02 May ISO 27001:2013 vs ISO 27001:2022 – Apa saja perbedaannya?
ISO 27001 Sistem Manajemen Keamanan Informasi
ISO 27001 tentang standar internasional keamanan informasi yang dikenal dengan SMKI (Sistem Manajemen Keamanan Informasi). Diterbitkan oleh International Organization for Standardization (ISO) ISO 27001 mengalami pembaruan setelah 9 tahun sejak versi 2013 diterbitkan. Pada 25 oktober 2022 standar ini digantikan oleh ISO 27001 versi 2022. SMKI mencakup unsur-unsur yang digunakan untuk mengelola dan mengendalikan risiko keamanan informasi yaitu kerahasiaan (confidentiality), integritas (integrity) dan ketersediaan (availability) informasi. Beberapa perubahan utama pada versi ISO 27001:2022 diantaranya:
- Perubahan pada klausul ISO 27001.
- Perubahan dalam pengendalian keamanan Lampiran A.
- Pengurangan jumlah pengendalian.
- Kategori pengendalian dikonsolidasikan.
- Munculnya pengendalian baru.
Baca juga: Penerapan PDCA pada SMKI ISO 27001:2022
Perbedaan ISO 27001:2013 dan ISO 27001:2022
Secara keseluruhan, perubahan pada ISO 27001:2022 tergolong kecil hingga sedang. Bagian utama standar tetap terdiri dari 11 klausul. Lampiran A banyak mengalami perubahan yaitu berkurangnya jumlah kontrol dari 114 menjadi 93, dan jumlah kategori yang disusun menjadi 4 kategori dari 14 kategori pada versi 2013. Jika dilihat kembali perubahan pada Lampiran A hanya bersifat moderat.
ISO 27001:2013 vs ISO 27001:2022
Perubahan pengendalian keamanan pada Annex A
- 11 pengendalian baru.
- 35 pengendalian tidak mengalami perubahan
- 23 pengendalian berganti nama
- 57 pengendalian mengalami penggabungan menjadi 24 pengendalian.
- 1 pengendalian dibagi 2
Daftar pengendalian baru ISO 27001:2022
- Threat Intelligence (A.5.7)
- ICT readiness for business continuity (A.5.30)
- Information security for cloud services (A.5.23)
- Physical security monitoring (A.7.4)
- Configuration management (A.8.9)
- Information deletion (A.8.10)
- Data masking (A.8.11)
- Data leakage prevention (A.8.12)
- Monitoring activities (A.8.16)
- Web filtering (A.8.23)
- Secure coding (A.8.28)
Pengendalian yang dibagi 2
18.2.3 Technical Compliance Review menjadi:
- 8 – Management of technical vulnerabilities
- 3.6 – Conformity with policies and standards of information security.
Kategori pengendalian yang dikonsolidasikan, yaitu:
- Bagian 5: Orang (people) (8 pengendalian)
- Bagian 6: Perusahaan (organizational) (37 pengendalian)
- Bagian 7: Teknologi (technological) (34 pengendalian)
- Bagian 8: Fisik (physical) (14 pengendalian)
Baca juga: 3 Elemen Utama ISO 27001
Perubahan pada Sistem Manajemen
Perubahan pada klausul ISO 27001 yang wajib yaitu klausul 4 sampai 10 mengalami hanya sedikit perubahan. Terutama untuk menyelaraskan dengan ISO 9001, ISO 14001, dan standar manajemen ISO lainnya, beserta Lampiran Annex SL.
Berikut uraian singkat terkait perubahan pada ISO 27001:2022.
- Understanding the needs and expectations of interested parties – memahami kebutuhan dan harapan pihak berkepentingan (klausul 4.2, item c), ditambahkan yang memerlukan analisis tentang persyaratan pihak berkepentingan mana yang harus ditangani melalui SMKI.
- Information security management system – sistem manajemen keamanan informasi (klausul 4.4), ditambahkan yang memerlukan perencanaan untuk proses dan interaksinya sebagai bagian dari SMKI.
- Organizational roles, responsibilities and authorities – Peran, tanggung jawab, dan wewenang organisasi (klausul 5.3), ditambahkan frasa untuk menjelaskan bahwa komunikasi peran dilakukan secara internal di dalam organisasi.
- Information security objectives and planning to achieve them – Tujuan keamanan informasi dan perencanaan untuk mencapainya (klausul 6.2), item d ditambahkan yang mengharuskan tujuan untuk dipantau.
- Planning of changes – Perencanaan perubahan (klausul 6.3), ditambahkan, mensyaratkan bahwa setiap perubahan SMKI perlu dilakukan secara terencana.
- Communication – Komunikasi (klausul 7.4), item e telah dihapus, yang memerlukan pengaturan proses komunikasi.
- Operational planning and control – Perencanaan dan pengendalian operasional (klausul 8.1), persyaratan baru ditambahkan untuk menetapkan kriteria proses keamanan. Selain itu, untuk mengimplementasikan proses sesuai dengan kriteria tersebut. Dalam klausul yang sama, persyaratan implementasi rencana untuk mencapai tujuan telah dihapus.
- Management review – Tinjauan manajemen (klausul 9.3), item baru 9.3.2 c ditambahkan. Item tersebut digunakan untuk mengklarifikasi bahwa masukan dari pihak yang berkepentingan harus mengenai kebutuhan dan harapan mereka. Selain itu harus relevan dengan SMKI.
- Improvement – Peningkatan (klausul 10), subklausul telah berpindah tempat, maka yang pertama adalah Perbaikan berkelanjutan (10.1). Yang kedua adalah Ketidaksesuaian dan tindakan korektif (10.2), sedangkan konten dari klausul tersebut tidak berubah.
Baca juga: Sistem Manajemen Keamanan Informasi ISO 27000 Series
Transisi ISO 27001
Menurut dokumen “Persyaratan transisi untuk ISO/IEC 27001:2022” dari Forum Akreditasi Internasional, perusahaan yang sudah tersertifikasi ISO 27001:2013 harus menyelesaikan transisi ke ISO 27001:2022 sebelum 31 Oktober 2025.
Sedangkan bagi Badan sertifikasi harus mulai mensertifikasi perusahaan dengan standard ISO 27001:2022 paling lambat 31 Oktober 2023. Namun, diperkirakan sebagian besar dari Badan Sertifikasi tersebut akan menggunakan revisi terbaru lebih cepat.
Berdasarkan IAF MD 26:2022 tentang persyaratan transisi ISO/IEC 27001:2022 yang diterbitkan pada 9 August 2022, berikut adalah jadwal transisi ISO/IEC 27001:2022 untuk Lembaga Akreditasi dan Lembaga Penilai Kesesuaian (LPK)
Jika sudah mengimplementasikan ISO 27001:2013 dan ingin melakukan transisi ke ISO 27001:2022, segera konsultasikan kebutuhan anda dengan konsultan ISO 27001 kami. Kama Konsultan siap membantu kebutuhan perusahaan anda untuk masa depan yang lebih baik.
Baca juga: Mengenal ISO/IEC 27032 Sistem Keamanan Siber Tujuan dan Manfaatnya
Jangan ragu untuk bertanya dengan kami
Kama Konsultan akan memberikan konsultasi dan pendampingan sesuai dengan ruang lingkup, serta standar apa yang akan Anda capai.