DASAR KESELAMATAN ICT KPM12.3 Kawalan Kriptografi Melindungi kerahsiaan, integriti atau kesahihan Objektif maklumat melalui kaedah kriptografi.12.3.1 Menyedia dan melaksanakan peraturan mengenai Peraturan penggunaan kaedah kriptografi bagi melindungi maklumat. Penggunaan Kriptografi12.3.2 Mengadakan pengurusan infrastruktur kunci awam Pengurusan yang menyokong teknik kriptografi. Infrastruktur Kunci Awam12.4 Keselamatan Fail-Fail Sistem Memastikan keselamatan fail-fail sistem. Objektif12.4.1 Mewujudkan peraturan untuk mengawal Kawalan Operasi pemasangan perisian ke dalam persekitaran Perisian operasi.12.4.2 Memilih data ujian dengan teliti, dilindungi dan Perlindungan Data dikawal. Ujian12.4.3 Menghadkan capaian ke atas kod sumber Kawalan Capaian Kod program. Sumber12.5 Keselamatan Dalam Proses Pembangunan Dan Sokongan Memastikan keselamatan perisian sistem aplikasi Objektif dan maklumat.12.5.1 Menggunakan prosedur kawalan perubahan untuk Prosedur Kawalan mengawal pelaksanaan perubahan. Perubahan RUJUKAN VERSI TARIKH M/SURAT DKICT KPM Versi 2.0 23 / 2 / 2012 29 dari 38
DASAR KESELAMATAN ICT KPM12.5.2 Mengkaji semula dan menguji aplikasi kritikal Kajian Semula apabila terdapat perubahan terhadap sistem Aplikasi Selepas pengoperasian untuk memastikan tiada kesan buruk terhadap operasi KPM atau keselamatan. Perubahan Sistem Pengoperasian12.5.3 Mengawal perubahan dan/atau pindaan ke atas Kawalan Perubahan pakej perisian dan sebarang perubahan adalah Pakej Perisian terhad mengikut keperluan sahaja.12.5.4 Menghalang sebarang kemungkinan berlaku Kebocoran Maklumat kebocoran maklumat.12.5.5 Menyelia dan memantau pembangunan perisian Pembangunan yang dilaksanakan secara outsourced. Perisian Secara Outsourced12.6 Pengurusan Keterdedahan (Vulnerability) Teknikal Mengurangkan risiko akibat daripada eksploitasi Objektif keterdedahan teknikal.12.6.1 Memperoleh maklumat yang cepat mengenai Kawalan keterdedahan teknikal sistem maklumat, menilai keterdedahan, dan mengambil langkah-langkah Keterdedahan yang sesuai untuk menangani risiko yang Teknikal berkaitan. RUJUKAN VERSI TARIKH M/SURAT DKICT KPM Versi 2.0 23 / 2 / 2012 30 dari 38
DASAR KESELAMATAN ICT (DKICT) VERSI 2.0 KEMENTERIAN PELAJARAN MALAYSIA PENGURUSAN INSIDEN KESELAMATAN MAKLUMAT
DASAR KESELAMATAN ICT KPM13. PENGURUSAN INSIDEN KESELAMATAN MAKLUMAT13.1 Pelaporan Insiden Dan Kelemahan Keselamatan Maklumat Memastikan insiden dan kelemahan keselamatan Objektif maklumat yang berkaitan dengan sistem maklumat disalurkan dengan cara yang membolehkan tindakan pembetulan diambil dengan segera.13.1.1 Melaporkan insiden keselamatan maklumat Pelaporan Insiden kepada CERT KPM dengan kadar segera. Keselamatan Maklumat13.1.2 Memastikan semua warga KPM, kontraktor dan Pelaporan Kelemahan pihak ketiga melaporkan kepada CERT KPM Keselamatan sebarang pemerhatian atau kelemahan keselamatan semasa menggunakan sistem maklumat dan perkhidmatan yang disediakan.13.2 Pengurusan Insiden Dan Penambahbaikan Keselamatan Maklumat Memastikan pendekatan yang konsisten dan efektif Objektif digunakan dalam pengurusan insiden keselamatan maklumat.13.2.1 Mewujudkan CERT KPM dan prosedur bagi Tanggungjawab Dan memastikan tindakan insiden keselamatan Prosedur maklumat dikendalikan dengan cepat, berkesan dan teratur.13.2.2 Mewujudkan mekanisma bagi membolehkan jenis, Pengajaran Dari jumlah dan kos insiden keselamatan maklumat Insiden Keselamatan dinilai dan dipantau. Maklumat RUJUKAN VERSI TARIKH M/SURAT DKICT KPM Versi 2.0 23 / 2 / 2012 31 dari 38
DASAR KESELAMATAN ICT KPM13.2.3 Mengumpul, menyimpan, dan menyerahkan Pengumpulan Bahan bahan-bahan bukti mengikut peraturan-peraturan Bukti yang ditetapkan di bawah bidang kuasa perundangan yang berkaitan, sekiranya tindakan susulan terhadap orang atau organisasi selepas sesuatu insiden keselamatan maklumat (sama ada sivil atau jenayah).RUJUKAN VERSI TARIKH M/SURATDKICT KPM Versi 2.0 23 / 2 / 2012 32 dari 38
DASAR KESELAMATAN ICT (DKICT) VERSI 2.0 KEMENTERIAN PELAJARAN MALAYSIA PENGURUSAN KESINAMBUNGAN PERKHIDMATAN
DASAR KESELAMATAN ICT KPM14. PENGURUSAN KESINAMBUNGAN PERKHIDMATAN14.1 Aspek-aspek Keselamatan Maklumat Pengurusan Kesinambungan Perkhidmatan Memastikan fungsi-fungsi kritikal perkhidmatan Objektif sistem dan proses-proses utama dapat segera dipulihkan dalam masa yang ditetapkan sekiranya berlaku gangguan atau bencana.14.1.1 Menyedia dan menyenggara proses kerja bagi Aspek-aspek kesinambungan perkhidmatan dengan mengambil Keselamatan kira keperluan keselamatan maklumat. Maklumat Dalam Proses Pengurusan Kesinambungan Perkhidmatan14.1.2 Mengenalpasti insiden-insiden yang boleh Kesinambungan mengakibatkan gangguan kepada perkhidmatan Perkhidmatan Dan bersama dengan kemungkinan dan kesan terhadap keselamatan maklumat. Penilaian Risiko14.1.3 Membangun dan melaksana pelan kesinambungan Membangun Dan perkhidmatan untuk mengekalkan atau Melaksanakan Pelan memulihkan operasi dan memastikan ketersediaan Kesinambungan maklumat di peringkat yang diperlukan dalam skala Termasuk masa yang ditetapkan berikutan dari gangguan Keselamatan atau kegagalan, proses-proses perkhidmatan Maklumat kritikal.14.1.4 Menetapkan satu rangka kerja pelan Rangka Kerja kesinambungan perkhidmatan bagi memastikan Perancangan semua pelan adalah konsisten dan sentiasa Kesinambungan mengambil kira keperluan keselamatan maklumat. Perkhidmatan14.1.5 Memastikan Pelan Kesinambungan Perkhidmatan Menguji, diuji dan dikemaskini secara berkala supaya ia Menyelenggara Dan sentiasa terkini. Menilai Semula Pelan Kesinambungan Perkhidmatan RUJUKAN VERSI TARIKH M/SURAT DKICT KPM Versi 2.0 23 / 2 / 2012 33 dari 38
DASAR KESELAMATAN ICT (DKICT) VERSI 2.0 KEMENTERIAN PELAJARAN MALAYSIA PEMATUHAN
DASAR KESELAMATAN ICT KPM15. PEMATUHAN15.1 Mematuhi Keperluan Perundangan Mengelak pelanggaran mana-mana undang- Objektif undang, kewajipan berkanun, peraturan atau kontrak, dan apa-apa keperluan keselamatan.15.1.1 Menentu, mendokumen dan menyimpan semua Pengenalan Undang- keperluan perundangan dan peraturan KPM yang Undang Terpakai terkini.15.1.2 Melaksanakan prosedur yang bersesuaian bagi Hak Harta Intelek memastikan pematuhan kepada keperluan (IPR) perundangan dan peraturan dalam penggunaan bahan yang mempunyai hak harta intelek dan penggunaan produk-produk perisian proprietary.15.1.3 Melindungi rekod-rekod penting daripada Perlindungan Rekod kehilangan, kemusnahan dan pemalsuan, Organisasi mengikut keperluan perundangan, peraturan dan perkhidmatan.15.1.4 Memastikan perlindungan data dan privasi Perlindungan Data maklumat peribadi mematuhi peraturan-peraturan, dan klausa-klausa perundangan yang berkaitan. Dan Privasi Maklumat Peribadi15.1.5 Menghalang pengguna daripada menggunakan Pencegahan kemudahan pemprosesan maklumat untuk tujuan Penyalahgunaan yang tidak dibenarkan. Kemudahan Pemprosesan Maklumat15.1.6 Menggunakan kawalan kriptografi berpandukan Peraturan Kawalan perjanjian, perundangan dan peraturan yang Kriptografi berkaitan. RUJUKAN VERSI TARIKH M/SURAT DKICT KPM Versi 2.0 23 / 2 / 2012 34 dari 38
DASAR KESELAMATAN ICT KPM15.2 Pematuhan Dasar Keselamatan dan Piawaian, Dan Pematuhan Teknikal Memastikan pematuhan sistem dengan dasar Objektif keselamatan dan piawaian KPM.15.2.1 Memastikan ketua jabatan melaksanakan prosedur Pematuhan Dengan keselamatan yang ditetapkan dalam dasar Dasar Keselamatan keselamatan dan piawaian. Dan Piawaian15.2.2 Memeriksa sistem maklumat secara berkala Pematuhan terhadap pematuhan keselamatan dan piawaian. Pemeriksaan Teknikal15.3 Audit Sistem Maklumat Memaksimumkan keberkesanan dan Objektif meminimumkan gangguan kepada/daripada sistem maklumat.15.3.1 Merancang dan mempersetujui keperluan audit Kawalan Audit Sistem dan aktiviti-aktiviti yang melibatkan pemeriksaan Maklumat sistem yang sedang beroperasi bagi meminimakan gangguan kepada perkhidmatan.15.3.2 Melindungi audit tools sistem maklumat bagi Perlindungan Audit mencegah sebarang penyalahgunaan. Tools Sistem Maklumat RUJUKAN VERSI TARIKH M/SURAT DKICT KPM Versi 2.0 23 / 2 / 2012 35 dari 38
DASAR KESELAMATAN ICT KPM LAMPIRAN A SURAT AKUAN PEMATUHAN DASAR KESELAMATAN ICT KEMENTERIAN PELAJARAN MALAYSIANama (Huruf Besar) : …………………………………………………………..……No. Kad Pengenalan : …………………………………….……………..………...…Jawatan : ……………………………………………………..…………Bahagian / Jabatan : …………………………………………………………..……Adalah dengan sesungguhnya dan sebenarnya mengaku bahawa :- 1. Saya telah membaca, memahami dan akur akan peruntukan–peruntukan yang terkandung di dalam Dasar Keselamatan ICT KPM; dan 2. Jika saya ingkar kepada peruntukan-peruntukan yang ditetapkan, maka tindakan sewajarnya boleh diambil ke atas diri saya.Tandatangan : ………………………………………Tarikh : ………………………………………Pengesahan Ketua Jabatan / Bahagian……………………………………………………………...()b.p Ketua SetiausahaKementerian Pelajaran MalaysiaTarikh : ……………………………………………RUJUKAN VERSI TARIKH M/SURATDKICT KPM Versi 2.0 23 / 2 / 2012 36 dari 38
DASAR KESELAMATAN ICT KPM LAMPIRAN B SENARAI PERUNDANGAN DAN PERATURAN1. Arahan Keselamatan2. Pekeliling Am Bilangan 3 Tahun 2000 - Rangka Dasar Keselamatan Teknologi Maklumat dan Komunikasi Kerajaan3. Malaysian Public Sector Management of Information and Communications Technology Security Handbook (MyMIS) 20024. Pekeliling Am Bilangan 1 Tahun 2001 - Mekanisme Pelaporan Insiden Keselamatan Teknologi Maklumat dan Komunikasi (ICT)5. Pekeliling Kemajuan Pentadbiran Awam Bilangan 1 Tahun 2003 - Garis Panduan Mengenai Tatacara Penggunaan Internet dan Mel Elektronik di Agensi-Agensi Kerajaan6. Surat Pekeliling Am Bilangan 6 Tahun 2005 - Garis Panduan Penilaian Risiko Keselamatan Maklumat Sektor Awam7. Surat Pekeliling Am Bilangan 4 Tahun 2006 - Pengurusan Pengendalian Insiden Keselamatan Teknologi Maklumat dan Komunikasi (ICT) Sektor Awam8. Surat Arahan Ketua Setiausaha Negara - Langkah-Langkah Untuk Memperkukuhkan Keselamatan Rangkaian Setempat Tanpa Wayar (Wireless Local Area Network) di Agensi-Agensi Kerajaan yang bertarikh 20 Oktober 20069. Surat Arahan Ketua Pengarah MAMPU - Langkah-Langkah Mengenai Penggunaan Mel Elektronik di Agensi-Agensi Kerajaan yang bertarikh 1 Jun 200710. Surat Arahan Ketua Pengarah MAMPU - Langkah-Langkah Pemantapan Pelaksanaan Sistem Mel Elektronik Di Agensi- Agensi Kerajaan yang bertarikh 23 November 200711. Surat Pekeliling Am Bil. 2 Tahun 2000 - Peranan Jawatankuasa- jawatankuasa di Bawah Jawatankuasa IT dan Internet Kerajaan (JITIK)12. Surat Pekeliling Perbendaharaan Bil.2/1995 (Tambahan Pertama) – Tatacara Penyediaan, Penilaian dan Penerimaan Tender13. Surat Pekeliling Perbendaharaan Bil. 3/1995 - Peraturan Perolehan Perkhidmatan Perundingan14. Akta Tandatangan Digital 199715. Akta Rahsia Rasmi 197216. Akta Jenayah Komputer 199717. Akta Hak Cipta (Pindaan) Tahun 199718. Akta Komunikasi dan Multimedia 1998RUJUKAN VERSI TARIKH M/SURATDKICT KPM Versi 2.0 23 / 2 / 2012 37 dari 38
DASAR KESELAMATAN ICT KPM 19. Perintah-Perintah Am 20. Arahan Perbendaharaan 21. Arahan Teknologi Maklumat 2007 22. Garis Panduan Keselamatan MAMPU 2004 23. Standard Operating Procedure (SOP) ICT KPM 24. Surat Pekeliling Am Bilangan 3 Tahun 2009 – Garis Panduan Penilaian Tahap Keselamatan Rangkaian dan Sistem ICT Sektor Awam yang bertarikh 17 November 2009 25. Surat Arahan Ketua Pengarah MAMPU – Pengurusan Kesinambungan Perkhidmatan Agensi Sektor Awam yang bertarikh 22 Januari 2010 26. Surat Arahan Ketua Pengarah MAMPU – Pelaksanaan Pensijilan MS ISO/IEC 27001:2007 Dalam Sektor Awam yang bertarikh 24 November 2010RUJUKAN VERSI TARIKH M/SURATDKICT KPM Versi 2.0 23 / 2 / 2012 38 dari 38
Search
