Loading presentation...

Present Remotely

Send the link below via email or IM

Copy

Present to your audience

Start remote presentation

  • Invited audience members will follow you as you navigate and present
  • People invited to a presentation do not need a Prezi account
  • This link expires 10 minutes after you close the presentation
  • A maximum of 30 users can follow your presentation
  • Learn more about this feature in our knowledge base article

Do you really want to delete this prezi?

Neither you, nor the coeditors you shared it with will be able to recover it again.

DeleteCancel

Make your likes visible on Facebook?

Connect your Facebook account to Prezi and let your likes appear on your timeline.
You can change this under Settings & Account at any time.

No, thanks

DASAR KESELAMATAN ICT

No description
by

Safuan Hussin

on 9 May 2014

Comments (0)

Please log in to add your comment.

Report abuse

Transcript of DASAR KESELAMATAN ICT

DASAR KESELAMATAN ICT
UNIT PERANCANGAN EKONOMI (EPU)
LANGKAH – LANGKAH UNTUK MEMBANGUNKAN DKICT
Kenal pasti aktiviti dan aset ICT ,
Kenal pasti ancaman – ancaman bagi setiap aktiviti dan asset ICT,
Merangka dasar bagimeminimumkan kesan ancaman
Menyenarai langkah – langkah keselamatan bagi menyokong dasar dan
Menyediakan garis panduan dan prosedur pelaksanaan.

ANTARA ASET ICT YANG PERLU DILINDUNGI
Peralatan dan perisian komputer,
Peralatan komunikasi,
Premis peralatan komputer dan komunikasitermasuk makmal komputer
Bekalan eektrik, air, kawalan persekitaran dan kemudahan yang berasaskan ICT,
Media pembekalan dan penyimpanan data,
Dokumentasi dan program sistem / aplikasi computer dan
Maklumat- maklumat sensetif.

RANGKA DASAR KESELAMATAN ICT KERAJAAN
Dirumus bagi memenuhi keperluan penguatkuasaan, kawalan dan langkah- langkah menyeluruh untuk melindungi asset ICT kerajaan. Perlindungan keselamatan ini perlu bersesuaian dengan nilai atau sensetiviti asset yang dimaksudkan. Ia juga perlu seimbang dengan kesan yang mungkin timbul akibat kegagalan perlindungan yang sesuai.
DOKUMEN DASAR KESELAMATAN ICT (DKICT)
Perkara- perkara umum yang perlu dinyatakan dalam document dasar adalah seperti berikut:
Penyatan dasar keselamatan ICT agensi,
Penjelasan kepentingan keselamatan ICT,
Definisi keselamatan ICT termasuk skop asset yang dilindungi,
Objektif memastikan perkhidmatan ICT organisasi berterusan dan mengurangkan kesan akibat sesuatu insiden,
Prinsip- prinsip keselamatan yang disandarkan,
Tugan dan tanggungjawab setiap individu,
Keperluan program kesedaran dan latihan keselamatan ICT, dan
Standard dan prosedur (SOP) keselamatan ICT.

PENGENALAN
Dasar Keselamatan ICT (DKICT) UPE, JPM mengandungi peraturan yang mesti dibaca dan dipatuhi oleh warga UPE dalam menggunakan aset ICT.
Dasar ini juga menerangkan kepada semua pengguna mengenai tanggungjawab dan peranan mereka dalam melindungi aset ICT UPE.
OBJEKTIF
Memastikan kelancaran operasi UPE dan meminimumkan kerosakan atau kemusnahan.
Melindungi Kepentingan pihak yang bergantung kepada sistem maklumat dan kesan kegagalan atau kelemahan dari segi kerahsiaan, Integriti, ketersediaan, kesahihan maklumat dan komunikasi
Mencegah salah guna atau kecurian aset aset ICT UPE.
PERNYATAAN DASAR
4 komponen asas keselamatan ICT
Memastikan setiap maklumat adalah tepat dan sempurna;
Memastikan ketersediaan Maklumat apabila perlu.
Memastikan akses dan penerima maklumat daripada pengguna yang sah.
Melindungi maklumat rahsia rami dan maklumat rasmi UPE dari capaian tanpa kuasa yang sah;
PERNYATAAN DASAR
Ciri utama keselamatan maklumat:
Kerahsiaan
Integriti
Tidak Boleh Disangkal
Kesahihan
Ketersediaan
SKOP
Dilakukan melalui Pewujudan dan Penguatkuasaan Sistem Kawalan, Prosedur dalam pengendalian semua perkara berikut:
Perkakasan
Perisian
Perkhidmatan
Data atau Maklumat
Manusia
Premis Komputer dan Komunikasi
PRINSIP-PRINSIP
Akses atas dasar perlu mengetahui
Hak akses minimum
Akauntabiliti
Pengasingan
Pengauditan
Pematuhan
Pemulihan
Saling bergantungan
PEGAWAI
KESELAMATAN
ICT
( ICTSO )
JAWATANKUASA
DRAF
DASAR
REVIU
KELULUSAN
CIO
PINDAAN
PINDAAN
LULUS
PERLAKSANAAN
PEMBUDAYAAN
KUATKUASA
KAJIAN SEMULA
DOKUMEN
DASAR
PEGAWAI KESELAMATAN ICT (ICTSO)
• Setiap agensi perlu melantik seorang pegawai sama ada pegawai system maklumat atau pegawai teknikal yang bertanggungjawab penuh bagi melaksanakan program- program keselamatan ICT termasuklah menentukan semua pegawai dan staf jabatan memahami dan mematuhi dasar keselamatan ICT kerajaan dan jabatan.
JAWATANKUASA
• Satu jawatankuasa atau pasukan kerja perlulah ditubuhkan bagi membangunkan dasar keselamatan ICT jabatan yang akan dipengerusikan oleh CIO dan ahli terdiri dari pelbagai bahagian/ unit/ jabatan yang berkepentingan dalam ICT. Dokument dasar keselamatan ICT jabatan yang disediakan mestilah diperlakukan oleh CIO dan Ketua Jabatan.
DRAF DASAR
• Mengandungi misi dan objektif dasar dan hendaklah selaras dengan misi dan objektif jabatan. Dokument berkenaan mestilah jelas, ringkas dan mudah difahami. Rujukan lain seperti MyMIS, MS ISO/EC 27001:2006, dan pengalaman ahli boleh dibuat dalam membantu memudahkan penyediaan dasar.
REVIU
• Draf document diedarkan kepada ahli jawatankuasa bagi mendapatkan maklum balas dan kemudianya mencadangkan dan mengambil tindakan penambahan baikan. Ini diikuti dengan persetujuan daripada ahli sebelum draf document berknaan dibentang kepada CIO.
KELULUSAN CIO
• Memberikan taklimat dan membentangkan draf dasar keselamatan ICT jabatan kepada CIO dan Ketua Jabatan yang dihadiri oleh semua Ketua Jabatan bagi mendapatkan perakuan mesyuarat.
PELAKSANAAN
• Dasar Keselamatan ICT dipersetujui akan dimaklumkan kepada semua warga jabatan agar pematuhan peruntukan dasar dapat dilaksanakan.
PEMBUDAYAKAN
• Merancang dan melaksanakan program- program pembudayaan keselamatan ICT khususnya latihan dalaman bagi meningkatkan pengetahuan personel berkaitan keselamatan ICT.
KUATKUASA
• ICTSO menguatkuasakan pematuhan dasar keselamatan ICT jabatan dari semasa ke semasa.
KAJIAN SEMULA DOKUMENT DASAR
• Kajian akan semakan semula dokumen dasar bagi memastikan dokumen dasar dikemas kini yang melibatkan perubahan teknologi, perundangan dan lain- lain perkara berkaitan.
BIDANG 01 :- PEMBANGUNAN
DAN
PENYELENGARAAN DASAR
menerangkan hala tuju dan sokongan pengurusan terhadap keselamatan maklumat selaras dengan keperluan agensi dan perundangan yang berkaitan.
Bidang 02:
Organisasi Keselamatan
peranan dan tanggungjawab individu yang terlibat dengan lebih jelas dan teratur dalam mencapai objektif DKICT serta menjamin keselamatan semua aset ICT yang digunakan oleh pihak ketiga
BIDANG 03
Pengurusan Aset
- cara aset ICT diuruskan dan disokong serta memastikan setiap maklumat atau aset ICT diberikan tahap perlindungan yang bersesuaian.
BIDANG 04
Keselamatan Sumber Manusia
- kawalan untuk memastikan semua sumber manusia yang terlibat (termasuk pegawai dan kakitangan agensi, pembekal, pakar runding dan pihak-pihak yang berkepentingan) memahami tanggungjawab dan peranan serta meningkatkan pengetahuan dalam keselamatan aset ICT.

-Semua warga agensi hendaklah mematuhi terma dan syarat perkhidmatan serta peraturan semasa yang berkuat kuasa.

BIDANG 05
Keselamatan Fizikal dan Persekitaran
- kawalan bagi melindungi aset ICT daripada sebarang bentuk pencerobohan, ancaman, kecurian, kehilangan, kesilapan, kecuaian, kemalangan, gangguan, kerosakan dan bencana alam serta akses yang tidak dibenarkan
BIDANG 06
Pengurusan Operasi & Komunikasi
beberapa pecahan bidang yang menerangkan kawalan bagi memastikan pengurusan operasi berfungsi dengan betul dan selamat. Selain itu, memastikan pelaksanaan dan penyelenggaraan tahap keselamatan maklumat dan penyampaian perkhidmatan yang sesuai selaras dengan perjanjian perkhidmatan dengan pihak ketiga.
Pengurusan operasi dan komunikasi juga mencakupi aspek pelindungan maklumat dalam rangkaian dan infrastruktur serta aset ICT dari sebarang pendedahan, pengubahsuaian, pemindahan atau pemusnahan serta gangguan ke atas aktiviti perkhidmatan.
Pengurusan operasi dan komunikasi juga mencakupi aspek pelindungan maklumat dalam rangkaian dan infrastruktur serta aset ICT dari sebarang pendedahan, pengubahsuaian, pemindahan atau pemusnahan serta gangguan ke atas aktiviti perkhidmatan.
BIDANG 07 :

Kawalan Capaian
kawalan capaian ke atas maklumat dan aset ICT bertujuan menghalang capaian tidak sah dan tanpa kebenaran ke atas perkhidmatan rangkaian, sistem pengurusan, dan maklumat dalam sistem aplikasi serta memastikan keselamatan maklumat semasa menggunakan peralatan mudah alih dan kemudahan kerja jarak jauh.
BIDANG 08 : Perolehan, Pembangunan dan
Penyelenggaraan Sistem
kawalan bagi memastikan sistem yang dibangunkan sendiri atau oleh pihak ketiga mempunyai ciri-ciri keselamatan ICT yang bersesuaian seperti dapat melindungi kerahsiaan, integriti dan kesahihan maklumat melalui kawalan kriptografi, memastikan fail sistem dikawal, dikendalikan dengan baik dan selamat. Juga kawalan bagaimana untuk menjaga dan menjamin keselamatan sistem maklumat dan aplikasi serta memastikan kawalan teknikal keterdedahan adalah berkesan, sistematik dan berkala dengan mengambil langkah-langkah yang bersesuaian.
BIDANG 09 : Pengurusan Pengendalian Insiden Keselamatan
memastikan insiden dikendalikan dengan cepat dan berkesan bagi meminimumkan kesan insiden keselamatan ICT. Selain itu, dapat memastikan pendekatan yang konsisten dan efektif digunakan dalam pengurusan maklumat insiden keselamatan ICT.
BIDANG 10 : Pengurusan
Kesinambungan Perkhidmatan
kawalan bagi menjamin operasi perkhidmatan agar tidak tergendala dan penyampaian perkhidmatan yang berterusan kepada pelanggan.
BIDANG 11 : Pematuhan
menerangkan kawalan bagi meningkatkan tahap keselamatan ICT bagi mengelak dari pelanggaran kepada DKICT.
LAMPIRAN 1
Full transcript