×

Sila masukkan kata kunci untuk membuat carian.

Sistem Pengurusan Keselamatan Maklumat (ISMS)

Pengenalan
Sistem Pengurusan Keselamatan Maklumat (ISMS) merupakan suatu pendekatan yang bersistematik dan berstruktur bagi dalam pengurusan maklumat. Pelaksanaan ISMS meliputi polisi, proses, prosedur, struktur organisasi, perisian dan juga fungsi sesuatu perkakasan.
 
MAMPU telah memperoleh Pensijilan Semula ISMS (Sistem Pengurusan Keselamatan Maklumat) di bawah standard ISO / IEC 27001:2013 Information Security Management Systems bagi tempoh selama 3 tahun mulai 13 Ogos 2016 hingga 12 Ogos 2019 dengan no sijil: 027-ISO49 oleh CyberSecurity Malaysia.
 
Latar belakang
Jika sebelum ini Perbendaharaan telah Berjaya memperolehi sijil MS ISO 9001:2008 iaitu Sistem Pengurusan Kualiti bagi Pengurusan Kewangan Negara, kini Perbendaharaan Malaysia menuju selangkah lagi ke hadapan iaitu ke arah MS ISO/ IEC 27001:2007 Sistem Pengurusan Keselamatan Maklumat yang lebih dikenali sebagai ISMS.
 
ISMS bermula pada awal 1990-an lagi di mana Department of Trade Industry, UK meminta agar British Institution Standard membangunkan standard yang boleh meningkatkan kesedaran tentang isu-isu keselamatan dan mencadangkan kawalan-kawalan bagi melindungi maklumat. ISMS dimulai dengan pengwujudan Code of Practice pada tahun 1993, kemudian wujudlah British Standard (BS 7799-1) pada tahun 1995 dan yang terkini adalah ISO/IEC 27001:2005 di mana ia telah dijadikan standard Malaysia pada tahun 2007 iaitu MS ISO/IEC 27001.
 
Mengapa perlu ISMS?
Ancaman siber kini dilihat semakin sukar untuk diramal dan mencabar. Jika dahulu penceroboh mengambil masa yang agak panjang untuk menggodam aset ICT, tetapi kini, dengan bantuan hacking tools yang boleh didapati di internet, aktiviti tersebut dapat dilakukan dengan mudah dan pantas. Oleh yang demikian, setiap agensi harus peka dengan situasi ini. Statistik insiden keselamatan akan terus meningkat sekiranya setiap agensi tidak memandang serius atau gagal mengambil tindakan pengukuhan. Rentetan daripada itu pada 24 Feb 2010 Jemaah Menteri telah memutuskan supaya kesemua agensi Critical National Information Infrastructure (CNII) melaksanakan pengurusan sistem keselamatan maklumat mengikut MS ISO/IEC 27001 dan memperoleh Pensijilan ISMS di dalam tempoh 3 tahun.
 
Objektif 
Objektif ISMS adalah untuk mengurus dan melindungi keselamatan maklumat selaras dengan keperluan dan ekspektasi pemegang taruh. Ia menekankan kepada konsep atau prinsip keselamatan maklumat iaitu pemeliharaan kerahsiaan, integriti dan kebolehsediaan.
 
Skop
Skop Persijilan ISMS MAMPU adalah:
1.Perkhidmatan Pengendalian Insiden Agensi-Agensi Kerajaan, Government Computer Emergency Response Team (GCERT);
2.Pengurusan Operasi Pusat Data Sektor Awam (PDSA) Cyberjaya;
3.Pengurusan Perkhidmatan Penilaian Risiko Keselamatan maklumat Sektor Awam: HiLRA & MyRAM;
4.Perkhidmatan Komprehensif Keselamatan ICT Terurus Kerajaan (MyGSOC).

Konsep Keselamatan Maklumat
1.Pemeliharaan (Preservation):
   a.Kerahsiaan : Maklumat tidak didedahkan sewenang-wenangnya atau  dibiarkan diakses tanpa kebenaran
   b.Integriti : Data dan maklumat yang tepat, lengkap dan terkini serta boleh  diubah dengan cara yang dibenarkan.
   c.Kebolehsediaan : Data dan maklumat boleh diakses pada bila-bila masa.
2.Dicapai dengan melaksanakan kawalan-kawalan yang sesuai (cth: polisi, prosedur, amalan terbaik dan lain-lain lagi)

Khidmat rundingan ISMS
Unit Pemodenan Tadbiran dan Perancangan Pengurusan Malaysia (MAMPU) Jabatan Perdana Menteri telah menyediakan khidmat rundingan ISMS dalam lima (5) bidang khusus iaitu penentuan skop ISMS agensi, penggubalan dasar keselamatan ICT agensi, melaksanakan penilaian risiko, penyediaan pelan penguraian risiko (Risk Treatment Plan) serta pernyataan pemakaian (Statement of Applicability).
 
Bagaimana melaksanakan ISMS?
ISMS adalah berasaskan dua (2) piawaian peringkat antarabangsa iaitu :
1.ISO/IEC 27001:2005; dan
2.ISO/IEC 27002:2005
 
Kesimpulan
ISMS diharap akan membawa agensi Kerajaan ke arah mewujudkan sistem penyampaian yang bukan sahaja memenuhi tuntutan dan kepuasan pelanggan serta mematuhi peraturan semasa tetapi membolehkan sistem penyampaian beroperasi dalam keadaan baik, selamat dan terkawal. ISMS juga menyediakan tanda aras (benchmark) tahap pengurusan keselamatan kerajaan berasaskan standard universal. ISMS akan memantapkan lagi perlindungan ke atas maklumat dan asset ICT berasaskan prinsip kerahsiaan, integrity dan kebolehsediaan.
 
Maklumat lanjut
Sila rujuk Surat Arahan Pelaksanaan Pensijilan MS ISO/IEC 27001:2007 Dalam Sektor Awam bertarikh 24 November 2010 dan nombor rujukan MAMPU.BPICT.700-4/3/5 Jld 2(5) bagi mendapatkan