Pada Februari 2022, iterasi baru ISO 27002 diterbitkan. Artikel blog ini akan menjelaskan perubahannya dan bagaimana perubahan tersebut akan mempengaruhi organisasi yang disertifikasi atau berencana untuk disertifikasi ISO 27001.
Cara untuk menangani data dan kecepatan yang diperlukan untuk mengakses informasi telah berubah secara dramatis dalam 9 tahun terakhir. Dengan demikian, tinjauan ISO 27001 diperlukan untuk mencerminkan lanskap keamanan informasi saat ini, dengan fokus pada Lampiran A: Pengendalian. Pembaruan ini diharapkan akan diterbitkan pada akhir tahun ini. Untuk menyelaraskan dengan pembaruan, amandemen ISO 27002 diperlukan sebagai panduan untuk implementasi Lampiran A ISO 27001.
Apa yang berubah?
Serangkaian pengendalian telah ditinjau dan diperbarui untuk mencerminkan lanskap keamanan informasi saat ini. Beberapa pengendalian telah digabung, dihapus, atau ditambahkan. Pengendalian ini sekarang juga telah dikelompokkan kembali menjadi 4 kategori utama yang mencakup Orang, Organisasi, Teknologi, dan Fisik.
Pengelompokan Ulang Kategori
Pengelompokan ulang 14 kategori menjadi 4 kategori atau tema utama, sehingga lebih mudah ditemukan. 4 kategori baru tersebut antara lain:
- Orang (people) (8 pengendalian) – jika menyangkut orang individu, seperti kerja jarak jauh, penyaringan, kerahasiaan, atau perjanjian kerahasiaan.
- Organisasi (organizational) (37 pengendalian) – jika menyangkut organisasi, seperti kebijakan untuk informasi, pengembalian aset, keamanan informasi untuk penggunaan layanan cloud.
- Teknologi (technological) (34 pengendalian) – jika menyangkut teknologi, seperti otentikasi yang aman, penghapusan informasi, pencegahan kebocoran data, atau pengembangan yang dialihdayakan.
- Fisik (physical) (14 pengendalian) – jika menyangkut objek fisik, seperti media penyimpanan, pemeliharaan peralatan, pemantauan keamanan fisik, atau pengamanan kantor, ruangan, dan fasilitas.
Pembaruan pada Pengendalian
Semua pengendalian ISO 27002 telah ditinjau dan disempurnakan secara menyeluruh dengan panduan terkini. Dengan ini, 114 pengendalian telah dikurangi menjadi 93 pengendalian – dengan 11 pengendalian baru, 24 pengendalian gabungan, dan 58 pengendalian lainnya diperbarui.
11 pengendalian baru tersebut adalah:
- Threat intelligence
- Information Security for use of Cloud Services
- ICT Readiness for Business Continuity
- Physical Security Monitoring
- Monitoring Activities
- Web filtering
- Secure coding
- Configuration Management
- Information Deletion
- Data Masking
- Data Leakage Prevention
Pembaruan ini memberi pengendalian yang lebih mudah dipahami, relevan dengan lanskap keamanan informasi saat ini, dan serbaguna untuk setiap organisasi dan badan industri.
Pengenalan Atribut
Organisasi sekarang dapat menggunakan atribut untuk membuat tampilan yang berbeda, yang memudahkan untuk mengkategorikan pengendalian seperti yang terlihat dari perspektif yang berbeda ke 4 tema. Atribut dapat digunakan untuk memfilter, mengurutkan, atau menyajikan pengendalian dalam tampilan berbeda untuk audiens yang berbeda. Sebagai catatan, penggunaan ‘atribut’ tidak wajib. Dalam ISO/IEC 27002, Lampiran A menjelaskan bagaimana hal ini dapat dicapai dan memberikan contoh. Contohnya meliputi:
- Jenis Pengendalian – pencegahan, detektif, korektif
- Properti Keamanan Informasi – kerahasiaan, integritas, ketersediaan
- Konsep Keamanan Siber – mengidentifikasi, melindungi, mendeteksi, merespons, memulihkan
- Kemampuan Operasional – tata kelola, manajemen aset, perlindungan informasi, keamanan sumber daya manusia, keamanan fisik, keamanan sistem dan jaringan, keamanan aplikasi, konfigurasi aman, manajemen identitas dan akses, manajemen ancaman dan kerentanan, kontinuitas, keamanan hubungan pemasok, hukum dan kepatuhan, informasi manajemen acara keamanan, jaminan keamanan informasi
- Domain Keamanan – tata kelola dan ekosistem, perlindungan, pertahanan, ketahanan
Sebuah organisasi juga dapat mendefinisikan ‘atribut’-nya sendiri dengan nilai yang berbeda untuk memenuhi kebutuhan spesifiknya.
Manfaat Pembaruan
Tata letak baru mendorong organisasi untuk meninjau sistem manajemen keamanan informasi (SMKI) mereka dan memikirkan kembali pengendalian yang diperlukan.
Pembaruan juga memberikan kesempatan bagi organisasi untuk menguji kematangan SMKI mereka. Dengan kata lain, apakah pengendalian yang diperlukan organisasi telah mengikuti lanskap organisasi saat ini atau apakah ada kesenjangan yang besar?
Selain itu, struktur baru ISO 27002 membuatnya lebih mudah untuk dipahami, dan memberikan keseimbangan yang lebih baik antara pengendalian preventif, detektif, dan korektif.
Bagaimana ini Mempengaruhi Anda?
Untuk Organisasi yang Menerapkan ISO 27001
Sampai versi baru ISO 27001 diterbitkan, organisasi yang saat ini menerapkan atau ingin mensertifikasi ISO 27001 dapat terus merujuk ke pengendalian saat ini di Lampiran A, dan merujuk ke rangkaian pengendalian baru di ISO 27002.
Haruskah Organisasi yang Merencanakan Sertifikasi ISO 27001 Menunggu Sampai Standar Baru Diterbitkan?
Singkatnya, jawabannya adalah tidak. Menunggu hingga standar baru diterbitkan akan membuat organisasi Anda berisiko lebih besar. Anda tidak akan kehilangan apa pun dengan menerapkan sistem manajemen informasi yang sesuai dengan ISO 27001:2013 dan menggunakan set kontrol Lampiran A yang ada. Pembaruan standar akan mencakup struktur dan pengendalian baru yang dirujuk dalam ISO 27002.
Untuk Organisasi yang Sudah Bersertifikat ISO 27001
International Organization for Standards (ISO) telah mengindikasikan bahwa pembaruan akan didominasi pada pengendalian di Lampiran A untuk mencerminkan pembaruan dalam ISO 27002.
Biasanya, ada periode transisi 2-3 tahun untuk memungkinkan organisasi memiliki waktu yang cukup untuk memperbarui sistem manajemen mereka sehingga mereka selaras dengan perubahan. Namun, kami tidak menyarankan Anda menunggu hingga menit terakhir untuk memenuhi kewajiban baru Anda.
Organisasi dapat mempersiapkan dengan menilai pengendalian baru dan mulai memperbarui Statement of Applicability (SoA) mereka. Yang terbaik adalah mulai mempersiapkan perubahan sesegera mungkin, selama periode transisi, sehingga Anda dapat mulai menerapkan pengendalian baru, membuat penyesuaian apa pun untuk integrasi yang lebih baik, dan mengurangi beban kepatuhan sebelum audit berikutnya.