DKICT MATRADE Pindaan November 2018

Pindaan November 2018

SEJARAH DOKUMEN 

Keluaran/ 

Pindaan 

Kuasa Melulus Tarikh Kuatkuasa Catatan 

01/2010 JPICT MATRADE Bil. 4/2010 4 November 2010 

01/2017 JPICT MATRADE Bil. 2/2017 25 Mei 2017 Pindaan seperti 

Lampiran 4 

01/2018 JPICT MATRADE Bil. 4/2018 15 November 2018 Pindaan seperti 

Lampiran 4

DASAR KESELAMATAN ICT MATRADE 

KANDUNGAN 

PENGENALAN ................................................................................................................ 1 

OBJEKTIF ............................................................................................................. 1 

SKOP .............................................................................................................. 1 

PRINSIP-PRINSIP ............................................................................................................. 2 

PERKARA 01 PEMBANGUNAN DAN PENYELENGGARAAN DASAR ......................... 4 

010101 Pelaksanaan Dasar ............................................................................... 4 

010102 Penyebaran Dasar ................................................................................ 4 

010103 Penyelenggaraan Dasar ...................................................................... 4 

010104 Pengecualian Dasar ............................................................................. 4 

PERKARA 02 ORGANISASI KESELAMATAN ............................................................... 5 

0201 Infrastruktur Organisasi Keselamatan ................................................. 5 

020101 Ketua Eksekutif ....................................................................................... 5 

020102 Ketua Pegawai Maklumat (CIO)......................................................... 5 

020103 Pengarah ICT .......................................................................................... 6 

020104 Pegawai Keselamatan ICT (ICTSO)..................................................... 6 

020105 Pentadbir Sistem ICT .............................................................................. 7 

020106 Pengguna ............................................................................................... 8 

0202 Pihak Ketiga ........................................................................................... 9 

020201 Keperluan Keselamatan Kontrak dengan Pihak Ketiga.................9 

PERKARA 03 KAWALAN DAN PENGELASAN ASET ................................................... 10 

0301 Akauntabiliti Aset ................................................................................. 10 

030101 Inventori Aset ........................................................................................ 10 

0302 Pengelasan dan Pengendalian Maklumat................................... 10 

030201 Pengelasan Maklumat..................................................................... 10 

030202 Pengendalian Maklumat................................................................. 10 

PERKARA 04 KESELAMATAN SUMBER MANUSIA ...................................................... 12 

0401 Keselamatan ICT Dalam Tugas Harian ............................................. 12 

040101 Tanggungjawab Keselamatan.......................................................... 12 

040102 Terma dan Syarat Perkhidmatan ...................................................... 12 

040103 Perakuan Akta Rahsia Rasmi ............................................................. 12 

0402 Menangani Insiden Keselamatan ICT .............................................. 12 

040201 Pelaporan Insiden ................................................................................ 12 

0403 Pendidikan ............................................................................................ 13 

040301 Program Kesedaran Keselamatan ICT ............................................. 13 

PERKARA 05 KESELAMATAN FIZIKAL ......................................................................... 14 

0501 Keselamatan Kawasan ....................................................................... 14 

050101 Perimeter Keselamatan Fizikal ........................................................... 14 

050102 Kawalan Masuk Fizikal ......................................................................... 14 

050103 Kawasan Larangan ............................................................................. 15 

ii

iii 


050104 Kawasan Larangan Lokasi ICT......................................................... 15 

0502 Keselamatan Peralatan ...................................................................... 16 

050201 Perkakasan ........................................................................................... 16 

050202 Sistem Dokumentasi dan Dokumen .................................................. 17 

050203 Media Storan ........................................................................................ 18 

050204 Public Cloud Storage....................................................................... 19 

050205 Kabel ...................................................................................................... 19 

050206 Penyelenggaraan ............................................................................... 20 

050207 Peminjaman Perkakasan Untuk Kegunaan Di Luar Pejabat ........ 20 

050208 Peralatan di Luar Premis ..................................................................... 20 

050209 Pelupusan ............................................................................................. 20 

050210 Clear Desk dan Clear Screen ............................................................ 21 

0503 Keselamatan Persekitaran ................................................................. 21 

050301 Kawalan Persekitaran ......................................................................... 22 

050302 Bekalan Kuasa ...................................................................................... 22 

050303 Prosedur Kecemasan .......................................................................... 23 

PERKARA 06 PENGURUSAN OPERASI DAN KOMUNIKASI ....................................... 24 

0601 Pengurusan Prosedur Operasi ........................................................... 24 

060101 Pengendalian Prosedur ...................................................................... 24 

060102 Kawalan Perubahan ........................................................................... 24 

060103 Prosedur Pengurusan Insiden Keselamatan ICT .............................. 24 

0602 Perancangan dan Penerimaan Sistem ........................................... 25 

060201 Perancangan Kapasiti ........................................................................ 25 

060202 Penerimaan Sistem .............................................................................. 26 

0603 Perisian Berbahaya .............................................................................. 26 

060301 Perlindungan dari Perisian Berbahaya ............................................. 26 

0604 Pengurusan Backup dan Log ............................................................ 27 

060401 Backup .................................................................................................. 27 

060402 Sistem Log ............................................................................................. 27 

0605 Pengurusan Rangkaian ...................................................................... 27 

060501 Kawalan Infrastruktur Rangkaian ...................................................... 28 

060502 Wireless .................................................................................................. 28 

0606 Keselamatan Komunikasi ................................................................... 29 

060601 Internet .................................................................................................. 29 

060602 Mel Elektronik ........................................................................................ 30 

060603 Media Sosial...................................................................................... 32 

PERKARA 07 KAWALAN CAPAIAN ............................................................................ 34 

0701 Dasar Kawalan Capaian .................................................................... 34 

070101 Keperluan Kawalan ............................................................................. 34 

0702 Pengurusan Capaian Pengguna ...................................................... 34 

070201 Akaun Pengguna................................................................................. 34 

070202 Jejak Audit ............................................................................................ 36 

0703 Kawalan Capaian Sistem dan Aplikasi ............................................ 36 

070301 Sistem Maklumat dan Aplikasi ........................................................... 36 

0704 Bring Your Own Device (BYOD)...................................................... 37


070401 Keperluan dan Kawalan Penggunaan BYOD.............................. 37 

PERKARA 08 PEMBANGUNAN DAN PENYELENGGARAAN SISTEM ........................ 39 

0801 Keselamatan Dalam Membangunkan Sistem dan Aplikasi ......... 39 

080101 Keperluan Keselamatan ..................................................................... 39 

0802 Kriptografi .............................................................................................. 39 

080201 Penyulitan (Encryption)....................................................................... 39 

080202 Tandatangan Digital ........................................................................... 39 

080203 Pengurusan Kunci Kriptografi ............................................................. 40 

0803 Fail Sistem .............................................................................................. 40 

080301 Kawalan Fail Sistem ............................................................................. 40 

0804 Pembangunan dan Proses Sokongan ............................................. 40 

080401 Kawalan Perubahan ........................................................................... 40 

080402 Pembangunan Perisian Secara Outsource................................... 41 

0805 Kawalan Teknikal Keterdedahan (Vulnerability)........................... 41 

080501 Kawalan Dari Ancaman Teknikal.................................................... 41 

PERKARA 09 PENGURUSAN KESINAMBUNGAN PERKHIDMATAN .......................... 42 

0901 Dasar Kesinambungan Perkhidmatan ............................................. 42 

090101 Pelan Kesinambungan Perkhidmatan (Business Continuity Plan) 42 

090102 Salinan Pelan Kesinambungan Perkhidmatan (Business 

Continuity Plan)................................................................................. 42 

090103 Pengujian Pelan Kesinambungan Perkhidmatan (Business 

Continuity Plan)................................................................................. 43 

PERKARA 10 PEMATUHAN .......................................................................................... 44 

1001 Pematuhan dan Keperluan Perundangan ..................................... 44 

100101 Pematuhan Dasar................................................................................ 44 

100102 Kelangsungan Pematuhan Dasar.................................................. 44 

100103 Keperluan Perundangan .................................................................... 44 

100104 Pelanggaran Dasar.......................................................................... 45 

DAFTAR ISTILAH ........................................................................................................... 46 

Lampiran 1…………………………………………………………………………………48 

Lampiran 2…………………………………………………………………………………49 

Lampiran 3…………………………………………………………………………………52 

Lampiran 4…………………………………………………………………………………54 

iv


PENGENALAN 

Dasar Keselamatan ICT ini mengandungi peraturan-peraturan yang mesti dibaca 

dan dipatuhi dalam menggunakan aset teknologi maklumat dan komunikasi (ICT) 

MATRADE. 

Dasar ini juga menerangkan kepada semua pengguna di MATRADE mengenai 

tanggungjawab dan peranan mereka dalam melindungi aset ICT MATRADE. 

OBJEKTIF 

Dasar keselamatan ICT MATRADE diwujudkan untuk 

(a) 

(b) 

melindungi aset ICT yang terdiri daripada perkakasan, perisian, data dan 

maklumat daripada ancaman keselamatan seperti kecurian, 

penyalahgunaan, pencerobohan, pengubahan yang tidak sah dan 

gangguan sistem; 

menjamin kesinambungan urusan MATRADE dengan meminimumkan kesan 

insiden keselamatan ICT. 

SKOP 

Dasar ini meliputi semua sumber atau aset ICT yang digunakan seperti: 

(a) 

(b) 

(c) 

(d) 

maklumat (contoh: fail, dokumen, pangkalan data, maklumat pengenalan 

peribadi); 

perisian (contoh: aplikasi dan sistem perisian) dan 

fizikal (contoh: komputer, peralatan komunikasi dan media storan). 

manusia 

Dasar ini adalah terpakai oleh semua pengguna di MATRADE termasuk kakitangan, 

pembekal dan pakar runding yang mengurus, menyelenggara, memproses, 

mencapai, memuat turun, menyedia, memuat naik, berkongsi, menyimpan dan 

menggunakan aset ICT MATRADE. 

1


PRINSIP-PRINSIP 

Prinsip-prinsip yang menjadi asas kepada Dasar Keselamatan ICT MATRADE dan perlu 

dipatuhi adalah seperti berikut: 

(a) Akses atas dasar perlu mengetahui 

Akses terhadap penggunaan aset ICT hanya diberikan untuk tujuan spesifik dan 

dihadkan kepada pengguna tertentu atas dasar “perlu mengetahui” sahaja. 

Ini bermakna akses hanya akan diberikan sekiranya peranan atau fungsi 

pengguna memerlukan maklumat tersebut. Pertimbangan untuk akses adalah 

berdasarkan kategori maklumat seperti yang dinyatakan di dalam dokumen 

Arahan Keselamatan; 

(b) Hak akses minimum 

Hak akses pengguna hanya diberi pada tahap set yang paling minimum iaitu 

untuk membaca dan/atau melihat sahaja. Kelulusan adalah perlu untuk 

membolehkan pengguna mewujud, menyimpan, mengemas kini, mengubah 

atau membatalkan sesuatu maklumat. 

Hak akses adalah dikaji dari semasa ke semasa berdasarkan kepada peranan 

dan tanggungjawab pengguna/bidang tugas; 

(c) Akauntabiliti 

Semua pengguna adalah bertanggungjawab ke atas semua tindakannya 

terhadap aset ICT MATRADE; 

(d) Pengasingan 

Tugas mewujud, memadam, kemaskini, mengubah dan mengesahkan data 

perlu diasingkan bagi mengelakkan daripada capaian yang tidak dibenarkan 

serta melindungi aset ICT daripada kesilapan, kebocoran maklumat 

terperingkat atau dimanipulasi; 

(e) Pengauditan 

Pengauditan adalah tindakan untuk mengenal pasti insiden berkaitan 

keselamatan atau mengenal pasti keadaan yang mengancam keselamatan. 

Ia membabitkan pemeliharaan semua rekod berkaitan tindakan keselamatan. 

Dengan itu, aset ICT seperti komputer, server, router, firewall dan rangkaian 

hendaklah ditentukan dapat menjana dan menyimpan log tindakan 

keselamatan atau audit trail; 

2


(f) 

Pematuhan 

Dasar Keselamatan ICT MATRADE hendaklah dibaca, difahami dan dipatuhi 

bagi mengelakkan sebarang bentuk pelanggaran ke atasnya yang boleh 

membawa ancaman kepada keselamatan ICT MATRADE; 

(g) Pemulihan 

Pemulihan sistem amat perlu untuk memastikan kebolehsediaan dan 

kebolehcapaian. Objektif utama adalah untuk meminimumkan sebarang 

gangguan atau kerugian akibat daripada ketidaksediaan. Pemulihan boleh 

dilakukan melalui aktiviti penduaan dan mewujudkan pelan pemulihan 

bencana/kesinambungan perkhidmatan; dan 

(h) Saling Bergantungan 

Setiap prinsip di atas adalah saling lengkap-melengkapi dan bergantung 

antara satu sama lain. Dengan itu, tindakan mempelbagaikan pendekatan 

dalam menyusun dan mencorakkan sebanyak mungkin mekanisme 

keselamatan adalah perlu bagi menjamin keselamatan yang maksimum. 

3


PERKARA 01 PEMBANGUNAN DAN PENYELENGGARAAN DASAR 

TANGGUNGJAWAB 

010101 Pelaksanaan Dasar 

Pelaksanaan dasar ini akan dijalankan oleh Ketua Eksekutif 

MATRADE dibantu oleh Pasukan Pengurusan Keselamatan ICT 

yang terdiri daripada pegawai-pegawai berikut: 

Ketua Eksekutif 

(a) 

(b) 

(c) 

(d) 

(e) 

Timbalan-timbalan Ketua Eksekutif; 

Semua Pengarah Kanan dan Pengarah; 

Ketua Pegawai Maklumat (CIO); 

Pegawai Keselamatan ICT (ICTSO); 

Ketua-ketua Seksyen/Unit ICT 

010102 Penyebaran Dasar 

Dasar ini perlu disebarkan kepada semua pengguna MATRADE 

(termasuk kakitangan, pembekal, pakar runding dan lain-lain). 

ICTSO 

010103 Penyelenggaraan Dasar 

Dasar Keselamatan ICT MATRADE adalah tertakluk kepada 

semakan dan pindaan dari semasa ke semasa selaras dengan 

perubahan teknologi, aplikasi, prosedur, perundangan dan 

kepentingan sosial. Berikut adalah prosedur yang berhubung 

dengan penyelenggaraan Dasar Keselamatan ICT MATRADE: 

ICTSO 

(a) kenal pasti dan tentukan perubahan yang diperlukan; 

(b) kemuka cadangan pindaan secara bertulis kepada 

ICTSO untuk pembentangan dan persetujuan Mesyuarat 

Jawatankuasa Pemandu ICT (JPICT) MATRADE; 

(c) perubahan yang telah dipersetujui oleh JPICT 

dimaklumkan kepada semua pengguna; dan 

(d) dasar ini hendaklah dikaji semula sekurang-kurangnya 

setiap dua tahun atau mengikut keperluan semasa. 

010104 Pengecualian Dasar 

Dasar Keselamatan ICT MATRADE adalah terpakai kepada 

semua pengguna ICT MATRADE dan tiada pengecualian 

diberikan. 

Semua 

4


PERKARA 02 ORGANISASI KESELAMATAN 

TANGGUNGJAWAB 

0201 Infrastruktur Organisasi Keselamatan 

Objektif : Menerangkan peranan dan tanggungjawab 

individu yang terlibat dengan lebih jelas dan teratur 

dalam mencapai objektif organisasi. 

020101 Ketua Eksekutif 

Peranan dan tanggungjawab Ketua Eksekutif adalah seperti 

berikut: 

Ketua Eksekutif 

(a) memastikan semua pengguna memahami peruntukanperuntukan 

di bawah Dasar Keselamatan ICT MATRADE; 

(b) memastikan semua pengguna mematuhi Dasar 

Keselamatan ICT MATRADE; 

(c) memastikan semua keperluan organisasi (sumber 

kewangan, sumber kakitangan dan perlindungan 

keselamatan) adalah mencukupi; dan 

(d) memastikan penilaian risiko dan program keselamatan ICT 

dilaksanakan seperti yang ditetapkan di dalam Dasar 

Keselamatan ICT MATRADE. 

020102 Ketua Pegawai Maklumat (CIO) 

Pengarah Seksyen Teknologi Maklumat MATRADE adalah 

merupakan Ketua Pegawai Maklumat (CIO). Peranan dan 

tanggung jawab CIO yang berkaitan dengan keselamatan ICT 

adalah seperti berikut: 

CIO 

(a) 

(b) 

(c) 

membantu Ketua Eksekutif dalam melaksanakan tugastugas 

yang melibatkan keselamatan ICT; 

menentukan keperluan keselamatan ICT; dan 

membangun dan menyelaras pelaksanaan pelan latihan 

dan program kesedaran mengenai keselamatan ICT. 

5


020103 Pengarah ICT 

Peranan dan tanggungjawab Pengarah ICT adalah seperti 

berikut: 

Pengarah ICT 

(a) menentukan kawalan keselamatan ICT selaras dengan 

keperluan MATRADE; dan 

(b) memastikan semua kakitangan, perunding, kontraktor dan 

pembekal yang terlibat dengan aset ICT MATRADE 

mematuhi dasar, piawaian dan garis panduan 

keselamatan ICT MATRADE; dan 

(c) menentukan kawalan akses semua pengguna terhadap 

aset ICT MATRADE. 

020104 Pegawai Keselamatan ICT (ICTSO) 

Ketua Unit Operasi dan Keselamatan IT adalah merupakan 

Pegawai Keselamatan ICT (ICTSO). Peranan dan 

tanggungjawab ICTSO yang dilantik adalah seperti berikut: 

ICTSO 

(a) mengurus keseluruhan program-program keselamatan ICT 

MATRADE; 

(b) menguatkuasakan Dasar Keselamatan ICT MATRADE; 

(c) memberi penerangan dan pendedahan berkenaan Dasar 

Keselamatan ICT MATRADE kepada semua pengguna; 

(d) mewujudkan garis panduan, prosedur dan tatacara selaras 

dengan keperluan Dasar Keselamatan ICT MATRADE; 

(e) menjalankan pengurusan risiko; 

(f) menjalankan audit, mengkaji semula, merumus tindak balas 

pengurusan agensi berdasarkan hasil penemuan dan 

menyediakan laporan mengenainya; 

(g) memberi amaran terhadap kemungkinan berlakunya 

ancaman berbahaya seperti virus dan memberi khidmat 

nasihat serta menyediakan langkah-langkah perlindungan 

yang bersesuaian; 

(h) melaporkan insiden keselamatan ICT kepada Pasukan 

Tindak balas Insiden Keselamatan ICT (CCERT MITI) dan 

memaklumkannya kepada CIO; 

6


(i) 

(j) 

bekerjasama dengan semua pihak yang berkaitan dalam 

mengenal pasti punca ancaman atau insiden keselamatan 

ICT dan memperakukan langkah-langkah baik pulih 

dengan segera; 

memperakui proses pengambilan tindakan tatatertib ke 

atas pengguna yang melanggar Dasar Keselamatan ICT 

MATRADE; 

(k) menyedia dan melaksanakan program-program kesedaran 

mengenai keselamatan ICT; 

(l) 

menyimpan rekod, bahan bukti dan laporan terkini 

mengenai ancaman keselamatan ICT MATRADE. 

020105 Pentadbir Sistem ICT 

Mana-mana pegawai yang dipertanggungjawabkan untuk 

mentadbir sesuatu sistem ICT di MATRADE adalah merupakan 

Pentadbir Sistem ICT MATRADE. Peranan dan tanggungjawab 

adalah seperti berikut: 

Pentadbir Sistem 

ICT 

(a) mengambil tindakan yang bersesuaian dengan segera ke 

atas aset ICT apabila dimaklumkan mengenai kakitangan 

yang berhenti, bertukar, bercuti atau berlaku perubahan 

dalam bidang tugas; 

(b) menentukan ketepatan dan kesempurnaan sesuatu tahap 

capaian berdasarkan arahan pemilik sumber maklumat 

sebagaimana yang telah ditetapkan di dalam Dasar 


(c) memantau aktiviti capaian harian pengguna; 

(d) mengenal pasti aktiviti-aktiviti tidak normal seperti 

pencerobohan dan pengubahsuaian data tanpa 

kebenaran dan membatalkan atau memberhentikannya 

dengan serta merta; 

(e) menyimpan dan menganalisis rekod jejak audit; 

(f) menyediakan laporan mengenai aktiviti capaian kepada 

pemilik maklumat berkenaan secara berkala; dan 

(g) memastikan setiap pengguna dikenali dengan 

menggunakan User ID yang unik. 

7


020106 Pengguna 

Pengguna ialah semua kakitangan MATRADE yang merangkumi 

kakitangan tetap, kontrak, sambilan dan pelatih dan pihak 

kontraktor yang menjalankan kerja-kerja di MATRADE. Peranan 

dan tanggungjawab pengguna adalah seperti berikut: 

Semua 

(a) membaca, memahami dan mematuhi Dasar 


(b) 

(c) 

(d) 

mengetahui dan memahami implikasi keselamatan ICT 

kesan dari tindakannya; 

melaksanakan prinsip-prinsip Dasar Keselamatan ICT serta 

menjaga kerahsiaan maklumat MATRADE dan maklumatmaklumat 

sensitif yang dikendalikan oleh MATRADE; 

melaksanakan langkah-langkah perlindungan seperti 

berikut :- 

i. menghalang pendedahan maklumat kepada 

pihak yang tidak dibenarkan; 

ii. 

iii. 

iv. 

menjaga kerahsiaan kata laluan; 

mematuhi standard, prosedur, langkah dan garis 

panduan keselamatan yang ditetapkan; 

memberi perhatian kepada maklumat terperingkat 

terutama semasa pewujudan, pemprosesan, 

penyimpanan, penghantaran, penyampaian, 

pertukaran dan pemusnahan; dan 

v. menjaga kerahsiaan langkah-langkah keselamatan 

ICT dari diketahui umum. 

(e) melaporkan sebarang aktiviti yang mengancam 

keselamatan ICT dengan segera; 

(f) menghadiri program-program kesedaran mengenai 

keselamatan ICT; dan 

(g) menandatangani Surat Akuan Pematuhan Dasar 

Keselamatan ICT MATRADE seperti Lampiran 1. 

8


0202 Pihak Ketiga 

Objektif: 

Menjamin keselamatan semua aset ICT yang 

digunakan oleh pihak ketiga. 

020201 Keperluan Keselamatan Kontrak dengan Pihak 

Ketiga 

(a) Perkara yang perlu dipatuhi termasuk yang berikut: 

i. Membaca, memahami dan mematuhi Dasar 


ii. 

iii. 

Menandatangani Non-Disclosure Agreement (NDA) 

MATRADE dan Surat Akuan Pematuhan DKICT; 

Menyedari implikasi keselamatan ke atas sebarang 

tindakan yang dilakukan; 

CIO, Pengarah 

ICT, ICTSO, 


ICT, Bahagian 

Khidmat 

Pengurusan (BKP) 

dan Pihak Ketiga 

iv. Memastikan maklumat MATRADE terpelihara 

kerahsiaannya; 

v. Akses kepada Aset ICT MATRADE perlu 

berlandaskan kepada perjanjian kontrak. 

(b) Perkara-perkara berikut hendaklah dimasukkan di dalam 

perjanjian yang dimeteraikan mengikut kesesuaian: 

i. Dasar Keselamatan ICT MATRADE; 

ii. 

Tapisan Keselamatan; 

iii. Perakuan Akta Rahsia Rasmi 1972; 

iv. 

Hak Harta Intelek; 

v. Arahan Teknologi Maklumat 2007. 

Nota: 

Pekeliling-pekeliling berkaitan perolehan yang terpakai juga 

boleh dirujuk. 

9


PERKARA 03 KAWALAN DAN PENGELASAN ASET 

TANGGUNGJAWAB 

0301 Akauntabiliti Aset 

Objektif : 

Memberi dan menyokong perlindungan yang 

bersesuaian ke atas semua aset ICT MATRADE. 

030101 Inventori Aset 

Semua aset ICT MATRADE hendaklah direkodkan. Ini 

termasuklah mengenal pasti aset, mengelas aset mengikut 

tahap sensitiviti aset berkenaan dan merekodkan maklumat 

seperti pemilik dan sebagainya. 

Setiap pengguna adalah bertanggung jawab ke atas semua 

aset ICT di bawah kawalannya. 


ICT, BKP 

Semua 

0302 Pengelasan dan Pengendalian Maklumat 

Objektif: Memastikan setiap maklumat atau aset ICT 

diberikan tahap perlindungan yang bersesuaian. 

030201 Pengelasan Maklumat 

Maklumat hendaklah dikelaskan dan dilabelkan sewajarnya. 

Setiap maklumat yang dikelaskan mestilah mempunyai 

peringkat keselamatan sebagaimana yang telah ditetapkan di 

dalam dokumen Arahan Keselamatan seperti berikut: 

Semua 

(a) Rahsia Besar; 

(b) Rahsia; 

(c) Sulit; 

(d) Terhad; atau 

(e) Terbuka 

030202 Pengendalian Maklumat 

Aktiviti pengendalian maklumat seperti mengumpul, 

memproses, menyimpan, menghantar, menyampai, menukar 

dan memusnah hendaklah mengambil kira langkah-langkah 

keselamatan berikut : 

Semua 

10

(a) menghalang pendedahan maklumat kepada pihak yang 

tidak dibenarkan; 

(b) memeriksa maklumat dan menentukan ia tepat dan 

lengkap dari semasa ke semasa; 

(c) menentukan maklumat sedia untuk digunakan; 

(d) menjaga kerahsiaan kata laluan; 

(e) mematuhi standard, prosedur, langkah dan garis panduan 

keselamatan yang ditetapkan; 

(f) memberi perhatian kepada maklumat terperingkat 

terutama semasa pewujudan, pemprosesan, 

penyimpanan, penghantaran, penyampaian, pertukaran 

dan pemusnahan; 

(g) membuat salinan maklumat sekiranya perlu dan perlu 

dijaga kerahsiaan seperti salinan asal; 

(h) menjaga kerahsiaan langkah-langkah keselamatan ICT 

dari diketahui umum; dan 


(i) 

mengendalikan maklumat pengenalan peribadi mengikut 

Akta Perlindungan Data Peribadi 2010. 

11


PERKARA 04 KESELAMATAN SUMBER MANUSIA 

TANGGUNGJAWAB 

0401 Keselamatan ICT Dalam Tugas Harian 

Objektif: 

Meminimumkan risiko seperti kesilapan, kecuaian, 

kecurian, penipuan dan penyalahgunaan aset ICT 


040101 Tanggungjawab Keselamatan 

Peranan dan tanggungjawab pengguna terhadap 

keselamatan ICT mestilah lengkap, jelas, direkod, dipatuhi dan 

dilaksanakan serta dinyatakan di dalam fail meja atau kontrak. 

Semua 

Keselamatan ICT merangkumi tanggungjawab pengguna 

dalam menyediakan dan memastikan perlindungan ke atas 

semua aset atau sumber ICT yang digunakan di dalam 

melaksanakan tugas harian. 

040102 Terma dan Syarat Perkhidmatan 

Semua warga MATRADE yang dilantik hendaklah mematuhi 

terma dan syarat perkhidmatan yang ditawarkan dan 

peraturan semasa yang berkuat kuasa. 

Semua 

040103 Perakuan Akta Rahsia Rasmi 

Warga MATRADE yang menguruskan maklumat terperingkat 

hendaklah mematuhi semua peruntukan Akta Rahsia Rasmi 

1972. 

Semua 

0402 Menangani Insiden Keselamatan ICT 

Objektif: 

Meminimumkan kesan insiden keselamatan ICT. 

040201 Pelaporan Insiden 

Insiden keselamatan ICT seperti berikut hendaklah dilaporkan 

dengan kadar segera: 

Semua 

(a) Maklumat didapati hilang, didedahkan kepada pihak-pihak 

yang tidak diberi kuasa atau, disyaki hilang atau 

didedahkan kepada pihak-pihak yang tidak diberi kuasa. 

Sekiranya berlaku, pengendali maklumat hendaklah 

dengan segera melaporkan kepada Pegawai Keselamatan 

12

ICT dengan mengisi Borang Laporan Kehilangan Data 

Elektronik MATRADE seperti Lampiran 2; 

(b) Sistem maklumat digunakan tanpa kebenaran atau disyaki 

sedemikian; 

(c) Kata laluan atau mekanisme kawalan akses hilang, dicuri 

atau didedahkan, atau disyaki hilang; 

(d) Berlaku kejadian sistem yang luar biasa seperti kehilangan 

fail, sistem kerap kali gagal dan komunikasi tersalah hantar; 

(e) Berlaku percubaan menceroboh, penyelewengan dan 

insiden-insiden yang tidak diingini. 

Nota: 

Pekeliling Am Bilangan 1 Tahun 2001 bertajuk “Mekanisme 

Pelaporan Insiden Keselamatan ICT” mengenainya bolehlah 

dirujuk. 

0403 Pendidikan 

Objektif: Meningkatkan pengetahuan dan kesedaran 

mengenai kepentingan keselamatan ICT. 

040301 Program Kesedaran Keselamatan ICT 


Setiap pengguna di MATRADE perlu diberikan program 

kesedaran, latihan atau kursus mengenai keselamatan ICT dan 

menangani insiden keselamatan ICT yang mencukupi secara 

berterusan dalam melaksanakan tugas-tugas dan 

tanggungjawab mereka. 

ICTSO 

13


PERKARA 05 KESELAMATAN FIZIKAL 

TANGGUNGJAWAB 

0501 Keselamatan Kawasan 

Objektif : 

Mencegah akses fizikal yang tidak dibenarkan, 

kerosakan dan gangguan kepada premis dan 

maklumat. 

050101 Perimeter Keselamatan Fizikal 

Keselamatan fizikal adalah bertujuan untuk menghalang, 

mengesan dan mencegah cubaan untuk menceroboh. 

Langkah-langkah keselamatan fizikal tidak terhad kepada 

langkah-langkah berikut : 

CIO, ICTSO dan 

BKP 

(a) Kawasan keselamatan fizikal hendaklah dikenal pasti 

dengan jelas. Lokasi dan keteguhan keselamatan fizikal 

hendaklah bergantung kepada keperluan untuk melindungi 

aset dan hasil penilaian risiko; 

(b) memperkukuhkan tingkap dan pintu serta dikunci untuk 

mengawal kemasukan; 

(c) Memperkukuhkan dinding dan siling; 

(d) Menghadkan jalan keluar masuk; 

(e) Mengadakan kaunter kawalan; 

(f) Menyediakan tempat atau bilik khas untuk pelawatpelawat; 

(g) Mewujudkan perkhidmatan kawalan keselamatan; dan 

(h) Kawalan keluar masuk dengan menggunakan sistem 

imbasan biometrik. 

050102 Kawalan Masuk Fizikal 

(a) Setiap pengguna MATRADE hendaklah memakai pas 

pengenalan sepanjang waktu bertugas; 

Semua 

(b) Semua pas pengenalan hendaklah diserahkan balik 

kepada MATRADE apabila pengguna berhenti, bertukar 

pejabat atau bersara; 

(c) Kehilangan pas pengenalan mestilah dilaporkan dengan 

segera; 

14

(d) Setiap pelawat hendaklah mendaftar di dalam buku 

pelawat di tingkat yang dilawati terlebih dahulu; 

(e) Hanya pengguna yang diberi kebenaran sahaja boleh 

mencapai atau menggunakan aset ICT MATRADE; 

050103 Kawasan Larangan 


Kawasan larangan ditakrifkan sebagai kawasan yang dihadkan 

kemasukan pegawai-pegawai yang tertentu sahaja. Ini 

dilaksanakan untuk melindungi aset ICT yang terdapat di dalam 

kawasan tersebut. 

Semua 

(a) Kawasan larangan di MATRADE adalah: 

i. Bilik Ketua Eksekutif; 

ii. 

iii. 

iv. 

Bilik Timbalan-timbalan Ketua Eksekutif; 

Bilik server; 

Bilik kebal; dan 

v. Bilik Unit Perolehan. 

(b) Akses kepada bilik-bilik tersebut hanyalah kepada 

pegawai- pegawai yang diberi kuasa sahaja; 

(c) Pihak Ketiga adalah dilarang sama sekali untuk memasuki 

kawasan larangan kecuali, bagi kes-kes tertentu seperti 

memberi perkhidmatan sokongan atau bantuan teknikal, 

serta mereka hendaklah diiringi sepanjang masa sehingga 

tugas di kawasan berkenaan selesai; dan 

(d) Semua penggunaan peralatan yang melibatkan 

penghantaran, kemas kini dan penghapusan maklumat 

rahsia rasmi hendaklah dikawal dan mendapat kebenaran 

daripada Ketua Eksekutif MATRADE atau pegawai yang 

diberi kuasa olehnya. 

050104 Kawasan Larangan Lokasi ICT 

Kawasan larangan lokasi ICT di MATRADE adalah Pusat 

Data. Kawasan ini mestilah dilindungi daripada sebarang 

ancaman, kelemahan dan risiko seperti pencerobohan, 

kebakaran dan bencana alam. Kawalan keselamatan ke 

atas premis tersebut adalah seperti berikut: 

Semua 

15

(a) sumber data atau server, peralatan komunikasi dan 

storan perlu ditempatkan di pusat data, bilik server 

atau bilik khas yang mempunyai ciri-ciri keselamatan 

yang tinggi termasuk sistem pencegah kebakaran; 

(b) akses adalah terhad kepada warga MATRADE yang 

telah diberi kuasa sahaja dan dipantau pada setiap 

masa. Pihak ketiga perlu mendaftar; 

(c) pemantauan dibuat menggunakan Closed-Circuit 

Television (CCTV) kamera atau lain-lain peralatan 

yang sesuai; 

(d) peralatan keselamatan (CCTV, log akses) perlu 

diperiksa secara berjadual; 

(e) butiran pelawat yang keluar masuk ke kawasan 

larangan perlu direkodkan; 


(f) 

pelawat yang dibawa masuk mesti diawasi oleh 

pegawai yang bertanggungjawab di sepanjang 

tempoh di lokasi berkaitan; 

(g) lokasi premis ICT hendaklah tidak berhampiran 

dengan kawasan pemunggahan dan laluan awam; 

(h) memperkukuhkan tingkap dan pintu serta dikunci 

untuk mengawal kemasukan; 

(i) 

(j) 

memperkukuhkan dinding dan siling; dan 

menghadkan jalan keluar masuk; 

(k) 

penghawa dingin mestilah berfungsi dengan baik di 

mana suhunya adalah bersesuaian. 

0502 Keselamatan Peralatan 

Objektif : 

Melindung peralatan dan maklumat. 

050201 Perkakasan 

Secara umumnya peralatan ICT hendaklah dijaga dan dikawal 

dengan baik supaya boleh digunakan bila perlu: 

Semua 

16


(a) 

(b) 

(c) 

(d) 

(e) 

(f) 

(g) 

(h) 

(i) 

(j) 

Setiap pengguna hendaklah menyemak dan memastikan 

semua perkakasan ICT di bawah kawalannya berfungsi 

dengan sempurna; 

Semua perkakasan hendaklah disimpan atau diletakkan di 

tempat yang teratur, bersih dan mempunyai ciri-ciri 

keselamatan; 

Setiap pengguna adalah bertanggungjawab di atas 

kerosakan atau kehilangan perkakasan ICT di bawah 

kawalannya; 

Setiap pengguna tidak dibenarkan membuat sebarang 

pertukaran perkakasan dan konfigurasi yang telah 

ditetapkan; 

Semua peralatan yang digunakan secara berterusan 

mestilah diletakkan di kawasan yang berhawa dingin dan 

mempunyai pengudaraan yang sesuai; 

Pengguna dilarang membuat instalasi sebarang perisian 

tambahan tanpa kebenaran Pentadbir Sistem ICT; 

Peralatan ICT yang hilang hendaklah dilaporkan kepada 

ICTSO dan Pegawai Aset dengan segera; 

Pengendalian peralatan ICT hendaklah mematuhi dan 

merujuk kepada peraturan semasa yang berkuatkuasa; 

Peralatan ICT yang hendak dibawa keluar dari MATRADE 

perlulah direkodkan bagi tujuan pemantauan; dan 

Pengguna mesti memastikan perisian antivirus di komputer 

peribadi sentiasa aktif (activated) dan dikemaskini di 

samping melakukan imbasan ke atas media storan yang 

digunakan. 

050202 Sistem Dokumentasi dan Dokumen 

Bagi memastikan integriti maklumat, langkah-langkah 

pengurusan sistem dokumentasi dan dokumen yang baik dan 

selamat seperti berikut hendaklah dipatuhi: 

Semua 

(a) memastikan sistem dokumentasi atau dokumen-dokumen 

rasmi disimpan dengan selamat; 

17

(b) menggunakan tanda atau label keselamatan seperti Rahsia 

Besar, Rahsia, Sulit, Terhad dan Terbuka kepada dokumen 

terperingkat; 

(c) menggunakan penyulitan (encryption) ke atas dokumen 

terperingkat yang disediakan dan dihantar secara 

elektronik; 

(d) pergerakan fail dan dokumen terperingkat hendaklah 

direkodkan dan perlulah mengikut Arahan Keselamatan : 

Keselamatan Dokumen di Para I Pengurusan Dokumen 

Terperingkat; 

(e) kehilangan dan kerosakan ke atas semua jenis dokumen 

perlu dimaklumkan mengikut prosedur Arahan 

Keselamatan; dan 

(f) memastikan dokumen yang mengandungi bahan atau 

maklumat sensitif diambil segera dari pencetak, pengimbas, 

mesin faksimile dan mesin photostat. 

050203 Media Storan 


Keselamatan media storan perlu diberi perhatian khusus kerana 

ianya berupaya menyimpan maklumat yang besar. Langkahlangkah 

pencegahan seperti berikut hendaklah diambil untuk 

memastikan kerahsiaan, integriti dan kebolehsediaan maklumat 

yang disimpan dalam media storan termasuk media storan 

mudah alih seperti komputer riba, tablet, telefon pintar, kamera 

digital, thumb drive, external hard disk, disket, cakera padat (CD 

dan DVD), memory card dan pita magnetik: 

Semua 

(a) mewujudkan kaedah atau prosedur kawalan penggunaan 

dan pelupusan media storan; 

(b) media storan yang diperolehi adalah digunakan untuk 

tujuan rasmi sahaja; 

(c) setiap media storan perlulah dilabelkan untuk memudahkan 

pengecaman hak milik; 

(d) media storan yang mengandungi maklumat terperingkat 

atau sensitif hendaklah disimpan di tempat yang selamat 

dan dilindungi pada setiap masa. Bagi fail yang 

diklasifikasikan sebagai Rahsia/Sulit, pengguna hendaklah 

membuat penyulitan (encryption) dengan cara 

18

mewujudkan kata laluan bagi fail-fail tersebut atau 

menyimpan fail-fail tersebut di dalam folder yang disulitkan 

(encrypted); 

(a) pengguna dilarang membawa keluar atau memberi media 

storan yang mengandungi maklumat rahsia rasmi kepada 

orang lain untuk mengelakkan daripada berlakunya 

kebocoran rahsia; 

(b) pengguna dikehendaki memulangkan semula media storan 

kepada pihak pengurusan MATRADE sekiranya bertukar 

atau berpindah; 

(c) pergerakan media storan hendaklah direkodkan; 

(d) sebarang kehilangan media storan yang berlaku hendaklah 

dilaporkan mengikut Perkara 040201 Pelaporan Insiden. 

050204 Public Cloud Storage 

(a) Hanya Maklumat Terbuka sahaja boleh disimpan di dalam 

public cloud storage seperti Dropbox, Amazon, Google 

Drive; dan 

(b) Aplikasi public cloud storage client hendaklah diputuskan 

dari talian selepas digunakan; 


050205 Kabel 

Kabel komputer hendaklah dilindung kerana boleh menjadi 

punca kepada pendedahan maklumat. Langkah-langkah 

keselamatan yang perlu diambil adalah seperti berikut : 

ICTSO dan 


ICT 

(a) Menggunakan kabel yang mengikut spesifikasi yang telah 

ditetapkan; 

(b) Melindungi kabel daripada kerosakan yang disengajakan 

atau tidak disengajakan; 

(c) Melindungi laluan pemasangan kabel sepenuhnya bagi 

mengelakkan ancaman kerosakan dan wiretapping; 

(d) Semua kabel perlu dilabelkan dengan jelas dan mestilah 

melalui trunking bagi memastikan keselamatan kabel 

daripada kerosakan dan pintasan maklumat. 

19


050206 Penyelenggaraan 

Perkakasan hendaklah diselenggarakan dengan betul bagi 

memastikan kebolehsediaan dan integriti. 

Semua 

(a) Semua perkakasan yang diselenggarakan hendaklah 

mematuhi spesifikasi pengeluar yang telah ditetapkan; 

(b) Perkakasan hanya boleh diselenggarakan oleh kakitangan 

atau pihak yang dibenarkan sahaja; 

(c) Semua perkakasan hendaklah disemak dan diuji sebelum 

dan selepas proses penyelenggaraan dilakukan; dan 

(d) Pihak pengguna yang terjejas perlu dimaklumkan sebelum 

melaksanakan penyelenggaraan mengikut jadual yang 

ditetapkan atau atas keperluan. 

050207 Peminjaman Perkakasan Untuk Kegunaan Di Luar 

Pejabat 

Perkakasan yang dipinjam untuk kegunaan di luar pejabat 

adalah terdedah kepada pelbagai risiko. Aktiviti peminjaman 

dan pemulangan perkakasan ICT mestilah direkodkan dan 

mengikut Peraturan-peraturan Perakaunan & Kewangan 

MATRADE untuk menjamin keselamatan perkakasan. 

Dokumen perlulah dipadam sepenuhnya sebelum pemulangan 

perkakasan dibuat. 

Semua 

Pengguna 

050208 Peralatan di Luar Premis 

Bagi perkakasan yang dibawa keluar dari premis MATRADE, 

langkah-langkah keselamatan hendaklah diadakan dengan 

mengambil kira risiko yang wujud di luar kawalan MATRADE: 

Semua 

(a) Peralatan perlu dilindungi dan dikawal sepanjang masa; 

dan 

(b) Penyimpanan atau penempatan peralatan mestilah 

mengambil kira ciri-ciri keselamatan yang bersesuaian. 

050209 Pelupusan 

Perkakasan dan dokumen yang hendak dilupuskan perlu 

melalui proses pelupusan semasa. Pelupusan perkakasan dan 

Semua 

20

dokumen ICT perlu dilakukan secara terkawal dan lengkap 

supaya maklumat tidak terlepas dari kawalan MATRADE: 


(a) 

(b) 

Semua kandungan peralatan ICT termasuk maklumat 

rahsia rasmi hendaklah dihapuskan terlebih dahulu 

sebelum dilupuskan; 

Sekiranya maklumat perlu disimpan, maka pengguna 

bolehlah membuat pemindahan ke medium lain; 

(c) Pelupusan perkakasan (bukan aset) dan dokumen 

hendaklah dihapuskan dengan teratur dan selamat 

mengikut prosedur keselamatan seperti mana Arahan 

Keselamatan, Arahan Teknologi Maklumat 2007 dan 

tatacara Jabatan Arkib Negara samada melalui 

shredding, grinding, degauzing, pembakaran atau lain-lain 

kaedah yang bersesuaian; 

(d) 

Maklumat lanjut pelupusan bolehlah merujuk kepada 

Tatacara Pengurusan Aset Alih MATRADE. 

050210 Clear Desk dan Clear Screen 

Semua maklumat dalam apa jua bentuk media hendaklah 

disimpan dengan teratur dan selamat bagi mengelakkan 

kerosakan, kecurian atau kehilangan. Clear Desk bermaksud 

tidak meninggalkan bahan-bahan yang sensitif terdedah sama 

ada atas meja atau di paparan skrin: 

Semua 

(a) Gunakan kemudahan password screen saver atau log 

keluar apabila meninggalkan komputer termasuk 

komputer gunasama; 

(b) Bahan-bahan sensitif hendaklah disimpan dalam laci atau 

kabinet fail yang berkunci. 

0503 Keselamatan Persekitaran 

Objektif: 

Melindungi aset ICT MATRADE dari sebarang bentuk 

ancaman persekitaran yang disebabkan oleh 

bencana alam, kesilapan, kecuaian atau 

kemalangan. 

21


050301 Kawalan Persekitaran 

Bagi menghindarkan kerosakan dan gangguan terhadap aset 

ICT dan menjamin keselamatan persekitaran, langkah-langkah 

berikut hendaklah diambil : 

Semua 

(a) 

Merancang dan menyediakan pelan keseluruhan susun 

atur pusat data, bilik percetakan, peralatan komputer dan 

ruang atur pejabat dan sebagainya dengan teliti; 

(b) Semua ruang pejabat khususnya kawasan yang 

mempunyai kemudahan ICT hendaklah dilengkapi 

dengan perlindungan keselamatan yang mencukupi dan 

dibenarkan, seperti alat pencegah kebakaran dan pintu 

kecemasan; 

(c) 

(d) 

(e) 

(f) 

(g) 

Peralatan perlindungan keselamatan hendaklah dipasang 

di tempat yang bersesuaian, mudah dikenali dan 

dikendalikan; 

Bahan mudah terbakar hendaklah disimpan di luar 

kawasan kemudahan penyimpanan aset ICT; 

Semua bahan cecair hendaklah diletakkan di tempat 

yang bersesuaian dan berjauhan dari aset ICT; 

Pengguna adalah dilarang merokok atau menggunakan 

peralatan memasak seperti cerek elektrik berhampiran 

peralatan komputer; dan 

Semua peralatan perlindungan hendaklah disemak dan 

diuji sekurang-kurangnya dua (2) kali dalam setahun. 

Aktiviti dan keputusan ujian ini perlu direkodkan bagi 

memudahkan rujukan dan tindakan sekiranya perlu. 

050302 Bekalan Kuasa 

(a) Semua perkakasan ICT hendaklah dilindungi dari 

kegagalan bekalan elektrik dan bekalan yang sesuai 

hendaklah disalurkan kepada perkakasan; 

Pengarah ICT, 

ICTSO, Pentadbir 

Sistem ICT dan BKP 

(b) 

Peralatan sokongan seperti UPS (Uninterruptable Power 

Supply) dan penjana (generator) boleh digunakan bagi 

perkhidmatan kritikal seperti di bilik server supaya 

mendapat bekalan kuasa berterusan; dan 

22


(c) 

Semua peralatan sokongan bekalan kuasa hendaklah 

disemak dan diuji secara berjadual. 

050303 Prosedur Kecemasan 

Setiap pengguna hendaklah membaca, memahami dan 

mematuhi prosedur kecemasan yang berkuat kuasa dengan 

merujuk kepada Garis Panduan Keselamatan Kebakaran bagi 

Kerajaan dan Swasta. 

Semua 

23


PERKARA 06 PENGURUSAN OPERASI DAN KOMUNIKASI 

TANGGUNGJAWAB 

0601 Pengurusan Prosedur Operasi 

Objektif: Memastikan perkhidmatan dan pemprosesan 

maklumat dapat berfungsi dengan betul dan 

selamat. 

060101 Pengendalian Prosedur 

(a) 

(b) 

Semua prosedur pengurusan operasi dan keselamatan ICT 

yang di wujud, dikenal pasti dan masih diguna pakai 

hendaklah didokumenkan, disimpan dan dikawal; 

Setiap prosedur mestilah mengandungi arahan-arahan 

yang jelas, teratur dan lengkap dan hendaklah dikemas 

kini dari semasa ke semasa atau mengikut keperluan 

Semua 

060102 Kawalan Perubahan 

(a) Pengubahsuaian yang melibatkan perkakasan, sistem 

untuk pemprosesan maklumat, perisian, dan prosedur 

mestilah mendapat kebenaran daripada pegawai yang 

bertanggungjawab terlebih dahulu; 

Semua 

(b) Aktiviti-aktiviti seperti memasang, menyelenggara, 

menghapus dan mengemas kini mana-mana komponen 

sistem ICT hendaklah dikendalikan oleh pihak atau 

pegawai yang diberi kuasa dan mempunyai pengetahuan 

atau terlibat secara langsung dengan aset ICT berkenaan; 

(c) Semua aktiviti pengubahsuaian komponen sistem ICT 

hendaklah mematuhi spesifikasi perubahan yang telah 

ditetapkan; dan 

(d) Semua aktiviti perubahan atau pengubahsuaian 

hendaklah direkod dan dikawal bagi mengelakkan 

berlakunya ralat sama ada secara sengaja atau pun tidak. 

060103 Prosedur Pengurusan Insiden Keselamatan ICT 

Bagi memastikan tindakan menangani insiden keselamatan ICT 

diambil dengan cepat, teratur dan berkesan, prosedur 

CIO, Pengarah 

ICT, ICTSO, 

24


pengurusan insiden adalah berpandukan Pekeliling Am 

Bilangan 1 Tahun 2001 bertajuk “Mekanisme Pelaporan Insiden 

Keselamatan Teknologi Maklumat dan Komunikasi (ICT)”. 


ICT 

Insiden-insiden keselamatan ICT seperti berikut hendaklah 

dilaporkan kepada ICTSO, CERT MATRADE dan CERT MITI 

dengan kadar segera: 

(a) Maklumat didapati hilang, didedahkan kepada 

pihak-pihak yang tidak diberi kuasa atau, disyaki 

hilang atau didedahkan kepada pihak-pihak yang 

tidak diberi kuasa; 

(b) Sistem maklumat digunakan tanpa kebenaran atau 

disyaki sedemikian; 

(c) Kata laluan atau mekanisme kawalan akses hilang, 

dicuri atau didedahkan, atau disyaki hilang, dicuri 

atau didedahkan; 

(d) Berlaku kejadian sistem yang luar biasa seperti 

kehilangan fail, sistem kerap kali gagal dan 

komunikasi tersalah hantar; dan 

(e) Berlaku percubaan menceroboh, penyelewengan 

dan insiden-insiden yang tidak dijangka. 

0602 Perancangan dan Penerimaan Sistem 

Objektif: Meminimumkan risiko yang menyebabkan 

gangguan atau kegagalan sistem. 

060201 Perancangan Kapasiti 

(a) Kapasiti sesuatu komponen atau sistem ICT hendaklah 

dirancang, diurus dan dikawal dengan teliti oleh pegawai 

yang bertanggungjawab bagi memastikan keperluannya 

adalah mencukupi dan bersesuaian untuk pembangunan 

dan kegunaan sistem ICT pada masa akan datang; dan 


ICT 

(b) Keperluan kapasiti ini juga perlu mengambil kira ciri-ciri 

keselamatan ICT bagi meminimumkan risiko seperti 

25

gangguan pada perkhidmatan dan kerugian akibat 

pengubahsuaian yang tidak dirancang. 

060202 Penerimaan Sistem 


Semua sistem baru (termasuklah sistem yang dikemas kini atau 

diubahsuai) hendaklah memenuhi kriteria yang ditetapkan 

sebelum diterima atau dipersetujui. 


ICT 

0603 Perisian Berbahaya 

Objektif: Melindungi integriti perisian dan maklumat 

daripada pendedahan atau kerosakan yang 

disebabkan oleh perisian berbahaya seperti virus 

dan trojan. 

060301 Perlindungan dari Perisian Berbahaya 

(a) Memasang sistem keselamatan untuk mengesan perisian 

atau program berbahaya seperti anti virus, Intrusion 

Detection System (IDS) dan Intrusion Prevention System (IPS) 

mengikut prosedur penggunaan yang betul dan selamat; 


ICT 

(b) Memasang dan menggunakan hanya perisian yang tulen, 

berdaftar dan dilindungi di bawah mana-mana undangundang 

bertulis yang berkuatkuasa; 

(c) Mengimbas semua perisian atau sistem dengan anti virus 

sebelum menggunakannya; 

(d) Mengemas kini anti virus dengan pattern anti virus yang 

terkini; 

(e) Menyemak kandungan sistem atau maklumat secara 

berkala bagi mengesan aktiviti yang tidak diingini seperti 

kehilangan dan kerosakan maklumat; 

(f) Memasukkan klausa tanggungan di dalam mana-mana 

kontrak yang telah ditawarkan kepada pembekal perisian. 

Klausa ini bertujuan untuk tuntutan baik pulih sekiranya 

perisian tersebut mengandungi program berbahaya; dan 

(g) Memberi amaran mengenai ancaman keselamatan ICT 

seperti serangan virus kepada pengguna. 

26


0604 Pengurusan Backup dan Log 

Objektif: 

Melindungi integriti maklumat dan perkhidmatan 

komunikasi agar boleh diakses pada bila-bila masa. 

060401 Backup 

Bagi memastikan sistem dapat dibangunkan semula setelah 

berlakunya bencana atau insiden keselamatan, salinan backup 

seperti yang dibutirkan hendaklah dilakukan mengikut prosedur 

yang ditetapkan: 


ICT 

(a) Salinan backup hendaklah direkodkan dan disimpan di 

lokasi berlainan dan selamat; 

(b) Membuat salinan keselamatan ke atas semua sistem 

perisian dan aplikasi sekurang-kurangnya sekali atau 

setelah mendapat versi terbaru; 

(c) Membuat salinan backup ke atas semua data dan 

maklumat mengikut keperluan operasi. Kekerapan backup 

bergantung pada tahap kritikal maklumat; 

(d) Menguji sistem backup sedia ada bagi memastikan ianya 

dapat berfungsi dengan sempurna, boleh dipercayai dan 

berkesan apabila digunakan khususnya pada waktu 

kecemasan; 

060402 Sistem Log 

(a) Mewujudkan sistem log bagi merekodkan semua aktiviti 

harian pengguna. 


ICT 

(b) Menyemak sistem log secara berkala bagi mengesan ralat 

yang menyebabkan gangguan kepada sistem dan 

mengambil tindakan membaik pulih dengan segera; dan 

(c) Sekiranya wujud aktiviti-aktiviti tidak sah seperti kecurian 

maklumat, pencerobohan atau penyalahgunaan, 

hendaklah dilaporkan dengan segera kepada ICTSO. 

0605 Pengurusan Rangkaian 

Objektif: Melindungi maklumat dalam rangkaian dan 

infrastruktur sokongan. 

27


060501 Kawalan Infrastruktur Rangkaian 

Infrastruktur Rangkaian mestilah dikawal dan diuruskan sebaik 

mungkin demi melindungi ancaman kepada sistem dan aplikasi 

di dalam rangkaian. 

(a) sebarang server yang dimasukkan ke dalam sistem 

rangkaian MATRADE perlu diletakkan di dalam zon yang 

bersesuaian seperti berikut: 

Pengarah ICT, 


Sistem ICT 

i) DMZ – menempatkan server yang mempunyai 

capaian terus daripada pengguna, seperti server web 

dan emel 

ii) 

Secured – menempatkan server pangkalan data. 

(b) capaian secara jarak jauh (remote access) kepada server 

di dalam zon Secured adalah tidak dibenarkan, kecuali 

bagi Pentadbir Sistem ICT untuk tujuan pentadbiran sistem; 

(c) capaian secara jarak jauh (remote access) ke dalam sistem 

rangkaian MATRADE oleh Pihak Ketiga, seperti pembekal 

adalah tidak dibenarkan kecuali dengan kebenaran ICTSO; 

(d) semua perisian sniffer atau network analyser atau perisian 

seumpama dengannya adalah dilarang dipasang pada 

komputer pengguna kecuali mendapat kebenaran ICTSO; 

(e) sebarang penyambungan rangkaian yang bukan di bawah 

kawalan MATRADE hendaklah mendapat kebenaran ICTSO. 

(f) Peralatan rangkaian hendaklah diletakkan di lokasi yang 

mempunyai ciri-ciri fizikal yang kukuh dan bebas dari risiko 

seperti banjir, gegaran dan habuk. 

(g) Capaian kepada peralatan rangkaian hendaklah dikawal 

dan terhad kepada pengguna yang dibenarkan sahaja. 

Semua 

Semua 

Semua 

Semua 


ICT 


ICT 

060502 Wireless 

Langkah-langkah minimum perlu dilaksanakan bagi 

memperkukuh kawalan keselamatan sistem rangkaian tanpa 

wayar adalah berpandukan Surat KSN bertarikh 20 Oktober 

2006: Langkah-Langkah Untuk Memperkukuhkan Keselamatan 

Rangkaian Setempat Tanpa Wayar (Wireless Local Area 

Network) Di Agensi-Agensi Kerajaan termasuk berikut: 

Semua 

28

(a) Menggunakan enkripsi dan network key yang kukuh 

dengan kombinasi pelbagai karakter ke atas wireless 

access point (AP); 

(b) Kerap menukar kata laluan atau network key; 

(c) Kawalan penggunaan MAC Address; 

(d) Pengukuhan struktur rangkaian setempat boleh 

dilaksanakan seperti berikut: 

i. merekabentuk sistem rangkaian setempat supaya 

akses menerusi wireless access point (AP) perlu 

melalui tapisan keselamatan yang sewajarnya. 

Borang Pendaftaran Wireless adalah seperti 

Lampiran 3; dan 


ii. 

merekabentuk kawalan capaian menggunakan 

pengenalan pengguna (user authentication) 

melalui penggunaan Radius Server. 

0606 Keselamatan Komunikasi 

Objektif: 

Melindungi aset ICT melalui sistem komunikasi yang 

selamat. 

060601 Internet 

(a) 

(b) 

(c) 

Kemudahan Internet hendaklah digunakan untuk tujuan 

rasmi sahaja; 

Laman yang dilayari hendaklah hanya yang berkaitan 

dengan bidang kerja; 

Bahan yang diperoleh dari Internet hendaklah ditentukan 

ketepatan dan kesahihannya. Sebagai amalan baik, 

rujukan sumber Internet hendaklah dinyatakan; 

Semua 

(d) Bahan rasmi hendaklah disemak dan mendapat 

pengesahan daripada Pengarah Kanan atau Pengarah 

bahagian berkenaan sebelum dimuat naik ke Internet; 

(e) 

Semua pengguna adalah dilarang melakukan aktivitiaktiviti 

yang melanggar tatacara penggunaan Internet 

seperti: 

i. Melawat laman web yang tidak beretika seperti 

laman web lucah atau setaraf dengannya. 

29

ii. Memuat naik, memuat turun, menyimpan dan 

menggunakan perisian tidak berlesen. 

iii. Menyedia, memuat naik, memuat turun dan 

menyimpan maklumat Internet yang melibatkan 

sebarang pernyataan fitnah atau hasutan yang 

boleh memburuk dan menjatuhkan individu, 

organisasi atau Kerajaan. 

iv. Memuat turun, menyimpan dan menggunakan 

perisian berbentuk hiburan atas talian seperti 

permainan elektronik, video, lagu dan perjudian. 

v. Melakukan sebarang aktiviti yang mengganggu 

sistem rangkaian MATRADE. 


(f) 

Maklumat lanjut mengenai keselamatan Internet bolehlah 

merujuk kepada Pekeliling Kemajuan Pentadbiran Awam 

Bilangan 1 Tahun 2003 bertajuk “Garis Panduan Mengenai 

Tatacara Penggunaan Internet dan Mel Elektronik di 

Agensi-agensi Kerajaan”. 

060602 Mel Elektronik 

(a) Akaun atau alamat mel elektronik (e-mel) yang 

diperuntukkan oleh MATRADE sahaja boleh digunakan 

untuk tujuan rasmi. Penggunaan akaun milik orang lain 

atau akaun yang dikongsi bersama adalah dilarang; 

Semua 

(b) Memastikan subjek dan kandungan e-mel adalah 

berkaitan dan menyentuh perkara perbincangan yang 

sama sebelum penghantaran dilakukan; 

(c) Penghantaran e-mel rasmi hendaklah menggunakan 

akaun e-mel rasmi dan pastikan alamat e-mel penerima 

adalah betul; 

(d) Pengguna hendaklah mengelak dari membuka e-mel 

daripada penghantar yang tidak diketahui atau diragui; 

(e) Pengguna hendaklah mengenal pasti dan mengesahkan 

identiti pengguna yang berkomunikasi dengannya 

sebelum meneruskan transaksi maklumat melalui e-mel; 

30


(f) 

Setiap e-mel rasmi yang dihantar atau diterima hendaklah 

difailkan mengikut tatacara pengurusan sistem fail 

MATRADE dan Bahagian masing-masing; 

(g) E-mel yang tidak penting dan tidak mempunyai nilai arkib 

yang telah diambil tindakan dan tidak diperlukan lagi 

bolehlah dihapuskan; 

(h) Pengguna hendaklah menentukan tarikh dan masa sistem 

komputer adalah tepat; 

(i) 

(j) 

(k) 

(l) 

Dilarang menghantar dan menyimpan e-mel yang 

mempunyai unsur-unsur politik, hasutan, perkauman, 

ancaman, bahan-bahan lucah dan sebarang maklumat 

yang tiada hubungkait dengan tugas dan 

tanggungjawab, yang mana kesannya boleh 

memudaratkan nama baik MATRADE, Perkhidmatan 

Awam dan negara; 

Penghantaran maklumat terperingkat bertaraf RAHSIA 

BESAR atau RAHSIA melalui e-mel adalah tidak dibenarkan. 

Penghantaran maklumat terperingkat SULIT atau TERHAD 

perlu menggunakan kaedah encryption atau kepilan fail 

yang mempunyai katalaluan. Katalaluan hendaklah 

dihantar kepada penerima secara berasingan, sebaikbaiknya 

menggunakan medium yang berbeza; 

Penghantaran maklumat antara ibu pejabat dengan 

pejabat cawangan atau pejabat luar negara digalakkan 

menggunakan kaedah encryption; 

Dilarang melanggan kepada mana-mana mailing list atau 

e-group yang tiada kaitan dengan tugas dengan 

menggunakan akaun e-mel; 

(m) Penghantaran e-mel berserta kepilan (attachment) telah 

dihadkan kepada maksimum 10 MB sahaja; 

(n) Penghantaran maklumat rasmi melalui free web-based 

mail (seperti e-mel Hotmail atau Yahoo!) adalah dilarang 

melainkan atas sebab-sebab tertentu yang dibenarkan; 

(o) Segala akaun e-mel yang diberi bukan hak persendirian. 

Pegawai Keselamatan ICT (ICTSO) atau Pentadbir E-mel 

berhak mengakses e-mel individu dan mendedahkan 

31

maklumat kepada pihak-pihak yang tertentu atas sebabsebab 

keselamatan atau undang-undang negara; 

(p) Tatacara penggunaan e-mel adalah berpandukan 

kepada ”MATRADE’s E-mail Guideline”; dan 

(q) Maklumat lanjut mengenai keselamatan e-mel bolehlah 

merujuk kepada Pekeliling Kemajuan Pentadbiran Awam 

Bilangan 1 Tahun 2003 bertajuk “Garis Panduan Mengenai 

Tatacara Penggunaan Internet dan Mel Elektronik di 

Agensi-agensi Kerajaan”. 

060603 Media Sosial 


Media sosial seperti blog, Facebook, Youtube, Instagram, Twitter 

dan WhatsApp menjadi rangkaian komunikasi yang meluas 

kepada segenap lapisan masyarakat pada masa kini. 

Semua 

Perkara-perkara yang perlu dipatuhi semasa penggunaan 

media sosial adalah: 

(a) Mengenal pasti objektif utama penggunaan media sosial; 

(b) Memastikan sebarang bentuk maklumat yang dikongsi 

melalui media sosial tidak menjejaskan perkhidmatan 

awam dan kedaulatan negara; 

(c) Tidak melibatkan penyebaran maklumat dan dokumen 

terperingkat; 

(d) Memastikan alamat emel dan kata laluan rasmi tidak 

digunakan dalam akaun peribadi media sosial; 

(e) Mengelakkan sama sekali daripada membenarkan 

individu lain menggunakan identiti dan kata laluan akaun 

penjawat awam; 

(f) 

Mengelakkan perkongsian maklumat peribadi daripada 

dimanipulasikan oleh pihak yang tidak bertanggung 

jawab; 

(g) Mengelakkan dari memuat turun aplikasi yang tidak 

diketahui tahap keselamatannya; 

(h) 

Pegawai awam dilarang menggunakan media sosial 

untuk tujuan peribadi semasa waktu pejabat samada 

menerusi peralatan komputer atau alat mudah alih yang 

dibekalkan oleh pejabat atau melalui peralatan peribadi 

32

kecuali di kawasan yang dibenarkan seperti Business 

Information Centre (BIC); 


(i) 

(j) 

Pegawai awam boleh menggunakan media sosial secara 

peribadi di luar waktu pejabat tetapi perlu berhati-hati 

supaya tidak mendedakan sebarang maklumat rasmi; 

Sebarang komen mengenai isu-isu yang melibatkan agensi 

atau yang berbentuk serangan peribadi hendaklah 

dielakkan; 

(k) Ketepatan dan sensitiviti maklumat yang ingin 

disampaikan hendaklah disemak terlebih dahulu sebelum 

dihantar; 

(l) 

Memastikan perkongsian dan penggunaan maklumat 

yang berkaitan dengan hak cipta dan harta intelek telah 

mendapat kebenaran daripada pihak yang berkenaan; 

(m) Sekiranya terdapat kesilapan pada sebarang maklumat 

yang telah dihebahkan, akui, buat pembetulan dan 

mohon maaf kepada pihak yang berkaitan secara terus 

dalam laman sosial yang terlibat. 

33


PERKARA 07 KAWALAN CAPAIAN 

TANGGUNGJAWAB 

0701 Dasar Kawalan Capaian 

Objektif : 

Memahami dan mematuhi keperluan keselamatan 

dalam mencapai dan menggunakan sistem ICT 


070101 Keperluan Kawalan 

Capaian kepada proses dan maklumat hendaklah dikawal 

mengikut keperluan keselamatan dan fungsi kerja pengguna 

yang berbeza. Ia perlu direkodkan, dikemas kini dan 

menyokong dasar kawalan capaian pengguna sedia ada. 

CIO, Pengarah 

ICT, ICTSO, 


ICT 

0702 Pengurusan Capaian Pengguna 

Objektif : 

Mengawal capaian pengguna ke atas aset ICT 


070201 Akaun Pengguna 

Pengguna adalah bertanggungjawab ke atas sistem ICT yang 

digunakan. Bagi mengenal pasti pengguna dan aktiviti yang 

dilakukan, langkah-langkah berikut hendaklah dipatuhi: 

Semua 

(a) 

capaian aset ICT MATRADE hanya boleh dilakukan melalui 

akaun yang diperuntukkan oleh Seksyen Teknologi 

Maklumat; 

(b) akaun pengguna mestilah unik dan hendaklah 

mencerminkan identiti pengguna; 

(c) 

akaun pengguna yang diwujud pertama kali akan diberi 

tahap capaian paling minimum iaitu mengikut tahap 

capaian yang ditentukan untuk jawatannya. Sebarang 

tambahan atau perubahan tahap capaian perlu melalui 

prosedur yang ditentukan; 

(d) pemilikan akaun pengguna bukanlah hak mutlak 

seseorang dan boleh ditarik balik jika penggunaannya 

melanggar peraturan; 

(e) 

penggunaan akaun milik orang lain atau akaun yang 

dikongsi bersama adalah dilarang kecuali dengan 

kebenaran pemilik akaun. Setiap pemilik akaun adalah 

34

ertanggungjawab ke atas akaun diperuntukkan 

kepadanya; dan 


(f) 

Pentadbir Sistem ICT boleh membeku dan menamatkan 

akaun pengguna atas sebab-sebab berikut; 

i. Pengguna bercuti panjang atau menghadiri kursus 

di luar pejabat dalam tempoh waktu melebihi 3 

bulan; 

ii. 

iii. 

iv. 

Bertukar bidang tugas kerja; 

Bertukar ke agensi lain; 

Bersara; atau 

v. Ditamatkan perkhidmatan. 

(g) 

Menjaga kerahsiaan kata laluan bagi akaun yang 

diperuntukkan dan mengamalkan panduan berikut: 

i. Kata laluan perlu diingat dan tidak dimaklumkan 

kepada siapa sahaja. Ia tidak perlu disalin pada 

mana-mana media; 

ii. 

iii. 

iv. 

Memilih kata laluan yang mempunyai kombinasi 

nombor, huruf (kecil dan besar) serta simbol 

(contohnya: 03ma7Rad&); 

Panjang kata laluan sekurang-kurangnya lapan 

huruf; 

Menukar kata laluan setiap 6 bulan sekali (disyorkan 

3 bulan sekali) atau selepas tempoh masa yang 

bersesuaian mengikut keperluan; 

v. Kata laluan hendaklah tidak dipaparkan semasa 

input, dalam laporan atau media lain dan tidak 

boleh dikodkan di dalam program; 

vi. Kata laluan hendaklah berlainan daripada 

pengenalan identiti pengguna; 

vii. 

Pengguna hendaklah menukar kata laluan apabila 

disyaki berlakunya kebocoran kata laluan atau 

dikompromi; 

35


070202 Jejak Audit 

Jejak audit akan merekodkan semua aktiviti sistem. Jejak audit 

juga adalah penting dan digunakan untuk tujuan penyiasatan 

sekiranya berlaku kerosakan atau penyalahgunaan sistem. 


ICT 

(a) Aktiviti jejak audit mengandungi: 

i. maklumat identiti pengguna, sumber yang digunakan, 

perubahan maklumat, tarikh dan masa aktiviti, 

rangkaian dan program yang digunakan; 

ii. aktiviti capaian pengguna ke atas sistem ICT sama ada 

secara sah atau sebaliknya; 

iii. maklumat aktiviti sistem yang tidak normal atau aktiviti 

yang tidak mempunyai ciri-ciri keselamatan; 

iv. merekod setiap aktiviti transaksi termasuk daftar, 

kemaskini dan padam data; 

(b) jejak audit hendaklah disimpan untuk tempoh masa seperti 

yang disarankan oleh Akta Arkib Negara; 

(c) Pentadbir Sistem ICT hendaklah menyemak catatan jejak 

audit dari semasa ke semasa dan menyediakan laporan jika 

perlu; dan 

(d) jejak audit juga perlu dilindungi dari kerosakan, kehilangan, 

penghapusan, pemalsuan dan pengubah suaian yang 

tidak dibenarkan. 

0703 Kawalan Capaian Sistem dan Aplikasi 

Objektif: 

Melindungi sistem maklumat dan aplikasi sedia ada 

dari sebarang bentuk capaian yang tidak 

dibenarkan yang boleh menyebabkan kerosakan 

atau penyalahgunaan. 

070301 Sistem Maklumat dan Aplikasi 

Capaian sistem dan aplikasi di MATRADE adalah terhad kepada 

pengguna dan tujuan yang dibenarkan. Bagi memastikan 

kawalan capaian sistem dan aplikasi adalah kukuh, langkahlangkah 

berikut hendaklah dipatuhi: 

Semua 

36

(a) pengguna hanya boleh menggunakan sistem maklumat 

dan aplikasi yang dibenarkan mengikut tahap capaian dan 

sensitiviti maklumat yang telah ditentukan; 

(b) aktiviti capaian sistem maklumat dan aplikasi hendaklah 

direkodkan (log) bagi mengesan aktiviti-aktiviti yang tidak 

diingini; 

(c) menghadkan capaian sistem dan aplikasi kepada tiga (3) 

kali percubaan. Sekiranya gagal, akaun atau kata laluan 

pengguna akan disekat dan untuk mengaktifkan akaun, 

pengguna perlu berhubung dengan IT Helpdesk; 

(d) logoff sistem aplikasi secara automatik apabila tiada aktiviti 

dalam tempoh tidak melebihi 30 minit atau mengikut 

sensitiviti data KECUALI dalam keadaan tertentu yang 

dibenarkan oleh ICTSO ; dan 

(e) capaian sistem maklumat dan aplikasi melalui jarak jauh 

adalah terhad kepada perkhidmatan yang dibenarkan 

sahaja. 

0704 Bring Your Own Device (BYOD) 

Objektif: Memastikan keselamatan maklumat semasa 

menggunakan peralatan BYOD di MATRADE. 

070401 Keperluan dan Kawalan Penggunaan BYOD 


Penggunaan BYOD yang disambungkan kepada rangkaian 

MATRADE sama ada menyimpan atau mengakses maklumat 

rasmi Kerajaan adalah tertakluk kepada perkara-perkara yang 

perlu dipatuhi seperti berikut: 

(a) Pengguna yang menggunakan BYOD untuk mencapai 

maklumat rasmi hendaklah memohon kebenaran 

daripada Pengarah Kanan/ Pengarah Bahagian; 

Semua 

(b) BYOD adalah dilarang daripada mencapai Maklumat 

Rahsia Rasmi dan dilarang sama sekali di bawa masuk ke 

Kawasan Larangan; 

(c) Pengguna perlu mengetahui risiko dan kesan penggunaan 

BYOD terhadap keselamatan maklumat; 

37

(d) Pengguna bertanggungjawab sepenuhnya ke atas 

sebarang insiden keselamatan yang berpunca daripada 

penggunaan BYOD; 


(e) Peralatan BYOD mestilah dilindungi oleh kata laluan; 

(f) 

Peralatan BYOD mestilah mengandungi anti virus; 

(g) Pengguna bertanggungjawab memastikan peralatan 

BYOD yang digunakan adalah tulen dan berlesen; 

(h) Maklumat rasmi perlu dihapuskan jika pegawai tidak lagi 

bertugas di MATRADE. 

38


PERKARA 08 PEMBANGUNAN DAN PENYELENGGARAAN SISTEM 

TANGGUNGJAWAB 

0801 Keselamatan Dalam Membangunkan Sistem dan 

Aplikasi 

Objektif : 

Memastikan sistem yang dibangunkan mempunyai 

ciri-ciri keselamatan ICT yang bersesuaian. 

080101 Keperluan Keselamatan 

(a) 

(b) 

(c) 

(d) 

Pembangunan sistem hendaklah mengambil kira kawalan 

keselamatan bagi memastikan tidak wujudnya sebarang 

ralat yang boleh mengganggu pemprosesan dan 

ketepatan maklumat; 

Ujian keselamatan hendaklah dijalankan ke atas sistem 

untuk memastikan integriti dan ketepatan data serta 

pemprosesan yang betul dan sempurna; 

Semua sistem yang dibangunkan sama ada secara 

dalaman atau sebaliknya hendaklah diuji terlebih dahulu 

bagi memastikan sistem berkenaan memenuhi keperluan 

keselamatan yang telah ditetapkan sebelum digunakan; 

Mekanisma kawalan keselamatan yang bersesuaian perlu 

dilaksanakan ke atas sistem yang dibangunkan 

berdasarkan tahap sensitiviti sistem tersebut. 

Pemilik sistem, 

Pengarah ICT, 


Sistem ICT 

0802 Kriptografi 

Objektif: 

Melindungi kerahsiaan, integriti dan kesahihan 

maklumat melalui kawalan kriptografi. 

080201 Penyulitan (Encryption) 

Pengguna hendaklah membuat penyulitan atau menggunakan 

kata laluan ke atas maklumat sensitif atau maklumat rahsia rasmi 

pada setiap masa. 

Semua 

080202 Tandatangan Digital 

Penggunaan tandatangan digital adalah berpandukan 

kepada Akta Tanda Tangan Digital 1997. 

Semua 

39


080203 Pengurusan Kunci Kriptografi 

Pengurusan kunci hendaklah dilakukan dengan berkesan dan 

selamat bagi melindungi kunci berkenaan dari diubah, 

dimusnah dan didedahkan sepanjang tempoh sah kunci 

tersebut. 

Semua 

0803 Fail Sistem 

Objektif: Memastikan supaya fail sistem dikawal dan 

dikendalikan dengan baik dan selamat. 

080301 Kawalan Fail Sistem 

(a) 

(b) 

(c) 

(d) 

(e) 

Proses pengemas kini fail sistem hanya boleh dilakukan 

oleh Pentadbir Sistem ICT atau pegawai yang berkenaan 

dan mengikut prosedur yang telah ditetapkan; 

Kod atau atur cara sistem yang telah dikemaskini hanya 

boleh dilaksanakan atau digunakan selepas diuji; 

Data ujian perlu dipilih dengan berhati-hati, dilindungi dan 

dikawal. Maklumat pengenalan peribadi tidak boleh 

digunakan sebagai data ujian; 

Mengawal capaian ke atas kod atau atur cara program 

bagi mengelakkan kerosakan, pengubah suaian tanpa 

kebenaran, penghapusan dan kecurian; dan 

Mengaktifkan audit log bagi merekodkan semua aktiviti 

pengemaskinian untuk tujuan statistik, pemulihan dan 

keselamatan. 


ICT 

0804 Pembangunan dan Proses Sokongan 

Objektif: Menjaga dan menjamin keselamatan sistem 

maklumat dan aplikasi. 

080401 Kawalan Perubahan 

Perkara-perkara yang perlu dipatuhi adalah seperti berikut: 

(a) Perubahan atau pengubahsuaian ke atas sistem 

maklumat dan aplikasi hendaklah dikawal, diuji, 

direkodkan dan disahkan sebelum diguna pakai. 


ICT 

40


(b) 

(c) 

Aplikasi kritikal perlu dikaji semula dan diuji apabila 

terdapat perubahan kepada sistem pengoperasian untuk 

memastikan tiada kesan yang buruk terhadap operasi dan 

keselamatan agensi. Individu atau suatu kumpulan 

tertentu perlu bertanggungjawab memantau 

penambahbaikan dan pembetulan yang dilakukan oleh 

pembekal; 

Menghalang sebarang peluang untuk membocorkan 

maklumat. 

080402 Pembangunan Perisian Secara Outsource 

Pembangunan perisian secara outsource perlu diselia dan 

dipantau oleh pemilik sistem. 

Kod sumber (source code) bagi semua aplikasi dan perisian 

adalah menjadi hak milik MATRADE. 

Seksyen Teknologi 

Maklumat dan 


ICT 

0805 Kawalan Teknikal Keterdedahan (Vulnerability) 

Objektif: Memastikan kawalan teknikal keterdedahan adalah 

berkesan, sistematik dan berkala dengan mengambil langkahlangkah 

yang bersesuaian untuk menjamin keberkesanannya. 

080501 Kawalan dari Ancaman Teknikal 

Kawalan teknikal keterdedahan ini perlu dilaksanakan ke atas 

system pengoperasian dan sistem aplikasi yang digunakan. 

Perkara yang perlu dipatuhi adalah seperti berikut: 

(a) Memperoleh maklumat teknikal keterdedahan yang tepat 

pada masanya ke atas sistem maklumat yang digunakan; 

(b) Menilai tahap pendedahan bagi mengenal pasti tahap 

risiko yang bakal dihadapi; dan 

(c) Mengambil langkah-langkah kawalan untuk mengatasi risiko 

berkaitan. 

41


PERKARA 09 PENGURUSAN KESINAMBUNGAN PERKHIDMATAN 

TANGGUNGJAWAB 

0901 Dasar Kesinambungan Perkhidmatan 

Objektif : Menjamin operasi perkhidmatan agar tidak 

tergendala dan penyampaian perkhidmatan yang 

berterusan kepada pelanggan. 

090101 Pelan Kesinambungan Perkhidmatan (Business 

Continuity Plan) 

(a) Pelan kesinambungan perkhidmatan hendaklah 

dibangunkan untuk menentukan pendekatan yang 

menyeluruh diambil bagi mengekalkan kesinambungan 

perkhidmatan MATRADE. 

CIO, Pengarah 

ICT, ICTSO 

(b) 

Senarai dokumen yang telah dibangunkan adalah seperti 

berikut: 

i. Corporate Business Continuity Plan (CBCP) 

ii. 

iii. 

iv. 

Emergency Response Plan (ERP) 

Crisis Communication Plan (CCP) 

IT Disaster Recovery Plan (ITDRP) 

v. Business Continuity Plan (BCP) 

vi. 

Incident Management Plan (for Regional/ TC 

Office) 

(c) 

Penilaian secara berkala hendaklah dilaksanakan untuk 

memastikan pelan tersebut bersesuaian dan memenuhi 

tujuan dibangunkan. 

090102 Salinan Pelan Kesinambungan Perkhidmatan 

(Business Continuity Plan) 

Salinan pelan BCM perlu disimpan di lokasi berasingan untuk 

mengelakkan kerosakan akibat bencana di lokasi utama. 

MATRADE hendaklah memastikan salinan pelan BCM sentiasa 

dikemaskini dan dilindungi seperti di lokasi utama. 

CIO, Pengarah ICT, 

ICTSO 

42

090103 Pengujian Pelan Kesinambungan Perkhidmatan 

(Business Continuity Plan) 


(a) Ujian pelan BCM hendaklah dijadualkan untuk memastikan 

semua ahli dalam pemulihan dan personel yang terlibat 

mengetahui mengenai pelan tersebut, tanggungjawab 

dan peranan mereka apabila pelan dilaksanakan. 

(b) Pelan BCM hendaklah diuji sekurang-kurangnya sekali 

setahun atau apabila terdapat perubahan dalam 

persekitaran atau fungsi bisnes untuk memastikan ia 

sentiasa kekal berkesan. 

CIO, Pengarah ICT, 

ICTSO 

43


PERKARA 10 PEMATUHAN 

TANGGUNGJAWAB 

1001 Pematuhan dan Keperluan Perundangan 

Objektif: Meningkatkan tahap keselamatan ICT bagi 

mengelak dari pelanggaran kepada Dasar 

Keselamatan ICT MATRADE. 

100101 Pematuhan Dasar 

Setiap pengguna di MATRADE hendaklah membaca, 

memahami dan mematuhi Dasar Keselamatan ICT MATRADE 

dan undang-undang atau peraturan-peraturan lain yang 

berkaitan. 

Semua 

Semua aset ICT di MATRADE termasuk maklumat yang disimpan 

di dalamnya adalah hak milik MATRADE dan Ketua Jabatan 

berhak untuk memantau aktiviti pengguna untuk mengesan 

penggunaan selain dari tujuan yang telah ditetapkan. 

100102 Kelangsungan Pematuhan Dasar 

Tanggungjawab setiap pengguna tidak akan terjejas walaupun 

tamat perkhidmatan dengan MATRADE. 

100103 Keperluan Perundangan 

(a) Berikut adalah keperluan perundangan atau peraturanperaturan 

lain berkaitan yang perlu dipatuhi oleh semua 

pengguna di MATRADE: 

Semua 

(b) Arahan Keselamatan; 

(c) Pekeliling Am Bilangan 3 Tahun 2000 bertajuk “Rangka 

Dasar Keselamatan Teknologi Maklumat dan Komunikasi 

Kerajaan”; 

(d) Malaysian Public Sector Management of Information and 

Communications Technology Security Handbook (MyMIS); 

(e) Pekeliling Am Bilangan 1 Tahun 2001 bertajuk “Mekanisme 

Pelaporan Insiden Keselamatan Teknologi Maklumat dan 

Komunikasi (ICT)”; 

(f) 

Pekeliling Kemajuan Pentadbiran Awam Bilangan 1 Tahun 

2003 bertajuk “Garis Panduan Mengenai Tatacara 

44

Penggunaan Internet dan Mel Elektronik di Agensi-agensi 

Kerajaan”; 

(g) Surat Pekeliling Am Bilangan 6 Tahun 2005 – Garis Panduan 

Penilaian Risiko Keselamatan Maklumat Sektor Awam; 

(h) Surat Pekeliling Am Bilangan 4 Tahun 2006 - Pengurusan 

Pengendalian insiden Keselamatan Teknologi Maklumat 

dan Komunikasi (ICT) Sektor Awam; 


(i) 

(j) 

Surat Arahan Ketua Setiausaha Negara – Langkah-langkah 

Untuk Memperkukuhkan Keselamatan Rangkaian 

Setempat Tanpa Wayar (Wireless Local Area Network) di 

Agensi-agensi Kerajaan bertarikh 20 Oktober 2006; 

Penerapan Etika Penggunaan Media Sosial dalam Sektor 

Awam; 

(k) Akta Tanda Tangan Digital 1997; 

(l) Akta Jenayah Komputer 1997; 

(m) Akta Hak Cipta (Pindaan) Tahun 1997; 

(n) Akta Komunikasi dan Multimedia 1998; 

(o) Arahan Teknologi Maklumat 2007; 

(p) Akta Perlindungan Data Peribadi 2010 (Akta 709) 

(q) MATRADE's E-mail Guideline; dan 

(r) 

Pekeliling-pekeliling, prosedur-prosedur dan garis panduan 

yang dikeluarkan dari semasa ke semasa. 

100104 Pelanggaran Dasar 

MATRADE berhak untuk mengambil tindakan berdasarkan 

peraturan-peraturan atau akta-akta yang berkuatkuasa 

sekiranya berlaku pelanggaran DKICT 

Semua 

Disediakan oleh; 

Seksyen Teknologi Maklumat 

MATRADE 

Pindaan November 2018 

45


DAFTAR ISTILAH 

Antivirus 

Aplikasi 

Aset ICT 

Backup 

Dasar 

Dokumentasi 

GCERT 

Perisian yang mengimbas virus pada media storan seperti 

disket, cakera padat, pita magnetik, optical disk, flash disk, 

CDROM, thumb drive untuk sebarang kemungkinan adanya 

virus. 

Merujuk kepada sistem berkomputer yang dibangunkan 

seperti MATRADE ONLINE atau diperoleh secara ready-made 

seperti Asset Management System (AMS) dan SAGA. 

Merangkumi perkakasan, perisian, perkhidmatan sokongan 

ICT, data atau maklumat dan sumber manusia. 

Proses penduaan sesuatu dokumen atau maklumat. 

Adalah polisi, iaitu rancangan tindakan yang telah dipersetujui 

secara rasmi sebagai asas untuk membuat atau 

melaksanakan sesuatu keputusan. 

Semua himpunan atau kumpulan bahan atau dokumen yang 

disimpan dalam bentuk media cetak, soft copy, elektronik, 

online, transparensi, risalah atau slaid. 

Government Computer Emergency Response Team atau 

Pasukan Tindak Balas Insiden Keselamatan ICT Kerajaan. 

Organisasi yang ditubuhkan untuk membantu agensi 

mengurus pengendalian insiden keselamatan ICT di agensi 

masing-masing dan agensi di bawah kawalannya. 

Insiden 

Keselamatan 

Musibah yang berlaku terhadap sistem maklumat dan 

komunikasi atau ancaman kemungkinan berlaku kejadian 

tersebut. 

Keselamatan 

Media Storan 

Pangkalan Data 

Keadaan yang bebas daripada ancaman dan risiko yang 

tidak boleh diterima. 

Perkakasan yang berkaitan dengan penyimpanan data dan 

maklumat seperti komputer riba, tablet, telefon pintar, kamera 

digital, thumb drive, external hard disk, disket, cakera padat 

(CD dan DVD), memory card dan pita magnetik. 

Kumpulan fail atau rekod komputer yang berkait secara logik. 

46


Perisian 

Perkakasan 

Virus 

Bahagian sistem komputer yang berfungsi menjalankan sistem, 

dan terdiri daripada atur cara, rutin, subrutin, dan suruhan 

yang ditulis dalam bahasa pengaturcaraan. Penghimpun, 

penyusun, penjana, dan sistem pengendalian digolongkan 

sebagai perisian. 

Komponen fizikal atau peralatan yang membentuk sistem 

komputer serta sistem rangkaian dan komunikasi seperti 

monitor, papan kekunci, unit pemprosesan (CPU), server, 

pencetak, pengimbas (scanner), stesen kerja (workstation), 

media storan dan seumpamanya. 

Atur cara yang bertujuan merosakkan data atau sistem aplikasi 

47


Lampiran 1 

SURAT AKUAN PEMATUHAN 


Nama (Huruf Besar) : ......................................................................................... 

No. Kad 

Pengenalan 

: ......................................................................................... 

Jawatan : ......................................................................................... 

Bahagian/ Unit : ......................................................................................... 

Peranan : ......................................................................................... 

Adalah dengan sesungguhnya dan sebenarnya mengaku bahawa: 

1. Saya telah membaca, memahami dan akur akan peruntukanperuntukan 

yang terkandung di dalam Dasar Keselamatan ICT 

MATRADE; dan 

2. Jika saya ingkar kepada peruntukan-peruntukan yang ditetapkan, 

maka tindakan sewajarnya boleh diambil ke atas diri saya. 

Tandatangan : ............................................... 

Tarikh : ............................................... 

Pengesahan Pegawai Keselamatan ICT 

................................................................... 

( ) 

b.p. Ketua Eksekutif MATRADE 

Tarikh : ............................... 

48


Lampiran 2 

BORANG LAPORAN KEHILANGAN DATA ELEKTRONIK 


Borang ini perlu diisi selepas perkakasan atau maklumat elektronik dipercayai hilang, 

didedahkan, disebarkan atau terdapat unsur-unsur yang sedemikian. Borang ini hendaklah 

dikemukakan melalui Unit Operasi dan Keselamatan IT dalam tempoh 24 jam untuk penilaian 

awal insiden. 

Nama : 

Gred / Jawatan : 

Unit / Seksyen : 

Bahagian : 

B.1 TARIKH HILANG: 

A. MAKLUMAT PEGAWAI YANG MELAPORKAN 

B. MAKLUMAT KEHILANGAN / KECURIAN 

B.2 JENIS DATA 

Data Fizikal 

□ Hardcopy 

Data Elektronik 

□ Dalam CD / DVD / Thumbdrive 

/ External Storage 

□ Dalam Komputer / Komputer 

Riba 

□ Dalam Server 

Nyatakan peralatan yang terlibat: 

(Nama fail, nombor aset, jenis peralatan 

dsb) 

Nyatakan samada peralatan 

dilindungi kata laluan atau tidak? 

□ Ya □ Tidak 

Kekuatan katalaluan 

□ Kuat □ Sederhana □ Lemah 

B.3 PUNCA KEHILANGAN : 

□ Kehilangan (Fizikal) 

□ Kecurian 

□ Kerosakan Peralatan / Perisian 

□ Virus / Aktiviti Hacking 

□ Lain-lain : (sebutkan) 

Nyatakan punca secara ringkas : 

B.4 LAPORAN POLIS 

Laporan Polis telah dibuat 

Tarikh Laporan : 

□ Ya □ Tidak 

49


C. PERINGKAT MAKLUMAT YANG TERLIBAT 

Jenis Maklumat 

Tahap 

Pelindungan 

C.1 RAHSIA BESAR 

i. Kertas / Dokumen Jemaah Menteri □ Ada □ Tiada □ Password 

ii. Surat Menyurat dengan Kerajaan Asing mengenai 

aspek perdagangan yang amat penting 

iii. Dokumen berkaitan strategi Perisikan dan 

□ Ada □ Tiada 


□ Encrypt 

□ Password 

□ Encrypt 

□ Password 

Ketenteraan 

□ Encrypt 

iv. Lain-lain dokumen : □ Ada □ Tiada □ Password 

C.2 RAHSIA 

i. Arahan-arahan penting untuk perwakilan Malaysia 

yang membuat rundingan dengan negara asing 

ii. Surat-menyurat antara jabatan mengenai perkara 



□ Encrypt 

□ Password 

□ Encrypt 

□ Password 

dasar yang penting 

□ Encrypt 

iii. Lain-lain dokumen : □ Ada □ Tiada □ Password 

C.3 SULIT 

i. Dokumen berkaitan kewangan (seperti peruntukan 


□ Encrypt 

□ Password 

dan pembayaran) 

□ Encrypt 

ii. Data-data pengeksport / pekerja □ Ada □ Tiada □ Password 

□ Encrypt 

iii. Maklumat Keselamatan Bangunan / Komputer □ Ada □ Tiada □ Password 

□ Encrypt 

iv. Minit-minit mesyuarat □ Ada □ Tiada □ Password 

□ Encrypt 

v. Lain-lain dokumen : □ Ada □ Tiada □ Password 

□ Encrypt 

C.4 TERHAD 

i. Arahan-arahan Jabatan □ Ada □ Tiada □ Password 

□ Encrypt 

ii. Dokumen Perolehan □ Ada □ Tiada □ Password 

□ Encrypt 

iii. Lain-lain dokumen : □ Ada □ Tiada □ Password 

C.4 LAIN-LAIN DOKUMEN 

□ Encrypt 

Nyatakan ; □ Ada □ Tiada □ Password 

□ Encrypt 

50


C.5 LAIN-LAIN ULASAN PEGAWAI YANG MELAPORKAN 

PERAKUAN LAPORAN 

Saya, ______________________________________ No. Kad Pengenalan 

____________________ mengakui maklumat yang diberikan di dalam laporan 

ini adalah benar. Sekiranya perkara kehilangan ini telah dijumpai atau 

selesai, saya akan maklumkan semula kepada Unit Operasi dan Keselamatan 

IT dengan segera. 

Tandatangan 

_______________________ 

Tarikh : 

PENERIMAAN LAPORAN KEHILANGAN DATA 

(UNTUK KEGUNAAN UNIT OPERASI DAN KESELAMATAN IT) 

Saya, ____________________________________________________ 

penerimaan laporan ini. 

mengesahkan 

Tandatangan 

_______________________ 

Tarikh : 

51


Personal Information 

Name: 

Designation: 

Email Address: 

Unit / Division/Company (Vendor): 

Telephone Extension/Mobile Number: 

Level / Wing: 

REGISTRATION FORM FOR MATRADE PRIVATE NETWORK 

Lampiran 3 

Equipment Information 

Type of equipment: 

(Notebook/PC/SmartPhone) 

Model & Brand : 

MAC Address : 

Operating System : 

Browser & Version : 

Antivirus : 

Compliance: Y / N 

Terms & Conditions 

As a users of MATRADE Wireless Network (referred to as Service(s)), I agree not to use the Services to: 

 

 

 

 

 

 

 

 

 

 

 

upload, post, email, transmit or otherwise make available any content that is unlawful, harmful, 

threatening, abusive, harassing, tortuous, defamatory, vulgar, obscene, libelous, invasive of another's 

privacy, hateful, or racially, ethnically or otherwise objectionable; 

impersonate any person or entity, including, but not limited to, a MATRADE personnel, or falsely state 

or otherwise misrepresent my affiliation with a person or entity; 

forge headers or otherwise manipulate identifiers in order to disguise the origin of any content 

transmitted; 

make available any content that infringes any patent, trademark, trade secret, copyright or other 

proprietary rights ("Rights") of any party; 

make available any material that contains software viruses or any other computer code, files or 

programs designed to interrupt, destroy or limit the functionality of any computer software or hardware 

or telecommunications equipment; 

interfere with or disrupt the Service or servers or networks connected to this Service, or disobey any 

requirements, procedures, policies or regulations of networks connected to the Service; 

access content or data not intended for me, or logging onto a server or account that I am not 

authorized to access; 

probe, scan or test the vulnerability of Service; 

interfere or attempt to interfere with service to any user, host or network, including, without limitation, 

by means of submitting a virus to the site or this Service, overloading, "flooding", "spamming", "mail 

bombing" or "crashing"; 

forge any TCP/IP packet header or any part of the header information in any email or in any posting 

using the Service; 

comply with Dasar Keselamatan ICT MATRADE (DKICT), which can be downloaded at MATRADE’s 

EDMS; 

52


Dispute of this terms and conditions shall be governed and construed in accordance with the laws of Malaysia 

Digital Signature Act 1997 

Computer Crime Act 1997 

Telemedicine Act 1997 Copyright (Amendment) Act 1997 

Communications & Multimedia Act 1998 

Malaysian Communications & Multimedia Commission Act 1998 

User’s Acknowledgement 

I hereby acknowledge that: 

Verification & Acknowledgemant By Network Unit 

of MATRADE 

I have read and fully understood all the terms and 

conditions herein upon using the MATRADE Wireless 

Network; 

………………………………. 

( ) 

Date : 

………………………………. 

( ) 

Date : 

53


Lampiran 4 

JADUAL PINDAAN DASAR KESELAMATAN ICT (DKICT) 


Keluaran/ 

Pindaan 

Kuasa 

Melulus 

01/2018 JPICT 


Bil. 4/2018 

Tarikh 

15 

November 

2018 

Huraian 

1. Perkara 070201 Akaun Pengguna: Pindaan 

pada perenggan (g) iv. menukar kata 

laluan setiap 6 bulan sekali (disyorkan 3 

bulan sekali) atau selepas tempoh masa 

yang bersesuaian mengikut keperluan 

2. Perkara 070301 Sistem Maklumat dan 

Aplikasi: Pindaan pada perenggan (d) 

logoff sistem aplikasi secara automatik 

apabila tiada aktiviti dalam tempoh tidak 

melebihi 30 minit atau mengikut sensitiviti 

data KECUALI dalam keadaan tertentu 

yang dibenarkan oleh ICTSO 

54

DKICT MATRADE Pindaan November 2018

Create successful ePaper yourself

Delete template?

Save as template?