Revisi ISO 27002 - Perubahannya

• ISO 27002 dan ISO 27001
• Struktur baru dan topik baru
• Tindakan keamanan baru
• Atribut dan nilai atribut
• Perubahan 27002: Sebuah kesimpulan
• Apa arti pembaruan untuk sertifikasi Anda
• DQS: Simply leveraging Quality.

ISO 27002 dan ISO 27001

ISO 27002 mendefinisikan daftar luas tindakan keamanan umum yang harus mendukung perusahaan dalam menerapkan persyaratan dari Lampiran A ISO 27001 - dan telah memantapkan dirinya sebagai panduan standar praktis di banyak departemen TI dan keamanan sebagai alat yang diakui. Pada awal 2022, ISO 27002 direvisi dan diperbarui secara komprehensif - langkah yang terlambat menurut pendapat banyak ahli, mengingat perkembangan dinamis dalam TI dalam beberapa tahun terakhir dan mengetahui bahwa standar ditinjau untuk up-to-date setiap 5 tahun.

Untuk perusahaan dengan sertifikat ISO 27001 - atau perusahaan yang ingin menangani sertifikasi dalam waktu dekat - inovasi yang sekarang telah diperkenalkan relevan dalam dua hal: Pertama, berkaitan dengan pembaruan yang diperlukan untuk langkah-langkah keamanan mereka sendiri; tetapi kedua, karena perubahan ini akan berdampak pada pembaruan ISO 27001 yang diharapkan pada akhir tahun dan oleh karena itu akan relevan untuk semua sertifikasi dan sertifikasi ulang di masa mendatang. Oleh karena itu, cukup beralasan untuk melihat lebih dekat pada ISO 27002 yang baru.

Struktur baru dan topik baru

Perubahan nyata pertama dalam ISO 27002:2022 adalah struktur standar yang diperbarui dan disederhanakan secara signifikan: alih-alih 114 tindakan keamanan (kontrol) sebelumnya dalam 14 bagian, kumpulan referensi versi ISO 27002 yang diperbarui sekarang terdiri dari 93 kontrol, yang jelas dibagi dan diringkas dalam 4 area subyek:

• 37 tindakan keamanan di bagian "Kontrol organisasi"
• 8 tindakan keamanan di bidang "Kontrol orang"
• 14 tindakan keamanan di bidang "Kontrol fisik"
• 34 tindakan keamanan di bidang "Kontrol teknologi"

Meskipun pengurangan jumlah tindakan keamanan, hanya kontrol "Penghapusan Aset" yang benar-benar dihapus. Penyederhanaan ini disebabkan oleh fakta bahwa 24 tindakan keamanan dari kontrol yang ada digabungkan dan direstrukturisasi untuk memenuhi tujuan perlindungan secara lebih terfokus. 58 tindakan keamanan selanjutnya direvisi dan disesuaikan untuk memenuhi persyaratan kontemporer.

Tindakan keamanan baru

Selanjutnya - dan ini mungkin bagian yang paling menarik dari pembaruan - ISO 27002 telah diperpanjang dengan 11 langkah keamanan tambahan di versi baru. Tak satu pun dari langkah-langkah ini akan mengejutkan para pakar keamanan, tetapi secara bersama-sama mereka mengirim sinyal yang kuat dan membantu perusahaan mempersenjatai struktur organisasi dan arsitektur keamanan mereka terhadap skenario ancaman saat ini dan masa depan secara tepat waktu.

Langkah-langkah baru tersebut adalah:

Threat intelligence 

Menangkap, mengkonsolidasikan, dan menganalisis intelijen ancaman saat ini memungkinkan organisasi untuk tetap terkini dalam lingkungan ancaman yang semakin dinamis dan berkembang. Di masa depan, analisis informasi serangan berbasis bukti akan memainkan peran kunci dalam keamanan informasi untuk mengembangkan strategi pertahanan terbaik.

Keamanan informasi untuk penggunaan layanan cloud

Banyak organisasi saat ini mengandalkan layanan berbasis cloud. Dengan ini datang vektor serangan baru dan perubahan yang menyertainya dan permukaan serangan yang jauh lebih besar. Di masa depan, perusahaan harus mempertimbangkan langkah-langkah perlindungan yang tepat untuk pengenalan, penggunaan, administrasi dan membuatnya mengikat dalam aturan kontrak mereka dengan penyedia layanan cloud.

Kesiapan TIK untuk kelangsungan bisnis

Ketersediaan teknologi informasi dan komunikasi (TIK) dan infrastrukturnya sangat penting untuk kelangsungan operasi bisnis di perusahaan. Dasar untuk organisasi yang tangguh adalah tujuan kelangsungan bisnis yang direncanakan dan persyaratan kelangsungan TIK yang diturunkan, diimplementasikan, dan diverifikasi darinya. Persyaratan untuk pemulihan teknis TIK yang tepat waktu setelah kegagalan membentuk konsep kelangsungan bisnis yang layak.

Pemantauan keamanan secara fisik

Pembobolan di mana data sensitif atau pembawa data dicuri dari perusahaan atau disusupi merupakan risiko yang signifikan bagi perusahaan. Kontrol teknis dan sistem pemantauan telah terbukti efektif dalam mencegah penyusup potensial atau mendeteksi penyusupan mereka dengan segera. Di masa depan, ini akan menjadi komponen standar dari konsep keamanan holistik untuk mendeteksi dan menghalangi akses fisik yang tidak sah.

Manajemen konfigurasi

Sistem yang dikonfigurasi dengan tidak benar dapat disalahgunakan oleh penyerang untuk mendapatkan akses ke sumber daya penting. Sementara sebelumnya kurang terwakili sebagai bagian dari manajemen perubahan, manajemen konfigurasi sistematis sekarang difokuskan sebagai ukuran keamanan dalam dirinya sendiri. Hal ini membutuhkan organisasi untuk memantau konfigurasi yang tepat dari perangkat keras, perangkat lunak, layanan dan jaringan, dan untuk memperkuat sistem mereka dengan tepat.

Penghapusan informasi

Sejak Peraturan Perlindungan Data Umum mulai berlaku, organisasi harus memiliki mekanisme yang sesuai untuk menghapus data pribadi berdasarkan permintaan dan memastikan bahwa data tersebut tidak disimpan lebih lama dari yang diperlukan. Persyaratan ini diperluas ke semua informasi dalam ISO 27002. Informasi sensitif tidak boleh disimpan lebih lama dari yang diperlukan untuk menghindari risiko pengungkapan yang tidak diinginkan.

Data masking

Tujuan dari tindakan keamanan ini adalah untuk melindungi data sensitif atau elemen data (misalnya, data pribadi) melalui penyembunyian, pseudonimisasi, atau anonimisasi. Kerangka untuk implementasi yang tepat dari langkah-langkah teknis ini disediakan oleh persyaratan hukum, undang-undang, peraturan dan kontrak.

Pencegahan kebocoran data

Langkah-langkah keamanan preventif diperlukan untuk mengurangi risiko pengungkapan yang tidak sah dan ekstraksi data sensitif dari sistem, jaringan, dan perangkat lain. Saluran potensial untuk kebocoran tak terkendali dari informasi yang teridentifikasi dan rahasia ini (misalnya, email, transfer file, perangkat seluler, dan perangkat penyimpanan portabel) harus dipantau dan, jika perlu, didukung secara teknis oleh tindakan pencegahan aktif (misalnya, karantina email).

Kegiatan pemantauan

Sistem untuk memantau anomali dalam jaringan, sistem, dan aplikasi kini menjadi bagian dari repertoar standar di departemen TI. Demikian pula, persyaratan untuk menggunakan sistem untuk deteksi serangan telah menemukan jalannya ke persyaratan hukum dan peraturan saat ini. Pemantauan berkelanjutan, pengumpulan otomatis, dan evaluasi parameter dan karakteristik yang sesuai dari operasi TI yang sedang berlangsung adalah suatu keharusan dalam pertahanan siber proaktif dan akan terus mendorong teknologi di bidang ini.

Web filtering

Banyak situs web yang tidak tepercaya menginfeksi pengunjung dengan malware atau membaca data pribadi mereka. Pemfilteran URL lanjutan dapat digunakan untuk memfilter situs web yang berpotensi berbahaya secara otomatis untuk melindungi pengguna akhir. Langkah-langkah keamanan dan solusi untuk melindungi dari konten berbahaya di situs web eksternal sangat penting dalam dunia bisnis yang terhubung secara global.

Secure coding

Kerentanan dalam kode yang dikembangkan sendiri atau komponen sumber terbuka adalah titik serangan yang berbahaya, memungkinkan penjahat dunia maya dengan mudah mendapatkan akses ke data dan sistem penting. Pedoman pengembangan perangkat lunak terkini, prosedur pengujian otomatis, prosedur rilis untuk perubahan kode, manajemen pengetahuan untuk pengembang, tetapi juga strategi patch dan pembaruan yang dipikirkan dengan baik secara signifikan meningkatkan tingkat perlindungan.

Atribut dan nilai atribut

Inovasi lain diperkenalkan untuk pertama kalinya dalam ISO 27002:2022 untuk membantu manajer keamanan menavigasi campuran tindakan yang luas: Dalam Lampiran A standar, lima atribut dengan nilai atribut terkait disimpan untuk setiap ukuran.

Atribut dan nilai atributnya adalah:

Control Type

• Control type adalah atribut untuk pandangan kontrol dari sudut pandang kapan dan bagaimana sebuah kontrol mengubah risiko yang terkait dengan terjadinya insiden keamanan informasi.
• #preventive #detective #corrective

Information security properties

• Information security property adalah atribut yang dapat digunakan untuk melihat kontrol dari perspektif tujuan perlindungan apa yang dimaksudkan untuk didukung oleh kontrol tersebut.
• #Confidentiality #Integrity #Availability

Cybersecurity concepts

• Cybersecurity concepts melihat kontrol dari perspektif pemetaan kontrol ke kerangka kerja keamanan siber yang dijelaskan dalam ISO/IEC TS 27110.
• #Identify #Protect #Detect #Respond #Recover

Operational capabilities

• Operational capability melihat kontrol dari perspektif kemampuan keamanan informasi operasional mereka dan mendukung pandangan pengguna praktis dari kontrol.
• #Application security #Asset management #Continuity #Data protection #Governance #Human resource security #Identity and access management #Information security event management #Legal and compliance #Physical security #Secure configuration #Security assurance #Supplier relationships security #System and network security #Threat and vulnerability management

Security domains

• Security domain adalah atribut yang dapat digunakan untuk melihat kontrol dalam perspektif empat domain keamanan informasi
• #Governance_and_Ecosystem #Protection #Defence #Resilience

Nilai atribut yang ditandai dengan tagar dimaksudkan untuk memudahkan manajer keamanan menemukan jalan mereka melalui katalog luas tindakan dalam panduan standar dan untuk mencari dan mengevaluasinya dengan cara yang ditargetkan.

Perubahan dalam ISO 27002: Kesimpulan

Edisi baru ISO 27002 memberikan manajer keamanan informasi pandangan yang tepat tentang perubahan yang akan menjadi standar sertifikasi baru dengan edisi baru ISO 27001. Pada saat yang sama, inovasi tetap dalam kerangka kerja yang dapat dikelola: Restrukturisasi katalog tindakan membuat standar lebih transparan dan tidak diragukan lagi merupakan langkah ke arah yang benar mengingat meningkatnya kompleksitas dan penurunan transparansi arsitektur keamanan. Langkah-langkah yang baru disertakan juga tidak akan mengejutkan pakar keamanan berpengalaman dan memodernisasi standar ISO yang sudah ketinggalan zaman dengan cukup signifikan.

Apa arti pembaruan untuk sertifikasi Anda

ISO/IEC 27001:2022 diterbitkan pada tanggal 25 Oktober 2022. Hal ini menghasilkan tenggat waktu dan kerangka waktu berikut bagi pengguna untuk melakukan transisi:

Tanggal terakhir untuk audit awal/sertifikasi ulang menurut ISO 27001:2013 yang "lama"

• Setelah 30 April 2024, DQS akan melakukan audit awal dan sertifikasi ulang hanya sesuai dengan standar baru ISO/IEC 27001:2022

Transisi semua sertifikat yang ada sesuai dengan ISO/IEC 27001:2013 yang "lama" ke ISO/IEC 27001:2022 yang baru

• Ada masa transisi selama 3 tahun mulai dari 31 Oktober 2022
• Sertifikat yang diterbitkan menurut ISO/IEC 27001:2013 atau DIN EN ISO/IEC 27001:2017 berlaku hingga paling lambat 31 Oktober 2025, atau harus ditarik pada tanggal tersebut.

DQS: Simply leveraging Quality

Audit sertifikasi kami memberi Anda kejelasan. Pandangan holistik dan netral dari luar tentang orang, proses, sistem, dan hasil menunjukkan seberapa efektif sistem manajemen Anda, bagaimana penerapan dan penguasaannya. Penting bagi kami bahwa Anda menganggap audit kami bukan sebagai ujian, tetapi sebagai pengayaan untuk sistem manajemen Anda.

Klaim kami selalu dimulai saat daftar periksa audit berakhir. Kami secara khusus menanyakan "mengapa", karena kami ingin memahami motif yang membuat Anda memilih cara penerapan tertentu. Kami fokus pada potensi peningkatan dan mendorong perubahan perspektif. Dengan cara ini, Anda dapat mengidentifikasi opsi tindakan yang dengannya Anda dapat terus meningkatkan sistem manajemen Anda.