Keselamatan Siber

Pelan Pengurusan Keselamatan Maklumat (ISMP) di sini Sedia Membantu Anda

PENGENALAN – APA ITU ISMP?

Pelan Pengurusan Keselamatan Maklumat (ISMP) direka untuk melindungi maklumat dan sumber kritikal ICT daripada pelbagai ancaman untuk memastikan kesinambungan perniagaan, meminimumkan risiko perkhidmatan dan seterusnya meningkatkan tahap keselamatan.

ISMP mentakrif maklumat terperinci berhubung maklumat yang dilindungi, pelaksanaan kawalan dan kaedah keselamatan terhadap maklumat, sistem-sistem teknologi maklumat dan komunikasi yang terlibat, manusia yang berinteraksi dengan sistem-sistem ini secara fizikal atau maya, serta persekitaran fizikal sistem-sistem tersebut disimpan.

MENYEDIAKAN ISMP – SATU LANGKAH MEMATUHI KEPERLUAN RAKKSSA

Rangka Kerja Keselamatan Siber Sektor Awam (RAKKSSA) memberi panduan asas yang merangkumi semua komponen keselamatan yang perlu diambil kira oleh kementerian dan agensi sektor awam untuk melindungi maklumat dalam ruang siber. Rangka kerja ini juga menjelaskan tatacara pengendalian Maklumat Rahsia Rasmi dan keperluan merujuk kepada Pejabat Ketua Pegawai Keselamatan Kerajaan (CGSO) bagi urusan berkaitan pewujudan, pengkelasan, pengendalian, simpanan, premis dan pelupusan maklumat. Kementerian dan agensi sektor awam Malaysia disarankan untuk membangunkan Polisi Keselamatan Siber Jabatan masing-masing berdasarkan RAKKSSA dan Polisi Keselamatan Siber Sektor Awam bagi mengurus dan memastikan semua aktiviti yang dilaksanakan mematuhi keperluan keselamatan.

Pada peringkat projek pula, kesemua dokumen ini perlu dirujuk dan garis panduan lebih terperinci perlu diperoleh daripada akta, peraturan dan garis panduan keselamatan siber sedia ada yang berkuat kuasa bagi membangunkan Pelan Pengurusan Keselamatan Maklumat (ISMP) untuk projek-projek ICT. ISMP bagi projek mengandungi maklumat terperinci keutamaan aplikasi, kawalan capaian dan lain-lain keperluan khusus. Kawalan keselamatan disediakan berpandukan dasar, polisi dan akta berkaitan.

Keseluruhan struktur pengurusan dan keselamatan maklumat hendaklah diambil kira dalam merangka proses, sistem maklumat dan kawalan dalam ISMP. Tujuan utama ISMP adalah: (1) untuk memastikan semua aspek keselamatan penting diambil kira pada semua peringkat pembangunan, pelaksanaan, perkhidmatan dan pengoperasian projek dan perkhidmatan; dan (2) untuk mengenal pasti, cadang serta merancang pelaksanaan penyelesaian keselamatan bagi mencapai objektif keselamatan yang ditetapkan untuk sesuatu projek. ICT yang dilaksanakan. Selain itu, ISMP juga penting untuk (3) menyediakan warga organisasi tentang pelan pengurusan keselamatan yang perlu dilaksanakan untuk mencapai pematuhan kepada undang-undang dan peraturan keselamatan maklumat yang berkuat kuasa dan berkaitan. Dengan itu, bersama kita jadi ISMP satu kemestian dalam Projek ICT.

Rajah 1 Hirarki Rujukan Dokumen

FAEDAH ISMP

Peningkatan dalam risiko keselamatan siber, menjadikan Pelan Pengurusan Keselamatan Maklumat satu keperluan. Antara kepentingan ISMP adalah:

1.                   Melindungi data sensitif.

ISMP melindungi aset maklumat sama ada dalam bentuk fizikal, digital atau yang berada di awan. Aset ini meliputi

data peribadi, harta intelek, data kewangan, data pelanggan dan data yang diamanahkan kepada organisasi.

2.                   Mengenal pasti risiko untuk tindakan kawalan.

ISMP mengutamakan penilaian risiko yang akan mengenal pasti dan menilai risiko berkaitan untuk tindakan kawalan. Dengan itu, akan membantu tindakan mencegah insiden dan menggalakkan kesedaran tentang ancaman serta membolehkan pelaksanaan langkah kawalan yang munasabah untuk mengurangkan impak risiko.

3.                   Menyesuaikan diri dengan ancaman yang muncul.

Ancaman keselamatan sentiasa berkembang. ISMP membantu organisasi menyediakan panduan untuk menyesuaikan diri dengan ancaman baru dan landskap keselamatan yang sentiasa berubah.

4.                   Memenuhi pematuhan peraturan.

ISMP membantu organisasi patuh keperluan dasar, polisi, pekeliling dan keperluan kontrak serta memberikan pemahaman yang lebih baik tentang persekitaran semasa sistem maklumat.

5.                   Menyediakan kesinambungan perniagaan.

Apabila organisasi membangunkan dan melaksanakan ISMP, secara langsung akan meningkatkan tahap pertahanan terhadap ancaman. Pelaksanaan ISMP akan mengurangkan bilangan insiden keselamatan, seperti serangan siber, mengurangkan gangguan dan tempoh masa gangguan perkhidmatan, yang merupakan faktor penting untuk mengekalkan kesinambungan perniagaan.

PUNCA KUASA PELAKSANAAN ISMP

Rangka kerja keselamatan siber RAKKSSA) VERSI 1.0, APRIL 2016 menyatakan:

“Komponen keselamatan yang perlu diambil kira oleh kementerian dan agensi sektor awam untuk melindungi maklumat dalam ruang siber mereka selain dari Polisi Keselamatan Siber Jabatan adalah pembangunan Pelan Pengurusan Keselamatan Maklumat khususnya untuk projek-projek ICT.”

Untuk maklumat lanjut, sila layari https://www.malaysia.gov.my/portal/content/30090

LANGKAH-LANGKAH PENTING DALAM PENYEDIAAN ISMP

Pelan Keselamatan Pengurusan Maklumat (ISMP) penting untuk projek-projek ICT bagi memastikan integriti data, privasi data, keselamatan maklumat dan kerahsiaan maklumat

projek dilindungi dan terpelihara. Bagi membangunkan ISMP, adalah perlu untuk agensi melakukan perkara-perkara berikut untuk menghasilkan pelan yang boleh dirujuk.

  1. Kenal pasti data dan aset yang terlibat.
  2. Tentukan klasifikasi data projek dan kawalan semasa pemprosesan data.
  3. Senaraikan sistem, alatan, perkakasan, perisian, proses dan orang terlibat.
  4. Kenal pasti kawalan semasa, risiko berkaitan dan tentukan rawatan risiko.
  5. Sediakan penyelesaian keselamatan untuk semua peringkat pelaksanaan dan aliran data projek.
  6. Tentukan aspek keselamatan perlu diambil kira pada semua peringkat perolehan, reka bentuk, pembangunan, ujian dan pelaksanaan.
  7. Bangunkan postur keselamatan maklumat yang komprehensif.

PROGRAM BOOTCAMP SEBAGAI MEDIUM KESEDARAN DAN PENDEDAHAN

Bootcamp Pengurusan Keselamatan Maklumat merupakan program tahunan yang dianjurkan oleh Bahagian Perundingan ICT, MAMPU untuk memberi kesedaran dan pendedahan berkaitan keselamatan maklumat dengan penyertaan program adalah terbuka kepada semua Pegawai Teknologi Maklumat (PTM), sektor awam.

Bootcamp tahun 2022 telah diadakan pada 5 dan 6 September 2022 secara kolaborasi dengan Pejabat Setiausaha Kerajaan (PSUK) Negeri Terengganu. Objektif utama program bootcamp adalah untuk:

  1. Memberi penerangan mengenai ISMP.
  2. Memberikan latihan hands-on pembangunan ISMP untuk projek-projek ICT di agensi masing-masing.

Pengisian program bootcamp turut melibatkan sesi pembentangan tajuk-tajuk berkaitan ancaman dan pengurusan keselamatan maklumat oleh penceramah-penceramah jemputan yang terdiri daripada pakar-pakar ICT dalaman MAMPU dan agensi luar iaitu Pejabat Ketua Pegawai Keselamatan Kerajaan Malaysia (CGSO), Agensi Keselamatan Siber Negara (NACSA) dan syarikat Tech Titan Distribution Sdn Bhd. Bootcamp ini telah dihadiri oleh 30 orang peserta dari pelbagai Kementerian, Jabatan dan Pejabat Setiausaha Kerajaan (PSUK) Negeri.

Maklum balas peserta memberi sambutan positif terhadap program yang diadakan dan menyarankan agar program dilanjutkan pada masa hadapan dengan skop program yang lebih luas dan merangkumi semua aspek keselamatan ICT. Secara keseluruhannya, pelaksanaan bootcamp telah berjaya memberi pendedahan mengenai ISMP sebagai panduan kepada PTM agensi sektor awam dalam meningkatkan keselamatan maklumat bagi sesuatu projek ICT kerajaan.

TIP PENTING ISMP

i.              Laksana tindakan kawalan setara dengan nilai maklumat

Pelan Pengurusan Keselamatan Maklumat (ISMP) hendaklah mencadangkan tindakan kawalan berdasarkan nilai maklumat yang dilindungi dari aspek aset manusia, proses dan teknologi.

ii.            Semakan secara berkala

Pelan Pengurusan Keselamatan Maklumat (ISMP) yang dibangunkan disarankan untuk disemak dan dikemas kini secara berkala bagi memastikan ianya sentiasa relevan dan boleh dirujuk. Menjadi tanggungjawab pasukan projek untuk memastikan ISMP yang dibangunkan adalah terkini dan tepat.

iii.           Kemas kini bila ada perubahan

Pelan Pengurusan Keselamatan Maklumat (ISMP) yang dibangunkan juga perlu dikemas kini bila berlaku perubahan pada tadbir urus dan infrastruktur ICT projek. Perubahan yang berlaku perlu dikemas kini dalam ISMP yang disediakan agar maklumat-maklumat yang terkandung dalam ISMP adalah tepat betul dan boleh dirujuk.

KESIMPULAN

Pelan Pengurusan Keselamatan Maklumat (ISMP) merupakan satu keperluan yang harus disediakan untuk projek-projek ICT agensi bagi melindungi data dan aset agensi dan hendaklah disemak secara berkala mengikut keperluan (RAKKSSA, 2016). ISMP membantu organisasi sentiasa mengetahui ancaman dan kelemahan, meminimumkan dan mengurangkan risiko serta memastikan kesinambungan perniagaan.

Pembangunan dan pelaksanaan ISMP merupakan kaedah pengurusan keselamatan maklumat untuk melindungi data dan aset organisasi daripada potensi ancaman. Matlamat utama ISMP ini adalah untuk melindungi kerahsiaan, integriti dan ketersediaan data dan maklumat serta keselamatan sistem yang menyokong operasi dan aset agensi dan seterusnya memastikan kesinambungan perkhidmatan. Peningkatan dalam risiko keselamatan siber, menjadi ISMP lebih penting. Bagi memastikan ISMP yang dibangunkan memberi manfaat dan faedah kepada agensi, ianya hendaklah mencadangkan tindakan kawalan berdasarkan nilai maklumat yang dilindungi dari aspek aset manusia, proses dan teknologi, dikemas kini secara berkala dan bila berlaku perubahan pada infrastruktur serta tadbir urus. Pembangunan, semakan dan kemas kini ISMP boleh dilaksanakan dengan melantik perunding mengikut kesesuaian dan keperluan. Pelaksanaan ISMP di agensi secara tidak langsung akan memastikan kepatuhan pada keperluan yang telah ditetapkan oleh RAKKSSA 2016.

RUJUKAN

Somepalli, Sri & Tangella, Sai & Yalamanchili, Santosh. (2020). Information Security Management. HOLISTICA – Journal of Business and Public Administration. 11. 1-16. Retrieved January 11, 2023, from the World Wide Web:10.2478/hjbpa-2020-0015.

Al-Dhahri, Sahar & Al-Sarti, Manar & Abdaziz, Azrilah. (2017). Information Security Management System.

International Journal of Computer Applications. 158. 29-33. Retrieved January 11, 2023, from the World Wide Web:10.5120/ijca2017912851.

Malaysia, (2016). RAKKSSA Versi 1.0, Rangka Kerja Keselamatan Siber Sektor Awam. Malaysia, (2006). Akta 88, Undang-Undang, Malaysia Akta Rahsia Rasmi 1972.

Malaysia, (2006). SPA Bil 1 Tahun 2020, Pemakluman Pemakaian dan Penguatkuasaan Arahan Keselamatan (Semakan Dan Pindaan 2017).

Leave a Reply

Your email address will not be published. Required fields are marked *