Jl. Raya Bogor No.19 KM 33,5 Cimanggis, Depok

Mon - Fri 08:00am - 05:00pm

(+62-21) 8740202

  • Bahasa Indonesia
  • English
Perbedaan ISO27001:2013 dan ISO27001:2022

17 Jan Perbedaan ISO27001:2013 dan ISO27001:2022

Posted at 20:39h in Artikel by
0 Likes

Perbedaan ISO27001:2013 dan ISO27001:2022

Dalam era kemajuan teknologi yang pesat, keamanan informasi menjadi aspek krusial bagi setiap organisasi. Oleh karena itu, dibutuhkan standar yang mengatur terkait hal tersebut di lingkup internasional, yaitu ISO27001 tentang Sistem Manajemen Keamanan Informasi.

Sebelumnya, standar ini dirilis pada tahun 2013. Seiring perkembangan dunia digital serta sistem teknologi informasi, pada tahun 2022 dilakukan pembaruan agar penerapannya tetap relevan dengan kondisi terkini.

Berikut Perbedaan antara ISO27001 Versi Tahun 2013 dan 2022

ISO adalah seperangkat standar berupa panduan dan persyaratan dari The International Organization for Standardization (ISO) bagi organisasi atau perusahaan untuk melaksanakan suatu sistem.

Adapun ISO27001 atau juga dikenal sebagai ISO/IEC 27001:2022 Information Security, Cybersecurity, and Privacy Protection adalah standar internasional di bidang Information Security Management System (ISMS) atau Sistem Manajemen Keamanan Informasi (SMKI).

Lalu, apa saja perbedaan mendasar antara versi 2013 dan 2022 serta dampaknya terhadap praktik keamanan informasi di era ini? Untuk memahami lebih lanjut, berikut rincian lengkapnya:

  1. Perubahan Judul

Perubahan utama yang bisa dilihat dari versu 2013 dan 2022 adalah dari segi judul. Pada versi 2013, judulnya adalah ISO/IEC 27001:2013 Information Security Management Systems. Adapun judul terbaru versi 2022 adalah ISO/IEC 27001:2022 Information Security, Cybersecurity, and Privacy Protection.

Perubahan judul tersebut mencerminkan peningkatan fokus pada aspek-aspek baru keamanan informasi, khususnya keamanan siber (Cybersecurity) dan perlindungan privasi (Privacy Protection) yang semakin krusial dalam konteks teknologi saat ini.

Dengan demikian, versi 2022 terbaru sudah memberikan gambaran yang lebih komprehensif tentang ruang lingkup standar dan relevansinya terhadap dinamika keamanan informasi modern.

  1. Bagian pada Annex A (Lampiran)

Selanjutnya, bagian pada Annex A (Lampiran) dari ISO27001 mengalami restrukturisasi yang signifikan pada versi terbaru tahun 2022. Perubahan ini mencakup empat tema utama, yaitu sebagai berikut:

    • Organizational

Terdapat penambahan kontrol keamanan baru dan merombak organisasi kontrol yang ada dalam kategori ini. Fokusnya adalah pada tata kelola keamanan informasi, kebijakan, peran, tanggung jawab, dan proses SMKI.

    • People

Kategori ini menyoroti kontrol keamanan yang berkaitan dengan kesadaran, pelatihan, kompetensi, dan perilaku individu yang terlibat dalam SMKI. Jadi, aspek manusia menjadi komponen penting dalam strategi keamanan informasi.

    • Physical

Kontrol keamanan fisik mencakup perlindungan terhadap berbagai  aset fisik sebagai lapisan pertahanan utama. Contohnya perlindungan bangunan, peralatan, dan media dari akses yang tidak sah, kerusakan, atau pencurian.

    • Technical

Terakhir, versi 2022 juga memperbarui dan menyusun ulang kontrol keamanan teknis. Ini melibatkan perlindungan sistem informasi, jaringan, dan aplikasi dari berbagai serangan siber, malware, dan ancaman lainnya.

  1. Pasal (Klausa)

Pembaruan ISO27001 dari versi 2013 ke versi 2022 melibatkan beberapa perubahan pada sejumlah pasal atau klausa yang menandai kemajuan dan adaptasi terhadap perubahan lingkungan keamanan informasi. Berikut beberapa perubahannya:

    • Klausa 4.2 – Understanding the Needs and Expectations of Interested Parties

Versi 2022 menambahkan subklausa baru yang meminta analisis terhadap kebutuhan dan harapan pihak terkait yang akan diatasi melalui SMKI.

Hal ini menekankan pentingnya pemahaman yang lebih mendalam terhadap kebutuhan pihak terkait.

    • Klausa 4.4 – Information Security Management System

Kemudian, ada tambahan pembahasan baru yang mewajibkan perusahaan atau organisasi untuk mengidentifikasi proses yang diperlukan dan interaksi di dalam SMKI.

Ini menunjukkan dorongan untuk memasukkan proses yang mendukung SMKI secara menyeluruh, bukan hanya yang secara khusus disebutkan dalam standar.

    • Klausa 6.2 – Information Security Objectives and Planning to Achieve Them

ISO27001 tahun 2022 juga sudah menyertakan panduan tambahan mengenai tujuan keamanan informasi.

Perubahan ini memberikan kejelasan lebih lanjut tentang bagaimana tujuan tersebut harus dipantau secara berkala dan didokumentasikan secara resmi.

    • Klausa 6.3 – Planning of Changes

Pasal ini merupakan tambahan baru dalam ISO27001 versi 2022 yang menetapkan standar untuk perencanaan perubahan dalam SMKI.

Ini menyatakan bahwa jika ada perubahan yang diperlukan pada SMKI, maka perubahan tersebut harus direncanakan secara memadai.

    • Klausa 8.1 – Operational Planning and Control

Kemudian, ISO27001 versi 2022 menambahkan panduan tambahan untuk perencanaan dan pengendalian operasional.

SMKI sekarang harus menetapkan kriteria untuk tindakan yang diidentifikasi dalam klausa 6 dan mengendalikan tindakan tersebut sesuai dengan kriteria tersebut.

  1. Tambahan 11 Kontrol Keamanan Baru

Selanjutnya, ISO27001 membawa tambahan 11 kontrol keamanan baru yang merinci aspek-aspek kritis dalam memastikan keamanan informasi yang komprehensif. Berbagai kontrol terbaru tersebut meliputi:

    • A.5.7 Threat Intelligence

Mewajibkan organisasi untuk mengumpulkan dan menganalisis informasi tentang ancaman, sehingga tindakan pencegahan dapat diambil untuk mengurangi risiko.

    • A.5.23 Information Security for Use of Cloud Services

Menekankan perlunya keamanan informasi yang lebih baik dalam penggunaan layanan cloud. Organisasi diwajibkan menetapkan standar keamanan untuk cloud dan memiliki prosedur khusus untuk layanan tersebut.

    • A.5.30 ICT Readiness for Business Continuity 

Memastikan bahwa teknologi informasi dan komunikasi dapat dipulihkan/digunakan saat terjadi gangguan. Ini memberikan lapisan keamanan tambahan untuk memastikan kelangsungan bisnis di situasi darurat.

    • A.7.4 Physical Security Monitoring

Mengharuskan organisasi untuk memonitor area fisik yang sensitif, seperti pusat data, fasilitas produksi, dan lain-lain.  Ini dilakukan untuk memastikan bahwa hanya orang yang diotorisasi yang dapat mengaksesnya.

    • A.8.9 Configuration Management

Mengharuskan organisasi untuk mengelola konfigurasi teknologinya, guna memastikan keamanan dan mencegah perubahan yang tidak sah.

    • A.8.10 Information Deletion 

Melibatkan penghapusan data ketika data tersebut tidak lagi diperlukan. Ini bertujuan untuk menghindari kebocoran informasi sensitif dan mematuhi persyaratan privasi.

    • A.8.11 Data Masking

Menuntut penggunaan teknik penyamaran data sesuai dengan kebijakan kontrol akses organisasi, untuk melindungi informasi sensitif.

    • A.8.12 Data Leakage Prevention

Mengharuskan organisasi menerapkan langkah-langkah untuk mencegah kebocoran data dan pengungkapan informasi sensitif dari sistem, jaringan, dan perangkat lainnya.

    • A.8.16 Monitoring Activities

Mengharuskan organisasi untuk memantau sistem guna mendeteksi aktivitas yang tidak biasa dan menerapkan prosedur respons insiden yang sesuai.

    • A.8.23 Web Filtering

Menuntut organisasi untuk mengelola akses pengguna ke situs web, bertujuan untuk melindungi sistem IT.

    • A.8.28 Secure Coding

Mengharuskan penerapan prinsip pengkodean yang aman dalam proses pengembangan perangkat lunak organisasi, dengan tujuan mengurangi kerentanannya terhadap ancaman keamanan.

  1. Regulasi yang Diakomodasi

Terakhir, ISO27001 versi terbaru juga telah mengakomodasi tambahan regulasi yang relevan dengan keamanan informasi, sesuai dengan judulnya yaitu Information Security, Cybersecurity, dan Privacy Protection. Sebelumnya, versi 2013 hanya mencakup tiga regulasi, di antaranya yaitu:

    • UU No 11/2008 tentang Informasi dan Transaksi Elektronik (UU ITE);
    • Perpres No 95/2018 tentang Sistem Pemerintahan Berbasis Elektronik (SPBE);
    • PP No 71/2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik (PSTE).

Sedangkan dalam ISO27001 versi 2022 memperbarui regulasi yang diakomodasi dengan memasukkan Undang-undang Nomor 27 Tahun 2022 tentang Perlindungan Data Pribadi.

Penting untuk diperhatikan bahwa organisasi yang ingin bertransisi ke versi terbaru disarankan untuk melakukannya dalam tiga tahun dari tanggal publikasi versi 2022, yaitu paling lambat Oktober 2025.

Sebagai lembaga yang mengkhususkan diri dalam audit dan sertifikasi, MUTU International siap membantu Anda dalam mengimplementasikan dan mematuhi standar ISO27001 terbaru. Hubungi kami untuk informasi selengkapnya!