May 22, 2023

Menghadapi Tantangan Keamanan Data dengan Standar ISO 27001 2022

standard-quality-control-concept-m (2)

Proses bisnis terus berubah didorong oleh informasi dan data. Tanpa pertukaran informasi, tidak ada yang berhasil dalam ekonomi digital. Keamanan informasi meluas jauh ke dalam realitas pekerjaan dan kehidupan. Oleh karena itu, melindungi operasi harian yang digerakkan oleh informasi, data penting, dan kekayaan intelektual dari ancaman dunia maya sangat penting untuk bisnis. Ditambah di era serangan siber industri ini, beradaptasi dengan risiko keamanan informasi yang selalu berubah. Perusahaan memerlukan pendekatan yang tepat waktu dan fleksibel untuk membangun ketahanan perusahaan. ISO 27001 telah lama menjadi standar Sistem Manajemen Keamanan Informasi (SMKI). Pada 2022 ini ISO 27001 mengalami perubahan menyesuaikan dengan kondisi terkini. Simak penjelasan berikut untuk mengetahui pembaruan dari ISO 27001.

Perubahan Terbaru ISO 27001:2022

Standar ISO 27001 terakhir diperbarui pada tahun 2013. Sementara edisi baru ini diterbitkan pada Oktober 2022, dengan tujuan agar lebih relevan dan up-to-date dengan ancaman keamanan dan teknologi terkini.

Perubahan utama pada ISO 27001 edisi 2022 adalah pembaruan Lampiran A untuk mencerminkan ISO 27002:2022. Diperbarui pada Februari 2022, ISO 27002 adalah Standar untuk Pengendalian Keamanan Informasi, dan menyediakan kumpulan referensi pengendalian keamanan informasi umum termasuk panduan implementasi.

Perubahan tersebut meliputi:

  1. Restrukturisasi kategori
  2. 11 pengendalian baru
  3. 24 pengendalian gabungan
  4. 58 pengendalian yang diperbarui

Waktu Transisi ISO 27001:2022

Masa transisi ke ISO 27001:2022 adalah tiga tahun dari tanggal publikasi ISO 27001:2022. Tanggal publikasi adalah Oktober 2022, sehingga organisasi harus mematuhi Standar yang diperbarui paling lambat Oktober 2025.

Terdapat perbedaan bagi organisasi yang sudah punya ISO 27001 dan yang belum, yaitu:

  1. Organisasi yang sudah bersertifikat ISO 27001
    • Hingga Oktober 2023, audit dapat dilakukan terhadap ISO 27001:2013 atau ISO 27001:2022 atas permintaan organisasi.
    • Ketidakpatuhan terhadap persyaratan tambahan dalam edisi 2022 akan dianggap sebagai Areas of Concern, dan harus ditutup sebelum masa transisi.
    • Mulai Oktober 2023, semua audit harus mengikuti ISO 27001:2022.
  2. Organisasi yang ingin sertifikasi ISO 27001
    • Organisasi yang mengajukan sertifikasi sebelum tanggal penerbitan edisi 2022 akan dinilai kepatuhannya terhadap ISO 27001:2013.
    • Organisasi yang mengajukan sertifikasi setelah tanggal penerbitan edisi 2022 akan dinilai kepatuhannya terhadap ISO 27001:2022.

Mempersiapkan Penerapan ISO 27001:2022

Organisasi harus bersiap untuk memastikan transisi yang lancar dan meminimalkan gangguan. Kegiatan utama berikut harus dipertimbangkan untuk transisi:

  • Membangun program pendidikan bagi mereka yang terlibat dalam operasi SMKI.
  • Membiasakan diri dengan 93 pengendalian dalam ISO 27002:2022.
  • Identifikasi kontrol mana yang telah diterapkan ke dalam organisasi yang terpengaruh.
  • Siapkan dokumentasi untuk transisi

Selain itu, perlu dilakukan hal berikut:

  1. Analisis Kesenjangan Gap
    Analisis kesenjangan antara sistem saat ini dan pengendalian ISO 27002:2022 akan membantu Anda memahami bagaimana SMKI akan terpengaruh, dan apa yang perlu disesuaikan agar sesuai dengan standar.
    Analisis kesenjangan juga akan membantu menentukan apakah dan bagaimana pengendalian baru dapat membantu Anda mengelola risiko.
  2. Memperhatikan Atribut
    Dengan diperkenalkannya atribut dalam standar ISO 27002:2022, organisasi dapat menggunakan proses peninjauan untuk mengimplementasikan atribut. Manfaat atribut mampu membuat pandangan atau kategorisasi pengendalian yang berbeda dilihat dari perspektif atau tema yang berbeda.
  3. Optimalkan Statement of Applicability Anda
    Organisasi harus mempertimbangkan untuk membuat Statement of Applicability paralel berdasarkan pengendalian versi 2022, termasuk pengendalian yang diganti namanya, serta pengendalian gabungan dan baru.
    Hal ini disebabkan oleh waktu transisi. Audit yang dilakukan sebelum audit transisi masih harus sesuai dengan versi 2013, dan dengan demikian perlu mengacu pada persyaratan masing-masing.
  4. Sumber Daya untuk Transisi
    Pembaruan untuk pengendalian yang tercantum dalam Lampiran A, mengharuskan organisasi mempertimbangkan bagaimana mereka akan menerapkan pembaruan ini.
    Pelatihan auditor internal SMKI adalah suatu keharusan untuk memastikan mereka memahami apa yang diperlukan, dan bagaimana membantu organisasi menjembatani kesenjangan. Memiliki program pendidikan juga membantu manajemen perubahan, memberi staf waktu dan kesempatan untuk menyesuaikan diri dengan perubahan.

Kesimpulan

Itulah penjelasan tentang pembaruan pada ISO 27001:2022. Pada intinya, dokumen ini menetapkan persyaratan untuk menetapkan, menerapkan, memelihara, dan terus meningkatkan sistem manajemen keamanan informasi dalam konteks organisasi. Dokumen ini juga mencakup persyaratan penilaian dan penanganan risiko keamanan informasi yang disesuaikan dengan kebutuhan organisasi.

Persyaratan yang ditetapkan dalam dokumen ini bersifat umum dan dimaksudkan untuk dapat diterapkan pada semua organisasi, terlepas dari jenis, ukuran, atau sifatnya. Pengecualian salah satu persyaratan yang ditentukan dalam Klausul 4 sampai 10 tidak dapat diterima saat organisasi mengklaim kesesuaian dengan dokumen ini.

Share this post:
Facebook
Twitter
LinkedIn
WhatsApp

Discover more articles