PENGHARGAAN Dasar ICT UPNM ini telah digubal oleh Jawatankuasa Dasar ICT UPNM yang terdiri daripada: Prof. Dr. Hjh. Fatimah binti Dato Ahmad Prof. Madya Dr. Omar bin Zakaria Prof. Madya Mohd Hazali bin Mohamed Halip En. Mohd Anuar bin Mohd Nor En. Mohd Adib bin Khairuddin En. Kamaruzaman bin Maskat En. Mohd Faizal bin Mustafa Pn. Farahzeeda binti Zakaria En. Mohd Azmi bin Mustafa @ Sulaiman En. Norfirdaus bin Harun Pn. Sari Nashikim binti Radin Iskandar Pn. Ruhaidah binti Abu Nor En. Iksan bin Tamrin Pn. Saidatul Nur Firdaus binti Hasbullah En. Ahmad Faizal bin Sayuti Dasar ICT UPNM ini telah diluluskan oleh Mesyuarat Exco UPNM Bil.1/2015 pada 14 Januari 2015.
KANDUNGAN MUKA SURAT BAB 1 DASAR UMUM ICT 1.1 TUJUAN 2 1.2 OBJEKTIF 2 1.3 SKOP 2 1.4 DEFINISI 3 1.5 DASAR AM UNIVERSITI 5 1.6 PELANGGARAN DASAR 6 1.7 DASAR TEKNOLOGI MAKLUMAT PERINGKAT 7 KEBANGSAAN BAB 2 PEMBANGUNAN DAN PENGURUSAN ICT 2.1 OBJEKTIF 10 2.2 SKOP 10 2.3 PENGURUSAN ICT 10 2.4 PEMBANGUNAN ICT 12 BAB 3 SUMBER ICT 3.1 OBJEKTIF 16 3.2 SKOP 16 3.3 PERISIAN DAN APLIKASI 16 3.4 PERKAKASAN 18 BAB 4 PENGURUSAN RANGKAIAN UPNMNet 4.1 OBJEKTIF 26 4.2 SKOP 26 4.3 PELAYAN KOMPUTER 27 4.4 RANGKAIAN UPNMNet 28 4.5 PENYAMBUNGAN RANGKAIAN UPNMNet 29 4.6 TINDAKAN PENGUATKUASAAN DAN PEMATUHAN 30 BAB 5 PENGGUNAAN MAKMAL KOMPUTER 5.1 OBJEKTIF 32 5.2 SKOP 32 5.3 PENGGUNAAN MAKMAL 32 5.4 BUKU LOG 33 5.5 BUDI BICARA PENTADBIR MAKMAL KOMPUTER 34 5.6 TINDAKAN PENGUATKUASAAN DAN PEMATUHAN 34 i
BAB 6 PENGGUNAAN PERKHIDMATAN INTRANET DAN INTERNET 6.1 OBJEKTIF 36 6.2 SKOP 36 6.3 PENGGUNAAN MEL ELEKTRONIK 36 6.4 PEMBANGUNAN LAMAN WEB 38 6.5 CAPAIAN INTERNET DAN INTRANET 39 6.6 TINDAKAN PENGUATKUASAAN DAN PEMATUHAN 40 BAB 7 AKAUNTABILITI DAN KERAHSIAAN MAKLUMAT 7.1 OBJEKTIF 42 7.2 SKOP 42 7.3 CAPAIAN MAKLUMAT RAHSIA ATAU SULIT 42 7.4 PENGURUSAN MAKLUMAT RAHSIA ATAU SULIT 43 7.5 HAD-HAD PENGGUNAAN MAKLUMAT RAHSIA ATAU 45 SULIT PENGGUNA 7.6 KEBERTANGGUNGJAWABAN UPNM 45 7.7 TINDAKAN PENGUATKUASAAN DAN PEMATUHAN 46 BAB 8 KESELAMATAN ICT 8.1 OBJEKTIF 48 8.2 SKOP 48 8.3 KESELAMATAN PELAYAN 48 8.4 JEJAK AUDIT (AUDIT TRAIL) 50 8.5 STORAN SANDARAN (BACKUP STORAGE 51 8.6 KESELAMATAN SISTEM APLIKASI 51 8.7 PERISIAN BERKOD HASAD (MALICIOUS CODE) DAN 53 ROSAK (DEFECTIVE) 8.8 KAWALAN KESELAMATAN PENGGUNAAN MEL 54 ELEKTRONIK 8.9 KESELAMATAN PERALATAN RANGKAIAN DAN 55 PERKAKASAN PELAYAN 8.10 KEBOLEHCAPAIAN PENGGUNA (USER ACCESSIBILITY) 58 8.11 SAMBUNGAN DENGAN RANGKAIAN LAIN 58 BAB 9 PENGURUSAN KESINAMBUNGAN PERKHIDMATAN 9.1 OBJEKTIF 62 9.2 PELAN KESINAMBUNGAN PERKHIDMATAN 62 ii
BAB 10 PEMATUHAN 10.1 OBJEKTIF 64 10.2 PEMATUHAN DASAR 64 10.3 KEPERLUAN PERUNDANGAN, PERATURAN ATAU 64 GARIS PANDUAN. iii
1
1.1 TUJUAN Dasar ini menerangkan secara umum dasar penggunaan sumber-sumber Teknologi Maklumat dan Komunikasi (ICT) yang terdapat di Universiti Pertahanan Nasional Malaysia (UPNM) dan diterima pakai sebagai Dasar Umum. Mana-mana dasar terperinci atau spesifik untuk setiap sumber yang disenaraikan adalah mengatasi Dasar Umum ini. 1.2 OBJEKTIF Penggunaan ICT oleh warga UPNM dan pihak-pihak lain merupakan satu peranan penting dalam mencapai visi dan misi UPNM. Dasar ini bertujuan memastikan perkara-perkara berikut: i. Warga UPNM dan pihak-pihak lain dimaklumkan tentang kewujudan dan peranan Dasar ICT UPNM; i iv. Kemudahan ICT UPNM digunakan secara bijaksana mengikut dasar yang ditetapkan; Tanggungjawab pengguna dan pihak-pihak lain dimaklumkan; Kerosakan, kemusnahan dan penyalahgunaan sumber ICT UPNM dapat diminimumkan; dan 1.3 SKOP v. Keselamatan data UPNM adalah terjamin mengikut ciri-ciri kerahsiaan, integriti dan kebolehsediaan. 1.3.1 Sumber Sumber ICT yang tersenarai di dalam dokumen ini dan sumber yang tidak tersenarai tetapi dianggap sebagai sumber ICT oleh Jawatankuasa Pemandu ICT, UPNM (JPICT) adalah juga tertakluk kepada dasar ini. 1.3.2 Pengguna Semua pengguna adalah tertakluk kepada Dasar ICT UPNM. Pengguna yang sah tetapi menyalah guna dan sesiapa yang tidak diberi kebenaran (penceroboh) boleh diambil tindakan yang 2
1.4 DEFINISI sewajarnya mengikut kesalahan yang dilakukan, sebagaimana yang disebut dalam Dasar ICT UPNM dan Undang-Undang Malaysia. Definisi-definisi berikut digunakan dalam Penyataan Dasar yang berkaitan dengan penggunaan kemudahan ICT UPNM: i. Aktiviti atau kegiatan yang dijalankan merujuk kepada arahan yang dijalankan (run) atau keystrokes yang ditaip semasa pengguna berinteraksi dengan sumber ICT yang disediakan oleh UPNM; Aplikasi bermaksud atur cara yang dibangunkan untuk melaksanakan tugas tertentu oleh komputer seperti Sistem Maklumat Personel (SMP), Sistem Akademik Pelajar (SAP) dan sebagainya; i iv. CIO atau Chief Information Officer bermaksud Ketua Pegawai Maklumat yang bertanggungjawab ke atas perancangan, pengurusan, penyelarasan dan pemantauan program ICT di UPNM; ICT bermaksud Information and Communication Technology (Teknologi Maklumat dan Komunikasi); v. ICTSO atau ICT Security Officer bermaksud Pegawai Keselamatan ICT yang bertanggungjawab ke atas keselamatan ICT di UPNM; vi. v vi ix. Maklumat Peribadi merujuk kepada data atau maklumat tentang seseorang individu termasuklah nama, tarikh lahir, nombor kad pengenalan, nombor staf dan sebagainya; Maklumat Rahsia atau Sulit merujuk kepada maklumat peribadi dan akaun pengguna yang merangkumi segala bentuk data, teks, grafik, animasi, audio dan video dalam pelbagai format; MAMPU bermaksud Unit Pemodenan Tadbiran dan Perancangan Pengurusan Malaysia, Jabatan Perdana Menteri; Pelajar bermaksud seseorang yang mendaftar sesuatu program akademik (sama ada sepenuh atau separuh masa) di UPNM, dan berstatus aktif; 3
x. Pelayan bermaksud komputer yang mempunyai keupayaan pemprosesan tinggi yang memberi perkhidmatan berpusat seperti mel elektronik, aplikasi, sistem, web dan sebagainya; xi. x xi xiv. xv. xvi. xv Pengguna bermaksud seorang atau kumpulan orang yang dibenarkan menggunakan kemudahan ICT UPNM. Setiap pengguna dikenal pasti melalui penggunaan identiti pengguna; Pengurus Maklumat merujuk kepada seseorang yang dilantik dan diberi kuasa (authority) oleh Universiti untuk mengendali, mengurus, menyelenggara dan menjaga kerahsiaan dan keselamatan maklumat Universiti; Pemilik Data merujuk kepada PTj yang bertanggungjawab menguruskan sesuatu butir data atau maklumat termasuk tuan punya maklumat; Peralatan Rangkaian bermaksud peralatan dan komponen yang digunakan dalam sistem rangkaian UPNMNet seperti firewall, router, switch, access point (AP), hub dan sebagainya; Pentadbir Rangkaian" bermaksud pegawai yang bertanggungjawab mengurus, mengawal, memantau dan menyelenggara operasi dan keselamatan sistem rangkaian UPNMNet; Pentadbir Sistem" bermaksud pegawai yang bertanggungjawab mengurus, mengawal, memantau dan menyelenggara operasi dan keselamatan sistem pelayan; Perisian bermaksud atur cara yang digunakan untuk melaksanakan tugas tertentu oleh komputer seperti perisian aplikasi (automasi pejabat, grafik dan sebagainya) dan perisian sistem (sistem pengoperasian, pengkompil dan sebagainya); xvi Perkakasan bermaksud peralatan dan komponen ICT seperti komputer, komputer riba, tablet, persisian (peripheral), pencetak, projektor LCD dan sebagainya; xix. xx. PTj bermaksud Pusat Tanggungjawab yang merangkumi semua Fakulti, Pusat, Pejabat, Institut, Jabatan, Bahagian, Seksyen dan Unit di UPNM; PTMK bermaksud Pusat Teknologi Maklumat dan Komunikasi; 4
xxi. xx Staf bermaksud seseorang yang dilantik oleh UPNM atau badanbadan lain di UPNM untuk menjawat jawatan sama ada sebagai staf akademik atau staf bukan akademik sama ada secara tetap, pinjaman, sambilan, kontrak dan sementara serta masih berkhidmat; Storan Pengguna merujuk kepada ruang storan yang telah diperuntukkan kepada setiap pengguna yang sah dalam sesuatu sistem atau sumber ICT; xxi Sumber ICT merangkumi semua kemudahan ICT termasuk tetapi tidak terhad kepada UPNMNet, sistem komputer peribadi dan terminal, mel elektronik, perkakasan, storan data, dan perisian. Sumber ICT tidak terhad kepada semua kemudahan yang disediakan oleh UPNM secara berpusat dan yang disediakan oleh Pusat Tanggungjawab (PTj), tetapi termasuk kemudahan yang dibeli, disewa, dipajak, dimiliki atau dipinjamkan kepada UPNM; xxiv. Tuan Punya Maklumat merujuk kepada seseorang individu yang boleh dikenal pasti melalui maklumat peribadi yang ada; xxv. UPNM bermaksud Universiti Pertahanan Nasional Malaysia; dan xxvi. UPNMNet bermaksud infrastruktur rangkaian ICT UPNM yang terdiri daripada Rangkaian Tulang Belakang (Backbone Network), Rangkaian Kawasan Setempat (LAN) dan Rangkaian Kawasan Setempat Wayarles (WLAN) serta rangkaian-rangkaian yang berkaitan. xxv UPNM CERT bermaksud UPNM Computer Emergency Response Team. 1.5 DASAR AM UNIVERSITI i. UPNM bertanggungjawab menyediakan kemudahan ICT untuk kegunaan staf akademik, pentadbiran, sokongan dan pelajar bagi menyokong fungsi Universiti; Semua kemudahan dan perkhidmatan ICT yang disediakan oleh UPNM adalah hak mutlak UPNM. Pengguna berdaftar diberikan keistimewaan untuk menggunakan kemudahan tersebut berdasarkan keperluan tugas dan bukannya hak yang diberikan kepada pengguna. 5
UPNM berhak menarik balik kebenaran dan/atau kemudahan yang diberikan pada bila-bila masa tanpa notis; i iv. Kemudahan ICT yang disediakan oleh UPNM hanya boleh digunakan untuk tujuan yang berkaitan dengan fungsi UPNM. Penggunaan selain daripada yang berkaitan dengan fungsi UPNM adalah tidak dibenarkan seperti untuk tujuan peribadi, komersial, hiburan, politik dan hasad (malicious); Pengguna yang menggunakan sumber ICT persendirian yang dibenarkan di dalam kampus juga tertakluk kepada dasar ini. Sebarang penggunaan adalah tertakluk kepada Dasar ICT UPNM dan undangundang negara; v. Setiap pengguna mesti mematuhi Dasar ICT UPNM yang ditetapkan selaras dengan hasrat UPNM mewujudkan pengguna yang beretika dan menghormati hak pengguna yang lain; vi. v UPNM bertanggungjawab memastikan pelaksanaan Dasar ICT UPNM ke atas pengguna selaras dengan penggunaan kemudahankemudahan di bawah kawalan Universiti; Ketua-ketua PTj bertanggungjawab memastikan Dasar ICT UPNM diamalkan selaras dengan kemudahan-kemudahan di bawah kawalan dan pengurusannya; dan vi Dasar ini adalah tertakluk kepada perubahan dari semasa ke semasa mengikut keperluan. UPNM berhak meminda, membatal, mengehad dan menambah mana-mana Dasar ICT UPNM mengikut kesesuaian dan keperluan semasa. 1.6 PELANGGARAN DASAR i. Sebarang pelanggaran dasar dan peraturan oleh pengguna yang dikenal pasti oleh pihak PTMK akan disiasat dan laporan dibuat untuk dikenakan tindakan selanjutnya oleh jawatankuasa berkenaan; Sebarang aduan tentang pelanggaran dasar dan peraturan hendaklah dibuat secara bertulis kepada Jawatankuasa Keselamatan ICT UPNM untuk menyiasat dan menyediakan laporan untuk tindakan selanjutnya oleh jawatankuasa berkenaan; 6
i iv. Tindakan pembetulan segera yang besesuaian akan diambil oleh pihak PTMK sekiranya berlaku pelanggaran dasar dan peraturan; dan Tindakan tatatertib atau penalti boleh diambil oleh Jawatankuasa Tatatertib Staf UPNM untuk staf atau Jawatankuasa Tatatertib Pelajar UPNM untuk pelajar dengan mengikut prosedur dan bidang kuasa yang ditetapkan. 1.7 DASAR TEKNOLOGI MAKLUMAT PERINGKAT KEBANGSAAN Dasar ini tidak terhad kepada kandungan dokumen ini, malah ia turut mencakupi serta menerima pakai dasar-dasar / garis panduan / akta ICT / pekeliling am yang berkuat kuasa seperti berikut. i. Akta Universiti dan Kolej Universiti 1971 (Akta 30 Pindaan 2009) [A1342]; Arahan Keselamatan; i Malaysian Public Sector Management of Information and Commmunications Technology Security Handbook (MyMIS); iv. Pekeliling Kemajuan Pentadbiran Awam; v. Pekeliling Am; vi. v vi ix. Surat Pekeliling Am; Surat Arahan KSN; Surat Arahan KP MAMPU; Surat Arahan MAMPU; x. Akta Badan-Badan Berkanun (Tatatertib dan Surcaj) 2000 [Akta 605]; xi. Akta Jenayah Komputer 1997; x Akta Tandatangan Digital 1997; xi Akta Hak Cipta (pindaan) Tahun 1997; xiv. Akta Komunikasi dan Multimedia 1998; 7
xv. Arahan Teknologi Maklumat 2007; xvi. Electronic Government Activities Act 2007 [Act 680]; xv Pekeliling Perbendaharaan Bil. 5 Tahun 2007 bertajuk Tatacara Pengurusan Aset Alih Kerajaan ; xvi Kod Kandungan, Forum Komunikasi dan Multimedia 2004; xix. Akta Rahsia Rasmi 1972; xx. xxi. Garis Panduan MAMPU; dan Garis Panduan Penggunaan Peralatan dan Perkakasan ICT UPNM. 8
9
2.1 OBJEKTIF Menerangkan secara umum aspek pengurusan dan pembangunan Teknologi Maklumat dan Komunikasi (ICT) UPNM. 2.2 SKOP Skop dasar melibatkan perkara-perkara berikut. i. Aspek pengurusan ICT yang mempunyai kuasa dan kepakaran untuk merancang, melaksana dan mengurus keperluan ICT menerusi Pelan Strategik UPNM 2012-2015 (Semakan) yang ditetapkan dan Aspek pembangunan ICT bagi merancang, mengurus, melaksana dan menyelenggara keperluan ICT menerusi Pelan Strategik UPNM 2012-2015 (Semakan) yang ditetapkan. 2.3 PENGURUSAN ICT 2.3.1 Fungsi dan Peranan Jawatankuasa Pemandu ICT (JPICT). i. Jawatankuasa ini ditubuhkan untuk menggubal visi, misi, objektif, hala tuju dan dasar ICT Universiti. i iv. Jawatankuasa ini juga meluluskan perancangan projek ICT UPNM. Jawatankuasa JPICT dipengerusikan oleh Naib Canselor atau mana-mana pegawai yang dilantik oleh Naib Canselor selaku Ketua Pegawai Maklumat (CIO). Jawatankuasa dianggotai oleh: a) Naib Canselor (Pengerusi)/ CIO b) Timbalan Naib Canselor (Akademik dan Antarabangsa) c) Timbalan Naib Canselor (Penyelidikan dan Inovasi) d) Timbalan Naib Canselor (Hal Ehwal Pelajar dan Alumni) 10
e) Timbalan Naib Canselor (Jaringan Industri dan Perhubungan Korporat) f) Pendaftar g) Bendahari h) Ketua Pustakawan i) Pengarah, Jabatan Pembangunan dan Penyelenggaraan j) Dekan (termasuk Dekan, Pusat Pengajian Siswazah) k) Pengarah, Pusat Asasi Pertahanan l) Pengarah, Pusat Bahasa m) Pengarah, Pusat Teknologi Maklumat dan Komunikasi n) Pengarah, Pusat Pembangunan Akademik o) Pengarah, Pusat Jaminan Kualiti dan Pengurusan Data v. PTMK adalah sekretariat bagi Jawatankuasa ini. vi. Jawatankuasa perlu mengadakan mesyuarat secara berkala sekurang-kurangnya dua (2) kali setahun. 2.3.2 Fungsi dan Peranan PTMK adalah seperti berikut. i. PTMK bertanggungjawab dalam merancang, melaksana, mengurus, memantau dan menyelenggara sumber ICT Universiti; i PTMK diketuai oleh seorang Pengarah; PTMK mesti mempunyai staf ICT dengan kepakaran berkaitan yang secukupnya; 11
iv. PTMK perlu mempunyai staf pentadbiran dan sokongan yang secukupnya; v. Pengarah PTMK dilantik menganggotai Ahli Mesyuarat Pengurusan Universiti (MPU); dan vi. PTMK akan mengendalikan mesyuarat berkenaan keperluan ICT dari semasa ke semasa. 2.3.3 Fungsi dan Peranan Jawatankuasa Keselamatan ICT (UPNM GCERT) adalah seperti berikut. i. Jawatankuasa ini ditubuhkan untuk merancang pelaksanaan, pemantauan, penguatkuasaan serta pengemaskinian Dasar Keselamatan ICT UPNM; i Jawatankuasa ini dipengerusikan oleh Pegawai Keselamatan ICT (ICTSO) yang terdiri daripada ahli-ahli tetap dan keahlian lain yang dilantik sekiranya perlu; dan Jawatankuasa akan mengadakan mesyuarat sekiranya perlu. 2.4 PEMBANGUNAN ICT 2.4.1 Perancangan ICT i. Perancangan ICT hendaklah selaras dengan Pelan Strategik UPNM 2012-2015 (Semakan) dan Pelan Strategik ICT Sektor Awam 2011-2015. i Perancangan ICT hendaklah memenuhi fungsi dan keperluan universiti dalam pengajaran, pembelajaran, penyelidikan, perundingan, pentadbiran dan pengurusan UPNM. Perancangan hendaklah mematuhi Akta, Dasar, Peraturan dan Garis Panduan yang ditentukan oleh pihak Kerajaan Malaysia. 2.4.2 Perolehan ICT i. Semua perolehan hendaklah mematuhi Prosedur Perolehan UPNM yang berdasarkan prosedur Perbendaharaan 12
Kerajaan kecuali bagi kes-kes tertentu dengan mendapat perakuan atau kelulusan khas daripada Bendahari UPNM. Perolehan hendaklah memenuhi keperluan teknologi terkini dengan mendapat perakuan spesifikasi daripada Jawatankuasa Penilaian Spesifikasi Teknikal UPNM. i Semua perisian aplikasi, perisian sistem dan sistem pengendalian yang diperolehi hendaklah mempunyai lesen yang sah. iv. Semua pembangunan atau perolehan sistem aplikasi hendaklah dibuat melalui Jawatankuasa Pemandu ICT (JPICT) bagi menjamin kualiti dan keselamatan sistem. 2.4.3 Pemasangan dan Penyelenggaraan i. Semua pemasangan atau penyelenggaraan perkakasan dan perisian daripada perolehan PTMK dilakukan di bawah penyeliaan PTMK. Semua perolehan, pemasangan atau penyelenggaraan perkakasan dan perisian daripada PTj yang lain akan dilakukan di bawah penyeliaan PTj tersebut. PTj boleh memohon untuk mendapatkan khidmat nasihat teknikal PTMK untuk perolehan, pemasangan dan penyelenggaraan. 2.4.4 Naik Taraf atau Pelupusan i. Semua naik taraf perkakasan dan perisian yang bernilai RM50,000 atau lebih hendaklah mendapat kelulusan Jawatankuasa Pemandu ICT (JPICT). Perkakasan yang tidak berkeupayaan, yang tidak boleh lagi digunakan (obsolete) dan/atau tidak sesuai untuk dinaik taraf atau diperbaiki boleh dicadang untuk pelupusan mengikut Prosedur Pelupusan Universiti seperti yang ditetapkan dalam prosedur Jabatan Bendahari. 2.4.5 Pembangunan Kemahiran ICT UPNM i. Keperluan sumber manusia yang secukupnya akan dibangunkan bagi menyokong keperluan ICT UPNM. 13
PTMK akan merancang, menyedia dan melaksanakan kursus-kursus kemahiran ICT bagi meningkatkan pengetahuan dan kemahiran ICT serta penggunaan aplikasi universiti kepada semua staf PTMK. i PTMK akan melaksanakan kursus-kursus kemahiran ICT bagi meningkatkan pengetahuan dan kemahiran ICT serta penggunaan aplikasi universiti kepada semua warga UPNM. 2.4.6 Keselamatan ICT Semua pengguna hendaklah mematuhi Dasar, Pekeliling Am dan Akta seperti berikut. i. Dasar Sumber ICT UPNM (Bab 3); Dasar Keselamatan ICT UPNM (Bab 8); i Garis Panduan Penilaian Risiko Keselamatan Maklumat Sektor Awam (Surat Pekeliling Am Bilangan 6 Tahun 2005); iv. Rangka Dasar Keselamatan Teknologi Maklumat dan Komunikasi Kerajaan (Pekeliling Am Bilangan 3 Tahun 2000) yang dikeluarkan oleh MAMPU; dan v. Akta dan Undang-Undang Malaysia berkenaan yang berkuatkuasa. 14
15
3.1 OBJEKTIF Menentukan tanggungjawab pengguna dan pihak UPNM di dalam perkara yang berhubung dengan sumber ICT UPNM. 3.2 SKOP Merangkumi semua sumber ICT yang diperolehi atau dibangunkan oleh UPNM yang berada dalam simpanan pengguna. 3.3 PERISIAN DAN APLIKASI 3.3.1 Hak Milik i. Semua perisian dan aplikasi yang diperolehi oleh pihak UPNM untuk tujuan pengajaran, pembelajaran, penyelidikan atau pengurusan adalah menjadi hak milik UPNM. i Bagi perisian dan aplikasi yang dibangunkan, maklumat berkenaan semua pengarang atau pencipta mestilah dikekalkan. Semua perisian dan aplikasi yang dibangunkan oleh staf atau pelajar UPNM menjadi hak milik UPNM dan tidak boleh dijual, disewa, dilesenkan semula, dipinjam, disalin semula, disebar atau diberi kepada sesiapa atau entiti tanpa kebenaran Jawatankuasa Pemandu ICT (JPICT). 3.3.2 Perolehan Perisian Aplikasi i. Semua perolehan perisian aplikasi yang bernilai RM50,000 atau lebih hendaklah mengikut prosedur perolehan UPNM dan diluluskan oleh Jawatankuasa Pemandu ICT (JPICT) UPNM. Semua perolehan perisian aplikasi untuk kegunaan pengajaran, pembelajaran dan penyelidikan (mengikut kesesuaian) perlu menggunakan perisian yang sah, versi terkini dan menggunakan lesen yang bersesuaian untuk kegunaan akademik. 16
i iv. Penggunaan perisian adalah tertakluk kepada terma dan syarat penggunaan yang ditetapkan oleh pihak PTMK, pembekal atau pembangun perisian aplikasi. Pengguna adalah tidak dibenarkan memasang perisian yang tidak sah. UPNM tidak akan bertanggungjawab terhadap sebarang perolehan dan penggunaan perisian tanpa lesen oleh pengguna. v. UPNM bertanggungjawab melaksanakan peningkatan dan naik taraf perisian dan aplikasi bagi memastikan versi yang terkini diguna pakai (mengikut kesesuaian). vi. Pihak PTMK akan bertanggungjawab menyediakan perkhidmatan penyelenggaraan bagi aplikasi yang diperolehi dan yang dibangunkan oleh PTMK. v UPNM menggalakkan penggunaan aplikasi dan perisian sumber terbuka (Open Source Software). 3.3.3 Tanggungjawab Pengguna i. Semua pengguna secara peribadi bertanggungjawab untuk membaca, memahami dan mematuhi peraturan dan pelesenan bagi setiap perisian aplikasi yang digunakan. Semua pengguna adalah tidak dibenarkan untuk membuang perisian dan aplikasi yang telah dipasang dalam peralatan ICT yang telah dibekalkan. i Semua pengguna tidak dibenarkan memuat turun (download), membuat pemasangan (install) dan mengguna perisian dan aplikasi yang boleh mendatangkan kemudaratan dan kerosakan kepada komputer dan rangkaian UPNMNet misalnya perisian Peer-to-Peer (P2P) dan seumpamanya. iv. Semua pengguna tidak dibenarkan menyebar sebarang perisian aplikasi yang tidak sah. v. Sebarang perisian dan aplikasi tidak dibenarkan untuk dipasang kecuali untuk tujuan akademik dan penyelidikan dan perlu mendapat kelulusan terlebih dahulu daripada pihak PTMK. 17
vi. Sebarang kerosakan perisian dan aplikasi hendaklah dilaporkan kepada pihak PTMK kecuali yang diperolehi melalui PTj di mana ia menjadi tanggungjawab PTj berkaitan untuk melaporkan kepada pihak berkenaan (pembekal). v Sebarang bentuk permainan komputer oleh pengguna tidak dibenarkan kecuali untuk tujuan akademik dan penyelidikan setelah mendapat kelulusan daripada Ketua PTj berkenaan. 3.4 PERKAKASAN 3.4.1 Hak Milik i. Semua perkakasan yang diperolehi untuk pihak UPNM atau semua perkakasan yang dicipta atau dipasang mengguna peruntukan UPNM oleh staf atau pelajar adalah menjadi hak milik UPNM. Bagi perkakasan yang dicipta, maklumat tentang semua pencipta asal mestilah dikekalkan. i Perkakasan tersebut tidak dibenarkan dijual, disewa, dipaten, dipinjam, disebar atau diberi kepada sesiapa atau entiti tanpa kebenaran UPNM. 3.4.2 Perolehan Perkakasan ICT Semua perolehan perkakasan hendaklah mengikut prosedur perolehan universiti seperti berikut. i. Spesifikasi dan perolehan perkakasan ICT hendaklah diperakukan oleh Jawatankuasa Pemandu ICT (JPICT) bagi memastikan piawaian dan keseragaman dari segi teknologi dan keperluan semasa universiti; Bagi permohonan projek perkakasan ICT, perkara-perkara berikut perlulah dipatuhi. - Perolehan perkakasan ICT bernilai RM500,000 atau lebih hendaklah mendapat kelulusan teknikal daripada Kementerian Pendidikan Malaysia; 18
- Perolehan perkakasan ICT bernilai RM50,000 dan kurang daripada RM500,000 hendaklah mendapat kelulusan teknikal daripada JPICT UPNM; - Perolehan perkakasan ICT bernilai kurang daripada RM50,000 hendaklah mendapat kelulusan daripada PTj masing-masing; dan - PTj hendaklah memastikan supaya mekanisme pemantauan pelaksanaan perolehan ICT diperkemaskan supaya perolehan yang dibuat adalah berdasarkan kepada keperluan sebenar dan dengan perbelanjaan yang berhemah serta mematuhi peraturan-peraturan semasa yang berkaitan. 3.4.3 Pengagihan Perkakasan ICT i. Semua pengagihan perkakasan ICT hendaklah mengikut Garis Panduan Penggunaan Peralatan dan Perkakasan ICT UPNM. Staf akademik dan Guru Bahasa layak mendapat satu (1) unit komputer riba setiap seorang. Mereka bertanggungjawab menyerahkan komputer riba kepada PTMK sebelum memulakan cuti belajar sama ada di dalam atau di luar UPNM. i Pensyarah sama ada Kontrak atau Sementara atau Pensyarah Tamu layak mendapat satu (1) unit komputer riba setiap seorang dan mereka bertanggungjawab menyerahkan komputer riba kepada PTMK selewat-lewatnya satu (1) minggu sebelum tamat tempoh perkhidmatan. iv. Pensyarah Muda atau Tutor juga layak mendapat satu (1) unit komputer peribadi atau satu (1) unit komputer riba (tertakluk kepada peruntukan) setiap seorang. Mereka bertanggungjawab menyerahkan komputer peribadi atau komputer riba kepada PTMK selewat-lewatnya satu (1) minggu sebelum memulakan cuti belajar. v. Dekan, Pengarah, Timbalan Dekan, Timbalan Pengarah dan Ketua Jabatan juga layak mendapat satu (1) unit komputer peribadi untuk kegunaan pentadbiran di lokasi 19
yang ditetapkan (contoh: Bilik Dekan atau Bilik Pengarah). Sekiranya tamat tempoh pelantikan, komputer peribadi tersebut hendaklah dikekalkan di lokasi yang berkenaan. vi. Staf Pengurusan dan Profesional layak mendapat satu (1) unit komputer peribadi untuk setiap seorang. Sekiranya tamat tempoh pelantikan atau ditempatkan semula ke PTj lain, komputer peribadi tersebut hendaklah dikekalkan di lokasi yang berkenaan. v vi ix. Staf Sokongan I dan II (Gred 1-40) layak diberi satu (1) unit komputer peribadi berdasarkan keperluan kerja yang ditentukan oleh Ketua PTj yang telah dinilai keperluannya oleh PTMK. Sekiranya tamat tempoh pelantikan atau ditempatkan semula ke PTj lain, komputer peribadi tersebut hendaklah dikekalkan di lokasi yang berkenaan. Staf yang tamat perkhidmatan termasuk tetapi tidak terhad kepada bersara atau meletak jawatan, dipinjamkan, bercuti belajar dalam atau luar negara (staf bukan akademik), perlu memulangkan perkakasan di bawah tanggungjawabnya kepada PTMK selewat-lewatnya satu (1) minggu sebelum tarikh berkaitan. Semua penerima peralatan ICT adalah bertanggungjawab sepenuhnya terhadap keselamatan peralatan yang diberikan. 3.4.4 Penggantian Komputer i. Komputer yang telah berusia lima (5) tahun akan diganti tertakluk kepada adanya peruntukan dan komputer asal dikembalikan ke PTMK bagi tujuan pelupusan aset. Setiap kehilangan, kerosakan atau kemusnahan perkakasan ICT perlu dilaporkan kepada PTMK dengan segera. 3.4.5 Peminjaman Perkakasan ICT i. Semua peminjaman perkakasan ICT hendaklah mengikut Garis Panduan Penggunaan Peralatan dan Perkakasan ICT UPNM. 20
Setiap PTj yang menyediakan peminjaman perkakasan ICT perlu merekod maklumat berkaitan peminjaman dan pemulangan. i Peminjam bertanggungjawab sepenuhnya terhadap keselamatan peralatan yang dipinjam. iv. Peminjam perlu melaporkan dengan segera secara bertulis sekiranya berlaku kerosakan atau kehilangan perkakasan yang dipinjam kepada Ketua PTj berkenaan untuk diambil tindakan yang sesuai. v. Peminjam perlu memulangkan perkakasan yang dipinjam dalam keadaan baik, berfungsi dan dalam set lengkap pada tarikh dan masa pemulangan yang ditetapkan. vi. Pinjaman adalah tertakluk kepada kelulusan Ketua PTj berkenaan. v Peminjam dalam kalangan pelajar hendaklah melalui pensyarah atau Ketua PTj. Perkakasan tersebut adalah di bawah tanggungjawab pensyarah atau pegawai berkenaan. 3.4.6 Baik Pulih dan Penyenggaraan Perkakasan ICT i. Semua baik pulih dan penyenggaraan perkakasan hendaklah mengikut Garis Panduan Penggunaan Peralatan dan Perkakasan ICT UPNM. i Bagi kerosakan perkakasan yang dibekalkan oleh PTMK, PTj dikehendaki membuat aduan kepada PTMK melalui borang aduan yang disediakan. Urusan pembaikan dan penyenggaraan akan diurus oleh PTMK. Bagi kerosakan perkakasan ICT yang dibeli oleh PTj atau melalui geran penyelidikan, PTj diminta membuat aduan kepada PTMK untuk tujuan pemeriksaan dan pengesahan kerosakan. Sekiranya masih dalam tempoh jaminan, PTj dikehendaki menghubungi pembekal untuk tujuan pembaikan. Sekiranya tamat tempoh jaminan, pembaikan dan penyelenggaraan akan diuruskan oleh PTj dan jika perlu boleh mendapatkan khidmat nasihat teknikal daripada PTMK. 21
iv. PTMK menyediakan perkhidmatan penyelenggaraan pencegahan untuk semua PTj (tidak termasuk peralatan komputer di makmal dan PTj yang mempunyai Juruteknik Komputer) sekurang-kurangnya sekali setahun. v. Penyelenggaraan pencegahan peralatan komputer di makmal hendaklah dilakukan oleh Juruteknik Komputer PTj dua (2) kali setahun dan boleh mendapatkan khidmat nasihat daripada PTMK. 3.4.7 Pelupusan Perkakasan ICT i. Semua perkakasan ICT yang didapati tidak sesuai dinaik taraf atau kos penyelenggaraan yang tinggi hendaklah dicadang untuk dilupuskan mengikut Prosedur Pelupusan (rujuk Pekeliling Bendahari Bilangan 1 Tahun 2012). Bagi perkakasan yang dibekalkan oleh PTMK, PTMK akan membuat cadangan pelupusan kepada Jawatankuasa Pengurusan Aset Alih Kerajaan (JKPAK) sebelum dimajukan kepada Urus Setia Pelupusan Aset Universiti. i iv. Bagi perkakasan ICT yang dibeli oleh PTj termasuk daripada geran penyelidikan, PTj akan membuat cadangan pelupusan kepada Urus Setia Pelupusan Aset Universiti. PTMK hendaklah membuat semakan dan pengesahan pelupusan aset ICT kepada Jawatankuasa Pelupusan Aset Universiti; dan Mana-mana perkakasan yang dilupuskan akan disyorkan penggantian baharu oleh PTMK atau PTj tertakluk kepada peruntukan universiti. 3.4.8 Tanggungjawab Pengguna i. Pengguna tidak berhak mengubah spesifikasi dan komponen asal perkakasan di bawah kawalannya yang dibekalkan oleh UPNM seperti menaik taraf RAM dan sebagainya kecuali dengan kebenaran PTMK. Pengguna tidak berhak mengganggu dengan apa cara sekalipun perkakasan yang bukan berada di bawah kawalannya. Ini termasuk mengguna atau mengambil tanpa 22
kebenaran, menceroboh dan mencuri perkakasan atau komponen-komponennya. i iv. Sebarang penggunaan secara perkongsian (sharing) adalah menjadi tanggungjawab bersama semua pengguna terbabit. Pengguna hendaklah melaporkan dengan segera kepada PTMK sekiranya perkakasan tersebut rosak atau tidak berfungsi untuk tujuan pembaikan melalui saluran yang disediakan. v. Pengguna hendaklah melaporkan dengan segera secara bertulis kepada UPNM sekiranya perkakasan tersebut hilang atau dicuri dan membuat laporan berdasarkan prosedur atau pekeliling sedia ada. vi. Setiap laporan kehilangan atau kecurian perkakasan ICT hendaklah disertakan sekali dengan laporan polis. 23
24
25
4.1 OBJEKTIF Menentukan penyediaan, penggunaan, keselamatan dan pengoperasian bagi pelayan komputer, perisian aplikasi dan data serta perkhidmatan rangkaian (UPNMNet). 4.2 SKOP 4.2.1 Sistem Pelayan Komputer Merangkumi semua (perkakasan dan perisian aplikasi) yang disediakan untuk perkhidmatan pengguna UPNM. Ini termasuk pelayan aplikasi, pelayan operasi rangkaian, pelayan kegunaan setempat (domain, fail, mel elektronik) dan pelayan-pelayan lain yang terdapat dalam sistem rangkaian UPNM. 4.2.2 Perisian Aplikasi 4.2.3 Data Merangkumi semua perisian aplikasi yang dibeli atau dibangunkan secara dalaman untuk perkhidmatan pengguna UPNM. i. Data yang disimpan di dalam pelayan komputer hanya boleh dicapai oleh pengguna yang dibenarkan. i Data yang disimpan di dalam pelayan komputer untuk perisian aplikasi adalah kepunyaan pemilik data. Data yang disimpan di dalam pelayan kegunaan setempat adalah kepunyaan pemilik data yang berkenaan. 4.2.4 Perkhidmatan UPNMNet i. Sumber rangkaian kampus UPNM merangkumi peralatan rangkaian termasuk tetapi tidak terhad kepada peralatan rangkaian seperti tembok api (firewall), DNS, penghala (router) dan suis (switch). Perisian aplikasi rangkaian merangkumi perisian sama ada dibeli atau dimuat turun secara sah daripada Internet seperti mel elektronik, pelayar web dan lain-lain. 26
i Konfigurasi rangkaian merangkumi penyediaan (setup), reka bentuk bagi penggunaan alamat IP dan teknologi serta protokol rangkaian yang digunakan seperti protokol TCP/IP dan lain-lain. 4.3 PELAYAN KOMPUTER 4.3.1 Hak Milik Pelayan Semua pelayan komputer yang diperolehi untuk/bagi pihak universiti adalah menjadi hak milik UPNM. 4.3.2 Perolehan Pelayan Semua perolehan hendaklah mengikut Prosedur Perolehan Perkakasan ICT (Rujuk 3.4.2). 4.3.3 Konfigurasi dan Operasi i. Semua pelayan komputer untuk kegunaan dalaman akan diberi alamat IP statik persendirian. Alamat IP awam boleh dipertimbangkan oleh pentadbir rangkaian bagi keperluan capaian Internet. i Semua pelayan komputer perlu didaftarkan dengan PTMK dan menyatakan dengan jelas fungsi pelaya tersebut. Ia perlu berada di dalam domain UPNM. Bagi tujuan keselamatan, semua pelayan komputer untuk capaian luar (public access), perlu ditempatkan di Pusat Data PTMK. Pentadbir sistem dan pentadbir rangkaian perlu memastikan keselamatan pelayan daripada pencerobohan. Ini termasuk tetapi tidak terhad kepada membuat pemeriksaan ke atas proses tersembunyi, daemons, mengemaskini perisian operasi dan patches serta mengenal pasti tahap capaian pengguna dan penggunaan pelayan komputer. iv. Pelayan komputer yang digunakan untuk tujuan penyelidikan menggunakan jalur lebar rangkaian secara intensif (high bandwidth usage) perlu ditempatkan dalam rangkaian persendirian yang dipisahkan daripada UPNMNet melalui penggunaan switch/router untuk mengelak gangguan daripada rangkaian utama. Sebarang ujian yang memerlukan 27
penggunaan rangkaian UPNMNet secara terus perlu mendapat kelulusan daripada PTMK. v. Pelayan komputer untuk kegunaan lain (contoh kafe siber) tidak dibenarkan menggunakan rangkaian UPNMNet untuk mengelakkan gangguan pada rangkaian. vi. v Pengguna tidak dibenarkan mengubah sama sekali alamat IP kecuali mendapat kelulusan PTMK. Log masuk dan kata laluan untuk ID root dan super-user adalah di bawah kawalan dan tanggungjawab pentadbir sistem dan pentadbir rangkaian sepenuhnya. 4.4 RANGKAIAN UPNMNet 4.4.1 Hak Milik Rangkaian UPNMNet Semua sumber rangkaian komputer yang diperolehi untuk/bagi pihak UPNM adalah menjadi hak milik UPNM. 4.4.2 Perolehan Rangkaian UPNMNet Semua perolehan sumber rangkaian hendaklah mengikut Prosedur Perolehan Perkakasan ICT (Rujuk 3.4.2). 4.4.3 Kemudahan Rangkaian UPNMNet i. Pengguna tidak dibenarkan dalam apa bentuk sekali pun mengganggu lain-lain pengguna UPNMNet, Internet dan sebarang rangkaian yang lain termasuk tetapi tidak terhad kepada menghantar maklumat rambang secara mel elektronik (spam) atau mesej dalam talian (online messaging); i Pengguna tidak boleh memberi maklumat rangkaian yang diberi kepadanya untuk diguna oleh orang lain walaupun kepada pelajar atau staf UPNM tanpa mendapat kelulusan pentadbir rangkaian; Pengguna bertanggungjawab sepenuhnya terhadap semua aktiviti yang dilakukannya termasuk tetapi tidak terhad kepada komputer atau komputer riba yang melibatkan atau 28
melalui UPNMNet termasuk capaian ke rangkaian-rangkaian yang lain; dan Internet dan iv. Mana-mana komputer yang menjadi sumber ancaman kod hasad (malicious code) seperti penyebaran virus, trojan, cecacing dan lain-lain akan disekat capaiannya ke UPNMNet oleh pentadbir rangkaian. Perkhidmatan capaian komputer tersebut akan ditutup sehingga komputer tersebut disahkan bebas dari ancaman tersebut. 4.5 PENYAMBUNGAN RANGKAIAN UPNMNet i. Kelulusan dari PTMK perlu diperolehi untuk sebarang perkhidmatan penyambungan ke UPNMNet. Konfigurasi penyambungan hendaklah dibuat oleh pembekal di bawah pengawasan dan kawalan pentadbir rangkaian; i iv. Sebarang penyambungan rangkaian ke UPNMNet yang tidak mendapat kebenaran dari PTMK adalah menyalahi peraturan. PTMK berhak memutuskan penyambungan tersebut. Tindakan susulan boleh diambil ke atas pengguna atas nasihat UPNM; Penyambungan Rangkaian Antara Kampus (CAN) dan Rangkaian Kawasan Luas (WAN) tidak boleh dilakukan oleh pengguna tanpa mendapat kelulusan daripada UPNM; Setiap bangunan baharu yang akan dibina perlu memasukkan keperluan infrastruktur rangkaian yang ditentukan bersama oleh pengguna, PTMK dan Jabatan Pembangunan dan Penyelenggaraan (JPP). Kos pemasangan infrastruktur rangkaian perlu dimasukkan dalam kos peruntukan pembinaan bangunan; v. Setiap kerja ubah suai atau tambahan bangunan, ruang atau pejabat yang memerlukan keperluan rangkaian, maka pihak JPP dan PTMK hendaklah dimaklumkan bagi tujuan nasihat dan teknikal; vi. v Penyediaan/pemasangan mana-mana rangkaian selain daripada UPNMNet perlu mendapat kelulusan daripada PTMK; dan Kerja-kerja rangkaian perlu mendapat pengesahan dan kelulusan daripada PTMK sebelum pembayaran boleh dibuat kepada pembekal yang dilantik. 29
4.6 TINDAKAN PENGUATKUASAAN DAN PEMATUHAN Mana-mana pihak yang gagal untuk mematuhi peruntukan bab ini sama ada dengan niat sengaja atau tinggalan salah boleh dikenakan tindakan penguatkuasaan bagi tujuan pematuhan di bawah Bab 10. 30
31
5.1 OBJEKTIF Menerangkan penguatkuasaan penggunaan makmal-makmal komputer di UPNM yang digariskan sebagai panduan umum untuk setiap pentadbir makmal komputer di PTj. Setiap makmal boleh mempunyai peraturan khusus untuk pengguna masing-masing. 5.2 SKOP Setiap pengguna mesti mematuhi syarat dan peraturan penggunaan makmal yang ditetapkan oleh pentadbir makmal masing-masing. Sebarang pelanggaran peraturan atau penyalahgunaan adalah tertakluk kepada Dasar Keselamatan ICT. 5.3 PENGGUNAAN MAKMAL i. Setiap PTj hendaklah menyedia, memaklum, memapar dan menguatkuasa peraturan penggunaan makmal komputer masingmasing kepada pengguna. Peraturan makmal yang digubal hendaklah melarang pengguna melakukan perkara-perkara berikut termasuk tetapi tidak terhad kepada: a. Sembang siber (chatting) b. Makan dan minum c. Menghisap rokok d. Membuat bising termasuk tetapi tidak terhad kepada berbual, berbincang, memasang dan mendengar muzik e. Mengganggu pengguna lain dengan apa cara sekalipun, termasuk menimbulkan rasa aib, marah dan tidak selesa f. Berkelakuan tidak senonoh atau mengaibkan g. Menukar kedudukan komputer dan peranti h. Menukar konfigurasi komputer 32
5.4 BUKU LOG i. Menambah atau membuang sebarang perisian j. Menyimpan atau memindah turun maklumat atau data ke dalam cakera keras komputer k. Membawa keluar sebarang peralatan dari makmal l. Mencuri peranti dan perkakasan komputer m. Pengguna hendaklah mendapat kebenaran pentadbir makmal untuk memasang perisian ke dalam komputer n. Pengguna hendaklah mematuhi sebarang arahan tambahan dari pentadbir makmal yang bertugas o. Pengguna hendaklah berpakaian mengikut Etika Pakaian UPNM yang dikuatkuasakan p. Pengguna dilarang menggunakan alamat IP makmal bagi tujuan persendirian. Semua penggunaan komputer di dalam makmal (sama ada yang disambung ke UPNMNet atau tidak) mesti direkodkan ke dalam buku log atau sistem yang dikuatkuasakan. Rekod tersebut hendaklah mempunyai sekurangkurangnya maklumat berikut. i. Tarikh; i iv. Nama pengguna; No. Matrik/No. Kad Pengenalan; Masa masuk dan keluar; v. Tandatangan; dan vi. Buku log ini (sama ada berbentuk digital atau manual) perlu disimpan dengan baik sekurang-kurangnya untuk tempoh empat (4) tahun bagi tujuan rujukan jika diperlukan. 33
5.5 BUDI BICARA PENTADBIR MAKMAL KOMPUTER i. Walau apapun yang dinyatakan di dalam bab ini, Pentadbir Makmal boleh menggunakan budi bicaranya untuk memberikan arahan tambahan berdasarkan keperluan dari semasa ke semasa. Budi bicara tersebut mestilah tidak mengatasi sebarang peruntukan di bawah Dasar ini dan tidak akan mengecualikan liabiliti beliau daripada dikenakan sebarang tindakan penguatkuasaan dan pematuhan di bawah Bab 10. 5.6 TINDAKAN PENGUATKUASAAN DAN PEMATUHAN Mana-mana pihak yang gagal untuk mematuhi peruntukan bab ini sama ada dengan niat sengaja atau tinggalan salah boleh dikenakan tindakan penguatkuasaan bagi tujuan pematuhan di bawah Bab 10. 34
35
6.1 OBJEKTIF Menentukan penggunaan perkhidmatan Intranet dan Internet oleh pengguna bersesuaian seperti mana yang dikehendaki oleh UPNM. Dasar ini juga bertujuan melahirkan pengguna Internet yang beretika dan bertanggungjawab. 6.2 SKOP i. Penggunaan kemudahan mel elektronik UPNM dan bukan UPNM. i Pembangunan laman web di UPNM, sama ada dibangunkan secara berpusat atau secara berasingan oleh webmaster UPNM di PTMK atau PTj yang lain. Penggunaan Intranet dan Internet termasuk tetapi tidak terhad kepada capaian sistem aplikasi UPNM, Portal UPNM, laman web, pemindahan data atau maklumat dan perbincangan melalui e-mail group, chat room atau forum. 6.3 PENGGUNAAN MEL ELEKTRONIK i. Aktiviti spamming, mail bombing, phishing dan/atau penyebaran mel elektronik dengan kandungan tidak beretika seperti lucah, ugutan, hasutan, perkauman, politik, perniagaan dan gangguan kepada individu, mailing list atau discussion group sama ada di dalam rangkaian UPNMNet atau ke Internet adalah tidak dibenarkan. i UPNM berhak memasang sebarang jenis perisian atau perkakasan penapisan mel elektronik (e-mail filter) dan antivirus yang difikirkan sesuai dan boleh digunakan untuk mencegah, menapis, menyekat atau menghapuskan mana-mana mel elektronik yang disyaki mengandungi virus, kod hasad (malicious code) atau berunsur spamming daripada memasuki ke dalam pelayan, komputer atau rangkaian UPNMNet dan keluar daripada pelayan, komputer atau UPNMNet. UPNM tidak bertanggungjawab terhadap pengguna yang menjadi penghantar (sender) atau penerima (receiver) kepada sebarang mel elektronik yang berunsur spamming, phishing atau penyebaran mel elektronik dengan kandungan tidak beretika. 36
iv. UPNM tidak bertanggungjawab terhadap sebarang kerosakan, kehilangan atau sebarang kesan lain kepada maklumat, aplikasi, data, kotak mel elektronik atau fail yang disimpan oleh pengguna di dalam komputer, komputer riba atau pelayan akibat daripada penggunaan perkhidmatan mel elektronik. v. Sistem mel elektronik yang disediakan oleh UPNM mestilah boleh menyedia kemudahan untuk menukar kata laluan secara berkala (dicadangkan dibuat setiap tiga (3) bulan oleh pengguna) bagi mengelakkan pencerobohan akaun. vi. v vi ix. Kemudahan mel elektronik disediakan dan diberi kepada semua staf dan pelajar UPNM yang berdaftar. Kemudahan mel elektronik juga boleh disediakan kepada organisasi atau persatuan rasmi UPNM melalui permohonan kepada PTMK. Pengguna tidak dibenarkan untuk memohon penukaran alamat mel elektronik. Seseorang pengguna individu tidak dibenarkan untuk memohon dan/atau memiliki lebih daripada satu akaun atau alamat mel elektronik UPNM pada satu-satu masa. Setiap alamat mel elektronik yang disediakan adalah untuk kegunaan individu, organisasi atau persatuan berkenaan sahaja dan tidak boleh digunakan oleh pihak lain sama sekali. Pengguna digalakkan menggunakan mel elektronik UPNM untuk urusan rasmi. UPNM berhak menghalang penggunaan mel elektronik selain daripada mel elektronik UPNM jika didapati membebankan rangkaian UPNMNet. x. Dalam kes sistem tergendala (rosak), pihak pentadbir sistem hanya bertanggungjawab untuk memulihkan kembali (restore) maklumat akaun pengguna dan bukannya kandungan atau kotak mel elektronik (mailbox) pengguna. xi. x Atas sebab-sebab keperluan audit, keselamatan dan penggunaan, pentadbir sistem dengan kelulusan UPNM berhak memeriksa dan melihat isi kandungan mel elektronik dan ruang storan pengguna. UPNM boleh menamatkan kemudahan akaun mel elektronik yang telah diberikan kepada staf dan pelajar atas sebab-sebab berikut. 37
a. Staf telah menamatkan atau ditamatkan perkhidmatan dengan UPNM secara rasmi; b. Pelajar yang telah tamat pengajian atau ditamatkan pengajiannya di UPNM secara rasmi; dan c. Persatuan yang telah dibubar secara rasmi oleh UPNM. 6.4 PEMBANGUNAN LAMAN WEB i. UPNM bertanggungjawab menyediakan tapak laman web (web hosting) rasmi PTj, persatuan atau bagi aktiviti rasmi sahaja. i iv. Ketua PTj, persatuan atau organisasi adalah bertanggungjawab sepenuhnya terhadap semua kandungan, pengemaskinian kandungan dan keselamatan laman web masing-masing. Pihak UPNM tidak akan bertanggungjawab terhadap kandungan dan sebarang penyalahgunaan hak cipta yang dilakukan. UPNM boleh mengehadkan atau memansuhkan akses kepada tapak laman web tersebut. Semua laman web PTj mesti mempunyai pautan (link) dengan laman web rasmi UPNM. UPNM berhak menukar atau mengubah suai kandungan laman web atas kepentingan UPNM. UPNM berhak menentukan perisian pembangunan laman web bagi tujuan mengoptimumkan penggunaan, keseragaman dan keselamatan. v. Kandungan laman web mesti dipersembahkan dalam Bahasa Melayu dan Bahasa Inggeris. Penggunaan bahasa lain perlu mendapat kelulusan daripada Jawatankuasa Laman Web UPNM (rujuk lampiran Garis Panduan Laman Web UPNM). vi. Kandungan laman web hendaklah tidak mengandungi maklumat atau terdedah kepada kemasukan maklumat yang menyalahi Undang-undang atau Peraturan UPNM, negeri dan Negara termasuk tetapi tidak terhad kepada maklumat yang berbentuk keganasan, lucah, hasutan dan yang boleh menimbul atau membawa kepada keganasan, keruntuhan akhlak dan kebencian. v Semua laman web PTj, persatuan atau organisasi yang dibangunkan sendiri perlu dimaklumkan kepada PTMK dan 38
hendaklah mematuhi panduan yang ditetapkan. 6.5 CAPAIAN INTERNET DAN INTRANET i. UPNM berhak menyedia dan memasang perkakasan dan perisian penapisan isi kandungan Internet dan Intranet. i iv. Laman web yang boleh dilayari, dilanggan dan diguna adalah berbentuk akademik dan pengetahuan. Laman web yang berbentuk keganasan, lucah, hasutan dan yang boleh menimbul atau membawa kepada keganasan, keruntuhan akhlak dan kebencian adalah tidak dibenarkan sama sekali, kecuali mendapat keizinan daripada PTMK melalui sokongan Ketua Jabatan bagi tujuan akademik, penyelidikan atau pentadbiran. Capaian laman web yang berbentuk hiburan tidak dibenarkan di waktu pejabat, termasuk tetapi tidak terhad kepada laman web sosial, permainan dalam talian, radio dalam talian dan video streaming yang membebankan rangkaian UPNMNet. Melayari Internet tanpa tujuan atau meninggalkan capaian Internet unattended adalah amat tidak beretika dan tidak digalakkan kerana ianya boleh menyebabkan kesesakan rangkaian UPNMNet. v. UPNM berhak menapis, menghalang dan melarang penggunaan mana-mana laman web yang dianggap tidak sesuai. vi. v vi ix. Pengguna dilarang mengganggu atau menceroboh laman web mana-mana jabatan, organisasi atau negara. Pengguna dilarang memasuk, menyalin, menciplak, mencetak dan menyebarkan maklumat daripada Internet yang menyalahi undangundang negara. Chatting adalah tidak digalakkan kecuali untuk tujuan rasmi. Pengguna tidak dibenarkan menggunakan sumber ICT UPNM untuk mendapat atau cuba mendapat capaian tidak sah (unauthorised access) kepada mana-mana sistem komputer sama ada di dalam atau di luar UPNM. Ini termasuk membantu, mendorong, menyembunyikan percubaan untuk mencapai sistem-sistem komputer tersebut atau mencapai sumber ICT UPNM dengan menggunakan identiti pengguna yang lain. 39
x. Pengguna tidak dibenar mencapai atau cuba mencapai sumber elektronik (data, paparan, keystrokes, fail atau media storan) dalam sebarang bentuk yang dimiliki oleh pengguna yang lain tanpa mendapat kebenaran atau kelulusan pengguna terbabit terlebih dahulu. Ini termasuk membaca, menyalin, menukar, merosak atau memadam data, program dan perisian. Penggunaan penganalisis rangkaian (network analyser) atau pengintip (sniffer) adalah dilarang. xi. Pengguna yang mencapai sesuatu perkhidmatan yang perlu dibayar (contohnya pangkalan data dalam talian komersial), hendaklah bertanggungjawab ke atas segala bayaran yang dikenakan. 6.6 TINDAKAN PENGUATKUASAAN DAN PEMATUHAN Mana-mana pihak yang gagal untuk mematuhi peruntukan bab ini sama ada dengan niat sengaja atau tinggalan salah boleh dikenakan tindakan penguatkuasaan bagi tujuan pematuhan di bawah Bab 10. 40
41
7.1 OBJEKTIF Menyatakan tanggungjawab pihak yang terlibat dengan penggunaan kemudahan ICT di UPNM seperti berikut. i. Melindungi kepentingan pengguna utama ICT apabila berlaku kejadian pelanggaran Dasar ICT UPNM; Memelihara dan melindungi maklumat peribadi tuan punya maklumat yang dimiliki oleh UPNM; i iv. Menyokong usaha UPNM untuk menjaga kepentingan stakeholder; dan Menerangkan aktiviti-aktiviti yang dilakukan oleh Pengurus Maklumat yang melibatkan capaian data, maklumat, atau kegiatan pengguna yang dikelaskan sebagai maklumat rahsia atau sulit. 7.2 SKOP i. Meliputi tanggungjawab pengguna dan UPNM yang berkaitan capaian maklumat rahsia atau sulit. Walau bagaimanapun hanya maklumat peribadi yang diambil untuk memudahkan seseorang individu berhubung, iaitu nama, no. telefon dan alamat mel elektronik yang disediakan oleh seseorang individu adalah tidak termasuk dalam dasar ini. 7.3 CAPAIAN MAKLUMAT RAHSIA ATAU SULIT i. Pengguna ditegah menyimpan maklumat rahsia atau sulit pengguna UPNM yang lain. Pengurus Maklumat berhak untuk mencapai, merekod, atau memantau data, maklumat atau kegiatan pengguna dari semasa ke semasa sebagai rutin pemantauan keselamatan ICT. Maklumatmaklumat yang direkodkan ini akan digunakan untuk tujuan keselamatan ICT dan akauntabiliti pengguna. Contohnya, arahan dalam pelayan komputer UNIX seperti last, syslog, acctcom, pacct yang berfungsi merekod aktiviti pengguna untuk tujuan pengauditan. 42
i iv. Pengurus Maklumat hendaklah mendapat kebenaran daripada pihak UPNM untuk memantau kegiatan dan aktiviti pengguna yang melanggar Dasar ICT UPNM. Segala maklumat yang direkodkan boleh digunakan sebagai bukti audit. Sekiranya pelanggaran Dasar ICT UPNM tersebut serius seperti menggunakan identiti pengguna lain untuk mencuri data atau merosakkan sumber ICT, maka buktibukti yang dikumpul akan dimajukan kepada Jawatankuasa Keselamatan ICT UPNM. Pengurus Maklumat berhak membuat salinan sama ada dalam bentuk bercetak atau digital kesemua atau sebahagian kandungan akaun pengguna sebagai pemeliharaan bukti. Pengurus maklumat dengan kebenaran UPNM boleh mencapai maklumat rahsia atau sulit pengguna yang disyaki. v. Pentadbir sistem dan pentadbir rangkaian berhak untuk memantau dan merekodkan data-data yang berada dalam rangkaian sebagai sebahagian daripada rutin keselamatan sumber ICT. Peralatan rangkaian seperti router, firewall, mail filter, Internet security gateway atau sistem pelayan komputer yang menggunakan perisian-perisian tertentu boleh digunakan untuk merekodkan data-data dalam rangkaian. Data-data yang direkodkan ini tidak akan didedahkan melainkan jika berlaku kejadian pelanggaran Dasar ICT UPNM. 7.4 PENGURUSAN MAKLUMAT RAHSIA ATAU SULIT 7.4.1 Syarat Pengambilan Maklumat Rahsia atau Sulit Pengguna i. Semua pengambilan maklumat rahsia atau sulit pengguna hendaklah dinyatakan dengan jelas tujuan penggunaannya. i iv. Maklumat rahsia atau sulit yang diambil daripada tuan punya maklumat atau diambil daripada pihak ketiga, mestilah mendapat kebenaran daripada tuan punya maklumat tersebut. Tuan punya maklumat hendaklah diberitahu atau dimaklum untuk mengesahkan maklumat yang telah diambil. Sebarang perubahan terhadap maklumat rahsia atau sulit pengguna harus mendapat kebenaran dan pengesahan tuan punya maklumat. 43
7.4.2 Kaedah Pengambilan Maklumat Rahsia atau Sulit i. Maklumat rahsia atau sulit pengguna diambil berpandukan dasar, peraturan atau undang-undang yang dibenarkan. i Maklumat rahsia atau sulit pengguna tidak boleh diambil tanpa kebenaran atau tujuan yang jelas. Maklumat rahsia atau sulit pengguna yang terdapat di laman web atau Portal UPNM adalah atas tanggungjawab Webmaster PTj berkenaan. UPNM tidak bertanggungjawab ke atas ketepatan maklumat rahsia atau sulit pengguna yang disediakan oieh PTj berkenaan. 7.4.3 Larangan Terhadap Pengambilan Maklumat Rahsia atau Sulit Pengguna i. Maklumat yang dinyatakan di bawah tidak boleh diambil, digunakan atau dihebahkan. Maklumat-maklumat tersebut adalah seperti berikut. a. Bangsa; b. Asal; c. Keluarga; d. Agama; e. Pandangan politik; f. Ideologi atau pun keahlian sesuatu persatuan; g. Maklumat kesihatan; dan h. Rawatan. Walau bagaimanapun bagi kes-kes tertentu seperti arahan Mahkamah, maka maklumat-maklumat tersebut tidak lagi termaktub di dalam Larangan Terhadap Pengambilan Maklumat Rahsia atau Sulit Pengguna. Nota: Maklumat kesihatan dan rawatan hanya boleh diambil oleh 44
Pegawai Perubatan bertauliah pesakit-pesakit. yang menguruskan hal 7.5 HAD-HAD PENGGUNAAN MAKLUMAT RAHSIA ATAU SULIT PENGGUNA i. Maklumat rahsia atau sulit pengguna mestilah digunakan untuk tujuan yang telah dinyatakan ketika maklumat itu diperolehi sama ada daripada tuan punya maklumat atau pihak ketiga. i iv. Tuan punya maklumat telah memberi kebenaran menggunakan maklumat tersebut. Maklumat rahsia atau sulit pengguna boleh digunakan bagi pengesahan sesuatu kontrak. Maklumat rahsia atau sulit pengguna boleh digunakan untuk tujuan Mahkamah atau Perundangan. Maklumat rahsia atau sulit pengguna boleh digunakan untuk melindungi tuan punya maklumat dalam semua perkara. 7.6 KEBERTANGGUNGJAWABAN UPNM i. UPNM bertanggungjawab memastikan ketepatan maklumat rahsia atau sulit pengguna semasa dalam simpanan dan sentiasa dikemas kini untuk tujuan yang diperlukan. Kemas kini maklumat hanya perlu dilakukan jika maklumat tersebut diperlukan oleh pihak UPNM. Dalam kes tuan punya maklumat telah menamatkan perkhidmatan atau pengajian, beliau tidak dimestikan untuk mengemaskini maklumat tersebut kecuali apabila diperlukan oieh UPNM. i UPNM bertanggungjawab menjamin keselamatan maklumat yang disimpan. Langkah-langkah keselamatan perlu diambil sama ada secara manual atau elektronik untuk mengelakkan maklumat dicapai secara tidak sah, dirosak, diubah, hilang dan sebagainya. UPNM bertanggungjawab menjamin kerahsiaan maklumat rahsia atau sulit pengguna. Pengurus maklumat atau pemilik data mestilah memastikan maklumat rahsia atau sulit pengguna tidak disebarkan kepada pihak lain, selain daripada mereka yang mempunyai hak untuk mengetahui maklumat tersebut. 45
iv. Permintaan untuk mencapai maklumat rahsia atau sulit pengguna oleh tuan punya maklumat untuk tujuan pengesahan (verification) mestilah diberi untuk satu tempoh yang tertentu. Jika terdapat kesilapan maklumat ketika diperiksa oleh tuan punya maklumat, pengurus maklumat atau pemilik data hendaklah dimaklumkan untuk tindakan susulan. v. Bantahan terhadap penggunaan maklumat rahsia atau sulit pengguna oleh tuan punya maklumat hendaklah diterima dan diteliti. Walau bagaimanapun jika maklumat tersebut itu digunakan untuk tujuan pengesahan atau pun atas keperluan undang-undang, maka hak bantahan tersebut tidak dibenarkan. vi. Pengurus maklumat dan pemilik data mestilah memahami dan mengikuti Dasar Akauntabiliti dan Kerahsiaan Maklumat, dan bertanggungjawab untuk memaklumkan kepada tuan punya maklumat mengenai dasar tersebut. 7.7 TINDAKAN PENGUATKUASAAN DAN PEMATUHAN Mana-mana pihak yang gagal untuk mematuhi peruntukan bab ini sama ada dengan niat sengaja atau tinggalan salah boleh dikenakan tindakan penguatkuasaan bagi tujuan pematuhan di bawah Bab 10. 46
47
8.1 OBJEKTIF i. Memastikan pengawalan dan pengurusan keselamatan ke atas perkakasan, perisian, aplikasi, operasi dan sistem komputer. Menerangkan pelaksanaan keselamatan rangkaian UPNMNet yang merupakan satu infrastruktur rangkaian kawasan setempat (LAN) untuk penyambungan bagi tujuan komunikasi dan perkongsian maklumat/sumber. 8.2 SKOP i. Aspek reka bentuk keselamatan sistem komputer dan rangkaian. Aspek keselamatan perkakasan, perisian, aplikasi, sistem pengendalian, sistem komputer dan rangkaian. 8.3 KESELAMATAN PELAYAN 8.3.1 Kawalan Capaian Fizikal i. Kawalan terhadap individu/staf yang masuk ke Bilik Pelayan, Bilik Rangkaian dan juga kawalan capaian kepada semua sistem pelayan serta sumber-sumber ICT lain. Mewujudkan mekanisma kawalan capaian fizikal untuk staf/individu mencapai sistem pelayan yang berkenaan. 8.3.2 Kawalan Capaian Logikal Kawalan dibuat semasa pemasangan agar hanya pengguna yang dibenarkan sahaja boleh mencapai seperti berikut. i. Pengenalan Pengguna (User ID) a. Pengguna boleh terdiri daripada individu atau kumpulan pengguna yang berkongsi hak capaian akaun yang sama. Dalam kedua-dua keadaan, pengguna perlu bertanggungjawab ke atas keselamatan sistem yang digunakan. 48
b. Langkah-langkah yang diambil untuk mengenal pasti pengguna yang sah adalah seperti berikut. - Memberi satu pengenalan pengguna yang unik kepada setiap pengguna individu dan kumpulan pengguna; - Menyimpan dan menyelenggara semua pengenalan pengguna yang bertanggungjawab untuk setiap aktiviti; - Memastikan adanya fail log bagi kemudahan jejak audit (audit trail) untuk menyemak semua aktiviti pengguna. Jejak audit untuk setiap aktiviti pengguna hendaklah disimpan dan diarkib sekiranya keperluan storan adalah mencukupi terutamanya untuk pengguna yang boleh mencapai maklumat sulit agar dapat dikenalpasti sekiranya berlaku pencerobohan maklumat; - Memastikan semua pengenalan pengguna yang diwujudkan mestilah berdasarkan permohonan dari pengguna sahaja; dan - Perubahan pengenalan pengguna untuk sistem aplikasi perlu mendapat kebenaran daripada pemilik sistem tersebut. c. Sebaik sahaja pengguna diberi pengenalan pengguna, pengguna mestilah aktif menggunakan sistem tersebut. PTMK berhak untuk: - Menggantung semua capaian pengenalan pengguna sekiranya tidak digunakan selama 90 hari berturut-turut. - Menghapus semua kemudahan bagi pengguna yang berpindah atau menamatkan perkhidmatan. Pengesahan Pengguna (User Authentication) 49
8.4 JEJAK AUDIT (AUDIT TRAIL) a. Pengguna boleh dikenalpasti sebagai pengguna yang sah melalui penggunaan kata laluan. b. Sistem mestilah boleh menyediakan kemudahan bagi kata laluan dimasukkan dalam bentuk yang tidak boleh dilihat (aksara *). c. Cubaan capaian dihadkan kepada tiga (3) kali sahaja. Pengenalan pengguna berkenaan perlu digantung selepas tiga (3) kali cubaan gagal yang berturut-turut. Penggantungan hanya boleh dibatalkan dengan mengemukakan permohonan bertulis kepada PTMK. 8.4.1 UPNM bertanggungjawab menyedia dan menyimpan rekod jejak audit bagi mengenal pasti akauntabiliti pengguna dan keselamatan. Penggunaan jejak audit untuk sistem komputer atau sistem rangkaian perlu diwujudkan untuk menjejaki perkara berikut. i. Capaian kepada maklumat yang kritikal; Capaian kepada perkhidmatan rangkaian; dan i Keistimewaan atau kebenaran tertentu yang melebihi kebenaran sebagai pengguna biasa digunakan seperti arahan-arahan keselamatan dan fungsi-fungsi super user. 8.4.2 Maklumat jejak audit meliputi perkara berikut. i. Pengenalan pengguna; Fungsi, sumber dan maklumat yang digunakan atau dikemas kini; i iv. Tarikh dan masa penggunaan; Alamat IP pengguna atau komputer; dan v. Transaksi dan program yang dijalankan secara khusus. 8.4.3 UPNM akan mengambil tindakan berikut semasa penyediaan jejak audit. 50
i. Meneliti dan melaporkan sebarang aktiviti yang diragui dengan segera; i iv. Meneliti jejak audit secara berjadual; Meneliti dan melaporkan sebarang masalah keselamatan dan kejadian luar biasa; Menyimpan maklumat jejak audit untuk jangka masa tertentu bagi keperluan operasi, latihan dan keselamatan; dan v. Mengawal maklumat jejak audit daripada dihapus, diubah suai, atau ditipu. 8.5 STORAN SANDARAN (BACKUP STORAGE) 8.5.1 Maklumat sandaran adalah seperti berikut. i. PTMK bertanggungjawab memulihkan sistem sepenuhnya jika berlaku masalah atau kerosakan dan Penyandaran (backup) dibuat secara berjadual dan semasa perubahan konfigurasi pada sistem. 8.5.2 PTMK melaksana kawalan dan penyelenggaraan bagi memastikan integriti sistem pengoperasian daripada terdedah kepada sebarang pencerobohan keselamatan seperti berikut. i. Patches dan kelemahan sistem (vulnerabilities) Mengemas kini patches dan mengatasi kelemahan sistem yang berlaku daripada agensi keselamatan berdaftar. Peningkatan (upgrade) Menaik taraf sistem pengoperasian kepada versi terkini. 8.6 KESELAMATAN SISTEM APLIKASI PTMK bertanggungjawab melaksana dan mengawal tahap capaian sistem aplikasi di bawah tanggungannya. 51
8.6.1 Perisian Aplikasi i. Kawalan keselamatan dilaksanakan untuk mengelak berlakunya capaian oleh pengguna yang tidak sah serta menghindarkan sebarang pengubahsuaian, pendedahan atau penghapusan maklumat tanpa izin. PTMK bertanggungjawab menyediakan kawalan dan kemudahan seperti berikut. a. Menggunakan sistem keselamatan berpusat dengan kawalan capaian satu pengenalan pengguna dan kata laluan untuk semua aplikasi; b. Mengehadkan tahap capaian maklumat dan fungsifungsi berdasarkan peranan pengguna; c. Menentukan akauntabiliti tertentu kepada pengguna berdasarkan kawalan peringkat sistem aplikasi; dan d. Menetapkan pemilikan (ownership) maklumat berdasarkan kepada pemilik data. PTMK bertanggungjawab mengadakan kawalan capaian kepada pangkalan data. Integriti maklumat yang disimpan di dalam pangkalan data dikekal dan dijamin seperti berikut. 8.6.2 Pengujian Aplikasi a. Maklumat sedia ada akan kekal jika tiada sebarang ubah suai dan b. Sebarang ubah suai maklumat hanya dilakukan oleh individu yang diberi kuasa. PTMK bertanggungjawab menguji sistem aplikasi dan pengintegrasiannya bagi memastikan sistem berfungsi mengikut spesifikasi yang ditetapkan. PTMK mengambil langkah berikut semasa pengujian aplikasi dijalankan. i. Menggunakan data ujian (dummy) atau data lapuk (historical); i Mengawal penggunaan data terkawal; Mengehadkan capaian kepada staf yang terlibat sahaja; 52
iv. Menghapuskan maklumat yang digunakan setelah selesai pengujian (terutamanya apabila menggunakan data lapuk); dan v. Menggunakan persekitaran yang berasingan untuk pembangunan dan pengoperasian sistem aplikasi (jika perlu). 8.7 PERISIAN BERKOD HASAD (MALICIOUS CODE) DAN ROSAK (DEFECTIVE) Atur cara sistem aplikasi yang dibangunkan secara dalaman dan luaran terdedah kepada kod hasad dan kod rosak. PTMK bertanggungjawab mengurangkan kemungkinan perisian yang rosak melalui kawalan berikut. i. Mendapat kod sumber (source code) daripada pembangun sistem aplikasi yang bereputasi baik, mempunyai rekod prestasi perkhidmatan yang baik dan mempunyai kepakaran teknikal yang terlatih; Mewujudkan dan melaksanakan pengujian dan pengesahan semua sistem aplikasi yang dibangunkan secara dalaman dan luaran; dan i Memastikan semua sistem aplikasi didokumentasi dan menepati spesifikasi yang ditetapkan. 8.7.1 Perubahan Versi PTMK bertanggungjawab mengawal versi sistem aplikasi apabila perubahan atau pendekatan dibuat dan mematuhi prosedur kawalan perubahan. 8.7.2 Penyimpanan Kod Sumber PTMK bertanggungjawab mengurus dan melaksana kawalan penyimpanan kod sumber bagi system aplikasi di bawah tanggungannya untuk tujuan penyelenggaraan dan peningkatan yang merangkumi perkara berikut. i. Pewujudan prosedur penyelenggaraan versi terkini dan 53
Pewujudan perjanjian penyimpanan kod sumber perlu dibuat tanpa mengira kod sumber tersebut dibangunkan secara dalaman atau luaran. 8.7.3 Perisian Tak Berlesen PTj bertanggungjawab memastikan semua penggunaan perisian di bawah tanggungannya adalah berlesen. PTj juga perlu mengawal dan menyimpan lesen serta kawalan fizikal ke atas lokasi perisian berlesen dan salinan lesen yang dikeluarkan. 8.7.4 Kawalan Kod Hasad (Malicious Code) PTMK bertanggungjawab memastikan integriti maklumat daripada pendedahan atau kemusnahan akibat kod hasad seperti berikut. i. Melaksanakan prosedur untuk mengurus kod hasad; i Mewujudkan peraturan berkaitan memuat turun, menerima dan mengguna perisian percuma (freeware dan shareware); dan Mengambil langkah pencegahan atau pemulihan serangan kod hasad seperti berikut. a. Mengimbas dan menghapus kod hasad menggunakan perisian antivirus yang diluluskan oleh UPNM; b. Menyemak status proses imbasan dalam laporan log; dan c. Tidak melaksanakan atau membuka fail lampiran (attachment) daripada mel elektronik yang meragukan. 8.8 KAWALAN KESELAMATAN PENGGUNAAN MEL ELEKTRONIK 8.8.1 Akaun Mel Elektronik Akaun mel elektronik bukan hak mutlak seseorang tetapi kemudahan yang disediakan tertakluk kepada peraturan Universiti dan boleh ditarik balik jika melanggar Capaian Penggunaan Perkhidmatan Intranet dan Internet. 54
8.8.2 Menyelenggara Kotak Mel (Mail Box) i. Kandungan dan penyelenggaraan kotak mel pada komputer peribadi adalah menjadi tanggungjawab pengguna. i Pengguna hendaklah sentiasa mengimbas fail dalam kotak mel elektronik dengan perisian antivirus bagi memastikan fail yang dihantar atau diterima melalui lampiran (attachment) bebas daripada virus. Mel elektronik hendaklah tidak mengandungi maklumat rahsia atau sulit yang boleh disalah guna untuk merosakkan akaun, komputer, komputer riba, pelayan dan rangkaian UPNMNet. 8.8.3 Penggunaan Perisian Mel Elektronik i. Pengguna hendaklah mengguna perisian mel elektronik rasmi UPNM yang lebih selamat daripada ancaman dan penyebaran kod hasad untuk urusan rasmi. Pengguna yang menggunakan perisian mel elektronik rasmi UPNM hendaklah sentiasa membuat sandaran (backup) terhadap data-data mel elektronik. 8.9 KESELAMATAN PERALATAN RANGKAIAN DAN PERKAKASAN PELAYAN 8.9.1 Keselamatan Fizikal i. Peralatan rangkaian hendaklah ditempatkan di tempat yang bebas daripada risiko di luar jangkaan seperti banjir, kilat, gegaran, kekotoran dan sebagainya. i Suhu hendaklah terkawal di dalam had suhu peralatan rangkaian berkenaan. Memasang bekalan sandaran (backup) yang bersesuaian sekiranya terputus bekalan elektrik. 55
iv. Penggunaan peralatan wayarles hendaklah dilindungi dengan meletakkan di tempat selamat dan/atau mekanisma perlindungan lain. 8.9.2 Capaian Fizikal i. Capaian Pengkabelan Rangkaian Langkah-langkah yang perlu diambil untuk melindungi kabel rangkaian daripada dicapai oleh orang yang tidak berkenaan adalah seperti berikut. a. Melindungi pengkabelan di dalam kawasan kampus UPNM dengan cara memasang pembuluh (conduit) atau mekanisma perlindungan lain dan b. Pusat pendawaian (wiring closet) terletak di dalam ruang atau bilik yang berkunci dan hanya boleh dicapai oleh staf yang dibenarkan sahaja. Capaian Peralatan Rangkaian 8.9.3 Capaian Logikal a. Peralatan hendaklah ditempatkan di tempat yang selamat dan terkawal dan b. Peralatan rangkaian hanya boleh dicapai oleh staf yang dibenarkan sahaja. i. Pengenalan pengguna (User ID) dan kata laluan diperlukan untuk mencapai perisian rangkaian. Capaian hanya boleh dibuat oleh staf yang dibenarkan sahaja. Pengguna perlu memilih kata laluan yang baik seperti mana yang terdapat pada garis panduan Malaysian Public Sector Management of Information and Commmunications Technology Security Handbook (MyMIS). i Maklumat capaian ke peralatan rangkaian hendaklah direkodkan tarikh, masa dan aktiviti. Maklumat tersebut mestilah disimpan sekurang-kurangnya selama 90 hari. 56
iv. Rangkaian hanya menerima trafik daripada alamat IP dalaman yang berdaftar sahaja. Semua perubahan konfigurasi suis (switch rangkaian hendaklah dilogkan termasuk super-user yang membuat perubahan tersebut. v. Perubahan perisian konfigurasi mestilah direkodkan termasuk individu yang membuat perubahan tersebut. 8.9.4 Kawalan Terhadap Konfigurasi Peralatan Rangkaian Secara umumnya, konfigurasi hendaklah merangkumi perkara berikut. i. Membolehkan (enable) perkhidmatan rangkaian yang diperlukan sahaja; i iv. Mengehadkan capaian konfigurasi kepada nod atau alamat IP yang dibenarkan sahaja; Melumpuhkan (disable) penyiaran trafik (traffic broadcast); Menggunakan kata laluan yang selamat; dan v. Membenarkan individu yang diberi kuasa sahaja untuk melaksanakan konfigurasi. 8.9.5 Kawalan Terhadap Penyelenggaraan Peralatan Rangkaian Secara umumnya, peralatan rangkaian hendaklah merangkumi perkara berikut. i. Dipasang, dioperasi dan diselenggarakan mengikut spesifikasi pembekal atau UPNM; i Dibaiki dan diselenggara hanya oleh individu yang diberi kuasa sahaja; dan Mengemas kini rekod penyelenggaraan. 57
8.10 KEBOLEHCAPAIAN PENGGUNA (USER ACCESSIBILITY) 8.10.1 Rangkaian Kawasan Setempat (Local Area Network) i. Hanya staf dan pelajar UPNM dibenarkan mencapai rangkaian UPNMNet (rujuk Pengurusan Rangkaian UPNMNet). i iv. Pengguna luar perlu mendapatkan kebenaran daripada Pengarah PTMK atau pegawai yang diberi kuasa sebelum membuat capaian ke rangkaian UPNMNet. Hanya pengguna yang disahkan sahaja dibenarkan membuat capaian kepada sistem pengkomputeran UPNM. Perisian pengintip (sniffer) atau penganalisis rangkaian (network analyser) tidak dibenar digunakan pada sebarang komputer pengguna kecuali setelah mendapat kebenaran daripada Pengarah PTMK atau pegawai yang diberi kuasa. Status komputer tersebut hendaklah disemak setiap tahun. 8.11 SAMBUNGAN DENGAN RANGKAIAN LAIN 8.11.1 Capaian Yang Tidak Digalakkan Capaian berikut adalah tidak digalakkan kerana dikhuatiri menjejaskan keselamatan, konfigurasi, kebolehsediaan dan prestasi rangkaian. Antaranya adalah seperti berikut. i. Penggunaan protokol rangkaian seperti NetBIOS dan IPX/SPX; i Penggunaan workgroup kerana menyokong share-level security; dan Rangkaian P2P atau perisian yang seumpamanya. 8.11.2 Tembok Api (Firewall) i. Tembok api menapis semua trafik rangkaian dari dalam ke luar UPNM dan sebaliknya mestilah melalui tembok api dan hanya trafik yang disahkan sahaja dibenarkan untuk 58
melepasinya berasaskan kepada Pengurusan Rangkaian UPNMNet. Reka bentuk tembok api hendaklah mengambil kira perkara- perkara berikut. a. Keperluan audit dan arkib; b. Kebolehsediaan; c. Kerahsiaan; dan d. Melindungi maklumat UPNM. 59
60
61
9.1 OBJEKTIF Menjamin operasi perkhidmatan agar tidak tergendala dan penyampaian perkhidmatan yang berterusan kepada pelanggan. 9.2 PELAN KESINAMBUNGAN PERKHIDMATAN Setiap PTj dengan kerjasama PTMK digalakkan untuk membangun pelan kesinambungan perkhidmatan untuk mencari pendekatan yang menyeluruh bagi mengekalkan kesinambungan perkhidmatan. Ini bertujuan memastikan tiada gangguan kepada proses-proses dalam penyediaan perkhidmatan organisasi. Pelan ini mestilah diluluskan oleh PTMK dan perkara-perkara berikut perlu diberi perhatian. i. Mengenal pasti semua tanggungjawab dan prosedur kecemasan atau pemulihan; i iv. Melaksanakan prosedur-prosedur kecemasan bagi membolehkan pemulihan dapat dilakukan secepat mungkin atau dalam jangka masa yang telah ditetapkan; Mendokumentasikan proses dan prosedur yang telah dipersetujui; Mengadakan program latihan kepada pengguna tentang prosedur kecemasan; v. Membuat penduaan; dan vi. Menguji dan mengemas kini pelan sekurang-kurangnya setahun sekali. 62
63
10.1 OBJEKTIF Meningkatkan tahap keselamatan ICT bagi mengelakkan daripada pelanggaran kepada Dasar ICT UPNM. 10.2 PEMATUHAN DASAR i. Setiap pengguna di UPNM hendaklah membaca, memahami dan mematuhi Dasar Keselamatan ICT UPNM dan undang-undang atau peraturan-peraturan lain yang berkaitan yang berkuat kuasa. Semua aset ICT di UPNM termasuk maklumat yang disimpan di dalamnya adalah hak milik Kerajaan dan Ketua Jabatan berhak untuk memantau aktiviti pengguna untuk mengesan penggunaan selain daripada tujuan yang telah ditetapkan. 10.3 KEPERLUAN PERUNDANGAN, PERATURAN ATAU GARIS PANDUAN i. Dasar ini bertujuan memastikan reka bentuk, operasi, penggunaan dan pengurusan sistem maklumat adalah selaras serta berkeupayaan menghalang pelanggaran mana-mana keperluan perundangan, peraturan dan perjanjian yang berkuat kuasa. Perkara yang perlu dipatuhi adalah seperti berikut. a. Semua perlembagaan, undang-undang, peraturan, perjanjian yang dimeterai dan perkara-perkara lain yang relevan kepada keselamatan sistem maklumat dan organisasi hendaklah dikenalpasti, peraturan yang sesuai dilaksanakan untuk pematuhan ke atas perlembagaan, undang-undang dan keperluan kontrak tentang penggunaan bahan yang tertakluk kepada hak milik harta intelek; b. Rekod penting hendaklah dilindungi daripada hilang, rosak dan dipalsukan selaras dengan keperluan undang-undang, peraturan dan keperluan perjanjian ICT; c. Perlindungan ke atas data dan hak milik peribadi hendaklah mematuhi perundangan, peraturan dan terma perjanjian jika perlu; dan 64
d. Pengguna dilarang menggunakan kemudahan pemproses maklumat untuk tujuan yang tidak dibenarkan. i Berikut adalah keperluan perundangan atau peraturan-peraturan lain berkaitan yang perlu dipatuhi oleh semua pengguna di UPNM. a. Akta Universiti dan Kolej Universiti (Pindaan) 2012; b. Arahan Keselamatan; c. Malaysian Public Sector Management of Information and Commmunications Technology Security Handbook (MyMIS); d. Pekeliling Kemajuan Pentadbiran Awam; e. Pekeliling Am; f. Surat Pekeliling Am; g. Surat Arahan KSN; h. Surat Arahan KP MAMPU; i. Surat Arahan MAMPU; j. Akta Badan-Badan Berkanun (Tatatertib dan Surcaj) 2000 [Akta 605]; k. Akta Jenayah Komputer 1997; l. Akta Tandatangan Digital 1997; m. Akta Hak Cipta (Pindaan) Tahun 1997; n. Akta Komunikasi dan Multimedia 1998; o. Arahan Teknologi Maklumat 2007; p. Electronic Government Activities Act 2007 [Act 680]; q. Pekeliling Perbendaharaan Bil. 5 Tahun 2007 bertajuk Tatacara Pengurusan Aset Alih Kerajaan ; 65
r. Kod Kandungan, Forum Komunikasi dan Multimedia 2004; s. Akta Rahsia Rasmi 1972; t. Garis Panduan MAMPU; u. Garis Panduan Portal mygovernment dan Laman Web/Portal Agensi-Agensi Sektor Awam; dan v. Garis Panduan IT Outsourcing Agensi-Agensi Sektor Awam (MAMPU, Oktober 2006). iv. Pelanggaran Perundangan Jawatankuasa Tatatertib Staf UPNM atau Jawatankuasa Tatatertib Pelajar UPNM berhak mengambil tindakan tatatertib dan undangundang ke atas sesiapa yang terlibat di dalam semua perbuatan kecuaian, kelalaian dan pelanggaran keselamatan yang membahayakan perkara-perkara terperingkat di bawah Akta Rahsia Rasmi 1972 dan Akta lain yang berkaitan. 66