Telah terbit standar terbaru standar internasional keamanan informasi ISO 27001:2022. Standar ISO 27001:2022 yang sekarang diberi judul: Information Security, Cybersecurity and Privacy Protection - Information security management systems - Requirements menggantikan standar keamanan informasi versi lama ISO 27001:2013.
Apa yang baru dalam standar ISO 27001:2022? Berikut rangkuman perubahannya.
- Klausul 4.4 Information Security Management system.
Pada persyaratan ini terdapat penambahan persyaratan yang menyatakan bahwa pengembangan sistem manajemen keamanan informasi adalah termasuk proses-proses yang diperlukan dan interaksi proses.
- Klausul 5.3 Organizational roles, responsibilities and authorities
Klausul 5.3 memuat persyaratan yang lebih tegas: tanggung jawab dan wewenang untuk peran terkait keamanan informasi wajib dikomunikasikan dalam organisasi
- Klausul 7.4 Communication
Persyaratan komunikasi mengatur tentang perlunya komunikasi internal dan eksternal terkait sistem manajemen keamanan informasi (SMKI). Persyararatan ini dalam ISO 27001:2022 dipermudah dan dibuat praktis dengan menghilangkan beberapa parameter.
Selain apa yang dikomunikasikan, kapan dikomunikasikan, dengan siapa dikomunikasikan, poin baru dalam komunikasi adalah bagaimana dikomunikasikan (how to communicate)
- Klausul 8.1 Operational Planning and Control
Persyaratan 8.1 dalam standar ISO 27001:2022 menggarisbawahi pentingnya beorientasi pada proses dalam implementasi sistem manajemen. Organisasi harus menerapkan proses perencanaan dan pengendalian proses untuk mengelola risiko keamanan informasi.
Yang baru dalam ISO 27001:2002 yaitu organisasi harus menetapkan kriteria proses dan menerapkan process control sesuai dengan kriteria yang telah ditetapkan.
- Klausul 9.2 Audit Internal dan 9.3 Management Review
Terdapat penyesuaian struktur dalam bab 9.2 Audit Internal dan 9.3 Management Review atau Tinjauan Manajemen.
Dalam standar keamanan informasi terbaru ISO 27001:2022 nomor klausul 9.2 Audit Internal dan 9.3 Management review bertambah yakni sebagai berikut:
Penambahan nomor klausul Audit Internal
9.2 Audit internal
9.1 General (Umum)
9.2.2 Internal audit programme
Isi persyaratan audit internal pada standar baru adalah sama dengan standar versi lama.
Penambahan nomor klausul Management review
9.3 Management review (Tinjauan Manajemen)
9.3.1 General
9.3.2 Management review inputs
9.3.3 Management review results
Isi persyaratan management review pada standar baru adalah sama dengan standar versi lama.
- Perubahan Annex (Information security Control)
Perubahan signifikan dalam standar
ISO 27001:2022 adalah perubahan
annex atau
information security control. Standar ISO 27001:2013 memuat 114 security controls atau kontrol informasi.
Sekarang ISO 27001:2022 memuat 93 security control yang terbagi menjadi 4 bagian:
A.5 Organizational Controls (Pengendalian organisasi), jumlah pengendalian = 37
A.6 People Controls (Pengendalian personil), jumlah pengendalian = 8
A.7 Physical controls (Pengendalian fisik), jumlah pengendalian = 14
A.8 Technological controls (pengendalian teknologi), Jumlah pengendalian = 34
Total pengendalian = 93
Dari 93 langkah pengendalian keamanan informasi ini (dahulu 114) terdapat 11 pengendalian baru yaitu:
A.5.7 Threat intelligence
A.5.23 Information security for cloud services
A.5.30 ICT readiness for business continuity
A.7.4 Physical security monitoring
A. 8.9 Configuration management
A.8.10 Data masking
A.8.12 Data leakage prevention
A.8.16 Monitoring activities
A.8.23 Web filtering
A.A.8.28 Secure coding
Simak terus di blog ini terkait update ISO 27001:2022
Sintegral Consultant, Jakarta
Baca juga
