8.1 - PERANTI PENGGUNA USER ENDPOINT DEVICES
Peranti yang boleh mengumpul, merakam, menyiar dan menyampaikan maklumat dalam apa jua bentuk rekod elektronik perlu diberi kawalan perlindungan bagi memastikan keselamatan maklumat. Perkara-perkara yang perlu dipatuhi adalah seperti berikut: Warga PPUM bertanggungjawab sepenuhnya terhadap pengurusan dan kawalan keselamatan setiap peranti yang dibekalkan; Rekod penggunaan peranti hendaklah diwujudkan dan dikemas kini; Memastikan peranti dihindari daripada sebarang ancaman keselamatan maklumat seperti pendedahan, kecurian, pengubahsuaian dan pemalsuan; Memadam segala maklumat yang berkaitan dengan urusan rasmi jabatan sekiranya bertukar atau ditamatkan perkhidmatan atau bersara atau sewaktu dihantar untuk penyelenggaraan; Peranti tidak disimpan di dalam kenderaan tanpa pengawasan, di tempat awam dan premis atau kawasan yang tidak selamat; dan Peranti hak milik PPUM yang didapati hilang hendaklah diuruskan berdasarkan kepada pekeliling semasa yang sedang berkuat kuasa. Staf PPUM bertanggungjawab untuk memastikan langkah-langkah keselamatan perlindungan berkaitan penggunaan BYOD dilaksanakan dan diberi perhatian sewajarnya. Staf PPUM adalah tertakluk kepada perkara seperti berikut: Penggunaan BYOD adalah tertakluk kepada kelulusan Pengurusan PPUM; Memastikan BYOD mempunyai ciri-ciri keselamatan seperti antivirus dan patching terkini; Bertanggungjawab menggunakan BYOD secara berhemah sepanjang masa dan mematuhi mana-mana peraturan atau dasar yang sedang berkuat kuasa; Tindakan tatatertib atau tindakan undang-undang boleh dikenakan sekiranya didapati menyalahgunakan BYOD yang menyebabkan kehilangan atau kerosakan atau pendedahan maklumat rasmi kerajaan; PPUM akan mengambil tindakan terhadap peranti pengguna sekiranya didapati atau disyaki tidak mematuhi peraturan yang telah ditetapkan atau untuk tujuan siasatan; PPUM tidak bertanggungjawab atas kehilangan, kerosakan data atau aplikasi dalam BYOD yang digunakan; Membenarkan PPUM untuk membuat analisa risiko ke atas BYOD yang digunakan; dan BYOD yang tidak digunakan untuk mengakses maklumat PPUM melebihi 90 hari akan dinyahaktifkan dari sebarang capaian dan perlu memaklumkan sekiranya perlu diaktifkan kembali. Staf PPUM dilarang daripada melakukan perkara berikut : Menyimpan maklumat rasmi yang sensitif dan rahsia rasmi di dalam BYOD; Menggunakan BYOD untuk mengakses, menyimpan dan menyebarkan maklumat rasmi yang sensitif dan rahsia rasmi; Menjadikan BYOD sebagai medium sandaran (backup) bagi maklumat rasmi; Merakam komunikasi dan dokumen rasmi untuk tujuan peribadi; dan Menjadikan BYOD yang telah didaftarkan, sebagai access point atau mobile hotspot peranti lain untuk capaian ke rangkaian PPUM tanpa kebenaran. Staf PPUM perlu memastikan bahawa peralatan guna sama atau individu dijaga dan mempunyai perlindungan yang sewajarnya iaitu dengan mematuhi perkara berikut: Tamatkan sesi aktif aplikasi apabila selesai tugas; Sistem menamatkan sesi yang tidak aktif (idle) secara automatik selepas 30 minit; Log-off desktop dan komputer riba apabila sesi bertugas selesai; Desktop, komputer riba atau terminal selamat daripada pengguna yang tidak dibenarkan; Memastikan peralatan yang tidak digunakan selepas waktu bekerja dimatikan (off) bagi mengelakkan kerosakan perkakasan jika berlaku kejadian seperti petir, kilat dan sebagainya; dan Staf PPUM bertanggungjawab untuk membuat salinan sendiri bagi maklumat yang perlu disimpan. Jabatan Teknologi Maklumat tidak bertanggungjawab bagi sebarang kehilangan data yang terkandung dalam peralatan guna sama.	Ketua Pegawai Keselamatan ICT (ICTSO), Pegawai Aset, Staf PPUM

8.1 - PERANTI PENGGUNA
USER ENDPOINT DEVICES

Peranti yang boleh mengumpul, merakam, menyiar dan menyampaikan maklumat dalam apa jua bentuk rekod elektronik perlu diberi kawalan perlindungan bagi memastikan keselamatan maklumat.

Perkara-perkara yang perlu dipatuhi adalah seperti berikut:

Warga PPUM bertanggungjawab sepenuhnya terhadap pengurusan dan kawalan keselamatan setiap peranti yang dibekalkan;
Rekod penggunaan peranti hendaklah diwujudkan dan dikemas kini;
Memastikan peranti dihindari daripada sebarang ancaman keselamatan maklumat seperti pendedahan, kecurian, pengubahsuaian dan pemalsuan;
Memadam segala maklumat yang berkaitan dengan urusan rasmi jabatan sekiranya bertukar atau ditamatkan perkhidmatan atau bersara atau sewaktu dihantar untuk penyelenggaraan;
Peranti tidak disimpan di dalam kenderaan tanpa pengawasan, di tempat awam dan premis atau kawasan yang tidak selamat; dan
Peranti hak milik PPUM yang didapati hilang hendaklah diuruskan berdasarkan kepada pekeliling semasa yang sedang berkuat kuasa.

Staf PPUM bertanggungjawab untuk memastikan langkah-langkah keselamatan perlindungan berkaitan penggunaan BYOD dilaksanakan dan diberi perhatian sewajarnya. Staf PPUM adalah tertakluk kepada perkara seperti berikut:

Penggunaan BYOD adalah tertakluk kepada kelulusan Pengurusan PPUM;
Memastikan BYOD mempunyai ciri-ciri keselamatan seperti antivirus dan patching terkini;
Bertanggungjawab menggunakan BYOD secara berhemah sepanjang masa dan mematuhi mana-mana peraturan atau dasar yang sedang berkuat kuasa;
Tindakan tatatertib atau tindakan undang-undang boleh dikenakan sekiranya didapati menyalahgunakan BYOD yang menyebabkan kehilangan atau kerosakan atau pendedahan maklumat rasmi kerajaan;
PPUM akan mengambil tindakan terhadap peranti pengguna sekiranya didapati atau disyaki tidak mematuhi peraturan yang telah ditetapkan atau untuk tujuan siasatan;
PPUM tidak bertanggungjawab atas kehilangan, kerosakan data atau aplikasi dalam BYOD yang digunakan;
Membenarkan PPUM untuk membuat analisa risiko ke atas BYOD yang digunakan; dan
BYOD yang tidak digunakan untuk mengakses maklumat PPUM melebihi 90 hari akan dinyahaktifkan dari sebarang capaian dan perlu memaklumkan sekiranya perlu diaktifkan kembali.

Staf PPUM dilarang daripada melakukan perkara berikut :

Menyimpan maklumat rasmi yang sensitif dan rahsia rasmi di dalam BYOD;
Menggunakan BYOD untuk mengakses, menyimpan dan menyebarkan maklumat rasmi yang sensitif dan rahsia rasmi;
Menjadikan BYOD sebagai medium sandaran (backup) bagi maklumat rasmi;
Merakam komunikasi dan dokumen rasmi untuk tujuan peribadi; dan
Menjadikan BYOD yang telah didaftarkan, sebagai access point atau mobile hotspot peranti lain untuk capaian ke rangkaian PPUM tanpa kebenaran.

Staf PPUM perlu memastikan bahawa peralatan guna sama atau individu dijaga dan mempunyai perlindungan yang sewajarnya iaitu dengan mematuhi perkara berikut:

Tamatkan sesi aktif aplikasi apabila selesai tugas;
Sistem menamatkan sesi yang tidak aktif (idle) secara automatik selepas 30 minit;
Log-off desktop dan komputer riba apabila sesi bertugas selesai;
Desktop, komputer riba atau terminal selamat daripada pengguna yang tidak dibenarkan;
Memastikan peralatan yang tidak digunakan selepas waktu bekerja dimatikan (off) bagi mengelakkan kerosakan perkakasan jika berlaku kejadian seperti petir, kilat dan sebagainya; dan

Staf PPUM bertanggungjawab untuk membuat salinan sendiri bagi maklumat yang perlu disimpan. Jabatan Teknologi Maklumat tidak bertanggungjawab bagi sebarang kehilangan data yang terkandung dalam peralatan guna sama.

Ketua Pegawai Keselamatan ICT (ICTSO), Pegawai Aset, Staf PPUM

8.2 - PENGURUSAN KEISTIMEWAAN HAK CAPAIAN PRIVILEGE ACCESS RIGHTS
Peruntukan dan penggunaan Privilege Access Rights perlu dihad dan dikawal. Penetapan dan penggunaan ke atas hak capaian perlu diberi kawalan dan penyeliaan yang ketat berdasarkan keperluan bidang tugas. Hak capaian khas pengguna adalah seperti Administrators Privilege dan Super User Privilege.Hak capaian ini perlu disemak sekurang-kurangnya sekali setahun. Perkara yang perlu dipatuhi adalah seperti berikut : Mengenalpasti pengguna yang perlu diberikan hak keistimewaan hak capaian; Hak keistimewaan capaian yang diberikan perlu direkodkan; Menetapkan tempoh tamat hak keistimewaan akses; Merekodkan (log) semua akses istimewa kepada sistem untuk tujuan audit; dan Penggunaan ID pengguna pentadbir generik tidak dibenarkan.	Ketua Pegawai Keselamatan ICT (ICTSO), Pentadbir Sistem ICT

8.2 - PENGURUSAN KEISTIMEWAAN HAK CAPAIAN
PRIVILEGE ACCESS RIGHTS

Peruntukan dan penggunaan Privilege Access Rights perlu dihad dan dikawal. Penetapan dan penggunaan ke atas hak capaian perlu diberi kawalan dan penyeliaan yang ketat berdasarkan keperluan bidang tugas. Hak capaian khas pengguna adalah seperti Administrators Privilege dan Super User Privilege.Hak capaian ini perlu disemak sekurang-kurangnya sekali setahun.

Perkara yang perlu dipatuhi adalah seperti berikut :

Mengenalpasti pengguna yang perlu diberikan hak keistimewaan hak capaian;
Hak keistimewaan capaian yang diberikan perlu direkodkan;
Menetapkan tempoh tamat hak keistimewaan akses;
Merekodkan (log) semua akses istimewa kepada sistem untuk tujuan audit; dan
Penggunaan ID pengguna pentadbir generik tidak dibenarkan.

Ketua Pegawai Keselamatan ICT (ICTSO), Pentadbir Sistem ICT

8.3 - KAWALAN CAPAIAN MAKLUMAT INFORMATION ACCESS RESTRICTION
Perkara yang perlu dipatuhi adalah seperti berikut : Akses kepada fungsi maklumat dan sistem aplikasi hendaklah dihadkan mengikut pengurusan hak capaian; dan Akses tanpa nama kepada maklumat sensitif perlu disekat.	Ketua Pegawai Keselamatan ICT (ICTSO), Pentadbir Sistem ICT

8.3 - KAWALAN CAPAIAN MAKLUMAT
INFORMATION ACCESS RESTRICTION

Perkara yang perlu dipatuhi adalah seperti berikut :

Akses kepada fungsi maklumat dan sistem aplikasi hendaklah dihadkan mengikut pengurusan hak capaian; dan
Akses tanpa nama kepada maklumat sensitif perlu disekat.

Ketua Pegawai Keselamatan ICT (ICTSO), Pentadbir Sistem ICT

8.4 - KAWALAN CAPAIAN KEPADA KOD SUMBER PROGRAM ACCESS TO SOURCE CODE
Kod sumber program (source code) perlu diselia dan dipantau. Perkara yang perlu dipatuhi adalah seperti berikut: Kod sumber bagi semua aplikasi dan perisian adalah hak milik PPUM; Pembangunan kod sumber program perlu diselia dan dipantau; Akses kepada kod sumber (source code) aplikasi perlu dihadkan kepada pemilik sistem dan pegawai yang dibenarkan sahaja; Kod sumber sesuatu perkhidmatan digital hendaklah disimpan dengan dalam persekitaran yang selamat, teratur dan disimpan di dalam satu direktori pelayan kod sumber; Sebarang pindaan kod sumber mestilah mengikut prosedur yang ditetapkan; Pindaan, penyelenggaraan dan penyalinan kod sumber hendaklah tertakluk kepada kawalan perubahan (versi); dan Log audit terhadap semua akses kepada kod sumber perlu dikekalkan.	Ketua Pegawai Keselamatan ICT (ICTSO), Pentadbir Sistem ICT

8.4 - KAWALAN CAPAIAN KEPADA KOD SUMBER PROGRAM
ACCESS TO SOURCE CODE

Kod sumber program (source code) perlu diselia dan dipantau. Perkara yang perlu dipatuhi adalah seperti berikut:

Kod sumber bagi semua aplikasi dan perisian adalah hak milik PPUM;
Pembangunan kod sumber program perlu diselia dan dipantau;
Akses kepada kod sumber (source code) aplikasi perlu dihadkan kepada pemilik sistem dan pegawai yang dibenarkan sahaja;
Kod sumber sesuatu perkhidmatan digital hendaklah disimpan dengan dalam persekitaran yang selamat, teratur dan disimpan di dalam satu direktori pelayan kod sumber;
Sebarang pindaan kod sumber mestilah mengikut prosedur yang ditetapkan;
Pindaan, penyelenggaraan dan penyalinan kod sumber hendaklah tertakluk kepada kawalan perubahan (versi); dan
Log audit terhadap semua akses kepada kod sumber perlu dikekalkan.

Ketua Pegawai Keselamatan ICT (ICTSO), Pentadbir Sistem ICT

8.5 - KESELAMATAN PENGESAHAN SECURE AUTHENTICATION
Kawalan terhadap capaian aplikasi sistem perlu mempunyai kaedah pengesahan log-on yang bersesuaian bagi mengelakkan sebarang capaian yang tidak dibenarkan. Perkara-perkara yang perlu dipatuhi adalah seperti berikut : Tidak memaparkan kata laluan pengenalan sistem; Menggunakan saluran encrypted channels semasa penghantaran kata laluan; Sistem hanya mengesahkan ketepatan log masuk selepas semua maklumat login yang diperlukan dimasukkan. Sistem memaparkan amaran (alert) sekiranya ada berlaku pelanggaran semasa proses log-on terhadap aplikasi sistem; Amaran notis am untuk sistem atau aplikasi atau perkhidmatan yang digunakan digunakan oleh pengguna yang dibenarkan sahaja; Bilangan percubaan semula yang dibenarkan selepas log masuk yang tidak berjaya hendaklah tidak lebih daripada 5 kali. Jika bilangan maksimum percubaan melebihi 5 kali, sesi log masuk hendaklah direkod dan dibekukan. Pengguna hanya boleh mencuba semula selepas tempoh masa tertentu atau selepas mendapat kebenaran semula; Bagi log masuk berjaya, sistem harus memaparkan tarikh dan masa log masuk terakhir. Semua log masuk yang berjaya atau tidak perlu direkodkan.	Ketua Pegawai Keselamatan ICT (ICTSO), Pentadbir Sistem ICT

8.5 - KESELAMATAN PENGESAHAN
SECURE AUTHENTICATION

Kawalan terhadap capaian aplikasi sistem perlu mempunyai kaedah pengesahan log-on yang bersesuaian bagi mengelakkan sebarang capaian yang tidak dibenarkan.

Perkara-perkara yang perlu dipatuhi adalah seperti berikut :

Tidak memaparkan kata laluan pengenalan sistem;
Menggunakan saluran encrypted channels semasa penghantaran kata laluan;
Sistem hanya mengesahkan ketepatan log masuk selepas semua maklumat login yang diperlukan dimasukkan.
Sistem memaparkan amaran (alert) sekiranya ada berlaku pelanggaran semasa proses log-on terhadap aplikasi sistem;
Amaran notis am untuk sistem atau aplikasi atau perkhidmatan yang digunakan digunakan oleh pengguna yang dibenarkan sahaja;
Bilangan percubaan semula yang dibenarkan selepas log masuk yang tidak berjaya hendaklah tidak lebih daripada 5 kali. Jika bilangan maksimum percubaan melebihi 5 kali, sesi log masuk hendaklah direkod dan dibekukan. Pengguna hanya boleh mencuba semula selepas tempoh masa tertentu atau selepas mendapat kebenaran semula;
Bagi log masuk berjaya, sistem harus memaparkan tarikh dan masa log masuk terakhir.
Semua log masuk yang berjaya atau tidak perlu direkodkan.

Ketua Pegawai Keselamatan ICT (ICTSO), Pentadbir Sistem ICT

8.6 - PERANCANGAN KAPASITI CAPACITY MANAGEMENT
Perkara yang perlu diambil perhatian adalah seperti berikut: Penggunaan sumber hendaklah dirancang, diuruskan dan dibuat unjuran bagi memastikan keperluan adalah mencukupi dan bersesuaian untuk pembangunan dan kegunaan sIstem pada masa akan datang; dan Keperluan kapasiti ini juga perlu mengambil kira ciri-ciri keselamatan ICT bagi meminimumkan risiko seperti gangguan pada perkhidmatan dan kerugian akibat pengubahsuaian yang tidak dirancang.	Ketua Pegawai Keselamatan ICT (ICTSO), Pentadbir Sistem ICT

8.6 - PERANCANGAN KAPASITI
CAPACITY MANAGEMENT

Perkara yang perlu diambil perhatian adalah seperti berikut:

Penggunaan sumber hendaklah dirancang, diuruskan dan dibuat unjuran bagi memastikan keperluan adalah mencukupi dan bersesuaian untuk pembangunan dan kegunaan sIstem pada masa akan datang; dan
Keperluan kapasiti ini juga perlu mengambil kira ciri-ciri keselamatan ICT bagi meminimumkan risiko seperti gangguan pada perkhidmatan dan kerugian akibat pengubahsuaian yang tidak dirancang.

Ketua Pegawai Keselamatan ICT (ICTSO), Pentadbir Sistem ICT

8.7 - PERLINDUNGAN DARI MALWARE ATAU VIRUS PROTECTION AGAINST MALWARE
Perkara-perkara yang perlu dilaksanakan bagi memastikan perlindungan aset ICT dari malware atau virus: Memasang sistem keselamatan untuk mengesan perisian atau program berbahaya seperti antivirus, Intrusion Detection System (IDS), Intrusion Prevention System (IPS), Web Filtering dan Web Application Firewall (WAF) serta mengikut prosedur penggunaan yang betul dan selamat; Penggunaan mobile code yang boleh mendatangkan ancaman keselamatan ICT adalah tidak dibenarkan; Memasang dan menggunakan hanya perisian yang tulen, berdaftar dan dilindungi di bawah mana-mana undang-undang bertulis yang berkuatkuasa; Mengimbas semua perisian atau sistem dengan antivirus sebelum menggunakannya atau dengan membuat tetapan imbasan secara automatik sebelum aplikasi diaktifkan; Mengemaskini antivirus dengan paten (signature) antivirus yang terkini; Mengemaskini patches sistem operasi mengikut keperluan; dan Menghadiri program kesedaran mengenai ancaman keselamatan ICT seperti serangan malware atau virus, perisian berbahaya dan cara mengendalikannya.	Ketua Pegawai Keselamatan ICT (ICTSO), Pentadbir Sistem ICT

8.7 - PERLINDUNGAN DARI MALWARE ATAU VIRUS
PROTECTION AGAINST MALWARE

Perkara-perkara yang perlu dilaksanakan bagi memastikan perlindungan aset ICT dari malware atau virus:

Memasang sistem keselamatan untuk mengesan perisian atau program berbahaya seperti antivirus, Intrusion Detection System (IDS), Intrusion Prevention System (IPS), Web Filtering dan Web Application Firewall (WAF) serta mengikut prosedur penggunaan yang betul dan selamat;
Penggunaan mobile code yang boleh mendatangkan ancaman keselamatan ICT adalah tidak dibenarkan;
Memasang dan menggunakan hanya perisian yang tulen, berdaftar dan dilindungi di bawah mana-mana undang-undang bertulis yang berkuatkuasa;
Mengimbas semua perisian atau sistem dengan antivirus sebelum menggunakannya atau dengan membuat tetapan imbasan secara automatik sebelum aplikasi diaktifkan;
Mengemaskini antivirus dengan paten (signature) antivirus yang terkini;
Mengemaskini patches sistem operasi mengikut keperluan; dan
Menghadiri program kesedaran mengenai ancaman keselamatan ICT seperti serangan malware atau virus, perisian berbahaya dan cara mengendalikannya.

Ketua Pegawai Keselamatan ICT (ICTSO), Pentadbir Sistem ICT

8.8 - PENGURUSAN TAHAP KERENTANAN TEKNIKAL MANAGEMENT OF TECHNICAL VULNERABILITY
Perubahan pada aturcara komputer atau data sokongannya (patch) yang direka bentuk untuk mengemaskini, membetulkan atau memperbaiki sistem pengoperasian dan sistem aplikasi perlu dikawal. Ini termasuk pembetulan kepada kepincangan atau kerentanan (vulnerability) keselamatan dan pepijat (bug). Perkara yang perlu dipatuhi adalah seperti berikut: Mengenalpasti maklumat kerentanan teknikal sistem maklumat yang digunakan; Menilai tahap kerentanan bagi mengenal pasti tahap risiko yang bakal dihadapi; Melaksanakan ujian penembusan keselamatan (penetration test); Memastikan URL sistem aplikasi menggunakan protokol yang selamat (HTTPS) bagi menjamin keselamatan data; Mengambil langkah-langkah kawalan dan tindakan pengukuhan yang bersesuaian bagi meminimakan risiko yang telah dikenalpasti; Pelayan, perkhidmatan atau aplikasi mesti dilengkapkan dengan tahap pengoperasian sistem (operating system), aplikasi atau patch keselamatan (security patch) terkini yang disyorkan oleh pengeluar perisian untuk melindungi maklumat PPUM daripada isu keselamatan semasa; dan PPUM perlu membuat kajian semula terhadap pematuhan pemprosesan maklumat dan prosedur sekurang - kurangnya 2 tahun sekali.	Ketua Pegawai Keselamatan ICT (ICTSO), Pentadbir Sistem ICT

8.8 - PENGURUSAN TAHAP KERENTANAN TEKNIKAL
MANAGEMENT OF TECHNICAL VULNERABILITY

Perubahan pada aturcara komputer atau data sokongannya (patch) yang direka bentuk untuk mengemaskini, membetulkan atau memperbaiki sistem pengoperasian dan sistem aplikasi perlu dikawal. Ini termasuk pembetulan kepada kepincangan atau kerentanan (vulnerability) keselamatan dan pepijat (bug).

Perkara yang perlu dipatuhi adalah seperti berikut:

Mengenalpasti maklumat kerentanan teknikal sistem maklumat yang digunakan;
Menilai tahap kerentanan bagi mengenal pasti tahap risiko yang bakal dihadapi;
Melaksanakan ujian penembusan keselamatan (penetration test);
Memastikan URL sistem aplikasi menggunakan protokol yang selamat (HTTPS) bagi menjamin keselamatan data;
Mengambil langkah-langkah kawalan dan tindakan pengukuhan yang bersesuaian bagi meminimakan risiko yang telah dikenalpasti;
Pelayan, perkhidmatan atau aplikasi mesti dilengkapkan dengan tahap pengoperasian sistem (operating system), aplikasi atau patch keselamatan (security patch) terkini yang disyorkan oleh pengeluar perisian untuk melindungi maklumat PPUM daripada isu keselamatan semasa; dan
PPUM perlu membuat kajian semula terhadap pematuhan pemprosesan maklumat dan prosedur sekurang - kurangnya 2 tahun sekali.

Ketua Pegawai Keselamatan ICT (ICTSO), Pentadbir Sistem ICT

8.9 - PENGURUSAN KONFIGURASI CONFIGURATION MANAGEMENT
Perubahan pada aturcara komputer atau data sokongannya (patch) yang direka bentuk untuk mengemaskini, membetulkan atau memperbaiki sistem pengoperasian dan sistem aplikasi perlu dikawal. Ini termasuk pembetulan kepada kepincangan atau kerentanan (vulnerability) keselamatan dan pepijat (bug). Perkara yang perlu dipatuhi adalah seperti berikut: Mengenalpasti maklumat kerentanan teknikal sistem maklumat yang digunakan; Menilai tahap kerentanan bagi mengenal pasti tahap risiko yang bakal dihadapi; Melaksanakan ujian penembusan keselamatan (penetration test); Memastikan URL sistem aplikasi menggunakan protokol yang selamat (HTTPS) bagi menjamin keselamatan data; Mengambil langkah-langkah kawalan dan tindakan pengukuhan yang bersesuaian bagi meminimakan risiko yang telah dikenalpasti; Pelayan, perkhidmatan atau aplikasi mesti dilengkapkan dengan tahap pengoperasian sistem (operating system), aplikasi atau patch keselamatan (security patch) terkini yang disyorkan oleh pengeluar perisian untuk melindungi maklumat PPUM daripada isu keselamatan semasa; dan PPUM perlu membuat kajian semula terhadap pematuhan pemprosesan maklumat dan prosedur sekurang - kurangnya 2 tahun sekali.	Ketua Pegawai Keselamatan ICT (ICTSO), Pentadbir Sistem ICT

8.9 - PENGURUSAN KONFIGURASI
CONFIGURATION MANAGEMENT

Perkara yang perlu dipatuhi adalah seperti berikut:

Mengenalpasti maklumat kerentanan teknikal sistem maklumat yang digunakan;
Menilai tahap kerentanan bagi mengenal pasti tahap risiko yang bakal dihadapi;
Melaksanakan ujian penembusan keselamatan (penetration test);
Memastikan URL sistem aplikasi menggunakan protokol yang selamat (HTTPS) bagi menjamin keselamatan data;
Mengambil langkah-langkah kawalan dan tindakan pengukuhan yang bersesuaian bagi meminimakan risiko yang telah dikenalpasti;
Pelayan, perkhidmatan atau aplikasi mesti dilengkapkan dengan tahap pengoperasian sistem (operating system), aplikasi atau patch keselamatan (security patch) terkini yang disyorkan oleh pengeluar perisian untuk melindungi maklumat PPUM daripada isu keselamatan semasa; dan
PPUM perlu membuat kajian semula terhadap pematuhan pemprosesan maklumat dan prosedur sekurang - kurangnya 2 tahun sekali.

Ketua Pegawai Keselamatan ICT (ICTSO), Pentadbir Sistem ICT

8.10 - PEMADAMAN MAKLUMAT INFORMATION DELETION
Maklumat yang tidak diperlukan tidak boleh disimpan lebih daripada keperluan untuk mengurangkan risiko pendedahan yang tidak diingini seperti dilihat atau diserahkan kepada individu dan organisasi yang tidak diberi kuasa untuk mengaksesnya. Perkara yang perlu dipatuhi adalah seperti berikut : Hanya pegawai yang bertanggungjawab dibenarkan untuk melaksanakan proses pemadaman data; Pemadaman data yang disimpan di dalam mesin atau peralatan adalah tertakluk kepada garis panduan Jabatan yang terlibat; Data dalam peralatan yang dihantar keluar untuk penyelenggaraan atau pembaikan perlu dikawal mengikut prosedur Jabatan yang bertanggungjawab; Maklumat yang disimpan di dalam sistem maklumat, perkakasan atau di dalam mana-mana media mesti dipadamkan apabila tidak digunakan lagi; Memilih kaedah yang sesuai yang menepati undang-undang atau peraturan yang telah ditetapkan. Teknik pemadaman termasuk pemadaman standard, penulis ganti (overwriting) atau pemadaman yang dienkripkan (encrypted deletion); Merekodkan keputusan pemadaman maklumat sebagai bukti yang mungkin akan dirujuk di masa hadapan; Mempertimbangkan untuk menggunakan aplikasi utiliti pemadaman khusus untuk meminimumkan risiko; Memastikan hanya pihak luaran yang diperakui pakar sahaja sekiranya wujud keperluan menggunakan khidmat pemadaman; Pihak luaran perlu memberikan bukti pemadaman telah dilakukan dalam bentuk dokumen kepada PPUM; dan Menetapkan keperluan secara terperinci termasuk kaedah pemadaman dan skala masa serta memastikan aktiviti pemadaman dilindungi di bawah mana-mana kontrak atau perjanjian.	Ketua Pegawai Keselamatan ICT (ICTSO), Pentadbir Sistem ICT

8.10 - PEMADAMAN MAKLUMAT
INFORMATION DELETION

Maklumat yang tidak diperlukan tidak boleh disimpan lebih daripada keperluan untuk mengurangkan risiko pendedahan yang tidak diingini seperti dilihat atau diserahkan kepada individu dan organisasi yang tidak diberi kuasa untuk mengaksesnya.

Perkara yang perlu dipatuhi adalah seperti berikut :

Hanya pegawai yang bertanggungjawab dibenarkan untuk melaksanakan proses pemadaman data;
Pemadaman data yang disimpan di dalam mesin atau peralatan adalah tertakluk kepada garis panduan Jabatan yang terlibat;
Data dalam peralatan yang dihantar keluar untuk penyelenggaraan atau pembaikan perlu dikawal mengikut prosedur Jabatan yang bertanggungjawab;
Maklumat yang disimpan di dalam sistem maklumat, perkakasan atau di dalam mana-mana media mesti dipadamkan apabila tidak digunakan lagi;
Memilih kaedah yang sesuai yang menepati undang-undang atau peraturan yang telah ditetapkan. Teknik pemadaman termasuk pemadaman standard, penulis ganti (overwriting) atau pemadaman yang dienkripkan (encrypted deletion);
Merekodkan keputusan pemadaman maklumat sebagai bukti yang mungkin akan dirujuk di masa hadapan;
Mempertimbangkan untuk menggunakan aplikasi utiliti pemadaman khusus untuk meminimumkan risiko;
Memastikan hanya pihak luaran yang diperakui pakar sahaja sekiranya wujud keperluan menggunakan khidmat pemadaman;
Pihak luaran perlu memberikan bukti pemadaman telah dilakukan dalam bentuk dokumen kepada PPUM; dan
Menetapkan keperluan secara terperinci termasuk kaedah pemadaman dan skala masa serta memastikan aktiviti pemadaman dilindungi di bawah mana-mana kontrak atau perjanjian.

Ketua Pegawai Keselamatan ICT (ICTSO), Pentadbir Sistem ICT

8.11 - DATA MASKING DATA MASKING
Data masking digunakan untuk melindungi data sensitif terutamanya yang melibatkan maklumat pengenalan peribadi (Personal Idenfifiable Information - PII) termasuk data yang digunakan untuk penyelidikan, tesis dan pembelajaran. Perkara yang perlu dipatuhi adalah seperti berikut : Menggunakan teknik utama seperti nama samaran (pseudonymisation) dan / atau tanpa nama (anonymization); Melaksanakan teknik penyamaran yang hanya mendedahkan data minimum kepada pengguna; Hanya membenarkan staf tertentu untuk mengakses maklumat yang berkaitan sahaja; dan Algorithma yang digunakan untuk de-mask data disimpan dengan selamat.	Ketua Pegawai Keselamatan ICT (ICTSO), Pentadbir Sistem ICT

8.11 - DATA MASKING
DATA MASKING

Data masking digunakan untuk melindungi data sensitif terutamanya yang melibatkan maklumat pengenalan peribadi (Personal Idenfifiable Information - PII) termasuk data yang digunakan untuk penyelidikan, tesis dan pembelajaran.

Perkara yang perlu dipatuhi adalah seperti berikut :

Menggunakan teknik utama seperti nama samaran (pseudonymisation) dan / atau tanpa nama (anonymization);
Melaksanakan teknik penyamaran yang hanya mendedahkan data minimum kepada pengguna;
Hanya membenarkan staf tertentu untuk mengakses maklumat yang berkaitan sahaja; dan
Algorithma yang digunakan untuk de-mask data disimpan dengan selamat.

Ketua Pegawai Keselamatan ICT (ICTSO), Pentadbir Sistem ICT

8.12 - PENCEGAHAN KEBOCORAN DATA DATA LEAKAGE PREVENTION
Pencegahan kebocoran data perlu dilakukan bagi memastikan data sensitif tidak hilang, disalahgunakan atau diakses oleh pengguna yang tidak dibenarkan. Ia perlu dilaksanakan untuk meningkatkan keyakinan dalam pengurusan organisasi dengan menetapkan langkah-langkah keselamatan untuk melindungi maklumat elektronik yang disengajakan atau tidak. Perkara yang perlu dipatuhi adalah seperti berikut : Mengenalpasti risiko dalam kaedah pemindahan data; Memantau dengan teliti saluran data yang banyak digunakan dan terdedah kepada kebocoran seperti emel, pemindahan fail dalaman dan luaran dan peranti USB; Tidak menggunakan storan peribadi untuk tujuan rasmi; Mengkategorikan data yang bersifat sensitif; Mengelakkan kebocoran data dengan mengawal akses kepada fail dan teknik autentikasi yang baik; Menghadkan keupayaan pengguna untuk menyalin (copy) dan menampal (paste) data ke dalam platform dan sistem; Memohon kebenaran pemilik data sebelum sebarang eksport data dijalankan; Pengguna dilarang daripada mengambil tangkapan skrin atau mengambil gambar monitor yang memaparkan data yang dilindungi; Melakukan enkripsi kepada data sandaran (backup) yang mengandungi maklumat sensitif; dan Merangka langkah pencegahan kebocoran yang melindungi dari risiko luaran seperti (tidak terhad kepada) pengintipan industri, sabotaj, gangguan komersil dan / atau kecurian IP.	Ketua Pegawai Keselamatan ICT (ICTSO), Pentadbir Sistem ICT

8.12 - PENCEGAHAN KEBOCORAN DATA
DATA LEAKAGE PREVENTION

Pencegahan kebocoran data perlu dilakukan bagi memastikan data sensitif tidak hilang, disalahgunakan atau diakses oleh pengguna yang tidak dibenarkan. Ia perlu dilaksanakan untuk meningkatkan keyakinan dalam pengurusan organisasi dengan menetapkan langkah-langkah keselamatan untuk melindungi maklumat elektronik yang disengajakan atau tidak.

Perkara yang perlu dipatuhi adalah seperti berikut :

Mengenalpasti risiko dalam kaedah pemindahan data;
Memantau dengan teliti saluran data yang banyak digunakan dan terdedah kepada kebocoran seperti emel, pemindahan fail dalaman dan luaran dan peranti USB;
Tidak menggunakan storan peribadi untuk tujuan rasmi;
Mengkategorikan data yang bersifat sensitif;
Mengelakkan kebocoran data dengan mengawal akses kepada fail dan teknik autentikasi yang baik;
Menghadkan keupayaan pengguna untuk menyalin (copy) dan menampal (paste) data ke dalam platform dan sistem;
Memohon kebenaran pemilik data sebelum sebarang eksport data dijalankan;
Pengguna dilarang daripada mengambil tangkapan skrin atau mengambil gambar monitor yang memaparkan data yang dilindungi;
Melakukan enkripsi kepada data sandaran (backup) yang mengandungi maklumat sensitif; dan
Merangka langkah pencegahan kebocoran yang melindungi dari risiko luaran seperti (tidak terhad kepada) pengintipan industri, sabotaj, gangguan komersil dan / atau kecurian IP.

Ketua Pegawai Keselamatan ICT (ICTSO), Pentadbir Sistem ICT

8.13 - MAKLUMAT PENDUA INFORMATION BACKUP
Bagi memastikan sistem dapat dibangunkan semula setelah berlakunya bencana, pendua hendaklah dilakukan setiap kali konfigurasi berubah. Perkara yang perlu dipatuhi adalah seperti berikut: Membuat salinan kongfigurasi ke atas semua sistem perisian dan aplikasi sekurang-kurangnya sekali atau setelah mendapat versi terbaru. Pendua disimpan sekurang-kurangnya dalam masa 7 hari mengikut konsep FIFO (first in first out) berdasarkan kapasiti ruang storan; Membuat pendua ke atas semua data dan maklumat mengikut keperluan operasi; Pendua dilaksanakan secara harian bergantung pada tahap kritikal maklumat dan hendaklah disimpan dalam tempoh 1 tahun; Menguji operasi pendua dan restore sekurang-kurangnya sekali setahun; dan Merekod dan menyimpan salinan pendua di luar premis atau agensi (off-site) dan selamat.	Ketua Pegawai Keselamatan ICT (ICTSO), Pentadbir Sistem ICT

8.13 - MAKLUMAT PENDUA
INFORMATION BACKUP

Bagi memastikan sistem dapat dibangunkan semula setelah berlakunya bencana, pendua hendaklah dilakukan setiap kali konfigurasi berubah.

Perkara yang perlu dipatuhi adalah seperti berikut:

Membuat salinan kongfigurasi ke atas semua sistem perisian dan aplikasi sekurang-kurangnya sekali atau setelah mendapat versi terbaru. Pendua disimpan sekurang-kurangnya dalam masa 7 hari mengikut konsep FIFO (first in first out) berdasarkan kapasiti ruang storan;
Membuat pendua ke atas semua data dan maklumat mengikut keperluan operasi;
Pendua dilaksanakan secara harian bergantung pada tahap kritikal maklumat dan hendaklah disimpan dalam tempoh 1 tahun;
Menguji operasi pendua dan restore sekurang-kurangnya sekali setahun; dan
Merekod dan menyimpan salinan pendua di luar premis atau agensi (off-site) dan selamat.

Ketua Pegawai Keselamatan ICT (ICTSO), Pentadbir Sistem ICT

8.14 - REDUNDANCY BAGI KEMUDAHAN PEMPROSESAN MAKLUMAT REDUNDANCY OF INFORMATION PROCESSING FACILITIES
Semua sistem aplikasi, perkakasan yang kritikal dan perkhidmatan sokongan utiliti perlu mempunyai redundancy yang memenuhi keperluan ketersediaan. Reduncancy perlu diuji (failover test) keberkesanannya dari semasa ke semasa.	Ketua Pegawai Keselamatan ICT (ICTSO), Pentadbir ICT

8.15 - LOGGING LOGGING
Memastikan setiap peralatan ICT menyimpan log bagi merekod aktiviti pengguna, exceptions, faults dan log keselamatan maklumat. Log ini hendaklah dijana, disimpan dan disemak secara berkala. Perkara yang perlu dipatuhi adalah seperti berikut : Semua sistem aplikasi, perkakasan dan utility mestilah mengaktifkan audit log; Audit log perlu disimpan untuk tempoh masa yang ditetapkan sebelum dilupuskan bagi membantu siasatan dan memantau kawalan capaian; Mengandungi ID pengguna, sumber yang digunakan, perubahan maklumat, tarikh dan masa aktiviti rangkaian dan aplikasi yang digunakan; Capaian ke atas log fail pelayan hanya kepada pengguna yang dibenarkan sahaja; Menyemak sistem log secara berkala bagi mengesan ralat yang menyebabkan gangguan kepada sistem dan mengambil tindakan membaik pulih dengan segera; Merekodkan setiap aktiviti transaksi secara berpusat atau tertakluk kepada keperluan; Memastikan masa (time stamp) dalam sistem yang diselaraskan dengan pelayan NTP (Network Time Protocol); Mengenalpasti aktiviti sistem yang tidak normal; Memastikan log fail tidak boleh diubah; dan Aktiviti Pentadbir Sistem ICT dan pengguna mesti dilogkan. Sekiranya wujud aktiviti-aktiviti lain yang tidak sah seperti kecurian maklumat dan pencerobohan, ianya hendaklah dilaporkan kepada ICTSO dan CIO.	Ketua Pegawai Keselamatan ICT (ICTSO), Pentadbir ICT

8.15 - LOGGING
LOGGING

Memastikan setiap peralatan ICT menyimpan log bagi merekod aktiviti pengguna, exceptions, faults dan log keselamatan maklumat. Log ini hendaklah dijana, disimpan dan disemak secara berkala.

Perkara yang perlu dipatuhi adalah seperti berikut :

Semua sistem aplikasi, perkakasan dan utility mestilah mengaktifkan audit log;
Audit log perlu disimpan untuk tempoh masa yang ditetapkan sebelum dilupuskan bagi membantu siasatan dan memantau kawalan capaian;
Mengandungi ID pengguna, sumber yang digunakan, perubahan maklumat, tarikh dan masa aktiviti rangkaian dan aplikasi yang digunakan;
Capaian ke atas log fail pelayan hanya kepada pengguna yang dibenarkan sahaja;
Menyemak sistem log secara berkala bagi mengesan ralat yang menyebabkan gangguan kepada sistem dan mengambil tindakan membaik pulih dengan segera;
Merekodkan setiap aktiviti transaksi secara berpusat atau tertakluk kepada keperluan;
Memastikan masa (time stamp) dalam sistem yang diselaraskan dengan pelayan NTP (Network Time Protocol);
Mengenalpasti aktiviti sistem yang tidak normal;
Memastikan log fail tidak boleh diubah; dan
Aktiviti Pentadbir Sistem ICT dan pengguna mesti dilogkan. Sekiranya wujud aktiviti-aktiviti lain yang tidak sah seperti kecurian maklumat dan pencerobohan, ianya hendaklah dilaporkan kepada ICTSO dan CIO.

Ketua Pegawai Keselamatan ICT (ICTSO), Pentadbir ICT

8.16 - PEMANTAUAN AKTIVITI MONITORING ACTIVITIES
Pemantauan perlu dilakukan secara optimum untuk mencegah insiden sebelum berlaku. Events yang disyaki harus dilaporkan kepada staf yang bertanggungjawab untuk mengekalkan integriti rangkaian dan meningkatkan kesinambungan perkhidmatan mengikut proses yang berikut : Pengauditan; Keselamatan dan penilaian risiko; Pengimbasan kerentanan (vulnerability); dan Pemantauan. Aktiviti pemantuan perlu merangkumi perkara berikut : Trafik keluar masuk rangkaian daripada dan kepada aplikasi; Akses kepada aplikasi kritikal; Fail kongfigurasi; Event logs daripada peralatan keselamatan dan perisian; Semakan kod yang memastikan executable programs yang dibenarkan; dan Penggunaan sumber ICT dan utiliti sokongan kepada ICT.	Ketua Pegawai Keselamatan ICT (ICTSO), Pentadbir ICT

8.16 - PEMANTAUAN AKTIVITI
MONITORING ACTIVITIES

Pemantauan perlu dilakukan secara optimum untuk mencegah insiden sebelum berlaku.

Events yang disyaki harus dilaporkan kepada staf yang bertanggungjawab untuk mengekalkan integriti rangkaian dan meningkatkan kesinambungan perkhidmatan mengikut proses yang berikut :

Pengauditan;
Keselamatan dan penilaian risiko;
Pengimbasan kerentanan (vulnerability); dan
Pemantauan.

Aktiviti pemantuan perlu merangkumi perkara berikut :

Trafik keluar masuk rangkaian daripada dan kepada aplikasi;
Akses kepada aplikasi kritikal;
Fail kongfigurasi;
Event logs daripada peralatan keselamatan dan perisian;
Semakan kod yang memastikan executable programs yang dibenarkan; dan
Penggunaan sumber ICT dan utiliti sokongan kepada ICT.

Ketua Pegawai Keselamatan ICT (ICTSO), Pentadbir ICT

8.17 - PENYERAGAMAN WAKTU CLOCK SYNCHRONISATION
Waktu bagi semua peralatan pemprosessan maklumat di PPUM atau di domain keselamatan perlu diselaraskan dengan sumber waktu yang ditetapkan (pelayan NTP - Network Time Protocol).	Ketua Pegawai Keselamatan ICT (ICTSO), Pentadbir Sistem ICT

8.18 - PENGGUNAAN PROGRAM UTILITI USE OF PRIVILEGED UTILITY PROGRAMS
Penggunaan program utiliti perlu dikawal dan mematuhi perkara berikut : Hanya program atau perisian khas utiliti yang selamat sahaja digunakan; dan Pengunaan program atau perisian khas utiliti yang membebankan kapasiti rangkaian (bandwidth) perlu dihadkan dan dikawal.	Ketua Pegawai Keselamatan ICT (ICTSO), Pentadbir Sistem ICT

8.18 - PENGGUNAAN PROGRAM UTILITI
USE OF PRIVILEGED UTILITY PROGRAMS

Penggunaan program utiliti perlu dikawal dan mematuhi perkara berikut :

Hanya program atau perisian khas utiliti yang selamat sahaja digunakan; dan
Pengunaan program atau perisian khas utiliti yang membebankan kapasiti rangkaian (bandwidth) perlu dihadkan dan dikawal.

Ketua Pegawai Keselamatan ICT (ICTSO), Pentadbir Sistem ICT

8.19 - INSTALASI PERISIAN PADA SISTEM OPERASI INSTALLATION OF SOFTWARE ON OPERATIONAL SYSTEMS
Memastikan pelaksanaan kawalan ke atas instalasi perisian pada sistem operasi. Perkara yang perlu dipatuhi adalah seperti berikut: Pengemaskinian perisian operasi, aplikasi dan program libraries hanya boleh dilakukan oleh Pentadbir ICT setelah mendapat kelulusan Ketua Pegawai Keselamatan ICT (ICTSO); Hanya perisian yang diperakui sahaja dibenarkan bagi kegunaan pengguna di PPUM; Memasang dan menggunakan hanya perisian yang tulen dan mempunyai lesen yang sah; Penggunaan aplikasi dan sistem operasi hanya boleh dilaksanakan selepas ujian yang terperinci dan diperakui berjaya; Setiap konfigurasi ke atas sistem perlu dikawal dan didokumenkan; Mengekalkan audit log untuk semua kemaskini kepada perisian operasi; dan Satu rollback strategy harus diadakan sebelum perubahan dilaksanakan.	Ketua Pegawai Keselamatan ICT (ICTSO), Pentadbir Sistem ICT

8.19 - INSTALASI PERISIAN PADA SISTEM OPERASI
INSTALLATION OF SOFTWARE ON OPERATIONAL SYSTEMS

Memastikan pelaksanaan kawalan ke atas instalasi perisian pada sistem operasi. Perkara yang perlu dipatuhi adalah seperti berikut:

Pengemaskinian perisian operasi, aplikasi dan program libraries hanya boleh dilakukan oleh Pentadbir ICT setelah mendapat kelulusan Ketua Pegawai Keselamatan ICT (ICTSO);
Hanya perisian yang diperakui sahaja dibenarkan bagi kegunaan pengguna di PPUM;
Memasang dan menggunakan hanya perisian yang tulen dan mempunyai lesen yang sah;
Penggunaan aplikasi dan sistem operasi hanya boleh dilaksanakan selepas ujian yang terperinci dan diperakui berjaya;
Setiap konfigurasi ke atas sistem perlu dikawal dan didokumenkan;
Mengekalkan audit log untuk semua kemaskini kepada perisian operasi; dan
Satu rollback strategy harus diadakan sebelum perubahan dilaksanakan.

Ketua Pegawai Keselamatan ICT (ICTSO), Pentadbir Sistem ICT

8.20 - KESELAMATAN RANGKAIAN NETWORK SECURITY
Infrastruktur rangkaian perlu dikawal dan diuruskan sebaik mungkin demi melindungi ancaman kepada sistem dan aplikasi dalam rangkaian. Perkara yang perlu dipatuhi adalah seperti berikut: Bertanggungjawab dalam memastikan kerja-kerja operasi rangkaian dilindungi daripada pengubahsuaian yang tidak dibenarkan; Peralatan rangkaian hendaklah ditempatkan di lokasi yang mempunyai ciri-ciri fizikal yang selamat dan bebas dari risiko seperti banjir, gegaran dan habuk; Semua peralatan rangkaian perlu dikonfigurasikan dengan ketetapan keselamatan; Capaian kepada peralatan rangkaian hendaklah dikawal dan dihadkan kepada pengguna yang dibenarkan sahaja; Semua peralatan rangkaian hendaklah melalui proses User Acceptance Test (UAT) semasa pemasangan dan konfigurasi; Firewall hendaklah dipasang, dikonfigurasi dan diselia oleh staf yang bertanggungjawab; Memasang perisian Intrusion Prevention System (IPS) atau Intrusion Detection System (IDS) bagi mencegah sebarang cubaan pencerocohan dan aktiviti yang boleh mengancam data dan maklumat; Memasang Web Content Filtering pada Internet Gateway untuk menyekat aktiviti yang dilarang mengikut polisi yang ditetapkan; Menyahaktifkan semua protokol rangkaian yang terdedah kepada risiko keterdedahan dan sebarang pengecualian polisi memerlukan kebenaran Ketua Pegawai Keselamatan ICT Kemudahan bagi wireless LAN hendaklah dipantau dan dikawal penggunaannya; Menempatkan atau memasang antara muka (interfaces) yang bersesuaian di antara rangkaian PPUM, rangkaian agensi lain dan rangkaian awam; Memantau dan menguatkuasakan kawalan capaian pengguna terhadap perkhidmatan rangkaian ICT yang dibenarkan sahaja; Mengawal capaian fizikal dan logikal ke atas kemudahan port diagnostik dan konfigurasi secara remote; dan Capaian jarak jauh (remote) bagi capaian aplikasi dalaman dari luar rangkaian perlu mendapatkan kebenaran Ketua Pegawai Keselamatan Teknologi Maklumat (ICTSO) dan dikawal atau dipantau.	Ketua Pegawai Keselamatan ICT (ICTSO), Pentadbir Sistem Rangkaian, Staf PPUM

8.20 - KESELAMATAN RANGKAIAN
NETWORK SECURITY

Infrastruktur rangkaian perlu dikawal dan diuruskan sebaik mungkin demi melindungi ancaman kepada sistem dan aplikasi dalam rangkaian.

Perkara yang perlu dipatuhi adalah seperti berikut:

Bertanggungjawab dalam memastikan kerja-kerja operasi rangkaian dilindungi daripada pengubahsuaian yang tidak dibenarkan;
Peralatan rangkaian hendaklah ditempatkan di lokasi yang mempunyai ciri-ciri fizikal yang selamat dan bebas dari risiko seperti banjir, gegaran dan habuk;
Semua peralatan rangkaian perlu dikonfigurasikan dengan ketetapan keselamatan;
Capaian kepada peralatan rangkaian hendaklah dikawal dan dihadkan kepada pengguna yang dibenarkan sahaja;
Semua peralatan rangkaian hendaklah melalui proses User Acceptance Test (UAT) semasa pemasangan dan konfigurasi;
Firewall hendaklah dipasang, dikonfigurasi dan diselia oleh staf yang bertanggungjawab;
Memasang perisian Intrusion Prevention System (IPS) atau Intrusion Detection System (IDS) bagi mencegah sebarang cubaan pencerocohan dan aktiviti yang boleh mengancam data dan maklumat;
Memasang Web Content Filtering pada Internet Gateway untuk menyekat aktiviti yang dilarang mengikut polisi yang ditetapkan;
Menyahaktifkan semua protokol rangkaian yang terdedah kepada risiko keterdedahan dan sebarang pengecualian polisi memerlukan kebenaran Ketua Pegawai Keselamatan ICT
Kemudahan bagi wireless LAN hendaklah dipantau dan dikawal penggunaannya;
Menempatkan atau memasang antara muka (interfaces) yang bersesuaian di antara rangkaian PPUM, rangkaian agensi lain dan rangkaian awam;
Memantau dan menguatkuasakan kawalan capaian pengguna terhadap perkhidmatan rangkaian ICT yang dibenarkan sahaja;
Mengawal capaian fizikal dan logikal ke atas kemudahan port diagnostik dan konfigurasi secara remote; dan
Capaian jarak jauh (remote) bagi capaian aplikasi dalaman dari luar rangkaian perlu mendapatkan kebenaran Ketua Pegawai Keselamatan Teknologi Maklumat (ICTSO) dan dikawal atau dipantau.

Ketua Pegawai Keselamatan ICT (ICTSO), Pentadbir Sistem Rangkaian, Staf PPUM

8.21 - KESELAMATAN PERKHIDMATAN RANGKAIAN SECURITY OF NETWORK SERVICES
Pengurusan bagi semua perkhidmatan rangkaian (inhouse atau outsource) yang merangkumi mekanisme keselamatan dan tahap perkhidmatan hendaklah dikenalpasti dan dimasukkan di dalam perjanjian perkhidmatan rangkaian. Perkara yang perlu dipatuhi adalah seperti berikut: Pengguna dilarang untuk memuat turun dan instalasi aplikasi perisian berbahaya bagi mengelakkan gangguan sistem rangkaian dan serangan siber; Pengguna dilarang melayari laman web yang tidak berkaitan dengan tugas rasmi, bermain permainan atas talian (online game) dan menjalankan aktiviti perniagaan jual atau beli dengan menggunakan kemudahan rangkaian dan internet PPUM; Pengguna dilarang melayari, menyimpan atau mengedar bahan-bahan lucah, berunsur fitnah dan propaganda anti Kerajaan; Semua trafik keluar dan masuk rangkaian hendaklah melalui firewall di bawah kawalan PPUM; Sebarang penyambungan rangkaian yang bukan di bawah kawalan PPUM adalah tidak dibenarkan; Semua pengguna hanya dibenarkan menggunakan rangkaian sedia ada di PPUM sahaja dan penggunaan modem persendirian yang bersambung dengan rangkaian PPUM adalah dilarang sama sekali; Semua perjanjian perkhidmatan rangkaian hendaklah mematuhi Service Level Assurance (SLA) yang telah ditetapkan; Mewujudkan dan menguatkuasakan mekanisme untuk pengesahan pengguna dan peralatan yang menepati kesesuaian penggunaannya; Mengawal sambungan ke rangkaian khususnya bagi kemudahan yang dikongsi dan menjangkau sempadan PPUM; Mewujud dan melaksana kawalan pengalihan laluan (routing control) bagi memastikan pematuhan terhadap polisi ICT PPUM; dan Penggunaan perkhidmatan rangkaian perlu dipantau.

8.21 - KESELAMATAN PERKHIDMATAN RANGKAIAN
SECURITY OF NETWORK SERVICES

Pengurusan bagi semua perkhidmatan rangkaian (inhouse atau outsource) yang merangkumi mekanisme keselamatan dan tahap perkhidmatan hendaklah dikenalpasti dan dimasukkan di dalam perjanjian perkhidmatan rangkaian.

Perkara yang perlu dipatuhi adalah seperti berikut:

Pengguna dilarang untuk memuat turun dan instalasi aplikasi perisian berbahaya bagi mengelakkan gangguan sistem rangkaian dan serangan siber;
Pengguna dilarang melayari laman web yang tidak berkaitan dengan tugas rasmi, bermain permainan atas talian (online game) dan menjalankan aktiviti perniagaan jual atau beli dengan menggunakan kemudahan rangkaian dan internet PPUM;
Pengguna dilarang melayari, menyimpan atau mengedar bahan-bahan lucah, berunsur fitnah dan propaganda anti Kerajaan;
Semua trafik keluar dan masuk rangkaian hendaklah melalui firewall di bawah kawalan PPUM;
Sebarang penyambungan rangkaian yang bukan di bawah kawalan PPUM adalah tidak dibenarkan;
Semua pengguna hanya dibenarkan menggunakan rangkaian sedia ada di PPUM sahaja dan penggunaan modem persendirian yang bersambung dengan rangkaian PPUM adalah dilarang sama sekali;
Semua perjanjian perkhidmatan rangkaian hendaklah mematuhi Service Level Assurance (SLA) yang telah ditetapkan;
Mewujudkan dan menguatkuasakan mekanisme untuk pengesahan pengguna dan peralatan yang menepati kesesuaian penggunaannya;
Mengawal sambungan ke rangkaian khususnya bagi kemudahan yang dikongsi dan menjangkau sempadan PPUM;
Mewujud dan melaksana kawalan pengalihan laluan (routing control) bagi memastikan pematuhan terhadap polisi ICT PPUM; dan
Penggunaan perkhidmatan rangkaian perlu dipantau.

8.22 - PENGASINGAN RANGKAIAN SEGREGATION OF NETWORKS
Pengasingan rangkaian hendaklah dibuat untuk membezakan kumpulan pengguna dan sistem maklumat mengikut segmen rangkaian PPUM.	Ketua Pegawai Keselamatan ICT (ICTSO), Pentadbir Sistem ICT

8.23 - PENAPISAN WEB WEB FILTERING
Kawalan bagi menghapuskan risiko keselamatan daripada jangkitan perisian malware yang mungkin berpunca dari akses kepada laman web luaran yang mengandungi kandungan berniat jahat (malicious content) Perkara yang perlu dipatuhi adalah seperti berikut : Mengawal akses kepada sumber web; Menyekat akses kepada lawan web yang tidak sesuai atau tidak mempunyai kaitan dengan persekitaran perkhidmatan; Menentukan hak akses pengguna yang emasuki rangkaian mengikut kategori dana tau tempoh masa; Mengawal pemberian dan pembatalan akses internet; Menjejaki aktiviti penggunaan internet pengguna; Pengecualian atas kepentingan perkhidmatan bagi akses laman web yang disekat perlu mendapat kelulusan Ketua Pegawai Keselamatan ICT (ICTSO) dan direkodkan; dan Menyemak dan mengesyorkan perubahan pada peraturan penapisan web dan protokol sekurang-kurangnya sekali setahun.	Ketua Pegawai Keselamatan ICT (ICTSO) , Pentadbir Sistem ICT

8.23 - PENAPISAN WEB
WEB FILTERING

Kawalan bagi menghapuskan risiko keselamatan daripada jangkitan perisian malware yang mungkin berpunca dari akses kepada laman web luaran yang mengandungi kandungan berniat jahat (malicious content)

Perkara yang perlu dipatuhi adalah seperti berikut :

Mengawal akses kepada sumber web;
Menyekat akses kepada lawan web yang tidak sesuai atau tidak mempunyai kaitan dengan persekitaran perkhidmatan;
Menentukan hak akses pengguna yang emasuki rangkaian mengikut kategori dana tau tempoh masa;
Mengawal pemberian dan pembatalan akses internet;
Menjejaki aktiviti penggunaan internet pengguna;
Pengecualian atas kepentingan perkhidmatan bagi akses laman web yang disekat perlu mendapat kelulusan Ketua Pegawai Keselamatan ICT (ICTSO) dan direkodkan; dan
Menyemak dan mengesyorkan perubahan pada peraturan penapisan web dan protokol sekurang-kurangnya sekali setahun.

Ketua Pegawai Keselamatan ICT (ICTSO) , Pentadbir Sistem ICT

8.24 - PENGGUNAAN KRIPTO USE OF CRYPTOGRAPHY
Melindungi kerahsiaan, integriti dan kesahihan maklumat yang merangkumi data di dalam sistem rangkaian, sistem aplikasi dan pangkalan data. Perkara yang perlu dipatuhi adalah seperti berikut: Enkripsi mestilah dilindungi dengan menggunakan cara kawalan yang terbaik dan hendaklah dirahsiakan; Enkripsi mestilah dilindungi daripada pengubahsuaian, pemusnahan dan sebaran tanpa kebenaran sepanjang kitaran hayat kunci tersebut; dan Penggunaan kriptografi hendaklah dikawal selaras dengan keperluan perjanjian, perundangan dan peraturan yang berkuatkuasa. penggunaan kriptografi dilaksanakan dengan mematuhi perkara seperti berikut: Melaksanakan peraturan enkripsi untuk melindungi maklumat rahsia rasmi atau sensitif menggunakan kaedah kriptografi yang sesuai; Mengenal pasti tahap perlindungan penggunaan kriptografi dengan mengambil kira jenis, kekuatan dan kualiti algoritma yang diperlukan; dan Menggunakan kriptografi ke atas maklumat sensitif atau maklumat rahsia rasmi pada setiap masa.	Ketua Pegawai Keselamatan ICT (ICTSO), Pentadbir Sistem ICT

8.24 - PENGGUNAAN KRIPTO
USE OF CRYPTOGRAPHY

Melindungi kerahsiaan, integriti dan kesahihan maklumat yang merangkumi data di dalam sistem rangkaian, sistem aplikasi dan pangkalan data.

Perkara yang perlu dipatuhi adalah seperti berikut:

Enkripsi mestilah dilindungi dengan menggunakan cara kawalan yang terbaik dan hendaklah dirahsiakan;
Enkripsi mestilah dilindungi daripada pengubahsuaian, pemusnahan dan sebaran tanpa kebenaran sepanjang kitaran hayat kunci tersebut; dan
Penggunaan kriptografi hendaklah dikawal selaras dengan keperluan perjanjian, perundangan dan peraturan yang berkuatkuasa. penggunaan kriptografi dilaksanakan dengan mematuhi perkara seperti berikut:
1. Melaksanakan peraturan enkripsi untuk melindungi maklumat rahsia rasmi atau sensitif menggunakan kaedah kriptografi yang sesuai;
2. Mengenal pasti tahap perlindungan penggunaan kriptografi dengan mengambil kira jenis, kekuatan dan kualiti algoritma yang diperlukan; dan
3. Menggunakan kriptografi ke atas maklumat sensitif atau maklumat rahsia rasmi pada setiap masa.

Ketua Pegawai Keselamatan ICT (ICTSO), Pentadbir Sistem ICT

8.25 - KITARAN HAYAT PEMBANGUNAN SELAMAT SECURE DEVELOPMENT LIFE CYCLE
Persekitaran pembangunan sistem hendaklah selamat bagi melindungi keseluruhan kitaran hayat pembangunan sistem (system development life cycle). Antara perkara yang perlu diberi perhatian adalah seperti berikut: Keperluan keselamatan maklumat semasa persekitaran kitaran hayat pembangunan; Panduan keselamatan dalam kitar hayat pembangunan sistem maklumat; Keselamatan maklumat dalam fasa reka bentuk; Pemeriksaan keselamatan dalam perkembangan projek; Keselamatan repositori atau ruang storan; Keselamatan dalam kawalan versi; Keperluan pengetahuan keselamatan dalam pembangunan sistem aplikasi; Kebolehan mengenal pasti kelemahan dan mencadangkan penambahbaikan dalam pembangunan sistem aplikasi; Memastikan persekitaran pembangunan sistem yang berbeza diasingkan dan mewujudkan mekanisme kawalan; Capaian ke persekitaran pembangunan ini hanya kepada staf yang dibenarkan sahaja; dan Memastikan pembangunan sistem menggunakan mekanisme yang selamat dalam perpindahan data atau maklumat.	Ketua Pegawai Keselamatan ICT (ICTSO), Pentadbir Sistem ICT

8.25 - KITARAN HAYAT PEMBANGUNAN SELAMAT
SECURE DEVELOPMENT LIFE CYCLE

Persekitaran pembangunan sistem hendaklah selamat bagi melindungi keseluruhan kitaran hayat pembangunan sistem (system development life cycle).

Antara perkara yang perlu diberi perhatian adalah seperti berikut:

Keperluan keselamatan maklumat semasa persekitaran kitaran hayat pembangunan;
Panduan keselamatan dalam kitar hayat pembangunan sistem maklumat;
Keselamatan maklumat dalam fasa reka bentuk;
Pemeriksaan keselamatan dalam perkembangan projek;
Keselamatan repositori atau ruang storan;
Keselamatan dalam kawalan versi;
Keperluan pengetahuan keselamatan dalam pembangunan sistem aplikasi;
Kebolehan mengenal pasti kelemahan dan mencadangkan penambahbaikan dalam pembangunan sistem aplikasi;
Memastikan persekitaran pembangunan sistem yang berbeza diasingkan dan mewujudkan mekanisme kawalan;
Capaian ke persekitaran pembangunan ini hanya kepada staf yang dibenarkan sahaja; dan
Memastikan pembangunan sistem menggunakan mekanisme yang selamat dalam perpindahan data atau maklumat.

Ketua Pegawai Keselamatan ICT (ICTSO), Pentadbir Sistem ICT

8.26 - KEPERLUAN KESELAMATAN APLIKASI APPLICATION SECURITY REQUIREMENTS
Maklumat aplikasi yang melalui rangkaian umum (public networks) hendaklah dilindungi daripada aktiviti penipuan dan pendedahan maklumat yang tidak dibenarkan. Perkara yang perlu dipertimbangkan adalah seperti berikut: Tahap kerahsiaan bagi mengenal pasti identiti masing-masing, misalnya melalui pengesahan; Maklumat sensitif tidak boleh dipaparkan pada halaman ralat seperti stack traces, kedudukan pangkalan data, kod ralat yang membolehkan penjejakan jujukan fungsi nested oleh pihak luar; dan Maklumat yang terlibat dalam perkhidmatan transaksi hendaklah dilindungi daripada penghantaran yang tidak lengkap, mis-routing, pengubahan mesej yang tidak dibenarkan, pendedahan	Ketua Pegawai Keselamatan ICT (ICTSO), Pentadbir Aplikasi

8.26 - KEPERLUAN KESELAMATAN APLIKASI
APPLICATION SECURITY REQUIREMENTS

Maklumat aplikasi yang melalui rangkaian umum (public networks) hendaklah dilindungi daripada aktiviti penipuan dan pendedahan maklumat yang tidak dibenarkan.

Perkara yang perlu dipertimbangkan adalah seperti berikut:

Tahap kerahsiaan bagi mengenal pasti identiti masing-masing, misalnya melalui pengesahan;
Maklumat sensitif tidak boleh dipaparkan pada halaman ralat seperti stack traces, kedudukan pangkalan data, kod ralat yang membolehkan penjejakan jujukan fungsi nested oleh pihak luar; dan
Maklumat yang terlibat dalam perkhidmatan transaksi hendaklah dilindungi daripada penghantaran yang tidak lengkap, mis-routing, pengubahan mesej yang tidak dibenarkan, pendedahan

Ketua Pegawai Keselamatan ICT (ICTSO), Pentadbir Aplikasi

8.27 - SENIBINA SISTEM YANG SELAMAT DAN PRINSIP KEJURUTERAAN SECURE SYSTEM ARCHITECTURE AND ENGINEERING PRINCIPLES
Prinsip kejuruteraan yang selamat bagi pembangunan sistem maklumat hendaklah diwujudkan, di dokumentasi, di selenggara dan diguna pakai dalam pelaksanaan sistem. Perkara yang perlu dipatuhi adalah seperti berikut: Memastikan keselamatan seperti ancaman daripada bencana alam dan manusia diambil kira; Perlindungan maklumat dalam pembangunan sistem semasa pemprosesan, perpindahan dan penyimpanan; Melakukan sistem hardening sebelum pelaksanaan sistem; Mengambil kira kriteria di bawah dalam prinsip kejuruteraan pembangunan system seperti berikut: Business layer Berdasarkan tahap pengesahan pengguna; hanya pengguna tertentu boleh melihat data peribadi. Data layer Hanya log masuk dengan kata laluan pangkalan data yang selamat untuk aktiviti penyelenggaraan pangkalan data dibenarkan. Application layer Penggunaan enkripsi untuk penghantaran maklumat. Technology layer Penggunaan perisian sumber terbuka dan infrastruktur rangkaian.	Ketua Pegawai Keselamatan ICT (ICTSO), Pentadbir Sistem ICT

8.27 - SENIBINA SISTEM YANG SELAMAT DAN PRINSIP KEJURUTERAAN
SECURE SYSTEM ARCHITECTURE AND ENGINEERING PRINCIPLES

Prinsip kejuruteraan yang selamat bagi pembangunan sistem maklumat hendaklah diwujudkan, di dokumentasi, di selenggara dan diguna pakai dalam pelaksanaan sistem.

Perkara yang perlu dipatuhi adalah seperti berikut:

Memastikan keselamatan seperti ancaman daripada bencana alam dan manusia diambil kira;
Perlindungan maklumat dalam pembangunan sistem semasa pemprosesan, perpindahan dan penyimpanan;
Melakukan sistem hardening sebelum pelaksanaan sistem;
Mengambil kira kriteria di bawah dalam prinsip kejuruteraan pembangunan system seperti berikut:
1. Business layer
  - Berdasarkan tahap pengesahan pengguna; hanya pengguna tertentu boleh melihat data peribadi.
2. Data layer
  - Hanya log masuk dengan kata laluan pangkalan data yang selamat untuk aktiviti penyelenggaraan pangkalan data dibenarkan.
3. Application layer
  - Penggunaan enkripsi untuk penghantaran maklumat.
4. Technology layer
  - Penggunaan perisian sumber terbuka dan infrastruktur rangkaian.

Ketua Pegawai Keselamatan ICT (ICTSO), Pentadbir Sistem ICT

8.28 - PENGEKODAN SELAMAT SECURE CODING
Prinsip pengekodan selamat mesti dipatuhi supaya sistem maklumat tidak terdedah kepada kelemahan keselamatan yang akan mengakibatkan serangan siber dan menjejaskan aset maklumat sensitif. Perkara yang perlu dipatuhi adalah seperti berikut : Menetapkan keperluan keselamatan semasa peringkat perancangan, semasa pengkodan dan peringkat semakan dan penyelenggaraan; pengekodan selamat digunapakai untuk projek pengekodan baharu, operasi penggunaan semula perisian, aktiviti pembangunan perisian dalaman, pemindahan produk atau perkhidmatan perisian organisasi kepada pihak ketiga; Prinsip pengekodan yang selamat harus disesuaikan dengan setiap bahasa pengaturcaraan teknik yang digunakan; Penggunaan kaedah pengaturcaraan berstruktur; Dokumentasi kod yang betul dan penyingkiran kecacatan kod; Larangan ke atas penggunaan kaedah pengekodan perisian yang tidak selamat seperti sampel kod yang tidak diluluskan atau kata laluan hard-coded; Melaksanakan pengekodan selamat yang digunakan untuk kedua-dua produk perisian yang diperolehi dari pihak luaran dan komponen perisian sumber terbuka (open source); dan Menyemak, menyelenggara dan menggunakan alat pembangunan dengan selamat seperti compilers. Perkara yang perlu dipatuhi setelah kod digunakan dalam persekitaran production adalah seperti berikut: Kemaskini harus dilakukan dengan cara yang selamat; Kerentanan keselamatan yang dilaporkan selaras dengan Kawalan 8.8 harus ditangani; Serangan yang disyaki terhadap sistem maklumat dan ralat hendaklah direkodkan dan rekod perlu disemak secara berkala supaya perubahan yang sesuai kepada kod boleh dilakukan; dan Akses tanpa kebenaran penggunaan atau perubahan kepada kod sumber harus dihalang melalui mekanisme management tools.	Ketua Pegawai Keselamatan ICT (ICTSO), Pentadbir Aplikasi

8.28 - PENGEKODAN SELAMAT
SECURE CODING

Prinsip pengekodan selamat mesti dipatuhi supaya sistem maklumat tidak terdedah kepada kelemahan keselamatan yang akan mengakibatkan serangan siber dan menjejaskan aset maklumat sensitif.

Perkara yang perlu dipatuhi adalah seperti berikut :

Menetapkan keperluan keselamatan semasa peringkat perancangan, semasa pengkodan dan peringkat semakan dan penyelenggaraan;
pengekodan selamat digunapakai untuk projek pengekodan baharu, operasi penggunaan semula perisian, aktiviti pembangunan perisian dalaman, pemindahan produk atau perkhidmatan perisian organisasi kepada pihak ketiga;
Prinsip pengekodan yang selamat harus disesuaikan dengan setiap bahasa pengaturcaraan teknik yang digunakan;
Penggunaan kaedah pengaturcaraan berstruktur;
Dokumentasi kod yang betul dan penyingkiran kecacatan kod;
Larangan ke atas penggunaan kaedah pengekodan perisian yang tidak selamat seperti sampel kod yang tidak diluluskan atau kata laluan hard-coded;
Melaksanakan pengekodan selamat yang digunakan untuk kedua-dua produk perisian yang diperolehi dari pihak luaran dan komponen perisian sumber terbuka (open source); dan
Menyemak, menyelenggara dan menggunakan alat pembangunan dengan selamat seperti compilers.

Perkara yang perlu dipatuhi setelah kod digunakan dalam persekitaran production adalah seperti berikut:

Kemaskini harus dilakukan dengan cara yang selamat;
Kerentanan keselamatan yang dilaporkan selaras dengan Kawalan 8.8 harus ditangani;
Serangan yang disyaki terhadap sistem maklumat dan ralat hendaklah direkodkan dan rekod perlu disemak secara berkala supaya perubahan yang sesuai kepada kod boleh dilakukan; dan
Akses tanpa kebenaran penggunaan atau perubahan kepada kod sumber harus dihalang melalui mekanisme management tools.

Ketua Pegawai Keselamatan ICT (ICTSO), Pentadbir Aplikasi

8.29 - UJIAN KESELAMATAN DALAM PEMBANGUNAN DAN PENERIMAAN SECURITY TESTING IN DEVELOPMENT AND ACCEPTANCE
Aktiviti pengujian keselamatan dan penerimaan sistem hendaklah dilaksanakan atas sistem baharu, naik taraf dan versi baharu berdasarkan kriteria yang telah ditetapkan Pengujian keselamatan sistem hendaklah dijalankan semasa pembangunan; Semua sistem baharu atau penambahbaikan sistem (naik taraf dan versi baharu) hendaklah menjalani ujian keselamatan dan penerimaan sistem; Pengujian harus dilakukan dalam persekitaran pengujian yang realistik untuk memastikan sistem tidak mengandungi kelemahan (vulverabilities) dan ujian tersebut boleh dipercayai (reliable); Pembangunan dan penambahbaikan sistem aplikasi perlu melalui peringkat pengujian User AcceptanceTest (UAT) dan Final Acceptance Test (FAT) sebelum dilaksanakan; Sekiranya pembangunan sistem dilaksanakan secara luaran (outsourced), pengujian keselamatan perlu dilaksanakan oleh pihak ketiga atau pembekal yang dilantik; dan Dokumen penerimaan sistem aplikasi perlu disediakan dan dikemaskini mengikut kawalan versi.	Ketua Pegawai Keselamatan ICT (ICTSO), Pentadbir Sistem ICT, Pentadbir Aplikasi, Staf PPUM

8.29 - UJIAN KESELAMATAN DALAM PEMBANGUNAN DAN PENERIMAAN
SECURITY TESTING IN DEVELOPMENT AND ACCEPTANCE

Aktiviti pengujian keselamatan dan penerimaan sistem hendaklah dilaksanakan atas sistem baharu, naik taraf dan versi baharu berdasarkan kriteria yang telah ditetapkan

Pengujian keselamatan sistem hendaklah dijalankan semasa pembangunan;
Semua sistem baharu atau penambahbaikan sistem (naik taraf dan versi baharu) hendaklah menjalani ujian keselamatan dan penerimaan sistem;
Pengujian harus dilakukan dalam persekitaran pengujian yang realistik untuk memastikan sistem tidak mengandungi kelemahan (vulverabilities) dan ujian tersebut boleh dipercayai (reliable);
Pembangunan dan penambahbaikan sistem aplikasi perlu melalui peringkat pengujian User AcceptanceTest (UAT) dan Final Acceptance Test (FAT) sebelum dilaksanakan;
Sekiranya pembangunan sistem dilaksanakan secara luaran (outsourced), pengujian keselamatan perlu dilaksanakan oleh pihak ketiga atau pembekal yang dilantik; dan
Dokumen penerimaan sistem aplikasi perlu disediakan dan dikemaskini mengikut kawalan versi.

Ketua Pegawai Keselamatan ICT (ICTSO), Pentadbir Sistem ICT, Pentadbir Aplikasi, Staf PPUM

8.30 - PEMBANGUNAN PERISIAN OLEH PIHAK LUARAN OUTSOURCED DEVELOPMENT
Pembangunan perisian aplikasi secara outsource hendaklah mematuhi perkara-perkara yang berikut: Pembangunan sistem secara outsource perlu diselia dan dipantau oleh pentadbir dan pemilik sistem; Memastikan perpindahan teknologi oleh pihak luaran kepada PPUM; Kod sumber bagi sistem aplikasi merupakan hak milik PPUM dan mesti bebas daripada sebarang ralat dan kelemahan; PMemastikan pembangunan sistem menggunakan teknik secure coding dan cross platform; Penggunaan data masking semasa pengujian; Data ujian hendaklah dilupuskan secara kekal (secured delete) selepas projek disiapkan atau tamat kontrak; Pihak luaran perlu melaksanakan ujian keselamatan terhadap sistem aplikasi sebelum menyerahkan kepada PPUM; dan Pihak luaran hendaklah menyediakan dokumentasi lengkap sistem mengikut keperluan dan tempoh yang ditetapkan oleh PPUM.	Ketua Pegawai Keselamatan ICT (ICTSO), Pentadbir Sistem ICT, Pentadbir Aplikasi

8.30 - PEMBANGUNAN PERISIAN OLEH PIHAK LUARAN
OUTSOURCED DEVELOPMENT

Pembangunan perisian aplikasi secara outsource hendaklah mematuhi perkara-perkara yang berikut:

Pembangunan sistem secara outsource perlu diselia dan dipantau oleh pentadbir dan pemilik sistem;
Memastikan perpindahan teknologi oleh pihak luaran kepada PPUM;
Kod sumber bagi sistem aplikasi merupakan hak milik PPUM dan mesti bebas daripada sebarang ralat dan kelemahan;
PMemastikan pembangunan sistem menggunakan teknik secure coding dan cross platform;
Penggunaan data masking semasa pengujian;
Data ujian hendaklah dilupuskan secara kekal (secured delete) selepas projek disiapkan atau tamat kontrak;
Pihak luaran perlu melaksanakan ujian keselamatan terhadap sistem aplikasi sebelum menyerahkan kepada PPUM; dan
Pihak luaran hendaklah menyediakan dokumentasi lengkap sistem mengikut keperluan dan tempoh yang ditetapkan oleh PPUM.

Ketua Pegawai Keselamatan ICT (ICTSO), Pentadbir Sistem ICT, Pentadbir Aplikasi

8.31 - KAWALAN PERUBAHAN CHANGE MANAGEMENT
Perkara yang perlu dipatuhi adalah seperti berikut : Perubahan kepada organisasi, proses perawatan, kemudahan pemprosesan maklumat dan sistem yang menjejaskan keselamatan maklumat perlu dirancang dan dikawal; Pelaksanaan perubahan atau pelaksanaan teknologi baru perlu dirancang, diuji terlebih dan dibuat penilaian impak kepada keselamatan maklumat bagi meminimakan kesan ralat PPUM; Pelaksanaan perubahan perlu mendapat kebenaran dari pemilik aset; Perubahan perlu dimaklumkan kepada pihak dalaman dan luaran (jika berkaitan) tentang perubahan yang dirancang; Mewujudkan pelan dan prosedur kecemasan dan kontigensi termasuk penetapan prosedur roll-back; Dokumentasi pengendalian dan prosedur pengguna disemak dan dikemaskini untuk mencerminkan perubahan; dan Pelan kesinambungan ICT dan pemulihan serta prosedur tindak balas harus dikaji semula dan disemak untuk mencerminkan perubahan.	Ketua Pegawai Keselamatan ICT (ICTSO), Pentadbir Sistem ICT

8.31 - KAWALAN PERUBAHAN
CHANGE MANAGEMENT

Perkara yang perlu dipatuhi adalah seperti berikut :

Perubahan kepada organisasi, proses perawatan, kemudahan pemprosesan maklumat dan sistem yang menjejaskan keselamatan maklumat perlu dirancang dan dikawal;
Pelaksanaan perubahan atau pelaksanaan teknologi baru perlu dirancang, diuji terlebih dan dibuat penilaian impak kepada keselamatan maklumat bagi meminimakan kesan ralat PPUM;
Pelaksanaan perubahan perlu mendapat kebenaran dari pemilik aset;
Perubahan perlu dimaklumkan kepada pihak dalaman dan luaran (jika berkaitan) tentang perubahan yang dirancang;
Mewujudkan pelan dan prosedur kecemasan dan kontigensi termasuk penetapan prosedur roll-back;
Dokumentasi pengendalian dan prosedur pengguna disemak dan dikemaskini untuk mencerminkan perubahan; dan Pelan kesinambungan ICT dan pemulihan serta prosedur tindak balas harus dikaji semula dan disemak untuk mencerminkan perubahan.

Ketua Pegawai Keselamatan ICT (ICTSO), Pentadbir Sistem ICT

8.31 - MAKLUMAT PENGUJIAN TEST INFORMATION
Perkara-perkara yang perlu dipatuhi adalah : Data dan aturcara yang hendak diuji perlu dipilih, dilindungi dan dikawal; Pengujian hendaklah dibuat ke atas aturcara atau program yang terkini; Kawalan capaian yang digunakan dalam persekitaran production perlu dilaksanakan dalam persekitaran ujian; Kebenaran diperlukan setiap kali maklumat operasi disalin ke persekitaran ujian; Mengekalkan jejak audit, semua aktiviti yang berkaitan dengan penyalinan dan penggunaan maklumat sensitive dalam persekitaran ujian hendaklah direkodkan; Sekiranya maklumat sensitif digunakan dalam persekitaran ujian, ianya harus dilindungi dengan kawalan yang bersesuaian seperti data masking atau data removal; dan Data ujian hendaklah dilupuskan secara kekal (secured delete) selepas projek disiapkan atau tamat kontrak untuk menghapuskan risiko akses yang tidak dibenarkan.	Ketua Pegawai Keselamatan ICT (ICTSO), Pentadbir Sistem Aplikasi

8.31 - MAKLUMAT PENGUJIAN
TEST INFORMATION

Perkara-perkara yang perlu dipatuhi adalah :

Data dan aturcara yang hendak diuji perlu dipilih, dilindungi dan dikawal;
Pengujian hendaklah dibuat ke atas aturcara atau program yang terkini;
Kawalan capaian yang digunakan dalam persekitaran production perlu dilaksanakan dalam persekitaran ujian;
Kebenaran diperlukan setiap kali maklumat operasi disalin ke persekitaran ujian;
Mengekalkan jejak audit, semua aktiviti yang berkaitan dengan penyalinan dan penggunaan maklumat sensitive dalam persekitaran ujian hendaklah direkodkan;
Sekiranya maklumat sensitif digunakan dalam persekitaran ujian, ianya harus dilindungi dengan kawalan yang bersesuaian seperti data masking atau data removal; dan
Data ujian hendaklah dilupuskan secara kekal (secured delete) selepas projek disiapkan atau tamat kontrak untuk menghapuskan risiko akses yang tidak dibenarkan.

Ketua Pegawai Keselamatan ICT (ICTSO), Pentadbir Sistem Aplikasi

8.33 - PERLINDUNGAN SISTEM MAKLUMAT SEMASA PENGUJIAN AUDIT PROTECTION OF INFORMATION SYSTEMS DURING AUDIT TESTING
Keperluan audit dan sebarang aktiviti pemeriksaan ke atas sistem operasi perlu dirancang dan dipersetujui bagi mengurangkan kebarangkalian berlaku gangguan dalam penyediaan perkhidmatan. Perkara yang perlu diberi perhatian adalah : Pengurusan PPUM dan juru audit perlu bersetuju mengenai akses kepada sistem dan aset maklumat; Perjanjian mengenai skop ujian audit teknikal yang akan dilaksanakan; Mewujudkan dan mengesahkan sebarang keperluan keselamatan sebelum pihak luaran mendapat akses ke dalam sistem; Jika permintaan akses dibenarkan, PPUM hendaklah terlebih dahulu mengesahkan bahawa peranti yang digunakan memenuhi keperluan keselamatan sebelum akses disediakan; PPUM hanya menyediakan akses baca sahaja (read-only) kepada maklumat dan perisian. Jika akses tersebut tidak dapat diberikan, pentadbir yang mempunyai hak akses yang diperlukan boleh mengakses sistem atau data bagi pihak juru audit; Akses hanya perlu disediakan untuk salinan terpencil yang diekstrak daripada sistem. Salinan harus dipadamkan secara kekal setelah audit selesai dilakukan kecuali terdapat keperluan untuk fail tersebut dikekalkan; Permintaan juru audit untuk melaksanakan pemprosesan khas seperti menggunakan alat audit perlu dipersetujui oleh Pihak Pengurusan PPUM; Jika didapati wujud risiko yang akan menjejaskan ketersediaan sistem, audit hendaklah dilakukan di luar waktu puncak; Permohonan akses yang diberikan untuk audit hendaklah direkodkan untuk jejak audit.	Ketua Pegawai Keselamatan ICT (ICTSO), Pentadbir Sistem ICT

8.33 - PERLINDUNGAN SISTEM MAKLUMAT SEMASA PENGUJIAN AUDIT
PROTECTION OF INFORMATION SYSTEMS DURING AUDIT TESTING

Keperluan audit dan sebarang aktiviti pemeriksaan ke atas sistem operasi perlu dirancang dan dipersetujui bagi mengurangkan kebarangkalian berlaku gangguan dalam penyediaan perkhidmatan.

Perkara yang perlu diberi perhatian adalah :

Pengurusan PPUM dan juru audit perlu bersetuju mengenai akses kepada sistem dan aset maklumat;
Perjanjian mengenai skop ujian audit teknikal yang akan dilaksanakan;
Mewujudkan dan mengesahkan sebarang keperluan keselamatan sebelum pihak luaran mendapat akses ke dalam sistem;
Jika permintaan akses dibenarkan, PPUM hendaklah terlebih dahulu mengesahkan bahawa peranti yang digunakan memenuhi keperluan keselamatan sebelum akses disediakan;
PPUM hanya menyediakan akses baca sahaja (read-only) kepada maklumat dan perisian. Jika akses tersebut tidak dapat diberikan, pentadbir yang mempunyai hak akses yang diperlukan boleh mengakses sistem atau data bagi pihak juru audit;
Akses hanya perlu disediakan untuk salinan terpencil yang diekstrak daripada sistem. Salinan harus dipadamkan secara kekal setelah audit selesai dilakukan kecuali terdapat keperluan untuk fail tersebut dikekalkan;
Permintaan juru audit untuk melaksanakan pemprosesan khas seperti menggunakan alat audit perlu dipersetujui oleh Pihak Pengurusan PPUM;
Jika didapati wujud risiko yang akan menjejaskan ketersediaan sistem, audit hendaklah dilakukan di luar waktu puncak;
Permohonan akses yang diberikan untuk audit hendaklah direkodkan untuk jejak audit.

Ketua Pegawai Keselamatan ICT (ICTSO), Pentadbir Sistem ICT