Di era digital saat ini, informasi dan data menjadi fondasi utama dalam setiap proses bisnis. Tanpa pertukaran informasi yang lancar dan aman, operasional perusahaan bisa terganggu. 

Apalagi, dengan semakin berkembangnya ancaman siber, melindungi informasi menjadi prioritas utama bagi organisasi dari berbagai skala. Dari startup hingga perusahaan besar, keamanan informasi adalah kunci untuk menjaga kelangsungan bisnis.  

ISO/IEC 27001:2022 hadir untuk menjawab tantangan ini. Standar yang telah menjadi landasan sistem manajemen keamanan informasi (ISMS) selama lebih dari dua dekade ini mengalami pembaruan penting. Meski telah berusia, ISO 27001 tetap menjadi acuan utama dengan peningkatan sertifikasi sebesar 32% pada tahun 2021. 

Dengan meningkatnya permintaan akan framework keamanan informasi yang lebih modern, versi terbaru ISO/IEC 27001 akhirnya diterbitkan pada 25 Oktober 2022. Apa saja perubahan yang dibawanya?  

Baca juga : Apa Itu ISO 27001 dan Mengapa Perusahaan Anda Membutuhkannya?

Rangkuman Fitur-Fitur Baru ISO 27001:2022  

ISO 27001 merupakan standar yang menetapkan kerangka kerja ISMS untuk berbagai jenis organisasi. Fokus utama pembaruan ini adalah peningkatan dalam manajemen risiko. Ancaman siber terus berkembang, mengeksploitasi celah keamanan dalam sistem. Oleh karena itu, identifikasi dan mitigasi risiko menjadi semakin krusial.  

Pembaruan ISO/IEC 27001:2022 mengacu pada ISO/IEC 27002:2022, yang telah direvisi untuk memberikan panduan implementasi dengan struktur yang lebih sederhana dan kontrol keamanan yang lebih relevan dengan kebutuhan saat ini. Dengan hadirnya ISO/IEC 27001:2022, kombinasi ISO 27001 dan ISO 27002 tetap menjadi standar terbaik dalam praktik keamanan informasi.  

Salah satu perubahan signifikan adalah adopsi Struktur Harmonisasi (HS), yang menggantikan Struktur Tingkat Tinggi (HLS). Pendekatan ini menempatkan orientasi proses sebagai elemen utama dalam sistem manajemen keamanan informasi yang efektif. Hal ini memastikan bahwa setiap proses dalam organisasi memiliki struktur yang jelas dan dapat dikendalikan.  

Berikut tiga perubahan utama dalam ISO/IEC 27001:2022 yang perlu diperhatikan:  

1. Struktur Tingkat Tinggi Menjadi Struktur yang Diselaraskan

Sejak Mei 2021, HLS digantikan oleh HS sebagai standar dasar dalam pengembangan revisi sistem manajemen ISO. ISO/IEC 27001:2022 menjadi salah satu standar pertama yang mengadopsi HS, memberikan berbagai penyederhanaan dan perbaikan untuk meningkatkan efektivitas ISMS.  

Salah satu perubahan penting adalah Klausul 6.3, yang mewajibkan organisasi untuk mengimplementasikan perubahan dalam ISMS secara terencana. Ini berarti transisi dari ISO/IEC 27001:2013 ke ISO/IEC 27001:2022 harus dilakukan dengan strategi yang matang, mempertimbangkan semua dampak dan interaksinya dalam bisnis.  

2. Perubahan Normatif dalam ISO/IEC 27001:2022  

Ada beberapa perubahan signifikan dalam persyaratan ISO/IEC 27001:2022 yang memperkuat pendekatan berbasis proses, di antaranya:  

• Klausul 4.4 menambahkan persyaratan untuk mengidentifikasi proses yang diperlukan serta interaksi dalam ISMS, menyesuaikan dengan standar sistem manajemen lain.  
• Klausul 8.1 menegaskan pentingnya orientasi proses dalam perencanaan dan pengendalian operasional, termasuk kriteria proses yang harus didefinisikan dan dikontrol.  
• Klausul 5.3 menekankan bahwa tanggung jawab dan otoritas terkait keamanan informasi harus diketahui dalam organisasi.  
• Klausul 7.4 menyederhanakan aturan komunikasi internal dan eksternal terkait ISMS, termasuk bagaimana komunikasi dilakukan.  
• Klausul 9.2 (Audit Internal) dan 9.3 (Tinjauan Manajemen) mengalami restrukturisasi untuk mengikuti HS, dengan subdivisi baru yang lebih jelas.  
• Klausul 10.1 dan 10.2 mengalami perubahan urutan penyusunan untuk menekankan pentingnya perbaikan berkelanjutan sebelum penanganan ketidaksesuaian.  

Meskipun terdapat berbagai perubahan dalam struktur dan penyusunan klausa, persyaratan inti dalam ISO/IEC 27001 tetap tidak berubah. Misalnya, organisasi tetap harus membandingkan kontrol keamanan informasi yang mereka gunakan dengan daftar di Lampiran A, serta menyusun Statement of Applicability (SoA) sesuai dengan Klausul 6.1.3 c dan d.

Baca juga : Lead Implementer ISO 27001 Adalah: Tugas dan Tanggung Jawabnya 

Lampiran A Baru dari ISO/IEC 27001:2022

Dalam pembaruan ISO/IEC 27001:2022, daftar kontrol keamanan informasi dalam Lampiran A mengalami perubahan besar yang selaras dengan revisi ISO/IEC 27002:2022. Revisi ini telah diperkirakan sejak katalog kontrol keamanan umum diperbarui pada Februari 2022.  

Sebelumnya, Lampiran A mencakup 114 kontrol, yang tersebar dalam 14 klausul dengan 35 tujuan kontrol. Namun, dalam versi terbaru, tujuan kontrol dihapus, dan struktur kontrol keamanan informasi disederhanakan menjadi 4 kategori utama:  

1. A.5 Kendali Organisasi – 37 kontrol  
2. A.6 Kontrol Pribadi – 8 kontrol  
3. A.7 Kontrol Fisik – 14 kontrol  
4. A.8 Kontrol Teknis – 34 kontrol  

Dengan penyusunan ulang ini, jumlah total kontrol berkurang menjadi 93, namun diperbarui agar lebih relevan dengan ancaman keamanan informasi saat ini. Selain itu, terdapat 11 kontrol baru yang ditambahkan untuk menyesuaikan dengan kebutuhan bisnis modern.  

11 Kontrol Baru dalam Lampiran A ISO/IEC 27001:2022 

1. A.5.7 Intelijen Ancaman
   Mengelola ancaman siber dengan mengumpulkan, menganalisis, dan merespons informasi ancaman secara proaktif.  
2. A.5.23 Keamanan Informasi untuk Penggunaan Layanan Cloud
   Mengatur langkah-langkah keamanan dalam penggunaan layanan cloud untuk meminimalkan risiko.  
3. A.5.30 Kesiapan TIK untuk Kelangsungan Bisnis
   Menjamin kesiapan teknologi informasi dan komunikasi dalam mendukung operasional saat terjadi gangguan.  
4. A.7.4 Pemantauan Keamanan Fisik
   Mengimplementasikan pemantauan untuk mendeteksi akses fisik yang mencurigakan atau tidak sah.  
5. A.8.9 Manajemen Konfigurasi
   Mengontrol dan menjaga konfigurasi sistem agar tetap aman dari perubahan yang tidak diinginkan.  
6. A.8.10 Penghapusan Informasi
   Menetapkan prosedur penghapusan data yang aman untuk mencegah kebocoran informasi.  
7. A.8.11 Penyamaran Data
   Menggunakan teknik untuk menyamarkan data guna melindungi informasi sensitif dari akses yang tidak sah.  
8. A.8.12 Pencegahan Kebocoran Data
   Menerapkan langkah-langkah untuk menghindari kebocoran data baik dari dalam maupun luar organisasi.  
9. A.8.16 Pemantauan Aktivitas
   Mengawasi aktivitas pengguna dalam sistem untuk mendeteksi potensi ancaman keamanan.  
10. A.8.23 Penyaringan Web
    Mengontrol akses ke situs web yang berisiko untuk mencegah ancaman dari dunia maya.  
11. A.8.28 Pengkodean yang Aman
    Memastikan praktik pengkodean yang aman dalam pengembangan perangkat lunak untuk mengurangi risiko eksploitasi.  

Klasifikasi Kontrol dengan 5 Atribut Utama  

Berbeda dari versi sebelumnya, ISO/IEC 27001:2022 memperkenalkan lima atribut dalam Lampiran A untuk memudahkan organisasi dalam memahami dan mengimplementasikan kontrol keamanan:  

1. Control Type – Menjelaskan kapan dan bagaimana kontrol mempengaruhi risiko keamanan informasi.  
2. Information Security Properties – Menunjukkan tujuan perlindungan yang didukung oleh masing-masing kontrol.  
3. Cybersecurity Concepts – Memetakan kontrol terhadap kerangka kerja keamanan siber dalam ISO/IEC TS 27110.  
4. Operational Capability – Mengklasifikasikan kontrol berdasarkan fungsinya dalam operasi keamanan informasi.  
5. Security Domains – Mengelompokkan kontrol berdasarkan empat domain utama dalam keamanan informasi.  

Dengan adanya perubahan ini, ISO/IEC 27001:2022 tidak hanya menawarkan pendekatan yang lebih fleksibel, tetapi juga meningkatkan relevansi dan efektivitas sistem manajemen keamanan informasi bagi organisasi di berbagai sektor.

Arti Pembaruan Ini bagi Sertifikasi Anda  

Dengan diterbitkannya ISO/IEC 27001:2022 pada 25 Oktober 2022, organisasi yang telah tersertifikasi atau sedang dalam proses sertifikasi perlu memperhatikan jadwal transisi yang telah ditetapkan. Pembaruan ini membawa sejumlah perubahan dalam sistem manajemen keamanan informasi (ISMS) yang harus diadopsi dalam periode tertentu.  

Berikut adalah tenggat waktu penting yang harus diperhatikan oleh organisasi terkait transisi ke standar baru:  

1. Batas Waktu Audit Awal/Sertifikasi Ulang dengan ISO 27001:2013  

• Hingga 30 April 2024, audit awal dan sertifikasi ulang masih dapat dilakukan berdasarkan standar ISO 27001:2013 yang lama.  
• Setelah 30 April 2024, semua audit awal dan sertifikasi ulang hanya akan dilakukan berdasarkan ISO/IEC 27001:2022 yang baru.  

2. Masa Transisi ke ISO/IEC 27001:2022 

• Organisasi yang saat ini memiliki sertifikasi ISO/IEC 27001:2013 memiliki masa transisi selama 3 tahun, mulai dari 31 Oktober 2022 hingga 31 Oktober 2025.  
• Selama masa ini, organisasi perlu melakukan pembaruan sistem manajemen keamanan informasi mereka agar sesuai dengan persyaratan baru ISO/IEC 27001:2022.  

3. Batas Akhir Sertifikat ISO/IEC 27001:2013 

• Semua sertifikat yang diterbitkan berdasarkan ISO/IEC 27001:2013 atau DIN EN ISO/IEC 27001:2017 akan tetap berlaku hingga paling lambat 31 Oktober 2025.  
• Jika tidak diperbarui ke standar yang baru, maka sertifikat tersebut akan ditarik secara otomatis setelah tanggal tersebut.  

Langkah yang Perlu Dilakukan 

Untuk memastikan kepatuhan terhadap standar yang baru, organisasi disarankan untuk:  

• Melakukan peninjauan kesenjangan (gap analysis) terhadap sistem manajemen keamanan informasi yang saat ini diterapkan dengan persyaratan ISO/IEC 27001:2022.  
• Memutakhirkan kebijakan dan prosedur berdasarkan perubahan yang terdapat dalam standar baru.  
• Melatih tim internal agar memahami perubahan utama dalam ISO/IEC 27001:2022 dan bagaimana menerapkannya dalam operasional bisnis.  
• Menjadwalkan audit transisi sebelum tenggat waktu agar sertifikasi tetap valid.  

Dengan persiapan yang matang dan langkah transisi yang tepat, organisasi dapat memastikan kepatuhan terhadap standar baru serta meningkatkan efektivitas sistem manajemen keamanan informasi mereka.

Bagaimana Cara Perusahaan Anda Mendapatkan Sertifikasi ISO/IEC 27001?

Di era digital yang penuh dengan ancaman siber, sertifikasi ISO/IEC 27001 bukan lagi sekadar pilihan, melainkan kebutuhan bagi bisnis yang ingin melindungi data dan informasi sensitif. 

Standar terbaru ISO/IEC 27001:2022 memberikan pendekatan yang lebih sistematis dan mutakhir dalam mengelola risiko keamanan informasi, memastikan bahwa sistem Anda tetap tangguh terhadap ancaman yang terus berkembang. 

Dengan menerapkan standar ini, perusahaan dapat meningkatkan kepercayaan pelanggan, memperkuat kepatuhan terhadap regulasi, serta meminimalkan risiko kebocoran data yang dapat merugikan bisnis secara finansial dan reputasi.  

Jangan biarkan ancaman siber mengancam operasional bisnis Anda! ICICERT siap membantu Anda dalam proses sertifikasi ISO/IEC 27001 dengan layanan profesional yang memastikan kepatuhan penuh terhadap standar terbaru. 

Segera lindungi aset informasi Anda dan raih keunggulan kompetitif dengan sistem keamanan yang lebih kuat. Hubungi Admin ICICERT sekarang untuk konsultasi dan mulai proses sertifikasi Anda hari ini!  

Baca juga : 10 Manfaat Utama Mengadopsi ISO 27001:2022 untuk Keamanan Informasi Bisnis Anda

Kesimpulan  

Pembaruan ISO/IEC 27001:2022 membawa perubahan signifikan yang membantu organisasi dalam menghadapi tantangan keamanan informasi di era digital. Dengan pendekatan berbasis risiko yang lebih fleksibel serta kontrol keamanan yang diperbarui, standar ini memungkinkan perusahaan dari berbagai industri untuk membangun sistem manajemen keamanan informasi yang lebih efektif dan tangguh. Masa transisi yang telah ditetapkan memberikan kesempatan bagi organisasi untuk segera beradaptasi dan memastikan sistem keamanan mereka tetap relevan dengan perkembangan ancaman siber terbaru.  

Menerapkan standar ISO/IEC 27001 bukan hanya tentang kepatuhan, tetapi juga tentang membangun kepercayaan pelanggan, menjaga reputasi bisnis, dan memastikan kelangsungan operasional di tengah ancaman digital yang semakin kompleks. 

Jangan tunda lagi—pastikan bisnis Anda sudah siap menghadapi tantangan keamanan informasi dengan standar yang tepat. Hubungi ICICERT sekarang dan tingkatkan sistem keamanan informasi Anda sebelum tenggat waktu berakhir!  

FAQ (Pertanyaan yang Sering Diajukan)

1. Apa itu ISO/IEC 27001 dan mengapa penting bagi bisnis saya?
   ISO/IEC 27001 adalah standar internasional untuk sistem manajemen keamanan informasi (ISMS) yang membantu organisasi melindungi data dari ancaman siber dan memastikan kepatuhan terhadap regulasi keamanan.

2. Apa perbedaan utama antara ISO/IEC 27001:2013 dan ISO/IEC 27001:2022?
   Versi 2022 mencakup pembaruan dalam struktur, pendekatan berbasis risiko, dan kontrol keamanan yang lebih mutakhir untuk menghadapi ancaman siber terbaru.

3. Kapan batas akhir transisi ke ISO/IEC 27001:2022?
   Semua organisasi yang memiliki sertifikasi ISO/IEC 27001:2013 harus melakukan transisi ke versi terbaru sebelum 31 Oktober 2025.

4. Bagaimana cara mendapatkan sertifikasi ISO/IEC 27001?
   Prosesnya meliputi analisis kesenjangan, penerapan kontrol keamanan, audit internal, dan akhirnya sertifikasi oleh lembaga yang berwenang seperti ICICERT.  

5. Apa manfaat bisnis dari memiliki sertifikasi ISO/IEC 27001?
   Selain meningkatkan keamanan informasi, sertifikasi ini juga membangun kepercayaan pelanggan, meningkatkan kepatuhan terhadap regulasi, serta mengurangi risiko kebocoran data dan serangan siber.

6. Apakah perusahaan kecil juga perlu menerapkan ISO/IEC 27001?
   Ya, standar ini dapat diterapkan oleh organisasi dari berbagai ukuran, termasuk UKM, untuk memastikan perlindungan data dan kelangsungan bisnis mereka.