Lampiran A baru dari ISO / IEC 27001: 2022
Daftar kemungkinan kontrol keamanan informasi (IS) dalam Lampiran A normatif ISO/IEC 27001:2022 diturunkan secara identik dari ISO/IEC 27002: 2022. Katalog kontrol keamanan umum diterbitkan pada Februari 2022. Oleh karena itu, perubahan pada Lampiran A ISO/IEC 27001:2022 telah diperkirakan untuk beberapa waktu. Sebelumnya, Lampiran A mencakup total 114 kontrol yang dapat digunakan untuk mengatasi risiko keamanan informasi di bawah 35 tujuan kontrol yang diatur ke dalam 14 klausul.
Terlepas dari kenyataan bahwa ISO/IEC 27001:2022 yang baru menghilangkan tujuan kontrol, kontrol keamanan informasi dalam Lampiran A telah direvisi, diperbarui, dan dilengkapi serta ditata ulang dengan beberapa kontrol baru.
14 klausul sebelumnya dari Lampiran A sekarang difokuskan pada 4 topik berikut:
A.5 Kendali organisasi (dengan 37 kendali).
A.6 Kontrol pribadi (dengan 8 kontrol)
A.7 Kontrol fisik (dengan 14 kontrol)
A.8 Kontrol teknis (dengan 34 kontrol)
Lampiran A dari versi ISO/IEC 27001:2022 yang baru sekarang mencakup total 93 kontrol, di mana 11 kontrol berikut ini baru:
A.5.7 Intelijen Ancaman
A.5.23 Keamanan informasi untuk penggunaan layanan cloud
A.5.30 Kesiapan TIK untuk kelangsungan bisnis
A.7.4 Pemantauan keamanan fisik
A.8.9 Manajemen konfigurasi
A.8.10 Penghapusan informasi
A.8.11 Penyamaran data
A.8.12 Pencegahan kebocoran data
A.8.16 Pemantauan aktivitas
A.8.23 Penyaringan web
A.8.28 Pengkodean yang aman
Sementara Lampiran A ISO/IEC 27001:2022 terbatas pada penamaan kontrol, panduan implementasi ISO/IEC 27002:2022 menyediakan opsi lebih lanjut untuk mengkategorikannya. Di sana, setiap kontrol diberi lima atribut yang memungkinkan pandangan dan perspektif yang berbeda pada mereka. Atribut atau nilai atributnya dapat digunakan untuk memfilter, mengurutkan, atau menampilkan untuk tampilan organisasi yang berbeda.
Kelima atribut tersebut adalah:
Control Type adalah atribut untuk melihat kontrol dari perspektif kapan dan bagaimana ukuran mengubah risiko yang terkait dengan terjadinya insiden keamanan informasi.
Information security properties adalah atribut untuk melihat kontrol dari perspektif tujuan perlindungan apa yang dimaksudkan untuk didukung oleh tindakan tersebut.
Cybersecurity Concepts melihat kontrol dari perspektif bagaimana mereka memetakan ke kerangka kerja keamanan siber yang dijelaskan dalam ISO / IEC TS 27110.
Operational Capability mempertimbangkan kontrol dari perspektif kemampuan keamanan informasi operasional mereka dan mendukung pandangan pengguna praktis dari tindakan tersebut.
Security domains adalah atribut yang memungkinkan kontrol dilihat dari perspektif empat domain keamanan informasi.