Analisis Kesenjangan ISO 27001 vs. Penilaian Risiko
Sangat sering, saya melihat orang mengacaukan analisis kesenjangan dengan penilaian risiko – yang dapat dimengerti, karena tujuan keduanya adalah untuk mengidentifikasi kekurangan dalam keamanan informasi perusahaan mereka. Namun, dari perspektif ISO 27001, dan dari perspektif auditor sertifikasi, keduanya sangat berbeda.
Apa Itu Analisis Kesenjangan ISO 27001?
Analisis kesenjangan tidak lain adalah membaca setiap klausul ISO 27001 dan menganalisis apakah persyaratan itu sudah diterapkan di perusahaan Anda. Ketika Anda melakukannya, Anda dapat mengatakan Ya atau Tidak, atau Anda dapat menggunakan skala yang mirip dengan ini:
- 0 – persyaratan tidak dilaksanakan atau direncanakan
- 1 – persyaratan direncanakan tetapi tidak dilaksanakan
- 2 – persyaratan hanya diterapkan sebagian, sehingga efek penuh tidak dapat diharapkan
- 3 – Persyaratan diterapkan, tetapi pengukuran, peninjauan, dan peningkatan tidak dilakukan
- 4 – persyaratan diterapkan, dan pengukuran, peninjauan, dan peningkatan dilakukan secara teratur
Analisis kesenjangan tidak wajib dalam ISO 27001; itu dilakukan secara tidak langsung ketika mengembangkan Pernyataan Penerapan Anda klausa 6.1.3 d) mengatakan Anda perlu menentukan “… apakah itu [kontrol yang diperlukan] diterapkan atau tidak.”
Oleh karena itu, Anda tidak perlu melakukan analisis kesenjangan untuk klausa bagian utama standar – hanya untuk kontrol dari Lampiran A. Selanjutnya, analisis kesenjangan tidak perlu dilakukan sebelum dimulainya implementasi ISO 27001 – Anda harus melakukannya sebagai bagian dari Pernyataan Penerapan Anda, hanya setelah penilaian dan perawatan risiko.
Perbedaan antara analisis kesenjangan dan penilaian risiko
Analisis kesenjangan memberi tahu Anda seberapa jauh Anda dari persyaratan/kontrol ISO 27001; itu tidak memberi tahu Anda masalah mana yang dapat terjadi atau kontrol mana yang harus diterapkan. Penilaian risiko memberi tahu Anda insiden mana yang dapat terjadi dan kontrol mana yang harus diterapkan, tetapi tidak memberi Anda gambaran umum tentang kontrol mana yang sudah diterapkan.
Meskipun penilaian risiko sangat penting untuk implementasi ISO 27001, analisis kesenjangan hanya dilakukan secara tidak langsung saat menulis Pernyataan Penerapan – oleh karena itu, yang satu bukan pengganti yang lain, dan keduanya diperlukan, tetapi dalam fase implementasi yang berbeda dan dengan tujuan yang berbeda.
Terkadang perusahaan melakukan analisis kesenjangan sebelum dimulainya implementasi ISO 27001, untuk merasakan di mana mereka berada saat ini, dan untuk mengetahui sumber daya mana yang perlu mereka gunakan untuk menerapkan ISO 27001. Namun, kegunaan pendekatan tersebut diragukan, karena hanya penilaian risiko yang akan menunjukkan sejauh mana sebenarnya dari apa yang perlu diterapkan dan dalam bentuk apa.
Qyusi Global Indonesia merupakan perusahaan yang bergerak dibidang konsultasi ISO, SMK3 dan Kontraktor.
Selain itu Qyusi Global Indonesia juga bergerak dibidang Man Power Supply.
Dengan proses yang fleksibel, harga yang bersahabat dengan mengutamakan target dan kepuasan klien membuat Qyusi Global Indonesia sangat dipercaya dan banyak direkomendasikan dalam berbagai macam bisnis.
