Prosedur Kawalan Dokumen ISMS

(PPUM-ISMS-NAD-P2-001-E02)

1.0 - OBJEKTIF

Prosedur ini diwujudkan untuk menyelenggara dokumen ISMS supaya dapat diurus dengan teratur dan terkini.

2.0 - SKOP

Prosedur ini digunapakai oleh Urusetia ISMS dalam mewujud, menyemak, melulus, meminda, mengedar, mengindeks dan menyelenggara dokumen- dokumen yang berkaitan Sistem Pengurusan Keselamatan Maklumat (ISMS).

3.0 - TERMINOLOGI

Penyelia Dokumen	adalah pegawai yang bertanggungjawab menyedia dokumen.
Penyemak Dokumen	adalah pegawai yang bertanggungjawab menyemak dokumen.
Pelulus Dokumen	adalah pegawai yang bertanggungjawab meluluskan dokumen.

4.0 - RUJUKAN

No	Nombor Dokumen	Tajuk Dokumen
1	ISO/IEC 27001:2022	Information security, cybersecurity and privacy protection – Information security management system – Requirements
2	PPUM-ISMS-NAD-P2-002-E02	Prosedur Kawalan Rekod

5.0 - TINDAKAN DAN TANGGUNGJAWAB

5.1 - Kategori dan Klasifikasi dokumen

Dokumen ISMS dikategorikan mengikut P1, P2, P3, P4 dan P5 seperti dalam Jadual 1.

Jadual 1:Kategori Dokumen

Kategori Dokumen	Keterangan
P1	Senarai dokumen yang diperlukan oleh standard.
P2	Prosedur dan Garis Panduan ISMS
P3	Template Borang dan senarai semak.
P4	Rekod Pelaksanaan.
P5	Dokumen Sokongan.

5.2 - Format Nombor Rujukan untuk Dokumen

Format nombor rujukan dokumen ISMS adalah seperti berikut:

Dokumen P1:

Kategori Dokumen	Format Nombor Rujukan
P1	PPUM-ISMS-ABCD-P1-YYY-EXX

Format	Keterangan
PPUM	Dokumen PPUM
ISMS	Dokumen ISMS
ABCD	Dokumen Pusat Tanggungjawab berkaitan
P1	Kategori Dokumen
YYY	Nombor Bilangan dokumen berdasarkan Kategori Dokumen
EXX	Edisi dokumen

Dokumen P2:

Kategori Dokumen	Format Nombor Rujukan
P2	PPUM-ISMS-ABCD-P2-YYY-EXX

Format	Keterangan
PPUM	Dokumen PPUM
ISMS	Dokumen ISMS
ABCD	Dokumen Pusat Tanggungjawab berkaitan
P2	Kategori Dokumen
YYY	Nombor Bilangan dokumen berdasarkan Kategori Dokumen
EXX	Edisi dokumen

Dokumen P3:

Kategori Dokumen	Format Nombor Rujukan
P3	BD-ABCD-YYY

Format	Keterangan
BD	Borang Dalaman
ABCD	Dokumen Pusat Tanggungjawab berkaitan
YYY	Nombor Bilangan Borang

5.3 - Versi Dokumen

Semua dokumen ISMS dikawal menggunakan kawalan versi

Jadual 2: Format Versi dokumen ISMS

Penerangan	Catatan
Nombor Versi	Merujuk kepada pindaan minor bagi dokumen dan terhad kepada tiga kali pindaan minor. Kod versi akan bertambah sekiranya terdapat pindaan minor kali keempat atau perubahan dokumen melebihi 50%. (Contoh Versi 1.0 berubah kepada Versi 2.0)
No. Perpuluhan Versi	Kod perpuluhan versi akan bertambah sekiranya terdapat pindaan minor atau perubahan dokumen melebihi 30%. (Contoh Versi 1.0 berubah kepada Versi 1.1)

5.4 - Edisi Dokumen

Merujuk kepada pindaan major bagi dokumen

5.5 - Tarikh Kelulusan / Tarikh Berkuatkuasa

Merujuk kepada tarikh dokumen disemak dan ditandatangani oleh CIO dan ICTSO.

5.6 - Capaian Dokumen ISMS

Capaian dokumen ISMS menggunakan dua cara iaitu, dalam bentuk hardcopy yang disimpan secara berpusat dan kaedah elektronik menggunakan perkongsian fail (file sharing). Capaian terhadap dokumen ISMS dikawal seperti berikut:

Jadual 3: Capaian Dokumen ISMS

Kategori Dokumen	Kaedah Capaian	Hak Capaian
P1	Hardcopy dan softcopy	Semua pengguna ISMS
P2	Hardcopy dan softcopy	Semua pengguna ISMS
P3	Hardcopy dan softcopy	Urusetia
P4	Hardcopy dan softcopy	Urusetia dan Pelaksana
P5	Hardcopy dan softcopy	Urusetia dan Pelaksana

5.7 - Dokumen Baru

Tanggungjawab	Carta Alir	Keterangan	Rujukan
Urusetia ISMS Urusetia ISMS Urusetia ISMS ICTSO Urusetia ISMS CIO Urusetia ISMS Urusetia ISMS Urusetia ISMS		Kenal pasti dokumen ISMS yang perlu diwujudkan dan tetapkan pegawai yang akan menyediakannya. Sediakan Dokumen ISMS yang telah dikenalpasti Mengemukakan dokumen kepada Penyemak Dokumen Menyemak dan sahkan semakan dokumen Pinda dokumen sekiranya tidak diterima selepas semakan Mendapatkan kelulusan Dokumen ISMS dari Pelulus Dokumen Meluluskan dokumen Pinda dokumen sekiranya tidak diterima untuk kelulusan Merekod Nombor Rujukan, Nombor Versi, Tarikh Keluaran dalam Senarai Induk Dokumen ISMS Memuat naik dokumen ke lokasi maya /simpanan fail ISMS Memaklumkan kepada Pasukan Pelaksana dan Pasukan Penyelaras dokumen ISMS yang terkini.

5.8 - Pindaan Ke Atas Dokumen

Tanggungjawab	Carta Alir	Keterangan	Rujukan
Urusetia ISMS Urusetia ISMS Urusetia ISMS ICTSO Urusetia ISMS CIO Urusetia ISMS Urusetia ISMS Urusetia ISMS Urusetia ISMS		Kenal pasti dokumen ISMS yang perlu dipinda dan tetapkan pegawai yang akan menyediakannya. Kemukakan cadangan pindaan dokumen. Mengemukakan pindaan kepada Penyemak Dokumen Menyemak dan sahkan semakan dokumen Pinda dokumen sekiranya tidak diterima selepas semakan Mendapatkan kelulusan Dokumen ISMS dari Pelulus Dokumen Meluluskan dokumen Pinda dokumen sekiranya tidak diterima untuk kelulusan Merekod Nombor Rujukan, Nombor Versi, Tarikh Keluaran dalam Senarai Induk Dokumen ISMS Membatalkan dokumen lama: Softcopy – archive dokumen Memuat naik dokumen ke lokasi maya /simpanan fail ISMS Memaklumkan kepada Pasukan Pelaksana dan Pasukan Penyelaras dokumen ISMS yang terkini.

6.0 - REKOD KUALITI

Bil	Rekod	Lokasi	Tempoh Penyimpanan	Tanggungjawab
1.	Senarai Dokumen ISMS	JTM	7 Tahun	Urusetia ISMS

7.0 LAMPIRAN

Tiada Berkaitan

Prosedur Kawalan Rekod ISMS

(PPUM-ISMS-NAD-P2-002-E02)

1.0 - OBJEKTIF

Prosedur ini bertujuan untuk menyeragamkan kaedah mengawal rekod ISMS supaya mudah dikesan apabila diperlukan untuk rujukan.

2.0 - SKOP

Prosedur ini diguna pakai oleh Urusetia ISMS bagi semua dokumen ISMS.

3.0 - TERMINOLOGI

Rekod ISMS ialah kumpulan data dan maklumat bertulis yang direkod hasil daripada aktiviti atau proses sebagai bukti pelaksanaan ISMS.

4.0 - RUJUKAN

No	Nombor Dokumen	Tajuk Dokumen
1	ISO/IEC 27001:2022	Information security, cybersecurity and privacy protection - Information security management system - Requirements
2	PPUM-ISMS-NAD-P2-001-E02	Prosedur Kawalan Dokumen

5.0 - TINDAKAN DAN TANGGUNGJAWAB

5.1 - Mewujud, mengumpul maklumat dan data

Tanggungjawab	Carta Alir	Keterangan	Rujukan
Pemilik Proses Pemilik Proses Pemilik Proses Pemilik Proses		Kenal pasti rekod yang perlu diwujudkan dan dikawal daripada semua prosedur Senaraikan rekod ISMS yang dikawal mengikut prosedur Kumpul maklumat dan data bagi menyokong rekod ISMS Simpan rekod dalam fail aktif (jika berkaitan)

5.2 - Melupuskan rekod ISMS

Tanggungjawab	Carta Alir	Keterangan	Rujukan
Urusetia CIO / ICTSO Urusetia		Kenal pasti fail yang telah ditutup Dapatkan kelulusan Daftarkan rekod/fail yang hendak dilupuskan

6.0 - REKOD KUALITI

Bil	Rekod	Lokasi	Tempoh Penyimpanan	Tanggungjawab
1.	Dokumen	JTM	7 Tahun	Urusetia

7.0 LAMPIRAN

Tiada Berkaitan

Garis Panduan Audit Dalam ISMS

(PPUM-ISMS-NAD-P2-003-E03)

1.0 OBJEKTIF

Garis Panduan ini disediakan untuk melaksanakan Audit Dalam sebagaimana yang dirancang bagi mengesahkan Sistem Pengurusan Keselamatan Maklumat tersebut berfungsi dengan berkesan.

2.0 SKOP

Garis Panduan ini digunapakai oleh Pasukan Audit Dalam Sistem Pengurusan Keselamatan Maklumat semasa melaksanakan audit.

3.0 TERMINOLOGI

Audit Dalam	Satu proses verifikasi atau penyemakan bagi menentukan Sistem Pengurusan Keselamatan Maklumat dilaksanakan dengan baik.
Auditor Dalaman	Pasukan Audit Dalam terdiri dari Pegawai PPUM yang telah mendapat latihan sebagai juruaudit dan dilantik oleh Pengarah PPUM setelah diluluskan dalam Mesyuarat PICT.
Auditee	Pasukan Pelaksana dan DQM yang termasuk di dalam skop ISMS yang hendak diaudit.

4.0 RUJUKAN

No	Nombor Dokumen	Tajuk Dokumen
1	ISO/IEC 27001:2022	Information security, cybersecurity and privacy protection - Information security management system - Requirements
2	PPUM-ISMS-P4-008	Pelan Audit Dalam ISMS
3	-	Senarai Semak Audit
4	-	Laporan Ketidakpatuhan (NCR) dan Nota Penambahbaikan (OFI)

5.0 TINDAKAN DAN TANGGUNGJAWAB

5.1 Melaksanakan Audit Dalam ISMS

Tanggungjawab	Carta Alir	Keterangan Rujukan
CIO Ketua Auditor Ketua Auditor Urusetia Auditor Dalaman Auditor Urusetia/Auditee Ketua Auditor Auditee/Pemilik Proses Auditor Ketua Auditor/ICTSO/CIO		Melantik Pasukan Audit Dalam dan Ketua Audit Dalam. Menyediakan Jadual Tahunan Audit Dalam ISMS. Menyediakan Pelan Audit Dalam ISMS dan senarai semak Audit Dalam ISMS. Tarikh audit Lokasi audit Senarai auditor dalaman Lain-lain mengikut keperluan semasa Mesyuarat Auditor bersama urusetia. Adakan mesyuarat sekurang-kurangnya 2 minggu sebelum tarikh audit. Bincangkan agenda mesyuarat : Objektif dan skop audit semasa Pengagihan tugas auditor dan lokasi pengauditan Dokumen yang diperlukan untuk pengauditan Menjalankan Audit. Menyediakan Laporan Audit Dalam ISMS. Adakan perbincangan dengan DQM/ Auditee pada hari terakhir audit di Jabatan / Unit berkaitan sekiranya perlu untuk tujuan berikut : Mengelakkan kesilapan dan salah faham Memastikan keputusan audit telah difahami Melaporkan pemerhatian dan kesimpulan audit berkaitan. Menerima dan menyemak laporan Audit Dalam ISMS. Hantar laporan berdasarkan kepada penemuan audit kepada auditor melalui : Laporan Ketidakpatuhan (NCR) dan Nota Penambahbaikan (OFI) Senarai semak audit Membentangkan laporan Audit Dalam kepada Pengurusan. Tindakan pembetulan dan pencegahan. Menutup ketidakpatuhan (NC) dan Nota Penambahbaikan (OFI) dalam masa dua (2) minggu atau tempoh hari yang ditetapkan selepas tarikh akhir audit dalaman. Menjalankan audit susulan dalam masa dua (2) minggu sekiranya diperlukan. Penyerahan Laporan Audit Susulan. Penyerahan laporan audit dudulan kepada Ketua Auditor selewat-lewatnya seminggu selepas tarikh audit susulan. Penyediaan dan penghantaran Laporan Rumusan Audit Dalam sekurang-kurangnya 7 hari dari tarikh Mesyuarat Kaji Semula Pengurusan kepada Wakit Pengurusan.

6.0 REKOD KUALITI

Bil	Rekod	Lokasi	Tempoh Penyimpanan	Tanggungjawab
1.	Surat Pelantikan Pasukan Audit Dalam	JTM	7 Tahun	Urusetia
2.	Pelan Audit Dalam	JTM	7 Tahun	Auditor
3.	Senarai semak Audit Daiam	JTM	7 Tahun	Auditor

7.0 LAMPIRAN

Tiada Berkaitan

Garis Panduan Tindakan Pembetulan Pencegahan ISMS

(PPUM-ISMS-NAD-P2-004-E03)

1.0 OBJEKTIF

Garis Panduan ini disediakan untuk melakukan tindakan pembetulan dan pencegahan secara berterusan bagi menjamin keselamatan maklumat.

2.0 SKOP

Garis Panduan ini digunapakai oleh Pasukan Pelaksana ISMS dalam mengurus pembetulan, tindakan pembetulan dan pencegahan.

3.0 TERMINOLOGI

Ketidakpatuhan	Penyimpangan yang berlaku di dalam pelaksanaan proses kerja berdasarkan keperluan standard ISO/IEC 27001:2022.
Pembetulan	Tindakan yang diambil untuk memperbaiki ketidakpatuhan.
Tindakan Pembetulan	Tindakan yang diambil untuk membetulkan ketidakpatuhan yang telah berlaku.

4.0 RUJUKAN

No	Nombor Dokumen	Tajuk Dokumen
1	ISO/IEC 27001:2022	Information security, cybersecurity and privacy protection - Information security management system - Requirements

5.0 TINDAKAN DAN TANGGUNGJAWAB

5.1 Melaksanakan Pembetulan, Tindakan Pembetulan & Tindakan Pencegahan

Tanggungjawab	Carta Alir	Keterangan
Auditor Pemilik Proses Pemilik Proses Pemilik Proses Pemilik Proses Pemilik Proses Auditor Auditor		Ketidakpatuhan dikenalpasti Laksanakan pembetulan dengan tempoh dua (2) minggu atau tempoh hari yang ditetapkan selepas tarikh akhir audit dalaman. Siasat dan rekod punca ketidakpatuhan Cadangan Tindakan Pembetulan / tindakan Pencegahan Kelulusan Tindakan Pembetulan / Tindakan Pencegahan 5.1 Pinda tindakan sekiranya tidak diluluskan Laksana cadangan tindakan dengan segera dan rekod tindakan yang diambil Tindakan susulan untuk mengenalpasti keberkesanan dalam tempoh dua (2) minggu atau tempoh hari yang ditetapkan selepas tarikh akhir audit dalaman. Lapor tindakan

6.0 REKOD KUALITI

Tiada Berkaitan

7.0 LAMPIRAN

Tiada Berkaitan

Garis Panduan Melaksanakan ISMS

(PPUM-ISMS-NAD-P2-005-E03)

1.0 OBJEKTIF

Memastikan pelaksanaan ISMS adalah memenuhi keperluan yang disyaratkan di dalam standard ISO/IEC 27001:2022 Pengurusan Sistem Keselamatan Maklumat. Maklumat hendaklah dilindungi dari aspek kerahsiaan,integriti dan ketersediaan terhadap ancaman seperti capaian yang tidak sah dan kebocoran maklumat.

2.0 SKOP

Garis Panduan ini adalah untuk memastikan bahawa setiap klausa standard ISMS dapat dipatuhi dengan adanya senarai semak tindakan proses serta tanggungjawab pegawai yang terlibat. Prosedur ini diguna pakai oleh Urusetia, Pasukan Pelaksana dan Pasukan Audit yang terlibat.

3.0 TERMINOLOGI

Pihak Berkepentingan	Individu, kumpulan atau organisasi yang mempunyai kepentingan secara langsung atau tidak dengan PPUM dan perkhidmatan yang diberikan; dan
Isu-Isu Dalaman dan Luaran Pihak Berkepentingan	Sebarang isu, keperluan dan masalah yang mempunyai kesan secara langsung atau tidak di antara pihak berkepentingan dalaman dan luaran dengan PPUM.

4.0 RUJUKAN

No	Nombor Dokumen	Tajuk Dokumen
1	ISO/IEC 27001:2022	Information security, cybersecurity and privacy protection - Information security management system - Requirements

5.0 SENARAI SEMAK DAN TANGGUNGJAWAB

Klausa Standard ISMS	Tindakan/Pelaksanaan	Tanggungjawab
Klausa 4.1: Understanding the organization and its context	Melaksanakan Dokumen Manual ISMS yang mengandungi isu-isu dalaman dan luaran berdasarkan persetujuan pengurusan atasan.	Pengurusan atasan
Klausa 4.2: Understanding the needs and expectations of interested parties	Melaksanakan Dokumen Manual ISMS yang mengandungi maklumat pihak berkepentingan berdasarkan persetujuan pengurusan atasan.	Pengurusan atasan
Klausa 4.3: Determining the scope of the information security management system	Mewujudkan Skop ISMS selepas mengenalpasti dan mengambil kira pihak-pihak berkepentingan secara dalaman dan luaran serta Isu-isu yang berkaitan dengannya; Membentangkan dan mendapatkan kelulusan maklumat Skop ISMS semasa mesyuarat yang dihadiri dan dipengerusikan oleh pengurusan atasan; dan Melaksanakan Dokumen Manual ISMS yang mengandungi pemetaan yang menunjukkan perkaitan isu dalaman dan luaran dengan skop ISMS. Seterusnya untuk mencapai objektif dan sasaran utama (intended outcome) pelaksanaan ISMS.	Pengurusan atasan
Klausa 4.4: Information security management system	Mengemaskini dokumen Manual ISMS untuk menggambarkan cara proses dan interaksi bagi menunjukkan bagaimana ISMS dilaksana dan diselenggara secara berterusan.	Urusetia ISMS
Klausa 5.1: Leadership and commitment	Menyediakan Manual ISMS yang mengandungi maklumat Tanggungjawab Pengurusan; Mesyuarat JK Keselamatan ICT yang dihadiri dan dipengerusikan oleh CIO; Mengadakan Mesyuarat Kaji Semula Pengurusan yang mempunyai perutusan pengerusi seperti berikut: Kepentingan ISMS; dan Memastikan ISMS selaras dengan matlamat perkhidmatan PPUM. Penglibatan pengurusan terhadap aktiviti- aktiviti ISMS.	Pengurusan atasan
Klausa 5.2: Policy	Menyediakan Polisi Keselamatan Siber dan Manual Kualiti Keselamatan Siber.	Urusetia ISMS
Klausa 5.3: Organizational roles, responsibilities and authorities	Menyediakan Manual ISMS yang menerangkan: Peranan, tanggungjawab dan bidang kuasa organisasi ISMS; dan Tanggungjawab Pengurusan	Urusetia ISMS
Klausa 6.1.1: General (Actions to address risks and opportunities)	Melaksanakan : Risk Assessment & Risk Treatment Plan Guideline.	Urusetia ISMS Pasukan Pelaksana
Klausa 6.1.2: Information security risk assessment	Melaksanakan Penilaian Risiko (RA); dan Mewujudkan kriteria risiko keselamatan dan mendapat pengesahan pengurusan atasan.	Urusetia ISMS Pasukan Pelaksana
Klausa 6.1.3: Information security risk treatment	Menghasilkan dokumen Statement of Applicability (SoA) yang selaras dengan keperluan 93 kawalan.	Urusetia ISMS Pasukan Pelaksana
Klausa 6.2: Information security objectives and planning to achieve them	Membangunkan Objektif Keselamatan Maklumat ISMS; Menentukan metrik dan proses mengukur bagi memantau setiap objektif; Mengemaskini keberkesanan setiap pengukuran; dan Mendokumenkan keputusan pengukuran.	Urusetia ISMS
Klausa 6.3: Planning of changes	Keperluan untuk perubahan kepada ISMS hendaklah dijalankan secara terancang.	-
Klausa 7.1: Resources	Melaksanakan Manual ISMS yang mengandungi Struktur Tadbir Urus ISMS.	Urusetia ISMS
Klausa 7.2: Competence	Memastikan semua yang berada di dalam Struktur Tadbir Urus kompeten untuk melaksanakan tugas.	CIO, ICTSO, Urusetia ISMS
Klausa 7.3: Awareness	Pematuhan Polisi Keselamatan Siber serta melengkapkan borang pematuhan polisi; dan Kesedaran individu yang terlibat di dalam skop terhadap peranan mereka dalam keselamatan maklumat.	CIO, ICTSO, Urusetia ISMS
Klausa 7.4: Communicaiton	Polisi Keselamatan Siber dan Manual Kualiti Keselamatan Siber perlu disampaikan.	ICTSO
Klausa 7.5.1: General (Documented information)	Menyediakan dokumen yang diperlukan oleh standard ISMS.	Urusetia ISMS
Klausa 7.5.2: Creating and updating	Menguruskan dan mengemaskini dokumen ISMS	Urusetia ISMS
Klausa 7.5.3: Control of documented information	Memastikan dokumen ISMS dilindungi dan mudah untuk dicapai apabila diperlukan.	Urusetia ISMS
Klausa 8.1: Operational planning and control	Melaksanakan Dokumen Risk Assessment & Risk Treatment Plan Guideline	Urusetia ISMS Pasukan Pelaksana
Klausa 8.2: Information security risk assessment	Proses melaksanakan Risk Assessment Plan dan menyediakan laporan Risk Treatment Plan (RTP).	Urusetia ISMS Pasukan Pelaksana
Klausa 8.3: Information security risk treatment	Melaksana dan mengekalkan dokumen tindakan yang telah diambil daripada RTP.	Urusetia ISMS Pasukan Pelaksana
Klausa 9.1: Monitoring, measurement, analysis and evaluation	Memantau, mengukur dan menganalis Objektif Keselamatan Maklumat ISMS.	Urusetia ISMS
Klausa 9.2: Internal audit	Menjalankan Audit Dalam ISMS	Pasukan Audit Dalam
Klausa 9.3: Management review	Melaksanakan mesyuarat Kajian Semula ISMS	ICTSO
Klausa 10.1: Continual improvement	Memastikan penambahbaikan berterusan (Continual improvement) dilakukan seperti yang dinyatakan pada klausa 5.2, 6.1.1, 7.1 dan 9.3; dan Menambaik baik secara berterusan terhadap kesesuaian, kecukupan dan keberkesanan ISMS.	Urusetia ISMS Pengurus Kualiti Jabatan
Klausa 10.2: Nonconformity and corrective action	Melaksanakan tindakan pembetulan Non Conformity (NC) daripada audit ISMS yang telah dijalankan; dan Melaksanakan tindakan pencegahan dan pembetulan kelemahan yang ada.	Urusetia ISMS Pengurus Kualiti Jabatan

6.0 REKOD KUALITI

Tiada Berkaitan

7.0 LAMPIRAN

Tiada Berkaitan

Garis Panduan Pengukuran Keberkesanan Kawalan ISMS

(PPUM-ISMS-NAD-P2-006-E03)

1.0 TUJUAN

Garis Panduan ini disediakan untuk memberi panduan dalam pengukuran keberkesanan kawalan ISMS, mengenal pasti kawalan serta merangka strategi keselamatan untuk penambahbaikan yang berterusan .

2.0 SKOP

Garis Panduan ini diguna pakai dalam mengendalikan pengukuran keberkesanan kawalan ISMS di mana kawalan keselamatan yang hendak diukur keberkesanannya adalah berdasarkan kepada kawalan keselamatan daripada penemuan penilaian risiko dan Risk Treatment Plan (RTP).

3.0 TERMINOLOGI

Security Metric

Security Metric diperoleh daripada perbandingan dua (2) atau lebih ukuran yang telah diambil untuk suatu tempoh tertentu kepada suatu baseline yang telah ditetapkan. Security Metric dijana daripada analisis dan ia merupakan interpretasi manusia secara objektif atau subjektif ke atas data yang dianalisis.

4.0 RUJUKAN

No	Nombor Dokumen	Tajuk Dokumen
1	PPUM-ISMS-NAD-P1- 001-E03	Manual ISMS
2	PPUM-ISMS-NAD-P2- 004-E03	Garis Panduan Tindakan Pembetulan dan Pencegahan
3	-	ISO/IEC 27001:2022: Klausa 9.1 - Monitoring, measurement, analysis and evaluation.
4	-	Lampiran 1 : Borang Perincian

5.0 PENGUKURAN KEBERKESANAN KAWALAN ISMS

5.1

Kawalan yang telah dilaksanakan dalam ISMS perlu diukur bagi memastikan keberkesanan kawalan tersebut. Security Metric boleh digunakan sebagai kaedah untuk mengukur keberkesanan kawalan yang dipilih. Security Metric boleh dibangunkan berdasarkan kawalan yang dilaksanakan bagi menjaga keselamatan maklumat serta dapat dihubung kait dengan objektif keselamatan ISMS.

5.2

Kawalan yang bersesuaian perlu dikenal pasti bagi mengukur keberkesanan ISMS. Kriteria-kriteria berikut perlu diberi perhatian dalam mengukur keberkesanan:

Perkara yang perlu dipantau dan diukur, termasuk proses dan kawalan ke atas keselamatan maklumat melibatkan;
- Petunjuk prestasi
- Pengukuran keberkesanan
Kaedah untuk pemantauan, pengukuran, analisis dan penilaian yang berkenaan untuk memastikan hasil yang sah dan tepat;
Masa pelaksanaan, pemantauan dan pengukuran;
Staf yang terlibat dalam pemantauan dan pengukuran;
Proses analisis dan penilaian terhadap keputusan pemantauan dan pengukuran; dan
Staf yang terlibat dalam membuat analisis dan penilaian terhadap keputusan pemantauan dan pengukuran.

Lampiran 1: Borang Perincian

BIL	PERKARA	PERINCIAN	PENCAPAIAN
			Perancangan	Pelaksanaan
1.	Objektif(a): Melaksanakan Penilaian Risiko	Memastikan penilaian risiko dilaksanakan sekali dalam setahun. Mengenalpasti risiko keselamatan maklumat bagi aset dari segi kerahsiaan, integriti dan ketersediaan. Menganalisis dan menilai risiko keselamatan maklumat.
2.	Sasaran	Sekali dalam setahun
3.	Parameter Pengukuran	membandingkan sesi penilaian risiko yang dilaksanakan dalam satu tahun (a) dengan jumlah sesi penilaian risiko yang dirancang dalam satu tahun (b)
4.	Kaedah pengukuran	pengukuran menggunakan Dokumen Penilaian Risiko
5.	Formula Pengukuran	(a / b) x 100
6.	Bila pengukuran & pemantauan dilaksanakan	Setahun sekali
7.	Pelaksana Pengukuran & Pemantauan	Pasukan Pelaksana ISMS
8.	Bila analisa & penilaian dibuat	Setahun sekali
9.	Pelaksana analisa & penilaian
10.	Dokumen berkaitan	Laporan Pemantauan Objektif Keselamatan Maklumat ISMS. Dokumen Penilaian Risiko.
11.	Ulasan Analisa

BIL	PERKARA	PERINCIAN	PENCAPAIAN
			Perancangan	Pelaksanaan
1.	Objektif(b): Melaksanakan Pelan Rawatan Risiko	Memastikan pelan rawatan risiko dilaksanakan sekali dalam setahun. Memilih penguraian risiko keselamatan maklumat yang sesuai. Menentukan kawalan yang perlu dibuat dan merumus rancangan penguraian risiko keselamatan maklumat.
2.	Sasaran	Sekali dalam setahun
3.	Parameter Pengukuran	membandingkan sesi pelan rawatan risiko yang dilaksanakan dalam satu tahun (a) dengan jumlah sesi pelan rawatan risiko yang dirancang dalam satu tahun (b)
4.	Kaedah pengukuran	pengukuran menggunakan Dokumen Penilaian Risiko
5.	Formula Pengukuran	(a / b) x 100
6.	Bila pengukuran & pemantauan dilaksanakan	Setahun sekali
7.	Pelaksana Pengukuran & Pemantauan	Pasukan Pelaksana ISMS
8.	Bila analisa & penilaian dibuat	Setahun sekali
9.	Pelaksana analisa & penilaian
10.	Dokumen berkaitan	Laporan Pemantauan Objektif Keselamatan Maklumat ISMS. Dokumen Penilaian Risiko. Risk Treatment Plan Summary Report.
11.	Ulasan Analisa

BIL	PERKARA	PERINCIAN	PENCAPAIAN
			Perancangan	Pelaksanaan
1.	Objektif(c): Melaksanakan Program Kesedaran dan Latihan	Mengadakan latihan kesedaran keselamatan data kepada semua staf baru PPUM. Memantapkan kesedaran staf terhadap keselamatan data.
2.	Sasaran	kehadiran jemputan
3.	Parameter Pengukuran	jumlah kehadiran (a) dengan jumlah jemputan (b)
4.	Kaedah pengukuran	pengukuran menggunakan Rekod Kehadiran Kursus
5.	Formula Pengukuran	(a / b) x 100
6.	Bila pengukuran & pemantauan dilaksanakan	Setiap kali kursus atau latihan diadakan
7.	Pelaksana Pengukuran & Pemantauan
8.	Bila analisa & penilaian dibuat	Setiap kali kursus atau latihan diadakan
9.	Pelaksana analisa & penilaian
10.	Dokumen berkaitan	Laporan Pemantauan Objektif Keselamatan Maklumat ISMS Rujuk Rekod Latihan berkaitan keselamatan data Takwim Latihan dan Rekod Kehadiran Kursus
11.	Ulasan Analisa

BIL	PERKARA	PERINCIAN	PENCAPAIAN
			Perancangan	Pelaksanaan
1.	Objektif(d): Melaksanakan Semakan Terhadap User Access Right	Memastikan semakan terhadap User Access Right dibuat setahun sekali atau apabila terdapat perubahan capaian Memastikan capaian pengguna adalah mengikut prinsip “perlu tahu”, hak keistimewaan minimum, pengasingan tugas dan kawalan capaian berdasarkan peranan.
2.	Sasaran	Sekali dalam setahun
3.	Parameter Pengukuran	membandingkan sesi semakan yang dilaksanakan dalam satu tahun (a) dengan jumlah sesi semakan yang dirancang (b) menyemak akses pengguna (a) dengan jumlah pengguna mengikut lokasi / jawatan (b)
4.	Kaedah pengukuran	Berdasarkan fungsi Jawatan dan Jabatan Kelulusan Mesyuarat Jawatankuasa Rekod Perubatan
5.	Formula Pengukuran	(a / b) x 100
6.	Bila pengukuran & pemantauan dilaksanakan	Setahun sekali atau apabila terdapat perubahan capaian
7.	Pelaksana Pengukuran & Pemantauan
8.	Bila analisa & penilaian dibuat	Setahun sekali atau apabila terdapat perubahan capaian
9.	Pelaksana analisa & penilaian
10.	Dokumen berkaitan	Jadual Metrik Akses Jawatankuasa Rekod Perubatan
11.	Ulasan Analisa

BIL	PERKARA	PERINCIAN	PENCAPAIAN
			Perancangan	Pelaksanaan
1.	Objektif(e): Melaksanakan Pelan Simulasi Bencana	Memastikan simulasi Pelan Kesinambungan Perkhidmatan (ERP, DRP, CCP) dilakukan bagi memitigasi kesan gangguan. Sekiranya berlaku bencana, operasi masih dapat diteruskan/dipulihkan dalam tempoh yang ditetapkan. Pelaksanaan Simulasi Pelan Tindakan Kecemasan dan Bencana.
2.	Sasaran	Sekali dalam setahun
3.	Parameter Pengukuran	membandingkan ujian simulasi yang dilaksanakan dalam satu tahun (a) dengan ujian simulasi yang dirancang (b)
4.	Kaedah pengukuran	mengikut Pelan Kesinambungan Perkhidmatan Dan Pelan Bencana
5.	Formula Pengukuran	(a / b) x 100
6.	Bila pengukuran & pemantauan dilaksanakan	Sekurang-kurangnya sekali setahun
7.	Pelaksana Pengukuran & Pemantauan	Ahli Jawatankuasa Kerja Bencana PPUM
8.	Bila analisa & penilaian dibuat	Dalam tempoh 6 bulan selepas aktiviti simulasi
9.	Pelaksana analisa & penilaian	Ahli Jawatankuasa Kerja Bencana PPUM
10.	Dokumen berkaitan	Senarai semak ujian simulasi. Jadual pelaksanaan dan senarai petugas. Dokumen Pelan Kesinambungan Perkhidmatan. Dokumen Pelan Bencana / Pelan Tindakan Kecemasan.
11.	Ulasan Analisa

BIL	PERKARA	PERINCIAN	PENCAPAIAN
			Perancangan	Pelaksanaan
1.	Objektif(f): Mengemaskini data pesakit di klinik	Semua permohonan pengemaskinian maklumat pesakit melalui borang Kemaskini Maklumat Pesakit (BK-MIS-1402). Mengesahkan maklumat demografi pesakit yang hadir ke klinik dalam tempoh 14 hari bekerja.
2.	Sasaran	Sebulan sekali
3.	Parameter Pengukuran	Jumlah kemaskini maklumat demografi pesakit dalam tempoh 14 hari (a) dengan jumlah borang diterima (b)
4.	Kaedah pengukuran	60% maklumat demografi pesakit dikemaskini dan disahkan dalam tempoh 14 hari
5.	Formula Pengukuran	(a / b) x 100
6.	Bila pengukuran & pemantauan dilaksanakan	Sebulan sekali
7.	Pelaksana Pengukuran & Pemantauan
8.	Bila analisa & penilaian dibuat	3 bulan sekali
9.	Pelaksana analisa & penilaian
10.	Dokumen berkaitan	Borang Kemaskini Maklumat Pesakit (BK-MIS-1402). Laporan Pemantauan Objektif Keselamatan Maklumat ISMS
11.	Ulasan Analisa

BIL	PERKARA	PERINCIAN	PENCAPAIAN
			Perancangan	Pelaksanaan
1.	Objektif: Melaksanakan ujian simulasi ICT secara berkala	Menguji ketersediaan (availability) kemudahan infra di Pusat Data apabila berlaku kelumpuhan Memenuhi keperluan Pelan Kesinambungan Perkhidmatan PPUM Merancang pelan mitigasi sekiranya berlaku gangguan ICT, operasi boleh diteruskan/dipulihkan dalam tempoh yang ditetapkan
2.	Sasaran	4 kali setahun
3.	Parameter Pengukuran	Membandingkan ujian simulasi yang dilaksanakan dalam satu tahun (a) dengan ujian simulasi yang dirancang (b)
4.	Kaedah pengukuran	Mengikut Jadual Perancangan Simulasi ICT 2022
5.	Formula Pengukuran	(a / b) x 100%
6.	Bila pengukuran & pemantauan dilaksanakan	3 bulan sekali
7.	Pelaksana Pengukuran & Pemantauan
8.	Bila analisa & penilaian dibuat	Sebaik sahaja selesai aktiviti simulasi
9.	Pelaksana analisa & penilaian
10.	Dokumen berkaitan	Minit Mesyuarat Simulasi ICT Senarai semak aktiviti simulasi
11.	Ulasan Analisa

BIL	PERKARA	PERINCIAN	PENCAPAIAN
			Perancangan	Pelaksanaan
1.	Objektif: Penyelenggara an berkala 2 kali setahun bagi setiap Komputer dan notebook yang digunakan di bahagian Perawatan Perkhidmatan Pesakit Luar	Mengemaskini maklumat inventori peralatan ICT Membuat semakan IP Statik Menyemak dan mengemaskini versi antivirus Memadamkan cache file perisian di dalam komputer Pengukuran dan pemantauan dibuat sebagai satu penambahbaikan di dalam Pelan Rawatan Risiko 2022.
2.	Sasaran	2 kali setahun
3.	Parameter Pengukuran	Bilangan peralatan yang diselenggara (a) jumlah perlatan keseluruhan (b)
4.	Kaedah pengukuran	Pengukuran menggunakan Rekod Naiktaraf AD - Senarai PC dan Notebook
5.	Formula Pengukuran	(a / b) x 100%
6.	Bila pengukuran & pemantauan dilaksanakan	6 bulan sekali
7.	Pelaksana Pengukuran & Pemantauan
8.	Bila analisa & penilaian dibuat	Sebaik sahaja selesai aktiviti penyelenggaraan berkala
9.	Pelaksana analisa & penilaian
10.	Dokumen berkaitan	Pengukuran menggunakan Rekod Naiktaraf AD - Senarai PC dan Notebook Laporan Objektif JTM Arahan Kerja Kemudahan ICT
11.	Ulasan Analisa

BIL	PERKARA	PERINCIAN	PENCAPAIAN
			Perancangan	Pelaksanaan
1.	Objektif: Penyelenggara an berkala 2 kali setahun bagi pelayan yang digunakan di PPUM	Mengemaskini maklumat inventori pelayan Menyemak windows update Menyemak dan mengemaskini versi Linux Menyemak Antivirus
2.	Sasaran	2 kali setahun
3.	Parameter Pengukuran	Bilangan peralatan yang diselenggara (a) jumlah perlatan keseluruhan (b) , offline/ lupus (c)
4.	Kaedah pengukuran	Pengukuran menggunakan senarai inventori pelayan
5.	Formula Pengukuran	(a / b) x 100%
6.	Bila pengukuran & pemantauan dilaksanakan	6 bulan sekali
7.	Pelaksana Pengukuran & Pemantauan
8.	Bila analisa & penilaian dibuat	Sebaik sahaja selesai aktiviti penyelenggaraan berkala
9.	Pelaksana analisa & penilaian
10.	Dokumen berkaitan	Preventive Maintenance Report
11.	Ulasan Analisa

6.0 CARTA ALIR

Tanggungjawab	Carta Alir	Keterangan
Urusetia Urusetia Urusetia Urusetia		Kumpu data pelaksanaan Security Metric Analisa data Bentang unllk perlirnbangan dan kelulusan mesyuarat Ambillindakan berdasarkan keputusan mesyuarat

7.0 LAMPIRAN

Tiada Berkaitan

Garis Panduan Penilaian Risiko Dan Rawatan Risiko ISMS

(PPUM-ISMS-NAD-P2-007-E03)

1.0 OBJEKTIF

Garis Panduan ini disediakan untuk menetapkan kriteria penerimaan (acceptance criteria) dan kriteria pelaksanaan (criteria performing) dan bagaimana penilaian risiko dan rawatan risiko keselamatan maklumat dinilai dan diuruskan.

2.0 SKOP

Garis Panduan ini digunapakai oleh Pasukan Pelaksana yang melaksanakan penilaian risiko dan rawatan risiko.

3.0 TERMINOLOGI

Aset (Asset)	Merangkumi semua aset iaitu perkasakan, perisian, data , perkhidmatan dan sumber yang termasuk di dalam skop pensijilan
Kerahsiaan (Confidentiality)	Kerahsiaan aset (data) tidak boleh didedahkan atau dibiarkan tanpa kawalan capaian.
Integriti (Integrity)	Ketepatan dan kesahihan aset mestilah relevan. Aset tidak boleh diubah tanpa kebenaran.
Ketersediaan (Availability)	Ketersediaan aset boleh diakses pada bila-bila masa dan digunakan atas permintaan / permohonan oleh pihak yang diberikan tanggungjawab.
Operasi (Operational)	Impak terhadap organisasi apabila penyampaian atau perlaksanaan (operasi) terganggu kerana terdapat ancaman.
Kewangan (Financial)	Impak ke atas kewangan (financial) yang menyebabkan kerugian apabila terdapat ancaman.
Reputasi (Reputation)	Impak terhadap imej organisasi (reputasi) apabila ancaman terhadap aset (sumber) berlaku.
Nilai Aset (Asset Value)	Nilai terhadap data yang berada di dalam aset yang berisiko.
Kesan (Impact)	Penentuan nilai impak sama ada meninggalkan kesan yang tinggi, sederhana atau rendah terhadap organisasi.
Kebarangkalian (Likelihood)	Nilaikan sebab atau akibat yang mungkin berlaku sekiranya risiko yang dikenal pasti terjadi dengan kawalan sedia ada.
Pemilik Risiko (Risk Owner)	Pihak yang dipertanggungjawabkan untuk menguruskan risiko.

4.0 RUJUKAN

No	Nombor Dokumen	Tajuk Dokumen
1	ISO/IEC 27001:2022	Information security, cybersecurity and privacy protection - Information security management system - Requirements
2	PPUM-ISMS-NAD-P1-003- E02	Risk Treatment Plan Summary Report
		Dokumen Penilaian Risiko

5.0 TINDAKAN DAN TANGGUNGJAWAB

5.1 Metodologi Pentaksiran Risiko

Tanggungjawab	Carta Alir	Deskripsi
Kumpulan Pelaksana Kumpulan Pelaksana Kumpulan Pelaksana Kumpulan Pelaksana Kumpulan Pelaksana Kumpulan Pelaksana Kumpulan Pelaksana Kumpulan Pelaksana Pemilik Aset / Kumpulan Pelaksana Kumpulan Pelaksana Kumpulan Pelaksana Kumpulan Pelaksana Pemilik Risiko		Kenalpasti Asset Name, Owner, Location Kenalpasti nilai aset berdasarkan pada Kerahsiaan, Integriti, & Ketersediaan (CIA). Asset Value (Maximum) = Nilai Maksimum CIA Kenal pasti Threat Name Kenal pasti keterdedahan aset tehadap ancaman Kenal pasti kawalan sedia ada Tentukan nilai impak sekiranya ancaman berlaku dengan kawalan sedia ada. Tentukan nilai kemungkinan jika ancaman berlaku dengan kawalan sedia ada. Kira nilai risiko Keputusan berdasarkan kriteria penerimaan (nilai rendah = terima) Jika nilai Medium/High, teruskan dengan Pelan Rawatan Risiko (RTP) Tentukan pilihan dan kawalan baru yang akan dilaksanakan Bandingkan kawalan baru dengan kawalan sedia ada yang disenaraikan dalam Annex A Tentukan : Orang yang bertanggungjawab untuk pelaksanaan Masa mula dan siap Hitung baki risiko untuk aset berdasarkan impak baru dan nilai kemungkinan baru Dapatkan kelulusan pemilik risiko.

Tanggungjawab

Carta Alir

Deskripsi

Kumpulan Pelaksana
Kumpulan Pelaksana
Kumpulan Pelaksana
Kumpulan Pelaksana
Kumpulan Pelaksana
Kumpulan Pelaksana
Kumpulan Pelaksana
Kumpulan Pelaksana
Pemilik Aset / Kumpulan Pelaksana

Kumpulan Pelaksana
Kumpulan Pelaksana
Kumpulan Pelaksana
Pemilik Risiko

Kenalpasti Asset Name, Owner, Location
Kenalpasti nilai aset berdasarkan pada Kerahsiaan, Integriti, & Ketersediaan (CIA). Asset Value (Maximum) = Nilai Maksimum CIA
Kenal pasti Threat Name
Kenal pasti keterdedahan aset tehadap ancaman
Kenal pasti kawalan sedia ada
Tentukan nilai impak sekiranya ancaman berlaku dengan kawalan sedia ada.
Tentukan nilai kemungkinan jika ancaman berlaku dengan kawalan sedia ada.
Kira nilai risiko

Keputusan berdasarkan kriteria penerimaan (nilai rendah = terima)

Jika nilai Medium/High, teruskan dengan Pelan Rawatan Risiko (RTP)

Tentukan pilihan dan kawalan baru yang akan dilaksanakan

Bandingkan kawalan baru dengan kawalan sedia ada yang disenaraikan dalam Annex A
Tentukan :
- Orang yang bertanggungjawab untuk pelaksanaan
- Masa mula dan siap
Hitung baki risiko untuk aset berdasarkan impak baru dan nilai kemungkinan baru
Dapatkan kelulusan pemilik risiko.

5.2 Kriteria Penilaian Risiko

Confidentiality, Integrity & Availability

	Skala Sensitiviti (CIA)	Definisi Sensitiviti Maklumat (CIA)
		Kerahsiaan (Confidentiality)	Integriti (Integrity)	Ketersediaan (Availability)
1	Low (L)	Status maklumat adalah ‘Terbuka’	Kerugian / kerosakan / pengubahsuaian tidak memberi kesan pada operasi organisasi	Tidak akan memberikan kesan kepada operasi organisasi
2	Medium (M)	Status maklumat adalah ‘Terhad’	Kerugian / kerosakan / pengubahsuaian akan memberi kesan (dapat dikenal pasti dan diperbetulkan dalam 1 hari bekerja) kepada operasi organisasi	Menyebabkan gangguan kepada operasi organisasi tetapi boleh diakses semula dan dibaiki dalam masa 1 hari bekerja
3	High (H)	Status Maklumat adalah ‘Sulit’ dan ke atas	Kerugian / kerosakan / pengubahsuaian akan memberi kesan (pada operasi harian yang mengambil masa lebih dari 1 hari bekerja untuk dikenalpasti, kerugian dan kebolehpercayaan) pada operasi organisasi	Mempengaruhi misi kritikal proses (kesan pada operasi harian lebih dari 1 hari bekerja, kerugian dan kebolehpercayaan)

* Nilai CIA adalah berdasarkan kepada penilaian maksimum

*Nilai Aset = nilai CIA yang paling maksimum

Impak (IMP) Risiko

Impak kepada risiko dinilai dan ditakrifkan berdasarkan operasi semasa, kontrak dan undang-udang organisasi. Penarafan dan definisi akan dinilai semula dalam semakan pentaksiran risiko seterusnya untuk sebarang perubahan yang diperlukan; berdasarkan operasi terbaru, kontrak dan undang-undang organisasi dan data sebenar yang dikumpulkan melalui sebarang potensi insiden keselamatan / insiden keselamatan sebenar.

	Skala Impak	Definisi Impak
		Operasi [Operation (O)]	Kewangan [Financial (F)]	Reputasi [Reputation (R)]
1	Low (L)	Penyampaian perkhidmatan terjejas, penyelesaian dapat dilakukan dalam masa 1 jam	Kerugian kewangan ≤ RM50,000	Reputasi staf terjejas
2	Medium (M)	Tidak dapat memberikan perkhidmatan, masa pemulihan antara 1 jam hingga 4 jam	Kerugian kewangan di antara RM50,000 sehingga RM500,000	Reputasi Jabatan terjejas
3	High (H)	Tidak dapat memberikan perkhidmatan, masa pemulihan lebih dari 4 jam	Kerugian kewangan ≥ RM500,000	Reputasi PPUM terjejas

* Impak = menentukan nilai impak sekiranya ancaman berlaku dengan kawasan semasa

Likelihood (LH) of Risk

Likelihood risiko dinilai dan ditakrifkan berdasarkan kepada pengalaman terdahulu yang dihadapi oleh organisasi. Penarafan dan definisi akan dinilai semula dalam semakan pentaksiran risiko seterusnya untuk sebarang perubahan yang diperlukan; berdasarkan data sebenar yang dikumpulkan melalui sebarang potensi insiden keselamatan / insiden keselamatan sebenar.

	Skala Likelihood	Definisi Likelihood
1	Low (L)	Kejadian berlaku dalam setahun ≤ 2 kali
2	Medium (M)	Kejadian berlaku dalam setahun = 3 - 5 kali
3	High (H)	Kejadian berlaku dalam setahun ≥ 6 kali

Nilai Risiko

Formula mengira Risk Value = Asset Value x SUM Impact x Likelihood

Nilai Risiko	Tahap Penilaian Risiko			Tindakan
3 - 10	Low	Accept	NA	Tidak perlu tindakan yang diperlukan pada item ini
11 - 47	Medium	Mitigate	Reduce/ Transfer/ Avoid	Laksanakan tindakan Penguraian Risiko dalam tempoh 6 bulan selepas risiko dikenalpasti
48 - 81	High	Mitigate	Reduce/ Transfer/ Avoid	Laksanakan tindakan Penguraian Risiko dengan segera dalam tempoh 3 bulan selepas risiko dikenalpasti

6.0 REKOD KUALITI

Bil	Rekod	Lokasi	Tempoh Penyimpanan	Tanggungjawab
1.	Jadual Penilaian Risiko dan Rawatan Risiko	JTM	7 Tahun	Urusetia

7.0 LAMPIRAN

Tiada Berkaitan