Standar ISO 27001:2022 yang telah lama ditunggu-tunggu telah dirilis dan membawa banyak perubahan. Sementara 35 kontrol tetap tidak berubah, sekitar 57 telah digabungkan, 23 lainnya diganti namanya, dan 11 kontrol baru diperkenalkan. Secara keseluruhan, ini berarti pengurangan kontrol dari 114 menjadi 93 kontrol, tersebar di 4 kategori.
Apa yang berbeda dalam iterasi baru ISO 27001?
erbedaan mencolok pertama adalah bahwa judul dokumen standar keamanan informasi telah disederhanakan menjadi “Keamanan informasi, keamanan dunia maya, dan perlindungan privasi – sistem manajemen keamanan informasi” yang dapat dihubungkan.
Lebih penting lagi, beberapa penyesuaian telah diterapkan pada Klausul 4 sampai 10.
Klausul 3 “Definisi”
Bagian ini sekarang berisi tautan ke platform penjelajahan online ISO dan IEC Electropedia yang berisi basis data terminologi. Penambahan tautan ini akan memudahkan orang untuk meninjau terminologi untuk mendapatkan kejelasan tentang klausul dan kontrol.
Klausul 4.2 “Memahami kebutuhan dan harapan pihak yang berkepentingan”
Penambahan item (c) yang menyatakan “persyaratan mana yang akan dipenuhi melalui sistem manajemen keamanan informasi” berdampak pada perlunya kejelasan lebih lanjut mengenai persyaratan dari pihak yang berkepentingan.
Klausul 4.4 “Sistem manajemen keamanan informasi”
Kata-kata tambahan telah diperkenalkan, membutuhkan penyertaan “proses yang diperlukan [untuk pemeliharaan dan peningkatan SMKI] dan interaksinya, sesuai dengan persyaratan dokumen ini.” Penambahan ini memungkinkan penyelarasan dengan standar ISO lainnya seperti ISO 9001:2015 dan 22301:2019.
Klausul 5.3 “Peran, tanggung jawab, dan wewenang organisasi”
Sekarang diubah dan berbunyi “Manajemen puncak harus memastikan bahwa tanggung jawab dan wewenang untuk peran yang relevan dengan keamanan informasi ditetapkan dan dikomunikasikan dalam organisasi” menambah kejelasan terkait dengan siapa peran tersebut harus dikomunikasikan.
Klausul 6.1.3 “Perlakuan risiko keamanan informasi”
Pembaruan di Catatan 2 sekarang berbunyi “Lampiran A berisi daftar kemungkinan kontrol keamanan informasi.” daripada “daftar lengkap tujuan dan kontrol kontrol” yang asli. Ini menekankan fakta bahwa ada kontrol lain yang dapat dianggap sebagai bagian dari ISMS Anda.
Klausul 6.2 “Tujuan dan perencanaan keamanan informasi untuk mencapainya”
Penambahan butir (d) yang mensyaratkan tujuan untuk dipantau selama siklus hidup sertifikasi. Sebelumnya bukan persyaratan yang ditentukan dalam ISO 27001:2013 tetapi sekarang memastikan bahwa kemajuan terhadap tujuan, atau kekurangan, dipantau.
Klausul 6.3 “Perencanaan Perubahan”
Klausul yang sama sekali baru tetapi mencakup persyaratan kontrol Perubahan yang sudah ada sebelumnya, klausul ini diberi nama “Perencanaan Perubahan”. Memastikan bahwa ketika organisasi perlu melakukan perubahan pada sistem manajemen keamanan informasi, perubahan tersebut harus dilakukan secara terencana.
Klausul 7.4 “Komunikasi”
Amandemen tambahan dibuat yang mengarah pada penghapusan item (e), persyaratan untuk menyiapkan proses komunikasi, yang menunjukkan bahwa cara komunikasi dilakukan memiliki dampak yang kecil pada cara penerimaannya.
Klausul 8.1 “Perencanaan dan pengendalian operasional”
Sekarang berbunyi “Organisasi harus memastikan bahwa proses, produk, atau layanan yang disediakan secara eksternal yang relevan dengan SMKI dikendalikan.” Kata-kata dari kontrol ini sekarang memberikan lebih banyak kejelasan untuk menerapkan ISMS dibandingkan dengan aslinya “Organisasi harus memastikan bahwa proses outsourcing ditentukan dan dikendalikan.” Selain itu, persyaratan untuk mengimplementasikan rencana untuk mencapai tujuan telah dihapus karena tercakup dalam Klausul 6.2.
Klausul 9.1 “Pemantauan, analisis pengukuran dan evaluasi”
Penambahan catatan dari standar yang ada “Metode yang dipilih harus menghasilkan hasil yang sebanding dan dapat direproduksi untuk dianggap valid” ke bagian utama teks memberikan kejelasan yang sangat dibutuhkan mengenai apa yang dapat dianggap sebagai hasil yang “valid” di mata standar.
Klausul 9.3 ”Tinjauan Manajemen”
Restrukturisasi klausul berarti sekarang ada tiga sub-klausul.
Penambahan butir (c) pada 9.3.2 Masukan tinjauan manajemen yang sekarang mencakup “perubahan dan kebutuhan serta harapan pihak berkepentingan yang relevan dengan sistem manajemen keamanan informasi.”
Klausul 10 “Peningkatan”
Urutan klausul ini dibalik sehingga 10.1 sekarang menjadi Perbaikan berkelanjutan dan 10.2 sekarang menjadi Ketidaksesuaian dan tindakan korektif.
Secara keseluruhan, versi baru ISO 27001 ini memberikan kejelasan lebih lanjut dalam Klausul 4-10 dengan membuat amandemen kecil serta mempertimbangkan persyaratan keamanan dunia maya saat ini seperti intelijen ancaman. Standar juga bekerja untuk mengatasi duplikasi dengan menggabungkan sejumlah kontrol untuk menyederhanakan proses penerapan dan pemeliharaan SMKI.
Kapan organisasi harus beralih ke set kontrol baru?
Sekarang setelah standar baru diterbitkan, diharapkan ada masa transisi sekitar 3 tahun untuk memungkinkan perubahan diterapkan. Tidak hanya itu, lembaga sertifikasi juga memerlukan waktu untuk menginterpretasikan dan mengadopsi standar baru dan perubahan yang dibawa oleh set kontrol baru. Ini berarti bahwa badan sertifikasi kemungkinan tidak akan menawarkan penilaian terhadap standar yang diperbarui untuk jangka waktu 3-6 bulan sejak tanggal penerbitannya.
Apa artinya jika organisasi Anda saat ini bekerja menuju ISO 27001?
Jika saat ini Anda sedang mengupayakan sertifikasi, Anda tidak perlu mengubah pendekatan Anda. Kami tidak mengantisipasi bahwa banyak perubahan teknis akan diperlukan.
Kami mengantisipasi sebagian besar perubahan akan melibatkan:
- Melakukan analisis kesenjangan ISMS Anda yang ada terhadap rangkaian kontrol baru
- Memperbarui proses penanganan risiko, agar selaras dengan kontrol baru.
- Memperbarui Pernyataan Penerapan.
- Mengubah beberapa bagian dari kebijakan dan prosedur yang ada untuk merujuk kontrol baru atau yang diubah
Haruskah kita menunggu hingga Badan Sertifikasi siap menilai terhadap ISO 27001:2022 untuk sertifikasi?
Tidak perlu menunggu badan sertifikasi untuk dapat menilai standar ISO 27001 yang diperbarui untuk memulai perjalanan ISO 27001 Anda. Anda mungkin dapat mengadaptasi dokumentasi Anda yang ada sesuai dengan amandemen selama penerapan Anda seandainya lembaga sertifikasi dapat menilai Anda berdasarkan persyaratan baru sebelum Anda menyelesaikan sertifikasi.