Panduan Lengkap Annex ISO 27001 dan Penerapannya di Perusahaan

Published by Trust Consultant on

Standar ISO 27001 menetapkan persyaratan untuk membangun Sistem Manajemen Keamanan Informasi (SMKI) yang efektif di dalam organisasi. Salah satu elemen kunci dari standar ini adalah Annex A, yang menyajikan daftar kontrol keamanan informasi yang dapat diadaptasi sesuai kebutuhan organisasi.

Dengan memahami ISO 27001 secara menyeluruh, perusahaan dapat memastikan bahwa kebijakan, prosedur, dan proses IT mereka terlindungi dari ancaman siber, kerugian data, atau gangguan operasional.

Apa itu Annex A dalam ISO 27001?

Annex A merupakan bagian integral dari ISO 27001, berisi daftar kontrol keamanan informasi yang menjadi panduan dalam penerapan SMKI. Dalam versi terbaru ISO 27001:2022, jumlah kontrol disederhanakan dari 114 menjadi 93, dan kini dikelompokkan ke dalam empat kategori utama:

  1. Organizational Controls
    Kategori ini menjelaskan 37 kontrol yang berfokus pada kebijakan dan tata kelola keamanan informasi dalam perusahaan. Tujuannya adalah memastikan bahwa keamanan data menjadi bagian dari budaya organisasi. Beberapa contoh kontrolnya antara lain:
    1. A.5.1 Kebijakan Keamanan Informasi
      Menetapkan dan memperbarui kebijakan keamanan informasi yang relevan sebagai panduan utama bagi seluruh pihak terkait dalam menjaga dan mengelola keamanan data.
    2. A.5.4 Tanggung Jawab Manajemen
      Memastikan peran dan tanggung jawab keamanan informasi ditetapkan secara jelas di seluruh organisasi.
    3. A.5.7 Intelijen Ancaman 
      Mengumpulkan informasi tentang ancaman dan menganalisisnya guna mengambil tindakan mitigasi yang tepat. 
    4. A.5.15 Kontrol Akses
      Menetapkan dan menerapkan aturan untuk mengakses informasi dan aset terkait informasi, untuk melindungi informasi dari pengungkapan atau perubahan yang tidak sah.
  2. People Controls
    Kategori ini terdiri dari 8 kontrol yang menitikberatkan pada aspek sumber daya manusia sebagai elemen penting keamanan informasi. Tujuannya agar setiap individu memahami tanggung jawab mereka terhadap keamanan data. Beberapa kontrol penting di antaranya:
    1. A.6.1 Penyaringan
      Pemeriksaan latar belakang karyawan dan personel pihak ketiga secara berkelanjutan sesuai dengan hukum dan peraturan yang berlaku, dengan tujuan hanya mempekerjakan orang-orang terpercaya.
    2. A.6.3 Kesadaran, Pendidikan, dan Pelatihan Keamanan
      Menjelaskan kepada pihak terkait mengapa keamanan diperlukan, dan bagaimana mematuhi berbagai persyaratan keamanan.
    3. A.6.8 Pelaporan Kejadian Keamanan Informasi
      Memungkinkan orang melaporkan kejadian dan insiden keamanan secepat mungkin, untuk mencegah kerusakan yang lebih besar.
  3. Physical Controls
    Aspek ini terdiri dari 14 kontrol yang berfokus pada perlindungan aset fisik dan infrastruktur dari ancaman eksternal. Kontrol ini mencakup keamanan gedung, perangkat keras, dan area penyimpanan data. Beberapa contoh di antaranya:
    1. A.7.1 Keamanan Fisik Perimeter
      Menentukan area penyimpanan atau pemrosesan informasi sensitif guna mengetahui apa yang perlu dilindungi.
    2. A.7.5 Perlindungan Terhaap Ancaman Fisik dan Lingkungan
      Melindungi infrastruktur dari ancaman lingkungan seperti kebakaran dan banjir, serta serangan berbahaya seperti ancaman bom dan serangan peretas.
    3. A.7.13 Pemeliharaan Peralatan 
      Menjaga peralatan tetap terawat dengan baik. Hal ini penting untuk mencegah risiko kerahasiaan, integritas, dan ketersediaan informasi.
  4. Technological Controls
    Kategori terakhir ini terdiri dari 34 kontrol yang berfokus pada perlindungan berbasis teknologi. Tujuannya adalah menjaga kerahasiaan, integritas, dan ketersediaan informasi (CIA triad). Beberapa kontrol utama antara lain:
    1. A.8.3 Pembatasan Akses Informasi
      Membatasi akses pengguna ke sistem informasi sesuai dengan kebijakan kontrol akses, untuk mencegah pengungkapan informasi yang tidak sah.
    2. A.8.7  Perlindungan Terhadap Malware
      Menerapkan solusi anti-malware dan mendukung penggunaannya dengan menyadarkan pengguna tentang pentingnya solusi tersebut dan cara menggunakannya. 
    3. A.8.12 Pencegahan Kebocoran Data
      Menerapkan langkah-langkah guna mencegah dan mendeteksi transmisi data yang tidak sah
    4. A.8.20 Keamanan Jaringan
      Mengelola jaringan dan perangkat jaringan guna melindungi informasi yang mengalir melaluinya.

Tujuan dan Fungsi Annex A ISO 27001

Tujuan utama Annex A adalah membantu perusahaan memilih dan menerapkan kontrol keamanan yang relevan terhadap risiko yang telah diidentifikasi. Setiap organisasi memiliki karakteristik berbeda, sehingga tidak semua kontrol harus diterapkan secara penuh.

Fungsi penting Annex A meliputi:

  1. Menyediakan kerangka kerja yang sistematis untuk pengelolaan risiko informasi.
  2. Membantu perusahaan membangun budaya keamanan berbasis kebijakan dan prosedur.
  3. Menjadi acuan dalam proses audit internal maupun eksternal untuk sertifikasi ISO 27001.

Dengan demikian, Annex A bukan sekadar daftar aturan, tetapi fondasi strategis dalam memastikan sistem keamanan informasi berjalan efektif.

Baca Juga: Ancaman Deepfake dan Kejahatan Siber, Bagaimana Peran ISO 27001 Dalam Keamanan Informasi?

Langkah Penerapan Annex A ISO 27001 di Perusahaan

Implementasi Annex A perlu dilakukan secara bertahap agar efektif. Berikut tahapan yang umum diterapkan:

  1. Analisis Kesenjangan (Gap Analysis)
    Membandingkan kondisi sistem keamanan saat ini dengan persyaratan ISO 27001. 
  2. Identifikasi Risiko dan Pemilihan Kontrol
    Menentukan risiko utama dan memilih kontrol yang sesuai dari Annex A.
  3. Penyusunan Dokumen dan Kebijakan
    Membuat kebijakan keamanan informasi, panduan operasional, serta prosedur pemantauan.
  4. Pelatihan dan Sosialisasi
    Meningkatkan kesadaran dan tanggung jawab seluruh karyawan terhadap keamanan informasi.
  5. Audit Internal dan Tinjauan Manajemen
    Memastikan sistem berjalan sesuai standar dan siap untuk audit sertifikasi.

Pendekatan ini menjamin bahwa ISO 27001 tidak hanya menjadi sertifikat formalitas, tetapi bagian integral dari tata kelola perusahaan.

Manfaat Penerapan ISO 27001 dan Annex A

Penerapan ISO 27001 beserta Annex A membawa banyak manfaat strategis bagi perusahaan, antara lain:

  1. Meningkatkan kepercayaan mitra bisnis karena menunjukkan komitmen terhadap keamanan informasi.
  2. Mengurangi risiko kebocoran data melalui kontrol keamanan yang terukur.
  3. Meningkatkan efisiensi operasional, karena seluruh proses keamanan terdokumentasi dan terstandarisasi.
  4. Memenuhi regulasi nasional dan internasional, termasuk perlindungan data pribadi (PDP) di Indonesia.

Selain itu, penerapan ini membantu perusahaan menghadapi audit pelanggan atau mitra global yang mensyaratkan kepatuhan terhadap standar keamanan informasi.

Kesimpulan

Annex A dalam ISO 27001 bukan sekadar daftar teknis, melainkan fondasi penting dalam membangun keamanan informasi yang kuat dan berkelanjutan. Dengan mengintegrasikan kontrol yang relevan, perusahaan dapat melindungi aset digital, meningkatkan kepercayaan pelanggan, serta memperkuat daya saing di era digital.

Trust Consultant siap membantu perusahaan Anda dalam penerapan ISO 27001, mulai dari pemetaan kebutuhan, penyusunan dokumen Annex A, pelatihan internal, hingga audit persiapan sertifikasi.

Konsultasi gratis : +62 811-2654-585 

Request Penawaran : trustconsulting.tc@gmail.com

Instagram : @trust_consultant 

=========================================================================

Sumber Referensi

Vesa Hyseni, Understanding ISO/IEC 27001:2022 Annex A Controls. Diakses pada tanggal 28 Oktober 2025 melalui link https://pecb.com/en/article/understanding-isoiec-270012022-annex-a-controls 

Sam Peters, ISO 27001:2022 Annex A Explained. Diakses pada 28 Oktober 2025 melalui link https://www.isms.online/iso-27001/annex-a-2022/

Panduan Besar Untuk Klausul ISO 27001 – Bagaimana Standar Ini Disusun? Diakses pada tanggal 28 Oktober 2025 melalui link https://advisera.com/iso27001/annex-a-controls/ 

Update ISO/IEC 27001:2022, Persiapan Transisi dan Pentingnya Adopsi Standar Baru. Diakses pada 27 Oktober 2025, melalui link https://robere.co.id/id/update-iso-iec-270012022-persiapan-transisi-dan-pentingnya-adopsi-standar-baru/

ISO 27001 Controls: Overview of all measures from Annex A. Diakses pada 28 Oktober 2025 melalui link https://www.dataguard.com/iso-27001/annex-a/

========================================================================

    Daftar untuk download artikel


      Categories: Article
      Tags:

      0 Comments

      Leave a Reply

      Your email address will not be published. Required fields are marked *