HUBUNGAN ANTARA IT GOVERNANCE DAN ISO 27001

IT Governance dan ISO 27001 memiliki hubungan yang sangat erat dan saling menguatkan. Secara garis besar, IT Governance berfungsi sebagai pedoman strategis dan kerangka kerja pengelolaan TI agar selaras dengan tujuan bisnis organisasi. Sementara itu, ISO 27001 memberikan panduan teknis dan spesifik terkait perlindungan keamanan informasi di dalam kerangka tersebut. 

1. IT Governance (Tata Kelola Teknologi Informasi)

• Fokus utama IT Governance adalah pengendalian dan pengarahan teknologi informasi dalam organisasi agar memberikan nilai tambah, mendukung pencapaian strategi bisnis, serta mengelola risiko dan sumber daya secara optimal. 

• Cakupan IT Governance bersifat strategis dan menyeluruh, mencakup pengambilan keputusan TI, penetapan tanggung jawab, evaluasi kinerja TI, serta penegakan akuntabilitas dalam pengelolaan TI. 

• Kerangka kerja yang umum digunakan mencakup: 

• COBIT (Control Objectives for Information and Related Technologies), 

• ITIL (Information Technology Infrastructure Library), dan 

• ISO/IEC 38500 (Corporate Governance of Information Technology),
  yang semuanya menyediakan prinsip dan praktik terbaik dalam tata kelola TI. 

2. ISO 27001 (Sistem Manajemen Keamanan Informasi)

• ISO 27001 secara khusus membahas pengelolaan keamanan informasi, dengan menetapkan persyaratan untuk merancang, menerapkan, dan meningkatkan sistem manajemen keamanan informasi (ISMS). 

• Ruang lingkupnya lebih teknis dan operasional, menekankan pada identifikasi dan mitigasi risiko keamanan informasi melalui pengendalian yang relevan (yang tercantum dalam Annex A). 

• ISO 27001 adalah standar internasional yang dapat disertifikasi, menandakan bahwa organisasi telah mengadopsi pendekatan terbaik dalam menjaga keamanan informasi. 

3. Keterkaitanantara Keduanya 

• ISO 27001 sebagai bagian dari IT Governance: Aspek keamanan informasi merupakan salah satu komponen kunci dalam tata kelola TI. IT Governance memastikan bahwa keamanan informasi menjadi bagian integral dari strategi dan operasional TI, sedangkan ISO 27001 menyediakan pendekatan sistematis untuk mencapai tujuan tersebut. 

• IT Governance memberi konteks bagi penerapan ISO 27001: Melalui pemahaman menyeluruh terhadap konteks bisnis dan risiko TI, IT Governance membantu organisasi dalam menetapkan ruang lingkup ISMS (sesuai dengan Klausul 4 ISO 27001) serta dalam melakukan manajemen risiko keamanan informasi (sesuai dengan Klausul 6). Tujuan keamanan informasi yang ditetapkan dalam ISO 27001 harus selaras dengan strategi TI secara keseluruhan. 

• Kontrol keamanan ISO 27001 mendukung pengendalian dalam IT Governance: Langkah-langkah dan kontrol yang ditetapkan dalam Annex A dari ISO 27001 bertindak sebagai alat pengendalian yang mendukung pencapaian tujuan tata kelola TI, seperti menjaga integritas data, memastikan kepatuhan, dan mengurangi risiko bisnis. 

• Kerangka IT Governance mempermudah penerapan ISO 27001: Framework seperti COBIT dapat menjadi panduan dalam mengimplementasikan dan menjaga keberlangsungan ISMS. Konsep-konsep seperti alignment TI dengan bisnis, pengukuran performa, serta pengelolaan risiko sangat sesuai dengan prinsip ISO 27001. 

IT Governance digambarkan seperti peta strategis dan kebijakan umum untuk mengelola seluruh kegiatan TI dalam organisasi — mulai dari penentuan arah, pengalokasian sumber daya, hingga pelaporan kinerja. Sedangkan ISO 27001 adalah bagian khusus dari peta tersebut yang fokus pada keamanan data dan sistem informasi, dengan menetapkan langkah-langkah konkret untuk menghadapi ancaman dan risiko. 

IT Governance menentukan arah, prinsip, dan kerangka kendali dalam pengelolaan TI organisasi, termasuk aspek keamanan informasi. ISO 27001 hadir sebagai standar teknis yang mendetail dan dapat diaudit, yang membantu organisasi menerapkan keamanan informasi secara konsisten dalam konteks IT Governance. Dengan sinergi ini, organisasi dapat memastikan bahwa penggunaan teknologi tidak hanya efisien dan selaras dengan bisnis, tetapi juga aman dan terlindungi dari berbagai risiko.