Dasar Keselamatan ICT

 

Embed or link this publication

Description

Versi 2.0

Popular Pages


p. 1

DASAR KESELAMATAN ICT PEJABAT SETIAUSAHA KERAJAAN (SUK) NEGERI SELANGOR VERSI 2.0 TARIKH BERKUATKUASA : 1 NOVEMBER 2015 ©Bahagian Teknologi Maklumat (BTM) SUK Selangor TARIKH BERKUATKUASA : 18 OGOS 2014

[close]

p. 2

DASAR KESELAMATAN ICT PEJABAT SUK SELANGOR SEJARAH DOKUMEN TARIKH 30 September 2015 29 April 2014 23 Januari 2013 04 Oktober 2010 VERSI 2.0 1.2 1.1 1.0 KELULUSAN JPICT Bil. 4/2015 JPICT Bil. 2/2014 JPICT Bil. 1/2013 JPICT Bil. 4/2010 TARIKH KUATKUASA 1 November 2015 18 Ogos 2014 05 Februari 2013 12 November 2010 i

[close]

p. 3

DASAR KESELAMATAN ICT PEJABAT SUK SELANGOR TARIKH 30 Sept 2015 VERSI 2.0 JADUAL PINDAAN BUTIRAN PINDAAN 1. Pindaan keseluruhan bagi memenuhi keperluan standard ISO/IEC 27001:2013 Information Security Management System (ISMS) ii

[close]

p. 4

DASAR KESELAMATAN ICT PEJABAT SUK SELANGOR ISI KANDUNGAN SEJARAH DOKUMEN...........................................................................................................................i JADUAL PINDAAN ..............................................................................................................................ii ISI KANDUNGAN.................................................................................................................................iii PENGENALAN .....................................................................................................................................1 OBJEKTIF .............................................................................................................................................1 PENYATAAN DASAR ..........................................................................................................................1 SKOP ....................................................................................................................................................2 PRINSIP-PRINSIP ................................................................................................................................4 PENILAIAN RISIKO KESELAMATAN ICT ..........................................................................................6 BIDANG 01 ...........................................................................................................................................8 DASAR KESELAMATAN (A.5 Information security policies)..........................................................8 0101 Dasar Keselamatan ICT .................................................................................... 8 010101 Pelaksanaan Dasar..................................................................................... 8 BIDANG 02 ...........................................................................................................................................9 ORGANISASI KESELAMATAN (A.6 Organization of information security) ..................................9 0201 Infrastruktur Organisasi Dalaman .................................................................... 9 020101 Y.B. Setiausaha Kerajaan Negeri (Y.B. SUK) ........................................ 9 BIDANG 03 .........................................................................................................................................18 KESELAMATAN SUMBER MANUSIA (A.7 Human resources security).......................................18 0301 Keselamatan Sumber Manusia Dalam Tugas Harian ................................ 18 030101 Sebelum Perkhidmatan ............................................................................ 18 030102 Semasa Perkhidmatan ............................................................................. 18 BIDANG 04 .........................................................................................................................................20 PENGURUSAN ASET (A.8 Asset management) .............................................................................20 0401 Akauntabiliti Aset .............................................................................................. 20 040101 Inventori Aset ICT ..................................................................................... 20 0402 Pengelasan dan Pengendalian Maklumat .................................................... 20 040201 Pengelasan Maklumat.............................................................................. 20 BIDANG 05 .........................................................................................................................................22 KAWALAN CAPAIAN (A.9 Access control) ....................................................................................22 0501 Dasar Kawalan Capaian.................................................................................. 22 050101 Keperluan Kawalan Capaian................................................................... 22 0502 Pengurusan Capaian Pengguna .................................................................... 22 iii

[close]

p. 5

DASAR KESELAMATAN ICT PEJABAT SUK SELANGOR 050201 Akaun Pengguna....................................................................................... 22 050202 Hak Capaian (Privilege) ........................................................................... 23 050203 Pengurusan Kata Laluan ......................................................................... 23 050204 Clear Desk dan Clear Screen ................................................................. 23 0503 Kawalan Capaian Rangkaian ......................................................................... 24 050301 Capaian Rangkaian .................................................................................. 24 050302 Capaian Internet........................................................................................ 24 0504 Kawalan Capaian Sistem Pengoperasian .................................................... 25 050401 Capaian Sistem Pengoperasian ............................................................. 25 0505 Kawalan Capaian Aplikasi dan Maklumat .................................................... 26 050501 Capaian Aplikasi dan Maklumat ............................................................. 26 0506 Peralatan Mudah Alih dan Jarak Jauh .......................................................... 27 050601 Peralatan Mudah Alih ............................................................................... 27 050602 Kerja Jarak Jauh ....................................................................................... 27 BIDANG 06 .........................................................................................................................................28 KRIPTOGRAFI (A.10 Cryptography) ................................................................................................28 0601 Kawalan Kriptografi .......................................................................................... 28 060101 Enkripsi ....................................................................................................... 28 060102 Tandatangan Digital.................................................................................. 28 060103 Kawalan Pengunaan Kriptografi ............................................................. 28 060104 Penggunaan Infrastruktur Kunci Awam (PKI)....................................... 28 BIDANG 07 .........................................................................................................................................29 KESELAMATAN FIZIKAL DAN PERSEKITARAN (A.11 Physical and environmental security).29 0701 Keselamatan Kawasan .................................................................................... 29 070101 Kawalan Kawasan..................................................................................... 29 070102 Kawalan Masuk Fizikal............................................................................. 29 0702 Keselamatan Peralatan ................................................................................... 31 0703 Keselamatan Persekitaran .............................................................................. 36 0704 Keselamatan Dokumen ................................................................................... 38 BIDANG 08 .........................................................................................................................................39 PENGURUSAN OPERASI (A.12 Operational security)...................................................................39 0801 Pengurusan Prosedur Operasi....................................................................... 39 080101 Pengendalian Dokumen Prosedur Operasi .......................................... 39 080102 Kawalan Perubahan ................................................................................. 39 0802 Perancangan dan Penerimaan Sistem ......................................................... 40 0803 Perisian Berbahaya .......................................................................................... 40 0804 Housekeeping ................................................................................................... 41 iv

[close]

p. 6

DASAR KESELAMATAN ICT PEJABAT SUK SELANGOR 0805 Pemantauan ...................................................................................................... 42 0806 Kawalan Teknikal Keterdedahan (vulnerability) .......................................... 44 BIDANG 09 .........................................................................................................................................45 PENGURUSAN KOMUNIKASI (A.13 Communications security) ..................................................45 0901 Pengurusan Keselamatan Rangkaian........................................................... 45 090101 Kawalan Infrastruktur Rangkaian ........................................................... 45 090102 Keselamatan Perkhidmatan Rangkaian ................................................ 46 090103 Pengasingan Rangkaian.......................................................................... 46 0902 Pengurusan Media ........................................................................................... 46 090201 Media Mudah Alih ..................................................................................... 46 090202 Prosedur Pengendalian Media................................................................ 46 090203 Keselamatan Sistem Dokumentasi ........................................................ 46 0903 Pengurusan Pertukaran Maklumat ................................................................ 46 090301 Pertukaran Maklumat ............................................................................... 47 090302 Pengurusan Mel Elektronik (E-mel) ....................................................... 47 0904 Perkhidmatan E-Dagang (Electronic Commerce Services)....................... 49 090401 E-Dagang ................................................................................................... 49 090402 Maklumat Umum ....................................................................................... 49 BIDANG 10 .........................................................................................................................................50 PEROLEHAN, PEMBANGUNAN DAN PENYELENGGARAAN SISTEM (A.14 System acquisition, development and maintenance) .................................................................................50 1001 Keselamatan Dalam Membangunkan Sistem dan Aplikasi ....................... 50 100101 Keperluan Keselamatan Sistem Maklumat .......................................... 50 100102 Pengesahan Data Input dan output ....................................................... 50 100103 Kawalan Prosesan .................................................................................... 50 100104 Keselamatan Perkhidmatan Aplikasi di Rangkaian Umum ................... 50 100105 Melindungi Perkhidmatan Transaksi Aplikasi .......................................... 51 100106 Dasar Keselamatan Dalam Pembangunan Sistem ................................ 51 1002 Keselamatan Dalam Proses Pembangunan dan Sokongan Sistem ........ 51 100201 Prosedur Kawalan perubahan.................................................................... 51 100202 Pembangunan Perisian Secara Outsource.............................................. 52 1003 Keselamatan Dalam Proses Pembangunan dan Sokongan Sistem ........ 52 100301 Perlindungan Data Ujian ............................................................................. 52 BIDANG 11 .........................................................................................................................................53 HUBUNGAN DENGAN PEMBEKAL/PIHAK KETIGA (A.15 Supplier relationships) ....................53 1101 Pihak Ketiga ...................................................................................................... 53 110101 Keperluan Keselamatan Kontrak dengan Pihak Ketiga...................... 53 v

[close]

p. 7

DASAR KESELAMATAN ICT PEJABAT SUK SELANGOR 110102 Kawalan Keselamatan Maklumat Melalui Perjanjian Dengan Pembekal ..................................................................................................................... 53 1102 Pengurusan Penyampaian Perkhidmatan Pembekal ................................. 54 110201 Kawalan Keselamatan Maklumat Melalui Perjanjian Dengan Pembekal ..................................................................................................................... 54 110202 Pengurusan Perubahan Perkhidmatan Pembekal............................... 54 BIDANG 12 .........................................................................................................................................55 PENGURUSAN PENGENDALIAN INSIDEN KESELAMATAN (A.16 Information security incident management) .....................................................................................................................................55 1201 Mekanisme Pelaporan Insiden Keselamatan ICT ....................................... 55 120101 Mekanisme Pelaporan.............................................................................. 55 1202 Pengurusan Maklumat Insiden Keselamatan ICT....................................... 56 120201 Prosedur Pengurusan Maklumat Insiden Keselamatan ICT .............. 56 BIDANG 13 .........................................................................................................................................57 ASPEK KESELAMATAN MAKLUMAT & PENGURUSAN KESINAMBUNGAN PERKHIDMATAN (A.17 Information security aspects of business continuity management) .................................57 1301 Dasar Kesinambungan Perkhidmatan .......................................................... 57 130101 Pelan Pengurusan Kesinambungan Perkhidmatan............................. 57 130102 Pelan Pengurusan Pemulihan Bencana (Disaster Recovery Plan) .. 57 1302 Redundancy ...................................................................................................... 58 130201 Ketersediaan Kemudahan Pemprosesan Maklumat .............................. 58 BIDANG 14 .........................................................................................................................................59 PEMATUHAN (A.18 Compliance) .....................................................................................................59 1401 Pematuhan dan Keperluan Perundangan .................................................... 59 140101 Pematuhan Dasar ..................................................................................... 59 140102 Pematuhan dengan Dasar, Piawaian dan Keperluan Teknikal ......... 59 140103 Keperluan Perundangan .......................................................................... 59 140104 Pelanggaran Perundangan...................................................................... 59 Lampiran 1 .........................................................................................................................................60 Lampiran 2 .........................................................................................................................................61 Lampiran 3 .........................................................................................................................................63 vi

[close]

p. 8

DASAR KESELAMATAN ICT PEJABAT SUK SELANGOR PENGENALAN Pejabat Setiausaha Kerajaan Negeri Selangor (PEJABAT SUK SELANGOR) berperanan untuk menyediakan perkhidmatan bagi perancangan, pembangunan dan pengurusan sumber manusia sektor awam yang cemerlang berteraskan profesionalisme, integriti dan teknologi. Dokumen ini menerangkan kepada semua pengguna mengenai tanggungjawab dan peranan mereka dan melindungi aset ICT Pejabat SUK Selangor. Dokumen ini diguna pakai oleh semua pihak kakitangan, pengguna dan pembekal yang menyediakan perkhidmatan, mencapai dan menggunakan aset dan sistem aplikasi ICT di PEJABAT SUK Selangor. OBJEKTIF Dasar Keselamatan ICT (DKICT) SUK Selangor diwujudkan untuk menjamin kesinambungan urusan SUK Selangor dengan meminimumkan kesan insiden keselamatan ICT. Dasar ini juga sesuai untuk memudahkan perkongsian maklumat sesuai dengan keperluan operasi SUK Selangor. Ini hanya boleh dicapai dengan memastikan semua aset ICT dilindungi. Manakala, objektif utama DKICT di PEJABAT SUK SELANGOR adalah seperti berikut: 1) Memastikan kelancaran operasi jabatan yang berlandaskan ICT dengan mencegah serta meminimumkan kerosakan atau kemusnahan aset ICT jabatan; 2) Melindungi kepentingan pihak-pihak yang bergantung kepada sistem maklumat daripada kesan kegagalan atau kelemahan dari segi kerahsiaan, integriti, tidak boleh disangkal, kebolehsediaan dan kesahihan maklumat dan komunikasi(CIA3); 3) Meminimumkan kos penyelenggaraan ICT akibat ancaman dan penyalahgunaan; 4) Meningkatkan tahap kesedaran keselamatan ICT kepada para kakitangan, pengguna dan pembekal; 5) Memperkemaskan pengurusan risiko; 6) Mencegah penyalahgunaan atau kecurian aset ICT PEJABAT SUK SELANGOR; dan 7) Melindungi aset ICT daripada penyelewengan oleh kakitangan, pengguna dan pembekal. PENYATAAN DASAR Keselamatan ditakrifkan sebagai keadaan yang bebas daripada ancaman dan risiko yang tidak boleh diterima. Penjagaan keselamatan adalah suatu proses yang berterusan. Ia melibatkan aktiviti berkala yang mesti dilakukan dari semasa ke semasa untuk menjamin keselamatan kerana ancaman dan kelemahan sentiasa berubah. Keselamatan ICT adalah bermaksud keadaan dimana segala urusan menyedia dan membekalkan perkhidmatan yang berasaskan kepada sistem ICT berjalan secara berterusan tanpa gangguan yang boleh menjejaskan keselamatan. Terdapat empat (4) komponen asas keselamatan ICT, iaitu: RUJUKAN DKICT Pejabat SUK Selangor VERSI 2.0 TARIKH 1 November 2015 MUKASURAT Page 1 of 63

[close]

p. 9

DASAR KESELAMATAN ICT PEJABAT SUK SELANGOR 1) Melindungi maklumat rahsia rasmi dan maklumat rasmi PEJABAT SUK SELANGOR dari capaian tanpa kuasa yang sah; 2) Menjamin setiap maklumat adalah tepat dan sempurna; 3) Memastikan ketersediaan maklumat apabila diperlukan oleh pengguna; dan 4) Memastikan akses hanya kepada pengguna-pengguna yang sah atau penerimaan maklumat dari sumber-sumber yang sah. DKICT PEJABAT SUK SELANGOR merangkumi perlindungan ke atas semua bentuk maklumat elektronik dan/atau kertas bertujuan untuk menjamin keselamatan maklumat tersebut dan kebolehsediaan kepada semua pengguna yang dibenarkan. Ciri-ciri utama keselamatan maklumat adalah seperti berikut: 1) Kerahsiaan – maklumat tidak boleh didedahkan sewenang-wenangnya atau dibiarkan akses tanpa kebenaran; 2) Integriti – Data dan maklumat hendaklah tepat, lengkap dan kemas kini. Ia hanya boleh diubah dengan cara yang dibenarkan; 3) Tidak boleh disangkal – Punca data dan maklumat hendaklah dari punca yang sah dan tidak boleh disangkal; 4) Kesahihan – Data dan maklumat hendaklah dijamin kesahihannya; dan 5) Ketersediaan – Data dan maklumat hendaklah boleh diakses pada bila-bila masa. Selain dari itu, langkah-langkah ke arah menjamin keselamatan ICT hendaklah bersandarkan kepada penilaian yang bersesuaian dengan perubahan semasa terhadap kelemahan semula jadi aset ICT; ancaman yang wujud akibat daripada kelemahan tersebut; risiko yang mungkin timbul; dan langkahlangkah pencegahan sesuai yang boleh diambil untuk menangani risiko berkenaan. SKOP Aset ICT PEJABAT SUK SELANGOR terdiri daripada organisasi, manusia, perisian, perkakasan, telekomunikasi, kemudahan ICT, perkhidmatan dan data. DKICT PEJABAT SUK SELANGOR telah menetapkan keperluan-keperluan asas keselamatan seperti berikut: 1) Data dan maklumat hendaklah boleh diakses secara berterusan dengan cepat, tepat, mudah dan dengan cara yang boleh dipercayai. Ini adalah amat perlu bagi membolehkan keputusan dan penyampaian perkhidmatan dilakukan dengan berkesan dan berkualiti; dan 2) Semua data dan maklumat hendaklah dijaga kerahsiaannya dan dikendalikan sebaik mungkin pada setiap masa bagi memastikan kesempurnaan dan ketepatan maklumat serta untuk melindungi kepentingan PEJABAT SUK SELANGOR, perkhidmatan dan masyarakat. RUJUKAN DKICT Pejabat SUK Selangor VERSI 2.0 TARIKH 1 November 2015 MUKASURAT Page 2 of 63

[close]

p. 10

DASAR KESELAMATAN ICT PEJABAT SUK SELANGOR Bagi menentukan Aset ICT ini terjamin keselamatannya sepanjang masa, DKICT PEJABAT SUK SELANGOR ini merangkumi perlindungan ke atas semua bentuk maklumat kerajaan yang dimasukkan, diwujud, dimusnah, disimpan, dijana, dicetak, diakses, diedar, dalam penghantaran dan yang dibuat salinan keselamatan. Ini akan dilakukan melalui penubuhan dan penguatkuasaan sistem kawalan dan prosedur dalam pengendalian semua perkara-perkara berikut: 1) Perkakasan Semua aset yang digunakan untuk menyokong pemprosesan maklumat dan kemudahan storan PEJABAT SUK SELANGOR. Contoh peralatan dan periferal seperti komputer, pelayan, firewall, pencetak, peralatan media, peralatan komunikasi dan alat-alat prasarana seperti Uninterruptible Power Supply (UPS) dan sebagainya; 2) Perisian Program, prosedur atau peraturan yang ditulis dan dokumentasi yang berkaitan dengan sistem pengoperasian komputer yang disimpan di dalam sistem ICT. Contoh aplikasi atau perisian sistem seperti sistem pengoperasian, sistem pangkalan data, perisian sistem rangkaian, atau aplikasi pejabat yang menyediakan kemudahan pemprosesan maklumat kepada PEJABAT SUK SELANGOR; 3) Perkhidmatan Perkhidmatan atau sistem yang menyokong aset lain untuk melaksanakan fungsifungsinya. Contoh: i) Perkhidmatan rangkaian seperti LAN, WAN dan lain-lain; ii) Sistem halangan akses seperti sistem kad akses; dan iii) Perkhidmatan sokongan seperti kemudahan elektrik, penghawa dingin, sistem pencegah kebakaran dan lain-lain. 4) Data dan maklumat Koleksi fakta-fakta dalam bentuk kertas atau mesej elektronik, yang mengandungi maklumat-maklumat untuk digunakan bagi mencapai misi dan objektif PEJABAT SUK SELANGOR. Contohnya sistem dokumentasi, prosedur operasi, rekod-rekod PEJABAT SUK SELANGOR, profil-profil pelanggan, pangkalan data dan fail-fail data, maklumatmaklumat arkib dan lain-lain; 5) Manusia Semua pengguna infrastruktur ICT PEJABAT SUK SELANGOR yang dibenarkan, termasuk kakitangan, pengguna dan pembekal. Individu yang mempunyai pengetahuan untuk melaksanakan skop kerja harian PEJABAT SUK SELANGOR bagi mencapai misi dan objektif jabatan. Individu berkenaan merupakan aset berdasarkan kepada tugas-tugas dan fungsi yang dilaksanakan; RUJUKAN DKICT Pejabat SUK Selangor VERSI 2.0 TARIKH 1 November 2015 MUKASURAT Page 3 of 63

[close]

p. 11

DASAR KESELAMATAN ICT PEJABAT SUK SELANGOR 6) Media storan Semua media storan dan peralatan yang berkaitan seperti disket, storan mudah alih, kartrij, CD-ROM, pita, cakera, pemacu cakera, pemacu pita dan lain-lain; 7) Media komunikasi Semua peralatan berkaitan komunikasi seperti pelayan rangkaian, gateway, bridge, router, peralatan PABX, wireless LAN, talian ISDN, peralatan video conferencing, modem, PCMCIA, kabel rangkaian, NIC, switches, hub dan lain-lain; 8) Dokumentasi Semua dokumen (prosedur dan manual pengguna) yang berkaitan dengan aset ICT, pemasangan dan pengoperasian peralatan dan perisian, sama ada dalam bentuk elektronik atau bukan elektronik. 9) Premis Komputer dan Komunikasi Semua kemudahan serta premis yang diguna untuk menempatkan perkara 1 hingga 8 di atas. Setiap perkara di atas perlu diberi perlindungan rapi. Sebarang kebocoran rahsia atau kelemahan perlindungan adalah dianggap sebagai perlanggaran langkah-langkah keselamatan. PRINSIP-PRINSIP Prinsip-prinsip yang menjadi asas kepada DKICT PEJABAT SUK SELANGOR dan perlu dipatuhi adalah seperti berikut: 1) Akses Atas Dasar Perlu Mengetahui Akses terhadap penggunaan aset ICT hanya diberikan untuk tujuan spesifik dan dihadkan kepada pengguna tertentu atas dasar “perlu mengetahui” sahaja. Ini bermakna akses hanya akan diberikan sekiranya peranan atau fungsi pengguna memerlukan maklumat tersebut. Pertimbangan untuk akses adalah berdasarkan kategori maklumat seperti yang dinyatakan di dalam dokumen Arahan Keselamatan perenggan 53, muka surat 15; 2) Hak Akses Minimum Hak akses kepada pengguna hanya diberi pada tahap set yang paling minimum iaitu untuk membaca dan/atau melihat sahaja. Kelulusan khas diperlukan untuk membolehkan pengguna mewujud, menyimpan, mengemas kini, mengubah dan/atau menghapuskan/membatalkan sesuatu data atau maklumat. Hak akses perlu dikaji dari semasa ke semasa berdasarkan kepada peranan dan tanggungjawab pengguna/bidang tugas; RUJUKAN DKICT Pejabat SUK Selangor VERSI 2.0 TARIKH 1 November 2015 MUKASURAT Page 4 of 63

[close]

p. 12

DASAR KESELAMATAN ICT PEJABAT SUK SELANGOR 3) Kebertanggungjawaban/Akauntabiliti Semua pengguna adalah dipertanggungjawabkan ke atas semua tindakannya terhadap aset ICT. Tanggungjawab ini perlu dinyatakan dengan jelas sesuai dengan tahap sensitiviti sesuatu sumber ICT. Bagi menentukan tanggungjawab ini dipatuhi, sistem ICT hendaklah mampu menyokong kemudahan mengesan atau mengesahkan bahawa pengguna sistem maklumat boleh dipertanggungjawabkan atas tindakan mereka. Akauntabiliti atau tanggungjawab pengguna termasuklah: i) Menghalang pendedahan maklumat kepada pihak yang tidak dibenarkan; ii) Memeriksa maklumat dan menentukan ianya tepat dan lengkap dari semasa ke semasa; iii) Menentukan maklumat sedia untuk digunakan; iv) Menjaga kerahsiaan kata laluan; v) Mematuhi standard, prosedur, langkah dan garis panduan keselamatan yang ditetapkan; vi) Memberi perhatian kepada maklumat terperingkat terutama semasa pewujudan, pemprosesan, penyimpanan, penghantaran, penyampaian, pertukaran dan pemusnahan; dan vii) Menjaga kerahsiaan langkah-langkah keselamatan ICT dari diketahui umum. 4) Pengasingan Tugas mewujud, menghapus, mengemas kini, mengubah dan mengesahkan data perlu diasingkan bagi mengelakkan daripada capaian yang tidak dibenarkan (unauthorized access) serta melindungi aset ICT daripada kesilapan, kebocoran maklumat terperingkat atau dimanipulasikan. Pengasingan juga merangkumi tindakan memisahkan antara kumpulan operasi dan rangkaian; 5) Pengauditan Tujuan aktiviti ini ialah untuk mengenalpasti insiden berkaitan keselamatan aset ICT atau keadaan yang mengancam keselamatan aset ICT. Ia membabitkan pemeliharaan semua rekod berkaitan tindakan keselamatan. Dengan itu, aset ICT seperti komputer, pelayan, router, firewall dan rangkaian hendaklah ditentukan dapat menjana dan menyimpan log tindakan keselamatan atau Jejak audit (audit trail). Semua log yang berkaitan dengan aset ICT perlu disimpan bagi tujuan jejak audit; RUJUKAN DKICT Pejabat SUK Selangor VERSI 2.0 TARIKH 1 November 2015 MUKASURAT Page 5 of 63

[close]

p. 13

DASAR KESELAMATAN ICT PEJABAT SUK SELANGOR 6) Pematuhan DKICT PEJABAT SUK SELANGOR hendaklah dibaca, difahami dan dipatuhi bagi mengelakkan sebarang bentuk pelanggaran ke atasnya yang boleh membawa ancaman kepada keselamatan ICT; 7) Pemulihan Pemulihan sistem amat perlu untuk memastikan kebolehsediaan dan kebolehcapaian bagi meminimumkan sebarang gangguan atau kerugian akibat daripada ketidaksediaan dan ketidakbolehcapaian. Pemulihan boleh dilakukan melalui proses penduaan (backup) dan mewujudkan pelan pemulihan bencana/kesinambungan perkhidmatan (BRP); dan 8) Saling Bergantungan Setiap prinsip di atas adalah saling lengkap-melengkapi dan bergantung antara satu sama lain. Dengan itu tindakan mempelbagaikan pendekatan dalam menyusun dan mencorak sebanyak mungkin mekanisme keselamatan adalah perlu bagi menjamin keselamatan yang maksimum. PENILAIAN RISIKO KESELAMATAN ICT PEJABAT SUK SELANGOR hendaklah mengambil kira kewujudan risiko ke atas aset ICT akibat dari ancaman dan vulnerability yang semakin meningkat hari ini. Justeru itu PEJABAT SUK SELANGOR perlu mengambil langkah-langkah proaktif dan bersesuaian untuk menilai tahap risiko aset ICT supaya pendekatan dan keputusan yang paling berkesan dikenal pasti bagi menyediakan perlindungan dan kawalan ke atas aset ICT. PEJABAT SUK SELANGOR hendaklah melaksanakan penilaian risiko Keselamatan ICT secara berkala dan berterusan bergantung kepada perubahan teknologi dan keperluan keselamatan ICT. Seterusnya mengambil tindakan susulan dan/atau langkah-langkah bersesuaian untuk mengurangkan atau mengawal risiko keselamatan ICT berdasarkan penemuan penilaian risiko. Penilaian risiko keselamatan ICT hendaklah dilaksanakan ke atas sistem maklumat PEJABAT SUK SELANGOR termasuklah aplikasi, perisian, pelayan, rangkaian dan/atau proses,prosedur serta kakitangan. Penilaian risiko ini hendaklah juga dilaksanakan di premis yang menempatkan sumbersumber teknologi maklumat termasuklah pusat data, bilik media storan, kemudahan utiliti dan sistemsistem sokongan yang lain. PEJABAT SUK SELANGOR bertanggungjawab melaksanakan dan menguruskan risiko keselamatan ICT selaras dengan keperluan Surat Pekeliling Am Bilangan 6 Tahun 2005 : Garis Panduan Penilaian Risiko Keselamatan Maklumat Sektor Awam. RUJUKAN DKICT Pejabat SUK Selangor VERSI 2.0 TARIKH 1 November 2015 MUKASURAT Page 6 of 63

[close]

p. 14

DASAR KESELAMATAN ICT PEJABAT SUK SELANGOR PEJABAT SUK SELANGOR perlu mengenal pasti tindakan yang sewajarnya bagi menghadapi kemungkinan risiko yang berlaku dan memilih tindakan berikut:- a) Mengurangkan risiko dengan melaksanakan kawalan yang bersesuaian; b) Menerima dan/atau bersedia berhadapan dengan risiko yang akan terjadi selagi ia memenuhi kriteria yang telah ditetapkan oleh pengurusan agensi; c) Mengelak dan/atau mencegah risiko dari terjadi dengan mengambil tindakan yang dapat mengelak dan/atau mencegah berlakunya risiko; dan d) Memindahkan risiko ke pihak lain seperti pembekal, pakar runding dan pihak-pihak lain yang berkepentingan. RUJUKAN DKICT Pejabat SUK Selangor VERSI 2.0 TARIKH 1 November 2015 MUKASURAT Page 7 of 63

[close]

p. 15

DASAR KESELAMATAN ICT PEJABAT SUK SELANGOR BIDANG 01 DASAR KESELAMATAN (A.5 Information security policies) 0101 Dasar Keselamatan ICT Objektif: Menerangkan hala tuju dan sokongan pengurusan terhadap keselamatan maklumat selaras dengan keperluan PEJABAT SUK SELANGOR yang berkaitan. 010101 Pelaksanaan Dasar Pelaksanaan dasar ini akan dijalankan oleh Y.B. Setiausaha Kerajaan Negeri (Y.B. SUK) dibantu oleh Jawatankuasa Pemandu ICT PEJABAT SUK SELANGOR (JPICT) yang terdiri daripada :- i) Ketua Pegawai Maklumat (CIO); ii) Setiausaha Bahagian (BTM); iii) Pegawai Keselamatan ICT (ICTSO); iv) Semua Ketua Bahagian; dan v) Pegawai-pegawai yang diturunkan kuasa Y.B. SUK; CIO; SUB (BTM); ICTSO; Ketua Bahagian; Pegawai-pegawai yang diturunkan kuasa 010102 Penyebaran Dasar Dasar ini perlu disebarkan kepada semua pengguna yang terlibat dengan infrastruktur ICT PEJABAT SUK SELANGOR meliputi kakitangan, pengguna dan pembekal. ICTSO 010103 Penyelenggaraan Dasar Dasar Keselamatan ICT PEJABAT SUK SELANGOR adalah tertakluk kepada semakan dan pindaan dari semasa ke semasa termasuk kawalan keselamatan, prosedur dan proses selaras dengan perubahan teknologi, aplikasi, prosedur, perundangan dan kepentingan sosial. Berikut adalah prosedur yang berhubung dengan penyelenggaraan Dasar Keselamatan ICT PEJABAT SUK SELANGOR: a) Mengenal pasti dan menentukan perubahan yang diperlukan; b) Mengemukakan cadangan pindaan secara bertulis kepada ICTSO untuk pembentangan, pertimbangan dan persetujuan Mesyuarat Jawatankuasa Pemandu ICT (JPICT), PEJABAT SUK SELANGOR; c) Memaklumkan perubahan yang telah dipersetujui oleh JPICT kepada semua pihak iaitu kakitangan, pengguna dan pembekal; dan JPICT; ICTSO d) Menyemak semula dokumen pada jangka masa yang dirancang atau mengikut keperluan dan perubahan ketara bagi memastikan dokumen sentiasa relevan dan berkesan. 010104 Pengecualian Dasar Dasar Keselamatan ICT PEJABAT SUK SELANGOR adalah terpakai dan mestilah dipatuhi oleh semua kakitangan, pengguna serta pembekal ICT PEJABAT SUK SELANGOR dan tiada pengecualian diberikan. Semua RUJUKAN DKICT Pejabat SUK Selangor VERSI 2.0 TARIKH 1 November 2015 MUKASURAT Page 8 of 63

[close]

Comments

no comments yet