Perubahan Terbaru pada ISO 27002:2022: Panduan untuk Meningkatkan Keamanan Informasi di Era Digital -->

Iklan Cawako Sawahlunto

Perubahan Terbaru pada ISO 27002:2022: Panduan untuk Meningkatkan Keamanan Informasi di Era Digital

Jumat, 27 September 2024

Foto: Illustrasi Perubahan ISO 27002:2013 ke versi 2022


 

ISO 27002 telah mengalami perubahan dengan versi terbarunya yang dirilis tahun 2022. Apa saja perubahan-perubahan dari ISO 27002 ini?

ISO 27002, yang dikenal sebagai panduan untuk menerapkan kontrol keamanan informasi, telah menjadi landasan bagi banyak organisasi dalam meningkatkan pertahanan mereka terhadap ancaman siber. Terlebih di era pasca-pandemi, dimana aktivitas online dan kejahatan dunia maya masih tetap tinggi. ISO 27002 memberdayakan organisasi untuk menerapkan kontrol keamanan informasi, dan memperbaiki serta meningkatkan sistem manajemen keamanan informasi (ISMS). Standar ISO 27002 sendiri telah mengalami perubahan penting, dari versi terbaru yang dirilis pada 15 Februari 2022, dimana ISO 27002:2013 diperbarui menjadi 27002:2022.

Perbedaan ISO 27002:2013 dan ISO 27002:2022
Dengan melakukan penggabungan dan penghapusan redundansi, versi terbaru ISO 27002 telah mengurangi jumlah kontrol dari 114 yang sebelumnya dikategorikan berdasarkan domain menjadi 93 kontrol. Kontrol-kontrol ini kemudian dikelompokkan ke dalam empat tema, yaitu Kontrol orang, Kontrol fisik, Kontrol teknologi, Kontrol fisik dan Kontrol organisasi. Selain itu, 11 kontrol baru juga ditambahkan ke dalam standar tersebut.

Tentang ISO 27002:2013
Pada rilis tahun 2013, terdapat 114 kontrol ISO 27002 yang dibagi menjadi 14 kategori:
  1. Lampiran A.5 – Kebijakan keamanan informasi (2 kontrol): Menjelaskan cara menangani kebijakan keamanan informasi.
  2. Lampiran A.6 – Organisasi keamanan informasi (7 pengendalian): Memberikan kerangka kerja untuk keamanan informasi dengan mendefinisikan organisasi internal dan aspek keamanan informasi lainnya.
  3. Lampiran A.7 – Keamanan sumber daya manusia (6 kontrol): Menguraikan aspek keamanan informasi SDM.
  4. Lampiran A.8 – Manajemen aset (6 pengendalian): Memastikan aset keamanan informasi diidentifikasi dan tanggung jawab atas keamanannya ditetapkan.
  5. Lampiran A.9 – Kontrol akses (14 kontrol): Membatasi akses ke aset informasi berdasarkan kebutuhan bisnis nyata.
  6. Lampiran A.10 – Kriptografi (2 kontrol): Memberikan dasar untuk penggunaan solusi enkripsi yang tepat untuk melindungi keaslian, kerahasiaan, dan integritas informasi.
  7. Lampiran A.11 – Keamanan fisik dan lingkungan (15 kontrol): Mencegah akses tidak sah ke area fisik, peralatan, dan fasilitas dari campur tangan manusia atau alam.
  8. Lampiran A.12 – Keamanan operasi (14 kontrol): Memastikan sistem TI organisasi aman dan terlindungi dari kehilangan data.
  9. Lampiran A.13 – Keamanan komunikasi (7 kontrol): Melindungi jaringan (infrastruktur dan layanan) dan informasi yang melewatinya.
  10. Lampiran A.14 – Akuisisi, pengembangan, dan pemeliharaan sistem (13 pengendalian): Memastikan keamanan informasi diprioritaskan ketika membeli sistem informasi baru atau meningkatkan sistem informasi yang sudah ada.
  11. Lampiran A.15 – Hubungan pemasok (5 kontrol): Memastikan bahwa aktivitas yang dialihdayakan ke pemasok/mitra menggunakan kontrol Keamanan Informasi yang sesuai dan menjelaskan cara memantau kinerja keamanan pihak ketiga.
  12. Lampiran A.16 – Manajemen insiden keamanan informasi (7 pengendalian): Memberikan kerangka kerja untuk memastikan manajemen dan komunikasi insiden keamanan yang tepat.
  13. Lampiran A.17 – Aspek keamanan informasi dari manajemen kelangsungan bisnis (4 kontrol): Memastikan kelangsungan manajemen keamanan informasi selama gangguan serta ketersediaan sistem informasi.
  14. Lampiran A.18 - Kepatuhan (8 kontrol): Memberikan kerangka kerja untuk mencegah pelanggaran hukum, peraturan, undang-undang, dan kontrak serta mengaudit apakah keamanan informasi yang Anda terapkan memenuhi persyaratan standar ISO 27001.
 

Tentang ISO 27002:2022

Foto: Sections Pengendalian di ISO 27002:2022


ISO 27002 versi tahun 2022 terjadi pengurangan dari 114 menjadi 93 yang terdiri dari 11 kontrol baru, 24 digabungkan, dan 58 diperbarui. Kumpulan kontrol ini kemudian dikelompokkan dalam 4 domain utama, yaitu:
  1. Orang: Ini termasuk penyaringan, pendidikan, pelatihan, proses disipliner, tanggung jawab, kerahasiaan, dan sebaginya.
  2. Organisasi: Ini mencakup kebijakan, manajemen, inventaris, klasifikasi, pelabelan, otentikasi, dan sebaginya.
  3. Teknologi: Ini termasuk akses informasi, otentikasi aman, perlindungan malware, penyembunyian data, keamanan jaringan, dan sebaginya.
  4. Fisik: Ini termasuk perimeter keamanan, kantor, ruangan, fasilitas, peralatan, penyimpanan, pemasangan kabel, pemantauan, perlindungan terhadap ancaman lingkungan, dan banyak lagi.
 
Kontrol Terbarukan
11 kontrol baru ditambahkan untuk mencerminkan lanskap keamanan informasi, keamanan fisik, dan keamanan siber saat ini. Berikut 11 kontrol baru di versi standar baru:
5.7    Intelijen ancaman
5.23  Keamanan informasi untuk penggunaan layanan cloud
5.30  Kesiapan TIK untuk kelangsungan bisnis
7.4    Pemantauan keamanan fisik
8.9    Manajemen konfigurasi
8.10  Penghapusan informasi
8.11  Penyembunyian data
8.12  Pencegahan kebocoran data
8.16  Kegiatan pemantauan
8.23  Pemfilteran web
8.28  Pengkodean yang aman
 
Perbedaan Tujuan
Tujuan utama ISO 27002:2013 adalah untuk menyediakan program keamanan informasi dan manajemen aset yang komprehensif untuk organisasi mana pun yang memerlukan program manajemen keamanan informasi baru atau ingin meningkatkan kebijakan dan praktik keamanan informasi yang ada. Tujuan ini tertulis dalam nama standar ISO 27002:2013 yaitu “Teknologi informasi – Teknik keamanan – Kode praktik pengendalian keamanan informasi”.

Pada ISO 27002:2022, nama standarnya telah diubah, menjadi “Keamanan informasi, Keamanan Siber, dan perlindungan privasi – Pengendalian keamanan informasi” pada revisi tahun 2022. Perubahan signifikan pertama terhadap standar ini adalah beralih dari “Kode Praktik” dan memposisikannya sebagai serangkaian kontrol yang dapat berdiri sendiri atau ada sebagai bagian dari sistem manajemen keamanan informasi ISO 27001.

Mengapa Dilakukan Perubahan pada ISO 27002:2022?
ISO memperbarui standar ini untuk mengatasi perkembangan teknologi, perubahan dalam hukum internasional, dan ancaman keamanan siber yang terus meningkat. Meskipun ISO biasanya melakukan tinjauan standar setiap 5-7 tahun, pembaruan standar 27002:2022 ini dilakukan dalam waktu singkat. Proses peninjauan yang dimulai pada tahun 2018 dan revisi selesai pada tahun 2021, dengan standar baru diterbitkan pada tahun 2022.

Dalam menghadapi ancaman keamanan siber yang semakin meningkat, standar ISO 27002 menjadi alat penting bagi organisasi. Dengan panduan ini, mereka dapat menerapkan kontrol keamanan informasi terbaik dan mengembangkan sistem manajemen keamanan yang efektif.

Perbedaan utama antara ISO 27002:2022 dengan versi sebelumnya mencakup pengurangan kontrol yang tidak lagi relevan, penambahan kontrol baru, serta perubahan struktural untuk meningkatkan pemahaman dan penerapan kontrol oleh para pemimpin organisasi.

Namun, penting untuk diingat bahwa ISO 27002 adalah pelengkap dari ISO 27001, bukan tujuan akhir. Dengan mengikuti pedoman ISO 27002 dan memperbarui sistem keamanan sesuai standar, organisasi dapat meningkatkan keamanan informasi mereka, membangun kepercayaan, dan mengurangi risiko pelanggaran data serta denda.
(Adi Arga Arifnur / Dosen Universitas Andalas)



Editor by: Andri B.