Dalam era digital yang semakin maju, keamanan informasi menjadi prioritas utama bagi setiap organisasi. Untuk menjawab tantangan ini, ISO 27001: 2022 hadir dengan pembaruan signifikan, terutama pada kontrol keamanan Annex A.Standar ini memuat 93 kontrol keamanan yang komprehensif, peningkatan dari versi sebelumnya. Kontrol-kontrol ini dirancang untuk melindungi aset informasi berharga dari berbagai ancaman siber yang terus berkembang. Simak contoh perusahaan yang sukses menerapkan ISO 27001.
Namun, apa saja 93 kontrol keamanan informasi ISO 27001: 2022 tersebut? Mengapa penerapannya begitu penting bagi organisasi?
Contents
Apa Saja 93 Kontrol ISO 27001?
ISO 27001: 2022 telah merombak struktur kontrol Annex A yang sebelumnya terdiri dari 14 kategori menjadi 4 kategori utama yaitu:
1. Organisasi (37 Kontrol)
Kontrol organisasi merupakan serangkaian langkah yang membantu organisasi untuk melindungi aset informasi mereka. Langkah tersebut meliputi membangun budaya keamanan dan menetapkan peran serta tanggung jawab secara jelas.
Kontrol organisasi ini tidak hanya ditujukan pada personel tertentu atau ancaman fisik atau teknologi tertentu, tapi juga ditujukan untuk meningkatkan keamanan organisasi secara keseluruhan.
Kontrol yang berkaitan dengan kebijakan, prosedur, struktur organisasi, dan aspek manajemen lainnya yang mendukung keamanan informasi.
2. Manusia (8 Kontrol)
Pengendalian manusia merujuk pada tindakan yang dapat diambil oleh organisasi untuk mengatur perilaku karyawan dan melindungi orang lain yang terkait dengan keamanan informasi.
Kerangka ISO 27001 memastikan pengendalian manusia dengan memberikan pemahaman yang cukup tentang keamanan informasi dan mendorong kepatuhan terhadap prinsip-prinsip keamanan informasi.
Aturan ini menetapkan tanggung jawab yang jelas, memberikan pelatihan yang diperlukan, serta memberikan akses ke pengetahuan dan kewajiban terkait pengelolaan informasi sensitif kepada organisasi dan karyawannya.
Selain itu, aturan ini juga mencakup topik seperti kerja jarak jauh, kontrak kerahasiaan, proses orientasi dan pemutusan hubungan kerja, serta memperjelas tanggung jawab dalam melaporkan insiden keamanan informasi.
3. Fisik (14 Kontrol)
Fokus utama dari strategi keamanan informasi yang komprehensif adalah kontrol fisik yang meliputi pengamanan tempat, akses, dan penyimpanan informasi dengan benar.
Kontrol ini dapat melindungi aset fisik seperti gedung, peralatan, dan media penyimpanan dari akses tidak sah, kerusakan, atau pencurian.
Di kontrol ini Terdapat 14 kontrol diantaranya:
4. Teknologi (34 Kontrol)
Kontrol teknologi merupakan bagian dari strategi keamanan informasi yang mencakup otentikasi dan enkripsi data, serta pencegahan kehilangan data.
Kontrol ini berkaitan dengan penggunaan teknologi untuk melindungi informasi, termasuk perangkat keras, perangkat lunak, jaringan, dan komunikasi.
Berikut 34 Kontrol teknologi:
