ISO 20000 V ISO 27001
teknologi informasi

ISO 20000 V ISO 27001 - Persamaan dan Perbedaan

Seorang Konsultan ISO seringkali berbicara dan menjelaskan kepada klien mengenai penerapan berbagai standar ISO, tidak jarang klien mengatakan bahwasannya ISO 20000 dan ISO 27001 sangat terkait dan memiliki banyak kesamaan. jika Organisasi telah menerapkan salah satu dari keduanya, maka akan menjadi jauh lebih mudah untuk menerapkan yang lainnya. Akan tetapi, adalah hal yang berbeda ketika kita membahas detailnya, memang benar bahwa ISO 20000 dan ISO 27001 ini memiliki banyak kesamaan, lebih tepatnya saling melengkapi. Di sisi lain juga memiliki perbedaan, sehingga Organisasi tidak dapat begitu saja melakukan “copy-paste”.

Diawali dengan SMKI (Sistem Manajemen Keamanan Informasi) berbasis ISO 27001. Meskipun ISO 27001 hanya terkait dengan informasi, definisinya sangat luas. Informasi adalah istilah yang mencakup data mentah, tempat dan peralatan di mana data disimpan, juga mencakup perangkat dan perangkat lunak untuk pemrosesan, manajemen, orang, dan organisasi yang terlibat. Selain itu, informasi mencakup saluran komunikasi, pemasok dan pengadaan, pengembangan dan undang-undang. Berdasarkan definisi diatas maka tidak cukup bahwa ISO 27001 hanya berkaitan dengan informasi.

ISO 20000 adalah SMS (Service Management System). Standar ini mendefinisikan, mengimplementasikan, mengelola, dan meningkatkan layanan TI dari rancangannya melalui manajemen dan peningkatan setelah dirilis. Jauh melampaui apa yang dilakukan layanan dan mencakup bagaimana layanan dibangun, bagaimana layanan itu digunakan, dan bagaimana layanan itu menangani masalah yang terjadi. Serta mencakup bagaimana mengatur Organisasi, penanganan terhadap pihak ketiga, pelaporan dan kepuasan/keluhan pelanggan, dll. Banyak dari elemen diatas dapat ditemukan di ISO 27001, tetapi dilihat dari sudut pandang yang berbeda.

ISO 20000 berbasis proses, sama halnya dengan ISO 27001 walaupun tidak secara eksplisit. Di dalam “Annex A” (daftar kontrol untuk mengelola risiko), ada banyak kontrol yang diperlukan oleh Organisasi untuk mendefinisikan suatu proses. Proses ISO 20000 menangani topik yang sama dengan kontrol ISO 27001.

Dibawah ini adalah beberapa contoh yang mungkin diperlukan penerapan SMKI dalam lingkup penilaian risikonya:

Kapasitas – ISO 27001 mensyaratkan bahwa kapasitas untuk mendukung kinerja sistem yang diperlukan harus disediakan. ISO 20000 lebih rinci dalam persyaratan kapasitas, perencanaan dan pemantauan.

Konfigurasi – Kedua standar ISO ini memiliki persyaratan yang kuat terkait dengan aset yang diperlukan untuk mendukung layanan TI, yaitu pemrosesan informasi. ISO 20000 masuk lebih dalam dan menetapkan persyaratan yang lebih rinci.

Insiden – Insiden keamanan informasi hanyalah salah satu kategori insiden dalam ISO 20000. Jika Organisasi telah menerapkan manajemen insiden dalam ISO 20000, artinya sudah memenuhi salah satu klausul ISO 27001.

Perubahan – Kedua standar ISO ini mensyaratkan manajemen perubahan untuk diterapkan. ISO 20000 memandang manajemen perubahan sebagai kendali atas banyak aktivitas, mulai dari perencanaan dan perancangan layanan TI, hingga pengendalian setelah layanan berada di lingkungan hidup.

Pemasok – Kedua standar ISO ini melihat pemasok sebagai salah satu elemen penting dari sistem manajemen. ISO 20000 membutuhkan lebih banyak detail untuk dikontrol dalam hubungannya dengan pemasok dan sub.
Jika Organisasi telah menerapkan salah satunya, pada dasarnya telah memiliki bagian penting dari kedua Standar ISO ini.

Dilihat dari sudut pandang ISO 20000, standar tersebut membutuhkan proses Manajemen Keamanan Informasi, Kontinuitas dan Ketersediaan Layanan TI untuk diterapkan. Persyaratan untuk kedua proses tersebut sangat sesuai dengan persyaratan SMKI yang ditentukan oleh ISO 27001. Jadi, jika Organiasi telah menerapkan ISO 27001 maka akan sangat membantu memudahkan dalam menerapkan ISO 20000.

Apa perbedaannya?

Meskipun sejauh ini kecocokan antara kedua standar ISO ini terlihat sempurna, akan tetapi tidak sesederhana itu. ISO 20000 dan ISO 27001 memiliki banyak elemen umum, tetapi ada perbedaan. ISO 20000 berbasis layanan sedangkan ISO 27001 berbasis manajemen risiko. ISO 20000 menganggap risiko sebagai salah satu elemen manajemen layanan TI dengan menambahkan lebih banyak aspek di atas layanan.

ISO 20000 masuk jauh ke dalam operasi sehari-hari organisasi TI. Artinya bertepatan dengan beberapa bagian dari ISO 27001 (seperti klasifikasi informasi, kontrol akses, konsep kontinuitas, dll.) tetapi terhadap konteks yang lebih luas. Kemudian, selain dari segi keamanan informasi, ISO 20000 memberikan pandangan seluas 360 derajat pada layanan, termasuk aspek keuangan, desain, rilis dan penyebaran layanan TI, manajemen tingkat layanan, hubungan bisnis dengan pelanggan, dll.

Jadi, dalam ISO 20000 beberapa proses umum seperti manajemen insiden, perubahan atau kapasitas, menjadi lebih detail untuk mengelola layanan TI (dengan mempertimbangkan kebutuhan pelanggan, semua aspek penyampaian layanan TI, karakteristik layanan, peran dan tanggung jawab , pelanggan, dll). Sehingga dapat disimpulkan, jika menerapkan salah satunya maka akan bermanfaat untuk penerapan yang lain, bergantung mana yang sudah diterapkan terlebih dahulu, gunakan elemen yang cocok dan tambahkan apa yang kurang.

Index Artikel

ISO secara berkala merevisi standar-standarnya untuk memastikan relevansi dan efektivitasnya. Tanggal pembaruan berikutnya untuk ISO 9001 akan tergantung pada ...
Berbagai Macam Akreditasi ISO Penting untuk memilih badan sertifikasi yang terakreditasi dan terpercaya untuk memastikan bahwa sertifikasi ISO yang diterima ...
safety
OHSAS 18001 (Sistem Manajemen Kesehatan dan Keselamatan Kerja) ialah penilaian untuk sistem manajemen keselamatan dan kesehatan. Hal ini dimaksudkan untuk ...
cyber security
Ketika dunia global sedang menghadapi tantangan keamanan baru yang semakin berkembang, standar ISO/IEC 27001 yang bertujuan untuk melindungi kerahasiaan dan ...
profit
Bagaimana tepatnya untuk memaksimalkan profit? dan Bagaimana kita juga dapat meningkatkan kepuasan pelanggan? ...
teknologi informasi
ISO 20000 dan ISO 27001 ini memiliki banyak kesamaan, lebih tepatnya saling melengkapi. Di sisi lain juga memiliki perbedaan, sehingga ...
tiga arah
Pemikiran berbasis risiko adalah sesuatu yang semua orang lakukan secara otomatis dan seringkali secara tidak sadar, misalnya, seseorang akan melihat ...
bersemangat
Seringkali Manajer bertanya-tanya mengapa karyawan tidak dapat melakukan sesuai apa yang mereka harapkan, sehingga mereka harus memikul sebuah kesalahan yang ...
diagram proses
Pendekatan BPM melibatkan evaluasi proses secara terus-menerus dan mencakup tindakan untuk memperbaiki keseluruhan arus proses, ini semua mengarah kepada siklus ...
gudang pabrik
GMP menyediakan sistem proses, prosedur dan dokumentasi untuk memastikan suatu produk memiliki identitas, kekuatan, komposisi, kualitas dan kemurnian yang muncul ...
hazard
HACCP memberikan sistem biaya yang efektif untuk mengendalikan keamanan pangan bagi perusahaan, mulai dari bahan hingga produksi, penyimpanan dan distribusi ...
gear
PAS 99:2012 memberikan kesempatan organisasi untuk mendapatkan lebih banyak manfaat tanpa harus mengeluarkan investasi waktu dan biaya tambahan ...
tumpukan dokumen
Standar ISO 9001 versi 2015 jauh lebih fleksibel dalam persyaratan dokumentasi. Disini akan sebutkan jenis-jenis dokumen yang diuraikan dalam standar ...
melihat dengan kaca pembesar
Audit Internal ISO yang baik adalah audit yang dapat membantu perusahaan untuk memutuskan apakah suatu proses didokumentasikan secara akurat, diterapkan ...
project management
Manajemen proyek yang tepat dapat mempertahankan visi dan tujuan proyek, mendukung tugas dan sasaran audiensi, mengelola sumber daya yang tersedia ...
intelijen
Business Intelligence dapat digunakan oleh perusahaan untuk mendukung berbagai keputusan bisnis mulai dari operasional hingga strategis. Keputusan operasi dasar meliputi ...
korupsi
Masalah yang terjadi pada praktik bisnis yang paling sering dilaporkan adalah penyuapan, korupsi, penipuan dan pencucian uang. Tindak korupsi terjadi ...
mutu
Total Quality Management dapat diringkas sebagai sistem manajemen untuk organisasi yang berfokus pada pelanggan yang melibatkan semua karyawan dalam perbaikan ...
sukses juara
Penghargaan didefinisikan sebagai ganjaran yang diberikan untuk memotivasi para karyawan agar produktivitasnya tinggi. Setiap perusahaan membutuhkan strategi dalam sistem penghargaan ...
runtuh
Ada banyak faktor menyebabkan kegagalan bisnis, berikut ini adalah penyebab umum mengapa suatu bisnis menjadi tidak berhasil ...
risiko
Manajemen risiko melibatkan pemahaman, analisa dan penanganan resiko untuk membuat organisasi memastikan mencapai tujuan mereka, oleh karena itu harus proporsional ...
prinsip
ISO 9001:2015 diterbitkan untuk memperbaharui sistem manajemen mutu sebelumnya. ISO 9001:2015 didasarkan pada tujuh prinsip manajemen mutu berikut ...
revisi
Pada tulisan kali ini kami akan merinci apa yang berubah pada klausul dari ISO 9001:2015 dibandingkan seri ISO sebelumnya yakni ...
target
Dengan melaksanakan implementasi ISO, organisasi akan mampu melaksanakan praktek kerja secara lebih efisien dan organisasi mampu berfokus pada tujuan bisnis ...
daur ulang sampah
Minimalisasi limbah mengacu pada strategi yang bertujuan untuk mencegah pembuangan melalui hulu, di sisi produksi, strategi ini berfokus pada pemanfaatan ...
encrypt
Setiap organisasi memiliki beberapa bentuk informasi yang sensitif, untuk melindungi informasi yang bersifat sensitif seperti informasi pembayaran pelanggan, data karyawan ...
kontrak
Memenangkan sebuah tender tidaklah selalu mudah terlebih dengan banyaknya pesaing-pesaing bisnis yang bergerak di bidang yang sama. Berikut adalah kiat-kiat ...
tangga
Mencapai sertifikasi standar seperti ISO 9001 atau ISO 14001 cukuplah muda. Untuk membantu organisasi yang baru untuk proses pelaksanaan, dalam ...
kerja
Pekerja dengan kinerja yang rendah merupakan masalah serius bagi sebuah organisasi apapun, hal ini membuat perusahaan mencari cara yang inovatif ...
aset
Meningkatkan Nilai Bisnis dengan Manajemen Aset Berbagi informasi dengan menggunakan teknologi untuk menganalisa risiko dan persyaratan setiap aset semakin menjadi ...
tumbuh
Mengembangkan bisnis bukanlah hal yang mudah dan seringkali membuat pengusaha berpikir keras untuk menjalankannya, berikut adalah langkah untuk membantu pengusaha ...
wanita pebisnis
Pengusaha sebagai seseorang yang selalu mencari perubahan, merespon dan mengeksploitasi sebagai sebuah kesempatan bisnis. Inovasi adalah alat dari seorang pengusaha ...
sepakat
Menggunakan konsultan memiliki banyak manfaat, tapi sebelum membahas manfaat ini sangat penting bahwa kita terkadang tidak mengetahui beberapa hal tentang ...
pekerja bangunan
keselamatan kerja merupakan rangkaian usaha untuk menciptakan suasana kerja yang aman dan tentram bagi para karyawan yang bekerja di perusahaan ...
guru
Lembaga pendidikan merupakan suatu lembaga yang senantiasa diperlukan oleh masyarakat sepanjang masa,namun tidak semua lembaga pendidikan diminati masyarakat, ada beberapa ...
mutu
Manajemen mutu adalah gabungan semua fungsi manajemen, semua bagian dari suatu perusahaan dan semua orang ke dalam falsafah holistik yang ...
pilar
Prinsip-prinsip manajemen mutu yang fundamental mengenai, norma, aturan dan nilai-nilai yang diterima dan dapat digunakan sebagai dasar untuk manajemen mutu ...

Quotes

Slide 1
HENDRA GUNAWAN S.E
Consulting Director

"Setiap langkah besar selalu dimulai dengan langkah pertama."

Slide 2
IGUH RAHMAN M.KKK
Senior Consultant

"Konsultan terbaik mengajukan pertanyaan tepat, mendengarkan secara aktif, dan memberikan solusi yang disesuaikan dengan kebutuhan."

Slide 3
LUSHIANA S.E
Lead Auditor

"Kunci dasar dari keberhasilan audit adalah objektivitas."

Share