3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136

Polisi Keselamatan Siber JPA Versi 2.0

1 Polisi Keselamatan Siber – Jabatan Perkhidmatan Awam | Versi 2.0

2 Polisi Keselamatan Siber – Jabatan Perkhidmatan Awam | Versi 2.0 ISI KANDUNGAN ISI KANDUNGAN ........................................................................................................................................... 2 SEJARAH POLISI KESELAMATAN SIBER ............................................................................................. 6 PENGENALAN................................................................................................................................................ 7 OBJEKTIF ........................................................................................................................................................ 7 PERNYATAAN POLISI .................................................................................................................................. 8 SKOP ................................................................................................................................................................ 9 PRINSIP-PRINSIP ........................................................................................................................................11 PENILAIAN RISIKO KESELAMATAN ICT ..............................................................................................13 BAB 1 : KAWALAN ORGANISASI ...........................................................................................................14 1.1 Polisi untuk Keselamatan Maklumat ......................................................................................15 1.2 Peranan dan Tanggungjawab Keselamatan Maklumat .....................................................16 1.3 Pengasingan Tugas ....................................................................................................................19 1.4 Tanggungjawab Pengurusan ...................................................................................................24 1.5 Hubungan dengan Pihak Berkuasa ........................................................................................29 1.6 Hubungan dengan Pihak Berkepentingan............................................................................29 1.7 Risikan Ancaman ........................................................................................................................30 1.8 Keselamatan Maklumat Dalam Pengurusan Projek ...........................................................30 1.9 Maklumat Inventori dan Aset ...................................................................................................31 1.10 Penggunaan Maklumat dan Aset ICT yang Boleh Diterima Penggunaan ........................ Maklumat dan Aset yang Diterima ..........................................................................................32 1.11 Pemulangan Aset ICT.................................................................................................................33 1.12 Klasifikasi Maklumat ..................................................................................................................34 1.13 Pelabelan Maklumat ...................................................................................................................35 1.14 Pemindahan Maklumat ..............................................................................................................35 1.15 Kawalan Capaian ..........................................................................................................................36 1.16 Pengurusan Identiti ....................................................................................................................39 1.17 Pengesahan Maklumat...............................................................................................................41 1.18 Hak Akses .....................................................................................................................................43 1.19 Keselamatan Maklumat dengan Pihak Luaran ....................................................................44 1.20 Keselamatan Maklumat Dalam Perjanjian Pihak Luaran ..................................................46 1.21 Pengurusan Keselamatan Maklumat Dalam Rantaian Maklumat ....................................... dan Komunikasi ICT ...................................................................................................................47

3 Polisi Keselamatan Siber – Jabatan Perkhidmatan Awam | Versi 2.0 1.22 Pemantauan, Semakan dan Pengurusan Perubahan Perkhidmatan Pihak ..................... Luaran............................................................................................................................................48 1.23 Keselamatan Maklumat Bagi Perkhidmatan Pengkomputeran Awan ...........................49 1.24 Perancangan dan Penyediaan Pengurusan Insiden Keselamatan .................................... Maklumat .......................................................................................................................................51 1.25 Penilaian dan Tindakan Insiden Keselamatan Maklumat .................................................52 1.26 Tindak Balas Terhadap Insiden Keselamatan Maklumat ..................................................53 1.27 Penambahbaikan Kawalan daripada Insiden Keselamatan Maklumat .........................53 yang Lepas ...................................................................................................................................53 1.28 Pengumpulan Bukti ....................................................................................................................54 1.29 Keselamatan Maklumat Semasa Gangguan ........................................................................54 1.30 Ketersediaan ICT bagi Kesinambungan Perkhidmatan ....................................................56 1.31 Keperluan Undang-undang, Peraturan dan Kontrak .........................................................56 1.32 Hak Harta Intelek .........................................................................................................................57 1.33 Perlindungan Rekod ...................................................................................................................58 1.34 Privasi dan Perlindungan Maklumat Peribadi .....................................................................58 1.35 Kajian oleh Pihak Bebas / Luaran Berkaitan Keselamatan Maklumat ..........................59 1.36 Piawaian untuk Keselamatan Maklumat ...............................................................................59 1.37 Prosedur Operasi yang Perlu Didokumenkan .....................................................................60 BAB 2 : KAWALAN MANUSIA ..................................................................................................................61 2.1 Tapisan Keselamatan Individu .................................................................................................62 2.2 Terma dan Syarat Pelantikan ....................................................................................................63 2.3 Program Kesedaran, Pendidikan dan Latihan Berkaitan Keselamatan ............................ Maklumat .......................................................................................................................................64 2.4 Tindakan Disiplin .........................................................................................................................65 2.5 Tanggungjawab Selepas Pertukaran atau Penamatan Kerja ...........................................65 2.6 Perjanjian Kerahsiaan atau Non-Disclosure Agreement ...................................................66 2.7 Bekerja Jarak Jauh ......................................................................................................................66 2.8 Pelaporan Insiden Keselamatan Maklumat ...........................................................................68 BAB 3 : KAWALAN FIZIKAL .....................................................................................................................69 3.1 Perimeter Keselamatan Fizikal ..................................................................................................70 3.2 Kawalan Kemasukan Fizikal .....................................................................................................71 3.3 Keselamatan Pejabat, Bilik dan Kemudahan ICT ................................................................73 3.4 Pemantauan Keselamatan Fizikal ............................................................................................73 3.5 Perlindungan Terhadap Ancaman Fizikal dan Bencana Alam .........................................74 3.6 Bekerja di Kawasan Larangan ..................................................................................................74

4 Polisi Keselamatan Siber – Jabatan Perkhidmatan Awam | Versi 2.0 3.7 Clear Desk and Clear Screen .....................................................................................................75 3.8 Penempatan dan Perlindungan aset ICT ................................................................................75 3.9 Keselamatan Aset di Luar Pejabat ...........................................................................................76 3.10 Media Storan ..................................................................................................................................77 3.11 Perkhidmatan Sokongan ............................................................................................................78 3.12 Keselamatan Pengkabelan .........................................................................................................79 3.13 Penyelenggaraan Peralatan .......................................................................................................79 3.14 Pelupusan atau Penggunaan Semula Peralatan ...................................................................80 BAB 4 : KAWALAN TEKNOLOGI.............................................................................................................82 4.1 Aset ICT Pengguna .......................................................................................................................83 4.2 Kebenaran Hak Akses..................................................................................................................85 4.3 Kawalan Akses Maklumat ...........................................................................................................86 4.4 Akses Kepada Kod Sumber .......................................................................................................87 4.5 Pengesahan Selamat (Secure Authentication) .....................................................................88 4.6 Pengurusan Kapasiti ....................................................................................................................89 4.7 Perlindungan Terhadap Perisian Hasad (Malware) ..............................................................90 4.8 Pengurusan Teknikal Ke Atas Kerentanan ............................................................................91 4.9 Pengurusan Konfigurasi .............................................................................................................93 4.10 Penghapusan Maklumat ..............................................................................................................94 4.11 Penyembunyian Data (Data Masking) ......................................................................................95 4.12 Pencegahan Kebocoran Data (Data Leakage Prevention) .................................................96 4.13 Sandaran Maklumat (Information Backup) .............................................................................97 4.14 Redundancy bagi Kemudahan Pemprosesan Maklumat ....................................................98 4.15 Merekodkan Log (Logging) ........................................................................................................98 4.16 Aktiviti Pemantauan ...................................................................................................................100 4.17 Penyelarasan Jam .......................................................................................................................102 4.18 Penggunaan Program Utiliti Khas ..........................................................................................102 4.19 Instalasi Perisian .........................................................................................................................103 4.20 Keselamatan Rangkaian ...........................................................................................................103 4.21 Keselamatan Perkhidmatan Rangkaian ................................................................................105 4.22 Pengasingan Rangkaian ..........................................................................................................106 4.23 Kawalan Penapisan Web .........................................................................................................107 4.24 Penggunaan Kriptografi ...........................................................................................................107 4.25 Kitaran Hayat Pembangunan Yang Selamat ......................................................................109 4.26 Keperluan Keselamatan Sistem Aplikasi ............................................................................110 4.27 Prinsip Kejuruteraan dan Arkitektur Sistem yang Selamat (Secure System ..................

5 Polisi Keselamatan Siber – Jabatan Perkhidmatan Awam | Versi 2.0 Architecture and Engineering Principles) .........................................................................112 4.28 Pengekodan Selamat ...............................................................................................................113 4.29 Pengujian Keselamatan Semasa Pembangunan dan Penerimaan ..............................115 4.30 Pembangunan Sistem Secara Luaran .................................................................................117 4.31 Pengasingan Persekitaran Pembangunan, Pengujian dan Sebenar ...........................118 4.32 Pengurusan Perubahan ...........................................................................................................119 4.33 Data Pengujian ...........................................................................................................................120 4.34 Perlindungan Sistem Maklumat Semasa Ujian Audit ......................................................121 SENARAI LAMPIRAN ...............................................................................................................................131 LAMPIRAN 1 ...........................................................................................................................................132 LAMPIRAN 2 ...........................................................................................................................................133 LAMPIRAN 3 ...........................................................................................................................................134

6 Polisi Keselamatan Siber – Jabatan Perkhidmatan Awam | Versi 2.0 SEJARAH POLISI KESELAMATAN SIBER VERSI KELULUSAN TARIKH KUAT KUASA 1.0 JPICT 18 DISEMBER 2020 1.1 JPICT 16 NOVEMBER 2021 1.2 JPICT 14 DISEMBER 2022 1.3 JPICT 7 DISEMBER 2023 2.0 JPICT 7 NOVEMBER 2024

7 Polisi Keselamatan Siber – Jabatan Perkhidmatan Awam | Versi 2.0 PENGENALAN Polisi Keselamatan Siber (PKS) Jabatan Perkhidmatan Awam (JPA) mengandungi peraturan-peraturan yang mesti dibaca dan dipatuhi semasa menggunakan aset Teknologi Maklumat dan Komunikasi (ICT). Polisi ini juga menerangkan kepada pengguna mengenai tanggungjawab dan peranan pengguna dalam melindungi aset ICT JPA. Polisi Keselamatan Siber (PKS) JPA disediakan berpandu kepada piawaian antarabangsa iaitu ISO/IEC 27001:2022 Information Security, Cybersecurity and Privacy Protection - Information Security Management Systems. OBJEKTIF Objektif utama PKS adalah seperti yang berikut: 1. Memastikan kelancaran operasi jabatan yang berlandaskan ICT dengan mencegah serta meminimumkan risiko kerosakan atau kemusnahan aset ICT jabatan; 2. Melindungi kepentingan pihak-pihak yang bergantung kepada sistem maklumat daripada kesan kegagalan atau kelemahan dari segi kerahsiaan, integriti, tidak boleh disangkal, ketersediaan dan kesahihan; 3. Meminimumkan kos penyelenggaraan ICT akibat ancaman dan penyalahgunaan aset ICT; dan 4. Meningkatkan tahap kesedaran keselamatan ICT kepada para kakitangan, pengguna dan Pihak Luaran.

8 Polisi Keselamatan Siber – Jabatan Perkhidmatan Awam | Versi 2.0 PERNYATAAN POLISI Keselamatan ditakrifkan sebagai keadaan yang bebas daripada ancaman dan risiko yang tidak boleh diterima. Keselamatan ialah suatu proses yang berterusan. Ia melibatkan aktiviti berkala yang mesti dilakukan dari semasa ke semasa untuk menjamin keselamatan kerana ancaman dan kelemahan sentiasa berubah. Keselamatan ICT adalah bermaksud keadaan bagi segala urusan menyedia dan membekalkan perkhidmatan yang berasaskan kepada sistem ICT berjalan secara berterusan. Terdapat empat (4) komponen asas keselamatan IT, iaitu: 1. Melindungi maklumat rasmi JPA dari capaian tanpa kuasa yang sah; 2. Menjamin setiap maklumat adalah tepat, lengkap dan terkini; 3. Memastikan ketersediaan maklumat apabila diperlukan oleh pengguna; dan 4. Memastikan akses hanya kepada pengguna yang sah dan penerimaan maklumat daripada sumber yang boleh dipercayai. PKS JPA merangkumi perlindungan ke atas semua bentuk maklumat digital dan bukan digital bertujuan untuk menjamin keselamatan maklumat tersebut dan ketersediaan kepada semua pengguna yang dibenarkan. Ciri-ciri utama keselamatan maklumat adalah seperti yang berikut: 1. Kerahsiaan – maklumat tidak boleh didedahkan sewenang-wenangnya atau dibiarkan akses tanpa kebenaran. 2. Integriti – data dan maklumat hendaklah tepat, lengkap dan terkini. Ia hanya boleh diubah dengan cara yang dibenarkan sahaja. 3. Tidak boleh disangkal – punca data dan maklumat hendaklah dari punca yang sah dan tidak boleh disangkal. 4. Kesahihan – data dan maklumat hendaklah dijamin kesahihannya. 5. Ketersediaan – data dan maklumat hendaklah boleh diakses pada bila-bila masa. Selain itu, analisis tahap risiko aset ICT dikenal pasti, seterusnya mengambil tindakan untuk merancang dan mengawal risiko berkenaan.

9 Polisi Keselamatan Siber – Jabatan Perkhidmatan Awam | Versi 2.0 SKOP Sistem ICT JPA terdiri daripada organisasi, manusia, perisian, peralatan, telekomunikasi, kemudahan ICT, data dan maklumat. JPA telah menetapkan keperluan-keperluan asas keselamatan seperti yang berikut: 1. Data dan maklumat termasuk hardcopy dan softcopy hendaklah boleh diakses secara berterusan dengan cepat, tepat, mudah dan dengan cara yang boleh dipercayai. Ini adalah amat perlu bagi membolehkan keputusan dan penyampaian perkhidmatan dilakukan dengan berkesan dan berkualiti. 2. Semua data dan maklumat hendaklah dijaga kerahsiaannya dan dikendalikan sebaik mungkin pada setiap masa bagi memastikan kesempurnaan dan melindungi kepentingan JPA. PKS JPA merangkumi perlindungan ke atas semua bentuk maklumat ICT kerajaan yang dimasukkan, diwujud, dimusnah, disimpan, dijana, dicetak, diakses, diedar dan yang dibuat salinan. Ini akan dilakukan melalui penubuhan dan penguatkuasaan sistem kawalan dan prosedur dalam pengendalian semua perkara-perkara berikut: 1. Data dan Maklumat Semua data dan maklumat elektronik dan bercetak yang disimpan atau digunakan di pelbagai media termasuk prosedur, manual pengguna, sistem dokumentasi, rekod, pangkalan data dan lain-lain; 2. Peralatan ICT Semua peralatan komputer seperti komputer peribadi, komputer riba, pencetak, media storan, server, firewall, peralatan multimedia & komunikasi dan alat sokongan yang lain; 3. Perisian Semua jenis perisian yang digunakan untuk mengendali, memproses, menyimpan dan menghantar data atau maklumat. Ini termasuklah sistem aplikasi seperti HRMIS, eSILA, EPSA dan perisian sistem seperti Windows, LINUX dan perisian utiliti, perisian komunikasi, sistem pengurusan pangkalan data, kod sumber dan lain-lain;

10 Polisi Keselamatan Siber – Jabatan Perkhidmatan Awam | Versi 2.0 4. Perkhidmatan Perkhidmatan atau sistem yang menyokong aset lain untuk melaksanakan fungsi- fungsinya. Contoh: i. perkhidmatan rangkaian seperti LAN, WAN dan lain-lain; ii. sistem halangan akses seperti sistem kad akses; dan iii. perkhidmatan sokongan seperti kemudahan elektrik, pendingin hawa, sistem pencegah kebakaran dan lain-lain. 5. Manusia Individu yang mempunyai pengetahuan dan kemahiran untuk melaksanakan skop kerja harian bagi mencapai misi dan objektif; dan 6. Persekitaran Fizikal Persekitaran fizikal yang merujuk kepada lokasi fizikal yang menempatkan perkara 1 - 5 di atas.

11 Polisi Keselamatan Siber – Jabatan Perkhidmatan Awam | Versi 2.0 PRINSIP-PRINSIP Prinsip-prinsip yang menjadi asas kepada PKS JPA adalah seperti yang berikut: 1. Akses Atas Dasar Perlu Mengetahui Akses terhadap penggunaan aset ICT hanya diberikan untuk tujuan spesifik dan dihadkan kepada pengguna tertentu atas dasar perlu mengetahui sahaja. Ini bermakna akses hanya akan diberikan sekiranya peranan atau fungsi pengguna memerlukan maklumat tersebut. 2. Hak Akses Minimum Hak akses kepada pengguna hanya diberi pada tahap yang paling minimum iaitu untuk membaca dan/ atau melihat sahaja. Kelulusan khas diperlukan untuk membolehkan pengguna mencipta, menyimpan, mengemas kini, mengubah dan menghapuskan sesuatu data atau maklumat. 3. Kebertanggungjawaban atau Akauntabiliti Semua pengguna adalah dipertanggungjawabkan ke atas semua tindakannya terhadap aset ICT. Tanggungjawab ini perlu dinyatakan dengan jelas sesuai dengan tahap sensitiviti sesuatu sumber ICT. Bagi menentukan tanggungjawab ini dipatuhi, sistem ICT hendaklah mampu menyokong kemudahan mengesan atau mengesahkan bahawa pengguna sistem maklumat boleh dipertanggungjawabkan atas tindakan mereka. 4. Pengasingan Tugas mencipta, menghapus, mengemas kini, mengubah dan mengesahkan data perlu diasingkan bagi mengelakkan daripada capaian yang tidak dibenarkan (unauthorized access) serta melindungi aset ICT daripada kesilapan, kebocoran maklumat terperingkat atau dimanipulasikan. Pengasingan juga merangkumi data, operasi, pangkalan data dan rangkaian. 5. Pengauditan Tujuan aktiviti ini ialah untuk mengenal pasti insiden keselamatan aset ICT atau keadaan yang mengancam keselamatan aset ICT. Dengan itu, semua log yang berkaitan dengan aset ICT perlu disimpan bagi tujuan jejak audit.

12 Polisi Keselamatan Siber – Jabatan Perkhidmatan Awam | Versi 2.0 6. Pematuhan PKS JPA hendaklah dipatuhi bagi mengelakkan sebarang bentuk pelanggaran ke atasnya yang boleh membawa ancaman kepada keselamatan ICT. 7. Pemulihan Pemulihan sistem amat perlu untuk memastikan ketersediaan dan kebolehcapaian bagi meminimumkan sebarang gangguan atau kerugian akibat daripada ketidaksediaan. Pemulihan boleh dilakukan melalui proses penduaan (backup) dan mewujudkan Disaster Recovery Plan (DRP) di bawah Pengurusan Kesinambungan Perkhidmatan (PKP). 8. Saling Bergantung Setiap prinsip adalah saling lengkap-melengkapi dan bergantung antara satu sama lain. Dengan itu tindakan mempelbagaikan pendekatan dalam menyusun dan mencorakkan sebanyak mungkin mekanisme keselamatan, dapat menjamin keselamatan yang maksimum.

13 Polisi Keselamatan Siber – Jabatan Perkhidmatan Awam | Versi 2.0 PENILAIAN RISIKO KESELAMATAN ICT JPA hendaklah mengambil kira kewujudan risiko ke atas aset ICT akibat daripada ancaman dan kerentanan (vulnerability) yang semakin meningkat hari ini. Justeru itu, JPA perlu mengambil langkah-langkah proaktif dan bersesuaian untuk menilai tahap risiko aset ICT supaya pendekatan dan keputusan yang paling berkesan dikenal pasti bagi menyediakan perlindungan dan kawalan ke atas aset ICT. JPA hendaklah melaksanakan penilaian risiko keselamatan ICT secara berkala dan berterusan bergantung kepada perubahan teknologi dan keperluan keselamatan ICT. Seterusnya mengambil tindakan susulan atau langkah-langkah bersesuaian untuk mengurangkan atau mengawal risiko keselamatan ICT berdasarkan penemuan penilaian risiko. Penilaian risiko keselamatan ICT hendaklah dilaksanakan ke atas sistem maklumat JPA termasuklah aplikasi, perisian, peralatan, server, rangkaian, pangkalan data, sumber manusia, proses, dan prosedur. Penilaian risiko ini hendaklah juga dilaksanakan di premis yang menempatkan sumber-sumber teknologi maklumat termasuklah pusat data, bilik media storan, kemudahan utiliti dan sistem sokongan lain. JPA bertanggungjawab melaksanakan dan menguruskan risiko keselamatan ICT selaras dengan keperluan Surat Pekeliling Am Bilangan 3 Tahun 2024: Garis Panduan Pengurusan Risiko Keselamatan Maklumat Sektor Awam. JPA perlu mengenal pasti tindakan yang sewajarnya bagi menghadapi kemungkinan risiko berlaku dengan memilih tindakan berikut: 1. Mengurangkan risiko dengan melaksanakan kawalan yang bersesuaian; 2. Menerima atau bersedia berhadapan dengan risiko yang akan terjadi selagi ia memenuhi kriteria yang telah ditetapkan oleh pengurusan atasan; 3. Mengelak atau mencegah risiko dari terjadi dengan mengambil tindakan yang dapat mengelak atau mencegah berlakunya risiko; dan 4. Memindahkan risiko kepada Pihak Luaran yang berkepentingan.

14 Polisi Keselamatan Siber – Jabatan Perkhidmatan Awam | Versi 2.0 BAB 1 : KAWALAN ORGANISASI

15 Polisi Keselamatan Siber – Jabatan Perkhidmatan Awam | Versi 2.0 1.1 Polisi untuk Keselamatan Maklumat Objektif Memastikan polisi keselamatan maklumat bersesuaian, berterusan dan seiring dengan hala tuju pengurusan dalam menyokong keselamatan maklumat selari dengan fungsi JPA, undang-undang dan keperluan kontrak perjanjian. 1.1.1 Pelaksanaan Polisi Tanggungjawab Polisi Keselamatan Siber (PKS) JPA ini akan dikuat kuasakan oleh Ketua Pengarah Perkhidmatan Awam (KPPA), dan dibantu oleh Jawatankuasa Pemandu ICT JPA (JPICT) yang terdiri daripada Ketua Pegawai Digital (CDO), Pegawai Keselamatan ICT (ICTSO) dan semua Pengarah Bahagian. Ketua Pengarah Perkhidmatan Awam (KPPA) penurunan kuasa kepada TKPPA(O) 1.1.2 Penyebaran Polisi Tanggungjawab Polisi ini hendaklah dipaparkan kepada umum dan disebarkan kepada semua Warga JPA dan Pihak Ketiga. Sebarang perubahan yang telah dipersetujui oleh JPICT, hendaklah dimaklumkan kepada semua pengguna JPA. ICTSO 1.1.3 Penyelenggaraan Polisi Tanggungjawab PKS JPA adalah tertakluk kepada semakan dan pindaan dari semasa ke semasa selaras dengan perubahan teknologi, aplikasi, prosedur, perundangan dan kepentingan sosial. Berikut adalah prosedur yang berhubung dengan penyelenggaraan PKS JPA: a) mengenal pasti dan menentukan perubahan yang diperlukan; b) mengemukakan cadangan untuk pertimbangan Mesyuarat Jawatankuasa Keselamatan ICT (JKICT); c) memaklumkan cadangan pindaan untuk perakuan oleh JKICT dan kelulusan JPICT; d) memaklumkan pindaan yang telah diluluskan oleh JPICT kepada semua pengguna; dan e) menyemak semula dokumen sekurang-kurangnya setahun sekali atau mengikut keperluan bagi memastikan dokumen sentiasa relevan. ICTSO JKICT 1.1.4 Pematuhan Polisi Tanggungjawab PKS JPA mestilah dipatuhi oleh semua pengguna Pengguna

16 Polisi Keselamatan Siber – Jabatan Perkhidmatan Awam | Versi 2.0 1.2 Peranan dan Tanggungjawab Keselamatan Maklumat Objektif Mewujudkan struktur, peranan dan tanggungjawab dalam pengurusan keselamatan maklumat di JPA. 1.2.1 Ketua Pengarah Perkhidmatan Awam (KPPA) Tanggungjawab Peranan dan tanggungjawab KPPA adalah seperti yang berikut: a) memastikan semua keperluan jabatan seperti sumber kewangan, sumber kakitangan dan perlindungan keselamatan adalah mencukupi; dan b) mempengerusikan Mesyuarat Jawatankuasa Pemandu ICT (JPICT) Ketua Pengarah Perkhidmatan Awam (KPPA) 1.2.2 Ketua Pegawai Maklumat (CDO) Tanggungjawab Jawatan Ketua Pegawai Digital (CDO) adalah disandang oleh Timbalan Ketua Pengarah Perkhidmatan Awam (Operasi). Peranan dan tanggungjawab CDO adalah seperti yang berikut: a) bertanggungjawab ke atas perkara-perkara yang berkaitan dengan keselamatan ICT JPA; b) bertanggungjawab menyelaras dan mengurus pelan tindakan dan program keselamatan seperti penyediaan PKS JPA, pelan latihan dan kesedaran pengguna, pengurusan risiko dan pengauditan; dan c) menentukan keperluan keselamatan ICT. CDO

17 Polisi Keselamatan Siber – Jabatan Perkhidmatan Awam | Versi 2.0 1.2.3 Pegawai Keselamatan ICT (ICTSO) Tanggungjawab Jawatan Pegawai Keselamatan ICT (ICTSO) adalah disandang oleh Pengarah Bahagian Digital dan Teknologi Maklumat (BDTM) JPA. Peranan dan tanggungjawab ICTSO adalah seperti yang berikut: a) mempengerusikan Mesyuarat Jawatankuasa Keselamatan ICT (JKICT); b) memastikan pengurusan risiko dan audit keselamatan ICT berpandukan kepada peraturan semasa yang sedang berkuat kuasa; c) memastikan langkah-langkah pengukuhan keselamatan dilaksanakan bagi meminimumkan ancaman keselamatan maklumat; d) melaporkan insiden keselamatan ICT kepada pihak National Cyber Security Agency (NACSA) dan seterusnya membantu dalam penyiasatan atau pemulihan; e) mewujudkan program-program bagi meningkatkan pengetahuan, kesedaran dan pembudayaan mengenai teknologi dan mekanisme kawalan maklumat dan aset ICT, ancaman-ancaman siber serta peranan dan tanggungjawab pengguna dalam mengendalikan kemudahan ICT di JPA; f) menyebar dan menyalurkan amaran awal terhadap ancamanancaman yang berpotensi menyebabkan kerosakan besar kepada aset ICT JPA; g) memastikan pengurusan bencana dan pengendalian insiden dilaksanakan mengikut peraturan semasa yang berkuat kuasa; h) memastikan pematuhan PKS JPA oleh pihak berkepentingan yang mengurus, mengguna dan mencapai aset serta perkhidmatan ICT Jabatan; i) menyemak, mengkaji dan menyediakan laporan berkaitan dengan isu-isu keselamatan ICT; j) memastikan PKS JPA sentiasa relevan dengan arahan jabatan, peraturan semasa, perubahan teknologi, serta ancaman dalaman dan luaran; dan k) memastikan Pelan Strategik Pendigitalan (PSP) JPA mengandungi aspek keselamatan ICT. ICTSO

18 Polisi Keselamatan Siber – Jabatan Perkhidmatan Awam | Versi 2.0 1.2.4 Pengurus ICT Tanggungjawab Jawatan Pengurus ICT disandang oleh dua (2) orang pegawai iaitu Pengarah Bahagian Digital dan Teknologi Maklumat dan Ketua Pusat Pengajian Teknologi Maklumat dan Pembangunan Teknologi (IMATEC), INTAN. Peranan dan tanggungjawab Pengurus ICT adalah seperti yang berikut: a) memastikan PKS JPA dilaksanakan dan dipatuhi di bahagian; b) memastikan semua pengguna di JPA mematuhi dasar, piawaian dan garis panduan keselamatan ICT, dan seterusnya melaporkan sebarang insiden berkaitan keselamatan ICT; c) mengkaji semula aspek-aspek keselamatan fizikal seperti kemudahan backup dan persekitaran pejabat yang perlu, dengan persetujuan ICTSO; d) melaksanakan keperluan PKS dalam operasi semasa seperti yang berikut: i. pelaksanaan sistem atau aplikasi baharu sama ada dibangunkan secara dalaman atau luaran yang melibatkan teknologi baharu; ii. pembelian atau peningkatan perisian dan sistem komputer; iii. perolehan teknologi dan perkhidmatan komunikasi baharu; iv. pelantikan pembekal, perunding atau rakan usaha sama; dan v. menentukan pembekal, perunding atau rakan usaha sama menjalani tapisan keselamatan selaras dengan keperluan tahap perkhidmatan. e) memastikan bentuk ancaman keselamatan terkini dikenal pasti dan penemuan ancaman dilaporkan kepada ICTSO; f) menyemak dan mengesahkan garis panduan, prosedur dan tatacara bagi semua aplikasi yang dibangunkan di bahagianbahagian agar mematuhi keperluan PKS JPA; g) membangun, mengkaji semula dan mengemas kini pelan kontingensi dengan mengaktifkan Disaster Recovery Plan (DRP); h) memastikan sistem kawalan capaian pengguna ke atas asetaset ICT JPA dilaksanakan; dan i) memastikan aspek keselamatan maklumat dilaksanakan dalam setiap pengurusan projek. Pengurus ICT

19 Polisi Keselamatan Siber – Jabatan Perkhidmatan Awam | Versi 2.0 1.3 Pengasingan Tugas Objektif Menerangkan perbezaan tugas setiap individu dengan lebih jelas dan teratur untuk mencegah daripada berlakunya kebocoran serta kesilapan. 1.3.1 Pentadbir ICT JPA Tanggungjawab Pentadbir ICT JPA terdiri daripada seperti yang berikut: a) Pentadbir Rangkaian dan Keselamatan; b) Pentadbir Pangkalan Data; c) Pentadbir Portal; d) Pentadbir Pusat Data; e) Pentadbir Sistem Aplikasi; f) Pentadbir E-mel; g) Pentadbir Media Sosial JPA; dan h) Pegawai Aset ICT. Pentadbir ICT JPA 1.3.1.1 Pentadbir Rangkaian dan Keselamatan Tanggungjawab Peranan dan tanggungjawab Pentadbir Rangkaian dan Keselamatan adalah seperti yang berikut: a) memastikan rangkaian setempat (LAN) dan rangkaian luas (WAN) di JPA beroperasi sepanjang masa; b) memastikan semua peralatan dan perisian rangkaian diselenggarakan dengan sempurna; c) merancang peningkatan infrastruktur, ciri-ciri keselamatan dan prestasi rangkaian sedia ada; d) mengesan dan mengambil tindakan pembaikan segera ke atas rangkaian yang tidak stabil; e) melaksanakan penilaian tahap keselamatan sistem rangkaian dan sistem ICT; f) memastikan laluan trafik keluar dan masuk diuruskan secara berpusat dan tidak membenarkan sambungan ke rangkaian JPA secara tidak sah; g) menyediakan zon khas rangkaian untuk tujuan pengujian peralatan dan perisian rangkaian; h) memantau penggunaan rangkaian dan melaporkan kepada ICTSO sekiranya berlaku penyalahgunaan sumber rangkaian; dan i) memastikan maklumat perhubungan perlu dikemas kini dari semasa ke semasa. Pentadbir Rangkaian dan Keselamatan

20 Polisi Keselamatan Siber – Jabatan Perkhidmatan Awam | Versi 2.0 1.3.1.2 Pentadbir Pangkalan Data Tanggungjawab Peranan dan tanggungjawab Pentadbir Pangkalan Data adalah seperti yang berikut: a) melaksanakan instalasi dan penambahbaikan pangkalan data serta perisian lain yang berkaitan dengan pangkalan data; b) memastikan pangkalan data boleh digunakan pada setiap masa; c) melaksanakan pemantauan dan penyelenggaraan yang berterusan ke atas pangkalan data; d) melaksanakan data masking dalam menyediakan data latihan; e) memastikan aktiviti pentadbiran pangkalan data seperti prestasi capaian, penyelesaian masalah pangkalan data dan proses pengemaskinian data dilaksanakan dengan teratur; f) melaksanakan polisi pengguna pangkalan data berdasarkan kepada prinsip- prinsip PKS; g) melaksanakan proses perkemasan data (housekeeping) di dalam pangkalan data; h) memantau proses backup dan restoration ke atas pangkalan data; dan i) melaporkan sebarang insiden pelanggaran dasar keselamatan pangkalan data kepada ICTSO. Pentadbir Pangkalan Data 1.3.1.3 Pentadbir Portal Tanggungjawab Peranan dan tanggungjawab Pentadbir Portal adalah seperti yang berikut: a) menerima kandungan portal yang telah disahkan kesahihan dan terkini daripada sumber yang sah; b) memantau prestasi capaian dan menjalankan penalaan prestasi untuk memastikan akses yang lancar; c) memantau dan menganalisis log untuk mengesan sebarang capaian yang tidak sah atau cubaan menggodam, menceroboh dan mengubah suai antara muka portal; d) mengasingkan kandungan dan aplikasi dalam talian untuk capaian secara Intranet dan Internet ke portal JPA; e) memastikan hanya maklumat yang bersifat terbuka dipaparkan di portal; f) memastikan reka bentuk portal dibangunkan dengan ciri-ciri keselamatan supaya tidak dicerobohi; g) melaksanakan pengukuhan keselamatan terhadap sistem pengoperasian dan perisian-perisian lain di web server; h) memantau proses backup dan restoration ke atas kandungan dan aplikasi portal; dan Pentadbir Portal

21 Polisi Keselamatan Siber – Jabatan Perkhidmatan Awam | Versi 2.0 i) melaporkan sebarang pelanggaran keselamatan portal kepada ICTSO. 1.3.1.4 Pentadbir Pusat Data Tanggungjawab Peranan dan tanggungjawab Pentadbir Pusat Data adalah seperti yang berikut: a) memastikan persekitaran fizikal dan keselamatan pusat data berada dalam keadaan baik dan selamat; b) memastikan keselamatan data dan sistem aplikasi yang berada dalam pusat data; c) menjadualkan dan melaksanakan proses backup dan restoration ke atas pangkalan data dan sistem secara berkala; d) menyediakan perancangan Pelan Pemulihan Bencana (PPB); e) memastikan pusat data sentiasa beroperasi mengikut polisi yang telah ditetapkan; f) melaporkan sebarang pelanggaran keselamatan Pusat Data JPA kepada ICTSO; dan g) memastikan maklumat perhubungan perlu dikemas kini dari semasa ke semasa. Pentadbir Pusat Data 1.3.1.5 Pentadbir Sistem Aplikasi Tanggungjawab Peranan dan tanggungjawab Pentadbir Sistem Aplikasi adalah seperti yang berikut: a) mengkaji cadangan pembangunan, pembaikan, penyelarasan, penambahbaikan, pelaksanaan, pemantauan dan penyelenggaraan sistem di JPA; b) menyediakan dokumentasi sistem dan manual pengguna; c) memastikan virus pattern, hotfix dan patch yang berkaitan dengan sistem aplikasi dikemas kini supaya terhindar daripada ancaman virus dan penggodam; d) mengehadkan capaian ke atas dokumentasi sistem bagi mengelakkan dari penyalahgunaannya; e) memastikan kelancaran operasi sistem aplikasi supaya perkhidmatan yang disediakan tidak terjejas; f) memastikan kod-kod program sistem aplikasi adalah selamat daripada penggodam sebelum sistem tersebut diaktifkan penggunaannya; g) mematuhi dan melaksanakan prinsip-prinsip PKS dalam pewujudan akaun pengguna ke atas setiap sistem aplikasi; dan h) melaporkan kepada ICTSO jika berlakunya insiden keselamatan ke atas sistem aplikasi. Pentadbir Sistem Aplikasi

22 Polisi Keselamatan Siber – Jabatan Perkhidmatan Awam | Versi 2.0 1.3.1.6 Pentadbir E-mel Tanggungjawab Peranan dan tanggungjawab Pentadbir E-mel adalah seperti yang berikut: a) menentukan setiap akaun yang diwujudkan atau dibatalkan telah mendapat kelulusan. Pembatalan akaun (pengguna yang tamat perkhidmatan, bertukar dan melanggar dasar dan tatacara jabatan) perlulah dilakukan dengan segera atas tujuan keselamatan maklumat; b) pentadbir e-mel boleh membekukan akaun pengguna berdasarkan peraturan atau polisi semasa; c) memastikan pengguna e-mel JPA berkemahiran menggunakan e-mel melalui penyediaan dokumen tatacara penggunaan e-mel JPA dan Internet JPA serta pelaksanaan Kursus Pembudayaan ICT (Penggunaan E-mel dan Internet) secara berterusan; d) memastikan kemudahan mengakses capaian e-mel melalui pelbagai peralatan ICT dan alat komunikasi; e) melaporkan kepada ICTSO jika berlakunya insiden keselamatan ke atas sistem e-mel; dan f) memastikan maklumat perhubungan perlu dikemas kini dari semasa ke semasa. Pentadbir E-mel 1.3.1.7 Pentadbir Media Sosial JPA Tanggungjawab Peranan dan tanggungjawab Pentadbir Media Sosial JPA adalah seperti yang berikut: a) mematuhi segala peraturan atau syarat-syarat yang digariskan oleh penyedia platform media sosial; b) mentadbir dan menyemak ketepatan serta sensitiviti maklumat dalam pengurusan kandungan (video, audio, gambar dan dokumen) dan komen mengikut etika media sosial semasa; dan c) melaporkan sebarang pelanggaran polisi atau etika penggunaan media sosial yang sedang berkuat kuasa kepada Ketua Komunikasi Korporat, JPA. Pentadbir Media Sosial

23 Polisi Keselamatan Siber – Jabatan Perkhidmatan Awam | Versi 2.0 1.3.1.8 Pegawai Aset ICT Tanggungjawab Pegawai Aset ICT ialah pegawai yang dilantik oleh Pegawai Pengawal. Peranan dan tanggungjawab Pegawai Aset ICT adalah seperti yang berikut: a) memastikan pengurusan aset ICT Kerajaan dijalankan selaras dengan peraturan yang ditetapkan; b) memastikan penerimaan aset ICT Kerajaan dilaksanakan oleh pegawai yang dilantik oleh Ketua Jabatan/ Bahagian; c) memastikan semua aset ICT Kerajaan yang diterima, didaftarkan menggunakan Sistem Pemantauan Pengurusan Aset (SPPA) dalam tempoh dua (2) minggu dari tarikh pengesahan penerimaan aset; d) memastikan semua aset ICT Kerajaan yang dipinjam, direkodkan ke dalam Rekod Pergerakan Aset. Aset tidak dibenarkan dibawa keluar dari pejabat kecuali dengan kelulusan secara bertulis daripada Ketua Jabatan/ Pegawai Aset/ Pegawai-pegawai lain yang diberi kuasa oleh Ketua Jabatan; e) memastikan Daftar Aset ICT dikemas kini apabila berlaku penambahan/ penggantian/ naik taraf aset termasuk selepas pemeriksaan aset, pelupusan dan hapus kira; f) memastikan semua aset ICT Kerajaan diberi tanda pengenalan dengan cara melabel tanda Hak Kerajaan Malaysia dan nama JPA/ Bahagian/ Agensi berkenaan di tempat yang mudah dilihat dan sesuai pada aset berkenaan; g) memastikan semua aset ICT Kerajaan ditandakan dengan Nombor Siri Pendaftaran mengikut susunan yang ditetapkan; h) memastikan senarai daftar induk aset ICT Kerajaan disediakan; i) memastikan senarai aset ICT Kerajaan disediakan mengikut lokasi dan format Senarai Aset ICT Kerajaan dalam dua (2) buah salinan. Satu (1) senarai berkenaan perlu disimpan oleh Pegawai Aset ICT/ Pembantu Pegawai Aset ICT dan satu (1) salinan perlu dipaparkan oleh pegawai yang bertanggungjawab di lokasi; j) memastikan setiap kerosakan aset ICT Kerajaan dilaporkan untuk tujuan penyelenggaraan; k) bertanggungjawab untuk menyedia, merancang, melaksana, memantau dan merekodkan penyelenggaraan aset ICT Kerajaan; l) merancang, memantau dan memastikan pemeriksaan aset ICT Kerajaan dilaksanakan ke atas keseluruhan aset ICT Kerajaan sekurang-kurangnya sekali setahun; dan m) memastikan setiap kes kehilangan aset ICT Kerajaan dilaporkan dan diuruskan dengan teratur. Pegawai Aset ICT

24 Polisi Keselamatan Siber – Jabatan Perkhidmatan Awam | Versi 2.0 1.4 Tanggungjawab Pengurusan Objektif Memastikan pihak pengurusan dan Warga JPA memahami peranan serta memenuhi tanggungjawab dalam keselamatan maklumat. 1.4.1 Tanggungjawab Pengurusan Tanggungjawab Perkara yang perlu dipastikan adalah seperti berikut: a) memastikan semua Warga JPA dan pihak ketiga diberi taklimat berkaitan pematuhan ke atas PKS JPA; b) memastikan Warga JPA dan pihak ketiga bertanggungjawab ke atas keselamatan Aset ICT berdasarkan peraturan yang ditetapkan oleh JPA; dan c) memastikan sumber yang mencukupi untuk melaksanakan proses dan kawalan yang berkaitan keselamatan JPA. CDO ICTSO 1.4.1.1 Jawatankuasa Pemandu ICT (JPICT) JPA Tanggungjawab Keanggotaan JPICT adalah seperti yang berikut: Pengerusi: KPPA / TKPPA(O) (sekiranya diturunkan kuasa) Ahli: a) Pengarah Bahagian Perkhidmatan; b) Pengarah Bahagian Perjawatan dan Organisasi; c) Pengarah INTAN; d) Pengarah Bahagian Pembangunan Modal Insan; e) Pengarah Bahagian Khidmat Pengurusan; f) Pengarah Bahagian Gaji dan Elaun; g) Pengarah Bahagian Pencen; h) Pengarah Bahagian Penyelidikan, Perancangan dan Dasar; i) Pengarah Bahagian Pengurusan Psikologi; j) Pengarah Bahagian Digital dan Teknologi Maklumat; k) Timbalan-Timbalan Pengarah Bahagian Digital dan Teknologi Maklumat; KPPA CDO

25 Polisi Keselamatan Siber – Jabatan Perkhidmatan Awam | Versi 2.0 l) Ketua Pusat Pengajian Teknologi Maklumat dan Pembangunan Teknologi (IMATEC), INTAN; m) Ketua Unit Komunikasi Korporat; n) Penasihat Undang-undang (PUU); o) Ketua Unit Audit Dalam; dan p) Ketua Unit Integriti. Urus setia: BDTM Bidang kuasa: a) menetapkan arah tuju dan strategi ICT untuk pelaksanaan ICT JPA; b) merancang, menyelaras dan memantau pelaksanaan program atau projek ICT JPA; c) menyelaras dan menyeragamkan pelaksanaan ICT agar selari dengan Pelan Strategik Pendigitalan (PSP) JPA dan PSP Sektor Awam; d) meluluskan projek-projek ICT; e) mengikuti dan memantau perkembangan program ICT serta memahami keperluan, masalah dan isu-isu yang dihadapi dalam pelaksanaan ICT; f) merancang dan menentukan langkah-langkah keselamatan ICT; g) mengemukakan laporan kemajuan projek ICT yang diluluskan kepada JTICT/JPICT; h) menetapkan dasar dan prosedur pengurusan portal JPA; dan i) meluluskan dokumen PKS JPA.

26 Polisi Keselamatan Siber – Jabatan Perkhidmatan Awam | Versi 2.0 1.4.1.2 Jawatankuasa Keselamatan ICT (JKICT) JPA Tanggungjawab Keanggotaan JKICT adalah seperti yang berikut: Pengerusi: ICTSO Ahli: a) Ketua CSIRTJPA; b) Pentadbir Pusat Data BDTM dan INTAN; c) Pentadbir Sistem (System Administrator) BDTM dan INTAN; d) Pentadbir Sistem Aplikasi BDTM dan INTAN; e) Pentadbir Rangkaian dan Keselamatan (Network and Security Administrator) BDTM dan INTAN; f) Pentadbir Portal (Webmaster) BDTM dan INTAN; g) Pentadbir Pangkalan Data (Database Administrator) BDTM dan INTAN; h) Penyelaras ICT Bahagian; i) Pegawai Meja Bantuan (Helpdesk Officer) BDTM dan INTAN; j) Perunding Latihan INTAN; k) Wakil Pegawai Keselamatan JPA dan INTAN; l) Wakil Pasukan Pelaksana ISMS BDTM; dan m) Wakil Pasukan Pelaksana ISMS INTAN. Urus setia: BDTM Bidang kuasa: a) menyelenggara dan memperakukan dokumen PKS JPA; b) memantau tahap pematuhan PKS JPA; c) menilai aspek teknikal keselamatan projek-projek ICT; d) membangunkan garis panduan, prosedur dan tatacara untuk aplikasi-aplikasi khusus dalam jabatan yang mematuhi keperluan PKS JPA; e) menyemak semula sistem ICT supaya sentiasa mematuhi keperluan keselamatan dari semasa ke semasa; f) menilai teknologi yang bersesuaian dan mencadangkan penyelesaian terhadap keperluan keselamatan ICT; g) memastikan PKS JPA selaras dengan dasar-dasar ICT kerajaan semasa; ICTSO

27 Polisi Keselamatan Siber – Jabatan Perkhidmatan Awam | Versi 2.0 h) bekerjasama dengan CSIRTJPA untuk mendapatkan maklum balas dan insiden untuk tindakan penyelenggaraan PKS JPA; i) membincang tindakan yang melibatkan pelanggaran PKS JPA; j) merancang dan menyelaras pensijilan ISMS seperti: i. struktur organisasi ISMS; ii. kursus kesedaran ISMS; iii. skop ISMS; iv. melaksanakan analisis jurang; v. merancang takwim aktiviti ISMS; vi. membantu Pelaksana ISMS menyediakan pernyataan dasar ISMS, Statement of Applicability (SoA), penilaian risiko, risk treatment plan, kaedah pengukuran kawalan dan prosedur-prosedur ISMS; dan vii. permohonan pensijilan. k) mengemukakan isu dan masalah ISMS, jika ada; dan l) membantu mengukur keberkesanan kawalan dan pelaksanaan ISMS. 1.4.1.3 Cyber Security Incident Response Team (CSIRT) JPA Tanggungjawab Keanggotaan CSIRTJPA adalah seperti yang berikut: Pengerusi: TP(M)T, BDTM Ahli: a) Pegawai Teknologi Maklumat BDTM dan INTAN; dan b) Penolong Pegawai Teknologi Maklumat BDTM dan INTAN. Urus setia: BDTM Bidang kuasa: a) menerima dan mengesan aduan keselamatan ICT dan menilai tahap dan jenis insiden; b) merekod dan menjalankan siasatan awal insiden yang diterima; c) menangani tindak balas (response) insiden keselamatan ICT dan mengambil tindakan baik pulih minimum; d) menghubungi dan melaporkan insiden yang berlaku kepada ICTSO dan pihak NACSA sama ada sebagai input atau untuk tindakan seterusnya; e) merujuk agensi-agensi di bawah kawalannya untuk mengambil tindakan pemulihan dan pengukuhan; dan TP(M)T, BDTM

28 Polisi Keselamatan Siber – Jabatan Perkhidmatan Awam | Versi 2.0 f) melaporkan sebarang maklum balas dan insiden keselamatan ICT kepada JKICT. 1.4.1.4 Pasukan Pemulihan Bencana (PPB) JPA Tanggungjawab Keanggotaan PPB JPA adalah seperti yang berikut: Pengerusi: TP(M)T, BDTM Ahli: a) Pasukan Sistem dan Operasi Pusat Data; b) Pasukan Rangkaian dan Keselamatan; c) Pasukan Aplikasi; d) Pasukan Pangkalan Data; dan e) Pasukan Meja Bantuan. Urus setia: BDTM Bidang kuasa: a) membangunkan Dokumen Distaster Recovery Plan (DRP); b) menyediakan kemudahan pemulihan bencana atau Disaster Recovery Centre (DRC); c) menjalankan penilaian ke atas masalah dan jangkaan akibat bencana; d) memaklumkan pengurusan atasan berkenaan bencana, kemajuan pemulihan bencana dan masalah; e) mengaktifkan prosedur pemulihan bencana; f) mengkoordinasi operasi pemulihan; g) memantau operasi pemulihan dan memastikan jadual pemulihan dipatuhi; h) mendokumentasikan operasi pemulihan; dan i) mengkoordinasi simulasi pemulihan bencana. TP(M)T, BDTM Ketua Seksyen Perkhidmatan ICT, IMATEC

29 Polisi Keselamatan Siber – Jabatan Perkhidmatan Awam | Versi 2.0 1.5 Hubungan dengan Pihak Berkuasa Objektif Menyediakan senarai perhubungan pihak berkuasa berkaitan sekiranya berlaku kejadian yang menjejaskan keselamatan maklumat dan perkhidmatan ICT. Tanggungjawab Pengurusan Tanggungjawab Perkara yang perlu diambil kira berkaitan hubungan dengan pihak berkuasa adalah tidak terhad seperti berikut: a) Malaysian Emergency Response System 999 (Polis, Bomba, Agensi Pertahanan Awam Malaysia); b) National Disaster Management Agency (NADMA); c) National Cyber Security Agency (NACSA); d) CyberSecurity Malaysia. ICTSO 1.6 Hubungan dengan Pihak Berkepentingan Objektif Memastikan maklumat yang diperlukan oleh pihak berkepentingan dengan JPA disediakan. Tanggungjawab Pihak Berkepentingan Tanggungjawab Pihak berkepentingan terdiri daripada pembekal, perunding, pemegang taruh, pelawat dan pihak-pihak lain yang terlibat dalam pengurusan, penggunaan atau capaian kepada aset dan perkhidmatan ICT Jabatan. Perkara yang perlu dipatuhi: a) mengenal pasti risiko ke atas keselamatan maklumat dan memastikan pelaksanaan kawalan yang sesuai ke atas maklumat tersebut; b) memastikan semua syarat keselamatan dinyatakan dengan jelas dalam perjanjian dengan pihak ketiga; c) akses kepada aset ICT JPA perlu berlandaskan perjanjian dan peraturan yang telah ditetapkan. Perjanjian yang dimeterai perlu mematuhi perkara-perkara berikut: i. Akta Keselamatan Siber 2024 (Akta 854); ii. Perakuan Akta Rahsia Rasmi 1972; iii. Hak Harta Intelek; iv. Arahan Teknologi Maklumat 2007(IT Instructions); v. Tapisan Keselamatan; dan vi. PKS JPA. ICTSO Pengurus ICT Pentadbir Sistem

30 Polisi Keselamatan Siber – Jabatan Perkhidmatan Awam | Versi 2.0 d) melaksanakan keselamatan dan menandatangani Surat Akuan Pematuhan Polisi Keselamatan Siber JPA seperti di LAMPIRAN 1, serta Perakuan Akta Rahsia Rasmi 1972 bagi perakuan untuk tidak membocorkan sebarang maklumat rasmi yang diperoleh sepanjang berkhidmat dengan JPA seperti di LAMPIRAN 2; dan e) pihak berkepentingan kategori pelawat sahaja dikecualikan daripada mematuhi peraturan a hingga d seperti di atas. 1.7 Risikan Ancaman Objektif Memastikan kawalan ancaman keselamatan terhadap JPA difahami, dianalisis dan kaedah tindakan yang bersesuaian. Pengurusan Risikan Ancaman Tanggungjawab Operasi rangkaian dan infrastruktur JPA dipantau menggunakan perkakasan dan perisian tertentu. Rekod aktiviti dan log dikumpulkan dan dianalisis bagi mengenal pasti ancaman serangan siber bagi membolehkan tindakan mitigasi diambil secara tepat dan berkesan. Analisis yang dikenal pasti dikategorikan kepada tiga jenis maklumat ancaman iaitu kaedah serangan, metodologi serangan dan perincian maklumat penyerang. ICTSO Pengurus ICT 1.8 Keselamatan Maklumat Dalam Pengurusan Projek Objektif Memastikan keselamatan maklumat diambil kira dalam pengurusan projek. Keselamatan Maklumat Dalam Pengurusan Projek Tanggungjawab Keselamatan maklumat hendaklah diberi perhatian dalam semua jenis pengurusan projek. Perkara-perkara yang perlu dipatuhi adalah seperti yang berikut: i. objektif keselamatan maklumat hendaklah diambil kira dan dilaksanakan dalam pengurusan projek merangkumi semua fasa pelaksanaan projek; ii. pengurusan risiko ke atas keselamatan maklumat hendaklah dikendalikan di awal projek untuk mengenal pasti kawalankawalan yang diperlukan; dan i. ICTSO ii. Pengurus ICT iii. Pentadbir Rangkaian dan Keselamatan iv. Pentadbir Sistem Aplikasi v. Pentadbir Pusat Data

RkJQdWJsaXNoZXIy MTc1NDAy