Home/Informasi & Berita/Blog/ISO 27002:2022 – Memahami Perubahan dan Dampaknya pada Organisasi Anda
5 mins read

ISO 27002:2022 – Memahami Perubahan dan Dampaknya pada Organisasi Anda

August 12, 2022
Topics: Information Technology ISMS SMKI

Pada Februari 2022, iterasi baru ISO 27002 diterbitkan. Artikel blog ini akan menjelaskan perubahannya dan bagaimana perubahan tersebut akan mempengaruhi organisasi yang disertifikasi atau berencana untuk disertifikasi ISO 27001.

Cara untuk menangani data dan kecepatan yang diperlukan untuk mengakses informasi telah berubah secara dramatis dalam 9 tahun terakhir. Dengan demikian, tinjauan ISO 27001 diperlukan untuk mencerminkan lanskap keamanan informasi saat ini, dengan fokus pada Lampiran A: Pengendalian. Pembaruan ini diharapkan akan diterbitkan pada akhir tahun ini. Untuk menyelaraskan dengan pembaruan, amandemen ISO 27002 diperlukan sebagai panduan untuk implementasi Lampiran A ISO 27001.

Apa yang berubah?

Serangkaian pengendalian telah ditinjau dan diperbarui untuk mencerminkan lanskap keamanan informasi saat ini. Beberapa pengendalian telah digabung, dihapus, atau ditambahkan. Pengendalian ini sekarang juga telah dikelompokkan kembali menjadi 4 kategori utama yang mencakup Orang, Organisasi, Teknologi, dan Fisik.

Pengelompokan Ulang Kategori

Pengelompokan ulang 14 kategori menjadi 4 kategori atau tema utama, sehingga lebih mudah ditemukan. 4 kategori baru tersebut antara lain:

  • Orang (people) (8 pengendalian) – jika menyangkut orang individu, seperti kerja jarak jauh, penyaringan, kerahasiaan, atau perjanjian kerahasiaan.
  • Organisasi (organizational) (37 pengendalian) – jika menyangkut organisasi, seperti kebijakan untuk informasi, pengembalian aset, keamanan informasi untuk penggunaan layanan cloud.
  • Teknologi (technological) (34 pengendalian) – jika menyangkut teknologi, seperti otentikasi yang aman, penghapusan informasi, pencegahan kebocoran data, atau pengembangan yang dialihdayakan.
  • Fisik (physical) (14 pengendalian) – jika menyangkut objek fisik, seperti media penyimpanan, pemeliharaan peralatan, pemantauan keamanan fisik, atau pengamanan kantor, ruangan, dan fasilitas.

Pembaruan pada Pengendalian

Semua pengendalian ISO 27002 telah ditinjau dan disempurnakan secara menyeluruh dengan panduan terkini. Dengan ini, 114 pengendalian telah dikurangi menjadi 93 pengendalian – dengan 11 pengendalian baru, 24 pengendalian gabungan, dan 58 pengendalian lainnya diperbarui.

11 pengendalian baru tersebut adalah:

  • Threat intelligence
  • Information Security for use of Cloud Services
  • ICT Readiness for Business Continuity
  • Physical Security Monitoring
  • Monitoring Activities
  • Web filtering
  • Secure coding
  • Configuration Management
  • Information Deletion
  • Data Masking
  • Data Leakage Prevention

Pembaruan ini memberi pengendalian yang lebih mudah dipahami, relevan dengan lanskap keamanan informasi saat ini, dan serbaguna untuk setiap organisasi dan badan industri.

Pengenalan Atribut

Organisasi sekarang dapat menggunakan atribut untuk membuat tampilan yang berbeda, yang memudahkan untuk mengkategorikan pengendalian seperti yang terlihat dari perspektif yang berbeda ke 4 tema. Atribut dapat digunakan untuk memfilter, mengurutkan, atau menyajikan pengendalian dalam tampilan berbeda untuk audiens yang berbeda. Sebagai catatan, penggunaan ‘atribut’ tidak wajib. Dalam ISO/IEC 27002, Lampiran A menjelaskan bagaimana hal ini dapat dicapai dan memberikan contoh. Contohnya meliputi:

  • Jenis Pengendalian – pencegahan, detektif, korektif
  • Properti Keamanan Informasi – kerahasiaan, integritas, ketersediaan
  • Konsep Keamanan Siber – mengidentifikasi, melindungi, mendeteksi, merespons, memulihkan
  • Kemampuan Operasional – tata kelola, manajemen aset, perlindungan informasi, keamanan sumber daya manusia, keamanan fisik, keamanan sistem dan jaringan, keamanan aplikasi, konfigurasi aman, manajemen identitas dan akses, manajemen ancaman dan kerentanan, kontinuitas, keamanan hubungan pemasok, hukum dan kepatuhan, informasi manajemen acara keamanan, jaminan keamanan informasi
  • Domain Keamanan – tata kelola dan ekosistem, perlindungan, pertahanan, ketahanan

Sebuah organisasi juga dapat mendefinisikan ‘atribut’-nya sendiri dengan nilai yang berbeda untuk memenuhi kebutuhan spesifiknya.

Manfaat Pembaruan

Tata letak baru mendorong organisasi untuk meninjau sistem manajemen keamanan informasi (SMKI) mereka dan memikirkan kembali pengendalian yang diperlukan.

Pembaruan juga memberikan kesempatan bagi organisasi untuk menguji kematangan SMKI mereka. Dengan kata lain, apakah pengendalian yang diperlukan organisasi telah mengikuti lanskap organisasi saat ini atau apakah ada kesenjangan yang besar?

Selain itu, struktur baru ISO 27002 membuatnya lebih mudah untuk dipahami, dan memberikan keseimbangan yang lebih baik antara pengendalian preventif, detektif, dan korektif.

Bagaimana ini Mempengaruhi Anda?

Untuk Organisasi yang Menerapkan ISO 27001

Sampai versi baru ISO 27001 diterbitkan, organisasi yang saat ini menerapkan atau ingin mensertifikasi ISO 27001 dapat terus merujuk ke pengendalian saat ini di Lampiran A, dan merujuk ke rangkaian pengendalian baru di ISO 27002.

Haruskah Organisasi yang Merencanakan Sertifikasi ISO 27001 Menunggu Sampai Standar Baru Diterbitkan?

Singkatnya, jawabannya adalah tidak. Menunggu hingga standar baru diterbitkan akan membuat organisasi Anda berisiko lebih besar. Anda tidak akan kehilangan apa pun dengan menerapkan sistem manajemen informasi yang sesuai dengan ISO 27001:2013 dan menggunakan set kontrol Lampiran A yang ada. Pembaruan standar akan mencakup struktur dan pengendalian baru yang dirujuk dalam ISO 27002.

Untuk Organisasi yang Sudah Bersertifikat ISO 27001

International Organization for Standards (ISO) telah mengindikasikan bahwa pembaruan akan didominasi pada pengendalian di Lampiran A untuk mencerminkan pembaruan dalam ISO 27002.

Biasanya, ada periode transisi 2-3 tahun untuk memungkinkan organisasi memiliki waktu yang cukup untuk memperbarui sistem manajemen mereka sehingga mereka selaras dengan perubahan. Namun, kami tidak menyarankan Anda menunggu hingga menit terakhir untuk memenuhi kewajiban baru Anda.

Organisasi dapat mempersiapkan dengan menilai pengendalian baru dan mulai memperbarui Statement of Applicability (SoA) mereka. Yang terbaik adalah mulai mempersiapkan perubahan sesegera mungkin, selama periode transisi, sehingga Anda dapat mulai menerapkan pengendalian baru, membuat penyesuaian apa pun untuk integrasi yang lebih baik, dan mengurangi beban kepatuhan sebelum audit berikutnya.

Hubungi Kami

Komunikasi langsung dengan para ahli untuk mengetahui lebih lanjut bagaimana Intertek SAI Global dapat membantu bisnis Anda menjadi lebih unggul.
Hubungi Kami

Artikel lainnya

Blog
Informasi & Berita, Information Security, Information Technology, ISMS, Management System, SMKI
Kebijakan Terbaru Transisi ISO/IEC 27001:2022
Pada tanggal 25 Oktober 2022, ISO/IEC 27001:2013 telah direvisi dan digantikan dengan versi baru ISO/IEC 27001:2022. Pelajari kebijakan terbaru transisi ISO/IEC 27001:2022.
19/06/23
3 mins read
Informasi & Berita, Anti Bribery, Management System
Tahukah Anda bahwa ISO 37001 Bersifat Wajib bagi Beberapa Sektor Industri?
Ternyata beberapa sektor industri mewajibkan Sistem Manajemen Anti Penyuapan (SMAP), apa alasannya ya? Ketahui lebih lanjut mengenai kewajiban penerapan ISO 37001 (Sistem Manajemen Anti Penyuapan).
02/03/23
4 mins read
Information Technology, ISMS, SMKI
ISO 27002:2022 – Memahami Perubahan dan Dampaknya pada Organisasi Anda
Ketahui perubahannya dan bagaimana perubahan tersebut akan mempengaruhi organisasi yang disertifikasi atau berencana untuk disertifikasi ISO 27001.
12/08/22
5 mins read

Speak to an expert to find out more.

Building trust, integrity and profit through our comprehensive range of solutions to match your business needs. Benefit from our expertise and experience in providing superior audit, certification and training services.
We have noticed that your visiting our site from
Continue
Or select a different country