SOKONGAN PUSAT PEMBANGUNAN MAKLUMAT & KOMUNIKASI Kod Dokumen: UPM/ISMS/SOK/GP02/RISK ASSESSMENT

Similar documents
DASAR PENGGUNAAN TURNITIN

` OPERASI PERKHIDMATAN SOKONGAN FAKULTI PERUBATAN VETERINAR

DOKUMEN TIDAK TERKAWAL

UNIVERSITI SAINS MALAYSIA. Peperiksaan Semester Pertama. Sidang Akademik 1998/99. Ogos/September HGT Kaedah Kuantitatif Dalam Geografi

OPERASI PERKHIDMATAN SOKONGAN FAKULTI PERUBATAN VETERINAR. Kod Dokumen: UPM/OPR/FPV/AK09. ARAHAN KERJA PENGURUSAN KES SURGERI Tarikh: 11/03/2016

STRAY CATS MANAGEMENT IN UNIVERSITI TEKNOLOGI MALAYSIA YONG PEI CHEI UNIVERSITI TEKNOLOGI MALAYSIA

OPERASI PERKHIDMATAN SOKONGAN FAKULTI PERUBATAN VETERINAR. Kod Dokumen: UPM/OPR/FPV/AK10 ARAHAN KERJA PENGURUSAN PERKHIDMATAN ANESTESIA

DOKUMEN TIDAK TERKAWAL

Kandungan. 1. Pengenalan 2. Definisi & Tanggungjawab majikan 3. Definisi &Tanggungjawab pekerja 4. Jawatankuasa Keselamatan dan Kesihatan Pekerjaan

PEJABAT NAIB CANSELOR Kod Dokumen: UPM/OPR/PNC-BPK/P004 PROSEDUR SWA AKREDITASI PENUH PROGRAM PENGAJIAN. Log KelulusanKurikulumdanAkreditasi Program

Information Security Management System ISO/IEC 27001:2013

OPERASI PERKHIDMATAN SOKONGAN. PEJABAT PENDAFTAR Kod Dokumen: UPM/OPR/PEND/P003 PROSEDUR KENAIKAN PANGKAT JAWATAN PROFESOR MADYA

GARIS PANDUAN PENYERTAAN ANUGERAH KUALITI NAIB CANSELOR UNIVERSITI TEKNOLOGI MARA AKNC 2018

Soalan-soalan Lazim (FAQ) Bahagian Am

Profil Jabatan : Persekitaran, Pertalian Hubungan dan Tahap Kedudukan Strategik

OPERASI PERKHIDMATAN SOKONGAN PEJABAT PENDAFTAR Kod Dokumen: UPM/OPR/PEND/P002 PROSEDUR KENAIKAN PANGKAT KE JAWATAN PROFESOR

BAB 3 METHODOLOGI KAJIAN. Methodologi yang digunapakai di dalam melaksanakan kajian ini

OPERASI PERKHIDMATAN SOKONGAN PEJABAT PENDAFTAR Kod Dokumen: UPM/OPR/PEND/P003 PROSEDUR KENAIKAN PANGKAT KE JAWATAN PROFESOR MADYA

FAKTOR KEJAYAAN KRITIKAL, CABARAN SERTA KEBAIKAN PELAKSANAAN SENIBINA PERUSAHAAN (EA) DALAM AGENSI AWAM MALAYSIA

PEROLEHAN PANGKALAN DATA ATAS TALIAN

KEMENTERIAN KEWANGAN SURAT PEKELILING PERBENDAHARAAN BIL. 8 TAHUN 2006 PERATURAN PEROLEHAN PERKHIDMATAN PERUNDING

GARIS PANDUAN LATIHAN SANGKUTAN UNIVERSITI PUTRA MALAYSIA

SISTEM PENGURUSAN KUALITI: AMALAN TERBAIK PROSES TUNTUTAN PEMBAYARAN DARI PIHAK KONTRAKTOR KEPADA PIHAK KLIEN AZLIN FARHANA BINTI RAMLI

PRUlink global leaders fund

Nilai ILT bergantung kepada harga unit asas, dan seterusnya bergantung kepada prestasi dana yang dipilih.

HELAIAN KETERANGAN PRODUK

Tabung Darah, Jabatan Patologi, Hospital Umum Sarawak, Kuching, Sarawak, Malaysia OBJEKTIF

MANUAL KESELAMATAN DAN KESIHATAN PEKERJAAN UNIVERSITI MALAYA

TERMA-TERMA DAN SYARAT-SYARAT & PENYATA PENDEDAHAN RISIKO PRODUK. CIMB Fund-Linked FRNID ( Pelaburan )

Question 1. Sample answer: Number of tortoises marked in the second capture / unit Bilangan kura-kura yang bertanda dalam tangkapan kedua

KUARTERS KERAJAAN DI DAERAH KERIAN YANG TIDAK BERPENGHUNI: FAKTOR DAN PENYELESAIAN MOHAMAD SOFFIE BIN BORHAM UNIVERSITI TEKNOLOGI MALAYSIA

KOD TATA AMALAN PERLINDUNGAN DATA PERIBADI. Untuk Sektor Perbankan dan Institusi Kewangan

KERAJAAN MALAYSIA SURAT PEKELILING PERKHIDMATAN BILANGAN 2 TAHUN 2016

KOD ETIKA PERNIAGAAN EJEN KORPORAT AMANAHRAYA CODE OF BUSINESS ETHIC (COBE)

Perkembangan dan Implikasi Urus Tadbir Penyakit Tibi di Malaysia.

PEMBANGUNAN APLIKASI idispatch MENGGUNAKAN QRCODE DAN GPS

PROSES&DAN&PROSEDUR&PENGAMBILAN&PEKERJA&BANGLADESH&DI&SARAWAK

PREVALENCE OF SALMONELLA, ESCHERICHIA COLI O157:H7, LISTERIA MONOCYTOGENES AND STAPHYLOCOCCUS AUREUS IN RAW BEEF IN KELANTAN

PROSEDUR OPERASI PIAWAI PKTMK

PENGGUNAAN KAEDAH PENCERITAAN ANIMASI 3D DALAM MENGURANGKAN KETAKUTAN KANAK - KANAK TERHADAP RAWATAN PERGIGIAN

TOPIC 10 LOYALTY TO A COMPANY (KESETIAAN KEPADA SYARIKAT)

BEMS SF Summary. Hospital Tuanku Ja afar, Seremban RM 520, Hospital Tuanku Ampuan Najihah, Kuala Pilah RM 478,014.74

MODUL PINTAS 2018 TINGKATAN /3 BIOLOGY Kertas 3 September/Oktober 1 1/2 jam Satu jam tiga puluh minit

Saya tidak berpuashati dengan maklumbalas yang diberikan dan berasa sangat tertekan kerana perlu membayar barang rosak selama bertahun-tahun lagi.

GARIS PANDUAN PERUNDINGAN UNIVERSITI TEKNOLOGI MALAYSIA

HUBUNGAN ANTARA FAKTOR INDIVIDU DAN PERSEKITARAN KERJA TERHAD-AP PEMINDAHAN LATlHAN. SURlANI BINTI UDIN

2. PERMOHONAN PEMBIAYAAN (Perlu dinyatakan tujuan pembiayaan bagi setiap jenis kemudahan, i.e.pembelian mesin/modal kerja)

PENILAIAN SHARI AH 1) PRODUK RUNCIT

Prinsip Bon Hijau Garis Panduan Proses Sukarela bagi Terbitan Bon Hijau. 2 Jun 2017

LAPORAN PEMERIKSAAN KESIHATAN REPORT OF HEALTH EXAMINATION

MAHKAMAH PERUSAHAAN MALAYSIA NO. KES : 5/4-408/17 ANTARA ASRAF ARIFF BIN AHMAD AMIRUDIN DAN 42EAST MANAGEMENT SDN. BHD. AWARD NO.

Nota : Stat Akademik boleh menggunakan HCMS Versi 3 untuk penyediaan SKT.

e Proceeding National Innovation and Invention Competition Through Exhibition (icompex 17)

Fakulti Sains Kognitif dan Pembangunan

FAKTOR - FAKTOR YANG BERKAITAN MUTU PENJAGAAN PESAKIT YANG MENJALANI PEMBEDAHAN UTAMA DI HOSPITAL UNIVERSITI SAINS MALAYSIA. Oleh

IKHLASlink Accidental Death and Disability Secure Takaful Rider

HURAIAN PINDAAN DOKUMEN ISO UPM

3.4.2 Data Flow Diagram Level Data Flow Diagram Level Data Flow Diagram Level BAB 4. HASIL PENELITIAN

PEMBIAYAAN MIKRO : AR RAHNU

ABSTRAK. pesantren yang menyokong secara tertutup atau pesantren yang neutral politik.

IKHLAS FAMILY INCOME SECURE TAKAFUL RIDER BENEFIT. Sokongan yang berterusan untuk mereka yang tersayang.

Penempatan Jawatan: PUSAT BAHASA MODEN & SAINS KEMANUSIAAN, GAMBANG

KERAJAAN SERI PADUKA BAGINDA MALAYSIA PEKELILING PERKHIDMATAN BILANGAN 2 TAHUN 2003 PANDUAN PELANTIKAN PEGAWAI KONTRAK

.Perpustakaan Sultanah Nur Zahirah Unl~Msltl Malavsla Terengganu (UM.n

UNIVERSITI PUTRA MALAYSIA COMPETITIVENESS ANALYSIS OF THE MALAYSIAN COCOA INDUSTRY

IIIIIIIIIIIIIIIIüiMi ii

SEKSYEN 1: Pengecaman bahan/campuran dan syarikat/perusahaan

Aspek Perlindungan Sinaran dalam Pengimejan Perubatan. Radiation Safety considerations in Medical Imaging

Elemen Kesihatan Industri

Fakulti Sains Kognitif dan Pembangunan Manusia

Kesan Baja Nitrogen dan Kepadatan Penanaman ke atas Hasil Biji Foxtail Millet

KEPUASAN DAN KESETIAAN PELANGGAN KAJIAN UNTUK INDUSTRI HOTEL MUHAMMAD ALHAM BIN ISHARI UNIVERSITI TEKNOLOGI MALAYSIA

( Agensi di bawah KPDNKK ) PEKELILING AMALAN PERNIAGAAN TERBAIK 6/2017 BAGI

Safety Data Sheet (Risalah Data Keselamatan) NXA452 INTERCRETE 4851 GREY PART B Version No.(No Versi) 1 Revision Date(Tarikh Rujukan) 11/22/17

DOKUMEN TIDAK TERKAWAL

Lot 1 & 2, Jalan Gangsa Pasir Gudang Malaysia

Untuk kegunaan professional sahaja. International Paint Singapore Pte Ltd 3 Neythal Road Jurong Town Singapore

BVT 313/4 Medical and Veterinary Parasitology [Parasitologi Perubatan dan Veterinar]

BORANG PENGESAHAN STATUS TESIS

KESEDARAN PEKERJA TERHADAP PENCEMARAN BUNYI TAPAK BINAAN DI NUSAJAYA WAN AMIR JOHARI BIN WAN MAHMOOD

KERAJAAN MALAYSIA. Tatacara Pengurusan Aset Alih Kerajaan : Pelupusan

Untuk kegunaan professional sahaja. International Paint Singapore Pte Ltd 3 Neythal Road Jurong Town Singapore

Untuk kegunaan professional sahaja. International Paint Singapore Pte Ltd 3 Neythal Road Jurong Town Singapore

Untuk kegunaan professional sahaja. International Paint Singapore Pte Ltd 3 Neythal Road Jurong Town Singapore

Untuk kegunaan professional sahaja. International Paint Singapore Pte Ltd 3 Neythal Road Jurong Town Singapore

Untuk kegunaan professional sahaja. International Paint Singapore Pte Ltd 3 Neythal Road Jurong Town Singapore

PERSEPSI GOLONGAN MUDA TERHADAP KRAFTANGAN

: 13 November 2014 (Khamis) : 9.00 pagi : Hotel Bangi-Putrajaya, Bangi

Untuk kegunaan professional sahaja. Lot 1 & 2, Jalan Gangsa Pasir Gudang Malaysia

GERAKANPEMBARUAN NABIIBRAHIMAS

Lot 1 & 2, Jalan Gangsa Pasir Gudang Malaysia

Lot 1 & 2, Jalan Gangsa Pasir Gudang Malaysia

Untuk kegunaan professional sahaja. International Paint Singapore Pte Ltd 3 Neythal Road Jurong Town Singapore

Safety Data Sheet (Risalah Data Keselamatan) EGA411 INTERSHIELD 417 PART B Version No.(No Versi) 1 Revision Date(Tarikh Rujukan) 09/06/17

KESAN PELAKSANAAN CUKAI BARANGAN DAN PERKHIDMATAN (GST) KEPADA PENGGUNA DI MALAYSIA: TINJAUAN DI SEKSYEN 13, SHAH ALAM

BORANG PERMOHONAN DAN SURAT TAWARAN PEMBIAYAAN BERJANGKA-i BERCAGARKAN SIJIL AMANAH SAHAM BERHAD (ASB)

SEKSYEN 1: Pengecaman bahan/campuran dan syarikat/perusahaan

GARIS PANDUAN PROGRAM PENGAWASAN PERUBATAN

DAN KORAM BALIA YUSOF WAHI, JCA HAMID SULTAN ABU BACKER, JCA ABDUL RAHMAN SEBLI, JCA

Safety Data Sheet (Risalah Data Keselamatan) Pengenalan Produk dan Syarikat. Pengenalan bahaya sesuatu produk. amaran. International Paint Sdn Bhd

Transcription:

Halaman: 1/15 1.0 TUJUAN Garis panduan ini disediakan untuk menilai tahap risiko keselamatan maklumat supaya pendekatan dan keputusan yang paling berkesan dikenal pasti bagi menyediakan perlindungan dan kawalan ke atas keselamatan maklumat UPM. 2.0 SKOP Garis panduan ini merangkumi metodologi Penilaian Risiko Terperinci (Malaysian Public Sector ICT Risk Assessment Methodology, MyRAM) berpandukan kepada Surat Pekeliling Am Bilangan 6 Tahun 2005: Garis Panduan Penilaian Risiko Keselamatan Maklumat Sektor Awam. 3.0 DOKUMEN RUJUKAN Kod Dokumen - ISO/IEC 27001:2013 ISO/IEC 27005:2008 Tajuk Dokumen Surat Pekeliling Am Bilangan 6 Tahun 2005: Garis Panduan Penilaian Risiko Keselamatan Maklumat Sektor Awam Information Technology Security Techniques Information Security Management Systems Requirements Risk Assessment Guidelines for Information Security Management - Arahan Keselamatan Kerajaan Malaysia - The Malaysian Public Sector Information Security Risk Assessment Methodology (MyRAM) 4.0 DEFINISI Bagi tujuan proses penilaian risiko ini, glosari yang disenaraikan dalam Surat Pekeliling Am No. 5 / 2006: Garis Panduan Penilaian Risiko Keselamatan Maklumat Sektor Awam dan ISO/IEC 27001:2013 digunapakai.

Halaman: 2/15 BIL. TERMA DESKRIPSI 1 Aset Sesuatu yang bernilai yang boleh menyebabkan kerugian sekiranya hilang atau berubah. Berdasarkan MyRAM asetaset tergolong kepada data/maklumat, perkhidmatan, perisian, perkakasan dan manusia. 2 Aset Yang bersandar 3 Owner/Pentadbir Proses /Pemilik Risiko 4 Custodian/ Pentadbir Sistem Subjek yang dinyatakan ketika kejadian sesuatu peristiwa. Bermakna aset lain diperlukan untuknya berfungsi Pentadbir Proses yang bertanggungjawab terhadap risiko untuk sesuatu aset atau proses. Kakitangan Teknikal ICT yang memelihara keselamatan, menyelenggara, atau mengawal sesuatu aset. 5 Risiko Secara umum ia adalah kemungkinan berhadapan dengan bahaya atau menyebabkan mudarat atau kerugian, terutamanya dari kurang penjagaan yang sesuai. 6 Penilaian Risiko Penilaian bagi kemungkinan-kemungkinan bahaya atau mudarat atau kerugian/kehilangan aset 7 Ancaman sebarang kejadian atau perbuatan yang boleh menyebabkan satu atau lebih daripada perkara berikut berlaku: pendedahan yang tidak diluluskan, kemusnahan, penyingkiran, pengubahsuaian atau gangguan maklumat sensitif atau kritikal, aset-aset atau perkhidmatan. Sesuatu ancaman boleh berlaku dengan semula jadi, sengaja atau tidak sengaja. 8 Kelemahan Sifat mana-mana aset yang boleh meningkatkan kebarangkalian berlakunya ancaman dan menyebabkan mudarat dalam soal kerahsiaan, ketersediaan atau kesahihan yang mungkin boleh meningkatkan kesan-kesan kejadian ancaman jika berlaku menjadi bertambah teruk. 9 Insiden Apabila berlakunya kejadian ancaman. *Ancaman= rujuk kepada definisi ancaman dalam seksyen

Halaman: 3/15 4.0 Definisi :ancaman; Bil:7. 5.0 METODOLOGI PENILAIAN RISIKO Penilaian risiko ialah satu kaedah untuk menentukan apakah ancaman-ancaman yang wujud untuk sesuatu aset dan tahap risiko yang berkaitan dengan ancaman tersebut. Penentuan tahap risiko menyediakan organisasi dengan maklumat yang diperlukan untuk memilih perlindungan-perlindungan dan langkah kawalan yang bersesuaian untuk mengurangkan risiko kepada satu tahap yang boleh diterima. MAMPU telah membangunkan Malaysian Public Sector Information Security Risk Assessment Methodology atau MyRAM bagi membantu organisasi sektor awam dalam mengenalpasti dan menguruskan risiko keselamatan Maklumat. MAMPU akan menggunakan MyRAM untuk memastikan kesahihan maklumat dan aset Kerajaan dalam menyediakan perkhidmatan yang efektif dan efisien bagi semua pelanggan. Kami juga telah mengambil ISO/IEC 27005 sebagai contoh. 5.1 Kriteria Penilaian Risiko: Kriteria bagi penilaian risiko UPM adalah seperti berikut: i. Semua risiko yang dinilaikan sebagai taraf RENDAH akan dianggap Sebagai boleh diterima kepada pengurusan. ii. Risiko-risiko yang tidak menjejaskan Visi, Misi and Nilai-nilai UPM mungkin boleh dipertimbangkan untuk penerimaan. iii. Risiko-risiko yang tidak mempunyai impak ke atas reputasi, penjenamaan dan imej UPM mungkin boleh dipertimbangkan untuk penerimaan. iv. Risiko-risiko yang tidak mempunyai impak ke atas pematuhan perundangan mungkin boleh dipertimbangkan untuk penerimaan.

Halaman: 4/15 v. Risiko-risiko yang mempunyai sedikit impak atau tiada kepada pengguna akhir, mungkin boleh dipertimbangkan untuk penerimaan. 6.0 KEPERLUAN UNTUK PENILAIAN RISIKO Penilaian risiko akan dilakukan untuk: i. Mengambilkira perubahan pada struktur organisasi dan aset baru; ii. Mempertimbangkan ancaman baru dan kelemahan; dan iii. Mengesahkan bahawa kawalan tetap efektif dan bersesuaian. iv. Mengesahkan risiko yang masih ada setelah kawalan untuk rawatan risiko dilaksanakan; v. Mengesahkan kriteria penilaian risiko oleh pihak pengurusan atasan. 7.0 PROSES PENILAIAN RISIKO Pendekatan yang diambil adalah mengikut garis panduan proses penilaian risiko dalam dokumen MyRAM, bermula dari langkah Penubuhan Ahli Kumpulan sehingga Langkah 10, yang merupakan Pengiraan Risiko. Langkah-langkah ini berkaitan antara satu sama lain kerana input untuk satu aktiviti penilaian risiko boleh diambil daripada output langkah- langkah terdahulu. Jadual 1 dibawah, menunjukkan sepuluh (10) langkah latihan penilaian risiko. LANGKAH KETERANGAN TINDAKAN YANG TERLIBAT

Halaman: 5/15 Penubuhan Kumpulan (S1) Penubuhan Kajian Semula Sempadan (S2) Mewujudkan satu komponen asas latihan penilaian risiko. Kenalpasti ahli kumpulan yang memiliki pengetahuan luas tentang organisasi. Jadual dan logistik ditubuhkan untuk memastikan Menetapkan skop proses penilaian risiko. Skop akhir akan diserahkan kepada pengurusan kanan. Sebaik sahaja kelulusan diterima, pasukan penilaian akan mengumpul semua bahanbahan dan maklumat berkaitan. a) Mengenalpasti ahli kumpulan penilaian b) Menyediakan senarai tugasan dan jadual a) a)mengenalpasti skop penilaian risiko b) Mendapatkan kelulusan dari pihak pengurusan c) Mengumpul maklumat d) berkenaan kajian semula batasan e) Kembali ke Langkah 1 jika perlu. Mengenalpasti Risiko (S3) Penilaian Aset-aset berdasarkan CIA (S4) Mengenalpasti semua aset yang terkandung didalam skop Batasan Penilaian Risiko. Menentukan nilai-nilai semikuantitatif kepada aset-aset dan tentukan nilai berdasarkan Kerahsiaan, Ketersediaan & Kesahihan setiap aset a) Mengenalpasti asset berkenaan b) Kumpul dan kelaskan aset c) Mengenalpasti pemilik dan penjaga aset a) Mengenal pasti nilai asset berdasarkan CIA b) Menentukan nilai Kuantifikasi bagi setiap asset (CIA)

Halaman: 6/15 Penilaian Ancaman (S5) Penilaian Kelemahan (S6) Mengenalpasti Perlindungan Yang Sedia Ada & Perancangan (S7) Menetapkan jenis-jenis ancaman berkaitan dengan aset-aset, dan tahap-tahap relatif mereka. Mengenal pasti semua kelemahan yang berpotensi untuk dieksploitasikan oleh ancaman. Sebagai tambahan, ia akan menilai tahap pendedahan kelemahan relatif. Mengenalpasti semua jenis perlindungan yang sedia ada & dirancang yang telah diatur atau akan diatur untuk melindungi aset-aset. Kenal pasti semua ancaman- ancaman kepada aset-aset Kenal pasti kelemahan- kelemahan yang berpotensi untuk dieksploitasikan oleh ancaman Menyemak semula perlindungan sedia ada dan rancangan untuk melindungi aset Analisis Impak (Kesan) (S8) Analisis Kemungkinan/ Kebarangkalian (S9) Mengukur impak kerja serta organisasi sesuatu asset sewajarnya. Memastikan kemungkinan/kebarangkalian ancaman-ancaman & kelemahan-kelemahan yang boleh berlaku, dengan a) Tentukan impak kerja dan impak bisnes b) Tentukan tahap impak Tentukan kemungkinan/kebarangkalian ancaman- ancaman & kelemahankelemahan yang boleh berlaku

Halaman: 7/15 Pengiraan Risiko (S10) Mengira tahap risiko untuk setiap aset, Berdasarkan keputusan nilai impak & kemungkinan. Mengira tahap risiko untuk setiap aset Jadual 1: Deskripsi Langkah Penilaian Risiko

Halaman: 8/15 8.0 PERANAN DAN TANGGUNGJAWAB AHLI KUMPULAN PENILAIAN RISIKO i. Memberi nasihat kepakaran untuk aktiviti penilaian risiko ii. Mengurus aktiviti penilaian risiko iii. Memastikan selesai tepat pada masa; dan iv. Melakukan semakan semula untuk semua output dan dokumen sebelum dibentangkan kepada penasihat projek v. Sentiasa menentukan progres kerja; vi. Menilai keputusan-keputusan, jurang dan memberi maklum balas; dan vii. Melakukan semua tugasan yang disebut dalam langkah-langkah penilaian risiko 9.0 TARAF NILAI ASET Berdasarkan Jadual 1 dibawah, kumpulan penilaian risiko perlu mewujudkan taraf nilai untuk keperluan Keselamatan Maklumat, iaitu Kerahsiaan/Confidentiality (C), Kesahihan/Integrity (I) dan Ketersediaan/Availability (A). Tahap-tahap Low (Rendah), Medium (Pertengahan)dan High (Tinggi) di Jadual 1 adalah berpandukan huraian yang diberi mengikut setiap skor. Dalam menilai sensitiviti setiap aset, Pasukan Penilaian Risiko akan menggunakan garis-garis panduan berikut: a) Kerahsiaan (Confidentiality) Kesan pendedahan maklumat rahsia/sulit yang tidak diluluskan boleh mengakibatkan kehilangan keyakinan pemegang saham dan mengaibkan. b) Kesahihan (Integrity) Kesan kepada sistem yang disebabkan dari pengubahsuaian aset secara sengaja, tanpa mendapat kelulusan atau tidak sengaja. c) Ketersediaan (Availability) Ini ialah kesan daripada penafian pengunaan aset secara sengaja atau kebetulan.

Halaman: 9/15 Setiap aset mesti dinilai menurut tahap Confidentiality (Rahsia), Integrity (Kesahihan) dan Availability (Ketersediaan) masing-masing. 9.1 Kaedah Skor Untuk Risiko Menggunakan Jadual 1 di bawah, selepas mengira nilai-nilai CIA dan nilai aset, sekarang kita perlu menghitung tahap risiko yang terdedah kepada aset-aset tersebut. Risiko-risiko wujud disebabkan kewujudan Ancaman kepada aset dan Kelemahan aset-aset itu sendiri. ANCAMAN Di bawah ialah beberapa contoh ancaman: a) Virus b) Theft c) Damage due to wear n tear d) Accidental Deletion of data e) Hardware failure (Mechanical Fault) f) Power Fluctuation g) Improper usage of Assets (User Error) KELEMAHAN Di bawah ialah beberapa contoh ancaman: a) Lack of proper inspection b) Not updated AV solution c) Poor Patch management d) Lack of capacity plan for systems Sila Ambil Perhatian bahawa contoh-contoh di atas adalah tidak lengkap dan boleh ditambah bergantung pada aktiviti-aktiviti dan fungsi-fungsi bahagian. Pengguna-pengguna mesti bekerjasama dan berbincang untuk mengenal pasti ancaman-ancaman dan kelemahan- kelemahan yang tepat untuk setiap aset dan mencatatkan penemuan-penemuan dalam Register Risiko Risk Register

Halaman: 10/15 9.2 Kebarangkalian & Impak Dalam persekitaran sebenar, risiko yang dikenalpasti berdasarkan ancamanancaman dan kelemahan-kelemahan mungkin boleh berlaku atau tidak. Kemungkinan peluang risiko terjadi boleh bergantung kepada situasi. Oleh itu penilaian risiko adalah berdasarkan kepada KebarangkalianTerjadi dan Impak disebabkan sesuatu kejadian. Impak diukur kepada aset secara langsung, begitu juga impak kepada bisnes. Kebarangkalian dan Impak boleh dipilih berdasarkan Jadual 1 di bawah dan ditarafkan dari Low, Medium dan High berdasarkan huraian dalam Jadual.

Halaman: 11/15 GARIS PANDUAN PENILAIAN RISIKO ASET Tarikh: 01/02/2016 10.0 GARIS PANDUAN UNTUK KEPUTUSAN BAGI RISIKO YANG DIKENALPASTI Output proses penilaian risiko adalah input bagi proses membuat keputusan yang menetapkan sama ada menerima, mengurangkan, memindahkan atau mengelakkan risiko yang sudah dikenalpasti. Ini akan dilakukan dalam Selection of Controls (Pemilihan Kawalan) dan ditunjukkan dalam Risk Treatment Plan (RTP) (Pelan Rawatan Risiko). Pasukan Penilaian Risiko akan menubuhkan High-Level-Recommendation untuk memperoleh kelulusan bertulis atau pengakuan daripada Jawatankuasa Kerja ISMS yang akan menentukan di dalam RTP apa yang mesti dilakukan selepas mendapat tahap risiko untuk semua aset-aset yang dikenalpasti. Di peringkat ini, keputusan sama ada menerima, mengurangkan, memindahkan, atau mengelakkan risiko yang telah kenalpasti mestilah dibuat hanya setelah latihan penilaian risiko selesai. Perlu mendapat pengesahan muktamad Timbalan Wakil Pengurusan ISMS. Secara asasnya membuat keputusan sama ada menerima, mengurangkan, memindahkan, atau mengelakkan tahap risiko adalah berdasarkan faktor-faktor masa, wang, tenaga kerja dan peralatan. Dokumen yang dicetak adalah DOKUMEN TIDAK TERKAWAL

Halaman: 12/15 GARIS PANDUAN PENILAIAN RISIKO ASET Tarikh: 01/02/2016 Ketentuan pilihan untuk mengendali risiko boleh dilakukan dengan mengikuti langkah-langkah dalam Rajah 2 di bawah. Seperti yang digambarkan dalam Rajah 2 di atas, langkah pertama untuk membuat cadangancadangan High-Level ialah dengan mendapatkan keputusan tahap risiko-risiko dari Langkah 10. Kemudian tentukan apakah tahap risiko yang boleh diterima oleh Pasukan Penilaian Risiko. Rujuk Seksyen 4: Kriteria untuk menerima Risiko-risiko. Untuk Cadangan High-Level, terdapat dua (2) output iaitu: Dokumen yang dicetak adalah DOKUMEN TIDAK TERKAWAL

Halaman: 13/15 GARIS PANDUAN PENILAIAN RISIKO ASET Tarikh: 01/02/2016 a) Keputusan atas pilihan; dan b) Strategi Perlindungan 10.1 Keputusan atas Pilihan Dalam Keputusan atas Pilihan, Kumpulan Penilaian Risiko akan mencadangkan kepada JawatanKuas Kerja ISMS sama ada untuk menerima, mengurangkan, memindahkan, atau mengelak tahap risiko ancaman yang wujud dalam sesuatu aset. Huraian-huraian untuk setiap pilihan keputusan ialah seperti berikut: a. Menerima: untuk menerima risiko-risiko berkaitan dengan aset-aset tanpa melaksanakan sebarang perlindungan atau kawalan b. Mengurangkan: melaksanakan kawalan untuk mengurangkan risiko. Mengurangkan tahap risiko adalah perlu apabila risiko tinggi. c. Pemindahan: Memindahkan risiko kepada entiti yang lain. d. Mengelakkan: untuk mengelak risiko-risiko apabila tiada pilihan lain. Pasukan Penilaian Risiko akan menerima, mengurangkan, memindahkan atau mengelakkan risiko bagi kriteria berikut: a. Memeriksa dan menilai sama ada risiko dapat diterima atau tidak. Kumpulan Penilaian Risiko boleh mencadangkan kepada pengurusan untuk menerima semua aset dengan tahap risiko Low (Rendah) dan tiada tindakan serta-merta diambil bagi melindungi aset; dan Dokumen yang dicetak adalah DOKUMEN TIDAK TERKAWAL

Halaman: 14/15 GARIS PANDUAN PENILAIAN RISIKO ASET Tarikh: 01/02/2016 b. Jika risiko-risiko tidak boleh diterima, maka semak dan nilaikan sama ada ianya patut dikurangkan, dipindahkan atau dielakkan; c. Jika implikasi risiko-risiko membawa kepada bencana dan kritikal (High), risiko-risiko tersebut patut dikurangkan. Pengurangan Risiko akan dicapai melalui pelaksanaan komponen-komponen berikut: operasi, prosedur, fizikal, Kakitangan dan keselamatan teknikal untuk memastikan bahawa operasi kritikal tidak terjejas. dan d. Jika implikasi risiko-risiko adalah sederhana kritikal (Medium), risiko-risiko tersebut boleh juga dipindahkan berdasarkan syarat-syarat berikut. i. Risiko-risiko mesti dipindahkan dengan adil. Risiko boleh dikongsi oleh pemilikpemilik aset dan pihak ketiga. Misalnya, talian komunikasi bermasalah, dan Service Level Agreement (SLA) dengan penyedia talian menyatakan bahawa talian boleh didapati dalam 24 jam; bencana yang tidak dapat diketahui yang mungkin dialami pihak ketiga merupakan satu risiko yang dikongsi bersama dimana agensi bersediauntuk terima; dan ii. Risiko-risiko sepatutnya dielakkan sama sekali sekiranya tiada kawalan munasabah yang boleh dilaksanakan untuk mengurangkan risiko. Contoh, mengelak risiko-risiko ialah dengan memutuskan sistem. Pasukan Penilaian Risiko perlu membangunkan pelan perlindungan Risk Treatment Plan untuk dibentangkan kepada pengurusan. Bagi Risk Treatment Plan, kumpulan Penilaian Risiko perlu melihat samada kawalan yang sedia ada adalah cukup untuk melindungi asetaset atau tidak. Jika kawalan yang sedia ada tidak mencukupi, kumpulan yang terbabit atau kumpulan pemilik risiko akan memilih objektif-objektif kawalan sesuai dan kawalan boleh didapati dalam Annex A, ISO / IEC 27001:2013 ISMS Requirements. Ini boleh didapati dalam Statement of Applicability atau Dokumen SOA. Dokumen yang dicetak adalah DOKUMEN TIDAK TERKAWAL

Halaman: 15/15 GARIS PANDUAN PENILAIAN RISIKO ASET Tarikh: 01/02/2016 11.0 KELULUSAN PENGURUSAN Dokumen yang dibentangkan kepada Jawatankuasa Kerja ISMS untuk kelulusan maklumat analisis risiko mempunyai perkara-perkara berikut: a) Sebarang syarat dan konsep-konsep yang baru atau berbeza misalnya, aset-aset, ancaman-ancaman, risiko dan profil risiko - perlu dijelaskan. b) Maklumat ancaman, risiko dan kelemahan untuk setiap asset kritikal; c) Komposit, analisa keputusan-keputusan analisis risiko. Maklumat tersebut perlu dikemukakan dalam bentuk jadual atau grafik yang mudah dibaca. Implikasi mesti turut dijelaskan pada setiap tahap risiko yang sudah dikenal pasti; d) Amalan-amalan strategi perlindungan dan kelemahan-kelemahan organisasi dikumpulkan mengikut bidang amalan; dan e) Justifikasi untuk rancangan pelindungan f) Pengurusan tertinggi telah memutuskan bahawa semua risiko berbaki (risiko yang tinggal selepas menggunakan kawalan yang sesuai) hendaklah disifatkan sebagai Diterima oleh pihak pengurusan. Dokumen yang dicetak adalah DOKUMEN TIDAK TERKAWAL

2024 © petsdocbox.com Privacy Policy | Terms of Service | Feedback