Dasar Keselamatan ICT MINDEF V 4.0

DASAR
KESELAMATAN ICT
MINDEF
VERSI
4.0
TARIKH KUATKUASA
30 OGOS 2013
MUKA SURAT
1/91
DASAR KESELAMATAN TEKNOLOGI MAKLUMAT

DAN KOMUNIKASI (ICT) KEMENTERIAN PERTAHANAN
PENGENALAN
Kesan penggunaan ICT telah mengubah budaya kerja organisasi.
Sementara berbangga dengan kemajuan yang dicapai, semua warga Kementerian
Pertahanan (MinDef) juga perlu peka terhadap isu keselamatan ICT terutama dari
segi peranan, tanggungjawab dan kawalan penggunaan.
Penekanan ke atas
kesedaran dan tahap keselamatan ICT adalah penting dan perlu diberi perhatian
yang serius disebabkan oleh dua (2) faktor.
Faktor pertama ialah peranan dan tanggungjawab MinDef selaku
kementerian yang diberi amanah dan tanggungjawab terhadap keselamatan dan
pertahanan
negara.
Secara
umumnya,
keselamatan
ICT
merupakan
tanggungjawab bersama warga MinDef untuk memastikan sistem ICT yang

dikendalikan adalah selamat daripada sebarang penyalahgunaan dan ancaman
pencerobohan.
Faktor kedua ialah kewujudan
penggunaan
pelbagai teknologi dan
platform sistem pengoperasian. Keadaan ini membuka ruang kepada ancaman

keselamatan. Adalah penting penyimpanan dan penyebaran maklumat dibatasi
supaya
kawalan dapat dibuat dengan lebih berkesan. Kepentingan Dasar
Keselamatan ICT (DKICT) MinDef digambarkan seperti di Rajah 1.
Rajah 1 : Pelaksanaan Keselamatan ICT MinDef
DASAR
KESELAMATAN ICT
MINDEF
VERSI
4.0
TARIKH KUATKUASA
30 OGOS 2013
MUKA SURAT
2/91
DKICT MinDef mengandungi peraturan-peraturan yang mesti dibaca dan dipatuhi

dalam menggunakan aset Teknologi Maklumat dan Komunikasi (ICT). Dasar ini
juga menerangkan kepada semua pengguna mengenai tanggungjawab dan
peranan mereka dalam melindungi aset ICT MinDef.
OBJEKTIF
DKICT MinDef diwujudkan untuk menjamin kesinambungan bisnes MinDef dengan
meminimumkan kesan insiden keselamatan ICT.
Dasar ini juga bertujuan untuk memudahkan perkongsian maklumat sesuai dengan
keperluan operasi MinDef. Ini hanya boleh dicapai dengan memastikan semua aset
ICT dilindungi.
Objektif utama DKICT MinDef adalah seperti berikut :
(a)
Menghebahkan pendirian pihak pengurusan untuk mendukung

pelaksanaan keselamatan ICT;
(b)
Menyediakan DKICT MinDef yang komprehensif, sesuai dengan

perubahan semasa dan digunapakai oleh semua peringkat
pengurusan dan pengguna;
(c)
Melindungi kepentingan aset dan pihak yang bergantung kepada

sistem ICT daripada kesan kegagalan atau kelemahan dari segi
kerahsiaan, integriti, kebolehsediaan, kesahihan maklumat dan
komunikasi,
pencerobohan
serta
mencegah
aktiviti
penyalahgunaan dan kecurian;

(d)
Memastikan kelancaran operasi bisnes MinDef dengan mencegah

serta meminimumkan kemusnahan dan kerosakan aset ICT; dan
(e)
Memberi kesedaran keselamatan ICT kepada warga MinDef dan

pembekal.
PERNYATAAN DASAR
Keselamatan ditakrifkan sebagai keadaan yang bebas daripada ancaman dan

risiko yang tidak boleh diterima. Kawalan keselamatan adalah proses berterusan
secara berkala yang mesti dilakukan untuk menjamin keselamatan.
DASAR
KESELAMATAN ICT
MINDEF
VERSI
4.0
TARIKH KUATKUASA
30 OGOS 2013
MUKA SURAT
3/91
Keselamatan ICT bermaksud keadaan di mana segala urusan menyedia dan

membekalkan
perkhidmatan
yang
berasaskan
ICT
beroperasi
tanpa
gangguan. Keselamatan ICT berkait rapat dengan perlindungan aset ICT. Terdapat
empat (4) komponen asas keselamatan ICT iaitu :
(a)
Melindungi maklumat rahsia rasmi dan maklumat rasmi kerajaan

dari capaian tidak sah;
(b)
Menjamin setiap maklumat adalah asli dan sempurna;
(c)
Memastikan ketersediaan maklumat apabila diperlukan; dan
(d)
Memastikan akses hanya kepada pengguna yang sah dan

penerimaan maklumat daripada sumber yang sah.
DKICT MinDef merangkumi perlindungan ke atas semua bentuk maklumat

elektronik bertujuan untuk menjamin keselamatan dan ketersediaan maklumat. Ciriciri utama keselamatan maklumat adalah seperti berikut :
(a)
Kerahsiaan - Maklumat tidak boleh didedahkan sewenangwenangnya atau dibiarkan diakses tanpa kebenaran;
(b)
Integriti - Data dan maklumat hendaklah asli dan sempurna. Ia

hanya boleh diubah dengan cara yang dibenarkan;
(c)
Ketersediaan - Data dan maklumat hendaklah boleh diakses pada

bila-bila masa;
(d)
Tidak Boleh Disangkal - Punca data dan maklumat hendaklah

daripada sumber yang sah dan tidak boleh disangkal; dan
(e)
Kesahihan - Data dan maklumat hendaklah dijamin kesahihannya.

SKOP
DKICT MinDef merangkumi skop berikut :

(a)
Aset
ICT
MinDef
terdiri
daripada
perkakasan,
perkhidmatan, data atau maklumat dan manusia;

(b)
Proses dan prosedur keselamatan ICT; dan
(c)
Tadbir urus keselamatan ICT.
perisian,
DASAR
KESELAMATAN ICT
MINDEF
VERSI
4.0
TARIKH KUATKUASA
30 OGOS 2013
MUKA SURAT
4/91
DKICT MinDef merangkumi perlindungan ke atas semua bentuk maklumat kerajaan

yang diwujud, dimasuk, diedar, dijana, disimpan, dicetak, diakses dan dimusnah
melalui pewujudan dan penguatkuasaan sistem kawalan dan prosedur dalam
pengendalian semua aset ICT di lokasi yang terlibat.
Sebarang kebocoran rahsia atau kelemahan perlindungan adalah dianggap
sebagai pelanggaran langkah-langkah keselamatan.
PRINSIP-PRINSIP
Prinsip-prinsip yang menjadi asas kepada DKICT MinDef perlu dipatuhi seperti
berikut :
(a)
Akses atas dasar perlu mengetahui

Akses terhadap penggunaan aset ICT hanya diberikan untuk tujuan
spesifik dan dihadkan kepada pengguna tertentu atas dasar perlu
mengetahui sahaja. Ini bermakna akses hanya akan diberikan
sekiranya peranan atau fungsi pengguna memerlukan maklumat
tersebut. Pertimbangan untuk akses adalah berdasarkan kategori
maklumat seperti yang dinyatakan di dalam dokumen Arahan
Keselamatan perenggan 53, muka surat 15;
(b)
Hak akses minimum

Hak akses pengguna hanya diberi pada tahap paling minimum iaitu
untuk membaca dan / atau melihat sahaja. Kelulusan adalah perlu
untuk
membolehkan
pengguna
mewujud,
menyimpan,
mengemaskini, mengubah, membatal atau menghapus sesuatu

maklumat. Hak akses perlu disemak dari semasa ke semasa
berdasarkan kepada peranan dan tanggungjawab pengguna /
bidang tugas;
(c)
Akauntabiliti
Semua pengguna adalah dipertanggungjawabkan ke atas semua
tindakannya terhadap aset ICT MinDef. Untuk menentukan
tanggungjawab ini dipatuhi, sistem ICT hendaklah mempunyai
VERSI
DASAR
KESELAMATAN ICT
MINDEF
keupayaan
4.0
TARIKH KUATKUASA
30 OGOS 2013
MUKA SURAT
mengesan
dan
5/91
mengesahkan
pengguna
boleh
dipertanggungjawabkan atas tindakan mereka. Akauntabiliti atau

tanggungjawab pengguna merangkumi perkara berikut :
i.
Menghalang pendedahan maklumat kepada pihak yang tidak

dibenarkan;
ii.
Memeriksa
maklumat
dan
menentukan
keaslian
dan
kesempurnaan dari semasa ke semasa;

iii.
Menentukan maklumat sedia untuk digunakan;
iv.
Menjaga kerahsiaan kata laluan;
v.
Mematuhi standard, prosedur, langkah dan garis panduan

keselamatan yang ditetapkan; dan
vi.
Memberi perhatian kepada maklumat berdarjah terutama

semasa
pewujudan,
pemprosesan,
penyimpanan,
penyelenggaraan, penghantaran, penyampaian, pertukaran

dan pemusnahan.
(d)
Pengasingan Fungsi
Pengasingan fungsi perlu diadakan di antara pentadbir dan
pengguna. Pengasingan fungsi juga hendaklah dilakukan di antara
pentadbir sistem dan pentadbir rangkaian. Tugas mewujud,
memadam, mengemaskini, mengubah dan mengesahkan data
perlu diasingkan bagi mengelakkan daripada capaian yang tidak
dibenarkan
serta
melindungi
aset
ICT
daripada
kesilapan,
kebocoran maklumat terperingkat atau dimanipulasi.

(e)
Pengauditan Keselamatan
Pengauditan keselamatan adalah tindakan untuk mengenalpasti
insiden berkaitan keselamatan atau mengenalpasti keadaan yang
mengancam keselamatan. Ia membabitkan pemeliharaan semua
rekod berkaitan tindakan keselamatan. Dengan itu, aset ICT seperti
komputer, server, firewall dan rangkaian hendaklah dapat menjana
dan menyimpan log tindakan keselamatan atau jejak audit.
DASAR
KESELAMATAN ICT
MINDEF
(f)
VERSI
4.0
TARIKH KUATKUASA
30 OGOS 2013
MUKA SURAT
6/91
Pematuhan
DKICT MinDef hendaklah dibaca dan dipatuhi bagi mengelak
sebarang bentuk pelanggaran ke atasnya yang boleh membawa
ancaman kepada keselamatan ICT.
(g)
Pemulihan
Pemulihan sistem ICT perlu untuk memastikan kebolehsediaan dan
kebolehcapaian
maklumat.
Objektif
utama
adalah
untuk
meminimumkan sebarang gangguan atau kerugian akibat daripada

ketidaksediaan.
penduaan
dan
Pemulihan
boleh
mewujudkan
dilakukan
pelan
melalui
pemulihan
aktiviti
bencana
kesinambungan perkhidmatan; dan

(h)
Saling Bergantungan
Setiap prinsip adalah saling lengkap-melengkapi dan bergantung
antara satu sama lain bagi menjamin keselamatan ICT yang
maksimum.
DASAR
KESELAMATAN ICT
MINDEF
VERSI
TARIKH KUATKUASA
MUKA SURAT
4.0
30 OGOS 2013
7/91
BIDANG 1 : PELAKSANAAN DASAR KESELAMATAN ICT

Objektif
Untuk memberi hala tuju dan peraturan-peraturan bagi mengguna dan melindungi
aset ICT selaras dengan keperluan undang-undang.
Bil
1.1
Perkara
Pelaksanaan Dasar Keselamatan ICT
Pelaksanaan dasar ini akan dijalankan oleh Ketua
Tanggungjawab
KSU
Setiausaha (KSU) dengan dibantu oleh Jawatankuasa

Pemandu ICT (JPICT) MinDef yang terdiri daripada Ketua
Pegawai Maklumat (CIO), Pegawai Keselamatan ICT
(ICTSO) dan lain-lain pegawai yang dilantik.
1.2
Penyebaran Dasar
Dasar ini perlu disebarkan kepada semua warga MinDef
ICTSO
dan pembekal yang berurusan dengan MinDef.

1.3
Penyelenggaraan Dasar
DKICT MinDef perlu disemak sekurang-kurangnya dua (2)
ICTSO
tahun sekali atau sekiranya ada keperluan. Prosedur

penyelenggaraan DKICT MinDef adalah seperti berikut :
(a)
Kenal pasti dan tentukan perubahan yang

diperlukan;
(b)
Mengemukakan cadangan perubahan secara

bertulis kepada ICTSO untuk pembentangan
dan persetujuan Ketua-ketua Jabatan dan
Bahagian (KKB) / JPICT MinDef; dan
(c)
Menyebarkan perubahan dasar yang telah

dipersetujui oleh KKB / JPICT MinDef kepada
semua warga MinDef.
1.4
Pemakaian Dan Pengecualian Dasar

DKICT MinDef adalah terpakai kepada semua warga
MinDef, pembekal dan pelawat yang berurusan dengan
MinDef dan tiada pengecualian diberikan.
Warga MinDef,
Pembekal dan
Pelawat
VERSI
DASAR
KESELAMATAN ICT
MINDEF
4.0
TARIKH KUATKUASA
30 OGOS 2013
MUKA SURAT
8/91
BIDANG 2 : ORGANISASI KESELAMATAN ICT

Objektif
Menerangkan peranan dan tanggungjawab semua pihak yang terlibat dengan lebih
jelas dan teratur dalam mencapai objektif DKICT MinDef.
Bil
2.1
Perkara
Tanggungjawab
Peranan dan tanggungjawab Ketua Setiausaha (KSU)
KSU
Ketua Setiausaha
adalah seperti berikut :

(a)
Memastikan
pelaksanaan
organisasi
keselamatan ICT MinDef berfungsi dengan

berkesan;
(b)
Memastikan semua pengguna mematuhi DKICT

MinDef;
(c)
Memastikan semua keperluan keselamatan ICT

(sumber
kewangan,
kakitangan
dan
perlindungan keselamatan) adalah mencukupi;

dan
(d)
Memastikan
penilaian
risiko
dan
program
keselamatan ICT dilaksanakan seperti yang

ditetapkan di dalam DKICT MinDef.
2.2
Ketua Pegawai Maklumat

Ketua Pegawai Maklumat (CIO) MinDef ialah Timbalan
Ketua
Setiausaha
(Pengurusan).
Peranan
dan
tanggungjawab CIO adalah seperti berikut :

(a)
Membantu KSU dalam melaksanakan tugastugas yang melibatkan keselamatan ICT;
(b)
Menentukan keperluan keselamatan ICT;
(c)
Menyelaras pembangunan dan pelaksanaan

pelan
tindakan
dan
program
kesedaran
mengenai keselamatan ICT;

(d)
Bertanggungjawab
ke
atas
perkara-perkara
CIO
VERSI
DASAR
KESELAMATAN ICT
MINDEF
4.0
TARIKH KUATKUASA
30 OGOS 2013
MUKA SURAT
9/91
yang berkaitan dengan keselamatan ICT; dan

(e)
2.3
Mempengerusikan Mesyuarat JPICT MinDef.
Pegawai Keselamatan ICT

Pegawai Keselamatan ICT (ICTSO) bagi MinDef adalah
Setiausaha
Bahagian (SUB),
Bahagian
Pengurusan
Maklumat (BPM). Peranan dan tanggungjawab ICTSO

(a)
Menguatkuasa
dan
memantau
pematuhan
DKICT MinDef;
(b)
Mengurus
keseluruhan
program-program
keselamatan ICT MinDef;

(c)
Memberi
penerangan
berkenaan
DKICT
dan
MinDef
pendedahan
kepada
semua
pengguna;
(d)
Mewujudkan garis panduan, prosedur dan

tatacara selaras dengan keperluan DKICT
MinDef;
(e)
Menjalankan tugas pengurusan risiko;
(f)
Menjalankan
tindakbalas
audit,
mengkaji,
pengurusan
penemuan
dan
merumus
berdasarkan
menyediakan
hasil
laporan
mengenainya;
(g)
Memberi
amaran
berlakunya
terhadap
ancaman
kemungkinan
berbahaya
seperti
malware dan memberikan khidmat nasihat serta

menyediakan
langkah-langkah
perlindungan
yang bersesuaian;
(h)
Melaporkan insiden keselamatan ICT kepada

Pasukan Tindakbalas Insiden Keselamatan ICT
Kerajaan (GCERT), Unit Pemodenan Tadbiran
Dan
Perancangan
Pengurusan
Malaysia
ICTSO
VERSI
DASAR
KESELAMATAN ICT
MINDEF
4.0
TARIKH KUATKUASA
30 OGOS 2013
MUKA SURAT
10/91
(MAMPU) dan memaklumkannya kepada CIO;

(i)
Bekerjasama
dengan
semua
pihak
yang
berkaitan dalam mengenalpasti punca ancaman

atau
insiden
memperakukan
keselamatan
ICT
dan
langkah-langkah
baik
pulih
dengan segera; dan

(j)
Menyedia
dan
melaksanakan
program
kesedaran mengenai keselamatan ICT.

2.4
Pengurus ICT
Pengurus ICT bagi MinDef ialah pegawai ICT yang
dilantik
di
Jabatan
Bahagian.
Peranan
Pengurus ICT
dan
tanggungjawab Pengurus ICT adalah seperti berikut :

(a)
Mengkaji semula dan melaksanakan kawalan

keselamatan ICT selaras dengan keperluan
MinDef;
(b)
Menentukan kawalan akses semua pengguna

terhadap aset ICT MinDef di bawah kawalan;
(c)
Melaporkan sebarang insiden atau penemuan /

ancaman
keselamatan
ICT
kepada
MinDefCERT; dan
(d)
Memastikan penyimpanan rekod, bahan bukti

dan
laporan
terkini
mengenai
ancaman
keselamatan ICT MinDef.

2.5
Pentadbir Sistem ICT (Aplikasi, Rangkaian Dan Keselamatan)

Peranan dan tanggungjawab Pentadbir Sistem ICT
(a)
Memastikan kerahsiaan kata laluan aset ICT;
(b)
Mengambil
prosedur
tindakan
yang
mengikut
ditetapkan
proses
dengan
dan
segera
apabila dimaklumkan mengenai pengguna yang

berhenti, bersara, bertukar, bercuti panjang atau
Pentadbir
Sistem
VERSI
DASAR
KESELAMATAN ICT
MINDEF
4.0
TARIKH KUATKUASA
30 OGOS 2013
MUKA SURAT
11/91
berlaku perubahan dalam bidang tugas;

(c)
Mengambil
prosedur
tindakan
yang
mengikut
ditetapkan
proses
dengan
dan
segera
apabila dimaklumkan mengenai pembekal yang

berhenti atau tamat projek;
(d)
Memastikan
ketepatan
dan
kesempurnaan
capaian seperti yang telah ditetapkan;

(e)
Menentukan maklumat sedia untuk digunakan;
(f)
Memantau aktiviti capaian harian pengguna;
(g)
Mengenal pasti aktiviti-aktiviti tidak normal

seperti pencerobohan dan pengubahsuaian
data tanpa kebenaran dengan membatalkan
atau memberhentikan dengan
serta
merta
capaian terhadap sistem dan memaklumkan

kepada
Pengurus
ICT
untuk
tindakan
selanjutnya;
(h)
Menganalisis dan menyimpan rekod jejak audit;
(i)
Menyediakan laporan mengenai aktiviti capaian

kepada pemilik maklumat berkenaan secara
berkala; dan
(j)
Bertanggungjawab
perkakasan
ICT
memantau
yang
diagihkan
setiap
kepada
pengguna seperti komputer peribadi, komputer

riba, pencetak, pengimbas dan sebagainya di
dalam keadaan yang baik.
2.6
Pengguna Akhir (Enduser)

Peranan dan tanggungjawab pengguna adalah seperti
berikut :
(a)
Mematuhi DKICT MinDef;
(b)
Mengetahui
dan
memahami
implikasi
keselamatan ICT akibat dari tindakannya;
Pengguna Akhir
DASAR
KESELAMATAN ICT
MINDEF
(c)
VERSI
4.0
TARIKH KUATKUASA
30 OGOS 2013
MUKA SURAT
12/91
Menjalani proses tapisan keselamatan seperti

yang diarahkan;
(d)
Mematuhi prinsip-prinsip DKICT MinDef dan

menjaga kerahsiaan maklumat MinDef;
(e)
Melaksanakan langkah-langkah perlindungan

berikut :
i.
Tidak
mendedahkan
maklumat
kepada pihak yang tidak dibenarkan;

ii.
Memeriksa
maklumat
dan
menentukan ia asli, tepat dan lengkap;

iii.
iv.
Mematuhi standard, prosedur, langkah

dan garis panduan keselamatan yang
ditetapkan; dan
v.
Mengendalikan maklumat terperingkat

mengikut proses dan prosedur yang
ditetapkan.
(f)
Melaporkan sebarang aktiviti yang mengancam

keselamatan ICT kepada MinDefCERT dengan
segera;
(g)
Menghadiri
program
kesedaran
mengenai
keselamatan ICT; dan

(h)
Menandatangani
Surat
Akuan
Pematuhan
DKICT MinDef (KEMBARAN A).

2.7
Pembekal
Perkara yang perlu dipatuhi dalam berurusan dengan
pembekal adalah seperti berikut :
(a)
Mengenal pasti risiko keselamatan aset ICT

serta
melaksanakan kawalan
yang
sesuai
sebelum memberi kebenaran capaian; dan
CIO, ICTSO,
Pengurus ICT,
Pentadbir
Sistem dan
Pembekal
DASAR
KESELAMATAN ICT
MINDEF
(b)
Capaian
kepada
dinyatakan
VERSI
4.0
TARIKH KUATKUASA
30 OGOS 2013
MUKA SURAT
aset
secara
ICT
jelas
13/91
MinDef
dalam
perlu
perjanjian
kontrak.
Perkara-perkara berikut hendaklah dimasukkan di dalam
perjanjian yang dimeterai :
2.8
(a)
DKICT MinDef;
(b)
Tapisan Keselamatan;
(c)
Perakuan Akta Rahsia Rasmi (Pindaan) 1986;
(d)
Hak Harta Intelek.
Jawatankuasa Pemandu ICT MinDef (JPICT)

Jawatankuasa Pemandu ICT MinDef (JPICT) adalah
jawatankuasa
yang
bertanggungjawab
ke
atas
keselamatan ICT dan berperanan sebagai penasihat

dalam merumuskan rancangan dan strategi keselamatan
ICT MinDef.
Keanggotaan JPICT adalah seperti berikut :
Pengerusi
: Timbalan Ketua Setiausaha

(Pengurusan) (CIO)
Ahli
:
(1)
SUB BPM (ICTSO)
(2)
Ketua
Pengarah
Sains
Dan
Institut
Teknologi
Penyelidikan
Pertahanan
(STRIDE)
(3)
Ketua Pengarah Jabatan Latihan Khidmat

Negara (JLKN)
(4)
Ketua Pengarah Jabatan Hal Ehwal

Veteran (JHEV)
(5)
SUB Bahagian Audit Dalam dan Siasatan

Am (BADSA)
(6)
SUB Bahagian Perolehan
JPICT MinDef
VERSI
DASAR
KESELAMATAN ICT
MINDEF
4.0
TARIKH KUATKUASA
30 OGOS 2013
MUKA SURAT
(7)
SUB Bahagian Kewangan
(8)
SUB Bahagian Pembangunan
(9)
SUB
Bahagian
14/91
Pengurusan
Sumber
Manusia (BPSM)
(10)
Ketua Staf Markas Angkatan Bersama

(MAB)
(11)
Asisten Ketua Staf Bahagian Komunikasi

Dan Elektronik Pertahanan (KOMLEK),
Markas
Angkatan
Tentera
Malaysia
(MATM)
(12)
Asisten
Ketua
Perkhidmatan
(13)
Staf
Bahagian
Anggota, MATM
Asisten Ketua Staf Operasi dan Eksesais,

Markas Tentera Laut (MTL)
(14)
Ketua
Pegawai
Semboyan,
Markas
Tentera Darat (MTD)

(15)
Pengarah Bahagian Teknologi Maklumat

Dan
Komunikasi
(BTMK),
Markas
Tentera Udara (MTU)

(16)
Ketua Cawangan Peperangan Elektronik

Bahagian
Staf
Perisikan
Pertahanan
(BSPP), MATM
(17)
Pengarah Cawangan Pertahanan Siber

(CPS), BSPP
(18)
Pengarah
Pusat
Teknologi
Maklumat
(PUSTEKMA), MTD
(19)
Pengarah Teknologi Maklumat, Markas

Tentera Laut
(20)
Timbalan SUB Cawangan Operasi, BPM
(21)
Timbalan SUB Cawangan Aplikasi, BPM
(22)
Ketua Penolong Setiausaha Cawangan
VERSI
DASAR
KESELAMATAN ICT
MINDEF
4.0
TARIKH KUATKUASA
30 OGOS 2013
MUKA SURAT
15/91
Perancangan Dan Pentadbiran, BPM

(23)
Ketua Cawangan Pengurusan Maklumat,

STRIDE
(24)
Pengarah BPM, JLKN
(25)
Pengarah BPM, JHEV
(26)
Pegawai Staf 1 MAB
(27)
Pegawai Staf KOMLEK, MATM
(28)
Pengurus ICT Bahagian Perkhidmatan

Anggota, MATM
(29)
Pegawai Staf Semboyan Tentera Darat
(30)
Pegawai Staf BTMK, MTU
(31)
Pegawai
Staf
Peperangan
Elektronik
BSPP, MATM
Urus Setia bagi JPICT MinDef ialah BPM.
Bidang kuasa :
(a)
Memperaku, melulus dan menguatkuasa

dasar,
halatuju,
garis
panduan
dan
standard keselamatan ICT;

(b)
Memantau
tahap
pematuhan
keselamatan ICT;
(c)
Memastikan
dengan
DKICT
dasar-dasar
MinDef
selaras
ICT
semasa
kerajaan;
(d)
Menerima dan membincangkan laporan

mengenai insiden-insiden keselamatan
ICT semasa;
(e)
Membincang tindakan yang melibatkan

pelanggaran DKICT MinDef;
(f)
Meneliti dan meluluskan semua program
DASAR
KESELAMATAN ICT
MINDEF
dan
aktiviti
VERSI
4.0
TARIKH KUATKUASA
30 OGOS 2013
MUKA SURAT
yang
16/91
berkaitan
dengan
keselamatan ICT;
(g)
Memastikan
ICT
MinDef
pengauditan
keselamatan
dilaksanakan
sekurang-
kurangnya sekali setahun; dan

(h)
Memastikan peruntukan kewangan yang

mencukupi disediakan untuk pelaksanaan
program dan aktiviti keselamatan.
2.9
Jawatankuasa Teknikal ICT MinDef (JTICT)

Pengerusi
: SUB BPM (ICTSO)
Ahli
:
(1)
JTICT MinDef
Timbalan Setiausaha Bahagian (TSUB)

Cawangan Operasi, BPM
(2)
TSUB Cawangan Aplikasi, BPM
(3)
Ketua
Penolong
Cawangan
Setiausaha
(KPSU)
Perancangan
Dan
Pentadbiran, BPM
(4)
KPSU Unit Aplikasi, BPM
(5)
KPSU Unit Rangkaian dan Keselamatan,

BPM
(6)
KPSU Unit Teknikal, BPM
(7)
KPSU Unit Pembangunan, BPM
(8)

STRIDE
(9)
Pengarah BPM, JLKN
(10)
Pengarah BPM, JHEV
(11)
Pegawai Staf 1 KOMLEK, MATM
(12)
Pengarah PUSTEKMA, Markas TD
(13)
Pegawai Staf 1 Teknologi Maklumat
(14)
Pengarah BTMK, MTU
DASAR
KESELAMATAN ICT
MINDEF
VERSI
4.0
TARIKH KUATKUASA
30 OGOS 2013
MUKA SURAT
(15)
Pegawai Staf 1 MAB
(16)
Pegawai Staf 1 CPS, BSPP
(17)
Pegawai Staf BSPP, MATM
17/91
Urus Setia bagi JTICT MinDef ialah BPM.

Bidang kuasa :
(a)
Menilai aspek-aspek teknikal berhubung

inisiatif dan projek keselamatan ICT;
(b)
Memberi nasihat teknikal kepada JPICT

MinDef;
(c)
Menyediakan
pembangunan
pelan
tindakan
dan
untuk
peningkatan
keselamatan sistem ICT;

(d)
Menilai pilihan teknologi dan cadangan

penyelesaian
terhadap
keperluan
keselamatan sistem ICT; dan

(e)
Mengkaji semula DKICT dari semasa ke

semasa untuk dibentangkan kepada JPICT
MinDef.
2.10
Organisasi Ministry of Defense Computer Emergency Response Team

(MinDefCERT)
MinDefCERT
Keanggotaan MinDefCERT adalah seperti berikut :

Pengarah MinDefCERT : Timbalan Ketua Setiausaha
(Pengurusan) (CIO)
Pengurus MinDefCERT : SUB BPM (ICTSO)
Ahli
:
(1)
TSUB Cawangan Operasi, BPM
(2)
TSUB Cawangan Aplikasi, BPM
(3)
KPSU
Cawangan
Perancangan
Dan
DASAR
KESELAMATAN ICT
MINDEF
VERSI
4.0
TARIKH KUATKUASA
30 OGOS 2013
MUKA SURAT
18/91
Pentadbiran, BPM
(4)
KPSU Unit Aplikasi, BPM
(5)
KPSU Unit Rangkaian dan Keselamatan,

BPM
(6)
KPSU Unit Teknikal, BPM
(7)
KPSU Unit Pembangunan, BPM
(8)

STRIDE
(9)
Pengarah BPM, JLKN
(10)
Pengarah BPM, JHEV
(11)
Pegawai Teknologi Maklumat BPM
(12)
Pegawai Teknologi Maklumat JLKN
(13)
Pegawai Teknologi Maklumat JHEV
(14)
Pegawai Teknologi Maklumat STRIDE
Urus Setia bagi MinDefCERT ialah BPM.

Bidang kuasa :
Tugas
dan
tanggungjawab
MinDefCERT
meliputi
pengurusan pengendalian insiden keselamatan ICT

seperti berikut :
(a)
Menerima
dan
mengesan
aduan
keselamatan ICT dan menilai tahap dan

jenis insiden;
(b)
Merekod dan menjalankan siasatan awal

insiden yang diterima;
(c)
Menangani tindak balas (response) insiden

keselamatan ICT dan mengambil tindakan
baikpulih minima;
(d)
Menghubungi dan melapor insiden yang
VERSI
DASAR
KESELAMATAN ICT
MINDEF
4.0
TARIKH KUATKUASA
30 OGOS 2013
MUKA SURAT
19/91
berlaku kepada GCERT MAMPU;

(e)
Menasihat Jabatan / Bahagian supaya

mengambil
tindakan
pemulihan
dan
pengukuhan;
(f)
Memaklumkan sebarang ancaman dan

insiden keselamatan ICT kepada Jabatan /
Bahagian; dan
(g)
Menjalankan penilaian untuk memastikan

tahap keselamatan ICT dan mengambil
tindakan pemulihan atau pengukuhan bagi
meningkatkan
tahap
keselamatan
infrastruktur ICT supaya insiden baru dapat

dielakkan.
GCERT MAMPU
MinDefCERT
(Kementerian)
Bahagian-bahagian Awam
(Pengurus ICT)
JLKN
STRIDE
JHEV
MATM, TLDM, TUDM, TD,
MAB
Rajah 2 : Carta Pelaporan Insiden Keselamatan ICT MinDef
DASAR
KESELAMATAN ICT
MINDEF
VERSI
4.0
TARIKH KUATKUASA
30 OGOS 2013
MUKA SURAT
20/91
BIDANG 3 : PENGURUSAN ASET

Objektif
Menetap dan melaksanakan tindakan bersesuaian bagi melindungi semua aset ICT
MinDef.
Bil
3.1
3.1.1
Perkara
Tanggungjawab Ke Atas Aset ICT
Tanggungjawab
Memastikan
3
semua aset ICT kerajaan diberi kawalan
dan
.
perlindungan
yang
sewajarnya
oleh
pemilik
berdaftar
1
dan pengurus aset.
3.1.2
Tanggungjawab yang perlu dipatuhi adalah termasuk

perkara-perkara berikut :
(a)
Memastikan semua aset ICT dikenal pasti dan
Pentadbir
Sistem dan
Pengguna
Pentadbir
Sistem dan
Pengguna
maklumat aset direkod dan dikemaskini dalam

Borang Daftar Harta Modal;
(b)
Memastikan
semua
aset
ICT
mempunyai
pemilik dan dikendalikan oleh pengguna yang

dibenarkan sahaja;
(c)
Setiap pengguna adalah bertanggungjawab ke

atas semua aset ICT di bawah kawalannya; dan
(d)
Peraturan bagi pengendalian aset hendaklah

dikenal pasti, didokumen dan dilaksanakan.
3.2
3.2.1
Pengelasan Maklumat
Memastikan setiap maklumat diberi perlindungan yang
Pengguna
bersesuaian berdasarkan tahap kerahsiaan.

3.2.2
Maklumat hendaklah dikelas berasaskan nilai, keperluan

perundangan, tahap sensitiviti dan tahap kritikal kepada
kerajaan. Setiap maklumat yang dikelaskan mestilah
mempunyai peringkat keselamatan sebagaimana yang
ditetapkan di dalam dokumen Arahan Keselamatan
seperti berikut :
Pengguna
DASAR
KESELAMATAN ICT
MINDEF
3.3
3.3.1
VERSI
4.0
TARIKH KUATKUASA
30 OGOS 2013
MUKA SURAT
i.
Rahsia Besar;
ii.
Rahsia;
iii.
Sulit; dan
iv.
Terhad
21/91
Pelabelan Dan Pengendalian Maklumat

Pelabelan
dan
pengendalian
maklumat
seperti
Pengguna
pewujudan, pengumpulan, pemprosesan, penyimpanan,

penghantaran,
penyampaian,
penukaran
dan
pemusnahan hendaklah mengikut standard, prosedur,

langkah
dan
garis
panduan
keselamatan
yang
ditetapkan. Prosedur pengurusan maklumat adalah

mengikut jenis-jenis pemprosesan berikut :
(a)
Penyalinan (copying);
(b)
Storan;
(c)
Penghantaran melalui pos, faks dan e-mel;
(d)
Penghantaran melalui percakapan termasuk

melalui telefon bimbit, mel suara dan mesin
menjawab telefon;
3.3.2
(e)
Penghapusan; dan
(f)
Multimedia.
Langkah-langkah
keselamatan
yang
perlu
diambil

(a)
Tidak mendedahkan maklumat kepada pihak

yang tidak dibenarkan;
(b)
Memeriksa,
menyemak
maklumat
dan
menentukan ia tepat dan lengkap dari semasa

ke semasa;
(c)
Memastikan maklumat sedia untuk digunakan;
(d)
(e)
Mematuhi standard, prosedur, langkah dan garis
Pengguna
DASAR
KESELAMATAN ICT
MINDEF
VERSI
4.0
TARIKH KUATKUASA
30 OGOS 2013
MUKA SURAT
22/91
panduan keselamatan yang dikeluarkan dari

semasa ke semasa;
(f)
Memberi
perhatian
kepada
pengendalian
maklumat rasmi terperingkat terutama semasa

pewujudan,
pengumpulan,
penyimpanan,
pemprosesan,
penghantaran,
penyampaian,
penukaran dan pemusnahan; dan

(g)
Menjaga
kerahsiaan
pengurusan
pengendalian
langkah-langkah
maklumat
rasmi
keselamatan ICT dari diketahui umum.
JENIS-JENIS
RAHSIA
PEMPROSESAN
BESAR
RAHSIA
SULIT
TERHAD
TERBUKA
AK
AK
AK
BIASA
BIASA
ii. Storan
AK
AK
AK
BIASA
BIASA
iii. TX-Persuratan
AK
AK
AK
BIASA
BIASA
iv. TX-Percakapan
AK
AK
AK
BIASA
BIASA
v. Pemusnahan
AK
AK
AK
BIASA
BIASA
vi. Multimedia
AK
AK
AK
BIASA
BIASA
i.
Penyalinan
Rajah 3 : Skim Penandaan Maklumat

Nota :a)
b)
c)
AK Arahan Khas
BIASA - Terbuka iaitu boleh dilakukan
TX Transmisi
VERSI
DASAR
KESELAMATAN ICT
MINDEF
4.0
TARIKH KUATKUASA
30 OGOS 2013
MUKA SURAT
23/91
BIDANG 4 : KESELAMATAN SUMBER MANUSIA

Objektif
Memastikan semua sumber manusia yang menjadi pengguna aset ICT memahami
tanggungjawab dan peranan, meningkatkan pengetahuan dalam keselamatan aset
ICT serta mematuhi terma dan syarat perkhidmatan termasuk peraturan semasa
yang berkuatkuasa.
Bil
4.1
Perkara
Sebelum Perkhidmatan
Tanggungjawab
Perkara-perkara yang mesti dipatuhi adalah seperti

berikut :
(a)
Menyatakan dengan lengkap dan jelas peranan

dan tanggungjawab pengguna serta pembekal
yang terlibat dalam menjamin keselamatan aset
ICT
sebelum,
semasa
dan
selepas
perkhidmatan;
(b)
Menjalankan
pengguna
tapisan
serta
keselamatan
pembekal
yang
untuk
terlibat
berasaskan keperluan perundangan, peraturan

dan
etika
terpakai
yang
selaras
dengan
keperluan perkhidmatan, peringkat maklumat

yang
akan
dicapai
serta
risiko
yang
dijangkakan;
(c)
Mematuhi
semua
terma
dan
syarat
perkhidmatan yang ditawarkan dan peraturan

semasa
yang
berkuatkuasa
berdasarkan
perjanjian yang telah ditetapkan; dan

(d)
Ketua Jabatan / Bahagian perlu memastikan

setiap
kakitangan
menandatangani
di
bawah
seliaannya
Surat
Akuan
Pematuhan
DKICT MinDef (KEMBARAN A).
Ketua Jabatan
dan Pengguna
DASAR
KESELAMATAN ICT
MINDEF
4.2
VERSI
4.0
TARIKH KUATKUASA
30 OGOS 2013
MUKA SURAT
24/91
Dalam Perkhidmatan
Ketua Jabatan
berikut :
(a)
Memastikan pengguna serta pembekal yang

berkepentingan mengurus keselamatan aset
ICT berdasarkan perundangan dan peraturan
yang ditetapkan oleh MinDef;
(b)
Memastikan
latihan
kesedaran
dan
yang
berkaitan mengenai pengurusan keselamatan

aset ICT diberi kepada pengguna secara
berterusan dalam melaksanakan tugas-tugas
dan tanggungjawab mereka dan sekiranya perlu
diberi kepada pembekal yang berkepentingan
dari semasa ke semasa;
(c)
Memastikan adanya proses tindakan disiplin

dan / atau undang-undang ke atas pengguna
serta pembekal yang berkepentingan sekiranya
berlaku perlanggaran dengan perundangan dan
peraturan ditetapkan oleh MinDef; dan
(d)
Memantapkan pengetahuan berkaitan dengan

penggunaan aset ICT bagi memastikan setiap
kemudahan ICT digunakan dengan cara dan
kaedah yang betul demi menjamin kepentingan
keselamatan ICT.
4.3
Bertukar Atau Tamat Perkhidmatan

berikut :
(a)
Memastikan semua aset ICT dikembalikan

kepada MinDef mengikut peraturan dan / atau
terma perkhidmatan yang ditetapkan; dan
(b)
Membatalkan
atau
menarik
balik
semua
Ketua Jabatan,
Pentadbir
Sistem dan
Pengguna
DASAR
KESELAMATAN ICT
MINDEF
VERSI
4.0
TARIKH KUATKUASA
MUKA SURAT
25/91
kebenaran capaian ke atas maklumat dan

kemudahan
proses
maklumat
mengikut
peraturan yang ditetapkan oleh MinDef dan /

atau terma perkhidmatan.
30 OGOS 2013
DASAR
KESELAMATAN ICT
MINDEF
VERSI
4.0
TARIKH KUATKUASA
30 OGOS 2013
MUKA SURAT
26/91
BIDANG 5 : KESELAMATAN FIZIKAL DAN PERSEKITARAN

Objektif
Melindungi premis yang menempatkan aset ICT daripada sebarang bentuk
pencerobohan, ancaman, kerosakan serta akses yang tidak dibenarkan.
Bil.
5.1
Kawalan Kawasan
Perkara
5.1.1
Kawalan kawasan adalah bertujuan untuk mengesan,

mencegah
dan
Tanggungjawab
menghalang
cubaan
untuk
menceroboh ke kawasan yang menempatkan aset ICT

MinDef.
5.1.2
Perkara yang perlu dipatuhi adalah seperti berikut :

(a)
Mengenalpasti kawasan keselamatan fizikal

dengan
jelas.
Lokasi
serta
keteguhan
kawasan ini hendaklah bergantung kepada

keperluan
untuk
melindungi
aset
dalam
kawasan ini dan hasil penilaian risiko;

(b)
Menggunakan
keselamatan
perimeter
(halangan seperti dinding, pagar kawalan,

pengawal
keselamatan)
untuk
melindungi
kawasan yang mengandungi maklumat dan

kemudahan pemprosesan maklumat;
(c)
Memasang
alat
penggera
atau
kamera
(CCTV);
(d)
Mempamerkan
papan
tanda
kawasan
larangan;
(e)
Menghadkan jalan keluar dan masuk;
(f)
Mengadakan kaunter kawalan;
(g)
Mewujudkan sistem pas keselamatan;
(h)
Mewujudkan
keselamatan; dan
perkhidmatan
kawalan
CIO, ICTSO dan

Pentadbir Pusat
Data
DASAR
KESELAMATAN ICT
MINDEF
(i)
VERSI
4.0
TARIKH KUATKUASA
30 OGOS 2013
MUKA SURAT
27/91
Memastikan kawasan-kawasan penghantaran

dan pemunggahan dan juga tempat-tempat
lain dikawal dari pihak yang tidak diberi
kebenaran memasukinya.
5.2
Kawalan Masuk Dan Keluar Fizikal
5.2.1
Kawalan masuk dan keluar fizikal adalah ditakrifkan

sebagai kawalan ke atas warga MinDef dan pelawat
yang masuk dan keluar premis.
5.2.2
Perkara-perkara yang perlu dipatuhi adalah seperti

berikut :
(a)
Setiap warga MinDef hendaklah memakai

atau
mengenakan
pas
keselamatan
sepanjang waktu bertugas;

(b)
Semua
pas
diserahkan
keselamatan
balik
kepada
hendaklah
MinDef
apabila
pegawai / kakitangan berhenti atau bersara;

(c)
Setiap pelawat hendaklah mendapatkan Pas

Keselamatan Pelawat di pintu kawalan utama
MinDef;
(d)
Pas
ini
hendaklah
dikembalikan
semula
selepas tamat lawatan; dan

(e)
Kehilangan pas mestilah dilaporkan dengan

segera
mengikut
tatacara
yang
sedang
berkuatkuasa di MinDef.
5.3
Kawalan Kawasan Terhad
5.3.1
Kawasan terhad ditakrifkan sebagai kawasan yang

dihadkan kemasukan kepada warga MinDef yang
tertentu sahaja. Ini dilaksanakan untuk melindungi aset
ICT yang terdapat di dalam kawasan tersebut.
Kawasan terhad MinDef adalah merujuk kepada Pusat
Warga MinDef
dan Pelawat
DASAR
KESELAMATAN ICT
MINDEF
VERSI
4.0
TARIKH KUATKUASA
30 OGOS 2013
MUKA SURAT
28/91
Data dan Bilik Kawalan Keselamatan.

5.3.2

berikut :
(a)
Pentadbir Pusat
Data
Menggunakan kawasan perimeter (halangan

seperti dinding, pagar kawalan, pengawal
keselamatan) untuk melindungi kawasan yang
mengandungi aset ICT;
(b)
Melindungi kawasan terhad melalui kawalan

pintu
masuk
memastikan
yang
warga
bersesuaian
MinDef
yang
bagi
diberi
kebenaran sahaja boleh masuk melalui pintu

ini;
(c)
Merekabentuk
dan
melaksanakan
keselamatan fizikal di dalam pejabat, bilik dan

Pusat Data;
(d)
Merekabentuk
dan
melaksanakan
perlindungan fizikal dari kebakaran, banjir,

letupan, kacau-bilau manusia dan sebarang
bencana disebabkan oleh kuasa Tuhan atau
perbuatan manusia; dan
(e)
Melaksanakan
perlindungan
fizikal
dan
menyediakan garis panduan untuk warga

MinDef yang bekerja di dalam kawasan
terhad.
5.4
Keselamatan Peralatan ICT
5.4.1
Peralatan ICT hendaklah dijaga dan dikawal dengan

baik
bagi mengelakkan dari sebarang kehilangan,
kerosakan, kecurian atau kompromi ke atas aset ICT
Pegawai Aset,
Pentadbir
Sistem dan
Pengguna
dan gangguan ke atas sistem penyampaian agensi.

5.4.2
Pegawai Aset,
DASAR
KESELAMATAN ICT
MINDEF
VERSI
4.0
TARIKH KUATKUASA
30 OGOS 2013
MUKA SURAT
29/91
berikut :
(a)
Pengguna
hendaklah
menyemak
dan
memastikan semua peralatan ICT di bawah

kawalannya berfungsi dengan baik;
(b)
Pengguna bertanggungjawab sepenuhnya ke

atas peralatan ICT masing-masing dan tidak
dibenarkan membuat sebarang pertukaran
perkakasan
dan
konfigurasi
yang
telah
ditetapkan;
(c)
Pengguna dilarang sama sekali menambah,

menanggal
atau
mengganti
sebarang
peralatan ICT yang telah ditetapkan atau

memindah kedudukan peralatan ICT yang
dipasang;
(d)
Semua peralatan ICT hendaklah ditempatkan

dengan teratur di tempat yang dilengkapi
dengan ciri-ciri keselamatan;
(e)
Pengguna
adalah
bertanggungjawab
atas
kerosakan dan kehilangan peralatan ICT di

bawah kawalan;
(f)
Pengguna mesti memastikan peralatan ICT

dilengkapi
dengan
perisian antivirus
dan
dikemaskini serta melakukan imbasan ke atas

media storan yang digunakan;
(g)
Penggunaan kata laluan untuk akses ke

sistem komputer adalah diwajibkan;
(h)
Semua peralatan sokongan ICT hendaklah

dilindungi
daripada
kecurian,
kerosakan,
penyalahgunaan atau pengubahsuaian tanpa

kebenaran;
(i)
Sebarang kerosakan peralatan ICT hendaklah
Pentadbir
Sistem dan
Pengguna
DASAR
KESELAMATAN ICT
MINDEF
VERSI
4.0
TARIKH KUATKUASA
30 OGOS 2013
MUKA SURAT
30/91
dilaporkan kepada Pentadbir Sistem ICT untuk

dibaik pulih;
(j)
Peralatan
ICT
yang
dilaporkan
kepada
hilang
ICTSO
hendaklah
seperti
yang
ditetapkan mengikut proses dan prosedur

yang berkuatkuasa;
(k)
Sebarang bentuk penyelewengan atau salah

guna peralatan ICT hendaklah dilaporkan
kepada ICTSO;
(l)
Peralatan ICT yang hendak dibawa keluar dari

premis MinDef, perlulah mendapat kelulusan
dan direkodkan
bagi
tujuan pemantauan
seperti yang ditetapkan mengikut proses dan

prosedur yang berkuatkuasa;
(m)
Peralatan ICT kritikal seperti server, peralatan

keselamatan dan rangkaian perlu disokong
oleh Uninterruptible Power Supply (UPS);
(n)
Semua peralatan ICT yang digunakan secara

berterusan mestilah diletakkan di kawasan
yang
berhawa
dingin
dan
mempunyai
pengudaraan (air ventilation) yang sesuai;

(o)
Konfigurasi alamat IP tidak dibenarkan diubah

daripada alamat IP yang asal;
(p)
Penggunaan peralatan ICT hendaklah bagi

urusan rasmi sahaja;
(q)
Pengguna
peralatan
hendaklah
ICT
memastikan
dimatikan
suisnya
semua
apabila
meninggalkan pejabat;
(r)
Memastikan plug dicabut daripada suis utama

(main switch) bagi mengelakkan kerosakan
peralatan ICT sebelum meninggalkan pejabat
VERSI
DASAR
KESELAMATAN ICT
MINDEF
4.0
TARIKH KUATKUASA
30 OGOS 2013
MUKA SURAT
31/91
jika berlaku kejadian seperti petir, kilat dan

sebagainya; dan
(s)
Pengendalian
peralatan
ICT
hendaklah
mematuhi dan merujuk kepada peraturan

semasa yang berkuatkuasa.
5.4.3
5.4.3.1
Media Storan
Media storan merupakan peralatan elektronik yang
digunakan untuk menyimpan data dan maklumat
seperti disket, kad multimedia, pemain MP3, CD, DVD,
pita magnetik, cakera keras, CD-ROM, optical disk,
removable disk (external hard disk / thumb drive / pen
drive) dan lain-lain.
5.4.3.2
Keselamatan media storan yang menyimpan maklumat
Ketua Jabatan
rasmi dan rahsia rasmi Kerajaan perlu diberi perhatian

khusus.
Langkah-langkah
pencegahan
hendaklah
diambil untuk memastikan kerahsiaan, integriti dan

ketersediaan maklumat yang disimpan dalam media
storan adalah terjamin dan selamat.
5.4.3.3
Pengguna dilarang menyimpan maklumat terperingkat

(RAHSIA BESAR, RAHSIA, SULIT, TERHAD) di
Pentadbir
Sistem dan
Pengguna
dalam removable disk kecuali dibenarkan oleh Ketua

Jabatan.
5.4.3.4

(a)
Media storan hendaklah disimpan di ruang

penyimpanan
yang
mempunyai
ciri-ciri
keselamatan bersesuaian dengan kandungan

maklumat;
(b)
Akses
untuk
memasuki
kawasan
penyimpanan media storan hendaklah terhad

kepada pengguna yang dibenarkan sahaja;
Pentadbir
Sistem dan
Pengguna
VERSI
DASAR
KESELAMATAN ICT
MINDEF
(c)
4.0
TARIKH KUATKUASA
30 OGOS 2013
MUKA SURAT
32/91
Semua media storan perlu dikawal bagi

mencegah
dari
capaian
yang
tidak
dibenarkan, kecurian dan kemusnahan;

(d)
Semua media storan yang mengandungi

maklumat terperingkat hendaklah disimpan di
dalam peti keselamatan yang mempunyai ciriciri
keselamatan
termasuk
tahan
dari
dipecahkan, api, air dan medan magnet;

(e)
Mewujudkan
sistem
pengurusan
media
termasuk inventori, pergerakan, pelabelan dan

backup / restore;
(f)
Peralatan ICT bagi tujuan backup hendaklah

diletakkan di tempat yang selamat;
(g)
Mengadakan salinan atau penduaan (backup)

bagi
tujuan
keselamatan
dan
bagi
mengelakkan kehilangan data; dan

(h)
Sebarang
pelupusan
hendaklah
merujuk
kepada proses dan prosedur yang ditetapkan.

5.4.4
Media Perisian Dan Aplikasi
5.4.4.1
Keselamatan
media
perisian
dan
aplikasi
yang
Ketua Jabatan
digunakan untuk dipasang di peralatan ICT perlu diberi

perhatian khusus.
5.4.4.2

berikut :
(a)
Hanya
perisian
yang
diperakui
sahaja
dibenarkan bagi kegunaan MinDef;

(b)
Sistem aplikasi dalaman tidak dibenarkan

didemonstrasi atau diagih kepada pihak lain
kecuali dengan kebenaran Pengurus ICT;
(c)
Lesen perisian (registration code, serials, CD-
Pentadbir
Sistem
VERSI
DASAR
KESELAMATAN ICT
MINDEF
4.0
TARIKH KUATKUASA
30 OGOS 2013
MUKA SURAT
33/91
keys) perlu disimpan berasingan daripada CDROM,
disk
atau
media
berkaitan
bagi
mengelakkan dari berlakunya kecurian atau

cetak rompak; dan
(d)
Source
code
sesuatu
sistem
hendaklah
disimpan mengikut proses dan prosedur yang

ditetapkan.
5.4.5
Penyelenggaraan Peralatan ICT
5.4.5.1
Peralatan
ICT
hendaklah
diselenggara
mengikut
Pengurus ICT
proses dan prosedur yang ditetapkan bagi memastikan

kerahsiaan, integriti dan ketersediaan.
5.4.5.2
Langkah-langkah keselamatan yang perlu diambil

(a)
Melaksanakan
selenggaraan
berdasarkan
Pentadbir
Sistem dan
Pengguna
spesifikasi pengeluar;
(b)
Memastikan
peralatan
ICT
hanya
diselenggara oleh pihak yang dibenarkan

sahaja;
(c)
Menyemak dan menguji semua peralatan ICT

sebelum
dan
selepas
proses
penyelenggaraan mengikut prosedur yang

ditetapkan; dan
(d)
Memaklumkan
pihak
pengguna
sebelum
melaksanakan penyelenggaraan.
5.4.6
Peminjaman Peralatan ICT Bagi Kegunaan Di Luar Pejabat
5.4.6.1
Peminjaman peralatan ICT bagi kegunaan di luar
Pengurus ICT
pejabat hendaklah mengikut proses dan prosedur yang

telah ditetapkan bagi memastikan kerahsiaan, integriti
dan ketersediaan.
5.4.6.2
Langkah-langkah yang perlu diambil adalah seperti
Pentadbir
VERSI
DASAR
KESELAMATAN ICT
MINDEF
4.0
TARIKH KUATKUASA
30 OGOS 2013
MUKA SURAT
34/91
berikut :
(a)
Mendapatkan kelulusan mengikut peraturan
Sistem dan
Pengguna
yang telah ditetapkan oleh MinDef bagi

membawa keluar peralatan ICT, tertakluk
kepada tujuan yang dibenarkan;
(b)
Melindungi dan mengawal peralatan ICT

sepanjang masa;
(c)
Merekod aktiviti peminjaman dan pemulangan

peralatan ICT; dan
(d)
Menyemak
peralatan
yang
dipulangkan
berada dalam keadaan baik.

5.4.7
Pengendalian Peralatan ICT Luar Yang Dibawa Masuk Dan Keluar
5.4.7.1
Peralatan ICT yang dibawa masuk dari luar bagi
Pengurus ICT
tujuan tertentu dan dibawa keluar selepas proses

berkenaan
memastikan
selesai
tidak
hendaklah
berlaku
dipantau
sebarang
bagi
kebocoran
maklumat.
5.4.7.2
Langkah keselamatan yang perlu diambil adalah

seperti berikut :
(a)
Mendapatkan kelulusan mengikut peraturan
Pentadbir
Sistem dan
Pengguna
yang telah ditetapkan; dan

(b)
Memeriksa peralatan yang dibawa keluar bagi

mengelak sebarang ketirisan maklumat.
5.4.8
Pelupusan Peralatan ICT
5.4.8.1
Semua peralatan ICT yang telah rosak, usang dan

tidak ekonomi untuk dibaiki hendaklah dilupuskan
mengikut prosedur pelupusan yang ditetapkan.
5.4.8.2

berikut:
(a)
Semua kandungan peralatan ICT hendaklah
Pengurus ICT
dan Pegawai
Aset
Pegawai Aset,
Pentadbir
Sistem dan
Pengguna
DASAR
KESELAMATAN ICT
MINDEF
VERSI
4.0
TARIKH KUATKUASA
30 OGOS 2013
MUKA SURAT
35/91
dihapuskan terlebih dahulu sebelum proses

pelupusan dilaksanakan;
(b)
Peralatan ICT yang hendak dilupus hendaklah

disimpan di tempat yang telah dikhaskan yang
mempunyai ciri-ciri keselamatan;
(c)
Pelupusan peralatan ICT hendaklah dilakukan

mengikut tatacara pelupusan semasa yang
berkuatkuasa di MinDef; dan
(d)
Pengguna adalah DILARANG SAMA SEKALI

daripada melakukan perkara-perkara seperti
berikut :
i.
Mengambil mana-mana peralatan ICT

seperti CPU atau komponen peralatan
ICT seperti RAM dan cakera keras
yang hendak dilupuskan untuk milik
peribadi; dan
ii.
Melupuskan
sendiri
peralatan
ICT
kerana kerja-kerja pelupusan di bawah

tanggungjawab MinDef.
5.5
Keselamatan Persekitaran
Keselamatan persekitaran bertujuan untuk melindungi
aset ICT MinDef dari sebarang bentuk ancaman
persekitaran yang disebabkan oleh bencana alam,
kesilapan, kecuaian atau kemalangan.
5.6
5.6.1
Kawalan Persekitaran
Kawalan persekitaran bertujuan untuk menghindarkan
kerosakan dan gangguan terhadap premis dan aset
ICT. Semua cadangan perolehan dan pengubahsuaian
hendaklah dirujuk terlebih dahulu kepada Pejabat
Ketua Pegawai Keselamatan Kerajaan (CGSO).
Ketua Jabatan
DASAR
KESELAMATAN ICT
MINDEF
5.6.2
VERSI
4.0
TARIKH KUATKUASA
30 OGOS 2013
MUKA SURAT
36/91

(a)
Merancang
dan
menyediakan
pelan
keseluruhan Pusat Data (ruang percetakan,

peralatan komputer dan ruang atur pejabat);
(b)
Melengkapi semua ruang pejabat khususnya

kawasan yang mempunyai kemudahan ICT
dengan
perlindungan
mencukupi
dan
keselamatan
dibenarkan
seperti
yang
alat
pencegah kebakaran dan pintu kecemasan;

(c)
Memasang peralatan perlindungan di tempat

yang
bersesuaian,
mudah
dikenali
dan
dikendalikan;
(d)
Menyimpan bahan mudah terbakar di luar

kawasan penyimpanan aset ICT;
(e)
Meletakkan semua bahan cecair di tempat

yang bersesuaian dan berjauhan dari aset
ICT;
(f)
Pengguna adalah dilarang merokok atau

menggunakan peralatan memasak seperti
cerek
elektrik
berhampiran
peralatan
komputer;
(g)
Menyemak dan menguji semua peralatan

perlindungan mengikut tatacara dan jadual
yang ditetapkan. Aktiviti dan keputusan ujian
ini
perlu
direkodkan
bagi
memudahkan
rujukan dan tindakan sekiranya perlu; dan

(h)
Memastikan suhu premis mengikut spesifikasi

yang ditetapkan.
Pentadbir Pusat
Data dan
Pengguna
VERSI
DASAR
KESELAMATAN ICT
MINDEF
5.7
5.7.1
4.0
TARIKH KUATKUASA
30 OGOS 2013
MUKA SURAT
37/91
Bekalan Kuasa
Bekalan kuasa merupakan punca kuasa elektrik yang
dibekalkan kepada peralatan ICT.
5.7.2
Perkara
yang
perlu
dipatuhi
bagi
menjamin
Pengurus ICT
keselamatan bekalan kuasa adalah seperti berikut :

(a)
Melindungi
semua
kegagalan
peralatan
bekalan
ICT
elektrik
dari
dengan
menyalurkan bekalan yang sesuai kepada

peralatan ICT;
(b)
Menggunakan peralatan sokongan seperti

Uninterruptible Power
janakuasa
Supply
(power
(UPS) dan
generator)
bagi
perkhidmatan kritikal seperti di Pusat Data

supaya mendapat bekalan kuasa berterusan;
dan
(c)
Menyemak dan menguji semua peralatan

sokongan bekalan kuasa secara berjadual.
5.8
5.8.1
Keselamatan Kabel
Kabel
elektrik
dan
kabel
rangkaian
hendaklah
dilindungi daripada gangguan dan kerosakan.

5.8.2
Langkah-langkah keselamatan yang perlu diambil

(a)
Menggunakan kabel yang mengikut spesifikasi

yang telah ditetapkan;
(b)
Melindungi kabel daripada kerosakan yang

disengajakan atau tidak disengajakan;
(c)
Melindungi
laluan
pemasangan
kabel
sepenuhnya seperti menggunakan conduit

atau
trunking
ditetapkan
mengikut
bagi
spesifikasi
mengelakkan
yang
ancaman
Pengurus ICT
VERSI
DASAR
KESELAMATAN ICT
MINDEF
4.0
TARIKH KUATKUASA
30 OGOS 2013
MUKA SURAT
38/91
kerosakan dan wire tapping; dan

(d)
Membuat pelabelan kabel mengikut spesifikasi

dan prosedur yang ditetapkan.
5.9
5.9.1
Prosedur Kecemasan
Prosedur kecemasan merupakan langkah proaktif
dalam usaha persediaan menghadapi fenomenafenomena
seperti
kebakaran,
kemalangan,
Pegawai
Keselamatan
Jabatan /
Bahagian
kecederaan dan bencana alam untuk melindungi

warga MinDef dan pelawat dengan serta-merta.
5.9.2

(a)
Pengguna
hendaklah
mematuhi
prosedur
kecemasan yang ditetapkan oleh Pegawai

Keselamatan MinDef;
(b)
Pegawai
Keselamatan
Jabatan /
Bahagian dan
Warga MinDef
Melaporkan insiden kecemasan persekitaran

seperti
kebakaran
kepada
Pegawai
Keselamatan MinDef;
(c)
Mengadakan,
menguji
dan
mengemaskini
pelan kecemasan dari semasa ke semasa;

dan
(d)
5.10
Mengadakan latihan fire drill mengikut jadual.
Keselamatan Dokumen
Pengurusan dokumen yang melibatkan pewujudan,
penyimpanan, pergerakan dan pelupusan hendaklah
mengikut Arahan Keselamatan 1972, Arahan Amalan
(Jadual Pelupusan Rekod) dan tatacara Jabatan Arkib
Negara serta proses dan prosedur yang berkuatkuasa.
Warga MinDef
VERSI
DASAR
KESELAMATAN ICT
MINDEF
4.0
TARIKH KUATKUASA
30 OGOS 2013
MUKA SURAT
39/91
BIDANG 6 : PENGURUSAN OPERASI DAN KOMUNIKASI

Objektif
Memastikan operasi dan komunikasi berfungsi dengan baik dan selamat daripada
sebarang ancaman atau gangguan.
Bil.
6.1
Perkara
Pengendalian Prosedur Operasi
6.1.1
Pengendalian prosedur operasi perlu disediakan bagi

memastikan
komunikasi
pengurusan
dapat
Tanggungjawab
operasi
berfungsi
sistem
dengan
cekap
ICTSO
dan
dan
selamat.
6.1.2

berikut :
(a)
Semua
prosedur
didokumenkan
operasi
dengan
Pentadbir
Sistem
hendaklah
jelas,
teratur,
dikemaskini dan sedia diguna pakai oleh

pengguna;
(b)
Setiap perubahan kepada prosedur operasi

mestilah dikawal;
(c)
Tugas
dan
diasingkan
kecuaian
tanggungjawab
bagi
dan
fungsi
mengurangkan
penyalahgunaan
aset
perlu
risiko
ICT
MinDef;
(d)
Kemudahan
ICT
untuk
pembangunan,
pengujian dan operasi perlu diasingkan bagi

mengurangkan
risiko
capaian
atau
pengubahsuaian secara tidak sah ke atas

sistem yang sedang beroperasi.
6.2
Pengurusan Penyampaian Perkhidmatan Pembekal
6.2.1
Memastikan pembekal melaksanakan perkhidmatan

mengikut perjanjian perkhidmatan serta mematuhi
Pengurus ICT
VERSI
DASAR
KESELAMATAN ICT
MINDEF
4.0
TARIKH KUATKUASA
30 OGOS 2013
MUKA SURAT
40/91
sepenuhnya proses dan prosedur keselamatan yang

berkuatkuasa.
6.2.2
Perkara-perkara
yang
perlu dilaksanakan adalah
seperti berikut :
(a)
Perkhidmatan,
laporan
dan
rekod
Pentadbir
Sistem
yang
dikemukakan oleh pembekal perlu dipantau,

disemak semula dan diaudit dari semasa ke
semasa; dan
(b)
Pengurusan ke atas perubahan penyediaan

perkhidmatan perlu mengambil kira tahap
kritikal sistem dan proses yang terlibat serta
penilaian semula risiko.
6.3
6.3.1
6.3.1.1
Perancangan Dan Penerimaan Sistem

Perancangan Kapasiti
Kapasiti
sesuatu
komponen
atau
sistem
ICT
hendaklah dirancang, diurus dan dikawal dengan teliti
Pentadbir
Sistem
oleh pegawai yang berkenaan bagi memastikan

keperluannya adalah mencukupi dan bersesuaian
untuk pembangunan dan kegunaan sistem ICT pada
masa akan datang.
6.3.1.2
Keperluan kapasiti ini juga perlu mengambil kira ciri-ciri

keselamatan ICT bagi meminimumkan risiko seperti
Pentadbir
Sistem
gangguan pada perkhidmatan dan kerugian akibat

pengubahsuaian yang tidak dirancang.
6.3.2
Penerimaan Sistem
Semua
sistem
baru
(termasuklah
sistem
yang
dikemaskini atau diubahsuai) hendaklah memenuhi

kriteria
yang
dipersetujui.
ditetapkan
sebelum
diterima
atau
Pentadbir
Sistem
DASAR
KESELAMATAN ICT
MINDEF
6.4
6.4.1
VERSI
4.0
TARIKH KUATKUASA
30 OGOS 2013
MUKA SURAT
41/91
Perlindungan Dari Malicious Dan Mobile Code

Aset ICT perlu diindungi supaya tidak terdedah kepada
Pengurus ICT
kerosakan yang disebabkan oleh perisian berbahaya

seperti virus, worm, trojan dan lain-lain.
6.4.2
Pentadbir Sistem
Perkara-perkara yang mesti dipatuhi adalah :

(a)
Memasang
sistem
keselamatan
untuk
mengesan
perisian
berbahaya
seperti
antivirus, Intrusion Detection System (IDS)

dan Intrusion Prevention System (IPS);
(b)
Memasang dan menggunakan hanya perisian

yang tulen;
(c)
Mengimbas semua perisian dengan antivirus

sebelum menggunakannya;
(d)
Mengemaskini paten antivirus dari semasa ke

semasa;
(e)
Menyemak kandungan sistem ICT secara

berkala bagi mengesan aktiviti yang tidak
normal seperti kehilangan atau kerosakan
maklumat;
(f)
Menghadiri
ancaman
program
perisian
kesedaran mengenai
berbahaya
dan
cara
mengendalikannya dari semasa ke semasa;

(g)
Memasukkan klausa tanggungan ke dalam

kontrak yang ditawarkan kepada pembekal
perisian. Klausa ini bertujuan untuk tuntutan
baik
pulih
sekiranya
perisian
tersebut
mengandungi program berbahaya;

(h)
Mewujud dan melaksanakan prosedur jaminan

kualiti
ke
dibangunkan;
atas
semua
perisian
yang
dan Pengguna
VERSI
DASAR
KESELAMATAN ICT
MINDEF
(i)
4.0
TARIKH KUATKUASA
30 OGOS 2013
MUKA SURAT
42/91
Memberi amaran mengenai ancaman seperti

serangan virus terhadap keselamatan aset
ICT MinDef;
(j)
Kawalan
pencegahan,
pemulihan
untuk
pengesanan
melindungi
dan
sistem
ICT
daripada gangguan malicious code;

(k)
Melaksanakan program kesedaran pengguna

yang bersesuaian; dan
(l)
Penggunaan
mobile
code
yang
boleh
mendatangkan ancaman keselamatan ICT

adalah tidak dibenarkan.
6.5
6.5.1
Backup (Salinan Penduaan)

Salinan penduaan adalah penting bagi memastikan
sistem ICT dan data dapat dipulihkan semula sekira
berlakunya bencana.
6.5.2
Perkara yang mesti dipatuhi adalah sepeti berikut :

(a)
Membuat salinan penduaan ke atas semua
Pentadbir
Sistem
sistem perisian dan aplikasi mengikut jadual

yang
ditetapkan
atau
apabila
berlaku
perubahan versi;
(b)
Membuat salinan penduaan ke atas data

mengikut kesesuaian operasi; dan
(c)
Menguji sistem penduaan bagi memastikan

ianya dapat dimasukkan semula (restore) dan
beroperasi dengan normal.
6.6
6.6.1
Pengurusan Keselamatan Rangkaian

Keselamatan rangkaian adalah elemen penting dalam
memastikan
pengaliran
maklumat
lancar
dan
sempurna. Infrastruktur rangkaian mestilah dikawal,

dipantau dan diurus sebaiknya daripada ancaman
Pengurus ICT
DASAR
KESELAMATAN ICT
MINDEF
VERSI
4.0
TARIKH KUATKUASA
30 OGOS 2013
MUKA SURAT
43/91
kepada sistem ICT.

6.6.2
Kawalan Infrastruktur Rangkaian

Pentadbir
Sistem
Perkara-perkara yang mesti dipatuhi adalah :

(a)
Polisi dan prosedur perlu dibangunkan dan

dilaksanakan bagi melindungi maklumat yang
berhubung kait dengan sistem rangkaian;
(b)
Ciri-ciri keselamatan, tahap perkhidmatan dan

keperluan
pengurusan
bagi
semua
perkhidmatan rangkaian perlu dikenal pasti

dan
dimasukkan
perkhidmatan
dalam
rangkaian
perjanjian
sama
ada
perkhidmatan berkenaan disediakan secara

dalaman atau melalui pembekal;
(c)
Tanggungjawab dan fungsi operasi rangkaian

hendaklah diasingkan untuk meminimumkan
risiko capaian dan pengubahsuaian yang tidak
dibenarkan;
(d)
Peralatan rangkaian hendaklah diletakkan di

lokasi yang bebas dari risiko seperti banjir,
gegaran dan habuk;
(e)
Capaian
hendaklah
kepada
dikawal
peralatan
dan
rangkaian
terhad
kepada
pengguna yang dibenarkan sahaja;

(f)
Peralatan
keselamatan
seperti
firewall
hendaklah dipasang bagi memastikan hak

capaian
ke
atas
sistem
ICT
dapat
dilaksanakan seperti ditetapkan;

(g)
Semua trafik keluar dan masuk hendaklah

ditapis oleh peralatan keselamatan di bawah
kawalan MinDef;
DASAR
KESELAMATAN ICT
MINDEF
(h)
VERSI
4.0
TARIKH KUATKUASA
30 OGOS 2013
MUKA SURAT
44/91
Semua perisian sniffer atau network analyzer

adalah dilarang dipasang pada komputer
pengguna
kecuali
mendapat
kebenaran
ICTSO;
(i)
Sebarang cubaan menceroboh dan aktivitiaktiviti lain yang boleh mengancam sistem dan
maklumat MinDef perlu dipantau dan dikesan
melalui pemasangan peralatan keselamatan
seperti Intrusion Detection System (IDS) dan
Intrusion Prevention System (IPS);
(j)
Sebarang aktiviti yang dilarang seperti yang

termaktub di dalam PKPA Bil. 1/2003 perlu
disekat melalui pemasangan Web Content
Filtering pada Internet Gateway;
(k)
Sebarang
keperluan
penyambungan
rangkaian hendaklah melalui proses dan

prosedur yang ditetapkan oleh MinDef; dan
(l)
Penggunaan rangkaian tanpa wayar (wireless)

LAN di MinDef hendaklah mematuhi surat
MAMPU dengan rujukan UPTM (S) 159/338/8
Jilid 30 (84) bertajuk Langkah-langkah Untuk
Memperkukuhkan
Keselamatan
Rangkaian
Setempat Tanpa Wayar (Wireless Local Area

Network) di Agensi-agensi Kerajaan.
6.7
6.7.1
Prosedur Pengendalian Maklumat

Prosedur ini bertujuan untuk mengendali, menyimpan,
memindah
serta
melindungi
maklumat
daripada
didedah tanpa kebenaran atau salah guna serta

memastikan
keselamatan
dengan entiti luar terjamin.
pertukaran
maklumat
Pengurus ICT
VERSI
DASAR
KESELAMATAN ICT
MINDEF
6.7.2
4.0
TARIKH KUATKUASA
30 OGOS 2013
MUKA SURAT
45/91

(a)
Menghad dan menentukan capaian kepada
Pentadbir
Sistem
pengguna yang dibenarkan sahaja;

(b)
Menghadkan pengedaran data untuk tujuan

rasmi dan yang dibenarkan sahaja;
(c)
Polisi,
prosedur
dan
kawalan
pertukaran
maklumat yang formal perlu diwujudkan untuk

melindungi
pertukaran
penggunaan
pelbagai
maklumat
jenis
melalui
kemudahan
komunikasi;
(d)
Sebarang pertukaran maklumat di antara

MinDef
dan
agensi
kerajaan
yang
lain
mestilah dikawal; dan

(e)
Perjanjian perlu diwujudkan untuk pertukaran

maklumat dan perisian di antara agensi
dengan pihak luar.
6.8
6.8.1
Keselamatan Sistem Dokumentasi

Dokumentasi sistem perlu dilindungi dari capaian yang
tidak
dibenarkan.
dokumentasi
Langkah-langkah
yang
baik
dan
Pengurus ICT
pengurusan
selamat
perlu
dilaksanakan bagi memastikan integriti maklumat.

6.8.2

(a)
Memastikan
sistem
dokumentasi
atau
penyimpanan maklumat adalah selamat dan

terjamin;
(b)
Menggunakan tanda atau label keselamatan

seperti rahsia besar, rahsia, sulit atau terhad
pada dokumen;
(c)
Mewujudkan sistem pengurusan dokumen

terperingkat
bagi
menerima,
memproses,
Pentadbir
Sistem
DASAR
KESELAMATAN ICT
MINDEF
menyimpan
VERSI
4.0
TARIKH KUATKUASA
30 OGOS 2013
MUKA SURAT
dan
46/91
menghantar
dokumen-
dokumen tersebut supaya ianya diuruskan

berasingan daripada dokumen-dokumen tidak
terperingkat;
(d)
Penyediaan
dan
penghantaran
terperingkat
secara
elektronik
dokumen
hendaklah
mengikut prosedur dan peraturan yang telah

ditetapkan; dan
(e)
Mengawal dan merekodkan semua aktiviti

capaian sistem dokumentasi sedia ada.
6.9
6.9.1
Pertukaran Maklumat
Pertukaran maklumat dan perisian antara MinDef dan
Pengurus ICT
agensi luar hendaklah sentiasa dipastikan terjamin

selamat.
6.9.2
Polisi Dan Prosedur Pertukaran Maklumat

berikut :
(a)
Pentadbir
Sistem
Dasar, prosedur dan kawalan pertukaran

maklumat yang formal perlu diwujudkan untuk
melindungi
pertukaran
penggunaan
pelbagai
maklumat
jenis
melalui
kemudahan
komunikasi;
(b)
Media yang mengandungi maklumat perlu

dilindungi
daripada
capaian
yang
tidak
dibenarkan, penyalahgunaan atau kerosakan

semasa pemindahan keluar dari MinDef; dan
(c)
Maklumat yang terdapat dalam mel elektronik

perlu dilindungi sebaik-baiknya.
6.9.3
Perjanjian Pertukaran Maklumat

Perjanjian
perlu
diwujudkan
untuk
pertukaran
maklumat dan perisian di antara MinDef dengan
Pengurus ICT
DASAR
KESELAMATAN ICT
MINDEF
VERSI
4.0
TARIKH KUATKUASA
30 OGOS 2013
MUKA SURAT
47/91
agensi luar.
6.10
6.10.1
Mel Elektronik (e-mel)

Maklumat yang dihantar, diterima dan disimpan
Ketua Jabatan
melalui mel elektronik MinDef perlu dilindungi bagi

menghindari capaian atau sebaran maklumat yang
tidak
dibenarkan.
Pengguna
layak
menerima
kemudahan perkhidmatan e-mel dengan kelulusan

dari Ketua Jabatan.
6.10.2
Perkara yang perlu dipatuhi adalah seperti termaktub

dalam Etika Penggunaan Internet Dan E-mel
Pentadbir
Sistem dan
Pengguna
MinDef. Sila rujuk KEMBARAN B.

6.11
6.11.1
Telecommuting
Maklumat
yang
diakses
atau
dihantar
semasa
Pengurus ICT
menggunakan kemudahan telecommuting hendaklah

dijamin selamat.
6.11.2
Perkara yang perlu dipatuhi adalah :

(a)
Kemudahan hanya disediakan untuk sistem

aplikasi ICT yang dibenarkan sahaja;
(b)
Kebenaran
menggunakan
secara
bertulis
kemudahan
untuk
hendaklah
diperolehi daripada Pentadbir Sistem;

(c)
Sebarang akses daripada luar mengguna

kemudahan ini hendaklah diberi perlindungan
keselamatan yang mencukupi.
6.12
6.12.1
Bring Your Own Device (BYOD)

BYOD adalah peralatan mudah alih persendirian
seperti
telefon pintar, tablet dan laptop yang
digunakan untuk tujuan rasmi.
Pentadbir
Sistem
VERSI
DASAR
KESELAMATAN ICT
MINDEF
6.12.2
4.0
TARIKH KUATKUASA
30 OGOS 2013
MUKA SURAT
48/91
Maklumat lanjut mengenai BYOD boleh merujuk
Pengguna
kepada Polisi Berkaitan Bring Your Own Device

(BYOD) seperti di KEMBARAN C.
6.13
6.13.1
Pengauditan Dan Forensik ICT

ICTSO
hendaklah
pengauditan
dan
memastikan
forensik
ICT
semua
proses
dijalankan
ICTSO
bagi
menjamin keselamatan ICT sentiasa terpelihara.

6.13.2
Pentadbir
Sistem
hendaklah
merekod
dan
menganalisis perkara-perkara berikut :

(a)
Sebarang percubaan pencerobohan kepada

sistem ICT MinDef;
(b)
Serangan kod perosak (malicious code),

halangan pemberian perkhidmatan (denial of
service), spam, pemalsuan (forgery, phising),
pencerobohan (intrusion), ancaman (threats)
dan kehilangan fizikal (physical loss);
(c)
Pengubahsuaian ciri-ciri perkakasan, perisian

atau mana-mana komponen sesebuah sistem
tanpa pengetahuan, arahan atau persetujuan
mana-mana pihak;
(d)
Aktiviti melayari, menyimpan atau mengedar

bahan-bahan
lucah,
berunsur
fitnah
dan
propaganda anti kerajaan;

(e)
Aktiviti pewujudan perkhidmatan-perkhidmatan

yang tidak dibenarkan;
(f)
Aktiviti instalasi dan penggunaan perisian yang

membebankan
jalur
lebar
(bandwidth)
rangkaian;
(g)
Aktiviti penyalahgunaan akaun e-mel; da
(h)
Aktiviti penukaran alamat IP (IP address)
Pentadbir
Sistem
VERSI
DASAR
KESELAMATAN ICT
MINDEF
4.0
TARIKH KUATKUASA
30 OGOS 2013
MUKA SURAT
49/91
selain daripada yang telah diperuntukkan

tanpa kebenaran Pentadbir Sistem ICT.
6.14
6.14.1
Jejak Audit
Setiap sistem mestilah mempunyai jejak audit. Jejak
Pengurus ICT
audit merekod aktiviti-aktiviti yang berlaku dalam

sistem
secara
kronologi
bagi
membenarkan
pemeriksaan dan pembinaan semula dilakukan bagi

susunan dan perubahan dalam sesuatu acara.
6.14.2
Jejak
audit
hendaklah
mengandungi
maklumat-
maklumat berikut :
(a)
Rekod setiap aktiviti transaksi;
(b)
Maklumat jejak audit mengandungi identiti

pengguna,
sumber
yang
digunakan,
perubahan maklumat, tarikh dan masa aktiviti,

rangkaian dan aplikasi yang digunakan;
(c)
Aktiviti capaian pengguna ke atas sistem ICT

sama ada secara sah atau sebaliknya;
(d)
Maklumat aktiviti sistem yang tidak normal

atau aktiviti yang tidak mempunyai ciri-ciri
keselamatan.
(e)
Jejak audit hendaklah disimpan untuk tempoh

masa seperti yang disarankan oleh Arahan
Teknologi Maklumat dan Akta Arkib Negara;
(f)
Pentadbir Sistem ICT hendaklah menyemak

catatan jejak audit dari semasa ke semasa
dan menyediakan laporan jika perlu. Ini akan
dapat membantu mengesan aktiviti yang tidak
normal dengan lebih awal; dan
(g)
Jejak
audit
kerosakan,
juga
perlu
kehilangan,
dilindungi
dari
penghapusan,
Pentadbir
Sistem
VERSI
DASAR
KESELAMATAN ICT
MINDEF
4.0
TARIKH KUATKUASA
30 OGOS 2013
MUKA SURAT
50/91
pemalsuan dan pengubahsuaian yang tidak

dibenarkan.
6.15
6.15.1
Sistem Log
Setiap sistem mestilah mempunyai sistem log. Sistem
log merekod aktiviti-aktiviti yang berlaku dalam sistem
Pentadbir
Sistem
secara kronologi bagi membenarkan pemeriksaan dan

pembinaan semula dilakukan bagi susunan dan
perubahan dalam sesuatu acara.
6.15.2
Pentadbir
Sistem
ICT
hendaklah
melaksanakan
(a)
Pentadbir
Sistem
Mewujudkan sistem log bagi merekodkan

semua aktiviti harian pengguna;
(b)
Menyemak sistem log secara berkala bagi

mengesan ralat yang menyebabkan gangguan
kepada
sistem
dan
mengambil
tindakan
membaik pulih dengan segera; dan

(c)
Sekiranya wujud aktiviti-aktiviti lain yang tidak

sah
seperti
kecurian
pencerobohan,
maklumat
dan
Sistem
ICT
Pentadbir
hendaklah melaporkan kepada MinDefCERT.

6.15.3
Pemantauan Log
berikut :
(a)
Log Audit yang merekodkan semua aktiviti

perlu dihasilkan dan disimpan untuk tempoh
masa
yang
dipersetujui
bagi
membantu
siasatan dan memantau kawalan capaian;

(b)
Prosedur
kemudahan
untuk
memantau
memproses
penggunaan
maklumat
perlu
diwujud dan hasilnya perlu dipantau secara
Pentadbir
Sistem
VERSI
DASAR
KESELAMATAN ICT
MINDEF
4.0
TARIKH KUATKUASA
30 OGOS 2013
MUKA SURAT
51/91
berkala;
(c)
Maklumat
log
perlu
dilindungi
daripada
diubahsuai dan sebarang capaian yang tidak

dibenarkan;
(d)
Aktiviti pentadbiran dan operator sistem perlu

direkodkan;
(e)
Kesalahan,
kesilapan
penyalahgunaan
perlu
dan
atau
direkodkan
log,
dianalisis dan diambil tindakan sewajarnya;

(f)
Waktu
yang
berkaitan
dengan
sistem
pemprosesan maklumat MinDef atau domain

keselamatan perlu diselaraskan dengan satu
sumber waktu yang dipersetujui;
(g)
Menyemak sistem log secara berkala bagi

mengesan ralat yang menyebabkan gangguan
kepada
sistem
dan
mengambil
tindakan
membaik pulih dengan segera; dan

(h)
Sekiranya
wujud
aktiviti-aktiviti
tidak
sah
seperti kecurian maklumat dan pencerobohan

hendaklah dilaporkan kepada MinDefCERT.
VERSI
DASAR
KESELAMATAN ICT
MINDEF
4.0
TARIKH KUATKUASA
30 OGOS 2013
MUKA SURAT
52/91
BIDANG 7 : KAWALAN CAPAIAN

Objektif
Melindungi maklumat dari sebarang bentuk capaian yang tidak dibenarkan.
Bil
7.1
7.1.1
Perkara
Tanggungjawab
Kawalan Capaian
Peraturan
bagi
mengawal
capaian
hendaklah
Pengurus ICT
diwujud, didokumen dan dikaji semula berasaskan

keperluan perkhidmatan dan keselamatan. Peraturan
kawalan capaian hendaklah mengambilkira faktor
identification, authentication dan authorization.
7.1.2

berikut :
(a)
Kawalan
capaian
ke
mengikut
keperluan
atas
aset
ICT
keselamatan
dan
Pentadbir
Sistem
peranan pengguna;
(b)
Kawalan capaian ke atas perkhidmatan

rangkaian dalaman dan luaran;
(c)
Keselamatan
maklumat
yang
dicapai
menggunakan kemudahan atau peralatan

mudah alih; dan
(d)
Kawalan ke atas kemudahan pemprosesan

maklumat.
7.1.3
Capaian kepada proses dan maklumat hendaklah

dikawal mengikut keperluan keselamatan dan fungsi
Pentadbir
Sistem
kerja pengguna. Setiap capaian perlu direkod,

dikemaskini dan hendaklah mematuhi dasar kawalan
capaian pengguna yang berkuatkuasa.
7.2
Pengurusan Capaian
7.2.1
Pengurusan
kawalan
capaian
capaian
adalah
pengguna
merujuk
ke
atas
kepada
sistem
Pengurus ICT
VERSI
DASAR
KESELAMATAN ICT
MINDEF
pengoperasian,
4.0
TARIKH KUATKUASA
30 OGOS 2013
MUKA SURAT
aplikasi
dan
53/91
maklumat
melalui
rangkaian MinDef bagi memastikan bahawa sistem

maklumat MinDef dicapai oleh pengguna yang sah
dan menghalang capaian yang tidak sah.
7.2.1
Kawalan Capaian Pengguna

(a)
Memastikan
bahawa
sistem
maklumat
Pentadbir
Sistem
dicapai oleh pengguna yang sah dan

menghalang capaian yang tidak sah;
(b)
Prosedur
yang
melibatkan
proses
pendaftaran dan pembatalan kebenaran

capaian pengguna perlu diwujudkan dan
didokumenkan; dan
(c)
Aktiviti capaian pengguna direkod dan

dikaji secara berkala.
direkod
termasuk
sumber
yang
Maklumat yang
identiti
pengguna,
digunakan,
perubahan
maklumat, tarikh, masa, rangkaian dilalui,

aplikasi diguna dan aktiviti capaian secara
sah atau sebaliknya.
7.2.1.1
Pendaftaran Dan Pembatalan Akaun

(a)
Akaun
pengguna
pengguna
akaun
adalah
unik
dan
ke
atas
bertanggungjawab
tersebut
selepas
pengesahan
penerimaan dibuat;
(b)
Akaun pengguna yang diwujudkan, tahap

capaian dan sebarang perubahan ke atas
akaun dan capaian mestilah mendapat
kebenaran
pihak
pengurusan
bertulis dan direkodkan;
secara
Ketua Jabatan,
Pengurus ICT,
Pentadbir
Sistem dan
Pengguna
DASAR
KESELAMATAN ICT
MINDEF
(c)
VERSI
4.0
TARIKH KUATKUASA
30 OGOS 2013
MUKA SURAT
54/91
Pemilihan akaun dan capaian pengguna

adalah tertakluk kepada peraturan jabatan
dan
tindakan
pembatalan
pengubahsuaian hendaklah diambil atas

sebab seperti berikut :
i.
Pengguna tidak hadir bertugas tanpa

kebenaran melebihi satu tempoh
yang ditentukan oleh Ketua Jabatan;
ii.
Pengguna bercuti atau bertugas di

luar pejabat;
iii.
Melebihi
satu
tempoh
yang
ditentukan oleh Ketua Jabatan;

iv.
Pengguna
bertukar
jawatan,
tanggungjawab dan / atau bidang

tugas;
v.
Pengguna bertukar atau berpindah

Jabatan; dan
vi.
Pengguna
bersara
atau
tamat
perkhidmatan.
7.2.1.2
Hak Capaian (privilege)

Penetapan dan penggunaan ke atas hak capaian
memerlukan kawalan dan seliaan yang ketat. Hak
capaian
hendaklah
sentiasa
dipantau
dan
Pengurus ICT
dan Pentadbir
Sistem
dikemaskini mengikut keperluan semasa. Prosedur

yang melibatkan proses kawalan capaian perlu
diwujud dan didokumenkan.
7.2.1.3
Pengurusan Kata Laluan

Pemilihan, penggunaan dan pengurusan kata laluan
sebagai laluan utama bagi mencapai maklumat dan
data dalam sistem mestilah mematuhi amalan
terbaik serta prosedur yang ditetapkan oleh MinDef
Pentadbir
Sistem dan
Pengguna
VERSI
DASAR
KESELAMATAN ICT
MINDEF
4.0
TARIKH KUATKUASA
30 OGOS 2013
MUKA SURAT
55/91
seperti berikut :
(a)
Dalam apa jua keadaan dan sebab, kata

laluan hendaklah dilindungi dan tidak boleh
dikongsi dengan sesiapa pun;
(b)
Pengguna hendaklah menukar kata laluan

apabila disyaki berlakunya kebocoran kata
laluan atau dikompromi;
(c)
Panjang kata laluan mestilah sekurangkurangnya
lapan
(8)
aksara
dengan
gabungan antara huruf dan nombor atau

aksara khusus;
(d)
Kata laluan hendaklah diingat dan TIDAK

BOLEH dicatat, disimpan atau didedahkan
dengan apa cara sekalipun;
(e)
Kata laluan sistem pengoperasian dan

screen
saver
hendaklah
diaktifkan
terutamanya pada komputer yang terletak

di ruang guna sama;
(f)
Kata laluan hendaklah tidak dipaparkan

semasa input, dalam laporan atau media
lain dan tidak boleh dikodkan di dalam
program;
(g)
Kuatkuasakan
pertukaran
kata
laluan
semasa login kali pertama atau selepas

login kali pertama atau selepas kata laluan
diset semula;
(h)
Kata laluan hendaklah berlainan daripada

pengenalan identiti pengguna;
(i)
Kata laluan hendaklah ditukar selepas 90

hari atau selepas tempoh masa yang
bersesuaian; dan
VERSI
DASAR
KESELAMATAN ICT
MINDEF
(j)
4.0
TARIKH KUATKUASA
30 OGOS 2013
MUKA SURAT
56/91
Mengelakkan penggunaan semula kata

laluan yang baru digunakan.
7.2.1.4
7.2.1.4.1
Polisi Clear Desk And Clear Screen

Clear Desk and Clear Screen bermaksud tidak
Pengguna
meninggalkan bahan-bahan yang sensitif terdedah

sama ada atas meja pengguna atau di paparan skrin
apabila pengguna tidak berada di tempatnya.
7.2.1.4.2
Semua maklumat dalam apa jua bentuk media
Pengguna
hendaklah disimpan dengan teratur dan selamat bagi

mengelakkan kerosakan, kecurian atau kehilangan.
7.2.1.4.3
Perkara-perkara
7
yang perlu dipatuhi adalah seperti
Pengguna
berikut
.
:
2(a)
Menyimpan bahan-bahan sensitif di dalam
laci atau kabinet fail yang berkunci;
2(b)
Menggunakan
screen saver atau logout / lock apabila
meninggalkan komputer; dan
. (c)
Memastikan
segera dari pencetak, pengimbas, mesin
kemudahan
semua
password
dokumen
diambil
faksimili dan mesin fotostat.

7.2.2
7.2.2.1
Kawalan Capaian Rangkaian

Menghalang capaian tidak sah dan tanpa kebenaran
ke
atas
rangkaian
MinDef.
Kawalan
capaian
perkhidmatan rangkaian hendaklah dijamin selamat

dengan :
(a)
Mewujudkan
segmen
rangkaian
yang
bersesuaian
bagi
membezakan
had
capaian pengguna dan keperluan sistem;

(b)
Mewujudkan
dan
menguatkuasakan
mekanisme untuk pengesahan pengguna
Pentadbir
Sistem
VERSI
DASAR
KESELAMATAN ICT
MINDEF
dengan
4.0
TARIKH KUATKUASA
30 OGOS 2013
MUKA SURAT
peralatan
57/91
yang
menepati
kesesuaian penggunaannya;
(c)
Memantau dan menguatkuasakan kawalan

capaian pengguna terhadap perkhidmatan
rangkaian ICT.
(d)
Mewujudkan mekanisme pengesahan yang

sesuai
untuk
mengawal
capaian
oleh
pengguna jarak jauh;

(e)
Capaian
fizikal
perkakasan
dan
logikal
rangkaian
ke
bagi
atas
tujuan
mengubah konfigurasi perlulah dikawal.

7.2.2.2
Capaian Perkhidmatan Internet

(a)
Capaian Internet perlu dikawal dan diurus

bagi
mengelakkan
gangguan
sistem
rangkaian MinDef;
(b)
Penggunaan Internet di MinDef hendaklah

dipantau
secara
berterusan
Pentadbir Rangkaian bagi
oleh
memastikan
penggunaannya untuk tujuan capaian yang

dibenarkan sahaja.
(c)
Kaedah
Content
Filtering
mestilah
digunakan bagi mengawal akses Internet

mengikut fungsi kerja dan pemantauan
tahap pematuhan;
(d)
Pengurusan
bandwidth
digunakan untuk
seperti
streaming,
mengawal
video
chat,
hendaklah
mengawal
aktiviti
conferencing;
video
downloading
penggunaan
bagi
bandwidth
mengikut keperluan.
(e)
Maklumat lanjut mengenai keselamatan
Pentadbir
Sistem
VERSI
DASAR
KESELAMATAN ICT
MINDEF
4.0
TARIKH KUATKUASA
30 OGOS 2013
MUKA SURAT
58/91
Internet bolehlah merujuk kepada Etika

Penggunaan
Internet
Kementerian
dan
Pertahanan
Emel
seperti
di
KEMBARAN B dan Pekeliling Kemajuan

Pentadbiran Awam Bilangan 1 Tahun 2003
bertajuk
Garis
Panduan
Mengenai
Tatacara Penggunaan Internet dan Mel

Elektronik di Agensi-agensi Kerajaan.
7.2.3
7.2.3.1
Capaian Sistem Pengoperasian

Memastikan
bahawa
pengoperasian
capaian
dikawal
dan
ke
atas
dihadkan
sistem
kepada
Pentadbir
Sistem
pengguna yang dibenarkan sahaja.

7.2.3.2
Kaedah yang digunakan hendaklah menyokong

(a)
Mengesahkan pengguna yang dibenarkan.
(b)
Mewujudkan jejak audit ke atas semua

capaian
sistem
operasi
Pentadbir
Sistem
terutama
pengguna bertaraf khas (super user);

(c)
Menjana amaran (alert) sekiranya berlaku

pelanggaran
ke
atas
peraturan
keselamatan sistem.
7.2.3.3

(a)
Mewujudkan satu pengenalan diri yang

unik untuk setiap penguna dan hanya
digunakan oleh pengguna yang berkenaan
sahaja;
(b)
Melaksana sistem pengurusan kata laluan

teguh (strong password) yang mempunyai
gabungan antara huruf dan nombor atau
aksara khusus;
Pentadbir
Sistem
VERSI
DASAR
KESELAMATAN ICT
MINDEF
(c)
4.0
TARIKH KUATKUASA
30 OGOS 2013
MUKA SURAT
Mengawal
59/91
penggunaan
berkeupayaan
utiliti
melepasi
yang
sistem
pengoperasi;
(d)
Menamatkan sesi yang tidak aktif selepas

tempoh masa yang ditetapkan; dan
(e)
Hadkan tempoh masa penggunaan bagi

meningkatkan keselamatan aplikasi yang
berisiko tinggi.
7.2.4
7.2.4.1
Capaian Aplikasi Dan Maklumat

Melindungi aplikasi dan maklumat dari sebarang
bentuk capaian yang tidak dibenarkan.
7.2.4.2
Perkara-perkara yang perlu dipatuhi adalah :

(a)
Pengguna
aplikasi
hanya
dan
boleh
sistem
menggunakan
maklumat
Pentadbir
Sistem
yang
dibenarkan mengikut tahap capaian dan

keselamatan maklumat yang ditentukan;
(b)
Setiap aktiviti capaian pengguna ke atas

aplikasi dan maklumat hendaklah direkod
(sistem log); dan
(c)
Capaian aplikasi dan maklumat melalui

jarak
jauh
adalah
bagaimanapun
digalakkan.
Walau
penggunaannya
terhad
kepada perkhidmatan yang dibenarkan

sahaja.
7.3
7.3.1
Capaian Jarak Jauh

Capaian jarak jauh adalah merujuk kepada capaian
daripada sistem rangkaian dalaman dan capaian
daripada sistem rangkaian luaran bagi lokasi luar
pejabat untuk tujuan telecommuting yang perlu
dikawal bagi memastikan keselamatan maklumat.
Pengurus ICT
VERSI
DASAR
KESELAMATAN ICT
MINDEF
7.3.2
4.0
TARIKH KUATKUASA
30 OGOS 2013
MUKA SURAT
60/91
Perkara-perkara yang perlu dipatuhi adalah :

(a)
Penghantaran
maklumat
yang
menggunakan capaian jarak jauh mestilah
Pentadbir
Sistem dan
Pengguna
menggunakan kaedah enkripsi;

(b)
Lokasi bagi akses ke sistem ICT MinDef

hendaklah dipastikan selamat;
(c)
Penggunaan
perkhidmatan
jarak
jauh
hendaklah mendapat kebenaran daripada

Pengurus ICT; dan
(d)
Pengguna
yang
diberi
hak
adalah
bertanggungjawab sepenuhnya ke atas

penggunaan kemudahan yang diberikan.
7.4
7.4.1
Peralatan Mudah Alih

Peralatan mudah alih merujuk kepada telefon pintar,
Pengurus ICT
tablet dan laptop yang digunakan untuk tujuan rasmi

sama ada yang disediakan oleh jabatan atau milik
persendirian. Pengguna peralatan ini hendaklah
dipastikan mematuhi polisi dan prosedur yang telah
ditetapkan.
7.4.2
Peralatan Yang Dibekalkan Oleh Jabatan

(a)
Merekodkan
aktiviti
keluar
masuk
penggunaan peralatan mudah alih bagi

mengesan
tersebut
pergerakan
daripada
perkakasan
kehilangan
atau
kerosakan;
(b)
Peralatan mudah alih hendaklah disimpan

atau dikunci di tempat yang selamat
apabila tidak digunakan; dan
(c)
Memastikan peralatan mudah alih yang
Pentadbir
Sistem dan
Pengguna
DASAR
KESELAMATAN ICT
MINDEF
VERSI
TARIKH KUATKUASA
MUKA SURAT
4.0
30 OGOS 2013
61/91
dibawa keluar dari pejabat perlu disimpan

dan dijaga dengan baik bagi mengelakkan
daripada kecurian.
7.4.3
Peralatan Diperolehi Sendiri (BYOD)

Maklumat lanjut mengenai BYOD boleh merujuk
kepada Polisi Berkaitan Bring Your Own Device
(BYOD) seperti di KEMBARAN C.
Pentadbir
Sistem
VERSI
DASAR
KESELAMATAN ICT
MINDEF
4.0
TARIKH KUATKUASA
30 OGOS 2013
MUKA SURAT
62/91
BIDANG 8 : PEROLEHAN, PEMBANGUNAN DAN PENYELENGGARAAN

SISTEM
Objektif
Memastikan sistem yang dibangunkan sendiri atau pembekal mempunyai ciri-ciri
keselamatan ICT yang bersesuaian.
Bil
8.1
8.1.1
Perkara
Kawalan Prosesan Aplikasi
Tanggungjawab
Kawalan prosesan aplikasi adalah merujuk kepada

kawalan
keselamatan
pembangunan,
terhadap
Pengurus ICT
perolehan,
penambahbaikan
dan
penyelengaaraan sistem mengikut mematuhi polisi

dan prosedur yang telah ditetapkan.
8.1.2

berikut :
(a)
Perolehan,
Pentadbir
Sistem
pembangunan,
penambahbaikan
dan
penyelenggaraan
sistem hendaklah mengambil kira kawalan

keselamatan
berlaku
bagi
kesilapan
memastikan
dalam
tidak
pemprosesan
maklumat; dan
(b)
Semua sistem hendaklah diuji terlebih

dahulu bagi memastikan sistem berkenaan
memenuhi keperluan keselamatan yang
telah ditetapkan sebelum digunakan.
8.2
Pengesahan Data Input

Data
input
bagi
aplikasi
perlu
disahkan
bagi
memastikan data yang dimasukkan betul.

8.3
Pentadbir
Sistem
Kawalan Proses
Kawalan proses yang melibatkan perubahan versi
perlu direkodkan bagi tujuan mengesan sebarang
Pentadbir
Sistem
VERSI
DASAR
KESELAMATAN ICT
MINDEF
pengubahsuaian
4.0
TARIKH KUATKUASA
30 OGOS 2013
MUKA SURAT
dan
63/91
penambahbaikan
ke
atas
aturcara.
8.4
Pengesahan Data Output

Data output daripada aplikasi perlu disahkan bagi
memastikan maklumat yang dihasilkan adalah tepat.
8.5
8.5.1
Pentadbir
Sistem
Kawalan Kriptografi
Melindungi
kerahsiaan,
integriti
dan
kesahihan
Pengurus ICT
maklumat yang merangkumi data di dalam sistem

rangkaian, sistem aplikasi dan pangkalan data. Kunci
enkripsi mestilah dilindungi dengan menggunakan
cara
kawalan
dirahsiakan.
daripada
yang
Semua
terbaik
kunci
pengubahsuaian,
dan
hendaklah
mestilah
dilindungi
pemusnahan
dan
sebaran tanpa kebenaran sepanjang kitaran hayat

kunci tersebut.
8.5.2
Kriptografi turut merangkumi kaedah-kaedah seperti

berikut :
(a)
Enkripsi
Sistem aplikasi yang melibatkan maklumat
terperingkat
hendaklah
dibuat
enkripsi
(encryption).
(b)
Tandatangan Digital
Maklumat terperingkat yang perlu diproses
dan dihantar secara elektronik hendaklah
menggunakan
tandatangan
digital
mengikut keperluan pelaksanaan.

(c)
Pengurusan Infrastruktur Kunci Awam /

Public Key Infrastructure (PKI)
Pengurusan
ke
atas
dilakukan
dengan
PKI
hendaklah
berkesan
dan
Pentadbir
Sistem
VERSI
DASAR
KESELAMATAN ICT
MINDEF
4.0
TARIKH KUATKUASA
30 OGOS 2013
MUKA SURAT
64/91
selamat bagi melindungi kunci berkenaan

dari diubah,
dimusnah dan didedahkan
sepanjang tempoh sah kunci tersebut.

8.6
8.6.1
Keselamatan Fail Sistem Dan Kod Sumber Program

Fail sistem dan kod sumber program perlu dikawal
Pengurus ICT
dan dikendalikan dengan baik dan selamat.

8.6.2

berikut :
(a)
Mewujudkan
prosedur
kawalan
Pentadbir
Sistem
bagi
pemasangan perisian sistem yang sedang

beroperasi;
(b)
Melindungi dan mengawal data-data ujian;

dan
(c)
Menghadkan capaian ke atas kod sumber

program.
8.7
8.7.1
Keselamatan Dalam Proses Pembangunan Dan Sokongan

Proses pembangunan dan sokongan perlu dikawal
Pengurus ICT
bagi menjamin keselamatan sistem maklumat dan

aplikasi.
8.7.2

berikut :
(a)
Mengawal
pelaksanaan
menggunakan
perubahan
prosedur
kawalan
perubahan yang telah ditetapkan;

(b)
Mengkaji semula dan menguji aplikasi

kritikal semasa melaksanakan perubahan
ke atas sistem yang sedang beroperasi;
(c)
Mengawal perubahan dan / atau pindaan

ke atas pakej perisian dan memastikan
sebarang
perubahan
adalah
terhad
Pentadbir
Sistem
DASAR
KESELAMATAN ICT
MINDEF
VERSI
4.0
TARIKH KUATKUASA
30 OGOS 2013
MUKA SURAT
65/91
mengikut keperluan sahaja;

(d)
Menghalang
sebarang
ruang
untuk
membocorkan maklumat; dan

(e)
Mengawal
selia
dan
memantau
pembangunan perisian oleh pembekal,

pakar perunding dan pihak-pihak lain yang
terlibat.
8.8
8.8.1
Pembangunan Perisian Secara Outsource

Pembangunan
perisian
secara
outsource
perlu
Pengurus ICT
diselia dan dipantau oleh Pengurus ICT. Kod sumber

program bagi semua aplikasi dan perisian adalah
menjadi hak milik MinDef.
8.9
8.9.1
Pengurusan Keterdedahan Teknikal

Kawalan
terhadap
keterdedahan
teknikal
perlu
Pengurus ICT
dilaksanakan ke atas sistem pengoperasian dan

sistem aplikasi yang digunakan.
8.9.2
Perkara-perkara yang perlu dipatuhi adalah :(a)
Memperoleh
keterdedahan
maklumat
sistem
maklumat
teknikal
yang
digunakan;
(b)
Menilai
tahap
keterdedahan
bagi
mengenalpasti tahap risiko yang bakal

dihadapi; dan
(c)
Mengambil langkah-langkah kawalan untuk

mengatasi risiko berkaitan.
Pentadbir
Sistem
DASAR
KESELAMATAN ICT
MINDEF
VERSI
4.0
TARIKH KUATKUASA
30 OGOS 2013
MUKA SURAT
66/91
BIDANG 9 : PENGURUSAN PENGENDALIAN INSIDEN KESELAMATAN ICT

Objektif
Memastikan tindakan menangani insiden keselamatan ICT diambil dengan cepat,
tepat dan berkesan bagi memastikan perkhidmatan ICT MinDef dapat beroperasi
semula seperti sediakala.
Bil
9.1
9.1.1
Perkara
Prosedur Pengurusan Insiden Keselamatan ICT
Prosedur bagi mengurus insiden keselamatan ICT
Tanggungjawab
MinDefCERT
perlu diwujud dan didokumenkan. MinDefCERT perlu

melaksanakan pengurusan pengendalian insiden
keselamatan ICT berpandukan prosedur operasi
standard (SOP) keselamatan ICT MinDef.
9.1.2

(a)
Mengenalpasti
keselamatan
semua
ICT
perkhidmatan
jenis
seperti
yang
MinDefCERT
insiden
gangguan
disengajakan,
pemalsuan identiti dan pengubahsuaian

perisian tanpa kebenaran;
(b)
Mematuhi Pelan Pemulihan Bencana ICT

MinDef seperti yang telah digariskan dalam
Pelan
Kesinambungan
Perkhidmatan
MinDef;
(c)
Menyimpan jejak audit dan memelihara

bahan bukti; dan
(d)
9.1.3
Menyediakan pelan tindakan pemulihan.
Insiden keselamatan ICT adalah termasuk yang

berikut :
(a)
Maklumat didapati atau disyaki hilang

(serangan virus, kecurian dan lain-lain);
(b)
Maklumat didedahkan kepada pihak-pihak
MinDefCERT
DASAR
KESELAMATAN ICT
MINDEF
VERSI
4.0
TARIKH KUATKUASA
30 OGOS 2013
MUKA SURAT
67/91
yang tidak diberi kuasa;

(c)
Sistem maklumat disyaki digunakan tanpa

kebenaran;
(d)
Kecurian maklumat / data;
(e)
Kata laluan dan mekanisme kawalan akses

dikompromi;
(f)
Sistem beroperasi secara tidak normal

seperti kehilangan maklumat kegagalan
fungsi sistem atau kesilapan / ralat dalam
komunikasi data; dan
(g)
Berlaku
pencerobohan
atau
cubaan
menceroboh dan penyelewengan data.

9.1.4
Pelaporan insiden keselamatan ICT berdasarkan :

(a)
MinDefCERT
Pekeliling Am Bilangan 1 Tahun 2001

bertajuk Mekanisme Pelaporan Insiden
Keselamatan ICT.
(b)
Surat Pekeliling Am Bilangan 4 Tahun

2006 Pengurusan Pengendalian Insiden
Keselamatan
Teknologi
Maklumat
dan
Komunikasi Sektor Awam.

9.2
9.2.1
Mekanisme Pelaporan Insiden Keselamatan ICT

Pelaporan
Semua insiden keselamatan ICT yang berlaku mesti
Warga MinDef
dilaporkan kepada MinDefCERT dengan segera

supaya siasatan dan tindakan pemulihan dapat
dilakukan. Semua maklumat adalah sulit dan hanya
boleh
didedahkan
kepada
pihak-pihak
yang
dibenarkan sahaja.
9.2.2
Pelantikan Pegawai Bertanggungjawab

Pegawai Keselamatan ICT (ICTSO) dan anggota
MinDefCERT
mesti dilantik
secara
rasmi oleh
CIO dan
Ketua Jabatan
VERSI
DASAR
KESELAMATAN ICT
MINDEF
4.0
TARIKH KUATKUASA
30 OGOS 2013
MUKA SURAT
68/91
kementerian dan dimaklumkan kepada semua warga

MinDef.
9.2.3
Tanggungjawab Pengguna
Semua insiden keselamatan ICT mesti dilaporkan
Pengguna
kepada MinDefCERT.
9.3
9.3.1
Pengurusan Maklumat Insiden Keselamatan ICT

Maklumat mengenai insiden keselamatan ICT perlu
dikumpul,
dianalisa
dan
disimpan
bagi
MinDefCERT
tujuan
perancangan dan tindakan untuk melaksanakan

peningkatan dan kawalan tambahan.
9.3.2
MinDefCERT hendaklah memastikan bahan-bahan
MinDefCERT
bukti berkaitan insiden keselamatan ICT dapat

disediakan,
disimpan,
disenggarakan
dan
mempunyai perlindungan keselamatan. Penyediaan

bahan-bahan bukti seperti jejak audit, backup berkala
dan off-site backup hendaklah mengikut tatacara
yang sedang berkuatkuasa di
MinDef.
Agensi
hendaklah memastikan semua bahan bukti adalah

selaras dengan peraturan pengumpulan maklumat
dari segi kualiti, kelengkapan dan kebolehpercayaan
bahan bukti yang termaktub dalam bidang kuasa
perundangan berkenaan.
9.3.3
Perkara-perkara yang mesti dipatuhi termasuk yang

berikut :
(a)
Melindungi integriti bahan bukti;
(b)
Mengumpul dan menyimpan bahan bukti

bagi tujuan analisis;
(c)
Merekod
semua
maklumat
insiden
termasuk maklumat pegawai yang terlibat,

perisian, perkakasan dan peralatan yang
MinDefCERT
DASAR
KESELAMATAN ICT
MINDEF
VERSI
4.0
TARIKH KUATKUASA
30 OGOS 2013
MUKA SURAT
69/91
digunakan;
(d)
Memaklumkan kepada
perundangan,
seperti
pihak
pegawai
berkuasa
undang
undang dan polis (jika perlu);

(e)
Mendapatkan nasihat dari pihak berkuasa

perundangan
ke atas bahan bukti yang
diperlukan (jika perlu); dan

(f)
9.4
Menyediakan laporan insiden kepada CIO.
Pengurusan Insiden Keselamatan Aset Bukan ICT

Insiden keselamatan aset bukan ICT penting untuk
dipantau kerana insiden ini boleh menjadi permulaan
kepada insiden keselamatan aset ICT.
Rujuk Arahan Pekeliling Keselamatan dan Lalulintas
Kompleks
berkuatkuasa.
Kementerian
Pertahanan
yang
MinDefCERT
VERSI
DASAR
KESELAMATAN ICT
MINDEF
4.0
TARIKH KUATKUASA
30 OGOS 2013
MUKA SURAT
70/91
BIDANG 10 : PENGURUSAN KESINAMBUNGAN PERKHIDMATAN

Objektif
Menjamin operasi perkhidmatan agar tidak tergendala dan memastikan penyampaian
perkhidmatan yang berterusan kepada pengguna.
Bil
10.1
10.1.1
Perkara
Pelan Kesinambungan Perkhidmatan
Pelan
Kesinambungan
Tanggungjawab
Perkhidmatan
hendaklah
KSU
dibangunkan untuk menentukan pendekatan yang

menyeluruh diambil bagi mengekalkan kesinambungan
perkhidmatan. Pelan ini mestilah diluluskan oleh
Pengurusan MinDef.
10.1.2

(a)
Mengenalpasti semua tanggungjawab dan

prosedur kecemasan dan pemulihan;
(b)
Melaksanakan prosedur kecemasan bagi

membolehkan pemulihan dapat dilakukan
secepat mungkin atau dalam jangka masa
yang telah ditetapkan;
(c)
Mendokumenkan proses dan prosedur yang

telah dipersetujui;
(d)
Mengenalpasti
peristiwa
yang
boleh
mengakibatkan gangguan terhadap proses

bisnes
MinDef
serta
impak
ke
atas
keselamatan ICT;
(e)
Mengadakan
program
latihan
kepada
pengguna mengenai prosedur kecemasan;

(f)
Membuat backup; dan
(g)
Menguji dan mengemaskini pelan sekurangkurangnya setahun sekali.
CIO
DASAR
KESELAMATAN ICT
MINDEF
10.2
10.2.1
VERSI
4.0
TARIKH KUATKUASA
30 OGOS 2013
MUKA SURAT
71/91
Pengurusan Penilaian Risiko Keselamatan ICT

Penilaian
risiko
keselamatan
ICT
bertujuan
Pengurus ICT
membolehkan MinDef mengukur serta menganalisis

tahap risiko aset ICT dan seterusnya mengambil
tindakan untuk mengawal dan mengurangkan risiko.
10.2.2
Ketua Bahagian ICT hendaklah :

(a)
Bertanggungjawab
memastikan
penilaian
Ketua Bahagian
ICT
risiko keselamatan ICT dilaksanakan secara

berkala atau sekiranya terdapat perubahan
ke atas persekitaran agensi;
(b)
Mengambil
tindakan
mengurangkan
bersesuaian
untuk
mengawal
risiko
atau
keselamatan ICT berdasarkan penemuan

penilaian risiko; dan
(c)
Melaksanakan
penilaian
risiko
mengikut
peraturan atau prosedur yang ditetapkan

oleh kerajaan dari semasa ke semasa.
10.2.3
Proses analisis risiko keselamatan ICT perlu dilakukan
Pengurus ICT
secara berkala atau sekiranya terdapat perubahan ke

atas
persekitaran
agensi.
Laporan
hendaklah
dibentangkan kepada pengurusan atasan MinDef atau

JPICT MinDef.
Proses pengurusan risiko adalah
seperti di Rajah 4.
10.2.4
Perkara-perkara
berikut perlu diambil kira sebelum
analisis risiko ke atas ICT dilakukan :

(a)
Aset-aset ICT;
(b)
Sumber
Manusia
(Warga
MinDef
dan
kontraktor);
(c)
Persekitaran
ICT
kemudahan); dan
(bangunan
dan
Pentadbir
Sistem
VERSI
DASAR
KESELAMATAN ICT
MINDEF
(d)
4.0
TARIKH KUATKUASA
30 OGOS 2013
MUKA SURAT
72/91
Aktiviti-aktiviti ICT (operasi, senggaraan dan

pembangunan).
10.2.5
Penilaian
risiko
keselamatan
ICT
hendaklah
dilaksanakan ke atas aset-aset ICT berdasarkan
Pentadbir
Sistem
prosedur yang telah ditetapkan oleh MinDef.

10.2.6
(a)
Setiap
Jabatan / Bahagian adalah
bertanggungjawab melaksana dan mengurus

risiko keselamatan ICT masing-masing.
(b)
Tindakan
menghadapi
yang
perlu
diambil
kemungkinan
risiko
bagi
adalah
seperti berikut :
i.
Mengurang
risiko
melaksanakan
kawalan
dengan
yang
bersesuaian;
ii.
Menerima dan bersedia berhadapan

dengan risiko yang mungkin terjadi;
iii.
Mengelak dan mencegah risiko dari

terjadi dengan mengambil tindakan
secara proaktif; dan
iv.
Memindahkan risiko kepada pihak lain

seperti pembekal, pakar runding dan
pihak lain.
Pentadbir
Sistem
DASAR
KESELAMATAN ICT
MINDEF
VERSI
4.0
TARIKH KUATKUASA
30 OGOS 2013
MUKA SURAT
73/91
Mengenal pasti Aset
Nilai Aset dan

Penentuan
Kebergantungan
Di Antara Aset
Penilaian
Terhadap
Ancaman
Penilaian
Terhadap
Kelemahan
Mengenal pasti
Perlindungan Sedia
Ada / Yang Dirancang
Penilaian Risiko
Rajah 4: Proses Pengurusan Risiko
VERSI
DASAR
KESELAMATAN ICT
MINDEF
4.0
TARIKH KUATKUASA
30 OGOS 2013
MUKA SURAT
74/91
BIDANG 11 : PEMATUHAN
Objektif
Meningkatkan tahap kesedaran dan keselamatan ICT bagi mencegah pelanggaran
Dasar Keselamatan ICT MinDef (DKICT).
Bil
11.1
11.1.1
Perkara
Tanggungjawab
Pematuhan Dasar
Setiap
Warga
MinDef
hendaklah
membaca,
Warga MinDef
memahami dan mematuhi DKICT, undang-undang

dan peraturan-peraturan lain yang berkuatkuasa.
11.1.2
ICTSO
MinDef
memantau
bertanggungjawab
aktiviti
pengguna
dan
untuk
berhak
ICTSO
mengesan
penggunaan aset ICT MinDef bagi tujuan selain dari

yang telah ditetapkan.
11.2
Pematuhan Keperluan Audit

Pematuhan kepada keperluan audit perlu bagi
meminimumkan
keberkesanan
ancaman
proses
dan
audit
memaksimumkan
sistem
Pentadbir
Sistem
maklumat.
Keperluan audit perlu dirancang dan dipersetujui

terlebih dahulu bagi melancarkan proses audit.
11.3
Keperluan Perundangan
11.3.1
Keperluan perundangan perlu dipatuhi berdasarkan
Warga MinDef
kepada kepada peraturan-peraturan yang telah

ditetapkan.
11.3.2
Berikut
adalah
keperluan
perundangan
atau
peraturan-peraturan lain yang perlu dipatuhi oleh

semua pengguna :
(a)
Arahan Keselamatan;
(b)

bertajuk
Teknologi
Rangka
Dasar
Maklumat
dan
Keselamatan
Komunikasi
Warga MinDef
DASAR
KESELAMATAN ICT
MINDEF
VERSI
4.0
TARIKH KUATKUASA
30 OGOS 2013
MUKA SURAT
75/91
Kerajaan;
(c)

bertajuk Mekanisme Pelaporan Insiden
Keselamatan
Teknologi
Maklumat
dan
Komunikasi (ICT);
(d)
Pekeliling Kemajuan Pentadbiran Awam

Bilangan 1 Tahun 2003 bertajuk Garis
Panduan Mengenai Tatacara Penggunaan
Internet dan Mel Elektronik di Agensiagensi Kerajaan;
(e)
Surat Pekeliling Am Bilangan 6 Tahun

2005 Garis Panduan Penilaian Risiko
Keselamatan Maklumat Sektor Awam;
(f)
Akta Tanda Tangan Digital 1997;
(g)
Akta Jenayah Komputer 1997;
(h)
Akta Hak cipta (Pindaan) Tahun 1997;
(i)
Akta Komunikasi dan Multimedia 1998;
(j)
Malaysian Public Sector Management of

Information
and
Communications
Technology Security Handbook (MyMIS);

dan
(k)
Surat MAMPU dengan rujukan UPTM (S)

159/338/8 Jilid 30 (84) bertajuk Langkahlangkah
untuk
memperkukuhkan
keselamatan rangkaian setempat tanpa

wayar (Wireless Local Area Network) di
Agensi-agensi Kerajaan.
11.4
Pelanggaran Perundangan
Pelanggaran dasar ini boleh dikenakan tindakan
undang-undang dan tatatertib di bawah Akta Rahsia
Rasmi 1972 dan Perintah-Perintah Am Bab D
Warga MinDef
DASAR
KESELAMATAN ICT
MINDEF
VERSI
4.0
TARIKH KUATKUASA
30 OGOS 2013
MUKA SURAT
76/91
Peraturan-peraturan Pegawai Awam (Kelakuan Dan

Tatatertib).
11.5
Pematuhan Kepada Dasar, Standard Dan Teknikal Keselamatan
11.5.1
Dasar
ini
bertujuan
memastikan
keselamatan
ICTSO
maklumat disemak secara berkala supaya patuh dan

selaras dengan dasar dan standard keselamatan
MinDef.
11.5.2

(a)
Pegawai penyelia hendaklah memastikan

bahawa semua peraturan keselamatan
dikawal
selia
masing-masing
dipatuhi
selaras dengan perundangan, peraturan

dan lain-lain keperluan keselamatan;
(b)
Sistem maklumat hendaklah disemak dan

diuji
secara
mematuhi
berkala
untuk
pelaksanaan
pastikan
standard
keselamatan yang ditetapkan;

(c)
ICTSO perlu memastikan semua prosedur

keselamatan dalam bidang tugas masingmasing mematuhi dasar, standard dan
keperluan teknikal;
(d)
Sistem
maklumat
pemeriksaan
mematuhi
perlu
secara
standard
melalui
berkala
bagi
pelaksanaan
keselamatan; dan
(e)
Sebarang penilaian pematuhan teknikal

seperti
aktiviti
Security
Posture
Assessment (SPA) mestilah dijalankan

oleh
individu
dibenarkan.
yang
kompeten
dan
ICTSO dan
Pengurus ICT
DASAR
KESELAMATAN ICT
MINDEF
VERSI
4.0
TARIKH KUATKUASA
30 OGOS 2013
MUKA SURAT
77/91
GLOSARI
TERMINOLOGI
MAKSUD
Arahan Keselamatan
Panduan
keselamatan
mengenai
yang
peraturan-peraturan
perlu
dipatuhi
oleh
semua
kakitangan kerajaan.
Aset ICT
Komponen-komponen
yang
perkakasan,
perkhidmatan,
perisian,
terdiri
daripada
data
atau
maklumat dan manusia.

Bahagian Staf Perisikan
Pertahanan (BSPP)
Bahagian yang mengendalikan tugas-tugas perisikan

Angkatan Tentera Malaysia, bertanggungjawab terus
kepada Panglima Angkatan Tentera.
Central Processing Unit

(CPU)
Perkakasan yang terdiri daripada processor, hard
Chief Information
Officer (CIO)
Individu yang dilantik dan bertanggungjawab ke atas
Clear Desk and Clear

Screen
Konsep tidak meninggalkan sebarang maklumat
disk, memory dan motherboard.
pengurusan maklumat organisasi.
sama ada atas meja atau dipaparan skrin apabila

pengguna tidak berada di tempatnya.
Enkripsi
Kaedah pertukaran format data daripada bentuk asal

kepada bentuk lain menggunakan algoritma tertentu.
Firewall
Peralatan dalam bentuk perkakasan dan perisian

untuk mencegah capaian ke atas maklumat pada
server atau rangkaian oleh pengguna yang tidak
dibenarkan.
Intrusion Detection
Satu peralatan yang digunakan untuk memantau
DASAR
KESELAMATAN ICT
MINDEF
VERSI
4.0
TARIKH KUATKUASA
30 OGOS 2013
MUKA SURAT
78/91
TERMINOLOGI
MAKSUD
Sistem (IDS)
atau merekod cubaan pencerobohan.
Jawatankuasa
Pemandu ICT MinDef
Jawatankuasa tertinggi di peringkat Kementerian

Pertahanan yang diketuai oleh CIO dan dianggotai
oleh ICTSO, Ketua Pengarah STRIDE,
Ketua
Pengarah JLKN, Ketua Pengarah JHEV, SUB

BADSA, SUB Bahagian Perolehan, SUB Bahagian
Kewangan, SUB Bahagian Pembangunan dan SUB
Bahagian Pengurusan Sumber Manusia.
Jawatankuasa ini berperanan memperakui, melulus
dan menguatkuasa dasar, halatuju, garis panduan
dan standard keselamatan ICT.
Jawatankuasa Teknikal
ICT MinDef
Jawatankuasa
yang
penilaian
aspek
dari
dibentuk
bagi
keupayaan
membuat
teknikal
dan
keselamatan bagi sesuatu projek ICT.

Jejak Audit (Audit Trail)
Satu proses untuk mengenalpasti semua aktiviti yang

dilakukan
oleh
komputer
dalam
memproses
kemasukan data, penjanaan output dan segala

aktiviti yang terlibat di antaranya.
Kata laluan
Satu gabungan antara huruf dan nombor atau aksara

khusus untuk mengesahkan pengenalan diri bagi
capaian kepada sesuatu sistem.
Ketua Jabatan
Pegawai
tentera
atau
awam
yang
mengetuai
sesebuah Jabatan / Bahagian / Unit.

Kriptografi
Proses penukaran format maklumat asal kepada
DASAR
KESELAMATAN ICT
MINDEF
TERMINOLOGI
VERSI
4.0
TARIKH KUATKUASA
30 OGOS 2013
MUKA SURAT
79/91
MAKSUD
format
maklumat
yang
hanya
boleh
difahami
menggunakan fungsi tertentu.

Media Storan
Peralatan untuk menyimpan maklumat digital.
Mel Elektronik
Mel yang dihantar secara elektronik.
MinDefCERT
Pasukan yang bertanggungjawab dan bertindak

apabila berlaku insiden keselamatan ICT di MinDef.
Outsource
Menggunakan khidmat nasihat dari konsultan luar

bagi melaksanakan projek-projek ICT disebabkan
kekurangan kemahiran dan sumber manusia.
Pembekal
Individu
atau
kumpulan
yang
menyediakan
perkhidmatan ICT MinDef.

Pegawai Keselamatan
ICT (ICTSO)
Pegawai yang bertanggungjawab untuk menjaga
Pegawai Keselamatan
Jabatan / Bahagian
Merujuk kepada semua Ketua Jabatan / Bahagian.
Pegawai Keselamatan
MinDef
Merujuk kepada Ketua Setiausaha MinDef.
Pelan Kesinambungan
Perkhidmatan
Pelan tindakan untuk mengekalkan kesinambungan
Pengenalpastian
(Authentication)
Satu kaedah untuk mengenalpasti identiti pengguna,
keselamatan maklumat ICT.
perkhidmatan.
peralatan,
atau
entiti
dalam
sistem
komputer
sebelum kebenaran diberikan untuk mengakses

kepada sesuatu sistem.
VERSI
DASAR
KESELAMATAN ICT
MINDEF
4.0
TARIKH KUATKUASA
30 OGOS 2013
MUKA SURAT
80/91
TERMINOLOGI
MAKSUD
Pengguna
Tentera dan penjawat awam yang bekerja dan

menggunakan rangkaian dan aset ICT di mana-mana
organisasi di bawah Kementerian Pertahanan.
Pengurus ICT
Ketua-ketua
ICT
di
Jabatan,
Bahagian
dan
Perkhidmatan ATM.
Pentadbir Sistem
Pegawai yang bertanggungjawab untuk menjalankan

tugas-tugas pentadbiran sesuatu sistem ICT.
Perkakasan
Semua aset yang digunakan untuk menyokong

pemprosesan maklumat dan kemudahan storan
MinDef.
Contoh
komputer,
server,
peralatan
komunikasi dan sebagainya.

Perkhidmatan
Perkhidmatan atau sistem yang menyokong aset lain

untuk melaksanakan fungsi-fungsinya. Contoh :
i.
Perkhidmatan rangkaian seperti LAN, WAN

dan lain-lain;
ii. Sistem halangan akses seperti sistem kad

akses; dan
iii. Perkhidmatan sokongan seperti kemudahan
elektrik, penghawa dingin, sistem pencegah
kebakaran dan lain-lain.
DASAR
KESELAMATAN ICT
MINDEF
VERSI
4.0
TARIKH KUATKUASA
30 OGOS 2013
MUKA SURAT
81/91
TERMINOLOGI
MAKSUD
Perisian
Program, prosedur atau peraturan yang ditulis dan

dokumentasi
yang
berkaitan
dengan
sistem
pengoperasian komputer yang disimpan di dalam

sistem ICT. Contoh perisian aplikasi atau perisian
sistem
seperti
sistem
pengoperasian,
sistem
pangkalan data, perisian sistem rangkaian, atau

aplikasi pejabat yang menyediakan kemudahan
pemprosesan maklumat kepada MinDef.
Rangkaian Dalaman
(Private Network)
Rangkaian komputer persendirian yang digunakan
Rangkaian MinDef
Semua rangkaian yang wujud di bawah Kementerian
bagi sesuatu projek atau perkhidmatan.
Pertahanan.
Telecommuting
Merupakan satu cara yang membolehkan pegawai

untuk melaksanakan tugas di mana sahaja dan
dalam masa yang sama berhubung secara terus
(Online) dengan pejabat.
Uninterruptible Power
Supply (UPS)
Peranti yang mengandungi bateri yang menyimpan

kuasa yang bertujuan untuk mengambil alih peranan
kuasa elektrik sekiranya berlaku gangguan bekalan
kuasa.
Warga MinDef
Semua
pegawai
dan
kakitangan
Kementerian
Pertahanan termasuk awam dan tentera.
DASAR
KESELAMATAN ICT
MINDEF
VERSI
4.0
TARIKH KUATKUASA
30 OGOS 2013
MUKA SURAT
82/91
KEMBARAN A
SURAT AKUAN PEMATUHAN
DASAR KESELAMATAN ICT MINDEF
Nama : ..................................................................................................................
No. KP / Tentera : ...................................................................................................
Pangkat / Jawatan : .................................................................................................
Kementerian / Jabatan / Bahagian / Syarikat
: ...................................................................................................................
Adalah dengan sesungguhnya dan sebenarnya mengaku bahawa :
1.
Saya telah mengikuti Taklimat Dasar Keselamatan ICT MinDef.
2.
Saya juga telah membaca, memahami dan akur akan peruntukanperuntukan yang terkandung di dalam Dasar Keselamatan ICT
MinDef.
3.
Sekiranya
saya
ingkar
kepada
peruntukan-peruntukan
yang
ditetapkan, maka tindakan undang-undang boleh diambil ke atas diri

saya.
..................................................
( Tandatangan)
Tarikh : ....................................
Pengesahan Pegawai Keselamatan ICT (ICTSO)
.........................................................
( Nama / Pangkat)
b.p. Ketua Setiausaha
Tarikh : ....................................
Cop Jabatan
DASAR
KESELAMATAN ICT
MINDEF
VERSI
TARIKH KUATKUASA
4.0
30 OGOS 2013
MUKA SURAT
83/91
KEMBARAN B
ETIKA PENGGUNAAN INTERNET
DAN
E-MEL KEMENTERIAN PERTAHANAN
A.
Etika Penggunaan Internet

1.
Capaian
Internet
hendaklah menggunakan
terminal
yang
dikhaskan untuk Internet sahaja dan dilengkapi dengan ciri-ciri

sistem keselamatan.
2.
Laman yang dilayari hendaklah hanya yang berkaitan dengan

bidang kerja dan terhad untuk tujuan yang dibenarkan oleh
Ketua Jabatan.
3.
Melayari laman web yang menentang pemerintahan kerajaan,

berunsur hasutan dan mempunyai unsur-unsur lucah adalah
dilarang sama sekali.
4.
Pengguna hendaklah memastikan ketepatan dan kesahihan

bahan yang diperolehi dari Internet.
5.
Rujukan yang didapati daripada sumber Internet hendaklah

dinyatakan dengan jelas.
6.
Bahan rasmi yang hendak dimuat naik ke internet hendaklah

disemak dan mendapat pengesahan daripada Ketua Jabatan
sebelum dimuat naik.
7.
Tindakan memuat turun hanya dibenarkan ke atas bahan yang

sah seperti perisian yang berdaftar di bawah hak cipta
terpelihara.
DASAR
KESELAMATAN ICT
MINDEF
8.
VERSI
4.0
TARIKH KUATKUASA
30 OGOS 2013
MUKA SURAT
84/91
Pengguna hendaklah memastikan sebarang bahan yang dimuat

turun dari internet mestilah bebas daripada kod perosak (virus,
worm, trojan horse dan trap door).
9.
Bahan yang dimuat turun hendaklah digunakan untuk tujuan

yang dibenarkan oleh jabatan sahaja.
10.
Kandungan perbincangan awam seperti newsgroup dan bulletin

board mestilah mendapat pengesahan daripada Ketua Jabatan
tertakluk kepada dasar dan tatacara yang telah ditetapkan.
11.
Pengguna
yang
memasuki
perbincangan
awam
adalah
bertanggunjawab untuk mengekalkan konsistensi dan keutuhan

maklumat yang dikongsi.
12.
Pengguna adalah DILARANG daripada memuat naik, memuat

turun dan menyimpan gambar atau teks yang bercorak
penentangan yang boleh membawa keadaan huru-hara dan
menakutkan pengguna internet yang lain.
13.
Pengguna
adalah
DILARANG
daripada
memuat
turun,
menyimpan dan menggunakan perisian berbentuk hiburan atas

talian seperti permainan elektronik, video dan lagu.
14.
Pengguna adalah DILARANG untuk menggunakan kemudahan

chatting melalui internet.
15.
Pengguna
adalah
DILARANG
daripada
menyedia
dan
menghantar maklumat berulang-ulang yang berupa gangguan.

Rujukan
1.
Pekeliling Kemajuan Pentadbiran Awam Bilangan 1 Tahun 2003
DASAR
KESELAMATAN ICT
MINDEF
B.
VERSI
TARIKH KUATKUASA
MUKA SURAT
4.0
30 OGOS 2013
85/91
Etika Penggunaan E-mel Rasmi (@mod.gov.my)

1.
Semua warga Mindef boleh memohon kemudahan e-mel

mengikut keperluan tugas dan mendapat kelulusan dari Ketua
Jabatan.
2.
Akaun e-mel yang diberi adalah bukan hak persendirian.
3.
Pentadbir Sistem E-mel berhak memantau dan mengakses

akaun e-mel atas sebab-sebab kepentingan kementerian.
4.
Alamat e-mel hendaklah berdasarkan naming convention yang

telah ditetapkan iaitu berdasarkan nama pemohon dan jika ada
persamaan nama, nama bapa akan ditambah pada nama dan
dipisahkan oleh titik (dot).
5.
Penggunaan akaun e-mel hanya untuk urusan rasmi sahaja.
6.
Penggunaan akaun e-mel rasmi sebagai akaun e-mel peribadi

adalah tidak digalakkan.
7.
Maklumat terperingkat adalah tidak dibenarkan sama sekali

dihantar melalui e-mel.
8.
Saiz e-mel termasuk e-mel yang mengandungi fail kepilan yang

dihantar atau diterima hanya dibenarkan sehingga 10 megabait.
Kaedah pemampatan untuk mengurangkan saiz fail adalah
disarankan.
9.
Penyimpanan salinan e-mel pada sumber storan kedua seperti

disket dan pen drive adalah digalakkan bagi tujuan keselamatan.
10.
Semua e-mel lama hendaklah diarkibkan untuk simpanan dan

rujukan pada masa hadapan.
DASAR
KESELAMATAN ICT
MINDEF
11.
VERSI
4.0
TARIKH KUATKUASA
30 OGOS 2013
MUKA SURAT
86/91
Semua e-mel yang telah selesai diambil tindakan hendaklah

dihapuskan
selepas
disimpan
dalam
storan
kedua
dan
diarkibkan.
12.
Pengguna hendaklah memastikan e-mel yang diterima bebas

daripada kod perosak (virus, worm, trojan horse dan trap door).
13.
E-mel yang diragui atau tidak dikenali hendaklah dihapuskan

dengan segera.
14.
Pengguna adalah bertanggungjawab untuk melaporkan kepada

Pentadbir Sistem E-mel di BPM apabila menerima e-mel yang
meragukan atau tidak dikenali.
15.
Pengguna adalah DILARANG untuk menggunakan akaun e-mel

milik orang lain.
16.
Pengguna
adalah
DILARANG
untuk
menyamar
sebagai
penghantar maklumat yang sah.

17.
Pengguna adalah DILARANG daripada menyebarkan kod

perosak (virus, worm, trojan horse dan trap door) yang boleh
merosakkan sistem komputer dan maklumat pengguna lain.
18.
Pengguna adalah DILARANG daripada membenarkan pihak lain

untuk menjawab e-mel kepada penghantar asal bagi pihaknya
Rujukan
1.
Pekeliling Kemajuan Pentadbiran Awam Bilangan 1 Tahun 2003
DASAR
KESELAMATAN ICT
MINDEF
VERSI
4.0
TARIKH KUATKUASA
30 OGOS 2013
MUKA SURAT
87/91
KEMBARAN C
POLISI BERKAITAN BRING YOUR OWN DEVICE (BYOD)
BYOD adalah peralatan mudah alih persendirian seperti telefon pintar, tablet
dan laptop yang digunakan untuk tujuan rasmi. Walaupun fenomena ini berupaya
meningkatkan produktiviti, penggunaan peralatan mudah alih di tempat kerja
boleh menimbulkan risiko besar kepada keselamatan maklumat jika tidak
mempunyai strategi untuk menangani vektor ancaman baru ini.
Bagi kebanyakan organisasi, menyekat penggunaan peralatan mudah alih

peribadi adalah pilihan yang tidak realistik. Realiti bisnes masa kini terus
menekan
dan
memaksa
pengurusan
organisasi
untuk
membenarkan
penggunaan peralatan mudah alih peribadi bagi mencapai aplikasi dan data
rasmi organisasi, walaupun risiko yang bakal dihadapi adalah tinggi, tetapi risiko
ini perlu diuruskan dengan sebaiknya.
Risiko keselamatan melibatkan peralatan mudah alih peribadi boleh dibahagikan

kepada dua kategori iaitu risiko alat dan risiko aplikasi.
(a)
Risiko Alat berpunca daripada peralatan mudah alih peribadi

berkeupayaan tinggi seperti penyimpanan data samada dalaman atau
di cloud, penghantaran maklumat keluar daripada organisasi dan
kehilangan peralatan. Organisasi biasanya tidak mempunyai kawalan
atau mempunyai kawalan yang sangat terhad terhadap peralatan
mudah alih ini berbanding PC desktop atau komputer riba yang
dibekalkan.
(b)
Risiko Aplikasi timbul akibat daripada pekerja memasang aplikasi

mudah alih pihak ketiga yang berinteraksi dengan data rasmi
organisasi yang disimpan di dalam peralatan.
DASAR
KESELAMATAN ICT
MINDEF
VERSI
TARIKH KUATKUASA
MUKA SURAT
4.0
30 OGOS 2013
88/91
Empat Langkah Memastikan Keselamatan Penggunaan Peralatan

Mudah Alih Peribadi
Langkah 1 : Kurangkan Risiko dengan Pengurusan Peralatan Mudah Alih

(Mobile Device Management)
(a)
Contoh yang paling mudah lagi jelas mengenai risiko berkaitan peralatan
adalah pertukaran atau penggantian peralatan oleh warga MinDef seperti
penggantian iPhone 4 kepada iPhone 5.
(b)
Organisasi tidak mempunyai kawalan terhadap telefon pintar dan tablet

peribadi. Pertukaran dan penggantian peralatan mudah alih peribadi
adalah hak warga MinDef, walau bagaimanapun data yang disimpan dan
dihantar keluar dari organisasi melibatkan data rasmi organisasi.
Terdapat potensi ancaman yang besar seperti kehilangan data apabila
berlaku insiden seperti kehilangan telefon pintar atau tablet. Langkah
yang perlu diambil adalah dengan mengenal pasti dan mendaftar
peralatan mudah alih yang dibenarkan untuk mencapai data rasmi
organisasi.
(c)
Maklumat rasmi perlu dibuat pengkelasan dan peralatan mudah alih

yang dibenarkan untuk mencapai maklumat dan aplikasi mengikut
pengkelasan berkaitan perlu ditentukan.
(d)
Penggunaan tool Pengurusan Peralatan Mudah Alih boleh membantu

memudahkan pengurusan berikut:
Konfigurasi telefon pintar dan tablet
Agihan dan capaian perisian / aplikasi
Enkripsi dan pengurusan kata laluan
Remote wipe and lock
DASAR
KESELAMATAN ICT
MINDEF
VERSI
TARIKH KUATKUASA
4.0
30 OGOS 2013
MUKA SURAT
89/91
Langkah 2 : Kurangkan Risiko Muat Turun Aplikasi Melalui Polisi dan

Latihan
(a)
Aplikasi yang dimuat turun oleh warga MinDef melalui Internet ke dalam
telefon pintar dan tablet boleh mendatangkan ancaman dan risiko serta
impak yang besar terhadap keselamatan apabila peranti yang sama
digunakan untuk mencapai maklumat dan aplikasi rasmi MinDef. Sukar
untuk mewujudkan kawalan terhadap aplikasi yang dimuat turun dan
kebanyakan aplikasi yang dimuat turun daripada sumber yang tidak
diketahui berkemungkinan mengandungi malicious code.
(b)
Sesetengah aplikasi yang dimuat turun mempunyai keupayaan untuk

memuat naik maklumat dan gambar yang disimpan dalam peranti pintar
peribadi secara sulit dan tidak diketahui oleh pemiliknya. Pembekal
peranti pintar seperti Apple IOS atau Android belum mempunyai kaedah
khusus untuk menyekat ancaman ini daripada berlaku.
(c)
Bagi warga MinDef yang diberi kebenaran menggunakan telefon pintar

dan tablet peribadi untuk mencapai maklumat rasmi MinDef, muat turun
aplikasi perlu dibuat melalui sumber yang dipercayai (trusted AppStore).
Langkah 3 : Membangunkan Aplikasi Secara Dalaman
(a)
Banyak organisasi telah mula membangunkan aplikasi peralatan mudah

alih secara dalaman sebagai salah satu saluran komunikasi dan
melaksanakan bisnes dengan pelanggan dan pengguna.
(b)
Aplikasi yang dibangunkan ini menyediakan kaedah autentikasi sebelum

capaian kepada data organisasi dibenarkan.
(c)
Pembangunan aplikasi secara dalaman ini merupakan salah satu

langkah pilihan daripada membenarkan warga MinDef memuat turun
aplikasi daripada sumber yang tidak dipercayai.
(d)
Walau bagaimanapun aplikasi yang dibangunkan perlu mematuhi

metodologi pembangunan sistem secara selamat.
DASAR
KESELAMATAN ICT
MINDEF
VERSI
4.0
TARIKH KUATKUASA
30 OGOS 2013
MUKA SURAT
90/91
Langkah 4 : Melaksanakan Audit Keselamatan Terhadap Peralatan,

Infrastruktur dan Aplikasi Mudah Alih
(a)
Tidak ada sebarang strategi keselamatan peralatan mudah alih yang

komprehensif melainkan setelah audit keselamatan terhadap peralatan,
infrastruktur dan aplikasi dilaksanakan.
(b)
Pelaksanaan audit keselamatan perlu meliputi aspek berikut:
Membuat penilaian terhadap infrastruktur ICT mudah alih;
Melaksanakan ujian penembusan (penetration test) terhadap

peralatan mudah alih dan server yang terlibat;
Membuat
penilaian
terhadap
keselamatan
aplikasi
bagi
menentukan jika terdapat kemungkinan berlaku kebocoran

maklumat; dan
Menilai jurang antara polisi dan prosedur yang dikuatkuasakan

dengan amalan terbaik (best practices).

Dasar Keselamatan ICT MINDEF V 4.0

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Dasar Keselamatan ICT MINDEF V 4.0

Uploaded by

Copyright:

Available Formats

DASAR

DASAR KESELAMATAN TEKNOLOGI MAKLUMAT

tanggungjawab bersama warga MinDef untuk memastikan sistem ICT yang

pelbagai teknologi dan

platform sistem pengoperasian. Keadaan ini membuka ruang kepada ancaman

kawalan dapat dibuat dengan lebih berkesan. Kepentingan Dasar

Keselamatan ICT (DKICT) MinDef digambarkan seperti di Rajah 1.

Rajah 1 : Pelaksanaan Keselamatan ICT MinDef

DKICT MinDef mengandungi peraturan-peraturan yang mesti dibaca dan dipatuhi

Menghebahkan pendirian pihak pengurusan untuk mendukung

Menyediakan DKICT MinDef yang komprehensif, sesuai dengan

Melindungi kepentingan aset dan pihak yang bergantung kepada

penyalahgunaan dan kecurian;

Memastikan kelancaran operasi bisnes MinDef dengan mencegah

Memberi kesedaran keselamatan ICT kepada warga MinDef dan

Keselamatan ditakrifkan sebagai keadaan yang bebas daripada ancaman dan

Keselamatan ICT bermaksud keadaan di mana segala urusan menyedia dan

Melindungi maklumat rahsia rasmi dan maklumat rasmi kerajaan

Menjamin setiap maklumat adalah asli dan sempurna;

Memastikan ketersediaan maklumat apabila diperlukan; dan

Memastikan akses hanya kepada pengguna yang sah dan

DKICT MinDef merangkumi perlindungan ke atas semua bentuk maklumat

Integriti - Data dan maklumat hendaklah asli dan sempurna. Ia

Ketersediaan - Data dan maklumat hendaklah boleh diakses pada

Tidak Boleh Disangkal - Punca data dan maklumat hendaklah

Kesahihan - Data dan maklumat hendaklah dijamin kesahihannya.

DKICT MinDef merangkumi skop berikut :

perkhidmatan, data atau maklumat dan manusia;

Proses dan prosedur keselamatan ICT; dan

Tadbir urus keselamatan ICT.

DKICT MinDef merangkumi perlindungan ke atas semua bentuk maklumat kerajaan

Akses atas dasar perlu mengetahui

Hak akses minimum

mengemaskini, mengubah, membatal atau menghapus sesuatu

dipertanggungjawabkan atas tindakan mereka. Akauntabiliti atau

Menghalang pendedahan maklumat kepada pihak yang tidak

kesempurnaan dari semasa ke semasa;

Menentukan maklumat sedia untuk digunakan;

Menjaga kerahsiaan kata laluan;

Mematuhi standard, prosedur, langkah dan garis panduan

Memberi perhatian kepada maklumat berdarjah terutama

penyelenggaraan, penghantaran, penyampaian, pertukaran

kebocoran maklumat terperingkat atau dimanipulasi.

meminimumkan sebarang gangguan atau kerugian akibat daripada

kesinambungan perkhidmatan; dan

BIDANG 1 : PELAKSANAAN DASAR KESELAMATAN ICT

Setiausaha (KSU) dengan dibantu oleh Jawatankuasa

dan pembekal yang berurusan dengan MinDef.

tahun sekali atau sekiranya ada keperluan. Prosedur

Kenal pasti dan tentukan perubahan yang

Mengemukakan cadangan perubahan secara

Menyebarkan perubahan dasar yang telah

Pemakaian Dan Pengecualian Dasar

BIDANG 2 : ORGANISASI KESELAMATAN ICT

Peranan dan tanggungjawab Ketua Setiausaha (KSU)

adalah seperti berikut :

keselamatan ICT MinDef berfungsi dengan

Memastikan semua pengguna mematuhi DKICT

Memastikan semua keperluan keselamatan ICT

perlindungan keselamatan) adalah mencukupi;

keselamatan ICT dilaksanakan seperti yang

Ketua Pegawai Maklumat

tanggungjawab CIO adalah seperti berikut :