Dengan diterbitkannya ISO/IEC 27002:2022 baru pada Februari 2022, ISO memulai siklus pembaruan standar keamanan informasi yang telah lama ditunggu-tunggu yang tercakup dalam rangkaian ISO 27000. Dalam artikel ini, kita akan melihat konsekuensi bagi komunitas profesional keamanan global yang mencoba menjaga lingkungan mereka seaman mungkin.
Revisi Baru ISO 27002 , Namun ceritanya sedikit lebih rumit dari sekadar memperbarui serangkaian standar keamanan informasi global. Sejak publikasi generasi sebelumnya pada tahun 2013, dunia keamanan informasi telah berubah secara drastis karena meningkatnya tekanan terhadap keamanan siber dan keamanan cloud.
GDPR tidak hanya mendorong ekspektasi perlindungan data di Eropa, tetapi banyak wilayah juga telah mengasimilasi aturan perlindungan data serupa.
Di era baru ini, tidak ada privasi atau perlindungan data tanpa keamanan siber. Dan sistem manajemen keamanan informasi (cyber) yang dibangun dengan baik – dalam format apa pun – merupakan persyaratan mutlak untuk melindungi diri Anda, organisasi Anda, dan rekan-rekan Anda. Ini bukan hanya tentang perlindungan Anda sendiri lagi.
Untuk memahami dampak pembaruan ISO/IEC 27002, izinkan kita mundur selangkah dulu.
ISO 27001 sebagai standar referensi untuk banyak pendekatan keamanan
Pertama-tama, harus dikatakan bahwa ISO/IEC 27001 (alias Sistem Manajemen Keamanan Informasi – ISMS) versi 2013 adalah standar master saat ini, meskipun telah diperbarui dengan 2 koreksi kecil pada tahun 2014 dan 2015, dikonsolidasikan pada versi 2017, tetapi ini adalah pembaruan kosmetik yang agak tidak penting.
Mengingat versi 2013, dibandingkan dengan keadaan teknologi saat ini hampir 10 tahun kemudian, cukup jelas bahwa standar perlu dirubah.
Dan biasanya standar ISO ditinjau setiap 5 tahun, oleh karena itu, dalam perspektif itu juga, sudah lama tertunda, yang menimbulkan banyak kritik dari lapangan.
Di sisi lain, topik, bagian, kontrol, dan ukuran dalam standar saat ini masih memiliki pendekatan umum yang kuat dan valid. Itu dapat dilengkapi dengan sempurna dengan kerangka kerja teknis lain yang lebih detail (seperti NIST, kontrol CIS, COBIT, CSA, dll.) dan praktik terbaik agar sesuai dengan persyaratan keamanan mutakhir saat ini.
Standar tersebut dibangun dari berbagai praktik keamanan global. Dan masih ada kesamaan yang merekatkan mereka.
Tujuan standar ini adalah untuk mendukung keamanan yang efektif, bukan hanya daftar periksa kepatuhan, seperti yang dipikirkan banyak orang.
Ingatlah bahwa ISO/IEC 27001 juga merupakan standar referensi global untuk banyak kerangka kerja turunan lainnya. Beberapa lebih ringan, sedangkan yang lain lebih fokus pada sektor tertentu atau menargetkan organisasi tertentu misalnya usaha kecil dan menengah atau bisnis (UKM/UKM).
Apa hubungan antara ISO27001 dan ISO 27002?
Anda mungkin berpikir pertanyaan itu retoris, atau sebaliknya Anda mungkin menemukan hubungannya jelas, padahal tidak.
Banyak yang berpikir bahwa ISO/IEC 27001 adalah standar utama dan bahwa ISO/IEC 27002 memberikan panduan tambahan yang mendalam untuk Lampiran ISO/IEC 27001, tetapi itu tidak benar.
Faktanya, hal pertama yang disebutkan dalam ISO/IEC 27001 Annex A (normatif) adalah: “Tujuan pengendalian dan pengendalian yang tercantum dalam Tabel A.1 diturunkan langsung dari dan diselaraskan dengan yang tercantum dalam ISO/IEC 27002:2013 [1], Klausul 5 sampai 18 dan harus digunakan dalam konteks dengan Klausul 6.1.3.”.
Artinya ISO/IEC 27002 adalah Code of Practice sebagai pedoman utama untuk persyaratan yang tercantum dalam ISO/IEC 27001, atau dikatakan berbeda, bahwa persyaratan dalam ISO/IEC 27001 adalah daftar kompak dari ISO/IEC 27002. Akibatnya, jika persyaratan SMKI harus diperbarui, pembaruan ISO/IEC 27002 didahulukan.
Perubahan paling menonjol pada ISO/IEC 27002 baru?
Sudah banyak posting, artikel, dan webinar tentang pembaruan ISO/IEC 27002, oleh karena itu, saya tidak ingin melebih-lebihkan. Tetapi berita terbaiknya adalah: ISO/IEC 27002:2022 berisi tabel pencocokan untuk menjelaskan kecocokan antara versi 2013 dan 2022, dan juga sebaliknya.
intinya, pembaruan terpenting adalah reorganisasi lengkap dari kategori utama kontrol. Tinjauan singkat: standar ISO/IEC 27002:2013 berisi 14 klausa kontrol keamanan, 35 subkategori dengan 114 kontrol. Versi 2022 berisi 4 klausa utama dengan 93 kontrol. Pada dasarnya, versi 2013 memiliki kontrol yang diatur pada fungsi operasional, versi 2022 didasarkan pada PPT (manusia, proses, dan teknologi).