ISO 27001 dan ISO 42001
Apa bedanya dan gmn penggunaannya?
🧠 ISO 42001: Lapisan Tata Kelola AI (Sistem Manajemen AI / AIMS)
Fokus standar ini adalah mengatur sistem Artificial Intelligence (AI) secara bertanggung jawab di seluruh siklus hidupnya, mulai dari desain hingga pemantauan operasional. Analogi yang digunakan adalah: "Mengatur 'otak' AI secara bertanggung jawab."
1. Paling Cocok Untuk (Best For): Organisasi yang mengembangkan, menyediakan, atau menggunakan AI. Ini termasuk Generative AI (GenAI), chatbot, analitik AI, AI untuk SDM, atau sistem pendukung keputusan.
2. Area Fokus Utama (Core Focus Areas):
Inventaris AI dan tata kelola use-case (kasus penggunaan).
Keadilan (Fairness), bias, transparansi, dan kemampuan untuk dijelaskan (explainability).
Pengawasan dan akuntabilitas manusia (harus ada kontrol manusia atas AI).
Penilaian dampak dan risiko AI.
Pemantauan, pergeseran model (model drift), dan kontrol siklus hidup.
3. Bukti Implementasi (Typical Evidence): Definisi tujuan penggunaan AI, penilaian risiko/dampak AI, prosedur pengawasan manusia, serta catatan pengujian, pemantauan, dan peninjauan model AI.
4. Risiko Utama yang Ditangani (Main Risks Addressed): Hasil keluaran yang bias, proses pengambilan keputusan yang buram (tidak bisa dijelaskan alasannya), keluaran yang tidak aman/tidak dapat diandalkan, penyalahgunaan (prompt abuse), dan kurangnya pengawasan saat AI mulai melenceng dari tujuan awal (model drift).
⚖️ Kapan Anda Membutuhkan yang Mana?
Bagian bawah infografis memberikan panduan praktis untuk memilih standar mana yang harus diterapkan:
Pilih ISO 27001 jika: Anda menginginkan keamanan informasi yang terstruktur, perlu melindungi data pelanggan/bisnis, dan membutuhkan sertifikasi keamanan sebagai standar dasar.
Pilih ISO 42001 jika: Anda membangun atau menggunakan AI dalam proses bisnis, membutuhkan tata kelola AI yang bertanggung jawab, dan ingin mengendalikan risiko serta keputusan yang diambil oleh AI.
Gunakan KEDUANYA jika: Sistem AI Anda mengandalkan data yang sensitif atau diatur oleh regulasi (seperti data kesehatan atau finansial), Anda menggunakan GenAI untuk otomatisasi keputusan, dan Anda menginginkan sistem AI yang aman sekaligus dapat dipercaya (trustworthy).
Kesimpulan:
ISO 27001 = Keamanan Informasi
ISO 42001 = Tata Kelola AI Organisasi modern yang memanfaatkan teknologi AI
kita membutuhkan keduanya untuk memastikan bahwa data yang digunakan aman (ISO 27001) dan sistem AI yang memproses data tersebut berperilaku secara etis, transparan, dan terkendali (ISO 42001).
created by AHN 4may 2026
🛡️ ISO 27001: Fondasi Keamanan Informasi (Sistem Manajemen Keamanan Informasi / ISMS)
Fokus utama standar ini adalah melindungi informasi, sistem, dan operasi bisnis dengan cara mengelola risiko keamanan. Analogi yang digunakan adalah: "Mengamankan benteng digital."
1. Paling Cocok Untuk (Best For): Semua organisasi yang menangani aset informasi. Ini mencakup perusahaan SaaS, layanan TI, keuangan, layanan kesehatan, startup, hingga perusahaan berskala besar (Enterprises).
2. Area Fokus Utama (Core Focus Areas):
Confidentiality, Integrity, Availability (CIA Triad): Menjaga kerahasiaan, keutuhan, dan ketersediaan data.
Penilaian dan penanganan risiko keamanan.
Kontrol akses dan manajemen identitas (siapa yang boleh mengakses apa).
Respons insiden dan kelangsungan bisnis (apa yang terjadi jika sistem down).
Keamanan pihak ketiga/pemasok.
3. Bukti Implementasi (Typical Evidence): Dokumen kebijakan keamanan, Risk Register (daftar risiko), Statement of Applicability (SoA), tinjauan akses, inventaris aset, catatan insiden, serta bukti Backup/Disaster Recovery.
4. Risiko Utama yang Ditangani (Main Risks Addressed): Kebocoran data (data breach), akses tidak sah, serangan Ransomware/sistem mati, keamanan vendor yang lemah, dan penanganan insiden yang buruk.