Perbandingan ISO/IEC 27001:2022 dan COSO 2017 sebagai Kerangka Kerja Manajemen Risiko SI/IT Terintegrasi -->

Iklan Cawako Sawahlunto

Perbandingan ISO/IEC 27001:2022 dan COSO 2017 sebagai Kerangka Kerja Manajemen Risiko SI/IT Terintegrasi

Jumat, 20 September 2024

 

Foto: Risk Management dari Blue Planet Studio (iStock)


Dalam dunia bisnis yang penuh dengan ketidakpastian, manajemen risiko menjadi sangat penting. Framework audit sistem informasi seperti ISO/IEC 27001 dan COSO2017 memberikan struktur bagi perusahaan untuk mengidentifikasi, menilai, dan mengelola risiko secara terintegrasi, memastikan bahwa risiko-risiko tersebut dikelola secara efektif dan efisien. Kedua standar tersebut secara tujuan memiliki fokus yang sama, yaitu untuk mendukung efektivitas manajemen risiko bagi perusahaan, namun secara aspek dan komponennya terdapat beberapa perbedaan.

Sehingga, dalam diskusi mengenai beragam standar manajemen risiko, sering kali timbul perbedaan pendapat seputar standar mana yang lebih superior. Muncul pertanyaan: “Standar manakah yang lebih efektif dalam mendukung penerapan manajemen risiko? Apakah ISO/IEC 27001 dan COSO 2017?”. Untuk mengetahuinya, perlu memahami kedua standar tersebut lebih lanjut.

Apa itu ISO/IEC 27001:2022?
Sejarah dari ISO/IEC 27001 dimulai ketika standar ini pertama kali diterbitkan bersama oleh International Organization for Standardization (ISO) dan International Electrotechnical Commission (IEC) pada tahun 2005. Tujuan awalnya adalah untuk memberikan kerangka kerja bagi organisasi untuk mengelola keamanan informasi secara lebih efektif.

Kemudian, ISO/IEC 27001:2022 dirilis untuk terus memperbarui dan menyempurnakan standar tersebut agar sesuai dengan perkembangan teknologi dan ancaman keamanan informasi yang terus berkembang. Standar ini menekankan pentingnya mengelola sistem manajemen keamanan informasi (ISMS), agar dapat membantu organisasi membuat aset informasi yang mereka miliki menjadi aman.

Untuk menerapkan ISO/IEC 27001:2022 pada organisasi perlu melibatkan beberapa tahap, sebagai berikut :

  • Penetapan Ruang Lingkup (Scope Definition): menentukan batasan dan cakupan sistem manajemen keamanan informasi (ISMS), termasuk aset, teknologi, lokasi, dan unit bisnis yang akan diikutsertakan.
  • Penugasan Tim (Team Assignment): membentuk tim yang terdiri dari anggota dengan berbagai keahlian yang diperlukan untuk mengembangkan dan mengimplementasikan ISMS.
  • Penilaian Awal (Initial Assessment): melakukan penilaian untuk memahami kondisi keamanan informasi saat ini dan menentukan gap antara kondisi saat ini dengan persyaratan ISO/IEC 27001:2022.
  • Penetapan Kebijakan Keamanan Informasi (Information Security Policy Setting): mengembangkan kebijakan keamanan informasi yang mencerminkan komitmen organisasi terhadap keamanan informasi.
  • Identifikasi Risiko Keamanan Informasi (Information Security Risk Identification): mengidentifikasi risiko keamanan informasi yang dapat mempengaruhi aset informasi organisasi.
  • Penetapan Kontrol Keamanan Informasi (Information Security Control Establishment): memilih dan menetapkan kontrol yang sesuai dari Annex A ISO/IEC 27001:2022 untuk mengatasi risiko yang telah diidentifikasi.
  • Penetapan Prosedur Operasional (Operational Procedure Establishment): mengembangkan prosedur operasional yang diperlukan untuk memastikan bahwa kontrol keamanan informasi diterapkan secara efektif.
  • Pelaksanaan Pelatihan Karyawan (Employee Training Implementation): memberikan pelatihan kepada karyawan mengenai kebijakan, prosedur, dan kontrol keamanan informasi untuk meningkatkan kesadaran dan kompetensi mereka.
  • Implementasi Sistem Manajemen Keamanan Informasi (ISMS): menerapkan semua aspek ISMS, termasuk kebijakan, kontrol, dan prosedur operasional.
  • Audit Intern (Internal Audit): melakukan audit internal untuk menilai apakah ISMS telah diterapkan dengan benar dan efektif serta memenuhi persyaratan standar.
  • Audit Eksternal dan Sertifikasi (External Audit and Certification): melakukan audit eksternal oleh badan sertifikasi yang diakui untuk memverifikasi bahwa ISMS memenuhi persyaratan ISO/IEC 27001:2022 dan mendapatkan sertifikasi.
  • Pemantauan dan Perbaikan Secara Berkala (Monitoring): memantau kinerja ISMS secara berkala dan melakukan perbaikan berkelanjutan untuk memastikan keefektifan dan kepatuhan terhadap standar yang berubah.

  

Apa itu COSO 2017?
Pada tahun 2001, COSO bekerjasama dengan Pricewaterhouse Coopers memulai proyek untuk mengembangkan sebuah kerangka kerja manajemen risiko, yang menghasilkan COSO ERM - Integrated Framework pada tahun 2004. Dalam perkembangannya, kerangka kerja COSO telah mengalami beberapa revisi hingga versi terbaru, yaitu COSO 2017.

Pada September 2017, Committee of Sponsoring Organizations of the Treadway Commission merilis kerangka kerja yang diperbarui - COSO 2017, yang berjudul “Enterprise Risk Manajemen - Integrating with Strategy and Performance”, untuk membantu para business leader memahami manajemen risiko dalam organisasinya. Pembaruan COSO ERM dirancang untuk membantu organisasi mengatasi risiko-risiko yang meningkat kompleksi, karena adanya tekanan regulasi keamanan yang semakin dibutuhkan juga.

Dalam COSO 2017, terdapat delapan komponen yang saling terkait dalam manajemen risiko, diantaranya:
  • Lingkungan Internal (Internal Environment): mencakup budaya organisasi, termasuk filosofi manajemen risiko dan integritas serta nilai etis perusahaan.
  • Penetapan Sasaran (Objective Setting): menetapkan sasaran yang jelas dan mendukung visi dan misi organisasi, serta memastikan bahwa risiko diidentifikasi dan dinilai dalam konteks tujuan organisasi.
  • Identifikasi Kejadian (Event Identification): mengidentifikasi peristiwa internal dan eksternal yang dapat mempengaruhi pencapain tujuan, dan membedakan antara risiko dan peluang.
  • Penilaian Risiko (Risk Assessment): proses mengevaluasi risiko yang diidentifikasi untuk menentukan bagaimana mereka harus dikelola dan memprioritaskan tindakan berdasarkan dampaknya terhadap organisasi.
  • Perlakuan Risiko (Risk Response): menentukan bagaimana merespons risiko yang telah dievaluasi.
  • Aktivitas Pengendalian (Control Activities): menerapkan kebijakan dan prosedur yang membantu memastikan bahwa penanganan risiko tepat dan tujuan organisasi tercapai.
  • Informasi dan Komunikasi (Information and Communication): mengelola informasi yang relevan dan berkualitas yang dapat mendukung internal control dan komunikasi yang efektif baik secara internal maupun eksternal.
  • Pemantauan (Monitoring): proses berkelanjutan untuk memantau, mengevaluasi, dan mengidentifikasi perbaikan yang diperlukan pada sistem manajemen risiko.
 

Berdasarkan pengenalan kedua kerangka kerja di atas, perbandingan ISO/IEC 27001:2022 dan COSO 2017 dalam manajemen risiko di perusahaan dapat dilihat dari beberapa aspek yaitu scope, struktur dan komponen, serta implementasi seperti yang ditunjukan pada Tabel dibawah ini.
 
Aspek
ISO/IEC 27001:2022
COSO 2017
Scope
Fokus pada keamanan informasi dan menetapkan persyaratan untuk ISMS. Termasuk penilaian dan perlakuan risiko yang berkaitan dengan kehilangan, pencurian, atau kerusakan informasi.
Memiliki scope yang lebih luas, mencakup manajemen risiko perusahaan (ERM) secara keseluruhan. Tidak hanya terbatas pada keamanan informasi tetapi juga mencakup risiko strategis, keuangan, dan operasional.
Struktur dan Komponen
Mengatur 93 kontrol yang dibagi menjadi empat tema : Organizational Controls, People Controls, Physical Controls, Technological Controls
Terdiri dari delapan komponen : Internal Environment, Objective Setting, Event Identification, Risk Assessment, Risk Response, Control Activities, Information and Communication, Monitoring
Implementasi
Memerlukan pendekatan sistematis dalam implementasinya, mencakup risk assessment dan risk response yang selalu diperbarui
Menekankan integrasi risiko dengan proses pengambilan keputusan dan strategi perusahaan. Dimana risiko dipertimbangkan saat menetapkan visi dan strategi perusahaan
 


Kedua kerangka kerja tersebut memiliki keunggulan tersendiri dalam memanajemen risiko di perusahaan. ISO/IEC 27001:2022 lebih menekankan keamanan informasi dengan memastikan adanya risk assessment dan risk response dalam strategi perusahaan, sedangkan COSO 2017 lebih berfokus pada memberikan panduan yang lebih menyeluruh terkait manajemen risiko yang diintegrasikan dengan strategi perusahaan.

Penerapan ISO/IEC 27001:2022 maupun COSO Framework 2017 dapat memberikan keuntungan bagi perusahaan terutama dalam membangun pertahanan SI/IT yang kuat terhadap serangan sehingga dapat menciptakan strategi yang lebih adaptif dan responsif terhadap risiko dan mendukung kelancaran pencapaian tujuan strategis perusahaan melalui teknologi.

(Adi Arga Arifnur / Dosen Universitas Andalas)




Editor by: Andri B.