ISO 27001:2022 Apa Yang Baru?

Pada bulan Oktober 2022 International Organization for Standardization atau (ISO) telah menerbitkan ISO 27001:2022 tentang Information security, cybersecurity and privacy protection, information security management system – requirement. Dengan terbitnya standar terbaru ini menyebabkan standar ISO 27001:2013 berubah statusnya menjadi “withdraw” atau ditarik.

Kemudian apa saja yang baru dari ISO 27001:2022?

 

    1. Penambahan klausul 6.3 Planning of changes dalam klausul ini menekankan kepada organisasi apabila melakukan perubahan terkait sistem manajemen keamanan informasi dilakukan dengan terencana.
    2. Perubahan Annex A ISO 27001 menjadi 4 Domain yang mencakup organization terdapat 37 kontrol diantaranya 3 kontrol baru, people terdapat 8 kontrol, physical terdapat 14 kontrol diantaranya 1 kontrol baru, dan technological terdapat 34 kontrol dan 7 kontrol baru dengan total 93 kontrol diantaranya terdapat 11 kontrol baru.
    3. Sebelas (11) kontrol baru diantaranya:
        • A.5.7 Threat Intelligence mempersyaratkan pengendalian terhadap informasi terkait ancaman keamanan informasi harus dikumpulkan dan dianalisa untuk dibuat threat intelligence.
        • A.5.23 Information Security For Use of Cloud Services mempersyaratkan pengendalian proses akuisisi, penggunaan dan pengakhiran penggunaan layanan cloud harus ditetapkan sesuai dengan persyaratan kebutuhan keamanan informasi organisasi.
        • A.5.30 ICT Readiness for Business Continuity mempersyaratkan pengendalian terhadap kesiapan ICT harus direncanakan, diimplementasikan, diuji berdasarkan business continuity objective dan persyaratan keberlangsungan ICT.
        • A.7.4 Physical Security Monitoring mempersyaratkan pengendalian tempat harus selalu dimonitor dari akses fisik yang tidak terotorisasi.
        • A.8.9 Configuration management mempersyaratkan pengendalian konfigurasi, termasuk konfigurasi keamanan dari hardware, software, layanan dan jaringan harus dibuat, didokumentasikan, diimplementasikan, dipantau dan ditinjau.
        • A.8.10 Information Deletion mempersyaratkan pengendalian informasi yang disimpan dalam sistem informasi, perangkat atau media penyimpanan lainnya harus dihapus setelah tidak dibutuhkan lagi.
        • A.8.11 Data Masking mempersyaratkan pengendalian data masking harus digunakan sesuai dengan kebijakan kontrol akses, kebutuhan bisnis, dan mempertimbangkan peraturan perundang-undangan yang berlaku.
        • A.8.12 Data Leakage Prevention mempersyaratkan pengendalian Tindakan pencegahan kebocoran data harus diterapkan pada sistem, jaringan, dan perangkat lain apa pun yang memproses, menyimpan, atau mengirimkan informasi sensitif.
        • A.8.16 Monitoring Activities mempersyaratkan pengendalian Jaringan, sistem, dan aplikasi harus dipantau untuk perilaku anomali dan tindakan yang tepat diambil untuk mengevaluasi potensi insiden keamanan informasi.
        • A.8.23 Web Filtering mempersyaratkan pengendalian Akses ke situs web eksternal harus dikelola untuk mengurangi paparan konten berbahaya.
        • A.8.28 Secure Coding mempersyaratkan pengendalian Prinsip pengkodean yang aman harus diterapkan pada pengembangan perangkat lunak.
    4. Adanya Pembaruan terhadap beberapa klausul seperti:
        • 4.2 Understanding the needs and expectations of interested parties
        • 4.4 Information Security Management System
        • 6.1.3 Information Security Risk Treatment
        • 6.2 Information security objectives and planning to achieve them
        • 7.4 Communication
        • 8.1 Operational Planning and Control
        • 9.2 Internal Audit
        • 9.3 Management Review
    5. Adanya pertukaran klausul 10 pada ISO 27001:2022 menjadi 10.1 continual improvement dan 10.2 Nonconformity and corrective action

Terkait dengan perubahan tersebut berikut aktivitas yang perlu anda siapkan dalam pelaksanaan transisi dari ISO 27001:2013 ke ISO 27001:2022 adalah:

 

    1. Melakukan Analisa kesenjangan terhadap ISO 27001:2022 dan menyusun roadmap untuk pemenuhannya.
    2. Melakukan pembaruan dokumen kebijakan, prosedur dan form.
    3. Melakukan pembaruan dokumen statement of applicability sesuai dengan kontrol annex ISO 27001:2022.
    4. Melakukan pembaruan audit checklist menggunakan standar ISO 27001:2022.

Equine dapat membantu anda dalam mempersiapkan masa peralihan dari ISO 27001:2013 ke ISO 27001:2022 sampai mendampingi dalam proses sertifikasi. Dan apabila ada pertanyaan terkait layanan ISO 27001 silahkan hubungi kami pada contact@equine.co.id

 

Nama : Thoha Alhabsyi

Jabatan : Risk Consultant Manager

 

Open chat
Hello! Can we help you? :)

Please fill in your full name and office email address so we can answer your queries accordingly.