3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137

Polisi Keselamatan Siber JPA versi 1.3

n Perkhidmatan Awam, Malaysia Tarikh Akhir Kemaskini 7 Disember 2023

POLISI KESELAMATAN SIBER JPA Versi: 1.3 Muka Surat: i dari iii Jabatan Perkhidmatan Awam, Malaysia Tarikh Akhir Kemaskini 7 Disember 2023 KANDUNGAN SEJARAH POLISI KESELAMATAN SIBER JPA ..........................................................1 PENGENALAN ...............................................................................................................2 OBJEKTIF ......................................................................................................................2 PERNYATAAN POLISI ..................................................................................................3 SKOP ..............................................................................................................................4 PRINSIP-PRINSIP ..........................................................................................................6 PENILAIAN RISIKO KESELAMATAN ICT ....................................................................8 PELAN PENGURUSAN KESELAMATAN MAKLUMAT ...............................................9 KAWALAN 01: POLISI KESELAMATAN MAKLUMAT ..............................................12 K01/01 Pelaksanaan Dasar .......................................................................................12 K01/02 Penyebaran Dasar ........................................................................................12 K01/03 Penyelenggaraan Dasar ...............................................................................12 K01/04 Pematuhan Dasar .........................................................................................13 KAWALAN 02: ORGANISASI KESELAMATAN MAKLUMAT....................................14 K02/01 Tadbir Urus Keselamatan Maklumat ...........................................................14 K02/02 Pihak Luaran .................................................................................................32 KAWALAN 03: KESELAMATAN SUMBER MANUSIA ...............................................34 K03/01 Sebelum Perkhidmatan ................................................................................34 K03/02 Semasa Perkhidmatan .................................................................................34 K03/03 Bertukar Atau Tamat Perkhidmatan ...........................................................35 KAWALAN 04: PENGURUSAN ASET ........................................................................37 K04/01 Akauntabiliti Aset ICT ..................................................................................37 K04/02 Peminjaman dan Pemulangan Aset ICT .....................................................38 K04/03 Pengelasan Maklumat ..................................................................................39 K04/04 Pengendalian Maklumat ...............................................................................39 K04/05 Pengelasan dan Pengendalian Data Terbuka ............................................40 K04/06 Pengendalian Media .....................................................................................41 KAWALAN 05: KAWALAN CAPAIAN ........................................................................43 K05/01 Kawalan Capaian ..........................................................................................43 K05/02 Pengurusan Capaian Pengguna .................................................................43

POLISI KESELAMATAN SIBER JPA Versi: 1.3 Muka Surat: ii dari iii Jabatan Perkhidmatan Awam, Malaysia Tarikh Akhir Kemaskini 7 Disember 2023 K05/03 Capaian Sistem Pengoperasian ..................................................................46 K05/04 Capaian Aplikasi dan Maklumat ..................................................................48 K05/05 Capaian Jarak Jauh ......................................................................................49 K05/06 Kawalan Capaian Rangkaian .......................................................................50 K05/07 Peralatan Mudah Alih ...................................................................................51 K05/08 Bring Your Own Device (BYOD) ..................................................................52 KAWALAN 06: KAWALAN KRIPTOGRAFI ................................................................54 K06/01 Kriptografi .....................................................................................................54 KAWALAN 07: KESELAMATAN FIZIKAL DAN PERSEKITARAN ............................56 K07/01 Keselamatan Kawasan .................................................................................56 K07/02 Keselamatan Peralatan ................................................................................58 K07/03 Kawalan Persekitaran ..................................................................................64 K07/04 Keselamatan Sistem Dokumentasi .............................................................67 KAWALAN 08: KESELAMATAN OPERASI ................................................................69 K08/01 Prosedur Operasi .........................................................................................69 K08/02 Perancangan dan Penerimaan Sistem........................................................71 K08/03 Perlindungan dari Perisian Berbahaya .......................................................71 K08/04 Housekeeping ...............................................................................................72 K08/05 Pengurusan Media .......................................................................................73 K08/06 Paparan Maklumat Umum ............................................................................74 K08/07 Pemantauan ..................................................................................................75 KAWALAN 09: KESELAMATAN KOMUNIKASI .........................................................81 K09/01 Pengurusan Rangkaian................................................................................81 K09/02 Pengurusan Penghantaran dan Penerimaan Maklumat ............................82 K09/03 Pengurusan Mel Elektronik (E-mel) ............................................................83 KAWALAN 10: PEMEROLEHAN, PEMBANGUNAN DAN PENYELENGGARAAN SISTEM ........................................................................................................................85 K10/01 Kawalan Prosesan Aplikasi .........................................................................85 K10/02 Keselamatan Fail Sistem .............................................................................86 K10/03 Keselamatan Dalam Proses Pembangunan dan Sokongan .....................87 K10/04 Data Ujian ......................................................................................................89 K10/05 Kawalan Terhadap Keterdedahan Teknikal ................................................89

POLISI KESELAMATAN SIBER JPA Versi: 1.3 Muka Surat: iii dari iii Jabatan Perkhidmatan Awam, Malaysia Tarikh Akhir Kemaskini 7 Disember 2023 K10/06 Perkhidmatan E-dagang ..............................................................................90 K10/07 Pembangunan Aplikasi Mudah Alih ............................................................90 KAWALAN 11: HUBUNGAN PEMBEKAL ..................................................................91 K11/01 Keselamatan Maklumat Dalam Hubungan Dengan Pembekal ..................91 K11/02 Pengurusan Penyampaian Perkhidmatan Pembekal ................................91 KAWALAN 12: RISIKO DAN PENGURUSAN PENGENDALIAN INSIDEN KESELAMATAN ..........................................................................................................93 K12/01 Mekanisma Pelaporan Insiden Keselamatan Siber ...................................93 K12/02 Prosedur Pengurusan dan Pengendalian Insiden Keselamatan Siber .... 94 KAWALAN 13: KESELAMATAN MAKLUMAT BAGI PENGURUSAN KESINAMBUNGAN PERKHIDMATAN ........................................................................96 K13/01 Pengurusan Kesinambungan Perkhidmatan .............................................96 K13/02 Lewahan (Redundancy) ...............................................................................99 KAWALAN 14: PEMATUHAN ...................................................................................100 K14/01 Pematuhan Dasar .......................................................................................100 K14/02 Pematuhan kepada Dasar, Peraturan dan Penilaian Teknikal Keselamatan ..............................................................................................................101 K14/03 Pematuhan Keperluan Audit .....................................................................101 K14/04 Pelanggaran Perundangan ........................................................................102 GLOSARI ...................................................................................................................103 LAMPIRAN 1 ..............................................................................................................119 LAMPIRAN 2 ..............................................................................................................120 LAMPIRAN 3 ..............................................................................................................121

POLISI KESELAMATAN SIBER JPA Versi: 1.3 Muka Surat: 1 dari 123 Jabatan Perkhidmatan Awam, Malaysia Tarikh Akhir Kemaskini 7 Disember 2023 SEJARAH POLISI KESELAMATAN SIBER JPA VERSI KELULUSAN TARIKH BERKUAT KUASA 1.0 JPICT 18 DISEMBER 2020 1.1 JPICT 16 NOVEMBER 2021 1.2 JPICT 14 DISEMBER 2022 1.3 JPICT 7 DISEMBER 2023

POLISI KESELAMATAN SIBER JPA Versi: 1.3 Muka Surat: 2 dari 123 Jabatan Perkhidmatan Awam, Malaysia Tarikh Akhir Kemaskini 7 Disember 2023 PENGENALAN Polisi Keselamatan Siber (PKS) Jabatan Perkhidmatan Awam (JPA) mengandungi peraturanperaturan yang mesti dibaca dan dipatuhi semasa menggunakan aset Teknologi Maklumat dan Komunikasi (ICT). Polisi ini juga menerangkan kepada pengguna mengenai tanggungjawab dan peranan pengguna dalam melindungi aset ICT JPA. Polisi Keselamatan Siber (PKS) JPA disediakan berpandu kepada piawaian antarabangsa. iaitu ISO/IEC 27001:2013.Information Security Management System (ISMS). OBJEKTIF Objektif utama PKS adalah seperti yang berikut: 1. Memastikan kelancaran operasi jabatan yang berlandaskan ICT dengan mencegah serta meminimumkan risiko kerosakan atau kemusnahan aset ICT jabatan; 2. Melindungi kepentingan pihak-pihak yang bergantung kepada sistem maklumat daripada kesan kegagalan atau kelemahan daripada segi kerahsiaan, integriti, tidak boleh disangkal, ketersediaan dan kesahihan; 3. Meminimumkan kos penyelenggaraan ICT akibat ancaman dan penyalahgunaan aset ICT; dan 4. Meningkatkan tahap kesedaran keselamatan ICT kepada para kakitangan, pengguna dan pihak luaran.

POLISI KESELAMATAN SIBER JPA Versi: 1.3 Muka Surat: 3 dari 123 Jabatan Perkhidmatan Awam, Malaysia Tarikh Akhir Kemaskini 7 Disember 2023 PERNYATAAN POLISI Keselamatan ditakrifkan sebagai keadaan yang bebas daripada ancaman dan risiko yang tidak boleh diterima. Keselamatan ialah suatu proses yang berterusan. Ia melibatkan aktiviti berkala yang mesti dilakukan dari semasa ke semasa untuk menjamin keselamatan kerana ancaman dan kelemahan sentiasa berubah. Keselamatan ICT adalah bermaksud keadaan bagi segala urusan menyedia dan membekalkan perkhidmatan yang berasaskan kepada sistem ICT berjalan secara berterusan. Terdapat empat (4) komponen asas keselamatan IT, iaitu: 1. Melindungi maklumat rasmi JPA dari capaian tanpa kuasa yang sah; 2. Menjamin setiap maklumat adalah tepat, lengkap dan terkini; 3. Memastikan ketersediaan maklumat apabila diperlukan oleh pengguna; dan 4. Memastikan akses hanya kepada pengguna yang sah dan penerimaan maklumat daripada sumber yang boleh dipercayai. PKS JPA merangkumi perlindungan ke atas semua bentuk maklumat digital dan bukan digital bertujuan untuk menjamin keselamatan maklumat tersebut dan ketersediaan kepada semua pengguna yang dibenarkan. Ciri-ciri utama keselamatan maklumat adalah seperti yang berikut: 1. Kerahsiaan – maklumat tidak boleh didedahkan sewenang-wenangnya atau dibiarkan akses tanpa kebenaran. 2. Integriti – data dan maklumat hendaklah tepat, lengkap dan terkini. Ia hanya boleh diubah dengan cara yang dibenarkan sahaja. 3. Tidak boleh disangkal – punca data dan maklumat hendaklah dari punca yang sah dan tidak boleh disangkal. 4. Kesahihan – data dan maklumat hendaklah dijamin kesahihannya.

POLISI KESELAMATAN SIBER JPA Versi: 1.3 Muka Surat: 4 dari 123 Jabatan Perkhidmatan Awam, Malaysia Tarikh Akhir Kemaskini 7 Disember 2023 5. Ketersediaan – data dan maklumat hendaklah boleh diakses pada bila-bila masa. Selain itu, analisis tahap risiko aset ICT dikenal pasti, seterusnya mengambil tindakan untuk merancang dan mengawal risiko berkenaan. SKOP Sistem ICT JPA terdiri daripada organisasi, manusia, perisian, peralatan, telekomunikasi, kemudahan ICT, data dan maklumat. JPA telah menetapkan keperluan-keperluan asas keselamatan seperti yang berikut: 1. Data dan maklumat termasuk hardcopy dan softcopy hendaklah boleh diakses secara berterusan dengan cepat, tepat, mudah dan dengan cara yang boleh dipercayai. Ini adalah amat perlu bagi membolehkan keputusan dan penyampaian perkhidmatan dilakukan dengan berkesan dan berkualiti. 2. Semua data dan maklumat hendaklah dijaga kerahsiaannya dan dikendalikan sebaik mungkin pada setiap masa bagi memastikan kesempurnaan dan melindungi kepentingan JPA. PKS JPA merangkumi perlindungan ke atas semua bentuk maklumat ICT kerajaan yang dimasukkan, diwujud, dimusnah, disimpan, dijana, dicetak, diakses, diedar dan yang dibuat salinan. Ini akan dilakukan melalui penubuhan dan penguatkuasaan sistem kawalan dan prosedur dalam pengendalian semua perkara-perkara berikut: 1. Data dan Maklumat Semua data dan maklumat elektronik dan bercetak yang disimpan atau digunakan di pelbagai media termasuk prosedur, manual pengguna, sistem dokumentasi, rekod, pangkalan data dan lain-lain; 2. Peralatan ICT Semua peralatan komputer seperti komputer peribadi, komputer riba, pencetak, media storan, server, firewall, peralatan multimedia & komunikasi dan alat sokongan yang lain;

POLISI KESELAMATAN SIBER JPA Versi: 1.3 Muka Surat: 5 dari 123 Jabatan Perkhidmatan Awam, Malaysia Tarikh Akhir Kemaskini 7 Disember 2023 3. Perisian Semua jenis perisian yang digunakan untuk mengendali, memproses, menyimpan dan menghantar data atau maklumat. Ini termasuklah sistem aplikasi seperti HRMIS, eSILA, EPSA dan perisian sistem seperti Windows, LINUX dan perisian utiliti, perisian komunikasi, sistem pengurusan pangkalan data, kod sumber dan lain-lain; 4. Perkhidmatan Perkhidmatan atau sistem yang menyokong aset lain untuk melaksanakan fungsifungsinya. Contoh: i. perkhidmatan rangkaian seperti LAN, WAN dan lain-lain; ii. sistem halangan akses seperti sistem kad akses; dan iii. perkhidmatan sokongan seperti kemudahan elektrik, pendingin hawa, sistem pencegah kebakaran dan lain-lain. 5. Manusia Individu yang mempunyai pengetahuan dan kemahiran untuk melaksanakan skop kerja harian bagi mencapai misi dan objektif; dan 6. Persekitaran Fizikal Persekitaran fizikal yang merujuk kepada lokasi fizikal yang menempatkan perkara 1-5 di atas.

POLISI KESELAMATAN SIBER JPA Versi: 1.3 Muka Surat: 6 dari 123 Jabatan Perkhidmatan Awam, Malaysia Tarikh Akhir Kemaskini 7 Disember 2023 PRINSIP-PRINSIP Prinsip-prinsip yang menjadi asas kepada PKS JPA adalah seperti yang berikut: 1. Akses Atas Dasar Perlu Mengetahui Akses terhadap penggunaan aset ICT hanya diberikan untuk tujuan spesifik dan dihadkan kepada pengguna tertentu atas dasar perlu mengetahui sahaja. Ini bermakna akses hanya akan diberikan sekiranya peranan atau fungsi pengguna memerlukan maklumat tersebut. 2. Hak Akses Minimum Hak akses kepada pengguna hanya diberi pada tahap yang paling minimum iaitu untuk membaca dan/ atau melihat sahaja. Kelulusan khas diperlukan untuk membolehkan pengguna mencipta, menyimpan, mengemas kini, mengubah dan menghapuskan sesuatu data atau maklumat. 3. Kebertanggungjawaban atau Akauntabiliti Semua pengguna adalah dipertanggungjawabkan ke atas semua tindakannya terhadap aset ICT. Tanggungjawab ini perlu dinyatakan dengan jelas sesuai dengan tahap sensitiviti sesuatu sumber ICT. Bagi menentukan tanggungjawab ini dipatuhi, sistem ICT hendaklah mampu menyokong kemudahan mengesan atau mengesahkan bahawa pengguna sistem maklumat boleh dipertanggungjawabkan atas tindakan mereka. 4. Pengasingan Tugas mencipta, menghapus, mengemas kini, mengubah dan mengesahkan data perlu diasingkan bagi mengelakkan daripada capaian yang tidak dibenarkan (unauthorized access) serta melindungi aset ICT daripada kesilapan, kebocoran maklumat terperingkat atau dimanipulasikan. Pengasingan juga merangkumi data, operasi, pangkalan data dan rangkaian.

POLISI KESELAMATAN SIBER JPA Versi: 1.3 Muka Surat: 7 dari 123 Jabatan Perkhidmatan Awam, Malaysia Tarikh Akhir Kemaskini 7 Disember 2023 5. Pengauditan Tujuan aktiviti ini ialah untuk mengenal pasti insiden keselamatan aset ICT atau keadaan yang mengancam keselamatan aset ICT. Dengan itu, semua log yang berkaitan dengan aset ICT perlu disimpan bagi tujuan jejak audit. 6. Pematuhan PKS JPA hendaklah dipatuhi bagi mengelakkan sebarang bentuk pelanggaran ke atasnya yang boleh membawa ancaman kepada keselamatan ICT. 7. Pemulihan Pemulihan sistem amat perlu untuk memastikan ketersediaan dan kebolehcapaian bagi meminimumkan sebarang gangguan atau kerugian akibat daripada ketidaksediaan. Pemulihan boleh dilakukan melalui proses penduaan (backup) dan mewujudkan Pelan Pemulihan Bencana (DRP) di bawah Pengurusan Kesinambungan Perkhidmatan (PKP). 8. Saling Bergantung Setiap prinsip adalah saling lengkap-melengkapi dan bergantung antara satu sama lain. Dengan itu tindakan mempelbagaikan pendekatan dalam menyusun dan mencorakkan sebanyak mungkin mekanisma keselamatan, dapat menjamin keselamatan yang maksimum.

POLISI KESELAMATAN SIBER JPA Versi: 1.3 Muka Surat: 8 dari 123 Jabatan Perkhidmatan Awam, Malaysia Tarikh Akhir Kemaskini 7 Disember 2023 PENILAIAN RISIKO KESELAMATAN ICT JPA hendaklah mengambil kira kewujudan risiko ke atas aset ICT akibat daripada ancaman dan kerentangan (vulnerability) yang semakin meningkat hari ini. Justeru itu, JPA perlu mengambil langkah-langkah proaktif dan bersesuaian untuk menilai tahap risiko aset ICT supaya pendekatan dan keputusan yang paling berkesan dikenal pasti bagi menyediakan perlindungan dan kawalan ke atas aset ICT. JPA hendaklah melaksanakan penilaian risiko keselamatan ICT secara berkala dan berterusan bergantung kepada perubahan teknologi dan keperluan keselamatan ICT. Seterusnya mengambil tindakan susulan atau langkah-langkah bersesuaian untuk mengurangkan atau mengawal risiko keselamatan ICT berdasarkan penemuan penilaian risiko. Penilaian risiko keselamatan ICT hendaklah dilaksanakan ke atas sistem maklumat JPA termasuklah aplikasi, perisian, peralatan, pelayan, rangkaian, pangkalan data, sumber manusia, proses, dan prosedur. Penilaian risiko ini hendaklah juga dilaksanakan di premis yang menempatkan sumber-sumber teknologi maklumat termasuklah pusat data, bilik media storan, kemudahan utiliti dan sistem sokongan lain. JPA bertanggungjawab melaksanakan dan menguruskan risiko keselamatan ICT selaras dengan keperluan Surat Pekeliling Am Bilangan 6 Tahun 2005: Garis Panduan Penilaian Risiko Keselamatan Maklumat Sektor Awam. JPA perlu mengenal pasti tindakan yang sewajarnya bagi menghadapi kemungkinan risiko berlaku dengan memilih tindakan berikut: 1. Mengurangkan risiko dengan melaksanakan kawalan yang bersesuaian; 2. Menerima atau bersedia berhadapan dengan risiko yang akan terjadi selagi ia memenuhi kriteria yang telah ditetapkan oleh pengurusan atasan; 3. Mengelak atau mencegah risiko dari terjadi dengan mengambil tindakan yang dapat mengelak atau mencegah berlakunya risiko; dan 4. Memindahkan risiko kepada pihak luaran yang berkepentingan.

POLISI KESELAMATAN SIBER JPA Versi: 1.3 Muka Surat: 9 dari 123 Jabatan Perkhidmatan Awam, Malaysia Tarikh Akhir Kemaskini 7 Disember 2023 PELAN PENGURUSAN KESELAMATAN MAKLUMAT Setiap projek di JPA hendaklah menyediakan Pelan Pengurusan Keselamatan Maklumat. Pelan ini mengandungi maklumat terperinci yang menyatakan keutamaan aplikasi, kawalan capaian dan keperluan-keperluan khusus yang lain. Pelan ini hendaklah dibangunkan dengan berpandukan Rangka Kerja Keselamatan Siber Sektor Awam (RAKKSSA), Polisi Keselamatan Siber JPA dan surat pekeliling/ arahan terkini untuk menangani isu-isu operasi projek. Pelan ini hendaklah mengenal pasti perlindungan data-dalam-penggunaan, data-dalampergerakan, data-dalam-simpanan dan menghalang ketirisan data. Pelan Pengurusan Keselamatan Maklumat hendaklah mengandungi maklumat terperinci berhubung seni bina sistem, teknologi dan kawalan keselamatan bagi setiap kategori elemen di bawah: 1. Peranti Pengkomputeran Peribadi Peranti Pengkomputeran peribadi merujuk kepada peranti komputer yang digunakan oleh manusia untuk berinteraksi dengan sistem. Contoh peranti pengkomputeran peribadi ialah komputer riba, telefon pintar, tablet dan peranti storan. 2. Peranti Rangkaian a. Peranti rangkaian merujuk kepada peranti yang digunakan untuk membolehkan saling hubung antara peranti komputer dan sistem seperti switch, router, firewall, peranti VPN dan kabel. b. Teknologi dan kawalan keselamatan yang dikenal pasti untuk melindungi datadalam-pergerakan dan menghalang ketirisan data hendaklah diperincikan dalam Pelan Pengurusan Keselamatan Maklumat.

POLISI KESELAMATAN SIBER JPA Versi: 1.3 Muka Surat: 10 dari 123 Jabatan Perkhidmatan Awam, Malaysia Tarikh Akhir Kemaskini 7 Disember 2023 3. Aplikasi a. Perisian aplikasi digunakan oleh manusia untuk memproses dan berinteraksi dengan data. Contoh perisian aplikasi ialah pelayan web, pelayan aplikasi dan sistem operasi. b. Teknologi dan kawalan keselamatan yang dikenal pasti untuk melindungi datadalam penggunaan, data-dalam-pergerakan, data-dalam-simpanan dan menghalang ketirisan data hendaklah diperincikan dalam Pelan Pengurusan Keselamatan Maklumat. 4. Pelayan a. Pelayan merujuk kepada peranti pengkomputeran yang mengandungi aplikasi dan storan. Pelayan hendaklah diletakkan di lokasi yang selamat. b. Teknologi dan kawalan keselamatan yang dikenal pasti untuk melindungi datadalam-penggunaan, data-dalam-pergerakan, data-dalam-simpanan dan menghalang ketirisan data hendaklah diperincikan dalam Pelan Pengurusan Keselamatan Maklumat. 5. Persekitaran Fizikal a. Persekitaran fizikal merujuk kepada lokasi fizikal yang menempatkan aset ICT. b. JPA hendaklah merujuk ke Pejabat Ketua Pegawai Keselamatan Kerajaan untuk mendapatkan nasihat mengenai cadangan yang berkaitan dengan pengambilalihan, pajakan, pengubahsuaian, pembelian bangunan milik Kerajaan dan swasta yang menempatkan kemudahan pemprosesan maklumat. c. Perlindungan fizikal yang disediakan hendaklah selaras dengan risiko yang dikenal pasti dan berdasarkan prinsip defence-in-depth.

POLISI KESELAMATAN SIBER JPA Versi: 1.3 Muka Surat: 11 dari 123 Jabatan Perkhidmatan Awam, Malaysia Tarikh Akhir Kemaskini 7 Disember 2023 d. Teknologi dan kawalan keselamatan yang dikenal pasti untuk melindungi datadalam-penggunaan, data-dalam-pergerakan, data-dalam-simpanan dan menghalang ketirisan data hendaklah diperincikan dalam Pelan Pengurusan Keselamatan Maklumat.

POLISI KESELAMATAN SIBER JPA Versi: 1.3 Muka Surat: 12 dari 123 Jabatan Perkhidmatan Awam, Malaysia Tarikh Akhir Kemaskini 7 Disember 2023 KAWALAN 01: POLISI KESELAMATAN MAKLUMAT Objektif PKS JPA ini diwujudkan untuk melindungi aset ICT bagi memastikan kelancaran operasi jabatan secara berterusan, meminimumkan kerosakan atau kemusnahan aset-aset ICT melalui usaha pencegahan atau mengurangkan kesan kejadian yang tidak diingini berdasarkan kepada ciri-ciri keselamatan iaitu kerahsiaan, integriti, tidak boleh disangkal, ketersediaan dan kesahihan. K01/01 Pelaksanaan Dasar Pelaksanaan dasar ini akan dikuatkuasakan oleh Ketua Pengarah Perkhidmatan Awam (KPPA), dan dibantu oleh Jawatankuasa Pemandu ICT JPA (JPICT) yang terdiri daripada Ketua Pegawai Digital (CDO), Pegawai Keselamatan ICT (ICTSO) dan semua Pengarah Bahagian. KPPA K01/02 Penyebaran Dasar Dasar ini perlu disebarkan kepada semua pengguna. ICTSO K01/03 Penyelenggaraan Dasar PKS JPA adalah tertakluk kepada semakan dan pindaan dari semasa ke semasa selaras dengan perubahan teknologi, aplikasi, prosedur, perundangan dan kepentingan sosial. Berikut adalah prosedur yang berhubung dengan penyelenggaraan PKS JPA: a. mengenal pasti dan menentukan perubahan yang diperlukan; b. mengemukakan cadangan untuk pertimbangan Jawatankuasa Keselamatan ICT (JKICT); c. memaklumkan cadangan pindaan untuk perakuan oleh JKICT dan kelulusan JPICT; ICTSO, JKICT

POLISI KESELAMATAN SIBER JPA Versi: 1.3 Muka Surat: 13 dari 123 Jabatan Perkhidmatan Awam, Malaysia Tarikh Akhir Kemaskini 7 Disember 2023 d. memaklumkan pindaan yang telah diluluskan oleh JPICT kepada semua pengguna; dan e. menyemak semula dokumen sekurang-kurangnya setahun sekali atau mengikut keperluan bagi memastikan dokumen sentiasa relevan. K01/04 Pematuhan Dasar PKS JPA mestilah dipatuhi oleh semua pengguna. Pengguna

POLISI KESELAMATAN SIBER JPA Versi: 1.3 Muka Surat: 14 dari 123 Jabatan Perkhidmatan Awam, Malaysia Tarikh Akhir Kemaskini 7 Disember 2023 KAWALAN 02: ORGANISASI KESELAMATAN MAKLUMAT Objektif Menerangkan peranan dan tanggungjawab semua pihak yang terlibat dengan lebih jelas dan teratur dalam mencapai objektif PKS JPA. K02/01 Tadbir Urus Keselamatan Maklumat K02/01/01 Ketua Pengarah Perkhidmatan Awam (KPPA) Peranan dan tanggungjawab KPPA adalah seperti yang berikut: a. memastikan semua keperluan jabatan seperti sumber kewangan, sumber kakitangan dan perlindungan keselamatan adalah mencukupi; dan b. mempengerusikan Jawatankuasa Pemandu ICT (JPICT). KPPA K02/01/02 Ketua Pegawai Digital (CDO) Jawatan Ketua Pegawai Digital (CDO) adalah disandang oleh Timbalan Ketua Pengarah Perkhidmatan Awam (Operasi). Peranan dan tanggungjawab CDO adalah seperti yang berikut: a. bertanggungjawab ke atas perkara-perkara yang berkaitan dengan keselamatan ICT JPA; b. bertanggungjawab menyelaras dan mengurus pelan tindakan dan program keselamatan seperti penyediaan PKS JPA, pelan latihan dan kesedaran pengguna, pengurusan risiko dan pengauditan; dan c. menentukan keperluan keselamatan ICT. CDO

POLISI KESELAMATAN SIBER JPA Versi: 1.3 Muka Surat: 15 dari 123 Jabatan Perkhidmatan Awam, Malaysia Tarikh Akhir Kemaskini 7 Disember 2023 K02/01/03 Pegawai Keselamatan ICT (ICTSO) Jawatan Pegawai Keselamatan ICT (ICTSO) adalah disandang oleh Pengarah Bahagian Digital dan Teknologi Maklumat (BDTM) JPA. Peranan dan tanggungjawab ICTSO adalah seperti yang berikut: a. mempengerusikan Jawatankuasa Keselamatan ICT (JKICT); b. menguatkuasakan pelaksanaan PKS JPA di semua bahagian di JPA; c. memastikan pengurusan risiko dan audit keselamatan ICT berpandukan dokumen Rangka Kerja Keselamatan Siber Sektor Awam (RAKKSSA) dan PKS JPA; d. mencadangkan langkah-langkah pengukuhan bagi mematuhi dasar-dasar berkaitan keselamatan ICT JPA; e. melaporkan insiden keselamatan ICT kepada pihak National Cyber Security Agency (NACSA) dan seterusnya membantu dalam penyiasatan atau pemulihan; f. memastikan program kesedaran keselamatan ICT dilaksanakan; g. menyedia dan menyebarkan amaran-amaran yang sesuai terhadap kemungkinan berlaku ancaman kepada keselamatan ICT dan menyediakan khidmat nasihat serta langkah pemulihan yang bersesuaian; h. melaporkan insiden keselamatan ICT kepada CDO bagi insiden yang memerlukan Pengurusan Kesinambungan Perkhidmatan (PKP); i. memastikan pematuhan PKS JPA oleh pihak luaran yang memberi perkhidmatan ICT kepada JPA untuk tujuan pembekalan, pemasangan, penyelenggaraan dan sebagainya; ICTSO

POLISI KESELAMATAN SIBER JPA Versi: 1.3 Muka Surat: 16 dari 123 Jabatan Perkhidmatan Awam, Malaysia Tarikh Akhir Kemaskini 7 Disember 2023 j. menyemak, mengkaji dan menyediakan laporan berkaitan dengan isu-isu keselamatan ICT; k. memastikan PKS JPA dikemas kini sesuai dengan arahan jabatan, peraturan semasa, perubahan teknologi, serta ancaman dalaman dan luaran; dan l. memastikan Pelan Strategik Pendigitalan (PSP) JPA mengandungi aspek keselamatan ICT. K02/01/04 Pengurus ICT Jawatan Pengurus ICT disandang oleh dua (2) orang pegawai iaitu Pengarah Bahagian Digital dan Teknologi Maklumat dan Ketua Pusat Pengajian Teknologi Maklumat dan Pembangunan Teknologi (IMATEC), INTAN. Peranan dan tanggungjawab Pengurus ICT adalah seperti yang berikut: a. memastikan PKS JPA dilaksanakan dan dipatuhi di bahagian; b. memastikan semua pengguna di JPA mematuhi dasar, piawaian dan garis panduan keselamatan ICT, dan seterusnya melaporkan sebarang insiden berkaitan keselamatan ICT; c. mengkaji semula aspek-aspek keselamatan fizikal seperti kemudahan backup dan persekitaran pejabat yang perlu, dengan persetujuan ICTSO; d. melaksanakan keperluan PKS dalam operasi semasa seperti yang berikut: i. pelaksanaan sistem atau aplikasi baharu sama ada dibangunkan secara dalaman atau luaran yang melibatkan teknologi baharu; ii. pembelian atau peningkatan perisian dan sistem komputer; iii. perolehan teknologi dan perkhidmatan komunikasi baharu; iv. pelantikan pembekal, perunding atau rakan usaha sama; dan Pengurus ICT

POLISI KESELAMATAN SIBER JPA Versi: 1.3 Muka Surat: 17 dari 123 Jabatan Perkhidmatan Awam, Malaysia Tarikh Akhir Kemaskini 7 Disember 2023 v. menentukan pembekal, perunding atau rakan usaha sama menjalani tapisan keselamatan selaras dengan keperluan tahap perkhidmatan. e. memastikan bentuk ancaman keselamatan terkini dikenal pasti dan penemuan ancaman dilaporkan kepada ICTSO; f. menyemak dan mengesahkan garis panduan, prosedur dan tatacara bagi semua aplikasi yang dibangunkan di bahagian-bahagian agar mematuhi keperluan PKS JPA; g. membangun, mengkaji semula dan mengemas kini pelan kontingensi dengan mengaktifkan Pelan Pemulihan Bencana (DRP); h. memastikan sistem kawalan capaian pengguna ke atas aset-aset ICT JPA dilaksanakan; dan i. memastikan aspek keselamatan maklumat dilaksanakan dalam setiap pengurusan projek. K02/01/05 Pentadbir Sistem Pentadbir Sistem terdiri daripada seperti yang berikut: a. Pentadbir Rangkaian dan Keselamatan; b. Pentadbir Pangkalan Data; c. Pentadbir Portal (Webmaster); d. Pentadbir Pusat Data; e. Pentadbir Sistem Aplikasi; f. Pentadbir E-mel; g. Pentadbir Media Sosial JPA; dan h. Pegawai Aset ICT. Pentadbir Sistem

POLISI KESELAMATAN SIBER JPA Versi: 1.3 Muka Surat: 18 dari 123 Jabatan Perkhidmatan Awam, Malaysia Tarikh Akhir Kemaskini 7 Disember 2023 Pentadbir Rangkaian dan Keselamatan Peranan dan tanggungjawab Pentadbir Rangkaian dan Keselamatan adalah seperti yang berikut: a. memastikan rangkaian setempat (LAN) dan rangkaian luas (WAN) di JPA beroperasi sepanjang masa; b. memastikan semua peralatan dan perisian rangkaian diselenggarakan dengan sempurna; c. merancang peningkatan infrastruktur, ciri-ciri keselamatan dan prestasi rangkaian sedia ada; d. mengesan dan mengambil tindakan pembaikan segera ke atas rangkaian yang tidak stabil; e. melaksanakan penilaian tahap keselamatan sistem rangkaian dan sistem ICT; f. memastikan laluan trafik keluar dan masuk diuruskan secara berpusat dan tidak membenarkan sambungan ke rangkaian JPA secara tidak sah; g. menyediakan zon khas rangkaian untuk tujuan pengujian peralatan dan perisian rangkaian; h. memantau penggunaan rangkaian dan melaporkan kepada ICTSO sekiranya berlaku penyalahgunaan sumber rangkaian; dan i. memastikan maklumat perhubungan perlu dikemas kini dari semasa ke semasa. Pentadbir Rangkaian dan Keselamatan

POLISI KESELAMATAN SIBER JPA Versi: 1.3 Muka Surat: 19 dari 123 Jabatan Perkhidmatan Awam, Malaysia Tarikh Akhir Kemaskini 7 Disember 2023 Pentadbir Pangkalan Data Peranan dan tanggungjawab Pentadbir Pangkalan Data adalah seperti yang berikut: a. melaksanakan instalasi dan penambahbaikan pangkalan data serta perisian lain yang berkaitan dengan pangkalan data; b. memastikan pangkalan data boleh digunakan pada setiap masa; c. melaksanakan pemantauan dan penyelenggaraan yang berterusan ke atas pangkalan data; d. melaksanakan data masking dalam menyediakan data latihan; e. memastikan aktiviti pentadbiran pangkalan data seperti prestasi capaian, penyelesaian masalah pangkalan data dan proses pengemaskinian data dilaksanakan dengan teratur; f. melaksanakan polisi pengguna pangkalan data berdasarkan kepada prinsipprinsip PKS; g. melaksanakan proses perkemasan data (housekeeping) di dalam pangkalan data; h. memantau proses backup dan restoration ke atas pangkalan data; dan i. melaporkan sebarang insiden pelanggaran dasar keselamatan pangkalan data kepada ICTSO. Pentadbir Pangkalan Data

POLISI KESELAMATAN SIBER JPA Versi: 1.3 Muka Surat: 20 dari 123 Jabatan Perkhidmatan Awam, Malaysia Tarikh Akhir Kemaskini 7 Disember 2023 Pentadbir Portal (Webmaster) Peranan dan tanggungjawab Pentadbir Portal adalah seperti yang berikut: a. menerima kandungan portal yang telah disahkan kesahihan dan terkini daripada sumber yang sah; b. memantau prestasi capaian dan menjalankan penalaan prestasi untuk memastikan akses yang lancar; c. memantau dan menganalisis log untuk mengesan sebarang capaian yang tidak sah atau cubaan menggodam, menceroboh dan mengubahsuai antara muka portal; d. mengasingkan kandungan dan aplikasi dalam talian untuk capaian secara Intranet dan Internet ke portal JPA; e. memastikan hanya maklumat yang bersifat terbuka dipaparkan di portal; f. memastikan reka bentuk portal dibangunkan dengan ciri-ciri keselamatan supaya tidak dicerobohi; g. melaksanakan pengukuhan keselamatan terhadap sistem pengoperasian dan perisian-perisian lain di web server; h. memantau proses backup dan restoration ke atas kandungan dan aplikasi portal; dan i. melaporkan sebarang pelanggaran keselamatan portal kepada ICTSO. Pentadbir Portal Pentadbir Pusat Data Peranan dan tanggungjawab Pentadbir Pusat Data adalah seperti yang berikut: Pentadbir Pusat Data

POLISI KESELAMATAN SIBER JPA Versi: 1.3 Muka Surat: 21 dari 123 Jabatan Perkhidmatan Awam, Malaysia Tarikh Akhir Kemaskini 7 Disember 2023 a. memastikan persekitaran fizikal dan keselamatan pusat data berada dalam keadaan baik dan selamat; b. memastikan keselamatan data dan sistem aplikasi yang berada dalam Pusat Data; c. menjadualkan dan melaksanakan proses backup dan restoration ke atas pangkalan data dan sistem secara berkala; d. menyediakan perancangan Pelan Pemulihan Bencana; e. memastikan Pusat Data sentiasa beroperasi mengikut polisi yang telah ditetapkan; f. melaporkan sebarang pelanggaran keselamatan Pusat Data JPA kepada ICTSO; dan g. memastikan maklumat perhubungan perlu dikemas kini dari semasa ke semasa. Pentadbir Sistem Aplikasi Peranan dan tanggungjawab Pentadbir Sistem Aplikasi adalah seperti yang berikut: a. mengkaji cadangan pembangunan, penambahbaikan, pembaikan, penyelarasan, pelaksanaan, pemantauan dan penyelenggaraan sistem di JPA; b. menyediakan dokumentasi sistem dan manual pengguna; c. memastikan virus pattern, hotfix dan patch yang berkaitan dengan sistem aplikasi dikemaskini supaya terhindar daripada ancaman virus dan penggodam; Pentadbir Sistem Aplikasi

POLISI KESELAMATAN SIBER JPA Versi: 1.3 Muka Surat: 22 dari 123 Jabatan Perkhidmatan Awam, Malaysia Tarikh Akhir Kemaskini 7 Disember 2023 d. mengehadkan capaian ke atas dokumentasi sistem bagi mengelakkan dari penyalahgunaannya; e. memastikan kelancaran operasi sistem aplikasi supaya perkhidmatan yang disediakan tidak terjejas; f. memastikan kod-kod program sistem aplikasi adalah selamat daripada penggodam sebelum sistem tersebut diaktifkan penggunaannya; g. mematuhi dan melaksanakan prinsip-prinsip PKS dalam pewujudan akaun pengguna ke atas setiap sistem aplikasi; dan h. melaporkan kepada ICTSO jika berlakunya insiden keselamatan ke atas sistem aplikasi. Pentadbir E-mel Peranan dan tanggungjawab Pentadbir E-mel adalah seperti yang berikut: a. menentukan setiap akaun yang diwujudkan atau dibatalkan telah mendapat kelulusan. Pembatalan akaun (pengguna yang tamat perkhidmatan, bertukar dan melanggar dasar dan tatacara jabatan) perlulah dilakukan dengan segera atas tujuan keselamatan maklumat; b. pentadbir e-mel boleh membekukan akaun pengguna berdasarkan peraturan atau polisi semasa; c. memastikan pengguna e-mel JPA berkemahiran menggunakan e-mel melalui penyediaan dokumen tatacara penggunaan e-mel JPA dan Internet JPA serta pelaksanaan Kursus Pembudayaan ICT (Penggunaan E-mel dan Internet) secara berterusan. d. memastikan kemudahan mengakses capaian e-mel melalui pelbagai peralatan ICT dan alat komunikasi; Pentadbir E-mel

POLISI KESELAMATAN SIBER JPA Versi: 1.3 Muka Surat: 23 dari 123 Jabatan Perkhidmatan Awam, Malaysia Tarikh Akhir Kemaskini 7 Disember 2023 e. melaporkan kepada ICTSO jika berlakunya insiden keselamatan ke atas sistem e-mel; dan f. memastikan maklumat perhubungan perlu dikemas kini dari semasa ke semasa. Pentadbir Media Sosial JPA Peranan dan tanggungjawab Pentadbir Media Sosial JPA adalah seperti yang berikut: a. mematuhi segala peraturan atau syarat-syarat yang digariskan oleh penyedia platform media sosial; b. mentadbir dan menyemak ketepatan serta sensitiviti maklumat dalam pengurusan kandungan (video, audio, gambar dan dokumen) dan komen mengikut etika media sosial semasa; dan c. melaporkan sebarang pelanggaran polisi atau etika penggunaan media sosial yang sedang berkuat kuasa kepada Ketua Komunikasi Korporat, JPA. Pentadbir Media Sosial JPA Pegawai Aset ICT Pegawai Aset ICT ialah pegawai yang dilantik oleh Pegawai Pengawal. Peranan dan tanggungjawab Pegawai Aset ICT adalah seperti yang berikut: a. memastikan pengurusan aset ICT Kerajaan dijalankan selaras dengan peraturan yang ditetapkan; b. memastikan penerimaan aset ICT Kerajaan dilaksanakan oleh pegawai yang dilantik oleh Ketua Jabatan/ Bahagian; Pegawai Aset ICT

POLISI KESELAMATAN SIBER JPA Versi: 1.3 Muka Surat: 24 dari 123 Jabatan Perkhidmatan Awam, Malaysia Tarikh Akhir Kemaskini 7 Disember 2023 c. memastikan semua aset ICT Kerajaan yang diterima, didaftarkan menggunakan Sistem Pemantauan Pengurusan Aset (SPPA) dalam tempoh dua (2) minggu dari tarikh pengesahan penerimaan aset; d. memastikan semua aset ICT Kerajaan yang dipinjam, direkodkan ke dalam Rekod Pergerakan Aset. Aset tidak dibenarkan dibawa keluar dari pejabat kecuali dengan kelulusan secara bertulis daripada Ketua Jabatan/ Pegawai Aset/ Pegawai-pegawai lain yang diberi kuasa oleh Ketua Jabatan; e. memastikan Daftar Aset ICT dikemas kini apabila berlaku penambahan/ penggantian/ naik taraf aset termasuk selepas pemeriksaan aset, pelupusan dan hapus kira; f. memastikan semua aset ICT Kerajaan diberi tanda pengenalan dengan cara melabel tanda Hak Kerajaan Malaysia dan nama JPA/ Bahagian/ Agensi berkenaan di tempat yang mudah dilihat dan sesuai pada aset berkenaan; g. memastikan semua aset ICT Kerajaan ditandakan dengan Nombor Siri Pendaftaran mengikut susunan yang ditetapkan; h. memastikan senarai daftar induk aset ICT Kerajaan disediakan; i. memastikan senarai aset ICT Kerajaan disediakan mengikut lokasi dan format Senarai Aset ICT Kerajaan dalam dua (2) buah salinan. Satu (1) senarai berkenaan perlu disimpan oleh Pegawai Aset ICT/ Pembantu Pegawai Aset ICT dan satu (1) salinan perlu dipaparkan oleh pegawai yang bertanggungjawab di lokasi; j. memastikan setiap kerosakan aset ICT Kerajaan dilaporkan untuk tujuan penyelenggaraan; k. bertanggungjawab untuk menyedia, merancang, melaksana, memantau dan merekodkan penyelenggaraan aset ICT Kerajaan;

POLISI KESELAMATAN SIBER JPA Versi: 1.3 Muka Surat: 25 dari 123 Jabatan Perkhidmatan Awam, Malaysia Tarikh Akhir Kemaskini 7 Disember 2023 l. merancang, memantau dan memastikan pemeriksaan aset ICT Kerajaan dilaksanakan ke atas keseluruhan aset ICT Kerajaan sekurang-kurangnya sekali setahun; dan m. memastikan setiap kes kehilangan aset ICT Kerajaan dilaporkan dan diuruskan dengan teratur. K02/01/06 Pengguna Pengguna terdiri daripada warga JPA dan pihak luaran yang terlibat dalam penggunaan atau capaian kepada aset dan perkhidmatan ICT Jabatan. Peranan dan tanggungjawab pengguna adalah seperti yang berikut: a. Pengguna perlu membaca, memahami dan mematuhi PKS JPA; b. mengetahui dan memahami implikasi keselamatan ICT kesan dari tindakannya; c. menjalani tapisan keselamatan sekiranya dikehendaki berurusan dengan maklumat rasmi terperingkat; d. melaksanakan prinsip-prinsip PKS dan menjaga kerahsiaan maklumat JPA; e. melaksanakan langkah-langkah perlindungan seperti yang berikut: i. menghalang pendedahan maklumat kepada pihak yang tidak dibenarkan; ii. memeriksa maklumat dan menentukan ia tepat dan lengkap dari semasa ke semasa; iii. menentukan maklumat sedia untuk digunakan; iv. menjaga kerahsiaan kata laluan; v. mematuhi piawaian, prosedur, langkah dan garis panduan keselamatan ICT yang ditetapkan; Pengguna

POLISI KESELAMATAN SIBER JPA Versi: 1.3 Muka Surat: 26 dari 123 Jabatan Perkhidmatan Awam, Malaysia Tarikh Akhir Kemaskini 7 Disember 2023 vi. melaksanakan peraturan berkaitan maklumat terperingkat terutama semasa pewujudan, pemprosesan, penyimpanan, penghantaran, penyampaian, pertukaran dan pemusnahan; dan vii. menjaga kerahsiaan langkah-langkah keselamatan ICT dari diketahui umum. f. melaporkan sebarang aktiviti yang mengancam keselamatan ICT kepada ICTSO dengan segera; g. mengawal aktiviti penggunaan media sosial seperti di bawah: i. mengelakkan ketirisan maklumat; ii. tidak memberi atau mendedahkan sebarang komen atau pernyataan atau isu yang menyentuh perkara-perkara yang boleh menjejaskan imej dan dasar kerajaan; iii. tidak menyebarkan maklumat yang berbentuk fitnah, hasutan dan lucah atau cuba memprovokasi sesuatu isu yang menyalahi peraturan dan undang-undang atau perkara yang menyentuh sensitiviti individu atau kumpulan tertentu; dan iv. tidak menggunakan saluran media sosial hingga mengganggu fokus dalam urusan kerja. h. menghadiri program-program kesedaran mengenai keselamatan ICT; dan i. menandatangani Surat Akuan Pematuhan Polisi Keselamatan Siber JPA seperti di Lampiran 1. K02/01/07 Jawatankuasa Pemandu ICT (JPICT) JPA Keanggotaan JPICT adalah seperti yang berikut: Pengerusi: KPPA/ CDO (sekiranya diturunkan kuasa) KPPA/ CDO

POLISI KESELAMATAN SIBER JPA Versi: 1.3 Muka Surat: 27 dari 123 Jabatan Perkhidmatan Awam, Malaysia Tarikh Akhir Kemaskini 7 Disember 2023 Ahli: TKPPA(P) & TKPPA(O) a. Pengarah Bahagian Perkhidmatan; b. Pengarah Bahagian Perjawatan dan Organisasi; c. Pengarah INTAN; d. Pengarah Bahagian Pembangunan Modal Insan; e. Pengarah Bahagian Khidmat Pengurusan; f. Pengarah Bahagian Gaji dan Elaun; g. Pengarah Bahagian Pencen; h. Pengarah Bahagian Penyelidikan, Perancangan dan Dasar; i. Pengarah Bahagian Pengurusan Psikologi; j. Pengarah Bahagian Digital dan Teknologi Maklumat;. k. Timbalan-Timbalan Pengarah Bahagian Digital dan Teknologi Maklumat; l. Ketua Pusat Pengajian Teknologi Maklumat dan Pembangunan Teknologi (IMATEC), INTAN; m. Ketua Unit Komunikasi Korporat; n. Penasihat Undang-undang (PUU); o. Ketua Unit Audit Dalam; dan p. Ketua Unit Integriti. Urus setia: BDTM Bidang kuasa: a. menetapkan arah tuju dan strategi ICT untuk pelaksanaan ICT JPA; b. merancang, menyelaras dan memantau pelaksanaan program atau projek ICT JPA; c. menyelaras dan menyeragamkan pelaksanaan ICT agar selari dengan Pelan Strategik Pendigitalan (PSP) JPA dan PSP Sektor Awam; d. meluluskan projek-projek ICT;

POLISI KESELAMATAN SIBER JPA Versi: 1.3 Muka Surat: 28 dari 123 Jabatan Perkhidmatan Awam, Malaysia Tarikh Akhir Kemaskini 7 Disember 2023 e. mengikuti dan memantau perkembangan program ICT serta memahami keperluan, masalah dan isu-isu yang dihadapi dalam pelaksanaan ICT; f. merancang dan menentukan langkah-langkah keselamatan ICT; g. mengemukakan laporan kemajuan projek ICT yang diluluskan kepada JTICT MAMPU; h. menetapkan dasar dan prosedur pengurusan portal JPA; dan i. meluluskan dokumen PKS JPA. K02/01/08 Jawatankuasa Keselamatan ICT (JKICT) JPA Keanggotaan JKICT adalah seperti yang berikut: Pengerusi: ICTSO Ahli: a. Ketua CSIRTJPA; b. Pentadbir Pusat Data BDTM dan INTAN; c. Pentadbir Sistem (System Administrator) BDTM dan INTAN; d. Pentadbir Sistem Aplikasi BDTM dan INTAN; e. Pentadbir Rangkaian dan Keselamatan (Network and Security Administrator) BDTM dan INTAN ; f. Pentadbir Portal (Webmaster) BDTM dan INTAN; g. Pentadbir Pangkalan Data (Database Administrator) BDTM dan INTAN; h. Pegawai Meja Bantuan (Helpdesk Officer) BDTM dan INTAN; i. Perunding Latihan INTAN; j. Wakil Pegawai Keselamatan JPA dan INTAN; k. Wakil Pasukan Pelaksana ISMS, BDTM; dan l. Wakil Pasukan Pelaksana ISMS, INTAN. ICTSO

POLISI KESELAMATAN SIBER JPA Versi: 1.3 Muka Surat: 29 dari 123 Jabatan Perkhidmatan Awam, Malaysia Tarikh Akhir Kemaskini 7 Disember 2023 Urus setia: BDTM Bidang kuasa: a. menyelenggara dan memperakukan dokumen PKS JPA; b. memantau tahap pematuhan PKS JPA; c. menilai aspek teknikal keselamatan projek-projek ICT; d. membangunkan garis panduan, prosedur dan tatacara untuk aplikasi-aplikasi khusus dalam jabatan yang mematuhi keperluan PKS JPA; e. menyemak semula sistem ICT supaya sentiasa mematuhi keperluan keselamatan dari semasa ke semasa; f. menilai teknologi yang bersesuaian dan mencadangkan penyelesaian terhadap keperluan keselamatan ICT; g. memastikan PKS JPA selaras dengan dasar-dasar ICT kerajaan semasa; h. bekerjasama dengan CSIRTJPA untuk mendapatkan maklum balas dan insiden untuk tindakan penyelenggaraan PKS JPA; i. membincang tindakan yang melibatkan pelanggaran PKS JPA; j. merancang dan menyelaras pensijilan ISMS seperti: i. rancang struktur organisasi ISMS; ii. rancang kursus kesedaran ISMS; iii. rancang skop ISMS; iv. melaksanakan analisis jurang; v. merancang takwim aktiviti ISMS;

POLISI KESELAMATAN SIBER JPA Versi: 1.3 Muka Surat: 30 dari 123 Jabatan Perkhidmatan Awam, Malaysia Tarikh Akhir Kemaskini 7 Disember 2023 vi. membantu Pelaksana ISMS menyediakan penyataan dasar ISMS, Statement of Applicability (SoA), penilaian risiko, risk treatment plan, kaedah pengukuran kawalan dan prosedur-prosedur ISMS; dan vii. permohonan pensijilan. k. mengemukakan isu dan masalah ISMS, jika ada; dan l. membantu mengukur keberkesanan kawalan dan pelaksanaan ISMS. K02/01/09 Cyber Security Incident Response Team (CSIRT) JPA Keanggotaan CSIRTJPA adalah seperti yang berikut: Pengerusi: TP(M)T, BDTM Ahli : a. Pegawai Teknologi Maklumat BDTM dan INTAN; dan b. Penolong Pegawai Teknologi Maklumat BDTM dan INTAN. Urus setia: BDTM Bidang kuasa: a. menerima dan mengesan aduan keselamatan ICT dan menilai tahap dan jenis insiden; b. merekod dan menjalankan siasatan awal insiden yang diterima; c. menangani tindak balas (response) insiden keselamatan ICT dan mengambil tindakan baik pulih minimum; d. menghubungi dan melaporkan insiden yang berlaku kepada ICTSO dan pihak NACSA sama ada sebagai input atau untuk tindakan seterusnya; TP(M)T, BDTM

POLISI KESELAMATAN SIBER JPA Versi: 1.3 Muka Surat: 31 dari 123 Jabatan Perkhidmatan Awam, Malaysia Tarikh Akhir Kemaskini 7 Disember 2023 e. merujuk agensi-agensi di bawah kawalannya untuk mengambil tindakan pemulihan dan pengukuhan; dan f. melaporkan sebarang maklum balas dan insiden keselamatan ICT kepada JKICT. K02/01/10 Pasukan Pemulihan Bencana (PPB) JPA Keanggotaan PPB JPA (BDTM dan INTAN) adalah seperti yang berikut: Pengerusi: TP(M)T, BDTM Ahli: a. Pasukan Pengurusan Bencana; b. Pasukan Sistem dan Operasi Pusat Data; c. Pasukan Rangkaian dan Keselamatan; d. Pasukan Aplikasi; e. Pasukan Pangkalan Data; dan f. Pasukan Meja Bantuan. Urus setia: BDTM Bidang kuasa: a. membangunkan Dokumen Pelan Pemulihan Bencana (DRP); b. menyediakan kemudahan pemulihan bencana atau Pusat Pemulihan Bencana (Disaster Recovery Centre); c. menjalankan penilaian ke atas masalah dan jangkaan akibat bencana; TP(M)T, BDTM

POLISI KESELAMATAN SIBER JPA Versi: 1.3 Muka Surat: 32 dari 123 Jabatan Perkhidmatan Awam, Malaysia Tarikh Akhir Kemaskini 7 Disember 2023 d. memaklumkan pengurusan atasan berkenaan bencana, kemajuan pemulihan bencana dan masalah; e. mengaktifkan prosedur pemulihan bencana; f. mengkoordinasi operasi pemulihan; g. memantau operasi pemulihan dan memastikan jadual pemulihan dipatuhi; h. mendokumentasikan operasi pemulihan; dan i. mengkoordinasi simulasi pemulihan bencana. K02/02 Pihak Luaran K02/02/01 Keperluan Keselamatan Dalam Perkhidmatan ICT Pihak Luaran terdiri daripada pembekal, pakar runding dan pihak-pihak lain yang berkepentingan dalam penggunaan atau capaian kepada aset dan perkhidmatan ICT Jabatan atau pelawat yang mengunjungi JPA atas urusan rasmi. Perkara yang perlu dipatuhi: a. mengenal pasti risiko ke atas keselamatan maklumat dan memastikan pelaksanaan kawalan yang sesuai ke atas maklumat tersebut; b. memastikan semua syarat keselamatan dinyatakan dengan jelas dalam perjanjian dengan pihak ketiga; c. akses kepada aset ICT JPA perlu berlandaskan perjanjian dan peraturan yang telah ditetapkan. Perjanjian yang dimeterai perlu mematuhi perkara-perkara berikut: i. PKS JPA; ii. Tapisan Keselamatan; iii. Arahan Teknologi Maklumat 2007 (IT Instructions); Pengurus ICT, Pentadbir Sistem

POLISI KESELAMATAN SIBER JPA Versi: 1.3 Muka Surat: 33 dari 123 Jabatan Perkhidmatan Awam, Malaysia Tarikh Akhir Kemaskini 7 Disember 2023 iv. Perakuan Akta Rahsia Rasmi 1972; dan v. Hak Harta Intelek. d. melaksanakan keselamatan dan menandatangani Surat Akuan Pematuhan Polisi Keselamatan Siber JPA seperti di Lampiran 1, serta Perakuan Akta Rahsia Rasmi 1972 bagi perakuan untuk tidak membocorkan sebarang maklumat rasmi yang diperolehi sepanjang berkhidmat dengan JPA seperti di Lampiran 2; dan e. pihak luaran kategori pelawat sahaja dikecualikan daripada mematuhi peraturan a hingga d seperti di atas.

POLISI KESELAMATAN SIBER JPA Versi: 1.3 Muka Surat: 34 dari 123 Jabatan Perkhidmatan Awam, Malaysia Tarikh Akhir Kemaskini 7 Disember 2023 KAWALAN 03: KESELAMATAN SUMBER MANUSIA Objektif Memastikan semua pengguna yang berkepentingan memahami tanggungjawab dan peranan serta meningkatkan pengetahuan dalam keselamatan aset ICT. Semua pengguna hendaklah mematuhi terma dan syarat perkhidmatan serta peraturan semasa yang berkuat kuasa. K03/01 Sebelum Perkhidmatan Memastikan semua pengguna yang berkepentingan memahami tanggungjawab masing-masing ke atas keselamatan aset ICT bagi meminimumkan risiko seperti kesilapan, kecuaian, penipuan dan penyalahgunaan aset ICT. Perkara yang mesti dipatuhi termasuk yang berikut: a. menyatakan dengan lengkap dan jelas peranan dan tanggungjawab semua pengguna yang berkepentingan ke atas keselamatan aset ICT sebelum, semasa dan selepas perkhidmatan; dan b. menjalankan tapisan keselamatan, menandatangani Perakuan Akta Rahsia Rasmi 1972 dan Surat Akuan Pematuhan PKS untuk semua pengguna yang berkepentingan. Pengguna, Pengurusan Sumber Manusia K03/02 Semasa Perkhidmatan Memastikan semua pengguna yang berkepentingan sedar akan ancaman keselamatan maklumat, peranan dan tanggungjawab masing-masing untuk menyokong PKS JPA Pengguna, Pengurusan Sumber Manusia

RkJQdWJsaXNoZXIy MTc1NDAy