Lampiran A Pada ISO 27001

Lampiran A Pada ISO 27001 :2022 merupakan bagian penting dari standar Sistem Manajemen Keamanan Informasi (ISMS) yang mencakup kontrol keamanan yang perlu diterapkan untuk melindungi informasi dan mengurangi risiko keamanan. Lampiran A berisi 93 kontrol keamanan yang dikelompokkan ke dalam 4 kategori utama, berbeda dengan versi sebelumnya (2013) yang memiliki 114 kontrol dalam 14 kategori.

Berikut adalah struktur terbaru dari Lampiran A ISO/IEC 27001:2022:


Kategori Kontrol dalam Lampiran A ISO/IEC 27001:2022

1. Organizational Controls (Kontrol Organisasi)

Mengatur aspek kebijakan dan prosedur yang mendukung penerapan keamanan informasi secara menyeluruh di seluruh organisasi.
Jumlah kontrol: 37

Contoh kontrol dalam kategori ini:

  • A.5.1 Kebijakan keamanan informasi
  • A.5.7 Keamanan pihak ketiga
  • A.6.3 Penanganan insiden keamanan informasi
  • A.7.4 Pendidikan dan pelatihan keamanan informasi

2. People Controls (Kontrol terhadap Sumber Daya Manusia)

Berfokus pada peran dan perilaku orang-orang di dalam organisasi dalam menjaga keamanan informasi.
Jumlah kontrol: 8

Contoh kontrol:

  • A.6.1 Tanggung jawab keamanan informasi
  • A.7.1 Perekrutan dan penugasan karyawan yang aman
  • A.7.3 Penanganan pemutusan hubungan kerja atau perubahan status pekerjaan

3. Physical Controls (Kontrol Fisik)

Berkaitan dengan perlindungan fisik terhadap aset dan lingkungan yang mendukung keberlanjutan sistem keamanan informasi.
Jumlah kontrol: 14

Contoh kontrol:

  • A.8.1 Keamanan fisik untuk tempat dan peralatan
  • A.8.4 Keamanan peralatan dalam perjalanan
  • A.8.9 Pencegahan kerusakan dari kebakaran atau bencana alam

4. Technological Controls (Kontrol Teknologi)

Mengatur penggunaan teknologi dan langkah-langkah teknis untuk melindungi informasi dan sistem.
Jumlah kontrol: 34

Contoh kontrol:

  • A.9.2 Manajemen akses pengguna
  • A.9.9 Pemantauan dan pencatatan aktivitas sistem
  • A.9.11 Manajemen kerentanan (vulnerability management)
  • A.10.4 Enkripsi informasi

Perubahan Utama pada ISO/IEC 27001:2022 dibanding Versi 2013

  1. Pengelompokan Kontrol Berubah: Dari 14 kategori menjadi 4 kategori utama (Organizational, People, Physical, Technological).
  2. Pengurangan Jumlah Kontrol: Dari 114 kontrol (versi 2013) menjadi 93 kontrol. Kontrol yang sebelumnya serupa telah digabungkan dan disederhanakan.
  3. Pengenalan Atribut Kontrol: Setiap kontrol kini memiliki atribut untuk membantu organisasi mengidentifikasi dan mengklasifikasikan kontrol sesuai dengan kebutuhan. Contoh atribut termasuk:
    • Keamanan siber (Cybersecurity)
    • Privasi (Privacy)
    • Kinerja operasional (Operational Performance)

Fungsi Lampiran A dalam ISO 27001

Lampiran A berfungsi sebagai referensi untuk membantu organisasi mengidentifikasi dan memilih kontrol yang relevan dengan risiko yang telah diidentifikasi. Meskipun setiap kontrol tidak harus diterapkan secara mutlak, organisasi harus memberikan justifikasi jika ada kontrol yang tidak diterapkan (dalam pernyataan penerapan atau statement of applicability).


Lampiran A ISO/IEC 27001:2022 merupakan pedoman penting untuk memilih dan menerapkan kontrol keamanan informasi. Dengan fokus yang lebih sederhana dan terstruktur dibanding versi sebelumnya, standar ini memudahkan organisasi dalam menjaga keamanan aset informasi dan memenuhi persyaratan peraturan serta kepatuhan. Penerapan kontrol ini membantu organisasi melindungi data, mengurangi risiko kebocoran informasi, dan membangun kepercayaan dengan pelanggan dan mitra bisnis.

Lampiran A Pada ISO 27001

Lampiran A Pada ISO 27001