1. Home
  2. Pendidikan

Ke arah implementasi sistem polisi kesel

KE ARAH IMPLEMENTASI SISTEM POLISI KESELAMATAN ICT KAJIAN KES : PUSAT TEKNOLOGI MAKLUMAT DAN KOMUNIKASI AZHARI BIN HJ AHMAD

Laporan projek ini dikemukakan sebagai memenuhi sebahagian daripada syarat penganugerahan Ijazah Sarjana Sains ( Teknologi Maklumat – Pengurusan )

Fakulti Sains Komputer dan Sistem Maklumat

Universiti Teknologi Malaysia OKTOBER 2008 OKTOBER 2008

To my beloved family Harliza bte Haris , Nur Farhana Athirah Hjh Khadijah, Hj Haris and Hjh Mariam for their continuos support, motivation and understanding

iv

PENGHARGAAN

Segala puji dan kesyukuran pada Ilahi serta salam buat rasul junjungan yang telah menurunkan ilmu kepada seluruh umat manusia untuk di manfaat hingga ke akhir zaman. Dengan berkat dan rahmat dariNya pembangunan Sistem Polisi Keselamatan ICT ini telah dapat disiapkan.

Ucapan berbanyak terima kasih kepada Profesor Zamri b. Mohamed, selaku penyelia projek ini yang telah memberikan tunjuk ajar dan nasihat kepada saya dalam usaha menyiapkan projek ini. Disamping itu tidak lupa juga jutaan terima kasih kepada Profesor Madya Wardah bte Zainal Abidin dan Profesor Madya Dr Azizah bte Zainal Abidin kerana memberi pandangan dan idea dalam pembangunan sistem ini. Terima kasih juga ditujukan kepada pengurusan CICT yang telah memberikan kerjasama didalam membangunkan projek ini terutama didalam mendapatkan maklumat serta teguran membina bagi memastikan sistem yang dihasilkan boleh digunapakai untuk meningkatkan lagi keberkesanan dalam memberikan perkhidmatan teknologi maklumat kepada pengguna .

Akhir sekali jutaan terima kasih juga buat keluarga tersayang bonda, ayahnanda dan bonda mertua serta keluarga yang tidak jemu-jemu mendoakan kejayaan anakanda ini. Semoga usaha ini akan memberikan sesuatu yang berguna kepada organisasi dan universiti di samping diberkati oleh Allah.

ABSTRAK

Insiden keselamatan seringkali berlaku terhadap organisasi yang mempunyai kemudahan talian internet dan memberi kemudahan perkhidmatan terhadap orang ramai. Masalah ini juga berlaku kepada Pusat ICT umumnya dan UTM khususnya, dalam menyediakan pelbagai kemudahan komputer dan talian internet kepada pengguna. Mengikut kajian yang dilakukan, termasuk responden dari Pusat ICT masalah ini dapat dikurangkan dengan menyediakan satu panduan dokumen polisi ICT, memberi kesedaran dan menguatkuasa akan Polisi ICT yang lengkap dan menyeluruh. Keadaan ini menyebabkan fakulti atau jabatan di UTM terpaksa menggunakan inisiatif sendiri bagi menyediakan polisi keselamatan ICT yang bersesuaian dengan keperluan mereka seperti polisi penggunaan komputer di Perpustakaan Sultanah Zanariah. Tujuan projek ini adalah untuk membangunkan, menyediakan dan merekabentuk suatu sistem polisi keselamatan ICT agar dapat membantu pusat ICT sebagai sekretariat keselamatan ICT, UTM bagi menyediakan dokumen polisi keselamatan ICT yang baik, lengkap dan menyeluruh. Di samping itu, dokumen tersebut mestilah patuh kepada piawaian ISO 27001 dan Dasar Keselamatan Teknologi Maklumat dan Komunikasi untuk Sektor Awam oleh MAMPU. Sistem Polisi Keselamatan ICT ini berasaskan web serta boleh dicapai melalui rangkaian Internet, memberikan kemudahan kepada setiap peringkat pengurusan, pentadbir IT dan pengguna dalam memberikan dan menerima perkhidmatan ICT yang berkesan dan lebih baik.

vi

ABSTRACT

Breach of safety incidence occurs frequently to organization that own internet connections especially if it is a public internet service facility. The problem exist to CICT-UTM as well as other goverment organization in preparing the internet connection to users. The study is based on questionaires of respondence at CICT that concluded that the internet security problem may be reduced by implementing an ICT policy, give an awareness to users globally and fully enforced the strict policy to users. Even though that on-shelf security and policy system are existed in the market, but mostly is about and focusing on the evaluation of the risk and managing the risk. This difficulty has made the IT management of the faculty and centres in UTM making their own initiatives by making and implementing the policy that only suit their own requirement. For example, PSZ-UTM is enforcing their own developed ICT policy and enforcing it by policing the user frequently. This projects is about developing, preparing and designing a system for ICT security policy that will assist the security implementer around the UTM-Campus. It will also assume that CICT will act as ICT security policy secretariat with the role of preparing the comprehensive safety policy documentations. The security policy document created in the thesis is in compliance with international standard organization of ISO27011 and Policy of Security of Information Technology and Communication for Public Sector produced by MAMPU. A web based ICT safety policy system develop in the projects will assist the internet administrator in providing a better and effective services in UTM.

MUKA SURAT

ABSTRAK v

SENARAI JADUAL

xii

SENARAI RAJAH

xiii-xiv

SENARAI SINGKATAN

xv

SENARAI LAMPIRAN

xvi

1 PENGENALAN PROJEK

1.1 Pengenalan 1

1.2 Latar Belakang Masalah

1.3 Pernyataan Masalah

1.4 Matlamat Projek

1.5 Objektif Projek

1.6 Skop Projek

1.7 Faedah Projek

1.7.1 Faedah Untuk Pusat ICT, UTM

1.7.2 Faedah kepada Pusat ICT, IPTA secara umum

1.8 Ringkasan Bab

2 KAJIAN LITERASI 2 KAJIAN LITERASI

2.2 Isu Yang Dibangkitkan

2.3 Latar belakang dan Kajian Awal

2.4 Piawaian mengenai Polisi Keselamatan

2.4.1 Persediaan Perlaksanaan Polisi Keselamatan

2.4.2 Proses Pemadanan Polisi Keselamatan ICT

2.4.3 Perlaksanaan Polisi Keselamatan ICT Universiti

2.5 Aplikasi Berdasarkan Web

2.5.1 Information Technology Infrastructure Library

2.5.2 Active Server Pages (ASP)

2.5.3 Pangkalan Data Microsoft Access

2.5.4 Pelayan Internet Information Services

2.5.5 Perbincangan Pembangunan Sistem

2.6 Sistem Peralatan Polisi Keselamatan ICT Sedia Ada

2.6.1 Polisi Keselamatan ICT Berkaitan

Analisa Risiko

2.6.2 Polisi Keselamatan ICT SECURIS

2.6.3 Polisi Keselamatan ICT MAMPU

2.7 Ringkasan Bab

3 METODOLOGI PROJEK

3.3 Metodologi Pembangunan

3.3.1 Kajian Terhadap Organisasi CICT

3.3.2 Kajian Terhadap Sistem Polisi Keselamatan ICT di UTM

3.3.3 Kajian Terhadap Perisian Yang Dipilih

3.3.4 Pemilihan Ciri-Ciri Perisian dan Penambahan Ciri Dari Kajian Keperluan Pengguna

3.4 Keperluan Perisian

3.4.1 Pelantar Sistem Operasi

3.4.2 Pangkalan Data 3.4.2 Pangkalan Data

3.4.3 Perisian Aturcara

3.4.4 Perisian Pelayan Web

3.4.5 Penetapan Alamat URL

3.4.6 Perisian Pelayaran Web

3.5 Keperluan Perkakasan

3.5.1 Komputer Pengguna

3.5.2 Komputer Pelayan

3.6 Ringkasan Bab

4 HASIL KAJIAN

4.1 Pengenalan

4.2 CICT Sebagai Pusat Perkhidmatan Teknologi Maklumat UTM

4.2.1 Misi dan Visi CICT

4.2.2 Objektif CICT

4.2.3 Carta Organisasi CICT

4.3 Latar Belakang Perlaksanaan Polisi Keselamatan ICT

4.3.1 Struktur Organisasi Pusat Keselamatan ICT

4.3.2 Peraturan dan Tatacara Keselamatan ICT

4.4 Perlaksanaan Pembangunan Aplikasi Dan Perkhidmatan Teknologi Maklumat di CICT

4.5 Hasil Kajian Keperluan CICT Untuk Pembangunan Sistem Polisi Keselamatan ICT

4.6 Hasil Kajian Keperluan Pembangunan Sistem Fakulti dan Bahagian

4.7 Perbandingan Ciri-Ciri Perisian Polisi Keselamatan

4.8 Pemilihan Ciri-Ciri Utama Perisian Di Pasaran

4.8.1 Ciri-ciri Tambahan Sistem Cadangan

4.7.2 Ciri-Ciri Utama Sistem Polisi Keselamatan ICT

4.9. Rekabentuk Sistem

4.10. Rekabentuk Pangkalan Data

4.11 Rekabentuk Antaramuka

4.12 Penghasilan Data dan Laporan

4.13 Proses Penganalisaan

4.14 Ringkasan Bab

5 PEMBANGUNAN DAN IMPLEMENTASI SISTEM

5.2 Pencapaian Pengguna Sistem

5.3 Modul-Modul Sistem Polisi Keselamatan ICT

5.3.1 Modul Umum

5.3.2 Modul Khusus

5.4 Pengujian Sistem

5.4.1 Pengujian Data dan Maklumat

5.4.2 Pengujian Validasi Data

5.4.3 Pengujian Keselamatan

5.4.4 Pengujian Aliran Proses Modul

5.4.5 Pengujian Masa Tindakbalas

5.4.6 Maklumbalas Pengguna

5.5 Penggunaan Sistem

5.5.1 Proses Login

5.5.1.1 Peringkat pengguna

5.5.2 Paparan Kawalan Polisi Keselamatan ICT dan Kategori /Modul

5.5.3 Tambahan Kawalan , Sub Kawalan dan Kategori/Modul

5.5.3.1 Tambah kawalan polisi baru

5.5.3.2 Tambahan Sub Polisi Kawalan Baru

5.5.3.3 Tambahan Modul/Kategori kepada Sub Polisi Kawalan

5.5.4 Kemaskini,Sunting dan Hapus Kawalan,Sub

Kawalan pada Modul

5.5.4.1 Kemaskini Kawalan, Sub Kawalan dan 5.5.4.1 Kemaskini Kawalan, Sub Kawalan dan

5.5.4.2 Hapuskan Kawalan , Sub Kawalan dan Modul/Kategori 79

5.5.5 Membina Polisi Keselamatan ICT

5.6 Ringkasan Bab

6.2.1 Kejayaan Pembangunan Sistem Peralatan Polisi Keselamatan ICT

6.2.2 Komponen Tadbir Urus ICT

6.2.3 Struktur Tadbir ICT

6.2.4 Persediaan Seminar/Bengkel Polisi Keselamatan ICT

6.3 Cadangan Menjayakan Projek Ini Pada Masa Akan Datang

6.3.1 Keselamatan Pangkalan Data

6.3.2 Pangkalan data yang lengkap dan menyeluruh

6.3.3 Capaian sistem melalui pelayar web

6.4 Ringkasan Bab

7.3 Kekuatan Sistem

7.5 Cadangan Penambahbaikan

7.6 Ringkasan Bab

RUJUKAN

94-95

LAMPIRAN A - Z

96-144 96-144

SENARAI JADUAL

JADUAL

PERKARA

MUKA SURAT

51

4.1 Senarai projek yang dilaksanakan oleh CICT

56

4.2 Perbandingan ciri positif dan negatif perisian pilihan

58

4.3 Ciri-ciri utama sistem cadangan

xiii

SENARAI RAJAH

RAJAH

PERKARA

MUKA SURAT

2.1 Peringkat kesedaran ISMS antara organisasi

2.2 Organisasi dan pemahaman keselamatan

2.3 Trafik Rangkaian Keluar Masuk UTM

2.4 Hubungan Polisi Keselamatan

2.5 Proses Keselamatan ICT Polisi

2.6 Pemantauan, Perancangan dan Pengawalan kualiti

2.7 Gambaran keseluruhan skema Projek SECURIS

3.1 Strategi Pembangunan Aplikasi Pantas

3.2 Konsep Pembangunan Aplikasi berasas Web

4.1 Struktur Organisasi CICT

4.2 Carta Organisasi Unit Keselamatan ICT

4.3 Rekabentuk Sistem Polisi Keselamatan CICT

5.1 Antaramuka modul proses memasuki sistem

5.2 Skrin Login

5.3 Skrin Utama Polisi Keselamatan ICT

5.4 Paparan Kawalan Polisi

5.5 Kawalan Paparan Polisi dan Kategori

5.6 Skrin paparan bagi tambahan kawalan polisi, sub kawalan

75 dan kategori/modul

5.7 Tambahan kawalan polisi baru

5.8 Tambahan sub polisi kawalan baru

5.9 Tambahan polisi baru kepada sub polisi kawalan

5.10 Menu Paparan – Penguruan Maklumat Keselamatan

5.11 Contoh Modul Kemaskini 5.11 Contoh Modul Kemaskini

79

5.12 Contoh Modul Hapus

80

5.13 Paparan Utama Membina Polisi Keselamatan ICT

81

5.14 Cetakan Polisi Keselamatan ICT

5.15 Bahagian kod sumber untuk membina dokumen Polisi

82 Keselamatan ICT

86

6.1 Jawatankuasa Struktur Tadbir ICT

xv

SENARAI SINGKATAN PERKATAAN

ISMS

Information Security Management System NISER

National ICT Security & Emergency Response Center

MAMPU - Malaysian Administrative Modernization and

Management Planning Unit

MyMIS

The Malaysian Public Sector ICT Management Security Handbook

ISO

The International Organization for Standardization IEC

The International Electrotechnical Commision FDIS

Final Draft International Standard TR - Technical Report GMITS

Guidelines for the Management of IT Security SECURIS

Model-driven Development and Analysis of Secure Information Systems

HiLRA

The Malaysian Public Sector Information Security High-Level Risk Assesment

ICTSO

Information and Communication Technology Security Officer

SDLC

System Development Life Cycle CIO

Chief Information Officer Chief Information Officer

SENARAI LAMPIRAN LAMPIRAN TAJUK MUKA SURAT

96

A Kawalan Domain Berdasarkan ISO 27001

B Pengurus IT

97 - 98

C Soal Selidik

99 - 103

D Model Padanan

104 - 120

E Rajah Aktiviti 121

F Carta Gantt – Projek 1

122

G Carta Gantt – Projek 2

123

H Dokumen Polisi Keselamatan ICT

124 - 139

I Peranan Jawatankuasa Struktur Tadbir ICT

140 - 144

Ledakan teknologi maklumat yang berkembang pesat di negara ini, memperlihatkan betapa beruntungnya generasi masa kini berikutan terdedah kepada dunia tanpa sempadan. Ia bukan saja berfungsi sebagai agen komunikasi, malah menjadi jambatan untuk pengguna memanfaatkannya sebagai sebahagian daripada rutin dan keperluan hidup. Keselamatan ICT berkait rapat dengan pelindungan maklumat dan aset ICT. Ini kerana komponen peralatan perkakasan dan perisian yang merupakan sebahagian daripada aset ICT organisasi kerajaan adalah pelaburan besar dan perlu dilindungi. Begitu juga dengan maklumat yang tersimpan di dalam sistem ICT, ia amat berharga kerana banyak sumber yang telah digunakan untuk menghasilkannya dan sukar untuk dijana semula dalam jangkamasa yang singkat.

Tambahan pula terdapat maklumat yang diproses oleh sistem ICT adalah sensitif dan terperingkat. Pendedahan tanpa kebenaran atau pembocoran rahsia boleh memudaratkan kepentingan negara. Sebarang penggunaan aset ICT kerajaan selain daripada maksud dan tujuan yang telah ditetapkan, adalah merupakan satu penyalahgunaan sumber Kerajaan. Justeru itu satu tinjauan ISMS telah dibuat oleh NISER (National IC Security & Emergency Response Center) dalam bulan Oktober 2003 terhadap 100 organisasi, kebiasaannya jenis serangan adalah serangan virus (87%) dan mail spamming (83%). Lebih daripada 68% organisasi tersebut

mempunyai sedikit pengetahuan mengenai ISMS. 1 Sementara lebih kurang 37% organisasi tidak mempunyai polisi keselamatan langsung.

Bagi menangani risiko ini dari semasa ke semasa, Dasar Keselamatan ICT Kerajaan akan diperjelaskan lagi melalui pengeluaran Piawaian Keselamatan ICT yang mengandungi garis panduan serta langkah-langkah keselamatan ICT. Kegunaan kesemua dokumen ini secara bersepadu adalah disarankan. Ini adalah kerana pembentukan dasar, piawaian, peraturan, garis panduan dan langkah-langkah keselamatan ini diorientasikan untuk melindungi kerahsiaan data, maklumat dan sebarang kesimpulan yang boleh dibuat daripadanya.

1.2 Latar Belakang Masalah

Memandangkan sistem ICT sangat kompleks dan terdedah kepada kelemahan, ancaman dan risiko, adalah tidak mudah untuk memenuhi keperluan ini. Sistem ICT dan komponennya yang saling berhubungan dan bergantungan antara satu dengan lain kerapkali mewujudkan pelbagai kelemahan.

Sesetengah risiko hanya menjadi kenyataan setelah masa berlalu manakala sesetengahnya timbul apabila berlaku perubahan. Walau bagaimanapun risiko seperti ini hendaklah dikenalpasti dan ditangani sewajarnya. Bagi menentukan Sistem ICT ini terjamin keselamatannya sepanjang masa, Polisi dan Dasar Keselamatan ICT ini merangkumi perlindungan semua bentuk maklumat yang dimasuk, diwujud, dimusnah, disimpan, dijana, dicetak, dicapai, diedar, dalam penghantaran dan yang dibuat salinan keselamatan ke dalam semua aset ICT.

Ini akan dilakukan melalui penubuhan dan penguatkuasaan sistem kawalan dan prosedur dalam pengendalian semua perkara-perkara berikut :

i) Data dan Maklumat - Semua data dan maklumat yang disimpan atau digunakan dipelbagai media atau peralatan ICT.

ii) Peralatan dan perkakasan ICT - Semua peralatan komputer dan periferal seperti komputer peribadi, stesen kerja, kerangka utama dan alat-alat prasarana seperti Uninterrupted Power Supply (UPS), bekalan punca kuasa dan pendingin hawa.

iii) Media Storan - Semua alat berbentuk media storan dan peralatan yang berkaitan seperti disket, kartrij, CD-ROM, pita, cakera, pemacu cakera dan pemacu pita.

iv) Komunikasi dan Peralatan Rangkaian - Semua peralatan berkaitan komunikasi seperti pelayan rangkaian, gateway, bridge, router dan peralatan PABX.

iv) Perisian - Semua perisian yang digunakan untuk mengendali, memproses, menyimpan, menjana dan mengirim maklumat. Ini meliputi semua perisian sistem, perisian utiliti, perisian rangkaian, program aplikasi, pangkalan data, fail program dan fail data. v) Dokumentasi - Semua dokumentasi yang mengandungi maklumat berkaitan dengan penggunaan dan pemasangan peralatan dan perisian. Ia juga meliputi data dalam semua bentuk media seperti salinan kekal, salinan elektronik, transparensi, risalah dan slaid. vi) Manusia - Semua pengguna yang dibenarkan termasuk pentadbir dan pengurus serta mereka yang bertanggungjawab terhadap keselamatan ICT.

viii) Premis Komputer dan Komunikasi - semua kemudahan serta premis

yang diguna untuk menempatkan perkara (i)-(vii) di atas.

Justeru itu, satu Unit Keselamatan ICT perlu ditubuhkan di Pusat ICT, UTM bagi memastikan perkhidmatan yang disediakan dan dilindungi dari serangan yang disengajakan atau tidak disengajakan (seperti serangan virus dan cecacing). Unit ini bertanggungjawab menyediakan pelayan dinding api dan proxy di laluan keluar masuk fakulti dan bahagian dan juga dinding api di laluan utama rangkaian universiti.

Disamping itu pemantauan terhadap keselamatan rangkaian dalaman ,sistem- sistem pelayan, komputer-komputer pengguna dengan menggunakan beberapa perisian seperti CISCO NAC (Network Access Control), OPMANAGER, Nagios, MRTG (Multi Router Traffic Generator) dan Host Monitoring digunakan. Dengan bantuan unit lain seperti Unit Rangkaian dan Bahagian Akademik kempen-kempen kesedaran keselamatan ICT kepada pengguna kampus turut dilakukan. Unit ini akan Disamping itu pemantauan terhadap keselamatan rangkaian dalaman ,sistem- sistem pelayan, komputer-komputer pengguna dengan menggunakan beberapa perisian seperti CISCO NAC (Network Access Control), OPMANAGER, Nagios, MRTG (Multi Router Traffic Generator) dan Host Monitoring digunakan. Dengan bantuan unit lain seperti Unit Rangkaian dan Bahagian Akademik kempen-kempen kesedaran keselamatan ICT kepada pengguna kampus turut dilakukan. Unit ini akan

Terdapat 5 pekeliling yang digariskan oleh agensi pusat (Malaysian Administrative Modernization and Management and Management Planning Unit(MAMPU) dan Jabatan Perdana Menteri) :

i) Pekeliling Am Bil. 3 Tahun 2000 : Rangka Dasar Keselamatan Teknologi Maklumat dan Komunikasi Kerajaan.

ii) Pekeliling Am Bil. 1 Tahun 2001 : Mekanisme Pelaporan Insiden Keselamatan Teknologi Maklumat dn Komunikasi(ICT).

iii) The Malaysian Public Sector ICT Management Security Handbook (MyMIS), January 2002. iv) Pekeliling Kemajuan Pentadbiran Awam Bil. 1 Tahun 2003 – Garis Panduan Mengenai Tatacara Penggunaan Internet dan Mel Elektronik di Agensi-agensi Kerajaan. v) Surat Pekeliling Am Bilangan 6 Tahun 2005 – Garis Panduan Melaksanakan Penilaian Risiko Keselamatan Maklumat Sektor Awam.

1.3 Pernyataan Masalah

i) Walaupun polisi keselamatan ICT telah diluluskan oleh Universiti pada tahun 2004 tetapi dokumen polisi keselamatan yang ada masih belum dikaji secara menyeluruh untuk diimplementasi di UTM.

ii) Tiada terdapat sistem Polisi Keselamatan dari Pusat ICT dalam membantu organisasi di UTM dalam menyediakan dokumen Keselamatan ICT.

1.4 Matlamat Projek

Matlamat projek ini adalah menyediakan sistem untuk mambantu UTM menyediakan polisi keselamatan ICT dengan berasakan piawaian ISO 27001 serta pekeliling dan garis panduan dari MAMPU.

1.5 Objektif Projek

Objektif projek ini adalah seperti berikut :

i) Untuk membuat kajian bagi membangunkan prototaip berdasarkan piawaian Keselamatan ICT yang sedia ada dari garispanduan yang dikeluarkan oleh MAMPU dan piawaian ISO 27001.

ii) Untuk mendapatkan maklumat dan cadangan polisi keselamatan ICT melalui sistem dari pegawai-pegawai terlibat dengan pengurusan ICT UTM.

iii) Menghasilkan dan mengeluarkan dokumen Polisi Keselamatan ICT untuk Pusat ICT umumnya dan UTM khususnya dengan menggunakan sistem Polisi Keselamatan ICT yang dibangunkan.

1.6 Skop Projek

i) Analisa dan kajian terhadap piawaian keselamatan ISO 27001 dan Dasar Keselamatan Teknologi Maklumat dan Komunikasi Untuk Sektor Awam dan pekeliling yang dikeluarkan oleh MAMPU.

ii) Kajian ini akan dilakukan terhadap Pusat Teknologi Maklumat dan Komunikasi, UTM yang bertindak sebagai sekretariat keselamatan ICT, UTM.

iii) Suatu sistem Polisi Keselamatan ICT akan dibangunkan bagi membantu Pusat ICT, UTM Skudai didalam membuat persediaan mendokumenkan Polisi Keselamatan ICT. Untuk membangunkan projek ini bahasa ASP dan Access sebagai pangkalan data akan digunakan.

iv) Pengguna-pengguna sistem yang terlibat secara langsung dalam perlaksanaan polisi keselamatan ICT adalah :

i. Pentadbir IT (Pusat Teknologi Maklumat dan Komunikasi)

ii. Pengurus IT

iii. Pegawai IT UTM (HEP,Canseleri, Bendahari, Pendaftar dan Perpustakaan Sultanah Zanariah).

1.7 Faedah Projek

1.7.1 Faedah Untuk Pusat ICT, UTM

i) Pusat ICT akan menggunakan sistem Polisi Keselamatan ICT yang dibangunkan bagi melahirkan Polisi Keselamatan ICT yang bersesuaian dengan keperluan Universiti.

ii) Penggunaan sistem peralatan Polisi Keselamatan ICT akan mengurangkan masa persediaan dan penyediaan dokumen.

iii) Semua input domain yang diperkenalkan oleh piawaian ISO 27001 pada bulan oktober 2005 boleh ditambah ke dalam pangkalan data. Dengan itu pembangunan Polisi ICT akan menepati seperti yang digariskan oleh MAMPU dan piawaian ISO 27001.

1.7.2 Faedah kepada Pusat ICT, IPTA Secara Umum

i) Pembangunan peralatan Polisi Keselamatan ini secara menyeluruh boleh melahirkan Polisi Keselamatan ICT untuk IPTA yang lainnya.

ii) Kawalan-kawalan yang lainnya terhadap 11 kawalan domain (Sila lihat di Lampiran A), dalam jenis piawaian yang berbeza boleh dimasukkan ke dalam pangkalan data bagi memenuhi keperluan organisasi.

1.8 Ringkasan Bab

Pembangunan Sistem Polisi Keselamatan ICT ini mengambil kira keperluan organisasi dan juga peningkatan kompetensi mereka yang terlibat dengan pengurusan polisi. Pihak pengurusan organisasi di Pusat Teknologi Maklumat dan Komunikasi (CICT) Universiti Teknologi Malaysia, ingin memastikan semua aset dan segala yang berkaitan ICT mempunyai polisi keselamatan bagi menjamin UTM mempunyai dasar polisi keselamatan ICT kepada warganya.

Pembangunan sistem ini mengambilkira penggunaan teknologi berasaskan web bagi memudahkan maklumat dicapai dimana-mana lokasi tanpa mengira pelantar operasi sistem komputer yang digunakan. Ia juga diharap boleh dikembangkan dengan menambah ciri-ciri kaedah capaian dan memperincikan lagi proses dan langkah-langkah yang dilaksanakan.

BAB 2 KAJIAN LITERATUR

2.1 Pengenalan

Bab ini menumpukan kepada kajian awalan dan perbincangan mengenai kajian-kajian lepas yang berkaitan dengan sistem yang akan dibangunkan. Dalam membangunkan sistem ini, pelbagai kajian telah dijalankan untuk memperolehi maklumat, mengenalpasti dan memahami sesuatu masalah. Bab ini juga akan menumpukan kepada empat perkara yang telah dikenalpasti dapat membantu pengkaji dalam mendapatkan maklumat tentang sistem yang hendak dibangunkan. Antara tumpuan kajian dalam bab ini ialah polisi keselamatan ICT, teknologi aplikasi web dan kajian mengenai sistem yang telah dibangunkan sebelum ini ataupun yang telah ada dijual dipasaran.

2.2 Isu Yang Dibangkitkan

Semua organisasi di UTM mengetahui tentang pentingnya kesedaran keselamatan terhadap ICT, tetapi maklumat dan penguatkuasaan masih berada pada tahap yang rendah. Berdasarkan tinjauan yang dibuat oleh NISER dan kerjasama AC Nielsen pada bulan Oktober 2003 untuk 100 organisasi di Malaysia, menunjukkan 76% sedar tentang keperluan keselamatan ICT. (Ia merangkumi 43% peringkat permulaan, 27% pada peringkat pertengahan dan 6% pada peringkat yang lebih tinggi).

9 Ini dapat diterangkan pada rajah 2.1 2 di bawah :

Rajah 2.1 : Peringkat kesedaran ISMS antara organisasi

Kebanyakan organisasi yang ditinjau mempunyai polisi keselamatan untuk mencegah daripada permasalahan keselamatan ICT yang difikirkan perlu. Berdasarkan rajah 2.2 di bawah 63% sudah mempunyai Polisi Keselamatan, dan melebihi 37% yang sudahpun menjalankan latihan kesedaran keselamatan.

Rajah 2.2 : Organisasi dan pemahaman keselamatan

Pada masa ini, dan ledakan teknologi ICT kebanyakan organisasi telahpun sedar tentang perlunya pengawasan dan pengawalan terhadap harta dan aset ICT daripada kerosakan dan bencana alam. Bagaimana dan bila organisasi mengawasi dan mencegah aset ICT bergantung kepada sumber dan kebolehan membuat

keputusan dalam keselamatan ICT. Setiap organisasi perlu memahami unsur-unsur asas pengurusan risiko seperti ancaman aset, kerosakan dan keselamatan aset dan kesan kepada organisasi. Disiplin terhadap unsur ini adalah dikenali sebagai pengurusan risiko.

2.3 Latar belakang dan Kajian Awal

Pusat ICT UTM berperanan dalam memastikan semua organisasi di UTM mempunyai polisi keselamatan bagi mengawasi setiap aset mereka. Dalam hal ini, adalah baik sekiranya ada bahan berbentuk tulisan dan dokumen Polisi Keselamatan ICT yang dapat membantu Pusat ICT, UTM khususnya dan organisasi dalam UTM amnya dalam mengenalpasti dan mengawasi Keselamatan ICT. Polisi ini mestilah peraturan biasa yang mudah difahami dan boleh disesuaikan untuk organisasi dalam Universiti. Disamping itu setiap polisi mestilah mempunyai formula yang mampu mengawal untuk mengukur keselamatan terhadap segala aset ICT.

MAMPU adalah peringkat pengurusan tertinggi yang memulakan Keselamatan ICT terhadap sektor awam. Pihak MAMPU berperanan memulakan serta selenggara terhadap Rangka Kerja Polisi Keselamatan dan pusat rujukan untuk isu keselamatan untuk sektor awam. Isu-isu berkaitan keselamatan ICT yang boleh mempengaruhi keberkesanan perlaksanaan dan perkhidmatan organisasi adalah merupakan perkara utama. Peringkat pengurusan ICT perlu lebih fokus untuk membangunkan setiap keperluan yang berkaitan dengan permasalahan keselamatan dan isu ICT.

Untuk memulakan projek ini, satu set soal selidik sila lihat (Lampiran C) berkenaan Pengurusan Keselamatan Maklumat telah diberikan untuk permulaan kajian tentang isu keselamatan yang perlu ditekankan oleh Pusat ICT.

Berdasarkan soalselidik dan kajian awal, beberapa maklumat telah dikumpulkan dan boleh diringkaskan seperti di bawah :

i) Kadar tingkatan penggunaan komputer di UTM (internet) begitu tinggi terutama pada waktu puncak mencapai 100 MB iaitu mencapai

tahap maksimum (Sila lihat rajah 2.3 3 di bawah). Sekiranya berlaku masalah kepada talian rangkaian akan menyebabkan urusan seharian

terhadap organisasi di UTM akan tergendala terutamanya bagi pelajar-pelajar yang membuat penyelidikan, penghantaran e-mail, carian maklumat dan sebagainya. Senario ini menunjukkan 100% kebergantungan pengguna terhadap talian internet amat tinggi (Likert Scale, 2001). Sementara itu talian rangkaian dalaman (intranet) tiada masalah disebabkan setiap organisasi dihubungkan terus ke Pusat ICT dengan menggunakan gigabit Ethernet (single-mode fibre optic). Hanya 20% sahaja penggunaannya daripada penggunaan sebenar.

Rajah 2.3 : Trafik Rangkaian Keluar Masuk UTM

ii) Maklumat data yang sensitif perlu disimpan dan diawasi oleh Pusat ICT.

iii) Pengalaman beberapa insiden keselamatan yang di hadapi oleh ICT oleh Pusat ICT adalah :

a) Virus komputer, cecacing dan serangan kod-kod program yang jahat.

b) Pencerobohan E-mail

c) Pekerja yang menyalahgunakan internet seperti memuat turun bahan larangan.

d) Kecurian komputer.

iv) Perlu ada kerahsiaan (Confidentiality),integriti (Integrity) dan kesediaan (Availability) (CIA) terhadap data sensitif atau kompromi terhadap maklumat, yang akan memberi risiko terhadap Pusat ICT dan UTM.

v) Adalah menjadi keperluan bagi pembangun dan pelaksana Polisi Keselamatan untuk menyalurkan semua isu keselamatan dan kemungkinan yang akan berlaku secara lebih teratur dan sistematik. Ini bukan sahaja dapat menjadi panduan dalam pembangunan polisi keselamatan yang akan dibina dalam projek ini.

2.4 Piawaian mengenai Polisi Keselamatan

“ISO 13335 Bahagian 1 (1998) menerangkan mengenai Polisi Keselamatan sebagai peraturan, arahan dan latihan-latihan tentang pengawasan aset. Disamping itu termasuk keselamatan maklumat yang sensitif pengurusan dan kawalan terhadap organisasi serta pembangunan sistem-sistem IT.“

BS 79 Part 2 (2002) : “ Pengurusan hendaklah menyediakan arahan polisi yang jelas dan

memperlihatkan cara bantuan dan komitment untuk polisi keselamatan maklumat melalui isu dan penyelenggaraan terhadap organisasi.“

ISO TR 13335 Part 4 (2000) : “Pembangunan dokumen bertulis yang mana mengandungi peraturan, arahan

dan bagaimana pengurusan , kawalan dan agihan aset untuk sesebuah organisasi. Ia sepatutnya menunjukkan keperluan dan menyediakan kandungan petunjuk dokumen sistem polisi keselamatan “.

Berdasarkan daripada petikan diatas adalah jelas menujukkan begitu pentingnya dan mustahaknya pembangunan polisi keselamatan dalam sesebuah organisasi khususnya Pusat ICT yang berperanan sebagai peneraju utamanya. Polisi keselamatan ini mestilah selari dengan polisi bisnes setiap organisasi.

Penitikberatan dalam ISO 1333 Part 3(2000) : “Selepas pengukuhan objektif keselamatan organisasi, strategi keselamatan

IT hendaklah dibangunkan berasaskan polisi keselamatan IT korporat. Pembangunan terhadap polisi keselamatan IT korporat adalah mustahak dalam menjamin proses pengurusan risiko tepat dan efektif. Bantuan pengurusan keselamatan dari Pusat ICT perlulah dapat merentasi organisasi yang memerlukan untuk implementasi polisi di tempat mereka secara berkesan. Sudah semestinya perlu ada penjajaran dalam memastikan pendekatan terhadap keselamatan IT merentasi jurang perbezaan suasana sistem keselamatan yang telah dijalankan oleh organisasi di UTM.

Hubungan antara polisi dalam sesebuah organisasi boleh dihuraikan dalam Rajah 2.4 4 di bawah :

Polisi Bisnes Korporat, Objektif

dan Strategi

Pasaran Polisi Korporat

Polisi Keselamatan Korporat

Polisi IT Korporat

Polisi IT Keselamatan Korporat

Jabatan Keselamatan Polisi IT

Sistem A Polisi Keselamatan IT

Rajah 2.4 : Hubungan Polisi Keselamatan

2.4.1 Persediaan Perlaksanaan Polisi Keselamatan

Polisi Keselamatan mestilah mengandungi arahan dan pengurusan yang jelas, dalam membantu implementasi dan penyelenggaraan keselamatan maklumat. Untuk menjadikannya lebih berkesan polisi hendaklah relevan, boleh dicapai dan difahami kepada pengguna yang ingin melaksanakannya dalan organisasi mereka. Polisi memerlukan komitmen daripada pihak pengurusan, bantuan prosedur dan rangka kerja bantuan teknikal yang bertepatan untuk dilaksanakan.

ISO FDIS (Final Draft International Standard) 17799 (2005) menyatakan dokumen polisi sepatutnya menepati pernyataan di bawah :

i) Definisi mengenai keselamatan maklumat, meliputi keseluruhan objektif, skop dan pentingnya keselamatan dalam membenarkan mekanisma perkongsian maklumat.

ii) Pernyataan tentang kehendak dari pihak pengurusan dan sokongan perlindungan kepada maklumat keselamatan terhadap strategi bisnes dan objektif.

iii) Rangkakerja untuk menyediakan objektif dan kawalan, termasuk struktur pengurusan dan penaksiran terhadap risiko.

iv) Ringkasan penerangan mengenai polisi keselamatan, dasar-dasar dan butir-butir keperluan yang berguna untuk organisasi termasuklah :

a) Pematuhan terhadap perundangan , peraturan dan keperluan kontrak.

b) Keperluan keselamatan terhadap pendidikan, latihan dan kesedaran.

c) Pengurusan bisnes berterusan.

d) Pencabulan terhadap polisi keselamatan maklumat.

v) Definisi terhadap pengkhususan dan kebiasaan maklumat pengurusan keselamatan termasuk insiden laporan keselamatan.

vi) Rujukan terhadap dokumentasi yang boleh membantu seperti polisi dan prosedur mengenai pengkhususan sistem maklumat atau peraturan-peraturan keselamatan yang sepatutnya dilakukan terhadap pengguna.

Proses yang melibatkan persediaan Polisi Keselamatan ICT diterangkan seperti Rajah 2.5 5 di bawah :

1. Memantapkan sistem dan

organisasi

2. Memadankan asas petunjuk polisi

3. Analisa Risiko

4. Formula terhadap ukuran

piawai

5. Memutuskan polisi

6. Formula terhadap prosedur

implementasi

Rajah 2.5 : Proses Keselamatan ICT Polisi

2.4.2 Proses Pemadanan Polisi Keselamatan ICT

Analisa dan pelajari mengenai maklumat dan sumber-sumber utama yang berguna daripada piawaian keselamatan ICT dan garis panduan MAMPU. Sila lihat lampiran D pemadanan polisi keselamatan ICT. Sumber-sumber yang ada adalah seperti berikut :

i) ISO/IEC FDIS 27001:2005 Teknologi Maklumat – Teknik-teknik Keselamatan – Sistem pengurusan maklumat keselamatan – Keperluan-keperluan.

ii) ISO/IEC FDIS 17799:2005. Kod amalam untuk pengurusan maklumat keselamatan.

iii) Dasar Keselamatan ICT Versi 4.0, MAMPU, 30 Mac 2006. iv) Dasar Keselamatan Teknologi Maklumat dan Komunikasi untuk Sektor Awam Versi 2.0 Revisi 9, MAMPU, 2007.

2.4.3 Perlaksanaan Polisi Keselamatan ICT Universiti

Berdasarkan kajian yang telah dilakukan terhadap Dasar Keselamatan ICT oleh MAMPU dan ISO 27001, pengkaji mendapati polisi keselamatan ICT yang digariskan amat bersesuaian dengan keperluan UTM. Kesemua 11 domain ISO 27001 yang digariskan hasil dari pemadanan dengan garis panduan MAMPU menunjukkan perlaksanaan polisi keselamatan ICT boleh digunakan dan menepati objektif yang telah dikaji oleh pengkaji. Sebagai panduan bagi memenuhi kejayaan projek ini, dan persediaan Universiti dalam menyediakan satu sistem dokumen polisi keselamatan ICT kesemua 11domain dan dasar ini akan digunakan.

2.5 Aplikasi Berasaskan Web

Perkembangan internet pada masa kini adalah sangat pesat. Pembinaan laman-laman web telah bertambah secara eksponen sejak Tim Berners-Lee mengasaskan World-Wide Web di Pusat Penyelidikan Nuklear Eropah (CERN), Geneva pada tahun 1989 (Zainuddin, 2001). Laman-laman web pada masa kini telah berubah daripada sekadar memaparkan maklumat dan imej yang statik kepada yang dinamik dan interaktif. Laman-laman web pada masa kini boleh digunakan, antaranya untuk, mengisi borang maklumat, membeli dan menjual barang, dan membuat tempahan. Menurut Fowler (2004), aplikasi web membolehkan kita membuat sesuatu dan menyimpannya secara digital, manakala laman web pula hanya memberikan maklumat sahaja.

Pembangunan aplikasi memerlukan pembangun perisian memilih beberapa perkara sebelum membangunkan satu projek. Antara yang perlu dipilih ialah dua perkara yang penting iaitu memilih pelayan web yang akan digunakan dan memilih bahasa pengaturcaraan yang hendak digunakan (Rockwell, 2001).

Untuk pemilihan pelayan web, terdapat beberapa pilihan yang boleh dicadangkan. Antaranya Internet Information Server (IIS) daripada Microsoft, Netscape Enterprise Server daripada Netscape (sekarang dikenali sebagai Sun Java Sistem Web Server), WebSphere Application Server daripada IBM, dan juga pelayan web Apache Server dari sumber perisian terbuka (open source).

Pemilihan bahasa pengaturcaraan yang akan digunakan juga tidak terhad. Terdapat beberapa bahasa pengaturcaraan yang boleh digunakan antaranya ASP, PHP, XML dan Cold Fusion (Rockwell, 2001). Disamping itu juga bahasa ini boleh digabungkan dengan penggunaan bahasa lain seperti Java dan bahawa bahasa asas bagi pengaturcaraan laman web iaitu HTML.

2.5.1 Kelebihan Aplikasi Web

Terdapat beberapa kelebihan yang ada pada aplikasi berasaskan web berbanding aplikasi desktop. Berikut adalah beberapa kelebihan bagi aplikasi web menurut Fowler (2004).

i) Tidak perlu instalasi

Aplikasi web tidak memerlukan proses instalasi untuk digunakan. Pengguna hanya menggunakan pelayar web seperti Internet Explorer atau Netscape untuk menggunakannya. Ini berbeza dengan aplikasi desktop yang memrlukan proses instalasi ke dalam setiap komputer yang hendak menggunakannya. Keadaan adalah sangat membebankan kepada organisasi yang besar dan mempunyai banyak komputer yang akan menggunakan aplikasi tersebut.

ii) Tidak bergantung kepada lokasi aplikasi web dan tidak terikat kepada suatu lokasi untuk digunakan

Oleh kerana aplikasi web tidak disimpan di komputer pengguna, ia boleh digunakan oleh pengguna dimana sahaja yang mempunyai capaian ke Internet.

iii) Memudahkan kolaborasi

Penggunaan aplikasi web memudahkan kolaborasi dalam melakukan kerja secara berkumpulan.Oleh kerana Internet adalah satu rangkaian yang besar, sesiapa sahaja yang mempunyai capaian ke Internet boleh berkomunikasi dan bekerjasama untuk membuat satu tugasan yang sama.

iv) Tiada keperluan perkakasan

Penggunaan aplikasi web tidak memerlukan seseorang pengguna membeli perkakasan yang khusus. Oleh kerana ia boleh digunakan oleh pelayar web yang biasa, tidak ada keperluan untuk penambahan sebarang perkakasan dalam penggunaannya.

2.5.2 Active Server Pages (ASP)

ASP diperkembangkan sekitar tahun 1996 dan merupakan teknologi pembangunan web yang menjadi pilihan orang ramai. Halaman web yang direka bentuk adalah dinamik, interaktif serta mudah dibangunkan tanpa memerlukan kepakaran yang tinggi. Pengaturcaraan ASP dilarikan di dalam Internet Information Servies(IIS), komponen yang diberikan oleh Windows 2003. Perisian ini juga sebahagian dari Windows NT 4.0 Option Pack atau melalui installasi Personal Web Server(PWS) bagi Windows XP. Terdiri daripada tiga bahagian iaitu ASP Objects atau lebih tepat Component Model(COM), Bahasa Scripting seperti VBScript dan Jscript, ActiveX Server Component bagi capaian ke pangkalan data.

Terdapat banyak kelebihan yang menjadikan ASP bahasa pengaturcaraan yang digunakan untuk menghasilkan laman web yang dinamik dan interaktif. Antara kelebihan yang terdapat jika pengguna menggunakan ASP menurut ialah (Ridruejo (2002) :

i) Mudah untuk dipelajari

ASP menggabungkan kod HTML dan kod ASP dalam satu bahasa pengaturcaraan yang sama. Penghasilan kod untuk laman yang dinamik boleh dilakukan dengan mudah dan ia tidak sukar untuk dipelajari terutamanya kepada pengaturcara yang tidak mempunyai asas pengaturcaraan yang kuat.

ii) Keterbukaan

Sifat keterbukaan ASP adalah kebebasan memilih bahasa skrip yang boleh digunakan kerana adanya komponen ActiveX yang digunakan pada ASP.

iii) Multiplatform

ASP boleh digunakan dalam berbagai-bagai platform pelayan web dan sistem operasi. ASP boleh digunakan dalam pelayan web seperti Apache, Microsoft IIS dan juga pelayan Netscape. ASP juga boleh digunakan dalam sistem operasi Unix, Windows, Linux, OS/2 mahupun MAC OS X.

iv) Pangkalan Data

ASP boleh menggunakan berbagai-bagai jenis pangkalan data open source seperti MySQL dan PostgreSQL dan juga pangkalan data yang dikeluarkan secara komersil seperti Microsoft SQL Server, Access,Oracle dan DB2.

2.5.3 Pangkalan Data Microsoft Access

Microsoft mengeluarkan Microsoft Access 1.0 pada bulan November 1992 dan dilanjutkan dengan mengeluarkan versi 2.0 pada tahun 1993. Microsoft menentukan spesifikasi minimum untuk menjalankan Microsoft Access 2.0 adalah

sebuah komputer dengan sistem operasi Microsoft Windows 3.0, RAM berkapasiti 4 sebanyak megabyte (6 megabyte lebih disarankan) dan ruangan kosong cakera keras yang diperlukan sebanyak 8 megabyte (14 megabyte lebih disarankan).

Microsoft Access dapat menggunakan data yang disimpan di dalam format Microsoft Access, Microsoft Jet Database Engine, Microsoft SQL Server, Oracle Database, atau semua data asas yang menyokong piawaian Open Database Connectivity(ODBC). Pembangun aturcara yang mahir dapat menggunakannya untuk mengembangkan aplikasi yang kompleks, sementara pengaturcara yang kurang mahir dapat menggunakannya untuk mengembangkan aplikasi yang sederhana. Access juga menyokong teknik-teknik pengaturcaraan berorientasi objek tetapi tidak dapat digolongkan ke dalam pengaturcaraan berorientasi objek.

Menurut Rockwell (2001), Access juga dapat digunakan sebagai asas data untuk aplikasi Web dasar yang disimpan di dalam server bagi menjalankan Microsoft Internet Information Services (IIS) dan menggunakan Microsoft Active Server Pages (ASP). Beberapa pengembang aplikasi profesional menggunakan Microsoft Access untuk mengembangkan aplikasi secara cepat (digunakan sebagai Rapid Application Development/RAD tool), khususnya untuk pembuatan sebuah program yang lebih besar dan aplikasi yang berdiri sendiri.

2.5.4 Pelayan Internet Information Services (IIS)

Microsoft Internet Information Services (IIS) merupakan satu set bagi perkhidmatan berasaskan Internet untuk pelayan menggunakan Microsoft Windows.

Ia adalah pelayan web kedua paling popular di dunia dari segi jumlah halaman web di belakang Apache walaupun jurang antara keduanya sedang menurun mengikut Netcraft.

IIS adalah pada mulanya dikeluarkan sebagai satu tambahan susunan Internet perkhidmatan-perkhidmatan berpangkalan untuk Windows NT 3.51. IIS 2.0 diikuti menambah sokongan untuk Windows NT 4.0 sistem pengendalian dan IIS 3.0

2.5.5 Perbincangan Pembangunan Sistem

Dalam pembangunan sistem aplikasi ini, pengkaji telah memilih pelayan IIS, pangkalan data MS Access dan bahasa pengaturcaraan ASP sebagai pilihan. Faktor utama yang menyebabkan pemilihan ketiga-tiga aplikasi ini ialah kerana semuanya adalah berasaskan sumber terbuka. Ini membolehkan aplikasi ini digunakan tanpa memerlukan perbelanjaan untuk membeli aplikasi komersil seperti Microsoft Internet Information Server (IIS), Microsoft Access atau menggunakan Microsoft VB.NET. Ketiga-tiga aplikasi ini boleh diperolehi dengan memuat turun dari sumber dari Internet seperti laman web Apache Friends (www.apachefriends.org) secara percuma. Tambahan pula ketiga-tiga aplikasi ini adalah antara yang banyak digunakan dalam pembangunan laman web pada masa ini

2.6 Sistem Peralatan Polisi Keselamatan ICT Sedia Ada

Perkembangan pesat dalam bidang teknologi maklumat dan komunikasi telah menjadi penggalak bagi pembangunanan sistem aplikasi dan tidak terkecuali dalam sistem aplikasi untuk mengendalikan Polisi Keselamatan ICT. Bahagian ini akan membincangkan tentang sistem yang telah dibangunkan sebelum ini bagi menguruskan perjalanan Polisi Keselamatan ICT. Terdapat tiga jenis sistem yang akan dibincangkan dalam bahagian ini iaitu : pertama ialah sistem polisi keselamatan ICT yang berkaitan analisa risiko, yang kedua sistem keselamatan yang dikenali sebagai SECURIS dibangunkan untuk tujuan perdagangan dan yang ketiga ialah HiLRA (High Level Risk Assessment) dan Malaysian Public Sector Information Security Risk Assessment Methodology (MyRAM) oleh MAMPU .

2.6.1 Polisi Keselamatan ICT Berkaitan Analisa Risiko

Dari penyelidikan yang telah pengkaji lakukan, masih belum ada peralatan yang telah dibangunkan untuk pembangunan peralatan Polisi Keselamatan ICT.

Kebanyakan peralatan yang dijumpai adalah berkaitan dengan analisa risiko seperti EBIOS, CALLIO SECURA, OCTAVE, CORAS dan COBRA.

Penilaian bagi sistem-sistem ini dilakukan dengan menggunakan perisian demonstrasi yang di muaturun dari laman web http://www.callio.com/secura.php dan http://enisa.europa.eu/rmra/methods_tools/t_ebios.html . Versi demonstrasi (CALLIO) ini adalah sama seperti versi asas sistem ini yang dipasarkan dengan harga RM 30,000 (Lesen untuk 2 pengguna) dan setiap penambahan lesen adalah sebanyak RM 9,000. Sistem ini adalah versi Windows dan keperluan minimumnya ialah Windows 98 atau ke atas dan boleh dicapai melalui pelayar Internet. Versi EBIOS boleh dimuat turun secara percuma dan boleh digunakan dalam mana-mana platform sistem pengoperasian dan tidak boleh dicapai melalui pelayar Internet.

Pembangunan projek ini diasaskan oleh ENISA (European Network and Information Security Agency) semenjak tahun 2006 sehingga sekarang.

Tumpuannya adalah kepada Pengurusan Risiko antaranya adalah :

i) Promosi aktiviti pengurusan risiko untuk organisasi kerajaan dan swasta

ii) Menyediakan “common language” pada persekitaran pengurusan risiko

iii) Menyediakan tinjauan tentang tatacara peralatan risiko dan perlaksanaan iv) Pembangunan penyelesaian pengurusan risiko dan integrasi bersama Pengurusan Risiko dan Taksiran Risiko

Rajah 2.6 6 menyatakan tentang kaedah pemantauan, perancangan dan pengawalan kualiti terhadap operasi risiko keselamatan yang dilakukan oleh

ENISA dalam memantapkan pembangunan peralatan keselamatan risiko.

Rajah 2.6 : Pemantauan, Perancangan dan Pengawalan kualiti

Peralatan ini juga adalah merupakan peralatan berasaskan web yang mempunyai ruang untuk pangkalan data bagi membantu pengguna untuk implementasi menyediakan sijil ISMS. Disamping itu sistem ini membantu piawaian ISO 17799 dan ISO 27001 (BS 7799-2) dan mampu mengeluarkan dokumen yang diperlukan untuk tujuan pensijilan. Penyediaan fungsi pengurusan dokumen dengan membenarkan pengguna membuat pilihan berdasarkan peralatan pangkalan data juga disediakan.

2.6.2 Polisi Keselamatan ICT SECURIS

Satu peralatan polisi keselamatan yang dipanggil SECURIS telah dibina di Norweigan. Pembangunan ini mengambil masa 3 sehingga 4 tahun untuk disiapkan

di mana ia bermula pada 1 Januari 2003 dan berakhir pada pertengan bulan 1, 2006 . Projek ini dipelopori oleh majlis penyelidikan Norway.

Terdapat 10 orang ahli yang diketuai oleh Profesor Ketil Stolen. Spesifikasi metodologi pengkomputeran SECURIS boleh dilihat seperti di Rajah 2.7 7 :

i) Garispanduan proses pembangunan polisi berdasarkan keperluan bisnes

ii) Spesifikasi polisi keselamatan dan andaian kebergantungannya

iii) Analisa polisi keselamatan iv) Proses panduan model implementasi polisi keselamatan v) Pemantauan dan percubaan pematuhan terhadap polisi

Rajah 2.7 Gambaran keseluruhan skema Projek SECURIS

Peralatan ini boleh didapati dan dimuat turun secara percuma dan masih dalam proses penyelidikan. Ini disebabkan masih terdapat isu-isu keselamatan dari segi perlaksanaan undang-undang dan prosedur terhadap beberapa perlaksanaan polisi masih dalam proses pengujian. Versi 2.1 adalah merupakan versi terbaharu

platform. Versi ini terdapat beberapa ciri keselamatan seperti kawalan terhadap capaian penggunaan dengan menggunakan pengesahan pengguna.

2.6.3 Polisi Keselamatan ICT MAMPU

Pihak MAMPU telah membangunkan peralatan keselamatan yang dipanggil High-Level Risk Assessment(HiLRA) dan Garis Panduan Pengurusan Keselamatan ICT Sektor Awam Malaysia (MyMIS) untuk Sektor Keselamatan Awam Malaysia. MAMPU menyediakan Khidmat Perundingan Keselamatan ICT bagi memantapkan lagi perlindungan keselamatan dan pembangunan infrastruktur ICT Kerajaan. MAMPU menyediakan kemudahan khidmat perunding mengenai isu-isu keselamatan ICT seperti berita, artikel, advisories dan tools yang terkini, penemuan dan pengendalian insiden serta penyediaan dasar dan pengurusan keselamatan ICT.

Secara umumnya Khidmat Perundingan Keselamatan ICT meliputi:

i) Menjadi pemudah cara di dalam mana-mana bengkel, kursus atau seminar mengenai keselamatan ICT

ii) Sebagai rujukan dan standard amalan bagi meningkatkan kesedaran dan pengetahuan dalam keselamatan ICT serta memperkemaskan operasi keselamatan dalaman sesebuah agensi sektor awam

iii) Menyediakan pandangan secara bertulis atau dalam talian mengenai isu keselamatan ICT iv) Mewujudkan forum dan buletin perbincangan secara elektronik melalui laman khas Portal Keselamatan ICT Kerajaan (GSWP)

Penilaian Risiko Keselamatan Maklumat Sektor Awam adalah bertujuan untuk membolehkan sektor awam mengukur, menganalisis tahap risiko aset maklumat dan seterusnya mengambil tindakan untuk merancang dan mengawal risiko. Untuk tujuan itu, kerajaan telah mengeluarkan Surat Pekeliling Am Bil. 6 Tahun 2005 : Garis Panduan Penilaian Risiko Keselamatan Maklumat Sektor Awam bagi memaklumkan kepentingan dan cara melaksanakan penilaian risiko keselamatan maklumat di sektor awam.

2.6.4 Perbincangan

Dari kajian yang dijalankan terhadap ketiga-tiga sistem tersebut, didapati terdapat kelebihan dan kelemahan yang terdapat dalam setiap peralatan Polisi Keselmatan ICT. Berikut adalah antara kelebihan dan kelemahan yang terdapat dalam sistem-sistem tersebut.

i. Polisi Keselamatan ICT Berkaitan Analisa Risiko

Kelebihan

a) Sistem ini mempunyai keupayaan untuk membuat analisa terhadap risiko keselamatan merangkumi taksiran aset, ancaman dan komunikasi (pengurusan dokumen dan Pusat Kesedaran pengguna)

b) Terdapat analisa risiko dan pengiraan.

c) Mempunyai pengenalpastian risiko terhadap ancaman keselamatan dan pencerobohan.

d) Kajiselidik terhadap ISO 17799 seperti soal selidik.

e) Terdapat Pengurusan Dokumen : Keperluan dokumen ISMS, Peralatan Pengeluaran Laporan : Mengeluarkan laporan secara automatik dan boleh dikonfigurasi.

f) Teknologi senibina pembangunan peralatan : • Pangkalan Data : MySQL, SQL Server

• Pelayan Web : IIS, Apache • Aplikasi Pelayan: BlueDragon JX Server • Capaian Pengguna : Internet Explorer

Kelemahan

a) Tidak terdapat kawalan yang jelas terhadap capaian antara pentadbir dan pengguna . Semua pengguna boleh melihat maklumat yang telah diisi ,dan boleh memaparkan setiap risiko yang dihadapi oleh organisasi yang menggunakannya.

b) Penggunaan sistem ini adalah terhad kepada penilaian risiko keselamatan dan tidak mampu untuk mengeluarkan polisi keselamatan ICT dalam menjayakan projek ini.

v) Polisi Keselamatan ICT SECURIS

Kelebihan

a) Melengkapkan gabungan terhadap cara taksiran risiko bagi setiap model yang berbeza

b) Menyediakan metodologi model bagi membantu dalam memberi keputusan terhadap dokumentasikan taksiran risiko

c) Kajiselidik terperinici terhadap ISO 17799 dan ISO/IEC TR 13335 seperti soal selidik dan perundangan.

d) Garispanduan proses pembangunan polisi berdasarkan keperluan bisnes

e) Spesifikasi polisi keselamatan dan andaian kebergantungannya

f) Analisa terhadap polisi keselamatan

g) Proses panduan model implementasi polisi keselamatan

h) Teknologi senibina pembangunan peralatan : • Pangkalan Data : MySQL, SQL Server

• Pelayan Web : IIS, Apache • Aplikasi Pelayan: Java • Capaian Pengguna : Internet Explorer

Kelemahan

a) Bentuk laporan yang dikeluarkan adalah terhad yang dibenarkan sahaja terutama kepada taksiran risiko, dan polisi keselamatan ICT asas sahaja seperti pengurusan aset dan harta dan maklumat keselamatan sahaja.

b) Penggunaan sistem ini adalah terhad kepada penilaian risiko keselamatan dan tidak mampu untuk mengeluarkan polisi keselamatan ICT dalam menjayakan projek ini.

c) Peralatan ini masih dalam proses kajian dan percubaan dan maklumat yang digunakan masih tidak boleh digunakan untuk dijadikan sebagai perlaksanaan dokumentasi Polisi Keselamatan ICT.

iii. Polisi Keselamatan ICT MAMPU

Kelebihan

Dokumen yang terkait

Dari Penangkapan Ke Budidaya Rumput Laut: Studi Tentang Model Pengembangan Matapencaharian Alternatif Pada Masyarakat Nelayan Di Kabupaten Situbondo, Jawa Timur

2 37 2

Strategi implementasi new wave marketing pada perbankan syariah

52 111 88

Pengaruh model learning cycle 5e terhadap hasil belajar siswa pada konsep sistem ekskresi

11 137 269

Aplikasi sistem bagi hasil pembiayaan musyarakah : studi kasus pada BPR Syariah Wakalumi Ciputat Tangerang

11 107 84

Aplikasi sistem pakar untuk mendiagnosa penyakit pada pencernaan manusia

8 56 249

Pencarian solusi pada permasalahan sistem persamaan nonlinier menggunakan metode bat algorithm

2 76 0

Perancangan Logo Ulang Tahun Kota Cimahi Ke Delapan Di Pemerintah Kota Cimahi

1 42 1

Aplikasi pemrograman delphi 3.0 pada sistem penggajian pegawai di Home Industri Beautiful

4 62 1

Pengaruh sistem informasi akuntansi dan audit sistem informasi terhadap pengendalian internal :(studi kasus pada PT.Telkom, tbk)

34 203 107

kelainan dan gangguan pada sistem pereda

0 1 12