5 mins read

Mempersiapkan Transisi ke ISO 27001:2022

ISO/IEC 27001:2022 akan dirilis akhir tahun ini. Berikut adalah langkah-langkah persiapan yang harus Anda lakukan!

Standar yang diakui secara internasional untuk sistem manajemen keamanan informasi, ISO 27001, sedang diperbarui.

Standar ISO 27001 terakhir kali diperbarui pada tahun 2013, edisi baru ini diharapkan akan diterbitkan pada Oktober 2022, dengan tujuan agar lebih relevan dan up-to-date dengan ancaman keamanan dan teknologi terkini.

Pada artikel blog ini, kami akan menginformasikan:

  • Apa yang berubah?
  • Kapan harus bertransisi?
  • Bagaimana cara mempersiapkan?

Apa yang berubah pada ISO 27001 edisi 2022 dibandingkan dengan edisi 2013?

Perubahan utama pada ISO/IEC 27001 edisi 2022 adalah pembaruan Lampiran A untuk mencerminkan ISO/IEC 27002:2022.

Diperbarui pada Februari 2022, ISO/IEC 27002 adalah Standar untuk Pengendalian Keamanan Informasi, dan menyediakan kumpulan referensi pengendalian keamanan informasi umum termasuk panduan implementasi.

Perubahan tersebut meliputi:

  • Restrukturisasi kategori
  • 11 pengendalian baru
  • 24 pengendalian gabungan
  • 58 pengendalian yang diperbarui
  • Kategori Baru:

    Kategori pengendalian baru telah dikonsolidasikan dari 14 menjadi 4.

    • Orang (people) (8 pengendalian) – jika menyangkut orang individu, seperti kerja jarak jauh, penyaringan, kerahasiaan, atau perjanjian kerahasiaan.
    • Organisasi (organizational) (37 pengendalian) – jika menyangkut organisasi, seperti kebijakan untuk informasi, pengembalian aset, keamanan informasi untuk penggunaan layanan cloud.
    • Teknologi (technological) (34 pengendalian) – jika menyangkut teknologi, seperti otentikasi yang aman, penghapusan informasi, pencegahan kebocoran data, atau pengembangan yang dialihdayakan.
    • Fisik (physical) (14 pengendalian) – jika menyangkut objek fisik, seperti media penyimpanan, pemeliharaan peralatan, pemantauan keamanan fisik, atau pengamanan kantor, ruangan, dan fasilitas.

    Pengendalian Baru:

    Sementara jumlah total pengendalian telah dikurangi dari 114 menjadi 93, ada 11 pengendalian baru termasuk:

    • Threat intelligence
    • Information Security for use of Cloud Services
    • ICT Readiness for Business Continuity
    • Physical Security Monitoring
    • Monitoring Activities
    • Web filtering
    • Secure coding
    • Configuration Management
    • Information Deletion
    • Data Masking
    • Data Leakage Prevention

    Kapan Anda Harus Transisi ke ISO/IEC 27001:2022?

    Masa transisi ke ISO/IEC 27001:2022 adalah tiga tahun dari tanggal publikasi ISO 27001:2022. Tanggal publikasi yang diharapkan adalah Oktober 2022, sehingga organisasi harus mematuhi Standar yang diperbarui paling lambat Oktober 2025.

    Organisasi yang sudah bersertifikat ISO 27001:

    • Hingga Oktober 2023, audit dapat dilakukan terhadap ISO/IEC 27001:2013 atau ISO/IEC 27001:2022 atas permintaan organisasi.
    • Ketidakpatuhan terhadap persyaratan tambahan dalam edisi 2022 akan dianggap sebagai Areas of Concern, dan harus ditutup sebelum masa transisi.
    • Mulai Oktober 2023, semua audit harus mengikuti ISO/IEC 27001:2022.

    Organisasi yang ingin sertifikasi ISO 27001:

    • Organisasi yang mengajukan sertifikasi sebelum tanggal penerbitan edisi 2022 akan dinilai kepatuhannya terhadap ISO/IEC 27001:2013
    • Organisasi yang mengajukan sertifikasi setelah tanggal penerbitan edisi 2022 akan dinilai kepatuhannya terhadap ISO/IEC 27001:2022

    Catatan: Waktu tambahan akan diperlukan untuk melakukan peningkatkan komponen audit, jika Anda beralih dari ISO 27001:2013 ke ISO 27001:2022.

    Cara Mempersiapkan ISO/IEC 27001:2022

    Sementara kami menunggu rilis ISO/IEC 27001:2022 baru pada bulan Oktober 2022, organisasi harus mulai bersiap sekarang untuk memastikan transisi yang lancar dan meminimalkan gangguan. Kegiatan utama berikut harus dipertimbangkan untuk transisi:

    • Membangun program pendidikan bagi mereka yang terlibat dalam operasi SMKI
    • Membiasakan diri Anda dengan 93 pengendalian dalam ISO 27002:2022
    • Identifikasi kontrol mana yang telah diterapkan ke dalam organisasi Anda yang terpengaruh
    • Siapkan dokumentasi Anda untuk transisi

    Lakukan Analisis Kesenjangan (Gap Analysis)

    Organisasi memiliki kesempatan untuk meninjau daftar risiko dari Sistem Manajemen Keamanan Informasi mereka yang ada, dan melakukan penilaian risiko, untuk menentukan kesesuaian dan penerapannya dalam organisasi. Meskipun tidak ada pengendalian yang dihapus antara versi 2013 dan standar ISO 27001 versi 2022, penggabungan, pembaruan, dan pengenalan pengendalian baru akan memengaruhi cara Anda mengelolanya saat ini.

    Melakukan analisis kesenjangan antara sistem Anda saat ini dan pengendalian ISO 27002:2022 akan membantu Anda memahami bagaimana SMKI Anda akan terpengaruh, dan apa yang perlu disesuaikan agar sesuai dengan standar setelah dirilis.

    Analisis kesenjangan ini juga akan membantu Anda menentukan apakah dan bagaimana pengendalian baru dapat membantu Anda mengelola risiko.

    Mempertimbangkan Atribut

    Dengan diperkenalkannya Atribut dalam standar ISO 27002:2022, organisasi dapat menggunakan proses peninjauan untuk mengimplementasikan atribut. Manfaat atribut, adalah mampu membuat pandangan atau kategorisasi pengendalian yang berbeda dilihat dari perspektif atau tema yang berbeda.

    Misalnya, Anda dapat melihat pengendalian Anda dari perspektif tipe pengendalian (preventative, detective, or corrective controls), atau Anda dapat melakukannya berdasarkan properti keamanan yang berbeda (confidentiality, integrity, availability), atau berdasarkan kemampuan operasional yang berbeda (governance, identity, and access management, legal, and compliance), dan lain-lain.

    Optimalkan Statement of Applicability Anda

    Saat melakukan tinjauan ini, organisasi harus mempertimbangkan untuk membuat Statement of Applicability paralel berdasarkan pengendalian versi 2022, termasuk pengendalian yang diganti namanya, serta pengendalian gabungan dan baru. Hal ini disebabkan oleh waktu transisi. Audit yang dilakukan sebelum audit transisi Anda masih harus sesuai dengan versi 2013, dan dengan demikian perlu mengacu pada persyaratan masing-masing.

    Mempertimbangkan Sumber Daya untuk Transisi

    Meskipun persyaratan ISO 27001:2022 belum berubah, pembaruan untuk pengendalian yang tercantum dalam Lampiran A, mengharuskan organisasi untuk mempertimbangkan bagaimana mereka akan menerapkan pembaruan ini.

    Pelatihan auditor internal SMKI Anda adalah suatu keharusan untuk memastikan mereka memahami apa yang diperlukan, dan bagaimana membantu organisasi menjembatani kesenjangan. Pemilik pengendalian juga perlu dimasukkan dalam program pendidikan untuk menentukan pengaruhnya terhadap penilaian dan penanganan risiko organisasi.

    Memiliki program pendidikan juga membantu manajemen perubahan, memberi staf Anda waktu dan kesempatan untuk menyesuaikan diri dengan perubahan.

     

    Dapatkan ISO/IEC 27002:2022!

    Jika Anda berminat dan membutuhkan standar ISO/IEC 27002:2022, Anda dapat membeli standar ini disini.

    Hubungi Kami

    Komunikasi langsung dengan para ahli untuk mengetahui lebih lanjut bagaimana SAI Global Assurance dapat membantu bisnis Anda menjadi lebih unggul.

    Speak to an expert to find out more.

    Building trust, integrity and profit through our comprehensive range of solutions to match your business needs. Benefit from our expertise and experience in providing superior audit, certification and training services.