Apakah organisasi anda sudah berstandar ISO 27001? Tahukah bahwa anda perlu memperbarui standarisasi ISO 27001 ke versi terbaru yaitu ISO 27001:2022.

ISO 27001 menjadi salah satu standar internasional yang menjadi acuan untuk Sistem Manajemen Keamanan Informasi atau SMKI sebuah organisasi.

ISO 27001 memiliki berbagai versi dan pembaruan, sebelumnya ISO 27001 diperbarui pada tahun 2013 yang kemudian dikenal dengan ISO 27001:2013.

Kemudian pada Oktober 2022 ISO 27001 kembali diperbarui dan menjadi ISO 27001:2022.

Pembaruan ini bertujuan agar standar ISO 27001 lebih relevan dengan perkembangan teknologi dan ancaman keamanan yang marak terjadi saat ini.

Lalu, apa saja yang berubah pada ISO 27001 versi 2022 ini?

Perubahan ISO 27001:2022

Perubahan yang mendasar pada ISO 27001:2022 adalah pembaruan lampiran A, sehingga lampiran A mencerminkan ISO/IEC 27002:2022. ISO/IEC 27002 sendiri sudah diperbarui sejak Februari 2022.

Standar ini digunakan untuk pengendalian keamanan informasi serta menyediakan kumpulan referensi pengendalian keamanan informasi termasuk pada panduan implementasinya.

Perubahan yang yang ada pada ISO 27001:2022 adalah:

• Restrukturisasi kategori
• 11 pengendalian baru
• 24 pengendalian gabungan
• 58 pengendalian yang diperbarui

Perubahan kategori

Dalam versi terbaru ISO 27001:2022, jumlah kontrol yang awalnya 144 sudah berkurang menjadi 92.

Sedangkan kategori pengendalian versi terbaru telah disederhanakan dari !$ menjadi 4 kategori saja. Adapun kategori tersebut adalah sebagai berikut:

Bagian 5: People (8 controls)

kategori ini menyangkut orang atau individu yang terlibat. Meliputi kerja jarak jauh, penyaringan, kerahasiaan, atau perjanjian.

Bagian 6: Organizational (37 controls)

Kategori ini meliputi kebijakan untuk informasi, pengembalian aset, dan keamanan informasi untuk penggunaan layanan cloud.

Bagian 7: Technological (34 controls)

Kategori ini menyangkut teknologi, yang meliputi otentikasi yang aman, penghapusan informasi, pencegahan kebocoran data, atau pengembangan yang dialihdayakan.

Bagian 8: Physical (14 controls)

Dalam kategori ini menyangkut objek fisik meliputi media penyimpanan, pemeliharaan peralatan, pemantauan keamanan fisik, atau pengamanan segala fasilitas.

ISO 27001:2022 terdapat 35 controls yang tidak mengalami perubahan, 23 controls yang berganti nama, dan 57 pengendalian yang mengalami penggabungan menjadi 24 pengendalian.

Terdapat 1 pengendalian yang dibagi 2 yaitu 18.2.3 Technical Compliance Review menjadi 8.8 – Management of Technical Vulnerabilities dan 5.3.6 – Conformity with policies and standards of information security.

Penambahan pengendalian baru

Pda versi terbaru ISO 27001, ditambahkan controls atau pengendalian baru dari versi sebelumnya, yaitu:

• Threat intelligence
• Physical security monitoring
• Data masking
• Information security for cloud services
• Monitoring activities
• ICT readiness for business continuity
• Data leakage prevention
• Configuration management
• Web filtering
• Information deletion
• Secure Coding

Penggabungan dan penambahan pengendalian yang baru menciptakan 5 atribut keamanan utama yang lebih mudah untuk dikelompokkan, yaitu:

• Tipe pengendalian
• Kemampuan Operasional
• Domain keamanan
• Konsep keamanan siber
• Property keamanan informasi

Ingin memperbarui sertifikat ISO 27001 organisasi anda dengan versi terbaru?

Ikuti Digital Transformation Acceleration Course – Cyber Security Governance with ISO 27001, KLIK DISINI

Sebagai standar internasional terkait manajemen keamanan informasi, ISO 27001 ternyata melewati beberapa versi pembaruan.

ISO 27001 atau lebih dikenal dengan ISO/IEC 27001 merupakan standar internasional yang paling diakui di seluruh dunia tentang manajemen keamanan informasi.

Hingga saat ini, banyak organisasi di seluruh dunia yang menggunakan standar ISO 27001 sebagai standar manajemen keamanan informasi.

ISO 27001 digunakan karena dapat membantu organisasi dalam hal pengelolaan keamanan informasi sebuah perusahaan. Selain itu, ISO 27001 juga sudah sesuai dengan ketentuan regulasi manajemen keamanan informasi dalam suatu negara, misalnya Eropa dengan GDPR dan Indonesia dengan UU PDP.

Sebelum menjadi salah satu standar internasional yang diakui di seluruh dunia, ternyata ISO 27001 melewati berbagai pembaruan dan versi hingga sempurna seperti sekarang ini. 

Bagaimana sejarah ISO 27001 hingga sekarang digunakan sebagai standar internasional manajemen keamanan informasi? Berikut ulasannya:

Awal mula ISO 27001

Sejarah ISO 27001 dimulai pada tahun 1980-an ketika organisasi dan perusahaan mulai menyadari pentingnya mengamankan informasi dan data mereka. 

Pada saat itu, tidak ada standar internasional yang secara khusus mengatur keamanan informasi. 

Sebagai tanggapan terhadap kebutuhan ini, kelompok-kelompok ahli di seluruh dunia mulai bekerja sama untuk mengembangkan kerangka kerja keamanan informasi yang komprehensif.

Publikasi ISO 17799

Pada tahun 1995, British Standards Institution (BSI) menerbitkan dokumen bernama “BS 7799,” yang memuat panduan untuk manajemen keamanan informasi. 

Dokumen ini membantu organisasi dalam mengidentifikasi, mengelola, dan mengurangi risiko terkait keamanan informasi. Ini adalah tonggak awal dalam pengembangan standar keamanan informasi.

Munculnya ISO/IEC 27001

Pada tahun 2005, standar ISO 17799 diperbarui dan diterbitkan sebagai standar ISO/IEC 27001 oleh International Organization for Standardization (ISO) dan International Electrotechnical Commission (IEC). 

Standar ini, yang sekarang dikenal sebagai ISO/IEC 27001, memberikan panduan yang lebih komprehensif untuk manajemen keamanan informasi.

Perkembangan dan revisi

Sejak itu, ISO 27001 telah mengalami beberapa revisi untuk mengikuti perkembangan teknologi dan perubahan dalam ancaman keamanan informasi. 

Revisi terbaru, ISO/IEC 27001:2013, masih menjadi standar yang digunakan secara luas di seluruh dunia.

Manfaat ISO 27001

1. Melindungi data dan informasi penting

ISO 27001 membantu perusahaan untuk mengidentifikasi, mengevaluasi, dan mengelola risiko terkait keamanan informasi.

Dengan demikian, perusahaan dapat melindungi data sensitif, informasi pelanggan, dan aset informasi lainnya dari ancaman seperti peretasan, pencurian data, atau kerusakan akibat insiden keamanan.

2. Pemenuhan regulasi

 Banyak negara dan industri memiliki peraturan ketat terkait keamanan informasi, seperti GDPR di Eropa atau HIPAA di Amerika Serikat. 

Mematuhi standar ISO 27001 membantu perusahaan untuk memenuhi persyaratan hukum dan regulasi ini, menghindari denda dan sanksi yang mungkin diberlakukan akibat pelanggaran keamanan data.

3. Meningkatkan kepercayaan pelanggan

Dengan sertifikasi ISO 27001, perusahaan dapat meningkatkan tingkat kepercayaan pelanggan. 

Ini mengindikasikan bahwa perusahaan memiliki komitmen yang kuat terhadap keamanan informasi, yang dapat menjadi daya tarik bagi pelanggan yang peduli tentang kerahasiaan dan integritas data mereka.

4. Manajemen risiko yang efektif

ISO 27001 mempromosikan pendekatan berbasis risiko dalam mengelola keamanan informasi. 

Ini membantu perusahaan untuk mengidentifikasi potensi ancaman dan peluang yang berkaitan dengan keamanan informasi, serta mengambil langkah-langkah yang sesuai untuk mengurangi risiko.

5. Penyempurnaan Proses Bisnis

Implementasi ISO 27001 memerlukan perusahaan untuk mengaudit dan memeriksa proses bisnis mereka, termasuk aspek keamanan informasi. 

Hal ini dapat mengarah pada peningkatan efisiensi dan efektivitas operasional.

6. Menghemat Operasional

Meskipun ada biaya awal untuk implementasi dan pemeliharaan ISO 27001, manfaat dalam jangka panjang dapat mencakup penghematan biaya yang signifikan. 

Ini termasuk pengurangan risiko kerugian akibat insiden keamanan dan denda peraturan.