Standar yang menangani keamanan privasi data memiliki pembaruan. Pada tanggal 25 Oktober lalu website resmi dari ISO (International Standard Organization) mengunggah satu dokumen yang berisi perubahan-perubahan yang terjadi pada Standar ISO 27001. Kemarin (02/11) CBQA Global memberikan sosialisasi kepada existing client beserta klien yang ingin mendengarkan secara detail apa-apa saja berubah pada standar tersebut. CBQA Global juga membuka ruang diskusi kepada peserta mengenai perubahan-perubahan yang terjadi. Antusiasme dari peserta sangatlah tinggi dan hal ini membuat CBQA Global akan terus memberikan update melalui sosial media dan website.
Sejarah ISO 27001
Dari awal mula munculnya standar ini yang disiasati oleh International Standard Organization pada tahun 2000 diberikan standar ISO/IEC 17799. Selanjutnya standar ini dapat penyesuaian dan direvisi di tahun 2005 menjadi ISO/IEC 27001:2005. Tidak berhenti di situ, delapan tahun setelahnya Information Security Management System mengalami pembahruan lagi di tahun 2013 dan baru saja ter-update dengan versi paling terbaru pada tanggal 25 Oktober 2022. Dapat disimpulkan standar yang mengatur mengenai keamanan informasi ini telah diupdate sebanyak tiga kali.
Terdapat beberapa “Family” standard di dalamnya seperti:
- ISO/IEC 27001:2022 = Information Security, cybersecurity and privacy protection – Information security management system – Requirements
- ISO/IEC 27002:2022 = Information Security, cybersecurity and privacy protection – Information security controls
- ISO/IEC 27005:2022 = Information Security, cybersecurity and privacy protection – Guidance on managing information security risks
- ISO/IEC 27110:2021 = Information Security, cybersecurity and privacy protection – Cybersecurity framework development gudelines
- ISO/IEC 27701:2019 = Security techniques – Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy infromation management – Requirements and guidelines
- ISO/IEC 27017:2015 = Information technology – Security techniques – Code of practice for information security controls based on ISO/IEC 27002 for cloud services
- ISO/IEC 27000:2018 = Information technology – Security techniques – Information security management systems – Overview and vocabulary
Perubahan pada ISO 27001
Perubahan pertama yang akan dibahas adalah pada segi judul (title) dari dua versi ini. Pada versi 2013 terdapat judul “Information Technology – Security Techniques – Information Security Management System”, sedangkan pada versi 2022 adalah “Information Security, Cybersecurity and Privacy Protection – Information Security Management System”.
Selain perubahan yang terdapat pada judul, adapun perubahan-perubahan utamanya meliputi:
- Annex A mengacu pada kontrol dalam ISO/IEC 27002:2022 yang mencakup informasi judul kontrol dan kontrol
- Catatan Klausul 6.1.3 c) direvisi secara editorial, termasuk menghapus tujuan pengendalian dan menggunakan “information security control” untuk menggantikan “control”
- Kata-kata dalam Klausul 6.1.3 d) diatur ulang untuk menghilangkan potensi ambiguitas
Dibandingkan dengan edisi lama, jumlah kontrol dalam ISO/IEC 27002:2022 berkurang dari 114 kontrol dalam 14 klausa menjadi 93 kontrol dalam 4 klausa. Untuk kontrol di ISO/IEC 27002:2022, 11 kontrol baru, 24 kontrol digabungkan dari kontrol yang ada, dan 58 kontrol diperbarui. Selain itu, struktur kontrol direvisi, yang memperkenalkan “attribute” dan “purpose” untuk setiap kontrol dan tidak lagi menggunakan “objective” untuk sekelompok kontrol.
Klausul yang Diperbaharui
Setelah membahas perubahan utama yang terdapat pada standar, di bagian ini akan dibahas pembaharuan dari klausul seperti:
- Clause 4.2 – Understanding the needs and expectations of interested parties
- Clause 4.4 – Information security management system
- Information Security Risk Assessment Reference to ISO/IEC 27005:2022
- Clause 6.1.3 – Information security risk treatment
- Clause 6.2 – Information security objectives and planning to achieve them
- Clause 6.3 – Planning of changes
- Clause 7.4 – Communication
- Clause 8.1 – Operational planning and control
- Clause 9.2 – Internal audit
- Clause 9.3 – Management review
Information Security Management System dapat memastikan bahwa organisasi Anda telah menjaga aset informasi agar tetap aman dan terlindungi berdasarkan prinsip kerahasiaan, integritas dan ketersediaan. Hal ini dengan membangun tata kelola keamanan informasi dari risiko kehilangan, kerusakan, atau ancaman lainnya.
CBQA Global merupakan lembaga sertifikasi, audit, verification, dan training terpercaya untuk perusahaan nasional maupun internasional. Untuk kebutuhan sertifikasi ataupun layanan lainnya silahkan hubungi CBQA Global di sini.