ISO 27001 vs ISO 27002
Karena ISO 27000 adalah serangkaian standar yang telah diprakarsai oleh ISO untuk memastikan keselamatan dan keamanan dalam organisasi di seluruh dunia, ada baiknya mengetahui perbedaan antara ISO 27001 dan ISO 27002, dua standar dalam ISO 27000 seri. Standar-standar ini telah dimulai untuk kepentingan organisasi dan juga untuk memberikan layanan yang berkualitas bagi pelanggan. Artikel ini menganalisis perbedaan antara ISO 27001 dan ISO 27002.
Apa itu ISO 27001?
Standar ISO 27001 adalah untuk memastikan Keamanan Informasi dan perlindungan data di organisasi di seluruh dunia. Standar ini sangat penting bagi organisasi bisnis dalam menjaga pelanggan mereka dan informasi rahasia organisasi dari ancaman. Penerapan sistem manajemen keamanan informasi akan memastikan kualitas, keamanan, layanan dan keandalan produk organisasi yang dapat dijaga pada tingkat tertinggi.
Tujuan utama standar ini adalah untuk menyediakan persyaratan untuk menetapkan, menerapkan, memelihara, dan terus meningkatkan Sistem Manajemen Keamanan Informasi (ISMS). Di sebagian besar perusahaan, keputusan untuk mengadopsi jenis standar ini diambil oleh manajemen puncak. Juga, persyaratan memiliki sistem keamanan informasi semacam ini untuk organisasi muncul karena berbagai faktor seperti tujuan dan sasaran organisasi, persyaratan keamanan, ukuran dan struktur organisasi, dll.
Dalam versi standar sebelumnya pada tahun 2005, dikembangkan berdasarkan siklus PDCA, model Plan-Do-Check-Act untuk menyusun proses dan itu dengan cara mencerminkan prinsip-prinsip yang ditetapkan oleh OECG pedoman. Versi baru tahun 2013 menekankan pada pengukuran dan evaluasi efektivitas kinerja organisasi di SMKI. Ini juga termasuk bagian berdasarkan outsourcing dan lebih banyak konsentrasi diberikan pada keamanan informasi dalam organisasi.
Apa itu ISO 27002?
Standar ISO 27002 awalnya berasal dari standar ISO 17799 yang didasarkan pada kode praktik untuk keamanan informasi. Ini menyoroti berbagai mekanisme pengendalian keamanan untuk organisasi dengan panduan ISO 27001.
Standar ini ditetapkan berdasarkan berbagai pedoman dan prinsip untuk memulai, menerapkan, meningkatkan, dan memelihara manajemen keamanan informasi dalam suatu organisasi. Kontrol aktual dalam standar menangani persyaratan khusus melalui penilaian risiko formal. Standar tersebut terdiri dari pedoman khusus untuk pengembangan standar keamanan organisasi dan praktik manajemen keamanan yang efektif yang akan berguna dalam membangun kepercayaan dalam kegiatan antar-organisasi.
Versi standar yang ada diterbitkan pada tahun 2013 sebagai ISO 27002:2013 dengan 114 kontrol. Faktor terpenting yang harus diperhatikan adalah bahwa selama bertahun-tahun sejumlah versi spesifik industri ISO 27002 telah dikembangkan atau sedang dikembangkan di bidang-bidang seperti sektor kesehatan, manufaktur, dll.
Apa perbedaan antara ISO 27001 & ISO 27002?
• Standar ISO 27001 mengungkapkan persyaratan untuk manajemen keamanan informasi dalam organisasi dan standar ISO 27002 memberikan dukungan dan panduan bagi mereka yang bertanggung jawab dalam memulai, menerapkan, atau memelihara Sistem Manajemen Keamanan Informasi (ISMS).
• ISO 27001 adalah standar audit berdasarkan persyaratan yang dapat diaudit, sedangkan ISO 27002 adalah panduan implementasi berdasarkan saran praktik terbaik.
• ISO 27001 menyertakan daftar kontrol manajemen untuk organisasi sementara ISO 27002 memiliki daftar kontrol operasional untuk organisasi.
• ISO 27001 dapat digunakan untuk mengaudit dan mensertifikasi Sistem Manajemen Keamanan Informasi organisasi dan ISO 27002 dapat digunakan untuk menilai kelengkapan Program Keamanan Informasi organisasi.
Atribusi Gambar: “CIAJMK1209” oleh John M. Kennedy T. (CC BY-SA 3.0)
