Annex A ISO 27001: Memahami 93 Kontrol Keamanan Informasi

Annex A ISO 27001:2022 menjelaskan 93 kontrol keamanan informasi untuk mendukung penerapan Sistem Manajemen Keamanan Informasi (SMKI)
Annex A ISO 27001:2022 berisi 93 kontrol keamanan informasi yang membantu organisasi mengelola risiko dan memperkuat perlindungan aset informasi.

Annex A ISO 27001:2022

Di dalam penerapan Sistem Manajemen Keamanan Informasi (Information Security Management System/ISMS), Annex A ISO 27001 merupakan salah satu bagian yang paling penting untuk dipahami. Annex A berisi kumpulan kontrol keamanan informasi yang dapat digunakan organisasi untuk mengelola risiko, melindungi aset informasi, serta memenuhi persyaratan standar ISO/IEC 27001:2022.

Bagi organisasi yang sedang mempersiapkan sertifikasi ISO 27001, memahami Annex A tidak hanya membantu dalam memilih kontrol yang sesuai, tetapi juga menjadi dasar dalam penyusunan Statement of Applicability (SoA). Oleh karena itu, pemahaman terhadap Annex A menjadi langkah penting dalam memastikan bahwa sistem keamanan informasi telah diterapkan secara efektif.

Apa Itu Annex A?

Annex A ISO 27001 adalah lampiran dalam standar ISO/IEC 27001:2022 yang berisi daftar kontrol keamanan informasi (security controls). Kontrol-kontrol ini dirancang untuk membantu organisasi mengurangi risiko terhadap kerahasiaan (confidentiality), integritas (integrity), dan ketersediaan (availability) informasi

Perlu dipahami bahwa Annex A bukanlah daftar kontrol yang wajib diterapkan seluruhnya. Organisasi harus memilih kontrol yang relevan berdasarkan hasil Risk Assessment ISO 27001 yang telah dilakukan. Pemilihan kontrol tersebut kemudian didokumentasikan dalam Statement of Applicability (SoA) sebagai bukti bahwa organisasi telah mempertimbangkan setiap kontrol sesuai dengan tingkat risikonya.

Dengan kata lain, Annex A berfungsi sebagai panduan bagi organisasi dalam menentukan langkah-langkah pengamanan yang paling sesuai dengan kondisi bisnis dan ancaman yang dihadapi.

Mengapa Jumlah Kontrol Berubah Menjadi 93?

Pada versi sebelumnya, yaitu ISO/IEC 27001:2013, Annex A terdiri dari 114 kontrol yang terbagi ke dalam 14 domain. Namun, pada pembaruan ISO/IEC 27001:2022 dilakukan penyederhanaan dan penyesuaian sehingga kini terdapat 93 kontrol yang dikelompokkan ke dalam 4 kategori.

Perubahan ini dilakukan untuk mengikuti perkembangan teknologi, transformasi digital, penggunaan layanan cloud, serta meningkatnya ancaman siber yang dihadapi organisasi modern. Selain itu, beberapa kontrol yang memiliki fungsi serupa digabungkan agar lebih mudah dipahami dan diterapkan.

Meskipun jumlah kontrol berkurang, bukan berarti tingkat keamanan menjadi lebih rendah. Sebaliknya, pembaruan ini bertujuan agar kontrol yang tersedia lebih relevan dengan kebutuhan organisasi saat ini dan lebih efektif dalam mendukung penerapan ISMS.

4 Kelompok Kontrol dalam Annex A ISO 27001

Pada ISO/IEC 27001:2022, Annex A ISO 27001 membagi 93 kontrol ke dalam empat kelompok utama berikut.

1. Organizational Controls (37 Kontrol)

Kelompok ini berfokus pada kebijakan, tata kelola, manajemen risiko, pengelolaan aset, hubungan dengan pihak ketiga, serta berbagai proses organisasi yang mendukung keamanan informasi.

2. People Controls (8 Kontrol)

Kontrol pada kategori ini berkaitan dengan sumber daya manusia, seperti proses rekrutmen, peningkatan kesadaran keamanan informasi, pelatihan, hingga tanggung jawab karyawan dalam menjaga kerahasiaan data.

3. Physical Controls (14 Kontrol)

Kategori ini bertujuan melindungi aset fisik organisasi, termasuk ruang server, perangkat kerja, area terbatas, sistem keamanan gedung, serta perlindungan terhadap ancaman lingkungan.

4. Technological Controls (34 Kontrol)

Kelompok ini mencakup berbagai kontrol teknis, seperti pengelolaan akses pengguna, autentikasi, enkripsi, pencadangan data (backup), pemantauan aktivitas sistem, keamanan jaringan, hingga perlindungan terhadap malware.

Contoh Kontrol pada Masing-Masing Kelompok

Agar lebih mudah dipahami, berikut beberapa contoh kontrol yang terdapat dalam Annex A ISO 27001.

Organizational Controls

  • Kebijakan keamanan informasi.
  • Pengelolaan risiko keamanan informasi.
  • Manajemen hubungan dengan pemasok (supplier).
  • Pengelolaan aset informasi.

People Controls

  • Pelatihan kesadaran keamanan informasi.
  • Perjanjian kerahasiaan (Non-Disclosure Agreement/NDA).
  • Tanggung jawab keamanan bagi karyawan.
  • Prosedur saat karyawan keluar dari organisasi.

Physical Controls

  • Pengamanan ruang server.
  • Pengendalian akses ke area terbatas.
  • Perlindungan perangkat dari pencurian atau kerusakan.
  • Pengawasan menggunakan CCTV sesuai kebutuhan organisasi.

Technological Controls

  • Penggunaan Multi-Factor Authentication (MFA).
  • Pengelolaan hak akses pengguna.
  • Enkripsi data sensitif.
  • Backup data secara berkala.
  • Pemantauan log aktivitas sistem.
  • Perlindungan terhadap malware.

Setiap organisasi tidak harus menerapkan seluruh kontrol tersebut. Pemilihannya harus mempertimbangkan hasil identifikasi dan evaluasi risiko yang telah dilakukan.

Hubungan Annex A dengan Statement of Applicability (SoA)

Annex A ISO 27001 dan Statement of Applicability (SoA) saling berkaitan dalam penerapan Sistem Manajemen Keamanan Informasi (ISMS). Annex A menjadi acuan dalam memilih kontrol keamanan informasi, sedangkan SoA mendokumentasikan kontrol yang diterapkan maupun yang tidak diterapkan beserta alasannya.

Mengapa SoA Mengacu pada Annex A?

SoA mengacu pada Annex A ISO 27001 karena dokumen ini berisi daftar kontrol keamanan informasi yang dipilih berdasarkan hasil risk assessment. Setiap kontrol dievaluasi untuk menentukan relevansinya dengan risiko dan kebutuhan organisasi, kemudian dicatat dalam SoA sebagai bagian dari implementasi ISO 27001.

Peran Annex A dalam Proses Sertifikasi ISO 27001

Dalam proses sertifikasi, auditor akan meninjau apakah kontrol yang tercantum dalam SoA telah dipilih secara tepat dan diterapkan sesuai kondisi organisasi. Oleh karena itu, pemahaman terhadap Annex A ISO 27001 membantu organisasi mempersiapkan audit dan memenuhi persyaratan ISO/IEC 27001:2022 dengan lebih efektif.

Kesimpulan

Annex A ISO 27001 merupakan bagian penting dalam ISO/IEC 27001:2022 yang berisi 93 kontrol keamanan informasi untuk membantu organisasi mengelola risiko dan melindungi aset informasinya. Kontrol-kontrol tersebut dikelompokkan menjadi empat kategori, yaitu Organizational Controls, People Controls, Physical Controls, dan Technological Controls.

Pemilihan kontrol harus didasarkan pada hasil risk assessment dan didokumentasikan dalam Statement of Applicability (SoA). Dengan memahami Annex A, organisasi dapat menerapkan kontrol yang tepat, meningkatkan efektivitas Sistem Manajemen Keamanan Informasi (ISMS), serta mempersiapkan diri dengan lebih baik dalam menghadapi proses sertifikasi ISO 27001.

MSI Consulting siap membantu organisasi Anda dalam implementasi dan sertifikasi ISO 27001 melalui layanan konsultasi, pelatihan ISO 27001, dan pendampingan. Mulai dari penyusunan Statement of Applicability (SoA), penerapan kontrol keamanan informasi, hingga persiapan audit, kami mendampingi Anda agar proses sertifikasi berjalan lebih efektif sesuai standar ISO/IEC 27001:2022.

🎓 Ingin Belajar ISO 27001 Secara Mendalam?

Pelajari implementasi Sistem Manajemen Keamanan Informasi (SMKI), manajemen risiko, serta persiapan audit dan sertifikasi ISO 27001 dengan mengikuti training ISO 27001 bersama trainer profesional MSI Consulting.

📅 Lihat Jadwal & Fasilitas Training →

Hubungi Kami

Online Marketing:
Ahmad: 0812-9709-1643 (WhatsApp)
Email: info.msi.consulting@gmail.com
Website: www.msi-consulting.co.id

Instagram : msiconsulting.co.id
Facebook: msiconsulting.co.id

Bookmark the permalink.

Leave a Reply

Your email address will not be published. Required fields are marked *