People Innovation Excellence

Evaluasi Framework IT Governance dalam Konteks Information Security: Mengapa ISO 27002 Menjadi Pilihan Tepat

Source: Midjourney

Berbagai IT Govermance Standard memiliki keunikan dan fungsinya masing masing, dan hal juga kembali disesuiakan oleh kebutuhan Perusahaan, berikut adalah perbedaan masing masing frameworknya:

  • COBIT (Control Objectives for Information and Related Technologies) merupakan sebuah framework kerja tata kelola IT yang membantu organisasi atau perusahaan dalam mengelola dan mengawasi praktik terbaik manajemennya. Framework ini kemudian akan digunakan untuk mengembangkan, mengimplementasikan, memantau, dan meningkatkan tata kelola serta manajemen IT.
  • ITIL (Information Technology Infrastructure Library) merupakan sebuah framework yang terdiri atas kumpulan praktik terbaik untuk manajemen layanan IT yang dikembangkan oleh Axelos. Dalam penggunaannya framework ini berfokus pada alur kerja dan pengelolaan layanan IT untuk mendukung kebutuhan bisnis seperti strategi layanan, desain layanan, transisi layanan, operasi layanan, peningkatan berkelanjutan. ITIL ini berfokus pada pemberian layanan yang efisien dan efektif juga kualitas layanan IT, sehingga sesuai dengan harapan pengguna, dan kepuasan pelanggan.
  • NIST (National Institute of Standards and Technology) merupakan lembaga di bawah Departemen Perdagangan AS (Amerika Serikat) yang menyediakan berbagai standar dan panduan teknis, termasuk untuk keamanan siber dan perlindungan informasi. Framework ini menyediakan panduan manajemen risiko, perlindungan privasi, dan kontrol keamanan. Termasuk juga identifikasi, proteksi, deteksi, respons, pemulihan dari insiden.
  • NSA INFOSEC (Information Security) berisikan berbagai kebijakan dan standar keamanan yang disusun oleh Badan Keamanan Nasional (NSA) Amerika Serikat untuk melindungi informasi sensitif dan rahasia pemerintah. Tentunya dalam IT Govermance ini meliputi kebijakan, prosedur, dan panduan yang diperlukan untuk menjaga kerahasiaan, integritas, dan ketersediaan informasi sensitif, serta untuk melindungi dari ancaman keamanan data.
  • ISO 27002 (International Organization for Standardization 27002) merupakan sebuah standar internasional untuk keamanan informasi yang memberikan panduan kontrol keamanan informasi berdasarkan ISO 27001. ISO 27002 ini merupakan lanjutand dari penerapan standar dari ISO 27001 yang memiliki fungsi yang sama yaitu berpusat pada manajemen keamanan informasi. Tujuannya melindungi kerahasiaan, integritas, dan ketersediaan informasi melalui penerapan Sistem Manajemen Keamanan Informasi (ISMS). Umumnya framework ini digunakan oleh Perusahaan/orginasasi yang ingin memastikan keamanan informasi dan sering digunakan sebagai dasar untuk sertifikasi keamanan informasi.

Secara sederhanda berikut adalah table perbandingannya

Framework Deskripsi Singkat Fungsi Komponen Utama
COBIT Framework tata kelola dan manajemen TI yang membantu menyelaraskan tujuan TI dengan tujuan bisnis Menyediakan panduan untuk pencapaian nilai TI, pengelolaan risiko, dan pemanfaatan sumber daya Proses, tujuan kontrol, model kematangan
ITIL Kumpulan praktik terbaik untuk manajemen layanan TI yang berfokus pada penyampaian layanan yang berkualitas Mengelola siklus hidup layanan TI, mulai dari desain, implementasi, operasi, hingga peningkatan Strategi layanan, desain layanan, transisi layanan, operasi layanan, peningkatan berkelanjutan
NIST Standar dan panduan keamanan siber dari AS yang melindungi infrastruktur kritis dan informasi Menyediakan panduan manajemen risiko, perlindungan privasi, dan kontrol keamanan Identifikasi, proteksi, deteksi, respons, pemulihan dari insiden
NSA INFOSEC Kebijakan dan standar keamanan dari NSA AS untuk melindungi informasi dan komunikasi sensitif Mengamankan informasi dan sistem komunikasi pemerintah dari ancaman nasional dan serangan siber Manajemen akses, enkripsi, audit, kontrol komunikasi
ISO 27002 Standar keamanan informasi yang menyediakan kontrol keamanan praktis untuk berbagai jenis organisasi Melindungi aset informasi perusahaan dari ancaman dan kerentanan Kebijakan keamanan, keamanan fisik, kontrol akses, pengelolaan aset, penanganan insiden

 

Kesimpulan

Bersarkan table dan penjelasan diatas dapat dilihat, jika sebuah Perusahaan atau organisasi ingin berfokus pada Information Security, maka framework IT Governance Standard yang cocok untuk diterapkan adalah ISO 27002. Baik ISO 27002 maupun 27001 memang secara spesifik ditujukan untuk mengelola aspek keamanan informasi dan memberikan kontrol untuk melindungi informasi perusahaan dari berbagai risiko. Framework ini menyediakan kontrol yang luas, dari manajemen akses hingga pengelolaan insiden keamanan. Dalam paper yang ditulis oleh Kitsios (2023) pada kesimpulannya ia menuliskan betapa pentingnya standar ini ISO ini dalam membantu perusahaan memenuhi tanggung jawab hukum dan regulasi, serta mempertahankan kemitraan strategis yang andal. Karna framework ini menyediakan keamanan informasi yang efektif sehingga perusahaan dapat meningkatkan ketahanan terhadap ancaman keamanan dan serangan siber. Studi kasus dalam pembahasan ini menunjukkan bagaimana sebuah perusahaan konsultan IT internasional mengadopsi framework kerja manajemen risiko dan struktur administratif sesuai dengan pedoman ISO.

Penulis: 

Samson Ndruru, S.Kom., M.Kom.

Daftar Pustaka:

  1. (n.d.). COBIT (Control Objectives for Information and Related Technologies). TechTarget SearchSecurity. Diakses pada 8 Oktober 2025, dari https://www.techtarget.com/searchsecurity/definition/COBIT
  2. Alexei, A. (2021). Ensuring information security in public organizations in the Republic of Moldova through the ISO 27001 standard. Journal of Social Sciences, 4(1), 84-94.
  3. Roy, P. P. (2020, February). A high-level comparison between the nist cyber security framework and the iso 27001 information security standard. In 2020 National Conference on Emerging Trends on Sustainable Technology and Engineering Applications (NCETSTEA) (pp. 1-3). IEEE.
  4. Kitsios, F., Chatzidimitriou, E., & Kamariotou, M. (2023). The ISO/IEC 27001 information security management standard: how to extract value from data in the IT sector. Sustainability, 15(7), 5828.

Last updated :

SHARE THIS