GARIS PANDUAN KESELAMATAN TEKNOLOGI MAKLUMAT DAN KOMUNIKASI (GPKTMK) UNIVERSITI PUTRA MALAYSIA

Transkripsi

1 GARIS PANDUAN KESELAMATAN TEKNOLOGI MAKLUMAT DAN KOMUNIKASI (GPKTMK) UNIVERSITI PUTRA MALAYSIA Pusat Pembangunan Maklumat & Komunikasi, idec Isu 01 Semakan i

2 KANDUNGAN 1.0 PENGENALAN OBJEKTIF PERNYATAAN SKOP 2 a) Peralatan 2 b) Perisian 2 c) Perkhidmatan 2 d) Data atau Maklumat 2 e) Manusia 3 f) Premis Komputer dan Komunikasi PRINSIP 3 a) Akses atas Asas Perlu Mengetahui 3 b) Hak Akses 3 c) Akauntabiliti 3 d) Pengasingan 4 e) Pengauditan 4 f) Pematuhan 4 g) Pemulihan 4 h) Saling Bergantungan PENILAIAN RISIKO KESELAMATAN ICT KANDUNGAN / BIDANG PEMBANGUNAN DAN PENYELENGGARAAN Garis Panduan Keselamatan Teknologi Maklumat dan Komunikasi (GPKTMK) 6 a. Pelaksanaan 6 b. Penyebaran 6 c. Penyelenggaraan 6 d. Pengecualian ORGANISASI KESELAMATAN Struktur Organisasi Dalaman 7 a. Ketua Pegawai Teknikal (CTO) 7 b. Ketua Pegawai Operasi (COO) 7 c. Pengurus Keselamatan ICT (ICTSM) 7 d. Pegawai Keselamatan ICT (ICTSO) 8 e. Pentadbir Sistem ICT 8 f. Pengguna 9 g. Jawatankuasa Keselamatan ICT UPM 9 h. Pasukan Tindak Balas Insiden Keselamatan ICT UPM (UPMCERT) Pihak Ketiga 10 Keperluan Keselamatan Kontrak dengan Pihak Ketiga PENGURUSAN ASET Akauntabiliti Aset 11 Inventori Aset ICT Pengelasan dan Pengendalian Maklumat 11 a. Pengelasan Maklumat 11 b. Pengendalian Maklumat 12 ii

3 7.4 KESELAMATAN SUMBER MANUSIA Keselamatan Sumber Manusia Dalam Tugas Harian 12 a. Sebelum Perkhidmatan 12 b. Dalam Perkhidmatan 13 c. Bertukar atau Tamat Perkhidmatan KESELAMATAN FIZIKAL DAN PERSEKITARAN Keselamatan Kawasan 13 a. Kawalan Kawasan 13 b. Kawalan Masuk Fizikal 14 c. Kawasan Larangan Keselamatan Peralatan 14 a. Peralatan ICT 14 b. Media Storan Mudah Alih 15 c. Media Tandatangan Digital 15 d. Media Perisian dan Aplikasi 15 e. Penyelenggaraan Peralatan 16 f. Peralatan di Luar Premis 16 g. Pelupusan Peralatan Keselamatan Persekitaran 17 a. Kawalan Persekitaran 17 b. Bekalan Kuasa 17 c. Kabel Rangkaian 18 d. Prosedur Kecemasan Keselamatan Dokumen 18 Dokumen PENGURUSAN OPERASI DAN KOMUNIKASI Pengurusan Prosedur Operasi 19 a. Pengendalian Prosedur 19 b. Kawalan Perubahan 19 c. Pengasingan Tugas dan Tanggungjawab Pengurusan Penyampaian Perkhidmatan Pihak Ketiga 20 Penyampaian Perkhidmatan Perancangan dan Penerimaan Sistem 20 a. Perancangan Kapasiti (Keupayaan) 20 b. Penerimaan Sistem Perisian Berbahaya 20 a. Perlindungan daripada Perisian Berbahaya 20 b. Perlindungan daripada Mobile Code Penyelenggaraan Maklumat 21 a. Backup 21 b. Housekeeping Pengurusan Rangkaian 22 Kawalan Infrastruktur Rangkaian Pengendalian Media 22 a. Penghantaran dan Perpindahan 22 b. Kaedah Pengendalian Media 23 c. Keselamatan Dokumentasi Sistem 23 iii

4 7.6.8 Pengurusan Pertukaran Maklumat 23 a. Pertukaran Maklumat 23 b. Pengurusan Mel Elektronik (e-mel) Perkhidmatan Transaksi Kewangan Atas Talian 24 a. Transaksi Kewangan Atas Talian 24 b. Maklumat Umum Pemantauan 25 a. Pengauditan dan Forensik ICT 25 b. Jejak Audit 25 c. Sistem Log 26 d. Pemantauan Log KAWALAN CAPAIAN Dasar Kawalan Capaian 26 Keperluan Kawalan Capaian Pengurusan Capaian Pengguna 27 a. Akaun Pengguna 27 b. Hak Capaian Pengguna 27 c. Kata Laluan 27 d. Pengurusan Kata Laluan 27 e. Tanggungjawab Pengguna Kawalan Capaian Rangkaian 28 a. Perkhidmatan Rangkaian 28 b. Capaian Pengguna Dari Rangkaian Luar 28 c. Pengenalpastian Peralatan 28 d. Capaian Internet Kawalan Capaian Sistem Pengoperasian Pelayan 29 a. Login Yang Selamat 29 b. Pengenalan dan Pengesahan Pengguna 29 c. Penggunaan System Tools 29 d. Session Time-out 29 e. Had Masa Capaian Pengkomputeran Mudah Alih dan Teleworking 29 a. Pengkomputeran Mudah Alih 29 b. Teleworking PEROLEHAN, PEMBANGUNAN DAN PENYELENGGARAAN SISTEM Keselamatan Dalam Membangunkan Sistem dan Aplikasi 30 a. Keperluan Keselamatan Sistem Maklumat 30 b. Pensahihan Data Input dan Output Kawalan Kriptografi 30 a. Enkripsi 30 b. Tanda Tangan Digital 31 c. Pengurusan Public Key Infrastructure (PKI) Keselamatan Fail Sistem 31 Kawalan Fail Sistem Keselamatan Dalam Penyelenggaraan Sistem dan Aplikasi 31 a. Prosedur Kawalan Perubahan 31 b. Pembangunan Perisian oleh Pihak Ketiga 31 iv

5 7.8.5 Pengurusan Kerentanan Teknikal (Technical Vulnerability Management) 32 Kawalan dari Ancaman Teknikal PENGURUSAN INSIDEN KESELAMATAN ICT Mekanisme Pelaporan Insiden Keselamatan ICT 32 Mekanisme Pelaporan Pengurusan Maklumat Insiden Keselamatan ICT 33 Pengurusan Maklumat Insiden Keselamatan ICT PENGURUSAN KESINAMBUNGAN PERKHIDMATAN Dasar Kesinambungan Perkhidmatan 33 Pelan Pengurusan Kesinambungan Perkhidmatan (PKP) PEMATUHAN Pematuhan dan Keperluan Perundangan 35 a. Pematuhan GPKTMK UPM 35 b. Pematuhan dengan Dasar, Piawaian dan Keperluan Teknikal 35 c. Pematuhan Keperluan Audit Keselamatan Sistem Maklumat 35 d. Keperluan Perundangan 35 e. Pelanggaran GPKTMK UPM DEFINISI / GLOSARI RUJUKAN 40 v

6 GARIS PANDUAN KESELAMATAN TEKNOLOGI MAKLUMAT DAN KOMUNIKASI (GPKTMK) UNIVERSITI PUTRA MALAYSIA (UPM) 1.0 PENGENALAN Garis Panduan Keselamatan Teknologi Maklumat dan Komunikasi (GPKTMK) Universiti Putra Malaysia (UPM) mengandungi peraturan yang mesti dibaca dan dipatuhi dalam menggunakan aset Teknologi Maklumat dan Komunikasi (ICT). Garis panduan ini juga menerangkan kepada semua pengguna mengenai tanggungjawab dan peranan mereka dalam melindungi aset ICT UPM. 2.0 OBJEKTIF GPKTMK UPM diwujudkan untuk menjamin kesinambungan urusan UPM dengan meminimumkan kesan insiden keselamatan ICT. Garis Panduan ini juga bertujuan untuk memudahkan perkongsian maklumat sesuai dengan keperluan operasi UPM. Ini hanya boleh dicapai dengan memastikan semua aset ICT dilindungi. utama Keselamatan ICT UPM ialah: a) Memastikan kelancaran operasi UPM yang berasaskan ICT dan meminimumkan kerosakan atau kemusnahan. b) Melindungi kepentingan pihak yang bergantung kepada sistem maklumat mengenai kesan kegagalan atau kelemahan dari segi kerahsiaan, integriti, kebolehsediaan, kesahihan maklumat dan komunikasi. c) Mencegah salah guna atau kecurian aset ICT UPM. 3.0 PERNYATAAN Keselamatan ditakrifkan sebagai keadaan yang bebas daripada ancaman atau risiko yang tidak boleh diterima. Penjagaan keselamatan adalah suatu proses yang berterusan. Ia melibatkan aktiviti berkala yang mesti dilakukan dari semasa ke semasa untuk menjamin keselamatan kerana ancaman dan risiko sentiasa berubah. Keselamatan Teknologi Maklumat dan Komunikasi (KTMK) adalah bermaksud keadaan di mana segala urusan menyedia dan membekalkan perkhidmatan yang berasaskan kepada sistem ICT berjalan secara berterusan tanpa gangguan yang boleh menjejaskan keselamatan. KTMK berkait rapat dengan perlindungan aset ICT. Terdapat empat (4) komponen asas keselamatan ICT iaitu: a) Melindungi maklumat rahsia rasmi dan maklumat rasmi UPM dari capaian tanpa kebenaran yang sah. b) Menjamin setiap maklumat adalah sah, tepat dan lengkap. c) Memastikan ketersediaan maklumat apabila diperlukan oleh pengguna. d) Memastikan akses hanya kepada pengguna yang sah atau penerimaan maklumat daripada sumber yang sah. GPKTMK merangkumi perlindungan ke atas semua bentuk maklumat elektronik bertujuan untuk menjamin keselamatan maklumat tersebut dan kebolehsediaan kepada semua pengguna yang dibenarkan. Ciri-ciri utama keselamatan maklumat adalah seperti berikut: 1

7 a) Kerahsiaan - Maklumat tidak boleh didedahkan sewenang-wenangnya atau diakses tanpa kebenaran; b) Integriti - Data dan maklumat hendaklah tepat, lengkap dan terkini. Ia hanya boleh diubah dengan cara yang dibenarkan; c) Tidak Boleh Disangkal - Punca data dan maklumat hendaklah daripada punca yang sah dan tidak boleh disangkal; d) Kesahihan - Data dan maklumat hendaklah dijamin kesahihannya; dan e) Ketersediaan - Data dan maklumat hendaklah boleh diakses apabila perlu. Selain itu, langkah-langkah ke arah menjamin KTMK hendaklah bersandarkan kepada penilaian yang bersesuaian dengan perubahan semasa terhadap kelemahan semula jadi aset ICT dan ancaman yang wujud akibat daripada kelemahan tersebut. Risiko yang mungkin timbul dan langkah-langkah pencegahan yang sesuai perlu diambil untuk menangani masalah berkenaan. 4.0 SKOP Aset ICT UPM terdiri daripada peralatan, perisian, perkhidmatan, data atau maklumat dan manusia. Bagi menentukan keselamatan Aset ICT terjamin sepanjang masa, GPKTMK UPM ini merangkumi perlindungan semua bentuk maklumat UPM yang dimasukkan, diwujud, dimusnah, disimpan, dijana, dicetak, diakses, diedar, dalam penghantaran, dan yang dibuat salinan keselamatan. Ini akan dilakukan melalui pewujudan dan penguatkuasaan sistem kawalan dan prosedur dalam pengendalian semua perkara berikut: a) Peralatan Semua aset yang digunakan untuk menyokong pemprosesan maklumat dan kemudahan storan UPM. (Contoh: komputer, pelayan, peralatan komunikasi dan sebagainya) b) Perisian Program, prosedur atau peraturan yang ditulis dan dokumentasi yang berkaitan dengan sistem pengoperasian komputer yang disimpan di dalam sistem ICT. Contoh perisian aplikasi atau perisian sistem seperti sistem pengoperasian, sistem pangkalan data, perisian sistem rangkaian, atau aplikasi pejabat yang menyediakan kemudahan pemprosesan maklumat kepada UPM; c) Perkhidmatan Perkhidmatan atau sistem yang menyokong aset lain untuk melaksanakan fungsinya. Contoh: i. Perkhidmatan infrastruktur rangkaian seperti LAN, WAN dan lain-lain. ii. Sistem kawalan akses seperti sistem kad akses. iii. Perkhidmatan sokongan seperti kemudahan elektrik, penghawa dingin, sistem pencegah kebakaran dan lain-lain. d) Data atau Maklumat Koleksi fakta dalam bentuk kertas atau elektronik, yang mengandungi maklumat untuk digunakan bagi mencapai misi dan objektif UPM. Contohnya, sistem dokumentasi, prosedur operasi, rekod UPM, profil pelanggan, pangkalan data dan fail data, maklumat arkib dan lain-lain. 2

8 e) Manusia Individu yang mempunyai pengetahuan dan kemahiran untuk melaksanakan skop kerja harian bagi mencapai misi dan objektif UPM. Individu berkenaan merupakan aset berdasarkan kepada tugasan dan fungsi yang dilaksanakan. f) Premis Komputer dan Komunikasi Semua kemudahan serta premis yang digunakan untuk menempatkan perkara (a) - (e) di atas. Setiap perkara di atas perlu diberi perlindungan rapi. Sebarang kebocoran rahsia atau kelemahan perlindungan adalah dianggap sebagai perlanggaran langkah-langkah keselamatan. 5.0 PRINSIP Prinsip yang menjadi asas kepada GPKTMK UPM dan perlu dipatuhi adalah seperti berikut: a) Akses atas Asas Perlu Mengetahui Akses terhadap penggunaan aset ICT hanya diberikan untuk tujuan spesifik dan dihadkan kepada pengguna tertentu atas asas "perlu mengetahui" sahaja. Ini bermakna akses hanya akan diberikan sekiranya peranan atau fungsi pengguna memerlukan maklumat tersebut. Pertimbangan untuk akses adalah berdasarkan kategori maklumat seperti yang dinyatakan di dalam dokumen Arahan Keselamatan (perenggan 53, muka surat 15). b) Hak Akses Hak akses pengguna umum hanya diberi pada tahap yang paling minimum iaitu untuk membaca dan/atau melihat sahaja. Kelulusan adalah perlu untuk membolehkan pengguna mewujud, menyimpan, mengemas kini, mengubah atau membatalkan sesuatu maklumat. Hak akses perlu dikaji dari semasa ke semasa berdasarkan kepada peranan dan tanggungjawab pengguna/bidang tugas. c) Akauntabiliti Semua pengguna adalah dipertanggungjawabkan ke atas semua tindakannya terhadap aset ICT. Tanggungjawab ini perlu dinyatakan dengan jelas sesuai dengan tahap sensitiviti sesuatu sumber ICT. Untuk menentukan tanggungjawab ini dipatuhi, sistem ICT hendaklah mampu menyokong kemudahan mengesan atau mengesah bahawa pengguna sistem maklumat boleh dipertanggungjawabkan atas tindakan mereka. Akauntabiliti atau tanggungjawab pengguna termasuklah: i. menghalang pendedahan maklumat kepada pihak yang tidak dibenarkan; ii. memasti dan menentukan maklumat tepat dan lengkap dari semasa ke semasa; iii. menentukan maklumat sedia untuk digunakan; iv. menjaga kerahsiaan kata laluan; v. mematuhi piawaian, prosedur, langkah dan garis panduan keselamatan yang ditetapkan; 3

9 vi. memberi perhatian kepada maklumat terperingkat terutamanya semasa pewujudan, pemprosesan, penyimpanan, penghantaran, penyampaian, pertukaran dan pemusnahan; dan vii. menjaga kerahsiaan langkah-langkah keselamatan ICT daripada diketahui umum. d) Pengasingan Tugas mewujud, menghapus, mengemaskini dan mengesahkan data perlu diasingkan bagi mengelakkan daripada capaian yang tidak dibenarkan serta melindungi aset ICT daripada kesilapan, kebocoran maklumat terperingkat atau dimanipulasi. Pengasingan juga merangkumi tindakan memisahkan antara kumpulan operasi dan rangkaian. e) Pengauditan Pengauditan adalah tindakan untuk mengenal pasti insiden berkaitan keselamatan atau mengenal pasti keadaan yang mengancam keselamatan. Ia membabitkan pemeliharaan semua rekod berkaitan tindakan keselamatan. Dengan itu, aset ICT seperti komputer, pelayan, router, firewall dan rangkaian hendaklah dipastikan dapat menjana dan menyimpan log tindakan keselamatan atau audit trail (jejak audit). f) Pematuhan GPKTMK UPM hendaklah dibaca, difahami dan dipatuhi bagi mengelakkan sebarang bentuk pelanggaran ke atasnya yang boleh membawa ancaman kepada keselamatan ICT. g) Pemulihan Pemulihan sistem amat perlu untuk memastikan kebolehsediaan dan kebolehcapaian. utama adalah untuk meminimumkan sebarang gangguan atau kerugian akibat daripada ketidaksediaan. Pemulihan boleh dilakukan melalui aktiviti penduaan dan mewujudkan Pelan Pemulihan Bencana. h) Saling Bergantungan Setiap prinsip di atas adalah saling lengkap-melengkapi dan bergantung antara satu sama lain. Dengan itu, tindakan mempelbagaikan pendekatan dalam menyusun dan mencorakkan sebanyak mungkin mekanisme keselamatan adalah perlu bagi menjamin keselamatan yang maksimum. 4

10 6.0 PENILAIAN RISIKO KESELAMATAN ICT UPM hendaklah mengambil kira kewujudan risiko ke atas aset ICT akibat ancaman dan kerentanan (vulnerability) yang semakin meningkat saban hari. Justeru itu, UPM perlu mengambil langkah-langkah proaktif yang bersesuaian untuk menilai tahap risiko aset ICT supaya pendekatan dan keputusan yang paling berkesan dikenal pasti bagi menyediakan perlindungan dan kawalan ke atas aset ICT. UPM hendaklah melaksanakan penilaian risiko keselamatan ICT secara berkala dan berterusan bergantung kepada perubahan teknologi dan keperluan keselamatan ICT. Seterusnya, perlu mengambil tindakan susulan dan/atau langkah-langkah bersesuaian untuk mengurangkan atau mengawal risiko keselamatan ICT berdasarkan penemuan penilaian risiko. Penilaian risiko keselamatan ICT hendaklah dilaksanakan ke atas sistem maklumat UPM termasuklah aplikasi, perisian, pelayan, rangkaian dan/atau proses serta prosedur. Penilaian risiko ini hendaklah juga dilaksanakan di premis yang menempatkan sumber teknologi maklumat termasuklah pusat data, bilik media storan, kemudahan utiliti dan sistem sokongan lain. UPM bertanggungjawab melaksana dan menguruskan risiko keselamatan ICT selaras dengan keperluan Surat Pekeliling Am Bilangan 6 Tahun 2005: Garis Panduan Penilaian Risiko Keselamatan Maklumat Sektor Awam. UPM perlu mengenal pasti tindakan yang sewajarnya bagi menghadapi kemungkinan risiko berlaku, dengan memilih tindakan berikut: a. Mengurangkan risiko dengan melaksanakan kawalan yang bersesuaian; b. Menerima dan/atau bersedia berhadapan dengan risiko yang akan terjadi selagi ia memenuhi kriteria yang telah ditetapkan oleh pengurusan agensi; c. Mengambil tindakan yang dapat mengelak dan/atau mencegah berlakunya risiko; dan d. Memindahkan risiko ke pihak lain seperti pembekal, pakar runding dan pihak lain yang berkepentingan. 5

11 7.0 KANDUNGAN / BIDANG 7.1 PEMBANGUNAN DAN PENYELENGGARAAN GARIS PANDUAN KESELAMATAN TEKNOLOGI MAKLUMAT DAN KOMUNIKASI (GPKTMK) Menerangkan hala tuju dan sokongan pengurusan terhadap keselamatan maklumat selaras dengan keperluan UPM dan perundangan yang berkaitan. a. Pelaksanaan Pelaksanaan garis panduan ini akan dijalankan oleh Ketua Pegawai Teknikal (CTO) UPM selaku Pengerusi Jawatankuasa Keselamatan ICT (JKKICT) UPM. JKKICT ini terdiri daripada Ketua Pegawai Operasi (COO), Pengurus Keselamatan ICT (ICTSM), Pegawai Keselamatan ICT (ICTSO), Pentadbir Sistem ICT, Wakil Pegawai Akademik Fakulti Sains Komputer dan Teknologi Maklumat serta Wakil Pegawai Akademik Fakulti Kejuruteraan. b. Penyebaran Garis panduan ini perlu disebarkan kepada semua pengguna UPM (termasuk staf, pelajar, pembekal, pakar runding dan lain-lain). c. Penyelenggaraan GPKTMK UPM adalah tertakluk kepada semakan dan pindaan dari semasa ke semasa dari segi kawalan keselamatan, prosedur dan proses selaras dengan perubahan teknologi, aplikasi, prosedur, perundangan, dasar UPM dan kepentingan sosial. Prosedur yang berhubung dengan penyelenggaraan GPKTMK UPM adalah seperti berikut: i. Kenal pasti dan tentukan perubahan yang diperlukan. Perubahan GPKTMK perlu mengambil kira tahap kritikal sistem dan proses yang terlibat serta penilaian semula risiko; ii. Kemuka cadangan pindaan secara bertulis kepada ICTSO untuk pembentangan dan persetujuan JKKICT; iii. Membuat hebahan kepada pengguna, perubahan yang telah dipersetujui oleh JKKICT; dan iv. Garis panduan ini hendaklah disemak semula mengikut keperluan semasa. d. Pengecualian GPKTMK UPM adalah terpakai kepada semua pengguna perkhidmatan ICT UPM dan tiada pengecualian diberikan. 6

12 7.2 ORGANISASI KESELAMATAN Struktur Organisasi Dalaman Menerangkan peranan dan tanggungjawab individu yang terlibat dengan lebih jelas dan teratur dalam mencapai objektif GPKTMK UPM. a. Ketua Pegawai Teknikal (CTO) Ketua Pegawai Teknikal (CTO) bagi UPM ialah Pengarah idec. Peranan dan tanggungjawab CTO adalah seperti berikut: i. Bertanggungjawab ke atas perkara yang berkaitan dengan keselamatan ICT UPM; ii. Memastikan semua pengguna memahami dan mematuhi peruntukan di bawah GPKTMK UPM; iii. Memastikan semua keperluan organisasi (sumber kewangan, sumber manusia dan perlindungan iv. keselamatan) adalah mencukupi; Memastikan penilaian risiko dan program keselamatan ICT dilaksanakan seperti yang ditetapkan di dalam GPKTMK UPM; dan v. Mempengerusikan Mesyuarat Pengurusan idec vi. Mempengerusikan Mesyuarat Operasi Teknikal idec. b. Ketua Pegawai Operasi (COO) Ketua Pegawai Operasi (COO) bagi UPM ialah Timbalan Pengarah (Pengurusan Strategik dan Sokongan Pengguna) idec, UPM. Peranan dan tanggungjawab COO adalah seperti berikut: i. Membantu CTO dalam melaksanakan tugas yang melibatkan keselamatan ICT; ii. Menyelaras keperluan keselamatan ICT yang melibatkan keseluruhan operasi ICT UPM; iii. Menyelaras penyediaan GPKTMK UPM dan pengurusan risiko serta pengauditan; dan iv. Menyelaras dan mengurus pelan latihan dan program kesedaran keselamatan ICT. c. Pengurus Keselamatan ICT (ICTSM) Pengurus Keselamatan ICT (ICTSM) bagi UPM ialah Timbalan Pengarah (Perkhidmatan Infrastruktur ICT) idec, UPM. Peranan dan tanggungjawab ICTSM adalah seperti berikut: i. Mengurus keseluruhan program keselamatan ICT UPM; ii. Menguatkuasakan pelaksanaan GPKTMK UPM; iii. Memberi penerangan dan pendedahan berkenaan GPKTMK UPM kepada semua pengguna; iv. Mewujudkan garis panduan, prosedur dan tatacara selaras dengan keperluan GPKTMK UPM; v. Melaksanakan pengurusan risiko; 7

13 vi. Melaksanakan audit, mengkaji semula, merumus tindak balas pengurusan UPM berdasarkan hasil penemuan dan menyediakan laporan mengenainya; vii. Melaporkan insiden keselamatan ICT kepada Pasukan Tindak Balas Insiden Keselamatan ICT UPM (UPMCERT), Ketua Pegawai Teknikal (CTO) dan memaklumkannya kepada Pasukan Tindak Balas Keselamatan ICT Kerajaan (GCERT); dan viii. Bekerjasama dengan semua pihak yang berkaitan dalam mengenal pasti punca ancaman atau insiden keselamatan ICT dan memperakukan langkah-langkah baik pulih dengan segera. d. Pegawai Keselamatan ICT (ICTSO) ICTSO bagi UPM ialah Ketua Unit Keselamatan ICT idec, UPM. Peranan dan tanggungjawab ICTSO adalah seperti berikut: i. Memberi amaran terhadap kemungkinan berlakunya ancaman berbahaya seperti virus dan memberi khidmat nasihat serta menyediakan langkah-langkah perlindungan yang bersesuaian; ii. Menyedia dan melaksanakan program kesedaran mengenai keselamatan; iii. Melaporkan sebarang perkara atau penemuan mengenai keselamatan ICT kepada ICTSM; dan iv. Menyimpan rekod, bahan bukti dan laporan terkini mengenai ancaman keselamatan ICT UPM. e. Pentadbir Sistem ICT Pentadbir Sistem ICT bagi UPM ialah semua Ketua Unit idec. Peranan dan tanggungjawab Pentadbir Sistem ICT adalah seperti berikut: i. Mengambil tindakan dengan segera apabila dimaklumkan mengenai staf yang berhenti, bertukar, bercuti, berkursus panjang atau berlaku perubahan dalam bidang tugas; ii. Menentukan ketepatan dan kesempurnaan sesuatu tahap capaian berdasarkan arahan pemilik sumber maklumat sebagaimana yang telah ditetapkan di dalam iii. GPKTMK UPM; Memantau aktiviti capaian harian sistem aplikasi pengguna; iv. Mengenal pasti aktiviti tidak normal seperti pencerobohan dan pengubahsuaian data tanpa kebenaran dan membatal atau memberhentikannya dengan serta merta; v. Menganalisis dan menyimpan rekod jejak audit; vi. Menyediakan laporan mengenai aktiviti capaian secara berkala; dan vii. Bertanggungjawab memantau setiap perkakasan ICT yang diagihkan kepada pengguna seperti komputer peribadi, komputer riba, pencetak, pengimbas dan sebagainya di dalam keadaan yang baik. 8

14 f. Pengguna Pengguna ICT UPM ialah mereka yang menggunakan segala peralatan dan perisian ICT di UPM. Pengguna mempunyai peranan dan tanggungjawab seperti berikut: i. Membaca, memahami dan mematuhi GPKTMK UPM; ii. Melepasi tapisan keselamatan mengikut keperluan UPM; iii. Melaksanakan prinsip-prinsip GPKTMK UPM dan menjaga kerahsiaan maklumat UPM; iv. Melaporkan sebarang aktiviti yang mengancam keselamatan ICT kepada ICTSO dengan segera; v. Menghadiri program kesedaran mengenai keselamatan ICT; dan vi. Menandatangani perjanjian sebagaimana berikut: a. Pelajar menandatangani surat akujanji pelajar. b. Staf menandatangani surat akujanji staf. c. Pihak ketiga menandatangani Surat Akuan Pematuhan GPKTMK UPM. g. Jawatankuasa Keselamatan ICT UPM Jawatankuasa Keselamatan ICT (JKKICT) adalah jawatankuasa yang bertanggungjawab tentang keselamatan ICT dan berperanan sebagai penasihat dan pemangkin dalam merumuskan rancangan dan strategi keselamatan ICT UPM kepada Jawatankuasa Pepandu ICT UPM (JKPICT). Di UPM, Mesyuarat Operasi Teknikal (MOT) berperanan sebagai JKKICT. Keanggotaan JKKICT UPM adalah seperti berikut: Pengerusi Ketua Pegawai Teknikal (CTO) Ahli i. Ketua Pegawai Operasi (COO) ii. Pengurus Keselamatan ICT (ICTSM) iii. Timbalan Pengarah idec iv. Pegawai Keselamatan ICT (ICTSO) v. Pentadbir Sistem ICT Bidang kuasa i. Merangka dokumen GPKTMK UPM dan mendapat kelulusan pengurusan idec; ii. Memantau tahap pematuhan keselamatan teknologi iii. maklumat dan komunikasi; Memperaku garis panduan, prosedur dan tatacara untuk aplikasi khusus dalam UPM yang mematuhi keperluan GPKTMK UPM; iv. Menilai teknologi yang bersesuaian dan mencadangkan penyelesaian terhadap keperluan keselamatan ICT; v. Memastikan GPKTMK UPM selaras dengan dasardasar UPM semasa; 9

15 vi. Menerima laporan dan membincangkan hal-hal keselamatan ICT semasa; vii. Membincang tindakan yang melibatkan pelanggaran GPKTMK UPM; dan viii. Membuat keputusan mengenai tindakan yang perlu diambil mengenai sebarang insiden. h. Pasukan Tindak Balas Insiden Keselamatan ICT UPM (UPMCERT) Keanggotaan UPMCERT adalah seperti berikut: Pengurus Pengurus Keselamatan ICT (ICTSM) Ahli i. Pegawai Keselamatan ICT (ICTSO) ii. Pegawai IT Unit Keselamatan ICT iii. Pegawai IT (Bidang Kepakaran - Rangkaian) iv. Pegawai IT (Bidang Kepakaran - Pangkalan Data) v. Pegawai IT (Bidang Kepakaran - Aplikasi) vi. Pegawai IT (Bidang Kepakaran - Server) Bidang Kuasa i. Menerima dan mengesah aduan keselamatan ICT serta menilai tahap dan jenis insiden; ii. Merekod dan menjalankan siasatan awal insiden yang diterima; iii. Menangani tindak balas (response) insiden keselamatan ICT dan mengambil tindakan baik pulih; iv. Menasihati pengguna mengambil tindakan pemulihan dan pengukuhan; v. Menyebarkan makluman berkaitan pengukuhan keselamatan ICT kepada pengguna; dan vi. Menjalankan penilaian untuk memastikan tahap keselamatan ICT dan mengambil tindakan pemulihan atau pengukuhan bagi meningkatkan tahap keselamatan infrastruktur ICT supaya insiden dapat dielakkan Pihak Ketiga Menjamin keselamatan semua aset ICT yang digunakan oleh Pihak Ketiga. Keperluan Keselamatan Kontrak dengan Pihak Ketiga Ini bertujuan memastikan penggunaan maklumat dan kemudahan proses maklumat oleh pihak ketiga dikawal. Perkara yang perlu dipatuhi termasuk yang berikut: i. Memastikan pihak ketiga membaca, memahami dan mematuhi GPKTMK UPM; ii. Mengenal pasti keperluan keselamatan sebelum memberi kebenaran capaian atau penggunaan kepada pihak ketiga; 10

16 iii. iv. Mengenal pasti risiko keselamatan maklumat dan kemudahan pemprosesan maklumat serta melaksanakan kawalan yang sesuai sebelum memberi kebenaran capaian; Memastikan akses kepada aset ICT UPM berlandaskan kepada perjanjian kontrak; v. Memastikan semua syarat keselamatan dinyatakan dengan jelas dalam perjanjian dengan pihak ketiga. Perkara berikut hendaklah dimasukkan di dalam perjanjian yang dimeterai; a. GPKTMK UPM; b. Tapisan Keselamatan; c. Perakuan Akta Rahsia Rasmi 1972; dan d. Hak Harta Intelek. vi. Menandatangani Surat Akuan Pematuhan GPKTMK UPM. 7.3 PENGURUSAN ASET Akauntabiliti Aset Memberi dan menyokong perlindungan yang bersesuaian ke atas semua aset ICT UPM. Inventori Aset ICT Ini bertujuan memastikan semua aset ICT diberi kawalan dan perlindungan yang sesuai oleh pemilik atau pemegang amanah masing-masing. Perkara yang perlu dipatuhi adalah seperti berikut: i. Memastikan semua aset ICT dikenal pasti, maklumat aset direkod dalam sistem pengurusan aset dan sentiasa dikemas kini; ii. Memastikan semua aset ICT didaftarkan pemilik dan dikendalikan oleh pengguna yang dibenarkan sahaja; iii. Memastikan semua pengguna mengesahkan penempatan aset ICT yang ditempatkan di dalam dan luar UPM tetapi perlu mengikut peraturan yang telah ditetapkan; iv. Peraturan pengendalian aset ICT hendaklah dikenal pasti, didokumen dan dilaksanakan; dan v. Setiap pengguna adalah bertanggungjawab ke atas semua aset ICT di bawah kawalannya Pengelasan dan Pengendalian Maklumat Memastikan setiap maklumat atau aset ICT diberikan tahap perlindungan yang bersesuaian. a. Pengelasan Maklumat Maklumat hendaklah dikelaskan atau dilabel sewajarnya oleh pegawai yang diberi kuasa mengikut dokumen Arahan 11

17 Keselamatan. Setiap maklumat yang dikelaskan mestilah mempunyai peringkat keselamatan sebagaimana yang telah ditetapkan di dalam dokumen Arahan Keselamatan seperti berikut: i. Rahsia Besar ii. Rahsia iii. Sulit iv. Terhad b. Pengendalian Maklumat Aktiviti pengendalian maklumat seperti mengumpul, memproses, menyimpan, menghantar, menyampai, menukar dan memusnah hendaklah mengambil kira langkah-langkah keselamatan berikut: i. Menghalang pendedahan maklumat kepada pihak yang tidak dibenarkan; ii. Memeriksa maklumat dan menentukan ia tepat dan lengkap dari semasa ke semasa; iii. Menentukan maklumat sedia untuk digunakan; iv. Menjaga kerahsiaan kata laluan, data dan maklumat; v. Mematuhi piawaian, prosedur, langkah dan garis panduan keselamatan yang ditetapkan; vi. Memberi perhatian kepada maklumat terperingkat terutama semasa pengwujudan, pemprosesan, penyimpanan, penghantaran, penyampaian, pertukaran dan pemusnahan; dan vii. Menjaga kerahsiaan langkah-langkah keselamatan ICT dari diketahui umum. 7.4 KESELAMATAN SUMBER MANUSIA Keselamatan Sumber Manusia Dalam Tugas Harian Memastikan sumber manusia yang terlibat termasuk staf UPM, pembekal, pakar runding dan pihak yang berkepentingan memahami tanggungjawab dan peranan serta meningkatkan pengetahuan dalam keselamatan aset ICT. Semua staf UPM hendaklah mematuhi terma dan syarat perkhidmatan serta peraturan semasa yang berkuat kuasa. a. Sebelum Perkhidmatan Perkara yang mesti dipatuhi adalah seperti berikut: i. Menyatakan dengan lengkap dan jelas peranan dan tanggungjawab staf UPM serta pihak ketiga yang terlibat dalam menjamin keselamatan aset ICT sebelum, semasa dan selepas perkhidmatan; dan ii. Mematuhi semua terma dan syarat perkhidmatan yang ditawarkan dan peraturan semasa yang ditetapkan. 12

18 b. Dalam Perkhidmatan Perkara yang perlu dipatuhi termasuk yang berikut: i. Memastikan staf UPM serta pihak ketiga yang berkepentingan mengurus keselamatan aset ICT berdasarkan perundangan dan peraturan yang ditetapkan oleh UPM; ii. Memastikan latihan kesedaran dan latihan yang berkaitan mengenai pengurusan keselamatan aset ICT diberi kepada pengguna ICT UPM secara berterusan dalam melaksanakan tugas dan tanggungjawab mereka, dan sekiranya perlu diberi kepada pihak ketiga yang berkepentingan dari semasa ke semasa; iii. Memastikan adanya proses tindakan disiplin dan/atau undang-undang ke atas staf UPM serta pihak ketiga yang berkepentingan sekiranya berlaku pelanggaran dengan perundangan dan peraturan yang ditetapkan oleh UPM; dan iv. Memantapkan pengetahuan berkaitan dengan penggunaan aset ICT bagi memastikan setiap kemudahan ICT digunakan dengan cara dan kaedah yang betul demi menjamin kepentingan keselamatan ICT. c. Bertukar atau Tamat Perkhidmatan Perkara yang perlu dipatuhi termasuk yang berikut: i. Memastikan semua aset ICT dikembalikan kepada UPM mengikut peraturan dan/atau terma perkhidmatan yang ditetapkan; dan ii. Membatalkan atau menarik balik semua kebenaran capaian ke atas maklumat dan kemudahan proses maklumat mengikut peraturan yang ditetapkan oleh UPM dan/atau terma perkhidmatan. 7.5 KESELAMATAN FIZIKAL DAN PERSEKITARAN Keselamatan Kawasan Melindungi premis dan maklumat daripada sebarang bentuk pencerobohan, ancaman, kerosakan serta akses yang tidak dibenarkan. a. Kawalan Kawasan Ini bertujuan untuk mengawal akses, menghalang kerosakan dan gangguan secara fizikal terhadap premis dan maklumat UPM. Perkara yang perlu dipatuhi termasuk yang berikut: i. Kawasan keselamatan fizikal hendaklah dikenal pasti dengan jelas; ii. Lokasi dan keteguhan keselamatan fizikal hendaklah bergantung kepada keperluan untuk melindungi aset dan hasil penilaian risiko; dan 13

19 iii. Menggunakan keselamatan perimeter (halangan seperti dinding, pagar kawalan, pengawal keselamatan) untuk melindungi kawasan yang mengandungi maklumat dan kemudahan pemprosesan maklumat. b. Kawalan Masuk Fizikal Ini bertujuan untuk mengawal akses secara fizikal terhadap premis agensi. Kawalan akses merupakan aktiviti utama dalam aspek keselamatan maklumat. Kawalan masuk fizikal hendaklah dikenal pasti dan mekanisma akses fizikal hendaklah mematuhi peraturan dan garis panduan yang ditetapkan. Mekanisma kawalan akses adalah seperti berikut: i. Fizikal (contoh: Pintu Keselamatan) ii. Teknologi (contoh: Biometrik, Kad Pintar) iii. Pentadbiran (contoh: Pas Pelawat, Buku Log) c. Kawasan Larangan Kawasan larangan ditakrifkan sebagai kawasan yang dihadkan kemasukan kepada staf yang tertentu sahaja. Ini dilaksanakan untuk melindungi aset ICT yang terdapat di dalam kawasan tersebut. Kawalan akses yang dimaksudkan adalah seperti berikut: i. Akses ke kawasan larangan hanyalah kepada staf yang dibenarkan sahaja; dan ii. Pihak Ketiga adalah dilarang sama sekali untuk memasuki kawasan larangan kecuali, bagi kes tertentu seperti memberi perkhidmatan sokongan atau bantuan teknikal, dan mereka hendaklah diiringi sepanjang masa sehingga tugas di kawasan berkenaan selesai Keselamatan Peralatan Melindungi peralatan ICT UPM daripada kehilangan, kerosakan, kecurian, penyalahgunaan serta gangguan kepada peralatan tersebut. a. Peralatan ICT Perkara yang perlu dipatuhi adalah seperti berikut: i. Pengguna bertanggungjawab sepenuhnya ke atas peralatan ICT masing-masing dan hendaklah digunakan sepenuhnya bagi urusan rasmi sahaja; ii. Pengguna hendaklah menyemak dan memastikan semua peralatan ICT di bawah kawalannya berfungsi dengan sempurna; iii. Pengguna tidak dibenarkan membuat sebarang pengubahsuaian keatas perkakasan dan perisian yang telah ditetapkan; iv. Sebarang aktiviti pengurusan aset ICT seperti pergerakan dan kehilangan hendaklah mematuhi peraturan kewangan UPM; 14

20 v. Pengendalian peralatan ICT hendaklah mematuhi dan merujuk kepada peraturan semasa yang berkuat kuasa; vi. Pengguna dilarang sama sekali mengubah kata laluan bagi pentadbir (administrator password) yang telah ditetapkan oleh Pentadbir Sistem ICT; dan vii. Sebarang bentuk penyelewengan atau salah guna peralatan ICT hendaklah dilaporkan kepada ICTSO. b. Media Storan Mudah Alih Media storan merupakan peralatan elektronik yang digunakan untuk menyimpan data dan maklumat seperti disket, pita magnetik, optical disk, flash disk, dan media storan lain. Media storan perlu dipastikan berada dalam keadaan yang baik, selamat, terjamin kerahsiaan dan kebolehsediaan untuk digunakan. Perkara yang perlu dipatuhi adalah seperti berikut: i. Media storan hendaklah disimpan di ruang penyimpanan yang baik dan mempunyai ciri-ciri keselamatan bersesuaian dengan kandungan maklumat; ii. Akses untuk memasuki kawasan penyimpanan media storan hendaklah terhad kepada pengguna yang dibenarkan sahaja; iii. Semua media storan perlu dikawal bagi mencegah dari capaian yang tidak dibenarkan, kecurian dan kemusnahan; iv. Semua media storan yang mengandungi data kritikal hendaklah disimpan di tempat yang sesuai dan mempunyai ciri-ciri keselamatan. v. Akses dan pergerakan media storan hendaklah direkodkan; vi. Semua media storan data yang hendak dilupuskan mestilah dihapuskan dengan teratur dan selamat; dan vii. Penghapusan maklumat atau kandungan media mestilah mendapat kelulusan pemilik maklumat terlebih dahulu. c. Media Tandatangan Digital Perkara yang perlu dipatuhi adalah seperti berikut: i. Pengguna hendaklah bertanggungjawab sepenuhnya ke atas media tandatangan digital bagi melindungi daripada kecurian, kehilangan, kerosakan, penyalahgunaan dan pengklonan; ii. Media ini tidak boleh dipindah milik atau dipinjamkan; dan iii. Sebarang insiden kehilangan yang berlaku hendaklah dilaporkan dengan segera kepada ICTSO untuk tindakan seterusnya. d. Media Perisian dan Aplikasi Perkara yang perlu dipatuhi adalah seperti berikut: i. Hanya perisian yang diperakui bagi kegunaan UPM; 15

21 ii. Sistem aplikasi dalaman tidak dibenarkan didemonstrasi atau diagih kepada pihak lain kecuali dengan kebenaran Pengurusan UPM; iii. Lesen perisian (Kod Pendaftaran, nombor siri, CD-keys) perlu dilindungi bagi mengelakkan daripada berlakunya kecurian atau cetak rompak; dan iv. Kod Sumber dan dokumentasi sesuatu sistem aplikasi UPM hendaklah disimpan dengan teratur dan sebarang pindaan mestilah mengikut prosedur yang ditetapkan. e. Penyelenggaraan Peralatan Perkara yang perlu dipatuhi adalah seperti berikut: i. Semua peralatan yang diselenggara hendaklah mematuhi spesifikasi yang ditetapkan oleh pengeluar; ii. Peralatan hanya boleh diselenggara oleh staf UPM atau pihak ketiga yang dibenarkan sahaja; iii. Bertanggungjawab terhadap setiap peralatan bagi penyelenggaraan peralatan sama ada dalam tempoh jaminan atau telah tamat tempoh jaminan; iv. Menyemak dan menguji semua peralatan sebelum dan selepas proses penyelenggaraan; dan v. Memaklumkan pengguna sebelum melaksanakan penyelenggaraan mengikut jadual yang ditetapkan atau atas keperluan. f. Peralatan di Luar Premis Peralatan yang dibawa keluar dari premis UPM adalah terdedah kepada pelbagai risiko. Perkara yang perlu dipatuhi adalah seperti berikut: i. Peralatan perlu dilindungi dan dikawal; dan ii. Penyimpanan atau penempatan peralatan mestilah mengambil kira ciri-ciri keselamatan yang bersesuaian. g. Pelupusan Peralatan Pelupusan melibatkan semua peralatan ICT, sama ada harta modal atau inventori yang telah rosak, usang dan tidak boleh dibaiki, yang disediakan oleh UPM dan ditempatkan di UPM. Peralatan ICT yang hendak dilupuskan perlu melalui prosedur pelupusan semasa. Pelupusan perlu dilakukan secara terkawal dan lengkap supaya maklumat tidak terlepas daripada kawalan UPM. Perkara yang perlu dipatuhi adalah seperti berikut: i. Data di dalam storan hendaklah dipastikan telah dihapuskan dengan cara yang selamat sebelum sesuatu peralatan ICT dilupuskan atau sebelum dipindah milik; ii. Sekiranya maklumat perlu disimpan, maka pengguna bolehlah membuat penduaan mengikut kaedah yang ditetapkan; iii. Peralatan yang hendak dilupus hendaklah disimpan di tempat yang telah dikhaskan yang mempunyai ciri-ciri keselamatan; dan 16

22 iv. Pengguna ICT adalah DILARANG SAMA SEKALI daripada melakukan perkara seperti berikut: a. Menyimpan mana-mana peralatan ICT yang hendak dilupuskan untuk milik peribadi. b. Menyimpan dan memindahkan perkakasan luaran komputer seperti AVR, speaker dan mana-mana peralatan yang berkaitan ke mana-mana bahagian di UPM. c. Memindah keluar dari UPM mana-mana peralatan ICT yang hendak dilupuskan. d. Melupuskan sendiri peralatan ICT Keselamatan Persekitaran Melindungi aset ICT UPM daripada sebarang bentuk ancaman persekitaran yang disebabkan oleh bencana alam, kesilapan, kecuaian atau kemalangan. a. Kawalan Persekitaran Bagi menghindarkan kerosakan dan gangguan terhadap premis ICT, semua cadangan berkaitan premis sama ada untuk memperoleh, menyewa, ubahsuai, pembelian hendaklah dirujuk terlebih dahulu kepada pihak yang menguruskan keselamatan dan kesihatan pekerjaan; dan pihak yang menguruskan pembangunan serta pengurusan aset di UPM. Bagi menjamin keselamatan persekitaran, perkara berikut hendaklah dipatuhi: i. Merancang dan menyediakan pelan keseluruhan susun atur pusat data (bilik percetakan, peralatan komputer dan ruang atur pejabat dan sebagainya) dengan teliti; ii. Semua ruang pejabat khususnya kawasan yang mempunyai kemudahan ICT hendaklah dilengkapi dengan perlindungan keselamatan yang mencukupi dan dibenarkan, seperti alat sistem pasif dan aktif pengesan pencegah kebakaran; iii. Peralatan perlindungan hendaklah dipasang di tempat yang bersesuaian, mudah dikenali dan dikendalikan; iv. Bahan kimia mudah terbakar hendaklah disimpan di luar kawasan kemudahan penyimpanan aset ICT; v. Semua sumber cecair hendaklah diletakkan di tempat yang bersesuaian dan berjauhan daripada aset ICT; vi. Tidak menggunakan peralatan elektrik yang tidak berkaitan; vii. Semua peralatan perlindungan hendaklah disemak dan diuji mengikut peraturan dan keperluan semasa; dan viii. Akses kepada saluran riser hendaklah sentiasa dikunci. b. Bekalan Kuasa Bekalan kuasa merupakan punca kuasa elektrik yang dibekalkan kepada peralatan ICT. Perkara yang perlu dipatuhi adalah seperti berikut: 17

23 i. Semua peralatan ICT hendaklah dibekalkan dengan bekalan elektrik yang sesuai; ii. Peralatan sokongan seperti Uninterruptable Power Supply (UPS) dan penjana (generator) perlu digunakan bagi perkhidmatan kritikal seperti di Pusat Data supaya mendapat bekalan kuasa berterusan; dan iii. Semua peralatan sokongan bekalan kuasa hendaklah disemak dan diuji secara berjadual. c. Kabel Rangkaian Kabel rangkaian hendaklah dilindungi kerana ia boleh menyebabkan maklumat menjadi terdedah. Langkahlangkah keselamatan yang perlu diambil adalah seperti berikut: i. Menggunakan kabel rangkaian yang mengikut Sistem Pengkabelan Berstruktur (Structured Cabling System) dan spesifikasi yang telah ditetapkan; ii. Melindungi kabel rangkaian daripada kerosakan yang disengajakan atau tidak disengajakan; iii. Semua kabel rangkaian perlu dilabelkan dengan jelas dan mestilah melalui trunking yang dilindungi bagi memastikan keselamatan kabel rangkaian daripada kerosakan dan pintasan maklumat; dan iv. Sebarang kerosakan yang berlaku ke atas kabel rangkaian perlu diambil tindakan segera. d. Prosedur Kecemasan Setiap pengguna hendaklah membaca, memahami dan mematuhi prosedur kecemasan premis di UPM Keselamatan Dokumen Melindungi maklumat UPM daripada sebarang bentuk ancaman persekitaran yang disebabkan oleh bencana alam, kesilapan atau kecuaian dan perubahan teknologi. Dokumen Perkara yang perlu dipatuhi adalah seperti berikut: i. Setiap dokumen hendaklah difailkan dan dilabel mengikut klasifikasi keselamatan; ii. Pergerakan fail dan dokumen hendaklah direkodkan dan perlulah mengikut prosedur keselamatan; iii. Kehilangan dan kerosakan ke atas semua jenis dokumen perlu dimaklumkan mengikut prosedur Arahan Keselamatan; dan iv. Pelupusan dokumen hendaklah mengikut prosedur keselamatan semasa seperti mana Arahan Keselamatan, Arahan Amalan (Jadual Pelupusan Rekod) dan tatacara Jabatan Arkib Negara. 18

24 7.6 PENGURUSAN OPERASI DAN KOMUNIKASI Pengurusan Prosedur Operasi Memastikan pengurusan operasi dilaksana dengan betul dan selamat daripada sebarang ancaman dan gangguan. a. Pengendalian Prosedur Perkara yang perlu dipatuhi adalah seperti berikut: i. Semua prosedur pengurusan operasi yang diwujudkan, dikenal pasti dan diguna pakai hendaklah didokumenkan, disimpan dan dikawal; ii. Setiap prosedur mestilah mengandungi arahan yang jelas, teratur dan lengkap; dan iii. Semua prosedur hendaklah dikemas kini dari semasa ke semasa atau mengikut keperluan. b. Kawalan Perubahan Perkara yang perlu dipatuhi adalah seperti berikut: i. Pengubahsuaian yang melibatkan perkakasan, sistem untuk pemprosesan maklumat, perisian dan prosedur mestilah mendapat kebenaran daripada pegawai yang bertanggungjawab atau pemilik aset ICT terlebih dahulu; ii. Aktiviti seperti memasang, menyelenggara, menghapus dan mengemas kini mana-mana komponen sistem ICT hendaklah dikendalikan oleh pihak atau pegawai yang diberi kuasa dan mempunyai pengetahuan atau terlibat secara langsung dengan aset ICT berkenaan; iii. Semua aktiviti pengubahsuaian komponen sistem ICT hendaklah mematuhi spesifikasi perubahan yang telah ditetapkan; dan iv. Semua aktiviti perubahan atau pengubahsuaian hendaklah direkod dan dikawal bagi mengelakkan berlakunya ralat. c. Pengasingan Tugas dan Tanggungjawab Perkara yang perlu dipatuhi adalah seperti berikut: i. Skop tugas dan peranan setiap pegawai perlu diasingkan bagi mengurangkan peluang berlaku penyalahgunaan atau pengubahsuaian yang tidak dibenarkan ke atas aset ICT; ii. Tugas mewujud, menghapus, mengemas kini, mengubah dan mengesahkan data hendaklah diasingkan bagi mengelakkan daripada capaian yang tidak dibenarkan serta melindungi aset ICT daripada kesilapan, kebocoran maklumat terperingkat atau dimanipulasi; dan iii. Perkakasan yang digunakan bagi tugas membangun, mengemas kini, menyenggara dan menguji aplikasi hendaklah diasingkan daripada perkakasan yang digunakan semasa production. 19

25 7.6.2 Pengurusan Penyampaian Perkhidmatan Pihak Ketiga Memastikan pelaksanaan dan penyelenggaraan tahap keselamatan maklumat dan penyampaian perkhidmatan yang sesuai selaras dengan perjanjian perkhidmatan dengan pihak ketiga. Penyampaian Perkhidmatan Perkara yang mesti dipatuhi adalah seperti berikut: i. Memastikan kawalan keselamatan, skop perkhidmatan dan tahap penyampaian yang terkandung dalam perjanjian dipatuhi, dilaksana dan diselenggarakan oleh pihak ketiga; dan ii. Perkhidmatan, laporan dan rekod yang dikemukakan oleh pihak ketiga perlu sentiasa dipantau, disemak semula dan diaudit dari semasa ke semasa Perancangan dan Penerimaan Sistem Meminimumkan risiko yang boleh menyebabkan gangguan atau kegagalan sistem. a. Perancangan Kapasiti (Keupayaan) Kapasiti sesuatu komponen atau sistem ICT hendaklah dirancang, diurus dan dikawal dengan teliti oleh pegawai yang bertanggungjawab bagi memastikan keperluannya adalah mencukupi dan bersesuaian untuk pembangunan dan kegunaan sistem ICT. Keperluan kapasiti ini juga perlu mengambil kira ciri-ciri keselamatan ICT bagi meminimumkan risiko seperti gangguan pada perkhidmatan dan kerugian akibat pengubahsuaian yang tidak dirancang. b. Penerimaan Sistem Semua sistem baharu (termasuklah sistem yang dikemas kini atau diubahsuai) hendaklah memenuhi kriteria yang ditetapkan sebelum diterima atau dipersetujui Perisian Berbahaya Melindungi integriti perisian dan maklumat daripada pendedahan atau kerosakan yang disebabkan oleh perisian berbahaya (malicious software). a. Perlindungan daripada Perisian Berbahaya Perkara yang perlu dipatuhi adalah seperti berikut: i. Memasang sistem keselamatan seperti Anti Virus, Intrusion Detection System (IDS) dan Intrusion 20

26 Prevention System (IPS) untuk mengesan perisian atau fail berbahaya; ii. Memasang dan menggunakan hanya perisian yang tulen, berdaftar dan dilindungi di bawah mana-mana undang-undang bertulis yang berkuat kuasa; iii. Mengimbas semua peralatan ICT kecuali peralatan yang tersenarai dalam Senarai Peralatan ICT yang dikecualikan daripada Pengimbas Antivirus ; iv. Memastikan paten antivirus dikemaskini dengan versi terkini; v. Menyemak kandungan sistem atau maklumat secara berkala bagi mengesan aktiviti yang tidak diingini seperti kehilangan dan kerosakan maklumat; vi. Mempunyai kesedaran mengenai ancaman perisian berbahaya dan cara mengendalikannya; vii. Memasukkan klausa liabiliti di dalam kontrak yang akan ditawarkan kepada pihak ketiga. Klausa ini bertujuan untuk tuntutan baik pulih sekiranya perisian tersebut mengandungi program berbahaya; dan viii. Memberi amaran mengenai ancaman keselamatan ICT seperti serangan virus. b. Perlindungan daripada Mobile Code Penggunaaan mobile code yang boleh mendatangkan ancaman keselamatan ICT adalah tidak dibenarkan Penyelenggaraan Maklumat Melindungi integriti maklumat agar boleh diakses apabila diperlukan. a. Backup Backup hendaklah dilakukan bagi memastikan sistem dapat digunakan semula sekiranya berlaku bencana. Perkara yang perlu dipatuhi adalah seperti berikut: i. Membuat backup keselamatan ke atas semua sistem perisian dan aplikasi secara berkala atau apabila terdapat perubahan versi; ii. Membuat backup ke atas semua data dan maklumat mengikut keperluan operasi. Kekerapan backup bergantung pada tahap kritikal maklumat; iii. Menguji sistem backup dan restore sedia ada bagi memastikan ianya dapat berfungsi dengan sempurna, boleh dipercayai dan berkesan apabila digunakan khususnya pada waktu kecemasan; iv. Menyimpan sekurang-kurangnya satu (1) generasi backup bergantung kepada keperluan sistem; dan v. Merekod dan menyimpan salinan backup di lokasi yang berlainan, selamat dan bergantung kepada keperluan sistem. 21

27 b. Housekeeping Housekeeping perlu dilakukan bagi memastikan sistem dapat berfungsi dengan baik. Perkara yang perlu dipatuhi adalah seperti berikut: i. Pengemaskinian perisian dan sistem aplikasi; dan ii. Pengurusan fail sistem dan storan seperti pembersihan log dan fail sementara (temporary file) Pengurusan Rangkaian Melindungi maklumat dalam rangkaian dan infrastruktur sokongan. Kawalan Infrastruktur Rangkaian Infrastruktur rangkaian mestilah dikawal dan diuruskan sebaik mungkin bagi melindungi daripada ancaman kepada maklumat. Perkara yang perlu dipatuhi adalah seperti berikut: i. Tanggungjawab dan kerja operasi hendaklah diasingkan untuk menghalang capaian dan pengubahsuaian yang tidak dibenarkan; ii. Perkakasan firewall hendaklah dipasang, dikonfigurasi dan ditadbir. Semua trafik keluar dan masuk hendaklah melalui firewall; iii. Pengguna dilarang menggunakan perisian sniffer atau network analyzer kecuali mendapat kebenaran pentadbir sistem rangkaian; iv. Memasang Intrusion Prevention System (IPS) bagi mengesan sebarang cubaan menceroboh dan aktiviti lain yang boleh mengancam sistem dan maklumat UPM; v. Memasang Web Content Filtering pada Internet Gateway untuk menyekat aktiviti yang dilarang; vi. Sebarang penyambungan rangkaian tanpa kelulusan adalah tidak dibenarkan; vii. Sistem intranet UPM hanya boleh diakses menggunakan sistem rangkaian UPM sahaja seperti menggunakan teknologi Virtual Private Network (VPN); dan viii. Semua peralatan ICT (termasuk peralatan bukan aset UPM) yang menggunakan sistem rangkaian UPM perlu selamat dan tidak mendatangkan risiko Pengendalian Media Melindungi peralatan media digital daripada sebarang pendedahan, pengubahsuaian, perpindahan atau pemusnahan serta gangguan ke atas aktiviti perkhidmatan. a. Penghantaran dan Perpindahan Penghantaran atau perpindahan media storan dan maklumat ke luar pejabat hendaklah mendapat kebenaran daripada pegawai yang bertanggungjawab. 22

28 b. Kaedah Pengendalian Media Kaedah pengendalian media yang perlu dipatuhi adalah seperti berikut: i. Melabelkan media jika perlu mengikut tahap klasifikasi sesuatu maklumat; ii. Menghadkan pengedaran data atau media untuk tujuan yang dibenarkan sahaja; dan iii. Menyimpan semua media di tempat yang selamat. c. Keselamatan Dokumentasi Sistem Memastikan penyimpanan dokumentasi sistem adalah terkawal dan mempunyai ciri-ciri keselamatan Pengurusan Pertukaran Maklumat Memastikan keselamatan pertukaran maklumat dan perisian antara UPM dan agensi luar terjamin. a. Pertukaran Maklumat Perkara yang perlu dipatuhi adalah seperti berikut: i. Persetujuan bertulis perlu diwujudkan untuk pertukaran maklumat dan perisian di antara UPM dengan agensi luar melalui penggunaan pelbagai jenis kemudahan komunikasi; ii. Maklumat yang terdapat dalam mesej elektronik perlu dilindungi sebaik-baiknya; dan iii. Media yang mengandungi maklumat perlu dilindungi daripada capaian yang tidak dibenarkan, penyalahgunaan atau kerosakan semasa pemindahan keluar dari UPM. b. Pengurusan Mel Elektronik (e-mel) Penggunaan e-mel di UPM hendaklah dipantau secara berterusan oleh pentadbir sistem e-mel untuk memenuhi keperluan etika penggunaan e-mel dan Internet yang terkandung dalam Pekeliling Kemajuan Pentadbiran Awam Bilangan 1 Tahun 2003 bertajuk Garis Panduan Mengenai Tatacara Penggunaan Internet dan Mel Elektronik di Agensiagensi Kerajaan dan mana-mana undang-undang bertulis yang berkuat kuasa. Perkara yang perlu dipatuhi dalam pengendalian mel elektronik adalah seperti berikut: i. Akaun atau alamat mel elektronik (e-mel) yang diperuntukkan oleh UPM sahaja boleh digunakan. Penggunaan akaun milik orang lain atau akaun yang dikongsi bersama adalah dilarang; ii. Setiap e-mel yang disediakan hendaklah mematuhi format yang telah ditetapkan oleh UPM; iii. Memastikan subjek dan kandungan e-mel adalah berkaitan dan menyentuh perkara perbincangan yang sama sebelum penghantaran dilakukan; 23