Bagaimana menerapkan ISO 27001 dan ISO 20000 bersama-sama

ISO 27001 DAN ISO 20000

Semua sistem manajemen berdasarkan standar ISO memiliki satu kesamaan: siklus Deming atau PDCA (Plan, Do, Check, dan Act) yang diketahui, yang dapat mempermudah integrasi berbagai standar ISO dalam organisasi: ISO 9001ISO 14001,ISO 27001ISO 20000, dll. Saya tahu perusahaan yang memiliki ISO 27001, tetapi mereka harus lebih fokus pada manajemen layanan TI, sehingga mereka menerapkan ISO 20000. Dan sebaliknya – Saya tahu perusahaan yang memiliki ISO 20000, tetapi mereka perlu lebih fokus pada keamanan informasi dan menerapkan ISO 27001.

Dalam kasus ISO 27001 dan ISO 20000, integrasi ini dapat melampaui PDCA, seperti yang akan kita lihat di bawah ini – ada kontrol keamanan dalam Lampiran A dari ISO 27001 yang dapat dikelola sebagai proses dalam ISO 20000.

Elemen manajemen serupa di ISO 27001 dan ISO 20000

Mari kita ingat poin ISO 27001 / ISO 20000 mana, yang terkait dengan PDCA, yang dapat diintegrasikan pada saat menerapkan Sertifikasi ISO 27001 dan Sertifikasi ISO 20000 (sistem yang dihasilkan mengintegrasikan kedua standar, dan disebut sebagai “sistem terintegrasi” atau “manajemen terpadu” sistem”):

  • Kebijakan: Menetapkan aturan internal untuk pengelolaan sistem terintegrasi.
  • Definisi tujuan: Menentukan tujuan yang ingin dicapai dengan implementasi sistem terintegrasi. Ini juga akan melibatkan definisi beberapa indikator untuk mengukur apakah tujuan telah tercapai.
  • Definisi peran dan tanggung jawab: Menentukan peran dan tanggung jawab untuk pengelolaan sistem terintegrasi. Biasanya mendefinisikan orang yang bertanggung jawab untuk sistem terintegrasi. Juga menetapkan Komite yang terintegrasi dengan manajemen senior sebagai peserta utama.
  • Kesadaran: Semua personil yang dipengaruhi oleh ruang lingkup sistem manajemen terpadu harus dididik dengan baik dalam keamanan informasi dan manajemen layanan.
  • Komunikasi: Komunikasi internal dan eksternal yang terkait dengan sistem manajemen terpadu harus dilakukan dengan menetapkan pedoman (biasanyadidefinisikan sebagai protokol komunikasi).
  • Pengendalian dokumen dan catatan: Anda harus menetapkan pedoman untuk pengelolaan semua dokumentasi dan catatan dari sistem terintegrasi.
  • Manajemen metrik: Dalam kasus Sertifikat ISO 27001, Anda harus menetapkan metrik untuk mengukur efektivitas kontrol keamanan, sedangkan dalam kasus Sertifikat ISO 20000Anda harus menetapkan metrik untuk mengukur efektivitas proses.
  • Audit internal: Anda harus melakukan realisasi audit internal untuk mendeteksi kemungkinan ketidaksesuaian dalam sistem terintegrasi, dan menentukan tingkat implementasi terkait standar referensi.
  • Tinjauan manajemen: Manajemen puncak organisasi harus meninjau serangkaian titik masuk untuk sistem manajemen terpadu. Sebagai hasil dari tinjauan, mereka harus menghasilkan beberapa kesimpulan atau hasil.
  • Tindakan korektif / preventif dan peningkatan berkelanjutan: Manajemen sistem terintegrasi dapat mengembangkan tindakan korektif dan preventif untuk pengobatan ketidaksesuaian yang terdeteksi (biasanya terdeteksi dalam audit, tinjauan, dll.). Dalam kasus ISO 27001, tidak ada referensi untuk tindakan pencegahan, yang mungkin sama di versi ISO 20000 berikutnya. (Sesuatu yang serupa terjadi dengan sisa standar ISO, mengingat perubahan yang terjadi pada tingkat umum untuk integrasi yang lebih besar antara semua standar ISO.)

Untuk integrasi ISO 27001 dan ISO 20000, untuk setiap peluru terakhir Anda perlu mengembangkan dokumen unik yang akan mencakup ISMS (sistem manajemen keamanan informasi) dan SMS (sistem manajemen layanan), memisahkan aspek-aspek yang spesifik untuk keamanan dan terkait dengan manajemen layanan.

Integrasi kontrol keamanan ISO 27001 dengan ISO 20000

Sehubungan dengan kontrol keamanan Lampiran A ISO 27001, yang dapat kami integrasikan dengan proses ISO 20000, kami dapat menemukan diri kami sebagai berikut:

  • A.12.1.2 Manajemen perubahan: Terkait dengan proses manajemen perubahan. Jelas, proses ISO 20000 (klausul 9.2) mencakup lebih banyak.
  • A.12.1.3 Manajemen kapasitas: Terkait dengan proses manajemen kapasitas. Dalam hal ini, proses ISO 20000 (klausa 6.5) juga mencakup lebih banyak.
  • A.15 Hubungan pemasok: Terkait dengan manajemen pemasok dan proses manajemen tingkat layanan. Juga, dalam hal ini, proses ISO 20000 (klausul 7.2) mencakup lebih banyak.
  • A.16 Manajemen insidenkeamanan informasi: Terkait dengan proses insiden dan manajemen permintaan layanan dan proses manajemen masalah. ISO 27001 berfokus pada insiden keamanan informasi, sedangkan proses ISO 20000 (klausa 6.6) adalah tentang segala jenis insiden / masalah. ISO 20000, dalam proses manajemen keamanan informasinya, juga membuat referensi untuk insiden keamanan, jadi sekali lagi dalam hal ini ISO 20000 mencakup lebih banyak.
  • A.17 Aspek keamanan informasi manajemen kontinuitas bisnis: Terkait dengan kontinuitas layanan dan proses manajemen ketersediaan. Dalam hal ini, sekali lagi, ISO 20000 (ayat 6.3) lebih lengkap, karena tidak hanya mengacu pada kontinuitas, juga membuat referensi ketersediaan. Satu-satunya perbedaan adalah bahwa ISO 27001 mengacu pada bisnis, sedangkan Sertifikasi ISO 20000 mengacu pada layanan.

Rekomendasi di sini adalah memiliki dokumen unik yang mencakup ISMS dan SMS untuk setiap proses, menggunakan ISO 20000 sebagai referensi, karena standar ini mencakup lebih banyak.

Mengenai proses keamanan informasi yang menentukan kontrol mana yang akan dipilih, ISO 27001 jelas mencakup lebih banyak untuk manajemen risiko dan kontrol keamanan, sehingga rekomendasi di sini adalah untuk menggunakannya sebagai referensi.

Perbedaan antara ISO 27001 dan ISO 20000

Ada kontrol dalam lampiran ISO 27001 yang tidak dapat kita temukan dalam proses ISO 20000, misalnya:

  • A.9 Kontrol Akses
  • A.10 Kriptografi
  • A.11 Keamanan fisik dan lingkungan
  • A.12 Keamanan operasi
  • A.13 Keamanan komunikasi
  • A.14 Akuisisi, pengembangan, dan pemeliharaan system

Domain kontrol ini khusus untuk keamanan informasi, dan mungkin lebih teknis daripada yang lain, sehingga tidak ditangani secara langsung dalam manajemen layanan ISO 20000. Tapi, Anda perlu menerapkannya untuk Sistem Terpadu menggunakan, tentu saja, ISO 27001 sebagai referensi.

Oleh karena itu, kami melihat bahwa kedua standar sangat kompatibel dan dapat diintegrasikan dengan sempurna, dalam hal ini kami akan mendapatkan sistem manajemen terintegrasi yang akan memberikan kualitas dan keamanan untuk proses dan layanan bisnis kami, dan oleh karena itu pelanggan kami akan lebih puas.

Hubungi IAS hari ini untuk mempelajari lebih lanjut tentang ISO 27001 dan ISO 20000 atau kunjungi halaman pertanyaan umum ISO 27001 dan ISO 20000 kami!

WhatsApp: +62 811-1910-8346
Phone: +62-21 80604273
Email: enquiry@iascertification.com