Daftar isi
Kita tentu sering mendengar kata ISO. ISO yang merupakan singkatan dari International Standardization Organization adalah sebuah organisasi internasional yang memiliki kewenangan untuk membuat standar atau ketentuan yang diberlakukan di seluruh dunia.
Anggota ISO terdiri dari berbagai negara, sehingga standar yang dibuat dapat mewakili setiap negara. Standar yang dibuat oleh ISO ini dalam berbagai bidang, sehingga setiap bidang memiliki standar internasional yang akan menjadi acuannya.
Termasuk dalam bidang IT, saat ini sudah ada ISO yang menjadi acuannya. ISO untuk bidang IT yaitu ISO 27002 dan ISO 27001. Kedua ISO bidang IT tersebut memiliki beberapa perbedaan. Mungkin belum banyak yang mengetahui apa perbedaan antara keduanya.
Artikel ini akan membahas tentang apa itu ISO 27002 dan ISO 27001. Akan dijelaskan juga perbedaan antara ISO 20072 dan ISO 20071 tersebut.
Apa itu ISO 27002 dan ISO 27001?
ISO 27002
ISO 27002 adalah seperangkat standar serta prosedur yang berkaitan dengan keamanan dan sistem informasi yang dapat memungkinkan suatu bisnis atau organisasi menerapkan keamanan yang tepat. ISO 27002 ini bahasannya lebih banyak tentang aspek kontrol.
Di dalam ISO 27002 memuat ratusan cara penanganan akan keamanan informasi, serta terdapat banyak bab tentang cara pengamanan informasi.
ISO 27001
Sedangkan ISO 27001 merupakan sebuah standar dalam penerapan sistem manajemen keamanan informasi yang dikenal dengan Information Security Management Systems (ISMS). Di dalamnya membahas tentang prosedur, kebijakan, serta kontrol lainnya yang berkaitan dengan teknologi, orang dan proses yang kompleks.
ISO 27001 dapat digunakan oleh suatu bisnis atau organisasi supaya dapat menerapkan, menetapkan, memantau, mengoperasikan, memelihara, mengkaji, untuk kemudian meningkatkan sistem manajemen keamanan informasi dalam bisnis atau organisasinya.
Perbedaan antara ISO 27002 dan ISO 27001
ISO 27002 dan ISO 27001 keduanya sama-sama merupakan suatu standar internasional yang berkaitan dengan bidang IT. Namun meski demikian terdapat perbedaan antara keduanya.
Masih banyak orang yang bingung akan ISO 27002 dan 27001. Karena kedua ISO sebagai standarisasi untuk menangani bidang yang sama, yaitu bidang IT tersebut, namun memiliki cara yang berbeda. Oleh karena itu, masih diperlukan penjelasan lebih mendalam supaya masyarakat dapat memahami perbedaannya. Sehingga nantinya bisnis atau organisasi yang dikelola dapat menerapkan standarisasi yang tepat.
Perbedaan antara kedua ISO tersebut dapat diketahui melalui penjelasan di bawah ini:
ISO 27002
Sebelum ISO 27002 ini diadopsi, pernah ada dua standarisasi yang digunakan sebelumnya. Standarisasi yang pertama digunakan di Inggris yaitu BS7799 munculnya di tahun 1995. Kemudian direvisi dan diterbitkan kembali oleh ISO 17799. Lalu disunting lebih lanjut dan diperkenalkan menjadi ISO 27002 pada tahun 2005. Memang terdapat perbedaan antara ketiga versi tersebut, tetapi sama-sama mengurus bidang keamanan informasi.
Meskipun keamanan informasi berkaitan erat dengan teknologi informasi (TI), namun ISO 27002 juga berisi berkaitan dengan keamanan informasi di atas kertas. Walaupun sebagian besar memang ditujukan pada standar untuk departemen teknologi informasi. ISO 27002 memuat berbagai bab yang merupakan ratusan cara penanganan keamanan informasi.
Beberapa bab lainnya memuat tentang kaitan antara sumber daya manusia dan interaksinya dengan informasi. Bab-bab lainnya juga memuat panduan bagi suatu bisnis untuk mengontrol akses serta kelangsungan usaha dengan prosedur-prosedur keamanan.
Rilisan pertama ISO 27002 dimaksudkan sebagai standar untuk meliputi seluruh lembaga yang memiliki kebutuhan akan keamanan informasi. Baik itu perusahaan, organisasi non-profit, lembaga pemerintahan, serta berbagai entitas atau bisnis lain seluruhnya akan menggunakan standar yang sama. Tetapi pada versi selanjutnya dibuat lebih efisien dengan pemisahan standar untuk berbagai sektor.
ISO 27001
Sedangkan ISO 27001 yang merupakan standar yang yang ditetapkan untuk keperluan sistem manajemen keamanan informasi. Terdiri dari prosedur, kebijakan, kontrol lainnya yang berhubungan dengan teknologi, orang, serta proses yang kompleks.
ISO ini diperlukan untuk digunakan sebagai manajemen risiko dalam menentukan kontrol keamanan mana yang mesti dipelihara dan mana yang harus diterapkan. Sebab ISO 27001 ini dikembangkan supaya dapat menerapkan, menetapkan, memantau, mengoperasikan, memelihara, mengkaji, dan juga meningkatkan sistem keamanan informasi yang dimiliki oleh suatu bisnis atau organisasi.
Pada tahun 2013, versi terbaru ISO 27001 telah dikeluarkan untuk menggantikan versi sebelumnya yang telah diterbitkan tahun 2005. Dengan ISO 27001 ini, suatu bisnis atau organisasi dapat mengelola, mengendalikan, dan menjaga risiko keamanan informasi yang dimilikinya meliputi kerahasiaan, ketersediaan, serta integritas.
Setiap bisnis atau organisasi yang menggunakan dan menerapkan ISO 27001 akan mendapatkan berbagai manfaat. Manfaat umum dari ISO 27001 di antaranya sebagai berikut:
- Melindungi informasi-informasi karyawan dan konsumen
- Mengantisipasi serangan siber yang dapat merugikan
- Mengelola risiko keamanan sistem informasi secara lebih efektif, efisien
- Menekan anggaran keamanan informasi, karena hanya perlu menerapkan kontrol keamanan yang benar-benar diperlukan saja, namun dengan hasil lebih maksimal
- Akan lebih disiplin dan patuh dalam hal pekerjaan, sebab terdapat standarisasi yang sudah ditetapkan dengan jelas
- Meningkatkan kredibilitas dan juga branding bagi bisnis atau organisasi tersebut
- Membantu menarik pelanggan baru dan juga mempertahankan pelanggan yang telah ada sebelumnya
Jadi singkatnya, ISO 27002 merupakan rincian tentang pengendalian dan prosedur yang penggunaannya diperuntukan agar informasi tetap aman. Sementara ISO 27001 hanya berisi tentang kontrol sedikit saja, lebih banyak berkaitan dengan manajemen. ISO 27002 kebalikannya, banyak berkaitan dengan kontrol, tetapi yang hubungannya dengan manajemen hanya sedikit. Dimana, pada ISO 27001 memasukkan semua aspek manajemen tersebut.