ISO 27001 dan ISO 22301 adalah dua standar internasional yang sering dikutip bersamaan dan mudah membingungkan. Keduanya membantu organisasi Anda mengelola risiko dan menjadi lebih tangguh, namun keduanya melindungi hal yang berbeda. Di sana ISO 27001 melindungi informasi perusahaan Anda, sementara ISO 22301 melindungi kelangsungan bisnis ketika terjadi kesalahan. Mereka tidak bersaing satu sama lain, mereka saling melengkapi.
Di artikel ini Anda akan melihat apa yang diatur oleh setiap aturanperbedaannya, persamaannya, dan cara memahami mana yang dibutuhkan perusahaan Anda, atau apakah lebih baik menerapkan keduanya.
Apa itu ISO 27001?
ISO/IEC 27001 adalah standar internasional yang membantu perusahaan melindungi informasi mereka dengan cara yang terstruktur. Ini menetapkan bagaimana membangun sistem manajemen keamanan informasi, yang disebut SGSI, yang dengannya organisasi mengidentifikasi risikonya dan memutuskan tindakan apa yang harus diambil untuk menguranginya.
Tujuan dari aturan ini adalah untuk mencegah data penting terekspos, diubah tanpa izin, atau menjadi tidak tersedia saat dibutuhkan. Setiap perusahaan memulai dari risikonya sendiri dan memilih langkah-langkah keamanan yang paling sesuaimengambil Lampiran A standar sebagai referensi.
ISO 27001 dapat disertifikasi oleh organisasi mana pun, berapa pun ukurannya. Namun, hal ini menjadi sangat penting di sektor-sektor di mana pemrosesan data secara aman merupakan bagian dari kehidupan sehari-hari, seperti sektor teknologi, keuangan, layanan kesehatan, atau hukum.
Apa itu ISO 22301?
ISO 22301 adalah standar internasional yang mengatur sistem manajemen kelangsungan bisnis (SGCO). Tujuannya adalah untuk memungkinkan perusahaan Anda melakukannya mempersiapkan, bereaksi, dan memulihkan ketika dihadapkan pada insiden yang mengganggu aktivitas penting perusahaan, baik bencana alam, gangguan pasokan, kegagalan teknis, atau serangan dunia maya.
Inti dari aturan tersebut adalahanalisis dampak bisnis (BIA)yang berfungsi untuk mengidentifikasi proses mana yang benar-benar kritis dan berapa lama proses tersebut dapat dihentikan sebelum menyebabkan kerusakan serius. Dari sana Anda menentukan rencana pemulihan serta waktu dan tujuan data yang menjadi komitmen organisasi.
Versi saat ini adalah ISO 22301:2019 e Hal ini berlaku untuk organisasi dari semua ukuran dan industrimeskipun hal ini sangat relevan ketika ketersediaan layanan sangat penting, seperti di sektor perbankan, layanan kesehatan, layanan TI, atau industri. Sertifikasinya bersifat sukarela dan dikeluarkan oleh badan terakreditasi, persis seperti ISO 27001.
Perbedaan antara ISO 27001 dan ISO 22301
Sambil berbagi struktur dan filosofi, kedua aturan tersebut memiliki tujuan yang berbeda dan penerapannya berbeda. Tabel di bawah ini merangkum poin-poin penting.
| saya menunggu | ISO 27001 | ISO 22301 |
|---|---|---|
| Tujuan | Lindungi informasi Anda | Menjaga kelangsungan operasional |
| Sistem manajemen | SMKI (keamanan informasi) | SGCO (keberlangsungan bisnis) |
| Versi saat ini | ISO/IEC 27001:2022 | ISO 22301:2019 |
| Pendekatan terhadap risiko | Ancaman terhadap kerahasiaan, integritas dan ketersediaan | Pemadaman yang menghalangi aktivitas kritis |
| Alat pusat | Analisis risiko dan Lampiran A dengan 93 kontrol | Analisis Dampak Bisnis (BIA) |
| Pertanyaan yang dia jawab | Bagaimana cara melindungi data saya dari ancaman? | Bagaimana cara saya terus beroperasi jika terjadi kerusakan? |
| Contoh risiko | Serangan dunia maya, kebocoran data, akses tidak sah | Bencana alam, gangguan pasokan, kegagalan rantai |
| Area yang terlibat | TI dan keamanan | Kontinuitas, operasi dan arah |
Perbedaan mendasar dapat diringkas dalam satu gagasan. Di sana ISO 27001 melindungi data yang menjadi basis perusahaan Anda, sedangkan ISO 22301 melindungi kemampuan perusahaan untuk terus beroperasi. Yang pertama menjawab pertanyaan tentang bagaimana mencegah informasi Anda dikompromikan, yang kedua menjawab pertanyaan tentang bagaimana menjaga layanan tetap berjalan ketika terjadi pemadaman listrik.
Di sinilah perbedaan lainnya muncul. ISO 27001 didasarkan pada pengendalian teknis dan organisasi untuk melindungi informasi, sedangkan ISO 22301 berfokus pada rencana pemulihan, waktu respons, dan prioritas bisnis.
Bisakah ISO 27001 dan ISO 22301 diintegrasikan?
Ya, dan ini memang merupakan pendekatan yang paling luas ketika sebuah perusahaan ingin melindungi keamanan datanya dan kelangsungan operasinya pada saat yang bersamaan. Kedua standar ini memiliki lebih banyak kesamaan daripada yang terlihatkarena mereka mengikuti pola ISO yang sama.
Keduanya mengadopsi struktur tingkat tinggi (Lampiran SL), kerangka umum untuk standar ISO pada sistem manajemen. Inilah sebabnya mengapa bab-bab mengenai konteks, kepemimpinan, perencanaan, dukungan, evaluasi dan perbaikan hampir sama antara satu standar dengan standar lainnya, sehingga lebih mudah untuk diterapkan secara bersamaan.
Mereka juga berbagi Siklus perbaikan berkelanjutan PDCA (merencanakan, melakukan, memeriksa dan bertindak) dan elemen manajemen yang berbeda, seperti pengendalian dokumen, audit internal, tinjauan manajemen dan pendekatan berbasis risiko. ISO 27001 sendiri sebagian sudah menyentuh kontinuitas melalui kontrolnya, namun belum mencapai tingkat detail ISO 22301, sebuah standar yang sepenuhnya didedikasikan untuk tujuan ini.
Keuntungan utama dari sistem manajemen terintegrasi adalah sebagai berikut.
- Lebih sedikit duplikasi: Dokumentasi inti tunggal dan proses bersama mengurangi beban administratif.
- Manajemen risiko terpadu: matriks tunggal memperhitungkan keamanan dan kontinuitas informasi.
- Mendengar bersamaan: badan yang sama mengevaluasi kedua sistem dalam satu kunjungan, sehingga mengurangi biaya dan waktu.
- Ketahanan penuh: jika serangan dunia maya membahayakan data Anda, ISO 27001 membatasi dampaknya sementara ISO 22301 menjaga layanan tetap beroperasi cukup lama untuk pulih.
Kunci untuk mengintegrasikannya dengan baik adalah dengan terlebih dahulu memetakan proses-proses penting, mengidentifikasi di mana persyaratan keamanan dan kontinuitas dipenuhi, dan melanjutkan secara bertahap, daripada mencoba menyatukan semuanya dalam satu gerakan.
Standar mana yang harus dipilih untuk perusahaan Anda?
Pilihannya bergantung pada industri Anda, apa yang diminta pelanggan dari Anda, dan di mana risiko terbesar Anda terkonsentrasi.
Itu ISO 27001 ini adalah pilihan yang tepat jika bisnis Anda didasarkan pada pemrosesan, penyimpanan, atau transmisi informasi sensitif, atau jika Anda berpartisipasi dalam tender dan kontrak yang memerlukan bukti keamanan. Hal ini hampir penting di perusahaan teknologi, perusahaan perangkat lunak SaaS, fintech atau layanan TI, dan secara alami terkait dengan kewajiban seperti arahan NIS 2.
Itu ISO 22301 lebih cocok jika prioritas Anda adalah memastikan layanan tidak pernah berhenti, yang merupakan hal penting dalam perbankan, layanan kesehatan, infrastruktur, atau industri. Selanjutnya di bidang keuangan terkait dengan regulasi Eropa DORAyang memperkuat ketahanan operasional digital dan memperkuat nilai dari rencana kesinambungan yang telah terbukti.
Jika bisnis Anda perlu mencakup dimensi, keamanan, dan kontinuitas, Anda tidak harus memilih. Hal yang paling umum adalah memulai dengan ISO 27001, karena permintaan pasarnya lebih banyak, dan kemudian menambahkan ISO 22301 untuk memperluas ketahanan. Karena keduanya memiliki struktur yang sama, menambahkan kebijakan kedua jauh lebih mudah daripada menerapkannya dari awal.
Bagaimana TI Faktorial membantu Anda mematuhi ISO 27001?
Sebagian besar kontrol dalam Lampiran A ISO 27001 diterapkan pada tingkat teknis, yaitu cara Anda memantau perangkat, akses, dan data yang beredar di perusahaan Anda. TI Faktorial menawarkan tingkat operasional ini dari satu tempat, tanpa menyebarkan manajemen ke beberapa alat terpisah.

Inilah yang dapat Anda liput dengan platform ini.
- Manajemen Perangkat (MDM): terapkan kebijakan enkripsi dan keamanan di seluruh perangkat Mac, Windows, dan Linux Anda dari satu konsol.
- Inventaris TI selalu diperbarui: Anda mengendalikan setiap perangkat dan aplikasi perusahaan, titik awal manajemen aset yang diwajibkan oleh SGSI.
- Mengontrol akses ke SaaS Anda: setiap kolaborator menerima izin yang menjadi haknya berdasarkan peran mereka, dengan aktivasi dan penonaktifan akun dilakukan tanpa intervensi manual.
- Perlindungan aktif di setiap titik akhir (EDR): perangkat tidak hanya diinventarisasi, tetapi juga dipantau terhadap ancaman untuk bereaksi sebelum berubah menjadi insiden.
- Keluar tanpa akses yatim piatu: ketika seseorang keluar dari perusahaan, izinnya langsung dicabut, tanpa harus bergantung pada ingatan siapa pun.
- Pembelian perangkat keras dan siklus hidup: Anda membeli, memeriksa, dan memulihkan perangkat dari platform yang sama, selalu mengetahui lokasi masing-masing perangkat.
- Bukti siap untuk diaudit: log dan laporan kepatuhan dibuat di latar belakang dan Anda mengekspornya saat auditor memintanya.
Artikel terkait lainnya:
News
Berita Teknologi
Berita Olahraga
Sports news
sports
Motivation
football prediction
technology
Berita Technologi
Berita Terkini
Tempat Wisata
News Flash
Football
Gaming
Game News
Gamers
Jasa Artikel
Jasa Backlink
Agen234
Agen234
Agen234
Resep
Cek Ongkir Cargo
Download Film