Dasar Keselamatan ICT - Negeri Sembilan

DASAR KESELAMATAN ICT KERAJAAN NEGERI SEMBILANDASAR KESELAMATAN ICTNEGERI SEMBILAN DARUL KHUSUSOKT 2010VERSI 2.0OLEH:UNIT PENGURUSAN TEKNOLOGI MAKLUMATPEJABAT SETIAUSAHA KERAJAANNEGERI SEMBILAN DARUL KHUSUSBLOK B, TINGKAT 3, WISMA NEGERI70503 SEREMBAN1

DASAR KESELAMATAN ICT KERAJAAN NEGERI SEMBILANSekapur SirihAssalammualaikum WarahmatullahhiWabarakatuh dan Salam 1 Malaysia.Bersyukur kita ke hadrat Allah S.W.T keranaDasar Keselamatan ICT PentadbiranKerajaan Negeri Sembilan Darul Khusus versi2.0 telah dapat disediakan dan akan muladiguna pakai pada November 2010.Sebagaimana kita semua maklum,perkongsian maklumat menjadi agendapenting di dalam perkhidmatan awam.Perkongsian ini hanya boleh dicapai dengan memastikan semua aset ICTKerajaan Negeri dilindungi. Bagi menjamin keselamatan maklumat ini, satuDasar Keselamatan ICT perlu diadakan sebagai panduan kepada semua yangterlibat di dalam penggunaan ICT di pentadbiran Kerajaan Negeri ini.Dasar ini mengandungi peraturan-peraturan yang mesti dibaca dan dipatuhidalam menggunakan aset teknologi maklumat dan komunikasi Kerajaan Negeri.Dasar ini juga menerangkan kepada pengguna dalam pentadbiran KerajaanNegeri mengenai tanggungjawab dan peranan mereka dalam melindungi asetICT Kerajaan Negeri.Dasar Keselamatan ini juga melindungi kepentingan pihak-pihak yangbergantung pada sistem maklumat dari kesan kegagalan atau kelemahan dalambentuk kerahsiaan, integriti, kebolehsediaan serta kesahihan maklumat dankomunikasi. Dasar Keselamatan ICT Pentadbiran Kerajaan Negeri Sembilan inidibuat berasaskan kepada Dasar Keselamatan ICT MAMPU yang sedia ada.Sehubungan itu, pihak Kerajaan Negeri berharap dengan adanya DasarKeselamatan ICT Pentadbiran Kerajaan Negeri Sembilan versi 2.0 ini akan dapatmelancarkan tadbir urus dan keselamatan aset ICT Kerajaan Negeri.Sekian, terima kasih.Salam hormat,(DATO’ HAJI MAT ALI BIN HASSAN)Setiausaha Kerajaan Negeri, Negeri Sembilan Darul Khusus2

DASAR KESELAMATAN ICT KERAJAAN NEGERI SEMBILANISI KANDUNGANPENGENALAN 8OBJEKTIF 8PERNYATAAN DASAR 9SKOP 11PRINSIP-PRINSIP 13PENILAIAN RISIKO KESELAMATAN ICT 16BIDANG 01 PEMBANGUNAN DAN PENYELENGGARAAN DASAR 180101 Dasar Keselamatan ICT 18010101 Pelaksanaan Dasar 18010102 Penyebaran Dasar 19010103 Penyelenggaraan Dasar 19010104 Pengecualian Dasar 20BIDANG 02 ORGANISASI KESELAMATAN 210201 Infrastruktur Organisasi Dalaman 21020101 Setiausaha Kerajaan Negeri 21020102 Ketua Pegawai Maklumat (CIO) 22020103 Pegawai Keselamatan ICT (ICTSO) 23020104 Pengurus ICT 25020105 Pentadbir Sistem ICT 26020106 Pengguna 28020107 Jawatan Kuasa Keselamatan ICT MAMPU 29020108 Pasukan Tindak Balas Insiden Keselamatan ICT Kerajaan NEGERI 31SEMBILAN (CERTNS)0202 Pihak Ketiga 33020201 Keperluan Keselamatan Kontrak dengan Pihak Ketiga 33BIDANG 03 PENGURUSAN ASET 360301 Akauntabiliti Aset 36030101 Inventori Aset ICT 360302 Pengelasan dan Pengendalian Maklumat 37030201 Pengelasan Maklumat 38030202 Pengendalian Maklumat 383

DASAR KESELAMATAN ICT KERAJAAN NEGERI SEMBILANBIDANG 04 KESELAMATAN SUMBER MANUSIA 400401 Keselamatan Sumber Manusia Dalam Tugas Harian 40040101 Sebelum Perkhidmatan 40040102 Dalam Perkhidmatan 41040103 Bertukar Atau Tamat Perkhidmatan 43BIDANG 05 KESELAMATAN FIZIKAL DAN PERSEKITARAN 440501 Keselamatan Kawasan 44050101 Kawalan Kawasan 44050102 Kawalan Masuk Fizikal 46050103 Kawasan Larangan 470502 Keselamatan Peralatan 48050201 Peralatan ICT 48050202 Media Storan 51050203 Media Tandatangan Digital 53050204 Media Perisian dan Aplikasi 54050205 Penyelenggaraan Perkakasan 54050206 Peralatan di Luar Premis 56050207 Pelupusan Perkakasan 560503 Keselamatan Persekitaran 59050301 Kawalan Persekitaran 59050302 Bekalan Kuasa 61050303 Kabel 61050304 Prosedur Kecemasan 620504 Keselamatan Dokumen 63050401 Dokumen 634

DASAR KESELAMATAN ICT KERAJAAN NEGERI SEMBILANBIDANG 06 PENGURUSAN OPERASI DAN KOMUNIKASI 650601 Pengurusan Prosedur Operasi 65060101 Pengendalian Prosedur 65060102 Kawalan Perubahan 66060103 Pengasingan Tugas dan Tanggungjawab 670602 Pengurusan Penyampaian Perkhidmatan Pihak Ketiga 68060201 Perkhidmatan Penyampaian 680603 Perancangan dan Penerimaan Sistem 69060301 Perancangan Kapasiti 69060302 Penerimaan Sistem 690604 Perisian Berbahaya 70060401 Perlindungan dari Perisian Berbahaya 72060402 Perlindungan dari Mobile Code 720605 Housekeeping 72060501 Backup 720606 Pengurusan Rangkaian 74060601 Kawalan Infrastruktur Rangkaian 740607 Pengurusan Media 76060701 Penghantaran dan Pemindahan 76060702 Prosedur Pengendalian Media 76060703 Keselamatan Sistem Dokumentasi 770608 Pengurusan Pertukaran Maklumat 78060801 Pertukaran Maklumat 78060802 Pengurusan Mel Elektronik (E-mel) 790609 Perkhidmatan E-Dagang (Electronic Commerce Services) 81060901 E-Dagang 81060902 Maklumat Umum 820610 Pemantauan 83061001 Pengauditan dan Forensik ICT 83061002 Jejak Audit 84061003 Sistem Log 85061004 Pemantauan Log 865

DASAR KESELAMATAN ICT KERAJAAN NEGERI SEMBILANBIDANG 07 KAWALAN CAPAIAN 870701 Dasar Kawalan Capaian 87070101 Keperluan Kawalan Capaian 870702 Pengurusan Capaian Pengguna 88070201 Akaun Pengguna 88070202 Hak Capaian 90070203 Pengurusan Kata Laluan 90070204 Clear Desk dan Clear Screen 920703 Kawalan Capaian Rangkaian 93070301 Capaian Rangkaian 94070302 Capaian Internet 940704 Kawalan Capaian Sistem Pengoperasian 98070401 Capaian Sistem Pengoperasian 98070402 Kad Pintar 990705 Kawalan Capaian Aplikasi dan Maklumat 100070501 Capaian Aplikasi dan Maklumat 1010706 Peralatan Mudah Alih dan Kerja Jarak Jauh 102070601 Peralatan Mudah Alih 102070602 Kerja Jarak Jauh 103BIDANG 08 PEROLEHAN, PEMBANGUNAN DAN PENYELENGGARAAN 104SISTEM0801 Keselamatan Dalam Membangunkan Sistem dan Aplikasi 104080101 Keperluan Keselamatan Sistem Maklumat 104080102 Pengesahan Data Input dan Output 1050802 Kawalan Kriptografi 106080201 Enkripsi 106080202 Tandatangan Digital 106080203 Pengurusan Infrastruktur Kunci Awam (PKI) 1070803 Keselamatan Fail Sistem 107080301 Kawalan Fail Sistem 1070804 Keselamatan Dalam Proses Pembangunan dan Sokongan 108080401 Prosedur Kawalan Perubahan 108080402 Pembangunan Perisian Secara Outsource 1096

DASAR KESELAMATAN ICT KERAJAAN NEGERI SEMBILAN0805 Kawalan Teknikal Keterdedahan (Vulnerability) 110080501 Kawalan dari Ancaman Teknikal 110BIDANG 09 PENGURUSAN PENGENDALIAN INSIDEN KESELAMATAN 1110901 Mekanisme Pelaporan Insiden Keselamatan ICT 111090101 Mekanisme Pelaporan 1110902 Pengurusan Maklumat Insiden Keselamatan ICT 113090201 Prosedur Pengurusan Maklumat Insiden Keselamatan ICT dan 113PenambahbaikanBIDANG 10 Pengurusan Kesinambungan Perkhidmatan 1151001 Dasar Kesinambungan Perkhidmatan 115100101 Pelan Kesinambungan Perkhidmatan 115BIDANG 11 PEMATUHAN 1191101 Pematuhan dan Keperluan Perundangan 119110101 Pematuhan Dasar 119110102 Pematuhan dengan Dasar, Piawaian dan Keperluan Teknikal 120110103 Pematuhan Keperluan Audit 120110104 Keperluan Perundangan 121110105 Pelanggaran Dasar 121GLOSARI 122Lampiran 1 129Lampiran 2 130Lampiran 3 1347

DASAR KESELAMATAN ICT KERAJAAN NEGERI SEMBILANPENGENALANDasar Keselamatan ICT (DKICT) Pentadbiran Kerajaan Negeri Sembilanmengandungi peraturan-peraturan yang mesti dibaca dan dipatuhi dalammenggunakan aset Teknologi Maklumat dan Komunikasi (ICT). Dasar ini jugamenerangkan kepada semua pengguna mengenai tanggungjawab dan perananmereka dalam melindungi aset ICT Pentadbiran Kerajaan Negeri Sembilan .OBJEKTIFDasar Keselamatan ICT Pentadbiran Kerajaan Negeri Sembilan diwujudkanuntuk menjamin kesinambungan urusan Pentadbiran Kerajaan Negeri Sembilandengan meminimumkan kesan insiden keselamatan ICT.Dasar ini juga bertujuan untuk memudahkan perkongsian maklumat sesuaidengan keperluan operasi Pentadbiran Kerajaan Negeri Sembilan. Ini hanyaboleh dicapai dengan memastikan semua aset ICT dilindungi.Manakala, objektif utama Keselamatan ICT Pentadbiran Kerajaan NegeriSembilan ialah seperti berikut:• Memastikan kelancaran operasi Pentadbiran Kerajaan NegeriSembilan dan meminimumkan kerosakan atau kemusnahan;• Melindungi kepentingan pihak-pihak yang bergantung kepada sistemmaklumat dari kesan kegagalan atau kelemahan dari segi kerahsiaan,integriti, kebolehsediaan, kesahihan maklumat dan komunikasi; dan• Mencegah salah guna atau kecurian aset ICT Kerajaan.8

DASAR KESELAMATAN ICT KERAJAAN NEGERI SEMBILANPERNYATAAN DASARKeselamatan ditakrifkan sebagai keadaan yang bebas daripada ancaman danrisiko yang tidak boleh diterima. Penjagaan keselamatan adalah suatu prosesyang berterusan. Ia melibatkan aktiviti berkala yang mesti dilakukan dari semasake semasa untuk menjamin keselamatan kerana ancaman dan kelemahansentiasa berubah.Keselamatan ICT adalah bermaksud keadaan di mana segala urusan menyediadan membekalkan perkhidmatan yang berasaskan kepada sistem ICT berjalansecara berterusan tanpa gangguan yang boleh menjejaskan keselamatan.Keselamatan ICT berkait rapat dengan perlindungan aset ICT. Terdapat empat(4) komponen asas keselamatan ICT iaitu:• Melindungi maklumat rahsia rasmi dan maklumat rasmi kerajaan dari capaiantanpa kuasa yang sah;• Menjamin setiap maklumat adalah tepat dan sempurna;• Memastikan ketersediaan maklumat apabila diperlukan oleh pengguna; dan• Memastikan akses kepada hanya pengguna-pengguna yang sah ataupenerimaan maklumat dari sumber yang sah.9

DASAR KESELAMATAN ICT KERAJAAN NEGERI SEMBILANDasar Keselamatan ICT Pentadbiran Kerajaan Negeri Sembilan merangkumiperlindungan ke atas semua bentuk maklumat elektronik bertujuan untukmenjamin keselamatan maklumat tersebut dan kebolehsediaan kepada semuapengguna yang dibenarkan. Ciri-ciri utama keselamatan maklumat adalah sepertiberikut:• Kerahsiaan - Maklumat tidak boleh didedahkan sewenang-wenangnya ataudibiarkan diakses tanpa kebenaran;• Integriti - Data dan maklumat hendaklah tepat, lengkap dan kemas kini. Iahanya boleh diubah dengan cara yang dibenarkan;• Tidak Boleh Disangkal - Punca data dan maklumat hendaklah dari puncayang sah dan tidak boleh disangkal;• Kesahihan - Data dan maklumat hendaklah dijamin kesahihannya; dan• Ketersediaan - Data dan maklumat hendaklah boleh diakses pada bila-bilamasa.Selain dari itu, langkah-langkah ke arah menjamin keselamatan ICT hendaklahbersandarkan kepada penilaian yang bersesuaian dengan perubahan semasaterhadap kelemahan semula jadi aset ICT; ancaman yang wujud akibat daripadakelemahan tersebut; risiko yang mungkin timbul; dan langkah-langkahpencegahan sesuai yang boleh diambil untuk menangani risiko berkenaan.10

DASAR KESELAMATAN ICT KERAJAAN NEGERI SEMBILANSKOPAset ICT Pentadbiran Kerajaan Negeri Sembilan terdiri daripada perkakasan,perisian, perkhidmatan, data atau maklumat dan manusia. Dasar KeselamatanICT Pentadbiran Kerajaan Negeri Sembilan menetapkan keperluan-keperluanasas berikut:• Data dan maklumat hendaklah boleh diakses secara berterusan dengancepat, tepat, mudah dan boleh dipercayai. Ini adalah amat perlu bagimembolehkan keputusan dan penyampaian perkhidmatan dilakukan denganberkesan dan berkualiti; dan• Semua data dan maklumat hendaklah dijaga kerahsiaannya dan dikendalikansebaik mungkin pada setiap masa bagi memastikan kesempurnaan danketepatan maklumat serta untuk melindungi kepentingan kerajaan,perkhidmatan dan masyarakat.Bagi menentukan Aset ICT ini terjamin keselamatannya sepanjang masa, DasarKeselamatan ICT Pentadbiran Kerajaan Negeri Sembilan ini merangkumiperlindungan semua bentuk maklumat kerajaan yang dimasukkan, di wujud, dimusnah, disimpan, dijana, dicetak, diakses, di edar, dalam penghantaran, danyang dibuat salinan keselamatan. Ini akan dilakukan melalui pewujudan danpenguatkuasaan sistem kawalan dan prosedur dalam pengendalian semuaperkara-perkara berikut:11

DASAR KESELAMATAN ICT KERAJAAN NEGERI SEMBILAN• PerkakasanSemua aset yang digunakan untuk menyokong pemprosesan maklumat dankemudahan storan Pentadbiran Kerajaan Negeri Sembilan . Contohkomputer, pelayan, peralatan komunikasi dan sebagainya;• PerisianProgram, prosedur atau peraturan yang ditulis dan dokumentasi yangberkaitan dengan sistem pengoperasian komputer yang disimpan di dalamsistem ICT. Contoh perisian aplikasi atau perisian sistem seperti sistempengoperasian, sistem pangkalan data, perisian sistem rangkaian, atauaplikasi pejabat yang menyediakan kemudahan pemprosesan maklumatkepada Pentadbiran Kerajaan Negeri Sembilan ;• PerkhidmatanPerkhidmatan atau sistem yang menyokong aset lain untuk melaksanakanfungsi-fungsinya. Contoh:• Perkhidmatan rangkaian seperti LAN, WAN dan lain-lain;• Sistem halangan akses seperti sistem kad akses; dan• Perkhidmatan sokongan seperti kemudahan elektrik, penghawadingin, sistem pencegah kebakaran dan lain-lain.• Data atau MaklumatKoleksi fakta-fakta dalam bentuk kertas atau mesej elektronik, yangmengandungi maklumat-maklumat untuk digunakan bagi mencapai misi danobjektif Pentadbiran Kerajaan Negeri Sembilan . Contohnya, sistemdokumentasi, prosedur operasi, rekod-rekod Pentadbiran Kerajaan Negeri12

DASAR KESELAMATAN ICT KERAJAAN NEGERI SEMBILANSembilan, profil-profil pelanggan, pangkalan data dan fail-fail data,maklumat-maklumat arkib dan lain-lain;• ManusiaIndividu yang mempunyai pengetahuan dan kemahiran untukmelaksanakan skop kerja harian Pentadbiran Kerajaan Negeri Sembilanbagi mencapai misi dan objektif agensi. Individu berkenaan merupakan asetberdasarkan kepada tugas-tugas dan fungsi yang dilaksanakan; dan• Premis Komputer Dan KomunikasiSemua kemudahan serta premis yang digunakan untuk menempatkanperkara (a) - (e) di atas.Setiap perkara di atas perlu diberi perlindungan rapi. Sebarang kebocoran rahsiaatau kelemahan perlindungan adalah dianggap sebagai perlanggaran langkahlangkahkeselamatan.PRINSIP-PRINSIPPrinsip-prinsip yang menjadi asas kepada Dasar Keselamatan ICT PentadbiranKerajaan Negeri Sembilan dan perlu dipatuhi adalah seperti berikut:• Akses atas dasar perlu mengetahuiAkses terhadap penggunaan aset ICT hanya diberikan untuk tujuan spesifikdan dihadkan kepada pengguna tertentu atas dasar “perlu mengetahui”sahaja. Ini bermakna akses hanya akan diberikan sekiranya peranan atau13

DASAR KESELAMATAN ICT KERAJAAN NEGERI SEMBILANfungsi pengguna memerlukan maklumat tersebut. Pertimbangan untukakses adalah berdasarkan kategori maklumat seperti yang dinyatakan didalam dokumen Arahan Keselamatan perenggan 53, muka surat 15;• Hak akses minimumHak akses pengguna hanya diberi pada tahap set yang paling minimumiaitu untuk membaca dan/atau melihat sahaja. Kelulusan adalah perlu untukmembolehkan pengguna mewujud, menyimpan, mengemas kini, mengubahatau membatalkan sesuatu maklumat. Hak akses perlu dikaji dari semasake semasa berdasarkan kepada peranan dan tanggungjawabpengguna/bidang tugas;• AkauntabilitiSemua pengguna adalah dipertanggungjawabkan ke atas semuatindakannya terhadap aset ICT. Tanggungjawab ini perlu dinyatakandengan jelas sesuai dengan tahap sensitiviti sesuatu sumber ICT. Untukmenentukan tanggungjawab ini dipatuhi, sistem ICT hendaklah mampumenyokong kemudahan mengesan atau mengesah bahawa penggunasistem maklumat boleh dipertanggungjawabkan atas tindakan mereka.Akauntabiliti atau tanggungjawab pengguna termasuklah:• Menghalang pendedahan maklumat kepada pihak yang tidakdibenarkan;• Memeriksa maklumat dan menentukan ianya tepat danlengkap dari semasa ke semasa;• Menentukan maklumat sedia untuk digunakan;• Menjaga kerahsiaan kata laluan;14

DASAR KESELAMATAN ICT KERAJAAN NEGERI SEMBILAN• Mematuhi standard, prosedur, langkah dan garis panduankeselamatan yang ditetapkan;• Memberi perhatian kepada maklumat terperingkat terutamasemasa pewujudan, pemprosesan, penyimpanan,penghantaran, penyampaian, pertukaran dan pemusnahan,dan;• Menjaga kerahsiaan langkah-langkah keselamatan ICT daridiketahui umum.• PengasinganTugas mewujud, memadam, kemas kini, mengubah dan mengesahkan dataperlu diasingkan bagi mengelakkan daripada capaian yang tidak dibenarkanserta melindungi aset ICT daripada kesilapan, kebocoran maklumatterperingkat atau di manipulasi. Pengasingan juga merangkumi tindakanmemisahkan antara kumpulan operasi dan rangkaian;• PengauditanPengauditan adalah tindakan untuk mengenal pasti insiden berkaitankeselamatan atau mengenal pasti keadaan yang mengancam keselamatan.Ia membabitkan pemeliharaan semua rekod berkaitan tindakankeselamatan.Dengan itu, aset ICT seperti komputer, pelayan, router, firewall danrangkaian hendaklah ditentukan dapat menjana dan menyimpan logtindakan keselamatan atau audit trail;• PematuhanDasar Keselamatan ICT Pentadbiran Kerajaan Negeri Sembilan hendaklahdibaca, difahami dan dipatuhi bagi mengelakkan sebarang bentukpelanggaran ke atasnya yang boleh membawa ancaman kepadakeselamatan ICT;15

DASAR KESELAMATAN ICT KERAJAAN NEGERI SEMBILAN• PemulihanPemulihan sistem amat perlu untuk memastikan kebolehsediaan dankebolehcapaian. Objektif utama adalah untuk meminimumkan sebaranggangguan atau kerugian akibat daripada ketidaksediaan. Pemulihan bolehdilakukan melalui aktiviti penduaan dan mewujudkan pelan pemulihanbencana/kesinambungan perkhidmatan; dan• Saling BergantunganSetiap prinsip di atas adalah saling lengkap-melengkapi dan bergantungantara satu sama lain. Dengan itu, tindakan mempelbagaikan pendekatandalam menyusun dan mencorakkan sebanyak mungkin mekanismekeselamatan adalah perlu bagi menjamin keselamatan yang maksimum.PENILAIAN RISIKO KESELAMATAN ICTPentadbiran Kerajaan Negeri Sembilan hendaklah mengambil kira kewujudanrisiko ke atas aset ICT akibat dari ancaman dan vulnerability yang semakinmeningkat hari ini. Justeru itu Pentadbiran Kerajaan Negeri Sembilan perlumengambil langkah-langkah proaktif dan bersesuaian untuk menilai tahap risikoaset ICT supaya pendekatan dan keputusan yang paling berkesan dikenal pastibagi menyediakan perlindungan dan kawalan ke atas aset ICT.Pentadbiran Kerajaan Negeri Sembilan hendaklah melaksanakan penilaian risikokeselamatan ICT secara berkala dan berterusan bergantung kepada perubahanteknologi dan keperluan keselamatan ICT. Seterusnya mengambil tindakansusulan dan/atau langkah-langkah bersesuaian untuk mengurangkan ataumengawal risiko keselamatan ICT berdasarkan penemuan penilaian risiko.Penilaian risiko keselamatan ICT hendaklah dilaksanakan ke atas sistemmaklumat Pentadbiran Kerajaan Negeri Sembilan termasuklah aplikasi, perisian,pelayan, rangkaian dan/atau proses serta prosedur. Penilaian risiko ini16

DASAR KESELAMATAN ICT KERAJAAN NEGERI SEMBILANhendaklah juga dilaksanakan di premis yang menempatkan sumber-sumberteknologi maklumat termasuklah pusat data, bilik media storan, kemudahan utilitidan sistem-sistem sokongan lain.Pentadbiran Kerajaan Negeri Sembilan bertanggungjawab melaksanakan danmenguruskan risiko keselamatan ICT selaras dengan keperluan Surat PekelilingAm Bilangan 6 Tahun 2005: Garis Panduan Penilaian Risiko KeselamatanMaklumat Sektor Awam.Pentadbiran Kerajaan Negeri Sembilan perlu mengenal pasti tindakan yangsewajarnya bagi menghadapi kemungkinan risiko berlaku dengan memilihtindakan berikut:(a) Mengurangkan risiko dengan melaksanakan kawalan yangbersesuaian;(b)(c)(d)Menerima dan/atau bersedia berhadapan dengan risiko yang akanterjadi selagi ia memenuhi kriteria yang telah ditetapkan olehpengurusan agensi;Mengelak dan/atau mencegah risiko dari terjadi dengan mengambiltindakan yang dapat mengelak dan/atau mencegah berlakunyarisiko; danMemindahkan risiko ke pihak lain seperti pembekal, pakar rundingdan pihak-pihak lain yang berkepentingan.17

DASAR KESELAMATAN ICT KERAJAAN NEGERI SEMBILANBIDANG 01PEMBANGUNAN DAN PENYELENGGARAAN DASAR0101 Dasar Keselamatan ICTObjektif:Menerangkan hala tuju dan sokongan pengurusan terhadapkeselamatan maklumat dan aset ICT selaras dengan keperluan KerajaanNegeri Sembilan dan perundangan yang berkaitan.010101 Pelaksanaan DasarPelaksanaan dasar ini akan dijalankan oleh SetiausahaKerajaan Negeri Sembilan selaku Pengerusi MesyuaratJawatankuasa Pemandu ICT Kerajaan NegeriSembilan (JPICTNS). Ahli JPICTNS ini terdiri daripadasenarai di 020107.PentadbiranKerajaan NegeriSembilanPelaksanaan dasar ini hendaklah disokong olehprosedur-prosedur yang lebih terperinci untukmemastikan keberkesanan penyataan dasar.18

DASAR KESELAMATAN ICT KERAJAAN NEGERI SEMBILAN010102 Penyebaran DasarDasar ini perlu disebarkan kepada semua penggunaICT Pentadbiran Kerajaan Negeri Sembilan (termasukkakitangan, pembekal, pakar runding dan lainlain),(termasukICTSO)ICTSO010103 Penyelenggaraan DasarDasar Keselamatan ICT Pentadbiran Kerajaan NegeriSembilan adalah tertakluk kepada semakan danpindaan dari semasa ke semasa termasuk kawalankeselamatan, prosedur dan proses selaras denganperubahan teknologi, aplikasi, prosedur, perundangan,dasar Kerajaan dan kepentingan sosial.ICTSOBerikut adalah prosedur yang berhubung denganpenyelenggaraan Dasar Keselamatan ICT PentadbiranKerajaan Negeri Sembilan:(a) Kenal pasti dan tentukan perubahan yangdiperlukan;(b) Ke muka cadangan pindaan secara bertuliskepada ICTSO untuk pembentangan danpersetujuan Mesyuarat JawatankuasaPemandu ICT KERAJAAN NEGERISEMBILAN (JPICTNS);19

DASAR KESELAMATAN ICT KERAJAAN NEGERI SEMBILAN(c)Maklum kepada semua pengguna perubahanyang telah dipersetujui oleh MesyuaratJawatankuasa Pemandu ICT KERAJAANNEGERI SEMBILAN (JPICTNS); dan(d) Dasar ini hendaklah dikaji semulasekurang-kurangnya sekali setahun ataumengikut keperluan semasa.010104 Pengecualian DasarDasar Keselamatan ICT Pentadbiran KerajaanNegeri Sembilan adalah terpakai kepada semuapengguna ICT Pentadbiran Kerajaan NegeriSembilan dan tiada pengecualian diberikan.20

DASAR KESELAMATAN ICT KERAJAAN NEGERI SEMBILANBIDANG 02ORGANISASI KESELAMATAN0201 Infrastruktur Organisasi DalamanObjektif:Menerangkan peranan dan tanggungjawab individu yang terlibat denganlebih jelas dan teratur dalam mencapai objektif Dasar Keselamatan ICTPentadbiran Kerajaan Negeri Sembilan.020101 Setiausaha Kerajaan NegeriSetiausaha Kerajaan Negeri adalah berperanan danbertanggungjawab dalam perkara-perkara sepertiberikut:PentadbiranKerajaan NegeriSembilan(a)Memastikan semua pengguna memahamiperuntukan-peruntukan di bawah DasarKeselamatan ICT Pentadbiran KerajaanNegeri Sembilan;(b)Memastikan semua pengguna mematuhiDasar Keselamatan ICT PentadbiranKerajaan Negeri Sembilan;21

DASAR KESELAMATAN ICT KERAJAAN NEGERI SEMBILAN(c)Memastikan semua keperluan organisasi(sumber kewangan, sumber manusia danperlindungan keselamatan) adalahmencukupi;(d)Memastikan penilaian risiko dan programkeselamatan ICT dilaksanakan seperti yangditetapkan di dalam Dasar Keselamatan ICTPentadbiran Kerajaan Negeri Sembilan; dan(e) MempengerusikanMesyuarat JawatankuasaPemandu ICT KERAJAAN NEGERISEMBILAN (JPICTNS).020102 Ketua Pegawai Maklumat (CIO)Ketua Pegawai Maklumat (CIO) bagi PentadbiranKerajaan Negeri Sembilan ialah Timbalan SetiausahaKerajaan Negeri (Pengurusan). Peranan dantanggungjawab CIO adalah seperti berikut:CIO(a) Membantu Setiausaha Kerajaan Negeri dalammelaksanakan tugas-tugas yang melibatkankeselamatan ICT;(b) Menentukan keperluan keselamatan ICT;22

DASAR KESELAMATAN ICT KERAJAAN NEGERI SEMBILAN(c) Menyelaras dan mengurus pelan latihan danprogram kesedaran keselamatan ICT sepertipenyediaan DKICT Pentadbiran KerajaanNegeri Sembilan serta pengurusan risiko danpengauditan; dan(d) Bertanggungjawab ke atas perkara-perkarayang berkaitan dengan keselamatan ICTPentadbiran Kerajaan Negeri Sembilan.020103 Pegawai Keselamatan ICT (ICTSO)Pegawai Keselamatan ICT (ICTSO) bagi PentadbiranKerajaan Negeri Sembilan ialah Pengarah UnitPengurusan Teknologi Maklumat (UPTM). Peranan dantanggungjawab ICTSO yang dilantik adalah sepertiberikut:(a) Mengurus keseluruhan program-programkeselamatan ICT Pentadbiran KerajaanNegeri Sembilan;ICTSO(b) Menguatkuasakan pelaksanaan Dasarkeselamatan ICT Pentadbiran KerajaanNegeri Sembilan;(c) Memberi penerangan dan pendedahanberkenaan Dasar Keselamatan ICTPentadbiran Kerajaan Negeri Sembilan23

DASAR KESELAMATAN ICT KERAJAAN NEGERI SEMBILANkepada semua pengguna;(d) Mewujudkan garis panduan, prosedur dantatacara selaras dengan keperluan DasarKeselamatan ICT Pentadbiran KerajaanNegeri Sembilan;(e) Menjalankan pengurusan risiko;(f) Menjalankan audit, mengkaji semula,merumus tindak balas pengurusanPentadbiran Kerajaan Negeri Sembilanberdasarkan hasil penemuan danmenyediakan laporan mengenainya;(g) Memberi amaran terhadap kemungkinanberlakunya ancaman berbahaya sepertivirus dan memberi khidmat nasihat sertamenyediakan langkah-langkah perlindunganyang bersesuaian;(h) Melaporkan insiden keselamatan ICTkepada Pasukan Tindak balas InsidenKeselamatan ICT Kerajaan (CERTNS),Pentadbiran Kerajaan Negeri Sembilan danmemaklumkannya kepada CIO;(i) Bekerjasama dengan semua pihak yangberkaitan dalam mengenal pasti puncaancaman atau insiden keselamatan ICT danmemperakukan langkah-langkah baik pulih24

DASAR KESELAMATAN ICT KERAJAAN NEGERI SEMBILANdengan segera; dan(j) Menyedia dan melaksanakan programprogramkesedaran mengenai keselamatanICT.(k)Menjalankan penilaian untuk memastikantahap keselamatan ICT dan mengambiltindakan pemulihan atau pengukuhanbagi meningkatkan tahap keselamataninfrastruktur ICT supaya insiden baru dapatdielakkan.(l) Koordinator Pengurusan KesinambunganPerkhidmatan (Koordinator PKP) PentadbiranKerajaan Negeri Sembilan.020104 Pengurus ICTPengurus ICT yang juga merupakan Ketua JabatanKerajaan Negeri adalah bertanggungjawabmenguruskan keselamatan ICT di bawah kawalannya.Ini termasuklah :Pengurus ICTJabatan / AgensiPeranan dan tanggungjawab Pengurus ICT adalahseperti berikut:(a) Mengkaji semula dan melaksanakan kawalankeselamatan ICT selaras dengan keperluanPentadbiran Kerajaan Negeri Sembilan;25

DASAR KESELAMATAN ICT KERAJAAN NEGERI SEMBILAN(b) Menentukan kawalan akses penggunaterhadap aset ICT Pentadbiran KerajaanNegeri Sembilan;(c) Melaporkan sebarang perkara ataupenemuan mengenai keselamatan ICTkepada ICTSO; dan(d)Menyimpan rekod, bahan bukti dan laporanterkini mengenai ancaman keselamatan ICTPentadbiran Kerajaan Negeri Sembilan.020105 Pentadbir Sistem ICTPentadbir Sistem ICT bagi Pentadbiran KerajaanNegeri Sembilan ialah Pentadbir sistem ICT di Jabatan/ Agensi .Pentadbir SistemICT Jabatan /AgensiPeranan dan tanggungjawab Pentadbir Sistem ICTadalah seperti berikut:(a)Mengambil tindakan yang bersesuaiandengan segera apabila dimaklumkanmengenai kakitangan yang berhenti,bertukar, bercuti, berkursus panjang atauberlaku perubahan dalam bidangtugas;26

DASAR KESELAMATAN ICT KERAJAAN NEGERI SEMBILAN(b)Menentukan ketepatan dan kesempurnaansesuatu tahap capaian berdasarkan arahanpemilik sumber maklumat sebagaimana yangtelah ditetapkan di dalam Dasar KeselamatanICT Pentadbiran Kerajaan Negeri Sembilan;(c) Memantau aktiviti capaian harian sistemaplikasi pengguna;(d)Mengenal pasti aktiviti-aktiviti tidak normalseperti pencerobohan dan pengubahsuaiandata tanpa kebenaran dan membatalkanatau memberhentikannya dengan serta merta;(e)Menganalisis dan menyimpan rekod jejakaudit;(f)Menyediakan laporan mengenai aktiviticapaian secara berkala;(g) Bertanggungjawab memantau setiapperkakasan ICT yang diagihkan kepadapengguna seperti komputer peribadi,komputer riba, pencetak, pengimbas dansebagainya di dalam keadaan yang baik.27

DASAR KESELAMATAN ICT KERAJAAN NEGERI SEMBILANPengguna mempunyai peranan dan tanggungjawabseperti berikut:Pengguna(a)Membaca, memahami dan mematuhi DasarKeselamatan ICT Pentadbiran KerajaanNegeri Sembilan ;(b) Mengetahui dan memahami implikasikeselamatan ICT kesan dari tindakannya;(c) Menjalani tapisan keselamatan sekiranyadikehendaki berurusan dengan maklumatrasmi terperingkat;(d) Melaksanakan prinsip-prinsip DasarKeselamatan ICT Pentadbiran KerajaanNegeri Sembilan dan menjaga kerahsiaanmaklumat Pentadbiran Kerajaan NegeriSembilan;(e)Melaporkan sebarang aktiviti yang mengancamkeselamatan ICT kepada ICTSO dengansegera;(f) Menghadiri program-program kesedaranmengenai keselamatan ICT;(h) Menandatangani Surat Akuan PematuhanDasar Keselamatan ICT Pentadbiran KerajaanNegeri Sembilan sebagaimana Lampiran 1.28

DASAR KESELAMATAN ICT KERAJAAN NEGERI SEMBILAN020107 Jawatan Kuasa Pemandu ICT (JPICTNS)Jawatankuasa Pemandu ICT KERAJAAN NEGERISEMBILAN ( JPICTNS ) adalah jawatankuasa yangbertanggungjawab dalam keselamatan ICT danberperanan sebagai penasihat dan pemangkin dalammerumuskan rancangan dan strategi keselamatan ICTPentadbiran Kerajaan Negeri Sembilan.JPICTNSDi Pentadbiran Kerajaan Negeri Sembilan,Keanggotaan JPICTNS adalah seperti berikut:Pengerusi:Setiausaha Kerajaan NegeriAhli :1. Timbalan Setiausaha Kerajaan(Pengurusan)2. Pegawai Kewangan Negeri3. Pengarah Jabatan Kerja Raya4. Pengarah Jabatan Perancang Bandar danDesa5. Pengarah Unit Perancang Ekonomi Negeri6. Pengarah Pejabat Tanah dan Galian7. Pengarah Pejabat Pembangunan Negeri8. Pengarah Pejabat Hutan Negeri9. Pengarah Audit Negeri10. Ketua Penolong Setiausaha UnitPerumahan11. Ketua Penolong Setiausaha Kerajaan29

DASAR KESELAMATAN ICT KERAJAAN NEGERI SEMBILANTempatan12. Ketua Penolong Setiausaha Korporat13. Ketua Penolong Setiausaha BahagianPentadbiran dan Sumber ManusiaUrus Setia bagi Jawatankuasa Pemandu ICTKERAJAAN NEGERI SEMBILAN (JPICTNS) ialah UnitPengurusan Teknologi Maklumat (UPTM). Bidangkuasa:(a) Memperakukan/meluluskan dokumenDKICT KERAJAAN NEGERI SEMBILAN;(b)Memantau tahap pematuhan keselamatanICT;(c)Memperakui garis panduan, prosedur dantatacara untuk aplikasi-aplikasi khususdalam Pentadbiran Kerajaan NegeriSembilan yang mematuhi keperluanDKICT Kerajaan Negeri Sembilan;(d) Menilai teknologi yang bersesuaiandan mencadangkan penyelesaianterhadap keperluan keselamatan ICT;(e) Memastikan DKICT Kerajaan NegeriSembilan selaras dengan dasar-dasarICT kerajaan semasa;30

DASAR KESELAMATAN ICT KERAJAAN NEGERI SEMBILAN(f)Menerima laporan dan membincangkanhal-hal keselamatan ICT semasa;(g)Membincang tindakan yang melibatkanpelanggaran DKICT Kerajaan NegeriSembilan; dan(h)Membuat keputusan mengenai tindakanyang perlu diambil mengenai sebaranginsiden.020108 Pasukan Tindak Balas Insiden Keselamatan ICT KERAJAANNEGERI SEMBILAN (CERTNS)Keanggotaan CERTNS adalah seperti berikut:CERTNSPengurus:Pengarah Unit Pengurusan TeknologiMaklumatAhli Tetap:1) Penolong Pengarah Operasi danRangkaian, Unit Pengurusan TeknologiMaklumat2) Penolong Pengarah Keselamatan, UnitPengurusan Teknologi Maklumat3) Penolong Pengarah Operasi, UnitPengurusan Teknologi Maklumat31

DASAR KESELAMATAN ICT KERAJAAN NEGERI SEMBILAN4) Penolong Pengarah Rangkaian, UnitPengurusan Teknologi Maklumat5) Penolong Pegawai Teknologi Maklumat(Keselamatan), Unit PengurusanTeknologi Maklumat6) Penolong Pegawai Teknologi Maklumat(Rangkaian), Unit Pengurusan TeknologiMaklumat7) Pegawai Teknologi Maklumat, PejabatTanah dan Galian8) Pegawai Teknologi Maklumat, PejabatBendahari NegeriAhli Dilantik:1) Wakil Pihak Berkuasa Tempatan2) Wakil Pejabat Tanah dan Daerah3) Wakil AgensiPeranan dan tanggungjawab CERTNS adalah sepertiberikut:(a) Menerima dan mengesan aduankeselamatan ICT serta menilai tahap danjenis insiden;(b) Merekodkan dan menjalankan siasatan awalinsiden yang diterima;(c) Menangani tindak balas insidenkeselamatan ICT dan mengambil tindakanbaik pulih minimum;32

DASAR KESELAMATAN ICT KERAJAAN NEGERI SEMBILAN(d)Menasihati Pentadbiran Kerajaan NegeriSembilan mengambil tindakan pemulihandan pengukuhan;(e) Menyebarkan makluman berkaitanpengukuhan keselamatan ICT kepadaPentadbiran Kerajaan Negeri Sembilan.0202 Pihak KetigaObjektif:Menjamin keselamatan semua aset ICT yang digunakan oleh pihakketiga (Pembekal, Pakar Runding dan lain-lain).020201 Keperluan Keselamatan Kontrak dengan Pihak KetigaIni bertujuan memastikan penggunaan aset ICT,penggunaan maklumat dan kemudahan prosesmaklumat oleh pihak ketiga dikawal. Perkara yang perludipatuhi termasuk yang berikut:(a) Membaca, memahami dan mematuhiDasar Keselamatan ICT PentadbiranKerajaan Negeri Sembilan ;CIO, ICTSO,Pengurus ICT,Pentadbir SistemICTAgensi/Jabatandan Pihak ketiga33

DASAR KESELAMATAN ICT KERAJAAN NEGERI SEMBILAN(b) Mengenal pasti risiko keselamatanmaklumat dan kemudahan pemprosesanmaklumat serta melaksanakan kawalanyang sesuai sebelum memberi kebenarancapaian;(c) Mengenal pasti keperluankeselamatan sebelum memberikebenaran capaian atau penggunaankepada pihak ketiga;(d) Akses kepada aset ICT PentadbiranKerajaan Negeri Sembilan perluberlandaskan kepada prosedur-prosedurkeselamatan yang berkaitan;(e)Memastikan semua syarat keselamatandinyatakan dengan jelas dalam perjanjiandengan pihak ketiga. Perkara-perkaraberikut hendaklah dimasukkan di dalamperjanjian yang dimeterai.i. Dasar Keselamatan ICT PentadbiranKerajaan Negeri Sembilan;ii. Tapisan Keselamataniii. Perakuan Akta Rahsia Rasmi 1972; daniv. Hak Harta Intelek.34

DASAR KESELAMATAN ICT KERAJAAN NEGERI SEMBILAN(f)Menandatangani Surat Akuan PematuhanDasar Keselamatan ICT PentadbiranKerajaan Negeri Sembilan sebagaimanaLampiran 1.35

DASAR KESELAMATAN ICT KERAJAAN NEGERI SEMBILANBIDANG 03PENGURUSAN ASET0301 Akauntabiliti AsetObjektif:Memberi dan menyokong perlindungan yang bersesuaian ke atas semuaAset ICT pelbagai agensi di bawah Pentadbiran Kerajaan NegeriSembilan.030101 Inventori Aset ICTIni bertujuan memastikan semua Aset ICT diberikawalan dan perlindungan yang sesuai oleh pemilik ataupemegang amanah masing-masing.PentadbirSistem danSemuaPerkara yang perlu dipatuhi adalah seperti berikut:a. Memastikan semua Aset ICT dikenal pasti danmaklumat Aset di rekod dalam borang daftar hartamodal dan inventori dan sentiasa dikemas kiniselaras dengan Pekeliling Perbendaharaan Bil.5Tahun 2007 Tatacara Pengurusan Aset AlihKerajaan;b. Memastikan semua Aset ICT mempunyai36

DASAR KESELAMATAN ICT KERAJAAN NEGERI SEMBILANpemilik dan dikendalikan oleh pengguna yangdibenarkan sahaja;c. Memastikan semua pengguna mengesahkanpenempatan Aset ICT yang ditempatkan di semuaagensi di bawah Pentadbiran Kerajaan NegeriSembilan;d. Peraturan bagi pengendalian Aset ICThendaklah dikenal pasti, di dokumen dandilaksanakan oleh pegawai pemeriksa Aset yangtelah dilantik oleh Jawatankuasa PengurusanAset (JKPAK)/ Ketua Jabatan; dane. Setiap pengguna adalah bertanggungjawab ke atassemua Aset ICT di bawah kawalannya.0302 Pengelasan dan Pengendalian MaklumatObjektif:Memastikan setiap maklumat atau Aset ICT diberikan tahapperlindungan yang bersesuaian.37

DASAR KESELAMATAN ICT KERAJAAN NEGERI SEMBILAN030201 Pengelasan MaklumatMaklumat hendaklah dikelaskan atau dilabelkansewajarnya oleh pegawai yang diberi kuasa mengikutdokumen Arahan Keselamatan.SemuaSetiap maklumat yang dikelaskan mestilahmempunyai peringkat keselamatan sebagaimanayang telah ditetapkan di dalam dokumen ArahanKeselamatan seperti berikut:a. Rahsia Besarb. Rahsia;c. Sulit; ataud. Terhad.030202 Pengendalian MaklumatAktiviti pengendalian maklumat seperti mengumpul,memproses, menyimpan, menghantar, menyampai,menukar dan memusnahkan hendaklah mengambilkira langkah-langkah keselamatan berikut:Semuaa. Menghalang pendedahan maklumat kepadapihak yang tidak dibenarkan;38

DASAR KESELAMATAN ICT KERAJAAN NEGERI SEMBILANb. Memeriksa maklumat dan menentukan ia tepatdan lengkap darisemasa ke semasa;c. Menentukan maklumat sedia untuk digunakan;d. Menjaga kerahsiaan kata laluan;e. Mematuhi standard, prosedur, langkah dan garispanduan keselamatan yang ditetapkan;f. Memberi perhatian kepada maklumat terperingkatterutama semasa pewujudan, pemprosesan,penyimpanan, penghantaran, penyampaian,pertukaran dan pemusnahan; dang. Menjaga kerahsiaan langkah-langkah keselamatanICT dari diketahui umum.39

DASAR KESELAMATAN ICT KERAJAAN NEGERI SEMBILANBIDANG 04KESELAMATAN SUMBER MANUSIA0401 Keselamatan Sumber Manusia Dalam Tugasan HarianObjektif:Memastikan semua sumber manusia yang terlibat termasuk pegawaidan kakitangan di bawah Pentadbiran Kerajaan Negeri Sembilan,pembekal, pakar runding dan pihak-pihak yang berkepentinganmemahami tanggungjawab dan peranan serta meningkatkanpengetahuan dalam keselamatan Aset ICT. Semua warga di bawahPentadbiran Kerajaan Negeri Sembilan hendaklah mematuhi terma dansyarat perkhidmatan serta peraturan semasa yang berkuat kuasa.040101 Sebelum PerkhidmatanIni bertujuan memastikan semua Aset ICT diberikawalan dan perlindungan yang sesuai oleh pemilik ataupemegang amanah masing-masing.PentadbirSistem danSemuaPerkara yang perlu dipatuhi adalah seperti berikut:a. Menyatakan dengan lengkap dan jelasperanan dan tanggungjawab pegawai dankakitangan di bawah Pentadbiran Kerajaan40

DASAR KESELAMATAN ICT KERAJAAN NEGERI SEMBILANNegeri Sembilan serta pihak ketiga yangterlibat dalam menjamin keselamatan AsetICT sebelum, semasa dan selepasperkhidmatan;b. Menjalankan tapisan keselamatan untukpegawai dan kakitangan di bawahPentadbiran Kerajaan Negeri Sembilan sertapihak ketiga yang terlibat berasaskankeperluan perundangan, peraturan danetika terpakai yang selaras dengan keperluanperkhidmatan, peringkat maklumat yang akandicapai serta risiko yang dijangkakan; danc. Mematuhi semua terma dan syaratperkhidmatan yang ditawarkan dan peraturansemasa yang berkuat kuasa berdasarkanperjanjian yang telah ditetapkan.040102 Dalam PerkhidmatanPerkara-perkara yang perlu dipatuhi termasuk yangberikut:a. Memastikan pegawai dan kakitangan di bawahPentadbiran Kerajaan Negeri Sembilan sertapihak ketiga yang berkepentingan menguruskeselamatan Aset ICT berdasarkan perundangandan peraturan yang ditetapkan oleh PentadbiranKerajaan Negeri Sembilan atau agensi yangSemua41

DASAR KESELAMATAN ICT KERAJAAN NEGERI SEMBILANberkenaan;b. Memastikan latihan kesedaran dan yangberkaitan mengenai pengurusan keselamatanAset ICT diberi kepada pengguna ICT dibawah Pentadbiran Kerajaan Negeri Sembilansecara berterusan dalam melaksanakan tugastugasdan tanggungjawab mereka, dansekiranya perlu diberi kepada pihak ketiga yangberkepentingan dari semasa ke semasa;c. Memastikan adanya proses tindakan disiplindan/atau undang-undang ke atas pegawai dankakitangan di bawah Pentadbiran KerajaanNegeri Sembilan serta pihak ketiga yangberkepentingan sekiranya berlaku perlanggarandengan perundangan dan peraturan ditetapkanoleh Pentadbiran Kerajaan Negeri Sembilan atauagensi yang berkenaan; dand. Memantapkan pengetahuan berkaitan denganpenggunaan Aset ICT bagi memastikan setiapkemudahan ICT digunakan dengan cara dankaedah yang betul demi menjaminkepentingan keselamatan ICT. Sebarangkursus dan latihan teknikal yang diperlukan,pengguna boleh merujuk kepada BahagianPengurusan Sumber Manusia, PejabatSetiausaha Kerajaan Negeri Sembilan atauagensi yang berkenaan.42

DASAR KESELAMATAN ICT KERAJAAN NEGERI SEMBILAN040103 Bertukar Atau Tamat PerkhidmatanPerkara-perkara yang perlu dipatuhi termasuk yangberikut:Semuaa. Memastikan semua Aset ICT dikembalikankepada pegawai yang dipertanggungjawabkan dibawah agensi yang berkenaan mengikut peraturandan/atau terma perkhidmatan yang ditetapkan;b. Membatalkan atau menarik balik semua kebenarancapaian ke atas maklumat dan kemudahan prosesmaklumat mengikut peraturan yang ditetapkan olehPentadbiran Kerajaan Negeri Sembilan atau agensiyang berkenaan; dan/atau terma perkhidmatan.43

DASAR KESELAMATAN ICT KERAJAAN NEGERI SEMBILAN• Menggunakan keselamatan perimeter(halangan seperti dinding, pagar kawalan,pengawal keselamatan) untuk melindungikawasan yang mengandungi maklumat dankemudahan pemprosesan maklumat;• Memasang alat penggera atau kamera litartertutup (CCTV);• Mengehadkan jalan keluar masuk;• Mengadakan kaunter kawalan;• Menyediakan tempat atau bilik khas untukpelawat-pelawat;• Mewujudkan perkhidmatan kawalankeselamatan;• Melindungi kawasan terhad melalui kawalanpintu masuk yang bersesuaian bagimemastikan kakitangan yang diberi kebenaransahaja boleh melalui pintu masuk ini;• Mereka bentuk dan melaksanakankeselamatan fizikal di dalam pejabat, bilik dankemudahan;• Mereka bentuk dan melaksanakanperlindungan fizikal dari kebakaran, banjir,letupan, kacau-bilau dan bencana;• Menyediakan garis panduan untuk kakitanganyang bekerja di dalam kawasan terhad; dan45

DASAR KESELAMATAN ICT KERAJAAN NEGERI SEMBILAN050103 Kawasan LaranganKawasan larangan ditakrifkan sebagai kawasan yangdihadkan kemasukan kepada pegawai-pegawai yangtertentu sahaja. Ini dilaksanakan untuk melindungiaset ICT yang terdapat di dalam kawasan tersebut.Pentadbir SistemKawasan larangan di Jabatan PentadbiranKerajaan Negeri adalah Bilik Ketua Jabatan, BilikTimbalan Ketua Jabatan, Bilik Server, Bilik DisasterRecovery Centre (DRC) dan Pusat Data (DataCentre).• Akses kepada kawasan larangan hanyalahkepada pegawai-pegawai yang dibenarkansahaja; danPihak ketiga adalah dilarang sama sekali untukmemasuki kawasan larangan kecuali, bagi kes-kestertentu seperti memberi perkhidmatan sokonganatau bantuan teknikal, dan mereka hendaklah diiringisepanjang masa sehingga tugas di kawasanberkenaan selesai.47

DASAR KESELAMATAN ICT KERAJAAN NEGERI SEMBILAN0502 Keselamatan PeralatanObjektif:Melindungi peralatan ICT jabatan dari kehilangan, kerosakan, kecurianserta gangguan kepada peralatan tersebut.050201 Peralatan ICTPerkara-perkara yang perlu dipatuhi adalah sepertiberikut:Semua• Pengguna hendaklah menyemak danmemastikan semua peralatan ICT di bawahkawalannya berfungsi dengan sempurna;• Pengguna bertanggungjawab sepenuhnya keatas komputer masing-masing dan tidakdibenarkan membuat sebarang pertukaranperkakasan dan konfigurasi yang telahditetapkan;• Pengguna dilarang sama sekali menambah,menanggal atau mengganti sebarangperkakasan ICT yang telah ditetapkan;• Pengguna dilarang membuat instalasisebarang perisian tambahan tanpa kebenaranPentadbir Sistem ICT;48

DASAR KESELAMATAN ICT KERAJAAN NEGERI SEMBILAN• Pengguna adalah bertanggungjawab di ataskerosakan atau kehilangan peralatan ICT dibawah kawalannya;• Pengguna mesti memastikan perisian antivirusdi komputer peribadi mereka sentiasa aktif(activated) dan dikemas kini di sampingmelakukan imbasan ke atas media storan yangdigunakan;• Penggunaan kata laluan untuk akses ke sistemkomputer adalah diwajibkan;• Semua peralatan sokongan ICT hendaklahdilindungi daripada kecurian, kerosakan,penyalahgunaan atau pengubahsuaian tanpakebenaran;• Peralatan-peralatan kritikal perlu disokong olehUninterruptable Power Supply(UPS);• Semua peralatan ICT hendaklah disimpan ataudiletakkan di tempat yang teratur, bersih danmempunyai ciri-ciri keselamatan. Peralatanrangkaian seperti switches, hub, routerdanlain-lain perlu diletakkan di dalam rak khas danberkunci;• Semua peralatan yang digunakan secaraberterusan mestilah diletakkan di kawasanyang berhawa dingin dan mempunyaipengudaraan (air ventilation) yang sesuai;• Peralatan ICT yang hendak dibawa keluar daripremis jabatan perlulah mendapat kelulusan49

DASAR KESELAMATAN ICT KERAJAAN NEGERI SEMBILANPentadbir Sistem ICT dan direkodkan bagitujuan pemantauan;• Peralatan ICT yang hilang hendaklahdilaporkan kepada ICTSO dan Pegawai Asetdengan segera;• Pengendalian peralatan ICT hendaklahmematuhi dan merujuk kepada peraturansemasa yang berkuat kuasa;• Pengguna tidak dibenarkan mengubahkedudukan komputer dari tempat asal iaditempatkan tanpa kebenaran PentadbirSistem ICT;• Sebarang kerosakan peralatan ICT hendaklahdilaporkan kepada Pentadbir Sistem ICT untukdi baik pulih;• Sebarang pelekat selain bagi tujuan rasmitidak dibenarkan. Ini bagi menjamin peralatantersebut sentiasa berkeadaan baik;• Konfigurasi alamat IP tidak dibenarkan diubahdaripada alamat IP yang asal;• Pengguna dilarang sama sekali mengubahkata laluan bagi pentadbir (administratorpassword) yang telah ditetapkan olehPentadbir Sistem ICT;• Pengguna bertanggungjawab terhadapperkakasan, perisian dan maklumat di bawahjagaannya dan hendaklah digunakan50

DASAR KESELAMATAN ICT KERAJAAN NEGERI SEMBILANsepenuhnya bagi urusan rasmi sahaja;• Pengguna hendaklah memastikan semuaperkakasan komputer, pencetak danpengimbas dalam keadaan “OFF” apabilameninggalkan pejabat;• Sebarang bentuk penyelewengan atau salahguna peralatan ICT hendaklah dilaporkankepada ICTSO; dan• Memastikan plag dicabut daripada suis utama(main switch) bagi mengelakkan kerosakanperkakasan sebelum meninggalkan pejabatjika berlaku kejadian seperti petir, kilat dansebagainya.050202 Media StoranMedia storan merupakan peralatan elektronik yangdigunakan untuk menyimpan data dan maklumatseperti disket, cakera padat, pita magnetik, optical disk,flash disk, CDROM, thumb drive dan media storan lain.SemuaMedia-media storan perlu dipastikan berada dalamkeadaan yang baik, selamat, terjamin kerahsiaan,integriti dan kebolehsediaan untuk digunakan. Perkaraperkarayang perlu dipatuhi adalah seperti berikut:51

DASAR KESELAMATAN ICT KERAJAAN NEGERI SEMBILAN• Media storan hendaklah disimpan di ruangpenyimpanan yang baik dan mempunyai ciri-cirikeselamatan bersesuaian dengan kandunganmaklumat;• Akses untuk memasuki kawasan penyimpananmedia storan hendaklah terhad kepadapengguna yang dibenarkan sahaja;• Semua media storan perlu dikawal bagimencegah dari capaian yang tidak dibenarkan,kecurian dan kemusnahan;• Semua media storan yang mengandungi datakritikal hendaklah disimpan di dalam petikeselamatan yang mempunyai ciri-cirikeselamatan termasuk tahan dari dipecahkan,api, air dan medan magnet;• Akses dan pergerakan media storan hendaklahdirekodkan;• Perkakasan backup hendaklah diletakkan ditempat yang terkawal;• Mengadakan salinan atau penduaan (backup)pada media storan kedua bagi tujuankeselamatan dan bagi mengelakkan kehilangandata; satu salinan pendua harus disimpan dibangunan berbeza dan di luar jabatan.52

DASAR KESELAMATAN ICT KERAJAAN NEGERI SEMBILAN• Semua media storan data yang hendakdilupuskan mestilah dihapuskan dengan teraturdan selamat; dan• Penghapusan maklumat atau kandungan mediamestilah mendapat kelulusan pemilik maklumatterlebih dahulu.• Pengguna hendaklah bertanggungjawabsepenuhnya dalam membuat salinan fail kerjaharian ke dalam media storan peribadi.050203 Media Tandatangan DigitalPerkara-perkara yang perlu dipatuhi adalah sepertiberikut:Semua• Pengguna hendaklah bertanggungjawabsepenuhnya ke atas media tandatangan digitalbagi melindungi daripada kecurian, kehilangan,kerosakan, penyalahgunaan dan pengklonan;• Media ini tidak boleh dipindah milik ataudipinjamkan; dan• Sebarang insiden kehilangan yang berlakuhendaklah dilaporkan dengan segera kepadaICTSO untuk tindakan seterusnya.53

DASAR KESELAMATAN ICT KERAJAAN NEGERI SEMBILAN050204 Media Perisian dan AplikasiPerkara-perkara yang perlu dipatuhi adalah sepertiberikut:Semua• Hanya perisian yang diperakui sahaja dibenarkanbagi kegunaan di jabatan.• Sistem aplikasi dalaman tidak dibenarkan didemonstrasi atau diagih kepada pihak lain kecualidengan kebenaran Pengurus ICT;• Lesen perisian (registration code, serials, CDkeys)perlu disimpan berasingan daripada CDrom,disk atau media berkaitan bagi mengelakkandari berlakunya kecurian atau cetak rompak; dan• Source code sesuatu sistem hendaklah disimpandengan teratur dan sebarang pindaan mestilahmengikut prosedur yang ditetapkan.050205 Penyelenggaraan PerkakasanPerkakasan hendaklah diselenggarakan dengan betulbagi memastikan kebolehsediaan, kerahsiaan danintegriti.Pegawai Aset danSeksyenTeknologiMaklumat,54

DASAR KESELAMATAN ICT KERAJAAN NEGERI SEMBILANPerkara-perkara yang perlu dipatuhi adalah sepertiberikut:• Semua perkakasan yang diselenggarakanhendaklah mematuhi spesifikasi yangditetapkan oleh pengeluar;• Memastikan perkakasan hanya bolehdiselenggarakan oleh kakitangan atau pihakyang dibenarkan sahaja;• Bertanggungjawab terhadap setiapperkakasan bagi penyelenggaraanperkakasan sama ada dalam tempoh jaminanatau telah habis tempoh jaminan;• Menyemak dan menguji semua perkakasansebelum dan selepas prosespenyelenggaraan;• Memaklumkan pengguna sebelummelaksanakan penyelenggaraan mengikutjadual yang ditetapkan atau atas keperluan;• Semua penyelenggaraan mestilah mendapatkebenaran daripada Pengurus ICT; dan• Merekod kerja-kerja penyelenggaraan didalam kad harta modal. (mengikut tatacarapengurusan aset);55

DASAR KESELAMATAN ICT KERAJAAN NEGERI SEMBILAN050206 Peralatan di Luar PremisPerkakasan yang dibawa keluar dari premis jabatanadalah terdedah kepada pelbagai risiko.SemuaPerkara-perkara yang perlu dipatuhi adalah sepertiberikut:• Peralatan perlu dilindungi dan dikawalsepanjang masa; dan• Penyimpanan atau penempatan peralatanmestilah mengambil kira ciri-ciri keselamatanyang bersesuaian.• Setiap peralatan yang dibawa keluar premishendaklah direkodkan.050207 Pelupusan PerkakasanPelupusan melibatkan semua peralatan ICT yangtelah rosak, usang dan tidak boleh dibaiki sama adaharta modal atau inventori yang dibekalkan olehjabatan dan ditempatkan di premis jabatanSemua, PegawaiAset danSeksyenTeknologiMaklumat,Peralatan ICT yang hendak dilupuskan perlu melalui56

DASAR KESELAMATAN ICT KERAJAAN NEGERI SEMBILANprosedur pelupusan semasa.Pelupusan perlu dilakukan secara terkawal danlengkap supaya maklumat tidak terlepas dari kawalanjabatanPerkara-perkara yang perlu dipatuhi adalah sepertiberikut:• Semua kandungan peralatan khususnyamaklumat rahsia rasmi hendaklah dihapuskanterlebih dahulu sebelum pelupusan sama adamelalui shredding, grinding, degauzing ataupembakaran;• Sekiranya maklumat perlu disimpan, makapengguna bolehlah membuat penduaan;• Pegawai Aset hendaklah mengenal pasti samaada peralatan tertentu boleh dilupuskan atausebaliknya;• Peralatan yang hendak di lupus hendaklahdisimpan di tempat yang telah dikhaskan yangmempunyai ciri-ciri keselamatan bagimenjamin keselamatan peralatan tersebut;• Peralatan ICT yang akan dilupuskan sebelumdipindah-milik hendaklah dipastikan data-datadalam storan telah dihapuskan dengan carayang selamat;• Pegawai aset bertanggungjawab merekodkan57

DASAR KESELAMATAN ICT KERAJAAN NEGERI SEMBILANbutir–butir pelupusan dan mengemas kinirekod pelupusan peralatan ICT ke dalam kadharta modal (mengikut tatacara pengurusanaset);• Pelupusan peralatan ICT hendaklah dilakukansecara berpusat dan mengikut tatacarapelupusan semasa yang berkuat kuasa; dan• Pengguna ICT adalah DILARANG SAMASEKALI daripada melakukan perkara-perkaraseperti berikut:1. Menyimpan mana-mana peralatan ICT yanghendak dilupuskan untuk milik peribadi.Mencabut, menanggal dan menyimpanperkakasan tambahan dalaman CPU sepertiRAM, hardisk, motherboard dansebagainya;2. Menyimpan dan memindahkan perkakasanluaran komputer seperti AVR, speaker danmana-mana peralatan yang berkaitan kemana-mana bahagian di premis jabatan3. Memindah keluar dari premis jabatan manamanaperalatan ICT yang hendakdilupuskan;4. Melupuskan sendiri peralatan ICT keranakerja-kerja pelupusan di bawahtanggungjawab jabatan; dan5. Pengguna ICT bertanggungjawab58

DASAR KESELAMATAN ICT KERAJAAN NEGERI SEMBILANmemastikan segala maklumat sulit danrahsia di dalam komputer disalin padamedia storan kedua seperti disket atauthumb drive sebelum menghapuskanmaklumat tersebut daripada peralatankomputer yang hendak dilupuskan.0503 Keselamatan PersekitaranObjektif:Melindungi aset ICT jabatan dari sebarang bentuk ancaman persekitaranyang disebabkan oleh bencana alam, kesilapan, kecuaian ataukemalangan.050301 Kawalan PersekitaranBagi menghindarkan kerosakan dan gangguanterhadap premis dan aset ICT, semua cadanganberkaitan premis sama ada untuk memperoleh,menyewa, ubahsuai, pembelian hendaklah dirujukterlebih dahulu kepada Pejabat Ketua PegawaiKeselamatan Kerajaan (KPKK).SemuaBagi menjamin keselamatan persekitaran, perkaraperkaraberikut hendaklah dipatuhi:• Merancang dan menyediakan pelankeseluruhan susun atur pusat data (bilik59

DASAR KESELAMATAN ICT KERAJAAN NEGERI SEMBILANpercetakan, peralatan komputer dan ruang aturpejabat dan sebagainya) dengan teliti;• Semua ruang pejabat khususnya kawasanyang mempunyai kemudahan ICT hendaklahdilengkapi dengan perlindungan keselamatanyang mencukupi dan dibenarkan seperti alatpencegah kebakaran dan pintu kecemasan;• Peralatan perlindungan hendaklah dipasang ditempat yang bersesuaian, mudah dikenali dandikendalikan;• Bahan mudah terbakar hendaklah disimpan diluar kawasan kemudahan penyimpanan asetICT;• Semua bahan cecair hendaklah diletakkan ditempat yang bersesuaian dan berjauhan dariaset ICT;• Pengguna adalah dilarang merokok ataumenggunakan peralatan memasak seperticerek elektrik berhampiran peralatankomputer;• Semua peralatan perlindungan hendaklahdisemak dan diuji sekurang-kurangnya dua (2)kali dalam setahun. Aktiviti dan keputusanujian ini perlu direkodkan bagi memudahkanrujukan dan tindakan sekiranya perlu; dan• Akses kepada saluran riser hendaklahsentiasa dikunci.60

DASAR KESELAMATAN ICT KERAJAAN NEGERI SEMBILAN050302 Bekalan KuasaBekalan kuasa merupakan punca kuasa elektrik yangdibekalkan kepada peralatan ICT.Perkara-perkara yang perlu dipatuhi adalah sepertiberikut:• Semua peralatan ICT hendaklah dilindungidari kegagalan bekalan elektrik dan bekalanyang sesuai hendaklah disalurkan kepadaperalatan ICT;• Peralatan sokongan seperti UninterruptablePower Supply (UPS) dan penjana (generator)boleh digunakan bagi perkhidmatan kritikalseperti di bilik server supaya mendapatbekalan kuasa berterusan; dan• Semua peralatan sokongan bekalan kuasahendaklah disemak dan diuji secara berjadual.SeksyenTeknologiMaklumat, danICTSO050303 KabelKabel komputer hendaklah dilindungi kerana ia bolehmenyebabkan maklumat menjadi terdedah.Langkah-langkah keselamatan yang perlu diambiladalah seperti berikut:SeksyenTeknologiMaklumat, danICTSO61

DASAR KESELAMATAN ICT KERAJAAN NEGERI SEMBILAN• Menggunakan kabel yang mengikutspesifikasi yang telah ditetapkan;• Melindungi kabel daripada kerosakan yangdisengajakan atau tidak disengajakan;• Melindungi laluan pemasangan kabelsepenuhnya bagi mengelakkan ancamankerosakan dan wire tapping; dan• Semua kabel perlu dilabelkan dengan jelasdan mestilah melalui trunking bagimemastikan keselamatan kabel daripadakerosakan dan pintasan maklumat.• Penambahan / pembaik pulih kabel perlulahmelalui Pentadbir ICT050304 Prosedur KecemasanPerkara-perkara yang perlu dipatuhi adalah sepertiberikut:• Setiap pengguna hendaklah membaca,memahami dan mematuhi prosedurkecemasan dengan merujuk kepada GarisPanduan Keselamatan yang dikeluarkan olehpegawai keselamatan jabatan; dan• Kecemasan persekitaran seperti kebakaranhendaklah dilaporkan kepada PegawaiKeselamatan Jabatan (PKJ) yang dilantikSemua danPegawaiKeselamatanJabatan62

DASAR KESELAMATAN ICT KERAJAAN NEGERI SEMBILANmengikut aras.0504 Keselamatan DokumenObjektif:Melindungi maklumat jabatan dari sebarang bentuk ancaman persekitaranyang disebabkan oleh bencana alam, kesilapan atau kecuaian.050401 DokumenPerkara-perkara yang perlu dipatuhi adalah sepertiberikut:• Setiap dokumen hendaklah difailkan dandilabelkan mengikut klasifikasi keselamatanseperti Terbuka, Terhad, Sulit, Rahsia atauRahsia Besar;• Pergerakan fail dan dokumen hendaklahdirekodkan dan perlulah mengikut prosedurkeselamatan;• Kehilangan dan kerosakan ke atas semuajenis dokumen perlu dimaklumkan mengikutprosedur Arahan Keselamatan;• Pelupusan dokumen hendaklah mengikutprosedur keselamatan semasa seperti manaArahan Keselamatan, Arahan Amalan (JadualPelupusan Rekod) dan tatacara Jabatan ArkibSemua63

DASAR KESELAMATAN ICT KERAJAAN NEGERI SEMBILANNegara; dan• Menggunakan enkripsi (encryption) ke atasdokumen rahsia rasmi yang disediakan dandihantar secara elektronik.64

DASAR KESELAMATAN ICT KERAJAAN NEGERI SEMBILANBIDANG 06PENGURUSAN OPERASI DAN KOMUNIKASI0601 Pengurusan Prosedur OperasiObjektif:Memastikan pengurusan operasi berfungsi dengan betul dan selamatdaripada sebarang ancaman dan gangguan.060101 Pengendalian ProsedurPerkara-perkara yang perlu dipatuhi adalah sepertiberikut:Semua• Semua prosedur pengurusan operasi yang diwujud, dikenal pasti dan diguna pakai hendaklahdi dokumen, disimpan dan dikawal;• Setiap prosedur mestilah mengandungi arahanarahanyang jelas, teratur dan lengkap sepertikeperluan kapasiti, pengendalian danpemprosesan maklumat, pengendalian danpenghantaran ralat, pengendalian output,bantuan teknikal dan pemulihan sekiranyapemprosesan tergendala atau terhenti; dan• Semua prosedur hendaklah dikemas kini darisemasa ke semasa atau mengikut keperluan.65

DASAR KESELAMATAN ICT KERAJAAN NEGERI SEMBILAN060102 Kawalan PerubahanPerkara-perkara yang perlu dipatuhi adalah sepertiberikut:Semua• Pengubahsuaian yang melibatkan perkakasan,sistem untuk pemprosesan maklumat, perisian,dan prosedur mestilah mendapat kebenarandaripada pegawai atasan atau pemilik aset ICTterlebih dahulu;• Aktiviti-aktiviti seperti memasang,menyelenggara, menghapus dan mengemas kinimana-mana komponen sistem ICT hendaklahdikendalikan oleh pihak atau pegawai yang diberikuasa dan mempunyai pengetahuan atau terlibatsecara langsung dengan aset ICT berkenaan;• Semua aktiviti pengubahsuaian komponensistem ICT hendaklah mematuhi spesifikasiperubahan yang telah ditetapkan; dan• Semua aktiviti perubahan atau pengubahsuaianhendaklah di rekod dan dikawal bagimengelakkan berlakunya ralat sama ada secarasengaja atau pun tidak.66

DASAR KESELAMATAN ICT KERAJAAN NEGERI SEMBILAN060103 Pengasingan Tugas dan TanggungjawabPerkara-perkara yang perlu dipatuhi adalah sepertiberikut:• Skop tugas dan tanggungjawab perludiasingkan bagi mengurangkan peluangberlaku penyalahgunaan ataupengubahsuaian yang tidak dibenarkan keatas aset ICT;Pengurus ICTdan ICTSO• Tugas mewujud, memadam, mengemas kini,mengubah dan mengesahkan data hendaklahdiasingkan bagi mengelakkan daripadacapaian yang tidak dibenarkan sertamelindungi aset ICT daripada kesilapan,kebocoran maklumat terperingkat atau dimanipulasi; dan• Perkakasan yang digunakan bagi tugasmembangun, mengemas kini, menyenggaradan menguji aplikasi hendaklah diasingkandari perkakasan yang digunakan sebagaiproduksi. Pengasingan juga merangkumitindakan memisahkan antara kumpulanoperasi dan rangkaian.67

DASAR KESELAMATAN ICT KERAJAAN NEGERI SEMBILAN0602 Pengurusan Penyampaian Perkhidmatan Pihak KetigaObjektif:Memastikan pelaksanaan dan penyelenggaraan tahap keselamatanmaklumat dan penyampaian perkhidmatan yang sesuai selaras denganperjanjian perkhidmatan dengan pihak ketiga.060201 Perkhidmatan PenyampaianPerkara-perkara yang mesti dipatuhi adalah sepertiberikut:Semua• Memastikan kawalan keselamatan, definisiperkhidmatan dan tahap penyampaian yangterkandung dalam perjanjian dipatuhi,dilaksanakan dan diselenggarakan oleh pihakketiga;• Perkhidmatan, laporan dan rekod yangdikemukakan oleh pihak ketiga perlu sentiasadipantau, disemak semula dan diaudit darisemasa ke semasa; dan• Pengurusan perubahan dasar perlu mengambilkira tahap kritikal sistem dan proses yang terlibatserta penilaian semula risiko.68

DASAR KESELAMATAN ICT KERAJAAN NEGERI SEMBILAN0603 Perancangan dan Penerimaan SistemObjektif:Meminimumkan risiko yang menyebabkan gangguan atau kegagalansistem.060301 Perancangan KapasitiKapasiti sesuatu komponen atau sistem ICThendaklah dirancang, diurus dan dikawal dengan telitioleh pegawai yang berkenaan bagi memastikankeperluannya adalah mencukupi dan bersesuaianuntuk pembangunan dan kegunaan sistem ICT padamasa akan datang.PentadbirSistemICT danICTSOKeperluan kapasiti ini juga perlu mengambil kira ciricirikeselamatan ICT bagi meminimumkan risikoseperti gangguan pada perkhidmatan dan kerugianakibat pengubahsuaian yang tidak dirancang.060302 Penerimaan Sistem(a) Semua sistem baru (termasuklah sistem yangdikemas kini atau diubahsuai) hendaklah memenuhikriteria yang ditetapkan sebelum diterima atauPentadbirSistem ICTdan ICTSO69

DASAR KESELAMATAN ICT KERAJAAN NEGERI SEMBILANdipersetujui.(b) Semua sistem baru / penambahbaikan haruslahmelalui peringkat pengujian User Acceptance Test(UAT) & Final Acceptance Test (FAT) sebelumdilaksanakan secara rasmi di jabatan.(c) Dokumentasi sistem perlu dibuat salinan dandisimpan di tempat yang selamat.060401 Perlindungan dari Perisian BerbahayaPerkara-perkara yang perlu dipatuhi adalah sepertiberikut:Semua• Memasang sistem keselamatan untukmengesan perisian atau program berbahayaseperti anti virus, Intrusion Detection System(IDS) dan Intrusion Prevention System (IPS)serta mengikut prosedur penggunaan yangbetul dan selamat;• Memasang dan menggunakan hanya perisianyang tulen, berdaftar dan dilindungi di bawahmana-mana undang-undang bertulis yangberkuat kuasa;• Mengimbas semua perisian dan media storandengan anti virus sebelum menggunakannya;• Mengemas kini anti virus dengan paten70

DASAR KESELAMATAN ICT KERAJAAN NEGERI SEMBILANantivirus dan patches sistem operasi yangterkiniMenyemak kandungan sistem atau maklumat secaraberkala bagi mengesan aktiviti yang tidak diinginiseperti kehilangan dan kerosakan maklumat;• Menghadiri sesi kesedaran mengenai ancamanperisian berbahaya dan caramengendalikannya;• Memasukkan klausa tanggungan di dalamkontrak yang telah ditawarkan kepadapembekal perisian. Klausa ini bertujuan untuktuntutan baik pulih sekiranya perisian tersebutmengandungi program berbahaya;• Mengadakan program dan prosedur jaminankualiti ke atas semua perisian yangdibangunkan; dan• Memberi amaran mengenai ancamankeselamatan ICT seperti serangan virus.71

DASAR KESELAMATAN ICT KERAJAAN NEGERI SEMBILAN0604 Perisian BerbahayaObjektif:Melindungi integriti perisian dan maklumat dari pendedahan ataukerosakan yang disebabkan oleh perisian berbahaya seperti virus, trojandan sebagainya.060402 Perlindungan dari Mobile CodePenggunaan mobile code yang boleh mendatangkanancaman keselamatan ICT adalah tidak dibenarkan.Semua0605 HousekeepingObjektif:Melindungi integriti maklumat agar boleh diakses pada bila-bila masa.060501 BackupBagi memastikan sistem dapat dibangunkan semulasetelah berlakunya bencana, backup hendaklahdilakukan setiap kali konfigurasi berubah.Semua72

DASAR KESELAMATAN ICT KERAJAAN NEGERI SEMBILANPerkara-perkara yang perlu dipatuhi adalah sepertiberikut:• Membuat backup keselamatan ke atas semuasistem perisian dan aplikasi sekurangkurangnyasekali atau setelah mendapat versiterbaru;• Membuat backup ke atas semua data danmaklumat mengikut keperluan operasi.Kekerapan backup bergantung pada tahapkritikal maklumat;• Menguji sistem backup dan prosedur restoresedia ada bagi memastikan ianya dapatberfungsi dengan sempurna, boleh dipercayaidan berkesan apabila digunakan khususnyapada waktu kecemasan;• Menyimpan sekurang-kurangnya tiga (3)generasi backup; dan• Merekod dan menyimpan salinan backup dilokasi yang berlainan dan selamat.73

DASAR KESELAMATAN ICT KERAJAAN NEGERI SEMBILAN0606 Pengurusan RangkaianObjektif:Melindungi maklumat dalam rangkaian dan infrastruktur sokongan.060601 Kawalan Infrastruktur RangkaianInfrastruktur Rangkaian mestilah dikawal dan diuruskansebaik mungkin demi melindungi ancaman kepadasistem dan aplikasi di dalam rangkaian.SeksyenTeknologiMaklumat,Perkara-perkara yang perlu dipatuhi adalah sepertiberikut:• Tanggungjawab atau kerja-kerja operasirangkaian dan komputer hendaklah diasingkanuntuk mengurangkan capaian danpengubahsuaian yang tidak dibenarkan;• Peralatan rangkaian hendaklah diletakkan dilokasi yang mempunyai ciri-ciri fizikal yang kukuhdan bebas dari risiko seperti banjir, gegaran danhabuk;• Capaian kepada peralatan rangkaian hendaklahdikawal dan terhad kepada pengguna yangdibenarkan sahaja;• Semua peralatan mestilah melalui prosesFactory Acceptance Check (FAC) semasapemasangan dan konfigurasi;• Firewall hendaklah dipasang serta dikonfigurasi74

DASAR KESELAMATAN ICT KERAJAAN NEGERI SEMBILANdan diselia oleh Pentadbir Sistem ICT;• Semua trafik keluar dan masuk hendaklahmelalui firewall di bawah kawalan jabatan• Semua perisian sniffer atau network analyseradalah dilarang dipasang pada komputerpengguna kecuali mendapat kebenaran ICTSO;• Memasang perisian Intrusion Prevention System(IPS) bagi mengesan sebarang cubaanmenceroboh dan aktiviti-aktiviti lain yang bolehmengancam sistem dan maklumat jabatan• Memasang Web Content Filtering pada InternetGateway untuk menyekat aktiviti yang dilarang;• Sebarang penyambungan rangkaian yang bukandi bawah kawalan jabatan adalah tidakdibenarkan;• Semua pengguna hanya dibenarkanmenggunakan rangkaian kerajaan sahaja danpenggunaan modem broadband atas kebenaranketua jabatan dan Kemudahan bagi wireless LANperlu dipastikan kawalan keselamatan.75

DASAR KESELAMATAN ICT KERAJAAN NEGERI SEMBILAN0607 Pengurusan MediaObjektif:Melindungi aset ICT dari sebarang pendedahan, pengubahsuaian,pemindahan atau pemusnahan serta gangguan ke atas aktivitiperkhidmatan.060701 Penghantaran dan PemindahanPenghantaran atau pemindahan media ke luar pejabathendaklah mendapat kebenaran daripada pemilikterlebih dahulu.Semua060702 Prosedur Pengendalian MediaProsedur-prosedur pengendalian media yang perludipatuhi adalah seperti berikut:Semua• Melabelkan semua media mengikut tahapsensitiviti sesuatu maklumat;• Mengehadkan dan menentukan capaian mediakepada pengguna yang dibenarkan sahaja;• Mengehadkan pengedaran data atau mediauntuk tujuan yang dibenarkan sahaja;76

DASAR KESELAMATAN ICT KERAJAAN NEGERI SEMBILAN• Mengawal dan merekodkan aktivitipenyelenggaraan media bagi mengelak darisebarang kerosakan dan pendedahan yangtidak dibenarkan;• Menyimpan semua media di tempat yangselamat; dan• Media yang mengandungi maklumatterperingkat yang hendak dihapuskan ataudimusnahkan mestilah dilupuskan mengikutprosedur yang betul dan selamat.060703 Keselamatan Sistem DokumentasiPerkara-perkara yang perlu dipatuhi dalammemastikan keselamatan sistem dokumentasi adalahseperti berikut:Semua• Memastikan sistem penyimpanan dokumentasimempunyai ciri-ciri keselamatan;• Menyedia dan memantapkan keselamatansistem dokumentasi; dan• Mengawal dan merekodkan semua aktiviticapaian dokumentasi sedia ada.77

DASAR KESELAMATAN ICT KERAJAAN NEGERI SEMBILAN0608 Pengurusan Pertukaran MaklumatObjektif:Memastikan keselamatan pertukaran maklumat dan perisian antara jabatandan agensi luar terjamin.060801 Pertukaran MaklumatPerkara-perkara yang perlu dipatuhi adalah sepertiberikut:Semua• Dasar, prosedur dan kawalan pertukaranmaklumat yang formal perlu diwujudkan untukmelindungi pertukaran maklumat melaluipenggunaan pelbagai jenis kemudahankomunikasi;• Perjanjian perlu diwujudkan untuk pertukaranmaklumat dan perisian di antara jabatan denganagensi luar;• Media yang mengandungi maklumat perludilindungi daripada capaian yang tidakdibenarkan, penyalahgunaan atau kerosakansemasa pemindahan keluar dari premis jabatan;dan• Maklumat yang terdapat dalam mel elektronikperlu dilindungi sebaik-baiknya.78

DASAR KESELAMATAN ICT KERAJAAN NEGERI SEMBILAN060802 Pengurusan Mel Elektronik (E-mel)Penggunaan e-mel di jabatan hendaklah dipantausecara berterusan oleh Pentadbir E-mel untukmemenuhi keperluan etika penggunaan e-mel danInternet yang terkandung dalam Pekeliling KemajuanPentadbiran Awam Bilangan 1 Tahun 2003 bertajuk“Garis Panduan Mengenai Tatacara PenggunaanInternet dan Mel Elektronik di Agensi-agensiKerajaan” dan mana-mana undang-undang bertulisyang berkuat kuasa.SemuaPerkara-perkara yang perlu dipatuhi dalampengendalian mel elektronik adalah seperti berikut:• Akaun atau alamat mel elektronik (e-mel) yangdiperuntukkan oleh jabatan sahaja bolehdigunakan. Penggunaan akaun milik orang lainatau akaun yang dikongsi bersama adalahdilarang;• Setiap e-mel yang disediakan hendaklahmematuhi format yang telah ditetapkan olehjabatan• Memastikan subjek dan kandungan e-mel adalahberkaitan dan menyentuh perkara perbincanganyang sama sebelum penghantaran dilakukan;• Penghantaran e-mel rasmi hendaklahmenggunakan akaun e-mel rasmi dan pastikanalamat e-mel penerima adalah betul;79

DASAR KESELAMATAN ICT KERAJAAN NEGERI SEMBILAN• Pengguna dinasihatkan menggunakan failkepilan, sekiranya perlu, tidak melebihi sepuluhmegabait (10Mb) semasa penghantaran. Kaedahpemampatan untuk mengurangkan saiz adalahdisarankan;• Pengguna hendaklah mengelak dari membuka e-mel daripada penghantar yang tidak diketahuiatau diragui;• Pengguna hendaklah mengenal pasti danmengesahkan identiti pengguna yangberkomunikasi dengannya sebelum meneruskantransaksi maklumat melalui e-mel;• Setiap e-mel rasmi yang dihantar atau diterimahendaklah disimpan mengikut tatacarapengurusan sistem fail elektronik yang telahditetapkan;• E-mel yang tidak penting dan tidak mempunyainilai arkib yang telah diambil tindakan dan tidakdiperlukan lagi bolehlah dihapuskan;• Pengguna hendaklah menentukan tarikh danmasa sistem komputer adalah tepat;• Mengambil tindakan dan memberi maklum balasterhadap e-mel dengan cepat dan mengambiltindakan segera;• Pengguna hendaklah memastikan alamat e-melpersendirian (seperti yahoo.com, gmail.com,streamyx.com.my dan sebagainya) tidak bolehdigunakan untuk tujuan rasmi; dan80

DASAR KESELAMATAN ICT KERAJAAN NEGERI SEMBILAN• Pengguna hendaklah bertanggungjawab ke ataspengemaskinian dan penggunaan mailboxmasing-masing.• Pengguna harus menukar password sekurangkurangnya6 bulan sekali0609 Perkhidmatan E-Dagang (Electronic Commerce Services)Objektif:Mengawal sensitiviti aplikasi dan maklumat dalam perkhidmatan ini agarsebarang risiko seperti penyalahgunaan maklumat, kecurian maklumatserta pindaan yang tidak sah dapat dihalang.060901 E-DagangBagi menggalakkan pertumbuhan e-dagang sertasebagai menyokong hasrat kerajaan mempopularkanpenyampaian perkhidmatan melalui elektronik,pengguna boleh menggunakan kemudahan Internet.Perkara-perkara yang perlu dipatuhi adalah sepertiberikut:Semua• Maklumat yang terlibat dalam e-dagang perludilindungi daripada aktiviti penipuan, pertikaiankontrak dan pendedahan serta pengubahsuaian81

DASAR KESELAMATAN ICT KERAJAAN NEGERI SEMBILANyang tidak dibenarkan;• Maklumat yang terlibat dalam transaksi dalamtalian (on-line) perlu dilindungi bagi mengelakpenghantaran yang tidak lengkap, salah destinasi,pengubahsuaian, pendedahan, duplikasi ataupengulangan mesej yang tidak dibenarkan; dan• Integriti maklumat yang disediakan untuk sistemyang boleh dicapai oleh orang awam atau pihaklain yang berkepentingan hendaklah dilindungiuntuk mencegah sebarang pindaan yang tidakdiperakukan.060902 Maklumat UmumPerkara-perkara yang perlu dipatuhi dalammemastikan keselamatan maklumat adalah sepertiberikut:Semua• Memastikan perisian, data dan maklumatdilindungi dengan mekanisme yang bersesuaian;• Memastikan sistem yang boleh diakses olehorang awam diuji terlebih dahulu; dan• Memastikan segala maklumat yang hendakdipaparkan telah di sah dan diluluskan sebelumdimuat naik ke laman web.82

DASAR KESELAMATAN ICT KERAJAAN NEGERI SEMBILAN0610 PemantauanObjektif:Memastikan pengesanan aktiviti pemprosesan maklumat yang tidakdibenarkan.061001 Pengauditan dan Forensik ICTICTSO mestilah bertanggungjawab merekod danmenganalisis perkara-perkara berikut:ICTSO• Sebarang percubaan pencerobohan kepadasistem ICT jabatan;• Serangan kod perosak (malicious code),halangan pemberian perkhidmatan (denial ofservice), spam, pemalsuan (forgery, phising),pencerobohan (intrusion), ancaman (threats) dankehilangan fizikal (physical loss);• Pengubahsuaian ciri-ciri perkakasan, perisianatau mana-mana komponen sesebuah sistemtanpa pengetahuan, arahan atau persetujuanmana-mana pihak;• Aktiviti melayari, menyimpan atau mengedarbahan-bahan lucah, berunsur fitnah danpropaganda anti kerajaan;• Aktiviti pewujudan perkhidmatan-perkhidmatanyang tidak dibenarkan;83

DASAR KESELAMATAN ICT KERAJAAN NEGERI SEMBILAN• Aktiviti instalasi dan penggunaan perisian yangmembebankan jalur lebar (bandwidth) rangkaian;• Aktiviti penyalahgunaan akaun e-mel;• Aktiviti penukaran alamat IP (IP address) selaindaripada yang telah diperuntukkan tanpakebenaran Pentadbir Sistem ICT; dan• Larangan memuat turun/installasi permainankomputer (games), hacking tools, atau streamingvideo/audio dan perisian yang tidak dibenarkan061002 Jejak AuditSetiap sistem mestilah mempunyai jejak audit (audittrail). Jejak audit merekod aktiviti-aktiviti yang berlakudalam sistem secara kronologi bagi membenarkanpemeriksaan dan pembinaan semula dilakukan bagisusunan dan perubahan dalam sesuatu acara.PentadbirSistem ICTJejak audit hendaklah mengandungi maklumatmaklumatberikut:• Rekod setiap aktiviti transaksi;• Maklumat jejak audit mengandungi identitipengguna, sumber yang digunakan, perubahanmaklumat, tarikh dan masa aktiviti, rangkaiandan aplikasi yang digunakan;• Aktiviti capaian pengguna ke atas sistem ICTsama ada secara sah atau sebaliknya; dan84

DASAR KESELAMATAN ICT KERAJAAN NEGERI SEMBILAN• Maklumat aktiviti sistem yang tidak normal atauaktiviti yang tidak mempunyai ciri-cirikeselamatan.Jejak audit hendaklah disimpan untuk tempoh masaseperti yang disarankan oleh Arahan TeknologiMaklumat dan Akta Arkib Negara.Pentadbir Sistem ICT hendaklah menyemak catatanjejak audit dari semasa ke semasa danmenyediakan laporan jika perlu. Ini akan dapatmembantu mengesan aktiviti yang tidak normaldengan lebih awal. Jejak audit juga perlu dilindungidari kerosakan, kehilangan, penghapusan,pemalsuan dan pengubahsuaian yang tidakdibenarkan.061003 Sistem LogPentadbir Sistem ICT hendaklah melaksanakanperkara-perkara berikut:• Mewujudkan sistem log bagi merekodkan semuaaktiviti harian pengguna;• Menyemak sistem log secara berkala bagimengesan ralat yang menyebabkan gangguankepada sistem dan mengambil tindakanmembaik pulih dengan segera; dan• Sekiranya wujud aktiviti-aktiviti lain yang tidaksah seperti kecurian maklumat danpencerobohan, Pentadbir Sistem ICT hendaklahPentadbirSistem ICT85

DASAR KESELAMATAN ICT KERAJAAN NEGERI SEMBILANmelaporkan kepada ICTSO dan CIO.• Melakukan housekeeping sistem log secaraberkala sekurang-kurangnya dua kali setahun061004 Pemantauan LogPerkara-perkara yang perlu dipatuhi adalah sepertiberikut:• Log Audit yang merekodkan semua aktiviti perludihasilkan dan disimpan untuk tempoh masa yangdipersetujui bagi membantu siasatan danmemantau kawalan capaian;• Prosedur untuk memantau penggunaankemudahan memproses maklumat perlu di wujuddan hasilnya perlu dipantau secara berkala;• Kemudahan merekod dan maklumat log perludilindungi daripada diubahsuai dan sebarangcapaian yang tidak dibenarkan;• Aktiviti pentadbiran dan operator sistem perludirekodkan;• Kesalahan, kesilapan dan/atau penyalahgunaanperlu direkodkan log, dianalisis dan diambiltindakan sewajarnya; dan• Waktu yang berkaitan dengan sistempemprosesan maklumat dalam jabatan ataudomain keselamatan perlu diselaraskan dengansatu sumber waktu yang dipersetujui.SeksyenTeknologiMaklumat, danPentadbirSistem ICT86

DASAR KESELAMATAN ICT KERAJAAN NEGERI SEMBILANB IDANG 07KAWALAN CAPAIAN0701 Dasar Kawalan CapaianObjektif:Mengawal capaian ke atas Aset ICT070101 K eperluan K awalan CapaianCapaian kepada proses dan maklumat hendaklahdikawal mengikut keperluan keselamatan dan fungsikerja pengguna yang berbeza. Ia perlu direkodkan,dikemas kini dan menyokong dasar kawalan capaianpengguna sedia ada.Peraturan kawalan capaian hendaklah diwujudkan,didokumenkan dan dikaji semula berasaskankeperluan perkhidmatan dan keselamatan.UPTM danICTSOPerkara-perkara yang perlu dipatuhi adalah sepertiberikut:(a) Kawalan capaian ke atas aset ICT mengikutkeperluan keselamatan dan peranan pengguna;87

DASAR KESELAMATAN ICT KERAJAAN NEGERI SEMBILAN(b) Kawalan capaian ke atas perkhidmatan semuajenis rangkaian (tanpa wayar dan berwayar)dalaman dan luaran;(c) Keselamatan maklumat yang dicapaimenggunakan kemudahan atau peralatan mudahalih; dan(d) Kawalan ke atas kemudahan pemprosesanmaklumat0702 Pengurusan Capaian PenggunaObjektif:Mengawal capaian pengguna ke atas aset ICT Pentadbiran Kerajaan NegeriSembilan.070201 Akaun PenggunaSetiap pengguna adalah bertanggungjawab ke atas sistemICT yang digunakan. Bagi mengenal pasti penggunadan aktiviti yang dilakukan, perkara-perkara berikuthendaklah dipatuhi:Semua danPentadbirSistem ICT(a) Akaun yang diperuntukkan oleh PentadbiranKerajaan Negeri Sembilan sahaja boleh digunakan;88

DASAR KESELAMATAN ICT KERAJAAN NEGERI SEMBILAN(b) Akaun pengguna mestilah unik dan hendaklahmencerminkan identiti pengguna;(c) Akaun pengguna yang diwujudkan adalahberdasarkan skop kerja pengguna. Sebarangperubahan tahap capaian hendaklah mendapatkelulusan daripada pemilik sistem ICT terlebihdahulu;(c)Pemilikan akaun pengguna bukanlah hak mutlakseseorang dan ia tertakluk kepada peraturanPentadbiran Kerajaan Negeri Sembilan. Akaunboleh ditarik balik jika penggunaannya melanggarperaturan ICT yang berkuat kuasa;(e)Penggunaan akaun milik orang lain atau akaunyang dikongsi bersama adalah dilarang; dan(f)Pentadbir Sistem ICT boleh membeku danmenamatkan akaun pengguna atas sebab-sebabberikut:i. Pengguna yang bercuti panjang dalam tempohwaktu melebihi satu (1) bulan;ii. Bertukar bidang tugas kerja;iii. Bertukar ke agensi lain;iv. Bersara; atau89

DASAR KESELAMATAN ICT KERAJAAN NEGERI SEMBILANv. Ditamatkan perkhidmatan.(g) Pentadbir sistem ICT mesti memastikan bahawasistem akan membekukan akaun pengguna secaraautomatik sekiranya akaun tersebut tidakdigunakan mengikut tempoh yang ditetapkan olehjabatan masing-masing.070202 Hak CapaianPenetapan dan penggunaan ke atas hak capaianperlu diberi kawalan dan penyeliaan yang ketatberdasarkan keperluan skop tugas.PentadbirSistem ICT070203 Pengurus an K ata LaluanPemilihan, penggunaan dan pengurusan kata laluansebagai laluan utama bagi mencapai maklumat dan datadalam sistem mestilah mematuhi amalan terbaik sertaprosedur yang ditetapkan oleh Pentadbiran KerajaanNegeri Sembilan seperti berikut:Semua danPentadbirSistem ICT(a)Dalam apa jua keadaan dan sebab, kata laluanhendaklah dilindungi dan tidak boleh dikongsidengan sesiapa pun;90

DASAR KESELAMATAN ICT KERAJAAN NEGERI SEMBILAN(b) Pengguna hendaklah menukar kata laluanapabila disyaki berlakunya kebocoran kata laluanatau di kompromi;(c)Panjang kata laluan mestilah sekurang-kurangnyadua belas (12) aksara dengan gabungan aksara,angka dan aksara khusus;(d) Kata laluan hendaklah diingat dan TIDAK BOLEHdicatat, disimpan atau didedahkan dengan apa carasekalipun;(e) Kata laluan windows dan screen saverhendaklah diaktifkan terutamanya pada komputeryang terletak di ruang guna sama;(f) Kata laluan hendaklah tidak dipaparkan semasainput, dalam laporan atau media lain dan tidak bolehdikodkan di dalam program;(g) Kuatkuasakan pertukaran kata laluan semasalogin kali pertama atau selepas login kali pertamaatau selepas kata laluan diset semula;(h) Kata laluan hendaklah berlainan daripadapengenalan identiti pengguna;(i) Tentukan had masa pengesahan selama dua (2)minit (mengikut kesesuaian sistem) dan selepas haditu, sesi ditamatkan;91

DASAR KESELAMATAN ICT KERAJAAN NEGERI SEMBILAN(j)Kata laluan hendaklah ditukar selepas 90 hari atauselepas tempoh masa yang bersesuaian; dan(k)Mengelakkan penggunaan semula kata laluanyang baru digunakan.(l) Pertukaran kata laluan yang tidak dibuat semasa atauselepas login kali pertama dalam tempoh 5 haribekerja, maka pentadbir sistem ICT mesti mengambiltindakan untuk membekukan akaun penggunatersebut.(m) Kata laluan pengguna mestilah disulitkan (encrypt)apabila ia disimpan di dalam pangkalan dataterhadap capaian sistem aplikasi yang memerlukanciri-ciri keselamatan yang tinggi.070204 Clear Des k dan Clear S creenSemua maklumat dalam apa jua bentuk mediahendaklah disimpan dengan teratur dan selamat bagimengelakkan kerosakan, kecurian atau kehilangan.SemuaClear Desk dan Clear S creen bermaksud tidakmeninggalkan bahan-bahan yang sensitif terdedah samaada atas meja pengguna atau di paparan skrin apabilapengguna tidak berada di tempatnya.92

DASAR KESELAMATAN ICT KERAJAAN NEGERI SEMBILANPerkara-perkara yang perlu dipatuhi adalah seperti berikut:(a) Menggunakan kemudahan password screensaver atau logout apabila meninggalkankomputer;(b) Menyimpan bahan-bahan sensitifatau kabinet fail yang berkunci; dandi dalam laci(c) Memastikan semua dokumen diambil segeradari pencetak, pengimbas, mesin faksimile danmesin fotostat.(d) Memastikan media storan mudah alih tidakditinggalkan di komputer terutama komputer yangterletak di ruang guna sama.0703 Kawalan Capaian RangkaianObjektif:Menghalang capaian tidak sah dan tanpa kebenaran ke atas perkhidmatanrangkaian.070301 Capaian RangkaianKawalan capaian perkhidmatan rangkaian hendaklahPentadbir93

DASAR KESELAMATAN ICT KERAJAAN NEGERI SEMBILANdijamin selamat dengan:(a) Menempatkan atau memasang antara mukayang bersesuaian di antara rangkaianPentadbiran Kerajaan Negeri Sembilan,rangkaian agensi lain dan rangkaian awam;Sistem ICTdan ICTSO(b) Mewujudkan dan menguatkuasakan mekanismeuntuk pengesahan pengguna dan peralatanyang menepati kesesuaian penggunaannya;dan(c)Memantau dan menguatkuasakan kawalancapaian pengguna terhadap perkhidmatanrangkaian ICT.070302 Capaian InternetCapaian Internet hendaklah dipantau secara berterusanoleh Pentadbir Rangkaian untuk memenuhi keperluanetika penggunaan Internet yang terkandung dalamPekeliling Kemajuan Pentadbiran Awam Bilangan 1Tahun 2003 bertajuk “Garis Panduan MengenaiTatacara Penggunaan Internet dan Mel Elektronik diAgensi-agensi Kerajaan” dan mana-mana undang-undangbertulis yang berkuat kuasa.PentadbirRangkaianPerkara-perkara yang perlu dipatuhi adalah seperti berikut:Pengurus ICT94

DASAR KESELAMATAN ICT KERAJAAN NEGERI SEMBILAN(a) Penggunaan Internet di Pentadbiran KerajaanNegeri Sembilan hendaklah dipantau secaraberterusan oleh Pentadbir Rangkaian bagimemastikan penggunaannya untuk tujuan capaianyang dibenarkan sahaja. Kewaspadaan ini akandapat melindungi daripada kemasukan maliciouscode, virus dan bahan-bahan yang tidaksepatutnya ke dalam rangkaian PentadbiranKerajaan Negeri Sembilan;Semua(b) Kaedah C ontent F iltering mestilah digunakan bagimengawal akses Internet mengikut fungsi kerja danpemantauan tahap pematuhan;(c) Penggunaan teknologi (packet shaper) untukmengawal aktiviti (video conferencing, videostreaming, chat, downloading, laman sosial)adalah perlu bagi menguruskan penggunaan jalurlebar (bandwidth) yang maksimum dan lebihberkesan;(d) Penggunaan Internet hanyalah untuk kegunaanrasmi sahaja. Pengurus ICT berhak menentukanpengguna yang dibenarkan menggunakan Internetatau sebaliknya;(e) Laman yang dilayari hendaklah hanya yangberkaitan dengan bidang kerja dan terhad untuktujuan yang dibenarkan oleh Ketua Pengarah/pegawai yang diberi kuasa;95

DASAR KESELAMATAN ICT KERAJAAN NEGERI SEMBILAN(f) Bahan yang diperoleh dari Internet hendaklahditentukan ketepatan dan kesahihannya. Sebagaiamalan terbaik, rujukan sumber Internethendaklah dinyatakan;(g) Bahan rasmi hendaklah disemak dan mendapatpengesahan daripada Pengarah Bahagian sebelumdimuat naik ke Internet;(h) Pengguna hanya dibenarkan memuat turun bahanyang sah seperti perisian yang berdaftar dan dibawah hak cipta terpelihara;(i) Sebarang bahan yang dimuat turun dariInternet hendaklah digunakan untuk tujuan yangdibenarkan oleh Pentadbiran Kerajaan NegeriSembilan;(j) Hanya pegawai yang mendapat kebenaransahaja boleh menggunakan kemudahanperbincangan awam seperti newsgroupdan bulletin board. Walau bagaimanapun,kandungan perbincangan awam ini hendaklahmendapat kelulusan daripada CIO terlebihdahulu tertakluk kepada dasar dan peraturan yangtelah ditetapkan;(k) Penggunaan modem peribadi untuk tujuansambungan ke Internet dalam persekitaranjabatan tidak dibenarkan sama sekali kecualimendapat kebenaran Ketua Jabatan; dan96

DASAR KESELAMATAN ICT KERAJAAN NEGERI SEMBILANPengguna adalah dilarang melakukan aktiviti-aktivitiseperti berikut:(l) Memuat naik, memuat turun, menyimpan danmenggunakan perisian tidak berlesen dansebarang aplikasi seperti permainan elektronik,video, lagu yang boleh menjejaskan tahapcapaian Internet; dan(j) Menyedia, memuat naik, memuat turun danmenyimpan material, teks ucapan atau bahanbahanyang mengandungi unsur-unsur lucah dantidak berkaitan dengan tugas rasmi.97

DASAR KESELAMATAN ICT KERAJAAN NEGERI SEMBILAN0704 Kawalan Capaian Sistem PengoperasianObjektif:Menghalang capaian tidak sah dan tanpa kebenaran ke atas sistempengoperasian.070401 Capaian S is tem Pengoperas ianKawalan capaian sistem pengoperasian perlu bagimengelakkan sebarang capaian yang tidak dibenarkan.Kemudahan keselamatan dalam sistem operasi perludigunakan untuk menghalang capaian ke sumbersistem komputer. Kemudahan ini juga perlu bagi:PentadbirSistem ICTdan ICTSO(a)Mengenal pasti identiti, terminal atau lokasi bagisetiap pengguna yang dibenarkan; dan(b)Merekodkan capaian yang berjaya dan gagal.Kaedah-kaedah yang digunakan hendaklah mampumenyokong perkara-perkara berikut:(a)Mengesahkan pengguna yang dibenarkan;(b) Mewujudkan jejak audit ke atas semuacapaian sistem pengoperasian terutamapengguna bertaraf super user; dan98

DASAR KESELAMATAN ICT KERAJAAN NEGERI SEMBILAN(c) Menjana amaran (alert) sekiranya berlakuperlanggaran ke atas peraturan keselamatansistem.Perkara-perkara yang perlu dipatuhi adalah seperti berikut:(a) Mengawal capaian ke atas sistem pengoperasianmenggunakan prosedur log on yang terjamin;(b)Mewujudkan satu pengenalan diri (ID) yangunik untuk setiap pengguna dan hanyadigunakan oleh pengguna berkenaan sahaja;(c) Mengehadkan dan mengawal penggunaanprogram; dan(d) Mengehadkan tempoh sambungan kesesebuah aplikasi berisiko tinggi.070402 K ad PintarPerkara-perkara yang perlu dipatuhi adalah seperti berikut:(a) Penggunaan kad pintar Kerajaan Elektronik(Kad EG) hendaklah digunakan bagi capaiansistem Kerajaan Elektronik yang dikhususkan;Semua(b) Kad pintar hendaklah disimpan di tempat selamat99

DASAR KESELAMATAN ICT KERAJAAN NEGERI SEMBILANbagi mengelakkandigunakan oleh pihak lain;sebarang kecurian atau(c)Perkongsian kad pintar untuk sebarang capaiansistem adalah tidak dibenarkan sama sekali. Kadpintar yang salah kata laluan sebanyak tiga (3)kali cubaan akan disekat; dan(d)Sebarang kehilangan, kerosakan dan katalaluan disekat perlu dimaklumkan kepadaSeksyen Teknologi Maklumat, BahagianKhidmat Pengurusan dan Sumber Manusia,jabatan berkenaan.(e) Pengguna perlu menyerahkan kepada KetuaJabatan untuk menamatkan capaian ke atas kadpintar tersebut atas sebab-sebab berikut:i. Bertukar bidang tugas kerja;ii. Bertukar ke agensi lain;iii. Bersara; atauiv. Ditamatkan perkhidmatan.0705 Kawalan Capaian Aplikasi dan MaklumatObjektif:Menghalang capaian tidak sah dan tanpa kebenaran ke atasmaklumat yang terdapat di dalam sistem aplikasi.100

DASAR KESELAMATAN ICT KERAJAAN NEGERI SEMBILAN070501 Capaian Aplikas i dan MaklumatBertujuan melindungi sistem aplikasi dan maklumatsedia ada dari sebarang bentuk capaian yang tidakdibenarkan yang boleh menyebabkan kerosakan. Bagimemastikan kawalan capaian sistem dan aplikasiadalah kukuh, perkara- perkara berikut hendaklahdipatuhi:PentadbirSistem ICTdan ICTSO(a) Pengguna hanya boleh menggunakan sistemmaklumat dan aplikasi yang dibenarkan mengikuttahap capaian dan keselamatan maklumat yangtelah ditentukan;(b)Setiap aktiviti capaian sistem maklumat danaplikasi pengguna hendaklah direkodkan (sistemlog);(c)Mengehadkan capaian sistem dan aplikasikepada tiga (3) kali percubaan. Sekiranya gagal,akaun atau kata laluan pengguna akan disekat;(d)Memastikan kawalan sistem rangkaian adalahkukuh dan lengkap dengan ciri-ciri keselamatanbagi mengelakkan aktiviti atau capaian yang tidaksah; dan(e)Capaian sistem maklumat dan aplikasi melaluijarak jauh adalah digalakkan. Walau101

DASAR KESELAMATAN ICT KERAJAAN NEGERI SEMBILANbagaimanapun, penggunaannya terhad kepadaperkhidmatan yang dibenarkan sahaja.0706 Peralatan Mudah Alih dan Kerja J arak J auhObjektif:Memastikan keselamatan maklumat semasa menggunakanperalatan mudah alih dan kemudahan kerja jarak jauh070601 Peralatan Mudah AlihPerkara yang perlu dipatuhi adalah seperti berikut:Semua(a)Peralatan mudah alih hendaklah disimpan dandikunci di tempat yang selamat apabila tidakdigunakan.(b) Peralatan mudah alih mestilah mempunyai idpengguna dan kata laluan yang sah, kawalancapaian, teknik kriptografi, back-ups danperlindungan terhadap virus(c) Tindakan perlindungan hendaklah diambil bagimenghalang kehilangan peralatan dan pendedahanmaklumat.102

DASAR KESELAMATAN ICT KERAJAAN NEGERI SEMBILAN070602 K erja J arak J auhPerkara yang perlu dipatuhi adalah seperti berikut:Semua(a) Tindakan perlindungan hendaklah diambil bagimenghalang kehilangan peralatan, pendedahanmaklumat dan capaian tidak sah serta salah gunakemudahan.(b) Kawalan capaian daripada luar terhadap sistemaplikasi dalaman hendaklah diberikan kepadapengguna yang dibenarkan sahaja dan kawalan inihendaklah dilakukan melalui firewall jabatan.103

DASAR KESELAMATAN ICT KERAJAAN NEGERI SEMBILANB IDANG 08PEROLEHAN, PEMBANGUNAN DAN PENYELENGGARAAN SISTEM0801 Keselamatan Dalam Membangunkan Sistem dan AplikasiObjektif:Memastikan sistem yang dibangunkan sendiri atau pihak ketigamempunyai ciri-ciri keselamatan ICT yang bersesuaian.080101 K eperluan K eselamatan S is tem MaklumatPerkara-perkara yang perlu dipatuhi adalah sepertiberikut:(a) Perolehan, pembangunan, penambahbaikan danpenyelenggaraan sistem hendaklah mengambil kirakawalan keselamatan bagi memastikan tidakwujudnya sebarang ralat yang bolehmengganggu pemprosesan dan ketepatan maklumat;PemilikSistem,PentadbirSistem ICTdan ICTSO(b) Ujian keselamatan hendaklah dijalankan ke atassistem input untuk menyemak pengesahan danintegriti data yang dimasukkan, sistempemprosesan untuk menentukan sama adaprogram berjalan dengan betul dan sempurna dan;sistem output untuk memastikan data yang telah104

DASAR KESELAMATAN ICT KERAJAAN NEGERI SEMBILANdiproses adalah tepat;(c)Aplikasi perlu mengandungi semakan pengesahan(validation) untuk mengelakkan sebarangkerosakan maklumat akibat kesilapanpemprosesan atau perlakuan yang disengajakan;dan(d) Semua sistem yang dibangunkan sama ada secaradalaman atau sebaliknya hendaklah diuji terlebihdahulu bagi memastikan sistem berkenaanmemenuhi keperluan keselamatan yang telahditetapkan sebelum digunakan.080102 Penges ahan Data Input dan OutputPerkara-perkara yang perlu dipatuhi adalah seperti berikut:(a) Data input bagi aplikasi perlu disahkan bagimemastikan data yang dimasukkan betul danbersesuaian; danPemilikSistem danPentadbirSistem ICT(b)Data output daripada aplikasi perlu disahkan bagimemastikan maklumat yang dihasilkan adalah tepat.(c) Proses verifikasi data hendaklah dibuat terhadapkesahihan migrasi data yang dilaksanakan.105

DASAR KESELAMATAN ICT KERAJAAN NEGERI SEMBILAN0802 K awalan K riptografiObjektif:Melindungi kerahsiaan, integriti dan kesahihan maklumat melalui kawalankriptografi.080201 E nkrips iPembangun Sistem dan Pengguna hendaklah membuatenkripsi (encryption) ke atas maklumat sensitif ataumaklumat rahsia rasmi pada setiap masa.Semua080202 Tandatangan DigitalPenggunaan tandatangan digital adalah dimestikankepada semua pengguna khususnya mereka yangmenguruskan transaksi maklumat rahsia rasmi secaraelektronik.Semua106

DASAR KESELAMATAN ICT KERAJAAN NEGERI SEMBILAN080203 Pengurus an Infras truktur K unci Awam (PKI)Pengurusan ke atas PKI hendaklah dilakukan denganberkesan dan selamat bagi melindungi kunci berkenaandari diubah, di musnah dan didedahkan sepanjangtempoh sah kunci tersebut.Semua0803 K es elamatan Fail S is temObjektif:Memastikan supaya fail sistem dikawal dan dikendalikan dengan baik danselamat.080301 Kawalan Fail SistemPerkara-perkara yang perlu dipatuhi adalah sepertiberikut:(a) Proses pengemaskinian fail sistem hanya bolehdilakukan oleh Pentadbir Sistem ICT ataupegawai yang berkenaan dan mengikut proseduryang telah ditetapkan;PemilikSistem danPentadbirSistem ICT(b) Kod atau atur cara sistem yang telah dikemas kini107

DASAR KESELAMATAN ICT KERAJAAN NEGERI SEMBILANhanya boleh dilaksanakan atau digunakan selepasujian penerimaan pengguna dan ujian penerimaanakhir;(c)Mengawal capaian ke atas kod atau atur caraprogram bagi mengelakkan kerosakan,pengubahsuaian tanpa kebenaran, penghapusandan kecurian;(d) Data ujian perlu dipilih dengan berhati-hati, dilindungidan dikawal; dan(e) Mengaktifkan audit log bagi merekodkan semuaaktiviti pengemaskinian untuk tujuan statistik,pemulihan dan keselamatan.0804 K es elamatan Dalam Pros es Pembangunan dan S okonganObjektif:Menjaga dan menjamin keselamatan sistem maklumat dan aplikasi080401 Prosedur K awalan PerubahanPerkara-perkara yang perlu dipatuhi adalah seperti berikut:Pemilik108

DASAR KESELAMATAN ICT KERAJAAN NEGERI SEMBILAN(a) Perubahan atau pengubahsuaian ke atas sistemmaklumat dan aplikasi hendaklah dikawal, diuji,direkodkan dan disahkan sebelum diguna pakai;Sistem danPentadbirSistem ICT(b) Aplikasi kritikal perlu dikaji semula dan diujiapabila terdapat perubahan kepada sistempengoperasian untuk memastikan tiada kesan yangburuk terhadap operasi dan keselamatan agensi.Individu atau suatu kumpulan tertentu perlubertanggungjawab memantau penambahbaikan danpembetulan yang dilakukan oleh vendor;(c) Mengawal perubahan dan/atau pindaan ke atas pakejperisian dan memastikan sebarang perubahan adalahterhad mengikut keperluan sahaja;(d)Akses kepada kod sumber (source code) aplikasi perludihadkan kepada pengguna yang diizinkan; dan(e) Menghalang sebarang peluang untuk membocorkanmaklumat.080402 Pembangunan Peris ian S ecara OutsourcePembangunan perisian secara outsource perlu diseliadan dipantau oleh pemilik sistem. Kod sumber (sourcecode) bagi semua aplikasi dan perisian adalah menjadi hakUPTM danPentadbirSistem ICT109

DASAR KESELAMATAN ICT KERAJAAN NEGERI SEMBILANmilik jabatan/agensi. Semua capaian yang dibenarkankepada pihak pembekal hendaklah dimansuhkan selepastamat tempoh jaminan.0805 Kawalan Teknikal Keterdedahan (Vulnerability)Objektif:Memastikan kawalan teknikal keterdedahan adalah berkesan,sistematik dan berkala dengan mengambil langkah-langkah yangbersesuaian untuk menjamin keberkesanannya.080501 Kawalan dari Ancaman TeknikalKawalan teknikal keterdedahan ini perlu dilaksanakan keatas sistem pengoperasian dan sistem aplikasi yangdigunakan. Perkara yang perlu dipatuhi adalah sepertiberikut:PentadbirSistem ICT(a) Memperoleh maklumat teknikal keterdedahan yangtepat pada masanya ke atas sistem maklumat yangdigunakan;(b) Menilai tahap pendedahan bagi mengenal pasti tahaprisiko yang bakal dihadapi; dan(c) Mengambil langkah-langkah kawalan untuk mengatasirisiko berkaitan.110

DASAR KESELAMATAN ICT KERAJAAN NEGERI SEMBILANB IDANG 09PE NGUR US AN PE NGENDALIAN INSIDE N K E SE LAMATAN0901 Mekanisme Pelaporan Insiden Keselamatan ICTObjektif:Memastikan insiden dikendalikan dengan cepat dan berkesan bagimeminimumkan kesan insiden keselamatan ICT.090101 Mekanis me PelaporanInsiden keselamatan ICT bermaksud musibah (adverseevent) atau ancaman kemungkinan berlaku ke atas asetICT di bawah tanggungjawab Pentadbiran KerajaanNegeri Sembilan. Ia mungkin suatu perbuatan yangdilakukan secara sengaja atau tidak yang melanggardasar keselamatan ICT sama ada yang ditetapkan secaratersurat atau tersirat.Insiden keselamatan ICT seperti berikut hendaklahdilaporkan kepada ICTSO dan CERT NS dengan kadarsegera:(a)Maklumat didapati hilang atau disyaki hilangkepada pihak-pihak yang tidak diberi kuasa;111

DASAR KESELAMATAN ICT KERAJAAN NEGERI SEMBILAN(b)Maklumat didapati didedahkan atau disyakididedahkan kepada pihak-pihak yang tidak diberikuasa capaian;(c)Sistem maklumat digunakan tanpa kebenaranatau disyaki sedemikian;(d)Kata laluan atau mekanisme kawalan akses hilang,dicuri atau didedahkan, atau disyaki hilang,dicuri atau didedahkan;(e)Berlaku kejadian sistem yang luar daripadakebiasaan; dan(f) Berlaku pencerobohan, penyelewengan daninsiden-insiden yang tidak dijangka atau disyakisedemikian.Ringkasan bagi semua proses kerja yang terlibat dalampelaporan insiden keselamatan ICT di Pentadbiran KerajaanNegeri Sembilan sepertimana Lampiran 2.Prosedur pelaporan insiden keselamatan ICT berdasarkan:(a) Pekeliling Am Bilangan 1 Tahun 2001 -Mekanisme Pelaporan Insiden KeselamatanTeknologi Maklumat dan Komunikasi; dan112

DASAR KESELAMATAN ICT KERAJAAN NEGERI SEMBILAN(b) Surat Pekeliling Am Bilangan 4 Tahun 2006 -Pengurusan Pengendalian Insiden KeselamatanTeknologi Maklumat dan Komunikasi SektorAwam.0902 Pengurus an Maklumat Ins iden K es elamatan ICT danPenambahbaikanObjektif:Memastikan pendekatan yang konsisten dan efektif digunakandalam pengurusan maklumat insiden keselamatan ICT.090201 Prosedur Pengurusan Maklumat Insiden K eselamatan ICT danPenambahbaikanMaklumat mengenai insiden keselamatan ICT yangdikendalikan perlu ICTSO disimpan dan dianalisis bagitujuan perancangan, tindakan pengukuhan danpembelajaran bagi mengawal kekerapan, kerosakan dan koskejadian insiden yang akan datang. Maklumat ini jugadigunakan untuk mengenal pasti insiden yang kerap berlakuatau yang memberi kesan serta impak yang tinggi kepadaPentadbiranKerajaanNegeriSembilan.113

DASAR KESELAMATAN ICT KERAJAAN NEGERI SEMBILANbahan-bahan bukti berkaitan insiden keselamatan ICThendaklah disimpan dan disenggarakan. Kawalan-kawalanyang perlu diambil kira dalam pengumpulan maklumat danpengurusan pengendalian insiden adalah seperti berikut:a) Menyimpan jejak audit, backup secara berkaladan melindungi integriti semua bahan bukti ditempat yang selamat;b) Menyalin bahan bukti dan merekodkan semuamaklumat aktiviti penyalinan;c) Menyediakan pelan kontingensi dan mengaktifkanpelan kesinambungan perkhidmatan;d) Menyediakan tindakan pemulihan segera; dane) Memaklumkan atau mendapatkan nasihat pihakberkuasa perundangan sekiranya perlu.114

DASAR KESELAMATAN ICT KERAJAAN NEGERI SEMBILANB IDANG 10PENGURUSAN KESINAMBUNGAN PERKHIDMATAN1001 Dasar Kesinambungan PerkhidmatanObjektif:Menjamin operasi perkhidmatan agar tidak tergendala dan penyampaianperkhidmatan yang berterusan kepada pelanggan100101 Pelan K es inambungan PerkhidmatanPelan Kesinambungan Perkhidmatan (BusinessC ontinuity Management Koordinator BCM) hendaklahdibangunkan untuk menentukan pendekatan yang ICTNegeri Sembilan menyeluruh diambil bagi mengekalkankesinambungan perkhidmatan.Langkah-langkah berikut perlu dilakukan sebelummembangunkan BCM:1. Penilaian Risiko AgensiPenilaian risiko perlu dilakukan bagi mengenal pastikelemahan utama dan tahap risiko agensi. Kelemahan bidangbidangutama dapat dikenal pasti dan tindakan kawalan dapat115

DASAR KESELAMATAN ICT KERAJAAN NEGERI SEMBILANditentukan.Laporan Penilaian Risiko.Hasil penemuan perlu didokumenkan dalam2. Analisis Impak Perkhidmatan AgensiAnalisis Impak Perkhidmatan perlu dijalankan bagi mengenalpasti fungsi-fungsi kritikal perkhidmatan, tempoh pemulihandan sumber-sumber operasi dan kewangan minimum yangdiperlukan. Agensi perlu mengenal pasti fungsi kritikal bagiperkhidmatan yang disediakan oleh agensi dan tahap toleransiagensi sekiranya terdapat gangguan kepada fungsi berkenaan.Pelan BCM perlu dibangunkan dan hendaklah mengandungiperkara-perkara berikut:a) Senarai aktiviti teras yang dianggap kritikalmengikut susunan keutamaan;b) Senarai personel ICT Pentadbiran Kerajaan NegeriSembilan dan vendor berserta nombor yang bolehdihubungi (faksimile, telefon dan e-mel). Senaraikedua juga hendaklah disediakan sebagaimenggantikan personel tidak dapat hadir untukmenangani insiden;c) Senarai lengkap maklumat yang memerlukanbackup dan lokasi sebenar penyimpanannya sertaarahan pemulihan maklumat dan kemudahan yangberkaitan;d) Alternatif sumber pemprosesan dan lokasi untukmenggantikan sumber yang telah lumpuh; dane) Perjanjian dengan pembekal perkhidmatan untukmendapatkan keutamaan penyambungan semula116

DASAR KESELAMATAN ICT KERAJAAN NEGERI SEMBILANperkhidmatan di mana boleh.Ini bertujuan memastikan tiada gangguan kepadaproses-proses dalam penyediaan perkhidmatanorganisasi. Pelan ini mestilah diluluskan olehJawatankuasa Pemandu ICT (JPICT) Negeri Sembilan.Perkara-perkara berikut perlu diberi perhatian:(a)Mengenal pasti semua tanggungjawab danprosedur kecemasan atau pemulihan;(b) Mengenal pasti peristiwa yang bolehmengakibatkan gangguan terhadap prosesbisnes bersama dengan kemungkinan dan impakgangguan tersebut serta akibat terhadapkeselamatan ICT;(c)Melaksanakan prosedur-prosedur kecemasan bagimembolehkan pemulihan dapat dilakukansecepat mungkin atau dalam jangka masa yangtelah ditetapkan;(d) Mendokumentasikan proses dan prosedur yangtelah dipersetujui;(e) Mengadakan program latihan kepada penggunamengenai prosedur kecemasan;(f)Salinan pelan BCM perlu disimpan di lokasiberasingan untuk mengelakkan kerosakan akibatbencana di lokasi utama dan sentiasa dikemas117

DASAR KESELAMATAN ICT KERAJAAN NEGERI SEMBILANkini mengikut pelan utama.(g)Menguji dan mengemas kini pelan sekurangkurangnyasetahun sekali atau apabila terdapatperubahan dalam persekitaran atau fungsi bisnesuntuk memastikan ia sentiasa kekal berkesan.(h)Ujian pelan BCM hendaklah dijadualkan untukmemastikan semua ahli dalam pemulihan danpersonel yang terlibat mengetahui mengenaipelan tersebut, tanggungjawab dan perananmereka apabila pelan dilaksanakan.118

DASAR KESELAMATAN ICT KERAJAAN NEGERI SEMBILANBIDANG 11PEMATUHAN1101 Pematuhan dan Keperluan PerundanganObjektif:Meningkatkan tahap keselamatan ICT bagi mengelak dari pelanggarankepada Dasar Keselamatan ICT Pentadbiran Kerajaan Negeri Sembilan.110101 Pematuhan DasarSetiap pengguna di Pentadbiran Kerajaan NegeriSembilan hendaklah membaca, memahami danmematuhi Dasar Keselamatan ICT PentadbiranKerajaan Negeri Sembilan dan undang-undang atauperaturan-peraturan lain yang berkaitan yang berkuatkuasa.SemuaSemua aset ICT di Pentadbiran Kerajaan NegeriSembilan termasuk maklumat yang disimpan didalamnya adalah hak milik KERAJAAN NEGERISEMBILAN. Ketua Jabatan/pegawai yang diberi kuasaberhak untuk memantau aktiviti pengguna untukmengesan penggunaan selain dari tujuan yang telahditetapkan.119

DASAR KESELAMATAN ICT KERAJAAN NEGERI SEMBILANSebarang penggunaan aset ICT Pentadbiran KerajaanNegeri Sembilan selain daripada maksud dan tujuanyang telah ditetapkan, adalah merupakan satupenyalahgunaan sumber Pentadbiran Kerajaan NegeriSembilan.110102 Pematuhan dengan Dasar, Piawaian dan Keperluan TeknikalICTSO hendaklah memastikan semua prosedurkeselamatan dalam bidang tugas masing-masingmematuhi dasar, piawaian dan keperluan teknikal.Sistem maklumat perlu diperiksa secara berkala dandirekodkan serta disahkan oleh CIO bagi mematuhistandard pelaksanaan keselamatan ICT.ICTSO110103 Pematuhan Keperluan AuditPematuhan kepada keperluan audit perlu bagimeminimumkan ancaman dan memaksimumkankeberkesanan dalam proses audit sistem maklumat.SemuaKeperluan audit dan sebarang aktiviti pemeriksaan ke atassistem operasi perlu dirancang dan dipersetujui bagimengurangkan kebarangkalian berlaku gangguan dalampenyediaan perkhidmatan.120

DASAR KESELAMATAN ICT KERAJAAN NEGERI SEMBILANCapaian ke atas peralatan audit sistem maklumat perludijaga dan diselia bagi mengelakkan berlakupenyalahgunaan.110104 Keperluan PerundanganSenarai perundangan dan peraturan yang perlu dipatuhioleh semua pengguna di Pentadbiran Kerajaan NegeriSembilan adalah seperti di Lampiran 3.Semua110105 Pelanggaran DasarPelanggaran Dasar Keselamatan ICT PentadbiranKerajaan Negeri Sembilan serta semua perbuatankecuaian dan kelalaian yang membahayakan perkaraperkaraterperingkat di bawah Akta Rahsia Rasmi 1972akan dikenakan tindakan tatatertib.Semua121

DASAR KESELAMATAN ICT KERAJAAN NEGERI SEMBILANGLOSARIAntivirusPerisian yang mengimbas virus pada media storanseperti disket, cakera padat, pita magnetik, optical disk,flash disk, CDROM, thumb driveuntuk sebarangkemungkinan adanya virus.Aset ICT Peralatan ICT termasuk perkakasan, perisian,perkhidmatan, data atau maklumat dan manusia.BackupProses penduaan sesuatu dokumen atau maklumat.BandwidthLebar JalurUkuran atau jumlah data yang boleh dipindahkan melaluikawalan komunikasi (contoh di antara cakera keras dankomputer) dalam jangka masa yang ditetapkan.CIOChief Information OfficerKetua Pegawai Maklumat yang bertanggungjawabterhadap ICT dan sistem maklumat bagi menyokong arahtuju sesebuah organisasi.Denial of serviceHalangan pemberian perkhidmatan.DownloadingAktiviti muat-turun sesuatu perisian.EncryptionEnkripsi ialah satu proses penyulitan data oleh pengirimsupaya tidak difahami oleh orang lain kecuali penerimayang sah.FirewallSistem yang direka bentuk untuk menghalang capaianpengguna yang tidak berkenaan kepada atau daripada122

DASAR KESELAMATAN ICT KERAJAAN NEGERI SEMBILANrangkaian dalaman. Terdapat dalam bentuk perkakasanatau perisian atau kombinasi kedua-duanya.ForgeryPemalsuan dan penyamaran identiti yang banyakdilakukan dalam penghantaran mesej melalui e-meltermasuk penyalahgunaan dan pencurian identiti,pencurian maklumat (information theft/espionage),penipuan (hoaxes).GCERTGovernment Computer Emergency Response TeamatauPasukan Tindak Balas Insiden Keselamatan ICTKerajaan.Organisasi yang ditubuhkan untuk membantu agensimengurus pengendalian insiden keselamatan ICT diagensi masing-masing dan agensi di bawah kawalannya.Hard diskCakera keras. Digunakan untuk menyimpan data danboleh di akses lebih pantas.HubHab (hub) merupakan peranti yang menghubungkan duaatau lebih stesen kerja menjadi suatu topologi basberbentuk bintang dan menyiarkan (broadcast) data yangditerima daripada sesuatu portkepada semua portyanglain.ICTInformation and Communication Technology (TeknologiMaklumat dan Komunikasi).ICTSOICT Security OfficerPegawai yang bertanggungjawab terhadap keselamatansistem komputer.123

DASAR KESELAMATAN ICT KERAJAAN NEGERI SEMBILANInternetSistem rangkaian seluruh dunia, di mana penggunaboleh membuat capaian maklumat daripada pelayan(server) atau komputer lain.Internet GatewayMerupakan suatu titik yang berperanan sebagai pintumasuk ke rangkaian yang lain. Menjadi pemandu arahtrafik dengan betul dari satu trafik ke satu trafik yang laindi samping mengekalkan trafik-trafik dalam rangkaianrangkaiantersebut agar sentiasa berasingan.Intrusion DetectionSystem (IDS)Sistem Pengesan PencerobohanPerisian atau perkakasan yang mengesan aktiviti tidakberkaitan, kesilapan atau yang berbahaya kepadasistem. Sifat IDS berpandukan jenis data yang dipantau,iaitu sama ada lebih bersifat hostatau rangkaian.IntrusionPrevention System(IPS)Sistem Pencegah PencerobohanPerkakasan keselamatan komputer yang memantaurangkaian dan/atau aktiviti yang berlaku dalam sistembagi mengesan perisian berbahaya. Boleh bertindakbalas menyekat atau menghalang aktiviti serangan ataumalicious code.Contohnya: Network-based IPSyang akan memantausemua trafik rangkaian bagi sebarang kemungkinanserangan.LANLocal Area NetworkRangkaian Kawasan Setempat yang menghubungkankomputer.124

DASAR KESELAMATAN ICT KERAJAAN NEGERI SEMBILANLogoutLog-out komputerKeluar daripada sesuatu sistem atau aplikasi komputer.Malicious CodePerkakasan atau perisian yang dimasukkan ke dalamsistem tanpa kebenaran bagi tujuan pencerobohan. Iamelibatkan serangan virus, trojan horse, worm,spywaredan sebagainya.MODEMMOdulator DEModulatorPeranti yang boleh menukar strim bit digital ke isyaratanalog dan sebaliknya. Ia biasanya disambung ke taliantelefon bagi membolehkan capaian Internet dibuat darikomputer.OutsourceBermaksud menggunakan perkhidmatan luar untukmelaksanakan fungsi-fungsi tertentu ICT bagi suatutempoh berdasarkan kepada dokumen perjanjian denganbayaran yang dipersetujui.Perisian AplikasiIa merujuk pada perisian atau pakej yang selaludigunakan seperti spreadsheetdan wordprocessingataupun sistem aplikasi yang dibangunkanoleh sesebuah organisasi atau jabatan.Public-KeyInfrastructure (PKI)Infrastruktur Kunci Awam merupakan satu kombinasiperisian, teknologi enkripsi dan perkhidmatan yangmembolehkan organisasi melindungi keselamatanberkomunikasi dan transaksi melalui Internet.RouterPenghala yang digunakan untuk menghantar data antaradua rangkaian yang mempunyai kedudukan rangkaian125

DASAR KESELAMATAN ICT KERAJAAN NEGERI SEMBILANyang berlainan. Contohnya, pencapaian Internet.Screen SaverImej yang akan diaktifkan pada komputer setelah ianyatidak digunakan dalam jangka masa tertentu.ServerPelayan komputerSwitchesSuis merupakan gabungan hab dan titi yang menapisbingkai supaya mensegmenkan rangkaian. Kegunaansuis dapat memperbaiki prestasi rangkaian Carrier SenseMultiple Access/Collision Detection(CSMA/CD) yangmerupakan satu protokol penghantaran denganmengurangkan perlanggaran yang berlaku.Threat Gangguan dan ancaman melalui pelbagai cara iaitu e-mel dan surat yang bermotif personal dan atas sebabtertentu.UninterruptiblePower Supply(UPS)Satu peralatan yang digunakan bagi membekalkanbekalan kuasa yang berterusan dari sumber berlainanketika ketiadaan bekalan kuasa ke peralatan yangbersambung.Video ConferenceMedia yang menerima dan memaparkan maklumatmultimedia kepada pengguna dalam masa yang sama iaditerima oleh penghantar.Video StreamingTeknologi komunikasi yang interaktif yang membenarkandua atau lebih lokasi untuk berinteraksi melalui paparanvideo dua hala dan audio secara serentak.VirusAtur cara yang bertujuan merosakkan data atau sistemaplikasi.126

DASAR KESELAMATAN ICT KERAJAAN NEGERI SEMBILANWirelessLANJaringan komputer yang terhubung tanpa melalui kabel.127

DASAR KESELAMATAN ICT KERAJAAN NEGERI SEMBILANLAMPIRAN 1128

DASAR KESELAMATAN ICT KERAJAAN NEGERI SEMBILANLampiran 2129

DASAR KESELAMATAN ICT KERAJAAN NEGERI SEMBILAN130

DASAR KESELAMATAN ICT KERAJAAN NEGERI SEMBILAN131

DASAR KESELAMATAN ICT KERAJAAN NEGERI SEMBILANPenunjuk :SOP - Standard Operating Procedure132

DASAR KESELAMATAN ICT KERAJAAN NEGERI SEMBILANLampiran 3SENARAI PERUNDANGAN DAN PERATURAN(a) Arahan Keselamatan;(b) Pekeliling Am Bilangan 3 Tahun 2000 - Rangka Dasar KeselamatanTeknologi Maklumat dan Komunikasi Kerajaan;(c) Malaysian Public Sector Management of Information andCommunications Technology Security Handbook (MyMIS) 2002;(d) Pekeliling Am Bilangan 1 Tahun 2001 - Mekanisme Pelaporan InsidenKeselamatan Teknologi Maklumat dan Komunikasi (ICT);(e) Pekeliling Kemajuan Pentadbiran Awam Bilangan 1 Tahun 2003 - GarisPanduan Mengenai Tatacara Penggunaan Internet dan Mel Elektronik di Agensi-Agensi Kerajaan;(f) Surat Pekeliling Am Bilangan 6 Tahun 2005 - Garis Panduan PenilaianRisiko Keselamatan Maklumat Sektor Awam;(g) Surat Pekeliling Am Bilangan 4 Tahun 2006 - Pengurusan PengendalianInsiden Keselamatan Teknologi Maklumat dan Komunikasi (ICT) Sektor Awam;(h) Surat Arahan Ketua Setiausaha Negara - Langkah-Langkah UntukMemperkukuhkan Keselamatan Rangkaian Setempat Tanpa Wayar (WirelessLocal Area Network) di Agensi-Agensi Kerajaan yang bertarikh 20 Oktober 2006;(i) Surat Arahan Ketua Pengarah MAMPU - Langkah-Langkah MengenaiPenggunaan Mel Elektronik di Agensi-Agensi Kerajaan yang bertarikh 1 Jun2007;(j) Surat Arahan Ketua Pengarah MAMPU - Langkah-Langkah PemantapanPelaksanaan Sistem Mel Elektronik Di Agensi-Agensi Kerajaan yang bertarikh 23November 2007;(k) Surat Pekeliling Am Bil. 2 Tahun 2000 - Peranan Jawatankuasajawatankuasadi Bawah Jawatankuasa IT dan Internet Kerajaan (JITIK);(l) Surat Pekeliling Perbendaharaan Bil.2/1995 (Tambahan Pertama) - TatacaraPenyediaan, Penilaian dan Penerimaan Tender; (Dibatalkan oleh SPP 5/2007)133

DASAR KESELAMATAN ICT KERAJAAN NEGERI SEMBILAN(m) Surat Pekeliling Perbendaharaan Bil. 3/1995 - Peraturan PerolehanPerkhidmatan Perundingan;(n) Akta Tandatangan Digital 1997;(o) Akta Rahsia Rasmi 1972;(p) Akta Jenayah Komputer 1997;(q) Akta Hak Cipta (Pindaan) Tahun 1997;(r) Akta Komunikasi dan Multimedia 1998;(s) Perintah-Perintah Am;(t) Arahan Perbendaharaan;(u) Arahan Teknologi Maklumat 2007;(v) Garis Panduan Keselamatan MAMPU 2004;(w) Standard Operating Procedure (SOP) ICT MAMPU;(x) Surat Pekeliling Am Bilangan 3 Tahun 2009 – Garis Panduan PenilaianTahap Keselamatan Rangkaian dan Sistem ICT Sektor Awam yang bertarikh 17November 2009;(y) Surat Arahan Ketua Pengarah MAMPU – Pengurusan KesinambunganPerkhidmatan Agensi Sektor Awam yang bertarikh 22 Januari 2010.134