neue-iso-iec-27001-2022-blog-dqs-projektmanager unterhalten sich bei benutzung eines tablets in einer zentrale

ISO/IEC 27001:2022 yang baru - perubahan utama

Markus Jegelka

Ahli & Auditor DQS untuk Keamanan Informasi
Sep 21 , 2023
# Keamanan Informasi dan Perlindungan Data

Proses bisnis bernilai tambah didorong oleh informasi dan data. Tanpa pertukaran informasi, tidak ada yang berhasil dalam ekonomi digital kita. Layanan dasar kami didasarkan pada infrastruktur penting yang fungsinya sangat bergantung pada pertukaran informasi dan data. Keamanan informasi meluas jauh ke dalam realitas pekerjaan dan kehidupan kita. Oleh karena itu, melindungi operasi harian yang digerakkan oleh informasi, data penting, dan kekayaan intelektual dari ancaman siber sangat penting bagi bisnis dari semua ukuran. Di era serangan siber industri ini, beradaptasi dengan risiko keamanan informasi yang terus berubah membutuhkan pendekatan yang tepat waktu dan fleksibel untuk membangun ketahanan perusahaan.


Dan di sinilah ISO/IEC 27001:2022 yang baru hadir dengan fokusnya pada orientasi proses dalam manajemen keamanan informasi. Selama lebih dari dua dekade, standar ISO 27001 telah menjadi dasar yang mapan, tetapi sudah tua, untuk sistem manajemen keamanan informasi. Dan meskipun usianya sudah tua, menurut Survei ISO, standar tersebut mampu tumbuh dengan peningkatan sertifikat sebesar 32% pada tahun 2021 lalu. Dengan latar belakang meningkatnya permintaan untuk kerangka kerja penilaian keamanan informasi kontemporer, ISO / IEC 27001: 2022 baru diterbitkan pada 25 Oktober 2022. Apa yang ada di dalamnya?

Rangkuman fitur-fitur baru ISO 27001:2022

ISO 27001 menjelaskan kerangka kerja untuk sistem manajemen keamanan informasi (disingkat SMKI / ISMS) - dan itu untuk perusahaan terlepas dari struktur, ukuran, atau orientasi organisasi. Hal yang perlu menjadi perhatian di sini adalah manajemen risiko. Ancaman siber yang berubah terus-menerus mengeksploitasi potensi kerentanan baru di perusahaan dengan tujuan menyerang dan mengkompromikan arus informasi dan dengan demikian proses bisnis. Risiko yang timbul dari mekanisme ini pada tiga tujuan perlindungan penting dari keamanan informasi - kerahasiaan, integritas, dan ketersediaan - harus diidentifikasi dan dikelola.

Pembaruan ISO/IEC 27001:2022 membahas praktik terbaik untuk mengelola risiko keamanan informasi ini. Daftar kemungkinan kontrol keamanan informasi dalam Lampiran A normatif ISO / IEC 27001: 2022 yang baru secara identik berasal dari panduan ISO / IEC 27002: 2022 yang direvisi. Panduan implementasi sudah diadopsi pada bulan Februari tahun ini dengan taksonomi yang lebih sederhana dan kontrol keamanan kontemporer. Dengan ISO / IEC 27001: 2022 yang baru sekarang diterbitkan, tandem standar ISO 27001 / 27002 yang sukses dengan langkah-langkah berharga yang direkomendasikan sekali lagi menjadi yang terbaik.

whitepaper-ISO 27001-faq-dqs-cover picture

FAQ ISO/IEC 27001:2022

"Hal Baru" untuk Keamanan Informasi: 38 Tanya Jawab

Apa yang perlu Anda ketahui tentang "si anak baru" untuk keamanan informasi: 38 jawaban dari pakar kami untuk 38 pertanyaan pengguna.

  • Tentang apa kontrol baru ini?
  • Kapan kita harus beralih ke standar baru?
  • Di mana saya dapat menemukan daftar korespondensi lama vs baru?
  • ... serta 35 lainnya!
Unduh FAQ untuk ISO 27001 baru dan manfaatkan keahlian para ahli kami

Perubahan signifikan lainnya dalam ISO / IEC 27001: 2022 yang baru adalah bahwa, dengan adaptasi terhadap apa yang disebut Struktur Harmonisasi, persyaratan yang sudah lama tertunda untuk orientasi proses ditempatkan dalam fokus ISMS yang efektif. Dasar dari sistem manajemen yang efektif adalah proses yang jelas dan interaksinya serta kriteria berorientasi target untuk proses-proses ini untuk pengendaliannya.

Berikut ini, kita akan melihat lebih dekat pada tiga area perubahan versi baru ISO 27001.

 

Struktur Tingkat Tinggi menjadi Struktur yang Diselaraskan

Mulai Mei 2021, Struktur Tingkat Tinggi (HLS) sebelumnya digantikan oleh Struktur Harmonisasi (HS). HS adalah struktur dasar dan template untuk pengembangan revisi baru dan masa depan dari standar sistem manajemen ISO yang ada. ISO/IEC 27001:2022 adalah salah satu standar sistem manajemen pertama yang diadaptasi ke HS. Berbagai klarifikasi, penambahan, tetapi juga penghapusan dalam HS dibandingkan dengan HLS agak menarik bagi pengguna yang sudah terbiasa dengan standar tersebut.

Untuk ISO / IEC 27001: 2022, bagaimanapun, derivasi yang signifikan dari HS secara langsung terlihat. Di masa depan, Klausul 6.3 akan membutuhkan perubahan pada ISMS untuk diimplementasikan secara terencana. Persyaratan ini tidak asing lagi dari sistem manajemen lainnya dan mengungkapkan harapan bahwa proses perubahan terkait ISMS telah dikuasai. Misalnya, transisi dari ISO/IEC 27001:2013 sebelumnya ke ISO/IEC 27001:2022 yang baru dapat dipahami sebagai perubahan pada ISMS yang harus dilaksanakan secara terencana dengan semua efek dan interaksinya.

Perubahan normatif dalam ISO / IEC 27001: 2022

Perubahan yang sangat signifikan menambah konteks organisasi dalam Klausul 4.4 dengan persyaratan untuk mengidentifikasi proses yang diperlukan dan interaksinya dalam ISMS yang diperlukan untuk implementasi dan pemeliharaannya. Persyaratan eksplisit ini membawa ISO / IEC 27001: 2022 sejalan dengan pendekatan praktik terbaik dari sistem manajemen lainnya menurut HS (HLS). Sistem manajemen keamanan informasi harus didasarkan pada proses yang mapan dan dapat dilacak serta interaksinya. Kontrol keamanan informasi Lampiran A kemudian dirancang dan diadaptasi di sekitar proses ini.

Perubahan relevan berikutnya dalam Klausul 8.1 juga menekankan pentingnya orientasi proses, yang umum untuk semua sistem manajemen berbasis HS. Organisasi harus menyadari proses sebagai bagian dari perencanaan dan kontrol operasional mereka untuk menerapkan langkah-langkah untuk mengelola risiko keamanan informasi. Yang baru adalah bahwa kriteria proses sekarang harus didefinisikan. Pengendalian proses harus diimplementasikan sesuai dengan kriteria ini.

Selanjutnya, klarifikasi dan spesifikasi yang agak kecil telah dibuat dalam klausul-klausul berikut:

  • Klausul 5.3 dilengkapi dengan persyaratan eksplisit bahwa tanggung jawab dan otoritas untuk peran yang terkait dengan keamanan informasi diketahui dalam organisasi.
  • Klausul 7.4 mengatur perlunya komunikasi internal dan eksternal mengenai ISMS. Selain ketentuan yang masih berlaku tentang apa, kapan, dan dengan siapa, cara komunikasi merupakan penyederhanaan yang dapat diterapkan dari persyaratan sebelumnya.
  • Klausul 9.2 Audit Internal dan 9.3 Tinjauan Manajemen telah disesuaikan dengan Struktur Harmonisasi. Klausul 9.2 sekarang dibagi lagi menjadi 9.2.1 dan 9.2.2, Klausul 9.3 dibagi menjadi tiga subdivisi 9.3.1, 9.3.2 dan 9.3.3.
  • Urutan penyusunan Klausul 10.1 dan Klausul 10.2 telah disesuaikan dengan Struktur Harmonisasi. Aspek perbaikan berkelanjutan prospektif sekarang mendahului penanganan retrospektif ketidaksesuaian dan tindakan korektif dalam Klausul 10.2 di Klausul 10.1 tanpa perubahan lebih lanjut dalam konten. Penyesuaian ini menekankan pentingnya proses perbaikan berkelanjutan (CIP).

Persyaratan utama dan tidak ambigu dalam ISO / IEC 27001 yang mengacu pada serangkaian kontrol dalam Lampiran A adalah, menurut Klausul 6.1.3 c), proses perbandingan antara kontrol keamanan informasi khusus organisasi dengan yang ada di Lampiran A dan, menurut Klausul 6.1.3 d), persiapan Pernyataan Penerapan/Statement of Applicability (SoA). Persyaratan inti ini tetap tidak berubah!

Penjelasan dalam catatan informatif (non-normatif) untuk Klausul 6.1.3 c) dengan referensi ke Lampiran A sebagai daftar kontrol keamanan informasi yang mungkin menunjukkan kemungkinan memilih tindakan tambahan dari sumber-sumber lebih lanjut sebagai pelengkap Lampiran A.

ISO/IEC 27001:2022-10 - Keamanan informasi, keamanan siber dan perlindungan privasi - Sistem manajemen keamanan informasi - Persyaratan Standar ini tersedia dalam bahasa Inggris di beranda ISO

ISO 27001 - Sistem Manajemen Keamanan Informasi

Sistem manajemen holistik sesuai dengan standar ISO ★ Penerapan proses manajemen risiko yang efektif ★ Peningkatan tingkat keamanan yang berkelanjutan

Lebih lanjut tentang ISO 27001

Lampiran A baru dari ISO / IEC 27001: 2022

Daftar kemungkinan kontrol keamanan informasi (IS) dalam Lampiran A normatif ISO/IEC 27001:2022 diturunkan secara identik dari ISO/IEC 27002: 2022. Katalog kontrol keamanan umum diterbitkan pada Februari 2022. Oleh karena itu, perubahan pada Lampiran A ISO/IEC 27001:2022 telah diperkirakan untuk beberapa waktu. Sebelumnya, Lampiran A mencakup total 114 kontrol yang dapat digunakan untuk mengatasi risiko keamanan informasi di bawah 35 tujuan kontrol yang diatur ke dalam 14 klausul.

Terlepas dari kenyataan bahwa ISO/IEC 27001:2022 yang baru menghilangkan tujuan kontrol, kontrol keamanan informasi dalam Lampiran A telah direvisi, diperbarui, dan dilengkapi serta ditata ulang dengan beberapa kontrol baru.

14 klausul sebelumnya dari Lampiran A sekarang difokuskan pada 4 topik berikut:

A.5 Kendali organisasi (dengan 37 kendali).

A.6 Kontrol pribadi (dengan 8 kontrol)

A.7 Kontrol fisik (dengan 14 kontrol)

A.8 Kontrol teknis (dengan 34 kontrol)

Lampiran A dari versi ISO/IEC 27001:2022 yang baru sekarang mencakup total 93 kontrol, di mana 11 kontrol berikut ini baru:

A.5.7 Intelijen Ancaman

A.5.23 Keamanan informasi untuk penggunaan layanan cloud

A.5.30 Kesiapan TIK untuk kelangsungan bisnis

A.7.4 Pemantauan keamanan fisik

A.8.9 Manajemen konfigurasi

A.8.10 Penghapusan informasi

A.8.11 Penyamaran data

A.8.12 Pencegahan kebocoran data

A.8.16 Pemantauan aktivitas

A.8.23 Penyaringan web

A.8.28 Pengkodean yang aman

Sementara Lampiran A ISO/IEC 27001:2022 terbatas pada penamaan kontrol, panduan implementasi ISO/IEC 27002:2022 menyediakan opsi lebih lanjut untuk mengkategorikannya. Di sana, setiap kontrol diberi lima atribut yang memungkinkan pandangan dan perspektif yang berbeda pada mereka. Atribut atau nilai atributnya dapat digunakan untuk memfilter, mengurutkan, atau menampilkan untuk tampilan organisasi yang berbeda.

Kelima atribut tersebut adalah:

Control Type adalah atribut untuk melihat kontrol dari perspektif kapan dan bagaimana ukuran mengubah risiko yang terkait dengan terjadinya insiden keamanan informasi.

Information security properties adalah atribut untuk melihat kontrol dari perspektif tujuan perlindungan apa yang dimaksudkan untuk didukung oleh tindakan tersebut.

Cybersecurity Concepts melihat kontrol dari perspektif bagaimana mereka memetakan ke kerangka kerja keamanan siber yang dijelaskan dalam ISO / IEC TS 27110.

Operational Capability mempertimbangkan kontrol dari perspektif kemampuan keamanan informasi operasional mereka dan mendukung pandangan pengguna praktis dari tindakan tersebut.

Security domains adalah atribut yang memungkinkan kontrol dilihat dari perspektif empat domain keamanan informasi.

webinar-dqs-junger-mann-mit-headset-sitzt-vor-einem-laptop

Saksikan sekarang: Apa yang berubah dari ISO/IEC 27001:2022 yang baru

Versi baru ISO/IEC 27001, disesuaikan dengan risiko informasi kontemporer, diterbitkan pada 25 Oktober 2022. Apa artinya ini bagi pengguna standar? Dalam rekaman webinar gratis kami, Anda akan memperoleh informasi tentang:

  • Fitur baru ISO/IEC 27001:2022 - Framework dan Lampiran A
  • ISO/IEC 27002:2022-02 - struktur, konten, atribut, dan tagar
  • Timeline untuk transisi dan langkah Anda selanjutnya
Tonton sekarang

Apa arti pembaruan ini bagi sertifikasi Anda?

ISO/IEC 27001:2022 diterbitkan pada tanggal 25 Oktober 2022. Hal ini menghasilkan tenggat waktu dan kerangka waktu berikut bagi pengguna untuk melakukan transisi:

Tanggal terakhir untuk audit awal/sertifikasi ulang menurut ISO 27001:2013 yang "lama"

  • Setelah 30 April 2024, DQS akan melakukan audit awal dan sertifikasi ulang hanya sesuai dengan standar baru ISO/IEC 27001:2022

Transisi semua sertifikat yang ada sesuai dengan ISO/IEC 27001:2013 yang "lama" ke ISO/IEC 27001:2022 yang baru

  • Ada masa transisi selama 3 tahun mulai dari 31 Oktober 2022
  • Sertifikat yang diterbitkan menurut ISO/IEC 27001:2013 atau DIN EN ISO/IEC 27001:2017 berlaku hingga paling lambat 31 Oktober 2025, atau harus ditarik pada tanggal tersebut.

ISO/IEC 27001:2022 yang baru - Kesimpulan

ISO/IEC 27001:2022 yang baru telah tersedia. Ini menandai dimulainya masa transisi 3 tahun.

Secara singkat, inovasi utamanya adalah sebagai berikut:

  • Kesesuaian sistem manajemen dengan Struktur Harmonisasi.
  • Penekanan pada orientasi proses, interaksi dan kriterianya.
  • Kategorisasi kontrol yang disederhanakan dan disederhanakan ke dalam blok tematik.
  • Langkah-langkah kontemporer yang diselaraskan dengan metode organisasi saat ini dan ancaman yang terkait.
  • Atribut untuk menyelaraskan kontrol dengan berbagai metodologi manajemen risiko, termasuk kerangka kerja keamanan siber global.
gerber-hermsdorf-werner-korall-audit dqs

Anda memiliki pertanyaan?

Hubungi kami!

Tidak ada kewajiban dan gratis.

Kirim permintaan Anda sekarang

Kepercayaan dan keahlian

Teks dan brosur kami ditulis secara eksklusif oleh para ahli standar kami atau auditor lama. Jika Anda memiliki pertanyaan tentang konten teks atau layanan kami kepada penulis kami, jangan ragu untuk mengirimkan email kepada kami.

ISO 27001 - Sistem Manajemen Keamanan Informasi

Sistem manajemen holistik sesuai dengan standar ISO ★ Penerapan proses manajemen risiko yang efektif ★ Peningkatan tingkat keamanan yang berkelanjutan

Informasi lebih lanjut tentang ISO 27001
Penulis
Markus Jegelka

Ahli DQS untuk sistem manajemen keamanan informasi (ISMS) dan auditor yang telah lama berkecimpung di bidang standar ISO 9001, ISO/IEC 27001 dan katalog keamanan TI sesuai dengan paragraf 11.1a/b Undang-Undang Industri Energi Jerman (EnWG) dengan kompetensi prosedur pengujian untuk § 8a (3) BSIG

Ada Pertanyaan?

Kami siap membantu.
Hubungi Kami