11 Mar Pembaruan ISO 27001 Versi 2022

Pembaruan ISO 27001 Versi 2022

Dengan adanya pembaruan ISO 27001 2022 dari versi sebelumnya (2013) menjadi versi tahun 2022, maka standar bagi organisasi/perusahaan untuk mengelola ISMS (Information Security Management System) atau Sistem Manajemen Keamanan Informasi (SMKI) ikut berubah.

Sementara itu, ISO 27001 sendiri adalah standar internasional yang menetapkan persyaratan untuk membangun, mengimplementasikan, memelihara, dan terus meningkatkan SMKI di dalam konteks suatu organisasi, termasuk organisasi bisnis seperti perusahaan.

Apa Saja Pembaruan ISO 27001 2022 Dibanding Versi Sebelumnya?

Memahami pembaruan yang terjadi pada ISO 27001:2022 sebagai versi terbaru sangat penting agar perusahaan atau organisasi Anda dapat beradaptasi atau menyesuaikan diri. Berikut ini beberapa poin pembaruannya yang paling signifikan:

1. Pembaruan Judul

Dari segi judul, ISO 27001:2022 versi terkini memiliki judul “Information security, cybersecurity and privacy protection – Information security controls“.

Judul ini berbeda dengan versi sebelumnya yang tidak mencakup keamanan siber (cybersecurity) dan perlindungan privasi (privacy protection). Karena itu, adanya pembaruan judul ini menunjukkan pergeseran fokus yang lebih luas.

Dengan mengadopsi judul yang lebih holistik, ISO 27001:2022 tidak hanya mengatur manajemen keamanan informasi, tetapi juga menempatkan keamanan siber dan privasi sebagai komponen integral dari persyaratan SMKI suatu organisasi.

2. Perubahan Struktur dan Kategori Pengendalian di Annex A

Salah satu aspek utama dari pembaruan ISO 27001 2022 juga terletak pada perubahan struktur dan kategori pengendalian/kontrol yang termuat di dalam lampiran atau Annex A.

Pada versi sebelumnya yaitu ISO 27001:2013, jumlah kontrol yang diatur mencapai 144. Namun, dalam ISO 27001:2022, jumlah kontrol atau pengendalian ini telah dikurangi menjadi 92.

Adanya reduksi atau pengurangan tersebut mencerminkan upaya untuk menyederhanakan dan memfokuskan kontrol keamanan dan membuatnya menjadi lebih efisien. Adapun perubahan substansial lainnya meliputi:

• • Tambahan Pengendalian Baru (11 Kontrol)

ISO 27001:2022 memperkenalkan sejumlah kontrol baru, contohnya seperti Threat Intelligence, Physical Security Monitoring, Information Security for Cloud Services, dan lain sebagainya.

• • Penggabungan dan Pembaruan (24 Kontrol)

Sebanyak 57 kontrol sekarang telah digabung menjadi 24 kontrol saja untuk memberikan landasan yang lebih kuat dan terintegrasi dalam menghadapi ancaman keamanan terkini.

Selain itu, perubahan ISO 27001 versi terbaru ini juga menggantikan struktur kategori kontrol sebelumnya yang kompleks menjadi empat kategori utama, yaitu:

• • People (8 Kontrol)

Menyangkut individu yang terlibat, termasuk kerja jarak jauh, penyaringan, kerahasiaan, dan perjanjian.

• • Organizational (37 Kontrol)

Melibatkan kebijakan informasi, pengembalian aset, dan keamanan informasi untuk layanan cloud.

• • Technological (34 Kontrol)

Menyangkut teknologi, seperti otentikasi yang aman, pencegahan kebocoran data, dan pengembangan yang dialihdayakan.

• • Physical (14 Kontrol)

Terkait dengan aspek fisik seperti media penyimpanan, pemeliharaan peralatan, dan pemantauan keamanan dari fasilitas fisik lainnya.

3. Penambahan Kontrol/Pengendalian Baru

Sebagaimana disebutkan sepintas pada poin sebelumnya, salah satu pembaruan ISO 27001 2022 adalah dari segi tambahan pengendalian baru sejumlah 11 kontrol. Secara lebih rinci, berikut ini penjelasan lanjutan terkait 11 kontrol baru tersebut:

• • A.5.7 Threat Intelligence

Mewajibkan organisasi untuk mengumpulkan dan menganalisis informasi mengenai ancaman, sehingga memungkinkan pengambilan tindakan pencegahan yang efektif untuk mengurangi risiko.

• • A.5.23 Information Security for Use of Cloud Services

Menekankan pentingnya keamanan informasi dalam layanan cloud. Organisasi diwajibkan menetapkan standar keamanan khusus untuk cloud dan mengimplementasikan prosedur yang terfokus pada layanan tersebut.

• • A.5.30 ICT Readiness for Business Continuity

Menjamin bahwa teknologi informasi dan komunikasi dapat dipulihkan dan digunakan selama situasi darurat, memberikan lapisan tambahan untuk memastikan kelangsungan bisnis.

• • A.7.4 Physical Security Monitoring

Mewajibkan organisasi memonitor area fisik sensitif, seperti pusat data dan fasilitas produksi, untuk memastikan hanya orang yang berwenang yang dapat mengaksesnya.

• • A.8.9 Configuration Management

Mengharuskan organisasi untuk mengelola konfigurasi teknologi mereka, memastikan keamanan dan mencegah perubahan yang tidak diinginkan.

• • A.8.10 Information Deletion

Melibatkan tindakan penghapusan data yang tidak lagi diperlukan, dengan tujuan menghindari kebocoran informasi sensitif dan mematuhi standar privasi.

• • A.8.11 Data Masking

Menuntut penggunaan teknik penyamaran data sesuai dengan kebijakan kontrol akses organisasi untuk melindungi informasi yang penting dan sensitif.

• • A.8.12 Data Leakage Prevention

Mengharuskan organisasi menerapkan langkah-langkah untuk mencegah kebocoran data dan pengungkapan informasi sensitif dari sistem, jaringan, dan perangkat lainnya.

• • A.8.16 Monitoring Activities

Mengharuskan organisasi untuk memantau sistem secara aktif guna mendeteksi aktivitas yang mencurigakan dan menerapkan prosedur respons insiden yang sesuai.

• • A.8.23 Web Filtering

Menekankan perlunya pengelolaan akses pengguna ke situs web untuk melindungi integritas sistem IT.

• • A.8.28 Secure Coding

Mensyaratkan penerapan prinsip pengkodean yang aman dalam proses pengembangan perangkat lunak organisasi, bertujuan mengurangi kerentanannya terhadap ancaman keamanan.

4. Perubahan pada Klausa

Terakhir, pembaruan ISO 27001 dari versi 2013 ke versi 2022 membawa sejumlah perubahan signifikan pada beberapa pasal atau klausa yang mencerminkan kemajuan dan adaptasi terhadap dinamika lingkungan keamanan informasi.

Berikut ini adalah beberapa klausa atau pasal yang mengalami perubahan beserta penjelasannya:

• • Klausa 4.2 – Understanding the Needs and Expectations of Interested Parties (Pemahaman Terhadap Kebutuhan dan Harapan Pihak Terkait)

ISO 27001:2022 memperkenalkan subklausa baru yang mengharuskan analisis mendalam terhadap kebutuhan dan harapan pihak terkait yang akan diatasi melalui Sistem Manajemen Keamanan Informasi (SMKI).

Poin terbaru ini menegaskan pentingnya bagi organisasi atau perusahan untuk memahami kebutuhan pihak terkait dengan lebih baik.

• • Klausa 4.4 – Information Security Management System (Sistem Manajemen Keamanan Informasi)

Terdapat penambahan pembahasan yang mewajibkan perusahaan atau organisasi untuk mengidentifikasi proses yang diperlukan dan interaksi di dalam SMKI.

Ini mencerminkan dorongan untuk memasukkan proses yang mendukung SMKI secara menyeluruh, bukan hanya yang secara khusus disebutkan dalam standar saja.

• • Klausa 6.2 – Information Security Objectives and Planning to Achieve Them (Tujuan Keamanan Informasi dan Perencanaan untuk Mencapainya)

Selanjutnya, pembaruan ISO 27001 2022 juga menyertakan panduan tambahan mengenai tujuan keamanan informasi.

Perubahan ini memberikan kejelasan lebih lanjut tentang bagaimana tujuan tersebut harus dipantau secara berkala dan didokumentasikan secara resmi.

• • Klausa 6.3 – Planning of Changes (Perencanaan Perubahan)

Klausa baru dalam ISO 27001:2022 ini menetapkan standar untuk perencanaan perubahan dalam SMKI.

Poin ini menyatakan bahwa jika ada perubahan yang diperlukan pada SMKI, maka perubahan tersebut harus direncanakan secara memadai.

• • Klausa 8.1 – Operational Planning and Control (Perencanaan dan Pengendalian Operasional)

Selain itu, ISO 27001:2022 juga menambahkan panduan tambahan untuk perencanaan dan pengendalian operasional.

Berdasarkan pembaruan ISO 27001 2022, SMKI sekarang harus menetapkan kriteria untuk tindakan yang diidentifikasi dalam klausa 6 dan mengendalikan tindakan tersebut sesuai dengan kriteria tersebut.

Jadi, Mana Versi ISO 27001 yang Lebih Baik?

Berbagai pembaruan di atas mencerminkan komitmen dari ISO terhadap penyempurnaan dan integrasi yang lebih baik dari SMKI, sesuai dengan kebutuhan organisasi dalam menghadapi tantangan keamanan informasi yang terus berkembang seiring perubahan era digital ini.

Lalu, versi mana yang lebih baik di antara keduanya? Tentu saja jika mengacu pada ruang lingkup standarisasinya, versi terbaru yaitu ISO 27001:2022 jauh lebih lengkap dan lebih baik dibanding versi lama, yaitu ISO 27001:2013.

Namun jika dibandingkan, maka pemilihan antara ISO 27001:2013 dan ISO 27001:2022 bergantung pada kebutuhan dan konteks organisasi Anda. Berikut ini perbandingan lengkapnya:

• ISO 27001:2013

Versi 2013 sudah menjadi standar yang dikenal dan digunakan secara luas oleh organisasi di seluruh dunia. Dengan kontrol yang lebih rinci dan spesifik, versi ini dapat memberikan panduan yang terperinci terkait keamanan informasi.

Namun, standar versi lama ini jauh lebih kompleks dan tegas sehingga membuat adaptasinya kemungkinan lebih sulit untuk diterapkan, terutama dalam lingkungan bisnis yang dinamis dan terus berubah.

• ISO 27001:2022

Di sisi lain, penerapan ISO 27001 versi 2022 sebagai standarisasi terbaru menawarkan pendekatan yang lebih modern dan fleksibel.

Dengan penyederhanaan kontrol dan reduksi jumlah kontrol yang lebih sedikit, ISO 27001:2022 dapat lebih mudah disesuaikan dengan kebutuhan organisasi Anda.

Kemudahan adaptasi ini memungkinkan organisasi atau perusahaan untuk dapat mengimplementasikan dan memelihara Sistem Manajemen Keamanan Informasi (SMKI) mereka secara lebih efisien dan efektif.

Pada dasarnya, perubahan ISO 27001 ke versi terbaru ini  tidak berdampak pada sertifikasi yang sudah ada. Sebab, sertifikasi ISO 27001:2013 masih diperbolehkan untuk digunakan hingga maksimal 30 April 2024.

Namun, penting untuk dicatat bahwa setiap organisasi atau perusahaan yang saat ini sudah bersertifikasi ISO 27001:2013 wajib beralih ke versi terbaru yaitu ISO 27001:2022 dengan batas waktu hingga 31 Oktober 2025.

Tips untuk Menyiapkan Pembaruan ISO 27001 2022

Lalu, apa saja hal yang perlu diperhatikan agar proses pembaruan atau pengalihan ISO 27001 di organisasi/perusahaan Anda berjalan dengan lancar? Sebagai panduan, berikut ini beberapa langkah strategis yang bisa diterapkan:

• Lakukan Gap Assessment

Sebelum memulai pembaruan, lakukan evaluasi gap untuk mengidentifikasi perbedaan antara kondisi saat ini dengan persyaratan ISO 27001:2022. Hal ini akan membantu menentukan sejauh mana organisasi Anda sudah memenuhi standar baru.

Bila perlu, sertakan revisi dalam dokumen-dokumen SMKI seperti kebijakan, prosedur, dan instruksi kerja, agar selaras dengan persyaratan terbaru. Pastikan bahwa semua pemangku kepentingan memahami dan menerima perubahan tersebut.

• Terapkan Kontrol atau Pengendalian Baru

Selanjutnya, implementasikan berbagai kontrol baru yang ditambahkan pada ISO 27001:2022, seperti Threat Intelligence, Information Security for Cloud Services, dan lainnya, sesuai dengan kebutuhan dan risiko organisasi/perusahaan Anda.

Anda juga bisa memberikan pelatihan dan sosialisasi kepada karyawan mengenai perubahan yang muncul dari perubahan ISO 27001. Peningkatan pemahaman dari seluruh pihak terkait akan membantu menjaga kesesuaian dan kepatuhan standar ini.

• Lakukan Audit Baru

Terakhir, lakukan audit internal secara menyeluruh untuk memastikan kesiapan organisasi/perusahaan Anda untuk beralih ke standarisasi terbaru, yaitu ISO 27001:2022.

Jika dari hasil audit internal sudah memenuhi persyaratan, pastikan untuk melibatkan pihak ketiga berupa lembaga yang sudah terakreditasi untuk melakukan audit eksternal sekaligus sertifikasi ISO 27001 versi terbaru.

Sebagai solusi, gunakan jasa lembaga audit dan sertifikasi terpercaya dari MUTU International untuk memastikan bahwa implementasi dari pembaruan ISO 27001 2022 di perusahaan/organisasi Anda telah dilakukan dengan benar dan sesuai standar.

Referensi

https://www.sgs.com/-/media/sgscorp/documents/corporate/brochures/sgs-kn-iso-27001-2013-2022-guidance-doc-en.cdn.en.pdf

https://inixindojogja.co.id/apa-saja-pembaruan-iso-27001-versi-2022/

https://codific.com/iso-27001-2013-vs-iso-27001-2022/

https://www.a-lign.com/articles/blog-whats-the-difference-between-iso-27001-2013-and-iso-27001-2022