Perbedaan Utama Antara ISO/IEC 27001 dan ISO/IEC 27002
| Aspek | ISO/IEC 27001 | ISO/IEC 27002 |
| Tujuan | Merupakan standar yang menetapkan persyaratan formal untuk merancang, menjalankan, memelihara, dan meningkatkan Sistem Manajemen Keamanan Informasi (ISMS).
Memberikan kerangka kerja bagi organisasi untuk mengelola risiko keamanan informasi secara efektif dan membuktikan komitmen mereka terhadap keamanan informasi kepada pihak-pihak yang berkepentinga |
Menyediakan panduan teknis terperinci untuk menerapkan kontrol keamanan informasi yang terdapat dalam Annex A ISO 27001.
Membantu organisasi dalam memilih, mengimplementasikan, dan mengelola kontrol keamanan informasi yang sesuai dengan kebutuhan dan risiko mereka. Ini berfungsi sebagai panduan praktis untuk menerapkan persyaratan ISO 27001 |
| Fungsi | Digunakan sebagai acuan sertifikasi resmi ISMS suatu organisasi. | Berfungsi sebagai referensi praktik terbaik, bukan untuk sertifikasi, tetapi untuk membantu penerapan kontrol secara efektif. |
| Lingkup | Mencakup aspek manajerial secara keseluruhan, seperti perumusan kebijakan, perencanaan strategis, penilaian risiko, audit, hingga tindakan perbaikan dan peningkatan berkelanjutan.
Menetapkan persyaratan untuk membangun, menerapkan, memelihara, dan terus meningkatkan SMKI. Standar ini berfokus pada kerangka kerja manajemen secara keseluruhan untuk mengelola risiko keamanan informasi. |
Terfokus pada aspek teknis dan operasional, menjelaskan secara rinci bagaimana kontrol keamanan dijalankan dalam praktik.
Memberikan panduan rinci dan rekomendasi untuk menerapkan kontrol keamanan informasi yang tercantum dalam Annex A ISO 27001, serta kontrol keamanan informasi lainnya yang relevan. |
| Annex A | Menyediakan daftar kontrol keamanan informasi (93 kontrol pada versi 2022) dengan deskripsi singkat untuk setiap kontrol. | Menyajikan penjabaran menyeluruh untuk masing-masing kontrol, meliputi tujuan, metode implementasi, dan hal-hal yang perlu dipertimbangkan. |
| Contoh Kontrol | Misalnya “A.8.12 – Data masking” hanya mencantumkan nama dan ringkasan fungsi kontrol. | ISO 27002 akan menguraikan bagaimana data masking diterapkan, dalam situasi apa dibutuhkan, serta pihak yang bertanggung jawab. |
| Karakter Dokumen | Bersifat normatif, artinya mengandung persyaratan wajib untuk dapat memperoleh sertifikasi. | Bersifat informatif, yaitu bersifat rekomendatif dan memberikan arahan, tetapi tidak wajib diikuti secara mutlak. |
Keterkaitan Antara Keduanya:
- ISO 27001 menjawab apa saja yang perlu dilakukan untuk mengelola keamanan informasi secara sistematis.
- ISO 27002 memberikan arahan bagaimana langkah-langkah tersebut diterapkan dalam operasional sehari-hari.
Ilustrasi Sederhana:
Bayangkan ISO 27001 seperti rancangan dan cetak biru sebuah bangunan yang berisi rencana struktural dan kebijakan utama dalam pembangunan.
Sedangkan ISO 27002 adalah buku panduan teknis konstruksi yang menjelaskan cara konkret membangun dinding, memasang pintu, dan memastikan keamanan setiap elemen bangunan.
Kesimpulan:
- Jika tujuan Anda adalah mendapatkan sertifikasi keamanan informasi, maka Anda harus mengikuti persyaratan ISO 27001.
- Namun, untuk mengimplementasikan kontrol keamanan dengan benar dan efektif, ISO 27002 menjadi referensi penting sebagai panduan operasional pelaksanaannya.