Apakah organisasi anda sudah berstandar ISO 27001? Tahukah bahwa anda perlu memperbarui standarisasi ISO 27001 ke versi terbaru yaitu ISO 27001:2022.
ISO 27001 menjadi salah satu standar internasional yang menjadi acuan untuk Sistem Manajemen Keamanan Informasi atau SMKI sebuah organisasi.
ISO 27001 memiliki berbagai versi dan pembaruan, sebelumnya ISO 27001 diperbarui pada tahun 2013 yang kemudian dikenal dengan ISO 27001:2013.
Kemudian pada Oktober 2022 ISO 27001 kembali diperbarui dan menjadi ISO 27001:2022.
Pembaruan ini bertujuan agar standar ISO 27001 lebih relevan dengan perkembangan teknologi dan ancaman keamanan yang marak terjadi saat ini.
Lalu, apa saja yang berubah pada ISO 27001 versi 2022 ini?
Perubahan ISO 27001:2022
Perubahan yang mendasar pada ISO 27001:2022 adalah pembaruan lampiran A, sehingga lampiran A mencerminkan ISO/IEC 27002:2022. ISO/IEC 27002 sendiri sudah diperbarui sejak Februari 2022.
Standar ini digunakan untuk pengendalian keamanan informasi serta menyediakan kumpulan referensi pengendalian keamanan informasi termasuk pada panduan implementasinya.
Perubahan yang yang ada pada ISO 27001:2022 adalah:
- Restrukturisasi kategori
- 11 pengendalian baru
- 24 pengendalian gabungan
- 58 pengendalian yang diperbarui
Perubahan kategori
Dalam versi terbaru ISO 27001:2022, jumlah kontrol yang awalnya 144 sudah berkurang menjadi 92.
Sedangkan kategori pengendalian versi terbaru telah disederhanakan dari !$ menjadi 4 kategori saja. Adapun kategori tersebut adalah sebagai berikut:
Bagian 5: People (8 controls)
kategori ini menyangkut orang atau individu yang terlibat. Meliputi kerja jarak jauh, penyaringan, kerahasiaan, atau perjanjian.
Bagian 6: Organizational (37 controls)
Kategori ini meliputi kebijakan untuk informasi, pengembalian aset, dan keamanan informasi untuk penggunaan layanan cloud.
Bagian 7: Technological (34 controls)
Kategori ini menyangkut teknologi, yang meliputi otentikasi yang aman, penghapusan informasi, pencegahan kebocoran data, atau pengembangan yang dialihdayakan.
Bagian 8: Physical (14 controls)
Dalam kategori ini menyangkut objek fisik meliputi media penyimpanan, pemeliharaan peralatan, pemantauan keamanan fisik, atau pengamanan segala fasilitas.
ISO 27001:2022 terdapat 35 controls yang tidak mengalami perubahan, 23 controls yang berganti nama, dan 57 pengendalian yang mengalami penggabungan menjadi 24 pengendalian.
Terdapat 1 pengendalian yang dibagi 2 yaitu 18.2.3 Technical Compliance Review menjadi 8.8 – Management of Technical Vulnerabilities dan 5.3.6 – Conformity with policies and standards of information security.
Penambahan pengendalian baru
Pda versi terbaru ISO 27001, ditambahkan controls atau pengendalian baru dari versi sebelumnya, yaitu:
- Threat intelligence
- Physical security monitoring
- Data masking
- Information security for cloud services
- Monitoring activities
- ICT readiness for business continuity
- Data leakage prevention
- Configuration management
- Web filtering
- Information deletion
- Secure Coding
Penggabungan dan penambahan pengendalian yang baru menciptakan 5 atribut keamanan utama yang lebih mudah untuk dikelompokkan, yaitu:
- Tipe pengendalian
- Kemampuan Operasional
- Domain keamanan
- Konsep keamanan siber
- Property keamanan informasi