DASAR ISMS V1R1 MS ISO/IEC 27001:2007 PENGURUSAN SISTEM KESELAMATAN MAKLUMAT DI UNIVERSITI MALAYSIA PAHANG Disedia Oleh: Disemak Oleh: Diluluskan Oleh:... Nama : Jawatan: Tarikh :... Nama : Jawatan: Tarikh :... Nama : Jawatan: Tarikh : UMP-ISMS-Dasar ISMS-P1-002 Terhad Muka surat:1/7
Kandungan 1.0 PENGENALAN... 3 2.0 OBJEKTIF... 3 3.0 PEMAKAIAN... 3 4.0 PENYATAAN DASAR ISMS... 3 5.0 SKOP PERLINDUNGAN DASAR ISMS... 5 6.0 CIRI UTAMA KESELAMATAN ISMS... 6 7.0 KEPERLUAN PERUNDANGAN... 6 8.0 TANGGUNGJAWAB... 6 9.0 PELAPORAN INSIDEN... 7 10.0 KAJIAN SEMULA DASAR ISMS... 7 11.0 REKOD PINDAAN DOKUMEN... 7 UMP-ISMS-Dasar ISMS-P1-002 Terhad Muka surat:2/7
1.0 PENGENALAN Dasar ISMS mengandungi peraturan yang mesti dibaca dan dipatuhi dalam menggunakan aset Teknologi Maklumat dan Komunikasi (ICT) dalam skop ISMS. Dasar ini juga menerangkan kepada semua pengguna mengenai tanggungjawab dan peranan mereka dalam melindungi aset ICT tersebut. 2.0 OBJEKTIF Dasar ISMS diwujudkan untuk menjamin kesinambungan urusan Universiti Malaysia Pahang (UMP) dengan meminimumkan kesan insiden keselamatan ICT. Dasar ini juga bertujuan untuk memudahkan perkongsian maklumat sesuai dengan keperluan operasi UMP. Ini hanya boleh dicapai dengan memastikan semua aset ICT dalam skop ISMS dilindungi. Objektif utama Keselamatan ICT UMP adalah seperti berikut: i. Memastikan kelancaran operasi UMP dan meminimumkan kerosakan atau kemusnahan; ii. Melindungi kepentingan pihak-pihak yang bergantung kepada sistem maklumat dari kesan kegagalan atau kelemahan dari segi kerahsiaan, integriti, kebolehsediaan, kesahihan maklumat dan komunikasi; dan iii. Mencegah salah guna atau kecurian aset ICT Kerajaan. 3.0 PEMAKAIAN Dasar ISMS adalah merujuk kepada Dasar Keselamatan ICT (DKICT) UMP terkini. Segala peraturan yang terdapat dalam DKICT UMP terpakai kepada semua aset ICT yang terlibat dalam skop ISMS. 4.0 PENYATAAN DASAR ISMS Mesyuarat Majlis ICT UMP pada 16 Jun 2011 telah bersetuju bahawa penyataan dasar keselamatan maklumat adalah seperti berikut: Keselamatan ditakrifkan sebagai keadaan yang bebas daripada ancaman dan risiko yang tidak boleh diterima. Penjagaan keselamatan adalah suatu proses yang berterusan. Ia melibatkan UMP-ISMS-Dasar ISMS-P1-002 Terhad Muka surat:3/7
aktiviti berkala yang mesti dilakukan dari semasa ke semasa untuk menjamin keselamatan kerana ancaman dan kelemahan sentiasa berubah. Keselamatan ICT adalah bermaksud keadaan di mana segala urusan menyedia dan membekalkan perkhidmatan yang berasaskan kepada sistem ICT berjalan secara berterusan tanpa gangguan yang boleh menjejaskan keselamatan. Keselamatan ICT berkait rapat dengan perlindungan aset ICT. Terdapat empat (4) komponen asas keselamatan ICT iaitu: i. Melindungi maklumat rahsia rasmi dan maklumat rasmi kerajaan dari capaian tanpa kuasa yang sah; ii. Menjamin setiap maklumat adalah tepat dan sempurna; iii. Memastikan ketersediaan maklumat apabila diperlukan oleh pengguna; dan iv. Memastikan akses kepada hanya pengguna-pengguna yang sah atau penerimaan maklumat dari sumber yang sah. Dasar Keselamatan ICT UMP merangkumi perlindungan ke atas semua bentuk maklumat elektronik bertujuan untuk menjamin keselamatan maklumat tersebut dan kebolehsediaan kepada semua pengguna yang dibenarkan. Ciri utama keselamatan maklumat adalah seperti berikut: i. Kerahsiaan: Maklumat tidak boleh didedahkan sewenang-wenangnya atau dibiarkan diakses tanpa kebenaran; ii. iii. iv. Integriti: Data dan maklumat hendaklah tepat, lengkap dan kemas kini. Ia hanya boleh diubah dengan cara yang dibenarkan; Tidak Boleh Disangkal: Punca data dan maklumat hendaklah dari punca yang sah dan tidak boleh disangkal; Kesahihan: Data dan maklumat hendaklah dijamin kesahihannya; dan v. Ketersediaan: Data dan maklumat hendaklah boleh diakses pada bila-bila masa. Selain dari itu, langkah ke arah menjamin keselamatan ICT hendaklah bersandarkan kepada: i. penilaian yang bersesuaian dengan perubahan semasa terhadap kelemahan semula jadi ii. aset ICT; ancaman yang wujud akibat daripada kelemahan tersebut; iii. risiko yang mungkin timbul; dan UMP-ISMS-Dasar ISMS-P1-002 Terhad Muka surat:4/7
iv. langkah pencegahan sesuai yang boleh diambil untuk menangani risiko berkenaan. 5.0 SKOP PERLINDUNGAN DASAR ISMS Dasar ISMS merangkumi perlindungan semua bentuk maklumat perkhidmatan pengurusan serangan siber dan pemantauan siber yang dimasukkan, diwujud, dimusnah, disimpan, dijana, dicetak, diakses, diedar, dalam penghantaran, dan yang dibuat salinan. Ini akan dilakukan melalui pewujudan dan penguatkuasaan sistem kawalan dan prosedur dalam pengendalian semua perkara berikut: i. Perkakasan Semua aset yang digunakan untuk menyokong pemprosesan maklumat dan kemudahan storan. Contoh komputer, pelayan, peralatan komunikasi dan sebagainya; ii. Perisian Program, prosedur atau peraturan yang ditulis dan dokumentasi yang berkaitan dengan sistem pengoperasian komputer yang disimpan di dalam sistem ICT. Contoh perisian aplikasi atau perisian sistem seperti sistem pengoperasian, sistem pangkalan data, perisian sistem rangkaian, atau aplikasi pejabat yang menyediakan kemudahan pemprosesan maklumat; iii. Perkhidmatan Perkhidmatan atau sistem yang menyokong aset lain untuk melaksanakan fungsifungsinya. Contoh: a) Perkhidmatan rangkaian seperti LAN, WAN dan lain-lain b) Sistem halangan akses seperti sistem kad akses c) Perkhidmatan sokongan seperti kemudahan elektrik, penghawa dingin, sistem pencegah kebakaran dan lain-lain; dan d) Lokasi fizikal yang menempatkan aset ICT iv. Data/Maklumat Koleksi fakta-fakta dalam bentuk kertas atau mesej elektronik, yang mengandungi maklumat-maklumat untuk digunakan bagi mencapai misi dan objektif UMP. Contohnya, UMP-ISMS-Dasar ISMS-P1-002 Terhad Muka surat:5/7
sistem dokumentasi, prosedur operasi, rekod-rekod, pangkalan data,fail-fail data dan lainlain; dan v. Personel Individu yang mempunyai pengetahuan dan kemahiran untuk melaksanakan skop kerja harian bagi mencapai misi dan objektif agensi. Individu berkenaan merupakan aset berdasarkan kepada tugas dan fungsi yang dilaksanakan. 6.0 CIRI UTAMA KESELAMATAN ISMS Ciri utama keselamatan yang menjadi asas kepada Dasar ISMS adalah seperti berikut: i. Kerahsiaan: Maklumat tidak boleh didedahkan sewenang-wenangnya atau dibiarkan diakses tanpa kebenaran; ii. Integriti: Data dan maklumat hendaklah tepat, lengkap dan kemas kini. Ia hanya boleh diubah dengan cara yang dibenarkan; dan iii. Ketersediaan: Data dan maklumat hendaklah boleh diakses pada bila-bila masa. 7.0 KEPERLUAN PERUNDANGAN Pelaksanaan ISMS adalah tertakluk kepada keperluan perundangan semasa atau peraturan lain yang perlu dipatuhi seperti dalam DKICT UMP. 8.0 TANGGUNGJAWAB Tanggungjawab bagi mewujud, melaksana, mengoperasi, memantau, menyemak, menyelenggara dan menambah baik ISMS adalah di bawah Jawatankuasa ISMS PTMK dengan dibantu oleh Urusetia ISMS. Jawatankuasa tersebut akan melapor kepada Jawatankuasa Pemandu ISMS yang dianggotai oleh ahli Majlis Teknologi Maklumat UMP dan dipengerusikan oleh YH Dato NC UMP. Pihak Juru Audit Dalam ISMS akan melaksanakan tugas audit dalam. Perincian tanggungjawab jawatankuasa bagi perlaksanaan ISMS adalah seperti yang telah dinyatakan dalam dokumen Terma dan Rujukan(TOR) Jawatankuasa ISMS UMP. Carta organisasi JK ISMS UMP adalah dalam gambarajah berikut:- UMP-ISMS-Dasar ISMS-P1-002 Terhad Muka surat:6/7
9.0 PELAPORAN INSIDEN Sebarang pelaporan insiden dilaksanakan mengikut Pekeliling Am Bil.1 Tahun 2001: Mekanisme Pelaporan Insiden Keselamatan ICT dan Surat Pekeliling Am Bilangan 4 Tahun 2006 : Pengurusan Pengendalian Insiden Keselamatan Teknologi Maklumat Dan Komunikasi (ICT) Sektor Awam. 10.0 KAJIAN SEMULA DASAR ISMS Pengemaskinian dokumen ini adalah tertakluk kepada keperluan semasa dan/atau semakan dan pindaan DKICT UMP. 11.0 REKOD PINDAAN DOKUMEN Versi Tarikh Keterangan Penulis Tandatangan 1.0 28/02/2012 Deraf Awal Dokumen Dasar ISMS TP PTMK UMP-ISMS-Dasar ISMS-P1-002 Terhad Muka surat:7/7