Upload
others
View
24
Download
0
Embed Size (px)
Citation preview
CETAKAN VOLUME TARIKH M/SURAT
PERTAMA VOLUME 1 OKTOBER 2019 1 dari 18
GARIS PANDUAN PEMBANGUNAN APLIKASI
KEMENTERIAN KESIHATAN MALAYSIA (KKM)
VOLUME : 1
NOVEMBER 2019
CETAKAN VOLUME TARIKH M/SURAT
PERTAMA VOLUME 1 OKTOBER 2019 2 dari 18
GARIS PANDUAN PEMBANGUNAN SISTEM APLIKASI KEMENTERIAN KESIHATAN MALAYSIA (KKM)
TUJUAN
1. Garis panduan ini bertujuan untuk memberi panduan asas kepada agensi dan fasiliti
KKM dalam melaksanakan pembangunan/ peningkatan sistem aplikasi secara
in-house dan outsource bagi mewujudkan keseragaman dan inteoperability antara
sistem aplikasi di KKM.
LATAR BELAKANG
2. Pelan Strategik Teknologi Maklumat KKM (2016 – 2020) di bawah Teras Strategik
ICT 1 – Langkah Strategik ICT 1 – Inisiatif ICT 3 : Standard dan Garis Panduan
Persekitaran Pembangunan Aplikasi ICT KKM telah menggariskan agar satu
panduan disediakan kepada agensi dan fasiliti KKM berkaitan persekitaran
pembangunan sistem aplikasi.
3. Mesyuarat Jawatankuasa Teknikal ICT KKM Bilangan 9 Tahun 2018 pada
5 Disember 2018 telah memutuskan agar satu garis panduan pembangunan sistem
aplikasi disediakan sebagai rujukan semua agensi dan fasiliti KKM.
TAKRIFAN
4. Takrifan yang digunakan di dalam garis panduan ini adalah seperti berikut :
i. Agensi merujuk kepada agensi di KKM meliputi Kementerian, Bahagian,
Institusi, Jabatan dan Badan Berkanun.
ii. Fasiliti merujuk kepada fasiliti di KKM meliputi Hospital / Institut, Klinik dan
Kolej.
CETAKAN VOLUME TARIKH M/SURAT
PERTAMA VOLUME 1 OKTOBER 2019 3 dari 18
OBJEKTIF
5. Objektif garis panduan ini adalah untuk:
i. Memastikan keperluan dan proses pembangunan sistem aplikasi mematuhi
prosedur/ piawaian yang telah ditetapkan.
ii. Memastikan penggunaan perisian/ tools pembangunan sistem aplikasi yang
seragam bagi memudahkan konsolidasi dan integrasi sistem aplikasi ICT KKM
secara menyeluruh.
SKOP
6. Skop garis panduan ini adalah untuk pembangunan sistem aplikasi baharu atau
peningkatan sistem aplikasi sedia ada yang dilaksanakan secara in-house dan
outsource.
PELAKSANAAN PEMBANGUNAN/ PENINGKATAN SISTEM APLIKASI
7. Pelaksanaan pembangunan/ peningkatan sistem aplikasi di KKM merangkumi empat
(4) komponen utama iaitu:
i. Permohonan Kelulusan Projek ICT
ii. Pengurusan Pembangunan/Peningkatan Sistem Aplikasi
iii. Infrastruktur Sistem Aplikasi
iv. Keselamatan Sistem Aplikasi
8. Permohonan Kelulusan Projek ICT
8.1 Semua agensi dan fasiliti yang mempunyai perancangan dalam membangun/
meningkatkan sistem aplikasi mestilah mematuhi garis panduan yang sedang
berkuatkuasa seperti berikut :
i. Surat Pekeliling Am Bilangan 1 Tahun 2016 - Tatacara Pelaksanaan Projek
ICT di Kementerian Kesihatan Malaysia (KKM); dan
ii. Surat Arahan Teknologi Maklumat dan Komunikasi (ICT) bagi
Melaksanakan Kajian Impak dan Prasyarat Permohonan Pembangunan
Aplikasi Inhouse Kementerian Kesihatan Malaysia (KKM) (No.Rujukan:
KKM.S.100-6/1/2 Jld.4(26) bertarikh 13 Julai 2018).
CETAKAN VOLUME TARIKH M/SURAT
PERTAMA VOLUME 1 OKTOBER 2019 4 dari 18
9. Pengurusan Pembangunan/ Peningkatan Sistem Aplikasi
9.1 Panduan Kejuruteraan Sistem Aplikasi Sektor Awam (KRISA)
9.1.1 Metodologi pembangunan/ peningkatan sistem aplikasi di KKM
hendaklah mematuhi KRISA yang diterbitkan oleh MAMPU. Metodologi
ini merangkumi enam (6) fasa utama seperti Jadual 1 iaitu :-
Jadual 1
Ringkasan Enam (6) Fasa Utama Metodologi Pembangunan Sistem Aplikasi
Bil. Fasa Keterangan Penglibatan Serahan Projek
i) Permulaan
Projek
Proses penyediaan Pelan
Perancangan
Pembangunan Sistem
dan Pelaksanaan kajian
keperluan bisnes yang
merangkumi Pemodelan
Fungsi dan Proses Bisnes
Pemilik
Projek
Pengurusan
Organisasi
Subject
Matter
Expert
(SME)
Pasukan
Projek ICT
- Pelan
Pembangunan
Sistem
- Spesifikasi
Keperluan
Bisnes (BRS)
ii) Analisis Melaksana analisis ke
atas keperluan bisnes dan
data secara terperinci
untuk diterjemahkan dari
sudut perspektif
pembangunan sistem
Pemilik
Projek
Subject
Matter
Expert
(SME)
Pengguna
Sistem
Pasukan
Projek ICT
- Spesifikasi
Keperluan
Sistem (SRS)
iii) Rekabentuk Fasa penghasilan
Arkitektur sistem
melibatkan aktiviti
rekabentuk arkitektur,
rekabentuk sistem,
rekabentuk pangkalan
data, serta penentuan
teknologi yang akan
diguna pakai.
Pemilik
Projek
Subject
Matter
Expert
(SME)
Pasukan
Projek ICT
- Spesifikasi
Rekabentuk
Sistem (SDS)
- Pelan Migrasi
Data (Jika Perlu)
- Spesifikasi
Migrasi Data
(Jika Perlu)
- Pelan Integrasi
Data (Jika Perlu)
- Spesifikasi
Integrasi Data
(Jika Perlu)
CETAKAN VOLUME TARIKH M/SURAT
PERTAMA VOLUME 1 OKTOBER 2019 5 dari 18
Bil. Fasa Keterangan Penglibatan Serahan Projek
iv) Pembangunan - Proses penghasilan
dan pengujian sistem
oleh pasukan
pembangun.
- Aktiviti-aktiviti yang
dilaksanakan
melibatkan
pembangunan
pangkalan data,
pengaturcaraan sistem
dan pengujian sistem.
Pengurus
Projek
Pentadbir
Pangkalan
Data (DBA)
Pasukan
Pembangun
Pasukan
Penguji
Pemilik
Prosedur
- Dokumentasi
Pangkalan Data
- Dokumentasi
Kod Sumber
- Laporan Ujian
Sistem
v) Pengujian Ujian ini dilaksanakan
sebagai validasi ke atas
sistem aplikasi yang
dibangunkan berdasarkan
keperluan pengguna dan
keperluan sistem bagi
memastikan keperluan
tersebut dipenuhi sebelum
sistem aplikasi
dilaksanakan.
Pemilik
Projek
Subject
Matter
Expert
(SME)
Pasukan
Projek ICT
Pasukan
Pembangun
Pemilik
Prosedur
Pengguna
Sistem
- Pelan Induk
Pengujian
- Laporan
UAT/PAT
vi) Pelaksanaan Aktiviti persediaan
pelaksanaan sistem
merangkumi migrasi data,
ujian penerimaan akhir,
persediaan manual
pengguna dan laporan
serahan sistem.
Pemilik
Projek
Pelanggan
Organisasi
Pelaksana
- Laporan Migrasi
Data (Jika Perlu)
- Laporan
Pengujian
Penerimaan
Akhir (FAT)
- Manual
Pengguna
- Laporan Serahan
Sistem
9.2 Peranan dan Tanggungjawab
Peranan dan Tanggungjawab bagi penglibatan Pemegang Taruh untuk setiap
aktiviti pada fasa yang telibat adalah seperti berikut:
i. Pemilik Projek - adalah ketua agensi/ fasiliti yang memiliki fungsi dan
mempunyai kuasa terhadap dasar dan prosidur sistem aplikasi yang
sedang dibangunkan. Bertanggungjawab dalam memastikan sistem
aplikasi yang dibangunkan memenuhi keperluan agensi/ fasiliti dan
bertanggungjawab sepenuhnya sepanjang tempoh pembangunan dan
pelaksanaan projek.
CETAKAN VOLUME TARIKH M/SURAT
PERTAMA VOLUME 1 OKTOBER 2019 6 dari 18
ii. Subject Matter Expert (SME) - adalah kumpulan pegawai rujukan kepada
fungsi bisnes agensi/ fasiliti berkaitan dengan sistem aplikasi yang akan
dibangunkan.
iii. Pengurusan Organisasi – merupakan pengurusan atasan di agensi/
fasiliti yang bertanggungjawab dalam memastikan sistem aplikasi yang
dibangunkan adalah selaras dengan visi, misi dan hala tuju yang telah
ditetapkan oleh organisasi. Sokongan daripada pengurusan atasan
agensi/ fasiliti adalah faktor utama yang membawa kepada kejayaan
pembangunan dan pelaksanaan sistem aplikasi.
iv. Pemilik Proses/Prosidur – adalah kumpulan pegawai yang terlibat dalam
penggubalan dan penentuan prosidur ke atas sesuatu proses kerja yang
terlibat dalam pembangunan sistem aplikasi.
v. Pengurus Projek – bertanggungjawab dalam memantau kemajuan
pembangunan supaya mengikut perancangan, mengenalpasti risiko
semasa pembangunan, berkomunikasi antara pasukan pembangun
dengan SME sepanjang tempoh pembangunan projek.
vi. Pasukan Projek ICT – merupakan kumpulan pegawai ICT yang
bertanggungjawab dalam mengendalikan urusan yang berkaitan dengan
teknikal ICT sepanjang tempoh pembangunan dan pelaksanaan projek.
vii. Pentadbir Pangkalan Data (DBA) – individu atau kumpulan kecil yang
bertanggungjawab dalam perancangan, analisa, rekabentuk,
pembangunan dan penyelenggaraan serta pengurusan pentadbiran
pangkalan data.
viii. Pasukan Pembangun – kumpulan/ individu yang bertanggungjawab
dalam menulis/ membangun kod aturcara, melaksanakan pengujian
sistem (fasa pembangunan) dan menjalankan tindakan pembetulan ke
atas sistem aplikasi berdasarkan laporan ujian yang dikeluarkan oleh
Pasukan Penguji sistem aplikasi.
ix. Pasukan Penguji – merupakan kumpulan yang menyediakan
dokumentasi berkaitan pengujian, mengendali dan melaksanakan aktiviti
pengujian.
x. Pengguna Sistem – adalah kumpulan/ individu yang terlibat dalam
penyediaan skrip/senario pengujian, pengujian dan memberi maklum
balas terhadap ujian penerimaan yang dilaksanakan serta merupakan
pengguna akhir sistem aplikasi.
CETAKAN VOLUME TARIKH M/SURAT
PERTAMA VOLUME 1 OKTOBER 2019 7 dari 18
xi. Organisasi Pelaksana – adalah organisasi yang terlibat secara langsung
dalam penerimaan, pelaksanaan dan penyelenggaraan sistem aplikasi
yang dibangunkan.
xii. Pelanggan – orang perseorangan atau organisasi yang menggunakan
sistem aplikasi yang dibangunkan.
9.3 Piawaian perisian/ tools
Penetapan piawaian perisian/ tools standard adalah bagi memastikan proses
pembangunan dan penyelenggaraan sistem aplikasi dapat diseragamkan.
Penentuan penggunaan sesuatu teknologi dan tools yang sesuai bagi
pembangunan sistem aplikasi merupakan salah satu aspek yang penting untuk
dipertimbangkan. Agensi/ fasiliti perlu mengambilkira beberapa aspek berikut
sebelum membuat keputusan dalam penentuan teknologi dan tools
pembangunan sistem aplikasi:
i) Kebolehlaksanaan Teknikal - penilaian kematangan atau keupayaan
teknologi untuk berfungsi dengan teknologi yang lain;
ii) Kebolehlaksanaan Operasi - kesesuaian pihak pengurusan, pegawai,
pengguna dan teknologi sedia ada dengan teknologi yang dicadangkan;
dan
iii) Kebolehlaksanaan Ekonomi - penilaian sama ada teknologi yang
digunakan berpatutan dan kos efektif.
Penggunaan Perisian/ tools asas di KKM yang diberi keutamaan adalah seperti
berikut:-
9.3.1 Bahasa Pengaturcaraan
a) PHP Hypertext Preprocessor (PHP)
i) Tanpa mengguna pakai framework
ii) Mengguna pakai framework :
Keutamaan dan pertimbangan JTICT dan JPICT ke atas
penggunaan jenis framework ini adalah seperti berikut :-
- CodeIgniter
- Laravel
- Yii
- Drupal (CMS)
- Zend
- CakePHP
CETAKAN VOLUME TARIKH M/SURAT
PERTAMA VOLUME 1 OKTOBER 2019 8 dari 18
b) Java
i) Tanpa mengguna pakai framework
ii) Mengguna pakai framework :
Keutamaan dan pertimbangan JTICT dan JPICT ke atas
penggunaan jenis framework ini adalah seperti berikut :-
- Spring
- Smart GWT
- Vaadin
- ZK
c) Javascript Web Framework
i) Angular
ii) React
iii) Vue.js
iv) Ember.js
v) Node.js
d) Aplikasi mobile
Keutamaan dan pertimbangan JTICT dan JPICT ke atas
penggunaan perisian/ tools berkaitan aplikasi mobile adalah
seperti senarai berikut:-
i) Native (Platform Android)
- Java
- Kotlin
- C#
- C++
ii) Native (Platform iOS)
- Swift
- Objective-C
- C#
iii) Native (Platform Windows)
- C#
- C++
iv) Hybrid (Cross-platform)
- Ionic
- Flutter
- Phone Gap (Apache Cordova)
- React Native
- Xamarin
- Appcelerator
CETAKAN VOLUME TARIKH M/SURAT
PERTAMA VOLUME 1 OKTOBER 2019 9 dari 18
Agensi dan fasiliti adalah digalakkan untuk menggunapakai
saluran perkhidmatan bagi tujuan muat naik dan muat turn
perisian aplikasi mobile di bawah Galeri Aplikasi Mudah Alih
Kerajaan Malaysia (GAMMA) yang disediakan oleh MAMPU.
9.3.2 Pangkalan data
a) Perisian berasaskan Sumber Terbuka
Keutamaan penggunaan perisian berasaskan sumber terbuka
adalah seperti berikut:-
i) MySQL
ii) MariaDB
iii) PostgreSQL
b) Perisian berlesen adalah bergantung kepada justifikasi keperluan
dan telah mendapat kelulusan teknikal ICT.
9.3.3 Sistem Operasi
a) Sistem Operasi berasaskan Sumber Terbuka Linux
Keutamaan penggunaan sistem operasi berasaskan sumber
terbuka adalah seperti berikut:-
i) CentOs
ii) Ubuntu
iii) SuSe
iv) RedHat
b) Perisian berlesen adalah bergantung kepada justifikasi keperluan
dan telah mendapat kelulusan teknikal ICT.
9.3.4 Web server
a) Apache HTTP Server
b) NGINX HTTP Server
c) Apache Tomcat
d) Perisian berlesen adalah bergantung kepada justifikasi keperluan
dan telah mendapat kelulusan teknikal ICT.
CETAKAN VOLUME TARIKH M/SURAT
PERTAMA VOLUME 1 OKTOBER 2019 10 dari 18
9.3.5 Browser
a) Mozilla Firefox
b) Google Chrome
c) Internet Explorer
d) Safari
9.3.6 Kod Standard
Pembangunan sistem aplikasi hendaklah mematuhi semua akta,
polisi, standard Kerajaan Malaysia dan KKM yang merangkumi
perkara berikut:
a) Data Dictionary Sektor Awam (DDSA);
b) Malaysia Health Data Dictionary (MyHDD);
c) ICD-10 versi yang akan ditetapkan oleh KKM;
d) ICD-9CM versi yang akan ditetapkan oleh KKM;
e) Health Level Seven International (HL7) / Fast Healthcare
Interoperability Resources (FHIR);
f) LOINC;
g) Snomed CT; dan
h) Lain-lain kod standard yang ditetapkan oleh KKM.
9.3.7 Sekiranya keperluan pembangunan di peringkat agensi dan fasiliti
tiada dalam senarai di atas, agensi dan fasiliti hendaklah
mengemukakan justifikasi keperluan yang kukuh semasa proses
permohonan kelulusan teknikal ICT.
9.4 Ketersediaan Integrasi
9.4.1 Pembangunan sistem aplikasi hendaklah mengambilkira ketersediaan
integrasi dengan sistem-sistem yang berkaitan bagi membolehkan
sistem-sistem aplikasi yang berasingan dapat beroperasi secara
bersepadu, seamless dan interoperable.
9.4.2 Prosedur Integrasi yang melibatkan sistem baharu atau sedia ada
termasuk aplikasi mobile dengan mana–mana sistem aplikasi KKM
hendaklah menggunakan kaedah yang bersesuaian yang tidak
memberi risiko ancaman keselamatan dan mematuhi standard seperti
di para 9.3.6.
CETAKAN VOLUME TARIKH M/SURAT
PERTAMA VOLUME 1 OKTOBER 2019 11 dari 18
9.5 Ujian Bukan Fungsian (Non Functional Test)
Agensi dan fasiliti hendaklah memastikan ujian bukan fungsian (Non Functional
Test) dilaksanakan ke atas sistem aplikasi yang telah siap dibangunkan:
i) Ujian prestasi (Performance Test) – untuk mengenal pasti bagaimana
sistem bertindak di bawah beban kerja dan kekangan tertentu untuk
melaksanakan sesuatu fungsi.
ii) Ujian bebanan (Load Test) – untuk memastikan tindak balas sistem
apabila berada di bawah beban yang berbeza (rendah, sederhana, tinggi).
iii) Ujian tekanan (Stress Test) – untuk menentukan tindak balas sistem
apabila diberi tekanan tertentu (melangkaui beban yang boleh ditampung
oleh sistem).
iv) Ujian keselamatan (Security Test) – untuk memastikan tahap kerentanan
(vulnerability) sistem terhadap ancaman keselamatan tertentu.
9.6 Hak Milik Perisian/ Kod Sumber Sistem Aplikasi
Semua hakcipta sumber kod dan pangkalan data yang dibangunkan untuk KKM
adalah menjadi HAK MILIK KERAJAAN MALAYSIA. Sumber kod tersebut
hendaklah dalam bentuk yang boleh dibaca, dipinda dan telah diuji serta
dilaksana (run) bagi memastikan sumber kod berkenaan adalah terkini dan
sama seperti di dalam persekitaran produksi.
9.7 Pemakaian domain/ subdomain
Semua sistem aplikasi yang telah siap dibangunkan hendaklah menggunapakai
perkhidmatan pendaftaran subdomain rasmi “namasistem.moh.gov.my”.
9.8 Dokumentasi
9.8.1 Dokumentasi merupakan serahan utama dalam proses pembangunan
sistem aplikasi bagi memastikan sistem aplikasi yang dibangunkan
adalah berkualiti dan memenuhi kehendak pengguna. Di samping itu,
ianya menjadi sumber rujukan bagi memastikan kesinambungan
maklumat dari aktiviti kajian keperluan sehingga aktiviti
penyelenggaraan sistem aplikasi.
9.8.2 Keperluan minima dokumentasi yang perlu dihasilkan untuk
pembangunan sistem aplikasi di KKM adalah seperti di Jadual 2
berikut:-
CETAKAN VOLUME TARIKH M/SURAT
PERTAMA VOLUME 1 OKTOBER 2019 12 dari 18
Jadual 2
Keperluan Minima Dokumentasi bagi Pembangunan Sistem
Aplikasi
Nama Dokumen Keterangan Dokumen Keperluan
Minima
D01 Pelan
Pembangunan
Sistem
Dokumen yang menerangkan aspek-
aspek perancangan dalam pengendalian
usaha-usaha pembangunan sistem yang
akan dijalankan.
√
D02 Spesifikasi
Keperluan Bisnes
(BRS)
Dokumen ini menerangkan skop
keperluan bisnes yang diperlukan oleh
pemegang taruh yang terdiri daripada
hierarki bisnes, rajah aliran proses dan
definisi fungsi bisnes.
√
D03 Spesifikasi
Keperluan Sistem
(SRS)
Dokumen ini menerangkan keperluan
sistem yang terdiri daripada keperluan
fungsian, keperluan bukan fungsian,
keperluan data dan keperluan aliran
fungsi dan data yang terlibat
√
D04 Spesifikasi
Rekabentuk Sistem
(SDS)
Dokumen ini menjelaskan arkitektur
aplikasi yang hendak dibangunkan,
rekabentuk antaramuka pengguna,
rekabentuk struktur pangkalan data dan
pemetaan antaramuka data dan logik
program yang perlu di programkan.
√
D05 Pelan Migrasi Data Dokumen ini menjelaskan pelan
pelaksanaan aktiviti migrasi data dan
pendekatan migrasi data.
Boleh
digabungkan
dengan D01
D06 Spesifikasi Migrasi
Data
Dokumen ini menjelaskan pendekatan,
arkitektur dan pemetaan migrasi data
yang akan dilaksanakan.
Kandungan
mungkin
boleh
digabungkan
dengan D04
D07 Pelan Integrasi Data Dokumen ini menjelaskan pelan
pelaksanaan dan pendekatan Integrasi
data.
Boleh
digabungkan
dengan D01
D08 Spesifikasi Integrasi
Data
Dokumen ini menjelaskan pendekatan,
arkitektur dan rekabentuk integrasi sistem
yang akan dibangunkan.
Kandungan
mungkin
boleh
digabungkan
dengan D04
D09 Dokumentasi
Pangkalan Data
Dokumen yang mengandungi ringkasan
maklumat dan skrip pangkalan data yang
digunakan untuk membangunkan
pangkalan data fizikal.
√
CETAKAN VOLUME TARIKH M/SURAT
PERTAMA VOLUME 1 OKTOBER 2019 13 dari 18
Nama Dokumen Keterangan Dokumen Keperluan
Minima
D10 Dokumentasi Kod
Sumber
Dokumen yang mengandungi senarai kod
aturcara yang meliputi struktur direktori
dan hiarki fail. Serta garis panduan yang
mengesyorkan perkara berkaitan gaya
pengaturcaraan (style), konvensyen
penamaan, indentation, ulasan/komen,
pengistiharan pembolehubah, penyataan
SQL dan lain-lain yang perlu dipatuhi oleh
semua pengaturcara.
√
D11 Laporan Ujian
Sistem
Dokumen ini mengandungi laporan
berkenaan ujian sistem yang telah
dilaksanakan, ia juga meringkaskan dan
menyimpulkan jika perisian sedia untuk
dilancarkan.
√
D12 Pelan Induk
Pengujian
Dokumen yang menyenaraikan semua
aktiviti bagi fasa pengujian sistem seperti
jadual pelaksanaan, takrifan skop, tugas
dan tanggungjawab pasukan penguji
sistem, risiko, kriteria input & output serta
objektif ujian. Ia termasuk Pelan Ujian
Unit (Unit Test Plan), Pelan Ujian
Integrasi (Integration Test Plan), Pelan
Ujian Sistem (System Test Plan) dan
Pelan Ujian Penerimaan (Acceptance
Test Plan).
√
D13 Pelan Ujian
Penerimaan
(UAT/PAT)
Pelan UAT/PAT menggariskan
pendekatan, pertimbangan dan langkah-
langkah dalam melaksanakan UAT/PAT.
Boleh
digabungkan
dengan D12
D14 Laporan UAT/PAT a) Dokumen ini mengandungi laporan
hasil UAT/PAT, hasil ujian akan
menjadi entry criteria kepada aktiviti
UAT/PAT.
b) Dokumen ini mengandungi laporan
hasil UAT/PAT, hasil ujian akan
menjadi entry criteria kepada aktiviti
Ujian Penerimaan Akhir (FAT).
√
D15 Laporan Migrasi
Data
Dokumen ini mengandungi laporan hasil
aktiviti migrasi data yang telah
dilaksanakan.
√
D16 Laporan
Penamatan Ujian
Dokumen ini mengandungi laporan hasil
ujian penerimaan akhir yang dilaksanakan
sebelum sistem diserahkan kepada
pemilik sistem.
√
CETAKAN VOLUME TARIKH M/SURAT
PERTAMA VOLUME 1 OKTOBER 2019 14 dari 18
Nama Dokumen Keterangan Dokumen Keperluan
Minima
D17 Manual Pengguna Dokumen ini menyediakan kaedah
penggunaan sistem aplikasi yang
dibangunkan.
√
D18 Laporan Serahan
Sistem
Dokumen ini menerangkan status
pencapaian perancangan dan perhatian
yang perlu diberi perhatian oleh pemilik
sistem aplikasi dalam penyelenggaraan
sistem
√
10. Infrastruktur Sistem Aplikasi
Berikut adalah tindakan pengurusan infrastruktur sistem aplikasi yang perlu dipatuhi oleh agensi dan fasiliti :- 10.1 Keperluan pemasangan perisian yang melibatkan sistem pengoperasian,
keselamatan dan perisian aplikasi yang tulen sahaja dibenarkan dalam production server.
10.2 Menjalankan semakan dan konfigurasi semula ke atas Default Configuration sama ada pada perisian atau server serta mengemaskini dan menutup (disable) perisian/ services yang tidak berkaitan.
10.3 Melaksanakan tindakan pengukuhan ke atas penetapan kata laluan server, pangkalan data, perisian aplikasi dan lain-lain yang berkaitan.
10.4 Memastikan patches dan versi terkini perisian diselenggara bagi mengelakkan berlaku insiden ancaman keselamatan.
10.5 Semua sistem aplikasi berasaskan web hendaklah diletakkan di dalam zon DMZ (demilitarized zone) manakala pangkalan data ditempatkan di secured zone.
10.6 Penggunaan XAMPP/WAMP/MAPP dan seumpamanya sebagai web server
pada persekitaran sebenar (production environment) adalah tidak dibenarkan.
10.7 Prinsip Pengasingan
i) Prinsip pengasingan bermaksud semua tugasan mewujud, memadam, mengemaskini, mengubah dan mengesahkan data perlu diasingkan.
ii) Kepentingan pengasingan bertujuan untuk menghindar daripada capaian yang tidak dibenarkan dan melindungi aset ICT daripada kesilapan, kebocoran atau manipulasi ke atas maklumat terperingkat.
CETAKAN VOLUME TARIKH M/SURAT
PERTAMA VOLUME 1 OKTOBER 2019 15 dari 18
iii) Pada tahap minimum, semua sistem ICT perlu mengekalkan persekitaran operasi yang berasingan seperti berikut :-
a) Persekitaran pembangunan (development environment) adalah
persekitaran untuk menempatkan sistem aplikasi dalam fasa pembangunan;
b) Persekitaran penerimaan/ pengujian (testing environment) adalah
persekitaran untuk menempatkan sistem aplikasi dalam fasa pengujian; dan
c) Persekitaran sebenar (production environment) adalah persekitaran untuk menempatkan sistem aplikasi yang sedia beroperasi.
11. Keselamatan Sistem Aplikasi
11.1 Keselamatan sistem aplikasi merupakan salah satu aspek penting bagi
memastikan sistem aplikasi yang dibangunkan adalah selamat dan menjamin
kesinambungan perkhidmatan dengan meminimumkan kesan insiden
keselamatan ICT (khususnya risiko pencerobohan maklumat).
11.2 Penilaian tahap keselamatan hendaklah dilaksanakan oleh pihak ketiga bagi
menilai tahap keselamatan sistem aplikasi yang telah dibangunkan.
11.3 Berikut merupakan kawalan keselamatan bagi melindungi sistem aplikasi yang
dibangunkan :-
11.3.1 Agensi dan fasiliti KKM disarankan memasang mekanisme
keselamatan rangkaian meliputi firewall, Intrusion Detection System
(IDS), Intrusion Prevention System (IPS), content filtering dan
antivirus bagi melindungi infrastruktur KKM dari sebarang ancaman
keselamatan.
11.3.2 Semasa fasa pembangunan sistem aplikasi, beberapa perkara
berikut perlu dilaksanakan bagi menjamin keselamatan sistem
aplikasi :-
11.3.2.1 Memastikan setiap input ke dalam aplikasi perlu melalui
proses verifikasi bagi mengelakkan serangan SQL
Injection.
CETAKAN VOLUME TARIKH M/SURAT
PERTAMA VOLUME 1 OKTOBER 2019 16 dari 18
11.3.2.2 Melaksanakan kaedah Stored Procedure ke atas
pangkalan data bagi operasi SELECT, UPDATE, DELETE
dan INSERT untuk mengelak daripada ancaman SQL
Injection.
11.3.2.3 Menggunakan protokol rangkaian keselamatan Transport
Layer Security (TLS) dan Secure Socket Layer (SSL)
pada peringkat pelayan aplikasi bagi melindungi integriti
dan kerahsiaan sesuatu maklumat semasa proses
penghantaran maklumat melalui sistem aplikasi.
11.3.2.4 Memastikan pelayan sistem aplikasi hanya enabled TLS
dan SSL yang digunakan dan perlu sahaja.
11.3.2.5 Memastikan penggunaan Sijil SSL sekurang-kurangnya
2048 bit dengan enkripsi SHA 256 atau lebih tinggi dan
juga memastikan Sijil SSL masih sah, tindakan penukaran
atau pembaharuan sijil perlu dilaksanakan sebelum tarikh
tamat sijil SSL.
11.3.2.6 Mesej ralat tidak boleh memaparkan mesej dalaman
sistem seperti nama table, prosedur, error code dan
sebagainya kepada pengguna bagi mengelak risiko
digodam.
11.3.2.7 Memastikan adanya session termination (frontend /
backend).
11.3.2.8 Melaksanakan aktiviti pengukuhan sebelum Go Live
sistem aplikasi yang melibatkan perkara berikut:
a) Memastikan imbasan Security Posture Assessment
(SPA) dibuat untuk menilai tahap keselamatan
aplikasi, pelayan dan rangkaian.
b) Melaksanakan pengukuhan hasil penemuan imbasan
termasuk patches, firmware dan lain-lain.
11.4 Semasa Go Live beberapa aktiviti pengukuhan perlu dilaksanakan seperti
berikut :-
11.4.1 Melaksanakan pengauditan infrastruktur dan keselamatan ICT
sistem aplikasi.
CETAKAN VOLUME TARIKH M/SURAT
PERTAMA VOLUME 1 OKTOBER 2019 17 dari 18
11.4.2 Memastikan aktiviti imbasan vulnerabilities dilaksanakan secara
berkala meliputi perisian pengoperasian, pangkalan data dan
perisian aplikasi dan sistem aplikasi.
11.4.3 Melaksanakan tindakan pengukuhan ke atas hasil penemuan SPA
mengikut keutamaan dan tahap risiko ancaman.
11.4.4 Memastikan patches sistem dikemaskini secara berterusan dan
melakukan upgrade perisian / firmware mengikut keperluan.
11.5 Pengurusan keselamatan sistem aplikasi termasuk perkara berikut :-
11.5.1 Membangunkan jejak audit ke atas semua sistem pengoperasian
terutama terhadap pengguna bertaraf Super User.
11.5.2 Menyimpan dan menganalisis rekod jejak audit selaras dengan
DKICT KKM.
11.5.3 Mengawal had capaian dengan menggunakan prosedur Log On
yang terjamin.
11.5.4 Mengehadkan setiap aktiviti capaian kepada pengguna yang sah
sahaja bagi sistem aplikasi berisiko tinggi.
11.5.5 Mengenalpasti aktiviti tidak normal dalam sistem aplikasi seperti
pencerobohan dan pengubahsuaian tahap kebenaran dengan
membatalkan atau menghentikan serta merta.
PENUTUP
12. Semua agensi dan fasiliti KKM mestilah mematuhi garis panduan ini dalam
pengurusan pembangunan/ peningkatan sistem aplikasi di KKM dan hendaklah
dirujuk/ dibaca bersama dengan :
i) Lampiran 1 kepada Surat Pekeliling Am Bilangan 1 Tahun 2016 Kementerian
Kesihatan Malaysia – Garis Panduan Memohon Kelulusan dan Pemantauan
Projek ICT Kementerian Kesihatan Malaysia.
ii) Surat Pekeliling Am Bilangan 3 Tahun 2015 - Garis Panduan Permohonan
Kelulusan Teknikal dan Pemantauan Projek Teknologi Maklumat dan
Komunikasi (ICT) Agensi Sektor Awam.
CETAKAN VOLUME TARIKH M/SURAT
PERTAMA VOLUME 1 OKTOBER 2019 18 dari 18
iii) Surat Arahan Teknologi Maklumat dan Komunikasi (ICT) bagi Melaksanakan
Kajian Impak dan Prasyarat Permohonan Pembangunan Aplikasi Inhouse
Kementerian Kesihatan Malaysia (KKM) (No.Rujukan: KKM.S.100-6/1/2
Jld.4(26) bertarikh 13 Julai 2018).
iv) Surat Pekeliling Ketua Setiausaha Kementerian Kesihatan Malaysia Bilangan
10 Tahun 2019 - Dasar Keselamatan ICT Kementerian Kesihatan Malaysia
(KKM) Versi 5.0.
v) Buku Panduan Kejuruteraan Sistem Aplikasi Sektor Awam (KRISA), Unit
Pemodenan Tadbiran dan Perancangan Pengurusan Malaysia (MAMPU),
2019.
vi) Pekeliling Transformasi Pentadbiran Awam Bilangan 3 Tahun 2018 - Panduan
Pengurusan Projek ICT Sektor Awam (PPrISA).
vii) Surat Pekeliling Ketua Setiausaha Kementerian Kesihatan Malaysia Bilangan 5
Tahun 2019 - Tatacara Pengurusan Penyenggaraan ICT.
viii) Rangka Kerja Keselamatan Siber Sektor Awam (RAKKSSA), Versi 1.0, April
2016.
ix) Portal Galeri Aplikasi Mudah Alih Kerajaan Malaysia (GAMMA).
RUJUKAN
a. Surat Pekeliling Am Kementerian Kesihatan Bilangan 1 Tahun 2016 – Tatacara Pelaksanaan Projek ICT di Kementerian Kesihatan Malaysia (KKM).
b. Surat Arahan dan Teknologi Maklumat (ICT) bagi Melaksanakan Kajian Impak dan Prasyarat Permohonan Pembangunan Aplikasi Inhouse KKM bertarikh 13 Julai 2018.
c. NIC CERT- Website Security Guidelines
d. Prosedur Pengurusan Keselamatan ICT Versi 1.0 Jabatan Akauntan Malaysia
e. Garis Panduan Mengenai Struktur Tadbir Urus Jawatankuasa Laman Web / Portal
Kementerian Kesihatan Malaysia
f. Buku Panduan Kejuruteraan Sistem Aplikasi Sektor Awam (KRISA), Unit Pemodenan Tadbiran dan Perancangan Pengurusan Malaysia (MAMPU), 2019.