ISO 27001 vs ISO 27701: Apa Bedanya dan Kapan Bisnis Membutuhkan Keduanya?

Di tengah meningkatnya tekanan regulasi dan ancaman kebocoran data, organisasi tidak lagi hanya dituntut untuk “aman”, tetapi juga “patuh” terhadap perlindungan data pribadi. Banyak perusahaan sudah familiar dengan ISO 27001, namun apakah itu cukup?

Di sisi lain, muncul ISO 27701 yang fokus pada privacy. Sayangnya, tidak sedikit organisasi yang menganggap keduanya sebagai pilihan alternatif, bukan sebagai framework yang saling melengkapi.

Kesalahan memahami perbedaan dan hubungan ISO 27001 dan ISO 27701 dapat berdampak langsung pada bisnis. Audit bisa gagal, bisnis bisa kehilangan kepercayaan pelanggan, buruknya lagi, ada risiko sanksi regulasi seperti UU PDP.

Oleh karena itu, memahami perbedaan dan hubungan antara ISO 27001 dan ISO 27701 menjadi krusial untuk pengambilan keputusan strategis.

Apa itu ISO 27001?

ISO 27001 adalah standar internasional untuk membangun dan mengelola Information Security Management System (ISMS) yang berfokus pada perlindungan kerahasiaan, integritas, dan ketersediaan informasi.

Secara praktis, ISO 27001 berfokus pada bagaimana organisasi melindungi informasi dari risiko seperti kebocoran data, akses tidak sah, dan gangguan operasional.

Standar ini mengharuskan organisasi untuk mengidentifikasi risiko, menerapkan kontrol keamanan, dan melakukan audit secara berkala.

Sebagai contoh, ISO 27001 biasanya mencakup:

• Kontrol akses: Pembatasan akses berbasis role (RBAC), termasuk implementasi MFA untuk sistem kritikal
• Manajemen risiko: Identifikasi aset informasi, penilaian risiko, hingga penetapan kontrol mitigasi
• Audit keamanan: Internal audit berkala untuk memastikan kontrol berjalan efektif
• Incident management: Prosedur penanganan insiden keamanan, termasuk eskalasi dan pelaporan

Apa itu ISO 27701?

ISO 27701 adalah ekstensi dari ISO 27001 yang berfokus pada Privacy Information Management System (PIMS), khususnya dalam pengelolaan data pribadi.

Artinya, ISO 27701 tidak berdiri sendiri. Ia dibangun di atas fondasi ISO 27001, dengan tambahan kontrol yang secara spesifik mengatur bagaimana data pribadi dikumpulkan, diproses, disimpan, dan dihapus.

Berbeda dengan ISO 27001 yang bersifat umum terhadap seluruh aset informasi, ISO 27701 secara spesifik mengatur bagaimana organisasi mengelola data pribadi. baik sebagai controller (pengendali data pribadi) maupun processor (prosesor data pribadi).

Standar ini diterbitkan pada tahun 2019 sebagai respons terhadap meningkatnya kebutuhan akan kerangka privasi yang terstruktur dan dapat diaudit.

Sebagai contoh, ISO 27701 biasanya mencakup:

• Pengelolaan consent: Sistem untuk mencatat persetujuan pengguna sebelum data diproses
• Data classification: Klasifikasi khusus untuk data pribadi vs data umum
• Data minimization: Hanya mengumpulkan data yang benar-benar diperlukan
• Third-party data processing: Pengaturan vendor yang mengakses data pribadi

Perbedaan ISO 27001 dan ISO 27701

Perbedaan utama ISO 27001 dan ISO 27701 terletak pada fokusnya: ISO 27001 berfokus pada keamanan informasi secara umum, sementara ISO 27701 secara spesifik mengatur perlindungan data pribadi.

Secara praktis, perbedaannya dapat dilihat dari beberapa aspek berikut:

1. Fokus Utama

• ISO 27001: Security (melindungi semua jenis informasi)
• ISO 27701: Privacy (melindungi data pribadi)

ISO 27001 mencakup semua aset informasi organisasi, mulai dari dokumen internal, kekayaan intelektual, rahasia dagang, hingga infrastruktur teknologi.

Sementara ISO 27701 hanya berfokus pada data pribadi, baik yang dikelola untuk kepentingan organisasi sendiri (sebagai controller) maupun yang dikelola atas nama pihak lain (sebagai processor).

Sebagai contoh: Sebuah perusahaan SaaS yang sudah ISO 27001 mungkin sudah mengamankan server dan akses sistem. Namun tanpa ISO 27701, belum tentu mereka memiliki mekanisme consent atau penghapusan data user.

2. Scope Kontrol

• ISO 27001: Kontrol umum (akses, enkripsi, backup, dll)
• ISO 27701: Kontrol tambahan khusus privacy (data subject rights, consent, purpose limitation)

Misalnya, kontrol terkait privacy by design dan privacy by default merupakan persyaratan yang eksplisit dalam ISO 27701 tetapi tidak diatur rinci dalam ISO 27001.

Dalam proses audit, sering ditemukan bahwa organisasi yang hanya mengandalkan ISO 27001 belum siap menjawab pertanyaan seperti:

• Bagaimana user meminta penghapusan data?
• Di mana data pribadi disimpan?
• Siapa saja pihak ketiga yang memproses data?

3. Tujuan Implementasi

• ISO 27001: Mengurangi risiko keamanan informasi
• ISO 27701: Memastikan kepatuhan terhadap regulasi data privacy

Dalam praktiknya, keberadaan ISO 27001 membuktikan bahwa organisasi mampu mengelola risiko keamanan siber secara andal. Ini biasanya menjadi syarat utama untuk menjadi vendor di sektor perbankan, telekomunikasi, atau pemerintahan.

Sedangkan sebaliknya, ISO 27701 membuktikan bahwa organisasi mampu melindungi hak privasi individu. Ini menjadi syarat penting ketika organisasi memproses data pribadi dalam skala besar atau beroperasi di yurisdiksi dengan regulasi privasi ketat (termasuk UU PDP di Indonesia).

Dengan kata lain, ISO 27001 adalah baseline security, sementara ISO 27701 membawa organisasi ke level compliance privacy.

Hubungan ISO 27001 dan ISO 27701

ISO 27001 dan ISO 27701 bukanlah dua standar yang kompetitif, melainkan memiliki hubungan hierarkis di mana ISO 27701 tidak dapat berdiri sendiri tanpa fondasi ISO 27001.

Dalam implementasi integrasi di perusahaan, pemahaman ini sangat krusial. ISO 27701 dirancang sebagai mekanisme perluasan (extension) terhadap ISO 27001.

Artinya, organisasi yang ingin mendapatkan sertifikasi ISO 27701 terlebih dahulu harus memiliki atau secara bersamaan membangun sistem manajemen keamanan informasi berdasarkan ISO 27001.

Dalam implementasinya, integrasi keduanya biasanya dilakukan dengan pendekatan berikut:

• Reuse kontrol ISO 27001 sebagai baseline
• Tambahkan kontrol privacy dari ISO 27701 di layer atas
• Integrasi kebijakan antara security dan privacy

Contoh:

Dalam proses manajemen risiko, organisasi yang hanya menerapkan ISO 27001 akan menilai risiko terhadap aset informasi secara umum.

Setelah integrasi dengan ISO 27701, penilaian risiko tersebut diperluas dengan mempertimbangkan risiko spesifik terhadap privasi seperti risiko pelanggaran data pribadi yang berdampak pada denda regulasi, tuntutan hukum, atau kehilangan kepercayaan publik.

Struktur dokumentasi tetap sama, misal kebijakan, prosedur, dan rekam jejak, hanya perlu diperluas cakupannya, bukan dibuat dari awal.

Relevansi ISO 27701 dan ISO 27701 dengan UU PDP

ISO 27001 dan ISO 27701 sangat relevan untuk membantu organisasi memenuhi kewajiban dalam UU PDP, terutama dalam aspek perlindungan data pribadi dan tata kelola data.

UU PDP menuntut organisasi untuk tidak hanya menjaga keamanan data, tetapi juga memastikan transparansi dan hak subjek data. Di sinilah ISO 27701 menjadi sangat krusial.

1. Pengelolaan Consent

UU PDP mewajibkan persetujuan yang eksplisit. ISO 27701 menyediakan kontrol spesifik mengenai bagaimana persetujuan harus direkam, bagaimana cara mencabutnya, dan bagaimana membuktikan bahwa persetujuan diperoleh secara sah.

Pada perusahaan ritel misalnya, mereka perlu membangun sistem di mana consent pelanggan untuk pemasaran tersimpan dalam database yang tidak dapat diubah oleh admin sembarangan.

Dalam konteks ini, consent pelanggan berkaitan erat dengan ISO 27701, dan data yang tidak dapat diubah berarti perusahaan telah mengimplementasikan keamanan data.

2. Hak Subjek Data (Data Subject Rights)

UU PDP memberikan hak kepada individu untuk mengakses, memperbaiki, dan menghapus data pribadi. ISO 27701 mewajibkan organisasi untuk memiliki prosedur tertulis dan waktu respons (biasanya dalam hitungan hari) untuk menanggapi permintaan tersebut.

Tanpa ISO 27701, banyak organisasi tidak memiliki Standard Operating Procedure (SOP) yang jelas, sehingga ketika ada permintaan dari pelanggan, terjadi kebingungan operasional.

3. Notifikasi Pelanggaran Data (Breach Notification)

UU PDP mewajibkan pelaporan kebocoran data pribadi kepada regulator dan subjek data dalam batas waktu tertentu (3×24 jam).

ISO 27001 mengatur incident management, sementara ISO 27701 menambahkan konteks privacy. Artinya, ketika terjadi kebocoran data, perusahaan tidak cukup hanya mengatasi insiden, namun harus ada mekanisme notifikasi kepada regulator dan subjek data

Banyak organisasi gagal di sini karena tidak memiliki klasifikasi insiden yang membedakan antara “security incident” dan “personal data breach”.

Dengan mengadopsi ISO 27001 dan ISO 27701, organisasi memiliki kerangka kerja yang lebih siap untuk memenuhi tuntutan UU PDP secara praktis, bukan hanya administratif.

Mana yang Lebih Baik Untuk Anda?

Tidak ada jawaban universal; pilihan antara ISO 27001 dan ISO 27701 harus ditentukan berdasarkan model bisnis, jenis data yang diproses, dan eksposur terhadap risiko privasi. Namun, Anda dapat mempertimbangkan hal berikut.

Anda cukup memulai dengan ISO 27001 jika:

• Organisasi tidak mengelola data pribadi dalam jumlah signifikan, misalnya hanya data karyawan internal dengan skala terbatas
• Fokus utama adalah memenuhi persyaratan keamanan informasi dari klien korporat atau mitra bisnis yang belum secara eksplisit mensyaratkan kerangka privasi
• Industri belum memiliki regulasi sektoral yang ketat terkait perlindungan data pribadi, dan organisasi beroperasi dalam skala nasional tanpa eksposur lintas batas negara

Contoh skenario:

Sebuah perusahaan manufaktur yang menjalankan sistem otomasi pabrik dan menyimpan data produksi untuk klien industri besar. Data pribadi yang dikelola minimal (hanya data karyawan internal) sehingga ISO 27001 menjadi fondasi yang cukup untuk membangun kepercayaan klien terkait keamanan informasi.

Anda perlu menambahkan ISO 27701 jika:

• Data pribadi merupakan inti dari model bisnis, seperti SaaS dengan data pelanggan, fintech, e-commerce, atau perusahaan teknologi kesehatan
• Organisasi terekspos pada UU PDP dan kemungkinan menghadapi audit kepatuhan dari regulator, terutama jika skala pengelolaan data pribadi mencapai ratusan ribu hingga jutaan subjek data
• Klien atau mitra strategis mulai mensyaratkan sertifikasi privasi sebagai bagian dari proses vendor due diligence, terutama jika organisasi berperan sebagai pemroses data pribadi untuk institusi keuangan atau perusahaan multinasional
• Organisasi memiliki ambisi untuk memperluas pasar ke yurisdiksi dengan regulasi privasi yang matang seperti GDPR (Uni Eropa) atau CCPA (California)

Contoh skenario:

Sebuah perusahaan software as a service (SaaS) yang menyediakan platform customer relationship management (CRM) untuk sektor perbankan dan asuransi. Data yang dikelola adalah data nasabah dengan kategori sensitif.

Perusahaan seperti ini tidak hanya membutuhkan ISO 27001 untuk membuktikan keamanan platform, tetapi juga ISO 27701 untuk menunjukkan akuntabilitas privasi yang menjadi persyaratan mutlak bagi klien di sektor jasa keuangan.

Kesimpulan

ISO 27001 adalah fondasi keamanan informasi yang wajib dimiliki, sementara ISO 27701 adalah lapisan privasi yang menjadi keharusan di era perlindungan data pribadi seperti saat ini.

Memilih hanya salah satu mungkin tidak cukup. Jika Anda adalah decision maker seperti CEO, CTO, maupun Head of Compliance, keputusan strategis bukan lagi “mana yang lebih baik”, melainkan “seberapa cepat kita dapat mengintegrasikan keduanya”.

Kesalahan umum yang sering ditemukan dalam proses audit adalah organisasi yang memiliki sertifikat ISO 27001 namun gagal dalam kepatuhan privasi karena mengabaikan aspek persetujuan dan hak subjek data, atau sebaliknya, organisasi yang terlalu fokus pada kebijakan privasi namun lalai pada dasar-dasar keamanan akses.

Dengan integrasi ISO 27001 dan ISO 27701, organisasi tidak hanya memenuhi tuntutan audit keamanan dan UU PDP, tetapi juga membangun kepercayaan pelanggan.

Di pasar yang kompetitif, kemampuan untuk mengatakan “kami tidak hanya aman, tetapi juga menghormati privasi Anda” adalah aset non-finansial yang sangat berharga.

FAQ: Perbedaan ISO 27001 dan ISO 27701