ISO kembali melaksanakan pembaruan standar ISO 27001 pada oktober 2022. Hal ini dilakukan agar standar acuan lebih relevan dengan ancaman keamanan dan teknologi saat ini. Selain itu, Anda tidak perlu khawatir karena perubahan pada standar ini tidak berpengaruh terhadap sertifikat standar yang sudah ada. Sehingga, jika sebelumnya Perusahaan telah memperoleh sertifikasi ISO 27001:2013, sertifikat ini masih akan tetap berlaku.
Walaupun begitu, sebagai gantinya perusahaan tersertifikasi harus bekerja sama dengan Lembaga Sertifikasi terkait dalam periode transisinya, sehingga perusahaan dapat beralih ke versi terbaru secara efisien. Masa transisi ke ISO/IEC 27001:2022 adalah tiga tahun dari tanggal publikasi yaitu sejak Oktober 2022. Sehingga perusahaan harus mematuhi Standar yang diperbarui paling lambat Oktober 2025.
Bagaimana mempersiapkan transisi sistem manajemen informasi perusahaan?
Perusahaan harus memastikan transisi dilakukan dengan lancar dengan meminimalkan gangguan yang mungkin terjadi. Hal-hal yang harus dipertimbangkan untuk proses transisi adalah sebagai berikut:
- Membangun program pelatihan bagi personil yang terlibat dalam implementasi SMKI
- Membiasakan dengan 93 kontrol pada ISO 27002:2022
- Lakukan identifikasi terhadap kontrol yang telah diterapkan di perusahaan yang terpengaruh oleh perubahan yang terjadi
- Siapkan dokumentasi yang dibutuhkan dalam proses transisi
Langkah-langkah transisi ISO 27001
Berikut adalah langkah yang dapat dilakukan perusahaan dalam rangka mempersiapkan transisi ISO 27001:2022.
1. Lakukan Analisis Kesenjangan (Gap Analysis)
Perusahaan memiliki peluang untuk meninjau daftar risiko dari Sistem Manajemen Keamanan Informasi yang tersedia. Kemudian lakukan penilaian risiko untuk menentukan kesesuaian dan implementasi di perusahaan. Meskipun tidak ada pengendalian yang dihapus antara versi 2013 dan standar ISO 27001 versi 2022, namun penggabungan, pembaruan, dan pengenalan kontrol baru akan memengaruhi pengelolaan sistem yang sedang berjalan.
Dengan menganalisis kesenjangan antara sistem saat ini dengan pengendalian ISO 27002:2022 akan membantu perusahaan memahami seberapa besar SMKI yang sedang berjalan akan terpengaruh dengan perubahan yang terjadi. Kemudian apa saja yang perlu disesuaikan dengan standar yang baru. Proses ini juga akan membantu Anda menentukan apakah dan bagaimana pengendalian baru dapat membantu perusahaan mengelola risiko dalam SMKI.
2. Mempertimbangkan Atribut
Dengan adanya Atribut dalam standar ISO 27002:2022, perusahaan dapat menggunakan proses peninjauan untuk mengimplementasikan atribut itu sendiri. Atribut ini memberikan kemampuan bagi perusahaan dalam melakukan kategorisasi pengendalian dilihat dari perspektif yang berbeda. Misalnya, perusahaan dapat melihat pengendalian dari perspektif tipe pengendalian (preventative, detective, or corrective controls), berdasarkan properti keamanan yang berbeda (confidentiality, integrity, availability), atau berdasarkan kemampuan operasional yang berbeda (governance, identity, and access management, legal, and compliance), dan lain-lain.
3. Optimalkan Statement of Applicability
Saat melakukan peninjauan, perusahaan harus mempertimbangkan untuk membuat Statement of Applicability paralel berdasarkan pengendalian versi 2022, termasuk pengendalian namanya mengalami penggantian, penggabungan, maupun baru ditambahkan. Hal ini disebabkan oleh waktu transisi. Audit yang dilakukan sebelum audit transisi masih harus sesuai dengan versi 2013. Dengan demikian harus mengacu pada persyaratan masing-masing.
4. Mempertimbangkan Sumber Daya untuk Transisi
Meskipun persyaratan ISO 27001 2022 belum berubah, pembaruan untuk pengendalian yang tercantum dalam Lampiran A mengharuskan perusahaan untuk mempertimbangkan bagaimana mereka akan menerapkan pembaruan ini.
Pelatihan auditor internal SMKI adalah keharusan bagi perusahaan untuk memastikan personil memahami apa yang diperlukan dan membantu perusahaan menjembatani kesenjangan yang ada. Pemilik pengendalian juga perlu dimasukkan dalam program pendidikan untuk menentukan pengaruhnya terhadap penilaian dan penanganan risiko perusahaan. Program training dapat membantu manajemen perubahan, serta memberikan personil waktu dan kesempatan untuk menyesuaikan diri dengan perubahan yang ada.
Terra Solusi siap mendampingi perusahaan dalam pelaksanaan proses implementasi sistem ISO 27001 dengan memperhatikan langkah-langkah penting dalam melaksanakan transisi. Mulai dari gap analisis, penyusunan general dokumen serta mandatory dokumen, melakukan internal audit sampai dengan memperoleh sertifikat ISO 27001 yang dibutuhkan. Selain memudahkan perusahaan dalam pengurusan ISO, penggunaan jasa konsultan juga akan mempercepat proses perusahaan mendapatkan sertifikat ISO 27001.
Kami siap membantu anda memperhitungkan biaya yang efektif dan efisien dalam melaksanakan sertifikasi ISO 27001. Besaran biaya ditentukan sesuai dengan kebutuhan serta kesepakatan bersama Terra Solusi.
Baca juga: Biaya Sertifikasi ISO 27001