WAKOOL.ID – Ada banyak standard yang terdapat dalam seri ISO 27000. Seluruhnya terkait dengan keamanan. Barangkali yang paling dikenal luas adalah yang ISO 27001 dan ISO 27002 yang berkaitan dengan sistem manajemen keamanan informasi. Banyak organisasi yang berbondong-bondong ingin menerapkan standard ini, baik karena dipaksa oleh regulasi atau karena tuntutan bisnis. Tapi mungkin sedikit sekali yang tahu ada standard ISO 27032, walaupun sudah dirilis sejak tahun 2012. Padahal standard tersebut mestinya sangat akrab dengan kita, karena berkaitan dengan tempat yang hampir selalu kita kunjungi, yaitu ruang cyber.
Pada artikel sebelumnya sudah dibahas mengenai perbedaan keamanan informasi dan keamanan cyber. Tulisan ini akan sedikit menjelaskan perbandingan antar standard ISO yang mengatur keduanya. Yaitu standard ISO 27001 yang mengatur keamanan informasi, dan standard ISO 27032 yang mengatur keamanan cyber.
Baca juga: Keamanan Informasi dan Keamanan Siber: Apa Bedanya?
Sebagaimana dijelaskan pada tulisan sebelumnya, keamanan cyber itu sederhananya adalah keamanan di ruang cyber. Ruang cyber merupakan tempat virtual dimana semua orang dari berbagai belahan dunia melakukan bisnis, belajar, bertransaksi, dan berbagai aktifitas lainnya. Menurut ISO 27032, ruang cyber adalah sebuah lingkunan kompleks yang dihasilkan dari interaksi antar manusia, software dan layanan-layanan pada Internet melalui perangkat-perangkat teknologi dan jaringan yang terhubung dengannya, dimana sebenanrya tidak ada dalam wujud fisiknya.
Dulu Bill Gates dalam sebuah kesempatan pernah mengatakan bahwa akan ada dua jenis bisnis di abad 21 ini, yaitu bisnis yang ada di Internet dan bisnis yang tidak ada lagi. Dan sepertinya Bill Gates tidak salah, karena saat ini kita melihat sebagian besar bisnis sudah dibawa masuk ke dunia baru yang namanya ruang cyber (cyberspace). Semakin banyak dan ramainya ruangan virtual tersebut maka urgensi dari perlindungan keamanannya pun menjadi semakin tinggi. Ancaman keamanan cyber juga terus berkembang dan semakin canggih. Pihak yang terkait juga sangat beragam dan dari seluruh penjuru dunia.
Perbedaan Utama ISO 27001 Dan ISO 27032
ISO 27032 bukanlah merupakan standard yang Anda bisa memperoleh sertifikasi tentangnya. Berbeda dengan ISO 27001 yang memungkinkan kita untuk mendapatkan sertifikasi terkait Information Security Management System (ISMS) baik sebagai organisasi (legitimasi penerapan standard) maupun personil (legitimasi untuk melakukan audit/asesmen).
Sehingga, kedua standard tersebut memiliki obyektif yang berbeda, walaupun saling berkaitan. ISO 27032 utamanya bertujuan untuk menyediakan sebuah panduan untuk keamanan cyber melalui rekomendasi-rekomendasi spesifik tertentu. Sementara ISO 27001 menentukan persyaratan-persyaratan untuk menerapkan sebuah sistem manajemen keamanan informasi (ISMS). Jadi fokus dari ISO 27001 adalah organisasi dan ISMS nya. Sedangkan ISO 27032 fokus pada ruang cyber dan merupakan kolaborasi para pihak terkait untuk mengatasi berbagai masalah keamanan di ruang cyber.
Manajemen Risiko, Aset, Ancaman Dan Kerentanan
Tingkat risiko seringkali dihitung menggunakan parameter-parameer tertentu seperti aset, ancaman dan kerentanannya. Walaupun sebenarnya banyak cara lain untuk menghitung tingkat risiko.
ISO 27001:2013 tidak menentukan secara spesifik bahwa kita harus memperhitungkan aset, ancaman dan kerentanan untuk mendapatkan tingkat risiko. Sementara itu pada ISO 27032:2012 menjelaskan aset-aset, namun tidak menjelaskan ancaman dan kerentanan seperti halnya pada ISO 27005. Walaupun ia memberikan beberapa contoh yang diterapkan untuk ruang cyber.
Sampai disini jelas terlihat pada kedua standard ini sama-sama tidak merinci suatu metodologi manajemen risiko tertentu. Keduanya hanya mengacu ke ISO 27005 atau IS0 31000, yang merupakan best practices untuk manajemen risiko. ISO 27005 untuk risiko terkait keamanan informasi, sedangkan ISO 31000 untuk sebarang tipe risiko. Walaupun demikian, ISO 27001 mengatur sejumlah persyaratan yang harus dipenuhi oleh metodologi manajemen risiko yang akan digunakan, seperti misalnya harus adanya kriteria penerimaan risiko, pemilik risiko, risiko residu, dan lain-lain.
Kontrol
Pada lampiran A ISO 27001:2013 disebutkan ada 114 kontrol, yang tidak semuanya berkaitan dengan teknologi. Banyak diantaranya berkaitan dengan hal-hal non teknis seperti manajemen SDM, vendor, dan lain-lain. Pada setiap kotnrol tersebut hanya diberikan penjelasan umum dan tidak ada diantaranya yang berkaitan dengan keamanan cyber. Sedangkan detail penjelasan dari setiap kontrol tersebut dan petunjuk implementasinya dapat ditemukan di ISO 27002.
Sedangkan kontrol-kontrol yang diatur pada ISI 27032:2012 menjelaskan kontrol-kontrol khusus untuk keamanan cyber secara lebih spesifik. Petunjuk detail penerapannya juga tertuang pada seri standard yang sama.
Jadi, ISO 27001:2013 mengatur hal yang lebih luas namun bersifat global. Sedangkan ISO 27032:2012 merupakan standard yang lebih konkret dan spesifik hanya yang terkait dengan keamanan cyber.
Komponen penting lain yang dapat ditemukan pada ISO 27032:2012 adalah adanya framework untuk koordinasi dan pertukaran informasi yang penting diperhatikan untuk menghadapi insiden keamanan cyber. Sebenarnya ISO 27001:2013 juga mempunyai kontrol untuk mengelola insiden, tapi hanya untuk insiden-insiden yang terkait keamanan informasi saja.
Jadi setelah melihat perbedaan dari kedua standard diatas, maka apakah keduanya bisa diterapkan secara sekaligus bersama-sama. Jawabannya tentu bisa! Karena kedua standard tersebut sebenarnya saling melengkapi. Sebagaimana keamanan cyber yang merupakan bagian dari keamanan informasi, maka menerapkan ISO 27032 yang spesifik mengatur keamanan cyber akan bisa sangat melengkapi penerapan ISO 27001 yang mengatur penerapan keamanan informasi secara lengkap namun bersifat global. Cukup jelas ya? [msi/wakool.id/csx/iso]
