ISO 27001:2022 adalah standar internasional yang mengatur sistem manajemen keamanan informasi (SMKI). Salah satu elemen kunci dari ISO 27001 adalah kontrol keamanan informasi, yang tercantum dalam Annex-A dari standar tersebut. Annex-A berisi daftar kontrol keamanan informasi yang dapat diterapkan oleh organisasi untuk melindungi informasi yang sensitif dan mengurangi risiko keamanan.
Baca juga: Mengenal Kontrol Keamanan Annex ISO 27001
Standar ISO 27001:2022 berisi 10 klausa yang mencakup 93 kontrol keamanan informasi. Meskipun dalam pelaksanaannya perusahaan bisa memilih kontrol mana yang akan diterapkan. Namun, disarankan untuk memilih kontrol yang paling relevan dengan kondisi perusahaan dan didasarkan pada penilaian risiko dan aset yang dimilikinya.
Manfaat ISO 27001
ISO sudah menjadi standar terbaik untuk setiap Perusahaan. Apapun industri bisnisnya, ada baiknya untuk mulai menerapkan ISO sebagai standarisasi. Hal ini karena standar ISO dapat memberikan banyak manfaat baik untuk perusahaan maupun pelanggan, seperti:
- Antisipasi serangan siber.
- Melindungi berbagai informasi milik karyawan dan konsumen.
- Menekan anggaran keamanan informasi, karena hanya perlu menerapkan kontrol keamanan yang memang diperlukan.
- Mengelola risiko keamanan informasi secara lebih efektif dan lebih tepat.
- Lebih patuh dalam hal pekerjaan, karena terdapat standarisasi yang sudah ditetapkan.
- Membantu menarik pelanggan baru dan mempertahankan klien yang sudah ada.
- Meningkatkan kredibilitas dan branding perusahaan.
Kontrol Annex-A ISO 27001:2022
Kontrol Lampiran ISO 27001:2022 telah direstrukturisasi dan dikonsolidasikan agar sesuai dengan kebutuhan organisasi dan tantangan keamanan saat ini. Tidak ada perubahan yang signifikan dalam proses inti SMKI ISO 27001. Namun, rangkaian kontrol Annex A diperbarui agar dapat menyesuaikan dengan risiko yang terus berubah dan kontrol terkaitnya.
Berikut adalah kategori dan kontrol yang terdapat pada Annex-A ISO 27001:2022.
- Kontrol Organisasi (Organisational Controls)
Jumlah kontrol: 37
Nomor kontrol: ISO 27001 Annex A 5.1 – 5.37
Pengendalian organisasi mencakup peraturan dan tindakan yang menentukan sikap organisasi terhadap perlindungan data yang mencakup kebijakan, aturan, proses, prosedur, struktur organisasi dan banyak lagi.
- Kontrol Orang (People Controls)
Jumlah kontrol: 8
Nomor kontrol: ISO 27001 Annex A 6.1 – 6.8
Pengendalian manusia memungkinkan bisnis untuk mengatur komponen sumber daya manusia dalam program keamanan informas. Yaitu dengan menentukan cara personel berinteraksi dengan data dan satu sama lain. Pengendalian ini mencakup manajemen sumber daya manusia yang aman, keamanan personel, serta kesadaran dan pelatihan.
- Kontrol Fisik (Physical Controls)
Jumlah kontrol: 14
Nomor kontrol: ISO 27001 Lampiran A 7.1 – 7.13
Perlindungan fisik adalah tindakan yang dilakukan untuk menjamin keamanan aset berwujud. Ini mungkin termasuk sistem masuk, protokol akses tamu, proses pembuangan aset, protokol media penyimpanan, dan kebijakan clear desk. Perlindungan seperti ini sangat penting untuk menjaga informasi rahasia.
- Kontrol Teknologi (Technological Controls)
Jumlah kontrol: 34
Nomor kontrol: ISO 27001 Annex A 8.1 – 8.34
Keterbatasan teknologi menentukan peraturan dan proses sibernetik/digital yang harus diadopsi oleh perusahaan untuk menjalankan infrastruktur TI yang terlindungi dan patuh, mulai dari teknik otentikasi hingga pengaturan, strategi BUDR (Backup and Disaster Recovery), dan pencatatan informasi.
List Kontrol Annex A ISO 27001:2022
Segera Dapatkan Penawaran Sertifikasi Terbaik Sekarang!
Wujudkan perubahan yang lebih baik dan efisien untuk Perusahaan Anda. Temukan solusi dan kemudahan sertifikasi dengan proses cepat, tepat dan biaya terjangkau.