PENGURUSAN PUSAT PEMBANGUNAN MAKLUMAT & KOMUNIKASI. Kod Dokumen : UPM/ISMS/PGR/MP MANUAL SISTEM PENGURUSAN KESELAMATAN MAKLUMAT ISI KANDUNGAN

Transkripsi

1 PUSAT PEMBANGUNAN & KOMUNIKASI Halaman: 1/38 ISI KANDUNGAN SEKSYEN/ RUJUKAN TAJUK MUKA SURAT 1.0 PENGENALAN Tujuan Skop Tarikh Kuatkuasa ORGANISASI Latar Belakang Visi Misi Matlamat UPM KEPERLUAN ISMS Latar Belakang Pemetaan ISMS KONTEKS ORGANISASI Memahami Organisasi Memahami Keperluan dan Harapan Pihak Berkaitan Skop ISMS KEPEMIMPINAN Kepimpinan dan komitmen Polisi ISMS Peranan dan Tanggungjawab PERANCANGAN Tindakan untuk Menangani Risiko dan Peluang Am Penilaian Risiko Pemulihan Risiko Pelan Perancangan Pencapaian Objektif Keselamatan Maklumat SOKONGAN Am Kompetensi Kesedaran Komunikasi Keperluan Dokumentasi OPERASI Perancangan dan Kawalan Operasi Pusat Data Penilaian Risiko Pemulihan Risiko PENILAIAN PRESTASI Pemantauan, Pengukuran, Analisis dan Penilaian Audit Dalaman 32

2 PUSAT PEMBANGUNAN & KOMUNIKASI Halaman: 2/ Kajian Semula Pengurusan PENAMBAHBAIKAN Ketakakuran dan Tindakan pembetulan Penambahbaikan Berterusan 36 Rajah 1 Pemetaan ISMS 6 Rajah 2 Hubung Kait ISO 27001:2005 kepada ISO/IEC 27001: Rajah 3 Lokasi Pelaksanaan Pensijilan ISMS UPM 16 Rajah 4 Struktur Organisasi ISMS UPM 20 Jadual 1 Memahami Keperluan dan Harapan Pihak Berkaitan 9 Jadual 2 Peranan dan Tanggungjawab Organisasi UPM 20 Jadual 3 Pelan Perancangan Pencapaian Objektif Keselamatan Maklumat 25 Jadual 4 Kaedah Komunikasi Secara Dalaman dan Luaran 28 Jadual 5 Pilihan Cadangan Kawalan Keputusan Penilaian Risiko 31 Lampiran A Pelan Lantai Bangunan Pusat Data Utama (DC) 37 Lampiran B Pelan Lantai Bangunan Pusat Data Kedua (DRC) 38

3 PUSAT PEMBANGUNAN & KOMUNIKASI Halaman: 3/38 PERKARA 1: PENGENALAN 1.1 TUJUAN Manual ISMS ini bertujuan menerangkan pelaksanaan Sistem Pengurusan Keselamatan Maklumat berlandaskan keperluan Piawaian ISO/IEC 27001:2013 Information Security Management Systems (ISMS) di Universiti Putra Malaysia (UPM) dalam mengurus sistem keselamatan maklumat selaras dengan semua peraturan keselamatan maklumat yang berkuatkuasa dari semasa ke semasa. Manual ini disokong dengan Kaedah-Kaedah Universiti Putra Malaysia (Teknologi Maklumat Dan Komunikasi) 2014, prosedur, garis panduan, piawaian pengoperasian (SOP), borang dan dokumen sokongan yang berkaitan. 1.2 SKOP Manual ini mengandungi lapan (8) perkara berikut: a. Perkara 1: Keperluan ISMS; b. Perkara 2: Konteks Organisasi (Klausa 4); c. Perkara 3: Kepemimpinan (Klausa 5); d. Perkara 4: Perancangan (Klausa 6); e. Perkara 5: Sokongan (Klausa 7); f. Perkara 6: Operasi (Klausa 8); g. Perkara 7: Penilaian prestasi (Klausa 9); dan h. Perkara 8: Penambahbaikan (Klausa 10). 1.3 TARIKH BERKUAT KUASA Manual ini berkuat kuasa mulai tarikh 10 November 2014.

4 PUSAT PEMBANGUNAN & KOMUNIKASI Halaman: 4/38 PERKARA 2: ORGANISASI 2.1 LATAR BELAKANG Universiti Putra Malaysia bermula daripada penubuhan Sekolah Pertanian pada 21 Mei 1931 yang memberi tumpuan dan penekanan kepada bidang pertanian di Tanah Melayu. Sekolah Pertanian tersebut telah dinaiktaraf menjadi Kolej Pertanian Malaya pada 3 Jun Selaras dengan kepentingan sektor pertanian kepada ekonomi negara, kolej ini telah dinaiktaraf menjadi Universiti Pertanian Malaysia dan diaktakan sebagai satu Perintah Perbadanan di bawah Akta Universiti dan Kolej Universiti 1971, dan disiarkan menerusi Warta Kerajaan P.U.(A) 387 pada 29 Oktober Sebagai sebuah universiti yang dinamik dan sensitif kepada tuntutan semasa dan keperluan pembangunan dalam pelbagai disiplin, nama Universiti Pertanian Malaysia telah ditukarkan kepada Universiti Putra Malaysia pada 3 April VISI Menjadi Sebuah Universiti Bereputasi Antarabangsa. 2.3 MISI Memberikan sumbangan bermakna kepada pembentukan kekayaan dan pembangunan negara serta kemajuan manusia sejagat menerusi penerokaan dan penyebaran ilmu. 2.4 MATLAMAT UPM Untuk mencapai visi dan misi yang telah diwujudkan, UPM telah menggubal 5 matlamat seperti yang dinyatakan dalam Pelan Strategi UPM iaitu: Matlamat 1 : Mempertingkatkan Kualiti dan Daya Saing Graduan Matlamat 2 : Penjanaan Nilai melalui Ekosistem RDCE yang Mantap dan Lestari Matlamat 3 : Melonjakkan Perkhidmatan Jaringan Industri dan Masyarakat Matlamat 4 : Memperkasakan UPM sebagai Pusat Kecemerlangan Pertanian Matlamat 5 : Mempertingkatkan Kualiti Tadbir Urus

5 PUSAT PEMBANGUNAN & KOMUNIKASI Halaman: 5/38 PERKARA 3: KEPERLUAN ISMS 3.1 LATAR BELAKANG ISO/IEC 27001:2013 ISMS merupakan piawaian yang menetapkan satu set keperluan Sistem Pengurusan Keselamatan Maklumat. Istilah maklumat, merangkumi koleksi fakta dalam bentuk kertas atau mesej elektronik bagi mencapai misi dan objektif organisasi. Maklumat merangkumi sistem dokumentasi, prosedur operasi, rekod agensi, profil pelanggan, pangkalan data dan fail data, maklumat arkib dan lain-lain. Pembudayaan ISMS akan mewujudkan sistem penyampaian yang bukan sahaja memenuhi tuntutan serta kepuasan pengguna dan mematuhi peraturan semasa tetapi membolehkan sistem penyampaian beroperasi dalam keadaan baik, selamat dan terkawal. ISMS turut menyedia tanda aras (benchmark) tahap pengurusan keselamatan maklumat Universiti berasaskan piawaian antarabangsa serta memantapkan perlindungan maklumat dalam aset ICT berteraskan prinsip-prinsip kerahsiaan, integriti dan kebolehsediaan. ISMS dibangunkan berdasarkan kepada keperluan dalam Klausa 4: Konteks Organisasi hingga Klausa 10: Penambahbaikan dalam piawaian ISO/IEC 27001:2013 yang hendaklah dipatuhi mengikut keperluan piawaian standard.

6 PUSAT PEMBANGUNAN & KOMUNIKASI Halaman: 6/ Pemetaan ISMS Ringkasan keperluan bagi Klausa 4 hingga Klausa 10 seperti berikut (Rajah 1: Pemetaan ISMS): Rajah 1: Pemetaan ISMS

7 PUSAT PEMBANGUNAN & KOMUNIKASI Halaman: 7/38 PERKARA 4: KONTEKS ORGANISASI (Klausa 4) 4.1 MEMAHAMI ORGANISASI Universiti Putra Malaysia merupakan salah sebuah Universiti penyelidikan yang terunggul di Malaysia. Entiti akademik yang terkenal di seantero dunia ini terletak di Serdang, iaitu bersebelahan dengan Wilayah Pentadbiran Putrajaya. Sebagai sebuah Pusat Pengajian dan Penyelidikan yang mempunyai reputasi bertaraf antarabangsa, UPM telah berjaya menyatukan para pelajar dan warga kerja dari serata dunia sekali gus menjadikan UPM sebuah entiti global yang amat disegani Proses Utama Universiti melibatkan empat (4) komponen di bawah: a. Pengajaran dan Pembelajaran b. Penyelidikan c. Perundingan dan Perkhidmatan Professional d. Jaringan Luar UPM mempunyai komitmen yang tinggi untuk merealisasikan hasrat menjadi sebuah universiti bereputasi antarabangsa khususnya dalam melonjakkan pencapaian kedudukan UPM dalam senarai 200 universiti terbaik di dunia dalam penilaian QS World University Ranking Isu-isu yang Mempengaruhi Sistem Pengurusan Keselamatan Maklumat a. Kebergantungan penggunaan ICT dalam mentadbir dan mengurus operasi Universiti untuk merealisasikan visi dan misi; b. Persekitaran Pusat Data yang kurang kondusif, pengendalian dan tadbir urus pemusatan data dan pangkalan data elektronik Universiti kurang mantap; c. Kawalan dan seliaan data digital tidak berpusat;

8 PUSAT PEMBANGUNAN & KOMUNIKASI Halaman: 8/38 d. Risiko ancaman siber seperti terdedah kepada ketirisan, kecurian dan salah guna maklumat; e. Tadbir urus keselamatan maklumat yang kurang mantap; dan f. Penyalahgunaan maklumat kakitangan dan pelajar Hasil Sistem Pengurusan Keselamatan Maklumat a. Pemusatan pangkalan data dan saluran akses yang terkawal dan dibenarkan; b. Jaminan kerahsiaan, integriti dan ketersediaan maklumat dari Pusat Data; c. Operasi Sistem Utama Universiti yang selamat dan boleh dipercayai; dan d. Memantapkan tadbir urus keselamatan maklumat di Pusat Data.

9 PUSAT PEMBANGUNAN & KOMUNIKASI Halaman: 9/38 Tarikh: 24/10/ MEMAHAMI KEPERLUAN DAN HARAPAN PIHAK BERKAITAN Pihak Pengurusan UPM telah menetapkan pihak berkepentingan yang terlibat dengan skop pensijilan (Jadual 1). BIL PEMEGANG TARUH PLATFORM KEPERLUAN DAN HARAPAN KESELAMATAN PIHAK DALAMAN C I A 1 Pelajar 1. Sistem Maklumat Maklumat Pelajar Pelajar Prasiswazah (SMP) H H H 2. Sistem Maklumat Pelajar Pasca H H H Siswazah (igims) 3. Sistem Kewangan Maklumat Kewangan (KEW) Pelajar H H H 4. Laman Web Utama Universiti (WEB) Maklumat Profil Universiti 2 Staf 1. SMP Maklumat Pelajar 2. igims L H H H H H H H H 3. KEW Maklumat Kewangan Pelajar H H H SALURAN 1. u-respon 2. Emel Rasmi 3. Laman Web PTJ 1. Emel Rasmi 2. Mesyuarat 3. Surat 4. Buletin PIHAK BERTANGGUNG JAWAB Tanggungjawab Bahagian Akademik Tanggungjawab Sekolah Pengajian Siswazah Tanggungjawab Pejabat Bursar Tanggungjawab Pejabat Perancangan Strategik dan Korporat (PPSK) Tanggungjawab Bahagian Akademik Tanggungjawab Sekolah Pengajian Siswazah Tanggungjawab Pejabat Bursar

10 PUSAT PEMBANGUNAN & KOMUNIKASI Halaman: 10/38 Tarikh: 24/10/2014 BIL PEMEGANG TARUH PLATFORM 4. Sistem Sumber Manusia (HRM) Maklumat Staf 5. WEB 1. Maklumat Profil Universiti 2. Maklumat Penyelidikan KEPERLUAN DAN HARAPAN KESELAMATAN H H H L H H SALURAN PIHAK BERTANGGUNG JAWAB Tanggungjawab Pejabat Pendaftar Tanggungjawab Pejabat Perancangan Strategik dan Korporat (PPSK) PIHAK LUARAN 3 Kementerian Pendidikan Malaysia (KPM) 1. SMP Maklumat Pelajar 2. igims H H H H H H 3. KEW Maklumat Kewangan Pelajar H H H 4. HRM Maklumat Staf 5. WEB Maklumat Profil Universiti H H H L H H 1. Surat 2. Emel Rasmi 3. Mesyuarat Tanggungjawab Bahagian Akademik Tanggungjawab Sekolah Pengajian Siswazah Tanggungjawab Pejabat Bursar Tanggungjawab Pejabat Pendaftar Tanggungjawab Pejabat Perancangan Strategik dan Korporat (PPSK)

11 PUSAT PEMBANGUNAN & KOMUNIKASI Halaman: 11/38 Tarikh: 24/10/2014 PEMEGANG BIL TARUH 4 Jabatan Perkhidmatan Awam PLATFORM 1. KEW 1. Maklumat Kewangan Pelajar 2. Maklumat Staf 2. HRM 3. WEB Maklumat Profil Universiti 5 Pembekal 1. SMP Maklumat Pelajar 2. igims KEPERLUAN DAN HARAPAN KESELAMATAN H H H H H H L H H H H H H H H 3. KEW Maklumat Kewangan Pelajar H H H 4. HRM Maklumat Staf 5. WEB Maklumat Profil Universiti H H H L H H SALURAN 1. Surat 2. Emel Rasmi 3. Mesyuarat 1. u-respon 2. Web 3. Papan Kenyataan 4. Job sheet PIHAK BERTANGGUNG JAWAB Tanggungjawab Pejabat Bursar Tanggungjawab Pejabat Pendaftar Tanggungjawab Pejabat Perancangan Strategik dan Korporat (PPSK) Tanggungjawab Bahagian Akademik Tanggungjawab Sekolah Pengajian Siswazah Tanggungjawab Pejabat Bursar Tanggungjawab Pejabat Pendaftar Tanggungjawab Pejabat Perancangan Strategik dan Korporat (PPSK)

12 PUSAT PEMBANGUNAN & KOMUNIKASI Halaman: 12/38 Tarikh: 24/10/2014 BIL PEMEGANG TARUH PLATFORM 6 Ibubapa 1. SMP Maklumat Pelajar 2. igims 3. WEB Maklumat Profil Universiti KEPERLUAN DAN HARAPAN KESELAMATAN H H H H H H L H H 7 Awam WEB Maklumat Profil Universiti L H H Jadual 1: Memahami Keperluan dan Harapan Pihak Berkaitan SALURAN Surat Laman Web PIHAK BERTANGGUNG JAWAB Tanggungjawab Bahagian Akademik Tanggungjawab Sekolah Pengajian Siswazah Tanggungjawab Pejabat Perancangan Strategik dan Korporat (PPSK) Tanggungjawab Pejabat Perancangan Strategik dan Korporat (PPSK)

13 PUSAT PEMBANGUNAN & KOMUNIKASI Halaman: 13/ SKOP ISMS Dalam menentukan skop pensijilan ISMS UPM, Jawatankuasa Jaminan Kualiti ISMS telah mengenalpasti skop pensijilan ISMS seperti berikut berdasarkan kepada perkhidmatan ICT yang memberikan impak tinggi kepada keseluruhan proses utama Universiti. Rujuk Rajah 2. Rajah 2 : Hubung Kait ISO/IEC 27001:2013 kepada ISO/IEC 27001:2013

14 PUSAT PEMBANGUNAN & KOMUNIKASI Halaman: 14/38 Skop pensijilan ISMS UPM adalah seperti berikut: Pengurusan Sistem Keselamatan Maklumat (ISMS) adalah bagi operasi Pusat Data UPM merangkumi perkakasan (server dan storan) dan data/maklumat untuk aplikasi kritikal berikut: a. Laman Web Utama Universiti; b. Sistem Pengurusan Kewangan; c. Sistem Pengurusan Sumber Manusia; d. Sistem Maklumat Pelajar Prasiswazah (SMP); dan e. Sistem Maklumat Pelajar Pasca Siswazah (igims) Pengecualian Skop Pensijilan ISMS Pengecualian kepada skop pensijilan ISMS adalah sistem aplikasi yang tidak disenaraikan dalam skop, proses pembangunan sistem aplikasi, perkakasan (server dan storan) yang berada di luar Pusat Data UPM dan laman web PTJ. Justifikasi pengecualian adalah berdasarkan kepada perkara berikut: a. Ianya bukan proses sistem utama universiti; b. Proses pembangunan aplikasi dilaksanakan di luar operasi Pusat Data; c. Kawalan hanya kepada perkakasan (server dan storan) yang berada di parameter Pusat Data; d. Sumber maklumat rasmi Universiti diperolehi dari laman web utama Universiti sahaja; dan e. Tidak melibatkan data yang kritikal dan tidak menjejaskan sebahagian besar operasi utama UPM serta ianya merupakan aplikasi sokongan sahaja.

15 PUSAT PEMBANGUNAN & KOMUNIKASI Halaman: 15/ PROSES PERKHIDMATAN SKOP ISMS UPM Perkhidmatan operasi Pusat Data yang terlibat dalam skop pensijilan ISMS merangkumi proses berikut: a. Pelaksanaan operasi Pusat Data; b. Penyelenggaraan fasiliti Pusat Data; c. Pemantauan operasi Pusat Data; d. Penyenggaraan perkhidmatan operasi server di Pusat Data; e. Pemantauan capaian sistem di Pusat Data; f. Kawalan keselamatan di Pusat Data; dan g. Tindakan kecemasan di Pusat Data. Dokumen Rujukan: Prosedur Pengoperasian Pengurusan Pusat Data (UPM/ISMS/OPR/DC/P001) ASET ICT DALAM SKOP PENSIJILAN ISMS Aset utama dalam skop pensijilan ISMS UPM adalah seperti di Step 3 - Identification of Assets di dalam proses penilaian risiko. Dokumen Rujukan: Risk Assessment Data Center (UPM/ISMS/OPR/DC/RA)

16 PUSAT PEMBANGUNAN & KOMUNIKASI Halaman: 16/ LOKASI SKOP PENSIJILAN ISMS UPM Lokasi skop pelaksanaan pensijilan ISMS UPM adalah seperti butiran berikut: LOKASI UTAMA Universiti Putra Malaysia Pejabat Naib Canselor Universiti Putra Malaysia UPM Serdang, Selangor LOKASI PERTAMA Pusat Data Utama (DC) Pusat Pembangunan Maklumat dan Komunikasi (idec-beta) Universiti Putra Malaysia UPM Serdang, Selangor Tel : Fax : Tanggungjawab Ketua Unit Pusat Data Pelan Aras Rujuk plan lantai bangunan di Lampiran A LOKASI KEDUA Pusat Data Kedua (DRC) Pusat Pembangunan Maklumat dan Komunikasi (idec-epsilon) Blok 2, UPM-MTDC Server Farm Complex UPM Serdang, Selangor Tel : Fax : Tanggungjawab Pelan Aras Ketua Unit Pusat Data Rujuk plan lantai bangunan di Lampiran B Rajah 3: Lokasi Pelaksanaan Pensijilan ISMS UPM

17 PUSAT PEMBANGUNAN & KOMUNIKASI Halaman: 17/38 PERKARA 5: KEPEMIMPINAN (Klausa 5) 5.1 KEPIMPINAN DAN KOMITMEN Pengurusan Universiti Putra Malaysia (UPM) memberi komitmen dengan mewujud, melaksana, memantau, menyemak, menyelenggara dan menambah baik ISMS dengan melaksanakan perkara berikut: a. Memastikan objektif keselamatan maklumat dan Dasar ISMS diwujudkan selaras dengan Pelan Strategik Universiti; b. Menerapkan keperluan ISMS dalam proses perkhidmatan UPM; c. Menyediakan keperluan sumber untuk mematuhi ISMS; d. Memberi kesedaran berhubung dengan objektif keselamatan maklumat selaras dengan peraturan semasa dan menetapkan penjagaan keselamatan adalah suatu proses yang berterusan; e. Memastikan ISMS mencapai hasil yang telah ditetapkan; f. Menambah baik keberkesanan ISMS; dan g. Memperakui peranan dan tanggungjawab dalam keselamatan maklumat. 5.2 DASAR ISMS Pernyataan Dasar ISMS Universiti Putra Malaysia beriltizam mengadakan sistem pengurusan keselamatan maklumat yang berkesan melalui: a. Pematuhan kepada kehendak organisasi dan perundangan serta peraturan yang berkaitan; b. Pembangunan objektif dan matlamat berdasarkan objektif keselamatan; c. Komitmen bagi memenuhi keperluan berkaitan keselamatan maklumat; dan

18 PUSAT PEMBANGUNAN & KOMUNIKASI Halaman: 18/38 d. Penilaian semula dan pengubahsuaian dasar, objektif dan sasaran untuk penambahbaikan berterusan Objektif Keselamatan Maklumat Pihak Pengurusan UPM telah menetapkan Objektif Keselamatan Maklumat yang bersesuaian dengan fungsi yang terlibat bagi memastikan semua data dan maklumat di UPM adalah selamat. Untuk memastikan ISMS dilaksanakan dengan berkesan, Objektif Keselamatan Maklumat yang telah dikenalpasti adalah seperti berikut: a. Memastikan penilaian risiko dan pelan pemulihan risiko dilaksanakan apabila berlaku perubahan kepada dasar ISMS atau inventori yang termaktub dalam skop; b. Menjalankan ujian kesinambungan perkhidmatan ICT sekurang-kurangnya 1 kali setahun; c. Memastikan 80% staf telah diberi taklimat kesedaran mengenai ISMS dalam tempoh 5 tahun; d. Memastikan insiden ICT tidak melebihi 10 kali pada setiap tahun; e. Memastikan gangguan kepada ketersediaan rangkaian (internet dan intranet) tidak melebihi 10% setiap tahun; f. Memastikan gangguan bekalan kuasa di Pusat Data dipulihkan dalam tempoh 24 jam; dan g. Memastikan 100% data dipulihkan dalam tempoh 48 jam selepas insiden.

19 PUSAT PEMBANGUNAN & KOMUNIKASI Halaman: 19/ Pematuhan kepada Perundangan Pihak Pengurusan UPM telah menetapkan pemakaian Kaedah-Kaedah Universiti Putra Malaysia (Teknologi Maklumat dan Komunikasi) dan disokong oleh Garis Panduan Keselamatan Teknologi Maklumat dan Komunikasi (GPKTMK) sebagai peraturan keselamatan ICT di UPM Penambahbaikan Berterusan Terhadap Keselamatan Maklumat Pihak Pengurusan ISMS perlu membuat penambahbaikan berterusan terhadap keselamatan maklumat bagi meningkatkan keberkesanan ISMS melalui: a. Penemuan audit; b. Analisis pencapaian Objektif Keselamatan Maklumat; c. Tindakan pembetulan; dan d. Kajian semula pelaksanaan ISMS.

20 PUSAT PEMBANGUNAN & KOMUNIKASI Halaman: 20/ PERANAN DAN TANGGUNGJAWAB Struktur Organisasi ISMS BAHAGIAN PENGURUSAN KUALITI JAWATANKUASA JAMINAN KUALITI ISMS UPM PASUKAN AUDIT JAWATANKUASA ISMS SEKTOR PERKHIDMATAN KERAJAAN JAWATANKUASA PENGURUSAN ISMS JAWATANKUSA KERJA PENYELARAS ISMS JAWATANKUASA KERJA PELAKSANA ISMS PASUKAN RISK ASSESSMENT ISMS Rajah 4: Struktur Organisasi ISMS UPM Peranan dan Tanggungjawab Organisasi ISMS UPM PERANAN MESYUARAT KAJIAN SEMULA PENGURUSAN (MKSP) TANGGUNGJAWAB 1. Melaksanakan semakan pengurusan ke atas sistem pengurusan ISMS secara berkala bagi memastikan terus sesuai, mencukupi, dan berkesan; 2. Membuat penilaian ke atas peluang penambahbaikan dan keperluan perubahan kepada ISMS termasuk objektif keselamatan dan polisi keselamatan maklumat; dan 3. Meneliti laporan yang berkaitan dan membuat keputusan yang sesuai.

21 PUSAT PEMBANGUNAN & KOMUNIKASI Halaman: 21/38 PERANAN JAWATANKUASA JAMINAN KUALITI ISMS UPM TANGGUNGJAWAB 1. Memastikan kesesuaian, kecukupan dan keberkesanan pelaksanaan ISMS secara berkala; 2. Membuat penilaian ke atas peluang penambahbaikan dan keperluan perubahan kepada pengukuran keberkesanan; 3. Meluluskan sebarang cadangan pindaan dokumen skop pengurusan; dan 4. Mengambil maklum keberkesanan pelaksanaan ISMS di peringkat pentadbir proses. BAHAGIAN PENGURUSAN KUALITI (BPQ) JAWATANKUASA PENGURUSAN ISMS UPM JAWATANKUASA KERJA PELAKSANA ISMS 1. Menyelaras Hubungan Badan Pensijilan SIRIM 1. Memantau pelaksanaan ISMS; 2. Memantau pencapaian objektif keselamatan; 3. Melaksana penambahbaikan terhadap dokumentasi, proses dan perkhidmatan skop Sokongan dan operasi ISMS; 4. Menyediakan laporan keberkesanan pelaksanaan ISMS; 5. Membangunkan kriteria penerimaan risiko, tahap risiko dan pelan pemulihan risiko; dan 6. Melaksanakan keputusan dan tindakan hasil Mesyuarat Kajian Semula Pengurusan ISMS. 1. Menyediakan analisis jurang, Statement of Applicability (SoA), penilaian risiko, pelan pemulihan risiko dan prosedur-prosedur; 2. Melaksanakan pelan pemulihan risiko; dan 3. Membangun dan mengukur keberkesanan kawalan ISMS.

22 PUSAT PEMBANGUNAN & KOMUNIKASI Halaman: 22/38 PERANAN JAWATANKUASA KERJA PENYELARAS ISMS (URUS SETIA) TANGGUNGJAWAB 1. Merancang latihan berkaitan ISMS; 2. Urus setia kepada pelaksanaan Jawatankuasa ISMS; dan 3. Memantau tindakan susulan ke atas tindakan pembetulan dan peluang penambahbaikan ISMS serta menyelenggara rekod berkaitan. PASUKAN AUDIT DALAMAN ISMS 1. Melaksana Audit Dalaman ISMS berdasarkan keperluan standard. 2. Menyediakan Laporan Audit Dalaman ISMS; 3. Melaporkan penemuan Audit Dalaman ISMS ke Jawatankuasa Jaminan Kualiti (JKJK) ISMS dan Jawatankuasa MKSP ISMS; dan 4. Menjalankan audit susulan bagi mengesahkan tindakan pembetulan yang dilaksanakan. PASUKAN PENILAIAN RISIKO 1. Mengurus dan melaksanakan aktiviti penilaian berisiko; 2. Mengendalikan semakan semula ouput dan dokumen sebelum disampaikan kepada Penasihat Projek; 3. Menilai keputusan, menilai jurang dan menyediakan laporan High Level Recommendation (HLR) dan Pelan Pemulihan Risiko. Jadual 2: Peranan dan tanggungjawab Organisasi ISMS UPM

23 PUSAT PEMBANGUNAN & KOMUNIKASI Halaman: 23/38 PERKARA 6: PERANCANGAN (Klausa 6) 6.1 TINDAKAN UNTUK MENANGANI RISIKO DAN PELUANG Am Garis Panduan Penilaian Risiko Aset disediakan untuk menilai tahap risiko aset ICT supaya pendekatan dan keputusan yang paling berkesan dikenal pasti bagi menyediakan perlindungan dan kawalan ke atas aset ICT UPM Penilaian Risiko Penilaian risiko aset ICT dilaksanakan berasaskan Metodologi Penilaian Risiko Terperinci MyRAM (Malaysian Public Sector ICT Risk Assessment Methodology) berpandukan kepada Surat Pekeliling Am Bilangan 6 Tahun 2005: Garis Panduan Penilaian Risiko Keselamatan Maklumat Sektor Awam Pemulihan Risiko Perkara yang perlu dikenalpasti dan dilaksanakan semasa proses pemulihan risiko adalah seperti berikut: a. Membuat pilihan cadangan pemulihan risiko (menerima, mengurangkan, memindahkan, atau mengelakkan); b. Mengenal pasti kawalan yang bersesuaian terhadap cadangan pemulihan risiko yang telah dipilih; c. Melaksanakan perbandingan antara kawalan yang dipilih dengan Annex A; d. Mewujudkan Statement of Applicability (SoA) yang mengandungi kawalan bersesuaian; e. Menyediakan Pelan Pemulihan Risiko; dan

24 PUSAT PEMBANGUNAN & KOMUNIKASI Halaman: 24/38 f. Mendapatkan kelulusan Pentadbir Proses dan Pentadbir Sistem serta penerimaan ke atas risiko yang telah dipilih. Statement of Applicability, SoA menjelaskan justifikasi kawalan dan dokumen rujukan dalam melindungi keselamatan aset ICT dalam skop ISMS. Pemilihan kawalan dalam SoA adalah hasil Pemulihan Risiko dan peraturan-peraturan perlindungan aset ICT dalam Kaedah-Kaedah UPM (Teknologi Maklumat dan Komunikasi) dan Garis Panduan Keselamatan Teknologi Maklumat Komunikasi (GPKTMK). Dokumen Rujukan: Garis Panduan Penilaian Risiko Aset (UPM/ISMS/SOK/GP02/RISK ASSESSMENT)

25 PUSAT PEMBANGUNAN & KOMUNIKASI Halaman: 25/ PELAN PERANCANGAN PENCAPAIAN OBJEKTIF KESELAMATAN Pihak pengurusan telah membangunkan Objektif Keselamatan Maklumat yang bersesuaian dengan fungsi yang terlibat. Objektif Keselamatan Maklumat yang telah diwujudkan adalah bersandarkan kepada Petunjuk Prestasi ICT atau ICT Key Performance Indicators (KPI) yang telah ditetapkan adalah seperti berikut: BIL. OBJEKTIF KESELAMATAN SUMBER 1. Memastikan penilaian risiko dan pelan pemulihan risiko dilaksanakan apabila berlaku perubahan kepada polisi ISMS atau inventori yang termaktub dalam skop 2. Menjalankan ujian kesinambungan perkhidmatan ICT sekurangkurangnya 1 kali setahun 3. Memastikan 80% staf telah diberi taklimat kesedaran mengenai ISMS dalam tempoh 5 tahun 4. Memastikan insiden ICT tidak melebihi 10 kali pada setiap tahun 5. Memastikan gangguan kepada ketersediaan rangkaian (internet dan intranet) tidak melebihi 10% setiap tahun 6. Memastikan gangguan sumber bekalan kuasa utama di Pusat Data dipulihkan dalam tempoh 24 jam 7. Memastikan 100% data dipulihkan dalam tempoh 48 jam selepas insiden Laporan Penilaian Risiko dan Pelan Pemulihan Risiko Laporan ujian kesinambungan perkhidmatan Senarai kehadiran taklimat KPI ICT KPI ICT KPI PPPA KPI ICT TANGGUNG JAWAB JK ISMS Pengarah IDEC JK Kerja Penyelaras ISMS Pengarah IDEC Pengarah IDEC Pengarah PPPA Pengarah IDEC RUJUKAN Carta perbatuan pelaksanaan ISMS Pelan Pemulihan Bencana ICT (DRP ICT) Carta perbatuan pelaksanaan ISMS Log Imbasan dan insiden UKICT Pelan perancangan pemantauan rangkaian Pelan Tindakan Peringkat Fungsian dan Aras UPM Pelan Pemulihan Bencana ICT (DRP ICT) Jadual 3: Pelan Perancangan Pencapaian Objektif Keselamatan Maklumat

26 PUSAT PEMBANGUNAN & KOMUNIKASI Halaman: 26/38 PERKARA 7: SOKONGAN (Klausa 7) 7.1 AM Pihak Pengurusan UPM telah menentukan dan menyediakan sumber yang diperlukan bagi penubuhan, pelaksanaan, penyelenggaraan dan penambahbaikan berterusan bagi Sistem Pengurusan Keselamatan Maklumat. 7.2 KOMPETENSI Pihak Pengurusan UPM memastikan setiap staf yang bertanggungjawab ke atas pematuhan ISMS mempunyai kompetensi yang sewajarnya dengan melaksanakan perkara berikut: a. Menentukan tahap kompetensi setiap staf yang menjalankan tugas keselamatan maklumat; b. Memberi latihan atau mengambil langkah-langkah lain untuk memenuhi tahap kompetensi yang diperlukan; c. Menilai keberkesanan tindakan yang diambil; dan d. Menyelenggara rekod latihan yang berkaitan. 7.3 KESEDARAN UPM menyediakan program kesedaran keselamatan maklumat bagi menjalankan tugas untuk mencapai objektif ISMS. Dokumen Rujukan: Prosedur Latihan Staf UPM (UPM/SOK/LAT/P001)

27 PUSAT PEMBANGUNAN & KOMUNIKASI Halaman: 27/ KOMUNIKASI Pihak pengurusan UPM telah mewujudkan komunikasi yang berkesan secara dalaman dan luaran berhubung keselamatan maklumat untuk: a. Menunjukkan komitmen pengurusan keselamatan maklumat; b. Berbincang dengan penuh tanggungjawab mengenai aspek keselamatan maklumat dan kesan terhadap UPM; c. Meningkatkan kesedaran mengenai polisi keselamatan maklumat dan objektif keselamatan; dan d. Memaklumkan tentang pelaksanaan ISMS, pemantauan ISMS, audit dan kajian semula pengurusan kepada staf berkaitan yang bertanggungjawab dalam proses keselamatan maklumat Universiti. BIL. PIHAK MEDIUM BERKAITAN KOMUNIKASI 1. Pelajar 1. u-respon 2. rasmi 3. laman web PTJ 2. Staf 1. rasmi 2. Mesyuarat 3. Surat 4. buletin BILA DIPERLUKAN Sesi pendaftaran pelajar Berterusan secara berkala melalui taklimat TANGGUNGAWAB 1. Tanggungjawab Bahagian Akademik dan Antarabangsa (BA) 2. Tanggungjawab Sekolah Pengajian Siswazah (SPS) 3. Tanggungjawab Pejabat Bursar (PB) 4. Tanggungjawab Pejabat Perancangan Strategik dan Korporat (PPSK) 1. Tanggungjawab BA 2. Tanggungjawab PB PROSES TERLIBAT 1. Maklumat Pelajar 2. Maklumat Kewangan Pelajar 3. Maklumat profil Universiti 1. Maklumat Pelajar 2. Maklumat Kewangan Staf 3. Maklumat profil Universiti

28 PUSAT PEMBANGUNAN & KOMUNIKASI Halaman: 28/38 BIL. PIHAK BERKAITAN 3. Kementerian Pendidikan Malaysia (KPM) 4. Jabatan Perkhidmatan Awam MEDIUM KOMUNIKASI 1. Surat 2. Emel rasmi 3. Mesyuarat 1. Surat 2. Emel rasmi 3. Mesyuarat 5. Pembekal 1. Urespon 2. Web 3. Papan kenyataan 4. Job sheet 6. Ibu bapa 1. Surat Surat tawaran 7. Awam 1. Laman web BILA DIPERLUKAN TANGGUNGAWAB 3. Tanggungjawab PPSK Mesyuarat 1. penyelarasan Tanggungjawab BA ISMS bagi 2. IPTA Tanggungjawab PB 3. Tanggungjawab PPSK 1. Tanggungjawab BA 2. Tanggungjawab PB 3. Tanggungjawab PPSK Taklimat 1. Tanggungjawab BA 2. Tanggungjawab PB 3. Tanggungjawab PPSK Sepanjang masa 1. Tanggungjawab BA 2. Tanggungjawab PPSK 1. Tanggungjawab PPSK Jadual 4: Kaedah Komunikasi Secara Dalaman dan Luaran PROSES TERLIBAT 4. Maklumat penyelidikan 1. Maklumat Pelajar 2. Maklumat Kewangan Staf 3. Maklumat profil Universiti 1. Maklumat Staf 2. Maklumat Kewangan Staf 3. Maklumat profil Universiti 1. Maklumat Staf/Pelajar 2. Maklumat Kewangan Staf 3. Maklumat profil Universiti 1. Maklumat Pelajar 2. Maklumat profil Universiti Maklumat profil Universiti 7.5 KEPERLUAN DOKUMENTASI Am UPM telah mengurus dan menyelenggara semua keperluan dokumentasi ISMS bagi memastikan semua dokumen dapat dikesan dan dicapai apabila diperlukan.

29 PUSAT PEMBANGUNAN & KOMUNIKASI Halaman: 29/ Mewujud dan Mengemaskini Dokumen Melibatkan beberapa perkara penting seperti berikut: a. Pengenalan dan penerangan yang melibatkan tajuk, tarikh kuatkuasa, tarikh kemaskini dan sejarah semakan dokumen; b. Format dan media yang digunakan samada secara elektronik atau cetakan bertulis; dan c. Semakan dan pengesahan ke atas setiap dokumen baru atau pindaan Kawalan Dokumen Mengurus, mengawal dan melindungi semua dokumen ISMS. Dokumen ISMS yang dinyatakan dalam Senarai Utama Dokumen Terkawal selaras dengan Prosedur Kawalan Dokumen ISMS. Kawalan rekod dilaksanakan berdasarkan tindakan berikut: a. Rekod ISMS (rekod fizikal dan elektronik) dan tempoh penyimpanannya dikenal pasti dalam setiap prosedur ISMS; b. Tatacara bagi mengurus, mengawal, mengenalpasti, menyimpan, mendapatkan semula dan melupuskan rekod fizikal dan elektronik didokumenkan; dan c. Pelupusan rekod ISMS fizikal dibuat mengikut Prosedur Kawalan Rekod ISMS. Dokumen Rujukan: Prosedur Kawalan Dokumen (UPM/ISMS/PGR/P001) Prosedur Kawalan Rekod (UPM/ISMS/PGR/P002)

30 PUSAT PEMBANGUNAN & KOMUNIKASI Halaman: 30/38 PERKARA 8: OPERASI (Klausa 8) 8.1 PERANCANGAN DAN KAWALAN OPERASI PUSAT DATA Pihak Pengurusan UPM telah merancang, melaksana dan mengawal proses yang diperlukan untuk memenuhi keperluan keselamatan maklumat dan melaksanakan tindakan yang ditentukan pada Klausa 6.1: Tindakan untuk Menangani Risiko dan Peluang. UPM juga telah melaksanakan rancangan untuk mencapai objektif keselamatan maklumat seperti yang telah ditentukan pada Klausa 6.2: Objektif Keselamatan Maklumat dan Pelan Perancangan. Dokumen Rujukan: Prosedur Pengoperasian Pengurusan Pusat Data (UPM/ISMS/OPR/DC/P001) Prosedur Pemantauan Operasi Pusat Data (UPM/ISMS/OPR/DC/P002) Prosedur Kawalan dan Pemantauan Capaian ke Sistem di Pusat Data (UPM/ISMS/OPR/DC/P003) 8.2 PENILAIAN RISIKO Penilaian risiko dilaksanakan sekurang-kurangnya sekali dalam setahun berdasarkan ancaman, kelemahan (vulnerability) dan impak yang diakibatkan oleh perkara berikut: a. Perubahan dasar yang boleh memberi kesan kepada keputusan penguraian risiko atau penilaian aset; b. Perubahan kepada teknologi dan proses perkhidmatan; c. Pembangunan dan penaiktarafan sistem/aplikasi baru; d. Perubahan struktur organisasi (visi/misi/objektif); e. Pelaksanaan kawalan baru selaras dengan strategi perlindungan dalam Pelan Penilaian Risiko; dan f. Insiden keselamatan maklumat.

31 PUSAT PEMBANGUNAN & KOMUNIKASI Halaman: 31/38 Dokumen Rujukan: Garis Panduan Penilaian Risiko Aset (UPM/ISMS/SOK/GP02/RISK ASSESSMENT) 8.3 PEMULIHAN RISIKO Pemulihan risiko mengandungi pemilihan kawalan yang diluluskan oleh Pihak Pengurusan UPM berdasarkan keputusan penilaian risiko. Pasukan Penilaian Risiko akan mencadangkan kepada Pihak Pengurusan UPM sama ada untuk mengurangkan, memindahkan, menerima, atau mengelakkan tahap risiko ancaman tertentu yang wujud di dalam aset tertentu. Penerangan bagi setiap pilihan keputusan adalah seperti berikut: CADANGAN MENGURANGKAN MEMINDAHKAN MENERIMA MENGELAKKAN Dokumen Rujukan: KETERANGAN Keputusan ini ditentukan jika implikasi terhadap risiko adalah kritikal samada HIGH atau MEDIUM. Pengurangan risiko dapat dilaksanakan melalui penambahbaikan dari segi operasi, prosedur, fizikal, individu atau teknikal. Keputusan ini ditentukan jika implikasi terhadap risiko tersebut boleh dipindahkan dengan mewujudkan perjanjian perkhidmatan (SLA) antara kedua pihak. Keputusan ini ditentukan jika implikasi terhadap risiko adalah LOW. Keputusan ini ditentukan kerana tiada kawalan yang dapat ditentukan samada untuk mengurangkan atau memindahkan risiko kepada pihak ketiga. Jadual 5: Pilihan Cadangan Kawalan Keputusan Penilaian Risiko Garis Panduan Penilaian Risiko Aset (UPM/ISMS/SOK/GP02/RISK ASSESSMENT)

32 PUSAT PEMBANGUNAN & KOMUNIKASI Halaman: 32/38 PERKARA 9: PENILAIAN PRESTASI (Klausa 9) 9.1 PEMANTAUAN, PENGUKURAN, ANALISIS DAN PENILAIAN Penilaian prestasi dan keberkesanan ISMS perlu dilaksana dan ditentukan dengan menitikberatkan perkara berikut: a. Perkara yang perlu dipantau dan diukur, termasuk proses dan kawalan ke atas keselamatan maklumat melibatkan: i. Petunjuk prestasi ii. Pengukuran keberkesanan b. Kaedah untuk pemantauan, pengukuran, analisis dan penilaian yang berkenaan untuk memastikan hasil yang sah dan tepat; c. Masa pelaksanaan pemantauan dan pengukuran; d. Staf yang terlibat dalam pemantauan dan pengukuran; e. Proses analisis dan penilaian terhadap keputusan pemantauan dan pengukuran; dan f. Staf yang telibat dalam membuat analisis dan penilaian terhadap keputusan pemantauan dan pengukuran. Dokumen Rujukan: Garis Panduan Pengukuran Keberkesanan Kawalan ISMS (UPM/ISMS/OPR/DC/GP07/SECURITY METRICS) 9.2 AUDIT DALAMAN UPM menjalankan Audit Dalaman ISMS pada jangka masa yang dirancang bagi memastikan ISMS:

33 PUSAT PEMBANGUNAN & KOMUNIKASI Halaman: 33/38 a. Akur kepada keperluan ISO/IEC 27001:2013 dan perundangan; b. Akur kepada keperluan keselamatan maklumat; c. Dilaksana seperti yang dirancang dan diselenggara dengan berkesan; d. Menetapkan kriteria audit dan skop pengauditan; e. Membuat pemilihan juruaudit; f. Memastikan hasil audit dilaporkan ke pihak pengurusan; dan g. Menyediakan bukti sepanjang program audit dan hasil pengauditan. Pelan Audit Dalaman disediakan dengan mengambil kira tahap kepentingan proses dalam skop yang diaudit serta laporan audit terdahulu. Kriteria, skop, kekerapan dan kaedah audit akan ditetapkan. Pemilihan Juruaudit Dalaman adalah berpandukan kepada pengetahuan dalam bidang teknologi maklumat, keselamatan maklumat, skop perkhidmatan dan ISO/IEC 27001:2013. Juruaudit tidak dibenarkan mengaudit kerja atau tugasan sendiri. Tanggungjawab dan keperluan untuk merancang, melaksana, melapor keputusan audit dan mengurus rekod dengan merujuk kepada Prosedur Kawalan Rekod ISMS dan Prosedur Audit Dalaman ISMS. Pihak yang diaudit perlu mengambil tindakan yang bersesuaian dengan segera untuk melaksanakan tindakan penambahbaikan/pembetulan/pencegahan ke atas ketakakuran yang dikenalpasti. Tindakan susulan perlu ditentusahkan.

34 PUSAT PEMBANGUNAN & KOMUNIKASI Halaman: 34/38 Dokumen Rujukan: Prosedur Audit Dalaman ISMS (UPM/ISMS/PGR/P003) 9.3 KAJIAN SEMULA PENGURUSAN Mesyuarat Kajian Semula Pengurusan ke atas ISMS dijalankan sekurang-kurangnya sekali setahun. untuk memastikan kesesuaian, kecukupan dan keberkesanan pelaksanaan ISMS. Perkara yang dibincangkan dalam mesyuarat adalah seperti berikut: a. Tindakan susulan hasil kajian semula pengurusan yang terdahulu; b. Perubahan kepada isu dalaman dan luaran yang melibatkan sistem pengurusan keselamatan maklumat; c. Status ketidakpatuhan dan tindakan pembetulan; d. Pemantauan dan pengukuran keberkesanan; e. Penemuan audit; f. Pencapaian objektif keselamatan maklumat; g. Maklum balas pihak berkaitan; h. Hasil penilaian risiko dan status pelan pemulihan risiko; dan i. Peluang penambahbaikan. Keputusan mesyuarat direkodkan dan Jawatankuasa Pengurusan ISMS bertanggungjawab memastikan tindakan susulan diambil. Semua rekod yang berkaitan hendaklah diselenggara dengan sempurna.

35 PUSAT PEMBANGUNAN & KOMUNIKASI Halaman: 35/38 PERKARA 10: PENAMBAHBAIKAN (Klausa 10) 10.1 KETAKAKURAN DAN TINDAKAN PEMBETULAN UPM perlu mengambil tindakan yang berkesan untuk membetulkan punca ketakakuran daripada terus berlaku. a. Mengambil tindakan ke atas ketakakuran: i. Mengenalpasti tindakan yang perlu diambil untuk mengawal dan memastikan ketakakuran tidak berulang; ii. Menangani kesan daripada ketakakuran yang berlaku; b. Menilai keperluan tindakan pembetulan untuk menghapus punca ketakakuran supaya ia tidak berulang atau berlaku di tempat lain dengan melaksanakan perkara berikut: i. Mengkaji semula ketakakuran yang berlaku; ii. Menentukan punca ketakakuran; iii. Menentukan sama ada ketakakuran yang sama wujud atau berpotensi akan berlaku; c. Melaksanakan tindakan pembetulan yang diperlukan dalam masa yang ditetapkan; d. Mengkaji keberkesanan terhadap tindakan pembetulan yang telah diambil; dan e. Melaksanakan perubahan kepada ISMS, jika diperlukan. Tindakan pembetulan hendaklah bersesuaian dengan kesan ketakakuran yang ditemui. UPM perlu menyediakan dokumentasi berikut sebagai bukti: a. Ketakakuran dan sebarang tindakan yang diambil dan dilaksanakan. b. Keputusan terhadap sebarang hasil tindakan pembetulan.

36 PUSAT PEMBANGUNAN & KOMUNIKASI Halaman: 36/38 Dokumen Rujukan: Prosedur Tindakan Pembetulan (UPM/ISMS/PGR/P004) 10.2 PENAMBAHBAIKAN BERTERUSAN UPM perlu membuat penambahbaikan berterusan bagi meningkatkan keberkesanan pelaksanaan ISMS melalui: a. Pematuhan Kaedah-Kaedah Universiti Putra Malaysia (Teknologi Maklumat dan Komunikasi); b. Penemuan audit; c. Analisis insiden keselamatan maklumat; d. Tindakan pembetulan; dan e. Kajian semula ISMS. Dokumen Rujukan: Prosedur Peluang Penambahbaikan (UPM/ISMS/PGR/P006)

37 PUSAT PEMBANGUNAN & KOMUNIKASI Halaman: 37/38 Tarikh10/11/2014 LAMPIRAN A : PELAN LANTAI BANGUNAN PUSAT DATA UTAMA (DC)

38 PUSAT PEMBANGUNAN & KOMUNIKASI Halaman: 38/38 Tarikh10/11/2014 LAMPIRAN B : PELAN LANTAI BANGUNAN PUSAT DATA KEDUA (DRC)