PowerPoint Presentation - JPN Kedah
Download
Report
Transcript PowerPoint Presentation - JPN Kedah
2012
STAR RATING KPM
(JPN / PPD)
MESYUARAT KETUA SEKTOR ICT JPN
HOTEL PULLMAN KUCHING, SARAWAK
12 MAC 2012
KANDUNGAN
Tujuan
Struktur Tadbir Urus Star Rating KPM
Kriteria Star Rating Pengurusan ICT 2012
Penetapan Sub-Kriteria Pengurusan ICT JPN &
PPD
TUJUAN
Memberi
penerangan
mengenai
Sub-
Komponen A5: Pengurusan ICT kepada JPN
mengenai Star Rating tahun 2012.
STRUKTUR TADBIR URUS STAR RATING KPM
Jawatankuasa Induk Star
Rating
(YBhg.Dato’ KSU)
JK Pelaksana Star Rating
( Pengurusan
Kementerian )
Jawatankuasa Kecil
Perlaksana Star Rating
Pengurusan ICT
(BPM)
JK Pelaksana Star Rating
( Perkhidmatan Teras )
…
JK Pelaksana Star Rating
( Pengurusan Kewangan /
Pembangunan )
KRITERIA A5. PENGURUSAN ICT 2012
A5.1
A5.3
Tadbir Urus ICT
Pembangunan &
Pelaksanaan Sistem ICT
• Pelan Strategik ICT (ISP)
• Jawatankuasa Pemandu ICT
(JPICT) / Setara
• Struktur, peranan &
tanggungjawab
• Pembangunan laman
web/Portal
• Pembangunan &
pelaksanaan sistem aplikasi
• Pasukan Tadbir Urus Laman
Web/Portal
A5.2
Pengurusan Projek ICT
• Pelaksanaan Projek ICT
• Pemantauan pelaksanaan
projek
Pengurusan Keselamatan
ICT
• Keselamatan fizikal &
persekitaran
• Keselamatan sumber manusia
• Keselamatan maklumat
• Pematuhan Dasar/Arahan ICT
• Pasukan Tadbir Urus
Pengurusan Projek
A5.5
A5.4
Pengurusan &
Pentadbiran InfoStruktur ICT
• Pengurusan Aset ICT
• Kawalan akses
• Penggunaan internet
• Penggunaan & pematuhan
e-mel
• Pengurusan rangkaian
komunikasi & operasi
• Penilaian tahap keselamatan
rangkaian & sistem ICT
• Pengurusan insiden
keselamatan ICT
• Tindakan pengukuhan
keselamatan ICT (Kriteria hanya
untuk 176 agensi di bawah
PRISMA)
• Tindakan pengukuhan
keselamatan ICT (Kriteria hanya
untuk agensi tidak di bawah
PRISMA)
PERBANDINGAN KRITERIA STAR
RATING 2010 DAN 2012
BIL
A5.1
2010
Pelaksanaan Pelan Strategi ICT/
Polisi
BIL
A5.1
Pelaksanaan Tadbir Urus ICT
A5.2
• Jawatankuasa
Pemandu ICT
A5.3
Pengurusan Laman Web/ Portal
Agensi
• Pasukan Tadbir Urus
Laman Web/ Portal
Agensi
• Pembangunan Laman
Web/ Portal
Tadbir Urus ICT
• Pelan Strategik ICT (ISP)
• Jawatankuasa Pemandu ICT
(JPICT) / Setara
• Struktur Peranan dan Tanggungjawab Organisasi ICT
• Pematuhan Dasar / Arahan Agensi
• Pasukan Tadbir Urus Pengurusan Projek
• Pasukan Tadbir Urus Laman Web / Portal Agensi
• Pelan Strategik ICT (ISP)
• Dasar Keselamatan ICT
A5.2
2012
Pengurusan Projek ICT
• Pelaksanaan Projek ICT
Utama Agensi
• Pemantauan Pelaksanaan
Projek ICT Utama Agensi
A5.3
Pembangunan dan Pelaksanaan Sistem ICT
• Pembangunan Laman Web / Portal
• Pembangunan dan
Pelaksanaan Sistem Aplikasi
PERBANDINGAN KRITERIA STAR
RATING 2010 DAN 2012
BIL
A5.4
2010
Pembudayaan IT dalam agensi
BIL
2012
A5.4
Pengurusan dan Pentadbiran Info-Struktur ICT
• Pengurusan Aset ICT
• Kawalan Akses
• Penggunaan Internet
• Penggunan dan Pematuhan
E-mel
• Pengurusan Rangkaian
Komunikasi dan Operasi
A5.5
Pengurusan Keselamatan ICT
• Keselamatan Fizikal dan
Persekitaran
• Keselamatan Sumber
Manusia
• Keselamatan Maklumat
• Penilaian Tahap Keselamatan
Rangkaian dan Sistem ICT
• Pengurusan Insiden
Keselamatan ICT
• Tindakan Pengukuhan
Keselamatan ICT
PENETAPAN SUB-KRITERIA A5 PENGURUSAN ICT
BAGI JPN & PPD
A5.1 TADBIR URUS ICT
A5.1.1
A5.1.2
JPN
PPD
Strategik ICT (ISP)
a.
Adakah agensi telah menyediakan ISP dan masih berkuatkuasa?
X
X
b.
Adakah projek-projek utama ICT dilaksanakan mengikut perancangan ISP
agensi?
X
X
c.
Adakah ISP agensi menyokong ISP Sektor Awam?
X
X
d.
Adakah Kajian Semula ISP agensi telah diadakan?
X
X
/
X
/
X
/
X
Jawatankuasa Pemandu ICT (JPICT) / Setara
e.
f.
g.
Adakah Jawatankuasa Pemandu ICT (JPICT) agensi atau setara
dengannya diwujudkan?
Adakah keselamatan ICT dijadikan agenda tetap dalam perbincangan
jawatankuasa ini?
Adakah jawatankuasa ini melulus dan memantau kesemua projek ICT yang
dilaksanakan di agensi?
PENETAPAN SUB-KRITERIA A5 PENGURUSAN ICT
BAGI JPN & PPD
A5.1 TADBIR URUS ICT
A5.1.3
JPN
PPD
h. Adakah Ketua Pegawai Maklumat (CIO) telah dilantik di kalangan pegawai
pengurusan tertinggi agensi?
i. Adakah CIO yang dilantik dimaklumkan kepada MAMPU?
X
X
X
X
j.
X
X
X
X
X
X
m. Adakah DKICT dikuatkuasakan ke seluruh agensi?
/
/
n. Adakah DKICT agensi disebarkan secara menyeluruh?
/
/
o. Adakah pembudayaan DKICT agensi dilaksanakan?
/
/
p. Adakah kajian semula DKICT telah dilaksanakan?
X
X
Struktur, Peranan dan Tanggungjawab Organisasi ICT
Adakah Pegawai Keselamatan Maklumat (ICTSO) dilantik?
k. Adakah ICTSO yang dilantik dimaklumkan kepada MAMPU?
A5.1.4
Pematuhan Dasar / Arahan Agensi
l.
Adakah agensi telah mewujudkan Dasar Keselamatan ICT (DKICT)?
PENETAPAN SUB-KRITERIA A5 PENGURUSAN ICT
BAGI JPN & PPD
A5.1 TADBIR URUS ICT
A5.1.5
JPN
PPD
Pasukan Tadbir Urus Pengurusan Projek
r. Adakah Tadbir Urus pengurusan projek-projek utama di peringkat agensi
X
X
Pasukan Tadbir Urus Laman Web/Portal Agensi
s. Adakah Tadbir Urus laman web/portal di peringkat agensi diwujudkan?
X
X
t. Adakah ketiga-tiga jawatankuasa yang diwujudkan memainkan peranan aktif
X
X
diwujudkan?
A5.1.6
dan berkesan?
PENETAPAN SUB-KRITERIA A5 PENGURUSAN ICT
BAGI JPN & PPD
A5.2 PENGURUSAN PROJEK ICT
A5.2.1
JPN
PPD
Pelaksanaan Projek ICT Utama Agensi
a.
Adakah peringkat-peringkat dalam pengurusan projek ICT dipatuhi?
X
X
b.
X
X
X
X
X
X
e.
Adakah pelaksanaan awal projek mengambil kira kekangan terhadap skop
kerja, tempoh masa, sumber kewangan dan tenaga kerja?
Adakah keperluan keselamatan dikenal pasti, dipersetujui dan
didokumenkan terlebih dahulu semasa fasa kajian keperluan projek?
Adakah perolehan perkakasan atau perisian baru disesuaikan dengan
teknologi IPV6?
Adakah penguatkuasaan perjanjian kontrak ICT dilaksanakan?
X
X
f.
Adakah kajian impak bagi projek ICT dilaksanakan?
X
X
c.
d.
PENETAPAN SUB-KRITERIA A5 PENGURUSAN ICT
BAGI JPN & PPD
A5.2 PENGURUSAN PROJEK ICT
A5.2.2
JPN
PPD
Pemantauan Pelaksanaan Projek ICT Utama AgensI
g.
Adakah projek-projek ICT yang dilaksana mendapat kelulusan JPICT agensi
ATAU yang setara dengannya?
X
X
h.
Adakah semua projek ICT yang sedang dilaksanakan, dipantau oleh JPICT
agensi atau yang setaraf dengannya?
/
/
i.
Adakah projek-projek ICT (tertakluk kepada Surat Pekeliling Am Bil. 1/2009)
mendapat kelulusan JTICT MAMPU?
X
X
j.
Untuk projek ICT yang diluluskan oleh JTICT MAMPU, adakah Laporan
Kemajuan Projek dikemukakan kepada JTICT MAMPU melalui JPICT
agensi setiap 6 bulan dari tarikh kelulusan sehingga projek selesai?
X
X
k.
Adakah projek yang diluluskan oleh JPICT agensi dilaporkan kepada JTICT
MAMPU empat (4) kali setahun?
X
X
PENETAPAN SUB-KRITERIA A5 PENGURUSAN ICT
BAGI JPN & PPD
A5.3 PEMBANGUNAN DAN PELAKSANAAN SISTEM ICT
A5.3.1
JPN
PPD
/
X
/
X
c.
Adakah laman web/portal yang dibangunkan memenuhi kesemua ciri-ciri
asas mandatori?
Adakah laman web/portal yang dibangunkan menyediakan fungsi-fungsi
berikut:
i. Berita/aktiviti/peristiwa terkini
ii. Pengumuman makluman/hebahan
iii. Keratan/kenyataan/rencana akhbar
iv. Poster/Banner
v. Tawaran tender/sebutharga/jawatan kosong
Adakah agensi melaksanakan tugas-tugas penyenggaraan laman web?
/
X
d.
Adakah agensi menyediakan perkhidmatan online?
X
X
e.
Apakah tahap penggunaan perkhidmatan online utama yang disediakan?
(Merujuk kepada trend pencapaian)
Adakah mekanisma pemantauan perkhidmatan online diwujudkan?
X
X
X
X
Adakah agensi menyediakan kemudahan aplikasi media sosial untuk
kegunaan warga organisasi dan pelanggan?
Nyatakan hasil / kedudukan yang diperoleh bagi penarafan laman web dan
portal Kementerian.
X
X
/
X
Pembangunan Laman Web/Portal
a.
b.
f.
g.
h.
PENETAPAN SUB-KRITERIA A5 PENGURUSAN ICT
BAGI JPN & PPD
A5.3 PEMBANGUNAN DAN PELAKSANAAN SISTEM ICT
A5.3.2
JPN
PPD
Adakah sistem yang dibangunkan mempunyai dokumentasi sistem yang
lengkap?
Adakah agensi menggunakan DDSA dalam pembangunan aplikasi?
X
X
X
X
Adakah prosedur untuk mengawal pemasangan perisian ke dalam sistem
yang beroperasi diwujudkan?
X
X
Pembangunan dan Pelaksanaan Sistem Aplikasi
i.
j.
k.
PENETAPAN SUB-KRITERIA A5 PENGURUSAN ICT
BAGI JPN & PPD
A5.4 PENGURUSAN DAN PENTADBIRAN INFO-STRUKTUR ICT
A5.4.1
b.
Adakah senarai aset dikemas kini setiap kali berlaku perubahan dalam
maklumat aset?
Adakah aset ICT yang dibawa keluar mendapat keizinan/kelulusan agensi
terlebih dahulu?
/
/
/
/
X
X
Kawalan Akses
c.
A5.4.3
PPD
Pengurusan Aset ICT
a.
A5.4.2
JPN
Adakah persekitaran pengkomputeran (non-fizikal) yang khusus disediakan
bagi sistem yang sensitif?
Penggunaan Internet
d.
Adakah bahan rasmi yang hendak dimuat naik ke Internet dikawal?
/
X
e.
Adakah mekanisme pemantauan diwujudkan untuk memantau aktiviti
terlarang?
X
X
PENETAPAN SUB-KRITERIA A5 PENGURUSAN ICT
BAGI JPN & PPD
A5.4 PENGURUSAN DAN PENTADBIRAN INFO-STRUKTUR ICT
A5.4.4
JPN
PPD
Penggunaan dan Pematuhan E-mel
f.
Adakah kemudahan e-mel diberikan kepada semua warga agensi?
X
X
g.
Adakah agensi melaksanakan program kesedaran, tatacara dan
pembudayaan penggunaan e-mel secara berkala?
Adakah agensi melarang perkongsian akaun e-mel?
X
X
X
X
Adakah saiz maksimum bagi e-mel beserta lampiran (attachment) yang
keluar atau masuk dihadkan pada 10MB?
Adakah Pentadbir E-mel sentiasa memantau kestabilan server (server
health) 24 x 7 dan menguji capaian kepada sistem e-mel secara berkala?
Adakah setiap akaun e-mel diberi ruang mailbox yang mencukupi (sekurangkurangnya 100MB)?
Adakah saiz mailbox yang tidak mempunyai had (unlimited) diberikan
kepada pegawai peringkat pengurusan tertinggi?
X
X
X
X
X
X
X
X
h.
i.
j.
k.
l.
PENETAPAN SUB-KRITERIA A5 PENGURUSAN ICT
BAGI JPN & PPD
A5.4 PENGURUSAN DAN PENTADBIRAN INFO-STRUKTUR ICT
A5.4.5
JPN
PPD
m. Adakah sebarang perubahan kepada kemudahan ICT dan sistem dikawal?
X
X
n.
X
X
X
X
X
X
X
X
Pengurusan Rangkaian Komunikasi dan Operasi
o.
p.
q.
Adakah agensi mengasingkan persekitaran bagi pembangunan, ujian dan
operasi?
Adakah perkhidmatan, laporan dan rekod yang dikemukakan oleh kontraktor
dipantau?
Adakah agensi memantau, memperbaiki dan membuat unjuran keperluan
kapasiti masa depan terhadap penggunaan sumber ICT?
Adakah Pentadbir Sistem ICT menyimpan jejak audit selama sekurangkurangnya dua (2) bulan di dalam server?
PENETAPAN SUB-KRITERIA A5 PENGURUSAN ICT
BAGI JPN & PPD
A5.5 PENGURUSAN KESELAMATAN ICT
A5.5.1
PPD
X
X
X
X
/
/
X
X
X
X
X
X
/
X
Keselamatan Fizikal dan Persekitaran
a.
b.
A5.5.2
JPN
Adakah peralatan ICT, utiliti sokongan, kabel elektrik dan telekomunikasi
bagi kemudahan ICT yang kritikal dilindungi?
Adakah agensi telah mewujudkan Pelan Kesinambungan Perkhidmatan bagi
Sistem ICT agensi?
Keselamatan Sumber Manusia
c.
d.
e.
f.
g.
Adakah pekerja sementara/sambilan diawasi jika kerja itu melibatkan akses
pada kemudahan pemprosesan data?
Adakah peranan dan tanggungjawab terhadap keselamatan ICT agensi
dimaklumkan kepada kontraktor/pembekal?
Adakah agensi menguruskan kawalan akses terhadap perubahan
kontraktor/pembekal (berhenti/tamat kontrak)?
Adakah pihak kontraktor/pembekal atau pihak ketiga yang mengendalikan
maklumat menandatangani perjanjian Non Disclosure Agreement (NDA)?
Adakah kontraktor/pembekal diawasi jika kerja itu melibatkan akses pada
kemudahan pemprosesan data?
PENETAPAN SUB-KRITERIA A5 PENGURUSAN ICT
BAGI JPN & PPD
A5.5 PENGURUSAN KESELAMATAN ICT
A5.5.2
PPD
/
/
X
X
X
X
X
X
X
X
Keselamatan Sumber Manusia
h.
A5.5.3
JPN
Adakah semua aset ICT dikembalikan mengikut peraturan dan/atau terma
perkhidmatan yang ditetapkan bagi personel bertukar/berhenti/bersara?
Keselamatan Maklumat
i.
j.
k.
l.
Adakah agensi melaksanakan penilaian risiko sekurang-kurangnya sekali
setahun atau apabila terdapat perubahan?
Adakah agensi mengemukakan maklum balas hasil penilaian risiko
keselamatan maklumat kepada MAMPU?
Adakah agensi mengambil tindakan susulan atau langkah-langkah untuk
mengurang atau mengawal risiko maklumat berdasarkan kepada penemuan
penilaian risiko?
Adakah agensi melaksanakan pensijilan MS ISO 27001 ISMS?
PENETAPAN SUB-KRITERIA A5 PENGURUSAN ICT
BAGI JPN & PPD
A5.5 PENGURUSAN KESELAMATAN ICT
A5.5.4
JPN
PPD
m. Adakah agensi telah melaksanakan penilaian SPA?
X
X
n.
Adakah agensi melaksanakan penilaian SPA sekurang-kurangnya sekali
setahun?
Adakah agensi mengesan kelemahan sistem ICT melalui SPA?
X
X
X
X
Adakah agensi melaksanakan tindakan pengukuhan selepas pelaksanaan
SPA?
Adakah agensi memantau keberkesanan kawalan pengukuhan selepas
tindakan pengukuhan diambil?
X
X
X
X
Penilaian Tahap Keselamatan Rangkaian dan Sistem ICT
(Security Posture Assessment - SPA)
o.
p.
q.
PENETAPAN SUB-KRITERIA A5 PENGURUSAN ICT
BAGI JPN & PPD
A5.5 PENGURUSAN KESELAMATAN ICT
A5.5.5
JPN
PPD
/
/
X
X
X
X
/
/
Pengurusan Insiden Keselamatan ICT
r.
s.
t.
u.
Adakah insiden keselamatan ICT yang berlaku di agensi dilaporkan kepada
GCERT MAMPU?
Adakah pasukan pengendali insiden (CERT) agensi ditubuhkan atau agensi
menjadi ahli kepada CERT yang berkaitan?
Adakah CERT Agensi / Pentadbir Sistem ICT mengurus dan menangani
insiden yang berlaku dengan segera dan sistematik sehingga keadaan
kembali pulih?
Adakah panduan tindakan pengukuhan keselamatan ICT yang telah
dikeluarkan oleh GCERT MAMPU dilaksanakan?
PENETAPAN SUB-KRITERIA A5 PENGURUSAN ICT
BAGI JPN & PPD
A5.5 PENGURUSAN KESELAMATAN ICT
A5.5.6
PPD
X
X
X
X
X
X
Tindakan Pengukuhan Keselamatan ICT
(Kriteria hanya untuk 176 agensi di bawah PRISMA)
v.
w.
x.
A5.5.7
JPN
Adakah agensi mengambil tindakan pengukuhan sebagaimana yang
dicadangkan oleh PRISMA?
Adakah agensi memaklumkan sebarang perubahan maklumat yang
merangkumi perubahan personel, perubahan kepada infrastruktur atau aset
dan tindakan yang boleh menjejaskan operasi PRISMA dalam tempoh 1 hari
secara bertulis kepada MAMPU?
Adakah agensi melaporkan mengenai kerosakan atau kegagalan peralatan
PRISMA dalam tempoh 1 hari?
Tindakan Pengukuhan Keselamatan ICT
(Kriteria hanya untuk agensi yang tidak di bawah PRISMA)
y.
Adakah agensi melaksanakan pemantauan keselamatan rangkaian ICT?
X
X
z.
Adakah agensi mengambil tindakan pengukuhan apabila mengesan
sebarang ancaman daripada pemantauan diatas?
/
/