ISO 27001:2022

Information Security Management Systems (ISMS)

ISO 27001:2022 adalah standar internasional yang menetapkan persyaratan untuk sistem manajemen keamanan informasi (SMKI) atau Information Security Management System (ISMS). Tujuannya adalah untuk membantu organisasi mengelola keamanan informasi mereka secara sistematis dan efektif. Ini bukan hanya tentang teknologi, tetapi juga tentang proses, kebijakan, dan orang-orang. Standar ini menyediakan kerangka kerja yang memungkinkan organisasi untuk:

  1. Melindungi Informasi: Mengidentifikasi, menganalisis, dan mengelola risiko keamanan informasi secara proaktif.

  2. Memastikan Keberlanjutan Bisnis: Meminimalkan dampak insiden keamanan informasi terhadap operasional bisnis.

  3. Membangun Kepercayaan: Menunjukkan kepada pelanggan, mitra, dan pemangku kepentingan lainnya bahwa organisasi serius dalam melindungi informasi mereka.

  4. Memenuhi Persyaratan Hukum dan Regulasi: Memastikan kepatuhan terhadap undang-undang dan peraturan terkait keamanan informasi yang berlaku.

  5. Meningkatkan Keunggulan Kompetitif: Mendapatkan sertifikasi ISO 27001 menunjukkan komitmen terhadap keamanan informasi, yang dapat menjadi nilai tambah bagi pelanggan dan mitra.

Perubahan Utama dari ISO 27001:2013 ke ISO 27001:2022

Versi terbaru ISO 27001, yaitu ISO 27001:2022, membawa beberapa perubahan signifikan dibandingkan dengan versi sebelumnya (ISO 27001:2013). Perubahan ini mencerminkan lanskap ancaman keamanan informasi yang terus berkembang dan kebutuhan untuk pengelolaan keamanan informasi yang lebih adaptif dan komprehensif. Berikut adalah beberapa perubahan utama:

  • Penyelarasan dengan ISO 27002:2022: Perubahan paling signifikan adalah adanya sinkronisasi yang lebih erat dengan ISO 27002:2022, yang merupakan standar yang memberikan panduan tentang kontrol keamanan informasi. ISO 27002:2022 telah direvisi secara substansial, dan perubahan ini tercermin dalam ISO 27001:2022.

  • Struktur Klausul yang Ditingkatkan: Meskipun struktur tingkat tinggi (HLS) yang sama dipertahankan, beberapa klausul telah diubah untuk kejelasan dan konsistensi yang lebih baik.

  • Fokus yang Lebih Kuat pada Risiko: Standar ini menekankan pentingnya penilaian risiko keamanan informasi yang berkelanjutan dan adaptif. Organisasi didorong untuk terus memantau dan meninjau risiko mereka, serta menyesuaikan kontrol keamanan mereka sesuai kebutuhan.

  • Penekanan pada Keberlanjutan: Standar ini memasukkan pertimbangan keberlanjutan (sustainability) dalam pengelolaan keamanan informasi. Organisasi didorong untuk mempertimbangkan dampak lingkungan dan sosial dari kegiatan keamanan informasi mereka.

  • Adaptasi Terhadap Teknologi Baru: Standar ini mengakui munculnya teknologi baru seperti cloud computing, Internet of Things (IoT), dan kecerdasan buatan (AI), dan menyediakan panduan tentang bagaimana mengelola risiko keamanan informasi yang terkait dengan teknologi ini.

Struktur dan Klausul ISO 27001:2022

ISO 27001:2022 mengikuti struktur tingkat tinggi (HLS), yang merupakan kerangka kerja umum untuk semua standar sistem manajemen ISO. HLS memastikan konsistensi dan kompatibilitas antara standar yang berbeda, sehingga memudahkan organisasi untuk mengintegrasikan berbagai sistem manajemen. Berikut adalah klausul utama dalam ISO 27001:2022:

  1. Klausul 1: Ruang Lingkup (Scope): Menetapkan batas dan penerapan SMKI. Ruang lingkup harus jelas dan terdokumentasi, dan harus mencakup semua aset informasi yang relevan.

  2. Klausul 2: Referensi Normatif (Normative References): Merujuk pada standar lain yang relevan, khususnya ISO 27000.

  3. Klausul 3: Istilah dan Definisi (Terms and Definitions): Mendefinisikan istilah-istilah yang digunakan dalam standar.

  4. Klausul 4: Konteks Organisasi (Context of the Organization):

    • Memahami organisasi dan konteksnya: Identifikasi isu internal dan eksternal yang relevan dengan tujuan dan yang memengaruhi kemampuannya mencapai hasil yang diinginkan.

    • Memahami kebutuhan dan harapan pihak berkepentingan: Tentukan pihak berkepentingan yang relevan dengan SMKI dan persyaratan mereka.

    • Menentukan ruang lingkup SMKI: Tetapkan batas dan penerapan SMKI, dengan mempertimbangkan isu internal dan eksternal, serta kebutuhan dan harapan pihak berkepentingan.

    • SMKI: Menetapkan, menerapkan, memelihara, dan terus-menerus meningkatkan SMKI sesuai dengan persyaratan standar.

  5. Klausul 5: Kepemimpinan (Leadership):

    • Kepemimpinan dan komitmen: Manajemen puncak harus menunjukkan kepemimpinan dan komitmen terhadap SMKI dengan:

      • Memastikan bahwa kebijakan dan tujuan keamanan informasi ditetapkan dan selaras dengan arah strategis organisasi.

      • Memastikan integrasi persyaratan SMKI ke dalam proses bisnis organisasi.

      • Memastikan ketersediaan sumber daya yang diperlukan untuk SMKI.

      • Mengkomunikasikan pentingnya manajemen keamanan informasi yang efektif dan sesuai dengan persyaratan SMKI.

      • Memastikan bahwa SMKI mencapai hasil yang diinginkan.

      • Mengarahkan dan mendukung orang-orang untuk berkontribusi pada efektivitas SMKI.

      • Mempromosikan perbaikan berkelanjutan.

      • Mendukung peran manajemen lain untuk menunjukkan kepemimpinan mereka sebagaimana berlaku pada bidang tanggung jawab mereka.

    • Kebijakan: Menetapkan kebijakan keamanan informasi yang:

      • Sesuai dengan tujuan organisasi.

      • Mencakup tujuan keamanan informasi.

      • Mencakup komitmen untuk memenuhi persyaratan yang berlaku terkait keamanan informasi.

      • Mencakup komitmen untuk perbaikan berkelanjutan dari SMKI.

      • Tersedia sebagai informasi terdokumentasi.

      • Dikomunikasikan dalam organisasi.

      • Tersedia untuk pihak berkepentingan sebagaimana mestinya.

    • Peran, tanggung jawab, dan wewenang organisasi: Manajemen puncak harus menetapkan, mengkomunikasikan, dan memastikan bahwa tanggung jawab dan wewenang untuk peran yang relevan ditugaskan dan dikomunikasikan dalam organisasi. Mereka harus menetapkan tanggung jawab dan wewenang untuk:

      • Memastikan bahwa SMKI sesuai dengan persyaratan standar.

      • Melaporkan kinerja SMKI kepada manajemen puncak.

  6. Klausul 6: Perencanaan (Planning):

    • Tindakan untuk mengatasi risiko dan peluang:

      • Saat merencanakan SMKI, organisasi harus mempertimbangkan isu yang dirujuk dalam klausul 4.1 dan persyaratan yang dirujuk dalam klausul 4.2 dan menentukan risiko dan peluang yang perlu diatasi untuk:

        • Memberikan kepastian bahwa SMKI dapat mencapai hasil yang diinginkan.

        • Mencegah, atau mengurangi, efek yang tidak diinginkan.

        • Mencapai perbaikan berkelanjutan.

      • Organisasi harus merencanakan:

        • Tindakan untuk mengatasi risiko dan peluang ini.

        • Bagaimana:

          • Mengintegrasikan dan menerapkan tindakan ke dalam proses SMKI-nya.

          • Mengevaluasi efektivitas tindakan ini.

      • Tindakan untuk mengatasi risiko dan peluang harus proporsional dengan potensi dampak pada kesesuaian informasi dan data.

    • Tujuan keamanan informasi dan perencanaan untuk mencapainya:

      • Organisasi harus menetapkan tujuan keamanan informasi pada fungsi dan tingkat yang relevan yang konsisten dengan kebijakan keamanan informasi.

      • Tujuan keamanan informasi harus:

        • Konsisten dengan kebijakan keamanan informasi.

        • Terukur (jika praktis).

        • Memperhitungkan persyaratan keamanan informasi yang berlaku.

        • Dipantau.

        • Dikomunikasikan.

        • Diperbarui sebagaimana mestinya.

      • Organisasi harus menyimpan informasi terdokumentasi tentang tujuan keamanan informasi.

      • Saat merencanakan bagaimana mencapai tujuan keamanan informasinya, organisasi harus menentukan:

        • Apa yang akan dilakukan.

        • Sumber daya apa yang akan dibutuhkan.

        • Siapa yang akan bertanggung jawab.

        • Kapan akan diselesaikan.

        • Bagaimana hasilnya akan dievaluasi.

    • Perencanaan perubahan: Ketika organisasi menentukan kebutuhan untuk perubahan pada SMKI, perubahan harus dilakukan dengan cara yang direncanakan.

  7. Klausul 7: Dukungan (Support):

    • Sumber Daya (Resources): Menentukan dan menyediakan sumber daya yang diperlukan untuk menetapkan, menerapkan, memelihara, dan terus-menerus meningkatkan SMKI. Sumber daya ini dapat mencakup orang, infrastruktur, lingkungan kerja, teknologi, dan keuangan.

    • Kompetensi (Competence): Menentukan kompetensi yang diperlukan untuk orang-orang yang melakukan pekerjaan yang memengaruhi kinerja keamanan informasi organisasi, dan memastikan bahwa orang-orang ini kompeten berdasarkan pendidikan, pelatihan, atau pengalaman yang sesuai.

    • Kesadaran (Awareness): Memastikan bahwa orang-orang yang melakukan pekerjaan di bawah kendali organisasi sadar akan:

      • Kebijakan keamanan informasi.

      • Kontribusi mereka terhadap efektivitas SMKI, termasuk manfaat dari peningkatan kinerja keamanan informasi.

      • Implikasi dari tidak mematuhi persyaratan SMKI.

    • Komunikasi (Communication): Menentukan komunikasi internal dan eksternal yang relevan dengan SMKI, termasuk:

      • Apa yang akan dikomunikasikan.

      • Kapan akan dikomunikasikan.

      • Dengan siapa akan berkomunikasi.

      • Bagaimana cara berkomunikasi.

      • Siapa yang akan berkomunikasi.

    • Informasi Terdokumentasi (Documented Information): Mengontrol informasi terdokumentasi yang diperlukan oleh SMKI dan standar ini untuk memastikan bahwa:

      • Tersedia dan cocok untuk digunakan, di mana dan kapan diperlukan.

      • Terlindungi secara memadai (misalnya, dari hilangnya kerahasiaan, penggunaan yang tidak tepat, atau hilangnya integritas).

  8. Klausul 8: Operasi (Operation):

    • Perencanaan dan kontrol operasional:

      • Organisasi harus merencanakan, menerapkan dan mengendalikan proses yang dibutuhkan untuk memenuhi persyaratan keamanan informasi dan menerapkan tindakan yang ditentukan dalam klausul 6.1 dengan:

        • Menetapkan kriteria untuk proses tersebut.

        • Menerapkan pengendalian proses sesuai dengan kriteria tersebut.

        • Menyimpan informasi terdokumentasi sejauh yang diperlukan untuk memiliki keyakinan bahwa proses telah dilakukan seperti yang direncanakan.

      • Organisasi harus mengendalikan perubahan yang direncanakan dan meninjau konsekuensi dari perubahan yang tidak diinginkan, mengambil tindakan untuk mengurangi dampak yang merugikan, sebagaimana diperlukan.

      • Organisasi harus mengendalikan proses yang dialihdayakan sesuai dengan klausul 8.2.

    • Penilaian Risiko Keamanan Informasi: Melaksanakan penilaian risiko keamanan informasi yang mengidentifikasi, menganalisis, dan mengevaluasi risiko keamanan informasi.

    • Perlakuan Risiko Keamanan Informasi: Menerapkan rencana perlakuan risiko keamanan informasi yang mencakup pilihan kontrol keamanan yang sesuai untuk mengurangi risiko keamanan informasi ke tingkat yang dapat diterima.

  9. Klausul 9: Evaluasi Kinerja (Performance Evaluation):

    • Pemantauan, pengukuran, analisis dan evaluasi:

      • Organisasi harus menentukan:

        • Apa yang perlu dipantau dan diukur.

        • Metode pemantauan, pengukuran, analisis, dan evaluasi, sebagaimana berlaku, untuk memastikan hasil yang valid.

        • Kapan pemantauan dan pengukuran harus dilakukan.

        • Kapan hasil dari pemantauan dan pengukuran harus dianalisis dan dievaluasi.

      • Organisasi harus menyimpan informasi terdokumentasi yang sesuai sebagai bukti hasil.

      • Organisasi harus mengevaluasi kinerja keamanan informasi dan efektivitas SMKI.

    • Audit Internal (Internal Audit): Melaksanakan audit internal secara berkala untuk memverifikasi bahwa SMKI sesuai dengan persyaratan standar dan diterapkan serta dipelihara secara efektif.

    • Tinjauan Manajemen (Management Review): Melaksanakan tinjauan manajemen secara berkala untuk memastikan kesesuaian, kecukupan, dan efektivitas SMKI yang berkelanjutan.

  10. Klausul 10: Peningkatan (Improvement):

    • Ketidaksesuaian dan tindakan korektif:

      • Ketika ketidaksesuaian terjadi, organisasi harus:

        • Bereaksi terhadap ketidaksesuaian tersebut dan, sebagaimana berlaku:

          • Mengambil tindakan untuk mengendalikan dan memperbaikinya.

          • Menangani konsekuensinya.

        • Mengevaluasi kebutuhan untuk tindakan untuk menghilangkan penyebab ketidaksesuaian, agar tidak terulang atau terjadi di tempat lain, dengan:

          • Meninjau ketidaksesuaian tersebut.

          • Menentukan penyebab ketidaksesuaian tersebut.

          • Menentukan apakah ketidaksesuaian serupa ada, atau berpotensi terjadi.

        • Menerapkan tindakan apa pun yang diperlukan.

        • Meninjau efektivitas tindakan korektif apa pun yang diambil.

        • Membuat perubahan pada SMKI, jika perlu.

      • Tindakan korektif harus sesuai dengan efek dari ketidaksesuaian yang dihadapi.

      • Organisasi harus menyimpan informasi terdokumentasi sebagai bukti:

        • Sifat ketidaksesuaian dan tindakan apa pun yang diambil selanjutnya.

        • Hasil dari setiap tindakan korektif.

    • Peningkatan berkelanjutan (Continual Improvement): Terus-menerus meningkatkan kesesuaian, kecukupan, dan efektivitas SMKI.

Lampiran A: Kontrol Referensi Keamanan Informasi

Lampiran A dari ISO 27001:2022 berisi daftar kontrol referensi keamanan informasi. Ini bukanlah daftar kontrol yang lengkap atau wajib, tetapi memberikan titik awal bagi organisasi untuk mengidentifikasi kontrol yang relevan dengan risiko keamanan informasi mereka. Lampiran A direstrukturisasi secara signifikan dalam ISO 27001:2022, dengan mengurangi jumlah kontrol dan mengelompokkannya ke dalam empat domain:

  1. Kontrol Organisasi: Fokus pada tata kelola dan pengelolaan keamanan informasi.

  2. Kontrol Manusia: Fokus pada aspek sumber daya manusia terkait keamanan informasi, seperti pelatihan dan kesadaran.

  3. Kontrol Fisik: Fokus pada keamanan fisik aset informasi, seperti pusat data dan kantor.

  4. Kontrol Teknologi: Fokus pada kontrol teknis untuk melindungi informasi, seperti firewall dan sistem deteksi intrusi.

Implementasi ISO 27001:2022

Implementasi ISO 27001:2022 adalah proses yang kompleks dan membutuhkan komitmen dari seluruh organisasi. Berikut adalah langkah-langkah umum yang terlibat:

  1. Menentukan Ruang Lingkup SMKI: Tentukan batas dan penerapan SMKI.

  2. Melakukan Penilaian Risiko Keamanan Informasi: Identifikasi, analisis, dan evaluasi risiko keamanan informasi.

  3. Mengembangkan Rencana Perlakuan Risiko: Pilih dan terapkan kontrol keamanan yang sesuai untuk mengurangi risiko ke tingkat yang dapat diterima.

  4. Menulis Kebijakan dan Prosedur Keamanan Informasi: Mendokumentasikan kebijakan dan prosedur yang diperlukan untuk mengelola keamanan informasi.

  5. Menerapkan Kontrol Keamanan: Menerapkan kontrol keamanan yang dipilih.

  6. Melatih dan Meningkatkan Kesadaran Karyawan: Memberikan pelatihan dan meningkatkan kesadaran karyawan tentang keamanan informasi.

  7. Memantau dan Meninjau SMKI: Memantau kinerja SMKI dan melakukan tinjauan berkala untuk memastikan kesesuaian, kecukupan, dan efektivitas yang berkelanjutan.

  8. Melaksanakan Audit Internal: Melaksanakan audit internal untuk memverifikasi bahwa SMKI sesuai dengan persyaratan standar.

  9. Melakukan Tinjauan Manajemen: Melakukan tinjauan manajemen untuk memastikan bahwa SMKI efektif dan memenuhi kebutuhan organisasi.

  10. Mendapatkan Sertifikasi (Opsional): Mendapatkan sertifikasi dari badan sertifikasi independen untuk menunjukkan bahwa SMKI memenuhi persyaratan ISO 27001:2022.

Manfaat Sertifikasi ISO 27001:2022

Mendapatkan sertifikasi ISO 27001:2022 dapat memberikan sejumlah manfaat bagi organisasi, termasuk:

  • Keunggulan Kompetitif: Menunjukkan kepada pelanggan dan mitra bahwa organisasi serius dalam melindungi informasi mereka.

  • Kepercayaan Pelanggan yang Ditingkatkan: Meningkatkan kepercayaan pelanggan dan memperkuat hubungan bisnis.

  • Peningkatan Keamanan Informasi: Mengurangi risiko insiden keamanan informasi.

  • Kepatuhan terhadap Persyaratan Hukum dan Regulasi: Memastikan kepatuhan terhadap undang-undang dan peraturan terkait keamanan informasi yang berlaku.

  • Peningkatan Efisiensi Operasional: Meningkatkan efisiensi operasional dengan menstandarisasi proses keamanan informasi.

  • Reputasi yang Ditingkatkan: Meningkatkan reputasi organisasi sebagai organisasi yang aman dan terpercaya.

ISO 27001:2022 adalah standar yang komprehensif dan efektif untuk mengelola keamanan informasi. Dengan mengimplementasikan SMKI yang sesuai dengan ISO 27001:2022, organisasi dapat melindungi informasi mereka, memastikan keberlanjutan bisnis, membangun kepercayaan, memenuhi persyaratan hukum dan regulasi, dan meningkatkan keunggulan kompetitif. Perubahan pada versi 2022 mencerminkan evolusi lanskap ancaman dan kebutuhan organisasi untuk terus beradaptasi dan meningkatkan pengelolaan keamanan informasi mereka. Implementasi yang sukses membutuhkan komitmen dari seluruh organisasi, dari manajemen puncak hingga karyawan lini depan.

Akreditasi ISO 27001:2022 yang kami tawarkan

  1. ISO 27001:2022 Information Security Management Systems (ISMS) akreditasi IAS

Contoh Sertifikat ISO 9001:2015

Quality Management System (QMS)

Contoh Sertifikat ISO 9001:2015 Mandala

Akreditasi IDCAB

Contoh Sertifikat ISO 9001:2015 Sapta

Non Akreditasi

Contoh Sertifikat ISO 9001:2015 Sistema

Akreditasi IAS