![]() |
Foto: Illustrasi Perubahan ISO 27002:2013 ke versi 2022 |
ISO 27002 telah
mengalami perubahan dengan versi terbarunya yang dirilis tahun 2022. Apa saja perubahan-perubahan
dari ISO 27002 ini?
ISO
27002, yang dikenal sebagai panduan untuk menerapkan kontrol keamanan
informasi, telah menjadi landasan bagi banyak organisasi dalam meningkatkan
pertahanan mereka terhadap ancaman siber. Terlebih di era pasca-pandemi, dimana
aktivitas online dan kejahatan dunia maya masih tetap tinggi. ISO 27002
memberdayakan organisasi untuk menerapkan kontrol keamanan informasi, dan
memperbaiki serta meningkatkan sistem manajemen keamanan informasi (ISMS).
Standar ISO 27002 sendiri telah mengalami perubahan penting, dari versi terbaru
yang dirilis pada 15 Februari 2022, dimana ISO 27002:2013 diperbarui menjadi
27002:2022.
Perbedaan
ISO 27002:2013 dan ISO 27002:2022
Dengan
melakukan penggabungan dan penghapusan redundansi, versi terbaru ISO 27002
telah mengurangi jumlah kontrol dari 114 yang sebelumnya dikategorikan
berdasarkan domain menjadi 93 kontrol. Kontrol-kontrol ini kemudian
dikelompokkan ke dalam empat tema, yaitu Kontrol orang, Kontrol fisik, Kontrol
teknologi, Kontrol fisik dan Kontrol organisasi. Selain itu, 11 kontrol baru
juga ditambahkan ke dalam standar tersebut.
Tentang
ISO 27002:2013
Pada rilis tahun 2013, terdapat 114
kontrol ISO 27002 yang dibagi menjadi 14 kategori:
- Lampiran
A.5 – Kebijakan keamanan informasi (2 kontrol): Menjelaskan cara menangani kebijakan keamanan
informasi.
- Lampiran
A.6 – Organisasi keamanan informasi (7 pengendalian): Memberikan kerangka kerja untuk keamanan
informasi dengan mendefinisikan organisasi internal dan aspek keamanan
informasi lainnya.
- Lampiran
A.7 – Keamanan sumber daya manusia (6 kontrol): Menguraikan aspek keamanan informasi SDM.
- Lampiran
A.8 – Manajemen aset (6
pengendalian): Memastikan aset keamanan informasi diidentifikasi dan
tanggung jawab atas keamanannya ditetapkan.
- Lampiran
A.9 – Kontrol akses (14
kontrol): Membatasi akses ke aset informasi berdasarkan kebutuhan bisnis
nyata.
- Lampiran
A.10 – Kriptografi (2
kontrol): Memberikan dasar untuk penggunaan solusi enkripsi yang tepat
untuk melindungi keaslian, kerahasiaan, dan integritas informasi.
- Lampiran
A.11 – Keamanan fisik dan lingkungan (15 kontrol): Mencegah akses tidak sah ke area fisik,
peralatan, dan fasilitas dari campur tangan manusia atau alam.
- Lampiran
A.12 – Keamanan operasi (14 kontrol): Memastikan sistem TI organisasi aman dan
terlindungi dari kehilangan data.
- Lampiran
A.13 – Keamanan komunikasi (7 kontrol): Melindungi jaringan (infrastruktur dan layanan)
dan informasi yang melewatinya.
- Lampiran
A.14 – Akuisisi, pengembangan, dan pemeliharaan sistem (13 pengendalian): Memastikan
keamanan informasi diprioritaskan ketika membeli sistem informasi baru
atau meningkatkan sistem informasi yang sudah ada.
- Lampiran
A.15 – Hubungan pemasok (5 kontrol): Memastikan bahwa aktivitas yang dialihdayakan ke
pemasok/mitra menggunakan kontrol Keamanan Informasi yang sesuai dan
menjelaskan cara memantau kinerja keamanan pihak ketiga.
- Lampiran
A.16 – Manajemen insiden keamanan informasi (7 pengendalian): Memberikan
kerangka kerja untuk memastikan manajemen dan komunikasi insiden keamanan
yang tepat.
- Lampiran
A.17 – Aspek keamanan informasi dari manajemen kelangsungan bisnis (4 kontrol): Memastikan
kelangsungan manajemen keamanan informasi selama gangguan serta
ketersediaan sistem informasi.
- Lampiran
A.18 - Kepatuhan (8
kontrol): Memberikan kerangka kerja untuk mencegah pelanggaran hukum,
peraturan, undang-undang, dan kontrak serta mengaudit apakah keamanan
informasi yang Anda terapkan memenuhi persyaratan standar ISO 27001.
Tentang ISO 27002:2022
Foto: Sections Pengendalian di ISO 27002:2022
ISO 27002 versi tahun 2022 terjadi pengurangan
dari 114 menjadi 93 yang terdiri dari 11 kontrol baru, 24 digabungkan, dan 58
diperbarui. Kumpulan kontrol ini kemudian dikelompokkan dalam 4 domain utama,
yaitu:
- Orang: Ini termasuk penyaringan, pendidikan,
pelatihan, proses disipliner, tanggung jawab, kerahasiaan, dan sebaginya.
- Organisasi: Ini mencakup kebijakan, manajemen,
inventaris, klasifikasi, pelabelan, otentikasi, dan sebaginya.
- Teknologi: Ini termasuk akses informasi,
otentikasi aman, perlindungan malware, penyembunyian data, keamanan
jaringan, dan sebaginya.
- Fisik: Ini termasuk perimeter keamanan,
kantor, ruangan, fasilitas, peralatan, penyimpanan, pemasangan kabel,
pemantauan, perlindungan terhadap ancaman lingkungan, dan banyak lagi.
Kontrol Terbarukan
11 kontrol
baru ditambahkan untuk mencerminkan lanskap keamanan informasi, keamanan fisik,
dan keamanan siber saat ini. Berikut 11 kontrol baru di versi standar baru:
5.7 Intelijen ancaman
5.23 Keamanan informasi untuk penggunaan layanan
cloud
5.30 Kesiapan TIK untuk kelangsungan bisnis
7.4 Pemantauan keamanan fisik
8.9 Manajemen konfigurasi
8.10 Penghapusan informasi
8.11 Penyembunyian data
8.12 Pencegahan kebocoran data
8.16 Kegiatan pemantauan
8.23 Pemfilteran web
8.28 Pengkodean yang aman
Perbedaan Tujuan
Tujuan
utama ISO 27002:2013 adalah untuk menyediakan program keamanan informasi dan
manajemen aset yang komprehensif untuk organisasi mana pun yang memerlukan
program manajemen keamanan informasi baru atau ingin meningkatkan kebijakan dan
praktik keamanan informasi yang ada. Tujuan ini tertulis dalam nama standar ISO
27002:2013 yaitu “Teknologi informasi – Teknik keamanan – Kode praktik
pengendalian keamanan informasi”.
Pada ISO
27002:2022, nama standarnya telah diubah, menjadi “Keamanan informasi, Keamanan
Siber, dan perlindungan privasi – Pengendalian keamanan informasi” pada revisi
tahun 2022. Perubahan signifikan pertama terhadap standar ini
adalah beralih dari “Kode Praktik” dan memposisikannya sebagai serangkaian
kontrol yang dapat berdiri sendiri atau ada sebagai
bagian dari sistem manajemen keamanan informasi ISO 27001.
Mengapa Dilakukan
Perubahan pada ISO 27002:2022?
ISO
memperbarui standar ini untuk mengatasi perkembangan teknologi, perubahan dalam
hukum internasional, dan ancaman keamanan siber yang terus meningkat. Meskipun
ISO biasanya melakukan tinjauan standar setiap 5-7 tahun, pembaruan standar
27002:2022 ini dilakukan dalam waktu singkat. Proses peninjauan yang dimulai
pada tahun 2018 dan revisi selesai pada tahun 2021, dengan standar baru
diterbitkan pada tahun 2022.
Dalam
menghadapi ancaman keamanan siber yang semakin meningkat, standar ISO 27002
menjadi alat penting bagi organisasi. Dengan panduan ini, mereka dapat
menerapkan kontrol keamanan informasi terbaik dan mengembangkan sistem
manajemen keamanan yang efektif.
Perbedaan
utama antara ISO 27002:2022 dengan versi sebelumnya mencakup pengurangan
kontrol yang tidak lagi relevan, penambahan kontrol baru, serta perubahan
struktural untuk meningkatkan pemahaman dan penerapan kontrol oleh para
pemimpin organisasi.
Namun,
penting untuk diingat bahwa ISO 27002 adalah pelengkap dari ISO 27001, bukan
tujuan akhir. Dengan mengikuti pedoman ISO 27002 dan memperbarui sistem
keamanan sesuai standar, organisasi dapat meningkatkan keamanan informasi
mereka, membangun kepercayaan, dan mengurangi risiko pelanggaran data serta
denda.
(Adi Arga
Arifnur / Dosen Universitas Andalas)
Editor by: Andri
B.