Di era kemajuan teknologi yang semakin maju, keamanan informasi menjadi aspek yang sangat penting bagi setiap organisasi. Oleh karena itu, dibutuhkan standar yang mengatur keamanan informasi di lingkup internasional, salah satunya ISO 27001 yang mengatur tentang sistem keamanan informasi organisasi. Standar ISO 27001 awalnya dirilis pada tahun 2013.
Baca juga: Mengenal Kontrol Keamanan Annex A ISO 27001
Seiring dengan berkembangnya dunia digital dan sistem informasi, pada tahun 2022 dilakukan pembaruan agar penerapannya sesuai dengan kondisi terkini. Secara keseluruhan, pembaruan pada ISO 27001:2022 mencakup perubahan besar pada Annex A, perubahan judul standar, dan pembaruan pada klausul. Berikut pembahasan tentang perbandingan ISO 27001:2013 dan ISO 27001:2022.
Perubahan Annex-A ISO 27001:2022
Lampiran A dalam ISO 27001 adalah bagian dari standar yang mencantumkan serangkaian kontrol keamanan rahasia yang digunakan organisasi untuk menunjukkan kepatuhan terhadap ISO 27001 6.1.3 (Perlakuan risiko keamanan informasi) dan Pernyataan Penerapan terkait (Statement of Applicability).
Sebelumnya pada versi 2013 Annex A berisi 114 kontrol yang terbagi menjadi 14 kategori mencakup berbagai topik seperti kontrol akses, kriptografi, keamanan fisik, dan manajemen insiden. Setelah dirilisnya ISO 27002:2022 (Kontrol keamanan informasi, keamanan siber, dan perlindungan privasi) pada tanggal 15 Februari 2022, ISO 27001:2022 telah menyelaraskan kontrol Annex A-nya.
Versi terbaru ISO 27001 ini menggunakan kontrol Annex A yang lebih ringkas, termasuk 11 kontrol baru. Selain itu, sebanyak 24 kontrol digabungkan dari dua, tiga, atau lebih kontrol keamanan dari versi 2013, serta 58 kontrol dari ISO 27002:2013 direvisi untuk menyelaraskan dengan lingkungan keamanan cyber dan keamanan informasi saat ini. Sedangkan kategori pengendalian pada ISO 27001:2022 disederhanakan menjadi 4 bagian, diantaranya:
- People (8 controls)
Kategori ini menyangkut tentang individu yang terlibat. Meliputi kerja jarak jauh, kerahasiaan, penyaringan, ataupun perjanjian.
- Organizational (37 controls)
Kategori ini mengenai kebijakan informasi, pengembalian aset dan keamanan informasi untuk penggunaan layanan cloud.
- Technological (34 controls)
kategori ini berhubungan dengan teknologi yang meliputi otentikasi yang aman, penghapusan informasi, pencegahan kebocoran data, atau pengembangan yang dialihkan.
- Physical (14 controls)
kategori ini berhubungan dengan objek fisik yang meliputi media penyimpanan, pemeliharaan peralatan, pemantauan keamanan fisik, atau pengamanan segala fasilitas.
Perubahan Klausul ISO 27001:2022
Pembaruan ISO 27001 versi 2013 ke versi 2022 melibatkan beberapa perubahan pada sejumlah klausul yang menandai kemajuan dan adaptasi terhadap lingkungan keamanan informasi.
- Klausul 4.2: Memenuhi kebutuhan dan harapan pihak berkepentingan
ISO 27001 versi 2022 menambahkan subklausul baru yang menekankan pada analisis kebutuhan dan harapan pihak terkait yang akan diatasi melalui SMKI. Organisasi perlu memiliki pemahaman yang komprehensif terhadap kebutuhan pihak terkait tersebut.
- Klausul 4.4: Sistem manajemen keamanan informasi
Klausul ini mewajibkan organisasi untuk mengidentifikasi proses yang diperlukan, termasuk interaksi di dalamnya. Dalam hal ini organisasi dituntut untuk melibatkan proses yang mendukung SMKI secara menyeluruh.
- Klausul 6.2: Tujuan keamanan informasi & perencanaan untuk mencapainya
ISO 27001:2022 telah memperluas panduannya dengan menambahkan pedoman mengenai penetapan tujuan keamanan informasi. Dimana organisasi harus melakukan pemantauan terhadap proses pencapaian tujuan secara berkala dan mendokumentasikannya.
- Klausul 6.3: Perencanaan perubahan
Klausa ini merupakan tambahan dalam ISO 27001:2022 yang menetapkan standar untuk perencanaan perubahan dalam Sistem Manajemen Keamanan Informasi (SMKI). Jika organisasi memerlukan perubahan pada SMKI mereka, perubahan tersebut harus direncanakan secara terstruktur dan didokumentasikan.
- Klausul 8.1: Perencanaan dan pengendalian operasional
ISO 27001:2022 telah memperluas panduannya dengan menambahkan pedoman tambahan untuk perencanaan dan pengendalian operasional. Artinya, SMKI harus menetapkan kriteria untuk tindakan yang diidentifikasi dalam klausul 6 dan melakukan pengelolaan sesuai dengan kriteria tersebut.
Segera Dapatkan Penawaran Sertifikasi Terbaik Sekarang!
Wujudkan perubahan yang lebih baik dan efisien untuk Perusahaan Anda. Temukan solusi dan kemudahan sertifikasi dengan proses cepat, tepat dan biaya terjangkau.