ISO 27001 adalah standar internasional yang menguraikan kerangka kerja untuk SIstem Manajemen Keamanan Informasi (SMKI). Standar ini menyediakan pendekatan sistematis untuk menetapkan kontrol keamanan informasi untuk mengelola risiko yang berlaku pada organisasi. Standar ini memberikan panduan mengenai penerapan kontrol keamanan untuk melindungi aset informasi termasuk sumber daya, proses bisnis dan teknologi.
Annex A dalam ISO 27001 merupakan bagian dari standar yang memiliki rangkaian kontrol keamanan yang digunakan oleh organisasi untuk menunjukkan kepatuhan terhadap ISO 27001 klausul 6.1.3 (perlakuan risiko keamanan informasi) dan pernyataan keberlakuan yang terkait. Sebelum itu, standar ini berisikan 114 kontrol yang saat ini sudah berkurang menjadi 92 kontrol keamanan dan dibagi ke dalam 4 kategori yang mencakup kontrol orang, kontrol organisasi, kontrol fisik, dan kontrol teknologi.
Technological Controls ISO 27001:2022
Kategori ini memiliki 34 jenis kontrol yang menyangkut teknologi yang meliputi autentikasi yang aman, penghapusan informasi, pencegahan kebocoran data dan pengembangan yang dialihdayakan. Berikut ini beberapa macam technological control ISO 27001.
- User Endpoint Devices atau perangkat titik akhir pengguna (A 8.1)
Kontrol ini dimaksudkan untuk melindungi perangkat yang menyimpan, memproses, hingga mengirimkan data. Kontrol ini juga berguna untuk melindungi informasi dan risiko yang ditimbulkan oleh penggunaan perangkat. - Privileged Access Rights atau hak akses istimewa (A 8.2)
Memastikan pengelolaan hak akses istimewa dilakukan dengan tepat. Hak istimewa ditujukan untuk memastikan bahwa hanya pengguna komponen perangkat lunak dan layanan yang berwenang yang akan diberikan hak istimewa. - Information Access Restriction atau pembatasan akses informasi (A 8.3)
Memastikan bahwa perusahaan memiliki kontrol untuk membatasi akses informasi berdasarkan risiko dan kebutuhan organisasi. Tujuan kontrol ini untuk memastikan bahwa hanya orang yang dengan hak akseslah yang dapat mengakses informasi dan mencegah akses yang tidak sah ke informasi dan aset terkait lainnya. - Access to Secure Code atau akses ke kode sumber (A 8.4)
Mencegah pengenalan fungsionalitas yang tidak sah, menghindari perubahan yang berbahaya, dan menjaga kerahasiaan kekayaan intelektual yang berharga. - Secure Authentication atau otentikasi aman (A 8.5)
Kontrol untuk memastikan bahwa orang yang mengakses informasi adalah orang yang sebenarnya. Otentikasi aman bertujuan untuk memastikan pengguna dan entitas diautentikasi dengan aman saat akses ke sistem, aplikasi dan layanan. - Capacity Management atau manajemen kapasitas (A 8.6)
Memastikan Anda memiliki sumber daya yang diperlukan untuk mendukung aktivitas yang diperlukan perusahaan. Manajemen kapasitas bertujuan untuk memastikan kapasitas yang diperlukan dari fasilitas pemrosesan informasi, sumber daya manusia dan fasilitas lainnya. - Protection Against Malware atau perlindungan terhadap malware (A 8.7)
Memastikan pemahaman terhadap malware dalam segala bentuknya dan mengambil pendekatan holistik untuk melindunginya. Tujuan kontrol ini untuk memastikan informasi dan aset terkait lainnya terlindungi dari malware. - Management of Technical Vulnerabilities atau manajemen kerentanan teknis (A 8.8)
Memastikan pemahaman terhadap kerentanan pada teknologi dan membuat keputusan yang tepat untuk mengelolanya. Tujuan kontrol ini adalah untuk memastikan informasi dan aset terkait lainnya terlindungi dari eksploitasi kerentanan teknis. - Configuration Management atau manajemen konfigurasi (A 8.9)
Memastikan pengaturan konfigurasi perangkat lunak dan perangkat keras sudah tepat, mendokumentasikannya hingga memonitornya. - Information Deletion atau penghapusan informasi (A 8.10)
Kontrol ini bertujuan untuk mencegah pemaparan informasi sensitif yang tidak perlu untuk mematuhi persyaratan hukum, undang-undang dan kontrak untuk penghapusan informasi. - Data Masking atau penyembunyian data (A 8.11)
Kontrol ini mengharuskan organisasi menyembunyikan data berdasarkan persyaratan bisnis, hukum, dan peraturan untuk melindungi data sensitif. - Data Leakage Prevention atau mencegah kebocoran data (A 8.12)
Kontrol ini mengharuskan organisasi untuk melakukan pencegahan agar data tidak bocor dari sistem. - Information Backup atau cadangan informasi (A 8.13)
Kontrol yang mengharuskan organisasi untuk mencadangkan data, perangkat lunak, hingga sistem. - Redundancy of Information Processing Facilities atau redundansi fasilitas pemrosesan informasi (A 8.14)
Kontrol yang mengharuskan organisasi mengimplementasikan fasilitas pemrosesan informasi dengan redundansi yang cukup memadai untuk memenuhi persyaratan ketersediaan. Kontrol preventif ini memastikan pengoprasian fasilitas pemrosesan informasi yang berkelanjutan. - Logging atau penebangan (A 8.15)
Kontrol yang mengharuskan organisasi untuk membuat, menyimpan, melindungi, dan menganalisis catatan aktivitas, pengecualian, kesalahan, dan peristiwa yang sesuai. - Monitoring Activities atau aktivitas pemantauan (A 8.16)
Kontrol yang mengharuskan organisasi untuk melakukan pemantauan terhadap aktivitas dan tindakan yang mencurigakan pada jaringan, sistem, aplikasi, dan tempat. - Clock Synchronisation atau sinkronisasi waktu (A 8.17)
Organisasi harus memastikan semua jam di semua sistem sinkron dengan sumber waktu yang disetujui. Kontrol ini bertujuan untuk memungkinkan analisis peristiwa terkait keamanan dan data terekam lainnya, serta untuk mendukung investigasi terhadap insiden keamanan informasi. - Use the Privileged Utility Programs atau penggunaan program utilitas khusus (A 8.18)
Mengharuskan organisasi untuk mengontrol penggunaan program utilitas yang mampu mengesampingkan kontrol sistem dan aplikasi. - Installation of Software on Operational System atau pemasangan perangkat lunak pada sistem operasional (A 8.19)
Mengharuskan organisasi untuk mengelola pemasangan perangkat lunak pada sistem operasional. Kontrol ini bertujuan untuk mencegah integritas sistem operasional dan mencegah eksploitasi kerentanan bisnis. - Network Security atau keamanan jaringan (A 8.20)
Memastikan keamanan jaringan serta mendokumentasikan aktivitas pengamanan yang dilakukan. Kontrol ini bertujuan untuk melindungi informasi dalam jaringan dan fasilitas pemrosesan informasi pendukungnya melalui jaringan. - Security of Network Services atau keamanan layanan jaringan (A 8.21)
Mengharuskan untuk mengamankan jaringan dengan memiliki aturan terkait tingkat layanan dan persyaratan layanan yang diimplementasikan, dipantau, dan diidentifikasi. - Segregation of Networks atau pemisahan jaringan (A 8.22)
Mengharuskan untuk mengelompokkan layanan informasi dan kemudian menempatkan kelompok-kelompok tersebut pada jaringan yang berbeda. Kontrol ini bertujuan untuk membagi jaringan dalam batas keamanan dan mengontrol lalu lintas berdasarkan kebutuhan bisnis. - Web Filtering atau penyaringan web (A 8.23)
Mengharuskan untuk mengelola akses ke situs web eksternal sehingga bisa mengurangi paparan terhadap konten yang berbahaya. Kontrol ini bertujuan untuk melindungi sistem agar tidak dimasuki oleh malware dan mencegah akses ke sumber yang tidak sah. - Use of Cryptography atau penggunaan kriptografi (A 8.24)
Mengharuskan untuk mendefinisikan dan mengelola aturan yang terkait dengan kriptografi atau sering disebut dengan enkripsi. Kontrol ini bertujuan untuk memastikan penggunaan kriptografi yang tepat dan efektif untuk melindungi kerahasiaan, keaslian atau integritas informasi. - Secure Development Life Cycle atau siklus hidup pengembangan yang aman (A 8.25)
Mengharuskan untuk mengembangkan kode dan perangkat lunak serta sistem dengan keamanan informasi yang dirancang. Kontrol ini bertujuan untuk memastikan keamanan informasi dirancang dan diimplementasikan dalam siklus pengembangan perangkat lunak dan sistem yang aman. - Application Security Requirements atau persyaratan keamanan aplikasi (A 8.26)
Mengharuskan untuk mengidentifikasi, menentukan, dan menyetujui persyaratan keamanan informasi ketika kita mengembangkan atau menggunakan aplikasi. - Security System Architecture and Engineering Principles atau prinsip arsitektur dan rekayasa sistem yang aman (A 8.27)
Kontrol ini mengharuskan untuk merancang, menetapkan, mendokumentasikan dan memelihara keamanan pada semua siklus pengembangan sistem informasi. - Secure Code atau pengkodean aman (A 8.28)
Mengharuskan untuk mengembangkan perangkat lunak yang sesuai dengan pedoman sistem keamanan informasi. Kontrol ini bertujuan untuk memastikan perangkat lunak dilakukan dengan aman sehingga mengurangi jumlah potensi kerentanan keamanan informasi dalam perangkat lunak. - Security Testing in Development and Acceptance atau pengujian keamanan dalam pengembangan dan penerimaan (A 8.29)
Mengharuskan untuk menguji perangkat lunak sebelum memproduksinya untuk memastikan bahwa persyaratan keamanan informasi sudah dipenuhi. - Outsourced Development atau pengembangan yang dialihdayakan (A 8.30)
Mengharuskan untuk memastikan pengembangan yang dialihdayakan (jika ada) untuk memenuhi persyaratan keamanan informasi. - Separation of Development, Test, and Production Environments atau pemisahan lingkungan pengembangan, pengujian, dan produksi (A 8.31)
Kontrol ini mengharuskan memiliki lingkungan yang terpisah untuk setiap bagian dari siklus pengembangan dan pengelolaan lingkungan. - Change Management atau manajemen perubahan (A 8.32)
Mengharuskan untuk mengelola perubahan pada sistem manajemen keamanan informasi (ISMS) dan fasilitas pemrosesan informasi. - Test Information atau pengujian informasi (A 8.33)
Mengharuskan untuk melindungi informasi yang digunakan saat digunakan untuk pengujian informasi. - Protection of Information System During Audit Testing atau perlindungan sistem informasi selama pengujian audit (A 8.34)
Kontrol ini mengharuskan untuk merencanakan dan menetapkan pengujian audit yang tidak berdampak pada sistem operasional atau proses bisnis.
Baca juga: 11 Kontrol Baru Annex A ISO 27001:2022