GARIS PANDUAN PEMBANGUNAN APLIKASI KEMENTERIAN …

CETAKAN VOLUME TARIKH M/SURAT

PERTAMA VOLUME 1 OKTOBER 2019 1 dari 18

GARIS PANDUAN PEMBANGUNAN APLIKASI

KEMENTERIAN KESIHATAN MALAYSIA (KKM)

VOLUME : 1

NOVEMBER 2019



GARIS PANDUAN PEMBANGUNAN SISTEM APLIKASI KEMENTERIAN KESIHATAN MALAYSIA (KKM)

TUJUAN

1. Garis panduan ini bertujuan untuk memberi panduan asas kepada agensi dan fasiliti

KKM dalam melaksanakan pembangunan/ peningkatan sistem aplikasi secara

in-house dan outsource bagi mewujudkan keseragaman dan inteoperability antara

sistem aplikasi di KKM.

LATAR BELAKANG

2. Pelan Strategik Teknologi Maklumat KKM (2016 – 2020) di bawah Teras Strategik

ICT 1 – Langkah Strategik ICT 1 – Inisiatif ICT 3 : Standard dan Garis Panduan

Persekitaran Pembangunan Aplikasi ICT KKM telah menggariskan agar satu

panduan disediakan kepada agensi dan fasiliti KKM berkaitan persekitaran

pembangunan sistem aplikasi.

3. Mesyuarat Jawatankuasa Teknikal ICT KKM Bilangan 9 Tahun 2018 pada

5 Disember 2018 telah memutuskan agar satu garis panduan pembangunan sistem

aplikasi disediakan sebagai rujukan semua agensi dan fasiliti KKM.

TAKRIFAN

4. Takrifan yang digunakan di dalam garis panduan ini adalah seperti berikut :

i. Agensi merujuk kepada agensi di KKM meliputi Kementerian, Bahagian,

Institusi, Jabatan dan Badan Berkanun.

ii. Fasiliti merujuk kepada fasiliti di KKM meliputi Hospital / Institut, Klinik dan

Kolej.



OBJEKTIF

5. Objektif garis panduan ini adalah untuk:

i. Memastikan keperluan dan proses pembangunan sistem aplikasi mematuhi

prosedur/ piawaian yang telah ditetapkan.

ii. Memastikan penggunaan perisian/ tools pembangunan sistem aplikasi yang

seragam bagi memudahkan konsolidasi dan integrasi sistem aplikasi ICT KKM

secara menyeluruh.

SKOP

6. Skop garis panduan ini adalah untuk pembangunan sistem aplikasi baharu atau

peningkatan sistem aplikasi sedia ada yang dilaksanakan secara in-house dan

outsource.

PELAKSANAAN PEMBANGUNAN/ PENINGKATAN SISTEM APLIKASI

7. Pelaksanaan pembangunan/ peningkatan sistem aplikasi di KKM merangkumi empat

(4) komponen utama iaitu:

i. Permohonan Kelulusan Projek ICT

ii. Pengurusan Pembangunan/Peningkatan Sistem Aplikasi

iii. Infrastruktur Sistem Aplikasi

iv. Keselamatan Sistem Aplikasi

8. Permohonan Kelulusan Projek ICT

8.1 Semua agensi dan fasiliti yang mempunyai perancangan dalam membangun/

meningkatkan sistem aplikasi mestilah mematuhi garis panduan yang sedang

berkuatkuasa seperti berikut :

i. Surat Pekeliling Am Bilangan 1 Tahun 2016 - Tatacara Pelaksanaan Projek

ICT di Kementerian Kesihatan Malaysia (KKM); dan

ii. Surat Arahan Teknologi Maklumat dan Komunikasi (ICT) bagi

Melaksanakan Kajian Impak dan Prasyarat Permohonan Pembangunan

Aplikasi Inhouse Kementerian Kesihatan Malaysia (KKM) (No.Rujukan:

KKM.S.100-6/1/2 Jld.4(26) bertarikh 13 Julai 2018).



9. Pengurusan Pembangunan/ Peningkatan Sistem Aplikasi

9.1 Panduan Kejuruteraan Sistem Aplikasi Sektor Awam (KRISA)

9.1.1 Metodologi pembangunan/ peningkatan sistem aplikasi di KKM

hendaklah mematuhi KRISA yang diterbitkan oleh MAMPU. Metodologi

ini merangkumi enam (6) fasa utama seperti Jadual 1 iaitu :-

Jadual 1

Ringkasan Enam (6) Fasa Utama Metodologi Pembangunan Sistem Aplikasi

Bil. Fasa Keterangan Penglibatan Serahan Projek

i) Permulaan

Projek

Proses penyediaan Pelan

Perancangan

Pembangunan Sistem

dan Pelaksanaan kajian

keperluan bisnes yang

merangkumi Pemodelan

Fungsi dan Proses Bisnes

Pemilik

Projek

Pengurusan

Organisasi

Subject

Matter

Expert

(SME)

Pasukan

Projek ICT

- Pelan

Pembangunan

Sistem

- Spesifikasi

Keperluan

Bisnes (BRS)

ii) Analisis Melaksana analisis ke

atas keperluan bisnes dan

data secara terperinci

untuk diterjemahkan dari

sudut perspektif

pembangunan sistem

Pemilik

Projek

Subject

Matter

Expert

(SME)

Pengguna

Sistem

Pasukan

Projek ICT

- Spesifikasi

Keperluan

Sistem (SRS)

iii) Rekabentuk Fasa penghasilan

Arkitektur sistem

melibatkan aktiviti

rekabentuk arkitektur,

rekabentuk sistem,

rekabentuk pangkalan

data, serta penentuan

teknologi yang akan

diguna pakai.

Pemilik

Projek

Subject

Matter

Expert

(SME)

Pasukan

Projek ICT

- Spesifikasi

Rekabentuk

Sistem (SDS)

- Pelan Migrasi

Data (Jika Perlu)

- Spesifikasi

Migrasi Data

(Jika Perlu)

- Pelan Integrasi

Data (Jika Perlu)

- Spesifikasi

Integrasi Data

(Jika Perlu)



Bil. Fasa Keterangan Penglibatan Serahan Projek

iv) Pembangunan - Proses penghasilan

dan pengujian sistem

oleh pasukan

pembangun.

- Aktiviti-aktiviti yang

dilaksanakan

melibatkan

pembangunan

pangkalan data,

pengaturcaraan sistem

dan pengujian sistem.

Pengurus

Projek

Pentadbir

Pangkalan

Data (DBA)

Pasukan

Pembangun

Pasukan

Penguji

Pemilik

Prosedur

- Dokumentasi

Pangkalan Data

- Dokumentasi

Kod Sumber

- Laporan Ujian

Sistem

v) Pengujian Ujian ini dilaksanakan

sebagai validasi ke atas

sistem aplikasi yang

dibangunkan berdasarkan

keperluan pengguna dan

keperluan sistem bagi

memastikan keperluan

tersebut dipenuhi sebelum

sistem aplikasi

dilaksanakan.

Pemilik

Projek

Subject

Matter

Expert

(SME)

Pasukan

Projek ICT

Pasukan

Pembangun

Pemilik

Prosedur

Pengguna

Sistem

- Pelan Induk

Pengujian

- Laporan

UAT/PAT

vi) Pelaksanaan Aktiviti persediaan

pelaksanaan sistem

merangkumi migrasi data,

ujian penerimaan akhir,

persediaan manual

pengguna dan laporan

serahan sistem.

Pemilik

Projek

Pelanggan

Organisasi

Pelaksana

- Laporan Migrasi

Data (Jika Perlu)

- Laporan

Pengujian

Penerimaan

Akhir (FAT)

- Manual

Pengguna

- Laporan Serahan

Sistem

9.2 Peranan dan Tanggungjawab

Peranan dan Tanggungjawab bagi penglibatan Pemegang Taruh untuk setiap

aktiviti pada fasa yang telibat adalah seperti berikut:

i. Pemilik Projek - adalah ketua agensi/ fasiliti yang memiliki fungsi dan

mempunyai kuasa terhadap dasar dan prosidur sistem aplikasi yang

sedang dibangunkan. Bertanggungjawab dalam memastikan sistem

aplikasi yang dibangunkan memenuhi keperluan agensi/ fasiliti dan

bertanggungjawab sepenuhnya sepanjang tempoh pembangunan dan

pelaksanaan projek.



ii. Subject Matter Expert (SME) - adalah kumpulan pegawai rujukan kepada

fungsi bisnes agensi/ fasiliti berkaitan dengan sistem aplikasi yang akan

dibangunkan.

iii. Pengurusan Organisasi – merupakan pengurusan atasan di agensi/

fasiliti yang bertanggungjawab dalam memastikan sistem aplikasi yang

dibangunkan adalah selaras dengan visi, misi dan hala tuju yang telah

ditetapkan oleh organisasi. Sokongan daripada pengurusan atasan

agensi/ fasiliti adalah faktor utama yang membawa kepada kejayaan

pembangunan dan pelaksanaan sistem aplikasi.

iv. Pemilik Proses/Prosidur – adalah kumpulan pegawai yang terlibat dalam

penggubalan dan penentuan prosidur ke atas sesuatu proses kerja yang

terlibat dalam pembangunan sistem aplikasi.

v. Pengurus Projek – bertanggungjawab dalam memantau kemajuan

pembangunan supaya mengikut perancangan, mengenalpasti risiko

semasa pembangunan, berkomunikasi antara pasukan pembangun

dengan SME sepanjang tempoh pembangunan projek.

vi. Pasukan Projek ICT – merupakan kumpulan pegawai ICT yang

bertanggungjawab dalam mengendalikan urusan yang berkaitan dengan

teknikal ICT sepanjang tempoh pembangunan dan pelaksanaan projek.

vii. Pentadbir Pangkalan Data (DBA) – individu atau kumpulan kecil yang

bertanggungjawab dalam perancangan, analisa, rekabentuk,

pembangunan dan penyelenggaraan serta pengurusan pentadbiran

pangkalan data.

viii. Pasukan Pembangun – kumpulan/ individu yang bertanggungjawab

dalam menulis/ membangun kod aturcara, melaksanakan pengujian

sistem (fasa pembangunan) dan menjalankan tindakan pembetulan ke

atas sistem aplikasi berdasarkan laporan ujian yang dikeluarkan oleh

Pasukan Penguji sistem aplikasi.

ix. Pasukan Penguji – merupakan kumpulan yang menyediakan

dokumentasi berkaitan pengujian, mengendali dan melaksanakan aktiviti

pengujian.

x. Pengguna Sistem – adalah kumpulan/ individu yang terlibat dalam

penyediaan skrip/senario pengujian, pengujian dan memberi maklum

balas terhadap ujian penerimaan yang dilaksanakan serta merupakan

pengguna akhir sistem aplikasi.



xi. Organisasi Pelaksana – adalah organisasi yang terlibat secara langsung

dalam penerimaan, pelaksanaan dan penyelenggaraan sistem aplikasi

yang dibangunkan.

xii. Pelanggan – orang perseorangan atau organisasi yang menggunakan

sistem aplikasi yang dibangunkan.

9.3 Piawaian perisian/ tools

Penetapan piawaian perisian/ tools standard adalah bagi memastikan proses

pembangunan dan penyelenggaraan sistem aplikasi dapat diseragamkan.

Penentuan penggunaan sesuatu teknologi dan tools yang sesuai bagi

pembangunan sistem aplikasi merupakan salah satu aspek yang penting untuk

dipertimbangkan. Agensi/ fasiliti perlu mengambilkira beberapa aspek berikut

sebelum membuat keputusan dalam penentuan teknologi dan tools

pembangunan sistem aplikasi:

i) Kebolehlaksanaan Teknikal - penilaian kematangan atau keupayaan

teknologi untuk berfungsi dengan teknologi yang lain;

ii) Kebolehlaksanaan Operasi - kesesuaian pihak pengurusan, pegawai,

pengguna dan teknologi sedia ada dengan teknologi yang dicadangkan;

dan

iii) Kebolehlaksanaan Ekonomi - penilaian sama ada teknologi yang

digunakan berpatutan dan kos efektif.

Penggunaan Perisian/ tools asas di KKM yang diberi keutamaan adalah seperti

berikut:-

9.3.1 Bahasa Pengaturcaraan

a) PHP Hypertext Preprocessor (PHP)

i) Tanpa mengguna pakai framework

ii) Mengguna pakai framework :

Keutamaan dan pertimbangan JTICT dan JPICT ke atas

penggunaan jenis framework ini adalah seperti berikut :-

- CodeIgniter

- Laravel

- Yii

- Drupal (CMS)

- Zend

- CakePHP



b) Java

i) Tanpa mengguna pakai framework

ii) Mengguna pakai framework :


penggunaan jenis framework ini adalah seperti berikut :-

- Spring

- Smart GWT

- Vaadin

- ZK

c) Javascript Web Framework

i) Angular

ii) React

iii) Vue.js

iv) Ember.js

v) Node.js

d) Aplikasi mobile


penggunaan perisian/ tools berkaitan aplikasi mobile adalah

seperti senarai berikut:-

i) Native (Platform Android)

- Java

- Kotlin

- C#

- C++

ii) Native (Platform iOS)

- Swift

- Objective-C

- C#

iii) Native (Platform Windows)

- C#

- C++

iv) Hybrid (Cross-platform)

- Ionic

- Flutter

- Phone Gap (Apache Cordova)

- React Native

- Xamarin

- Appcelerator



Agensi dan fasiliti adalah digalakkan untuk menggunapakai

saluran perkhidmatan bagi tujuan muat naik dan muat turn

perisian aplikasi mobile di bawah Galeri Aplikasi Mudah Alih

Kerajaan Malaysia (GAMMA) yang disediakan oleh MAMPU.

9.3.2 Pangkalan data

a) Perisian berasaskan Sumber Terbuka

Keutamaan penggunaan perisian berasaskan sumber terbuka

adalah seperti berikut:-

i) MySQL

ii) MariaDB

iii) PostgreSQL

b) Perisian berlesen adalah bergantung kepada justifikasi keperluan

dan telah mendapat kelulusan teknikal ICT.

9.3.3 Sistem Operasi

a) Sistem Operasi berasaskan Sumber Terbuka Linux

Keutamaan penggunaan sistem operasi berasaskan sumber

terbuka adalah seperti berikut:-

i) CentOs

ii) Ubuntu

iii) SuSe

iv) RedHat

b) Perisian berlesen adalah bergantung kepada justifikasi keperluan


9.3.4 Web server

a) Apache HTTP Server

b) NGINX HTTP Server

c) Apache Tomcat

d) Perisian berlesen adalah bergantung kepada justifikasi keperluan




9.3.5 Browser

a) Mozilla Firefox

b) Google Chrome

c) Internet Explorer

d) Safari

9.3.6 Kod Standard

Pembangunan sistem aplikasi hendaklah mematuhi semua akta,

polisi, standard Kerajaan Malaysia dan KKM yang merangkumi

perkara berikut:

a) Data Dictionary Sektor Awam (DDSA);

b) Malaysia Health Data Dictionary (MyHDD);

c) ICD-10 versi yang akan ditetapkan oleh KKM;

d) ICD-9CM versi yang akan ditetapkan oleh KKM;

e) Health Level Seven International (HL7) / Fast Healthcare

Interoperability Resources (FHIR);

f) LOINC;

g) Snomed CT; dan

h) Lain-lain kod standard yang ditetapkan oleh KKM.

9.3.7 Sekiranya keperluan pembangunan di peringkat agensi dan fasiliti

tiada dalam senarai di atas, agensi dan fasiliti hendaklah

mengemukakan justifikasi keperluan yang kukuh semasa proses

permohonan kelulusan teknikal ICT.

9.4 Ketersediaan Integrasi

9.4.1 Pembangunan sistem aplikasi hendaklah mengambilkira ketersediaan

integrasi dengan sistem-sistem yang berkaitan bagi membolehkan

sistem-sistem aplikasi yang berasingan dapat beroperasi secara

bersepadu, seamless dan interoperable.

9.4.2 Prosedur Integrasi yang melibatkan sistem baharu atau sedia ada

termasuk aplikasi mobile dengan mana–mana sistem aplikasi KKM

hendaklah menggunakan kaedah yang bersesuaian yang tidak

memberi risiko ancaman keselamatan dan mematuhi standard seperti

di para 9.3.6.



9.5 Ujian Bukan Fungsian (Non Functional Test)

Agensi dan fasiliti hendaklah memastikan ujian bukan fungsian (Non Functional

Test) dilaksanakan ke atas sistem aplikasi yang telah siap dibangunkan:

i) Ujian prestasi (Performance Test) – untuk mengenal pasti bagaimana

sistem bertindak di bawah beban kerja dan kekangan tertentu untuk

melaksanakan sesuatu fungsi.

ii) Ujian bebanan (Load Test) – untuk memastikan tindak balas sistem

apabila berada di bawah beban yang berbeza (rendah, sederhana, tinggi).

iii) Ujian tekanan (Stress Test) – untuk menentukan tindak balas sistem

apabila diberi tekanan tertentu (melangkaui beban yang boleh ditampung

oleh sistem).

iv) Ujian keselamatan (Security Test) – untuk memastikan tahap kerentanan

(vulnerability) sistem terhadap ancaman keselamatan tertentu.

9.6 Hak Milik Perisian/ Kod Sumber Sistem Aplikasi

Semua hakcipta sumber kod dan pangkalan data yang dibangunkan untuk KKM

adalah menjadi HAK MILIK KERAJAAN MALAYSIA. Sumber kod tersebut

hendaklah dalam bentuk yang boleh dibaca, dipinda dan telah diuji serta

dilaksana (run) bagi memastikan sumber kod berkenaan adalah terkini dan

sama seperti di dalam persekitaran produksi.

9.7 Pemakaian domain/ subdomain

Semua sistem aplikasi yang telah siap dibangunkan hendaklah menggunapakai

perkhidmatan pendaftaran subdomain rasmi “namasistem.moh.gov.my”.

9.8 Dokumentasi

9.8.1 Dokumentasi merupakan serahan utama dalam proses pembangunan

sistem aplikasi bagi memastikan sistem aplikasi yang dibangunkan

adalah berkualiti dan memenuhi kehendak pengguna. Di samping itu,

ianya menjadi sumber rujukan bagi memastikan kesinambungan

maklumat dari aktiviti kajian keperluan sehingga aktiviti

penyelenggaraan sistem aplikasi.

9.8.2 Keperluan minima dokumentasi yang perlu dihasilkan untuk

pembangunan sistem aplikasi di KKM adalah seperti di Jadual 2

berikut:-



Jadual 2

Keperluan Minima Dokumentasi bagi Pembangunan Sistem

Aplikasi

Nama Dokumen Keterangan Dokumen Keperluan

Minima

D01 Pelan

Pembangunan

Sistem

Dokumen yang menerangkan aspek-

aspek perancangan dalam pengendalian

usaha-usaha pembangunan sistem yang

akan dijalankan.

√

D02 Spesifikasi

Keperluan Bisnes

(BRS)

Dokumen ini menerangkan skop

keperluan bisnes yang diperlukan oleh

pemegang taruh yang terdiri daripada

hierarki bisnes, rajah aliran proses dan

definisi fungsi bisnes.

√

D03 Spesifikasi

Keperluan Sistem

(SRS)

Dokumen ini menerangkan keperluan

sistem yang terdiri daripada keperluan

fungsian, keperluan bukan fungsian,

keperluan data dan keperluan aliran

fungsi dan data yang terlibat

√

D04 Spesifikasi

Rekabentuk Sistem

(SDS)

Dokumen ini menjelaskan arkitektur

aplikasi yang hendak dibangunkan,

rekabentuk antaramuka pengguna,

rekabentuk struktur pangkalan data dan

pemetaan antaramuka data dan logik

program yang perlu di programkan.

√

D05 Pelan Migrasi Data Dokumen ini menjelaskan pelan

pelaksanaan aktiviti migrasi data dan

pendekatan migrasi data.

Boleh

digabungkan

dengan D01

D06 Spesifikasi Migrasi

Data

Dokumen ini menjelaskan pendekatan,

arkitektur dan pemetaan migrasi data

yang akan dilaksanakan.

Kandungan

mungkin

boleh

digabungkan

dengan D04

D07 Pelan Integrasi Data Dokumen ini menjelaskan pelan

pelaksanaan dan pendekatan Integrasi

data.

Boleh

digabungkan

dengan D01

D08 Spesifikasi Integrasi

Data

Dokumen ini menjelaskan pendekatan,

arkitektur dan rekabentuk integrasi sistem

yang akan dibangunkan.

Kandungan

mungkin

boleh

digabungkan

dengan D04

D09 Dokumentasi

Pangkalan Data

Dokumen yang mengandungi ringkasan

maklumat dan skrip pangkalan data yang

digunakan untuk membangunkan

pangkalan data fizikal.

√




Minima

D10 Dokumentasi Kod

Sumber

Dokumen yang mengandungi senarai kod

aturcara yang meliputi struktur direktori

dan hiarki fail. Serta garis panduan yang

mengesyorkan perkara berkaitan gaya

pengaturcaraan (style), konvensyen

penamaan, indentation, ulasan/komen,

pengistiharan pembolehubah, penyataan

SQL dan lain-lain yang perlu dipatuhi oleh

semua pengaturcara.

√

D11 Laporan Ujian

Sistem

Dokumen ini mengandungi laporan

berkenaan ujian sistem yang telah

dilaksanakan, ia juga meringkaskan dan

menyimpulkan jika perisian sedia untuk

dilancarkan.

√

D12 Pelan Induk

Pengujian

Dokumen yang menyenaraikan semua

aktiviti bagi fasa pengujian sistem seperti

jadual pelaksanaan, takrifan skop, tugas

dan tanggungjawab pasukan penguji

sistem, risiko, kriteria input & output serta

objektif ujian. Ia termasuk Pelan Ujian

Unit (Unit Test Plan), Pelan Ujian

Integrasi (Integration Test Plan), Pelan

Ujian Sistem (System Test Plan) dan

Pelan Ujian Penerimaan (Acceptance

Test Plan).

√

D13 Pelan Ujian

Penerimaan

(UAT/PAT)

Pelan UAT/PAT menggariskan

pendekatan, pertimbangan dan langkah-

langkah dalam melaksanakan UAT/PAT.

Boleh

digabungkan

dengan D12

D14 Laporan UAT/PAT a) Dokumen ini mengandungi laporan

hasil UAT/PAT, hasil ujian akan

menjadi entry criteria kepada aktiviti

UAT/PAT.

b) Dokumen ini mengandungi laporan

hasil UAT/PAT, hasil ujian akan

menjadi entry criteria kepada aktiviti

Ujian Penerimaan Akhir (FAT).

√

D15 Laporan Migrasi

Data

Dokumen ini mengandungi laporan hasil

aktiviti migrasi data yang telah

dilaksanakan.

√

D16 Laporan

Penamatan Ujian

Dokumen ini mengandungi laporan hasil

ujian penerimaan akhir yang dilaksanakan

sebelum sistem diserahkan kepada

pemilik sistem.

√




Minima

D17 Manual Pengguna Dokumen ini menyediakan kaedah

penggunaan sistem aplikasi yang

dibangunkan.

√

D18 Laporan Serahan

Sistem

Dokumen ini menerangkan status

pencapaian perancangan dan perhatian

yang perlu diberi perhatian oleh pemilik

sistem aplikasi dalam penyelenggaraan

sistem

√

10. Infrastruktur Sistem Aplikasi

Berikut adalah tindakan pengurusan infrastruktur sistem aplikasi yang perlu dipatuhi oleh agensi dan fasiliti :- 10.1 Keperluan pemasangan perisian yang melibatkan sistem pengoperasian,

keselamatan dan perisian aplikasi yang tulen sahaja dibenarkan dalam production server.

10.2 Menjalankan semakan dan konfigurasi semula ke atas Default Configuration sama ada pada perisian atau server serta mengemaskini dan menutup (disable) perisian/ services yang tidak berkaitan.

10.3 Melaksanakan tindakan pengukuhan ke atas penetapan kata laluan server, pangkalan data, perisian aplikasi dan lain-lain yang berkaitan.

10.4 Memastikan patches dan versi terkini perisian diselenggara bagi mengelakkan berlaku insiden ancaman keselamatan.

10.5 Semua sistem aplikasi berasaskan web hendaklah diletakkan di dalam zon DMZ (demilitarized zone) manakala pangkalan data ditempatkan di secured zone.

10.6 Penggunaan XAMPP/WAMP/MAPP dan seumpamanya sebagai web server

pada persekitaran sebenar (production environment) adalah tidak dibenarkan.

10.7 Prinsip Pengasingan

i) Prinsip pengasingan bermaksud semua tugasan mewujud, memadam, mengemaskini, mengubah dan mengesahkan data perlu diasingkan.

ii) Kepentingan pengasingan bertujuan untuk menghindar daripada capaian yang tidak dibenarkan dan melindungi aset ICT daripada kesilapan, kebocoran atau manipulasi ke atas maklumat terperingkat.



iii) Pada tahap minimum, semua sistem ICT perlu mengekalkan persekitaran operasi yang berasingan seperti berikut :-

a) Persekitaran pembangunan (development environment) adalah

persekitaran untuk menempatkan sistem aplikasi dalam fasa pembangunan;

b) Persekitaran penerimaan/ pengujian (testing environment) adalah

persekitaran untuk menempatkan sistem aplikasi dalam fasa pengujian; dan

c) Persekitaran sebenar (production environment) adalah persekitaran untuk menempatkan sistem aplikasi yang sedia beroperasi.

11. Keselamatan Sistem Aplikasi

11.1 Keselamatan sistem aplikasi merupakan salah satu aspek penting bagi

memastikan sistem aplikasi yang dibangunkan adalah selamat dan menjamin

kesinambungan perkhidmatan dengan meminimumkan kesan insiden

keselamatan ICT (khususnya risiko pencerobohan maklumat).

11.2 Penilaian tahap keselamatan hendaklah dilaksanakan oleh pihak ketiga bagi

menilai tahap keselamatan sistem aplikasi yang telah dibangunkan.

11.3 Berikut merupakan kawalan keselamatan bagi melindungi sistem aplikasi yang

dibangunkan :-

11.3.1 Agensi dan fasiliti KKM disarankan memasang mekanisme

keselamatan rangkaian meliputi firewall, Intrusion Detection System

(IDS), Intrusion Prevention System (IPS), content filtering dan

antivirus bagi melindungi infrastruktur KKM dari sebarang ancaman

keselamatan.

11.3.2 Semasa fasa pembangunan sistem aplikasi, beberapa perkara

berikut perlu dilaksanakan bagi menjamin keselamatan sistem

aplikasi :-

11.3.2.1 Memastikan setiap input ke dalam aplikasi perlu melalui

proses verifikasi bagi mengelakkan serangan SQL

Injection.



11.3.2.2 Melaksanakan kaedah Stored Procedure ke atas

pangkalan data bagi operasi SELECT, UPDATE, DELETE

dan INSERT untuk mengelak daripada ancaman SQL

Injection.

11.3.2.3 Menggunakan protokol rangkaian keselamatan Transport

Layer Security (TLS) dan Secure Socket Layer (SSL)

pada peringkat pelayan aplikasi bagi melindungi integriti

dan kerahsiaan sesuatu maklumat semasa proses

penghantaran maklumat melalui sistem aplikasi.

11.3.2.4 Memastikan pelayan sistem aplikasi hanya enabled TLS

dan SSL yang digunakan dan perlu sahaja.

11.3.2.5 Memastikan penggunaan Sijil SSL sekurang-kurangnya

2048 bit dengan enkripsi SHA 256 atau lebih tinggi dan

juga memastikan Sijil SSL masih sah, tindakan penukaran

atau pembaharuan sijil perlu dilaksanakan sebelum tarikh

tamat sijil SSL.

11.3.2.6 Mesej ralat tidak boleh memaparkan mesej dalaman

sistem seperti nama table, prosedur, error code dan

sebagainya kepada pengguna bagi mengelak risiko

digodam.

11.3.2.7 Memastikan adanya session termination (frontend /

backend).

11.3.2.8 Melaksanakan aktiviti pengukuhan sebelum Go Live

sistem aplikasi yang melibatkan perkara berikut:

a) Memastikan imbasan Security Posture Assessment

(SPA) dibuat untuk menilai tahap keselamatan

aplikasi, pelayan dan rangkaian.

b) Melaksanakan pengukuhan hasil penemuan imbasan

termasuk patches, firmware dan lain-lain.

11.4 Semasa Go Live beberapa aktiviti pengukuhan perlu dilaksanakan seperti

berikut :-

11.4.1 Melaksanakan pengauditan infrastruktur dan keselamatan ICT

sistem aplikasi.



11.4.2 Memastikan aktiviti imbasan vulnerabilities dilaksanakan secara

berkala meliputi perisian pengoperasian, pangkalan data dan

perisian aplikasi dan sistem aplikasi.

11.4.3 Melaksanakan tindakan pengukuhan ke atas hasil penemuan SPA

mengikut keutamaan dan tahap risiko ancaman.

11.4.4 Memastikan patches sistem dikemaskini secara berterusan dan

melakukan upgrade perisian / firmware mengikut keperluan.

11.5 Pengurusan keselamatan sistem aplikasi termasuk perkara berikut :-

11.5.1 Membangunkan jejak audit ke atas semua sistem pengoperasian

terutama terhadap pengguna bertaraf Super User.

11.5.2 Menyimpan dan menganalisis rekod jejak audit selaras dengan

DKICT KKM.

11.5.3 Mengawal had capaian dengan menggunakan prosedur Log On

yang terjamin.

11.5.4 Mengehadkan setiap aktiviti capaian kepada pengguna yang sah

sahaja bagi sistem aplikasi berisiko tinggi.

11.5.5 Mengenalpasti aktiviti tidak normal dalam sistem aplikasi seperti

pencerobohan dan pengubahsuaian tahap kebenaran dengan

membatalkan atau menghentikan serta merta.

PENUTUP

12. Semua agensi dan fasiliti KKM mestilah mematuhi garis panduan ini dalam

pengurusan pembangunan/ peningkatan sistem aplikasi di KKM dan hendaklah

dirujuk/ dibaca bersama dengan :

i) Lampiran 1 kepada Surat Pekeliling Am Bilangan 1 Tahun 2016 Kementerian

Kesihatan Malaysia – Garis Panduan Memohon Kelulusan dan Pemantauan

Projek ICT Kementerian Kesihatan Malaysia.

ii) Surat Pekeliling Am Bilangan 3 Tahun 2015 - Garis Panduan Permohonan

Kelulusan Teknikal dan Pemantauan Projek Teknologi Maklumat dan

Komunikasi (ICT) Agensi Sektor Awam.



iii) Surat Arahan Teknologi Maklumat dan Komunikasi (ICT) bagi Melaksanakan

Kajian Impak dan Prasyarat Permohonan Pembangunan Aplikasi Inhouse

Kementerian Kesihatan Malaysia (KKM) (No.Rujukan: KKM.S.100-6/1/2

Jld.4(26) bertarikh 13 Julai 2018).

iv) Surat Pekeliling Ketua Setiausaha Kementerian Kesihatan Malaysia Bilangan

10 Tahun 2019 - Dasar Keselamatan ICT Kementerian Kesihatan Malaysia

(KKM) Versi 5.0.

v) Buku Panduan Kejuruteraan Sistem Aplikasi Sektor Awam (KRISA), Unit

Pemodenan Tadbiran dan Perancangan Pengurusan Malaysia (MAMPU),

2019.

vi) Pekeliling Transformasi Pentadbiran Awam Bilangan 3 Tahun 2018 - Panduan

Pengurusan Projek ICT Sektor Awam (PPrISA).

vii) Surat Pekeliling Ketua Setiausaha Kementerian Kesihatan Malaysia Bilangan 5

Tahun 2019 - Tatacara Pengurusan Penyenggaraan ICT.

viii) Rangka Kerja Keselamatan Siber Sektor Awam (RAKKSSA), Versi 1.0, April

2016.

ix) Portal Galeri Aplikasi Mudah Alih Kerajaan Malaysia (GAMMA).

RUJUKAN

a. Surat Pekeliling Am Kementerian Kesihatan Bilangan 1 Tahun 2016 – Tatacara Pelaksanaan Projek ICT di Kementerian Kesihatan Malaysia (KKM).

b. Surat Arahan dan Teknologi Maklumat (ICT) bagi Melaksanakan Kajian Impak dan Prasyarat Permohonan Pembangunan Aplikasi Inhouse KKM bertarikh 13 Julai 2018.

c. NIC CERT- Website Security Guidelines

d. Prosedur Pengurusan Keselamatan ICT Versi 1.0 Jabatan Akauntan Malaysia

e. Garis Panduan Mengenai Struktur Tadbir Urus Jawatankuasa Laman Web / Portal

Kementerian Kesihatan Malaysia

f. Buku Panduan Kejuruteraan Sistem Aplikasi Sektor Awam (KRISA), Unit Pemodenan Tadbiran dan Perancangan Pengurusan Malaysia (MAMPU), 2019.

Documents

GARIS PANDUAN PEMBANGUNAN APLIKASI KEMENTERIAN …