ISO 27001 dan 27002 : Mengenal Hubungan dan Peran Keduanya dalam Keamanan Informasi

Perkembangan teknologi mendorong adanya digitalisasi pada banyak bidang dan industri, tidak terkecuali bagi dunia bisnis yang semakin lama semakin harus beradaptasi dengan perkembangan teknologi, terutama teknologi informasi. Dengan penggunaan teknologi informasi dalam dunia bisnis, muncul juga kekhawatiran atas keamanan terhadap informasi, mulai dari informasi perusahaan sampai informasi dari pelanggan. Karena kekhawatiran itulah muncul solusi-solusi seperti adanya sebuah regulasi ataupun standar bagi penggunaan teknologi informasi. Solusi-solusi tersebut muncul dengan terlahirnya ISO 27001 dan ISO 27002 pada tahun 2005 dan 2007. 

Apa itu ISO 27001 dan 27002? 

ISO 27001 sendiri adalah standar Internasional yang diciptakan dan digunakan untuk membangun Sistem Keamanan Informasi demi keamanan informasi/data dari sebuah organisasi, tidak lupa juga dengan proses pengelolaan dan peningkatan itu sendiri.ISO 27001 sendiri memiliki struktur berupa ketentuan yang mencakup banyak aspek seperti manajemen resiko, aspek keamanan dan kebijakan keamanan informasi, dan peningkatan yang berkelanjutan. 

Sedangkan ISO 27002 adalah sebuah panduan yang memberikan best practices atau kumpulan rekomendasi untuk melaksanakan pengimplementasian Sistem Keamanan Informasi. ISO 27002 sendiri bukanlah sesuatu yang wajib dan bersertifikasi tetapi dapat membantu pelaksanaan Sistem Keamanan Informasi menjadi lebih terstruktur dan detail. Hal ataupun aspek-aspek yang dibahas pada ISO 27002 mencakup enkripsi, pengelolaan aset yang dimiliki, kontrol terhadap akses, dan keamanan secara fisik. 

Apa perbedaan ISO 27001 dan 27002 ? 

ISO 27001 dan ISO 27002 adalah hal yang serupa tapi tak sama, keduanya memiliki kesamaan, yakni sebagai solusi dari kekhawatiran atas keamanan Informasi. Namun, keduanya juga memiliki perbedaan yaitu: 

• Perbedaan yang pertama adalah dari fungsi utama ISO 27001 dan ISO 27002, ISO 27001 lebih berfokus sebagai penyedia kerangka cara kerja dari Sistem Keamanan Informasi, sedangkan ISO 27002 adalah panduan mendetail tentang bagaimana implementasi dari Sistem Keamanan Informasi. 

• Perbedaan kedua adalah sifat dari ISO 27001 dan ISO 27002 yang berbeda. ISO 27001 merupakan standar yang bisa tersertifikasi sedangkan ISO 27002 hanyalah sebuah kumpulan panduan yang mendetail yang tidak bersertifikasi. 

Hubungan dan Peran ISO 27001 dan ISO 27002 

Walaupun ISO 27001 dan ISO 27002 memiliki perbedaan, tetapi pada prakteknya keduanya bisa saling melengkapi satu sama lain. ISO 27001 yang berperan sebagai petunjuk “Apa yang harus dilakukan” dan ISO 27002 yang berperan sebagai panduan atas “Bagaimana cara pengimplementasian yang paling efektif”. Perusahaan yang ingin mengambil sertifikasi ISO 27001 juga bisa menjadikan ISO 27002 sebagai acuan atau pedoman sehingga dapat memaksimalkan penerapan Sistem Keamanan Informasi yang sesuai dengan standar industri. 

Kesimpulan 

ISO 27001 dan ISO 27002 adalah sebuah produk hasil dari kekhawatiran dari manusia terhadap perkembangan teknologi informasi yang semakin wajar digunakan di berbagai macam Industri yang meningkatkan ancaman terhadap ancaman keamanan informasi, baik bagi organisasi maupun individu. Kehadiran ISO 27001 dan ISO 27002 menjadi standar internasional yang dapat digunakan organisasi di seluruh penjuru dunia sebagai pedoman ataupun petunjuk arah untuk dapat menerapkan Sistem Keamanan Informasi. Dengan ISO 27001 sebagai persyaratan umum pembentukan Sistem Keamanan Informasi serta sertifikasi yang diakui secara Internasional dan ISO 27002 sebagai petunjuk Teknis yang lebih mendetail dalam proses pengimplementasian. 

Dengan memahami ISO 27001 dan ISO 27002 dan menerapkan keduanya sebagai bagian dari penerapan Sistem Keamanan Informasi sebuah organisasi akan bisa memaksimalkan usaha organisasi dalam mengamankan data-data yang digunakan beriringan dengan penggunaan teknologi Informasi.