Scribd Logo
Загрузить

Добро пожаловать в Scribd!

  • Audit Kemudahan ICT

    Загружено:

    Rohani Abdul Majid
    107 просмотров10 страниц

    Авторское право

    © Attribution Non-Commercial (BY-NC)

    Доступные форматы

    PDF, TXT или читайте онлайн в Scribd

    Этот документ был вам полезен?

    Это неприемлемый материал?

    Пожаловаться на этот документ

    Авторское право:

    Attribution Non-Commercial (BY-NC)
    Скачайте в формате PDF, TXT или читайте онлайн в Scribd
    Отметить как неприемлемый контент
    107 просмотров10 страниц

    Audit Kemudahan ICT

    Загружено:

    Rohani Abdul Majid

    Авторское право:

    Attribution Non-Commercial (BY-NC)
    Скачайте в формате PDF, TXT или читайте онлайн в Scribd
    Отметить как неприемлемый контент
    из 10

    BAHAGIAN AUDIT DALAM JABATAN PERDANA MENTERI SELF ASSESSMENT PENGURUSAN ICT

    Pejabat Yang Dinilai : Bahagian Teknologi Maklumat Jabatan ..................................... Kawalan Kemudahan ICT Untuk memastikan kawalan kemudahan ICT di senggara dengan baik dan sistematik.

    Perkara Yang Diaudit : Objektif Audit :

    Perkara yang dinilai dalam tempoh yang dinyatakan mengenai kawalan kemudahan ICT yang memerlukan makluman/ulasan/tindakan.
    Bil. 1. Dokumen/ Perkara Diaudit Perisian komputer Kriteria Audit Memastikan perisian yang diperoleh oleh Jabatan / Bahagian telah diterima dan digunakan selaras dengan pekeliling. Peraturan : - Pekeliling Kontrak Perbendaharaan Bil. 1 Tahun Senarai Semak/ Prosedur Audit a) Adakah perisian yang digunakan mempunyai lesen yang masih sah? Ukuran Pematuhan Semua perisian berlesen yang digunakan hendaklah mempunyai lesen yang masih sah. Lesen berbentuk hardcopy atau digital disimpan dengan selamat. Status Pematuhan (/ X/TB)

    b) Adakah dokumen lesen perisian disimpan dengan baik?

    SA.ICT

    Bil.

    Dokumen/ Perkara Diaudit -

    Kriteria Audit 2003 Pindaan Pertama Kepada Pekeliling Kontrak Perbendaharaan Bil.1 Tahun 2003 Pekeliling Kontrak Perbendaharaan Bil. 3 Tahun 2008 Pekeliling Kontrak Perbendaharaan Bil.3 Tahun 2008 (Tambahan Pertama)

    Senarai Semak/ Prosedur Audit c) Adakah kontrak lesen perisian telah diperbaharui?

    Ukuran Pematuhan Lesen yang telah tamat dan dibekalkan bersekali di bawah kontrak perjanjian telah diperbaharui.

    Status Pematuhan (/ X/TB)

    2.

    Pusat Data

    Pengurusan dan kawalan keselamatan pusat data Peraturan : - Pekeliling Am Bil 3 Tahun 2000 - Garis Panduan MAMPU: Electronic Government Activities Act 2007 - Garis Panduan MAMPU: Arahan Teknologi Maklumat Disember 2007 Para 20.1.5 - Garis Panduan Penyimpanan dan Pemeliharaan Rekod Elektronik Sektor Awam - Akta Arkib Negara 2003, Bahagian IV Pengurusan Rekod

    a) Adakah pusat data mempunyai kawalan keselamatan dan persekitaran yang baik?

    Pusat data mempunyai kawalan akses pintu, kebakaran, susun atur kabel dan sistem penyejukan yang beroperasi dengan baik. SOP pusat data disediakan.

    b) Adakah pusat data mempunyai Standard Operating Procedure (SOP)? c) Adakah pusat data mempunyai rekod pegawai keluar masuk?

    Rekod keluar masuk manual/elektronik disediakan.

    d) Adakah data dibuat backup berjadual?

    Tarikh backup berjadual disediakan.

    e) Adakah tape backup disimpan di lokasi lain (Disaster Recovery)?

    Lokasi simpanan tape backup diletakkan di luar radius kawasan 25KM daripada bangunan pusat backup. Tarikh jadual restoration backup disediakan.

    f)

    Adakah ujian restoration backup dibuat secara berjadual?

    2 / 10

    SA.ICT

    Bil.

    Dokumen/ Perkara Diaudit

    Kriteria Audit

    Senarai Semak/ Prosedur Audit g) Adakah perkakasan mempunyai penyenggaraan berjadual (preventive maintenance)? h) Adakah penyimpanan dan pemeliharaan rekod elektronik dilakukan?

    Ukuran Pematuhan Semua perkakasan ICT mempunyai jadual PM.

    Status Pematuhan (/ X/TB)

    Sistem dokumen/rekod elektronik yang dibangunkan berupaya menguruskan simpanan dan peralihan rekod mematuhi peraturan dan had akses yang ditetapkan.

    3.

    Pelan Kesinambungan Perkhidmatan

    Peraturan : - Surat KP MAMPU 22 Januari 2010 :Pengurusan Kesinambungan Perkhidmatan Agensi Sektor Awam

    a) Adakah agensi merancang dan menyediakan bajet bagi melaksanakan PKP agensi? b) Adakah PKP agensi disediakan? PKP disediakan secara dalaman atau secara outsource kepada perunding? Jika Perunding pastikan: (a) Berdaftar dengan Kementerian Kewangan di bawah kod 240200 atau 24300 atau 242600; (b) Mempunyai sijil yang diiktiraf atau setarafnya: dan (c) Pihak Pengurusan Atasan agensi bertanggungjawab memastikan program PKP dilaksanakan oleh perunding dengan baik dan berkesan.

    c) Pengurusan Atasan agensi melantik Peneraju pelaksanaan PKP dan meluluskan penubuhan

    Pasukan ditubuhkan dan peneraju dilantik.

    3 / 10

    SA.ICT

    Bil.

    Dokumen/ Perkara Diaudit

    Kriteria Audit

    Senarai Semak/ Prosedur Audit Pasukan PKP? d) Adakah proses, peranan dan tanggungjawab ahli pasukan ditentukan dan latihan diberi untuk melaksanakan tugas?

    Ukuran Pematuhan

    Status Pematuhan (/ X/TB)

    Tugas pasukan dan tanggungjawab ahli ditetapkan.

    e) Adakah Sesi pendedahan PKP kepada Pengurusan Atasan sekali setahun atau apabila berlaku perubahan Pengurusan Atasan diadakan oleh Koordinator PKP? f) Adakah terma rujukan program PKP diluluskan oleh Jawatankuasa Pemandu PKP?

    Sesi pendedahan dilaksanakan oleh Koordinator PKP sekurangkurangnya sekali setahun kepada pengurusan.

    TOR PKP diluluskan oleh Jawatankuasa Pemandu PKP.

    g) Adakah status kemajuan pelaksanaan program PKP dilaporkan dalam mesyuarat Pengurusan Atasan?

    Mesyuarat membincangkan kemajuan program PKP.

    4.

    Rangkaian

    Pengurusan rangkaian dan keselamatan rangkaian dikawal dengan baik. Peraturan : - Surat Pekeliling Am Bil.3 Tahun 2009 Garis Panduan Penilaian Tahap Keselamatan Rangkaian dan Sistem ICT

    a) Adakah Network Topology dikemas kini?

    Network toplogy hendaklah menunjukkan LAN, WAN, VPN, Firewall, Zon dan subnetting. Keperluan perkakasan mencukupi berdasarkan keperluan pegawai melaksanakan tugas.

    b) Adakah keperluan perkakasan mencukupi bagi semua pegawai yang dirangkaikan?

    4 / 10

    SA.ICT

    Bil.

    Dokumen/ Perkara Diaudit -

    Kriteria Audit Sektor Awam Surat Arahan Ketua Setiausaha Negara bertarikh 20 Oktober 2006 Garis Panduan: Standard, Policies and Guidelines Channels Framework Version 1.0, Ogos 2003

    Senarai Semak/ Prosedur Audit c) Adakah Insiden keselamatan dilaporkan sewajarnya?

    Ukuran Pematuhan Insiden keselamatan dilaporkan dan difailkan.

    Status Pematuhan (/ X/TB)

    5.

    Keselamatan

    Menjelaskan mekanisme pelaporan insiden keselamatan teknologi maklumat dan komunikasi ICT. Peraturan : - Garis Panduan MAMPU: Garis Panduan Pengurusan Keselamatan ICT Sektor Awam Malaysia (MyMis) Surat Pekeliling Am Bil. 6 Tahun 2005: Garis Panduan Penilaian Risiko Keselamatan Maklumat Sektor Awam Surat Pekeliling Am Bil. 4 Tahun 2006 Pekeliling Am Bil.1 Tahun 2001 Pekeliling Am Bil. 3 Tahun 2000 Surat Arahan Ketua Pengarah MAMPU Berkaitan Pengaktifan Fail Log Server.( Rujukan : MAMPU.702-1/1/7

    a) Adakah SOP rangkaian dan infrastruktur ICT disediakan? b) Adakah CIO menguruskan tindakan ke atas insiden keselamatan ICT yang berlaku sehingga pulih? c) Adakah pasukan pengendali insiden (CERT) ditubuhkan? d) Adakah SOP Pengurusan Pengendalian Insiden Keselamatan ICT CERT Agensi disediakan dan dijadikan rujukan?

    SOP rangkaian dan infrastruktur disediakan. CIO telah dimaklumkan berkaitan tindakan pembaikan yang diambil. Pasukan CERT ditubuhkan berdasarkan salah satu model CERT yang ditetapkan. SOP pengurusan insiden disediakan selarasa dengan Garis Panduan Pengurusan Pengendalian Insiden Keselamatan ICT Sektor Awam dan Fail log yang perlu diaktifkan adalah: Fail log sistem pengoperasian Fail log servis (cth:web, ftp, mel dll) Fail log aplikasi (audit trail) Fail log rangkaian

    e) Adakah fail log server dan aplikasi diaktifkan?

    5 / 10

    SA.ICT

    Bil.

    Dokumen/ Perkara Diaudit

    Kriteria Audit Jld.3(48) bertarikh 23 Mac 2009)

    Senarai Semak/ Prosedur Audit

    Ukuran Pematuhan (switch, firewall, router, IDS/IPS dll.)

    Status Pematuhan (/ X/TB)

    6.

    Internet dan e-mail

    Pengurusan Internet dan E-mel dilaksanakan dan dikawal penggunaannya dengan baik. Peraturan : - Pekeliling Kemajuan Pentadbiran Awam Bil.1 Tahun 2003 - Surat Arahan Ketua Pengarah MAMPU:Penggunaan Media Jaringan Sosial Di Sektor Awam - Pekeliling Am Bil.3 Tahun 2000 Perenggan 5

    a) Adakah pentadbir sistem dilantik bagi menguruskan kawalan akses Internet dan e-mel?

    ICTSO bertanggungjawab menguruskan kawalan akses Internet dan e-mel.

    b) Adakah terdapat kawalan akses semasa penggunaan Internet dan e-mel kepada sensitiviti maklumat (eg. pornografi) diberi perhatian? c) Adakah program-program kesedaran keselamatan ICT diberikan kepada semua pengguna?

    Senarai sekatan akses penggunaan internet terhadap maklumat sensitif disedia dan dikemaskinikan. Program Keselamatan ICT telah dihebahkan kepada semua pegawai menggunakan salah satu medium hebahan. Laman web agensi boleh dicapai melalui laman web myGovernment.

    7.

    Laman Web

    Pengurusan Laman Web mengikut peraturan pekeliling. Peraturan : - Pekeliling Am Bil.1 Tahun 2006: - Surat Arahan Ketua Pengarah MAMPU:Panduan Penyediaan Berita Online dan Penyiaran Berita Online Di Laman Web/Portal Agensi-Agensi Kerajaan

    a) Adakah perkhidmatan dan maklumat agensi yang bersesuaian boleh dicapai melalui myGovernment ? b) Adakah struktur tadbir urus laman web/portal di agensi diwujudkan ?

    Jawatankuasa tadbir urus laman web diwujudkan.

    c) Adakah penyediaan dan penyiaran berita online mematuhi garis panduan dan menggunakan teknologi Really Simple Syndicate (RSS)?

    Penyiaran berita online disediakan mengikut peraturan dan menggunakan RSS.

    6 / 10

    SA.ICT

    Bil.

    Dokumen/ Perkara Diaudit

    Kriteria Audit

    Senarai Semak/ Prosedur Audit d) Adakah langkah-langkah keselamatan laman web/portal agensi dilaksanakan?

    Ukuran Pematuhan Ciri-ciri keselamatan laman web dilaksanakan di mana berkaitan adalah: 1. Membezakan kategori maklumat umum dan maklumat dilindungi 2. Backup/Restore - Menyimpan 3 generasi backup - Menyimpan backup di lokasi berlainan 3. Penduaan 4. Kawalan keselamatan secara pentadbiran - Dasar/Standard/ Prosedur /Garis Panduan 5. Kawalan Keselamatan Logikal/Teknikal - Firewall Intrusion Prevention System, Intrusion Detection System, Access Control List 6. Kawalan Keselamatan Fizikal - Kawalan keselamatan rangkaian, aplikasi, patching, pengasingan tugas pelayan web, pengauditan dan AWRS

    Status Pematuhan (/ X/TB)

    7 / 10

    SA.ICT

    Bil.

    Dokumen/ Perkara Diaudit

    Kriteria Audit

    Senarai Semak/ Prosedur Audit

    Ukuran Pematuhan 7. Pengesahan kuasa (authorization) 8. Pengesahan capaian (authentication) - Penggunaan ID/Kata laluan - Penggunaan sijil digital/token 9. Encryption 10 . Protokol rangkaian keselamatan - Secure Socket Layer 11. Penamatan sesi.

    Status Pematuhan (/ X/TB)

    8.

    Blog

    Pelaksanaan Blog Bagi Agensi Sektor Awam mengikut peraturan yang ditetapkan. Peraturan : - Surat Arahan Ketua Pengarah MAMPU berkaitan Garis Panduan Pelaksanaan Blog Bagi Agensi Sektor Awam UPTMS(S) 159/05/648/1(33) bertarikh 17.7.09.

    a) Adakah pasukan pengendali blog dilantik?

    Pasukan pengendali blog ditubuhkan di bawah jawatankuasa Induk Pengurusan Laman Web/Portal. Blog mesti mewajibkan pengguna mendaftar nama dan e-mel. Blog hendaklah menggunakan alamat domain mengandungi : domainblog.<agensi>.gov.my atau <nama blog>blog.<agensi>.gov.my

    b) Adakah blog mewajibkan pengguna mengisi nama dan alamat e-mel? c) Adakah domain blog digunakan?

    8 / 10

    SA.ICT

    Bil.

    Dokumen/ Perkara Diaudit

    Kriteria Audit

    Senarai Semak/ Prosedur Audit d) Adakah kriteria mandatori blog dipatuhi?

    Ukuran Pematuhan Kriteria mandatori merangkumi: 1. Papar perkataan Blog Rasmi; 2. Menggunakan jata dan logo rasmi jabatan; 3. Mengandungi pengenalan blog agensi; 4. Kandungan hanya perkara berkaitan bidang kuasa agensi; 5. Mempunyai disclaimer dan dasar privasi dan dasar keselamatan; 6. Memaparkan hak cipta terpelihara 7. Mempunyai pautan blog yang telah diarkib. 8. Ada pautan ke laman web agensi. Larangan kandungan yang dilarang adalah: 1. Pautan ke iklan komersial. 2. Mengandungi maklumat rahsia dan isu sensitif perkauman, politik dan agama. 3. Kandungan menjejaskan imej kerajaan dan bercanggah dengan dasar kerajaan; 4. Kandungan berunsur fitnah, hasutan dan menyalahi undangundang. 5. Pautan kepada

    Status Pematuhan (/ X/TB)

    e) Adakah blog memastikan larangan kandungan dipatuhi?

    9 / 10

    SA.ICT

    Bil.

    Dokumen/ Perkara Diaudit

    Kriteria Audit

    Senarai Semak/ Prosedur Audit

    Ukuran Pematuhan blog/laman web yang tidak berkaitan.

    Status Pematuhan (/ X/TB)

    9.

    Perkhidmatan Kios dan SMS

    Pengurusan Perkhidmatan Kios dan SMS di senggara dengan teratur. Peraturan : - Pekeliling Kemajuan Pentadbiran Awam Bil. 2 Tahun 2008: Pekeliling Kemajuan Pentadbiran Awam Bil. 3 Tahun 2008

    a) Adakah kajian persekitaran, analisis keperluan dan Penyediaan System Requirement Study (SRS) dijalankan sebelum melaksanakan perkhidmatan secara kios? b) Adakah sistem kios dan SMS dilengkapi dengan ciri-ciri keselamatan?

    Dokumen kajian dan SRS disediakan.

    Kios telah dilengkapkan dengan ciri-ciri keselamatan.

    c) Adakah program promosi dilaksanakan bagi memperkenalkan penggunaan sistem kios dan SMS?

    Program kesedaran dan penggunaan kios dan/atau SMS telah dihebahkan .

    d) Adakah Jawatankuasa Pemandu ICT mentadbir urus penggunaan sistem kios dan SMS?
    Nota : T.B. ICT SOP CIO SMS Tidak Berkenaan Information Communication Technology Standard Operating Procedure Chief Information Officer Short Message Service

    Tahap penggunaan kios dan sms dipantau dan dilaporkan dalam mesyuarat JPICT.

    10 / 10

    Вам также может понравиться