Mitra Berdaya – Selaras dengan regulasi ISO terkait, ISO/IEC FDIS 27001:2022 dirancang melalui integrasi ISO/IEC 27001:2013 dengan ISO/IEC 27001:2013/COR 1: 2014, ISO/IEC 27001:2013/COR2:2015, dan ISO/IEC 27001:2013/DAmd1 pada Juli 2022. Selain itu, ISO mengharuskan ISO/IEC FDIS 27001:2022 agar sesuai dengan struktur harmonis untuk Standar Sistem Manajemen (MSS) yang ditetapkan dalam Annex SL ISO/IEC, bagian 1, Konsolidasi Suplemen ISO, 2022. Berdasarkan hasil voting FDIS, ISO kemudian menerbitkan ISO/IEC 27001:2022 pada 25 Oktober 2022. Perlu diketahui bahwa ISO/IEC 27001:2013 dirumuskan untuk menyelaraskan ISO 27001:2022 yang memperbarui Annex A dan catatan Klausul 6.1.3 serta DAmd merupakan singkatan dari Draf Amandemen.

Table of Contents

• Perubahan Utama Dalam Transisi ISO/IEC 27001:2013 Menuju ISO/IEC 27001:2022
• Dampak Transisi ISO/IEC 27001:2013 Menuju ISO/IEC 27001:2022
• Restrukturisasi Penting Dalam Transisi ISO/IEC 27001:2022
• Kesimpulan

Perubahan Utama Dalam Transisi ISO/IEC 27001:2013 Menuju ISO/IEC 27001:2022

Apabila dibandingkan dengan standar tahun 2013, perubahan utama dalam ISO 27001:2022 terdapat dalam :

• Annex A berpedoman pada Kendali Keamanan Informasi dalam standar ISO/IEC 27002:2022 yang turut mencakup informasi pengendalian.
• Klausul 6.1.3 direvisi secara editorial, revisi tersebut termasuk pada penghapusan tujuan pengendalian dan penggunaan Kendali Keamanan Informasi untuk menggantikan “Pengendalian”.
• Susunan kalimat dalam Klausul 6.1.3 disusun ulang agar menghilangkan potensi kalimat bermakna ambigu.
• Penambahan pasal-pasal baru dalam Klausul 4.2 untuk menentukan persyaratan pihak berkepentingan yang ditangani melalui Sistem Manajemen Keamanan Informasi (SMKI).
• Menambahkan sub-klausul 6.3 tentang Perencanaan untuk Perubahan yang mendefinisikan perubahan dalam SMKI wajib dilakukan oleh organisasi secara terstruktur dan terencana.
• Konsisten dalam menjaga pernyataan yang digunakan sehubungan dengan dokumen informasi. Sebagai contoh, penggunaan Dokumen Informasi harus tersedia sebagai bukti xx pada pasal 9.1, 9.2.2, 9.3.3, dan 10.2
• Menggunakan proses, produksi, maupun pelayanan yang disediakan secara eksternal untuk menggantikan pemrosesan oleh pihak ketiga dalam Klausul 8.1 dan menghapus istilah “Outsource”
• Penataan ulang sub-Klausul dalam Klausul 9.2 – Audit Internal dan Klausul 9.3 – Tinjauan Manajemen.
• Pertukaran perintah dua sub-Klausul dalam Klausul 10 – Perbaikan
• Pembaruan edisi dokumen terkait yang turut tercantum dalam Daftar Referensi, contohnya ISO/IEC 27002 dan ISO 31000

Beberapa penyimpangan dalam ISO/IEC 27001:2013 terhadap struktur tingkat tinggi, teks inti yang identik, istilah umum dan definisi inti Standar Sistem Manajemen (MSS) direvisi agar konsisten dengan struktur harmonisasi MSS, seperti Klausul 6.2

Apabila dibandingkan dengan standar lama, jumlah kendali Keamanan Informasi yang terdapat pada ISO/IEC 27002:2022 mengalami pengurangan dari 114 kendali dalam 14 klausul menjadi sebanyak 93 kendali dalam 4 klausul. Sementara pada kendali pada ISO/IEC 27002:2022, terdapat 11 kendali baru, 24 kendali digabungkan dari kontrol yang telah ada, dan 58 kendali mengalami pembaruan. Selain itu, struktur pengendalian dilakukan revisi yang memperkenalkan “komponen” dan “tujuan” bagi tiap pengendalian dan tidak lagi menggunakan objektif pada beberapa pengendalian.

Dampak Transisi ISO/IEC 27001:2013 Menuju ISO/IEC 27001:2022

Dampak perubahan dalam ISO/IEC 27001:2022, tidak terbatas pada pengenalan Annex A dan Klausul 6.3 – Perencanaan, karena : 

1. ISO/IEC 27001:2013/COR 2:2015 telah dipublikasikan dan diimplementasikan
2. Annex A bersifat normatif
3. Harmonisasi struktur untuk Standar Sistem Manajemen (MSS) dipertimbangan sebagai perbaikan kecil untuk struktur tingkat tinggi, teks inti yang identik, istilah umum dan definisi inti dari MSS, yang mana sebagian besar perubahan dianggap editorial

Persyaratan dalam ISO/IEC 27001 yang menggunakan kendali referensi yang ditetapkan dalam Annex A merupakan proses perbandingan antara Kendali Keamanan Informasi yang ditentukan oleh organisasi yang ada dalam Annex A Klausul 6.1.3. Dengan membandingkan urgensi Kendali Keamanan Informasi dengan yang ada dalam Annex A, organisasi bisa menyatakan bahwa kendali dalam Annex A ISO/IEC 27001:2022 tidak dihilangkan secara sengaja.

Sebuah perbandingan yang mungkin tidak memberikan penemuan tentang informasi penting mengenai kendali keamanan yang tidak secara sengaja telah dihilangkan. Akan tetapi, apabila informasi penting mengenai kendali keamanan yang secara tidak sengaja dihilangkan ditemukan, organisasi akan memperbarui rencana penanganan risiko untuk menampung tambahan informasi penting mengenai kendali keamanan dan mengimplementasikannya.

Restrukturisasi Penting Dalam Transisi ISO/IEC 27001:2022

Terdapat 14 domain dan mengelompokkan dalam empat kategori, karenanya, jumlah klausul dalam ISO ini berkurang dari 114 menjadi 93 klausul. Dalam versi 2022, terdapat 11 kontrol yang tidak dimiliki dalam versi 2013. Restrukturisasi kontrol tersebut antara lain : A.5 Organisasi yang terdiri dari 37 kontrol, A.6 Orang yang terdiri dari 8 kontrol, A.7 Fisik – terdiri dari 14 kontrol, A.8 Teknologi yang terdiri dari 34 kontrol.

11 kontrol baru, antara lain : A.5.7 Intelijen ancaman, A.5.23 Keamanan informasi Cloud, A.5.30 Persiapan ICT untuk keberlangsungan perusahaan, A.7.4 Pemantauan keamanan fisik, A.8.9 Tatalaksana Konfigurasi, A.8.10 Penghilangan informasi, A.8.11 Penutupan data/masking, A.8.12 Antisipasi kebocoran data, A.8.16 Kegiatan Pemantauan, A.8.23 Filter Web, dan A.8.28 Coding yang aman.

Sertifikasi ISO/IEC 27001:2022 akan terbit setelah melalui proses sertifikasi ulang selama 3 tahun. Audit Sertifikasi ISO ini dilandaskan pada beberapa hal, antara lain: Audit pengawasan (Surveillance), Audit khusus, Audit resertifikasi, dan Sertifikasi awal.

Bagi setiap organisasi yang menerapkan standar ini, batas akhir pemberlakuan transisi adalah Oktober 2025 atau tiga tahun setelah dilakukannya transisi standar. Namun, proses Audit harus sudah mengikuti standar terbaru terhitung sejak Oktober 2023. Kendati demikian, transisi baru akan tetap berpengaruh pada pengendalian standar ini. Oleh karena itu, perlu dilakukan Analisis Kesenjangan untuk menyesuaikan standar baru ini.

Kesimpulan

ISO/IEC 27001:2022 merupakan Standar Manajemen Keamanan Informasi sebagai pembaruan versi dari tahun 2013. Terdapat pembaruan di beberapa kontrol, yang mana pada tahun 2013 terdapat 114 kontrol dalam 14 klausul, sedangkan dalam versi tahun 2022 terdapat 93 kontrol dalam 4 klausul. Untuk melakukan sertifikasi ISO ulang, organisasi perlu melalui Audit Surveillance, Audit Khusus, Audit Resertifikasi, dan Sertifikasi awal.

Mitra Berdaya Optima memberikan layanan Konsultasi, Pelatihan, dan Audit Internal yang berpedoman pada standar ISO/IEC 27001:2022 untuk memberikan prosedur dan kerangka kerja tentang Keamanan Informasi. Apabila anda membutuhkan konsultasi terkait implementasi ISO, Anda dapat menghubungi kami disini.