Apa itu Annex-A ISO 27001?

Annex-A adalah lampiran normatif yang digunakan sebagai panduan tambahan untuk mengimplementasikan persyaratan utama pada ISO 27001. Lampiran ISO 27001 annex a sendiri merupakan lampiran yang paling terkenal dari semua standar ISO. Hal ini karena annex-a berisikan instrumen penting untuk mengelola risiko keamanan informasi seperti daftar kontrol keamanan yang harus digunakan untuk memperkuat keamanan aset informasi. Selain itu, ISO 27001 dikenal juga sebagai standar kontrol keamanan informasi dengan praktik terbaik. 

Baca juga: Daftar Persyaratan Klausul ISO 27001

Kontrol Keamanan Annex-A ISO 27001

ISO 27001:2022 memiliki 4 kategori atau kontrol utama yang juga tergabung sebagai klausul ISO 27002:2022, yaitu: 

• Organisasi  (organizational) – Klausul 5
• Orang (people) – Klausul 6
• Fisik (physical) – Klausul 7
• Teknologi (technological) – Klausul 8

Selain itu, ISO 27001:2022 terdiri dari 93 sub kontrol dengan 75% dari kontrol termasuk dalam kategori Organisasi dan Teknologi.

Dalam versi ISO 27001:2022 terdapat 11 kontrol baru yang meliputi:

• Threat intelligence (5.7)

Kontrol ini mengharuskan perusahaan mengumpulkan dan menganalisis informasi yang berkaitan dengan ancaman keamanan informasi.

• Information security for use of cloud services (5.23)

Kontrol ini mengharuskan perusahaan untuk menentukan dan mengelola keamanan informasi untuk penggunaan layanan cloud.

• ICT readiness for business continuity (5.30)

Kontrol ini mewajibkan perusahaan untuk membuat rencana keberlanjutan ICT untuk menjaga ketahanan operasional untuk memastikan keberlangsungan bisnis.

• Physical security monitoring (7.4)

Kontrol ini mewajibkan perusahaan untuk mendeteksi dan mencegah penyusup eksternal dan internal dengan menggunakan alat pengawasan yang sesuai.

• Configuration management (8.9)

Mengharuskan perusahaan untuk menetapkan kebijakan untuk mengelola, mendokumentasikan, mengimplementasikan, memantau, dan meninjau penggunaan konfigurasi di seluruh jaringan.

• Information deletion (8.10)

Memberikan panduan mengenai cara mengelola penghapusan data yang sesuai dengan hukum dan peraturan yang berlaku.

• Data masking (8.11)

Menyediakan teknik penyembunyian data untuk informasi pengenal pribadi (PII) yang sesuai dengan hukum dan peraturan yang berlaku.

• Data leakage protection (8.12)

Kontrol ini mewajibkan perusahaan untuk menerapkan langkah-langkah teknis yang mendeteksi dan mencegah pengungkapan dan/atau pengambilan informasi

• Monitoring activities (8.16)

Memberikan panduan untuk meningkatkan kegiatan pemantauan jaringan untuk mengidentifikasi perilaku anomali dan mengatasi peristiwa dan insiden keamanan informasi.

• Web filtering (8.23)

Mengharuskan perusahaan untuk menerapkan kontrol akses dan langkah-langkah untuk membatasi dan mengontrol akses ke situs web eksternal.

• Secure coding (8.28)

Mengharuskan perusahaan mengikuti prinsip-prinsip pengkodean yang aman untuk mencegah kerentanan yang disebabkan oleh metode pengkodean yang buruk.