ISO 27001 dan ISO 27002: Apa perbedaannya?

/ ISO 27001 / Oleh
ISO 27001 dan ISO 27002

Jika Anda sedang bersiap untuk membangun sistem manajemen keamanan informasi, Anda mungkin pernah menemukan ISO 27001 dan ISO 27002.

Keduanya merupakan standar keamanan informasi yang dibuat oleh Organisasi Internasional untuk Standardisasi yang menjelaskan cara membuat ISMS yang kuat. Keduanya membahas kontrol keamanan yang bisa diterapkan oleh organisasi untuk melindungi data mereka.

Jadi, apa perbedaan antara standar ISO 27001 dan 27002?

Meskipun tujuannya tumpang-tindih, namun masing-masing memiliki fokus yang berbeda.

  • ISO 27001 menjelaskan bagaimana perusahaan dapat membangun ISMS yang sesuai, mulai dari cakupan sistem mereka dan mengembangkan kebijakan hingga melatih staf.
  • ISO 27002 secara khusus berfokus pada kontrol. Ini memperluas ikhtisar Lampiran A ISO 27001 untuk mendalami tujuan, desain, dan implementasi setiap kontrol.

Tetapi ada lebih banyak nuansa pada ISO 27001 vs 27002.

Dalam artikel ini, kami akan membahas perbedaan yang penting dan menjelaskan kapan harus menggunakan masing-masing standar.

Apa itu ISO 27001

ISO 27001 adalah standar yang menetapkan persyaratan untuk Sistem Manajemen Keamanan Informasi (SMKI). ISMS adalah pendekatan sistematis untuk mengelola informasi sensitif perusahaan agar tetap aman. Standar ini menguraikan persyaratan untuk menerapkan SMM, termasuk:

  • Melingkupi ISMS
  • Melakukan analisis kesenjangan
  • Membuat dokumentasi
  • Staf pelatihan Melakukan
  • Mengembangkan kebijakan dan prosedur
  • Melakukan penilaian risiko
  • menerapkan kontrol untuk mengelola risiko yang teridentifikasi.
  • audit internal
  • Menyelesaikan audit sertifikasi
  • Menjaga kepatuhan melalui audit pengawasan dan sertifikasi ulang

Mendapatkan sertifikasi ISO 27001 adalah salah satu cara bagi perusahaan untuk membuktikan kepada pelanggan bahwa data mereka aman. Sebagai standar yang dihormati secara internasional, ISO 27001 juga merupakan salah satu cara bagi bisnis untuk mendapatkan keunggulan kompetitif dan berekspansi ke pasar global. Organisasi dapat memperoleh sertifikasi ISO 27001 dari lembaga sertifikasi terakreditasi, yang memberikan verifikasi independen bahwa ISMS organisasi memenuhi persyaratan standar.

Apa yang dimaksud dengan ISO 27002?

ISO 27002 memberikan panduan untuk manajemen keamanan informasi. Ini menawarkan kode praktik untuk menerapkan kontrol keamanan informasi, yang dapat digunakan organisasi untuk membangun dan memelihara sistem manajemen keamanan informasi yang efektif.

ISO 27002 mencakup berbagai topik keamanan, termasuk kontrol akses, kriptografi, keamanan fisik, dan manajemen insiden.

Standar ISO 27001 mencakup Lampiran A, yang secara singkat membahas kontrol keamanan informasi spesifik yang dapat diterapkan perusahaan untuk mengamankan ISMS mereka.

Namun, meskipun Lampiran A mencakup setiap kontrol dalam satu atau dua kalimat, ISO 27002 membahas lebih detail. Hal ini mencakup tujuan dari setiap kontrol, cara kerjanya, dan apa yang dapat dilakukan perusahaan untuk menerapkannya dengan sukses.

Perbedaan Utama antara ISO 27001 dan ISO 27002

Keamanan informasi merupakan masalah penting bagi organisasi mana pun, dan ISO telah mengembangkan beberapa standar untuk membantu organisasi mengelola risiko keamanan informasi secara efektif. Dua standar yang paling populer adalah ISO 27001 dan ISO 27002, yang sering digunakan bersamaan. Namun, keduanya memiliki cakupan dan tujuan yang berbeda, seperti yang diuraikan di bawah ini:

Ruang Lingkup dan Tujuan

ISO 27001 menetapkan persyaratan untuk Sistem Manajemen Keamanan Informasi (SMKI), sedangkan ISO 27002 memberikan panduan untuk manajemen keamanan informasi. Ruang lingkup ISO 27001 lebih luas daripada ISO 27002, karena mencakup keseluruhan SMKI, termasuk proses, kebijakan, dan prosedur yang harus dibuat dan dipelihara oleh organisasi untuk mengelola risiko keamanan informasinya. Di sisi lain, ISO 27002 memberikan panduan terperinci tentang cara menerapkan kontrol keamanan tertentu, seperti kontrol akses, kriptografi, dan keamanan fisik.

Proses Sertifikasi

Salah satu perbedaan utama antara ISO 27001 dan ISO 27002 adalah proses sertifikasi. ISO 27001 adalah standar sertifikasi, yang berarti bahwa organisasi dapat memperoleh sertifikasi standar dengan menjalani audit oleh lembaga sertifikasi terakreditasi. Proses sertifikasi melibatkan tinjauan terperinci terhadap ISMS organisasi untuk memastikan bahwa ISMS tersebut memenuhi persyaratan standar. Sebaliknya, ISO 27002 bukanlah standar sertifikasi, dan tidak ada proses sertifikasi untuk itu.

Penggunaan Pedoman vs. Persyaratan

ISO 27001 adalah standar yang menetapkan persyaratan untuk SMKI. Hal ini dirancang untuk menjadi kerangka kerja bagi organisasi untuk membangun, menerapkan, memelihara, dan terus meningkatkan sistem manajemen keamanan informasi mereka. Persyaratan yang ditetapkan dalam ISO 27001 adalah wajib, dan organisasi harus memenuhinya untuk mendapatkan sertifikasi standar. Sebaliknya, ISO 27002 menyediakan panduan untuk menerapkan kontrol keamanan informasi, tetapi organisasi tidak diharuskan untuk mengikutinya.

Fokus pada Penerapan Kontrol vs. Mengelola ISMS

Perbedaan utama lainnya antara ISO 27001 dan ISO 27002 adalah fokusnya. ISO 27001 berfokus pada manajemen SMM, sedangkan ISO 27002 berfokus pada penerapan kontrol spesifik. ISO 27001 mengharuskan organisasi untuk melakukan penilaian risiko dan kemudian menerapkan kontrol untuk mengelola risiko yang telah diidentifikasi. Kontrol dapat dipilih dari ISO 27002, tetapi kontrol lainnya juga dapat digunakan. ISO 27002 memberikan panduan untuk menerapkan kontrol khusus, seperti kontrol akses, kriptografi, dan keamanan fisik.

ISO mana yang sebaiknya digunakan dan kapan?

Ketika memutuskan standar ISO mana yang akan digunakan, penting untuk mempertimbangkan tujuan dan fokus spesifik dari setiap standar dalam seri ISO 27000.

ISO 27001 berfokus pada pengembangan SMM, sedangkan ISO 27002 berpusat pada penerapan kontrol spesifik untuk SMM tersebut. ISO 27005, di sisi lain, berhubungan dengan penilaian dan manajemen risiko.

Untuk mencapai kepatuhan terhadap ISO 27001, sangat penting untuk mengikuti persyaratannya dan menggunakannya sebagai panduan untuk merancang dan membangun SMM. Setelah mengidentifikasi kontrol yang akan diimplementasikan, ISO 27002 dapat digunakan sebagai referensi untuk mendapatkan pemahaman yang lebih baik tentang cara kerja setiap kontrol.

Jika mencari sertifikasi ISO 27001, memanfaatkan platform otomatisasi kepatuhan seperti paired dapat sangat menyederhanakan seluruh proses, mulai dari membangun ISMS yang sesuai, hingga manajemen risiko dan analisis kesenjangan, sehingga menghasilkan status siap audit 100% dalam jangka waktu yang lebih singkat.

Kesimpulan

ISO 27001 dan ISO 27002 adalah standar terkait untuk keamanan informasi, keduanya memiliki cakupan dan tujuan yang berbeda. ISO 27001 adalah standar sertifikasi yang menetapkan persyaratan untuk SMKI, sedangkan ISO 27002 memberikan panduan untuk menerapkan kontrol keamanan informasi.

Meskipun ada beberapa tumpang tindih antara kedua standar tersebut, keduanya memiliki tujuan yang berbeda, dan organisasi perlu memilih standar yang paling sesuai dengan kebutuhan mereka. Menggunakan kedua standar tersebut secara bersamaan dapat memberikan pendekatan yang lebih komprehensif dalam mengelola risiko keamanan informasi, namun hal ini tidak harus dilakukan. Pada akhirnya, organisasi perlu menentukan kebutuhan keamanan informasi spesifik mereka dan memilih standar atau standar yang paling sesuai dengan kebutuhan tersebut.

Hubungi Paireds

Human Security and Compliance Platform

Tertarik dengan otomatisasi compliance dan human focus cyber security? Hubungi kami untuk membahas kebutuhan cyber security dan compliance Anda. Kita akan bekerja sama untuk mencari tahu apa yang Anda butuhkan dan bagaimana memulainya.

Let’s talk

%d