Kontak
Kontak

Mengenal 4 Atribut Baru dalam ISO 27001:2022 untuk Klasifikasi Data Negara.

Keamanan informasi bukan lagi sekadar “opsi,” melainkan fondasi utama bagi tata kelola data negara. Seiring dengan dirilisnya versi terbaru ISO/IEC 27001:2022, terdapat perubahan signifikan pada Lampiran A (Annex A) yang kini mengadopsi kontrol dari ISO/IEC 27002:2022.

Salah satu perubahan paling revolusioner adalah diperkenalkannya Atribut Kontrol. Atribut ini berfungsi seperti “hashtag” atau label yang memudahkan organisasi khususnya instansi pemerintah untuk mengklasifikasikan, mengelompokkan, dan menyaring kontrol keamanan sesuai kebutuhan spesifik.

 

1. Control Type (Tipe Kontrol)

Atribut ini membantu organisasi menentukan kapan dan bagaimana sebuah kontrol bekerja dalam menghadapi insiden keamanan. Dalam konteks data negara yang sensitif, ini sangat krusial untuk manajemen risiko yang berlapis.

Terdapat tiga kategori dalam atribut ini:

  • Preventive (Pencegahan): Kontrol yang dirancang untuk menghentikan insiden sebelum terjadi (contoh: enkripsi data kependudukan).
  • Detective (Pendeteksian): Kontrol yang beraksi saat kejadian berlangsung untuk memberikan peringatan (contoh: sistem monitoring akses ilegal).
  • Corrective (Pemulihan): Kontrol yang bekerja setelah insiden terjadi untuk memulihkan keadaan (contoh: prosedur backup data nasional).
2. Information Security Properties (Sifat Keamanan Informasi)

Setiap kontrol dalam ISO 27001:2022 kini dilabeli berdasarkan aspek CIA Triad (Confidentiality, Integrity, Availability). Ini adalah pilar utama dalam menjaga kedaulatan data.

  • Confidentiality (Kerahasiaan): Memastikan hanya pihak berwenang yang bisa mengakses data (misal: data intelijen atau rahasia negara).
  • Integrity (Integritas): Menjamin data tetap akurat dan tidak diubah oleh pihak yang tidak sah (misal: data hasil pemilu atau anggaran negara).
  • Availability (Ketersediaan): Memastikan data selalu dapat diakses saat dibutuhkan oleh publik atau pejabat terkait (misal: sistem layanan paspor online).
3. Cybersecurity Concepts (Konsep Keamanan Siber)

Atribut ini sangat menarik karena diselaraskan dengan kerangka kerja global NIST Cybersecurity Framework. Ini memberikan pandangan strategis bagi negara dalam memetakan pertahanan siber mereka secara sistematis.

Lima kategori dalam atribut ini meliputi:

  1. Identify: Mengenali aset data negara yang paling berharga dan risiko yang mengintainya.
  2. Protect: Menerapkan perlindungan maksimal pada aset tersebut.
  3. Detect: Kemampuan menemukan serangan atau anomali secara cepat.
  4. Respond: Langkah taktis yang diambil saat serangan terdeteksi agar dampak tidak meluas.
  5. Recover: Mengembalikan layanan publik ke kondisi normal secepat mungkin setelah gangguan.
4. Operational Capabilities (Kemampuan Operasional)

Atribut ini bersifat sangat praktis. Ia melihat kontrol dari sudut pandang praktisi di lapangan atau departemen mana yang bertanggung jawab menjalankannya. Hal ini memudahkan pembagian tugas antar lembaga negara.

Beberapa contoh kategori di bawah atribut ini meliputi:

  • Governance: Kebijakan dan arahan strategis dari level pimpinan pusat/kementerian.
  • Asset Management: Pengelolaan siklus hidup perangkat keras dan lunak milik pemerintah.
  • Information Protection: Fokus spesifik pada perlindungan konten data itu sendiri.
  • Physical Security: Pengamanan fisik gedung server, pusat data nasional, hingga ruang arsip fisik.
Mengapa Atribut Ini Penting untuk Data Negara?

Sebelum adanya atribut ini, daftar kontrol dalam ISO 27001 sering dianggap sebagai daftar panjang yang kaku dan sulit dipahami oleh non-teknis. Dengan adanya 4 atribut baru ini, instansi negara mendapatkan manfaat nyata:

  • Automasi dan Integrasi: Labeling memudahkan integrasi dengan perangkat lunak manajemen risiko (GRC tools) sehingga laporan keamanan bisa dihasilkan secara otomatis.
  • Komunikasi Lintas Sektoral: Memudahkan komunikasi antara tim teknis (IT) dengan pengambil kebijakan (Menteri/Kepala Lembaga) karena bahasa yang digunakan lebih terstruktur.
  • Skala Prioritas: Pemerintah dapat dengan mudah menyaring kontrol mana yang paling berdampak pada “Kerahasiaan” jika mereka sedang menangani data militer, atau fokus pada “Ketersediaan” untuk layanan kesehatan masyarakat.
Kesimpulan

Transisi ke ISO 27001:2022 bukan sekadar mengganti dokumen lama dengan yang baru. Empat atribut kontrol ini adalah alat navigasi modern yang memungkinkan negara untuk tidak hanya “bertahan,” tetapi juga secara cerdas memetakan kekuatan dan kelemahan dalam menjaga kedaulatan digitalnya di era yang semakin kompleks.

Keamanan Informasi di Awan (Cloud): Menerapkan Kontrol Layanan Cloud sesuai ISO 27001:2022.

Leave A Comment

DIGITAMA siap membantu memberikan guideline proses transformasi proses bisnis perusahaan dari konvensional menjadi otomasi yang berbasis teknologi informasi.

Kec. Depok, Kabupaten Sleman, DIY 55281
Senin - Jumat
08.00 - 17.30
Contact us
WeCreativez WhatsApp Support
DIGITAMA siap membantu memberikan guideline proses transformasi proses bisnis Instansi anda dari konvensional menjadi otomasi yang berbasis teknologi informasi.
👋 Hi, Kami Siap Membantu
Hi, Apakah ada yang bisa kami bantu?