14 Feb Tujuan ISO 27001 : 2022 dan Aspek-Aspek yang Dilindungi
Tujuan ISO 27001 : 2022 dan Aspek-Aspek yang Dilindungi
Tujuan ISO 27001 hadir untuk membantu industri dalam proses tatalaksana keamanan informasi. Lebih dari 20 tahun, ISO dijadikan sebagai landasan yang sudah mapan. Sayangnya, landasan ini sudah cukup tua bila untuk keamanan informasi.
Meskipun demikian, standar ini masih terus berkembang. Hal ini bisa dilihat dari meningkatnya jumlah sertifikat hingga 32% pada tahun 2021. Akibat meningkatnya permintaan kerangka kerja mengenai keamanan informasi ini, pada 25 Oktober 2022 ISO/IEC 27001 menerbitkan versi terbarunya.
Tujuan ISO 27001
ISO 270001 merupakan standar yang dirilis oleh The International Organization for Standardization (ISO). Organisasi tersebut merupakan lembaga internasional yang mengembang dan menerbitkan standar internasional untuk berbagai industri.
Sebuah organisasi yang sudah memiliki sertifikasi dari ISO biasanya memiliki komitmen untuk memberikan layanan terbaik sesuai dengan standar internasional.
Di samping itu ada juga pendekatan sistematis untuk mengolah informasi perusahaan yang bersifat sensitif agar tetap aman. Sistem ini disebut sebagai SMKI (Sistem Manajemen Keamanan Informasi). SMKI terdiri dari sumber daya manusia, proses, serta sistem teknologi informasi dengan menjalankan manajemen risiko.
ISO 27001 tahun 2013 tidak hanya difokuskan pada bidang teknologi saja, tetapi juga pada aset bisnis penting, sumber daya, hingga proses dalam sebuah lembaga. Standar ini mencakup lampiran annex dan 10 klausul, yang masih membentuk gambaran utuh dari PDCA Cycle (Plan-Do-Check Act).
Tujuan ISO 27001 tahun 2013 yaitu untuk mempertahankan dan melindungi keamanan informasi yang terdiri dari beberapa aspek, yaitu confidentiality, integrity, serta availability. Adapun penjelasan dari masing-masing aspek tersebut yaitu:
-
Confidentiality (Kerahasiaan)
Menjaga akses informasi agar hanya bisa didapatkan oleh pihak yang memiliki kepentingan saja. Misalnya, setiap informasi tentang pengaduan aplikasi WISE dan ALPHA yang dipegang oleh Itjen Kemenkeu, yang hanya bisa dibuka oleh pihak tertentu untuk memberikan respon terhadap pengaduan tersebut.
-
Integrity (Integritas)
Menjamin pengolahan informasi yang lengkap serta akurat. Misalnya, dalam penggunaan log ketika menulis semua perubahan yang ada pada aplikasi WISE dan ALPHA.
-
Availability (Ketersediaan)
Tujuan berikutnya yaitu menjamin bahwa akses informasi akan tersedia ketika pengguna yang memiliki wewenang membutuhkannya. Contohnya yaitu menggunakan kata sandi email untuk bisa mengakses WISE dan ALPHA.
Ketika suatu organisasi menerapkan standar ISO tersebut, Itjen berjanji akan memberi jaminan bahwa semua informasi dan data akan dikumpulkan akan dikumpulkan dan diolah dengan cara yang aman.
Selain itu, data informasi tersebut hanya akan digunakan pihak-pihak yang memiliki kepentingan dan tanggung jawab saja. Dengan begitu, pihak pemberi informasi akan lebih yakin pada kredibilitas Itjen Kemenkeu.
Fitur-Fitur Baru ISO 27001 : 2022
Dalam ISO 27001 dijelaskan kerangka kerja bagi sistem tatalaksana keamanan informasi yang disebut dengan ISMS atau SMKI. Hal ini diperuntukkan bagi perusahaan, terlepas dari struktur, ukuran, serta risiko dari orientasi bisnis. Di sini, hal yang harus diperhatikan yaitu manajemen risiko yang mungkin dihadapi.
Bahaya siber yang terus berubah dapat mengeksploitasi kemungkinan risiko terbaru pada perusahaan. Tujuannya yaitu untuk menyerang dan mendiskusikan arus informasi serta proses bisnis. Mekanisme ini tentu dapat menimbulkan tiga risiko keamanan informasi, mulai dari kerahasiaan, integritas, serta ketersediaan. Hal ini harus segera diketahui dan dikelola.
Dalam pembaruan tujuan ISO 27001 tahun 2022, dibahas mengenai praktik terbaik dalam mengelola risiko keamanan. Kontrol keamanan ini tertulis pada Lampiran A normatif ISO/IEC 27001: 2022 versi terbaru dan merupakan hasil revisi dari ISO/IEC 27002: 2022.
Petunjuk implementasi telah diangkat sejak bulan Februari 2023. Implementasi tersebut dibuat dengan taksonomi yang lebih simple dan memiliki otoritas keamanan kontemporer. Namun, dengan diterbitkannya ISO 27001 versi tahun 2022, bisa dikatakan ISO 27001/27002 merupakan proteksi terbaik.
Perubahan Baru ISO/IEC 27001: 2022
Perubahan yang cukup signifikan pada tujuan ISO 27001 tahun 2022 yaitu mengadaptasi apa yang disebut dengan Struktur Harmonisasi sehingga syarat untuk orientasi proses yang sudah lama tertunda dapat diposisikan pada fokus ISMS dengan efektif.
Landasan dari sebuah sistem manajemen yang efektif yaitu proses yang jelas dan interaksinya. Selain itu, orientasi target dalam proses pengendaliannya. Berikut informasi lebih detail mengenai tiga hal yang berubah dalam versi baru.
-
Penyelarasan Struktur Tingkat Tinggi
Sejak bulan Mei 2021, Struktur Tingkat Tinggi atau HLS digantikan oleh Struktur Harmonisasi (HS). Struktur Harmonisasi merupakan sebuah kerangka dalam pengembangan revisi baru dari standar ISO yang sudah ada.
ISO 27001 2022 merupakan salah satu contoh standar sistem tatalaksana pertama yang telah disesuaikan ke versi HS.
Di masa mendatang, Klausul 6.3 akan memerlukan perubahan pada ISMS agar dapat diterapkan secara terencana. Syarat ini tentunya tidak asing lagi dari sistem tatalaksana lainnya dan menyatakan harapan perubahan yang berkaitan dengan ISMS yang sudah dipegang.
-
Perubahan Normatif dalam Tujuan ISO 27001
Perubahan lainnya yang cukup signifikan yaitu menambah konteks organisasi pada Klausul 4.4 dengan sederet syarat untuk mengidentifikasi proses yang dibutuhkan serta keterkaitannya pada ISMS. Hal ini diperlukan untuk proses implementasi dan pemeliharaan.
Syarat yang eksplisit ini akan membawa ISO/IEC 27001: 2022 beriringan dengan pendekatan praktik terbaik dari sistem manajemen yang sesuai dengan HS. Sistem tatalaksana keamanan informasi harus didasarkan pada proses yang sudah mapan dan bisa dideteksi interaksinya.
Selain itu, terdapat perubahan lainnya dalam Klausul 8.1 yang menjunjung pentingnya orientasi dari proses yang bersifat umum pada sistem tatalaksana berbasis HS.
Organisasi harus menyadari bahwa proses merupakan bagian dari perencanaan dan pengendalian operasional agar mengimplementasikan langkah-langkah dalam mengelola risiko keamanan informasi.
Aspek terbaru dari klausul ini yaitu kriteria proses harus didefinisikan. Pengendalian proses harus diterapkan berdasarkan kriteria ini. Berikutnya, klarifikasi dan spesifikasi yang lebih kecil dibuat pada klausul di bawah ini:
- Klausul 5.3: Melengkapi dengan beberapa syarat eksplisit bahwa otoritas dan tanggung jawab pada peran yang berkaitan dengan keamanan informasi diketahui organisasi;
- Klausul 7.4: Menyatakan bahwa diperlukan komunikasi internal dan eksternal tentang ISMS. Tidak hanya itu, cara komunikasi merupakan sebuah penyederhanaan yang bisa diimplementasikan dari syarat sebelumnya;
- Klausul 9.2 Audit Internal dan 9.3 Tinjauan Manajemen: Telah diadaptasikan dengan Struktur Harmonisasi. Kini Klausul 9.2 dibagi kembali menjadi 9.2.1 dan 9.2.2. Sementara itu, Klausul 9.3 dibagi menjadi 3, yang terdiri dari 9.3.1, 9.3.2, dan 9.3.3;
- Penyusunan Klausul 10.1 dan Klausul 10.2 telah diposisikan sesuai dengan HS.
Demikian informasi mengenai tujuan ISO 27001 serta aspek-aspek yang dilindunginya. Sertifikasi ini bisa Anda dapatkan melalui lembaga MUTU International, yang merupakan lembaga validasi yang sudah diakui oleh JAS.
Referensi
https://www.dqsglobal.com/id-id/informasi/blog/new-iso-27001-2022-key-changes