ISO 27001:2022 merupakan standar internasional untuk sistem menajamen keamanan informasi atau Information Security Management System (ISMS). Standar ISO 27001 memiliki berbagai macam versi pembaruan, sebelumnya ISO 27001 diperbaru pada tahun 2013 (ISO 27001:2013). Lalu, pada oktober tahun 2022, ISO 27001 kembali mengalami pembaruan menjadi ISO 27001:2022. Pembaruan ini bertujuan agar lebih relevan dengan perkembangan teknologi dan ancaman yang sering terjadi saat ini.
Perubahan Kategori Kontrol ISO 27001:2022
Dalam versi terbaru Annex ISO 27001:2022, jumlah kontrol telah disesuiakan menjadi 92 dari yang awalnya 144 kontrol. Selain itu, kontrol ISO 27001 pada versi terbaru sudah disederhanakan menjadi 4 kategori sebagai berikut:
- Bagian 5: People (8 kontrol)
Kategori yang menyangkut orang atau individu yang terlibat. Meliputi kerja jarak jauh, penyaringan, kerahasiaan, atau perjanjian.
- Bagian 6: Organizational (37 kontrol)
Kategori yang meliputi kebijakan untuk informasi, pengembalian aset, dan keamanan informasi untuk penggunaan layanan cloud.
- Bagian 7: Technological (34 kontrol)
Kategori yang menyangkut teknologi, meliputi otentikasi yang aman, penghapusan informasi, pencegahan kebocoran data, atau pengembangan yang dialihdayakan.
- Bagian 8: Physical (14 kontrol)
Kategori yang menyangkut objek fisik, meliputi media penyimpanan, pemeliharaan peralatan, pemantauan keamanan fisik, atau pengamanan segala fasilitas.
8 People Controls ISO 27001:2022
- Screening atau Penyaringan (6.1)
Sistem manajemen keamanan informasi membutuhkan kebijakan untuk menyaring karyawan baru. Hal ini dibutuhkan untuk mengetahui karyawan baru tersebut berkompeten dan bisa dipercaya. Kebijakan ini harus mempertimbangkan undang-undang dan peran karyawan baru untuk memastikan bahwa penyaringan sudah cukup.
- Terms and conditions of employment atau Syarat dan ketentuan kerja (6.2)
Sebelum mulai bekerja, karyawan harus mengetahui kebijakan keamanan informasi organisasi, termasuk peran dan tanggung jawab keamanan informasi. Hal ini bisa dikomunikasikan dengan kode etik yang harus ditandatangani.
- Information security awareness, education and training atau Kesadaran, pendidikan, dan pelatihan keamanan informasi (6.3)
Karyawan membutuhkan pelatihan keamanan organisasi ketika masuk ke dalam organisasi atau perusahaan. Pelatihan harus sesuai dengan perannya.
- Disciplinary process atau Proses pendisiplinan (6.4)
kebijakan untuk proses pendisiplinan setelah pelanggaran kebijakan keamanan informasi yang telah dikonfirmasi harus tersedia. Banyak kejadian keamanan yang tercatat merupakan hasil dari pelanggaran kebijakan dan harus mengarah pada tindakan disiplin.
- Responsibilities after termination or change of employment atau tanggung jawab setelah pemutusan hubungan kerja atau perubahan pekerjaan (6.5)
Tanggung jawab keamanan informasi tidak akan berhenti ketika pekerjaan diubah. Syarat dan ketentuan kerja karyawan harus berisi perjanjian kerahasiaan yang mengharuskan karyawan untuk menghormati kerahasiaan informasi setelah mereka meninggalkan organisasi.
- Confidentiality or non-disclosure agreements atau Perjanjian kerahasiaan atau kerahasiaan (6.6)
Jika kerahasiaan informasi cukup tinggi, informasi tersebut harus dilindungi dengan persryaratan yang bisa ditegakkan secara hukum. Dalam hal ini, perjanjian kerahasiaan bisa digunakan, yang menetapkan informasi yang dicakup, tanggung jawab semua pihak, durasi perjanjian, dan hukuman jika perjanjian dilanggar.
- Remote working atau kerja jarak jauh (6.7)
Kerja jarak jauh sudah menjadi standar di banyak organisasi karena memberikan fleksibilitas yang lebih besar bagi organisasi dan karyawan. Kebijakan kerja jarak jauh harus menjelaskan di mana dan kapan kerja jarak jauh diperbolehkan, penyediaan perangkat dan peralatan, akses yang diotorisasi, dan informasi apa saja yang bisa diakses dari jarak jauh.
- Information security event reporting atau Pelaporan kejadian keamanan informasi (6.8)
Terkadang karyawan mengalami kejadian keamanan informasi selama melakukan pekerjaan sehari-hari. Kejadian ini bisa berupa kesalahan manusia, pelanggaran kerahasiaan, kegagalan fungsi, dugaan infeksi malware, dan ketidakpatuhan terhadap kebijakan keamanan informasi atau hukum. Langkah pertama dalam mengidentifikasi, memperbaiki, dan mencegah terulangnya insiden adalah pelaporan.
Baca juga: Urgensi Sertifikasi ISO 27001: Melindungi Keamanan Data Nasabah