17 Oct Pembaruan ISO 27001:2013 dan Transisi ke ISO 27001:2022
ISO 27001
Apa yang anda ketahui dari iso 27001 tentang standar internasional keamanan informasi?
ISO 27001 adalah standar yang diakui secara internasional dan digunakan sebagai acuan dalam implementasi Sistem Manajemen Keamanan Informasi sebuah perusahaan. Standar iso 27001 tentang standar internasional keamanan informasi terakhir diperbarui pada 2013 dan dikenal sebagai ISO 27001 2013. Kabar baiknya standar ini diperbarui kembali dan diterbitkan pada Oktober 2022. Tujuannya tidak lain agar lebih relevan dengan ancaman keamanan dan teknologi yang marak terjadi saat ini. Dimana tentu saja ancaman ini semakin meningkat seiring dengan perkembangan teknologi yang pesat.
Pembaruan ini tentu saja menimbulkan banyak pertanyaan seperti:
- Apa saja yang berubah dalam standar yang baru?
- Kapan perusahaan harus melakukan transisi?
- Bagaimana cara mempersiapkan transisi tersebut?
Perubahan pada ISO 27001 2022
Apa perubahan yang terjadi pada ISO 27001 2022 dibandingkan versi ISO 27001 2013?
Perubahan utama pada ISO/IEC 27001 edisi 2022 terletak pada pembaruan Lampiran A sehingga mencerminkan ISO/IEC 27002:2022 yang telah diperbarui pada februari 2022. Standar ini berguna sebagai Pengendalian Keamanan Informasi dan menyediakan kumpulan referensi pengendalian keamanan informasi umum termasuk panduan implementasinya.
Perubahan yang dilakukan yaitu:
- Restrukturisasi kategori
- 11 pengendalian baru
- 24 pengendalian gabungan
- 58 pengendalian yang diperbarui
ISO 27002 yang telah dimodifikasi, tidak mengidentifikasi menggunakan frasa ‘kode praktik’ yang umumnya digunakan. Hal ini dapat membantu menguraikan tujuannya melalui serangkaian pengendalian keamanan informasi.
Selanjutnya, dalam versi ISO 27001 2022 jumlah kontrol telah berkurang dari 114 menjadi 93. Sedangkan, kategori pengendalian versi terbaru telah dikonsolidasikan dari yang sebelumnya berjumlah 14 menjadi 4 kategori.
KATEGORI PENGENDALIAN
1. Bagian 5: Orang (people) (8 pengendalian).
Kategori ini menyangkut orang/individu yang terlibat, meliputi kerja jarak jauh, penyaringan, kerahasiaan, atau perjanjian kerahasiaan.
2. Bagian 6: Perusahaan (organizational) (37 pengendalian).
Pada kategori ini meliputi kebijakan untuk informasi, pengembalian aset, keamanan informasi untuk penggunaan layanan cloud.
3. Bagian 7: Teknologi (technological) (34 pengendalian).
Kategori ini menyangkut teknologi yang meliputi otentikasi yang aman, penghapusan informasi, pencegahan kebocoran data, atau pengembangan yang dialihdayakan.
4. Bagian 8: Fisik (physical) (14 pengendalian).
Kategori ini menyangkut objek fisik meliputi media penyimpanan, pemeliharaan peralatan, pemantauan keamanan fisik, atau pengamanan kantor, ruangan, dan fasilitas.
Pada ISO 27001 yang direvisi, terdapat 35 pengendalian yang tidak mengalami perubahan, 23 pengendalian yang berganti nama, dan 57 pengendalian yang mengalami penggabungan menjadi 24 pengendalian. Terdapat 1 pengendalian yang dibagi 2 yaitu 18.2.3 Technical Compliance Review menjadi 8.8 – Management of technical vulnerabilities dan 5.3.6 – Conformity with policies and standards of information security.
Kemudian pengendalian baru yang telah ditambahkan pada versi terbaru diantaranya:
- Threat Intelligence
- Physical security monitoring
- Data masking
- Information security for cloud services
- Monitoring activities
- ICT readiness for business continuity
- Data leakage prevention
- Configuration management
- Web filtering
- Information deletion
- Secure coding
Penggabungan dan penambahan pengendalian baru menciptakan 5 atribut keamanan utama yang lebih mudah dikelompokkan, yaitu:
- Tipe pengendalian
- Kemampuan operasional
- Domain keamanan
- Konsep keamanan cyber, dan
- Property keamanan informasi.
Transisi ISO 27001 2022
Perusahaan anda sudah tersertifikasi ISO 27001?
Bagaimana pengaruh versi terbaru 2022 terhadap sertifikat ISO 27001 2013?
Pembaruan standar tidak akan berpengaruh terhadap sertifikat standar ISO 27001 yang sudah ada. Namun, sebagai gantinya perusahaan tersertifikasi harus bekerja sama dengan Lembaga Sertifikasi terkait dalam periode transisinya, sehingga perusahaan dapat beralih ke versi terbaru secara efisien.
Kapan perusahaan harus melakukan transisi ke ISO/IEC 27001 2022?
Masa transisi ke ISO/IEC 27001:2022 adalah tiga tahun dari tanggal publikasi. Publikasinya sendiri diperkirakan terjadi pada Oktober 2022. Sehingga perusahaan harus mematuhi Standar yang diperbarui paling lambat Oktober 2025.
Mempersiapkan Transisi Sistem Manajemen Informasi Perusahaan
Selanjutnya, bagaimana cara mempersiapkan ISO/IEC 27001:2022?
Perusahaan harus bersiap untuk memastikan transisi dilakukan dengan lancar dan meminimalkan gangguan yang mungkin terjadi. Hal-hal yang harus dipertimbangkan untuk transisi adalah sebagai berikut:
- Membangun program pendidikan/pelatihan bagi personil yang terlibat dalam implementasi SMKI
- Membiasakan diri Anda dengan 93 pengendalian pada ISO 27002:2022
- Lakukan identifikasi terhadap kontrol yang telah diterapkan di perusahaan yang terpengaruh oleh perubahan yang terjadi
- Siapkan dokumentasi yang dibutuhkan dalam proses transisi
LANGKAH TRANSISI
Berikut adalah langkah yang dapat dilakukan perusahaan dalam rangka mempersiapkan transisi ISO 27001 2022.
1. Lakukan Analisis Kesenjangan (Gap Analysis)
Perusahaan memiliki peluang untuk meninjau daftar risiko dari Sistem Manajemen Keamanan Informasi yang ada. Selanjutnya lakukan penilaian risiko untuk menentukan kesesuaian dan implementasi di perusahaan. Meskipun tidak ada pengendalian yang dihapus antara versi 2013 dan standar ISO 27001 versi 2022, penggabungan, pembaruan, dan pengenalan pengendalian baru akan memengaruhi pengelolaan sistem yang sedang berjalan saat ini.
Melakukan analisis kesenjangan antara sistem saat ini dan pengendalian ISO 27002:2022 dapat membantu perusahaan memahami seberapa besar SMKI yang sedang berjalan akan terpengaruh dengan perubahan yang terjadi. Kemudian apa saja yang perlu disesuaikan dengan standar yang baru. Proses ini juga akan membantu Anda menentukan apakah dan bagaimana pengendalian baru dapat membantu perusahaan mengelola risiko dalam SMKI.
2. Mempertimbangkan Atribut
Dengan adanya Atribut dalam standar ISO 27002 2022, perusahaan dapat menggunakan proses peninjauan untuk mengimplementasikan atribut itu sendiri. Atribut ini memberikan kemampuan bagi perusahaan dalam melakukan kategorisasi pengendalian dilihat dari perspektif yang berbeda. Misalnya, perusahaan dapat melihat pengendalian dari perspektif tipe pengendalian (preventative, detective, or corrective controls), berdasarkan properti keamanan yang berbeda (confidentiality, integrity, availability), atau berdasarkan kemampuan operasional yang berbeda (governance, identity, and access management, legal, and compliance), dan lain-lain.
3. Optimalkan Statement of Applicability
Saat melakukan peninjauan, perusahaan harus mempertimbangkan untuk membuat Statement of Applicability paralel berdasarkan pengendalian versi 2022, termasuk pengendalian namanya mengalami penggantian, penggabungan, maupun baru ditambahkan. Hal ini disebabkan oleh waktu transisi. Audit yang dilakukan sebelum audit transisi masih harus sesuai dengan versi 2013. Dengan demikian harus mengacu pada persyaratan masing-masing.
4. Mempertimbangkan Sumber Daya untuk Transisi
Meskipun persyaratan ISO 27001 2022 belum berubah, pembaruan untuk pengendalian yang tercantum dalam Lampiran A mengharuskan perusahaan untuk mempertimbangkan bagaimana mereka akan menerapkan pembaruan ini.
Pelatihan auditor internal SMKI adalah keharusan bagi perusahaan untuk memastikan personil memahami apa yang diperlukan dan membantu perusahaan menjembatani kesenjangan yang ada. Pemilik pengendalian juga perlu dimasukkan dalam program pendidikan untuk menentukan pengaruhnya terhadap penilaian dan penanganan risiko perusahaan. Program training dapat membantu manajemen perubahan, serta memberikan personil waktu dan kesempatan untuk menyesuaikan diri dengan perubahan yang ada.
Baca Juga: SERTIFIKASI ISO 37001 SEBAGAI PERSYARATAN MENGIKUTI TENDER