Proses bisnis terus berubah didorong oleh informasi dan data. Tanpa pertukaran informasi, tidak ada yang berhasil dalam ekonomi digital. Keamanan informasi meluas jauh ke dalam realitas pekerjaan dan kehidupan. Oleh karena itu, melindungi operasi harian yang digerakkan oleh informasi, data penting, dan kekayaan intelektual dari ancaman dunia maya sangat penting untuk bisnis. Ditambah di era serangan siber industri ini, beradaptasi dengan risiko keamanan informasi yang selalu berubah. Perusahaan memerlukan pendekatan yang tepat waktu dan fleksibel untuk membangun ketahanan perusahaan. ISO 27001 telah lama menjadi standar Sistem Manajemen Keamanan Informasi (SMKI). Pada 2022 ini ISO 27001 mengalami perubahan menyesuaikan dengan kondisi terkini. Simak penjelasan berikut untuk mengetahui pembaruan dari ISO 27001.
Perubahan Terbaru ISO 27001 Edisi 2002
Standar ISO 27001 terakhir diperbarui pada tahun 2013. Sementara edisi baru ini diterbitkan pada Oktober 2022, dengan tujuan agar lebih relevan dan up-to-date dengan ancaman keamanan dan teknologi terkini.
Perubahan utama pada ISO 27001 edisi 2022 adalah pembaruan Lampiran A untuk mencerminkan ISO 27002:2022. Diperbarui pada Februari 2022, ISO 27002 adalah Standar untuk Pengendalian Keamanan Informasi, dan menyediakan kumpulan referensi pengendalian keamanan informasi umum termasuk panduan implementasi.
Perubahan tersebut meliputi:
- Restrukturisasi kategori
- 11 pengendalian baru
- 24 pengendalian gabungan
- 58 pengendalian yang diperbarui
Baca Juga:
Kupas Tuntas IT Risk Management, Pengertian, Pelatihan, Tujuan dan Silabus
Waktu Transisi ISO 27001: 2022
Mempersiapkan Penerapan I
Kategori Baru:
Kategori pengendalian baru sudah dikonsolidasikan dari 14 menjadi 4.
- Orang (people) (8 pengendalian)
Jika menyangkut orang individu, seperti kerja jarak jauh, penyaringan, kerahasiaan, atau perjanjian kerahasiaan.
- Organisasi (organizational) (37 pengendalian)
Jika menyangkut organisasi, seperti kebijakan untuk informasi, pengembalian aset, keamanan informasi untuk penggunaan layanan cloud.
- Teknologi (technological) (34 pengendalian)
Seperti otentikasi yang aman, penghapusan informasi, pencegahan kebocoran data, atau pengembangan yang dialihdayakan.
4. Fisik (physical) (14 pengendalian)
Jika menyangkut objek fisik, seperti media penyimpanan, pemeliharaan peralatan, pemantauan keamanan fisik, atau pengamanan kantor, ruangan, dan fasilitas.
Pengendalian Baru:
Jumlah total pengendalian telah dikurangi dari 114 menjadi 93, ada 11 pengendalian baru termasuk:
- Threat intelligence
- Information Security for use of Cloud Services
- ICT Readiness for Business Continuity
- Physical Security Monitoring
- Monitoring Activities
- Web filtering
- Secure coding
- Configuration Management
- Information Deletion
- Data Masking
- Data Leakage Prevention
Waktu Transisi ISO 27001: 2022
Masa transisi ke ISO 27001:2022 adalah tiga tahun dari tanggal publikasi ISO 27001:2022. Tanggal publikasi adalah Oktober 2022, sehingga organisasi harus mematuhi Standar yang diperbarui paling lambat Oktober 2025.
Terdapat perbedaan bagi organisasi yang sudah punya ISO 27001 dan yang belum, yaitu:
- Organisasi yang sudah bersertifikat ISO 27001
- Hingga Oktober 2023, audit dapat dilakukan terhadap ISO 27001:2013 atau ISO 27001:2022 atas permintaan organisasi.
- Ketidakpatuhan terhadap persyaratan tambahan dalam edisi 2022 akan dianggap sebagai Areas of Concern, dan harus ditutup sebelum masa transisi.
- Mulai Oktober 2023, semua audit harus mengikuti ISO 27001:2022.
- Organisasi yang ingin sertifikasi ISO 27001
- Organisasi yang mengajukan sertifikasi sebelum tanggal penerbitan edisi 2022 akan dinilai kepatuhannya terhadap ISO 27001:2013.
- Organisasi yang mengajukan sertifikasi setelah tanggal penerbitan edisi 2022 akan dinilai kepatuhannya terhadap ISO 27001:2022.
Catatan: Waktu tambahan akan diperlukan untuk melakukan peningkatan komponen audit, jika beralih dari ISO 27001:2013 ke ISO 27001:2022.
Baca Juga:
Mengenal COBIT, Pengertian, Tujuan dan Pelatihan
Mempersiapkan Penerapan ISO 27001:2022
Organisasi harus bersiap untuk memastikan transisi yang lancar dan meminimalkan gangguan. Kegiatan utama berikut harus dipertimbangkan untuk transisi:
- Membangun program pendidikan bagi mereka yang terlibat dalam operasi SMKI.
- Membiasakan diri dengan 93 pengendalian dalam ISO 27002:2022.
- Identifikasi kontrol mana yang telah diterapkan ke dalam organisasi yang terpengaruh.
- Siapkan dokumentasi untuk transisi
Selain itu, perlu dilakukan hal berikut:
-
Analisis Kesenjangan Gap
Analisis kesenjangan antara sistem saat ini dan pengendalian ISO 27002:2022 akan membantu Anda memahami bagaimana SMKI akan terpengaruh, dan apa yang perlu disesuaikan agar sesuai dengan standar.
Analisis kesenjangan juga akan membantu menentukan apakah dan bagaimana pengendalian baru dapat membantu Anda mengelola risiko.
-
Memperhatikan Atribut
Dengan diperkenalkannya atribut dalam standar ISO 27002:2022, organisasi dapat menggunakan proses peninjauan untuk mengimplementasikan atribut. Manfaat atribut mampu membuat pandangan atau kategorisasi pengendalian yang berbeda dilihat dari perspektif atau tema yang berbeda.
-
Optimalkan Statement of Applicability Anda
Organisasi harus mempertimbangkan untuk membuat Statement of Applicability paralel berdasarkan pengendalian versi 2022, termasuk pengendalian yang diganti namanya, serta pengendalian gabungan dan baru.
Hal ini disebabkan oleh waktu transisi. Audit yang dilakukan sebelum audit transisi masih harus sesuai dengan versi 2013, dan dengan demikian perlu mengacu pada persyaratan masing-masing.
-
Sumber Daya untuk Transisi
Pembaruan untuk pengendalian yang tercantum dalam Lampiran A, mengharuskan organisasi mempertimbangkan bagaimana mereka akan menerapkan pembaruan ini.
Pelatihan auditor internal SMKI adalah suatu keharusan untuk memastikan mereka memahami apa yang diperlukan, dan bagaimana membantu organisasi menjembatani kesenjangan. Memiliki program pendidikan juga membantu manajemen perubahan, memberi staf waktu dan kesempatan untuk menyesuaikan diri dengan perubahan.
Itulah penjelasan tentang pembaruan pada ISO 27001:2022. Pada intinya, dokumen ini menetapkan persyaratan untuk menetapkan, menerapkan, memelihara, dan terus meningkatkan sistem manajemen keamanan informasi dalam konteks organisasi. Dokumen ini juga mencakup persyaratan penilaian dan penanganan risiko keamanan informasi yang disesuaikan dengan kebutuhan organisasi.
Persyaratan yang ditetapkan dalam dokumen ini bersifat umum dan dimaksudkan untuk dapat diterapkan pada semua organisasi, terlepas dari jenis, ukuran, atau sifatnya. Pengecualian salah satu persyaratan yang ditentukan dalam Klausul 4 sampai 10 tidak dapat diterima saat organisasi mengklaim kesesuaian dengan dokumen ini.
Bagi Anda yang membutuhkan standar ISO 27001: 2022 silahkan menghubungi kami.