Pemahaman terkait Perbedaan antara ISO 27002 dan ISO 27001

Pemahaman Terkait Perbedaan Antara ISO 27002 dan ISO 27001

ISO 27001 ini merupakan standar keamanan untuk informasi yang disampaikan melalui media elektronik.

ISO yang berlaku pada saat artikel ini ditulis adalah ISO 27001:2013 atau ISO/IEC 27001:2013. ISO 27001:2013 ini menggantikan ISO 27001:2005.

Pada ISO 27001 ini akan diuraikan mengenai spesifikasi dari information security managemen system atau ISMS. Perusahaan atau organisasi yang memenuhi standar ini akan mendapatkan sertfifikasi setelah menyelesaikan proses audit secara resmi.

Penerapan ISO 27001 dan pemberian sertifikat bervariasi dari suatu situasi ke situasi yang lain.

Secara umum kebutuhan penerapan iso 27001 ada dua yaitu :

Efisiensi dan efektifitas internal perusahaan

Dengan menerapkan ISO 27001 ini diharapkan perusahaan dapat menerapkan standar internasional yang sudah dilakukan melalui riset yang ketat. Perusahaan tidak perlu melakukan riset hal-hal apa yang perlu diterapkan mengenai ISO 27001, tinggal mengikuti dan menyesuaikan apa yang diuraikan oleh ISO 27001.

Bagi perusahaan yang memberikan layanan data center selain untuk efisiensi dan efektifitas layanan data center,  penerapan ISO 27001 merupakan sarana yang baik berkaitan pemasaran layanan perusahaan.

Bagi perusahaan yang berkecimplung di aplikasi dan menyewakan aplikasinya mungkin perlu memahami ISO 27001 sebagai pegangan dalam menjawab pertanyaan-pertanyaan yang disampaikan calon pelanggan kita berkaitan dengan keamanan dan ketersediaan aplikasi yang kita sewakan.

Kita juga dapat memilih provider cloud yang memenuhi standar ini. Tentu saja jika kita telah serius menyewakan aplikasi kita dan menunjukkan bahwa layanan kita handal kita harus menguasai ISO 27001 dan memastikan infrastruktur kita memenuhi standar ISO 27001.

ISO 27001 ini dikembangkan oleh team ISO/IEC  yang bergabung dengan komite teknik JTC 1.  JTC 1 sendiri merupakan lingkungan dalam pengembangan-pengembangan untuk standarisasi ICT (Information and Communication Technology) baik untuk bisnis maupun untuk konsumen.

Penerapan standar ISO/IEC 27001 selama ini disalah artikan hanya untuk perusahaan IT, tapi pada dasarnya bisa untuk semua perusahaan yang mengelola informasi sebagai proses bisnis utama mereka. Sistem ini akan membantu organisasi atau perusahaan Anda dalam membangun dan memelihara sistem manajemen keamanan informasi (ISMS).

Informasi adalah salah satu asset penting dan sangat berharga bagi kelangsungan hidup bisnis dan disajikan dalam berbagai format berupa : catatan, lisan, elektronik, pos, dan audio visual. Oleh karena itu, manajemen informasi penting untuk meningkatkan kesuksusesan yang kompetitif dalam semua sektor ekonomi.

Tujuan manajemen informasi adalah untuk melindungi kerahasiaan, integritas dan ketersediaan informasi.

ISMS merupakan seperangkat unsur yang saling terkait dengan organisasi atau perusahaan yang digunakan untuk mengelola dan mengendalikan risiko keamanan informasi dan untuk melindungi serta menjaga kerahasiaan (confidentiality), integritas (integrity) dan ketersediaan (availability) informasi.

Perbedaan ISO 27002 dengan ISO 27001

Mungkin kita sudah sering mendengar terkait ISO 27001, baik berupa definisi, cakupan ataupun sertifikasinya. Kali ini ISO Center akan membahas terkait ISO di bidang IT yang mungkin jarang terdengar di publik yakni ISO 27002. Sama- sama merupakan standar yang bekerja di bidang IT, ISO 27001 dan ISO 27002 memiliki beberapa perbedaan yang menarik untuk kita ketahui.

ISO 27002 adalah seperangkat standar dan prosedur yang berkaitan dengan keamanan dan kontrol informasi yang memungkinkan bisnis untuk menerapkan keamanan yang tepat.

Standar ini sebagian besar dilengkapi dengan ISO 27001 yang merinci tugas manajerial seperti penilaian risiko dan meninjau keamanan. Dilain pihak, ISO 27002 banyak berbicara tentang aspek kontrol.

Dua standar juga pernah digunakan sebelum ISO 27002 diadopsi. Pertama adalah BS7799 yang digunakan di Inggris dan muncul pada tahun 1995.

Setelah direvisi, BS7799 diterbitkan lagi oleh ISO sebagai ISO 17799. Pada tahun 2005, setelah suntingan lebih lanjut, ISO 17799 dikenal sebagai ISO 27002. Sementara setiap versi berbeda namun ketiganya sama-sama berurusan dengan keamanan informasi.

ISO 27002 memuat ratusan cara untuk menangani keamanan informasi dan memiliki banyak bab tentang cara mengamankan informasi.

Beberapa bab berkaitan dengan sumber daya manusia dan interaksi mereka dengan informasi, sementara yang lain memuat cara sebuah bisnis untuk mengontrol akses dan kelangsungan usaha dengan prosedur keamanan mereka. Keamanan informasi biasanya identik dengan teknologi informasi (TI), tetapi ISO 27002 juga berkaitan dengan mengamankan informasi diatas kertas, meskipun sebagian besar dari standar ini ditujukan untuk departemen TI.

Dalam rilis pertama, standar 27002 dimaksudkan untuk meliputi semua lembaga yang membutuhkan keamanan informasi. Ini berarti perusahaan, organisasi non-profit, lembaga pemerintah, dan entitas bisnis semua akan mengikuti standar yang sama.

Namun, versi selanjutnya memisahkan standar untuk berbagai sektor agar lebih efisien. ISO 27002 berisi rincian tentang pengendalian dan prosedur yang digunakan untuk menjaga informasi tetap aman. Standar lainnya, seperti ISO 27001, hanya berisi bagian kecil tentang kontrol.

Sebaliknya, 27002 banyak berkaitan dengan kontrol tapi menawarkan sedikit dalam hal manajemen. Pada ISO 27001, semua aspek manajemen tersebut turut dimasukkan.

Itu sebab, banyak orang bingung membedakan ISO 27001 dan 27002 karena keduanya menangani subyek yang sama meskipun dengan cara yang berbeda. Pemisahan dilakukan karena jika keduanya disatukan akan menghasilkan dokumen yang terlalu panjang dan malah membingungkan.

Qyusi Global Indonesia | Konsultan ISO, Pelatihan ISO, Sertifikasi ISO | Konsultan SMK3, Sertifikasi SMK3 | Dokumen ISO, CSMS dan SOP. Siap Membantu perusahaan Anda dengan Proses Fleksible menyesuaikan kondisi dan kebutuhan perusahaan Anda