Sertifikat ISO 27001 bersifat opsional bagi Perusahaan yang ingin menerapkannya. Dengan meningkatnya insiden terkait keamanan informasi, para pelaku usaha dituntut untuk semakin menyadari pentingnya keamanan sistem informasi. Khususnya jika berkaitan dengan para pelanggan atau konsumen. Jika Perusahaan lengah dan menimbulkan ketidakpuasan keonsumen, hal ini tentu dapat mempertaruhkan reputasi dan perkembangan Perusahaan dimasa depan.

ISO 27001 adalah standar yang diakui secara internasional sebagai acuan organisasi dalam menerapkan Sistem Manajemen Keamanan Informasi. Standar ISO 27001:2013 kembali diperbarui dan diterbitkan pada Oktober 2022 agar lebih relevan dengan ancaman keamanan informasi saat ini. Pembaruan ini memunculkan beberapa pertanyaan, khususnya terkait masa berlaku sertifikat ISO 27001:2013.

Baca juga: 11 Alasan perusahaan harus Sertifikasi ISO 27001

Masa berlaku sertifikat ISO 27001

Masa berlaku sertifikat ISO 27001:2013 adalah 3 tahun, dengan ketentuan melaksanakan audit pengawasan (audit survailan) setiap 1 tahun sekali. Ketentuan Audit Survailan kembali pada kebijakan dari Lembaga Sertifikasi yang dipilih organisasi. Tujuan audit tersebut adalah untuk melihat kelayakan dan konsistensi organisasi dalam mengimplementasikan sistem keamanan informasi berdasarkan ISO 27001.

Dalam proses audit survailan Lembaga Sertifikasi akan melakukan pengecekan implementasi sistem Perusahaan sejak mendapatkan sertifikasi ISO 27001. Apakah sistem tersebut tetap diterapkan secara konsisten atau sebaliknya. Apabila ditemukan aspek yang implementasinya tidak sesuai atau bahkan berakibat fatal, hal ini tentu akan berpengaruh terhadap hasil audit yang diterima nantinya. Dimana dapat mengakibatkan sertifikat ditangguhkan (suspend) atau bahkan dibatalkan (withdrawn).

Setelah masa sertifikasi 3 tahun habis, maka diperlukan perpanjangan sertifikasi ISO 27001 agar status Perusahaan tetap tersertifikasi. Dalam hal ini Perusahaan harus kembali melaksanakan proses sertifikasi (reassessment).

Baca juga: Kenapa harus melakukan Gap Analysis ISO 27001?

Apakah sertifikat ISO 27001:2013 masih berlaku?

Versi standar ISO 27001 telah diperbarui menjadi ISO 27001:2022. Dengan terbitnya versi terbaru, menandakan bahwa perusahaan yang telah mengimplementasikan ISO 27001 harus melakukan penyesuaian atau transisi terhadap sistem yang sudah ada. Bagaimana dengan perusahaan yang telah berhasil tersertifikasi?

Walaupun ISO 27001:2022 sudah diterbitkan, baik Lembaga Sertifikasi maupun Lead Auditor masih dalam proses penyesuaian dan transisi dari versi lama ke versi barunya. Sehingga perusahaan atau organisasi masih bisa menggunakan ISO 27001:2013 karena sumber daya untuk ISO 27001:2022 belum siap.

Baca juga: Penerapan 10 Klausul ISO 27001 dengan Siklus PDCA di Perusahaan

Ketentuan Sertifikasi ISO 27001 Pasca Release versi 2022

Berkaitan dengan sertifikasi ISO 27001 dapat dilakukan dengan catatan sebagai berikut.

Bagi perusahaan bersertifikat ISO 27001:

• • Hingga Oktober 2023, audit dapat dilakukan terhadap ISO/IEC 27001:2013 atau ISO/IEC 27001:2022 atas permintaan perusahaan.
  • Ketidakpatuhan terhadap persyaratan tambahan dalam edisi 2022 akan dianggap sebagai Areas of Concern, dan harus ditutup sebelum masa transisi.
  • Mulai Oktober 2023, semua audit harus mengikuti ISO/IEC 27001:2022.

Bagi perusahaan yang akan sertifikasi ISO 27001:

• • Perusahaan yang mengajukan sertifikasi sebelum tanggal penerbitan edisi 2022 akan dinilai kepatuhannya terhadap ISO/IEC 27001:2013
  • Perusahaan yang mengajukan sertifikasi setelah tanggal penerbitan edisi 2022 akan dinilai kepatuhannya terhadap ISO/IEC 27001:2022

Sebagai catatan, transisi dari ISO 27001:2013 ke ISO 27001:2022 akan membutuhkan waktu tambahan untuk melakukan peningkatkan komponen audit.

Baca juga: Persyaratan Penting untuk Implementasi ISO 27001 di Perusahaan