Bab 8 Sekuriti/Keselamatan Teknologi Maklumat

Slides:



Advertisements
Presentasi serupa
E4161 : SISTEM KOMPUTER & APLIKASI
Advertisements

JTW101 Pengantar Pengurusan
SEKSYEN KONTRAK & PEROLEHAN SEBUTHARGA & TENDER
PENGENALAN KEPADA PENGURUSAN PROJEK
Pentaksiran Pusat PENTAKSIRAN BERASASKAN SEKOLAH (PBS)
PERANAN PEGAWAI ASET Bahagian Perolehan dan Pengurusan Aset
PENTAKSIRAN LISAN BERASASKAN SEKOLAH (PLBS)
STRATEGI2 PENINGKATAN KUALITI DLM PERKHIDMATAN AWAM
Perancangan Sumber Kewangan Sukan
Isu semasa penggunaan ICT
ETIKA PENGGUNAAN INTERNET
UNIT 5: KOMPUTER DALAM KEUSAHAWANAN
FAIL KUASA PUSAT SUMBER SEKOLAH
Komunikasi: Alat Pengurusan Krisis
SISTEM FAIL DAN DOKUMENTASI.
Seminar Perkhidmatan Maklumat
Dimensi Kepekaan Masa … merujuk kepada kepekaan subjektif terhadap perjalanan masa. Kepekaan berbeza antara individu Penting – kerana masa boleh dijadikan.
PENGURUSAN SISTEM PENGENDALIAN
BAB 5 FASA PEMBANGUNAN & IMPLEMENTASI Objektif:
PENGURUSAN KEHILANGAN ASET ALIH KERAJAAN
Selamat Sejahtera Pusat Sumber.
ETIKA PENGGUNAAN INTERNET
Kurikulum : Pengurusan JKS & Panitia Mata Pelajaran
Bab 8 Sekuriti/Keselamatan Teknologi Maklumat
Komunikasi: Alat Pengurusan Krisis
1 PENGENALAN KEPADA KOMUNIKASI DATA.
MODUL 2 PENGURUSAN STOK.
UNIT 1 PENGENALAN KEPADA PEMBANGUNAN SUMBER MANUSIA
EN ABDUL SU’IB BIN MD. SEKAK, Pegawai FasiLINUS (Literasi), PPD Muar.
Bab 3: Pengurusan PenyepaduanProjek
Bab 3: Pengurusan PenyepaduanProjek
KAEDAH MENGENDALIKAN MESYUARAT
Oleh Aznur Umiza Abu Kassim Pustakawan
PERANCANGAN & PENGURUSAN PROJEK
STRATEGI2 PENINGKATAN KUALITI DLM PERKHIDMATAN AWAM
KONSEP DAN SISTEM KAWALAN
Bab 4 Rekabentuk Pusat Teknologi Maklukmat
UNIT 8 PERHUBUNGAN KEMASYARAKATAN.
Pengurusan Krisis Organisasi AUDIT KRISIS
Komunikasi: Alat Pengurusan Krisis
PENGENDALIAN STOR DAN STOK
UNIT 1 PENGENALAN KEPADA PEMBANGUNAN SUMBER MANUSIA
Isu semasa penggunaan ICT
Pengurusan Krisis Organisasi AUDIT KRISIS
Bil. Kriteria 1. Pengurusan 1.1 Pengurusan Organisasi
STRUKTUR ASAS DAN CIRI-CIRI SISTEM PENGOPERASIAN
1 PENGENALAN KEPADA KOMUNIKASI DATA.
KITAR HAYAT PEMBANGUNAN PENGUJIAN PENYELENGGARAAN
Etika Penggunaan Internet
PENAKSIRAN PEMBELAJARAN
ANALISIS MASALAH PENGURUSAN DALAM MASYARAKAT PSP 3101
PENTAKSIRAN LISAN BERASASKAN SEKOLAH (PLBS)
Sumber PENGURUSAN PERHUBUNGAN AWAM
PANDUAN PELAKSANAAN SISTEM PEMULIHAN PERKHIDMATAN
Pengurusan Krisis Organisasi AUDIT KRISIS
FAIL MEJA.
Disediakan, Siti Norul Huda Sheikh Abdullah
Isu semasa penggunaan ICT
BAB 4(b) PERANCANGAN MELALUI OBJEKTIF
1 PENGENALAN KEPADA KOMUNIKASI DATA.
BENGKEL PENGURUSAN RISIKO
1 PENGENALAN KEPADA KOMUNIKASI DATA.
Penilaian Analisis Polisi.
Penyelaras Pengurusan Risiko UiTM Cawangan Terengganu
Bab 8 Sekuriti/Keselamatan Teknologi Maklumat
GARIS PANDUAN MENGENAI TATACARA PENGGUNAAN INTERNET DAN MEL ELEKTRONIK
STRATEGI2 PENINGKATAN KUALITI DLM PERKHIDMATAN AWAM
Isu semasa penggunaan ICT
Penerangan Unit Unit 4 - Unit 8 [Nota Tambahan].
Transcript presentasi:

Bab 8 Sekuriti/Keselamatan Teknologi Maklumat Puan Siti Norul Huda Sheikh Abdullah Prof Dr. Abdul Razak Hamdan Amna Abdul Rahman

Sekuriti strategik: Takrifan: proses yang direkabentuk untuk melindungi kesediaan(availibility), integriti dan kerahsiaan(confidentiality) data dan program daripada capaian, perubahan dan penghancuran / penghapusan tak dibenarkan.

Proses sekuriti strategik langkah 1 Kenalpasti penaja eksekutif Memberikan halatuju pengurusan, Memilih pemilik proses sekuriti Menyokong program sekuriti strategik

Proses sekuriti strategik langkah 2 Pilih pemilik proses Pemilik mengurus aktiviti harian sekuriti. Membentuk pasukan merentas fungsian. Membentuk, melaksana pelan polisi sekuriti bersama ahli pasukan. Seorang yang berpengetahuan tinggi dalam pengetahuan aplikasi, perisian dan komponennya, perisian rangkaian dan komponennya, menganalisis metrik.

Proses sekuriti strategik langkah 3 Menakrifkan matlamat/gol sekuriti strategik(SS) Takrifkan dan tentukan keutamaan matlamat tertentu SS 3 ciri yg penting: kesediaan (availibility), integriti dan kerahsiaan

Proses sekuriti strategik langkah 4 lantik/tubuhkan lembaga kajian semula (review board) penilaian tentang polisi, hala tuju dan matlamat SS dalam organisasi: dilakukan lembaga yang terdiri drpd semua pengawai utama IT dan beberapa unit bisnes lain. Menilai kesauran teknikal polisi sekuriti: menentukan piawai dan tatacara yang boleh dilaksana (enforceable): dijalankan oleh lembaga kedua yg terdiri drpd pegawai IT kanan dan pakar berkaitan.

Proses sekuriti strategik langkah 5 Kenalpasti, kategorikan dan utamakan keperluan Ahli yang terlibat: wakil kedua-dua lembaga(dlm langkah 4) dan pakar bidang Kenalpasti keperluan sekuriti, kategorikan menurut bidang utama sekuriti dan seterusnya setkan keutamaan.

…langkah 5…Contohnya: Bidang pelayan/pelanggan: isu sekuriti – antivirus, perisian PC, e-mel Rangkaian/internet: tembok api/firewall, pengesan pencerobohan/instrusion, capaian jauh, penyulitan(encryption) Pusat data: capaian fizikal, pangkalan data, perisian aplikasi, OS Polisi sekuriti: cadangan eksekutif, penilaian teknikal, kelulusan dan perlaksanaan, sebaran dan kuatkuasa(enforcement)

Proses sekuriti strategik langkah 6 Inventori keadaan semasa sekuriti Melihat sama ada butiran/item sekuriti telah ada/wujud, perlu beli, ataupun perlu dibangunkan. Contohnya Polisi sekuriti: telah diluluskan, telah diubahsuai, telah dikuatkuasa Polisi sekuriti; telah diluluskan tapi boleh dikuatkuasa Tembok api: diluluskan tapi belum beli Metrik sekuriti semasa: bilangan virus yang menyerang, kekerapan pertukaran kata laluan, …

Proses sekuriti strategik langkah 7 Tubuhkan organisasi sekuriti Berasaskan langkah 4(input lembaga kajian semula), senarai keperluan, inventori sekuriti Bentuk suatu organisasi sekuriti (diketui pengurus sekuriti) Lokasi, tanggungjawab dan kuasa organisasi ini ditentukan oleh lembaga kajian semula dan unit yang berkaitan/bersesuaian

Proses sekuriti strategik langkah 8 Bangunkan polisi sekuriti Dibangunkan berasaskan inventori sekuriti semasa, tinggalkan polisi lapuk/tak berkesan, ubahsuai polisi yang berkaitan, bangunkan polisi baru yang perlu. Contohnya penggunaan internet;

Proses sekuriti strategik langkah 9 Himpun pasukan perancangan Untuk membangunkan pelan pelaksanaan polisi baru, tatacara baru, initiatif baru,…baru (yang dicadang oleh lembaga kajian semula) Keahlian juga merentas fungsian

Proses sekuriti strategik langkah 9 Kaji semula dan lulus pelan/perancangan Ekesekutif sekuriti akan mengkaji semula pelan pelaksanaan berdasarkan polisi, belanjawan, skedul dan keutamaan

Proses sekuriti strategik langkah 10 Nilai kesauran teknikal pelan Menilai semula kesauran teknikal dan kepatuhan kepada piawai Dijalankan oleh lembaga kajian semula teknikal sekuriti

Proses sekuriti strategik langkah 11 Umpuk, skedul dan jalankan pelaksanaan pelan Umpukan tugas/tanggung jawab kepada individu/pasukan untuk mereka mengskedul dan menjalankan pelaksanaan pelan.      

Pemulihan bencana (disaster recovery) Takrifan: suatu metodologi untuk memastikan operasi kritikal bisnes berterusan(tanpa gangguan/tanpa hentian) apabila berlaku bencana kepada persekitaran prasarana.

Langkah pembangunan proses pemulihan bencana yang berkesan 1. Peroleh sokongan eksekutif Perlu penaja eksekutif Pilih pemilik proses

Langkah pembangunan proses pemulihan bencana yang berkesan…samb 2. Lantik/pilih pemilik proses Mengetuai pasukan merentas fungsian Menyediakan impak/kesan kepada bisnes (analisis impak); kenalpasti, dan setkan keutamaan keperluan, membangunkan strategi kesinambungan bisnes, memilih pembekal khidmat luaran, dan menguji keutuhan proses.

Langkah pembangunan proses pemulihan bencana yang berkesan…samb 3. Diharapkan memiliki ciri yang baik dalam Kebolehan menilai dokumen Berkomunikasi berkesan dgn eksekutif IT Pengetahuan perisian rangkaian dan komponen Pengetahuan sistem sandaran Kebolehan berfikir dan merancang secara strategik

Langkah pembangunan proses pemulihan bencana yang berkesan…samb 4. Himpunkan pasukan merentas fungsian Ahli/staf dari jabatan/unit operasi komputer, pembangunan aplikasi, pengguna/pelanggan utama, kemudahan/fasiliti, sekuriti data, sekuriti fizikal, operasi rangkaian, pentadbir pelayan dan sistem; dan pentabdir PD Pasukan akan menentukan keperluan, menjalankan analisis impak bisnes, memilih pembekal luar, merekabentuk proses pemulihan, mengenalpasti pasukan pemulihan, menjalankan ujian proses pemulihan dan mendokumenkan pelan.

Langkah pembangunan proses pemulihan bencana yang berkesan…samb 5. Jalankan analisis impak bisnes: Ambil kira (inventori) semua proses bisnes kritikal serta tentukan keutamaan. Ajak pengguna IT utama untuk memastikan semua proses bisnes kritikal telah di ambil kira Tentukan tempoh dan keutamaan proses yang hendak dipulihkan, contohnya: Keutamaan A: dlm tempoh 24 jam Keutamaan B; dlm tempoh 72 jam Keutamaan C: >72 jam

Langkah pembangunan proses pemulihan bencana yang berkesan…samb 5. Kenalpasti dan tentukan keutamaan keperluan Tugas utama pasukan ialah untuk mengenalpasti keperluan untuk proses, seperti keperluan bisnes, teknikal dan logistik Keperluan bisnes: spt menentukan proses pengisytiharan bencana (kritikal, bila patut isytihar,..), apa yang perlu di pulihkan, tempoh pemulihan Keperluan teknikal: spt pelantar/platform peranti pemulihan untuk pelayan, cakera, PC, dll; lebar jalur rangkaian/komunikasi

Langkah pembangunan proses pemulihan bencana yang berkesan…samb 6. Taksir kemungkinan strategi kesinambungan bisnes Pasukan mencadang dan menaksir strategi kesinambungan bisnes alternatif berasaskan analisis impak bisnes senarai keutamaan keperluan contoh alternatif tapak jauh dalam syarikat tapak panas(hot sites) yang disediakan oleh pembekal luar

Langkah pembangunan proses pemulihan bencana yang berkesan…samb 7. Bangun RFP untuk pembekal luar Sediakan RFP untuk pembekal luar menyediakan perkhidmatan pemulihan bencana Pilihan dalam RFP termasuk Kos berbilang tahun Jaminan masa minimum untuk beroperasi Kos pengujian Kesediaan untuk rangkaian setempat Jenis sokongan tapak yang disediakan

Langkah pembangunan proses pemulihan bencana yang berkesan…samb 8. Nilai cadangan dan pilih tawaran terbaik kriteria penilaian ditentukan oleh pasukan

Langkah pembangunan proses pemulihan bencana yang berkesan…samb 9. Pilih ahli dan jelaskan peranan mereka dalam pasukan pemulihan pasukan merentas fungsi akan memilih individu yang akan membentuk pasukan pemulihan bila diisytihar bencana. Ahli pasukan pemulihan spt pasukan merentas fungsi tetapi mesti tidak sama (ahli yang sama).{lihat langkah 3} wakil pembekal khidmat luaran pelanggan utama menurut keutamaan analisis impak bisnes penaja eksekutif setiap peranan dan tanggung jawab individu hendaklah jelas ditakrifkan, didokumentasi dan dimaklumkan.

Langkah pembangunan proses pemulihan bencana yang berkesan…samb 10. Dokumenkan pelan pemulihan bencana pasukan merentas fungsian mendokumenkan pelan pemulihan bencana untuk kegunaan pasukan pemulihan seterusnya pasukan pemulihan akan bertanggung jawab untuk memastikan/menyenggara ketepatan(accuracy) kebolehcapaian(accesibility) agihan/edaran pelan dokumen mesti mengandungi gambar rajah konfigurasi terkini perkakasan, perisian, rangkaian yg terlibat dalam pemulihan

Langkah pembangunan proses pemulihan bencana yang berkesan…samb 11. Pelan dan rancang pengujian pelan secara teratur sekurang-kurang 1X setahun pengujian pelan pemulihan (biasanya bertaraf dunia 2X setahun) semasa pengujian, rekod senarai semak dan tempoh tugas dijalankan untuk dibandingkan dengan pelan sebenar sebagai permulaan, pengujian dijalankan secara beransur-ansur. Misalan bermula dgn beberapa k/t, lakukan muat semula program & data, ujian pemprosesan dan cetakan, ujian keterkaitan rangkaian, dan akhirnya ujian keterkaitan rangkaian keseluruhan dan muatan komputer dan kefungsian sepenuhnya. Rancang ujian dengan hebahan yang sepenuhnya (spt fire drill). Kemudian sebenarnya dgn hanya 2 atau 3 orang shj mengetahuinya

Langkah pembangunan proses pemulihan bencana yang berkesan…samb 12. Jalankan post-mortem selepas ujian untuk mengkaji keberkesanan ujian dan langkah yang boleh ditingkatkan

Langkah pembangunan proses pemulihan bencana yang berkesan…samb Senggara, kemaskini dan tingkatkan pelan secara berterusan perlu dijalankan secara berterusan kerana persekitaran baru, perkakasan baru, perisian baru, pangkalan data baru dan lain-lain yang baru dan telah berubah pertukaran k/t memerlukan latihan, dokumentasi, ujian dan juga belanjawan

Contoh “mimpi ngeri” semasa pemulihan bencana Pengendalian Pita sandaran Pita tiada data Proses muat semula tidak pernah diuji dan didapati tidak berfungsi Pita disalah label Pita tidak dijumpai Yuran penyenggaran tidak dibayar menyebabkan tidak boleh menggunakan prasarana sandaran Tatacara bila berlaku bencana tidak dihebahkan: tidak tahu nak panggil siapa jika berlaku bencana Maklumat rahsia (classified) yang dikendalikan oleh k/t yg tidak dibenarkan (unclassified) Pertukaran bekas simpanan: dari segi bentuk dan warna