Mengenal 11 Kontrol Baru Annex-A ISO 27001:2022
ISO 27001:2022
Apa itu ISO 27001?
ISO 27001 adalah Standar internasional untuk Sistem Manajemen Kemananan Informasi (SMKI) yang diterbitkan oleh International Organization for Standardization (ISO). Setelah 9 tahun sejak versi 2013 diterbitkan, pada 25 oktober 2022 telah digantikan oleh ISO 27001 versi 2022. Standar ini menjelaskan kerangka kerja sistem manajemen keamanan informasi (SMKI/ISMS) yang dapat digunakan oleh berbagai jenis perusahaan terlepas dari struktur, ukuran, atau orientasi organisasi.
Seiring dengan teknologi yang terus berkembang, standar ini juga terus mengembangkan dan menyesuaikan kerangka kerjanya untuk mengatasi perubahan-perubahan terjadi khususnya terhadap persyaratan keamanan informasi di berbagai industri dan lingkungan bisnis. Implementasi ISO di perusahaan dinilai mampu membantu organisasi membangun, menerapkan, memelihara, dan meningkatkan sistem manajemen keamanan informasi (ISMS).
Baca juga: Mengenal ISO 27005:2022 Manajemen Risiko Keamanan Informasi
Annex A ISO 27001
ISO/IEC 27001:2022 membahas praktik terbaik untuk mengelola risiko keamanan informasi. Ketika perusahaan memutuskan untuk mendapatkan sertifikasi ISO/IEC 27001, organisasi harus menggunakan kontrol keamanan informasi yang relevan untuk diterapkan di perusahaan. Daftar kontrol keamanan informasi ini dimuat dalam Annex A ISO 27001 atau Lampiran A normatif ISO/IEC 27001:2022. Lampiran A terdiri dari daftar detail kontrol keamanan yang dapat digunakan organisasi untuk meningkatkan Sistem Manajemen Keamanan Informasi (ISMS). Dengan memahami Annex A ISO 27001 diharapkan organisasi merasa percaya diri saat melaksanakan proses audit.
Baca juga: Mengenal ISO 31000:2018 Sistem Manajemen Risiko
Perubahan Annex A ISO 27001
Perubahan pada ISO 27001 nyatanya membuat standar ini lebih mudah dicerna dan diterapkan. Kontrol Annex A ISO 27001 telah dikurangi dan direstrukturisasi agar menggambarkan perubahan ISO/IEC 27001:2022. Perubahan ini terletak pada jumlah kontrol yang telah berkurang dari 114 menjadi 93. Sedangkan, kategori pengendalian versi terbaru telah dikonsolidasikan dari yang sebelumnya berjumlah 14 menjadi 4 kategori saja, yaitu:
- Bagian 5: Perusahaan (organizational) (37 pengendalian)
Pada kategori ini meliputi kebijakan untuk informasi, pengembalian aset, keamanan informasi untuk penggunaan layanan cloud.
- Bagian 6: Orang (people) (8 pengendalian)
Kategori ini menyangkut orang/individu yang terlibat, meliputi kerja jarak jauh, penyaringan, kerahasiaan, atau perjanjian kerahasiaan.
- Bagian 7: Fisik (physical) (14 pengendalian)
Dalam kategori ini menyangkut objek fisik meliputi media penyimpanan, pemeliharaan peralatan, pemantauan keamanan fisik, atau pengamanan kantor, ruangan, dan fasilitas.
- Bagian 8: Teknologi (technological) (34 pengendalian)
Kategori ini menyangkut teknologi yang meliputi otentikasi yang aman, penghapusan informasi, pencegahan kebocoran data, atau pengembangan yang dialihdayakan.
Baca juga: Persyaratan Dokumen ISO 31000:2018 Sistem Manajemen Risiko
Penambahan Kontrol Baru Annex A ISO 27001:2022
Beberapa kontrol pada Lampiran A telah mengalami perubahan nama dan penggabungan untuk mengurangi jumlah total kontrol, namun persyaratan dalam kontrol tersebut secara keseluruhan hampir sama. Kemudian terdapat penambahan 11 kontrol baru diantaranya:
- Ancaman Inteligen (Threat Intelligence – A.5.7)
- Teknologi informasi dan komunikasi untuk kelangsungan usaha (Information and communications technology/ICT readiness for business continuity – A.5.30)
- Keamanan informasi untuk penggunaan layanan cloud (Information security for cloud services – A.5.23)
- Pemantauan keamanan fisik (Physical security monitoring – A.7.4)
- Manajemen konfigurasi (Configuration management – A.8.9)
- Penghapusan informasi (Information deletion – A.8.10)
- Penyamaran data (Data masking – A.8.11)
- pencegahan kebocoran data (Data leakage prevention – A.8.12)
- Kegiatan pemantauan (Monitoring activities – A.8.16)
- Pemfilteran web (Web filtering – A.8.23)
- Pengodean aman (Secure coding – A.8.28)
Kualita Konsultan sebagai Konsultan ISO 27001 siap mendampingi perusahaan Anda dalam proses implementasi sistem mulai dari konsultasi gap analisis hingga proses implementasi. Untuk informasi lebih lanjut terkait konsultasi dan pendampingan sertifikasi sistem manajemen, segera hubungi kami pada kontak yang tertera.
Baca juga: Apa itu iso 27002:2022?
Konsultasikan Kebutuhan Konsultasi dan Sertifikasi Perusahaan Anda dengan Kami
Author