Layanan TI bukan sekadar aliran informasi, melainkan fondasi bagi kemajuan suatu organisasi.
Dalam era di mana kebutuhan akan keamanan informasi semakin mendesak, terutama dalam industri kesehatan yang telah menetapkan standar ketat, evolusi layanan ini menjadi tak terelakkan.
Menghadapi tuntutan baru, adaptasi menjadi kunci.
Namun, tantangannya bukan hanya pada transformasi itu sendiri, melainkan bagaimana melakukannya tanpa membebani anggaran.
Bagaimana kita bisa menjalankan evolusi ini dengan tepat, efisien, dan tetap hemat biaya?
Artikel ini akan menguraikan bagaimana ISO 27001, sebuah standar ISO yang menitikberatkan pada manajemen keamanan informasi, serta ITIL (Information Technology Infrastructure Library), sebuah kerangka kerja publik-swasta yang fokus pada manajemen layanan IT, saling terkait dalam aspek perlindungan informasi.
Lebih lanjut, akan dibahas bagaimana penggunaan keduanya secara bersinergi dapat meningkatkan manfaatnya bagi bisnis dalam sebuah organisasi.
Fakta-fakta Umum
Terdapat beberapa informasi yang mungkin berguna sebagai panduan awal dalam memahami ISO 27001 dan ITIL:
Seperti yang terlihat, ISO 27001 memiliki definisi langsung mengenai perlindungan informasi, sementara ITIL memiliki hubungan yang lebih tidak langsung.
Hal ini disebabkan oleh ruang lingkup “ITIL” yang mencakup berbagai praktik dalam mengelola dan meningkatkan kualitas layanan TI, seperti manajemen keuangan dan pemenuhan permintaan.
Meskipun begitu, karena keamanan informasi menjadi aspek krusial dalam manajemen layanan TI dan kualitas layanan tersebut, ITIL memasukkan keamanan informasi sebagai salah satu proses pendukung (manajemen keamanan) dan mengintegrasikannya ke sebagian besar proses dalam kerangka kerjanya.
Struktur ITIL Persamaan dan Perbedaannya dengan ISO 27001
Di sisi lain, kerangka kerja ITIL terdiri dari 26 proses dan empat fungsi, yang didasarkan pada pendekatan siklus hidup layanan dengan lima tahap:
Strategi layanan (4 proses): melibatkan penyesuaian strategi IT dengan tujuan dan harapan bisnis secara menyeluruh, guna memastikan penambahan nilai bagi organisasi.
Tahapan ini dapat terkait dengan klausul 4 ISO 27001 (Konteks organisasi).
Desain layanan (7 proses): mencakup aspek memastikan bahwa layanan TI sesuai dengan tujuan bisnis, dengan menyeimbangkan biaya, fungsionalitas, dan kinerja.
Salah satu proses dalam desain layanan adalah manajemen keamanan. Karena konsep-konsep yang serupa digunakan secara luas (seperti triad CIA, kontrol keamanan, dll.), proses ini bisa termasuk dalam klausul 6 ISO 27001 (Perencanaan).
Operasi layanan (5 proses): mencakup upaya memastikan layanan IT dijalankan dengan aman dan handal guna mendukung kebutuhan bisnis.
Tahapan ini dapat terkait dengan klausul 8 ISO 27001 (Operasi).
Peningkatan layanan berkelanjutan (3 proses): melibatkan peningkatan kualitas, efisiensi, dan efektivitas layanan TI, sekaligus mengurangi biaya.
Tahap ini dapat dikaitkan dengan ISO 27001 klausul 9 (Evaluasi kinerja) dan 10 (Peningkatan berkelanjutan).
Seperti terlihat, meskipun ISO 27001 dan ITIL disajikan dengan pendekatan yang berbeda, keduanya sebenarnya memiliki pendekatan yang serupa terhadap siklus PDCA, yang mempermudah kolaborasi di antara keduanya.
Selain itu, seperti ISO 27001, ITIL tidak memberikan petunjuk yang detail tentang “cara melaksanakan” proses, meskipun memberikan deskripsi mendalam tentang tujuan, kegiatan yang diperlukan, masukan, dan keluaran, bersama dengan daftar periksa.
Semua ini memberikan fleksibilitas bagi organisasi untuk menyesuaikannya sesuai kebutuhan mereka.
Perbandingan kasarnya adalah bahwa ITIL bisa dianggap seakan-akan isi dari ISO 27002 dimasukkan ke dalam ISO 27001.
Bagaimana kita menggunakan ITIL dan ISO 27001 secara bersamaan?
Tidak ada jawaban pasti untuk pertanyaan ini, karena bergantung pada organisasi dan kebutuhannya.
Salah satu pendekatan mungkin dimulai dengan menerapkan ISO 27001 terlebih dahulu, karena ISO 27001 mencakup manajemen keamanan informasi secara keseluruhan (di mana lingkungan TI hanya salah satu aspeknya), dan setelahnya baru menggunakan ITIL yang memberikan detail implementasi yang lebih banyak.
Alternatif lain adalah dengan mempertimbangkan elemen-elemen ISO 27001 untuk setiap tahap ITIL dan mengimplementasikannya berurutan sesuai dengan jadwal implementasi ITIL.
Selain itu, seperti ISO 27001, ITIL tidak memberikan petunjuk yang detail tentang “cara melaksanakan” proses, meskipun memberikan deskripsi mendalam tentang tujuan, kegiatan yang diperlukan, masukan, dan keluaran, bersama dengan daftar periksa.
Semua ini memberikan fleksibilitas bagi organisasi untuk menyesuaikannya sesuai kebutuhan mereka.
Perbandingan kasarnya adalah bahwa ITIL bisa dianggap seakan-akan isi dari ISO 27002 dimasukkan ke dalam ISO 27001.
Alternatif lain adalah dengan mempertimbangkan elemen-elemen ISO 27001 untuk setiap tahap ITIL dan mengimplementasikannya berurutan sesuai dengan jadwal implementasi ITIL.
Yang krusial di sini adalah memandang ISO 27001 dan ITIL sebagai bahan yang saling melengkapi, membantu organisasi dalam menyediakan layanan kepada pelanggan dengan tingkat keamanan yang sesuai.
Source : www.advisera.com