Perubahan Baru ISO/IEC 27001:2022

* Terbit pada: 15/02/2023

Ketika dunia global sedang menghadapi tantangan keamanan baru yang semakin berkembang, standar ISO/IEC 27001 yang bertujuan untuk melindungi kerahasiaan dan ketersediaan, serta integritas aset informasi organisasi telah diperbarui supaya lebih relevan dengan keaadaan saat ini.

ISO/IEC 27001:2022 telah diterbitkan pada tanggal 25 Oktober 2022, beberapa pembaruan utama ISO/IEC 27001:2022 mencakup perubahan besar pada “Annex A”, pembaruan minor pada klausul, dan perubahan judul dari standar. Serta versi terbaru ISO/IEC 27002 telah diterbitkan pada awal tahun 2022, dan perubahan terbarunya juga berdampak pada ISO/IEC 27001.

ISO/IEC 27001:2022 Information Security, Cybersecurity and Privacy Protection

Berbeda dengan ISO/IEC 27001:2013, judul lengkap versi 2022 ini adalah ISO/IEC 27001:2022 Information Security, Cybersecurity and Privacy Protection. Bagian yang mengalami perubahan paling signifikan adalah Annex A ISO/IEC 27001 yang selaras dengan pembaruan ISO/IEC 27002:2022.

Sedangkan untuk bagian lainnya, pasal 4 sampai dengan 10 telah mengalami beberapa perubahan kecil, terutama pada pasal 4.2, 6.2, 6.3, dan 8.1 yang ditambahkan konten baru. Pembaruan lainnya termasuk perubahan kecil dalam terminologi dan restrukturisasi kalimat dan klausa. Namun, judul dan urutan klausul tetap sama:

• - Klausul 1 Ruang lingkup
• - Klausul 2 Referensi normatif
• - Klausul 3 Istilah dan definisi
• - Klausul 4 Konteks organisasi
• - Klausul 6 Perencanaan
• - Klausul 7 Dukungan
• - Klausul 8 Operasi
• - Klausul 9 Evaluasi kinerja
• - Klausul 10 Perbaikan

Perubahan kontrol dalam Annex A

Annex A dari ISO/IEC 27001:2022 berisi perubahan pada keduanya, jumlah kontrol, dan daftarnya dalam grup. Judul Lampiran juga telah berubah dari “tujuan dan kontrol-kontrol referensi” menjadi “referensi kontrol keamanan informasi”. Oleh karena itu, tujuan referensi dari setiap kelompok-kontrol yang ada di versi standar sebelumnya, sekarang telah dihapus.

Jumlah kontrol Annex A telah berkurang dari 114 menjadi 93. Penurunan jumlah kontrol sebagian besar berasal dari penggabungan banyak kontrol. 35 kontrol tetap sama, 23 kontrol diganti namanya, 57 kontrol digabungkan menjadi 24 kontrol, dan 1 kontrol telah dibagi menjadi 2 kontrol. 93 kontrol telah direstrukturisasi menjadi empat group kontrol.

• A.5 Kontrol organisasi - berisi 37 kontrol
• A.6 Kontrol orang - berisi 8 kontrol
• A.7 Kontrol fisik - berisi 14 kontrol
• A.8 Kontrol teknologi - berisi 34 kontrol

ISO/IEC 27001:2022 juga telah menambahkan 11 kontrol baru yang disebutkan di bawah ke Annex A:

1. Intelijen ancaman
2. Keamanan informasi untuk penggunaan layanan cloud
3. Kesiapan TIK untuk kelangsungan bisnis
4. Pemantauan keamanan fisik
5. Manajemen konfigurasi
6. Penghapusan informasi
7. Penyamaran data
8. pencegahan kebocoran data
9. Kegiatan pemantauan
10. Pemfilteran web
11. Pengodean aman

Perbedaan ISO/IEC 27001 dan ISO/IEC 27002

ISO/IEC 27001 dan ISO/IEC 27002 keduanya terkait dengan keamanan TI dan sistem manajemen keamanan informasi, oleh karena itu keduanya terkesan sangat mirip, namun tidak sama.

ISO/IEC 27001 adalah standar sistem manajemen keamanan informasi yang menyediakan daftar persyaratan kepatuhan yang dapat disertifikasi oleh organisasi dan profesional. Standar ISO ini membantu organisasi membangun, menerapkan, memelihara, dan meningkatkan sistem manajemen keamanan informasi (ISMS).

Standar ini diperkenalkan pada awal tahun 90-an dengan nama ISO/IEC 17799. Pada tahun 2005, standar ini direvisi dan diterbitkan dengan nama baru ISO/IEC 27001. Untuk mengikuti perkembangan teknologi dan lebih relevan terhadap ancaman keamanan terbaru, ISO/IEC 27001 direvisi dan diterbitkan pada tahun 2013. Pada tahun 2019, standar mengalami revisi lagi, tetapi versi yang sama tetap berlaku hingga sekarang.

Standar lain, juga bagian dari keluarga standar ISMS ISO/IEC 27000, terkait erat dengan ISO/IEC 27001, adalah ISO/IEC 27002. Standar ini digunakan untuk menyesuaikan sistem manajemen keamanan informasi dengan konteks khusus organisasi dengan memberikan panduan untuk memilih dan menerapkan kontrol keamanan informasi yang tepat yang tercantum dalam Annex A ISO/IEC 27001. Selanjutnya, ISO/IEC 27002 menawarkan informasi yang jauh lebih rinci dan menyeluruh mengenai kontrol ini.