bahagian i aktiviti jabatan/agensi - Jabatan Audit Negara
bahagian i aktiviti jabatan/agensi - Jabatan Audit Negara
bahagian i aktiviti jabatan/agensi - Jabatan Audit Negara
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
• Jejak <strong>Audit</strong> - Polisi dan Standard Keselamatan Maklumat SPEKS menetapkan<br />
supaya cubaan untuk akses ke sistem yang tidak dibenarkan dan maklumat lain<br />
yang berkaitan dengan keselamatan sistem direkodkan dan dipantau oleh<br />
Pengurusan Keselamatan. Log, laporan dan kemudahan pemantauan yang<br />
perlu diwujudkan termasuk:<br />
- Log cubaan akses yang tidak dibenarkan.<br />
- Log penyenggaraan profil dan jadual keselamatan.<br />
- Log penggunaan fungsi yang penting dan kritikal.<br />
- Log <strong>aktiviti</strong> pengguna istimewa (privileged user).<br />
- Log akses kepada fail log sistem.<br />
Sebarang cubaan akses yang tidak dibenarkan dan ketidakpatuhan polisi<br />
pelanggaran keselamatan yang lain hendaklah dilaporkan dan disiasat oleh<br />
Pengurusan Keselamatan.<br />
Semakan <strong>Audit</strong> mendapati SPEKS mempunyai jejak audit bagi mengenal pasti<br />
penyedia, penyemak dan pelulus. Bagaimanapun, jejak audit yang dimaksudkan<br />
tidak menyeluruh dan tidak meliputi fungsi dan keperluan jejak audit seperti mana<br />
yang ditetapkan dalam Polisi dan Standard Keselamatan Maklumat SPEKS.<br />
Contohnya, SPEKS tidak mempunyai log jejak audit bagi merekodkan pelbagai<br />
maklumat cubaan akses ke sistem, <strong>aktiviti</strong> pengguna dan transaksi yang diproses<br />
dalam sistem. Menurut pihak Perbendaharaan Negeri dan KJSB, log jejak audit<br />
tidak digunakan untuk SPEKS kerana ia boleh menjejaskan keupayaan dan<br />
kelancaran SPEKS.<br />
Log jejak audit yang sedia ada dalam sistem operasi yang diperoleh tetapi tidak<br />
digunakan merupakan satu pembaziran. Selain itu, ketiadaan log jejak audit yang<br />
mencukupi menyebabkan Kerajaan Negeri menghadapi risiko integriti dan<br />
keselamatan data seperti pencerobohan pangkalan data, pengubahsuaian data dan<br />
program tanpa kebenaran atau pengetahuan pengguna serta penyelewengan oleh<br />
pihak yang tidak bertanggungjawab.<br />
ii) Pengurusan Keselamatan Rangkaian<br />
Rangkaian komputer yang komprehensif dan cekap amat diperlukan bagi<br />
membolehkan <strong>Jabatan</strong>/PTJ sebagai pengguna SPEKS dihubungkan ke Pejabat<br />
Perbendaharaan Negeri selaku penyelaras sistem supaya aplikasi SPEKS<br />
beroperasi dengan lancar. Data yang dihantar hendaklah dipelihara dari kehilangan,<br />
rosak, pengulangan, pengubahsuaian dan pendedahan yang tidak dibenarkan.<br />
Rekod atau log masalah downtime sistem dan rangkaian serta laporan berkaitan<br />
prestasi perkhidmatan rangkaian juga perlu diselenggarakan di peringkat<br />
Perbendaharaan Negeri bagi membolehkan pemantauan dijalankan dengan<br />
berkesan.<br />
10<br />
10