ISO 27001 merupakan standar internasional untuk menerapkan sistem manajemen keamanan informasi atau lebih dikenal dengan Information Security Management System (ISMS). Dengan menerapkan ISO 27001 dapat membantu organisasi membangun dan memelihara sistem manajemen keamanan informasinya secara konsisten. Annex A merupakan daftar kontrol pada lampiran standar ISO 27001 yang harus dipertimbangkan untuk diterapkan oleh bisnis untuk mengatasi risiko keamanan informasi. Pilihan kontrol ini tergantung pada ruang lingkup bisnis organisasi dan risiko yang dihadapi organisasi, serta yang sesuai dengan Annex A ISO 27001.
Dalam versi terbarunya, ISO 27001:2022 mencakup beberapa perubahan pada daftar kontrol Annex A berupa penyesuaian dan perubahan struktur kontrol, penghapusan kontrol, penambahan kontrol, hingga penggabungan beberapa kontrol. Salah satu perubahan yang mencolok terdapat pada penyederhanaan kontrol menjadi 4 kategori, yaitu People, Organizational, Technological, dan Physical. Dalam artikel ini akan dibahas 1 dari 4 kategori kontrol pada ISO 27001:2022, yaitu kontrol organisasi (Organization Control).
Baca juga: 8 People Control dalam ISO 27001:2022
37 Organizational Control ISO 27001:2022
Kontrol Organisasi (organization control) adalah proses yang mengatur aktivitas organisasi agar tetap konsisten terhadap sistem yang telah dibangun melalui rencana, target, dan standar kinerja. Berikut pembahasan 37 jenis kontrol organisasi pada ISO 27001:2022.
- Policies for Information Security atau Kebijakan Keamanan Informasi (Annex A 5.1)
Kebijakan untuk Keamanan Informasi merupakan kontrol ISO 27001 yang mengharuskan organisasi untuk memiliki kebijakan keamanan informasi dan kebijakan khusus untuk topik tertentu, dikomunikasikan, ditinjau, dan diakui.
- Information Security Roles and Responsibilities atau Peran dan Tanggung Jawab Keamanan Informasi (Annex A 5.2)
Peran dan Tanggung Jawab Keamanan Informasi merupakan kontrol ISO 27001 yang mengharuskan organisasi untuk mendefinisikan peran dan tanggung jawab keamanan informasi dan mengalokasikannya kepada orang-orang.
- Segregation of duties atau pemisahan tugas (Annex A 5.3)
Pemisahan Tugas merupakan kontrol ISO 27001 yang mewajibkan organisasi untuk memisahkan peran dan tanggung jawab keamanan informasi yang saling bertentangan.
- Management responsibilities atau tanggung jawab manajemen (Annex A 5.4)
Tanggung Jawab Manajemen adalah kontrol ISO 27001 yang mengharuskan manajemen untuk memastikan bahwa orang-orang menerapkan keamanan informasi sesuai dengan kebijakan dan prosedur yang terdokumentasi.
- Contact with authorities atau kontak dengan pihak berwenang (Annex A 5.5)
Kontak dengan Pihak Berwenang merupakan kontrol ISO 27001 yang mengharuskan organisasi untuk membuat dan memelihara kontak dengan pihak berwenang yang relevan dengan mereka.
- Contact with special interest groups atau Kontak dengan kelompok kepentingan khusus (Annex A 5.6)
Kontak Dengan Kelompok Kepentingan Khusus adalah kontrol ISO 27001 yang mengharuskan organisasi untuk membuat dan memelihara kontak dengan asosiasi, forum, dan kelompok kepentingan terkait keamanan.
- Threat intelligence atau intelijen ancaman (Annex A 5.7)
kontrol preventif, detektif, dan korektif yang memastikan Anda memberikan kesadaran akan lingkungan ancaman organisasi sehingga tindakan mitigasi yang tepat dapat diambil.
- Information security in project management atau keamanan informasi dalam manajemen proyek (Annex A 5.8)
Keamanan informasi dalam manajemen proyek merupakan kontrol ISO 27001 yang mengharuskan keamanan informasi diintegrasikan ke dalam manajemen proyek.
- Inventory of information and other associated assets atau inventarisasi informasi dan aset terkait lainnya (Annex A 5.9)
Inventarisasi Informasi dan Aset Terkait Lainnya adalah kontrol ISO 27001 yang mengharuskan organisasi untuk mengembangkan dan memelihara inventaris informasi dan aset terkait lainnya.
- Acceptable use of information and other associated assets atau penggunaan informasi dan aset terkait lainnya yang bisa diterima (Annex A 5.10)
Penggunaan informasi dan aset terkait lainnya yang dapat diterima adalah kontrol ISO 27001 yang mengharuskan organisasi untuk menerapkan aturan dan prosedur untuk penggunaan informasi dan aset lainnya yang dapat diterima.
- Return of assets atau pengembalian aset (Annex A 5.11)
Pengembalian Aset adalah kontrol ISO 27001 yang mengharuskan orang-orang yang memiliki aset organisasi untuk mengembalikannya ketika mereka pergi.
- Classification of information atau klasifikasi informasi (Annex A 5.12)
Klasifikasi Informasi adalah kontrol ISO 27001 yang mengharuskan organisasi untuk mengklasifikasikan informasi berdasarkan kebutuhan organisasi dan paritas kepentingan yang relevan.
- Labelling of information atau pelabelan informasi (Annex A 5.13)
Pelabelan Informasi adalah kontrol ISO 27001 yang mengharuskan organisasi untuk memberi label informasi sesuai dengan skema klasifikasi informasi organisasi.
- Information transfer atau transfer informasi (Annex A 5.14)
Transfer Informasi adalah kontrol ISO 27001 yang mengharuskan organisasi untuk memiliki aturan, prosedur, atau perjanjian untuk semua jenis transfer dalam organisasi dan dengan pihak ketiga.
- Access control atau kontrol akses (Annex A 5.15)
Kontrol Akses adalah kontrol ISO 27001 yang mengharuskan organisasi untuk menerapkan kontrol akses ke informasi dan aset lainnya berdasarkan persyaratan bisnis dan keamanan informasi.
- Identity management atau manajemen identitas (Annex A 5.16)
Manajemen Identitas adalah kontrol ISO 27001 yang mengharuskan organisasi untuk mengatur siklus hidup identitas secara penuh.
- Authentication information atau informasi autentikasi (Annex A 5.17)
Informasi Otentikasi adalah kontrol ISO 27001 yang mengharuskan organisasi untuk mengatur siklus hidup informasi otentikasi secara penuh.
- Access rights atau hak akses (Annex A 5.18)
Hak Akses adalah kontrol ISO2 7001 yang mengharuskan organisasi untuk mengatur siklus hidup penuh hak akses berdasarkan kebijakan dan aturan khusus topik kontrol akses.
- Information security in supplier relationships atau keamanan informasi dalam hubungan dengan pemasok (Annex A 5.19)
Keamanan Informasi Dalam Hubungan Pemasok adalah kontrol ISO 27001 yang mengharuskan organisasi untuk mengelola risiko keamanan informasi dalam menggunakan produk dan layanan pemasok.
- Addressing information security within supplier agreements atau menangani keamanan informasi dalam perjanjian pemasok (Annex A 5.20)
Menangani keamanan informasi dalam perjanjian pemasok adalah kontrol ISO 27001 yang mengharuskan organisasi untuk menetapkan dan menyetujui persyaratan keamanan informasi dengan pemasok.
- Managing information security in the ICT supply chain atau mengelola keamanan informasi dalam rantai pasokan TIK (Annex A 5.21)
Mengelola keamanan informasi dalam rantai pasokan TIK adalah kontrol ISO 27001 yang mewajibkan organisasi untuk mengelola risiko yang terkait dengan rantai pasokan produk dan layanan TIK.
- Monitoring, review and change management of supplier services Annex atau pemantauan, peninjauan, dan manajemen perubahan layanan pemasok (Annex A 5.22)
Memantau, meninjau, dan mengubah manajemen layanan pemasok adalah kontrol ISO 27001 yang mengharuskan organisasi untuk mempertahankan tingkat layanan dan keamanan informasi yang telah disepakati sesuai dengan perjanjian hukum.
- Information security for use of cloud services atau keamanan informasi untuk penggunaan layanan cloud (Annex A 5.23)
Keamanan informasi untuk penggunaan layanan cloud adalah kontrol ISO 27001 yang mengharuskan organisasi untuk menentukan dan mengelola keamanan informasi untuk penggunaan layanan cloud.
- Information security incident management planning and preparation atau Perencanaan dan persiapan manajemen insiden keamanan informasi (Annex A 5.24)
Perencanaan dan persiapan manajemen insiden keamanan informasi merupakan kontrol ISO 27001 yang mengharuskan organisasi untuk merencanakan dan mempersiapkan diri untuk mengelola insiden keamanan informasi.
- Assessment and decision on information security events atau penilaian dan keputusan atas kejadian keamanan informasi (Annex A 5.25)
Penilaian dan keputusan tentang peristiwa keamanan informasi adalah kontrol ISO 27001 yang mengharuskan organisasi untuk menilai peristiwa keamanan informasi untuk mengkategorikan dan memprioritaskannya.
- Response to information security incidents atau tanggapan terhadap insiden keamanan informasi (Annex A 5.26)
Tanggapan terhadap insiden keamanan informasi adalah kontrol ISO 27001 yang mengharuskan organisasi untuk menanggapi insiden keamanan informasi berdasarkan prosedur yang terdokumentasi.
- Learning from information security incidents atau belajar dari insiden keamanan informasi (Annex A 5.27)
Belajar dari insiden keamanan informasi adalah kontrol ISO 27001 yang mengharuskan organisasi untuk belajar dari kejadian keamanan informasi untuk meningkatkannya.
- Collection of evidence atau pengumpulan bukti (Annex A 5.28)
Pengumpulan Bukti mengharuskan organisasi untuk mengidentifikasi, mengumpulkan, memperoleh, dan melestarikan bukti yang terkait dengan insiden keamanan informasi.
- Information security during disruption atau keamanan informasi selama gangguan (Annex A 5.29)
ISO 27001 Annex A 5.29 Keamanan Informasi Selama Gangguan adalah kontrol ISO 27001 yang menginginkan kamu untuk merencanakan dan mempertahankan keamanan informasi pada tingkat yang sesuai untuk kamu selama gangguan.
- ICT readiness for business continuity atau kesiapan TIK untuk kelangsungan bisnis (Annex A 5.30)
ISO 27001 Annex A 5.30 Kesiapan TIK untuk Kesinambungan Bisnis adalah kontrol ISO 27001 yang akan kamu rencanakan, memelihara, dan menguji kesiapan TIK berdasarkan tujuan kesinambungan bisnis dan persyaratan kesinambungan.
- Identification of legal, statutory, regulatory and contractual requirements atau identifikasi persyaratan hukum, undang-undang, peraturan, dan kontrak (Annex A 5.31)
Persyaratan hukum, undang-undang, peraturan, dan kontrak adalah kontrol ISO 27001 yang wajib memahami persyaratan eksternal pada keamanan informasi kamu dan menerapkannya.
- Intellectual property rights atau hak kekayaan intelektual (Annex A 5.32)
Hak Kekayaan Intelektual merupakan kontrol ISO 27001 yang ingin kamu memahami persyaratan eksternal dari kekayaan intelektual dan menerapkannya.
- Protection of records atau perlindungan catatan (Annex A 5.33)
Perlindungan Arsip merupakan kontrol ISO 27001 yang menginginkan kamu untuk melindungi arsip sesuai dengan persyaratan hukum, peraturan, undang-undang, dan kontrak, serta ekspektasi masyarakat dan komunitas.
- Privacy and protection of PII atau privasi dan perlindungan PII (Annex A 5.34)
Privasi dan Perlindungan PII merupakan kontrol ISO 27001 yang mewajibkan kamu untuk melindungi informasi yang bisa diidentifikasi secara pribadi (PII).
- Independent review of information security atau tinjauan independen atas keamanan informasi (Annex A 5.35)
Peninjauan independen terhadap keamanan informasi adalah kontrol ISO 27001 yang menginginkan kamu untuk mendapatkan tinjauan independen terhadap manajemen dan kontrol keamanan informasi.
- Compliance with policies and standards for information security atau kepatuhan terhadap kebijakan dan standar keamanan informasi (Annex A 5.36)
Kepatuhan terhadap kebijakan, aturan, dan standar untuk keamanan informasi merupakan kontrol ISO 27001 yang mewajibkan kamu untuk memastikan bahwa kamu sudah mematuhi kebijakan keamanan informasi, kebijakan, aturan, dan standar topik tertentu.
- Documented operating procedures atau prosedur operasi yang terdokumentasi (Annex A 5.37)
Prosedur Operasi Terdokumentasi merupakan kontrol ISO 27001 yang menginginkan kamu mendokumentasikan semua hal.
