ISO 27001 vs ISO 27002: apa perbedaannya?

Leave a Comment


Jika perusahaan Anda baru pertama kali terjun ke dunia keamanan informasi, kemungkinan besar Anda sudah pernah mendengar tentang standar tersebut ISO 27001. Dan, hampir pada saat yang sama, aturan lain dengan nama yang sangat mirip akan muncul: the ISO 27002. Apakah itu hal yang sama? Apakah yang satu menggantikan yang lain? Haruskah kita menerapkan keduanya?

Kebingungan ini lebih dari bisa dimengerti. Keduanya termasuk dalam keluarga ISO/IEC 27000 yang sama, dan memiliki tujuan keseluruhan yang sama — untuk melindungi informasi organisasi — dan kontrolnya bahkan memiliki penomoran yang sama. Namun standar tersebut bukanlah standar yang setara atau dapat dipertukarkan: masing-masing memainkan peran yang sangat spesifik dalam Sistem Manajemen Keamanan Informasi (ISMS).

Pada artikel ini kami menjelaskan apa itu, bagaimana perbedaannya, dan bagaimana keduanya cocok satu sama lainsehingga Anda memahami dengan tepat peran setiap kebijakan dalam strategi kepatuhan Anda.

Apa itu ISO 27001?

ISO 27001 (secara resmi ISO/IEC 27001) adalah standar internasional yang menetapkan persyaratan untuk menerapkan, memelihara, dan meningkatkan suatu Sistem Manajemen Keamanan Informasi (ISMS). Versi pertamanya dimulai pada tahun 2005 dan pembaruan terakhir dilakukan pada bulan Oktober 2022. Ini adalah referensi paling dikenal di dunia dalam bidang ini, dengan kehadiran di lebih dari 150 negara.

Yang membedakannya dengan standar keluarga lainnya adalah fakta bahwa standar ini dapat disertifikasi. Organisasi mana pun, terlepas dari ukuran dan sektornya, dapat menjalani audit eksternal yang dilakukan oleh badan terakreditasi dan memperoleh sertifikat resmi dengan validitas internasional. Sertifikat tersebut memiliki jangka waktu tiga tahun, dengan audit pengawasan tahunan.

Aturannya dibagi menjadi dua blok. Di satu sisi ada klausul wajib (4 hingga 10), yang menjelaskan cara membangun dan mengoperasikan SMKI. Di sisi lainLampiran Ayang mencantumkan 93 kontrol keamanan yang dikelompokkan ke dalam empat kategori. Pengendalian ini tidak semuanya berlaku secara wajib: setiap organisasi memotivasi mana yang menjadi perhatiannya dan mana yang tidak dalam Deklarasi Penerapannya (SoA).

Hal ini juga merupakan titik awal untuk menangani kerangka peraturan lainnya seperti arahan NIS2 – yang diterapkan di Italia melalui Keputusan Legislatif 138/2024 – yang memiliki sebagian besar prinsip manajemen risiko dan keselamatan.

Poin-poin penting ISO 27001

  • Dia standar internasional untuk Sistem Manajemen Keamanan Informasi (ISMS).
  • Standar yang dapat disertifikasi oleh badan terakreditasi, dengan validitas tiga tahun dan audit pengawasan tahunan.
  • Yang satu mengikuti struktur tingkat tinggi (HLS) umum, kompatibel dengan standar ISO lainnya seperti 9001 atau 14001.
  • Termasuk 93 cek dalam Lampiran A, disusun menjadi empat kategori (organisasi, yang berhubungan dengan manusia, fisik dan teknologi).
  • Mendefinisikan saya persyaratan manajemenyaitu apa yang harus dilakukan organisasi untuk mempertahankan SMKI-nya.
  • Ini berfungsi seperti titik awal tipikal untuk mematuhi referensi NIS2 dan ACN.

Apa itu ISO 27002?

ISO 27002 (resminya ISO/IEC 27002) adalah panduan praktik terbaik yang merinci bagaimana menerapkan kontrol keamanan mengacu pada Lampiran A ISO 27001. Versi terbarunya, yang diterbitkan pada Februari 2022, telah menata ulang katalog sepenuhnya: kami telah beralih dari 114 pemeriksaan sebelumnya ke 93 pemeriksaan saat ini, didistribusikan dalam empat kategori.

Berbeda dengan 27001, ini bukan standar yang dapat disertifikasi. Peraturan ini tidak menetapkan persyaratan yang dapat diaudit dan tidak menjadi dasar untuk memperoleh sertifikat resmi. Perannya saling melengkapi: merupakan dokumen referensi teknis yang memberikan organisasi penjelasan rinci tentang setiap pengendalian, dengan panduan mengenai tujuan, desain, dan implementasi.

Jika ISO 27001 menunjukkan pengendalian mana yang harus dievaluasi oleh organisasi, ISO 27002 menjelaskan bagaimana menerapkannya dalam praktik. Setiap kontrol yang pada tahun 27001 dirangkum dalam satu kalimat, pada tahun 27002 dikembangkan menjadi satu halaman penuh, dengan contoh, rekomendasi dan aspek yang perlu dipertimbangkan. Ini adalah alat bantu bagi manajer keselamatan mana pun yang menerapkan atau meninjau SMKI.

Poin-poin penting ISO 27002

  • Itu satu panduan praktik yang baikbukan standar yang dapat disertifikasi.
  • Miliknya versi terbaru adalah 2022dengan 93 kontrol yang disusun dalam empat kategori.
  • Mengembangkan secara rinci kontrol yang dimaksud dalamLampiran A ISO 27001.
  • Menawarkan pedoman praktis pada tujuan dan pelaksanaan setiap pengendalian.
  • DAN berlaku untuk organisasi mana punterlepas dari ukuran dan sektor.
  • Ini berfungsi seperti referensi teknis biasa untuk auditor dan manajer keamanan.

Perbedaan antara ISO 27001 dan ISO 27002

Meskipun kedua peraturan tersebut diperbarui hampir bersamaan dan menggunakan struktur kendali yang sama, perbedaannya cukup besar. Yang satu menetapkan persyaratan sistem manajemen, yang lain memberikan panduan teknis untuk menerapkan persyaratan tersebut. Berikut perbedaan utama antara keduanya:

Kriteria ISO 27001 ISO 27002
Jenis standar Standar persyaratan (SGSI) Panduan praktik yang baik
Dapat disertifikasi Ya, dari badan terakreditasi TIDAK
Versi saat ini ISO/IEC 27001:2022 ISO/IEC 27002:2022
Mendekati Apa yang harus dilakukan untuk membangun SMKI Bagaimana menerapkan kontrol
Struktur Klausul 4 sampai 10 + Lampiran A 93 kontrol dikembangkan secara rinci
Tingkat detail per audit Tentang sebuah kalimat Seluruh halaman
Diperlukan dokumentasi Ya (SoA, kebijakan, analisis risiko) Tidak diperlukan dokumentasi
Audit Ya, dasar sertifikasi Referensi teknis untuk auditor
Penerapan Organisasi mana pun Organisasi mana pun
Peran dalam SMKI Mendefinisikan kerangka manajemen Mendukung implementasi kerangka kerja

Kapan menggunakan ISO 27001 dan kapan menggunakan ISO 27002?

Pertanyaannya agak menyesatkan, karena dalam praktiknya Anda hampir tidak pernah memilih satu dan membuang yang lain. Kedua standar tersebut bekerja secara paralel: ISO 27001 mendefinisikan kerangka SMKI, ISO 27002 menjelaskan cara menerapkan setiap kontrolnya.

Anda juga dapat melihatnya secara detail. Kontrol A.5.15 ISO 27001 muncul di Lampiran A dengan cara yang sama «Kontrol akses». ISO 27002 mendedikasikan beberapa halaman untuk kontrol yang sama: kegunaannya, cara menentukan aturan akses, praktik baik apa yang harus diikuti, atau cara meninjaunya. Yang satu menunjukkan bahwa pengendalian itu harus ada, yang lain menjelaskan bagaimana membangunnya. Dengan adanya pembaruan pada tahun 2022, hubungan ini semakin diperkuat, mengingat kedua standar tersebut telah menyelaraskan strukturnya dan kini memiliki jumlah kendali yang sama.

Meskipun demikian, memang ada skenario di mana masuk akal untuk lebih bersandar pada satu standar dibandingkan standar lainnya.

Jika tujuan Anda adalah sertifikasi diri Anda di depan pelanggan, dalam tender, atau di depan otoritas pengatursatu-satunya pilihan yang valid adalah ISO 27001. 27002 tidak memberikan sertifikasi resmi apa pun dan hanya digunakan sebagai referensi dukungan teknis. Hal yang sama berlaku jika Anda ingin mempersiapkan kepatuhan NIS2, karena kerangka peraturan ini sangat bergantung pada struktur SMKI yang ditentukan oleh 27001.

Jika Anda membutuhkannya mendokumentasikan pengendalian internal tanpa melalui audit eksternalatau Anda sedang melatih tim teknis dan membangun materi referensi, ISO 27002 biasanya lebih berguna. Tingkat detail per kontrolnya lebih baik daripada bahasa 27001 yang lebih abstrak.

Dan jika Anda bekerja seperti konsultan auditorhal yang paling wajar adalah mengelola keduanya secara paralel. 27001 memberi tahu Anda apa yang harus dievaluasi; 27002 memandu Anda tentang bagaimana setiap kontrol harus diterapkan dalam praktik.

Bagaimana TI Faktorial membantu Anda dengan ISO 27001 dan ISO 27002?

Dari satu platform, Factorial IT mencakup beberapa dewa kontrol Lampiran A ISO 27001 yang dikembangkan secara rinci oleh ISO 27002terutama yang terkait dengan identitas, perangkat, akses SaaS, antivirus, dan karyawan. Bukti yang diperlukan oleh auditor mana pun untuk pemeriksaan ini dihasilkan secara otomatis dalam operasi sehari-hari, tanpa harus merekonstruksi apa pun sehari sebelum audit. Berikut adalah enam area yang dicakup oleh platform ini.

  • Inventarisasi aset TI: katalog otomatis perangkat, perangkat lunak, dan akses perusahaan, selalu diperbarui dan dapat diekspor untuk audit.
  • Manajemen akses: administrasi akses terpusat ke alat SaaS, dengan izin yang ditetapkan dan dicabut secara otomatis berdasarkan peran karyawan.
  • Keamanan Perangkat: enkripsi, kata sandi, dan kunci diterapkan secara otomatis pada setiap perangkat. Kompatibel dengan Mac, iOS, Windows dan Linux.
  • Pelepasan yang Aman: ketika jalan keluar dicatat di sisi SDM, semua akses karyawan ditutup tanpa intervensi manual dan tanpa akun sisa.
  • Perlindungan Perangkat Lunak Jahat: Antivirus tingkat lanjut diterapkan di setiap perangkat, mendeteksi malware, ransomware, dan ancaman zero-day.
  • Bukti audit: Log dan laporan kepatuhan dibuat secara otomatis, siap diekspor dan disajikan kepada auditor kapan saja.

News
Berita Teknologi
Berita Olahraga
Sports news
sports
Motivation
football prediction
technology
Berita Technologi
Berita Terkini
Tempat Wisata
News Flash
Football
Gaming
Game News
Gamers
Jasa Artikel
Jasa Backlink
Agen234
Agen234
Agen234
Resep
Cek Ongkir Cargo
Download Film

Leave a Reply

Your email address will not be published. Required fields are marked *