ISO 27001:2022 telah mengalami perubahan dari versi sebelumnya yang dirilis tahun 2013. Perubahan ini mencakup beberapa aspek, termasuk pembaruan kontrol dan akomodasi terhadap beberapa regulasi terbaru terkait keamanan informasi.
Dengan pembaruan ini, diharapkan berbagai organisasi dan perusahaan dapat mengevolusi sistem keamanan informasi mereka untuk menghadapi berbagai tantangan terbaru dalam dunia digital terkini. Itu sebabnya, sertifikat ini sangat penting untuk diperoleh.
Definisi dan Ruang Lingkup ISO 27001:2022 – Sistem Manajemen Keamanan Informasi
ISO 27001:2022, atau yang dikenal sebagai Sistem Manajemen Keamanan Informasi (Information Security Management System/ISMS), adalah standar internasional yang mengatur praktik keamanan informasi di berbagai organisasi.
Standar ini dikeluarkan oleh International Organization for Standardization (ISO) dan International Electrotechnical Commission (IEC). Jadi, ISO 27001 tahun 2022 ini berfungsi memberikan panduan dan kerangka kerja untuk mengelola risiko keamanan informasi.
Adapun ruang lingkupnya merangkum semua aspek yang terlibat dalam manajemen keamanan informasi. Ini mencakup identifikasi dan perlindungan terhadap informasi bersifat rahasia, integritas data, dan ketersediaan layanan yang terkait dengan informasi tersebut.
Selain itu, ISO 27001 tahun 2022 juga menekankan pentingnya penetapan kebijakan keamanan informasi yang mencakup tanggung jawab, kepemimpinan, dan dukungan dari pihak-pihak terkait. Secara lebih rinci, ISO 27001:2022 mengharuskan manajemen untuk:
- Mengkaji risiko keamanan informasi organisasi, mempertimbangkan ancaman, kerentanan, dan dampak secara sistematis.
- Merancang dan mengimplementasikan rangkaian kontrol keamanan informasi yang koheren dan komprehensif dan/atau bentuk lain dari penanganan risiko (seperti menghindari risiko atau mentransfer risiko) untuk mengatasi risiko-risiko yang dianggap tidak dapat diterima.
- Mengadopsi proses manajemen menyeluruh untuk memastikan bahwa kontrol keamanan informasi dapat terus memenuhi kebutuhan keamanan informasi organisasi secara berkelanjutan.
Adapun terkait bagian kontrol mana yang akan diuji sebagai bagian dari sertifikasi ISO/IEC 27001, hal tersebut tergantung pada auditor sertifikasi.
Manfaat Implementasi ISO 27001:2022
Sebagian besar organisasi atau perusahaan tentunya sudah memiliki sejumlah kontrol keamanan informasi. Namun, tanpa adanya Sistem Manajemen Keamanan Informasi (ISMS), kontrol tersebut bisa menjadi tidak teratur dan kurang efisien.
Untuk itu, dibutuhkan standar ISMS global seperti 27001:2022. Manfaat dari penerapan ISO 27001 sangat beragam, termasuk pengelolaan risiko yang efektif, kepatuhan terhadap peraturan dan persyaratan hukum, dan masih banyak lagi. Berikut rincian lengkapnya:
- Pengelolaan Risiko dan Ancaman Keamanan Informasi
Manfaat pertama, ISO 27001 memungkinkan perusahaan mengidentifikasi dan mengelola risiko keamanan informasi secara sistematis dan terstruktur.
Melalui penilaian risiko komprehensif, organisasi dapat mengidentifikasi risiko ancaman potensial, menganalisis dampaknya, serta mengimplementasikan kontrol keamanan yang sesuai.
Hal ini karena ISO 27001:2022 memberikan kerangka kerja yang komprehensif untuk mengidentifikasi dan menangani risiko keamanan informasi yang dapat merugikan perusahaan Anda.
Implementasi kontrol keamanan ini dapat mencakup pengamanan fisik, manajemen akses, hingga pengelolaan enkripsi. Dengan menerapkan langkah-langkah ini, risiko hilangnya atau kerusakan pada informasi dapat dikurangi secara signifikan.
Selain itu, ISO 27001:2022 juga memungkinkan Anda untuk menyesuaikan langkah-langkah keamanan dengan perkembangan teknologi terkini, sehingga organisasi atau perusahaan tetap up-to-date dalam menghadapi ancaman keamanan.
- Peningkatan Kepercayaan dan Reputasi
Selanjutnya, sertifikasi ISO 27001 menjadi bukti bahwa organisasi atau perusahaan Anda sudah menerapkan praktik keamanan informasi yang kuat.
Hal ini dapat membantu meningkatkan kepercayaan pelanggan, klien atau mitra bisnis, serta pihak terkait lainnya terhadap kemampuan organisasi/perusahaan dalam melindungi informasi yang diserahkan.
- Pemenuhan Persyaratan Hukum dan Regulasi
Manfaat kedua yang perlu diperhatikan adalah untuk membantu perusahaan dalam memenuhi persyaratan hukum dan regulasi terkait keamanan informasi.
Di era di mana privasi data dan perlindungan informasi pribadi menjadi perhatian utama, ISO 27001:2022 memberikan kerangka kerja yang kokoh untuk mencapai dan mempertahankan kepatuhan hukum.
Sebab dalam beberapa peraturan, ada persyaratan yang ketat terkait dengan cara perusahaan menangani dan melindungi informasi sensitif, termasuk GDPR (General Data Protection Regulation) dan undang-undang lain yang terkait.
Untuk itu, ISO 27001 tahun 2022 berperan penting dalam memberikan panduan yang jelas tentang langkah-langkah yang harus diambil untuk memastikan kepatuhan, termasuk kebijakan keamanan informasi, manajemen risiko, dan audit internal.
- Peningkatan Efisiensi Operasional dan Produktivitas
Manfaat selanjutnya dari ISO 27001:2022 adalah peningkatan efisiensi operasional dan produktivitas. Dengan memiliki sistem manajemen keamanan informasi yang terstruktur, perusahaan dapat mengoptimalkan proses bisnisnya.
Sebab, standar ini dapat memberikan panduan yang jelas tentang cara mengelola informasi secara efisien, mengidentifikasi risiko potensial, dan mengatasi tantangan keamanan lainnya.
Jadi, ISO 27001 terbaru dapat mendorong perusahaan untuk melakukan evaluasi menyeluruh terhadap proses bisnisnya serta mengidentifikasi area yang memerlukan perbaikan dan evaluasi.
- Peningkatan Daya Saing, Termasuk di Pasar Global
Terakhir, ISO 27001:2022 tidak hanya relevan untuk keamanan informasi di tingkat lokal saja, tetapi juga membantu perusahaan Anda bersaing di pasar yang lebih luas.
Di tengah globalisasi bisnis, perusahaan sering kali berurusan dengan mitra dan pelanggan internasional. Sertifikasi ini bisa menjadi sinyal positif bahwa perusahaan Anda telah memenuhi standar keamanan informasi yang diakui secara global
Perbandingan dengan Versi Sebelumnya
Penting untuk dicatat bahwa ISO 27001 versi 2022 mengalami beberapa perubahan dari versi sebelumnya, mencakup judul lengkap yang mencerminkan fokus pada Information Security, Cybersecurity, dan Privacy Protection. Untuk memahami lebih lanjut, ini perbandingannya:
- Struktur dan Isi
Perbedaan pertama adalah dari segi restrukturisasi kategori. Struktur pada ISO 27001:2013 terdiri dari 10 bagian utama, termasuk Pendahuluan, Lingkup, Referensi Normatif, Istilah dan Definisi, Sistem Manajemen Keamanan Informasi, dan lainnya.
Sementara itu, struktur versi terbaru pada ISO 27001:2022 mencakup 13 bagian, dengan penambahan bagian mengenai Keamanan Informasi, Keamanan Siber, dan Perlindungan Privasi.
Penambahan ini menunjukkan adanya evolusi keamanan informasi untuk mencakup berbagai tantangan baru dalam dunia siber dan privasi data.
- Pembaruan Lampiran (Annex) A
Annex A pada versi sebelumnya mencakup 114 kontrol keamanan yang dapat diadopsi oleh organisasi atau perusahaan.
Sedangkan Annex A pada versi 2022 yang terbaru ini sudah disesuaikan dengan ISO/IEC 27002:2022 yang menggambarkan praktik dan kontrol keamanan informasi
- Jumlah Kontrol Keamanan
Perbedaan selanjutnya adalah dari segi kontrol keamanan. Versi 2013 memiliki total 114 kontrol keamanan informasi.
Di sisi lain, ISO 27001:2022 mengalami penyesuaian dengan 93 kontrol, termasuk 11 kontrol keamanan baru, 24 penggabungan kontrol, dan 58 kontrol keamanan yang diperbarui.
Penurunan jumlah kontrol sekaligus penambahan kontrol baru ini menunjukkan adanya fokus pada keamanan informasi yang lebih efisien dan relevan dibanding versi sebelumnya.
- Proteksi Privasi
Kemudian, pada versi 2012 sebelumnya tidak secara eksplisit mencakup aspek Perlindungan Privasi. Sedangkan pada ISO 27001:2022 secara khusus sudah menyertakan Perlindungan Privasi atau Privacy Protection.
Perubahan ini mencerminkan respon terhadap ketentuan hukum yang berkembang terkait dengan perlindungan data pribadi, seperti Undang-undang Nomor 27 Tahun 2022 tentang Perlindungan Data Pribadi.
- Kategori Pengendalian Baru
Perubahan selanjutnya adalah dari segi kategori pengendalian baru yang sudah dikonsolidasikan dari yang awalnya 14 menjadi hanya 4, yaitu mencakup:
-
- Orang (people) sebanyak 8 pengendalian yang menyangkut orang atau individu untuk konteks kerja jarak jauh, perjanjian kerahasiaan, dan lain-lain.
- Organisasi (organizational) sebanyak 37 pengendalian) yang menyangkut kebijakan untuk organisasi. Contohnya seperti pengembalian aset, keamanan informasi untuk layanan cloud.
- Teknologi (technological) sebanyak 34 pengendalian yang menyangkut teknologi. Contohnya seperti autentikasi yang aman, pencegahan kebocoran data, penghapusan informasi, dan lainnya.
- Fisik (physical) sebanyak 14 pengendalian) yang menyangkut objek fisik terkait. Contohnya seperti media penyimpanan, pemeliharaan alat, pemantauan keamanan fisik, pengamanan kantor, fasilitas, dan sejenisnya.
Sertifikasi & Syarat Mendapatkannya
Standar terbaru ini menetapkan bahwa organisasi disarankan untuk beralih ke ISO 27001:2022 dalam waktu tiga tahun setelah publikasi, dengan batas waktu paling lambat Oktober 2025.
Ketentuan ini memberikan orientasi waktu yang lebih jelas bagi organisasi untuk mengadopsi versi terbaru. Anda bisa mendapatkannya dari lembaga sertifikasi yang telah terakreditasi di seluruh dunia.
Proses implementasinya sendiri melibatkan beberapa langkah kunci. Namun secara umum, proses sertifikasi ini melibatkan proses audit eksternal tiga tahap yang ditentukan oleh standar ISO/IEC 17021 dan ISO/IEC 27006, yaitu sebagai berikut:
- Tahap 1
Tahap ini merupakan tinjauan awal terhadap ISMS. Ini mencakup pemeriksaan keberadaan dan kelengkapan dokumen kunci.
Di antaranya seperti kebijakan keamanan informasi organisasi, Pernyataan Relevansi atau Statement of Applicability (SoA), dan Rencana Penanganan Risiko atau Risk Treatment Plan (RTP).
Pada tahap pertama ini, pihak auditor akan melakukan pertemuan singkat dengan beberapa karyawan untuk meninjau apakah pengetahuan mereka tentang persyaratan standar berada pada tingkat yang dapat diterima.
Kemudian, mereka akan memutuskan apakah organisasi sudah siap untuk tahap 2. Mereka juga akan membahas masalah atau situasi khusus sebelum audit tahap 2 dan menentukan rencana auditnya, termasuk subjek dan pihak yang dibutuhkan.
- Tahap 2
Tahap ini merupakan audit kepatuhan yang lebih rinci dan formal, bertujuan menguji ISMS secara independen terhadap persyaratan yang ditentukan dalam ISO 27001:2022.
Pada tahap kedua ini, pihak auditor akan mencari bukti untuk mengonfirmasi bahwa sistem manajemen telah dirancang dan diimplementasikan dengan baik, dan benar-benar beroperasi.
Contohnya yaitu dengan mengonfirmasi bahwa komite keamanan atau badan manajemen serupa bertemu secara rutin untuk mengawasi ISMS.
Audit sertifikasi ini umumnya dilakukan oleh Auditor Utama ISO/IEC 27001. Jika sudah lulus tahap ini, maka perusahaan atau organisasi Anda sudah bisa memperoleh ISMS yang bersertifikat sesuai dengan ISO 27001:2022 terbaru.
- Tahap On-Going (Lanjutan)
Tahap terakhir ini bersifat on-going atau kontinyu, dan melibatkan tinjauan atau audit lanjutan untuk mengkonfirmasi bahwa organisasi tetap mematuhi standar yang ditetapkan.
Sebagai proses pemeliharaan sertifikasi, tahap ini memerlukan audit re-assessment secara periodik atau berkala untuk mengkonfirmasi bahwa ISMS di suatu organisasi atau perusahaan terus beroperasi seperti yang ditentukan.
Sebaiknya, tahap ini dilakukan setidaknya setiap setahun sekali. Tetapi dapat dilakukan lebih sering tergantung kesepakatan dengan pihak manajemen, terutama jika sistem ISMS di suatu organisasi atau perusahaan masih berkembang.
Dokumen standar resmi ISO/IEC 27001:2022 terbagi menjadi beberapa bagian yang disebut klausa, dan lampiran yang disebut annex. Klausa-klausa penting yang perlu Anda ketahui terkait persyaratan standar ini terletak pada klausa 4-10 dan Annex A.
Klausa 4-10 mencantumkan setiap persyaratan yang harus dipenuhi oleh sistem manajemen keamanan informasi (ISMS) sebelum dapat mendapatkan sertifikasi ISO 27001.
Lalu, apa saja syarat untuk mendapatkan sertifikasinya? Sebagaimana tercantum pada persyaratan inti di klausa 4-10 ISO 27001:2022, detailnya mencakup poin-poin berikut:
- Klausa 4: Konteks Organisasi
Maksudnya, ISMS harus mendokumentasikan hal-hal yang terkait dengan tujuan utamanya. Contoh, mengapa aset informasi berada di bawah tanggung jawab perusahaan Anda, dan untuk keperluan apa aset tersebut digunakan?
Seorang auditor hanya dapat membuat penilaian yang akurat terhadap efektivitas ISMS setelah memahami tujuan-tujuannya.
Sebagai contoh, perusahaan yang mengelola nama pelanggan dalam daftar tamu mereka akan memerlukan ISMS yang berbeda dengan jenis perusahaan yang bertugas mengumpulkan nomor keamanan sosial untuk layanan pajak.
Untuk memenuhi persyaratan Klausa 4, pastikan untuk mendokumentasikan aktivitas dan tujuan organisasi Anda, apa yang pelanggan butuhkan, dan apa saja cakupan dari ISMS Anda.
- Klausa 5: Kepemimpinan
Agar ISMS atau sistem manajemen keamanan informasi bisa dijalankan dengan efektif, dukungan penuh dari manajemen senior adalah suatu keharusan.
Karena itu, Auditor ISO 27001:2022 perlu mengetahui aspek kepemimpinan dari perusahaan atau organisasi Anda.
Jika manajer tidak dapat terlibat secara langsung, maka pemimpin yang ditugaskan secara khusus harus dapat memantau, menguji, dan meningkatkan proses keamanan informasi.
- Klausa 6: Perencanaan
Klausa 6 membahas manajemen risiko. Karena itu, pada bagian dokumentasi harus menunjukkan:
-
- Bagaimana Anda mengidentifikasi dan menganalisis setiap risiko keamanan informasi.
- Proses pemilihan cara untuk merespon setiap risiko.
- Bagaimana penghindaran risiko, toleransi, dan mitigasi diterapkan oleh tim Anda.
Selain mitigasi risiko, klausa 6 ISO 27001:2022 juga membahas salah satu persyaratan penting, yaitu menetapkan tujuan untuk ISMS Anda dan merencanakan langkah-langkah untuk mencapainya.
- Klausa 7: Dukungan
Agar dapat mencapai tingkat kompleksitas yang diharapkan oleh ISO 27001, diperlukan dukungan yang signifikan. Untuk itu, klausa 7 melibatkan pembuatan rencana untuk memastikan sumber daya dukungan selalu tersedia.
Setiap kali organisasi atau perusahaan Anda berurusan dengan data pelanggan, seseorang harus siap membantu dan memahami bagaimana ISMS beroperasi dalam konteks yang sesuai.
- Klausa 8: Operasi
Jika klausa 6 membahas penilaian dan analisis risiko, maka klausa 8 membahas bagaimana penilaian risiko tersebut diimplementasikan.
Jadi, tahap dokumentasi pada klausa 8 akan membantu menyatukan elemen-elemen yang dijelaskan dalam Klausa 6 dan 7 menjadi rencana penerapan sistem manajemen yang koheren dari awal hingga akhir.
- Klausa 9: Evaluasi Kinerja
Dua klausa terakhir yaitu 9 dan 10 merupakan dua komponen yang tidak bisa dipisahkan. Bagian ini meminta untuk mendokumentasikan bagaimana Anda berencana untuk terus meningkatkan ISMS di organisasi Anda.
Secara lebih spesifik, klausa 9 menangani terkait pemantauan. Untuk memulai, Anda perlu mendokumentasikan bagaimana Anda mengukur efektivitas ISMS Anda dan bagaimana mengetahui apakah Anda mendapatkan hasil yang dapat diandalkan.
Proses seperti uji penetrasi umumnya diterapkan di tahap ini. Anda juga tetap memerlukan rencana audit internal untuk memastikan pematuhan ISO 27001 setelah audit sertifikasi selesai.
- Klausa 10: Peningkatan Berkelanjutan
Aspek terakhir yang berkaitan dengan syarat sertifikasi ISO 27001:2022 adalah klausa 10. Untuk bisa mengatasi risiko dengan efektif, Anda perlu rencana yang konsisten dan peningkatan berkelanjutan.
Misalnya, setelah berhasil menyelesaikan suatu masalah sistem keamanan, bagaimana cara Anda memperkuat sistem agar hal serupa tidak terjadi lagi? Sebab, sebuah ISMS yang dapat disertifikasi harus tetap tumbuh dan berkembang secara konstan.