ISO 27001 adalah standar internasional yang menyediakan panduan untuk membangun, menerapkan, memelihara, dan meningkatkan sistem manajemen keamanan informasi (Information Security Management System atau ISMS). Seiring perkembangan teknologi dan ancaman keamanan siber, ISO melakukan revisi pada standar ini. Perbedaan utama antara versi ISO 27001:2013 dan ISO 27001:2022 memberikan organisasi wawasan untuk memperbarui proses keamanan informasi mereka sesuai dengan tuntutan yang terus berkembang.
Artikel ini akan membahas perbedaan utama antara ISO 27001:2013 dan ISO 27001:2022, dengan fokus pada perubahan struktural, pendekatan keamanan, serta tambahan kontrol keamanan yang relevan dengan ancaman baru.
ISO 27001:2022 memperkenalkan beberapa perubahan dalam hal struktur dan terminologi yang lebih diselaraskan dengan standar manajemen lainnya, seperti ISO 9001 dan ISO 14001, untuk memfasilitasi integrasi sistem manajemen. Ini mencakup penggunaan struktur tingkat tinggi (High-Level Structure atau HLS) yang memungkinkan organisasi untuk lebih mudah mengintegrasikan sistem manajemen yang berbeda.
Pada versi 2013, standar ini terbagi dalam beberapa bab utama, yaitu:
Dalam versi terbaru, ISO 27001:2022 mempertahankan struktur yang sama, tetapi dengan sedikit modifikasi pada sub-elemen dan penyempurnaan istilah yang digunakan agar lebih relevan dengan perkembangan terkini dalam keamanan informasi dan manajemen risiko. Misalnya, konsep ‘pengawasan risiko keamanan informasi’ diperluas dengan pendekatan yang lebih fokus pada analisis ancaman siber terkini.
Baca juga: Pengertian ISO 27001 dan Manfaatnya untuk Bisnis
Salah satu perubahan yang paling signifikan dalam ISO 27001:2022 adalah revisi pada Annex A, yang mencakup daftar kontrol keamanan yang direferensikan oleh standar ISO 27002:2022. Annex A adalah bagian integral dari ISO 27001 yang berisi panduan kontrol keamanan spesifik yang perlu diimplementasikan oleh organisasi.
Annex A di ISO 27001:2013 berisi 14 klausa yang mencakup 114 kontrol keamanan. Ini termasuk kontrol terkait dengan kebijakan keamanan, organisasi keamanan informasi, keamanan sumber daya manusia, kontrol akses, kriptografi, dan pengelolaan aset.
ISO 27001:2022 memperbarui Annex A berdasarkan ISO 27002:2022, dengan mengelompokkan kontrol menjadi 4 kategori utama, yakni:
Jumlah kontrol berkurang menjadi 93, tetapi beberapa kontrol lama digabungkan, dihapus, atau diperbarui agar lebih relevan. Contoh kontrol baru yang diperkenalkan dalam ISO 27001:2022 termasuk Threat Intelligence, Information Security for Use of Cloud Services, dan Monitoring Activities (ISO 27001 tahun 2013) (ISO 27001 tahun 2022).
Salah satu fokus utama dari ISO 27001:2022 adalah penekanan yang lebih besar pada keamanan siber dan perlindungan privasi, yang mencerminkan tren global yang berkembang seiring dengan peningkatan ancaman siber.
Versi ini lebih menekankan pada pengelolaan keamanan informasi yang luas, termasuk perlindungan integritas, kerahasiaan, dan ketersediaan informasi, tanpa penekanan eksplisit pada ancaman keamanan siber.
Dalam versi 2022, ada penekanan lebih kuat pada pendekatan risiko berbasis keamanan siber dan privasi data. Sebagai contoh, konsep Threat Intelligence diperkenalkan sebagai kontrol baru yang memungkinkan organisasi untuk mengumpulkan dan menganalisis informasi terkait ancaman keamanan siber, yang membantu dalam pencegahan serangan yang lebih efektif.
Selain itu, standar ini juga menekankan pentingnya perlindungan privasi dan keamanan data, terutama di tengah meningkatnya regulasi privasi seperti GDPR di Eropa atau UU PDP di Indonesia(ISO 27001 tahun 2022).
Perubahan lain yang penting adalah terkait pengelolaan keamanan untuk layanan cloud dan outsourcing. Dengan meningkatnya penggunaan teknologi cloud, ISO 27001:2022 mengakomodasi kontrol yang lebih spesifik untuk pengelolaan risiko terkait dengan penyedia layanan pihak ketiga.
Versi ini mencakup kontrol dasar terkait manajemen risiko pihak ketiga, tetapi tidak secara khusus mengatur penggunaan layanan cloud yang semakin meningkat saat ini.
Pada versi 2022, kontrol khusus untuk layanan cloud diperkenalkan. Organisasi yang menggunakan layanan cloud kini diwajibkan untuk menetapkan proses akuisisi, penggunaan, pengelolaan, dan penghentian layanan cloud sesuai dengan persyaratan keamanan informasi yang relevan. Ini mencakup kontrol untuk mengelola risiko yang muncul dari rantai pasokan teknologi informasi dan komunikasi (ICT supply chain)(ISO 27001 tahun 2022).
ISO 27001:2022 memperkenalkan fleksibilitas lebih dalam pendekatan penilaian risiko dan penerapan kontrol keamanan.
Penilaian risiko dalam versi 2013 lebih fokus pada identifikasi risiko berdasarkan kehilangan kerahasiaan, integritas, atau ketersediaan informasi. Pendekatan ini kurang dinamis dalam menanggapi ancaman siber yang cepat berubah.
ISO 27001:2022 mengadopsi pendekatan risiko yang lebih fleksibel, yang memungkinkan organisasi untuk menyesuaikan proses penilaian risiko dengan kebutuhan dan kondisi spesifik mereka. Ini memberikan ruang bagi organisasi untuk lebih mudah menyesuaikan dan memprioritaskan kontrol keamanan berdasarkan lanskap ancaman yang terus berkembang(ISO 27001 tahun 2013)(ISO 27001 tahun 2022).
Baca juga: Perlindungan Data Karyawan dengan Human Resource Security ISO 27002
ISO 27001:2022 membawa pembaruan signifikan yang mencerminkan perubahan dalam lanskap ancaman keamanan informasi dan perkembangan teknologi. Dengan menyesuaikan standar dengan struktur manajemen lainnya dan menambahkan kontrol baru yang lebih relevan, versi terbaru ini membantu organisasi meningkatkan pendekatan manajemen risiko dan memperkuat perlindungan terhadap ancaman siber yang semakin kompleks.
Perbedaan utama antara ISO 27001:2013 dan ISO 27001:2022 menunjukkan evolusi standar ini dalam menghadapi kebutuhan keamanan informasi modern. Organisasi yang sudah mengadopsi ISO 27001:2013 perlu segera mempertimbangkan untuk memperbarui sistem manajemen keamanan informasi mereka sesuai dengan versi 2022 agar tetap relevan dan aman.