ISO 27001 adalah standar yang diakui secara internasional sebagai acuan organisasi dalam menerapkan Sistem Manajemen Keamanan Informasi. Standar ini mencakup kebijakan, prosedur, serta rangkaian kontrol untuk mengelola dan mengendalikan risiko keamanan informasi. Sejak diterbitkan pertama kali pada tahun 2005, standar ini telah mengalami revisi pada tahun 2013.
Standar ISO 27001:2013 kembali diperbarui dan diterbitkan pada Oktober 2022. Tujuannya agar lebih relevan dengan ancaman keamanan dan teknologi yang marak terjadi saat ini. Pembaruan standar ini tentu saja memunculkan beberapa pertanyaan, khususnya terkait masa berlaku sertifikat ISO 27001:2013 yang telah dimiliki perusahaan-perusahaan tersertifikasi.
Baca juga: Implementasi dan Sertifikasi ISO 27001
Masa berlaku sertifikat ISO 27001
Masa berlaku sertifikat ISO 27001:2013 adalah 3 tahun, dengan ketentuan melaksanakan audit pengawasan (audit survailan) setiap 1 tahun sekali. Ketentuan Audit Survailan kembali pada kebijakan dari Lembaga Sertifikasi yang dipilih organisasi. Tujuan audit tersebut adalah untuk melihat kelayakan dan konsistensi organisasi dalam mengimplementasikan sistem keamanan informasi berdasarkan ISO 27001.
Dalam proses audit survailan Lembaga Sertifikasi akan melakukan pengecekan implementasi sistem Perusahaan sejak mendapatkan sertifikasi ISO 27001. Apakah sistem tersebut tetap diterapkan secara konsisten atau sebaliknya. Apabila ditemukan aspek yang implementasinya tidak sesuai atau bahkan berakibat fatal, hal ini tentu akan berpengaruh terhadap hasil audit yang diterima nantinya. Dimana dapat mengakibatkan sertifikat ditangguhkan (suspend) atau bahkan dibatalkan (withdrawn).
Setelah masa sertifikasi 3 tahun habis, maka diperlukan perpanjangan sertifikasi ISO 27001 agar status Perusahaan tetap tersertifikasi. Dalam hal ini Perusahaan harus kembali melaksanakan proses sertifikasi (reassessment).
Baca juga: Bagaimana Proses Transisi ISO 27001 dilakukan?
Apakah sertifikat ISO 27001:2013 masih berlaku?
Versi standar ISO 27001 telah diperbarui menjadi ISO 27001:2022. Dengan terbitnya versi terbaru, menandakan bahwa perusahaan yang telah mengimplementasikan ISO 27001 harus melakukan penyesuaian atau transisi terhadap sistem yang sudah ada. Bagaimana dengan perusahaan yang telah berhasil tersertifikasi?
Walaupun ISO 27001:2022 sudah diterbitkan, baik Lembaga Sertifikasi maupun Lead Auditor masih dalam proses penyesuaian dan transisi dari versi lama ke versi barunya. Sehingga perusahaan atau organisasi masih bisa menggunakan ISO 27001:2013 karena sumber daya untuk ISO 27001:2022 belum siap.
Baca juga: ISO 27001 vs GDPR
Persiapan Sertifikasi dan Implementasi ISO 27001
Persiapan yang harus dilaksanakan perusahaan sebelum melaksanakan sertifikasi ISO 27001 adalah proses persiapan dokumen dan implementasi sistem. Pada tahap ini perusahaan melakukan persiapan implementasi sistem yaitu penyusunan dokumen berupa kebijakan mutu, sasaran, prosedur, catatan, dan dokumen lain yang dipersyaratkan. Setelah semua dokumen telah siap, selanjutnya perusahaan akan melakukan implementasi sistem sesuai prosedur yang telah disusun tersebut.
Pada umumnya proses implementasi sistem dilaksanakan minimal 1-2 tahun sampai akhirnya perusahaan siap melakukan sertifikasi. Implementasi sistem berguna untuk menguji kesiapan perusahaan dalam melaksanakan audit sertifikasi. Karena dalam prosesnya perusahaan akan dapat menemukan kekurangan-kekurangan pada sistem yang dibuat dan langsung memperbaikinya. Hal ini mengurangi risiko munculnya temuan audit dengan kategori major, minor, dan observasi, bahkan kegagalan sertifikasi.
Masa transisi ISO 27001:2022 adalah tiga tahun dari tanggal publikasi yaitu Oktober 2022. Sehingga perusahaan harus mematuhi standar yang diperbarui tersebut paling lambat pada Oktober 2025. Dengan jangka waktu yang diberikan untuk melakukan transisi, diharapkan perusahaan dapat melaksanakan ketentuan dan persyaratan pada standar terbaru secara efektif dan efisien.
Baca juga: Tujuan ISO 27001 dan kaitannya dengan Pengamanan Aset Informasi Perusahaan
Ketentuan Sertifikasi ISO 27001 Pasca Release versi 2022
Sertifikasi ISO 27001 dapat dilakukan dengan catatan sebagai berikut.
A. Bagi perusahaan bersertifikat ISO 27001:
- Hingga Oktober 2023, audit dapat dilakukan terhadap ISO/IEC 27001:2013 atau ISO/IEC 27001:2022 atas permintaan perusahaan.
- Ketidakpatuhan terhadap persyaratan tambahan dalam edisi 2022 akan dianggap sebagai Areas of Concern, dan harus ditutup sebelum masa transisi.
- Mulai Oktober 2023, semua audit harus mengikuti ISO/IEC 27001:2022.
B. Bagi perusahaan yang akan sertifikasi ISO 27001:
- Perusahaan yang mengajukan sertifikasi sebelum tanggal penerbitan edisi 2022 akan dinilai kepatuhannya terhadap ISO/IEC 27001:2013
- Perusahaan yang mengajukan sertifikasi setelah tanggal penerbitan edisi 2022 akan dinilai kepatuhannya terhadap ISO/IEC 27001:2022
Sebagai catatan, transisi dari ISO 27001:2013 ke ISO 27001:2022 akan membutuhkan waktu tambahan untuk melakukan peningkatkan komponen audit.
Baca juga: Biaya Sertifikasi ISO 27001