Registration and Online Trust Criteria

Security Pillar Criteria

Policies
  • The entity’s security policies are established and periodically reviewed and approved by a designated individual or group
  • Responsibility and accountability for developing and maintaining the entity’s system security policies, and changes and updates to those policies, are assigned
  • The entity’s security policies include, but may not be limited to, the following matters:
    • Identifying and documenting the security requirements of authorised users
    • Classifying data based on its criticality and sensitivity and that classification is used to define protection requirements, access rights and access restrictions, retention and destruction requirements
    • Assessing risks on a periodic basis  
    • Preventing unauthorised access    
    • Adding new users, modifying the access levels of existing users and removing users who no longer need access
    • Assigning responsibility and accountability for system security
    • Identifying and mitigating security  breaches and other incidents
    • Providing for the handling of exceptions and situations not specifically addressed in its system security policies
    • Providing for the identification of and consistency with applicable laws and regulations, defined commitments, service-level agreements and other contractual requirements
 
Monitoring
  • The entity’s system security is periodically reviewed and compared with the defined system security policies
Communication
  • The entity has prepared an objective description of the system and its boundaries and communicated such description to authorised users
  • The security obligations of users and the entity’s security commitments to users are communicated to authorised users
  • Responsibility and accountability for the entity’s system security policies and changes and updates to those policies are communicated to entity personnel responsible for implementing them
  • The process for informing the entity about breaches of the system security and for submitting complaints is communicated to authorised users
  • Changes that may affect system security are communicated to management and users who will be affected
Procedures
  • Procedures exist to identify potential threats of disruption to systems operation that would impair system security commitments and assess the risks associated with the identified threats
  • Procedures exist to restrict logical access to the defined system
  • Procedures exist to restrict physical access to the defined system
  • Procedures exist to protect against unauthorised access to system resources
  • Procedures exist to protect against infection by computer viruses, malicious code, and unauthorised software
  • Procedures exist to identify, report and act upon system security breaches

 

Privacy Pillar Criteria

Policies

  • The entity defines and documents its privacy policies with respect to the following:

         - Notice

         - Choce and consent

         - Collection

         - Use, retention, and disposal

         - Access

         - Disclosure to third parties

         - Security for privacy

         - Quality

         - Monitoring and enforcement
 

  • Responsibility and accountability are assigned to a person or group for developing, documenting, implementing, enforcing, monitoring, and updating the entity’s privacy policies. The names of such person or group and their responsibilities are communicated

Communication

  • The entity has published its Privacy Policy on their website

Procedures

  • Privacy policies and procedures, and changes thereto, are reviewed and approved by management
  • Policies and procedures are reviewed and compared to the requirements of applicable laws and regulations at least annually and whenever changes to such laws and regulations are made. Privacy policies and procedures are revised to conform to the requirements of applicable laws and regulations

Monitoring

  • The types of personal information and sensitive personal information and the related processes, systems, and third parties involved in the handling of such information are identified. Such information is covered by the entity’s privacy and related security policies and procedures
  • The entity monitors the system and takes action to maintain compliance with its defined policies

Kriteria Tiang Keselamatan

Dasar

Dasar keselamatan entiti ditubuhkan dan dikaji secara berkala dan diluluskan oleh individu atau kumpulan yang ditetapkan

Tanggungjawab dan akauntabiliti untuk membangun dan memelihara dasar keselamatan sistem entiti, dan perubahan dan pengemaskinian terhadap dasar-dasar tersebut, diberikan

Dasar keselamatan entiti termasuk, tetapi tidak terhad kepada perkara-perkara berikut:

  • Mengenal pasti dan mendokumenkan keperluan keselamatan pengguna yang dibenarkan
  • Mengelaskan data berdasarkan kritikal dan kepekaannya dan klasifikasi itu digunakan untuk menentukan keperluan perlindungan, hak akses dan sekatan akses, keperluan pengekalan dan pemusnahan
  • Menilai risiko secara berkala
  • Mencegah akses tanpa izin
  • Menambah pengguna baru, mengubah tahap akses pengguna sedia ada dan mengeluarkan pengguna yang tidak lagi memerlukan akses
  • Menetapkan tanggungjawab dan akauntabiliti untuk keselamatan sistem
  • Mengenal pasti dan mengatasi pelanggaran keselamatan dan insiden lain
  • Menyediakan pengendalian pengecualian dan situasi yang tidak ditujukan khusus dalam dasar keselamatan sistemnya
  • Menyediakan untuk mengenal pasti dan konsisten dengan undang-undang dan peraturan yang berkenaan, komitmen yang ditetapkan, perjanjian tahap perkhidmatan dan keperluan kontrak lain

 

Pemantauan

 

Keamanan sistem entiti dikaji secara berkala dan dibandingkan dengan dasar keselamatan sistem yang ditakrifkan

 

Komunikasi

  • Entiti itu telah menyediakan gambaran objektif sistem dan sempadannya dan menyampaikan deskripsi tersebut kepada pengguna yang diberi kuasa
  • Kewajipan keselamatan pengguna dan komitmen keselamatan entiti kepada pengguna dikomunikasikan kepada pengguna yang diberi kuasa
  • Tanggungjawab dan akauntabiliti untuk polisi keselamatan sistem entiti dan perubahan dan kemas kini kepada polisi tersebut dikomunikasikan kepada kakitangan entiti yang bertanggungjawab untuk melaksanakannya
  • Proses untuk memaklumkan entiti mengenai pelanggaran keselamatan sistem dan untuk mengemukakan aduan disampaikan kepada pengguna yang diberi kuasa
  • Perubahan yang mungkin menjejaskan keselamatan sistem dikomunikasikan kepada pihak pengurusan dan pengguna yang akan terjejas

 

Prosedur

  • Prosedur wujud untuk mengenal pasti potensi ancaman gangguan kepada operasi sistem yang akan menjejaskan komitmen keselamatan sistem dan menilai risiko yang berkaitan dengan ancaman yang dikenal pasti
  • Prosedur wujud untuk menyekat akses logik kepada sistem yang ditetapkan
  • Prosedur wujud untuk menyekat akses fizikal kepada sistem yang ditakrifkan
  • Prosedur wujud untuk melindungi daripada akses tanpa kebenaran kepada sumber sistem
  • Prosedur wujud untuk melindungi daripada jangkitan virus komputer, kod berniat jahat dan perisian tidak sah
  • Prosedur wujud untuk mengenal pasti, melaporkan dan bertindak atas pelanggaran keselamatan system

Kriteria Tiang Privasi

Polisi

 

Entiti mentakrifkan dan mendokumenkan dasar privasinya berkenaan dengan yang berikut:

  • Notis
  • Pilihan dan persetujuan
  • Koleksi
  • Penggunaan, pengekalan dan pelupusan
  • Akses
  • Pendedahan kepada pihak ketiga
  • Keselamatan untuk privasi
  • Kualiti
  • Pemantauan dan penguatkuasaan

 

• Tanggungjawab dan kebertanggungjawaban diberikan kepada seseorang atau kumpulan untuk membangun, mendokumentasikan, melaksanakan, menguatkuasakan, memantau, dan mengemas kini dasar privasi entiti. Nama orang atau kumpulan dan tanggungjawab mereka dikomunikasikan

 

 

 

 

Komunikasi

 

Entiti telah menerbitkan Dasar Privasinya di laman web mereka

 

Prosedur

 

  • Dasar dan prosedur privasi, dan perubahan kepadanya, dikaji semula dan diluluskan oleh pihak pengurusan
  • Dasar dan prosedur dikaji semula dan dibandingkan dengan keperluan undang-undang dan peraturan yang terpakai sekurang-kurangnya setiap tahun dan apabila perubahan terhadap undang-undang dan peraturan tersebut dibuat. Dasar dan prosedur privasi disemak untuk mematuhi keperluan undang-undang dan peraturan yang berkenaan

 

Pemantauan

 

  • Jenis maklumat peribadi dan maklumat peribadi sensitif dan proses, sistem, dan pihak berkaitan yang berkaitan dengan pengendalian maklumat tersebut telah dikenalpasti. Maklumat sedemikian dilindungi oleh privasi entiti dan dasar dan prosedur keselamatan berkaitan
  • Entiti memantau sistem dan mengambil tindakan untuk mengekalkan pematuhan terhadap dasar yang ditetapkan

Download

Help Desk

Tel: 603-77214000
Email: enquiry@ssm.com.my

Menara SSM@Sentral, No. 7 Jalan Stesen Sentral 5, Kuala Lumpur Sentral 50623 Kuala Lumpur.