Langkah – Langkah dalam penerapan ISO/IEC 27001 versi terbaru.
Standar terkait sistem manajemen keamanan informasi yang diakui secara internasional, yaitu ISO 27001, sedang diperbarui.
ISO/IEC 27001 Terakhir diperbarui pada tahun 2013, edisi baru sudah terbitkan pada 25 Oktober 2022 agar lebih relevan dan up-to-date dengan ancaman dan kerentanan keamanan informasi, Keamanan Siber, dan Perlindungan Data Pribadi
Perubahan utama ISO/IEC 27001 edisi 2022 adalah pembaruan pada Lampiran A untuk mencerminkan ISO/IEC 27002:2022. ISO/IEC 27002 Diperbarui pada Februari 2022 menjelaskan mengenai Standar untuk Kontrol Keamanan Informasi, dan menyediakan kumpulan referensi kontrol keamanan informasi umum termasuk panduan implementasi.
Perubahan Utama tersebut meliputi:
Restrukturisasi kategori annex Kontrol
- 11 kontrol baru
- 24 kontrol gabungan
- 58 kontrol yang diperbarui
Kategori Baru:
Kategori kontrol baru telah rumuskan dari 14 menjadi 4.
- Orang (8 kontrol) – Point tersebut fokus pada keamanan sumber daya manusia, seperti kerja jarak jauh (Teleworking), Uji Kelayakan dalam tahap seleksi, kerahasiaan, atau perjanjian kerahasiaan.
- Organisasi (37 kontrol) – Point tersebut fokus pada komitmen implementasi terhadap organisasi itu sendiri, seperti kebijakan untuk informasi, sasaran keamanan informasi , penetuan risiko keamanan informasi, pengembalian aset, keamanan informasi untuk penggunaan layanan cloud.
- Teknologi (34 kontrol) – Point tersebut fokus pada teknologi, seperti otentikasi yang aman, penghapusan informasi, pencegahan kebocoran data, atau pengembangan yang dialihdayakan.
- Fisik (14 kontrol) – point yang membahasa mengenai objek fisik, seperti media penyimpanan, pemeliharaan peralatan, pemantauan keamanan fisik, atau pengamanan kantor, ruangan, dan fasilitas.
Kontrol Baru:
Untuk sementara jumlah total kontrol telah dikurangi dari 114 menjadi 93, ada 11 kontrol baru termasuk:
- Ancaman Intelijen
- Keamanan informasi untuk penggunaan layanan cloud
- Kesiapan Teknologi informasi untuk kelangsungan bisnis
- Pemantauan keamanan fisik
- Kegiatan pemantauan
- Pemfilteran web
- Pengkodean aman
- Manajemen konfigurasi
- Penghapusan informasi
- Penyamaran data
- Pencegahan kebocoran data
Kapan Organisasi Anda Harus Transisi ke ISO/IEC 27001:2022?
ISO mempunyai kebijakan terhadap masa transisi yaitu tiga tahun dari tanggal publikasi ISO 27001:2022, sehingga setiap organisasi harus mematuhi Standar yang diperbarui paling lambat tiga tahun setelah versi yang terbaru yaiti tanggal 25 Oktober 2025 batas ISO/IEC 27001:2013.
Cara organisasi anda dalam mempersiapkan ISO/IEC 27001:2022
Organisasi harus mulai mempersiapkan dari sekarang untuk memastikan transisi yang lancar dan meminimalkan gangguan terhadap proses implementasi. Kegiatan utama berikut harus dipertimbangkan untuk transisi:
- Membuat perencanaan dan implementasi program pendidikan bagi mereka yang terlibat dalam operasi SMKI
- Membiasakan penerapan organisasi anda dengan 93 Kontrol dalam ISO 27002:2022
- Melakukan Identifikasi kontrol dalam penerapan di organisasi anda yang terpengaruh terhadap proses implementasi
- Melakukan persiapan dokumentasi Anda untuk transisi
1. Analisis Kesenjangan (Gap Analysis)
Organisasi analisa kesenjangan terhadap implementasi Sistem Manajemen Keamanan Informasi mereka yang ada dan meninjau daftar risiko mereka, dan penilaian risiko, untuk menentukan kesesuaian dan penerapannya dalam organisasi. walaupun tidak ada kontrol yang dihapus antara versi 2013 dan standar ISO 27001 versi 2022, penggabungan, pembaruan, dan pengenalan kontrol baru akan memengaruhi cara organisasi anda dalam implementasi sistem manajemen keamanan informasi.
Melakukan Analisis kesenjangan ini juga akan membantu organisasi anda menentukan apakah dan bagaimana kontrol baru dapat membantu Anda mengelola risiko terhadap implementasi
2. Pertimbangkan Persyaratan pendukung
Dengan diperkenalkannya Pertimbangkan Persyaratan pendukung dalam standar ISO 27002:2022, organisasi dapat menggunakan proses peninjauan untuk mengimplementasikan Pertimbangkan Persyaratan pendukung. Manfaat persyaratan pendukung, adalah mampu membuat pandangan atau kategorisasi kontrol yang berbeda dilihat dari sudut pandang yang berbeda.
Contohnya, organisasi anda dapat melihat kontrol dari perspektif tipe kontrol, (kontrol pencegahan, detektif, atau korektif), atau organisasi anda dapat melakukannya berdasarkan properti keamanan yang berbeda, (kerahasiaan, integritas, ketersediaan), atau berdasarkan kemampuan operasional yang berbeda, (tata kelola, identitas, dan manajemen akses, hukum, dan kepatuhan), dll.
3. Optimalkan Pernyataan Penerapan Anda
Saat melakukan tinjauan terhadap persyaratan ISO/IEC 27001, organisasi harus mempertimbangkan untuk membuat Pernyataan mengenai imolementasi parallel berdasarkan kontrol versi 2022, termasuk kontrol yang diganti namanya, serta kontrol gabungan dan baru. Hal ini disebabkan oleh waktu untuk transisi. Audit yang dilakukan sebelum audit transisi Anda masih harus sesuai dengan versi 2013, dan dengan demikian perlu mengacu pada persyaratan masing-masing.
4. Mempersiapkan Sumber Daya untuk Transisi
Meskipun persyaratan ISO 27001:2022 belum berubah, pembaruan untuk kontrol yang tercantum dalam Lampiran A, mengharuskan organisasi untuk mempertimbangkan bagaimana menerapkan pembaruan sistem manajemen keamanan informasi.
Salah satu melakukan Pelatihan auditor internal SMKI dan Pelatihan Refreshment ISO/IEC 27001:2022 terhadap sumber daya manusia merupakan suatu keharusan untuk memastikan mereka memahami apa yang diperlukan, dan bagaimana membantu organisasi menjembatani kesenjangan. Pemilik kontrol juga perlu dimasukkan dalam program pendidikan untuk menentukan pengaruhnya terhadap penilaian dan penanganan risiko organisasi.
Memiliki program pendidikan juga membantu manajemen perubahan, memberikan waktu dan kesempatan untuk menyesuaikan diri dengan perubahan kepada karyawan.