Memahami Kontrol ISO 27001 dari Lampiran A

Lampiran A ISO 27001 mungkin merupakan lampiran paling terkenal dari semua standar ISO – ini karena ia menyediakan alat penting untuk mengelola risiko keamanan informasi: daftar kontrol keamanan (atau perlindungan) yang akan digunakan untuk meningkatkan keamanan aset informasi.

Artikel ini akan memberi Anda pemahaman tentang bagaimana Lampiran A terstruktur, serta hubungannya dengan bagian utama ISO 27001, dan dengan ISO 27002.

Domain kontrol ISO 27001 (bagian):

A.5 Kontrol organisasi

A.6 Kontrol orang

A.7 Kontrol fisik

A.8 Kontrol teknologi

 

Berapa Banyak Domain yang Ada di ISO 27001?

Daftar kontrol ISO 27001 dapat ditemukan di Lampiran A, dan diatur menjadi empat bagian (domain). Bertentangan dengan apa yang mungkin dipikirkan orang, ini tidak semua berorientasi pada TI. Standar ini mencapai keseimbangan antara kontrol organisasi, orang, fisik, dan teknologi.

 

Apa Saja Empat Domain ISO 27001?

Berikut adalah deskripsi singkat dari masing-masing dari empat bagian:

A.5 Kontrol organisasi: Bagian ini berisi kontrol untuk mengatur proses dan dokumentasi keamanan yang paling penting.

A.6 Kontrol orang: Bagian ini berfokus pada kontrol yang terkait dengan manajemen sumber daya manusia yang aman.

A.7 Kontrol fisik: Bagian ini mendefinisikan kontrol yang terkait dengan area aman dan perlindungan peralatan.

A.8 Kontrol teknologi: Bagian ini berfokus pada kontrol TI dan komunikasi.

 

Berapa Banyak Kontrol yang Dimiliki ISO 27001?

Ada 93 kontrol keamanan informasi ISO 27001 yang tercantum dalam Lampiran A dari revisi standar 2022 saat ini (dibandingkan dengan 114 dari revisi standar 2013 sebelumnya). Berikut adalah rincian jenis kontrol apa yang disertakan:

Kontrol yang terkait dengan masalah organisasi: 37

Kontrol terkait sumber daya manusia: 8

Kontrol terkait TI: 34

Kontrol yang terkait dengan keamanan fisik: 14

 

 

Cara terbaik untuk memahami Lampiran A adalah dengan menganggapnya sebagai katalog kontrol keamanan informasi yang dapat Anda pilih, dari 93 kontrol yang tercantum dalam Lampiran A, Anda dapat memilih yang berlaku untuk ruang lingkup perusahaan Anda. Pendekatan lain adalah menggunakan Lampiran A sebagai daftar periksa kontrol ISO 27001, untuk evaluasi awal kesiapan organisasi Anda untuk proses manajemen keamanan informasi.

 

Hubungan Dengan Klausa Utama ISO 27001

Tidak semua kontrol ISO 27001:2022 ini wajib – organisasi dapat memilih sendiri kontrol mana yang menurut mereka berlaku, dan kemudian mereka harus menerapkannya (dalam banyak kasus, setidaknya 90% dari kontrol berlaku); sisanya dinyatakan tidak berlaku. Misalnya, kontrol A.8.30 Pengembangan outsourcing dapat ditandai sebagai tidak berlaku jika perusahaan tidak mengalihdayakan pengembangan perangkat lunak. Kriteria utama untuk memilih kontrol adalah melalui manajemen risiko, yang didefinisikan dalam klausul 6 dan 8 dari bagian utama ISO 27001. Pelajari lebih lanjut di sini: Penilaian Risiko, Perawatan, & Manajemen ISO 27001: Panduan Lengkap.

Selanjutnya, klausul 5 dari bagian utama ISO IEC 27001 mengharuskan Anda untuk menentukan tanggung jawab untuk mengelola kontrol tersebut, dan klausul 9 mengharuskan Anda untuk mengukur apakah kontrol telah memenuhi tujuannya. Terakhir, klausul 10 mengharuskan Anda untuk memperbaiki apa pun yang salah dengan kontrol tersebut, dan untuk memastikan bahwa Anda mencapai tujuan keamanan informasi dengan kontrol tersebut.

 

Apa Perbedaan Antara ISO 27001 dan ISO 27002?

Yang benar adalah bahwa Lampiran A ISO27001 tidak memberikan banyak detail tentang setiap kontrol. Biasanya ada satu kalimat untuk setiap kontrol, yang memberi Anda gambaran tentang apa yang perlu Anda capai, tetapi bukan bagaimana melakukannya.

Inilah sebabnya mengapa ISO 27002 diterbitkan ia memiliki struktur yang persis sama dengan ISO 27001 Lampiran A: setiap kontrol dari Lampiran A ada di ISO 27002, tetapi memiliki penjelasan yang jauh lebih rinci tentang cara menerapkannya. Namun, jangan jatuh ke dalam perangkap hanya menggunakan ISO 27002 untuk mengelola risiko keamanan informasi Anda – ini tidak memberi Anda petunjuk apa pun tentang cara memilih kontrol mana yang akan diterapkan, cara mengukurnya, cara menetapkan tanggung jawab, dll. Pelajari lebih lanjut di sini: ISO 27001 vs.ISO 27002.

 

Kegunaan Lampiran A

Ada beberapa hal yang saya sukai dari Lampiran A. Laampiran tersebut memberi Anda gambaran sempurna tentang kontrol mana yang dapat Anda terapkan sehingga Anda tidak melupakan beberapa yang penting, dan memberi Anda fleksibilitas untuk memilih hanya yang menurut Anda berlaku untuk bisnis Anda sehingga Anda tidak perlu membuang sumber daya pada yang tidak relevan bagi Anda.

Memang benar bahwa Lampiran A tidak memberi Anda banyak detail tentang implementasi, tetapi di sinilah ISO 27002 masuk; juga benar bahwa beberapa perusahaan mungkin menyalahgunakan fleksibilitas ISO 27001 dan hanya bertujuan untuk kontrol minimum untuk lulus sertifikasi, tetapi ini adalah topik untuk posting blog yang berbeda.

Baca juga : Klasifikasi Informasi Menurut ISO 27001

 

Qyusi Global Indonesia merupakan perusahaan yang bergerak dibidang konsultasi ISO, SMK3 dan Kontraktor.

Selain itu Qyusi Global Indonesia juga bergerak dibidang Man Power Supply.

Dengan proses yang fleksibel, harga yang bersahabat dengan mengutamakan target dan kepuasan klien membuat Qyusi Global Indonesia sangat dipercaya dan banyak direkomendasikan dalam berbagai macam bisnis.

Hubungi Kami untuk info lebih lanjut