Mungkin kita sudah sering mendengar terkait ISO 27001, baik berupa definisi, cakupan ataupun sertifikasinya. Kali ini ISO Center akan membahas terkait ISO di bidang IT yang mungkin jarang terdengar di publik yakni ISO 27002. Sama- sama merupakan standar yang bekerja di bidang IT, ISO 27001 dan ISO 27002 memiliki beberapa perbedaan yang menarik untuk kita ketahui.
ISO 27002 adalah seperangkat standar dan prosedur yang berkaitan dengan keamanan dan kontrol informasi yang memungkinkan bisnis untuk menerapkan keamanan yang tepat. Standar ini sebagian besar dilengkapi dengan ISO 27001 yang merinci tugas manajerial seperti penilaian risiko dan meninjau keamanan. Dilain pihak, ISO 27002 banyak berbicara tentang aspek kontrol.
Dua standar juga pernah digunakan sebelum ISO 27002 diadopsi. Pertama adalah BS7799 yang digunakan di Inggris dan muncul pada tahun 1995. Setelah direvisi, BS7799 diterbitkan lagi oleh ISO sebagai ISO 17799. Pada tahun 2005, setelah suntingan lebih lanjut, ISO 17799 dikenal sebagai ISO 27002. Sementara setiap versi berbeda namun ketiganya sama-sama berurusan dengan keamanan informasi.
ISO 27002 memuat ratusan cara untuk menangani keamanan informasi dan memiliki banyak bab tentang cara mengamankan informasi. Beberapa bab berkaitan dengan sumber daya manusia dan interaksi mereka dengan informasi, sementara yang lain memuat cara sebuah bisnis untuk mengontrol akses dan kelangsungan usaha dengan prosedur keamanan mereka. Keamanan informasi biasanya identik dengan teknologi informasi (TI), tetapi ISO 27002 juga berkaitan dengan mengamankan informasi diatas kertas, meskipun sebagian besar dari standar ini ditujukan untuk departemen TI.
Dalam rilis pertama, standar 27002 dimaksudkan untuk meliputi semua lembaga yang membutuhkan keamanan informasi. Ini berarti perusahaan, organisasi non-profit, lembaga pemerintah, dan entitas bisnis semua akan mengikuti standar yang sama. Namun, versi selanjutnya memisahkan standar untuk berbagai sektor agar lebih efisien. ISO 27002 berisi rincian tentang pengendalian dan prosedur yang digunakan untuk menjaga informasi tetap aman. Standar lainnya, seperti ISO 27001, hanya berisi bagian kecil tentang kontrol. Sebaliknya, 27002 banyak berkaitan dengan kontrol tapi menawarkan sedikit dalam hal manajemen. Pada ISO 27001, semua aspek manajemen tersebut turut dimasukkan.
Itu sebab, banyak orang bingung membedakan ISO 27001 dan 27002 karena keduanya menangani subyek yang sama meskipun dengan cara yang berbeda. Pemisahan dilakukan karena jika keduanya disatukan akan menghasilkan dokumen yang terlalu panjang dan malah membingungkan.
Source: amazine.co
Ervan Kurniawan
thanks for information!