Standar ISO/IEC 27001 dan ISO/IEC 20000-1 merupakan dua standar teknologi Informasi paling populer digunakan oleh perusahaan dan organisasi bisnis di seluruh dunia. Kedua standar ini memiliki banyak kesamaan, sehingga jika Anda telah menerapkan salah satunya, maka penerapan yang lain akan menjadi jauh lebih mudah.
Dengan semakin banyaknya bisnis yang berinvestasi dalam proses keamanan informasi, maka juga terjadi peningkatan sertifikasi ISO/IEC 27001. Bersamaan dengan pertumbuhan ini, banyak pihak memiliki keingintahuan tentang ISO/IEC 20000-1. Kedua standar ini memang memiliki kesamaan tetapi terdapat perbedaan didalamnya, lebih tepatnya, keduanya saling melengkapi.
Oleh karena itu, ikuti penjelasan di bawah ini untuk mengetahui lebih lengkap.
Apa Itu ISO/IEC 27001?
ISO/IEC 27001:2013 atau ISMS (Information Security Management System) merupakan sebuah standar khusus yang terstruktur tentang pengamanan informasi yang diakui secara internasional. Pengamanan informasi tersebut dapat dicapai dengan melakukan suatu kontrol yang terdiri dari kebijakan, proses, prosedur, struktur organisasi, serta fungsi-fungsi infrastruktur TI.
Standar ini dirancang untuk meningkatkan keamanan informasi, praktek keamanan informasi yang baik, dan kebijakan untuk membantu mencegah penyalahgunaan dan pengubahan informasi dan komputasi sistem yang sensitif. Penerapan standar ISO/IEC 27001 akan membantu perusahaan membangun dan memelihara sistem manajemen keamanan informasi (ISMS).
Apa Itu ISO/IEC 20000-1?
Standar ISO/IEC 20000-1:2018 menetapkan persyaratan bagi organisasi untuk menetapkan, menerapkan, memelihara, dan terus meningkatkan sistem layanan manajemen atau Service Management Systems (SMS). Persyaratan yang ditentukan dalam standar ini termasuk perencanaan, desain, transisi, pengiriman dan peningkatan layanan untuk memenuhi persyaratan layanan dan memberikan nilai.
Standar ini pertama kali diterbitkan pada tahun 2005 dan kemudian diaktifkan pada tahun 2011. Versi ketiga, revisi yang sepenuhnya dari standar (ISO/IEC 20000: 2018 Bagian 1) dirilis pada 15 September 2018 dan diterbitkan kedua (ISO / IEC 20000-1 : 2011.
Bagaimana Persamaan ISO/IEC 27001 dan ISO/IEC 20000-1?
Sistem Manajemen Keamanan Informasi (ISMS) berbasis ISO/IEC 27001 mungkin tampak seperti hanya terkait dengan perlindungan informasi, namun informasi adalah istilah yang luas, dan dapat mencakup data mentah, lokasi, dan peralatan tempat data disimpan.
Manajemen ini juga mencakup perangkat keras, perangkat lunak, operasi pemrosesan, manajemen, orang, dan organisasi itu sendiri. Selain itu, juga mencakup saluran komunikasi, pemasok, pengadaan, pengembangan, dan peraturan perundang-undangan. ISO/IEC 27001 faktanya berhubungan dengan lebih dari sekedar informasi atau data yang biasanya kita harapkan.
Sementara itu, standar ISO/IEC 20000-1 Service Management System (SMS) juga mirip dengan ISO/IEC 27001. Sistem ini mendefinisikan, mengimplementasikan, mengelola, dan meningkatkan layanan TI lewat desainnya melalui manajemen dan peningkatan setelah dirilis ke luar.
Baca juga:
- Pentingnya Peran Data Protection Untuk Keamanan Data Anda
- Ciri Ciri Pelatihan ISO/IEC 27001 Terbaik
- Proses/Kaidah Mendapatkan ISO 27001:2013
Standar ini mencakup bagaimana layanan dibangun, bagaimana layanan itu digunakan, dan bagaimana layanan itu menangani masalah yang terjadi. Termasuk rincian tentang bagaimana Anda mengatur organisasi Anda, bagaimana Anda menangani pihak ketiga, bagaimana Anda melaporkan kepuasan pelanggan, keluhan, dan pujian, dll.
Banyak elemen yang sama atau mirip pada ISO/IEC 20000-1 bisa yang dapat ditemukan dalam standar ISO/IEC 27001, tetapi ini terlihat dari sudut pandang yang berbeda.
ISO/IEC 20000-1 berbasis proses sementara ISO/IEC 27001 tidak. Meskipun ISO/IEC 27001 tidak secara eksplisit berbasis proses, ketika Anda meninjau daftar kontrol yang dirinci dalam Lampiran A, Anda perlu mendefinisikan proses untuk menangani persyaratan tertentu.
Dilihat dari sudut pandang ISO/IEC 20000-1, standar tersebut membutuhkan proses Information Security Management, IT Service Continuity dan Availability untuk diimplementasikan. Persyaratan untuk kedua proses tersebut sangat sesuai dengan persyaratan Sistem Manajemen Keamanan Informasi (SMKI) yang ditetapkan oleh ISO/IEC 27001.
Bagaimana Perbedaan Antara ISO/IEC 27001 dan ISO/IEC 20000-1?
Kedua standar ini menawarkan pendekatan khusus, yaitu ISO/IEC 20000-1 berbasis layanan sedangkan ISO/IEC 27001 berbasis manajemen risiko.
Pada intinya ISO/IEC 20000-1 menganggap risiko sebagai salah satu elemen bangunan dari manajemen layanan TI dan masuk jauh ke dalam operasi sehari-hari organisasi, yang berarti itu bertepatan dengan beberapa bagian dari ISO/IEC 27001 (seperti klasifikasi informasi, kontrol akses, dll.), tetapi terlihat dalam konteks yang jauh lebih luas.
Selain keamanan informasi, ISO/IEC 20000-1 memberikan pandangan keseluruhan pada layanan, termasuk aspek keuangan, desain, rilis, dan penyebaran layanan TI.
Sementara ISO/IEC 20000-1 memberikan standar untuk manajemen layanan, ISO/IEC 27001 berfokus pada penilaian risiko.
Pada ISO/IEC 20000-1 beberapa proses umum seperti manajemen insiden, perubahan atau kapasitas, masuk ke lebih detail untuk mengelola layanan TI daripada yang ditemukan di SMKI yang selaras dengan persyaratan ISO 27001.
Perpaduan ISO 27001 dan ISO 20000-1
Anda akan mendapat manfaat dari memiliki beberapa bentuk sistem manajemen. Jenis sistem manajemen apa yang tepat untuk Anda, tergantung pada tujuan spesifik Anda. Baik ISO/IEC 27001 untuk keamanan informasi dan ISO/IEC 20000-1 untuk manajemen layanan TI dapat menetapkan tujuan yang tepat untuk membantu perusahaan Anda.
Leave a Reply