Di sini, kami menjawab pertanyaan umum Anda tentang iterasi baru ISO 27002:2022.
Pada tanggal 15 Februari 2022, ISO merilis iterasi baru ISO 27002 – standar yang termasuk dalam keluarga ISO 27000 . ISO 27002 mendukung ISO 27001 yang lebih dikenal, yang merupakan standar internasional untuk sistem manajemen keamanan informasi (ISMS).
Versi revisi ISO 27001 diharapkan akan diterbitkan sekitar pertengahan tahun 2022 sejalan dengan pembaruan ISO 27002.
Di bawah ini, kami akan menjawab pertanyaan umum terkait iterasi baru ISO 27002 dan perubahan yang diharapkan ke ISO 27001.
Apa perbedaan antara ISO 27001 dan ISO 27002?
ISO 27001 adalah standar internasional untuk manajemen keamanan informasi yang disertifikasi oleh organisasi. ISO 27002 adalah standar pendukung yang memberikan panduan tentang bagaimana kontrol keamanan informasi dapat diterapkan. Ini tidak berubah dengan pembaruan. Ini masih akan menjadi kasus organisasi sertifikasi ISO 27001 dan menggunakan 27002 sebagai panduan pendukung. Sertifikasi hanya mungkin untuk standar ISO yang diakhiri dengan “1”.
Apa yang berbeda dalam iterasi baru ISO 27002?
ISO 27002:2013 menjelaskan 114 kontrol yang terbagi di antara 14 tujuan kontrol. Standar 2022 yang diperbarui sekarang menggunakan 93 kontrol, dibagi lebih sederhana menjadi 4 kategori:
- Bagian 5. Kontrol Organisasi (37 kontrol)
- Bagian 6. Kontrol Orang (8 kontrol)
- Bagian 7. Kontrol Fisik (14 Kontrol)
- Bagian 8. Kontrol Teknologi (34 Kontrol)
Meskipun jumlah keseluruhan kontrol telah menurun, penting untuk diperhatikan bahwa tidak ada kontrol ISO 27002:2013 yang dikecualikan atau dihapus. Alih-alih, kontrol yang sudah ada telah digabungkan, diganti namanya, atau dipecah menjadi kontrol baru:
- 57 kontrol ISO 27002:2013 kini telah digabungkan menjadi 24 kontrol
- 23 kontrol telah diganti namanya
- 1 kontrol telah dipecah menjadi 2 sub-kontrol
- 11 kontrol baru telah ditetapkan
Setiap kontrol dalam versi baru ISO 27002 juga memiliki dua elemen baru pada strukturnya; tabel atribut yang menyajikan sekumpulan atribut yang terkait dengan kontrol tersebut, dan tujuan atau alasan penerapan kontrol tersebut.
Atribut kontrol dimaksudkan untuk membantu memudahkan integrasi kontrol 27002 dengan kerangka kerja keamanan serupa lainnya. Atribut kontrol menjelaskan jenis kontrol, properti keamanan informasi, konsep keamanan dunia maya, kemampuan operasional, dan domain keamanan yang terkait dengan setiap kontrol.
Struktur ini dirancang untuk memudahkan mereka yang memilih atau menganalisis kumpulan kontrol untuk lebih memahami cara memilih dan membenarkan penggunaan kontrol. Elemen baru kedua menunjukkan tujuan dari setiap kontrol, dimaksudkan untuk membantu organisasi memahami alasan di balik setiap kontrol dan kecukupannya untuk menangani risiko tertentu.
Lampiran baru lainnya juga telah ditambahkan ke 27002:2022 – Lampiran B. Lampiran B memetakan kontrol di versi 2022 baru dengan kontrol dari iterasi 2013. Dengan mengurangi jumlah bagian, menambahkan lampiran untuk kompatibilitas mundur dan menyertakan matriks kontrol dan atribut, standar berharap penerapan kontrol akan lebih mudah dipahami dan diterapkan.
Apa yang akan tetap sama?
Penting untuk dicatat bahwa struktur dan klausul awal standar tidak diharapkan berubah:
- Klausul 4 – 10 diharapkan tetap sama
- 35 kontrol diharapkan tetap sama
- 27001 akan tetap menjadi standar utama, dengan 27002 memberikan panduan implementasi pendukung
Apa kontrol baru dalam ISO 27002?
Meskipun kontrol dalam ISO 27002:2022 umumnya telah dimodifikasi atau dikonsolidasikan – ada beberapa tambahan baru yang harus diperhatikan. Di antaranya adalah pengendalian yang meliputi hal-hal berikut:
- Intelijen ancaman
- Keamanan informasi untuk penggunaan layanan cloud
- Kesiapan TIK untuk kelangsungan bisnis
- Pemantauan keamanan fisik
- Manajemen konfigurasi
- Penghapusan informasi
- Penyamaran data
- pencegahan kebocoran data
- Kegiatan pemantauan
- Pemfilteran web
- Pengodean aman
Banyak kontrol ISO 27002:2022 mirip dengan versi 2013. Mereka hanya diganti namanya atau dikonsolidasikan, sehingga lebih sesuai dan relevan dengan dunia modern kita. Ambil contoh, kontrol ‘teleworking’ tahun 2013. Pada versi 2022, ini dinamai ‘kerja jarak jauh’.
Bagaimana ISO 27002:2022 yang baru akan memengaruhi ISO 27001?
Perubahan pada set kontrol yang telah diterbitkan dalam ISO 27002:2022 akan tercermin dalam Lampiran A ISO 27001:2022 pada saat diterbitkan. Ini berarti bahwa organisasi yang menerapkan ISO 27001 atau mengelola ISMS yang ada perlu mencerminkan perubahan pada set kontrol dalam kerangka manajemen mereka sendiri. Jangan khawatir – Anda tidak perlu langsung melakukan perubahan apa pun, karena akan ada periode transisi dari tanggal 27001:2022 dipublikasikan untuk menerapkan perubahan.
Kapan organisasi harus beralih ke set kontrol baru?
Saat ini, hanya ISO 27002:2022 yang telah diterbitkan, dengan ISO 27001:2022 diharapkan akhir tahun ini. Setelah standar baru diterbitkan, kami memperkirakan akan ada masa transisi sekitar 2 tahun untuk memungkinkan perubahan diterapkan. Kemungkinan juga lembaga sertifikasi akan membutuhkan waktu untuk menginterpretasikan dan mengadopsi standar baru dan perubahan pada perangkat kontrolnya, yang berarti bahwa banyak lembaga sertifikasi mungkin tidak menawarkan penilaian terhadap standar yang diperbarui untuk jangka waktu 3-6 bulan setelah standar diterbitkan.
Meskipun tanggal rilis standar baru belum dikonfirmasi, kami mengantisipasi garis waktu transisi seperti yang ditampilkan di bawah ini:
Berdasarkan pemahaman ini, kami menyarankan agar sertifikasi baru yang ditargetkan sebelum 31 Maret 2023 harus bertentangan dengan 114 kontrol saat ini (ISO 27001:2013).
Jika Anda berencana untuk melakukan sertifikasi setelah 1 April 2023 , gunakan rangkaian 93 kontrol baru (ISO 27001:2022).
Mereka yang memiliki sertifikasi yang ada dapat mempersiapkan dan menyesuaikan diri dengan standar baru setelah dirilis untuk memastikan mereka selaras dengan standar baru paling lambat 31 Maret 2023 .
Apa artinya ini jika bisnis saya sedang menuju ISO 27001?
Sampai standar ISO 27001 yang baru dirilis, dan badan sertifikasi mulai menawarkan penilaian terhadap set kontrol baru, penerapan ISO 27001 akan dilakukan dengan mempertimbangkan kontrol yang ada. Artinya, jika saat ini Anda sedang mengupayakan sertifikasi, Anda tidak perlu mengubah pendekatan Anda.
Selain itu, perubahan kontrol hanya moderat. Saat standar ISO 27001 yang baru dirilis, Anda mungkin hanya perlu melakukan perubahan pada dokumentasi. Kami tidak mengantisipasi bahwa banyak perubahan teknis akan diperlukan.
Bahkan jika standar ISO 27001 yang direvisi keluar di tengah proses implementasi Anda, Anda mungkin dapat mengadopsi persyaratan baru dan mengubah dokumen dan lokakarya yang sudah berlangsung.
Kami mengantisipasi perubahan ini sebagian besar akan melibatkan:
- Memperbarui proses penanganan risiko, agar selaras dengan kontrol baru.
- Memperbarui Pernyataan Penerapan.
- Mengubah beberapa bagian dari kebijakan dan prosedur yang ada untuk merujuk kontrol baru atau yang diubah
Selain itu, hingga standar ISO 27001 yang baru dirilis, Anda perlu memastikan Pernyataan Penerapan Anda tetap mengacu pada Lampiran A ISO 27001:2013. Hanya ketika ISO 27001 diperbarui dengan referensi ke ISO 27002:2022 kontrol baru harus digunakan.
Haruskah kita menunggu hingga standar ISO 27001 yang baru dirilis untuk sertifikasi?
Tidak perlu menunggu standar ISO 27001 yang diperbarui untuk memulai perjalanan ISO 27001 Anda. Sebagaimana disebutkan, jika memungkinkan, Anda mungkin dapat mengadaptasi dokumentasi yang ada sesuai dengan amandemen jika versi baru diterbitkan sebelum menyelesaikan sertifikasi.