Komentar
 |
| Foto: Illustrasi COBIT 2019 dan ISO 27001 |
Pembangunan suatu sistem informasi
tentunya memerlukan adanya pemeliharaan terhadap integritas data dan kualitas
dari sistem yang yang dibangun. Sistem informasi yang dibangun perlu adanya
pengamanan aset, memelihara integritas data, dan dapat mencapai tujuan
organisasi secara efektif dan efisien dalam penggunaan sumber daya.
Pemeliharaan sistem tersebut dinamakan audit sistem informasi.
Tujuan lain dari audit sistem
informasi yaitu untuk melakukan pemeriksaan kecukupan dari pengendalian
lingkungan, keamanan operasi sistem informasi yang dibangun, agar dapat
melindungi piranti keras terhadap akses yang tidak sah dan perubahan yang tidak
diinginkan. Melakukan audit sistem informasi juga bertujuan untuk memastikan
bahwa sistem informasi yang dibangun sudah benar-benar sesuai dengan kebutuhan
sehingga dapat membantu perusahaan atau organisasi yang menggunakannya mencapai
tujuan.
Pelaksanaan audit sistem informasi
perlu menggunakan sebuah kerangka kerja atau framework, dimana ini sangat membantu dalam proses pengauditan.
Menggunakan framework dapat
memberikan langkah pengauditan yang lebih terstruktur dan konsistensi,
menghemat waktu dan biaya, menyediakan terminologi yang dapat membuat
komunikasi lebih baik antara auditor dengan tim lainnya, serta membantu audit
untuk dapat fokus pada kontrol yang paling penting dalam mencapai tujuan audit.
Framework yang sering digunakan pada proses audit sistem
informasi, yaitu COBIT dan ISO 27001. COBIT merupakan singkatan dari Control Objectives for Information and
Related Technologies. COBIT dibuat oleh ISACA (The Information Systems Audit and Control Association). COBIT
pertama kali diterbitkan pada tahun 1996 untuk auditor keuangan agar mendukung
pertumbuhan lingkungan teknologi informasi yang terus berkembang. Setelah versi
pertama dirilis, muncul versi COBIT 3 dan COBIT 4 pada tahun 2000. Versi COBIT
sekarang yang paling terbaru adalah COBIT 2019 yang dirilis pada tahun 2018.
Sebelum COBIT 2019 dirilis, terdapat COBIT 5 yang dikeluarkan pada tahun 2012.
COBIT 2019 merupakan versi kerangka
kerja yang merupakan pembaruan dari COBIT 5 dengan adanya peningkatan
signifikan terhadap struktur, panduan , dan alat yang tersedia. versi kerangka kerja ini dirancang untuk membantu
organisasi atau perusahaan yang menggunakannya dalam mengelola risiko,
mengoptimalkan nilai dari penggunaan teknologi informasi, serta dapat mencapai
tujuan dan strategi bisnis.
Framework kedua yang digunakan yaitu ISO 27001, ISO 27001 merupakan
standar internasional untuk sistem manajemen keamanan informasi atau disebut
dengan Information Security Management System (ISMS). Penggunaan ISO 27001
berguna untuk membantu suatu perusahaan atau organisasi dalam mengelola
keamanan aset seperti informasi keuangan, kekayaan intelektual, rincian
karyawan ataupun informasi kepada pihak ketiga. Manfaat ISO 27001 lainnya yaitu
dapat melindungi segala informasi yang dimiliki, mengantisipasi cyber attack, mengelola risiko keamanan
informasi yang tepat dan efektif, meminimalisir anggaran keamanan informasi,
dan lain- lain. Tujuan utama dari ISO 27001 ini adalah berfokus pada melakukan
penilaian risiko dan menerapkan kontrol keamanan khusus untuk dapat melindungi
aset informasi penting dari suatu perusahaan atau organisasi.
Dari penjelasan singkat terkait
masing - masing versi kerangka kerja yang digunakan, lalu apa saja yang menjadi
perbedaan COBIT 2019 dengan ISO 27001?
COBIT 2019 vs ISO 27001
Perbedaan dari kedua kerangka kerja yang dirilis ini, dapat dilihat dari prinsip - prinsip dasar
dari tahapan dalam kerangka kerja dan tujuannya sepeti yang ditujukkan pada Tabel dibawah.
|
COBIT 2019 |
ISO 27001 |
|
Memperhatikan
kepentingan stakeholder (memahami kepentingan berbagai pihak terkait TI) |
ISO 27001 berfokus pada keamanan
informasi yang akan melindungi aset informasi penting dari suatu perusahaan. |
|
Membangun
dan mempertahankan struktur tata kelola yang terintegrasi agar tercapainya
tujuan bisnis |
Tujuan ISO 27001 membantu
organisasi dalam membangun dan mengelola sistem manajemen keamanan informasi |
|
Menerapkan
kerangka kerja end-to end yaitu yang mencakup seluruh siklus hidup TI dari
perencanaan hingga pengukuran kinerja |
Struktur dari ISO 27001 terdiri
dari 114 kontrol keamanan informasi yang dikelompokan menjadi 14 domain |
|
Menerapkan
proses yang jelas dan terdefinisi masing-masing tanggung jawabnya |
ISO 27001 lebih kompleks dan mahal
jika digunakan atau diimplementasikan |
|
Menggalang
perlu yang mendukung nilai etika dan kepatuhan. |
Kurang berfokus pada tata kelola
TI dan manajemen risiko. |
Setelah mengetahui perbedaan
dari kedua framework tersebut, dapat
dilihat bahwasanya kedua framework tersebut
memiliki perbandingan yang sangat berbeda, tetapi keduanya akan sangat bagus
untuk digabungkan secara efektif yang akan dapat menciptakan tata kelola TI dan
strategi keamanan komprehensif yang memenuhi berbagai dimensi kebutuhan
organisasi.
Kombinasi COBIT 2019 dengan ISO
27001 dapat memberdayakan organisasi untuk menavigasi kompleksitas era digital
sambil menjaga aset penting dan mencapai tujuan strategis. Kombinasi ini
diiringi dengan adanya pemahaman penggunaan fitur dari setiap framework dan bagaimana keduanya saling
bersinggungan untuk membentuk jalur peningkatan ketahanan TI.
(Adi Arga Arifnur / Dosen
Universitas Andalas)
Editor by: Andri B.