Annex-A ISO 27001 adalah daftar kontrol yang dirancang khusus untuk menghadapi risiko keamanan informasi serta perlu diterapkan dalam menjalankan aktivitas bisnis. Pemilihan kontrol sendiri bergantung pada ruang lingkup sertifikasi ISO 27001 dan risiko bisnis yang dihadapi Perusahaan. Dalam hal ini tentu saja setiap Perusahaan akan memiliki permasalahan dan risiko yang berbeda-beda.
Fungsi Annex-A
Daftar kontrol tersebut digunakan sebagai panduan Perusahaan dalam mengimplementasikan sistemnya untuk mengurangi risiko ke tingkat yang dapat diterima. Dalam implementasinya, kontrol pada Annex-A bukanlah sebuah checklist yang harus dipenuhi secara meneyeluruh. Namun, dapat berperan sebagai sarana organisasi melakukan pengendalian terhadap risiko keamanan informasinya. Dalam hal penerapannya, kontrol ini diterapkan dengan mempertimbangkan hasil Analisa risiko dan kebutuhan organisasi.
Tujuan Annex-A ISO 27001
Tujuan keseluruhan ISO 27001 adalah untuk melindungi kerahasiaan, integritas, dan ketersediaan informasi. Implementasinya memungkinkan organisasi untuk:
- Mematuhi persyaratan hukum yang selalu berubah melalui satu kerangka kerja
- Menunjukkan bahwa organisasi memprioritaskan keamanan informasi
- Mendapatkan keunggulan kompetitif
- Mencegah insiden keamanan informasi
- Menghindari pembayaran denda
- Memiliki proses dan uraian pekerjaan yang jelas
- Meningkatkan struktur organisasi
Sedangkan tujuan dari kontrol Annex-A ISO 27001 adalah untuk memitigasi risiko organisasi dalam rangka memenuhi kerahasiaan, integritas, dan ketersediaan infomasi yang juga dikenal sebagai unsur keamanan informasi. Daftar kontrol ini merupakan praktik terbaik yang dinilai sebagai serangkaian kontrol minimum yang harus dipertimbangkan organisasi.
4 Kategori Kontrol Annex-A ISO 27001
Pada versi terbaru ISO 27001:2022 kontrol Annex-A telah dikonsolidasikan dari yang sebelumnya berjumlah 14 menjadi 4 kategori saja. diantaranya:
1. Organisational Controls
Dengan jumlah kontrol 37 buah (ISO 27001 Annex-A 5.1-5.37), berisi kontrol untuk mengatur proses dan dokumentasi keamanan perusahaan. Kontrol ini memuat peraturan dan tindakan yang menentukan sikap organisasi terhadap perlindungan data dan hal-hal yang mencakupnya. Kontrol ini mencakup kebijakan, aturan, proses, prosedur, struktur organisasi serta perilaku yang diharapkan dari pengguna, peralatan, perangkat lunak, dan sistem. Seperti Kebijakan Kontrol Akses, Kebijakan BYOD, dll.
2. People Controls
Dengan jumlah kontrol 8 buah (ISO 27001 Annex-A 6.1-6.8), berfokus pada kontrol yang berkaitan dengan pengelolaan sumber daya manusia. Yaitu dengan memberikan pengetahuan, pendidikan, keterampilan, atau pengalaman kepada orang-orang agar mereka dapat melakukan aktivitasnya dengan cara yang aman. Misalnya, pelatihan awareness ISO 27001, pelatihan auditor internal ISO 27001, dll.
3. Physical Controls
Dengan jumlah kontrol 14 buah (ISO 27001 Annex-A 7.1-7.13), mendefinisikan pengendalian yang berkaitan dengan area yang aman dan perlindungan terhadap peralatan. Kontrol ini memuat tindakan yang dilakukan untuk menjamin keamanan aset berwujud (tangible assets). Yang termasuk sistem akses, protokol akses pengguna eksternal, proses pembuangan aset, protokol media penyimpanan, dan kebijakan clear desk. Kontrol ini sangat penting untuk menjaga informasi rahasia organisasi, terutama dalam menggunakan peralatan atau perangkat yang memiliki interaksi fisik. Seperti kamera CCTV, sistem alarm, kunci, dll.
4. Technological Controls
Dengan jumlah kontrol 34 buah (ISO 27001 Annex-A 8.1-8.34), berfokus pada pengendalian TI dan komunikasi. Terutama dalam penerapan sistem informasi, penggunaan komponen software, hardware, dan firmware yang ditambahkan ke sistem. Misalnya, cadangan, software antivirus, dll. Kontrol ini mencakup peraturan dan proses sibernetik/digital yang harus diadopsi perusahaan untuk menjalankan infrastruktur TI yang terlindungi dan kepatuhannya. Mulai dari teknik otentikasi hingga pengaturan, strategi, dan pencatatan informasi.
Bagaimana cara implementasi Kontrol Annex-A ISO 27001
Berikut adalah beberapa hal yang harus dilakukan untuk menerapkan kontrol Annex A ISO 27001.
- Menentukan ruang lingkup ISO 27001 yang diterapkan
- Lakukan identifikasi risiko
- Pilih kontrol diperlukan dan sesuaikan dengan hasil identifikasi risiko sebelumnya
- Lakukan pencatatan daftar kontrol yang diterapkan pada Statement of Applicability (SoA) ISO 27001
- Implementasikan kontrol dengan mempersiapkan bukti dan dokumentasinya.
Terra Solusi menyediakan layanan Konsultasi untuk Anda yang ingin menerapkan sistem keamanan informasi sesuai standard ISO 27001. Kami akan mendampingi perusahaan Anda dalam proses implementasi sistem ISO 27001, mulai dari gap analisis, penyusunan general dokumen serta mandatory dokumen, melakukan internal audit sampai dengan memperoleh sertifikat ISO 27001 yang dibutuhkan.
Selain memudahkan perusahaan dalam dalam pengurusan ISO, penggunaan jasa konsultan juga akan mempercepat proses perusahaan mendapatkan sertifikat ISO 27001. Segera hubungi kami!
Baca juga: Mengenal Annex-A ISO 27001 Information Security Control Reference