ISO 27001:2022 rencananya akan diterbitkan pada akhir tahun 2022 ini. Nantinya versi terbaru ini akan menggantikan versi sebelumnya yang telah diterbitkan sejak tahun 2013. Apa dan Bagaimana perbedaannya versi yang baru dengan yang lama ? Haruskah organisasi menunda memulai proyek implementasi dan sertifikasi ISO 27001 hingga standar baru diterbitkan?
Apa yang berubah pada ISO 27001 versi 2022 dibandingkan dengan edisi 2013?
Perubahan utama pada ISO 27001 : 2022 adalah pembaruan Lampiran A untuk mencerminkan ISO 27002:2022.
ISO 27001 telah diperbarui pada Februari 2022, ISO 27002 adalah Standar untuk Pengendalian Keamanan Informasi, dan menyediakan kumpulan referensi pengendalian keamanan informasi umum termasuk panduan implementasi.
Perubahan tersebut meliputi:
- Restrukturisasi kategori
- 11 pengendalian baru
- 24 pengendalian gabungan
- 58 pengendalian yang diperbarui
Tetapi organisasi yang menerapkan ISO 27001 tidak diwajibkan untuk menerapkan kontrol dalam Lampiran A persyaratannya hanyalah bahwa organisasi pelaksana memilih kontrol dari sumber apa pun yang dianggap tepat dan, untuk kelengkapan, memetakan kontrol tersebut ke Lampiran A dan memberikan pembenaran untuk menghilangkan kontrol yang tidak diterapkan.
Ini berarti bahwa sebuah organisasi dapat melanjutkan dan menerapkan sistem manajemen yang dapat disertifikasi ISO 27001:2013, dan dapat melakukan transisi ke ISO/IEC 27001:2022 dan batas waktu transisi sampai akhir 2025.
Kategori pengendalian baru telah dikonsolidasikan dari 14 menjadi 4.
- Orang (people) (8 pengendalian) – jika menyangkut orang individu, seperti kerja jarak jauh, penyaringan, kerahasiaan, atau perjanjian kerahasiaan.
- Organisasi (organizational) (37 pengendalian) – jika menyangkut organisasi, seperti kebijakan untuk informasi, pengembalian aset, keamanan informasi untuk penggunaan layanan cloud.
- Teknologi (technological) (34 pengendalian) – jika menyangkut teknologi, seperti otentikasi yang aman, penghapusan informasi, pencegahan kebocoran data, atau pengembangan yang dialihdayakan.
- Fisik (physical) (14 pengendalian) – jika menyangkut objek fisik, seperti media penyimpanan, pemeliharaan peralatan, pemantauan keamanan fisik, atau pengamanan kantor, ruangan, dan fasilitas.
Sementara jumlah total pengendalian yang baru telah dikurangi dari 114 menjadi 93, ada 11 pengendalian baru termasuk:
- Threat intelligence
- Information Security for use of Cloud Services
- ICT Readiness for Business Continuity
- Physical Security Monitoring
- Monitoring Activities
- Web filtering
- Secure coding
- Configuration Management
- Information Deletion
- Data Masking
- Data Leakage Prevention
Meskipun tanggal terbit pastinya belum dikomunikasikan dan akan tergantung pada hasil proses pemungutan suara FDIS, kami tahu bahwa Dokumen Wajib (MD) telah dikomunikasikan sementara itu.
Sesuai dengan Formulir Akreditasi Internasional (IAF), MD ini menguraikan persyaratan transisi untuk bermigrasi dari ISO/IEC 27001:2013 ke ISO/IEC 27001:2022 (setelah diterbitkan) baik untuk badan akreditasi (AB) dan badan sertifikasi terakreditasi (juga disebut sebagai badan penilaian kesesuaian, atau CAB).
Tersedia untuk umum di situs web IAF sebagai IAF MD 26:2022 “Persyaratan Transisi untuk ISO/IEC 27001:2022,” MD ini memberikan beberapa petunjuk tentang apa yang diharapkan dari standar baru, setiap kali turun:
MSECB dapat membantu perusahaan anda untuk melakukan sertifikasi dan training ISO 27001:2022. untuk mendapatkan informasi lebih lanjut silahkan mengirimkan email ke info@msecb-apac.com