27 Jan ISO 27001 2022 – Perubahan Penting dan Pendekatan Transisi
ISO 27001: 2022 – Perubahan Penting dan Pendekatan Transisi
ISO 27001 2022 merupakan pembaruan terbaru dari ISO 27001. Aturan ini baru saja diterbitkan pada tanggal 25 Oktober 2022 lalu. Hal ini bisa dijadikan sebagai pendekatan oleh organisasi agar dapat beradaptasi dengan perubahan yang ditetapkan.
Diketahui, telah banyak kemajuan pesan dalam teknologi dan ancaman keamanan sejak dirilisnya ISO 27001 tahun 2013 lalu. Oleh karena itu, perubahan baru ini bertujuan untuk meningkatkan tata kelola seputar keamanan dan cara mengatasi risiko yang mungkin terjadi oleh ancaman.
Apa itu ISO 27001 2022?
ISO 27001 merupakan standar internasional yang mengatur kerangka kerja Information Security Management System (ISMS). Ketentuan ini yang memberikan pendekatan secara sistematis untuk mengontrol keamanan informasi sehingga risiko dapat dikelola dengan baik.
Dalam panduan ini akan diberikan tata cara penerapan keamanan dan cara terbaik dalam melindungi aset informasi. Hal ini meliputi proses, teknologi, serta sumber daya manusia.
Standar ISO 27001 mencakup berbagai hal mengenai pengelolaan risiko terhadap keamanan informasi yang dimiliki oleh suatu lembaga atau organisasi. Hal ini termasuk syarat untuk menilai risiko, kontrol keamanan, serta tinjauan berkala yang perlu dilakukan untuk memastikan efektivitas ISMS.
Dalam hal tersebut juga termasuk panduan untuk mengelola insiden dan perencanaan bisnis agar terus berlangsung. Organisasi yang menggunakan pendekatan ini harus memiliki sistem manajemen untuk memproteksi diri dari akses tidak sah, gangguan, pengungkapan, modifikasi, hingga perusakan informasi.
Sertifikasi ISO 272001 merupakan sebuah proses yang menunjukan bahwa ISMS telah memenuhi syarat sesuai standar. Untuk bisa memiliki sertifikasi, perlu merampungkan audit eksternal dan pengawasan berkelanjutan sebagai tanda kepatuhan terhadap standar yang berlaku.
Organisasi yang sudah tersertifikasi bisa memanfaatkan standar ini sebagai tolak ukur pengelolaan keamanan informasi. Selain itu, bisa juga digunakan untuk menjalin komitmen dengan perusahaan terhadap informasi keamanan pada klien, pemangku kepentingan, serta badan pengatur.
Perubahan ISO 27001 2022
Ada beberapa perubahan yang terjadi pada ISO 27001 versi terbaru ini. Beberapa perubahan tersebut diantaranya:
- Klausul 4.1: Memahami kebutuhan dan keinginan pihak yang berkepentingan;
- Klausul 6.2: Keamanan informasi dan rencana untuk bisa mencapainya;
- Klausul 6.3: Perencanaan terhadap perubahan;
- Klausul 8.1: Perencanaan serta Pengendalian Operasional.
Sementara itu, bila dilihat dari strukturalnya, Klausul 9.2 tentang audit internal dibagi menjadi dua bagian yaitu umum dan program audit internal. Namun, syarat yang diberlakukan tetap sama.
Hal ini pun terjadi pada Klausul 9.3 tentang tinjauan manajemen yang kini dibagi menjadi 3 bagian penting, yaitu umum, masukan kajian pada manajemen, serta hasil kajian manajemen.
Namun, ada item baru yang baru ditambahkan pada kajian manajemen, yaitu perubahan kebutuhan serta keinginan pihak berkepentingan yang sesuai dengan sistem manajemen keamanan informasi. Manajemen pusat perlu memastikan hal ini telah termasuk ke dalam kajian manajemen.
Dalam versi ISO 27001 2022 juga telah dikenalkan Klausul 6.3 yang baru, yaitu perencanaan perubahan. Untuk dapat memenuhi syarat ini, perubahan pada ISMS harus direncanakan terlebih dahulu. Lalu, buktinya disimpan sebagai tanda bahwa perusahaan tersebut telah dikelola dengan cara yang tepat.
Mereka harus memastikan telah memiliki rencana terdokumentasi. Hal ini mencakup kegiatan yang sudah dilaksanakan, bukti tinjauan manajemen, serta komunikasi berdasarkan rencana yang sudah dibuat.
Perubahan Penting ISO 27002 2022
Perubahan besar yang terjadi pada ISO 27001 yaitu restrukturisasi 14 domain kontrol dan membaginya dalam 4 kategori. Hal ini mengakibatkan jumlah kontrol menjadi berkurang, dari 114 menjadi 93.
Hal ini disebabkan digabungkannya 57 kontrol jadi 24 kontrol. Sebagian besar dari 58 kontrol tidak mengalami perubahan, hanya dilakukan sedikit perubahan kontekstual. Sementara itu, 11 kontrol lainnya baru dan tidak tersedia pada ISO/IEC 27001:2013. Adapun restrukturisasi dari kontrol tersebut yaitu:
- A.5 Organisasi – terdiri dari 37 kontrol;
- A.6 Orang – terdiri dari 8 kontrol;
- A.7 Fisik – terdiri dari 14 kontrol;
- A.8 Teknologi – terdiri dari 34 kontrol.
Sementara itu, 11 kontrol baru lainnya yang ditambahkan ke Lampiran A yaitu:
- A.5.7 Intelijen ancaman;
- A.5.23 Keamanan informasi bagi pemakaian layanan cloud;
- A.5.30 Persiapan ICT untuk keberlangsungan perusahaan;
- A.7.4 Monitoring keamanan fisik;
- A.8.9 Tatalaksana konfigurasi;
- A.8.10 Penghilangan informasi;
- A.8.11 Data masking;
- A.8.12 Upaya preventif kebocoran data;
- A.8.16 Kegiatan pemantauan;
- A.8.23 Pemfilteran web;
- A.8.28 Coding yang aman.
Poin Transisi Penting ISO 27001 2022
Saat ini, organisasi yang sudah mendapat sertifikasi ISO 27001 tahun 2013 akan diberi waktu selama 3 tahun untuk bisa berpindah ke standar ISO 2022. Masa transisi ini terhitung sejak tanggal 31 Oktober tahun 2022 sampai 31 Oktober tahun 2025. Pada akhir masa transisi tersebut masa berlaku ISO 27001:2013 akan berakhir.
Bagi organisasi yang baru saja menerapkan ISO 27001 dan baru mencapai tahap 1 dan 2, akan mendapat sertifikasi versi 27001:2013 hingga Oktober 2023. Berikutnya, audit transisi dapat dilakukan beriringan dengan audit organisasi selanjutnya. Misalnya, berupa audit transisi atau audit pengawasan. Namun, proses audit ini juga bisa dilakukan terpisah.
Setiap organisasi yang ingin memiliki sertifikasi ISO 27001 harus melakukan transisi ke versi ISO 27001 2022 selambat-lambatnya tanggal 31 Mei 2025. Sepanjang masa transisi, kedua versi standar ISO 27001 tetap diberlakukan. Sementara itu, proses audit dapat disesuaikan dengan peraturan berikut ini:
- Semua sertifikasi terbaru akan dimulai pada tanggal 1 November 2023, semua organisasi harus menggunakan ISO 27001:2022 terbaru. Setelah tanggal tersebut, semua audit sertifikasi ulang diharuskan untuk segera menggunakan versi ISO 27001 tahun 2022;
- Transisi audit paling lambat dilakukan pada tanggal 31 Mei tahun 2025;
- Masa transisi akan selesai pada 31 Oktober tahun 2025. Setelahnya, sertifikasi ISO 27001:2013 tidak akan berlaku lagi.
Oleh karena itu, perencanaan tetap harus dibuat agar proses transisi organisasi bisa sepenuhnya dilakukan sebelum mencapai batas akhir.
Batas Waktu Sertifikasi ISO 27001 2022
Pihak yang masih menggunakan ISO 27001:2013 harus menyelesaikan proses transisinya dalam kurun waktu 36 bulan saja. Selama masa transisi ini, sertifikat ISO 27001:2013 masih bisa berlaku.
Sementara itu, sertifikasi ISO 27001 2022 baru akan diterbitkan setelah siklus sertifikasi ulang 3 tahun. Proses audit sertifikasi ISO tahun 2022 ini akan didasarkan pada:
- Audit pengawasan;
- Audit khusus;
- Audit sertifikasi ulang;
- Sertifikasi awal tidak membutuhkan audit transisi.
Demikian informasi mengenai ISO 27001 2022. Sertifikasi ini bisa dilakukan di MUTU International, yang merupakan salah satu Lembaga Validasi yang sudah terakreditasi KAN sejak tahun 2015. Proses sertifikasi akan disesuaikan dengan verifikasi sesuai ISO/IEC terbaru.
Referensi
https://isokonsultindo.com/perubahan-baru-iso-iec-27001-2022/
https://eduparx.id/blog/insight/perbedaan-iso-27001-versi-2022-dengan-versi-sebelumnya/