian hendaklah mengambil kira faktor had capaian dan hak capaian (authorization) ke atas maklumat/data dan proses capaian maklumat. | ||||
070101 Keperluan Kawalan Capaian | Tanggungjawab | |||
Perkara-perkara yang perlu dipatuhi adalah seperti berikut: (a) Melaksanakan kawalan capaian ke atas aset ICT mengikut keperluan keselamatan dan peranan pengguna; (b) Melaksanakan kawalan capaian ke atas perkhidmatan rangkaian dalaman dan luaran; (c) Melaksanakan keselamatan maklumat yang dicapai menggunakan kemudahan atau peralatan mudah alih; dan (d) Melaksanakan kawalan ke atas kemudahan pemprosesan maklumat. | ICTSO, Pentadbir Sistem ICT, Pentadbir Pusat Data dan Rangkaian ICT. | |||
0702 | Pengurusan Capaian Pengguna | |||
Objektif: Mengawal capaian pengguna ke atas aset ICT KPKT. | ||||
070201 Akaun Pengguna | Tanggungjawab | |||
Setiap pengguna adalah bertanggungjawab ke atas aset ICT yang digunakan. Bagi mengenal pasti pengguna dan aktiviti yang dilakukan, perkara-perkara berikut hendaklah dipatuhi: (a) Akaun yang diperuntukkan sahaja boleh digunakan; (b) Akaun pengguna mestilah unik; (c) Pengguna bertanggungjawab sepenuhnya ke atas segala kegunaan melalui akaun dan kata laluannya; dan (d) Akaun pengguna akan dibeku atau ditamatkan atas sebab- sebab berikut: i. Pengguna yang bercuti panjang dalam tempoh waktu melebihi 30 hari; ii. Bertukar bidang tugas kerja; iii. Bertukar ke agensi lain; iv. Bersara; atau v. Ditamatkan perkhidmatan. | Pentadbir Sistem ICT, Pentadbir Pusat Data dan Rangkaian ICT dan pengguna. | |||
RUJUKAN | VERSI | TARIKH | MUKA SURAT | |
DKICT KPKT | 4.2 | 5 NOVEMBER 2018 | 57 / 82 | |
KEMENTERIAN PERUMAHAN DAN KERAJAAN TEMPATAN |
070202 Hak Capaian | Tanggungjawab |
Penetapan dan penggunaan ke atas hak capaian perlu diberi kawalan dan penyeliaan yang ketat berdasarkan keperluan skop tugas. | Pentadbir Sistem ICT, Pentadbir Pusat Data dan Rangkaian ICT. |
070203 Pengurusan Kata Laluan | Tanggungjawab |
Perkara-perkara yang perlu dipatuhi adalah seperti berikut: (a) Kata laluan hendaklah dilindungi dan tidak boleh dikongsi dengan sesiapa pun; (b) Kata laluan hendaklah ditukar apabila disyaki berlakunya kebocoran kata laluan atau dikompromi; (c) Kata laluan hendaklah sekurang-kurangnya dua belas (12) aksara dengan gabungan aksara, angka dan aksara khusus; (d) Kata laluan hendaklah diingat dan TIDAK BOLEH dicatat, disimpan atau didedahkan dengan apa cara sekalipun; (e) Kata laluan windows dan screen saver hendaklah diaktifkan apabila meninggalkan komputer melebihi 10 minit; (f) Kata laluan hendaklah tidak dipaparkan semasa input, dalam laporan atau media lain dan tidak boleh dikodkan di dalam program; (g) Kata laluan hendaklah berlainan daripada pengenalan identiti pengguna; dan (h) Kata laluan hendaklah ditukar dalam tempoh yang ditetapkan. | Pentadbir Pusat Data dan Rangkaian ICT dan Pengguna |
070204 Clear Desk dan Clear Screen | Tanggungjawab |
Perkara-perkara yang perlu dipatuhi adalah seperti berikut: (a) Menggunakan kemudahan password screen saver atau log out apabila meninggalkan komputer; (b) Menyimpan bahan-bahan sensitif di dalam laci atau kabinet fail yang berkunci; dan (c) Memastikan semua dokumen diambil segera daripada pencetak, pengimbas, mesin faksimili dan mesin fotostat. | Pengguna |
070205 Capaian Pengguna | Tanggungjawab |
Perkara-perkara yang perlu dipatuhi adalah seperti berikut: (a) Sebarang bahan yang dimuat turun daripada Internet hendaklah digunakan untuk tujuan yang dibenarkan oleh KPKT; dan (b) Pengguna adalah DILARANG melakukan aktiviti-aktiviti seperti berikut: i. Memuat naik, memuat turun, menyimpan dan menggunakan perisian tidak berlesen serta sebarang aplikasi seperti permainan elektronik, video, lagu yang boleh menjejaskan tahap capaian Internet; dan ii. Menyedia, memuat naik, memuat turun dan menyimpan material, teks ucapan atau bahan-bahan yang mengandungi unsur-unsur lucah, jenayah atau pernyataan berbentuk hasutan tanpa kebenaran berbuat demikian. | Pengguna |
0703 Kawalan Capaian Rangkaian | |
Objektif: Menghalang capaian tidak sah dan tanpa kebenaran ke atas perkhidmatan rangkaian. | |
070301 Capaian Rangkaian | Tanggungjawab |
Kawalan capaian perkhidmatan rangkaian hendaklah dijamin selamat dengan: (a) Menempatkan atau memasang antara muka yang bersesuaian antara rangkaian KPKT, rangkaian agensi lain dan rangkaian awam; (b) Mewujudkan dan menguatkuasakan mekanisme untuk pengesahan pengguna dan peralatan yang menepati kesesuaian penggunaannya; (c) Memantau dan menguatkuasakan kawalan capaian pengguna terhadap perkhidmatan rangkaian ICT; (d) Mentadbir dan mengawal capaian pengguna jarak jauh (remote user) dengan kebenaran bertulis; dan (e) Mentadbir dan mengawal rangkaian yang dikongsi (shared networks), terutama sekali yang keluar daripada rangkaian KPKT. | ICTSO dan Pentadbir Pusat Data dan Rangkaian ICT. |
070302 Capaian Internet | Tanggungjawab |
Perkara-perkara yang perlu dipatuhi adalah seperti berikut: (a) Pemantauan secara berterusan dilakukan bagi memastikan penggunaannya hanya untuk capaian yang dibenarkan sahaja; (b) Penguatkuasaan Content Filtering hendaklah dilaksanakan bagi mengawal akses Internet mengikut fungsi kerja dan pemantauan tahap pematuhan; (c) Pengawalan penggunaan bandwidth hendaklah dilaksanakan bagi penggunaan bandwidth yang maksimum dan lebih berkesan; (d) Penggunaan Internet hanyalah untuk kegunaan rasmi sahaja; (e) Pengguna hanya dibenarkan memuat turun perisian yang sah dan berdaftar; (f) Perolehan/pembelian dan penggunaan broadband bergantung kepada justifikasi atau keperluan dan perlu mendapat kelulusan Pengurusan KPKT/Jabatan; dan (g) Penggunaan kemudahan internet peribadi di pejabat seperti modem, hotspot dan sebagainya untuk tujuan sambungan ke Internet adalah tidak dibenarkan kecuali mendapat kelulusan pengurusan KPKT/Jabatan. | Pengurus ICT, ICTSO, Pentadbir Pusat Data dan Rangkaian ICT. |
0704 Kawalan Capaian Sistem Pengoperasian | |
Objektif: Menghalang capaian tidak sah dan tanpa kebenaran ke atas sistem pengoperasian. | |
070401 Capaian Sistem Pengoperasian | Tanggungjawab |
Perkara-perkara yang perlu dipatuhi adalah seperti berikut: (a) Mengawal capaian ke atas sistem pengoperasian menggunakan mekanisme log masuk yang terjamin; (b) Mewujudkan satu pengenalan diri (ID) yang unik untuk setiap pengguna dan hanya digunakan oleh pengguna berkenaan sahaja; (c) Mengehadkan dan mengawal penggunaan program; dan (d) Mengehadkan tempoh penggunaan dan/atau sambungan ke sesebuah aplikasi berisiko tinggi. | Pentadbir Sistem ICT, Pentadbir Pusat Data dan Rangkaian ICT. |
0705 Kawalan Capaian Aplikasi dan Maklumat | |
Objektif: Menghalang capaian tidak sah dan tanpa kebenaran ke atas maklumat yang terdapat dalam sistem aplikasi. | |
070501 Capaian Aplikasi dan Maklumat | Tanggungjawab |
Perkara-perkara berikut hendaklah dipatuhi: (a) Penggunaan sistem maklumat dan aplikasi yang dibenarkan adalah mengikut tahap capaian dan keselamatan maklumat yang telah ditentukan; (b) Memastikan sistem log dilaksanakan bagi setiap aktiviti capaian sistem maklumat dan aplikasi; (c) Mengehadkan capaian sistem dan aplikasi kepada tiga (3) kali percubaan. Sekiranya gagal, akaun pengguna akan disekat; (d) Memastikan kawalan keselamatan sistem adalah kukuh dan lengkap dengan ciri-ciri keselamatan bagi mengelakkan aktiviti atau capaian yang tidak sah; dan (e) Capaian sistem maklumat dan aplikasi melalui capaian internet adalah dibenarkan. Walau bagaimanapun, penggunaannya terhad kepada perkhidmatan yang dibenarkan sahaja. | Pentadbir Sistem ICT |
070502 Token (GPKI) / Sijil Digital | Tanggungjawab |
Perkara-perkara yang perlu dipatuhi adalah seperti berikut: (a) Penggunaan token (GPKI) atau sijil digital hendaklah digunakan bagi capaian sistem Kerajaan Elektronik yang dikhususkan; (b) Token (GPKI) hendaklah disimpan di tempat selamat bagi mengelakkan sebarang kecurian atau digunakan oleh pihak lain; (c) Perkongsian penggunaan token (GPKI) adalah tidak dibenarkan sama sekali; (d) Token (GPKI) yang salah kata laluan sebanyak lima (5) kali cubaan pengisian akan disekat; (e) Sebarang kehilangan, kerosakan dan kata laluan disekat perlu dimaklumkan kepada pengeluar token; | Pengguna |
(f) Semua akses dan peranan pengguna yang bertukar keluar/bersara hendaklah ditamatkan; dan (g) Bagi pengguna yang bersara hendaklah memulangkan token kepada pentadbir. | |
0706 Peralatan Mudah Alih dan Kerja Jarak Jauh Objektif: Memastikan keselamatan maklumat semasa menggunakan peralatan mudah alih dan kemudahan kerja jarak jauh. | |
070601 Peralatan Mudah Alih | Tanggungjawab |
Perkara yang perlu dipatuhi adalah seperti berikut: (a) Memastikan keselamatan peralatan mudah alih yang dibekalkan terjamin; dan (b) Memastikan peralatan mudah alih disimpan dan dikunci di tempat yang selamat apabila tidak digunakan. | Pengguna |
070602 Xxxxx Xxxxx Jauh | Tanggungjawab |
Memastikan tiada berlakunya kehilangan peralatan, pendedahan maklumat dan capaian tidak sah dan salah guna kemudahan. | Pengguna |
0707 Bring Your Own Device (BYOD) Objektif: Memastikan keselamatan maklumat semasa menggunakan peralatan BYOD di dalam KPKT. | |
070701 Keperluan dan Kawalan Penggunaan BYOD | Tanggungjawab |
Penggunaan BYOD yang disambungkan kepada rangkaian KPKT sama ada menyimpan atau mengakses data rasmi Kerajaan adalah tertakluk kepada perkara-perkara yang perlu dipatuhi seperti berikut: (a) Pengguna perlu mengetahui risiko dan kesan penggunaan BYOD terhadap keselamatan maklumat; (b) Pengguna perlu mengetahui peraturan-peraturan yang telah ditetapkan apabila menggunakan BYOD; dan (c) Pengguna bertanggungjawab sepenuhnya ke atas sebarang insiden keselamatan yang berpunca daripada penggunaan BYOD. | Pengguna |
BIDANG 08: PEMBANGUNAN DAN PENYELENGGARAAN SISTEM
0801 Keselamatan dalam Membangunkan Sistem dan Aplikasi | |
Objektif: Memastikan sistem yang dibangunkan sendiri atau pihak ketiga mempunyai ciri-ciri keselamatan ICT yang bersesuaian. | |
080101 Keperluan Keselamatan Sistem Maklumat | Tanggungjawab |
Perkara-perkara yang perlu dipatuhi adalah seperti berikut: (a) Pembangunan, penambahbaikan dan penyelenggaraan sistem hendaklah mengambil kira kawalan keselamatan bagi memastikan tiada sebarang ralat yang boleh mengganggu pemprosesan dan ketepatan maklumat; (b) Mewujudkan dan melindungi persekitaran bagi pembangunan sistem yang merangkumi keseluruhan kitar hayat pembangunan sistem; (c) Ujian keselamatan hendaklah dijalankan ke atas sistem bagi memastikan integriti data dan sistem pemprosesan berjalan dengan betul dan sempurna; (d) Aplikasi perlu mengandungi semakan pengesahan (validation) untuk mengelakkan sebarang kerosakan maklumat akibat kesilapan pemprosesan atau perlakuan yang disengajakan; (e) Semua sistem yang dibangunkan sama ada secara dalaman atau sebaliknya hendaklah diuji terlebih dahulu bagi memastikan sistem berkenaan memenuhi keperluan keselamatan yang telah ditetapkan sebelum digunakan; (f) Semua sistem yang dibangunkan sama ada secara dalaman atau sebaliknya hendaklah menjalani sekurang-kurangnya UAT dan FAT; dan (g) Dokumentasi sistem hendaklah disediakan bagi semua sistem yang dibangunkan sama ada secara dalaman atau sebaliknya. | Pemilik Sistem dan Pentadbir Sistem ICT. |
080102 Pengesahan Data Input dan Output | Tanggungjawab |
Perkara-perkara yang perlu dipatuhi adalah seperti berikut: (a) Data input bagi aplikasi perlu disahkan bagi memastikan data yang dimasukkan betul dan tepat; dan (b) Data output daripada aplikasi perlu disahkan bagi memastikan maklumat yang dihasilkan adalah tepat. | Pemilik Sistem dan Pentadbir Sistem ICT. |
0802 Kawalan Kriptografi | |
Objektif: Melindungi kerahsiaan, integriti dan kesahihan maklumat melalui kawalan kriptografi. | |
080201 Enkripsi | Tanggungjawab |
Setiap transaksi sistem aplikasi yang melibatkan maklumat rahsia rasmi hendaklah disulitkan. | Pentadbir Sistem ICT |
080202 Tandatangan Digital | Tanggungjawab |
Penggunaan tandatangan digital adalah dimestikan kepada semua pengguna khususnya mereka yang menguruskan transaksi maklumat rahsia rasmi secara elektronik. | Pentadbir Sistem ICT dan Pengguna. |
080203 Pengurusan Infrastruktur Kunci Awam (PKI) | Tanggungjawab |
Pengurusan ke atas PKI hendaklah dilakukan dengan berkesan dan selamat bagi melindungi kunci berkenaan daripada diubah, dimusnah dan didedahkan sepanjang tempoh sah kunci tersebut. Perkara-perkara yang perlu dipatuhi adalah seperti berikut: (a) Penggunaan sijil digital hendaklah digunakan bagi capaian sistem Kerajaan Digital yang dikhususkan; (b) Sijil digital hendaklah disimpan di tempat selamat bagi mengelakkan sebarang kecurian atau digunakan oleh pihak lain; (c) Perkongsian sijil digital untuk sebarang capaian sistem adalah tidak dibenarkan sama sekali; dan (d) Sebarang kehilangan, kerosakan dan/atau kata laluan disekat perlu dimaklumkan kepada pegawai yang bertanggungjawab. | Pentadbir Sistem ICT dan pengguna. |
Keselamatan Fail Sistem | ||||
Objektif: selamat. | Memastikan supaya fail sistem dikawal dan dikendalikan dengan | baik | dan | |
080301 Kawalan Fail Sistem | Tanggungjawab | |||
Perkara-perkara yang perlu dipatuhi adalah seperti berikut: (a) Proses pengemaskinian fail sistem hanya boleh dilakukan oleh Pentadbir Sistem ICT atau pegawai yang berkenaan dan mengikut prosedur yang telah ditetapkan; (b) Kod sumber sistem yang telah dikemas kini hanya boleh dilaksanakan atau digunakan selepas diuji; (c) Mengawal capaian ke atas kod sumber sistem bagi mengelakkan kerosakan, pengubahsuaian tanpa kebenaran, penghapusan dan kecurian; (d) Data ujian perlu dipilih dengan berhati-hati, dilindungi dan dikawal; dan (e) Mengaktifkan audit log bagi merekodkan semua aktiviti pengemaskinian untuk tujuan statistik, pemulihan dan keselamatan. | Pemilik Sistem dan Pentadbir Sistem ICT. | |||
0804 | Keselamatan dalam Proses Pembangunan dan Sokongan | |||
Objektif: Menjaga dan menjamin keselamatan sistem maklumat dan aplikasi. | ||||
080401 Prosedur Kawalan Perubahan | Tanggungjawab | |||
Perkara-perkara yang perlu dipatuhi adalah seperti berikut: (a) Perubahan atau pengubahsuaian ke atas sistem maklumat dan aplikasi hendaklah dikawal, diuji, direkodkan dan disahkan sebelum diguna pakai; (b) Aplikasi kritikal perlu dikaji semula dan diuji apabila terdapat perubahan kepada sistem pengoperasian untuk memastikan tiada kesan yang buruk terhadap operasi dan keselamatan agensi. Pegawai yang bertanggungjawab perlu memantau penambahbaikan dan pembetulan yang dilakukan oleh pembekal; (c) Mengawal perubahan dan/atau pindaan ke atas pakej perisian dan memastikan sebarang perubahan adalah terhad mengikut | Pengurus ICT, Pentadbir Sistem ICT serta Pentadbir Pusat Data dan Rangkaian ICT. | |||
RUJUKAN | VERSI | TARIKH | MUKA SURAT | |
DKICT KPKT | 4.2 | 5 NOVEMBER 2018 | 65 / 82 | |
KEMENTERIAN PERUMAHAN DAN KERAJAAN TEMPATAN |
(d) Akses kepada kod sumber sistem perlu dihadkan kepada pengguna yang dibenarkan sahaja; dan (e) Menghalang sebarang peluang kebocoran maklumat. | |
0805 Pembangunan Sistem Aplikasi Objektif: Memastikan supaya pembangunan sistem aplikasi secara in-house dan outsource diselia dan dipantau untuk memastikan ia mengikut jadual dan prosedur yang telah ditetapkan. | |
080501 Prosedur Pembangunan Sistem Aplikasi | Tanggungjawab |
Perkara yang perlu dipatuhi adalah seperti berikut: (a) Permohonan secara rasmi hendaklah dikemukakan kepada urus setia JPICT Kementerian / Jabatan / Agensi untuk kelulusan; (b) Permohonan hendaklah lengkap meliputi spesifikasi teknikal, anggaran kos yang terlibat, guna tenaga dan juga skop perluasan sistem aplikasi tersebut; (c) Pembangunan sistem aplikasi hendaklah mengambil kira sistem aplikasi sedia ada di KPKT/Jabatan dan Agensi lain bagi mengelakkan pertindihan pembangunan sistem aplikasi yang sama; (d) Sebarang pembangunan sistem aplikasi mestilah menggunakan kod-kod piawaian di bawah DDSA dan sumber rujukan daripada Kementerian/Jabatan lain yang berkaitan; (e) Sesuatu pembangunan sistem aplikasi perlu mempunyai Pemilik Sistem kepada sistem aplikasi tersebut; (f) Pemilik Sistem aplikasi bertanggungjawab mempromosi dan memastikan kelancaran pelaksanaan sistem; (g) Pemilik Sistem aplikasi hendaklah membaca dan memahami dokumentasi serta mematuhi prosedur yang berkaitan; (h) Pemilik Sistem aplikasi perlu melaporkan kepada JPICT KPKT/Jabatan secara berkala bagi kemajuan pelaksanaan sistem; (i) Memastikan pembangunan sistem menggunakan teknik secure coding; | Pemilik Sistem dan Pentadbir Sistem ICT. |
(k) Kod sumber sistem hendaklah disimpan dengan teratur dan sebarang pindaan hendaklah direkodkan. | |
0806 Kawalan Teknikal Keterdedahan (Vulnerability) Objektif: Memastikan kawalan teknikal keterdedahan adalah berkesan, sistematik dan berkala dengan mengambil langkah-langkah yang bersesuaian untuk menjamin keberkesanannya. | |
080601 Kawalan daripada Ancaman Teknikal | Tanggungjawab |
Kawalan teknikal keterdedahan ini perlu dilaksanakan ke atas sistem pengoperasian dan sistem aplikasi yang digunakan. Perkara yang perlu dipatuhi adalah seperti berikut: (a) Memastikan maklumat ancaman diperolehi daripada sumber yang sahih; (b) Menilai tahap keterdedahan bagi mengenal pasti tahap risiko yang bakal dihadapi; dan (c) Mengambil langkah-langkah kawalan untuk mengatasi risiko berkaitan. | Pentadbir Sistem ICT, Pentadbir Pusat Data dan Rangkaian ICT. |
080602 Kawalan Kod Sumber dan Dokumentasi Sistem Aplikasi | Tanggungjawab |
Kawalan kod sumber dan dokumentasi sistem aplikasi hendaklah dilaksanakan ke atas sistem yang dibangunkan secara outsource dan in-house. Ini bagi memastikan kesinambungan sistem aplikasi itu dapat berjalan dengan lancar sama ada selepas pertukaran pegawai atau penyerahan sistem kepada Pemilik Sistem aplikasi. Perkara yang perlu dipatuhi adalah seperti berikut: (a) Memastikan kod sumber dan dokumentasi bagi setiap sistem yang dibangunkan disediakan sama ada secara hardcopy dan/atau softcopy; | Pentadbir sistem ICT |
(b) Dokumentasi bagi konfigurasi integrasi antara sistem induk dan aplikasi mobile disediakan; (c) Semua dokumentasi diletakkan secara berpusat, dikawal dan direkodkan; dan (d) Memastikan kod sumber sistem dan dokumentasi ialah hak milik Kerajaan. | ||
0807 Penamatan Sistem Aplikasi Objektif: Menerangkan prosedur yang perlu dilakukan apabila ingin menamatkan penggunaan sesuatu sistem. | ||
080701 | Penamatan Penggunaan Sistem Aplikasi | Tanggungjawab |
Memaklumkan dan mencadangkan penamatan sistem aplikasi secara bertulis kepada urus setia JPICT sekiranya tidak lagi digunakan/diperlukan. | Pengurus ICT, Pemilik Sistem dan Pentadbir Sistem ICT. | |
0808 | Pembangunan Laman Web dan Aplikasi Web | |
Objektif: Menerangkan perkara-perkara yang perlu dipatuhi dalam membangunkan laman dan aplikasi web di KPKT. | ||
080801 Prosedur Pembangunan Laman Web dan Aplikasi Web | Tanggungjawab | |
Perkara yang perlu dipatuhi adalah seperti berikut: (a) Semua maklumat yang hendak dimuatkan ke dalam laman web mestilah mendapat kelulusan Ketua Jabatan/Bahagian; (b) Maklumat yang terkandung dalam laman web adalah di bawah tanggungjawab Jabatan/Bahagian masing-masing; (c) Maklumat di laman web hendaklah dikemas kini dari semasa ke semasa; (d) Laman web agensi luar yang memerlukan pautan ke Laman Web KPKT/Jabatan atau sebaliknya mestilah mendapat kebenaran Ketua Jabatan; dan (e) Pembangunan laman web dan aplikasi web hendaklah mempunyai ciri-ciri keselamatan bagi mengelak diceroboh dan digodam. | Pentadbir Sistem ICT dan Pengguna. |
0809 Pembangunan Aplikasi Mobile | |
Objektif: Menerangkan perkara-perkara yang perlu dipatuhi dalam membangunkan aplikasi mobile. | |
080901 Prosedur Pembangunan Aplikasi Mobile | Tanggungjawab |
Perkara yang perlu dipatuhi adalah seperti berikut: (a) Setiap pembangunan aplikasi mobile mestilah menggunakan API sebagai antara muka hubungan dengan sistem induk; dan (b) Sistem aplikasi mobile yang dibangunkan perlu melalui akaun langganan GAMMA untuk dimuat naik ke Mobile Apps Store seperti Apple App Store dan Google Play | Pentadbir Sistem ICT |
DASAR KESELAMATAN ICT KPKT VERSI 4.2
BIDANG 09: PENGURUSAN PENGENDALIAN INSIDEN KESELAMATAN
0901 Mekanisme Pelaporan Insiden Keselamatan ICT | |||||
Objektif: Memastikan insiden dikendalikan dengan cepat dan meminimumkan kesan insiden keselamatan ICT. | berkesan | bagi | |||
090101 Mekanisme Pelaporan Insiden | Tanggungjawab | ||||
Insiden keselamatan ICT seperti berikut hendaklah dilaporkan kepada ICTSO dan CERT KPKT dengan kadar segera apabila: (a) Maklumat disyaki/didapati hilang atau terdedah kepada pihak- pihak yang tidak diberi kuasa; (b) Sistem maklumat disyaki atau digunakan tanpa kebenaran; (c) Kata laluan atau mekanisme kawalan akses hilang, dicuri atau didedahkan; (d) Berlaku kejadian sistem yang luar biasa seperti kehilangan fail, sistem kerap kali gagal dan komunikasi tersalah hantar; dan (e) Berlaku percubaan menceroboh, penyelewengan dan insiden- insiden yang tidak dijangka. | Pengguna, Pemikik Sistem, Pentadbir Sistem dan Pentadbir Pusat Data dan Rangkaian ICT | ||||
Ringkasan bagi semua proses kerja yang terlibat dalam pelaporan insiden keselamatan ICT di KPKT seperti mana Lampiran 2. | |||||
0902 | Pengurusan Maklumat Insiden Keselamatan ICT | ||||
Objektif: Memastikan pendekatan yang konsisten dan efektif digunakan dalam pengurusan maklumat insiden keselamatan ICT. | |||||
090201 Prosedur Pengurusan Maklumat Insiden Keselamatan ICT | Tanggungjawab | ||||
Perkara yang perlu dipatuhi adalah seperti berikut: (a) Menyimpan jejak audit, backup secara berkala dan melindungi integriti semua bahan bukti; (b) Menyalin bahan bukti dan merekodkan semua maklumat aktiviti penyalinan; (c) Menyediakan pelan kontingensi dan mengaktifkan pelan kesinambungan perkhidmatan (sekiranya perlu); dan (d) Melapor kepada NACSA apabila berlaku sebarang insiden keselamatan ICT (sekiranya perlu). | CERT KPKT dan ICTSO | ||||
RUJUKAN | VERSI | TARIKH | MUKA SURAT | ||
DKICT KPKT | 4.2 | 5 NOVEMBER 2018 | 70 / 82 | ||
KEMENTERIAN PERUMAHAN DAN KERAJAAN TEMPATAN |
BIDANG 10: PENGURUSAN KESINAMBUNGAN PERKHIDMATAN
1001 Dasar Kesinambungan Perkhidmatan | ||||
Objektif: Menjamin operasi perkhidmatan agar tidak tergendala dan penyampaian perkhidmatan yang berterusan kepada pelanggan. | ||||
100101 Pelan Pengurusan Kesinambungan Perkhidmatan | ||||
Pelan Pengurusan Kesinambungan Perkhidmatan (PKP) hendaklah dibangunkan untuk menentukan pendekatan yang menyeluruh diambil bagi mengekalkan kesinambungan perkhidmatan. Ini bertujuan memastikan tiada gangguan kepada proses-proses dalam penyediaan perkhidmatan organisasi. Perkara yang perlu diberi perhatian: (a) Mengenal pasti peristiwa yang boleh mengakibatkan gangguan terhadap proses bisnes, impak gangguan yang mungkin berlaku dan kesannya terhadap keselamatan ICT serta tindakan bagi meminimumkan impak gangguan tersebut; (b) Melaksanakan prosedur kecemasan bagi membolehkan pemulihan dapat dilakukan secepat mungkin atau dalam jangka masa yang telah ditetapkan; (c) Mendokumentasikan proses dan prosedur yang telah dipersetujui; (d) Mengadakan program latihan kepada pengguna mengenai prosedur kecemasan; (e) Membuat backup; dan (f) Xxxxxxx dan mengemas kini pelan sekurang-kurangnya setahun sekali. Pelan PKP perlu dibangunkan dan hendaklah mengandungi perkara- perkara berikut: (a) Senarai aktiviti teras yang dianggap kritikal mengikut susunan keutamaan; (b) Senarai pegawai KPKT dan pembekal berserta nombor yang boleh dihubungi (Contohnya: faksimile, telefon dan e-mel). Senarai kedua juga hendaklah disediakan sebagai menggantikan personel yang tidak dapat hadir untuk menangani | Koordinator PKP | |||
RUJUKAN | VERSI | TARIKH | MUKA SURAT | |
DKICT KPKT | 4.2 | 5 NOVEMBER 2018 | 71 / 82 | |
KEMENTERIAN PERUMAHAN DAN KERAJAAN TEMPATAN |
(c) Senarai lengkap maklumat yang memerlukan backup dan lokasi sebenar penyimpanannya serta arahan pemulihan maklumat dan kemudahan yang berkaitan; (d) Alternatif sumber pemprosesan dan lokasi untuk menggantikan sumber yang telah lumpuh; dan (e) Perjanjian dengan pembekal perkhidmatan untuk mendapatkan keutamaan penyambungan semula perkhidmatan. Salinan pelan PKP perlu disimpan di lokasi berasingan untuk mengelakkan kerosakan akibat bencana di lokasi utama. Pelan PKP hendaklah diuji sekurang-kurangnya setahun sekali atau apabila terdapat perubahan dalam persekitaran atau fungsi bisnes untuk memastikan ia sentiasa kekal berkesan. Penilaian secara berkala hendaklah dilaksanakan untuk memastikan pelan tersebut bersesuaian dan memenuhi tujuan dibangunkan. Ujian pelan PKP hendaklah dijadualkan untuk memastikan semua ahli dalam pemulihan dan personel yang terlibat mengetahui mengenai pelan tersebut, tanggungjawab dan peranan mereka apabila pelan dilaksanakan. |
RUJUKAN | VERSI | TARIKH | MUKA SURAT |
DKICT KPKT | 4.2 | 5 NOVEMBER 2018 | 72 / 82 |
KEMENTERIAN PERUMAHAN DAN KERAJAAN TEMPATAN |
BIDANG 11: PEMATUHAN
1101 Pematuhan dan Keperluan Perundangan | ||||
Objektif: Meningkatkan tahap keselamatan ICT bagi mengelak daripada pelanggaran DKICT KPKT. | ||||
110101 Pematuhan Dasar | Tanggungjawab | |||
Perkara yang perlu dipatuhi adalah seperti berikut: (a) Setiap pengguna (tidak termasuk di Jabatan Bomba dan Penyelamat Malaysia dan Perbadanan P engur us an S i s a P epej al ( SW C or p)) hendaklah membaca, memahami dan mematuhi DKICT KPKT dan undang-undang atau peraturan- peraturan lain yang berkaitan yang berkuat kuasa; (b) Semua aset ICT KPKT termasuk data dan maklumat yang disimpan di dalamnya ialah hak milik Kerajaan. ICTSO berhak untuk memantau aktiviti pengguna untuk mengesan penggunaan selain daripada tujuan yang telah ditetapkan; dan (c) Sebarang penggunaan aset ICT KPKT selain daripada maksud dan tujuan yang telah ditetapkan juga merupakan satu penyalahgunaan sumber KPKT. | Pengguna | |||
110102 Pematuhan dengan Dasar, Piawaian dan Keperluan Teknikal | Tanggungjawab | |||
Perkara yang perlu dipatuhi adalah seperti berikut: (a) Setiap pengguna hendaklah memastikan bidang tugas masing- masing mematuhi dasar, piawaian dan keperluan teknikal yang ditetapkan (jika ada); dan (b) Sistem maklumat perlu diperiksa dan dipantau secara berkala bagi mematuhi piawaian pelaksanaan keselamatan ICT. | Pengurus ICT, ICTSO dan pengguna. | |||
110103 Pematuhan Keperluan Audit | Tanggungjawab | |||
Perkara yang perlu dipatuhi adalah seperti berikut: (a) Pematuhan kepada keperluan audit perlu bagi meminimumkan ancaman dan memaksimumkan keberkesanan dalam proses audit sistem maklumat; dan | Pengurus ICT, ICTSO, Pentadbir Sistem ICT, Pentadbir Pusat Data dan | |||
RUJUKAN | VERSI | TARIKH | MUKA SURAT | |
DKICT KPKT | 4.2 | 5 NOVEMBER 2018 | 73 / 82 | |
KEMENTERIAN PERUMAHAN DAN KERAJAAN TEMPATAN |
(b) Keperluan audit dan sebarang aktiviti pemeriksaan ke atas sistem operasi perlu dirancang dan dipersetujui bagi mengurangkan kebarangkalian berlaku gangguan dalam penyediaan perkhidmatan. Capaian ke atas peralatan audit sistem maklumat perlu dijaga dan diselia bagi mengelakkan berlaku penyalahgunaan. | Rangkaian ICT. |
110104 Keperluan Perundangan | Tanggungjawab |
Senarai perundangan dan peraturan yang perlu dipatuhi oleh pengguna aset ICT KPKT adalah seperti di Lampiran 3. Pengguna juga perlu mematuhi perundangan dan peraturan semasa yang berkuat kuasa. | Pengguna dan pihak ketiga. |
110105 Pelanggaran Dasar | Tanggungjawab |
Pelanggaran DKICT KPKT boleh diambil tindakan undang-undang dan tatatertib di bawah Akta Rahsia Rasmi 1972 dan Perintah- Perintah Am Bab “D” – Peraturan-Peraturan Pegawai Awam (Kelakuan dan Tatatertib). | Pengguna dan Pihak Ketiga. |
RUJUKAN | VERSI | TARIKH | MUKA SURAT |
DKICT KPKT | 4.2 | 5 NOVEMBER 2018 | 74 / 82 |
KEMENTERIAN PERUMAHAN DAN KERAJAAN TEMPATAN |
8.0 GLOSARI
Berikut ialah jadual glosari bagi perkataan yang digunakan dalam keseluruhan dokumen ini.
BIL. | GLOSARI | KETERANGAN GLOSARI |
1. | Antivirus | Perisian yang digunakan untuk mengesan, mengasingkan, memadamkan dan melaporkan virus atau kod perosak dalam sistem komputer. |
2. | API Mobile | Satu teknik pengaturcaraan yang menghubungkan antara sistem induk dan aplikasi mobile. |
3. | Aset ICT | Peralatan ICT termasuk perkakasan, perisian, data, maklumat dan perkhidmatan. |
4. | Backup | Aktiviti menyediakan sandaran atau penduaan sesuatu fail, data, maklumat atau sistem maklumat bagi membolehkan ia terpelihara dan dapat digunakan apabila sumber utama tidak berfungsi atau terhapus. |
5. | Bandwidth | Ukuran atau jumlah data yang boleh dipindahkan melalui kawalan komunikasi dalam jangka masa yang ditetapkan. Contohnya: video streaming dan teleconference. |
6. | Broadband | Teknologi yang menyediakan capaian Internet melalui rangkaian luas. |
7. | BYOD | Peralatan mudah alih persendirian seperti telefon pintar, tablet, komputer riba dan media storan yang digunakan untuk tujuan rasmi. |
8. | CERT | Organisasi yang ditubuhkan untuk membantu agensi mengurus pengendalian insiden keselamatan ICT di agensi masing-masing dan agensi di bawah kawalannya. |
BIL. | GLOSARI | KETERANGAN GLOSARI |
9. | CIO | Xxxxxxx yang dilantik untuk menjadi peneraju dalam merancang, melaksana dan memantau program Kerajaan berasaskan ICT bagi memudahkan pelanggan berurusan dengan agensi Kerajaan. Beliau juga merupakan agen transformasi menerusi inovasi, kreativiti dan inisiatif pembaharuan yang berterusan. |
10. | Clear Desk dan Clear Screen | Tidak meninggalkan bahan-bahan yang sensitif terdedah sama ada atas meja pengguna atau di paparan skrin apabila pengguna tidak berada di tempatnya. |
11. | Cloud Computing | Proses menyimpan dan mengurus maklumat di Internet melalui aktiviti memuat turun dan memuat naik maklumat di dalam storan yang dikongsi di Internet. Maklumat ini boleh dicapai melalui pelbagai peralatan seperti komputer, tablet, telefon pintar dan sebagainya. |
12. | Data Raya | Data yang bersaiz besar (high-volume), berubah dengan pantas (high-velocity) dan kepelbagaian yang tinggi (high-variety). |
13. | Dokumen ICT | Dokumen fizikal dan dokumen digital. |
14. | E-Dagang | Urusan jual beli secara dalam talian yang melibatkan jualan produk dan mendapatkan keuntungan daripada jualan tersebut. |
15. | Enkripsi (Encryption) | Penukaran data sensitif kepada bentuk kod sulit untuk membolehkan data dikirim dengan selamat tanpa difahami pihak lain. |
16. | ICT | Penggabungan teknologi maklumat dan teknologi komunikasi dalam perolehan, penyimpanan, pemprosesan dan pengagihan maklumat secara elektronik. |