seperti pada tulisan terdahulu, di persyaratan ISO 27001:2013 Sistem Manajemen Keamanan Informasi, selain persyaratan yang sesuai dengan hirarki HLS yang sudah ada terdapat juga persyaratan yang lebih ke teknis yang dijabarkan dalam Annex A ISO 27001:2013 Sistem Manajemen Keamanan Informasi. Annex (lampiran) ini mempunyai porsi yang cukup besar dalam pertanyaan auditor karena terkait dengan kemampuan teknis dari sistem IT yang dimiliki oleh perusahaan / institusi.
baca dulu : Persyaratan ISO 27001:2013
Berikut persyaratan Annex A yang ada di dalam persyaratan
A5. Kebijakan Keamanan Informasi
A5.1 Arahan Manajemen untuk keamanan Informasi
A6. Organisasi Keamanan Informasi
A6.1 Organisasi Internal
A6.2 perangkat bergerak dan teleworking
A7. Keamanan Sumber Daya Manusia
A7.1 Sebelum dipekerjakan
A7.2 Selama Bekerja
A7.3 Penghentian dan perubahan kepegawaian
A8 Manajemen Aset
A8.1 Tanggung Jawab terhadap aset
A8.2 Klasifikasi Informasi
A8.3 Penanganan Media
A9. Kendali Akses
A9.1 Persyaratan bisnis untuk kendali akses
A9.2 Manajemen Akses Pengguna
A9.3 Tanggung Jawab Pengguna
A9.4 Kendali akses sistem dan aplikasi
A10 Kriptografi
A10.1 Kendali Kriptografi
A11 Keamanan Fisik dan Lingkungan
A11.1 Daerah Aman
A11.2 Peralatan
A12 Keamanan Operasi
A12.1 Prosedur dan tanggung jawab operasional
A12.2 Perlindungan dari malware
A12.3 Cadangan (back up)
A12.4 Pencatatan dan pemantauan
A12.5Kendali perangkat lunak operasional
A12.6 Manajemen kerentanan teknis
A12.7 Pertimbangan ausit sistem informasi
A13 Keamanan Komunikasi
A13.1 Manajemen Keamanan jaringan
A13.2 Perpindahan informasi
A14. Akuisisi, pengembangan dan persyaratan sistem
A14.1 Persyaratam Keamanan Informasi
A14.2 Keamanan dalam proses pengembangan dan dukungan
A14.3 Data Uji
A15 Hubungan Pemasok
A15.1 Keamanan Informasi dalam hubungan pemasok
A15.2 Manajemen penyampaian layanan pemasok
A16 Manajemen Insiden Keamanan Informasi
A16.1 Manajemen insiden keamanan informasi dan perbaikan
A17 Aspek keamanan informasi manajemen keberlangsungan bisnis
A17.1 Keberlangsungan Keamanan Informasi
A17.2 Redundansi
A18 Kesesuaian
A18.1 Kesesuaian dengan persyaratan hukum dan kontraktual
A18.2 Tinjauan Keamanan Informasi
FAQ iseng annex A ISO 27001:2013
pertanyaan 1 : kok mulainya dari A5 kemana A1 – A4
Jawab : Annex A berasal dari ISO 27001:2013 : Teknologi Informasi – Teknik Keamanan – Kode praktik kendali keamanan informasi yang berisi penjabaran aturan umum dalam kendali keamanan informasi yang terdiri dari 18 bagian.
Bagian 1-3 seperti layaknya standar ISO hanya berisi informasi tanpa persyaratan atau aturan yang perlu ditaati, Bagian 4 adalah penjelasan struktur dokumen pada persyaratan ISO 27002:2013
pertanyaan 2 : semuanya harus diterapkan?
Jawab : Iya, if applicable. Sangat tergantung pada lingkup dari penerapan ISO 27001:2013 ditempat anda
pertanyaan 3 : silahkan tanya di kolom komentar 🙂
baca juga : Keluarga besar standar ISO 27000
Silahkan pelajari tentang annex ini di blogspot kita pada tulisan Dokumentasi ISO 27001:2013
Pingback: Klausul ISO 27001:2013 : Sistem Manajemen Keamanan Informasi - TRiP CONSULTANT
selaian annex A, apakah ISO 27001 memiliki annex yang lainnya?
tidak ada, tapi disarankan untuk membaca juga ISO 27002-ISO 27010 sebagai pelengkap pemahaman persyaratan . terima kasih atas apresiasinya