SOKONGAN

Halaman: 1/10

PUSAT PEMBANGUNAN MAKLUMAT & KOMUNIKASI Kod Dokumen: UPM/ISMS/SOK/GP02/RISK ASSESSMENT GARIS PANDUAN PENILAIAN RISIKO ASET

1.0

No. Semakan: 04 No. Isu: 01 Tarikh: 05/06/2015

TUJUAN Garis panduan ini disediakan untuk menilai tahap risiko aset ICT supaya pendekatan dan keputusan yang paling berkesan dikenal pasti bagi menyediakan pelindungan dan kawalan ke atas aset ICT UPM.

2.0

SKOP Garis panduan ini merangkumi metodologi Penilaian Risiko Terperinci (Malaysian Public Sector ICT Risk Assessment Methodology, MyRAM) berpandukan kepada Surat Pekeliling Am Bilangan 6 Tahun 2005: Garis Panduan Penilaian Risiko Keselamatan Maklumat Sektor Awam.

3.0

DOKUMEN RUJUKAN Kod Dokumen -

ISO/IEC 27001:2013

ISO/IEC 27005:2008

-

Tajuk Dokumen Surat Pekeliling Am Bilangan 6 Tahun 2005: Garis Panduan Penilaian Risiko Keselamatan Maklumat Sektor Awam

Information Technology – Security Techniques – Information Security Management Systems – Requirements Risk Assessment Guidelines for Information Security Management Arahan Keselamatan Kerajaan Malaysia The Malaysian Public Sector Information Security Risk Assessment Methodology (MyRAM)

SOKONGAN PUSAT PEMBANGUNAN MAKLUMAT & KOMUNIKASI Kod Dokumen: UPM/ISMS/SOK/GP02/RISK ASSESSMENT GARIS PANDUAN PENILAIAN RISIKO ASET

4.0

Halaman: 2/10 No. Semakan: 04 No. Isu: 01 Tarikh: 05/06/2015

DEFINISI Bagi tujuan proses penilaian risiko ini, glosari yang disenaraikan dalam Surat Pekeliling Am No. 5/2006: Garis Panduan Penilaian Risiko Keselamatan Maklumat Sektor Awam dan ISO/IEC 27001:2013 digunapakai. Bil.

Terma

Deskripsi

1

Aset

Sesuatu yang bernilai yang boleh menyebabkan kerugian sekiranya hilang atau berubah. Berdasarkan MyRAM asetaset tergolong kepada data/maklumat, perkhidmatan, perisian, perkakasan dan manusia. Sila rujuk seksyen 8, Deskripsi Langkah-Langkah Penilaian Risiko: Pengenalpastian Aset (Step S3) untuk maklumat lanjut.

2

Aset Yang Bergantung Kepada

Subjek yang dinyatakan ketika kejadian sesuatu peristiwa. Bermakna aset lain diperlukan untuknya berfungsi. Sila rujuk seksyen 8, Deskripsi Langkah-Langkah Penilaian Risiko: Penilaian Aset-aset Dan Penentuan Kebergantungan Antara Aset-aset (Step S4) untuk maklumat lanjut.

3

Pentadbir Proses (Owner)

Pentadbir Proses juga sebagai Pemilik Risiko yang bertanggungjawab terhadap risiko untuk sesuatu aset atau proses.

4

Pentadbir Sistem (Custodian)

Kakitangan Teknikal ICT yang memelihara keselamatan, menyelenggara, atau mengawal sesuatu aset.

5

Risiko

Secara umum ia adalah kemungkinan berhadapan dengan bahaya atau menyebabkan mudarat atau kerugian, terutamanya dari kurang penjagaan yang sesuai

6

Penilaian Risiko

Penilaian bagi kemungkinan-kemungkinan bahaya atau mudarat atau kerugian/kehilangan aset ICT.

7

Ancaman

Mengenalpasti potensi sebarang kejadian atau perbuatan yang boleh menyebabkan satu atau lebih daripada perkara berikut berlaku: pendedahan yang tidak diluluskan, kemusnahan, penyingkiran, pengubahsuaian atau gangguan maklumat sensitif atau kritikal, aset-aset atau perkhidmatan.

SOKONGAN PUSAT PEMBANGUNAN MAKLUMAT & KOMUNIKASI Kod Dokumen: UPM/ISMS/SOK/GP02/RISK ASSESSMENT GARIS PANDUAN PENILAIAN RISIKO ASET

Halaman: 3/10 No. Semakan: 04 No. Isu: 01 Tarikh: 05/06/2015

Sesuatu ancaman boleh berlaku dengan semula jadi, sengaja atau tidak sengaja. 8

5.0

Kelemahan

Sifat mana-mana aset yang boleh meningkatkan kebarangkalian berlakunya ancaman dan menyebabkan mudarat dalam soal kerahsiaan, ketersediaan atau kesahihan yang mungkin boleh meningkatkan kesan-kesan kejadian ancaman jika berlaku menjadi bertambah teruk.

METODOLOGI PENILAIAN RISIKO ASET ICT Semua agensi Kerajaan tertakluk untuk melaksanakan penilaian risiko aset ICT berasaskan metodologi Penilaian Risiko Terperinci MyRAM (Malaysian Public Sector ICT Risk Assessment Methodology) berpandukan kepada Surat Pekeliling Am Bilangan 6 Tahun 2005: Garis Panduan Penilaian Risiko Keselamatan Maklumat Sektor Awam.

Sepuluh (11) langkah utama dalam MyRAM adalah seperti berikut: 1.

Menubuhkan pasukan penilaian risiko

2.

Menetapkan sempadan aset

3.

Mengenal pasti Aset

4.

Mengenal pasti Pentadbir Proses dan Pentadbir Sistem;

5.

Menilai Aset

6.

Menilai Ancaman

7.

Menilai Kelemahan

8.

Mengenal pasti Kawalan

9.

Menganalisa Impak

10.

Menganalisa Kemungkinan

11.

Pengiraan Risiko

SOKONGAN PUSAT PEMBANGUNAN MAKLUMAT & KOMUNIKASI Kod Dokumen: UPM/ISMS/SOK/GP02/RISK ASSESSMENT GARIS PANDUAN PENILAIAN RISIKO ASET

Halaman: 4/10 No. Semakan: 04 No. Isu: 01 Tarikh: 05/06/2015

Agensi hendaklah melaksanakan penilaian risiko berasaskan 10 langkah utama seperti di atas. Setiap langkah MyRAM saling bergantungan dengan menghasilkan satu atau lebih dokumen yang merupakan input kepada satu atau lebih langkah utama MyRAM.

Sebarang pengemaskinian terhadap maklumat aset di dalam sistem MyRAM dilaksanakan apabila berlaku perubahan atau penambahan aset di dalam skop ISMS yang terlibat.

4.1

MENUBUHKAN PASUKAN PENILAIAN RISIKO Pasukan ini dilantik oleh pengurusan terdiri daripada pemilik sistem, penjaga sistem dan individu yang terlibat dalam khidmat sokongan bagi memastikan sistem yang terlibat dengan skop berfungsi. Pasukan ini akan mengumpul dan menganalisis maklumat serta mengeluarkan laporan akhir penilaian risiko aset ICT. Struktur organisasi pasukan adalah seperti berikut; I. Penasihat Projek

II. Pengurus Projek

III. Ketua

IV. Ahli Pasukan

Rajah 1: Struktur organisasi Pasukan Risk Assessment

SOKONGAN PUSAT PEMBANGUNAN MAKLUMAT & KOMUNIKASI Kod Dokumen: UPM/ISMS/SOK/GP02/RISK ASSESSMENT GARIS PANDUAN PENILAIAN RISIKO ASET

Halaman: 5/10 No. Semakan: 04 No. Isu: 01 Tarikh: 05/06/2015

Peranan dan tanggungjawab untuk pasukan RA adalah seperti berikut: I.

Penasihat Projek a) Memberi nasihat pakar untuk aktiviti penilaian risiko.

II.

Pengurus Projek a) Mengurus aktiviti penilaian risiko; b) Memastikan projek siap tepat pada masanya; c) Mengendalikan semakan semula ouput dan dokumen sebelum disampaikan kepada Penasihat Projek.

III.

Ketua Pasukan a) Sentiasa memastikan skop kerja; b) Menilai keputusan, menilai jurang dan memberi maklum balas; c) Menjalankan semua tugas yang ditakrifkan di bawah setiap langkah penilaian risiko.

IV.

Ahli Pasukan a) Melaksanakan segala tugas-tugas yang ditakrifkan di bawah setiap langkah penilaian risiko.

4.2

MENETAPKAN SEMPADAN ASET Penilaian risiko hanya dilaksanakan terhadap aset yang terlibat di dalam skop yang telah ditetapkan sahaja.

SOKONGAN PUSAT PEMBANGUNAN MAKLUMAT & KOMUNIKASI Kod Dokumen: UPM/ISMS/SOK/GP02/RISK ASSESSMENT GARIS PANDUAN PENILAIAN RISIKO ASET

4.3

Halaman: 6/10 No. Semakan: 04 No. Isu: 01 Tarikh: 05/06/2015

MENGENALPASTI ASET Semua aset yang terlibat di dalam skop dikenalpasti dan diklasifikasikan seperti berikut: I.

Perkakasan (Hardware) Semua aset yang digunakan untuk menyokong pemprosesan maklumat dan kemudahan storan. Contoh komputer, pelayan, peralatan komunikasi dan sebagainya;

II.

Perisian (Software) Program, prosedur atau peraturan yang ditulis dan dokumentasi yang berkaitan dengan sistem pengoperasian komputer yang disimpan di dalam sistem ICT.

III.

Perkhidmatan (Services Supporting/Accessibility) Perkhidmatan atau sistem yang menyokong aset lain untuk melaksanakan fungsifungsinya. Contoh: a. Perkhidmatan rangkaian seperti LAN, WAN dan lain-lain b. Sistem kawalan akses seperti sistem kad akses c. Perkhidmatan sokongan seperti kemudahan elektrik, penghawa dingin, sistem pencegah kebakaran dan lain-lain; dan d. Lokasi fizikal yang menempatkan aset ICT

IV.

Data/Maklumat (Data & Information) Koleksi fakta dalam bentuk kertas atau mesej elektronik, yang mengandungi maklumat untuk digunakan bagi mencapai misi dan objektif UPM. Contohnya prosedur operasi, rekod, pangkalan data,fail data dan lain-lain;

SOKONGAN PUSAT PEMBANGUNAN MAKLUMAT & KOMUNIKASI Kod Dokumen: UPM/ISMS/SOK/GP02/RISK ASSESSMENT GARIS PANDUAN PENILAIAN RISIKO ASET

V.

Halaman: 7/10 No. Semakan: 04 No. Isu: 01 Tarikh: 05/06/2015

Personel (People) Individu yang mempunyai pengetahuan dan kemahiran untuk melaksanakan skop kerja harian bagi mencapai misi dan objektif agensi. Individu berkenaan merupakan aset berpolisikan kepada tugas dan fungsi yang dilaksanakan.

4.4

MENILAI ASET Aset dinilai samada rendah(L), sederhana(M) atau tinggi(H) berdasarkan ciri utama keselamatan seperti berikut: i. Kerahsiaan (Confidentiality) Maklumat tidak boleh didedahkan sewenang-wenangnya atau dibiarkan diakses tanpa kebenaran;

ii. Integriti (Integrity) Data dan maklumat hendaklah tepat, lengkap dan kemas kini. Ia hanya boleh diubah dengan cara yang dibenarkan; dan

iii. Ketersediaan (Availability) Data dan maklumat hendaklah boleh diakses pada bila-bila masa.

4.5

MENILAI ANCAMAN Dalam langkah ini, ancaman profil generik telah disediakan oleh MYRAM sebelum semua ancaman yang relevan kepada aset dikenalpasti.

4.6

MENILAI KELEMAHAN Potensi atau punca kelemahan berdasarkan ancaman dikenalpasti.

SOKONGAN

Halaman: 8/10

PUSAT PEMBANGUNAN MAKLUMAT & KOMUNIKASI Kod Dokumen: UPM/ISMS/SOK/GP02/RISK ASSESSMENT GARIS PANDUAN PENILAIAN RISIKO ASET

4.7

No. Semakan: 04 No. Isu: 01 Tarikh: 05/06/2015

MENGENALPASTI KAWALAN Kawalan yang telah dilaksanakan dan kawalan dirancang yang melindungi aset dikaji semula dan dibincangkan oleh ahli pasukan.

4.8

MENGANALISA IMPAK Tahap impak kepada aset ditentukan. Tahap Impak dijana secara automatik daripada kemungkinan kerugian kepada aset yang ditentukan samada rendah(L), sederhana(M) atau tinggi(H).

BUSINESS LOSS

NILAI ASET LOW

MEDIUM

HIGH

LOW

L

L

M

MEDIUM

L

M

H

HIGH

M

H

H

Jadual 1 : Matrik Tahap Impak

4.9

MENGANALISA KEMUNGKINAN Kebarangkalian ancaman dan kelemahan yang mungkin berlaku ditentukan. Ancaman dan kelemahan yang dikenalpasti direkodkan dan hasilnya akan digunakan dalam langkah pengiraan risiko. Kemungkinan juga ditentukan samada rendah(L), sederhana(M) atau tinggi(H)

SOKONGAN

Halaman: 9/10

PUSAT PEMBANGUNAN MAKLUMAT & KOMUNIKASI Kod Dokumen: UPM/ISMS/SOK/GP02/RISK ASSESSMENT GARIS PANDUAN PENILAIAN RISIKO ASET

No. Semakan: 04 No. Isu: 01 Tarikh: 05/06/2015

4.10 PENGIRAAN RISIKO Tahap risiko bagi setiap aset dikira dan matriks risiko dibina selepas risiko telah dikira. Tahap Risiko = f(Impak,Kemungkinan) IMPACT

LIKELIHOOD LOW

MEDIUM

HIGH

LOW

L

L

M

MEDIUM

L

M

H

HIGH

M

H

H

Jadual 2 : Matrik Tahap Risiko

5.0

CADANGAN PERINGKAT TINGGI Keputusan bagaimana untuk mengendalikan risiko dan atribut yang perlu dipertimbangkan sebelum membuat keputusan dianalisis dan ditentukan. Cadangan peringkat tinggi akan dibentangkan oleh pasukan penilaian risiko kepada pihak pengurusan dalam laporan yang dijana oleh MYRAM.

5.1 KEPUTUSAN MENGENAI PILIHAN Pada "Keputusan Pilihan", pasukan Risk Assessment akan mencadangkan kepada pihak pengurusan sama ada untuk menerima, mengurangkan, memindahkan, atau mengelakkan tahap risiko ancaman tertentu yang wujud di dalam aset tertentu. Penerangan bagi setiap pilihan keputusan adalah seperti berikut:

SOKONGAN

Halaman: 10/10

PUSAT PEMBANGUNAN MAKLUMAT & KOMUNIKASI Kod Dokumen: UPM/ISMS/SOK/GP02/RISK ASSESSMENT

No. Semakan: 04

GARIS PANDUAN PENILAIAN RISIKO ASET

i.

No. Isu: 01 Tarikh: 05/06/2015

Mengurangkan Keputusan ini ditentukan jika implikasi terhadap risiko adalah kritikal samada HIGH atau MEDIUM. Pengurangan risiko dapat dilaksanakan melalui penambahbaikan dari segi operasi, prosedur, fizikal, individu atau teknikal.

ii.

Memindahkan Keputusan ini ditentukan jika implikasi terhadap risiko tersebut boleh dipindahkan dengan mewujudkan perjanjian perkhidmatan (SLA) antara kedua pihak.

iii.

Menerima Keputusan ini ditentukan jika implikasi terhadap risiko adalah LOW.

iv.

Mengelakkan Keputusan ini ditentukan kerana tiada kawalan yang dapat ditentukan samada untuk mengurangkan atau memindahkan risiko kepada pihak ketiga.