Polisi Umum

POLISI KESELAMATAN TEKNOLOGI MAKLUMAT DAN KOMUNIKASI (ICT)

UNIVERSITI SAINS MALAYSIA

 I. Pengenalan

Untuk memenuhi kehendak misi pengajaran, pembelajaran, penyelidikan, pentadbiran dan pengurusan, Universiti Sains Malaysia adalah komited untuk menyediakan prasarana teknologi maklumat dan komunikasi (ICT) yang selamat tetapi terbuka yang melindungi integriti dan kerahsiaan maklumat, dan dalam masa yang sama menjamin aksesibiliti.

Sumber-sumber teknologi maklumat dan komunikasi (ICT) Universiti termasuk data-data, aplikasi-aplikasi, sistem-sistem, hadwer, sofwer, rangkaian-rangkaian adalah harta benda yang berharga. Harta benda tersebut adalah berisiko dari ancaman-ancaman seperti kesilapan pengguna atau kejadian-kejadian yang tidak dijangka, kegagalan-kegagalan sistem yang berpanjangan, bencana alam, dan perbuatan jenayah atau yang berniat jahat. Kejadian-kejadian tersebut boleh menyebabkan kerosakan atau kehilangan sumber-sumber maklumat, kehilangan ketepatan atau integriti data, atau gangguan keatas kelicinan perjalanan prosesan data.

Polisi Keselamatan Teknologi Maklumat Dan Komunikasi ini memberi perhatian ke atas pengurangan risiko kepada sumber-sumber ICT menerusi kawalan-kawalan dan langkah-langkah pencegahan yang dibentuk untuk mengesan berlakunya kesilapan-kesilapan atau perkara-perkara yang luar biasa. Pihak Universiti menyedari hakikat bahawa keselamatan sepenuhnya ke atas sumber-sumber ICT dari ancaman-ancaman merupakan suatu harapan yang tidak realistik dan memerlukan tahap komitmen sumber-sumber yang terlalu tinggi yang tidak tertanggung oleh Universiti. Oleh itu, matlamat Universiti untuk mengurangkan risiko adalah berasaskan kepada prinsip, tahap dan jenis keselamatan, serta mencerminkan:

    1. Kegentingan sesuatu Sumber Maklumat Elektronik kepada operasi Universiti;
    2. Sensitiviti data yang tersimpan atau yang diakses melalui Sumber Maklumat Elektronik;
    3. Kos langkah-langkah pencegahan dan kawalan untuk tujuan mengesan kesilapan-kesilapan atau perkara-perkara yang di luar jangkaan; dan
    4. Tahap risiko yang sanggup ditanggung oleh pihak Universiti.

Dokumen ini juga memberi perhatian berhubung pemulihan kepada sumber-sumber teknologi maklumat dan komunikasi jika berlaku sesuatu bencana. Pemulihan bencana sumber ICT adalah satu komponen pelan kesinambungan perkhidmatan.

Tujuan utama Polisi ini ialah memaklumkan kepada pengguna-pengguna sumber ICT Universiti tentang tanggungjawab mereka untuk melindungi sumber-sumber ICT Universiti.

II. Pernyataan Polisi Keselamatan Teknologi Maklumat Dan Komunikasi

Keselamatan ditakrifkan sebagai keadaan yang bebas daripada ancaman dan risiko yang tidak boleh diterima. Keselamatan ialah suatu proses yang berterusan. Ia melibatkan aktiviti berkala yang mesti dilakukan dari semasa ke semasa untuk menjamin keselamatan kerana ancaman dan kelemahan sentiasa berubah.

Keselamatan ICT adalah bermaksud keadaan yang mana segala urusan menyedia dan membekalkan perkhidmatan yang berasaskan kepada sistem ICT berjalan secara berterusan tanpa gangguan yang boleh menjejaskan keselamatan ICT. Keselamatan ICT berkait rapat dengan perlindungan sumber ICT.

Keselamatan ICT juga merangkumi langkah-langkah yang diambil bagi mengurangkan impak akibat sebarang pelanggaran keselamatan atau bencana yang berlaku, sungguhpun langkah-langkah pencegahan telah diambil.    

Komponen-komponen asas Keselamatan ICT termasuk:

    1. Melindungirahsia rasmi dan maklumat rasmi Universiti dari akses tanpa kuasa yang sah;
    2. Melindungi kerahsiaan maklumat peribadi pengguna-pengguna dari akses tanpa kuasa yang sah;
    3. Menjamin setiap maklumat adalah tepat dan sempurna;
    4. Mempastikan ketersediaan sumber-sumberapabila diperlukan; dan
    5. Mempastikan akses hanya kepada pengguna-pengguna yang sah atau penerimaan maklumat dari sumber yang sah.

Polisi Keselamatan ICT Universiti merangkumi perlindungan keatas semua Sumber Maklumat Elektronik bertujuan untuk menjamin keselamatan Sumber Maklumat Elektronik tersebut dan kebolehsediaan kepada semua pengguna yang dibenarkan. Ciri-ciri utama keselamatan Sumber Maklumat Elektronik adalah seperti berikut:

a) Kerahsiaan

Sumber Maklumat Elektronik tidak boleh didedahkan sewenang-wenangnya atau dibiarkan diakses tanpa kebenaran pihak berkuasa.

b) Integriti

Data dan maklumat hendaklah tepat, lengkap dan terkemaskini. Ia hanya boleh diwujud, diubah atau dihapus oleh orang yang diberi kuasa yang sah sahaja dan mengikut prosedur yang dibenarkan.

c) Tidak Boleh Disangkal

Punca data dan maklumat hendaklah dari punca yang sah dan tidak boleh disangkal.

d) Kesahihan

Data dan maklumat hendaklah dijamin kesahihannya.

e) Kebolehsediaan

Memastikan pengguna-pengguna yang sah boleh mengakses Sumber Maklumat Elektronik pada bila-bila masa.

III. Matlamat Polisi

Matlamat utama Polisi ICT Universiti adalah seperti berikut:

    1. Memastikan sumber-sumber ICT dilindungi secukupnya dari perbuatan salahguna atau kecurian/kehilangan;
    2. Meminimumkan risiko ke atas sumber-sumber ICT;
    3. Memastikan kelancaran operasi harian sumber-sumber ICT; dan
    4. Melindungi kepentingan pihak-pihak yang bergantung kepada sumber-sumber ICT daripada kesan kegagalan atau kelemahan dari segi kerahsiaan, integriti, kebolehsediaan, kesahihan dan aksesibiliti sumber-sumber ICT.

IV. Prinsip-Prinsip Polisi Keselamatan ICT

Prinsip-prinsip keselamatan ICT Universiti adalah seperti berikut:

a) Akses Atas Dasar Perlu

Akses kepada sumber ICT hanya diberikan untuk tujuan spesifik dan dihadkan kepada pengguna tertentu atas dasar ‘perlu mengetahui’ sahaja. Akses akan hanya dibenarkan sekiranya peranan atau tanggungjawab tugasnya memerlukan penggunaan sumber maklumat elektronik. Pertimbangan akses di bawah prinsip ini adalah berasaskan kepada klasifikasi maklumat dan tapisan keselamatan pengguna seperti berikut:

(i) Klasifikasi Maklumat

Keselamatan ICT Universiti hendaklah mematuhi ‘Arahan Keselamatan Kerajaan’ perenggan 53, muka surat 15, di mana maklumat di kategorikan kepada Rahsia Besar, Rahsia, Sulit dan Terhad. Data, bahan atau maklumat rasmi yang sensitif atau bersifat terperingkat hendaklah dilindungi daripada pendedahan, dimanipulasi atau diubah semasa dalam penghantaran. Penggunaan kod atau tanda tangan digital hendaklah dipertimbangkan bagi melindungi data yang dikirim secara elektronik. Polisi kawalan akses ke atas aplikasi atau sistem juga hendaklah mengikut klasifikasi maklumat yang sama.

(ii) Tapisan Keselamatan Pengguna

Polisi Keselamatan ICT Universiti adalah mematuhi prinsip bahawa pengguna boleh diberi kebenaran mengakses kategori maklumat tertentu setelah siasatan menunjukkan tiada sebab atau faktor untuk menghalang pengguna tersebut daripada berbuat demikian.

b) Hak Akses Minimum

Hak akses kepada pengguna hanya diberi pada tahap set yang paling minimum iaitu untuk membaca dan/atau melihat sahaja. Kelulusan khas daripada pentadbir sistem adalah diperlukan untuk membolehkan pengguna mewujud, menyimpan, mengemaskini, mengubah atau membatalkan sesuatu data atau maklumat.

c) Akauntabiliti

Semua pengguna adalah bertanggungjawab ke atas semua tindakannya terhadap sumber ICT di bawah jagaannya atau yang digunakannya. Tanggungjawab ini hendaklah dinyatakan dengan jelas sejajar dengan tahap sensitiviti sesuatu sumber ICT berkenaan. Untuk menentukan tanggungjawab ini dipatuhi, sistem ICT hendaklah mampu menyokong kemudahan mengesan atau mengesah bahawa pengguna tersebut dipertanggungjawabkan atas tindakan mereka.

Akauntabiliti atau tanggungjawab pengguna termasuk, tetapi tidak terhad kepada:

      1. Menghalang pendedahan maklumat kepada pihak yang tidak dibenarkan;
      2. Memeriksa maklumat dan menentukan ianya tepat dan lengkap dari semasa ke semasa;
      3. Menentukan maklumat sedia untuk digunakan;
      4. Menjaga kerahsiaan kata laluan;
      5. Mematuhi standard, prosedur, langkah dan garis panduan keselamatan yang ditetapkan;
      6. Memberi perhatian kepada maklumat terperingkat terutama semasa pewujudan, pemprosesan, penyimpanan, penghantaran, penyampaian, pertukaran dan pemusnahan; dan
      7. Menjaga kerahsiaan langkah-langkah Keselamatan ICT dari diketahui umum.

d) Pengasingan

Prinsip pengasingan bermaksud bahawa semua tugas-tugas mewujud, memadam, kemaskini, mengubah dan mengesahkan data diasingkan. Ia bertujuan untuk menghindari akses yang tidak dibenarkan dan melindungi sumber ICT daripada kesilapan, kebocoran maklumat terperingkat, dimanipulasi dan seterusnya, mengekalkan integriti dan kebolehsediaan.

Pengasingan juga merangkumi tindakan memisahkan antara kumpulan-kumpulan kerja. Sebagai contoh, Kumpulan Operasi dan Kumpulan Rangkaian. Ia bertujuan untuk mengasingkan akses kepada domain kedua-dua kumpulan tersebut seperti akses kepada fail data, fail program, kemudahan sistem dan komunikasi, manakala pemisahan antara domain pula adalah untuk mengawal dan mengurus perubahan pada konfigurasi dan keperluan sistem.

Pada tahap minimum, semua sistem ICT perlu mengekalkan persekitaran operasi yang berasingan seperti berikut:

      1. Persekitaran pembangunan di mana sesuatu aplikasi dalam proses pembangunan;
      2. Persekitaran penerimaan iaitu peringkat di mana sesuatu aplikasi diuji; dan
      3. Persekitaran sebenar di mana aplikasi sedia untuk

e) Pengauditan

Pengauditan adalah tindakan untuk mengenalpasti insiden-insiden atau keadaan-keadaan yang mengancam keselamatan. Ia membabitkan semua rekod berkaitan tindakan keselamatan. Dengan itu, sumber ICT seperti komputer pelayan, router, firewall dan rangkaian hendaklah dipastikan dapat menyimpan dan menjanakan log tindakan keselamatan atau audit trail. Kepentingan audit trail menjadi semakin ketara apabila wujud keperluan untuk mengenalpasti punca masalah atau ancaman kepada keselamatan sumber ICT. Oleh itu, rekod audit hendaklah dilindungi dan tersedia untuk penilaian atau tindakan serta merta.

Pengauditan juga perlu dibuat ke atas rekod-rekod manual seperti dokumen operasi, nota  serah tugas, kelulusan keluar pejabat, memorandum, borang kebenaran, surat kuasa, senarai inventori dan kemudahan akses log. Ini adalah kerana dalam kes-kes tertentu, dokumen ini diperlukan untuk menyokong audit trail sistem komputer.

Pada dasarnya, pengauditan adalah penting dalam menjamin akauntabiliti. Antara lain, ia dapat dirujuk bagi menentukan perkara-perkara berikut:

      1. Mengesan pematuhan atau perlanggaran keselamatan;
      2. Menyediakan catatan peristiwa mengikut urutan masa yang boleh digunakan untuk mengesan punca berlakunya perlanggaran keselamatan; dan
      3. Menyediakan bahan bukti bagi menentukan sama ada berlakunya perlanggaran keselamatan.

f) Pematuhan

Pematuhan adalah merupakan prinsip penting dalam menghindar dan mengesan sebarang perlanggaran Polisi. Pematuhan kepada Polisi Keselamatan Teknologi Maklumat Dan Komunikasi Universiti boleh dicapai melalui tindakan-tindakan berikut:

      1. Mewujudkan proses yang sistematik khususnya dalam menjamin keselamatan ICT untuk memantau dan menilai tahap pematuhan langkah-langkah keselamatan yang telah dikuatkuasakan;
      2. Merumuskan pelan pematuhan untuk menangani sebarang kelemahan atau kekurangan langkah-langkah keselamatan ICT yang dikenalpasti;
      3. Melaksanakan program pemantauan keselamatan secara berterusan untuk memastikan standard, prosedur dan garispanduan keselamatan dipatuhi; dan
      4. Menguatkuasakan amalan melapur sebarang peristiwa yang mengancam keselamatan ICT dan seterusnya mengambil tindakan pembetulan.

 Aktiviti-aktiviti berikut adalah dilarang keras di bawah Polisi ini:

      1. Mengganggu, merosak atau menyekat perjalanan sumber-sumber ICT Universiti;
      2. Dengan sengaja menyebarkan sebarang virus komputer, worms atau sofwer-sofwer lain yang merosakkan (malicious softwares);
      3. Cuba mengakses atau mengeksploit sumber-sumber ICT yang mana dia tidak diberi kebenaran untuk berbuat demikian;
      4. Dengan sengaja membolehkan tahap-tahap akses atau eksploitasi sumber-sumber ICT yang tidak sepatutnya, oleh orang lain;
      5. Memuat turun data/maklumat yang sensitif atau sulit ke komputer-komputer yang tidak dikonfigurasikan secukupnya untuk melindungi dari akses yang tidak dibenarkan; dan
      6. Menyebarkan sebarang data atau maklumat yang dia tidak mempunyai hak untuk berbuat demikian.

g) Pemulihan

Pemulihan sistem amatlah perlu untuk memastikan kebolehsediaan dan kebolehcapaian sumber-sumber ICT dan sumber-sumber maklumat elektronik. Matlamat utama adalah untuk meminimumkan sebarang gangguan atau kerugian akibat daripada ketidaksediaan. Pemulihan boleh dicapai melalui Prosedur-prosedur Backup dan Pemulihan atau Pelan Pemulihan Bencana dan Kesinambungan Perkhidmatan.

V. Skop Polisi

Polisi Keselamatan Teknologi Maklumat dan Komunikasi Universiti menetapkan keperluan-keperluan asas seperti berikut:

    1. Sumber-sumber maklumat elektronik hendaklah boleh diakses berterusan dengan cepat, tepat, mudah dan boleh dipercayai. Ini adalah penting bagi membolehkan penyampaian perkhidmatan ICT berjalan dengan berkesan dan berkualiti;
    2. Sumber-sumber maklumat elektronik hendaklah dijaga kerahsiaannya dan dikendalikan sebaik mungkin pada setiap masa bagi memastikan kesempurnaan dan ketepatannya terjamin;
    3. Kesemua sumber-sumber ICT digunakan mengikut peraturan-peraturan yang telah digubal.

Sumber-sumber ICT Universiti terdiri daripada manusia, hadwer, sofwer, aplikasi, sistem telekomunikasi  dan data. Sumber-sumber ini adalah harta yang amat berharga di mana  Universiti bergantung untuk menjalankan urusan Universiti dengan lancar. Keselamatan ICT adalah berhubung perlindungan sumber-sumber berikut:

    1. Sumber Maklumat Elektronik: Sumber yang digunakan untuk menyokong urusan perkhidmatan Universiti yang melibatkan media storan elektronik, prosesan atau penghantaran data, dan juga data itu sendiri. Sumber-sumber Maklumat Elektronik termasuk sistem-sistem aplikasi, sistem-sistem pengoperasian, sofwer utliti, sistem-sistem komunikasi, data (sama ada dalam bentuk mentah, ringkasan atau ditafsirkan) dan perkakasan yang berkaitan seperti komputer pelayan, komputer peribadi, perkakasan komunikasi dan lain-lain perkakasan yang digunakan untuk menyokong urusan perkhidmatan Universiti.
    2. Sumber Komunikasi Elektronik:  Gabungan perkakasan telekomunikasi, alat-alat transmisi, video elektronik dan perkakasan audio, perkakasan mengkod dan mentafsir kod, komputer peribadi, prosesan data atau sistem-sistem storan, sistem-sistem komputer, komputer pelayan, rangkaian-rangkaian komputer, alat-alat input/output dan penyambungannya, dan rekod-rekod komputer, program, sofwer dan dokumentasi yang berkaitan yang menyokong perkhidmatan komunikasi elektronik.
    3. Dokumentasi:  Semua dokumentasi (manual dan prosedur) yang mengandungi maklumat berkaitan dengan spesifikasi teknikal (termasuk dan tidak terhad kepada kod sumber, struktur dan kamus data), penggunaan dan pemasangan perkakasan, sofwer dan sistem aplikasi samaada dalam bentuk elektronik dan bukan elektronik. Ia juga meliputi data dalam semua bentuk media seperti salinan kekal, salinan elektronik, transparencies, risalah dan slaid.
    4. Manusia:  Semua pengguna yang dibenarkan termasuk pentadbir dan pengurus serta mereka yang bertanggungjawab ke atas Keselamatan ICT Universiti.
    5. Premis Komputer dan Komunikasi: Premis yang digunakan unrtuk menempatkan sumber-sumber ICT a) – c) di atas.

Setiap perkara di atas hendaklah diberi perlindungan rapi. Sebarang kebocoran rahsia atau kelemahan perlindungan adalah dianggap sebagai perlanggaran langkah-langkah keselamatan.

Di samping itu, Polisi Keselamatan Teknologi Maklumat Dan Komunikasi Universiti ini juga adalah saling lengkap-melengkapi dan perlu dilaksanakan secara konsisten dengan undang-undang negara, Dasar Keselamatan ICT Kerajaan, Polisi ICT Universiti dan Polisi-polisi Universiti yang berkaitan.

Selain berkemungkinan menghadapi tindakan undang-undang, mereka-mereka yang melanggar Polisi ini mungkin disabitkan tindakan disiplin mengikut peraturan-peraturan Universiti yang sedia ada atau ditarik balik keistimewaan menggunakan ICT Universiti.

VI. Polisi-Polisi Berkaitan  

Di samping Polisi ini, semua pengguna-pengguna adalah tertakluk kepada Polisi-polisi berikut:

    1. Arahan Keselamatan
    2. Akta Rahsia Rasmi 1972
    3. Akta Kawasan Larangan dan Tempat Larangan 1959
    4. Pekeliling Am Bil. 3 Tahun 2000 – Rangka Dasar Keselamatan Teknologi Maklumat dan Komunikasi Kerajaan
    5. Pekeliling Am Bil. 1 Tahun 2001 – Mekanisme Pelaporan Insiden Keselamatan Teknologi Maklumat dan Komunikasi (ICT)
    6. Computer Crimes Act 1997
    7. Digital Signature Act 1997
    8. Communications and Multimedia Act 1998
    9. Malaysian Communications and Multimedia Commission Act 1998

Polisi-polisi yang lebih spesifik berhubung hadwer dan sofwer, komunikasi, fizikal, media dan dokumen, kesinambungan perkhidmatan dan perkhidmatan luaran adalah sebagaimana di dalam Lampiran A, B, C, D, E dan F masing-masing.

ORGANISASI KESELAMATAN

I. Pengenalan

Pelaksanaan Polisi ini hendaklah dijalankan oleh Naib Canselor dibantu oleh Jawatankuasa Keselamatan ICT Universiti yang dipengerusikan oleh Ketua Pegawai Maklumat (CIO) Universiti, Pegawai Keselamatan ICT (ICTSO) Universiti sebagai Setiausaha dan keahlian lain adalah dilantik oleh pihak Universiti.

II. Tanggungjawab

Naib Canselor dan ahli-ahli Jawatankuasa Keselamatan ICT Universiti adalah bertanggungjawab untuk menentukan strategi dan skop Keselamatan ICT.

III. Naib Canselor

Tugas dan tanggungjawab Naib Canselor adalah seperti berikut:

    1. Memastikan semua pengguna perkhidmatan ICT USM termasuk kakitangan, pelajar, pembekal, kontraktor dan pembekal perkhidmatan dari luar yang menjalankan kerja di USM memahami peruntukan-peruntukan yang terdapat di dalam Polisi Keselamatan ICT USM;
    2. Memastikan semua pengguna perkhidmatan ICT USM tertakluk kepada Polisi Keselamatan ICT USM (tindakan-tindakan perlu mestilah diambil ke atas ketidakpatuhan mana-mana langkah keselamatan);
    3. Memastikan sumber-sumber yang mencukupi samada kakitangan dan kewangan, disediakan untuk program-program keselamatan ICT; dan
    4. Bertanggungjawab terhadap penilaian program-program risiko dan Keselamatan ICT berasaskan Polisi Keselamatan ICT Universiti.

Jawatankuasa Keselamatan ICT Universiti

Tugas dan tanggungjawab Jawatankuasa Keselamatan ICT Universiti adalah seperti berikut:

    1. Menentukan halatuju keselamatan ICT Universiti;
    2. Membangun dan mencadangkan pelan-pelan dan polisi-polisi keselamatan ICT Universiti;
    3. Menyenarai isu-isu keselamatan ICT mengikut keutamaan, yang dihadapi oleh Universiti;
    4. Menyediakan cadangan-cadangan bagaimana Universiti harus bertindak berhubung isu-isu tersebut, termasuk sumber-sumber yang diperlukan untuk melaksanakan cadangan-cadangan tersebut;
    5. Menyenarai teknologi-teknologi untuk menghadapi ancaman-ancaman keselamatan ICT;
    6. Membangun dan mencadangkan program latihan dan pembudayaan keselamatan ICT; dan
    7. Membangun dan mencadangkan mekanisma-organisasi bagi permasalahan  keselamatan ICT.

Ketua Pegawai Maklumat (CIO) Universiti

Tugas dan tanggungjawab Ketua Pegawai Maklumat (CIO) Universiti adalah seperti berikut:

    1. Membantu Naib Canselor menjalankan tanggungjawabnya terhadap Keselamatan ICT Universiti ;
    2. Menterjemahkan tanggungjawab Naib Canselor ke dalam suatu pelan tindakan yang efektif; dan
    3. Memasukkan keperluan-keperluan keselamatan ICT ke dalam Pelan Strategik ICT Universiti.

Pegawai Keselamatan ICT (ICTSO) Universiti

Tugas dan tanggungjawab Pegawai Keselamatan ICT (ICTSO) Universiti adalah seperti berikut:

    1. Mengurus kesemua program keselamatan ICT Universiti;
    2. Menguatkuasa penggunaan Polisi Keselamatan ICT secara menyeluruh (dokumen-dokumen ini hendaklah sentiasa dikemaskini bagi mencerminkan perubahan teknologi, arah tuju Universiti dan ancaman-ancaman yang berkemungkinan);
    3. Membantu penggubalan garispanduan atau standard yang spesifik bagi memenuhi kehendak Polisi Keselamatan ICT untuk aplikasi-aplikasi spesifik di dalam Universiti;
    4. Memeriksa sistem-sistem ICT terhadap keperluan-keperluan keselamatan yang telah dinyatakan untuk menentukan risiko dan vulnerability;
    5. Menjalankan pengurusan risiko dan audit keselamatan berasaskan Garispanduan Malaysian Public Sector Management of Information and Communication Technology Security Handbook (MyMIS);
    6. Memastikan apabila pengecualian kepada polisi diperlukan, prosesrisiko diikuti dan pengecualian tersebut hendaklah secara berkala dinilai dan dikaji semula;
    7. Mencadangkan langkah-langkah pengurangan kes-kes ketidakpatuhan Polisi;
    8. Mengkaji laporan-laporan audit dan pemeriksaan berhubung isu-isu keselamatan ICT. ICTSO hendaklah terlibat dalam penggubalan tindakan pengurusanlaporan-laporan audit dan secara berkala mengambil tindakan susulan;
    9. Melaporkan insiden-insiden keselamatan kepada Goverment Computer Emergency Response Teamdan membantu di dalam kerja-kerja pemulihan;
    10. Sentiasa mengikuti perkembangan terkini berhubung ancaman-ancaman keselamatan terkini, perkembangan ICT terkini dan kawalan-kawalan serta kaedah-kaedah perlindungan maklumat yang terkini menerusi maklumat-maklumat terkini, seminar dan persidangan Keselamatan ICT, kursus dan latihan sambil kerja;
    11. Menyedia dan menyebarluasyang sesuai berhubung ancaman-ancaman yang serius yang berkemungkinan berlaku (seperti kemunculan virus komputer) dan menyediakan langkah-langkah  pemulihan dan penasihatan;
    12. Berkerjasama dengan Pengarah ICT untuk mengenal pasti ancaman-ancaman utama kepada ICT dan melaporkan sebarang isu-isu keselamatan kepada CIO; dan
    13. Membuat publisiti berhubung Polisi Keselamatan ICT kepada semua pihak yang berkaitan termasuk kakitangan, pelajar, kontraktor, pembekal luar dan sesiapa sahaja yang akses atau menggunakan, perkhidmatan atau kemudahan ICT Universiti.

Pengarah ICT

Tugas dan tanggungjawab Pengarah ICT adalah seperti berikut:

    1. Memahami, menyokong dan mematuhi Polisi Keselamatan ICT Universiti danMyMIS;
    2. Melaksanakan kawalan-kawalan keselamatan ICT konsisten dengan keperluan-keperluan Universiti;
    3. Menyediakan persekitaran positif untuk menggalakkan pengguna-pengguna melaporkan sebarang insiden keselamatan;
    4. Mengkaji perlindungan keselamatan fizikal dengan berunding terlebih dahulu dengan ICTSO apabila diperlukan (termasuk kemudahan salinan dan persekitaran tempat);
    5. Berkerjasama dengan ICTSO untuk memastikan kajian-kajian semula keselamatan ICT dijalankan apabila perlu, samada oleh keperluan polisi dalaman, peraturan atau kepentingan keselamatan ICT. Beberapa contoh yang boleh menyebabkan kajian semula termasuk:
      • Kemasukan suatu sistem atau aplikasi baru samada dibangunkan secara dalaman atau luaran;
      • Kehilangan data atau perkhidmatan yang banyak akibat dari kegagalan keselamatan;
      • Perolehan atau peningkatan sistem-sistem komputer atau sofwer;
      • Perolehan perkhidmatan komunikasi baru; dan
      • Penemuan ancaman baru atau perubahan kepada cara, skop dan tujuan
    6. Sentiasa mempunyai pengetahuan terkini berhubung ancaman keselamatan semasa, isu-isu dan teknologi ICT di dalam pasaran. Beliau hendaklah melaporkan kepada ICTSO sebarang masalah keselamatan ICT;
    7. Membangun, mengkaji semula dan menjajar perancangan luar jangkaan ICT;
    8. Mengkaji prosedur-prosedur keluar masuk dari segi aksesibiliti pengguna-pengguna kepada sumber-sumber ICT.
    9. Melaksanakan prinsip-prinsip keselamatan di dalam penyediaan kehendak pengecualian (pengecualian cara-cara menangani keselamatan); dan
    10. Memastikan kakitangan bawahan mengikuti program awareness keselamatan ICT.

Pentadbir-pentadbir Sistem

Tugas dan tanggungjawab Pentadbir-pentadbir Sistem adalah seperti berikut:

    1. Memelihara kelengkapan dan ketepatan tahap-tahap kawalan akses berdasarkan kepada arahan-arahan daripada tuan punya sumber maklumat dan selaras dengan Polisi, Standard dan Garispanduan Keselamatan ICT Universiti;
    2. Mengambil tindakan yang sesuai apabila diberitahu oleh ketua-ketua PTJ berkenaan pemberhentian, pertukaran, percutian yang agak lama atau pertukaran tanggungjawab kakitangan atau pelajar;
    3. Memantau sepenuhnya hak akses pengguna-pengguna. Pentadbir sistem hendaklah memberhentikan hak-hak istimewa dengan serta merta apabila tidak lagi diperlukan;
    4. Memantau aktiviti akses harian untuk menentukan aktiviti-aktiviti luar biasa seperti percubaan mengakses tanpa kebenaran dan lain-lain;
    5. Menyediakan laporan-laporan berkala berhubung aktiviti akses kepada tuan punya maklumat berkenaan; dan
    6. Memastikan maklumat ‘audit trail’ dikumpul dengan tepat, dianalisa dan dilindungi.

Pengguna

Pengguna ditakrifkan seseorang yang dibenarkan mengakses sumber ICT Universiti. Pengguna-pengguna mungkin termasuk kontraktor, pembekal dan pembekal perkhidmatan dari luar. Tugas dan tanggungjawab mereka termasuk:

    1. Memahami, menyokong, mengakui dan mematuhi Polisi Keselamatan ICT Universiti;
    2. Berwaspada terhadap akibat keselamatan daripada tindakan-tindakan mereka;
    3. Membuat laporan serta merta kepada pihak-pihak berkenaan berhubung mana-mana aktiviti yang boleh mengancam integriti sumber-sumber ICT Universiti termasuk sumber maklumat;
    4. Melindungi maklumat-maklumatdan sentiasa mengamalkan prinsip perlu mengetahui;
    5. Menghadiri latihan keselamatan atau program awareness;
    6. Sentiasa mengambil tahu langkah-langkah baru keselamatan yang dilaksanakan; dan
    7. Bersetuju menjalani pemeriksaan keselamatan, jika diperlukan.

IV. Kawalan Pindaan

Pindaaan kepada Polisi

Berikut merupakan prosedur yang perlu diikuti untuk membuat sebarang pindaan kepada Polisi:

    1. Sebarang pindaan yang hendak dibuat kepada Polisi Keselamatan ICT hendaklah dilakukan dengan menulis secara rasmi kepada CIO atau ICTSO. Pindaan-pindaan tersebut akan dibawa ke Mesyuarat Jawatankuasa Keselamatan ICT Universiti untuk kelulusan;
    2. Sebarang pindaan kepada Polisi Keselamatan mestilah dihebahkan kepada semua pengguna. Cara hebahan bolehlah dilakukan melalui risalah, pekeliling, e-mail atau paparan di laman web Universiti;
    3. ICTSO adalah bertanggungjawab menyimpan semua pindaan dan memasukkan pindaan-pindaanke dalam Polisi Keselamatan ICT Universiti; dan
    4. Dokumen ini hendalah dikaji semula setiap enam bulan sekali oleh Jawatankuasa Keselamatan ICT Universiti.

Pemberitahuan Pindaan

Sebarang maklum balas, pertanyaan atau pindaan kepada polisi ini hendaklah diajukan kepada ICTSO:

Nama : Profesor Madya Dr. Bahari Belaton

Alamat : Pusat Pengetahuan Komunikasi Dan Teknologi, Kompleks Eureka, Universiti Sains Malaysia 11800 Pulau Pinang

(attn: Pegawai Keselamatan ICT Universiti )

No. Talipon :  04-6534382 / 04-6534244

No. Fax :  04-6561012 (attn:ICTSO)

E-mail :   Alamat emel ini dilindungi dari Spambot. Anda perlu hidupkan JavaScript untuk melihatnya.

Pautan Luar

MSC|My Govermment|HRMIS|Kementerian Pengajian Tinggi|Kelab Kemudi Kelantan

Pengiktirafan

iqnet isobod isolab sirim rakanbayi mesraibadah

Hubungi Kami

PUSAT MEDIA & PERHUBUNGAN AWAM
Hospital Universiti Sains Malaysia
Universiti Sains Malaysia Kampus Kesihatan
Jalan Raja Perempuan Zainab 2
16150 Kota Bharu Kelantan.


Operator: 09-767 3000
No Fax: 09-767 1060
prohusm(at)usm.my

Penafian

Hospital Universiti Sains Malaysia (HUSM) tidak akan bertanggungjawab terhadap sebarang kehilangan atau kerugian yang disebabkan oleh penggunaan mana-mana maklumat yang diperolehi dari laman web ini.

HUSM Cloud