Yang berbeda dari ISO 27001:2013 vs ISO 27001:2022

iso 27001, sertifikat iso 27001, klausul iso 27001, iso 27001 adalah, konsultan iso 27001, cara mendapatkan sertifikat iso 27001.

ISO 27001

ISO 27001 adalah Standar internasional untuk Sistem Manajemen Kemananan Informasi (SMKI) yang diterbitkan oleh International Organization for Standardization (ISO). Setelah 9 tahun sejak versi 2013 diterbitkan, akhirnya pada 25 oktober 2022 telah digantikan oleh ISO 27001 versi 2022.

Berikut beberapa perubahan utama dalam versi ISO 27001:2022:

1. Perubahan pada klausul ISO 27001.
2. Adanya perubahan dalam pengendalian keamanan Lampiran A.
3. Pengurangan jumlah pengendalian.
4. Kategori pengendalian dikonsolidasikan.
5. Munculnya pengendalian baru.

Perbedaan ISO 27001:2013 dan ISO 27001:2022

Perbandingan

ISO 27001 adalah salah satu standar yang telah mengalami revisi sebelumnya. Secara keseluruhan, jika dibandingkan dengan revisi tahun 2013, perubahan pada revisi ISO 27001:2022 tergolong kecil hingga sedang. Bagian utama dari standar tetap dengan 11 klausul, dan perubahan di bagian standar ini tergolong kecil.

Sekilas, Lampiran A banyak mengalami  perubahan, seperti jumlah kontrol yang berkurang dari 114 menjadi 93, dan disusun menjadi 4 kategori dari yang sebelumnya 14 kategori pada revisi 2013. Namun jika dilihat kembali perubahan pada Lampiran A hanya bersifat moderat.

Perbandingan ISO 27001:2013 dan ISO 27001:2022.

Perubahan pengendalian keamanan pada Annex A.

1. 11 jenis pengendalian baru.
2. 35 pengendalian tidak mengalami perubahan
3. 23 jenis pengendalian yang berganti nama
4. 57 pengendalian mengalami penggabungan menjadi 24 pengendalian.
5. 1 jenis pengendalian dibagi 2

Daftar pengendalian baru ISO 27001:2022.

1. Threat Intelligence (A.5.7)
2. ICT readiness for business continuity (A.5.30)
3. Information security for cloud services (A.5.23)
4. Physical security monitoring (A.7.4)
5. Configuration management (A.8.9)
6. Information deletion (A.8.10)
7. Data masking (A.8.11)
8. Data leakage prevention (A.8.12)
9. Monitoring activities (A.8.16)
10. Web filtering (A.8.23)
11. Secure coding (A.8.28)

 Pengendalian yang dibagi 2.

18.2.3 Technical Compliance Review menjadi:

1. 8.8 – Management of technical vulnerabilities
2. 5.3.6 – Conformity with policies and standards of information security.

 Kategori pengendalian yang telah dikonsolidasikan, yaitu:

• Orang (people) (8 pengendalian) – Bagian 5
• Perusahaan (organizational) (37 pengendalian) – Bagian 6
• Teknologi (technological) (34 pengendalian) – Bagian 7
• Fisik (physical) (14 pengendalian) – Bagian 8

Perubahan pada Sistem Manajemen

Perubahan pada klausul ISO 27001 yang wajib, 4 sampai 10 mengalami hanya sedikit perubahan. Terutama untuk menyelaraskan dengan ISO 9001, ISO 14001, dan standar manajemen ISO lainnya, beserta Lampiran SL.

Berikut ikhtisar singkat tentang perubahan dalam standard ISO 27001:2022.

1. Klausul 4.2 (Understanding the needs and expectations of interested parties – memahami kebutuhan dan harapan pihak yang berkepentingan), item (c). Penambahan mengenai analisis tentang persyaratan pihak berkepentingan mana yang harus ditangani melalui SMKI.
2. Pada Klausul 4.4 (Information security management system – sistem manajemen keamanan informasi). Ditambahkan terkait perencanaan untuk proses dan interaksinya sebagai bagian dari SMKI.
3. Untuk Klausul 5.3 (Organizational roles, responsibilities and authorities – Peran, tanggung jawab, dan wewenang organisasi). Penambahannya terdapat pada frasa untuk menjelaskan bahwa komunikasi peran dilakukan secara internal di dalam organisasi.
4. Klausul 6.2 (Information security objectives and planning to achieve them – Tujuan keamanan informasi dan perencanaan untuk mencapainya), item (d). Penambahan dilakukan terkait tujuan yang perlu dipantau.
5. Pada Klausul 6.3 (Planning of changes – Perencanaan perubahan). Ditambahkan, mensyaratkan bahwa setiap perubahan SMKI perlu dilakukan secara terencana.
6. Untuk klausul 7.4 (Communication – Komunikasi), item (e) telah dihapus, yang memerlukan pengaturan proses komunikasi.
7. Klausul 8.1 (Operational planning and control – Perencanaan dan pengendalian operasional), persyaratan baru ditambahkan untuk menetapkan kriteria proses keamanan. Selain itu, untuk mengimplementasikan proses sesuai dengan kriteria tersebut. Dalam klausul yang sama, persyaratan implementasi rencana untuk mencapai tujuan telah dihapus.
8. Dalam klausul 9.3 (Management review – Tinjauan manajemen), item baru 9.3.2 c) ditambahkan. Item tersebut digunakan untuk mengklarifikasi bahwa masukan dari pihak yang berkepentingan harus mengenai kebutuhan dan harapan mereka. Selain itu harus relevan dengan SMKI.
9. Pada klausul 10 (Improvement – Peningkatan), subklausul telah berpindah tempat, maka yang pertama adalah Perbaikan berkelanjutan (10.1). Yang kedua adalah Ketidaksesuaian dan tindakan korektif (10.2), sedangkan konten dari klausul tersebut tidak berubah.

Transisi ISO 27001

Menurut dokumen “Persyaratan transisi untuk ISO/IEC 27001:2022” dari Forum Akreditasi Internasional, perusahaan yang sudah tersertifikasi ISO 27001:2013 harus menyelesaikan transisi ke ISO 27001:2022 sebelum 31 Oktober 2025.

Sedangkan bagi Badan sertifikasi harus mulai mensertifikasi perusahaan dengan standard ISO 27001:2022 paling lambat 31 Oktober 2023. Namun, diperkirakan sebagian besar dari Badan Sertifikasi tersebut akan menggunakan revisi terbaru lebih cepat.

Jika Anda sudah mengimplementasikan ISO 27001:2013 dan ingin melakukan transisi ke ISO 27001:2022, segera konsultasikan kebutuhan anda dengan konsultan ISO 27001 kami. Era Konsultan siap membantu kebutuhan perusahaan anda untuk masa depan yang lebih baik.

Baca juga: Manfaat ISO 27001 serta 7 Perusahaan di Indonesia yang Mengimplementasikan dan Sertifikasi ISO 27001