Persyaratan Transisi ISO 27001:2022
Contents
- 1 Apa Persyaratan Transisi ISO/IEC 27001:2022?
- 2 Catatan Penting dari IAF MD 26:2023
- 2.1 Pembaruan Teknis Baru
- 2.2 Untuk informasi terkait kebutuhan Anda
- 2.3 Masa Transisi Untuk Organisasi Bersertifikat
- 2.4 Masa Transisi Untuk Organisasi Yang Belum Bersertifikat
- 2.5 Kedaluwarsa Sertifikasi
- 2.6 Untuk informasi terkait kebutuhan Anda
- 2.7 Masa transisi untuk Badan Akreditasi
- 2.8 Audit Transisi
- 3 Hubungi kami untuk informasi konsultasi
Dikutip dari IAF MD 26 yang diperbarui pada 15 februari 2023. IAF MD 26 Edisi 2 menghasilkan perubahan utama, yang kami rinci lebih lanjut dalam artikel ini (diurutkan menurut kepentingannya)
- Memodifikasi tanggal jatuh tempo/tenggat waktu untuk melakukan tinjauan sertifikasi awal dan sertifikasi ulang terhadap standar ISO/IEC 27001:2022
- Merevisi waktu tambahan untuk audit transisi
- Memperbarui apa yang berubah dalam ISO/IEC 27001:2013 dengan transisi ke ISO/IEC 27001:2022
Ketika berbicara tentang ISO 27001:2022, rasanya seperti Anda sedang mengantre di loket, yang mana Anda akan menunggu giliran untuk dipanggil. Bagi kami yang selalu memantau standar ini sangatlah mirip, yaitu ISO/IEC 27002:2022 dirilis pada Februari 2022 dan pada 25 Oktober 2022 ISO/IEC 27001:2022 dirilis.
Sebagai konsultan sertifikasi ISO, kami memahami bagaimana pembaruan besar pada standar ini dapat membuat segalanya menjadi sedikit rumit, itulah sebabnya dalam artikel ini kami akan membahas poin penting dari dokumen transisi yang relevan, sehingga Anda mengetahui lebih banyak tentang apa yang harus dilakukan. Diharapkan segala sesuatunya bergerak maju dengan implementasi.
Apa Persyaratan Transisi ISO/IEC 27001:2022?
Menjelang publikasi ISO/IEC 27001:2022, International Accreditation Form (IAF) menerbitkan Dokumen Wajib atau Mandatory Document (MD) pada Agustus 2022 yang menguraikan persyaratan transisi untuk bermigrasi dari ISO/IEC 27001:2013 ke ISO/IEC 27001: 2022.
Dokumen tersebut membahas Accreditation Bodies (AB) dan Lembaga Sertifikasi Terakreditasi/Certification Bodies (CB) atau sering disebut sebagai badan penilaian kesesuaian dan tersedia untuk umum di situs web IAF di sini.
Berikut ini adalah kesimpulan utama, yang kini telah diperbarui dan didasarkan pada persyaratan transisi yang diuraikan dalam IAF MD 26:2023 (edisi 2):
Catatan Penting dari IAF MD 26:2023
Pembaruan Teknis Baru
- Perangkat Kontrol Diganti: Kontrol ISO/IEC 27002:2022 (93 kontrol dalam Klausul 5-8 yang baru dibentuk) menggantikan perangkat kontrol Lampiran A saat ini (114 kontrol dalam A.5-A.18).
- Perubahan Kata Kecil pada Klausul 6.1.3.c-d: Menghapus potensi ambiguitas kata-kata dan referensi usang untuk istilah seperti “tujuan kontrol” (yang tidak lagi ada di bawah struktur sub kontrol yang diperbarui dari ISO/IEC 27002:2022).
- Penambahan Subklausul Baru 6.3 (Perencanaan untuk Perubahan): Menentukan bahwa perubahan SMKI oleh organisasi harus dilakukan dengan cara terencana.
*Poin-poin di atas tidak mewakili daftar lengkap perubahan, melainkan yang menurut Schellman paling relevan. Untuk daftar lengkap perubahan dari ISO/IEC 27001: 2013 ke ISO/IEC 27001:2022, lihat klausul 2.2 “perubahan utama” IAF MD 26:2023).
Masa Transisi Untuk Organisasi Bersertifikat
- Akan ada periode transisi tiga tahun (36 bulan) untuk organisasi yang saat ini bersertifikat ISO 27001, yang dimulai setelah ISO/IEC 27002:2022 dipublikasikan.
- Namun, terdapat pembaruan penting dalam IAF MD 26:2023: Masa transisi tiga tahun di atas tidak berlaku bagi organisasi yang akan melakukan tinjauan sertifikasi ulang selama masa transisi ini; sebaliknya, organisasi tersebut sekarang harus memulai tinjauan sertifikasi ulang terhadap ISO/IEC 27001:2022 selambat-lambatnya 18 bulan sejak hari terakhir bulan publikasi ISO/IEC 27001:2022 (30/4/2024).
Jadi, Anda dapat melakukan tinjauan sertifikasi ulang terhadap standar versi ISO/IEC 27001:2013 asalkan tinjauan sertifikasi ulang Anda dimulai pada atau sebelum 29 April 2024. Anda kemudian perlu mentransisikan sertifikasi ISO/IEC 27001:2013 Anda ke ISO/IEC 27001:2022 pada atau sebelum 31 Oktober 2025 (sebagaimana disebutkan di bawah).
- Selain itu, hard deadline untuk resertifikasi terhadap ISO/IEC 27001:2013 adalah 36 bulan dari hari terakhir bulan publikasi ISO/IEC 27001:2022 (10/31/2025).
Masa Transisi Untuk Organisasi Yang Belum Bersertifikat
- Sesuai IAF MD 26:2023, organisasi yang belum disertifikasi tetapi ingin disertifikasi selama periode transisi tidak akan dapat memulai tinjauan sertifikasi awal terhadap standar versi ISO/IEC 27001:2013 setelah 30 April, 2024 (18 bulan setelah penerbitan ISO/IEC 27001:2022).
- Dengan kata lain, organisasi yang belum disertifikasi memiliki waktu hingga 29 April 2024, untuk memulai tinjauan sertifikasi awal mereka (mis., Tinjauan Tahap 1) terhadap ISO /IEC 27001:2013, jika tidak, mulai 30 April 2024, semua tinjauan sertifikasi awal harus dilakukan berdasarkan ISO/IEC 27001:2022.
(Ini merupakan peningkatan 6 bulan dari timeline asli yang terkandung dalam edisi 1 IAF MD 26, yang hanya memberikan 12 bulan.)
Kedaluwarsa Sertifikasi
Semua sertifikasi berdasarkan ISO/IEC 27001:2013 akan kedaluwarsa atau ditarik pada akhir masing-masing periode transisi.
Masa transisi untuk Badan Akreditasi
Badan Akreditasi akan memiliki waktu 12 bulan dari hari terakhir bulan publikasi ISO/IEC 27001:2022 (yaitu, batas waktu 31 Oktober 2025) untuk mentransisikan akreditasi Lembaga Sertifikasi (CB) mereka dan memungkinkan mereka untuk melakukan sertifikasi audit terhadap klien yang bersertifikat ISO/IEC 27001:2013 mereka.
Audit Transisi
- Audit transisi dapat dilakukan bersamaan dengan tinjauan pengawasan/sertifikasi ulang yang telah dijadwalkan atau dalam audit terpisah.
- Dengan asumsi tujuan audit transisi masih dapat dipenuhi, audit transisi dapat dilakukan dari jarak jauh.
- Audit transisi minimal harus mencakup hal-hal berikut (minimal):
- Gap analisis ISO/IEC 27001:2022, serta kebutuhan akan perubahan pada sistem manajemen keamanan informasi (SMKI) klien
- Pembaruan pada pernyataan penerapan (SOA)
- Pembaruan pada rencana penanganan risiko (jika berlaku)
- Penerapan kontrol baru atau yang diubah yang dipilih oleh klien sebagaimana berlaku sesuai SOA mereka (serta penilaian keefektifannya)
- Per IAF MD 26:2023:
- Ketika transisi dilakukan sehubungan dengan tinjauan sertifikasi ulang, tambahan satu setengah (0,5) hari auditor akan diperlukan untuk mengonfirmasi transisi klien bersertifikat.
- Ketika transisi dilakukan selama audit penilikan atau audit terpisah, satu hari tambahan penuh (1.0) akan diperlukan.
Jika audit transisi berhasil diselesaikan, dokumen sertifikat akan diperbarui untuk mencerminkan kesesuaian dengan ISO/IEC 27001:2022; namun, tanggal kedaluwarsa dari siklus sertifikasi saat ini tidak akan diubah.
Berkat IAF MD 26:2022 dan pembaruan berikutnya dalam IAF MD 26:2023, beberapa persyaratan transisi telah diuraikan yang dapat membantu Anda mengambil langkah internal yang diperlukan untuk persiapan.
Saat Anda memulai persiapan, pastikan Anda semua memahaminya dengan membaca konten kami yang lain tentang perubahan yang terkandung dalam standar baru.
Jika Anda memiliki pertanyaan tentang apa yang akan menjadi perubahan penting pada lanskap ISO, jangan ragu untuk menghubungi tim kami sehingga kami dapat membantu mengatasi masalah apa pun yang Anda miliki selama periode transisi ini.