DASAR KESELAMATAN ICT
MAJLIS PERBANDARAN KULIM
PENGENALAN
Selaras dengan perubahan teknologi yang berlaku setiap hari, Majlis Perbandaran Kulim meletakkan ICT sebagai satu keutamaan di dalam menyediakan perkhidmatan berkuali terhadap rakyat. Oleh itu, satu dasar sebagai garis panduan yang boleh membantu dan membimbing kakitangan yang bertanggungjawab untuk melaksanakan tugas serta program yang melibatkan ICT amat perlu bagi melancarkan pengurusan kerja harian dan bagi mengelakkan insiden-insiden ICT yang boleh menyebabkan kepada kerosakan serta kehilangan maklumat dan juga perkakasan.
Selaras dengan hasrat MPKK untuk mencapai Visi dan Misinya sistem penyampaian yang diamalkan haruslah berteraskan ICT dan memenuhi kehendak stakeholders dan pelanggan. Berdasarkan kepentingan di atas, pengurusan MPKK telah mengeluarkan dokumen ini bagi memastikan objektif pengkomputeran ini tercapai. Dokumen ini mengandungi beberapa pernyataan dasar mengikut aspek-aspek penting dalam melindungi aset ICT di MPKK. Ia menerangkan peraturan yang perlu dipatuhi oleh mereka yang mencapai teknologi maklumat dan data di MPKK.
Tujuan utama dokumen ini ialah untuk memaklumkan kepada personel MPKK tentang tanggungjawab dan peranan dalam melindungi aset-aset ICT.
- PERNYATAAN DASAR, OBJEKTIF, SKOP DAN PRINSIP KESELAMATAN ICT
2.1 Pernyataan Dasar Keselamatan ICT
Dasar Keselamatan ICT MPKK adalah untuk melindungi aset ICT dengan meminimumkan kesan insiden keselamatan. Ini adalah bertujuan untuk menjamin kesinambungan urusan dengan menekankan aspek kepenggunaan aset ICT serta prosedur keselamatan yang perlu diikuti seperti yang telah ditetapkan.
2.2 Objektif
Dasar Keselamatan ICT dibentuk bertujuan untuk :-
- Menjamin semua aset ICT (termasuk maklumat elektronik dan bukan elektronik, perisian, data, rangkaian data dan peralatan) dan pengguna, peraturan, tanggungjawab serta kemudahan ICT yang terdapat di MPKK adalah dilindungi sepenuhnya daripada kemusnahan, kehilangan, disalahgunakan atau penyelewengan.
- Memastikan segala perkhidmatan akan berjalan dengan lancar dan berterusan.
- Melindungi kepentingan mereka yang bergantung pada teknologi maklumat, daripada kesan kegagalan ICT dari segi kerahsiaan, integriti, kebolehsediaan dan ‘tidak boleh disangkal’.
- Membantu kakitangan MPKK menggunakan kaedah yang sistematik dan seragam dalam melaksanakan tugas-tugas dan tanggungjawab yang melibatkan ICT.
- Mencegah salahguna dan kecurian aset ICT Jabatan.
2.3 Skop
Dasar ini merangkumi peralatan ICT serta semua bentuk maklumat elektronik yang bertujuan untuk menjamin kerahsiaan dan integriti maklumat tersebut serta kesahihan pengguna dan ketersediaan kepada semua pengguna yang dibenarkan.
Dasar ini adalah terpakai oleh semua pengguna di MPKK termasuk kakitangan, pembekal dan pakar runding yang mengurus, menyelenggara, memproses, mencapai, muat turun, muat naik, menyedia, berkongsi, menyimpan dan menggunakan aset ICT MPKK.
2.4 Prinsip-prinsip
MPKK menerimapakai prinsip keselamatan ICT yang berikut:
-
Capaian Atas Dasar Perlu Mengetahui
Capaian terhadap penggunaan aset ICT hanya diberikan untuk tujuan spesifik dan dihadkan kepada pengguna tertentu atas dasar “perlu mengetahui” sahaja. Ini bermakna capaian hanya akan diberikan sekiranya peranan atau fungsi pengguna memerlukan maklumat tersebut. Pertimbangan untuk capaian adalah berdasarkan kategori maklumat seperti mana yang dinyatakan di dalam dokumen “Arahan Keselamatan”. -
Hak Capaian Minimum
Hak capaian kepada pengguna hanya diberi pada tahap aset yang paling minimum iaitu untuk membaca dan/atau melihat sahaja. Kelulusan khas adalah diperlukan untuk membolehkan pengguna mewujud, menyimpan, mengemas kini, mengubah atau membatalkan sesuatu data atau maklumat. -
Akauntabiliti
Semua pengguna adalah dipertanggungjawabkan ke atas semua tindakannya terhadap aset ICT MPKK. -
Pengasingan
Tugas mewujud, memadam, kemas kini, mengubah dan mengesahkan data perlu diasingkan bagi mengelakkan daripada capaian yang tidak dibenarkan. Pengasingan juga merangkumi tindakan memisahkan antara kumpulan operasi dan rangkaian. -
Pengauditan
Tujuan aktiviti ini ialah untuk mengenal pasti insiden keselamatan atau mengenal pasti keadaan yang mengancam keselamatan. Dengan itu, aset ICT seperti komputer, pelayan, router, firewall dan rangkaian hendaklah menyelenggarakan jejak-jejak audit. -
Pemulihan
Pemulihan sistem amat perlu untuk memastikan kebolehsediaan dan kebolehcapaian. Objektif utama adalah untuk meminimumkan sebarang gangguan atau kerugian akibat daripada ketidaksediaan. Pemulihan boleh dilakukan melalui Backup dan peraturan pemulihan atau suatu Pelan Pemulihan Bencana dan Pelan Kesinambungan Perkhidmatan. -
Pematuhan
Tujuan utama ialah untuk menghindar, mengesan, melengah dan bertindakbalas terhadap sebarang perlanggaran Dasar Keselamatan ICT MPKK. -
Saling Bergantung
Langkah-langkah keselamatan ICT yang berkesan memerlukan pematuhan kepada semua prinsip-prinsip di atas. Setiap prinsip adalah saling lengkap melengkapi antara satu dengan lain. Dengan itu, tindakan mempelbagaikan pendekatan dalam menyusun dan mencorak sebanyak mungkin mekanisma keselamatan, dapat menjamin keselamatan yang maksimum.
- PENGURUSAN KESELAMATAN ICT
3.1 Organisasi/Struktur Keselamatan ICT
Penglibatan pengurusan atasan adalah penting
dalam merancang, menentu hala tuju, memantau keberkesanan dan membudayakan program keselamatan ICT.
Pelaksanaan
dasar ini akan dijalankan oleh Yang DiPertua MPKK dengan dibantu oleh Jawatankuasa Pemandu ICT (JPICT) yang
diketuai oleh Tuan Setiausaha dan dianggotai oleh Ketua Bahagian Pengurusan Maklumat selaku Pegawai
Keselamatan
ICT (ICTSO) serta wakil-wakil Jabatan.
3.2 Pengurusan Risiko
MPKK melalui ICTSO akan melaksanakan penilaian risiko dari semasa
ke semasa ke atas aset ICT jabatan bertujuan untuk memastikan ancaman, kelemahan dan risiko di MPKK berada
di tahap yang paling minimum.
3.3 Pengurusan Maklumat Sensitif
Pengurusan maklumat sensitif di MPKK hendaklah mematuhi
peraturan- peraturan yang telah ditetapkan di dalam Arahan Keselamatan. Maklumat sensitif yang dikirim
secara
elektronik hendaklah menggunakan sistem penyulitan yang diluluskan
3.4 Pengurusan Virus
Memasang antivirus, mengemas kini versi antivirus dan melaksanakan
aktiviti imbasan virus ke atas aset ICT yang berkaitan secara berterusan.
3.5 Pengurusan Kata Laluan
Pengurusan, pemilihan dan penggunaan kata laluan perlu
mengikut
panduan yang ditetapkan oleh MyMIS atau lain-lain amalan terbaik. Kata laluan hendaklah dilindungi dan tidak
boleh dikongsi. Pengguna hendaklah mengubah katalaluan bagi setiap 6 bulan untuk mengelak katalaluan ini
dikesan dan digunakan untuk menceroboh.
3.6 Pengurusan Capaian Internet
Penggunaan internet hendaklah dipantau secara berterusan
supaya bahan atau laman web yang sesuai sahaja diakses. Dasar ini juga meliputi aktiviti muat turun
(download),
penggunaan internet untuk tugas rasmi dan menapis laman web yang tidak sesuai.
3.7 Pengurusan Mel Elektronik (E-mel)
Penggunaan e-mel hendaklah dipantau secara
berterusan
bagi memenuhi keperluan etika penggunaan, langkah-langkah perlindungan dan penguatkuasaan yang ditetapkan
oleh JPICT, agar penggunaan e-mel dapat dikawal dan tahap keselamatan sistem komunikasi dokumen rasmi
kerajaan
terjamin.
3.8 Keselamatan Perkakasan dan Perisian
Melindungi semua perkakasan dan perisian dari
sebarang ancaman, kelemahan dan risiko. JPICT perlu memantau penggunaannya bagi mengelakkan penyalahgunaan.
JPICT perlu memastikan bahawa perisian yang digunakan adalah tulen dan berlesen.
3.9 Keselamatan Komunikasi
Penghantaran dan penerimaan maklumat mestilah selamat dan
terjamin dari segi integriti, kerahsiaan dan kesahihannya. JPICT perlu mengawal sebarang aktiviti
komunikasi.
3.10 Keselamatan Fizikal
Premis ICT perlu dilindungi dari sebarang bentuk ancaman
seperti
pencerobohan, kebakaran dan bencana alam. Sebarang pengubahsuaian terhadap premis aset ICT perlu dirujuk
kepada JPICT untuk kelulusan.
3.11 Keselamatan Dokumen Dan Media
Semua dokumen dan media hendaklah diberi perlindungan
keselamatan
yang secukupnya. Dokumen dan media mesti diklasifikasikan mengikut keperluan, kepentingan dan tahap
keselamatan.
Sistem pengurusan dokumen dan media perlu diwujudkan bagi menerima, memproses, menyimpan, menghantar dan
melupus.
3.12 Keselamatan Pangkalan Data
Pangkalan data perlu dilindungi daripada capaian tanpa kebenaran
dan semua bentuk kemusnahan. Semua capaian ke pangkalan data perlu mendapat kebenaran dari ICTSO.
3.13 Pelan Kesinambungan Perkhidmatan
Perkhidmatan perlu diteruskan walaupun berlaku
sebarang bentuk kegagalan sistem dan kemusnahan. Oleh itu, MPKK perlu mewujudkan pelan kesinambungan
perkhidmatan
dan diuji secara berkala.
3.14 Pengurusan Telekomunikasi
Pengguna yang ingin membuat capaian kepada aset ICT secara
telekomunikasi perlu mendapat kelulusan dari ICTSO. Perkara utama yang perlu dipastikan ialah persekitaran
talian pengguna adalah selamat daripada sebarang ancaman, kelemahan dan risiko.
3.15 Pengurusan Outsourcing
Projek ICT boleh diuruskan oleh pihak ketiga sekiranya diperlukan dan
telah mendapat kelulusan. Pihak ketiga termasuk juruperunding dan pembekal terikat dengan perjanjian untuk
memastikan integriti dan kerahsiaan maklumat Kebocoran maklumat rahsia rasmi boleh dikenakan tindakan di
bawah
Akta Rahsia Rasmi 1972.
3.16 Kesedaran Keselamatan ICT
Semua personel dan pengguna hendaklah dididik menerima
dan melaksanakan peraturan keselamatan ICT sebagai sebahagian dari kewajipan dalam perkhidmatan. Program
kesedaran keselamatan ICT hendaklah diwujud dan dilaksanakan di MPKK.
3.17 Pelaporan Insiden Keselamatan ICT
Sebarang insiden keselamatan mestilah dilaporkan
kepada GCERT MAMPU. Prosedur operasi standard perlu disediakan oleh MPKK dan diletakkan di bawah
tanggungjawab
Ketua Bahagian Pengurusan Maklumat dan ICTSO. Tindakan selanjutnya akan diputuskan oleh Ketua Bahagian
Pengurusan Maklumat.
3.17 Pengendalian Perubahan
a) Penyerahan Tugas dan Tanggungjawab
Penyerahan tugas
dan tanggungjawab hendaklah dilaksanakan secara rasmi apabila berlaku perubahan personel berkaitan dengan
ICT.
b) Perubahan Konfigurasi Sistem ICT
Sebarang bentuk perubahan konfigurasi sistem yang melibatkan
aset ICT jabatan mestilah direkod dan dikemaskinikan.
- PRIVASI
4.1 Privasi Anda
Halaman ini menerangkan dasar privasi yang merangkumi penggunaan dan perlindungan maklumat yang dikemukakan oleh pengunjung.
Sekiranya anda ingin mendaftar dan membuat transaksi atau menghantar e-mel yang mengandungi maklumat peribadi, maklumat ini mungkin akan dikongsi bersama dengan agensi awam lain untuk membantu penyediaan perkhidmatan yang lebih berkesan dan efektif. Contohnya seperti di dalam menyelesaikan aduan yang memerlukan maklum balas dari agensi-agensi lain.
- Maklumat yang Dikumpul
Tiada maklumat peribadi akan dikumpul semasa anda melayari Portal Majlis Perbandaran Kulim kecuali maklumat yang dikemukakan oleh anda melalui pendaftaran (nama dan email) yang merupakan bahagian yang dilindungi dalam Portal ini.
Anda mempunyai hak untuk memadam maklumat peribadi anda pada bila-bila masa dengan menekan butang 'Padam Akaun'.
- PERUNDANGAN
5.1 Penguatkuasaan
Semua pengguna dikehendaki memahami dan mematuhi semua peraturan- peraturan yang terkandung dalam Dasar Keselamatan ICT MPK.
- Pelanggaran Dasar Keselamatan ICT
Pelanggaran Dasar Keselamatan ICT akan dirujuk dan dilapor kepada ICTSO. Perkara ini boleh dirujuk kepada Lembaga Tatatertib dan sekiranya melibatkan unsur jenayah dilapor kepada pihak berkuasa.
- PENYELENGGARAAN DOKUMEN
6.1 Pengendalian Perubahan Dokumen
Dasar keselamatan ICT tertakluk kepada perubahan dari semasa ke semasa selaras dengan perubahan teknologi, aplikasi, prosedur, perundangan dan kepentingan sosial. Dasar ini hendaklah dibaca bersama dengan dokumen-dokumen yang berkaitan dengan standard, garis panduan dan langkah keselamatan ICT Kerajaan yang akan dikeluarkan dari semasa ke semasa.
- Pemberitahuan Perubahan
Sebarang perubahan terhadap dasar keselamatan ICT hendaklah dimaklumkan kepada semua personel dan pengguna.
- Cadangan Pindaan
Sebarang cadangan pindaan berkaitan dengan dasar ini hendaklah dikemukakan kepada JPICT.
Nama : Jawatankuasa Pemandu ICT MPKK
Alamat : Majlis Perbandaran Kulim, 09000 Kulim, Kedah Darul Aman.
Emel : ict@mpkk.gov.my
Penyemakan Semula
Dasar Keselamatan ICT tertakluk kepada semakan dan pindaan. Penyemakan semula hendaklah dilaksanakan oleh JPICT dari semasa ke semasa selaras dengan perubahan dasar Kerajaan,
Disediakan Oleh:
Bahagian Pengurusan Maklumat
Majlis Perbandaran Kulim