Tarikh Dikemaskini: 26 Ogos 2025
Entiti: Persatuan Bina Kerjaya Orang Kurang Upaya Perak ("PBKOKU", "kami")
Dasar ini menetapkan prinsip, tanggungjawab dan langkah am yang perlu diambil untuk melindungi aset maklumat PBKOKU — termasuk data ahli, penderma, kakitangan, sukarelawan, sistem IT dan infrastruktur fizikal. Matlamat utama adalah memastikan kerahsiaan, integriti dan ketersediaan maklumat (CIA triad) selaras dengan keperluan undang‑undang, amalan terbaik keselamatan dan keperluan operasi persatuan.
1. Skop
Dasar ini terpakai kepada semua kakitangan, ahli lembaga, sukarelawan, kontraktor, vendor dan pihak-pihak ketiga yang mempunyai akses kepada sistem, data atau premis PBKOKU. Ia meliputi semua aset maklumat — elektronik dan fizikal — termasuk perkhidmatan awan yang digunakan bagi tujuan operasi persatuan.
2. Pentadbiran & Tadbir Urus Keselamatan
+ Pemilik Dasar: Lembaga PBKOKU.
+ Pegawai Keselamatan Maklumat (IS Officer): Ditugaskan untuk memimpin pelaksanaan dasar ini, penilaian risiko dan tindak balas insiden.
+ Jawatankuasa Keselamatan: Sekurang‑kurangnya wakil pengurusan, IT, operasi dan pematuhan untuk menyelia pelaksanaan dan semakan dasar.
3. Penilaian Risiko
+ Penilaian risiko keselamatan hendaklah dijalankan sekurang‑kurangnya sekali setahun atau selepas perubahan besar (contoh: pelaksanaan sistem baru, pindah premis).
+ Risiko diklasifikasikan mengikut kebarangkalian dan impak; langkah mitigasi disusun berdasarkan keutamaan risiko.
4. Klasifikasi Data & Pengendalian
Klasifikasi Data:
+ Awam — boleh diakses umum.
+ Dalaman — hanya untuk kakitangan/ahli PBKOKU.
+ Sensitif — maklumat peribadi (contohnya data OKU), maklumat penderma tertentu.
+ Rahsia — rekod kewangan terperinci, kata laluan sistem kritikal.
Pengendalian: Akses, penyimpanan, penghantaran dan pemadaman data hendaklah selaras dengan klasifikasi. Data sensitif wajib disulitkan ketika disimpan dan semasa penghantaran.
5. Kawalan Akses
+ Akses kepada sistem perlu berdasarkan prinsip "least privilege dan need to know."
+ Akaun pengguna mesti unik; perkongsian akaun amnya dilarang.
+ Penggunaan kata laluan yang kukuh dan polisi reset berkala diwajibkan.
+ Pengesahan dua faktor (2FA) hendaklah diaktifkan untuk akses ke sistem pentadbiran, e‑mel organisasi dan portal kritikal.
6. Keselamatan Infrastruktur & Rangkaian
+ Semua peranti yang berhubung kepada rangkaian PBKOKU (pelayan, komputer riba, telefon pintar) mesti dikemas kini dan dilindungi dengan perisian antivirus/EDR yang sesuai.
+ Firewall dan kawalan titik masuk rangkaian digunakan untuk memisahkan persekitaran kritikal.
+ Sambungan jauh (VPN) mesti digunakan untuk akses jarak jauh ke sumber dalaman.
7. Keselamatan Aplikasi & Website
+ Pembangunan dan penyelenggaraan laman web/aplikasi harus mengikuti amalan selamat (secure coding) dan diuji untuk kelemahan (sekurang‑kurangnya ujian kerentanan tahunan).
+ Butiran masuk pengguna mesti disanitasi untuk mengelakkan serangan seperti SQL injection dan XSS.
+ Semua komunikasi laman mesti menggunakan HTTPS dengan sijil TLS sah.
8. Perlindungan Data Peribadi
+ Pengendalian data peribadi harus mematuhi PDPA 2010 dan Dasar Privasi PBKOKU.
+ Kebenaran (consent) diperlukan untuk pengumpulan data sensitif; rekod persetujuan mesti disimpan.
+ Proses pemadaman atau pemulihan data hendaklah didokumentasikan.
9. Pengurusan Peranti & Peralatan Mudah Alih
+ Peranti organisasi yang dibenarkan (managed devices) mesti didaftarkan dan dikonfigurasikan dengan dasar keselamatan (kunci skrin, enkripsi storan, polisi kemas kini automatik).
+ Peranti peribadi yang mengakses data organisasi (BYOD) perlu mematuhi garis panduan BYOD termasuk penggunaan ruang kerja terasing (container) atau pengurusan peranti mudah alih (MDM) jika perlu.
10. Sandaran & Pemulihan Bencana
+ Data kritikal mesti disandarkan secara berkala (mis. harian/ mingguan) dan disimpan di lokasi yang berbeza.
+ Ujian pemulihan sandaran perlu dijalankan sekurang‑kurangnya sekali setahun untuk memastikan kebolehlaksanaan pemulihan.
+ Pelan Pemulihan Bencana (Disaster Recovery Plan) dan Pelan Kesinambungan Perniagaan (Business Continuity Plan) hendaklah dipelihara dan diuji.
11. Pengurusan Kecemasan & Tindak Balas Insiden
+ Semua insiden keselamatan mesti dilaporkan segera kepada Pegawai Keselamatan Maklumat.
+ Tindakan awal termasuk pengasingan sistem terjejas, penilaian impak dan pemulihan operasi.
+ Laporan insiden dan langkah pembetulan perlu didokumentasikan dan dikongsi kepada pihak pengurusan.
12. Keselamatan Fizikal & Kawalan Premis
Akses fizikal kepada server room, stor dokumen sensitif dan pejabat pentadbiran hendaklah dikawal (kunci, kawalan kad akses jika sesuai).
Sistem pemantauan (CCTV) dan kawalan pengunjung perlu diamalkan di premis utama.
13. Pengurusan Pihak Ketiga & Vendor
+ Sebelum melibatkan vendor atau penyedia perkhidmatan yang memproses data PBKOKU, penilaian keselamatan dan keperluan kontrak (termasuk klausa kerahsiaan dan perlindungan data) mesti dilaksanakan.
+ Audit / tinjauan keselamatan bagi vendor utama dilakukan secara berkala.
14. Pendidikan & Kesedaran
+ Latihan asas keselamatan maklumat dan pengurusan data wajib untuk semua kakitangan dan sukarelawan semasa orientasi dan setiap tahun.
+ Kempen kesedaran berkala (contoh: mengenal pasti phishing, amalan kata laluan selamat) hendaklah dijalankan.
15. Pemantauan, Audit & Pematuhan
+ Aktiviti pemantauan log, ulasan akses dan audit keselamatan berkala perlu dijalankan untuk mengesan anomali.
+ Pematuhan terhadap undang‑undang (contoh: PDPA), peraturan dan polisi dalaman adalah mandatori.
+ Lembaga mendapat laporan status keselamatan sekurang‑kurangnya sekali setiap suku tahun.
16. Penguatkuasaan & Tindakan Disiplin
+ Kegagalan mematuhi dasar ini boleh mengakibatkan tindakan disiplin mengikut peraturan organisasi, termasuk sekatan akses, pembatalan keahlian atau tindakan undang‑undang jika perlu.
17. Semakan & Kemas Kini Dasar
+ Dasar ini akan dikaji sekurang‑kurangnya setahun sekali atau selepas insiden besar/ perubahan operasi.
+ Sebarang kemas kini akan dimaklumkan kepada kakitangan, ahli dan pihak berkepentingan lain.
18. Perhubungan & Laporan
Untuk sebarang pertanyaan keselamatan, laporan insiden atau permintaan berkaitan dasar ini, hubungi:
Pegawai Keselamatan Maklumat (IS Officer)
E-mel: [email protected]
Telefon: 016-4948182
Penafian: Dokumen ini disediakan untuk tujuan panduan dasar dalaman. Sila rujuk penasihat keselamatan atau perundangan profesional untuk keperluan khusus atau penguatkuasaan teknikal.