bahagian i aktiviti jabatan/agensi - Jabatan Audit Negara
bahagian i aktiviti jabatan/agensi - Jabatan Audit Negara
bahagian i aktiviti jabatan/agensi - Jabatan Audit Negara
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
integriti dan kebolehcapaian maklumat sentiasa dipelihara. Antara langkah keselamatan<br />
yang diwujudkan adalah seperti berikut:<br />
i) Pengurusan Capaian Logikal<br />
Kawalan capaian logikal perlu diwujudkan bagi memastikan capaian pengguna ke<br />
aplikasi dan data adalah dihadkan hanya kepada pegawai yang mempunyai<br />
keperluan kerja yang berkaitan dengannya terutama bagi pegawai teknikal seperti<br />
pentadbir pangkalan data, pentadbir sistem, pentadbir rangkaian dan operator<br />
sistem. Ia juga penting bagi mengelakkan pengubahsuaian terhadap aplikasi<br />
SPEKS dibuat tanpa kelulusan. Polisi dan Standard Keselamatan Maklumat SPEKS<br />
menetapkan setiap pegawai diberi satu identiti pengguna (ID) dan kata laluan untuk<br />
capaian ke SPEKS berdasarkan aras dan kelas iaitu mengikut jawatan dan fungsi<br />
pengguna. Semakan <strong>Audit</strong> terhadap pengurusan capaian ke SPEKS di<br />
Perbendaharaan Negeri mendapati perkara berikut:<br />
• Pengasingan Tugas - Polisi dan Standard Keselamatan Maklumat SPEKS<br />
menetapkan “Computer operations staff should not have access to perform end<br />
user job functions except in the test environment” dan “Contract staff or<br />
temporary staff should not be employed in areas that are highly confidential or<br />
that would increase the risk of a security exposure to an unacceptable level.<br />
Appropriate security clearances should be obtained where appropriate if they are<br />
to be employed in such positions”. Selain itu, mengikut amalan terbaik<br />
pengurusan kewangan, fungsi sedia dan lulus dokumen kewangan yang penting<br />
hendaklah diasingkan dan dilaksanakan oleh dua orang yang berlainan.<br />
Semakan <strong>Audit</strong> mendapati Pegawai Sistem Maklumat Gred F41 dan Penolong<br />
Pegawai Sistem Maklumat Gred F29 mempunyai akses SPEKS sebagai penyedia,<br />
pengesah dan juga pelulus. Menurut pihak Perbendaharaan Negeri, akses<br />
keseluruhan fungsi tersebut diberikan kerana keperluan pegawai teknikal untuk<br />
menguji dan menyenggara aplikasi SPEKS.<br />
Pemberian akses tanpa pengasingan fungsi kepada pengendali sistem operasi dan<br />
pengguna tanpa pemantauan melalui log jejak <strong>Audit</strong> menjejaskan tujuan<br />
mewujudkan check and balance. Keadaan ini juga menyebabkan urus niaga dan<br />
pangkalan data Kerajaan Negeri menghadapi risiko keselamatan, kebocoran rahsia<br />
Kerajaan dan penyelewengan.<br />
• Pengurusan ID Pengguna Dan Kata Laluan - Polisi dan Standard Keselamatan<br />
Maklumat SPEKS menetapkan langkah keselamatan mengenai penggunaan<br />
kata laluan untuk capaian ke SPEKS yang perlu dipatuhi. Antaranya adalah:<br />
- Kerahsiaan kata laluan hendaklah terjamin.<br />
- Setiap individu hendaklah mempunyai ID pengguna dan kata laluan tersendiri<br />
serta tidak dibenarkan mendedahkannya kepada pihak lain.<br />
7