KEMENTERIAN KEUANGAN REPUBLIK INDONESIA

BADAN PENDIDIKAN DAN PELATIHAN KEUANGAN

POLITEKNIK KEUANGAN NEGARA STAN

TUGAS
AUDIT SISTEM INFORMASI

PERBANDINGAN ANTARA COBIT 5 DAN ISO YANG BERKAITAN DENGAN

INFORMATION TECHNOLOGY (IT)

Disusun oleh:
ABUYASIN SABDA HANI (1)
AHMAD SURYAWAN OKTAFIADI (5)
ARIEF ISTI PRAMUSINTA (9)
FERDHI FIAN ANSHORI (13)
I GEDE YUDI HENRAYANA (17)
MIKHA ANDRI MANALU (21)
OSCAR EDO CHRISANDY (25)
PUTU AGUS RAY KARUNIA (29)
RICKY NUGRAHA LAUDA (33)
TRI MULYADI WIBOWO (37)

KELAS 9A DIV AKUNTANSI ALIH PROGRAM

POLITEKNIK KEUANGAN NEGARA STAN
2016
 PERBANDINGAN ANTARA COBIT 5 DAN ISO YANG BERKAITAN DENGAN
INFORMATION TECHNOLOGY (IT)

I. Pendahuluan
Dengan adanya tata kelola Teknologi Informasi/Information Technology (TI/IT),
proses bisnis perusahaan akan menjadi jauh lebih transparan dan dapat
dipertanggungjawabkan. Selain itu, akuntabilitas tiap fungsi atau individu akan semakin
jelas. Tata kelola IT bukan hanya penting bagi teknis IT saja, tetapi juga direksi dan
bahkan komisaris, yang bertanggung jawab terhadap investasi dan pengelolaan risiko
perusahaan dengan tujuan untuk meraih keuntungan optimum investasi IT dan sekaligus
memastikan semua potensi risiko investasi IT telah diantisipasi dan dapat dikendalikan.
Keputusan bisnis yang baik harus didasarkan pada pengetahuan yang berasal dari
informasi yang relevan, komprehensif, dan tepat waktu yang mana membutuhkan tata
kelola IT yang baik. Karena penerapan IT ini memerlukan biaya yang tidak sedikit dan
disertai risiko kegagalan yang tidak kecil, maka IT harus dikelola selayaknya aset
perusahaan lainnya. Penerapan IT di perusahaan harus ditunjang dengan suatu tata
kelola IT (IT Governance) mulai dari perencanaan sampai implementasinya yang
mengacu pada standar yang sudah mendapatkan pengakuan secara luas. Ada beberapa
standar tata kelola IT yang digunakan oleh perusahaan-perusahaan di dunia, dua di
antaranya adalah COBIT dan ISO.

COBIT (Control Objectives for Information and related Technology) adalah suatu
panduan standar praktek manajemen teknologi informasi dan sekumpulan dokumentasi
best practices untuk tata kelola IT yang dapat membantu auditor, manajemen, dan
pengguna untuk menjembatani pemisah (gap) antara risiko bisnis, kebutuhan
pengendalian, dan permasalahan-permasalahan teknis. COBIT dikembangkan oleh IT
Governance Institute (ITGI), yang merupakan bagian dari Information Systems Audit and
Control Association (ISACA). COBIT memberikan arahan (guidelines) yang berorientasi
pada bisnis. Olejh karena itu, business process owners dan manajer, termasuk juga
auditor dan pengguna, diharapkan dapat memanfaatkan arahan ini dengan sebaik-
baiknya. COBIT muncul pertama kali pada tahun 1996 yaitu COBIT versi 1 yang
menekankan pada bidang audit, COBIT versi 2 pada tahun 1998 yang menekankan pada
tahap pengendalian, COBIT versi 3 pada tahun 2000 yang berorientasi kepada
manajemen, COBIT versi 4 pada bulan Desember 2005 dan versi 4.1 pada bulan Mei
2007 lebih mengarah pada tata kelola IT, dan terakhir COBIT versi 5 pada bulan Juni
2012 yang menekankan tata kelola IT pada perusahaan.

1
 Sementara itu, Organisasi Standar Internasional, atau yang disebut dengan istilah
ISO, adalah suatu asosiasi global yang terdiri dari badan-badan standardisasi nasional
yang beranggotakan tidak kurang dari 140 negara. ISO merupakan suatu organisasi di
luar pemerintahan (Non-Government Organization/NGO) yang berdiri sejak tahun 1947.
Misi dari ISO adalah untuk mendukung pengembangan standardisasi dan kegiatan-
kegiatan terkait lainnya dengan harapan untuk membantu perdagangan internasional,
dan juga untuk membantu pengembangan kerjasama secara global di bidang ilmu
pengetahuan, teknologi dan kegiatan ekonomi. Kegiatan pokok ISO adalah menghasilkan
kesepakatan-kesepakatan internasional yang kemudian dipublikasikan sebagai standar
internasional. ISO yang berkaitan dengan IT di antaranya ISO 27001, ISO 27002, dan
ISO 31000.

Tulisan ini akan membahas mengenai perbandingan antara COBIT 5 dan ISO
yang berkaitan dengan IT. Tulisan ini diharapkan mampu memberikan pemahanan yang
komprehensif kepada pembaca mengenai COBIT 5 dan ISO yang berkaitan dengan IT.
Pemahaman komprehensif atas setiap standar tentunya akan membantu perusahaan
untuk memilih standar tata kelola TI yang paling sesuai dengan sumber daya dan
kebutuhan perusahaan.

II. Gambaran Umum COBIT 5 dan ISO yang Berkaitan dengan IT

2.1. Gambaran Umum COBIT 5
COBIT 5 merupakan kerangka kerja yang komprehensif yang membantu
organisasi dalam mencapai tujuan mereka melalui tata kelola dan manajemen IT
organisasi. Secara sederhana, COBIT 5 membantu perusahaan menciptakan nilai yang
optimal dari IT dengan menjaga suatu keseimbangan antara menciptakan manfaat dan
optimalisasi risiko dan penggunaan sumber daya. COBIT 5 memungkinkan IT untuk
diatur dan dikelola secara holistik untuk keseluruhan perusahaan, yang mencakup dari
hulu sampai hilir kegiatan perusahaan. COBIT 5 bersifat generik dan berguna untuk
organisasi untuk semua ukuran, baik yang komersial, nirlaba, atau di sektor publik.

COBIT 5 memiliki 5 prinsip, yaitu meeting stakeholder needs, covering enterprise

end-to-end, applying a single intergrated framework, enabling a holistic approach, dan
separating governance from management. Penjelasan singkatnya adalah sebagai berikut:
1. Meeting stakeholder needs
Perusahaan/organisasi didirikan untuk menciptakan nilai bagi para pemangku
kepentingan (stakeholder) dengan menjaga suatu keseimbangan antara menciptakan
manfaat dan optimalisasi risiko dan penggunaan sumber daya. COBIT 5 menyediakan

2
semua proses yang diperlukan dan enabler lain untuk mendukung penciptaan nilai
melalui penggunaan IT. Karena setiap perusahaan memiliki tujuan yang berbeda, sebuah
perusahaan dapat menyesuaikan COBIT 5 sesuai dengan konteks sendiri melalui goal
cascade, menerjemahkan tujuan perusahaan (level atas) menjadi tujuan yang lebih
spesifik dan terkait dengan IT.

2. Covering enterprise end-to-end

COBIT 5 mengintegrasikan tata kelola IT ke dalam tata kelola perusahaan. Sistem
tata kelola IT yang diusung COBIT 5 dapat menyatu dengan sistem tata kelola
perusahaan dengan mulus. Prinsip kedua ini juga meliputi semua fungsi dan proses yang
dibutuhkan untuk mengatur dan mengelola IT perusahaan di manapun informasi
diproses. Dalam lingkup perusahaan, COBIT 5 menangani semua layanan IT dan proses
bisnis internal maupun eksternal perusahaan.

3. Applying a single intergrated framework

COBIT 5 menyelaraskan diri dengan standar dan framework relevan lainnya,
sehingga perusahaan dapat menggunakan COBIT 5 sebagai framework tata kelola umum
dan integrator. Selain itu, prinsip ini menyatukan semua pengetahuan yang sebelumnya
tersebar dalam berbagai framework ISACA (COBIT, VAL IT, Risk IT, BMIS, ITAF, dll).

4. Enabling a holistic approach

Tata kelola dan manajemen IT perusahaan yang efisien dan efektif memerlukan
pendekatan holistik dengan mempertimbangkan beberapa komponen yang saling
berinteraksi. COBIT 5 mendefinisikan satu set enabler untuk mendukung pelaksanaan
tata kelola dan sistem manajemen IT yang komprehensif. Enabler didefinisikan sebagai
sesuatu yang dapat membantu untuk mencapai tujuan perusahaan. COBIT 5 merinci
tujuh kategori enabler, yaitu:
a. Principles, Policies and Frameworks
b. Processes
c. Organisational Structures
d. Culture, Ethics and Behaviour
e. Information
f. Services, Infrastructure and Applications
g. People, Skills and Competencies

5. Separating governance from management,

COBIT 5 membuat perbedaan yang cukup jelas antara governance dan
manajemen. Kedua hal tersebut mencakup berbagai kegiatan yang berbeda, memerlukan
struktur organisasi yang berbeda, dan melayani untuk tujuan yang berbeda pula.

3
Governance memastikan bahwa tujuan perusahaan dapat dicapai dengan melakukan
evaluasi terhadap kebutuhan, kondisi, dan pilihan stakeholder, menerapkan arah melalui
prioritas dan pengambilan keputusan terhadap arah dan tujuan yang telah disepakati.
Pada kebanyakan perusahaan, governance adalah tanggung jawab dari dewan komisaris
di bawah kepemimpinan komisaris utama. Sementara itu, manajemen berfungsi sebagai
perencana, membangun, menjalankan, dan memonitor aktifitas-aktifitas yang sejalan
dengan arah yang ditetapkan oleh dewan komisaris untuk mencapai tujuan perusahaan.
Pada kebanyakan perusahaan, manajemen menjadi tanggung jawab manajemen
eksekutif di bawah pimpinan Chief Executive Officer (CEO).

2.2. ISO yang Berkaitan dengan IT

ISO yang berkaitan dengan IT di antaranya adalah ISO 27001, ISO 27002, dan ISO
31000. Gambaran umum dari ISO yang berkaitan dengan IT adalah sebagai berikut.
1. Gambaran Umum ISO 27001
ISO 27001 adalah bagian dari seri ISO 27000 tentang standar manajemen sistem
informasi (Information Systems Management/ISM). ISO 27001 mendefinisikan metode
dan praktik implementasi keamanan informasi (information security) dalam organisasi.
ISO 27001 berisi langkah-langkah rinci tentang bagaimana implementasi keamanan
informasi. ISO 27001 bertujuan untuk menyediakan komunikasi dan pertukaran data
dalam organisasi yang andal dan aman. Selain itu, ISO 27001 menekankan pada suatu
pendekatan risiko (risk approachi) untuk mencapai tujuannya.

ISO 27001 memberikan arahan yang sangat dalam mengenai cara

pengimplementasiannya. Dengan demikian, ISO 27001 sangat berguna bagi manajer
yang membutuhkan panduan mengenai implementasi keamanan informasi.
Namun, karena sifat ISO 27001 sebagai standalone standard, maka sistem informasi
yang menerapkan ISO 27001 lebih susah diintegrasikan ke dalam sistem yang lebih
besar.

2. Gambaran Umum ISO 27002

ISO 27002 adalah seperangkat standar dan prosedur yang berkaitan dengan
keamanan dan kontrol informasi yang memungkinkan bisnis untuk menerapkan
keamanan yang tepat. ISO 27002 banyak berbicara tentang aspek kontrol. ISO 27002
memuat ratusan cara untuk menangani keamanan informasi dan memiliki banyak bab
tentang cara mengamankan informasi. Meskipun keamanan informasi biasanya identik
dengan IT, tetapi ISO 27002 juga berkaitan dengan mengamankan informasi di atas
kertas. Sebagian besar dari standar dalam ISO 27002 ini ditujukan untuk departemen IT.

4
 Dalam rilis pertama, standar 27002 dimaksudkan untuk meliputi semua lembaga
yang membutuhkan keamanan informasi. Ini berarti perusahaan, organisasi non-profit,
lembaga pemerintah, dan entitas bisnis semua akan mengikuti standar yang sama.
Namun, versi selanjutnya memisahkan standar untuk berbagai sektor agar lebih efisien.
Beberapa bab berkaitan dengan sumber daya manusia dan interaksi mereka dengan
informasi, sementara yang lain memuat cara sebuah bisnis untuk mengontrol akses dan
kelangsungan usaha dengan prosedur keamanan mereka.

ISO 27002 berisi rincian tentang pengendalian dan prosedur yang digunakan
untuk menjaga informasi tetap aman. Standar lainnya, seperti ISO 27001, hanya berisi
bagian kecil tentang kontrol. Sebaliknya, 27002 banyak berkaitan dengan kontrol tapi
menawarkan sedikit dalam hal manajemen. Pada ISO 27001, semua aspek manajemen
tersebut turut dimasukkan.

3. Gambaran Umum ISO 31000

ISO 31000: 2009 Risk Management Principles and Guidelines merupakan
sebuah standar internasional yang disusun dengan tujuan memberikan prinsip dan
panduan generik untuk penerapan manajemen risiko. Standar internasional yang
diterbitkan pada 13 November 2009 ini dapat digunakan oleh segala jenis organisasi
dalam menghadapi berbagai risiko yang melekat pada aktivitas mereka. Walaupun ISO
31000: 2009 menyediakan panduan generik, standar ini tidak ditujukan untuk
menyeragamkan manajemen risiko lintas organisasi, tetapi ditujukan untuk memberikan
standar pendukung penerapan manajemen risiko dalam usaha memberikan jaminan
terhadap pencapaian sasaran organisasi. ISO 31000: 2009 menyediakan prinsip,
kerangka kerja, dan proses manajemen risiko yang dapat digunakan sebagai arsitektur
manajemen risiko dalam usaha menjamin penerapan manajemen risiko yang efektif.

Prinsip manajemen risiko merupakan fondasi dari kerangka kerja dan proses
manajemen risiko. Terdapat sebelas prinsip manajemen risiko yang harus dipegang
teguh dan diterapkan saat membangun kerangka kerja dan melakukan implementasi
proses manajemen risiko. Kesebelas prinsip tersebut adalah
a. Memberikan nilai tambah dan melindungi nilai organsasi;
b. Bagian terpadu dari seluruh proses organisasi;
c. Bagian dari pengambilan keputusan;
d. Secara khusus menangani ketidakpastian;
e. Sistematis, terstruktur, dan tepat waktu;
f. Berdasarkan informasi terbaik yang tersedia;
g. Disesuaikan dengan kebutuhan organisasi;

5
h. Mempertimbangkan faktor budaya dan manusia;
i. Transparan dan inklusif;
j. Dinamis, berulang, dan responsif terhadap perubahan; dan
k. Memfasilitasi perbaikan sinambung dan peningkatan organisasi.

Gambar 1
Hubungan antara Prinsip, Kerangka Kerja, dan Proses Manajemen Risiko

Kerangka kerja manajemen risiko merupakan struktur pembangun proses

manajemen risiko. Kerangka kerja dimulai dengan pemberian mandat dan komitmen, lalu
dilanjutkan dengan kerangka implementasi Plan, Do, Check, Act, yang terdiri atas:
a. Mandat dan komitmen:
1) mendefinisikan dan mendukung kebijakan manajemen risiko
2) memastikan bahwa budaya dan manajemen risiko kebijakan organisasi selaras
3) menentukan indikator kinerja manajemen risiko yang sesuai dengan indikator
kinerja organisasi
4) menyelaraskan tujuan manajemen risiko dengan tujuan dan strategi organisasi
5) memastikan kepatuhan hukum dan peraturan
6) menetapkan akuntabilitas dan tanggung jawab pada tingkat yang sesuai dalam
organisasi
7) memastikan bahwa sumber daya yang diperlukan dialokasikan untuk manajemen
risiko
8) mengkomunikasikan manfaat dari manajemen risiko kepada seluruh stakeholder

6
 9) memastikan bahwa kerangka untuk mengelola risiko terus tetap sesuai
b. Perencanaan kerangka kerja manajemen risiko:
1) Memahami organisasi dan konteksnya
2) Kebijakan menetapkan manajemen risiko
3) Akuntabilitas
4) Integrasi ke dalam proses organisasi
5) Sumberdaya
6) Membangun komunikasi internal dan mekanisme pelaporan
7) Membangun komunikasi eksternal dan mekanisme pelaporan
c. Penerapan manajemen risiko:
1) Menerapkan kerangka untuk mengelola risiko
2) Melaksanakan proses manajemen risiko
d. Monitoring dan review terhadap kerangka kerja manajemen risiko
e. Perbaikan kerangka kerja manajemen risiko secara berkelanjutan.

Gambar 2
Hubungan antar Komponen dalam Kerangka Kerja Manajemen Risiko

Proses manajemen risiko merupakan kegiatan kritikal dalam manajemen risiko

karena merupakan penerapan daripada prinsip dan kerangka kerja yang telah dibangun.
Proses manajemen risiko terdiri dari 5 proses besar yaitu:
1. Komunikasi dan konsultasi;
2. Penetapan konteks;

7
3. Penilaian risiko (terdiri atas identifikasi, analisis, dan evaluasi risiko);
4. Perlakuan risiko;
5. Monitoring dan review.
Implementasi secara mendetail dan menyeluruh pada prinsip, kerangka kerja dan proses
manajemen risiko berdasarkan ISO 31000: 2009 tersebut diharapkan dapat
meningkatkan efektivitas manajemen risiko organisasi.

Gambar 3
Proses Manajemen Risiko

III. PERBANDINGAN ANTARA COBIT 5 DAN ISO YANG BERKAITAN DENGAN

INFORMATION TECHNOLOGY (IT)
Sebagaimana yang telah dijelaskan sebelumnya, COBIT 5 (adalah kerangka di
dalam lingkup IT yang menjadi acuan utama dalam IT Governance. COBIT 5 merupakan
alat untuk mendukung dan menghubungkan jurang antara control equipment, technical
issue, dan business risk. Secara sederhana, COBIT 5 dapat menjelaskan bagaimana kita
menyelesaikan masalah mengamankan aset perusahaan, isu-isu teknis, dan risiko yang
masih dapat diukur secara komprehensif.

Pada dasarnya, COBIT 5 merupakan sebuah kerangka (bisa diartikan panduan)

bersifat generic (umum, dengan cakupan yang luas) yang memberikan arahan mengenai
bagaimana sebaiknya perusahaan/organisasi mengelola IT (dari infrastruktur, orang-
orang di dalamnya, terutama terkait tanggung jawab dan peran dalam IT, hingga proses
perolehan, pengembangan, perawatan dan pendokumentasian hingga keamanan
Teknologi Informasi dalam sebuah lingkungan perusahaan). Namun, perlu diperhatikan

8
bahwa COBIT 5 hanya berisi kriteria bagaimana tata kelola IT yang baik. COBIT 5 tidak
memberikan rincian implementasi tata kelola IT yang baik. Rincian implementasi tata
kelola IT yang baik diserahkan kepada user dari COBIT 5.

Dibandingkan dengan COBIT 5, ISO merupakan framework yang lebih khusus,

spesifik, sempit, serta detil (rinci). ISO memberikan arahannya disertai dengan panduan
dan contoh dalam implementasinya. Oleh karena itu, pengimplementasian ISO
cenderung lebih mudah dilakukan daripada COBIT 5 yang bahasanya sedikit abstrak.
Contohnya, ISO 27002 berbicara mengenai IT Security secara mendalam. ISO 27002
membahas mengenai bagaimana menangani risiko dari virus, cara memproteksi data,
bagaimana informasi sebaiknya disebarkan, dan siapa yang bertanggung jawab atas
keamanan informasi. Sementara itu, COBIT 5 tidak membahas hal-hal yang detil seperti
pada ISO 27002. Akan tetapi, hal ini tidak berarti bahwa kedua framework tersebut
(COBIT 5 dan ISO) tidak kompatibel. Dalam hal-hal tertentu, COBIT 5 dan ISO memiliki
fungsi yang sama. Meskipun demikian, COBIT 5 dan ISO tidaklah saling berbenturan,
malahan saling melengkapi. Hal tersebut dapat dilihat pada Gambar 4.

Gambar 4
Hubungan antara COBIT, ISO, ITIL, dan COSO

Salah satu irisan yang terjadi pada Gambar 4 di atas adalah antara COBIT 5 dan
ISO seri 9000 (terutama ISO 9001). ISO 9001 berlaku sebagai standarisasi manajemen

9
kualitas (standard quality control). ISO 9001 sebagai standard quality control juga
mengatur mengenai quality control di bidang IT. COBIT 5 dan ISO 9001 bersinggunggan
pada area quality control yang terkait dengan IT.

Selain itu, COBIT 5 dan ISO 27002 juga beririsan pada Gambar 4. COBIT 5
merupakan suatu Information System framework, sementara ISO ISO 27002 (beserta
ISO seri 27000 lainnya) merupakan information security framework. Information security
yang terkait dengan IT sendiri adalah bagian dari sistem informasi. ISO 27002 selain
mengatur mengenai keamanan informasi terkait IT juga mengatur tentang keamanan
informasi selain berbasis IT. Oleh karena itu, COBIT 5 dan ISO 27002 beririsan pada
bagian IT security framework.

Selain dengan ISO 9001 dan ISO 27002, COBIT 5 juga memiliki keterkaitan
dengan ISO 3100 yang mengatur mengenai manajemen risiko. Penjelasan lebih rinci
mengenai perbandingan antara COBIT 5 dan ISO 27002 dan ISO 31000 adalah sebagai
berikut.

3.1. Perbandingan antara COBIT 5 dan ISO 27002

COBIT 5 dan ISO 27002 sama-sama merupakan framework di bidang IT yang
diakui secara internasional dan sebagai standar yang dapat digunakan sesuai kebutuhan
entitas sehingga tidak perlu diadopsi seluruhnya sehingga dapat merespon apabila terjadi
kesalahan/kerusakan sistem informasi. Selain itu, COBIT 5 dan ISO 27002 juga dapat
kita bandingkan dari berbagai sudut pandang, seperti tujuan, common usage, kelebihan,
kekurangan, sertifikasi dan akreditasi, serta waktu penggunaannya. Perbandingan antara
COBIT 5 dan ISO 27002 secara rincinya dapat dilihat pada Tabel 1 berikut.

Tabel 1
Perbandingan antara COBIT 5 dan ISO 27002
COBIT ISO 27002
Tujuan COBIT 5 (diterbitkan oleh ITGI) ISO 27002 memberikan
adalah suatu high-level framework rekomendasi best practice untuk
(relatif terhadap ITIL, ISO 27002 standar ISMS (Information
dan NIST) yang memetakan inti Security Management System) ,
proses IT dengan cara yang yang dalam pelaksanaannya
memungkinkan keberhasilan sering digunakan bersama
organisasi untuk melaksanakan dengan ISO 27001. ISO 27001
kebijakan dan prosedur kunci. dan ISO 27002 disusun oleh ISO

10
 Persamaan COBIT 5 dengan ISO ISO 27001 hanya merumuskan
27002 adalah sama-sama sistem manajemen yang
menjawab 'apa' yang sedang mengontrol keamanan informasi,
dikelola, berbeda dengan ITIL tanpa memberikan kontrol tertentu
yang menjawab 'bagaimana' untuk setiap jenis industri. ISO
27002 memberikan arahan untuk
Namun, ISO 27002 berfokus mengontrol keamanan informasi
hanya pada keamanan informasi, untuk berbagai sektor industri
sedangkan COBIT memiliki yang berbeda.
lingkup yang lebih luas, dengan
mempertimbangkan semua
manajemen proses IT.

Common Uses COBIT 5 biasanya digunakan oleh ISO 27002 umumnya digunakan
eksekutif bisnis agar dapat oleh departemen IT pada suatu
berhasil dalam melaksanakan organisasi. Departemen IT
kebijakan dan prosedur kunci. berfokus pada pengendalian dan
keamanan informasi.
Selain itu, COBIT 5 sering
digunakan untuk
mengintegrasikan hal-hal terkait
pengendalian, isu-isu teknis, dan
risiko dalam suatu organisasi.

Kelebihan COBIT 5 diperbarui mengikuti ISO 27002 memungkinkan

perkembangan teknologi. COBIT manajer sistem informasi untuk
5 memiliki lingkup yang lebih luas mengidentifikasi dan memitigasi
daripada standar lainnya karena gap dan overlap dalam keamanan
tidak hanya berfokus pada sistem informasi.
keamanan informasi.
Selain itu, COBIT 5 juga dapat ISO 27002 juga lebih mudah
diimplementasikan sebagian diimplementasikan karena
tanpa memerlukan suatu full- memberikan petunjuk
spectrum analysis and pelaksanaan yang rinci.
commitment oleh organisasi.

11
Kelemahan COBIT 5 relatif sulit ISO 27002 hanya berfokus pada
diimplementasikan karena tidak keamanan informasi sehingga
memberikan petunjuk memiliki ruang lingkup yang
pelaksanaan yang rinci. terbatas.

ISO 27002 juga memiliki risiko

tidak bisa diintegrasikan dengan
sistem yang lebih besar.

Sertifikasi dan Penyusun COBIT 5, ISACA, Karena berhubungan dengan ISO

Akreditasi menawarkan 4 jenis sertifikasi 27001, organisasi yang
perorangan, yaitu: menerapkan ISO 27002 dapat
1. Certified Information Systems mengajukan sertifikasi ISO 27001
Auditor (CISA) kepada ISO.
2. Certified Information Security
Manager (CISM)
3. Certified in the Governance of
Enterprise IT (CGEIT)
4. Certified in Risk and
Information Systems Control
(CRISC)

When to Use COBIT 5 cocok digunakan ketika ISO adalah sertifikat yang diakui
organisasi ingin menciptakan di hampir seliuruh penjuru dunia.
suatu organization-wide ISO 27002 cocok digunakan untuk
framework, bukan hanya organisasi yang ingin beroperasi
framewok keamanan informasi. lintas negara.

Selain itu, beberapa organisasi

yang telah bersertifikat ISO 27001
mewajibkan mitranya untuk
memiliki sertifikat ISO 27001.
Organisasi yang ingin menjadi
mitra organisasi yang telah
bersertifikat ISO 27001 cocok
menggunakan ISO 27002.

12
 3.2. Perbandingan antara COBIT 5 dan ISO 31000
Baik COBIT 5 maupun ISO 31000 sama-sama mengatur mengenai manajemen
risiko, meskipun ISO 31000 tidak secara spesifik mengatur mengenai manajemen risiko
di bidang IT. Namun, COBIT 5 dan ISO 31000 memiliki beberapa perbedaan. Perbedaan
antara COBIT 5 dan ISO 31000 dapat dilihat pada Tabel 2.

Tabel 2
Perbandingan antara COBIT 5 dan ISO 31000

Perbedaan COBIT 5 ISO 31000

Risiko bisnis, khususnya, risiko

bisnis yang terkait dengan
"Efek dari ketidakpastian terhadap
Definisi risiko penggunaan, kepemilikan, operasi,
pencapaian sasaran organisasi."
keterlibatan, pengaruh dan adopsi
TI dalam suatu perusahaan

Untuk menciptakan nilai bagi para

pemangku kepentingan. Akibatnya,
setiap perusahaan, komersial atau "Aktivitas-aktivitas terkoordinasi
tidak, menciptakan nilai sebagai yang dilakukan dalam rangka
Definisi
tujuan pemerintahan. Penciptaan mengelola dan mengontrol sebuah
manajemen risiko
nilai berarti menyadari manfaat organisasi terkait dengan risiko
dengan biaya sumber daya yang yang dihadapinya."
optimal sekaligus mengoptimalkan
risiko.

Dimulai dengan membangun

konteks untuk mengidentifikasi
Awal proses Dimulai dengan menetapkan
kondisi internal, kondisi eksternal,
manajemen risiko sasaran perusahaan
konteks manajemen risiko, dan
kriteria risiko.

Terdiri dari lima komponen besar,

Komponen proses yaitu:
Tidak ada
manajemen risiko (1) komunikasi dan konsultasi;
(2) membangun konteks;

13
 (3) penilaian risiko;
(4) perlakuan risiko; dan
(5)monitoring dan review.

Tersedia dan menjadi hal yang

harus diterapkan pada kerangka
Prinsip
Tidak ada. kerja dan proses manajemen risiko
manajemen risiko
untuk mendukung efektivitas
penerapan manajemen risiko.

Inherent risk diartikan sebagai

Inherent risk diartikan sebagai
Pengertian eksposur perusahaan terhadap
risiko tanpa memperhitungkan
inherent risk risiko setelah dilakukan
respon risiko yang timbul
pengendalian internal.

Tersedia dan menjadi hal yang

harus diterapkan pada kerangka
Prinsip
Tidak ada. kerja dan proses manajemen risiko
manajemen risiko
untuk mendukung efektivitas
penerapan manajemen risiko.

Informasi mengenai risiko dan

manajemen risiko dikomunikasikan
dan dikonsultasikan dengan
Informasi risiko berfokus pada seluruh stakeholders perusahaan,
risiko saat ini yang merupakan baik internal maupun eksternal
Penyaluran
respon risiko yang timbul dari risiko (sesuai prinsip transparan dan
Informasi Risiko
bawaan pada saat solusi atas inklusif). Keterlibatan stakeholders
risiko diterapkan diperlukan untuk mengidentifikasi
kepentingan seluruh pihak agar
menjadi bahan pertimbangan
pengambilan keputusan.

14
IV. Simpulan
Adapun simpulan dari tulisan ini adalah sebagai berikut:
1. COBIT 5 dan ISO sama-sama merupakan framework di bidang IT yang diakui dan
banyak digunakan secara internasional.
2. COBIT 5 merupakan sebuah framework yang bersifat generic (umum, dengan
cakupan yang luas), sementara ISO merupakan framework yang lebih khusus,
spesifik, sempit, serta detil (rinci).
3. Selain memiliki persamaan, COBIT 5 juga memiliki beberapa perbedaan dengan ISO
(terutama ISO 27002 dan ISO 31000), sebagaimana terlihat pada Tabel 1 dan Tabel
2.

15
Daftar Referensi

Arora, Varun. Comparing Different Information Security Standards: COBIT vs. ISO 27001.
Carnegie Mellon University, Qatar. https://qatar.cmu.edu/media/assets/
CPUCIS2010-1.pdf (diakses 12 Oktober 2016).

ISACA. 2012. COBIT 5: A Business Framework for the Governance and Management of
Enterprise IT.

ISO. ISO/IEC 27001:2013 - Information Technology - Security Techniques - Information

Security Management Systems Requirements.

ISO. ISO/IEC 27002:2013 - Information Technology - Security Techniques - Code of

Practice for Information Security Controls.

ISO. ISO 31000:2009 - Principles and Guidelines on Implementation.

ISO. ISO 9001:2008 - Quality management systems Requirements.

von Solms, Basie. 2005. Information Security Governance: COBIT or ISO 17799 or both?.
Computers & Security (2005) 24, hal. 99-104.

16