Persiapkan Transisi ISO 27001:2022 di Perusahaan Anda
ISO 27001
Anda tentu sudah familiar dengan iso 27001 tentang standar internasional keamanan informasi bukan?
Standar yang diakui secara internasional ini adalah standar acuan untuk Sistem Manajemen Keamanan Informasi sebuah perusahaan. Sebelumnya standar iso 27001 tentang standar internasional keamanan informasi diperbarui pada tahun 2013 yang kemudian dikenal sebagai ISO 27001 2013. Kabar terbarunya standar ini akan diperbarui kembali. Dimana edisi baru ini akan diterbitkan pada Oktober 2022. Tujuan pembaruan ini adalah agar lebih relevan dengan ancaman keamanan dan teknologi yang marak terjadi saat ini.
Adanya pembaruan standar ini tentu saja memunculkan beberapa pertanyaan seperti:
- Apa saja yang berubah dalam standar yang baru?
- Kapan perusahaan harus melakukan transisi?
- Bagaimana cara mempersiapkan transisi tersebut?
Perubahan pada ISO 27001 2022
Pertama-tama, apa saja perubahan yang terjadi dalam ISO 27001 2022 dibandingkan dengan versi sebelumnya ISO 27001 2013?
Perubahan utama pada ISO/IEC 27001 edisi 2022 yaitu terletak pada pembaruan Lampiran A sehingga mencerminkan ISO/IEC 27002:2022. Dimana ISO/IEC 27002 sendiri telah diperbarui pada februari 2022. Standar ini digunakan untuk Pengendalian Keamanan Informasi serta menyediakan kumpulan referensi pengendalian keamanan informasi umum termasuk panduan implementasinya.
Perubahan yang dilakukan meliputi:
- Restrukturisasi kategori
- 11 pengendalian baru
- 24 pengendalian gabungan
- 58 pengendalian yang diperbarui
ISO 27002 yang telah dimodifikasi, tidak mengidentifikasi menggunakan frasa ‘kode praktik’ yang umumnya digunakan. Hal ini dapat membantu menguraikan tujuannya melalui serangkaian pengendalian keamanan informasi.
a. Perubahan Kategori
Selanjutnya, dalam versi terbaru ISO 27001 2022 jumlah kontrol telah berkurang dari 114 menjadi 93. Sedangkan, kategori pengendalian versi terbaru telah dikonsolidasikan dari yang sebelumnya berjumlah 14 menjadi 4 kategori saja, yaitu:
- Bagian 5: Orang (people) (8 pengendalian)
Kategori ini menyangkut orang/individu yang terlibat, meliputi kerja jarak jauh, penyaringan, kerahasiaan, atau perjanjian kerahasiaan.
- Bagian 6: Perusahaan (organizational) (37 pengendalian) –
Pada kategori ini meliputi kebijakan untuk informasi, pengembalian aset, keamanan informasi untuk penggunaan layanan cloud.
- Bagian 7: Teknologi (technological) (34 pengendalian)
Kategori ini menyangkut teknologi yang meliputi otentikasi yang aman, penghapusan informasi, pencegahan kebocoran data, atau pengembangan yang dialihdayakan.
- Bagian 8: Fisik (physical) (14 pengendalian)
Dalam kategori ini menyangkut objek fisik meliputi media penyimpanan, pemeliharaan peralatan, pemantauan keamanan fisik, atau pengamanan kantor, ruangan, dan fasilitas.
Pada ISO 27001 yang direvisi, terdapat 35 pengendalian yang tidak mengalami perubahan, 23 pengendalian yang berganti nama, dan 57 pengendalian yang mengalami penggabungan menjadi 24 pengendalian. Terdapat 1 pengendalian yang dibagi 2 yaitu 18.2.3 Technical Compliance Review menjadi 8.8 – Management of technical vulnerabilities dan 5.3.6 – Conformity with policies and standards of information security.
b. Penambahan pengendalian baru
Kemudian pengendalian baru yang telah ditambahkan pada versi terbaru diantaranya:
- Threat Intelligence
- Physical security monitoring
- Data masking
- Information security for cloud services
- Monitoring activities
- ICT readiness for business continuity
- Data leakage prevention
- Configuration management
- Web filtering
- Information deletion
- Secure coding
Penggabungan dan penambahan pengendalian yang baru menciptakan 5 atribut keamanan utama yang lebih mudah untuk dikelompokkan, yaitu:
- Tipe pengendalian
- Kemampuan operasional
- Domain keamanan
- Konsep keamanan cyber, dan
- Property keamanan informasi.
Transisi ISO 27001 2022
Perusahaan anda sudah tersertifikasi ISO 27001?
Bagaimana pengaruh versi terbaru 2022 terhadap sertifikat ISO 27001 2013?
Pembaruan standar yang terjadi saat ini tidak akan memberikan pengaruh terhadap sertifikat standar ISO 27001 yang sudah ada. Namun, sebagai gantinya perusahaan tersertifikasi harus bekerja sama dengan Lembaga Sertifikasi terkait dalam periode transisinya sehingga perusahaan dapat beralih ke versi terbaru secara efisien.
Kapan perusahaan harus melakukan transisi ke ISO/IEC 27001 2022?
Masa transisi ke ISO/IEC 27001:2022 adalah tiga tahun dari tanggal publikasnya. Tanggal publikasinya sendiri diperkirakan pada Oktober 2022. Sehingga perusahaan harus mematuhi Standar yang diperbarui paling lambat Oktober 2025.
Mempersiapkan Transisi Sistem Manajemen Informasi Perusahaan
Selanjutnya, bagaimana cara mempersiapkan ISO/IEC 27001:2022?
Perusahaan harus bersiap untuk memastikan transisi dilakukan dengan lancar dan meminimalkan gangguan yang mungkin terjadi. Hal-hal yang harus dipertimbangkan untuk transisi adalah sebagai berikut:
- Membangun program pendidikan/pelatihan bagi personil yang terlibat dalam implementasi SMKI
- Membiasakan diri Anda dengan 93 pengendalian pada ISO 27002:2022
- Lakukan identifikasi terhadap kontrol yang telah diterapkan di perusahaan yang terpengaruh oleh perubahan yang terjadi
- Siapkan dokumentasi yang dibutuhkan dalam proses transisi
Langkah Transisi
Berikut adalah langkah yang dapat dilakukan perusahaan dalam rangka mempersiapkan transisi ISO 27001 2022.
1. Lakukan Analisis Kesenjangan (Gap Analysis)
Perusahaan memiliki peluang untuk meninjau daftar risiko dari Sistem Manajemen Keamanan Informasi yang ada. Selanjutnya lakukan penilaian risiko untuk menentukan kesesuaian dan implementasi di perusahaan. Meskipun tidak ada pengendalian yang dihapus antara versi 2013 dan standar ISO 27001 versi 2022, penggabungan, pembaruan, dan pengenalan pengendalian baru akan memengaruhi pengelolaan sistem yang sedang berjalan saat ini.
Melakukan analisis kesenjangan antara sistem saat ini dan pengendalian ISO 27002:2022 dapat membantu perusahaan memahami seberapa besar SMKI yang sedang berjalan akan terpengaruh dengan perubahan yang terjadi. Kemudian apa saja yang perlu disesuaikan dengan standar yang baru. Proses ini juga akan membantu Anda menentukan apakah dan bagaimana pengendalian baru dapat membantu perusahaan mengelola risiko dalam SMKI.
2. Mempertimbangkan Atribut
Dengan adanya Atribut dalam standar ISO 27002 2022, perusahaan dapat menggunakan proses peninjauan untuk mengimplementasikan atribut itu sendiri. Atribut ini memberikan kemampuan bagi perusahaan dalam melakukan kategorisasi pengendalian dilihat dari perspektif yang berbeda. Misalnya, perusahaan dapat melihat pengendalian dari perspektif tipe pengendalian (preventative, detective, or corrective controls), berdasarkan properti keamanan yang berbeda (confidentiality, integrity, availability), atau berdasarkan kemampuan operasional yang berbeda (governance, identity, and access management, legal, and compliance), dan lain-lain.
3. Optimalkan Statement of Applicability
Saat melakukan peninjauan, perusahaan harus mempertimbangkan untuk membuat Statement of Applicability paralel berdasarkan pengendalian versi 2022, termasuk pengendalian namanya mengalami penggantian, penggabungan, maupun baru ditambahkan. Hal ini disebabkan oleh waktu transisi. Audit yang dilakukan sebelum audit transisi masih harus sesuai dengan versi 2013. Dengan demikian harus mengacu pada persyaratan masing-masing.
4. Mempertimbangkan Sumber Daya untuk Transisi
Meskipun persyaratan ISO 27001 2022 belum berubah, pembaruan untuk pengendalian yang tercantum dalam Lampiran A mengharuskan perusahaan untuk mempertimbangkan bagaimana mereka akan menerapkan pembaruan ini.
Pelatihan auditor internal SMKI adalah keharusan bagi perusahaan untuk memastikan personil memahami apa yang diperlukan dan membantu perusahaan menjembatani kesenjangan yang ada. Pemilik pengendalian juga perlu dimasukkan dalam program pendidikan untuk menentukan pengaruhnya terhadap penilaian dan penanganan risiko perusahaan. Program training dapat membantu manajemen perubahan, serta memberikan personil waktu dan kesempatan untuk menyesuaikan diri dengan perubahan yang ada.
Baca Juga: Konsultasi ISO/IEC 27001:2013
Konsultasikan Kebutuhan Konsultasi dan Sertifikasi Perusahaan Anda dengan Kami
Author