ISO 27001:2022 Apa Yang Baru?
- September 6, 2023
- Posted by: Equine Global
- Categories: Articles, IT Consulting
Pada bulan Oktober 2022 International Organization for Standardization atau (ISO) telah menerbitkan ISO 27001:2022 tentang Information security, cybersecurity and privacy protection, information security management system – requirement. Dengan terbitnya standar terbaru ini menyebabkan standar ISO 27001:2013 berubah statusnya menjadi “withdraw” atau ditarik.
Kemudian apa saja yang baru dari ISO 27001:2022?
-
- Penambahan klausul 6.3 Planning of changes dalam klausul ini menekankan kepada organisasi apabila melakukan perubahan terkait sistem manajemen keamanan informasi dilakukan dengan terencana.
- Perubahan Annex A ISO 27001 menjadi 4 Domain yang mencakup organization terdapat 37 kontrol diantaranya 3 kontrol baru, people terdapat 8 kontrol, physical terdapat 14 kontrol diantaranya 1 kontrol baru, dan technological terdapat 34 kontrol dan 7 kontrol baru dengan total 93 kontrol diantaranya terdapat 11 kontrol baru.
- Sebelas (11) kontrol baru diantaranya:
-
- A.5.7 Threat Intelligence mempersyaratkan pengendalian terhadap informasi terkait ancaman keamanan informasi harus dikumpulkan dan dianalisa untuk dibuat threat intelligence.
- A.5.23 Information Security For Use of Cloud Services mempersyaratkan pengendalian proses akuisisi, penggunaan dan pengakhiran penggunaan layanan cloud harus ditetapkan sesuai dengan persyaratan kebutuhan keamanan informasi organisasi.
- A.5.30 ICT Readiness for Business Continuity mempersyaratkan pengendalian terhadap kesiapan ICT harus direncanakan, diimplementasikan, diuji berdasarkan business continuity objective dan persyaratan keberlangsungan ICT.
- A.7.4 Physical Security Monitoring mempersyaratkan pengendalian tempat harus selalu dimonitor dari akses fisik yang tidak terotorisasi.
- A.8.9 Configuration management mempersyaratkan pengendalian konfigurasi, termasuk konfigurasi keamanan dari hardware, software, layanan dan jaringan harus dibuat, didokumentasikan, diimplementasikan, dipantau dan ditinjau.
- A.8.10 Information Deletion mempersyaratkan pengendalian informasi yang disimpan dalam sistem informasi, perangkat atau media penyimpanan lainnya harus dihapus setelah tidak dibutuhkan lagi.
- A.8.11 Data Masking mempersyaratkan pengendalian data masking harus digunakan sesuai dengan kebijakan kontrol akses, kebutuhan bisnis, dan mempertimbangkan peraturan perundang-undangan yang berlaku.
- A.8.12 Data Leakage Prevention mempersyaratkan pengendalian Tindakan pencegahan kebocoran data harus diterapkan pada sistem, jaringan, dan perangkat lain apa pun yang memproses, menyimpan, atau mengirimkan informasi sensitif.
- A.8.16 Monitoring Activities mempersyaratkan pengendalian Jaringan, sistem, dan aplikasi harus dipantau untuk perilaku anomali dan tindakan yang tepat diambil untuk mengevaluasi potensi insiden keamanan informasi.
- A.8.23 Web Filtering mempersyaratkan pengendalian Akses ke situs web eksternal harus dikelola untuk mengurangi paparan konten berbahaya.
- A.8.28 Secure Coding mempersyaratkan pengendalian Prinsip pengkodean yang aman harus diterapkan pada pengembangan perangkat lunak.
-
- Adanya Pembaruan terhadap beberapa klausul seperti:
-
- 4.2 Understanding the needs and expectations of interested parties
- 4.4 Information Security Management System
- 6.1.3 Information Security Risk Treatment
- 6.2 Information security objectives and planning to achieve them
- 7.4 Communication
- 8.1 Operational Planning and Control
- 9.2 Internal Audit
- 9.3 Management Review
-
- Adanya pertukaran klausul 10 pada ISO 27001:2022 menjadi 10.1 continual improvement dan 10.2 Nonconformity and corrective action
Terkait dengan perubahan tersebut berikut aktivitas yang perlu anda siapkan dalam pelaksanaan transisi dari ISO 27001:2013 ke ISO 27001:2022 adalah:
-
- Melakukan Analisa kesenjangan terhadap ISO 27001:2022 dan menyusun roadmap untuk pemenuhannya.
- Melakukan pembaruan dokumen kebijakan, prosedur dan form.
- Melakukan pembaruan dokumen statement of applicability sesuai dengan kontrol annex ISO 27001:2022.
- Melakukan pembaruan audit checklist menggunakan standar ISO 27001:2022.
Equine dapat membantu anda dalam mempersiapkan masa peralihan dari ISO 27001:2013 ke ISO 27001:2022 sampai mendampingi dalam proses sertifikasi. Dan apabila ada pertanyaan terkait layanan ISO 27001 silahkan hubungi kami pada contact@equine.co.id
Nama : Thoha Alhabsyi
Jabatan : Risk Consultant Manager