MEMPERSIAPKAN TRANSISI ISO 27001:2013 MENUJU ISO 27001:2022

Sistem Manajemen Keamanan Informasi (SMKI) standar ISO 27001 baru saja mendapatkan update terbarunya yaitu ISO 27001:2022 yang resmi dirilis pada 25 Oktober 2022. Pada update terbaru ini terdapat sedikit perubahan pada ISO 27001 (requirements) dan perubahan yang cukup signifikan pada Annex A Control yang diterapkan. Perubahan pertama yang dapat kita lihat adalah pada nama standar yang digunakan, pada ISO 27001:2013 menggunakan “Information Technology – Security Techniques – Information Security Management Systems” sementara pada ISO 27002:2022 menggunakan “Information Security, Cybersecurity and Privacy Protection – Information Security Management Systems”. Berdasarkan penggantian tersebut dapat dipastikan bahwa standar yang baru ini lebih berfokus pada poin security-nya.

Secara detail perubahan-perubahan pada ISO 27001:2022 pada poin annex atau lampiran yang dilakukan meliputi:

  • Restrukturisasi Kategori
  • 11 pengendalian baru
  • 24 pengendalian gabungan
  • 58 pembaruan pada pengendalian

Perubahan pada ISO 27001:2022

Restrukturisasi kategori yang dilakukan pada ISO 27001:2022 adalah perubahan dari total 14 kategori menjadi 4 kategori saja. Beberapa kontrol dari 14 kategori tersebut dikelompok-kelompokkan kembali menjadi 4 kategori dan 4 kategori tersebut adalah:

  1. Annex 5 : Organization Controls
    Kategori ini membahas mengenai kontrol-kontrol terkait organisasi meliputi penentuan kebijakan keamanan informasi, penyimpanan dari asset-asset yang dimiliki, klasifikasi informasi, pembuatan NDA untuk pihak eksternal.
  2. Annex 6 : People Controls
    Kategori ini membahas mengenai kontrol-kontrol terkait dengan manusia/SDM meliputi kegiatan screening awal saat perekrutan, tindakan disiplin apabila ditemukan adanya pelanggaran terkait keamanan informasi, pemberian NDA untuk karyawan dan pengendalian terkait remote working
  3. Annex 7 :  Physical Controls
    Kategori ini membahas mengenai kontrol-kontrol fisik pada area ataupun equipment-equipment yang dimiliki termasuk pembatasan area dan keamanan informasi terkait media penyimpanan, supporting utilities, dan pembuangan storage.
  4. Annex 8 : Technological Controls
    Kategori ini membahas mengenai kontrol-kontrol terkait dengan teknologi yang digunakan mulai dari pengamanan data menggunakan backup, pembatasan akses pada source code, clock synchronization, dan penggunaan cryptography.

Pada 4 kategori kontrol tersebut, juga terdapat penambahan 11 kontrol baru yaitu :

  • Threat Intelligence
  • Physical Security Monitoring
  • Data Masking
  • Information Security for Cloud Services
  • Monitoring Activities
  • ICT Readiness for Business Continuity
  • Data Leakage Prevention
  • Configuration Management
  • Web Filtering
  • Information Deletion
  • Secure Coding

Tips dalam Mempersiapkan Transisi ISO 27001:2022

Dalam mempersiapkan transisi ini beberapa langkah-langkah yang dapat dilakukan yaitu :

  1. Identifikasi perbedaan implementasi dengan melakukan Gap Analysis
    Beberapa perubahan persyaratan dan kontrol pada standar baru pastinya akan membuat perbedaan terhadap implementasi lama yang kita terapkan dengan persyaratan baru. Jadi kita perlu untuk melakukan gap analysis agar mengetahui persyaratan atau kontrol baru apa yang berbeda dengan implementasi yang sekarang sedang dijalankan.
  2. Meningkatkan kompetensi dari SDM perusahaan
    Dengan adanya perubahan maka perusahaan perlu meningkatkan kembali terkait dengan pemahaman SDM akan persyaratan baru. Peningkatan kompetensi SDM juga akan mendukung implementasi dari Sistem Manajemen Keamanan Informasi perusahaan. Peningkatan kompetensi dapat melalui training ISO 27001:2022 pada lembaga yang terpercaya.
  3. Memperbarui Statement of Applicability (SoA)
    SoA yang sudah pernah dibuat dapat diperbarui kembali karena adanya perubahan signifikan dari kontrol-kontrol ISO 27001:2022. Untuk kontrol-kontrol baru silahkan untuk dimulai persiapan dan implementasinya sebagai bentuk pengaplikasian di sistem perusahaan.

Setelah mengetahui perubahan-perubahan yang terjadi pada ISO 27001:2022 maka perusahaan dapat mempersiapkan untuk melakukan transisi. Dalam proses transisi ini, perusahaan dapat dibantu oleh konsultan ISO agar transisi berjalan baik dan implementasi sesuai dengan persyaratan-persyaratan baru yang berlaku.

Penulis : YW