TERMA ASAS RUJUKAN PERUNTUKAN PERKHIDMATAN PROFESIONAL BAGI KAJIAN KEMUNGKINAN PENGGUBALAN AKTA STANDARD KESELAMATAN SIBER LATARBELAKANG 1. Trend serangan dan insiden keselamatan siber kini semakin meningkat dan impaknya yang semakin sukar diramal mampu menggugat kestabilan dan kemakmuran negara. Meskipun begitu, bidang Teknologi Maklumat dan Komunikasi (ICT) terus berkembang dengan pesat melalui pelaksanaan dan pengintegrasian teknologi ini dalam pelbagai bidang sama ada dari sektor kerajaan mahupun swasta. Justeru, adalah penting bagi sesebuah agensi/organisasi mematuhi standard keselamatan siber dalam memastikan keselamatan sistem dan prosedur ICT yang digunakan. 2. Standard keselamatan siber bermaksud standard-standard yang diiktiraf di peringkat negara dan antarabangsa sebagai sesuatu yang boleh dilaksanakan di peringkat organisasi dalam menguruskan keselamatan siber. Antara contoh standard keselamatan siber adalah MS ISO/IEC 27001 Sistem Pengurusan Keselamatan Maklumat (Information Security Management System - ISMS). 3. Pada tahun 2006, Dasar Keselamatan Siber Negara (National Cyber Security Policy (NCSP)) telah digubal sebagai dasar bagi mengurus keselamatan siber di peringkat kebangsaan. NCSP diwujudkan untuk menangani risiko terhadap Infrastruktur Maklumat Kritikal Negara (Critical National Information Infratsructure (CNII)) yang merangkumi rangkaian-rangkaian sistem maklumat dalam sektor-sektor kritikal negara. Bagi memastikan NCSP dilaksanakan dengan terselaras dan berkesan, lapan (8) Polisi Teras telah diwujudkan dengan setiap Polisi Teras diterajui oleh agensi-agensi tertentu sebagai peneraju teras. Polisi Teras tersebut adalah seperti berikut: 3.1. Polisi Teras 1 : Tadbir Urus Berkesan; 3.2. Polisi Teras 2: Rangka Kerja Perundangan & Peraturan; 3.3. Polisi Teras 3 : Rangka Kerja Teknologi Keselamatan Siber; 3.4. Polisi Teras 4 : Pembudayaan Keselamatan; 3.5. Polisi Teras 5: Penyelidikan dan Pembangunan ke Arah Berkeupayaan Sendiri; 1 SULIT
3.6. Polisi Teras 6 : Pematuhan dan Penguatkuasaan; 3.7. Polisi Teras 7 : Kesediaan dan Kecemasan Siber; dan 3.8. Polisi Teras 8 : Kerjasama Antarabangsa; 4. Sebagai salah satu inisiatif di bawah Polisi Teras 3: Rangka Kerja Teknologi Keselamatan Siber, Kerajaan melalui Jemaah Menteri pada 24 Februari 2010 telah memutuskan supaya dilaksanakan Pensijilan MS ISO/IEC 27001 ISMS untuk sektor-sektor CNII dalam tempoh tiga (3) tahun. Pematuhan kepada standard yang diiktiraf seperti MS ISO/IEC 27001 ISMS dikatakan mampu menjamin keselamatan siber agensi-agensi CNII secara khusus dan seterusnya melindungi keselamatan ruang siber negara. 5. Kajiselidik yang dilaksanakan oleh Majlis Keselamatan Negara (MKN) pada bulan Februari 2012 mendapati kebanyakan agensi/organisasi CNII mempunyai kekangan-kekangan tertentu dalam melaksanakan ISMS. Antara kekangan yang dihadapi ialah kekurangan kepakaran serta sumber kewangan. Diantara usaha bagi menggalakkan agensi mendapatkan pensijilan ini, Kerajaan telah melaksanakan beberapa siri latihan dan kursus berkaitan ISMS serta mencari pendekatan terbaik dalam membantu agensi CNII mendapatkan pensijilan tersebut. 6. Seiringan dengan itu, pihak Performance Management & Delivery Unit (PEMANDU) telah menganjurkan Bengkel Inisiatif Pembaharuan Strategik (Strategic Reform Initiative-SRI), pada 21 Februari 2011 hingga 1 April 2011 yang merangkumi beberapa makmal percambahan fikiran. Penemuan bagi Makmal Liberalisasi dan Standard Antarabangsa dari bengkel tersebut mencadangkan bahawa penguatkuasaan undang-undang menyumbang kepada pematuhan mandatori standard-standard keselamatan siber dan seterusnya menjamin dan melindungi keselamatan siber dan aset kritikal negara. Berikutan itu, penggubalan Akta Standard Keselamatan Siber telah dicadangkan bagi memastikan pematuhan secara mandatori terhadap standard-standard berkaitan keselamatan siber oleh agensi/organisasi CNII. 7. Selaras dengan cadangan ini, terdapat keperluan bagi melaksanakan satu kajian kemungkinan (feasibility study) keperluan penggubalan Akta Standard Keselamatan Siber dengan melantik pihak ketiga yang pakar bagi menjalankan kajian ini. 2 SULIT
MATLAMAT KAJIAN 8. Matlamat kajian ini adalah untuk mengenalpasti sama ada pematuhan kepada standard yang berkaitan dengan keselamatan siber merupakan satu langkah yang boleh menjamin dan melindungi keselamatan siber dan aset kritikal negara. OBJEKTIF KAJIAN 9. Objektif bagi Kajian Kemungkinan Penggubalan Akta Standard Keselamatan Siber adalah seperti berikut: 9.1. Menentukan bagaimana pematuhan kepada standard keselamatan siber boleh menambahbaik pengurusan dan tahap keselamatan siber CNII; 9.2. Menentukan sama ada undang-undang sedia ada mencukupi untuk menguatkuasakan pematuhan kepada standard keselamatan siber; dan 9.3. Menentukan kemungkinan keperluan perundangan di peringkat negara bagi menguatkuasakan pematuhan kepada standard keselamatan siber. PENDEKATAN PELAKSANAAN KAJIAN 10. Kajian ini akan menggunakan Perkhidmatan Profesional Pakar Bidang Khusus (Subject Matter Expert) yang dilantik melalui proses perolehan secara Sebutharga Terbuka. 11. Pemberi Perkhidmatan Profesional Pakar Bidang Khusus merupakan organisasi yang mempunyai kebolehan dan pengalaman dalam melaksanakan penyelidikan, kapasiti tenaga pakar dan sumber yang mencukupi serta berupaya membekalkan khidmat perundingan di bawah bidang berikut: 340901 Kajian Perundangan; 340101 Kajian Organisasi; 340604 Kajian Keselamatan ICT; 340605 Kajian Pengurusan Maklumat ICT; 240200 Pengurusan Organisasi; 240600 Pengurusan Pemasaran dan Penyelidikan; 3 SULIT
241400 Perunding Pengurusan Guaman; atau 243000 Pengurusan Komputer. 12. Kajian ini dilaksanakan melalui kaedah soal selidik, brainstorming, taklimat, bengkel dan/atau mesyuarat dengan agensi-agensi berkaitan mengikut keperluan dari semasa ke semasa dan diselaraskan oleh pihak Kerajaan. SKOP KERJA PEMBERI PERKHIDMATAN PROFESIONAL PAKAR BIDANG KHUSUS 13. Skop kerja Pemberi Perkhidmatan Profesional Pakar Bidang Khusus adalah seperti berikut: 13.1. Mengkaji dan menganalisis ekosistem pengurusan keselamatan siber semasa di Malaysia yang mengambil kira aspek-aspek berikut dan tidak terhad kepada: 13.1.1. ekosistem pengurusan keselamatan siber di Malaysia dan keperluan pematuhan kepada standard keselamatan siber dalam melindungi keselamatan pengguna perkhidmatan CNII seperti pelanggan-pelanggan perkhidmatan awam, sektor kewangan, sektor industri dan sektor perkhidmatan; 13.1.2. struktur tadbir urus keselamatan siber semasa, serta rangka kerja perundangan dan penguatkuasaan keselamatan siber sedia ada dalam mengendalikan isu keselamatan siber dan standard di Malaysia; 13.1.3. undang-undang sedia ada yang berkaitan dan mengenalpasti jurang, kelompongan dan/atau pertindihan dalam bidang kuasa undang-undang, peraturan atau surat pekeliling sedia ada dan seterusnya mencadangkan kaedah-kaedah penyelesaian yang bersesuaian; dan 13.1.4. gambaran keseluruhan ekosistem pengurusan keselamatan siber di Malaysia. 13.2. Mengkaji dan melaksanakan analisis penandaarasan terhadap negaranegara yang menggunakan instrumen perundangan dalam pematuhan 4 SULIT
kepada standard keselamatan siber atau mana-mana akta yang berkaitan. Selain dari itu analisis penandaarasan juga perlu merangkumi negara-negara yang tidak mempunyai instrumen perundangan tetapi melaksanakan pematuhan standard secara penguatkuasaan pentadbiran. Aktiviti-aktiviti yang terlibat dalam analisis penandaarasan adalah seperti berikut tetapi tidak terhad kepada: 13.2.1. ekosistem pengurusan keselamatan siber di negara-negara tersebut; 13.2.2. struktur tadbir urus keselamatan siber semasa, serta rangka kerja perundangan dan penguatkuasaan keselamatan siber sedia ada dalam mengendalikan isu keselamatan siber dan standard di negara-negara tersebut; 13.2.3. undang-undang sedia ada yang berkaitan dan mengenalpasti jurang, kelompongan dan/atau pertindihan dalam bidang kuasa undang-undang, peraturan atau surat pekeliling sedia ada; dan 13.2.4. rumusan mengenai penemuan yang merangkumi perkaraperkara seperti faedah dan lessons learned daripada kajian ke atas negara-negara tersebut. 13.3. Mengemukakan hasil kajian kemungkinan keperluan perundangan di peringkat negara bagi pematuhan kepada standard keselamatan siber dengan mengambil kira aspek-aspek seperti berikut dan tidak terhad kepada: 13.3.1. impak terhadap keberkesanan pengurusan keselamatan siber, ekonomi, sosial dan keselamatan negara; 13.3.2. pendekatan dan strategi bagi menangani isu dan cabaran keselamatan siber; dan 13.3.3. keberkesanan instrumen perundangan sebagai mekanisme terbaik untuk menguatkuasakan pematuhan kepada standard keselamatan siber. 13.4. Perkhidmatan Profesional Pakar Bidang Khusus perlu mengemukakan hasil kajian melalui serahan-serahan seperti di Jadual 1 dan Jadual 2. 5 SULIT
13.5. Menyertai atau melaksanakan tugasan-tugasan lain dari semasa ke semasa dalam memastikan serahan kajian ini menepati perancangan, tertakluk kepada persetujuan pihak Kerajaan. TEMPOH PELAKSANAAN KAJIAN 14. Kajian mestilah disempurnakan dalam tempoh lapan (8) bulan mulai dari tarikh Surat Setuju Terima. SERAHAN KAJIAN 15. Pemberi Perkhidmatan Profesional Pakar Bidang Khusus perlu mengemukakan dokumen dan serahan kajian dalam Bahasa Melayu. Serahan bagi kajian ini adalah seperti berikut: 15.1. Laporan Awal Laporan Awal perlu merangkumi perkara-perkara seperti di Jadual 1 tetapi tidak terhad kepada: JADUAL 1: LAPORAN AWAL No. Serahan Kajian BAHAGIAN I Ekosistem Pengurusan Keselamatan Siber Semasa di Malaysia 1. Ekosistem pengurusan keselamatan siber di Malaysia dan keperluan pematuhan kepada standard keselamatan siber. 2. Struktur tadbir urus keselamatan siber semasa, serta rangka kerja perundangan dan penguatkuasaan keselamatan siber sedia ada. 3. Cadangan kaedah-kaedah penyelesaian bagi jurang, kelompongan dan/atau pertindihan dalam bidang kuasa undang-undang, peraturan atau surat pekeliling sedia ada. 4. Gambaran keseluruhan ekosistem pengurusan keselamatan siber di Malaysia. 6 SULIT
BAHAGIAN II Penandaarasan Ekosistem Pengurusan Keselamatan Siber Semasa di Negara Luar 1. Ekosistem pengurusan keselamatan siber di negara-negara luar. 2. Struktur tadbir urus keselamatan siber semasa, serta rangka kerja perundangan dan penguatkuasaan keselamatan siber sedia ada di negara-negara tersebut. 3. Jurang, kelompongan dan/atau pertindihan dalam bidang kuasa undang-undang, peraturan atau surat pekeliling sedia ada di negara-negara tersebut. 4. Rumusan mengenai penemuan yang merangkumi perkaraperkara seperti faedah dan lesson learned daripada kajian ke atas negara-negara tersebut. 15.2. Laporan Akhir Laporan Akhir perlu merangkumi perkara-perkara seperti di Jadual 2 tetapi tidak terhad kepada: JADUAL 2: LAPORAN AKHIR No Serahan Kajian BAHAGIAN I Hasil Kajian Kemungkinan Keperluan Perundangan bagi Pematuhan kepada Standard Keselamatan Siber 1. Impak pematuhan standard terhadap keberkesanan pengurusan keselamatan siber, ekonomi, sosial dan keselamatan negara 2. Pendekatan dan strategi bagi menangani isu dan cabaran keselamatan siber 3. Keberkesanan instrumen perundangan sebagai mekanisme terbaik untuk menguatkuasakan pematuhan kepada standard keselamatan siber 15.3. Lain-lain laporan/analisis mengikut keperluan seperti laporan soal selidik, brainstorming, taklimat, bengkel dan/atau mesyuarat. 7 SULIT
16. Pemberi Perkhidmatan Profesional Pakar Bidang Khusus perlu membentangkan semua laporan kepada pihak Kerajaan mengikut keperluan. 17. Setiap serahan kajian perlu mendapat persetujuan pihak Kerajaan sebelum kajian diteruskan ke fasa seterusnya. 18. Setiap serahan kajian perlu dikemukakan kepada pihak Kerajaan dalam bentuk softcopy dan tiga puluh (30) salinan hardcopy. 8 SULIT