ISO 27001 vs. ISO 27002
Jika Anda menemukan ISO 27001 dan ISO 27002, Anda mungkin memperhatikan bahwa ISO 27002 jauh lebih rinci, jauh lebih tepat – jadi, apa tujuan dari ISO 27001?
Pertama-tama, Anda tidak bisa mendapatkan sertifikasi ISO 27002 karena ini bukan standar manajemen. Apa yang dimaksud dengan standar manajemen? Ini berarti bahwa standar semacam itu mendefinisikan cara menjalankan sistem, dan dalam kasus ISO 27001, ia mendefinisikan sistem manajemen keamanan informasi (ISMS) oleh karena itu, sangat dimungkinkan jika dapat sertifikasi ISO 27001.
Sistem manajemen ini berarti bahwa keamanan informasi harus direncanakan, dilaksanakan, dipantau, ditinjau, dan ditingkatkan. Artinya manajemen memiliki tanggung jawab yang berbeda, bahwa tujuan harus ditetapkan, diukur dan ditinjau, bahwa audit internal harus dilakukan dan sebagainya. Semua elemen tersebut didefinisikan dalam ISO 27001, tetapi tidak dalam ISO 27002.
Perbedaan Antara Kontrol dalam ISO 27002 dan ISO 27001
Kontrol dalam ISO 27002 diberi nama yang sama seperti pada Lampiran A ISO 27001 – misalnya, dalam ISO 27002, kontrol 6.1.2 diberi nama “Pemisahan tugas,” sedangkan dalam ISO 27001 adalah “A.6.1.2 Pemisahan tugas.” Namun, perbedaannya ada pada tingkat detailnya rata-rata, ISO 27002 menjelaskan satu kontrol pada satu halaman penuh, sedangkan ISO 27001 hanya mendedikasikan satu kalimat untuk setiap kontrol.
Akhirnya, perbedaannya adalah bahwa ISO 27002 tidak membuat perbedaan antara kontrol yang berlaku untuk organisasi tertentu, dan yang tidak. Di sisi lain, ISO 27001 menetapkan penilaian risiko yang harus dilakukan untuk mengidentifikasi untuk setiap kontrol apakah diperlukan untuk mengurangi risiko, dan jika ya, sejauh mana itu harus diterapkan.
Pertanyaannya adalah: mengapa kedua standar itu ada secara terpisah, mengapa mereka tidak digabungkan, menyatukan sisi positif dari kedua standar? Jawabannya adalah kegunaan jika itu adalah standar tunggal, itu akan terlalu rumit dan terlalu besar untuk penggunaan praktis.
Baca juga : Pentingnya Tujuan Kontrol ISO 27001
Standar Mana yang Digunakan dari Seri ISO 27000 dan Kapan Digunakan
Setiap standar dari seri ISO 27000 dirancang dengan fokus tertentu. Jika Anda ingin membangun fondasi keamanan informasi di organisasi Anda, dan merancang kerangka kerjanya, Anda harus menggunakan ISO 27001. Tetapi jika Anda ingin menerapkan kontrol, Anda harus menggunakan ISO 27002, jika Anda ingin melakukan penilaian risiko dan perawatan risiko, maka harus menggunakan ISO 27005 dll.
Sebagai kesimpulan, dapat dikatakan bahwa tanpa rincian yang disediakan dalam ISO 27002, kontrol yang didefinisikan dalam Lampiran A ISO 27001 tidak dapat diimplementasikan; namun, tanpa kerangka kerja manajemen dari ISO 27001, ISO 27002 akan tetap hanya upaya terisolasi dari beberapa penggemar keamanan informasi, tanpa penerimaan dari manajemen puncak dan oleh karena itu tanpa dampak nyata pada organisasi.
Baca juga : Bagaimana Melakukan Pelatihan Awareness untuk ISO 27001 dan ISO 22301
Qyusi Global Indonesia merupakan perusahaan yang bergerak dibidang konsultasi ISO, SMK3 dan Kontraktor.
Selain itu Qyusi Global Indonesia juga bergerak dibidang Man Power Supply.
Dengan proses yang fleksibel, harga yang bersahabat dengan mengutamakan target dan kepuasan klien membuat Qyusi Global Indonesia sangat dipercaya dan banyak direkomendasikan dalam berbagai macam bisnis.
