Langsung ke konten utama

Apa sich yang baru dari ISO 27001:2022?

Saya sudah lama berkecimpung di bidang keamanan informasi. Alhamdulillah minggu lalu di hari kamis tanggal 26 Januari 2023 mendapatkan update ilmu dari Pak Chandra Yulistia atas undangan dari BSN (Badan Standardisasi Nasional) yaitu Refreshment bagi para Asesor KAN terkait Lembaga Sertifikasi SNI ISO 27001. Disini saya ingin berbagi beberapa poin penting perbedaannya. ISO 27001: 2013 terdiri atas 141 kontrol, sedangkan ISO 27001: 2022 yang menjadi 93 security control yang terbagi atas 4 bagian yaitu sebagai berikut:

  • A.5 Organizational Controls (Pengendalian organisasi), jumlah pengendalian = 37
  • A.6 People Controls (Pengendalian personil), jumlah pengendalian = 8
  • A.7 Physical controls (Pengendalian fisik), jumlah pengendalian = 14
  • A.8 Technological controls (pengendalian teknologi), Jumlah pengendalian = 34

Total pengendalian = 93 

Sistem Manajemen Keamanan Informasi (SMKI) standar ISO 27001 resmi dirilis pada 25 Oktober 2022. Pada update terbaru ini terdapat sedikit perubahan pada ISO 27001 (requirements) dan perubahan yang cukup signifikan pada Annex A Control yang diterapkan. Perubahan pertama yang dapat kita lihat adalah pada nama standar yang digunakan, pada ISO 27001:2013 menggunakan “Information Technology – Security Techniques – Information Security Management Systems” sementara pada ISO 27002:2022 menggunakan “Information Security, Cybersecurity and Privacy Protection – Information Security Management Systems”. Berdasarkan penggantian tersebut dapat dipastikan bahwa standar yang baru ini lebih berfokus pada poin security-nya dan sudah memasukkan keamanan siber dan proteksi privasi atau pelindungan data pribadi.

Secara detail perubahan-perubahan pada ISO 27001:2022 pada poin annex atau lampiran yang dilakukan meliputi: 

A. Restrukturisasi Kategori dimana dilakukan perubahan terkait:

  • 11 pengendalian baru
  • 24 pengendalian gabungan
  • 58 pembaruan pada pengendalian

B. Perubahan pada ISO 27001:2022

Restrukturisasi kategori yang dilakukan pada ISO 27001:2022 adalah perubahan dari total 14 kategori menjadi 4 kategori saja. Beberapa kontrol dari 14 kategori tersebut dikelompok-kelompokkan kembali menjadi 4 kategori dan 4 kategori tersebut adalah:

Annex 5 : Organization Controls

Kategori ini membahas mengenai kontrol-kontrol terkait organisasi meliputi penentuan kebijakan keamanan informasi, penyimpanan dari asset-asset yang dimiliki, klasifikasi informasi, pembuatan NDA untuk pihak eksternal.

Annex 6 : People Controls

Kategori ini membahas mengenai kontrol-kontrol terkait dengan manusia/SDM meliputi kegiatan screening awal saat perekrutan, tindakan disiplin apabila ditemukan adanya pelanggaran terkait keamanan informasi, pemberian NDA untuk karyawan dan pengendalian terkait remote working.

Annex 7 :  Physical Controls

Kategori ini membahas mengenai kontrol-kontrol fisik pada area ataupun equipment-equipment yang dimiliki termasuk pembatasan area dan keamanan informasi terkait media penyimpanan, supporting utilities, dan pembuangan storage.

Annex 8 : Technological Controls

Kategori ini membahas mengenai kontrol-kontrol terkait dengan teknologi yang digunakan mulai dari pengamanan data menggunakan backup, pembatasan akses pada source code, clock synchronization, dan penggunaan cryptography. 

C. Pada 4 kategori kontrol tersebut, juga terdapat penambahan 11 kontrol baru yaitu :

  1. Threat Intelligence
  2. Physical Security Monitoring
  3. Data Masking
  4. Information Security for Cloud Services
  5. Monitoring Activities
  6. ICT Readiness for Business Continuity
  7. Data Leakage Prevention
  8. Configuration Management
  9. Web Filtering
  10. Information Deletion
  11. Secure Coding

Apa saja yang harus dilakukan oleh perusahaan yang ingin melakukan sertifikasi ISO 27001 di tahun ini berikut ini beberapa tips yang dapat dilakukan adalah:

  • Identifikasi perbedaan implementasi dengan melakukan Gap Analysis

Beberapa perubahan persyaratan dan kontrol pada standar baru pastinya akan membuat perbedaan terhadap implementasi lama yang perusahaan terapkan dengan persyaratan baru. Jadi perlu kembali untuk melakukan gap analysis agar mengetahui persyaratan atau kontrol baru apa yang berbeda dengan implementasi yang sekarang sedang dijalankan.

  • Meningkatkan kompetensi dan keahlian dari SDM perusahaan

Dengan adanya perubahan maka perusahaan perlu meningkatkan kembali terkait dengan pemahaman SDM akan persyaratan baru di standar ISO 27001:2022. Peningkatan kompetensi SDM juga akan mendukung implementasi dari Sistem Manajemen Keamanan Informasi perusahaan. Peningkatan kompetensi dapat melalui training ISO 27001:2022 pada lembaga pelatihan yang terpercaya.

  • Memperbarui Statement of Applicability (SoA)

SoA yang sudah pernah dibuat dapat diperbarui kembali karena adanya perubahan signifikan dari kontrol-kontrol ISO 27001:2022. Untuk kontrol-kontrol baru silahkan untuk dimulai persiapan dan implementasinya sebagai bentuk pengaplikasian di sistem perusahaan. Setelah mengetahui perubahan-perubahan yang terjadi pada ISO 27001:2022 maka perusahaan dapat mempersiapkan untuk melakukan transisi. Dalam proses transisi ini, perusahaan dapat dibantu oleh konsultan ISO agar transisi berjalan baik dan implementasi sesuai dengan persyaratan-persyaratan baru yang berlaku.



Komentar

Posting Komentar

Postingan populer dari blog ini

Penyelenggaraan Agen Elektronik

Pada hari Jumat tanggal 23 Agustus, telah dilakukan pembahasan tentang RPM tata cara pendaftaran penyelenggaraan agen elektronik, RPM ini merupakan turunan dari PP PSTE Nomor 82 Tahun 2012. Untuk memahami lebih lanjut, terlebih dahulu kita musti kenal apa itu agen elektronik. Berdasarkan aturan tersebut, agen elektronik adalah perangkat dari suatu sistem elektronik yang dibuat untuk melakukan suatu tindakan terhadap suatu informasi elektronik tertentu secara otomatis yang diselenggarakan oleh orang. Sedangkan definisi penyelenggara agen elektronik adalah setiap orang, penyelenggara negara, dan badan usaha, yang menyediakan, mengelola, dan/atau mengoperasikan agen elektronik untuk dimanfaatkan oleh pengguna jasa. Jenis agen elektronik antara lain: mesin ATM, EDC ( electrical data capture) seperti kartu gesek, tempel, NFC, mesin dan sistem barcode recognition yang kesemuanya menjalankan fungsi otomatisasi dari sebuah sistem elektronik. Ruang lingkup agen elektronik yang diatur ada...
Posting Komentar
Baca selengkapnya

Yuk Pelajari Analis Kebijakan Muda

Hari ini saya ingin membahas tentang Apa itu JFT Analis Kebijakan dan bagaimana juknisnya. Saya adalah salah satu dari ratusan ASN di Kementerian Kominfo yang dulunya struktural berubah menjadi fungsional. Hal ini tentu saja membuat kami rada bingung dalam menyusun telaahan staf, policy brief, policy paper, Karya Tulis Ilmiah, dan berbagai produk analis kebijakan. Saya rasanya sudah banyak mengikuti beberapa bimtek baik di you tubenya LAN sebagai instansi pembina maupun pelatihan dari internal organisasi. Namun, memang seorang analis kebijakan semakin paham dalam menyusun  analisis terhadap kebijakan apabila sudah mencoba menulis (learning by doing) lalu kita pun harus lebih rajin untuk menyimpan bukti administrasinya. Ada beberapa peraturan yang kudu dibaca dan dipahami oleh JFT Analis Kebijakan yaitu PermenpanRB Nomor 45 Tahun 2013 tentang JF Anjak Peraturan Kepala LAN Nomor 14 Tahun 2016 tentang Petunjuk Teknis  Penilaian Kualitas Hasil Kegiatan Analis Kebijakan Peraturan K...
Posting Komentar
Baca selengkapnya

Kesiapan Industri e-Business menuju IPV6

Seiring dengan pertumbuhan industri Internet di Indonesia, baik disadari maupun tidak, kebutuhan akan alamat Internet Protocol (IP) juga akan meningkat. Operator Internet membutuhkan alamat IP untuk mengembangkan layanannya hingga ke pelosok negeri. Jaringan Internet di Indonesia berikut perangkat-perangkat pendukungnya hingga di tingkat end user masih menggunakan IPv4. Kenyataan yang dihadapi dunia sekarang adalah menipisnya persediaan alamat IPv4 yang dapat dialokasikan. Jumlah alamat yang dapat didukung oleh IPv4 adalah 2 32 bits, sedangkan data terakhir pada waktu penulisan dokumen ini tersisa 7% saja di tingkat Internet Assigned Numbers Authority, organisasi yang mengelola sumberdaya protokol Internet dunia. Negara-negara lain sudah menyadari situasi ini sejak awal dekade dan telah memilih untuk beralih ke protokol IPv6. Teknologi IPv6 adalah protokol untuk next generation Internet. IPv6 didesain sedemikian rupa untuk jauh melampaui kemampuan IPv4 yang umum digunakan...
Posting Komentar
Baca selengkapnya