Apa Saja Daftar Kontrol Keamanan Annex-A ISO 27001:2022?

Penerapan teknologi digital yang masif memberikan kemudahan bagi perusahaan dalam menjalankan operasional bisnis. Namun, dibalik kemudahan yang ada perusahaan harus melakukan langkah antisipasi yang tepat dari risiko keamanan informasi yang mengintai.

Kemanan informasi masih menjadi pokok permasalahan utama yang dihadapi oleh perusahaan di seluruh dunia. Kini perusahaan di berbagai sektor bisnis dituntut untuk bisa mengamankan sistem keamanan, termasuk informasi dan data penting yang tersimpan didalamnya dari berbagai risiko yang mengancam dan dapat menghambat jalannya operasional bisnis.

Salah satu bentuk upaya melindungi sistem keamanan informasi adalah dengan menerapkan standar ISO 27001. Standar ini diterbitkan oleh badan standarisasi internasional (ISO) dengan tujuan membantu perusahaan meningkatkan sistem manajemen keamanan informasi. Namun sebelum Anda menerapkan ISO 27001, pahami terlebih dahulu ISO 27001 dan kontrol keamanannya.

Baca juga : Perbedaan Antara Sistem Manajemen ISO 9001 dan ISO 27001

Apa itu ISO 27001?

ISO/IEC 27001 adalah standar internasional untuk mengelola keamanan informasi. Standar ini awalnya diterbitkan oleh badan standarisasi internasional (ISO) dan komisi elektroteknik internasional (IEC) pada tahun 2005, lalu direvisi pada tahun 2013. Versi terbaru dari standar ISO 27001 adalah tahun 2022. Standar ini mencakup persyaratan untuk membangun, menerapkan, memelihara dan terus meningkatkan sistem manajemen keamanan informasi. ISO 27001:2022 bertujuan untuk membantu organisasi mengamankan aset informasi dengan langkah-langkah keamanan yang sistematis. 

ISO/IEC 27001 mensyaratkan perusahaan untuk dapat: 

• • • Secara sistematis memeriksa risiko keamanan informasi organisasi dengan mempertimbangkan ancaman, kerentanan, dan dampaknya;
    • Merancang dan menerapkan rangkaian kontrol keamanan informasi yang koheren dan komprehensif dan/atau bentuk-bentuk perlakuan risiko lainnya (seperti penghindaran risiko atau pengalihan risiko) untuk menangani risiko-risiko yang dianggap tidak dapat diterima; dan
    • Mengadopsi proses manajemen yang menyeluruh untuk memastikan bahwa kontrol keamanan informasi terus memenuhi kebutuhan keamanan informasi organisasi secara berkelanjutan.

Baca juga : Dokumen Wajib ISO 27001 dan Langkah Implementasinya 

Kontrol Keamanan Annex-A ISO 27001:2022

Dalam upaya menilai risiko keamanan terdapat lampiran kontrol A yang harus diketahui oleh perusahaan supaya ISO 27001 sebagai sistem manajemen keamanan informasi dapat diterapkan dengan efektif.

1. 1. 1. Kontrol organisasi (klausul 5.1 hingga 5.37)
         Kontrol organisasi mencakup peraturan dan tindakan yang menentukan sikap komprehensif organisasi terhadap perlindungan data dalam berbagai hal. Kontrol ini mencakup kebijakan, aturan, proses, prosedur, struktur organisasi, dan lainnya.
      2. Kontrol sumber daya manusia (klausul 6.1 hingga 6.8)
         Kontrol sumber daya manusia memungkinkan perusahaan untuk mengatur komponen manusia dari program keamanan informasi mereka, dengan mendefinisikan cara personel berinteraksi dengan data dan satu sama lain. Kontrol ini mencakup manajemen sumber daya manusia yang aman, keamanan personel, serta kesadaran dan pelatihan.
      3. Kontrol fisik (klausul 7.1 hingga 7.14)
         Pengamanan fisik adalah langkah-langkah yang digunakan untuk memastikan keamanan aset berwujud. Hal ini dapat mencakup sistem masuk, protokol akses tamu, proses pembuangan aset, protokol media penyimpanan, dan kebijakan meja kerja yang jelas. Pengamanan tersebut sangat penting untuk menjaga informasi rahasia.
      4. Kontrol teknologi (klausul 8.1 hingga 8.34)
         Pengendalian teknologi menentukan peraturan dan proses siber/digital yang harus diadopsi oleh perusahaan untuk menjalankan infrastruktur TI yang terlindungi dan patuh, mulai dari teknik otentikasi hingga pengaturan, strategi BUDR, dan pencatatan informasi

Baca juga : Pentingnya Gap Analysis ISO 27001