xbtn
 
 /  
Hubungi Kami | Soalan Lazim | Pautan | Bantuan | Peta Laman
Latar Belakang : Sawah Padi 1 Jeti IAT Pulasan Dasar Laut Nanas Sawah Padi 2
W3c W3c Speaker image Default Contrast Black Blue white Font Minus Revert Font Font Plus
Bahasa / Language :

Untuk Pengguna Kurang Upaya, Pilih sebarang teks dan klik butang di bawah

 
image
Dasar Keselamatan Operasi
 
TARIF
 
Aset ICT
Sebarang objek ICT yang mempunyai nilai kepada organisasi.     
Backup
 

Salinan fail atau program yang dijanakan untuk memudahkan proses pemulihan dijalankan.         

Business Impact Analysis               

Analisa berkaitan keperluan sistem ICT, proses dan hubungankait antara keduanya yang digunakan untuk menyediakan system kontigensi dan keutamaan yang perlu diberikan semasa bencana.

Change Management               

Proses yang memastikan semua perubahan ke atas infrastruktur ICT ditaksirkan, ditentusahkan, dilaksanakan dan dikaji semula dalam keadaan terkawal untuk memastikan gangguan tidak berlaku.

Dasar                    

Pernyataan peringkat tinggi mengenai prinsip, matlamat dan objektif termasuk juga cara-cara untuk mencapainya bagi subjek yang spesifik.               

Emel     
Mesej yang dihantar secara elektronik.
Impak
Hasil atau lanjutan dari sesuatu kejadian.             
Integriti                               

Keadaan di mana maklumat tersimpan mengikut cara yang dibenarkan dan tiada perubahan dilakukan yang menjadikan maklumat itu berlainan dari asal.

Kawalan

Langkah-langkah penjagaan yang mana bila ia dilakukan dengan   betul, akan mengurangkan risiko kemusnahan terhadap aset.           

Kerahsiaan

Keadaan di mana maklumat sensitif dikawal dan diberikan kepada pengguna yang sah sahaja.                         

Keselamatan Fizikal

Prosedur kawalan yang wujud untuk menghalang penceroboh dari memasuki sistem atau prasarana.

Ketersediaan

Keadaan di mana maklumat atau proses sentiasa boleh dicapai dan digunakan oleh pihak yang dibenarkan.

Pengasingan Tugas

Pengasingan tugas dan tanggungjawab supaya tiada individu boleh mengsabotaj sistem kritikal yang dikendalikannya.Kakitangan MOA (Tetap, sementara, kontrak) atau pihak ketiga             

Pengguna ICT

(perunding, kontraktor, pembekal dan pembekal perkhidmatan)   yang diberikan hak capaian kepada aset ICT MOA.Individu yang selain dari kakitangan MOA seperti perunding,              

Pihak Ketiga

pembekal, kontraktor, pembekal perkhidmatan dan sebagainya.Kakitangan dari Agensi Kerajaan selain dari MOA juga diklasifikasikan sebagai pihak ketiga.          

Risiko

Kemungkinan untuk sesuatu terjadi yang boleh memberikan impak kepada objektifnya.      

Secure Areas

Kawasan di mana MOA menempatkan aset ICT yang sensitif dan kritikal seperti Pusat Data atau bilik pejabat yang mengandungi maklumat yang sulit.    

Shred   

Cara-cara untuk ‘membersihkan’ media, dengan cara merincih atau menghancurkannya kepada bahagian yang kecil.             

Virus

Kod yang ditulis dengan niat jahat untuk memusnah cara computer bekerja tanpa kebenaran pengguna.

Vulnerability               

Kelemahan dari segi prosedur, senibina, implementasi dan kawalan dalaman yang boleh dieksploitasi hingga mengakibatkan pelanggaran aspek keselamatan atau dasar keselamatan.        

1. PENGENALAN
Aktiviti operasi pengkomputeran membabitkan operasi dan penyelenggaraan komputer dan alatan telekomunikasi yang memproses maklumat di sesebuah organisasi. Untuk memastikan persekitaran operasi berjalan lancar di dalam keadaan yang selamat dan terkawal, kawalan yang mencukupi perlu ada.

2. TUJUAN
Tujuan Dasar adalah untuk mendirikan keperluan keselamatan bagi persekitaran operasi ICT di MOA. Objektifnya adalah untuk mengurangkan kebarangkalian kerosakan yang disebabkan oleh capaian atau penyebaran maklumat yang dilarang.
 
3. KUMPULAN SASAR

Dasar ini tergunapakai oleh keseluruhan pengguna di MOA yang menjalankan, menguruskan atau menggunakan perkhidmatan ICT atau peralatan yang menyokong kepada fungsi sistem yang kritikal.

4. PELANGGARAN DAN HUKUMAN

Sebarang pelanggaran dasar perlulah dilaporkan pada Bahagian Teknologi Maklumat (BTM). Insiden perlulah disiasat dan oleh BTM, dengan kerjasama penyelia individu yang disyaki dan pihak berkuasa.

Pelanggaran dasar secara sengaja atau sebaliknya akan menyebabkan:

  • Kehilangan hak capaian ke atas sumber maklumat;
  • Penilaian prestasi kerja yang buruk;
  • Dikenakan tindakan tatatertib;
  • Digantung kerja atau ditamatkan perkhidmatan;
  • Ditamatkan kontrak;
  • Dikenakan tindakan undang-undang.
     
5. SEMAKAN DAN PENYELENGGARAAN DOKUMEN
ICT Security Officer (ICTSO) 1 merupakan pemunya dokumen ini. Dia bertanggungjawab untuk menyemak dan menyelenggarakan dasar ini.
 
6. RUJUKAN
  • Information technology – Security techniques – Information security management systems – Requirements (ISO/IEC 27001:2005)
  • Arahan Teknologi Maklumat 2007 – MAMPU
  • Garis Panduan IT Outsourcing
  • Malaysian Public Sector Management Of ICT Security Handbook (MyMIS)
     
7. DASAR
  • Prosedur
    Kakitangan operasi mestilah dibekalkan dengan maklumat yang relevan untuk mereka menjalankan tugas dengan betul. Mereka perlu dibataskan kepada prosedur yang berkaitan dengan tanggungjawabnya sahaja.

    Prosedur yang disediakan perlulah memberitahu secara tepat dan lengkap, langkah-langkah yang perlu diikut seperti berikut:
    a. Pemprosesan dan pengendalian maklumat;
    b. Keperluan penjadualan termasuklah permulaan tugas dan masa tugas berakhir;
    c. Arahan untuk mengendalikan ralat dan keadaan yang timbul yang mungkin ada pada masa tugas dilaksanakan;
    d. Menghubungi bantuan jika ada sebarang kesukaran teknikal;
    e. Melupuskan secara selamat sebarang tugas yang gagal;
    f. Prosedur untuk system startup dan shutdown;
    g. Prosedur untuk system restart dan recovery bila berlaku kegagalan sistem; dan
    h. Prosedur untuk backup dan restoration procedures dan penyelenggaraan alatan.
     
  • Pengurusan Aset
    Semua aset yang digunakan oleh setiap sistem ICT mestilah dipastikan dengan jelas.

    Inventori untuk semua aset yang penting mestilah ditubuhkan dan diselenggara.

    Semua aset perlu mempunyai pemilik. Pemilik aset perlulah:
    a. Memastikan maklumat dan aset yang berkaitan dengan aset ICT diklasifikasi dengan cara yang betul; dan
    b. Memastikan dan menyemak secara berkala semua hak capaian dan klasifikasi.

    Semua aset perlu diklasifikasikan berdasarkan nilai dan kepentingannya kepada MOA.

    Klasifikasi ini perlu mengambil kira tahap kawalan keselamatan dan pengendaliannya.

    Rujukan kepada Dasar Klasifikasi dan Pengendalian Maklumat untuk keterangan lanjut.

    Aset mestilah dikategorikan seperti berikut:-
    a. Maklumat: pangkalan data dan file data, kontrak, dokumen sistem, prosedur;
    b. Perisian: perisian aplikasi, sistem, alatan pembangunan dan utiliti;
    c. Fizikal: alatan komputer, komunikasi, media mudah alih;
    d. Perkhidmatan: perkhidmatan komputer dan komunikasi, utiliti umum (contoh: lampu, kuasa dan penghawa dingin);
    e. Manusia : Kakitangan utama, pencapaian (kelulusan) Key personnel, and their qualifications, skills, and experience; and
    f. Tidak kelihatan (Intangibles): reputasi dan imej bagi MOA.
     
  • Kawalan Perubahan Operasi
    Perubahan ke atas sistem operasi perlulah dilakukan jika adanya sebab yang sah sahaja.

    Tanggungjawab pengurusan yang formal dan prosedur perlu disediakan untuk memastikan kawalan yang bersesuaian untuk semua peralatan, perisian dan prosedur.

    Permintaan perubahan bertulis mestilah dibuat dan disahkan seawal mungkin.

    Item berikut boleh digunakan dalam operasi ini:
    a. Mengenal pasti dan merekodkan perubahan yang penting;
    b. Membuat pelan dan ujian ke atas perubahan;
    c. Penilaian ke atas potensi impak, termasuk impak keselamatan;
    d. Prosedur pengesahan formal ke atas perubahan yang disyorkan;
    e. Perincian terhadap perubahan kepada semua kakitangan yang relevan;
    f. Prosedur fallback termasuk prosedur berkaitan dengan tanggungjawab memutuskan dan memulihkan dari perubahan yang gagal.

    Log audit yang mengandungi semua maklumat yang relevan mestilah disimpan bila perubahan dilakukan.

    Dokumentasi kawalan perubahan mestilah dipelihara dengan menentukan:
    a. Apa yang telah ditukar dan bagaimana;
    b. Siapa yang melakukan perubahan;
    |c. Siapa yang memeriksa perubahan;
    d. Siapa yang membenarkan perubahan; dan
    e. Siapa yang memindahkan perubahan tersebut ke dalam persekitaran operasi dan membenarkan semua versi yang terdahulu dibina sekali lagi.
     
  • Backup & Restore
    Prosedur berkaitan backup dan restore mestilah dihasilkan sebagai panduan untuk melaksanakan proses itu dengan betul. Ini termasuklah yang berkaitan dengan fail-fail kritikal, data, program aplikasi, dokumentasi, sistem utiliti dan fail log (log file).

    BTM mestilah melaksanakan backup dengan 3 salinan (copies) dan 3 pusingan untuk semua perisian, dokumentasi dan maklumat yang penting.

    Media backup mestilah disimpan pada persekitaran yang selamat dan capaian ke atasnya mestilah mengikuti spesifikasi standard dari pembekalnya.

    Kawasan backup mestilah berada jauh dari kawasan utama untuk mengelakkan kemusnahan yang berlaku kepada kawasan utama menjangkit dengan mudah ke kawasan backup.

    Penghantaran media ke kawasan backup mestilah dilakukan dengan cara yang dikawal dan selamat dengan proses pengesahan dan rekod yang sempurna sebagai bukti penghantaran.

    Kekerapan dan cakupan untuk backup berdasarkan ke atas tahap kritikal sesuatu sitem dan ia perlu dilakukan selepas sesuatu perubahan kritikal dan pengubahsuaian.

    Fail backup mestilah dilabelkan betul untuk mengelakkan overwrite yang tidak disengajakan. Ia perlulah dilabel mengikut nama yang standard yang mempunyai teks penggunaan, tarikh dan jangka simpanan.

    Capaian ke atas fail backup dihadkan kepada individu yang dibenarkan sahaja.

    Ujian yang berkala mesti dilakukan untuk memastikan kualiti dan kebolehgunaan sumber yang dibackup itu. BTM bertanggungjawab untuk melakukan tugas ini.
    Prosedur berkaitan backup dan restore mestilah dikaji setiap tahun.
     
  • Pengurusan Kapasiti
    Untuk memastikan fungsi rangkaian, aplikasi dan sebagainya berjalan pada tahap optimum, BTM mestilah memantau kapasiti sistem yang ada dan merancang kapasiti masa hadapan. Ini memastikan sumber yang mencukupi dalam menjalankan sesuatu proses dan menghindarkan sistem dari overload.

    Pemilik sistem mestilah memantau semua alatan sedia ada untuk perancangan kapasiti masa hadapan.
     
  • Pembekalan Peralatan & Perisian
    BTM mestilah dirujuk bila ada sebarang kemasukan sistem baru untuk proses pembekalan peralatan sistem dan perisian berjalan dengan lancar.

    Semua produk yang dibekalkan oleh pembekal, mestilah yang asli, tidak melanggar sebarang hakcipta, rekaan, paten atau intellectual property right pihak ketiga.

    BTM mestilah mendapatkan dan memasang semua alatan, dan membenarkan mereka yang berkaitan untuk menggunakannya sahaja.

    Pembekalan perisian memerlukan pembelian lesen perisian yang sah untuk digunakan.

    Peralatan dan perisian mestilah dipasang bersesuaian dengan persekitaran operasi ataupun pengguna. Sila rujuk Dasar Keselamatan Sistem untuk penerangan lanjut.
     
  • Penerimaan Sistem
    Proses penerimaan sistem mestilah ditetapkan untuk memastikan sistem atau aplikasi baru tidak mengganggu sistem rangkaian, aplikasi dan sistem yang berkaitan. Proses ini juga perlu meletakkan kriteria penerimaan sebelum sesuatu sistem boleh diterima pakai.

    Bagi pembangunan sistem utama yang baru, fungsi unit yang berkaitan hendaklah dirujuk pada setiap tahap untuk memastikan proses pembangunan itu dapat menawarkan proses yang efisien kepada pengguna. Sila rujuk Dasar Keselamatan Pembinaan Sistem untuk keterangan lanjut.

    Semua sistem mestilah diuji sebelum diterima pakai, termasuklah menjalankan vulnerability assessment atau imbasan sebelum ia boleh dihubungkan ke rangkaian MOA. Proses ini memastikan kawalan keselamatan wujud dan sistem yang baru mengikuti fungsi dan rekaan yang dikehendaki.

    Pemilik sistem hendaklah memastikan keperluan prestasi dan kapasiti memenuhi keperluan dalam sistem yang baru itu sebelum ia boleh digunakan. (lihat 4.3.5).

    Sebelum penerimaan sistem baru, kawalan berikut bolehlah diguna pakai:
    a. Manual & Prosedur tersedia ada;
    b. Prosedur pemulihan kesalahan (error recovery) dan pelan kontigensi;
    c. Persediaan dan pengujian secara rutin untuk prosedur operasi yang selari dengan standard yang ditetapkan;
    d. Keserasian bagi sistem baru dengan sistem sedia ada;
    e. Kewujudan set kawalan keselamatan yang dipersetujui;
    f. Kemudahan menggunakannya, yang mana ia boleh memainkan peranan dalam prestasi pengguna dalam menggunakan sistem itu; dan
    g. Melaksanakan Vulnerability Scan ke atas sistem untuk memastikan tahap kemaskini (update) dan tiada perkhidmatan yang tidak digunakan berjalan tanpa disedari.

    Pengguna mestilah dilatih dengan secukupnya sebelum mengendalikan sistem itu di persekitaran operasi.
     
  • Pengurusan Perkhidmatan (Service Delivery) oleh Pihak Ketiga
    Penghantaran perkhidmatan oleh pihak ketiga mestilah termasuk di dalam kontrak perkhidmatan.

    DI dalam perlaksanaan proses outsourcing, perubahan sebarang sistem mestilah dirancang dengan teliti. Keselamatan mestilah dipastikan pada keseluruhan masa perubahan tersebut.

    Pihak ketiga mestilah memastikan tahap perkhidmatan yang dilaksanakan itu berdasarkan pelan yang disediakan, untuk memastikan tahap perkhidmatan yang dijanjikan pada ketika bencana boleh dilaksanakan seperti biasa.

    Perkhidmatan pihak ketiga mestilah dipantau dan dikaji secara berkala untuk memastikan syarat-syarat keselamatan maklumat diikuti, dan sebarang insiden keselamatan dikendalikan secara betul. Ia juga termasuklah:
    a. Memantau tahap prestasi perkhidmatan yang berdasarkan kontrak;
    b. Mengkaji laporan perkhidmatan oleh pihak ketiga dan
    melaksanakan mesyuarat yang berkala seperti dipersetujui di
    dalam kontrak; dan
    c. Mengkaji audit log, peristiwa keselamatan, masalah operasi
    gangguan yang berkaitan dengan perkhidmatan.

    Sokongan dan penyelenggaraan mestilah didapati terus dari pembekal perkhidmatan.
     
  • Pengurusan Vulnerability
    Pengurusan vulnerability yang efektif boleh mengurangkan risiko terhadap persekitaran kerja MOA dengan memeriksa sistem dan alatan rangkaian menggunakan sistem yang terkini.

    BTM mestilah melaksanakan vulnerability scan dalaman terhadap sistem yang mengandungi maklumat sulit dan rahsia setiap suku tahunan sekali.

    MOA mestilah melaksanakan vulnerability scan luaran ke atas sistem yang boleh dicapai dari internet setiap suku tahunan sekali.

    Bila potensi vulnerability telah dijumpai, BTM mestilah memastikan risiko yang berhubungan dengannya dan tindakan yang boleh dilakukan; seperti mengemaskinikan sistem dengan maklumat yang terkini.

    Jika tiada maklumat terkini (patch) boleh digunakan, kawalan lain boleh digunakan seperti:
    a. Mematikan perkhidmatan yang mempunyai kaitan dengan vulnerability tersebut;
    b. Menggunakan atau menambah kawalan capaian seperti firewall;
    c. Meningkatkan aktiviti pemantauan untuk mengesan atau menghalang serangan awalan; dan
    d. Meningkatkan kesedaran mengenai vulnerability yang wujud.

    Berdasarkan kepentingan sesuatu vulnerability yang dijumpai, tindakan yang diambil hendaklah mengikut kepada kawalan yang berkaitan dengan pengurusan perubahan (change management) sedia ada.
     
  • Pemantapan (Hardering) Pelayan
    Pelayan dilarang untuk disambungkan kepada rangkaian MOA hinggalah disahkan ianya selamat.

    Prosedure perlu diwujudkan yang menujukkan cara-cara untuk memantapkan (harden) pelayan dengan betul.
     
  • Pengurusan Patch
    BTM mestilah memantau isu-isu keselamatan dalaman dan luaran dan mengendalikan pelepasan patch keselamatan pada semua pengguna.

    Risiko yang berkaitan bila memasang sesuatu patch hendaklah dinilaikan terlebih dahulu.

    Patch mestilah diuji dan dinilaikan secukupnya sebelum ia dipasang pada sistem sedia ada untuk memastikan ia tidak menganggu sebarang proses yang sedia ada di dalam sistem tersebut.

    Patch keselamatan mestilah dipasang pada masa yang ditetapkan sahaja.
8. DOKUMEN BERKAITAN
  • Dasar Klasifikasi dan Pengendalian Maklumat
  • Dasar Keselamatan Sistem
  • Dasar Keselamatan Pembinaan Sistem

 

Bookmark and Share
Paparan : 1430
Tarikh Akhir Dikemaskini : 13 Ogos 2010