Polisi Keselamatan Siber JPA Versi 1.2

n Perkhidmatan Awam, Malaysia Tarikh Akhir Kemaskini 14 Disember 2022

Versi: 1.2 Muka Surat: i dari v 3 POLISI KESELAMATAN SIBER JPA Jabatan Perkhidmatan Awam, Malaysia Tarikh Akhir Kemaskini 14 Disember 2022 KANDUNGAN BIL. PERKARA M/S 1. SEJARAH POLISI KESELAMATAN SIBER JPA 1 2. PENGENALAN 2 3. OBJEKTIF 2 4. PERNYATAAN POLISI 3 5. SKOP 5 6. 7. PRINSIP-PRINSIP PENILAIAN RISIKO KESELAMATAN ICT 7 9 8. PELAN PENGURUSAN KESELAMATAN MAKLUMAT 10 KAWALAN 01 – POLISI KESELAMATAN MAKLUMAT Objektif 13 K01/01 Pelaksanaan Dasar 13 K01/02 Penyebaran Dasar 13 K01/03 Penyelenggaraan Dasar 13 K01/04 Pematuhan Dasar 14 KAWALAN 02 - ORGANISASI KESELAMATAN MAKLUMAT Objektif 15 K02/01 Tadbir Urus Keselamatan Maklumat 15 K02/01/01 Ketua Pengarah Perkhidmatan Awam (KPPA) 15 K02/01/02 Ketua Pegawai Digital (CDO) 15 K02/01/03 Pegawai Keselamatan ICT (ICTSO) 16 K02/01/04 Pengurus ICT 17 K02/01/05 Pentadbir Sistem 18 Pentadbir Rangkaian dan Keselamatan 19 Pentadbir Pangkalan Data 20 Pentadbir Portal (Web Master) 21 Pentadbir Pusat Data 22 Pentadbir Sistem Aplikasi 22 Pentadbir E-mel 23 Pentadbir Media Sosial JPA 24 Pegawai Aset ICT 25 K02/01/06 Pengguna 26 K02/01/07 Jawatankuasa Pemandu ICT (JPICT) JPA 28 K02/01/08 Jawatankuasa Keselamatan ICT (JKICT) JPA 30 K02/01/09 Cyber Security Incident Response Team JPA (CSIRTJPA) 32 K02/01/10 Jawatankuasa Pelan Pemulihan Bencana (JKDRP) JPA 33 K02/02 Pihak Luaran 34 K02/02/01 Keperluan Keselamatan Dalam Perkhidmatan ICT 34

Versi: 1.2 Muka Surat: ii dari v 3 POLISI KESELAMATAN SIBER JPA Jabatan Perkhidmatan Awam, Malaysia Tarikh Akhir Kemaskini 14 Disember 2022 KAWALAN 03 – KESELAMATAN SUMBER MANUSIA Objektif 36 K03/01 Sebelum Perkhidmatan 36 K03/02 Semasa Perkhidmatan 36 K03/03 Bertukar Atau Tamat Perkhidmatan 37 KAWALAN 04 - PENGURUSAN ASET Objektif 39 K04/01 Akauntabiliti Aset ICT 39 K04/02 Peminjaman dan Pemulangan Aset ICT 40 K04/03 Pengelasan Maklumat 41 K04/04 Pengendalian Maklumat 41 K04/05 Pengelasan dan Pengendalian Data Terbuka 42 K04/06 Pengendalian Media 43 K04/06/01 Media Storan 43 KAWALAN 05 – KAWALAN CAPAIAN Objektif 45 K05/01 Kawalan Capaian 45 K05/02 Pengurusan Capaian Pengguna 45 K05/02/01 Pendaftaran Pengguna 45 K05/02/02 Hak Capaian 46 K05/02/03 Pengurusan Kata Laluan 46 K05/03 Capaian Sistem Pengoperasian 48 K05/03/01 Capaian Sistem Pengoperasian 48 K05/03/02 Token/ Sijil Digital 48 K05/04 Capaian Aplikasi dan Maklumat 50 K05/05 Capaian Jarak Jauh 51 K05/06 Kawalan Capaian Rangkaian 52 K05/06/01 Capaian Rangkaian 52 K05/06/02 Capaian Internet 52 K05/07 Peralatan Mudah Alih 53 K05/08 Bring Your Own Device (BYOD) 54 KAWALAN 06 – KAWALAN KRIPTOGRAFI Objektif 57 K06/01 Kriptografi K06/01/01 Enkripsi K06/01/02 Public Key Infrastucture (PKI) K06/01/03 Tandatangan Digital 57 57 57 58 KAWALAN 07 – KESELAMATAN FIZIKAL DAN PERSEKITARAN Objektif 59 K07/01 Keselamatan Kawasan 59 K07/01/01 Kawasan Larangan Lokasi ICT 59 K07/01/02 Kawalan Masuk Fizikal 60 K07/02 Keselamatan Peralatan 61 K07/02/01 Peralatan ICT 61

Versi: 1.2 Muka Surat: iii dari v 3 POLISI KESELAMATAN SIBER JPA Jabatan Perkhidmatan Awam, Malaysia Tarikh Akhir Kemaskini 14 Disember 2022 K07/02/02 Clear Desk dan Clear Screen 63 K07/02/03 Media Tandatangan Digital 64 K07/02/04 Perisian dan Aplikasi 64 K07/02/05 Peralatan Tanpa Penyeliaan (Unattended Equipment) 65 K07/02/06 Peralatan di Luar Premis 65 K07/02/07 Pelupusan 66 K07/02/08 Penyelenggaraan 67 K07/03 Kawalan Persekitaran 67 K07/03/01 Kawalan Persekitaran 67 K07/03/02 Kabel Rangkaian 69 K07/03/03 Bekalan Kuasa 69 K07/03/04 Prosedur Kecemasan 70 K07/03/05 Mekanisme Pelaporan Insiden Bukan ICT 70 K07/03/06 Mekanisme Kawalan Peralatan Sewaan/ Ujicuba (Proof Of Concept) 70 K07/04 Keselamatan Sistem Dokumentasi 71 KAWALAN 08 – KESELAMATAN OPERASI Objektif 73 K08/01 Prosedur Operasi 73 K08/01/01 Pengendalian Dokumen Prosedur Operasi 73 K08/01/02 Pengurusan Perubahan 73 K08/01/03 Pengasingan Tugas dan Tanggungjawab 74 K08/02 Perancangan dan Penerimaan Sistem 75 K08/02/01 Perancangan Kapasiti 75 K08/02/02 Penerimaan Sistem 75 K08/03 Perlindungan dari Perisian Berbahaya 75 K08/03/01 Perlindungan dari Perisian Berbahaya 75 K08/03/02 Perlindungan dari Mobile Code 77 K08/04 Housekeeping 77 K08/04/01 Backup 77 K08/05 Pengurusan Media 78 K08/05/01 Media Storan Mudah Alih 78 K08/05/02 Prosedur Pengendalian Media 78 K08/06 Paparan Maklumat Umum 79 K08/07 Pemantauan 79 K08/07/01 Pemantauan 79 K08/07/02 Pengauditan dan Forensik ICT 80 K08/07/03 Jejak Audit 81 K08/07/04 Sistem Log K08/07/05 Penyeragaman Waktu (Time Synchronisation) K08/07/06 Kawalan Pengoperasian Perisian K08/07/07 Pengurusan Kerentanan Teknikal 82 83 83 84

Versi: 1.2 Muka Surat: iv dari v 3 POLISI KESELAMATAN SIBER JPA Jabatan Perkhidmatan Awam, Malaysia Tarikh Akhir Kemaskini 14 Disember 2022 KAWALAN 09 – KESELAMATAN KOMUNIKASI Objektif 86 K09/01 Pengurusan Rangkaian 86 K09/02 Pengurusan Penghantaran dan Penerimaan Maklumat 87 K09/03 Pengurusan Mel Elektronik (E-mel) 88 KAWALAN 10 – PEROLEHAN, PEMBANGUNAN DAN PENYELENGGARAAN SISTEM Objektif 90 K10/01 Kawalan Prosesan Aplikasi 90 K10/01/01 Pengesahan Data Input 90 K10/01/02 Kawalan Prosesan 90 K10/01/03 Pengesahan Data Output 91 K10/02 Keselamatan Fail Sistem 91 K10/03 Keselamatan Dalam Proses Pembangunan dan Sokongan 92 K10/03/01 Peraturan Keselamatan Dalam Pembangunan Sistem 92 K10/03/02 Prosedur Perubahan 92 K10/03/03 Semakan Teknikal Aplikasi Selepas Perubahan Platform 92 K10/03/04 Kawalan Terhadap Perubahan Kepada Perisian 93 K10/03/05 Prinsip Kejuruteraan Sistem Yang Selamat 93 K10/03/06 Persekitaran Pembangunan Sistem Yang Selamat K10/03/07 Pembangunan Sistem Secara Luar (Outsource) K10/03/08 Ujian Keselamatan Sistem K10/03/09 Pembocoran Maklumat K10/04 Data Ujian 93 93 94 94 94 K10/05 Kawalan Terhadap Keterdedahan Teknikal K10/06 Perkhidmatan E-Dagang 94 95 K10/07 Pembangunan Aplikasi Mudah Alih 95 K10/07/01 Prosedur Integrasi Pembangunan Aplikasi Mudah Alih 96 KAWALAN 11 – HUBUNGAN PEMBEKAL Objektif 97 K11/01 Keselamatan Maklumat Dalam Hubungan Dengan Pembekal 97 K11/02 Pengurusan Penyampaian Perkhidmatan Pembekal 97 KAWALAN 12 – RISIKO DAN PENGURUSAN PENGENDALIAN INSIDEN KESELAMATAN Objektif 99

Versi: 1.2 Muka Surat: v dari v 3 POLISI KESELAMATAN SIBER JPA Jabatan Perkhidmatan Awam, Malaysia Tarikh Akhir Kemaskini 14 Disember 2022 K12/01 Mekanisme Pelaporan Insiden Keselamatan ICT 99 K12/02 Prosedur Pengurusan dan Pengendalian Insiden Keselamatan ICT 101 KAWALAN 13 – KESELAMATAN MAKLUMAT BAGI PENGURUSAN KESINAMBUNGAN PERKHIDMATAN Objektif 102 K13/01 Pengurusan Kesinambungan Perkhidmatan 102 K13/01/01 Pelan Pemulihan Bencana 104 K13/02 Lewahan (Redundancy) 105 KAWALAN 14 – PEMATUHAN Objektif 106 K14/01 Pematuhan Dasar 106 K14/02 Pematuhan kepada Dasar, Peraturan dan Penilaian Teknikal Keselamatan 107 K14/03 Pematuhan Keperluan Audit 107 K14/04 Pelanggaran Perundangan 108 9. GLOSARI 109 10. SENARAI LAMPIRAN Lampiran 1 Surat Akuan Pematuhan Polisi Keselamatan Siber JPA 120 Lampiran 2 Ringkasan Proses Kerja Pelaporan Insiden Keselamatan Siber JPA 121 Lampiran 3 Permohonan Kebenaran Untuk Menggunakan Kemudahan Internet Peribadi Bagi Tujuan Sambungan Ke Internet 122 Lampiran 4 Official Secrets Act (OSA) 124 Lampiran 5 Senarai Perundangan dan Peraturan 126

Versi: 1.2 Muka Surat: 1 dari 128 3 POLISI KESELAMATAN SIBER JPA Jabatan Perkhidmatan Awam, Malaysia Tarikh Akhir Kemaskini 14 Disember 2022 SEJARAH POLISI KESELAMATAN SIBER JPA VERSI KELULUSAN TARIKH KUATKUASA 1.0 JPICT 18 DISEMBER 2020 1.1 JPICT 16 NOVEMBER 2021 1.2 JPICT 14 DISEMBER 2022

Versi: 1.2 Muka Surat: 2 dari 128 3 POLISI KESELAMATAN SIBER JPA Jabatan Perkhidmatan Awam, Malaysia Tarikh Akhir Kemaskini 14 Disember 2022 PENGENALAN Polisi Keselamatan Siber Jabatan Perkhidmatan Awam (JPA) mengandungi peraturan-peraturan yang mesti dibaca dan dipatuhi semasa menggunakan aset Teknologi Maklumat dan Komunikasi (ICT). Polisi ini juga menerangkan kepada pengguna mengenai tanggungjawab dan peranan pengguna dalam melindungi aset ICT JPA. Polisi Keselamatan Siber (PKS) JPA disediakan berpandu kepada piawaian antarabangsa iaitu ISO/IEC 27001:2013. OBJEKTIF Objektif utama PKS adalah seperti berikut: 1. Memastikan kelancaran operasi jabatan yang berlandaskan ICT dengan mencegah serta meminimumkan risiko kerosakan atau kemusnahan aset ICT jabatan; 2. Melindungi kepentingan pihak-pihak yang bergantung kepada sistem maklumat daripada kesan kegagalan atau kelemahan daripada segi kerahsiaan, integriti, tidak boleh disangkal, ketersediaan dan kesahihan; 3. Meminimumkan kos penyelenggaraan ICT akibat ancaman dan penyalahgunaan aset ICT; dan 4. Meningkatkan tahap kesedaran keselamatan ICT kepada para kakitangan, pengguna dan pihak luaran.

Versi: 1.2 Muka Surat: 3 dari 128 3 POLISI KESELAMATAN SIBER JPA Jabatan Perkhidmatan Awam, Malaysia Tarikh Akhir Kemaskini 14 Disember 2022 PERNYATAAN POLISI Keselamatan ditakrifkan sebagai keadaan yang bebas daripada ancaman dan risiko yang tidak boleh diterima. Keselamatan ialah suatu proses yang berterusan. Ia melibatkan aktiviti berkala yang mesti dilakukan dari semasa ke semasa untuk menjamin keselamatan kerana ancaman dan kelemahan sentiasa berubah. Keselamatan ICT adalah bermaksud keadaan bagi segala urusan menyedia dan membekalkan perkhidmatan yang berasaskan kepada sistem ICT berjalan secara berterusan. Terdapat empat (4) komponen asas keselamatan IT, iaitu: 1. Melindungi maklumat rasmi JPA dari capaian tanpa kuasa yang sah; 2. Menjamin setiap maklumat adalah tepat, lengkap dan terkini; 3. Memastikan ketersediaan maklumat apabila diperlukan oleh pengguna; dan 4. Memastikan akses hanya kepada pengguna yang sah dan penerimaan maklumat daripada sumber yang boleh dipercayai. PKS JPA merangkumi perlindungan ke atas semua bentuk maklumat elektronik dan bukan elektronik bertujuan untuk menjamin keselamatan maklumat tersebut dan ketersediaan kepada semua pengguna yang dibenarkan. Ciri-ciri utama keselamatan maklumat adalah seperti berikut: 1. Kerahsiaan – maklumat tidak boleh didedahkan sewenang-wenangnya atau dibiarkan akses tanpa kebenaran. 2. Integriti – data dan maklumat hendaklah tepat, lengkap dan terkini. Ia hanya boleh diubah dengan cara yang dibenarkan sahaja.

Versi: 1.2 Muka Surat: 4 dari 128 3 POLISI KESELAMATAN SIBER JPA Jabatan Perkhidmatan Awam, Malaysia Tarikh Akhir Kemaskini 14 Disember 2022 3. Tidak boleh disangkal – punca data dan maklumat hendaklah dari punca yang sah dan tidak boleh disangkal. 4. Kesahihan – data dan maklumat hendaklah dijamin kesahihannya. 5. Ketersediaan – data dan maklumat hendaklah boleh diakses pada bila-bila masa. Selain itu, analisis tahap risiko aset ICT dikenal pasti, seterusnya mengambil tindakan untuk merancang dan mengawal risiko berkenaan.

Versi: 1.2 Muka Surat: 5 dari 128 3 POLISI KESELAMATAN SIBER JPA Jabatan Perkhidmatan Awam, Malaysia Tarikh Akhir Kemaskini 14 Disember 2022 SKOP Sistem ICT JPA terdiri daripada organisasi, manusia, perisian, peralatan, telekomunikasi, kemudahan ICT, data dan maklumat. JPA telah menetapkan keperluan-keperluan asas keselamatan seperti berikut: 1. Data dan maklumat termasuk hardcopy dan softcopy hendaklah boleh diakses secara berterusan dengan cepat, tepat, mudah dan dengan cara yang boleh dipercayai. Ini adalah amat perlu bagi membolehkan keputusan dan penyampaian perkhidmatan dilakukan dengan berkesan dan berkualiti. 2. Semua data dan maklumat hendaklah dijaga kerahsiaannya dan dikendalikan sebaik mungkin pada setiap masa bagi memastikan kesempurnaan dan melindungi kepentingan JPA. PKS JPA merangkumi perlindungan ke atas semua bentuk maklumat ICT kerajaan yang dimasukkan, diwujud, dimusnah, disimpan, dijana, dicetak, diakses, diedar dan yang dibuat salinan. Ini akan dilakukan melalui penubuhan dan penguatkuasaan sistem kawalan dan prosedur dalam pengendalian semua perkara-perkara berikut: 1. Data dan maklumat Semua data dan maklumat elektronik dan bercetak yang disimpan atau digunakan di pelbagai media termasuk prosedur, manual pengguna, sistem dokumentasi, rekod, pangkalan data dan lain-lain; 2. Peralatan ICT Semua peralatan komputer seperti, komputer peribadi, komputer riba pencetak, media storan, server, firewall, peralatan multimedia & komunikasi, dan alat sokongan yang lain;

Versi: 1.2 Muka Surat: 6 dari 128 3 POLISI KESELAMATAN SIBER JPA Jabatan Perkhidmatan Awam, Malaysia Tarikh Akhir Kemaskini 14 Disember 2022 3. Perisian Semua jenis perisian yang digunakan untuk mengendali, memproses, menyimpan dan menghantar data atau maklumat. Ini termasuklah sistem aplikasi seperti HRMIS, eSILA, EPSA dan perisian sistem seperti Windows, LINUX dan perisian utiliti, perisian komunikasi, sistem pengurusan pangkalan data, kod sumber dan lain-lain; 4. Perkhidmatan Perkhidmatan atau sistem yang menyokong aset lain untuk melaksanakan fungsifungsinya. Contoh: i. perkhidmatan rangkaian seperti LAN, WAN dan lain-lain; ii. sistem halangan akses seperti sistem kad akses; dan iii. perkhidmatan sokongan seperti kemudahan elektrik, pendingin hawa, sistem pencegah kebakaran dan lain-lain. 5. Manusia Individu yang mempunyai pengetahuan dan kemahiran untuk melaksanakan skop kerja harian bagi mencapai misi dan objektif; dan 6. Persekitaran Fizikal Persekitaran fizikal yang merujuk kepada lokasi fizikal yang menempatkan perkara 1-5 di atas.

Versi: 1.2 Muka Surat: 7 dari 128 3 POLISI KESELAMATAN SIBER JPA Jabatan Perkhidmatan Awam, Malaysia Tarikh Akhir Kemaskini 14 Disember 2022 PRINSIP-PRINSIP Prinsip-prinsip yang menjadi asas kepada PKS JPA adalah seperti berikut: 1. Akses Atas Dasar Perlu Mengetahui Akses terhadap penggunaan aset ICT hanya diberikan untuk tujuan spesifik dan dihadkan kepada pengguna tertentu atas dasar perlu mengetahui sahaja. Ini bermakna akses hanya akan diberikan sekiranya peranan atau fungsi pengguna memerlukan maklumat tersebut. 2. Hak Akses Minimum Hak akses kepada pengguna hanya diberi pada tahap yang paling minimum iaitu untuk membaca dan/ atau melihat sahaja. Kelulusan khas diperlukan untuk membolehkan pengguna mencipta, menyimpan, mengemas kini, mengubah dan menghapuskan sesuatu data atau maklumat. 3. Kebertanggungjawaban atau Akauntabiliti Semua pengguna adalah dipertanggungjawabkan ke atas semua tindakannya terhadap aset ICT. Tanggungjawab ini perlu dinyatakan dengan jelas sesuai dengan tahap sensitiviti sesuatu sumber ICT. Bagi menentukan tanggungjawab ini dipatuhi, sistem ICT hendaklah mampu menyokong kemudahan mengesan atau mengesahkan bahawa pengguna sistem maklumat boleh dipertanggungjawabkan atas tindakan mereka. 4. Pengasingan Tugas mencipta, menghapus, mengemas kini, mengubah dan mengesahkan data perlu diasingkan bagi mengelakkan daripada capaian yang tidak dibenarkan (unauthorized access) serta melindungi aset ICT daripada kesilapan, kebocoran maklumat terperingkat atau dimanipulasikan. Pengasingan juga merangkumi data, operasi, pangkalan data dan rangkaian.

Versi: 1.2 Muka Surat: 8 dari 128 3 POLISI KESELAMATAN SIBER JPA Jabatan Perkhidmatan Awam, Malaysia Tarikh Akhir Kemaskini 14 Disember 2022 5. Pengauditan Tujuan aktiviti ini ialah untuk mengenal pasti insiden keselamatan aset ICT atau keadaan yang mengancam keselamatan aset ICT. Dengan itu, semua log yang berkaitan dengan aset ICT perlu disimpan bagi tujuan jejak audit. 6. Pematuhan PKS JPA hendaklah dipatuhi bagi mengelakkan sebarang bentuk pelanggaran ke atasnya yang boleh membawa ancaman kepada keselamatan ICT. 7. Pemulihan Pemulihan sistem amat perlu untuk memastikan ketersediaan dan kebolehcapaian bagi meminimumkan sebarang gangguan atau kerugian akibat daripada ketidaksediaan. Pemulihan boleh dilakukan melalui proses penduaan (backup) dan mewujudkan Pelan Pemulihan Bencana (DRP) di bawah Pengurusan Kesinambungan Perkhidmatan (PKP). 8. Saling Bergantung Setiap prinsip adalah saling lengkap-melengkapi dan bergantung antara satu sama lain. Dengan itu tindakan mempelbagaikan pendekatan dalam menyusun dan mencorakkan sebanyak mungkin mekanisme keselamatan, dapat menjamin keselamatan yang maksimum.

Versi: 1.2 Muka Surat: 9 dari 128 3 POLISI KESELAMATAN SIBER JPA Jabatan Perkhidmatan Awam, Malaysia Tarikh Akhir Kemaskini 14 Disember 2022 PENILAIAN RISIKO KESELAMATAN ICT JPA hendaklah mengambil kira kewujudan risiko ke atas aset ICT akibat daripada ancaman dan vulnerability yang semakin meningkat hari ini. Justeru itu JPA perlu mengambil langkah-langkah proaktif dan bersesuaian untuk menilai tahap risiko aset ICT supaya pendekatan dan keputusan yang paling berkesan dikenal pasti bagi menyediakan perlindungan dan kawalan ke atas aset ICT. JPA hendaklah melaksanakan penilaian risiko keselamatan ICT secara berkala dan berterusan bergantung kepada perubahan teknologi dan keperluan keselamatan ICT. Seterusnya mengambil tindakan susulan atau langkah-langkah bersesuaian untuk mengurangkan atau mengawal risiko keselamatan ICT berdasarkan penemuan penilaian risiko. Penilaian risiko keselamatan ICT hendaklah dilaksanakan ke atas sistem maklumat JPA termasuklah aplikasi, perisian, peralatan, pelayan, rangkaian, pangkalan data, sumber manusia, proses, dan prosedur. Penilaian risiko ini hendaklah juga dilaksanakan di premis yang menempatkan sumbersumber teknologi maklumat termasuklah pusat data, bilik media storan, kemudahan utiliti dan sistem sokongan lain. JPA bertanggungjawab melaksanakan dan menguruskan risiko keselamatan ICT selaras dengan keperluan Surat Pekeliling Am Bilangan 6 Tahun 2005: Garis Panduan Penilaian Risiko Keselamatan Maklumat Sektor Awam. JPA perlu mengenal pasti tindakan yang sewajarnya bagi menghadapi kemungkinan risiko berlaku dengan memilih tindakan berikut: 1. mengurangkan risiko dengan melaksanakan kawalan yang bersesuaian; 2. menerima atau bersedia berhadapan dengan risiko yang akan terjadi selagi ia memenuhi kriteria yang telah ditetapkan oleh pengurusan atasan; 3. mengelak atau mencegah risiko dari terjadi dengan mengambil tindakan yang dapat mengelak atau mencegah berlakunya risiko; dan 4. memindahkan risiko kepada pihak luaran yang berkepentingan.

Versi: 1.2 Muka Surat: 10 dari 128 3 POLISI KESELAMATAN SIBER JPA Jabatan Perkhidmatan Awam, Malaysia Tarikh Akhir Kemaskini 14 Disember 2022 PELAN PENGURUSAN KESELAMATAN MAKLUMAT Setiap projek di JPA hendaklah menyediakan Pelan Pengurusan Keselamatan Maklumat. Pelan ini mengandungi maklumat terperinci yang menyatakan keutamaan aplikasi, kawalan capaian dan keperluan-keperluan khusus yang lain. Pelan ini hendaklah dibangunkan dengan berpandukan Rangka Kerja Keselamatan Siber Sektor Awam (RAKKSSA), Polisi Keselamatan Siber JPA dan surat pekeliling/ arahan terkini untuk menangani isu-isu operasi projek. Pelan ini hendaklah mengenal pasti perlindungan data-dalam-penggunaan, data-dalampergerakan, data-dalam-simpanan dan menghalang ketirisan data. Pelan Pengurusan Keselamatan Maklumat hendaklah mengandungi maklumat terperinci berhubung seni bina sistem, teknologi dan kawalan keselamatan bagi setiap kategori elemen di bawah: 1. Peranti Pengkomputeran Peribadi Peranti Pengkomputeran peribadi merujuk kepada peranti komputer yang digunakan oleh manusia untuk berinteraksi dengan sistem. Contoh peranti pengkomputeran peribadi ialah komputer riba, telefon pintar, tablet dan peranti storan. 2. Peranti Rangkaian a. Peranti rangkaian merujuk kepada peranti yang digunakan untuk membolehkan saling hubung antara peranti komputer dan sistem seperti switch, router, firewall, peranti VPN dan kabel.

Versi: 1.2 Muka Surat: 11 dari 128 3 POLISI KESELAMATAN SIBER JPA Jabatan Perkhidmatan Awam, Malaysia Tarikh Akhir Kemaskini 14 Disember 2022 b. Teknologi dan kawalan keselamatan yang dikenal pasti untuk melindungi data-dalampergerakan dan menghalang ketirisan data hendaklah diperincikan dalam Pelan Pengurusan Keselamatan Maklumat 3. Aplikasi a. Perisian aplikasi digunakan oleh manusia untuk memproses dan berinteraksi dengan data. Contoh perisian aplikasi ialah pelayan web, pelayan aplikasi, sistem operasi. b. Teknologi dan kawalan keselamatan yang dikenal pasti untuk melindungi data-dalam penggunaan, data-dalam-pergerakan, data-dalam-simpanan dan menghalang ketirisan data hendaklah diperincikan dalam Pelan Pengurusan Keselamatan Maklumat. 4. Pelayan a. Pelayan merujuk kepada peranti pengkomputeran yang mengandungi aplikasi dan storan. Pelayan hendaklah diletakkan di lokasi yang selamat. b. Teknologi dan kawalan keselamatan yang dikenal pasti untuk melindungi data-dalampenggunaan, data-dalam-pergerakan, data-dalam-simpanan dan menghalang ketirisan data hendaklah diperincikan dalam Pelan Pengurusan Keselamatan Maklumat. 5. Persekitaran Fizikal a. Persekitaran fizikal merujuk kepada lokasi fizikal yang menempatkan aset ICT. b. JPA hendaklah merujuk ke Pejabat Ketua Pegawai Keselamatan Kerajaan untuk mendapatkan nasihat mengenai cadangan yang berkaitan dengan pengambilalihan, pajakan, pengubahsuaian, pembelian bangunan milik Kerajaan dan swasta yang menempatkan kemudahan pemprosesan maklumat. c. Perlindungan fizikal yang disediakan hendaklah selaras dengan risiko yang dikenal pasti dan berdasarkan prinsip defence-in-depth.

Versi: 1.2 Muka Surat: 12 dari 128 3 POLISI KESELAMATAN SIBER JPA Jabatan Perkhidmatan Awam, Malaysia Tarikh Akhir Kemaskini 14 Disember 2022 d. Teknologi dan kawalan keselamatan yang dikenal pasti untuk melindungi data-dalampenggunaan, data-dalam-pergerakan, data-dalam-simpanan dan menghalang ketirisan data hendaklah diperincikan dalam Pelan Pengurusan Keselamatan Maklumat.

1.2

Versi: 1.2 Muka Surat: 13 dari 128 3 POLISI KESELAMATAN SIBER JPA Jabatan Perkhidmatan Awam, Malaysia Tarikh Akhir Kemaskini 14 Disember 2022 Kawalan 01: Polisi Keselamatan Maklumat Objektif PKS JPA ini diwujudkan untuk melindungi aset ICT bagi memastikan kelancaran operasi jabatan secara berterusan, meminimumkan kerosakan atau kemusnahan aset-aset ICT melalui usaha pencegahan atau mengurangkan kesan kejadian yang tidak diingini berdasarkan kepada ciri-ciri keselamatan iaitu kerahsiaan, integriti, tidak boleh disangkal, ketersediaan dan kesahihan. K01/01 Pelaksanaan Dasar Pelaksanaan dasar ini akan dikuatkuasakan oleh Ketua Pengarah Perkhidmatan Awam (KPPA), dan dibantu oleh Jawatankuasa Pemandu ICT JPA (JPICT) yang terdiri daripada Ketua Pegawai Digital (CDO), Pegawai Keselamatan ICT (ICTSO) dan semua Pengarah Bahagian. KPPA K01/02 Penyebaran Dasar Dasar ini perlu disebarkan kepada semua pengguna. ICTSO K01/03 Penyelenggaraan Dasar PKS JPA adalah tertakluk kepada semakan dan pindaan dari semasa ke semasa selaras dengan perubahan teknologi, aplikasi, prosedur, perundangan dan kepentingan sosial. Berikut adalah prosedur yang berhubung dengan penyelenggaraan PKS JPA: a. mengenal pasti dan menentukan perubahan yang diperlukan; b. mengemukakan cadangan untuk pertimbangan Jawatankuasa Keselamatan ICT (JKICT); ICTSO, JKICT

Versi: 1.2 Muka Surat: 14 dari 128 3 POLISI KESELAMATAN SIBER JPA Jabatan Perkhidmatan Awam, Malaysia Tarikh Akhir Kemaskini 14 Disember 2022 c. memaklumkan cadangan pindaan untuk perakuan oleh JKICT dan kelulusan JPICT; d. memaklumkan pindaan yang telah diluluskan oleh JPICT kepada semua pengguna; dan e. menyemak semula dokumen sekurang-kurangnya setahun sekali atau mengikut keperluan bagi memastikan dokumen sentiasa relevan. K01/04 Pematuhan Dasar PKS JPA mestilah dipatuhi oleh semua pengguna. Semua Pengguna

1.2

Jabatan Perkhidmatan Awam, Malaysia Tarikh Akhir Kemaskini 14 Disember 2022 Versi: 1.2 Muka Surat: 15 dari 128 POLISI KESELAMATAN SIBER JPA Kawalan 02: Organisasi Keselamatan Maklumat Objektif Menerangkan peranan dan tanggungjawab semua pihak yang terlibat dengan lebih jelas dan teratur dalam mencapai objektif PKS JPA. K02/01 Tadbir Urus Keselamatan Maklumat K02/01/01 Ketua Pengarah Perkhidmatan Awam (KPPA) Peranan dan tanggungjawab KPPA adalah seperti berikut: a. memastikan semua keperluan jabatan seperti sumber kewangan, sumber kakitangan dan perlindungan keselamatan adalah mencukupi. KPPA K02/01/02 Ketua Pegawai Digital (CDO) Jawatan Ketua Pegawai Digital (CDO) adalah disandang oleh Timbalan Ketua Pengarah Perkhidmatan Awam (Operasi). Peranan dan tanggungjawab CDO adalah seperti berikut: a. bertanggungjawab ke atas perkara-perkara yang berkaitan dengan keselamatan ICT JPA; b. bertanggungjawab menyelaras dan mengurus pelan tindakan dan program keselamatan seperti penyediaan PKS JPA, pelan latihan dan kesedaran pengguna, pengurusan risiko dan pengauditan; dan c. menentukan keperluan keselamatan ICT. CDO

Jabatan Perkhidmatan Awam, Malaysia Tarikh Akhir Kemaskini 14 Disember 2022 Versi: 1.2 Muka Surat: 16 dari 128 POLISI KESELAMATAN SIBER JPA K02/01/03 Pegawai Keselamatan ICT (ICTSO) Jawatan Pegawai Keselamatan ICT (ICTSO) adalah disandang oleh Pengarah Bahagian Digital dan Teknologi Maklumat (BDTM) JPA. Peranan dan tanggungjawab ICTSO adalah seperti berikut: a. mempengerusikan Jawatankuasa Keselamatan ICT (JKICT); b. menguatkuasakan pelaksanaan PKS JPA di semua bahagian di JPA; c. memastikan pengurusan risiko dan audit keselamatan ICT berpandukan dokumen Rangka Kerja Keselamatan Siber Sektor Awam (RAKKSSA) dan PKS JPA; d. mencadangkan langkah-langkah pengukuhan bagi mematuhi dasardasar berkaitan keselamatan ICT JPA; e. melaporkan insiden keselamatan ICT kepada pihak National Cyber Security Agency (NACSA) dan seterusnya membantu dalam penyiasatan atau pemulihan; f. memastikan program kesedaran keselamatan ICT dilaksanakan; g. menyedia dan menyebarkan amaran-amaran yang sesuai terhadap kemungkinan berlaku ancaman kepada keselamatan ICT dan menyediakan khidmat nasihat serta langkah pemulihan yang bersesuaian; h. melaporkan insiden keselamatan ICT kepada CDO bagi insiden yang memerlukan Pengurusan Kesinambungan Perkhidmatan; ICTSO

Jabatan Perkhidmatan Awam, Malaysia Tarikh Akhir Kemaskini 14 Disember 2022 Versi: 1.2 Muka Surat: 17 dari 128 POLISI KESELAMATAN SIBER JPA i. memastikan pematuhan PKS JPA oleh pihak luaran yang memberi perkhidmatan ICT kepada JPA untuk tujuan pembekalan, pemasangan, penyelenggaraan dan sebagainya; j. menyemak, mengkaji dan menyediakan laporan berkaitan dengan isu-isu keselamatan ICT; k. memastikan PKS JPA dikemas kini sesuai dengan arahan jabatan, peraturan semasa, perubahan teknologi, dan ancaman dalaman dan luaran; dan l. memastikan Pelan Strategik Pendigitalan (PSP) JPA mengandungi aspek keselamatan ICT. K02/01/04 Pengurus ICT Jawatan Pengurus ICT disandang oleh dua (2) orang pegawai iaitu Pengarah Bahagian Digital dan Teknologi Maklumat dan Ketua Pusat Pengajian Teknologi Maklumat dan Pembangunan Teknologi (IMATEC), INTAN. Peranan dan tanggungjawab Pengurus ICT adalah seperti berikut: a. memastikan PKS JPA dilaksanakan dan dipatuhi di bahagian; b. memastikan semua pengguna di JPA mematuhi dasar, piawaian dan garis panduan keselamatan ICT, dan seterusnya melaporkan sebarang insiden berkaitan keselamatan ICT; c. mengkaji semula aspek-aspek keselamatan fizikal seperti kemudahan backup dan persekitaran pejabat yang perlu, dengan persetujuan ICTSO; Pengurus ICT

Jabatan Perkhidmatan Awam, Malaysia Tarikh Akhir Kemaskini 14 Disember 2022 Versi: 1.2 Muka Surat: 18 dari 128 POLISI KESELAMATAN SIBER JPA d. melaksanakan keperluan PKS dalam operasi semasa seperti berikut: i. pelaksanaan sistem atau aplikasi baharu sama ada dibangunkan secara dalaman atau luaran yang melibatkan teknologi baharu; ii. pembelian atau peningkatan perisian dan sistem komputer; iii. perolehan teknologi dan perkhidmatan komunikasi baharu; iv. pelantikan pembekal, perunding atau rakan usaha sama; dan v. menentukan pembekal, perunding atau rakan usaha sama menjalani tapisan keselamatan selaras dengan keperluan tahap perkhidmatan. e. memastikan bentuk ancaman keselamatan terkini dikenal pasti dan penemuan ancaman dilaporkan kepada ICTSO; f. menyemak dan mengesahkan garis panduan, prosedur dan tatacara bagi semua aplikasi yang dibangunkan di bahagian-bahagian agar mematuhi keperluan PKS JPA; g. membangun, mengkaji semula dan mengemas kini pelan kontingensi dengan mengaktifkan Pelan Pemulihan Bencana (DRP); h. memastikan sistem kawalan capaian pengguna ke atas aset-aset ICT JPA dilaksanakan; dan i. memastikan aspek keselamatan maklumat dilaksanakan dalam setiap pengurusan projek. K02/01/05 Pentadbir Sistem Pentadbir Sistem terdiri daripada seperti berikut: a. Pentadbir Rangkaian Dan Keselamatan; b. Pentadbir Pangkalan Data; c. Pentadbir Portal (Web Master); Pentadbir Sistem

Jabatan Perkhidmatan Awam, Malaysia Tarikh Akhir Kemaskini 14 Disember 2022 Versi: 1.2 Muka Surat: 19 dari 128 POLISI KESELAMATAN SIBER JPA d. Pentadbir Pusat Data; e. Pentadbir Sistem Aplikasi; f. Pentadbir E-mel; g. Pentadbir Media Sosial JPA; dan h. Pegawai Aset ICT. Pentadbir Rangkaian Dan Keselamatan Peranan dan tanggungjawab Pentadbir Rangkaian dan Keselamatan adalah seperti berikut: a. memastikan rangkaian setempat (LAN) dan rangkaian luas (WAN) di JPA beroperasi sepanjang masa; b. memastikan semua peralatan dan perisian rangkaian diselenggarakan dengan sempurna; c. merancang peningkatan infrastruktur, ciri-ciri keselamatan dan prestasi rangkaian sedia ada; d. mengesan dan mengambil tindakan pembaikan segera ke atas rangkaian yang tidak stabil; e. melaksanakan penilaian tahap keselamatan sistem rangkaian dan sistem ICT; f. memastikan laluan trafik keluar dan masuk diuruskan secara berpusat dan tidak membenarkan sambungan ke rangkaian JPA secara tidak sah; g. menyediakan zon khas rangkaian untuk tujuan pengujian peralatan dan perisian rangkaian; Pentadbir Rangkaian dan Keselamatan

Jabatan Perkhidmatan Awam, Malaysia Tarikh Akhir Kemaskini 14 Disember 2022 Versi: 1.2 Muka Surat: 20 dari 128 POLISI KESELAMATAN SIBER JPA h. memantau penggunaan rangkaian dan melaporkan kepada ICTSO sekiranya berlaku penyalahgunaan sumber rangkaian; dan i. memastikan maklumat perhubungan perlu dikemas kini dari semasa ke semasa. Pentadbir Pangkalan Data Peranan dan tanggungjawab Pentadbir Pangkalan Data adalah seperti berikut: a. melaksanakan instalasi dan penambahbaikan pangkalan data serta perisian lain yang berkaitan dengan pangkalan data; b. memastikan pangkalan data boleh digunakan pada setiap masa; c. melaksanakan pemantauan dan penyelenggaraan yang berterusan ke atas pangkalan data; d. melaksanakan data masking dalam menyediakan data latihan; e. memastikan aktiviti pentadbiran pangkalan data seperti prestasi capaian, penyelesaian masalah pangkalan data dan proses pengemaskinian data dilaksanakan dengan teratur; f. melaksanakan polisi pengguna pangkalan data berdasarkan kepada prinsip-prinsip PKS; g. melaksanakan proses perkemasan data (housekeeping) di dalam pangkalan data; h. memantau proses backup dan restoration ke atas pangkalan data; dan Pentadbir Pangkalan Data

Jabatan Perkhidmatan Awam, Malaysia Tarikh Akhir Kemaskini 14 Disember 2022 Versi: 1.2 Muka Surat: 21 dari 128 POLISI KESELAMATAN SIBER JPA i. melaporkan sebarang insiden pelanggaran dasar keselamatan pangkalan data kepada ICTSO. Pentadbir Portal (Web Master) Peranan dan tanggungjawab Pentadbir Portal adalah seperti berikut: a. menerima kandungan portal yang telah disahkan kesahihan dan terkini daripada sumber yang sah; b. memantau prestasi capaian dan menjalankan penalaan prestasi untuk memastikan akses yang lancar; c. memantau dan menganalisis log untuk mengesan sebarang capaian yang tidak sah atau cubaan menggodam, menceroboh dan mengubahsuai antara muka portal; d. mengasingkan kandungan dan aplikasi dalam talian untuk capaian secara Intranet dan Internet ke portal JPA; e. memastikan hanya maklumat yang bersifat terbuka dipaparkan di portal; f. memastikan reka bentuk portal dibangunkan dengan ciri-ciri keselamatan supaya tidak dicerobohi; g. melaksanakan perkemasan keselamatan terhadap sistem pengoperasian dan perisian-perisian lain di web server; h. memantau proses backup dan restoration ke atas kandungan dan aplikasi portal; dan i. melaporkan sebarang pelanggaran keselamatan portal kepada ICTSO. Pentadbir Portal

Jabatan Perkhidmatan Awam, Malaysia Tarikh Akhir Kemaskini 14 Disember 2022 Versi: 1.2 Muka Surat: 22 dari 128 POLISI KESELAMATAN SIBER JPA Pentadbir Pusat Data Peranan dan tanggungjawab Pentadbir Pusat Data adalah seperti berikut: a. memastikan persekitaran fizikal dan keselamatan pusat data berada dalam keadaan baik dan selamat; b. memastikan keselamatan data dan sistem aplikasi yang berada dalam Pusat Data; c. menjadualkan dan melaksanakan proses backup dan restoration ke atas pangkalan data dan sistem secara berkala; d. menyediakan perancangan Pelan Pemulihan Bencana; e. memastikan Pusat Data sentiasa beroperasi mengikut polisi yang telah ditetapkan; f. melaporkan sebarang pelanggaran keselamatan Pusat Data JPA kepada ICTSO; dan g. memastikan maklumat perhubungan perlu dikemas kini dari semasa ke semasa. Pentadbir Pusat Data Pentadbir Sistem Aplikasi Peranan dan tanggungjawab Pentadbir Sistem Aplikasi adalah seperti berikut: a. mengkaji cadangan pembangunan, pembaikan, penyelarasan, pelaksanaan, pemantauan dan penyelenggaraan sistem di JPA; b. menyediakan dokumentasi sistem dan manual pengguna; Pentadbir Sistem Aplikasi

Jabatan Perkhidmatan Awam, Malaysia Tarikh Akhir Kemaskini 14 Disember 2022 Versi: 1.2 Muka Surat: 23 dari 128 POLISI KESELAMATAN SIBER JPA c. memastikan virus pattern, hotfix dan patch yang berkaitan dengan sistem aplikasi dikemaskini supaya terhindar daripada ancaman virus dan penggodam; d. mengehadkan capaian ke atas dokumentasi sistem bagi mengelakkan dari penyalahgunaannya; e. memastikan kelancaran operasi sistem aplikasi supaya perkhidmatan yang disediakan tidak terjejas; f. memastikan kod-kod program sistem aplikasi adalah selamat daripada penggodam sebelum sistem tersebut diaktifkan penggunaannya; g. mematuhi dan melaksanakan prinsip-prinsip PKS dalam pewujudan akaun pengguna ke atas setiap sistem aplikasi; dan h. melaporkan kepada ICTSO jika berlakunya insiden keselamatan ke atas sistem aplikasi. Pentadbir E-mel Peranan dan tanggungjawab Pentadbir E-mel adalah seperti berikut: a. menentukan setiap akaun yang diwujudkan atau dibatalkan telah mendapat kelulusan. Pembatalan akaun (pengguna yang tamat perkhidmatan, bertukar dan melanggar dasar dan tatacara jabatan) perlulah dilakukan dengan segera atas tujuan keselamatan maklumat; b. pentadbir e-mel boleh membekukan akaun pengguna berdasarkan peraturan atau polisi semasa; Pentadbir E-mel

Jabatan Perkhidmatan Awam, Malaysia Tarikh Akhir Kemaskini 14 Disember 2022 Versi: 1.2 Muka Surat: 24 dari 128 POLISI KESELAMATAN SIBER JPA c. memastikan pengguna e-mel JPA berkemahiran menggunakan emel melalui penyediaan dokumen tatacara penggunaan e-mel JPA dan Internet JPA serta pelaksanaan Kursus Pembudayaan ICT (Penggunaan E-mel dan Internet) secara berterusan. d. memastikan kemudahan membuat capaian e-mel melalui pelbagai peralatan ICT dan alat komunikasi; e. melaporkan kepada ICTSO jika berlakunya insiden keselamatan ke atas sistem e-mel; dan f. memastikan maklumat perhubungan perlu dikemas kini dari semasa ke semasa. Pentadbir Media Sosial JPA Peranan dan tanggungjawab Pentadbir Media Sosial JPA adalah seperti berikut: a. mematuhi segala peraturan atau syarat-syarat yang digariskan oleh penyedia platform media sosial; b. mentadbir dan menyemak ketepatan serta sensitiviti maklumat dalam pengurusan kandungan (video, audio, gambar dan dokumen) dan komen mengikut etika media sosial semasa; dan c. melaporkan sebarang pelanggaran polisi atau etika penggunaan media sosial yang sedang berkuat kuasa kepada Ketua Komunikasi Korporat, JPA. Pentadbir Media Sosial JPA

Jabatan Perkhidmatan Awam, Malaysia Tarikh Akhir Kemaskini 14 Disember 2022 Versi: 1.2 Muka Surat: 25 dari 128 POLISI KESELAMATAN SIBER JPA Pegawai Aset ICT Pegawai Aset ICT ialah pegawai yang dilantik oleh Pegawai Pengawal. Peranan dan tanggungjawab Pegawai Aset ICT adalah seperti berikut: a. memastikan pengurusan aset ICT Kerajaan dijalankan selaras dengan peraturan yang ditetapkan; b. memastikan penerimaan aset ICT Kerajaan dilaksanakan oleh pegawai yang dilantik oleh Ketua Jabatan/ Bahagian; c. memastikan semua aset ICT Kerajaan yang diterima, didaftarkan menggunakan Sistem Pemantauan Pengurusan Aset (SPA) dalam tempoh dua (2) minggu dari tarikh pengesahan penerimaan aset; d. memastikan semua aset ICT Kerajaan yang dipinjam, direkodkan ke dalam Rekod Pergerakan Aset. Aset tidak dibenarkan dibawa keluar dari pejabat kecuali dengan kelulusan secara bertulis daripada Ketua Jabatan/ Pegawai Aset/ Pegawai-pegawai lain yang diberi kuasa oleh Ketua Jabatan; e. memastikan Daftar Aset ICT dikemas kini apabila berlaku penambahan/ penggantian/ naik taraf aset termasuk selepas pemeriksaan aset, pelupusan dan hapus kira; f. memastikan semua aset ICT Kerajaan diberi tanda pengenalan dengan cara melabel tanda Hak Kerajaan Malaysia dan nama JPA/ Bahagian/ Agensi berkenaan di tempat yang mudah dilihat dan sesuai pada aset berkenaan; g. memastikan semua aset ICT Kerajaan ditandakan dengan Nombor Siri Pendaftaran mengikut susunan yang ditetapkan; Pegawai Aset ICT

Jabatan Perkhidmatan Awam, Malaysia Tarikh Akhir Kemaskini 14 Disember 2022 Versi: 1.2 Muka Surat: 26 dari 128 POLISI KESELAMATAN SIBER JPA h. memastikan senarai daftar induk aset ICT Kerajaan disediakan; i. memastikan senarai aset ICT Kerajaan disediakan mengikut lokasi dan format Senarai Aset ICT Kerajaan dalam dua (2) buah salinan. Satu (1) senarai berkenaan perlu disimpan oleh Pegawai Aset ICT/ Pembantu Pegawai Aset ICT dan satu (1) salinan perlu dipaparkan oleh pegawai yang bertanggungjawab di lokasi; j. memastikan setiap kerosakan aset ICT Kerajaan dilaporkan untuk tujuan penyelenggaraan; k. bertanggungjawab untuk menyedia, merancang, melaksana, memantau dan merekodkan penyelenggaraan aset ICT Kerajaan; l. merancang, memantau dan memastikan pemeriksaan aset ICT Kerajaan dilaksanakan ke atas keseluruhan aset ICT Kerajaan sekurang-kurangnya sekali setahun; dan m. memastikan setiap kes kehilangan aset ICT Kerajaan dilaporkan dan diuruskan dengan teratur. K02/01/06 Pengguna Pengguna terdiri daripada warga JPA dan pihak luaran yang terlibat dalam penggunaan atau capaian kepada aset dan perkhidmatan ICT Jabatan. Peranan dan tanggungjawab pengguna adalah seperti berikut: a. Pengguna perlu membaca, memahami dan mematuhi PKS JPA; b. mengetahui dan memahami implikasi keselamatan ICT kesan dari tindakannya; Pengguna

Jabatan Perkhidmatan Awam, Malaysia Tarikh Akhir Kemaskini 14 Disember 2022 Versi: 1.2 Muka Surat: 27 dari 128 POLISI KESELAMATAN SIBER JPA c. menjalani tapisan keselamatan sekiranya dikehendaki berurusan dengan maklumat rasmi terperingkat; d. melaksanakan prinsip-prinsip PKS dan menjaga kerahsiaan maklumat JPA; e. melaksanakan langkah-langkah perlindungan seperti berikut: i. menghalang pendedahan maklumat kepada pihak yang tidak dibenarkan; ii. memeriksa maklumat dan menentukan ia tepat dan lengkap dari semasa ke semasa; iii. menentukan maklumat sedia untuk digunakan; iv. menjaga kerahsiaan kata laluan; v. mematuhi piawaian, prosedur, langkah dan garis panduan keselamatan ICT yang ditetapkan; vi. melaksanakan peraturan berkaitan maklumat terperingkat terutama semasa pewujudan, pemprosesan, penyimpanan, penghantaran, penyampaian, pertukaran dan pemusnahan; dan vii. menjaga kerahsiaan langkah-langkah keselamatan ICT dari diketahui umum. f. melaporkan sebarang aktiviti yang mengancam keselamatan ICT kepada ICTSO dengan segera; g. mengawal aktiviti penggunaan media sosial seperti di bawah: i. mengelakkan ketirisan maklumat; ii. tidak memberi atau mendedahkan sebarang komen atau pernyataan atau isu yang menyentuh perkara-perkara yang boleh menjejaskan imej dan dasar kerajaan;

Jabatan Perkhidmatan Awam, Malaysia Tarikh Akhir Kemaskini 14 Disember 2022 Versi: 1.2 Muka Surat: 28 dari 128 POLISI KESELAMATAN SIBER JPA iii. tidak menyebarkan maklumat yang berbentuk fitnah, hasutan dan lucah atau cuba memprovokasi sesuatu isu yang menyalahi peraturan dan undang-undang atau perkara yang menyentuh sensitiviti individu atau kumpulan tertentu; dan iv. tidak menggunakan saluran media sosial hingga mengganggu fokus dalam urusan kerja. h. menghadiri program-program kesedaran mengenai keselamatan ICT; dan i. menandatangani Surat Akuan Pematuhan Polisi Keselamatan Siber JPA seperti di Lampiran 1. K02/01/07 Jawatankuasa Pemandu ICT (JPICT) JPA Keanggotaan JPICT adalah seperti berikut: Pengerusi: KPPA/CDO (sekiranya diturunkan kuasa) Ahli: TKPPA(P) & TKPPA(O) a. Pengarah Bahagian Perkhidmatan; b. Pengarah Bahagian Perjawatan dan Organisasi; c. Pengarah INTAN; d. Pengarah Bahagian Pembangunan Modal Insan; e. Pengarah Bahagian Khidmat Pengurusan; f. Pengarah Bahagian Gaji dan Elaun; g. Pengarah Bahagian Pencen; h. Pengarah Bahagian Penyelidikan, Perancangan dan Dasar; i. Pengarah Bahagian Pengurusan Psikologi; j. Pengarah Bahagian Digital dan Teknologi Maklumat; k. Pengarah Bahagian Penyelidikan, Perancangan dan Dasar; l. Timbalan-Timbalan Pengarah Bahagian Digital dan Teknologi Maklumat; KPPA/CDO

Jabatan Perkhidmatan Awam, Malaysia Tarikh Akhir Kemaskini 14 Disember 2022 Versi: 1.2 Muka Surat: 29 dari 128 POLISI KESELAMATAN SIBER JPA m. Ketua Pusat Pengajian Teknologi Maklumat dan Pembangunan Teknologi (IMATEC), INTAN; n. Ketua Unit Komunikasi Korporat; o. Penasihat Undang-undang (PUU); p. Ketua Unit Audit Dalam; dan r. Ketua Unit Integriti. Urus setia: BDTM Bidang kuasa: a. menetapkan arah tuju dan strategi ICT untuk pelaksanaan ICT JPA; b. merancang, menyelaras dan memantau pelaksanaan program atau projek ICT JPA; c. menyelaras dan menyeragamkan pelaksanaan ICT agar selari dengan Pelan Strategik Pendigitalan (PSP) JPA dan PSP Sektor Awam; d. meluluskan projek-projek ICT; e. mengikuti dan memantau perkembangan program ICT serta memahami keperluan, masalah dan isu-isu yang dihadapi dalam pelaksanaan ICT; f. merancang dan menentukan langkah-langkah keselamatan ICT; g. mengemukakan perolehan ICT yang telah diluluskan di peringkat JPICT JPA kepada Jawatankuasa Teknikal ICT (JTICT) MAMPU untuk kelulusan;

Jabatan Perkhidmatan Awam, Malaysia Tarikh Akhir Kemaskini 14 Disember 2022 Versi: 1.2 Muka Surat: 30 dari 128 POLISI KESELAMATAN SIBER JPA h. mengemukakan laporan kemajuan projek ICT yang diluluskan kepada JTICT MAMPU; i. menetapkan dasar dan prosedur pengurusan portal JPA; dan j. meluluskan dokumen PKS JPA. K02/01/08 Jawatankuasa Keselamatan ICT (JKICT) JPA Keanggotaan JKICT adalah seperti berikut: Pengerusi: ICTSO Ahli: a. Ketua CSIRTJPA; b. Pentadbir Pusat Data BDTM dan INTAN; c. Pentadbir Sistem (System Administrator) BDTM dan INTAN; d. Pentadbir Sistem Aplikasi BDTM dan INTAN; e. Pentadbir Rangkaian dan Keselamatan (Network and Security Administrator) BDTM dan INTAN ; f. Pentadbir Portal (Web Master) BDTM dan INTAN; g. Pentadbir Pangkalan Data (Database Administrator) BDTM dan INTAN; h. Pegawai Meja Bantuan (Helpdesk Officer) BDTM dan INTAN; i. Perunding Latihan INTAN; j. Wakil Pegawai Keselamatan Jabatan JPA; k. Wakil Pasukan Pelaksana ISMS, BDTM; dan l. Wakil Pasukan Pelaksana ISMS, INTAN. Urus setia: BDTM ICTSO

Jabatan Perkhidmatan Awam, Malaysia Tarikh Akhir Kemaskini 14 Disember 2022 Versi: 1.2 Muka Surat: 31 dari 128 POLISI KESELAMATAN SIBER JPA Bidang kuasa: a. menyelenggara dokumen PKS JPA; b. memantau tahap pematuhan PKS JPA; c. menilai aspek teknikal keselamatan projek-projek ICT; d. membangunkan garis panduan, prosedur dan tatacara untuk aplikasiaplikasi khusus dalam jabatan yang mematuhi keperluan PKS JPA; e. menyemak semula sistem ICT supaya sentiasa mematuhi keperluan keselamatan dari semasa ke semasa; f. menilai teknologi yang bersesuaian dan mencadangkan penyelesaian terhadap keperluan keselamatan ICT; g. memastikan PKS JPA selaras dengan dasar-dasar ICT kerajaan semasa; h. bekerjasama dengan CSIRTJPA untuk mendapatkan maklum balas dan insiden untuk tindakan penyelenggaraan PKS JPA; i. membincang tindakan yang melibatkan pelanggaran PKS JPA; j. merancang dan menyelaras pensijilan ISMS seperti: i. rancang struktur organisasi ISMS; ii. rancang kursus kesedaran ISMS; iii. rancang skop ISMS; iv. melaksanakan analisis jurang; v. merancang jadual perbatuan ISMS; vi. membantu Pelaksana ISMS menyediakan penyataan dasar ISMS, Statement of Applicability (SoA), penilaian risiko, risk

Jabatan Perkhidmatan Awam, Malaysia Tarikh Akhir Kemaskini 14 Disember 2022 Versi: 1.2 Muka Surat: 32 dari 128 POLISI KESELAMATAN SIBER JPA treatment plan, kaedah pengukuran kawalan dan prosedurprosedur ISMS; dan vii. permohonan pensijilan. k. mengemukakan isu dan masalah ISMS, jika ada; dan l. membantu mengukur keberkesanan kawalan dan pelaksanaan ISMS. K02/01/09 Cyber Security Incident Response Team (CSIRT) JPA Keanggotaan CSIRTJPA adalah seperti berikut: Pengerusi: TP(M)T, BDTM Ahli : a. Pegawai Teknologi Maklumat BDTM dan INTAN; dan b. Penolong Pegawai Teknologi Maklumat BDTM dan INTAN. Urus setia: BDTM Bidang kuasa: a. menerima dan mengesan aduan keselamatan ICT dan menilai tahap dan jenis insiden; b. merekod dan menjalankan siasatan awal insiden yang diterima; c. menangani tindak balas (response) insiden keselamatan ICT dan mengambil tindakan baik pulih minimum; d. menghubungi dan melaporkan insiden yang berlaku kepada ICTSO dan pihak NACSA sama ada sebagai input atau untuk tindakan seterusnya; TP(M)T, BDTM

Jabatan Perkhidmatan Awam, Malaysia Tarikh Akhir Kemaskini 14 Disember 2022 Versi: 1.2 Muka Surat: 33 dari 128 POLISI KESELAMATAN SIBER JPA e. merujuk agensi-agensi di bawah kawalannya untuk mengambil tindakan pemulihan dan pengukuhan; dan f. melaporkan sebarang maklum balas dan insiden keselamatan ICT kepada JKICT. K02/01/10 Jawatankuasa Pelan Pemulihan Bencana (JKDRP) JPA Keanggotaan JKDRP BDTM dan INTAN adalah seperti berikut: Pengerusi: TP(M)T, BDTM Ahli: a. Pasukan Pengurusan Bencana; b. Pasukan Sistem dan Operasi Pusat Data; c. Pasukan Rangkaian dan Keselamatan; d. Pasukan Aplikasi; e. Pasukan Pangkalan Data; dan f. Pasukan Meja Bantuan. Urus setia: BDTM Bidang kuasa: a. membangunkan Dokumen Pelan Pemulihan Bencana (DRP); b. menyediakan kemudahan pemulihan bencana atau Pusat Pemulihan Bencana (Disaster Recovery Centre); c. membuat penilaian ke atas masalah dan jangkaan akibat bencana; TP(M)T, BDTM

Jabatan Perkhidmatan Awam, Malaysia Tarikh Akhir Kemaskini 14 Disember 2022 Versi: 1.2 Muka Surat: 34 dari 128 POLISI KESELAMATAN SIBER JPA d. memaklumkan pengurusan atasan berkenaan bencana, kemajuan pemulihan bencana dan masalah; e. mengaktifkan prosedur pemulihan bencana; f. mengkoordinasi operasi pemulihan; g. memantau operasi pemulihan dan memastikan jadual pemulihan dipatuhi; h. mendokumentasikan operasi pemulihan; dan i. mengkoordinasi simulasi pemulihan bencana. K02/02 Pihak Luaran K02/02/01 Keperluan Keselamatan Dalam Perkhidmatan ICT Pihak Luaran terdiri daripada pembekal, pakar runding dan pihak-pihak lain yang berkepentingan dalam penggunaan atau capaian kepada aset dan perkhidmatan ICT Jabatan atau pelawat yang mengunjungi JPA atas urusan rasmi. Perkara yang perlu dipatuhi: a. mengenal pasti risiko ke atas keselamatan maklumat dan memastikan pelaksanaan kawalan yang sesuai ke atas maklumat tersebut; b. memastikan semua syarat keselamatan dinyatakan dengan jelas dalam perjanjian dengan pihak ketiga; c. akses kepada aset ICT JPA perlu berlandaskan perjanjian dan peraturan yang telah ditetapkan. Perjanjian yang dimeterai perlu mematuhi perkara-perkara berikut: i. PKS JPA; Pengurus ICT, Pentadbir Sistem

Jabatan Perkhidmatan Awam, Malaysia Tarikh Akhir Kemaskini 14 Disember 2022 Versi: 1.2 Muka Surat: 35 dari 128 POLISI KESELAMATAN SIBER JPA ii. Tapisan Keselamatan; iii. Arahan Teknologi Maklumat 2007 (IT Instructions); iv. Perakuan Akta Rahsia Rasmi 1972; dan v. Hak Harta Intelek. d. melaksanakan keselamatan dan menandatangani Surat Akuan Pematuhan Polisi Keselamatan Siber JPA (Lampiran 1) serta Perakuan Akta Rahsia Rasmi 1972 bagi perakuan untuk tidak membocorkan sebarang maklumat rasmi yang diperoleh sepanjang berkhidmat dengan JPA seperti Lampiran 4; dan e. pihak luaran kategori pelawat sahaja dikecualikan daripada mematuhi peraturan a hingga d seperti di atas.

Versi: 1.1 Muka Surat: 36 dari 128 POLISI KESELAMATAN SIBER JPA Jabatan Perkhidmatan Awam, Malaysia Tarikh Akhir Kemaskini 14 Disember 2022 Kawalan 03: Keselamatan Sumber Manusia Objektif Memastikan semua pengguna yang berkepentingan memahami tanggungjawab dan peranan serta meningkatkan pengetahuan dalam keselamatan aset ICT. Semua pengguna hendaklah mematuhi terma dan syarat perkhidmatan dan peraturan semasa yang berkuat kuasa. K03/01 Sebelum Perkhidmatan Memastikan semua pengguna yang berkepentingan memahami tanggungjawab masing-masing ke atas keselamatan aset ICT bagi meminimumkan risiko seperti kesilapan, kecuaian, penipuan dan penyalahgunaan aset ICT. Perkara yang mesti dipatuhi termasuk yang berikut: a. menyatakan dengan lengkap dan jelas peranan dan tanggungjawab semua pengguna yang berkepentingan ke atas keselamatan aset ICT sebelum, semasa dan selepas perkhidmatan; dan b. menjalankan tapisan keselamatan, menandatangani Perakuan Akta Rahsia Rasmi 1972 dan Surat Akuan Pematuhan PKS untuk semua pengguna yang berkepentingan. Pengguna, Pengurusan Sumber Manusia K03/02 Semasa Perkhidmatan Memastikan semua pengguna yang berkepentingan sedar akan ancaman keselamatan maklumat, peranan dan tanggungjawab masing-masing untuk menyokong PKS JPA dan meminimumkan risiko kesilapan, Pengguna, Pengurusan Sumber Manusia

Versi: 1.1 Muka Surat: 37 dari 128 POLISI KESELAMATAN SIBER JPA Jabatan Perkhidmatan Awam, Malaysia Tarikh Akhir Kemaskini 14 Disember 2022 kecuaian, kecurian, penipuan dan penyalahgunaan aset ICT. Perkara yang perlu dipatuhi termasuk yang berikut: a. memastikan semua pengguna yang berkepentingan mengurus keselamatan aset ICT berdasarkan perundangan dan peraturan ditetapkan JPA; b. memastikan latihan dan program kesedaran yang diberikan kepada pengguna dari semasa ke semasa bagi meningkatkan kompetensi pengguna berkaitan keselamatan aset ICT; c. memastikan prosedur latihan jabatan sentiasa dikemas kini bersesuaian dengan fungsi tugas semasa setiap pengguna; d. memastikan adanya tindakan tatatertib/ atau perundangan ke atas semua pengguna sekiranya berlaku pelanggaran keselamatan maklumat jabatan; dan e. mematuhi terma dan syarat perkhidmatan yang ditawarkan dan peraturan semasa yang berkuat kuasa berdasarkan perjanjian yang telah ditetapkan. K03/03 Bertukar Atau Tamat Perkhidmatan Memastikan pertukaran atau tamat perkhidmatan semua pengguna yang berkepentingan diuruskan dengan teratur. Pengguna, Pengurusan Sumber Manusia

Versi: 1.1 Muka Surat: 38 dari 128 POLISI KESELAMATAN SIBER JPA Jabatan Perkhidmatan Awam, Malaysia Tarikh Akhir Kemaskini 14 Disember 2022 Perkara yang perlu dipatuhi termasuk: a. memastikan semua aset ICT dikembalikan kepada jabatan mengikut peraturan dan/ atau terma perkhidmatan yang ditetapkan; dan b. membatalkan atau meminda semua kebenaran capaian ke atas maklumat dan kemudahan proses maklumat mengikut peraturan yang ditetapkan JPA dan/ atau terma perkhidmatan.

Versi: 1.1 Muka Surat: 39 dari 128 POLISI KESELAMATAN SIBER JPA Jabatan Perkhidmatan Awam, Malaysia Tarikh Akhir Kemaskini 14 Disember 2022

Versi: 1.2 Muka Surat: 39 dari 128 POLISI KESELAMATAN SIBER JPA Jabatan Perkhidmatan Awam, Malaysia Tarikh Akhir Kemaskini 14 Disember 2022 Kawalan 04: Pengurusan Aset Objektif Memberikan perlindungan keselamatan yang bersesuaian ke atas semua aset ICT JPA. K04/01 Akauntabiliti Aset ICT Memberi dan menyokong perlindungan yang bersesuaian ke atas semua aset ICT JPA. Tanggungjawab yang perlu dipatuhi untuk memastikan semua aset ICT dikawal dan dilindungi: a. memastikan semua aset ICT dikenal pasti, dikelas, didokumen, diselenggara dan dilupus. Maklumat aset ICT direkod dan dikemas kini dalam Sistem Pengurusan Aset (SPA) mengikut Pekeliling Perbendaharaan AM 2. Tatacara Pengurusan Aset Alih Kerajaan; b. memastikan semua aset ICT mempunyai pemilik dan dikendalikan oleh pengguna yang dibenarkan sahaja; c. memastikan semua pemilik mengesahkan penempatan aset ICT yang ditempatkan di JPA; d. memastikan semua peraturan pengendalian aset dikenal pasti, didokumenkan dan dilaksanakan; e. setiap pengguna adalah bertanggungjawab ke atas semua aset ICT di bawah kawalan atau milikan; Pegawai Aset ICT, Pengguna

RkJQdWJsaXNoZXIy MTc1NDAy