Ada perubahan signifikan yang akan terjadi pada standar ISO 27001 dan 27002 pada tahun 2022, yang mengakibatkan lonjakan pertanyaan. Banyak yang ingin tahu tentang bagaimana perubahan ini akan berdampak pada organisasi yang sudah tersertifikasi ISO 27001 dan mereka yang sedang dalam proses mendapatkan sertifikasi. Bagian ini akan menguraikan beberapa perubahan utama dan potensi efeknya.
Publikasi formal
Pertama, revisi ISO 27001 tahun 2022 belum diterbitkan secara resmi (per Juli 2022). Terlepas dari itu, kami masih memiliki gambaran yang baik tentang seperti apa tampilannya karena kontrol Lampiran A selaras dengan panduan implementasi yang ditemukan dalam ISO 27002, yang diterbitkan pada bulan Februari dan tersedia di sini.
Jadwal Pelaksanaan
Jadwal implementasi untuk versi terbaru ISO 27001, yang akan dirilis pada tahun 2022, masih belum ditetapkan secara resmi. Namun, para pakar industri memperkirakan bahwa organisasi akan memiliki waktu setidaknya 18 hingga 24 bulan untuk mematuhi standar baru ini.
Selama jangka waktu ini, organisasi perlu mengambil langkah-langkah yang diperlukan untuk memperbarui sistem manajemen keamanan informasi (ISMS) mereka dan memastikan bahwa sistem tersebut selaras dengan persyaratan baru yang diuraikan dalam standar yang telah diperbarui. Hal ini dapat mencakup melakukan analisis kesenjangan untuk mengidentifikasi area ketidakpatuhan dan menerapkan tindakan korektif untuk mengatasi kekurangan.
Klausul manajemen yang diperlukan tidak berubah
Organisasi yang telah menerapkan ISO 27001 memahami bahwa kerangka kerja ini merupakan standar manajemen yang pertama dan terutama. Persyaratan manajemen untuk menerapkan dan memelihara Sistem Manajemen Keamanan Informasi (SMKI) tercantum dalam ISO Klausul 4 hingga 10. Klausul-klausul tersebut tidak mengalami perubahan material.
Perubahan pada kontrol Lampiran A
Pembaruan yang akan datang pada standar ISO 27001 terutama akan berdampak pada kontrol Lampiran A. Bagi mereka yang mungkin belum terbiasa, kontrol Lampiran A mengacu pada serangkaian kontrol yang biasanya digunakan organisasi untuk mengelola dan meminimalkan risiko keamanan informasi dengan cara yang normatif.
Meskipun organisasi tidak diwajibkan untuk mengadopsi semua kontrol yang tercantum dalam Lampiran A, sebagian besar memilih untuk menerapkannya karena menyediakan kerangka kerja yang komprehensif untuk mengatasi masalah keamanan informasi yang umum. Oleh karena itu, setiap perubahan yang dilakukan pada kontrol ini akan memiliki dampak yang signifikan pada praktik keamanan informasi organisasi.
Dengan demikian, mari kita lihat lebih dekat perubahan spesifik yang dibuat pada kontrol Lampiran A dalam pembaruan standar ISO 27001 yang akan datang.
Organisasi kontrol
Dalam kerangka kerja saat ini, terdapat 114 kontrol yang diatur ke dalam 14 kategori (A.5-A.18). Pada versi 2022, terdapat 93 kontrol yang disusun ke dalam empat kategori (A.5-A.8). Meskipun organisasi kontrol secara substansial berbeda, namun isinya lebih konsisten.
Ada 12 kontrol baru yang saya cantumkan dalam posting blog ini. Sisa 81 kontrol sebagian besar sama dengan kontrol yang sudah ada-dalam beberapa kasus, kata-katanya telah diubah sedikit atau kontrol telah digabungkan.
Atribut kontrol
Perubahan signifikan lainnya pada tampilan dan nuansa kontrol Lampiran A yang baru adalah penambahan “Tabel Atribut” untuk setiap kontrol. Atribut adalah lima buah metadata yang memberikan pengguna lebih banyak wawasan tentang fungsi dan maksud dari setiap kontrol. Kategori Atribut adalah:
- Jenis kontrol
- Properti keamanan informasi
- Konsep keamanan siber
- Kemampuan operasional
- Domain keamanan
Jenis kontrol menunjukkan “kapan dan bagaimana kontrol memodifikasi risiko.” Makna dari ketiga jenis ini cukup jelas:
- Pencegahan
- Detektif
- Korektif
Kontrol preventif harus diterapkan untuk mencegah kejadian atau insiden keamanan informasi. Kontrol detektif mendeteksi kemungkinan terjadinya suatu peristiwa atau insiden, dan kontrol korektif digunakan untuk merespons insiden dan memulihkan lingkungan operasi yang aman dan selamat. Properti keamanan informasi menggambarkan aspek perlindungan keamanan informasi yang dikontribusikan oleh kontrol. Properti ini terkait dengan “CIA Triad” yang sudah tidak asing lagi:
- Confidentiality (Kerahasiaan)
- Integritas
- Availability
Konsep Keamanan Siber adalah pengelompokan logis yang terkait dengan asosiasi kontrol dalam ISO 27110. Konsep-konsep ini mirip dengan pengelompokan logis yang digunakan oleh Kerangka Kerja Keamanan Siber NIST. Konsep-konsepnya adalah:
- Identifikasi
- Melindungi
- Mendeteksi
- Menanggapi
- Memulihkan
Kemampuan Operasional menjelaskan 15 kemampuan praktisi yang didukung oleh kontrol ini. Sebagian besar kontrol terkait dengan satu kemampuan, tetapi beberapa kontrol terkait dengan beberapa kemampuan. Kemampuannya adalah:
- Governance
- Manajemen aset
- Perlindungan informasi
- Keamanan sumber daya manusia
- Keamanan fisik
- Keamanan sistem dan jaringan
- Keamanan aplikasi
- Konfigurasi yang aman
- Manajemen identitas dan akses
- Manajemen ancaman dan kerentanan
- Kontinuitas
- Keamanan hubungan pemasok
- Hukum dan kepatuhan
- Manajemen acara keamanan informasi
- Jaminan keamanan informasi
Terakhir, kontrol dikelompokkan ke dalam empat domain Keamanan tingkat tinggi:
- Tata kelola dan ekosistem
- Perlindungan
- Pertahanan
- Ketahanan
Atribut-atribut ini bukan merupakan persyaratan dan hanya digunakan sejauh organisasi menganggapnya bermanfaat atau berguna. Organisasi bebas untuk mengabaikan, memodifikasi, atau menambah atribut sesuai dengan ISMS dan preferensi manajemennya sendiri.
“Sasaran” kontrol saat ini telah diubah menjadi pernyataan “tujuan”, dan tujuan/sasaran ini dicantumkan untuk setiap kontrol, tidak hanya pada tingkat kategori kontrol seperti pada versi saat ini. Menurut saya, hal ini membuat tujuan kontrol menjadi lebih jelas dan lebih terperinci, dan saya berharap sebagian besar pengguna akan merasa terbantu dengan perubahan ini.
Konten kontrol berubah
ISO 27002 memberikan panduan yang signifikan sehubungan dengan setiap kontrol. Hal ini sangat berguna karena memberikan gambaran lengkap mengenai maksud dari kontrol, serta contoh praktis mengenai seperti apa penerapannya. Panduan ini juga sangat baik untuk organisasi yang telah mencapai kepatuhan dan sekarang ingin memahami atau memperdalam kematangan kontrol mereka. Meskipun artikel lengkap dapat ditulis mengenai setiap kontrol baru, namun saya akan memberikan beberapa sorotan di sini.
5.7 Intelijen Ancaman: Ini adalah perpanjangan dari kontrol sebelumnya mengenai berlangganan peringatan. Dengan asumsi sebuah organisasi menerima peringatan tentang ancaman dan kerentanan, langkah selanjutnya adalah mengembangkan kemampuan dan proses terkait untuk menganalisis dan menilai informasi tersebut untuk menciptakan intelijen yang relevan dan dapat ditindaklanjuti.
5.16 Manajemen Identitas: Kontrol manajemen akses memerlukan identifikasi unik dari setiap individu. Panduan ini menyatakan bahwa identitas non-manusia harus dikelola, dan akun bersama [shall be] dibatasi dan dikontrol dengan ketat.
5.23 Keamanan untuk Layanan Cloud: Panduan ini menyatakan bahwa organisasi harus menerapkan proses, prosedur, dan kebijakan untuk mengelola layanan cloud; ISO mengakui bahwa penggunaan layanan cloud menimbulkan risiko tertentu bagi organisasi yang perlu dikelola secara proaktif.
5.30 Kesiapan TIK untuk Kesinambungan Bisnis: Kontrol ini membutuhkan perencanaan dan pengujian rencana keberlanjutan untuk teknologi organisasi. Banyak orang mengira ini adalah bagian dari standar ISO saat ini, tetapi Lampiran A saat ini secara teknis hanya memiliki kontrol yang menangani pemeliharaan proses kelangsungan keamanan informasi (tetapi tidak ada kontrol eksplisit untuk melakukan perencanaan kelangsungan bisnis).
7.4 Pemantauan Keamanan Fisik: Kontrol baru untuk terus memantau ruang fisik yang dilindungi dengan teknologi seperti kamera dan/atau sistem deteksi gangguan fisik.
8.1 Perangkat Titik Akhir Pengguna: Panduan baru ini menyatakan bahwa kontrol harus diterapkan untuk melindungi informasi di titik akhir (yaitu laptop).
8.9 Manajemen Konfigurasi: Panduan baru ini menyatakan bahwa konfigurasi yang aman harus ditetapkan dan dikelola untuk perangkat keras, perangkat lunak, dan layanan.
8.10 Penghapusan Informasi: Panduan baru ini menyatakan bahwa kebijakan dan proses penyimpanan data harus memastikan bahwa data dihapus jika tidak lagi diperlukan oleh organisasi.
8.11 Penyembunyian Data: Panduan baru ini menyatakan bahwa kontrol harus diterapkan untuk membatasi pemaparan data sensitif. Bahasa kontrol mengatakan “penyamaran” tetapi harus lebih dianggap sebagai “de-identifikasi”, karena panduan ini mencakup pseudonimisasi dan anonimisasi.
8.12 Pencegahan Kebocoran Data: Ini adalah kontrol pencegahan kehilangan data (DPL). Panduan baru ini menyatakan bahwa alat bantu otomatis harus mencegah data sensitif dikirim ke penerima yang tidak sah.
8.22 Penyaringan Web: Panduan baru menyatakan bahwa lalu lintas web keluar harus difilter untuk mencegah malware terhubung ke server perintah dan kontrol, serta mencegah lalu lintas ke situs web berbahaya lainnya.
8.28 Pengkodean yang Aman: Panduan baru menyatakan bahwa prinsip-prinsip pengkodean yang aman harus diterapkan untuk meminimalkan kerentanan dalam kode. Perangkat kontrol yang ada saat ini memerlukan aturan untuk pengembangan perangkat lunak dan sistem yang aman, sedangkan bahasa kontrol yang baru difokuskan pada aplikasi dan implementasi praktik keamanan kode.