Isu Keselamatan ICT MPKj
Majlis Perbandaran Kajang (MPKj) sangat menitikberatkan isu keselamatan ICT di MPKj. Berikut adalah serba sedikit informasi berkenaan dasar keselamatan yang diperaktikkan di MPKj untuk rujukan dan maklumat umum.
PENGENALAN
Dasar Keselamatan ICT mengandungi peraturan-peraturan yang perlu dibaca dan
dipatuhi dalam menggunakan aset teknologi maklumat dan komunikasi (ICT) Majlis
Perbandaran Kajang (MPKj).
Dasar ini juga menerangkan kepada semua pengguna
di MPKj mengenai tanggungjawab dan peranan mereka dalam melindungi aset ICT
MPKj.
OBJEKTIF
Dasar Keselamatan ICT MPKj diwujudkan untuk memastikan tahap keselamatan ICT
MPKj terurus dan dilindungi bagi menjamin kesinambungan urusan MPKj dengan
meminimumkan kesan insiden keselamatan ICT.
Dasar ini juga bertujuan untuk memudahkan perkongsian maklumat sesuai dengan
keperluan operasi MPKj. Ini hanya boleh dicapai dengan memastikan semua aset
ICT dilindungi.
Objektif utama Dasar Keselamatan ICT MPKj ialah:
a. Memastikan kelancaran operasi MPKj dan meminimumkan kerosakan atau
kemusnahan;
b. Melindungi kepentingan pihak-pihak yang bergantung kepada sistem
maklumat dari kesan kegagalan atau kelemahan dari segi kerahsiaan,
integriti, kebolehsediaan, kesahihan maklumat dan komunikasi; dan
c. Mencegah salah guna atau kecurian aset ICT kerajaan.
PERNYATAAN DASAR
Keselamatan ditakrifkan sebagai keadaan yang bebas daripada ancaman dan risiko
yang tidak boleh diterima. Penjagaan keselamatan adalah suatu proses yang
berterusan. Ia melibatkan aktiviti berkala yang mesti dilakukan dari semasa ke
semasa untuk menjamin keselamatan kerana ancaman dan kelemahan sentiasa
berubah.
Keselamatan ICT adalah bermaksud keadaan di mana segala urusan menyedia dan
membekalkan perkhidmatan yang berasaskan kepada sistem ICT berjalan secara
berterusan tanpa gangguan yang boleh menjejaskan keselamatan. Keselamatan ICT
berkait rapat dengan perlindungan aset ICT. Terdapat empat (4) komponen asas
keselamatan ICT iaitu:
a. Melindungi maklumat rahsia rasmi dan maklumat rasmi kerajaan dari capaian
tanpa kuasa yang sah;
b. Menjamin setiap maklumat adalah tepat dan sempurna;
c. Memastikan ketersediaan maklumat apabila diperlukan oleh pengguna; dan
d. Memastikan akses kepada hanya pengguna-pengguna yang sah atau
penerimaan maklumat dari sumber yang sah.
Dasar Keselamatan ICT MPKj merangkumi perlindungan ke atas semua bentuk
maklumat elektronik bertujuan untuk menjamin keselamatan maklumat tersebut dan
kebolehsediaan kepada semua pengguna yang dibenarkan. Ciri-ciri utama
keselamatan maklumat adalah seperti berikut:
a. Kerahsiaan - Maklumat tidak boleh didedahkan sewenang-wenangnya atau
dibiarkan diakses tanpa kebenaran;
b. Integriti - Data dan maklumat hendaklah tepat, lengkap dan kemas kini.
Datanya boleh diubah dengan cara yang dibenarkan;
c. Tidak Boleh Disangkal - Punca data dan maklumat hendaklah dari punca
yang sah dan tidak boleh disangkal;
d. Kesahihan - Data dan maklumat hendaklah dijamin kesahihannya; dan
e. Ketersediaan - Data dan maklumat hendaklah boleh diakses pada bila-bila
masa.
Selain dari itu, langkah-langkah ke arah menjamin keselamatan ICT hendaklah
bersandarkan kepada penilaian yang bersesuaian dengan perubahan semasa
terhadap kelemahan semula jadi aset ICT; ancaman yang wujud akibat daripada
kelemahan tersebut; risiko yang mungkin timbul; dan langkah-langkah pencegahan
sesuai yang boleh diambil untuk menangani risiko berkenaan.
Dasar ini meliputi semua sumber atau aset ICT yang digunakan seperti:
1. Perkakasan
- Semua aset yang digunakan untuk menyokong pemprosesan maklumat
dan kemudahan storan Majlis Perbandaran Kajang (MPKj). Contoh
peralatan adalah seperti komputer, pelayan, firewall, pencetak, peralatan
media, peralatan komunikasi dan alat-alat prasarana seperti
Uninterruptible Power Supply (UPS) dan sebagainya.
2. Perisian
- Program, prosedur atau peraturan yang ditulis dan dokumentasi yang
berkaitan dengan sistem pengoperasian komputer yang disimpan di dalam
sistem ICT. Contoh aplikasi atau perisian sistem seperti sistem
pengoperasian, sistem pangkalan data, perisian sistem rangkaian, atau
aplikasi pejabat yang menyediakan kemudahan pemprosesan maklumat
kepada Majlis Perbandaran Kajang.
3. Perkhidmatan
- Perkhidmatan atau sistem yang menyokong aset lain untuk melaksanakan
fungsi-fungsinya. Contoh:
i) Perkhidmatan rangkaian seperti LAN, WAN dan lain-lain;
ii) Sistem halangan akses seperti sistem kad akses; dan
iii) Perkhidmatan sokongan seperti kemudahan elektrik, penghawa
dingin, sistem pencegah kebakaran dan lain-lain.
4. Data dan maklumat
- Koleksi fakta-fakta dalam bentuk kertas atau mesej elektronik, yang
mengandungi maklumat-maklumat untuk digunakan bagi mencapai misi
dan objektif MPKj. Contohnya sistem dokumentasi, prosedur operasi,
rekod-rekod, profil-profil pelanggan, pangkalan data dan fail-fail data,
maklumat-maklumat arkib dan lain-lain.
5. Manusia
- Semua pengguna infrastruktur ICT MPKj yang dibenarkan, termasuk
kakitangan, pengguna dan pembekal. Individu yang mempunyai
pengetahuan untuk melaksanakan skop kerja harian MPKj bagi mencapai
misi dan objektif jabatan. Individu berkenaan merupakan aset berdasarkan
kepada tugas-tugas dan fungsi yang dilaksanakan.
6. Media Storan
Semua media storan dan peralatan yang berkaitan seperti disket, storan
mudah alih, kartrij, CD-ROM, pita, cakera, pemacu cakera, pemacu pita
dan lain-lain.
7. Media Komunikasi
- Semua peralatan berkaitan komunikasi seperti pelayan rangkaian,
gateway, bridge, router, peralatan PABX, wireless LAN, peralatan video
conferencing, kabel rangkaian, switches, hub dan lain-lain.
8. Dokumentasi
Semua dokumen (prosedur dan manual pengguna) yang berkaitan
dengan aset ICT, pemasangan dan pengoperasian peralatan dan perisian,
sama ada dalam bentuk elektronik atau bukan elektronik.
PRINSIP-PRINSIP
Prinsip-prinsip yang menjadi asas kepada Dasar Keselamatan ICT MPKj dan perlu
dipatuhi adalah seperti berikut:
1. Akses Atas Dasar Perlu Mengetahui
Akses terhadap penggunaan aset ICT hanya diberikan untuk tujuan
spesifik dan dihadkan kepada pengguna tertentu atas dasar “perlu
mengetahui” sahaja. Ini bermakna akses hanya akan diberikan sekiranya
peranan atau fungsi pengguna memerlukan maklumat tersebut.
2. Hak Akses Minimum
Hak akses pengguna hanya diberikan pada tahap yang paling minimum
iaitu untuk membaca dan/atau melihat sahaja. Kelulusan adalah perlu
membolehkan pengguna mewujud, menyimpan, mengemas kini,
mengubah atau membatalkan sesuatu maklumat. Hak akses adalah dikaji
dari semasa ke semasa berdasarkan kepada peranan dan
tanggungjawab pengguna/bidang tugas.
3. Akauntabiliti
Semua pengguna adalah bertanggungjawab ke atas semua tindakannya
terhadap aset ICT MPKj.
4. Pengasingan
Tugas mewujud, memadam, kemas kini, mengubah dan mengesahkan
data perlu diasingkan bagi mengelakkan daripada capaian yang tidak
dibenarkan serta melindungi aset ICT daripada kesilapan, kebocoran
maklumat terperingkat atau dimanipulasi. Pengasingan juga merangkumi
tindakan memisahkan antara kumpulan operasi dan rangkaian.
5. Pengauditan
Pengauditan adalah tindakan untuk mengenal pasti insiden berkaitan
keselamatan atau mengenal pasti keadaan yang mengancam
keselamatan. Ia membabitkan pemeliharaan semua rekod berkaitan
tindakan keselamatan. Oleh yang demikian, aset ICT seperti komputer,
pelayan(server), router, firewall, IPS, Antivirus, pencetak dan rangkaian
hendaklah ditentukan dapat menjana dan menyimpan log tindakan
keselamatan atau audit trail.
6. Pematuhan
Dasar Keselamatan ICT MPKj hendaklah dibaca, difahami oleh semua
lapisan kakitangan dan dipatuhi bagi mengelakkan sebarang bentuk
pelanggaran ke atasnya yang boleh membawa ancaman kepada
keselamatan ICT.
7. Pemulihan
Pemulihan sistem amat perlu untuk memastikan kebolehsediaan dan
kebolehcapaian. Objektif utama adalah untuk meminimumkan sebarang
gangguan atau kerugian akibat daripada ketidaksediaan. Pemulihan boleh
dilakukan melalui aktiviti penduaan (backup) dan pengwujudan pelan
pemulihan bencana/kesinambungan perkhidmatan.
8. Saling Bergantungan
Setiap prinsip di atas adalah saling lengkap melengkapi dan bergantung
antara satu sama lain. Dengan itu, tindakan mempelbagaikan pendekatan
dalam menyusun dan mencorakkan mekanisme keselamatan ICT di
MPKj adalah perlu bagi menjamin keselamatan ICT yang maksimum di
MPKj.
PENILAIAN RISIKO KESELAMATAN ICT
MPKj hendaklah mengambil kira kewujudan risiko ke atas aset ICT akibat dari
ancaman dan vulnerability yang semakin meningkat hari ini. Justeru itu MPKj perlu
mengambil langkah-langkah proaktif dan bersesuaian untuk menilai tahap risiko aset
ICT supaya pendekatan dan keputusan yang paling berkesan dikenal pasti bagi
menyediakan perlindungan dan kawalan ke atas aset ICT.
MPKj hendaklah melaksanakan penilaian risiko keselamatan ICT secara berkala dan
berterusan bergantung kepada perubahan teknologi dan keperluan keselamatan
ICT. Seterusnya mengambil tindakan susulan dan/atau langkah-langkah
bersesuaian untuk mengurangkan atau mengawal risiko keselamatan ICT
berdasarkan penemuan penilaian risiko.
Penilaian risiko keselamatan ICT hendaklah dilaksanakan ke atas sistem maklumat
MPKj termasuklah aplikasi, perisian, pelayan, rangkaian dan/atau proses serta
prosedur. Penilaian risiko ini hendaklah juga dilaksanakan di premis yang
menempatkan sumber-sumber teknologi maklumat termasuklah pusat data, bilik
media storan, kemudahan utiliti dan sistem-sistem sokongan lain. MPKj
bertanggungjawab melaksanakan dan menguruskan risiko keselamatan ICT selaras
dengan keperluan Surat Pekeliling Am Bilangan 6 Tahun 2005: Garis Panduan
Penilaian Risiko Keselamatan Maklumat Sektor Awam.
MPKj perlu mengenal pasti tindakan yang sewajarnya bagi menghadapi
kemungkinan risiko berlaku dengan memilih tindakan berikut:
a. mengurangkan risiko dengan melaksanakan kawalan yang bersesuaian;
b. menerima dan/atau bersedia berhadapan dengan risiko yang akan terjadi
selagi ia memenuhi kriteria yang telah ditetapkan oleh pengurusan
agensi;
c. mengelak dan/atau mencegah risiko dari terjadi dengan mengambil
tindakan yang dapat mengelak dan/atau mencegah berlakunya risiko; dan
d. memindahkan risiko ke pihak lain seperti pembekal, pakar runding dan
pihak-pihak lain yang berkepentingan.
Sumber rujukan : DASAR KESELAMATAN ICT MPKj ( www.mpkj.gov.my )
No comments:
Post a Comment