Dkict 2010

DASAR KESELAMATAN ICT
NEGERI KEDAH
DARUL AMAN
DASAR KESELAMATAN ICT NEGERI KEDAH
GLOSARI
TERMINOLOGI
Arahan Keselamatan
Aset ICT
Audit Trail
Autentikasi
Biometric
Business Continuity
Planning (BCP)
Central Processing Unit
(CPU)
Computer Emergency
Response Team (CERT)
Hub
Intrusion Detection
Sistem (IDS)
Internet
MAKSUD
Panduan mengenai peraturan-peraturan keselamatan
yang perlu dipatuhi oleh semua kakitangan kerajaan.
Komponen-komponen yang terdiri daripada
perkakasan, perisian, aplikasi dan sistem rangkaian
ICT.
Satu proses untuk mengenalpasti semua aktiviti yang
dilakukan oleh komputer dalam memproses
kemasukan data, penjanaan output dan segala aktiviti
yang terlibat di antaranya.
Satu kaedah untuk mengenalpasti identiti pengguna,
peralatan, atau entiti dalam sistem komputer sebelum
kebenaran diberikan untuk mengakses kepada
sesuatu sistem.
Kaedah yang digunakan untuk pengecaman identiti
individu melalui pengesanan seperti cap jari, suara
dan retina.
Pelan tindakan untuk merancang aktiviti-aktiviti
kesinambungan perniagaan atau perkhidmatan.
nit Pemprosesan tama iaitu yang mengandungi
processor, hard disk, memori dan papan utama.
Pasukan yang akan bertindak sekiranya berlaku
bencana atau perkara-perkara yang tidak diingini.
Peralatan rangkaian menghubung satu stesen kerja
dengan stesen kerja yang lain.
Satu peralatan yang digunakan untuk memantau atau
merekod cubaan pencerobohan.
Perkhidmatan in!ormasi secara global yang
menghubungkan semua pengguna seluruh dunia
melalui satu protokol rangkaian.
i
Information Security
Jawatankuasa Pemandu
ICT Negeri

Kata laluan
Kawalan Akses
Keselamatan Fizikal
Keselamatan Sumber
Manusia
Ketua Pegawai
Maklumat (CIO)
Kriptografi
Lightning Arrestor
Mail Server
Maklumat Terperingkat
Proses dan mekanisme untuk melindungi maklumat.
"a#atankuasa ICT Tertinggi di peringkat Kerajaan
$egeri Kedah yang diketuai oleh Setiausaha Kerajaan
$egeri dan dianggotai oleh semua Ketua-
ketua "abatan di setiap "abatan% &gensi $egeri.
Satu kumpulan karektor atau gabungan karektor dan
nombor yang mengesahkan pengenalan diri dan
digunakan sebagai satu syarat untuk capaian kepada
sesuatu sistem.
Penga#asan terhadap pencapaian untuk perkakasan,
perisian dan rangkaian.
'aktor-!aktor keselamatan luaran yang perlu
diambilkira untuk menjamin keselamatan perkakasan
dan perisian.
Persekitaran yang disediakan bagi menjamin
keselamatan kakitangan.
Pega#ai yang dilantik dan bertanggungja#ab dalam
perancangan dan pembangunan ICT sesebuah
agensi kerajaan.
Kaedah untuk menukar maklumat biasa kepada
!ormat yang tidak boleh di!ahami.
Peralatan yang digunakan bagi melindungi
perkakasan elektrik dari terkena kilat.
Pelayan yang digunakan sebagai plat!orm oleh
sesebuah organisasi untuk menguruskan penerimaan
dan penghantaran e-mel.
(aklumat rasmi yang telah diklasi!ikasikan mengikut
klasi!ikasi rahsia besar, rahsia, sulit dan terhad.
(aklumat ini boleh didapati dalam bentuk percetakan
atau pun dalam bentuk digital.
ii
Media Storan
Modem
Mel Elektronik
Pegawai Keselamatan
ICT (ICTSO)
Pentadbir Sistem ICT
Penyenggaraan
Pembetulan
(Corrective Maintenance)
Penyulitan
Perisian
Perkakasan
Phishing
Pihak Luar/ Ketiga
Power Surge
Preventive Maintenance
Pusat Teknologi
Maklumat dan
Komunikasi Negeri
(PTMK)
Peralatan untuk menyimpan maklumat digital.
Satu peranti yang membenarkan komputer
menghantar maklumat melalui rangkaian
telekomunikasi.
(el yang dihantar secara elektronik.
Pega#ai yang bertanggungja#ab untuk menjaga
keseluruhan keselamatan maklumat.
Pega#ai yang bertanggungja#ab sebagai Pengurus
Projek% Pentadbir )angkaian% Pentadbir Sistem
&plikasi% Pentadbir Pangkalan *ata% Pengurus Pusat
*ata
Pembaikan yang dibuat terhadap perkakasan dan
perisian apabila berlaku kerosakan.
Proses yang berlaku ketika penukaran maklumat dari
asal kepada yang tidak boleh di!ahami.
(erujuk kepada semua aset-aset digital ICT.
(erujuk kepada semua aset-aset !i+ikal ICT.
(erujuk kepada kaedah memanipulasi kelemahan
manusia untuk mendapatkan maklumat dengan
menggunakan pemujukan, pengaruh dan penipuan.
Kontraktor, pembekal dan lain-lain pihak yang
berkepentingan
&liran kuasa elektrik yang melebihi had.
Penyelenggaraan pencegahan berjadual untuk
melindungi perkakasan, perisian atau sistem operasi.
Pusat Teknologi (aklumat dan Komunikasi $egeri
,PT(K- adalah satu bahagian di ba#ah Pejabat
Setiausaha Kerajaan $egeri Kedah yang
bertanggungja#ab dalam perancangan dan
pembangunan ICT.
iii
Rangkaian Dalaman
(Private Network)
Rangkaian Awam
(Public Network )
Router
Risk Assessment
Secured Network
UPS
VPN (Virtual Private
Network)
Web Server
)angkaian komputer persendirian yang digunakan
bagi tujuan komunikasi dan hubungan dalam
organisasi.
)angkaian komputer a#am yang digunakan secara
bersama oleh semua "abatan% &gensi $egeri untuk
membuat capaian ke Internet.
Sejenis peralatan rangkaian yang digunakan untuk
menghubungkan antara satu rangkaian dengan
rangkaian lain.
&nalisa risiko untuk menngenalpasti kelemahan-
kelemahan yang terdapat dalam sistem yang boleh
memberi ancaman kepada keselamatan sistem.
Sistem )angkaian terselamat di mana maklumat yang
melaluinya dika#al dan dilindungi.
Peranti yang mengandungi bateri yang menyimpan
kuasa yang bertujuan untuk mengambil alih peranan
kuasa elektrik sekiranya berlaku gangguan bekalan
kuasa dalam tempoh terhad.
)angkaian (aya Persendirian yang menggunakan
in!rastruktur telekomunikasi a#am, tetapi masih
mengekalkan pemilikan ,p r i v a c y ) melalui protokol
tertentu dan lain-lain prosedur keselamatan.
Pelayan yang digunakan sebagai plat!orm aplikasi
#eb oleh sesebuah organisasi untuk penyampaian
maklumat dan perkhidmatan kepada pelanggan
melalui internet.
iv
Kandungan
.losari ............................................................................................................................................................. i-iv
Pendahuluan ....................................................................................................................................................... . /
0a#asan ........................................................................................................................................................1
(isi .................................................................................................................................................................1
2bjekti! ............................................................................................................................................................1
Skop ...............................................................................................................................................................1
Prinsip *asar Keselamatan ICT .............................................................................................................................. 3
&kses &tas *asar Perlu (engetahui ...................................................................................................................3
4ak &kses (inimum .........................................................................................................................................3
&kauntabiliti ...................................................................................................................................................3-5
Pengauditan Keselamatan .................................................................................................................................5
Pemulihan ....................................................................................................................................................5-6
Pematuhan ......................................................................................................................................................6
Pengasingan ....................................................................................................................................................6
Integriti .......................................................................................................................................................... ...6
&utentikasi dan Penyahsangkalan .......................................................................................................................7
Perimeter Keselamatan 'i+ikal ............................................................................................................................7
Pertahanan 8erlapis ,*e!ence in depth- ...............................................................................................................7
Saling 8ergantung............................................................................................................................................. 7
Perkara 9/ Pembangunan dan Penyelenggaraan *asar ........................................................................................... :
Perlaksanaan *asar ..........................................................................................................................................:
Penyebaran *asar ............................................................................................................................................:
Penyelenggaraan *asar ....................................................................................................................................:
Pengecualian *asar ..........................................................................................................................................:
Perkara 91 2rganisasi Pengurusan Keselamatan ICT ............................................................................................... ;
2bjekti! ............................................................................................................................................................;
Setiausaha Kerajaan $egeri ...............................................................................................................................;
Ketua Pega#ai (aklumat ,CI2- ......................................................................................................................;-<
Pega#ai Keselamatan ICT ,ICTS2- ....................................................................................................................<
Pentadbir Sistem ICT ...................................................................................................................................... /9
Pengguna ................................................................................................................................................/ 9-//
Keperluan Keselamatan Kontrak dengan Pihak Ketiga ....................................................................................... //
"a#atankuasa Pemandu Keselamatan ICT% .. ............................................................................................./ /-/1
"a#atankuasa C=)T $egeri ....................................................................................................................../ 1-/3
"a#atankuasa C=)T &gensi ........................................................................................................................... /3
Perkara 93 Pengurusan )isiko Keselamatan ICT ................................................................................................... /5
2bjekti! .......................................................................................................................................................... /5
Pengurusan )isiko Keselamatan ICT ............................................................................................................... /5
Security Posture &ssesment ,SP&- .................................................................................................................. /5
Perkara 95 Klasi!ikasi dan Pengendalian (aklumat ................................................................................................ /6
2bjekti! .......................................................................................................................................................... /6
Klasi!ikasi (aklumat ....................................................................................................................................... /6
Pengendalian (aklumat .................................................................................................................................. /6
Inventori &set ................................................................................................................................................. /7
Perkara 96 Keselamatan Sumber (anusia ........................................................................................................... /:
2bjekti! .......................................................................................................................................................... /:
Terma dan Syarat Perkhidmatan...................................................................................................................... /:
(enangani Insiden Keselamatan ICT .............................................................................................................. /:
>atihan Kesedaran Keselamatan ICT ............................................................................................................... /;
Kejuruteraan Sosial..................................................................................................................................../ ;-/<
Perlanggaran *asar ........................................................................................................................................ /<
Perkara 97 Keselamatan 'i+ikal dan Persekitaran .................................................................................................. 19
2bjekti! .......................................................................................................................................................... 19
Perimeter Ka#alan 'i+ikal ............................................................................................................................... 19
Ka#alan 'i+ikal .........................................................................................................................................1 9-1/
Ka#alan &kses Pusat *ata% 8ilik Server............................................................................................................ 1/
Ka#alan Persekitaran ................................................................................................................................1 /-11
Ka#alan Perkhidmatan dan Penyelenggaraan .............................................................................................11-13
Perkara 9: Keselamatan 2perasi, Komunikasi dan )angkaian .............................................................................. 15
2bjekti! .......................................................................................................................................................... 15
Perancangan *an Penerimaan Sistem ............................................................................................................ 15
Ka#alan Perisian ......................................................................................................................................1 5-16
4ousekeeping ..........................................................................................................................................1 6-17
Pengurusan In!rastruktur )angkaian ...........................................................................................................17-1:
Pengurusan (edia ......................................................................................................................................... 1;
Keselamatan Komunikasi ............................................................................................................................... 1:
Perkhidmatan (el =lektronik ,e-(el- .......................................................................................................1:-1<
Perkhidmatan (elayari Internet ..............................................................................................................1 <-3/
Perkhidmatan >aman 0eb ....................................................................................................................3 /-31
>ain-lain perkhidmatan .................................................................................................................................... 31
Perkara 9; Ka#alan Capaian .............................................................................................................................. 33
2bjekti! .......................................................................................................................................................... 33
&kaun Pengguna............................................................................................................................................ 33
Ka#alan &kses .............................................................................................................................................. 33
Perakaunan dan "ejak &udit ,&udit Trail- .......................................................................................................... 35
Ka#alan Capaian Sistem (aklumat dan &plikasi .........................................................................................35-36
Keselamatan Komputer (udah &lih% )iba ........................................................................................................ 36
&set ICT ........................................................................................................................................................ 36
Perkara 9< Keselamatan Sistem &plikasi ............................................................................................................. 37
2bjekti! .......................................................................................................................................................... 37
Keselamatan *alam (embangunkan Sistem *an &plikasi ................................................................................ 37
Kriptogra!i ...................................................................................................................................................... 37
Ka#alan 'ail Sistem ....................................................................................................................................... 3:
Pembangunan *an Proses Sokongan ............................................................................................................. 3:
Perkara /9 Pelan Kesinambungan Perkhidmatan dan Pemulihan 8encana ............................................................ 3;
2bjekti! .......................................................................................................................................................... 3;
Pelaksanaan ................................................................................................................................................. 3;
Perkara // Pematuhan ....................................................................................................................................... 3<
2bjekti! .......................................................................................................................................................... 3<
Pematuhan *asar .......................................................................................................................................... 3<
Keperluan Perundangan dan Peraturan .......................................................................................................3 <-59
)ujukan ............................................................................................................................................................. 5/
>ampiran ...
PENDAHULUAN
Penggunaan ICT di kalangan masyarakat dunia semakin menyerlah dengan pelbagai inovasi
peralatan komunikasi ICT. Segala maklumat yang diperlukan hanya diperolehi semudah
memetik jari. Kesan penggunaan ICT ini telah mengubah budaya kerja organisasi. Sementara
berbangga dengan kemajuan yang dicapai, semua #arga Kerajaan $egeri Kedah juga perlu
peka terhadap isu keselamatan ICT terutama dari segi peranan, tanggungja#ab dan ka#alan
penggunaan. Penekanan ke atas kesedaran dan tahap keselamatan ICT adalah penting dan
perlu diberi perhatian yang serius disebabkan oleh dua !aktor.
'aktor pertama ialah keselamatan ICT merupakan tanggungja#ab bersama untuk memastikan
sistem ICT yang dikendalikan adalah selamat daripada sebarang penyalahgunaan dan
ancaman pencerobohan.
'aktor kedua ialah ke#ujudan penggunaan pelbagai teknologi dan plat!om sistem
pengoperasian. Keadaan ini menjadikan ia lebih terbuka kepada ancaman keselamatan. &dalah
penting di sini supaya penyimpanan maklumat dan penyebaran maklumat perlu dibatasi
supaya ia dapat dika#al dengan lebih berkesan.
RUJUKAN REVISI TARIKH M/SURAT
*KICT $=.=)I 9.9 /6 "anuari 199< (ukasurat 1
WAWASAN
(e#ujudkan persekitaran sistem ICT yang komprehensi!, selamat, berkesan, stabil dan boleh
dipercayai (reliable).
MISI
ntuk mencapai tahap keselamatan ICT yang menyeluruh bagi menyokong peranan Kerajaan
$egeri dalam melindungi kepentingan strategik negeri dan aset-asetnya.
OBJEKTIF
a . (enghebahkan pendirian pihak pengurusan untuk mendukung pelaksanaan
keselamatan ICT.
b . (enyediakan *asar Keselamatan ICT yang komprehensi!, sesuai dengan perubahan
semasa dan mampu digunapakai oleh semua peringkat pengurusan dan pengguna.
c. (enjamin kesinambungan operasi Kerajaan $egeri dan meminimumkan kerosakan atau
kemusnahan.
d. (elindungi kepentingan aset-aset yang bergantung kepada sistem ICT daripada kesan
kegagalan atau kelemahan dari segi kerahsiaan, integriti, kebolehsediaan, kesahihan
maklumat dan komunikasi serta mencegah aktiviti penyalahgunaan.
SKOP
*asar ini meliputi semua sumber atau aset ICT yang digunakan seperti maklumat ,contoh? !ail,
dokumen, data elektronik-, perisian ,contoh? aplikasi dan sistem perisian- dan !i+ikal ,contoh?
komputer% peralatan komunikasi dan media magnet-. *asar ini adalah terpakai oleh semua
pengguna di "abatan% &gensi $egeri termasuk kakitangan, pembekal dan pakar runding yang
mengurus, menyelenggara, memproses, mencapai, memuat turun, menyedia, memuat naik,
berkongsi, menyimpan dan menggunakan aset ICT "abatan% &gensi $egeri.
PRINSIP DASAR KESELAMATAN ICT
Prinsip-prinsip yang menjadi asas kepada *asar Keselamatan ICT dan perlu dipatuhi adalah
seperti berikut ?
a. Akses Atas Dasar Perlu Mengetahui
&kses terhadap penggunaan aset ICT hanya diberikan untuk tujuan spesi!ik dan
dihadkan kepada pengguna tertentu mengikut dasar perlu mengetahui sahaja.
Pertimbangan akses di ba#ah prinsip ini hendaklah berteraskan kepada klasi!ikasi
maklumat dan tapisan keselamatan yang dihadkan kepada pengguna.
Klasi!ikasi (aklumat hendaklah mematuhi A r a h a n K e s e l a m a t a n K e r a j a a n .
(aklumat ini dikategorikan kepada R a h s i a B e s a r , R a h s i a , S u l i t d a n T e r h a d .
Penggunaan encryption , tandatangan digital atau sebarang mekanisma lain yang boleh
melindungi maklumat mestilah juga dipertimbangkan. *asar klasi!ikasi ke atas sistem
aplikasi juga hendaklah mengikut klasi!ikasi maklumat yang sama.
b. Hak Akses Minimum
4ak akses kepada pengguna hanya diberikan pada tahap yang paling minimum iaitu
untuk membaca, melihat atau mendengar sahaja. Kelulusan khas adalah diperlukan
untuk membolehkan pengguna me#ujud, menyimpan, mengemaskini, mengubah dan
membatalkan sesuatu data atau maklumat elektronik.
c. Akauntabili ti
Semua pengguna adalah dipertanggungja#abkan ke atas semua tindakannya terhadap
aset ICT. ntuk menentukan tanggungja#ab ini dipatuhi, sistem ICT hendaklah
mempunyai keupayaan mengesan dan mengesahkan pengguna boleh
dipertanggungja#abkan atas tindakan mereka. &kauntabiliti atau tanggungja#ab
pengguna merangkumi perkara berikut ?
i. (enghalang pendedahan maklumat kepada pihak yang tidak dibenarkan.
ii. (emeriksa maklumat dan menentukan ianya tepat dan lengkap dari
semasa ke semasa.
iii. (enentukan maklumat sedia untuk digunakan.
iv. (enjaga kerahsiaan kata laluan.
v. (ematuhi pia#aian, prosedur, langkah dan garis panduan keselamatan
yang ditetapkan.
vi. (emberi perhatian kepada maklumat terperingkat terutama semasa
peng#ujudan, pemprosesan, penyimpanan, penyelenggaraan,
penghantaran, penyampaian, pertukaran dan pemusnahan.
d. Pengauditan Keselamatan
Pengauditan adalah tindakan untuk mengenalpasti insiden berkaitan keselamatan atau
mengenalpasti keadaan yang mengancam keselamatan ICT. Ia membabitkan
pemeliharaan semua rekod berkaitan tindakan keselamatan. Pentadbir Sistem perlu
memastikan semua log/audi t trail yang dijanakan oleh aset ICT berkaitan keselamatan
disimpan sekurang-kurangnya setahun
/
. )ekod audit hendaklah dilindungi dan tersedia
untuk penilaian apabila diperlukan. Ketua jabatan dan setara! perlu mempertimbangkan
penggunaan perisian tambahan bagi menentukan ketepatan dan kesahihan l o g / a u d i t
trail.
e. Pemulihan
Pemulihan sistem ICT amat diperlukan untuk memastikan kebolehsediaan,
kebolehcapaian dan kerahsiaan. 2bjekti! utama adalah untuk meminimumkan sebarang
gangguan atau kerugian akibat daripada ketidaksediaan. Pemulihan hendaklah
dilakukan melalui tindakan berikut?
i. Pelan Pemulihan 8encana Sistem ICT hendaklah diuji sekurang-kurangnya
sekali setahun. Ketua "abatan atau setara! dikehendaki menentukan perkara ini
dilaksanakan.
ii. Pentadbir sistem dikehendaki melaksanakan sokongan (backup) setiap hari bagi
sistem ICT.
1
MAMPU, Arahan Teknologi Maklumat: Jabatan Perdana Menteri, 2007.
@
langkah-langkah pencegahan kebakaran dan amalan clear desk mengikut
arahan semasa jabatan masing-masing.
f . P e m a t u h a n
Pematuhan *asar Keselamatan ICT adalah berdasarkan tindakan berikut?
/. (e#ujudkan proses yang sistematik khususnya untuk menjamin keselamatan
ICT bagi memantau dan menilai tahap pematuhan langkah-langkah keselamatan
yang telah dikuatkuasakan.
1. (erumus pelan pematuhan untuk menangani sebarang kelemahan atau
kekurangan langkah-langkah keselamatan ICT yang dikenalpasti.
3. Pelaksanaan program penga#asan dan pemantauan keselamatan maklumat
secara berterusan hendaklah dilaksanakan oleh setiap perkhidmatan di ka#asan
tanggungja#ab masing-masing. PT(K% nit ICT &gensi $egeri berperanan
melaksanakan penga#asan dan pemantauan menyeluruh terhadap keselamatan
maklumat pada aset-aset ICT di "abatan $egeri% &gensi berkaitan.
5. (enguatkuasakan amalan melapor sebarang insiden yang mengancam
keselamatan ICT dan seterusnya mengambil tindakan pembetulan% pemulihan.
g. Pengasingan
Pengasingan !ungsi perlu diadakan di antara pentadbir dan pengguna. Pengasingan
!ungsi juga hendaklah dilakukan di antara pentadbir sistem dan pentadbir rangkaian.
h. Integriti
*ata dan maklumat hendaklah tepat, lengkap dan sentiasa terkini. Sebarang perubahan
terhadap data hendaklah dilaksanakan oleh sta! yang diberi kebenaran sahaja.
i. Autentikasi dan Penyahsangkalan
Proses ini merupakan keupayaan bagi membuktikan baha#a sesuatu mesej atau
maklumat tertentu telah dihantar oleh pemilik asal yang dikenalpasti. Setiap sistem ICT
berangkaian hendaklah dilengkapi dengan sistem authentication yang secukupnya. 8agi
sistem yang mengendalikan maklumat terperingkat, ciri penyahsangkalan hendaklah
digunakan.
j. Perimeter Keselamatan Fizikal
Perimeter merujuk kepada keadaan persekitaran !i+ikal di mana aset-aset ICT
dilindungi. Perimeter tersebut hendaklah dijaga dengan rapi bagi mengelakkan sebarang
pencerobohan. Ketua "abatan dan setara! hendaklah memastikan proses ini
dilaksanakan.
k. Pertahanan Berlapis(Defence in depth)
Pertahanan berlapis hendaklah di#ujudkan untuk melindungi keselamatan aset ICT dari
pencerobohan. Ketua "abatan dan setara! hendaklah menentukan sistem ICT
mempunyai pertahanan berlapis yang lengkap mengikut teknologi semasa.
l. Saling bergantung
>angkah-langkah keselamatan ICT yang berkesan memerlukan pematuhan kepada
semua prinsip-prinsip tersebut. Setiap prinsip adalah saling lengkap-melengkapi antara
satu dengan yang lain. Tindakan mempersepadukan prinsip yang telah dinyatakan perlu
dilaksanakan bagi menjamin tahap keselamatan yang maksimum.
Perkara 01 Pembangunan dan Penyelenggaraan Dasar
/.9 Pelaksanaan Dasar Tanggungjawab
Pelaksanaan *asar ini dijalankan oleh Setiausaha Kerajaan $egeri Setiausaha
dibantu oleh Ketua Pega#ai (aklumat ,CI2-, Pega#ai Kerajaan $egeri
Keselamatan ICT ,ICTS2- dan semua Ketua "abatan.
Penyebaran Dasar
*asar ini perlu disebarkan kepada semua pengguna "abatan% &gensi ICTS2
$egeri ,termasuk kakitangan, pembekal, pakar runding dll.-
Penyelenggaraan Dasar
*asar Keselamatan ICT $egeri ini adalah tertakluk kepada semakan ICTS2
dan pindaan dari semasa ke semasa selaras dengan perubahan
teknologi, aplikasi, prosedur, perundangan dan kepentingan sosial.
8erikut adalah prosedur yang berhubung dengan penyelenggaraan
*asar Keselamatan ICT $egeri ?
a. Kenalpasti dan tentukan perubahan yang diperlukanA
b. Kemuka cadangan pindaan secara bertulis kepada ICTS2
masing-masing untuk dibentangkan kepada "a#atankuasa
C=)T $egeri bagi mendapatkan persetujuan (esyuarat
"a#atankuasa Pemandu ICT $egeri
c. Perubahan yang telah dipersetujui oleh "a#atankuasa
Pemandu ICT $egeri dimaklumkan kepada semua penggunaA
dan
d. *asar ini hendaklah dikaji semula sekurang-kurangnya sekali
setahun.
Pengecualian Dasar
*asar Keselamatan ICT $egeri adalah terpakai kepada semua Semua
pengguna ICT "abatan % &gensi $egeri dan tiada pengecualian
diberikan.
*KICT $=.=)I 9.9 /6 "anuari 199< Page 7
Perkara 02 Organisasi Pengurusan Keselamatan ICT
/.9 Objektif Tanggungjawab
(enerangkan peranan dan tanggungja#ab individu yang terlibat
dengan lebih jelas dan teratur dalam mencapai objekti! organisasi.

1.9 Setiausaha Kerajaan Negeri
Peranan dan tanggungja#ab adalah seperti berikut ? Setiausaha
a. (emastikan semua pengguna memahami peruntukan-peruntukan Kerajaan $egeri
di ba#ah *asar Keselamatan ICT $egeriA
b. (emastikan semua pengguna mematuhi *asar Keselamatan ICT
$egeriA
c. (emastikan semua keperluan organisasi ,sumber ke#angan,
sumber kakitangan dan perlindungan keselamatan- adalah
mencukupiA dan
d. (emastikan penilaian risiko dan program keselamatan ICT
dilaksanakan seperti yang ditetapkan di dalam *asar
Keselamatan ICT $egeri.
3.9 Ketua Pegawai Maklumat (CIO)
Peranan dan tanggungja#ab Ketua Pega#ai (aklumat ,CI2- di Ketua Pega#ai
semua "abatan dan &gensi $egeri adalah seperti berikut ? (aklumat
a. (embantu Setiausaha Kerajaan $egeri dalam melaksanakan
tugas-tugas yang melibatkan keselamatan ICTA
b. (enentukan keperluan keselamatan ICT A
c. (embangun dan menyelaras pelaksanaan pelan latihan dan
program kesedaran mengenai keselamatan ICTA
d. (emastikan setiap pega#ai dan kakitangan menandatangani
surat akuan mematuhi *asar Keselamatan ICTA
e. (engambil tindakan tatatertib ke atas anggota yang melanggar
*asar Keselamatan ICT $egeri.
!. (enguruskan tindakan ke atas insiden keselamatan yang berlaku
sehingga keadaan pulihA
g. (engakti!kan Business Resumption Plan ,8)P- jika perluAdan
h. (enentukan sama ada insiden keselamatan yang berlaku perlu
dilaporkan kepada agensi penguatkuasa undang-undang%
keselamatan.
5.9 Pegawai Keselamatan ICT (ICTSO)
Peranan dan tanggungja#ab ICTS2 di semua "abatan % &gensi Pega#ai
$egeri yang dilantik adalah seperti berikut? Keselamatan
a. (engurus program-program keselamatan ICTA ICT
b. (enguatkuasakan *asar Keselamatan ICTA
c. (emberi penerangan dan pendedahan berkenaan *asar
Keselamatan ICT kepada semua penggunaA
d. (elaksanakan garis panduan, prosedur dan tatacara yang
berkaitan selaras dengan keperluan *asar Keselamatan ICT
$egeriA
e. (enjalankan pengurusan risikoA
!. (enjalankan audit, mengkaji semula, merumus tindakbalas
pengurusan agensi berdasarkan hasil penemuan dan
menyediakan laporan mengenainyaA
g. (emberi amaran terhadap kemungkinan berlakunya ancaman
berbahaya seperti virus dan memberi khidmat nasihat serta
menyediakan langkah-langkah perlindungan yang bersesuaianA
h. (enentukan tahap keutamaan insiden, melaporkan insiden
keselamatan ICT kepada Pasukan C=)T $=.=)I dan
memaklumkan kepada CI2 serta mengambil langkah pemulihan
a#alA
i. 8ekerjasama dengan semua pihak yang berkaitan dalam
mengenalpasti punca ancaman atau insiden keselamatan ICT dan
mengesyorkan langkah-langkah baik pulih dengan segeraA
j. (engesyorkan proses pengambilan tindakan tatatertib ke atas
pengguna yang melanggar *asar Keselamatan ICT $egeriA dan
k. (enyedia dan melaksanakan program-program kesedaran
mengenai keselamatan ICT.
7.9 Pentadbir Sistem ICT
Peranan dan tanggungja#ab Pentadbir Sistem ICT adalah seperti Pentadbir
berikut ? Sistem ICT
a. (engambil tindakan yang bersesuaian dengan segera apabila
dimaklumkan mengenai kakitangan yang berhenti, bertukar,
bercuti atau berlaku perubahan dalam bidang tugasA
b. (enentukan ketepatan dan kesempurnaan sesuatu tahap capaian
berdasarkan arahan pemilik sumber maklumat sebagaimana yang
telah ditetapkan di dalam *asar Keselamatan ICTA
c. (emantau aktiviti capaian harian penggunaA
d. (engenalpasti aktiviti-aktiviti tidak normal seperti pencerobohan
dan pengubahsuaian data tanpa kebenaran dan membatalkan
atau memberhentikannya dengan serta-mertaA
e. (enyimpan dan menganalisis rekod audit trail A dan
!. (enyediakan laporan mengenai aktiviti capaian kepada pemilik
maklumat berkenaan secara berkala.
:.9 Pengguna
Peranan dan tanggungja#ab pengguna adalah seperti berikut ? Semua
a. (embaca, memahami dan mematuhi *asar Keselamatan ICTA
b. (engetahui dan memahami implikasi keselamatan ICT kesan dan
tindakannyaA
c. (elaksanakan prinsip-prinsip *asar Keselamatan ICT dan
menjaga kerahsiaan maklumatA
d. (elaksanakan langkah-langkah perlindungan seperti berikut ?
i. (enghalang pendedahan maklumat kepada pihak yang tidak
dibenarkanA
ii. (emeriksa maklumat dan menentukan ia tepat dan lengkap
dari semasa ke semasaA
iii. (enentukan maklumat sedia untuk digunakanA iv.
(enjaga kerahsiaan katalaluanA
v. (ematuhi standard, prosedur, langkah dan garis panduan
keselamatan yang ditetapkanA
vi. (emberi perhatian kepada maklumat terperingkat terutama
semasa pe#ujudan, pemprosesan, penyimpanan,
penghantaran, penyampaian, pertukaran dan pemusnahanA
dan
vii. (enjaga kerahsiaan langkah-langkah keselamatan ICT dari
diketahui umum.
e. (elaporkan sebarang aktiviti yang mengancam keselamatan ICT
kepada ICTS2 dengan segeraA
!. (enghadiri program-program kesedaran mengenai keselamatan
ICTA dan
g. (enandatangani surat akuan mematuhi *asar Keselamatan ICT
;.9 Keperluan Keselamatan dengan Pihak Ketiga
Pihak ketiga perlu menandatangani dokumen-dokumen berikut bagi Semua
melindungi aset ICT Kerajaan ?
a. Surat akuan mematuhi *asar Keselamatan ICT A dan
b. Perakuan &kta )ahsia )asmi /<:1
Kandungan perjanjian kontrak dengan pihak ketiga perlu merangkumi
perkara-perkara berikut ?
c. *asar Keselamatan ICT
d. Perakuan &kta )ahsia )asmi /<:1A dan
e. 4ak 4arta Intelek
Penggunaan O u t s o u r c i n g perlu dika#al daripada segi
pelaksanaannya bagi menjamin keselamatan terhadap sistem yang
akan dilaksanakan secara o u t s o u r c e . Kaedah pelaksanaan
outsourcing adalah berdasarkan kepada .aris Panduan IT Outsource
&gensi-&gensi Sektor &#am.
/9.9 Jawatankuasa Pemandu Keselamatan ICT
Keahlian dan bidang rujukan "a#atankuasa ini dilaksanakan diba#ah "%kuasa
"a#atankuasa Pemandu ICT.
Pemandu ICT
Tanggungja#ab khusus berkaitan dengan aspek keselamatan
ICT adalah seperti berikut ?
a. (erangka dasar, hala tuju, garis panduan dan pia#aian
keselamatan ICT.
b. (eneliti, meluluskan dan menguatkuasakan dasar keselamatan
ICT.
c. (eneliti dan meluluskan semua program dan aktiviti yang
berkaitan dengan keselamatan ICT.
d. (emastikan peruntukan ke#angan yang mencukupi disediakan
untuk pelaksanaan program dan aktiviti keselamatan.
e. (eluluskan inisiati! untuk peningkatan keselamatan ICT.
!. (emantau ancaman-ancaman utama terhadap aset-aset ICT.
g. (emastikan pengauditan sistem ICT dilaksanakan sekurang-
kurangnya sekali setahun.
//.9 Jawatankuasa CERT Negeri
Skop tanggungja#ab C=)T $egeri merangkumi semua jabatan "%kuasa C=)T
negeri di negeri Kedah $egeri
Keahlian "a#atankuasa ini adalah seperti berikut ?
a. Pengarah PT(K - Pengerusi
b. Pega#ai Teknologi (aklumat ,Kanan- PT(K
c. Pega#ai Teknologi (aklumat, nit )angkaian, 2perasi
d. Pega#ai Teknologi (aklumat, nit Pangkalan *ata PT(K
e. 0akil Pejabat Pengarah dan .alian $egeri
e. 0akil Perbendaharaan $egeri
!. 0akil "&IK
g. 0akil P=$
h. 0akil Pejabat *aerah seluruh negeri Kedah
i. rusetia -PT(K
Tugas dan tanggungja#ab "a#atankuasa ini adalah seperti berikut?
a. (enilai aspek-aspek teknikal berhubung inisiati! dan projek
keselamatan ICT.
b. (emberi nasihat teknikal kepada "a#atankuasa Pemandu ICT $egeri
c. (enyediakan pelan tindakan untuk pembangunan dan
peningkatan keselamatan sistem ICT.
d. (enilai pilihan teknologi dan cadangan penyelesaian terhadap
keperluan keselamatan sistem ICT.
e. (engkaji semula dasar keselamatan ICT dari semasa ke semasa
untuk dibentangkan kepada "K Pemandu ICT.
Jawatankuasa CERT Agensi
Keahlian ditentukan oleh &gensi masing-masing berpandukan CI2 &gensi dan
kepada Pekeliling &m 8il 5 Tahun 1997 dan pekeliling-pekeliling yang "%kuasa C=)T
berkaitan. &gensi
Perkara 03 Pengurusan Risiko Keselamatan ICT
/.9 Objektif Tanggungja#ab
(engenalpasti tahap keselamatan, vulnerabilities dan kelemahan
in!rastruktur dan aset ICT untuk proses pembaikan dan peningkatan
keselamatan yang berterusan.
1.9 Pengurusan Risiko Keselamatan ICT
a. Proses analisis risiko keselamatan ICT disyorkan dilakukan oleh 8ahagian ICT
8ahagian ICT masing-masing. >aporan penilaian hendaklah "abatan%
dimajukan kepada "a#atankuasa Pemandu ICT $egeri. Perkara-
&gensi $egeri
perkara berikut perlu diambil perhatian dalam melaksanakan
analisis risiko?
i. &set-aset ICT ,perkakasan, perisian dan maklumat-
ii. Sumber (anusia ,kakitangan, sub-kontraktor dan lain-lain
personel luaran-.
iii. Persekitaran ICT ,bangunan dan kemudahan-
iv. &ktiviti-aktiviti ICT ,operasi, senggaraan dan
pembangunan-
3.9 Security Posture Assessment (SPA)
(elaksanakan program SP& ke atas in!rastruktur dan sistem ICT 8ahagian ICT
"abatan%&gensi $egeri sekurang-kurangnya satu ,/- tahun sekali. "abatan%
&gensi $egeri
Perkara 04 Pengelasan dan Pengendalian Maklumat
(emberi dan menyokong perlindungan yang bersesuaian ke atas
semua aset ICT.
1.9 Klasifikasi Maklumat
Prosedur mengklasi!ikasikan maklumat yang diuruskan melalui aset CI2
ICT hendaklah berpandukan kepada &rahan Keselamatan Kerajaan
seperti berikut ?
a. )ahsia 8esarA
b. )ahsiaA
c. SulitA atau
d. Terhad.
Ketua "abatan atau setara! dipertanggungja#abkan mengeluarkan
&rahan Khas jika perlu untuk dilaksanakan di bahagian masing-masing.
3.9 Pengendalian Maklumat
&ktiviti pengendalian makumat seperti mengumpul, memproses, Semua
menyimpan, menghantar, menyampai, menukar dan memusnah
hendaklah mengambil kira langkah-langkah keselamatan berikut ?
a. (enghalang pendedahan maklumat kepada pihak yang tidak
dibenarkanA
b. (emeriksa maklumat dan menentukan ia tepat dan lengkap dari
semasa ke semasaA
c. (enentukan maklumat sedia untuk digunakanA
d. (enjaga kerahsiaan kata laluan
e. (ematuhi standard, prosedur, langkah dan garis panduan
keselamatan yang ditetapkanA
!. (emberi perhatian kepada maklumat terperingkat terutama semasa
peng#ujudan, pemprosesan, penyimpanan, penghantaran,
penyampaian, pertukaran dan pemusnahanA dan
g. (enjaga kerahsiaan langkah-langkah keselamatan ICT dari
diketahui umum.
5.9 I n v e n t o r i A s e t
a. Semua aset ICT hendaklah direkodkan. Ini termasuk Pentadbir
mengenalpasti aset, mengelas aset mengikut tahap sensitiviti aset Sistem ICT
berkenaan dan merekodkan maklumat seperti pemilik dan
sebagainya.
b. Setiap pengguna adalah bertanggungja#ab ke atas semua aset Semua
ICT di ba#ah ka#alannya.
Perkara 05 Keselamatan Sumber Manusia
Keselamatan sumber manusia adalah penting dan perlu diberi
perhatian supaya mereka berupaya menggunakan sistem ICT yang
#ujud dan tidak memudaratkan sistem tersebut. Ini bertujuan bagi
mengurangkan risiko kesilapan manusia, kecuaian, penipuan,
kecurian maklumat, pemalsuan identiti dan penyalahgunaan
kemudahan.
1.9 Terma dan Syarat Perkhidmatan
a. Semua kakitangan yang dilantik hendaklah mematuhi terma dan Ketua "abatan%
syarat perkhidmatan yang dita#arkan dan peraturan semasa yang CI2
berkuatkuasa.
b. Semua kakitangan yang menguruskan maklumat terperingkat
hendaklah mematuhi semua peruntukan &kta )ahsia )asmi /<:1.
3.9 Menangani Insiden Keselamatan ICT
Insiden keselamatan ICT seperti berikut hendaklah dilaporkan kepada Semua
ICTS2 dengan kadar segera?
a. (aklumat didapati hilang, didedahkan kepada pihak-pihak
yang tidak diberi kuasa atau, disyaki hilang atau didedahkan
kepada pihak-pihak yang tidak diberi kuasaA
b. Sistem maklumat digunakan tanpa kebenaran atau disyaki
sedemikianA
c. Kata laluan atau mekanisme ka#alan akses hilang, dicuri atau
didedahkan, atau disyaki hilang, dicuri atau didedahkanA
d. 8erlaku kejadian sistem yang luar biasa seperti kehilangan !ail,
sistem kerap kali gagal dan komunikasi tersalah hantarA
e. 8erlaku percubaan menceroboh, penyele#engan dan insiden-
insiden yang tidak diingini.
5.9 L a t i h a n K e s e d a r a n K e s e l a m a t a n I C T
a. Program kesedaran keselamatan ICT dilaksanakan kepada ICTS2
semua peringkat kakitangan.
b. Pengguna dan pentadbir komputer perlu menghadiri latihan,
memahami dasar dan tatacara penggunaan terutamanya yang
melibatkan keselamatan ICT.
6.9 Kejuruteraan Sosial (Sosial Engineering)
Kesemua kakitangan "abatan% &gensi $egeri perlu berhati-hati Semua
dengan kejuruteraan sosial yang menggunakan pengaruh, pemujukan
dan penipuan untuk mendapatkan maklumat daripada manusia.
Teknik yang sering digunakan adalah seperti berikut ?
a. =mel Phishing
b. Phone Phishing
c. mpan ,8aiting-
d. Intervie# Phishing
Kesemua kakitangan "abatan% &gensi $egeri perlu segera
memaklumkan kepada ICTS2 masing-masing atau Pusat Teknologi
(aklumat dan Komunikasi $egeri bagi mendapatkan pengesahan
sekiranya berlaku perkara seperti berikut ?
a. (enerima sebarang emel yang meminta pengesahan no.
akaun% id pengguna dan katalaluan atas alasan sesuatu
masalah telah berlaku dengan masuk ke laman #eb khas
yang disediakan atau tele!on ke nombor tol !ree yang
disediakan.
b. (enerima panggilan tele!on yang meminta no. akaun% id
pengguna dan katalaluan atas alasan sesuatu masalah
berlaku pada akaun tersebut.
c. (enjumpai media seperti thumb drive% disket % C* yang
mempunyai label yang kononnya terdapat maklumat sulit
kerajaan di dalamnya.
d. (enerima kunjungan dari orang yang tidak dikenali yang
mengakui pega#ai baru% #akil daripada "abatan%&gensi%
Kementerian untuk temuduga atau mendapatkan maklumat
sulit. Sekiranya ini berlaku, sila buat panggilan segera ke
"abatan% &gensi% Kementerian berkaitan untuk pengesahan
identiti individu tersebut sebelum menja#ab sebarang
pertanyaan. Sekiranya didapati indentiti individu tersebut
adalah palsu, sila buat laporan polis.
7.9
Perlanggaraan Dasar
Pelanggaran *asar Keselamatan ICT akan dikenakan tindakan Semua
tatatertib.
Perkara 06 Keselamatan Fizikal dan Persekitaran
(encegah akses !i+ikal yang tidak dibenarkan, kerosakan dan
gangguan kepada premis dan maklumat.
1.9 Perimeter Keselamatan Fizikal
Keselamatan !i+ikal dan persekitaran adalah merupakan komponen Pejabat Ketua
keselamatan ICT yang penting bagi melindungi aset-aset ICT dan Pega#ai
maklumat terperingkat daripada diakses secara tidak sah atau Keselamatan%
dimusnahkan oleh sama ada kerosakan secara !i+ikal atau individu. Pega#ai
Kerosakan !i+ikal tersebut boleh disebabkan oleh kecuaian individu Keselamatan
dan bencana alam seperti kebakaran dan banjir. Terdapat beberapa Pejabat,
ancaman terhadap keselamatan !i+ikal dan persekitaran yang perlu CI2 dan ICTS2
diambil kira seperti berikut?
a. Kebakaran
b. 8anjir
c. Keupayaan akses secara tidak sah
d. Kehilangan
e. Senggaraan
!. Kecuaian
g. Penga#asan
Semua ancaman tersebut boleh diatasi dengan kesedaran semua
peringkat pengguna sistem ICT menerusi budaya kerja yang cekap
mengikut kaedah dan prosedur yang ditetapkan.
3.9
Kawalan Fizikal
a. Semua perkakasan, perisian dan peralatan rangkaian komputer Pentadbir
hendaklah diletakkan di tempat yang selamat dan terka#al. Sistem ICT dan
b. Penempatan perkakasan komputer mestilah dihindar daripada Pihak Ketiga
punca kecuaian dan unsur-unsur sabotaj.
c. Semua kabel rangkaian yang digunakan hendaklah mempunyai
salutan (coating) yang tebal dan sukar untuk pecah serta
dimasukkan ke dalam saluran paip (Conduit) mengikut pia#aian
antarabangsa dan undang-undang siber negara.
d. Setiap pemasangan kabel rangkaian hendaklah dilabelkan di
kedua-dua hujung antara punca dan destinasi kabel tersebut bagi
memudahkan proses penjejakan (Tracing) apabila berlaku
sesuatu insiden keselamatan ICT.
e. >okasi kritikal yang menyimpan maklumat terperingkat hendaklah
diasingkan daripada lokasi yang menyimpan maklumat tidak
terperingkat.
5.9
Kawalan Akses Pusat Data/ Bilik Server
a. Ka#alan akses ke pusat data% bilik server hendaklah ditentukan Semua dan
keselamatannya. Ka#alan akses boleh diadakan dalam bentuk Pihak Ketiga
seperti berikut?
i. 8iometrik
ii. Katalaluan
iii. Sistem elektronik kad pintar dan mekanikal
b. Semua akses yang dibenarkan ke ka#asan persekitaran pusat
data% bilik server hendaklah diiringi oleh Pentadbir Sistem atau
kakitangan teknikal yang dilantik bagi menentukan dan
menga#al selia penugasan yang diperlukan.
c. (enyediakan buku log untuk tujuan merekodkan maklumat dan
aktiviti yang dilaksanakan oleh Pentadbir Sistem ICT atau Pihak
Ketiga.
d. Sebarang pemindahan maklumat daripada pusat data% bilik
server hendaklah dipohon dan mendapat kebenaran daripada
pemilik data ,data owner - dan Ketua "abatan masing-masing.
6.9 Kawalan Persekitaran
a. 8angunan yang menempatkan pusat data% bilik server hendaklah Semua
mempunyai ka#alan persekitaran seperti berikut?
i. Susunatur hendaklah dirancang dengan teliti dan
mengambil kira ancaman yang akan dihadapi.
ii. (empunyai alat pengha#a dingin yang mempunyai
keupayaan menga#al kelembapan udara bagi mengelak
kerosakan komponen elektronik pada perkakasan
komputer berkenaan. Pemeriksaan hendaklah
dilaksanakan setiap 7 bulan bagi menentukan
keberkesanannya.
iii. (enyediakan sistem pengudaraan ( v e n t i l a t i o n ) yang
mencukupi.
iv. Penggunaan lantai bertingkat ( r a i s e d f l o o r ) dalam pusat
data% bilik server.
v. Penggunaan kamera boleh dilaksanakan bagi
meningkatkan ka#alan keselamatan.
b. 8angunan yang menempatkan pusat data% bilik server hendaklah
menentukan ciri-ciri keselamatan seperti berikut?
i. 8ekalan kuasa elektrik mesti dari punca yang berasingan
dan berkemampuan menampung semua beban termasuk
server, alat pengha#a dingin, alat penggera dan lain-lain.
ii. Centralized Uninterruptable Power Supply (UPS)
dan%atau janakuasa sokongan (back-up) hendaklah
disediakan dan diuji setiap 3 bulan bagi menentukan
bekalan kuasa berterusan.
iii. Sistem pengaliran air yang sempurna bagi mengelakkan
banjir. Pemeriksaan terhadap bangunan yang berkenaan
hendaklah dilaksanakan setiap 7 bulan oleh penyelia
bangunan yang bertauliah atau dilantik.
7.9 Kawalan Perkhidmatan dan Penyelenggaraan
a. $a+iran boleh dilaksanakan secara mengejut atau secara Semua
berjadual bagi memastikan keselamatan ICT.
b. 8angunan yang mempunyai bekalan kuasa tidak stabil
hendaklah dipasang dengan PS atau Automatic Voltage
R e g u l a t o r ( A V R ) pada komputer bagi menentukan ketahanan
komponen elektronik komputer berkaitan.
c. Semua penyelenggaraan terhadap C e n t r a l P r o c e s s i n g U n i t
(CPU) hendaklah dibuat secara dalaman. Sekiranya perlu dibaiki
oleh pihak s#asta, cakera keras hendaklah dikeluarkan terlebih
dahulu dari CP setelah mendapat kebenaran pega#ai ICT yang
bertanggungja#ab.
d. Penyelenggaraan secara pencegahan ( p r e v e n t i v e ) dan
pembetulan ( c o r r e c t i v e ) perlu dirancang secara berjadual bagi
menentukan kesinambungan perjalanan sistem berkenaan.
Kontrak penyelenggaraan hendaklah disediakan mengikut
prosedur semasa.
e. Perangkap kilat (lightning arrestor) hendaklah disediakan di
semua bangunan penempatan pusat data% 8ilik server bagi
mengelakkan kemasukan kuasa elektrik berlebihan (power
surge) yang disebabkan oleh pancaran kilat.
Perkara 07 Keselamatan Komunikasi dan Rangkaian
/.9 O b j e k t i f T a n g g u n g j a w a b
8ahagian ini adalah tertumpu kepada in!rastruktur rangkaian
komunikasi iaitu rangkaian internet, intranet dan s e c u r e d n e t w o r k . Ini
juga meliputi aset rangkaian ,r o u t e r , s w i t c h , h u b , m o d e m dan
s e r v e r ) , sistem pengkabelan dan segala perkhidmatan
pengkomputeran. Ini bertujuan menjaga keselamatan rangkaian dan
komunikasi komputer.
1.9 P e r a n c a n g a n D a n P e n e r i m a a n S i s t e m
a. Kapasiti sesuatu komponen atau sistem ICT hendaklah Pentadbir
dirancang, diurus dan dika#alselia oleh pega#ai yang berkenaan Sistem ICT,
bagi memastikan keperluannya adalah mencukupi dan ICTS2
bersesuaian untuk pembangunan dan kegunaan sistem ICT pada
masa akan datangA dan
b. Keperluan kapasiti ini juga perlu mengambilkira ciri-ciri
keselamatan ICT bagi meminimumkan risiko seperti gangguan
pada perkhidmatan dan kerugian akibat pengubahsuaian yang
tidak dirancang.
c. Semua sistem baru ,termasuklah sistem yang dikemas kini atau
diubahsuai- hendaklah memenuhi kriteria yang ditetapkan atau
dipersetujui.
3.9 Kawalan Perisian
a. Pentadbir Sistem dikehendaki menentukan penggunaan perisian- Semua
perisian daripada sumber-sumber yang sah sahaja. Penggunaan
perisian-perisian daripada sumber yang tidak sah dilarang sama
sekali bagi mengelakkan sebarang kod m a l i c i o u s tersebar%
disebar dalam sistem-sistem ICT.
b. Perisian-perisian yang ber!ungsi sebagai audio% video streaming
dan peer to peer adalah dilarang sama sekali.
c. Setiap komputer dipasang dengan perisian antivirus yang terkini
dan patern virus dikemaskini.
d. ntuk mengelak penyebaran atau jangkitan daripada perisian
malicious semua perisian atau sistem mestilah diimbas dengan
antivirus dan diperiksa dan disahkan selamat sebelum
digunakan. Ini merangkumi juga setiap media storan luar yang
diba#a masuk.
e. Semua sistem ICT tidak dibenarkan menggunakan perisian yang
tidak berlesen kecuali perisian open source yang dibenarkan.
!. (enghadiri program kesedaran mengenai ancaman perisian
berbahaya dan cara mengendalikannya.
g. (emasukkan klausa tanggungan di dalam mana-mana kontrak
yang telah dita#arkan kepada pembekal perisian. Klausa ini
bertujuan untuk tuntutan baik pulih sekiranya perisian tersebut
mengandungi program berbahaya.
h. (engadakan program dan prosedur jaminan kualiti ke atas
semua perisian yang dibangunkan.
i. (emberi amaran mengenai ancaman keselamatan ICT seperti
serangan virus.
5.9 Housekeeping
a. Salinan penduaan hendaklah dilakukan seperti berikut ? Semua
i. Salinan direkodkan dan di simpan di o!!-site. >okasi o!!-
site tidak boleh dibangunan yang sama dan pemilihan
lokasi mestilah praktikal dengan mengambilkira aspek
geogra!i, kemudahan, keselamatan, kos dan persekitaran.
ii. Salinan dilakukan setiap kali kon!igurasi berubah.
iii. (embuat salinan keselamatan ke atas semua sistem
perisian dan aplikasi sekurang-kurangnya sekali atau
setelah mendapat versi terbaruA
iv. (embuat salinan penduaan ke atas semua data dan
maklumat mengikut keperluan operasiA dan
v. (enguji sistem penduaan sedia ada bagi memastikan
ianya dapat ber!ungsi dengan sempurna, boleh dipercayai PT(K$
dan berkesan apabila digunakan khususnya pada #aktu
kecemasan.
b. (e#ujudkan sistem log bagi merekodkan semua aktiviti harian
pengguna
c. (enyemak sistem log secara berkala bagi mengesan ralat yang
menyebabkan gangguan kepada sistem dan mengambil tindaan
6.9 Pengurusan Infrastruktur Rangkaian
a. Pengurusan rangkaian di "abatan-jabatan $egeri adalah di PT(K$
ba#ah penyelarasan PT(K$. Segala penyambungan ke atas
rangkaian komputer mestilah mendapat kebenaran rasmi
PT(K$.
b. Pengurusan rangkaian di &gensi-agensi $egeri adalah di ba#ah
penyelarasan 8ahagian ICT masing-masing. Segala
penyambungan ke atas rangkaian komputer mestilah mendapat
kebenaran rasmi 8ahagian ICT masing-masing.
c. S e c u r e d N e t w o r k adalah tidak dibenarkan sama sekali
disambungkan dengan sebarang rangkaian a#am ,Internet-.
d. Intranet tidak dibenarkan disambungkan kepada )angkaian
&#am tanpa menggunakan mekanisma keselamatan yang
diluluskan oleh "a#atankuasa C=)T $egeri.
e. Semua "abatan% &gensi $egeri hendaklah me#ujudkan
mekanisma untuk memastikan pematuhan terhadap segala
arahan keselamatan setiap rangkaian di ba#ah
tanggungja#abnya.
!. Penggunaan a d m i n i s t r a t o r t o o l s dan h a c k i n g t o o l s
tidak
dibenarkan dipasang pada komputer pengguna melainkan
mendapat kebenaran ICTS2.
g. Sebarang pengujian perkakasan dan perisian aplikasi sistem
hendaklah mendapat kebenaran daripada Pentadbir Sistem.
h. Ka#alan capaian yang selamat ,V P N C o n n e c t i o n - hendaklah
di#ujudkan untuk akses kepada komponen-komponen rangkaian
komunikasi.
i. Semua kon!igurasi dan in!rastruktur rangkaian hendaklah
diklasi!ikasikan, didokumenkan dan sentiasa dikemaskini oleh
Pentadbir )angkaian dari semasa ke semasa.
j. Semua capaian jarak jauh ,r e m o t e a c c e s s - tidak dibenarkan
melainkan dengan menggunakan sistem autentikasi dan ciri-ciri
keselamatan yang dibenarkan oleh "a#atankuasa C=)T $egeri.
k. Capaian ke Sistem Intranet dan Sistem yang terletak di dalam
S e c u r e d N e t w o r k yang melalui in!rastruktur rangkaian a#am
hendaklah mempunyai ciri-ciri keselamatan tambahan.
l. (emasang Web Content Filter pada Internet Gateway untuk
menyekat aktiviti yang dilarang seperti yang termaktub di dalam
PKP& 8il / Tahun 1993 atau pekeliling-pekeliling terkini.
7.9
Pengurusan Media
a. Penghantaran atau pemindahan media ke luar pejabat hendaklah Semua
mendapat kebenaran daripada Ketua "abatan terlebih dahulu.
b. (ematuhi prosedur pengendalian media seperti berikut ?
i. (elabelkan semua media mengikut tahap sensitiviti sesuatu
maklumatA
ii. (enghadkan dan menentukan capaian media kepada
pengguna yang sah sahajaA
iii. (enghadkan pengedaran data atau media untuk tujuan yang
dibenarkanA
iv. (enyimpan dan merekodkan aktiviti penyelenggaraan media
bagi mengelak dari sebarang kerosakan dan pendedahan
yang tidak dibenarkanA
v. (enyimpan semua media ditempat yang selamatA dan
vi. (edia yang mengandungi maklumat rahsia rasmi hendaklah
dihapuskan atau dimusnahkan mengikut prosedur yang betul
dan selamat.
:.9 Keselamatan Komunikasi
:./
Perkhidmatan Mel Elektronik (e-Mel)
a. 8ahagian ini merujuk dan menggunapakai arahan yang Semua dan
tekandung di dalam Pekeliling Kemajuan Pentadbiran &#am 8il. Pentadbir
/ Tahun 1993. Sistem ICT
a. Pentadbir Sistem mesti memastikan setiap pelayan e-mel
dipasang dengan pelayan antivirus e-mel bagi membolehkan
pengimbasan dilakukan sebelum e-mel sampai kepada
pengguna.
b. Penggunaan kemudahan ini adalah untuk tujuan perkhidmatan
rasmi sahaja.
c. Semua pihak bertanggungja#ab sepenuhnya terhadap semua
kandungan e-(el di dalam akaun sendiri.
d. Kelayakan kakitangan untuk mendapat akaun e-mel sesuai
dengan ja#atan dan mengikut polisi semasa. Sebarang
perubahan status penggunaan ,bertukar keluar atau berhenti-
hendaklah dimaklumkan kepada Pentadbir Sistem e-mel.
e. Penghantaran maklumat terperingkat melalui Internet mestilah
menggunakan kaedah penyulitan yang dibenarkan.
!. Sebarang penggunaan e-mel yang boleh memudaratkan nama
baik "abatan % &gensi serta Kerajaan $egeri Kedah
adalah dilarang sama sekali.
g. Komunikasi e-mel bagi tujuan rasmi mestilah menggunakan
akaun e-mel rasmi kerajaan sahaja.
h. Kenyataan Pena!ian ,Disclaimer) perlu diletakkan di dalam setiap
e-mel rasmi kerajaan seperti ?
B*ISC>&I(=)? This e-mel and any !iles transmitted #ith it are intended only !or the use o! the
recipient,s- named above and may contain con!idential in!ormation. Cou are hereby noti!ied that
the taking o! any action in reliance upon, or any revie#, retransmission, dissemination,
distribution, printing or copying o! this message or any part thereo! by anyone other than the
recipient,s- is strictly prohibited. I! you have received this message in error, you should delete it
immediately and advise the sender by return e-mel. 2pinions, conclusions and other in!ormation in
this message that do not relate to the Penang State .overnment shall be understood as
neither given nor endorsed by the Penang State .overnment.B
i. Segala akaun e-mel yang diberi adalah bukan hak persendirian.
Pentadbir Sistem e-mel berhak mengakses mana-mana akaun
bagi tujuan pengurusan akaun e-mel, keselamatan dan undang-
undang.
j. =lakkan dari membuka e-mel daripada penghantar yang tidak
diketahui dan diragui.
k. (engimbas bahan-bahan yang hendak dimuat naik atau dimuat
turun supaya bebas virus sebelum digunakan.
l. Semua pihak dilarang daripada melakukan aktiviti yang
melanggar tatacara penggunaan e-mel rasmi kerajaan seperti?
i. (enggunakan akaun milik orang lain, berkongsi akaun
atau memberi akaun kepada orang lainA
ii. (enggunakan identiti palsu atau menyamar sebagai
penghantar maklumat yang sahA
iii. (enggunakan e-mel bagi tujuan peribadi,bukan rasmi-,
komersial atau politikA
iv. (enghantar dan memiliki bahan-bahan yang salah disisi
undang-undang seperti bahan lucah, perjudian dan
jenayahA
v. (enghantar dan melibatkan diri dalam e-mel yang
berunsur hasutan, e-mel sampah, e-mel bom, e-mel
spam, !itnah, ciplak atau aktiviti-aktiviti lain yang ditegah
oleh undang-udang Kerajaan $egeri dan Kerajaan
(alaysiaA
vi. (enyebarkan kod perosak seperti virus, #orm, trojan dan
trap door yang boleh merosakkan sistem komputer dan
maklumat pengguna lainA
vii. (enghantar semula e-mel yang gagal sampai ke
destinasi sebelum menyiasat punca kejadianA dan
viii. (embenarkan pihak ketiga untuk menja#ab e-mel
kepada penghantar asal bagi pihaknya.
:.1 Perkhidmatan Melayari Internet
a. 8ahagian ini merujuk dan menggunapakai arahan yang
tekandung di dalam Pekeliling Kemajuan Pentadbiran &#am 8il.
/ Tahun 1993.
b. Semua pihak dikehendaki menyediakan ka#alan terhadap
penggunaan kemudahan internet.
c. 4ak akses hendaklah dilihat sebagai satu kemudahan yang
disediakan untuk membantu melicinkan pentadbiran atau
memperbaiki perkhidmatan yang disediakan.
d. >aman yang dilayari hendaklah hanya yang berkaitan dengan
bidang kerja dan terhad untuk tujuan yang dibenarkan oleh Ketua
"abatan.
e. Kemudahan ini disediakan untuk tujuan capaian hal yang
bersangkutan dengan perkhidmatan dan dibenarkan untuk
tujuan-tujuan produkti!.
!. 8ahan rasmi yang hendak dimuat naik ke Internet hendaklah
disemak dan mendapat pengesahan daripada Ketua "abatan
sebelum dimuat naik.
g. Tindakan memuat turun hanya dibenarkan ke atas bahan yang
sah seperti perisian yang berda!tar dan di ba#ah hak cipta
terpelihara. Sebarang bahan yang dimuat turun dari Internet
hendaklah digunakan untuk tujuan yang dibenarkan oleh jabatan
sahaja.
h. Semua pihak dilarang daripada melakukan sebarang aktiviti yang
melanggar tatacara penggunaan internet seperti ?
i. memuat naik, memuat turun, menyimpan dan
menggunakan perisian tidak berlesenA
ii. menyedia dan menghantar maklumat berulang-ulang
berupa gangguanA
iii. melayari, menyedia, memuat naik, memuat turun dan
menyimpan material, teks ucapan, imej atau bahan-bahan
yang mengandungi unsur-unsur lucahA
iv. melayari, menyedia, memuat naik, memuat turun dan
menyimpan maklumat Internet yang melibatkan sebarang
pernyataan !itnah atau hasutan yang boleh memburuk dan
menjatuhkan imej KerajaanA
v. menyalahguna kemudahan perbincangan a#am dan
s o c i a l c o m m u n i t y atas talian seperti n e w s g r o u p dan
buletin boardA
vi. memuat naik, memuat turun dan menyimpan gambar atau
teks yang bercorak penentangan yang boleh memba#a
keadaan huru-hara dan menakutkan pengguna internet
yang lainA
vii. melayari, memuat turun, menyimpan dan menggunakan
perisian berbentuk hiburan atas talian seperti perjudian,
permainan elektronik, video dan laguA
viii. menggunakan kemudahan chatting melalui InternetA
iD. memuat turun, menyimpan dan menggunakan perisian
peer to peerA
D. menggunakan kemudahan Internet untuk tujuan peribadiA
Di. menjalankan aktiviti-aktiviti komersial dan politikA
Dii. melakukan aktiviti jenayah seperti menyebarkan bahan
yang membabitkan perjudian, senjata dan aktiviti
pengganasA
Diii. menggunakan sebarang perkakasan yang ber!ungsi
sebagai modem ke atas komputer dalam rangkaian
kerajaan untuk membuat capaian terus ke Internet.
i. Komputer peribadi yang digunakan untuk mencapai internet
mesti dilengkapi dengan ciri-ciri keselamatan tambahan
seperti perisian &ntivirus dan &nti-Spy#are.
:.3 Perkhidmatan Laman Web
a. $otis hakcipta perlu diletakkan pada semua laman #eb rasmi
seperti ?
B4akcipta Portal )asmi ,nama agensi- dan kandungannya yang termasuk maklumat, teks, imej,
gra!ik, !ail suara, !ail video dan susunannya serta bahan-bahannya ialah kepunyaan ,nama
agensi- kecuali dinyatakan sebaliknya.
Tiada mana-mana bahagian portal ini boleh diubah, disalin, diedar, dihantar semula, disiarkan,
dipamerkan, diterbitkan, dilesenkan, dipindah, dijual atau diuruskan bagi tujuan komersil dalam
apa bentuk sekalipun tanpa mendapat kebenaran secara bertulis yang jelas terlebih dahulu
daripada ,nama agensi-.
Produk-produk lain, logo dan syarikat atau organisasi yang tercatat di dalam portal ini adalah
kepunyaan syarikat atau organisasi tersebut.E
b. Kenyataan Pena!ian ,D i s c l a i m e r ) perlu diletakkan pada semua
laman #eb rasmi seperti ?
BKerajaan (alaysia dan ,nama agensi- adalah tidak bertanggungja#ab bagi apa-apa kehilangan
atau kerugian yang disebabkan oleh penggunaan mana-mana maklumat yang diperolehi dari
portal ini serta tidak boleh dita!sirkan sebagai ejen kepada, ataupun syarikat yang disyorkan oleh
,nama agensi-. B
c. *asar Privasi dan Keselamatan perlu diletakkan pada semua
laman #eb rasmi seperti ?
H a l a m a n i n i m e n e r a n g k a n d a s a r p r i v a s i y a n g m e r a n g k u m i p e n g g u n a a n d a n
p e r l i n d u n g a n maklumat yang dikemukakan oleh pengunjung.
S e k i r a n y a a n d a m e m b u a t t r a n s a s k i a t a u m e n g h a n t a r e - m e l m e n g a n d u n g i m a k l u m a t
p e r i b a d i , m a k l u m a t i n i m u n g k i n a k a n d i k o n g s i b e r s a m a d e n g a n a g e n s i a w a m l a i n
u n t u k m e m b a n t u p e n y e d i a a n p e r k h i d m a t a n y a n g l e b i h b e r k e s a n d a n e f e k t i f ,
C o n t o h n y a s e p e r t i d i d a l a m menyelesaikan aduan yang memerlukan maklumbalas dari
agensi-agensi lain.
;.9
Lain-lain Perkhidmatan
>ain-lain perkhidmatan atau utiliti yang mempunyai risiko terhadap
pendedahan maklumat rasmi "abatan% &gensi $egeri serta Kerajaan
$egeri Kedah dan keselamatan ICT secara langsung atau
tidak langsung adalah dilarang tanpa kebenaran CI2 dan%atau
ICTS2.
Perkara 08 Kawalan Capaian
(emahami dan mematuhi keperluan keselamatan dalam mencapai
dan menggunakan aset ICT.
1.9 Akaun Pengguna
a. Semua pengguna sistem ICT mestilah mempunyai Id pengguna Semua
(user id) dan kata laluan (password) masing-masing dan
bertangggungja#ab terhadapnya.
b. Penggunaan teknologi tambahan seperti kad-kad pintar dan
teknologi biometric authentication perlu dipertimbangkan untuk
sistem yang terperingkat.
c. Pengguna disarankan menggunakan kemudahan password
screen saver atau log off sekiranya meninggalkan komputer.
d. Id pengguna dan kata laluan tidak boleh dikongsi.
e. Kata laluan mesti sekurang-kurangnya lapan aksara dan
mempunyai kombinasi huru!, nombor dan aksara khas.
!. Kata laluan perlu ditukar sekurang-kurangnya setiap tiga ,3-
bulan sekali.
g. Pemilikan akaun pengguna bukanlah hakmilik mutlak seseorang
dan ia tertakluk kepada peraturan jabatan. &kaun boleh ditarik
balik jika penggunaannya melanggar peraturan.
h. &kaun pengguna akan ditamatkan atas sebab-sebab seperti
berikut ?
i. 8ersaraA
ii. *itamatkan perkhidmatanA
iii. 8ertukar ke agensi lainA
iv. 8ertukar bidang tugas kerjaA atau
v. (enyalahguna kemudahan akaun ICT yang diberikan.
i. &kaun pengguna disaran dibekukan sepanjang tempoh
pengguna bercuti panjang atau menghadiri kursus di luar pejabat
dalam tempoh melebihi sebulan.
1.9 Kawalan Akses
Setiap keperluan akses mestilah dirancang dan didokumentasikan Pemilik sistem
berdasarkan ka#alan akses dan klasi!ikasi maklumat. Pengguna dan Pentadbir
mestilah dimaklumkan mengenai tahap akses yang ditetapkan. Sistem ICT
3.9 Perakaunan dan Jejak Audit (Audit Trail)
a. Semua perkakasan% utiliti mestilah mengakti!kan audit log. &udit Pemilik sistem
log perlu disimpan sekurang-kurangnya dalam tempoh setahun dan Pentadbir
sebelum dilupuskan. Sistem ICT
b. Semua laporan log%audit trail dan program atau utiliti mestilah
dika#al dan hanya boleh diakses oleh Pentadbir Sistem dan
personel keselamatan sahaja.
c. &ktiviti-aktiviti Pentadbir Sistem mestilah dilogkan.
d. Sebarang cubaan memasuki sistem (login) yang tidak berjaya
mestilah dilogkan dan perlu diberi perhatian.
e. Penggera keselamatan boleh dipertimbangkan untuk
memberikan amaran kepada Pentadbir Sistem secara automatik
sebagai tanda peringatan.
!. Pentadbir Sistem dan Pentadbir )angkaian dikehendaki
menganalisa log%audit trail sekurang-kurangnya sekali dalam
seminggu.
g. Semua sistem komputer dan peranti rangkaian mestilah
mempunyai catatan masa yang seragam bagi mempastikan
kesahihan masa yang tercatat dalam audit log. Pentadbir Sistem
harus menentukan penyatuan masa sekurang-kurangnya sekali
dalam sebulan.
5.9
Kawalan Capaian Sistem Maklumat dan Aplikasi
a. Capaian sistem dan aplikasi adalah terhad kepada pengguna Pentadbir
dan tujuan yang dibenarkan. Sistem ICT,
b. Pengguna hanya boleh menggunakan sistem maklumat dan ICTS2
aplikasi yang dibenarkan mengikut tahap capaian dan sensitiviti
maklumat yang telah ditentukan.
c. Setiap aktiviti capaian sistem maklumat dan aplikasi pengguna
hendaklah direkodkan ,log- bagi mengesan aktiviti-aktiviti yang
tidak diingini.
d. (emaparkan notis amaran pada skrin komputer pengguna
sebelum memulakan capaian bagi melindungi maklumat dan
sebarang bentuk penyalah gunaan.
e. (enghadkan capaian sistem dan aplikasi kepada tiga ,3- kali
percubaan. Sekiranya gagal, akaun atau kata laluan pengguna
akan disekat.
!. (emastikan ka#alan sistem rangkaian adalah kukuh dan
lengkap dengan ciri-ciri keselamatan bagi mengelakkan aktiviti
atau capaian yang tidak sah.
6.9
P e r a l a t a n K o m p u t e r M u d a h A l i h / R i b a
a. Instalasi perisian komputer mudah alih mestilah dilaksanakan Semua
oleh kakitangan ICT.
b. Komputer mudah alih hendaklah sentiasa di ba#ah penjagaan
yang rapi bagi menjamin keselamatannya dari kecurian dan
kerosakan.
c. Pengguna yang memba#a maklumat terperingkat dikehendaki
mengisytiharkannya dengan mendapat kebenaran bertulis dari
Ketua "abatan atau setara!.
d. Pengguna yang menggunakan komputer mudah alih persendirian
untuk tugas perkhidmatan mestilah mendapat kelulusan bertulis
daripada Ketua "abatan dan setara! dan tertakluk kepada
tindakan, penga#asan dan pemantauan bahagian ICT "abatan%
&gensi yang berkaitan.
e. ICTS2 dengan bantuan bahagian ICT "abatan% &gensi yang
berkaitan mempunyai hak untuk membuat sebarang proses
penghapusan% pemindahan sebarang maklumat jabatan daripada
pega#ai yang menggunakan komputer riba persendirian
sekiranya pega#ai tersebut berpindah, bersara atau
diberhentikan perkhidmatannya.
7.9 Aset ICT
Semua aset ICT mesti dijaga dengan rapi bagi menjamin
keselamatannya dari kecurian% kerosakan dan perlu mendapat
kebenaran bertulis Ketua "abatan untuk diba#a keluar sekiranya ada
maklumat terperingkat.
Perkara 09 Keselamatan Sistem Aplikasi
(emastikan sistem yang dibangunkan mempunyai ciri-ciri
keselamatan ICT yang bersesuaian.
1.9 Keselamatan Dalam Membangunkan Sistem Dan Aplikasi
a. Pembangunan sistem hendaklah mengambil kira ka#alan Pemilik Sistem,
keselamatan bagi memastikan tidak #ujudnya sebarang ralat Pentadbir
yang boleh mengganggu pemprosesan dan ketepatan maklumat. Sistem ICT,
b. jian keselamatan hendaklah dijalankan ke atas ? ICTS2
i. Sistem input untuk menyemak pengesahan dan integriti
data yang dimasukkan
ii. Sistem pemprosesan untuk menentukan sama ada
program berjalan dengan betul dan sempurna .
iii. Sistem output untuk memastikan data yang telah diproses
adalah tepat
c. Semua sistem yang dibangunkan sama ada secara dalaman
atau sebaliknya hendaklah diuji terlebih dahulu bagi memastikan
sistem berkenaan memenuhi keperluan keselamatan yang telah
ditetapkan sebelum digunakan.
3.9 K r i p t o g r a f i ( C r y p t o g r a p h y )
a. (aklumat terperingkat atau maklumat rahsia rasmi hendaklah Semua
melalui proses penyulitan ,encryption - setiap masa sebelum
dihantar atau disalurkan ke dalam sistem rangkaian yang tidak
selamat ,seperti Internet, (obil-.S(, In!rared dan sebagainya-.
b. Pengunaan tanda tangan digital adalah disyorkan kepada semua
pengguna khususnya mereka yang menguruskan transaksi atau
maklumat rahsia rasmi setiap masa.
c. Pengurusan kunci penyulitan hendaklah dilakukan dengan
berkesan dan selamat bagi melindungi kunci berkenaan dari
diubah, dimusnah dan didedahkan sepanjang tempoh sah kunci
tersebut.
5.9 K a w a l a n F a i l S i s t e m
a. Proses pengemaskinian !ail sistem hanya boleh dilakukan oleh Pentadbir
pentadbir sistem ICT atau pega#ai yang berkenaan dan Sistem ICT
mengikut prosedur yang telah ditetapkan.
b. (enga#al capaian ke atas kod aturcara program bagi
mengelakkan kerosakan, pengubahsuaian tanpa kebenaran,
penghapusan dan kecurian.
c. (engakti!kan audit log bagi merekodkan semua pengemaskinian
untuk tujuan statistik, pemulihan dan keselamatan.
6.9 Pembangunan dan Proses Sokongan
Perubahan atau pengubahsuaian ke atas sistem maklumat dan Pentadbir
aplikasi hendaklah dika#al, diuji, direkodkan dan disahkan sebelum Sistem ICT
digunapakai.
Perkara 10 Perancangan Kesinambungan Perkhidmatan dan Pemulihan Bencana
Semua perkhidmatan yang berasaskan ICT terutama proses-proses
kritikal perlu disediakan pelan kesinambungan perkhidmatan. Pelan
tersebut hendaklah dipastikan boleh digunapakai apabila diperlukan.
Ia bertujuan memastikan operasi-operasi di "abatan % &gensi $egeri
berjalan secara berterusan ketika berlaku gangguan atau bencana.
1.9 Pelaksanaan
a. Business Continui ty Management Organisation ,8C(2- perlu
Ketua "abatan
di#ujudkan bagi setiap perkhidmatan kritikal% berisiko tinggi dan ICTS2
yang berasaskan ICT. 8C(2 terdiri daripada ?
i. Jawatankuasa Pemandu Pengurusan Pemulihan
Bencana (Business Continui ty Steering Commi ttee -
BCSC)
ii. K u m p u l a n P e n g u r u s a n K e s i n a m b u n g a n U r u s n i a g a
(Business Continuity Management Group - BCMG)
iii. K u m p u l a n P e n g u r u s a n P e m u l i h a n U r u s n i a g a
(Business Recovery Management Group - BRMG-
b. Semua Ketua "abatan dan setara! hendaklah
bertanggungja#ab menyediakan pelan Business Continuity
Planning (BCP) yang lengkap dan jelas.
c. Pelan ini hendaklah dibentang dan disetuju terima oleh 8CSC
berkaitan serta diluluskan oleh "a#atankuasa Pemandu ICT .
d. Pelan 8CP perlu diuji setiap 7 bulan dan disemak sekurang-
kurangnya setahun sekali.
Perkara 11 Pematuhan
(eningkatkan tahap keselamatan ICT bagi mengelak dari
pelanggaran kepada *asar Keselamatan ICT.
1.9 Pematuhan Dasar
a. Setiap pengguna "abatan% &gensi $egeri hendaklah membaca, Semua
memahami dan mematuhi *asar Keselamatan ICT dan
undangundang atau peraturan-peraturan lain berkaitan
yang berkuatkuasa.
b. Semua aset ICT termasuk maklumat yang disimpan di dalamnya
adalah hakmilik Kerajaan dan Ketua "abatan berhak memantau
aktiviti pengguna untuk mengesan penggunaan selain dari tujuan
yang telah ditetapkan.
3.9 Keperluan Perundangan dan Peraturan
8erikut adalah keperluan perundangan dan peraturan-peraturan lain Semua
berkaitan yang perlu dipatuhi oleh semua pengguna di "abatan%
&gensi $egeri ?
a. &rahan Keselamatan.
b. Pekeliling &m 8ilangan 3 Tahun 1999 bertajuk B )angka *asar
Keselamatan Teknologi (aklumat dan Komunikasi KerajaanE.
c. M a l a y s i a n P u b l i c S e c t o r M a n a g e m e n t o f I n f o r m a t i o n
a n d
Communications Technology Security Handbook ,(y(IS-.
d. Pekeliling &m 8ilangan / Tahun 199/ bertajuk B(ekanisme
Pelaporan Insiden Keselamatan Teknologi (aklumat dan
Komunikasi ,ICT-E.
e. Pekeliling Kemajuan Pentadbiran &#am 8ilangan / Tahun 1993
bertajuk B .aris Panduan (engenai Tatacara Penggunaan
Internet dan (el =lektronik di &gensi-agensi KerajaanE.
!. Surat Pekeliling &m 8ilangan 7 Tahun 1996 - .aris Panduan
Penilaian )isiko Keselamatan (aklumat Sektor &#am.
g. &kta Tandatangan *igital /<<:
h. &kta "enayah Komputer /<<:
i. &kta 4ak cipta ,Pindaan- Tahun /<<:
j. &kta Komunikasi dan (ultimedia /<<;.
RUJUKAN
F/G H*asar Keselamatan ICT,H (&(P, =d.? "abatan Perdana (enteri, 1997.
F1G H(alaysian Public Sector ICT Security )isk &ssessment (ethodology,H in Surat
Pekeliling Am. vol. 8il 7? "abatan Perdana (enteri, 1996.
F3G H.aris Panduan (engenai Tatacara Penggunaan Internet dan (el =lektronik di
&gensi-agensi Kerajaan,H in Pekeliling Am. vol. 8il /? "abatan Perdana (enteri,
1993.
F5G H*asar Keselamatan ICT H, 8. T. (aklumat, =d.? Kementerian Pertahanan
(alaysia, 1991.
F6G H(ekanisme Pelaporan Insiden Keselamatan Teknologi (aklumat dan
Komunikasi ,ICT-,H in Pekeliling Am. vol. 8il. /? "abatan Perdana (enteri, 199/.
F7G H)angka *asar Keselamatan Teknologi (aklumat dan Komunikasi ,ICT-
Kerajaan,H in Pekeliling Am. vol. 8il 3? "abatan Perdana (enteri, 1999.
F:G Arahan Keselamatan Malaysia. (alaysia.
F;G 8T(K, Dasar Keselamatan ICT KKM? Kementerian Kesihatan (alaysia, 199:.
F<G (&(P, Arahan Teknologi Maklumat ? "abatan Perdana (enteri, 199:.
F/9G (&(P, H.aris Panduan IT 2utsourcing &gensi-&gensi Sektor &#am,H ". P.
(enteri, =d.? (&(P, 1997, p. 1<.
F//G (&(P, H(alaysian Public Sector (anagement o! In!ormation and
Communications Technology Security 4andbook ,(y(IS-,H (&(P, 1991.
F/1G (&(P, H.aris Panduan (engenai Tatacara Penggunaan Internet dan (el
=lektronik di &gensi-agensi KerajaanH in P e k e l i l i n g K e m a j u a n d a n P e n t a d b i r a n
Am. vol. /? "abatan Perdana (enteri, 1993.
F/3G SI)I(, MS ISO/IEC 27001 Information Security Management System Standard.
(alaysia, 1997.
*KICT $egeri 9.9 /5 "uly 199; (ukasurat 42

Dkict 2010

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Dkict 2010

Uploaded by

Copyright:

Available Formats

DASAR KESELAMATAN ICT

You might also like