ISO 27001:2013 Direvisi, Apa yang Berubah?

ISO 27001:2013 VS ISO 27001:2022

Setelah sembilan tahun, ISO 27001, standar keamanan informasi terkemuka di dunia, telah diperbarui – pada 25 Oktober 2022, ISO/IEC 27001:2022 yang baru diterbitkan. Meskipun revisi ini hanya membawa perubahan moderat, penting untuk mempelajarinya dengan cermat – mari kita lihat semua perubahan dan lihat bagaimana revisi 2022 ini dibandingkan dengan revisi lama ISO 27001 tahun 2013.

Perubahan utama dalam revisi ISO 27001 2022:

  • Bagian utama dari ISO 27001, yaitu klausa 4 sampai 10, hanya mengalami sedikit perubahan.
  • Perubahan dalam kontrol keamanan Lampiran A sedang.
  • Jumlah kontrol berkurang dari 114 menjadi 93.
  • Kontrol ditempatkan menjadi 4 bagian, bukan 14 sebelumnya.
  • Ada 11 kontrol baru, sementara tidak ada kontrol yang dihapus, dan banyak kontrol yang digabungkan.

Versi pertama ISO 27001 diterbitkan pada tahun 1999 dengan nama BS 7799-2, dan telah melalui beberapa perubahan sejak saat itu.

Perbandingan

Secara keseluruhan, jika dibandingkan dengan revisi 2013, perubahan pada revisi ISO 27001:2022 tergolong kecil hingga sedang. Bagian utama dari standar tetap dengan 11 klausul.

Teks klausul wajib 4 hingga 10 hanya sedikit berubah, terutama untuk menyelaraskan dengan ISO 9001, ISO 14001, dan standar manajemen ISO lainnya, dan dengan Lampiran SL.

Berikut gambaran singkat tentang perubahan ISO 27001:2022:

  • Dalam klausa 4.2 (Memahami kebutuhan dan harapan pihak yang berkepentingan), butir (c) ditambahkan yang memerlukan analisis persyaratan pihak berkepentingan mana yang harus ditangani melalui SMKI.
  • Dalam klausa 4.4 (Sistem manajemen keamanan informasi), sebuah frase ditambahkan yang membutuhkan perencanaan untuk proses dan interaksinya sebagai bagian dari SMKI.
  • Dalam klausa 5.3 (Peran, tanggung jawab, dan wewenang organisasi), frasa ditambahkan untuk memperjelas bahwa komunikasi peran dilakukan secara internal di dalam organisasi.
  • Dalam pasal 6.2 (Tujuan keamanan informasi dan perencanaan untuk mencapainya), item (d) ditambahkan yang memerlukan tujuan untuk dipantau.
  • Klausul 6.3 (Perencanaan perubahan) ditambahkan, yang mensyaratkan bahwa setiap perubahan SMKI perlu dilakukan secara terencana.
  • Dalam klausa 7.4 (Komunikasi), item (e) dihapus, yang memerlukan pengaturan proses untuk komunikasi.
  • Dalam klausul 8.1 (Perencanaan dan pengendalian operasional), persyaratan baru ditambahkan untuk menetapkan kriteria untuk proses keamanan, dan untuk mengimplementasikan proses sesuai dengan kriteria tersebut. Dalam klausa yang sama, persyaratan untuk mengimplementasikan rencana untuk mencapai tujuan telah dihapus.
  • Dalam klausul 9.3 (Tinjauan Manajemen), item baru 9.3.2 c) ditambahkan yang menjelaskan bahwa masukan dari pihak yang berkepentingan perlu tentang kebutuhan dan harapan mereka, dan relevan dengan SMKI.
  • Pada klausa 10 (Improvement), subklausa telah berubah tempat, jadi yang pertama adalah Continual improvement (10.1), dan yang kedua adalah Nonconformity and corrective action (10.2), sedangkan teks dari klausa tersebut tidak berubah.

 

Baca juga : Apakah ISO 27001 Bagus untuk Karir Kamu?

 

Perubahan dalam Kontrol

Ada 11 kontrol baru, yang diperlukan karena tren di bidang TI dan keamanan – Anda dapat melihat detailnya di sini: Penjelasan rinci tentang 11 kontrol keamanan baru dalam ISO 27001:2022.

Tip: kamu dapat menggunakan Alat Konversi ISO 27001:2013 ke ISO 27001:2022 ini untuk mengetahui bagaimana kontrol dari peta standar revisi lama dengan yang baru.

Periode transisi

Menurut dokumen “Persyaratan transisi untuk ISO/IEC 27001:2022” dari Forum Akreditasi Internasional, bagi perusahaan yang telah tersertifikasi ISO 27001:2013, transisi ke ISO 27001:2022 harus diselesaikan paling lambat 31 Oktober 2025.

Badan sertifikasi harus mulai mensertifikasi perusahaan terhadap ISO 27001:2022 paling lambat 31 Oktober 2023, tetapi diyakini sebagian besar dari mereka akan memulai dengan revisi baru ini lebih cepat.

Tip: Jika Anda telah menerapkan standar revisi 2013 yang lama, dan ingin melakukan transisi ke ISO 27001 revisi 2022, jadwalkan konsultasi gratis dengan pakar ISO 27001 kami yaitu Qyusi Global Indonesia

Berapa banyak yang berubah?

Untuk meringkas, perubahan di bagian utama dari standar hanya kecil dan dapat dilakukan dengan cepat, dengan hanya sedikit perubahan dalam dokumentasi dan proses. Perubahan dalam kontrol Lampiran A bersifat moderat dan sebagian besar dapat ditangani dengan menambahkan kontrol baru ke dokumentasi yang ada.

Setelah sembilan (lama) tahun menunggu revisi baru ini, beberapa profesional keamanan mengharapkan perubahan yang lebih luas, tapi saya percaya bahwa perusahaan yang sudah disertifikasi terhadap revisi 2013 akan lega bahwa pekerjaan yang harus dilakukan tidak begitu besar setelah semua.

 

Qyusi Global Indonesia merupakan perusahaan yang bergerak dibidang konsultasi ISO, SMK3 dan Kontraktor.

Selain itu Qyusi Global Indonesia juga bergerak dibidang Man Power Supply