Kontrol dalam ISO 27001

Dalam menilai risiko keamanan, harus ada kontrol yang diperlukan dan dikonfirmasi mengenai mana yang tidak ada dalam ISMS.

Berikut ini 14 daftar kontrol dari Annex A mengenai ISO 27001:

A.5 Information Security Policies (Kebijakan Keamanan Informasi)

Ini dirancang untuk memastikan bahwa kebijakan ditulis dan diawasi secara keseluruhan sesuai dengan arahan dari organisasi keamanan informasi.

A.6 Organisation of Information Security (Keamanan Informasi Perusahaan)

Ini mencakup tugas dan tanggung jawab tertentu. Annex ini terbagi menjadi dua yaitu:

– A.6.1 yang memastikan bahwa organisasi telah menetapkan kerangka kerja yang dapat menerapkan dan memelihara keamanan informasi secara memadai.

– A.6.2 yang membahas mobile devices dan remote working. Siapa pun yang bekerja dari rumah atau perjalanan, baik penuh waktu atau paruh waktu, bisa mengikuti aturan yang berlaku.

A.7 Human Resource Security (Keamanan Sumber Daya Manusia)

Memastikan bahwa karyawan dan kontraktor memahami hak dan tanggung jawab mereka di perusahaan.

A.8 Asset Management (Manajemen Aset)

Cara bagaimana organisasi atau perusahaan mengidentifikasi aset informasi dan menentukan tanggung jawab perlindungan sesuai dengan standar yang berlaku. Annex ini berisi tiga bagian, yaitu:

A.8.1 tentang perusahaan yang mengidentifikasi aset informasi dalam ruang lingkup ISMS.

A.8.2 tentang klasifikasi informasi yang memastikan bahwa aset informasi sesuai dengan standar yang berlaku.

A.8.3 tentang penanganan media yang memastikan bahwa data tidak boleh diungkapkan, dimodifikasi, dihapus atau dihancurkan apabila tidak sah aturannya.

A.9 Access Control (Kontrol Akses)

Kontrol akses ini bertujuan untuk memastikan bahwa karyawan hanya bisa melihat dan mengelola informasi yang relevan dengan jabatan mereka.

Ini memiliki empat bagian yaitu persyaratan bisnis dari kontrol akses, manajemen akses pengguna, tanggung jawab pengguna dan kontrol akses pada sistem dan aplikasi.

A.10 Cryptography (Kriptografi)

Kriptografi membahas tentang enkripsi data dan pengelolaan informasi yang sensitive yang akan memastikan bahwa perusahaan menggunakan kriptografi dengan benar dan efektif untuk melindungi kerahasiaan, integritas dan ketersediaan data.

A.11 Physical and Environmental Security (Keamanan Fisik dan Lingkungan)

Ini membahas keamanan fisik dan lingkungan pada organisasi atau perusahaan yang terbagi menjadi dua, yaitu:

A.11.1 untuk mencegah akses fisik yang tidak sah, kerusakan atau gangguan ke tempat organisasi atau data yang ada di dalamnya.

A.11.2 untuk mencegah kehilangan, kerusakan atau pencurian peralatan aset informasi perusahaan baik itu software atau file fisik.

A.12 Operations Security (Keamanan Operasi)

Keamanan operasi memastikan bahwa fasilitas pemrosesan informasi berjalan aman.

A.13 Communications Security (Keamanan Komunikasi)

Ini menekankan pada cara perusahaan melindungi informasi dalam jaringan. Terbagi menjadi dua:

A.13.1 membahas manajemen keamanan jaringan, memastikan kerahasiaan, integritas dan ketersediaan informasi dalam jaringan tetap utuh

A.13.2 membahas keamanan informasi dalam journey, apakah itu ke bagian lain dari perusahaan, pihak ketiga, customer atau pihak lain yang berkepentingan.

A.14 System Acquisition, Development and Maintenance (Akuisisi, Pengembangan dan Pemeliharaan Sistem)

Bagian ini memastikan bahwa keamanan informasi menjadi bagian terpusat dan terpenting dari perusahaan.

A.15 Supplier Relationships (Hubungan dengan Supplier)

Ini berisi perjanjian kontrak yang dimiliki perusahaan dengan pihak ketiga. Serta memastikan bahwa kedua pihak mempertahankan tingkat keamanan informasi dan menyampaikan jasa yang disepakati.

A.16 Information Security Incident Management (Manajemen Insiden Keamanan Informasi)

Dalam bagian ini membahas bagaimana mengelola dan melaporkan insiden keamanan. Proses ini melibatkan penjelasan karyawan mana saja yang harus bertanggung jawab terhadap tindakan tertentu sehingga penanganannya bisa konsisten dan efektif.

A.17 Information Security Aspects of Business Continuity Management (Aspek Keamanan Informasi dari Manajemen Bisnis Berkelanjutan)

Tujuan dari bagian ini adalah untuk menciptakan sistem yang efektif untuk mengelola gangguan bisnis.

A.18 Compliance (Kepatuhan)

Bagian ini memastikan bahwa organisasi mengidentifikasi hukum dan peraturan yang relevan untuk membantu dalam memahami persyaratan hukum dan kontrak mereka, mengurangi risiko ketidakpatuhan dan hukumannya.

ISO 20071 memiliki 10 bagian (klausa) sistem manajemen yang meliputi cakupan (scope), referensi normatif (normative reference), aturan dan definisi (terms and definitions), konteks (context), kepemimpinan (leadership), perencanaan dan manajemen risiko (planning and risk management), dukungan (support), operasi (operations), evaluasi kinerja (performance evaluation) dan improvisasi atau perbaikan (improvement).

Keamanan yang dievaluasi dalam manajemen informasi meliputi:

• Tata kelola keamanan informasi
• Manajemen risiko keamanan informasi
• Kerangka kerja pengelolaan keamanan informasi
• Pengelolaan aset informasi
• Teknologi keamanan informasi