ISO 27001 vs ISO 27002: Memahami Peran dan Fokus Standar Keamanan Informasi

Data dan informasi adalah aset yang sangat penting harus dijaga kerahasiaannya oleh perusahaan. Perusahaan tentu tidak ingin data dan informasi dimiliki atau bahkan dikelola oleh orang atau pihak yang tidak bertanggung jawab.

Oleh karena itu, organisasi mesti menerapkan standar yang tepat untuk keamanan informasi seperti ISO 27001 dan ISO 27002. Lantas bagaimana standar ini menjaga data penting? Simak penjelasan kami berikut ini:

 

A. Mengenal ISO 27001 dan ISO 27002

1. ISO 27001

ISO 27001 menjadi kerangka kerja yang mengatur manajemen keamanan informasi atau ISMS. Standar ini memberi pedoman dan prinsip untuk mengidentifikasi, mengevaluasi, dan mengurangi risiko terkait keamanan informasi. Standar ini bertujuan untuk memastikan kerahasiaan, integritas, dan ketersediaan informasi yang vital bagi organisasi.

Pengamanan informasi lewat standar ini dapat dicapai dengan kontrol yang terdiri dari kebijakan, proses, prosedur, struktur organisasi, serta fungsi-fungsi infrastruktur TI. Standar ini bakal membuat para pelanggan merasa lebih aman dan terjamin saat ingin melakukan kerja sama.

2. ISO 27002

ISO 27002 merupakan pedoman keamanan yang dirancang untuk membantu perusahaan memilih, menerapkan, dan memelihara ISMS-nya. Sebagai standar pelengkap, ISO 27002 menjadi panduan yang lebih spesifik dari kerangka kerja ISO 27001 untuk memilih kontrol keamanan yang sesuai dalam menerapkan ISMS yang efektif.

Lebih ringkasnya,  standar ini berisi panduan tentang cara membuat ISMS bersertifikasi ISO 27001. Karena berfungsi sebagai sertifikasi tambahan, standar ini tidak memiliki kriteria sertifikasi sendiri. Standar ini lebih banyak membahas tentang aspek kontrol.

 

Baca juga : ISO/IEC 20000 vs ISO/IEC 27001: Perbandingan Standar untuk Keamanan dan Manajemen Layanan TI

 

B. ISO 27001: Standar Manajemen Keamanan Informasi

ISO 27001 adalah standar internasional yang mengatur manajemen keamanan informasi dalam sebuah organisasi. Standar ini memberikan panduan dan kerangka kerja untuk mengidentifikasi, mengelola, dan menjaga keamanan informasi dalam suatu perusahaan atau entitas.

ISO 27001 membantu organisasi melindungi informasi dari ancaman, risiko, dan gangguan yang berpotensi merusak integritas, kerahasiaan, dan ketersediaan informasi penting. Berikut beberapa poin penting:

1. Tujuan Utama
   

   Memberikan pendekatan sistematis terhadap manajemen keamanan informasi. Hal ini mencakup identifikasi risiko keamanan informasi, pengembangan kontrol keamanan, pemantauan, pengujian, dan pemeliharaan.

2. Kerangka Kerja PDCA
   

   ISO 27001 mengikuti siklus PDCA (Plan-Do-Check-Act), yang berarti perusahaan harus merencanakan tindakan yang diperlukan, melaksanakannya, memeriksanya, dan mengambil tindakan perbaikan berkelanjutan.

3. Proses Penilaian Risiko
   

   Mewajibkan organisasi melakukan penilaian risiko keamanan informasi. Ini melibatkan identifikasi aset informasi, menilai risiko, dan mengembangkan strategi mengurangi risiko tersebut.

4. Kontrol Keamanan Informasi
   

   Mencakup daftar kontrol keamanan yang harus diimplementasikan oleh organisasi. Ini termasuk kontrol fisik, kebijakan keamanan, kontrol akses, kebijakan penggunaan yang sah, dan lainnya.

6. Pemantauan dan Pengujian
   

   Organisasi secara teratur memantau dan menguji efektivitas kontrol keamanan informasi yang telah diimplementasikan.

7. Pemantauan dan Peningkatan
   

   Standar ini mendorong pemantauan dan peningkatan berkelanjutan terhadap kontrol keamanan informasi.

 

C. ISO 27002: Standar Panduan Praktik Keamanan Informasi

ISO 27002 adalah standar internasional yang menyediakan panduan dan praktik terkait keamanan informasi. Standar ini sebenarnya adalah bagian dari standar ISO 27000, dengan ISO 27001 sebagai standar inti yang mengatur manajemen keamanan informasi. Sementara ISO 27002 berfokus pada kontrol dan tindakan yang diambil oleh organisasi untuk mengelola keamanan informasi.

Berikut beberapa poin penting terkait ISO 27002:

1. Pengaturan Kontrol Keamanan
   

   Standar ini memberikan daftar kontrol keamanan informasi yang komprehensif. Kontrol-kontrol ini mencakup aspek keamanan informasi, seperti kontrol fisik, kontrol akses, kebijakan keamanan, pengamanan jaringan, dan manajemen risiko.

2. Panduan Implementasi
   

   ISO 27002 tidak hanya soal kontrol keamanan, tetapi juga memberikan panduan tentang cara implementasinya. Ini membantu organisasi memahami bagaimana mengatur sistem dan proses untuk mematuhi kontrol tersebut.

3. Kontrol yang Disesuaikan
   

   Organisasi bisa menyesuaikan kontrol keamanan yang tercantum dalam ISO 27002 sesuai dengan kebutuhan, ukuran, dan konteks mereka. Ini memungkinkan pendekatan yang lebih fleksibel dalam mengelola keamanan informasi.

4. Referensi untuk Kebijakan dan Prosedur
   

   Standar ini berfungsi sebagai referensi bagi organisasi dalam mengembangkan kebijakan dan prosedur keamanan informasi yang sesuai.

6. Hubungan dengan ISO 27001
   

   ISO 27002 sering digunakan bersamaan dengan ISO 27001. ISO 27001 mengatur manajemen keamanan informasi secara keseluruhan, sementara ISO 27002 memberikan panduan spesifik tentang kontrol keamanan yang dapat diimplementasikan dalam konteks ISO 27001.

7. Pemantauan dan Peningkatan
   

   Standar ini mendorong pemantauan dan peningkatan berkelanjutan terhadap kontrol keamanan informasi.

 

Baca juga : Evaluasi dan Penyesuaian Perusahaan untuk Kesiapan Sertifikasi ISO 27001

 

D. Perbedaan Utama ISO 27001 dan ISO 27002

ISO 27001 dan ISO 27002 merupakan dua standar yang berkaitan dengan manajemen keamanan informasi. Meski demikian, keduanya memiliki fokus  berbeda dan peran yang berbeda dalam pengelolaan keamanan informasi. Berikut adalah perbedaan utama antara ISO 27001 dan ISO 27002:

1. ISO 27001: Standar Manajemen Keamanan Informasi

• ISO 27001 adalah standar internasional yang fokus pada manajemen keamanan informasi secara keseluruhan.
• Tujuan utama adalah untuk membantu organisasi mendirikan, mengimplementasikan, memelihara, dan meningkatkan Sistem Manajemen Keamanan Informasi (ISMS).
• Memberikan pedoman umum untuk merancang dan mengelola ISMS, termasuk identifikasi risiko, penetapan kebijakan keamanan, serta pemantauan dan perbaikan berkelanjutan.
•  Mencakup persyaratan audit eksternal dan sertifikasi oleh pihak ketiga untuk mengonfirmasi kepatuhan terhadap standar ini.

2. ISO 27002: Standar Keamanan Informasi – Pedoman Praktis

• Memberikan pedoman praktis untuk mengimplementasikan kontrol keamanan informasi yang efektif.
• Bertujuan membantu organisasi memilih dan mengimplementasikan langkah-langkah konkret dan kontrol keamanan informasi sesuai kebutuhan.
• ISO 27002 mencakup berbagai aspek keamanan informasi, termasuk pengelolaan akses, pengelolaan risiko, pengelolaan kebijakan keamanan, pengamanan fisik, dan banyak lagi.
• Meskipun ISO 27002 memberikan banyak pedoman, itu bukan standar yang dapat disertifikasi. Sebaliknya, organisasi dapat mengacu pada ISO 27002 untuk membantu mereka mencapai kepatuhan dengan ISO 27001.

 

E. Manfaat dari Kepatuhan dengan ISO 27001 dan ISO 27002

Kepatuhan pada ISO 27001 dan ISO 27002 memberikan berbagai manfaat yang signifikan bagi organisasi. Berikut adalah beberapa manfaat utama dari mematuhi standar ini:

1. Manfaat ISO 27001

• Meningkatkan Keamanan Informasi: ISO 27001 membantu organisasi dalam mengidentifikasi, mengevaluasi, dan mengelola risiko keamanan informasi dengan lebih efektif. 
•  Kepatuhan dan Legalitas: ISO 27001 membantu organisasi memenuhi persyaratan hukum, regulasi, dan kontrak yang berkaitan dengan keamanan informasi.
• Kepercayaan Stakeholder: Sertifikasi ISO 27001 oleh pihak ketiga dapat meningkatkan kepercayaan pelanggan, mitra bisnis, dan pemangku kepentingan lainnya terhadap kemampuan organisasi melindungi data.
• Efisiensi Operasional: Mengidentifikasi dan mengurangi risiko keamanan informasi, organisasi dapat menghindari gangguan operasional yang disebabkan oleh insiden keamanan, yang pada gilirannya dapat meningkatkan efisiensi operasional.
• Peningkatan Reputasi: ISO 27001 membantu meningkatkan reputasi organisasi, karena menunjukkan komitmen terhadap keamanan informasi dan privasi data.

2. Manfaat ISO 27002

• Panduan Praktis: ISO 27002 memberikan panduan praktis dan rinci tentang cara mengimplementasikan kontrol keamanan informasi yang efektif.
•  Peningkatan Keamanan: Organisasi dapat mengidentifikasi dan mengimplementasikan kontrol keamanan yang relevan, sehingga meningkatkan keamanan informasi mereka.
• Efisiensi dan Efektivitas: Membantu organisasi menghindari upaya yang sia-sia dengan mengimplementasikan kontrol yang sesuai dengan risiko dan kebutuhan mereka.
•  Kepatuhan dengan ISO 27001: Kepatuhan dengan ISO 27002 mendukung upaya mencapai kepatuhan dengan ISO 27001, yang dapat membuka pintu bagi manfaat yang telah disebutkan sebelumnya.
• Respons Terhadap Ancaman Keamanan: ISO 27002 membantu organisasi mengidentifikasi, menilai, dan menghadapi ancaman keamanan informasi dengan lebih baik, sehingga dapat merespons dengan cepat perubahan dalam lingkungan keamanan.

 

Baca juga : Perbedaan Standar ISO 22301 dan ISO 27001

 

F. Proses Sertifikasi dan Audit

Proses sertifikasi melibatkan langkah-langkah yang teratur dan terstruktur untuk memastikan bahwa organisasi mematuhi standar tersebut. Berikut adalah proses umum yang terlibat dalam sertifikasi dan audit ISO 27001 dan ISO 27002:

1. Pemilihan Lembaga Sertifikasi yang Tepat
   

   Organisasi perlu memilih lembaga sertifikasi yang terkemuka dan terakreditasi. Lembaga ini akan mengirimkan auditor independen untuk mengevaluasi kepatuhan organisasi.

2. Penilaian Awal (Gap Analysis)
   

   Sebelum mengajukan permohonan sertifikasi, organisasi harus melakukan penilaian awal atau gap analysis.

3. Pengajuan Permohonan Sertifikasi:
   

   Organisasi mengajukan permohonan kepada lembaga sertifikasi yang dipilih untuk mengikuti proses sertifikasi.

4. Audit Awal (Stage 1 Audit):
   

   Auditor dari lembaga sertifikasi melakukan audit awal untuk menilai kesiapan organisasi untuk audit sertifikasi penuh.

5. Audit Sertifikasi (Stage 2 Audit):
   

   Ini adalah langkah penting di mana auditor melaksanakan audit penuh untuk menilai kepatuhan organisasi terhadap ISO 27001. Auditor akan memeriksa kebijakan, prosedur, praktik, dan dokumentasi lainnya untuk memastikan bahwa organisasi memenuhi standar.

6. Tindak Lanjut dan Koreksi
   

   Auditor akan mengidentifikasi ketidaksesuaian (non-conformities) jika ada pelanggaran terhadap persyaratan ISO 27001. Organisasi harus mengambil langkah-langkah korektif untuk mengatasi ketidaksesuaian ini.

7. Sertifikasi
   

   Jika telah memenuhi semua persyaratan ISO 27001 dan ketidaksesuaian telah diatasi dengan baik, lembaga sertifikasi akan mengeluarkan sertifikat ISO 27001 yang menunjukkan bahwa organisasi telah mencapai kepatuhan terhadap standar tersebut.

8. Audit Rutin (Surveillance Audits)
   

   Setelah mendapatkan sertifikasi, organisasi akan menjalani audit rutin oleh lembaga sertifikasi untuk memastikan bahwa mereka terus mematuhi ISO 27001. Biasanya dilakukan setiap tahun

9. Pembaruan Sertifikat
   

   Sertifikat ISO 27001 perlu diperbarui secara berkala, biasanya setiap tiga tahun. Organisasi perlu terus mematuhi standar dan menjalani audit rutin untuk mempertahankan sertifikat mereka.

 

G. Studi Kasus dan Contoh Implementasi

Berikut ini adalah studi kasus dan contoh implementasi ISO 27001 (Sistem Manajemen Keamanan Informasi) dalam sebuah organisasi:

Studi Kasus:

• Implementasi ISO 27001 di XYZ Company

Latar Belakang:

XYZ Company adalah perusahaan teknologi berbasis di Amerika Serikat yang mengkhususkan diri dalam pengembangan aplikasi mobile. Mereka memiliki klien dari berbagai sektor, termasuk perbankan, kesehatan, dan hiburan. XYZ Company menyadari pentingnya keamanan informasi dan ingin meningkatkan manajemen keamanan informasinya untuk menjaga kepercayaan pelanggan dan meminimalkan risiko.

Langkah-langkah Implementasi ISO 27001:

1. Penetapan Tujuan dan Ruang Lingkup
   

   XYZ Company menetapkan tujuan utama untuk mencapai sertifikasi ISO 27001 dalam waktu satu tahun. Mereka juga menentukan ruang lingkup implementasi, termasuk sistem, aplikasi, dan lokasi yang akan dilibatkan dalam sertifikasi.

2. Pembentukan Tim
   

   XYZ Company membentuk tim ISO 27001 yang terdiri dari personel berpengalaman di berbagai departemen, termasuk IT, keuangan, dan hukum. Tim ini bertanggung jawab atas implementasi dan pemeliharaan ISMS.

3. Penilaian Awal
   

   Tim ISO 27001 melakukan penilaian awal terhadap praktik keamanan informasi yang ada dan mengidentifikasi ketidaksesuaian dengan standar ISO 27001. Mereka juga mengidentifikasi aset informasi kritis.

4. Perencanaan
   

   Berdasarkan hasil penilaian awal, tim merancang rencana tindakan untuk mengatasi ketidaksesuaian dan memperbaiki sistem keamanan informasi. Rencana ini mencakup penetapan kebijakan keamanan, pelatihan karyawan, dan pengembangan prosedur keamanan.

5. Implementasi Kontrol Keamanan:
   

   XYZ Company mulai mengimplementasikan kontrol keamanan yang sesuai dengan ISO 27001, seperti pengelolaan akses, pengelolaan risiko, pemantauan, dan pembaruan rutin.

6. Pelatihan Karyawan
   

   Seluruh karyawan menerima pelatihan keamanan informasi untuk memastikan pemahaman mereka tentang praktik yang aman.

7. Audit Intern
   

   Sebelum mengajukan permohonan sertifikasi, XYZ Company melakukan audit intern untuk memeriksa kepatuhan mereka terhadap ISO 27001.

8. Audit Eksternal (Sertifikasi)
   

   XYZ Company mengajukan permohonan sertifikasi kepada lembaga sertifikasi yang terkemuka. Auditor eksternal melakukan audit penuh dan memberikan sertifikat ISO 27001 jika organisasi memenuhi semua persyaratan.

9. Pemeliharaan dan Pemantauan
   

   Setelah mendapatkan sertifikasi, XYZ Company terus melakukan pemantauan rutin, mengaudit proses dan kontrol mereka, dan memperbarui sistem mereka sesuai dengan perubahan dalam keamanan informasi.

 

Hasil:

Dengan implementasi ISO 27001, XYZ Company berhasil mencapai sertifikasi ISO 27001 dalam waktu satu tahun. Mereka meningkatkan keamanan informasi mereka, meminimalkan risiko, dan mendapatkan kepercayaan pelanggan yang lebih besar dalam mengelola informasi sensitif.

Studi kasus ini menunjukkan bagaimana implementasi ISO 27001 dapat membantu organisasi meningkatkan keamanan informasi mereka, melindungi aset informasi, dan memenuhi persyaratan hukum dan kebutuhan pelanggan

 

Kesimpulan

Berdasarkan penjelasan di atas dapat dipahami banyaknya manfaat penerapan ISO 27001 dan ISO 27002 bagi organisasi dalam menjaga keamanan data. Keamanan informasi sangat penting dalam era digital yang semakin kompleks dan rentan terhadap ancaman.

Lewat penerapan ISO 27001 membantu organisasi melindungi informasi sensitif dan mengelola risiko keamanan informasi dengan lebih baik. Sementara ISO 27002 bakal memberikan panduan praktis tentang cara mengimplementasikan kontrol keamanan informasi yang efektif.

Dengan penerapan kedua standar, organisasi dapat melindungi informasi mereka, meminimalkan risiko, mematuhi peraturan, dan membangun kepercayaan pemangku kepentingan, yang semuanya krusial dalam dunia yang semakin terhubung secara digital.