Perubahan Pembaruan Pedoman ISO 27002:2013 vs ISO 27002:2022
Contents
Jika Anda pengguna iPhone, mungkin tahu bahwa Apple hampir setiap tahun merilis iPhone versi baru. Namun terkadang, versi terbarunya terlihat sangat mirip sehingga Anda bertanya-tanya apa perbedaannya dan Anda harus menggali spesifikasi masing-masing sebelum Anda membelinya.
Mengenai pembaruan terbaru untuk ISO 27002, Anda tidak perlu bertanya-tanya seperti apa perbedaannya dengan versi 2013, yang mana perbedaannya sangatlah mencolok.
Sebagai Konsultan Sertifikasi ISO, kami di sini untuk membantu organisasi Anda dalam memahami dan melakukan pembuatan yang dibutuhkan sesuai proses bisnis organisasi Anda untuk ISO 27001. Dalam artikel ini, kami akan menjelaskan perbedaan pedoman ISO 27002:2013 dengan versi terbaru ISO 27002:2022.
ISO 27002:2013 vs ISO 27002:2022
Apa saja perubahannya?
Pengelompokan ulang dari 14 kategori menjadi 4 kategori atau tema utama, sehingga lebih mudah ditemukan.
14 Kategori atau Kontrol Utama ISO 27002:2013
Kontrol ISO 27002:2013 (A.5 - A.18) | |||
|---|---|---|---|
A.5 Kebijakan keamanan informasi | A.6 Organisasi keamanan informasi | A.7 Keamanan sumber daya manusia | A.8 Manajemen aset |
A.9 Kontrol akses | A.10 Kriptografi | A.11 Keamanan fisik dan lingkungan | A.12 Keamanan operasi |
A.13 Keamanan komunikasi | A.14 Akuisisi, pengembangan dan pemeliharaan sistem | A.15 Hubungan pemasok | A.16 Manajemen insiden keamanan informasi |
A.17 Aspek keamanan informasi manajemen kelangsungan bisnis | A.18 Kepatuhan | ||
4 Kategori atau Kontrol Utama ISO 27002:2022
- Klausul 6 – Orang (kontrol yang menyangkut individu)
- Klausul 7 – Fisik (kontrol yang menyangkut objek fisik)
- Klausul 8 – Teknologi (kontrol yang menyangkut teknologi)
- Klausul 5 – Organisasi (kontrol yang melibatkan hal lain)
Perangkat sub-kontrol ISO 27002
Sebagai bagian dari modernisasi ini, 57 kontrol dari 27002:2013 digabungkan dan dikonsolidasikan menjadi hanya 24 untuk tujuan penyederhanaan. 11 kontrol baru juga diperkenalkan dalam standar baru.
Di mana untuk versi lama terdapat 114 sub-kontrol, tetapi ISO 27002:2022 sekarang hanya 93 sub-kontrol, penyederhanaan ini dimaksudkan untuk menghapus referensi usang dan membantu organisasi lebih memahami sub-kontrol yang direkonstruksi. 75% dari sub-kontrol ini berada dalam tema Organisasi dan Teknologi yang disebutkan di atas.
Hal yang menyenangkan adalah bahwa semua kontrol dari versi 2013 dipetakan ke sub-kontrol 2022. Berikut adalah tabel perbandingan sub-kontrol ISO 27002:2022 dengan konsolidasi ISO 27002:2013:
Sub-kontrol ISO 27002:2022 | Sub-kontrol ISO 27002:2013 |
|---|---|
5.1 Kebijakan untuk keamanan informasi | 5.1.1, 5.1.2 |
5.8 Keamanan informasi dalam manajemen proyek | 6.1.5, 14.1.1 |
5.9 Inventarisasi informasi dan aset terkait lainnya | 8.1.1, 8.1.2 |
5.10 Penggunaan informasi dan aset terkait lainnya yang dapat diterima | 8.1.3, 8.2.3 |
5.14 Transfer informasi | 13.2.1, 13.2.2, 13.2.3 |
5.15 Kontrol akses | 9.1.1, 9.1.2 |
5.17 Informasi autentikasi | 9.2.4, 9.3.1, 9.4.3 |
5.18 Hak akses | 9.2.2, 9.2.5, 9.2.6 |
5.22 Memantau, meninjau dan mengubah manajemen layanan pemasok | 15.2.1, 15.2.2 |
5.29 Keamanan informasi selama gangguan | 17.1.1, 17.1.2, 17.1.3 |
5.31 Identifikasi persyaratan hukum, undang-undang, peraturan dan kontrak | 18.1.1, 18.1.5 |
5.36 Kepatuhan terhadap kebijakan dan standar keamanan informasi | 18.2.2, 18.2.3 |
6.8 Pelaporan peristiwa keamanan informasi | 16.1.2, 16.1.3 |
7.2 Kontrol entri fisik | 11.1.2, 11.1.6 |
7.10 Media penyimpanan | 8.3.1, 8.3.2, 8.3.3, 11.2.5 |
8.1 Perangkat endpoint pengguna | 6.2.1, 11.2.8 |
8.8 Pengelolaan kerentanan teknis | 12.6.1, 18.2.3 |
8.15 Pencatatan | 12.4.1, 12.4.2, 12.4.3 |
8.19 Instalasi perangkat lunak pada sistem operasional | 12.5.1, 12.6.2 |
8.24 Penggunaan kriptografi | 10.1.1, 10.1.2 |
8.26 Persyaratan keamanan aplikasi | 14.1.2, 14.1.3 |
8.29 Pengujian keamanan dalam pengembangan dan penerimaan | 14.2.8, 14.2.9 |
8.31 Pemisahan lingkungan pengembangan, pengujian dan produksi | 12.1.4, 14.2.6 |
8.32 Manajemen perubahan | 12.1.2, 14.2.2, 14.2.3, 14.2.4 |
Melangkah Maju dengan Sertifikasi ISO 27001
ISO 27002 memberikan panduan tentang cara membuat rangkaian kontrol dengan benar untuk memitigasi risiko yang diidentifikasi melalui proses penilaian risiko sistem manajemen keamanan informasi (ISMS), yang hanya akan Anda lakukan jika Anda berusaha untuk melakukan sertifikasi ISO 27001.
Standar ISO 27001 telah diperbarui bersama 27002, tetapi keduanya terkait erat sub-kontrol ISO 27002:2022 menggantikan yang ada di ISO 27001:2013 (A.5-A.18 “Lampiran A”), yang sebelumnya berdasarkan ISO 27002:2013, menjadikan apa yang baru saja Anda baca penting untuk sertifikasi Anda berikutnya.
Dengan demikian, transisi ke versi baru dari standar terkait ini sedang berlangsung—untuk detail yang kami miliki tentang itu, lihat artikel kami tentang persyaratan transisi. Sementara itu, jika Anda memiliki pertanyaan tentang konten di atas atau pertimbangan lain terkait pembaruan signifikan terhadap standar ini, jangan ragu untuk menghubungi kami. Anda akan terhubung dengan salah satu pakar kami yang siap membantu Anda.
