xbtn
 
 /  
Hubungi Kami | Soalan Lazim | Pautan | Bantuan | Peta Laman
Latar Belakang : Sawah Padi 1 Jeti IAT Pulasan Dasar Laut Nanas Sawah Padi 2
W3c W3c Speaker image Default Contrast Black Blue white Font Minus Revert Font Font Plus
Bahasa / Language :

Untuk Pengguna Kurang Upaya, Pilih sebarang teks dan klik butang di bawah

 
image

 

Dasar Keselamatan Pembinaan Sistem
 
TARIF
 
Aset ICT
Sebarang objek ICT yang mempunyai nilai kepada organisasi 
Backup
 

Salinan fail atau program yang dijanakan untuk memudahkan proses pemulihan dijalankan.  

Business Impact Analysis            

Analisa berkaitan keperluan sistem ICT, proses dan hubungankait antara keduanya yang digunakan untuk menyediakan system kontigensi dan keutamaan yang perlu diberikan semasa bencana.

Change Management               

Proses yang memastikan semua perubahan ke atas infrastruktur ICT ditaksirkan, ditentusahkan, dilaksanakan dan dikaji semula dalam keadaan terkawal untuk memastikan gangguan tidak berlaku.

Dasar

Pernyataan peringkat tinggi mengenai prinsip, matlamat dan objektif termasuk juga cara-cara untuk mencapainya bagi subjek yang spesifik.           

Emel    Mesej yang dihantar secara elektronik.
Impak
Hasil atau lanjutan dari sesuatu kejadian.
Integriti              

Keadaan di mana maklumat tersimpan mengikut cara yang dibenarkan dan tiada perubahan dilakukan yang menjadikan maklumat itu berlainan dari asal.

Kawalan

Langkah-langkah penjagaan yang mana bila ia dilakukan dengan   betul, akan mengurangkan risiko kemusnahan terhadap aset

Kerahsiaan

Keadaan di mana maklumat sensitif dikawal dan diberikan kepada pengguna yang sah sahaja.

Keselamatan Fizikal

Prosedur kawalan yang wujud untuk menghalang penceroboh dari memasuki sistem atau prasarana.

Ketersediaan

Keadaan di mana maklumat atau proses sentiasa boleh dicapai dan digunakan oleh pihak yang dibenarkan.

Pengasingan Tugas

Pengasingan tugas dan tanggungjawab supaya tiada individu boleh mengsabotaj sistem kritikal yang dikendalikannya.Kakitangan
MOA (Tetap, sementara, kontrak) atau pihak ketiga

Pengguna ICT

(perunding, kontraktor, pembekal dan pembekal perkhidmatan)   yang diberikan hak capaian kepada aset ICT MOA.Individu yang selain dari kakitangan MOA seperti perunding.

Pihak Ketiga

Pembekal, kontraktor, pembekal perkhidmatan dan sebagainya.Kakitangan dari Agensi Kerajaan selain dari MOA juga diklasifikasikan sebagai pihak ketiga.         

Risiko
Kemungkinan untuk sesuatu terjadi yang boleh memberikan impak kepada objektifnya.
Secured Areas

Kawasan di mana MOA menempatkan aset ICT yang sensitif dan kritikal seperti Pusat Data atau bilik pejabat yang mengandungi maklumat yang sulit.

Shred  

Cara-cara untuk ‘membersihkan’ media, dengan cara merincih atau menghancurkannya kepada bahagian yang kecil.         

Virus
Kod yang ditulis dengan niat jahat untuk memusnah cara computer bekerja tanpa kebenaran pengguna.
Vulnerability              

Kelemahan dari segi prosedur, senibina, implementasi dan kawalan dalaman yang boleh dieksploitasi hingga mengakibatkan pelanggaran aspek keselamatan atau dasar keselamatan.

1. PENGENALAN 
Keselamatan adalah lebih efektik jika dipelan dan diselenggarakan pada keseluruhan kitar hayat sesuatu sistem dan aplikasi. Banyak risiko keselamatan muncul semasa jangka hayat sesuatu produk. Insiden berlaku bila berlaku eksploitasi pada rekabentuk dan kod untuk sesebuah perisian. Oleh kerana itu, idea mengenai keselamatan mestilah diterapkan pada fasa rekabentuk, pengkodan, implementasi dan operasi untuk mengurangkan risiko eksploitasi keselamatan dari berlaku.

2. TUJUAN
Tujuan Dasar ini adalah untuk menggariskan keperluan di dalam membina dan mengimplemen sistem yang baru di dalam MOA untuk memastikan aktiviti pembinaan sistem dikawal dengan betul dan integriti data dan sistem terpelihara.

3. KUMPULAN SASAR
Dasar ini tergunapakai oleh keseluruhan kakitangan MOA yang ditugaskan untuk membina atau menyelenggara sesuatu sistem. Ia juga tergunapakai untuk pihak ketiga yang mempunyai hubung kait dengan MOA.
 
4. PELANGGARAN DAN HUKUMAN
Sebarang pelanggaran dasar perlulah dilaporkan pada Bahagian Teknologi Maklumat (BTM). Insiden perlulah disiasat dan oleh BTM, dengan kerjasama penyelia individu yang disyaki dan pihak berkuasa.

Pelanggaran dasar secara sengaja atau sebaliknya akan menyebabkan:
  • Kehilangan hak capaian ke atas sumber maklumat;
  • Penilaian prestasi kerja yang buruk;
  • Dikenakan tindakan tatatertib;
  • Digantung kerja atau ditamatkan perkhidmatan;
  • Ditamatkan kontrak;
  • Dikenakan tindakan undang-undang
5. SEMAKAN DAN PENYELENGGARAAN DOKUMEN
ICT Security Officer (ICTSO) 1 merupakan pemunya dokumen ini. Dia bertanggungjawab untuk menyemak dan menyelenggarakan dasar ini.
 
6. RUJUKAN
  • Information technology – Security techniques – Information Security Management Systems – Requirements (ISO/IEC 27001:2005)
    • Arahan Teknologi Maklumat 2007 – MAMPU
    • Requirements (ISO / IEC 27001:2005)
  • Arahan Teknologi Maklumat 2007 – MAMPU
  • Malaysian Public Sector Management Of ICT Security Handbook (MyMIS)
  • Garis Panduan IT Outsourcing Agensi-Agensi Sektor Awam

 7. DASAR

  • Pengurusan Projek
    Projek komiti yang formal hendaklah diwujudkan untuk memantau proses pembinaan aplikasi bersama-sama terma dan syarat yang jelas.

    Kajian awalan mestilah dilakukan untuk memastikan imbangan pembinaan aplikasi baru itu berbaloi dengan manfaat yang akan didapati oleh penggunanya. Dan kajian itu boleh juga menentukan samada tugas ini boleh dijalankan oleh pihak dalam atau memerlukan pihak luaran untuk membinanya.

    Kajian awal mestilah didokumentasikan dan dihantar kepada jawatankuasa pemandu projek. Dokumen ini perlu dikaji dan ditandatangani oleh pihak yang terbabit.

    Pembinaan secara tender mestilah diberikan layanan yang samada samarata seperti pembinaan yang dibuat secara dalaman (sendiri). Kedua-duanya perlu mengikuti keperluan keselamatan rangkaian yang ditetapkan.-duanya perlu mengikuti keperluan keselamatan rangkaian yang ditetapkan.

    Laporan yang berkala pada komiti project steering jawatankuasa pemandu projek perlu dilakukan untuk mengukur keberkesanan projek tersebut.

  • Pembinaan Perisian Secara
    Subkontrak Pembinaan perisian secara subkontrak mestilah dipantau dan diselenggarakan

Kawalan berikut mestilah diikuti:
a. Pengesahan kualiti dan ketepatan kerja yang dilakukan;
b. Hak untuk mengaudit bagi kualiti dan ketepatan kerja yangdilakukan;
c. Keperluan kontrak bagi kualiti dan fungsi keselamatan bagi kod;dan
d. Contract requirements for quality and safety functions of  the code and
e. Ujian sebelum proses pemasangan untuk memastikan ia bebasdari virus.
Perisian yang dibekalkan oleh pembekal hendaklah datang dengan pakej sokongan oleh pihak pembekal.

Capaian fizikal dan logikal hanya boleh diberikan kepada pembekal pada masa yang perlu sahaja dan dibenarkan oleh pihak pengurusan. Aktiviti pembekal akan dipantau.

Standard & Prosedur

Capaian fizikal dan logikal hanya boleh diberikan kepada pembekal pada masa yang perlu sahaja dan dibenarkan oleh pihak pengurusan. Aktiviti pembekal akan dipantau.

Standard dan Prosedur perlu mencakupi yang berikut pada tahap minima:

a.Rekaan sistem;
b.Analisa perisian dan pilihan;
c.Pemprograman;
d.Ujian;
e.Implementasi; dan
f.Pengubahsuaian.

Semua dokumentasi mestilah dikawal untuk menghalang capaian yang dilarang. Capaian ke atas dokumen mestilah dihadkan kepada mereka yang dibenarkan sahaja.

Jika aplikasi dibangunkan oleh pembekal, item yang berikut mestilah disediakan untuk MOA:
a. Latihan dan manual; dan
b. Dokumentasi yang lengkap dan terkini.

  • Pengubahan (Conversion) & Penyelenggaraan Kod Sumber
    Kawalan yang mencukupi perlu adan  ada semasa pengubahan dari kod sumber ke kod objek. Ini untuk memastikan hasil yang tepat dan menyeluruh, dan dalam masa yang sama untuk mengawal risiko dari pengubahsuaian yang tidak dibenarkan.
    Hanya kakitangan yang dibenarkan sahaja boleh melakukan pengubahan ini.

  • Ujian
    Ujian penerimaan pengguna (UAT) mestilah dilakukan pada tempat yang sesuai.

    Ujian mestilah dilaksanakan menggunakan pelan ujian yang didokumenkan yang mencakupi semua jenis senario yang mungkin akan berlaku semasa ia digunakan di dalam persekitaran operasi nanti.

    (UAT) mestilah dilakukan pada tempat yang sesuai.

    Pengguna perlu memastikan senario ujian yang diberikan itu adalah mencukupi dan diuji sehabis mungkin.

    Keputusan ujian mestilah dikaji oleh jawatankuasa projek.

    Setelah sistem diuji dengan jayanya, pengesahan dari pihak pemunya aplikasi tersebut diperlukan sebelum ia boleh dimasukkan ke dalam persekitaran operasi.
     
  • Penggunaan Data Operasi
    Jika data operasi digunakan semasa pembinaan dan pengujian aplikasi,ia perlulah mendapat pengesahan dari pemunya data tersebut.
    Jika data operasi yang sensitif ingin digunakan, ia perlulah diubah untuk menjaga kerahsiaan maklumat yang ada di dalam data tersebuData operasi yang sensitif dilarang dari digunakan untuk menguji sebarang aplikasi.

    Jika data operasi yang sensitif ingin digunakan, ia perlulah diubah untuk menjaga kerahsiaan maklumat yang ada di dalam data tersebut.

    Bila proses pembinaan selesai, data operasi itu perlulah dimusnahkan untuk mengurangkan risiko keselamatan.

    Proses copy menyalindan penggunaan data operasi mestilah direkodkan.

  • Pengasingan Persekitaran
    Persekitaran yang pelbagai (pembinaan, pengujian, operasi) mestilah diasingkan. Ini untuk memastikan keselamatan dikawal sebaik mungkin.

  • Pengawalan Capaian Kepada Kod Sumber
    Capaian kepada kod sumber program dan yang berkaitan dengannya (rekabentuk, spesifikasi, pelan ujian) mestilah dikawal sebaik mungkin untuk menghalang ia dari jatuh kepada pihak yang tidak bertanggungjawab.Pustaka program sumber (program source libraries) mestilah diasingkan dari sistem yang beroperasi.

    Kakitangan sokongan perlulah dihadkan capaian mereka kepada program source libraries

    Pembina (developer) mestilah dilarang dari mencapai kod yang ada pada sistem yang beroperasi.

    Proses kemaskini untuk program source libraries dan item yang berkaitan, dan penghantaran sumber program mestilah dilakukan oleh kakitangan yang dibenarkan sahaja.

  • Pengurusan Perubahan Perisian (Software Change Management)
    Proses pembinaan perisian di MOA mesti menggunakan prosedur pengubahan yang formal untuk setiap jenis perisian yang ada. Proses ini perlulah selari dengan prosedur perubahan kawalan operasi. Ini untuk memastikan keselamatan, kesediaan dan integriti perisian sistem, sistem dan maklumat tidak terjejas dengan perubahan yang dilakukan kepada perisian sedia ada.

    Semua perisian memerlukan pengesahan rasmi dari tuan punya perisian bagi sebarang perubahan yang dibuat.

    Semua perubahan mestilah direkod.

    Strategi Rollback mestilah wujud sebelum sebarang perubahan dilakukan

    Pemunya aplikasi bertanggungjawab untuk memastikan hanya programmer sahaja yang diberi capaian kepada aplikasi yang ada.

    Pemunya aplikasi bertanggungjawab untuk memastikan hanya programmer sahaja yang diberi capaian kepada aplikasi yang ada.
    a. Memastikan gangguan operasi pada tahap minima;
    b. Dokumentasi dikemaskini dan yang lama disimpan;
    c. Kawalan versi (version control) diselenggarakan;
    d. Menyelenggarakan audit log untuk sebarang permintaan perubahan;
    e. Mengemaskini semua prosedur pengguna; dan
    f. Memastikan pengguna mengesahkan semua perubahan sebelum ia digunapakai.

    Pemunya aplikasi hendak melihat keseluruhan proses perubahan bila apabila ia telah dilakukan, termasuklah:
    a. Memastikan ujian dilakukan secara selamat (di dalam persekitaran yang diasingkan antara satu sama lain); dan
    b. Memastikan implementasi tidak mengganggu proses operasi.

  • Semakan selepas Implementasi (Post Implimentation Review)
    Selepas aplikasi mula digunakan di dalam persekitaran operasi, semakan perlu dilakukan untuk mengetahui tahap prestasi aplikasi tersebut.

    Jika ada sebarang objektif tidak dicapai seperti yang telah digubah sebelum proses pengubahan berlaku, ia perlulah dilaporkan kepada jawatankuasa pemandu projek.
8. DOKUMEN BERKAITAN
  • Dasar Keselamatan Operasi
  • Dasar Keselamatan Rangkaian

 

Bookmark and Share
Paparan : 1505
Tarikh Akhir Dikemaskini : 29 Julai 2011